前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)與安全應(yīng)急預(yù)案主題范文,僅供參考,歡迎閱讀并收藏。
1總則
1.1編制目的
為保障XX市醫(yī)療保障局網(wǎng)絡(luò)和信息安全,提高應(yīng)對網(wǎng)絡(luò)安全事件的能力,預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害,進一步完善網(wǎng)絡(luò)安全事件應(yīng)急處置機制,制定本預(yù)案。
1.2編制依據(jù)
《中華人民共和國網(wǎng)絡(luò)安全法》、《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》、《信息安全技術(shù)信息安全事件分類分級指南》(GB/Z20986-2007)、《信息安全事件管理指南》(GB/Z20985-2007)、《應(yīng)急預(yù)案編制導(dǎo)則》(GBA29639-2013)、《信息技術(shù)服務(wù)運行維護第3部分:應(yīng)急響應(yīng)規(guī)范》(GBA28827.3-2012)等相關(guān)規(guī)定。
1.3工作原則
強化監(jiān)測,主動防御。強化網(wǎng)絡(luò)和信息安全防護意識,加強日常安全檢測,積極主動防御,做到安全風(fēng)險早發(fā)現(xiàn)。
明確分工,落實責(zé)任。加強網(wǎng)絡(luò)和信息安全組織體系建設(shè),明確網(wǎng)絡(luò)安全應(yīng)急工作權(quán)責(zé),健全安全信息通報機制,做到安全風(fēng)險早通報。
快速響應(yīng),有效處置。加強日常監(jiān)管和運維,強化人力、物資、技術(shù)等基礎(chǔ)資源儲備,增強應(yīng)急響應(yīng)能力,做到安全問題早處置。
1.4適用范圍
本預(yù)案適用于市醫(yī)療保障局網(wǎng)絡(luò)和信息安全事件應(yīng)急工作。
2事件分級與監(jiān)測預(yù)警
2.1事件分類
網(wǎng)絡(luò)安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他網(wǎng)絡(luò)安全事件。
(1)有害程序事件。包括:計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。
(2)網(wǎng)絡(luò)攻擊事件。包括:拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。
(3)信息破壞事件。包括:信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
(4)信息內(nèi)容安全事件。指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息,組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。
(5)設(shè)備設(shè)施故障。包括:軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。
(6)災(zāi)害性事件。指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)安全事件。
(7)其他事件。指除以上所列事件之外的網(wǎng)絡(luò)安全事件。
2.2事件分級
按照事件性質(zhì)、嚴重程度、可控性和影響范圍等因素,將市醫(yī)療保障局網(wǎng)絡(luò)和信息安全事件劃分為四級:Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級,分別對應(yīng)特別重大、重大、較大和一般安全應(yīng)急事件。
(1)Ⅰ級(特別重大)。局網(wǎng)絡(luò)和信息系統(tǒng)發(fā)生全局性癱瘓,事態(tài)發(fā)展超出控制能力,產(chǎn)生特別嚴重的社會影響或損害的安全事件。
(2)Ⅱ級(重大)。局網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生大規(guī)模癱瘓,對社會造成嚴重損害,需要局各科室(單位)協(xié)同處置應(yīng)對的安全事件。
(3)Ⅲ級(較大)。局部分網(wǎng)絡(luò)和信息系統(tǒng)癱瘓,對社會造成一定損害,事態(tài)發(fā)展在掌控之中的安全事件。
(4)Ⅳ級(一般)。局網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞,對社會不構(gòu)成影響的安全事件。
2.3預(yù)警監(jiān)測
有關(guān)科室(單位)應(yīng)加強日常預(yù)警和監(jiān)測,必要時應(yīng)啟動應(yīng)急預(yù)案,同時向局網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組(以下簡稱“領(lǐng)導(dǎo)小組”)通報情況。收到或發(fā)現(xiàn)預(yù)警信息,須及時進行技術(shù)分析、研判,根據(jù)問題的性質(zhì)、危害程度,提出安全預(yù)警級別。
(1)對發(fā)生或可能發(fā)生的Ⅳ級安全事件,及時消除隱患避免產(chǎn)生更為嚴重的后果。
(2)對發(fā)生或可能發(fā)生的Ⅲ級安全事件,迅速組織技術(shù)力量,研判風(fēng)險,消除影響,并將處置情況和結(jié)果報領(lǐng)導(dǎo)小組,由領(lǐng)導(dǎo)小組預(yù)警信息。
(3)對發(fā)生和可能發(fā)生的Ⅱ級安全事件,應(yīng)迅速啟動應(yīng)急預(yù)案,召開應(yīng)急工作會議,研究確定事件等級,研判事件產(chǎn)生的影響和發(fā)展趨勢,組織技術(shù)力量進行應(yīng)急處置,并將處置情況報領(lǐng)導(dǎo)小組,由領(lǐng)導(dǎo)小組預(yù)警信息。
(4)對于發(fā)生和可能發(fā)生的Ⅰ級安全事件,迅速啟動應(yīng)急預(yù)案,由領(lǐng)導(dǎo)小組向省醫(yī)療保障局、市委網(wǎng)絡(luò)安全和信息化委員會辦公室、市公安局通報,并在省級有關(guān)部門的指揮下開展應(yīng)急處置工作,預(yù)警信息由省級有關(guān)部門。
3應(yīng)急處置
3.1網(wǎng)頁被篡改時處置流程
(1)網(wǎng)頁由主辦網(wǎng)站的科室(單位)負責(zé)隨時密切監(jiān)視顯示內(nèi)容。
(2)發(fā)現(xiàn)非法篡改時,通知技術(shù)單位派專人處理,并作好必要記錄,確認清除非法信息后,重新恢復(fù)網(wǎng)站訪問。
(3)保存有關(guān)記錄及日志,排查非法信息來源。
(4)向領(lǐng)導(dǎo)小組匯報處理情況。
(5)情節(jié)嚴重時向公安部門報警。
3.2遭受攻擊時處置流程
(1)發(fā)現(xiàn)網(wǎng)絡(luò)被攻擊時,立即將被攻擊的服務(wù)器等設(shè)備斷網(wǎng)隔離,并及時向領(lǐng)導(dǎo)小組通報情況。
(2)進行系統(tǒng)恢復(fù)或重建。
(3)保持日志記錄,排查攻擊來源和攻擊路徑。
(4)如果不能自行處理或?qū)賴乐厥录?,?yīng)保留記錄資料并立即向公安部門報警。
3.3病毒感染處置流程
(1)發(fā)現(xiàn)計算機被感染上病毒后,將該機從網(wǎng)絡(luò)上隔離。
(2)對該設(shè)備的硬盤進行數(shù)據(jù)備份。
(3)啟用殺病毒軟件對該機器進行殺毒處理工作。
(4)必要時重新安裝操作系統(tǒng)。
3.4軟件系統(tǒng)遭受攻擊時處置流程
(1)重要的軟件系統(tǒng)應(yīng)做異地存儲備份。
(2)遭受攻擊時,應(yīng)及時采取相應(yīng)措施減少或降低損害,必要時關(guān)停服務(wù),斷網(wǎng)隔離,并立即向領(lǐng)導(dǎo)小組報告。
(3)網(wǎng)絡(luò)安全人員排查問題,確保安全后重新部署系統(tǒng)。
(4)檢查日志等資料,確定攻擊來源。
(5)情況嚴重時,應(yīng)保留記錄資料并立即向公安部門報警。
3.5數(shù)據(jù)庫安全緊急處置流程
(1)主要數(shù)據(jù)庫系統(tǒng)應(yīng)做雙機熱備,并存于異地。
(2)發(fā)生數(shù)據(jù)庫崩潰時,立即啟動備用系統(tǒng)。
(3)在備用系統(tǒng)運行的同時,盡快對故障系統(tǒng)進行修復(fù)。
(4)若兩主備系統(tǒng)同時崩潰,應(yīng)立即向領(lǐng)導(dǎo)小組報告,并向軟硬件廠商請求支援。
(5)系統(tǒng)恢復(fù)后,排查原因,出具調(diào)查報告。
3.6網(wǎng)絡(luò)中斷處置流程
(1)網(wǎng)絡(luò)中斷后,立即安排人員排查原因,尋找故障點。
(2)如屬線路故障,重新修復(fù)線路。
(3)如是路由器、交換機配置問題,應(yīng)迅速重新導(dǎo)入備份配置。
(4)如是路由器、交換機等網(wǎng)絡(luò)設(shè)備硬件故障,應(yīng)立即使用備用設(shè)備,并調(diào)試通暢。
(5)如故障節(jié)點屬電信部門管轄范圍,立即與電信維護部門聯(lián)系,要求修復(fù)。
3.7發(fā)生火災(zāi)處置流程
(1)首先確保人員安全,其次確保核心信息資產(chǎn)的安全,條件允許的情況下再確保一般信息資產(chǎn)的安全。
(2)及時疏散無關(guān)人員,撥打119報警電話。
(3)現(xiàn)場緊急切斷電源,啟動滅火裝置。
(4)向領(lǐng)導(dǎo)小組報告火災(zāi)情況。
