時間:2022-10-24 05:32:08
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇信息網絡安全論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
1.1電力信息網絡安全的相關理論
隨著社會的不斷進步發展,我國的電力企業在新的階段取得了矚目的成就,國家的有關部門以及各級的電力企業對電力信息網絡安全問題有著很高的重視度,故此在2002年國家經貿委制定了相關的電網和電廠計算機監控系統及調度數據網絡安全防護規定。次年,將國家電力信息網絡安全運行歸入到電力安全生產的管理范疇,并將其納入電力安全生產的體系。在網絡的安全技術措施方面,電力信息部門在國家信息安全防護框架下,在2002年開始了電力系統信息安全示范工程,針對電力信息網絡安全系統的建設已經是近些年的電力企業信息網絡化建設的重點內容,諸多的電力企業在網絡身份認證以及防病毒、攻擊方面得到了加強,各電力單位也有了不同等級以及種類的信息網絡安全體系。
1.2電力信息網絡安全當前面臨的風險分析
在電力信息網絡安全所面臨的安全風險可分為網絡設備風險以及網絡中信息風險兩個層面。在電力信息網絡安全并非是單點安全,它所指的是在整個電力企業的信息網絡整體安全,這就涵蓋著管理以及技術兩方面。在電力信息網絡安全的物理安全風險方面主要就是信息網絡服務系統中的設備以及服務器和用戶端計算機等這些設備,在物理安全風險方面主要有火災以及雷電等,這些風險會使得電力信息網絡突然中斷或者系統發生癱瘓等。在網絡安全風險方面主要有電力實時系統安全風險以及網絡體系結構安全風險和網絡通信協議安全風險。在電力信息網絡安全系統的安全風險主要就是操作系統安全風險和數據庫安全風險以及病毒危害風險、黑客入侵風險。應用安全風險方面就是身份認證和授權控制安全風險,信息傳輸完整性風險,信息傳輸機密性以及不可抵賴性風險。在管理上的安全風險主要就是責權不明以及管理的混亂,安全管理制度的不完善和操作性不強,網絡管理員自身方面存在的問題以及缺乏對網絡可控性和可審查性。
2當前我國電力信息網絡安全現狀及應對策略探究
2.1當前我國電力信息網絡安全現狀分析
從當前我國的電力信息網絡安全現狀情況來看,還存在著諸多的問題有待進一步的解決,首先就是電力企業的員工在信息網絡安全意識方面還有待加強,最為突出的就是用戶的安全意識有待加強,系統登陸口令比較的簡單,有的甚至是將賬號以及密碼借給他人使用,對電力信息資源的共享以及管理不理性,這些方面對信息網絡安全都有著比較大的威脅。另外,就是電力企業員工多網絡長時間的占用,從而大量的消耗了網絡資源,從而給電力信息網絡安全的通信增加了負擔,這對電力系統內部的網絡通信效率有了很大的影響,有的由于對網頁的瀏覽以及使用了優盤致使一些網絡病毒在信息網絡中大肆的傳播,從而給電力信息網絡安全帶來了很大的威脅。再者就是缺乏統一的信息安全管理的規范,由于種種因素使得電力信息網絡安全的管理規范還沒有得到統一完善的建立。還有就是在和電力行業特點相適應的信息網絡安全體系方面的建設還沒有完善,在電力系統當中的信息網絡已經滲透到了諸多的領域,在管理以及經營和生產等方面的應用已經是愈來愈多,但實際的安全技術和策略等應對措施比較的缺乏。還有就是信息網絡硬件系統不牢固,這是比較普遍的問題,雖然互聯網的硬件系統已經在安全性和穩定性方面都具備,但依然在一些方面還存在著脆弱性,硬件故障對信息的傳輸會造成不安全的威脅以及信息失真。
2.2針對我國電力信息網絡安全現狀的應對策略
