引论:我们为您整理了13篇网络安全防护方法范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
Network Security Professional Teaching Method Reform and Discussion
LIN Fei1,ZHANG Qian2,YE Ya-lin2
(1.Jinan Military Region, Jinan 264000,China;2 .Xi’an Communications Institute , Xi’an 710106,China)
Abstract:Network security professional is a theory and practice,closely integrated courses,not only emphasize the mastery of the technical principles of network security, and pay more attention to the improvement of students’practical ability. The paper analyzes the main problems in the existing network security professional teaching; propose a three stages of network security professional teaching method of basic experiment teaching; research, innovative practice teaching; innovative practice teaching. It is very great significance to develop practical high-quality professional telent.
Key words: network security; practice teaching; teaching method
网络安全专业是一门理论与实践并重的课程,该文针对目前多数院校现行网络安全专业实践课教学过程中存在的不足,结合多年网络安全防护专业实践课教学的体会,提出实践课教学改革思路。将本课程的教学以“以理论为中心”转化为“以实践为中心”,将学生从课堂带到实验室,使其在实践中深入理解、掌握和升华所学到的相关知识,使网络安全防护专业学生具备较强实践能力、任职能力和综合能力,对网络安全防护专业实践课教学改革的对策作以探讨。
1网络安全防护专业教学存在的问题
网络安全防护专业是一门实践性很强的课程。实践教学不仅仅是验证和理解本学科的基本理论,也是培养学生的思维和创新能力。目前,多数院校在网络安全防护专业教学过程中,实践课教学环节比较薄弱,使得培养出来的学生实践能力、创新能力和解决实际问题能力不强。网络安全防护专业实践教学普遍存在一些问题。
1.1理论教学为主,实践教学为辅
现代实践教学的主要目的是掌握实践技能,但是很多高校在“理论+实践”教学过程中,实践教学环节设置不合理,仍是采用理论教学为主、实践教学为辅的教学模式。这种模式使得学生学习专业技术知识掌握不好,学生难以全面透彻的理解相关专业知识,而且学生缺乏学习的主动性和积极性。如果教学中只是注重理论教学,那么学生毕业后很难满足实际工作需求,很难在短时间内胜任网络安全防护专业相关的工作。
1.2实践教学内容设置单一,方法陈旧
大部分传统网络安全专业课的实验设置,虽然项目比较繁多,但内容独立、不同实验之间缺乏系统性和灵活性。网络安全专业实验课不仅要求学生要有理论基础知识,更要有一定的实践操作能力。但很多时候都是老师在授课过程中进行相关的实验演示,以老师为主导,老师是实验的创作者,是主动施教者,这种方法使得在网络安全防护专业实践教学过程中,始终学生是被动者,极大阻碍了开发学生实践动手能力的创造性和主动性,极大减弱了网络安全防护专业教学的效果。
1.3实践课的考核形式不合理
实践教学考核方式不是很完备,主要表现在考核内容的设置缺乏灵活性,没有很好的和实际工作中的具体问题结合起来。通过对近几年各个院校网络安全防护相关专业的考核方式、结果的分析,以及对相关专业的学生和用人单位的意见反馈的调查,表明目前网络安全防护相关专业的考核方式仍是以理论考核为主,实践操作考核比例较少,设置不合理,不能全面体现学员的实践操作能力。
2网络安全专业教学改革的思路与方法
实践教学作为院校教学体系的一个重要教学环节,与理论教学相比则具有直观性、实践性、综合性、启发性和探索性的特点[1],不仅能使学生理解网络安全防护专业的基本理论,还能提高学生分析和解决实际问题的能力。针对网络安全防护专业学生的实际情况,将学生实践能力划分为基本能力、综合能力和创新自主能力等不同层次。根据不同层次设置基础实验教学、综合、设计性实践教学和创新实践教学三个阶段,进行网络安全防护专业实践能力的培养。
2.1基础性实验教学
网络安全专业实践教学基本内容为依据,在原有课程实践的基础上,结合实践教学的认知规律,重新整合重组。促进学员对基本原理的理解和基本技能的掌握。可划分为不同的教学模块,并引进相关领域新的实践技术。网络安全专业实验教学内容包括密码与安全协议、网络攻击、网络安全防护等基础性实验。因此,在原有课程实验的基础上,将知识体系结构重新整合成围绕一个专业问题或知识点为一个模块的设计方式,可以单独学习其中一个或多个内容,主要以验证方式进行实验,采取统一上机统一指导。
2.2综合性、设计性实践教学
在学生完成基础性实践的基础上,进行综合知识的技能训练,培养学生基本技能的综合分析能力,重视基本技能的综合和扩展,网络安全防护专业实践教学除了包含基础性实验,还包含了综合案例的方案过程设计、设备的运行和维护、问题的判断与解决等更高一级的内容。综合性、设计性实践教学是基于“任务驱动”的方式采取由浅入深、由简单到复杂、由小实验到综合型实验的递进方式设计实验。
2.3创新性实践教学
在综合性、设计性实践教学的基础上,以培养学生的创新能力和自主研究能力为目的,借助网络安全防护相关专业的技术各类竞赛平台,激发网络安全防护专业学生从被动接受知识变为主动探求知识的学习热情,设计相应的实践项目,突出学生独立设立实践和独立进行实践操作,强化学生“探究式”学习能力和培养科学思维能力[2]。
3小结
该文以网络安全防护专业实践教学目标为指导,深入分析现有课程存在的不足,积极探索构建适合网络安全防护专业的实践课程,设计了包含网络安全防护专业的基础实验教学、综合性、设计性实践教学、创新性实践教学三个环节的实践教学方法。课程设计以实现学生快速提升解决实际问题的能力、激发学生自主学习热情为目标,使网络安全防护专业学生具备为信息网络提供安全可靠的等级防护、有效防御各类网络攻击、快速处置各类网络安全事件的能力,真正满足信息系统安全防护能力建设对人才的要求。
篇2
网络信息安全问题自网络技术及其应用系统诞生以来,就一直是存在于网络建设过程当中,给网络系统使用者与建设者带来严峻挑战的一个问题。相关工作人员需要认识到在网络技术与应用系统不断完善发展的过程中,网络信息安全问题是始终存在的,并且它会伴随着网络功能的系统化、规模化、详尽化而始终处在变化发展的过程当中。据此,在网络应用系统技术蓬勃发展的当今社会,正确认识并处理好网络信息安全防护的相关技术工作,已成为当下相关工作人员最亟待解决的问题之一。
1 网络信息安全防护的现状及发展趋势分析
就我国而言,在全球经济一体化进程不断加剧与计算机网络技术蓬勃发展的推动作用下,传统模式下的网络信息安全防护思想再也无法适应新时期网络先进技术与经济社会安全需求的发展要求。我们需要认识到尽快建立起一个合理、先进、符合现代网络科学技术发展要求的网络信息安全防护原则,并在此基础上循序渐进的展开网络信息安全的研究工作,势必或已经会成为当前网络信息安全相关工作人员的工作重心与中心。
1)网络信息安全的新形势研究。笔者查阅了大量相关资源,对近些年来我国在网络信息安全工作中所遇到的新变化、新形势、新发展规律进行了初步认识与总结,认为当前网络信息安全新形势当中的“新”可以体现在以下几个方面。
① 网络信息攻击问题已成为网络信息安全环节所面临的首要问题。在当前的计算机网络信息系统中各种盗号、钓鱼、欺诈网页或是病毒十分盛行。可以说,网络信息攻击问题正在走向与经济利益相关的发展方向。
② 传统网络时代中以恶作剧、技术炫耀为目的发起的病毒攻击数量和规模都呈现出逐年下降的趋势,这些传统意义上的网络信息安全问题已非新形势下计算机网络信息系统的主流问题。
③ 工业化生产病毒正成为当前计算机网络系统信息安全的发展趋势,各种以高端无线技术为依托的病毒软件、间谍程序攻占了当前的网络信息安全结构,但相应的反病毒、反间谍技术发展却始终不够成熟,整个网络信息安全防护工作陷入了较为尴尬的发展局面。
2)网络信息安全防护工作的发展趋势分析。针对当前经济形势下计算机网络乃至整个网络信息系统呈现出的新形势分析,网络信息的安全防护工作也是必要作出相应的变革,其研究工作不仅需要涉及到对各种病毒、间谍程序的有效控制,还需要实现整个计算机网络系统高效的响应与恢复功能。具体而言,网络信息安全防护正面临着以下几个方面的新发展趋势。
① 网络信息安全防护的地位正发生着转变。网络信息安全在由单机时代向互联网时代逐步过渡的过程中开始受到人们日益广泛的关注。计算机网络系统与其相关技术的蓬勃发展也使得网络信息安全防护由传统意义上的“有益补充”辅助地位向着“不可或缺”的主体地位发生转变。
② 网络信息安全防护的技术正发生着转变。纵观计算机网络技术及其应用系统的发展历程,我们不难发现网络信息安全防护对于整个网络系统中出现的额安全问题解决思路由传统的单点防护向着综合防护转变。在这一过程中,统一威胁管理成为了当前大部分相关部分解决信息安全问题所采用的关键技术之一。但这一技术当中存在的硬件系统性能发展不够完善、逻辑协同问题等也使得这种安全防护技术面临着前所未有的挑战。
2 基于网络信息安全防护新思想及理论的相关技术方法研究
笔者以多层次弹性闭合结构及无差异表示未知因素的基本思想,在预应式及周密性原则的作用下,提出了一种对解决网络信息安全问题而言极为有效的新技术方法。大量的实践研究结果表明,将这种网络信息安全防护理论及相关方法应用在计算机网络技术及相关应用系统的安全实践工作中,能够取得极为深远且重要的意义。
这种基于多核MIPs64硬件网关的设计方法一般来说是由采用MIPs64型号安全处理犀利的多核处理器加上资源调度系统、控制系统以及通信接口三个模块共同构成的。在这一系统中,核心处理器不仅具备了高集成化基础下的系统64位解决方案,同时还能够在硬件网关加速器与多核技术的加速作用下,达到系统CPU处理频率与网络信息安全防护效率的提升。
3 网络信息安全防护理论与方法的发展展望
网络信息安全防护理论与方法从本质上来说是网络安全实践工作及经验总结的构成部分,它从网络安全实践中分离出来并最终作用于网络安全防护工作的践行。其理论与方法势必会随着网络信息安全威胁对象与威胁范围的变化而发生相应的变化。具体而言,可以概括为以下几个方面。
1)网络信息安全防护的安全评估范围发展展望。在计算机网络技术及其应用系统所处安全形势的变化过程中,传统意义上仅仅依靠硬件系统改造和技术升级来对网络信息安全问题进行控制与处理的思想也无法适应当前网络结构的高安全需求。这也就意味着安全评估工作需要从单纯的安全环境问题处理向着安全环境与系统安全应用能力兼顾的复杂性系统结构方面发展,逐步上升到硬件系统处理与软件系统处理并重的地位。
2)网络信息安全防护的应用方法发展展望。统一威胁管理系统作为当前应用最为广泛的网络信息安全防护技术需要向着提供综合性安全功能的方向发展,将病毒入侵功能与检测功能共同融入到网络系统防火墙的建设工作当中,使其能够发挥在防御网络信息安全混合型攻击问题中的重要功能。
4 结束语
伴随着现代科学技术的发展与经济社会不断进步,人民日益增长的物质与精神文化需求对新时期的网络信息安全防护工作提出了更为严格的要求。本文对新时期网络信息安全防护的理论与方法做出了简要分析与说明,希望为今后相关研究工作的开展提供一定的意见与建议。
参考文献:
[1]陈仕杰,加速成长的X86嵌入式系统(上)抢攻嵌入式市场的X86处理器双雄AMD vs.VIA.[J].电子与电脑,2007(03).
