時間:2023-05-30 10:08:44
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全審計,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
目前,給企業造成的嚴重攻擊中70%是來自于組織中的內部人員,只要攻擊者發現了業務系統的漏洞,往往業務系統網絡就會被攻破。而隨著攻擊手段的演變,傳統方式對保障業務系統的安全越來越力不從心。因此,針對業務系統的信息安全治理成為業務安全防護的重點。
但是,決策部門如何尋找治理業務系統的決策依據呢?決策部門如何定奪治理業務系統的先后順序、重要緊急程度呢?決策部門如何尋找制定內部合規性的依據呢?針對信息系統的審計報告就承載著這些重要的職能!審計報告正是業務審計系統價值的具體體現,它起到為制定決策提供重要依據的作用。
針對業務的審計需要報告的細粒度
從用戶需求角度看,需要報告細粒,度事實上,一項針對業務系統的審計產品的評價手段有很多。理論上講,有從審計精度入手做評價的,也有從審計行為的廣度入手做評價的。但無論怎樣,我們認為用審計行為的結果――報告來評價是比較科學的。以銀行的業務為例,銀行的業務主要有銀行傳統業務、銀行中間業務、電子銀行業務三大類業務。第一類業務是銀行傳統業務,主要包括會計業務,即主要受理對公業務、面向工商客戶、以轉賬業務為主(比如各種票證)等; 出納業務,包括受理現金業務等; 對私業務(儲蓄) 業務以及授信(信貸)業務等,包括工商客戶和個人客戶貸款的發放和收回,逾期、呆賬、呆滯賬務的處理和追溯等。第二類是銀行的中間業務,包括代收電信公司的各類費用; 代付企業的工資、基金購買、銀行承兌等; 第三類是電子銀行業務,主要包括網上銀行、電話銀行等。他們都是將銀行作為資金結算的中心,作為電子商務中資金流的一方。所有的這些業務都有大量的后臺IT信息系統作為支撐,需要有強有力的審計報告進行業務審計。
再比如,能源行業主要的業務系統包括: 綜合管理信息系統、辦公自動化系統、電力營銷管理系統、生產監控管理信息系統、資產管理系統、電力地理信息系統、企業資源計劃管理系統等。同樣,這些業務的IT系統十分復雜和重要。為此,用戶存在著對這些業務系統審計的需求。如果一項針對業務的審計系統能夠對這些業務有充分的理解,并且通過對這些業務的理解,能以科學合理的方式呈現到審計行為的結果――報告當中來,我們才有理由相信,針對業務的審計系統是“值得信賴”的,這樣的報告才能達到管理業務的目的,這個審計系統在紛繁復雜的業務系統才算發揮了審計的作用。
從技術角度看,需要報告細粒度
業務網絡審計系統是基于應用層內容識別技術衍生出的一種強化IT風險管理的應用模式,它需要對應用層的協議、網絡行為等信息進行解析、識別、判斷、紀錄和呈現,以達到監控違規網絡行為、降低IT操作風險的目的。顯然,一個針對業務系統的審計必須承擔鑒證、保護和證明三個方面的作用。從技術角度看,審計系統需要審計的信息量大,采集的數據量多,比如對基本網絡應用協議審計,如HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、TDS、TNS、DB2、INFORMIX等進行詳細的實時監控、審計,并可以對操作過程進行回放,對各類如Oracle、DB2、Sybase、Informix、MS SQL Server等數據庫操作也需要審計; 同時,對一些OA操作進行審計。在這些龐雜的信息量下,如果系統呈現的信息缺失、失真或錯誤,往往會給用戶輕則帶來決策失誤,重則帶來安全事件無法追究的窘境。由于報告成為了取證、追查、建立制度的重要依據,報告應該越細越好。
從審計政策角度看,需要報告細粒度
隨著中國國際化程度的日益提高,國內許多規范正在朝著國際化方向發展。以SOX法案為例,在美上市的中資企業如中國移動集團公司及其下屬分公司等,就面臨著該法案的合規性要求; 而商業銀行同樣也面臨Basel協議的合規性要求; 政府的行政事業單位或者國有企業則有遵循等級保護的合規性要求,等等。實際上,從2001年起,政府、電信業、金融業、大企業等都已經先后制定了相關的法律法規,比如: 國家《計算機信息系統安全保護等級劃分準則》、《商業銀行內部控制指引 》、《中國移動集團內控手冊》、《中國電信股份公司內部控制手冊》、《中國網通集團內部控制體系建設指導意見》、《銀行業金融機構信息系統風險管理指引》、《商業銀行合規風險管理指引、《保險公司內部審計指引(試行)》、《保險公司風險管理指引(試行)》、《深圳證券交易所上市公司內部控制指引 》、《上海證券交易所上市公司內部控制指引 》等。這些文件的出臺,是IT合規性建設的必然發展趨勢,讓面向業務的審計系統也不得不向“合規性要求”方向發展,這些也促成了報告在審計系統中扮演著越來越重要的角色。
如何實現
報告細粒度
好的網絡安全審計系統應該可通過對被授權人員和系統的網絡行為進行解析、記錄、匯報,可幫助用戶事前規劃預防、事中實時監控、對違規行為響應、事后做合規報告、事故追蹤回放,加強內外部網絡行為監管、避免核心資產(數據庫、服務器、網絡設備等)損失、保障業務系統的正常運營。
此外,一套完善的審計報告查詢、輸出機制――數據分析模塊必不可少,應該滿足對審計日志查詢、審計事件統計分析、審計報告輸出等各種應用的不同使用要求。日志分析與審計報表組件能夠對審計事件、會話日志、流量、用戶操作日志、SOX報表等5類審計事件進行統計和查詢,圍繞審計策略設定審計輸出報告,使得審計工作人員能迅速精確地獲得自己所關注的審計事件信息,將管理人員從繁雜、枯燥的IT內審中解放出來,最大程度上降低IT內審工作的工作量。
以金融機構為例,在銀行系統中經常需要對一個應用系統(如存貸系統)業務操作發生的事件進行后臺數據調整。這時,為了保證調整過程可以被審計記錄以及事后審核,就引發了部署審計系統和數據分析模塊的需求。
關鍵詞:計算機;網絡安全;安全審計系統;設計;應用
0 引言
自人類發明第一臺計算機以來,計算機技術以飛快的速度發展,并在短時間內在各行各業中得到普及。計算機技術的普及,在很大程度上推動了人類文明前進的步伐。計算機網絡已經成為我們生活不可或缺的工具之一,正因為計算機網絡的存在,使得我們生活更加方便快捷。但是計算機網絡是一把雙刃劍,它在給我們生活帶來巨大便利的同時,也給我們的信息安全構成了巨大威脅。正因為這些威脅的存在,使得人們對網絡安全審計系統的正常功能產生了質疑。針對這種情況,本文在闡述網絡安全審計系統特點及功能的基礎上,對網絡安全審計系統的設計進行了研究。希望本文的提出,能為提高網絡安全管理提供強有力的參考依據。
1 安全審計系統的功能應用研究
1.1 系統的實際應用情況
一般來講,只要安全審計系統投入使用,該系統便能非常準確的、全面的將用戶在網上的各項操作以及數據庫服務器的運行狀況記錄下來。如果出現以下類型事件如企業員工利用電子郵箱或網絡共享的方式進行文件傳遞時,遇到文件信息泄露情況;企業員工借助論壇平臺,發表一些對社會可能造成不良影響的言論時;網絡維護人員在對計算機網絡進行維護的過程中,使用違規炒作對系統數據庫進行操作,致使業務系統的安全性得不到有效維護。只要出現上述類型的事件,安全審計系統都能實行快速定位功能,找出事件的主要負責人,從而為網絡違規事件的處理善后工作提供便利條件。除此之外,網絡安全審計系統還能實時掌控網絡的運行狀況,防止那些重要的機密性信息的泄漏,通過對內部網絡數據信息進行實時的監控,以智能化的手段對信息進行分析、預估及檢測,準確定位那些可能影響系統安全運行的因素,為營造一個更加健康、更加和諧、更加穩定的網絡信息環境提供保障。
1.2 安全審計系統的運行方式及部署
不可否認,安全審計系統主要致力于審計網絡安全行為,因此,旁路無疑是一種非常可行的部署策略。通常來講,安全審計系統都必須具備一定數量的以太網接口,而且網絡傳輸速度應保證大于200Mbps,其中一個以太網接口用作設備控管,其它的以太網接口用作數據收集、分析、處理、回收接口。就目前來講,應用最普遍的以太網接口主要有兩個,它們分別用于接入局域網服務器的交換機及關鍵部位的交換機中。通過局域網服務器的操作行為以及審計數據庫的運行狀況,對互聯網用戶的上網信息進行實時審計。通常來講,安全審計系統的指揮中心都設置在同一臺服務器上,它的主要功能是對安全審計系統的日志進行接收及存放。
2 網絡安全審計系統的設計
本文在CC標準體系的指導下,設計了一套較為完整的網絡安全審計系統,該系統具有多層次的結構特點,現將系統結構及設計方案分析如下。
2.1 系統結構
在某種程度上可以將網絡安全審計系統看作是一種多層次上的審計,它既能滿足低層次網絡通信的審計要求,又能滿足高層次網絡應用服務的審計要求。因此,網絡安全審計系統的目標是實現多層次的審計,其結構圖如圖1所示。
不同層次的審計結構完成不同層次的審計要求,對于那些數量較多且比較分散的大規模網絡,整個網絡系統都應覆蓋安全審計系統,即實現安全審計系統的全方位審計,只有這樣,才能保證網絡的整體安全性。從這方面來講,網絡安全審計系統是一種全面審計的系統。
通過在網絡上建立一支有效的“巡警隊伍”,該“巡警隊伍”能夠對整個網絡系統進行審計。網絡安全審計系統主要由網絡審計設備、網絡審計軟件以及網絡審計中心三部分構成。網絡審計設備的主要作用是將網絡上傳送的信息進行還原,并分析其入侵性,即所謂的低層次審計環節,網絡審計設備能以旁路的方式接入系統中;網絡審計軟件則以嵌入的方式計入主機操作系統中,它的主要功能是收集異常事件,完成中層審計環節,此外網絡審計軟件還配備高層應用接口,因此具備一定的高層審計功能;網絡審計設備及軟件通常安置在所需監視網絡的關鍵節點上,起到數據信息接收及發送的作用。網絡審計中心則能夠分析處理數據,起到控制管理網絡審計設備、軟件的作用。
2.2 功能的設計
網絡安全設計系統主要由探測器及審計主機構成,首先,它既不用作網絡串聯設備;其次,它也不影響網絡結構構成;最后,它不會妨礙業務的正常運行。本文以下內容就對網絡安全審計系統的設計問題進行分析。
2.2.1 數據庫管理及審計模塊
在該模塊中,通過對數據庫的關鍵性操作行為進行審計,現對信息系統中每一位用戶的訪問狀況進行跟蹤、分析,對這些用戶的登陸及退出操作進行審計,從而實現準確回顧SQL語句的作用,從根本上保證數據庫運行狀況的安全可靠性。
2.2.2 主機審計模塊
主機審計模塊主要用戶對關鍵區域內的客戶機進行審計訪問,它的主要工作內容是設定必要的計算機終端訪問權限,提高終端訪問門檻。此外,該模塊還會對那些安全系數較低的軟件進行審計,為配置審計對策以及網絡的安全運行提供保障。
2.2.3 網絡審計模板
該模板能夠起到加強系統的控制及審計能力,在強化系統信息控制管理方面發揮著重要作用。網絡審計模板的正常運行,能夠有效地防止非法內外連接現象,實現對網絡信息的實時監控,通過采取雄厚的技術力量防止信息泄露事故的出現。
2.2.4 運行維護審計模板
運行維護審計模板的主要作用是對第三方的運行維護員工進行監控,它的工作重點在于對系統各項操作行為進行科學細膩的審計。另外,針對于所有遠程訪問設備的會話連接,從而實現同步過程監控的目標,在系統監控畫面上,系統運行維護員工執行的每一項操作都會清楚的顯示出來。系統管理員能夠根據系統實際情況,及時阻斷那些違反操作規定的操作會話,并把訪問者以及被訪問人員的訪問時間段以及與之相對應的 IP/MAC 地址記錄下來。
3 結束語
