時間:2023-06-08 10:58:05
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全滲透培訓,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
目前,我國網絡安全勢態嚴峻。據工信部日前透露,1月4日至10日,我國境內被篡改的政府網站數量為178個,與前一周相比大幅增長409%。此消息的依據來自于國家互聯網應急中心的監測結果。
緊接著,全球最大的中文搜索引擎百度也遭遇攻擊,從而導致用戶不能正常訪問。眾多網站最近頻遭網絡攻擊的消息,不禁引起業界及廣大網民的深刻反思:“我們的互聯網真的安全嗎?”
據中國互聯網絡信息中心的調查報告,2009年我國網民規模達到3.84億人,普及率達28.9%,網民規模較2008年底增長8600萬人,年增長率為28.9%。中國互聯網呈現出前所未有的發展與繁榮。
然而,在高速發展的背后,我們不能忽視的是互聯網安全存在的極大漏洞,期盼互聯網增長的不僅有渴望信息的網民,也有心存不善的黑客,不僅有滾滾而來的財富,也有讓人猝不及防的損失。此次發生的政府網站篡改事件、百度被攻擊事件已經給我們敲響了警鐘:“重視互聯網安全刻不容緩!”
顯然,互聯網以其網絡的開放性、技術的滲透性、信息傳播的交互性而廣泛滲透到各個領域,有力地促進了經濟社會的發展。但同時,網絡信息安全問題日益突出,如不及時采取積極有效的應對措施,必將影響我國信息化的深入持續發展,對我國經濟社會的健康發展帶來不利影響。進一步加強網絡安全工作,創建一個健康、和諧的網絡環境,需要我們深入研究,落實措施。
二、關于互聯網安全的幾點建議
第一,要深刻認識網絡安全工作的重要性和緊迫性。
黨的十七大指出,要大力推進信息化與工業化的融合。推進信息化與工業化融合發展,對網絡安全必須有新的要求。信息化發展越深入,經濟社會對網絡的應用性越強,保證網絡安全就顯得越重要,要求也更高。因此,政府各級主管部門要從戰略高度認識網絡安全的重要性、緊迫性,始終堅持一手抓發展,一手抓管理。在加強互聯網發展,深入推動信息化進程的同時,采取有效措施做好網絡安全各項工作,著力構建一個技術先進、管理高效、安全可靠的網絡信息安全保障體系。
第二,要進一步完善網絡應急處理協調機制。
網絡安全是一項跨部門、跨行業的系統工程,涉及政府部門、企業應用部門、行業組織、科研院校等方方面面,各方面要秉承共建共享的理念,建立起運轉靈活、反應快速的協調機制,形成合力有效應對各類網絡安全問題。特別是,移動互聯網安全防護體系建設包含網絡防護、重要業務系統防護、基礎設施安全防護等多個層面,包含外部威脅和內部管控、第三方管理等多個方位的安全需求,因此應全面考慮不同層面、多個方位的立體防護策略。
第三,要著力加強網絡安全隊伍建設和技術研究。
要牢固樹立人才第一觀念,為加強網絡管理提供堅實的人才保障和智力支持。要發揮科研院所和高校的優勢,積極支持網絡安全學科專業和培訓機構的建設,努力培養一支管理能力強、業務水平高、技術素質過硬的復合型隊伍。不斷加強創新建設,是有效提升網絡安全水平的基礎,要加強相關技術,特別是關鍵核心技術的攻關力度,積極研究制訂和推動出臺有關扶持政策,有效應對網絡安全面臨的各種挑戰。
第四,要進一步加強網絡安全國際交流與合作。
在立足我國國情,按照政府主導、多方參與、民主決策、透明高效的互聯網管理原則的基礎上,不斷增強應急協調能力,進一步加強網絡安全領域的國際交流與合作,推動形成公平合理的國際互聯網治理新格局,共同營造和維護良好的網絡環境。
第五,要加強網絡和信息安全戰略與規劃的研究,針對網絡信息安全的薄弱環節,不斷完善有關規章制度。
如在當前的市場準入中,要求運營商必須承諾信息安全保障措施和信息安全責任,并監督其自覺履行相關義務。還要充分發揮行業自律及社會監督作用,利用行業自律組織完善行業規范、制定行業章程、推廣安全技術、倡導網絡文明。
第六,協調各方職能,建立網絡安全管理的長效機制。
關鍵詞:大學生;網絡安全教育;現狀;對策
網絡時代的到來,對教育產生了很大影響,網絡安全教育也由此逐漸變成了大學生安全教育的重要組成部分。當前,大學生網絡教育還存在不少問題。高校的網絡安全體制不健全,思想教育工作者的網絡安全教育意識不強,以及網絡安全管理體制不健全,都給大學生造成了不小影響。因此,如何加強大學生的網絡安全教育、增強大學生的網絡安全意識,提高大學生的網絡安全防范能力,就成了目前高校迫切需要解決的問題。同時,網絡化的發展既給思想政治教育工作帶來了機遇,也帶來了挑戰。
一、大學生網絡安全教育的重要性和現狀
(一)網絡安全教育的內涵和重要性分析
網絡安全教育是大學生素質教育的一個重要組成部分。在目前網絡化的大環境中,網絡已經對大學生產生了廣泛而深遠的影響,對大學生進行網絡安全教育勢在必行。網絡安全教育,主要是指在教學過程中,滲透一些安全防范方面的知識,幫助大學生樹立網絡安全意識,提高使用網絡的效率[1]。網絡安全教育也對大學生的發展有很大的影響,特別是網絡上的思想和言論比較開放,容易對大學生產生干擾,因此,加強網絡安全教育具有重要的現實意義。積極開展網絡安全教育,能夠增強大學生的責任意識,提高大學生的網絡使用效率,規范大學生的網絡行為,促進大學生的健康發展和進步。
(二)學生網絡安全教育現狀分析
互聯網的廣泛應用和發展,對社會產生了很大的正面影響,也引發不少網絡安全事故。一些網絡攻擊手段不斷地出現,給人們的信息安全和財產安全帶來了很大的危害。而且網絡環境具有很強的開放性和自由性,很多思想和言論在網絡上進行傳播,都容易對人們思想和活動產生一定的影響。大學生是一個很大的消費群體,進行網絡購物、娛樂和社交的現象非常普遍。但是,目前對網絡安全教育問題卻很少涉足,而且大學生自身的網絡安全意識也比較淡薄,在網絡使用方面還存在很多不足,容易導致大學生出現網絡安全問題[2]。其中,比較常見的問題就是網絡購物帶來的安全隱患,由于學生的安全意識不強,辨別能力比較差,購物后往往容易出現質量問題,造成一定的財產損失。
二、大學生網絡安全教育存在的問題
(一)網絡安全教育載體建設滯后
任何一項活動都需要一定的硬件和載體來支持,大學生網絡安全教育也需要一定的硬件設施支持。目前高校教學中,對網絡安全教育不重視,相關的資金投入不足,基礎設施的建設也存在問題,特別是校園網絡系統的相關硬件設施建設不到位,對網絡安全問題不能很好的保證。例如TCP/IP協議、域名系統、以及防火墻等建設不足,對危害性的信息和病毒不能進行有效攔截,導致學生在使用過程中出現許多安全問題[3]。
(二)教師的網絡安全教育意識不強
教師是教育的重要主體,其網絡安全意識對大學生的網絡安全意識教育及其效果有重要影響。而目前教師的網絡安全意識普遍不高,接觸網絡比較少,接受新事物的能力沒有大學生強,對這方面的研究也比較少。隨著互聯網的廣泛發展和應用,對教師也提出了更高的要求,教師必須與時俱進地增強網絡安全教育意識。
(三)大學生網絡安全意識淡薄
隨著網絡在社會中廣泛延伸,一些網絡上的信息安全事故也時有發生,一些大學生在使用網絡中過程容易上當受騙[4]。大學生網絡活動比較頻繁,特別像網上購物、網上社交和娛樂等,給很多不法分子創造了機會,他們通過各種手段騙取大學生的個人信息和資料。另外,大學生的網絡安全意識比較淡薄,對一些虛假信息不容易分辨,在網上購物和消費中容易上當受騙,不僅會造成一定的財產損失,還影響了大學生身心健康發展。
(四)未制定健全的教學質量評估體系
目前,很多高校都沒有將網絡安全教育納入教學計劃,致使大學的計算機課程中,對網絡安全方面的內容涉及得比較少,學生能夠掌握的知識和內容也有限。教學中,教師重視對學生相關技能掌握的考察,卻忽視網絡安全問題,沒有將網絡安全知識的考核納入到具體的教學質量評估[5]。因此,面對當前網絡化發展的大環境,必須對大學生網絡安全教育進行評估,建立完善的教學質量評估體系。
三、大學生網絡安全教育對策
(一)利用社團開展網絡安全教育
大學生的自由時間比較多,學校要充分的發揮學生社團的作用,可以成立學校的安全教育社團。在安全教育社團開展的工作和活動中,可以增加對網絡安全知識的宣傳和教育,定期對學生開展網絡安全知識的普及和教育,并展開相關的活動,幫助大學生增加網絡安全知識,提高網絡安全意識,充分的調動學生的積極性,參與到網絡安全教育的活動中。
(二)開展安全通識教育
面對當前復雜的網絡環境,高校要根據具體的情況進行教育課程的調整,增加網絡安全通識教育課程,對學生的網絡應用進行正確引導。學校應該提高對網絡安全教育的重視,提高學生的網絡安全意識[6]。同時,要加強對教師的網絡安全知識教育和技能的培訓,教師是進行有效教學的重要影響因素,需要不斷更新自己的知識儲備,加強對大學生網絡安全知識和技能的鍛煉和培養,提高大學生的網絡安全意識。
(三)在課堂上滲透網絡安全教育
全面實施網絡安全教育,加強在課堂教學中滲透網絡安全知識。一方面,要重視計算機網絡安全知識的普及教育,在大學生中開展網絡安全的調查活動,培養學生的主動學習、主動思考和總結網絡安全問題的能力,并引導學生去熟悉網絡安全知識以及相關的技能。另一方面,要重視對學生進行網絡道德行為和網絡法制知識的教育。
(四)營造良好校園網絡安全環境
學校要加強校園網絡安全環境建設,給學生創造一個良好的網絡環境,促進學生的健康發展。首先,學校要加強對網絡環境的建設,增加資金的投入,完善網絡安全基礎設施的建設,特別是涉及到網絡安全方面的設施和設備,要進行及時更新。同時,加強校園網絡的安全檢查和監督,對一些不良信息進行及時處理,保障學生上網安全[7]。其次,在校園文化建設中,利用閱讀的專欄和標語,宣傳網絡安全知識以及網絡安全的技能,提高學生的網絡安全辨別意識。
(五)加強對大學生網絡安全教育的評估
隨著網絡的發展,學校不僅要加強對學生的網絡安全教育,還要加大對學生網絡安全教育的考核和評價,實現學生的綜合發展。一方面,提高學校的重視程度,增加網絡安全通識教育;另一方面,提高學生的重視程度,增強對網絡安全知識的學習以及技能的掌握,實現自身的全面發展。
參考文獻:
[1]董艷.當代大學生網絡安全意識現狀及其對策[J].太原城市職業技術學院學報,2015(1):87-88.
[2]修國英,陳思宇.網絡時代大學生思想政治教育工作的創新策略[J].黑龍江教育(理論與實踐),2015(5):1-2.
[3]黃蓉,趙惜群.大學生網絡意識形態安全教育路徑探析[J].當代教育理論與實踐,2015(4):133-136.
[4]雷麗,王樹江.網絡動員策略下的大學生思想政治教育[J].上海黨史與黨建,2014(6):51-53.
[5]張青彩.當前高校網絡安全教育存在的問題及對策[J].河南司法警官職業學院學報,2014(2):125-128.
[6]鄧暉.談大學生網絡安全教育[J].教育探索,2014(7):79-80.
