引论:我们为您整理了13篇信息网络安全论文范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
(1)建立网络安全管理规章制度加强医院网络安全管理的重要措施之一就是建立健全网络安全管理规章制度,提高医院全员认识到医院网络安全管理重要性,设立以院领导为核心的信息安全领导小组,明确领导小组相应责任并落实信息管理人员责任,加大投入资金,对网络安全管理软硬件设备进行更新升级,对网络安全管理专业队伍需要加强建设,信息网络人员必须要有责任心及熟练的网络应用技术,同时要坚持管理创新及技术创新,根据本院信息网络的运行情况,制定应对网络危机的预案。(2)网络安全教育网络安全工作的主体是人,医院的各级领导、组织和部门工作人员从思想和行动上都要重视医院信息系统网络安全,提高全员安全意识,树立安全人人有责,由于医院的内部网络涉及临床科室、医技科室、职能科室等部门,计算机操作水平参差不齐,因此,必须定期培训计算机网络客户端的使用人员,使他们具有一些计算机方面的专业知识,尽量减轻医院计算机网络信息系统管理人员的工作压力,当其客户端出现问题之后能得到及时的解决,减少人为的差错及故障发生。(3)网络设备管理网络设备是整个信息网络安全的基础,整个网络中的关键设备包括服务器、数据储存、中心交换机、二级交换机、光缆等,因此这些设备的性能直接影响到整个信息系统的安全运行,从可靠性、稳定及容易升级等方面对网络设备进行选择,对重要设备最好采用双机热备份的方式实现系统集群,还要配备两套UPS电源,避免突然断电造成服务器数据流失,提高系统可用性,服务器以主从或互备方式工作,当一旦某台设备发生故障,另外一台设备可以立即自动接管,变成工作主机,将系统中断影响降到最低;此外,使用物理隔离设备将外部互联网和内部信息系统进行隔离,确保重要数据不外泄。(4)实时监控用户上网行为应用主机安全监控系统,实现对用户上网行为的实时监控,从而让网管及时了解和控制局域网用户的的上网行为,在加强安全防护的同时也可以提高工作效率。主机安全监控系统可以对内部人员上网行为日志、客户端访问行为、终端行为日志、医院IT开发运维人员访问行为等信息进行监控、记录、审计能力,结合日志数据挖掘技术和关联分析功能,实现对非法行为的实时告警,输出符合医院纪委监察部门要求的完整的事件报告,既能够及时发现并阻断非法行为,也可以监控某些人员利用其特权对敏感数据进行非法复制。(5)数据备份为了防止信息系统中的数据丢失,可以采用双机备份方式。两台服务器采用相同的配置,安装相同的系统和数据库系统,实时将主服务器上数据库备份到备用服务器上,当主服务器无法正常工作时,启用备用服务器项替工作,同时信息系统管理部门可以采用一些有关的备份软件对其医院计算机网络信息系统的数据进行及时的监测,当这些数据出现安全方面的问题时,及时对其数据进行备份;此外,也可采用实时备份数据库,采用数据镜像增量备份方式。(6)定期进行安全分析,对新发现的安全隐患进行整改运用技术手段定期进行安全分析,及时发现安全隐患并快速清除是完善医院网络安全管理的重要措施。定期进行安全分析是研究信息系统是否存在的漏洞缺陷,是否存在风险与威胁,针对发现的安全隐患,制定出相应的控制策略,主要是从软件设置、物理环境、电源配送、权限分配、网络管理、防火、防水、防盗、服务器交换机管理、温度湿度粉尘、人员培训及安全教育等各方面进行分析,寻找出当前的安全隐患,针对这些隐患提出有针对性的解决方案。
1.2防止外来入侵
(1)中心机房管理作为医院信息系统的“神经中枢”及数据存储中心的机房安全是整个信息系统安全的前提,中心机房的安全应注意机房用电安全技术、防火、计算机设备及场地的防雷和计算机机房的场地环境的要求等问题,为了避免人为或自然破坏设备,应尽可能保证各通信设备及相关设施的物理安全,使系统和设备处于良好的工作环境,对于信息网络的可靠性,可以通过冗余技术实现,包括设备冗余、处理器冗余、链路冗余、模块冗余、电源冗余等技术来实现。(2)计算机病毒防护杜绝病毒传染源是防范病毒最有效的办法,除特殊科室需要外,将所有网络工作站的外部输入设备(如光驱、软驱等)撤除,所有内网的计算机不准接U盘,在服务器及每个工作站点采用多层的病毒防卫体系,此外,还可以使用桌面管理软件来自动从系统厂商下载补丁,自动检查客户端需要安装的补丁、已经安装的补丁和未安装的补丁,以及限制或禁止移动存储介质的接入,减少病毒传播的途径,从而减少医院网络受到病毒的威胁。(3)防止黑客入侵防止黑客入侵是医院网络安全工作的重点,可以采用防火墙技术、身份认证与授权技术等技术防止黑客入侵。其中,防火墙技术是在医院内部网和医院外部网之间的界面上构造一个保护层,对出入医院网络的访问和服务进行审计和控制;在防火墙基础上,建立黑客入侵检测系统,对黑客入侵、非法登录、DDOS攻击、病毒感染与传播、非法外连等进行监控,对网络设备、网络通讯通道等进行监控,详细掌控各类网络设备的运行状态,实时监督分析通道质量状况,对各类终端用户的补丁安装、软件安装、外接设备(U盘)等操作进行实时监控管理,发现有违规行为及时报警,也可以自动启动阻止机制来控制非法行为;在医院信息系统中,采用数字签名技术实现系统信息内容安全性,完整性和不可抵赖性等方面的要求,特别是通过采用安全审计或时间戳等技术手段解决传统纸质病历无法解决的信息可靠性问题,此外,还采用信息加密技术可以有效的保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
篇2
1.2网络策略的应用