篇3
1、终端安全防护存在的主要问题
目前,计算机网络终端安全防护存在的主要问题有:
(1)终端存在安全隐患
一方面,受国家电子信息产业丛础的制约,计算机网络终端的微处理器、操作系统和基础软件都使用国外产品,由于不掌握核心技术,这些终端本身不可避免地存在着安全漏洞,同时也无法排除存在陷阱、后门等隐患的可能性。由于没有及时升级操作系统或应用软件,使些终端长期存在着安全漏洞,从而给蠕虫病毒、木马程序和黑客软件带来了可乘之机。
(2)终端入网无安全审查
一些网络对终端接入不进行安全审查,即不检查用户是否为合法用户,不检查终端是否为合法的授权终端、是否带有病毒等恶意代码、是否存在着安全漏洞。一些合法的授权终端被用户随意更换整机或部分硬件(如硬盘、网卡等),或使用盗用的IP地址和网卡地址后就成为“非授权终端”。个别不怀好意的用户利用这些“非授权终端”入网后(“违规接入”),就可越权访问网络或发起网络攻击。
(3)终端操作无安全管控
一些网络终端对用户上网操作行为无安全监控和日志审计。这样就使用户在终端上能随意安装、运行可能带有病毒等恶意代码的非授权软件;或者故意在终端上运行恶意软件,传播恶意代码、实施破坏或窃密;或者在网上或传播不法言论;或者使用BT等P2P软件恶意占用带宽。由于无日志审计,对用户的这些非法行为,事后都无法追究。
2、终端安全防护模型
借鉴人们己提出的PPDR网络安全模型的思想,针对终端安全防护存在的问题,我们提出如图1所示的终端安全防护模型,该模型将用户通过终端上网的安全防护过程分为安全认证、安全检查、安全修复、安全监控和安全处置等五个环节。根据该模型,终端入网时需进行身份认证和安全检查,通过后才能正常入网,否则要对终端进行安全修复;在终端的上网过程中还要进行行为监控,发现终端安全事件要及时进行处置。这五个环节在安全策略的指导下,形成一个完整的、自我完善、循环往复的动态闭环自适应过程,对终端上网过程进行全程安全管控。
(1)安全认证
对终端身份和用户身份进行安全认证,即只有合法的用户、使用指定的终端、在规定的时间和地点才能入网,以防止非法用户或非法终端入网。终端身份认证就是要验证终端的IP地址、网卡地址和接入地点(交换机及端日号),用户身份认证就是要验证用户的用户名和密码,或验证用户的指纹、USBKEY等标识。
(2)安全检查
检查入网终端是否满足规定的安全要求,包括终端是否存在着安全漏洞?是否存在病毒等恶意软件?是否安装了防病毒软件和进行了升级?是否打上了最新的操作系统和应用软件的补丁是否具有合法的软、硬件配置(允许或者禁止某些程序的安装)?是否正确执行了指定的安全策略?
(3)安全修复
如果安全检查不通过,则需对终端进行安全修复,即将终端隔离到相应的修复区进行修复,如安装或升级防病毒软件,打上最新的操作系统补丁,执行指定的安全策略。只有修复成功后,终端才能正常地访问网络。
(4)安全监控
对终端的操作行为进行动态监测、记录(日志)、审计,发现安全事件及时报警。安全监控包括:终端软、硬件资产管理,终端运行状态监控,用户和终端操作行为监管,操作日志、管理日志、报警日志的审计分析。
(5)安全处置
当终端发生安全事件后,应根据安全策略进行相应的处置,只要有警告、通报、隔离和阻断等。警告指向问题终端发出警示性消息,通报指向全网所有终端发出警示性消息,隔离指将问题终端隔离在修复区内,阻断指断开终端与网络的连接,不允许其访问任何网络。
3、终端安全防护方法
根据终端安全防护模型,我们认为,一可通过正确的终端安全设置和相应的终端安全防护工具或系统来保障终端安全。
(1)安全设置
设置强壮口令。所有终端必须设置强壮安全的开机、屏幕保护和系统登录三级口令。
设置木地安全策略。关闭默认“文件和打印共享”,关闭移动存储设备(U盘、硬盘和光盘)的自动运行功能,禁用不必要的外设端口(如无线网口)。
(2)安全工具
终端需安装防病毒、防火墙软件和补丁程序,开启实时监控功能,并及时更新(每周至少升级两次)。
可通过在防病毒服务器中安装网络防病毒服务器软件,在所有终端中安装网络防病毒客户端软件的方法来实现终端防病毒的统一管理,阻止病毒在网络内的大肆传播。终端需配置单机防火墙软件,用于控制从网络对终端系统的访问,监控网络访问,记录、统计网络访问数据,抵御对终端的探测和攻击。
要经常为终端操作系统和应用软件打安全补丁。联接互联网的终端要开启自动更新功能,不联接互联网的终端也要通过人工手段打安全补丁。一些终端漏洞扫描与修复工具能主动扫描终端安全漏洞,并通过互联网下载补丁。还可根据需要安装终端数据加密工具、数据粉碎工具等。
(3)准入控制
准入控制只让安全的终端和用户入网,而将不安全的终端隔离进行修复,与传统的终端安全防护技术如防病毒、防火墙技术相结合,能将被动防御变为主动防御,阻止网常用的网络准入控制技术主要有EAPOL技术、EAPOU技术等,EAPOL技术在网络接入层进行准入控制,而EAPOU技术则是在网络汇聚层或核心层进行准入控制。
准入控制能实现前述安全模型中的安全认证、安全检查和安全修复功能:(l)安全认证。对终端的IP地址、MAC地址、所连接交换机的IP地址和端口号、用户名和口令进行绑定验证,通过后才允许接入网络,防止非法终端和非法用户接入网络。(2)安全检查。对终端操作系统补丁、指定软件(及版木)、防病毒软件的状态进行安全评估,使只有符合安全标准(如安装了最新的操作系统补丁、及时升级了最新的病毒特征库等)的终端才准许访问网络。(3)安全修复。如果终端没有安装最新的操作系统补丁和升级了最新的病毒特征库,那么系统将自动把这个终端隔离到修复区进行补丁和病毒特征库的更新,当终端修复完成后才准许访问网络。
(4)安全监控
安全监控对终端软硬件资产,用户操作行为、终端设备接口、网络行为、进程和软件使用行为等进行多角度、全方位的集中管控,实现对异常、可疑和违规行为的发现、报警、记录、阻断和审计,并与入侵检测系统(IDS)联动,以达到防止恶意攻击和保护敏感信息的目的。
结束语
我们认为,应将终端安全防护作为整个网络安全防护的重点。只有对终端上网的全过程进行全程管控,并做好终端安全设置、防病毒、防黑客、打补丁、准入控制和安全监控工作,才能从源头上、根木上保障网络信息安全。
篇4
随着信息技术的飞速发展,特别是进入新世纪以来,我国信息化基础设施普及已达到较高水平,但应用深度有待进一步建设。从《第35次中国互联网络发展状况统计报告》的一组数据显示出,截至2014年12月,全国使用计算机办公的企业比例为90.4%,截至2014年12月,全国使用互联网办公的企业比例为78.7%。近些年,我国企业在办公中使用计算机的比例基本保持在90%左右的水平上,互联网的普及率也保持在80%左右,在使用互联网办公的企业中,固定宽带的接入率也连续多年超过95% 。基础设施普及工作已基本完成,但根据企业开展互联网应用的实际情况来看,仍存在很大的提升空间。
一方面,是采取提升内部运营效率措施的企业比例较低,原因之一在于企业的互联网应用意识不足,之二在于内部信息化改造与传统业务流程的契合度较低,难以实现真正互联网化,之三在于软硬件和人力成本较高,多数小微企业难以承受;另一方面,营销推广、电子商务等外部运营方面开展互联网活动的企业比例较低,且在实际应用容易受限于传统的经营理念,照搬传统方法。
1.2 企业网络应用现状
根据最新的《第35次中国互联网络发展状况统计报告》中的数据显示,企业开展的互联网应用种类较为丰富,基本涵盖了企业经营的各个环节。电子邮件作为最基本的互联网沟通类应用,普及率最高,达83.0%;互联网信息类应用也较为普遍,各项应用的普及率的都超过50%;而在商务服务类和内部支撑类应用中,除网上银行、与政府机构互动、网络招聘的普及率较高以外,其他应用均不及50%。我国大部分企业尚未开展全面深入的互联网建设,仍停留在基础应用水平上。
由于目前我国网民数量已经突破6亿,在人们的日常工作、学习中网络已经扮演了不可替代的角色,因此网络安全问题就凸显出来,2014年,总体网民中有46.3%的网民遭遇过网络安全问题,我国个人互联网使用的安全状况不容乐观。在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。
1.3 网络安全防护现状
当前企业网络中已部署的基本的网络安全设备如防火墙等,但网络使用安全意识不高且网络安全是一个动态维护的过程,企业面临的内外部安全威胁日益巨增,整体安全形势不容乐观。在网络安全威胁中,对于来着企业内网的安全威胁特别难以防范,传统的安全防护措施,只能面对外部威胁,对内不具备防护能力。
高校在校园网信息化过程中数字化校园就是一典型例子,数字化校园网可以方便学生使用各类网络学习资源。但也有部分学生在好奇心的驱使下,往往会在网络中进行试探性的病毒传播、网络攻击等等。也有部分学生以获得学院某台服务器或者网站的控制权来显示其在黑客技术水平。因此,在内网中维护网络安全,保护信息安全,就显得更加重要和紧迫了。
2 内网面临的网络威胁
笔者在高校内网信息化建设过程中,通过多年的研究调查发现,学生的攻击往往是盲目地,且由于部分高校内网管理较混乱,学生可以绕过一些身份认证等安全检测,进入校园核心网络。学生的这些行为,一般不存在恶意性质,也不会进行蓄意破坏,但这就向我们提出了警示,一旦有不法分子轻松突破防线,其带来的危害也是灾难性的。
笔者以本单位学生通过校园网络攻击校园网服务器的例子,说明其网络攻击有时往往非常容易,其造成的危害却非常之大。
2.1 突破内网,寻找突破口
学生通过学院内网IP地址管理漏洞,轻松接入校园内部办公网络,并获得内网地址网段划分情况。通过流行黑客软件扫描学院内网获得内网安全薄弱处,检测出共青团委员会 http://10.0.1.30:90/该网页存在漏洞。进一步利用路径检测工具进行扫描,获得了后台地址http://10.0.1.30:90/wtgy/login.php。
2.2 一击得手
学生在获得了正确的管理地址后,只是进行了简单的尝试就取得了战果,通过弱口令扫描发现系统存在弱口令,于是尝试了如admin admin admin admin888 admin 123456等,居然顺利进入后台。
然后利用后台的附件管理里面的功能,添加了php格式,从而实现了上传。得到了内网的webshell(如图1)。
2.3 再接再厉,权限提升
学生不断尝试,测试了asp和aspx 的支持情况,答案是支持asp,不支持aspx的。自然就上传了 asp webshell,可以实现跨目录访问。访问权限进一步提升,如图,目标主机D盘内容一览无余,其中不乏一些关键目录信息就展现在攻击者眼前(如图2):
2.4 获得系统管理员权限,完全掌控目标主机服务器
查看系统所支持的组件,获取目标服务器系统关键信息。可以看到ws这个组件没有被禁用,从而上传cmd,以获得终极权限系统管理员权限。首先想到的是利用webshell中的上传进行,但是权限问题,webshell上传均失败,所以转向ftp上传(同样存在弱口令),从而绕过了限制,上传了cmd.exe。
实验性的执行命令Systeminfo查看系统信息命令,结果可以正常运行,终极权限获得(如图3):
可以看出,学生攻击学院内网的手段并不高明,其用到的黑客攻击工具,网络上也都能随意下载到,但其通过自己的仔细琢磨,充分利用了内网管理的漏洞,获得了关键信息。好在这是实验性,未造成实质性破坏。内网管理员也及时发现了问题,并对目标服务器进行了安全加固工作。
