引论:我们为您整理了13篇网络安全联络机制范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
远程控制技术是科学技术快速发展的产物,计算机系统中使用远程控制技术可以促使网络功能更加完善,满足人们信息控制的需求。物联网在不断发展的过程中,产生的计算机网络安全问题也被人们越来越关注。尤其是对企业来说强化对物联网计算机网络安全管理,构建完善的安全管理机制,可保障物联网通信系统运行的安全性和稳定性,能确保企业在经营管理信息上的安全性。因此在物联网和远程控制技术方尤其要注意网络安全,强化对网络系统的安全管理。
1物联网的概念分析和组成结构
1.1物联网的含义
所谓物联网就是物物联网的互联网。其中物联网的发展和其中所涉及到的应用技术为互联网通信技术。物联网是在计算机网络技术基础之上发展而来的,借助科技化的手段在网络中纳入实物。物联网终端可以向各个设备上拓展,满足实时通信和信息交换的需求。物联网技术整合了互联网上的所有优势,可有效兼容互联网上的各个程序,因此该技术的发展前景是很大的。
1.2物联网的组成结构
构成物联网的结构有多种,比如传感器、应用管理系统、技术平台以及网络服务等。其中传感器的主要作用是在智能传感器的辅助下完成实时动态信息数据向计算机数据之间的转换,该智能传感器可以对软件进行分析,并对数字信息进行识别。随后智能传感器再通过实物间的二维码镭射标识技术联合现代智能数字转换装置对数据信息进行读取,并传递到各个网络服务部门。接着网络通信技术将相关信息采用信号的形式向大型云数据服务器传递,实现动态数据与各个设备之间的无缝式衔接[1]。
2物联网风险识别与安全分析
物联网系统在开始构建的时候需要技术人员强化对整个网络系统中各个环节的管理,做好精确性计算和分析,进一步将物联网系统中存在的安全隐患明确下来,并对故障发生几率进行计算,只有这样才能构建起弯沉的物联网风险识别和安全管理体系。此外,技术人员的风险评估工作需要贯穿在物联网构建的全过程,依据各个阶段的构建特点落实好相应的风险评估工作。比如针对物联网不同运行时间作出风险评估,降低安全故事发生几率,确保物联网系统的平稳运行。
3物联网计算机网络安全技术分析
3.1互联网通信安全
物联网在运行过程中需要确保计算机网络信息传输的安全性和保密性,并强化对网络服务的管理。互联网中的非法程序代码会破坏物联网系统中的重要数据和控制功能,因此需要管理人员强化对非法程序代码的管理,制定有效的控制措施,确保物联网系统中代码运行的安全性。物联网管理人员需要强化自身的网络安全防范意识,针对具体问题制定有效的解决措施,保障网络通信的安全性。远程控制技术的应用可满足远程数据传输和获取的需求,期间更需要管理人员强化对网络代码的管理。杜绝非法代码对物联网系统的破坏,影响通信安全。
3.2物联网系统网络控制
全世界范围内网络安全管理和控制都离不开现代物联网安全控制系统。物联网运行中要确保运行环境的安全性,强化对计算机网络安全控制需要对整个网络的通信系统和物联网操作系统进行分析,构建局域网控制系统,确保物联网通信的安全性和保密性。其中强化对物联网系统网络的控制,需要秉持以下原则:一是确保物联网计算机与整个互联网通信系统技术操作之前要有二维码识别,并做好隔离措施;二是构建局域网控制系统,确保物联网信息通信安全性和机密性;三是构建物联网远程监测和控制系统,完善网络完全基础性设施;四是在智能监测系统的辅助下将整个系统的运行情况构建成工作日志,详细记录风险故障问题,生成风险评估报告[2]。
3.3备份与限制隔离数据信息
物联网在运行过程中需要对数据信息进行分析和处理,这样才能确保计算机有足够的空间储存数据信息。物联网中的数据信息一旦受到破坏,在系统的支持下可以自动修复破坏的数据,发挥自动修复的功能。物联网中有多个技术控制区域,这些技术控制区域需要相互隔离。技术控制区域之间的有效隔离可避免非法入侵者对网络系统的破坏,尽可能保障物联网计算机系统的安全性。此外,为了强化对物联网计算机网络安全的管理还需要构建相应的操作规范,落实好责任制并赋予操作人员一定的操作权。
4计算机网络远程控制系统设计
计算机网络远程控制系统可满足人们的多种需求,已经在各个领域被广泛应用。如网络监控、网络自动化管理、计算机辅助教学等领域。远程控制系统由不同的部分构成,如服务器终端、通信网络、用户端以及受控网络等。其中受控网络的主要作用是接收主控网络的命令,并将其向各个设备中分布,主控网络和受控网络操作系统可以是Windows7、Windows8或者是WindowsXP[3-4]。
4.1主控网络
集中分散结构是主控网络的主要作用。其中主控网络集中管理结构时操作较为简单,但是该功能的发挥需要耗费较大的安装成本,需要的操作时间较多,影响了资源的共享性。分散结构具有较高的安全性,尽管该环节也会发生相应的问题,但是不至于影响整个的网络功能。因此在网络结构不能集中的情况下,可尽量采用分散结构,确保网络系统的安全性[5]。
4.2受控网络
受控网络主要的组成部分就是硬件和软件,两者协同提供控制服务。受控系统的核心就是对数据集合的控制,该控制系统以计算机为中心。在设计受控系统时需要秉持安全性原则,注意加强对用户信息的保护,一旦出现问题需要立即修复。受控网络发挥作用需要严格按照规定的操作步骤进行,将远程传输的内容向主控端发送。远程控制技术可以实现对计算机硬件设备和软件设备的控制,完成文件的传输和管理任务。
4.3通信协议
篇2
二、主要问题
网络著作权案件是新类型案件,我国立法对此没有明确规定,司法实践对此也缺少经验,没有相关的司法解释和司法判例,在审理这些案件中,主要有以下问题:
(一)关于网络著作权案件的管辖问题
互联网的出现最突出的影响就是打破了信息传播在时间和空间上的界限,其数字化技术的发展,使得作品的传播形式发生了重大变化,其速度更快捷,范围更广泛。任何人在任何地点使用一网的计算机完全可以通过不同的“路径”接触到同一信息、访问同一网站,访问者完全可以忽略信息所在网站的地理位置。这使得具有时间性和地域性的著作权面临着新的挑战,也使法院在对因互联网络使用引发的著作权侵权案管辖的确定上,特别是侵权行为地管辖确定上遇到了困难。从目前案件情况看,网络侵权主要体现为不同介质间对作品的复制,而网络的复制一般都需要两台计算机,一是存储数字化作品的服务器(ISP), 一是复制时使用的终端计算机,复制行为是在终端上完成的,但其复制作品的来源在服务器上。按照传统的理论,确定行为地即终端所在地法院的管辖权没有问题,但服务器所在地能否作为侵权行为地呢?我院在审理前文所述及“瑞得在线”一案中,被告即以其住所在四川,且目前我国尚无关于互联网上发生的侵权案件如何确立侵权行为地的法律为由,认为我院对本案无管辖权,使此案从立案起经历了8 个月的管辖之诉才开庭审理。
(二)关于网上刊载的文章、图形、设计等内容的法律属性问题
著作权法保护的客体是作品,网络上刊载的文章、图形、设计等数字的内容是否能属于著作权法意义上的作品,这是其能否受到法律保护的前提。我国著作权法第3条规定了作品的9种类型,即文学作品;口述作品;计算机软件;电影、电视、录像作品;法律、行政法规规定的其他作品等。网上所载的文章、图形属于何类,其不在法律所列举的范围之内。互联网络也给我们带来一些新的概念,如“主页”,主页是由文字、图形、音频、视频等一些多媒体信息组成,是浏览访问某一特定站点时在主机屏幕上首先出现的网页,这一页的内容一般是该站点其他网页内容的概括和介绍,其作用相当于一本杂志的封面和索引的结合,在操纵计算机时,点击主页的有关内容就能进入本网址有关内容进行查询和浏览。“瑞得在线”一案所争议的正是对于主页的权利和保护。
(三)著作权人对其数字化作品是否享有权利问题
互联网的出现,使传统作品被数字化上载,并在网上流动,公众可通过将作品临时储存在自己网络计算机的硬盘上来接触作品。现行著作权法对涉及网络部分的著作权利及法律责任没有做出规定,那么在互联网络中,作品的作者是否享有对其作品进行数字化转换、复制和网上传播等方面的权利。有学者提出了“网络传播权”的概念,借此扩展版权人的权利。也有人认为,可借鉴著作权法第32条之规定,将作品数字化上网作为一种法定许可。这个问题直接影响到著作权人是否可以对其被数字化并在网络上传输的作品主张权利。
(四)关于网上证据的有关问题。数字化技术使网络上的证据失去原始性特点,电子信息具有不稳定性和易变性,可以随时修改,侵权损害的时间、电子邮件的内容、收件时间都可以很容易地修改,这在取证上形成困难。发生了侵权行为,调查取证只能证明当时的情景,却不能证明取证之前的情况,而之后的情景更难以把握和确定。从审判实践方面,证据问题成了最为棘手的问题。
1.作者的证明。在网络中,用户一般是通过建立自己主页来发表自己作品。但是按照法律规定,建立个人主页是免费的、自由的,不需要与ISP订立正式的合同,只要按ISP的要求填写固定表格即可,表格中包括申请人姓名、性别、住址、电话号码、所在城市、国家、电子信箱等,其中除电子信箱外,其余内容均可以虚拟。网络上所发表的作品许多都是无署名和虚拟署名,需要借助其主页来确定作者身份,而主页登记真实性又差,在诉讼中,往往出现了一个看似奇怪的问题,“如何证明我是我”。在前文所举的陈卫华诉成都电脑商情报社案中,原告称其本人就是“无方”,于是也就承担了需要证明其与“无方”同为一人的责任。
2.事实证明。网络上的内容是极容易修改的,人们只需在键盘上简单操作,就可以修改、删除网上的内容,这种修改和删除是不留痕迹的,而且难以再现。特别是在由网到网的传播上,在出现了“网上”的案件时,原始证据的取得非常重要,但也非常困难。而且一旦诉讼开始,侵权行为人很可能会将网上的侵权内容进行修改和删除,从而使案件的审理丧失直接的事实内容,带来许多不便。
(五)关于网络服务商(ISP )在网络侵权案件中的法律地位问题
在网络世界里,网络服务商起着很重要的作用,各种信息正是由网络连接在一起,其提供服务的内容分为两种类型:一类是单纯提供连线的服务商(即IAP),另一类是提供内容的服务商(即ICP),网络服务商往往自行或通过网络参与一些作品的复制或刊载。有些用户则通过网络传输侵犯他人的著作权内容;有些对其传输内容可以控制、监督、做增删编辑的ICP, 经著作权人告知或要求其停止传输他人著作权的内容等,仍不停止;有些网络使用者因网络商应著作权人要求而采取移除措施,而要求网络商赔偿损失,在这些纠纷中,网络服务商的法律地位不尽相同,需要依具体情况判定。
(六)关于作品在网上传播时有哪些著作权利,特别是有无精神保护的问题
我国著作权法第10条规定,著作权包括下列人身权利和财产权,发表权、署名权、修改权、保护作品完整权、使用权和获得报酬权。这些规定是传统意义上的,也是在非网络世界上适用的,对网上作品应如何看待,例如作者将其文章发表在自己的网站上,其所享有的发表权是否已经实现。在我院受理网络著作权案中,有的起诉人提出精神损害赔偿的诉讼请求,需要法院考虑。