關鍵詞 五層次;全方位;網絡安全;防護
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2013)23-0105-01
Internet起源于美國,最初應用于美國國防部高級研究計劃管理局ARPA,用于美國軍方信息通信,后來逐漸轉為民用。
在信息技術的推動和牽引下,人類社會已由工業時代邁進信息時代。計算機網絡對人類經濟和生活的沖擊是其它信息載體所無法比擬的,它的高速發展和全方位滲透,推動了整個社會的信息化進程。網絡的機遇與挑戰并存,影響網絡安全的因素也日益顯露。
1 網絡安全的需求
影響網絡安全的因素有很多,從宏觀角度來分析,影響網絡安全的方面有:物理層安全、網絡層安全、系統層安全、應用層安全及管理層安全,這也與網絡架構中的開放系統互連模型OSI七層結構異曲同工。
1.1 物理層網絡安全及需求
網絡的物理安全是影響網絡安全的基礎,可謂是網絡安全的第一道防線,它可細分為環境安全、設備安全、存儲介質安全和防電磁泄漏等。其中環境安全是最重要的,而防電磁泄漏是最容易被忽視的,這兩點在物理安全中應當重點考慮。
1.2 網絡層安全及需求
網絡層安全總體目標可歸納為“進不來”、“出不去”、“拿不走”、“讀不懂”、“跑不掉”。具體要求是利用計算機及通信技術,防范未經授權的人員非法訪問網絡資源。
非法訪問網絡的手段有:針對IP地址欺騙的ARP攻擊、消耗大量網絡資源的拒絕服務攻擊、針對數據庫堆棧溢出、Web應用的網站篡改等。
1.3 系統層安全及需求
系統安全可分為服務器系統安全和用戶主機系統安全。影響安全的因素主要來自系統漏洞補丁、系統的端口及服務、主機密碼、系統病毒等。
1.4 應用層安全及需求
應用層安全包括應用軟件安全和數據安全。應用軟件安全的需求包括及時安裝補丁程序,對應用程序設置的身份認證和授權訪問控制機制。應用系統要具有數據備份和恢復手段,以防止系統故障而導致數據丟失。
1.5 管理層安全及需求
俗話說“三分技術、七分管理”,網絡安全僅用技術手段是做不到全方位的防護的,必須從管理的角度讓使用網絡的人懂得怎樣使用網絡。
2 五層全方位網絡防護策略
2.1 物理安全防護策略
網絡設計與規劃之初,要考慮核心機房及數據中心的選址問題。機房要選擇在可控區域內,并與非可控區域間隔300米外,在現實條件無法滿足的情況下,對機房采取安全屏蔽措施。機房對樓層的選擇盡量就低不就高,避免在樓頂。
在單位,重要的政府機關、機要及軍政、部隊網絡要與互聯網物理隔離,不同等級的網絡之間采用最小耦合。
在物理環境安全中要注重通風、降溫及消防。在機房內采用機房專用精密空調,將機房的整體溫度控制在21℃±2℃范圍內。適度的溫度可以延長服務器的使用壽命,減少故障的發生機率。
機房的消防一定要采用氣體聯動消防,切勿使用水或傳統的干粉,這些方法雖然可以滅火,但對設備的影響,卻是不可逆的,它的影響遠大于滅火本身。
2.2 網絡層安全防護策略
網絡層安全防護應從網絡拓撲結構進行分析,防護的方法是:在網絡邊界部署抗拒絕服務攻擊系統、防火墻、入侵檢測系統實時監測網絡流量數據,發現違規操作后告警并阻斷,形成防火墻與入侵檢測系統聯動的邊界防護安全域。在核心交換機旁路部署安全審計系統、網絡分析系統及漏洞掃描系統,利用安全審計系統對全網行為、數據庫進行實時審計,通過網絡分析系統抓取數據包,準確、及時定位故障,還原數據包行為來取證違規違紀操作。將服務器劃分為內、外服務器域,保護不同的應用數據。利用虛擬局域網技術、身份認證準入機制及三層交換的ACL管理控制策略配合使用形成用戶的不同域安全防護。
2.3 系統層安全防護策略
對操作系統和數據庫系統配置高強度用戶名及密碼,啟用登陸失敗處理、傳輸加密等措施。對用戶主機使用8位以上的口令,禁用guest用戶、更改administrator用戶名。對服務器主機進行訪問控制的配置,管理員分級分權限控制,對重要信息(文件、數據庫等)進行標記,設定訪問控制策略進行訪問控制,開啟服務器日志審計功能。通過軟件防火墻關閉服務器及用戶主機端口,利用系統組策略關閉不必要的服務。
2.4 應用層安全防護策略
對重要的應用層系統及軟件如WWW、DNS系統進行備份,可制作雙機備份系統,一主一備,一旦一個系統出現故障,另一個系統自動啟動,實現應用層的無縫實時切換。
數據是網絡的核心,因此保護數據也是應用層安全防護的要點。最好的方法是建立異地容災備份中心,可簡稱為兩地三中心。本地有數據中心及備份中心,異地有容災中心。數據備份采用光纖SAN網絡架構,ISCSI協議與TCP/IP協議不同,兩網之間不進行網絡通信,保證網絡的安全。
2.5 管理層安全
安全的最高境界不是產品,也不是服務,而是管理。沒有好的管理思想、嚴格的管理制度、負責的管理人員和實施到位管理程序,就沒有真正的信息安全。對人員的管理和安全制度的制訂是否有效,直接影響這一層的安全問題。
管理層安全包括管理制度、管理技術。管理制度須制訂一系列的安全管理制度,普及安全教育,包括:用戶守則的制訂。管理技術包括安全理論知識的培訓、對安全產品使用培訓、建立安全信息分發系統、及時通報最新安全事件、建立安全論壇、交流安全技術等。
3 結束語
網絡安全影響因素萬變不離物理層安全、網絡層安全、系統層安全、應用層安全、及管理層安全這五類。物理安全是網絡安全的基礎,網絡層安全是網絡安全的關鍵,系統層安全是網絡安全的個體體現,應用層安全是網絡安全的重點,管理層安全是網絡安全長治久安成效的重要保障。總之,網絡安全不能脫離這五個方面的任何一個層次而談,忽略了任何一個方面,網絡安全都將會存在短板,“木桶效應”將展現。
參考文獻
[1]顧昕.某內部網絡安全防護系統的設計與實現[D].四川大學,2006.
[2]曾金繁.局域網網絡安全防護工作剖析[J].網絡安全技術與應用,2012(02).
1企業網絡安全需求分析
1.1網絡安全概念及特征
網絡安全是指為防范網絡攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施,以確保信息完整、可用、無泄露,保持網絡穩定、安全地運行。其主要特征是保證網絡信息的完整性、可用性和機密性[2]。
1.2企業網絡安全面臨的主要問題
企業網絡安全面臨的問題歸納如下:(1)網絡安全目標不明確。雖然《網絡安全法》已于2017年6月1日起施行,但企業對網絡安全的重要性依然認識不足,缺乏網絡安全規劃,沒有明確的網絡安全目標[3]。(2)網絡安全意識不足。從企業的決策者到普通員工并沒有充分意識到網絡安全的重要性,企業網絡安全存在很大隱患。(3)網絡安全設施不健全。無論大型企業,還是中小企業,都存在網絡安全基礎設施投入不足的問題,以致設施陳舊、不完整,面對外部攻擊和各種漏洞很容易發生信息丟失、泄露、竊用等現象。(4)缺乏完整的網絡安全解決方案。企業網絡安全防護呈現碎片化、分散化等特點[4],缺乏系統性、協同性、靈活性,面對萬物互聯和更高級的威脅,傳統防護手段捉襟見肘、防不勝防[5]。
1.3企業網絡安全需求
企業因網絡安全需要而產生的要求即為企業網絡安全需求,這是由企業內部網絡因素與外部網絡形勢共同決定的,內外都不會一成不變,所以企業網絡安全需求是一個動態過程,具有時效性。基于此,要準確把握企業網絡安全需求,必須對企業網絡安全現狀進行調查分析,一般而言,企業網絡安全主要包括內網安全、邊界安全及文件傳輸安全等方面[6],具體體現在以下幾個方面:(1)網絡安全策略需求。安全策略的有效性、完整性和實用性是企業網絡安全的一個重要需求。目前的企業網絡安全策略文檔過于簡單,而且沒有形成完整的體系,對企業網絡安全的指導性不足。(2)網絡安全組織需求。企業應建立結構完整、職能清晰的網絡安全組織機構,負責企業網絡安全策略制定、網絡安全培訓、網絡安全運行管理等。(3)網絡安全運行管理需求。企業應建立科學高效的運行管理體系,采用實用的運行管理方法,對服務器安全、網絡訪問可控性、網絡監控等進行管理。
2企業網絡安全解決方案
2.1企業網絡安全方案設計原則
網絡安全方案的設計原則旨在指導企業科學合理地設計網絡安全方案,避免失于偏頗和“詞不達意”,設計原則可以有很多,筆者認為最重要的原則如下:(1)多重防護原則。突破單一防護機制要比突破多重防護機制容易得多。(2)簡單適用原則。過于復雜的方案漏洞多,本身就不安全。(3)系統性原則。企業網絡安全面對的威脅是多方面的,只專注于一點無法保障網絡安全。(4)需求、風險與代價平衡原則。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價,所以要學會取舍,平衡風險與代價。(5)可維護性原則。沒有任何系統可以做到無懈可擊,要做到能隨時調整、升級、擴充。(6)技術與管理相結合原則。在改善安全技術的同時也要加強管理,減少管理漏洞,對于復雜的安全形勢,要多做預案,提前防范突發事件。
2.2企業網絡安全解決方案
2.2.1網絡分域防護方案網絡分域防護的原則是落實安全域的防護策略、制定訪問控制策略、檢查網絡邊界、分級防護等。從企業網絡安全需求及特點出發,將網絡組織架構從邏輯上分為互聯網域、服務區域、外聯域和內網核心區域,如圖1所示。互聯網域接入互聯網服務,服務區域即企業服務器放置區域,外聯域接入分公司區域,內網核心區域是指企業內部網絡互聯的核心設備區域。如此劃分的目的是保證具有相同防護需求的網絡及系統處于同一安全子域內,便于各個安全子域內部署相應等級的防護策略。2.2.2部署安全網關方案在外網與內網之間設置安全網關(如圖1所示),作為企業網絡系統的物理屏障,以保護內網安全。安全網關不是單一的防火墻,而是綜合了防病毒、入侵檢測和防火墻的一體化安全設備。該設備運用統一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護策略整合到統一的管理平臺上,按需開啟多種功能,其由硬件、軟件、網絡技術組成。UTM在硬件上可以采用X86、ASIC、NP架構中的一種,X86架構適于百兆網絡,若是千兆網絡應采用ASIC架構或NP架構。在升級、維護及開發周期方面,NP架構比ASIC架構更有優勢。UTM軟件上可以集成防病毒、入侵檢測、內容過濾、防垃圾郵件、流量管理等多種功能,通過模式匹配實現特征庫統一和效率提升。UTM管理結構基于管理分層、功能分級思想,包含集中管理與單機管理的雙重管理機制,實現功能設置管理和數據分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(intrusionpreventionsystem)的英文縮寫,用于監視網絡或網絡設備上的數據傳輸,發現異常數據可以即時中斷傳輸或進行隔離,先于攻擊達成實現防護,與防火墻功能上互補,并支持串行接入模式,采用基于策略的防護方式,用戶可以選擇最適合策略達到最佳防護效果。IPS部署在服務區域與內網核心區域之間,或核心交換機與內部服務器之間(如圖1所示),可實時監測外部數據向內部服務器的傳輸過程,發現入侵行為即報警、阻斷,同時還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(intrusiondetectionsystem)的英文縮寫,能對網絡數據傳輸實時監視,發現可疑報警或采取其他主動反應措施,屬于監聽設備,其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式,可部署在核心交換機上,對進出內網與內部服務器的數據進行監測,如圖1所示。
2.2.4部署漏洞掃描系統方案漏洞掃描是基于漏洞數據庫,通過掃描檢測遠程系統或本地系統漏洞行為,與防火墻、IDS配合以提高網絡安全性,掃描對象包括網絡、主機和數據庫。漏洞掃描運用的技術有主機在線掃描、端口掃描、操作系統識別、漏洞監測數據采集、智能端口識別、多重服務檢測、系統滲透掃描等。漏洞掃描系統部署方式包括獨立式部署和分布式部署。前者適于比較簡單的網絡結構,例如電子商務、中小企業等;后者適于復雜、分布點多、數據相對分散的網絡結構,例如政府、電力行業、金融行業、電信運營商等。圖1為采用獨立式部署的漏洞掃描系統方案。