但我们不难发现,其实网络安全的程度存在着“木桶原理”的问题,也就是网络最薄弱的环节,决定着内网的安全程度。在现实中往往由于管理者的疏忽或者使用者贪图一时方便的原因,给网络中潜在的攻击者留下致命的后门。3 建立信息防泄露的内网访问控制模型
针对上述服务器网络攻击,最有效的方法就是对用户访问进行准入控制,隔离潜在威胁用户。例如,在内网中对所有用户进行身份认证,分配相应的网络访问权限。在内网安全架构中,访问控制是非常重要的一环,其承担着与后台策略决策系统交互,决定终端对网络访问权限发分配。目前主要使用的访问控制技术主要有:
3.1 802.1X 访问控制技术
802.1X 是一个二层协议,需要接入层交换机支持。在终端接入时,端口缺省只打开802.1X的认证通道,终端通过802.1X认证之后,交换机端口才打开网络通信通道。其优点是:在终端接入网络时就进行准入控制,控制力度强,已经定义善的协议标准。
其缺点是:对以网交换机技术要求高,必须支持802.1X认证,配置过程比较复杂,需要考虑多个设备之间的兼容性,交换机下可能串接HUB,交换机可能对一个端口上的多台PC 当成一个状态处理,存在访问控制漏洞。
3.2 ARP spoofing访问控制技术
在每个局域网上安装一个ARP spoofing,对终端发起ARP 请求代替路由网关回ARP spoofing,从而使其他终端的网络流量必须经过。在这个ARP spoofing上进行准入控制。其优点是:ARP适用于任何IP 网络,并且不需要改动网络和主机配置,易于安装和配置。其缺点是:类似DHCP控制,终端可以通过配置静态ARP表,来绕过准入控制体系。此外,终端安全软件和网络设备可能会将ARP spoofing当成恶意软件处理。
3.3 DNS重定向访问控制技术
在DNS重定向机制中,将终端的所有DNS解析请求全部指定到一个固定的服务器IP地址。其优点是:类似DHCP管理和ARP spoofing,适用于任何适用DNS协议的网络,易于安装和部署,支持WEB portal页面,可以通过DNS 重定向,将终端的HTML 请求重定向到WEB认证和安全检查页面。其缺点是:类似DHCP控制和ARP spoofing,终端可以通过不使用DNS 协议来绕开准入控制限制(例如:使用静态HOSTS文件)。
以上是内网安全设备主流使用的准入控制方式,每种方式都具有其特定的优缺点,一般来说每个设备都会支持两种以上的准入控制方式。
但是,网络管控对于网络使用的便捷性是一对矛盾体,如果既要使用的便捷性,又要对网络进行有效管控,这对网络安全设备的性能提出了相当高的要求。然而,高性能的安全设备价格非常昂贵,这也是很多企业宁可暴露威胁,也不防范的原因之一。
3.4 网关准入控制——UTM(统一威胁管理)
UTM产品的设计初衷是为了中小型企业提供网络安全防护解决方案,其低廉的价格和强大的集成功能,在企业内网中扮演着重要的角色。UTM将安全网关、终端软件、终端策略服务器、认证控制点四位一体化部署,可以在内网中进行多点部署,从而构建出内网用户访问控制模型,实现全面覆盖用户内网每一个区域和角落。
(1)合理部署网关位置
UTM的位置本身即位于安全域边界,由于UTM的设备性能参数,一般不建议部署在互联网出口、服务器出口及办公网出口等网络核心节点,在内网访问控制模型中,可以部署在网络拓扑中的汇聚节点。
从安全理论的角度讲,对某一区域网络中的所有用户进行控制(包括访问控制、准入控制、业务控制等);同时,UTM设备的入侵防御、防病毒、外连控制等模块可以与准入控制功能相互配合,UTM一旦发现某用户行为违规,就可以通过内网管理系统直接断开该用户的所有连接。
(2)UTM优势分析
采用UTM网关配合内网管理系统实现访问控制,用户只需要购买少量UTM设备,采用透明方式部署至网络关键节点处,即可以实现全面的准入控制。与基于DHCP控制,ARP spoofing,DNS 劫持等准入控制相比,UTM 准入控制能力更强、更全面,终端用户在任何情况下均无法突破或绕过准入控制。
除此以外,UTM设备还可根据终端的安全情况自动配置合适的安全策略,如在终端未满足某些安全要求的情况下开放其访问修复服务器的权限。
篇5
为提高护网工作组人员的安全防护能力,对不同重要系统进行分等级安全防护,从互联网至目标系统,依次设置如下三道安全防线:
第一道防线:集团总部互联网边界防护、二级单位企业互联网边界防护。
第二道防线:广域网边界防护、DMZ区边界防护。
第三道防线:目标系统安全域边界防护、VPN。
根据三道防线现状,梳理出主要防护内容,包括但不限于:梳理对外的互联网应用系统,设备和安全措施,明确相关责任人,梳理网络结构,重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构,网络安全设备及网络防护情况, SSLVPN和IPSECVPN接入情况。集团广域网、集团专线边界,加强各单位集团广域网、集团专线边界防护措施,无线网边界,加强对无线WIFI、蓝牙等无线通信方式的管控,关闭不具备安全条件及不必要开启的无线功能。
结合信息化资产梳理结果,攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查,确认薄弱环节以便进行整改加固。
二、 防守技战法详情
2.1 第一道防线--互联网边界及二级单位防护技战法
2.1.1 安全感知防御、检测及响应
构建从“云端、边界、端点”+“安全感知”的防御机制。相关防护思路如下:
防御能力:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
检测能力:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
响应能力:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
2.1.2 安全可视及治理
l 全网安全可视
结合边界防护、安全检测、内网检测、管理中心、可视化平台,基于行为和关联分析技术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。
l 动态感知
采用大数据、人工智能技术安全,建立了安全态势感知平台,为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据技术感知数据来发现主动发现威胁。
2.1.3 互联网及二级单位的区域隔离
在互联网出口,部署入侵防御IPS、上网行为管理,提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。
在广域网接入区边界透明模式部署入侵防御系统,针对专线接入流量进行控制和过滤。
办公网区应部署终端检测和响应/恶意代码防护软件,开启病毒防护功能、文件监测,并及时更新安全规则库,保持最新状态。
服务器区部署防火墙和WEB应用防火墙,对数据中心威胁进行防护;汇聚交换机处旁路模式部署全流量探针,对流量进行监测并同步至态势感知平台;部署数据库审计系统,进行数据库安全审计。
在运维管理区,部署堡垒机、日志审计、漏洞扫描设备,实现单位的集中运维审计、日志审计和集中漏洞检查功能。
2.1.3.1 互联网出口处安全加固
互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护,在攻防演练期间,出口处防火墙通过对各类用户权限的区分,不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。
对能够通过互联网访问内网的网络对象IP地址进行严格管控,将网段内访问IP地址段进行细化,尽量落实到个人静态IP。
开启精细化应用控制策略,设置多条应用控制策略,指定用户才可以访问目标业务系统应用,防止出现因为粗放控制策略带来的互联网访问风险。
对所有通过联网接入的用户IP或IP地址段开启全面安全防护策略,开启防病毒、防僵尸网络、防篡改等防护功能。
通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。
护网行动开始之前,将防火墙所有安全规则库更新到最新,能够匹配近期发生的绝大部分已知威胁,并通过SAVE引擎对未知威胁进行有效防护。
攻防演练期间,通过互联网访问的用户需要进行严格的认证策略和上网策略,对上网用户进行筛选放通合法用户阻断非法用户,同时对于非法url网站、风险应用做出有效管控。根据企业实际情况选择合适流控策略,最后对于所有员工的上网行为进行记录审计。
攻防演练期间,需要将上网行为管理设备的规则库升级到最新,避免近期出现的具备威胁的URL、应用等在访问时对内网造成危害。
2.1.3.2 DMZ区应用层安全加固
当前网络内,DMZ区部署了WEB应用防火墙对应用层威胁进行防护,保证DMZ区域内的网站系统、邮件网关、视频会议系统的安全
攻防演练期间,为了降低用从互联网出口处访问网站、邮件、视频的风险,防止攻击手通过互联网出口访问DMZ区,进行页面篡改、或通过DMZ区访问承载系统数据的服务器区进行破坏,需要设置严格的WEB应用层防护策略,保证DMZ区安全。
通过设置WEB用用防护策略,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。
2.2 第二道防线-数据中心防护技战法
总部数据中心从防御层面、检测层面、响应层面及运营层面构建纵深防御体系。在现有设备的基础上,解决通号在安全建设初期单纯满足合规性建设的安全能力,缺乏完善的主动防御技术和持续检测技术带来的风险。主要解决思路如下:
1、基于安全风险评估情况,夯实基础安全架构
通过持续性的风险评估,进行安全架构的升级改造,缩小攻击面、减少风险暴露时间。包括:安全域改造、边界加固、主机加固等内容。
2、加强持续检测和快速响应能力,进一步形成安全体系闭环
针对内网的资产、威胁及风险,进行持续性检测;基于威胁情报驱动,加强云端、边界、端点的联动,实现防御、检测、响应闭环。
3、提升企业安全可视与治理能力,让安全了然于胸
基于人工智能、大数据技术,提升全网安全风险、脆弱性的可视化能力,大幅度提升安全运维能力,以及应急响应和事件追溯能力。
2.2.1 边界防御层面
原有的边界防护已较完善,无需进行架构变动,只需要确保防御设备的策略有效性和特征库的及时更新。针对目标系统,通过在目标系统接入交换机和汇聚交换机之间透明部署一台下一代防火墙,实现目标系统的针对性防护,防止服务器群内部的横向威胁。
下一代防火墙除基本的ACL访问控制列表的方法予以隔离以外,针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。通号业务系统中存在对外的网站、业务等,因此需要对WEB应用层进行有效防护,通过下一代防火墙提供SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止Web Shell和敏感信息泄露,避免网页篡改与挂马,满足通号Web服务器深层次安全防护需求。
根据现有网络,核心交换区部署了应用性能管理系统,攻防演练期间,需要对应用性能管理系统进行实时关注,应用出现异常立即上报,并定位责任人进行处置,保证网络性能稳定,流畅运行。
核心交换机双机部署了两台防火墙,物理上旁路部署,逻辑上通过引流所有流量都经过防火墙,通过防火墙对服务器区和运维管理区提供边界访问控制能力,进行安全防护。
