首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 安全网络策略范文

安全网络策略范文

前言:我们精心挑选了数篇优质安全网络策略文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

安全网络策略

第1篇

1.影响网络信息安全的主要因素

1.1 导致互联网脆弱性的原因。

(1)网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。

(2)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。

1.2 安全管理困难性。

虽然安全事件通常是不分国界的,但是安全管理却受国家等多种因素的限制。安全管理也非常复杂,经常出现人力投入不足、安全政策不明等现象。扩大到不同国家之间,跨国界的安全事件的追踪就非常困难。

2.网络安全的主要技术

2.1 防火墙技术。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。

2.1.1 网络安全的屏障。

防火墙可通过过滤不安全的服务而减低风险,极大地提高内部网络的安全性。由于只有经过选择并授权允许的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以禁止诸如不安全的NFS协议进出受保护的网络,使攻击者不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向路径。防火墙能够拒绝所有以上类型攻击的报文,并将情况及时通知防火墙管理员。

2.1.2 强化网络安全策略。通过以防火墙为中心的安全方案配置。能将所有安全软件(如口令、加密、身份认证等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如,在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上而集中在防火墙。

2.2 数据加密技术。

2.2.1 常用的数据加密技术。

目前最常用的加密技术有对称加密技术和非对称加密技术。

2.2.2 数据加密技术的含义。

所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。

3.网络安全具有的功能

3.1 身份识别。

身份识别是安全系统应具备的基本功能,身份识别主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现。

3.2 存取控制。

存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。

4.常见网络攻击方法

4.1 网络中的安全漏洞无处不在。即便旧的安全漏洞补上了,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。

第一:搜索

第二:扫描

第三:获得权限

第四:保持连接

第五:消除痕迹

4.2 网络攻击的常见方法。

(1)口令入侵

(2)电子邮件攻击

(3)木马程序

(4)漏洞攻击

5.网络安全应对策略

(1)使用防火墙软件

(2)提高网络安全意识

(3)隐藏自己的IP地址

(4)备份资料

(5)提高警惕

我国面对网络威胁采取的主要策略:

5.1 完善管理机制。

一个完善的计算机网络信息系统安全方案至少应该包括以下几个方面:访问控制、检查安全漏洞、攻击监控、加密、备份和恢复、多层防御、建立必要的管理机制。随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性显得十分重要。同时,计算机网络技术目前正处于蓬勃发展的阶段,新技术层出不穷,其中也不可避免地存在一些漏洞,因此,进行网络防范要不断追踪新技术的应用情况,及时升级、完善自身的防御措施。

5.2 逐步消除网络安全隐患。

(1)每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则。

第2篇

关键词:网络拓扑;防火墙;路由器;交换机;LAN;网络安全策略

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)24-5855-03

On the Hospital Network Security Policy

HUANG Shao-e

(Information Department of Songgang Hospital, Shenzhen 518105, China)

Abstract: Analysis on the main problem of network security before transformation of the system that we are facing and after transformation network security policy of our hospital. Information on network security system reform is necessary, the importance of its security system has become increasingly prominent, and computer information network technology is increasingly popular, all the insecurity of the network, such as:continuous spreading of computer viruses, hackers, hacking, data has been illegal manipulation, jeopardize network security, security system, hospital information strategy has become the process of building should not be ignored.

Key words: network topology; firewal; router; switch; VLAN; network security policy

随着医院业务的不断发展,其网络系统[1]也经历了多年的不断建设。在业务水平、网络规模不断提升的同时,网络也变得越来越复杂,而这种复杂对其安全性的挑战也是越来越严峻。OA业务系统对信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。医院计算机管理人员充分认识到了安全保证对于业务系统的重要性,采取了相应的安全措施,部署了一些安全设备发挥了积极的作用。但是安全的动态性、系统性的属性决定了安全是一个逐步完善的整体性系统工程,需要管理、组织和技术各方面的配合。安全源于未雨绸缪,随着安全信息建设的逐步深入,医院立足于当前系统环境,考虑到未来业务发展的趋势决定对系统进行安全体系建设。在2009年初计划投入建设我院信息安全保障体系[1-2],以增强我院的外网信息安全风险防范能力。

下面就我院网络改造前后安全问题进行浅谈。

1 我院网络未改造前现状系统安全风险分析

未改造前我院外部网络所面临的主要问题:所面临的主要问题可以细化为:① 员工有少数人上网进行BT下载,严重占用带宽,影响其他人的正常的互联网访问。② 内网机器感染了病毒,没有有效监控措施快速找到感染病毒的机器。③ 内网网络没有做安全隔离,服务器和客户端没有有效的隔离。④ 服务器区没有任何的安全防护措施,容易受到攻击。⑤ OA院内办公系统、数字多媒体图书馆等系统直接暴露于互联网,没有任何安全防护措施,很容易造成隐私信息的泄漏。

未改造前的网络状况拓扑结构如图1所示。

本单位办公楼层分布:十层楼门诊部(门诊办公+行政办公)、十层楼住院部、小楼层其他业务科室办公楼;

2 我院改造后的网络系统安全策略[2-3]

通过以VLAN(Virtual Local Area Network)方式的配置管理技术,在交换式以太网中,利用VLAN技术将由交换机连接成的物理网络划分成多个VLAN逻辑子网,实现不同网段逻辑隔离,按照楼层与科室类别和安全等级对计算机网络段实现分类管理,有利于网络的管理[4]和提高网络利用率。

2.1 硬件改造架设

在文中重点解说USG防火墙防御能力[5]的网络安全策略。此次改造增加的设备有:H3C S1526交换机、Cisco2800路由器和USG-600C防火墙。

2.1.1 USG防火墙的冗余措施

USG-600C防火墙作为网络接入的冗余措施[6],对数据流进行精细的控制。USG安全网关具有如下特点:1)完善的访问控制手段:IP地址过滤、MAC地址过滤、IP+MAC绑定、用户认证、流量整形、连接数控制等;2)IPS-坚固的防御体系;3)完善的攻击特征库:包括50多类,超过1800项的入侵攻击特征;4)漏洞机理分析技术,精确抵御黑客攻击、蠕虫、木马、后门;5)应用还原重组技术:抑制间谍软件、灰色软件、网络钓鱼的泛滥;6)网络异常分析技术:全面防止拒绝服务攻击;7)业界领先的网络防病毒技术:文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件;8)实用的流量监控系统NetFlow:历史带宽使用趋势分析、带宽应用分布、带宽使用实时统计、IP流量排名等;9)多种手段全面清除垃圾邮件:黑名单、白名单、可追查性检查、病毒扫描、附件类型和附件大小过滤、关键字过滤等;10)精确的抗DoS攻击能力:采用特征控制和异常控制相结合的手段,有效保障抗拒绝服务攻击的准确性和全面性,阻断绝大多数的DoS攻击行为;11)完善的P2P、IM、流媒体、网络游戏和股票软件控制能力;12)强大的日志报表功能:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录。

USG-600C防火墙支持IP与MAC地址绑定功能并提供了多种绑定手段[7],包括手动绑定,自动单主机绑定以及自动多主机绑定能力。其IP与MAC地址绑定功能值得一提,因ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问外网,让网关无法和客户端正常通信。分析其原理如下:假设这样一个网络,一个Hub或交换机连接了3台机器,依次是计算机A,B,C。

A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。

B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址。

欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的,也就是说虽然我们日常通讯都是通过IP地址,但是最后还是需要通过ARP协议进行地址转换,将IP地址变为MAC地址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误了,所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

解决ARP欺骗的办法就是进行IP与MAC地址绑定,由于每块网卡的MAC地址都是固定的,经过地址绑定后,IP地址就与计算机或用户(若每台计算机的用户固定)的对应关系就固定了。也就是说,只有特定的主机才能使用特定的IP地址,这就可以保证IP地址不被盗用,同时也加强了内部网络IP不被随便人为修改的计算机管理。

2.1.2 网络主干设置

核心H3C S1526交换机为网络的主负载,楼层中心交换机为辅,利用H3C S1526交换机来进行VLAN端口划分,划分了三个网络区间。这三个区间分别为VLAN 1、VLAN 2和两个VLAN的和集。第一区间为VLAN 1,连接DDN专线出口, 包含门诊部和住院部及其它楼层的独立网络段;第二个为VLAN 2,连接ADSL出口,该区间包含9楼行政办公的独立网段;第三个区间是前两个区间的和集,包含两个网络段,再细划分两个共享端口作为OA服务器端口。

下面来看一下C1526交换机上VLAN的三大网段划分如图2所示。

2.1.3 Cisco2800路由器设置

利用Console端口进行配置,其 Cisco2800路由器端口设置如下:

Building configuration...

Current configuration : 2355 bytes

version 12.3

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

hostname Router

boot-start-marker

boot-end-marker

logging buffered 51200 warnings

enable password ********

username cisco privilege 15 secret 5 $1$sSWy$k0lsLJFTmyqdIf0xToY05/

no network-clock-participate aim 0

no network-clock-participate aim 1

no aaa new-model

ip subnet-zero

ip cef

ip domain name

no ftp-server write-enable

interface GigabitEthernet0/0

ip address 192.168.1.1 255.255.255.0

ip nat inside

duplex auto

speed auto

interface GigabitEthernet0/1

ip address 10.1.1.1 255.255.255.0

duplex auto

speed auto

interface Serial0/1/0

ip address 102.105.101.102 255.255.255.240

ip nat outside

encapsulation ppp

ip classless

ip route 0.0.0.0 0.0.0.0 102.105.101.101

ip http server

ip http authentication local

ip nat pool NATOUT 102.105.101.102 102.105.101.102 netmask 255.255.255.240

ip nat inside source list 1 pool NATOUT overload

ip nat inside source static tcp 192.168.2.10 80 102.105.101.102 8080 extendable

access-list 1 permit 192.168.0.0 0.0.255.255

control-plane

banner login ^C

以上端口设置主要是完成OA服务器端口映射的功能,到此步就完成了整个网络硬件布置。下面就改造后的网络安全体系进行图解。

2.2 新规划改造后的网络安全体系拓扑

新规则的网络拓扑图如图3所示。

3 结束语

综上,网络安全是必须关注的问题,但如何在网络建设中对投入设备的选购是需要慎重考虑的。网络扩展包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展以及网络规划的扩展能力,非专业防火墙是万万不能选购,路由器和交换机也是要考虑其品牌和使用功能,作为一个规模经营医疗单位的信息管理员更是不能在选购硬件上少花功夫,既要保证最大的安全性,也要让网络在有限的条件下实施,从而做到资源上不浪费,技术上也不落后。

参考文献:

[1] 刘旭旭.医院计算机系统与网络的设备部署[J].现代计算机(专业版),2011,(Z1):106-108.

[2] 王颖,刘书恩.新医改下医院信息网络的建设[J].医学信息(中旬刊),2010(6):1581.

[3] 苗秋瑾.数字化医院的网络安全隐患与防[J].数字技术与应用,2009 (9):158-159.

[4] 朱彦斌.医院信息化网络建设与维护[J].医疗设备,2008(2):87-88.

[5] 沈永新.关于防火墙技术的研究与探讨[J].福建电脑,2011,(1).

[6] 孙兴文.个人防火墙系统架构设计与实现[J].电脑知识与技术,2009,(33).

