緒論:在尋找寫作靈感嗎��?愛發(fā)表網(wǎng)為您精選了8篇簡述網(wǎng)絡安全的定義,愿這些內(nèi)容能夠啟迪您的思維���,激發(fā)您的創(chuàng)作熱情��,歡迎您的閱讀與分享!
篇1
【關鍵詞】3G通信�����;網(wǎng)絡安全����;維護技術����;措施
3G無線技術是目前信息技術的核心����,通信產(chǎn)業(yè)是世界經(jīng)濟發(fā)展的領軍力量,也是未來國與國之間經(jīng)濟競爭的重要部分�����。3G在我國經(jīng)濟發(fā)展中具有重要意義�����,抓住3G發(fā)展的歷史性機遇�����,實現(xiàn)跨越式發(fā)展���。作為擁有全球最大移動通信市場的中國�,應抓住這一契機����,提升我國通信產(chǎn)業(yè)的國際競爭力�。
一��、3G技術基本特點
按照目前3G標準來分析���,其網(wǎng)絡特征主要體現(xiàn)在無線接口技術上�。蜂窩移動通信系統(tǒng)的無線技術包括小區(qū)復用���、多址/雙工方式�、應用頻段�����、調(diào)制技術��、射頻信道參數(shù)���、信道編碼及技術��、幀結構、物理信道結構和復用模式等諸多方面��。縱觀3G無線技術演變��,一方面它并非完全拋棄了2G��,而是充分借鑒了2G網(wǎng)絡運營經(jīng)驗�����,在技術上兼顧了2G的成熟應用技術��,另一方面���,根據(jù)IMT-2000確立的目標���,未來3G系統(tǒng)所采用無線技術應具有高頻譜利用率、高業(yè)務質(zhì)量�����、適應多業(yè)務環(huán)境��,并具有較好的網(wǎng)絡靈活性和全覆蓋能力����。
二���、通信網(wǎng)絡安全的重要性
可以從不同角度對網(wǎng)絡安全作出不同的解釋。一般意義上�����,網(wǎng)絡安全是指信息安全和控制安全兩部分���。國際標準化組織把信息安全定義為“信息的完整性�、可用性���、保密性和可靠性”�;控制安全則指身份認證��、不可否認性�、授權和訪問控制。
當今社會����,通信網(wǎng)絡的普及和演進讓人們改變了信息溝通的方式,通信網(wǎng)絡作為信息傳遞的一種主要載體�����,在推進信息化的過程中與多種社會經(jīng)濟生活有著十分緊密的關聯(lián)。這種關聯(lián)一方面帶來了巨大的社會價值和經(jīng)濟價值��,另一方面也意味著巨大的潛在危險——一旦通信網(wǎng)絡出現(xiàn)安全事故�,就有可能使成千上萬人之間的溝通出現(xiàn)障礙����,帶來社會價值和經(jīng)濟價值的無法預料的損失。
三���、通信網(wǎng)絡安全現(xiàn)狀分析
1��、計算機系統(tǒng)及網(wǎng)絡固有的開放性����、易損性等特點使其受攻擊不可避免�。計算機病毒的層出不窮及其大范圍的惡意傳播,對當今日愈發(fā)展的社會網(wǎng)絡通信安全產(chǎn)生威脅�。 現(xiàn)在企業(yè)單位各部門信息傳輸?shù)牡奈锢砻浇椋蟛糠质且揽科胀ㄍㄐ啪€路來完成的����,雖然也有一定的防護措施和技術,但還是容易被竊取。通信系統(tǒng)大量使用的是商用軟件����,由于商用軟件的源代碼,源程序完全或部分公開化���,使得這些軟件存在安全問題��。
2�、針對計算機系統(tǒng)及網(wǎng)絡固有的開放性等特點�,加強網(wǎng)絡管理人員的安全觀念和技術水平,將固有條件下存在的安全隱患降到最低�����。安全意識不強��,操作技術不熟練��,違反安全保密規(guī)定和操作規(guī)程��,如果明密界限不清�����,密件明發(fā),長期重復使用一種密鑰��,將導致密碼被破譯��,如果下發(fā)口令及密碼后沒有及時收回����,致使在口令和密碼到期后仍能通過其進入網(wǎng)絡系統(tǒng)���,將造成系統(tǒng)管理的混亂和漏洞�。為防止以上所列情況的發(fā)生�����,在網(wǎng)絡管理和使用中�,要大力加強管理人員的安全保密意識。
3��、軟硬件設施存在安全隱患���。為了方便管理����,部分軟硬件系統(tǒng)在設計時留有遠程終端的登錄控制通道,同時在軟件設計時不可避免的也存在著許多不完善的或是未發(fā)現(xiàn)的漏洞(bug)���,加上商用軟件源程序完全或部分公開化���,使得在使用通信網(wǎng)絡的過程中,如果沒有必要的安全等級鑒別和防護措施����,攻擊者可以利用上述軟硬件的漏洞直接侵入網(wǎng)絡系統(tǒng),破壞或竊取通信信息��。
4�����、傳輸信道上的安全隱患����。如果傳輸信道沒有相應的電磁屏蔽措施,那么在信息傳輸過程中將會向外產(chǎn)生電磁輻射���,從而使得某些不法分子可以利用專門設備接收竊取機密信息����。另外,在通信網(wǎng)建設和管理上���,目前還普遍存在著計劃性差�����。審批不嚴格�,標準不統(tǒng)一����,建設質(zhì)量低�����,維護管理差�����,網(wǎng)絡效率不高�,人為因素干擾等問題。因此���,網(wǎng)絡安全性應引起我們的高度重視�。
四、通信網(wǎng)絡安全維護措施及技術
1�����、核心網(wǎng)元(MGW����、RNC等設備)的負荷安全及路由保護
隨著3G應用的普及,用戶行為發(fā)生了改變�,從單純的語音、彩信���、短信需求����,逐步過渡到語音�����、數(shù)據(jù)業(yè)務��、個性化應用等多種需求�����,對網(wǎng)絡的容量和負荷要求更高,在3G無線網(wǎng)絡規(guī)劃�、建設和維護過程中,要結合用戶新行為���,結合話務模型進行適度的網(wǎng)絡擴容���、優(yōu)化和調(diào)整,以適應我們的網(wǎng)絡變化����,做到網(wǎng)絡安全平穩(wěn)。
2����、防火墻技術
在網(wǎng)絡的對外接口采用防火墻技術����,在網(wǎng)絡層進行訪問控制。通過鑒別�,限制,更改跨越防火墻的數(shù)據(jù)流����,來實現(xiàn)對網(wǎng)絡的安全保護��,最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡���,防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息�����。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制�,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以��,防火墻是網(wǎng)絡安全的重要一環(huán)���。
3�、入侵檢測技術
防火墻保護內(nèi)部網(wǎng)絡不受外部網(wǎng)絡的攻擊�,但它對內(nèi)部網(wǎng)絡的一些非法活動的監(jiān)控不夠完善,IDS(入侵檢測系統(tǒng))是防火墻的合理補充�,它積極主動地提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護�����,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵,提高了信息安全性���。
4�、網(wǎng)絡加密技術
加密技術的作用就是防止公用或私有化信息在網(wǎng)絡上被攔截和竊取�����,是網(wǎng)絡安全的核心���。采用網(wǎng)絡加密技術�,對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝實現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄?����、完整性���,它可解決網(wǎng)絡在公網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩詥栴}也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題���。
5�����、身份認證技術
提供基于身份的認證,在各種認證機制中可選擇使用��。通過身份認證技術可以保障信息的機密性���、完整性��、不可否認性及可控性等功能特性�。
6�����、虛擬專用網(wǎng)(VPN)技術
通過一個公用網(wǎng)(一般是因特網(wǎng))建立一個臨時的����、安全的連接,是一條穿過混亂的公用網(wǎng)絡的安全����、穩(wěn)定的隧道。它通過安全的數(shù)據(jù)通道將遠程用戶��、公司分支機構��、公司業(yè)務伙伴等跟公司的內(nèi)網(wǎng)連接起來�����,構成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡的存在���,仿佛所有的機器都處于一個網(wǎng)絡之中��。
7���、漏洞掃描技術
面對網(wǎng)絡的復雜性和不斷變化的情況,僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞�����、做出風險評估��,顯然是不夠的��,我們必須通過網(wǎng)絡安全掃描工具���,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患�。在要求安全程度不高的情況下����,可以利用各種黑客工具,對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞��。
為了實現(xiàn)對非法入侵的監(jiān)測����、防偽、審查和追蹤�����,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛(wèi)措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網(wǎng)絡系統(tǒng)權限分級���,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽���,從而達到網(wǎng)絡分級機制的效果;“網(wǎng)絡授權”通過向終端發(fā)放訪問許可證書防止非授權用戶訪問網(wǎng)絡和網(wǎng)絡資源�����;“數(shù)據(jù)保護”利用數(shù)據(jù)加密后的數(shù)據(jù)包發(fā)送與訪問的指向性����,即便被截獲也會由于在不同協(xié)議層中加入了不同的加密機制,將密碼變得幾乎不可破解��;“收發(fā)確認”用發(fā)送確認信息的方式表示對發(fā)送數(shù)據(jù)和收方接收數(shù)據(jù)的承認,以避免不承認發(fā)送過的數(shù)據(jù)和不承認接受過數(shù)據(jù)等而引起的爭執(zhí)�����;“保證數(shù)據(jù)的完整性”���,一般是通過數(shù)據(jù)檢查核對的方式達成的��,數(shù)據(jù)檢查核對方式通常有兩種��,一種是邊發(fā)送接收邊核對檢查��,一種是接收完后進行核對檢查��;“業(yè)務流分析保護”阻止垃圾信息大量出現(xiàn)造成的擁塞����,同時也使得惡意的網(wǎng)絡終端無法從網(wǎng)絡業(yè)務流的分析中獲得有關用戶的信息�����。為了實現(xiàn)實現(xiàn)上述的種種安全措施�����,必須有技術做保證,采用多種安全技術�,構筑防御系統(tǒng)。
五���、結束語
總之,在遭受著網(wǎng)絡信息帶來的一些危害的同時�����,只有相關部門制定完善的法律體系����,擁有安全的技術才可以保證網(wǎng)絡的安全,進一步促進網(wǎng)絡通信的發(fā)展���。
參考文獻:
篇2
關鍵詞:三網(wǎng)合一�����;企業(yè)數(shù)據(jù)庫�;安全策略
中圖分類號:TP315 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-01
Enterprise Database Security Policies under the Tri-networks Integration Situation
Liu Yuan
(Wuhan Economic Development Investment Corporation,Wuhan430015,China)
Abstract:Triple play in the context of enterprise database security issues become increasingly prominent,the paper on enterprise database for triple-play situation,the security environment changes and analyze security threats,and the corresponding security policy.