商务网络应用与商务办公网络的基本表达形式相对固定,其网络构建以自然语言作为区分要点,而自然语言所包含的网络子集范围较为广泛,可以根据用户的不同需求定制网络协议功能,从而实现商务办公的基本要求。而部分商务网络在实现其工作职能的本身,也需要对视点目标进行判断和分析,从而以自然语言的方式对目标进行重新构建。商务网络视点环境中,需要对视点策略进行二次解析,从而分析出视点策略的真实性。由于网络视点策略在正常使用过程中,需要通过数据库支持才能获取信息,因此可以通过数据库传输的组建对视点网络策略进行策略优化,从而实现多方法运行与智能化学习的过程。视点网络构建模式具有相对独立性,通常是采用一套规则的语言组合,对访问者以及管理者的不同指令进行识别,从而进行信息交互,对网络基本运行状态造成影响,并弱化网络策略发生异常的几率。目前常用的方法是通过软件来解析端口异常情况,在设备独立运行的过程中具体实现网络视点的基本操作方式。设备视点的建立需要通过网络协议与通信规则进行调控,在设备运行期间,设备输出语言对不同的网络协议许可进行解析,并根据不同的解析原理对管理策略进行调整,但需要注意的是要保证网络控制端命令的准确性和唯一性。在不同设备的联网使用过程中,由于系统参数与配置等差异,协议许可也就产生变化,从而需要不同的命令控制。对于视点网络的自动化运行,需要把握好相关控制命令,并根据网络协议区分命令控制策略,最终将网络策略应用于各类设备控制当中。
2事业单位网络舆情当下管理机制隐藏的问题
2.1管理观念较为陈旧
当前,大多数事业单位对社会舆情信息的分析还保持着传统的工作模式中,大多都是事情出来以后,再以救火的方式进行处理,只重视危机发生后的处理,而对危机发生前的信息收集以及分析等管理工作十分落后,在危机预警方面非常滞后。
2.2事业单位舆情管理部门缺少合作
事业单位中,大多数都与相关部门密切联系,比如:网络中心、业务办理中心等,多头管理问题较为突出。基本上每一个部门就有一个属于自己的舆情管理小组,在发生了紧急舆情时,各部门之情缺少有效的合作,在工作中缺少相关的配合以及信息共享,没有形成合理高效的工作联动机制开展管理工作。2.3事业单位中舆情管理体系尚不完善从一些典型的实例来看,目前只有少数的事业单位建立了将为健全的舆情管理体系。因为管理体系尚不健全,所以,一旦有责任人出现了管理问题,也无法及时进行惩处,而且很少有人会主动承担责任,大多数是相互推诿,严重的甚至隐瞒具有的实情。
3完善事业单位网络信息安全管理机制的措施
3.1做好网络共享和恶意代码之间的控制
网络资源实行共享,方便了不同单位、不同部门、不同用户对资源的需求,但是,也存在着一定的不安全性,恶意代码可以充分利用网络环境扩散以及信息共享条件等漏洞,威胁了网络信息的安全,影响是不容忽视的。如果对恶意信息交换不做好管控,将非常容易造成网络QoS降低,严重的会造成系统瘫痪,导致系统不能正常工作。
3.2安全规范和信息化建设操作不协调
在网络安全建设中,并没有统一的操作,基本是哪里有漏洞就补哪里的形式,这样严重的阻碍了信息安全共享,同时也留下了许多安全隐患。
3.3控制好进口产品和安全自主控制
当前,国内的信息化技术并不高,造成出多的信息化技术需要依靠从国外进口,不管是软件还是硬件,都或多或少的受到了一些限制。在关键技术都从国外进口的背景下,如果出现安全问题后果是无法想象的。
3.4IT产品大规模攻击与单一性问题
在信息系统中,不管是软件还是硬件,都具有单一性,比如:同一个版本的操作软件、同一个版本的操作系统,在这种情况下,攻击者通过软件编程,能让攻击自动化完成,进而危及大片网络安全,这样就导致了“零日”攻击,出现了计算机病毒等大型安全事件。
3.5网络安全管理要素需要根据当前IT产品的不足与缺陷进行分析,目前网络信息系统中,对于IT产品的应用较为广泛
主要有:通信信息系统、数据处理系统、操作平台等。但由于不同软件与系统之间,需要共同的协议构架来形成有机的整体,因此需要把握系统与设备之间的互异性。目前生产厂家开发的IT产品种类繁多,数据安全协议也五花八门,信息安全共享协议在一定区域内执行共同协议规范,但跨区域协议之间存在一定的交流障碍,使得网络安全信息系统无法形成统一的构建,从而无法形成统一的管理模式,因而使得网络安全事故频发。
篇3
1.信息网络安全概述
信息网络安全是指通过各种各样的网络技术手段,保证计算机在正常运行的过程中处于安全的状态,避免硬件及软件受到网络相关的危险因素的干扰与破坏,同时还可以阻止一些危险程序对整个系统进行攻击与破坏,从而将信息泄露和篡改等,最终保证信息网络在互联网的大环境中正常运行[3]。信息网络安全的维护主要是以信息与数据的完整性与可控性作为核心,并且能够通过用户的操作,实现基本的应用目的。在信息网络的安全维护中,主要包括两个方面。一是设备安全,包括计算机系统的稳定、硬件实体的安全以及软件的正常运行。二是信息安全,主要指的是数据的备份、数据库的安全性等。
2.通信企业信息网络面临的主要安全威胁
2.1人为的恶意攻击
目前信息网络所面临的最大的威胁和挑战就是认为的恶意攻击,人们采取各种各样的方式对于信息进行选择性的破坏和控制,从而造成机密信息的丢失和篡改。
2.2人为的无意失误
通讯企业通过对专门的管理人员进行管理与培训从而保证信息网络系统的正常运行,在日常管理和培训的过程中,会无意的使相应的措施处理不当,这是在所难免的,当工作人员因为自己的原因导致操作不当,会使信息网络系统出现或多或少的漏洞,还有可能造成设备的损坏,这些都是由于人为的无意失误造成的后果[4]。
2.3计算机病毒