勢在必行
對于企業IT專業人員,上至CIO下至一般員王來說,整合已經成為一種方法和策略的要求。現在大多數對于整合的反應主要集中在數據中心整合,但卻忽略了整合所帶來的更顯著優勢:網絡安全。
整合網絡安全同時帶來顯著的成本優勢。據Gartner報告,2008年信息安全組織節省資金最主要的方式是將已有的安全功能融合到基于網絡或主機的安全平臺中去,這種安全平臺可以在單一的產品上提供多層次安全來防御不斷演變的多重網絡與內容威脅。
網絡安全整合可謂正逢其時,關注安全的IT專業人員發現自己處于三大趨勢整合引發的完美風暴中心。首先,IT預算增長放緩,根據ComputerEconomics近期對IT決策者進行的一次調查顯示,IT預算的平均預望增長率只有2.5%。
其次,在控制預算的管理人員中存在著一種令人遺憾的傾向:即滿足于網絡安全現狀與合規問題。從某種意義上說,網絡安全已經成為自身成功處理新的威脅與新的管理制度的犧牲品。幾年沒有關于網絡攻擊的重大新聞了,許多管理人員可能認為安全問題已經“解決”。
最后也許是最重要的一點,即現在網絡安全問題日益復雜:出現了一些越來越復雜的威脅以及由新應用程序導致的漏洞。攻擊的目的已不再專注于提升黑客知名度,而是轉向獲取金錢,有組織的犯罪開始利用網絡安全的弱點進行攻擊。
整合
通過UTM平臺進行的網絡安全整合為您在這次風暴中提供了一種全新的途徑:相比難以整合的單點方案,UTM以更低的成本提供更有效的安全。而軟件和硬件層面更緊密的整合則提供了更高的安全性。而這是通過提供更全面的威脅覆蓋和更高的擴展性來實現的。
您目前所面臨的威脅主要來自網絡與內容層。網絡威脅包括使用“僵尸”網絡的分布式拒絕服務攻擊,竊聽和其它入侵以及一般的蠕蟲。基于內容的威脅包括更加復雜的蠕蟲、病毒、網絡釣魚、網域嫁接、間諜軟件和垃圾郵件等。
攻擊者不斷提升的復雜性也增大了網絡與內容層威脅混合攻擊的頻率。有目標的攻擊會加快繁殖速度,更深入地滲透到有價值的資源。通過對策共享,利用UTM平臺整合您的網絡安全可以顯著提高檢測以及阻止標準攻擊以及更為復雜的多重矢量攻擊能力。
虛擬化對于開啟更多的安全功能尤為重要,例如建立多重及分離的安全域的能力,以便隔離并區e對待不同信任等級的資源。
管理
現在沒有切實可行的方法來統一和集中管理多廠商的安全解決方案,甚至某些廠商的解決方案通常是收集OEM解決方案進行組裝的產物。這些解決方案很可能提供一種不完整的、局部整合的管理方法,其復雜性會減弱監督以及反擊網絡和內容層威脅的能力。
相比較而言,集中可以使你具備立即實現遠程管理多臺設備的能力。通過單一的控制界面就可以在全球所有網域建立或修改所有的設置。統一的日志和報告功能使合規審計工作更加方便。最后,你可以使用一套普通的管理程序來管理所有類e的裝置。隨著企業的成長,這對您隨企業成長進一步擴展解決方案的能力來說至關重要。作為一個關注網絡安全的IT專業人員,你會面臨著大量不斷演變的威脅和日益增長的合規需求。但是你不得不在管理這種動態“威脅”和企業的其它要求之間找到平衡點,這些要求包活成本、有限的數據中心空間、可管理性以及日益增長的環境問題等。
威脅
傳統的防病毒研究人員與漏洞研究人員之間存在競爭。然而,隨著攻擊越來越復雜且形式更多樣,他們需要一種綜合方法來解決結合了這兩種學科的威脅研究。
那些依靠OEM技術來充實他們產品的廠商依賴于他們的供應商提供的威脅研究。由于各種威脅的理解遍布于多個廠商,不管他們的專業知識多么豐富,這種交叉學科的知識共享量自然是有限的,這使得理解什么是多模威脅以及如何讓各種解決方案最有效的協作來對抗他們變得更加困難。
相反,一個真正整合的UTM解決方案背后的威脅研究則是由一個受過高度專業培訓且對各種威脅和對策都具有豐富經驗的研究團隊共同努力完成的,它由知識共享體系和為突出那些結合多種不同威脅的多模攻擊方法而設計的流程,這樣就可以更快更準確地監測新威脅并制定適當的對策。
成本
同其它IT領域一樣,網絡安全管理人員在日益面臨同樣的成本要求。改進服務的同時,也要降低包括運營成本和資本支出相關的總體擁有成本。
顯然,購買更少的系統可以降低初期資本支出,事實上在許多企業。數據中心空間越來越有限,因此在機架上任何可能的縮減都對幫助避免設備擴張十分重要。或許整合網絡安全平臺最重要的總體擁有成本優勢正是在擴展性方面。企業一般很少立即將UTM的各種功能全部開啟。更可能的做法是,會開始整合幾種安全功能,如防火墻,VPN和IPS,然后考慮在將來添加一些其它的功能。通過一個整合解決方案,而這些功能已經存在,通過簡單的訂購即可用最小的成本投入獲得所有所需添加的新功能。
網絡安全整合帶來更大的運營成本優勢。多廠商、亦或來自單廠商的多設備方案,會導致更大的管理負擔。這迫使你的安全人員疲于應付,留給她們更少的時間采取積極主動的措施來支持業務增長。而通過一個整合的方法,不僅使您用于培訓、維修、支持和威脅更新的成本更低,而且更加簡單快捷,因為您只需處理來自一個廠商的一個管理界面和一套更新設備就可以了。
環保意識是消費者與廠商開展業務時越來越重視的問題。據IDC調查,超過50%的消費者把廠商是否注重環保作為選擇供應商的一個考慮因素。這也被高級管理層所重視:幾乎80%的管理人員越來越看中綠色IT。
網絡技術的普及和應用正在改變傳統的信息技術產業,信息交流變得更加快捷和便利,但是這樣也給網絡信息的保密提出了更高的要求。
1.計算機網絡安全問題產生的背景
計算機網絡的應用已經滲透到社會的各個領域,網絡信息安全已經成為人們日常生活頗為關注的問題。隨著計算機網絡技術的應用和發展,計算機網絡的安全問題也越來越受到人們的關注。網絡安全問題日益顯得重要,網絡的開放性與共享性,系統的復雜性,邊界的不確定性,以及路徑的不確定性,等等,都導致網絡安全問題的發生,使得網絡很容易受到外界的攻擊和破壞,同樣也使得數據信息的保密性受到嚴重的影響。網絡安全問題已經迫在眉睫。
2.網絡信息安全的重要性
隨著信息技術的快速發展,隨之而來的就是網絡平臺的安全問題,因此,人們對網絡環境的要求越來越高,對網絡安全也越來越重視。無論是網上交易,還是網絡信息的傳遞,都是對網絡安全提出的一個很大的挑戰。網絡信息安全已經成為國家、國防,以及國民經濟的重要組成部分。隨著計算機通訊技術和網絡技術的不斷發展,計算機網絡將會日益成為農業、工業和國防等方面的重要信息交換手段,滲透到社會的各個領域。基于以上的情況,我們必須認清網絡的脆弱性和潛在的威脅。所以,采取強力的安全措施是必要的,對于保證網絡信息的安全傳遞十分重要。而目前并沒有任何的計算機技術能完全保證網絡信息的安全性,所以我們除了要加強技術方面的發展,還必須考慮非技術方面的因素,例如人們的安全意識等。
3.網絡安全信息所面臨的主要威脅
3.1計算機病毒的威脅。
病毒可以說是當前網絡信息最主要的威脅,其發展趨勢呈爆發式增長。國際安全協會的統計表明:計算機病毒正在以每年超過50%的速度增長。我國最大的防病毒廠商瑞星公司的報告顯示:2004年上半年截獲各種新型病毒11835個,2005年同期為26927個,而到2006年同期達到了119402個,2007年達到133717個,而2008年截獲的病毒木馬居然達到了1242244個,數量已經超過近五年來病毒數量的總和。以前,一個計算機病毒需要3年的時間才能傳遍全球,而現在借助網絡信息則只需要僅僅幾分鐘。根據有關部門統計,從2000年開始至今,全球數千萬臺計算機受到病毒感染,累計造成經濟損失1000多億美元,給全球的經濟、科技的發展帶來巨大的損失。
3.2計算機黑客的威脅。
根據我國公安部門的統計,1997年我國發生的與黑客有關的網絡犯罪20起,1998年142起,1999年908起,2000年就超過了3000起,從2001年到目前為止,每年的網絡犯罪更是數以萬計,并且由于網絡的隱蔽性,導致了破案率還不到10%。
3.3流氓軟件的威脅。
當前越來越多的正規軟件廠商受到利益的驅使,大量的制作并使用介于正規軟件和病毒軟件之間的流氓軟件,而這些軟件大多又具有木馬的特征,與病毒之間的界限也越來越模糊。根據有關部門調查顯示,從2006年開始,流氓軟件對用戶的侵害有超過病毒的趨勢,嚴重地干擾了用戶的日常工作,信息數據安全,以及個人隱私。
4.影響網絡信息安全的主要因素
當前影響網絡安全的因素很多,但是主要還是來自法律、管理、技術三個大方面。
4.1網絡信息安全的相關法律法規的不健全。
對于網絡犯罪越來越猖獗的情況,世界各國都已經開始擬定相關的法律法規,但是在互聯網這樣一個虛擬的世界里,可以說很難對網絡信息犯罪進行監控和證據的收集。而制裁傳統犯罪的法律法規又并不適合于網絡信息犯罪,關于世界各國對于網絡的犯罪底線又過于模糊和籠統,實在是很難有一個清楚的界限。網絡世界里的立法尚有許多的空白點,這也導致了網絡世界的“無政府”狀態的情況日益加劇,網絡信息犯罪呈泛濫的趨勢,但是真正被送上審判席的可以說少之又少,網絡犯罪幾乎是無處不在。雖然目前有好幾例網絡信息犯罪被送上審判庭,但這對于目前龐大的網絡犯罪數量來說只是冰山一角。
4.2網絡信息安全意識淡薄,管理體制不夠健全。
網絡信息安全管制是網絡安全的一個重要不可缺少的因素,但是大多數人的安全意識很薄弱,重技術、輕管理,殊不知大部分的信息安全問題都是出自于管理上的疏忽。在制度、流程和人員管理方面相當的混亂,這就為網絡信息安全留下隱患,也為盜取信息者大開方便之門。據網絡信息安全專家不完全統計,約80%的信息泄露都是由于管理上的疏忽。
4.3網絡安全技術存在著不足。
網絡信息系統安全一般由網絡協議層安全、宿主操作系統層安全、數據庫管理系統層安全和應用程序層安全四個層次組成,而這四個安全層次均在不同程度上存在安全方面的先天不足。首先,網絡協議存在安全缺陷。網絡協議是網絡信息系統的基石,TCP/IP協議族是目前使用最廣泛的互聯網協議,已經成為互聯網的事實標準。但令人遺憾的是,TCP/IP協議族的各種應用服務和通信流程在設計上均存在不同程度的安全缺陷,加之其以明文方式傳送數據,導致欺騙攻擊、否認服務、拒絕服務、數據截取和數據纂改等網絡攻擊可以輕而易舉地實現。其次,作為網絡信息系統的運行平臺,當前主流的操作系統Windows、UNIX、Unux等在體系結構的設計上均存在對安全性要求考慮不周的缺陷。根據美國國家安全局(NSA)的國家計算機安全中心1983年8月頒發的官方標準,受信任計算機系統評量基準,它們都屬于安全級別較低的CZ級,其可動態連接機制、可動態創建遠程/近程進程機制、特權程序適時激活機制和無口令遠程過程調用服務人口為遠程傳輸并執行惡意程序大開綠燈,成為病毒和黑客的樂園。再次,作為電子商務、金融,以及EPR系統等各種應用的基礎,當前主流的數據庫管理系統Oracle、DBZ、SQL、Sybase等在設計上缺乏全面考慮的安全分級管理策略,其與操作系統的眾多接口很容易造成核心權限的失控,導致基于數據庫漏洞的網絡攻擊成為黑客最常采用的攻擊手段之一。最后,當前主流的軟件開發技術瀑布模型、敏捷建模、中間件技術及軟件構件化技術等對安全因素均不夠重視。軟件開發商和開發人員為追求商業利益,在應用程序開發過程中普遍存在重應用輕安全的思想,對威脅建模、安全策略和安全測試考慮不周,而寧可采取亡羊補牢的方法,導致當前各種應用程序漏洞頻發和補丁程序滿天飛這一極不正常的現象。并且由于補丁程序滯后于漏洞攻擊程序這一必然規律,用戶別無選擇地被至于危險的境地。
5.保障網絡信息安全的手段和措施
雖然網絡信息系統的安全缺陷和安全威脅是客觀存在的,但其風險是可以控制乃至規避的。