Keywords:Tri-networks Integration;Enterprise database;Security policy
一��、三網(wǎng)合一安全問題簡述
三網(wǎng)合一也稱為三網(wǎng)融合����,我國最早是在2001年十五計劃綱要中明確提出來的����,而現(xiàn)在正在為階段性的試點時期����,并已經(jīng)成為最熱門的技術和熱門話題之一。
通俗來說�����,三網(wǎng)融合就是在電信網(wǎng)����、電視網(wǎng)和互聯(lián)網(wǎng)技術趨于一致的發(fā)展趨勢下,打破各自界限���,在網(wǎng)絡層面資源共享����、業(yè)務層面互相滲透和逐步融合的一種新型的信息服務監(jiān)管體系��。而其權威的官方定義,來自2010年《關于印發(fā)國務院關于印發(fā)推進三網(wǎng)融合總體方案的通知》�,三網(wǎng)融合:“是指電信網(wǎng)、廣播電視網(wǎng)����、互聯(lián)網(wǎng)在向?qū)拵ㄐ啪W(wǎng)、數(shù)字電視網(wǎng)�、下一代互聯(lián)網(wǎng)演進過程中,其技術功能趨于一致�,業(yè)務范圍趨于相同���,網(wǎng)絡互聯(lián)互通�、資源共享����,能為用戶提供語音、數(shù)據(jù)和廣播電視等多種服務����。”
三網(wǎng)合一的安全問題大體可以分為網(wǎng)絡安全與信息內(nèi)容安全兩個層次:網(wǎng)絡安全主要是解決網(wǎng)絡系統(tǒng)的可用�����、穩(wěn)定及可控��,保證網(wǎng)絡系統(tǒng)的正常可靠運行����,防護惡意行為、保護合法用戶���,其威脅主要來自網(wǎng)絡系統(tǒng)軟硬件非正常狀態(tài)�����、惡意攻擊���、安全漏洞等;信息內(nèi)容安全主要是解決數(shù)據(jù)信息的完整�、保密、真實和可控�,防止信息內(nèi)容泄露、竊取或篡改��,其威脅主要來自隱私信息盜用���、不良信息傳播��、知識產(chǎn)權保護等等��。
三網(wǎng)合一安全問題的兩個層次也是互相滲透互相影響的�����。對于企業(yè)數(shù)據(jù)庫來說��,在三網(wǎng)合一的形勢下���,其安全問題的重點主要是信息安全��。
二��、三網(wǎng)合一形勢下企業(yè)數(shù)據(jù)庫安全分析
(一)企業(yè)數(shù)據(jù)安全環(huán)境的變化。對于傳統(tǒng)的移動通信和廣播電視來說����,其承載業(yè)務單一,參與的主體也較單純��,因此具有相對清晰的安全邊界���,其所要面臨的安全問題也大多是自身領域內(nèi)的問題�。而在三網(wǎng)合一的形勢下,高速互聯(lián)網(wǎng)�、移動網(wǎng)絡和廣播電視網(wǎng)絡進行融合,各種業(yè)務都會混雜在一起��。由于傳統(tǒng)互聯(lián)網(wǎng)絡在物理和邏輯上并沒有進行很好的隔離���,使得三網(wǎng)融合的參與主體呈現(xiàn)復雜性����,既包括網(wǎng)絡運維人員����,也包括社會大眾,其安全特點呈現(xiàn)出明顯的無網(wǎng)絡邊界的特征���。
而且在三網(wǎng)合一的背景下��,大多數(shù)企業(yè)也必會順應科技的發(fā)展��,在企業(yè)戰(zhàn)略的選擇上可能會傾向于多業(yè)務運營��。充分利用三網(wǎng)合一的便捷�����,應用互動電視�����、網(wǎng)絡接入�����、企業(yè)專線����、IP語音等多種技術,為企業(yè)發(fā)展增添新的活力和途徑���。而企業(yè)的各項核心業(yè)務都會承載于其核心的數(shù)據(jù)庫系統(tǒng)����,一旦企業(yè)的數(shù)據(jù)庫系統(tǒng)出現(xiàn)安全問題�����,后果不可想象����。可以說�,網(wǎng)絡的開放性和無國界性,既給參與其中的企業(yè)提供了機遇��,但也對其數(shù)據(jù)信息的安全管理提出了新的要求�����。
(二)企業(yè)數(shù)據(jù)庫安全威脅�����。對于企業(yè)來說�,尤其是一些大企業(yè),其信息網(wǎng)絡往往結構龐雜��,業(yè)務應用也是多種多樣���。三網(wǎng)融合的背景下���,企業(yè)的業(yè)務應用可能會涉及到業(yè)務審批系統(tǒng)、電子報文系統(tǒng)�����、企業(yè)管理系統(tǒng)、網(wǎng)絡服務系統(tǒng)�、企業(yè)數(shù)據(jù)庫的后臺管理系統(tǒng)、運營業(yè)務管理系統(tǒng)��、寬帶系統(tǒng)及軟硬件系統(tǒng)等等�。而這些系統(tǒng)的核心就是企業(yè)數(shù)據(jù)庫。
對于企業(yè)管理系統(tǒng)的管理和操作人員來說�����,他們所面臨的最大挑戰(zhàn)就是怎樣有效的管理和監(jiān)控企業(yè)核心數(shù)據(jù)庫系統(tǒng)�,同時要面臨如何規(guī)范企業(yè)員工的網(wǎng)絡行為等一系列問題。而一旦在某方面出現(xiàn)漏洞�,對于一些關鍵的應用保障機制,管理措施和管理手段跟不上的話�����,企業(yè)的數(shù)據(jù)庫庫可能會得不到有效���、合理的運用����,造成企業(yè)數(shù)據(jù)庫系統(tǒng)效率低下�����、運維出現(xiàn)問題���,甚至會引發(fā)一系列安全問題:一是對于企業(yè)核心數(shù)據(jù)庫的非法操作��。包括對企業(yè)數(shù)據(jù)庫的登錄��、注銷��,以及對于數(shù)據(jù)庫中的數(shù)據(jù)表的插入�����、修改����、刪除操作���。二是對于數(shù)據(jù)庫安全事件反映不及時�����。對于違反數(shù)據(jù)庫安全策略的事件����,做不到及時響應、追蹤和取證�����。三是對于數(shù)據(jù)庫異常事件不能預警和快速定位���。四是企業(yè)網(wǎng)絡異常�。而對于這種異常的原因��,管理人員卻無法分析和判斷�����。
三�����、三網(wǎng)合一形勢下企業(yè)數(shù)據(jù)庫安全策略
(一)網(wǎng)絡層面的常規(guī)維護策略�。三網(wǎng)合一的背景下,企業(yè)數(shù)據(jù)庫不可避免會面對網(wǎng)絡開放�����,網(wǎng)絡系統(tǒng)的安全是企業(yè)數(shù)據(jù)庫安全的第一道屏障����。而企業(yè)數(shù)據(jù)庫也會面臨網(wǎng)絡入侵的威脅,企業(yè)信息系統(tǒng)的機密性�����、完整性和可用性都會面臨考驗�。因此,在網(wǎng)絡層面的安全策略應該著重于以下幾點:一是以防火墻技術作為企業(yè)數(shù)據(jù)庫系統(tǒng)的第一道防線�,包括數(shù)據(jù)包過濾器、和狀態(tài)分析等�����,但因其只是用事先設定的規(guī)則來攔截信息流的進出�����,故此防火墻無法阻攔來自網(wǎng)絡內(nèi)部的非法操作���;二是應用入侵檢測技術�,監(jiān)控網(wǎng)絡系統(tǒng)是否被入侵或濫用,包括網(wǎng)絡簽名�、統(tǒng)計和數(shù)據(jù)完整性分析,但獨立的入侵監(jiān)測系統(tǒng)存在運作上的不足����;三是可采用協(xié)作式入侵監(jiān)測技術,組件見自動交換信息��,可用于各種網(wǎng)絡環(huán)境�����。
(二)數(shù)據(jù)庫內(nèi)部信息安全策略�����。企業(yè)數(shù)據(jù)庫內(nèi)部信息安全策略主要包括以下幾點:一是加密數(shù)據(jù)庫���,這是企業(yè)數(shù)據(jù)庫安全的關鍵手段�����,可以避免被繞過數(shù)據(jù)庫安全機制而直接訪問數(shù)據(jù)庫�����,可不受密鑰長度限制��,但不能采用一般通用的加密技術�����,而必須針對企業(yè)數(shù)據(jù)庫的特點�,使用相應的加密方法和密鑰管理方法�;二是采用數(shù)據(jù)分級控制的策略,根據(jù)安全要求和數(shù)據(jù)重要程度定義密級�����,如公用級���、秘密級�����、機密級��、絕密級等����,并對不同權限用戶設置相應級別,使系統(tǒng)能夠?qū)崿F(xiàn)“信息流控制”����,避免非法信息流動;三是當數(shù)據(jù)庫遭到破壞時���,要有可靠的數(shù)據(jù)庫備份數(shù)據(jù)用以恢復���,使系統(tǒng)快速恢復系統(tǒng)運行。嚴格的數(shù)據(jù)備份與恢復管理�,是保障企業(yè)數(shù)據(jù)庫系統(tǒng)安全的有效手段。備份可以分為硬件級和軟件級�����,而其恢復可以通過磁盤鏡像���、備份文件和在線日志等方法����。
四����、結語
需要注意的是��,三網(wǎng)合一對于企業(yè)數(shù)據(jù)庫來說�,從單體����、獨立防御走向整體聯(lián)合防御已經(jīng)是安全解決方案的大勢所趨。企業(yè)必須要能夠預見風險和問題���,制定出適合自己數(shù)據(jù)庫安全維護的具體策略���。
參考文獻:
篇3
關鍵詞:網(wǎng)絡信息;安全;防火墻; VPN;訪問控制
由于信息系統(tǒng)本身的脆弱性和復雜性,大量的信息安全問題也伴隨著計算機應用的拓展而不斷涌現(xiàn)�����。病毒傳播�、黑客入侵、網(wǎng)絡犯罪等安全事件的發(fā)生頻率逐年升高,危害性也越來越大���。如何構建醫(yī)療系統(tǒng)級的信息安全體系,保護醫(yī)療系統(tǒng)的利益和信息資產(chǎn)不受侵害,為醫(yī)療系統(tǒng)發(fā)展和業(yè)務經(jīng)營提供有力支撐,為用戶提供可信的服務,已成為各醫(yī)療系統(tǒng)當前迫切需要解決的問題��。
1醫(yī)療系統(tǒng)信息安全技術
1.1防病毒
隨著計算機媒體的不斷出現(xiàn),電子郵件�����、盜版光盤���、壓縮文件���、上載下載軟件等已經(jīng)取代軟盤,成為傳播計算機病毒的主要途徑,而且也使計算機病毒的寄宿和傳播變得更加容易。世界上計算機病毒現(xiàn)已達5萬多種,并且還在以每月300多種的速度增加,成為威脅醫(yī)療系統(tǒng)信息安全的主要因素之一��。醫(yī)療系統(tǒng)可從以下幾方面進行病毒的防范:
(1)隔離法,計算機網(wǎng)絡最突出的優(yōu)點就是信息共享和傳遞,這一優(yōu)點也給病毒提供了快速傳播的條件,使病毒很容易傳播到網(wǎng)絡上的各種資源,若取消信息共享而采取隔離措施,可切斷病毒的傳播途徑��。但此方法是以犧牲網(wǎng)絡的最大優(yōu)點來換取,因此只能在發(fā)現(xiàn)病毒隱患時使用�����。
(2)分割法,將用戶分割成不能互相訪問的子集,由于信息只能在一定的區(qū)域中流動,因此建立一個防衛(wèi)機制,病毒不會在子系統(tǒng)之間相互傳染����。