安全問題隨著計算機的問世而隨著產生,尤其是在網絡盛行的今天,許多部門及企業更是將網絡安全問題提到了議事日程。因此,構建一個科學合理的計算機網絡安全審計系統,對于銀行、大型企業、證券公司以及科研院校等對網絡安全有較高要求的地方顯得尤為重要。本文在闡述網絡安全審計系統功能應用的基礎上,設計出了一套較為完整的網絡安全審計系統。實踐證明,該系統能夠對網絡運行狀態進行實時監視,極大地提高了計算機網絡的安全防范能力。但是需要指出的是,由于筆者水平有限,希望本文能夠起到拋磚引玉的作用,相關研究人員繼續深化這方面的研究,為設計出更加高效的網絡安全審計系統而不懈努力[4]。
參考文獻
[1] 吳承榮,謬健,張世永. 網絡安全審計系統的設計和實現[J].計算機工程,1999, (25):171-174.
[2] 石 彪, 胡華平,劉利枚. 網絡環境下的日志監控與安全審計系統設計與實現[J].福建電腦,2004,(12):43-44.
1利用網絡及安全治理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質記錄竊取資產。
2利用網絡遠距離竊取企業的商業秘密以換取錢財,或利用網絡傳播計算機病毒以破壞企業的信息系統。
3建立在計算機網絡基礎上的電子商貿使貿易趨向“無紙化”,越來越多的經濟業務的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產的所有權進行轉移。
計算機網絡帶來會計系統的開放與數據共享,而開放與共享的基礎則是安全。企業一方面通過網絡開放自己,向全世界推銷自己的形象和產品,實現電子貿易、電子信息交換,但也需要守住自己的商業秘密、治理秘密和財務秘密,而其中已實現了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創造一個安全的環境,抵抗來自系統內外的各種干擾和威協,做到該開放的放開共享,該封閉的要讓黑客無奈。
一、網絡安全審計及基本要素
安全審計是一個新概念,它指由專業審計人員根據有關的法律法規、財產所有者的委托和治理當局的授權,對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證,并作出相應評價。
沒有網絡安全,就沒有網絡世界。任何一個建立網絡環境計算機會計系統的機構,都會對系統的安全提出要求,在運行和維護中也都會從自己的角度對安全作出安排。那么系統是否安全了呢?這是一般人心中無數也最不放心的問題。應該肯定,一個系統運行的安全與否,不能單從雙方當事人的判定作出結論,而必須由第三方的專業審計人員通過審計作出評價。因為安全審計人員不但具有專門的安全知識,而且具有豐富的安全審計經驗,只有他們才能作出客觀、公正、公平和中立的評價。
安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業根據詳細的計算機應用,結合單位實際制定出的安全控制要求。安全漏洞是指系統的安全薄弱環節,容易擾或破壞的地方。控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置方法及各種規范制度。控制測試是將企業的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執行、對漏洞的防范是否有效,評價企業安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業技術知識與技能。
安全審計是審計的一個組成部分。由于計算機網絡環境的安全將不僅涉及國家安危,更涉及到企業的經濟利益。因此,我們認為必須迅速建立起國家、社會、企業三位一體的安全審計體系。其中,國家安全審計機關應依據國家法律,非凡是針對計算機網絡本身的各種安全技術要求,對廣域網上企業的信息安全實施年審制。另外,應該發展社會中介機構,對計算機網絡環境的安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對企業的計算機網絡系統的安全作出評價的機構。當企業治理當局權衡網絡系統所帶來的潛在損失時,他們需要通過中介機構對安全性作出檢查和評價。此外財政、財務審計也離不開網絡安全專家,他們對網絡的安全控制作出評價,幫助注冊會計師對相應的信息處理系統所披露信息的真實性、可靠性作出正確判定。
二、網絡安全審計的程序安全
審計程序是安全監督活動的詳細規程,它規定安全審計工作的詳細內容、時間安排、詳細的審計方法和手段。與其它審計一樣,安全審計主要包括三個階段:審計預備階段、實施階段以及終結階段。
安全審計預備階段需要了解審計對象的詳細情況、安全目標、企業的制度、結構、一般控制和應用控制情況,并對安全審計工作制訂出詳細的工作計劃。在這一階段,審計人員應重點確定審計對象的安全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。
1了解企業網絡的基本情況。例如,應該了解企業內部網的類型、局域網之間是否設置了單向存取限制、企業網與Internet的聯接方式、是否建立了虛擬專用網(VPN)?
2了解企業的安全控制目標。安全控制目標一般包括三個方面:第一,保證系統的運轉正常,數據的可靠完整;第二,保障數據的有效備份與系統的恢復能力;第三,對系統資源使用的授權與限制。當然安全控制目標因企業的經營性質、規模的大小以及治理當局的要求而有所差異。
3了解企業現行的安全控制情況及潛在的漏洞。審計人員應充分取得目前企業對網絡環境的安全保密計劃,了解所有有關的控制對上述的控制目標的實現情況,系統還有哪些潛在的漏洞。
安全審計實施階段的主要任務是對企業現有的安全控制措施進行測試,以明確企業是否為安全采取了適當的控制措施,這些措施是否發揮著作用。審計人員在實施環節應充分利用各種技術工具產品,如網絡安全測試產品、網絡監視產品、安全審計分析器。
安全審計終結階段應對企業現存的安全控制系統作出評價,并提出改進和完善的方法和其他意見。安全審計終結的評價,按系統的完善程度、漏洞的大小和存在問題的性質可以分為三個等級:危險、不安全和基本安全。危險是指系統存在毀滅性數據丟失隱患(如缺乏合理的數據備份機制與有效的病毒防范措施)和系統的盲目開放性(如有意和無意用戶常常能闖入系統,對系統數據進行查閱或刪改)。不安全是指系統尚存在一些較常見的問題和漏洞,如系統缺乏監控機制和數據檢測手段等。基本安全是指各個企業網絡應達到的目標,其大漏洞僅限于不可預見或罕預見性、技術極限性以及窮舉性等,其他小問題發生時不影響系統運行,也不會造成大的損失,且具有隨時發現問題并糾正的能力。
三、網絡安全審計的主要測試
測試是安全審計實施階段的主要任務,一般應包括對數據通訊、硬件系統、軟件系統、數據資源以及安全產品的測試。
下面是對網絡環境會計信息系統的主要測試。
1數據通訊的控制測試數據通訊控制的總目標是數據通道的安全與完整。詳細說,能發現和糾正設備的失靈,避免數據丟失或失真,能防止和發現來自Internet及內部的非法存取操作。為了達到上述控制目標,審計人員應執行以下控制測試:(1)抽取一組會計數據進行傳輸,檢查由于線路噪聲所導致數據失真的可能性。(2)檢查有關的數據通訊記錄,證實所有的數據接收是有序及正確的。(3)通過假設系統外一個非授權的進入請求,測試通訊回叫技術的運行情況。(4)檢查密鑰治理和口令控制程序,確認口令文件是否加密、密鑰存放地點是否安全。(5)發送一測試信息測試加密過程,檢查信息通道上在各不同點上信息的內容。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與企業內部網之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如,防火墻應具有拒絕任何不正確的申請者的過濾能力,只有授權用戶才能通過防火墻訪問會計數據。
2硬件系統的控制測試硬件控制測試的總目標是評價硬件的各項控制的適當性與有效性。測試的重點包括:實體安全、火災報警防護系統、使用記錄、后備電源、操作規程、災害恢復計劃等。審計人員應確定實物安全控制措施是否適當、在處理日常運作及部件失靈中操作員是否作出了適當的記錄與定期分析、硬件的災害恢復計劃是否適當、是否制定了相關的操作規程、各硬件的資料歸檔是否完整。
3軟件系統的控制測試軟件系統包括系統軟件和應用軟件,其中最主要的是操作系統、數據庫系統和會計軟件系統。總體控制目標應達到防止來自硬件失靈、計算機黑客、病毒感染、具有特權職員的各種破壞行為,保障系統正常運行。對軟件系統的測試主要包括:(1)檢查軟件產品是否從正當途徑購買,審計人員應對購買訂單進行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實只有授權的軟件才安裝到系統里。
4數據資源的控制測試數據控制目標包括兩方面:一是數據備份,為恢復被丟失、損壞或擾的數據,系統應有足夠備份;二是個人應當經授權限制性地存取所需的數據,未經授權的個人不能存取數據庫。審計測試應檢查是否提供了雙硬盤備份、動態備份、業務日志備份等功能,以及在日常工作中是否真正實施了這些功能。根據系統的授權表,檢查存取控制的有效性。
5系統安全產品的測試隨著網絡系統安全的日益重要,各種用于保障網絡安全的軟、硬件產品應運而生,如VPN、防火墻、身份認證產品、CA產品等等。企業將在不斷發展的安全產品市場上購買各種產品以保障系統的安全,安全審計機構應對這些產品是否有效地使用并發揮其應有的作用進行測試與作出評價。例如,檢查安全產品是否經過認證機構或公安部部門的認征,產品的銷售商是否具有銷售許可證產品的安全保護功能是否發揮作用。
四、應該建立內部安全審計制度
【 關鍵詞 】 管控;校園網;信息安全;安全策略;安全審計
Research on Campus Network Management and Control of Information Security
Wu Shao-jia Liao Li
(Zhaoqing Radio & Television University Guangdong Zhaoqing 526060)
【 Abstract 】 Protection of campus network security is the focus and key points on the information work, As the ongoing in-depth information security management and monitoring processes, The problems of Potential Network Information Security is exposed, You can construction out the strategy of security applies to campus Information Network System, and take effective measures solution its security problem, Improves the network operation level , Supply the information and data protection with safety measure of reached the security requirements and construction target for campus network.
