開篇:寫作不僅是一種記錄���,更是一種創造����,它讓我們能夠捕捉那些稍縱即逝的靈感�����,將它們永久地定格在紙上�。下面是小編精心整理的12篇網絡安全應急響應服務�����,希望這些內容能成為您創作過程中的良師益友��,陪伴您不斷探索和進步。
第1篇
關鍵詞:網絡信息安全�����;應急響應��;聯動系統
隨著互聯網對各個領域的滲透�,我國的網絡安全防護任務越來越重���。從20世紀90年代至今網絡信息安全可分為4個階段的發展過程�����,即通信安全、計算機安全、網絡安全、內容安全。在這4個階段中,前兩個發展階段屬于運行安全方面―OPSEC����。而對于網絡基礎設施與信息的保護則稱之為物理安全―PHYSEC��。隨著網絡的發展,隨后又提出了內容安全―CONTSEC���,其目的是為了解決信息利用方面的安全問題。為了應對日益增加的網絡安全事件����,網絡安全對抗必須進一步的細化以及升級�����。在此背景下,應急響應聯動系統的建立尤為重要,因為通過系統的建立��,可以提高政府對各種網絡安全事件的解決能力,減少和預防網絡安全事件造成的損失和危害���。因此目前對應急響應及聯動系統的基礎理論、框架構建�����、技術操作方面的研究尤為重要��。
1 應急響應的基本內容
1.1 應急響應系統的建立
為應對網絡安全事件發生����,事前準備工作或事后有效措施的實施便是應急響應系統建立的目的����。應急響應系統包含5個步驟�����。
(1)管理���。即組織對事情發生前后人員之間的職能劃分���。
(2)準備����。對于各種網絡安全事件提前制定的一些應急預案措施��。
(3)響應��。網絡安全事件發生后進行,系統對事件進行安全檢測有效防止系統信息進一步遭到破壞,并對已受到破壞的數據進行恢復���。
(4)分析。為各種安全事件的應急預案提供調整的依據,提高防御能力���。
(5)服務。通過對各種資源的整合為應急響應對計算機運行安全提供更多的有力的保障。
1.2 應急響應系統建立必須遵循的原則
(1)規范化原則��。為能保證應急響應系統有效策略的實施��,各個組織都應該建立相應的文檔描述�。任何組織應急響應系統應該有清晰和完全的文檔���。并有相關的規章條例保證系統的有效運行���。組織成員作為應急響應系統的服務者必須遵守相關的條例��,也可以寫入工作職責來保證系統的有效運行。
(2)動態性原則�。信息安全無時無刻不在發生變化���,因此各種安全事件的復雜性使得應急響應策略的制定更加具有難度�。為了完善應急響應策略就必須注重信息安全的動態性原則�����,并對策略實時作出相應調整��。
(3)信息共享原則。應急響應過程中��,系統會提供大量可能與安全事件無關的信息����,如果提高應急響應系統中重要信息被發現的可能性,在信息提取過程中���,信息共享是應急響應的關鍵,應該考慮將信息共享的對象與內容進行篩選�����,交叉分析�����。
(4)整體性原則��。作為一個系統體系應急響應的策略具有整體性��、全局性,應該在所有的互聯網范中進行安全防護��,不放過任何一點的細節���,因為一點點的疏漏都會導致全網的癱瘓�。整個應急響應策略體系除了要從技術層面考慮問題也要從管理方面著手���,因為管理問題而導致的安全事件更為嚴重��。因此��,制定管理方法時要投入更多的精力來進行統籌安排,既要完善管理方法�����,也要注重技術層面�。
(5)現實可行性原則。通過判斷應急響應策略是否合理性來衡量是否在線上具有可行性�。
(6)指導性原則����。應急響應系統體系中的策略并非百分之百的解決方案���,ψ櫓而言�����,它只是對于處理網絡安全事件方法進行一定的指導����,而對整個組織工作也只是提供全局性的指導�。
2 應急響應系統體系的總體框架
如果對應急響應系統體系進行劃分,可以將其劃分為兩個中心和兩個組��。
(1)兩個中心�����。應急響應中心與信息共享分析中心。應急響應系統體系的關鍵是信息共享分析中心�����。它主要負責的是對中心收集來的各級組織的信息進行交換和共享����,并對整個網絡作出預警或者事件的跟蹤,并對收集來的信息進行整理。而應急響應中心的任務則是對系統體系預案進行管理��,通過對信息共享分析中心各種信息安全事件的分類分析并進行應急響應�。
(2)兩個組。應急管理組及專業應急組。應急組對整個事件進行全局性指導,并協調各個機構,指導各個組織成員對事件進行應急策略的制定。在各類安全事件發生的過程中��,應急響應與救援處于一個重要的環節��,而專業應急組是環節的關鍵�,是實現信息安全保障的核心�。通過應急組的響應迅速使網絡系統得到恢復。
3 應急響應的層次
“八方威脅,六面防護�,四位一體���,應急響應”這句話形容的則是應急響應體系的整個工作過程�����。
(1)“八方威脅”是指應急響應系統中的網絡安全事件。而根據事件的危害程度對其進行編號的話,1類為有害程度最輕的事件,8類則最為嚴重��,儼然一場網絡戰爭��。而且一般的安全事件都不是單獨發生的����,通常許多事件都是緊密聯系環環相扣。
(2)“六面防護”防護是指技術層面的防御���,主要是風險評估、等級保護����、入侵檢測、網絡監審、事件跟蹤和預防6個方面�。
(3)“四位一體” 主要是指各個小組的組織保障體系�����,如應急組、專業組、組織協調機構��、專家顧問組����。
(4)應急響應。應急響應系統的核心為應急響應的實施功能。應急響應系統通過對網絡安全事件的目標進行分類并分析��,通過對事件的判斷進行事件分級����,制定具體的預案或措施,并有通過各個小組進行信息實施,并有技術組對系統進行恢復重建和應急管理,保證目標的信息系統安全。
4 應急響應體系的周期性
通過應急響應系統的工作,分析應急響應聯動系統在網絡安全事件中可能具有生命周期性。網絡安全事件的生命周期從風險分析開始,一般的風險分析包括網絡風險評估和資源損失評估等。對風險分析進行正確有效的分析有利于高效率的應急響應。為了這一階段響應過程的順利進行,需要制訂安全政策以及各種應急響應優先權的各種規定���。安全工具與系統、網絡配置工具��,使網絡的安全性與可用性兩者之間處于平衡狀態�。在檢測階段,通過各種手段收集信息,利用系統特征或IDS工具來預測安全事件的發生。之后響應階段�����,利用各種手段抑制���、消除安全事件并進行有利反擊��。最后在恢復階段對受到攻擊的對象進行恢復���,使其恢復到事件發生之前。網絡安全事件的周期性更全面���,更實際地概括了應急響應系統的工作過程。
5 應急響應體系的聯動性
(1)“六面防護”的聯動��。 首先由風險評估對網絡安全事件作出安全評估并確定其“威脅”等����,再由等級保護進行措施制定,對其入侵的主體進行入侵檢測確定威脅漏洞所在��,再通過網絡監審發現安全事件并進行事件跟蹤再由事件跟蹤對其事件進行分析�,并通過預防對響應策略進行調整,并分析防御的有效性����。
(2)“四位一體”的聯動����。聯動的主要目的是為了應急響應系統的有效運行��,因此應急組�����、專業組、組織協調機構����、專家顧問組之間就要努力做好協調工作�。組織協調機構主要負責總體的協調工作���,應急組與專家顧問組主要負責對網絡安全事件的應急處理工作���,同時應急組還承擔著對突發的安全事件進行信息收集����,分析以及信息上報的工作,并對組織協調機構提出的相關事件的應急預案或者保護措施進行執行的工作��。
(3)應急響應的聯動�����。作為應急響應系統的核心��,應急響應實施功能通過信息,在應急預案或保護措施實施過程中��,對事件的發展情況����、處理進程進行全程跟蹤。尤其是在事后對事件進行跟蹤分析����,從而進行恢復重建��,排除事件對系統產生的威脅。除了對事件進行全程跟蹤外���,作為核心,還應對相關的應急資源進行協調����,做好應急管理工作��。
第2篇
關鍵詞:高校;網絡安全建設���;思考
1引言
網絡安全,指的是計算機網絡系統的安全��,不僅包括網絡系統正常運行的硬件���、軟件環境安全�,也包括網絡傳輸的資源��、數據等信息安全[1]�。網絡安全不僅關系到我們每一個公民����,更是事關國家安全的重要問題。高校作為培養當代大學生的主要陣地,在網絡安全建設及教育方面更是肩負著重要的責任�����。面對信息泄露等校園網絡安全問題以及日趨嚴峻的網絡安全形勢���,如何保障高校網絡安全建設的穩步推進�����,已經成為重中之重�。
2網絡安全建設存在的問題
高校網絡安全建設存在一些問題���,主要有以下幾點���。(1)網絡安全專業人員不足目前高校已基本上實現校園網絡全覆蓋�。有成千上萬的網絡計算機,但與之配套的網絡安全管理員卻嚴重不足,甚至沒有專職的網絡安全管理員[2]。而且大部分網絡安全管理人員沒有接受過系統化的崗前培訓����,安全責任意識單薄�����,專業素養不夠高�,網絡安全專業人員及其技能都存在嚴重不足。(2)師生網絡安全意識不強高校網絡的使用主體為本校師生���,群體龐大,且大部分高校未開展系統���、全面、全覆蓋的網絡安全主題教育�,導致用戶群體網絡安全防范意識不強�����。部分教師在使用計算機時對病毒防護�、密碼保護�����、漏洞修復等基礎網絡安全操作無意識�,使得計算機很容易被入侵而造成數據及資源丟失[3]�����。一些學生在面對復雜的網絡環境時�����,由于獵奇心理及感情用事,可能會采用一些諸如“翻墻”等威脅高校網絡安全的行為或者網絡暴力等激進行為。(3)網絡安全防護體系不完善截止到目前,很多高校尚未認識到加強網絡安全管理的重要性,缺乏一套完善的網絡安全防護體系��。領導重視不夠����,未形成專門的網絡安全領導小組;資金投入不足�����,無法購買各類網絡安全防護設備���;管理制度不完善��,無應急預案等;技術防護手段不足����,缺少各類必須的技術防護手段��;網絡安全人員不足,未設置網絡安全技術專崗等��。這些都是當前高校網絡安全面臨的突出問題��。
3加強高校網絡安全建設的對策
3.1網絡安全防護體系
高校網絡安全建設應以人員組織為基礎�����,以管理制度為依據,以技術防護為手段��,三管齊下����,切實保障好高校的網絡及信息安全。
3.1.1人員組織體系自上而下���,建立起管理決策層、組織協調層����、落實執行層的三層架構人員組織體系���。管理決策層統一領導網絡安全工作,研究制定網絡安全發展規劃,決策網絡安全建設中的重大事項等����。組織協調層統一協調學校網絡安全建設工作��,負責網絡安全及運行保障項目的建設、改造���、升級、維護等方面�����,負責制度與人員隊伍建設等��。落實執行層負責具體工作的落地執行����。
