在線客服

安全網絡論文實用13篇

時間:2023-02-27 11:14:33

引論:我們為您整理了13篇安全網絡論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。

安全網絡論文

篇1

1.2釣魚網站為金融信息的安全帶來較大風險

隨著互聯網信息的不斷發展,各種網絡技術都在不斷成熟。在這種背景下,通過百度、谷歌等搜索引擎就可以了解到一定的用戶信息,因為在當前的環境下,很多人都習慣于借助各種搜索引擎來對各種特定的金融信息加以了解。因此也就有人利用這些系統當中存在的漏洞來對客戶的一些金融信息和金融資料加以盜取,或者是做成釣魚網站。所謂的釣魚網站是通過互聯網技術以某種特定的方式在互聯網上進行信息的,通過某些具有吸引力的信息來誘導用戶加以訪問,以此方式來對用戶重要的個人信息逐條盜取,最后再對客戶進行各項敲詐活動,這為廣大網民的安全上網和個人利益造成了非常嚴重的損害。雖然說釣魚網站的技術含量很低,但是其門檻也很低,通常而言也很難識別,這對金融行業產生了很嚴重的影響。從我國反釣魚網站聯盟在2014年6月的釣魚網站處理簡報上看,截止到2014年6月份,聯盟共計處理了釣魚網站8186個,累計認定并處理釣魚網站192914個。從中分析可以得出,電子商務和金融證券類的通信安全問題依然是主要問題,隨著“網銀”的不斷普及,金融信息泄露等事件而造成的用戶財產損失將會成為威脅網絡金融體系的主要問題。

2網絡經濟環境下的金融安全防范探究

2.1金融機構信息安全保障機制的構建

在當前,我們將政策性銀行、大型商業銀行和股份制銀行作為銀行業的金融信息集散中心,防范金融機構信息泄露是金融安全防范的重點問題,其根本在于對其安全保障機制加以完善。對金融信息的安全保障機制做出完善,需要建立在金融信息安全政策和安全標準的前提之下,對金融機構內部的信息安全管理機制做出規范和調整,在此基礎上創新信息安全技術和信息安全運行機制。因為各種因素的影響,很多中小型的金融機構在在金融安全管理方面一直都存在著諸多的問題。所以對于中小型金融機構而言,需要構建出一個合理的管理手段和技術手段相結合的度層次、全方位信息安全防范體系。這樣才能夠為金融業的發展提供必要的信息化基礎保障。所以在對中小型金融機構信息安全保障機構進行構建的時候需要對金融機構的相關做法加以參考,要重視從聯合結構和外包服務等層面來對相關問題做出思考。

2.2健全金融機構的信息安全服務體系

總管金融信息網絡的傳播途徑,信息安全隱患主要是因為交互過程中對信息的非法索取有關,此外通過客戶端進行身份識別、通過數字簽名、密鑰管理、終端病毒和訪問權限等也能夠在技術層面上對相關客戶的信息資料加以盜取。所以在這些方面進行有效的保障是彌補網絡安全技術缺陷的主要環節。按照人們的常規思維來講,只有開發出先進的金融安全技術才能夠更好地對金融風險做出防范,而現階段對于網絡信息安全的防范技術主要是通過相關的技術隔離和技術加密來實現數字簽名的相關內容。所以金融服務濟公應該重視在技術上對相關的網絡安全服務體系做出防范,適當的時候需要提供相關的軟件升級服務,進行更為嚴格保密的加密和相關的數字簽名服務。只有這樣才能夠通過信息備份和信息回復來使相關的安全技術得到認證,這對于客戶本人而諾言,具有很高的保護效果,能夠幫助客戶提供對金融信息風險防范的識別,進而更好地杜絕可能造成用戶信息泄露的風險源為用戶帶來的危害。

篇2

2.1加強網絡信息安全管理網絡信息安全實質就是一個管理方面的問題,特別是在我國網絡信息安全行業剛剛發展初期,做好網絡信息安全的管理工作更顯得尤為重要。①嚴格根據管理流程實施管理操作。對網絡進行微觀操作,這是網絡內網產生不安全的主要原因,因此,對業務不得進行越權查看及使用,不許私自對數據庫或某些機密文件進行修改,以此來杜絕內網中計算機及網絡受到惡意攻擊。②實施連續性管理網絡系統。作為網絡管理人員,一定要把系統恢復和系統備份策略應用于網絡系統,這不僅可實現連續性管理系統的要求,而且還可有效避免因惡意破壞、自然災害等原因使設備遭到破壞、無法正常提供服務的問題發生。③加強管理人員的日常操作管理。要有效對系統進行管理,最為重要的在于管理人員,因此,作為網絡系統管理人員,一定要具備超強的技術能力,此外,還必須具備一定的網絡信息安全意識。不管是企業,還是公司,在進行網絡管理人員選拔時,一定要綜合考慮有關技術能力和安全意識等方面的因素;同時,還要創造條件對這些網絡管理人員實施一定的職業培訓以及網絡信息安全教育,以此來讓網絡管理人員切實懂得網絡信息安全的重要性,并讓他們明白在維護網絡信息安全中他們個人所應承擔的責任。此外,對于網絡信息的相關操作管理,一定要讓網絡管理人員熟練掌握,對于安全的網絡管理策略能予以正確的執行和落實,這樣,就可最大限度避免因人為原因所帶來的網絡信息安全漏洞。