由于计算机网络的复杂性及联系性,在工作过程中会尽可能的实现资源共享,因此所接收的结点会有很多。由于无法检测每个结点是否是安全的,因此极容易造成系统的病毒感染。而一旦信息网络受到病毒的感染后,病毒会在信息网络中以非常快的速度进行再生并且传染给其他系统,最终将波及整个网络,后果将不堪设想[5]。
3.通信企业做好信息网络工作的措施
3.1对内部网的访问保护
(1)用户身份认证。如果用户想要进入网络必须经过三个步骤即首先进行用户名进行验证,其次进行用户口令进行验证,最后依据用户帐号进入网络。在这三个步骤中最关键的操作就是用户口令,用户口令需要同时进行系统的加密从而保护网络的安全,并且还应控制同一个账户同时登陆多个计算机的这种现象[6]。(2)权限控制。管理员及用户在进入网络前需要履行某一个任务因此必须遵守所谓的权限原则,这种控制方法可以有效的防止一些非法的用户在一定时间内访问网络资源,从而从根本上阻断这条途径。在进行权限设置的过程中,一定要遵守一些原则,第一,一定要合理的设置网络权限,确保网络权限设置的准确性,不能因为所设置的权限从而影响了整个网络的正常工作,影响了工作的整体效率;第二应该增加一些先进的合理的加密操作技术来减少病毒的入侵,从而从一定程度上保证网络的正常运行,对网络信息数据使用系统性的加密来确保网络安全性和合理性,最终实现对计算机所有结点信息的实时保护。(3)加密技术。通过合理准确的数学函数转换的方法对系统以密文的形式代替明文的现象称之为数据加密,当数据加密后,只有特定的管理人员可以对其进行解密,在数据加密的过程中主要包含两大类:对称加密和不对称加密。
3.2对内外网间的访问保护
(1)安全扫描。互联网互动过程中,及时的对计算机安全卫士和杀毒软件等进行升级,以便及时的对流动数据包进行检测,以便及时有效的对网络中发现的木马和病毒采取有效的防护措施。(2)防火墙系统。防火墙作为计算机网络信息安全防护的第一道屏障,是一种加强网络之间访问控制,以此来决定网络之间传输信息的准确性、真实性及安全性,对于计算机的安全与正常运行具有重要的意义[7]。(3)入侵检测。计算机当中的病毒传播的速度较快且危害性极大,为此应该对网络系统进行病毒的预防及统一的、集中管理,采用防病毒技术及时有效的进行杀毒软件系统的升级,以便对网络互动中发现的木马或病毒程序采取及时的防护措施。
3.3网络物理隔离
在进行信息网络安全控制的过程中不能单一的采用一种安全控制对其保护,而应该根据网络的复杂性采取不同的安全策略加以控制,因此管理人员可以依据密保的等级的程度、各种功能的保护以及不同形式安全设施的水平等差异,通过网络分段隔离的方式提高通信企业信息网络安全。这样的形式及控制方法将以往的错综复杂的控制体系转变成为细化的安全控制体系,能够对于各种恶意的攻击和入侵所造成的危害降低到最小。我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离,在不同的时间运行,那么就可以得到两个完全物理隔离的系统[8]。
3.4安全审计及入侵检测技术
安全审计技术对于整个信息网络安全的控制起到了关键性作用,它可以针对不同的用户其入侵的方式、过程以及活动进行系统精密的记录,主要分为两个阶段即诱捕和反击。诱捕是一种特异安排出现的漏洞,可以在一定程度允许入侵者在一定时间内侵入,以便在今后能够获得更多的入侵证据及入侵的特征;当获得足够多的特征及证据的基础上开始进行反击,通过计算机精密的系统对用户的非法入侵的行为进行秘密跟踪并且在较快的时间里查询对方的身份以及来源,从而将系统与入侵者的连接切断,还可追踪定位并对攻击源进行反击。
3.5制定切实可行的网络安全管理策略
要想使通信企业信息网络安全正常运行其前提必须保证整个网络系统的安全,必须针对网络安全提出相应的安全策略,应该使信息网络使用起来安全方便,从而寻找最方便有效的安全措施。在工作的过程中管理人员一定要熟知对于开放性和安全性的具体要求,并且在工作过程中试图寻求两者的共同点和平衡点,当两者出现矛盾的时候应该考虑事情的实际情况有进行准确的取舍。对本网络拓扑结构和能够承受的安全风险进行评估,从网络安全技术方面为保证信息基础的安全性提供了一个支撑。
信息网络的发展需要计算机技术具有跟高的要求,特别是针对通信企业的信息网络安全的控制问题应该加以关注,这直接关系到整个企业的发展。信息网络工程是一个巨大而又复杂的动态的系统工程,需要从多角度进行思索与探讨从而进行综合性的分析,才能选择出更好地安全网络设备,并且对其进行有针对的系统的优化,从而提高管理人员及工作人员的业务水平,最终全面提高整个通讯企业信息网络安全。
作者:王春宝 于晓鹏 单位:吉林师范大学计算机学院
参考文献
[1]卢昱.网络控制论浅叙[J].装备指挥技术学院学报,2002,3(6):60-64.
[2]王雨田,控制论、信息论、系统科学与哲学[M].北京:中国人民大学出版社,1986.
[3]南湘浩,陈钟.网络安全技术概论[M].北京:国防工业出版社,2003.
[4]涂华.医院信息系统的网络安全与防范[J].中山大学学报论丛,2011,04(12).
[5]王芸《.电子商务法规》.高等教育出版社,2010年版.
篇4
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一、目前信息系统技术安全的研究
1.企业信息安全现状分析
随着信息化进程的深入,企业信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。
2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%.