【 Keywords 】 management and control; campus network; information security ; security strategy; security audit
0 引言
數字校園是推進實現我國教育信息化的重點建設目標之一,數字信息化應用在我國教育現代化的進程中起到了強大的推動力。校園網是學校數字信息化建設重要的基礎設施,是學校實現數字信息化的重要組成平臺,在教學支持服務、教學教務管理、科學研究、行政管理和校內外信息交流等許多方面都起到了重大作用。許多學校的工作已經完全通過信息網絡系統來運轉,隨著信息化建設規模的擴大深入以及計算機信息網絡技術的不斷擴展和增強,在校園網中潛在威脅安全問題暴露無遺,校園網絡安全的形勢日益嚴峻。如何保障學校內部重要信息的安全,使得重要數據信息不被竊取,是學校信息安全工作當前要面臨的首要挑戰。
1 校園網信息安全需求
隨著校園網應用的深入,校園網上各種信息數據急劇增加,結構性不斷提高,用戶對網絡性能要求的不斷提高,網絡信息安全成為網絡技術發展中一個極其關鍵的任務。校園網信息安全的需求概括有四個方面。
(1)用戶安全:用戶安全分成管理員用戶安全和業務用戶安全。
(2)網絡硬環境安全 :網絡連接安全,校園網中的子網與其他網絡連接的網絡安全,各個專用的業務子網的安全。
(3)網絡軟環境安全:即校園網的應用環境安全。
(4)傳輸安全:數據的傳輸安全,主要是指校園網內部的傳輸安全、校園網與公網(教科網)之間的數據傳輸安全以及校園網與分校區之間的數據傳輸安全。
校園網絡系統通常只是在校內使用的教學辦公網絡,是一個相對封閉的局域網系統,可不考慮外來的入侵行為,所面臨的風險大多始于內部,包括來自學校內部人員的威脅、非授權訪問、冒充合法用戶、破壞數據的完整性、數據篡改、泄漏與丟失等。眾多不同的安全技術和產品,在技術上缺乏完善的綜合管理平臺進行統一協調管理;而在管理上則欠缺良好的安全管理體制和策略,這就直接導致了整個安全體系的薄弱,造成網絡整體安全防御能力下降,無法真正達到安全要求和建設目標。因此,使用訪問控制及內外網的隔離,使用內部網不同網絡安全域的隔離及訪問控制,使用網絡安全檢測。解決校園網信息安全問題的重要方法,是在校園內網中采用不同的安全產品和技術構建多層次的安全防范體系,并在這個體系中部署信息安全審計措施以監督信息系統,發現和追查信息系統中潛在的安全問題,彌補其它安全產品對信息安全管控的不足。
2 管控信息安全的策略
信息安全是高技術的對抗,信息安全問題是要通過大力發展信息安全高技術來解決。但同時必須清醒地認識到,要高效地解決信息系統的安全問題,除了從技術上下功夫外,還得依靠配套的安全管理措施來實現。一定要部署校園網安全審計與監控體系配套管理措施,對信息安全審計工作必須要堅持管理與技術并重的原則,建立和完善信息安全配套管理制度和規范,加強管理落實責任,注重通過加強管理彌補技術上的不足。
首先要建立相對獨立的學校信息安全審計機構,明確管理組織內各個角色所承擔的具體審計職能。在一個審計機構中具體應當包括幾種角色。
(1)系統管理員:系統管理員主要負責對審計系統的配置和系統運行狀況的維護。
1計算機網絡安全檢查
計算機在搜集信息的同時,加強對計算機信息檢查工作力度是確保信息安全輸入和輸出的有效手段,是做好重要信息安全保密工作重要途徑。加強計算機網絡檢查工作要做好以下幾個方面。首先,要建立相關制度,有規可循。在嚴格遵循制度下,對計算機網絡信息安全保密進行檢查的部分要嚴格管理,通過使用技術保障信息安全。檢查部門要建立相關管理程序。關于計算機網絡信息的檢查要嚴格按照制度進行,對于犯罪分子要嚴懲不貸。檢查部門要定期檢查計算機信息設備,對于網絡場所要嚴格規定其做好保密措施,督促用戶下載正規的軟件,使用正規網站。其次,檢查部門要提高技術,壯大力量,這是做好檢查工作的關鍵。目前,我國對計算機網絡安全信息檢查的專業人員較少,力量不夠。因此,在提高技術加強信息保密工作的同時壯大隊伍,吸引更多的人才對于檢查工作順利進行和取得好的效果有重要作用。另外,配全措施。為了保證信息安全,配全措施是保證。計算機網絡信息共享性使得信息很容易被惡意盜取,因此在計算機網絡中加強權限管理,不隨意透露用戶信息,能夠有效防止信息盜取。計算機網絡安全檢查部門要對計算機中心的設備進行加密,由于我國計算機組件多數進口其他國家,因此對這些進口的組件要進行詳細的檢測,在網絡中心安裝防火墻,確保外帶的病毒侵入網絡。對于黑客對計算機網絡的安全,檢查部門要根據其特征,建立檢測系統,對需要保密的數據實施指紋或者臉部認證。除此之外,作為計算機安全檢查部門的工作人員要定期對保密信息做好記錄,對有問題的系統要及時檢查并加以處理。
2計算機網絡安全防范關鍵技術
除了人為的對計算機網絡完全進行管理和檢查外,使用技術維護網絡安全也是有效的手段。計算機網絡安全防范技術這里介紹以下幾種:入侵預防技術:如果只是對計算機設備進行檢測還不足以完全保證計算機網絡的安全。入侵預防技術就是防患于未然,對病毒進行攔截。入侵預防技術能夠對網絡行為進行辨別,處理正當和不正當網絡行為。一旦發現有惡意侵入計算機網絡系統的程序或軟件就會進行消除。計算機網絡安全審計技術:這種技術是通過檢查和監控完成工作。計算機網絡安全審計工作包括入侵檢測系統,漏洞掃描心痛,安全審計系統等等,入侵檢測系統是防火墻技術的補充,能夠保證信息完整。這種技術的運行是主動的,能夠有效地減少病毒給計算機安全帶來的損失。數據加密技術:很顯然,這種技術是對計算機內信息和數據加密來維護計算機信息安全的。數據加密技術是通過設置密文而不被惡意截取。數據加密算法是數據加密技術普遍使用的,這種技術算法快速,但是管理復雜,還有一種算法是公開密鑰算法,這種算法速度比較慢但是管理比較簡單。無論使用何種算法對數據進行加密,只要使用恰當,這些算法在計算機網絡安全工作中都有利于保證信息安全。漏洞掃描技術:漏洞掃描包括終端掃描和黑客模擬攻擊。掃描計算機終端主要是為了檢查漏洞是否存在。黑客模擬攻擊是通過模擬黑客對計算機攻擊,測試計算機安全漏洞。漏洞掃描技術能夠有效保證數據庫完整和安全,同時用戶也能自己對漏洞庫進行配置更新。
3結論
計算機網絡安全問題危害了國家和個人的安全,因此要及時地加以處理。計算機網絡安全問題的處理需要技術支持和管理支持。在處理問題時要綜合考慮各種問題,確保問題能夠有效得到處理。
關鍵詞:信息系統;審計;安全;計算機技術
中圖分類號:F239 文獻標識碼:A 文章編號:1007-9599 (2011) 23-0000-01
Information system Audit Content Study Research
Wang Huilin,Wang Zenghui,Guan Ning
(School of Information Science,Jilin Agricultural University,Changchun 130118,China)
Abstract:Information Systems Audit and Control in China despite the late start,but its importance is increasingly apparent.Clear that the Auditor General Liu Jiayi,information systems audit to seize three key points,namely,safety,effectiveness(reliability)and the economy.Therefore,
the content of information systems audit has become a concern of auditors,this paper will analyze the information systems auditing concepts and objectives,summed up the information systems audit institutions to audit the main content.