第3篇

【关键词】网络信息安全;设计;管理策略

企业在发展的过程中,必然存在各种信息,有些信息可以对外公开公布,社会公众可以透过这些信息了解到企业的经营状况;有些信息则属于企业的机密,只有授权范围之内的少数人才能够了解,因为它关系着企业的生死存亡。随着计算机技术、网络技术、通讯技术的飞速发展,使信息的处理与传递以前所未有的速度进行。企业想要在利用计算机网络化提高自身管理水平的同时,保证信息安全,就必须对企业的网络信息安全系统进行设计与规划,科学构建安全访问系统,以此来提高网络信息安全。

一、威胁网络信息安全的因素

随着计算机网络技术的不断提高,非法访问、密码窃取以及恶意攻击等安全威胁的手段也在不断升级。这也在客观上需要企业提高网络信息安全设计水平,VPN、杀毒软件、数据加密、身份认证以及防火墙技术在企业中得到推广使用,在网络信息安全系统构建上起到了一定的效果,但是这些产品的功能相对分散,相互的关联性并不高,整体效益并不是十分理想。

(一)计算机病毒

计算机病毒是指编程人员在计算程序中插入一些能够破坏计算机功能的数据,它能够使计算机无法进行正常使用,并且能够进行自我复制的计算程序代码或者计算机指令。计算机病毒不能够独立存在,它只能够寄生于其他程序里面,具有传染性、隐蔽性、破坏性的特点。随着计算机网络技术的飞速发展,病毒种类在不断升级。当今世界上的计算机活体病毒的各类,已经达到了14万之多,传播途径主要有硬盘、电子邮件以及依附于各种下载软件之中。携带病毒的计算机只要运行时,满足了病毒制造者预设的条件,那么计算病毒就会爆发,轻者文件丢失、运行速度减慢,重者则导致系统瘫痪、硬件损坏。比如图一,为CIH病毒发作时的情况。

(二)黑客攻击

提起黑客,我们都不陌生,他们是一些热衷于研究、编写程序的专才。其中有些人利用掌握的知识推动计算机网络技术的发展,但是也有一些人则利用这些技术罪犯,获取不正当利益,比如进入2002年,网络犯罪分子开始采用DDOS的手法对服务系统进行攻击,干扰在线商务。在宽带网络环境下,常见的攻击方式主要有以下两种:一是黑客发动的,针对网络设备与网络服务的DDOS攻击;二是利用蠕虫病毒进行攻击,从而造成网络流量迅速增加,最终导致计算机网络设备彻底崩溃。DDOS的攻击对象主要有域名服务器、网页服务器以及邮件服务器,一旦受到DDOS的攻击,服务器则会被来自四面八方的海量信息所淹没。网络黑客的目的就是用大量的垃圾信息来阻碍服务器的正常对信息的处理,然后借机切断攻击目标的对外连线。黑客经常把网络与“僵尸电脑”相连,然后将大量的查询要求传送到开放的DNS服务器中,这些查询信息则会伪装成被海量信息攻击的目标传出,所以DNS服务器会把回应信息传到相应的网址上去。传统的身份认证,外来攻击者只是凭借获取有关用户身份凭证,就能够以任何一台设备而进入网络。就算是最严密的认证系统也很难对网络信息安全进行保护。除此以外,企事业单位的员工能够通过任意一台没有经过确认设备,以有效身份凭证进入网络系统,导致木马程序、间谍软件等恶意程序入侵系统,对网络信息安全系统产生了严重威胁。

(三)协议设计上存在着缺陷

互联网是建立在TCP/IP协议上的,这一协议在设计之初更偏重于效率,而忽略了安全因素,因此TCP/IP在设计之初,就存在一定的缺陷。

1.安全策略不严谨。很多站点在防火墙的配置上增加了访问的权限,没有考虑到这些权限可能被人利用,比如内部员工滥用权限,无意中为黑客留下了线索,一旦黑客入侵,网络维护人员往往毫无察觉。

2.信息容易被人窃取。多数企业互联网上的流量都是没有经过加密的,这就使文件在传送的过程中很容易被人窃取。而且基于TCP/IP协议的很多应用服务都不同程度的存在一些安全问题,很容易被人利用。

3.配置过于复杂。访问控制的配置通常是十分复杂的,这就非常容易造成配置上的错误,而形成了安全隐患。目前,银行之间在数据传输的过程中,所采用的协议均是保密的,这就提高了安全性,防止网络黑客的入侵。当然,现阶段我们还不能将TCP/IP与其实现代码进行保密处理,因为这将不利于TCP/IP网络的发展,但是银行的这种处理方式可以为我们网络信息安全系统的设计拓宽一些思路。

二、网络信息安全设计及管理策略

(一)网络与系统安全的设计

网络与系统安全的设计可以采用NetScreen-208防火墙设备,这种设备是当前国内市场上功能较为齐全的防火墙产品,它包括了8个自适应10/100M以太网端口,这些端口能够把网络划分成为多个区域,从而把需要保护的区域与潜在的相分离,在与网络设备进行连接时,这个设备的端口1与内部网的主交换机相连接,而端口2则与DMZ区相连接,端口3与因特网的路由器相连接。

杀毒软件可以采用瑞星网络版软件,这一软件具有网络管理功能,它主要是通过一个控制中心在整个网络的内部实现远程报警、智能升级以及远程管理等功能,有效的监管病毒入口如图二。

(二)服务系统的设计

企业的内部网站与数据库服务系统,依据信息的秘密等级,主要分成应用与非应用两种,同样它们所依赖的服务器也可发分成与非两类。正如笔者描述的,服务器主要处理的是信息,而非服务器主要处理的是非信息。从安全等级考虑,服务系统应该是企业的重点保护对象。因此,我们可以在服务器前配置相应的安全网关,其设计如图三。

用户在访问频密信息时,主要是基于HTTP协议,用户在通过安全网关认证之后,依据使用权限的不同,访问的内容也有所区别。用户在访问非信息时,同样是基于HTTP协议,但是能够直接进入非服务器而获取信息。

安全网关是服务器的关口,同时也是用户网络身份认证的中心,用户和服务器之间并没有直接的相连,这就有效避免了黑客对服务器的进攻,保证了信息的安全。

(三)访问权限管理

在网络信息安全系统中设置用户角色、用户等级、用户权限等字段,加强访问权限的管理与控制,并将数据信息根据企业的实际需要,划分为不同的等级阶段;根据实际用户的岗位设置划分为不同的角色,网络信息管理人员授予不同操作权限,划分到不同的虚拟局域网之内,形成不同的安全区域。

用户则通过网络查询系统的有关信息,使用HTTP协议与安全网关相连接,经过身份认证之后,再与服务器相连接,最后进行应用系统。用户在获取信息时,由应用系统依据用户的角色、权限进行相应的限制。

(四)对传递的数据进行加密

企业使用安全网关以后,与SSL建立通道,在这一安全通道上对用户与服务器之间传输的数据信息进行加密,保证机密信息不会被泄露。加密的算法可以由用户自己进行选择,这就增加了系统的灵活性,可以满足不同权限等级用户的需要。

三、总结

综上所述,随着我国市场经济的快速发展以及计算机网络技术的普及,信息充斥着社会的每一个角落,不但真假难辨,其中还隐藏着某种威胁。现阶段,影响我国网络信息安全的因素有很多,比如计算机病毒;黑客攻击;协议设计上存在着缺陷等等,而实现信息安全的设计也有很多,企业需要根据自身的发展的现状,选择相应的信息安全设计方案,相信通过我们的共同努力,网络信息安全的管理与设计必将会翻开崭新的一页。

参考文献

[1]苏玉召,赵妍.计算机网络信息安全及其防护策略的研究[J].计算机与信息技术,2006(05).

[2]戴启艳.影响信息系统安全的主要因素及主要防范技术[J].中国科技信息,2010(06).

[3]林柏钢.网络与信息安全现状分析与策略控制[J].信息安全与通信保密,2005(07).

[4]南溯.浅议计算机网络维修和管理[J].电脑编程技巧与维护,2010(04).

[5]张东生.计算机网络安全技术与防范策略探析[J].电脑编程技巧与维护,2011(02).

[6]朱燕.虚拟机技术在计算机网络安全教学中的应用[J].电脑知识与技术(学术交流),

第4篇

关键词:网络安全 计算机网络 安全防范

基于此,网络安全问题就成了人们备受关注的重要课题。从其本质上来看,计算机网络安全也即是确保网上的各信息资源的安全,网络安全从某种意义上来说就是指网络信息安全,也即是指网络系统中流动及保存的各种数据资源信息不被恶意的泄漏和破坏。网络上各种数据资源信息时网络中最宝贵的资源,然而很多不法分子就是通过各种网络途径窃取相应的网络信息资源、泄漏信息、进行一些有害信息的传播等违法行为。而计算机网络安全也即是指通过一定的控制手段和管理方法,对网络上的信息及网络自身进行保护措施,以此来实现网络信息的安全级网络各服务的正常运行;安全可靠的计算机网络必须具备可靠性、保密性、完整性和可用性4个基本特点。

1、计算机网络系统中的安全威胁

由于大型网络系统中由多种网络协议支持,如TCP/IP、IPX/SPX等,而这些网络协议并非网络系统中专门为安全通讯而设计。因此,网络运行中可能存在以下两种网络安全威胁:(1)网络中的设备安全威胁;(2)网络中信息的安全威胁。计算机网络系统安全威胁因素有很多,这些因素有可能是无意的,但也有很多因素是人为的、有意的;也有可能是外来黑客对网络系统资源的非法使用所造成。对其归纳分析可知,对网络安全运行的主要安全威胁有以下几方面:

1.1 人为无意失误造成的安全问题

如操作人员在进行网络安全配置中,出现的不当操作从而造成的网络安全漏洞,引发的各种安全威胁,如用户口令选择不慎,用户的安全意识淡薄,用户随意将自己账号信息转接他人等,都会给网络运行带来一定的安全威胁。

1.2 人为恶意攻击造成的安全问题

这是计算机网络运行中面临的最主要的安全威胁,计算机犯罪和敌手攻击均属于人为的恶意攻击。该类攻击同时可以分为主动攻击和被动攻击两类,主动攻击也即是有选择性的破坏信息的完整性和有效性;被动攻击也即是在不影响网络正常运作的情况下,安装一些监控装置或窃听装置到计算机用户上,来实现对网络中的计算机的非法监听或扫描,以此来破译、窃取或截获用户的重要信息资源。这两种攻击均会对计算机网络产生极大危害,甚至导致机密数据的丢失和泄漏。

1.3 网络软件自身的漏洞

网络软件自身的缺陷和漏洞也是网络安全运行的最大隐患之一,这些漏洞和缺陷同时也是黑客攻击的首选目标,从以往发生的黑客攻击网络内部的事件我们不难看出,多数事件均是因为其自身安全措施不当引发。如微软的Windows,2005年7月公布的严重威胁用户安全的两款漏洞,了“高危”级别的安全警告。其中的一处安全漏洞存在于Windows上的色彩管理模块(Color Management Module)上,另一处漏洞则存在于微软Java虚拟机上的JView Profiler部分。这些攻击弱点都可以使黑客轻易操纵用户电脑。黑客通过利用Windows上JView Profiler漏洞,把恶意代码下载并安装到用户的机器上,使黑客对被黑机器实施远程控制,使受危害的机器成为botnet(僵尸网络)中的一个部分。再如,2011年不断爆出的数据泄露事件。4月份开始索尼遭遇的黑客事件,直接导致其在线PlayStation网络中7700万客户的信息,包括信用卡账号被窃,损失1.7亿美元等,均让我们看到网络软件自身的缺陷和漏洞不容小觑。

2、计算机网络安全的防范策略分析

通过以上分析,笔者以为,网络安全的防范其主要目的应以隔离不安全网络与不信任网络为主,同时对他们的访问进行严格控制。基于此,可通过提供防火漆系统,作为访问控制设备,来实现与不安全网络与不信任网络的隔离。

防火强本身的特点,决定了它配置位置应处于两个不同网络之间的连接处,使之成为两个网络间唯一的访问通道,这样一来,所有进出它的数据都需要经过防火墙进行检验和过滤,以此来真正的发挥防火墙的功能。

以下以某学校的校园网为例,简单阐述防火墙系统在计算机网络安全中的建设方案。结合校园网的特点,首先在路由器和中心交换机间放置阿姆瑞特防火墙(阿姆瑞特F300防火墙拥有5个接口),同时将学校对外服务器放置于防火强的其它接口上,以此在保障各服务器安全的同时保,还保障了网络的带宽。通过在防火墙上设置不允许Internet 用户访问该校内部网,使得该校园网络更加安全合理。其具体配置可参照图1所示:

除了做好防火墙系统的配置以外,计算机自身还应定时的进行安全扫描。一般情况下,计算机网路用户会以出现问题解决问题的态度来对待计算机网络出现的安全问题,这是一个极为不好的习惯,计算机网络用户应养成定期的系统扫描和全盘扫描的习惯,定期检测计算机网络各部分的运行状况,以便及早发现问题,及早给予处理。

同时,还应设置网络病毒防范技术。病毒作为计算机网络中最常见的安全威胁,对计算机网络进行保护就必须适当增加网路杀毒软件,通过安装各种杀毒软件实现对计算机网络的实时保护,以此来将网络威胁降低到最小程度。部分用户会因为觉得麻烦而不选择安装杀毒软件,这样一来很容易给病毒营造一种畅通无阻的环境,病毒会随着浏览网页或下载资料资源等入侵到本地计算机网络系统,进而给正常的网络访问带来影响。因此,笔者以为无论是单位计算机网络还是小型的家用计算机网络中的计算机均应安装一定的杀毒软件,以此来启动本地计算机的防护功能。

参考文献

[1]李明革,杨亚洲,姜占华.园区网络故障分析及解决措施[J].吉林大学学报:信息科学版,2008(4):102-103.