在對電力信息網絡安全的相關問題采取防范措施時,要能夠從實際出發,首先要對電力企業人員在信息安全網絡的意識上得到加強,對員工在信息網絡的安全教育和培訓方面進行強化,要能夠讓電力企業的員工通過教育培訓對電力信息網絡安全的重要性有充分的認識,要能夠對相關的要求規定嚴格的遵守。另外,就是要創建電力信息網絡安全體系的防護骨架,要能夠將其和電力工業特色、企業電腦信息技術的實際得到有機的結合,從而來創建電力新提案權體系的防護骨架,還要能夠根據信息業務的功能,把電力信息系統分成不同的層面,也就是信息網絡安全自動化系統以及生產管理系統和電力信息管理系統,這樣能夠循序漸進有規律的對實際問題加以解決。再者就是對安全管理的強化,首先在網絡的設備安全管理方面,網絡設備的安全管理要能夠將分區防御以及雙網雙機得以實現,進而再建立多層防御以及登記防御的體系,對信息網絡的數據要做好檢測和控制工作,并要能夠對網絡的訪問加以嚴格控制,要進行實施入侵防護措施,在網絡的訪問權限進行設置。對網絡的性能要進行及時的檢測,從而使得網絡的安全運行得以保證,在電力信息的傳輸過程中要進行加密處理,要保證信息的保密性,針對敏感性的數據信息要設置復雜的保密方式,防止非法的偵聽和盜取信息數據。另外還可以通過防火墻的隔離措施進行對非法網絡入侵問題進行防范,安裝入侵檢測系統以及服務器核心防護系統,對網絡的安全性進行實時的監控,這樣能夠使得電力企業信息網絡安全事故得以較低。為能夠有效的將電力企業的生產控制區安全得以保障,通過在生產控制區以及外部網絡匯接點上架設網絡隔離設備,能夠將生產控制區的安全得以有效的保障,網絡隔離設備能夠在不影響電力系統的狀況下,把生產控制系統的數據單向發到與之相連的MIS網絡或者是其它的業務系統當中,能夠將一些網絡入侵以及病毒的攻擊等得以有效的隔離,這樣就對電力企業的生產控制系統的安全運營有了保障。最后在信道安全方面進行采取相關的手段也能夠對電力信息網絡的安全起到保護作用,在跨廣域網的安全措施方面可通過MPLSVPN將多種業務進行隔離,這樣能夠保證各種業務間的安全性和獨立性,為能夠使得各電力部門的網絡正常的運行,將MPLS進行引入是最佳的解決方案,這樣能夠實現電力調度等生產控制業務在跨廣域網時的安全防護。
3結語
影響計算機信息網絡安全的人為因素主要包括以下幾點;是制定的網絡系統管理制度欠缺完善。例如,對于故障計算機的維修方面,未能制定出在其被送修之前要進行消磁處理的規定,且未能安排專門的人員進行監修,進而導致了數據的泄露;相關管理工作人員自身的業務素質較低。如不知道如何還原移動存儲介質上已備刪除的文件;在進行計算機信息日常維護工作或用戶權限的設置時,由于自身操作經驗的不熟練導致將權限授予給了不合適的客戶等。
2計算機信息網絡安全問題的應對策略
2.1物理層面的網絡安全對策
對網絡安全建設的加強,主要可以從硬件及軟件這兩個方面的安全維護來入手。而在硬件方面,其具體措施如下;相關管理人員務必要對計算機、服務器以及通信鏈路等硬件設備的安全性進行仔細的檢查與維護,并盡量減輕甚至避免由濕度、電磁干擾、溫度、灰塵以及自然災害等影響因素給硬件設備造成的損害,為網絡硬件設備的安全提供保障;建立完善的機房安全防護措施,利用物理訪問控制設備對訪問用戶的身份進行驗證。
2.2修復計算機網絡出現的漏洞
注重用戶及賬戶權限的安全設置工作,對每位用戶身份及相關權限進行仔細的驗證,并對用戶的數量以及用戶訪問權限的范圍進行合理控制;建立起系統的病毒防范體系,以對各種網絡病毒進行有效防護,防止信息數據被惡意的竊取及篡改,保障信息的安全;充分利用防護墻技術對訪問權限進行科學、合理的設置,并通過對提供商的補丁進行下載,來修復出現的網絡漏洞,進而對內部網絡的安全進行保護;對不良信息進行相關的防護建設。針對于與Internet連接的網絡中摻雜的大量不良信息,應當建立起信息過濾系統,通過字段過濾以及IP過濾的方式,來對不良信息進行屏蔽。
2.3完善網絡安全管理制度
通過對計算機信息網絡管理現狀的分析,不能看出,目前我國計算機網絡中依然存在很多安全隱患,這不僅僅會威脅到人們和企業的利益,同時也會威脅到國家和民族的利益,因此,掌握印象計算機安全的各種因素,從而針對這些因素制定各種管理措施,是目前我國網絡技術人員的首要任務,具體分析如下。