4調(diào)查與評估
(1)網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后,由相關(guān)科室(單位)自行組織調(diào)查的,科室(單位)對事件產(chǎn)生的原因、影響以及責(zé)任認定進行調(diào)查,調(diào)查報告報領(lǐng)導(dǎo)小組。
(2)網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后,對按照規(guī)定需要成立調(diào)查組的事件,由領(lǐng)導(dǎo)小組組織成立調(diào)查組,對事件產(chǎn)生的原因、影響及責(zé)任認定進行調(diào)查。
(3)網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后,對產(chǎn)生社會影響且由省級有關(guān)部門進行調(diào)查的,按照省級有關(guān)部門的要求配合進行事件調(diào)查。
5附則
1計算機網(wǎng)絡(luò)安全存在的問題
1.1計算機網(wǎng)絡(luò)本身的問題
每一個系統(tǒng)天生就存在或多或少的安全漏洞,計算機的系統(tǒng)本身或者所安裝的應(yīng)用軟件中的部分都具有一些安全問題。常見的漏洞是TCP/IP協(xié)議的缺少經(jīng)常被用作發(fā)起拒絕服務(wù)入侵或者攻擊,消耗寬帶、網(wǎng)絡(luò)設(shè)備的CPU和內(nèi)存是此入侵的目的。他們的入侵方式為發(fā)送許多的數(shù)據(jù)包給要攻擊的服務(wù)器,從而消耗和占領(lǐng)一切的寬帶網(wǎng)絡(luò)用來攻擊此服務(wù)器,然后服務(wù)器的正常服務(wù)無法進行處理,從而沒有辦法訪問網(wǎng)絡(luò),很大程度的降低了網(wǎng)站的回應(yīng)速度,最終導(dǎo)致服務(wù)器癱瘓。就個體的網(wǎng)絡(luò)訪問者來說,該攻擊會導(dǎo)致計算機無法正常的運行。
1.2安全威脅來自內(nèi)部網(wǎng)
相對于外部網(wǎng)的使用者,內(nèi)部網(wǎng)的使用者所遭遇到安全威脅的程度更大。主要原因是內(nèi)部網(wǎng)的用戶絕大所數(shù)都缺乏安全意識。在內(nèi)部網(wǎng)中,因為網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)使用者的具有相似的權(quán)限,所以存在的安全隱患就是有人利用這些權(quán)限來攻擊網(wǎng)絡(luò)的安全,比如泄露操作的口令、存在磁盤上的機密文件被人利用、一些網(wǎng)絡(luò)安全技術(shù)與應(yīng)用文/童旭亮本文主要介紹了網(wǎng)絡(luò)安全的定義,從各個方面敘述了目前的各式各樣的基本原理關(guān)于網(wǎng)絡(luò)安全技術(shù)與安全協(xié)議,還介紹了它的主要特點、發(fā)展情況等,并論述網(wǎng)絡(luò)安全技術(shù)的綜合應(yīng)用。通過對我國計算機網(wǎng)絡(luò)安全技術(shù)的剖析,并與實踐中的網(wǎng)絡(luò)應(yīng)用,來預(yù)測我國計算機安全發(fā)展的情況。
1.3黑客的攻擊手段在持續(xù)的更新
差不多在每一天不同的系統(tǒng)都會有安全問題的發(fā)生,但是所用的安全工具的更新速度太慢,在很多的時候只有用戶自己參加才能發(fā)現(xiàn)以往不知道的安全漏洞,而且用戶自己發(fā)現(xiàn)未知問題經(jīng)常會很慢,且處理也很差。其次就是黑客的攻擊手段在持續(xù)的更新,安全工具發(fā)現(xiàn)了問題,并且用盡全力的修復(fù)問題,黑客的新攻擊手段又開始進行攻擊,新的安全問題再次出現(xiàn),形成黑客與安全工具之間的相互的追逐。
2計算機網(wǎng)絡(luò)安全防范的具體措施
2.1防范網(wǎng)絡(luò)病毒
在Internet的環(huán)境下,由于病毒傳播擴散的快,單單是用單機的安全工具來防毒已經(jīng)不夠用來完全的查殺網(wǎng)絡(luò)病毒,因此就必須要有在各個方面防止病毒的產(chǎn)品適用于局域網(wǎng)。一般較為常見的局域網(wǎng)有:學(xué)校、醫(yī)院、企業(yè)、政府單位等,這些內(nèi)部局域網(wǎng)要想保證安全,就需安裝一個防病毒軟件在服務(wù)器的操作系統(tǒng)平臺上,還需要一款專門對內(nèi)部局域網(wǎng)用戶的防毒軟件在各自桌面操作系統(tǒng)。在與網(wǎng)絡(luò)連接時,要有網(wǎng)關(guān)防毒軟件,以此來保障計算機上網(wǎng)時的安全。在內(nèi)部局域網(wǎng)的用戶要用電子郵件交流信息時,就需要一系列的防毒軟件關(guān)于郵件服務(wù)平臺,用該軟件可以找出隱藏的病毒在郵件及其附件當中。因此為了保證計算機的網(wǎng)絡(luò)安全,就需要給計算機安裝一款全方位多角度的殺毒軟件,設(shè)置對應(yīng)的防毒軟件根據(jù)計算機網(wǎng)絡(luò)所有可能出現(xiàn)的病毒攻擊點,并且不斷更新防毒軟件,加強防病毒的安全配置,即使升級計算機補丁,從這些方面來避免計算機遭受攻擊。
2.2配置防火墻
在進行網(wǎng)絡(luò)通訊時,可以應(yīng)用防火墻來把握訪問的尺度,數(shù)據(jù)進入自己的網(wǎng)絡(luò)時必須是防火墻允許訪問的人,那些沒有經(jīng)過防火墻允許的訪問者和數(shù)據(jù)將不能進入,這樣就可以在很大的范圍內(nèi)來防止黑客來攻擊自己的網(wǎng)絡(luò),同時也可以阻止黑客來任意改寫、移動或者刪除計算機中重要的信息。在網(wǎng)絡(luò)安全機制中,防火墻是一種使用范圍廣、保護計算機效果較好的機制,它可以阻止網(wǎng)絡(luò)上病毒延伸到局域網(wǎng)中的其他用戶。防護墻的服務(wù)器以及客戶端的各種設(shè)置需要根據(jù)不同的網(wǎng)絡(luò)屬性以及用戶的需求,只有這樣才能更好的發(fā)揮防火墻在網(wǎng)絡(luò)安全中的作用。
2.3采用入侵檢測系統(tǒng)技術(shù)
為了保證系統(tǒng)的安全開發(fā)了一種技術(shù),此技術(shù)能夠快速的發(fā)現(xiàn)和通知給系統(tǒng)一些沒有經(jīng)過用戶授權(quán)和異常的現(xiàn)象,能夠檢測出違背計算機網(wǎng)絡(luò)安全行為。它的工作原理是入侵檢測系統(tǒng)中利用審計記錄,從而找出沒有被系統(tǒng)授權(quán)的活動,從而建立起計算機網(wǎng)絡(luò)自主的防御黑客攻擊的完備體系。
2.4漏洞掃描系統(tǒng)
明白計算機網(wǎng)絡(luò)中的安全問題以及容易被黑客攻擊的漏洞,是解決計算機網(wǎng)絡(luò)安全的主要手段。網(wǎng)路安全掃描工具可以幫助用戶找出安全漏洞、對計算機的所遭受的風(fēng)險進行預(yù)評、優(yōu)化系統(tǒng)的配置,來解決系統(tǒng)的漏洞和消解可能出現(xiàn)危險。
3總結(jié)
計算機網(wǎng)絡(luò)安全是一個相對的概念,它是安全策略與實際操作的配合,是系統(tǒng)的工程。要想使計算機網(wǎng)絡(luò)安全,不是只依賴于殺毒軟件、防火墻、入侵檢測系統(tǒng)等一些計算機自主的措施,還需要培養(yǎng)人的計算機安全意識。我們需要不斷的研發(fā)計算機網(wǎng)絡(luò)安全的軟件,為計算機建立一個良好的安全系統(tǒng)。只有這樣才能使我們處于安全的計算機環(huán)境中,使計算更加為我們所用。
作者:童旭亮 單位:上?;ヂ?lián)網(wǎng)應(yīng)急中心
參考文獻
[1]劉亦凡.學(xué)校網(wǎng)絡(luò)安全技術(shù)應(yīng)用與研究[J].信息系統(tǒng)工程,2017(1).
【關(guān)鍵詞】局域網(wǎng);安全;危害;應(yīng)對;模型
中圖分類號:TP393.1 文獻標識碼:A 文章編號:
一、前言
隨著網(wǎng)絡(luò)的普遍應(yīng)用,特別是局域網(wǎng)的使用。各種對于局域網(wǎng)安全產(chǎn)生破壞的隱患成不出窮,一旦構(gòu)成的破壞也是十分巨大的。因此,局域網(wǎng)的網(wǎng)絡(luò)安全及應(yīng)對策略問題成為當前網(wǎng)絡(luò)安全的關(guān)鍵性問題。
二、當今局域網(wǎng)的安全現(xiàn)狀
由于IPV4地址的有限,使得很多地方都通過建立局域網(wǎng)來上網(wǎng),如許多大中型企業(yè)和學(xué)校,這樣就有局域網(wǎng)內(nèi)很多臺電腦的一個網(wǎng)絡(luò)通過一個端口連接都在互聯(lián)網(wǎng)上,這也就使得對局域網(wǎng)內(nèi)的網(wǎng)絡(luò)安全變得尤其重要。在許多年前,局域網(wǎng)還是十分安全的,大多數(shù)的公司也常常習(xí)慣于直接在局域網(wǎng)共享各種常用軟件和資料,但是現(xiàn)在很多病毒開發(fā)者打起了局域網(wǎng)的主意。例如由于網(wǎng)游產(chǎn)生了APR病毒。這是一種欺騙性質(zhì)的病毒,雖然它的目的并不是破壞局域網(wǎng),但為了達到它盜號盜寶的目的,會嚴重影響其它局域網(wǎng)用戶的正常上網(wǎng)活動。有一種針對服務(wù)器的SYN攻擊也會令局域網(wǎng)電腦全體“ 掉 線 ” SYN攻擊屬于DOS攻擊的一種,它利用TCP協(xié)議三次握手的等待確認缺陷,通過發(fā)送大量的半連接請求,耗費CPU的內(nèi)存資源。SYN攻擊除了能影響主機外,還可以危害路由器,防火墻等網(wǎng)絡(luò)系統(tǒng),事實上SYN攻擊并不管目標是什么系統(tǒng),只要這些系統(tǒng)打開TCP服務(wù)就可以實施。
