引论:我们为您整理了13篇网络安全防护手段范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了。第二,网络的安全机制与技术要不断地变化。第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此,建立有中国特色的网络安全体系,需要国家政策和法规的支持及安全产品生产集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
1 网络安全现状
由于政务网、商务网所有业务应用系统都基于一个企业网络系统实现,因此,应用与应用之间难以有效地隔离;同时,用户情况复杂,有的用户属于重要应用岗位,有的属于一般岗位。虽然这些用户对应用的安全服务要求不同,但他们均混杂在一个局域网络,因此对用户较难以分别控制。此外,政务网、商务网应用是基于开放的平台实现的,开放系统平台和开放的通讯协议存在安全缺陷及漏洞,同时也造成了这些应用存在着安全上的隐患。总之,各种应用之间可能存在信息非法访问、存取的机会,这都给政务网、商务网的信息应用的安全运行带来巨大的风险。这些风险包括用户对信息的误用、滥用、盗用以及破坏。对于政务网、商务网等信息应用系统来说,面临的攻击、威胁的主要手段有:病毒、破坏硬件设备、冒充、篡改、窃取等。在网络系统中,无论任何调用指令,还是任何反馈均是通过网络传输实现的,所以网络信息传输上的安全就显得特别重要。信息的传输安全主要是指信息在动态传输过程中的安全。为确保政务网、商务网网络信息的传输安全,主要应注意对网络上信息的监听。对网上传输的信息,攻击者只需在网络的传输链路上通过物理或逻辑的手段,就能对数据进行非法的截获与监听,进而获得用户或服务方的敏感信息。计算机网络上的通信面临以下四种威胁:截获——从网络上窃听他人的通信内容。中断——有意中断他人在网络上的通信。篡改——故意篡改网络上传送的报文。伪造——伪造信息在网络上传送。
2 网络安全管理监控
信息系统安全性起于好的管理。这包括检查所有重要文件和目录的所有者和许可权限,监视特权账户的使用,检查信息的使用及占有情况等。在一个信息系统运行中,影响系统安全的因素很多,但其中50%与管理因素有关。政务网、商务网信息系统较为复杂,一旦信息处理的某个节点或环节出现问题,很可能导致信息系统降低效率或瘫痪。而信息系统单纯依靠人工管理存在较大困难和诸多安全隐患,因此,需要一种手段和技术来保证信息系统的可管理性,并减少信息系统维护的费用。在政务网、商务网等信息系统中,分布式结构和网络计算占了重要地位。随着信息系统规模的扩大,我们会发现一个问题,就是策略的统一性、连续性。我们知道,对于政务网、商务网而言,整个信息系统是一个整体,想保证整体系统的可靠性、可用性和安全性,那么必须保持每一个局部的网络或者主机的安全性和可靠性。现在很多安全方面的隐患是由于整体信息系统的策略实施的不统一造成的。因此,当政务网、商务网制订了企业的整体安全策略时,除了通过规章制度把这些想法传达下去,还要具备相应的技术手段来保证这一点。
对于政务网、商务网这样的用户必须建立一个集中式管理的概念,就是数据和处理能力可以是分散的,但对于管理而言,应该是集中的。而所管理的内容应该包括企业网络中一些重要的信息,如:系统的集中管理、网络的集中管理、应用的集中管理、防火墙系统的集中管理、网络用户的集中管理,以及和这些相关的管理信息的复制、更新和同步。
3 防火墙技术及其发展趋势
防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其他途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。此外,还有多种防火墙产品正在朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
防火墙必须在基于芯片加速的深度内容过滤技术上实现真正的突破,并推出实用化的产品以解决当前的网络安全难题。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析、芯片解决计算加速技术,防火墙必将以软硬兼施的方案为用户的应用提供更安全的保障。而VPN、IDS/IPS、防病毒等功能可能以各类加速芯片的形式与防火墙协同工作,形成以芯片技术为主导的全系列硬件型安全网关。防火墙下一步的发展与中国下一代网络的建设紧密相关,如IPv6网络、P2P应用、3G、4G网络等等。这里特别强调的是防火墙与IPv6。由于IPv6网络的新特性,如端到端的连接、移动IP的处理、内嵌IPSec、路径MTU探测等,给防火墙带来新的安全挑战。防火墙不仅要及时适应IPv6网络的发展,并解决IPv6引入后带来的新问题,同时,由于IPv6与IPv4网络,网络必然会同时存在IPv4的安全问题与IPv6的安全问题,或由此造成新的安全问题。下一步要考虑的,不仅仅是更适应于网络发展的防火墙模型,可能还会包括网络安全防范与评估方法等。在Internet无所不在的理念下,防火墙等网络安全产品也必将站在可信赖应用与计算环境为基础的角度上设计并解决安全问题。当前基于不同架构设计实现的防火墙都将面临巨大的挑战,为此付出的代价也将是不同的。防火墙技术和产品已经相对成熟,但还存在一定的技术局限性,防火墙仍不能完全满足用户的需求。网络攻防是一对矛盾,用户需求激发技术创新,网络与应用也在日新月异,在关键处理技术上实现创新,并对防火墙在各种网络环境中的实际应用、稳定性与易用性,以及整体网络安全解决方案进行研究,一直会是防火墙技术的重要内容。因此,防火墙技术将持续快速发展,技术突破将必然带来新的天地。
4 结论
篇2
0 引言
随着数据业务快速发展,信息化程度不断提高,国民经济对信息系统的依赖不断增强,迫切需要数据业务系统在网络层面建立清晰的组网结构。同时,根据国家安全等级保护的要求,需要不断细化各业务系统的安全防护要求,落实更多的数据业务等级保护问题。针对数据业务系统规模庞大、组网复杂的现状,以及向云计算演进的特点,按照等级保护和集中化的要求,需要对运营商数据业务系统进行安全域的划分和边界整合,明确数据业务系统组网结构。在此基础上,进一步提出了数据业务系统安全防护策略,促进数据业务系统防护水平和安全维护专业化水平的整体提高。
1 数据业务系统网络安全面临的威胁
随着全球信息化和网络技术的迅猛发展,网络安全问题日益严峻,黑客攻击日益猖獗,尤其是以下几个方面的问题引起了人们的广泛关注,给电信信息化安全带来了新的挑战。
(1)黑客攻击是窃取网站集中存储信息的重要手段,通过获取用户口令,寻找出网络缺陷漏洞,从而获取用户权限,达到控制主机系统的目的,导致用户重要信息被窃取。
(2)随着移动互联网智能终端的快速发展,3G和wifi网络的大量普及,恶意程序成为黑客攻击智能终端的一个重要手段,针对智能终端的攻击不断增加,最终将导致重要资源和财产的严重损失。