1)計算機病毒。我們常說的計算機病毒,實際上就是一種對計算機各種數據進行份復制的程度代碼,它是利用按照程序的手段,對計算機系統系統進行破壞的,進而導致計算機出現問題,并無法使用。例如,蠕蟲病毒,它是一種比較常見的計算機病毒之一,它就是計算機本身為載體,如果計算機系統出現漏洞,它就會利用這些漏洞進行傳播,其傳播速度快,一旦潛入計算機內部,并不容易被發現,同時還具強大的破壞力,如果它與黑客技術相結合,那么對于計算機網絡信息安全的威脅會更大。
2)木馬程序和后門。“木馬程序”以及“后門”是近些年來逐漸興起的計算機病毒,“后門”最為顯著的特點就是,計算機被感染之后,管理人員無法對其加阻止,它會隨意進入計算機系統,并且種植者能夠很快潛入系統中,也不容易被發現,計算機技術的升級換代過程中,“木馬程序”也隨之更新,例如特洛伊木馬病毒,這種病毒還能夠黑客活動提供便利,同樣具有較強的隱蔽性。
3)外在環境影響和安全意識。除了影響計算機信息安全的因素之外,一些外部環境因素也會對其產生影響,例如,自然災害,計算機所在環境等等,另外,有大一部分的計算機使用者的安全防護意識弱,這就為惡意程序的入侵以及病毒攻擊提供了條件。
2計算機信息網絡安全管理的策略
1)漏洞掃描和加密。對計算機信息網絡進行安全管理的第一步就是,進行系統漏洞掃描并采取加密的措施。漏洞掃描需要借助相關的工具,在找到系統漏洞被發現之后,對其進行修復和優化,從而為計算機系統的安全性提供保障,而機密技術則是對文件進行加密處理的一種技術,簡單的說,就是對源文件加密之后,其會形成很多不可讀代碼,這些代碼必須要輸入特定的密碼之后,才能夠顯示出來,并進行使用。
2)防火墻的應用和入侵檢測。在計算機信息網絡系統中,防火墻是非常重要的一個部分,也是最為關鍵的一道防線,它不僅僅能夠保障內部系統順利進入外部系統,還能夠有效阻止外部可以程序入侵內部網絡。為計算機病毒以及各種惡意程序的入侵,都會對計算機系統造成影響和破壞,從而對計算機信息網絡帶來威脅。因此做好計算機網絡安全管理工作,是非常必要的。了保障這樣的管理效果,管理人員首先就應該做好數據包的控制工作。然后對所有能夠進入防火墻的信息給與通過,入侵檢測技術是指通過檢測違反計算機網絡安全信息的技術。當系統被入侵時,及時記錄和檢測,并對不能進行的活動加以限制,從而對計算機系統進行有效防護。
3)網絡病毒防范和反病毒系統。反病毒系統是指禁止打開來歷不明的郵件,計算機相關技術人員根據對計算機病毒的了解進行與之相應的反病毒設計,從而促進計算機安全運行。近年來,互聯網病毒傳播途徑越來越多,擴散速度也日益增快,傳統的單機防止病毒技術已經不能滿足互聯網絡的要求。因此,有效利用局域網全面進行病毒防治工作勢在必行。
3結束語
論文摘要:隨著網絡技術的飛速發展和廣泛應用,信息安全問題正日益突出顯現出來,受到越來越多的關注。文章介紹了網絡信息安全的現狀.探討了網絡信息安全的內涵,分析了網絡信息安全的主要威脅,最后給出了網絡信息安全的實現技術和防范措施.以保障計算機網絡的信息安全,從而充分發揮計算機網絡的作用。
論文關鍵詞:計算機,網絡安全,安全管理,密鑰安全技術
當今社會.網絡已經成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術的迅猛發展.網絡攻擊與防御技術也在循環遞升,原本網絡固有的優越性、開放性和互聯性變成了信息安全隱患的便利橋梁.網絡安全已變成越來越棘手的問題在此.筆者僅談一些關于網絡安全及網絡攻擊的相關知識和一些常用的安全防范技術。
1網絡信息安全的內涵