3.1.2管理規范體系規范化是制度化的最高形式,是一種非常有效和嚴謹的管理方式�����。完善的管理規范體系是保障網絡安全的法律基礎���,是通過建立標準規范來約束用戶行為的制度���。其實現的過程就是規范管理的過程�����。管理規范體系包括網絡安全責任制����、網絡安全管理規范��、應急響應機制、網絡安全通報制度等方面的內容���。(1)網絡安全責任制按照“誰主管誰負責、誰運行誰負責”的原則,明確網絡安全工作責任主體�����,各部門應有專人專崗負責網絡安全具體工作�,細化網絡安全各關鍵崗位安全管理責任,簽訂安全責任書,建立安全責任體系��,形成網絡安全工作長效機制�。(2)網絡安全管理規范建立健全網絡安全管理制度,明確信息系統管理、數據管理����、信息管理�����、網站、微信、微博和移動應用管理、電子郵件管理、交互式欄目管理等的管理規范,使所有的網絡安全活動都有規范可依���,有制度約束。(3)應急響應機制制定完善網絡安全應急預案、明確應急處置流程���、處置權限、落實應急技術支撐隊伍,強化技能訓練��,強化技能訓練��。至少一年兩次開展網絡應急演練�����。通過模擬網絡安全事故現場環境,提高應急處置能力。(4)網絡安全通報制度定期開展安全檢查����,全面、細致地排查安全隱患�,并定期對檢查結果進行通報���,督促相關部門落實整改���。如通過《網絡安全簡報》�����、《信息化簡報》等手段,通報各業務系統漏洞掃描��、數據備份�����、日志審計�、數據庫審計等各項安全指標,督促相關部門做好網絡安全責任落實���。
3.1.3技術防護體系網絡安全及運行保障是一項系統工程,對系統的過程要素�����、組織結構和結構功能進行分析��,主要分為預警層次����、檢測層次�、保護層次、響應層次四個層級。預警層次主要是發現問題����、記錄問題和預警問題。檢測層次主要是發現服務器存在的安全漏洞�、安全配置問題����、應用系統安全漏洞��,形成完整的安全風險報告���,幫助安全人員查漏補缺���,防范風險于未然[4]��。保護層次是對網絡運行的實時保護,包括拒絕服務�、入侵檢測����、流量分析�����、數據防泄露等���。響應層次是對安全事件進行及時的響應�,包括數據庫審計���、安全監管�、安全服務等。
3.2網絡安全宣傳教育
維護高校網絡安全是全校師生共同的責任�,維護網絡安全不僅需要學校的防護體系�,更需要廣大師生的共同參與����,網絡安全這道防線才能筑得牢固��。因此��,在制定完善的網絡安全防護體系的基礎上,更要通過定期的安全培訓、知識講座和學術交流,使全校師生不斷增強網絡安全意識�����,掌握網絡安全知識��,并有效提升各類網絡安全事件的風險防范能力��,進一步營造一個安全、健康、文明�、和諧的網絡環境�����。
4結束語
高校網絡安全體系的建設是一個數據龐大��、層次復雜、多點防御的工程���,涉及到人員組織體系、管理規范體系、技術防護體系等多個層面。其建設的完成不是一蹴而就的�����,需要從全局進行總體規劃,分步實施����,才能實現高校網絡安全管理的最終目標[5]����。
參考文獻
[1]王喬平.淺談對網絡安全的認識.信息系統工程,2019(07):78
[2]李佳霖.高校網絡安全管理的現狀及對策.通訊世界,2019,26(05):17-18
[3]文理卓,李東宸,鄭憲,董石.淺析高校網絡安全管理及對策探討.中國管理信息化,2019,22(14):153-154
[4]梁藝軍.高校Web網站安全防護策略.中國教育網絡,2015(02):57-58
第3篇
關鍵詞:計算機網絡���;安全隱患�����;應急響應技術
1 計算機網絡安全的含義
計算機網絡安全從廣義上是指網絡系統的軟硬件及其數據不受偶然的或惡意的破壞,系統能連續正常地運行,并能有效制止非法和有害信息的傳播���,能維護道德和國家的利益、法規。狹義的網絡安全是指通過各種計算機、網絡、密碼和信息等技術保護網絡中信息傳輸���、交換、存儲的保密性、完整性��,并能有效控制不良信息的傳播�����。
2 計算機網絡存在安全隱患的原因
2.1 操作系統存在漏洞
由于操作系統具有集成與擴散兩種功能����,并且功能結構十分復雜����,因此在操作使用過程中難免會出現漏洞,這就必須不定期進行相應的升級完善才能有效彌補本身的漏洞。任何系統都會面臨漏洞的威脅����,沒有任何一種補丁程序可以把操作系統本身的漏洞擋住�����。
2.2 網絡協議(TCP/IP)漏洞
網絡協議的漏洞包括自身協議的漏洞和協議服務上的漏洞兩種�����。攻擊者通過對網絡協議的四個層次的漏洞進行攻擊��,分為:數據鏈路層、網絡層��、傳輸層�、應用層。在數據鏈路層中���,網絡中的每臺計算機都處于一個網絡節點上,而它們所發送的數據包卻共用一個通信通道����,攻擊者可以修改信道并將錯誤的數據包發往信道中的每個節點�����。此外,在網絡層����,還可以通過電子郵件服務的方式傳播病毒��;在傳輸層,攻擊者還可以通過防火墻的漏洞或者在它關閉時�����,對系統進行破壞����;在應用層�����,使用TFTP服務時盜用用戶名和口令���,對計算機進行各種破壞活動�。
2.3 計算機網絡病毒的傳播
病毒的存在,大大威脅到了網絡的安全��,并影響著計算機使用者的正常工作生活�。首先,網絡病毒的破壞力極強�,蠕蟲與木馬病毒會影響系統的運行速度�,有些病毒會破壞系統導致系統癱瘓�����,導致重要文件的丟失�,甚至使硬件造成損失����。其次,病毒有很強的自我繁殖功能�,可以通過復制程序的代碼和指令再對其進行更改�����,從而達到破壞計算機網絡的目的。最后��,病毒的隱蔽性極強���,往往需要依靠反病毒軟件與防火墻來發掘�。
2.4 黑客的攻擊
一些不法分子掌握相關計算機網絡的知識與經驗,通過計算機網絡謀取經濟利益���,網絡“黑客”通過利用網絡的安全漏洞,利用網絡自由性強的特點���,非法侵入他人的計算機網絡系統�����,給其他合法用戶造成了極大的損失�。
3 計算機應急響應技術的分類
3.1 防火墻技術
現在的防火墻主要分為嵌入式防火墻�、硬件防火墻、軟件防火墻等幾種類型。防火墻是通過在外部網和內部網之間建立屏障來保護內網免受非法用戶入侵����,以及通過對內網的模塊等級劃分�,分別按照不同的保護等級設置用戶與密碼���,來應對各種漏洞攻擊�。此外,防火墻還能夠通過其自身的監控功能,記錄訪問的身份�����,及時對非法的用戶進行安全預警��。
3.2 入侵檢測系統
這個系統通過對非法用戶的入侵行為進行檢測�����,達到識別分析的目的。通過系統內部的事件生成器、分析器��、數據庫和響應單元�����,可以有效起到對計算機網絡的檢測作用�。通過檢測��,可以有效并及時的防范病毒入侵,漏洞攻擊���,避免因此造成數據丟失等不良后果。入侵檢測系統通過對異常行為的檢測��,對用戶信息進行檢測,可以起到防止病毒入侵�����、數據丟失等的作用�。入侵檢測技術與防火墻相比更加主動,它整合了入侵檢測、網絡管理和網絡監控這三項功能,此外���,更加智能全面的對入侵進行了防御,保護方式更加直接。
3.3 數字加密技術
數字加密技術是通過對所要保護的信息進行加密�,將所要傳達的信息轉換成為其他非法用戶難以解密的信息來進行傳遞�,在非法用戶盜取了相關信息后����,仍然無法解密,因此無法獲得真正的信息系統。此項技術主要應用在商業金融領域�,許多跨國公司在海外所設立的分公司的局域網之間信息的傳遞過程就需要進行數字加密技術來進行保護�����,在許多國際貿易的訂單信息中應用的也較為廣泛。
3.4 防病毒軟件
保護網絡安全離不開防病毒的軟件,這些軟件的功能集中表現在病毒的查殺、監測��、預防����、以及聯網查殺等方面。然而�,預防與查殺手段在提高的同時��,相關的各種計算機病毒也同樣在日益增加,并變得更加復雜�����。其對網絡安全所造成的傷害也是更加嚴重�����。因此,當網絡管理員發現系統存在病毒威脅時�,就要立即對其進行清除并找到病毒存在的位置進行徹底的清除�,通過了解系統的感染程度進行補救����,這就需要防病毒軟件的幫助,因此���,保障網絡安全離不開防病毒軟件。
4 結語
通過對計算機網絡的安全隱患原因及其應急響應技術的分析與總結�,可以發現如今的網絡安全問題是普遍存在于廣泛的用戶群中����,其所產生的安全漏洞與隱患問題已經威脅到了人們正常的工作與生活����。因此,對計算機網絡安全問題的防范與維護已經不僅僅是一個技術層面的問題����,而是上升到了對網絡管理員�,廣大網絡參與者所負擔的責任問題�。由于經濟與社會的不斷發展進步,網絡已經成為生活中必不可少的一部分�����,就更加要求我們通過各種措施來對其進行應急響應��。
[參考文獻]
第4篇
關鍵詞 計算機����;網絡����;安全管理
中圖分類號 TP393 文獻標識碼 A 文章編號 1673-9671-(2013)011-0177-01
隨著互聯網技術�����、信息化技術的快速發展�,給我們的生活帶來了很多的便利��,但同時也造成了一些安全的問題��。濫用他人內部網絡資源���、利用互聯網���、傳遞非法信息�、各種互聯網攻擊行為等計算機網絡安全問題日益嚴重��。而計算機信息技術網絡只有實現了良好的安全管理�����,才可以將其應有的作用全部發揮出來,如果不能實現安全管理�����,那么必然會給網絡用戶造成危害��,甚至還會對國家安全造成嚴重的影響�����。本文就計算機網絡安全管理的技術與方法進行探討����。
1 計算機網絡安全隱患
1.1 操作系統的不完善
操作系統具有擴散性和集成性等特點,結構復雜,體系龐大�。但是不管操作系統是如何的完美���,如何的成熟�,它都會面臨著安全漏洞的威脅�����,有了這些漏洞�����,病毒和黑客就可以入侵操作系統,而這些安全漏洞沒有任何一種補丁程序能夠完全根治,都需要進行不定時的操作系統升級�,才能夠將操作系統不完善這個問題克服掉���。
1.2 網絡管理員的防范意識和技術水平不高
目前由一些計算機網絡管理員沒有經過系統化的計算機知識培訓��,技術水平還達不到要求,且責任心不強���,工作馬馬虎虎,在實際工作中����,由于不仔細����、不用心就造成了很多人為管理問題���。如給予網絡用戶過大權限�����,沒有按照網絡用戶的類型來劃分不同的權限登記,沒有限制和預防一些潛在的安全隱患���,缺乏實時的計算機監控機制,甚至還會出現低級的網絡管理錯誤����,使得計算機網絡系統極易受到攻擊�。
1.3 病毒的廣泛傳播
計算機網絡安全的最大隱患就是病毒����,它具有破壞性�����、傳染性、隱秘性等特點����,不依靠防火墻和反病毒軟件很難發現�,計算機一旦感染上如木馬程序和蠕蟲病毒之類的病毒��,那么往往就會導致計算機系統反應速度大幅度降低�����,喪失部分數據和功能,甚至還有可能造成丟失掉計算機內的重要文件,造成系統的崩潰和計算機硬件設備的損壞。
2 計算機網絡安全管理的重要內涵與內容
一般來說,計算機網絡安全管理都具有生命周期性,應包括應急響應、安全檢查與稽核����、安全意識的技術培訓和教育、安全原則和安全目標的確定�、安全工程的運行和測試�、安全工程的實施監理��、風險分析��、安全工程的實施、安全產品與安全技術的選型與測試����、需求分析�����、安全實施領域的確定、安全體系�、安全策略等���,這些構成了網絡信息安全的一個完整生命周期���,經過安全檢查和稽核之后�����,又開始孕育下一個生命周期,周而復始�,不斷上升���、不斷往復�。黑客水平在提高����,信息技術在發展,那么相應的安全技術�、安全體系��、安全策略也要隨之實現動態調整���,使整個計算機網絡系統都隨時處于一個動態過程中����,不斷進步、不斷完善、不斷更新。