2.2設置防火墻網絡威脅絕大多數是從互聯網來的,應用防火墻來判斷與辨別進出網絡的各種信息,能夠有效避免內網或計算機系統遭到病毒和木馬的攻擊;所以,要對網絡信息安全進行有效保護,一定要選擇一個防火墻來進行保護,而且要讓所選擇的防火墻,不僅要技術性強,而且防御功能要足夠強大。

2.3安裝vpn設備所謂vpn設備,其實就是一個服務器,電腦在進行網絡信息傳遞過程中,要使網絡信息先向vpn服務器進行傳遞,然后再通過vpn設備向目的主機進行傳遞,這樣就可讓計算機不直接連接于物聯網,從而讓網絡黑客無法得到真正的ip地址,無法完成對網絡進行攻擊,這樣就有效對網絡信息安全起到了保護作用。

篇3

(2)網絡通信結構不完善。網間網的技術給網絡通信提供了技術基礎,用戶通過IP協議或TCP協議得到遠程授權,登錄相關互聯網系統,通過點與點連接的方式來進行信息的傳輸。然而,網絡結構間卻是以樹狀形式進行連接的,當用戶受到黑客入侵或攻擊時,樹狀結構為黑客竊聽用戶信息提供了便利。

(3)相關網絡維護系統不夠完善。網絡維護系統的不完善主要表現軟件系統的安全性不足,我們現在所使用的計算機終端主要是依靠主流操作系統,在長時間的使用下需下載一些補丁來對系統進行相關的維護,導致了軟件的程序被泄露。

2對于網絡通信中存在的信息安全問題的應對方案

對于上述的種種網絡通信當中存在的信息安全問題,我們應當盡快地采取有效的對策,目前主要可以從以下幾個方面入手:

(1)用戶應當保護好自己的IP地址。黑客入侵或攻擊互聯網用戶的最主要目標。在用戶進行網絡信息傳輸時,交換機是進行信息傳遞的重要環節,因此,用戶可以利用對網絡交換機安全的嚴格保護來保證信息的安全傳輸。除此之外,對所使用的路由器進行嚴格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。

(2)對信息進行加密。網絡通信中出現的信息安全問題主要包括信息的傳遞以及存儲過程當中的安全問題。在這兩個過程當中,黑客通過竊聽傳輸時的信息、盜取互聯網用戶的相關資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網絡通信當中信息的安全做出威脅?;ヂ摼W用戶如果在進行信息傳遞與存儲時,能夠根據具體情況選用合理的方法來對信息進行嚴格的加密處理,那么便可以有效地防治這些信息安全問題的產生。

(3)完善身份驗證系統。身份驗證是互聯網用戶進行網絡通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當中用戶需要注意的是要盡量將用戶名、密碼分開儲存,可以適當地使用一次性密碼,同時還可以利用安全口令等方法來保證身份驗證的安全。隨著科技的快速發展,目前一些指紋驗證、視網膜驗證等先進生物檢測方法也慢慢得到了運用,這給網絡通信信息安全提供了極大的保障。

篇4

一、網絡的開放性帶來的安全問題

眾所周知,Internet是開放的,而開放的信息系統必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中,安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現有的安全工具和機制的情況下,網絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結為以下幾點:

(一)每一種安全機制都有一定的應用范圍和應用環境

防火墻是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為,防火墻是很難發覺和防范的。

(二)安全工具的使用受到人為因素的影響

一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者和普通用戶,不正當的設置就會產生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面,可以通過靜態掃描工具來檢測系統是否進行了合理的設置,但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較,針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。

(三)系統的后門是傳統安全工具難于考慮到的地方

防火墻很難考慮到這類安全問題,多數情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4.0以前一直存在,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而可以收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻是無法發覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區別是入侵訪問在請求鏈接中多加了一個后綴。

(四)只要有程序,就可能存在BUG

甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用,而且這種攻擊通常不會產生日志,幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG,現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

(五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統安全問題出現

然而安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時,其他的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

二、網絡安全的主要技術

安全是網絡賴以生存的保障,只有安全得到保障,網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展,其涉及的技術面非常廣,主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。

