关键词:网络信息;风险;防范
一、当前网络信息存在的风险
网络信息信息作为一种资源是用来供给人们运用参考,是需要经历了不同的转化过程,这也使得网络信息在每个运用环节中都有可能出现风险,具体可体现在以下环节:
1、网络连接。互联网络所覆盖的面积十分宽广,小至城市,大至国家都建立了网络连接。但这种大面积的网络连接最危险的地方在于可能出现多个隐患点,入侵者可以通过不断寻找的方式来找到网络薄弱的连接处以实现对网络系统的破坏。如:当彼此连接的网络有一处被侵入,必将影响同一网络上的安全[2]。
2、内部系统。操作系统是计算机网络的核心部件,系统的安全状况直接决定着网络信息的安全指数。用户在安全操作系统时常常只考虑使用功能的需要,并未注重内部系统的安全设置。如:在重新安装系统时以缺省选项进行设置,这就运用了大量不需要的服务模块、端口,给网络系统带来安全隐患,增加了网络信息的风险。
二、引发网络信息风险的原因
从网络信息风险的多样性可以思考出,引发网络信息出现安全隐患的原因也必然会是多方面的,用户只有掌握了风险的引发因素才能做好有效的防范与处理措施,维护网络信息的安全。
1、硬件设置缺乏。硬加是计算机的重要组成部分,硬件设置的具体情况将决定了网络系统的运行状态,决定了网络信息是否正常安全。硬件设置导致网络信息风险主要体现在文件服务器、网卡工作站两大方面[3]。文件服务器的配置不过关将影响网络系统功能的发挥,而网卡工作站出现问题会造成网络不稳定。
2、访问控制复杂。当前有很多站点于防火墙配置上不断地增加访问权限,未考虑到访问权限过大也会造成很大的安全隐患。访问权限的扩大很容易让别人随便利用网络而造成网络混乱。而访问控制配置过于复杂将引起配置出现问题,让别人能够入侵。
3、电脑病毒破坏。病毒几乎是和计算机一并产生的,只要运用到计算机网络,就必然会出现各种电脑病毒。其一般会造成计算机网络瘫痪、信息被盗取等风险问题。而如今计算机病毒技术的不断更新,使其给网络信息造成的破坏力逐渐增加。
4、网络系统漏洞。当前计算机操作系统与早期相比已经加快了升级的速度,各种高性能的系统正被逐渐研发使用。但不管是什么系统都有着自身难以消除的系统漏洞,用户仅能依靠检测修复的方式来避免漏洞风险却无法从根本上改变系统的漏洞风险。
三、防范网络风险的有效措施
鉴于网络风险给社会乃至国家的信息安全造成了巨大的安全隐患,作为网络的用户必须要提高风险防范意识,从多个角度采取措施来维护计算机系统的安全,避免网络信息遭到人为破坏。笔者通过研究列举了以下几种防范技术:
1、防火墙技术。对计算机网络安装防火墙最大的作用在于能够避免遭到黑客入侵。防火墙技术的预防原理为结合防火墙的功能对网络通讯实施相应的访问控制规定,只能同意用户允许的人和数据进入内部网络中,对于未经允许的用户和数据则会自动屏蔽,这样能够有效防止黑客的入侵,避免网络信息被更改、窃取。
2、抗病毒技术。网络病毒不仅危害大,而且传播速度极快,能以很短的时间散布于各个计算机网络。增加抗病毒技术的运用能够对网络病毒起到良好的抵制作用。当前抗病毒技术主要是通过安装不同的杀毒软件实现,如:卡巴斯基等。当杀毒软件安装完毕后需要定期对计算机进行杀毒或修复漏洞,维护计算机处于正常状态。
3、分段技术。分段技术的根本在于从源头开始对网络风险进行控制,当前局域网的传输方式主要是利用交换机作为中心、路由器作为边界,而中心交换机具备优越的访问控制功能及三层交换功能[4]。这就为分段技术的运用提供了有利的条件,如:通过物理分段、逻辑分段对局域网进行安全控制,把存在病毒的网络资源屏蔽,确保信息的安全使用。
4、系统安全技术。只有系统处于安全状态才能保证网络信息的安全性,利用相关的技术对网络系统进行维护是必不可少的安全措施。防护、检测、反映和恢复等是网络系统安全技术的重要组成部分。其具体方式在于对网络做好安全防范措施,定期对网络进行安全检测,对出现的问题进行及时反映,利用针对性的措施恢复系统的正常使用性能,通过这些防御措施来维护网络信息。
5、数据加密技术。数据加密是防范网络信息风险最直接最有效的一种方式,该技术主要是引导用户对传输过程中的数据设置有效的密码。数据加密包括了线路加密、端与端加密等,两种方式都有着自己的特点。线路加密主要对保密信息使用相应的加密密钥进行安全保护。端与端加密主要是对信息的发送者端进行加密,当数据到达TCP/IP后利用数据包回封。
四、加强网络信息化法制建设
降低网络信息的安全风险不能仅仅依靠网络方面采取的措施,还需要依靠国家法律的制裁与保护。惩治非法操作。对于网络上出现的非法操作,立法部门需要积极加强立法明细工作,对具体威胁到网络信息安全的行为给予惩治,以法律的权威性来制止网络违法犯罪的出现。我国立法机关应坚持安全原则,保证信息在网络传输、存储、交换环节中避免丢失、泄露、窃听[5]。降低网络信息风险需要从多方面开展工作,重点实施网络安全防范技术的同时还要结合国家法律部门的立法工作,以确保网络信息的安全。
【参考文献】
[1]蒋坡.论构建我国网络法的体系框架[J].政治与法律,2003,20(16):99-101.
[2]胡昌振.新时期的信息安全概念及方法论探讨[M].科技导报,2004,40(30):324-325.