攻防演练期间,核心交换区防火墙进行策略调优,对访问服务器区和运维管理区的流量数据进行严格管控,对访问服务器区内目标系统请求进行管控;防止安全威胁入侵运维管理区,对整体网络的安全及运维进行破坏,获取运维权限。
攻防演练期间,在各分支机构的边界,通过对各类用户权限的区分,各分支机构的不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。
专线接入及直连接入分支通过广域网接入区的路由器-下一代防火墙-上网行为管理-核心交换机-服务器区的路径进行访问,因此通过完善下一代防火墙防护策略,达到安全加固的目的。
通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。
攻防演练前,需要对下一代防火墙的各类规则库、防护策略进行更新和调优。
2.2.2 端点防御层面
服务器主机部署终端检测响应平台EDR,EDR基于多维度的智能检测技术,通过人工智能引擎、行为引擎、云查引擎、全网信誉库对威胁进行防御。
终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中大部分攻击是通过暴力破解的弱口令攻击产生的。EDR主动检测暴力破解行为,并对发现攻击行为的IP进行封堵响应。针对Web安全攻击行为,则主动检测Web后门的文件。针对僵尸网络的攻击,则根据僵尸网络的活跃行为,快速定位僵尸网络文件,并进行一键查杀。
进行关联检测、取证、响应、溯源等防护措施,与AC产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。
2.3 第三道防线-目标系统防护技战法
本次攻防演练目标系统为资金管理系统及PLM系统,两个系统安全防护思路及策略一致,通过APDRO模型及安全策略调优达到目标系统从技术上不被攻破的目的。
2.3.1 网络层面
在网络层面为了防止来自服务器群的横向攻击,同时针对业务系统进行有针对性的防护,通过部署在目标系统边界的下一代防火墙对这些业务信息系统提供安全威胁识别及阻断攻击行为的能力。
同时通过增加一台VPN设备单独目标系统,确保对目标系统的访问达到最小权限原则。
子公司及办公楼访问目标系统,需要通过登录新建的护网专用VPN系统,再进行目标系统访问,并通过防火墙实现多重保障机制。
系统多因子认证构建
为了保证攻防演练期间管理人员接入资金管理系统的安全性,接入资金管理系统时,需要具备以下几项安全能力:一是用户身份的安全;二是接入终端的安全;三是数据传输的安全;四是权限访问安全;五是审计的安全;六是智能终端访问业务系统数据安全性。
因此需要对能够接入资金管理系统的用户进行统一管理,并且屏蔽有风险访问以及不可信用户;使用专用SSL VPN对资金管理系统进行资源;为需要接入资金管理系统的用户单独创建SSL VPN账号,并开启短信认证+硬件特征码认证+账户名密码认证,屏蔽所有不可信任用户访问,对可信用户进行强管控。
对接入的可信用户进行强管控认证仍会存在访问风险,因此需要边界安全设备进行边界安全加固。
系统服务器主机正常运行是业务系统正常工作的前提,服务器可能会面临各类型的安全威胁,因此需要建设事前、事中、事后的全覆盖防护体系:
l 事前,快速的进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;
l 事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;
l 事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系、数据泄漏问题。
同时,为了保证安全威胁能够及时被发现并处置,因此需要构建一套快速联动的处理机制:本地防护与整体网络联动、云端联动、终端联动,未知威胁预警与防护策略,实时调优策略;深度解析内网未知行为,全面安全防护;周期设备巡检,保障设备稳定健康运行;云端工单跟踪,专家复审,周期性安全汇报;通过关联全网安全日志、黑客行为建模,精准预测、定位网络中存在的高级威胁、僵尸主机,做到实时主动响应。
在业务系统交换机与汇聚交换机之间部署下一代防火墙,根据资产梳理中收集到的可信用户IP、端口号、责任人等信息,在下一代防火墙的访问控制策略中开启白名单,将可信用户名单添加到白名单中,白名单以外的任何用户访问业务系统都会被拒绝,保证了区域内的服务器、设备安全。
2.3.2 应用层面
下一代防火墙防病毒网关的模块可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;
下一代防火墙基于语义分析技术提供标准语义规范识别能力,进一步还原异变的web攻击;应用AI人工智能,基于海量web攻击特征有效识别未知的web威胁。基于AI构建业务合规基线,基于广泛的模式学习提取合规的业务操作逻辑,偏离基线行为的将会被判定为web威胁,提升web威胁识别的精准度。
下一代防火墙以人工智能SAVE引擎为WEB应用防火墙的智能检测核心,辅以云查引擎、行为分析等技术,使达到高检出率效果并有效洞悉威胁本质。威胁攻击检测、多维度处置快速响应,有效解决现有信息系统安全问题。
目前通号服务器区安全建设存在以下问题一是以边界防护为核心,缺乏以整体业务链视角的端到端的整体动态防护的思路;二以本地规则库为核心,无法动态有效检测已知威胁;三是没有智能化的大数据分析能力,无法感知未知威胁;四是全网安全设备之间的数据不能共享,做不到智能联动、协同防御。
在保留传统安全建设的能力基础上,将基于人工智能、大数据等技术,按照“业务驱动安全”的理念,采用全网安全可视、动态感知、闭环联动、软件定义安全等技术,建立涵盖数据安全、应用安全、终端安全等的“全业务链安全”。
为了保证访问资金管理系统访问关系及时预警及安全可视化,需要将访问目标系统的所有流量进行深度分析,及时发现攻击行为。
在在业务系统交换机旁路部署潜伏威胁探针,对访问资金管理系统的所有流量进行采集和初步分析,并实时同步到安全态势感知平台进行深度分析,并将分析结果通过可视化界面呈现。
2.3.3 主机层面
下一代防火墙通过服务器防护功能模块的开启,可实现对各个区域的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题;
下一代防火墙通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能WAF模块的对应策略,可帮助管理员的实现针对性的策略配置;
利用下一代防火墙入侵防御模块可实现对各类服务器操作系统漏洞(如:winserver2003、linux、unix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;
针对系统的服务器主机系统访问控制策略需要对服务器及终端进行安全加固,加固内容包括但不限于:限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令,删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户;根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;启用访问控制功能,依据安全策略控制用户对资源的访问;加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。
通过终端检测响应平台的部署,监测服务器主机之间的东西向流量,开启定时查杀和漏洞补丁、实时文件监控功能,限制服务器主机之间互访,及时进行隔离防止服务器主机实现并横向传播威胁。并且通过攻击链举证进行攻击溯源。
2.4 攻防演练-检测与响应技战法
2.4.1 预警分析
通过7*24小时在线的安全专家团队和在线安全监测与预警通报平台,即可对互联网业务进行统一监测,统一预警。云端专家7*24小时值守,一旦发现篡改、漏洞等常规安全事件,即可实时进行处置。对于webshell、后门等高阶事件,可以及时升级到技术分析组进行研判,一旦确认,将会实时转交应急响应组进行处置。
监测与相应组成员实时监控安全检测类设备安全告警日志,并根据攻击者特征分析入侵事件,记录事件信息,填写文件并按照流程上报。
若同一来源IP地址触发多条告警,若触发告警时间较短,判断可能为扫描行为,若告警事件的协议摘要中存在部分探测验证payload,则确认为漏洞扫描行为,若协议摘要中出现具有攻击性的payload,则确认为利用漏洞执行恶意代码。
若告警事件为服务认证错误,且错误次数较多,认证错误间隔较小,且IP地址为同一IP地址,则判断为暴力破解事件;若错误次数较少,但超出正常认证错误频率,则判断为攻击者手工尝试弱口令。
2.4.2 应急处置
应急处置组对真实入侵行为及时响应,并开展阻断工作,协助排查服务器上的木马程序,分析攻击者入侵途径并溯源。
安全事件的处置步骤如下:
(1)根据攻击者入侵痕迹及告警详情,判断攻击者的入侵途径。
(2)排查服务器上是否留下后门,若存在后门,在相关责任人的陪同下清理后门。
(3)分析攻击者入侵之后在服务器上的详细操作,并根据相应的安全事件应急处置措施及操作手册展开应对措施。
(4)根据排查过程中的信息进行溯源。
篇6
煤炭市场及煤炭价格是不断变化的,并且煤炭销售中涉及到的项目、金额相对巨大,人工操作难度较大。而借助于计算机网络则可以降低销售难度,扩大企业的生产经营规模,提高煤炭销售的效率,加强信息获取能力。因此将计算机网络应用于煤炭销售中是一项重大的变革。但由于网络的不稳定性及入侵性,计算机网络存在一定的安全问题,因此就需要加强计算机网络的维护与管理。
2计算机网络维护技术的应用
2.1计算机软件安装的集中化管理
计算机网络维护和管理对计算机安装软件的集中控制和管理的实际目的是为了提升计算机使用的安全性,针对煤矿业来说,在安装计算机软件的过程中需要在实际的计算机软件安装过程中必须要做到以下几点:首先就是必须要保证软件的下载链接是安全、正规的,只有这样,才能保证下载到安全可靠的软件,更方便与计算机网络维护和网络管理,其次就是计算机网络安全管理要求计算机必须要对计算机上所有的软件有检测和防病毒的功能,这样一旦发现有任何异常,计算机就无法顺利安装这些软件,一般情况下计算机的系统中都会有防火墙,但是不能忽视的是计算机仍然需要安装检测系统;最后就是计算机使用者在使用计算机的过程中必须要保证计算机不浏览危险的网站,因为恶意的网站可以篡改计算机的某些信息,使得计算机感染病毒,总之计算机使用者和设计者之间共同配合,完成计算机的网络维护工作。
2.2定期对系统进行杀毒和检测
由于煤炭销售涉及到的金额较为巨大,因此一旦用于销售的计算机出现病毒将会造成难以估计的损失,所以对煤炭销售计算机进行定期的杀毒和检测是非常重要的。一旦网络黑客或病毒攻击计算机时,其就会在网络介质上留有一个备份,只要有其他使用者对这些病毒数据进行共享,这些病毒就会进行二次入侵,同时他们会经由这种途径入侵其他的计算机,最终造成网络大规模的泵贵。所以定期对系统进行杀毒与检测是十分重要的。由于病毒传播的自我复制性、超强破坏性,因此,查杀单个病毒不具有任何效果,只有查杀整个网络系统才能阻止病毒传播。除此之外,为了提高计算机网络系统抵御病毒的能力,还应该定期更新病毒库。要注意的是,即使已经清除了一台计算机系统的病毒,但一旦该计算机接入网络,病毒就可能二次入侵该计算机。所以,我们要及时查杀检测计算机的病毒,确保计算机可以安全的使用网络。除上述之外,如果计算机中存储了重要的数据,例如煤炭销售的关键数据,则可以利用先进的信息加密技术对这些关键数据进行加密,提高数据存储的安全性。