(七)关于侵权人承担民事责任的具体方式问题
在我院受理的6位作家起诉世纪互联通讯技术有限公司案中, 原告均提出了要求被告停止侵权、赔礼道歉、赔偿损失的诉讼请求。在审理这些案件中,在实现上述请求的具体方式上需要探讨。传统的侵权一般都是在报刊、书籍上行为的,故而赔礼道歉的方式也是在上述媒体上进行,如责令侵权人发表致歉声明等,但在网络著作权案中,由于侵权行为发生在网络中,损害的后果也自然在网络中,因此,对权利人的致歉声明是否也应在网络上刊播,法律对此没有明确规定,这实际上也涉及到一个侵权行为的传播影响范围和补救行为的传播影响范围是否对等的问题。
(八)关于侵权赔偿的数额问题
赔偿问题,一直是知识产权侵权案件的难点,而在网络著作权侵权案件中,这个问题更加复杂突出。普通作品的稿酬国家版权局有规定的标准,网上作品是否与此相同。对网上侵权的赔偿标准,由于对网上传输行为本身就定性不明确,缺乏统一认识,给法院确定赔偿数额带来了困难。赔偿是限于给付稿酬呢,还是取决于对著作权人造成的实际损害呢?有些学者,还提出了对网络侵权案件的惩罚性赔偿问题,这都需要在司法实践中予以解决,因为这是案件中当事人最为关切的问题。
三、审理网络著作权案件的基本经验
本着积极、稳妥的态度,根据我国著作权法关于著作权保护的基本原则和立法精神,并考虑到互联网的特点,我院已审结上述案件17件,均取得较好的社会效果,其中王蒙等六位作家状告世纪互联通讯技术有限公司案还被北京电视台现场直播。
(一)充分利用现有的法律法规。在审理网络著作权案件中,我们注意从著作权的立法精神、价值理念和基本原则来思考问题,不轻意对法律作扩大解释,既坚持严肃执法,又努力争取最佳的社会效果,努力通过有效的司法规范网络行为。
(二)兼顾法律的现实调整和网络业的长远发展。
网络世界具有“信息共享”和“自由发展”的精神,而我国的网络产生还正处在发展阶段,在审判中,我们注意平衡各方面的利益冲突,努力做到既不放任侵权行为,又不过分阻碍行为发展的信息交流,立足于发展和规范,在对作品著作权合理保护的同时,也保障网络以其丰富的资源和快捷的传播为公众服务。
(三)加强知识产权审判人员网络专业知识的学习。结合审判工作需要,我们认真组织知识产权审判人员学习专业知识,了解互联网的技术问题。庭内还专门配置了一台上互联网的计算机,使大家在书本上学,操作中练,使网络专业知识和法律专业知识互相融合,提高审判专业能力。
(四)积极开展审判研讨。对网络著作权案件中的一些普遍性问题和重大问题,我们注意汇总和分析,并多次邀请国家版权局,中国国际互联网络信息中心,信息产业部、北大、人大、高级法院和最高法院的有关专家召开研讨会。通过研究,统一了认识,明确了审判方向。
(五)建立了知识产权的专家陪审制度。网络著作权案类型新、专业性强,且对社会生活特别是网络业的指导意义大,为审理好这些案件,我们在知识产权审判中建立了专家陪审,邀请网络、知识产权界的专家参予审理上述案件,收效较好。
四、对网络著作权案件有关问题的处理意见
(一)借鉴接触原则,确定管辖问题。一般而言,在网上复制要经过以下过程,即复制方使用浏览器通过网络路径到达服务器内,将有关主页的内容读取带走。可见,任何人在任何地点通过自己的主机来浏览和复制作品,都必须通过接触载有该作品的服务器来实现。从行为的全过程来考察,只有接触了该服务器,才能接触到服务器上的内容。从侵权行为的角度来考察,服务器当然也是发生侵权行为的必由的一段过程,在确定管辖时,服务器所在地自然也是侵权行为实施地,该所在地法院当然也有管辖权。在前述的瑞得公司状告宜宾市翠屏区东方信息服务公司一案中,原告的硬盘和服务器均设在原告公司内,而原告所在地在海淀区。因此,我院据此裁定驳回了被告认为我院无权管辖的管辖异议,后被告就管辖问题提起上诉,市第一中级法院裁定海淀法院有管辖权。
(二)按照法律的一般原则,确定数字化作品的法律属性。我国著作权法所列举的作品类型中,并不包括数字化作品。著作权法实施条例中将作品规定为:文学、艺术和科学领域内,具有独创性并能以某种形式复制的智力创作成果,在审判实践中,在对数字化作品认定上,我们注意从三个方面来考察:一是是否具有独创性;二是是否能以某种有形形式复制;三是是否属于智力创作成果。对网上发表的文章、图形等,只要其符合上述三个特征,就认为其是著作权注意上的作品,就予以保护。
如陈卫华诉电脑商情报所涉的《戏说MAYA》一文,瑞得在线诉宜宾市翠屏区东方信息服务有限公司案所涉的“主页”,我院均依法保护了权利人的著作权,将其视为法律意义上的作品。
(三)根据法律的精神,认定著作权人对其数字化作品享有著作权。
根据著作权法的规定,著作权人对其创作的文学、艺术和科学作品在法律规定的期限内,依法享有专有权利,体现在作者享有支配权,有权使用自己的作品和许可他人以任何方式和形式使用自己的作品。而作品的数字化是依靠计算机技术把一定形式的文学、数值、图像、声音等表现的信息输入计算机系统并转化成二进制数字编码,以运用数字信息的存储技术进行存储,并根据需要把这些被转换成数字编码形式的信息还原的技术,将作品以文字形式置换成二进制编码行为本身并不具有著作权法意义上的独创性,数字化的转换并没有产生实质意义上的新作品。原作品数字化后,改变的只是作品的存在形式。这种将作品数字化转换过程同著作权发展的历史中出现的以摄影、录音、影印等技术手段处理作品的过程没有本质的区别。作品新的表现方式或使用手段的出现,并不能否定作者对其创作在新的领域享有著作权。该数字化作品的著作权仍由原作品的著作权人享有。因此,在王蒙等起诉世纪互联通讯技术有限公司六案中,我院对六原告的文学作品均予以保护。
(四)根据网络运作的规律和自身的特点,确定作者身份,保全有关证据。
对文章署名为作者笔名的,原告应当举证证明。在审理陈卫华诉成都电脑商情报社一案中,为证明陈卫华就是“无方”,我院进行了现场勘验。我们知道,个人主页注册后,注册人会获得个人主页的帐号、密码和网址,在一般情况下个人主页密码由其注册人掌握、使用,文件的上载、删除工作亦由注册人完成。在勘验中,陈卫华可修改“3D芝麻街”主页上的密码,并可上载文件、删除文件,《戏说MAYA》一文可固定在计算机硬盘上并可通过WWW服务器上载到“无方”的个人主页上。 而被告未提出相反的证据否认原告的作者身份,据此,法庭对陈卫华的作者身份予以了认定。
为防止证据的灭失,在受理网络著作权案件时,可指导当事人对有关事实进行公证。如六作家诉世纪互联通讯技术有限公司一案中,原告将被告在网站上刊载作品的情况进行了公证,并将网上内容打印出来或录在软盘或光盘上,形成了一份完整全面的公证书。最后,此公证书成为定案的证据之一,公证费用亦由被告方负担。当然,也可以在受理案件后采取证据保全,及时提取或存留有关证据。
(五)根据过错原则,认定ISP的法律责任。
对于仅仅提供连线服务的IAP,一般情况下,不承担法律责任。 对于提供内容服务的ICP,如果其直接复制或传播,应承担侵权责任。 如果ISP 明知用户通过网络传输侵犯他人著作权或经著作权人告知有用户在网上侵权而不采取移除或停止行为时,说明其主观上有过错,据此可依据过错责任原则,将定其侵权成立,承担法律责任。在六作家起诉世纪互联通讯技术有限公司案中,被告于98年成立了“灵波小组”,在其网站上建立了“小说一族”栏目,栏目中所涉及原告的作品内容是通过E—Mail方式提供到被告网站上后, 被告成立的“灵波小组”将其存储在其计算机系统内并通过WWW服务器在国际互联网上传播, 联网主机用户可浏览或下载作品的内容。被告在答辩中称自己并非首先将原告作品刊载到互联网上的,无侵权的故意。法庭经审理认为,无论其形式如何,在国际互联网上传播原告作品即说明其主观上有过错,应承担相关法律责任。
(六)视具体情况,保护网上作品的权利。
作者将其作品发表在网站上,即已将作品公之于众,其所享有的发表权已经实现,如被他人以其他形式刊载使用,并不构成对作者发表权的侵犯。无论原作者署名是否真实,如果刊载人不署名或擅自署不一致的署名则构成对署名权的侵害。对网上作品擅自修改构成对作者修改权和保护作品完整权的损害。关于使用权和获得报酬权,作为一项经济权利,只要未经权利人同意,未付酬使用,即构成对此项权利的侵犯。另外,在六作家提起的诉讼中,各提出5000元的精神损失赔偿请求,我们认为,互联网应当承认精神权利保护,如果侵权内容包括了作者在作品中依法享有的著作人身权,降低、贬损作者在社会公众中的人格地位,即可判决补偿。但在六作家起诉的案件中,由于没有这种情况发生,被告方在刊载作品上是完整的且均署名,故最后判决驳回了原告的精神损害赔偿请求。
(七)按照承担责任的范围与侵权行为的传播范围相对等的原则,确定侵权人承担民事责任方式。
在审理上,在对侵权人承担民事责任的处理上,采取了将承担责任的范围与侵权行为的传播范围相对等的办法。如处理陈卫华诉成都电脑商情报一案中,由于被告擅自将原告文章下载到电脑商情报上,故判决被告在该报上刊载致歉声明。如不履行,法院将选择一家全国发行的专业报纸上刊登判决书。在处理瑞得公司诉宜宾市翠屏区东方信息服务有限公司案中,由于侵权是从网到网,故判令被告在《计算机世界日报》(电子版)的主页上刊登声明。在六作家案中,判令被告在自己网站的主页上刊登声明,如不履行,法院将根据判决书拟一份公告刊登在全国发行的报刊的电子报主页上。
(八)比照有关规定,确定侵权赔偿数额。在确定赔偿数额上,考虑了以下几个方面的因素:权利人遭受的损害,用户浏览或下载作品的次数,ISP的广告收益等等, 在此基础上按照国家有关付酬标准或有关行业惯例,并根据北京市高级法院《关于审理著作权纠纷案件若干问题的解答》第37条规定的计算方法来具体确定。如在陈卫华诉成都电脑商情报一案中,在被告拒绝提供其报纸发行量的情况下,参照同类专业报纸的发行量(20万份左右),每份报纸利润大约0.5分钱计算, 最后确定被告赔偿额以应付稿酬的4倍计算。对此结果, 原被告均未提出上诉。在瑞得集团起诉东方信息服务有限公司一案中,由于侵犯的作品是“主页”,国家对此无有关费用标准,我们走访了市场,经了解计算机世界在线服务中心的报价是1000元,该企业是国内知名企业,而且报价也符合一般的市场标准,故判决被告赔付2000元(酬金的2倍)。
五、几点建议
从知识产权保护的发展过程来看,每一次科学技术的重大发展,都会对知识产权保护产生巨大冲击,必然引起作品的表现形式、传播手段、使用方式的变化,使知识产权的保护范围得到扩张。如今以数字技术为特征的信息时代,已使计算机互联网络的应用和发展逐步渗透到我们工作、生活的领域,给版权保护造成新的冲击。据报载,1999年底,我国因特网用户已达940万,在网络飞速发展的同时, 网络社会中的混乱现象也比较严重。本着为网络的发展创造一个良好的法制环境,规范、合法地发挥网络在传播知识方面的巨大效能原则,特提出以下建议:
(一)加强对知识产权保护的宣传,特别是在网络上,应当普遍建立尊重著作权的意识。
篇3
(一)组织体系
成立网络与信息安全领导小组,组长由分管副局长担任(特殊情况由局长担任),成员包括:各股室负责人及联络员等。
(二)工作职责
1.研究制订我局网络与信息安全应急处置工作的规划、计划和政策,协调推进我局网络与信息安全应急机制和工作体系建设。
2.研究提出网络与信息安全应急机制建设规划,检查、指导和督促网络与信息安全应急机制建设。指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。
3.指导应对网络与信息安全突发事件的科学研究、宣传培训,督促应急保障体系建设。
4.及时收集网络与信息安全突发事件相关信息,分析重要信息并提出处置建议。及时向局领导提出启动本预案的建议。
5.负责参与重要信息的研判、网络与信息安全突发事件的调查和总结评估工作,进行应急处置工作。
二、工作原则
(一)居安思危,预防为主。立足安全防护,加强预警,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
(二)提高素质,快速反应。加强网络安全风险科学研究和技术开发,采用先进的监测、预测、预警、预防和应急处置技术及设施,充分发挥专业人员的作用,在网络安全风险发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
(三)加强管理,强化责任。建立和完善安全责任制及联动工作机制。加强与相关部门间协调与配合,形成合力,共同履行应急处置工作的管理职责。
三、网络安全风险防范工作流程
(一)信息监测与报告
要进一步完善网络安全风险突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则,加强对涉军领域网络安全风险的有关信息的收集、分析判断和持续监测。当发生网络安全风险突发事件时,在按规定向有关部门报告的同时,按紧急信息报送的规定及时向局领导汇报。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
(二)预警处理与预警
1.对于可能发生或已经发生的网络安全风险突发事件,系统管理员应立即采取措施控制事态,并第一时间进行风险评估,判定事件等级并预警。必要时应启动相应的预案,同时向信息安全领导小组汇报。
2.领导小组接到汇报后应立即查明事件状态及原因,技术人员应及时对信息进行技术分析、研判,根据问题的性质、危害程度,提出安全警报级别。
(三)风险处置
篇4
网络安全事件指影响计算机系统与网络安全的不正当行为。网络安全事件一般在很短时间内产生,且引起的损失巨大。应对网络事件关键是速度与效率。应急响应(即“Incident Response),指某组织为了应对意外事件发生所做的准备及事件发生后采取的措施。本文网络安全事件的应急响应则指应急响应组织根据对可能情况的准备,在网络安全事件发生后,尽快作出正确反应,减少损失或尽快恢复正常运行,追踪攻击者,搜集证据直至采取法律措施等行动。网络安全事件应急响应的对象,又称应急响应的客体,指:针对计算机与网络信息的安全事件。除了传统的针对保密性、完整性和可用性分类外,广义上应急响应的对象还包括:扫描等违反安全政策的事件。应急响应过程包含三种角色:事件发起者、事件受害者与应急响应的人员。应急响应是被动性的安全体系。它的作用主要表现:1、事先的充分准备;2、事件发生后的采取的抑制、根除和恢复等措施。
(一)入侵检测
应急响应由事件引发,同时发现事件依靠检测手段。入侵检测技术指由系统自动完成的检测,是目前最主要检测手段(IDS)。
(二)事件隔离与快速恢复
首先,在检测基础上,确定事件类型和攻击源后,对于安全性、保密性要求高的环境,应及时隔离攻击源,制止事件影响进一步恶化;其次,对外提供不可中断服务的环境,如运营平台、门户网站等,应急响应过程应侧重考虑尽快恢复系统并使之正常运行。这其中涉及事件优先级认定、完整性检测及域名切换等技术。
(三)网络追踪和定位
确定攻击者网络地址及辗转攻击路径,在现在的TCP/IP网络基础设备上网络追踪及定位很困难;新的源地址确认的路由器虽然能够解决问题,但它与现在网络隐私保护存在矛盾。
(四)取证技术
取证是一门针对不同情况要求灵活处理的技术,它要求实施者全面、详细的了解系统、网络和应用软件的使用与运行状态,对人的要求十分的高(这一点与应急响应本身的情况类似)。目前主要的取证对象是各种日志的审计,但并不是绝对的,取证可能来自任何一点蛛丝马迹。但是在目前的情况下,海量的日志信息为取证造成的麻烦越来越大。
二、网络安全事件应急响应联动系统模型
网络安全事件应急响应联动系统模型是从应急响应组及协调中心发展起来的一套应急响应联动体系。它立足于协调地理分布的人力与信息等资源,协同应对网络安全事件,属于应急响应组织发展后期的组织形式。联动含义:1、组织间的协作;2、功能上统一;3、网络安全策略上联合。
(一)联动系统的体系结构
图1 联动系统的体系结构
1、应急响应协调中心。是信息共享、交换与分析中心,负责协调体系正常运行,属于联动系统的核心。
2、应急响应组。应急响应组以应对网络安全事件为目标,根据技术力量与资源状况设置机构,甚至承担部分协调中心功能。
3、客户。客户方应在应急响应组协助下进行风险分析、建立安全政策与设立联系人员,增强自身主动防御能力及采取合理措施能力。
(二)应急响应协调中心
应急响应组织具备四核心功能:分类、事件响应、公告与反馈;与此同时还具有非核心功能:分析、信息整理、研发、教育及推广。
图2 应急响应协调中心机构设置
1、研发。研发部门,也是实验部门,主要负责研究安全技术与安全工具,以及与网络相关的技术测试、系统测试、产品测试、漏洞测试等。
2、专家顾问。技术专家对于确定研究与形势影响很大。法律顾问与客户、其他应急响应组织的合作及与法律部门、新闻媒体等合作应有法律依据。
3、信息整理与事件跟踪。体系内的具备ISAC功能机构,该部门承担着公告、反馈和信息整理的功能,在研发机构协助下实现信息资源(包括漏洞及补丁信息、新闻动态、技术文献资料、法律法规、公告、安全警报、安全政策、建议等)共享,;还应提供网站资源链接,常见问题(FAQ),常用工具,技术论坛与事件及漏洞的上报渠道等。
4、应急响应。是一线应对事件的机构。响应是联动系统的根本任务,但是联动系统的响应人员在响应过程中可得到体系援助,使应急响应更及时有效。
5、联络。协调应急响应组、应对事件的联动响应及与客户联络。联络中心应具有对应急响应组的约束力,并与该部门承担应急响应功能。
6、培训。包括对组织内人员的技术培训、固定客户的技术支持与培训和面向社会的安全培训三个方面,是保持体系键康发展,提高客户合作能力的机构。
7、公共关系。负责处理应急响应不能回避的与法律组织、媒体、行政部门、科研组织等实体的关系,以及与其他应急响应组织间的联络与合作;承担部分推广的功能。
8、管理机构。协调中心及联动系统运作。
(三)联动系统的功能
联动系统功能包括两方面:1、提供安全事件的应急响应服务;2、信息共享、交换与分析。两功能互相融合、取长补短,使应急响应更加高效、便捷。
1、协调应急响应。在事件响应过程中,响应人员通过网络或传真方式向组织报告事件详细信息,并取得帮助与建议,最终完成响应。依靠资源共享与联动响应期间各响应组的密切联系,响应过程中响应人员得到的建议。事件响应结束后,响应人员要完成事件跟踪报告与总结,并由中心备案。
2、信息共享、交换和分析。信息整理与公告功能是维护网络安全的主动防线。中心通过对组织的安全信息进行统计分析,找出易发生的安全事件,并以预警信息结合预防建议的形式,遏制类似事件发生;中心在安全信息整理和共享等的贡献可大提高应急响应质量,对响应人员和客户方的在线帮助意义重大义。
三、模型其它重要内容
(一)应用应急专线与无线通信手段
在报告事件时,受害者的理想方式:通过网络,交互性较强。但为防止网络受到破坏性攻击、须预先设定紧急联系手段。对事件的即时报告、意见反馈、协调中心或其它帮助都通过响应人员与中心联系实现。除应急响应过程中的联系,客户报告事件也应在网络或专用 软件外拥有应急报告方式,比如传真、移动电话。
(二)事件并行处理的协调
协调中心须实现为事件开辟联动空间保证其独立、高效及可持续。
(三)信息共享与隐私保护以及配套法律建设
联动系统的本就是实现质信息共享。敏感信息应予以保护,比如客户声誉、稳私、机密等。联动系统的信息共享不是完全共享,而是多级权限的共享。此外取证效力及责任、损失鉴定及量刑等的配套法律建设不完善,联动系统也应根据实践建立起自身的规范约束。
(四)异地数据备份与同步和自身的健壮性
应急响应联动系统要求一定权限的数据由协调中心及应急响应组互为备份。依靠体系地理分布实现数据异地备份,保证数据安全性。
篇5
Key words: network security; encryption technology; firewall
中图分类号:TP39 文献标识码:A文章编号:1006-4311(2010)27-0164-01
1计算机网络概述
计算机网络技术是信息传输的基础,所谓计算机网络是指将分布在不同地理位置上具有独立性能的多台计算机、终端及附属设备用通信设备和通信线路连起来,再配有相应有网络软件,以实现计算机资源共享的系统。按照联网的计算机所处的地理位置远近分为局域网和广域网,在网络中拓扑结构主要分三种:总线网、环形网、星形网。由于资源共享、操作系统的复杂性等原因使网络存在着不安全因素。
2计算机网络安全现状
2.1 网络安全涵义计算机网络安全具有三个特性:保密性、完整性及可用性。保密性是网络资源只能由授权实体存取。完整性是指信息在存储或传输时不被修改、信息包完整,不能被未授权的第二方修改。可用性包括对静态信息的可操作性及对动态信息内容的可见性。
2.2 计算机网络安全的缺陷①操作系统的漏洞。操作系统是一个复杂的软件包,即使研究人员考虑得比较周密,但几年来,发现在许多操作系统中存在着漏洞,漏洞逐渐被填补。操作系统最大的漏洞是I/O处理,I/O命令通常驻留在用户内存空间,任何用户在I/O操作开始之后都可以改变命令的源地址或目的地址。②TCP/IP协议的漏洞。TCP/IP协议应用的目的是为了在INTERNET上的应用,虽然TCP/IP是标准的通信协议。但设计时对网络的安全性考虑的不够完全,仍存在着漏洞。③应用系统安全漏洞。WEB服务器和浏览器难以保障安全,最初人们引入CGI程序目的是让主页活起来,然而很多人在编CGI程序时对软件包并不十分了解,多数人不是新编程序,而是对程序加以适当的修改,这样一来,很多CGI程序就难免具有相同安全漏洞。④安全管理的漏洞。由于缺少网络管理员,信息系统管理不规范,不能定期进行安全测试、检查,缺少网络安全监控等都对网络安全产生威胁。计算机网络安全的主要威胁。