(3)随着电子商务的普及,人们现已逐步习惯通过支付宝、网上银行或者第三方交易平台进行交易,黑客将对金融机构中的信息实施更加专业化和复杂化的恶意攻击。
(4)自韩国爆发大规模黑客入侵事件以来,APT(Advanced Persistent Threat)攻击更加盛行,主要典型特征包括鱼叉式钓鱼邮件、水坑攻击与自我毁灭等,由于APT攻击具有极强的隐蔽能力和针对性,同时网络风险与日剧增,传统的安全防护系统很难抵御黑客的入侵,这就需要企业和运营商全方位提升防护能力。
(5)随着云计算大规模的应用,作为一种新型的计算模式,对系统中的安全运营体系和管理提出了新的挑战,虚拟化软件存在的安全漏洞需要更加全面地进行安全加固,建立一套完整的安全体制。
2 数据业务系统安全域划分与边界整合
2.1 安全域划分的目的
安全域是指在同一系统内根据业务性质、使用主体、安全目标和策略等元素的不同来划分的网络逻辑区域,同一区域有相同的安全保护需求、安全访问控制和边界控制策略,网络内部有较高的互信关系。
安全域划分的目的是清晰网络层次及边界,对网络进行分区、分等级防护,根据纵深防护原则,构建整体网络的防护体系,抵御网络威胁,保证系统的顺畅运行及业务安全。通过安全域的划分,可以有利于如下四方面:
(1)降低网络风险:根据安全域的划分及边界整合,明确各安全域边界的灾难抑制点,实施纵深防护策略,控制网络的安全风险,保护网络安全。
(2)更易部署新业务:通过安全域划分,明确网络组网层次,对网络的安全规划、设计、入网和验收总做进行指导。需要扩展新的业务时,根据新业务的属性及安全防护要求,部署在相应的安全域内。
(3)IT内控的实效性增强:通过安全域的划分,明确各安全域面临的威胁,确定其防护等级和防护策略。另外,安全域划分可以指导安全策略的制定和实施,由于同一安全域的防护要求相同,更有利于提高安全设备的利用率,避免重复投资。
(4)有利于安全检查和评估:通过安全域划分,在每个安全域部署各自的防护策略,构建整体防护策略体系,方便运维阶段进行全局风险监控,提供检查审核依据。
2.2 安全域划分
根据安全域的定义,分析数据业务系统面临的威胁,确定威胁的类型及不同业务的安全保护等级,通常将数据业务系统划分为四类主要的安全域:核心生产区、内部互联接口区、互联网接口区和核心交换区。
(1)核心生产区:本区域由各业务的应用服务器、数据库及存储设备组成,与数据业务系统核心交换区直接互联,外部网络不能与该区域直接互联,也不能通过互联网直接访问核心生产区的设备。
(2)内部互联接口区:本区域由连接内部系统的互联基础设施构成,主要放置企业内部网络,如IP专网等连接,及相关网络设备,具体包括与支撑系统、其它业务系统或可信任的第三方互联的设备,如网管采集设备。
(3)核心交换区:负责连接核心生产区、互联网接口区和内部互联接口区等安全域。
(4)互联网接口区:和互联网直接连接,具有实现互联网与安全域内部区域数据的转接作用,主要放置互联网直接访问的设备(业务系统门户)。
2.3 边界整合
目前,对于以省为单位,数据业务机房一般是集中建设的,通常建设一个到两个数据业务机房。进行数据业务系统边界整合前,首先要确定边界整合的范围:至少以相同物理位置的数据业务系统为基本单位设置集中防护节点,对节点内系统进行整体安全域划分和边界整合。若物理位置不同,但具备传输条件的情况下,可以进一步整合不同集中防护节点的互联网出口。
对节点内系统边界整合的基本方法是将各系统的相同类型安全域整合形成大的安全域,集中设置和防护互联网出口和内部互联出口,集中部署各系统共享的安全防护手段,并通过纵深防护的部署方式,提高数据业务系统的安全防护水平,实现网络与信息安全工作“同步规划、同步建设、同步运行”。
通常数据业务系统边界整合有两种方式:集中防护节点内部的边界整合和跨节点整合互联网传输接口。
(1)集中防护节点内部的边界整合
根据数据业务系统边界整合的基本原则,物理位置相同的数据业务系统通常设置一个集中防护节点。在集中防护节点内部,根据安全域最大化原则,通过部署核心交换设备连接不同系统的相同类型子安全域,整合形成大的安全域,集中设置内部互联出口和互联网出口。整合后的外部网络、各安全域及其内部的安全子域之间满足域间互联安全要求,整个节点共享入侵检测、防火墙等安全防护手段,实现集中防护。
(2)跨节点整合互联网传输接口
在具备传输条件的前提下,将现有集中防护节点的互联网出口整合至互备的一个或几个接口,多个集中防护节点共享一个互联网传输出口。通过核心路由器连接位置不同的集中防护节点,并将网络中的流量路由到整合后的接口。各节点可以保留自己的互联网接口区,或者进一步将互联网接口区集中到整合后的接口位置。
在安全域划分及边界整合中,根据安全域最大化原则,多个安全子域会被整合在一个大的安全域内。同时,根据域间互联安全要求和最小化策略,这些安全子域之间不能随意互联,必须在边界实施访问控制策略。
3 数据业务系统的安全防护策略
3.1 安全域边界的保护原则
(1)集中防护原则:以安全域划分和边界整合为基础,集中部署防火墙、入侵检测、异常流量检测和过滤等基础安全技术防护手段,多个安全域或子域共享手段提供的防护;
(2)分等级防护原则:根据《信息系统安全保护等级定级指南》和《信息系统等级保护安全设计技术要求》的指导,确定数据业务业务系统边界的安全等级,并部署相对应的安全技术手段。对于各安全域边界的安全防护应按照最高安全等级进行防护;
(3)纵深防护原则:通过安全域划分,在外部网络和核心生产区之间存在多层安全防护边界。由于安全域的不同,其面临的安全风险也不同,为了实现对关键设备或系统更高等级防护,这就需要根据各边界面临的安全风险部署不同的安全技术及策略。
3.2 安全技术防护部署
对于数据网络,一般安全防护手段有防火墙、防病毒系统、入侵检测、异常流量检测和过滤、网络安全管控平台(包含综合维护接入、账号口令管理和日志审计模块)等5类通用的基础安全技术。下面以数据业务系统安全域划分和边界整合为基础,进行安全技术手段的部署。
(1)防火墙部署:防火墙是可以防止网络中病毒蔓延到局域网的一种防护安全机制,但只限制于外部网络,因此防火墙必须部署在互联网接口区和互联网的边界。同时,对于重要系统的核心生产区要构成双重防火墙防护,需要在核心交换区部署防火墙设备。由于安全域内部互联风险较低,可以复用核心交换区的防火墙对内部互联接口区进行防护,减少防火墙数量,提高集中防护程度。
(2)入侵检测设备的部署:入侵检测主要通过入侵检测探头发现网络的入侵行为,能够及时对入侵行为采取相应的措施。入侵检测系统中央服务器集中部署在网管网中,并控制部署在内部互联接口区和互联网接口区之间的入侵检测探头,及时发现入侵事件。同时安全防护要求较高的情况下,将入侵检测探头部署在核心交换区,通过网络数据包的分析和判断,实现各安全子域间的访问控制。