3 如何有效加強計算機網絡安全管理
3.1 防病毒軟件
采用防病毒軟件��,如卡巴斯基�、金山毒霸、360安全衛士、瑞星殺毒軟件之類的能夠對新病毒進行及時更新����、聯網查殺�、預防�����,還可以實時監測病毒���、實時查殺病毒��,保護用戶計算機系統數據安全�,提高全方位的網絡安全保護?�,F在計算機病毒越來越高級���,越來越復雜��,嚴重威脅到地震數據存儲設備的安全,一旦發現地震數據存儲設備感染了病毒�����,就應該采用防病毒軟件進行實時防范�����,掃描出病毒所在位置,對地震數據存儲設備的感染程度進行徹底地檢查,將病毒徹底���、完全地清除掉,從而保障地震數據存儲設備的安全性。如360安全衛士基于人工智能算法,獨具“自學習、自進化”優勢,秒殺新生木馬病毒,助力360殺毒獲得AV-C國際評測查殺率第一���,實時捕捉病毒威脅,預防效果更出色。全新架構進一步減少對系統資源的占用�,性能提升30%以上�,電腦輕快不卡機����。智能引擎調度技術升級,可選同時開啟小紅傘和BitDefender兩大知名反病毒引擎�,雙劍合璧查殺監控更凌厲��。同時,隔離沙箱為用戶提供百毒不侵的安全體驗,運行風險程序不感染真實系統,新增“斷網模式”保護隱私不側漏。
3.2 從制度出發���,加強計算機網絡安全管理
1)成立了計算機網絡安全管理領導小組,落實了計算機安全管理員,明確了領導小組和管理員的職責,構建了計算機網絡安全管理體系���。
2)在網絡改造升級過程中,嚴格按要求實行管理網段與業務網段分離,杜絕業務用機上因特網��。
3)局域網計算機上安裝防病毒軟件��,建立了防病毒體系�,同步升級����,定期掃描。
4)全面淘汰一些配置較差的電腦,全部使用單位下發的性能好的計算機,確保不能因為計算機硬件的故障而出現重大事故���。
5)全面安裝防火設備,在機房,安裝了防火報警器��,購置了滅火器材���,消除一切可能引發火災等不安全隱患�����。
6)加強計算機應用管理,按照“單位統一管理����,分部門保管使用”的辦法�,指定計算機負責人����,并按權限設置了開機密碼與網絡密碼。
7)嚴格執行“雙重備份�、異地保存”的數據備份制度�����,確保數據安全。
3.3 加強外聯網絡安全防護
目前外聯的方式可以通過藍牙系統����、紅外線系統����、無線網卡���、PCMCIA、有線網卡�、USB端口等一系列措施進行互聯��,應該在終端就對非法網絡行為進行阻斷,這是最為安全���、最為有效的防護措施��。因此����,應該屏蔽不明端口�����,對計算機信息網絡系統通過終端安全管理系統來固定設置���,一旦發現有那些非法的客戶端企圖連接網絡�����,那么應該將非法的客戶端進行網絡屏蔽或者阻斷。筆者建議建立一套身份認證系統(基于PKI體系)��,進而實現訪問控制���、數據加密�。同時,將CA認證系統和認證網關部署在重要服務器區附近����,并且使得二者實現聯動��,促使實現傳輸通道的加密功能和用戶的安全訪問控制。
參考文獻
[1]羅平��,李強.網絡安全應急響應體系研究[J].農業網絡信息�����,2011,02:111-114.
[2]陳丹.計算機網絡安全隱患與應急響應技術[J].辦公自動化,2011,10:153-157.
[3]王瑞剛.網絡與信息安全事件應急響應體系層次結構與聯動研究[J].計算機應用與軟件,2011���,10:120-125.
第5篇
在“十一五”863計劃中,包含有很多應用,比如通信技術和信息安全��?���!秶抑虚L期科技發展規劃綱要》(簡稱《綱要》)對信息產業及現代服務業提出了四點發展思路,其中第四點是以發展高可信網絡為重點,開發網絡信息安全技術及相關產品��,建立信息安全技術保障體系���,具備防范各種信息安全突發事件的技術能力���。
另一個綱領性文件是《2006―2020國家信息化發展戰略》(簡稱《戰略》)����,《戰略》提出了九項戰略重點。其中,第八項是建設國家信息安全保障體系�����,圍繞網絡安全涉及的內容����,全面加強國家信息安全保障體系建設,建立和完善信息安全登記保護制度,重點保護基礎信息網絡和關系國家安全��、經濟命脈�����、社會穩定的重要信息系統��。同時�����,還將加強信息安全風險評估工作����,建設和完善信息安全監控體系,提高對網絡安全事件應對和防范能力,從實際出發����,促進資源共享�����,重視災難備份建設,增強信息基礎設施和重要信息系統的抗毀能力和災難恢復能力。這些是我們在安排863計劃的核心指導方針���,是指導性的文件。
在經典的網絡模型中,有六個重要要素:分析�、安全策略��、保護、檢測、響應�、恢復�����。圍繞著經典的網絡安全模型,圍繞著《綱要》和《戰略》可以看出�,863重點安排在八項技術上:第一是安全測評評估技術�����;第二是安全存儲系統技術;第三是主動實時防護模型與技術;第四是網絡安全事件監控技術;第五是惡意代碼防范與應急響應技術;第六是數據備份與可再生技術;第七是可信計算平臺項目�����;第八是UTM與網絡安全管理���。
安全測評評估技術
風險分析的重點將放在安全測評評估技術上����。它的戰略目標是掌握網絡�����、信息系統安全測試及風險評估技術���,建立完整的��、面向等級保護的測評流程及風險評估體系。這一點和過去不一樣���,過去做測評是沒有強調等級保護的。
國家中長期發展戰略已經明確提出�,要按照等級保護的原則來做����,所以測評也是要服務于這一點��。其主要創新點和切入點在于:首先提出適應等級保護和分級測評機制的通用信息系統與信息技術產品測評模型�;適應不同的級別要有不同的測評方法���,這個分級要符合登記保護體制����;重點放在通用產品,要建成一個標準的方法�����;要建立統一的測評信息庫和知識庫���,測評要有統一的背景���,制定相關的國家技術標準����;要提出面向大規模網絡與復雜信息系統安全風險分析的模型與方法,尤其安全風險分析��,重點面向大規模復雜網絡��,因為復雜網絡要分析的要素很多�����,態勢也很強,這是我們追求的創新點��;要建立基于管理和技術的風險評估流程�����,測試風險評估面臨的威脅和不安全因素����。此外���,因為保證信息安全不只是技術����,管理不到位也會帶來風險���,所以風險評估應該把技術和管理都包括在內��,要制定定性和定量的測度指標體系�。
安全存儲系統技術
安全策略的重點應放在安全存儲技術上��。安全存儲系統產品很多�����,從安全角度來看,它的戰略目標有兩點:一個是機密性的安全,要掌握海量數據的加密存儲和檢索技術�,保障存儲數據的機密性和安全訪問能力����;另一個是安全自身要可靠����,要掌握高可靠海量存儲技術,保障海量存儲系統中數據的可靠性�。創新點在于�����,應提出海量分布式數據存儲設備的高性能加密與存儲訪問方法,提出數據自毀機理。
加密是容易的����,要對海量信息加密����,影響當然是有的���,但是應該不是很明顯�,這就對我們算法的效率提出了很高的要求����。一旦數據出現被非授權訪問����,應該產生數據自毀,或者被別人破解時有自我保護能力��。我們提出海量存儲器的高性能密文數據檢索手段����,檢索就要有規律,但加密的基本思路就是要把它無規則化���,讓它根本看不到規則,所以我們應找到一個折中的方法:什么樣的加密可以支持檢索,又具備一定的安全強度。
為此�����,我們提出了基于冗余的高可靠存儲系統的故障監測��、透明切換與處理����、數據一致性保護方面的新模型預實現手段����。雙備份是比較簡單的��,問題在于實時切換����,我們現在是整體的切換��,如果切換非常頻繁�����,就會出現一些誤報警的情況。尤其當數據多備份的時候����,就會有數據一致性的問題����,為此我們提出信息安全的數據組織方法��,提出基于主動防御的存儲安全技術�����。如果不能完全自動備份,可以有兩種選擇:一種是局部冗余����,哪些是重要信息����,它在整個系統中不會出現太大的問題���;另外一個是數據在相對分散的情況下����,怎么能盡可能弱相關��。檢索要更加智能,要能判斷訪問是不是非授權訪問,這里面要有一定的能力����,而不是簡單的存儲���。
主動實時防護模型與技術
防護強調的是主動實時防護模型與技術����。它的戰略目標是通過掌握態勢感知、風險評估、安全檢測等手段來對當前安全態勢進行判斷����,并依據判斷結果實施網絡主動防御的主動安全防護體系的實現方法與技術。當通過態勢判斷出某個地方出現網絡安全事件,別的地方就要跟著調整。特別是隨著風險評估�,某地方出現威脅�,我們要提高風險防護��,這被稱為主動防護戰略����。創新點提出主動防護的新模型、新技術、新方法,現在這方面并不是很成熟,還要提出基于態勢感知模型����、風險模型,做主動實時協同防護機制和方法��。
第二個是要提出網絡與信息系統的安全運行特征和惡意行為特征的自動分析與提取方法����。根據分析才能監控特征��,判斷現在是不是處于安全狀態�,不同的系統可能有不同的需求�,應該具有提取能力,然后監控����,通過監控來判斷現在出現的情況��。要有提出可組合與可變安全等級的安全防護技術,可能在某種狀態下�����,需要做級別的變化�,我們采取一系列各種各樣的安全手段,如果某種風險不存在��,可以把安全手段降低�,就可以提高運行效率,這方面應該提供相應的技術����。
網絡安全事件監控技術
監測的重點是網絡安全事件監控技術�。戰略目標重點放在國家層面考慮���,要掌握保障基礎信息網絡與重要信息系統安全運行的能力�����,支持多網融合下的大規模安全事件的監控與分析技術,提高網絡安全危機處理的能力。三網融合也是勢在必行,不同網的狀態融合起來就對監測提出了要求��。主要創新點在于��,要提出網絡數據獲取接口標準���,并且提出網絡流量海量性與分析系統計算能力不匹配的應對方法�����。
一般而言,網絡帶寬增長每六個月翻一番,我們國家是每七八個月翻一番�����。計算機運行速度按照摩爾定律每18個月翻一番,這導致計算機處理能力越來越快。我們提出多通道綜合檢測和協同分析模型與技術�����,要建立大規模惡意代碼傳播演變的可視化展示手段�。一旦惡意代碼傳播演變了�����,要有一個跟蹤的態勢�,能在地圖上不斷發現蠕蟲、病毒�����。提出蜜罐的攻擊誘惑與自身隱蔽方法��,現在的研究比較成熟���,人類在防范,攻擊者也尋找新的攻擊誘惑��。提出網絡安全態勢分析指標體系,建立基于復雜網絡行為建模與模擬的網絡安全態勢的分析與預測體系����。
