前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)及計(jì)算機(jī)安全培訓(xùn)主題范文,僅供參考,歡迎閱讀并收藏。
[關(guān)鍵詞]計(jì)算機(jī) 信息安全技術(shù) 相關(guān)概念 防護(hù)內(nèi)容 防護(hù)措施
中圖分類號(hào):TP393.0 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2016)28-0194-01
1.計(jì)算機(jī)信息安全的相關(guān)概念
計(jì)算機(jī)網(wǎng)絡(luò)安全指的是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的安全環(huán)境維護(hù),卞要保護(hù)的是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬盤(pán)、軟件中的數(shù)據(jù)資源,在沒(méi)有因?yàn)橐馔饣驉阂獾惹闆r下未遭遇人為型破壞和更改相關(guān)重要的數(shù)據(jù)信息,從而保障計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)的正常運(yùn)作。
2.計(jì)算機(jī)信息安全技術(shù)防護(hù)的內(nèi)容
計(jì)算機(jī)信息安全防護(hù),強(qiáng)化計(jì)算機(jī)信息安全管理的防護(hù)工作和防護(hù)內(nèi)容較多。從現(xiàn)階段計(jì)拿機(jī)信息安全防護(hù)的實(shí)際情況來(lái)看,強(qiáng)化對(duì)計(jì)算機(jī)安全信息的管理可以從計(jì)算機(jī)安全技術(shù)入手,對(duì)計(jì)算機(jī)系統(tǒng)的安全信息存在的漏洞進(jìn)行及時(shí)的檢測(cè)、修補(bǔ)和分析結(jié)合檢測(cè)分析得到的結(jié)果制定有效的防護(hù)方案建立完善的安全系統(tǒng)體系。其中安全系統(tǒng)體系包括安全防火墻、計(jì)算機(jī)網(wǎng)絡(luò)的殺毒軟件、入侵監(jiān)測(cè)掃描系統(tǒng)等信息安全防護(hù)體系。從計(jì)算機(jī)信息安全管理方面來(lái)看,需要建立健全的信息安全制度,欄窀據(jù)信息安全管理制度的相關(guān)規(guī)定對(duì)計(jì)算機(jī)信息進(jìn)行防護(hù),加強(qiáng)管理人員的安全防護(hù)意識(shí)。此外,計(jì)算機(jī)信息安全防護(hù)還需要充分考慮計(jì)算機(jī)安全數(shù)據(jù)資源的合法使用、安全穩(wěn)定運(yùn)作數(shù)據(jù)資料存儲(chǔ)和傳輸?shù)耐暾?、可控性、機(jī)密性和可用性等。
3.計(jì)算機(jī)信息安全防護(hù)中存在的問(wèn)題
隨著計(jì)算機(jī)信息化技術(shù)的進(jìn)一步發(fā)展,信息安全已經(jīng)引起人們的高度關(guān)注?,F(xiàn)階段計(jì)算機(jī)安全信息防護(hù)還存在諸多問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全體系不夠完善,因此要保障計(jì)算機(jī)信息安全必須要配置一些安全信息設(shè)備,但是目前的安全技術(shù)水平偏低,安全信息質(zhì)量得不到保障。此外計(jì)算機(jī)系統(tǒng)內(nèi)部的應(yīng)急措施的構(gòu)建機(jī)制不夠健全,安全制度不完善,滿足不了信息安全的防護(hù)標(biāo)準(zhǔn)要求。近幾年來(lái),我國(guó)用人單位對(duì)計(jì)算機(jī)催息安全管理工作越來(lái)越重視,但是有些單位的計(jì)算機(jī)安全信息防護(hù)意識(shí)薄弱,負(fù)責(zé)信息安全防護(hù)的管理人員業(yè)務(wù)素質(zhì)偏低,計(jì)算機(jī)信息安全技術(shù)防護(hù)水平偏低。同時(shí),一些企業(yè)對(duì)管理人員的信息安全培訓(xùn)力度不足,對(duì)安全信息防護(hù)的設(shè)備費(fèi)用的投入力度不足。因此,現(xiàn)階段我國(guó)企業(yè)的計(jì)算機(jī)信息安全防護(hù)水平與社會(huì)服務(wù)的程度偏低。
4.計(jì)算機(jī)信息安全防護(hù)的措施
4.1 注計(jì)算機(jī)病毒的防護(hù)
計(jì)算機(jī)網(wǎng)絡(luò)之間的病毒傳播速度較快?,F(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)病毒必須要在互聯(lián)網(wǎng)環(huán)境下,對(duì)計(jì)算機(jī)的操作系統(tǒng)采取科學(xué)合理的防毒措施,有效防護(hù)計(jì)算機(jī)信息安全?,F(xiàn)階段,從計(jì)算機(jī)信息行業(yè)來(lái)看,針對(duì)不同的操作系統(tǒng),所采用的計(jì)算機(jī)防毒軟件的具體功能也會(huì)不一樣,但是能夠加強(qiáng)計(jì)算機(jī)用戶的信息安全防護(hù)利用安全掃描技術(shù)、訪問(wèn)控制技術(shù)、信息過(guò)濾技術(shù),制止惡性攻擊,加強(qiáng)計(jì)算機(jī)系統(tǒng)的安全性能,強(qiáng)化對(duì)計(jì)算機(jī)信息安全的防護(hù)。
4.2 信息安全技術(shù)
計(jì)算機(jī)信息安全技術(shù)主要包括實(shí)時(shí)的掃描技術(shù)、病毒情況研究報(bào)告技術(shù)、檢測(cè)技術(shù)、檢驗(yàn)保護(hù)技術(shù)、防火墻、計(jì)算機(jī)信息安全管理技術(shù)等。企業(yè)需要建立完善的信息安全管理和防護(hù)制度,提高系統(tǒng)管理工作人員人員技術(shù)水平和職業(yè)道德素質(zhì)。對(duì)重要的機(jī)密信息進(jìn)行嚴(yán)格的開(kāi)機(jī)查毒,及時(shí)地備份重要數(shù)據(jù),對(duì)網(wǎng)站訪問(wèn)進(jìn)行肖致地控制,實(shí)現(xiàn)信息安全的防范和保護(hù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份和咬復(fù)實(shí)現(xiàn)防護(hù)和管理數(shù)據(jù)的完整性。利用數(shù)據(jù)流加密技術(shù)、公鑰密碼體制、單鑰密碼體制等密碼技術(shù)劉信息進(jìn)行安全管理,保護(hù)信息的安全。切斷傳播途徑,對(duì)感染的計(jì)算機(jī)進(jìn)行徹底性查毒,不使用來(lái)路不明的程序、軟盤(pán)等,不隨意打開(kāi)可疑的郵件等。提高計(jì)算機(jī)網(wǎng)絡(luò)的抗病毒能力。在計(jì)算機(jī)上配置病毒防火墻,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)文件進(jìn)行及時(shí)地檢測(cè)和掃描。利用防病毒卡,對(duì)網(wǎng)絡(luò)文件訪問(wèn)權(quán)限進(jìn)行設(shè)置。
4.3 提高信息安全管理人員的技術(shù)防護(hù)水平
計(jì)算機(jī)信息安全不僅需要從技術(shù)上進(jìn)行信息安全防范措施,同時(shí)也要采取有效的管理措施,貫徹落實(shí)計(jì)算機(jī)信息安全防護(hù)反律法規(guī)制度,提高計(jì)算機(jī)信息的安全性。對(duì)計(jì)算機(jī)管理人員進(jìn)行培訓(xùn);建立完善的計(jì)算機(jī)信息安全管理機(jī)制,改進(jìn)計(jì)算機(jī)信息安全管理能力,加強(qiáng)計(jì)算機(jī)信息安全的立法和執(zhí)法力度,強(qiáng)化計(jì)算機(jī)信息管理的道德規(guī)范,提高管理人員對(duì)安全信息的防護(hù)意識(shí);明確計(jì)算機(jī)系統(tǒng)管理人員的工作職責(zé)。此外,企業(yè)需要增加對(duì)計(jì)算機(jī)安全信息防護(hù)設(shè)備的投入費(fèi)用,整體提高我國(guó)社會(huì)部門(mén)的計(jì)算機(jī)信息安全防護(hù)與社會(huì)服務(wù)水平。
5.結(jié)束語(yǔ)
綜合上述,計(jì)算機(jī)信息安全防護(hù)過(guò)程中存在著;信息安全管理體系不夠健全、信息安全制度不完善、負(fù)責(zé)信息安全防護(hù)的管理人員業(yè)務(wù)素質(zhì)偏低等問(wèn)題,這就要求企業(yè)從計(jì)算機(jī)病毒的防護(hù)、信息安全技術(shù)、信息安全管理人員的技術(shù)防護(hù)水平這三方面入手,全面提高計(jì)算機(jī)信息安全技術(shù)水平和管理人員對(duì)計(jì)算機(jī)信息的安全防護(hù)能力。
參考文獻(xiàn)
隨著電力信息化的不斷推進(jìn),信息安全問(wèn)題也日益突出,在信息安全建設(shè)方面,供電企業(yè)相繼投入了大量的安全防護(hù)措施。文章結(jié)合實(shí)際工作探討了供電企業(yè)如何建立起一個(gè)完整的、強(qiáng)有力的信息安全維護(hù)與保障體系。
1 電力信息網(wǎng)絡(luò)的安全分析
①計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識(shí)薄弱。供電系統(tǒng)各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)距離實(shí)際需要差距較大,對(duì)新出現(xiàn)的信息安全問(wèn)題認(rèn)識(shí)不足。②急需建立同供電行業(yè)特點(diǎn)相適應(yīng)的計(jì)算機(jī)信息安全體系。相對(duì)來(lái)說(shuō),在計(jì)算機(jī)安全策略、安全技術(shù)和安全措施投入較少。為保證供電系統(tǒng)安全、穩(wěn)定、高效運(yùn)行,應(yīng)建立一套結(jié)合電力計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。③聯(lián)網(wǎng)的外部威脅。供電系統(tǒng)較早的計(jì)算機(jī)系統(tǒng)一般都是內(nèi)部的局域網(wǎng),并沒(méi)有同外界連接。所以早期的計(jì)算機(jī)安全只是防止外部破壞或者對(duì)內(nèi)部人員的安全控制就可以了,但現(xiàn)在就必須要面對(duì)國(guó)際互聯(lián)網(wǎng)上各種安全攻擊,如網(wǎng)絡(luò)病毒、木馬和電腦黑客等。④數(shù)據(jù)庫(kù)數(shù)據(jù)和文件的明文存儲(chǔ)保護(hù)不完善。供電行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開(kāi)發(fā),用戶身份認(rèn)證基本上采用口令的鑒別模式,而這種模式很容易被攻破。沒(méi)有完善的數(shù)據(jù)備份措施。很多單位只是選擇一臺(tái)工作站備份一下數(shù)據(jù)就了事,沒(méi)有完善的數(shù)據(jù)備份設(shè)備、沒(méi)有數(shù)據(jù)備份策略、沒(méi)有備份的管理制度,沒(méi)有對(duì)數(shù)據(jù)備份的介質(zhì)進(jìn)行妥善保管。
2 供電企業(yè)的信息安全措施
供電系統(tǒng)的信息安全具有訪問(wèn)方式多樣,用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點(diǎn),信息安全問(wèn)題需從網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就仔細(xì)考慮,并在實(shí)際運(yùn)行中嚴(yán)格管理。為了保障信息安全,采取的策略主要包括以下幾個(gè)方面。
2.1加強(qiáng)電力信息網(wǎng)安全教育
①為了保證安全的成功和有效,管理部門(mén)應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員、用戶、技術(shù)人員進(jìn)行安全培訓(xùn),所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略。②主管信息安全工作的負(fù)責(zé)人或各級(jí)管理人員,重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部的建立和管理制度的制定等。負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點(diǎn)是充分理解信息安全管理策略,掌握安全評(píng)估的基本方法,對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等。
2.2重視設(shè)備管理
重視設(shè)備管理是在企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就應(yīng)充分考慮安全問(wèn)題。將一些重要的設(shè)備,如各種服務(wù)器、主干交換機(jī)、路由器等盡量實(shí)行集中管理;各種通信線路盡量實(shí)行深埋、穿線或架空,并有明顯標(biāo)記,防止意外損壞;對(duì)于終端設(shè)備,如工作站、小型交挾機(jī)、集線器和其它轉(zhuǎn)接設(shè)備要落實(shí)到人,進(jìn)行嚴(yán)格管理;加強(qiáng)信息設(shè)備的物理安全,注意服務(wù)器、計(jì)算機(jī)、交換機(jī)等設(shè)備的防火、防盜、防水、防潮、防塵、防靜電。
2.3重視技術(shù)管理