(3)選用高效的防病毒軟件,利用防病毒軟件進行計算機病毒的監(jiān)測和清除是目前廣泛采用的方法。
(4)及時升級防病毒軟件,防病毒軟件不同于其它應用軟件,它不具備主動性,需要實時追蹤新的病毒,因此要不斷更新病毒樣本庫和掃引擎,這樣才能查,查殺新的病毒�����。
1.2防火墻
防火墻 (Firewall)技術是抵抗黑客入侵和防止未授權訪問的最有效手段之一,也是目前網(wǎng)絡系統(tǒng)實現(xiàn)網(wǎng)絡安全策略應用最為廣泛的工具之一�����。防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障,以防止發(fā)生不可預測的、潛在破壞性的侵入,可有效地保證網(wǎng)絡安全���。它是指設置在不同網(wǎng)絡(如可信任的醫(yī)療系統(tǒng)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合����。它可通過監(jiān)測�、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息�����、結構和運行狀況,以此來實現(xiàn)網(wǎng)絡的安全保護����。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動,保證內(nèi)部網(wǎng)絡的安全����。
1.3網(wǎng)絡入侵檢測
隨著網(wǎng)絡技術的發(fā)展,網(wǎng)絡環(huán)境變得越來越復雜,網(wǎng)絡攻擊方式也不斷翻新。對于網(wǎng)絡安全來說,單純的防火墻技術暴露出明顯的不足和弱點,許多攻擊(如DOS攻擊,會偽裝成合法的數(shù)據(jù)流)可以繞過通常的防火墻,且防火墻因不具備實時入侵檢測能力而對病毒束手無策�����。在這種情況下,網(wǎng)絡的入侵檢測系統(tǒng)(Intrusion detection system, IDS)在網(wǎng)絡的整個安全系統(tǒng)解決方案中就顯示出極大作用���。它可以彌補防火墻的不足,為網(wǎng)絡安全提供實時的入侵檢測及采取相應的防護手段��。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作,保證網(wǎng)絡安全的運行�����。
1.4數(shù)據(jù)加密技術
與防火墻技術相比,數(shù)據(jù)信息加密技術比較靈活,更加適用于開放網(wǎng)絡���。數(shù)據(jù)加密主要用于對動態(tài)信息的保護���。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊,我們注意到,對于主動攻擊,雖無法避免,但卻可以有效的檢測(如IDS);而對于被動攻擊,雖無法檢測,但卻可以避免,而實現(xiàn)這一切的基礎就是數(shù)據(jù)加密技術。
數(shù)據(jù)加密實質(zhì)上是對以符號為基礎的數(shù)據(jù)進行移位和置換的變換算法,這種變換是受稱為密鑰的符號串控制的,加密和解密算法通常是在密鑰控制下進行的���。完成加密和解密的算法稱為密碼體制��。密碼體制有對稱密鑰密碼技術和非對稱密鑰密碼技術����。
1.5身份認證技術
身份識別是用戶向系統(tǒng)出示自己身份證明的身份證明過程,身份認證是系統(tǒng)查核用戶身份證明的過程����。這兩項工作統(tǒng)稱為身份驗證。是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)�。
1.6訪問控制
訪問控制是提供信息安全保障的主要手段和安全機制,被廣泛地應用于防火墻����、文件訪問�、VPN及物理安全等多個方面。
訪問控制是信息安全保障機制的核心內(nèi)容,它是實現(xiàn)數(shù)據(jù)保密性和完整性機制的主要手段�。訪問控制是為了限制訪問主體(或稱為發(fā)起者,是一個主動的實體;如用戶、進程�、服務等),對訪問客體(需要保護的資源)的訪問權限,從而使計算機系統(tǒng)在合法范圍內(nèi)使用;訪問控制機制決定用戶及代表一定用戶利益的程序能做什么,以及做到什么程度。
2網(wǎng)絡安全技術在醫(yī)療系統(tǒng)中的應用
醫(yī)療系統(tǒng)網(wǎng)絡安全是一個綜合性的課題,涉及技術���、管理����、使用等許多方面,既包括網(wǎng)絡本身的安全問題,也有物理的和邏輯的技術措施����。只有通過明晰的安全策略、先進的技術措施以及高素質(zhì)的網(wǎng)絡管理人才構建一個由安全策略���、防護、加密�、備份、檢測����、響應所組成的中小醫(yī)療系統(tǒng)網(wǎng)絡安全體系,才能完整�、實時地保證醫(yī)療系統(tǒng)網(wǎng)絡環(huán)境中信息的完整性和正確性�����。
2.1網(wǎng)絡邊界的信息安全
在內(nèi)�、外部網(wǎng)絡實施隔離的是以防火墻為主的入侵防御體系。它可以通過分析進出網(wǎng)絡的數(shù)據(jù)來保護內(nèi)部網(wǎng)絡���。是保障數(shù)據(jù)和網(wǎng)絡資源安全的強有力的手段����。它可以實現(xiàn)以下三個功能:
(1)連接內(nèi)部網(wǎng)絡和外部網(wǎng)絡;
(2)通過外部網(wǎng)絡來連接不同的內(nèi)部網(wǎng)絡;
(3)保護內(nèi)部網(wǎng)絡數(shù)據(jù)的完整性和私有性����。
在實際的策略制訂時主要從三個方面來提高網(wǎng)絡信息的安全性,即數(shù)據(jù)過濾、數(shù)據(jù)加密和訪問控制����。通過防火墻的安全規(guī)則進行數(shù)據(jù)過濾,通過對發(fā)往外部網(wǎng)絡的數(shù)據(jù)進行加密來保護數(shù)據(jù)的私有性。訪問控制限制訪問內(nèi)部網(wǎng)絡的系統(tǒng)資源,限制對敏感數(shù)據(jù)的存取(讀��、寫、執(zhí)行)���。而整個網(wǎng)絡數(shù)據(jù)的傳輸安全可以分為:
(1)主機和防火墻之間的數(shù)據(jù)安全;
(2)防火墻之間的數(shù)據(jù)安全;
(3)主機和主機之間的數(shù)據(jù)安全,即發(fā)送數(shù)據(jù)者和接收數(shù)據(jù)者之間的安全�����。
2.2內(nèi)部網(wǎng)絡的數(shù)據(jù)信息安全
在實現(xiàn)醫(yī)療系統(tǒng)內(nèi)部網(wǎng)絡安全時主要從兩方面來考慮:網(wǎng)絡安全和主機安全����。網(wǎng)路安全主要考慮網(wǎng)絡上主機之間的訪問控制,防止來自外部的入侵,保護網(wǎng)絡上的數(shù)據(jù)在傳輸時不被篡改和泄露����。主機安全是保護合法用戶對授權資源的使用,防止非法用戶對于系統(tǒng)資源的侵占和破壞。其實現(xiàn)的結構模型如圖1:
使得系統(tǒng)對網(wǎng)絡的保護貫穿于網(wǎng)絡層��、傳輸層和應用層����。在各個不同的層次中實施不同的安全策略。
網(wǎng)絡層:通過對數(shù)據(jù)包頭的分析,基于源地址����、目的地址、源端口��、目的端口和協(xié)議來實現(xiàn)訪問控制.也可以通過工PSEC進行加密傳輸�。
傳輸層:實現(xiàn)加密的傳輸。
應用層:實施嚴格的訪問控制手段,安裝殺毒軟件并及時更新�。
2.3安全接入
虛擬專用網(wǎng)絡(VPN)被定義為通過一個公共網(wǎng)絡建立的一個臨時的安全的連接,是一條穿越混亂的公共網(wǎng)絡的安全、穩(wěn)定的隧道,它是對醫(yī)療系統(tǒng)內(nèi)部網(wǎng)絡的擴展�。VPN可以幫助遠程用戶、醫(yī)療系統(tǒng)的分支機構�、合作伙伴醫(yī)療系統(tǒng)的內(nèi)部網(wǎng)絡建立可信任的安全接入。它可以提供數(shù)據(jù)加密,以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露;信息認證和身份認證,保證信息的完整性�、合法性,并能鑒別用戶的身份;提供訪問控制,不同的用戶具有不同的權限。
3結束語
由于網(wǎng)絡安全產(chǎn)品�、計算機硬軟件是發(fā)展的,病毒和黑客技術也在發(fā)展,所以網(wǎng)絡安全是動態(tài)的,因此,網(wǎng)絡和信息安全應是技術和管理的綜合。醫(yī)療系統(tǒng)除了采取一些技術安全措施外,還應針對內(nèi)部用戶進行網(wǎng)絡安全教育,建立健全各種管理制度,對威脅和破壞醫(yī)療系統(tǒng)信息和數(shù)據(jù)安全的行為嚴肅處理����。同時加強網(wǎng)絡和系統(tǒng)管理員隊伍的建設和培訓,加強網(wǎng)絡系統(tǒng)和數(shù)據(jù)庫的維護,及時彌補漏洞,監(jiān)控來自醫(yī)療系統(tǒng)外部的各種攻擊和入侵行為,發(fā)現(xiàn)異常馬上采取措施。定期對醫(yī)療系統(tǒng)網(wǎng)和關鍵數(shù)據(jù)進行安全評估,并有針對性的制定安全防護策略��、制定管理規(guī)章制度��。
參考文獻
[1] 瞿坦.計算機網(wǎng)絡原理及應用基礎.華中理工大學出版
社,2005(09)
[2] 賈筱景,肖輝進,基于防火墻的網(wǎng)絡安全技術.達縣師范
高等?��?茖W校學報,2005 (02)
[3] 鐘福訓.網(wǎng)絡安全方案探討.齊魯石油化工,2004(04)
[4] ?����;郾?李駿仁. 醫(yī)療系統(tǒng)內(nèi)部網(wǎng)絡信息安全與防御對
策分析. 電腦知識與技術, 2007(20)
篇4
關鍵詞:網(wǎng)絡信息安全����;網(wǎng)絡信息安全技術;網(wǎng)絡攻擊�����;計算機病毒
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2017)07-0048-03
1網(wǎng)絡信息安全概念的含義
1.1網(wǎng)絡信息安全定義
不同的用戶對網(wǎng)絡信息安全的定義有所不同����,作為普通用戶,我們希望自己的個人信息不被竊?�?;在國家層面上,信息安全就是杜絕一切需要保密的信息外泄����。
1.2網(wǎng)絡信息安全模型
根據(jù)TCP/IP協(xié)議,網(wǎng)絡安全體系應保證物理層的比特流傳輸?shù)陌踩?����;保證介質(zhì)的訪問和鏈路傳輸?shù)陌踩逆溌钒踩槐WC被授權客戶使用服務的網(wǎng)絡層安全;保證客戶資料和操作系統(tǒng)訪問控制安全的會話層安全�;利用多種技術增強計算機應用軟件安全的應用平臺安全和為用戶服務的應用系統(tǒng)安全。如圖所示:
1.3網(wǎng)絡信息安全的脆弱性
網(wǎng)絡信息安全的脆弱性如下:
1)由于程序員設計程序時考慮不全面或者故意設置的后門�;
2)廠家設置參數(shù)時由于疏忽大意而產(chǎn)生的錯誤設置�����;