【 关键词 】 网络安全;风险防范
1 引言
我国经济的快速发展拉动了各行各业的发展,计算机网络行业也不例外。由于网络信息技术的飞速发展和快速普及,使得人们对计算机网络的依赖性越来越强,计算机应用技术被应用在各个领域内。但是由于网络环境的多样性、复杂性和系统的脆弱性,导致了网络安全存在着很大的威胁。因此,分析计算机网络存在的安全风险,并据此提出保障和防范措施具有十分重要的意义。
2 计算机网络安全的涵义
网络安全的本质就是指网络系统的软件、硬件和网络系统中的重要数据的安全,不会因为偶然的原因或者恶意的行为受到破坏、泄露和更改。凡是有关网络信息的完整性、真实性、可用性、可控性和保密性的相关理论和技术,都是网络安全所要研究的内容。
从网络管理者和运营商的角度来讲,就是对本地网络信息的访问、读写等操作进行控制和保护,以免出现非法存取、病毒、和网络资源非法占用、控制等危害。从个人用户的角度来讲就,就是避免其他人或竞争对手利用冒充、篡改、窃听、抵赖等各种不正当的行为损害自己的隐私和利益。有一些黑客很热衷于发现整个网络系统的漏洞,并且利用和传播这些漏洞,给网络服务的质量保障、数据安全以及可靠性能带来安全隐患。所以,为了达到提高网络安全防御等级的目的,必须要提供相应的防范措施和安全工具
3 计算机各种网络风险分析
3.1 计算机病毒
在网络系统中,往往存在一些计算机病毒,即人为的在计算机程序中植入用来破坏计算机各项功能,甚至用来销毁数据,可以自我复制的一组程序代码。它是网络安全最大的敌人。计算机病毒有破坏性、触发性、寄生性、传染性、隐蔽性等显著特点。按其破坏性特点又可以分为恶性病毒和良性病毒,计算机病毒可以破坏主板、硬盘、显示器、光驱等。
在网络系统中传播计算机病毒后,会严重影响网络的正常运转,甚至会造成整个网络系统的瘫痪。目前,计算机病毒的传播手段一般都是通过网络实现的,在整个网络系统中,对一台用户计算机植入病毒,通过网络迅速传染到线路上的成千上万的计算机用户。所以,对计算机病毒的防范不能掉以轻心。
3.2 黑客入侵
黑客分为骇客和传统的黑客。黑客是在没有经过他人许可的情形下,通过自己特殊手段和技能登录到他人的网络服务器甚至是连接在网络上的单个用户的计算机,并且对其进行一些未经许可甚至是违法操作行为的人员。黑客对网络的攻击手段非常多,其中主要包括隐藏指令、获取网站的控制权限、在Cookie中植入代码、种植病毒和制造缓冲区溢出等。最为常用的手段是特洛伊木马程序技术,在一些正常的程序中植入必要的操作代码,该程序会在计算机启动时唤醒,从而能够控制用户计算机。
3.3 系统漏洞
系统漏洞是程序员在编写操作软件或应用软件时,逻辑设计上出现的缺陷或者错误。系统漏洞会被黑客或者不法分子利用,通过植入病毒、木马来控制计算机或者窃取计算机中的重要信息和资料,甚至会破坏整个计算机系统,如果连接到网络,通过网络的传播会严重危害到整个网络系统的安全。
3.4 配置漏洞
配置漏洞又称为物理漏洞,是指由于在网络系统中使用大量的网络设备,如交换机、服务器、路由器、防火墙和移动设备等,这些设备自身安全性直接关乎到整个系统和网络的运转。如路由器如果配置出错,用户就不能正常上网;服务器出错会影响整个网络信息的传输。
3.5 账户信息的泄漏
很多用户缺乏关于电脑的安全意识和防范经验,无法很好地保障自己的系统账户的隐私和安全。尤其在如今计算机的普及程度越来越高的大背景下,账户的数量也越来越多。大部分用户由于缺乏安全意识,所以只是设置一些比较简单和短小的口令,或者使用电脑的记忆功能将口令记住,导致了账号密码存在泄露或者被篡改的风险。
4 计算机网络风险防范对策
4.1 采取物理安全措施
物理安全指的是通过物理隔离来实现网络安全,而隔离的方法是将内部网络间接连在Internet网络上。主要目的是为了保护路由器、网络服务器和工作站等硬件设备和通信,免于遭到人为、自然灾害和窃听攻击。只有实现了内部网与公共网的物理隔离,才能保证内部的信息网络不受黑客侵犯,保证其安全。同时,物理隔离也增强了网络的可控性,便于管理员的内部管理。
4.2 实施病毒防范技术
在如今现代化的办公环境里,几乎每一个用户都受到过计算机病毒的危害,只是程度各异。计算机病毒是一种可执行程序,不仅可以自我复制,很多病毒还具有破坏应用程序、格式化硬盘和删除文件的能力。由于病毒在网络环境中具有巨大的破坏力和威胁性,因此对计算机网络环境病毒的防范成为了网络信息安全建设的重中之重。病毒的爆发对于用户的隐私和安全构成严重威胁,所以必须建立科学有效的病毒防护系统。常见的网络病毒防范技术主要包括预防病毒、检测病毒和网络消毒这三种技术。
4.3 实施身份认证技术
身份认证指的是在计算机网络应用中确认操作者身份。身份认证包括两种:用户和主机间的认证,主机和主机间的认证。用户和主机之间的认证可以用如下的因素来实现:用户所清楚的东西,比如设置的口令或者密码;用户所拥有的东西,比如智能卡;用户所具有的生理特征,比如指纹和声音。身份认证对于网络安全的构建具有重要作用。
4.4 采用防火墙技术
防火墙技术是进行网络安全设置的重要手段之一。其核心思想是在相对而言不太安全的网络环境中构建出一个相对而言比较安全的子网环境。防火墙主要用于两个网络间访问控制策略的执行,由于防火墙能阻止被保护的网络和互联网之间的信息存储与传递。防火墙作为不同网络以及网络安全域间信息的进出口,能根据用户所需的安全策略来控制进出网络的信息流,并且防火墙本身也具有抗攻击能力。现在的防火墙主要有三种类型:服务器型、包过滤型和全状态包过滤型。
4.5 实施入侵检测技术
入侵检测技术是指能够及时发现网络系统中未经授权或者出现异常现象,并对此作出及时报告,为保证计算机网络系统的安全而设计出的一种技术。这种技术可以检测出网络系统中违反安全策略的行为,可以保护自己免于受到黑客的攻击,并且还能对网络的内部攻击与外部攻击进行实时保护,在网络系统受到破坏之前就加以拦截与入侵。
4.6 采用漏洞扫描技术
漏洞扫描指的是对电脑进行多方位的扫描,检测出当前的网络系统是否出现了漏洞,如果有则需要立即修复,否则电脑就会受到侵害,也给网络黑客提供了可乘之机。因此漏洞扫描技术是保护网络和电脑的必要安全措施,也要求用户定时进行漏洞扫描,并对漏洞进行及时修复。
4.7 采取合理有效的管理措施
计算机的安全管理包括多个方面:建立安全的管理机构、加强和完善计算机的管理技术、加强计算机网络的法律法规与执行力度和对用户进行必要的安全教育。提高用户的安全意识和道德观念,加强计算机自身的安全管理对于防范和抵制黑客和病毒的干扰是具有重大意义的措施。
4.8 采用信息加密技术
随着互联网的发展和普及,QQ、MSN、E-mail等即时通讯工具和P2P工具都成了现代社会工作的必要工具。然后这些即时通信工具的使用容易造成信息的泄漏和文件的泄密,对个人和工作方面的隐私都具有威胁性。所以要采取信息加密技术,保障信息传输的安全。
4.9 保障数据安全和应用系统的安全
保障数据的安全主要包括三个方面:对重要数据进行备份、对重要数据进行恢复、文件删除后进行粉碎处理,以防文件删除后被恢复而导致泄密。而应用系统的安全则主要是指各种业务方面的应用软件,在不同的单位之间存在很大的区别。这些系统一旦出现问题,容易导致系统的瘫痪。这样可能会给黑客和病毒提供机会,导致信息的泄露,给工作单位带来严重后果。因此确保应用系统的正常运行和信息数据的安全是安全管理的核心任务,可以通过三个措施来进行有效防范:一是登录系统的授权控制;二是保障系统的安全运行;三是做好数据的备份。
5 结束语
计算机的安全管理是需要多方面的协调努力才能实现的一项重大工程。在计算机的网络运行中,不仅需要运用最新的专业技术来阻止和防范各种各样的病毒攻击,还要建立一个高效的安全运行的管理模式。国家也可以通过立法和执法,建立相关的法律法规和严惩措施,来防范网络信息安全存在的风险。信息网络安全风险的防范并不仅仅是通过技术手段就可以完全做到的,还要通过对其具体存在的不确定危险因素精细化分析和研究,才能提出比较可行的方案措施,确保网络安全。
参考文献
[1] 朱亮.浅谈计算机网络安全风险及防范[J].计算机光盘软件与应用,2012(11).
[2] 齐成才.浅谈计算机网络安全风险及防范[J].中国新技术新产品,2012(6).
[3] 张士波.网络安全风险探析[J].中国科技纵横,2011(14).
[4] 杨婷如.计算机网络安全风险防范必要性浅析[J].科技信息,2011(10).
[5] 韩劲松.计算机网络安全风险浅析[J].中国科技纵横,2010(14).
[6] 杨涛,李树仁,党德鹏.计算机网络风险防范模式研究[J].中国人口·资源与环境,2011(2).