①防火墻技術(shù)。供電系統(tǒng)的生產(chǎn)、計(jì)量、營(yíng)銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對(duì)這些訪問(wèn)行為進(jìn)行過(guò)濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。②虛擬局域網(wǎng)技術(shù)[vLAN技術(shù))。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域,每一個(gè)VLAN都包含1組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個(gè)tAN內(nèi)的各工作站無(wú)須放置在同一物理空間里,即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風(fēng)暴、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。③數(shù)據(jù)與系統(tǒng)備份技術(shù)。供電企業(yè)的數(shù)據(jù)庫(kù)必須定期進(jìn)行備份,按其重要程度確定數(shù)據(jù)備份等級(jí)。配置數(shù)據(jù)備份策略,建立數(shù)據(jù)備份中心,采用先進(jìn)災(zāi)難恢復(fù)技術(shù),對(duì)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份,制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫(kù)故障恢復(fù)預(yù)案,并進(jìn)行定期預(yù)演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復(fù)數(shù)據(jù)與系統(tǒng),從而保證信息系統(tǒng)的可用性和可靠性。④建立信息安全身份認(rèn)證體系。電力市場(chǎng)交易系統(tǒng)就其實(shí)質(zhì)來(lái)說(shuō),是一個(gè)典型的電子商務(wù)系統(tǒng),它必須保證交易數(shù)據(jù)安全。在電力市場(chǎng)技術(shù)支持系統(tǒng)中,作為市場(chǎng)成員交易各方的身份確認(rèn)、物流控制、財(cái)務(wù)結(jié)算、實(shí)時(shí)數(shù)據(jù)交換系統(tǒng)中,均需要權(quán)威、安全的身份認(rèn)證系統(tǒng)。
一、問(wèn)題分析
應(yīng)該說(shuō),目前基層央行計(jì)算機(jī)信息安全工作形勢(shì)比較好,硬件設(shè)施配備基本滿足業(yè)務(wù)發(fā)展的需要,安全管理比較扎實(shí),防范措施也比較得力,但從長(zhǎng)遠(yuǎn)的計(jì)算機(jī)信息安全工作的角度來(lái)分析,仍然還存在諸多問(wèn)題。
1.重視安全工具投資而輕視管理投資
從基層央行的情況來(lái)看,信息安全系統(tǒng)主要由防火墻、入侵檢測(cè)、非法外聯(lián)和病毒防范等組成。這些手段只能是在對(duì)非法用戶和越權(quán)訪問(wèn)者進(jìn)行封堵,而對(duì)訪問(wèn)的源端(客戶端)防范不夠。操作系統(tǒng)的不完善導(dǎo)致各種漏洞層出不窮,不能從根本上解決外部攻擊,更無(wú)法防止內(nèi)部人員作案。這些問(wèn)題導(dǎo)致信息安全系統(tǒng)越做越復(fù)雜,誤報(bào)率增多,安全投入不斷增加,維護(hù)和管理更加困難。這就不得不使我們反思:在當(dāng)前信息安全的形式下,使用“老三樣”采用“防外攻、堵漏洞、防火墻”等手段,往往是防不勝防。
這些觀念的形成有諸多原因,但最根本的原因在于對(duì)計(jì)算機(jī)安全知識(shí)了解不多,對(duì)安全管理內(nèi)涵認(rèn)識(shí)不夠。計(jì)算機(jī)安全管理的目的:一是保障業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行;二是防止信息泄漏;三是預(yù)防犯罪分子利用系統(tǒng)作案。這需要集責(zé)任感、科技知識(shí)和管理能力于一體,更需要安全管理部門(mén)和各業(yè)務(wù)運(yùn)行部門(mén)間的通力協(xié)作和配合,還少不了強(qiáng)有力的政策支持。偏頗的安全觀念使計(jì)算機(jī)安全管理工作定位不準(zhǔn)、目標(biāo)不明、步調(diào)難統(tǒng)一、合力難形成。
2.重項(xiàng)目建設(shè)、輕安全規(guī)劃
人民銀行信息安全管理規(guī)定“計(jì)算機(jī)系統(tǒng)建設(shè)項(xiàng)目應(yīng)在規(guī)劃與立項(xiàng)階段同步考慮安全問(wèn)題,建設(shè)方案應(yīng)滿足人民銀行信息安全保障總體規(guī)劃的相關(guān)要求”、“各單位計(jì)算機(jī)系統(tǒng)上線運(yùn)行實(shí)行安全審查制度,未通過(guò)安全審查的任何新建或改造計(jì)算機(jī)系統(tǒng)不得投產(chǎn)運(yùn)行”。但大多數(shù)基層行自建項(xiàng)目都沒(méi)有考慮這兩條要求。項(xiàng)目建設(shè)普遍存在“重建輕管”的問(wèn)題,即建設(shè)使用優(yōu)先,安全規(guī)劃、管理制度、安全保障滯后。
3.激勵(lì)機(jī)制的不平衡影響技術(shù)人員工作的積極性
從目前基層央行的情況來(lái)看,一方面,安全管理人員大都是由計(jì)算機(jī)工程技術(shù)人員兼任,他們既是電子化工程項(xiàng)目的建設(shè)者、管理者,也是信息安全的管理者、監(jiān)督者,集電子化建設(shè)、信息安全管理和信息安全監(jiān)督于一身,不能有效地對(duì)安全現(xiàn)狀進(jìn)行真實(shí)、客觀的評(píng)估和審計(jì)。也很難對(duì)計(jì)算機(jī)安全工作實(shí)施有效管理,使得組織管理機(jī)制、安全防范措施不能及時(shí)到位。另一方面,計(jì)算機(jī)安全的意識(shí)尚未深入人心,安全培訓(xùn)、教育觀念非常淡薄,忽視了安全管理人員和業(yè)務(wù)人員的專業(yè)培訓(xùn),使得他們對(duì)銀行計(jì)算機(jī)安全問(wèn)題不能深入了解,也造成了安全技術(shù)防范能力差、科技含量低的現(xiàn)狀,客觀上阻礙了安全技術(shù)的應(yīng)用與發(fā)展,不能完全適應(yīng)金融電子化快速發(fā)展的要求。
以某中支為例,全轄9名計(jì)算機(jī)技術(shù)人員(其中2名為兼職)70%的技術(shù)人員從事科技工作達(dá)15年,工作單調(diào),崗位輪換在科技工作中難以實(shí)現(xiàn)。中支人均維護(hù)系統(tǒng)11個(gè),維護(hù)電子設(shè)備達(dá)30臺(tái)(套),轄內(nèi)縣市支行人均維護(hù)系統(tǒng)數(shù)25個(gè),維護(hù)電子設(shè)備50臺(tái)(套),日常運(yùn)行維護(hù)工作任務(wù)非常繁重,技術(shù)人員就正常的休假都難以保證,而且所從事的工作絕大多數(shù)是維護(hù),很難體現(xiàn)出看得見(jiàn)的成績(jī)。成就感、榮譽(yù)感淡化,加之計(jì)算機(jī)技術(shù)日新月異,工作人員掌握的知識(shí)不能與時(shí)俱進(jìn),知識(shí)普遍老化,存在著怕?lián)L(fēng)險(xiǎn)的畏難情緒。專業(yè)安全管理人員缺乏應(yīng)有的積極性,在制訂安全策略、審核安全方案、開(kāi)展安全評(píng)估和審計(jì)檢查等方面往往力不從心。
4.缺乏有效的安全內(nèi)控機(jī)制使制度的執(zhí)行打折扣
首先,缺乏外部監(jiān)督,對(duì)上級(jí)行安全管理制度的落實(shí)和執(zhí)行情況、對(duì)內(nèi)部安全管理制度的建立和完善情況,沒(méi)有確定有效的外部監(jiān)督機(jī)制,造成制度落實(shí)不夠、內(nèi)控制度不完善。一是計(jì)算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分嚴(yán)重。某中支僅一季度就出現(xiàn)病毒報(bào)警信息1475條,感染計(jì)算機(jī)317臺(tái)次。二是網(wǎng)上失密、竊密情況沒(méi)有引起足夠重視?;鶎友胄写蠖鄶?shù)工作人員不乏存在這樣的情況:用存儲(chǔ)有重要信息的移動(dòng)盤(pán)直接插入到互聯(lián)網(wǎng)的機(jī)子上下載和編輯資料,然后不經(jīng)過(guò)病毒和木馬檢測(cè)就在內(nèi)聯(lián)網(wǎng)上進(jìn)行使用、傳輸?shù)炔僮?,還有就是不經(jīng)過(guò)登記和審批手續(xù)攜帶存儲(chǔ)有重要或敏感信息的移動(dòng)盤(pán)外出,給基層央行的信息安全和保密工作造成很大的隱患。三是信息安全管理不善,安全措施不到位,有令不行、有禁不止,信息系統(tǒng)運(yùn)行事故時(shí)有發(fā)生。這固然有其客觀原因,但缺乏嚴(yán)格管理和崗位監(jiān)督制度,是問(wèn)題的根本所在。崗位監(jiān)督機(jī)制的缺失形成信息安全管理中最大的漏洞。
第二,缺乏安全評(píng)估。目前,基層行對(duì)本單位安全狀況心里沒(méi)底。機(jī)房環(huán)境有沒(méi)有隱患,網(wǎng)絡(luò)有沒(méi)有漏洞,系統(tǒng)是否安全,說(shuō)不清楚。主要是因?yàn)闆](méi)有一套完善的安全評(píng)估體系和標(biāo)準(zhǔn),無(wú)法對(duì)本單位的安全狀況進(jìn)行科學(xué)評(píng)估。
第三,缺乏定期審計(jì)。信息安全檢查很多,但大多側(cè)重于制度落實(shí)和物理安全。而對(duì)于技術(shù)安全,則需要更專業(yè)更規(guī)范的專項(xiàng)審計(jì)才能發(fā)現(xiàn)問(wèn)題,找出漏洞?,F(xiàn)階段基層行審計(jì)部門(mén)沒(méi)有能力進(jìn)行計(jì)算機(jī)安全審計(jì),科技部門(mén)審計(jì)自己管理的業(yè)務(wù)信息系統(tǒng),容易造成角色錯(cuò)位,達(dá)不到審計(jì)效果。這些因素造成基層行計(jì)算機(jī)安全審計(jì)工作不能有效開(kāi)展。
二、對(duì)策建議
1.積極創(chuàng)新計(jì)算機(jī)安全管理工作機(jī)制
一是建立信息安全風(fēng)險(xiǎn)管理保障機(jī)制,把信息安全風(fēng)險(xiǎn)管控工作擺上議事日程,建立健全信息安全風(fēng)險(xiǎn)管理部門(mén)和崗位責(zé)任制度,層層抓好落實(shí)。要加強(qiáng)培訓(xùn)工作,提高風(fēng)險(xiǎn)管控能力和應(yīng)變能力。充分發(fā)揮科技部門(mén)安全檢查、紀(jì)檢監(jiān)察部門(mén)風(fēng)險(xiǎn)監(jiān)控、內(nèi)審部門(mén)審計(jì)監(jiān)督“三道防線”的約束作用,形成完備的違規(guī)監(jiān)測(cè)和糾錯(cuò)體系。加大違規(guī)行為處罰力度,提高管控措施的約束力。
二是建立信息安全風(fēng)險(xiǎn)評(píng)估和預(yù)警機(jī)制。要全面落實(shí)風(fēng)險(xiǎn)評(píng)估制度,建立信息安全風(fēng)險(xiǎn)監(jiān)測(cè)體系,及時(shí)識(shí)別風(fēng)險(xiǎn)因素,排查隱患,徹查各類問(wèn)題的根源。要將信息安全風(fēng)險(xiǎn)控制前移,從業(yè)務(wù)部門(mén)需求管理開(kāi)始,把風(fēng)險(xiǎn)管控貫穿于信息流動(dòng)的整個(gè)過(guò)程,加強(qiáng)追蹤控制。要在充分分析信息安全風(fēng)險(xiǎn)對(duì)業(yè)務(wù)影響的基礎(chǔ)上,建立良好的風(fēng)險(xiǎn)分類分級(jí)制度,實(shí)施重點(diǎn)監(jiān)控。從法律法規(guī)、國(guó)家政策、業(yè)務(wù)規(guī)范等多角度區(qū)分各類信息安全風(fēng)險(xiǎn),落實(shí)監(jiān)測(cè)和保障措施。
三是建立并完善信息安全風(fēng)險(xiǎn)應(yīng)急處置機(jī)制,加強(qiáng)風(fēng)險(xiǎn)應(yīng)急和處置機(jī)制建設(shè)。要認(rèn)真研究制定信息安全風(fēng)險(xiǎn)應(yīng)急管理的中長(zhǎng)期規(guī)劃,結(jié)合實(shí)際,穩(wěn)步提高應(yīng)急管理水平。要加強(qiáng)數(shù)據(jù)備份、災(zāi)難恢復(fù)以及業(yè)務(wù)連續(xù)性的管理。完善各類應(yīng)急預(yù)案,加強(qiáng)應(yīng)急演練,通過(guò)應(yīng)急演練把應(yīng)急和災(zāi)備工作從技術(shù)管理層面提升到全方位、多部門(mén)齊抓共管、協(xié)調(diào)一致的全行工作層面,確保極端事件發(fā)生時(shí),能夠在最短的時(shí)間內(nèi)按照既定方案有序處置。
2.培養(yǎng)和充實(shí)安全管理人才,健全計(jì)算機(jī)安全管理組織體系
關(guān)鍵詞:局域網(wǎng) 安全體系 立體防御
1、案例背景
哈爾濱經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)管理委員會(huì)(以下簡(jiǎn)稱“哈經(jīng)開(kāi)區(qū)”)管理大廈內(nèi)部網(wǎng)絡(luò)經(jīng)過(guò)幾年建設(shè),已經(jīng)實(shí)現(xiàn)千兆到樓、百兆到桌面的寬帶網(wǎng)絡(luò)數(shù)據(jù)傳輸;該區(qū)建有完善的網(wǎng)絡(luò)數(shù)據(jù)中心,完善的網(wǎng)絡(luò)通信設(shè)備和網(wǎng)絡(luò)服務(wù)器系統(tǒng)。采用高速交換技術(shù),建立方便快捷靈活多變的信息通信平臺(tái),提升了辦公效率,節(jié)省了人們的勞動(dòng)量,但是也帶來(lái)了一定的網(wǎng)絡(luò)安全問(wèn)題,增加了網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。為此,要保證網(wǎng)絡(luò)的安全運(yùn)行,必須要有一套與之配套的可操作的計(jì)算機(jī)病毒解決措施和應(yīng)對(duì)方案。構(gòu)建一個(gè)統(tǒng)一的有效的切實(shí)的可行的網(wǎng)絡(luò)安全防御體系,有效的防止和應(yīng)對(duì)病毒攻擊和入侵。
2、案例分析
本文從哈經(jīng)開(kāi)區(qū)網(wǎng)絡(luò)安全的實(shí)際情況以及防御運(yùn)行的實(shí)際情況進(jìn)行分析:
2.1局域網(wǎng)維護(hù)工作量日益加重,計(jì)算機(jī)病毒日益猖狂
最初建立計(jì)算機(jī)網(wǎng)絡(luò)的時(shí)候,采用了國(guó)內(nèi)比較著名的防病毒軟件,比如金山毒霸,瑞星殺毒等等。但是都不盡如人意。局域網(wǎng)中計(jì)算機(jī)病毒傳播和感染的事情仍然時(shí)有發(fā)生。計(jì)算機(jī)網(wǎng)絡(luò)的維護(hù)人員要忙于清理計(jì)算機(jī)病毒、重新安裝操作系統(tǒng)或者安裝相關(guān)的應(yīng)用軟件。