3)TCP/IP協(xié)議為了注重開放性而產(chǎn)生的不可避免的安全缺陷��;
4)用戶在使用過程中�,由于疏忽而導致數(shù)據(jù)輸入錯誤而產(chǎn)生的安全缺陷;
5)由于意外而出現(xiàn)的運行錯誤����;
6)Internet自身的安全缺陷。
2網(wǎng)絡信息安全的主要技術
2.1防火墻技術
簡單實用����、不需要修改原有的網(wǎng)絡應用系統(tǒng)下能達到一定安全要求的防火墻是網(wǎng)絡安全的主要技術之一,它既能過濾流出的IP包����,同時也能屏蔽外部危險的IP,從而保護內(nèi)部的網(wǎng)絡�。
防火墻最大的特點是可以過濾所有由外到內(nèi)和由內(nèi)到外的數(shù)據(jù),只有符合要求的數(shù)據(jù)包才能被防火墻放行�,不符合的數(shù)據(jù)包都被防火墻屏蔽�,并且防火墻自身具有防侵入的功能���。但需要說明的����,防火墻的安裝的前提是公司或者企業(yè)對于內(nèi)外網(wǎng)絡連接中需要數(shù)據(jù)保護功能����,而對于公司或者企業(yè)內(nèi)網(wǎng)則需要用其他方式來實現(xiàn),因為防火墻由于需要^濾內(nèi)外數(shù)據(jù)���,而使網(wǎng)絡信息傳輸速度變慢�。
對于用戶來說�����,常使用非常方便和實用的防止電腦中的信息被侵襲的個人防火墻技術���,個人防火墻能有效的監(jiān)控及管理系統(tǒng)�����,防止病毒����、流氓軟件等通過Internet進入自己的電腦或者自己電腦中的信息在無意中向外擴散。
2.2數(shù)據(jù)加密技術
在信息時代��,信息既能幫助大家����,也能威脅大家����,甚至造成破壞,比如存在競爭的公司和企業(yè)間���,信息的泄露造成的損失會很大����,所以就需要一種強有力的技術對數(shù)據(jù)進行保護���,防止信息數(shù)據(jù)被盜或者被篡改�,而且對數(shù)據(jù)進行加密或者解密的操作比較簡單�,便于掌握。
數(shù)據(jù)加密技術通過加密和解密的操作限制除合法使用者以外的人獲取信息數(shù)據(jù)�,對信息進行保護�。利用一個密匙進行加密和解密的對稱加密技術和利用配對的“公匙”和“私匙”進行加密和解密的非對稱加密技術是目前最常用的加密技術�。
2.3訪問控制技術
我們知道,在網(wǎng)絡中����,登錄時通常是中身份驗證的方法,但是���,進入網(wǎng)絡后用戶能做什么����?權限有哪些��?這些是訪問控制技術需要解決的問題����。
訪問控制技術既能阻止無權限的用戶訪問資源,對資源進行保護����;也能設置機制允許被授權者訪問限定資源。作為信息安全保障機制核心內(nèi)容的訪問控制能有效的對資源進行保護��,它是信息安全保護中最基礎的機制也是最重要的安全機制。
現(xiàn)在�����,常用的訪問控制技術有�;
(1)DAC
(2)MAC
(3)RBAC
2.4虛擬專用網(wǎng)技術
目前,既是最新也是最成功的解決信息安全的技術之一就是虛擬專用網(wǎng)技術�����,這種技術在數(shù)據(jù)傳輸中進行加密和認證����,使用起來成本既低于傳統(tǒng)的專線方式又安全性較高����。虛擬專用網(wǎng)應用范圍很廣,我們通常在家里用的撥號上網(wǎng)以及在辦公室辦公時用的內(nèi)網(wǎng)都屬于虛擬專用網(wǎng)����,由于VPN比較復雜,安全性增強�����,通過加密和認證使VPN有效保護了信息資源����。
2.5安全隔離技術
我們知道��,由于計算機技術的不斷發(fā)展���、創(chuàng)新,現(xiàn)在新型的網(wǎng)絡攻擊應運而生����,這就需要開發(fā)高安全性的防新型網(wǎng)絡攻擊的技術,而安全隔離技術是把危險的信息資源隔離在外面同時保證內(nèi)網(wǎng)的安全�����。
2.6身份認證技術
在我們登錄QQ��、微信����、百度文庫、淘寶及需要注冊成會員的頁面都需要用戶名和密碼���,只有輸入正確的用戶名和密碼����,我們才能進入頁面,有的地方或者頁面需要語音����、虹膜等生物特征認證才能進入等,這種需要認證才能進入的技術就是身份認證技術���,它的本質(zhì)是通過只有被認證方自己知道的信息來使認證方認證被認證方的身份��。
身份認證技術有兩種:密碼認證和生物特征認證��。密碼認證方式主要是通過用戶名和密碼來實現(xiàn)的��,認證方發(fā)放給有權限的用戶口令����,用戶輸入用戶名和密碼后��,認證方通過后臺核對被認證方的口令是否正確�,如果正確�����,用戶就可以進入登錄頁面使用某些功能。認證方式方便可行����,但是它的安全性主要取決于用戶設置的密碼的長度、復雜度和用戶對密碼的保密程度���,這就容易遭到猜測軟件的攻擊���,只要攻擊方獲取了用戶的密碼,用戶的信息和資源就泄露了���,最好的解決方法就是用戶將自己的口令加密��。生物特征認證相對于密碼認證要安全的多���,它是計算機利用人生理和行為特征上的唯一性進行身份認證,就像現(xiàn)在很多企業(yè)和公司進行考勤形式一般都是采用指紋��、虹膜�����、視網(wǎng)膜等進行電子考勤��。有一些單位在保密權限上錄入聲音、步態(tài)等特征進行身份識別����,這種利用人生理和行為特征的唯一性進行考勤的優(yōu)點是不會產(chǎn)生遺忘密碼的情況并且防偽性很高,安全性很高��。
3常見的網(wǎng)絡攻擊方法以及防范策略
3.1網(wǎng)絡攻擊概念簡述
我們知道程序員在書寫程序時由于疏忽或者處于某種原因自留后門�,這些都會產(chǎn)生漏洞,網(wǎng)絡攻擊者就通過這些漏洞進行網(wǎng)絡攻擊��。那么��,哪些屬于網(wǎng)絡攻擊呢���?眾所周知�,Internet是開放性的網(wǎng)絡環(huán)境��,網(wǎng)絡攻擊者通常通過漏洞進入用戶的計算機中盜取用戶的個人信息����、銀行密碼����、用戶進入系統(tǒng)的權限或者破壞數(shù)據(jù)等造成系統(tǒng)不能正常發(fā)揮功能����;互聯(lián)網(wǎng)在傳輸信息數(shù)據(jù)時依據(jù)的是TCP/IP協(xié)議�,而這些協(xié)議在數(shù)據(jù)信息傳輸過程中保護功能不足,容易遭到入侵者攻擊��;我們的電子郵件信息不如傳統(tǒng)的信件那樣有郵票�、郵戳、信封等保護措施��,我們有時無法判斷我們郵件是否真實��、是否存在被篡改�、是否誤投、是否偽造等�,這就使我們在傳輸重要郵件時容易別攻擊,產(chǎn)生泄密事件��,并且��,一些計算機病毒也通常通過郵件傳播���,使我們的電腦遭到攻擊�,丟失重要信息數(shù)據(jù)�����。
攻擊者常常通過隱藏自己的IP信息來尋找要攻擊的主機并設法獲取賬號和密碼,進入主機后獲取控制權盜取用戶的個人資料和網(wǎng)絡資源以及特權��,達到自己的攻擊目的���。
3.2網(wǎng)絡攻擊常用方法及預防策略
1)利用型攻擊:主要是攻擊者企圖進入你的計算機并對你的計算機進行控制�。這種攻擊類型的防御側(cè)策略如下:
(a)設置多種符號組成的比較復雜的口令用來阻止攻擊者進行口令猜測�����,同時�,如果你的服務有鎖定功能,要進行鎖定�����。
(b)一旦發(fā)現(xiàn)程序可疑���,一定不要下載����、不要執(zhí)行并安裝木馬防火墻進行隔離木馬����。
(c)要定時更新系統(tǒng),防止緩沖區(qū)溢出�。
2)信息收集型攻擊:主要是攻擊者為了進一步攻擊而進行收集信息的攻擊行為,它主要包括掃描技術�����、利用信息資源服務以及系統(tǒng)體系架構進行刺探三種攻擊方式���。對于這三種行為的防御策略分別如下:
(a)對于掃描技術的防御主要是通過防火墻技術阻隔掃描企圖和過濾Icmp應答��。
(b)對于利用信息服務的防御主要是通過防火墻過濾請求或者過濾掉地址并阻斷刺探內(nèi)部信息的LDAP并做相應的記錄�。
(c)對于體系結構探測的防御是去掉或修改計算機運行過程中出現(xiàn)的各種banner���,對用于識別的端口進行阻斷從而達到擾亂攻擊者的攻擊計劃�����。
3)假消息攻擊:主要是攻擊者利用不正確的信息實施的攻擊方法����,它通常有兩種攻擊方式�,分別是通過DNS服務器進行攻擊和利用偽造郵件進行攻擊��。針對這兩種攻擊方法采取的策略分別如下:
(a)對于DNS服務器進行攻擊的防御策略是利用防火墻過濾入站的DNS更新���,阻斷DNS污染。
(b)對于偽造郵件進行攻擊的防御策略是使用安全工具和電子郵件證書進行隔離帶木馬病毒的電子郵件�����,并且對于不認識的垃圾電子郵件一概不點開�,從而防止木馬病毒的入侵。
4)網(wǎng)頁攻擊:在我們?yōu)g覽網(wǎng)頁時會被網(wǎng)頁內(nèi)嵌套的代碼程序強行改變我們的默認網(wǎng)頁并修改我們的注冊表等信息���,破壞計算機中的數(shù)據(jù)信息甚至格式化我們的電腦硬盤�。它通常有兩種攻擊方式�����,分別是以破壞系統(tǒng)為目的的攻擊windows系統(tǒng)和強行修改我們的IE瀏覽器���。下面對我們使用計算機過程中常出現(xiàn)的網(wǎng)頁攻擊方式及應對策略進行分析:
(a)強行修改我們的默認首頁
對應策略:由于修改默認網(wǎng)頁需要修改注冊表�,我們只要把我們的注冊表修改過來就可以了��。
(b)格式化硬盤
對應策略;這是一種很惡意的網(wǎng)頁攻擊���,一般操作在后臺�����,我們很難發(fā)現(xiàn),這就要求我們要及時升級微軟的安全補丁來及時修補系統(tǒng)的漏洞����,阻隔攻擊者的攻擊。
(c)網(wǎng)頁炸彈
應對策略����;網(wǎng)頁炸彈其實就是一個死循環(huán),我們平時在瀏覽網(wǎng)站時���,一定不要輕易進入不了解的網(wǎng)站和不要輕易打開陌生人發(fā)來的郵件附件��。
(d)文件被非法讀取
此攻擊通過代碼調(diào)用腳本來讀取文件或者利用Ⅲ漏洞非法讀取本地文件�。
應對策略:通過提高我們?yōu)g覽器的安全級別和禁用JavascriP來阻隔攻擊者的攻擊��。
3.3計算機病毒
為了便于大家自己的電腦是否中病毒���,下面把電腦中病毒的主要癥狀描述如下:
1)電腦的運行速度明顯變慢�。
2)電腦的存儲容量突然變小。
3)開機明顯變得特別慢��。
4)電腦中的文件大小突然變大����。
5)電腦經(jīng)常無緣無故的死機。
6)電腦的屏幕異常顯示�����。
7)鍵盤輸入時出現(xiàn)異常�����。
8)文件突然不能讀取并復制不了�、打開不了。
9)文件的日期等屬性突然發(fā)生改變了�����。
10)電腦的時間顯示時倒轉(zhuǎn)運行����。
11)不斷要求用戶重復輸入密碼。
12)運行過程中系統(tǒng)突然重啟。
當我們發(fā)現(xiàn)電腦中病毒了�,我們應采取什么措施進行清理病毒呢?首先�����,我們要養(yǎng)成安裝可靠殺毒軟件并定時更新的習慣�。其次,我們要定時清理我們的電腦��,清除碎片���。再次,我們要養(yǎng)成健康的用電腦方式和方法����,盡量少雙擊鼠標,多用鼠標點擊右鍵打開文件���。