三、局域網(wǎng)網(wǎng)絡(luò)安全建設(shè)
1、創(chuàng)建獨立安全局域網(wǎng)服務(wù)器
當前,我國較多局域網(wǎng)體系沒有單獨創(chuàng)建針對服務(wù)器的安全措施,雖然簡單的設(shè)置可令各類數(shù)據(jù)信息位于網(wǎng)絡(luò)系統(tǒng)中高效快速的傳播,然而同樣為病毒提供了便利的傳播感染渠道。局域網(wǎng)之中雖然各臺計算機均裝設(shè)了預(yù)防外界攻擊影響的安全工具,制定了防范措施,然而該類措施恰恰成為網(wǎng)絡(luò)安全的一類薄弱環(huán)節(jié)。在應(yīng)對局域網(wǎng)絡(luò)內(nèi)部影響攻擊時,效果不佳,尤其在其服務(wù)器受到病毒侵襲影響,會令全網(wǎng)系統(tǒng)不良崩潰。為此,對其服務(wù)器獨立裝設(shè)有效防護措施尤為重要。我們應(yīng)在服務(wù)器內(nèi)部安裝單獨的監(jiān)控網(wǎng)內(nèi)系統(tǒng)、各類病毒庫的實時升級系統(tǒng),令其在全過程的實時安全監(jiān)督、優(yōu)化互補管控之下安全快速的運行。當發(fā)覺網(wǎng)內(nèi)計算機系統(tǒng)受到病毒侵襲時,應(yīng)快速將聯(lián)系中斷,并面向處理中心報告病毒種類,實施全面系統(tǒng)的殺毒處理。而當服務(wù)器系統(tǒng)被不良攻擊影響時,則可利用雙機熱備體系、陣列系統(tǒng)安全防護數(shù)據(jù)信息,提升整體系統(tǒng)安全水平。
2、樹立安全防范意識,提升應(yīng)用者防毒水平
局域網(wǎng)產(chǎn)生的眾多安全問題之中,較多由于內(nèi)網(wǎng)操作應(yīng)用人員沒有樹立安全防范意識,令操作失誤頻繁發(fā)生。例如操作控制人員沒有有效進行安全配置令系統(tǒng)存在漏洞、或是由于安全防范意識不強,令外網(wǎng)攻擊借機人侵。在選擇口令階段中由于操作不慎,或?qū)⒆陨砉芾響?yīng)用賬號隨意的借他人應(yīng)用,均會給網(wǎng)絡(luò)安全造成不良威脅影響。另外,網(wǎng)絡(luò)釣魚也成為影響計算機局域網(wǎng)絡(luò)安全的顯著隱患問題。不法分子慣用該類方式盜取網(wǎng)絡(luò)系統(tǒng)賬號、竊用密碼,進而獲取滿足其利益需求的各類重要資訊、信息,還直接盜取他人經(jīng)濟財產(chǎn)。一些網(wǎng)絡(luò)罪犯基于局域網(wǎng)絡(luò)系統(tǒng)資源信息全面共享的客觀特征而采取各類方式手段實施數(shù)據(jù)信息的不良截獲,或借助垃圾郵件群發(fā)、發(fā)送不明數(shù)據(jù)包、危險鏈接等誘導(dǎo)迷惑方式,令收信方進行點擊,對于計算機局域網(wǎng)絡(luò)系統(tǒng)的優(yōu)質(zhì)安全管理運行形成了較大的隱患威脅。
3、實施制度化的文件信息備份管理,預(yù)防不可逆損失
一般來講,各類網(wǎng)絡(luò)攻擊或者是病毒侵襲,均需要首先找到網(wǎng)絡(luò)系統(tǒng)中的落腳點方能實現(xiàn)攻擊竊取目標。而計算機系統(tǒng)漏洞、局域網(wǎng)絡(luò)后門則為攻擊者提供了落腳點,成為不安全攻擊的主體目標。當然該類漏洞無法絕對全面的徹底消除。因而,為有效提升各單位計算機局域網(wǎng)絡(luò)系統(tǒng)的綜合安全防護性能,應(yīng)對系統(tǒng)以及各類數(shù)據(jù)、信息與文件進行定期全面?zhèn)浞?,并確保制度化的實時升級管理,令該項制度成為應(yīng)用局域網(wǎng)的現(xiàn)實規(guī)范。只有快速、及時、全面的實施整體數(shù)據(jù)信息及系統(tǒng)備份,方能在系統(tǒng)受到不良侵襲、導(dǎo)致信息不慎丟失時能夠快速恢復(fù),杜絕不可逆影響的發(fā)生并產(chǎn)生永久損失。另外,對于資料信息的整體備份內(nèi)容同日常應(yīng)用儲存數(shù)據(jù)不應(yīng)放于同一計算機或服務(wù)器之中,不然該類備份便會毫無意義。如果備份程序還支持加密,我們則可借助數(shù)據(jù)加密處置,多為磁盤增設(shè)一道密碼保護屏障?;谟嬎銠C病毒發(fā)展快速、更新頻繁、攻擊方式變幻莫測的狀況,工作人員還應(yīng)為整體系統(tǒng)做好維護管理、打補丁升級及全面更新的應(yīng)用控制,提升整體系統(tǒng)防護病毒影響水平??赏ㄟ^防火墻系統(tǒng)安裝、監(jiān)督控制手段應(yīng)用、安裝強力查殺病毒工具軟件、定期備份殺毒、整理磁盤,注冊表清理及冗余刪除,規(guī)范文件應(yīng)用及垃圾文件刪除等方式,實現(xiàn)系統(tǒng)的安全最優(yōu)化目標。
四、局域網(wǎng)絡(luò)安全的主要威脅
目前威脅局域網(wǎng)內(nèi)網(wǎng)絡(luò)安全的有以下幾方面:
1、計算機病毒。編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼被稱為計算機病毒。具有破壞性,復(fù)制性和傳染性。隨著計算機和網(wǎng)絡(luò)技術(shù)的推廣與發(fā)展,計算機病毒也在不斷地演變和壯大,其危害性也越來越大,對很多計算機局域網(wǎng)的安全構(gòu)成了很大的威脅。
2、黑客入侵。黑客入侵技術(shù),是對計算機系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞的發(fā)現(xiàn),以及針對這些缺陷實施攻擊的技術(shù)。這里的缺陷,包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和人為的失誤。黑客非法侵入計算機網(wǎng)絡(luò),獲取局域網(wǎng)內(nèi)的秘密信息或有選擇性地破壞局域網(wǎng)內(nèi)信息的有效性和完整性,這是當前計算機局域網(wǎng)所面臨的最大威脅之一。
3、截取信號。這種威脅主要體現(xiàn)在無線局域網(wǎng)中,隨著網(wǎng)絡(luò)的發(fā)展,無線局域網(wǎng)已被看作網(wǎng)絡(luò)發(fā)展的必然方向。雖然無線局域網(wǎng)有很多顯著的優(yōu)勢,但也存在著安全隱患,不法者可以通過特殊手段截取信號來獲取通信中的保密信息。
五、局域網(wǎng)絡(luò)安全事故應(yīng)對策略模型
網(wǎng)絡(luò)安全事故應(yīng)對策略模型的構(gòu)建目標是利用多種安全防護措施以及系統(tǒng)數(shù)據(jù)的備份與恢復(fù)手段,構(gòu)建一個基于全方位、多層次的事故協(xié)同處理系統(tǒng),該系統(tǒng)包括對網(wǎng)絡(luò)攻擊者攻擊事故的檢測、審計與分析,攻擊記錄與防御、網(wǎng)絡(luò)偽裝與欺騙、災(zāi)難備份與恢復(fù)等功能,為業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)搭建一個動態(tài)的、自治的安全環(huán)境。
網(wǎng)絡(luò)安全事故應(yīng)對策略模型的組成主要包括三個部分的內(nèi)容,一是攻擊信息記錄系統(tǒng),主要利用攻擊信息記錄技術(shù)和網(wǎng)絡(luò)安全監(jiān)察技術(shù),對可疑的網(wǎng)絡(luò)數(shù)據(jù)流以及網(wǎng)絡(luò)鏈接進行檢測,獲取并保存網(wǎng)絡(luò)攻擊者的相關(guān)信息,這些信息可以為攻擊防御系統(tǒng)以及數(shù)據(jù)備份恢復(fù)系統(tǒng)提供可靠的依據(jù),也可以在事后對網(wǎng)絡(luò)攻擊行為的分析與對策研究中起到重要作用;二是協(xié)同式攻擊防御技術(shù),主要是以攻擊信息記錄系統(tǒng)中獲取的攻擊者攻擊的相關(guān)信息為基礎(chǔ),將蜜罐技術(shù)和系統(tǒng)漏洞掃描技術(shù)融入到防御系統(tǒng)中,建立起立體的攻擊防御體系,從而實現(xiàn)對網(wǎng)絡(luò)攻擊行為的防護和抵御;三是網(wǎng)絡(luò)數(shù)據(jù)備份恢復(fù)系統(tǒng),它的目標是實現(xiàn)一個低成本、高性能,與網(wǎng)絡(luò)中其他安全設(shè)備與系統(tǒng)協(xié)同工作的多數(shù)據(jù)備份恢復(fù)系統(tǒng)。
網(wǎng)絡(luò)安全事故應(yīng)對策略模型的工作方式為,先由攻擊信息記錄系統(tǒng),利用部署在主機與網(wǎng)絡(luò)設(shè)備中的監(jiān)控組件,對網(wǎng)絡(luò)進行全方位的監(jiān)視,對網(wǎng)絡(luò)中的數(shù)據(jù)包進行截取和分析,然后將審計與分析的結(jié)果傳輸?shù)娇刂婆c分析中心,在那里對信息進行綜合和二次判斷,當確認有攻擊行為發(fā)生時,將信息輸送到協(xié)同式防御系統(tǒng);
六、結(jié)束語
清晰了解局域網(wǎng)的網(wǎng)絡(luò)安全隱患產(chǎn)生的原因,明確針對各種網(wǎng)絡(luò)安全隱患的應(yīng)對措施。其中局域網(wǎng)絡(luò)安全事故應(yīng)對策略模型的建立,將有助于局域網(wǎng)絡(luò)安全的維護。但是,隨著網(wǎng)絡(luò)的日趨復(fù)雜化,單一模型是不能解決問題,因此面對實際問題,還需對解決方案進行發(fā)展創(chuàng)新。
參考文獻
[1胡錚.網(wǎng)絡(luò)與信息安全[M].清華大學(xué)出版社,2006.
[2]李輝.計算機網(wǎng)絡(luò)安全與對策[J].濰坊學(xué)院學(xué)報,2007.