Keywords:Information system;Audit;Security;Computer technology
一、我國信息系統審計發展現狀
2005年大連中行員工翟昌平因利用銀行系統漏洞竊取銀行800萬美元現金而落網,同年,相繼在黑龍江、重慶類似的案件頻有發生。這些案件的破獲均是在企業進行內部信息系統審計時發現的。2006年許霆因利用銀行取款機漏洞竊取銀行17.5萬元現金的落網。特別近兩年以來時有地方政府網站被惡意篡改,2008年荊州市商務局的網站被“黑”,據國內信息安全機構報道,整個2009年,全國平均每天有1%的政府網站被“黑”,其中主要原因是口令過于簡單和文件漏洞太多。
以上種種案件表明,所有案件均是在事后,都是已經對國家人民財產造成了危害損失后發現的,怎樣才能避免這類情況的發生,信息系統安全防范工作已經成為信息時代的主要問題,對信息系統開展安全審計已經成為審計機關保護國家財政財務安全,充分發揮審計“免疫系統”功能的重要措施。
二、信息系統審計概念與目標
到底信息系統審計應如何定義呢?美國信息系統審計學科的領跑者Ron Weber給信息系統審計做出了如下概括:“收集并評估證據,以判斷一個信息系統是否有效做到保護資產、維護數據完整、完成組織目標,同時最經濟的使用資源”。
根據信息系統審計的概念,我們可以總結出審計機關開展信息系統審計的目標是:確認資產安全性、保證數據完整性、認定系統合規性。
三、審計機關開展信息系統審計的內容
(一)信息系統資產安全性審計
那么信息系統審計需要做那些事情才能有效控制資產安全呢?我們要從以下幾個方面著手:1.對系統基礎設施及環境的審計。審計范疇為:硬件環境與防災、主機硬件安全、底層支撐系統安全、通信線路安全、數據存儲/IO安全、物理訪問控制。2.網絡安全審計。目前的網絡安全審計的解決方案有以下幾類:
日志審計:目的是收集日志,通過SNMP、SYSLOG、OPSEC或者其他的日志接口從各種網絡設備、服務器、用戶電腦、數據庫、應用系統和網絡安全設備中收集日志,進行統一管理、分析和報警。
主機審計:通過在服務器、用戶電腦或其他審計對象中安裝客戶端的方式來進行審計,可達到審計安全漏洞、審計合法和非法或入侵操作、監控上網行為和內容以及向外拷貝文件行為、監控用戶非工作行為等目的。
網絡審計:通過旁路和串接的方式實現對網絡數據包的捕獲,而且進行協議分析和還原,可達到審計服務器、用戶電腦、數據庫、應用系統的審計安全漏洞、合法和非法或入侵操作、監控上網行為和內容、監控用戶非工作行為等目的。
(二)信息系統數據完整性審計
根據上述對數據完整性的定義,我們可以確定數據完整性審計應包括以下幾個內容:1.應用控制審計。應用控制審計是直接針對業務系統根據用戶反饋、用例測試結果、實際業務數據、代碼分析結果發現系統風險及其對業務的直接影響。2.輸入輸出控制審計:輸入控制審計要點:CONTROL TOTALS、多點錄入、終端訪問控制、Session窗口控制。輸出控制審計要點:訪問控制、緩沖區安全、派發路徑安全。3.數據審計。通過直接獲取數據庫數據,對實體完整性、用戶定義完整性、參照完整性、域完整性的驗證,來確認信息應用系統設計和獲取的完整性。
(三)信息系統合規性審計
合規性審查主要包含技術合規性。技術合規性是指被審計對象開發技術是否符合軟件工程國家標準,包括基礎標準(ISO 9000標準族)以及開發標準、文檔標準、管理標準(GB標準族)。
系統合規性的主要審計內容就是進行代碼審計輔以數據審計,簡單的說就是審計代碼規范性,代碼安全性(例如,在對某商業銀行進行審計過程中發現,由于代碼員的經驗問題,在撰寫計算還款利息時的公式時發生錯誤,導致每筆還款利息多計算1分錢),關鍵處理流程正確性(此處旨在檢查業務邏輯是否符合相關的法律法規以及規章制度),后門、調試與邏輯炸彈,以此來保證系統的正確性和合規性。
四、總結
本文通過對國內信息系統審計發展現狀及相關理論政策研究,推理出審計機關信息系統審計的概念及目標,根據信息系統審計目標總結了在我國審計機關開展信息系統審計的主要內容,即信息系統資產安全性審計、數據完整性審計、合規性審計,并詳細闡述了這三方面審計的具體內容。
參考文獻:
[1]Ron Weber主編.Information Systems Control and Audit.2001
[2]王智玉.信息系統審計是做什么的.
2012年4月25日,任子行正式在深交所創業板掛牌上市,證券簡稱“任子行”,證券代碼“300311”。通過十多年的技術和品牌積累,任子行已取得了國家級、省部級網絡信息安全領域一百多項重要資質和兩百多項重大榮譽,客戶數量達到了7萬多家,現已發展成為國家信息安全支撐性單位,并已被業界盛譽為“網絡應用審計專家”。
自主創新 不斷跨越
任子行從最早的保護青少年健康成長的信息技術服務提供商發展成為國家信息安全領域的支撐性單位,目前它擁有網絡內容與行為審計、監管最全面的產品線,產品可以覆蓋PC端、云端、數據中心端,為各類企事業單位提供全方位的網絡審計和監管產品。
目前,任子行擁有六大業務線,包括公安、網絡安全、廣電、輿情、運營商以及信息安全工程等。其中囊括了NET110安全審計、互聯網安全審計、無線網絡審計、任天行網絡安全管理系統(RT/RAG)、任子行下一代防火墻(NGSA)、任子行Web防護系統(WAF)、任子行運維安全審計系統(堡壘機SAS)、任子行數據庫審計系統(DBA)、互聯網視音頻審計、互聯網輿情監測系統、運營商信息安全管理系統、IP域名資源管理系統、IDC信息安全審計管理、ICP域名備案管理系統等諸多系列的全面產品線和解決方案。
任子行主要從事網絡內容與行為審計和監管產品的研發、生產、銷售,并提供安全集成和安全審計相關服務,它非常重視在研發和技術領域的投入。在各類業務線的產品和解決方案中,其中完全自主知識產權產品有30多項。在底層技術方面,任子行擁有40多項核心技術,包括智能爬蟲技術、海量數據分析技術、精準協議分析技術和并行協議棧FPGA捕包技術。
自2001年起,任子行先后承擔國家各類逾30個科研課題的研發,具有行業領先的前瞻性技術積累。在技術研發方面,任子行目前的技術和研發人員比例占60%以上。2012年,隨著公司上市成功,圍繞“網絡內容與行為審計產品升級優化項目”、“網絡信息安全監管平臺建設項目”、“研發中心擴建項目”三個募投項目展開創新研發,并加大了研發投入,比上年同期增長25%。
同時,任子行通過引進軟件能力成熟度模型認證,理順了研發體系,完善了產品中心和技術中心的運轉機制,研發活動與業務線聯系更加緊密,以便為用戶提供更高質量的產品和服務。
拼搏奮進 發展強大
任子行網絡技術股份有限公司有兩個全資子公司:任網游科技發展有限公司和任子行科技開發有限公司;一個控股子公司:深圳市博海通訊技術有限公司;一個參股子公司:北京中天信安科技有限責任公司。目前,公司在深圳南山、深圳龍崗、北京和武漢設有4個研發中心、7家分公司和20多個駐外機構,并在主要大中城市設置了營銷網點和技術支持中心,形成了覆蓋華中、華南、西南、西北、東北、華東和華北等區域的市場銷售和服務體系。任子行團隊中90%的員工擁有本科、碩士、博士以上學歷,73%都在30歲以下, 形成了年輕化、知識化和創新化的人才梯隊,為任子行產品的研發、生產、銷售奠定了堅實的人才基礎。
勵精圖治 鑄就輝煌
憑借在網絡信息安全領域的不懈創新和辛勤耕耘,現在任子行網絡技術股份有限公司是“國家布局內重點軟件企業”和“國家計算機重點實驗室”,并先后被國家發改委認定為“國家高技術產業化示范工程單位”,被國家密碼管理局認定為“商用密碼產品生產定點單位”,被國家保密局認定具有“涉及國家秘密的計算機信息系統集成資質(軟件開發)”,通過中國信息安全認證中心“信息安全應急服務資質認證(貳級)”,被工業和信息化部認定為具有“計算機信息系統集成資質(貳級)”;擁有“廣東省計算機信息系統安全服務資質(壹級)”、“省級網絡安全應急服務支撐單位”、首批“深圳市自主創新行業龍頭企業”、深圳市首批“國家級高新技術企業”、“廣東省著名商標”、“十網絡安保紅盾專項工作先進單位”等重要資質和重大榮譽,同時公司率先在行業內通過ISO9001:2008質量管理體系認證,并于2012年成功導入CMMI3。
在國家和行業重大科技攻堅項目方面,任子行承擔了國家863計劃、國家發改委信息安全專項、金盾工程、國家242等信息安全專項、國家創新基金項目等30余項課題的研發,并參與了公安部、工業和信息化部等5項國家、行業信息安全技術標準的制訂。任子行研發項目多次被科技部列入國家級火炬計劃和重點新產品計劃,產品分別榮獲教育部科技進步一等獎、北京市科學技術一等獎、廣東省科學技術三等獎、深圳市科學技術進步一等獎、深圳市科技創新獎等重大獎項。
全力以赴 堅定不移
作為中國最早涉足網絡信息安全領域的企業之一,任子行成立十余年來,秉承“誠信、敬業、協同、創新”的企業精神,以鑄造最具競爭力的網絡信息和行為管理產品民族品牌作為公司發展的原動力,致力于“綠色、高效和安全網絡”技術和產品的研發。“誠信”即做人之道、立身之本,一個人、一個家庭、一個企業、一個國家都一樣;“敬業”即敬業樂群、忠于職守,是基于對一件事情、一種職業的熱愛而產生的一種全身心投入的精神,是社會對人們工作態度的一種道德要求;“創新”即革故鼎新、立于不敗,特別是對于網絡信息安全領域,威脅、需求、技術更新換代快,更需要創新;“協同”即和諧合作、志同道合,一個個體的能力和資源是有限的,圍繞同一個目標協同合作,才能發揮1+1>2的效應。