2.3 计算机网络安全的入侵①计算机病毒。所谓计算机病毒实际是一段可以复制的特殊程序,主要对计算机进行破坏,病毒所造成的破坏非常巨大,可以使系统瘫痪。②黑客。黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。黑客主要以发现和攻击网络操作系统的漏洞和缺陷为目的,利用网络安全的脆弱性进行非法活动。③内部入侵者。内部入侵者往往是利用偶然发现的系统的弱点,预谋突破网络系统安全进行攻击。由于内部入侵者更了解网络结构,因此他们的非法行为将对网络系统造成更大威胁。④拒绝服务。拒绝服务是指导致系统难以或不可能继续执行任务的所有问题,它具有很强的破坏性,最常见的是“电子邮件炸弹”,用户受到它的攻击时,在很短的时间内收到大量的电子邮件,从而使用户系统丧失功能,无法开展正常业务,甚至导致网络系统瘫痪。
3网络安全机制应具有的功能
3.1 身份识别身份识别是安全系统应具备的基本功能,身份识别主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现。
3.2 存取权限控制访问控制是根据网络中主体和客体之间的访问授权关系,对访问过程做出限制,可分为自主访问控制和强制访问控制。
3.3 数字签名即通过一定的机制如RSA公钥加密算法等,使信息接收方能够做出该信息是来自某一数据源且只可能来自该数据源的判断。
3.4 保护数据完整性即通过一定的机制如加入消息摘要等,以发现信息是否被非法修改,避免用户被欺骗。
3.5 密钥管理信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户放心地使用网络。
4网络安全常用的技术
4.1 加密技术加密在网络上的作用是防止重要信息在网络上被拦截和窃取。计算机密码极为重要,许多安全防护体系是基于密码的,密码的泄露意味着其安全体系的全面崩溃。加密技术是实现保密性的主要手段,采用这种技术可把重要信息或数据从一种可理解的明文形式变换成一种杂乱的、不可理解的密文形式。以密文形式将信息在线路上传输。到达目的端口后将密文还原成明文,常见的加密技术分单密钥密码技术和公开密钥技术两种。这两种加密技术在不同方面各具优势,通常将这两种加密技术结合在一起使用。
4.2 防火墙技术所谓“防火墙”,是指一种将内部网和公众访问网如Internet分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。 防火墙主要用于加强网络间的访问控制,防火墙的作用是防止外部用户非法使用内部网络资源,并且保护内部网络的设备不受破坏,防止内部网络的主要数据被窃取。一个防火墙系统通常由屏蔽路由器和服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号,连接标志以至另外一些IP选项,对IP包进行过滤。
防火墙作为内部网和外部网之间的一种访问控制设备,常安装于内部网和外部网的交界点上。内部网络的某个用户若要与外部网络的用户联络,该用户首先和所属网络的防火墙联通,然后再与另一个用户联通,反之亦然。防火墙提供的防护是Internet安全结构必不可少的组成部分,它能对已知的网络协议起到保护作用。
篇6
(一)软硬件设施存在安全隐患
为了方便管理,部分软件在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在许多不完善或是未发现的漏洞,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软件的漏洞直接侵入网络系统,破坏或窃取通信信息。
(二)传输信道上的安全隐患
如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。
在通信网建设和管理上目前还普遍存在建设质量低、维护管理差、网络效率不高、人为因素干扰等问题。
二、通信网络安全维护措施及技术
为了防止以上情况发生,在网络的管理和使用中,要大力加强管理人员的安全保密意识。
(一)为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输,我们可以运用到以下防卫措施:
“身份鉴别”:可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果。
“网络授权”:通过向终端发放许可证书防止非授权访问网络和网络资源。
“数据保护”:利用数据加密后的数据包发送与访问的指向性,即便被截获也不会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解。
“收发确认”:用发送确认信息的方式表示对发送数据和收方数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执。
“保证数据的完整性”:一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查;一种是接收完后进行核对检查。
“业务流分析保护”:阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。
(二)采用的多种安全技术
1.防火墙技术
防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素――防火墙技术,通过对防火墙日志文件的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。
2.入侵检测技术
入侵检测,顾名思义,就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
3.网络加密技术
“加密”是一种限制对网络上传输数据的访问权的技术。原始数据被加密设备和密钥加密而产生的经过编码的数据称为密文。将密文还原为原始明文的过程称为解密,它是加密的反向处理,但解密者必须利用相同类型的加密设备和密钥对密文进行解密。
4.身份认证技术
身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。 如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
5.漏洞扫描技术
漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。
篇7
二、工作内容
(一)保密检查:计算机信息系统和信息网络安全保密管理制度以及技术措施的落实情况。
(二)信息安全检查:网络重点单位信息网络安全检查,包括安全组织成立、安全管理制度建立、安全措施落实情况。
(三)国家安全事项检查:计算机网络涉及国家安全事项。
(四)重要信息系统安全监测(包括网络安全和保密技术检测)。
(五)安全管理技术人员培训。
(六)各有关部门充分利用联合检查平台深化本部门的其他重点工作。
三、组织领导
(一)市里成立联合检查领导小组。领导小组是联合检查工作的组织协调机构,由五部门有关负责同志组成:
*(*市国家保密局副局长)、*(*市*局副局长)、*(*市国家安全局副局长)、*(广东省电信有限公司*市分公司,副总经理)、*(*市信息产业局,副局长)。
领导小组下设工作小组和办公室,工作小组由五部门相关处室负责同志组成,负责工作的联络和实施检查。办公室设在牵头单位,负责日常工作。本年度工作由*市*局牵头组织,下一年度工作由轮值单位牵头组织。
(二)各县(市)参照市模式成立相应机构,建立联合工作机制,有关单位落实人员开展信息安全保密检查工作。
(三)分工情况:市联合安全保密检查领导小组负责市直单位的信息安全保密检查,并组织对各县(市)工作开展情况进行督查。各县(市)检查领导小组负责本辖区内各单位的安全保密检查。
四、时间安排
(一)准备阶段:6月中旬—7月上旬。
1、召开市五部门领导小组和工作小组会议,研究、制定工作方案。
2、部署各县(市)开展安全保密检查工作。
3、市保密、*、国家安全、信息、电信等五部门各自指导下级业务部门开展联合检查工作小组成员的培训工作。
4、编订安全保密工作检查指引。
5、确定自查对象。
(二)自查阶段:7月上旬—7月中旬。
发出通知和检查指引,要求各相关单位按照通知的要求和指引内容的提示,认真组织开展信息安全保密自查工作。
(三)抽查阶段:7月中旬—8月上旬。
市安全保密联合检查领导小组根据工作开展情况,研究确定重点抽查单位,派出工作组全面开展信息安全保密抽查工作。并督促相关单位做好准备,迎接省联合检查组的检查。
(四)总结阶段:8月中旬—8月下旬。
1、联合检查领导小组对抽查和各单位的自查情况进行总结,10月5日前将工作开展情况上报省联合检查领导小组。
2、召开五部门领导小组、工作小组会议,总结本年度的工作,初步议定明年工作计划,并对有关资料进行交接。
五、检查范围
检查的范围主要是计算机信息系统重点安全保护单位(简称:“重点单位”),包括:涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统及其单位。具体包括:
1、县级以上的国家机关、国防单位;
2、财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的单位;
3、国家及省重点科研、教育单位;
4、国有大中型企业;
5、互联单位、接入单位及重点网站;
6、向公众提供上网服务的场所。
六、检查方式
采取单位自查、汇报,检查小组组织实地检查、检测等多种方式进行。
七、人员培训
培训对象是全市各计算机信息系统重点安全保护单位的网络管理维护技术人员,参加安全保密培训和信息网络安全专业技术人员继续教育培训。各重点单位在开展自查工作中,须将本单位的自查工作情况总结和本单位从事计算机信息系统或网络管理维护的技术人员名单、联系方式7月30日前报送市联合检查领导小组的牵头组织单位(20*年牵头组织单位是*市*局)。8月底前要分期分批完成对全市重点单位网络管理技术人员的培训工作。培训完成并通过考试后,颁发有五个部门统一发的保密培训证书和信息网络安全专业技术人员继续教育证书。培训的师资为*电视大学及其教学点。
六、工作要求
篇8
的信息化建设从2000年起步至今,经历了由点及面,由弱渐强的发展阶段,并在全国范围内初步形成了较为系统的信息一体化网络。随着“科技强检”进程的逐步深入,检察人的传统思维和工作模式势必会经历前所未有的变化。也正是在这种网络化日盛的趋势下,检察机关的信息化建设成为了检察事业发展的重要课题。
1、检察信息网络建设的现状