(3)防病毒系统的部署:防病毒系统采用分级部署,对安全域内各运行Windows操作系统的设备必须安装防病毒客户端,在内部互联接口子域的内部安全服务区中部署二级防病毒控制服务器,负责节点内的防病毒客户端。二级服务器由部署在网管网中的防病毒管理中心基于策略实施集中统一管理。
(4)异常流量的检测和过滤:为了防御互联网病毒、网络攻击等引起网络流量异常,将异常流量检测和过滤设备部署在节点互联网接口子域的互联网边界防火墙的外侧,便于安全管理人员排查网络异常、维护网络正常运转、保证网络安全。
(5)网络安全管控平台:网络安全管控平台前置机接受部署在数据业务系统网管网内的安全管控平台核心服务器控制,部署在各集中防护节点的内部互联接口区的安全服务子域中,实现统一运维接入控制,实现集中认证、授权、单点登录及安全审计。
(6)运行管理维护:安全工作向来三分技术、七分管理,除了在安全域边界部署相应的安全技术手段和策略外,日常维护人员还要注重安全管理工作。一方面,对安全域边界提高维护质量,加强边界监控和系统评估;另一方面,要从系统、人员进行管理,加强补丁的管理和人员安全培训工作,提高安全意识,同时对系统及服务器账号严格管理,统一分配。
4 结语
由于通信技术的快速发展, 新业务和新应用系统越来越多,主机设备数量巨大,网络日益复杂,服务质量要求也越来越高。通过安全域的划分,构建一个有效可靠的纵深防护体系,同时优化了数据业务系统,提高网络运维效率,提高IT网络安全防护等级,保证系统的顺畅运行。
参考文献
篇3
信息技术的发展给人们的生活带来了天翻地覆的变化,计算机网络已经融入了人们的日常生活中,改变着也同时方便了生活和工作。在人们对信息网络的需求和依赖程度与日俱增的今天,网络安全问题也越来越突出。因此,全面的分析影响网络安全的主要原因,有针对性的提出进行网络安全保护的相关对策具有十分重要的意义。Internet的的两个重要特点就是开放性和共享性,这也是导致开放的网络环境下计算机系统安全隐患产生的原因。随着对网络安全问题研究的不断深入,逐渐产生了不同的安全机制、安全策略和网络安全工具,保障网络安全。
计算机网络安全事实上是一门涉及多学科理论知识的综合性学科,主要包括计算机科学、网络技术、密码技术、通信技术、数论、信息安全技术和信息论等多种不同学科。网络安全防护是从硬件和软件两方面保护系统中的数据,使其免受恶意的入侵、数据更改和泄露、系统破坏,以保证系统能够正常的连续运行,网络不被中断。
2 计算机网络面临的安全威胁
网络面临的安全威胁也是各种各样,自然灾害、网络系统自身的脆弱性、误操作、人为的攻击和破坏等都是网络面临的威胁。
2.1 自然灾害
计算机网络也是由各种硬件搭建而成,因此也是很容易受到外界因素的影响。很多计算机安放空间都缺乏防水、防火、防震、防雷、防电磁泄露等相关措施,因此,一旦发生自然灾害,或者外界环境,包括温度、湿度等,发生剧烈变化时都会破化计算机系统的物理结构。
2.2 网络自身脆弱性
(1)计算机网络的基础设施就是操作系统,是所有软件运行的基础和保证。然而,操作系统尽管功能强大,具有很强的管理功能,但也有许多不安全因素,这些为网络安全埋下了隐患。操作系统的安全漏洞容易被忽视,但却危害严重。除操作系统外,其他软件也会存在缺陷和漏洞,使计算机面临危险,在网络连接时容易出现速度较慢或死机现象,影响计算机的正常使用。
(2)计算机网络的开放性和自由性,也为攻击带来了可能。开放的网络技术,使得物理传输线路以及网络通信协议也成为网络攻击的新目标,这会使软件、硬件出现较多的漏洞,进而对漏洞进行攻击,严重的还会导致计算机系统严重瘫痪。
(3)计算机的安全配置也容易出现问题,例如防火墙等,一旦配置出现错误,就无法起到保护网络安全的作用,很容易产生一些安全缺口,影响计算机安全。加之现有的网络环境并没有对用户进行技术上的限制,任何用户可以自由的共享各类信息,这也在一定程度上加大了网络的安全防护难度。
很多网民并不具有很强的安全防范意识,网络上的账户密码设置简单,并且不注意保护,甚至很多重要账户的密码都比较简单,很容易被窃取,威胁账户安全。
2.3 人为攻击
人为的攻击是网络面临的最大的安全威胁。人为的恶意攻击分为两种:主动攻击和被动攻击。前者是指采取有效手段破坏制定目标信息;后者主要是为了获取或阻碍重要机密信息的传递,在不影响网络正常的工作情况下,进行信息的截获、窃取、破译。这两种攻击都会导致重要数据的泄露,对计算机网络造成很大的危害。黑客们会利用系统或网络中的缺陷和漏洞,采用非法入侵的手段,进入系统,窃听重要信息,或者通过修改、破坏信息网络的方式,造成系统瘫痪或使数据丢失,往往会带来严重不良影响和重大经济损失。
计算机病毒是一种人为开发的可执行程序,具有潜伏性、传染性、可触发性和严重破坏性的特点。一般可以隐藏在可执行文件或数据文件中,不会被轻易发现,也就使计算机病毒的扩散十分迅速和难以防范,在文件的复制、文件和程序运行过程中都会传播。触发病毒后可以迅速的破坏系统,轻则降低系统工作效率,重则破坏、删除、改写文件,使数据丢失,甚至会破坏系统硬盘。平时在软盘、硬盘、光盘和网络的使用中都会传播病毒。近年来也出现了的很多恶性病毒,例如“熊猫烧香病毒”等,在网络上迅速传播,产生了十分严重的不良后果。
除病毒之外,垃圾邮件和间谍软件等也会威胁用户的隐私和计算机安全。
3 网络安全防护措施
3.1 提高安全防护技术手段
计算机安全防护手段主要包括防火墙技术、加密技术、访问控制和病毒防范等。总的来说,提高防护手段,主要是从计算机系统管理和物理安全两方面着手。
计算机网络安全,首先要从管理着手,一是对于使用者要进行网络安全教育,提高自我防范意识。二是要依靠完整的网络安全管理制度,严格网络执法,打击不法分子的网络犯罪。另外,要加强网络用户的法律法规意识和道德观念,减少恶意攻击,同时传播网络防范基本技能,使用户能够利用计算机知识同黑客和计算机病毒等相抗衡。
物理安全是提高网络安全性和可靠性的基础。物理安全主要是网络的物理环境和硬件安全。首先,要保证计算机系统的实体在安全的物理环境中。网络的机房和相关的设施,都有严格的标准和要求要遵循。还要控制物理访问权限,防止未经授权的个人,有目的的破坏或篡改网络设施。
3.2 完善漏洞扫描设施
漏洞扫描是一种采取自动检测远端或本地主机安全的技术,通过扫描主要的服务端口,记录目标主机的响应,来收集一些特定的有用信息。漏洞扫描主要就是实现安全扫描的程序,可以在比较短的时间内查出系统的安全脆弱点,从而为系统的程序开发者提供有用的参考。这也能及时的发现问题,从而尽快的找到解决问题的方法。
4 结束语
经过本文的分析,在通讯技术高速发展的今天,计算机网络技术也不断的更新和发展,我们在使用网络的同时,也要不断加强计算机网络安全防护技术。新的应用会不断产生,网络安全的研究也必定会不断深入,以最大限度地提高计算机网络的安全防护技术,降低网络使用的安全风险,实现信息平台交流的安全性和持续性。
参考文献
[1]赵真.浅析计算机网络的安全问题及防护策略[J].上海工程技术学院教育研究,2010,(03):65-66.