計(jì)算機(jī)病毒的頑固性存在多個(gè)方面,首先,計(jì)算機(jī)病毒自身具有較快的傳播性和較強(qiáng)的可執(zhí)行性。同時(shí),計(jì)算機(jī)病毒還有其他一些典型的特點(diǎn)。一是傳播速度非常快。在政府部門(mén)局域網(wǎng)環(huán)境下,計(jì)算機(jī)病毒可以利用各種介質(zhì),通過(guò)局域網(wǎng)迅速的進(jìn)行傳播下去。而且傳播的方位非常的廣泛,在局域網(wǎng)模式下的病毒要遠(yuǎn)遠(yuǎn)比在單機(jī)模式下的病毒難以應(yīng)付。很多在單機(jī)模式下可以輕易殺除的病毒,在局域網(wǎng)模式下往往力不從心。而且病毒的破壞性非常大,一旦病毒襲擊了政府的辦公網(wǎng)絡(luò),就會(huì)影響到政府的正常的工作。而且很多時(shí)候,病毒常常造成政府的辦公網(wǎng)絡(luò)崩潰,整個(gè)電腦系統(tǒng)的數(shù)據(jù)被盜取或者丟失。二是激發(fā)條件很多。通過(guò)局域網(wǎng),病毒的隱蔽性得到大大的提升。計(jì)算機(jī)網(wǎng)絡(luò)病毒可以通過(guò)多種途徑和方式進(jìn)行激發(fā),例如可以通過(guò)內(nèi)部時(shí)鐘或者計(jì)算機(jī)上的系統(tǒng)日期等。三是計(jì)算機(jī)網(wǎng)絡(luò)病毒的潛在危險(xiǎn)非常大,在局域網(wǎng)中,一旦計(jì)算機(jī)網(wǎng)絡(luò)被感染病毒,即使后來(lái)病毒被清除,但仍然可能有病毒潛伏在電腦中,而且被感染的病毒再次發(fā)生被感染的概率非常的高。
2.2多種因素引發(fā)病毒,網(wǎng)絡(luò)安全意識(shí)亟待提高
(1)從主觀因素考慮,主要是由于部分用戶缺乏安全上網(wǎng)意識(shí)。要么電腦上沒(méi)有安裝殺毒軟件或安裝過(guò)期的殺毒軟件,要么就是不對(duì)操作系統(tǒng)升級(jí),在網(wǎng)上下載東西的時(shí)候沒(méi)有注意,訪問(wèn)不安全的網(wǎng)站等。這是誘發(fā)計(jì)算機(jī)病毒的一個(gè)重要原因。(2)從客觀上來(lái)講,病毒防御系統(tǒng)技術(shù)的提升跟不上計(jì)算機(jī)病毒技術(shù)的變化。防御病毒系統(tǒng)功能因多方面原因,未能及時(shí)換代,可終端結(jié)點(diǎn)不夠,使得個(gè)別終端結(jié)點(diǎn)不能對(duì)操作系統(tǒng)進(jìn)行升級(jí)。(3)政府部門(mén)的工作人員,有些由于計(jì)算機(jī)基礎(chǔ)知識(shí)薄弱,對(duì)計(jì)算機(jī)的認(rèn)識(shí)僅僅限于使用水平,沒(méi)有較強(qiáng)的計(jì)算機(jī)操作能力和病毒文件識(shí)別能力,遇到病毒時(shí)處理遲緩等。
3、保障措施
為確保哈經(jīng)區(qū)計(jì)算機(jī)網(wǎng)絡(luò)的安全有效運(yùn)行,區(qū)委會(huì)信息中心先后從是三個(gè)不同的方面采取了措施來(lái)確保全委計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行和安全,首先是重新改造和劃分VLAN,通過(guò)在使用中發(fā)現(xiàn)的問(wèn)題進(jìn)行分析改造,以樓層為單位進(jìn)行劃分的原則,對(duì)整個(gè)局域網(wǎng)的布局進(jìn)行重新的劃分,劃分成為不同的VLAN。這種劃分,有效的限制了病毒傳播的范圍,減小了病毒傳播危害的區(qū)域。解決了以往一旦一臺(tái)計(jì)算機(jī)受到病毒感染整個(gè)局域網(wǎng)都癱瘓的問(wèn)題。其次是加強(qiáng)網(wǎng)絡(luò)安全檢查機(jī)制。定期派技術(shù)人員對(duì)對(duì)客戶端軟件安全情況進(jìn)行跟蹤監(jiān)控,及時(shí)發(fā)現(xiàn)客戶端安裝的軟件,對(duì)與業(yè)務(wù)工作無(wú)關(guān)的游戲、盜版軟件能做到“三及時(shí)”,即及時(shí)跟蹤、及時(shí)發(fā)現(xiàn)、及時(shí)控制。最后是對(duì)工作人員進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)和教育,從思想上和習(xí)慣上加強(qiáng)工作人員的防毒殺毒意識(shí)。
基于上述分析,從整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的整體考慮,要想實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)體系防病毒體系的真正安全,必須要從技術(shù)和管理兩個(gè)方面抓起,通過(guò)行政決策和遠(yuǎn)期效應(yīng)的科學(xué)統(tǒng)一。
3.1利用軟件技術(shù),構(gòu)建病毒防御體系
如何靈活運(yùn)用軟件技術(shù)是確保計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的一個(gè)重要課題,要實(shí)現(xiàn)“層層設(shè)防、集中控管、以防為主、防殺結(jié)合”的目標(biāo),構(gòu)建局域網(wǎng)病毒立體防御體系,通過(guò)實(shí)施的防毒策略,實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)全方位、多層次的立體病毒防護(hù),為系統(tǒng)和數(shù)據(jù)安全提供強(qiáng)有力的保證。建設(shè)的主要內(nèi)容包括:防病毒體系的構(gòu)建必須把整個(gè)網(wǎng)器、防病毒工作站等硬件設(shè)備的多層次防御,縱向上構(gòu)建基于單機(jī)用戶,橫向上基于網(wǎng)絡(luò)整體。病毒防護(hù)軟件必須具有網(wǎng)絡(luò)建設(shè)基于系統(tǒng)防病毒、郵件防病毒版的概念,即擁有防病毒控制中心和客戶端自動(dòng)防用系統(tǒng)的全方位保護(hù),用戶提供一個(gè)覆蓋面廣、操作簡(jiǎn)便、集防毒、查毒、殺毒于一身的立體病毒防御體系。
3.2從管理措施和制度上確保計(jì)算機(jī)網(wǎng)絡(luò)的安全
如何進(jìn)一步加強(qiáng)和提高工作人員的安全使用計(jì)算機(jī)意識(shí)是管委會(huì)的一個(gè)重要工作。通過(guò)構(gòu)建立體化的計(jì)算機(jī)病毒防御體系,可以實(shí)現(xiàn)在軟件和硬件層次上計(jì)算機(jī)網(wǎng)絡(luò)的安全。在次基礎(chǔ)上,要加大信息安全的宣傳和教育力度,定期對(duì)工作人員進(jìn)行專業(yè)培訓(xùn),通過(guò)普及計(jì)算機(jī)基礎(chǔ)知識(shí),強(qiáng)化計(jì)算機(jī)安全意識(shí),強(qiáng)化殺毒方面的技能的培訓(xùn)工作來(lái)確保網(wǎng)絡(luò)安全和防病毒體系的建立。
關(guān)鍵詞:會(huì)計(jì)電算化 內(nèi)控管理 安全防范
會(huì)計(jì)電算化的安全問(wèn)題無(wú)非產(chǎn)生自以下兩個(gè)方面:一是技術(shù)上的安全漏洞,二是管理上的安全隱患。只有堵住計(jì)算機(jī)技術(shù)方面的安全漏洞,并嚴(yán)格計(jì)算機(jī)的內(nèi)控管理,才能從根本上防范會(huì)計(jì)電算化犯罪事件的發(fā)生。
一、會(huì)計(jì)電算化技術(shù)上的安全問(wèn)題
計(jì)算機(jī)技術(shù)上的安全主要包括以下幾個(gè)方面。
1.物理安全。計(jì)算機(jī)的物理安全是指用一些裝置和應(yīng)用程序來(lái)保護(hù)計(jì)算機(jī)硬件和存儲(chǔ)介質(zhì)的安全。主要是防范計(jì)算機(jī)設(shè)備受損的危險(xiǎn)和計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)被盜的危險(xiǎn)。在會(huì)計(jì)電算化中,許多重要的數(shù)據(jù)都存儲(chǔ)在電腦存儲(chǔ)設(shè)備中,一旦受損或被盜,后果不堪設(shè)想,因此,磁盤(pán)、磁帶等設(shè)備要嚴(yán)格保管,并注意數(shù)據(jù)的多重備份。除存儲(chǔ)設(shè)備外,其他設(shè)備也是十分重要的,如通訊線路的安全、ups電源的安全(特別注意不能在ups電源上插入電腦以外的設(shè)備)等。
2.操作系統(tǒng)的安全。操作系統(tǒng)是電腦中最基本、最重要的軟件,不同的操作系統(tǒng)提供的安全能力也不同。如dos操作系統(tǒng),許多用戶共用一臺(tái)電腦的所有資源,文件可以相互修改,容易產(chǎn)生安全問(wèn)題。而大多數(shù)的操作系統(tǒng)如:unix、novell、netware就不允許一個(gè)用戶未經(jīng)授權(quán)修改或刪除另一用戶的文件。在會(huì)計(jì)電算化中,就必須注意操作系統(tǒng)的安全,根據(jù)不同信息的安全性使用相應(yīng)操作系統(tǒng)。操作系統(tǒng)的安全性還表現(xiàn)在操作系統(tǒng)的bug,操作系統(tǒng)本身的程序錯(cuò)誤可能會(huì)被不良用心的人利用,因此必須關(guān)注最新消息,及時(shí)下載補(bǔ)丁程序修復(fù)。
3.網(wǎng)絡(luò)互聯(lián)的安全。由于信息共享的需要,企業(yè)內(nèi)部計(jì)算機(jī)之間的網(wǎng)絡(luò)互聯(lián)日益普遍,企業(yè)更是越來(lái)越多地通過(guò)互聯(lián)網(wǎng)為客戶提供信息披露服務(wù),而在黑客入侵事件屢見(jiàn)不鮮的今天,企業(yè)對(duì)網(wǎng)絡(luò)互聯(lián)的安全尤為關(guān)注。資源共享與信息安全歷來(lái)是一對(duì)矛盾,如何面對(duì)網(wǎng)絡(luò)互聯(lián)所帶來(lái)的安全問(wèn)題已是企業(yè)在會(huì)計(jì)網(wǎng)絡(luò)化過(guò)程中所面臨的一個(gè)重要課題。計(jì)算機(jī)的入侵破壞活動(dòng)要么是非法獲得計(jì)算機(jī)的訪問(wèn)權(quán)限而進(jìn)入系統(tǒng)的,要么是利用網(wǎng)絡(luò)通信上的漏洞,竊取或更改信息而得逞的,因此網(wǎng)絡(luò)互聯(lián)的安全必須從訪問(wèn)控制的管理和通信安全的管理(如加密、認(rèn)證)兩方面著手。
4.程序的安全。程序安全除了系統(tǒng)程序的安全、通訊軟件的安全外,還包括應(yīng)用軟件的安全,特別是所運(yùn)行的各類應(yīng)用軟件,由于開(kāi)發(fā)商不同、維護(hù)人員不同,有可能存在邏輯陷阱、時(shí)間炸彈或系統(tǒng)后門(mén),都有可能損害到安全。
二、會(huì)計(jì)電算化管理上的安全問(wèn)題
針對(duì)計(jì)算機(jī)技術(shù)的安全問(wèn)題,企業(yè)必須在管理上注意加強(qiáng)防范,建立有效的計(jì)算機(jī)管理體制。下面著重討論三方面的管理:
1.口令管理。口令管理是防止計(jì)算機(jī)的非法入侵最基本也是最重要的要求。遺憾的是,在企業(yè)中普遍存在對(duì)口令管理不重視的情況,很多電腦系統(tǒng)未設(shè)置口令保護(hù),甚至連有些會(huì)計(jì)系統(tǒng)的主機(jī),也未設(shè)置超級(jí)用戶口令。這是非常嚴(yán)重的系統(tǒng)安全隱患,好多操作員口令也是十分簡(jiǎn)單脆弱的,有些操作員還把口令寫(xiě)在電腦的周圍,這樣的口令形同虛設(shè),達(dá)不到安全防范的目的。一個(gè)安全性高的口令必須有足夠的長(zhǎng)度,一般在8位以上,最好是字母和數(shù)字混合使用,而且不要使用字典中的單詞,否則很容易被密碼破譯程序解開(kāi)??诹钸€必須經(jīng)常更換,這樣安全性也會(huì)大為增加。
2.物理設(shè)備的管理。針對(duì)計(jì)算機(jī)物理安全的內(nèi)容,企業(yè)必須嚴(yán)格計(jì)算機(jī)物理設(shè)備的管理。(1)存儲(chǔ)設(shè)備管理。企業(yè)計(jì)算機(jī)的存儲(chǔ)設(shè)備記錄著重要的業(yè)務(wù)數(shù)據(jù)和賬務(wù)數(shù)據(jù),一旦丟失或損壞,后果不堪設(shè)想,因此必須對(duì)存儲(chǔ)設(shè)備進(jìn)行登記管理、嚴(yán)格保存、數(shù)據(jù)分散備份。磁盤(pán)、磁帶等應(yīng)按業(yè)務(wù)、時(shí)間分類有序地保存,一些重要的數(shù)據(jù)還應(yīng)在不同的地點(diǎn)進(jìn)行雙重備份。(2)網(wǎng)絡(luò)設(shè)備管理。網(wǎng)絡(luò)設(shè)備的管理包括網(wǎng)絡(luò)通訊線路的保護(hù)和監(jiān)控、網(wǎng)絡(luò)通訊設(shè)備的管理,網(wǎng)絡(luò)接口設(shè)備如集線器、機(jī)柜的管理和保護(hù)措施。(3)電源設(shè)備管理。計(jì)算機(jī)中普遍應(yīng)用ups不間斷電源,以保證計(jì)算機(jī)的工作不受突然斷電的影響,保障了計(jì)算機(jī)數(shù)據(jù)和服務(wù)的不間斷性。計(jì)算機(jī)ups電源應(yīng)與市電嚴(yán)格區(qū)分,不得用于非電腦設(shè)備的供電,否則容易燒毀ups,造成損失。(4)其他設(shè)備管理。除了上述幾種設(shè)備,其他的計(jì)算機(jī)設(shè)備的管理也是十分重要的,應(yīng)建立健全電腦設(shè)備的登記管理工作。
3.人員管理。計(jì)算安全的保障是與操作人員的安全素質(zhì)、安全知識(shí)、技術(shù)水平密不可分的,重視對(duì)人員的管理才能保證計(jì)算機(jī)的安全。(1)系統(tǒng)管理員的安全培訓(xùn)。系統(tǒng)管理員擔(dān)負(fù)著系統(tǒng)維護(hù)和安全監(jiān)督的責(zé)任,因此系統(tǒng)管理員的安全培訓(xùn)工作十分重要,只有系統(tǒng)管理員的安全意識(shí)提高,系統(tǒng)管理員的技術(shù)水平增強(qiáng),對(duì)系統(tǒng)了然于胸,才能有效地對(duì)付各類非法入侵和維護(hù)系統(tǒng)的正常運(yùn)行。(2)操作人員的安全教育。普通的業(yè)務(wù)操作人員的安全教育也很重要,人人都應(yīng)重視計(jì)算機(jī)的安全,嚴(yán)格按照計(jì)算機(jī)系統(tǒng)的操作規(guī)程工作,計(jì)算機(jī)的安全才有保證。(3)機(jī)房實(shí)行出入登記制度或ic卡房門(mén)管理。機(jī)房作為重要的機(jī)要場(chǎng)所,放置著許多重要的電腦設(shè)備如系統(tǒng)服務(wù)器、網(wǎng)絡(luò)通信設(shè)備、局域網(wǎng)接線機(jī)柜等,因此要有一套嚴(yán)格的機(jī)房管理制度,并實(shí)行出入登記制度或ic卡房門(mén)管理制度,以保障的機(jī)房的安全。
三、常見(jiàn)計(jì)算機(jī)攻擊技術(shù)分析
