時間:2023-06-25 16:19:55
導語:在網絡安全滲透技術的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
【 關鍵詞 】 網絡安全;安全隱患;解決方案
Research on Network Security Technology and Solution
He Mao-hui
(Wuhan Bioengineering Institute HubeiWuhan 430415)
【 Abstract 】 With the rapid development of computer technology and network security, security, integrity, availability, controllability and can be reviewed and other features make the network security increasingly become the focus of public attention. In this paper, the importance of network security is discussed, and the main forms of network security risks are analyzed, and the solution of network security is put forward.
【 Keywords 】 network security; hidden danger; solution
1 引言
隨著網絡時代的發展,網絡安全問題成了當今社會不得不注意的重要問題,防范網絡安全隱患應該從每個細節抓起,提高網絡安全技術水平,加強網絡信息管理,從根本上塑造一個和諧的網絡環境。
2 網絡安全的重要性
2.1 網絡安全隱患的危害
(1)泄露私人信息。在信息化時代里,由于電腦等網絡工具不斷普及,網絡也滲透到各行業以及私人生活中。人們利用網絡進行資料的收集、上傳、保存,在共享的資源模式中,形成了信息的一體化。同時,網絡中也儲存著大量的私人信息,一旦信息泄密,就會飛速流傳于互聯網中,帶來網絡輿論,惡劣情況下還會造成網絡人身攻擊。
(2)危及財產安全。隨著網絡一卡化的運用,人們不用麻煩的隨身攜帶大量財物,只需要幾張卡片就能進行各類消費,在一卡化模式的運作下,網絡也最大化地便利了人們。如今,由網絡芯卡衍生出了更高端的消費方式,常見的微信轉賬、微信紅包、支付寶等支付手段,只需在手機網絡中就能實現網絡消費,為網絡數字時展撐起了一片天。而在這樣的環境背后,網絡消費卻潛藏著巨大的財產安全隱患。密碼是數字時代的重要組成部分,網絡中的眾多信息都牽涉著密碼,但是密碼并非不可破譯的,一旦被危險的木馬軟件抓到漏洞,無疑等于是鑿開了保險柜的大門。在以牟取利益為宗旨的經濟犯罪中,網絡經濟犯罪占據著極大的比例,無論個人還是企業,其經濟財產安全都受到網絡安全隱患嚴重的威脅。
2.2 提高網絡安全技術水平的必要性
首先,提高網絡安全技術水平有利于塑造一個干凈的網絡氛圍,可以使各行業在安全的網絡環境中和諧發展。其次,提高網絡安全技術水平有利于打擊網絡違法犯罪,保護公民隱私權、財產權,維護社會安定。最后,提高網絡安全技術水平就是保障國家經濟不受損害,保證國家國防安全,是國家科學技術水平的綜合體現。
3 對網絡安全隱患主要形式的分析
3.1 操作系統的漏洞
任何計算機操作系統都有著自身的脆弱性,因此其被稱之為操作系統的漏洞。操作系統自身的脆弱性一旦被放大,就會導致計算機病毒通過系統漏洞直接入侵。不僅如此,操作系統的漏洞具有推移性,會根據時間的推移,在不斷解決問題的過程中不斷衍生,從解決了的舊漏洞中又產生新的漏洞,周而復始,長期存在于計算機系統之中。不法者通過系統漏洞可以利用木馬、病毒等方式控制電腦,從而竊取電腦中重要的信息和資料,是當今網絡安全隱患存在的主要形式之一。
3.2 惡意代碼的攻擊
惡意代碼的概念并不單指病毒,而是一種更大的概念。病毒只是惡意代碼所包含的一種,網絡木馬、網絡蠕蟲、惡意廣告也從屬于惡意代碼。惡意代碼的定義是不必要的、危險的代碼,也就是說任何沒有意義的軟件都可能與某個安全策略組織產生沖突,惡意代碼包含了一切的此類軟件。通常情況下,黑客就是惡意代碼的撰寫者,一般黑客受人雇傭,旨在通過非法的侵入盜取機密信息,或者通過破壞企業計算機系統,非法獲取經濟利益,形成行業惡性競爭。現在的網絡環境中,惡意代碼是最常見的網絡安全隱患,常隱藏在正常的軟件或網站之中,并且不易被發現,滲透性和傳播性都非常強,具有極大的威脅性。
4 網絡安全的解決方案
4.1 設置防火墻
防火墻是一種集安全策略和控制機制為一體的有效防入侵技術,是指通過網絡邊界所建立的安全檢測系統來分隔外部和內部網絡,并明確限制內部服務與外部服務的權限,可以實際阻擋相關攻擊性網絡入侵。防火墻的基本類型有六種,分別是復合型、過濾型、電路層網關、應用層網關、服務及自適應技術。在目前的大多數企業中,都運用到了防火墻技術。
4.2 對訪問進行監控
訪問監控是在對網絡線路的監視和控制中,檢查服務器中的關鍵訪問,從而保護網絡服務器重要數據的一種防護技術。訪問監控技術通過主機本身的訪問控制,與防火墻、安全防護軟件等形成聯動,對所有通過網路的訪問進行嚴密監視和審核,以達到對計算機網絡安全的保護。
4.3 采用多重加密
網絡安全的威脅途徑主要來源于數據的內部傳送、中轉過程以及線路竊聽,采用多重加密技術,可以有效地提高信息數據及系統的保密性和安全性。多重加密技術主要分為幾個過程:首先是傳輸數據的加密,這是保證傳輸過程的嚴密,主要有端口加密和線路加密兩種方式;其次是數據儲存的加密,目的是為了防范數據在儲存中失密,主要方式是儲存密碼控制;最后是數據的鑒別和驗證,這包括了對信息傳輸、儲存、提取等多過程的鑒別,是一種以密鑰、口令為鑒別方式的綜合數據驗證。日常的網絡生活中,加密技術也常能看見,比如在微信、微博、游戲賬號、郵箱等各大社交軟件中,都設有個人密碼,這是多重加密技術的第一層屏障,隨著高級別威脅的出現,第一層的密碼保護無法滿足數據安全的需要。因此,在社交軟件中就出現了動態碼、驗證碼、密保信息等更高級的數據保護措施,在多元的數據保護手段下就形成了多重加密的安全技術。
4.4 實名身份認證
網絡作為一種虛幻的構成,并沒有形成良好的秩序,要防范網絡安全隱患,就要加強現實生活對網絡信息的干預。采用實名身份認證能夠從實際生活中規范網絡言行,從另一個角度說,這是一種法律意義上的監控。在實名身份制的網絡認證下,便于法律的約束和治理,可以有效控制網絡犯罪,從根本上促進網絡世界的安全化與和諧化。
5 結束語
安全是一種概率性的詞,沒有絕對的安全,只有相對的安全。網絡世界也是一樣,絕對安全的網絡環境是不存在的,就好比只要有利益,就會有犯罪,網絡犯罪是會不斷滋生的。但是,網絡安全的隱患是可以防范的,正確的運用信息技術,加強網絡安全的管理,在網絡法律的有效制約中,就能拒各種“網絡毒瘤”于網絡的大門之外,共同塑造一個干凈安全的新信息時代。
參考文獻
[1] 李春曉.校園網網絡安全技術及解決方案分析[J].電子測試,2013,18:100-101.
[2] 關勇.網絡安全技術與企業網絡安全解決方案研究[J].電子技術與軟件工程,2015,05:227.
[3] 任戎.網絡安全技術與校園網絡安全解決方案芻探[J].四川文理學院學報,2008,05:43-45.