5.1網絡信息安全的立法工作,強化對網絡信息安全的重視。
法律是打擊網絡信息犯罪最有力的武器,是保障網絡信息安全的根本。對所有危害網絡信息安全的行為實施嚴厲的法律制裁,才能從根本上解決當前信息網絡病毒泛濫、黑客猖撅、流氓軟件明火執仗的無政府現狀。網絡信息安全也引起了我國政府的重視,國家有關部門建立了相應的機構,了有關的法規,以期加強對網絡信息安全的管理。2005年4月1日開始實行《中華人民共和國電子簽名法》,該法對于電子銀行的業務發展是相當重要的,為銀行在網絡上的發展提供了基礎的法律保障。2001年中國人民銀行制定頒布的《網上銀行業務管理暫行辦法》直接規范了電子銀行業務。為了有效地控制電子銀行業務的風險,中國銀監會制定了《電子銀行業務管理辦法》和《電子銀行安全評估指引》,并且從2006年3月1日起正式實施,這一切都反映出我國對計算機網絡與信息安全的高度重視,以及努力推動我國金融信息安全產業發展、提高我國信息安全技術水平的決心。
5.2強化網絡信息安全體制。
研究表明,絡信息安全漏洞主要是由于管理不善,因此,我們首先必須建立科學合理的網絡信息安全管理、執行和監督機構,明確網絡信息安全原則,構建網絡信息安全策略,合理協調法律、技術和管理等諸多因素,實現網絡信息安全的制度化。其次,必須建立從監測、響應、防護到恢復的一整套科學合理的網絡信息安全管理體制,保證網絡信息系統的安全運轉。再次,必須正確認識當前的防病毒技術、人侵檢測技術、防火墻技術、加密、解密技術、認證技術及數據恢復技術的重要性和局限性,采用最先進的安全技術保障網絡信息安全。最后,加強人員的安全培訓,提高網絡信息安全防范意識,盡量減少人為因素造成的風險。
5.3開發安全的軟件,防范于未然。
提高軟件開發組織及其從業人員的安全意識,致力于開發安全的軟件,從根本上減少軟件系統的安全缺陷才是網絡安全的終極之道。因此,所有軟件開發從業人員必須掌握安全軟件開發的思想和技術,堅決杜絕無視安全的開發。軟件開發組織必須建立完善的安全軟件開發管理制度,在軟件開發過程中將軟件安全性作為軟件質量的一個重要測度,在設計階段加入安全對策,并進行嚴格的安全測試,在正式前較少軟件的安全缺陷,確保軟件系統的安全性。
綜上所述,網絡信息安全是一個復雜的綜合性工程,涉及法律、管理和技術等多個領域。雖然目前已經取得了一定的成效,但形勢依然十分嚴峻,必須依靠眾多相關方的共同努力,才能為廣大信息網絡用戶打造一個安全可靠的應用環境。
參考文獻:
[1]李衛.計算機網絡安全與管理.北京:清華大學出版社,2006.1.
[2]蔡立軍.計算機網絡安全技術.北京:中國水利水電出版社,2005.2.
關鍵詞:計算機;網絡安全;防護技術
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-8937(2014)5-0010-02
計算機網絡技術的迅猛發展極大地改變了人們的生活方式,深遠影響著人們日常工作的發展,是當前社會不可缺少、不可替代的技術類型。然而隨著其向更層次的發展后,一系列因計算進網絡技術而附加產生的問題接踵而至,很大程度上對其長遠發展造成了阻礙。近年來,關于計算機病毒、計算機黑客攻擊而造成的全球互聯網和軍事情報網及商業等頻頻癱瘓的狀況此起彼伏,傳播速度快、破壞能力強、影響范圍廣的病毒入侵使得計算機網絡安全技術時刻經受著挑戰。因此,掌握先進的網絡安全防護技術變得十分必要。
1 計算機網絡技術存在的安全隱患
1.1 關于計算機病毒造成的安全隱患
計算機網絡技術深刻地透入到人們生活的各個角落,人們對其認識了解也不在少數,同樣的對可能引發安全隱患的病毒也不陌生。計算機網絡病毒的種類有很多,最常見的當屬木馬病毒,它傳播速度快、破壞力大且難以根除,使得其在各大互聯網絡肆意橫行,時時刻對網絡安全造成致命的威脅。而且計算機病毒的存在具有較強的隱蔽性,不易被察覺。很多計算機用戶往往是在毫無防備的情況下感染上的,這些病毒大多潛藏在諸多非專業的資料網站內,用戶在下載這些資料時病毒就趁機入侵,使資料下載用戶的計算機硬件遭到破壞并出現相應的安全漏洞,長期受到病毒的侵擾威脅。計算機病毒有良性病毒和惡性病毒的區別,惡性病毒具有超輕的傳染性、隱蔽性、破壞性等特點,難以及時發現、徹底清除,在相當長的時間和廣闊的范圍內對計算機用戶構成極大地困擾。良性病毒帶來的破壞力相對較弱、時間較短、危害范圍也更小,可以在發現后利用殺毒軟件進行徹底清除。
1.2 關于黑客攻擊造成的安全隱患
黑客攻擊是影響計算機網絡技術安全的另一重要因素。黑客攻擊是人為的未經管理者和法律許可就直接進入其電腦,完成破壞電腦管理者計算機硬件系統和軟件系統的操作,使管理者電腦出現嚴重的漏洞,用戶電腦中的資料信息遭到竊取,并且還會將隱藏的病毒程序種植于用戶電腦之中,長期的對用戶電腦進行破壞性操作控制。黑客攻擊相較于一般的病毒入侵更具威脅性,人為的不可控性是黑客攻擊難以防范的最根本問題。
1.3 計算機系統軟件漏洞造成的安全隱患
計算機應用系統本身存在著不少系統漏洞,這些漏洞對計算機本身的網絡安全并不會構成任何威脅,但這些固有的漏洞為黑客攻擊、惡意軟件侵入、病毒滋生提供了可乘之機,一旦黑客、不法分子及病毒掌握這些漏洞,他們便會趁虛而入,此時原本無害的系統漏洞就成了病毒滋生的溫床和計算機遭受入侵的幫兇。
1.4 安全配置不當造成的隱患
在計算機操作過程中,如果安全配置不當也會引發相應的安全隱患。安全配置的合理設置如同計算機自身的“看家本領”,良好的配置才能練就過硬的安全防護能力,若是配置不當,很多安全防護軟件便不能正常使用,也不能發揮其為計算機用戶安全保駕護航的作用,更會給計算機留下漏洞,形成網絡缺口,最終導致病毒入侵的后果。
2 計算機網絡安全防護技術建設的必要性
計算機網絡技術的普及性、廣泛性、便捷性等特點使得其在全世界范圍內擁有廣大深厚的用戶基礎,這在為人們生活提供便利的同時更存在著相對等的安全隱患,一旦問題產生,可影響輻射的范圍是全球性的。網絡安全狀態下可以惠及全球,網絡存在隱患時也可以波及全球,因而全球的計算機網絡用戶都必須時刻警惕網絡安全隱患的侵擾,并且在全球范圍內建設計算機網絡安全防護建設的防護體系,在問題發生后迅速作出反應,并且及時進行信息交流傳達,將破壞范圍降到最小,造成的損失減到最低,確保全球網絡通信環境的安全可靠。計算機網絡安全遭到威脅和破壞后帶來的損失是不可估量的,信息竊取、網絡癱瘓等造成人們生產生活難以正常繼續,商業及軍事情報遭泄露帶來的危害是更廣范圍更深層次的,極有可能引發社會騷亂、局勢動蕩,因此必須加強計算機網絡安全防護技術的開發與研究,力求做到防患于未然,即便問題出現也可以第一時間內妥善解決,將危害損失降到最低。
3 計算機網絡安全防護策略
3.1 針對病毒入侵采取防火墻技術
利用防火墻技術構筑起計算機網絡安全的一道屏障,將內網與外網通信過程中程序的訪問進行控制,有選擇的訪問安全可靠的資源網站,對存在安全隱患的訪問程序進行首輪篩選攔截,確保網絡通信正常運行。防火墻本身具有一定的抗攻擊能力,目前常用的防火墻技術主要有包過濾防火墻、地址轉換防火墻和防火墻三種。這三種防火墻技術通過濾除不可信地址的信息接收與發送,轉換內網地址、隱藏終端地址,利用服務器與網絡服務器溝通等手段不斷加強內網的安全穩定性。防火墻技術是目前計算機網絡安全最基本的防護技術,但也是必不可少的防護措施,需要推廣使用。
3.2 針對黑客攻擊采用訪客控制技術
訪問控制管理技術可以保障網絡系統在可控的范圍內被訪問,使網絡資源不會被非法利用和訪問。對于入網環節實施首層訪問控制,并且對進入者的訪問時間、訪問內容、訪問權限都作出明確限制。還需要計算機網絡用戶對系統相關文件設置相應權限,篩選出符合訪問權限者,及時報告并阻截不符合權限者。還可以使用身份認證技術對網絡用戶進行身份認證,并對用戶限定相應的網絡操作權限,這一操作的設定將加大非法用戶的訪問難度還可以對網絡不明用戶的不正常操作行為進行記錄。網絡管理人員必須做好對整個網絡系統的監控,記錄好服務器登錄用戶信息,一旦有異常出現,可利用聲音、文字等多種方式進行應急報警,提升網絡管理者的警惕性,及時阻攔黑客的不良攻擊,有效預防來自外部的惡意攻擊。
3.3 針對計算機系統軟件漏洞造成的隱患
計算機本身的漏洞問題是固有的,為保證計算機網絡安全必須定時的對系統漏洞做全盤掃描,深度清理。發現漏洞后及時修補,不給黑客、不法分子以可乘之機。計算機本身存在的漏洞若不及時發現并修復,很可能會產生外部病毒入侵、黑客攻擊與系統本身的漏洞“里應外合”的嚴重后果,造成的影響更是毀滅性的,因此必須嚴格搞好系統本身的漏洞監控修復工作,真正做到防患于未然。
3.4 入侵檢測技術
入侵檢測技術相較于其他防御技術有很大的不同,它扭轉了原來被動防御的劣勢,主動出擊,主動展開計算機網絡安全技術的防護工作,掌握一定的主動性,及時對異常入侵者做出反應。入侵檢測技術可以與多種相關技術合作,共同制定出與網絡環境相適應的安全規則,從而對網絡獲取的信息進行分析檢測,并時刻對網絡運行狀態進行監控,及時排除網絡中存在的安全威脅。
3.5 搞好計算機網絡專業人員培訓,建設專業的防護人
才隊伍
計算機是由人發明創造的,其操作使用者是人類,其管理維護者更是計算機專業人員,因此為了做好計算機網絡安全防護,專業的網絡管理維護人員是必不可少的。搞好計算機網絡網絡專業管理人員的培訓、建設專業的防護人才隊伍,提高其處理解決問題的能力,可以有效的對計算機的信息管理安全進行控制,保障網絡通信安全暢通運行。
3.6 加強網絡安全防范意識
計算機網絡安全問題產生的很大一部分原因在于計算機網絡用戶的安全防范意識薄弱,缺乏有力的信息甄別能力,容易受到虛假不良信息的誘惑侵蝕,從而無意中進入到病毒攜帶網站的圈套,進而受到病毒感染、木馬入侵等危害計算機網絡安全的干擾。因此廣大計算機網絡用戶務必有較強的網絡安全防護意識,對瀏覽網頁時自動彈出的信息窗口作仔細的甄別,確保其安全可靠后再選擇進入頁面,對于安全性不能確定的網頁要及時舉報攔截,將網絡安全防護的意識牢牢樹立于腦海之中。
3.7 利用多種新興媒體加大網絡安全維護的宣傳力度
新興的媒體客戶端在廣大計算機用戶中有著深厚的用戶基礎,在計算機網絡安全防護工作中,二者可以互相結合,利用媒體宣傳安全上網、防范網絡危險的知識和方法,營造安全和諧的上網環境,對于諸多惡意信息網站要及時舉報、曝光,必要時進行關閉處理,避免網絡用戶二次上當。在安全上網的方法指導下,計算機網絡用戶就可以走出操作使用時的盲區,在最大限度內做到趨利避害。
3.8 用資料備份儲存技術
計算機用戶在日常的工作學習和生活中會將大量的數據信息資料存入電腦之中,這在網絡安全暢通的情況下是非常方便的,但計算機網絡若遭到破壞或損毀,內存的資料也就不復存在的,這就要求采用資料備份存儲技術,將計算機內的個人資料信息作出備份存儲,避免資料信息丟失,給生活工作帶來不便。
4 結 語
計算機網絡在人們的生活工作中滲透得越來越深入,已經日漸成為人們生活中必不可少的一部分,人們的衣食住行都與之有著密不可分的聯系,其在人們生活中扮演的重要角色已經無可替代,而且在更長遠的時間里,計算機網絡對人們生活的影響會更加透徹,更加廣泛,人們的生活較之于現在也會發生更加深刻的變革。人們的生活會向著智能、簡約的趨勢發展,這種生活追求的實現必須依賴于安全可靠的計算機網絡技術。換言之,安全的計算機網絡環境和可靠地計算機網絡技術是確保人們生活日漸美好的充分必要條件,因而全世界范圍內的網絡用戶都必須為實現這一目標而共同努力,營造文明上網的和諧環境、倡導安全上網的操作規范,做到全社會參與,共同抵制計算機網絡安全隱患的侵襲。通過本文研究發現,機損及網絡安全防護不僅需要技術上的革新,還需要網絡用戶的積極響應參與,二者有效配合才可以充分保證計算機網絡的安全。
參考文獻:
[1] 孫嘉葦.對計算機網絡安全防護技術的探討[J].計算機光盤軟件與應用,2012,(2).