[2]孙全尚,孙书双.浅析计算机网络安全及防范技术[J].科技创新导报,2008 (28):56-58.

第5篇

关键词:网络信息安全;防护策略;满意度

选题依据和背景情况:在现今信息化时代,网络安全已经成为越来越重要的课题。对我国网络信息安全防护策略在世界市场上的影响做一个系统的评估,能对我国网络信息安全防护策略现在的整体水平有一个具体的把握同时研究如何去提升做的更好的方法。

1我国网络信息安全防护策略发展现状及存在的问题

我国网络信息安全对于网络信息安全防护策略的重视度不足,甚至部分网络信息安全认为,网络信息安全防护策略可有可无,因此并未将网络信息安全防护策略纳入到网络信息安全运转日程当中。就我国网络信息安全目前情况而言,其网络信息安全防护策略还存在较多的问题,还要全面提升网络信息安全竞争力,扩充消费群体,就需要对所存在的问题进行一一梳理。

1.1存在独立性,信息不能共享

市场网络信息安全防护策略存在独立性,并且其市场网络信息安全防护策略是不同共享的。网络信息安全中不同业务部门所拥有的市场网络信息安全防护策略是不能够共享的,这样就造成了网络信息安全的工作滞怠,无法为客户提供完整性的服务。这样不仅会造成客户资源的流失,而且也严重滞怠了网络信息安全的工作效率与工作质量。因为大数据时代的到来,为网络信息安全需要提供了非常好的市场发展机会。而在未来三年到五年的时间里,网络信息安全也应该更加重视大数据时代带给互联网领域的市场网络信息安全防护策略。伴随而来的挑战,也将大数据时代网络信息安全之间的竞争推向了。一旦有哪一家网络信息安全不能够在大数据时代的数据流中,选择到具有重要价值的市场网络信息安全防护策略,并且对市场网络信息安全防护策略进行系统的管理,那么就会与其他的网络信息安全之间的差距越来越大。因此,如何有效的从大数据时代的数据流中,筛选出具有价值的市场网络信息安全防护策略,对市场网络信息安全防护策略进行系统、全面的管理,并且将其转化为网络信息安全的市场核心竞争力,就是网络信息安全必须加以重视的地方。

1.2网络信息安全防护策略人才缺乏,信息监管工作不明确

根据信息化时代的基本特点来看,可以明显了解到,市场网络信息安全防护策略发展的如此迅猛,数据量呈现爆炸式的增长趋势,其管理技术必须要做到与时俱进,才能更加顺应信息化时代的数据流的发展需求。也因为互联网领域各大网络信息安全需要对市场网络信息安全防护策略的高速发展,奠定市场网络信息安全防护策略技术基础,所以对网络信息安全防护策略的技术人才的需求较大。而对于网络信息安全而言,最为重要的市场网络信息安全防护策略就是市场网络信息安全防护策略,如何对市场网络信息安全防护策略进行系统、完善的管理,将会直接影响到网络信息安全的未来发展。但是就目前的形势而言,互联网领域网络信息安全的客户关系的管理技术人才十分有限。几乎不能满足互联网领域对于网络信息安全防护策略人才的需求,而这也直接影响到了网络信息安全的网络信息安全防护策略效率及质量。并且,网络信息安全的客户关系监管工作也具有一定的有限性。例如在信息化时代的互联网领域环境下,网络信息安全必须对市场网络信息安全防护策略监管工作进行有效性的提升。因为信息化时代下的网络信息安全必须对市场网络信息安全防护策略进行系统的保密监管,防止外流出来,否则,后果将不堪设想。

2网络信息安全防护策略发展对策分析

根据上一章的网络信息安全防护策略问题的梳理,本章提出了针对性的对策,以此来解决网络信息安全网络信息安全防护策略问题。

2.1将市场网络信息安全防护策略进行整合管理

网络信息安全需要将各个业务部门的市场网络信息安全防护策略进行整合性的管理,由此来提升网络信息安全服务体系与业务项目的制定,从而将网络信息安全的工作被动性状态转换为积极性状态。网络信息安全的市场网络信息安全防护策略进行整合性的管理,能够全面的提升网络信息安全的工作效率与工作质量,与此同时,能够让客户满意度提升,提升客户忠诚度,从而为网络信息安全有效的保留客户资源。

2.2加强网络信息安全防护策略人才的培养

在对市场网络信息安全防护策略进行整合管理的过程中,还需要加强网络信息安全防护策略人才的培养。就目前网络信息安全的网络信息安全防护策略人才数量的状态来看,互联网领域整体呈现出对网络信息安全防护策略人才求过于供的现象,可见网络信息安全防护策略人才的培养对于网络信息安全发展的重要性。面对如此庞大的市场网络信息安全防护策略量,这对于网络信息安全的存储与分析信息技术的要求非常高。但是伴随着网络信息安全对于市场网络信息安全防护策略的存储与分析技术人才的需求越来越多,市场网络信息安全防护策略的存储与分析技术人才群体显得供不应求。而网络信息安全信息管理部门不仅要为网络信息安全招募合适的网络信息安全防护策略技术人才,而且还需要规划一笔款项,来专门用作培养市场网络信息安全防护策略技术人才的经费。这样不仅能够为网络信息安全自身提供充足的市场网络信息安全防护策略存储与分析技术人才,而且还能建立网络信息安全市场网络信息安全防护策略存储与分析技术员工的忠诚度。显然,巨大的市场网络信息安全防护策略量是需要先进的市场网络信息安全防护策略存储与分析技术来帮助储存的。如果不能对庞大的数据量进行合理、系统的处理,那么将会为网络信息安全带来许多不便之处,甚至会直接影响到网络信息安全的内部经营管理与外部市场发展。不仅如此,网络信息安全信息管理部门也需要对其他各部门做出系统的市场网络信息安全防护策略培训规划,为的就是全面提升网络信息安全上下员工对于互联网领域市场网络信息安全防护策略的敏锐度,从而有效的掌握对网络信息安全最具价值的市场网络信息安全防护策略。而网络信息安全防护策略与分析的价值,就在于对有效的市场网络信息安全防护策略进行激活、归纳与重复利用。所以,网络信息安全市场网络信息安全防护策略的分析管理技术是需要保持在互联网领域前沿水平的,如果不能提供熟练且先进的网络信息安全防护策略分析技术,那么其综合竞争力就会大大落后于互联网领域的其他网络信息安全。

3探析网络信息安全防护策略的发展前景

在新经济时代,网络信息安全的整体质量如个人素养提升一般关键,并且成为了网络信息安全提升市场竞争力的重点所在。面对新市场的挑战,网络信息安全应该学会如何对待不同背景、类型的客户,并且通过网络信息安全防护策略来建立网络信息安全客户群,与现代化的管理思想及方式相结合,有效整合网络信息安全资源。网络信息安全防护策略的出现真正使网络信息安全能够全面观察客户资源,将网络信息安全管理趋于信息化,有效加强网络信息安全竞争力。

4结语

在当代互联网领域发展中,网络信息安全网络信息安全防护策略系统的制定与执行工作非常重要。而就互联网领域各大网络信息安全目前的网络信息安全防护策略现状来看,虽然网络信息安全的产品营销模式及网络信息安全运营流程等都已趋于稳定,但是在网络信息安全防护策略上仍然存在一定的问题。并且在其网络信息安全防护策略的目标市场的挖掘上,还有一定的潜力空间。应该正视网络信息安全防护策略问题,并且制定及时的解决方案,才能保证谋求到更好的发展未来。

参考文献:

[1]杨二宝.关于加强企业应收账款管理的思考[J].特区经济.2013(07):233-234.

[2]李峰,王全弟.美国应收账款担保制度及其对我国的启示[J].复旦学报:社会科学版.2011(04):102-110.

第6篇

关键词:计算机;网络安全建设;安全技术;策略

中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-01

Computer Network Security Construction and Security Technology Strategies Analysis

Yue Huiping,Liu Guang,Liu Jianping

(Liaoning University of Traditional Chinese Medicine Information Engineering,Shenyang 110847,China)

Abstract:With the computer technology and communication technology in all aspects of social life,the extensive application of computer network security issues and more and more prominent.This definition of network security from the start,details the threat to computer network security considerations,and proposed technical and management aspects of the corresponding preventive measures.

Keywords:Computer;Network security building;Security technology;

Strategy

计算机网络安全技术代表着一个国家的综合国力,它已经渗透到各行业的生产管理、经营管理等多个领域,但由于其自身的特点,使得网络容易受到攻击,给共享数据的安全造成了威胁,鉴于此,建设安全的计算机网络迫在眉睫,只有针对不同的威胁或攻击采取行之有效的安全技术策略,才能确保网络信息的保密性、安全性和可靠性。

一、计算机网络安全的定义

信息网络技术的应用领域愈来愈广泛,这体现在它以往的应用领域局限于传统的、小型业务系统,而如今它的应用领域已被扩展到大型、关键业务系统,其中主要包括党政部门信息系统、金融业务系统、企业商务系统等。随着计算机和网络技术在社会生活各方面应用的深入,安全已逐渐成为影响网络效能的重要问题,Internet所具有的特点(开放性、国际性以及自由性),使得在Internet的应用自由度增加的同时,给安全性带来了更大的挑战,这具体表现在如下几个方面:

第一,网络的开放性特点,致使网络技术的全开放,这使得网络技术可能被任何一个人或者是团体拥有,以至于网络可能面临多方面的破坏和攻击,比如说这攻击可能来自于物理传输线路,也可能来自于网络通信协议及实现;第二,网络的攻击可以从软件下手,也可以从硬件下手;第三,由于网络的国际性特点,导致了网络的攻击从本地网络用户扩展到了Internet上的任何一个机器,这就意味着网络安全所面临的挑战已经国际化了。

计算机网络的发展对政府机构以及企事业单位来说是革命性的改革和开放,有助于办事效率以及市场反应能力的提高,从而提高竞争力,还有助于从异地取回数据,同时计算机网络开放带来的数据安全的新挑战和新危险也是不可避免的。对政府机构、企事业单位而言,如何防止机密信息受黑客和间谍的入侵,已成为信息化健康发展面临的巨大挑战。

二、计算机网络安全建设面临的威胁

(一)病毒的入侵。随着计算机技术的飞速发展,计算机网络的应用日益广泛,计算机病毒也在不断地发展,病毒先是进入计算机系统,然后它可能会通过软盘、移动磁盘、光盘或网络等途径来破坏其他的计算机系统。最有效的计算机病毒防治方法是以预防为主,这是由于经过网络传播的计算机病毒可以在极短的时间内迫使整个计算机网络陷入瘫痪状态,会使计算机网络蒙受巨大的损失。相对于病毒入侵后再去检测和清除来说,防止病毒入侵更重要,因此应该把防止病毒的重点放在预防上。

防治病毒入侵的有效方法主要有三种:一是消灭传染源;二是保护易感部分;三是堵塞传染途径。计算机病毒有一定的相同之处,它们有着大致相同的传播途径,尽管它们的种类很多,要想防止病毒的入侵,只要把好关口就行了。