關鍵詞 園區網;安全體系;規劃;運維
中圖分類號 TN9 文獻標識碼 A 文章編號 2095-6363(2015)09-0050-02
校園網絡變得更加開放的同時,網絡安全正經受更加嚴格的挑戰,網絡管理者必須切實了解保護本地網絡安全的手段。本文嘗試對如何創建安全的校園網絡環境并保持其穩定運行提出一些規劃原則與管理方法。
1 常見網絡安全威脅類型
1)病毒、木馬、蠕蟲等自動攻擊工具。具備自我復制和傳播能力的程序可破壞計算機系統,破壞某信息保密性和完整性,使得攻擊者從中獲得利益。早期一般通過系統漏洞或文件漏洞傳播,隨著操作系統安全代碼的日趨完善,目前主要靠欺騙性下載(如網站掛馬或植入惡意代碼)并被簡單觸發。
2)拒絕服務攻擊。拒絕服務是攻擊者常用攻擊手段之一。攻擊者通較強計算能力的服務器或大規模肉雞作為攻擊跳板,對目標發起洪水一般的非法請求,使得服務方難以接受正常訪問請求或造成緩沖區溢出,服務被迫關閉甚至崩潰。
3)基于服務代碼和服務漏洞的攻擊。作為官方的網絡窗口,運行于服務之上的網站代碼并不總是安全的。事實上,國內多數網站都沒能做到足夠安全的代碼防護。運行于非標準的web服務器的web網站,對熟練的站點攻擊者而言,僅需幾分鐘即可獲得基本webshell,并據此進行權限提升。從互聯網上下載的免費文章系統(如知名的動網模板),由于受到關注,攻擊者更容易通過內部技術組織聯絡獲取攻擊手段。
筆者所在學校站點早期使用ACCESS數據庫,攻擊者便經常嘗試直接下載數據庫;升級為SQL SERVER數據庫后,我們發現了大量的SQL注入攻擊代碼,如晚間的一次攻擊嘗試代碼:
……
dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR(4000)):eXeC(@s):--%20aNd%20'%25'=' 80 - 211.117.95.48 ……
從日志中很容易看出,攻擊者嘗試滲透數據庫獲取關鍵數值,并對注入代碼做了簡單偽裝。
4)社會工程學攻擊滲透。近年來攻擊者對攻擊目標的檢測方法變得多樣化,攻擊者通過多種渠道了解目標,利用社會工程學手段分析以獲得敏感信息,攻擊更具效率,大數據技術的快速發展則進一步加劇了此類風險的威脅水平。如網絡管理者總是愿意使用有類似特征的密碼體系同時管理公用設備和個人信息,一旦個人信息被猜解,所在網絡的安全風險便極大增加。
當代網絡面臨的安全風險越來越多,攻擊不可避免,網絡攻擊的原理趨向復雜,而攻擊者更容易獲取更具威脅的自動化攻擊工具,這意味著攻擊變得愈發容易。
2 學校園區網安全體系的規劃和建設
1)園區網安全體系的基本涵義。網絡安全體系由硬件安全、底層系統安全和服務/軟件安全三個方面構成,任何方面存在漏洞,都會導致整個網絡面臨安全崩潰。我國當前正在推動關鍵設備國產化進程,即從硬件層面考慮,保護網絡敏感信息不被國外生產廠非法商取。完整的網絡安全體系應在硬件層面作出合理選擇,在底層系統層面進行合理配置,減少系統漏洞暴露,在提供服務時建立多層次風險防控和數據過濾措施,保證網絡安全運行。
2)園區網安全體系規劃原則。網絡安全與提供服務的性能存在矛盾,管理者應以保障網絡服務正常提供為前提,評判網絡安全風險,適度規劃并保留升級彈性,以經濟合理的方式規劃安全防御系統。網絡安全體系需要覆蓋到整個網絡,對高風險區域應設置網絡邊界,并指定數據流動規則(ACL)。
3)網段規劃。根據功能區分,通常將整個網絡劃分幾個功能獨立的子網,至少包括網絡設備與網絡管理區域、停火區(DMZ)、學生機房、辦公區域以及普通聯網用戶區域等,各子網間保持物理或邏輯上的網段隔離,不同區域用戶一般禁止跨越子網互訪。這是保護網絡安全的最基本手段。
4)安全防護設備選擇。傳統網絡安全體系基于P2DR模型,即策略、防護、檢測和響應,設備組成一般包括終端安全(配置殺毒軟件);ACL(設備、端口規則和數據流向規則);防火墻以及IDS/IPS(應用于DMZ);它可以實現對多數病毒和傳統攻擊的有效抵御,以包過濾為基本檢測手段,具備部分協議檢測能力;對網站注入、滲透等較新的攻擊方式防御能力有限。
選擇何種設備組建網絡安防體系,取決于本地網絡規模、提供的服務類型和網絡管理者的技能水平。園區網可以考慮在傳統安全體系基礎上,根據本地網絡運行特性有針對性增加管控設備,為保障帶寬有效利用,針對內部用戶可配置行為管理系統,對用戶網絡行為進行管控,對占據帶寬資源和并發數資源的應用予以限制;針對WEB服務,可以配置WEB防護系統,對數據庫注入、代碼攻擊、跨站腳本等作出有效防護;針對網絡內部惡意行為,可以配置網絡日志分析記錄系統,在惡意行為發生時提供報警,在行為發生后提供記錄。
3 學校園區網安全體系運維原則
1)安全網絡要求全部終端用戶參與。根據“木桶原理”,網絡中任一端點的安全風險會擴大到整個網絡。園區網絡安全體系需要覆蓋到整個網絡的所有端點。考慮到難以對所有用戶實行嚴格要求,管理者應考慮網絡不同區域的安全等級,制定對應安全策略,在不同區域間設立網絡邊界,保證任意區域故障不會蔓延至其他區域。
2)制度優先。防患于未然,網絡安全事件總是發生在未曾受到關注的制度角落。管理者應綜合考慮網絡整體狀態,制定安全事件責任制度,制定應急預案,制定各類安全事件和風險事件的相應制度,制定網絡使用制度等;完善的制度是保障網絡穩定運行的必要條件。
3)數據備份。數據備份是網絡運維的必需手段。精確計算當前數據容量,預估數據增量,考慮數據備份措施,必要時配備數據備份設備。外部攻擊者在獲取網絡權限后,經常造成有意或無意的數據損害,超過50%的情況下數據損失不可逆轉。設置數據備份機制,是保障網絡服務的最后手段。
4)完善事件記錄。園區網歷經長期運行后,管理者將能夠發現和總結本地網絡常見威脅列表,建立網絡運維事件日志,能極大節省管理者故障定位和解決問題的時間與精力。這些記錄包括下述文件,網絡日常監測記錄、病毒流行記錄、設備故障處置和維修記錄、攻擊處置記錄等。
4 結論
盡管網絡總是不安全的,管理者還是可以通過各種手段,以科學、合理的方式建設網絡安全體系,不斷學習提高技術水平,盡力保護本地網絡和服務不受非法攻擊侵害。作為多年工作經驗的總結,筆者希望通過本文拋磚引玉,提供網絡安全運維的方法和原則,謹與同行共同交流。
參考文獻
1網絡工程專業學生網絡系統安全保障能力培養的現狀分析