關鍵詞:局域網 安全 防范與優化
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2014)05-0194-01
計算機網絡與人們生活工作息息相關,它在提高計算機信息資料傳輸速率、實現信息資源高速共享等方面起到了至關重要的作用。但是,隨著新技術的不斷發展,各種病毒、系統漏洞等正在嚴重威脅著計算機網絡安全。面對當前局域網中所存在的大量網絡安全問題,加強對網絡安全措施的探究顯得尤為重要。
1 影響局域網絡安全的因素
(1)外部因素。計算機黑客攻擊和病毒威脅是影響網絡安全的主要因素。由于計算機對系統具有較大的依賴性,當黑客掌握了一定的高端技術后,就能夠對各種信息資源進行輕松訪問或者篡改。一旦攻擊者在較強經濟利益或其他利益驅使下,就會出現違法律的行為,進而對計算機網絡造成巨大危害。計算機病毒是編制者在計算好程序中植入一些具有巨大破壞性的指令或者是代碼,能夠對計算機基本功能和數據信息造成破壞,并且能夠通過自我復制的方式擴大其影響范圍,嚴重情況下會造成全球性的網絡故障。(2)內部因素。計算機網絡自身固有的特征決定了用戶在使用局域網時要面對和承擔網絡帶來的眾多問題,這也是影響網絡安全的內部因素[1]。網絡系統的開放性、網絡資源的有效共享性是現代計算機網絡的優勢和特點,在方便用戶獲取信息和使用的同時,也威脅網絡的安全。另外計算機系統操作漏洞可以說是系統開發中不可避免的問題,無論多么成熟的操作系統或應用軟件都不可能做到盡善盡美,而且網絡協議的復雜程度在一定程度上也加大了操作系統實現過程中的缺陷。
2 局域網安全防范與優化
(1)應用防火墻技術。網絡防火墻技術是一種有效維護網絡安全的技術,它分為硬件防火墻和軟件防火墻兩種種。硬件防火墻一般為Cisco,華為等;軟件防火墻一般為天網,CA等。其中比較著名的是Cisco的PIX和ASA防火墻。早期一般使用Cisco PIX,由于命令格式不同于普通思科路由命令,所以需要特別培訓后才能操作,后來Cisco改為ASA防火墻,命令格式同路由器配置命令一樣,方便了很多的CCNA或者CCNP的初學者對配置使用。硬件防火墻默認關閉所有通道,采用手動開啟的方式對需要使用的端口逐一配置開啟,有效的控制了風險系數。(2)應用安全狀態檢測技術。安全狀態檢測技術是指網絡防火墻在對經過的信息進行過濾過程中,通過在網關上的一個監測引擎的功效發揮,執行網絡安全相關的策略,從而對各個數據包之間是否存在相關性進行監測,并對數據包動態變化狀態進行實時儲存[2]。通常情況下,當計算機用戶嘗試進行網絡操作時,狀態監測引擎器就會進入工作狀態,通過對先前監測引擎儲存的相關狀態信息進行比對與分析,然后結合網絡配置和安全規范會做出是否接納信息或者需要進行訪問身份驗證判斷,也可能是對此項通信進行加密處理。(3)應用網絡地址轉換技術。網絡地址轉換技術是將一個IP地址用另一個IP地址來替代。該項技術最開始的設計用途是為了增加專用網絡中能夠使用的IP地址數目,但是它本身具有安全特性,而且還非常隱蔽,因此如果在計算機主機內部使用該技術,一定程度上可以有效提高網絡的安全性。計算機用戶可以通過把IP地址轉換成一種臨時注冊性的IP地址,因而當用戶在使用安全網卡對外部網絡進行訪問時,此時計算機系統只會把外出源地址及源端口映射成一個偽裝的地址和端口進而與外部進行連接,同時也就對用戶真實的內部網絡地址進行了隱藏[3]。相似原理,當外部有非安全網卡對內部網絡訪問時,預先偽裝好的IP地址就會對非法入侵訪問者產生一定的誘導性作用,此時防火墻也發揮作用,會根據先前設定好的程序對是否允許其訪問進行判斷。(4)利用桌面管理系統用戶入網進行控制。入網訪問控制是一種常用的防范網絡資源不被非法使用的措施,對保證網絡安全起到了重要作用。該技術是第一道控制限制網絡訪問的程序手段,能夠對用戶登錄網絡權限、在哪個網站進行登錄以及登錄時間進行有效控制。用戶如果有訪問權限就可以自由登錄并且能夠任意訪問文件、目錄或者其他網絡資源,而且能夠對其進行操作。當用戶設置了網絡程序的登錄密碼時,對服務器控制臺設置鎖定口令,這樣就能夠對無權限用戶使用電腦情況進行有效杜絕,同時還能夠對非法用戶盜取用戶個人信息或者任意修改信息的行為進行控制。對于登錄密碼不符合設計要求的計算機用戶在進行多次提醒和警告后要阻斷其聯網。(5)及時對重要數據進行備份。文檔是用戶的重要資料數據,多數的計算機用戶都習慣把資料存放在電腦硬盤中“我的文檔”文件夾中,其中Excel電子表格、Word文檔、多媒體文件等多種信息都非常重要。為了防止系統出現崩潰或者其他意外情況導致文件資料丟失,最好對這些文檔信息進行備份處理。盡管部分驅動程序可以使用隨機附送的驅動盤來進行安裝,或者也可以從官方的網站上進行下載,但是如果上述方式無法進行下載,就會導致驅動盤損毀或者引起其他一系列更為嚴重的損失。因而在對系統進行重裝之前,對相應的驅動程序進行備份也十分必要。另外對其他重要收藏夾、后者電子郵件及QQ聊天信息等根據實際需要進行合理備份,從而保證信息安全。(6)清除網絡瀏覽痕跡。Windows使用瀏覽痕跡、IE使用瀏覽痕跡以及其他應用軟件使用操作痕跡主要是計算機系統的主要使用痕跡。由于Windows操作系統和其他部分應用軟件具有一定程度的自動記錄功能,當用戶對文件進行編輯、輸入密碼等操作時,系統都會相關信息自動記錄,如果對這些信息沒有進行及時清理,這些信息就很容易把操作者的信息暴露給他人甚至會被不法攻擊者所利用。因此,除了可以對使用痕跡進行手工清除,也可以使用Tracks Eraser、Clean Space等專門痕跡清除工具軟件來信息清除。
3 結語
計算機網絡技術已經生活生產中的得到了廣泛普及,對于人們的正常生活和工作具有重要意義,然而網絡安全問題將是全球共同要面對的問題。因此我們一定要加強對計算機網絡安全措施的研究,在不斷提高局域網絡安全的同時,要盡量降低網絡自身特點引發的安全隱患,加強對影響網絡安全的網絡內外部因素的控制,促進計算機網絡安全運行。
參考文獻
[1]馬江濤.局域網安全及防范策略[J].同煤科技,2010(2):9-10.