網絡安全從其本質上講就是網絡上的信息安全.指網絡系統硬件、軟件及其系統中數據的安全。網絡信息的傳輸、存儲、處理和使用都要求處于安全狀態可見.網絡安全至少應包括靜態安全和動態安全兩種靜態安全是指信息在沒有傳輸和處理的狀態下信息內容的秘密性、完整性和真實性:動態安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
2網絡信息安全的現狀
中國互聯網絡信息中心(CNNIC)的《第23次中國互聯網絡發展狀況統計報告》。報告顯示,截至2008年底,中國網民數達到2.98億.手機網民數超1億達1.137億。
Research艾瑞市場咨詢根據公安部公共信息網絡安全監察局統計數據顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現為“數據受損或丟失”18%.“系統使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%。
3安全防范重在管理
在網絡安全中.無論從采用的管理模型,還是技術控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理、制度的管理、機構的管理等.它的作用也是最關鍵的.是網絡安全防范中的靈魂。
在機構或部門中.各層次人員的責任感.對信息安全的認識、理解和重視程度,都與網絡安全息息相關所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應商、顧客或股東的參與和信息安全的專家建議在信息系統設計階段就將安全要求和控制一體化考慮進去.則成本會更低、效率會更高那么做好網絡信息安全管理.至少應從下面幾個方面人手.再結合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責分工如設立專職的系統管理員.進行定時強化培訓.對網絡運行情況進行定時檢測等。
2)有了明確的職責分工.還要保障制度的貫徹落實.要加強監督檢查建立嚴格的考核制度和獎懲機制是必要的。
③對網絡的管理要遵循國家的規章制度.維持網絡有條不紊地運行。
④應明確網絡信息的分類.按等級采取不同級別的安全保護。
4網絡信息系統的安全防御
4.1防火墻技術
根據CNCERT/CC調查顯示.在各類網絡安全技術使用中.防火墻的使用率最高達到76.5%。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。它通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況.以此來實現網絡的安全保護。
4.2認證技術
認證是防止主動攻擊的重要技術.它對開放環境中的各種消息系統的安全有重要作用.認證的主要目的有兩個:
①驗證信息的發送者是真正的主人
2)驗證信息的完整性,保證信息在傳送過程中未被竄改、重放或延遲等。
4.3信息加密技術
加密是實現信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結合使用.互補長短。
4.4數字水印技術
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網絡技術和信息技術的廣泛應用.信息隱藏技術的發展有了更加廣闊的應用前景。數字水印是信息隱藏技術的一個重要研究方向.它是通過一定的算法將一些標志性信息直接嵌到多媒體內容中.但不影響原內容的價值和使用.并且不能被人的感覺系統覺察或注意到。
4.5入侵檢測技術的應用
人侵檢測系統(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統及網絡系統中收集信息.再通過這此信息分析入侵特征的網絡安全系統IDS被認為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對系統發生危害前.檢測到入侵攻擊.并利用報警與防護系統驅逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關信息.作為防范系統的知識.添加入策略集中.增強系統的防范能力.避免系統再次受到同類型的入侵入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術.是一種用于檢測計算機網絡中違反安全策略行為的技術。