对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低。
2.企业信息安全防范的任务
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:
从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。
二、计算机网络中信息系统的安全防范措施
(一)网络层安全措施
①防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
②入侵检测技术
IETF将一个入侵检测系统分为四个组件:事件产生器(EventGenerators);事件分析器(EventAnalyzers);响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID(IntrusionDetection):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(CSignature-Based),另一种基于异常情况(Abnormally-Based)。
(二)服务器端安全措施只有正确的安装和设置操作系统,才能使其在安全方面发挥应有的作用。下面以WIN2000SERVER为例。
①正确地分区和分配逻辑盘。
微软的IIS经常有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。本系统的配置是建立三个逻辑驱动器,C盘20G,用来装系统和重要的日志文件,D盘20G放IIS,E盘20G放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。因为,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
②正确
地选择安装顺序。
一般的人可能对安装顺序不太重视,认为只要安装好了,怎么装都可以的。很多时候正是因为管理员思想上的松懈才给不法分子以可乘之机。Win2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000SERVER之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装,尽管很麻烦,却很必要。
(三)安全配置
①端口::端口是计算机和外部网络相连的逻辑接口,从安全的角度来看,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性——TCP/IP——高级——选项——TCP/IP筛选中启用TCP/IP筛选,不过对于Win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口;这样对于需要开大量端口的用户就比较麻烦。
②IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,所以在本系统的WWW服务器采取下面的设置:
首先,把操作系统在C盘默认安装的Inetpub目录彻底删掉,在D盘建一个Inetpub在IIS管理器中将主目录指向D:\Inetpub。
其次,在IIS安装时默认的scripts等虚拟目录一概删除,这些都容易成为攻击的目标。我们虽然已经把Inetpub从系统盘挪出来了,但这样作也是完全必要的。如果需要什么权限的目录可以在需要的时候再建,需要什么权限开什么。特别注意写权限和执行程序的权限,没有绝对的必要千万不要给。
③应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指出的是ASP,ASP和其它确实需要用到的文件类型。我们不需要IIS提供的应用程序的映射,删除所有的映射,具体操作:在IIS管理器中右击主机一属性一WWW服务编辑一主目录配置一应用程序映射,然后就一个个删除这些映射。点击“确定”退出时要让虚拟站点继承刚才所设定的属性。
经过了Win2000Server的正确安装与正确配置,操作系统的漏洞得到了很好的预防,同时增加了补丁,这样子就大大增强了操作系统的安全性能。
虽然信息管理系统安全性措施目前已经比较成熟,但我们切不可马虎大意,只有不断学习新的网络安全知识、采取日新月异的网络安全措施,才能保证我们的网络安全防御真正金汤。
参考文献:
刘海平,朱仲英.一个基于ASP的在线会员管理信息系统.微型电脑应用.2002(10)
东软集团有限公司,NetEye防火墙使用指南3.0,1-3
贾晶,陈元,王丽娜编著,信息系统的安全与保密,第一版,1999.01,清华大学出版社
EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
杨兵.网络系统安全技术研究及其在宝钢设备采购管理系统中的应用:(学位论文).辽宁:东北大学,2002
篇5
1.3人为的网络系统攻击在利益的驱使下,部分不法分子企图通过不合法的网络系统攻击方式对网络通信进行人为的攻击从而获取大量的网络资源。这些“黑客”的攻击不仅出现在商业管理终端等能够获取大量经济利益的领域,甚至还可能出现在个人的计算机中获取个体用户的信息,给用户的信息安全造成重大隐患。应该客观认识的是,我国网络通信在人们生活水平不断提升及通信方式变革的背景下发展速度一日千里,但是作为保障的信息安全维护工作却与网络通信的发展现状存在较大差距。再加上网络通信管理部门对于网络通信信息安全认识不足、网络通信管理制度不健全等问题也加剧了网络通信信息安全隐患,甚至给整个互联网通信系统带来安全隐患,给不法分子以利用的机会。正是基于当前我国网络通信中信息安全的严峻现状及在这一过程中所出现问题的原因,笔者认为,不断加强网络通信技术革新与网络通信制度建设,充分保障网络通信信息安全是时展的必然要求。
2保障网络通信信息安全的途径
2.1充分保障用户IP地址由于黑客对用户网络通信的侵入与攻击大都是以获取用户IP地址为目的的,因此,充分保障用户的IP地址安全是保护用户网络通信安全的重要途径。用户在使用互联网时也要特别注意对自身IP地址的保护,通过对网络交换机的严格控制,切断用户IP地址通过交换机信息树状网络结构传递被透露的路径;通过对路由器进行有效的隔离控制,经常关注路由器中的访问地址,对非法访问进行有效切断。
2.2完善信息传递与储存的秘密性信息传递与信息储存的两个过程是当前给网络通信信息安全造成隐患的两个主要途径,在网络信息的存储与传递过程中,黑客可能会对信息进行监听、盗用、恶意篡改、拦截等活动以达到其不可告人目的的需求。这就要求用户在使用网络通信技术时要对网络信息的传递与储存环节尽量进行加密处理,保证密码的多元化与复杂性能够有效甚至从根本上解决信息在传递与储存环节被黑客攻击利用的威胁。当前在网络通信过程中用户可以选择自身合适的加密方式对自身的信息进行加密处理,而网络维护工作者也要根据实际情况加强对信息的加密设置。
2.3完善用户身份验证对用户的身份进行有效的验证是保障网络通信信息安全的另一条重要途径。在进行网络通信之前对用户身份进行严格验证,确保是本人操作从而对用户的私人信息进行充分有效的保护。当前,用户的身份验证主要是通过用户名与密码的“一对一”配对实现的,只有二者配对成功才能获得通信权限,这种传统的验证方法能够满意一般的通信安全需求,但是在网络通信技术发展速度不断加快的背景下,传统的身份验证方法需要新的变化,诸如借助安全令牌、指纹检测、视网膜检测等具有较高安全性的方法进一步提升网络通信信息安全水平。此外,在保障网络通信信息安全的过程中还可以通过完善防火墙设置,增强对数据源及访问地址恶意更改的监测与控制,从源头上屏蔽来自外部网络对用户个人信息的窃取以及对计算机的攻击。加强对杀毒软件的学习与使用,定期对电脑进行安全监测,从而确保用户自身的信息安全。