3.4網(wǎng)絡攻擊的應對策略
1)曾強服務器防毒能力��,安裝可靠的防毒���、殺毒軟件并及時更新,定時掃描電腦清除病毒。
2)做好電腦備份和恢復��。
篇5
1.1網(wǎng)絡信息安全定義
不同的用戶對網(wǎng)絡信息安全的定義有所不同�����,作為普通用戶����,我們希望自己的個人信息不被竊取�;在國家層面上,信息安全就是杜絕一切需要保密的信息外泄�。
1.2網(wǎng)絡信息安全模型
根據(jù)TCP/IP協(xié)議,網(wǎng)絡安全體系應保證物理層的比特流傳輸?shù)陌踩?��;保證介質(zhì)的訪問和鏈路傳輸?shù)陌踩逆溌钒踩?���;保證被授權客戶使用服務的網(wǎng)絡層安全���;保證客戶資料和操作系統(tǒng)訪問控制安全的會話層安全����;利用多種技術增強計算機應用軟件安全的應用平臺安全和為用戶服務的應用系統(tǒng)安全。如圖所示:圖1 體系層次模型1.3網(wǎng)絡信息安全的脆弱性網(wǎng)絡信息安全的脆弱性如下:1)由于程序員設計程序時考慮不全面或者故意設置的后門�����;2)廠家設置參數(shù)時由于疏忽大意而產(chǎn)生的錯誤設置�����;3)TCP/IP協(xié)議為了注重開放性而產(chǎn)生的不可避免的安全缺陷�����;4)用戶在使用過程中��,由于疏忽而導致數(shù)據(jù)輸入錯誤而產(chǎn)生的安全缺陷���;5)由于意外而出現(xiàn)的運行錯誤;6)Internet自身的安全缺陷�����。
2網(wǎng)絡信息安全的主要技術
2.1防火墻技術
簡單實用�、不需要修改原有的網(wǎng)絡應用系統(tǒng)下能達到一定安全要求的防火墻是網(wǎng)絡安全的主要技術之一,它既能過濾流出的IP包����,同時也能屏蔽外部危險的IP�,從而保護內(nèi)部的網(wǎng)絡���。防火墻最大的特點是可以過濾所有由外到內(nèi)和由內(nèi)到外的數(shù)據(jù)�,只有符合要求的數(shù)據(jù)包才能被防火墻放行����,不符合的數(shù)據(jù)包都被防火墻屏蔽,并且防火墻自身具有防侵入的功能�����。但需要說明的�����,防火墻的安裝的前提是公司或者企業(yè)對于內(nèi)外網(wǎng)絡連接中需要數(shù)據(jù)保護功能�����,而對于公司或者企業(yè)內(nèi)網(wǎng)則需要用其他方式來實現(xiàn)�����,因為防火墻由于需要過濾內(nèi)外數(shù)據(jù),而使網(wǎng)絡信息傳輸速度變慢���。對于用戶來說��,常使用非常方便和實用的防止電腦中的信息被侵襲的個人防火墻技術�����,個人防火墻能有效的監(jiān)控及管理系統(tǒng)����,防止病毒�����、流氓軟件等通過Internet進入自己的電腦或者自己電腦中的信息在無意中向外擴散����。
2.2數(shù)據(jù)加密技術
在信息時代��,信息既能幫助大家����,也能威脅大家���,甚至造成破壞,比如存在競爭的公司和企業(yè)間�,信息的泄露造成的損失會很大,所以就需要一種強有力的技術對數(shù)據(jù)進行保護����,防止信息數(shù)據(jù)被盜或者被篡改,而且對數(shù)據(jù)進行加密或者解密的操作比較簡單�����,便于掌握�����。數(shù)據(jù)加密技術通過加密和解密的操作限制除合法使用者以外的人獲取信息數(shù)據(jù)�����,對信息進行保護�。利用一個密匙進行加密和解密的對稱加密技術和利用配對的“公匙”和“私匙”進行加密和解密的非對稱加密技術是目前最常用的加密技術。
2.3訪問控制技術
我們知道�,在網(wǎng)絡中,登錄時通常是中身份驗證的方法���,但是�,進入網(wǎng)絡后用戶能做什么?權限有哪些����?這些是訪問控制技術需要解決的問題。訪問控制技術既能阻止無權限的用戶訪問資源����,對資源進行保護;也能設置機制允許被授權者訪問限定資源����。作為信息安全保障機制核心內(nèi)容的訪問控制能有效的對資源進行保護,它是信息安全保護中最基礎的機制也是最重要的安全機制���。
2.4虛擬專用網(wǎng)技術
目前���,既是最新也是最成功的解決信息安全的技術之一就是虛擬專用網(wǎng)技術,這種技術在數(shù)據(jù)傳輸中進行加密和認證�,使用起來成本既低于傳統(tǒng)的專線方式又安全性較高����。虛擬專用網(wǎng)應用范圍很廣����,我們通常在家里用的撥號上網(wǎng)以及在辦公室辦公時用的內(nèi)網(wǎng)都屬于虛擬專用網(wǎng)���,由于VPN比較復雜�,安全性增強�,通過加密和認證使VPN有效保護了信息資源。
2.5安全隔離技術
我們知道�����,由于計算機技術的不斷發(fā)展��、創(chuàng)新��,現(xiàn)在新型的網(wǎng)絡攻擊應運而生�,這就需要開發(fā)高安全性的防新型網(wǎng)絡攻擊的技術,而安全隔離技術是把危險的信息資源隔離在外面同時保證內(nèi)網(wǎng)的安全��。
2.6身份認證技術
在我們登錄QQ�、微信、百度文庫��、淘寶及需要注冊成會員的頁面都需要用戶名和密碼,只有輸入正確的用戶名和密碼�,我們才能進入頁面,有的地方或者頁面需要語音�、虹膜等生物特征認證才能進入等,這種需要認證才能進入的技術就是身份認證技術��,它的本質(zhì)是通過只有被認證方自己知道的信息來使認證方認證被認證方的身份���。身份認證技術有兩種:密碼認證和生物特征認證����。密碼認證方式主要是通過用戶名和密碼來實現(xiàn)的�����,認證方發(fā)放給有權限的用戶口令�����,用戶輸入用戶名和密碼后�����,認證方通過后臺核對被認證方的口令是否正確����,如果正確���,用戶就可以進入登錄頁面使用某些功能��。認證方式方便可行���,但是它的安全性主要取決于用戶設置的密碼的長度��、復雜度和用戶對密碼的保密程度����,這就容易遭到猜測軟件的攻擊�,只要攻擊方獲取了用戶的密碼,用戶的信息和資源就泄露了����,最好的解決方法就是用戶將自己的口令加密。生物特征認證相對于密碼認證要安全的多�����,它是計算機利用人生理和行為特征上的唯一性進行身份認證��,就像現(xiàn)在很多企業(yè)和公司進行考勤形式一般都是采用指紋、虹膜��、視網(wǎng)膜等進行電子考勤����。有一些單位在保密權限上錄入聲音、步態(tài)等特征進行身份識別�,這種利用人生理和行為特征的唯一性進行考勤的優(yōu)點是不會產(chǎn)生遺忘密碼的情況并且防偽性很高,安全性很高��。
3常見的網(wǎng)絡攻擊方法以及防范策略
3.1網(wǎng)絡攻擊概念簡述
我們知道程序員在書寫程序時由于疏忽或者處于某種原因自留后門�,這些都會產(chǎn)生漏洞,網(wǎng)絡攻擊者就通過這些漏洞進行網(wǎng)絡攻擊����。那么,哪些屬于網(wǎng)絡攻擊呢�����?眾所周知���,Internet是個開放性的網(wǎng)絡環(huán)境��,網(wǎng)絡攻擊者通常通過漏洞進入用戶的計算機中盜取用戶的個人信息����、銀行密碼、用戶進入系統(tǒng)的權限或者破壞數(shù)據(jù)等造成系統(tǒng)不能正常發(fā)揮功能���;互聯(lián)網(wǎng)在傳輸信息數(shù)據(jù)時依據(jù)的是TCP/IP協(xié)議���,而這些協(xié)議在數(shù)據(jù)信息傳輸過程中保護功能不足�����,容易遭到入侵者攻擊�����;我們的電子郵件信息不如傳統(tǒng)的信件那樣有郵票�、郵戳、信封等保護措施��,我們有時無法判斷我們郵件是否真實��、是否存在被篡改�����、是否誤投、是否偽造等���,這就使我們在傳輸重要郵件時容易別攻擊���,產(chǎn)生泄密事件,并且���,一些計算機病毒也通常通過郵件傳播�,使我們的電腦遭到攻擊�����,丟失重要信息數(shù)據(jù)�����。攻擊者常常通過隱藏自己的IP信息來尋找要攻擊的主機并設法獲取賬號和密碼��,進入主機后獲取控制權盜取用戶的個人資料和網(wǎng)絡資源以及特權�,達到自己的攻擊目的。
3.2網(wǎng)絡攻擊常用方法及預防策略
1)利用型攻擊:主要是攻擊者企圖進入你的計算機并對你的計算機進行控制�����。這種攻擊類型的防御側(cè)策略如下:(a)設置多種符號組成的比較復雜的口令用來阻止攻擊者進行口令猜測,同時�,如果你的服務有鎖定功能,要進行鎖定�����。(b)一旦發(fā)現(xiàn)程序可疑��,一定不要下載����、不要執(zhí)行并安裝木馬防火墻進行隔離木馬���。(c)要定時更新系統(tǒng)�,防止緩沖區(qū)溢出��。2)信息收集型攻擊:主要是攻擊者為了進一步攻擊而進行收集信息的攻擊行為����,它主要包括掃描技術、利用信息資源服務以及系統(tǒng)體系架構進行刺探三種攻擊方式���。對于這三種行為的防御策略分別如下:(a)對于掃描技術的防御主要是通過防火墻技術阻隔掃描企圖和過濾Icmp應答��。(b)對于利用信息服務的防御主要是通過防火墻過濾請求或者過濾掉地址并阻斷刺探內(nèi)部信息的LDAP并做相應的記錄���。(c)對于體系結構探測的防御是去掉或修改計算機運行過程中出現(xiàn)的各種banner����,對用于識別的端口進行阻斷從而達到擾亂攻擊者的攻擊計劃����。3)假消息攻擊:主要是攻擊者利用不正確的信息實施的攻擊方法,它通常有兩種攻擊方式����,分別是通過DNS服務器進行攻擊和利用偽造郵件進行攻擊。針對這兩種攻擊方法采取的策略分別如下:(a)對于DNS服務器進行攻擊的防御策略是利用防火墻過濾入站的DNS更新�����,阻斷DNS污染���。(b)對于偽造郵件進行攻擊的防御策略是使用安全工具和電子郵件證書進行隔離帶木馬病毒的電子郵件����,并且對于不認識的垃圾電子郵件一概不點開�����,從而防止木馬病毒的入侵。4)網(wǎng)頁攻擊:在我們?yōu)g覽網(wǎng)頁時會被網(wǎng)頁內(nèi)嵌套的代碼程序強行改變我們的默認網(wǎng)頁并修改我們的注冊表等信息����,破壞計算機中的數(shù)據(jù)信息甚至格式化我們的電腦硬盤。它通常有兩種攻擊方式�,分別是以破壞系統(tǒng)為目的的攻擊windows系統(tǒng)和強行修改我們的IE瀏覽器。下面對我們使用計算機過程中常出現(xiàn)的網(wǎng)頁攻擊方式及應對策略進行分析:(a)強行修改我們的默認首頁對應策略:由于修改默認網(wǎng)頁需要修改注冊表�����,我們只要把我們的注冊表修改過來就可以了����。(b)格式化硬盤對應策略:這是一種很惡意的網(wǎng)頁攻擊�,一般操作在后臺,我們很難發(fā)現(xiàn)�����,這就要求我們要及時升級微軟的安全補丁來及時修補系統(tǒng)的漏洞��,阻隔攻擊者的攻擊��。(c)網(wǎng)頁炸彈應對策略:網(wǎng)頁炸彈其實就是一個死循環(huán),我們平時在瀏覽網(wǎng)站時����,一定不要輕易進入不了解的網(wǎng)站和不要輕易打開陌生人發(fā)來的郵件附件。(d)文件被非法讀取 此攻擊通過代碼調(diào)用腳本來讀取文件或者利用IE漏洞非法讀取本地文件���。應對策略:通過提高我們?yōu)g覽器的安全級別和禁用JavascriP來阻隔攻擊者的攻擊����。