2.3设置权限及口令
在用于煤炭销售的计算机中一定要设置好权限及口令。因为权限和口令的设置实际上就是计算机的使用密码,它不仅可以保护计算机使用者的信息安全,而且还可以提升计算机的安全性,提升计算机网络维护的效率。设置计算机网络口令和权限可以确保计算机的信息不被其他人肆意窥探,而且也能保证计算机的入网信息安全可靠。同时为了确保用于煤炭销售的计算机的长期可靠性,要求计算机使用者必须要定期对计算机的口令和权限进行更改,因为目前科学技术的发达已经使得计算机密码和口令破解成为一种普遍的社会现象,因此使用者为了确保计算机的网络安全必须要定期对计算机的口令进行更改。
3计算机网络管理技术的应用
3.1计算机网络故障管理
计算机属于大规模的集成电路,对于有的时候发生的故障靠硬件维修手段可能会检查不出来,所以要加强计算机的故障检测程序。入侵检测技术是指对计算机系统中出现的异常情况或者没有经过授权的现象可以及时发现并且报告的安全防护系统,对于计算机的防护作用是主动实施的,并且对于内部攻击、外部攻击以及人为误操作等都可以起到防护的作用,将即将要受到的入侵危害技术拦截,使计算机系统免受入侵。同时也可以利用程序测试法来检测计算机的故障,可以对计算机的操作进行有效的管理和控制,是一种专用诊断程序,辅助硬件维修可以达到很好的故障检测效果。
3.2针对网络配置的管理结合配置管理流程
在管理用于煤炭销售的计算机网络时,首先是对煤炭销售网络配置进行管理。怎样设定网络,设定的具体内容有哪些,总共设定多少级别等等这些问题都是网络配置的主要内容,需要经过认真的研究和讨论之后才能统一设定的。上述提到的设定内容通常是保存在路由器中的,因此要提前设置路由器。这在之中我们要关注的是,在对路由器进行设置的时候,要注重对应地址数据的保存,从而为后续的网络配置提供数据依据。网络配置管理的功能非常多,举例来说,其可以进行软件安装、配置信息存储等。所以依照对应的配置管理流程进行操作,在做好原先配置信息的基础上,重新制定其他的配置方案,并对其进行运行检测。
3.3计算机网络安全管理
网络安全管理是煤炭销售过程中对计算机管理的一个重要内容,实际意义上的网络安全管理包含的内容非常广泛,从实际的可操作意义上来说网络安全管理的具体表现有:计算机网络风险评估系统和评估方法的实施,这一工作的开展主要是依靠实际的计算机软件实现的,因为人为地对计算机开展安全监测几乎是不可能的,这就要求计算机使用者在安装计算机安全软件的时候,必须要对计算机的安全性能有足够的了解,安装标准的合格软件,另外就是计算机系统化的管理方法,这里的系统管理主要是指计算机软件管理必须要系统化,因为在计算机的使用过程中安装的软件个数并不在少数,因此有必要对计算机开展软件的系统化管理,这样做的好处就是可以增加软件管理效率,进而提升计算机的网络安全管理效率。
4计算机网络维护与管理中具体应用技术
4.1防火墙技术
防火墙技术是计算机系统防御的第一道防线,可以将计算机被保护的内部网络隔离,同时又能够进行访问控制以及授权、安全审计等功能。防火墙同时具备限制、隔离和分析的作用,可以使内部网络的安全得到保证。但是防火墙却很难防范病毒以及网络内部的攻击。防火墙是计算机系统的必要防护屏障,可以使计算机网络的安全得到保证,对计算机的访问和数据同时也具备审查和监控的作用。
4.2访问控制技术
通过设置计算机的使用权限与访问权限,可以防止非本机使用人员或入侵黑客将病毒等妨碍计算机网络运行的因素带入到计算机当中。通过计算机访问权限的设置,计算机终端的操作人员和对应网络管理人员就可以结合本机网络使用的权限进行相关的操作了。除此之外,在设置计算机使用权限的时候要进行合理设置,考虑到其安全系数,权限口令也要定期或不定期的进行修改。
4.3漏洞检测技术
漏洞检测技术可以检测到计算机的漏洞和弱点,根据其对系统的攻击来发现和判断计算机存在的安全隐患,同时还可以检查IP端口,记录和分析计算机对其的响应。
5结束语
本文主要分析了在煤炭销售行业,计算机网络维护与管理的方法与技术,以供参考参考文献
[1]赵文胜.论信息安全的刑法保障[D].武汉大学,2014.
[2]丁丽.电子政务信息安全保密管理研究[D].山东师范大学,2014.
篇7
1开展通信网络安全维护工作的实践意义
随着计算机网络技术形态的深入发展,当代国人群体基本日常化通信目标的实现,日渐呈现出与计算机网络技术形态之间的密不可分关系,有鉴于此,实现通信网路安全技术维护的实践目标,事实上也就要切实实现开放网络的安全建设与维护作业目标。在现有的技术形态发展阶段条件下,通信网络安全的内涵硬当包含两个方面的内容。第一,技术控制实施路径的安全。第二,处于互联网信息传输媒介背景之下的信息资源的安全。国际信息技术研究实务领域通常将信息资源的安全状态,系统化地描述为可用性、完整性、可靠性以及保密性等属性化描述特征。并切实通过授权控制、访问控制、身份认证以及不可否认性等技术路径实现对信息资源安全性状态的有效控制。通信网络技术形态的良好稳定发展,极其深刻地改善了当代国人的信息沟通行为实现模式,凭借行之有效的信息承载功能,通信网络的信息化演化极其深刻地影响了现代国人的社会生活实践环境。缘于现代国人的生产经营活动与通信网路稳定运行状态之间的密切联系,使得充分维护网络安全对有效保障国民生产生活实践过程中的经济收益具备着极其深刻的实践意义。
2我国通信网络安全维护技术实务过程中的现存问题
近年来。随着计算机科学技术以及现代互联网信息传输技术的普及应用,现代通信网络技术形态在国民群体中的应用日渐广泛,与之相伴随的是接连涌现且形态各异的通信网络安全事件,这些安全事件的不断出现,给我国公民日常化生产生活实践过程中的通信目标的实现,以及经济社会综合效益的创造造成了较为严重的不利影响,接下来,依照相关领域技术工作人员的实践经验,将我国通信网路安全维护技术实务过程中的现存问题简要地列示如下。
2.1移动电话领域技术代码的恶意传播
截止到目前的发展阶段,移动通信技术形态已经实现了极其深刻的智能化发展目标,智能手机在我国当代国民群体中的普及应用,一方面极大地方便了我国当代国民全体在日常常化生产生活实践过程中的通信需求,另一方面却也缘于技术代码在后台区位的恶意传播而给国人的信息安全造成了较为严重的威胁。
2.2缘于通信领域相关业务在开展过程中出现的漏洞
网络技术形态的IP化发展、Wap技术形态的应用化转型、以及现代通信设备的IT化变革使得现有的通信网络系统逐步呈现出更加充分的开放性特征,这种开放性技术特征,也为黑客利用通信业务形态发展过程中的技术漏洞,创造了充分的实现空间,而在信息资源价值水平日渐提升的社会背景之下,缘于对经济利益的追逐,黑客群体针对通信信息技术漏洞而展开的攻击行为将会呈现出逐步增加的发展趋势。
2.3缘于技术形态的开放性而引致的安全威胁
三网融合、物联网、以及云计算等技术形态以及发展趋势的出现,使得现代网络技术形态获得了日渐深刻的开放性特征,而移动信息通信发送与接收终端设备的多样化发展,以及技术形态的不断演化变革也给安全威胁、以及安全攻击事件的出现创造了充分的实践可能,这些发展趋势给现代通信技术系统的可靠戏码带来了极其严重的威胁,值得相关领域的技术人员密切关注。
3通信网络的安全维护技术目标的实现路径
3.1建构防火墙信息安全防御技术
防火墙技术结构的基本设计与建构理念,就是要切实防止通信网络在运行实务过程中的信息泄露,防火墙技术,可以通过既定化的网络信息安全实现策略,对网络信息技术媒介之下的所有信息资源对象的访问请求进行强制性的权限审核控制,通过及时捕捉以及规避处于非合理技术状态之下的信息资源对象的访问请求,进而实现对网络通信安全的建设目标。防火墙技术形态,能够切实对网络技术媒介中实时传输的数据包开展动态化的安全性能检查,并且能够对实际运行中的通信网络技术系统实施运行状态全程动态监测,切实保障通信网络技术系统在运行实务过程中的安全稳定状态。
3.2建构系统化的通信网络的身份认证技术
所谓通信网络的身份认证技术,就是对网路技术形态的操作者,以及信息资源访问指令的发出者展开必要的身份信息确认和对照行为,并通过形态各异的网络身份认证实务技术而切实实现。运用通信网络的身份认证技术,可以切实保障通信网络的使用客户的自身信息稳定保持完整性、机密性、可控性,以及不可否认性。
3.3建构通信网络的不法入侵行为检测技术
防火墙技术形态可以切实防止外来性因素对通信网络内部的干扰以及影响行为,却无法实现对通信网络技术系统内部存在的技术性干扰因素,以及入侵因素的有效感知以及监测,而不法入侵行为检测技术的建设,就可以对这一通信网络技术体系中现存的漏洞实现充分的弥补,通过这一技术与防火墙技术在实际运用过程中的通力配合,将能够切实促进对通信网络中的外来性入侵因素的有效规避,进而切实保障通信网络技术系统的安全性。
3.4建构针对通信网络的加密技术
利用对通信网络加密技术的有效建立。可以切实防止私有的、或者是公用形态的信息资源的传输实务过程遭遇拦截或者是窃取行为,这一技术形态的建制以及运用,是切实实现通信网络形态安全建设目标的重要路径,通过建构有效针对通信网络的加密技术,可以针对实际传输的数据信息实施封装以及加密操作,从而切实保障数据信息对象在传输过程中的完整性以及保密性。
4结论
针对通信网络安全维护方法问题,本文选取三个基本论述角度展开了简要的阐释。文中涉及了角度技术细节以及对我国现代通信网络技术领域发展现状的分析,预期为相关领域的研究人员提供借鉴意义。
作者:王鹏 赵亚博 单位:第二炮兵工程大学
参考文献
篇8
随着信息化时代的来临和科技的高速发展,计算机网络的用户量在不断地上升,人们的工作和生活已经越来越离不开计算机网络,计算机网络的确给人们带来了巨大的方便和利益,然而,随着计算机网络的发展,用户人数越来越多,用户的一些个人信息和隐私、以及公司内部重要资料数据甚至国家政府的机密等信息也就在计算机网络上公开了,计算机网络具有很强的开放性和互联性,这些信息对于一些电脑黑客和不法分子来说,获取简直轻而易举,信息若被他们获取,将会带来严重的后果;再者,计算机病毒在互联网上的传播速度将会越来越快,危害性也越来越大,病毒的传播与蔓延,将会带来更大的问题,严重者甚至影响国家安全。因此,必须要特别重视而且要全面做好计算机网络的安全防护与发展趋势安全分析。
一、威胁计算机网络安全的因素
(一)存在一定的无意的人为因素
人为的因素主要是部分的电脑操作者操作不当,比如说没有进行正常的安全配置,威胁操作系统,没有较强的计算机安全防护意识,很多时候将自己的个人信息随意发送,这有很大可能将威胁到计算机网络安全。
(二)操作系统存在一定的不安全性
每个操作系统都存在一定的不安全性,操作系统支持数据的交换与连接,这对网络安全来说是一个漏洞;操作系统还可以创建进程,然而这些进程软件就是系统进程,黑客不法分子经常就利用这些进程软件窃取信息;再者,操作系统还支持在互联网中传送文件,文件传输过程中很有可能附带一些可执行文件,是人为编写的,一旦出现漏洞被不法分子利用,会对计算机网络系统带来很大的破坏。
(三)计算机病毒的威胁和恶意程序的破坏
由于计算机网络的互联性与广泛性,计算机病毒的传播速度和威胁力越来越大,病毒其实是一些破坏计算机数据或功能、阻碍计算机正常运行的,而且还可以自我复制的一段计算机指令或代码,而且病毒还有持续时间特别长、危害性特别大、传染性特别高的特点,病毒的传播途经也特别广,一些光盘和移动硬盘以及其他的硬件设施都是病毒传播的途径,一些恶意的程序如木马程序就是利用一些程序漏洞窃取信息的恶意程序,具有一定的自发性和隐蔽性。