網絡工程專業是依托于計算機科學與技術專業發展起來的。網絡工程專業的人才應該具備計算機類專業人才的四大基本能力:計算思維、算法設計與分析、程序設計與實現和系統能力。網絡工程專業人才的專業能力可以進一步細化為:網絡協議分析設計與實現、網絡設備研發能力、網絡應用系統設計與開發能力、網絡工程設計與實施能力、網絡系統管理與維護能力、網絡系統安全保障能力等[1]。因此,網絡系統安全保障能力是網絡工程專業有別于其他計算機類專業的一個重要能力。但在目前的現實情況下,大家對網絡工程專業和其他相關專業在專業能力構成上的差異認識不夠,很多學校不同專業在網絡系統安全保障能力培養方面存在同質化現象。在專業知識體系上,網絡系統安全保障知識領域的核心知識單元應有:信息安全基礎、安全模型、加密、認證、數字簽名、安全協議、防火墻、入侵檢測系統、漏洞檢測與防護、安全評估與審計等。從知識體系上來看,網絡工程專業中的網絡系統安全保障知識基本上是信息安全專業中密碼學、網絡攻防技術及信息系統安全領域基礎知識的綜合,具有內容多、涉及面廣的特點。另外,目前的知識體系主要從防御角度出發,攻擊和滲透的知識還很欠缺。如何在確保知識體系覆蓋完整的條件下,突出網絡工程專業的特色,是一個尚待深入研究的課題。在課程體系結構上,網絡系統安全保障能力對應的網絡安全課程,對網絡工程、信息安全和信息對抗專業來說是主干課程,而對計算機類其他專業來說,往往是擴展課程;信息安全專業和信息對抗專業一般將其細化為至少4門主干課程,如密碼學、網絡安全、信息系統安全和信息內容安全。網絡工程專業需要強化網絡安全課程,并開設相應的擴展課程,以完善網絡系統安全保障課程體系的完整性。教學條件上,在網絡與信息安全方面比較突出的國內高校主要以密碼學領域的科學研究與人才培養見長,缺少網絡系統安全保障的師資,特別是缺少既有工程背景和網絡攻防實戰經驗又有高學術水平的師資,導致一些高校網絡安全課程的教學質量不高,甚至無法開設,影響了網絡系統安全保障能力的培養。網絡系統安全保障不僅有理論性,也具有實踐性,許多方法和手段需要在實踐過程中認識和領會。一些高校的網絡工程專業缺少必要的實驗條件,有些僅僅進行加密與解密、VPN、入侵檢測或防火墻等方面的簡單配置性實驗,缺少網絡對抗等復雜的綜合性實驗,致使網絡系統安全保障實踐環節質量不高,影響學生動手能力的培養。
2網絡工程專業學生網絡系統安全保障能力構成
網絡系統安全保障能力的教育需要以網絡系統安全保障知識為載體,通過探討知識發現問題求解過程,培養學生靈活運用所學知識有效地解決網絡系統安全防御、檢測、評估、響應等實際問題的能力。計算機類專業培養學生的計算思維、算法思維、程序思維、系統思維、過程思維、數據思維、人機系統思維等思維能力,而網絡工程專業還要培養學生的對抗思維、逆向思維、拆解思維、全局思維等網絡系統安全保障所特有的思維能力。網絡系統安全保障體系是一個復雜系統,必須從復雜系統的觀點,采用從定性到定量的綜合集成的思想方法,追求整體效能。從系統工程方法論的觀點出發,網絡系統安全保障不能簡單地采用還原論的觀點處理,必須遵循“木桶原理”的整體思維,注重整體安全。網絡系統安全保障的方法論與數學或計算機科學等學科相比,既有聯系又有區別,包括觀察、實驗、猜想、歸納、類比和演繹推理以及理論分析、設計實現、測試分析等,綜合形成了逆向驗證的獨特方法論。從不同的角度看網絡系統安全保障可以得到不同的內涵和外延。從物理域看,是指網絡空間的硬件設施設備安全,要求確保硬件設施設備不擾、破壞和摧毀;從信息域看,重點是確保信息的可用性、機密性、完整性和真實性;從認知域看,主要是關于網絡傳播的信息內容對國家政治及民眾思想、道德、心理等方面的影響;從社會域看,要確保不因網絡信息傳播導致現實社會出現經濟安全事件、民族宗教事件、暴力恐怖事件以及群體性聚集事件等。網絡系統安全保障涉及網絡協議安全及相關技術研究、網絡安全需求分析、方案設計與系統部署、網絡安全測試、評估與優化、網絡安全策略制訂與實施等內容。培養網絡系統安全保障能力就是培養學生熟悉信息安全基本理論和常見的網絡安全產品的工作原理,掌握主流網絡安全產品如防火墻、入侵檢測、漏洞掃描、病毒防殺、VPN、蜜罐等工具的安裝配置和使用,能夠制定網絡系統安全策略與措施,部署安全系統,同時具有安全事故預防、監測、跟蹤、管理、恢復等方面的能力以及網絡安全系統的初步設計與開發能力,以滿足企事業單位網絡安全方面的實際工作需求。
3網絡工程專業學生網絡系統安全保障能力課程設置
網絡工程專業涉及計算機網絡的設計、規劃、組網、維護、管理、安全、應用等方面的工程科學和實踐問題,其網絡安全課程使學生了解網絡系統中各種潛在的安全威脅與攻擊手段以及針對這些威脅可采用的安全機制與技術。掌握常見的網絡安全工具和設備,如防火墻、入侵檢測、漏洞掃描等工具的工作原理,學生可以了解網絡安全的相關政策法規,并具有網絡安全策略與措施制定、安全事故監測等能力。為了保質保量地完成網絡工程專業學生的網絡系統安全保障能力的培養,可設置相應的主干課程:網絡安全技術和網絡安全技術實踐及擴展課程安全測試與評估技術。課程涉及的核心知識點。通過開設安全測試與評估技術,教師引導和培養學生用逆向、對抗和整體思維來學習并思考網絡系統安全保障問題。
4培養學生網絡系統安全保障的實踐和創新能力
實踐動手能力是網絡系統安全保障能力培養中的重要一環。許多網絡信息系統安全保障能力知識點比較難掌握,必須通過實踐環節來消化、吸收、鞏固和升華,才成為學生自己的技能。為此,我們一方面努力爭取解決實驗條件,與企業聯合共建網絡安全教學實驗室;另一方面,自主開發實現了一系列的教學演示和實踐工具,彌補部分環節難以讓學生動手實踐的不足。通過完善的實踐體系(包括課內實驗、綜合實驗、創新實踐、實習及學科競賽等),培養學生網絡系統安全保障的實踐和創新能力。課內實驗包括安全測試與評估技術課程的信息收集、內部攻擊、KaliLinux的安裝與使用、Metasploit、緩沖溢出攻擊、Shellcode、Web攻擊、數據庫安全、逆向分析等實驗。網絡安全技術課程對應的實踐課程網絡安全技術實踐設置了加解密編程、PGP、PKI、VPN服務器和客戶端、病毒與惡意代碼行為分析、Iptables防火墻、Snort入侵檢測、以太網網絡監聽與反監聽、端口掃描、WinPcap編程、Windows和Linux安全配置等實驗;另外還設置了兩個綜合實驗——綜合防御實驗(安全配置、防火墻、入侵檢測、事件響應)和綜合滲透測試實驗(信息收集、緩沖溢出滲透、權限提升、后門安裝、日志清除)。在課內實驗和綜合實驗環節采用分工合作、以強帶弱、小組整體與個人測試評分相結合等措施,確保讓每個學生掌握相應的網絡系統安全保障實踐能力。目前,我們正積極與網絡安全相關企業建設實習和實訓基地,開展社會實習和實踐,探索利用社會力量培養實踐能力的模式。專業實踐是一門2學分的創新實踐和實習課程。通過專業實踐和畢業設計,學生可以根據自己的興趣選擇網絡系統安全保障方面的創新實踐拓展和深化。一方面,積極鼓勵并組織優秀學生參加全國性和地方性的網絡安全技能競賽;另一方面,讓高年級的同學參與教師的網絡系統安全保障科研項目中來,讓學生在競爭與對抗中和解決實際問題過程中增強自己的動手能力和創新能力,培養學生的自主學習能力和研究能力,激發他們的網絡系統安全保障創新思維。