工業控制領域網絡危機四伏
2010年,伊朗核電站遭受“Stuxnet(震網)”蠕蟲病毒攻擊,打開了網絡攻擊癱瘓實體空間的大門,關鍵性基礎設施的安全成為全世界關注的焦點。2015年,烏克蘭電網系統遭“Black Energy(黑暗力量)”的攻擊。業內人士指出,支撐能源、通信、電力、金融、交通等重要行業運行的關鍵信息基礎設施成為網絡戰的首選目標。工廠使用的控制電腦的軟件一般都是特別定制版,而且不與外部互聯網聯通。但在黑客面前,物理隔絕并非不可逾越的天塹,通過局域網和USB接口進行傳播,定點干擾工業控制軟件的病毒早已產生,甚至通過發熱量、輻射、風扇噪聲等入侵物理隔離網絡的案例也已出現。工業控制領域網絡安全成為焦點,各國均加大了在該領域的投資。
工業控制領域網絡安全隱患尤為突出
我國信息網絡關鍵基礎設施網絡安全防護能力薄弱。“震網”病毒事件后,據權威部門統計,我國工業系統100%使用西門子工業控制系統,這意味著我國的工業控制系統存在網絡安全隱患。尤其是隨著工業化與信息化進程的不斷交叉融合,以及物聯網的快速發展,越來越多的信息技術應用到工業領域。我國已經將數據采集與監控(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等工業控制系統廣泛運用于電力、工業、能源、交通、水利、市政等領域,甚至直接用于控制生產設備的運行。“中國制造2025”戰略的提出,使得國內工業控制領域正在發生重大的變革。同時,由于我國大規模使用國外的網絡信息關鍵產品,在短期內很難完全替代它們,工業控制領域網絡安全成為事關國家安全、社會穩定、經濟發展的大問題。
先進工控安全領域創業公司涌現,發展模式引人注目
近兩年,一些有識之士充分認識到,工業控制領域網絡安全的需求日益凸顯,因此必須整合信息安全與自動化方面的人才,專注工控安全領域網絡安全產品的研發。這類典型廠商包括北京網藤科技有限公司、北京威努特技術有限公司、北京匡恩網絡科技有限公司等。這類公司的特點是100%的業務都是工控安全,全力投入到工控安全行業。
其中,網藤科技是工控安全領域的一匹黑馬,成立于2016年3月,團隊均來自工控安全領域頂尖的企業。公司的組織結構具有包容、開放、共享的特色,業務以工業控制網絡安全為核心,深耕石化、電力、冶金、軌道交通、煙草、測評中心等國家重點行業,提供覆蓋設備檢測、安全服務、威脅管理、安全數據庫、智能保護、檢測審計的自主、可控、安全的生命全周期解決方案。公司旗下的主打產品工控安全防護系統為針對工業網絡安全的入侵檢測系統,通過公安部權威檢測,達到NIPS國標一級;工控安全審計系統為針對工業網絡安全的信息審計系統,通過公安部權威檢測,達到網絡通信安全審計行標增強級。
工控領域網絡安全廠商任重道遠
目前,工業控制信息安全建設還處于初級階段,各個廠商的安全產品進入市場存在諸多現實困難,亟待國家政策支持。工業控制系統網絡安全產品缺乏統一檢測認證標準,亟待頒發自主可控的“準生證”。國家堅定“自主可控”導向,為國內網絡安全廠商的發展帶來重大機遇。但存在的現實問題是,國家權威測評認證機構普遍缺乏針對“自主可控”網絡安全產品的測評認證標準。尤其在工業控制領域,由于涉及范圍廣,跨越領域多,實際操作起來難度更大。因此,在加緊推動網絡安全產品自主研發的同時,亟待國家層面的統籌,加速推動自主可控網絡安全產品的落地生根。
[關鍵詞]數據庫;安全技術;問題探討
在數據庫系統中,數據庫系統應用安全十分重要,由于其數據大量集中存放,一旦出現操作失誤、病毒感染、黑客攻擊以及軟件故障等現象都會影響計算機數據庫的正常運行。由此可見,數據庫安全防范技術的應用具有極其重要的作用。為了更好地分析和研究數據庫安全技術,本文將從數據庫及其安全出發,對計算機數據庫安全技術以及加強數據庫安全防范的應對策略進行簡單分析。
1數據庫及其安全性
數據庫是計算機存儲和使用的最基本方式,所有的計算機語言表達和應用都是在數據庫的基礎上運行的。隨著數據庫技術的應用和發展,也提高了計算機技術水平,而計算機技術的創新發展也必將給數據庫安全帶來更高的要求。數據庫是一個大概念、大系統,也是計算機網絡運行的重要基礎。數據庫系統中一般存儲的是保障計算機運行的重要信息以及用戶的基本資料等,因此如果數據庫的安全不能得到保障,那么就會給計算機安全帶來風險。所謂數據庫安全主要包含數據訪問和數據恢復兩個方面的內容,保證數據訪問的安全性可以使用戶直接獲取自己權限范圍內可以訪問到的數據。數據恢復的安全性是指在系統發生錯誤或者崩潰的情況下,仍可以準確、安全地恢復受損數據。
2計算機數據庫安全技術
從數據庫產生的過程看,數據庫的安全問題是一直存在的,而且在計算機技術不斷發展的過程中,數據庫安全問題的危害性也在增強,基于數據庫安全問題的增多也使得數據庫安全防范的形勢更加嚴峻。當前的數據庫安全防范主要通過相關技術對一系列的訪問進行限制、控制、審計,再加上運用一定的計算機加密技術保障信息安全,這些也是目前計算機數據庫安全技術的重要方面。
2.1訪問控制和存取管理技術
計算機技術實現了主體和用戶之間的聯系,并在相互聯系的過程中實現了信息數據的互動和傳遞,在這個過程中就會涉及數據庫安全問題,因此計算機數據庫安全問題可以理解為用戶和主體之間的問題。在用戶向主體申請信息訪問的時候,只有通過主體的驗證和授權,才可以訪問基本的數據和程序。因此,數據庫需要加強用戶訪問控制,管理和控制一切的違法行為,制定特定的審核程序,進而保證數據庫的安全性和使用性。數據庫安全的重要方面就是在于信息存儲和訪問,很多安全問題都是從惡意訪問和入侵開始的,網絡工程師要能夠在訪問控制以及存取管理方面進行完善并制定有效的防范措施,才能夠有效保障系統的安全性。
2.2安全審計
安全審計是數據庫安全防范的重要環節之一,正常情況下只有方案通過了系統評估才會對數據庫進行安全應用,而由于安全審計自身的特點也決定了安全審計工作的連續性。審計追蹤是安全審計的重要方法之一,由于通過人工審計追蹤具有一定的復雜性,因此通常都是采用系統進行評估和審計,通過在數據庫安全防范系統內增加數據庫審計功能模塊,收集、整理和歸納各類行為信息,進而為最終的審計決策提供支持。安全審計人員也正是根據各類數據分析結果完成對數據庫系統的安全檢測,進而及時發現系統是否存在受攻擊行為或者漏洞。同時數據庫系統也可以通過系統自檢,然后對攻擊行為和漏洞進行控制分析。
2.3數據庫加密
數據庫加密技術是目前計算機安全防護的重要技術之一,用戶通過數據庫加密以及系統文件加密保證用戶信息安全是目前安全管理的重要措施。用戶通過安全加密可以更好地保證信息安全,減少信息泄露的風險以及可能性,進而減少各類損失。在數據庫進行加密處理之后,只有用戶才可以通過計算機系統的驗證并實現數據的應用,而不能通過驗證或者不是指定的用戶則會被數據庫自動拒絕使用。正常情況下,用戶只要完成解碼就可以獲取數據庫,這種數據庫安全技術在實踐中也收到了良好的效果,并被很多用戶接受。這對于用戶的要求也是很低的,用戶只需要借助一定的工具或者軟件就可以對數據庫進行加密處理,不僅高效、便捷,而且安全系數也較高。
2.4數據安全傳輸常用協議
2.4.1SSL協議此類協議一般應用于確定用戶身份方面,并且能夠根據用戶信息建立相應的加密標準,目前,SSL協議多應用于瀏覽器以及服務器等方面,但在應用過程中需要安裝相應的數字證書才可以實現自身的功能。從SSL協議的功能來看,一方面可以提供一種數據傳輸方式,另一方面還可以對于數據以及服務器進行必要的驗證,保證安全性。首先,SSL協議可以核實發送者的身份,防止其他冒名用戶進行數據傳輸;其次,SSL協議可以驗證信息接收者的信息和身份,保證能夠準確、安全地將信息傳遞給真正的接收者;最后,SSL協議可以保證數據在傳輸過程中不被侵害或者篡改,保證數據傳輸的順利進行。2.4.2IPSee協議此類協議是基于IETF定義的安全標準框架,能加密和驗證網絡端。IPSec協議能定義可選網絡安全服務,其他功能必須根據自身安全策略與此類服務進行匹配,在安全標準框架中建立詳細的安全解決策略,從本質上增加數據傳輸的保密性和可靠性。
3數據庫系統安全防范策略
3.1物理安全防護策略
物理防護策略是一種通過物理設備或者裝備實現數據庫安全防范的策略,是應對一系列外部環境影響的安全防范,如自然災害、電磁輻射等。這些方面都會給數據傳輸和設備安全帶來危害和風險,在這種環境下人們必須加強資源保護,并能在第一時間內恢復受損資源。物理安全防護會根據不同的外部環境進行不斷變化,但目前最常見的物理安全防護手段有抗干擾系統、防火防電保護、數據備份等。
3.2網絡安全防護策略