(二)来自于人的威胁。有一种网络用户被成为黑客,由于这种用户本来就是水平很高的程序员,所以他们得以通过用不正当的手段窃取计算机网络系统的口令和密码,来达到非法进入计算机网络的目的,通过入侵计算机网络来进行各类破坏行为。但也不排除这几种情况:一是没有意识到系统维护引起的隐患;二是由于网络配置不当引起的非法授权访问;三是擅自离开工作岗位或者没有进行定期检查。

(三)设备老化和系统漏洞。黑客可以通过远程监控硬件设备来攻击电脑,这是由于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等造成了设备的缺陷,而这些缺陷给了黑客可乘之机。没有哪个操作系统或网络软件是毫无瑕疵的,它们都存在安全漏洞,而计算机病毒和木马一旦有机会便会利用这些有安全漏洞、连接入网的计算机。

三、计算机网络安全技术策略

(一)采用访问控制的策略。访问控制策略是网络安全防范和保护所采取的主要策略,它可以防止网络资源被非法访问或使用,它可以说是保证网络安全最关键的策略之一。访问控制策略主要包括以下三种:

第一,属性安全控制。属性安全控制可以进一步地保证用户的安全,它可以和网络设备、计算机网络服务器的文件与目录以及制定的属性联系起来。

第二,防火墙控制。它被称作控制进出口两个方向通信的门槛,它的目的是保护计算机网络安全,它的主要任务是对访问计算机网络安全的黑客进行阻止。现在的防火墙以过滤防火墙、防火墙以及双穴主机防火墙这三种为主。

第三,入网访问控制。入网访问控制可以有效地抑制非法访问,它是计算机网络访问的第一层访问控制。它控制能够登录到服务器且获取相应网络资源的用户、入网的时间、哪台工作站被允许入网。

(二)采用安全隔离技术。有一种全新安全防护理念叫做“安全隔离技术”,它有保护高安全度网络环境的作用,它是随着网络攻击手段的不断翻新和高安全网络的特殊要求而出现的,它的目标是完成网络间信息的安全交换(在保证把有害攻击隔离在可信网络以外,并确保没有外泄可信网络内部消息的情况下)。

(三)采用物理安全防护措施。物理安全的作用主要表现为这几点点:一是明确用户的使用权限和身份,从而防止一些非法用户进行越权操作;二是将一个合适的电磁兼容工作环境提供给计算机网络;三是制定完善的安全管理制度,以防止各种偷盗及破坏活动在计算机系统里发生。它的目的是防止计算机硬件(如网络服务器、打印机以及通信链路)设备遭遇破坏、攻击或自然灾害。防止并抑制电磁泄漏是当前物理安全策略急需解决的一个问题,对传导发射的防护和对辐射的防护是防止和抑制电磁泄漏的关键防护措施。

参考文献:

[1]张婧,付玮.浅谈计算机网络安全与入侵检测技术[J].科技广场,2010,03

[2]周明.图书馆计算机网络安全策略探讨[J].电脑知识与技术,2010,12

第7篇

关键词:网络;安全性;系统;策略

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011)05-0000-01

On the Computer Information Network Security Policy

Tong Wenbin1,Zhang Ying2

(1. Hebei Iron and Steel Group, Tangshan Iron and Steel Ministry of mobile devices,Tangshan063000,China;2. Department of Tangshan Municipal People's Hospital charges,Tangshan063000,China)

Abstract:In recent years, computer information network development, informatization development has become a social development of a big trend. Computer is widely applied to daily work and life of every field, but because the computer network openness, the exposure strong sexual characteristics, very vulnerable to a network hacker, network viruses and other malicious software, but following the attack, computer network security has also been unprecedented threats.

Key words: network, security, system, strategy

计算机信息网络安全离不开网络安全技术,网络安全技术无论是在局域网还是在广域网中,都存在着诸多因素的安全威胁,如何确保网络信息的保密性、完整性和可用性成为当前必须要解决和长期维护必要的课题。

一、影响计算机网络安全的主要因素

(一)网络系统在稳定性和可扩充性方面存在。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。

(二)网络硬件的配置不协调。一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。(三)缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。(四)访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。(五)管理制度不健全,网络管理、维护不力。

二、计算机网络的安全策略分析

随着计算机系统功能的不断完善,网络体系化不断加强,人们对网络的依赖越来越强,网络对人们的生活产生了巨大的影响,提高计算机网络的防御能力,增强网络的安全措施,已成为当前急需解决的问题。

(一)计算机网络安全的物理安全特性

物理安全是计算机安全的前提,是指计算机存在的环境和操作基本要求,包括自然环境,使用环境,关联环境等,自然环境是要求设备在天灾因素下的保护设施要求,更多的是考虑由于自然环境的变化引起的不必要的其他损害;使用环境强调的是建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生,更加防止计算机人为操作带来的破坏和搭线攻击,验证用户的身份和使用权限、防止用户越权操作;关联环境强调的是确保计算机系统有一个良好的电磁兼容工作环境,打印机、扫描仪、关联设备的安全。

(二)控制访问策略

控制访问是网络安全防范和保护的主要策略,目的是保证计算机正常使用,网络资源不被非法使用和非常访问。也是维护网络系统安全、保护网络资源的重要手段,控制访问可以说是保证网络安全最重要的核心策略之一,只有电脑操作者严格控制访问限制,保护自己的网络网络安全是没有问题的。

一是限制入网访问权利。入网访问控制是网络安全第一道防线。用户名或用户帐号是所有计算机系统中最基本的入网许可证据,是最安全形式之一。它控制一些用户能够登录到服务器并获取网络资源,控制一些用户入网的时间和准许他们在哪台工作站入网等。用户可以修改自己的口令,但系统管理员可以控制口令的最小长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数等。

二是文件目录属性级别安全设置。当文件、目录和网络设备在网络系统管理员赋予一定的指定访问属性后。用户的权限被限制在对所有文件和子目录有效,还可进一步对指定目录下的子目录和文件的权限进行控制。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性,来抵御来自各个方面的网络破坏。

(三)网络信息安全的技术保障策略

不安全的网络一旦遭到恶意攻击,将会造成巨大的损失。目前,适应各个行业和不同用户的网络软件技术措施仍是最直接、最常用和有效的的网络屏障,也是最有效的保护措施,下面就基本的措施做简单总结。

一是采用先进的密码技术。密码技术体现在网络使用者身上有加密需要,还要有解密技术。加密是网络与信息安全保密的重要基础,是防止被破坏网络的有效措施。它是将需要保护的对象采用一些既定方式进行某种编排和篆写,形成独又的一种密文,保护自己的产品不被攻击。解密则是将加密技术的一种还原,根据加密过程的倒退来还原软件本身的一种过程,也是网络安全最容易被切入的环节。目前,已成熟的加密方法有很多,如替换加密、移位加密、一次性密码本加密、序列密码加密等等措施。

二是进行数字签名确认。对于网络上自由传输的电子文档,完全可以使用数字签名的方法来实现传输内容的确认。数据签名一般采用不对称加密技术,通过双方认可或者约定的认可来证明身份的真实性,来确保文件传输的有效性和合法性,杜绝因此产生的流氓、抵赖、交换等行为的发生。

三是网络信息的鉴别。鉴别的目的是验明用户或信息的正确性。对实体的身份进行惟一识别,以便验证其访问请求的唯一性,或保证信息来源以验证消息的完整性,有效地对抗非法访问、冒充、重演等威胁。

建立安全管理制度,提高包括系统管理员和用户在内的人员的技术素质和职业道德修养,对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。

参考文献:

[1]孟祥初.网络安全重在流程[N].通信产业报,2007

第8篇

关键词:医院;信息化;网络;安全

中图分类号:TP309.2

随着医改的不断深入,借助信息化提高医院的管理水平和服务质量已成为大势所趋,伴着网络技术的迅猛发展,Web化应用呈现出爆发式增长趋势,一方面,增强了各行业及部门间的协作能力,提高了生产效率,另一方面也不可避免的带来了新的安全威胁。从国家到地方,卫生行政主管部门非常重视医院信息安全,与公安部门联合发文,要求医院完成等级保护工作。

1 我院网络安全建设现状

1.1 医院信息系统现状

我院的信息信息系统主要有:医院信息管理系统(HIS)、医学影像信息系统(PACS)、临床实验室检验信息系统(LIS)、电子病历系统(EMR)、手术麻醉信息系统(AIMS)、医院办公自动化系统(HOA)等。随着各系统应用的不断深入,以及这些系统与医保、合疗、健康档案、财务、银行一卡通等系统的直连,安全问题已越来越突显,网络安全作为信息安全的基础,变得尤为重要。

1.2 网络安全现状与不足

1.2.1 网络安全现状

(1)我们采用内外网物理隔离,内网所有U口禁用。对开放的U口通过北信源的桌面管理软件进行管理;(2)内外网都使用了赛门铁克的网络杀毒软件,对网络病毒进行了防范;(3)与外部连接。

内网与省医保是通过思科防火墙、路由器和医保专线连接进行通信;与市医保是通过联想网御的网闸、医保路由器与医保专线连接进行通信;与合疗及虚拟桌面是通过绿盟的下一代防火墙与互联网进行通信;与健康档案是通过天融信的VPN与互联网进行通信的。另外,内网与财务专用软件、一卡通也是通过网闸及防火墙进行通信的。

另外,我们有较完善的网络安全管理制度体系,这里不再赘述。

1.2.2 网络安全存在的问题

(1)由于医院信息系统与外部业务连接不断增长,专线与安全设备比较繁杂,运维复杂度较高;(2)通过部署网络杀毒软件及安全设备,虽然提升了网络的安全性,但却带来了系统性能下降的问题,如何在不过多影响整体网络性能的前提下,又可以完善整网的安全策略的部署,是后续网络优化所需要重点关注的;(3)终端用户接入网络后所进行的网络访问行为无法进行审计和追溯。

2 医院网络层安全策略部署规划

在等级保护安全策略指导下,我们将整个医院的安全保障体系设计分为安全管理体系建设和安全技术体系建设两个方面,其中安全技术体系建设的内容包括安全基础设施(主要包括安全网关、入侵防护系统、安全审计系统等),安全管理体系建设的内容包括组织、制度、管理手段等。通过建立医院安全技术体系、安全服务体系和安全管理体系,提供身份认证、访问控制、抗抵赖和数据机密性、完整性、可用性、可控性等安全服务,形成集防护、检测、响应于一体的安全防护体系,实现实体安全、应用安全、系统安全、网络安全、管理安全,以满足医院安全的需求[1]。

在这里,我主要从安全技术体系建设方面阐述医院网络层安全策略。

网络层安全主要涉及的方面包括结构安全、访问控制、安全审计、入侵防范、恶意代码防范、网络设备防护几大类安全控制。

2.1 安全域划分[2]

2.1.1 安全域划分原则

(1)业务保障原则。安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率;(2)适度安全原则。在安全域划分时会面临有些业务紧密相连,但是根据安全要求(信息密级要求,访问应用要求等)又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分,还是合并安全域以满足业务要求?必须综合考虑业务隔离的难度和合并安全域的风险(会出现有些资产保护级别不够),从而给出合适的安全域划分;(3)结构简化原则。安全域方法的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难;(4)等级保护原则。安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级安全环境安全策略等;(5)立体协防原则。安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路网络主机系统应用等层次;同时,在部署安全域防护体系的时候,要综合运用身份鉴别访问控制检测审计链路冗余内容检测等各种安全功能实现协防;(6)生命周期原则。对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。

2.2.2 区域划分

业务网内部根据业务类型及安全需求划分为如图1所示的几个个安全区域,也可以根据医院自己的业务实际情况,添加删减相关的安全域,网络规划拓扑图[3]如下:

图1

(1)外联区:主要与医保网、外联单位进行互联,此区域与数据中心核心交换机互联;在外联区接入处部署防火墙、IPS、硬件杀毒墙,也可以部署下一代防火墙产品,添加IPS功能模块、杀毒功能模块,通过防火墙、IPS、杀毒进行访问控制,实现安全隔离;与数据中心核心交换机处部署网闸设备,实现物理隔离;(2)运维管理区:主要负责运维管理医院信息化系统,此区域与数据中心核心交换机互联;在运维管理区与核心交换机之间部署堡垒机(SAS-H),对运维操作进行身份识别与行为管控;部署远程安全评估系统(RSAS),对系统的漏洞进行安全评估;部署安全配置核查系统,对系统的安全配置做定期检查;部署日志管理软件,对网络设备、安全设备、重要服务器的日志做收集整理和报表呈现;部署网络版杀毒系统,与硬件杀毒墙非同一品牌;部署网络审计系统,对全网所有用户行为进行网络审计;部署主机加固系统,对重要服务器定期进行安全加固,以符合等保的安全配置要求;(3)办公接入区:主要负责在住院部大楼、门急诊楼、公寓后勤楼等办公用户的网络接入;接入汇聚交换机旁路部署IDS;与核心交换机接入采用防火墙进行访问控制;重要办公用户安装桌面终端系统控制非法接入问题;(4)核心交换区:主要负责各个安全域的接入与VLAN之间的访问控制;在两台核心交换机上采用防火墙板卡,来实现各个区域的访问控制。在核心交换机旁路部署安全审计系统,对全网数据进行内容审计,可以与运维管理区的网络审计使用同一台;(5)互联网接入区:主要负责为办公区用户访问互联网提供服务,以及互联网用户访问门户网站及网上预约等业务提供服务;在互联网出口处,部署负载均衡设备对链路做负载处理;部署下一代防火墙设备(IPS+AV+行为管理),对进出互联网的数据进行安全审计和管控;在门户服务器与汇聚交换机之间部署硬件WEB应用防火墙,对WEB服务器进行安全防护;在门户服务器上安装防篡改软件,来实现对服务器的防篡改的要求;部署网闸系统,实现互联网与业务内网的物理隔离要求;(6)数据中心区:此区域主要为医院信息系统防护的核心,可分为关键业务服务器群和非关键业务服务器群,为整个医院内网业务提供运算平台;在非关键业务服务器群与核心交换区之间部署防火墙和入侵保护系统,对服务器做基础的安全防护;在关键业务服务器群与核心交换机之间部署防火墙、入侵保护系统、WEB应用防护系统,对服务器做安全防护;(7)开发测试区:为软件开发机第三方运维人员提供接入医院内网服务,与核心交换机互联;部署防火墙进行访问控制,所有的开发测试区的用户必须通过堡垒机访问医院内网;(8)存储备份区:此区域主要为医院信息化系统数据做存储备份,与核心交换机互联。

2.2 边界访问控制[1]

在网络结构中,需要对各区域的边界进行访问控制,对于医院外网边界、数据交换区边界、应用服务区域边界及核心数据区边界,需采取部署防火墙的方式实现高级别的访问控制,各区域访问控制方式说明如下:

(1)外联区:通过部署高性能防火墙,实现数据中心网络与医院外网之间的访问控制;(2)核心交换区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对数据交换区的访问控制;(3)数据中心区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(4)运维区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对核心数据区的访问控制;(5)互联网区:与内网核心交换区采用网闸系统进行物理隔离;与互联网出口采用防火墙实现访问控制;(6)开发测试区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(7)办公网接入区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(8)备份存储区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制。

2.3 网络审计[1]

网络安全审计系统主要用于监视并记录网络中的各类操作,侦查系统中存在的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件。在数据中心核心交换机处旁路部署网络行为监控与审计系统,形成对全网网络数据的流量检测并进行相应安全审计,同时和其他网络安全设备共同为集中安全管理提供监控数据用于分析及检测。

网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据汇聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能,根据记录生成详细的审计报表。网络行为监控和审计系统采取旁路技术,不用在目标主机中安装任何组件。同时玩了个审计系统可以与其他网络安全设备进行联动,将各自的监控记录送往安全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检测。

2.4 网络入侵防范[1]

根据数据中心的业务安全需求和等级保护三级对入侵防范的要求,需要在网络中部署入侵防护产品。

入侵防护和产品通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测产品应支持深度内容检测、技术。配合实时更新的入侵攻击特征库,可检测网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁。当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。

入侵防护产品部署在数据中心与核心交换机之间,继防火墙边界访问控制后的第二道防线。

2.5 边界恶意代码防范[1]

根据数据中心业务风险分析和等级保护三级对边界恶意代码防范的要求,需要在互联网边界部署防病毒产品,也可以在下一代防火墙添加防病毒模块来实现此功能;防病毒产品应具备针对HTTP、FTP、SMTP、POP3、IMAP以及MSN协议的内容检查、清除病毒的能力。支持查杀引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本等各种恶意代码,并定期提供对病毒库版本的升级。

2.6 网络设备保护[1]

对于网络中关键的交换机、路由器设备,也需要采用一定的安全设置及安全保障手段来实现网络层的控制。主要是根据等级保护基本要求配置网络设备自身的身份鉴别与权限控制,包括:登录地址、标识符、口令复杂度、失败处理、传输加密、特权用户权限分配等方面对网络设备进行安全加固。

由于不同网络设备安全配置的不同、配置维护工作繁杂,且信息安全是动态变化的,因此这里推荐通过自动化的配置核查设备,对网络层面和主机层的安全配置进行定期扫描核查,及时发现不满足基线要求的相关配置,并根据等级保护的安全配置要求提供相对应的安全配置加固指导。

3 结束语

通过以上六个方面的安全加固,重点解决了医院当前网络安全环境中面临的主要问题。随着医院数字化进程的不断深入,我们还将重点跟踪网络安全方面出现的新问题、新的技术思路和新的技术解决方案,做好医院的网络安全工作,为医院信息化建设保驾护航。

目前,网络已经深刻影响与改变现有的医疗模式[4],网络安全已成为医院信息化建设中的重中之重,它是一项复杂而艰巨的系统工程,需全方位入手,切实保障医院各信息系统安全稳定的运行、医院各项工作顺利的开展,真正为广大患者提供优质便捷的服务。

参考文献:

[1]GB/T 22239-2008,信息系统安全等级保护基本要求[S].

[2]GB/T 9387.2-1995,开放系统互连基本参考模型第2部分:安全体系结构《医疗机构》,P14-P18:安全服务与安全机制的配置[S].

[3]ISO 10181:1996 信息技术开放系统互连开放系统安全框架[S].

[4]陈理兵,陈起燕.论医院网络应用系统的安全设计[J].福建电脑,2013(11).

第9篇

关键词: 计算机网络安全网络攻击防范策略

随着信息产业的高速发展,众多企业利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是随着信息化进程的深入,信息安全己不容忽视。计算机系统随时可能遭受病毒的感染、黑客的入侵,这都会给我们造成巨大的损失。笔者在此主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。

1.计算机网络安全的含义

计算机网络安全的具体含义是随着使用者的变化而变化的,使用者不同,对网络安全的认识和要求也不同。例如从普通使用者的角度来说,他们可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃取;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的情况对网络硬件的破坏,以及在网络出现异常时如何恢复,保持网络通信的连续性。从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏。因此,网络安全既有技术方面的问题,又有管理方面的问题,两方面相互补充,缺一不可。

2.计算机网络攻击的特点

2.1损失巨大。

由于攻击和入侵的对象是网络上的计算机,因此攻击一旦成功,就会使网络中的计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均每起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。

2.2威胁社会和国家安全。

一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。

2.3手段多样,手法隐蔽。

计算机攻击的手段可以说五花八门:网络攻击者既可以通过监视网上数据来获取别人的保密信息,又可以通过截取别人的帐号和口令进入别人的计算机系统,还可以通过一些特殊的方法绕过人们精心设计的防火墙,等等。这些过程都可以在很短的时间内通过计算机完成,因而犯罪不留痕迹,隐蔽性很强。

2.4以软件攻击为主。

几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统的。因此,计算机犯罪具有隐蔽性,这要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。

3.计算机网络安全防范策略

3.1改善周边环境。

计算机网络安全首先是工作环境的安全,计算机网络系统应放置在厂区的办公室内,并尽可能远离工厂粉尘最多的位置,安排专人管理,配备UPS不间断电源,保证计算机网络能够适应工厂的工作环境。制定健全的安全管理体制是计算机网络安全的又一外部重要保证。网络管理人员与使用人员应共同努力,运用一切可以使用的工具和技术,尽最大可能减少非法行为的发生,把不安全的因素降到最低。企业还要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。只有共同努力,计算机网络的安全才能得到保障,从而使广大网络用户的利益得到保障。

3.2防病毒技术。

随着计算机技术的不断发展,计算机病毒变得越来越复杂,对计算机信息系统构成极大的威胁。为防范病毒,人们普遍使用防病毒软件,其从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒;网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。

3.3防火墙技术。

防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一,可以有效解决垃圾邮件和间谍软件带来的问题。首先,防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次,防火墙对网络存取和访问进行监控审计,如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。最后,防火墙可以防止内部信息的外泄,利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。

3.4入侵检测技术。

入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面:监视分析用户及系统活动,查找非法用户和合法用户的越权操作;检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;识别反映已知进攻的活动模式并向相关人士报警;对异常行为模式的统计分析;能够实时地对检测到的入侵行为进行反应;评估重要系统和数据文件的完整性;可以发现新的攻击模式。

网络安全在21世纪将成为信息社会发展的一个关键,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全的有力保障,才能形成社会发展的推动力。我国信息网络安全问题方面的技术研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。

参考文献:

[1]陈爱民.计算机的安全与保密[M].北京:电子工业出版社,2002.

第10篇

关键词:数据加密 黑客 后门 信息加密 防火墙

一、计算机网络安全的现状

据美国联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道,世界上平均每20分钟就发生一次人侵国际互联网络的计算机安全事件,1/3的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆?塞特尔称:给我精选10名“黑客”,组成小组,90天内,我将使美国趴下。一位计算机专家毫不夸张地说:“如果给我一台普通计算机、一条电话线和一个调制解调器,就可以令某个地区的网络运行失常。”

据了解,从1997年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验,面对形势日益严峻的现状,很多时候都显得有些力不从心。也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。当今网络在安全攻击面前显得如此脆弱源于以下几个方面的原因:

(1)Internet所用底层TCP/IP网络协议本身易受到攻击,该协议本身的安全问题极大地影响到上层应用的安全。(2)Internet上广为传插的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段。(3)快速的软件升级周期,会造成问题软件的出现,经常会出现操作系统和应用程序存在新的攻击漏洞。(4)现行法规政策和管理方面存在不足。目前我国针对计算机及网络信息保护的条款不细致,网上保密的法规制度可操作性不强,执行不力。同时,不少单位没有从管理制度、人员和技术上建立相应的安全防范机制。缺乏行之有效的安全检查保护措施,甚至有一些网络管理员利用职务之便从事网上违法行为。

二、计算机网络面临的威胁

信息安全是一个非常关键而又复杂的问题。计算机信息系统安全指计算机信息系统资产(包括网络)的安全,即计算机信息系统资源(硬件、软件和信息)不受自然和人为有害因素的威胁和危害。

计算机信息系统之所以存在着脆弱性,主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等;计算机信息系统受到的威胁和攻击除自然灾害外,主要来自计算机犯罪、计算机病毒、黑客攻击、信息战争和计算机系统故障等。

由于计算机信息系统已经成为信息社会另一种形式的“金库”和“保密室”,因而,成为一些人窥视的目标。再者,由于计算机信息系统自身所固有的脆弱性,使计算机信息系统面临威胁和攻击的考验。计算机信息系统的安全威胁主要来自于以下几个方面:

(1)自然灾害。计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。

(2)网络软件的漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。

(3)黑客的威胁和攻击。计算机信息网络上的黑客攻击事件越演越烈,已经成为具有一定经济条件和技术专长的形形攻击者活动的舞台。他们具有计算机系统和网络脆弱性的知识,能使用各种计算机工具。境内外黑客攻击破坏网络的问题十分严重,他们通常采用非法侵人重要信息系统,窃听、获取、攻击侵人网的有关敏感性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。黑客问题的出现,并非黑客能够制造入侵的机会,从没有路的地方走出一条路,只是他们善于发现漏洞。即信息网络本身的不完善性和缺陷,成为被攻击的目标或利用为攻击的途径,其信息网络脆弱性引发了信息社会脆弱性和安全问题,并构成了自然或人为破坏的威胁。