篇4
1.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.构建企业网络安全防护体系
2.1企业网络安全防护体系构建目标
结合企业网络的安全目标、使用主体、性质等因素,合理划分企业逻辑子网,对不同的逻辑子网设置不同的安全防护体系,加强网络边界控制和安全访问控制,保持区域之间的信任关系,构建企业网络安全防护体系,实现网络安全目标:第一,将大型的、复杂的企业网络安全问题转化为小区域的、简单的安全防护问题,有效控制企业网络系统风险,提高网络安全;第二,合理划分企业网络安全域,优化网络架构,实现企业网络安全设计、规划和入网;第三,明确企业网络各个区域的安全防护难点和重点,加大安全设备投入量,提高企业网络安全设备的利用率;第四,加强企业网络运行维护,合理部署企业网络的审计设备,提供全面的网络审核和检查依据,为企业构建网络安全防护体系提供重要参考。
2.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。首先,根据业务需求,可以将企业网络分为两部分:外网和内网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
2.3基于入侵检测的动态防护
随着网络技术的快速发展,企业网络面临的安全威胁也不断发生变化,网络攻击手段日益多样化,新病毒不断涌现,因此企业网络安全防护体系构建应适应网络发展和变化,综合考虑工作人员、防护策略、防护技术等多方面的因素,实现基于入侵检测的动态防护。基于入侵检测的动态防护主要包括备份恢复、风险分析、应急机制、入侵检测和安全防护,以入侵检测为基础,一旦检测到企业网络的入侵威胁,网络系统立即启动应急机制,如果检测到企业网络系统已经受到损坏,可利用备份恢复机制,及时恢复企业网络设置,确保企业网络的安全运行。通过动态安全防护策略,利用动态反馈机制,提高企业网络的风险评估分析能力和主动防御能力。
2.4分层纵深安全防护策略
企业网络安全防护最常见的是设置防火墙,但是网络安全风险可能存在于企业网络的各个层次,防火墙的安全防护作用比较有限。企业网络可采用分层纵深安全防护策略,保障网络安全防护的深度和广度,构建高效、综合、全面的安全防护体系,对于企业网络中的应用层、数据层、系统层、网络层和物理层分别采用信息保护、应用系统安全防护、数据库安全防护、操作系统安全防护、网络保护、物理安全保护等防护手段,根据不同网络系统的特点,有针对性地进行安全防护,例如,在网络层可利用资源控制模块和访问控制模块,加强对网络节点的访问控制,在企业网络的应用层和数据层设置身份授权和认证系统,避免用户的违规操作和越权操作。又例如,由于网络环境比较复杂,可在企业网络的应用层、数据层和系统层,设置网络监控和检测模块,保护企业网络的服务器,防止权限滥用和误操作。
篇5
网络信息安全与计算机安全防护系统的开发与发展。随着我国改革开发程度的不断加深,网络信息技术已经全面融入到人们的生活中了,并且在网络技术进步的同时,计算机各种程序的开发运用随之进步,嵌入式的计算机程序与软件在网络用户中广泛传播,通过编程与计算将网络运营商的计算机软件系统应用于个人计算机中,大大方便了网络用户的使用,减少了在搜索以及缓冲上所浪费的时间,是网络发展的一个里程碑。但是随着时间的流失,这种计算机软件编程中存在的问题暴露出来,严重影响了计算机网络信息安全,需要人们进行反思与思考。
2、分析影响我国计算机网络信息安全的问题与现象
2.1互联网本身存在着威胁,影响计算机安全防护功能。互联网本身作为一个用户交流体验平台,是开放式的交流系统,本身的安全维护系统很薄弱,对现有的互联网威胁很难起到根本性的作用,使得网络危险威胁到了网络用户的计算机。互联网的网络协议在设计时的目的只是为了进行更方便的用户体验,而对互联网本身方面考虑不全。随着网络技术的快速发展,网络协议的漏洞也随之显现出来,互联网的用户急剧增加,导致网络用户信息膨胀,不良信息与病毒流入到用户的计算机中,严重威胁到了计算机网络信息安全。
2.2网络用户不注意对计算机安全防护系统的日常使用与维护,影响了计算机安全防护系统的正常使用。网络与计算机安全防护系统的主体是广大网络用户们,因为用户的不同心理与需求,使得用户在计算机安全防护系统界面中的操作行为也是各种各样的,部分用户的行为就会造成对计算机安全防护系统的严重伤害。而且用户的行为是难以预测的,在计算机安全防护系统系统的使用过程中,总会有难以预测的情况发生,导致计算机安全防护系统的部分功能丧失,直接造成计算机网络信息安全受到威胁。
3、探究应对网络信息安全问题的防护对策
3.1完善计算机安全防护系统的技术手段。个人计算机安全防护系统的技术系统,包括网络用户的访问控制程序,网络用户个人信息的加密程序,防毒防火墙技术程序,以及扫描漏洞的防漏程序。通过这几项技术能够很好的管理与保护用户的计算机网络信息安全。
用户访问控制程序,是计算机安全防护系统进行安全维护的第一项功能,它能够辨别用户是否有资格使用该计算机安全防护系统,通过对网络用户身份的验证,确定是否是正常使用,对保护用户的个人使用功能起到了很好的作用,并且从源头很好的实现了对计算机安全防护系统的管理与控制,从根本上保证了计算机网络信息安全。
计算机安全防护系统的信息加密技术,这是应对网络黑客对个人计算机的网络信息进行盗窃的一种安全手段,通过在计算机安全防护系统中实施加密技术,可以防止计算机中用户的实用信息遗漏,保护了用户体验的私密性,防止不法分子对计算机网络信息安全的破坏,保护了用户的计算机,是非常稳固与常用计算机网络信息安全防护手段。
反毒防火墙技术,这是在网络安全与计算机安全防护系统卫士中最常用的管理手段,是真正将计算机安全防护系统的使用与外部互联网分割的网关,是保护计算机安全防护系统使用正常的重要手段,能够时刻监控越过防火墙的病毒与不良信息,保护计算机安全防护系统免受病毒的侵害,可以说反毒与防火墙技术是保护计算机网络信息安全的重要技术,让计算机安全防护系统做到独立存在。最后是计算机安全防护系统自带的漏洞防护扫描的技术,在计算机安全防护系统运转到一定的程度与时间时,计算机安全防护系统的自身会受到一些损坏,出现管理bug,这时要进行计算机安全防护系统的漏洞扫描,并对出现的bug进行修复,保护计算机安全防护系统的核心完整,提高网络用户的信息安全程度。
3.2加强对计算机安全防护系统的周期性检查与维护管理。计算机安全防护系统在运行过程中进行不断地运算与运行,在经过一段时间后,自身的系统会出现bug与错误,影响计算机安全防护系统的使用,所以要通过对计算机安全防护系统的周期性管理与更新,来达到有效管理计算机安全防护系统的目的。网络用户在使用计算机安全防护系统的过程中要认识到,周期性的维护会完善计算机安全防护系统的使用,满足网络用户的网络需求,所以日常使用计算机安全防护系统的过程中,定时清理垃圾与缓存,是很好的维护手段,是保证计算机安全防护系统正常使用的重要手段,也是保障计算机网络信息安全的重要渠道。
4、结束语
现如今的计算机技术与多媒体信息技术飞速发展,人们对于计算机安全防护系统的了解与认识也得到了大幅度的提高,但是网络管理与维护问题是影响计算机网络信息安全的一大障碍。近年来这类问题愈发严重,我们必须要做好对计算机安全防护系统的各种安全措施与维护手段,保证计算机安全防护系统的正常使用。
【参考文献】
篇6
1.2网络管理制度缺位