[7] 姜伟.计算机网络安全及风险防范措施分析[J].消费电子,2012(13).
[8] 范光远,辛阳.防火墙审计方案的分析与设计[J].信息网络安全,2012,(03):81-84.
[9] 郎为民, 杨德鹏, 李虎生.智能电网WCSN安全体系架构研究[J].信息网络安全,2012,(04):19-22.
关键词:国有大型国企;网络安全;风险防范
中图分类号:F279 文献标识码:A 文章编号:1007-9416(2017)01-0204-02
互联网的飞速发展,海量的信息资源极大的方便了用户的信息需求,但同时也给网络用户带来了信息安全问题。网络的开放性使得其在安全性上存在病毒入侵、信息泄露等安全风险,据不完全统计全球平均每20秒就会发生一次网络安全事件;我国超过90%的网络管理系统都遭到过黑客攻击或病毒入侵。尽管完全遏制网络攻击几乎是不可能的,任一组织的网络系统都不可能是真正的“金刚”之身,可以说网络安全是网络时代的永恒任务。
1 大型国企的主要网络安全风险
我国大型国有企业已普遍建立了统一的计算机信息系统平台,由于生产、管理数据集中于一个平台上,一损俱损,因而对网络安全提出了很高的要求。以目前我国大型国企的网络安全现状来看,其安全威胁主要来自以下方面:(1)内网威胁。有调查显示约有七成的网络安全威胁来自于企业内部,对于国有企业而言,内部人员的非法操作或误操作对企业的危害是极大的。这些威胁主要表现为:内部人员无意或有意的泄露、盗取企业信息,滥用或误用内部敏感、关键数据等。尽管目前我国大型国企虽然内部T工的网络隐患防范意识正在逐步提高,但这些安全威胁仍然普遍存在的现实情况。(2)外网威胁。在当前这个信息互联的时代,几乎任何国有企业的局域网都实现是与外网互联。在复杂的网络系统中,可能每一天都有入侵者试图闯入网络节点。一旦有员工主机受到网络攻击或感染病毒,就有可能影响整个企业的网络系统,甚至还可能影响到与企业网络系统有链接的其它单位网络。(3)系统风险。系统风险包括,操作系统风险与应用系统风险两大类。目前没有安全漏洞的操作系统是不存在的,当企业网络连上外网之后,必然存在非法入侵的可能。如果大型国有企业操作系统没有采用较高安全级别的系统配置与系统应用,就很容易被人侵入,给企业带来网络安全风险。应用系统的安全风险则更为复杂,因为应用系统是动态的。对于大型国企而言,应用系统的风险主要包括:1)服务器风险。大型国有企业的网络应用多为共享资源,员工有意或无意将硬盘中的信息共享,并长期暴露在网络邻居上的现象是很常见的,这些信息很容易被泄露出去,影响企业的信息安全。2)数据库风险。包括猜测或盗取口令访问、非授权用户的访问、攻击数据库漏洞等风险。当然,因意外导致数据库信息丢失,造成的安全问题也不应该被忽视。3)病毒侵害。通常病毒程序会通过网上下载、人为投放、电子邮件等途径潜入企业内部网络系统。由于大型国企的网络平台是统一的,因此一旦有一台主机感染病毒,就可能迅速影响整个企业内部网络,造成信息泄露、死机、文件数据丢失等安全隐患。4)数据传送风险。对于大型国有企业而言,数据安全尤为重要,数据在公网传输过程中也可能被人非法窃取、删改,一些与竞争对手可能通过技术手段给传送线路上的信息做手脚,造成数据受损或泄露。(4)管理风险。网络管理是大型国有企业网络安全防范中的重要内容,是必要的部分,对降低企业网络安全风险作用重大。其主要包括:1)责任不清,权限管理混乱,致使信息泄露,且出现问题后,追责也较为困难;2)内部不满员工也可能导致信息泄露;3)为了省事或便于记忆,有些大型国有企业设置的登录口令过于简单,导致极易破解,造成网络安全风险等。
2 确保大型国企网络安全的主要技术
所谓网络安全技术,即解决介入控制及确保数据传输安全的技术手段。目前主要的网络安全技术有:(1)网络防火墙技术。作为一种加强网络间访问控制,阻止外网非法入侵的技术手段,网络防火墙技术对保护大型国企内部网络操作环境,维护网络安全有着重要的作用。它能够按照一定得安全策略检测网络间得通信许可,并监视系统的网络运行情况。防火墙负责网络的安全认证,是整个网络安全体系中的最底一层。现代防火墙技术发展迅速,目前已开始向网络层之外的其他安全层级延伸,不再只是单纯的安全过滤,还可以向网络应用提供一定的安全服务,有一些防火墙产品甚至可以提供数据安全、病毒防御、用户认证等多种安全服务。(2)安全隔离。从安全风险来看,基于网络层与基于应用层的攻击较多,难以防范。几年来兴起了一种全新安全防护技术――安全隔离技术。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成信息的安全交换。(3)网络防毒及防蠕虫技术。蠕虫病毒与普通病毒不同,这类病毒通常可以单独安装到系统中,可以独立运行――这也是蠕虫病毒与普通计算机病毒的主要区别。目前,蠕虫病毒越来越多,隐蔽性也越来越强,很难被用户发现,因此危害极大。控制普通病毒的方法是搭建全网终端的集中式防病毒系统;而控制蠕虫病毒需要“阻断”其传播途径,构建邮件防御、漏洞防御、共享防御等立体式的防病毒系统。(4)加密技术。加密技术可分对称加密与非对称加密。对称加密即对信息的加密和解密都使用相同的钥,该方法可简化加密处理过程,信息交换双方都不必彼此研究和交换钥的加密算法。非对称加密即将密钥被分解公钥和私有密钥。这对密钥中任何一把都可以作为公钥(加密密钥)通过非加密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。
3 大型国企网络安全风险的防范措施
对于大型国有企业而言,计算机网络信息资源直接关系到其内部各项业务的运行,如果出现安全问题,轻则影响其网络的正常使用,重则导致整个网络平台瘫痪,数据丢失,信息外泄,给企业带来巨大的损失。因此应根据大型国企的实际情况制定安全防范措施,确保网络安全。
一方面,要加强网络安全管理。对于大型国有企业而言,网络安全管理特别重要,在实践中,我们发现许多网络安全问题出现在组织资源管理上。大型国有企业,可在遵循网络安全多人负责、职责分离、任期有限制的原则下,根据企业需要,制定与企业安防重点、工作环境、业务流程相应的安全管理制度,降低网络安全风险。第一,加强口令安全管理。所有企业内部员工必须对自己的工号或上机口令保密,并定期更改,以防被盗用,尤其是要加强对超级用户的口令保密。为了确保超级用户口令安全,超级用户或系统管理员应只在中心机房登陆,减少密码口令被盗风险。第二,建立严格的设备维护制度。设备安全是其他安全性措施的前提。除了要做好计算机的防火、防雷、防水、防盗等物理设备安全外,还应在不同地点,采用多介质备份操作系统及数据库系统,以防因设备问题导致数据、信息丢失。此外,对于大型国有企业而言,还应编制网络系统的运行记录,以便及时掌握全网运行状态。第三,构建病毒立体防御管理机制。包括定期对网络系统进行查毒、杀毒、升级杀毒程序;对员工进行防病毒教育;严谨在生产机器上安全与业务无关的软件等。通过安全管理,可使大型国企员工充分意识到网络安全工作的重要性。