【關(guān)鍵詞】操作系統(tǒng) 電子商務(wù) 密碼安全 病毒 防火墻
一、網(wǎng)絡(luò)安全技術(shù)體現(xiàn)的具體方面
(一)什么是網(wǎng)絡(luò)安全
可能有人會對什么是網(wǎng)絡(luò)安全不以為然,認為所謂的網(wǎng)絡(luò)安全,就是在使用網(wǎng)絡(luò)中保證安全。這樣等于沒有解釋什么是網(wǎng)絡(luò)安全,而且只有弄清楚怎樣的環(huán)境才算是安全的網(wǎng)絡(luò),才能有的放矢,使用網(wǎng)絡(luò)技術(shù)去防范網(wǎng)絡(luò)犯罪,從而真正實現(xiàn)的網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全包含多個層面含義,是要讓用戶在網(wǎng)絡(luò)環(huán)境中能夠正常的傳輸數(shù)據(jù)信息,保證傳輸過程正常運行,不被認為或者自然的因素所影響。網(wǎng)絡(luò)安全既要保證網(wǎng)絡(luò)中軟件的安全更要保證網(wǎng)絡(luò)中硬件設(shè)備正常工作不被損壞。這是理論上的網(wǎng)絡(luò)安全環(huán)境,不可能完全避免認為和自然環(huán)境因素的影響,但是只要我們正確的認識網(wǎng)絡(luò)安全的重要,合理使用網(wǎng)絡(luò)安全技術(shù),就能使得你的生活和工作的網(wǎng)絡(luò)環(huán)境避免收到侵害。
(二)網(wǎng)絡(luò)安全常見的體現(xiàn):
網(wǎng)絡(luò)安全技術(shù)的應(yīng)用越來越趨于完善,各個方面人們都已經(jīng)使用或者正在嘗試使用網(wǎng)絡(luò)安全技術(shù),最大程度的降低網(wǎng)絡(luò)犯罪所帶來的威脅。這里主要介紹幾個常見的網(wǎng)絡(luò)安全技術(shù)。首先,對于信息的傳送,我們使用了加密技術(shù),這屬于計算機中密碼學(xué)的范疇。包括聊天信息的加密解密,個人帳戶隱私的加密,密碼的多重加密等等,不一而足。主要應(yīng)用的領(lǐng)域主要在電子商務(wù)的財務(wù)往來和信息溝通軟件的保密方面(如騰訊QQ)。其次,主要是體現(xiàn)在殺毒軟件和防火墻兩方面。這兩種網(wǎng)絡(luò)安全技術(shù)針對性比較強,主要是針對來自網(wǎng)絡(luò)的病毒攻擊和一些非法的侵入行為。其實從原理角度講,殺毒軟件和防火墻并不相同,差異很大。殺毒軟件主要是針對進入到網(wǎng)絡(luò)的終端(計算機)中的病毒,進行查找與殺滅。讓病毒不能夠正常的復(fù)制、觸發(fā),不能實現(xiàn)危害計算機危害網(wǎng)絡(luò)的目的。而防火墻則如同守衛(wèi)大門的衛(wèi)士,利用柵欄阻攔不受信賴的訪客,讓危險信息無法傳送到內(nèi)網(wǎng)。但兩者也有相同的目的,就是共同組織危險者的破壞行為。再進一步說,網(wǎng)站是人們關(guān)注信息的平臺和媒介。哪么建立網(wǎng)站的服務(wù)器的安全性保障要跟高。這就要從操作系統(tǒng)抓起,合理選用自身性能更加安全的操作系統(tǒng),進行操作系統(tǒng)安全設(shè)置,從根本上保證安全性進一步提高。
二、網(wǎng)絡(luò)安全技術(shù)的具體應(yīng)用
(一)密碼學(xué):
在電子商務(wù)和信息傳送中常常使用,利用的是密碼學(xué)的知識。但要實現(xiàn)具體應(yīng)用就要以技術(shù)形式體現(xiàn)。現(xiàn)在常用的加密技術(shù)有MD5技術(shù)、數(shù)字簽名技術(shù)、RSA、DESA算法相關(guān)技術(shù)等。這些是以使用較多為介紹,不是以具體標準進行分類的。比如在實現(xiàn)不可逆的軟件加密或者計算機應(yīng)用工具機密,MD5技術(shù)就有較多的使用。在電子商務(wù)中數(shù)字簽名技術(shù)更方便的保障了買方和賣方的共同利益,防止資金支付抵賴。
(二)防火墻應(yīng)用:
防火墻已經(jīng)介紹了,如同門衛(wèi)一般,保障用戶和用戶間內(nèi)網(wǎng)的安全。但從原理來說,其實防火墻歷經(jīng)了幾個不同的階段,從早期利用數(shù)據(jù)包格式進行安全判定,到進一步電路級網(wǎng)關(guān)安全判定,再到應(yīng)用層使用的安全判定。網(wǎng)絡(luò)安全性能一路攀升。但是不可否認的是,安全性能的攀升也付出了大量計算大量判定與時間的代價。從這些原理出發(fā),廠商也制作了不同原理的防火墻。成熟產(chǎn)品也日益增多,如果在公共場合使用的網(wǎng)絡(luò)終端,都最好配置一款防火墻產(chǎn)品?,F(xiàn)在比較流行的有天網(wǎng)防火墻、安氏領(lǐng)信,聯(lián)想網(wǎng)御,天融信等。當然還有很多國外防火墻產(chǎn)品性能也很優(yōu)越。這里不再贅述。
(三)操作系統(tǒng)安全應(yīng)用
WINDOWS已經(jīng)是人們使用最多的操作系統(tǒng),但是有的操作系統(tǒng)只適合個人用戶,對于服務(wù)器級的安全是不夠的。當然也不乏幾款操作系統(tǒng)是針對安全性設(shè)計的。因為微軟的操作系統(tǒng)人們研究已經(jīng)較多,這里討論下LIUNX平臺下安卓系統(tǒng)的安全。Android系統(tǒng)作一個安全開源的移動平臺,在系統(tǒng)內(nèi)核層次與應(yīng)用開發(fā)方面都提供了強大的安全措施。在系統(tǒng)內(nèi)核層次,應(yīng)用沙盒可以實現(xiàn)應(yīng)用之間的隔離,防止一個應(yīng)用的數(shù)據(jù)和代碼被其它沒有授權(quán)的應(yīng)用存?。浑S著系統(tǒng)版本的升級,內(nèi)存管理功能隨之豐富;加密的文件系統(tǒng)可以保護丟失設(shè)備上的數(shù)據(jù)不被泄漏。在應(yīng)用開發(fā)方面同,采用加密、授權(quán)和安全IPC等措施構(gòu)建的應(yīng)用程序框架具有強大的安全特性;授權(quán)模式可以限制應(yīng)用對系統(tǒng)功能和用戶數(shù)據(jù)的存取;應(yīng)用指定的權(quán)限級別可以控制其它應(yīng)用對自己的訪問;數(shù)字簽名保證了程序開發(fā)者與應(yīng)用之間的信任關(guān)系。Android在安全性設(shè)計方面還考慮了盡量減少應(yīng)用開發(fā)人員的負擔(dān)問題。針對安全性要求高的開發(fā)者通過平臺提供的靈活的安全控制機制可以輕松開發(fā)應(yīng)用程序。針對安全性要求不高的開發(fā)者,系統(tǒng)默認的安全措施也能夠?qū)?yīng)用程序提供較好的保護。對于可能存在的惡意攻擊,系統(tǒng)提供了防范機制,一方面降低攻擊成功的概率,另一方面盡量限制攻擊后系統(tǒng)所受損失。
參考文獻:
[1]高學(xué)軍,凌捷.網(wǎng)絡(luò)安全現(xiàn)狀與趨勢探討[J].汕頭大學(xué)學(xué)報(自然科學(xué)版).2004(04).
[2]禹春東,薛質(zhì).淺析入侵檢測系統(tǒng)[J].中國科技信息.2005(24).
[3]葉宇光.淺談網(wǎng)絡(luò)安全[J].電腦知識與技術(shù).2004(32).
[4]劉明,韓江.網(wǎng)絡(luò)安全現(xiàn)狀及其防范技術(shù)探討[J].科技信息.2006(S2).
【關(guān)鍵詞】通信網(wǎng)絡(luò);因素;技術(shù);建設(shè);措施
1.通信網(wǎng)絡(luò)安全的內(nèi)涵
通信網(wǎng)絡(luò)安全是指信息安全和控制安全。其中國際標準化組織把信息安全定義為信息完整性、可用性、保密性和可靠性。而控制安全是指身份認證、不可否認性、授權(quán)和訪問控制。通信網(wǎng)絡(luò)的特點是具有開放性、交互性和分散性,能夠為用戶提供資源共享、開放、靈活和方便快速的信息傳遞、交流的方式。
2.通信網(wǎng)絡(luò)安全的現(xiàn)狀
2.1通信網(wǎng)絡(luò)發(fā)展現(xiàn)狀
中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第27次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》數(shù)據(jù)顯示,截至2010年12月底,我國網(wǎng)民規(guī)模達到4.57億,較2009年底增加7330萬人。我國手機網(wǎng)民規(guī)模達3.03億,而網(wǎng)絡(luò)購物用戶年增長48.6%。Research艾瑞市場咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計數(shù)據(jù)顯示,互聯(lián)網(wǎng)遭受病毒攻擊中“瀏覽器配置被修改”占20.9%?!皵?shù)據(jù)受損或丟失”18%,“系統(tǒng)使用受限”16.1%,“密碼被盜”13.1%。通過以上數(shù)據(jù)顯示,可以看出我國的通信網(wǎng)絡(luò)在飛速發(fā)展,而通信網(wǎng)絡(luò)安全問題日益加劇,通信網(wǎng)絡(luò)安全建設(shè)仍是亟待解決的重點問題。
2.2造成通信網(wǎng)絡(luò)安全問題的因素
第一,計算機病毒。計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義,病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。計算機病毒具有復(fù)制性、破壞性和傳染性。
第二,黑客攻擊。中國互聯(lián)網(wǎng)絡(luò)信息中心和國家互聯(lián)網(wǎng)應(yīng)急中心的調(diào)查報告數(shù)據(jù)顯示,僅在2009年我國就有52%的網(wǎng)民曾遭遇過網(wǎng)絡(luò)安全事件,而網(wǎng)民處理安全事件所支付的相關(guān)費用就達153億元人民幣。網(wǎng)絡(luò)攻擊事件給用戶帶來了嚴重的經(jīng)濟損失,其中包括網(wǎng)絡(luò)游戲、即時通信等賬號被盜造成的虛擬財產(chǎn)損失,網(wǎng)銀密碼、賬號被盜造成的財產(chǎn)損失等。產(chǎn)生網(wǎng)絡(luò)安全事件的主因是黑客惡意攻擊。通信網(wǎng)絡(luò)是基于TCP/IP協(xié)議,而TCP/IP協(xié)議在設(shè)計初期是出于信息資源共享的目的,沒有進行安全防護的方面的考慮,因此導(dǎo)致了通信網(wǎng)絡(luò)自身存在安全隱患,也給黑客提供了可乘之機。