就管理制度而言,现阶段网络管理缺少一套整体适用的系统方案,在标准方面往往各自为政,大多数情况下都是根据各自需要选择相应的安全手段,从而形成一个配合并不密切的整体。这样如同临时七拼八凑起来的结构,自然无法面对无处不在无从预防的网络侵袭。虽然部分企业从全局出发进行安全技术设计,但是软件和硬件本身的隔离,以及国家在系统软件方面的力不从心,导致其自身的努力并不能完全实现。要完全改变现状,就要从整体上重新设计架构,尽量明确管理,确定责任,并完善自身的防御功能,以缓解危机。
1.3网络对应安全策略缺乏
现阶段已正式建立了计算机网络安全体系,但其应变不及时,在安全体系遭到破坏之后,恢复和修复工作不甚理想。而事先预防的难度又太大,难以完全做到防患未然。因此,企图依靠预防来进行完全控制并不现实,而完全依靠恢复和补救的方式又比较被动。应急性的方案并不多,可以操作的临时安全系统也缺乏实用性。“第二道防线”的建立,还需要付出更多的努力。对应的安全策略缺乏,还体现在面对各类不同的网络侵袭行为时,由于相关的安全防护手段有其特定的安全防护范围,不得不依靠多种安全技术互相堆叠,而这些技术可能会互相冲突,或者导致其中一部分失效,从而影响安全技术的整体应用和各个部分的有效发挥。
1.4局域网的开放性漏洞
局域网是建立在资源共享的基础上的,因此其安全防护并没有互联网那样严密,但是由于准入机制过于疏松,导致内部数据很容易被混进来的操作混乱和遗失。如局域网很容易被网络钓鱼者接入,然后窃取和篡改其资料,造成巨大的损失。总体来说,要在建设局域网的时候加强其端口的准入设计,对于连接外网的情况,要有足够的审核方式来进行筛选和控制。
2网络安全技术的发展前景
当前网络技术存在的缺陷是“道高一尺魔高一丈”的状况的体现,被动的安全技术对主动的破解技术而言是处于劣势状态的。但这并不会影响到网络安全技术的发展前景,正因为面临着更多安全威胁,才会刺激网络安全技术的进一步发展,从而实现更高的飞跃。
2.1安全防护模式进入智能控制阶段
网络安全技术的发展是在收集数据、分析防御方式、寻找问题的过程中逐步发展起来的,现阶段由于仅限于归纳已有的问题,而陷入被动的窘境之中。随着网络的进一步优化,相信计算机的智能化会带动安全技术的智能化,从而自动的进行最优选择。而随着未来完善的NGN网络的建立,相信这样的控制并非虚妄之言。
篇7
1医院信息化建设中的常见安全隐患
1.1技术因素
医院信息化建设中,会广泛的涉及到服务器、客户端、链路、软件系统、存储与网络设备等多种构成元素。医院信息化建设有效的提升了整体的诊疗水平,提高工作效率与便捷性,但是网络安全问题也日益突出,相关信息资源的泄露或者系统攻击都极大的威胁了信息化建设的有序开展。在安全管理中,物理性环境安全、操作系统安全、数据备份安全等都是网络系统建设的常见安全问题。而常规性的运用防火墙以及其他防病毒操作都无法有效的保证信息化平台的安全性,容易引发数据泄露、损坏与丢失,进而干扰了医院正常工作运转,甚至也对患者个人信息构成泄露,急需要通过更强的防护技术来做保障。对于部分医院而言,会简单的认为设置一定安全防火墙就可以保障系统的安全性,甚至认为不需要其他安全防护来做安全保障,这主要是安全防护工作中缺乏与时俱进的先进意识,认识误区较为明显。而防火墙只是防护手段中的一种,能够防御性的安全问题较为局限,对网络内部与旁路攻击都无法达到理想的防护效果,同时针对内容攻击的问题也无法处理。部分设备中只是对攻击行为进行警告,但是并不具备攻击行为的防控能力。在数据库升级中,可以到数据库做用户操作登录记录,可以达到操作源IP地址的定位,但是缺乏无法阻止其做恶性操作,例如对数据信息做恶意的窃取与篡改,甚至无法认定操作人员最终责任,因为账户登录只需要账户与密码就可以进行,但是这种登录操作任何掌握信息的人都可以进行,无法达到全面的管控。此外,安全防护措施工作量大,操作复杂。在做IP与MAC地址绑定中,需要管理人员针对每台交换机做操作,对绑定信息做逐条的输入,工作负荷相对更大,操作缺乏高效便捷性。其次,如果有人懂得相关网络基础技术,可以轻易的做到IP与MAC地址的变更,从而引发绑定操作失效。此外,医院主机装备了杀毒软件,然而由于数量较多,不能有效的对每个主机做杀毒软件的统一性管控,对于病毒库的更新以及软件的开启等情况都无法做有效确定,相应的系统补丁也不能及时有效更新,进而导致安全防护效果不能确定。虽然医院投入大量的财力与人力做好安全防护措施处理,但是实际上缺乏可执行性,同时由于各设备间缺乏关联性,从而对于实际效果无法做有效评估与管控,安全防护措施与手段的运用则流于形式。
1.2人为因素
医院信息化建设更多的操作需要人为进行,因此人为因素是网络安全管理的重要因素。医院没有将网络安全明确到人,缺乏责任制管理,无论是安全管理人员还是普通工作人员,缺乏足够的安全管理意识。没有形成规范合理的信息系统建设制度规范,导致实际操作无章可循。没有强效的安全检查与监督机制,同时也没有专业的第三方机构做安全性介入管理。相关工作人员缺乏专业资质认定,对于网络安全没有展开合宜的宣传教育,同时也缺乏对应工作与行为考核,导致工作人员缺乏应有的安全责任观念。因为工作人员缺乏安全意识与专业的安全能力,会出现将个人电脑接入医院内部网络,从而导致病毒携带入网,导致相关信息化系统运行故障。或则将医疗业务网络电脑与互联网、外网连通,导致相关网络中的病毒、木马程序进入到医院的内部网络,导致网络病毒蔓延。工作人员会因为有职务的便利性,会访问医院有关数据库,从而得到数据资料的窃取与篡改,进而导致相关经济损失。同时黑客会通过技术手段接入到医院内部网络中,进行直接性的网络攻击,医院与医保网络系统处于连通数据验证操作所需,如果被攻击则容易导致严重后果。
2医院信息化建设中的网络安全防护
2.1完善管理制度
医院网络运行保持安全性效果的基础在于完善健全的制度管理,可以通过对医院实际情况的了解,设置针对性安全管理操作制度、监督制度、用人制度、激励制度等多种内容。确保所有有关工作的开展有章可循,提升操作的标准性、可执行性。要不断的强化制度的权威性,让工作人员对此保持谨慎态度,避免安全疏忽。
2.2安全管理细节措施
医院网络管理需要多方面的细节措施来保证。例如为了保证服务器能够可靠稳定的持续工作,需要运用双机容错与双机热备对应方案,对于关键性设备需要运用UPS来达到对主备机系统的有效供电,确保供电电压持续稳定供应,同时避免突发事件。网络架构方面,需要将主干网络链路采用冗余模式,这样如果出现部分线路故障,其余的冗余线路可以有效继续支持整个网络的运转。需要运用物理隔离处理来对相关信息数据传输设备保持一定的安全防护,避免其他非专业人员或者恶意破坏人员对设备进行破坏,需要做好业务内网与外网连通的隔离,避免网络混合后导致的攻击影响或者信息泄露。对于医院内部的信息内容,需要做好数据与系统信息的备份容灾体系构建,这样可以有效的在机房失火或者系统运行受到破坏时快速的恢复系统运行。要展开网络系统的权限设置,避免违规越权操作导致系统信息数据的修改有着窃取,要做好数据库审计日志,对于相关数据做动态性的跟踪观察与预警。
2.3技术手段升级
在网络安全防护措施上需要保持多样化与多层次的防护管理,积极主动的寻找管理漏洞,有效及时的修补管理不足。对网络设备做好杀毒软件的有效管控,建立内外网间的防火墙,限制网络访问权限,做好网络攻击预警与防护处理。对于网络系统各操作做有效记录跟踪,最安全漏洞做到及时发现并修复。要投入足够人力与财力,优化工作人员技术水平,从而有效的保证技术手段的专业完善性。
结束语
医院信息化建设中网络安全需要医院所有人员的配合,提升安全意识,规范安全管理制度与行为,确保网络安全的有序进行。
参考文献
[1]李骞.医院信息化建设中的网络安全与防护措施探析[J].网络安全技术与应用,2015(9):43,45.