古人云:知己知彼,百戰(zhàn)不殆。我們必須了解計(jì)算機(jī)入侵的攻擊技術(shù),才能更好地防范計(jì)算機(jī)犯罪。有人認(rèn)為,內(nèi)部人員技術(shù)水平太高了,就有可能發(fā)生內(nèi)部作案事件,其實(shí)這是十分片面的。我們看到,大部分的內(nèi)部作案事件實(shí)際上并不是利用很高的技術(shù),而是利用內(nèi)部管理上的漏洞得逞的,只要加強(qiáng)管理控制(當(dāng)然包括技術(shù)上的如密碼的控制),就可大大減少內(nèi)部作案的情況。而在網(wǎng)絡(luò)化的當(dāng)今,外部作案才是防不勝防,只有內(nèi)部技術(shù)人員的水平提高了,才能在防范電腦安全方面走在前面。實(shí)際上,大多數(shù)的電腦攻擊者并非天才,他們大都利用一些別人使用過(guò)的并在安全領(lǐng)域廣為人知的技術(shù)和工具,如stan、iss到各類實(shí)用短小的網(wǎng)絡(luò)監(jiān)聽(tīng)工具。在互聯(lián)網(wǎng)上,這些工具比比皆是。下面列舉分析一些常見(jiàn)的計(jì)算機(jī)攻擊行為。
1.口令攻擊。口令攻擊是最直接的入侵方式。當(dāng)用戶未設(shè)置口令或是十分簡(jiǎn)單的口令時(shí),就大大增加了攻擊的成功率。在企業(yè)內(nèi)部經(jīng)常使用的unix操作系統(tǒng)中,用戶的口令以加密的形式存在放在/etc/passwd或者是/etc/shadow文件中,非法用戶可能利用匿名ftp或趁操作員離開(kāi)工作臺(tái)之機(jī)獲取密碼文件,然后使用一些口令分析程序進(jìn)行破譯。實(shí)際上,unix系統(tǒng)加密所用的crypto函數(shù)是基于數(shù)據(jù)加密標(biāo)準(zhǔn)(des)的,從數(shù)學(xué)原理上可以保證從加密的密文得到加密前的明文是不可能的或非常困難的。但是,用戶常常選擇一些容易猜測(cè)的口令,從而給入侵者開(kāi)了方便之門(mén),破譯者把常用的單詞和數(shù)字組合作為一個(gè)字典文件,然后對(duì)字典文件進(jìn)行加密并與密文對(duì)照,從而獲得用戶口令,因此一個(gè)好的口令是十分重要的。上述兩個(gè)存放口令的文件是攻擊者的首要目標(biāo),早期的unix版本口令密文就放在/etc/passwd中,而該文件對(duì)所有用戶都是可讀的,危險(xiǎn)性較大,新版的unix一般把口令密文放在/etc/shadow中,該文件對(duì)普通用戶是不可讀寫(xiě)的,安全性有所提高,但應(yīng)注意系統(tǒng)管理員的口令安全。
口令破解的另一種方法是網(wǎng)絡(luò)監(jiān)聽(tīng),在下文中將有敘述。
在企業(yè)內(nèi)部,容易發(fā)生口令疏忽的地方有:unix主機(jī)操作員(包括系統(tǒng)管理員)的口令未設(shè)或不牢固、路由設(shè)備如cisco路由器未更改初始密碼、業(yè)務(wù)系統(tǒng)的單一密碼多人保管制度、對(duì)外部參與維護(hù)的電腦公司人員所掌握的口令缺乏管理等。對(duì)付口令攻擊的防范措施:設(shè)置好的口令、限制口令文件的讀取權(quán)限、通訊加密、不定時(shí)更換口令,當(dāng)然最重要的是加強(qiáng)用戶的口令管理意識(shí)對(duì)經(jīng)常的檢查制度。
2.程序攻擊。程序攻擊就是利用不良的程序或系統(tǒng)程序的錯(cuò)誤進(jìn)行的攻擊。下面列舉一些常用的程序攻擊行為。(1)病毒和蠕蟲(chóng)。我們對(duì)病毒都已經(jīng)并不陌生,從早期的大麻病毒、雨點(diǎn)病毒、黑色星期五病毒到大名鼎鼎的cih病毒、美麗殺手病毒,各類的病毒層出不窮,給計(jì)算機(jī)系統(tǒng)造成了極大的破壞。病毒其實(shí)是一些程序,它常常修改計(jì)算機(jī)中的另一些正常程序,并把自己復(fù)制到其他程序的代碼中,通過(guò)修改其他程序的執(zhí)行流程,以實(shí)現(xiàn)自己的隱藏、復(fù)制、傳播和發(fā)作。病毒一般分為引導(dǎo)型病毒、文件型病毒和宏病毒(實(shí)際上就是一種特殊的文件型病毒)。現(xiàn)有的病毒絕大多數(shù)都是dos和windows操作系統(tǒng)下的病毒,這與dos與windows對(duì)用戶權(quán)限和系統(tǒng)資源的管理較薄弱有關(guān)。對(duì)付病毒最有效的辦法就是對(duì)所有外來(lái)程序進(jìn)行檢測(cè)、定時(shí)查毒、安裝防毒程序、加強(qiáng)軟件管理等。蠕蟲(chóng)與病毒不同,它是一種可以在網(wǎng)絡(luò)上不同主機(jī)之間傳播而不修改目標(biāo)主機(jī)上的其他程序的一類程序,它不一定破壞任何軟件和硬件,但其通過(guò)在計(jì)算機(jī)網(wǎng)絡(luò)之間的不斷傳播和擴(kuò)張而嚴(yán)重消耗系統(tǒng)資源和帶寬,使系統(tǒng)不勝負(fù)荷甚至崩潰。最有名的蠕蟲(chóng)當(dāng)屬1988年由莫里斯釋放的internet蠕蟲(chóng)。(2)特洛伊木馬技術(shù)。特洛伊木馬程序是指那些表面上執(zhí)行正常指令,而實(shí)際上隱藏著一些破壞性的指令,當(dāng)不小心讓這種程序進(jìn)入系統(tǒng),就有可能給系統(tǒng)帶來(lái)危害。特洛伊木馬程序常常在用戶不知情的情況下拷貝文件或竊取密碼。在unix系統(tǒng)中,制造一個(gè)特洛伊馬木程序,即更換常用的一些系統(tǒng)程序和命令,是很容易的事。因此對(duì)這類威脅,我們要做好防范工作,首先離開(kāi)電腦終端時(shí)應(yīng)及時(shí)退出注冊(cè),系統(tǒng)管理員應(yīng)定時(shí)掃描分析。此外還應(yīng)了解一些對(duì)付特洛伊木馬的方法,如數(shù)字簽名技術(shù)、tripwire工具等。(3)利用處理程序錯(cuò)誤的攻擊。這種攻擊是利用處理程序中存在的錯(cuò)誤進(jìn)行的攻擊,由于這類攻擊大都可以通過(guò)網(wǎng)絡(luò)發(fā)動(dòng),給系統(tǒng)安全造成了較大的危害。目前在網(wǎng)上已有一些補(bǔ)丁程序用來(lái)對(duì)付這類攻擊,安裝一個(gè)pc防火墻也可以有效地防止這類攻擊。
3.緩沖區(qū)溢出。在許多操作系統(tǒng)和應(yīng)用軟件中,都普遍存在一種非常危險(xiǎn)的安全漏洞,這就是緩沖區(qū)溢出。對(duì)付緩沖區(qū)溢出攻擊,系統(tǒng)管理員必須經(jīng)常檢查系統(tǒng)的bug,注意電腦廠商的最新消息,及時(shí)安裝系統(tǒng)補(bǔ)丁程序,并在編程中對(duì)字符串進(jìn)行操作時(shí)注意對(duì)字符串長(zhǎng)度的檢查,以免產(chǎn)生的漏洞。
4.拒絕服務(wù)的攻擊。拒絕服務(wù)的攻擊有兩種類型:一是試圖去破壞或毀壞資源而使無(wú)人可以使用該資源,如切斷電源或網(wǎng)絡(luò)線路、刪除文件、格式化磁盤(pán)等。二是過(guò)載一些系統(tǒng)服務(wù)或者消耗一些資源,如填滿磁盤(pán)空間。
5.其他攻擊,如電子郵件攻擊、ip欺騙等。
參考文獻(xiàn):
1.楊翠環(huán).企業(yè)內(nèi)部網(wǎng)的構(gòu)建、管理及安全.職業(yè)時(shí)空,2004(6)
2.鄧長(zhǎng)紅,鄧金娥.論會(huì)計(jì)電算化的安全問(wèn)題及其管理對(duì)策.科技創(chuàng)業(yè)月刊,2004(12)
計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個(gè)網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù).計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面,即物理安全和羅輯安全.物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù),免于破壞、丟失等.羅輯安全包括信息的完整性、保密性和可用性.
第二章 計(jì)算機(jī)網(wǎng)絡(luò)不安全因素
2.1 計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性
(1)網(wǎng)絡(luò)的開(kāi)放性,網(wǎng)絡(luò)的技術(shù)是全開(kāi)放的,使得網(wǎng)絡(luò)所面臨的攻擊來(lái)自多方面.或是來(lái)自物理傳輸線路的攻擊,或是來(lái)自對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊,以及對(duì)計(jì)算機(jī)軟件、硬件的漏洞實(shí)施攻擊.
(2)網(wǎng)絡(luò)的國(guó)際性,意味著對(duì)網(wǎng)絡(luò)的攻擊不僅是來(lái)自于本地網(wǎng)絡(luò)的用戶,還可以是互聯(lián)網(wǎng)上其他國(guó)家的黑客,所以,網(wǎng)絡(luò)的安全面臨著國(guó)際化的挑戰(zhàn).
(3)網(wǎng)絡(luò)的自由性,大多數(shù)的網(wǎng)絡(luò)對(duì)用戶的使用沒(méi)有技術(shù)上的約束,用戶可以自由的上網(wǎng),和獲取各類信息.
2.2 操作系統(tǒng)存在的安全問(wèn)題
(1)操作系統(tǒng)結(jié)構(gòu)體系的缺陷.操作系統(tǒng)本身有內(nèi)存管理、CPU 管理、外設(shè)的管理,每個(gè)管理都涉及到一些模塊或程序,如果在這些程序里面存在問(wèn)題,比如內(nèi)存管理的問(wèn)題,外部網(wǎng)絡(luò)的一個(gè)連接過(guò)來(lái),剛好連接一個(gè)有缺陷的模塊,可能出現(xiàn)的情況是,計(jì)算機(jī)系統(tǒng)會(huì)因此崩潰.所以,有些黑客往往是針對(duì)操作系統(tǒng)的不完善進(jìn)行攻擊,使計(jì)算機(jī)系統(tǒng),特別是服務(wù)器系統(tǒng)立刻癱瘓.
(2)操作系統(tǒng)支持在網(wǎng)絡(luò)上傳送文件、加載或安裝程序,包括可執(zhí)行文件,這些功能也會(huì)帶來(lái)不安全因素.網(wǎng)絡(luò)很重要的一個(gè)功能就是文件傳輸功能,比如 FTP,這些安裝程序經(jīng)常會(huì)帶一些可執(zhí)行文件,這些可執(zhí)行文件都是人為編寫(xiě)的程序,如果某個(gè)地方出現(xiàn)漏洞,那么系統(tǒng)可能就會(huì)造成崩潰.像這些遠(yuǎn)程調(diào)用、文件傳輸,如果生產(chǎn)廠家或個(gè)人在上面安裝間諜程序,那么用戶的整個(gè)傳輸過(guò)程、使用過(guò)程都會(huì)被別人監(jiān)視到,所有的這些傳輸文件、加載的程序、安裝的程序、執(zhí)行文件,都可能給操作系統(tǒng)帶來(lái)安全的隱患.所以,建議盡量少使用一些來(lái)歷不明,或者無(wú)法證明它的安全性的軟件.
(3)操作系統(tǒng)有些守護(hù)進(jìn)程,它是系統(tǒng)的一些進(jìn)程,總是在等待某些事件的出現(xiàn).所謂守護(hù)進(jìn)程,比如說(shuō)用戶有沒(méi)按鍵盤(pán)或鼠標(biāo),或者別的一些處理.一些監(jiān)控病毒的監(jiān)控軟件也是守護(hù)進(jìn)程,這些進(jìn)程可能是好的,比如防病毒程序,一有病毒出現(xiàn)就會(huì)被撲捉到.但是有些進(jìn)程是一些病毒,一碰到特定的情況,比如碰到7 月1 日,它就會(huì)把用戶的硬盤(pán)格式化,這些進(jìn)程就是很危險(xiǎn)的守護(hù)進(jìn)程,平時(shí)它可能不起作用,可是在某些條件發(fā)生,比如7 月1 日,它才發(fā)生作用,如果操作系統(tǒng)有些守護(hù)進(jìn)程被人破壞掉就會(huì)出現(xiàn)這種不安全的情況.
(4)操作系統(tǒng)不安全的一個(gè)原因在于它可以創(chuàng)建進(jìn)程,支持進(jìn)程的遠(yuǎn)程創(chuàng)建和激活,支持被創(chuàng)建的進(jìn)程繼承創(chuàng)建的權(quán)利,這些機(jī)制提供了在遠(yuǎn)端服務(wù)器上安裝"間諜"軟件的條件.若將間諜軟件以打補(bǔ)丁的方式"打"在一個(gè)合法用戶上,特別是"打"在一個(gè)特權(quán)用戶上,黑客或間諜軟件就可以使系統(tǒng)進(jìn)程與作業(yè)的監(jiān)視程序監(jiān)測(cè)不到它的存在.
(5)操作系統(tǒng)會(huì)提供一些遠(yuǎn)程調(diào)用功能,所謂遠(yuǎn)程調(diào)用就是一臺(tái)計(jì)算機(jī)可以調(diào)用遠(yuǎn)程一個(gè)大型服務(wù)器里面的一些程序,可以提交程序給遠(yuǎn)程的服務(wù)器執(zhí)行,如telnet.遠(yuǎn)程調(diào)用要經(jīng)過(guò)很多的環(huán)節(jié),中間的通訊環(huán)節(jié)可能會(huì)出現(xiàn)被人監(jiān)控等安全的問(wèn)題.
(6)操作系統(tǒng)的后門(mén)和漏洞.后門(mén)程序是指那些繞過(guò)安全控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的程序方法.在軟件開(kāi)發(fā)階段,程序員利用軟件的后門(mén)程序得以便利修改程序設(shè)計(jì)中的不足.一旦后門(mén)被黑客利用,或在軟件前沒(méi)有刪除后門(mén)程序,容易被黑客當(dāng)成漏洞進(jìn)行攻擊,造成信息泄密和丟失.此外,操作系統(tǒng)的無(wú)口令的入口,也是信息安全的一大隱患.
(7) 盡管操作系統(tǒng)的漏洞可以通過(guò)版本的不斷升級(jí)來(lái)克服, 但是系統(tǒng)的某一個(gè)安全漏洞就會(huì)使得系統(tǒng)的所有安全控制毫無(wú)價(jià)值.當(dāng)發(fā)現(xiàn)問(wèn)題到升級(jí)這段時(shí)間,一個(gè)小小的漏洞就足以使你的整個(gè)網(wǎng)絡(luò)癱瘓掉.
2.3 數(shù)據(jù)庫(kù)存儲(chǔ)的內(nèi)容存在的安全問(wèn)題
數(shù)據(jù)庫(kù)管理系統(tǒng)大量的信息存儲(chǔ)在各種各樣的數(shù)據(jù)庫(kù)里面,包括我們上網(wǎng)看到的所有信息,數(shù)據(jù)庫(kù)主要考慮的是信息方便存儲(chǔ)、利用和管理,但在安全方面考慮的比較少.例如:授權(quán)用戶超出了訪問(wèn)權(quán)限進(jìn)行數(shù)據(jù)的更改活動(dòng);非法用戶繞過(guò)安全內(nèi)核,竊取信息.對(duì)于數(shù)據(jù)庫(kù)的安全而言,就是要保證數(shù)據(jù)的安全可靠和正確有效,即確保數(shù)據(jù)的安全性、完整性.數(shù)據(jù)的安全性是防止數(shù)據(jù)庫(kù)被破壞和非法的存取;數(shù)據(jù)庫(kù)的完整性是防止數(shù)據(jù)庫(kù)中存在不符合語(yǔ)義的數(shù)據(jù).