這個態勢怎么來的����,要有一個指標體系�,我們通過對指標體系的分析�����,通過重要的端口��,或者某種協議的監測,把這些指數綜合起來��,計算當前態勢。當每個事件出現���,如果不采取措施�,將來會變成什么樣����?這需要有復雜網絡的模擬網絡,模擬網絡對復雜行為建模提出要求,模擬節點不是幾萬�、幾十萬��,至少幾百萬量級才能做出判斷�����,這樣才能真正做到預測?,F在做到的只是預警,一個事態出現到形成規模不到10分鐘���,如果僅僅是預警�����,根本來不及采取措施���。
惡意代碼防范與應急響應技術
響應的相應重點應該放在惡意代碼防范與應急響應技術上���,其戰略目標是掌握有效的惡意代碼防范與反擊策略��。一旦發現惡意代碼之后����,要迅速提出針對這個惡意代碼的遏制手段,要提供國家層面的網絡安全事件應急響應支撐技術���。其主要創新點在于���,提出對蠕蟲�、病毒����、木馬�����、僵尸網絡�、垃圾郵件等惡意代碼的控制機理�。
比如��,面對沖擊波時����,用戶只有靠打補丁,如果用戶沒有打補丁��,病毒就會通過網絡不斷傳播,這時我們就要把這個端口封鎖住��。我們要研究每個問題�,而且要建立惡意代碼攻擊的追蹤�、取證及遏制機制�,提出支持遏制手段的惡意代碼可控性的特征分析及提取技術。我們不是對惡意代碼的判斷特征識取����,我們需要找出惡意代碼特征,判斷惡意代碼是否存在,還要找出對于什么樣的特征可以利用哪些手段去遏制它����。
數據備份與可再生技術
數據備份與可生存性技術是圍繞災難恢復來做的�。這主要是提供用于第三方實施數據災難備份的模型與方法��,為建設通用災難備份中心提供理論依據與技術手段�,建立網絡與信息系統生存性和抗毀性���,提高網絡與信息系統的可靠性。比如我建立一套系統�,如果系統重要�����,就建立一個應急系統做備份。但是這不適合第三方�����,現在有一些第三方是服務隊伍�����,需要熟悉原來系統什么樣���,按照原來系統來做��。
怎么能夠做第三方呢��?這里面創新點是提出源數據存儲結構無關的數據遠程備份及快速恢復模型��、機制�����、方法與技術?���,F在�����,一個系統建完后��,你必須掌握系統結構�����,為你的數據庫系統再建一個數據庫系統,這樣你的數據才能保存起來。但是出現增量怎么辦��?是不是因為增加一個記錄而全部備份呢����?答案是否定的,因為大系統從頭到尾備份需要3天�。如果說傳增量,那邊沒有一模一樣的系統也無法把增量去。因此能不能做到結構無關���?我們提出基于關鍵服務的網絡與信息系統容錯、容侵和容災模型。如果我的系統資源足夠多���,入侵者通過連接攻擊我的線程空間��,但是我線程空間足夠大����。如果系統徹底垮了,我就換一個系統�����。而且我們還要提出網絡與信息系統自適應生存機理與可恢復模型,提出故障感知模型與異常檢測方法���,圍繞這一點要建立可生存性及抗毀性分析仿真和評測方法�����。
可信計算平臺項目
網絡如果采用可信的方法�,比如硬件有改動�,通過信息來驗證�����,整個系統是可靠����、不會被攻擊的,這樣應用系統都不會被病毒侵入�。Vista對這一點是一個重大的推動�。對網絡安全模型提出一個技術性模型,應該要有一個可信計算平臺做整體的支撐�����。戰略目標是掌握基于自主專利與標準的可信平臺模塊�、硬件�、軟件支撐�����、應用安全軟件��、測評等一批核心技術�����,主導我國可信計算平臺的跨越發展��。
我國在可信計算方面介入特別早�,但現在沒有形成一個特別好的體系,只有盡早地提出一個標準體系�����,我國的產業才能沖上來。其主要創新點在于提出可信計算平臺信任鏈建立和擴展方式,包括可信引導、可信度量����、可信網絡連接���、遠程平臺證明等。從互操作和安全評估兩個角度出發����,建立可信計算標準體系����。
UTM與網絡安全管理
第6篇
隨著水利信息化工作的不斷推進�����,電子政務�����,水利公共信息載體����,數字水利,以及水資源管理體系等信息化結果的出現,有利的推進了水利現代化的運行�。網絡平臺是信息構建和信息化成果使用的重要媒介��,充分的表現出了IT的實際價值。在互聯網飛速發展的現在�,網絡進攻的方式也逐漸增多,信息體系所承受的安全風險也逐漸增加����,怎樣保證網絡信息的安全是現在水利信息化進程中急需要處理的問題之一��。
1 水利網絡信息安全的實際狀況
最近幾年,水利部門根據水利工作的實際狀況���,在對治水經驗和實際操作進行總結的過程中,提出要轉變過去的水利發展道路����,堅持走可持續發展水利道路���,建立水利現代化的發展道路。隨著水利事業的不斷發展和變革,水利信息化構建也取得了一定的成績�,逐漸轉變成為水利現代化的主要力量。根據國家防汛抗旱指揮系統中的一期工程城市水資源的監控管理�,水利電子政務的相關項目和大型灌區信息化試點等重要工程的順利完成�,水利信息化基礎設備也在不斷的健全��,對業務的使用能力也在逐漸加強�����。防汛抗旱����,城市水資源的監控管理���,水利電子政務和全國水土保持監管信息體系等業務也開始應用到實際生活中�。在水利信息化基礎構建和業務不斷拓展的過程中���,相關的保證水利信息化安全的體系也逐漸形成����。
2 強化水利網絡信息安全的解決措施
網絡和信息的安全隱患問題���,使得水利信息化的發展受到阻礙���,所以要及時的進行預防�����,綜合治理和科學管理���,逐漸增加信息的安全性�����,加強其中的保護能力���,保證水利信息化的持續運行����。
2.1 加強信息安全管理
信息安全規劃包含了技術���、管理和相關法律等多個層面的問題,是穩定網絡安全�����、物理安全�����、資料安全和使用安全的關鍵因素�。信息安全規劃不但依賴于信息化的管理���,還是信息化形成的重要力量���。在信息安全管理的過程中,信息系統安全構建和管理要更加具有系統性���、整體性和目標性�。
2.1.1 以信息化規劃為基礎�����,構建信息化建設
信息安全是在信息化規劃的基礎上��,對信息安全進行系統的整理�,是信息化發展的主要力量��。信息安全規劃不但要對信息化發展的實際情況進行深入的分析和研究,更好的發現信息化中存在的安全隱患����,還要根據信息化規劃以及信息化發展的主要戰略和思路����,有效的處理信息安全的問題����。
2.1.2 構建信息安全系統
信息安全規劃需要從技術安全��、組織安全、戰略安全等方面入手,構建相關的信息安全系統,從而更好的保證信息化的安全。
2.2 日常的運維管理
2.2.1 注重網絡的安全監控
網絡的飛速發展使得水利網絡安全和互聯網安全關系更加緊密�。所以�,注重互聯網安全監控�����,從而及時的采取相關的安全防護措施��,是現在日常安全管理工作中的主要內容。
2.2.2 安全狀態研究
網絡信息安全是處于不斷變化的過程中,需要定時對網絡安全環境進行整體的分析�����,這樣不但可以發現其中的問題���,還可以及時的采取相關的措施進行改正���。安全態勢主要是利用網絡設備、主機設備��、安全設備和安全管理工具等策略來進行信息的處理,通過統計和分析���,綜合評價網絡系統的安全性�����,并且對發展的狀態進行判斷���。
2.2.3 信息安全風險評估
風險評估是信息安全管理工作中的重要部分。通過進行風險評估��,可以及時的發現信息安全中的問題��,并且找到積極有效的解決措施。安全風險評估的主要方法是:(1)對被評估的主要信息進行確定;(2)通過本地審計�、人員走訪�����、現場觀看����、文檔審閱��、脆弱性掃描等方法��,對評估范圍中的網絡��、使用和主機等方面的安全技術和信息進行管理;(3)對取得的信息資料進行綜合的分析�,判別被評估信息資產中存在的主要問題和風險;(4)從管理體制、管理措施�����、系統脆弱性判別、威脅研究�����、漏洞和現有技術等方面,根據風險程度的不同���,分析和管理相關的安全問題;(5)根據上面的分析結果�,建立相關的信息安全風險評估報告�。
2.2.4 應急響應
所謂的應急響應就是信息安全保護的最后一道屏障�,主要是為了盡量的減少和控制信息安全所造成的嚴重影響,進行及時的響應和修復��。應急響應包含了前期應急準備和后期應急響應兩個部分���。前期應急準備主要有預警預防制度、組織指導系統��、應急響應過程、應急團隊���、應急器械����、技術支持��、費用支持等應急措施����,并且定時進行應急演練等。后期應急措施主要有檢查病毒、系統防護、阻斷后門等問題,對網絡服務進行限制或關閉以及事后的恢復系統等工作。通過兩個部分的不斷配合��,才能更好的發揮應急響應的重要作用����。
2.3 教育培養
人是信息安全的主要力量�,其中的知識構造和使用能力對信息安全工作有著重要的影響�����。強化信息安全管理人員的專業素養��,及時的進行信息安全教育�,提升人們的信息安全意識��,從而有效的減少信息安全問題的出現��。
3 總結
隨著社會經濟的不斷發展,信息系統中的安全問題也逐漸增多���。因此需要不斷的加強信息安全管理工作��,對于網絡信息安全管理中的問題進行深入的研究,找到具有針對性的解決措施����,從而保證水利信息化的健康發展�����。
第7篇
關鍵詞:計算機網絡����;安全隱患����;應急響應技術
中圖分類號:TP393.0 文獻標識碼:B DoI: 10.3969/j.issn.1003-6970.2012.05.053
Computer Network Security and Emergency Response Technology
LI Gang
(Xinjiang Vocational and Technical College of Communications, Urumqi 831401, China)
【Abstract】The development of computer network, the Internet ’s boundary is more and more large. Internet information for human life has brought great convenience, but the network itself is open, free and interconnection of network, which led to the inevitable safe hidden trouble. Serious damage to the interests of the majority of Internet users. Therefore, to improve the network security becomes more important. This paper analyzes the computer network security risks, and aimed at these problems, put forward the corresponding emergency response technology.