篇6
当今社会,通信网络的普及和演进让人们改变了信息沟通的方式,通信网络作为信息传递的一种主要载体,在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值,另一方面也意味着巨大的潜在危险--一旦通信网络出现安全事故,就有可能使成千上万人之间的沟通出现障碍,带来社会价值和经济价值的无法预料的损失。
3通信网络安全现状
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题。
计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。
计算机病毒的层出不穷及其大范围的恶意传播,对当今日愈发展的社会网络通信安全产生威胁。
现在企业单位各部门信息传输的的物理媒介,大部分是依靠普通通信线路来完成的,虽然也有一定的防护措施和技术,但还是容易被窃取。
通信系统大量使用的是商用软件,由于商用软件的源代码,源程序完全或部分公开化,使得这些软件存在安全问题。
4通信网络安全分析
针对计算机系统及网络固有的开放性等特点,加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。安全意识不强,操作技术不熟练,违反安全保密规定和操作规程,如果明密界限不清,密件明发,长期重复使用一种密钥,将导致密码被破译,如果下发口令及密码后没有及时收回,致使在口令和密码到期后仍能通过其进入网络系统,将造成系统管理的混乱和漏洞。为防止以上所列情况的发生,在网络管理和使用中,要大力加强管理人员的安全保密意识。
软硬件设施存在安全隐患。为了方便管理,部分软硬件系统在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在着许多不完善的或是未发现的漏洞(bug),加上商用软件源程序完全或部分公开化,使得在使用通信网络的过程中,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软硬件的漏洞直接侵入网络系统,破坏或窃取通信信息。
传输信道上的安全隐患。如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。
另外,在通信网建设和管理上,目前还普遍存在着计划性差。审批不严格,标准不统一,建设质量低,维护管理差,网络效率不高,人为因素干扰等问题。因此,网络安全性应引起我们的高度重视。
5通信网络安全维护措施及技术
当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。于是,保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露,保障系统连续可靠地运行,网络服务不中断,就成为通信网络安全的主要内容。
为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输我们可以运用到以下防卫措施:“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性,即便被截获也会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”,一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查,一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(VPN)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
篇7
2.1对网络的防火墙功能进行完善
网络层防火墙被看作为既是分离器,又是一种在底层的TCP/IP协议堆栈上运作的一种IP封包过滤器,同时又是一个分析器,它能够确保内部网络不被侵害的同时可以行之有效的监控内部网和Internet之间的所有活动。它为了保证内部网络的安全运行,不被外部网络干扰可以把互联网方面的风险区域和安全区域有效的隔离。另外,网络防火墙除了起到对某些禁止的业务进行封堵、对进出的访问行为进行管理以及发现网络攻击时能够及时的进行检测和报警的作用,还能够在有信息内容和活动通过防火墙时,做到及时的分析和记录。
2.2加强杀毒软件的安装
在计算机上安装杀毒软件,对于保护好网络信息安全有着非常重要的作用。其中杀毒软件还可以叫做防毒软件,还可叫做反病毒软件,其作用是一种安全防护软件,可以查找并消除电脑病毒、恶意软件和特洛伊木马。杀毒软件是把许多功能集中于一体,主要包括对计算机的实时监控、对病毒的扫描与清除、自动更新病毒库以及自动更新等,目前有一些杀毒软件还带有数据上传与恢复的功能。防火墙、杀毒软件、恶意软件查杀程序和入侵防御系统等构成了计算机的防御系统,杀毒软件是计算机防御系统中极其重要的一部分。
2.3加强虚拟专用网络
隧道技术、加解密技术和密钥管理技术构成了虚拟专用网络。在使用一些不同协议的数据包或帧隧道传递数据的过程中所用到的技术就是隧道技术,隧道技术已经允许授权了一些移动用户,加上已授权的非移动用户,他们在浏览企业网络数据信息时,没有时间和IP地址的限制。加密技术作为一个相当成熟的数据通信,已经被广泛的应用在互联网数据传递中。为了保证未授权的用户不能获得相关的网络信息,加密技术是必不可少的一项措施。密钥管理技术有效保证了在网络上传递的数据的安全性以及不被轻易窃取。密钥管理技术在现阶段主要可以被分为两类—ISAKMP/OAKIEY和SKIP。其中前者有公用和私用之分,后者则主要是在网络上传输的密钥。
2.4完善网络信息安全机制网络信息安全机制的主要作用
是从管理上和技术上保证网络安完整准确的安全。保障网络信息安全的关键是建立一个完善的网络信息安全机制。在完善网络安全机制的过程中,除了要做到建立良好的网络数字签名机制、数据完整性机制、安全加密机制、访问控制机制以外,还要对鉴别交换机制、公正机制、通信业务流填充机制以及路由控制机制等进行不断的完善。
2.5加强网络的安全管理
从日前的数据来看,超过百分之六十的信息安全出现了问题都归咎于管理方面。职责分离原则、任期有限原则以及多人负责原则是安全管理网络信息系统上的三个原则。加强网络的安全管理不但要求管理网络的人员提高其监督意识,既要加强使用人员的安全意识还要设置计算机的系统口令,非专业人员不得访问。网络管理人员也要做到尽职尽责,按照自己的职责与权限,对不同的系统设置不同的口令,在操作的过程中要保证其合法性,严格限制有些用户对网络资源进行非法的访问和使用。
2.6加强法律法规的宣传
在现阶段的统计数据中可以看出,在我国有一百多条正在使用的国际国内信息安全相关的准则。信息安全保障体系是在网络信息安全标准的基础上建立的,保证了政府能够对网络进行合理有效的宏观调控。目前,信息安全起着至关重要的作用,没有网络信息安全,国家的利益和人民的安全便得不到保证。网络信息安全有利于产品实现互相操作和互相连接,是网络安全产品更加可信。现如今,由于网络不安全所产生的问题越来越多,网络违法的行为时常发生在我们身边,有些甚至因为网络纠纷而闹到了法庭。因此,必须加强与网络相关的法律法规的宣传,保证网络能在健康的环境下运行,切实保障国家和人民的利益得以实现。当我们遇到网络信息安全的纠纷时,必须走法律的途径,用法律的手段维护自身利益,打击网络违法犯罪行为。