2.4 防火墻的脆弱性
防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.它是一種計(jì)算機(jī)硬件和軟件的結(jié)合,使 Internet 與Intranet 之間建立起一個(gè)安全網(wǎng)關(guān)(Security Gateway),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入.
但防火墻只能提供網(wǎng)絡(luò)的安全性,不能保證網(wǎng)絡(luò)的絕對(duì)安全,它也難以防范網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的侵犯.并不要指望防火墻靠自身就能夠給予計(jì)算機(jī)安全.防火墻保護(hù)你免受一類攻擊的威脅,但是卻不能防止從LAN 內(nèi)部的攻擊,若是內(nèi)部的人和外部的人聯(lián)合起來(lái),即使防火墻再?gòu)?qiáng),也是沒(méi)有優(yōu)勢(shì)的.它甚至不能保護(hù)你免受所有那些它能檢測(cè)到的攻擊.隨著技術(shù)的發(fā)展,還有一些破解的方法也使得防火墻造成一定隱患.這就是防火墻的局限性.
2.5 其他方面的因素
計(jì)算機(jī)系統(tǒng)硬件和通訊設(shè)施極易遭受到自然環(huán)境的影響,如:各種自然災(zāi)害(如地震、泥石流、水災(zāi)、風(fēng)暴、建筑物破壞等)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成威脅.還有一些偶發(fā)性因素,如電源故障、設(shè)備的機(jī)能失常、軟件開(kāi)發(fā)過(guò)程中留下的某些漏洞等,也對(duì)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成嚴(yán)重威脅.此外管理不好、規(guī)章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會(huì)對(duì)計(jì)算機(jī)信息安全造成威脅.
第三章 計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策
3.1 技術(shù)層面對(duì)策
(1) 建立安全管理制度.提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng).對(duì)重要部門(mén)和信息,嚴(yán)格做好開(kāi)機(jī)查毒,及時(shí)備份數(shù)據(jù),這是一種簡(jiǎn)單有效的方法.
(2) 網(wǎng)絡(luò)訪問(wèn)控制.訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略.它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn).它是保證網(wǎng)絡(luò)安全最重要的核心策略之一.訪問(wèn)控制涉及的技術(shù)比較廣,包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段.
(3) 應(yīng)用密碼技術(shù).應(yīng)用密碼技術(shù)是信息安全核心技術(shù),密碼手段為信息安全提供了可靠保證.基于密碼的數(shù)字簽名和身份認(rèn)證是當(dāng)前保證信息完整性的最主要方法之一,密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理.
(4)數(shù)據(jù)庫(kù)的備份與恢復(fù).數(shù)據(jù)庫(kù)的備份與恢復(fù)是數(shù)據(jù)庫(kù)管理員維護(hù)數(shù)據(jù)安全性和完整性的重要操作.備份是恢復(fù)數(shù)據(jù)庫(kù)最容易和最能防止意外的保證方法.恢復(fù)是在意外發(fā)生后利用備份來(lái)恢復(fù)數(shù)據(jù)的操作.有三種主要備份策略:只備份數(shù)據(jù)庫(kù)、備份數(shù)據(jù)庫(kù)和事務(wù)日志、增量備份.
(5) 切斷傳播途徑.對(duì)被感染的硬盤(pán)和計(jì)算機(jī)進(jìn)行徹底殺毒處理,不使用來(lái)歷不明的U 盤(pán)和程序,不隨意下載網(wǎng)絡(luò)可疑信息.
(6) 提高網(wǎng)絡(luò)反病毒技術(shù)能力.通過(guò)安裝病毒防火墻,進(jìn)行實(shí)時(shí)過(guò)濾.對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè),在工作站上采用防病毒卡,加強(qiáng)網(wǎng)絡(luò)目錄和文件訪問(wèn)權(quán)限的設(shè)置.在網(wǎng)絡(luò)中,限制只能由服務(wù)器才允許執(zhí)行的文件.
(7) 研發(fā)并完善高安全的操作系統(tǒng).研發(fā)具有高安全的操作系統(tǒng),不給病毒得以滋生的溫床才能更安全.
3.2 管理層面對(duì)策
計(jì)算機(jī)網(wǎng)絡(luò)的安全管理,不僅要看所采用的安全技術(shù)和防范措施,而且要看它所采取的管理措施和執(zhí)行計(jì)算機(jī)安全保護(hù)法律、法規(guī)的力度.只有將兩者緊密結(jié)合,才能使計(jì)算機(jī)網(wǎng)絡(luò)安全確實(shí)有效.
計(jì)算機(jī)網(wǎng)絡(luò)的安全管理,包括對(duì)計(jì)算機(jī)用戶的安全教育、建立相應(yīng)的安全管理機(jī)構(gòu)、不斷完善和加強(qiáng)計(jì)算機(jī)的管理功能、加強(qiáng)計(jì)算機(jī)及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面.加強(qiáng)計(jì)算機(jī)安全管理、加強(qiáng)用戶的法律、法規(guī)和道德觀念,提高計(jì)算機(jī)用戶的安全意識(shí),對(duì)防止計(jì)算機(jī)犯罪、抵制黑客攻擊和防止計(jì)算機(jī)病毒干擾,是十分重要的措施.
這就要對(duì)計(jì)算機(jī)用戶不斷進(jìn)行法制教育,包括計(jì)算機(jī)安全法、計(jì)算機(jī)犯罪法、保密法、數(shù)據(jù)保護(hù)法等,明確計(jì)算機(jī)用戶和系統(tǒng)管理人員應(yīng)履行的權(quán)利和義務(wù),自覺(jué)遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開(kāi)原則、信息利用原則和資源限制原則,自覺(jué)地和一切違法犯罪的行為作斗爭(zhēng),維護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全,維護(hù)信息系統(tǒng)的安全.除此之外,還應(yīng)教育計(jì)算機(jī)用戶和全體工作人員,應(yīng)自覺(jué)遵守為維護(hù)系統(tǒng)安全而建立的一切規(guī)章制度,包括人員管理制度、運(yùn)行維護(hù)和管理制度、計(jì)算機(jī)處理的控制和管理制度、各種資料管理制度、機(jī)房保衛(wèi)管理制度、專機(jī)專用和嚴(yán)格分工等管理制度.
3.3 物理安全層面對(duì)策
(1) 機(jī)房場(chǎng)地環(huán)境的選擇.計(jì)算機(jī)系統(tǒng)選擇一個(gè)合適的安裝場(chǎng)所十分重要.它直接影響到系統(tǒng)的安全性和可靠性.選擇計(jì)算機(jī)房場(chǎng)地,要注意其外部環(huán)境安全性、地質(zhì)可靠性、場(chǎng)地抗電磁干擾性,避開(kāi)強(qiáng)振動(dòng)源和強(qiáng)噪聲源,并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁.還要注意出入口的管理.
2) 計(jì)算機(jī)系統(tǒng)的環(huán)境條件.計(jì)算機(jī)系統(tǒng)的安全環(huán)境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲(chóng)害、振動(dòng)和沖擊、電氣干擾等方面,都要有具體的要求和嚴(yán)格的標(biāo)準(zhǔn).
(3) 機(jī)房的安全防護(hù).機(jī)房的安全防護(hù)是針對(duì)環(huán)境的物理災(zāi)害和防止未授權(quán)的個(gè)人或團(tuán)體破壞、篡改或盜竊網(wǎng)絡(luò)設(shè)施、重要數(shù)據(jù)而采取的安全措施和對(duì)策.為做到區(qū)域安全,首先,應(yīng)考慮物理訪問(wèn)控制來(lái)識(shí)別訪問(wèn)用戶的身份,并對(duì)其合法性進(jìn)行驗(yàn)證;其次,對(duì)來(lái)訪者必須限定其活動(dòng)范圍;第三,要在計(jì)算機(jī)系統(tǒng)中心設(shè)備外設(shè)多層安全防護(hù)圈,以防止非法暴力入侵;第四設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施.
第四章 局域網(wǎng)安全現(xiàn)狀
廣域網(wǎng)絡(luò)已有了相對(duì)完善的安全防御體系, 防火墻、漏洞掃描、防病毒、IDS 等網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界方面的防御, 重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處, 在這些設(shè)備的嚴(yán)密監(jiān)控下, 來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小.相反來(lái)自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅缺乏必要的安全管理措施, 安全威脅較大.未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過(guò)到局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動(dòng)進(jìn)入網(wǎng)絡(luò), 形成極大的安全隱患.目前, 局域網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn), 而系統(tǒng)在使用和管理過(guò)程的疏漏增加了安全問(wèn)題的嚴(yán)重程度.
第五章 局域網(wǎng)安全威脅分析
5.1 欺騙性的軟件使數(shù)據(jù)安全性降低
由于局域網(wǎng)很大的一部分用處是資源共享, 而正是由于共享資源的"數(shù)據(jù)開(kāi)放性", 導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除, 數(shù)據(jù)安全性較低.例如"網(wǎng)絡(luò)釣魚(yú)攻擊", 釣魚(yú)工具是通過(guò)大量發(fā)送聲稱來(lái)自于一些知名機(jī)構(gòu)的欺騙性垃圾郵件, 意圖引誘收信人給出敏感信息: 如用戶名、口令、賬號(hào)ID、ATM PIN 碼或信用卡詳細(xì)信息等的一種攻擊方式.最常用的手法是冒充一些真正的網(wǎng)站來(lái)騙取用戶的敏感的數(shù)據(jù),以往此類攻擊的冒名的多是大型或著名的網(wǎng)站, 但由于大型網(wǎng)站反應(yīng)比較迅速, 而且所提供的安全功能不斷增強(qiáng), 網(wǎng)絡(luò)釣魚(yú)已越來(lái)越多地把目光對(duì)準(zhǔn)了較小的網(wǎng)站.同時(shí)由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識(shí)和手段, 因此會(huì)造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生.
5.2 服務(wù)器區(qū)域沒(méi)有進(jìn)行獨(dú)立防護(hù)
局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷的傳遞, 造就了病毒感染的直接性和快速性, 如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù), 其中一臺(tái)電腦感染病毒, 并且通過(guò)服務(wù)器進(jìn)行信息傳遞, 就會(huì)感染服務(wù)器, 這樣局域網(wǎng)中任何一臺(tái)通過(guò)服務(wù)器信息傳遞的電腦, 就有可能會(huì)感染病毒.雖然在網(wǎng)絡(luò)出口有防火墻阻斷對(duì)外來(lái)攻擊, 但無(wú)法抵擋來(lái)自局域網(wǎng)內(nèi)部的攻擊.
5.3 計(jì)算機(jī)病毒及惡意代碼的威脅
由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁, 或未及時(shí)更新防病毒軟件的病毒庫(kù)而造成計(jì)算機(jī)病毒的入侵.許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊,正是利用了用戶的這個(gè)弱點(diǎn).寄生軟件可以修改磁盤(pán)上現(xiàn)有的軟件, 在自己寄生的文件中注入新的代碼.最近幾年, 隨著犯罪軟件(crimeware) 洶涌而至, 寄生軟件已退居幕后, 成為犯罪軟件的助手.2007 年, 兩種軟件的結(jié)合推動(dòng)舊有寄生軟件變種增長(zhǎng)3 倍之多.2008 年, 預(yù)計(jì)犯罪軟件社區(qū)對(duì)寄生軟件的興趣將繼續(xù)增長(zhǎng), 寄生軟件的總量預(yù)計(jì)將增長(zhǎng)20%.
5.4 局域網(wǎng)用戶安全意識(shí)不強(qiáng)
許多用戶使用移動(dòng)存儲(chǔ)設(shè)備來(lái)進(jìn)行數(shù)據(jù)的傳遞, 經(jīng)常將外部數(shù)據(jù)不經(jīng)過(guò)必要的安全檢查通過(guò)移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng), 同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng), 這給木馬、蠕蟲(chóng)等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性.另外一機(jī)兩用甚至多用情況普遍, 筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用, 許多用戶將在In ternet 網(wǎng)上使用過(guò)的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用, 造成病毒的傳入和信息的泄密.
5.5 IP 地址沖突
局域網(wǎng)用戶在同一個(gè)網(wǎng)段內(nèi), 經(jīng)常造成IP 地址沖突, 造成部分計(jì)算機(jī)無(wú)法上網(wǎng).對(duì)于局域網(wǎng)來(lái)講,此類IP 地址沖突的問(wèn)題會(huì)經(jīng)常出現(xiàn), 用戶規(guī)模越大, 查找工作就越困難, 所以網(wǎng)絡(luò)管理員必須加以解決.
正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨(dú)特的特點(diǎn), 造成局域網(wǎng)內(nèi)的病毒快速傳遞, 數(shù)據(jù)安全性低, 網(wǎng)內(nèi)電腦相互感染, 病毒屢殺不盡, 數(shù)據(jù)經(jīng)常丟失.
第六章 局域網(wǎng)安全控制與病毒防治策略
6.1 加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)
(1)加強(qiáng)安全知識(shí)培訓(xùn), 使每個(gè)計(jì)算機(jī)使用者掌握一定的安全知識(shí), 至少能夠掌握如何備份本地的數(shù)據(jù), 保證本地?cái)?shù)據(jù)信息的安全可靠.
(2)加強(qiáng)安全意識(shí)培訓(xùn), 讓每個(gè)工作人員明白數(shù)據(jù)信息安全的重要性, 理解保證數(shù)據(jù)信息安全是所有計(jì)算機(jī)使用者共同的責(zé)任.
(3)加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn), 通過(guò)培訓(xùn)掌握一定的網(wǎng)絡(luò)知識(shí), 能夠掌握IP 地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識(shí), 樹(shù)立良好的計(jì)算機(jī)使用習(xí)慣.
6.2 局域網(wǎng)安全控制策略
(1)利用桌面管理系統(tǒng)控制用戶入網(wǎng).入網(wǎng)訪問(wèn)控制是保證網(wǎng)絡(luò)資源不被非法使用, 是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略.它為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制.它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源, 控制用戶入網(wǎng)的時(shí)間和在哪臺(tái)工作站入網(wǎng).用戶和用戶組被賦予一定的權(quán)限, 網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)的目錄、文件和其他資源, 可以指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行的操作.啟用密碼策略, 強(qiáng)制計(jì)算機(jī)用戶設(shè)置符合安全要求的密碼, 包括設(shè)置口令鎖定服務(wù)器控制臺(tái), 以防止非法用戶修改.設(shè)定服務(wù)器登錄時(shí)間限制、檢測(cè)非法訪問(wèn).刪除重要信息或破壞數(shù)據(jù), 提高系統(tǒng)安全行, 對(duì)密碼不符合要求的計(jì)算機(jī)在多次警告后阻斷其連網(wǎng).
(2)采用防火墻技術(shù).防火墻技術(shù)是通常安裝在單獨(dú)的計(jì)算機(jī)上, 與網(wǎng)絡(luò)的其余部分隔開(kāi), 它使內(nèi)部網(wǎng)絡(luò)與In ternet 之間或與其他外部網(wǎng)絡(luò)互相隔離,限制網(wǎng)絡(luò)互訪, 用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入, 執(zhí)行安全管制措施, 記錄所有可疑事件.它是在兩個(gè)網(wǎng)絡(luò)之間實(shí)行控制策略的系統(tǒng), 是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù).采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有:
①深度數(shù)據(jù)包處理.深度數(shù)據(jù)包處理在一個(gè)數(shù)據(jù)流當(dāng)中有多個(gè)數(shù)據(jù)包, 在尋找攻擊異常行為的同時(shí), 保持整個(gè)數(shù)據(jù)流的狀態(tài).深度數(shù)據(jù)包處理要求以極高的速度分析、檢測(cè)及重新組裝應(yīng)用流量, 以避免應(yīng)用時(shí)帶來(lái)時(shí)延.