第三,通信網(wǎng)絡(luò)基礎(chǔ)建設(shè)存在薄弱環(huán)節(jié)。例如通信網(wǎng)絡(luò)相關(guān)的軟硬件設(shè)施存在安全隱患。通信網(wǎng)絡(luò)運營商為了管理方便,會在一些軟硬件系統(tǒng)中留下遠程終端的登錄控制通道,還有一些通信軟件程序在投入市場使用中,缺少安全等級鑒別和防護程序,因此形成了通信網(wǎng)絡(luò)漏洞,容易被不法分子利用而發(fā)起入侵網(wǎng)絡(luò)系統(tǒng)的攻擊,使通信信息遭到竊取、篡改、泄露。另外通訊信息傳輸信道也存在安全隱患,例如許多通信運營商采取的是普通通信線路,沒有安置電磁屏蔽,容易被不法分子利用特殊裝置對信息進行竊取。
第四,人為因素造成的通信網(wǎng)絡(luò)安全問題。通信網(wǎng)絡(luò)的安全高效運行需要高素質(zhì)、高專業(yè)技術(shù)水平的人員,而目前的網(wǎng)絡(luò)管理人員的安全觀念和技術(shù)水平還有待提升。
3.解決措施
隨著我國通信網(wǎng)絡(luò)功能的不斷完善,在人們?nèi)粘I睢⑸a(chǎn)和社會經(jīng)濟發(fā)展中起到了越來越重要的作用。因此,通信網(wǎng)絡(luò)安全建設(shè)需要采用有效的措施,消除通信網(wǎng)絡(luò)的安全隱患,加強對非法入侵的監(jiān)測、防偽、審查、追蹤,保障通信網(wǎng)絡(luò)信息傳遞的安全性、可靠性、及時性和完整性,加強和完善通信線路的建立、信息傳輸全過程的安全防護措施。
3.1完善通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)
通信網(wǎng)絡(luò)的物理安全是通信網(wǎng)絡(luò)安全的基礎(chǔ),通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全主要包括:保護計算機系統(tǒng)(各種網(wǎng)絡(luò)服務(wù)器)、網(wǎng)絡(luò)設(shè)備和通信鏈路免受自然災(zāi)害、人為破壞和物理手段的攻擊,加強對系統(tǒng)帳戶的管理、用戶的分級管理、用戶權(quán)限的控制,以及系統(tǒng)關(guān)鍵部位的電磁保護防止電磁泄漏,同時要制定通信網(wǎng)絡(luò)安全管理制度,避免計算機控制室出現(xiàn)偷竊、破壞活動。
3.2完善通信網(wǎng)絡(luò)安全的法制體系建設(shè)
鑒于通信網(wǎng)絡(luò)存在安全事件造成巨大經(jīng)濟財產(chǎn)損失,需要制定通信網(wǎng)絡(luò)安全的法律、法規(guī),這也是打擊網(wǎng)絡(luò)犯罪的重要手段。我國在2009年3月實行了《信息安全條例(部內(nèi)審議稿)》與《電信設(shè)施保護條例(草稿)》,明確了網(wǎng)絡(luò)與信息系統(tǒng)安全、網(wǎng)絡(luò)信息服務(wù)安全、信息技術(shù)產(chǎn)品和服務(wù)等內(nèi)容,而且規(guī)范了保障電信設(shè)施建設(shè)與規(guī)劃、處理公用設(shè)施之間的相鄰關(guān)系、電信設(shè)施保護區(qū)的劃定、電信設(shè)施損壞賠償制度等方面的內(nèi)容。進一步完善了通信網(wǎng)絡(luò)安全的法制體系,也為通信網(wǎng)絡(luò)安全運行提供了法律依據(jù)。
3.3運用網(wǎng)絡(luò)安全技術(shù),保障通信網(wǎng)絡(luò)安全
3.3.1保障通信網(wǎng)絡(luò)安全的技術(shù)手段
針對通信網(wǎng)絡(luò)安全問題,采取的技術(shù)手段主要包括以下幾種。“身份鑒別”、“網(wǎng)絡(luò)授權(quán)”、“數(shù)據(jù)保護”、“收發(fā)確認”、“保證數(shù)據(jù)的完整性”、“業(yè)務(wù)流分析保護”。其中“身份鑒別”是基于身份認證技術(shù),通過身份認證技術(shù)可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。這幾種安全防范措施,是系統(tǒng)開始運行到數(shù)據(jù)傳輸,以及通訊業(yè)務(wù)完成全過程的安全防護,能夠有效的保障數(shù)據(jù)傳輸?shù)陌踩?、機密性、完整性。
3.3.2保障通信網(wǎng)絡(luò)安全的技術(shù)類型
建構(gòu)防御系統(tǒng)還需要利用防火墻技術(shù)、入侵檢測技術(shù)、漏洞掃描技術(shù)等。
(1)防火墻技術(shù)
防火墻技術(shù)是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障,能夠最大限度的阻止網(wǎng)絡(luò)中的黑客入侵。
(2)入侵檢測技術(shù)
入侵檢測技術(shù)是對防火墻技術(shù)的補充。防火墻技術(shù)雖然能夠保護內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊,但它對內(nèi)部網(wǎng)絡(luò)的一些非法活動的監(jiān)控不夠完善。依據(jù)入侵檢測技術(shù)而應(yīng)用的IDS即入侵檢測系統(tǒng),積極主動地對內(nèi)部攻擊、外部攻擊和誤操作的提供實時保護,IDS能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前,攔截和響應(yīng)入侵,提高了信息安全性,同時也能夠主動保護網(wǎng)絡(luò)系統(tǒng)免于計算機病毒、木馬以及黑客的攻擊。
(3)漏洞掃描技術(shù)
由于通信系統(tǒng)自身存在漏洞,需要采用漏洞掃描技術(shù)來優(yōu)化系統(tǒng)設(shè)置,針對不同系統(tǒng)軟件存在的安全漏洞下載安裝補丁程序,能夠及時升級網(wǎng)絡(luò)系統(tǒng)和修改軟件設(shè)計缺陷,以此提高通信網(wǎng)絡(luò)系統(tǒng)可靠性、安全性,保障通信網(wǎng)絡(luò)系統(tǒng)的運行。
4.總結(jié)
隨著通信網(wǎng)絡(luò)在全球范圍內(nèi)的飛速發(fā)展,人類生活、工作的全部領(lǐng)域都與通信網(wǎng)絡(luò)息息相關(guān),通信網(wǎng)絡(luò)提供高效、方便、強大服務(wù)功能的同時,其產(chǎn)生通信網(wǎng)絡(luò)安全問題也給社會經(jīng)濟發(fā)展帶來了一定的負面影響。因此國家與相關(guān)部門要完善法律體系,依據(jù)安全技術(shù)手段,提高安全防范意識,全方位的增強網(wǎng)絡(luò)數(shù)據(jù)的安全、信息的安全、網(wǎng)絡(luò)系統(tǒng)的安全,促進通信網(wǎng)絡(luò)的發(fā)展。
【參考文獻】
隨著計算機網(wǎng)絡(luò)的發(fā)展,病毒、黑客、木馬等的惡意攻擊使網(wǎng)絡(luò)安全問題日益突出,如何提高網(wǎng)絡(luò)安全的防御能力越來越受到人們的關(guān)注。本文分析了當前計算機網(wǎng)絡(luò)安全所面臨的威脅及影響因素,并針對存在的問題提出了加強網(wǎng)絡(luò)安全防御能力的對策。網(wǎng)絡(luò)技術(shù)的發(fā)展給人們提供了信息交流的平臺,實現(xiàn)了信息資源的傳播和共享。但隨著計算機網(wǎng)絡(luò)應(yīng)用的廣泛深入,運行環(huán)境也復(fù)雜多變,網(wǎng)絡(luò)安全問題變得越來越突出,所造成的負面影響和嚴重性不容忽視。病毒、黑客、木馬等的惡意攻擊,使計算機軟件和硬件受到破壞,使計算機網(wǎng)絡(luò)系統(tǒng)的安全性與可靠性受到非常大的影響,因此需要大力發(fā)展網(wǎng)絡(luò)安全技術(shù),保證網(wǎng)絡(luò)傳輸?shù)恼_\行。
1影響計算機網(wǎng)絡(luò)安全的因素
1.1系統(tǒng)缺陷
雖然目前計算機的操作系統(tǒng)已經(jīng)非常成熟,但是不可避免的還存在著安全漏洞,這給計算機網(wǎng)絡(luò)安全帶來了問題,給一些黑客利用這些系統(tǒng)漏洞入侵計算機系統(tǒng)帶來了可乘之機。漏洞是存在于計算機系統(tǒng)中的弱點,這個弱點可能是由于軟件或硬件本身存在的缺陷,也可能是由于系統(tǒng)配置不當?shù)仍蛞鸬膯栴}。因為操作系統(tǒng)不可避免的存在這樣或那樣的漏洞,就會被黑客加以利用,繞過系統(tǒng)的安全防護而獲得一定程度的訪問權(quán)限,從而達到侵入他人計算機的目的。
1.2計算機病毒
病毒是破壞電腦信息和數(shù)據(jù)的最大威脅,通常指能夠攻擊用戶計算機的一種人為設(shè)計的代碼或程序,可以讓用戶的計算機速度變慢,數(shù)據(jù)被篡改,死機甚至崩潰,也可以讓一些重要的數(shù)據(jù)信息泄露,讓用戶受到巨大損失。典型的病毒如特洛伊木馬病毒,它是有預(yù)謀的隱藏在程序中程序代碼,通過非常手段偽裝成合法代碼,當用戶在無意識情況下運行了這個惡意程序,就會引發(fā)計算機中毒。計算機病毒是一種常見的破壞手段,破壞力很強,可以在很短的時間降低計算機的運行速度,甚至崩潰。普通用戶正常使用過程中很難發(fā)現(xiàn)計算機病毒,即使發(fā)現(xiàn)也很難徹底將其清除。所以在使用計算機過程中,尤其包含一些重要信息的數(shù)據(jù)庫系統(tǒng),一定加強計算機的安全管理,讓計算機運行環(huán)境更加健康。
1.3管理上的欠缺