篇8
ARP病毒、DDoS攻击情况屡见于单位的内网,经常造成网络瘫痪及数据丢失,基于此采取相应的应对防范措施尤为重要。如建立每台内网内机器的IP-MAC列表,用专用软件每天定时巡检其对应性;建立每台工作用机的硬件及操作系统的配置档案并存储入库;设立硬件防火墙,定期检查机房内主干网用路由器、交换机、防火墙的日志信息并导出保存;每台工作用机由使用者负责维护,严格落实安全软件的安装和升级制度;每网机器制作并保存系统的备份,网管建立并保存服务器的备份;网管制作和保存单位内部设备拓扑图,一旦内网有感染病毒的机器再现,能及时将该机器或其所属子网隔离出内网;可在条件允许的情况下,将内网用3层交换机设置VLAN以区分出办公、实验、等不同使用领域;与单位网络的ISP签订协议,定期更换单位的公网IP,以规避有针对性的来自外网的DDoS、ARP攻击。
3手机无线上网
随着智能手机的广泛使用和无线宽带技术的发展,网络使用人群已由传统的PC向移动终端过渡。对无线信号属性的掌握和移动终端的合理应用成为应注意的主要问题。如主流无线路由器等无线设备的常见型号及配置,信号穿透能力及散布范围,设备对不同方向的信号衰减程度,不同型号设备的抗干扰性;关注和跟踪蓝牙的无线传输和发射技术;对获得的目标手机的基站定位参数进行解读和正确拆分,并以此为根据在手机基站定位软件上定位目标手机的实际地点。
4网络音视频文件传输
面对流通于网络和存储于单位服务器上的大量音视频文件,对其进行有效分析和管理是保护自身信息安全和有效利用信息资源的重要工作。除了依靠专业技术开发对音视频文件的获取、压缩和存储的处理手段外,还可致力于开发对音视频文件的分析和判别技术,尤其是集成频率提取技术、人面识别技术、连续相似视频合并及非焦点淡化技术的综合处理模式。
5电子数据鉴定
全国大部分地区已经建立了电子数据鉴定实验室,这对涉及电子数据、信息司法裁定具有重大意义。而作为信息单位,在具备对电子数据的分析、恢复、获取等专业技术的同时,应加强对本单位重要数据的保护及管理。涉及重要数据分析、保管的部门人员应加强对电子数据鉴定领域的国家、行业标准及技术规范的学习。有条件的单位应专门设立独立部门和人员从事电子数据的提取、固定与恢复,数据的分析与鉴定,信息系统分析与鉴定等工作。对于重要信息数据的操作及保存要结合本单位工作特点制定专门的操作规范和流程。
篇9
2网络层面
计算机网络互联在大大扩展信息资源共享空间的同时,也将其自身暴露在更多危险攻击之下。信息系统也同样承担着非法接入、非法访问、病毒传播等风险。网络层面的安全屏障主要有:(1)路由策略。由于信息系统的网络大部线路是基于公网的VPN通道,因此在出口处的VPN设备必然要与公网连接,为防止来自公网的非法访问,内网用户的IP地址使用了RFC1918所定义的私有网络地址,这种地址外部用户不能够直接访问,同时连接外网的VPN设备也不把到公网的路由广播到内部网络。这样可以保证内网用户和外网用户双方都无法直接互相访问。(2)防火墙访问控制。在中心平台和每个地市中心节点都安装了一台做访问控制的防火墙,这台防火墙只允许内部数据通过,任何内外之间的直接访问都会被防火墙所隔离,有效的防止了外部非法访问。(3)多层面用户身份认证。在网络上用户的合法性和该用户拥有的合法权限均通过多个层面的身份认证系统来确认,这些认证包括VPN密钥认证、Radius身份认证、终端设备和数字密钥身份认证、业务系统登录认证等。如果黑客想要冒充合法用户进入时,由于没有密钥口令,连接请求将会被拒绝。网络最终要做到每个用户在信息中心登记后分配给其单独的用户名和口令,并定期更新口令。为了加强对用户的身份认证,还在应用层上对用户所持有的数字密钥进行验证,只有各方面信息完全吻合的用户才能被认定为合法用户,授予登录访问权限。而且因采用分层管理,合法用户也无法访问到与其无关的服务内容。(4)使用访问列表控制非法连接。访问控制列表是应用在路由器接口的指令列表,这些指令列表可以控制路由器的数据接收。通过灵活地增加访问控制列表,可以过滤流入和流出路由器接口的数据包。(5)设置网络防病毒系统。在系统中部署了网络防病毒软件,在省数据中心设置了一台防病毒根服务器,在各地市中心设置防病毒分支服务器。网络管理员只要定期升级根服务器,全省的防病毒软件客户端就可以通过分支的防病毒服务器随时自动进行升级。(6)通过访问控制隔断病毒传播途径。多数病毒的传播途径都是有规律可循的。当某种病毒流传时,根据其网络传播特点,在网络路由转发设备上制定相应的访问控制列表,就可将病毒控制在最小范围内来处理,而不会大面积传播。
3应用层面和数据层面
应用和数据两个层面的风险主要有:非法用户(入侵者)对网络进行探测扫描、通过攻击程序对应用层主机的漏洞进行攻击、使服务器超负荷工作以至拒绝服务甚至系统瘫痪。由于系统采用的是基于公网的VPN技术,信息需要通过公网传输,在公网上,信息有可能会被人截获,造成信息泄漏或数据被修改后再发送,从而造成数据破坏。用于数据层面的屏障主要有:(1)在通过公网建立VPN连接时,所有传输数据都经过加密,以防止在传输过程中被窃听或篡改。(2)防止非法用户进入并攻击系统。首先是防止非法用户连接到内部网络,具体措施已在前面网络层面论述。而对已经连接到内部网络中的非法用户,要防止其对服务器进行攻击。解决此问题的措施主要有:①对关键服务器采用负载均衡交换机进行端口映射。负载均衡交换机对访问没有进行映射端口的数据包直接丢弃,使针对服务器的端口扫描和漏洞攻击无效,使非法用户无法远程对服务器进行直接访问,也就不能发起直接攻击;②入侵检测系统随时对入侵行为进行报警和记录。在数据中心和各地市中心都配置了入侵检测系统,随时监控着网络上的数据流量,检测到攻击特征的数据后立即告警,以便迅速采取进一步的措施,同时也为事后审核及追查攻击源头提供参考;③使用漏洞扫描系统进行主动的安全防护。信息中心配备了便携式的漏洞扫描系统,由管理员根据需要不定期的扫描系统内服务器和网络设备的漏洞,通过自身的主动监测,发现系统漏洞并及时弥补,对网络入侵做到防范于未然,同时建立系统安全报告,对整个系统的安全状况提供客观的评估标准。
篇10
篇11
网络行为的根本出发点,不仅仅是对设备进行保护,也不是对数据进行监控防范,而是规范企业员工在网络中的各种行为,也就是对人的管理。规范企业员工的网络行为需要通过技术设备和规章制度的结合来进行。网络中用户的各种不规范行为主要包括:正常使用互联网时访问到被人为恶意控制的网站或者网页。这些被控制的网站被黑客植入后门,方便攻击者窃取企业的各类内部数据或者控制其连接互联网的服务器。
1.2网络用户的安全意识需要加强。
各种安全设备的建立和安全技术的应用只是企业信息通信网络安全防护的一部分,关键是加强企业网络用户的安全意识,贯彻落实企业的安全制度。企业只依靠技术不可能完全解决自身的安全防护,因为技术在不断发展,设备在不断更新,黑客技术也在发展和更新。所以企业管理人员必须有安全意识,重视自己企业的安全措施。加强对员工的安全培训,使得全体人员提高安全意识,从根本杜绝安全隐患。
2企业信息通信网络的安全防护
信息通信网络安全防护工作,主要包括几个方面:安全组织、安全技术、安全运行体系。
2.1安全组织体系的构架
信息通信网络安全组织建设方面,需要建立决策、管理、协作三级组织架构,明确各层组织的职责分工和职能,对应合理的岗位,配备相应的人员,同时根据企业信息通信网络实际情况,建立起垂直和水平的沟通、协调机制。企业中有具体的人和组织来承担安全工作,即成立专业的信息通信网络安全部门,设置不同的岗位,明确对应的职责,并且赋予部门相应的权力和信任;安全部门组织专业人员制订出安全策略来指导和规范安全工作的开展,明确哪些可以做,哪些不能做,哪些如何做,做到何种程度等等。另外需要创造合理的外部环境来推动安全部门的工作,建立起一套快速有效的沟通协调机制,确保安全工作的高效推动。