5結語
隨著計算機網絡在人類生活領域中的廣泛應用,網絡的攻擊事件也隨之增加。網絡環境的出現極大地方便了人們之間的信息交流,推動了人類社會的進步。但同時,它也是一把雙刃劍,它在為我們提供了便利的同時,也帶來其中網絡安全問題。其中網絡安全問題已成為日漸棘手、迫切需要解決的一項任務。以前,人們注重從技術上去著手解決這個問題,而往往忽略了其它防護,雖然收到了一定的效果,卻不能從根本上解決網絡安全問題。事實上,信息管理的成功,關鍵在于人的因素。加強人的因素管理,是保障網絡安全的重要途徑。本文就“網絡安全文化”相關概念、與其它文化的聯系及其意義進行了分析與研究。
二、產生網絡文化的背景和網絡文化的構成
計算機網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性,使其不致因偶然或惡意的攻擊遭到破壞,網絡安全既有技術方面的問題,也有治理方面的問題,兩方面相互補充,缺一不可。互聯網出現以后,人們的網絡活動日見頻繁,并隨之產生網絡文化,網絡活動總會有意識或無意識地包含著安全活動。在此基礎上,本文提出網絡安全文化的概念,它是安全文化和網絡文化相互滲透的結果。它繼承了安全文化與網絡文化的共性,同時又具自己的特性。因此,我們認為網絡安全文化是安全文化和網絡文化的一個子類,它指人們對網絡安全的理解和態度,以及對網絡事故的評判和處理原則,是每個人對網絡安全的價值觀和行為準則的總和。
三、網絡安全文化的作用過程
網絡是計算機技術與通信技術的結合,它從一開始就是為人們通信服務,它的根本任務始終是信息共享與交流,它的主體是人,客體是信息。網絡安全文化則產生于人的網絡信息活動并影響人的網絡信息活動,它的影響過程是全過程的,即從信息的收集、加工、存儲,到傳輸的整個過程。網絡安全文化存在于人的心里,是引導和規范人的網絡行為的“心鏡”。人們通過將自己的行為與之相比較,來判斷自己的行為是否應該發生。 它和行為主體的動機、情緒、態度等要素一起作用于主體,在很大程度上影響著主體的行為,并使得網絡更加安全和諧,因此培育優秀、先進的網絡安全文化具有重大的現實意義和作用。
四、計算機網絡安全現狀
計算機網絡安全是指網絡系統的硬、軟件及系統中的數據受到保護,不受偶然或惡意的原因而遭到破壞、更改、泄露,系統連續、可靠、正常地運行,網絡服務不中斷。計算機和網絡技術具有的復雜性和多樣性,使得計算機和網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。黑客的攻擊手法不斷升級翻新,向用戶的信息安全防范能力不斷發起挑戰。
五、計算機網絡安全的防范措施
加強內部網絡治理人員以及使用人員的安全意識很多計算機系統常用口令來控制對系統資源的訪問,這是防病毒進程中,最容易和最經濟的方法之一。
網絡技術的普及和應用正在改變傳統的信息技術產業,信息交流變得更加快捷和便利,但是這樣也給網絡信息的保密提出了更高的要求。
1.計算機網絡安全問題產生的背景
計算機網絡的應用已經滲透到社會的各個領域,網絡信息安全已經成為人們日常生活頗為關注的問題。隨著計算機網絡技術的應用和發展,計算機網絡的安全問題也越來越受到人們的關注。網絡安全問題日益顯得重要,網絡的開放性與共享性,系統的復雜性,邊界的不確定性,以及路徑的不確定性,等等,都導致網絡安全問題的發生,使得網絡很容易受到外界的攻擊和破壞,同樣也使得數據信息的保密性受到嚴重的影響。網絡安全問題已經迫在眉睫。
2.網絡信息安全的重要性
隨著信息技術的快速發展,隨之而來的就是網絡平臺的安全問題,因此,人們對網絡環境的要求越來越高,對網絡安全也越來越重視。無論是網上交易,還是網絡信息的傳遞,都是對網絡安全提出的一個很大的挑戰。網絡信息安全已經成為國家、國防,以及國民經濟的重要組成部分。隨著計算機通訊技術和網絡技術的不斷發展,計算機網絡將會日益成為農業、工業和國防等方面的重要信息交換手段,滲透到社會的各個領域。基于以上的情況,我們必須認清網絡的脆弱性和潛在的威脅。所以,采取強力的安全措施是必要的,對于保證網絡信息的安全傳遞十分重要。而目前并沒有任何的計算機技術能完全保證網絡信息的安全性,所以我們除了要加強技術方面的發展,還必須考慮非技術方面的因素,例如人們的安全意識等。
3.網絡安全信息所面臨的主要威脅
3.1計算機病毒的威脅。
病毒可以說是當前網絡信息最主要的威脅,其發展趨勢呈爆發式增長。國際安全協會的統計表明:計算機病毒正在以每年超過50%的速度增長。我國最大的防病毒廠商瑞星公司的報告顯示:2004年上半年截獲各種新型病毒11835個,2005年同期為26927個,而到2006年同期達到了119402個,2007年達到133717個,而2008年截獲的病毒木馬居然達到了1242244個,數量已經超過近五年來病毒數量的總和。以前,一個計算機病毒需要3年的時間才能傳遍全球,而現在借助網絡信息則只需要僅僅幾分鐘。根據有關部門統計,從2000年開始至今,全球數千萬臺計算機受到病毒感染,累計造成經濟損失1000多億美元,給全球的經濟、科技的發展帶來巨大的損失。
3.2計算機黑客的威脅。
根據我國公安部門的統計,1997年我國發生的與黑客有關的網絡犯罪20起,1998年142起,1999年908起,2000年就超過了3000起,從2001年到目前為止,每年的網絡犯罪更是數以萬計,并且由于網絡的隱蔽性,導致了破案率還不到10%。