另一方面,病毒与黑客技术也发展很快,且种类很多,因此,对于大型国有企业来说,充分利用、发展现代安防技术,构建立w防御体系也是极为必要的。第一,划分并隔离不同安全域。以大型国有企业的安全需求划分、隔离不同的安全域,防止误操作域无权访问。第二,建立防火墙系统。对网络接口、网络拨号接口、数据库、PC终端、DMZ等建立防火墙系统,并有针对性的进行防火墙隔离。第三,防范病毒和外部入侵。大型国企网管可以在CISCO路由设备中设置用户口令及EN―ABLE口令,解决网络层的安全问题;可以利用UNIX系统的安全机制,保证用户身份、用户授权和基于授权的系统的安全;对各服务器操作系统和数据库设立访问权限,以防非法用户使用TELNET、FTP等远程登录工具非法入侵。第四,加密、认证技术。加密技术主要用于网络安全传输、公文安全传输、桌面安全防护等方面;采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,从而发现系统遭受的攻击伤害。第五,PKI体系。公钥基础设施(PKI)是通过使用公钥技术和数字证书来确保系统网络安全并负责验证数字证书持有者身份的一种体系。PKI可以提供的服务包括:认证服务,保密(加密),完整,安全通信,安全时间戳,不可否认服务(抗抵赖服务),特权管理,密钥管理等。总之,大型国企的网络安全管理,其重要在于关键点管理,企业应在可以接受的成本范围内对症下药,通过“整体防御+重点保护”相结合,维护网络安全。
参考文献
1电子政务网络安全风险
1.1网络结构难以控制
近年来随着互联网技术的快速发展,网络技术已经普及到人们的生活和工作当中,网络规模日益扩大,网络结构越来越复杂,随着而来的网络安全问题也越来越突出。很多情况下,网络系统配置没有随着网络规模的扩大而及时进行优化就会导致网络性能下降,极易导致网络安全隐患,为电子政务网络带来巨大的损失。
1.2网络漏洞不能及时发现
一般来讲,网络漏洞是招致网络攻击的重要原因,电子政务网络具有规模庞大、网络设备种类繁多、系统多样等特点,在没有完善的网络安全防范系统的情况下,单靠网络管理员的能力是无法保证网络安全的,尤其是近年来网络黑客技术水平不断提高,电子政务网络的安全问题也越来越突出,如果网络漏洞不能被及时发现就极易成为成为网络黑客攻击的对象。
1.3信息泄露、丢失
网络信息泄露、丢失主要是指系统数据在未知情况下发生泄露、丢失,主要是非法入侵着在输过程中通过同搭线技术建立引起随时窃取重要保密信息,探测用户账号和密码,另外还包括由于工作人员失误导致的存储介质丢失信息等情况。
1.4非授权访问
通常情况下,用户只有在被授权的情况下才能进入网络并访问和应用网络资源,如果在没有授权的情况下浏览网络资源时称之为非授权访问。非授权访问是一种不遵守系统访问控制机制的非法行为,包括非法用户访问网站并进行非法操作,或者合法用户进行确权操作等。
1.5内部攻击
网站攻击是电子政务网络存在的最大安全隐患,包括外来黑客攻击和内部系统的攻击,其中来自系统内部的攻击所占比例较大,主要是内部员工对网络系统、操作系统发起的攻击。
1.6数据交换安全无法保证
电子政务网络的外网是与Internet相互联的,所以外网子在进行数据交换的过程中存在的安全隐患对内网也会造成极大威胁,例如计算机病毒、垃圾邮件等。
2电子政务网络的安全防范措施
2.1加强基础安全服务设施建设
完善的安全服务设施可以为电子政务网络系统提供一个良好的网络环境,是实现网络安全以及保证带着你政务网络高效、安全运行的基本条件。电子政务网络基础安全设施建设需要做到以下几点:
2.1.1完善网站访问身份验证机制
网站能否满足用户的访问需求需要经过系统安全措施对用户的身份进行验收,只有身份验证通过才能进行访问,如果用户身份没有得到验证,则此时的系统防火墙变化发挥作用,识别假的用户信息并不予服务,所以用户身份验证是电子政务基础安全策略的一个关键问题。
2.1.2加强网络设备管理
网络设备的有效管理对网络安全有着重要影响,而建立一个比较容易管理的、可操作性强的网络首先要加强网络设备管理,有必要时赋予部分网络设备一些可信的识别码,以便对网络设备的访问权限和访问位置进行管控。
2.1.3保证数据的安全性
数据安全是电子政务网络安全的核心问题,所以要保证信息数据的保密性、完整性,以便用户可以从系统上获取可信度高的、未被修改的信息数据。
2.2充分利用安全技术保证平台安全
电子政务网络安全的防范措施除了加强基础安全服务设施建设外还需要充分利用当前的安全技术和安全产品以进一步保证网络系统的安全性,例如网络攻击检测技术、漏洞检测技术、通讯加密技术、访问控制技术等等,各种网络安全技术和产品的应用可以有效防御网络攻击、控制用户权限、预防信息泄露或者被破坏,可以为电子政务网络创建一个安全的运行环境。
2.2.1数据交换安全性
电子政务网络系统的日常工作中需要进行网络数据交换,不论是外网数据交换、专网数据交换还是内网数据交换都非常频繁,而数据传输与交换也是存在极大安全隐患的环节,所以需要采用有效技术措施来保证网络数据交换的安全性,例如采用物理隔离网闸实现不同安全级别网络之间的安全隔离,以保证网络数据的安全交换。
2.2.2网络域访问控制
电子政务网络系统不仅要对系统内部设备进行访问权限控制,同时也要对远程接入设备进行限制,如此才能最大程度确保网络的安全性。例如采用防火墙技术、VLAN技术对网络范围进行顾虑,进而实现对网络域访问的控制。
2.2.3通讯加密
电子政务网络系统中包括大量保密性数据,为了保证数据的安全性,在加强网络环境安全防范的同时还需要对重要数据进行加密,例如利用IPSEC、API等技术来实现重要数据的安全通讯。
2.2.4防御网络病毒
网络病毒是导致网络安全风险的重要因素,因此电子政务系统的安全防范更需要作用病毒防御工作,采用防病毒软件对整个网络环境进行全方位监控,所采用的防病毒软件要与网络环境设计相兼容,并具备自动升级能力,以灵活应对病毒的变异。
3结论
随着网络信息技术的发展,我国电子政务网络系统不断完善,目前正向层级化、宽带化方向发展,极大的提高了事务处理效率和服务水平。网络系统安全是一个老生常谈的问题,但也是一个不容忽视的问题,尤其对于电子政务网络系统来讲,更需要做好安全防范工作,通过分电子政务网络安全风险,并采取针对性措施进一步确保系统安全性,以保证国家安全,保证人们利益。
作者:江睆 单位:湖北工业大学
参考文献:
一电子政务网络安全风险
一.一网络结构难以节制
最近几年来跟着互联网技术的快速发展,网络技术已经经普及到人们的糊口以及工作之中,网络范围日趋扩展,网络结构愈来愈繁杂,跟着而来的网络安全问题也愈来愈凸起。良多情况下,网络系统配置没有跟着网络范围的扩展而及时进行优化就会致使网络机能降落,极易致使网络安全隐患,为电子政务网络带来巨大的损失。
一.二网络漏洞不能及时发现
1般来说,网络漏洞是招致网络袭击的首要缘由,电子政务网络拥有范围庞大、网络装备种类繁多、系统多样等特色,在没有完美的网络安全防范系统的情况下,单靠网络管理员的能力是没法保证网络安全的,特别是最近几年来网络黑客技术水平不断提高,电子政务网络的安全问题也愈来愈凸起,如果网络漏洞不能被及时发现就极易成为成为网络黑客袭击的对于象。
一.三信息泄漏、丢失
网络信息泄漏、丢失主要是指系统数据在未知情况下产生泄漏、丢失,主要是非法入侵着在输进程中通过同搭线技术树立引发随时盗取首要保密信息,探测用户账号以及密码,此外还包含因为工作人员失误致使的存储介质丢失信息等情况。
一.四非授权走访
通常情况下,用户只有在被授权的情况下才能进入网络并走访以及利用网络资源,如果在没有授权的情况下阅读网络资源时称之为非授权走访。非授权走访是1种不遵照系统走访节制机制的非法行动,包含非法用户走访网站并进行非法操作,或者者合法用户进行确权操作等。
一.五内部袭击
网站袭击是电子政务网络存在的最大安全隐患,包含外来黑客袭击以及内部系统的袭击,其中来自系统内部的袭击所占比例较大,主要是内部员工对于网络系统、操作系统发起的袭击。
一.六数据交流安全没法保证