篇8
烟草企业;网络安全防护;体系建设
随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。
1威胁烟草企业网络信息体系安全的因素
受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。
1.1人为因素
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。
1.2软硬件因素
网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
1.3结构性因素
烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2烟草企业网络安全防护体系建设现状
烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。
2.1业务应用集成整合不足
不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。
2.2信息化建设特征不够明显
网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。
2.3安全运维保障能力不足
缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。
3加强烟草企业网络安全防护体系建设的策略
烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。
3.1遵循网络防护基本原则
烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。
3.2合理确定网络安全区域
烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。
3.3大力推行动态防护措施
根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。
3.4构建专业防护人才队伍
人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。
3.5提升员工安全防护意识
技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。
4结语
烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。
参考文献:
[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).
篇9
1、网络安全的概念。网络安全是指网络系统中的各个部件、软件以及数据的安全,它是通过对网络信息的存储、传输和使用的过程实现,包含两个方面,一是物理安全,即保障网络设备的安全,使其能够正常稳定地提供网络服务;二是逻辑安全,即保证在网络中存储和传输的信息的安全性。2、影响网络安全的因素。网络安全在现实生活会受到很多因素的影响,其中有人为的和自然的因素,包括系统配置不当,计算机病毒木马,软件漏洞等,均会对网络安全造成极大的危害。
二、网络安全防护
网络安全防护是一种网络安全技术,该技术致力于解决有效进行介入控制,保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
针对网络上各种安全问题和隐患,为了最大程度的减小损失,可以采用如下技术进行网络安全防护。
1、防火墙技术。防火墙是一种由软件和硬件结合构成的将内部网络与公用网络分隔开的隔离系统,用来在两个网络之间进行接入控制,从而可以防止非法用户访问和修改内部网络的数据,可以有效的将网络分隔开,确保内部网络安全。
2、数据加密技术。为了提高网络中传输的数据和信息的安全性,可以采用数据加密技术对重要的数据进行加密,防止机密信息被窃取泄露,其中常采用对称加密和非对称加密对信息进行加密算法,从而实现对数据信息的加密保护。
3、入侵检测技术。通过入侵检测技术,可以对网络系统中的几个节点进行检测,通过分析采集的数据信息,判断网络中是否有不安全操作行为及是否遭到攻击。入侵检测系统对网络的监测不会影响网络的正常运行,它能实时地对网络进行检测从而及时采取防护手段保护网络安全。
4、网络扫描技术。通过网络扫描技术,可以对复杂网络进行扫描从而发现网络系统中的安全漏洞,并及时对发现的漏洞进行相应的处理,采取必要的措施。网络扫描技术可以强化网络系统,是一种主动的防御策略,通过对网络系统的强化来防止网络安全受到侵害。
5、虚拟专用网。虚拟专用网(VPN)是一种在一定网络协议基础上,公网中逻辑上独立的专用网,通过虚拟专用网,用户可以通过公网中的虚拟专线实现数据的传输,从而保障了传输数据的安全性。
6、病毒防护技术。随着网络的发展,病毒的传播也变得更加迅速,对网络和计算机具有巨大危害。
三、思科网络安防系统
思科作为一家世界500强企业,作为一个在互联网解决方案提供领域的佼佼者,十分重视网络安全及防护,其用户遍及世界各地各大企业,领域涉及各个行业,可见其网络安防系统的安全可靠性。
1、思科的网络安全设计架构。安全域要在五个层次上隔离,即物理上隔离、逻辑上隔离、策略上隔离、应用上隔离、准入上隔离。而对网络安全域的划分需要对网络系统中各个设备进行集成化、模块化并实现阶梯式安全。
2、思科自防御网络。思科自防御网络是针对网络中的攻击和威胁进行识别、主动防御和应对的新型网络战略,通过三个阶段实现对网络的安全防护。(1)集成化的安全系统。(2)协作化的安全系统。(3)智能化的自适应安全系统。
3、思科SMB级安全网络平台。采用了思科自防御网络安全的组件,思科的SMB级安全网络平台还具备成本较低的优势,非常适合一些中小企业使用,这一经济有效的方案保证了连通性、简洁性、安全性以及可扩展性,能够帮助企业优化其运营,提升企业竞争力。
四、结语
计算机和网络的扩大与普及已成为不可逆转的趋势,而网络中影响网络安全和稳定的因素也必将随之不断增加,人们越来越开始重视网络中数据信息的安全可靠性,因此网络安全防护的重要地位将得到进一步显现。
参考文献
篇10
篇11
目前,国内对电子图书馆的使用还处于较低层次,人们在使用电子图书馆的过程中,过于注重电子图书馆的便利性和实用性,对相关安全防护工作不够重视,导致一些图书馆的信息处于开放状态,相关网络病毒很容易进入,严重时会导致整个管理系统瘫痪。因此,采取合理有效的措施对电子图书馆进行防护是很有必要的。
1.数字图书馆计算机网络的安全防护技术的基本概念
所谓数字图书馆计算机网络的安全防护技术,就是采取相应的预防手段确保数字图书馆内部的组成部分不受病毒等有害物质损坏,从而确保各个程序有效运行,且在相关数据信息传播过程中,数据信息不被盗取或者阻碍等。
数字图书馆计算机网络的安全防护技术具有以下几方面特点:(1)保密性,所有相关信息在储存、传输及浏览过程中,不被外界因素侵害;(2)完整性,确保信息数据在传输过程中不被非法途径损坏;(3)实用性,电子图书馆主要作用就是给人们提供快捷服务,因此,要确保相关数据信息具有很强的实用性。
2.数字图书馆计算机网络存在的安全问题
2.1病毒传播带来的安全问题
网络病毒作为计算机系统最大的危害因素之一,一旦系统被病毒入侵就会导致相关数据损坏或者丢失。此外,网络病毒还可以入侵电子图书馆的硬盘,并且可以盗取或者破坏硬盘内储存的相关数据信息,从而阻碍计算机网络系统正常运作。病毒的入侵还会导致信息数据传输异常,从而影响人们的正常工作。
2.2非法破坏电子图书馆系统
一些不法分子利用不正当的手段对电子图书馆系统进行破坏,对硬盘内储存的信息进行修改和盗取,严重时会对相关系统进行破坏,因此采用相应的预防措施是很有必要的。
3.数字图书馆安全防护措施