3.3流氓軟件的威脅。
當前越來越多的正規軟件廠商受到利益的驅使,大量的制作并使用介于正規軟件和病毒軟件之間的流氓軟件,而這些軟件大多又具有木馬的特征,與病毒之間的界限也越來越模糊。根據有關部門調查顯示,從2006年開始,流氓軟件對用戶的侵害有超過病毒的趨勢,嚴重地干擾了用戶的日常工作,信息數據安全,以及個人隱私。
4.影響網絡信息安全的主要因素
當前影響網絡安全的因素很多,但是主要還是來自法律、管理、技術三個大方面。
4.1網絡信息安全的相關法律法規的不健全。
對于網絡犯罪越來越猖獗的情況,世界各國都已經開始擬定相關的法律法規,但是在互聯網這樣一個虛擬的世界里,可以說很難對網絡信息犯罪進行監控和證據的收集。而制裁傳統犯罪的法律法規又并不適合于網絡信息犯罪,關于世界各國對于網絡的犯罪底線又過于模糊和籠統,實在是很難有一個清楚的界限。網絡世界里的立法尚有許多的空白點,這也導致了網絡世界的“無政府”狀態的情況日益加劇,網絡信息犯罪呈泛濫的趨勢,但是真正被送上審判席的可以說少之又少,網絡犯罪幾乎是無處不在。雖然目前有好幾例網絡信息犯罪被送上審判庭,但這對于目前龐大的網絡犯罪數量來說只是冰山一角。
4.2網絡信息安全意識淡薄,管理體制不夠健全。
網絡信息安全管制是網絡安全的一個重要不可缺少的因素,但是大多數人的安全意識很薄弱,重技術、輕管理,殊不知大部分的信息安全問題都是出自于管理上的疏忽。在制度、流程和人員管理方面相當的混亂,這就為網絡信息安全留下隱患,也為盜取信息者大開方便之門。據網絡信息安全專家不完全統計,約80%的信息泄露都是由于管理上的疏忽。
4.3網絡安全技術存在著不足。
網絡信息系統安全一般由網絡協議層安全、宿主操作系統層安全、數據庫管理系統層安全和應用程序層安全四個層次組成,而這四個安全層次均在不同程度上存在安全方面的先天不足。首先,網絡協議存在安全缺陷。網絡協議是網絡信息系統的基石,TCP/IP協議族是目前使用最廣泛的互聯網協議,已經成為互聯網的事實標準。但令人遺憾的是,TCP/IP協議族的各種應用服務和通信流程在設計上均存在不同程度的安全缺陷,加之其以明文方式傳送數據,導致欺騙攻擊、否認服務、拒絕服務、數據截取和數據纂改等網絡攻擊可以輕而易舉地實現。其次,作為網絡信息系統的運行平臺,當前主流的操作系統Windows、UNIX、Unux等在體系結構的設計上均存在對安全性要求考慮不周的缺陷。根據美國國家安全局(NSA)的國家計算機安全中心1983年8月頒發的官方標準,受信任計算機系統評量基準,它們都屬于安全級別較低的CZ級,其可動態連接機制、可動態創建遠程/近程進程機制、特權程序適時激活機制和無口令遠程過程調用服務人口為遠程傳輸并執行惡意程序大開綠燈,成為病毒和黑客的樂園。再次,作為電子商務、金融,以及EPR系統等各種應用的基礎,當前主流的數據庫管理系統Oracle、DBZ、SQL、Sybase等在設計上缺乏全面考慮的安全分級管理策略,其與操作系統的眾多接口很容易造成核心權限的失控,導致基于數據庫漏洞的網絡攻擊成為黑客最常采用的攻擊手段之一。最后,當前主流的軟件開發技術瀑布模型、敏捷建模、中間件技術及軟件構件化技術等對安全因素均不夠重視。軟件開發商和開發人員為追求商業利益,在應用程序開發過程中普遍存在重應用輕安全的思想,對威脅建模、安全策略和安全測試考慮不周,而寧可采取亡羊補牢的方法,導致當前各種應用程序漏洞頻發和補丁程序滿天飛這一極不正常的現象。并且由于補丁程序滯后于漏洞攻擊程序這一必然規律,用戶別無選擇地被至于危險的境地。
5.保障網絡信息安全的手段和措施
雖然網絡信息系統的安全缺陷和安全威脅是客觀存在的,但其風險是可以控制乃至規避的。
5.1網絡信息安全的立法工作,強化對網絡信息安全的重視。
法律是打擊網絡信息犯罪最有力的武器,是保障網絡信息安全的根本。對所有危害網絡信息安全的行為實施嚴厲的法律制裁,才能從根本上解決當前信息網絡病毒泛濫、黑客猖撅、流氓軟件明火執仗的無政府現狀。網絡信息安全也引起了我國政府的重視,國家有關部門建立了相應的機構,了有關的法規,以期加強對網絡信息安全的管理。2005年4月1日開始實行《中華人民共和國電子簽名法》,該法對于電子銀行的業務發展是相當重要的,為銀行在網絡上的發展提供了基礎的法律保障。2001年中國人民銀行制定頒布的《網上銀行業務管理暫行辦法》直接規范了電子銀行業務。為了有效地控制電子銀行業務的風險,中國銀監會制定了《電子銀行業務管理辦法》和《電子銀行安全評估指引》,并且從2006年3月1日起正式實施,這一切都反映出我國對計算機網絡與信息安全的高度重視,以及努力推動我國金融信息安全產業發展、提高我國信息安全技術水平的決心。
5.2強化網絡信息安全體制。
研究表明,絡信息安全漏洞主要是由于管理不善,因此,我們首先必須建立科學合理的網絡信息安全管理、執行和監督機構,明確網絡信息安全原則,構建網絡信息安全策略,合理協調法律、技術和管理等諸多因素,實現網絡信息安全的制度化。其次,必須建立從監測、響應、防護到恢復的一整套科學合理的網絡信息安全管理體制,保證網絡信息系統的安全運轉。再次,必須正確認識當前的防病毒技術、人侵檢測技術、防火墻技術、加密、解密技術、認證技術及數據恢復技術的重要性和局限性,采用最先進的安全技術保障網絡信息安全。最后,加強人員的安全培訓,提高網絡信息安全防范意識,盡量減少人為因素造成的風險。
5.3開發安全的軟件,防范于未然。
提高軟件開發組織及其從業人員的安全意識,致力于開發安全的軟件,從根本上減少軟件系統的安全缺陷才是網絡安全的終極之道。因此,所有軟件開發從業人員必須掌握安全軟件開發的思想和技術,堅決杜絕無視安全的開發。軟件開發組織必須建立完善的安全軟件開發管理制度,在軟件開發過程中將軟件安全性作為軟件質量的一個重要測度,在設計階段加入安全對策,并進行嚴格的安全測試,在正式前較少軟件的安全缺陷,確保軟件系統的安全性。
綜上所述,網絡信息安全是一個復雜的綜合性工程,涉及法律、管理和技術等多個領域。雖然目前已經取得了一定的成效,但形勢依然十分嚴峻,必須依靠眾多相關方的共同努力,才能為廣大信息網絡用戶打造一個安全可靠的應用環境。
參考文獻:
[1]李衛.計算機網絡安全與管理.北京:清華大學出版社,2006.1.
[2]蔡立軍.計算機網絡安全技術.北京:中國水利水電出版社,2005.2.