嚴格管理是企業(yè)、機構(gòu)及用戶網(wǎng)絡(luò)系統(tǒng)免受攻擊的重要措施。很多用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理,如使用脆弱的用戶口令、不加甄別地從不安全的網(wǎng)絡(luò)站點上下載未經(jīng)核實的軟件、系統(tǒng)升級不及時造成的網(wǎng)絡(luò)安全漏洞、在防火墻內(nèi)部架設(shè)撥號服務(wù)器卻沒有對賬號認證等嚴格限制等。為一些不法分子制造了可乘之機。事實證明,內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅,使用者缺乏安全意識,人為因素造成的安全漏洞無疑是整個網(wǎng)絡(luò)安全性的最大隱患。
2計算機網(wǎng)絡(luò)安全防范措施
2.1建立網(wǎng)絡(luò)安全管理隊伍
技術(shù)人員是保證計算機網(wǎng)絡(luò)安全的重要力量,通過網(wǎng)絡(luò)管理技術(shù)人員與用戶的共同努力,盡可能地消除不安全因素。在大力加強安全技術(shù)建設(shè),加強網(wǎng)絡(luò)安全管理力度,對于故意造成災(zāi)害的人員必須依據(jù)制度嚴肅處理,這樣才能使計算機網(wǎng)絡(luò)的安全得到保障,可靠性得有效提高,從而使廣大用戶的利益得到保障。
2.2健全網(wǎng)絡(luò)安全機制
針對我國網(wǎng)絡(luò)安全存在的問題,我國先后頒布了《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》、《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等相關(guān)法律法規(guī),表明政府已經(jīng)重視并規(guī)范網(wǎng)絡(luò)安全問題。但是就目前來看管理力度還需要進一步加大,需要重點抓這些法律法規(guī)的貫徹落實情況,要根據(jù)我國國情制定出政治、經(jīng)濟、軍事、文化等各行業(yè)的網(wǎng)絡(luò)安全防范體系,并加大投入,加大重要數(shù)據(jù)信息的安全保護。同時,要加大網(wǎng)絡(luò)安全教育的培訓(xùn)和普及,增加人們網(wǎng)絡(luò)安全教育,拓展網(wǎng)絡(luò)安全方面的知識,增強網(wǎng)絡(luò)安全的防范意識,自覺與不良現(xiàn)象作斗爭。這樣,才能讓網(wǎng)絡(luò)安全落到實處,保證網(wǎng)絡(luò)的正常運行。
2.3加強網(wǎng)絡(luò)病毒防范,及時修補漏洞
網(wǎng)絡(luò)開放性的特點給人們帶來方便的同時,也是計算機病毒傳播和擴散的途徑。隨著計算機技術(shù)的不斷進步,計算機病毒也變得越來越高級,破壞力也更強,這給計算機信息系統(tǒng)的安全造成了極大威脅。因此,計算機必須要安裝防毒殺毒的軟件,實時對病毒進行清理和檢測,尤其是軍隊、政府機關(guān)及研究所等重點部門更應(yīng)該做好病毒的防治工作,保證計算機內(nèi)數(shù)據(jù)信息的安全可靠。當計算機系統(tǒng)中存在安全隱患及漏洞時,很容易受到病毒和黑客的入侵,因此要對漏洞進行及時的修補。首先要了解網(wǎng)絡(luò)中安全隱患以及漏洞存在的位置,這僅僅依靠管理員的經(jīng)驗尋找是無法完成的,最佳的解決方案是應(yīng)用防護軟件以掃描的方式及時發(fā)現(xiàn)網(wǎng)絡(luò)漏洞,對網(wǎng)絡(luò)安全問題做出風(fēng)險評估,并對其進行修補和優(yōu)化,解決系統(tǒng)BUG,達到保護計算機安全的目的。
3計算機信息安全防范措施
3.1數(shù)據(jù)加密技術(shù)
信息加密是指對計算機網(wǎng)絡(luò)上的一些重要數(shù)據(jù)進行加密,再使用編譯方法進行還原的計算機技術(shù),可以將機密文件、密碼口令等重要數(shù)據(jù)內(nèi)容進行加密,使非法用戶無法讀取信息內(nèi)容,從而保證這些信息在使用或者傳輸過程中的安全,數(shù)據(jù)加密技術(shù)的原理根據(jù)加密技術(shù)應(yīng)用的邏輯位置,可以將其分成鏈路加密、端點加密以及節(jié)點加密三個層次。鏈路加密是對網(wǎng)絡(luò)層以下的文件進行加密,保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息;端點加密是對網(wǎng)絡(luò)層以上的文件進行加密,保護源端用戶到目的端用戶的數(shù)據(jù);節(jié)點加密是對協(xié)議傳輸層以上的文件進行加密,保護源節(jié)點到目的節(jié)點之間的傳輸鏈路。根據(jù)加密技術(shù)的作用區(qū)別,可以將其分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、密鑰管理技術(shù)以及數(shù)據(jù)完整性鑒別等技術(shù)。根據(jù)加密和解密時所需密鑰的情況,可以將其分為兩種:即對稱加密(私鑰加密)和非對稱加密(公鑰加密)。對稱加密是指加密和解密所需要的密鑰相同,如美國的數(shù)據(jù)加密標志(DES);非對稱加密是指加密與解密密鑰不相同,該種技術(shù)所需要的解密密鑰由用戶自己持有,但加密密鑰是可以公開的,如RSA加密技術(shù)。加密技術(shù)對數(shù)據(jù)信息安全性的保護,不是對系統(tǒng)和硬件本身的保護,而是對密鑰的保護,這是信息安全管理過程中非常重要的一個問題。
3.2防火墻技術(shù)
在計算機網(wǎng)絡(luò)安全技術(shù)中,設(shè)置防火墻是當前應(yīng)用最為廣泛的技術(shù)之一。防火墻技術(shù)是隔離控制技術(shù)的一種,是指在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間,以定義好的安全策略為基準,由計算機軟件和硬件設(shè)備組合而成的保護屏障。(1)包過濾技術(shù)。信息數(shù)據(jù)在網(wǎng)絡(luò)中傳輸過程中,以事先規(guī)定的過濾邏輯為基準對每個數(shù)據(jù)包的目標地址、源地址以及端口進行檢測,對其進行過濾,有選擇的通過。(2)應(yīng)用網(wǎng)關(guān)技術(shù)。通過通信數(shù)據(jù)安全檢查軟件將被保護網(wǎng)絡(luò)和其他網(wǎng)絡(luò)連接在一起,并應(yīng)用該軟件對要保護網(wǎng)絡(luò)進行隱蔽,保護其數(shù)據(jù)免受威脅。(3)狀態(tài)檢測技術(shù)。在不影響網(wǎng)絡(luò)正常運行的前提下,網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的引擎對網(wǎng)絡(luò)安全狀態(tài)進行檢測,對有關(guān)信息數(shù)據(jù)進行抽取,實現(xiàn)對網(wǎng)絡(luò)通信各層的實施檢測,一旦發(fā)現(xiàn)某個連接的參數(shù)有意外變化,則立即將其終止,從而使其具有良好的安全特性。防火墻技術(shù)作為網(wǎng)絡(luò)安全的一道屏障,不僅可以限制外部用戶對內(nèi)部網(wǎng)絡(luò)的訪問,同時也可以反過來進行權(quán)限。它可以對一些不安全信息進行實時有效的隔離,防止其對計算機重要數(shù)據(jù)和信息的破壞,避免秘密信息泄露。
3.3身份認證
采取身份認證的方式控制用戶對計算機信息資源的訪問權(quán)限,這是維護系統(tǒng)運行安全、保護系統(tǒng)資源的一項重要技術(shù)。按照用戶的權(quán)限,對不同的用戶進行訪問控制,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問,是防止不法分子非法入侵的關(guān)鍵手段。主要技術(shù)手段有加密控制、網(wǎng)絡(luò)權(quán)限控制、鍵盤入口控制、邏輯安全控制等。
4結(jié)束語
計算機網(wǎng)絡(luò)安全是一項復(fù)雜的系統(tǒng)工程,隨著網(wǎng)絡(luò)安全問題日益復(fù)雜化,計算機網(wǎng)絡(luò)安全需要建立多層次的、多渠道的防護體系,既需要采取必要的安全技術(shù)來抵御病毒及黑客的入侵,同時還要采用規(guī)章制度來約束人們的行為,做到管理和技術(shù)并重。我們只有正視網(wǎng)絡(luò)的脆弱性和潛在威脅,大力宣傳網(wǎng)絡(luò)安全的重要性,不斷健全網(wǎng)絡(luò)安全的相關(guān)法規(guī),提高網(wǎng)絡(luò)安全防范的技術(shù)水平,這樣才能真正解決網(wǎng)絡(luò)安全問題。
作者:馮 濤 王旭東 單位:蘭州理工大學(xué)計算機與通信學(xué)院
引用:
[1]杜躍進.全新時代:網(wǎng)絡(luò)安全威脅進入新階段[J].信息安全與通信保密,2011.
[2]魏為民,袁仲雄.網(wǎng)絡(luò)攻擊與防御技術(shù)的研究與實踐[J].信息網(wǎng)絡(luò)安全,2012.
[3]張旭珍,薛鵬驀,葉瑜等.網(wǎng)絡(luò)信息安全與防范技術(shù)[J].華北科技學(xué)院學(xué)報,2011.
【關(guān)鍵詞 】 安全域 場景劃分 營業(yè)廳 安全
The solution of business network based on scenes-division security domains
Liang Yang China Mobile Group Design Institute Co.,Ltd. Hebei Branch.
Abstract Based on the current status of urban business network of China Mobile Group Hebei Co.,Ltd, this article analyzes the drawbacks and underlying security problems in urban business network, and then proposes a solution of business network based on scenes-division security domains, which effectively enhances the network security.