(4)计算机病毒。90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻则使系统上作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。

(5)垃圾邮件和间谍软件。一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。事实上,间谍软件日前还是一个具有争议的概念,一种被普遍接受的观点认为间谍软件是指那些在用户小知情的情况下进行非法安装发装后很难找到其踪影,并悄悄把截获的一些机密信息提供给第下者的软件。间谍软件的功能繁多,它可以监视用户行为,或是广告,修改系统设置,威胁用户隐私和计算机安全,并可能小同程度的影响系统性。

(6)信息战的严重威胁。信息战,即为了国家的军事战略而采取行动,取得信息优势,干扰敌方的信息和信息系统,同时保卫自己的信息和信息系统。这种对抗形式的目标,不是集中打击敌方的人员或战斗技术装备,而是集中打击敌方的计算机信息系统,使其神经中枢的指挥系统瘫痪。信息技术从根本上改变了进行战争的方法,其攻击的首要目标主要是连接国家政治、军事、经济和整个社会的计算机网络系统,信息武器已经成为了继原子武器、生物武器、化学武器之后的第四类战略武器。可以说,未来国与国之间的对抗首先将是信息技术的较量。网络信息安全应该成为国家安全的前提。

(7)计算机犯罪。计算机犯罪,通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。

在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。

三、计算机网络安全防范策略

(一)物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为采用各种电磁屏蔽和干扰的防护措施。

(二)访问控制策略

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段,可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。

1、入网访问控制。入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。

2、网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。

3、目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。

4、属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。

5、网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

6、网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。

7、网络端口和节点的安全控制。网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。

8、防火墙控制。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。

(三)信息加密策略

信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。

1、常规密码。收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。其优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。

2、公钥密码。收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。其优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,以确保信息安全。

(四)网络安全管理策略

安全管理队伍的建设。在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。

四、结语

计算机网络的安全问题越来越受到人们的重视,本文简要的分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。 参考文献:

1、朱雁辉.防火墙与网络封包截获技术[M].电子工业出版社,2002

2、信息管理系列编委会.网络安全管理.中国人民大学出版社,2003

第11篇

【关键词】网络安全威胁因素有效策略

中图分类号:TN711文献标识码:A 文章编号:

随着计算机网络规模的不断扩大以及新的应用(如电子商务、远程医疗等) 不断涌现, 威胁网络安全的潜在危险性也在增加, 使得网络安全问题日趋复杂。对网络系统及其数据安全的挑战也随之增加。网络在使通信和信息的共享变得更为容易的同时,其自身也更多地被暴露在危险之中。网络安全问题往往具有伴随性, 即伴随网络的扩张和功能的丰富,网络安全问题会随之变得更加复杂和多样, 网络系统随时都会面临新出现的漏洞和隐患, 所以网络安全问题是为保障信息安全随时需要考虑的问题。

一、网络安全面临的主要威胁因素

随着网络时代的来临,人们在享受着网络带来的无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,从而引起大范围的瘫痪和损失,另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足, 这些风险正日益加重。常见的威胁主要来自以下几个方面:

1、自然威胁

自然威胁可能来自与各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的的事件有时也会直接或间接地威胁网络的安全,影响信息的存储和交换。

2、非授权访问

指具有熟练编写和调试计算机程序的技巧并使用这些技巧来获得非法或未授法的网络或文件访问,侵入到他方内部网的行为。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限,或者是作为进一步进入其他系统的跳板,或者恶意破坏这个系统,使其毁坏而丧失服务能力。

3、后门和木马程序

从最早计算机被入侵开始,黑客们就已经发展了“后门”这门技术,利用这门技术,他们可以再次进入系统。后门的功能主要有:使管理员无法阻止种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少时间。木马,又称为特洛伊木马,是一类特殊的后门程序,英文叫做“trojian horse”,其名称取自希腊神话的“特洛伊木马记”,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。木马里一般有两个程序,一个是服务器程序,一个是控制器程序。如果一台电脑被安装了木马服务器程序,那么,黑客就可以使用木马控制器程序进入这台电脑,通过命令服务器程序达到控制你的电脑的目的。

4、计算机病毒

计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。如常见的蠕虫病毒,就是以计算机为载体, 利用操作系统和应用程序的漏洞主动进行攻击, 是一种通过网络传统的恶性病毒。它具有病毒的一些共性, 如传播性、隐蔽性、破坏性和潜伏性等等, 同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。其他常见的破坏性比较强的病毒有宏病毒、意大利香肠等。

二、加强网络安全的有效策略

1、访问权限的控制

访问权限控制是实现网络安全防范和保护的重要措施之一,其基本任务是在身份认证的基础上,防止非法用户进入系统及防止合法用户对系统资源的非法使用。访问控制的基本目的是防止未授权的用户非法访问受保护的资源,保证合法用户可以正常访问信息资源。访问控制的内容包括:用户身份的识别和认证;对访问的控制;审计跟踪。

2、防火墙技术

采用防火墙技术是解决网络安全问题的主要手段之一。防火墙常被安装内部受保护的网络连接到外部Internet 的结点上, 用于逻辑隔离内部网络和外部网络。它是一种加强网络之间访问控制的网络设备,它能够保护内部网络信息不被外部非法授权用户访问。防火墙之所以能够保障网络安全,是因为防火墙具有如下的功能:它可以扫描流经它的网络通信数据,对一些攻击进行过滤;防火墙可以通过关闭不使用的端口,还可以禁止来自特殊站点的访问,从而防止来自非法闯入者的任何不良企图;可以记录和统计有关网络使用滥用的情况。防火墙技术可以综合身份认证、加密技术和访问控制技术、以及支持多种现有的安全通信协议来达到更高的安全性,因此网络管理员可将防火墙技术与其他安全技术配合使用,以达到提高网络安全性的目的。但是防火墙技术只能防外不防内,不能防范网络内部的攻击,也不能防范病毒,且经伪装通过了防火墙的入侵者可在内部网上横行无阻。

3、数据加密技术

数据加密技术是保护网络上传输的信息不被恶意者篡改截取一种重要措施和方法,可以将被传送的信息进行加密,使信息以密文的形式在网络上传输。这样,即使攻击者截获了信息,也无法知道信息的内容。通过这种方法,我们可以达到一些敏感的数据只能被相应权限的人访问的目的,防止被一些怀有不良用心的人看到或者破坏。按照接收方和发送方的密钥是否相同,可将加密算法分为对称算法和公开密钥算法。在对称算法中,加密密钥和解密密钥相同或者加密密钥能够从解密密钥中推算出来,反之也成立。对称算法优点是速度快,算法易实现,但是其密钥必须通过安全的途径传送,因此其密钥管理成为系统安全的重要因素。在公开密钥算法中,加密密钥和解密密钥互不相同,并且几乎不可能从加密密钥推导出解密密钥。公开密钥算法较对称密钥算法相比容易实现密钥管理,但是算法较复杂,加密解密花费时间长。在维护网络安全的工作中,我们可以结合使用这两种加密算法,互补长短。

4、侵检测技术

入侵检测是继“防火墙”、“数据加密”等传统安全保护方法之后的新一代安全保障技术。入侵检测是指通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。目前,入侵检测技术按照检测方法的不同可分为误用检测、异常检测以及混合型入侵检测系统。异常检测主要通过对计算机网络用户的不正常行为以及计算机网络资源的非正常使用情况进行检测,从而发现并指出不法入侵行为。异常检测虽然具有响应速度快、可以检测到新的未知攻击,但是误报率较高。误用检测根据已知的攻击方法事先定义好入侵模式库,通过判断模式库中的模式出现与否来判定入侵。该方法对已知的攻击模式非常有效,但它对新的入侵攻击却几乎无能为力。混合型入侵检测系统:由于的两种入侵检测系统各有其优点和不足,因而在很多实际的入侵检测系统中同时采用了异常入侵检测和误用检测这两种方法,采用两种不同的入侵检测方法的入侵检测系统我们将之称为混合型入侵检测系统。

入侵检测技术具有以下几方面功能: 审计系统的配置和安全漏洞;检测和分析系统和用户的活动,查找非法用户和合法用户的违规操作;非正常行为的统计分析,以发现攻击行为的规律性;实时检测入侵行为,迅速做出反应加以识别;检测系统程序以及数据文件是否正确。

为了达到网络安全的目的,除了上面介绍的几种之外,还有一些被广泛应用的网络安全技术,例如安全审计、可靠系统设计、系统脆弱性评估等。

总之,解决安全的措施有很多,仅靠其中的某一项或几项是很难解决好网络安全问题的。在具体工作中还需要根据网络的实际情况做出细致而全面的多级安全防范措施,尽可能提高网络系统的安全可靠性,使网络系统更安全地为大家服务。

参考文献:

[1] 张云勇,陈清金,潘松柏,魏进武.云计算安全关键技术分析[J]. 电信科学. 2010(09)

[2] 包延芳.浅析网络防火墙技术[J]. 今日科苑. 2008(02)

[3] 王玲.网络信息安全的数据加密技术[J]. 信息安全与通信保密. 2007(04)

第12篇

关键词:计算机;网络;安全;防范

一、计算机网络安全环境的现状

计算机信息产业领域在不断地进步和发展,其相关科学技术不断更新并且逐步改进,使之不断完善。而作为计算机普通用户,就会享有并享受网络互连带给用户的多元化信息,以满足于自身的需求,不论是学习还是工作,其都在不断地推广开来,由此可以看出,网络已成为一个无处不在、无所不用的工具。计算机用户在网络互连中,可以足不出户,或是在单位企业等机构部门都可充分利用自己的时间去访问搜集全球网络之间多元、多样的信息资源。其中包括全球的经济、文化、军事和社会活动等信息,通过网络实现了认知世界、认知你我,并利用其丰富海量的信息实现了自身的需要和需求,但网络带给我们便利的同时,也因为网络的开放性和自由性的特点,导致了人为性质的私有信息与关键、重要数据被不法分子破坏或侵犯,由此,网络信息环境安全性已经受到社会各界人士的广泛关注,应予以重视。

二、计算机网络面临的安全问题

计算机网络面临的安全问题包含网络设备的安全和网络信息的安全两个方面。将影响计算机网络安全的各种因素归纳起来主要有如下几点:

(一)计算机病毒感染。自从计算机病毒出现以来,各种新的病毒形式层出不穷,近年来就有很多病毒给人们带来了巨大麻烦:蠕虫病毒、冲击波震荡波病毒、熊猫烧香病毒等等。这些计算机病毒如通过网络传播进行网络攻击,人们在进行软件下载安装、浏览网页、接受文件、查看邮件等日常操作时,很可能就在个人电脑里引入了病毒,病毒发作将会造成巨大的损失。

(二)人为的操作失误。人们的很多操作失误可能就会造成计算机网络的安全遭受损害,比如密码丢失或设置过于简单、管理员安全配置不合理、对网络资源访问控制不当等都会造成安全问题,导致数据信息的泄露。

(三)内网的攻击。这里指的是非法用户通过局域网内部,盗用合法用户的口令登陆网站,查看数据资料,盗取机密信息,破坏数据信息或者使系统运行瘫痪。

(四)外网的攻击。这是指的是不法分子通过局域网的外部来入侵网站或用户电脑,如盗取或破坏数据库里的信息、破坏系统和程序的安全运行、破坏信息的传递和窃取机密信息等等。

(五)操作系统本身存在的漏洞及“后门”。对于计算机来说,任何操作系统和软件都是有漏洞和缺陷的,与此同时编程人员为了对软件操作方便会留有一些所谓的“后门”,可是这些缺陷和“后门”被一些外人甚至黑客所知,会遭到攻击,甚至造成整个计算机的瘫痪。

(六)信息数据的存储和传输。重要的信息数据都存储在网络系统的数据库中,如果防护措施不当,当系统受到攻击时,这些重要的信息数据就容易被窃取。在数据信息的传输中,需要经过很多网络节点,在这些节点处都可能造成数据信息泄露。重视信息数据的存储及传输是做好计算机网络安全工作的关键点。