电子政务网络的外网是与Internet互相联的,所之外网子在进行数据交流的进程中存在的安全隐患对于内网也会造成极大要挟,例如计算机病毒、垃圾邮件等。
二电子政务网络的安全防范措施
二.一加强基础安全服务设施建设
完美的安全服务设施可以为电子政务网络系统提供1个优良的网络环境,是实现网络安全和保证带着你政务网络高效、安全运行的基本前提。电子政务网络基础安全设施建设需要做到下列几点:
二.一.一完美网站走访身份验证机制
网站能否知足用户的走访需求需要经由系统安全措施对于用户的身份进行验收,只有身份验证通过才能进行走访,如果用户身份没有患上到验证,则此时的系统防火墙变化施展作用,辨认假的用户信息其实不予服务,所以用户身份验证是电子政务基础安全策略的1个症结问题。
二.一.二加强网络装备管理
网络装备的有效管理对于网络安全有侧重要影响,而树立1个比较容易管理的、可操作性强的网络首先要加强网络装备管理,有必要时赋与部份网络装备1些可托的辨认码,以便对于网络装备的走访权限以及走访位置进行管控。
二.一.三保证数据的安全性
数据安全是电子政务网络安全的核心问题,所以要保证信息数据的保密性、完全性,以便用户可以从系统上获取可托度高的、未被修改的信息数据。
二.二充沛应用安全技术保证平台安全
电子政务网络安全的防范措施除了了加强基础安全服务设施建设外还需要充沛应用当前的安全技术以及安全产品以进1步保证网络系统的安全性,例如网络袭击检测技术、漏洞检测技术、通信加密技术、走访节制技术等等,各种网络安全技术以及产品的利用可以有效防御网络袭击、节制用户权限、预防信息泄漏或者者被损坏,可以为电子政务网络创立1个安全的运行环境。
二.二.一数据交流安全性
电子政务网络系统的日常工作中需要进行网络数据交流,不管是外网数据交流、专网数据交流仍是内网数据交流都无比频繁,而数据传输与交流也是存在极大安全隐患的环节,所以需要采取有效技术措施来保证网络数据交流的安全性,例如采取物理隔离网闸实现不同安全级别网络之间的安全隔离,以保证网络数据的安全交流。
二.二.二网络域走访节制
电子政务网络系统不但要对于系统内部装备进行走访权限节制,同时也要对于远程接入装备进行限制,如斯才能最大程度确保网络的安全性。例如采取防火墙技术、VLAN技术对于网络规模进行顾虑,进而实现对于网络域走访的节制。
二.二.三通信加密
电子政务网络系统中包含大量保密性数据,为了保证数据的安全性,在加强网络环境安全防范的同时还需要对于首要数据进行加密,例如应用IPSEC、API等技术来实现首要数据的安全通信。
二.二.四防御网络病毒
网络病毒是致使网络安全风险的首要因素,因而电子政务系统的安全防范更需要作用病毒防御工作,采取防病毒软件对于整个网络环境进行全方位监控,所采取的防病毒软件要与网络环境设计相兼容,并具备自动进级能力,以灵便应答病毒的变异。
关键词:无线网络;安全风险;防范技术
随着经济与科技的发展,人们在日常生活与工作当中都会使用无线网络,有些政府部门在传输数据信息时也会使用无线网络。无线网络传输数据信息可以提高传输的速度,这对于经济的发展是有利的。但是无线网络存在着一些安全问题,这跟无线网络开放性的设计有关。因此,如何保证无线网络可以安全地使用,是无线网络的重要问题。
1无线网络安全方面的风险
1.1无线网络存在被盗用的风险。简单来说,这种风险就是有一个没有经过授权的计算机接入了无线网络中,而这种行为被人们称为了“蹭网”。用户的无线网络被盗用会给用户带来不利的影响。主要表现在以下几个方面:首先,会降低用户无线网络的使用速度;其次,假如用户使用的是依据使用的流量来付费的服务,就会给用户造成一定的经济损失;再次,这种情况会提高用户无线网络被入侵的概率;最后,假如有黑客使用用户的无线网络进行黑客行为,将会对用户造成不利的影响[1]。1.2网络通信存在被窃听的风险。简单来说,这种风险就是用户在使用网络传输数据信息时被其他人截获的情况。很多的数据信息在通过无线网络传输时都是不使用密码的,通过一些有心的观察、监听等方法,就可以截获这些用户的数据信息。比如:在同一个局域网中的一台计算机可以使用一些可以监控数据的软件来截获另一台计算机使用的网址,还可以截获计算机上的一些聊天记录等。1.3存在钓鱼攻击的风险。这种风险就是用户受到一些存在钓鱼情况的无线网络接入点的攻击。这种攻击方法会提前建设一个无线网络的接入点,并且会开放地让用户接入到这些接入点中。然而,假如用户使用了这些钓鱼无线网络接入点,用户的电脑就会受到一些入侵,严重的用户的计算机都会被别人控制,可能会被人盗取文件或者是被植入一些木马病毒等。1.4无线接入点被其他人控制。目前,很多家庭都会使用的无线路由器就是一种无线接入点。无线接入点被其他人控制指的就是没有授权的人获取了无线路由器的控制权。在这些人盗取了无线网络的密码并且接入这个网络之后,就可以访问无线接入点的管理页面,假如用户的无线接入点的验证密码很简单,这些人就可以进入无线接入点的管理页面并进行修改[2]。这种情况可能会引发严重的问题,主要体现在以下几点:首先,在无线接入点被其他人控制之后,就可以随便修改用户的无线接入点的设置;其次,在无线路由器的管理页面当中,保存着用户的上网账号与口令,利用一些可以查看密码的软件就可以获得用户的账号与口令。
2无线网络加密的技术
2.1WEP使用有线等效保密协议(WiredEquivalentPrivacy,WEP)的目的就是要加强无线网络数据的安全性,以达到相关的网络安全性的标准。WEP由10个或者是26个十六进制的数字构成,这就给使用无线路由器的数据提供了安全方面的选择。这种技术是利用串流加密的方法来达到对于安全传输数据的需要,并且使用循环冗余校验的方法来校验,并保证传输的信息是正确的[3]。1999年9月,就已经把WEP作为了无线网络加密的一个标准。其使用的是40位的密码钥匙来进行加密的,同时利用RC4与循环冗余校验的方法来进行校验工作,这是通过连接24位的初始化向量来形成的一个RC4的密码钥匙。通常情况下,64位的WEP的密码钥匙要输入10个十六进制的字符。这10个字符中每一个字符都是代表4位的,而这4位再乘以10就成了40位,在加入了24位之后就形成了一个完整的64位密码钥匙。很多的设施还会允许用户的进入关键字是5的美国信息交换标准代码的字符,每一个字符串在划分成8个组之后就可以在ASCII字符的字节值当中打开。可是这也制约了字节的打印工作,只有少部分的字节有着被破解的风险,这就有效地降低了密码钥匙被破解的危险性。2.2WPA和WPA2WiFi网络安全接入(WiFiProtectedAccess,WPA)主要的计算标准就是WPA与WPA2,而现在无线网络大多使用的是WPA的标准。临时密码钥匙的完整性的协议是使用WPA的标准。但是WEP所应用的是40位或者是128位的密码钥匙,这种密码钥匙是要手动输入无线接入点和无线设备的,也不会自己进行修改。临时密码钥匙的完整性的协议是使用一包一密的一种加密的方法,这种标准就是形成了一个计算128位的密码的算法,用来保护数据的安全,进而有效避免用户受到一些攻击。这种方法是用来保护无线网络安全的一种技术,其是根据用户的需求而研发的,使用这种技术可以有效解决有线加密技术的缺点。而无线应用通信协议(WirelessApplicationProtocol,WAP)是在WEP向WAP2过渡时的一种方法,WPA是可以使用在无线网卡当中的,但是不能用在无线网络当中。WPA2是经过WiFi联盟认证的,其算法已经被计数器模式密码块链消息完整码协议(CounterCBC-MACProtocol,CCMP)讯息认证码取代,这种计算方法是比较安全的,而加密的方法也使用了更加高级的加密标准。WPA2也有一些缺点,就是不能使用在较为旧的网卡设施当中。相较于WEP来说,WPA的加密能力是比较高的。其使用的加密与解密的方式是相同的,也是静态的密码钥匙,WPA是利用安全密码钥匙来确保数据的安全性,这是利用临时密码钥匙的完整性协议来实现的,对于无线网络的发展是有利的。这种系统是利用在每一个规定的时间之中修改传输数据的安全密码钥匙,来有效避免一些黑客等对这些数据的破坏或者是截获。相较于WEP来说,WPA给用户提供的服务更加完整、更加安全,可以有效避免黑客截获这些数据或者是修改这些数据,有效地保证了用户的数据安全。