Key words security domains; scenes division; service hall; security
一、地市營業(yè)網(wǎng)絡(luò)現(xiàn)狀及分析
1.1 地市營業(yè)網(wǎng)絡(luò)現(xiàn)狀
經(jīng)過多年的業(yè)務(wù)發(fā)展和市場拓展,目前中國移動通信集團河北有限公司全省實體渠道營業(yè)網(wǎng)點總數(shù)達16000多個,其中自建實體渠道營業(yè)網(wǎng)點達1600多個,合作廳和商實體營業(yè)網(wǎng)點達14000多個,營業(yè)終端數(shù)達23000多個。
各地市的自建廳全部通過SDH自有傳輸經(jīng)過MDCN上連至省業(yè)務(wù)支撐中心,但是合作廳和商實體營業(yè)廳接入省業(yè)務(wù)支撐中心的方式復(fù)雜多樣,經(jīng)過調(diào)研,結(jié)果如下:
承德、張家口、秦皇島、廊坊、保定、滄州、邯鄲七個地市分公司的合作廳/商廳均通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務(wù)支撐中心;石家莊分公司大部分合作廳/商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務(wù)支撐中心,少部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務(wù)支撐中心;唐山分公司部分合作廳/商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務(wù)支撐中心,部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務(wù)支撐中心,還有一部分是通過租用其他通信公司企業(yè)專網(wǎng)VPN方式接入本地市的營業(yè)匯聚交換機再上連至省業(yè)務(wù)支撐中心;衡水分公司部分合作廳/商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務(wù)支撐中心,部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務(wù)支撐中心;邢臺分公司少部分合作廳/商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務(wù)支撐中心,大部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務(wù)支撐中心。
圖1 地市合作/廳營業(yè)網(wǎng)絡(luò)現(xiàn)狀結(jié)構(gòu)圖
各地市合作廳/商廳營業(yè)網(wǎng)絡(luò)現(xiàn)狀情況如上圖所示:
另外,中國移動通信集團河北有限公司近期啟動了營業(yè)廳瘦終端改造工程,目標是在未來5年內(nèi),逐步實現(xiàn)全省營業(yè)廳的瘦終端化,瘦終端服務(wù)器群在省業(yè)務(wù)支撐中心集中部署,因此在當前瘦終端尚未完全覆蓋全省的情況下,除了上述全省十一個地市分公司的營業(yè)網(wǎng)絡(luò)現(xiàn)狀外,又將增加一個瘦終端的接入方式,全省的營業(yè)網(wǎng)絡(luò)接入方式變得更加復(fù)雜。
1.2 地市營業(yè)網(wǎng)絡(luò)現(xiàn)狀分析
從上述現(xiàn)狀描述中可以看出,針對不同性質(zhì)的營業(yè)廳,沒有進行有效的安全域劃分:
首先,從網(wǎng)絡(luò)層面,通過公網(wǎng)SSL VPN和通過租用其他通信公司企業(yè)專網(wǎng)VPN這兩種方式接入省業(yè)務(wù)支撐中心的合作廳/商廳在地市匯聚接入時未采用雙層異構(gòu)防火墻安全措施,且所有類型的營業(yè)廳均直接接入地市營業(yè)匯聚交換機,未對不同性質(zhì)的營業(yè)廳進行安全域隔離,在瘦終端尚未全面覆蓋的過渡期,合作廳/廳等所使用的終端、業(yè)務(wù)訪問行為等不能完全受河北移動公司管理,安全方面存在隱患,例如存在商操作員在非商接入域登錄的現(xiàn)象,一旦出現(xiàn)安全問題,影響面積較大。
其次,為滿足中國移動通信集團河北有限公司綠色瘦終端改造工程安全性建設(shè)的需要,要求綠色瘦終端營業(yè)廳同其他性質(zhì)的營業(yè)廳進行安全隔離。
二、基于安全域場景劃分的營業(yè)網(wǎng)絡(luò)解決方案
2.1 方案說明
結(jié)合中國移動通信集團河北有限公司地市分公司的營業(yè)網(wǎng)絡(luò)現(xiàn)狀和未來幾年的瘦終端廳部署規(guī)劃,針對11個地市分公司的營業(yè)網(wǎng)絡(luò)進行基于安全域的場景劃分如下:
將市公司的營業(yè)網(wǎng)絡(luò)接入域劃分為兩個安全域,即內(nèi)部接口子域和合作/子域;并劃分出四個場景分別部署不同性質(zhì)的營業(yè)廳,場景一為普通終端自建廳,場景二為瘦終端廳,場景三為具備傳輸條件的普通終端合作廳/商廳,場景四為不具備傳輸條件的普通終端合作廳/商廳。
自建營業(yè)廳,由于營業(yè)人員所使用的終端、業(yè)務(wù)訪問行為等能夠接受中國移動通信集團河北有限公司的管理,屬于內(nèi)部系統(tǒng),瘦終端廳(無論是自建廳還是合作/廳)所采用的瘦終端將簡化只有鍵盤、鼠標、顯示器和外接打印機、智能卡等設(shè)備,在集中部署的服務(wù)器端采用遠程桌面技術(shù),遠程桌面服務(wù)作為瘦終端的,執(zhí)行營業(yè)系統(tǒng)的客戶端應(yīng)用,訪問業(yè)務(wù)系統(tǒng),省公司還可以根據(jù)管理需求針對營業(yè)廳的性質(zhì)進行瘦終端的配置,比如自辦廳可以額外配置磁盤,而合作/廳不配置磁盤等等,這種性質(zhì)的營業(yè)廳能夠規(guī)避營業(yè)員操作帶來的安全漏洞,能夠確保營業(yè)網(wǎng)絡(luò)的安全性,因此場景一和場景二部署在市公司內(nèi)部接口子域。
場景三中普通終端的合作廳/商廳因所使用的終端、業(yè)務(wù)訪問行為等則不能完全受中國移動通信集團河北有限公司的管理,屬于外部系統(tǒng),因此場景三部署在市公司的合作/子域。
場景四中普通終端的合作廳/商廳因所使用的終端、業(yè)務(wù)訪問行為等則不能完全受中國移動通信集團河北有限公司的管理,屬于外部系統(tǒng),由于場景四是通過公網(wǎng)Internet方式接入至省業(yè)務(wù)支撐系統(tǒng),安全風(fēng)險較廳、合作廳更大,針對此類場景的營業(yè)廳需要特殊處理,將其部署在省業(yè)務(wù)支撐系統(tǒng)互聯(lián)網(wǎng)接口子域。
以上基于地市分公司安全域和省業(yè)務(wù)支撐系統(tǒng)安全域的四種場景劃分如圖2所示。
2.2 方案實施
市公司內(nèi)部接口子域和市公司合作/子域中涉及的三個營業(yè)場景需要物理上隔離,需要部署統(tǒng)一匯聚接入交換機和路由器,場景三還要在交換機南向接口部署隔離防火墻,且與省業(yè)務(wù)支撐系統(tǒng)防火墻形成雙層異構(gòu),如表1所示方案實施前后采取的安全措施。
目前中國移動通信集團河北有限公司各地市分公司現(xiàn)有地市營業(yè)匯聚交換機為Cisco3750三層交換機,背板帶寬32Gbps,內(nèi)存256M,端口為10/100M自適應(yīng)以太端口,在現(xiàn)狀情況下剛剛能滿足需求;通過在石家莊瘦終端體驗廳進行測試,每臺瘦終端的帶寬需求為56KB至300KB,而目前每臺普通營業(yè)終端帶寬約為300KB,因此瘦終端的引入對目前的帶寬無影響;另外綜合考慮業(yè)務(wù)遠期發(fā)展和一些業(yè)務(wù)可能帶來的復(fù)雜度提升以及節(jié)能降耗、最大化利用投資等因素的影響,地市公司的營業(yè)匯聚交換機采用較高性能的中端三層交換機,在交換機上通過劃分VLAN來區(qū)分隔離場景一、場景二和場景三,達到物理隔離提升安全性目的,場景三在交換機南向接口部署隔離防火墻,要求此防火墻和省業(yè)務(wù)支撐系統(tǒng)防火墻形成雙層異構(gòu)以保證安全性,另外,四個場景劃分后還需要重新劃分IP地址。
因為MDCN和省業(yè)務(wù)支撐系統(tǒng)互聯(lián)網(wǎng)接口子域負責(zé)四類場景的接入,為保證業(yè)務(wù)的順暢訪問,要求MDCN在各地市的接入節(jié)點以及省業(yè)務(wù)支撐系統(tǒng)互聯(lián)網(wǎng)接口子域接入交換機的各項性能指標不低于營業(yè)匯聚交換機的性能指標。
省業(yè)務(wù)支撐系統(tǒng)需要配合進行應(yīng)用改造,地市公司至省公司的安全策略需要進行調(diào)整,各地市公司間互訪隔離策略需要部署,以達到路由精簡,降低網(wǎng)絡(luò)節(jié)點負荷。
【關(guān)鍵詞】搜索軟件 漏洞 網(wǎng)絡(luò)安全
搜索軟件有滲透到Internet每一個角落的趨勢,甚至是一些配置不當?shù)臄?shù)據(jù)庫、網(wǎng)站里的私人信息,例如Google的桌面搜索工具Desktop Search存在一個信息泄漏的漏洞,入侵者能通過腳本程序欺騙Desktop Search提供用戶信息,最常見的就是泄漏磁盤數(shù)據(jù)。利用這個漏洞提供的信息,入侵者可以偽造相關(guān)信件并建立欺騙性的電子商務(wù)網(wǎng)站,讓用戶誤以為是大公司發(fā)給自己的信函而受欺騙。同時因為Robot一般都運行在速度快、帶寬高的主機上,如果它快速訪問一個速度比較慢的目標站點,就有可能會導(dǎo)致該站點出現(xiàn)阻塞甚至停機,更為嚴重的是搜索軟件對網(wǎng)絡(luò)資源的搜索已逐漸成為病毒和黑客窺視的焦點,對網(wǎng)站、局域網(wǎng)安全構(gòu)成嚴重的威脅。
1 搜索軟件主要的安全漏洞
1.1搜索軟件被作為匿名
像A1taVista、HotBot等搜索軟件能無意識地響應(yīng)使用者的命令,把一些合乎搜索條件的網(wǎng)頁傳遞給使用者,一般黑客就是利用這一點,利用嵌套技術(shù),層層使用網(wǎng)絡(luò),通過搜索軟件搜索有缺陷的網(wǎng)站并入侵。
1.2搜索軟件被作為病毒查找攻擊對象的工具
例如,Santy蠕蟲病毒的爆發(fā)最初發(fā)生在一周前,這一蠕蟲病毒能夠刪除BBS論壇上的內(nèi)容,在上面“涂鴉”它自己的內(nèi)容。據(jù)安全公司表示,該病毒攻擊的對象是運行phpBB軟件的論壇網(wǎng)站,而且就是利用Google查找攻擊目標。在Google公司采取措施對Santy蠕蟲病毒對存在有漏洞的BBS論壇網(wǎng)站的查找進行查殺之后,Santy蠕蟲病毒的變種正在利用Google、AOL和雅虎等搜索軟件進行大肆傳播。
1.3Google批量黑客搜索攻擊技術(shù)
很多有特定漏洞的網(wǎng)站都有類似的標志頁面,而這些頁面如果被Google索引到,我們就可以通過搜索指定的單詞來找到某些有指定漏洞的網(wǎng)站。
1.4搜索軟件被利用查找有缺陷的系統(tǒng)
一般黑客入侵的標準程序是首先尋找易受攻擊的目標,接著再收集一些目標的信息,最后發(fā)起攻擊。一般來說,新開通網(wǎng)絡(luò)服務(wù)的主機容易成為攻擊目標,因為這些主機最有可能沒有很好的防范措施,如安全補丁、安裝及時更新的防火墻等。
1.5搜索軟件能用來搜索秘密文件
搜索軟件中的FTP搜索軟件,與HTTP搜索軟件相比,存在著更大的網(wǎng)絡(luò)漏洞。諸如LycosFTP的搜索軟件,它產(chǎn)生的成千上萬的網(wǎng)絡(luò)鏈接能夠探測到一些配置不當?shù)腇TP服務(wù)器上的敏感信息。任何網(wǎng)絡(luò)使用者,稍懂網(wǎng)絡(luò)知識,使用這種搜索軟件,都可以鏈接到一些保密的數(shù)據(jù)和信息,更不用說一些資深的黑客了。
1.6黑客利用桌面搜索攻擊個人計算機
近來金山公司發(fā)現(xiàn)一種名為“Google DeskTop”的工具能夠讓使用者很輕易地找到機器當中的私人信息。同時,這個搜索工具還可以搜出系統(tǒng)隱藏的文件,如果利用這個搜索工具就能輕易地修改掉系統(tǒng)文件,而在隱藏文件暴露的情況下,非常容易受到攻擊,而且病毒會利用操作系統(tǒng)漏洞進行攻擊。所以用戶在QQ、MSN聊天時,或者利用電子郵件收發(fā)時,個人信息會存在緩存當中,利用這一搜索會輕易搜索到網(wǎng)頁的記錄。
2 局域網(wǎng)的信息安全