1.1公安網絡系統中軟件設計問題
由于公安網絡系統的安全防護軟件的開發周期與早期的系統分析不適合當前安全防護形勢的原因。其公安網絡操作系統與應用軟件中存在很多的安全樓同,這些漏洞的存在將對網絡的正常運行構成很大的隱患。
1.2病毒的防護漏洞
公安網絡目前對網絡病毒的防護手段十分有限,沒有建立專用的計算及病毒防護中心、監控中心,這同樣對公安網絡的安全造成巨大隱患,“尼姆達”與“2003蠕蟲王”等網絡病毒曾對公安網絡造成想打的危害,造成網絡擁堵、降低性能,嚴重擾亂了公安系統的正常工作秩序。
1.3信息安全的管理體制不完善
公安網絡系統是與公共網絡物理隔離的系統,但是還未在整體上建立完善的安全結構體系,在管理上缺乏安全標準以及使用條例,甚至有些地方公安網絡中的計算機出現公安網絡與公共網絡同時使用的現象,這都對公安網絡的信息安全帶來不可忽視的安全威脅,使非法入侵者有著可乘之機。
2公安網絡的信息安全體系結構設計
公安網絡的信息安全體系結構設計,是一項非常復雜的系統工程,該體系對安全的需求是多層次,多方面的。因此本文設計了比較完整的安全體系結構模型,以保障整個系統的完備性以及安全性,為公安網絡的信息安全提供切實有效的安全服務保障。本文在借鑒了多種成熟的信息網絡安全體系結構,并且根據國家公安部提出的具體保障體系的指導思想,設計了適應我國公安網絡的信息安全體系。該體系從安全服務、協議層次以及系統單元三個維度,綜合立體的對公安信息網絡的安全體系進行了設計。這個三個層次均包含了安全管理模塊。
2.1協議層次維度
本文從網絡的七層協議模型來設計公安網絡的安全體系結構中的協議層次。每一個協議層次都有專屬的安全機制。對于某一項安全服務,安全實現機制隨著協議層次的不同而不同。例如,審計跟蹤的安全服務項目在網絡層,主要對審計記錄與登錄主機之間的流量進行分析,對非法入侵進行實時監測。病毒防護層一般在應用層實現,一般用來對訪問事件進行監控,監控內容為用戶身份,訪問IP,訪問的應用等等進行日志統計。
2.2安全服務維度
公安網絡的信息安全體系中包括的安全服務有,身份識別認證、訪問控制權限、數據完整性和保密性以及抗抵賴組成了安全服務模型。在安全服務模型中,每一個安全服務對應著不同類別的應用。這幾種安全服務模型不是獨立的是互相聯系著的。進入公安網絡安全體系的主體登錄系統時,要進行身份識別認證,并且查找授權數據庫,以獲得主體訪問的權限,如果通過驗證與授權,則對訪問信息進行加密返回至主體,主體通過解析進行信息獲取。并且,主體訪問的過程被審計跟蹤監測模塊記錄,生成訪問日志,以便日后進行查驗。
2.3系統單元維度
公安網絡的信息安全體系的實施階段,上述安全服務與協議等要集成在物理單元上,從系統單元的維度看,可分為以下幾個層次。首先,物理環境安全,該層次保護計算機信息系統的基本設施安全,能夠有能力應對自然災害以及人為物理誤操作對安全體系的基礎設施的干擾以及破壞。其次,網絡平臺的安全,主要保證網絡的安全可靠運行,保障通過交換機等網絡設備的信息的安全。最后是應用系統的安全,該層次提供了訪問用戶的身份認證、數據的保密性以及完整性,權限訪問等。
3總結
尤其是當以下問題發生時,使得網絡在遭受安全攻擊時,顯得非常脆弱:上層應用的安全收到Internet底層TCP/IP網絡協議安全性的影響,如果底層TCMP網絡協議受到攻擊,那么上層應用也會存在安全隱患;黑客技術和解密工具在網絡上無序傳播,而給一些不法分子利用這些技術來攻擊網絡;軟件的更新周期較長,而極有可能使得操作系統和應用程序出現新的的攻擊漏洞;網絡管理中的法律法規不健全,各種條款的嚴謹性不足,而給管理工作帶來不便,對于法規的執行力度不足,缺乏切實可行的措施。