關鍵詞:網絡安全;管理技術
一、網絡安全管理技術概述
網絡安全管理是一門復合型技術,它涵蓋了人工智能、網絡管理、信息安全以及分布式計算等多個領域。目的是綜合運用上述各領域的理論、技術和方法,維護和加強網絡安全,防止各類病毒性軟件的攻擊和入侵,保證網絡信息時刻處于安全、可控狀態。其主要包括兩方面,一是保護安全服務和信息;二是維護自身的網絡安全。通常的途徑主要有三個,分別是操作、管理和評估[2]。
二、網絡安全管理技術的組成結構
網絡安全管理技術的組成結構目前是網絡安全管理工程師研究的熱門領域。其首先應具備安全管理的能力,能夠有效地維護網絡的安全。其次,應該具備穩定性強、可重復使用以及適用范圍廣等特征。市場上現比較流行的網絡安全管理系統主要有以下幾種:一是Agent結構,它基于MAS方法,充分利用人工智能技術,將系統內部的Agent劃分為不同的小類,并以某種方式組合起來,協同、互聯式的完成網絡安全管理維護;二是基于網絡管理式的結構,它利用網絡管理體系結構來維護網絡信息安全,兩者之間的關系較為密切。目前,主要應用的網絡管理式為Web模式;三是基于模塊化的網絡結構,它借助于網絡模塊來實現對于網絡安全的維護,此種方法是目前市場上較為流行的網絡維護方法,常用的模塊有構件、插件以及組件等[3]。
三、實現網絡安全管理的有效策略
為了加強對于網絡安全的管理,光靠建立完整的網絡體系并不能夠完成,完善的信息集成技術、信息之間的協同機制以及智能分析技術等也是不可或缺的。
(一)完善的信息集成技術
網絡安全管理系統的功能是維護網絡安全,鑒于目前復雜多變的互聯網體系,要想完好的保護網絡安全其必須具備適用范圍廣泛這一特征,能夠維護各類網絡信息的安全。因此,有效的采集不同類型的網絡信息并對其加以維護處理,然后進行相關性分析,這就成為網絡安全管理系統必須要解決的問題。信息集成技術為解決這些問題提供了新的思路,它的主要功能是采集數據并加以處理。其中,數據采集的目標是從各類信息庫中篩選關聯信息,數據處理的目標是凈化各類數據,將其轉化為一種便于識別的格式。
(二)智能分析引擎技術
智能分析引擎技術的主要功能是將不同信息類數據關聯起來并加以分析,對威脅數據、攜帶病毒類數據識別出來并加以警告提示,因而它是整個網絡安全管理技術的核心。其主要特點是綜合性的分析各類網絡數據,例如,網絡漏洞和病毒攻擊可以聯合起來一起分析,發生于同一個時間段內的事件也可以協同綜合性分析。此種綜合性分析功能所產生的效果是單獨分析所不具備的,能夠明顯提高數據分析的準確性。現有的安全管理平臺之所以安全性能高就是因為具備這一分析特征。
(三)協同和通信規范技術
協同和通信規范技術是網絡安全管理的另一個核心技術,它可實現各網絡安全部件之間的無縫銜接和協同,是網絡聯合響應以及綜合分析的前提條件。為了協同的處理各類信息數據,用戶、安全部件、主機之間需要彼此建立密切的聯系紐帶。該紐帶可以是直接的,常用方式有接口、協議等;也可以是間接的,常用方式是向公共安全管理信息基(SMIB)讀寫數據。
四、結語
互聯網技術的深入快速發展對網絡信息安全管理提出了更高的要求,目前已有很多網絡安全產品進入市場,在各自領域維護者網絡安全。然而,現有的網絡安全管理技術尚存在很多不足,嚴重影響到網絡安全的有效維護。比如,病毒程序的攻擊、網絡安全管理產品的協同性差等。幸運的是,目前很多網絡安全維護商已經認識到這一問題,并組織技術專家對這些問題進行攻關。可以想象,未來的網絡安全管理技術一定會是從小范圍輻射到大范圍,從集中式管理演變為分布式管理,網絡安全維護能力會更強。
參考文獻
[1]張濤,胡銘曾,云曉春,等.計算機網絡安全性分析建模研究[J].通信學報,2015,26(12):100-109.
[關鍵詞]計算機網絡;網絡安全;防范措施;防火墻
[中圖分類號]TP393.08[文獻標識碼]A
隨著高新科技的發展,信息技術已滲透各個領域,對行業現代化建設發揮越來越重要的作用。特別是信息技術在生活中的廣泛滲透和發展,不但改變了傳統的生活模式、辦公方式、管理方式。信息化已作為社會發展的核心內容,成為促進社會發展的助推器。
然而,隨著信息網規模的逐漸擴大和系統應用的不斷深入。各種網絡安全問題也隨之而來。例如系統不穩定、網速緩慢或癱瘓:訪問登錄失敗、設備和信息安全事故、黑客和計算機病毒入侵等故障,嚴重影響,網絡的正常使用,成為阻礙網絡進一步深化和發展的瓶頸。因此,研究網絡安全防范技術具有十分重要的意義。
1計算機網絡安全的概念
網絡安全從本質上講就是網絡上的信息安全,指網絡系統的硬件、軟件及數據受到保護,免受破壞、更改和泄露,系統可靠正常地運行,網絡服務小中斷;從用戶的角度來看,他們希望涉及個人和商業的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人利用竊聽,篡改、抵賴等于段對自己的利益和隱私造成損害和侵犯;從網絡運營商和管理者的角度來說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現病毒、非法存取、拒絕服務和網絡資源的非法占用和黑客的攻擊。
計算機安全主要是為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的元兇而遭到破壞,更改和泄漏。從本質上來講,網絡安全包括組成網絡系統的硬件,軟件及其住網絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞。網絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。
2網絡安全的隱患
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指一些不法之徒利用計算機網絡存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。人為因素是對計算機信息網絡安全威脅最大的因素。計算機網絡不安全因素主要表現在以下幾個方面:
2.1計算機網絡的脆弱性
互聯網是對全世界都開放的網絡,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網絡安全提出了挑戰。在使用互聯網時應注意以下幾項不可靠的安全性。
2.1.1網絡的開放性,網絡的技術是全開放的,使得網絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網絡通信協議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊。
2.1.2網絡的國際性,意味著對網絡的攻擊不僅是來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客,所以,網絡的安全面臨著國際化的挑戰。
2.1.3網絡的自由性,大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息。
2.2操作系統存在的安全問題
操作系統是一個支撐軟件,是計算機程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不可靠安全性,是計算機系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。
2.2.1操作系統結構體系的缺陷。操作系統本身有內存管理、CPU管理、外設的管理,每個管理都涉及一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是服務器系統立刻癱瘓。