②TCP? IP 終止.應(yīng)用層攻擊涉及多種數(shù)據(jù)包, 并且常常涉及不同的數(shù)據(jù)流.流量分析系統(tǒng)要發(fā)揮功效, 就必須在用戶與應(yīng)用保持互動(dòng)的整個(gè)會(huì)話期間, 能夠檢測(cè)數(shù)據(jù)包和請(qǐng)求, 以尋找攻擊行為.至少, 這需要能夠終止傳輸層協(xié)議, 并且在整個(gè)數(shù)據(jù)流而不是僅僅在單個(gè)數(shù)據(jù)包中尋找惡意模式.系統(tǒng)中存著一些訪問(wèn)網(wǎng)絡(luò)的木馬、病毒等IP 地址, 檢查訪問(wèn)的IP 地址或者端口是否合法, 有效的TCP? IP 終止, 并有效地扼殺木馬.時(shí)等.
③IP?U RL 過(guò)濾.一旦應(yīng)用流量是明文格式, 就必須檢測(cè)HTTP 請(qǐng)求的U RL 部分, 尋找惡意攻擊的跡象, 這就需要一種方案不僅能檢查RUL , 還能檢查請(qǐng)求的其余部分.其實(shí), 如果把應(yīng)用響應(yīng)考慮進(jìn)來(lái), 可以大大提高檢測(cè)攻擊的準(zhǔn)確性.雖然U RL 過(guò)濾是一項(xiàng)重要的操作,可以阻止通常的腳本類型的攻擊.
④訪問(wèn)網(wǎng)絡(luò)進(jìn)程跟蹤.訪問(wèn)網(wǎng)絡(luò)進(jìn)程跟蹤.這是防火墻技術(shù)的最基本部分, 判斷進(jìn)程訪問(wèn)網(wǎng)絡(luò)的合法性, 進(jìn)行有效攔截.這項(xiàng)功能通常借助于TD I層的網(wǎng)絡(luò)數(shù)據(jù)攔截, 得到操作網(wǎng)絡(luò)數(shù)據(jù)報(bào)的進(jìn)程的詳細(xì)信息加以實(shí)現(xiàn).
(3) 封存所有空閑的IP 地址, 啟動(dòng)IP 地址綁定采用上網(wǎng)計(jì)算機(jī)IP 地址與MCA 地址唯一對(duì)應(yīng), 網(wǎng)絡(luò)沒(méi)有空閑IP 地址的策略.由于采用了無(wú)空閑IP 地址策略, 可以有效防止IP 地址引起的網(wǎng)絡(luò)中斷和移動(dòng)計(jì)算機(jī)隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密.
(4) 屬性安全控制.它能控制以下幾個(gè)方面的權(quán)限: 防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個(gè)文件寫(xiě)數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等.網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件.
(5) 啟用殺毒軟件強(qiáng)制安裝策略, 監(jiān)測(cè)所有運(yùn)行在局域網(wǎng)絡(luò)上的計(jì)算機(jī), 對(duì)沒(méi)有安裝殺毒軟件的計(jì)算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件.
6.3 病毒防治
(1)增加安全意識(shí)和安全知識(shí), 對(duì)工作人員定期培訓(xùn).首先明確病毒的危害, 文件共享的時(shí)候盡量控制權(quán)限和增加密碼, 對(duì)來(lái)歷不明的文件運(yùn)行前進(jìn)行查殺等, 都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播.這些措施對(duì)杜絕病毒, 主觀能動(dòng)性起到很重要的作用.
(2) 小心使用移動(dòng)存儲(chǔ)設(shè)備.在使用移動(dòng)存儲(chǔ)設(shè)備之前進(jìn)行病毒的掃描和查殺, 也可把病毒拒絕在外.
(3) 挑選網(wǎng)絡(luò)版殺毒軟件.一般而言, 查殺是否徹底, 界面是否友好、方便, 能否實(shí)現(xiàn)遠(yuǎn)程控制、集中管理是決定一個(gè)網(wǎng)絡(luò)殺毒軟件的三大要素.瑞星殺毒軟件在這些方面都相當(dāng)不錯(cuò), 能夠熟練掌握瑞星殺毒軟件使用, 及時(shí)升級(jí)殺毒軟件病毒庫(kù), 有效使用殺毒軟件是防毒殺毒的關(guān)鍵.
通過(guò)以上策略的設(shè)置, 能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行中存在的問(wèn)題, 快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲(chóng)等網(wǎng)絡(luò)安全威脅的切入點(diǎn), 及時(shí)、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò).
局域網(wǎng)安全控制與病毒防治是一項(xiàng)長(zhǎng)期而艱巨的任務(wù), 需要不斷的探索.隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展計(jì)算機(jī)病毒形式及傳播途徑日趨多樣化, 安全問(wèn)題日益復(fù)雜化, 網(wǎng)絡(luò)安全建設(shè)已不再像單臺(tái)計(jì)算安全防護(hù)那樣簡(jiǎn)單.計(jì)算機(jī)網(wǎng)絡(luò)安全需要建立多層次的、立體的防護(hù)體系, 要具備完善的管理系統(tǒng)來(lái)設(shè)置和維護(hù)對(duì)安全的防護(hù)策略.
第七章 結(jié)論
(1)配置防火墻.利用防火墻,在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問(wèn)控制尺度,允許防火墻同意訪問(wèn)的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時(shí)將不允許的用戶與數(shù)據(jù)拒之門(mén)外,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)自己的網(wǎng)絡(luò),防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息.防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制, 防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以,防火墻是網(wǎng)絡(luò)安全的重要一環(huán).
(2)網(wǎng)絡(luò)病毒的防范.在網(wǎng)絡(luò)環(huán)境下,病毒 傳播擴(kuò)散快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品.校園網(wǎng)絡(luò)是內(nèi)部局域網(wǎng),就需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件.如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件,加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全.如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換,還需要一套基于郵件服務(wù)器平臺(tái)的郵件防病毒軟件,識(shí)別出隱藏在電子郵件和附件中的病毒.所以最好使用全方位的防病毒產(chǎn)品,針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件,通過(guò)全方位、多層次的防病毒系統(tǒng)的配置,通過(guò)定期或不定期的自動(dòng)升級(jí),使網(wǎng)絡(luò)免受病毒的侵襲.
(3)采用入侵檢測(cè)系統(tǒng).入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未 授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù).在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄,入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng), 從而達(dá)到限制這些活動(dòng),以保護(hù)系統(tǒng)的安全.在校園網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù),最好采用混合入侵檢測(cè),在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng),則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系.
(4)Web,Email,BBS的安全監(jiān)測(cè)系統(tǒng).在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò), 截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容 ,建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù).及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容,及時(shí)向上級(jí)安全網(wǎng)管中 心報(bào)告,采取措施.
(5)IP盜用問(wèn)題的解決.在路由器上捆綁IP和MAC地址.當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Internet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行.否則不允許通過(guò)路由器,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息.
(6)漏洞掃描系統(tǒng).解決網(wǎng)絡(luò)層安全問(wèn)題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn).面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估,顯然是不現(xiàn)實(shí)的.解決的方案是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò) 安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患.在要求安全程度不高的情況下,可以利用各種黑客工具,對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞.
(7)利用網(wǎng)絡(luò)監(jiān)聽(tīng)維護(hù)子網(wǎng)系統(tǒng)安全.對(duì)于網(wǎng)絡(luò)外部的入侵可以通過(guò)安裝防火墻來(lái)解決,但是對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲則無(wú)能為力.在這種情況下,我們可以采用對(duì)各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件,為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù).設(shè)計(jì)一個(gè)子網(wǎng)專用的監(jiān)聽(tīng)程序.該軟件的主要功能為長(zhǎng)期監(jiān)聽(tīng)子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況,為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份.
總之,網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程,不能僅僅依靠防火墻等單個(gè)的系統(tǒng),而需要仔細(xì)考慮系統(tǒng)的安全需求,并將各種安全技術(shù),如密碼技術(shù)等結(jié)合在 一起,才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng).
參考文獻(xiàn)
[1] 胡勝紅.畢婭.《網(wǎng)絡(luò)工程原理與實(shí)踐教程》人民郵電出版社,2008
[2] 江大慶.吳強(qiáng).《網(wǎng)絡(luò)互聯(lián)及路由器技術(shù)》.北京.清華大學(xué)出版社,2009
[3] 邊宇樞.《網(wǎng)絡(luò)系統(tǒng)管理與維護(hù)》. 北京.中央廣播電視大學(xué)出版社,2009
網(wǎng)絡(luò)技術(shù)的普及和應(yīng)用正在改變傳統(tǒng)的信息技術(shù)產(chǎn)業(yè),信息交流變得更加快捷和便利,但是這樣也給網(wǎng)絡(luò)信息的保密提出了更高的要求。
1.計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題產(chǎn)生的背景
計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用已經(jīng)滲透到社會(huì)的各個(gè)領(lǐng)域,網(wǎng)絡(luò)信息安全已經(jīng)成為人們?nèi)粘I铑H為關(guān)注的問(wèn)題。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用和發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題也越來(lái)越受到人們的關(guān)注。網(wǎng)絡(luò)安全問(wèn)題日益顯得重要,網(wǎng)絡(luò)的開(kāi)放性與共享性,系統(tǒng)的復(fù)雜性,邊界的不確定性,以及路徑的不確定性,等等,都導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題的發(fā)生,使得網(wǎng)絡(luò)很容易受到外界的攻擊和破壞,同樣也使得數(shù)據(jù)信息的保密性受到嚴(yán)重的影響。網(wǎng)絡(luò)安全問(wèn)題已經(jīng)迫在眉睫。
2.網(wǎng)絡(luò)信息安全的重要性
隨著信息技術(shù)的快速發(fā)展,隨之而來(lái)的就是網(wǎng)絡(luò)平臺(tái)的安全問(wèn)題,因此,人們對(duì)網(wǎng)絡(luò)環(huán)境的要求越來(lái)越高,對(duì)網(wǎng)絡(luò)安全也越來(lái)越重視。無(wú)論是網(wǎng)上交易,還是網(wǎng)絡(luò)信息的傳遞,都是對(duì)網(wǎng)絡(luò)安全提出的一個(gè)很大的挑戰(zhàn)。網(wǎng)絡(luò)信息安全已經(jīng)成為國(guó)家、國(guó)防,以及國(guó)民經(jīng)濟(jì)的重要組成部分。隨著計(jì)算機(jī)通訊技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)將會(huì)日益成為農(nóng)業(yè)、工業(yè)和國(guó)防等方面的重要信息交換手段,滲透到社會(huì)的各個(gè)領(lǐng)域?;谝陨系那闆r,我們必須認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在的威脅。所以,采取強(qiáng)力的安全措施是必要的,對(duì)于保證網(wǎng)絡(luò)信息的安全傳遞十分重要。而目前并沒(méi)有任何的計(jì)算機(jī)技術(shù)能完全保證網(wǎng)絡(luò)信息的安全性,所以我們除了要加強(qiáng)技術(shù)方面的發(fā)展,還必須考慮非技術(shù)方面的因素,例如人們的安全意識(shí)等。
3.網(wǎng)絡(luò)安全信息所面臨的主要威脅
3.1計(jì)算機(jī)病毒的威脅。