按照高检院“213”工程和全国检察机关信息化建设工作“统一规划、统一技术、统一规范、统一应用软件和统一归口管理”的原则,目前全国省市级检察机关的二级专线网络已经逐步进入应用阶段,市级院与省级院以及省级院与高检院之间的专线电话、视频会议和计算机数据传输的“三网合一” 也基本能够实现,而且一些技术较为先进的地区也率先完成了三级专线网络的搭建。部分基层检察院的内部局域网络已经能够将检察业务、办公事务、综合业务和全面检索等应用系统运用于实际的检察工作中,同时依靠较为成型的网络系统,并辅之以充足的数据库资源,保证了上下级院之间直接的视频、数据、语音的传输,并基本满足了与其他兄弟院之间进行广泛数据交换的互联要求。
2、检察信息系统的应用状况与面临的困惑
检察信息系统是检察业务工作同以计算机技术为核心的信息技术相结合的产物,是管理科学与系统科学在检察业务实践中的具体应用。检察信息化水平的高低是判断检察工作的重要标尺。目前在我国,检察机关已不同程度地将计算机作为办公、办案的必要辅助工具,检察人员的计算机应用能力较之几年前有了相当程度的提高,检察业务软件、网络办公软件以及其他的辅助处理软件也普遍地应用于日常的工作之中。同时,相当一部分检察院已经开通了网站,并通过这一媒介,信息、收集反馈,形成了具有自身特色的网络工作平台。可以说,检察信息化的不断普及为全面建设和完善检察信息系统提供良好的契机,同时也奠定了应用与发展的必要基础。
当然,在肯定成绩的同时,我们也应清醒地认识到现阶段检察信息化建设中存在的诸多不足。首先,目前我国检察机关信息化建设还处于刚刚起步阶段,网络应用水平普遍不高,绝大多数的应用还仅局限于检察业务的某些小的领域,单项应用较为普遍,大而全、广而深的应用体系尚未成型。其次,检察信息技术主要仍以平民技术为主,专业化、职业化的应用并不理想,在缺乏相关专业人才的情势下,技术水平较为幼稚,系统的标准化、通用性和易用性都还处于较低的层面。再则,目前检察机关网络信息化建设与检察业务实际存在明显的脱节,检察业务软件的开发与维护还有许多不尽如人意之处,检察信息系统的网络互连效果以及安全保密功能还有待进一步加强。
客观地讲,当前的检察信息系统仍处于探索和成型阶段。做个不形象的比喻,如果将未来成熟的检察信息系统拟制为一个健康的成年个体的话,目前的检察信息网络则像一个处在哺乳期的婴儿,四肢俱全,生机无限,但未脱襁褓,需要给予更多的关注。
二、流行在检察信息系统中的sars――网络不安全因素。
网络中的不安全因素,之所以称其为sars,并非危言耸听。在当前的检察信息网络中,存在着种种高危的“致病”因素。这些因素往往显见的或潜在的、习惯的或不经意的影响着检察信息系统的稳定和安全。
1、病毒入侵与黑客攻击
网络病毒的入侵、感染与黑客的恶意攻击、破坏是影响当前检察信息网络安全的主要因素。目前,全球发现的病毒数以万计,并以每天十种以上的速度增长,可以说每时每刻网络都在经受着新的病毒或其变种的冲击。通过网络渠道传播的蠕虫病毒、木马程序以及脚本病毒,不管从传播速度、破坏性还是波及范围都让人不可小视。
而对于网络系统而言,黑客攻击较之病毒威胁则更加让人防不胜防。互联网20多万个黑客网站上,提供了大量的黑客技术资料,详细地介绍了黑客的攻击方法,并提供免费的攻击软件。在网络立法十分匮乏、跟踪防范手段有限的今天,面对网络黑客针对操作系统以及应用软件漏洞的频繁地、具有隐蔽性的攻击,我们所要承受的威胁往往是毁灭性的。
2、网络硬件、软件方面存在的缺陷与漏洞
在软件
方面,由于网络的基础协议tcp/ip本身缺乏相应的安全机制,所以基与此存在的任何网络都无法摆脱不安全因素的困扰。而目前
广泛运行在检察网络中的微软windows操作系统更是破绽百出,由于默认的情况下系统开放了绝大多数的端口,所以使得监听和攻击变得轻而易举、防不胜防。再加之相当数量的办公软件与网络软件自身开发的局限性,存在着这样或那样的bug,同时软件的后期服务又不可避免具有滞后性,所以形容当前的网络“风雨飘摇”一点也不为过。
3、使用人员的不良习惯与非法操作
如果将以上两点看作是病源和病毒的话,那么人的因素可能就要算作是将二者紧密结合,产生巨大破坏作用的主要媒介了。客观的讲,目前检察机关的网络操作水平仍处在相对较低的水平,网络使用者中普遍存在着操作不规范和软件盲目应用的现象。相当一部分检察网络用户对于网络存储介质的使用缺乏安全和保密意识,对硬件的维护缺少必要的常识,带来涉密数据在存储与传递环节不必要的隐患。同时,由于操作熟练程度的原因,网络中的误操作率相对较高,系统宕机的情况时有发生,一方面造成了网络资源的浪费,另一方面也给本地数据带来了一定的危险。
此外,由于检察机关的业务工作与实际应用的需要,所以局域网用户的权限相对较高,使用者的操作空间相对较大。部分具有较高计算机水平的用户,会利用授权非法地进行系统设置或通过黑客软件的帮助突破权限获取其他用户信息乃至涉密信息。这些恶意行为的出现,不仅扰乱了网络内部的正常秩序,同时也为更多“偷窥者”大开方便之门。
4、网络管理与相关制度的不足
网络信息系统三分靠建,七分靠管。严格的管理与健全的制度是保障检察信息系统安全的主要手段。但是事实上,目前各级检察机关的信息系统并没有建立起较为健全、完善的管理制度,网络管理缺乏严格的标准,大多数检察机关仍采取较为粗犷的管理模式。主要表现在:
第一,网络管理仅仅作为后勤保障工作的一部分,缺乏必要的领导机制,重视程度有待进一步加强。
第二,网络管理人员充当“消防员”,以“排险”代“管理”,缺乏全民“防火意识”,干警的信息安全责任感亟待提高。
第三,网络管理缺乏必要的程序性规则,在遇到突发事件时,往往容易造成网络系统的内部混乱。
第四,网络信息收集、整理工作不够细致,网络内部机器的跟踪机制还不尽如人意。在用户应用相对随意性的条件下,往往出现“用而不管,管却不能”的尴尬局面。
第五,与安全级别相适应的网络安全责任制度还没有完全建立,使用者的网络操作安全风险没有明确的承担主体,所以使用中缺少必要的注意。网络管理在“使用免责”的情况下,很难形成安全防护的有效底线。
三、构想中的检察信息系统安全防范体系
针对以上问题,笔者认为,要建立、健全检察信息系统的安全防护体系首先需要从检察机关信息安全性的要求出发,充分结合当前检察信息网络的建设现状,从整体上把握,重规划,抓落实。其次,要摒弃一劳永逸的短期行为,在网络项目投入、网络设施建设上做好长期的规划,同时应具有适当的超前性,从检察信息化长远的发展趋势着眼,保持投入的连续性,积极追求网络效能的最大化。其次,在信息化建设的过程中,检察机关还应充分重视制度化的建设,形成较为完善的保障体系,使得网络的运行与管理能够在正确的轨道上持续发展。当然,强调整体规划与设计的同时,我们还应认真做好网络应用技术的普及与网络安全意识的培养工作,将检察信息系统中源于技术局限以及使用者主观因素而产生的种种隐患和损失降到最低程度。
基于上述几点构想,下面笔者将从实际的应用出发,对检察信息安全防范体系的具体实现,作细化论述:
第一,做好检察信息系统整体的安全评估与规划,为安全防范体系的构建奠定基础。
检察机关的网络信息化建设有别于其他应用网络的一个显著特征就是对于安全性有着更为严格的要求。在构造安全防范体系的过程中,我们需要全面地了解自身网络可能会面临怎样的安全状况,这就使得我们不得不对譬如网络会受到那些攻击,网络系统内部的数据安全级别是何等级,网络遭遇突发性安全问题时应如何反应,局域网络内部的域应怎样设定,用户的权限应给予哪些控制等问题进行初步地认定和判断。通过进行安全评估,确定相应的安全建设规划。
当然,在加大投入的同时,也应当正确处理安全成本与网络效能之间的辩证关系,切忌将安全问题绝对化,不能让安全设备和手段的使用降低网络应用的实际效果,寻求可用行与可靠性的平衡点。在安全建设中要注重网络安全的整体效果,尽量运用较为成熟、稳定的软、硬件及技术,同时,针对目前检察网络所采用的微软系统平台,借助于win2000操作系统的域控制功能,对网络的内部结构进行划分、管理,从而既满足了对内部用户的管理要求,同时又在双向信任关系的域-森林结构中实现同级、上下级院之间的安全信息交流。
第二,加强网络安全组织、管理的制度化建设,从制度的层面构造安全防范体系。
健全检察机关网络安全管理的关键在于将其上升到制度的层面,以制度化促进管理的规范化。网络安全管理的制度化建设需要做好两方面的工作,首先要建立明确的安全管理组织体系,设置相应的领导机构,机构以院主管领导、技术部门领导、网络管理人员、网络安全联络员组成,全面负责局域网的日常维护、管理工作。网络安全联络员由各科室选定,负责本部门网络应用过程中的信息上报和反馈工作。网络管理领导小组可以根据全院的实际情况,协调管理人员进行及时的维护,这样不仅有利于人员分工、整合,同时也保证了网络管理的有序进行。其次,要加快网络安全管理的规范性章程的制定,将网络管理的各项工作以制度化的形式确定下来。具体来讲,要尽快形成信息系统重要场所、设施的安全管理制度,例如服务器机房的管理制度;要尽快制定网络安全操作的管理制度,尤其是网络用户的软件使用与技术应用的规范化标准;同时,也要进一步研究网络遭遇突发事件时的安全策略,形成网络安全的应急保障制度,并针对网络安全责任
事故进行制度化约束,追究责任人的主观过错。
当然,制度化建设应当包含检察信息网络管理的各个方面,远非以上几点,它需要我们在补充、修订的过程中不断健全、完善。
第三,提高网络应用与管理的技术水平,弥补自身缺陷,减少外来风险。
在当前检察信息网络的安全威胁中,病毒及恶意攻击可能是其最主要的方面。但我们应清醒地认识到,任何的病毒与黑客技术都是针对网络系统的漏洞而发起的。而在网络应用过程中,大多数使用者对于病毒及外来攻击的恐惧往往要大于对自身系统漏洞的担心。要解决这一问题,首先要使网络用户对网络病毒及黑客攻击有必要的认识,并了解病毒感染的主要渠道,同时要加强网络应用的规范化培训,整体提高操作的技术水平,最大程度地减少人为因素造成的安全隐患。此外,在网络管理中,对操作系统的漏洞应及时的安装安全补丁,并留意微软定期的安全公告,关闭操作系统中并不常用的默认端口,防止为恶意攻击留下“后门”。同时,对网络中的应用软件进行全面检查,尽量避免使用来历不明的盗版软件,将软件的选择导向正版化、网络化的轨道,逐渐减少对于盗版软件、试用版软件以及共享版软件的依赖。
同时,充分利用win2000系统的域功能,严格控制网络客户端机器的超级用户帐号,设定所有用户必须登录域中进行网络操作,设定所有用户(预留guest帐号可以另外处理)的ip地址和网卡物理地址进行绑定、所有无需移动办公的用户帐号和ip地址绑定,实施严密的身份识别和访问控制。
第四,加强应急策略下的物理安全、数据保护与日志管理,健全安全保障体系。
篇9
1 引言
二十一世纪的今天,伴随着日益发展计算机网络,是逐步加大的网络安全威胁。人们亦越发重视自身所在环境的网络安全体系结构的建设和发展。各种网络安全技术的提出和网络安全产品的出现也不断丰富着网络安全体系。那么作为网络安全产品中的重要组成部分,硬件防火墙能在网络安全体系中会体现出怎样的核心应用呢?