【Key words】Computer network; Security; Emergency response technology
0 引 言
全球化時代的到來,信息技術的日新月異�����,這已是人類社會不可回避的現實,計算機網絡正是在這個背景下應運而生��。伴隨著計算機網絡的發展�����,其具有開放性����、自由性����、互聯性特點的同時�,也容易遭受病毒���、黑客等形式的攻擊。因此���,計算機網絡的安全與否已成為了一個亟待解決的重要問題����。網絡只有具有了完備的安全措施�,才能發揮它應有的作用,否則可能會給網絡用戶帶來一定的危害����,嚴重的甚至可能會影響國家安全[1]����。不論是企業的內部網還是局域網或者廣域網����,都會存在人為的和網絡本身的安全隱患��。這就需要我們針對不同的情況采取不同的應對技術,只有這樣才能真正保證網絡運行的安全、可靠����、保密�����、通暢���。
1 計算機網絡安全的含義
計算機網絡安全其實質就是要保證網絡上各種信息的安全,它涵蓋的領域非常廣泛。現在的網絡上存在著各種各樣的安全隱患����,這對計算機網絡的良性發展產生了極大的障礙[2]。計算機網絡安全從廣義上分析:凡是和網絡信息的安全性、保密性��、真實性相關的理論和技術都屬于網絡安全的研究領域�。因此,網絡安全的廣義定義是指網絡系統的軟硬件及其數據不受偶然的或惡意的破壞���,系統能連續正常地運行,并能有效防止非法和有害信息的傳播����,能維護道德和國家的利益、法規���。狹義的網絡安全即指網絡上的信息安全。它側重于信息的安全性和保密性��,防止攻擊者利用系統中存在的各種網絡安全漏洞��,竊取�����、毀壞網絡上的信息等有損網絡合法用戶的權益�。因此,狹義的網絡安全是指通過各種計算機��、網絡��、密碼和信息等技術保護網絡中信息傳輸��、交換���、存儲的保密性、完整性����,并能有效控制不良信息的傳播。
2 計算機網絡的安全隱患
計算機網絡開放性和自由性的特點,已導致越來越多的網絡合法用戶的個人信息和重要數據被非法占用�、利用,這反映出當今網絡的安全隱患非常嚴重,筆者分析認為,主要有以下幾方面原因構成��。
2.1 操作系統的不完善
操作系統體系龐大��,結構復雜����,具有集成性和擴散性的特點�����。操作系統需要不定時的進行升級,才能有效彌補本身的漏洞�。不論多么成熟、完美的操作系統���,都會一直面臨著漏洞的威脅。沒有任何一種補丁程序可以把操作系統本身的漏洞擋住。只有勤于對操作系統進行升級,才能有效防止操作系統自身的不完善[3]。操作系統是由網絡管理員進行維護的,管理員通常會預設一些免費口令,這也會人為的對操作系統形成安全隱患。以上兩種情況都會導致這樣的操作系統在接入互聯網時容易遭受到黑客和病毒的攻擊。
2.2 網絡協議(TCP/IP)漏洞
網絡協議的漏洞分為兩種:一是自身協議的漏洞�;二是協議服務上的漏洞。網絡協議分為數據鏈路層�����、網絡層�、傳輸層和應用層四個層次結構�����。攻擊者會尋找這四個層次的漏洞進行攻擊�。在數據鏈路層中,網絡中的計算機��,每一臺機器都處于一個網絡節點上�,它們所發送的數據包都占用同一個通信通道��,攻擊者可以通過對信道的修改�����,把錯誤的數據包發往信道中的每個節點[4]����。數據包在發送的過程中���,攻擊者可以替換原來的數據包,先偽裝起來看似和平常的數據包沒有區別,沒有立刻進行破壞活動����,而是隱藏了起來���。攻擊者通過匿名的方式,耗用系統中的資源,通過電子郵件服務的方式,傳播病毒,在TFTP服務中,盜用用戶名和口令�,對計算機進行各種破壞活動����;攻擊者還可以通過防火墻的漏洞或者在它關閉時,對系統進行破壞。
2.3 病毒的廣泛傳播
一旦計算機感染上病毒之后�����,一般都會造成系統速度變慢���,如蠕蟲病毒和木馬程序等�,會使計算機的運行速度大幅降低。而有些嚴重的病毒甚至會造成系統的崩潰�����,導致存儲在計算機內的部分重要文件丟失�����,更嚴重的是可能還會導致計算機的硬件損壞���。病毒已經成為了計算機網絡安全的最大隱患��。病毒是程序編制人員在計算機網絡程序中所插入的一些具有破壞功能的程序,它可以使計算機網絡喪失部分功能和數據�,并影響計算機網絡的運行����。病毒具有自我繁殖性���,它可以復制程序的代碼和指令�����,通過更改這些代碼和指令達到破壞計算機網絡的目的。病毒如果不依靠反病毒軟件或防火墻是很難發現的��,它具有隱秘性���、傳染性��、破壞性等特點�。所以,采取有力措施防止其危害�����,對于計算機網絡的安全有著極其重要的作用�����。
2.4 網絡管理員的技術水平和防范意識不高
現在許多網絡管理員并沒有進過正規的教育�����,他們的職責感和技術水平都沒有達到一個合格網絡管理員所應具備的素質,這往往表現在實際的工作中�����,會出現許多不合理的人為管理失誤����。如有的管理員不能及時對潛在的安全隱患加以預防和限制���,對于網絡用戶給予了過大的權限���,這些做法都極易給計算機網絡帶來巨大的危害����。還有一些網絡管理員他們不對網絡系統進行調試和檢測��,缺乏實時的監控機制���,即使在已運行多年的網絡系統中�����,也經常會出現各種低級的錯誤�,導致網絡系統漏洞百出����,極易受到攻擊。
2.5 黑客的攻擊
黑客是對計算機網絡數據的安全造成威脅的另一個重要因素。現在的計算機網絡受到黑客的攻擊頻率越來越高�����,這已催生了一種新的行業的誕生���,里面蘊含著巨大的經濟利益��。只要擁有一定的計算機和網絡技術能力的人都能利用計算機網絡來謀取經濟利益。黑客利用計算機網絡存在的安全漏洞非法侵入他人的計算機網絡系統���,這給合法的網絡用戶造成了極大的經濟損失�����。黑客針對計算機網絡的自由性�、開放性的特點�����,利用自身的專業知識��,使計算機網絡的管理工作難上加難��。世界上發生的黑客攻擊事件層出不窮���,如俄羅斯黑客攻擊美國政府網等,這種通過非法侵入他國的網絡系統�,獲取重要的情報信息的做法,造成美國大量的情報外泄����,給美國政府帶來了巨大的壓力���。
3 計算機應急響應技術
計算機網絡應急響應技術是一門綜合性極強的學科,它對技術的要求非常高���,必須能夠對突發事件能進行及時的反饋��、分析�����、處理并進行跟蹤���。這門學科幾乎涉及所有有關計算機安全的知識和技能。概括起來主要可以分為以下幾類。
3.1 防火墻技術
防火墻技術的應用大大減低了計算機網絡安全的隱患,現在的防火墻主要有嵌入式防火墻���、硬件防火墻�、軟件防火墻等幾種類型����。應用防火墻技術可以有效保護網絡內部的安全。合理配置防火墻可以過濾如電子郵件等一些不安全的因素�,可以防止IP地址指定、綁定�、欺騙����,還可以對內部網與外部網進行隔離�����,使內部網上的信息不能隨意流向外部網��。雖然,使用了防火墻技術在一定程度上會降低網絡的速度�,但相比它所換來的網絡安全是非常值得的���。
防火墻在外部網和內部網之間建立了一道屏障��,一方面它可以保護內部網免受非法用戶的侵入,實現有效隔離���。另一方面,它還可以通過對內部網絡的各模塊進行劃分��,以確定每個模塊的保護等級�,通過設置口令、密碼和身份認證等方式保證網絡運行的安全�����。防火墻的網絡監控功能把所有的訪問歷史記錄下來���,一旦發現非法用戶的不安全行為就會預警�。可以毫不夸張的說,在應急響應諸多技術中,防火墻技術的合理應用,是最可靠�、最安全����,同時也是經濟效益最高的技術���。
3.2 入侵檢測系統
所謂入侵檢測系統其實就是對非法用戶的入侵行為進行檢測的軟件�。它具有識別�����、分析���、評估的功能�。通過系統內部的事件生成器���、分析器��、數據庫和響應單元���,可以有效起到對計算機網絡的檢測作用���。入侵檢測系統通過對異常行為的檢測���,對用戶信息進行檢測����,可以起到防止病毒入侵、數據丟失等的作用。相比防火墻技術��,入侵檢測技術是一種積極主動的防護技術�����,它不同于防火墻技術的被動防御�,整合了入侵檢測����、網絡管理和網絡監控這三項功能��,并具有智能化和全面化的特點��,形成了一個主動的保護方式。網絡管理員可以通過入侵檢測系統所提供的各種數據,進行合理分析�,并制定出更加全面的網絡安全方案�����。
3.3 數字加密技術
所謂數字加密技術,是對網絡內要保護的信息進行特殊編碼����,把信息轉變成無法使非法用戶識別的信息��。這樣即使網絡內信息被非法用戶盜取,也無法識別信息的內容���。這種技術現在主要應用在商業領域和金融系統中,如國際貿易中各種訂單的詳情等�。目前�,許多跨國公司隨著企業國際化程度的進一步加深���,在世界許多國家和地區都建立了分公司或者分支機構��,這些機構都擁有自己的局域網���。分支機構在和總公司的聯絡中���,為了防止信息的泄露�����,必須對信息進行加密����,使局域網與互聯網連接時,信息的安全能夠得到充分的保證�。
3.4 訪問控制技術
對計算機網絡的訪問�,必須對其進行有效控制����,以過濾非法用戶,減少網絡安全隱患�。首先��,利用數字簽名技術可以有效保證數據的完整性,能夠鑒別數據是否偽造�����、冒充和篡改等問題���,對用戶的身份和消息進行認證��、核查�����。其次,建立訪問網絡所必須遵循的規則,這種規則對每個用戶都起到了約束作用�����,每個網絡用戶都必須無條件的遵循。這些原則包括入網的步驟�、授權的方式����、控制的策略�、訪問的形式和安全等級的劃分等��。
3.5 防病毒軟件
防病毒軟件的使用也能提供全面的網絡安全保護功能�����。如360安全衛士、金山毒霸�����,卡巴斯基等軟件可以幫助用戶更有效地保護數據�。網絡防病毒軟件主要體現在病毒查殺、病毒實時監測�����、對新病毒的預防�、聯網查殺,及時更新等方面。隨著計算機技術的日益發展,計算機病毒也變的愈來愈復雜����、高級��,對計算機網絡構成了極大的威脅。網絡管理員一旦發現網絡系統感染了病毒,應立即使用防病毒軟件進行清理,對非法用戶進行刪除,并徹底檢查系統的感染程度�,掃描出病毒所在位置���,完全�����、徹底地將病毒清除,只有這樣才能使得計算機網絡的安全性得到保障��。
3.6 網絡追蹤技術
計算機網絡追蹤技術是指通過收集網絡內每一臺計算機的相關信息���,分析出侵入事件���,確定并鎖定攻擊網絡計算機的IP地址����,找到入侵源的手段���。這種技術主要是通過攻擊者在整個網絡里的活動軌跡來分析和處理����。計算機網絡的追蹤技術可以分為兩種:一是主動的追蹤技術,這主要指的是計算機網絡通過一些特殊的現象�����,來定位攻擊者攻擊行為的起始位置���,這樣能更好地制定有針對性的防護措施�。二是被動的追蹤技術,它的理論基礎是根據計算機網絡的不同狀態,它會表現出不同的網絡數據特征��。因此���,記錄下在各個時間段���,同一個時間點�����,網絡各節點受攻擊的軌跡���,來確定未來可能受攻擊的位置���。
4 結 語
計算機網絡的安全已越來越引起人們的關注�����,計算機網絡安全問題,不僅是一個技術問題����,更是一個責任意識問題��。未來社會的發展離不開網絡,因此���,為保證計算機網絡的安全,應采用各種可能的安全策略和應急響應技術�。同時��,,網絡管理員作為計算機網絡安全最直接的負責人也應該建立起高度的責任意識,為建立一個良好的網絡環境而努力。
參考文獻
[1] 趙紅言�����,許柯�,許杰,趙緒民.計算機網絡安全及防范技術[J].陜西師范大學學報(哲學社會科學版)�����,2007�,(2).