病毒可以說(shuō)是當(dāng)前網(wǎng)絡(luò)信息最主要的威脅,其發(fā)展趨勢(shì)呈爆發(fā)式增長(zhǎng)。國(guó)際安全協(xié)會(huì)的統(tǒng)計(jì)表明:計(jì)算機(jī)病毒正在以每年超過(guò)50%的速度增長(zhǎng)。我國(guó)最大的防病毒廠商瑞星公司的報(bào)告顯示:2004年上半年截獲各種新型病毒11835個(gè),2005年同期為26927個(gè),而到2006年同期達(dá)到了119402個(gè),2007年達(dá)到133717個(gè),而2008年截獲的病毒木馬居然達(dá)到了1242244個(gè),數(shù)量已經(jīng)超過(guò)近五年來(lái)病毒數(shù)量的總和。以前,一個(gè)計(jì)算機(jī)病毒需要3年的時(shí)間才能傳遍全球,而現(xiàn)在借助網(wǎng)絡(luò)信息則只需要僅僅幾分鐘。根據(jù)有關(guān)部門(mén)統(tǒng)計(jì),從2000年開(kāi)始至今,全球數(shù)千萬(wàn)臺(tái)計(jì)算機(jī)受到病毒感染,累計(jì)造成經(jīng)濟(jì)損失1000多億美元,給全球的經(jīng)濟(jì)、科技的發(fā)展帶來(lái)巨大的損失。
3.2計(jì)算機(jī)黑客的威脅。
根據(jù)我國(guó)公安部門(mén)的統(tǒng)計(jì),1997年我國(guó)發(fā)生的與黑客有關(guān)的網(wǎng)絡(luò)犯罪20起,1998年142起,1999年908起,2000年就超過(guò)了3000起,從2001年到目前為止,每年的網(wǎng)絡(luò)犯罪更是數(shù)以萬(wàn)計(jì),并且由于網(wǎng)絡(luò)的隱蔽性,導(dǎo)致了破案率還不到10%。
3.3流氓軟件的威脅。
當(dāng)前越來(lái)越多的正規(guī)軟件廠商受到利益的驅(qū)使,大量的制作并使用介于正規(guī)軟件和病毒軟件之間的流氓軟件,而這些軟件大多又具有木馬的特征,與病毒之間的界限也越來(lái)越模糊。根據(jù)有關(guān)部門(mén)調(diào)查顯示,從2006年開(kāi)始,流氓軟件對(duì)用戶的侵害有超過(guò)病毒的趨勢(shì),嚴(yán)重地干擾了用戶的日常工作,信息數(shù)據(jù)安全,以及個(gè)人隱私。
4.影響網(wǎng)絡(luò)信息安全的主要因素
當(dāng)前影響網(wǎng)絡(luò)安全的因素很多,但是主要還是來(lái)自法律、管理、技術(shù)三個(gè)大方面。
4.1網(wǎng)絡(luò)信息安全的相關(guān)法律法規(guī)的不健全。
對(duì)于網(wǎng)絡(luò)犯罪越來(lái)越猖獗的情況,世界各國(guó)都已經(jīng)開(kāi)始擬定相關(guān)的法律法規(guī),但是在互聯(lián)網(wǎng)這樣一個(gè)虛擬的世界里,可以說(shuō)很難對(duì)網(wǎng)絡(luò)信息犯罪進(jìn)行監(jiān)控和證據(jù)的收集。而制裁傳統(tǒng)犯罪的法律法規(guī)又并不適合于網(wǎng)絡(luò)信息犯罪,關(guān)于世界各國(guó)對(duì)于網(wǎng)絡(luò)的犯罪底線又過(guò)于模糊和籠統(tǒng),實(shí)在是很難有一個(gè)清楚的界限。網(wǎng)絡(luò)世界里的立法尚有許多的空白點(diǎn),這也導(dǎo)致了網(wǎng)絡(luò)世界的“無(wú)政府”狀態(tài)的情況日益加劇,網(wǎng)絡(luò)信息犯罪呈泛濫的趨勢(shì),但是真正被送上審判席的可以說(shuō)少之又少,網(wǎng)絡(luò)犯罪幾乎是無(wú)處不在。雖然目前有好幾例網(wǎng)絡(luò)信息犯罪被送上審判庭,但這對(duì)于目前龐大的網(wǎng)絡(luò)犯罪數(shù)量來(lái)說(shuō)只是冰山一角。
4.2網(wǎng)絡(luò)信息安全意識(shí)淡薄,管理體制不夠健全。
網(wǎng)絡(luò)信息安全管制是網(wǎng)絡(luò)安全的一個(gè)重要不可缺少的因素,但是大多數(shù)人的安全意識(shí)很薄弱,重技術(shù)、輕管理,殊不知大部分的信息安全問(wèn)題都是出自于管理上的疏忽。在制度、流程和人員管理方面相當(dāng)?shù)幕靵y,這就為網(wǎng)絡(luò)信息安全留下隱患,也為盜取信息者大開(kāi)方便之門(mén)。據(jù)網(wǎng)絡(luò)信息安全專家不完全統(tǒng)計(jì),約80%的信息泄露都是由于管理上的疏忽。
4.3網(wǎng)絡(luò)安全技術(shù)存在著不足。
網(wǎng)絡(luò)信息系統(tǒng)安全一般由網(wǎng)絡(luò)協(xié)議層安全、宿主操作系統(tǒng)層安全、數(shù)據(jù)庫(kù)管理系統(tǒng)層安全和應(yīng)用程序?qū)影踩膫€(gè)層次組成,而這四個(gè)安全層次均在不同程度上存在安全方面的先天不足。首先,網(wǎng)絡(luò)協(xié)議存在安全缺陷。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)信息系統(tǒng)的基石,TCP/IP協(xié)議族是目前使用最廣泛的互聯(lián)網(wǎng)協(xié)議,已經(jīng)成為互聯(lián)網(wǎng)的事實(shí)標(biāo)準(zhǔn)。但令人遺憾的是,TCP/IP協(xié)議族的各種應(yīng)用服務(wù)和通信流程在設(shè)計(jì)上均存在不同程度的安全缺陷,加之其以明文方式傳送數(shù)據(jù),導(dǎo)致欺騙攻擊、否認(rèn)服務(wù)、拒絕服務(wù)、數(shù)據(jù)截取和數(shù)據(jù)纂改等網(wǎng)絡(luò)攻擊可以輕而易舉地實(shí)現(xiàn)。其次,作為網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行平臺(tái),當(dāng)前主流的操作系統(tǒng)Windows、UNIX、Unux等在體系結(jié)構(gòu)的設(shè)計(jì)上均存在對(duì)安全性要求考慮不周的缺陷。根據(jù)美國(guó)國(guó)家安全局(NSA)的國(guó)家計(jì)算機(jī)安全中心1983年8月頒發(fā)的官方標(biāo)準(zhǔn),受信任計(jì)算機(jī)系統(tǒng)評(píng)量基準(zhǔn),它們都屬于安全級(jí)別較低的CZ級(jí),其可動(dòng)態(tài)連接機(jī)制、可動(dòng)態(tài)創(chuàng)建遠(yuǎn)程/近程進(jìn)程機(jī)制、特權(quán)程序適時(shí)激活機(jī)制和無(wú)口令遠(yuǎn)程過(guò)程調(diào)用服務(wù)人口為遠(yuǎn)程傳輸并執(zhí)行惡意程序大開(kāi)綠燈,成為病毒和黑客的樂(lè)園。再次,作為電子商務(wù)、金融,以及EPR系統(tǒng)等各種應(yīng)用的基礎(chǔ),當(dāng)前主流的數(shù)據(jù)庫(kù)管理系統(tǒng)Oracle、DBZ、SQL、Sybase等在設(shè)計(jì)上缺乏全面考慮的安全分級(jí)管理策略,其與操作系統(tǒng)的眾多接口很容易造成核心權(quán)限的失控,導(dǎo)致基于數(shù)據(jù)庫(kù)漏洞的網(wǎng)絡(luò)攻擊成為黑客最常采用的攻擊手段之一。最后,當(dāng)前主流的軟件開(kāi)發(fā)技術(shù)瀑布模型、敏捷建模、中間件技術(shù)及軟件構(gòu)件化技術(shù)等對(duì)安全因素均不夠重視。軟件開(kāi)發(fā)商和開(kāi)發(fā)人員為追求商業(yè)利益,在應(yīng)用程序開(kāi)發(fā)過(guò)程中普遍存在重應(yīng)用輕安全的思想,對(duì)威脅建模、安全策略和安全測(cè)試考慮不周,而寧可采取亡羊補(bǔ)牢的方法,導(dǎo)致當(dāng)前各種應(yīng)用程序漏洞頻發(fā)和補(bǔ)丁程序滿天飛這一極不正常的現(xiàn)象。并且由于補(bǔ)丁程序滯后于漏洞攻擊程序這一必然規(guī)律,用戶別無(wú)選擇地被至于危險(xiǎn)的境地。
5.保障網(wǎng)絡(luò)信息安全的手段和措施
雖然網(wǎng)絡(luò)信息系統(tǒng)的安全缺陷和安全威脅是客觀存在的,但其風(fēng)險(xiǎn)是可以控制乃至規(guī)避的。
5.1網(wǎng)絡(luò)信息安全的立法工作,強(qiáng)化對(duì)網(wǎng)絡(luò)信息安全的重視。
法律是打擊網(wǎng)絡(luò)信息犯罪最有力的武器,是保障網(wǎng)絡(luò)信息安全的根本。對(duì)所有危害網(wǎng)絡(luò)信息安全的行為實(shí)施嚴(yán)厲的法律制裁,才能從根本上解決當(dāng)前信息網(wǎng)絡(luò)病毒泛濫、黑客猖撅、流氓軟件明火執(zhí)仗的無(wú)政府現(xiàn)狀。網(wǎng)絡(luò)信息安全也引起了我國(guó)政府的重視,國(guó)家有關(guān)部門(mén)建立了相應(yīng)的機(jī)構(gòu),了有關(guān)的法規(guī),以期加強(qiáng)對(duì)網(wǎng)絡(luò)信息安全的管理。2005年4月1日開(kāi)始實(shí)行《中華人民共和國(guó)電子簽名法》,該法對(duì)于電子銀行的業(yè)務(wù)發(fā)展是相當(dāng)重要的,為銀行在網(wǎng)絡(luò)上的發(fā)展提供了基礎(chǔ)的法律保障。2001年中國(guó)人民銀行制定頒布的《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》直接規(guī)范了電子銀行業(yè)務(wù)。為了有效地控制電子銀行業(yè)務(wù)的風(fēng)險(xiǎn),中國(guó)銀監(jiān)會(huì)制定了《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評(píng)估指引》,并且從2006年3月1日起正式實(shí)施,這一切都反映出我國(guó)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全的高度重視,以及努力推動(dòng)我國(guó)金融信息安全產(chǎn)業(yè)發(fā)展、提高我國(guó)信息安全技術(shù)水平的決心。
5.2強(qiáng)化網(wǎng)絡(luò)信息安全體制。
研究表明,絡(luò)信息安全漏洞主要是由于管理不善,因此,我們首先必須建立科學(xué)合理的網(wǎng)絡(luò)信息安全管理、執(zhí)行和監(jiān)督機(jī)構(gòu),明確網(wǎng)絡(luò)信息安全原則,構(gòu)建網(wǎng)絡(luò)信息安全策略,合理協(xié)調(diào)法律、技術(shù)和管理等諸多因素,實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的制度化。其次,必須建立從監(jiān)測(cè)、響應(yīng)、防護(hù)到恢復(fù)的一整套科學(xué)合理的網(wǎng)絡(luò)信息安全管理體制,保證網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)轉(zhuǎn)。再次,必須正確認(rèn)識(shí)當(dāng)前的防病毒技術(shù)、人侵檢測(cè)技術(shù)、防火墻技術(shù)、加密、解密技術(shù)、認(rèn)證技術(shù)及數(shù)據(jù)恢復(fù)技術(shù)的重要性和局限性,采用最先進(jìn)的安全技術(shù)保障網(wǎng)絡(luò)信息安全。最后,加強(qiáng)人員的安全培訓(xùn),提高網(wǎng)絡(luò)信息安全防范意識(shí),盡量減少人為因素造成的風(fēng)險(xiǎn)。
5.3開(kāi)發(fā)安全的軟件,防范于未然。
提高軟件開(kāi)發(fā)組織及其從業(yè)人員的安全意識(shí),致力于開(kāi)發(fā)安全的軟件,從根本上減少軟件系統(tǒng)的安全缺陷才是網(wǎng)絡(luò)安全的終極之道。因此,所有軟件開(kāi)發(fā)從業(yè)人員必須掌握安全軟件開(kāi)發(fā)的思想和技術(shù),堅(jiān)決杜絕無(wú)視安全的開(kāi)發(fā)。軟件開(kāi)發(fā)組織必須建立完善的安全軟件開(kāi)發(fā)管理制度,在軟件開(kāi)發(fā)過(guò)程中將軟件安全性作為軟件質(zhì)量的一個(gè)重要測(cè)度,在設(shè)計(jì)階段加入安全對(duì)策,并進(jìn)行嚴(yán)格的安全測(cè)試,在正式前較少軟件的安全缺陷,確保軟件系統(tǒng)的安全性。
綜上所述,網(wǎng)絡(luò)信息安全是一個(gè)復(fù)雜的綜合性工程,涉及法律、管理和技術(shù)等多個(gè)領(lǐng)域。雖然目前已經(jīng)取得了一定的成效,但形勢(shì)依然十分嚴(yán)峻,必須依靠眾多相關(guān)方的共同努力,才能為廣大信息網(wǎng)絡(luò)用戶打造一個(gè)安全可靠的應(yīng)用環(huán)境。
參考文獻(xiàn):
[1]李衛(wèi).計(jì)算機(jī)網(wǎng)絡(luò)安全與管理.北京:清華大學(xué)出版社,2006.1.
[2]蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù).北京:中國(guó)水利水電出版社,2005.2.
數(shù)據(jù)安全 數(shù)字圖書(shū)館 數(shù)據(jù)庫(kù) 復(fù)制技術(shù)
一、論題背景
隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,我國(guó)各高校的數(shù)字圖書(shū)館系統(tǒng),無(wú)論從承載的業(yè)務(wù)量和數(shù)據(jù)規(guī)模,還是提供服務(wù)的質(zhì)量上,都得到了很大的提高,特別是通過(guò)Internet對(duì)外提供的很多人性化的服務(wù),例如:館際互借、網(wǎng)上預(yù)約、在線續(xù)借、在線查詢、推薦訂購(gòu)等等。
然而,Internet作為一個(gè)龐大的計(jì)算機(jī)網(wǎng)絡(luò),其通??缭降奈锢矸秶鷱膸资锏綆浊Ч?它能連接多個(gè)城市或國(guó)家,或者橫跨幾個(gè)洲,并能提供遠(yuǎn)距離通信,形成國(guó)際性的遠(yuǎn)程網(wǎng)絡(luò)。其具有信息資源的共享性、整體的開(kāi)放性和分布的廣域性,而真是這些特點(diǎn)為系統(tǒng)的破壞、信息的盜取以及非法的操作,提供了極為方便和難以預(yù)防控制的可乘之機(jī)。因此,數(shù)字圖書(shū)館的數(shù)據(jù)安全性是現(xiàn)代各高校圖書(shū)館必須關(guān)注的核心問(wèn)題,其直接關(guān)系到數(shù)字圖書(shū)館的可用性、安全性、穩(wěn)定性以及未來(lái)的發(fā)展。
二、數(shù)據(jù)安全的因素
影響數(shù)字圖書(shū)館的數(shù)據(jù)安全因素較多,包括內(nèi)部的、外界的、人為的和不可抗因素等等,但主要可以羅列為以下幾個(gè)因素:
首先,是自然災(zāi)害原因,如火災(zāi)、地震、水災(zāi)、雷擊等各種自然災(zāi)害導(dǎo)致主機(jī)損壞而造成的數(shù)據(jù)丟失情況。
其次,因服務(wù)器突然斷電或者主機(jī)耗損過(guò)度而導(dǎo)致有重要數(shù)據(jù)的硬盤(pán)損壞,從而造成的數(shù)據(jù)丟失情況。
其次,人為的誤操作導(dǎo)致,如誤拔電源、誤刪除重要文件等造成的數(shù)據(jù)丟失情況。
其次,來(lái)自Internet的惡意攻擊,如網(wǎng)絡(luò)黑客惡意攻擊數(shù)字圖書(shū)館服務(wù)器,損壞數(shù)據(jù)和重要文件而造成的數(shù)據(jù)丟失情況。
最后,軟件故障原因,如某些惡意軟件或者帶有病毒的盜版軟件,導(dǎo)致操作系統(tǒng)損壞或者數(shù)據(jù)丟失情況。
由此可見(jiàn),怎樣妥善處理好以上5個(gè)主要因素,是保證數(shù)字圖書(shū)館的數(shù)據(jù)安全的根本。