3.3計算機病毒
為了便于大家自己的電腦是否中病毒�,下面把電腦中病毒的主要癥狀描述如下:1)電腦的運行速度明顯變慢。2)電腦的存儲容量突然變小����。3)開機明顯變得特別慢。4)電腦中的文件大小突然變大����。5)電腦經(jīng)常無緣無故的死機。6)電腦的屏幕異常顯示����。7)鍵盤輸入時出現(xiàn)異常。8)文件突然不能讀取并復制不了、打開不了��。9)文件的日期等屬性突然發(fā)生改變了�����。10)電腦的時間顯示時倒轉(zhuǎn)運行�。11)不斷要求用戶重復輸入密碼。12)運行過程中系統(tǒng)突然重啟���。當我們發(fā)現(xiàn)電腦中病毒了��,我們應采取什么措施進行清理病毒呢�����?首先��,我們要養(yǎng)成安裝可靠殺毒軟件并定時更新的習慣�。其次���,我們要定時清理我們的電腦,清除碎片����。再次��,我們要養(yǎng)成健康的用電腦方式和方法��,盡量少雙擊鼠標����,多用鼠標點擊右鍵打開文件��。
3.4網(wǎng)絡攻擊的應對策略
篇6
關鍵詞:ARP欺騙攻擊�����;網(wǎng)絡安全意識�����;問題情境��;職業(yè)素質(zhì)
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)35-0100-03
Abstract: This paper aims to integrate the network safety consciousness����, real problem situation, professional quality concept into the college experimental teaching process under the strategy of network power����, to stimulate students' enthusiasm and initiative����, and guide students to find�, analyze and solve the problem, to sum up the experiment in the form of lists. Ultimately�����, the "student oriented����, supplemented by teachers" teaching ideas are reflected, and students' practical ability are enhanced.
Key words: ARP spoofing��;network safety consciousness���; problem situation��; professional quality
1 引言
2014年來���,中央網(wǎng)絡安全和信息化領導小組組長多次提出了“沒有網(wǎng)絡安全就沒有國家安全”以及“建設網(wǎng)絡強國”的重要論斷。2015年政府工作報告提出的“互聯(lián)網(wǎng)+行動計劃” 體現(xiàn)出信息化對網(wǎng)絡發(fā)展巨大推動作用和以網(wǎng)絡為載體的數(shù)據(jù)驅(qū)動巨大魅力的同時����,也呼喚著人們通過網(wǎng)絡的進一步發(fā)展來不斷提升網(wǎng)絡安全的能力和意識。兩屆國家網(wǎng)絡安全宣傳周活動的開展也為加強全民網(wǎng)絡安全宣傳教育�����、提升網(wǎng)民的網(wǎng)絡安全防范意識和技能提供了良好的途徑�����。
網(wǎng)絡安全上升到國家戰(zhàn)略層面����,各類網(wǎng)絡攻擊和竊取事件的頻發(fā)驅(qū)動信息安全需求急劇增加,目前網(wǎng)絡安全普遍存在的問題是信息安全意識不強�����、缺乏整體安全方案�、沒有安全管理機制、系統(tǒng)本身不安全以及缺少必要的安全專才�。
網(wǎng)絡安全意識比技術更重要。作為培養(yǎng)網(wǎng)絡專業(yè)技能人才的一線高校教師���,在平常實驗教學中除了借助各種安全設備和環(huán)境完成實訓內(nèi)容外���,更重要的是提升學生的安全意識和處理安全事故的能力�,在提高專業(yè)技能水平的同時培養(yǎng)學生的職業(yè)素質(zhì)����,因此設計好網(wǎng)絡安全實驗課程顯得尤為重要。本文以ARP欺騙攻擊與防范實驗教學為例��,探索在真實網(wǎng)絡安全情境下����,新型安全課程實驗教學模式的改革以及教學效果。
2 ARP欺騙攻擊原理
ARP協(xié)議是以太網(wǎng)等數(shù)據(jù)鏈路層的基礎協(xié)議��,負責完成IP地址到硬件地址的映射�。工作過程簡述如下:1)當主機或者網(wǎng)絡設備需要解析一個IP地址對應的MAC地址時,會廣播發(fā)送ARP請求報文��。2)主機或者網(wǎng)絡設備接收到ARP請求后��,會進行應答���。同時��,根據(jù)請求發(fā)送者的IP地址和MAC地址的對應關系建立ARP表項�����。3)發(fā)起請求的主機或者網(wǎng)絡設備接收到應答后��,同樣會將應答報文中發(fā)送者的IP地址和MAC地址的映射關系記錄下來�,生成ARP表項����。從ARP工作機制可以看出,ARP協(xié)議簡單易用��,但是卻沒有任何安全機制�����,攻擊者可以發(fā)送偽造ARP報文對網(wǎng)絡進行攻擊���。偽造ARP報文具有如下特點:偽造的ARP報文中源MAC地址/目的MAC地址和以太網(wǎng)幀封裝中的源MAC地址/目的MAC地址不一致���;偽造的ARP報文中源IP地址和源MAC地址的映射關系不是合法用戶真實的映射關系。目前主要的ARP攻擊方式有如下幾類:仿冒網(wǎng)關攻擊���、仿冒用戶攻擊(欺騙網(wǎng)關或者其他主機)��、泛洪攻擊��。
3 問題情境設計
教學情境是課堂教學的基本要素�����,有價值的教學情境一定是內(nèi)含問題的情境����,它能有效地引發(fā)學生的思考。問題情境的創(chuàng)設����,對于學生學習興趣的激發(fā)起著決定作用。因此��,如何設計具有一定情緒色彩的��、以形象為主體的生動具體的場景���,以激發(fā)學生一定的情感���,就成為教學之初需要考慮的問題。
在一個沒有防御的園區(qū)網(wǎng)中爆發(fā)的ARP病毒會造成網(wǎng)絡丟包、不能訪問網(wǎng)關��、IP地址沖突等問題��,實驗室所有主機分配的是同一網(wǎng)段IP地址�,接入交換機,預先在教師機上開啟Sniffer嗅探者軟件�����,運行數(shù)據(jù)包發(fā)生器����,修改后的ARP廣播報文會持續(xù)被發(fā)送到當前局域網(wǎng)中����,為學生建立一個真實園區(qū)網(wǎng)面臨的問題情境,接下來引導學生按照“發(fā)現(xiàn)問題-分析問題-解決問題”的順序完成實驗內(nèi)容��,提升自己的安全意識和實踐能力�����。
4 實施過程
4.1 實驗環(huán)境
實驗室所有主機處于同一網(wǎng)段�,類似如下所示的拓撲圖環(huán)境:
4.2 問題情境的構造
教師機IP地址為172.16.75.105,在本實驗中充當攻擊者身份�����。首先構造用于攻擊的ARP欺騙報文,在Sniffer軟件上定義好過濾器后�,開始捕獲報文,首先將教師機的ARP緩存清空�,嘗試PING網(wǎng)關,停止捕獲并顯示結果如下圖所示�����,
發(fā)送當前的幀之前做如下修改:(1)更改源IP地址為網(wǎng)關IP地址���;(2)更改源MAC地址為偽造的MAC 地址11-22-33-44-55-66�;(3)更改目的IP地址為任一同網(wǎng)段主機IP地址���;(4)更改目的MAC地址為全F值�。設置為連續(xù)不斷地發(fā)送幀�����,啟動數(shù)據(jù)幀發(fā)生器����,此時當前網(wǎng)段會充斥著此類ARP廣播報文�����。
4.3 問題情境的呈現(xiàn)
以4-5人為一組���,以真實的網(wǎng)絡管理員遇到的企業(yè)局域網(wǎng)故障為案例,向?qū)W生說明經(jīng)常受到的網(wǎng)絡攻擊來自于網(wǎng)絡內(nèi)部��,表現(xiàn)為訪問互聯(lián)網(wǎng)時斷時續(xù)�����,打開網(wǎng)頁或下載文件的速度明顯變慢�,甚至無法訪問公司的Web服務器等資源�����,嚴重影響了企業(yè)辦公業(yè)務的正常運行���,公司領導對此很不滿意�,要求立刻徹底解決問題�����。要求在實驗報告上完成每步測試內(nèi)容并填寫檢查結果。此環(huán)節(jié)注重引入職業(yè)教育理念���,既要注重技能鍛煉���,又要注意素質(zhì)培養(yǎng)。立足本職崗位��,敢于承擔責任��,從工作中發(fā)現(xiàn)問題是什么���,為什么到怎么做���,同時培養(yǎng)學生的團隊意識。
4.4發(fā)現(xiàn)問題
此環(huán)節(jié)旨在讓學生運用已掌握的網(wǎng)絡維護技能發(fā)現(xiàn)當前局域網(wǎng)存在的問題�,通過觀察學生在測試環(huán)節(jié)中采用的方法,可以了解到學生能否快速有效地定位網(wǎng)絡中的故障�����,在不投入新的設備情況下解決問題����。
通過觀察��,多數(shù)學生會按照如下測試步驟檢測網(wǎng)絡狀況:1)檢查本機網(wǎng)絡連接情況及IP地址是否有效��;2)檢查與同一網(wǎng)段內(nèi)其余主機連接情況����;3)檢查與網(wǎng)關連接情況�����;4)檢查與DNS服務器連接情況����;5)檢查與Web服務器連接情況。這一過程旨在幫助學生基于收集到的測試數(shù)據(jù)判斷問題癥結點的能力��,只有在充分調(diào)查研究的基礎上具體問題具體分析�����,才能把存在的問題癥結點找準���、找實����、找透�,才能開對方子,做到對癥下藥��。
4.5分析問題
根據(jù)課堂反映來看����,絕大多數(shù)學生在實施到第3步時發(fā)現(xiàn)PING網(wǎng)關IP地址不通,并且重啟機器后癥狀依舊���,沒過多久又會產(chǎn)生丟包現(xiàn)象�����。不少學生通過使用ARP -a命令發(fā)現(xiàn)學習到的網(wǎng)關MAC地址是偽造的11-22-33-44-55-66�,進而判斷出問題在于網(wǎng)關MAC地址被篡改��,通過使用Sniffer軟件�����,可以嗅探到局域網(wǎng)內(nèi)充斥著大量的ARP報文��,并且通過抓包分析,發(fā)現(xiàn)源IP地址為172.16.75.254的網(wǎng)關的MAC地址為11-22-33-44-55-66����。此時需要引導學生去思考兩個問題:一是為什么主機會無條件更新,二是如何防范此類錯誤��。結合課本上提到的TCP/IP協(xié)議棧的脆弱性�,部分同學會得出主機并不對收到的ARP報文進行檢查,從而導致PC主機更新本機ARP緩存里的網(wǎng)關MAC地址的結論��。