數據庫是隨著計算機技術的不斷發展而發展起來的,數據庫種類也代表了信息網絡資源的豐富內容。用戶可以通過網絡上傳信息資源,以實現資源共享,而用戶要瀏覽這些共享資源也必須借助網絡這個媒介,在這個過程中就涉及一系列的安全問題。本文將從兩個方面分析網絡安全防護。3.2.1防火墻技術網絡安全維護的方法有很多,其中應用最廣泛的就是防火墻技術,這項技術主要是由軟硬件組成的,主要是在內網和外網之間運行,能夠做好網絡監控工作,而且能夠攔截大部分的非法入侵,提高數據庫安全。防火墻技術具有操作簡單、高透明度的優點,且不需要修改網絡的應用程序就可以達到滿足數據庫安全的要求。不過防火墻技術也有局限性,一些網絡入侵者采取一些非法技術就可以破解。3.2.2網絡防病毒技術所謂病毒就是在網絡運行系統中出現的漏洞或者是錯誤,不法分子會通過一些技術手段利用這些漏洞或錯誤來竊取信息。漏洞或者錯誤在網絡程序運行當中是不可避免的,病毒對數據庫安全具有很大影響,所以應該做好防范工作。用戶應該加強對服務器操作管理,并在計算機中安裝殺毒軟件、設置防火墻。對病毒來說,重在預防,網絡工程師對發現的病毒進行分析,并研究出相應的殺毒軟件,避免病毒對數據庫造成威脅。
4結語
數據庫安全是網絡安全應用的重要基礎和重要保障,網絡安全問題一直都是人們關注的焦點,通過安全防范可以為人們應用計算機創造一個良好的環境。目前,隨著計算機技術的發展,網絡安全影響因素和問題也在不斷變化,這也給安全防護帶來了更大的挑戰,為了減少這些方面的威脅,網絡工程師必須創新和發展數據庫安全技術,在原有的數據庫安全防護技術的基礎上創新新技術,逐步提高計算機自身的安全管理能力,在新安全理念的指導下提高各種系統和軟件的安全性,從多方面共同保證數據庫的安全性。
主要參考文獻
[1]霍崢,孟小峰,徐建良.云計算中面向隱私保護的查詢處理技術研究[J].計算機科學與探索,2012(5).
[2]斯特凡諾,加略茲,張進京.全息網格云存儲——下一代的天文學存儲技術[J].中國信息界,2012(9).
[3]楊立國,吳蕾,陸敏峰,等.儀器設備網絡信息系統開發中的若干技術問題[J].實驗室研究與探索,2000(1).
[4]喻浩,潘薇.世界農業信息與技術發展及其對策——參加世界農業信息與技術大會的若干思考[J].農業網絡信息,2008(12).
關鍵詞:網絡安全;網絡隔離;訪問控制;網絡管理;安全審計
中圖分類號:TP393.098 文獻標識碼:A文章編號:1007-9599(2012)01-0000-02
The Security Design of Computer Network for Enterprise
Yang Yan
(China Railway No.5 Engineering Group Co.,Ltd,Mechanization Engineering Co., Ltd.,Hengyang421002,China)
Abstract:Network security ensure the normal operation of the enterprise network premise,enterprise network security is receiving more and more attention.This paper,from the network security separate, network security access and access control,host and system platform security, network security monitoring and audit,enterprise network security management system protection aspects,and puts forward how to make full use of the limited funds,mature technology,weigh the safety and efficiency,network all directions and meticulous planning design,make enterprise network safety effectively strengthen and improve.
Keywords:Network security;Isolation;Access control;Network management;
Security audit
21世紀以來,隨著計算機網絡技術的飛速發展,我們邁入了以網絡為核心的信息時代。許多企業都構建了企業網絡運營平臺,企業經營、生產與管理對計算機網絡的依賴性日益增強。網絡規模的不斷增大,網絡結構的日益復雜都對網絡安全提出了更高的要求。網絡安全應從整體上考慮,全面覆蓋網絡系統的各個方面,針對網絡、系統、應用、數據做全面的防范。
目前,大多數企業都建設了以辦公系統(OA)為中心,集成公文流轉、即時消息、門戶網站、業務應用的辦公系統,這些系統均以網絡平臺為支撐,采用B/S模式運行,并且各系統對于安全性要求不同。安全可靠性不同的多種應用,運行在同一個網絡中,給黑客、病毒攻擊提供了方便之門,給企業的網絡安全造成了極大的威脅。
在一定的資金支持下,網絡管理都要在網絡安全程度和建設成本之間作出取舍,充分使用現有的成熟技術,并且盡可能地發揮管理的功效,提高企業網絡安全,為業務系統的安全、穩定運行保駕護航。我們可以采用了以下技術和策略提高網絡的安全性。
一、網絡安全隔離
網絡隔離有兩種方式:物理隔離和邏輯隔離。將網絡進行隔離后,為了能夠滿足網絡內授權用戶對相關子網資源的訪問,保證各業務不受影響,在各子網之間應采取不同的訪問策略。
物理隔離是最安全的網絡隔離方式,但是它的建設成本非常大,要求在網絡設備、計算機終端、網絡線路上都進行重復性投資,花費很大,除的計算機信息系統必須實行物理隔離外,其它系統以邏輯隔離方式為主。
考慮企業的應用情況,針對不同業務的不同需求,劃分不同的虛擬子網(VLAN)進行邏輯隔離。例如:為財務、人力、工程各部門的客戶端劃分單獨的VLAN,通過將不同用戶或資源劃分到不同的VLAN中,利用路由器或者防火墻對VLAN間的訪問進行控制。
二、網絡安全準入與訪問控制
企業在信息資源共享的同時也要阻止非授權用戶對企業敏感信息的訪問,訪問控制的目的是為了保護企業在信息系統中存儲和處理信息的安全,它是計算機網絡信息安全最重要的核心策略之一,是通過準入策略準許或限制用戶、組、角色對信息資源的訪問能力和范圍的一種方法。
(一)網絡邊界安全設計。企業一般有大量業務數據流運行于Internet網絡,在企業內外網絡的邊界處,部署網絡防火墻,實現私有地址和公有地址的相互映射和轉換,屏蔽內部網絡結構,并按照最小需求原則配置訪問策略,以防范來自外部的威脅與攻擊。
(二)內部網絡用戶準入。采用DHCP服務器做地址綁定,用戶IP地址與MAC地址做一對一保留,防止網絡接入的隨意性,并在交換機設置DHCP Snooping、動態ARP檢測防止用戶任意修改IP,保證地址獲取的合法性。對于重要的業務系統服務器,還可以在交換機上采取MAC地址+IP地址+交換機端口進行綁定,可以有效的阻止ARP等病毒的攻擊。
(三)分支機構及移動辦公用戶的準入。外部用戶訪問企業內網,應在基于VPN的撥號接入之上,建立AAA認證服務器,一方面方便用戶經常更換口令,另一方面可以實施更加嚴格的安全策略,并且對這些策略的實施予以監視。
為了方便用戶對資源的訪問和管理網絡,有必要建立一個統一的安全認證及授權系統,統一的帳號管理有助于確保安全策略的實施及管理。
三、主機與系統平臺安全
網絡是病毒傳播最好最快的途徑之一。在網絡環境下,計算機病毒有不可估量的威脅性和破壞力,它使得網絡癱瘓、機密信息泄漏、重要業務系統不能提供正常服務,嚴重影響網絡安全,造成不良的社會影響。計算機病毒的防范是網絡安全性建設中重要的一環,在企業網中應建立一套網絡版的防病毒系統,它能構造全網統一的防病毒體系,支持對網絡、服務器、工作站的實時病毒監控;能夠在中心控制臺向多個目標分及安裝新版殺毒軟件,并監視多個目標的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒,支持廣泛的病毒處理選項;支持病毒主機隔離;提供對病毒特征信息和檢測引擎的定期在線更新服務;支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
其次,為了彌補防病毒軟件被動防范的不足,可采用兩種策略提高網絡主動防范的能力。
(一)在網絡邊界防火墻上配置嚴格的安全策略,強制關閉常見病毒攻擊的服務端口,防止病毒入侵。在核心層和匯聚層交換機上,依據業務數據流流向建立一系列的訪問控制列表,服務器只向必須訪問它的客戶端開放,其它客戶端一概被策略拒絕訪問。
(二)由于企業中大多數計算機安裝Windows系列的操作系統,所以在網絡中建設一套Windows補丁分發系統,利用微軟的WSUS服務器進行強聯動,輔以行之有效的用戶端保護措施,幫助客戶機高效、安全的完成Windows補丁更新,解決為Windows系統自動安裝系統補丁程序的問題,進一步提高了計算機安全性,當然也提高了網絡的安全性。
四、網絡安全監測與審計