(四)计算机网络安全技术人员和用户安全意识不强,技术人员能力有限
很多用户缺乏个人信息的安全保护意识,对于重要的信息实行共享、随意转借;技术人员水平有限,不能够建立一个很好的安全机制、提出安全策略。
(五)黑客的恶意攻击
黑客对计算机网络安全带来巨大的威胁,他们通常能够利用一些软件来进行网络上的攻击,他们经常窃取和篡改计算机中重要的系统数据和资源,还能自己编制病毒破坏计算机系统,对计算机的安全防护带来巨大的影响和威胁。
二、计算机网络安全防护的主要对策
(一)要健全计算机网络安全管理的防护机制
建立健全计算机网络安全防护机制,是规范计算机用户和管理员行为的保障,建立健全网络安全管理机制,有利于提高用户和计算机系统管理员的职业水准和专业素质,有利于使计算机操作人员形成良好的习惯,促使他们及时的对数据资料进行备份,促进计算机网络安全防护的工作能够顺利开展。
(二)要重视加强防火墙技术
采用防火墙技术是一种有效地手段,防火墙是一种网络的屏障[1],因为黑客要想窃取重要的机密与信息必须进入计算机内网,而要想访问内网就必须通过连接外网来实现,采用防火墙技术可以有效地防止这一现象发生,而且比较经济。一般把防火墙安装在内部网络的出口,这是一个最佳的位置,可以实现内网与外网之间的访问控制,防火墙具有网址转换功能,可以使外网连接都要经过保护层,可以对外网的状态和活动进行监听,对一些非法入侵的活动进行及时的控制和分析。而且可以通过防火墙保护层的只有被授权的活动,可以起到很大的作用,促使内网重要信息机密免受入侵。
(三)重视加强数据加密技术
数据加密技术简单来说就是通过使用一些密码或代码将一些重要的信息或数据从可以理解明白的明文方式变成一种错乱的不能理解明白的密文方式,在存储体内或传送过程中对信息进行保护,防止以明文方式丢取信息,确保信息安全。数据的加密技术包括数据传送、数据存储、密钥和数据的完整性四项[2],各个部分都能对数据信息进行全方位的安全性保护,有转换加密、增加密码、身份验证审核、加密密钥、端加密、还有口令、身份、密钥的鉴别,包括最后的自动解密。密钥在各个环节的管理的好坏常常决定数据资料的保密安全。
(四)重视加强数据的备份工作
及时对一些重要的数据资料进行备份工作,通过存储技术将计算机中的重要的需要被保护的数据用其他的存储设施,如移动硬盘或者光盘进行转存,以防系统崩溃时数据被破坏或者丢失,即使数据被破坏或丢失后,也可以依靠备份来进行数据的恢复,只是在备份时,不要将源数据和备份数据放在一个服务器之中,另找一个安全的地方进行存放。要切实建立健全数据备份与恢复机制。
(五)进行相关政策法规的保障,同时提高计算机操作人员与管理人员的专业能力与素养,提高安全防护意识
颁布相关的法律法规保障网络安全,加强管理,同时重视计算机网络的安全意识教育,再者要提高技术人员的专业能力与素养,对于一些基本的网络安全防护措施要很熟悉而且要做到位,及时的对新的技术人员进行培训与辅导,加强安全防护管理的意识,不断提高自身的专业技能与专业素养。
三、计算机网络安全防护的发展
对于计算机网络安全防护的发展,我们需要更加的完善网络安全防护措施,在不断进行完善更新的基础上采用更为先进和主动的防护措施,化被动为主动,我们可以采用“云安全”技术,云安全这项新的技术可以大范围的对网络中的异常的软件行为进行检测,获取关于病毒、木马等恶意程序的最新消息,并通过服务端进行自动的处理分析,然后给每一位客户发送解决方案。从而整个计算机互联网络就像是一个巨大的杀毒软件[3]。采用“云安全”等新技术会让计算机网络安全防护变得更有力。
四、小结
计算机互联网络是一个庞大而又复杂的信息网络,在这个信息网络之中,做好必要的安全防护措施是很重要的,计算机网络涉及的领域相当的广泛,如果不进行计算机网络的安全防护,那么一旦在计算机网络中一个领域中出现安全问题,那么其他的领域也会受到连锁的影响,这样会导致全社会各个领域的工作受到严重阻碍,甚至瘫痪,造成巨大的经济损失和人员的恐慌,有时甚至会影响到军事领域,威胁到国家的安全。因此全面认识到计算机网络中的不安全因素,及时提出实施安全防护措施,及时的让新技术加盟,我们才能够更好地确保计算机网络的安全,促进人们正常的学习、工作、生活,促进经济平稳迅速发展,确保国家安全。
参考文献:
篇9
1 目前我国局域网安全现状
根据CNERT最新的的互联网网络安全态势综述中指出,近年来涉及重要行业和政府部门的高危漏洞事件持续增多,事业单位做为政府创办的服务机构,重要信息系统的网络系统上承载了大量有价值的数据信息,广泛被漏洞挖掘者关注。2015年,CNCERT通报了涉及政府机构和重要信息系统部门的事件型漏洞近 2.4万起,约是2014年的2.6倍,信息安全形势如此严峻,但目前还有部分政府、企事业单位对内部局域网安全管理的重要性认识不够,单位局域网的信息安全还是存在较大的安全隐患。
2 事业单位局域网信息安全工作存在的问题分析
2.1 欺骗性软件导致数据安全性能降低
互联网上广泛存在欺骗性的软件,会导致局域网信息数据的安全性能降低,从而影响了相关工作的开展。出现此种现象的主要原因是由于在事业单位局域网中,基本上都实现了资源共享,使得相关的资源数据存在一定的开放性,容易出现数据泄露、篡改、删除等现象,导致数据的安全性能降低。例如:在网络上经常出现一些网络钓鱼攻击等,相应的钓鱼工具主要是发送一些带有知名信息的垃圾邮件,诱导收件人给出一些敏感性信息,使得用户上当受骗,从而造成一定的经济损失。另外,由于用户在对数据管理过程中,相应的安全意识和知识较为欠缺,导致用户经常出现一些数据信息丢失,严重影响了相关工作的开展。
2.2 数据信息安全意识薄弱
事业单位工作人员缺少足够的信息安全意识,或是不遵守移动硬盘、U盘等外设的使用管理规范,贪图使用便利而违反信息安全规章,或是随意将未授权的计算机接入信息内外网和内部人员内外网混用,很容易导致局域网病毒传播甚至内网机密信息的泄漏。
2.3 IP地址冲突
在事业单位局域网中,常出现IP地址重复的现象,导致一些计算机不能顺利登录互联网。如果单位规模较大,冲突的IP地址就越难以查找;此种现象为病毒的传播扩散创造了机会,使得局域网内部的计算机被感染,从而降低了事业单位数据的安全性,出现数据丢失的局面。
3 事业单位局域网络的信息安全与病毒防护方法
3.1 加强对事业单位人员信息安全培训
应积极做好局域网安全维护工作,制定信息管理相关工作制度,分别针对网络管理人员及全体工作人员开展不同类型的讲座和培训,提高全体人员信息安全意识,各个部门以及工作人员之间相互配合,才能保证数据信息的安全。信息安全管理主要包括了管理、技术、应用三个方面,根据实际情况制定合理的网络安全策略和相关措施的同时要加强对网络管理人员的培训,创新网络管理方式,使网络管理人员明确工作重点,提高运维效率;对全体工作员开展网信息安全讲座,树立工作人员的法律观念,增强信息安全知识,才能保证相关工作开展。
3.2 通过桌面管理对系统用户进入局域网进行控制
在事业单位网络维护过程中,通过实现桌面终端的标准化管理,积极的对入网进行控制,解决桌面安全管理问题,提高信息运维效率,规范员工操作行为。在实际的管理过程中,事业单位可以通过对用户入网进行限制,设置相应的目录文件以及相关的资源等。同时,还要使用登录密码,保证用户在对相关文件进行使用的过程中只有通过密码口令才能实现对其的访问。另外,还要设置相应的口令控制器,能够有效防止密码被修改,对相应的登录时间、非法访问进行检测,从而能够提高数据的安全性,避免数据丢失、泄露现象的出现。
3.3 加强防火墙配置
防火墙的作用是允许或是限制传输的数据通过,能够自主选择进入的数据,一定程度上保证了数据信息的安全。通常来说,常用的防火墙技术主要包括了:数据包处理技术、IP/URL过滤技术、TCP/IP协议处理等能够对一些不合理的信息进行拦截,保护脆弱的服务,控制对系统的访问,记录和统计网络利用数据以及非法使用数据情况从而保证数据信息的安全稳定。
3.4 加强局域网IP地址管理及网段划分
首先做好IP地址方案的设计规划,制定IP地址管理策略,合理分配IP地址,并根据业务需要划分子网或是设置VLAN,制定颁布相关的局域网IP地址管理办法,对IP地址的申请、使用、备案、禁用、回收进行严格管理,有效的局域网IP地址管理是局域网的安全和稳定的基础。网络分段是一种控制网络广播风暴的基本手段,也是一项保证网络安全的重要措施。将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
3.5 安装杀毒软件
可在局域网中架设防病毒服务器,安装络版的杀毒软件,将其和终端进行连接,然后在局域网内所有的电脑上安装该杀毒软件的客户端,就能够实现对局域网内所有的计算机的安全运行进行检测和统一监控,对没有安装杀毒软件的计算机进行警告,采用强制的手段安装升级杀毒软件,从而提高数据信息的安全性。例如:瑞星杀毒软件网络版采用“分布处理、集中控制”技术,以系统中心、服务器、客户端、控制台为核心结构,成功地实现了远程自动安装、远程集中控管、远程病毒报警、远程卸载、远程配置、智能升级、全网查杀、日志管理、病毒溯源等功能。另外,有条件的单位在实施网络规划时就将业务专网与行政专网进行彻底物理隔离,从而保证数据信息的安全。
4 总结
综上所述,事业单位局域网络的信息安全与病毒防护方式的研究具重要意义,随着网络技术的发展,事业单位信息安全管理首先从改变员工思维与安全意识着手,增强员工知识与技能,从实际出发,找出问题所在,制定有针对性的措施,从管理、技术、应用三个方面应用安全策略,才能保证事业单位局域网的安全运行,保证了良好的工作质量,避免因数据信息泄露造成难以弥补的损失和不可挽救的社会影响。
篇10
制定有效的网络安全策略和方案是网络信息安全的首要目标,而制定一个有效的安全策略的前提是要做出正确的网络安全性评估,正确的安全性评估结果可以让管理者掌握现有的安全状况和安全策略中存在的漏洞,为提高网络安全整体水平提供重要依据。
一、影响网络安全的因素
1.物理环境
通信线路、物理设备、机房是否安全是影响网络安全的一个重要因素。物理环境的安全性主要体现在通信线路是否可靠、软硬件设备是否安全、设备是否有备份,防灾害的能力、防干扰的能力以及设备的运行环境,是否有不间断电源保障等等。
2.操作系统
网络中所使用的操作系统是否安全对网络安全也具有很重要的影响。主要表现在三方面,一是操作系统本身的设计是否存在缺陷。二是对操作系统的配置是否安全。三是操作系统的抗病毒能力。
3.网络
网络方面的安全性毋庸置疑是非常重要的影响因素,主要包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。
4.应用软件和数据
所采用的应用软件和数据是否安全同样影响着网络安全,如即时通讯、电子邮件系统、Web服务等。
5.管理制度
安全的网络系统,必须还要有安全的管理。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,良好的安全管理可以在很大程度上降低其它方面的安全漏洞。
二、模糊综合评判
网络安全的评价具有很高的复杂性、不确定性,是一个模糊的概念,而且涉及到很多指标,不能只从某一个因素的情况去评价网络安全,因而,使用模糊数学的综合评判方法是适合的,它可以对受多个因素影响的事物做出全面评价。