這個分析問題的過程注重培養(yǎng)學生遇到問題的應變能力���,這種能力的訓練對于今后可能從事的網(wǎng)絡運維崗位而言���,是非常有必要的。
4.6 解決問題
明白了問題的原因��,如何解決問題就是一個水到渠成的過程�����。通過幾分鐘分組討論的形式��,最后總結了幾組的意見�,歸納出兩種解決思路:一是主機對于收到的ARP偽造報文不進行更新操作,二是限制此類ARP廣播報文在局域網(wǎng)內(nèi)的泛洪�。此時,結合實訓指導書內(nèi)容���,教師提出兩種解決方案讓學生選擇�,一是在局域網(wǎng)內(nèi)各臺主機上靜態(tài)綁定正確的網(wǎng)關MAC地址����,這樣即使主機收到了虛假MAC地址也不予以更新;二是在交換機各端口上設置單位時間內(nèi)允許通過的ARP報文數(shù)量的閾值����,超過閾值則關閉端口。同時讓學生分組討論�,對這兩種方案的優(yōu)缺點進行比較,最終得出如下的結論�,方案一因為要在局域網(wǎng)內(nèi)每臺主機上配置命令,工作量較大��,網(wǎng)關MAC地址一旦改變又得重新配置��,而且治標不治本��,不能有效遏制網(wǎng)段內(nèi)ARP報文造成的廣播風暴����,網(wǎng)絡傳輸性能較低�;方案二只需在交換機端口上進行配置���,與網(wǎng)關MAC地址無關����,如果再在端口上劃分好VLAN�,將會進一步限制廣播報文的傳輸范圍。
4.7 實驗總結
總結既是自己對于實驗的理解歸納�,也是對整個實驗過程的回放,既要總結有所收獲的地方����,也要歸納出不足之處。通過將實驗全過程中涉及現(xiàn)象���、情境及步驟列成問題清單��,讓每位學生都能從實驗中總結出得與失�����。最后借鑒翻轉(zhuǎn)課堂的思想���,邀請一位學生就實驗目的、方法�、步驟進行口頭陳述,由其余學生進行補充��,從而獲得更深層次的理解�����。
5 結語
通過網(wǎng)絡安全實驗課程的教學嘗試��,以及學生的反映來看�����,收到了一定成效�。總結起來達到了三個目的����,一是探索網(wǎng)絡安全意識、網(wǎng)絡安全技能并重的新型網(wǎng)絡安全實驗教學方法�,二是引導學生進入實際問題情境中,深入角色,積極主動地去發(fā)現(xiàn)���、分析及解決問題���,三是將個人責任感、團隊合作等職業(yè)化素質(zhì)理念融入到教學過程當中����,培養(yǎng)主人公意識。在教學過程中需要注意對于課堂進度以及時間的把握�,如學生遇到難點應及時進行引導,推動進程�����。
參考文獻:
[1] 遲恩宇��,劉天飛����,楊建毅,王東.網(wǎng)絡安全與防護[M].電子工業(yè)出版社��,2009.
[2] 葉成緒.校園網(wǎng)中基于ARP協(xié)議的欺騙及其預防[J].青海大學學報: 自然科學版��,2007(3):59-61.
[3] 秦豐林,段海新�,郭汝廷.ARP欺騙的監(jiān)測與防范技術綜述[J].計算機應用研究,2009(1):30-33.
[4] 孟令健.計算機網(wǎng)絡安全ARP攻擊行為的防范研究[J].齊齊哈爾大學學報: 自然科學版����,2013(3):9-11.
[5] 郭會茹����,楊斌,牛立全.ARP攻擊原理分析及其安全防范措施[J].網(wǎng)絡安全技術與應用����,2015(6):5-6.
[6] 劉名卓,趙娜.網(wǎng)絡教學設計樣式的研究與實踐[J].遠程教育雜志�,2013(3):79-86.
篇7
關鍵詞:計算機;信息安全技術�;相關概念;防護內(nèi)容��;防護措施
中圖分類號:TP393.08
社會發(fā)展對信息交換和資源共享需求的不斷增長�,計算機網(wǎng)絡也隨之不斷的發(fā)展,并在社會經(jīng)濟��、政治���、軍事以及文化等各個領域的應用越來越廣泛����,給社會帶來巨大的效益,在豐富人們的日常生活內(nèi)容的同時�,也帶來更多的信息資源,促進了社會精神文明的發(fā)展和進步����。但是隨著計算機的普及應用,計算機信息安全威脅日益凸顯����,人們對計算機信息安全問題的關注力度越來越大。研究計算機信息安全技術和防護措施有著重要的意義��。本文針對計算機信息安全技術和防護措施進行研究���,為防護計算機信息提供科學依據(jù)�����。
1 計算機信息安全的相關概念
計算機網(wǎng)絡安全指的是現(xiàn)代計算機網(wǎng)絡內(nèi)部的安全環(huán)境維護�����,主要保護的是計算機網(wǎng)絡系統(tǒng)中的硬盤����、軟件中的數(shù)據(jù)資源,在沒有因為意外或惡意等情況下未遭遇人為型破壞和更改相關重要的數(shù)據(jù)信息���,從而保障計算機網(wǎng)絡服務的正常運作�����。因此,計算機信息安全指的是信息在計算機網(wǎng)絡中能保障安全并運作正常網(wǎng)絡功能的信息安全�,其主要是指各類計算機信息安全的漏洞對信息的威脅。
計算機網(wǎng)絡安全涉及到計算機網(wǎng)絡系統(tǒng)內(nèi)部信息的內(nèi)容較多�,其中包括:計算機網(wǎng)絡系統(tǒng)的軟件和硬件安全;網(wǎng)絡服務器和PC機所使用的開機啟動賬號和密碼�;系統(tǒng)管理員賬戶的使用范圍;計算機系統(tǒng)不斷更改的密碼�;重要的文件標識;網(wǎng)頁訪問的用戶等內(nèi)容���。計算機信息安全可以歸納為信息的存儲安全�����、傳輸安全[1]����。
2 計算機信息安全技術防護的內(nèi)容
計算機信息安全防護,強化計算機信息安全管理的防護工作和防護內(nèi)容較多����。從現(xiàn)階段計算機信息安全防護的實際情況來看,強化對計算機安全信息的管理可以從計算機安全技術入手��,對計算機系統(tǒng)的安全信息存在的漏洞進行及時的檢測��、修補和分析��;結合檢測分析得到的結果制定有效的防護方案���;建立完善的安全系統(tǒng)體系���。其中安全系統(tǒng)體系包括安全防火墻、計算機網(wǎng)絡的殺毒軟件�����、入侵監(jiān)測掃描系統(tǒng)等信息安全防護體系��。從計算機信息安全管理方面來看,需要建立健全的信息安全制度����,嚴格根據(jù)信息安全管理制度的相關規(guī)定對計算機信息進行防護,加強管理人員的安全防護意識�����。此外����,計算機信息安全防護還需要充分考慮計算機安全數(shù)據(jù)資源的合法使用、安全穩(wěn)定運作��;數(shù)據(jù)資料存儲和傳輸?shù)耐暾?���、可控性�����、機密性和可用性等[2]�����。
3 計算機信息安全防護中存在的問題
隨著計算機信息化技術的進一步發(fā)展,信息安全已經(jīng)引起人們的高度關注?���,F(xiàn)階段計算機安全信息防護還存在諸多問題。計算機網(wǎng)絡系統(tǒng)的安全體系不夠完善����,因此要保障計算機信息安全必須要配置一些安全信息設備,但是目前的安全技術水平偏低����,安全信息質(zhì)量得不到保障。此外計算機系統(tǒng)內(nèi)部的應急措施的構建機制不夠健全�����,安全制度不完善��,滿足不了信息安全的防護標準要求��。近幾年來����,我國用人單位對計算機信息安全管理工作越來越重視,但是有些單位的計算機安全信息防護意識薄弱��,負責信息安全防護的管理人員業(yè)務素質(zhì)偏低,計算機信息安全技術防護水平偏低���。同時�,一些企業(yè)對管理人員的信息安全培訓力度不足�����,對安全信息防護的設備費用的投入力度不足�����。因此���,現(xiàn)階段我國企業(yè)的計算機信息安全防護水平與社會服務的程度偏低[3]����。
4 計算機信息安全防護的措施
4.1 計算機病毒的防護
計算機網(wǎng)絡之間的病毒傳播速度較快?��,F(xiàn)代計算機網(wǎng)絡防護病毒必須要在互聯(lián)網(wǎng)環(huán)境下,對計算機的操作系統(tǒng)采取科學合理的防毒措施���,有效防護計算機信息安全?,F(xiàn)階段,從計算機信息行業(yè)來看��,針對不同的操作系統(tǒng)�,所采用的計算機防毒軟件的具體功能也會不一樣,但是能夠加強計算機用戶的信息安全防護�;利用安全掃描技術、訪問控制技術���、信息過濾技術�,制止惡性攻擊���,加強計算機系統(tǒng)的安全性能�,強化對計算機信息安全的防護[4]��。
4.2 信息安全技術
計算機信息安全技術主要包括:實時的掃描技術�����、病毒情況研究報告技術��、檢測技術����、檢驗保護技術���、防火墻、計算機信息安全管理技術等�����。企業(yè)需要建立完善的信息安全管理和防護制度�,提高系統(tǒng)管理工作人員人員技術水平和職業(yè)道德素質(zhì)。對重要的機密信息進行嚴格的開機查毒����,及時地備份重要數(shù)據(jù),對網(wǎng)站訪問進行有效地控制���,實現(xiàn)信息安全的防范和保護��;對數(shù)據(jù)庫進行備份和恢復�����;實現(xiàn)防護和管理數(shù)據(jù)的完整性����。
利用數(shù)據(jù)流加密技術��、公鑰密碼體制�、單鑰密碼體制等密碼技術對信息進行安全管理,保護信息的安全�。切斷傳播途徑,對感染的計算機進行徹底性查毒�,不使用來路不明的程序、軟盤等�����,不隨意打開可疑的郵件等���。提高計算機網(wǎng)絡的抗病毒能力��。在計算機上配置病毒防火墻�,對計算機網(wǎng)絡文件進行及時地檢測和掃描��。利用防病毒卡�����,對網(wǎng)絡文件訪問權限進行設置[5]�����。
此外,計算機技術研發(fā)人員要研發(fā)安全性高的信息安全管理系統(tǒng)��,加強計算機信息的安全管理���;貫徹落實信息安全的法律法規(guī)制度�����。
4.3 提高信息安全管理人員的技術防護水平
計算機信息安全不僅需要從技術上進行信息安全防范措施����,同時也要采取有效的管理措施�,貫徹落實計算機信息安全防護法律法規(guī)制度,提高計算機信息的安全性����。對計算機管理人員進行業(yè)務培訓;建立完善的計算機信息安全管理機制�����,改進計算機信息安全管理功能���,加強計算機信息安全的立法和執(zhí)法力度�����,強化計算機信息管理的道德規(guī)范���,提高管理人員對安全信息的防護意識;明確計算機系統(tǒng)管理人員的工作職責����。此外,企業(yè)需要增加對計算機安全信息防護設備的投入費用�,整體提高我國社會部門的計算機信息安全防護與社會服務水平[6]。
5 結束語
綜上所述���,計算機信息安全防護過程中存在著:信息安全管理體系不夠健全��、信息安全制度不完善����、負責信息安全防護的管理人員業(yè)務素質(zhì)偏低等問題���,這就要求企業(yè)從計算機病毒的防護���、信息安全技術���、信息安全管理人員的技術防護水平這三方面入手,全面提高計算機信息安全技術水平和管理人員對計算機信息的安全防護能力����。
參考文獻:
[1]劉丹陽,李齊森��,孫振華.淺談計算機信息安全技術及防護[J].科技信息(科學教研)����,2011,10(03):121-145.