(一)網絡管理系統。利用網絡管理系統軟件,實現對網絡管理信息的收集、整理、預警,以視圖方式實時監控各種網絡設備運行狀態。網絡管理一般包括網絡性能管理,配置管理,安全管理,計費管理和故障管理等五大管理功能。建立針對全網絡的管理平臺,對網絡、計算機系統、數據庫、應用程序等進行統一監管理,把網絡系統平臺由原先的被動管理轉向主動監控,被動處理故障變為主動故障預警。
(二)網絡入侵檢測。作為防火墻功能的有效補充,入侵檢測/防御系統(IDS/IPS)可實時監控網絡傳輸,主動檢測可疑行為,分析網絡外部入侵信號和內部非法活動,在系統遭受危害前發出報警,對攻擊作出及時的響應,并提供相應的補救措施,最大限度地保障網絡安全。
(三)網絡安全審計。將網絡安全審計系統布署在企業網絡中,能夠監控、審查、追溯內部人員操作行為,防止企業機密資料泄露,統計網絡系統的實際使用狀況,幫助管理者及時發現潛在的漏洞和威脅,為企業的網絡提供保障,使企業的網絡資源發揮應有的經濟效益。
五、企業網絡安全管理制度保障
管理是企業網絡安全的核心,技術是企業安全管理的保證。網絡安全系統必須包括技術和管理兩方面。只有完整的規章制度、行為準則并和安全技術手段結合,網絡系統的安全才會得到最大限度的保障。只有制定合理有效的網絡管理制度來約束員工,這樣才能最大限度的保證企業網絡平穩正常的運轉,例如禁止員工濫用計算機,禁止利用工作時間隨意下載軟件,隨意執行安裝操作,禁止使用IM工具聊天等。最終制度通過網絡管理平臺得以具體體現,管理平臺使得制度被嚴格的執行起來。
六、結束語
本文從分析企業網絡安全形勢入手,指出當前網絡安全存在的問題,然后提出了一套較詳細的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全審計。本文從技術手段上、可操作性上都易于實現、易于部署,為企業提供了實用的網絡安全性設計。
參考文獻:
關鍵詞:醫院信息系統;HIS安全體系;內網
引論
醫院信息系統(HospitaI Information Svstem,HIS)是利用計算機網絡和通信設備,為醫院各部門提供病人診療信息和行政管理信息的收集、存儲、處理、提取和交換能力,并滿足授權用戶功能需求的管理信息系統。醫院是信息流高度密集的單位;醫院的組織管理結構非常嚴謹。對其中任何一部分業務流程的改變,都可能引起連鎖反應,牽一發而動全身;不同體制的醫院的管理模式也有很大不同。因此,HIS是當今世界企業級信息系統中處理邏輯最為復雜的一類。
廣義的HIS的網絡拓撲一般分為內網(醫保系統)、專網(行政系統)和外網(醫院網站)三個部分,形成了內網核心數據層、內網辦公業務層、外網公眾服務層和網間信息交換層四個相對獨立的網絡安全管理域,信息安全與管理的技術手段相當復雜。
以作者所在單位上海市普陀區中心醫院為例,HIS、RIS、PACS等系統投入運營多年,每天成百上千臺計算機同時運行,成為醫院提供醫療服務的業務平臺。隨著醫院HIS應用的不斷深入,網絡安全形勢日益嚴峻。現有的安全技術手段逐漸暴露出局限性,需要從規章制度、技術和管理等層面加強HIS的信息安全保障。
我院信息系統和網絡的維護由醫院信息科實施。信息科是醫院的行政職能科室,下設病案室、計算中心、圖書館三個部門。計算中心現有技術人員10人,擁有軟件自主研發能力,學術氛圍濃厚。根據醫院授權已制訂《普陀區中心醫院HIS系統管理安全操作規范》、《普陀區中心醫院醫保前置機管理規范》、《普陀區中心醫院應急預案制度》、《中心機房管理制度》等規章制度,建立了定期安全檢測、口令管理、人員培訓與管理、策略管理、備份管理、日志管理等一系列管理方法和長效機制。
1 HIS安全威脅
HIS面臨的安全攻擊指危及醫院信息安全的任何行為。HIS安全機制指設計用于檢測、防止或從安全攻擊中恢復的一種機制。Hls安全服務指加強醫院各部門數據處理和信息傳送安全性的一種服務,目標是對抗安全攻擊。它們利用一種或多種安全機制來提供該服務。本文的工作在于提出HIS安全體系結構和部署策略,并在網絡層面上介紹了HIS安全體系的技術實現。
就安全攻擊方法而言,根據信息安全層次分析HIS的安全威脅。可以從機房環境和物理層、網絡層、操作系統和數據庫層、應用層及管理層五個層面著手。
(1)機房環境和物理層
我院機房分布在住院部、住院二部、門診樓、急診樓四處。機房網絡設備、硬件設施可能遭受地震、水災、火災等自然災害以及人為操作失誤和各種針對計算機的破壞行為。
(2)網絡層
作為事實標準的TCP/IP協議并非專為安全通信設計,這一先天不足致使網絡通信存在大量安全隱患。協議漏洞造成預攻擊探測、竊聽、篡改、IP欺騙、重放、拒絕服務攻擊(包括同步潮水攻擊SYN FLOOD和PING FLOOD)、分布式拒絕服務攻擊(DOS)和堆棧溢出等。
網絡環境下病毒、蠕蟲、木馬和流氓軟件的傳播快速、隱蔽,嚴重威脅系統安全。病毒的傳播破壞文件和系統可用性;木馬潛伏在系統內并截獲用戶輸入的密碼、鍵盤動作等重要信息,并將這些信息發送出去。2008年末ARP木馬爆發曾導致我院局域網性能顯著下降。
(3)操作系統和數據庫層
操作系統設計時疏漏或預留的安全漏洞、用戶配置不當、多余的系統服務、脆弱的基于口令的身份鑒別機制,都使惡意用戶的攻擊變得輕而易舉。醫院醫保前置機和數據庫服務器采用Windows2000/XP/2003操作系統,健壯性、安全性較差。醫院使用的Or-acle數據庫系統可以從端口尋址。院內聯網的計算機,任何人只要有合適的SQL查詢工具,就能和數據庫系統直接連接,并能繞開操作系統的安全機制,如果誤用就會嚴重危及數據安全。
(4)應用層
應用層的安全風險有:來自內部和外界對業務系統的非授權訪問、由于用戶名和口令等身份標志泄漏造成的系統管理權限喪失、用戶提交的業務信息被監聽或修改、用戶對成功提交的事務進行事后抵賴、偽裝成系統服務以騙取用戶口令、操作不當或外界攻擊引起的系統崩潰、網絡病毒的傳播或其他軟硬件原因造成的系統損壞、HIS程序開發遺留的安全漏洞等。
(5)管理層
責權不明、管理混亂、人員管理和安全管理制度不健全及缺乏可操作性都可能引起管理層安全風險。
2 HIS安全體系結構
網絡安全遵循“木桶原理”,系統的安全強度等于它最薄弱環節的安全強度。據統計,在所有的HIS信息安全事件中。超過70%發生在內網。因此,HIS系統必須建立在一個完備的多層次的網絡安全體系之上,消除瓶頸。
完整的HIS安全體系由五部分構成:可信的基礎安全設施、安全技術支撐平臺、容錯與恢復系統、安全管理保障體系和信息安全系統。如圖1所示。
3 HIS安全體系的部署和安全審計
根據HIS網絡安全要求設計的HIS安全模型如圖2:
HIS網絡安全模型給出了HIS安全體系部署的邏輯框架,部署的過程是一個復雜的系統工程。是整個HIS應用得以實現的前提保證。
HIS安全審計是在醫院網絡環境下,為了保障網絡和數據不受來自外網和內網用戶的入侵和破壞,而運用各種技術手段實時監控網絡環境中每一個組成部分的系統狀態、收集安全事件,以便集中報警、分析、處理。安全審計方案主要有:
(1)日志審計。通過SNMP、SYSLOG、OPSEC或其他日志接口從路由器、交換機、服務器、醫保前置機應用系統和網絡安全設備中收集日志,進行統一管理、分析和報警;
(2)主機審計。在服務器、醫保前置機安裝“威盾”客戶端,審計安全漏洞、合法或非法操作,監控聯網行為;
(3)網絡審計。通過旁路和串接的方式捕獲網絡數據包,進行協議分析和還原。網絡審計包括了網絡漏洞掃描產品、防火墻和IDS/IPS安全審計、互聯網行為監控等類型的產品。
4 HIS安全體系的技術實現
(1)內網與外網的物理隔離
內網涉及醫保、財務和電子病歷信息。必須與外網實現完全的網絡隔離和設備隔離。內網與外網的隔離采用物理隔離網閘。物理隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。這兩個獨立主機系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,不存在基于協議的 數據包轉發,只有數據文件的無協議“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令,因而從物理上隔離、阻斷了具有潛在攻擊可能的一切連接。
(2)內網中劃分VLAN
虛擬局域網(VLAN)是一種采用交換機將局域網內的主機邏輯地而不是物理地劃分為一個個網段。從而實現虛擬工作組的技術。在一個交換網絡中,VLAN提供了網段和部門科室的彈性組合機制。醫院可根據不同的業務性質將各部門劃分成不同的VLAN。
(3)網絡邊界安裝防火墻
防火墻是一類防范措施的總稱。它使內網與Internet之間或者內網與其他外部網絡之間互相隔離、限制網絡互訪來保護內部網絡。由于防火墻劃定了網絡邊界和服務,因此更適合于相對獨立的網絡。任何關鍵性的服務器,都建議放在防火墻之后。
(4)專網用戶采用VPN技術訪問內網
虛擬專網技術(VPN)目前主要采用IPSec協議,有比較成熟的產品。例如與路由器或防火墻集成的硬件VPN模塊,組建方便快捷。內網與衛生局、醫保局的信息往來。彼此間應該采用VPN技術相連,以保證通信安全。
(5)入侵監測
防火墻雖然能抵御網絡外部安全威脅,但對從網絡內部發起的攻擊無能為力。實時入侵監測技術動態地監測網絡內部活動并做出及時響應:能監控網絡的數據流,從中檢測出攻擊行為并給予相應處理;還能檢測到繞過防火墻的攻擊。