3.1采用预防病毒的安全防护技术
现阶段对数字图书馆危害最严重的就是网络病毒,因此,使用一些杀毒软件或者防火墙,是进行电子图书馆网络保护的主要手段。此外,还可以安装反病毒装置,从而提升电子图书馆的安全性能,并且对相关数据信息进行二次储备,避免不安全情况发生。
3.2数字图书馆数据信息安全防护措施
数字图书馆数据信息安全防护措施主要可以从以下几方面进行:
(1)使用安全加密算法,把重要相关数据信息转换为密码文本,这样即使数据信息在传递过程中被拦截,也很难进行破译,确保数据传递的安全性。加密算法又被简单地分为相应密匙加密算法和显示密匙加密算法,相应密匙加密算法较为简单,指加密和解密采用相同的算法,一般使用在对数据信息要求不高的行业;显示密匙加密算法比较复杂,加密和解密使用不同算法,因此,被广泛使用在大型企业中。电子图书馆一般使用相应密匙加密算法。
(2)随着信息计算不断发展,国内已经研究出信息伪装安全防护技术,对不法分子可以进行攻击,还可以避免电子图书馆信息数据被破坏,简单来说就是将相关文本、图片等相关信息进行隐藏,从而达到预防保护的目的。
(3)水印安全防护技术,在信息数据传输过程中,可以将相关信息数据隐藏在水印中,从而起到保护作用。
3.3数字图书馆网络安全防护技术
现阶段最流行的就是网络防火墙,可以对电子图书馆的网页进行监督和管理。网络防火墙具有监督管理电子图书馆信息不受侵害,并且可以在非法手段干扰数据传输时,对传输的信息流量进行控制,尽可能控制在预期传输轨道上。网络安全防火墙能够阻止外来危险源的攻击,不管是在系统内部,还是外部都可以起到监管作用,对电子图书馆的持续稳定运行有很大帮助。
3.4用户安全防护措施
图书馆的主要作用就是为人服务,确保用户准确及时地获得相关网络数据信息。用户的安全防护措施有以下两个方面:
(1)对用户的身份进行注册和鉴别,避免非法手段危害用户的合法权益。
(2)对用户进行安全危害等级划分,简单来说就是根据用户的威胁等级进行划分。现阶段使用的用户安全认证手段较为简单,很容易被非法手段入侵,因此,提升用户认证标准是很重要的。
结语
现阶段影响数字图书馆的安全因素较多。因此,为了确保数字图书馆能够安全有效地为人们服务,对数字图书馆计算机网络采取相应安全防护手段很有必要。
参考文献:
篇12
一、网络安全概述
(一)网络安全的基本概念
网络安全包括物理安全和逻辑安全。对于物理安全,需要加强计算机房管理,如门卫、出入者身份检查、下班锁门以及各种硬件安全手段等预防措施;而对于后者,则需要用口令、文件许可和查帐等方法来实现。
(二)网络面临的主要攻击
⑴ 缓冲区溢出。
⑵ 远程攻击。
⑶ 口令破解。
⑷ 超级权限。
⑸ 拒绝服务(DDOS)。
二、安全需求
通过对网络系统的风险分析,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性: 授权实体有权访问数据。
机密性: 信息不暴露给未授权实体或进程。
完整性: 保证数据不被未授权修改。
可控性: 控制授权范围内的信息流向及操作方式。
可审查性:对出现的安全问题提供依据与手段。
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
三、网络安全防护策略
个人建议采用如下的安全拓扑架构来确保网站的安全性,其中我们主要采用以下五项高强度的安全防护措施:如图3-1所示:
(一)层层布防
从上图中,我们可以看到,我们将安全层次划分为四个层次,不同的层次采用不同的策略进行有效的安全防护。
第一个层次,是外部Internet,是不能有效确定其安全风险的层次,我们的安全策略就是要重点防护来自于第一个层次的攻击。
第二个层次,是通过路由器后进入网站的第一个安全屏障。该层主要由防火墙进行防护和访问控制,防火墙在安全规则上,只开放WWW,POP3,SMTP等少数端口和服务,完全封闭其他不必要的服务端口,阻挡来自于外部的攻击企图。同时,为了反映防火墙之内的实际安全状态,部署网络入侵检测系统(IDS)。入侵检测系统可以检测出外部穿过防火墙之后的和网络内部经过交换机对外的所有数据流中,有无非法的访问内网的企图、对WWW服务器和邮件服务器等关键业务平台的攻击行为和内部网络中的非法行为。对DDOS攻击行为及时报警,并通过与防火墙的联动及时阻断,网络遭受DDOS攻击。
第三个层次,是一个中心网络的核心层,部署了网络处置中心的所有重要的服务器。在该层次中,部署了网站保护系统,防范网页被非法篡改。
此外,还部署网络漏洞扫描系统,定期或不定期的对接服务器区进行漏洞扫描,帮助网管人员及时了解和修补网络中的安全漏洞。这种扫描服务可以由网络安全管理人员完成,或者由安全服务的安全厂商及其高级防黑客技术人员完成。
第四个层次,是网络安全中心网络的数据存储中心,放置了数据库服务器和数据库备份服务器。在该层次中,部署了防火墙,对数据库的访问通过防火墙进行过滤,保证数据的安全性。
(二)多种防护手段
我们设计的高强度安全防护措施,包括多种防护手段,即有静态的防护手段,如防火墙,又有动态的防护手段,如网络IDS、网络防病毒系统。同时,也考虑到了恢复和响应技术,如网站保护和恢复系统。不同的防护手段针对不同的安全需求,解决不同的安全问题,使得网络防护过程中不留安全死角。
(三)防火墙系统
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在此次的网络系统安全建设完成后,防火墙将承担起对合法地址用户的路由和对私网地址用户的地址转换任务(NAT),同时,将根据需要对进出访问进行控制。防火墙可将网络分成若干个区域,Trust(可信任区,连接内部局域网),Untrust(不信任区,连接Internet ),DMZ(中立区,连接对外的WEB server、e-Mail server 等)之后,还可以由客户自行定义安全区域。
(四)网络入侵检测系统的作用
通过使用网络入侵检测系统,我们可以做到:发现谁在攻击网络:解决网络防护的问题(网络出入口、DMZ、关键网段)。了解接网络如何被攻击:例如,如果有人非法访问服务器,需要知道他们是怎么做的,这样可以防止再次发生同样的情况。IDS可以提供攻击特征描述,还可以进行逐条的记录回放,使网络系统免受二次攻击。
处置中心网络的内部危险:放置在网络中的IDS会识别不同的安全事件。减轻潜在威胁:可以安装在特定的网络中,确定依具体情况而定的或是所怀疑的威胁,通过策略阻断和其它安全产品进行全面防护。事后取证:从相关的事件和活动的多个角度提供具有标准格式的独特数据。实现安全事件来源追查。 DDOS攻击防范:通过实时监控网络流量,及时发现异常流量并报警,通过和防火墙联动,对DDOS攻击进行阻断。
四、安全服务
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。由于这方面相对比较复杂、篇幅所限,在此就不累述了,有兴趣读者可以另行查阅相关资料。
五、总结
毫无疑问,安全是一个动态的问题。在做未来的计划时,既要考虑用户环境的发展,也要考虑风险的发展,这样才能让安全在操作进程中占有一席之地。最谨慎、最安全的人会将他们的信息放在屋子里锁好,妥善地保护起来。归纳起来,对网络安全的解决方案从人员安全、物理层安全、边界安全、网络安全、主机安全、应用程序和数据安全这几方面入手即可。上述几个方面做好之后,我们就可以让一个网络系统:
进不来: 通过物理隔离等手段,阻止非授权用户进入网络。
拿不走: 使用屏蔽、防下载机制,实现对用户的权限控制。
读不懂: 通过认证和加密技术,确信信息不暴露给未经授权的人或程序。
改不了: 使用数据完整性鉴别机制,保证只有允许的人才能修改数据。
走不脱: 使用日志、安全审计、监控技术使得攻击者不能抵赖自己的行为。
参考文献:
[1]沈昌祥.信息安全纵论[M].武汉:湖北科学技术出版社.2002年版.