[2]辛耀中����,王云霞,趙永良.計算機信息安全技術及防護研究[J].和田師范?��?茖W校學報���,2010,22(09):112-130.
[3]譚永新�����,郭中華,肖敏.計算機網(wǎng)絡信息安全分析及防范措施探析[J].電子世界����,2011����,21(07):145-163.
[4]任繼榮,趙剛著�����,王力軍.計算機網(wǎng)絡信息安全分析及解決措施初探[J].現(xiàn)代電子技術���,2011���,20(06):1121-1130.
[5]吳英橋,宋東燕�,龐志功.淺談計算機網(wǎng)絡信息安全的具體問題及控制策略[J].計算機光盤軟件與應用,2012���,01(05):130-135.
篇8
【 關鍵詞 】 國產(chǎn)防病毒軟件�����;國外防病毒軟件�;信息安全
1 引言
在當前的計算機應用中,危害網(wǎng)絡安全的最大影響因素是計算機病毒��,它的存在給用戶造成極大的損失����,因此加強防范計算機病毒具有非常重大的意義。本文在當前計算機網(wǎng)絡信息安全需求的背景下��,對國產(chǎn)防病毒軟件和國外防病毒軟件進行了對比分析��。
2 防病毒軟件及發(fā)展
防病毒軟件是伴隨著計算機技術應用發(fā)展起來的一門軟件技術�����,是人們?yōu)榱吮Wo計算機在工作過程中����,避免受到惡意病毒程序攻擊和破壞而開發(fā)的一種具有查找和隔離惡意程序功能的計算機應用軟件,目前已經(jīng)發(fā)展成為信息安全領域的重要一個分支�。
最早防病毒軟件的開發(fā),可以追溯到上世紀90年代俄羅斯著名的計算機信息安全專家Eugene Kaspersky研究和開發(fā)的AVP反病毒軟件。該軟件后續(xù)被更名為Kaspersky Antivirus�����,其嚴謹?shù)脑O計結構����、徹底的查殺能力為業(yè)界稱道。其次是歐洲D(zhuǎn)octor Soloman創(chuàng)立的Doctor Soloman反病毒企業(yè)�,其開發(fā)的McAfee反病毒軟件,奠定了現(xiàn)代反病毒軟件的基礎���,后續(xù)還有美國斯坦福大學和哈弗大學以及相關的計算機開源組織都推出了相應的反病毒軟件,有效地促進了反病毒軟件的發(fā)展�。在我國反病毒軟件主要是通過引進國外反病毒軟件技術,然后在此基礎上進行研發(fā)和設計�����,結合我國計算機信息安全國情研發(fā)出適合我國計算機用戶的反病毒軟件��。
3 國產(chǎn)防病毒軟件與國外防病毒軟件對比
從目前國內(nèi)外反病毒軟件的發(fā)展情況來看�,我國反病毒軟件目前正以快速發(fā)展的勢頭,在追趕國外先進的反病毒軟件技術���。我國相對于國外��,在反病毒軟件研發(fā)和核心技術掌握上還存在著一定差距�,從360、瑞星和金山三大反病毒軟件公司的發(fā)展來看����,都是通過引入國外的核心技術授權,然后根據(jù)我國用戶習慣和計算機網(wǎng)絡環(huán)境����,研發(fā)一些具有特色的反病毒軟件工具。這些反病毒軟件工具�����,在一定程度上可以滿足我國用戶需求��,并且在交互性能和可操作性上更加符合我國計算機用戶的需求�,這樣就使得目前我國市場上主要是以國產(chǎn)反病毒軟件應用為主,國外反病毒軟件很難進入我國市場�。但是從核心技術的掌握和研發(fā)上來看,國外的反病毒軟件具有一定的優(yōu)勢����。雖然,我國近年部分公司已經(jīng)開始投入研發(fā)自己的反病毒軟件引擎,但是從實際的國際權威測試效果來看�����,研發(fā)的反病毒軟件引擎水平和國外還存在一定的差距�。
總之,從目前來看反病毒軟件是人們用于保護計算機安全的主要手段���,為了適應當前網(wǎng)絡信息安全需求���,反病毒軟件將長期處于不斷演化中,對反病毒軟件的不斷研發(fā)是非常有必要的����。
4 國內(nèi)外防病毒軟件的測試技術分析
4.1 構建控管中心集中管理架構
構建控管中心是為了確保每一臺客戶端計算機和所有不同業(yè)務類型的服務器����,在出現(xiàn)新病毒的時候,可以在控制管理系統(tǒng)中進行系統(tǒng)更新和安全漏洞查處與維護�,這樣就可以防范于未然,避免計算機因系統(tǒng)漏洞而被病毒攻擊��。除此之外����,控管系統(tǒng)管理員也可以隨時隨地通過網(wǎng)絡對防毒系統(tǒng)進行維護與管理��,這樣才能保證整個防毒系統(tǒng)時時刻刻都能做到安全有效�,可以及時地對病毒進行攔截與清除�。
4.2 構建全方位、多層次的防毒體系
要想構建全方位�����、多層次的防護系統(tǒng)����,就必須從最基礎的客戶端入手,根據(jù)客戶端的具體需求�,組建郵件網(wǎng)關防毒系統(tǒng)、瀏覽器防毒系統(tǒng)�����、應用程序防毒系統(tǒng)等一系列防毒子系統(tǒng)�,保證可以對可供病毒傳播或寄生的每一個環(huán)節(jié)、每一個節(jié)點進行消除與斬斷����,然后將各個防毒子系統(tǒng)進行結合����,構建從局部到整體的防毒體系�����,這樣才能實現(xiàn)對病毒的全布控制�。
4.3 構建高效的網(wǎng)關防毒子系統(tǒng)
防病毒網(wǎng)關可以保證局域網(wǎng)內(nèi)進出數(shù)據(jù)的安全,而且在病毒殺除���、關鍵字過濾����、垃圾郵件阻止等方面的功能尤為突出���。對于企業(yè)網(wǎng)絡而言����,一個安全病毒防護系統(tǒng)的首要任務����,就是防止病毒通過郵件或附件進入到網(wǎng)絡中����,網(wǎng)關作為企業(yè)網(wǎng)絡連接到另一個網(wǎng)絡的關口�����?��?梢哉f,構建高效的網(wǎng)關防毒子系統(tǒng)是整個病毒防護系統(tǒng)最重要的一部分�����,它不僅可以消除垃圾郵件和惡意附件中病毒的威脅��,還可以對HTTP����、FTP、SMTP�����、TMAP四種協(xié)議的數(shù)據(jù)進行病毒掃描�����,一旦發(fā)現(xiàn)病毒就可以對其進行查殺,從而有效地切斷病毒最主要的傳播途徑�。
4.4 構建高效的網(wǎng)絡層防毒子系統(tǒng)
對于企業(yè)網(wǎng)絡病毒防護系統(tǒng)而言,要想做好病毒防范工作����,可以在網(wǎng)絡接口和一些重要的連接節(jié)點,構建高效的網(wǎng)絡層防毒子系統(tǒng)�,這樣就可以斬斷病毒的傳播與寄生的每一個節(jié)點,使整個網(wǎng)絡不受病毒的侵害�����,同時還可以根據(jù)病毒的傳播途徑與傳播形式�����,對其進行主動攻擊����,將其扼殺在搖籃里。
4.5 構建覆蓋病毒發(fā)作生命周期的控制體系
當網(wǎng)絡遭受到病毒攻擊時�����,如果防護系統(tǒng)僅僅是依靠病毒的源代碼來對其進行防范�,這將會嚴重制約防毒系統(tǒng)查殺病毒的效率,也許在病毒代碼到來之后����,病毒已經(jīng)使得整個網(wǎng)絡癱瘓。所以��,防護系統(tǒng)必須具備完善的預警機制����、查殺機制以及根除機制,使得未進來的病毒不能進來���,進來的病毒沒有傳播途徑���,這樣才能高效地對病毒進行處理,并有效限制了其破壞性和破壞范圍����。構建覆蓋病毒發(fā)作生命周期的控制體系,可以在對病毒進行查殺與系統(tǒng)修復階段�,對病毒進行及時有效的清楚,使整個網(wǎng)絡更快更完好地恢復正常����。
4.6 系統(tǒng)服務
系統(tǒng)服務是整個防毒系統(tǒng)中的最后一個環(huán)節(jié)����,也是最重要的一環(huán)�����。在防病毒系統(tǒng)建成之后����,能否保證防病毒系統(tǒng)在上市之后可以有效地對病毒進行防范,還與防病毒廠商能否提供全面完善的服務有著直接的關系�。這不僅需要廠商游戲盒全球化的防毒體系,還要求其具備精良的技術人才�����,一旦防毒系統(tǒng)在實際應用中出現(xiàn)了問題�����,廠商要能夠快速地找到其原因并及時解決�����。除此之外,如有新型病毒爆發(fā)��,防病毒廠商還要提供優(yōu)質(zhì)的售后服務和詳細的應急處理計劃��。
5 結束語
綜上所述�����,在使用計算機網(wǎng)絡時��,我們應不斷增強計算機網(wǎng)絡的安全意識��,了解病毒����,學會預防病毒��。防病毒軟件是保護用戶計算機安全的有效措施�,因此我們應不斷提高防病毒軟件的研發(fā)和應用,進而為創(chuàng)造良好的網(wǎng)絡環(huán)境奠定基礎�����。
參考文獻
[1] 張明浩.計算機病毒防范技巧探討[J].科技信息�����,2014.
[2] 汝學民,莊越挺.計算機病毒技術的發(fā)展與防范[Z].全國網(wǎng)絡與信息安全技術研討會����,2014.