2對企業辦公網絡安全造成威脅的因素
對辦公網絡的信息安全實施有效的保護有著非常重要的意義,但同時也存在著一定的難度。由于網絡技術自身存在很多不足,如系統安全性保障不足。沒有安全性的實踐等,而使得辦公網絡不堪一擊。除了自然災害會給辦公網絡埋下巨大的安全隱患外,還有計算機犯罪、黑客攻擊等因素也是影響網絡信息安全的不穩定因素。
2.1自然災害造成的威脅
從本質上來說,企業辦公網絡的信息系統就是一臺機器,根本不具備抵御自然災害、溫度、濕度等環節因素影響的能力,再加上防護措施的欠缺,必然會加大自然災害和環境對辦公網絡信息的威脅。最常見的就是斷電而造成的影響,會使得正處于運行狀態中的設備受到損害或者導致數據丟失等情況的發生。
2.2網絡軟件漏洞造成的威脅
一般來說,網絡軟件自身就存在著一些不可避免的漏洞,而給黑客攻擊提供了便利,黑客會利用這些軟件漏洞對網絡實施攻擊,在常見的案例中,網絡安全受到攻擊的主要原因就是由于網絡軟件不完善。還有一些軟件編程人員,為了自身使用方便而設置“后門”,一旦這些“后門”被不法分子找到,將會造成不可預料的后果。
2.3黑客造成的威脅
辦公網絡信息安全遭受黑客攻擊的案例數不勝數,這些黑客利用各種計算機工具,對自己所掌握的系統和網絡缺陷下手,從而盜取、竊聽重要信息,或者攻擊系統中的重要信息,甚至篡改辦公網絡中的部分信息,而造成辦公網絡癱瘓,給企業造成嚴重的損失。
2.4計算機病毒造成的威脅
計算機病毒會以極快的速度蔓延,而且波及的范圍也非常廣,一旦爆發計算機病毒將會造成不可估計的損失。計算機病毒無影無形,以依附于其他程序的形式存在,隨著程序的運行進一步侵入系統,并迅速擴散。一旦辦公網絡被病毒入侵,會降低工作效率,甚至導致系統死機,數據丟失等嚴重情況的發生。
3如何加強辦公網絡中的網絡安全
3.1數據加密
數據加密技術指的是通過加密鑰匙和加密函數轉化,將信息處理成為無意義的密文。而接收方再通過解密鑰匙和解密函數,將密文還原成為明文。加密技術是網絡安全技術的基石。加密的原理就是改變數據的表現形式,而目的就是確保密文只能被特定的人所解讀。一個加密網絡,不僅可以實現對非授權用戶的搭線竊聽和入網的阻攔,而且還能有效的防止惡意軟件的入侵。一般的數據加密可以在通信的三個層次來實現,分別是鏈路加密、節點加密和端到端加密。
3.2建立網絡管理平臺
現階段,隨著網絡系統的不斷擴大,越來越多的技術也應用到網絡安全當中,常見的技術主要有防火墻、入侵檢測、防病毒軟件等。但不足的就是這些系統都處于獨立地工作狀態,要保證網絡安全以及網絡資源能夠被充分利用,應當為其提供一個經濟安全、可靠高效、功能完善的網絡管理平臺來實現對這些網絡安全設備的綜合管理,使其能夠充分發揮應有的功能。
3.3設置防火墻
網絡系統中保存的軟件和數據,不會由于偶然或惡意的行為而被破壞、更改、泄露,能夠保持網絡系統正常、連續和可靠的運行,并且不會中斷網絡服務器的連接就是所謂的網絡安全。威脅到網絡信息安全的主要包括主動攻擊和被動攻擊。主動攻擊指的是篡改數據流或把數據流創建錯誤,它主要是依據計算機網絡所造成的威脅,其中包括截取、假冒、捏造、中斷、修改、重放、修改信息或拒絕服務等在內的對數據進行監視或偷聽的行為指的是被動攻擊,被動攻擊針對的主要是正在傳送之中的信息。要做好鑒別、保密、病毒防范和訪問控制四個方面的工作以保證計算機網絡信息安全性。
2如何構建網絡信息的安全防護體系
2.1對網絡的防火墻功能進行完善