一、電子商務中的信息安全技術
電子商務的信息安全在很大程度上取決于技術的完善,這些技術包括訪問控制、防火墻技術、身份認證與權限管理、入侵檢測、防病毒等等。
1.防火墻技術。防火墻是最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,是一個安全策略的檢查站,對網絡攻擊進行檢測和警告。
2.加密技術。它的主要任務是研究計算機系統和通信網絡內信息的保護方法,以實現系統內信息的安全、保密、真實和完整。
3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整、不可否認服務中都要用到數字簽名技術。
4.數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。
二、電子商務網絡信息安全的應對措施
網絡信息安全關系到我們每個人的切身利益,研發出真正安全可靠的網絡信息安全產品對保障國家的信息安全、金融安全甚至國家安全都具有十分重要的意義。有人說“三分技術,七分管理”反映了網絡信息安全技術的兩個方面:一是技術問題,二是管理問題。那么,未來網絡信息安全就應從政府、網絡軟件企業、核心用戶、資本、技術、人才等各個方面入手。
1.提高對網絡信息安全重要性的認識。信息技術的發展,使網絡逐漸滲透到社會的各個領域,在未來的軍事和經濟競爭與對抗中,因網絡的崩潰而促成全部或局部的失敗,絕非不可能。我們在思想上要把信息資源共享與信息安全防護有機統一起來,樹立維護信息安全就是保生存、促發展的觀念。
2.加強網絡安全管理。我國網絡安全管理除現有的部門分工外,要建立一個具有高度權威的信息安全領導機構。對于計算機網絡使用單位,要嚴格執行《中華人民共和國計算機信息系統安全保護條例》與《計算機信息網絡安全保護管理辦法》,建立本單位、本部門、本系統的組織領導管理機構,明確領導及工作人員責任,制定管理崗位責任制及有關措施,嚴格內部安全管理機制。
3.加快網絡安全專業人才的培養。我國需要大批信息安全人才來適應新的網絡安全保護形勢。高素質的人才只有在高水平的研究教育環境中才能迅速成長,只有在高素質的隊伍保障中才能不斷提高。應該加大對有良好基礎的科研教育基地的支持和投入,多出人才,多出成果。在人才培養中,要注重加強與國外的經驗技術交流,及時掌握國際上最先進的安全防范手段和技術措施,確保在較高層次上處于主動。要加強對內部人員的網絡安全培訓,防止堡壘從內部攻破。
4.開展網絡安全立法和執法。一是要加快立法進程,健全法律體系;二是要執法必嚴,違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機關辦案的制度,提高執法的效率和質量。
5.把好網絡建設立項關。我國網絡建設立項時的安全評估工作沒有得到應有的重視,這為網絡安全問題埋下了伏筆。在對網絡的開放性、適應性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關的同時,在立項時更應注重對網絡可靠性、安全性的評估,力爭將安全隱患杜絕于立項、決策階段。
6.抓緊網絡安全基礎設施建設。一個網絡信息系統,只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產的,就沒有安全可言,這正是我國網絡信息安全致命的弱點。
7.建立網絡風險防范機制。在網絡建設與經營中,因為安全技術滯后、道德規范蒼白、法律疲軟等原因,往往會使網絡經營陷于困境,這就必須建立網絡風險防范機制。
8.強化網絡技術創新。如果在基礎硬件、芯片方面不能自主,將嚴重影響我們對信息安全的監控。為了建立起我國自主的信息安全技術體系,利用好國內外兩個資源,需要以我為主,統一組織進行信息安全關鍵技術攻關,以創新的思想,超越固有的約束,構筑具有中國特色的信息安全體系。特別要重點研究關鍵芯片與內核編程技術和安全基礎理論。
9.注重網絡建設的規范化。沒有統一的技術規范,局部性的網絡就不能互連、互通、互動,沒有技術規范也難以形成網絡安全產業規模。
10.促進網絡安全產業的發展。扶持具有中國特色的信息安全產業的發展是振興民族信息產業的一個切入點,也是維護網絡安全的必要對策。
1
總則
1.1
編制目的
建立健全本市網絡安全事件應急工作機制,提高應對突發網絡安全事件能力,預防和減少網絡安全事件造成的損失和危害,保護公眾利益,維護國家安全、公共安全和社會秩序,保障城市安全運行。
1.2
編制依據
《中華人民共和國突發事件應對法》、《中華人民共和國網絡安全法》、《突發事件應急預案管理辦法》、《國家網絡安全事件應急預案》、《XX市實施辦法》、《XX市突發公共事件總體應急預案》和《信息安全技術
信息安全事件分類分級指南》(GB/Z
20986—2007)等,編制本預案。
1.3
適用范圍
本預案適用于本市行政區域內發生的網絡安全事件,以及發生在其他地區且有可能影響XX城市安全運行的網絡安全事件的預防和處置工作。其中,有關基礎電信網絡的通信保障和通信恢復等應急處置工作,適用《XX市通信保障應急預案》;有關信息內容安全事件、涉密網絡和系統的網絡安全事件的應對,另行制定預案。
1.4
工作原則
堅持統一領導、分級負責;堅持統一指揮、密切協同、快速反應、科學處置;堅持預防為主,預防與應急相結合;堅持誰主管誰負責、誰運行誰負責,充分發揮各方面力量共同做好網絡安全事件的預防和處置工作。
2
組織體系
2.1
領導機構
市委網絡安全和信息化委員會(以下稱“市委網信委”)負責統籌協調組織本市網絡安全保障工作,對處置本市網絡安全事件實施統一指揮。
2.2
應急聯動機構
市應急聯動中心設在市公安局,作為本市突發事件應急聯動先期處置的職能機構和指揮平臺,履行應急聯動處置較大和一般突發事件、組織聯動單位對特別重大或重大突發事件進行先期處置等職責。各聯動單位在其職責范圍內,負責突發事件應急聯動先期處置工作。
2.3
市應急處置指揮部
發生特別重大、重大網絡安全事件發生,職能部門報市領導決定后,將市委網信委轉為市網絡安全事件應急處置指揮部(以下簡稱“市應急處置指揮部”),統一指揮本市網絡安全事件處置工作。總指揮由市領導確定或由市委網信委負責相關工作的領導擔任,成員由相關部門和單位領導組成,開設位置根據應急處置需要確定。同時,根據情況需要,設置聯絡和處置等專業小組,在市應急處置指揮部的統一指揮下開展工作。
2.4
職能部門
市委網絡安全和信息化委員會辦公室(以下稱“市委網信辦”)作為市委網信委的辦事機構,具體承擔統籌協調組織本市網絡安全事件應對工作,建立健全跨部門聯動處置機制。
2.5
專家咨詢機構
市委網信辦負責組建處置網絡安全事件專家咨詢組,為處置網絡安全事件提供決策咨詢建議和技術支持。
3
預防預警
3.1
預防
各區、各部門、各單位要做好網絡安全事件的風險評估和隱患排查工作,及時采取有效措施,避免和減少網絡安全事件的發生及危害。
3.2
預警分級
網絡安全事件預警等級分為四級:由高到低依次用紅色、橙色、黃色和藍色表示,分別對應發生或可能發生特別重大、重大、較大和一般網絡安全事件。
3.3
預警監測
各區、各部門、各單位按照“誰主管誰負責、誰運行誰負責”的要求,組織對本區域、本單位管理范圍內建設運行的網絡和信息系統開展網絡安全監測工作。各區、各部門、各單位將重要監測信息報市委網信辦,市委網信辦組織開展跨區、跨部門的網絡安全信息共享。
3.4
預警信息
市委網信辦根據危害性和緊急程度,適時在一定范圍內,網絡安全事件預警信息,預警級別可視網絡安全事件的發展態勢和處置進展情況作出調整。其中,紅色、橙色預警信息同時報市委總值班室、市政府總值班室。
預警信息包括事件的類別、預警級別、起始時間、可能影響范圍、警示事項、應采取的措施和時限要求、機關等。
3.5
預警響應
進入預警期后,有關地區和單位立即采取預防措施,檢查可能受到影響的網絡和信息系統,做好相關安全風險的排查和修復工作。加強本地區、本單位網絡與信息系統安全狀況的監測,并將最新情況及時報市委網信辦。市網絡與信息安全應急管理事務中心根據事件性質,通知相關應急處置支撐隊伍處于應急待命狀態,并保障所需的應急設備和網絡資源處于隨時可以調用狀態。同時,加強對全市網絡與信息系統安全狀況的監測,每小時向市委網信辦報告最新情況。
3.6
預警解除
市委網信辦根據實際情況,確定是否解除預警,及時預警解除信息。
4
應急響應
4.1
信息報告
4.1.1發生網絡安全事件的單位必須在半小時內口頭、1小時內書面報告市委網信辦值班室、市應急聯動中心和事發地區網絡安全主管部門。較大以上網絡安全事件或特殊情況,必須立即報告。
4.1.2發生重大網絡安全事件,市委網信辦、市應急聯動中心必須在接報后1小時內口頭、2小時內書面同時報告市委網信委、市委總值班室、市政府總值班室;發生特別重大網絡安全事件或特殊情況,必須立即報告市委網信委、市委總值班室、市政府總值班室。
4.2
響應等級
4.2.1本市處置網絡安全事件應急響應等級分為四級:Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級,分別對應特別重大、重大、較大、一般網絡安全事件。事件的響應等級由市委網信辦判定。
4.2.2發生一般或較大網絡安全事件,由市委網信辦和市應急聯動中心決定響應等級并組織實施;發生重大或特別重大網絡安全事件,由市委網信辦和市應急聯動中心提出處置建議,報市委網信委(或市應急處置指揮部)批準后組織實施。
4.3
應急處置
4.3.1市網絡與信息安全應急管理事務中心應在接報后,立即評估事件影響和可能波及的范圍,研判事件發展態勢,根據需要,組織各專業機構在職責范圍內參與網絡安全事件的先期處置,并向市委網信辦報告現場動態信息。必要時,由市委網信辦牽頭成立由市網絡與信息安全應急管理事務中心、事發單位、主管機構負責人和相關信息安全專家組成的現場處置工作組,具體負責現場應急處置工作。
4.3.2
一般、較大網絡安全事件發生后,事發單位應在第一時間實施即時處置,控制事態發展。市委網信辦會同市應急聯動中心組織協調相關部門、單位和專業機構以及事發地區政府調度所需應急資源,協助事發單位開展應急處置。一旦事態仍不能得到有效控制,由市委網信辦報請市委網信委決定調整應急響應等級和范圍,啟動相應應急措施。必要時,由市委網信委統一指揮網絡安全事件的處置工作。
4.3.3
重大、特別重大網絡安全事件發生后,由市委網信辦會同市應急聯動中心組織事發地區政府和相關專業機構及單位聯動實施先期處置。一旦事態仍不能得到有效控制,視情將市委網信委轉為市應急處置指揮部,統一指揮、協調有關單位和部門實施應急處置。
4.4
技術實施
4.4.1處置小組制訂具體處置建議方案后,組織相關專業機構、事發單位和有關部門進行檢驗,檢驗結果上報市應急處置指揮部。
4.4.2檢驗結果經評估后形成處置正式方案,經批準后由聯絡小組及有關部門按照方案要求,協調、落實所需的應急資源。
4.4.3處置小組根據市應急指揮部下達的指令,實施應急處置。處置手段主要為:
(1)封鎖。對擴散性較強的網絡安全事件,立即切斷其與網絡的連接,保障整個系統的可用性,防止網絡安全事件擴散。
(2)緩解。采取有效措施,緩解網絡安全事件造成的影響,保障系統的正常運行,盡量降低網絡安全事件帶來的損失。
(3)追蹤。對黑客入侵、DOS攻擊等人為破壞,由相關執法部門進行現場取證,并采取一定的技術手段,追蹤對方信息。
(4)消除和恢復。根據事件處置效果,采取相應措施,消除事件影響;及時對系統進行檢查,排除系統隱患,以免再次發生同類型事件,并恢復受侵害系統運行。
4.5
信息
4.5.1一般或較大網絡安全事件信息和輿論引導工作,由市委網信辦負責。
4.5.2重大或特別重大網絡安全事件信息工作,由市政府新聞辦負責,市委網信辦負責輿論引導和提供口徑。
5
后期處置
網絡安全事件處置后,市委網信辦負責會同事發單位和相關部門對網絡安全事件的起因、性質、影響、損失、責任和經驗教訓等進行調查和評估。
6
應急保障
有關部門和市網絡安全重點單位(以下簡稱“重點單位”)要按照職責分工和相關要求,切實做好應對網絡安全事件的人員、物資、通信和經費等保障工作,保證應急處置和救援工作的順利進行。
6.1
機構和人員
各區、各部門、各單位要落實網絡安全工作責任制,把責任落實到具體部門、具體崗位和個人,并建立健全應急工作機制。
各區、各部門、各單位要將網絡安全事件的應急知識列為領導干部和有關人員的培訓內容,加強網絡安全特別是網絡安全應急預案的培訓,提高防范意識及技能。
6.2
物資保障
各相關部門、專業機構、重點單位要根據實際需要,做好網絡與信息系統設備儲備工作,并將儲備物資清單報市委網信辦備案。
6.3
通信保障
市經濟和信息化委員會(市無線電管理局)、市通信管理局等部門要建立無線和有線相結合、基礎電信網絡與機動通信系統相配套的應急通信系統,確保應急處置時通信暢通。
6.4
經費保障
依照市政府有關處置應急情況的財政保障規定執行。
6.5
責任與獎懲
網絡安全事件應急處置工作實行責任追究制。
市委網信辦及有關區和部門對網絡安全事件應急管理工作中做出突出貢獻的先進集體和個人給予表彰和獎勵。
市委網信辦及有關區和部門對不按規定制定預案和組織開展演練,遲報、謊報、瞞報和漏報網絡安全事件重要情況或者在應急管理工作中有其他失職、瀆職行為的,依照相關規定對有關責任人給予處分;構成犯罪的,依法追究刑事責任。
7
附則
7.1
預案解釋
本預案由市委網信辦負責解釋。
7.2
預案修訂
市委網信辦根據實際情況變化,適時評估修訂本預案。
7.3
預案實施
本預案由市委網信辦組織實施。
各區、各部門、各單位根據本預案,制定或修訂本區、本部門、本單位網絡安全事件應急預案,并報市委網信辦備案。
本預案自印發之日起實施。
附
件:
1.