篇13
计算机网络运行环境为确保计算机网络机房安全稳定运行而提供的适宜的环境称之为计算机网络运行环境。其中涉及到很多方面,如机房的空气纯净度以及温湿度等,并且能够确保供电可靠性,能有效避免因突然断电而导致的网络设备损坏,如果其中任意一项出现问题的话,就很容易对整个网络的安全运行产生影响[3]。建立健全机房安全保卫机制对确保计算机机房安全稳定运行有着重要意义,从实际情况来看,未能够严格落实机房管理规定很容易导致计算机机房出现安全问题,比如由于某些用户误碰机房硬件设备而造成的设备连通性问题;或者因网络设置被人为更改而造成网络安全程度有所下降。此外,网络设备和电缆被盗而造成的机房瘫痪事件也不容忽视,基于此,对计算机网络硬件运行环境进行必要的维护是确保计算机安全运行的重要举措。
计算机网络设备通常情况下,路由器、集线器、服务器中的硬盘阵列以及交换机等硬件设备共同构建了局域网。因此上述各部件能否正常运行直接关系到计算机网络能否安全运行。第一,必须确保计算机网络结构科学合理,这样就能够采取优化网络结构措施使计算机网络健壮性进一步增强,同时还能够对交换机和集线器等硬件设备进行科学合理的设置,以便实现网络安全运行。第二,目前最为常见的网络电缆非双绞线莫属,因此双绞线水晶头制作质量的高低对计算机网络能否正常运行有直接影响[4]。第三,电磁干扰也会影响到计算机网络运行安全,所以在布控网线过程中,应确保同强电线路间保持足够的安全距离。第四,作为局域网中最为重要的硬件设备之一,服务器上磁盘安全性的高低也会对网络运行安全产生直接影响。另外,机房设备是否可靠接地对其能否正常运行也起着不可忽视的作用。
计算机软件存在的安全问题计算机软件主要有两部分组成,一部分是计算机操作系统,另一部分为应用软件。windows、linux和unix是当下常用的三种计算机操作系统,但无论哪种操作系统都存在不同程度的安全漏洞,正是由于这些安全漏洞的存在才为木马和病毒等形式的非法入侵提供了机会,如果未针对这些漏洞及时采取相应的安保措施,很容易对计算机网络运行安全带来致命打击[5]。windows的PRC漏洞、溢出漏洞等是目前较为常见的几种漏洞,一些恶意攻击者经常会利用这些漏洞攻击计算机操作系统,进而使操作系统出现故障。同时,操作系统体系结构所存在的缺陷也是影响网络安全的主要因素,操作系统内部由各个功能不同的模块所组成,如果其中任意一个模块出现问题都会导致计算机系统瘫痪。此外,应用软件以及数据库等方面存在的安全漏洞也会成为非法攻击者破坏计算机网络安全的主要途径,所以加强应用软件以及数据库的安全维护对计算机网络安全可靠运行有重要意义。
计算机网络病毒所谓计算机网络病毒指的是恶意攻击者在计算机程序中植入或编制的能够对计算机数据和功能产生破坏作用,从而对计算机的正常使用功能产生影响,并具备自我复制功能的一组程序代码或计算机指令。传染性、破坏性和复制性是计算机网络病毒的主要特点。以传播途径为依据可以将计算机网络病毒分为两大类,分别为邮件型病毒和漏洞型病毒。网络电子邮件是邮件类病毒的主要传播途径,这类病毒会伪装成用户容易点击的虚假信息隐藏在附件内,一旦用户点击隐藏病毒的附件,就会使这类病毒趁虚而入。微软windows操作系统存在的安全漏洞是漏洞型病毒的主要传播途径。如果用户未及时对发现的windows系统漏洞进行修补,漏洞型病毒很可能会趁此机会非法入侵该用户的计算机。
计算机网络安全的防范对策
网络安全与网络系统息息相关,要想确保计算机网络能够安全稳定运行,应从以下几方面着手。
管理安全对策作为计算机安全运行的重中之重,管理问题尤为重要。人是操作计算机系统的主体,因此人为操作失误也是影响网络安全运行的主要因素之一。基于此,必须建立健全网络管理机制,只有实现人为操作规范化管理,才能够有效避免人为操作失误安全隐患。此外,还应采取有效措施提高计算机管理人员的安全防护意识,并制定一套行之有效的网络安全应急防护方案。
计算机系统的安全对策随着网络时代的到来,计算机信息技术也得到了飞速发展,不过随之而来的是计算机病毒的传播也呈现出多样化趋势,要想确保计算机网络运行的安全可靠性,不仅仅要进一步提升广大计算机用户的安全防护意识,更为重要的是加大对计算机病毒的防护力度。常见的计算机系统安全防护手段主要有以下几方面:计算机用户不要随意打开或进入具有欺骗性的邮件或网站;加强对计算机病毒防护知识的学习,及时发现并解决计算机异常问题,以便有效预防计算机病毒攻击,确保计算机系统安全稳定运行。另外,对于一旦遭受病毒攻击就会造成巨大经济损失或其它损失的网络用户而言,应及时做好系统备份工作。
计算机实体的物理防护对策计算机物理安全很容易被人们所忽视,事实上,包括计算机硬件以及通信线路等在内的一些实体设备的安全防护也会对计算机系统安全运行产生直接影响,如果这些实体设备出现不同程度的故障,很可能会导致网络安全隐患。为有效预防雷电和强电对网络系统的干扰,技术人员往往通过增设避雷设备解决该问题,并利用电磁屏蔽技术有效避免电磁泄漏现象的出现,与此同时,还应做好对计算机设备的日常维护工作,确保防火、防震、防静电以及防尘等措施全部落实到位,为计算机系统安全可靠运行提供有力保障。
网络控制对策加强对网络的有效控制是确保网络安全的主要手段。(1)对网络设置访问权限。为有效解决因人为非法操作所造成的网络安全隐患问题,应对网络设置访问权限。加强入网控制是目前较为常见的网络控制手段,例如用户实名制登录、身份验证、口令验证等等。另外,还应对用户以及用户组的访问权限进行合理设置。(2)加强网络防火墙的控制。防火墙技术是保障网络安全的重要技术手段。该技术主要是通过对内网和外网进行有效隔离,并对这两个网络通信时的访问尺度进行有效控制来确保网络安全。过滤防火墙和防火墙是当前常见的防火墙技术:①过滤防火墙:利用路由器来阻挡外网对内网的非法入侵是过滤防火墙的主要作用。②防火墙:服务器技术是防火墙的最核心技术,服务器会对外部网络向内网发送的数据和请求进行过滤,只有符合过滤规则的数据才会被传递至真实的服务器,这样能够有效预防非法数据的传输。虽然防火墙技术能够进一步增强网络的安全可靠性,但该技术也无法确保网络的绝对安全,其自身也会面临被计算机病毒入侵的安全隐患,基于此,我们应将防火墙技术与其它安全防护技术有机结合在一起,从而使计算机网络安全得到进一步提升。