三、计算机网络安全的防范策略

计算机安全涉及的主要方面是计算机物理硬软件和网络信息安全方面,根据网络安全的隐患,研究网络安全的防范策略。

(一)安全制度策略。制定完备的计算机网络管理制度,力争让网络管理制度化和科学化。网络管理员做计算机网络的管理日志。培养网络管理员的安全素养和安全责任意识。加强培训网络管理员的网络操作技能。

(二)安全防洪预案策略和网络备份策略。针对自然灾害的破坏,进行网络设计之初应做好防范预案和网络受到破坏后的应对措施。为了应对网络受到破坏后的恢复,对于网络的所有数据应做好及时的备份,才能让网络不至于瘫痪。

(三)病毒防治策略。在网络系统中安装反病毒检测软件和病毒查杀软件。层层设置,服务器端、浏览器端相结合,分层设置,集中控制。病毒防治,首先做好病毒的检测和预防,这是重点,然后结合病毒的查杀。外来读写设备自动检测。及时更新病毒库,定期查杀。

(四)网络加密策略。网络加密即是采用一定的加密算法对网络传输中的数据、信息进行加密,达到保护网络传输中的数据、信息的目的。在网络使用的加密技术很多,在网络安全的实际防范过程中往往采用多种加密技术相结合,既能防范恶意网页或恶意软件的攻击,又能防范非法用户访问。这样能更有效增强网络安全。

(五)入侵检测策略。网络入侵检测技术能够对网络入侵实施实时的监控、记录和检测,并能按照预先制定的策略依据监控和检测情况做出及时的防护手段。(六)防火墙策略。防火墙策略是最常见和主要的网络安全策略。防火墙技术分硬件防火墙和软件防火墙。采用防火墙技术可以防范网络黑客的攻击和非法分子对网络的入侵。防火墙技术就是在互联网(Interne)t和企业专用内网(Intrane)t之间,或是网络和个人用户之间,建立安全网关,对网络通信中的数据流进行扫描,过滤非法攻击,阻止非法用户入侵内网或个人用户。防火墙技术主要由服务访问、应用网关、验证规则、数据包过滤等方面构成。防火墙的技术运用包括网络级防火墙、应用级防火墙、电路级防火墙、规则检查防火墙等类型。在防火墙技术的运用上,一般采用软硬结合,分层设置,多级防范的策略。

(七)IP 地址的保护技术,入侵者经常使用网络探测技术得到目标主机的IP地址,从而达到入侵的目的,所以,保护好主机的IP地址十分重要。常用的IP地址保护技术有停用网络连接服务法,限制修改网络参数法,限制访问网络属性法,使用服务器法等。前几种方法都有一定的局限性,比如停用网络连接服务法会使得主机不能正常的上网访问,给经常上网的用户带来了困扰。现在最简单常用的方法是使用服务器法,这样做的好处是可以让用户避开直接连接互联网,入侵者也就不能轻易探测到用户的IP地址。首先寻找一个合适的。最原始的方法就是用软件搜索某个网段(现在网上还有很多搜索的工具软件),不过这种搜索服务器可是很费时的工作。通常大家是不会把自己经常使用的服务器告诉别人的,因为用的人多了速度自然就会慢。不过网上也有很多网站和BBS都提供免费服务器的地址,你可以自己用搜索引擎查一下Proxy或者免费,就能发现很多类似的网站。 然后,在主菜单上选择“查看”“Internet选项”“连接”“通过服务器访问Internet”,此时将你找到的服务器地址和端口填入,然后点击“确定”,就可以通过服务器浏览网页了。

(八)其他防范策略。例如,认证和数字签名技术,VPN技术,虚拟网络技术等。

总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施。随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。普及计算机网络安全教育,提高计算机网络安全技术水平,是很必要的。

参考文献

第13篇

关键词:计算机网络安全网络攻击防范策略

中图分类号:TN915.08文献标识码:A文章编号:16723198(2010)01027502

1 计算机网络攻击的特点

1.1 损失巨大

由于攻击和入侵的对象是网络上的计算机,因此攻击一旦成功,就会使网络中的计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均每起计算机犯罪案件所成的经济损失是一般案件的几十到几百倍。

1.2 威胁社会和国家安全

一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。

1.3 手段多样,手法隐蔽

计算机攻击的手段可以说五花八门:网络攻击者既可以通过监视网上数据来获取别人的保密信息,又可以通过截取别人的帐号和口令进入别人的计算机系统,还可以通过一些特殊的方法绕过人们精心设计的防火墙,等等。这些过程都可以在很短的时间内通过计算机完成,因而犯罪不留痕迹,隐蔽性很强。

1.4 以软件攻击为主

几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统的。因此,计算机犯罪具有隐蔽性,这要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。

2 计算机网络安全存在的隐忧

2.1间谍软件

所谓“间谍软件”,一般指从计算机上搜集信息,并在未得到该计算机用户许可时便将信息传递到第三方的软件,包括监视击键,搜集机密信息(密码、信用卡号、PIN码等),获取电子邮件地址,跟踪浏览习惯等。间谍软件还有一个副产品,在其影响下这些行为不可避免的响网络性能,减慢系统速度,进而影响整个商业进程。

2.2 混合攻击

混合攻击集合了多种不同类型的攻击方式,它们集病毒,蠕虫以及其他恶意代码于一身,针对服务器或者互联网的漏洞进行快速的攻击、传播、扩散,从而导致极大范围内的破坏。

2.3 绕道攻击

网关级别的安全防护无法保护电脑免遭来自CD,USB设备或者闪盘上的恶意软件攻击。同理,那些被拿到办公室之外使用的员工电脑也无法得到有效的保护。假如你将电脑拿到一个无线热点区域之中,那么窃听者以及AP盗用者都有可能拦截到电脑的相关通讯如果你的电脑并未采取足够客户端安全防护措施的话。而这些攻击,我们就将其称为“绕道攻击”。

2.4 强盗AP

是指那些既不属于IT部门,也并非由IT部门根据公司安全策略进行配置的AP,代表着一种主要的网络安全风险来源,它们可以允许未经授权的人对网络通讯进行监听,并尝试注人风险,一旦某个强盗AP连接到了网络上,只需简单的将一个WiFi适配器插入一个USB端口,或者将一台AP连到一个被人忽略的以太网端口,又或者使用一台配备了WiFi的笔记本电脑以及掌上电脑,那么未经授权的用户就可以在公司建筑的外面(甚至可能是更远一些的地方)访问你的网络。

2.5 网页及浏览器攻击

网页漏洞攻击试图通过Web服务器来破坏安全防护,比如微软的IISApache,Sunday的Java Web服务器,以及IBM的WebSphere。

2.6 蠕虫及病毒

感染现有计算机程序的病毒,以及那些本身就是可执行文件的蠕虫,是最广为人知的计算机安全威胁病毒。一般倾向于栖身在文档、表格或者其他文件之中,然后通过电子邮件进行传播,而蠕虫通常是直接通过网络对自身进行传播。一旦病毒或者蠕虫感染了一台电脑,它不仅会试图感染其他系统,同时还会对现有系统大搞破坏。

2.7 网络欺诈

网络钓鱼只是企图欺骗用户相信那些虚假的电子邮件、电话或网站,这些网站往往和网上银行或支付服务相关,让你认为它们是合法的,而其意图则是让用户提交自己的私人信息,或是下载恶意程序来感染用户的计算机。

2.8 击键记录

击键记录,或者输人记录,指的都是那些对用户键盘输人(可能还有鼠标移动)进行记录的程序,那些程序以此来获取用户的用户名、密码、电子邮件地址,即时通信相关信息,以及其他员工的活动等。击键记录程序一般会将这些信息保存到某个文件中,然后悄悄的将这些文件转发出去,供记录者进行不法活动。

3 安全策略

3.1 防火墙技术

防火墙的作用是对网络访问实施访问控制策略。使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

3.2 建立安全实时相应和应急恢复的整体防御

没有百分百安全和保密的网络信息,因此要求网络要在被攻击和破坏时能够及时发现,及时反映,尽可能快的恢复网络信息中心的服务,减少损失,网络安全系统包括安全防护机制、安全检测机制、安全反映机制和安全恢复机制。

3.3 阻止入侵或非法访问

入网访问控制为网络访问提供第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许在哪台工作站入网。控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。对所有用户的访问进行审计,如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。

3.4 数据传输加密技术

目的是对传输中的数据流加密,常用的方针有线路加密和端到端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护的。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。

3.5 密钥管理技术

为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁

带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。

3.6 加强网络安全的人为管理

在网络安全中,除了采用上述技术措施之外,加强网络的安全管理、制定有效的规章制度,对于确保网络的安全、可靠运行,将起到十分有效的作用。加强网络的安全管理包括:确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。首先是加强立法,及时补充和修订现有的法律法规。用法律手段打击计算机犯罪。其次是加强计算机人员安全防范意识,提高人员的安全素质。另外还需要健全的规章制度和有效、易于操作的网络安全管理平台。

4 结语

网络安全是一个永远说不完的话题,关于如何解决好网络安全问题,网络安全技术与工具是网络安全的基础,高水平的网络安全技术队伍是网络安全的保证,严格的管理则是网络安全的关键。我们要清醒认识到任何网络安全和数据保护的防范措施都是有一定的限度,一劳永逸的网络安全体系是不存在的。网络安全需要我们每一个人的参与。

参考文献

[1]卢昱,王宇.计算机网络安全与控制技术[M].北京:科学出版社,2005.

第14篇

关键词:计算机;网络安全;防范策略;防火墙技术

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)12-2718-02

计算机网络在人们生活中扮演着越来越重要的角色,人们现在已完全可利用计算机网络足不出户就了解到世界各地的信息。但是,安全问题同时也严重影响着人们对于计算机网络的依赖。随着一些网站的信息被泄露,部分公司企业数据库被入侵等事件的发生,人们不得不更加重视网络安全问题。然而,解决计算机网络安全问题并不是一蹴而就的,需要我们不断的发现问题、解决问题。目前,威胁计算机网络安全的因素很多,该文着重从几个突出的问题方面分析这些因素,然后针对这些问题提出了相对的防范策略。

1威胁计算机网络安全的因素

1.1来自于黑客的威胁

黑客指的是通过发现网络的安全漏洞,通过漏洞来攻击目标、破坏目标的一类人。其实,黑客的攻击手段不仅仅局限于找漏洞一种,他们的方法是多种多样的。黑客可以利用TCP/IP协议的安全缺陷进行攻击,也可以通过发送电子邮件来进行攻击,还可以通过修改服务器地址进行攻击等,令人防不胜防。所以,黑客是计算机网安全最常见也是最严重的威胁之一。

1.2来自于计算机病毒的威胁

计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒的入侵方法很多,最终目的都是进入到系统的存储介质(或程序)里。计算机病毒具有较强的破坏性、复制性和传染性等特点。所以,一旦有计算机遭遇到病毒的入侵,造成的威胁将是十分严重的。

1.3来自于垃圾邮件和病毒邮件的威胁

现实生活中的广告已经铺天盖地,然而在互联网市场,商家为了进一步扩大宣传范围,邮件也逐渐充当起广告的载体。不管网民是否愿意,每天都会收到几封带有广告性质的邮件,这些未经用户许可强行发送到用户邮箱的电子邮件就被称作是垃圾邮件。普通的垃圾邮件只是起到一个传播信息的作用,然而,一些恶意的垃圾邮件是带有攻击性的,这些邮件可能附带着病毒,它们会占用网络带宽,造成邮件服务器堵塞,进而降低整个网络的运行速度,严重的还将导致电脑瘫痪。有的病毒还会趁机窃取用户电脑中的信息,造成个人信息外泄。

1.4来自于IP地址的威胁

在计算机网络中,盗用IP地址是一种比较常见的现象。盗用者通过盗取IP地址来获得权限,通过网上资源破坏网络,造成网络不能正常运行。这不仅给网络的合法使用者造成不必要影响,还会严重损害他们的切身利益。盗用IP地址都是一些“不法之徒”出于逃避追踪、隐藏自己身份的目的的行为,往往很难抓住盗用者,所以只有我们自己做好防范措施才能将威胁降到最低。