2 网络安全体系简单构建例
一个完整的网络安全体系需要涉及符合国家相关标准规定的诸如物理设备、信息传递、操作系统等一系列的内容。本节主要透过一家小型制衣企业的网络安全体系简单构建过程来直观地体现硬件防火墙在网络安全体系的核心应用。
2.1实施对象概况和安全需求
? 汇聚层交换机,核心层交换机和路由器等均统一放置于生产办公综合大楼二楼网络中心处。
? 该制衣企业拥有电脑数量约为100台,还有3台网络打印机,一台web兼E-mail服务器,一台FTP服务器,一台文件服务器。会议室中还需要部署可以容纳20人左右的无线网络。
? 该企业在广域网连接方面,除了要实现因特网接入外,还要提供远程办公和跟合作伙伴、供应商的VPN连接。
? 内部客户端不能直接访问外网,需要通过企业主干网接入INTERNET(全球互联信息网)。供应部、营销部、技术部可以连接Internet。实现供应部与各供应商保持联络,能和接收相关原材料需求和供应信息,但不能访问特定娱乐新闻购物类网站;营销部可以跟各渠道商通过邮件时刻保持联系,在关注现有客户同时发现潜在客户,推广企业的产品,打开市场销路;技术部可以通过网络查找和了解跟本企业产品相关的其他产品或相关技术,为其他部门寻找和准备相对应的网络资源。
? 除以上部门外其他部门除有特殊情况外都不能连接Internet。并且不允许员工在正常工作时间玩基于网络的游戏和进行P2P和BT方式的下载行为。
2.2 利用硬件防火墙完善网络拓扑结构
基于上述的判断,软件防火墙和嵌入式防火墙明显在某些要求上无法完全胜任,这时候硬件防火墙在该网络安全体系核心应用中的优势就能明显体现出来了。
在该网络安全体系结构中硬件防火墙主要由神州数码DCFW-1800S-H-V2企业级硬件防火墙来进行承担。在功能上该型号防火墙采用64位高性能多核处理器技术,拥有包括TCP会话保持与报文重组、VPN、QoS流量管理的芯片级加速方案,并且提供独立的硬件DFA引擎,带有IPS入侵检测模组。辅以高达48Gbps的高速交换总线,以及新一代64位实时并行操作系统DCFOS,确保整个系统不仅在处理网络通讯,而且在处理应用安全防护时拥有充足的系统资源保障。全面优化的软硬件系统拥有高稳定性和高可靠性,其新一代网络安全架构能提供给用户最大化的可扩展能力,方便日后的升级。
在考虑到网络服务器群组的使用和防护要求,同时防止内部网络被入侵导致商业敏感信息泄露的情况发生。作为一个典型的解决方法之一就是利用硬件防火墙构建起在屏蔽子网防火墙体系结构中合并堡垒主机和内部路由器的扩展形式,如图1所示。
在该形式中,专门划分出一个周边网络“非军事区域(DMZ)”,来将对外提供服务的各种服务器放置其中(配置示例如图 2所示),使Internet侧用户访问服务器时不需要进入内部网络,而内部网络用户对服务器维护工作导致的信息传递也不会泄露到外部网络。外部路由器主要作用在于保护周边网络和内部网络,防火墙上则设置针对外网用户的访问过滤规则。例如限制外部用户只有访问DMZ区的和部分内部主机的权限。为了最大限度节约资金投入的同时提高硬件防火墙的利用率,而将原本用于隔离内网络和DMZ区、对内部用户访问DMZ区和外部网络权限进行控制的内部路由器省略,由硬件防火墙模拟及替代该部分功能。然后利用防火墙中的IPS模组对数据流进行再次检查和报警,防止有非法数据流通过硬件防火墙而没有被发现。为了避免外部路由器失效带来致命影响,还可以将硬件防火墙设定为定时复制对方过滤规则,实现一个联动和备用功能。简单来说外网、DMZ、内网三者主要实现下面三个效果:
? 外网可以访问DMZ,但不能直接访问内部网络。
? DMZ可访问外网,不能访问内网。
? 内网可以访问外网和DMZ。
作为堡垒主机的硬件防火墙除了可以向外部用户提供WWW、FTP、E-mail等应用服务外,还可以在接受外部用户的服务器资源请求同时向内部用户提供DNS、E-mail、FTP等服务,并提供内部网络用户访问外部资源的接口。
2.3搭建网络安全平台
经过防火墙体系结构选型和构建,以及对如何完善安全服务机制的初步探讨后,整个网络安全体系已经初见雏形。而作为网络安全体系中重要一环的网络安全平台,则可以将硬件防火墙设备与相关网络技术结合起来,利用其搭建一个以硬件防火墙为核心的可操作性强的网络安全平台。
2.3.1外部访问认证
由于存在合作伙伴、协力企业、在外出差员工等对企业网络资源访问需求的群体,企业必须为他们提供一种安全的远程连接访问方式。而硬件防火墙上技术成熟、使用广泛的,成本低廉的VPN虚拟专用网络技术则正好能满足企业的需求。
通常来说传统的通过特定VPN连接软件连接的第一代VPN实现方式上有基于数据链路层PPTP、L2TP的VPN实现方式与基于网络层的IPSec的VPN实现方式(如图3所示)。虽然创建基于PPTP和L2TP的VPN的方法较创建IPSec VPN方法要简单许多,但是随着时代的进步和网络安全威胁的日益增加,基于数据链路层的VPN连接已无法完全胜任时代的安全需求了。所以现在进行VPN配置时一般选择使用IPSec技术作为数据传输时安全保障。
从原理上说,IPSec通过使用基于HASH函数的消息摘要来确保数据传输的完整性,使用动态密钥来对数据进行传输加密。也刚正好符合完善网络安全机制的要求。
图3 传统VPN实现方式
在防火墙中创建基于IPSec的VPN时,一般要先创建好IKE(即Internet密钥交换协议)的第一阶段和第二阶段提议,然后继续创建VPN对端,并在接下来创建IPSEC隧道并制定基于隧道的安全策略,最后再创建源NAT策略。在实现过程中有以下几个要点:
? IPSec隧道建立的条件必须要一端触发才可。
? 基于隧道的策略要放在该方向策略的最上方。另外从本地到对端网段的源NAT策略应该放在源NAT策略中的最上方。
? 在IPSEC VPN隧道中关于ID的概念,这个ID是指本地加密子网和对端加密子网。
除上述模式外,硬件防火墙还能支持第二代VPN实现方式SCVPN,即基于传输层的SSL VPN。其优势在于相对IPSec VPN相比,配置和构建相对简单方便,穿透力强能以透明模式功能,而且SSL VPN客户端早已融入到各主流浏览器中。用户只需要通过浏览器登录并通过验证即可使用VPN功能,为用户省去繁琐的客户端携带和安装,大大增强便捷性。但是缺点也很明显,由于SSL 协议的限制,在硬件防火墙上使用SSL VPN性能发挥上远远不如IPSec VPN。
2.3.2内部访问验证
为了对内网用户进行具体的网络行为跟踪监督工作,分配内网用户访问权限。进行内部访问认证从而确认网络行为实施者就变得很有必要了。一般来说,进行网络内部访问认证需要配置Radius认证服务器、Active-Directory认证服务器和LDAP认证服务器中的一种,用来存储用户信息和提供用户验证功能,虽说每一种验证服务器的功能都非常强大,但是部署起来不但需为之投入额外资金和资源,而且配置相对繁琐和维护也相对不易,对于小型企业来说实施起来有一定困难。幸好得益于硬件防火墙强大的性能,我们也可以直接在硬件防火墙上配置本地认证,然后通过web浏览器为客户端进行认证登陆(如图4所示)。当然有条件的企业亦可以通过将硬件防火墙上的WEB访问验证方式跟Radius、Active-Directory、LDAP验证服务器无缝结合起来,减轻硬件防火墙的资源负担,增强整个内部访问验证的可靠性和高效性。
图4 内部WEB认证登陆页面 (下转第54页)
(上接第38页)
2.3.3网络层到应用层全面控制
硬件防火墙通过在网络层和传输层通过特定的规则、数据封包的属性来对数据进行检测和过滤,从而抵御非法数据的入侵和黑客的攻击,同时提供多种地址转换方式,这些都是硬件防火墙最传统也最常用的应用。
开启硬件防火墙在应用层上的附加功能以扩展硬件防火墙的安全保护范围,提升整个网络的安全指数。例如通过URL过滤可以屏蔽一些跟工作无关的新闻、娱乐、购物类网站以及恶意网址;通过网页内容过滤来屏蔽一些敏感的关键字;通过开启防病毒检测,从网络外部阻挡病毒木马的入侵;通过上网行为监督,来提高网络的使用效率;通过IM工具过滤来提升员工的工作效率。
3 结束语
随着计算机网络在人们生活的各个领域中广泛应用,以网络为目标的不法行为也日渐增多。为所属网络构建一个完整高效可操作性强的网络安全体系亦越来越重要。而这次通过构建基于实际案例和具体网络安全指标的网络安全体系例子则非常充分地体现了硬件防火墙在网络安全体系中的区域隔离、攻击防护、协议过滤、流量控制、用户认证、上网行为追踪记录与管理、VPN远程访问等核心应用。相信在很长的一段时间内如何有效地和实地利用硬件防火墙在应用上的优势将会是影响整个网络安全体系构建成败的关键因素。
参考文献:
[1] 谢希仁.计算机网络(第6版)[M].北京:电子工业出版社,2013.
篇10
How to Protect and Improve Wireless Network Security
Yang Mengyu
(Henan Polytechnic University,Computer Science and Technology College,Jiaozuo 454000,China)
Abstract:Wireless networks in modern society has a wide range of applications,and therefore,wireless network security is also directly related to the user's information security and interests.To this end,the author analyzes the principles of wireless networks,sums up the wireless network vulnerable to security threats,and propose countermeasures.