3无线网络安全风险的防范技术
3.1隐藏服务集标识。这种服务集标识是根据网络体系的不同来进行划分的,也就相当于有线网络中的虚拟局域网,在终端接入了任何一个服务集标识的网络的情况下,是不能和其他服务集标识的信息相互沟通的。考虑到使用的安全性,生产无线路由器的厂家研发了可以隐藏服务集标识的一个功能。使用这种技术,可以防止没有授权的用户获取隐藏的服务集标识禁止使用的接入点的名称。主要的原因就是计算机的系统是不能扫描到无线网络的地址的,但是我们也要防范一些可以破解无线网络的设备与软件,以免这些软件会分析出服务集标识的真实情况。3.2设置白名单计算机过滤。Mac地址也是需要使用网络的,这种方法不仅可以在有线网络使用,也可以在无线网络中使用。这种方法在有线网络与无线网络当中的使用方式是一致的。在我们设置了终端网卡的白名单以后,一些并不在这些白名单中的地址就不能进行访问了[4]。3.3使用WPA和WPA2技术。为了有效地解决保护无线电脑网络安全系统中的各种安全方面的问题,通常会使用WPA和WPA2这两种加密的方式,因为安全性比较高,保密的级别也比WEP更高。另外,还应该采用一定的措施来预防一些暴力的非法入侵,同时应该定期更改密码钥匙,提高保密程度。3.4预防对磁盘操作系统的攻击。打开磁盘操作系统预防工作的功能,就可以在一定的时间内统计相关的数据,假如在经过统计之后获得的这些信息满足了之前设置的阀值的情况下,系统就会认为已经出现了对磁盘操作系统进行攻击的行为,而对应的路由器就不会再接受这些数据,从而有效地防范了一些对磁盘操作系统的攻击行为。另外,我们应该开启“禁止来自局域网接口的因特网包探索器经过路由器”的功能,这可以有效避免主机的资源被过度消耗。3.5提高对网络的访问权限的控制力度。无线网络极为容易受到攻击与容易受到攻击是不同的,在设置无线接入点的时候,应该尽量将其设置在安全设施的外部,使用相关的技术将无线接入点和主干网络连接到一起,现在就有这种新型的产品,这种产品可以有效地确保用户访问的无线网络的安全性[5]。
4结语
随着计算机技术与互联网技术的发展,人们在平常的生活与工作当中都会使用无线网络,但是使用无线网络的时候还存在着一些安全问题,这就需要加强对网络安全方面的管理。另外,我们还应该使用一些新研发的策略来确保无线网络的安全性,进而保证无线网络可以正常运行,给用户提供更好的服务。
作者:朱礼俊 单位:三江学院
[参考文献]
[1]李刚.试论计算机信息管理技术在网络安全中的运用[J].无线互联科技,2016(2):123-124.
[2]张继永.水声网络信息安全保密风险分析[J].数字技术与应用,2016(3):218-219.
[3]MUIRURIJ.基于Metasploit渗透攻击的无线网络安全研究[D].兰州:兰州理工大学,2016.
关键词:企业网络;银联;网络安全;网络体系;技术手段
随着信息技术的高速发展,互联网越来越被人们所重视,从农业到工业再到高科技产业各行各业,都在使用互联网参与行业生存与竞争。企业对网络的依存度越来越高,网络在企业中所处的位置也越来越重要,系统中存储着维系企业生存与竞争的重要资产――企业信息资源。但是,诸多因素威胁着计算机系统的正常运转。如自然灾害、人员的误操作等,不仅会造成系统信息丢失甚至完全瘫痪,而且会给企业造成无法估量的损失。因此,企业必须有一套完整的安全管理措施,以确保整个计算机网络系统正常、高效、安全地运行。本文就影响银联计算机网络安全的因素、存在的安全隐患及其应对策略3个方面进行了做了论述。
一、银联网络安全存在的风险及其原因
(一)自然因素
首先,攻击之首为病毒攻击。由于银联网络庞大而复杂不可避免地要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的,而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器,造成机器“罢工”,另一方面会大量占用网络带宽,阻塞正常流量,形成拒绝服务攻击。事实上完全避免所有终端上的病毒是不可能的,但要尽量减少病毒爆发造成的损失和恢复延时是完全可能的。但是由于一些工作人员的疏忽,使得银联网络被病毒攻击的频率越来越高,所以病毒攻击应该引起特别关注。
其次,是软件漏洞。任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下方面:
1、协议漏洞。例如IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。
2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。
3、口令攻击。例如Unix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令破译方法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。
(二)人为因素
银联网络安全存在的风险的人为因素有操作失误、恶意攻击。
银联计算机网络所面临的最大的人为威胁是恶意攻击:敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;被动攻击,它是在不影响网络正常工作的情况下。进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁,每年银联和网络运营商都要花费大量的人力和物力用于该方面的网络安全防范,因此,防范人为的恶意攻击将是银联网络安全工作的重点。
银联计算机网络所面临的第二大人为威胁是操作失误:操作员安全配置不当造成的安全漏洞,用户安全意识不强。用户口令选择不慎。用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在银联计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少。对网络安全已不构成主要威胁。
二、构建安全的网络体系结构
(一)设计银联网络安全体系的原则
设计网络安全体系的原则是安全性、高效性、可行性。首先是体系的安全性设计:设计网络安全体系的最终目的是为保护信息与网络系统的安全所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。其次是系统的高效性设计:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。网络系统的安全体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。最后是网络安全体系的可行性设计:设计网络安全体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只能是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。