[2] 夏丹丹,李剛����,程夢夢�,于亮.入侵檢測系統綜述[J].網絡安全技術與應用�����,2007,(1).
第8篇
關鍵詞:網絡安全��;安全管理����;安全技術;防火墻����;機房
隨著計算機網絡的逐步普及���,計算機的網絡安全已成為計算機網絡成長路上的焦點�����,氣象局機房計算機網絡所存儲、傳輸�、處理的信息的重要性較高�����,可能會受到網絡上各種各樣不安全因素的侵擾,造成數據丟失�、篡改����、惡意增加����、計算機系統無法正常工作乃至全面癱瘓的后果,嚴重破壞機房工作�,造成經濟損失�。因此���,我們應該重視機房計算機網絡安全問題�,通過各種計算機網絡安全技術���,保護在通信網絡中傳輸交換和存儲的信息的完整性、機密性和真實性,及早做好防護措施�,盡量減少損失�����。
一、機房計算機網絡安全管理
1、物理安全物理安全是保證計算機信息系統中各種設備安全的前提。物理安全是保護計算機網絡設備����、設施等����。避免遭到地震���、水災����、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞。
(1)場地安全要求氣象信息中心機房是氣象局業務運行的心臟����,對出入的內�����、外部人員應嚴格控制,限制非相關人員進入機房。在中心機房的設計上,要考慮減少無關人員進入機房的機會,在整座辦公樓中,中心機房最好不要建在比較潮濕的底層和易受侵入的頂層。
(2)防盜與防火機房應采取比其它部門更嚴密的防盜措施��,除加固門窗外��,可安裝視頻監視系統。防火方面�����,主要措施有安全隔離�����、安裝火災報警系統�����、裝備專用滅火器、滅火工具及輔助設備如應急燈等。要嚴格執行機房環境和設備維護的各項規章制度����,加強對火災隱患部位的檢查���,制定滅火應急計劃并對所屬人員進行培訓���。
(3)電源與接地電源是計算機系統正常工作的重要因素�。機房內的計算機系統都應接插在具有保護裝置的不間斷電源設備上���,防止電源中斷���、電壓瞬變��、沖擊等異常狀況�����,避免因電造成的服務器損壞��。
2��、網絡安全管理網絡安全管理體系構建是以安全策略為核心,以安全技術作為支撐�����,以安全管理作為落實手段�,完善安全體系賴以生存的大環境。其目標是確保計算機網絡的持續正常運行��,并在計算機網絡系統運行出現異常現象時能及時響應和排除故障���。
(1)建立嚴格制度。制訂網絡建設方案�����、機房管理制度�、各類人員職責分工、安全保密規定���、口令管理制度、網絡安全指南��、用戶上網使用手冊��、系統操作規程�、應急響應方案�����、安全防護記錄一系列的制度用以保證網絡的核心部門高安全�����、高可靠地運作��。
從內到外����,層層落實��,動態管理���,適應新的網絡需求���,如網絡拓撲結構���、網絡應用以及網絡安全技術的不斷發展���,調整網絡的安全管理策略�。
(2) 加強網絡技術的培訓�。網絡安全是一門綜合性的技術,網絡管理人員必須不斷地學習新的網絡知識�����,掌握新的網絡產品的功能��,了解網絡病毒�、密碼攻擊�����、分組�、IP欺騙�����、拒絕服務、端口攻擊等多樣化的攻擊手段,才能更好地管理好網絡���。
(3) 加強用戶的安全意識。網絡安全最大的威脅是網絡用戶對網絡安全知識的缺乏,必須加強用戶的安全意識,引導用戶自覺安裝防病毒軟件,打補丁��,自動更新操作系統�,對不熟悉的軟件不要輕易安裝。
所以,安全管理貫穿整個安全防范體系��,是安全防范體系的核心��,代表了安全防范體系中人的因素�����。
安全管理更主要的是對安全技術和安全策略的管理。用戶的安全意識是信息系統是否安全的決定因素�����,除了在網絡中心部署先進的網絡結構和功能強大的安全工具外,從制度上、應用上和技術上加強網絡安全管理。構建網絡安全防護體系��,是現代化機房的必然趨勢�,圖1為一個完整的體系架構。
二、相關網絡安全技術
1�����、 防火墻技術網絡防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障����,是最先受到人們重視的網絡安全技術,究竟應該在哪些地方部署防火墻是一個很重要的問題����。
首先���,應該安裝防火墻的位置是內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次����,如果內部網絡規模較大���,并且設置有虛擬局域網��,則應該在防火墻之下設置網關級防毒。作為信息系統安全產品�����,防火墻本身也應該保證安全�,不給外部侵入者以可乘之機。通常����,防火墻的安全性問題對用戶來說�,保守的方法是選擇一個通過多家權威認證機構測試的產品��。其二是使用不當���。一般來說�,防火墻的許多配置需要系統管理員手工修改�,如果系統管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞��。
2�����、人侵檢測系統采用入侵檢測系統����。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?�,F象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術�。在人侵檢測系統中利用審計記錄�����,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動�,以保護系統的安全���。在外聯網絡中采用人侵檢測技術���,最好采用混合入侵檢測�,在網絡中同時采用基于網絡和基于主機的入侵檢測系統��,則會構架成一套完整立體的主動防御體系�����。
第9篇
關鍵詞:金融服務;外匯管理;網絡安全
中圖分類號:F830.92 文獻標識碼:B 文章編號:1674-0017-2016(12)-0098-03
一�����、引言
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護�,不因偶然的或者惡意的原因而遭受到破壞����、更改����、泄露,系統連續可靠正常地運行��,網絡服務不中斷���。
近年來�,利用網絡漏洞實施網絡攻擊���,造成金融信息泄漏����、金融服務中斷的事件屢見不鮮。2015年我國金融行業遭受網站仿冒頁面10.62萬余個,占總量的59%���,發生數據外泄事件33起,被盜數據77605972項,遭遇1Gbit/s以上的DDos(分布式拒絕服務)攻擊近38萬次,金融領域已成為網絡安全防護的重點�。
基層外匯局承擔著轄區外匯管理改革和相關外匯服務的職能��,信息化應用和網絡規劃較早,現所有業務受理、數據監測統計都依托系統和網絡開展�。近年來����,系統經過了多次升級完善��,但網絡未進行較大改進�����,已經無法滿足新時期網絡安全的要求,急需采取措施防范風險�。本文通過分析當前基層骨干網絡存在的安全問題����,研究安全網絡應具有的特性���,提出安全防控的建議���,旨在建立安全可信的網絡環境����,確?;A網絡和關鍵信息系y的安全運行??紤]到網絡自有信息的敏感性��,本文對網絡產品型號、參數配置等信息進行了屏蔽�。
二�����、基層骨干網絡基本情況
(一)基層骨干網絡的定義及作用?;鶎庸歉删W絡是指國家外匯管理局(以下簡稱“總局”)和各省分局之間����,通過租用運營商線路�,形成的獨立的、專用的網絡。區別于公共互聯網以及人民銀行分行到總行��、分行到中心支行的網絡�����,專門承載外匯局各業務系統和內部門戶的基礎支撐網絡��。骨干網絡涵蓋終端、服務器����、網絡設備和運營商線路等硬件�,各類操作系統、數據庫、中間件��、安全防護等軟件���,獨立IP地址�、權限管理和運維應急手冊等相關制度��。
(二)基層骨干網絡的歷史和現狀�。20世紀90年代我國互聯網應用初期����,分局與總局之間采用撥號上網的方式互聯,2000年分局申請了與總局的幀中繼專線�����。
隨著網絡技術的發展和外匯局信息化要求的提高�����,2003年底����,為了實現骨干網全網提速��,支持新興的網絡應用�����,全面提高網絡可用性、穩定性和可靠性��,在總局的統一部署下�����,對分局骨干網絡進行了擴容改造�。改造后的骨干網繼續采用原有的星型拓撲結構����,分局增加了1臺路由器����,通過租用電信運營商2條專用鏈路,與總局核心路由器直連�。制定了分局IP地址管理規范�����,和總局上聯的路由設備及分局服務器使用外匯局網段的IP地址,PC終端部分保留外匯局的IP地址����,作為人民銀行的一個虛擬網絡管理����,其余終端使用人民銀行的局域網絡和網段的IP地址��,并通過地址映射訪問分局服務器和總局網絡��。外匯局基層骨干網絡雛形基本形成。
2008年為進一步優化網絡結構�����,總局為分局骨干網絡新增了2臺交換機和1臺路由器���。將原來與總局連接的2條捆綁2M鏈路拆分��,將其中1條連接到新增的路由器上����,重新部署動態路由協議����,使得拆分后的2條鏈路實現熱備和負載均衡。2臺新增交換機通過堆疊方式互聯,并分別與原有的及新增的路由器連接,另一邊連接分局內部網絡���。內部網絡方面,分局與轄內中心支局使用人民銀行廣域網連接,與轄內商業銀行使用人民銀行金融城域網實現互聯。至此基層骨干網絡構建完成����,一直沿用至今�����。
三、基層骨干網絡安全特性研究
(一)總體來說���,安全的網絡要遵循以下幾個原則。1.平衡分析原則���。絕對安全的網絡是不存在的,也沒有存在的必要�����。在設計網絡時�����,要綜合考慮需求�、風險和實現代價這三方面的因素����,平衡三者之間的關系,確定最優的方案。
2.網絡安全原則��。網絡安全體系應當包括安全防護���、安全監測和安全恢復三個方面����,能對各類安全威脅進行及時防護��,第一時間發現并阻止對系統造成的攻擊和在安全措施失效時及時進行應急處置和內容恢復�,減少帶來的損失���。
3.高可用性原則���。網絡是基礎環境�����,通過其上運行的各類系統和應用實現價值����。因此網絡要滿足應用提出的穩定性��、可靠性和方便性等要求�����。
4.可發展性原則。整體規劃設計要綜合考慮網絡規模的升級改造���,網絡結構的優化調整,要求網絡能適應規模及安全需求在一定時間和范圍的變化�,具有可發展性�,容易進行調整和升級改造��。
安全的基層骨干網絡應通過應用當前最新的網絡技術和產品�,設計合理的網絡結構��,滿足當前外匯業務系統需求并預留足夠的可擴展性,在兼顧方便高效的同時�,符合網絡信息安全的要求��。
安全的基層骨干網絡要具備以下特性。
1.網絡結構合理�,功能區域明確�,網間邊界清晰。
2.采用必要的線路和設備冗余����,避免單點故障�����,提高整體網絡的可用性。
3.對網絡中的IP地址進行合理規劃����,采用訪問控制和身份認證等手段�,防止未經授權的用戶和終端接入內部網絡��。
4.構建運行維護及應急響應等管理機制����。
四�����、基層骨干網絡安全防控建議
(一)按功能分區優化網絡結構��。為了確保合理的網絡結構,骨干網絡應按照功能劃分為三個區域���。骨干網絡上聯區域(以下簡稱“上聯區域”)、分局局域網服務器區域(以下簡稱“服務器區域”)和分局局域網終端區域(以下簡稱“終端區域”)���。所有區域采用設備冗余和鏈路冗余的方法����,防止發生單點故障。最外層部署核心路由器�,一端通過運營商線路和總局網絡相連���,另一端通過防火墻和里層核心交換機相連接�,核心交換機的另一端分別與分局局域網中的服務器區域和終端區域相連�����。
(二)拆分鏈路�,調整與總局互聯方式���?�?偩謨傻厝行膹V域網的主體結構�,采用光傳輸線路��,分別是生產中心與同城備份中心基于裸光纖的鏈路��、生產中心與災備中心基于SDH的鏈路、災備中心與同城備份中心基于SDH的鏈路,形成底層數據的光傳輸環狀主干網絡�����。