Keywords:Wireless network;Security;Security
无线网络的定义,一方面包括允许用户设置远距离无线联络的全球语音与数据网络,另一方面可以一定范围内无线连接,实施高效的红外线技术与射频技术,这其实和有线网络的作用非常相仿了,明显的区别是传输媒介的差别,采用无线网络技术代替有线模式,可以采取网线进行备份的方式。
在无线网络的局域网中,使用的设备一般是无线网卡、无线网桥、无线天线之类。无线网卡的功能相当于以太网里面的网卡,充当局域网的接口,达到和无线局域网的联通。无线网卡按照接口模式的区别,基本上有三种类型,分别是PCMCIA无线网卡、PCI无线网卡与USB无线网卡;无线网桥能够应用在连接两个、多个单独的网络,这些单独的网络往往安置在各自的建筑中,距离几百米至几十千米不等。因而它能够大量应用与间隔的建筑物间的连接;无线天线是如果计算机和无线AP与别的计算机距离很远的话,由于信号强度的降低,或是传输速度降低过量,或是彻底无法达到与AP与别的计算机之间的联系,这样,就需要依仗着无线天线对所接收与发送的信号实施增益(即放大)。
无线网络的安全威胁由多个原因导致,如硬件原因,这就需要常检检查无线网络在连接配置中是否有缺陷。无线网卡的检验同样是不可或缺的,出现问题时,用户可以使用新的网卡并再次安装驱动程序予以调试。无线网络的安全威胁最多来自于软件原因,它们的原因可总结称非法窃听、非授权访问与服务拒绝等几种,每一种的安全威胁会给无线网络造成程度各异的影响。笔者着重从软件原因分析阐述无线网络的安全威胁,并提出相关策略。
一、威胁无线网络安全
(一)无线信号干扰问题。传导与接收无线信号的操作里,传输介质为空气,这就使得无线网络很容易遭受别的信号的干扰。同时,各个无线网络互相也有着各类型的干扰,所以无线局域网的电磁兼容与信号干扰现象必须引起用户足够的重视。
(二)非法窃听。窃听作为一项被动攻击方式,可以很轻松的蒙骗与使用现在的共享密钥认证协议。该协议固有的构架(各个认证信息的唯一不同为随机询问)与WEP的缺陷,是造成威胁无线网络安全的关键。所以,哪怕在使用了WEP后,窃听者还是能够利用网络达到WEP攻击。
(三)访问控制的安全缺陷。封闭网络访问控制机制:实际上,如果密钥在分配和使用时得到了很好的保护,那么基于共享密钥的安全机制就是强健的。但是,这并不是这个机制的问题所在。几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。真正包含SSID的消息由接入点的开发商来确定。然而,最终结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。即使激活了WEP,这个缺陷也存在,因为管理消息在网络里的广播是不受任何阻碍的。虚假访问点,IEEE802.11b共享密钥验证使用单向,非相互的身份验证方法。访问点可以验证用户的身份,但用户并不能验证访问点的身份。如果一个虚假访问点放置到WLAN中,它可通过“劫持”合法用户客户机来成为发动拒绝服务攻击的平台。
(四)硬件被窃。如果用户的电脑、设备等丢失与被盗的时候,该用户的机器设备的正常用户会不能使用对MAC地址与WEP密钥的使用权限,而盗窃者则拥有了这些使用权限,从而造成网络威胁。
二、保障与提高无线网络安全的应对措施
(一)无线节点设备比较常用的加密。无线节点设备比较常用的加密方法包括两种,一种是WEP加密技术,另外一种就是WPA加密技术。其中WEP技术也叫对等保密技术,该技术一般在网络链路层进行RC4对称加密,无线上网用户的密钥内容一定要与无线节点的密钥内容完全相同,才能正确地访问到网络内容,这样就能有效避免非授权用户通过监听或其他攻击手段来偷偷访问本地无线网络。正常来说,WEP加密技术为我们普通用户提供了40位、128位甚至152位长度的几种密钥算法机制。
(二)使用各类抗干扰方法。对于各类干扰的处理办法,通常是下面的几种:首先掌握各类电磁兼容技术,科学使用频率技术,设计出符合ERC无线标准的机子。其次是掌握各类无线设备的抗干扰技术,利用掌握自己的无线网络系统的特点,进而寻找无线局域网系统配备的科学模式。再次是利用较为高档的技术与协议,增强无线网络的抵抗各类干扰水平。
(三)共享密钥认证方式。共享密钥(Shared Key)认证系统采用标准的挑战-应答机制,加上一个共享密钥进行认证。当一个站点想要取得认证,挑战者发起一个挑战,发送一个认证请求管理帧,表明他想使用“共享密钥”认证。应答者接收到这个认证请求后,进行应答。应答者发送一个包含128个字节的挑战文本的认证管理帧给挑战者。这个挑战文本的产生是采用WEP的伪随机码产生器PRNG和共享密钥,以及一个随机初始化向量IV。挑战者一旦收到来自应答者发来的认证管理帧,就将挑战文本的内容拷贝到一个新的管理帧中。
(四)硬件丢失后的补救措施。硬件丢失后,无线网络的用户要想审查网络的安全性有没有遭到破坏是很难的,所以机主需要尽早告诉网络管理员。网络管理员一旦获得通知,就要更换安全策略,使MAC地址与WEP密钥在进入WLAN与对传导的信息实施解密时失去效力。而且,网络管理员还需要将和丢失与被盗的客户机密钥相同的别的机子的静态密钥通通予以更换编码。客户机的数量越庞大,对WEP密钥实施重新编程的劳动量也随之增。
参考文献:
篇11
一、检察信息网络建设的现状
按照高检院“151”工程和全国检察机关信息化建设工作“统一规划、统一技术、统一规范、统一应用软件和统一归口管理”的原则,目前全国省市级检察机关的二级专线网络已经逐步进入应用阶段,市级院与省级院以及省级院与高检院之间的专线电话、视频会议和计算机数据传输的“三网合一”也基本能够实现,而且一些技术较为先进的地区也率先完成了三级专线网络的搭建。部分基层检察院的内部局域网络已经能够将检察业务、办公事务、综合业务和全面检索等应用系统运用于实际的检察工作中。同时,依靠较为成型的网络系统,并辅之以充足的数据库资源,保证了上下级院之间直接的视频、数据、语音的传输,并基本满足了与其他兄弟院之间进行广泛数据交换的互联要求。目前在我国,检察机关已不同程度地将计算机作办公、办案的必要辅助工具,检察人员的计算机应用能力较之几年前有了相当程度的提高,检察业务软件、网络办公软件以及其他的辅助处理软件也普遍地应用于日常的工作之中。同时,相当一部分检察院已经开通了网站,并通过这一媒介,信息、收集反馈,形成了具有自身特点的网络工作平台。
二、流行在检察信息系统中的埃博拉网络不安全因素
网络中的不安全因素,之所以称其为埃博拉,并非危言耸听。在当前的检察信息网络中,存在着种种高危的“致病”因素。
1.病毒入侵与黑客攻击。网络病毒的入侵、感染与黑客的恶决击、破坏是影响当前检察信息网络安全的主要因素。目前,全球发现的病毒数以万计,并以每天十种以上的速度增长,可以说每时每刻网络都在经受着新的病毒或其变种的冲击。而对于网络系统而言,黑客攻击较之病毒威胁则更加让人防不胜防。在网络立法十分匮乏、跟踪防范手段有限的今天,面对网络黑客针对操作系统以及应用软件漏洞的频繁地、具有隐蔽性的攻击,我们所要承受的威胁往往是毁灭性的。
2.网络硬件、软件方面存在的缺陷与漏洞。与银行、邮电等行业相比,目前,检察机关的局域网建设还存在首明显的差距。从硬件上讲,检察系统的网络产品尤其是关键部位的配套设施还相对较为落后,核心部件的性能还不能完全满足检察机关信息化的发展要求。在软件方面,由于网络的基础协议TCP/IP本身缺乏相应的安全机制,所以基与此存在的任何网络都无法摆脱不安全因素的困扰。而目前广泛运行在检察网络中的微软件windows操作系统更是破绽百出,再加之相当数量的办公软件与网络软件自身开发的局限性,存在着这样或那样的病毒,前的网络“风雨飘摇”一点也不为过。
3.使用人员的不良习惯与非法操作。客观的讲,目前检察机关的网络操作水平仍处在相对较低的水平,网络使用者中普遍存在着操作不规范和软件盲目应用的现象。相当一部分检察网络用户对于网络存储介质的使用缺乏安全和保密意识,对硬件的维护缺少必要的常识,带来数据在存储与传递环节不必要的隐患。同时,由于操作熟练程度的原因,网络中的误操作率相对较高,系统宕机的情况时有发生,一方面造成了网络资源的浪费,另一方面也给本地数据带来了一定的危险。
4.网络管理与相关制度的不足。网络信息系统三分靠建,七分靠管。严格的管理与健全的制度是保障检察信息系统安全的主要手段。但是事实上,目前各级检察机关的信息系统并没有建立起较为健全、完善的管理制度,网络管理缺乏严格的标准,大多数检察机关仍采取较为粗犷的管理模式。
三、构想中的检察信息系统安全防范体系
针对以上问题,笔者认为,要建立、健全检察信息系统的安全防护体系首先需要从检察机关信息安全性的要求出发,充分结合当前检察信息网络的建设现状,从整体上把握,重规划,抓落实。
第一,做好检察信息系统整体的安全评估与规划,为安全防范体系的构建奠定基础。检察机关的网络信息化建设有别于其他应用网络的一个显著特征就是对于安全性有着更为严格的要求。在构造安全防范体系的过程中,我们需要全面地了解自身网络可能会面临怎样的安全状况,这就使得我们不得不对譬如网络会受到哪些攻击,网络系统内部的数据安全级别是何等级,网络遭遇突发性安全问题时应如何反应,局域网络内部的域应怎样设定,用户的权限应给予哪些控制等问题进行初步地认定和判断。通过进行安全评估,确定相应的安全建设规划。
第二,加强网络安全组织、管理的制度化建设,从制度的层面构造安全防范体系。健全检察机关网络安全管理的关键在于将其上升到制度的层面,以制度化促进管理的规范化。网络安全管理的制度化建设需要做好两方面的工作。首先,要建立明确的安全管理组织体系,设置相应的领导机构。机构以院主管领导、办公室部门领导、网络管理人员、网络安全联络员组成,全面负责局域网的日常维护、管理工作。网络安全联络员由各科室选定,负责本部门网络应用过程中的信息上报和反馈工作。其次,要加快网络安全管理的规范性章程的制定,将网络管理的各项工作以制度化的形式确定下来。具体来讲,要尽快形成信息系统重要场所、设施的安全管理制度,例如服务器机房的管理制度;要尽快制定网络安全操作的管理制度,尤其是网络用户的软件使用与技术应用的规范化标准;同时,也要进一步研究网络遭遇突发事件时的安全策略,形成网络安全的应急保障制度,并针对网络安全责任事故进行制度化约束,追究责任人的主观过错。
篇12
在网上非法结社,发展组织、成员
2000年以来,分裂组织、分裂分子相继在境外雅虎等网站的免费空间上建立了十几个维吾尔网民聚集的“电子部落”(又称为“网上沙龙”),逐渐形成了具有分裂倾向的网络群体。他们以“东土耳其斯坦”“维吾尔穆斯林”“世界维吾尔”等为主题,进行分裂和宗教极端思想的交流,并进行勾联活动。
“虚拟社会”反恐治安防控体系明显滞后
进一步完善“虚拟社会”治安综合治理体系