在模糊综合评价中模糊综合决策模型由U、R、V三要素组成,其步骤分4步:
1确定因素集U={u1,u2,u3,……,un},代表n种因素(或指标)。
2确定V={v1,v2,v3,……,vm},代表m种评判.。
3建立单因素评价矩阵R
4 综合评判,对于权重A=(a1,a2,a3,……,an),取max-min合成运算,即用模型M(∨,∧)计算,可得综合评判。
在这里我们取U={u1,u2,u3, u4, u5},其中
u1=物理环境的安全性;u2=操作系统的安全性;u3=网络的安全性;u4=应用的安全性;u5=管理的安全性;
取V={v1,v2,v3, v4,v5},其中
v1=“非常好”;v2=“好”;v3=“一般”;v4=“差”;v5=“非常差”;
由于各种指标(因素)所处的地位不同,作用也不同,当然权重也不同,因而评判也不同。人们对m种评判并不是绝对的否定或肯定,因此综合评判应该是V上的一个模糊子集,其中bj(j=1,2,……,m)反映了第j种评判vj在综合评判中所占的地位,而综合评判依赖于各个因素的权重,它应该是U上的模糊子集A=(a1,a2,a3,……,an),且,其中ai表示第i种因素的权重,一但给定权重A,相应地可得到一个综合评价。
首先,为了得到权重A,我们选取了60人对各个指标的重要程度进行投票,统计结果如表 1 所示:表
根据公式:(其中wj为第j种评价的权值,nij是第i种指标的第j种评价的投票数)可得:
其次,我们选取10名评判员对我们的网络安全进行了评判,评判结果如表2所示:
表 2 网络安全评判结果统计
依此表,可以得到隶属度矩阵,即得模糊矩阵R:
根据可得
即
因为
归一化后可得
由最大隶属度法可得出结论:本网络安全综合评判结果为“非常好”。
结束语:模糊综合评判决策是对受多种因素影响的事物做出全面的评价的一种十分有效的多因素决策方法,又被称为模糊综合决策或模糊多元决策。而网络安全评价就是一个受多因素影响的复杂的模糊概念,所以非常适合于用模糊数学的方法来进行综合评价。本文使用模糊数学的方法建立了网络安全的评价模型,并给出了进行综合评价的方法,事实证明跟实际情况比较吻合,所以方法是可行的。
参考文献:
[1] 赵伟艇。网络信息系统安全评价体系研究。微计算机信息,2007 年第23 卷第6-3 期。
[2] 刘洋。 模糊综合评判在网络安全评价中的应用。 四川兵工学报,2009 年8 月,第8期。
[3] 徐燕, 钟德明。基于模糊评价方法的网络安全评价研究。测控技术,2009年第28卷第2期。
篇11
随着信息军事时代的来临,“网络中心战”、“网络中心行动”成为当前军事领域战争行动的基本方式。军队计算机网络是实施网络中心战、网络中心行动的关键基础设施,是敌重点攻击的对象,其安全防护情况直接关系其效能作用的发挥,关系到战争的胜负,因此必须认真研究分析其安全形势,剖析存在问题,采取有力措施,提高安全防护能力。
1军队计算机网络安全形势分析
1.1形势的严峻性
信息军事时代,信息安全成为军队安全的重中之重。军队计算机网络是承载信息的重要平台,围绕网络展开的信息窃密与反窃密斗争正愈演愈烈。一些国家和地区利用网络大肆窃取我军秘密信息,并综合盗用黑客、木马、病毒攻击及窃取等多种信息作战手段对我网络进行破坏,严重威胁着国家和军队安全。
1.2威胁的多元性
军队计算机网络虽然在物理上与其他网络隔离,但是由于系统建设规模大、涉及领域广、组织结构复杂、缺乏严密的法规标准,使得军队计算机网络安全防护异常困难,从某种意义上讲,计算机网络上任何一个环节和关节点的被突破,都可能使全网和全系统瘫痪,后果不堪设想。
1.3事件的突发性
计算机网络安全威胁往往具有潜伏性和不可预测性,对被攻击方而言安全事件呈现出极强的突发性,被攻击方往往会丧失宝贵的防御时间,为信息安全事件处置带来极大的挑战,计算机网络安全威胁中的很多事件还没有被察觉,就已经造成不可预料的损失。目前,计算机芯片、骨干路由器和微机主板等核心技术多数仍由国外进口,一旦敌对势力在特定的时间激活恶意程序,就可以在我们毫无察觉的情况下瞬间发起攻击,造成整个系统的瘫痪。
1.4处置的艰巨性
信息化条件下,信息争夺空间巨大、流动性强,领域不断拓展,安全隐患不断增多。而当前部队部分人员信息安全观念淡薄;安全防护技术手段落后,针对性应急处置手段缺乏;法规制度不完备,组织安全防护力度差,对部分安全事件防护处置策略缺少相应的规范和力量。军事网络失泄密一旦发生,将导致整个网络震荡,失密影响范围广泛,泄密后果十分严重。
2军队计算络安全存在的主要问题
计算机网络安全保密工作十分重要,目前,我军计算机网络安全方面还存在以下问题:
2.1网络安全防护意识比较淡薄
目前,部队计算机网络建设普遍受到高度重视,但是有些单位仅仅看到网络建设带来的显著效益和便利,而对计算机网络系统安全防护建设同步规划、同步建设的认识较为短浅。从计算机网络安全防护系统建设投入看,国外计算机网络安全防护投入占整体投入的10-20%,我国仅占到2-5%,不足国外的四分之一,军队在此方面的投入也明显不足。同时,受长期和平环境影响,“有密难保、无密可保”的思想意识普遍存在,对网络安全问题关注不够,思想意识比较淡薄,影响到计算机网络整体安全防护建设的发展。
2.2网络安全防护建设相对滞后
我军围绕作战应用需求,重点加强了光纤传输链路建设,网络基础已经比较配套,但安全防护建设却明显滞后。部分单位未对网络进行防火墙、保密机配套建设;相当数量的终端没有安装防病毒系统;入侵检测没有完全发挥起作用;安防系统系统建设各自为战,无法形成整体安全防护体系等,这些都制约了计算机网络安全防护整体水平的发展。。
2.3网络安全防护标准尚未健全
当前,我军陆续颁布了一系列与网络信息安全相关的法律法规,但在安全保密等级划分、网络安全体系规范、网络安全策略制定、网络防护手段使用规范等方面仍存在不足。例如,对军队网络安全体系建设标准中部分设备、系统未进行明确;安全防护等级虽已明确,但配套手段还没有统一进行明确,无法达到最佳防护。同时,制度标准的落实情况也令人堪忧,有令不行、有禁不止的现象随处可见,这些都对军用计算机网络系统带来了巨大的安全隐患。
2.4网络核心技术受制于人
虽然近年来我国的信息技术得以飞速发展,但仍没有摆脱技术落后的局面,特别是计算机芯片、操作系统、路由协调等核心技术仍然没有摆脱国外的束缚。目前,我军大多数信息网络采用的都是微软的windows系列操作系统和TCP/IP、IPX/SPX等网络协议,这些系统的共同特点是在设计之初主要考虑了易用性而忽视了系统安全性,使军事信息网络自身从建设之初就存在安全隐患。
3加强军队计算机网络安全防护的对策措施
计算机网络应用与安全防护问题相生相伴,是“矛”和“盾”的关系,信息安全问题将长期存在,不可能彻底避免和消除。为此,必须着眼防患于未然,积极建设计算机网络安全防护体系,有效提升网络安全防护能力,确保“非法用户进不来,秘密信息取不走,网络平台摧不垮”。
3.1强化人员安全防护意识
强化军队人员的信息安全意识,一是通过大众传播媒介,增强信息安全意识,普及信息安全知识,依托信息服务网站开设信息网络安全知识普及专栏,提高安全防护能力,增强部队官兵信息安全防范意识。二是积极组织各种专题讨论和培训班,培养信息安全人才,使部队有计算机网络安全防护方面的“明白人”。三是要积极开展安全策略研究,明确安全责任,增强人员的责任心,全面提高部队信息安全防护能力。
3.2建立健全安全管理机制
针对我军军事信息网络安全防护现状,制定和完善军队计算机网络建设、管理与安全防护机制,确立网络安全防护工作科学、合理的运行机制。一是配套法规标准。建立健全制度规定,明确各级责任、措施、手段;制定标准规范,明确建设技术体制;规划安全策略,明确设备系统防护标准,以完善网络安全法律体系,使信息安全管理走上法制化轨道,确保信息网络安全有法可依、有章可循。二是建立协调机制。信息安全防护工作涉及多个业务职能部门,加强部门之间的相互协调、相互补充、统一规划、统一管理,提升整体防护能力。三是组建安全队伍。建立计算机网络安全防护中心,明确安全防护机制,建立安全防护组织领导管理机构,明确领导及工作人员,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏网络信息安全的事件进行调查和处理,确保网络信息的安全。
3.3构建安全技术防护体系
重点加强四个体系建设:一是安全监察体系。建立健全网络安全监察机制;配套建设计算机网络入侵检测、流量分析、行为审计等系统,增强安全事件的融合分析能力;配备安全管理系统,实现对全网安全策略的统一管理和控制;加强安全服务保障体系建设,提供病毒库升级、补丁分发、安全预警等安全服务,通过各系统的综合应用,提高网络的综合安全分析能力。二是终端防护体系。建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设;强化系统访问控制,设定用户访问权限,防止非法用户侵入或合法用户不慎操作所造成的破坏;加强实体鉴别,保证用户在获取信息过程中不受干扰、不被假冒,确保用户终端实体的可信;加强身份认证,为设备、用户、应用等颁发数字证书,并提供数字签名、身份验证、访问控制等服务,防止非授权接入和访问;加强终端保护,进行终端操作系统的安全加固,防止非法登录网络,保证终端资源的可控;提供病毒防护功能,适时查杀病毒、检查漏洞;提供主机入侵检测功能,防止对终端的攻击行为,从而全面建立终端防护体系,为终端用户构造一个安全环境。三是安全评估体系。按照军队有关防护标准,综合运用漏洞扫描、取证分析、渗透测试、入侵检测等系统和手段对网络进行扫描分析,客观分析网络与信息系统所面临的威胁及其存在的脆弱性,对安全事件可能造成的危害程度进行科学的定性定量分析,并提出有针对性的防护对策和整改措施,全面防范、化解和减少信息安全风险。四是应急响应体系。加强信息安全应急支援队伍建设,明确应急响应处置方法及原则;充分考虑抗毁性与灾难恢复,制定和完善应急处置预案根据安全级别的要求来制定响应策略;建立容灾备份设施系统,规范备份制度与流程,对域名系统、网管系统、邮件系统及重要业务系统等重要信息、数据适时进行备份,确保系统崩溃以后能够在最短时间内快速恢复运行,提高信息网络的安全性和抗毁性。
3.4发展自主信息安全产业
自主信息产业或信息产品国产化能够为信息安全提供更高保证。要加强计算机网络安全保密设备和系统的“军产化”,“独立化”建设。为此,应抓好以下几个方面的工作:一是组织核心技术攻关,如研发自主操作系统、密码专用芯片和安全处理器等,狠抓技术及系统的综合集成,以确保军用计算机信息系统安全。二是加强关键技术研究,如密码技术、鉴别技术、病毒防御技术、入侵检测技术等,有效提高军用计算机网络的安全防护能力。三是寻求监测评估手段,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等,构建具有我军特色、行之有效的计算机网络安全保密平台,实现网络及终端的可信、可管、可控,摆脱网络安全受制于人的被动局面。
军队计算机网络安全防护涉及要素众多,是一个系统的整体的过程。在进行防护时,要充分认清计算机网络安全面临的严峻形势,认真查找存在的问题,系统整体的采取有针对性的防范措施,从而提高网络安全防护能力。
参考文献:
[1]曹旭.计算机网络安全策略探讨[J].计算机安全,2011(21).