(6)漏洞掃描
解決網絡層安全問題,首先要弄清網絡中存在哪些安全隱患和薄弱環節。面對醫院大型網絡的復雜性,僅僅依靠技術人員的經驗是不現實的。解決方案是獲取一種能自動探測網絡安全漏洞、并提出評估和建議的網絡安全掃描工具。
(7)數據庫服務器和醫保前置機的安全設置
現有的網絡設備以及操作系統、數據庫系統都有一套自身的安全機制。路由器、交換機應配置好協議和訪問控制列表:數據庫服務器應關閉無關的系統服務和端口,并采用服務器分片備份網絡數據。如門診部用一臺服務器、住院部用一臺服務器、影像系統用一臺服務器,按時定期做好數據備份。發生系統故障,能盡快回滾事務、恢復系統。
每臺醫保前置機都安裝了“威盾”遠程控制軟件客戶端。USB端口和光驅被自動禁用。通過設定對應賬戶權限(管理員賬戶和來賓賬戶),控制用戶訪問特定數據。每個用戶(醫生、護士、管理人員等)在整個系統中具有唯一的賬號。禁止用戶對無關文件進行讀寫,以防非法用戶侵入網絡。
關鍵詞: 計算機 網絡技術 安全策略 防范技術
計算機技術和網絡技術的高速發展,對整個社會的科學技術、經濟與文化帶來巨大的推動和沖擊,尤其近十幾年來,計算機網絡在社會生活各方面應用廣泛,已經成為人們生活中不可或缺的部分,但同時也給我們帶來許多挑戰。隨著我們對網絡信息資源的開放與共享的需求日益增強,隨之而來的信息安全問題也越來越突出,并且隨著網絡規模的不斷擴大,網絡安全事故的數量,以及其造成的損失也在成倍地增長,病毒、黑客、網絡犯罪等給我們的信息安全帶來很大威脅。因此計算機網絡安全是一個綜合的系統工程,需要我們做長期的探索和規劃。
一、計算機網絡安全的概念與現狀
1.計算機網絡安全的基本概念。
計算機網絡安全是指“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。
2.計算機網絡安全的基本組成。
(1)網絡實體安全:如計算機的物理條件、物理環境及設施的安全標準,計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等;(2)軟件安全:如保護網絡系統不被非法侵入,系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等;(3)數據安全:如保護網絡信息的數據安全,不被非法存取,保護其完整、一致等;(4)網絡安全管理:如運行時突發事件的安全處理等,包括采取計算機安全技術,建立安全管理制度,開展安全審計,進行風險分析等內容。
3.計算機網絡安全現狀。
計算機網絡安全是指網絡系統的硬、軟件及系統中的數據受到保護,不受偶然或惡意的原因而遭到破壞、更改、泄露,系統連續、可靠、正常地運行,網絡服務不中斷。計算機和網絡技術具有的復雜性和多樣性,使得計算機和網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。在Internet網絡上,因互聯網本身沒有時空和地域的限制,每當有一種新的攻擊手段產生,就能在一周內傳遍全世界。這些攻擊手段利用網絡和系統漏洞進行攻擊從而造成計算機系統及網絡癱瘓。蠕蟲、后門(Back-doors)、Rootkits、DoS(Denial of Services)和Sniffer(網路監聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現了它們驚人的威力,時至今日,有愈演愈烈之勢。這幾類攻擊手段的新變種,與以前出現的攻擊方法相比,更加智能化,攻擊目標直指互聯網基礎協議和操作系統層次,從Web程序的控制程序到內核級Rootlets。黑客的攻擊手法不斷升級翻新,向用戶的信息安全防范能力不斷發起挑戰。
二、當前可提高計算機網絡安全的技術
1.網絡安全的審計和跟蹤技術。
審計和跟蹤這種機制一般情況下并不干涉和直接影響主業務流程,而是通過對主業務進行記錄、檢查、監控等來完成以審計、完整性等要求為主的安全功能。審計和跟蹤所包括的典型技術有:入侵檢測系統(IDS)、漏洞掃描系統、安全審計系統,等等。我們以IDS為例,IDS是作為防火墻的合理補充,能夠幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。入侵檢測是一種主動保護網絡和系統安全的技術,它從計算機系統或網絡中采集、分析數據,查看網絡或主機系統中是否有違反安全策略的行為和遭到攻擊的跡象,并采取適當的響應措施來阻擋攻擊,降低可能的損失。它能提供對內部攻擊、外部攻擊和誤操作的保護。入侵檢測系統可分為基于主機的入侵檢測系統和基于網絡的入侵檢測系統兩類。
2.運用防火墻技術。
防火墻是目前最為流行、使用最廣泛的一種網絡安全技術,它的核心思想是在不安全的網絡環境中構造一個相對安全的子網環境。防火墻的最大優勢就在于可以對兩個網絡之間的訪問策略進行控制,限制被保護的網絡與互聯網絡之間,或者與其他網絡之間進行的信息存取、傳遞操作。它具有以下特性:所有的從內部到外部或從外部到內部的通信都必須經過它;只有內部訪問策略授權的通信才允許通過;系統本身具有高可靠性。不僅如此,防火墻作為網絡安全的監視點,它還可以記錄所有通過它的訪問,并提供統計數據,提供預警和審計功能。防火墻的體系結構有三種:(1)雙重宿主主機體系結構。它是圍繞具有雙重宿主功能的主機而構筑的,是最基本的防火墻結構。主機充當路由器,是內外網絡的接口,能夠從一個網絡向另一個網絡發送IP數據包。這種類型的防火墻完全依賴于主機,因此該主機的負載一般較大,容易成為網絡瓶頸。對于只進行IP層過濾的安全要求來說,只需在兩塊網卡之間轉發的模塊上插入對IP包的ACL控制即可。但是如果要對應用層進行控制,其就要設置到這臺雙宿主主機上,所有的應用要先于這個主機進行連接。這樣每個人都需要有一個登錄賬號,增加了聯網的復雜性。(2)屏蔽主機體系結構,又稱主機過濾結構,它使用一個單獨的路由器來提供內部網絡主機之間的服務,在這種體系結構中,主要的安全機制由數據包過濾系統來提供。相對于雙重宿主主機體系結構,這種結構允許數據包從Internet上進入內部網絡,因此對路由器的配置要求較高。(3)屏蔽子網體系結構。它是在屏蔽主機體系結構基礎上添加額外的安全層,并通過添加周邊網絡更進一步把內部網絡和Internet隔離開。為此這種結構需要兩個路由器,一個位于周邊網絡和內部網絡之間,另一個在周邊網絡和外部網絡之間,這樣黑客即使攻破了堡壘主機,也不能直接入侵內部網絡,因為他還需要攻破另外一個路由器。
3.數據加密技術。
數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。數據加密技術按作用不同可分為數據存儲,數據傳輸、數據完整性的鑒別,以及密鑰的管理技術。數據存儲加密技術是防止在存儲環節上的數據丟失為目的,可分為密文存儲和存取兩種,數據傳輸加密技術的目的是對傳輸中的數據流加密。數據完整性鑒別是對介入信息的傳送、存取,處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。
4.網絡病毒的防范。
在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的全方位防病毒產品。學校、政府機關、企事業單位等網絡一般是內部局域網,就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連,就需要網關的防病毒軟件,加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統的配置,通過定期或不定期的自動升級,及時為每臺客戶端計算機打好補丁,加強日常監測,使網絡免受病毒的侵襲。
5.提高網絡工作人員的素質,強化網絡安全責任。
為了強化網絡安全的責任,還有一項重要任務――提高網絡工作人員的管理素質。要結合數據、軟件、硬件等網絡系統各方面對工作人員進行安全教育,提高責任心,并通過相關業務技術培訓,提高工作人員的操作技能,網絡系統的安全管理要加以重視,避免人為事故的發生。由于網絡研究在我國起步較晚,因此網絡安全技術還有待提高和發展。此外,為了保障網絡能夠安全運行,我們還應該制定完善的管理措施,建立嚴格的管理制度,完善法規、法律,提高人們對網絡安全的認識,加大對計算機犯罪的法律制裁。
隨著計算機網絡技術的迅速發展和進步,信息和計算機網絡系統已經成為社會發展的重要保證。由于計算機網絡系統應用范圍的不斷擴大,人們對網絡系統依賴的程度增大,對網絡系統的破壞造成的損失和混亂就會比以往任何時候都大。這使我們對計算機網絡系統信息的安全保護提出了更高的要求,也使得計算機網絡系統信息安全學科的地位顯得更加重要。現在,計算機網絡系統的安全已經成為關系到國家安全和、社會的穩定、民族文化的繼承和發揚的重要問題。因此,認清網絡的脆弱性和潛在威脅,采取強有力的安全防范,對于保障網絡的安全性將變得十分重要。
參考文獻:
[1]嚴有日.論計算機網絡安全問題及防范措施.赤峰學院學報(自然科學版),2010.3.
[2]王華.淺談計算機網絡安全技術應用.科技經濟市場,2010.9.