網絡層防火墻被看作為既是分離器,又是一種在底層的TCP/IP協議堆棧上運作的一種IP封包過濾器,同時又是一個分析器,它能夠確保內部網絡不被侵害的同時可以行之有效的監控內部網和Internet之間的所有活動。它為了保證內部網絡的安全運行,不被外部網絡干擾可以把互聯網方面的風險區域和安全區域有效的隔離。另外,網絡防火墻除了起到對某些禁止的業務進行封堵、對進出的訪問行為進行管理以及發現網絡攻擊時能夠及時的進行檢測和報警的作用,還能夠在有信息內容和活動通過防火墻時,做到及時的分析和記錄。
2.2加強殺毒軟件的安裝
在計算機上安裝殺毒軟件,對于保護好網絡信息安全有著非常重要的作用。其中殺毒軟件還可以叫做防毒軟件,還可叫做反病毒軟件,其作用是一種安全防護軟件,可以查找并消除電腦病毒、惡意軟件和特洛伊木馬。殺毒軟件是把許多功能集中于一體,主要包括對計算機的實時監控、對病毒的掃描與清除、自動更新病毒庫以及自動更新等,目前有一些殺毒軟件還帶有數據上傳與恢復的功能。防火墻、殺毒軟件、惡意軟件查殺程序和入侵防御系統等構成了計算機的防御系統,殺毒軟件是計算機防御系統中極其重要的一部分。
2.3加強虛擬專用網絡
隧道技術、加解密技術和密鑰管理技術構成了虛擬專用網絡。在使用一些不同協議的數據包或幀隧道傳遞數據的過程中所用到的技術就是隧道技術,隧道技術已經允許授權了一些移動用戶,加上已授權的非移動用戶,他們在瀏覽企業網絡數據信息時,沒有時間和IP地址的限制。加密技術作為一個相當成熟的數據通信,已經被廣泛的應用在互聯網數據傳遞中。為了保證未授權的用戶不能獲得相關的網絡信息,加密技術是必不可少的一項措施。密鑰管理技術有效保證了在網絡上傳遞的數據的安全性以及不被輕易竊取。密鑰管理技術在現階段主要可以被分為兩類—ISAKMP/OAKIEY和SKIP。其中前者有公用和私用之分,后者則主要是在網絡上傳輸的密鑰。
2.4完善網絡信息安全機制網絡信息安全機制的主要作用
是從管理上和技術上保證網絡安完整準確的安全。保障網絡信息安全的關鍵是建立一個完善的網絡信息安全機制。在完善網絡安全機制的過程中,除了要做到建立良好的網絡數字簽名機制、數據完整性機制、安全加密機制、訪問控制機制以外,還要對鑒別交換機制、公正機制、通信業務流填充機制以及路由控制機制等進行不斷的完善。
2.5加強網絡的安全管理
從日前的數據來看,超過百分之六十的信息安全出現了問題都歸咎于管理方面。職責分離原則、任期有限原則以及多人負責原則是安全管理網絡信息系統上的三個原則。加強網絡的安全管理不但要求管理網絡的人員提高其監督意識,既要加強使用人員的安全意識還要設置計算機的系統口令,非專業人員不得訪問。網絡管理人員也要做到盡職盡責,按照自己的職責與權限,對不同的系統設置不同的口令,在操作的過程中要保證其合法性,嚴格限制有些用戶對網絡資源進行非法的訪問和使用。
2.6加強法律法規的宣傳
在現階段的統計數據中可以看出,在我國有一百多條正在使用的國際國內信息安全相關的準則。信息安全保障體系是在網絡信息安全標準的基礎上建立的,保證了政府能夠對網絡進行合理有效的宏觀調控。目前,信息安全起著至關重要的作用,沒有網絡信息安全,國家的利益和人民的安全便得不到保證。網絡信息安全有利于產品實現互相操作和互相連接,是網絡安全產品更加可信。現如今,由于網絡不安全所產生的問題越來越多,網絡違法的行為時常發生在我們身邊,有些甚至因為網絡糾紛而鬧到了法庭。因此,必須加強與網絡相關的法律法規的宣傳,保證網絡能在健康的環境下運行,切實保障國家和人民的利益得以實現。當我們遇到網絡信息安全的糾紛時,必須走法律的途徑,用法律的手段維護自身利益,打擊網絡違法犯罪行為。
結語
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2電信網絡安全面臨的形勢及問題
2.1互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
參考文獻
[1]信息產業部電信管理局.電信網絡與信息安全管理[M].北京:人民郵電出版社,2004.