虚拟社会作为“第二社会”和一种“亚社会”状态,具有一定的活动形态和结构层次,对其进行治理防控同样是一项社会综合工程,必须遵循社会治安综合治理的理念和原则,按照“打击、防范、教育、管理、建设、改造”的基本内容,在各级党委、政府的统一领导下,以政府为主体,发动和依靠各职能部门和社会力量,各单位、各部门协调一致,齐抓共管,运用政治的、经济的、行政的、法律的、文化的、教育的综合手段,整治虚拟社会治安问题,不断消除虚拟社会空间滋生犯罪的条件,建立虚拟社会综合治理体系。一是紧紧抓住建设环节。加强对网络运营服务商的监管,坚持“谁运营、谁主管、谁负责”的原则,进一步明确其安全管理责任,责成其在推出各种网络新技术、新应用、新服务时,配套建设各种安全管理系统,使网络安全保护措施与网络应用技术同步发展,实现建设与管理的统一。二是紧紧抓住经营环节。加强对网络应用重点单位、网络经营业主和网民的管理,严格落实“实名上网”制度,虚拟主体参与“虚拟社会”各项活动,均要实行实名申请IP、实名注册账号、实名登录网站、实名验证申请,建立起虚拟身份与现实身份的一一对应关系,通过严格掌握上网人员的真实身份,将主动权牢牢掌控在监管部门手中。三是紧紧抓住管控环节。严格落实互联网信息监控处置属地与准属地“双负责制”和以互联网服务单位开办者所在地为主、以服务器所在地为辅的安全监管“双负责制”。四是紧紧抓住教育环节。在全民中深入开展网络道德建设,大力倡导文明办网、文明上网,自觉抵制不文明网络行为,积极构建和维护文明、健康、有序的“虚拟社会”环境。积极与互联网新闻管理部门配合,通过开展“创建诚信网站”“评选示范网吧”和“推选网络文明单位、网络文明学校”等活动,让全社会共同参与、齐抓共管。
进一步加强“虚拟社会”治安防控体系建设
从公安机关网络监管职责看,必须顺应互联网时展的要求,把严打、严管、严防、严治有机结合起来,构建高效、灵敏的“虚拟社会”治安防控体系。一是坚持“情报导侦”战略,加强虚拟社会情报信息收集机制建设。突出强化网上侦查和情报职能,积极探索网上对敌斗争的规律,增强网上发现、控制、侦查、处置和取证的能力,努力提高网上斗争的能力和水平。要以网上侦查情报为主线,充分发挥安全监督管理和网络技术手段的优势,对虚拟空间中的重点“区域”“空间”进行高效、精确地控制,获取深层次、有价值的网络违法犯罪情报信息。及时发现、严密侦控、有效防范、依法打击境内外敌对势力、敌对分子以及各种违法犯罪分子利用网络进行的煽动、渗透、破坏活动。二是加快建立虚拟社会警务制度和机制,强化网监基础工作建设。搭建公安网络监控部门与各级政府信息中心、各互联网运营单位、上网服务场所、安全行业单位、安全教育研究机构和其他计算机信息系统使用单位的联系渠道,建立网上案件举报机制、查处网络违法犯罪案件快速反应机制和公安机关内部各警种之间的信息共享及网上联动协作等机制。以深化“e网平安”为载体,构建由网络警察、网上协管员、社会信息监督员、网站网吧安全员和举报群众构成的全方位、多层次的虚拟社会巡防力量;建立网上虚拟社区警务制度,建立网上案件报警网站和报警岗亭,对群众的网上求助、咨询,快速反应、热情服务,帮助群众排忧解难。2010年以来,巴音郭楞蒙古自治州公安局制定《巴州公安机关“网上警务室”建设标准》,全州48个派出所建成105个网上警务室;建立民警微博,收集社情民意,拓展公安业务网上服务14项,建立网上信息员队伍195人;召开网上警民恳谈会50次,群众留言148条,通过公布的电子邮箱收到群众建议76条,为群众解疑释惑225次,点击量达11538次。三是加强虚拟社会重点管控阵地建设。发挥网监队伍的技术优势,将网络电视、广播、电话和博客、播客等新兴网络应用纳入网上重点阵地,按照“公秘结合、人防与技防结合”的要求,协同刑侦、治安部门,落实对电子市场、网吧、大专院校等重要场所的控制措施。制定和规范电子市场业主出售计算机及网络设备、手机及手机卡、电视插播器等详细信息登记制度。在当地党委、政府的统一组织领导下,加强与电信、文化、工商部门的协调配合,规范互联网服务营业场所的经营行为,严格安全审核和日常监督管理,切实解决当前“网吧”等互联网上网服务营业场所过多过滥、违法违规经营、管理无序的情况。四是加强网络警察专业队伍建设和能力建设。严格按照公安部“每万名网民配备一名网络警察”的标准,尽快配齐网安警力,建立一支统一指挥、机动精干、正规化、实战化的网络警察队伍;不拘一格吸纳网络技术人才,强化专门力量,通过市场化、社会化选人、用人渠道,把最优秀的网络技术人才引进专门机关,从技术水平、警力人数上不断充实打击网络犯罪的网络警察队伍。五是加强网络舆情引导工作机制建设。建立反应灵敏、高效畅通的网上舆情收集、研判、反馈机制以及应急处置联动机制。及时进行舆情的采集存储、舆情分析和处理,做好不良网络舆情危机的监管和引导工作,提高对不良网络舆情预警的效率。
加强虚拟社会管理法律法规建设,构筑网络安全的法律基础
立法部门要立足我国网络发展现状,准确把握“虚拟社会”特征和网络违法犯罪特点,加快信息网络安全立法,完善现行刑法中计算机犯罪条款,扩大计算机信息系统概念外延,增加利用网络犯罪罪名,明晰网络犯罪立案标准。要借鉴互联网发达国家的经验,将网络运营商的安全管理责任以法律形式确定下来,由运营商同步承担网络安全系统建设的责任。网络信息安全最薄弱的环节不是系统漏洞而是人的漏洞。完善的网络信息安全法制建设应当是建立起一整套网络信息安全评估、网络信息安全责任和网络信息安全应急的法律对策。由此可见,“网络法治”不应过于遥远,它应尽快为人们享受网络技术文明创造安全有序的环境,应尽快为国家提高信息安全保障能力提供法律支持,使政府和民众在面对网络“天灾人祸”的考验和挑衅时,能够变得更加成熟、理性和从容不迫。
篇13
随着我国电力信息化的发展以及智能电网的建设,电厂、用户、调度中心等通过信息网络进行越来越频繁的数据交换,也有更多的电力控制系统接入电力公司的信息网络,因此,承载了电力企业生产、经营、管理和服务的电力系统信息网络逐渐成为重要的基础设施,其安全性不仅具备了一般计算机信息网络信息安全的特征,还具备了电力实时运行控制系统信息安全的特点。当此信息网络的安全被破坏时,可能会导致电力供应中断,甚至会引发大范围的停电事故,信息网络的安全性和电力系统安全稳定的运行息息相关。当前我国非常重视电力系统信息网络的安全问题,科学技术的快速发展既为网络平台带来优化更新,也使网络平台出现了更多安全隐患。因此为了能够保障电力网络信息系统的安全性,必须要在目前对系统安全造成威胁的因素分析的基础上,不断地发展和更新安全防防护措施。
1对电力网络信息系统安全造成威胁的因素分析
1.1外界环境影响
电力系统信息网络的基础设施长期的在露天的环境下工作,很容易遭受周遭环境变化的影响,特别是电磁场干扰、暴风暴雨、雷电、地震等环境因素,或者是因为其他因素造成的物理损坏,致使网络出现故障,从而影响数据信息的准确实时传输。
1.2管理制度影响
当前针对电力系统信息网络,我国的部分电力企业已经初步建立了相应的管理规范,并制定了安全防范措施以及安全保护机制。但是由于起步较晚,而且信息网络一直在不断的更新发展,过去的管理制度已经逐渐无法与其相匹配,缺乏对店里信息网络更加详细的维护与指导。
1.3人为操作失误
电力系统信息网络的安全运行必须要基于正确的网络安全配置模式,有时因为人才操作的失误,使网络安全配置不当,从而降低电力系统的安全性,产生了一些漏洞,使系统无法识别正确的操作命令。这样有可能在用户进行账号口令登陆时,会增加泄露账号信息的概率,共享的信息资源会随之泄露。如果是使网络主机产生了安全漏洞,主机的运行情况和数据会受到直接的干扰,数据库也会处在安全性极低的环境下,无法再进行有效的数据保护。
1.4人为恶意攻击
网络黑客和病毒都是人为的恶意攻击,这种恶意攻击会带有一定的目的性,会对计算机网络系统进行有选择性的恶意破坏,如果是被动的攻击就会使病毒潜伏在网络当中,虽然不会影响到正常工作,但是会窃取、截获数据信息,特别是重要的机密信息,会使电力系统遭受更大的经济损失。
2保证信息网络系统性安全对策的多层面分析
2.1物理层面的信息网络系统安全对策分析
在信息系统中有很多的网络资源和交换机、路由器等设施。这些服务器和小型设施的安全性在一定程度上会影响到整个系统的安全。例如,当路由器出现问题或者设施设置存在风险时,可以通过关闭相关端口和服务设备,从物理层面保证系统安全。跟互联网相比,电力系统属于内部网络,一般可以通过隔离手段保证系统安全。常见隔离手段有物理隔离、防火墙、协议隔离等。物理隔离是指对内外部网络进行物理性的隔断,即使间接连接也不能满足内外网连接条件,保证内外部网络彼此失去联络,避免外界对内部网络的干扰和入侵,防止内部网络资源信息泄露;协议隔离是指将隔离器安装在内外部网络的连接端处,达到控制内外连接的目的,协议隔离器分别和内外部网络的接口连接,内外部分别设置各自的连接密码。一般来说,当内外信息隔断时,才能通过协议隔离器连接,实现交互;防火墙是指保护网络安全的一种隔断,一定程度上可以将潜在风险和恶意入侵隔断在系统之外。防火墙同时具备检测和阻止两个功能,并且可以控制内部网络的信息流,以此保证内部网络的安全,保障系统的正常运行。
2.2网络层面的信息网络系统安全对策分析电力网络的组成和互联网不同,它是由若干局域网和广域网组成的,并且包含了互联网的部分因素和特性。电力网络系统结构复杂,功能多样。其中行政办公网络、业务网络并不能很好地进行物理隔离,这些网络在合理性分化、科学设置路由器等方面直接影响到整个系统的正常运行。为了保证各网络和系统的信息隔离,VPN、VLAN等技术被应用在阻断电力网络信息安全系统的网络隔离上。VPN技术包括加密系统、认证系统、限制访问等功能,它可以封装各个子系统的信息,并且通过虚拟通道进行传送,一次保证信息的安全性。VLAN是指根据网络用户的性质和需求,对其进行逻辑分组。每个逻辑组就是VLAN。各VLAN之间不能互相交互信息,只能通过路由器进行传输,以此来保证系统信息安全。局域网则可以安装特定的防火墙进行防护,并采用入侵检测技术进行补充,实现网络安全保障。
2.3系统层面的信息网络系统安全对策分析
保证系统安全的首要任务就是保证操作的安全性,操作系统的安全直接关系到整个系统的安全。WEB服务器、外部信息系统交互服务器、办公客户机等设备常见操作系统包括Win98、2000、xp等,这些系统都存在一定的漏洞。因此需要对这些系统进行安全防护,例如在系统中设置访问权限,并对用户管理进行健全。常见数据安全机制有:访问机制、日志审计、敏感数据标签等。在实际操作中,则需要采用性能稳定的数据库系统,并依据数据库的不同安全策略进行相应设置。诸如将用户权限分为不同的形式,这些形式的信息,包含了文档、图表、数据库等信息,对这些分组进行不同的读写权限,以此保证不同用户对数据的不同权限。在系统安全维护方面,则应对系统安全进行数据加密手段。另一方面,则可以依照相应的安全需求,对数据文档进行具体加密。对于重要的大数据块则需要采用快速加密的对称密匙算法,对于较少的签名数据则可以采用公开密匙算法进行加密保护。
2.4应用层面的信息网络系统安全对策分析
应用层是指电力网络系统的用户,对于应用层的网络系统安全保护主要体现在用户网页、邮件等基础应用中。这些应用涉及到内外部的信息传递、局域网跨应用方式等方面,这就要求在进行信息传递时,数据资源有安全的访问权限和编辑,另外还需要保证信息传递中的安全性。在这些应用编辑过程中,还可以对第三方进行加密和数字签名,并对敏感数据进行先期加密和数字签名,因为这些敏感数据的不可见性,进一步增加了系统的安全性。
3结语
综上所述,电力是当前国民经济中的支柱产业,其网络安全性也是信息化建设中的重要问题。由于电力系统的发展需求,电力网络系统需要和外部网络连接,与此同时,病毒、木马、黑客等不安全网络因素也越来越多,电力网络信息系统安全是电力系统安全运行的关键。只有透彻了解电力信息系统安全特点和威胁因素,并从物理层、网络层、系统层、应用层、安全管理层五个方面采取措施对电力网络信息系统进行安全防范,才能保障电力网络信息系统安全运行,促进整个电力系统的健康发展。
参考文献:
[1]沈立鹏.计算机网络面临的威胁及安全策略分析[J].黑龙江科技信息,2009.
[2]潘明惠,偏瑞琪,李志民.电力系统信息安全应用研究[J].中国电力,2010.
[3]朱腾,梁冬冬.基于电力系统网络安全的风险控制[A].第一届电力安全论坛优秀论文集[C].2013.