(二)银联网络安全体系的可承担性
银联网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由银联来支持,要为此付出一定的代价和开销。如果银联付出的代价比从安全体系中获得的利益还要多,那么就舍弃这个方案。所以,在设计网络安全体系时,必须考虑银联企业的业务特点和实际承受能力,必需要按电信级、银行级标准来设计这4个原则,即安全第一、保障性能、投入合理、考虑发展。
(三)银联网络安全体系的建立
银联网络安全体系的定义:银联网络安全管理体系是一个在多个银行之间建立的网络系统内,结合安全技术与安全管理,以实现系统多层次安全保证的应用体系。
银联网络系统完整的安全体系系统物理安全性主要是指从物理上保证系统中各种硬件设备的安全可靠,确保应用系统正常运行。主要包括以下方面:防止非法用户破坏系统设备,干扰系统的正常运行。防止内部用户通过物理手段接近或窃取系统设备,非法取得其中的数据。为系统关键设备的运行提供安全、适宜的物理空间,确保系统能够长期、稳定和高效的运行。例如中心机房配置温控、除尘设备等。
银联网络安全性主要包括以下方面:限制非法用户通过网络远程访问和破坏系统数据,窃取传输线路中的数据。确保对网络设备的安全配置。对网络来说,首先要确保网络设备的安全配置,保证非授权用户不能访问任意一台计算机、路由器和防火墙。网络通讯线路安全可靠,抗干扰。屏蔽性能好,防止电磁泄露,减少信号衰减。防止那些为网络通讯提供频繁服务的设备泄露电磁信号,可以在该设备上增加信号干扰器,对泄露的电磁信号进行干扰,以防他人顺利接收到泄露的电磁信号。
银联网络应用安全性主要是指利用通讯基础设施、应用系统和先进的应用安全控制技术,对应用系统中的数据进行安全保护,确保能够在数据库级、文档/记录级、段落级和字段级限制非法用户的访问。另外,对存放重要数据的计算机(服务器、用户机)应使用安全等级较高的操作系统,利用操作系统的安全特性。
三、银联网络系统安全的技术实现
(一)防火墙技术
在外部网络同内部网络之间应设置防火墙设备。通过防火墙过滤进出网络的数据,对进出网络的访问行为进行控制和阻断,封锁某些禁止的业务,记录通过防火墙的信息内容和活动。对网络攻击进行监测和告警。防火墙可分为包过滤型、检测型、型等,应根据不同的需要安装不同的防火墙。
(二)划分并隔离不同安全域
根据不同的安全需求、威胁,划分不同的安全域。采用访问控制、权限控制的机制,控制不同的访问者对网络和设备的访问,防止内部访问者对无权访问区域的访问和误操作。
我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。在关键服务器区域内部,也同样需要按照安全级别的不同进行进一步安全隔离。
划分并隔离不同安全域要结合网络系统的安防与监控需要,与实际应用环境、工作业务流程和机构组织形式密切结合起来。
(三)防范病毒和外部入侵
防病毒产品要定期更新升级,定期扫描。在不影响业务的前提下,关闭系统本身的弱点及漏洞并及时打上最新的安全补丁。防毒除了通常的工作站防毒外,email防毒和网关式防毒己经越来越成为消除病毒源的关键。还应使用扫描器软件主动扫描,进行安全性检查,找到漏洞并及时修补,以防黑客攻击。
银联网管可以在CISCO路由设备中,利用CISCO IOS操作系统的安全保护,设置用户口令及ENABLE口令,解决网络层的安全问题,可以利用UNIX系统的安全机制,保证用户身份、用户授权和基于授权的系统的安全,对各服务器操作系统和数据库设立访问权限,同时利用UNIX的安全文件,例如/etc/hosts.equiv文件等,限制远程登录主机,以防非法用户使用TELNET、FTP等远程登录工具,进行非法入侵。
(四)备份和恢复技术
备份是保证系统安全最基本、最常用的手段。采取数据的备份和恢复措施,有些重要数据还需要采取异地备份措施,防止灾难性事故的发生。
(五)加密和认证技术
加密可保证信息传输的保密性、完整性、抗抵赖等,是一个非常传统,但又非常有效的技术。加密技术主要用于网络安全传输、公文安全传输、桌面安全防护、可视化数字签名等方面。
(六)实时监测
采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络实时监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征。
(七)PKI技术
公开密钥基础设施(PKI)是通过使用公开密钥技术和数字证书来确保系统网络安全并负责验证数字证书持有者身份的一种体系。PKI可以提供的服务包括:认证服务,保密(加密),完整,安全通信,安全时间戳,小可否认服务(抗抵赖服务),特权管理,密钥管理等。
四、结束语
网络的安全与银联利益息息相关,一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,银联网络管理人员要掌握最先进的技术,把握住银联网络安全的大门。
参考文献:
1、李国栋,刘克勤.Internet常用的网络安全技术[J].现代电力,2001(11).
2、肖义.PKI网络安全平台的研制与开发[J].山东电子,2002(1).
3、钱蓉.黑客行为与网络安全[J].电力机车技术,2002(1).
4、张立,卫红勤.银行计算机网络安全建设[J].,2006(8).
关键词 网络安全;威胁;防范
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)58-0173-02
随着经济社会的发展,网络应用的范圃越来越广泛,社会对网络的依赖程度也越来越大,通过网络阐述、存储和处理的信息量迅速增长。这些信息涉及的范围十分广泛,如果有些保密信息或敏感信息受到怀有不良目的的人或组织的攻击或者破坏,就可能会造成严重的后果。因此,网络安全已经成为关系国家安全、经济发展和社会稳定的一个重大问题。
1 网络面临的安全风险
计算机网络一直面临着来自多方面的安全威胁,这些威胁有来自外部系统的恶意攻击、系统本身的安全缺陷或安全漏洞威胁,有系统内部各种应用软件的安全漏洞威胁,人为或偶然事故构成的威胁,还有自然灾害构成的威胁等。这些威胁,表现形式是多种多样的,主要有以下几点:1)身份窃取,即非法获取合法用户的身份信息;2)非授权访问,即对网络设备及信息资源进行非正常使用或越权使用;3)冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的权限,以达到占用合法用户资源的目的;4)数据窃取,即通过网络窃听他人传输的信息内容,非法获取数据信息;5)破坏数据的完整性,即利用中断、篡改和伪造等攻击手段,攻击或破坏数据的完整性,干扰用户的正常使用;6)拒绝服务,即阻碍或禁止通信设施的正常使用和管理,使网络通信被删或实时操作被延时等;7)否认,即参与通信的各方事后否认其参与的行为;8)数据流分析,即通过分析通信线路中的信息流向、流量、流速、频率和度等,从而获得有用信息;9)旁路控制,即攻击者发现系统的缺陷或安全弱点,从而渗入系统,对系统进行攻击;10)干扰系统正常运行,即改变系统的正常运行方法,降低系统的运行速率或者是减慢系统的响应时间等;11)病毒与恶意攻击,即通过网络传播病毒,或者对网络进行恶意攻击,破坏网络资源,使其不能正常工作,甚至导致瘫痪;12)电磁泄漏,即从设备发出的电磁辐射中泄露信息;13)人员疏忽,即工作人员没有按照安全规章制度要求办事,给网络带来威胁。