基層骨干網絡與總局的互聯方式需要調整��,首先由原來租用單一線路運營商的2條SDH專用鏈路改為租用兩家線路運營商各1條SDH專用鏈路��,提高線路可用性。其次調整互聯目的地�,原來2條線路均接入生產中心�����,新的骨干網絡1條線路接入生產中心��,另1條線路連接災備中心�,兩條鏈路互為備份�。當連接生產中心的線路出現故障時,分局網絡通過連接災備中心的線路,經過總局環狀廣域網與生產中心連通。該調整,既保證了與生產中心的鏈路冗余���,又實現了與災備中心的互聯,在滿足安全要求的同時,節約了成本�。
(三)從管理和技術入手�����,構建網絡安全���。安全的網絡要擁有合理的網絡結構�,有效的安全防護策略和完備的日常管理�����?�;鶎庸歉删W絡主要從結構優化、身份認證、訪問控制�����、杜絕單點故障��、安全產品選擇和運維保障等方面構建安全的網絡���。
結構優化:基層骨干網絡按照功能進行分區�����,與人民銀行內部網絡實現分離���,分局終端統一部署在人民銀行網段����,網絡結構清晰明確,便于安全防護�。
身份認證:采用固定IP地址對接入網絡中的終端進行身份標識��,通過MAC物理地址綁定的功能實現身份認證,當終端發起上網請求時���,首先判斷其IP地址和MAC物理地址是否匹配,匹配的情況下��,終端才被容許接入網絡�����。同時��,關閉交換機中不使用的端口,防止其它非法計算機和用戶接入網絡�����。
訪問控制:對網絡中的IP地址進行分組�����,根據訪問需要��,制定組與組之間的訪問策略,容許滿足條件的訪問�����,防止條件外的非法訪問�,禁止各分局之間的直接訪問���。同時關閉網絡設備的PING���、TELNET��、FTP���、SNMP等高危服務����,嚴禁協議數據���、業務數據和管理數據以外的數據在網絡中傳遞。
杜絕單點故障:基層骨干網絡應采取雙機熱備模式���,即網絡中配置雙路由器、雙通信鏈路��、多交換機和雙防火墻��。每個節點由原來單一的設備改造為兩臺同型號設備�,分別定位為主備設備�����,主備設備間要實現互聯���,主設備發生故障時����,備設備要在規定時間內接管主設備的任務�,提供不間斷的網絡服務��。
安全產品選擇:基層骨干網絡在關鍵設備上均應采用我國自主研發產品取代現有的國外設備�。
運維保障:構建運維保障長效機制�,從管理的角度實現網絡安全。編制《分局信息安全管理辦法》���、《系統運行維護制度》、《應急預案》、《網絡設備用戶手冊》等文檔��。內容涵蓋網絡日常巡檢�、安全風險評估和應急響應等,具有詳細的操作流程和實施步驟,并在日常工作中嚴格執行�����。
參考文獻
[1]李偉.網絡安全實用技術標準教程[M].北京:清華大學出版社�,2005。
[2]朱萍.計算機網絡信息安全及防護策略研究[J].科技資訊.2016,(2):29-30��。
[3]王世偉����,曹磊,羅天雨.再論信息安全�����、網絡安全���、網絡空間安全.中國圖書館學報��,2016��,(4):4-28。
[4]楊晨.信息時代下計算機網絡安全技術初探[J].網絡安全技術與應用,2014�����,(1):108-109��。
[5]宋欣蔚.計算機網絡可靠性研究[J].信息與電腦:理論版,2016���,(6):158-159。
The Study on the Backbone Network of SAFE Branches
Based on the Perspective of Security
WANG Mengyang
(Xi’an Branch PBC��,Xi’an Shaanxi 710075)
第10篇
【關鍵詞】動態自治 網絡安全管理
計算機技術的不斷更新帶動了網絡的發展壯大�,如今社會各行各業都和網絡接軌,帶來了信息通訊的極大便利��,也帶來了相當嚴重的安全隱患���。利用計算機和網絡實施犯罪的行為不斷增多�,給個人乃至集體都造成了重大的損失。在當前的網絡安全管理體系下,只能在某種程度上解決一些常見的網絡防御問題,對一些有針對性的問題甚至攻擊�,還難以應對���。本文所闡述的構建動態自治的網絡安全管理體系�,是一種可以滿足了全網安全要求并且具有動態的可變化的特點的全新體系�,可針對實際情況進行有效的應對,將網絡信息進行集中管理,保證能夠及時響應并處理安全管理事件。
1 動態自治網絡安全管理體系的定義
動態自治網絡安全管理體系的實質就是構建一種動態的���,能夠靈活自主應對安全問題的網絡。它之所以具有動態性是因為當該體系接入網絡系統后��,能夠自動變為整個網絡的一部分。它的安全管理系統是將處于同一個網絡管理系統管理下的所有安全設備和節點集合起來統一管理。制定一致的策略以保證所有設備都能夠遵循并實施。動態自治網絡只是一個相對的概念���,它的動態性是相對于整個網絡來說的,而它的自治性體現在整個系統的設備和節點與網絡安全管理系統相互聯系并一起構成了一個可控的網絡。
2 構建動態自治的網絡安全管理的必要性
科學技術的高速發展帶動了計算機的普及應用和網絡的更新換代��,人們的觀念也在隨之不斷變化���。因此只是依靠一種單純的靜態網絡安全管理系統��,已經無法滿足要求越來越苛刻的用戶們了����。從主觀方面來說�����,人們需要一個更加完善的能夠進行自治的動態網絡安全管理體系,來幫助彌補操作系統的不足以及保護用戶的隱私信息����。從客觀角度來說�����,目前的網絡技術和計算機技術所打下的基礎已經達到一定的程度,適合建立起一種動態自治的網絡安全管理構架����。因此���,動態自治的網絡安全管理體系應運而生����。這種體系與過去的傳統網絡安全管理系統相比��,具有處理問題更加靈活���、收集信息更加全面��、相對于主操作系統更加獨立的諸多特點。它還具有廣泛應用性���,能夠很好地適用于多種不同類型的網絡;它的實用價值極高���,對于不同用戶的各種要求都能達到最大限度的滿足����;同時它的安全性更有保障,因為它并不是依靠某個單一的軟件或獨立系統去進行整個網絡的安全保障與日常維護。并且當網絡安全出現問題時���,它會立刻聯合主操作電腦,共同實施防御策略。動態自治的網絡安全管理體系要比平常的普通網絡具有更多的優越性��,比如它的動態性主動防御的能力�����;出現安全問題時����,能夠快速的調動整個網絡的資源����,表現出了非凡的聯動性和積極的防御性。動態自治的網絡安全管理體系還能對內部所得到的信息進行有針對性的分級分層次的保護�����,真正地實現了獨立自主的網絡安全體系����,不再盲目依賴于任何一種單一的殺毒軟件或系統防御。這也是它為何更能滿足人們對于實現安全快速和綠色健康網絡的要求的原因。
3 影響網絡安全管理的因素
(1)一些未經過授權的非法訪問,有些甚至會冒充合法用戶來進行不正當的訪問。未經授權就是超越了自身權限,不正當地讀取網絡公共信息甚至是私人信息����;冒充合法用戶則是利用欺騙的手段來獲取正當用戶的使用權限�,進而非法侵害用戶自身及他人的權益,進而占用甚至搶奪更多的網絡資源����,這是一種嚴重的違法行為。
(2)有目的有計劃地對一些數據進行刪改甚至破壞,有時會未經系統統一就進行流量分析���。刪改和破壞數據是以蓄意破壞為目的,將所涉及到的信息進行隨意修改和刪除,會給用戶造成極大的損失����;流量分析則是在未經系統授權或者同意的情況下���,自行分析觀察網絡的信息流��,從中篩取有用的信息,進而非法獲取利益���。
(3)網絡接入遭到拒絕和病毒木馬的惡意侵入。當用戶擁有正常訪問權�����,卻在訪問時未能獲取應有的信息資源��,一般被稱為網絡接入遭到拒絕����,是用戶自己被網絡拒絕服務�����;而病毒木馬的惡意侵入是由于黑客的蓄意破壞���,人為植入病毒或者木馬程序����,導致用戶的私人信息泄密甚至丟失��,整個計算機系統也會因中毒而無法正常工作。
4 動態自治的網絡安全管理架構
(1)要從全網全局的宏觀角度出發考慮,對整個網絡的安全狀況進行詳細正確的分析評估,進而對現有的網絡資源進行有效地整合����,這樣才能有針對性地實施網絡安全防御措施�。同時通過制定相對應的響應策略以使網絡安全管理系統能夠自動地完成對網絡內一切設備資源的響應與安全問題的處理���。
(2)要以高度的自治方式來保證網絡的自主性和開放性�,真正實現網絡安全管理系統的自我完善。只有當網絡系統具有很高的安全性時�,才能有效保證任何接入網絡的信息和資源都會受到切實的保護�。
(3)對實施接入控制的策略進行詳細有效的分類管理���,既要保證所構建的網絡安全管理體系具有自治性和動態性��,又要實現全網絡的擴展管理���,能夠保證最大限度地連接網絡內的一切設備資源���,同時通過管理接入控制的方式來確保網絡安全的方法也為增加網絡安全管理體系的動態性提供了必要的幫助����。
5 動態自治的網絡安全管理體系的基本模型
建立動態自治的網絡安全管理模型是為了保證所有接入網絡的設備和資源的安全性���,用戶在接入網絡的過程中�����,其信息和資源能夠得到一定的安全保證��。通過使用類似的系統模型,規避接入網絡的過程中可能帶來的風險�����,進一步確保整體網絡的安全可靠性�����。常見的網絡安全管理模型是一個動態的自治的網絡���,它是多種不同的網絡產品的集合體���,通過內部協議以相互協調��,共同構成虛擬的網絡環境。盡管內部成分復雜�����,但也要對其自身的安全策略和安全分析進行統一管理����。同時,從全局宏觀角度出發�,為了使網絡內的相關設備能夠實現統一管理����,統一配置�����,就要通過自治來使得網絡按照既定的策略進行工作�。自治還包括網絡應急預案和緊急響應處理���。經過以上的一系列的管理流程����,對整個網絡內的資源設備進行統一配置�,最終使網絡系統的安全性大大提高。然后在保證安全性的基礎上���,對網絡內的安全設備和相關系統進行集中管理。這是為了在配置相關安全節點的參數時��,能夠使資源的利用率達到最大��,同時也有利于網絡自身的更新配置��,以達到動態的管理模式。另外����,網絡中的應急響應流程應該具有一致性�����,它主要是指網絡中的安全事故處理流程要與響應程序的流程一致,以保證處理問題的及時性和有效性。
動態自治的網絡安全管理體系模型還要滿足以下三個方面的要求:
(1)網絡體系要具備高度的擴展性�����,建立網絡架構以保證能對各種安全資源進行統一的管理����。要及時了解市場上最新的安全技術和設備,在建立時為其保留相應的接口����。這樣有利于網絡自身的更新配置�����,進一步保證網絡的實時性�。
(2)網絡體系應具有高度的可控性,建立網絡架構不僅要對接入網絡內的所有設備進行統一配置,同時還要具有信息收集和資源優化的能力��。對于網絡中安全設備在運行過程中產生的一系列的配置信息及安全信息等數據���,要及時保存并進行分析。這樣也有利于用戶全面地掌握網絡體系的安全狀況。
(3)網絡體系應擁有良好的操作性����,保證網絡在其應用的范圍內���,實現相關設備的安全維護和配置的綜合管理���。系統的動態自治安全管理模型可以分成狀態監控���、系統管理��、策略管理等三個部分。其中策略管理以及系統管理主要是作為系統的支持部分,狀態監控作為了應用系統的部分 �。
6 總結
隨著科學技術的發展和計算機的普及�,互聯網技術已經融入了千家萬戶�����。隨之產生的網絡安全和信息保護等問題越來越受到人們的重視��。動態自治的網絡安全管理體系作為一種新的網絡安全管理技術,其動態自治的網絡安全管理方式能夠從全局角度出發��,對整個網絡進行分析和評估��,有效地管理網絡����,將安全風險降低至最小��,確保用戶的信息和數據能夠得到更好的保護。動態自治的網絡安全管理系統重點用于信息數據的處理���,通過對動態控制機制的接入,安全策略重新的部署和響應�,使系統有效地避免了更多的風險����。
參考文獻
[1]吳多萬.動態自治的網絡安全管理架構論析[J].計算機光盤軟件與應用.2012��,(6).