2计算机网络安全技术和防范策略

2.1防火墙技术

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算硬件和软件结合,使internet与intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户侵入。防火墙能监视两主机建立连接时的握手信息,从而判断会话请求是否合法。防火墙在网络层拦截输入包,对状态信息做出决策,具有访问控制,内容控制,集中管理,流量控制等功能,能通过对网络信息的扫描,过滤掉一些不明信息,禁止特定端口的通信流出,禁止特殊站点的访问。所以,防火墙技术能比较有效的保护网络安全。

2.2计算机病毒的防范策略

2.2.1杀毒软件和系统补丁

杀毒软件是最简单有效的防范计算机病毒的方法。所以选好一款合适的杀毒软件至关重要。要想彻底清除网络病毒,必须选择与网络适合的全方位防病毒产品,比如目前使用较多的瑞星、360安全卫士等。然而,仅仅是安装了杀毒软件,也并不意味着电脑的绝对安全,还需要定期对病毒库进行升级,提高病毒识别能力、扩大病毒查杀范围,并及时对计算机进行全盘扫描,防止病毒的扩散转移。

2.2.2上网过程中的病毒防范

上网时要开启病毒实时监控,病毒可能隐藏在文档、软件当中,所以不要随便点击陌生的、可疑的文档,对下载下来的文件或软件先进行杀毒处理。对于接收到的邮件也要进行病毒扫描,对于陌生的邮件,要特别注意附带的文档,不要随意打开和下载,因为文档中很可能携带着病毒。

2.2.3对系统的保护

一些常用的程序和系统都会发生漏洞,入侵者会利用漏洞进入计算机系统,从而破坏系统,窃取机密。一般软件开发商都会在补丁的同时提醒用户进行更新软件,修补漏洞。软件使用者也要经常关注这方面的消息才能及时的修补漏洞,减少黑客或病毒入侵的几率。

2.2.4及时隔离被感染的计算机,停止文件共享

用户在办公过程中会因为在同一局域网中而经常用到文件共享这个功能,这个时候往往避免不了非法用户的访问,因此在需要共享文档的时候,应设置必要的密码或者访问权限,防止黑客窃取共享文件,减少入侵的可能性。

2.3 IP地址的保护技术

入侵者经常使用网络探测技术得到目标主机的IP地址,从而达到入侵的目的,所以,保护好主机的IP地址十分重要。常用的IP地址保护技术有停用网络连接服务法,限制修改网络参数法,限制访问网络属性法,使用服务器法等。前几种方法都有一定的局限性,比如停用网络连接服务法会使得主机不能正常的上网访问,给经常上网的用户带来了困扰。现在最简单常用的方法是使用服务器法,这样做的好处是可以让用户避开直接连接互联网,入侵者也就不能轻易探测到用户的IP地址。

首先寻找一个合适的。最原始的方法就是用软件搜索某个网段(现在网上还有很多搜索的工具软件),不过这种搜索服务器可是很费时的工作。通常大家是不会把自己经常使用的服务器告诉别人的,因为用的人多了速度自然就会慢。不过网上也有很多网站和BBS都提供免费服务器的地址,你可以自己用搜索引擎查一下Proxy或者免费,就能发现很多类似的网站。然后,在主菜单上选择“查看”“Internet选项”“连接”“通过服务器访问Internet”,此时将你找到的服务器地址和端口填入,然后点击“确定”,就可以通过服务器浏览网页了。

2.4数据加密与用户访问受权控制技术

相比防火墙技术,数据加密与用户访问授权控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级的支持,一般在操作系统中应用。

数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者也可以通过其中的一个推知另一个,这种算法称之为“对称密钥算法”。这样的密钥必须秘密保管,只能让授权用户所知,授权用户就可以用该密钥加密和解密相应信息,其中DES是对称加密算法中最具代表性的算法。随着加密算法的不断发展,目前已设计出加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息,如RSA算法就是目前使用比较广泛的公钥加密算法。

3结束语

从计算机网络使用开始,探究网络安全的课题注定不会有停止的一天。人们在享受的计算机网络带来的好处的同时一定要清楚的认识到解决网络安全任重道远。只有大家一起重视起来,才能研究出高水平的网络安全技术,才能放心的使用计算机网络。

参考文献:

[1]黄学林.木马病毒入侵原理与网络安全性的探讨[J].广东科技,2007,(8).

[2]赵真.浅析计算机网络的安全问题及防护策略[J].上海工程技术大学教育研究, 2010,(03).

[3]王健.计算机网络的安全技术[J].宁夏机械,2009,(4).

[4]刘超.探析计算机网络安全问题及对策[J].信息通信,2011,(3).

第15篇

    息资源系统,为人们提供更加便捷化的信息处理与使用方式,极大的推动了信息化时代的发展进程。然而,随之而来的是这些信息数据的安全问题,公开化的网络平台为非法入侵者提供了可乘之机,不但会对重要的信息资源造成损坏,同时也会给整个网络带来相当大的安全隐患。基于网络连接的安全问题也日益突出,因此,计算机网络安全问题成为当今最为热门的焦点之一,随着网络技术的发展,安全防范措施也在不断更新,本文主要从以下几个方面进行探讨:

    1. 网络的开放性带来的安全问题

    Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。要研究多种安全机制、策略和工具,并把它们应用到这些安全问题中。然而,即便运用了现有的安全工具和机制,网络的安全隐患仍然存在,这些安全隐患主要可以归结为以下几点:

    (1)每一种安全机制都有一定的应用范围和应用环境

    防火墙可以有效地隐蔽内部网络结构,它是一种实用的安全工具,它可以限制外部网络和内部网络的连接。防火墙是无法解决内部网络之间的访问的。因此,防火墙很难发觉内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,所以无从防范。

    (2)安全工具的使用受到人为因素的影响

    系统管理者和普通用户决定着使用安全工具的期望效果,不安全因素往往产生于错误的设置。例如,NT在进行合理的设置后可以达到c2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。这方面虽然可以通过静态扫描工具来检测系统是否逆行了合理的设置,但是这些扫描工具基本上也只是比较一种缺省的系统安全策略,当有具体的应用环境和专门的应用需求的时候,便很难判断设置的正确与否。

    (3)系统的后门是传统安全工具难于考虑到的地方

    传统安全工具很难考虑到有关系统的后门问题,这种形式的入侵大都可以大摇大摆地通过防火墙而不被察觉。例如,众所周知的ASP源码问题,这个问题在IIs服务器4.0以前一直存在,它是IIs服务的设计者留下的一个后门,任意一个人都可以从Internet上轻松地调出ASP程序的源码,收集系统信息,做好准备工作后,攻击系统。防火墙是无法发觉这种方式的入侵行为的,因为对它来说,正常的WEB访问过程跟这种方式的入侵行为的形似度很高,仅仅有一个不同是正常访问的请求链接没有入侵访问时的那个后缀。

    (4)只要有程序.就可能存在BUG

    网络安全工具是由人设计的,因此必然存在安全漏洞。程序员在对BUG进行消除时,很可能会产生新的BUG,黑客往往钻这个空子对其加以利用。黑客的这种攻击,电脑通常不会产生日志,因此无据可查,目前的安全工具还无法解决这一问题。

    2. 解决网络安全体系问题的主要途径

    现阶段为了保证网络工作顺通常用的方法如下:

    (1)防范网络病毒

    由于网络自身的特点,病毒传播起来是很迅速的,目前通常采用单机防病毒的方式,这种方式不利于网络病毒的清除,要尽快建立一种适用于局域网的全方位防毒产品。像校园网,它其实就是一种基于服务器操作系统平台的内部局域网。如果校园网与互联网相联,就必须要有防病毒软件来保护计算机的安全。目前,就保护计算机安全最好的办法是使用全方位的防病毒软件,它能够有针对性地对所有有可能被攻击的点进行防御,并且能够进行定期或不定期的升级,从而全方位、多层次地对防病毒体系重新配置,以更有效地防御病毒。

    (2)配置防火墙

    利用防火墙.在网络通讯时执行一种访问控制尺度.允许防火墙同意访问的人与数据进入自己的内部网络.同时将不允许的用户与数据拒之门外.最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙在网络安全中占有十分重要的作用,它是一种卓有成效且已被广泛使用的网络安全产品,能有效地防止互联网上的病毒传播到局域网中。

    (3)采用入侵检测系统

    入侵检测技术能够恰到时机地找出并呈送系统中未经授权的 或其它不正常的现象,以保证计算机系统的安全而设计与配置的一种技术,它能够较好地检测出计算机网络中出现的违反安全策略的行为。在入侵检测系统中利用审计记录,可以找出并呈现任何不能有的行为,从而可以适时地限制这些行为,达到保护系统安全的目的。把入侵检测技术运用于校园网中,最好采用混合式的入侵检测,因为这是一种基于网络

    和主机两者被联通的入侵检测系统,这是一套完整的、立体的主动防御体系。

    (4)Web、Email、BBS的安全监测系统

    在网络的www服务器、Email服务器等中使用网络安全监测系统.实时跟踪、监视网络.截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容.及时向上级安全网管中心报告.采取措施。

    (5)漏洞扫描系统

    要解决问题,首先要发现问题,要确保网络安全,首先要弄清楚网络中到底有哪些不安全因素。现今的网络覆盖面非常广泛,面对如此大的、复杂的、变幻多端的网络,仅仅依靠人工的技能和经验发现并找出安全问题,进而做出风险评估,显然是非常不现实的。那么,该如何解决好这一问题呢?设计出一种能够查找网络安全问题,而后做出评估并提出修改意见的网络安全扫描工具,然后利用优化系统配置和升级等方式对最新的安全漏洞进行修复;在没有对安全程度有苛刻要求的情况下,可以采用黑客工具模拟攻击,从而暴漏出网络安全问题,进而解决它。

    (6)IP盗用问题的解决

    在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Inlernet时。路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符.如果相符就放行。否则不允许通过路由器.同时给发出这个IP广播包的工作站返回一个警告信息。

    (7)利用网络维护子网系统安全

    对于网络外部的入侵可以通过安装防火墙来解决.但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件.为管理人员分析自己的网络运作状态提供依据 设计一个子网专用的程序。该软件的主要功能为长期子网络内计算机间相互联系的情况.为系统中各个服务器的审计文件提供备份。

    (8)提高网络工作人员的素质,强化网络安全责任

    除了上述七点解决网络安全问题的途径外,提高网络工作人员的管理素质这一人为因素的重要影响作用也十分重要。为强化网络安全责任,要强化对工作人员的安全教育,提高他们的责任心,具体措施可以结合文字、视频、数据、软件等方面展开教育,并通过业务技术培训提高工作人员的技能水平,还要加强对网络安全管理的重视,尽可能不发生人为事故。我国的网络研究发展地比较晚,网络安全技术水平较低,因此要加强对这一技术的研究,提高网络安全技术水平。除此之外,为了确保网络运行安全,还要使管理措施逐步完善,建立健全的管理制度,修正相关法律、法规,提升人们对网络安全的认识水平,对计算机犯罪要严惩不贷。

    3. 结语

    构建全球化的信息网络平台已经成为了当今计算机网络发展的共识,实现这一目标的最根本支撑点,就是强大的网络安全保障,因此,针对各种安全隐患而采取的网络安全对策显得尤为重要,应当引起广大信息使用者的广泛关注。无论是在局域网还是因特网都同样存在信息数据的保护问题,在人为因素与技术因素的干扰下,如何实现信息数据的最大化安全成为计算机网络安全技术发展的根本出发点。 计算机网络安全对策应当更加全方位的针对各种安全隐患,并充分考虑到各种威胁的特点来实施,这样才能够实现我们保护网络信息数据完整性、可用性与保密性的目标,随着网络安全技术的进步而不断继续完善,是我们今后将继续探讨的核心之一。

    参考文献:

扩展阅读
推荐期刊
精品推荐