三、提高數(shù)據(jù)安全性措施
針對(duì)以上提到的影響數(shù)字圖書(shū)館數(shù)據(jù)安全因素,我們可以從軟件安全措施、硬件安全措施和人員素質(zhì)培養(yǎng),這三個(gè)方面來(lái)解決數(shù)字圖書(shū)館在數(shù)據(jù)安全性方面存在的問(wèn)題。
1. 工作人員素質(zhì)
圖書(shū)館管理員的個(gè)人素質(zhì)高低,對(duì)于數(shù)字圖書(shū)館的數(shù)據(jù)安全有直接的影響。因此,針對(duì)圖書(shū)館工作人員的安全素質(zhì)培訓(xùn)是非常重要的。我們可以采用以下措施:
首先,對(duì)于圖書(shū)館管理人員的選拔,我們應(yīng)該盡量選擇那些做事比較細(xì)心、慎重的,最好有計(jì)算機(jī)知識(shí)基礎(chǔ)的人,謹(jǐn)慎使用做事比較粗心大意的人。
其次,我們要定期對(duì)圖書(shū)館工作人員進(jìn)行安全培訓(xùn)和考核,包括系統(tǒng)安全、軟件安全、數(shù)據(jù)庫(kù)安全和服務(wù)器安全等。只有這樣,我們的工作人員的安全素質(zhì)才會(huì)不斷地提高,同時(shí)圖書(shū)館的數(shù)據(jù)安全也得到了人力的保障。
最后,我們要對(duì)以前出現(xiàn)過(guò)的故障,以及經(jīng)常遇到的問(wèn)題進(jìn)行總結(jié),這樣我們圖書(shū)館的工作人員的實(shí)戰(zhàn)經(jīng)驗(yàn)會(huì)得到很大的提升,工作效率相對(duì)的也會(huì)提高很多。
2. 硬件安全措施
硬件安全措施主要是指儲(chǔ)存數(shù)字圖書(shū)館數(shù)據(jù)的服務(wù)器安全,其對(duì)于數(shù)字圖書(shū)館的數(shù)據(jù)安全也有著直接的影響,因?yàn)橐坏┓?wù)器出現(xiàn)故障,例如磁盤(pán)損壞,那么其后果可能是無(wú)法彌補(bǔ)的。
3.軟件安全措施
軟件安全措施分為系統(tǒng)軟件安全措施和應(yīng)用軟件安全措施。系統(tǒng)軟件安全包括操作系統(tǒng)和數(shù)據(jù)庫(kù),其安全是其他軟件安全的基礎(chǔ)。應(yīng)用軟件安全措施主要是指數(shù)字圖書(shū)館系統(tǒng)軟件安全措施,其安全是保證數(shù)字圖書(shū)館的數(shù)據(jù)安全的首要保障。
(1)操作系統(tǒng)安全措施。操作系統(tǒng)安全是其他所有應(yīng)用軟件的安全根本,也是數(shù)字圖書(shū)館的數(shù)據(jù)安全的前提。對(duì)于windows系列的操作系統(tǒng),因?yàn)槠鋺?yīng)用最為廣泛,因此最容易受到計(jì)算機(jī)病毒感染,也總?cè)菀自獾胶诳蛡兊墓簟?/p>
(2)數(shù)據(jù)庫(kù)安全措施。數(shù)據(jù)庫(kù)是存儲(chǔ)圖書(shū)館系統(tǒng)數(shù)據(jù)的地方,其安全和穩(wěn)定性直接關(guān)系到整個(gè)數(shù)字圖書(shū)館能否正常運(yùn)行,是保證數(shù)字圖書(shū)館數(shù)據(jù)安全的重中之重!目前比較流行的數(shù)據(jù)庫(kù)有甲骨文公司的Oracle和MySQL,IBM公司的db2,SYBASE公司的Sybase數(shù)據(jù)庫(kù),微軟公司的SQL Server數(shù)據(jù)庫(kù)。各高校目前比較通用的是Oracle和SQL Server兩種數(shù)據(jù)庫(kù)。那么對(duì)于數(shù)據(jù)庫(kù)的安全性,我們可以采用以下措施:
首先,依然強(qiáng)調(diào)的是選擇正版的、穩(wěn)定性好的數(shù)據(jù)庫(kù)產(chǎn)品,這樣如果后期數(shù)據(jù)庫(kù) 出現(xiàn)重大問(wèn)題,我們可以直接聯(lián)系相關(guān)的數(shù)據(jù)庫(kù)廠家,進(jìn)行修復(fù)和完善。 其次,我們需要定期對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行備份,這是最廉價(jià)的安全防范措施。我們可以通過(guò)手工備份相關(guān)數(shù)據(jù)文件,也可以采用數(shù)據(jù)庫(kù)的復(fù)制技術(shù)來(lái)實(shí)現(xiàn)。 最后,我們需要定期查看數(shù)據(jù)庫(kù)的監(jiān)控日志,監(jiān)控日志中一般都記錄了數(shù)據(jù)庫(kù)的運(yùn)行情況,以此來(lái)核查我們?cè)?/p>
日常操作中無(wú)法覺(jué)察到的異常情況,并將異常問(wèn)題提交到數(shù)據(jù)庫(kù)產(chǎn)品廠家,以便及時(shí)給數(shù)據(jù)庫(kù)存在的漏洞打上補(bǔ)丁。
(3)數(shù)字圖書(shū)館系統(tǒng)安全措施。數(shù)字圖書(shū)館系統(tǒng)是直接操作后臺(tái)數(shù)據(jù)庫(kù)的,因此它對(duì)數(shù)字圖書(shū)館數(shù)據(jù)的安全具有直接的影響。對(duì)于數(shù)字圖書(shū)館系統(tǒng)軟件安全,首先,我們應(yīng)該對(duì)其進(jìn)行嚴(yán)格的賬戶管理,賬戶密碼的復(fù)雜度盡量要高,防止有人盜取賬戶進(jìn)行惡意操作;其次,應(yīng)該要求數(shù)據(jù)庫(kù)廠家定期檢查或修復(fù)系統(tǒng)存在的異常和漏洞,以防止網(wǎng)絡(luò)黑客進(jìn)行惡意攻擊;最后,要定期對(duì)圖書(shū)館管理員進(jìn)行軟件操作及安全性培訓(xùn),防止因圖書(shū)館管理員失誤而造成數(shù)據(jù)丟失和異常情況發(fā)生。
數(shù)字圖書(shū)館的數(shù)據(jù)安全與否,是整個(gè)圖書(shū)館系統(tǒng)得以正常運(yùn)行和對(duì)外提供服務(wù)的根本,其是未來(lái)數(shù)字圖書(shū)館發(fā)展的必須關(guān)注的一個(gè)關(guān)鍵環(huán)節(jié)。因此,對(duì)于圖書(shū)館的全體工作人員,應(yīng)該要有較高的安全意識(shí)和豐富的計(jì)算機(jī)安全知識(shí)。只有這樣,才能為廣大師生提供一個(gè)安全的、穩(wěn)定的和人性化的數(shù)字圖書(shū)館服務(wù)。也只有這樣,才能保證數(shù)字圖書(shū)館的可持續(xù)發(fā)展。
參考文獻(xiàn):
[1]《信息安全概論》,段云所,2003年9月,高等教育出版社.
[2]《數(shù)據(jù)庫(kù)安全》,陳越,2011年7月,國(guó)防工業(yè)出版社。
對(duì)于企業(yè)信息通信網(wǎng)絡(luò)環(huán)境來(lái)說(shuō),容易出現(xiàn)問(wèn)題是用戶。很多企業(yè)用戶,包括高級(jí)管理人員以及其他具有訪問(wèn)特權(quán)的人,每天都在網(wǎng)絡(luò)中進(jìn)行各種行為,沒(méi)有安全意識(shí)中進(jìn)行一些違規(guī)操作,從而企業(yè)網(wǎng)絡(luò)安全出行問(wèn)題。對(duì)此,最佳的防范措施應(yīng)該是開(kāi)展安全知識(shí)培訓(xùn),規(guī)范用戶行為,提高安全意識(shí)。
1.1網(wǎng)絡(luò)用戶的行為管理需要規(guī)范。
網(wǎng)絡(luò)行為的根本出發(fā)點(diǎn),不僅僅是對(duì)設(shè)備進(jìn)行保護(hù),也不是對(duì)數(shù)據(jù)進(jìn)行監(jiān)控防范,而是規(guī)范企業(yè)員工在網(wǎng)絡(luò)中的各種行為,也就是對(duì)人的管理。規(guī)范企業(yè)員工的網(wǎng)絡(luò)行為需要通過(guò)技術(shù)設(shè)備和規(guī)章制度的結(jié)合來(lái)進(jìn)行。網(wǎng)絡(luò)中用戶的各種不規(guī)范行為主要包括:正常使用互聯(lián)網(wǎng)時(shí)訪問(wèn)到被人為惡意控制的網(wǎng)站或者網(wǎng)頁(yè)。這些被控制的網(wǎng)站被黑客植入后門(mén),方便攻擊者竊取企業(yè)的各類內(nèi)部數(shù)據(jù)或者控制其連接互聯(lián)網(wǎng)的服務(wù)器。
1.2網(wǎng)絡(luò)用戶的安全意識(shí)需要加強(qiáng)。
各種安全設(shè)備的建立和安全技術(shù)的應(yīng)用只是企業(yè)信息通信網(wǎng)絡(luò)安全防護(hù)的一部分,關(guān)鍵是加強(qiáng)企業(yè)網(wǎng)絡(luò)用戶的安全意識(shí),貫徹落實(shí)企業(yè)的安全制度。企業(yè)只依靠技術(shù)不可能完全解決自身的安全防護(hù),因?yàn)榧夹g(shù)在不斷發(fā)展,設(shè)備在不斷更新,黑客技術(shù)也在發(fā)展和更新。所以企業(yè)管理人員必須有安全意識(shí),重視自己企業(yè)的安全措施。加強(qiáng)對(duì)員工的安全培訓(xùn),使得全體人員提高安全意識(shí),從根本杜絕安全隱患。
2企業(yè)信息通信網(wǎng)絡(luò)的安全防護(hù)
信息通信網(wǎng)絡(luò)安全防護(hù)工作,主要包括幾個(gè)方面:安全組織、安全技術(shù)、安全運(yùn)行體系。
2.1安全組織體系的構(gòu)架
信息通信網(wǎng)絡(luò)安全組織建設(shè)方面,需要建立決策、管理、協(xié)作三級(jí)組織架構(gòu),明確各層組織的職責(zé)分工和職能,對(duì)應(yīng)合理的崗位,配備相應(yīng)的人員,同時(shí)根據(jù)企業(yè)信息通信網(wǎng)絡(luò)實(shí)際情況,建立起垂直和水平的溝通、協(xié)調(diào)機(jī)制。企業(yè)中有具體的人和組織來(lái)承擔(dān)安全工作,即成立專業(yè)的信息通信網(wǎng)絡(luò)安全部門(mén),設(shè)置不同的崗位,明確對(duì)應(yīng)的職責(zé),并且賦予部門(mén)相應(yīng)的權(quán)力和信任;安全部門(mén)組織專業(yè)人員制訂出安全策略來(lái)指導(dǎo)和規(guī)范安全工作的開(kāi)展,明確哪些可以做,哪些不能做,哪些如何做,做到何種程度等等。另外需要?jiǎng)?chuàng)造合理的外部環(huán)境來(lái)推動(dòng)安全部門(mén)的工作,建立起一套快速有效的溝通協(xié)調(diào)機(jī)制,確保安全工作的高效推動(dòng)。
2.2安全技術(shù)的應(yīng)用
有了安全組織制訂的安全目標(biāo)和安全策略后,需要選擇合適的安全技術(shù)來(lái)滿足安全目標(biāo);這里主要分為信息通信網(wǎng)絡(luò)系統(tǒng)的整體防護(hù)和個(gè)人終端的防護(hù)。
2.2.1信息通信網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)。
系統(tǒng)自身漏洞而導(dǎo)致的安全風(fēng)險(xiǎn),經(jīng)常是因?yàn)樾畔⑼ㄐ啪W(wǎng)絡(luò)應(yīng)用本身的漏洞使得網(wǎng)站被病毒入侵或者被植入控制程序,導(dǎo)致企業(yè)丟失數(shù)據(jù)。因此需要建立以下防范措施:(1)部署網(wǎng)絡(luò)應(yīng)用防火墻和網(wǎng)絡(luò)應(yīng)用安全掃描器,重要的網(wǎng)絡(luò)應(yīng)用通過(guò)各種安全認(rèn)證或者許可才能進(jìn)行使用,同時(shí)保證驗(yàn)證程序本身的安全性。(2)時(shí)刻對(duì)系統(tǒng)進(jìn)行更新,對(duì)應(yīng)用程序和系統(tǒng)軟件進(jìn)行補(bǔ)丁安裝和升級(jí)。對(duì)于客戶端漏洞有以下幾種防范措施:(1)系統(tǒng)管理員要通過(guò)相應(yīng)的認(rèn)證軟件攔截限制用戶訪問(wèn)一些具有安全威脅的網(wǎng)頁(yè);(2)系統(tǒng)管理員要通過(guò)相關(guān)方案防止用戶訪問(wèn)含有攻擊和惡意軟件的網(wǎng)站;(3)系統(tǒng)管理員要禁止用戶從網(wǎng)上下載任何媒體播放文件;(4)系統(tǒng)管理員要通過(guò)部署相關(guān)軟件禁止外網(wǎng)訪問(wèn)企業(yè)的郵件服務(wù)器;(5)禁止系統(tǒng)管理員在企業(yè)內(nèi)部服務(wù)器上使用網(wǎng)頁(yè)瀏覽器、電子郵件客戶端、媒體播放器以及辦公軟件。從技術(shù)層面上而言,安全問(wèn)題無(wú)處不在,單一的防火墻、防病毒軟件、區(qū)域防御系統(tǒng)已經(jīng)不能滿足企業(yè)網(wǎng)的需要,為了應(yīng)對(duì)網(wǎng)絡(luò)中存在的多元、多層次的安全威脅,必須首先構(gòu)建一個(gè)完備的安全體系,在體系架構(gòu)下層層設(shè)防、步步為營(yíng),才能夠?qū)踩珕?wèn)題各個(gè)擊破,實(shí)現(xiàn)全網(wǎng)安全。安全體系架構(gòu):由以太網(wǎng)交換機(jī)、路由器、防火墻、流量控制與行為審計(jì)系統(tǒng)、接入認(rèn)證與強(qiáng)制管理平臺(tái)等多種網(wǎng)絡(luò)設(shè)備做技術(shù)支撐。從可信終端準(zhǔn)入、資產(chǎn)管理、訪問(wèn)控制、入侵防御、遠(yuǎn)程訪問(wèn)、行為審計(jì)、全局安全管理等多方面,構(gòu)成完善的防護(hù)體系,從而實(shí)現(xiàn)“可信、可控、可取證”的全網(wǎng)安全。其中以太網(wǎng)交換機(jī)、路由器、防火墻、流量控制與行為審計(jì)系統(tǒng)作為部署在網(wǎng)絡(luò)各個(gè)層面的組件,接入認(rèn)證與強(qiáng)制管理平臺(tái)作為全網(wǎng)調(diào)度和策略分發(fā)的決策核心,通過(guò)安全聯(lián)動(dòng),從內(nèi)外兩個(gè)安全域,三個(gè)維度構(gòu)建自適應(yīng)的安全體系。
2.2.2信息通信網(wǎng)絡(luò)中個(gè)人應(yīng)用的安全防護(hù)。
為了更好地加強(qiáng)企業(yè)信息通信網(wǎng)絡(luò)安全,必須規(guī)范用戶自己的安全行為,加強(qiáng)個(gè)人安全意識(shí),建立自己的計(jì)算機(jī)安全系統(tǒng),這就需要企業(yè)每個(gè)員工做到以下幾方面的安全措施:(1)修改計(jì)算機(jī)管理員賬戶,為系統(tǒng)管理員和備份操作員創(chuàng)建特殊賬戶。用戶要禁止所有具有管理員和備份特權(quán)的賬戶瀏覽Web,嚴(yán)禁設(shè)置缺省的Guest賬戶;(2)限制遠(yuǎn)程管理員訪問(wèn)NT平臺(tái);(3)在域控制器上,修改注冊(cè)表設(shè)置;(4)嚴(yán)格限制域中Windows工作站上的管理員特權(quán),嚴(yán)禁使用缺省值;(5)對(duì)于注冊(cè)表嚴(yán)格限制,只能進(jìn)行本地注冊(cè),不能遠(yuǎn)程訪問(wèn);(6)限制打印操作員權(quán)限的人數(shù);(7)合理配置FTP,確保服務(wù)器必須驗(yàn)證所有FTP申請(qǐng)。在確定了安全組織和安全技術(shù)后,必須通過(guò)規(guī)范的運(yùn)作過(guò)程來(lái)實(shí)施安全工作,將安全組織和安全技術(shù)有機(jī)地結(jié)合起來(lái),形成一個(gè)相互推動(dòng)、相互聯(lián)系地整體安全運(yùn)行體系,最終實(shí)現(xiàn)企業(yè)信息通信網(wǎng)絡(luò)的安全防護(hù)。
3結(jié)束語(yǔ)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤(pán)版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)