[2]刘萍.计算机网络安全及防范技术探讨[J].科技信息,2010(15).
篇12
一、转变应用思维,提升网络安全防护策略的意识
当前计算机网络的应用领域是非常宽泛的,使用的人群也非常的多,在使用用户不断增加的情况下,用户群体的网络安全意识也层次不齐,有些人缺乏必要的网络安全技能和网络安全防范意识,有的掌握了很高超的网络使用技术,掌握了黑客和病毒技术,他们一部分人就会巧用这些技术破坏网络,造成网络威胁。计算机网络分层纵深安全防护是一项技术、安全、管理并重的工作,但是在操作的过程中往往只关注技术的使用是否到位,而忽略使用中的安全和管理工作。在使用群体中,一定要技术到位、安全意识到位和管理意识到位,只有这样才能发挥计算机网络层次防护体系的建设和作用的发挥。计算机网络在各领域中的广泛使用,涉及到教育、医疗、金融、物流、文化、军事、农业等,要实现网络安全就必须提升计算机网络安全的防范措施和预警机制,在这样的环境下,才能提升计算机网络分层次纵深安全防护策略体系的作用,确保网络安全。
二、匹配硬件设施,提高安全设施的配备配置
确保计算机网络信息的安全,除了掌握必要的安全防范措施之外,还需要借助一定的硬件设置。在构建计算机网络安全防范体系实际工作中,很多的计算机网络用户群体为了减少费用开支,节约成本,或者由于缺乏必要的网络安全知识等,在使用网络的时候没有配备完善的网络安全设备,也缺乏终端用户的安全监控和检测,防护设备也不全面,这些都大大增加了网络的不安全性和不稳定性。工作实践证明,要想提升计算机网络的安全参数和安全性能,免受大规模的或者大面积的网络攻击与破坏,需要用户在网内和网外接口处配置统一的网络安全控制和监控设备,匹配必要的网络安全硬件设施,而且还要充分的考虑到安全设备的可扩展性。在计算机网络使用和防护的过程中,实现网络防护、预警和监控一体的运营模式,才能阻止和阻拦不健康的、恶性信息,也能在遇到故障后及时检修和保护,确保计算机网络的安全。计算机网络分层安全防护体系的构建不是一蹴而就的,也不是单一存在的,而是各部分之间相辅相成,相互促进和影响。
三、关注重点防护,优化网络安全访问的控制
在计算机网络安全防范措施中,构建计算机网络分层次纵深安全防护策略体系是非常有效的。安全防范控制是分层次纵深安全防护体系构建的关键,也可以说是核心组成部分。一般它包括:用户和网络访问控制、网络权限控制、属性安全控制和服务器安全控制等等。用户和网络访问控制,在有效设计访问步骤的时候,填写按照用户身份――用户口令――识别验证信息――账户缺省限制检查来完成,一旦有环节出现问题,用户就不能访问网络,确保访问权限发挥应有的作用。网络权限控制,这种网络防护的方法主要是应对网络非法操作的策略,有效的通过后台的设置,规定哪些信息可以访问,那些指令可以操作。属性安全设置,主要是为使用的用户群提供文档文件资料和网络设备的访问属性,并确保访问属性的安全性。服务器安全控制,主要是在服务器上下载、使用和更新安全软件,通过有效的设置安全口令、锁定服务、设置登录限制的时间等途径,防止额外用户和非法用户篡改和删除数据资料信息。另外,还有就是网络端口安全的控制和防火墙的控制。
当下计算机网络的广泛使用使得网络安全备受关注,在提升计算机网络安全的途径上也是逐渐的显示多元化,但是无论采取何种手段,计算机网络威胁会依然存在。构建计算机网络分层次纵深安全防护策略体系是一种较为有效的路径,希望能促进计算机网络的健康可持续发展。
参 考 文 献
篇13
目前已经进入到信息时代,这样便在很大程度上推动了计算机网络技术的进一步发展,但同时也对安全防护技术提出了更为严格的要求。计算机网络环境中存在大量风险,如病毒、黑客以及网络攻击等,很容易造成信息泄露,危害人身财产安全。因为提高计算机应用的安全性,必须要做好各项网络风险的分析,加强安全防护技术的研究,争取不断提高网络运行安全性。
1计算机网络安全特点
计算机网络运行为开放式环境,这样就很容易受到各项因素的影响,如常见的网络病毒、木马、计算机蠕虫等,同时还会遭受网络攻击,通过不正当行为非法获取个人信息,造成信息泄露,增加了网络运行风险。另外,在用户操作时,经常会因为失误或者好奇而进入错误网站,该网站然后通过第三方特殊软件,进入到用户者电脑窃取机密信息,造成信息泄露。为提高计算机网络技术应用综合效果,必须要针对常见安全风险进行综合分析,采取一系列措施,进行硬件与软件防护。对于计算机网络安全防护来说,需要具有保密性、完整性、可用性以及可控性等特点,即所用安保防护措施可以最大程度的提高计算机网络环境保密性,数据在未经授权的前提下,不能进行再编辑,并且在存储或传输工程中不会出现破坏或者丢失等情况,同时还需要对信息内容以及传播渠道具有控制能力[1]。
2计算机网络安全防护技术分析
2.1 防火墙防护
防火墙是计算机网络安全防护常用方法之一,主要就是在计算机网络与网络安全域之间构建一个一系列部件的组合,作为网络安全的第一道防护屏障,对提高计算机风险抵抗力具有良好效果。并且与其他防护方法相比,此种方法电脑管理者可以实现自动控制,是管理人员对电脑内部用户访问外界网络的唯一权限。对于防火墙来说,其具有一定的网络攻击抵御能力,因此在设计时可以对电脑防火墙进行系统整体升级,避免木马病毒进入电脑,来确保信息数据的安全性。
2.2加密防护技术
信息加密已经成为计算机安全防护的主要技术之一,如常见的RSA、DES等。在进行信息加密时,可以根据DES算法随机选择功能来确定DES密钥,并通过此种算法来对信息原文进行加密,最后利用密钥完成加密信息的破解,完成信息的访问需求。并且,加密防护技术还可以应用于计算机节点信息,来提高节点信息的安全性,端到端加密方式可以保证信息传输均以密文形式进行,有效降低了外界风险因素的影响。
2.3 网络访问控制
计算机网络运行时,如果进行数据信息的远程传输,在不采取任何防护措施的情况,会为木马病毒提供访问计算机的途径。为提高计算机网络防护安全效果,因此需要在对防火墙升级基础上,做好网络访问控制技术的研究。即对路由器进行控制,来提高用户局域网运行安全性。或者是对计算机内文件信息设置访问权限,在权限验证通过后才可访问文件,来避免病毒对文件信息的破坏与窃取。
3计算机网络安全入侵检测技术分析
3.1 检测方法
目前所应用入侵检测技术,根据其应用范围可以分为主机型、型以及网络型三种,而以入侵技术为依据,又可以分为异常入侵检测与误用入侵检测两种[2]。第一,异常检测模型。主要检测与可接受行为之间存在的偏差,如果将行为定义为可接受性,则确定不可接受对象为入侵。检测时需要对正常操作特征进行总结,如果用户出现与正常行为相差较大的情况则认为存在入侵。第二,误用检测模型。主要检测与已知不可接受行为之间的匹配效果,对不可接受行为进行定义,这样一旦遇到可以匹配的行为便会发出告警。对非正常操作行为特征进行收集,并建立相应的特征库,在监测用户以及系统行为与特征库信息匹配时,则可以断定存在入侵。
3.2 风险检测过程
3.2.1收集信息
首先需要对用户活动、系统网络等数据信息进行全面收集,此环节工作通过设置在不同网段传感器以及不同主机来完成,主要包括网络流量、网络日志文件、异常目录与文件变更以及异常程序执行等。
3.2.2分析信息
待收集完各项系统运行以及活动数据信息后,将其全部输送到检测引擎。检测引擎驻留在传感器中,通过模式匹配、统计分析以及完整性分析等方式,来完成所有信息的分析[3]。在检测工程中一旦发现存在误用模式,则会向控制台发送告警信号。
3.2.3结果处理
控制台接收到告警信息后,根据预先定义的响应方案采取相应措施,如常见的终止进程、配置路由器与防火墙、改变文件属性以及切断连接等,确保系统运行的安全性。
4结语
计算机网络安全现在已经成为重点研究内容,不仅仅需要安装常规杀毒软件,更重要的是要进行安全防护技术的研究与应用,提高计算机对网络风险的抵抗能力。目前已经有更多安全防护技术被应用到计算机安全防护中,但是还需要继续做好技术性研究,争取不断提高网络运行安全性与可靠性。
参考文献
[1] 边云生.计算机网络安全防护技术探究[J].电脑知识与技术,2011,31:7603-7604.
[2] 孙嘉苇.对计算机网络安全防护技术的探讨[J].计算机光盘软件与应用,2012,02:93-94.