影響局域網(wǎng)信息安全的因素主要有:非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)的完整性、干擾系統(tǒng)正常運行、病毒與惡意攻擊、線路竊聽等等。
2.1常規(guī)策略:訪問控制
訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段,是保證網(wǎng)絡(luò)安全最重要的核心策略之一。
(1)入網(wǎng)訪問控制。它是第一層訪問控制,控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。
(2)網(wǎng)絡(luò)的權(quán)限控制。這是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施??刂朴脩艉陀脩艚M可以訪問哪些目錄、子目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。
(3)目錄級安全控制??刂朴脩魧δ夸洝⑽募?、設(shè)備的訪問,或可進一步指定對目錄下的子目錄和文件的權(quán)限。
(4)屬性安全控制。應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。
(5)網(wǎng)絡(luò)服務(wù)器安全控制。包括可以設(shè)置口令鎖定服務(wù)器控制臺,以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。
(6)網(wǎng)絡(luò)監(jiān)測和鎖定控制。服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問,對非法的網(wǎng)絡(luò)訪問,服務(wù)器應(yīng)有一定的報警方式。同時應(yīng)能自動記錄企圖嘗試進入網(wǎng)絡(luò)的對象和次數(shù),并設(shè)置閾值以自動鎖定和驅(qū)逐非法訪問的賬戶。
(7)網(wǎng)絡(luò)端口和節(jié)點的安全控制。網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護,并以加密的形式來識別節(jié)點的身份。自動回呼設(shè)備用于防止假冒合法用戶,靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。
2.2.非常規(guī)卻有時更有效的安全策略和技術(shù)
(1)屏蔽Cookie程序
Cookie是Web服務(wù)器發(fā)送到電腦里的數(shù)據(jù)文件,它記錄了諸如用戶名、口令和關(guān)于用戶興趣取向的信息,因此有可能被入侵者利用,造成安全隱患,因此,我們可以在瀏覽器中做一些必要的設(shè)置,要求瀏覽器在接受Cookie之前提醒您,或者干脆拒絕它們。通常來說,Cookie會在瀏覽器被關(guān)閉時自動從計算機中刪除,可是,有許多Cookie會一反常態(tài),始終存儲在硬盤中收集用戶的相關(guān)信息。
(2)屏蔽ActieX控件
由于ActieX控件可以被嵌入到HTML頁面中,并下載到瀏覽器端加以執(zhí)行,因此會給瀏覽器端造成一定程度的安全威脅。
(3)定期清除緩存、歷史記錄,以及臨時文件夾中的內(nèi)容
瀏覽器的緩存、歷史記錄,以及臨時文件夾中的內(nèi)容保留了我們太多的上網(wǎng)的記錄,這些記錄一旦被那些無聊的人得到,他們就有可能從這些記錄中尋找到有關(guān)個人信息的蛛絲馬跡。
(4)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的密碼要定期修改
由于許多入侵者利用窮舉法來破解密碼,像john這一類的密碼破解程序可從因特網(wǎng)上免費下載,只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行,就可以獲得需要的賬號及密碼,因此,經(jīng)常修改密碼對付這種盜用就顯得十分奏效。
(5)不要使用“My Documents”文件夾存放Word、Excel文件
Word、Excel默認的文件存放路徑是根目錄下的“My Documents”文件夾,在特洛伊木馬把用戶硬盤變成共享硬盤后,入侵者從這個目錄中的文件名一眼就能看出這個用戶是干什么的,這個目錄幾乎就是用戶的特征標識,所以為安全起見應(yīng)把工作路徑改成別的目錄,并且層次越深越好,比如:c:\\abc\\def\\ghi\\jkl。
參考文獻:
[1]惠特曼離任.互聯(lián)網(wǎng)偶像為何速老[J].計算機與網(wǎng)絡(luò),2008.
[2]姜奇平.2009年互聯(lián)網(wǎng)十大趨勢[J].互聯(lián)網(wǎng)周刊,2009.
【關(guān)鍵詞】網(wǎng)絡(luò)安全;信息安全; 安全隔離;MPLS-VPN
1 引言
隨著技術(shù)的不發(fā)展網(wǎng)絡(luò)安全面臨越來越多的挑戰(zhàn);從U盤到病毒、漏洞;從蠕蟲到非法入侵等等電力信息網(wǎng)絡(luò)面臨各種各樣的威脅。本文主要闡述電力信息網(wǎng)絡(luò)安全的技術(shù)手段在實際工作中的應(yīng)用。
2 電力企業(yè)信息安全技術(shù)手段
2.1 安全U盤
廣泛使用安全U盤對文件加密、信息摘要和訪問控制等安全措施,來實現(xiàn)文件存儲和傳輸?shù)谋C芎屯暾砸?,并實現(xiàn)對文件訪問的控制。通過安全U盤對數(shù)據(jù)加密、信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護,實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。即使安全U盤丟失都不會造成公司信息的泄露。
2.2 網(wǎng)絡(luò)隱患掃描
通過我局統(tǒng)一網(wǎng)管平臺對網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP/IP協(xié)議的設(shè)備,掃描的對象包括掃描多種操作系統(tǒng),掃描網(wǎng)絡(luò)設(shè)備包括:服務(wù)器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網(wǎng)絡(luò)中不同的位置對網(wǎng)絡(luò)設(shè)備進行掃描。掃描結(jié)束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結(jié)果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。此項工作也可在防火墻的管理界面里監(jiān)控;也可采用第三方的網(wǎng)管軟件管理。
2.3 入侵檢測
入侵檢測系統(tǒng)是專門針對黑客攻擊行為而研制的網(wǎng)絡(luò)安全產(chǎn)品。國際上先進的分布式入侵檢測構(gòu)架,可最大限度地、全天候地實施監(jiān)控,提供企業(yè)級的安全檢測手段。在事后分析的時候,可以清楚地界定責(zé)任人和責(zé)任事件,為網(wǎng)絡(luò)管理人員提供強有力的保障。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術(shù),具有高可靠性、高識別率、規(guī)則更新迅速等特點。系統(tǒng)具有強大的功能、方便友好的管理機制,可廣泛應(yīng)用于電力行業(yè)各單位。此設(shè)備與防火墻聯(lián)動有效防止黑客等網(wǎng)絡(luò)攻擊。
2.4 網(wǎng)絡(luò)防病毒放漏洞
此類設(shè)備以我局應(yīng)用趨勢防毒軟件為例,趨勢軟件可以采用C/S模式,在網(wǎng)絡(luò)防毒服務(wù)器中安裝殺毒軟件服務(wù)器端程序,以服務(wù)器作為網(wǎng)絡(luò)的核心,通過派發(fā)的形式對整個網(wǎng)絡(luò)部署查、殺毒,服務(wù)器通過Internet利用LiveUpdate(在線升級)功能,從免疫中心實時獲取最新的病毒碼信息和操作系統(tǒng)漏洞補丁信息,及時更新病毒代碼庫和系統(tǒng)漏洞補丁信息。為保護整個電力信息網(wǎng)絡(luò)免受病毒侵害,保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性,應(yīng)構(gòu)建從主機到服務(wù)器的完善的防病毒體系。服務(wù)器和網(wǎng)絡(luò)工作站都安裝客戶端軟件,利用從服務(wù)器端獲取的病毒碼信息對本地工作站進行病毒掃描,并對發(fā)現(xiàn)的病毒采取相應(yīng)措施進行清除。同時拒絕不安裝客戶端軟件、有系統(tǒng)漏洞的用戶接入信息網(wǎng)。客戶端根據(jù)需要可用三種方式進行病毒掃描:實時掃描、預(yù)置掃描和人工掃描。由于病毒掃描可能帶來服務(wù)器性能上的降低,因此可采用預(yù)置掃描方式,將掃描時間設(shè)定在服務(wù)器訪問率最低的夜間。網(wǎng)絡(luò)工作站可根據(jù)各自需要,選擇合適的方式進行病毒掃描??蛻舳瞬捎玫卿浘W(wǎng)絡(luò)自動安裝方式,確保每一臺上網(wǎng)的計算機都安裝并啟動病毒防火墻。同時要注意,選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺,各種數(shù)據(jù)庫平臺,各種應(yīng)用軟件。
2.5 物理隔離
主要用于電力信息網(wǎng)的內(nèi)外網(wǎng)之間的隔離。并嚴格遵守“上網(wǎng)不,不上網(wǎng)”原則。使用隔離機或隔離卡等設(shè)備隔離信息內(nèi)網(wǎng)計算機與信息外網(wǎng)計算機;物理隔離做到企業(yè)內(nèi)網(wǎng)計算機與上外網(wǎng)計算機分開使用。
2.6 防火墻安全網(wǎng)關(guān)
此類設(shè)備以防火墻為代表。防火墻是企業(yè)信息網(wǎng)絡(luò)的第一道屏障,這里的外網(wǎng)包括到不同層次的電力網(wǎng)、其他信息網(wǎng)如政府網(wǎng)和銀行網(wǎng)絡(luò)、internet,所有的訪問都將通過防火墻進行,不允許任何繞過防火墻的連接。DMZ?;饏^(qū)放置了企業(yè)對外提供各項服務(wù)的服務(wù)器,即能夠保證提供正常的服務(wù),又能夠有效地保護服務(wù)器不受攻擊。要正確設(shè)置防火墻的訪問策略,遵循“缺省全部關(guān)閉,按需求開通的原則”,拒絕除明確許可外的任何服務(wù),也即是拒絕一切未予準許的服務(wù)。與Internet連接的防火墻的訪問策略中,必須禁止Rlogin,NNTP,F(xiàn)inger,Gopher,RSH,NFS等危險服務(wù),也必須禁止Telnet,Terminal Server等遠程管理服務(wù)。
2.7 虛擬專用網(wǎng)絡(luò)
數(shù)據(jù)安全傳輸: 采用MPLS-VPN 技術(shù)對網(wǎng)絡(luò)信息進行加密、信息摘要和訪問控制等安全措施,來實現(xiàn)文件存儲和傳輸?shù)谋C芎屯暾砸?,并實現(xiàn)對文件訪問的控制。對通信安全,采用數(shù)據(jù)加密、信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護,實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術(shù),提高時的信息(如電子公文,MAIL等等)在傳輸過程中的保密性和安全性。
3 結(jié)束語
電力信息網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的安全問題,網(wǎng)絡(luò)上的任何一個漏洞,都會導(dǎo)致全網(wǎng)的安全問題。不斷積累完善針對網(wǎng)絡(luò)實際情況的各類安全技術(shù)全面提高網(wǎng)絡(luò)的安全管理水平。動態(tài)調(diào)整及時檢測環(huán)境或系統(tǒng)中的變化,分析這些變化可能帶來的風(fēng)險,并在必要時調(diào)整修改原有安全保護及管理措施或增加新的措施,以控制或防范風(fēng)險。
參考文獻:
[1](美)米特尼克(Mitnick, K. D.),(美) 西蒙(Simon, W. L.).著.《網(wǎng)管天下:網(wǎng)絡(luò)安全管理實踐》,清華大學(xué)出版社,2014.02.05.
[2][英]Dafydd Stuttard Marcus Pinto.著 .《黑客攻防技術(shù)寶典:Web實戰(zhàn)篇》.012.07.01.