2.2.2操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統就可能會造成崩潰。像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那么用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、加載的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。所以,建議盡量少使用一些來歷不明,或者無法證明它安全性的軟件。
2.2.3操作系統有守護進程的防護功能,它是系統的一些進程,總是在等待某些事件的出現。所謂的守護進程,就是監控病毒的監控軟件,當有病毒出現就會被捕捉。但是有些進程是一些病毒,碰到特定的情況就會把用戶的硬盤格式化,這些進程就是很危險的守護進程,平時可能不起作用,可是在某些條件下發生后,就會發生作用。如果操作系統守護進程被人為地破壞掉就會出現這種不良的安全隱患。
3網絡安全的防患措施
上面已經分析了網絡安全所存在的一系列隱患,其中包括網絡本身所具有的脆弱性和一些管理上的失當等原因。而作為計算機用戶,應該積極地采取有效的措施進行防患,以避免嚴重后果發生的可能性。網絡安全采用的主要防范措施如下:
3.1提高安全意識,加大安全管理力度
(1)配備專業的安全管理人員。安全管理要有專人負責,同時還要有技術人員去落實。(2)控制對網絡的訪問和使用。控制用戶對網絡的訪問和使用的目的是保證網絡資源不被非法使用和非法訪問。(3)增強防病毒意識。查、殺病毒是確保網絡系統安全的必不可少的重要手段。(4)及時做好數據備份工作,確保網絡信息的安全。
3.2及時修補“漏洞”
網絡軟件不可能無缺陷、無漏洞,這些漏洞和缺陷正是黑客攻擊的首選目標。
3.3利用網絡安全技術
3.3.1防火墻技術
目前保護網絡安全最主要的手段之一就是構筑防火墻。防火墻是一種形象的說法,其實它是一種計算機硬件和軟件相結合的技術,是在受保護網與外部網之間構造一個保護層,把攻擊者擋在受保護網的外面。這種技術強制所有出入內外網的數據流都必須經過此安全系統。它通過監測、限制或更改跨越防火墻的數據流,盡可能地對外部網絡屏蔽有關受保護網絡的信息和結構來實現對網絡的安全保護。因而防火墻可以被認為是一種訪問控制機制,用來在不安全的公共網絡環境下實現局部網絡的安全性。
3.3.2身份認證
身份認證是任何一個安全的計算機所必需的組成部分。身份認證必須做到準確無誤地將對方辨認出來,同時還應該提供雙向的認證,即互相證明自己的身份,網絡環境下的身份認證比較復雜,因為驗證身份的雙方都是通過網絡而不是直接接觸,傳統的指紋手段等已無法使用,所以目前通常采用的是基于對稱密鑰加密或公開密鑰加密的方法,以及采用高科技手段的密碼技術進行身份驗證。
3.3.3訪問控制
訪問控制也叫接入控制,阻止非授權用戶進入網絡,防止任何對計算機資源和通信資源的非授權訪問。即根據用戶的身份賦予其相應的權限,也就是說按事先確定的規則決定主體對客體的訪問是否合法。訪問控制主要通過注冊口令、用戶分組控制、文件權限控制三個層次來實現。
3.3.4基于密碼論的技術
密碼技術是集數學、計算機科學、電子與通信等諸多學科于一體的交叉學科,是保護信息安全的主要手段之一,它不僅具有保證信息機密性的信息加密功能,而且具有數字簽名、身份驗證、秘密分存、系統安全等功能。
(1)密鑰技術。密鑰技術的任務是在一個密碼系統中控制密鑰的選擇和分配。密鑰是一段數字信息,它與加密算法相互作用,以控制信息的加密。(2)數字簽名。數字簽名是一種用于鑒別的重要技術。數字簽名是一個數,它依賴于消息的所有位以及一個保密密鑰。它的正確性可以用一個公開密鑰來檢驗。數字簽名可以用于鑒別服務,也可以用于完整和無拒絕服務。當數字簽名用于無拒絕服務時,它是和公證一起使用的。公證是通過可信任的第三方來驗證消息的。(3)驗證技術。驗證技術可分為基于共享密鑰的認證和基于公鑰的認證。前者實際上是執行一種查詢―問答協議,發送方發送一個隨機數給接收方,接收方解密后以一種特殊形式轉換它并傳回結果,從而實現認證。該協議的關鍵是如何建立共享密鑰。
3.3.5反病毒軟件
即使有防火墻、身份認證和加密措施,人們仍擔心遭到病毒和黑客的攻擊。隨著計算機網絡的發展,攜帶病毒和黑客程序的數據包和電子郵件越來越多,打開或運行這些文件,計算機就有可能感染病毒。假如安裝有反病毒軟件,就可以預防、檢測一些病毒和黑客程序。
總之,網絡安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網絡安全解決方案是綜合各種計算機網絡信息系統安全技術,將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網絡安全防護體系。我們必須做到管理和技術并重,安全技術必須結合安全措施,并加強網絡立法和執法的力度,建立備份和恢復機制,制定相應的安全標準。此外,由于網絡病毒、網絡犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的網絡犯罪和網絡病毒等問題,確保網絡安全。
參考文獻:
[1]白斌.防火墻在網絡安全中的應用[J].科技創新導報,2007(35).
[2]彭,高.計算機網絡信息安全及防護策略研究[J].計算機與數字工程,2011(01).[本文轉自:]
關鍵詞:計算機網絡 安全隱患 防范措施
中圖分類號:TP393 文獻標識碼:A 文章編號:1672-3791(2012)08(b)-0024-01
1 計算機網絡面臨的安全威脅及隱患
(1)網絡硬件存在安全隱患。一是核心技術受制于人。當前我國所使用的計算機芯片、骨干路由器和微機主板等主要是從國外進口的,且對引進技術和設備缺少必要的技術改造,一旦不法分子在硬件設備中預先安置后門程序,后果不堪設想。二是操作系統存在隱患。目前,我們使用的主要操作系統都是微軟的Windows系列操作系統,這個系統設計之初考慮的是易用性而忽視了系統的安全,非授權用戶或黑客可通過漏洞對網絡進行攻擊,而且此系統本身比較脆弱,易受溫濕度、磁場、污染等外部環境的影響而出現故障。三是易遭非法終端接入。現有硬件設備很可能被非法分子在現有終端上并接一個終端,或非法終端在合法終端從網上撤下時乘機接入并操縱計算機通信接口,或通過某種技術手段冒充主機使敏感信息傳到非法終端。四是易受非法入侵。非法分子通過技術滲透或通信線路入侵網絡,非法盜用、破壞或獲取敏感信息或數據及系統資源。利用目標計算機的漏洞進入系統或通過口令猜測進入系統,采用IP地址欺騙等手段來入侵。
(2)技術缺陷帶來入侵威脅。一是網絡協議的缺陷。包括源地址認證、網絡控制機制及路由協議等使用TCP協議的缺陷,造成入侵者的入侵,進行訪問、修改、拒絕訪問、否認等攻擊。二是軟件出現缺陷。由于程序員在編程時考慮不周而造成的問題,如輸入確認、訪問確認、設計、特殊條件和競爭條件等錯誤引起的軟件缺陷。三是病毒防護薄弱。計算機病毒可多種方式入侵計算機網絡,且不斷繁殖和擴散,使計算機系統出現錯誤或處理能力下降,甚至是丟失數據或文件。四是安全測試設備落后。目前的安全保密測試設備落后于系統發展,對部分系統隱患無法偵測,無法通過有效的定性定量分析來加強系統防范,使網絡系統難以應對新出現的安全隱患。
(3)人為操作導致失泄密發生。一是安全防護人員少,專業人才不夠。如網絡管理員配置不當,安全觀念不強,造成人為泄密,或由于責任心不強網絡應用升級不及時造成安全漏洞,隨意使用普通網絡站(點)下載的軟件。二是用戶安全意識薄弱。部分用戶將自己的賬號隨意轉借他人或與別人共享,從而導致信息泄漏。三是現有安保人員業務不夠精,安全管理不到位,特別是對不安全事件的處理不及時,方法不妥當。這些人為因素是無論多么精妙的安全策略和網絡安全體系均無法防范和解決的。
(4)管理機制存在安全漏洞。一是安全措施不到位。信息網絡越來越具有綜合性和動態性特點,這同時也是信息網絡不安全的原因所在。然而,部分操作人員對此缺少認識,未進入安全就緒狀態就急于操作,結果導致敏感數據暴露,使系統遭受風險。二是缺乏綜合性的解決方案。面對復雜的不斷變化的網絡世界,大多數單位缺乏綜合性的安全管理解決方案,安全意識較強的單位也只是依賴防火墻和加密技術。三是防范機制不到位。不少單位沒有從管理制度上建立相應的安全防范,在整個運行過程中,缺乏行之有效的安全檢查和應對保護制度。