網絡安全事件分類和分級
2.
相關部門和單位職責
3.
名詞術語
4.
網絡和信息系統損失程度劃分說明
附件1
網絡安全事件分類和分級
一、事件分類
網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件等。
1.有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。
2.網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。
3.信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
4.信息內容安全事件是指通過網絡傳播法律法規禁止信息,組織非法串聯、煽動集會游行或炒作敏感問題并危害本市國家安全、社會穩定和公眾利益的事件(另行制定預案應對)。
5.設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。
6.災害性事件是指由自然災害等其他突發事件導致的網絡安全事件。
7.其他事件是指不能歸為以上分類的網絡安全事件。
二、事件分級
網絡安全事件分為四級:特別重大網絡安全事件、重大網絡安全事件、較大網絡安全事件、一般網絡安全事件。
1.符合下列情形之一的,為特別重大網絡安全事件:
(1)重要網絡和信息系統遭受特別嚴重的系統損失,造成系統大面積癱瘓,喪失業務處理能力。
(2)國家重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒,對本市國家安全和社會穩定構成特別嚴重威脅。
(3)其他對本市國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網絡安全事件。
2.符合下列情形之一且未達到特別重大網絡安全事件的,為重大網絡安全事件:
(1)重要網絡和信息系統遭受嚴重的系統損失,造成系統長時間中斷或局部癱瘓,業務處理能力受到極大影響。
(2)國家重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒,對本市國家安全和社會穩定構成嚴重威脅。
(3)其他對本市國家安全、社會秩序、經濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網絡安全事件。
3.符合下列情形之一且未達到重大網絡安全事件的,為較大網絡安全事件:
(1)重要網絡和信息系統遭受較大的系統損失,造成系統中斷,明顯影響系統效率,業務處理能力受到影響。
(2)國家重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒,對本市國家安全和社會穩定構成較嚴重威脅。
(3)其他對本市國家安全、社會秩序、經濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網絡安全事件。
4.除上述情形外,對本市國家安全、社會秩序、經濟建設和公眾利益構成一定威脅、造成一定影響的網絡安全事件,為一般網絡安全事件。
附件2
相關部門和單位職責
1.市委網信辦:統籌協調組織本市網絡安全事件應對工作,建立網絡安全保障體系;建立完善本市網絡安全事件監測預警網絡;負責信息網絡安全技術、設備、產品的監督管理。
2.市公安局:負責打擊網絡犯罪,與本市重要信息系統主管部門建立信息通報機制,通報、預警網絡安全情況,監督、檢查、指導計算機信息系統安全保護和非涉密網絡安全等級保護。
3.市通信管理局:負責互聯網信息服務及接入服務單位的審批、備案審查和指導工作;指導、協調本市通信網絡安全事件應急處置。
4.市網絡與信息安全應急管理事務中心:受市委網信辦委托,負責本市各類網絡安全應急資源的管理與調度,提供網絡安全事件應急處置技術支持和服務;負責全市網絡安全應急預案備案管理,組織開展應急技術培訓、應急演練及事件處置善后與評估工作;建設和完善本市網絡安全事件監測預警網絡,本市相應級別的網絡安全事件預警信息;組織運營網絡安全應急技術支撐隊伍和專家隊伍。
5.各區:負責本區自建自管信息系統網絡安全事件的預防、監測、報告和應急處置工作,并配合有關部門做好本行政區域內其他網絡安全事件的處置工作;為處置工作提供必要的后勤保障。
6.其他有關部門、單位:按照“誰主管誰負責、誰運行誰負責”的原則,組織實施和指導本系統、行業的網絡安全事件的預防監測、報告和應急處置工作。
附件3
名詞術語
一、重要網絡和信息系統
所承載的業務與國家安全、社會秩序、經濟建設、公眾利益密切相關的網絡和信息系統。
(參考依據:《信息安全技術
信息安全事件分類分級指南》(GB/Z
20986—2007))
二、重要敏感信息
不涉及國家秘密,但與國家安全、經濟發展、社會穩定以及企業和公眾利益密切相關的信息,這些信息一旦未經授權披露、丟失、濫用、篡改或銷毀,可能造成以下后果:
1.損害國防、國際關系;
2.損害國家財產、公共利益以及個人財產或人身安全;
3.影響國家預防和打擊經濟與軍事間諜、政治滲透、有組織犯罪等;
4.影響行政機關依法調查處理違法、瀆職行為,或涉嫌違法、瀆職行為;
5.干擾政府部門依法公正地開展監督、管理、檢查、審計等行政活動,妨礙政府部門履行職責;
6.危害國家關鍵基礎設施、政府信息系統安全;
7.影響市場秩序,造成不公平競爭,破壞市場規律;
8.可推論出國家秘密事項;
9.侵犯個人隱私、企業商業秘密和知識產權;
10.損害國家、企業、個人的其他利益和聲譽。
(參考依據:《信息安全技術/云計算服務安全指南》(GB/T31167—2014))
附件4
網絡和信息系統損失程度劃分說明
網絡和信息系統損失是指由于網絡安全事件對系統的軟硬件、功能及數據的破壞,導致系統業務中斷,從而給事發組織所造成的損失,其大小主要考慮恢復系統正常運行和消除安全事件負面影響所需付出的代價,劃分為特別嚴重的系統損失、嚴重的系統損失、較大的系統損失和較小的系統損失,說明如下:
1.特別嚴重的系統損失:造成系統大面積癱瘓,使其喪失業務處理能力,或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞,恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大,對于事發組織是不可承受的;
2.嚴重的系統損失:造成系統長時間中斷或局部癱瘓,使其業務處理能力受到極大影響,或系統關鍵數據的保密性、完整性、可用性遭到破壞,恢復系統正常運行和消除安全事件負面影響所需付出的代價巨大,但對于事發組織是可承受的;
關鍵詞:計算機通信網絡;安全;防護對策
信息化、網絡化時代的到來,為計算機通信網絡的普及應用奠定了堅實的基礎。計算機網絡技術在全球發展中已經滲透進入了各領域當中,在國防建設、商業購物等方面均有應用。人們對計算機通信網絡的依賴性也在逐年的增高。所以,確保計算機通信網絡的安全性、可靠性、有效性對各方的利益維護就至關重要,本文將對計算機網絡安全及防護對策進行分析。
1當前我國計算機通信網絡安全現狀及安全隱患
1.1計算機因素
①計算機通信網絡的聯結存在著廣泛性以及開放性:究其根本,計算機網絡系統是一個較為寬廣的領域,他的系統覆蓋的范圍十分的遼闊、廣泛,其開放性程度非常的打,內部網絡布線呈現一種復雜、交錯的趨勢,這種發展形勢就導致了在應用計算機通信網絡進行數據信息的傳輸過程中容易發生泄密等問題,造成了安全性低、保密難度大等安全隱患。
②計算機通信網絡中計算機應用的系統軟件存在一定的技術或者設計漏洞:這種問題的發生主要是因為相關的設計單位以及設計人員在進行軟件的設計時沒有充分的對使用的環境等相關因素進行協調、考慮,導致了通信協議、軟件應用系統的設計本身就存在缺陷、漏洞,他們往往會成為一些圖謀不軌的不法分子以及黑客謀取自身利益的重要渠道,通過計算機系統的漏洞進行用戶信息的竊取等,危害用戶的網絡安全。不僅如此,部分計算機軟件程序的設計者往往喜好自作聰敏,在一些軟件中設計特定的后門程序,導致黑客一旦得知并破解后,就會引發計算機系統的全面癱瘓,給計算機通信網絡埋藏了巨大的安全隱患。
③計算機病毒:計算機病毒是一種常見的計算機網絡安全隱患因素,它主要通過自我復制的方式,對入的計算機程序進行破壞影響計算機的功能,或者對計算機內部的相關程序代碼與指令進行直接的強制摧毀、破壞,影響計算機系統的正常運行。計算機病毒與木馬一直是計算機發展史上不可磨滅的陰影,特別是在當代科學技術不斷進步的今天,木馬以及計算機病毒獲得了先進科學技術的支持,在對計算機網絡進行破壞中獲得了較高的傳輸速度,使其能夠快速、廣泛的進行病毒的傳播并入侵相關電腦。加之,現代移動通信網絡的大范圍覆蓋,在基于2G、3G、4G網為基礎的范圍內,病毒又找到了新的棲息地,對當代計算機通信網絡的安全造成了巨大的威脅。
1.2人為因素
在現代的計算機網絡管理工作的開展中依舊是依靠人力資源為主,但是現代的網絡管理人員大部分受到傳統文化的影響,沒有建立較為強烈的網絡安全意識,導致了人為操作失誤的頻繁發生,比如口令密碼設置過于簡單,在口令設計密碼設置后無意間泄露給了外人,或者安全管理人員由于操作疏忽未能按照安全操作規范進行操作,導致出現了安全隱患。也可能是由于一些不法分子利用非法手段蓄意破壞、竊取、更改用戶數據信息、損壞用戶設備數據。
其次是享受了計算機網絡服務帶來的好處的中斷用戶,他們自身往往沒有網絡信息安全保護意識,相關的意識觀念就算具有也是比較單薄,他們僅僅能夠利用計算機網絡提供的服務滿足自身的要求,然后樂在其中,在進行操作中不會規避有問題的網站,導致了網絡安全穩定環境得不到保障,影響了網絡的信息安全。
2加強計算機網絡安全防護的策略
2.1將IP地址隱藏
違法分子以及網絡黑客人員在針對某些用戶的網絡計算機信息及IP地址的竊取時主要使用網絡探測技術進行操作,若用戶的計算機IP地址暴露,不法分子必然會采取相應的手段對計算機系統進行破壞。在現代計算機網絡IP竊取中比較常用的方式就是Floop益出攻擊與拒絕服務攻擊等相應的模式,所以將我們的IP地址的防護以及隱藏工作做好就顯得十分重要。其中最為有效的方法之一就是采用服務器,他是將IP地址進行完美隱藏的有效方法中的一種,在應用服務器之后,黑客一旦對我們的計算機網絡發動攻擊,那么他探測到的也就只有服務器上的IP地址,對計算機終端用戶的IP地址依舊是一無所知,從而有效的對客戶終端的計算機網絡IP地址信息進行了保護。
2.2制定計算機通信網絡安全策略
強化網絡管理中的安全管理意識是勢在必行的。面對員工受到傳統意識影響忽略網絡安全管理的問題,首先必須對現有的網管人員進行并強化安全意識管理理念的培養,確保相關流通的數據信息的系統性與完整性;其次,可以積極的展開網絡技術人員技術交流懇談會,鼓勵大家及時進行經驗溝通,并定期開設培訓班,為網絡安全管理人員進行安全知識的更新與技術的培訓。
最后,面對計算機通信網絡的安全問題的存在,制定并完善新的網絡安全策略,然后加以落實使用就顯得十分的具有必要:
①可以進行用戶訪問權限的設置,通過利用用戶密碼、口令等對進入者的身份進行鑒別,對需要訪問的地址進行限制,若訪問者沒有權利或權限操作就會被直接終止或者訪問地址被屏蔽,進而實現限制外界訪問的目的;②授權機制:通過網絡管理方式,可以向計算機終端用戶發放訪問許可證書或有效的訪問指令,可有效控制非授權用戶隨意利用網絡和網絡資源;③建立加密機制:通過對用戶的訪問窗口進行更改,使用戶在訪問網絡的時候讓沒有獲得授權的相關終端永無無法理解相應的網絡信息,通過這種變相的方式保護網絡數據信息的安全,提高信息防護的安全性;④對現有的數據鑒別機制進行調整完善:其主要的方式是通過對數據進行優化核對,避免信息數據在使用中出現被刪除、篡改等現象的發生,保證只有允許訪問的人才有權利進行數據的修改以及調整。
2.3加強網絡安全技術
為了能夠保證計算機通信網絡的安全性,不斷的提高網絡安全技術的可靠性、強化通信網絡的抗干擾能力、與現實行政手段進行有效結合,采取合理的房戶技術,才能夠實現對計算機通信網絡及通信信息的可靠性及保密性。在當代科學技術的支持下,現有的網絡安全防護技術主要由防火墻技術、密碼技術、鑒別技術、控制訪問技術組成。所謂的密碼技術是通過密文、明文、算法等有效的組合實現的一種綜合網絡保護技術。控制保護技術則是對相關的網址設置了訪問權限,是安全機制中的核心組成,非常實用與對非法入侵客戶端用戶網絡系統的防護。防火墻技術主要是一種技術以及數據包過濾技術,通過對數據的過濾以及限制相關數據鏈接端口的傳輸鑒別,強化通信網絡數據流的安全性。而鑒別技術主要是對相互傳輸的數字、報文、身份等進行真實性、可靠性、合法性的檢查,對非法、不可靠等數據進行過濾,從而維護網絡的安全。
3結語
隨著計算機通信網絡應用普及范圍的不斷延伸,終端用戶必然會逐漸的引起終端用戶對安全問題的廣泛關注。本文對造成計算機通信網絡安全問題的原因及對策進行了分析以及制定,但是在未來的發展中還是應該提高網絡管理人員的安全意識,不斷的優化安全策略,提高用戶的安全警覺性等,才能夠有效地解決安全問題。
參考文獻:
[1]林俊.網絡通信安全分析[J].科技信息,2011,(18).