[2]陳綱.保障電信網絡安全的五項措施[N].通信產業報,2003-9-28.
1.1設計目標網絡安全檢測系統需要對網絡中的用戶計算機和網絡訪問行為進行審計,檢測系統具有自動響應、自動分析功能。自動相應是指當系統發現有用戶非法訪問網絡資源,系統將自動阻止,向管理員發出警示信息,并記錄非法訪問來源;自動分析是根據用戶網絡應用時應用的軟件或者網址進行分析,通過建立黑名單功能將疑似威脅的程序或者方式過濾掉。此外,系統還具有審計數據自動生成、查詢和系統維護功能等。
1.2網絡安全檢測系統架構網絡安全檢測系統架構采用分級式設計,架構圖如。分級設計網絡安全檢測系統具有降低單點失效的風險,同時還可以降低服務器負荷,在系統的擴容性、容錯性和處理速度上都具有更大的能力。
2系統功能設計
網絡安全檢測系統功能模塊化設計將系統劃分為用戶身份管理功能模塊、實時監控功能模塊、軟件管理模塊、硬件管理模塊、網絡管理和文件管理。用戶身份管理功能模塊是實現對網絡用戶的身份識別和管理,根據用戶等級控制使用權限;實時監控模塊對在線主機進行管理,采用UDP方式在網絡主機上的檢測程序發送監控指令,檢測程序對本地進行列表進行讀取,實時向服務器反饋信息;軟件管理模塊是將已知有威脅的軟件名稱、參數等納入管理數據庫,當用戶試圖應用此軟件時,檢測系統會發出警告或者是拒絕應用;硬件管理模塊對網絡中的應用硬件進行登記,當硬件非法變更,系統將發出警告;網絡管理模塊將已知有威脅網絡IP地址納入管理數據庫,當此IP訪問網絡系統時,檢測系統會屏蔽此IP并發出警告;文件管理模塊,對被控計算機上運行的文件進行實時審計,當用戶應用的文件與系統數據庫中非法文件記錄匹配,則對該文件進行自動刪除,或者提示用戶文件存在風險。
3數據庫設計
本文所設計的網絡安全檢測系統采用SQLServer作為數據庫,數據庫中建立主體表,其描述網絡中被控主機的各項參數,譬如編號、名稱、IP等;建立用戶表,用戶表中記錄用戶編號、用戶名稱、用戶等級等;建立網絡運行狀態表,其保存網絡運行狀態結果、運行狀態實際內容等,建立軟件、硬件、信息表,表中包含軟件的名稱、版本信息、容量大小和硬件的配置信息等;建立軟件、網址黑名單,對現已發現的對網絡及主機具有威脅性的非法程序和IP地址進行記錄。
4系統實現
4.1用戶管理功能實現用戶管理功能是提供網絡中的用戶注冊、修改和刪除,當用戶登錄時輸出錯誤信息,則提示無此用戶信息。當創建用戶時,系統自動檢測注冊用戶是否出現同名,如出現同名則提示更改,新用戶加入網絡應用后,網絡安全檢測系統會對該用戶進行系統審核,并將其納入監管對象。系統對網絡中的用戶進行監控,主要是對用戶的硬件資源、軟件資源、網絡資源等進行管控,有效保護注冊用戶的網絡應用安全。
4.2實時監控功能實現系統實時監控功能需要能夠實時獲取主機軟硬件信息,對網絡中用戶的軟件應用、網站訪問、文件操作進行檢測,并與數據庫中的危險數據記錄進行匹配,如發現危險則提出警告,或者直接屏蔽危險。
4.3網絡主機及硬件信息監控功能實現網絡主機及硬件信息監控是對網絡中的被控計算機系統信息、硬件信息進行登記記錄,當硬件設備發生變更或者網絡主機系統發生變化,則安全檢測系統會啟動,告知網絡管理人員,同時系統會對網絡主機及硬件變更的安全性進行判定,如發現非法接入則進行警告并阻止連接網絡。
5結束語