2 計算機網絡安全防護的對策及措施
(1)發展自主信息安全產業。網絡硬件要確保安全,發展具有我國自主知識產權的信息化產業成為重中之重。在未來的信息化發展過程中,要高度重視計算機網絡安全保密設備和系統的“國產化”、“自主化”建設。一是積極組織核心技術攻關,如自主操作系統、密碼專用芯片和安全處理器等,要狠抓技術及系統的綜合集成,以確保信息系統的安全。二是加強關鍵技術研究,如密碼技術、鑒別技術、病毒防御技術等,以提高技術防護能力。三是監測評估手段,如網絡偵察技術、信息監測技術、風險管理技術、測試評估技術等,構建具有我國特色、行之有效的網絡安全保密平臺,實現網絡及終端的可信、可管、可控,擺脫網絡安全控制于人的被動局面。
(2)構建安全技術防護體系。面對網絡系統存在的風險和威脅,應堅持積極防御、綜合防護的原則,加強技術防護研究,采取有效技術手段,從預防、監控和處置等環節科學構建安全技術防護體系,確保網絡系統安全。一是安全監察體系。落實網絡安全防護中心編制,加強配套監察手段建設,建立健全網絡安全監察機制;配套網絡入侵檢測、流量分析、行為審計等系統,增強安全事件的融合分析能力。二是終端防護體系。建立協調管理機制,規范和加強以身份認證、授權管理、責任認定等為主要內容的網絡信任體系建設;強化系統訪問控制,設定用戶訪問權限,限制對資源的訪問,防止非法用戶侵入或合法用戶不慎操作所造成的破壞。三是安全評估體系。綜合運用漏洞掃描、取證分析、滲透測試、入侵監測等系統和手段對網絡進行掃描分析,客觀分析網絡與信息系統面臨的威脅及其存在的脆弱性,對安全事件一旦發生可能造成的危害程度進行定性定量分析,并提出有針對性的防護對策和整改措施,防患于未然,全面防范、化解和減少信息安全風險。
1.認清大趨勢,從維護國家的高度認識和把握網絡安全問題。當今世界,網絡已成為新的國際政治角力場,網絡也成為國家的重要組成部分。沒有網絡,國家就不完整;沒有網絡,國際網絡空間秩序就將混亂無序,相關權益也無從保障;沒有網絡,互聯網造福人類的初衷和目的就無法實現,互聯網的發展也將失去意義。
但有人一味強調網絡的開放性,認為網絡無國界,是個不設防的地球村;有人對西方國家推行互聯網霸權不夠重視,還只是把眼光局限在經濟霸權、政治霸權、軍事霸權等領域;有人對網絡攻擊不了解、不敏感,對網絡泄密事件沒有引起足夠的警覺。對此,我們要認清大趨勢,真正從戰略的高度來重視網絡、經略網絡空間。
強調尊重網絡,不是要割裂全球網絡空間,而是強調在平等的基礎上,各國無論互聯網發展快慢、技術強弱,其參與權、發展權、治理權都應當是平等的,都應當得到有效保障。一方面,要明確網絡的內涵。網絡是國家在網絡空間的延伸,是國家新的實現形式,而不是新權利的創設。借鑒國際公法中傳統的獨立權、平等權、自衛權、管轄權內容,網絡也應該包含以下要素:獨立權,即確保一國網絡擁有獨立的、對其管理不受制于他人的基本權力;平等權,即各國網絡之間能夠平等進行互聯互通的基本權利;自衛權,即國家應具備保護本國網絡、能夠不因攻擊而導致癱瘓的能力;管轄權,即國家必須擁有對本國網絡設施、網絡信息的管理能力。另一方面,要界定網絡的效力范圍。網絡的效力范圍,也就是事實上的“網絡邊疆”。相對于可劃界的、靜態的領土、領空、領海,網絡空間是虛擬、動態的。但是提供網絡的物理設施,提供鏈接的網站、域名,提供渠道的信息系統確是實實在在的、可控的,那么網絡的效力范圍也應該包含一國領域內所有接入網絡的物理基礎設施,國家專屬的互聯網域名及其域內以及關系國計民生領域的國家核心網絡系統。
2.應對大挑戰,充分認識網絡安全面臨的形勢和風險。受網絡空間的傳導影響,其他各方面的安全威脅界限更易突破,潛在危害和影響更加廣泛深遠。網絡安全已經成為網絡時代國家安全的戰略基石。網絡、國家安全的生態環境日益復雜和嚴峻,對此我們應該充分認識。
一是國際互聯網發展格局存在的天然風險。在目前的互聯網格局中,美國通過控制域名解析服務器掌握全球互聯網的主動脈。美國握有互聯網的核心技術,牢牢地控制著全球互聯網的運行,屬于全球互聯網的監控者,直接威脅著他國網絡國防安全,隨時可以讓他國的互聯網癱瘓。
二是網絡戰催生的軍事對抗全新威脅。世界強國都很重視網絡戰,把它當做未來戰爭的重要形態。美國將強化網絡戰能力作為軍事改革計劃的一個重點,設有專門的網絡司令部,五角大樓的網絡安全戰略報告將網絡戰列為沖突戰術選項,提出了保障自身網絡安全、反擊重大網絡攻擊和嚇阻重大網絡攻擊三大任務。從某種意義上來說,網絡戰是美軍手中新的零傷亡“核武器”。
三是大數據、云計算等技術發展帶來的巨大挑戰。無處不在的智能終端、隨時在線的網絡傳輸、互動頻繁的社交網絡,讓以往只是網頁瀏覽者的網民的面孔從模糊變得清晰。通過大數據分析可以對政府機關、國防軍隊、社會組織、公司企業和公民個人進行精準畫像、行為還原,對采集到的數據做比對、系統整合,就比較容易破解和掌握一個國家和社會的要害信息和安全命脈。
四是網絡防范意識薄弱和技術依賴滋生的安全漏洞。強調,“互聯網核心技術是我們最大的‘命門’,核心技術受制于人是我們最大的隱患”。我國主流防火墻技術和殺毒技術大都來自國外,自主可控、高技術含量的網絡安全產品匱乏,進口的計算機、交換機、路由器等可能被故意預留控制端口,存在著被非法“入侵”和“竊聽”的可能。引進技術設備的網絡遠程服務十分普及,大型電力機組、高精尖的數控設備以及生產線等,都與國外企業技術聯網,在進行網上遠程診斷、技術升級、維修保養等售后服務的同時,外方也能時時監控設備運轉和生產情況,不僅令我自身“門戶洞開”,關鍵時候還可能接受指令而停止工作。
五是網上意識形態斗爭的復雜形勢。某些西方國家憑借其文化霸權和網絡信息強勢,將網絡變成實施滲透的主渠道,大肆輸出西方意識形態,鼓吹西方政治制度模式,詆毀攻擊我們的政治制度和價值觀念。某些國內網絡大V散布謠言,擾亂社會秩序,故意混淆是非、顛倒黑白、蓄意炮制虛假新聞、歪曲歷史、惡意詆毀公眾人物,不斷制造事端。
3.樹立大視野,努力掌握互聯網全球治理主動權。增強網絡意識,強化網絡安全觀,要運用全球視野、發展眼光、辯證思維,旗幟鮮明地主張和維護好網絡安全,奪取網絡空間的制高點,爭取更大的戰略主動。
一是世界眼光。尊重網絡與構建網絡空間命運共同體是辯證統一的,網絡安全是構建網絡空間命運共同體的前提,網絡空間命運共同體是網絡安全的保障。在第二屆世界互聯網大會上,提出互聯網發展的“四項原則”和“五點主張”,就是要推動形成網絡空間“最大公約數”,達成基本共識,與世界各國一道,在彼此尊重網絡的基礎上,攜手構建網絡空間命運共同體。
二是中國立場。“四項原則”和“五點主張”既是為全球網絡治理開出的藥方,也是彰顯中國智慧的立場表達。我們要堅持“四項原則”和“五點主張”,高舉和平利用網絡空間、反對網絡犯罪、網絡恐怖、網絡霸權的旗幟,樹立負責任的網絡大國形象。同時,要利用國際組織、國際學術論壇,加強國際合作,參與相關法律文件的制定,表達和闡釋好維護網絡的利益訴求。
三是創新思維。“相互依存”“相互關聯”“相互傳導”是復雜網絡思維的內在規律,要從“點對點”“要素到要素”“領域到領域”的傳統思維中解放出來,運用“點到網”“網到點”“網到網”的思維理念,把握脈絡、認清規律,更好地分析和洞察國家網絡問題。
四是技術突破。強調,同世界先進水平相比,同建設網絡強國戰略目標相比,我們在很多方面還有不小差距,其中最大的差距在核心技術上。要從基礎技術、通用技術,非對稱技術、“殺手锏”技術和前沿技術、顛覆性技術入手,堅定不移實施創新驅動發展戰略,制定信息領域核心技術設備發展戰略綱要,強化重要領域和關鍵環節任務部署,盡快在核心技術上取得突破,爭取在某些領域、某些方面實現“彎道超車”,實現從跟跑并跑到并跑領跑的轉變。