上述安全威胁的表现形式可以归纳为两大类,即对实体的安全威胁和对信息的安全威胁。实体安全威胁实体安全威胁是指对计算机设备、网络设备、通信设施、通信线路及网络环境等物理实体构成的安全威胁。实体安全威胁包括自然灾害,设备故障(如断电、器件损坏、线路中断等),工作场所与环境的影响(如强磁场、电磁脉冲干扰、静电、灰尘等),人为破坏(如误操作、恶意攻击等),以及设备、软件或资料的被盗与丢失等。实体安全威胁轻则可能引起网络系统工作的紊乱,重则可能造成网络瘫痪,从而可能造成巨大损失。由于实体安全威胁中所涉及的实体多、环节多,实体分布的范围广,实体安全威胁情况复杂,给分析与实施安全措施和安全策略制定带来了很大困难。因此,要减少甚至避免实体安全威胁,提高网络安全性,就必须首先做好实体的安全防范工作。第二方面是信息安全威胁,信息安全威胁是指信息在加工处理、传输和存储过程中所受到的安全威胁。对于在网络信息传输过程中所受到的安全威胁主要有4种,分别是截获、中断、篡改和伪造等。
2 网络安全内容
网络安全是指通过各种技术手段和安全管理措施,保护网络系统的硬件、软件和信息资源免于受到各种自然或人为的破坏影响,保证系统连续可靠地正常运行。硬件资源包括:计算机、通信设备和通信线路等;软件资源包括:维持网络运行的系统软件和应用软件;信息资源包括:通过网络传输、交换和存储的各种数据信息。信息安全是网络安全的本质核心,保护信息资源的机密性、完整性和真实性,并对信息的传播及内容有控制能力是网络安全的核心任务。按照网络安全的机构层次来划分,网络安全可以进一步分为物理安全、运行系统安全和网络信息安全等3个基本组成部分。
2.1物理安全
物理安全即实体安全,是指保护计算机设备、网络设施及其他媒体免遭地震、水灾、火灾、雷击、有害气体和其他环境事故(包括电磁污染等)的破坏以及防止人为的操作失误和各种计算机犯罪导致的破坏等。物理安全是网络系统安全的基础和前提,是不可缺少和忽视的重要环节。只有安全的物理环境,才有可能提供安全的网络环境。物理安全进一步可以分为环境安全、设备安全和媒体安全。环境安全包括:计算机系统机房环境安全、区域安全、灾难保护等;设备安全包括:设备的防盗、防火、防水、防电磁辐射及泄漏、防线路截获、抗电磁干扰及电源防护等;媒体安全包括:媒体本身安全及媒体数据安全等。
2.2 运行系统安全
运行系统安全的重点内容是保证网络系统能够正常运行,避免由于系统崩溃而造成系统中正在处理、存储和传输的数据的丢失。因此,运行系统安全主要涉及计算机硬件系统安全、软件系统安全、数据库安全、机房环境安全和网络环境安全等内容。
2.3 网络信息安全
网络信息安全就是要保证在网络上传输信息的机密性、完整性和真实性不受侵害,确保经过网络传输、交换和存储的数据不会发生增加、修改、丢失和泄露等。网络信息安全主要涉及安全技术和安全协议设计等内容。通常采用的安全技术措施包括:身份认证、访问权限、安全审计、信息加密和数字签名等。另外,网络信息安全还应当包括防止和控制非法信息或不良信息的传播。
3防火墙技术与病毒防范技术
3.1 防火墙技术
防火墙是基于网络访问控制技术的一种网络安全技术。防火墙是由软件或硬件设备组合而成的保护网络安全的系统,防火墙通常被置于内部网络与外部网络之间.是内网与外网之间的一道安全屏障。因此,通常将防火墙内的网络称为“可信赖的网络”,而其外的网络称为“不可信赖的网络”。际上,防火墙就是在一个被认为是安全和可信的内部网络与一个被认为是不安全和不可信的外部网络之间提供防御功能的系统。防火墙能够限制外部网络用户对内部网络的访问权限,防止外部非法用户的攻击和进入,同时也能够对内部闷络用户对外部网络的访问行为进行有效的管理。
根据防火墙的实现方式不同,防火墙一般又可以分为双宿/多宿网关防火墙、屏蔽主机防火墙和屏蔽子网防火墙等3种类型。
3.1.1 双宿/多宿网关防火墙
双宿/多宿网关防火墙是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,是由一台称为堡垒主机的设备来承担。通常的实现方法是在该堡垒主机上安装两块或多块网卡,由它们分别连接不同的网络,如一个网络接口连接到内部的可信任网络,另一个连接到外部不可信任网络。通过堡垒主机上运行的防火墙软件,利用应用层数据共享或者是应用层服务功能来实现两个或多个网络之间的通信。双宿/多宿网关防火墙,可以根据网络安全、性能及用户需求等的不同,可以采用包过滤防火墙技术或服务防火墙技术予以实现。
双宿/多宿网关防火墙的主要优点是安全性好、易于实现、方便维护。这种防火墙致命弱点是,一般情况下为了保证网络系统安全都禁止堡垒主机的路由功能,但是如果非法入侵者侵入堡垒主机并使其具有了路由功能,那么外部网络的任何用户都能够很方便地访问内部网络,网络安全性将无法保证。因此,为了提供网络的安全性,保证内部网络的安全,就必须对堡垒主机采取必要的保护措施。通常采用方法有:关闭路由功能、保留最少和最需要的服务、划定详细的维护和修复策略等。
3.1.2 屏蔽主机防火墙
屏敝主机防火墙是由包过滤路由器和堡垒主机共同构成。在屏蔽主机防火墙中,包过滤路由器连接外部网络,并利用过滤规则实现分组过滤,同时也使位于内部网络的堡垒主机成为外部网络能够直接访问的唯一主机。外部网络非法入侵者要想侵入内部网络,必须通过包过滤路由器和堡垒主机两道屏障。因此,屏蔽主机防火墙提供了比
双宿/多宿网关防火墙更高的安全性,
3.1.3 屏蔽子网防火墙
屏蔽子网防火墙是目前最安全的防火墙系统之一,它支持网络层和应用层安全功能。屏蔽子网防火墙通常由两个包过滤路由器(即外部包过滤路由器和内部包过滤路由器)和―个堡垒主机共同构成。
3.2 病毒防范
病毒本身就是一段特殊的代码或程序,一般内3个基本部分组成,即引导部分、传染部分和破坏部分。当计算机执行病毒所依附的程序时、病毒程序就获取了对计算机的控制权,开始执行它的引导部分,然后根据条件是否满足调用传染部分和破坏部分。通常情况下、传染条件容易满足,因此病毒的传染比破坏来得容易。在病毒的破坏条件未被满足时。病毒处于潜伏状态。
病毒检测技术是通过对计算机病毒特征的检测来发现病毒的技术,但是自计算机病毒被发现以来,病毒的种类以几何级数在增长,并且病毒的机制和变种也在不断地进行演变,给检测病毒带来了很大难度。目的常用的病毒检测方法主要有比较法、特征代码法、分析法、行为检测法和软件仿真扫描法等。
病毒防范不仅涉及防范技术,还包括应当采取的防范措施等内容。预防是对付病毒最理想的方法之一。病毒的预防技术是通过预防系统自身首先驻留计算机系统内存,优先获得系统的控制权,并对系统进行监视来判断是否有病毒存在的可能,进而阻止病毒进入计算机系统及对计算机系统进行破坏。常见的病毒预防技术主要有:信息加密、系统引导区保护、系统监控及读写控制等。此外,为了防范病毒,除了防范技术外,还要认真落实必要的安全管理措施,必要时候遇到特殊情况还可以使用法律的手段保护网络安全。
总之,网络安全涉及安全技术、安全管理和相应的安全法律法规等方面。安全技术是基础,安全管理是手段,安全法律法规是保障,它们共同构成网络的安全体系,要提高网络安全性,就必须从这三个方面着手,不断增强安全意识,完善安全技术,制定安全策略,加强安全教育和安全管理.以提高防范安全风险的能力。网络安全是一项长期而重要的任务,应当常抓不懈。
参考文献
[1]林小青,郎静宏.网络安全防范体系的研究与应用[J].保密科学技术,2011(3).
购物车(0)