2.2安全技术的应用
有了安全组织制订的安全目标和安全策略后,需要选择合适的安全技术来满足安全目标;这里主要分为信息通信网络系统的整体防护和个人终端的防护。
2.2.1信息通信网络系统的安全防护。
系统自身漏洞而导致的安全风险,经常是因为信息通信网络应用本身的漏洞使得网站被病毒入侵或者被植入控制程序,导致企业丢失数据。因此需要建立以下防范措施:(1)部署网络应用防火墙和网络应用安全扫描器,重要的网络应用通过各种安全认证或者许可才能进行使用,同时保证验证程序本身的安全性。(2)时刻对系统进行更新,对应用程序和系统软件进行补丁安装和升级。对于客户端漏洞有以下几种防范措施:(1)系统管理员要通过相应的认证软件拦截限制用户访问一些具有安全威胁的网页;(2)系统管理员要通过相关方案防止用户访问含有攻击和恶意软件的网站;(3)系统管理员要禁止用户从网上下载任何媒体播放文件;(4)系统管理员要通过部署相关软件禁止外网访问企业的邮件服务器;(5)禁止系统管理员在企业内部服务器上使用网页浏览器、电子邮件客户端、媒体播放器以及办公软件。从技术层面上而言,安全问题无处不在,单一的防火墙、防病毒软件、区域防御系统已经不能满足企业网的需要,为了应对网络中存在的多元、多层次的安全威胁,必须首先构建一个完备的安全体系,在体系架构下层层设防、步步为营,才能够将安全问题各个击破,实现全网安全。安全体系架构:由以太网交换机、路由器、防火墙、流量控制与行为审计系统、接入认证与强制管理平台等多种网络设备做技术支撑。从可信终端准入、资产管理、访问控制、入侵防御、远程访问、行为审计、全局安全管理等多方面,构成完善的防护体系,从而实现“可信、可控、可取证”的全网安全。其中以太网交换机、路由器、防火墙、流量控制与行为审计系统作为部署在网络各个层面的组件,接入认证与强制管理平台作为全网调度和策略分发的决策核心,通过安全联动,从内外两个安全域,三个维度构建自适应的安全体系。
2.2.2信息通信网络中个人应用的安全防护。
为了更好地加强企业信息通信网络安全,必须规范用户自己的安全行为,加强个人安全意识,建立自己的计算机安全系统,这就需要企业每个员工做到以下几方面的安全措施:(1)修改计算机管理员账户,为系统管理员和备份操作员创建特殊账户。用户要禁止所有具有管理员和备份特权的账户浏览Web,严禁设置缺省的Guest账户;(2)限制远程管理员访问NT平台;(3)在域控制器上,修改注册表设置;(4)严格限制域中Windows工作站上的管理员特权,严禁使用缺省值;(5)对于注册表严格限制,只能进行本地注册,不能远程访问;(6)限制打印操作员权限的人数;(7)合理配置FTP,确保服务器必须验证所有FTP申请。在确定了安全组织和安全技术后,必须通过规范的运作过程来实施安全工作,将安全组织和安全技术有机地结合起来,形成一个相互推动、相互联系地整体安全运行体系,最终实现企业信息通信网络的安全防护。
篇12
1.物理层的安全问题
校园网需要各种设备的支持,而这些设备分布在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪,如室外通信光缆、电缆等,分布范围广,不能封闭式管理;室内设备也可能发生被盗、损坏等情况。
物理层的安全问题是指由于网络设备的放置不合适或者防范措施不得力,使得网络设备,光缆和双绞线等遭受意外事故或人为破坏,造成校园网不能正常运行。物理安全是制订校园网安全解决方案时首先应考虑的问题。
2.系统和应用软件存在的漏洞威胁
在校园网中使用的操作系统和应用软件千差万别,这些威胁,而且网络用户滥用某些共享软件也会导致计算机可能成为黑客攻击校园网的后门。
3.计算机病毒入侵和黑客攻击
计算机病毒是校园网安全最大的威胁因素,有着巨大的破坏性。尤其是通过计算机网络传播的病毒,其传播速度快、影响大、杀毒难等都不是单机病毒所能相比的。校园网在接入Internet后,便面临着内部和外部黑客双重攻击的危险,尤以内部攻击为主。由于内部用户对网络的结构和应用模式都比较了解,特别是在校学生,学校不能有效的规范和约束学生的上网行为,学生会经常的监听或扫描学校网络,因此来自内部的安全威胁更难应付。
4.内部用户滥用网络资源
校园网内部用户对校园网资源的滥用,有的校园网用户利用校园网资源提供视频、音频、软件等资源下载,占用了大量的网络带宽。特别是近几年兴起的BT、电骡等的泛滥使用占用了大量的网络带宽,给正常的校园网应用带来了极大的威胁。
二、采取安全控制策略
1.硬件安全策略
硬件安全是网络安全最重要的部分,要保证校园网络正常,首先要保证硬件能够正常使用。通常情况下可采取的措施主要有:减少自然灾害(如火灾、水灾、地震等)对计算机硬件及软件资源的破坏,减少外界环境(如温度、湿度、灰尘、供电系统、外界强电磁干扰等)对网络信息系统运行可靠性造成的不良影响。
2.访问控制策略
访问控制方面的策略任务是保证网络资源不被非法使用或访问。包括入侵监测控制策略、服务器访问控制策略、防火墙控制策略等多个方面的内容。
(1)防火墙控制策略
防火墙控制策略维护网络安全最重要的手段。防火墙是具有网络安全功能的路由器,对网络提供的服务和访问定义,并实现更大的安全策略。它通常用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置。
(2)入侵监测控制策略
入侵监测控制策略就是使用入侵监测系统对网络进行监测。入侵检测系统(IntrusionDetectionSystems)专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
(3)服务器访问控制策略
服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。另外对用户和账户进行必要的权限设置。一是要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。二是取消默认账户不需要的权限选择合适的账户连接到数据库。
3.病毒防护策略
病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式的对网络进行传播和破坏,照成线路堵塞和数据丢失损毁。那么建立统一的整体网络病毒防范体系是对校园网络整体有效防护的解决办法。
4.不良信息的防护策略
Internet上存在大量的不良信息,校园网络因为Internet连接,学生有可能无意中接触这些信息而在校园网上传播,造成恶劣的影响。可以安装非法信息过滤系统,设置非法IP过滤和非法字段过滤有效屏蔽Internet上的不良信息。
5.建立安全评估策略
校园网络安全不能仅仅依靠防火墙和其他网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。使用安全评估工具是进行安全评估的一种手段,可以对各方面进行检测和反馈信息收集,进而制定策略。
三、结束语
高校校园网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了高校校园的网络不能仅仅依靠防火墙,而涉及到管理和技术等方方面面。需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。
参考文献:
[1]KurousJF,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.