關鍵詞:軍隊計算機網絡;安全防護
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)22-5312-02
隨著信息軍事時代的來臨,“網絡中心戰”、“網絡中心行動”成為當前軍事領域戰爭行動的基本方式。軍隊計算機網絡是實施網絡中心戰、網絡中心行動的關鍵基礎設施,是敵重點攻擊的對象,其安全防護情況直接關系其效能作用的發揮,關系到戰爭的勝負,因此必須認真研究分析其安全形勢,剖析存在問題,采取有力措施,提高安全防護能力。
1軍隊計算機網絡安全形勢分析
1.1形勢的嚴峻性
信息軍事時代,信息安全成為軍隊安全的重中之重。軍隊計算機網絡是承載信息的重要平臺,圍繞網絡展開的信息竊密與反竊密斗爭正愈演愈烈。一些國家和地區利用網絡大肆竊取我軍秘密信息,并綜合盜用黑客、木馬、病毒攻擊及竊取等多種信息作戰手段對我網絡進行破壞,嚴重威脅著國家和軍隊安全。
1.2威脅的多元性
軍隊計算機網絡雖然在物理上與其他網絡隔離,但是由于系統建設規模大、涉及領域廣、組織結構復雜、缺乏嚴密的法規標準,使得軍隊計算機網絡安全防護異常困難,從某種意義上講,計算機網絡上任何一個環節和關節點的被突破,都可能使全網和全系統癱瘓,后果不堪設想。
1.3事件的突發性
計算機網絡安全威脅往往具有潛伏性和不可預測性,對被攻擊方而言安全事件呈現出極強的突發性,被攻擊方往往會喪失寶貴的防御時間,為信息安全事件處置帶來極大的挑戰,計算機網絡安全威脅中的很多事件還沒有被察覺,就已經造成不可預料的損失。目前,計算機芯片、骨干路由器和微機主板等核心技術多數仍由國外進口,一旦敵對勢力在特定的時間激活惡意程序,就可以在我們毫無察覺的情況下瞬間發起攻擊,造成整個系統的癱瘓。
1.4處置的艱巨性
信息化條件下,信息爭奪空間巨大、流動性強,領域不斷拓展,安全隱患不斷增多。而當前部隊部分人員信息安全觀念淡薄;安全防護技術手段落后,針對性應急處置手段缺乏;法規制度不完備,組織安全防護力度差,對部分安全事件防護處置策略缺少相應的規范和力量。軍事網絡失泄密一旦發生,將導致整個網絡震蕩,失密影響范圍廣泛,泄密后果十分嚴重。
2軍隊計算絡安全存在的主要問題
計算機網絡安全保密工作十分重要,目前,我軍計算機網絡安全方面還存在以下問題:
2.1網絡安全防護意識比較淡薄
目前,部隊計算機網絡建設普遍受到高度重視,但是有些單位僅僅看到網絡建設帶來的顯著效益和便利,而對計算機網絡系統安全防護建設同步規劃、同步建設的認識較為短淺。從計算機網絡安全防護系統建設投入看,國外計算機網絡安全防護投入占整體投入的10-20%,我國僅占到2-5%,不足國外的四分之一,軍隊在此方面的投入也明顯不足。同時,受長期和平環境影響,“有密難保、無密可保”的思想意識普遍存在,對網絡安全問題關注不夠,思想意識比較淡薄,影響到計算機網絡整體安全防護建設的發展。
2.2網絡安全防護建設相對滯后
我軍圍繞作戰應用需求,重點加強了光纖傳輸鏈路建設,網絡基礎已經比較配套,但安全防護建設卻明顯滯后。部分單位未對網絡進行防火墻、保密機配套建設;相當數量的終端沒有安裝防病毒系統;入侵檢測沒有完全發揮起作用;安防系統系統建設各自為戰,無法形成整體安全防護體系等,這些都制約了計算機網絡安全防護整體水平的發展。。
2.3網絡安全防護標準尚未健全
當前,我軍陸續頒布了一系列與網絡信息安全相關的法律法規,但在安全保密等級劃分、網絡安全體系規范、網絡安全策略制定、網絡防護手段使用規范等方面仍存在不足。例如,對軍隊網絡安全體系建設標準中部分設備、系統未進行明確;安全防護等級雖已明確,但配套手段還沒有統一進行明確,無法達到最佳防護。同時,制度標準的落實情況也令人堪憂,有令不行、有禁不止的現象隨處可見,這些都對軍用計算機網絡系統帶來了巨大的安全隱患。
2.4網絡核心技術受制于人
雖然近年來我國的信息技術得以飛速發展,但仍沒有擺脫技術落后的局面,特別是計算機芯片、操作系統、路由協調等核心技術仍然沒有擺脫國外的束縛。目前,我軍大多數信息網絡采用的都是微軟的windows系列操作系統和TCP/IP、IPX/SPX等網絡協議,這些系統的共同特點是在設計之初主要考慮了易用性而忽視了系統安全性,使軍事信息網絡自身從建設之初就存在安全隱患。
3加強軍隊計算機網絡安全防護的對策措施
計算機網絡應用與安全防護問題相生相伴,是“矛”和“盾”的關系,信息安全問題將長期存在,不可能徹底避免和消除。為此,必須著眼防患于未然,積極建設計算機網絡安全防護體系,有效提升網絡安全防護能力,確保“非法用戶進不來,秘密信息取不走,網絡平臺摧不垮”。
3.1強化人員安全防護意識
強化軍隊人員的信息安全意識,一是通過大眾傳播媒介,增強信息安全意識,普及信息安全知識,依托信息服務網站開設信息網絡安全知識普及專欄,提高安全防護能力,增強部隊官兵信息安全防范意識。二是積極組織各種專題討論和培訓班,培養信息安全人才,使部隊有計算機網絡安全防護方面的“明白人”。三是要積極開展安全策略研究,明確安全責任,增強人員的責任心,全面提高部隊信息安全防護能力。
3.2建立健全安全管理機制
針對我軍軍事信息網絡安全防護現狀,制定和完善軍隊計算機網絡建設、管理與安全防護機制,確立網絡安全防護工作科學、合理的運行機制。一是配套法規標準。建立健全制度規定,明確各級責任、措施、手段;制定標準規范,明確建設技術體制;規劃安全策略,明確設備系統防護標準,以完善網絡安全法律體系,使信息安全管理走上法制化軌道,確保信息網絡安全有法可依、有章可循。二是建立協調機制。信息安全防護工作涉及多個業務職能部門,加強部門之間的相互協調、相互補充、統一規劃、統一管理,提升整體防護能力。三是組建安全隊伍。建立計算機網絡安全防護中心,明確安全防護機制,建立安全防護組織領導管理機構,明確領導及工作人員,制定管理崗位責任制及有關措施,嚴格內部安全管理機制,并對破壞網絡信息安全的事件進行調查和處理,確保網絡信息的安全。
3.3構建安全技術防護體系
重點加強四個體系建設:一是安全監察體系。建立健全網絡安全監察機制;配套建設計算機網絡入侵檢測、流量分析、行為審計等系統,增強安全事件的融合分析能力;配備安全管理系統,實現對全網安全策略的統一管理和控制;加強安全服務保障體系建設,提供病毒庫升級、補丁分發、安全預警等安全服務,通過各系統的綜合應用,提高網絡的綜合安全分析能力。二是終端防護體系。建立協調管理機制,規范和加強以身份認證、授權管理、責任認定等為主要內容的網絡信任體系建設;強化系統訪問控制,設定用戶訪問權限,防止非法用戶侵入或合法用戶不慎操作所造成的破壞;加強實體鑒別,保證用戶在獲取信息過程中不受干擾、不被假冒,確保用戶終端實體的可信;加強身份認證,為設備、用戶、應用等頒發數字證書,并提供數字簽名、身份驗證、訪問控制等服務,防止非授權接入和訪問;加強終端保護,進行終端操作系統的安全加固,防止非法登錄網絡,保證終端資源的可控;提供病毒防護功能,適時查殺病毒、檢查漏洞;提供主機入侵檢測功能,防止對終端的攻擊行為,從而全面建立終端防護體系,為終端用戶構造一個安全環境。三是安全評估體系。按照軍隊有關防護標準,綜合運用漏洞掃描、取證分析、滲透測試、入侵檢測等系統和手段對網絡進行掃描分析,客觀分析網絡與信息系統所面臨的威脅及其存在的脆弱性,對安全事件可能造成的危害程度進行科學的定性定量分析,并提出有針對性的防護對策和整改措施,全面防范、化解和減少信息安全風險。四是應急響應體系。加強信息安全應急支援隊伍建設,明確應急響應處置方法及原則;充分考慮抗毀性與災難恢復,制定和完善應急處置預案根據安全級別的要求來制定響應策略;建立容災備份設施系統,規范備份制度與流程,對域名系統、網管系統、郵件系統及重要業務系統等重要信息、數據適時進行備份,確保系統崩潰以后能夠在最短時間內快速恢復運行,提高信息網絡的安全性和抗毀性。
3.4發展自主信息安全產業
自主信息產業或信息產品國產化能夠為信息安全提供更高保證。要加強計算機網絡安全保密設備和系統的“軍產化”,“獨立化”建設。為此,應抓好以下幾個方面的工作:一是組織核心技術攻關,如研發自主操作系統、密碼專用芯片和安全處理器等,狠抓技術及系統的綜合集成,以確保軍用計算機信息系統安全。二是加強關鍵技術研究,如密碼技術、鑒別技術、病毒防御技術、入侵檢測技術等,有效提高軍用計算機網絡的安全防護能力。三是尋求監測評估手段,如網絡偵察技術、信息監測技術、風險管理技術、測試評估技術等,構建具有我軍特色、行之有效的計算機網絡安全保密平臺,實現網絡及終端的可信、可管、可控,擺脫網絡安全受制于人的被動局面。
軍隊計算機網絡安全防護涉及要素眾多,是一個系統的整體的過程。在進行防護時,要充分認清計算機網絡安全面臨的嚴峻形勢,認真查找存在的問題,系統整體的采取有針對性的防范措施,從而提高網絡安全防護能力。
參考文獻:
[1]曹旭.計算機網絡安全策略探討[J].計算機安全,2011(21).
[2]劉萍.計算機網絡安全及防范技術探討[J].科技信息,2010(15).
[3]吳世忠,江常青.信息安全保障基礎[M].北京:航空工業出版社,2010.