[2]胡琳.基于動態自治的網絡安全管理架構論析[J].煤炭技術.2013�����,(10).
[3]周毅超.動態自治的網絡安全管理構架論析[J].科學與財富.2011,(9).
[4]劉蘭.一種動態自治的網絡安全管理架構[J].廣東技術師范學院學報.2010�,(3).
第11篇
關鍵詞:互聯網金融 信息安全 信息技術風險 防控措施
中圖分類號:F830.2 文獻標識碼:A
文章編號:1004-4914(2015)09-175-01
我國互聯網信息安全形勢嚴峻����,特別是大數據和云計算等新技術的發展����,使互聯網金融業務面臨更加嚴峻的挑戰,支付寶漏洞��、P2P平臺黑客攻擊����、網銀木馬病毒等風險事件頻發,而當前互聯網金融支撐保障體系的發展速度遠遠落后于互聯網金融業務運營的發展�����,信息安全成為保障互聯網金融創新發展的重中之重�。
一����、互聯網金融面臨的信息技術風險
互聯網金融是建立在互聯網大數據和云計算框架上的?;ヂ摼W金融的云計算(或稱金融云)是利用云計算的模型構成原理���,將各金融機構的信息系統架構轉移到端;或是利用互聯網實現數據中心互聯互通�����,形成高效的數據共享機制;或利用云計算服務提供商的云網絡,將金融產品、新聞�����、服務到云網絡中,提升企業整體工作效率�����,優化業務流程���,降低運營成本����,為客戶提供更便捷的金融服務。但支撐互聯網金融的大數據���、云計算等新技術發展還不成熟,云計算又是一個開放的網絡環境��,安全機制尚不完善;同時�����,第三方支付、P2P等互聯網金融新業態還處于起步階段�����,安全管理水平較低��。因此��,互聯網在帶來金融創新的同時,也帶來了新的風險。
1.數據安全問題�。主要體現在三個方面����,一是后臺數據庫安全問題��。大數據由于擁有龐大的數據庫����,一旦數據遭到竊取�����、泄露��、非法篡改,將對個人隱私�、客戶權益�、人身安全構成威脅�,犯罪分子可以通過對大數據的收集分析,有機會獲得更精準有用的信息,因此��,后臺數據庫安全要解決核心數據資源面臨的“越權使用���、權限濫用�、權限盜用”等安全威脅;二是數據傳輸安全,數據在傳輸過程中數據傳輸安全;三是數據容災備份,大數據對數據的容災機制要求比較高�。
2.網絡安全風險����。與傳統商業銀行有著獨立性很強的通信網絡不同���,互聯網金融企業處于開放式的網絡通信系統中�����,TCP/IP協議自身的安全性面臨較大非議。另外�,互聯網金融交易平臺需要在三個層面保障安全��,安全環境檢測、安全控件的加載以及用戶賬戶口令認證,但當前的密鑰管理與加密技術并不完善���,這就導致互聯網金融體系很容易遭受計算機病毒以及網絡黑客的攻擊。一旦遭遇黑客攻擊,互聯網金融的正常運作會受到影響,危及消費者的資金安全和個人信息安全�����。
3.安全應急技術薄弱�。在信息技術發展迅猛的當下����,互聯網金融企業自身所具備的安全故障恢復機制以及所需的安全保障技術儲備仍具有一定的局限性和薄弱性�。面對Web應用漏洞以及已經造成的危害,企業自身的技術團隊力量及資源不足以提供所需的安全響應支撐,使得在出現突發安全事故的情況下,企業不能及時作出安全應急響應���,迅速進行運營恢復,深入解決安全問題,從而最大程度的降低整體安全風險及提高信息系統的安全等級�����。
二���、互聯網金融信息安全風險防控措施
針對上述風險����,保障互聯網金融信息安全應當從以下幾個方面入手��。
1.嚴格遵照金融行業信息系統信息安全等級保護要求加強信息系統安全防護���。加強信息安全等級保護工作的組織領導���,認真梳理信息系統�����,科學合理定級,備案�����。按照不同等級采取相應的安全防護措施�����,并制定合理的安全策略���。適時進行相關信息系統威脅分析和相互依賴分析�����,積極開展信息系統等級保護測評工作。通過制定配套的管理規范����、技術標準�����、技術手段�,以此來加強信息安全管理水平。
2.加強數據安全管理���。可以通過數字證書等安全認證機制和傳輸加密機制來保障數據傳輸安全�。如采用SSL加密技術對數據進行加密�。SSL采用RC4����、MD5以及RSA等加密算法,運行在TCP/IP層之上���、應用層之下,為應用程序提供加密數據通道���,加密和解密需要發送方和接受方通過交換密鑰來實現,因此���,所傳送的數據不容易被網絡黑客截獲和解密,最大限度地保證了客戶信息的安全和資金流向的安全��。而在數據備份方面����,可以采用服務器集群及異地熱備技術����,保障平臺的高性能和高可用性����。異地熱備技術是指硬盤放在磁盤陣列柜里面,兩臺服務器與磁盤陣列柜連接��,共用里面的資料�����,當一臺服務器出現問題時會自動切換到另一臺服務器,既確保了數據備份安全����,又保障了使用效率�。
3.加強網絡安全防護��。在系統安全和數據通訊層面采取措施����,通過網絡安全協議����、電子簽名等,如建立反釣魚機制,解決電子支付安全問題,大力推廣可靠電子簽名應用�。將電子簽名向供應鏈融資���、網絡微貸��、P2P、眾籌等其他業務形態中推廣;積極選用國產廠商自主可控的網絡信息系統;部署網絡安全防護產品,如部署防火墻保障網絡邊界訪問安全,部署防病毒系統實時進行病毒檢測與防護;部署漏洞掃描系統,主動進行威脅、脆弱性分析與安全檢測;部署入侵檢測系統,攔截黑客攻擊�,加強防入侵能力���,加固邊界安全等�。
4.增強信息安全風險防范意識�����,提升風險事件應急處置能力���。始終將信息安全工作放在首位,進一步完善風險管理控制體系,定期對系統進行風險評估��,加強防御手段�����。制定和不斷完善應急預案���,提高金融網絡系統應對突發事件的能力�����,有效、快速�、合理地應對突發事件�����,最大程度地減少信息安全事件造成的損失和影響,保障金融業務的連續運行��。
參考文獻:
[1] 姚文平.互聯網金融:即將到來的新金融時代[M].中信出版社�����,2014
[2] 周小娟.我國互聯網金融面臨的風險及應對措施[J].時代經貿�,2013���,22(1):111-113
[3] 陳子永.互聯網金融風險與防范[J].商�,2013,21(1):166-168
第12篇
2007年新年伊始,在幾乎所有的IT廠商都在做著新年的規劃時�����,信息安全廠商趨勢科技最早打響了新年的第一槍――在風景如畫的海濱城市廈門舉行2007年渠道大會。來自全國各地的400多名經銷商、系統集成商在“沖浪藍海 服務領航”主題的感召下,開始了新年的探索之路�。
“服務”形成差異化
“在網絡安全領域,產品同質化現象日趨嚴重��,這就是紅海���,我們靠什么與競爭對手拉開差距�?”趨勢科技中國區總經理葉偉倫在主題演講這樣詢問在座的經銷商?�!爸荒芸糠?。”他說�����,“服務將是未來網絡安全的主旋律��,網絡安全已經進入一個新的階段, 它已不僅僅局限于殺毒��,越來越多的安全問題需要安全廠商提供好的服務和咨詢?���!?/p>
回顧2006年�����,中國網絡信息安全領域可謂風云變換,病毒���、木馬、僵尸網絡以及各種釣魚攻擊不斷花樣翻新����,黑客的攻擊目標也從單純的顯擺變得有目的性地盜取信息資源��。幾乎所有的信息安全廠商都看到了這種新的變化,都推出了各種各樣的新技術和新產品�,一時間����,信息安全市場在技術尚未完全成熟的情況下��,就迅速進入了完全競爭的狀態。
葉偉倫認為�,網絡安全用戶需要廠商的三種能力:可信賴的品牌�、在中國市場的長期投入以及良好的服務能力��,這種服務不僅包括病毒爆發時的快速響應服務����,還包括專家咨詢服務�����,這是廠商打造差異化競爭優勢的三個基本條件�����。
從2006年開始,趨勢科技宣布全面向服務轉型,推出了一系列服務產品�����。2006年9月,趨勢科技聯合國家計算機病毒應急中心�、上海電信��、神州泰岳和網域科技,共同建立了趨勢科技MOC防病毒監測中心����,推出安全專家值守服務���,將“防毒外包”的安全服務理念傳遞給用戶�����。加上之前推出的中國區病毒中心(China TrendLabs)�����、技術支持中心和售前服務等幾個部分���,形成了一套完整的服務體系�。
服務差異化也為趨勢科技贏得了良好的業績:2006年,趨勢科技的硬件防毒墻產品NVW及網關類銷售收入增長超過了50%,軟件產品增長30%,而各種服務產品的增長更是超過了80%���!
幫助渠道向服務轉型
“2007年�,趨勢科技最主要的任務�,就是幫助渠道轉型,通過渠道,將安全服務傳遞到最終用戶中���?���!比~偉倫說�����。