[2]张武军,李雪安.高校校园网安全整体解决方式研究[J].电子科技,2006,(3):64-67.
篇13
1.1warnin(g预警)整个计算机网络的信息安全体系结构中,预警模块是最为根本的所在,主要的作用是对计算机网络的信息安全进行诊断,该诊断具有预防性。同时,预警结构通过研究计算机网络的性能,提出具有科学性与合理性的评估报告。
1.2protect(保护)保护结构主要的作用是对计算机的信息安全系统提供保护,确保计算机网络在使用过程中的安全性,有效地封锁、控制外界对计算机网络的入侵及攻击行为。保护结构能够对计算机网络进行安全设置,实现对计算机网络的检查与保护,其检查与保护工作的重点内容就是网络总存在的各种可能被攻击的点或者是存在的漏洞,通过这些方式为信息数据在计算机网络中的安全、通畅应用提供条件。
1.3detectio(n检测)计算机网络的信息安全体系结构中的检查结构主要的作用是对计算机受到的各种攻击行为进行及时、准确的发觉。在整个信息安全体系结构中,检测结构具有隐蔽性,主要的目的是防止黑客发现并恶意修改信息安全体系结构中的检测模块,确保检测模块能够持续为计算机网络提供保护,同时还能够促进检测模块自身保护能力的提高。检测模块一般情况下需要与保护模块进行配合应用,从而促进计算机网络保护能力与检测能力的提高。
1.4respons(e响应)当计算机网络信息安全体系结构中出现入侵行为之后,需要及时通过冻结措施对计算机网络进行冻结,从而防止黑客的入侵行为进一个侵入到计算机网络中。同时,要通过相应的响应模块对入侵进行响应。例如,计算机网络信息安全体系结构中可以通过阻断响应系统技术实现对入侵及时、准确的响应,杜绝黑客对计算机网络更加深入的入侵行为。
1.5restor(e恢复)计算机网络信息安全体系结构中的恢复模块主要的作用是在计算机网络遭受到黑客的攻击与入侵之后,对已经损坏的信息数据等进行及时的恢复。在对其进行恢复的过程中,主要的原理为事先对计算机网络中的信息文件与数据资源进行备份工作,当其受到攻击与入侵之后通过自动恢复功能对其进行修复。
1.6counterattac(k反击)计算机网络信息安全体系结构中的反击模块具有较高的性能,主要的作用为通过标记跟踪功能对黑客的入侵与攻击进行跟踪与标记,之后对其进行反击。反击模块首先针对黑客的入侵行为进行跟踪与标记,在此基础上利用侦查系统对黑客入侵的方式、途径及黑客的地址等进行解析,保留黑客对计算机网络进行入侵的证据。与此同时,反击模块会采用一定的反击措施,对黑客的再次攻击进行有效的防范。
2计算机网络信息安全体系结构的防护分析
当前,在对计算机网络信息安全体系结构进行防护的过程中,较为常用的就是WPDRRC结构,其主要的流程包括攻击前防护、攻击中防护与攻击后防护三个方面。
2.1信息安全体系结构被攻击前防护工作在整个的计算机网络中,不同的文件有着不同的使用频率,而那些使用频率越高的文件就越容易受到黑客的攻击。因此,信息安全体系结构的被攻击前防护工作的主要内容就是对这些比较容易受到黑客攻击的文件进行保护,主要的保护方式包括防火墙、网络访问控制等。通过WPDRRC结构对其中存在的威胁因素进行明确,有针对性地进行解决措施的完善。
2.2信息安全体系结构被攻击中防护工作当计算机网络受到攻击之后,信息安全体系结构的主要防护工作为阻止正在进行中的攻击行为。WPDRRC结构能够通过对计算机网络系统文件的综合分析对正在进行中的攻击行为进行风险,同时能够对计算机网络中各个细节存在的变动进行感知,最终对黑客的攻击行为进行有效的制止。
2.3信息安全体系结构被攻击后防护工作当计算机网络受到攻击之后,信息安全体系结构主要的防护工作内容为对计算机网络中出现的破坏进行修复,为计算机网络的政策运行提供基础。同时,恢复到对计算机网络信息安全的保护中。
3计算机网络信息安全体系结构中加入人为因素
IT领域中都是以技术人员为主体来对产业雏形进行构建的,因此在IT领域中往往存在着及其重视技术的现象,主要的表现为以功能单纯而追求纵向性能的产品为代表,产品的覆盖范围限制在技术体系部分,缺乏对组织体系、管理体系等其他重要组成部分的重视。因此,只有在计算机网络信息安全体系结构中加入人为因素才具有现实意义。在计算机网络信息安全体系结构的构建过程中,应该注重以组织体系为本,以技术体系为支撑,以管理系统为保证,实现三者之间的均衡,从而真正发挥计算机网络信息安全体系结构的重要作用。