(一)認證

對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息。

(二)數據加密

加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。

1.私匙加密。私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快,很容易在硬件和軟件中實現。

2.公匙加密。公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。

(三)防火墻技術

防火墻是網絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數據,它不同于只會確定網絡信息傳輸方向的簡單路由器,而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊,其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和服務器技術,它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網絡連接能力。此外,現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。

防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內外提供一致的安全策略;而且防火墻只實現了粗粒度的訪問控制,也不能與企業內部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(路由器、過濾器、服務器、網關、保壘主機)組成的防火墻,管理上難免有所疏忽。

(四)入侵檢測系統

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?,F象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在校園網絡中采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。

(五)虛擬專用網(VPN)技術

VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制,這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密匙管理技術(KeyManagement)和使用者與設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務,這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協議可分為第二層和第三層的;按發起方式可分成客戶發起的和服務器發起的。

(六)其他網絡安全技術

1.智能卡技術,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體,由授權用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。

2.安全脆弱性掃描技術,它為能針對網絡分析系統當前的設置和防御手段,指出系統存在或潛在的安全漏洞,以改進系統對網絡入侵的防御能力的一種安全技術。

3.網絡數據存儲、備份及容災規劃,它是當系統或設備不幸遇到災難后就可以迅速地恢復數據,使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。

4.IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告信息。

篇5

1.國家安全將遭受到威脅

網絡黑客攻擊的目標常包括銀行、政府及軍事部門,竊取和修改信息。這會對社會和國家安全造成嚴重威脅,有可能帶來無法挽回的損失。

2.損失巨大

很多網絡是大型網絡,像互聯網是全球性網絡,這些網絡上連接著無數計算機及網絡設備,如果攻擊者攻擊入侵連接在網絡上的計算機和網絡設備,會破壞成千上萬臺計算機,從而給用戶造成巨大經濟損失。

3.手段多樣,手法隱蔽

網絡攻擊所需設備簡單,所花時間短,某些過程只需一臺連接Internet的PC即可完成。這個特征決定了攻擊者的方式多樣性和隱蔽性。比如網絡攻擊者既可以用監視網上數據來盜取他人的保密信息;可以通過截取他人的帳號和口令潛入他人的計算機系統;可以通過一些方法來繞過或破壞他人安裝的防火墻等等。

網絡安全防范技術

1.病毒的防范

計算機病毒變得越來越復雜,對計算機信息系統構成極大的威脅。在網絡環境中對計算機病毒的防范是網絡安全性建設中重要的一環。它的入侵檢測技術包括基于主機和基于網絡兩種。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。對網絡病毒的防范主要包括預防病毒、檢測病毒和殺毒三種技術。網絡版防病毒系統包括:(1)系統中心:系統中心實時記錄計算機的病毒監控、檢測和清除的信息,實現對整個防護系統的自動控制。(2)服務器端:服務器端為網絡服務器操作系統應用而設計。(3)客戶端:客戶端對當前工作站上病毒監控、檢測和清除,并在需要時向系統中心發送病毒監測報告。(4)管理控制臺:管理控制臺是為了網絡管理員的應用而設計的,通過它可以集中管理網絡上所有已安裝的防病毒系統防護軟件的計算機。

2.防火墻的配置

首先我們了解防火墻所處的位置決定了一些特點包括(1)所有的從外部到內部的通信都必須經過它(。2)只有有內部訪問策略授權的通信才能被允許通過。(3)系統本身具有很強的高可靠性。所以防火墻是網絡安全的屏障,配置防火墑是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個組成部分。它在內部信任網絡和其他任何非信任網絡上提供了不同的規則進行判斷和驗證,確定是否允許該類型的信息通過。一個防火墻策略要符合4個目標,而每個目標通常都不是通過一個單獨的設備或軟件來實現的。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。也可對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時,也能提供網絡使用情況的統計數據。當有網絡入侵或攻擊時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次,利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響,防止內部信息的外泄。

3.數據加密與用戶授權訪問控制技術

與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。數據加密包括傳輸過程中的數據加密和存儲數據加密,對于傳輸加密,一般有硬件加密和軟件加密兩種方法實現。網絡中的數據加密,要選擇加密算法和密鑰,可以將這些加密算法分為對稱密鑰算法和公鑰密鑰算法兩種。對稱密鑰算法中,收發雙方使用相同的密鑰。比較著名的對稱密鑰算法有:美國的DES、歐洲的IDEA等。

4.應用入侵檢測技術

入侵檢測系統是從多種計算機系統及網絡系統中收集信息,再通過這些信息分析入侵特征的網絡安全系統。入侵檢測系統的功能包括:監控和分析系統、用戶的行為;評估系統文件與數據文件的完整性,檢查系統漏洞;對系統的異常行為進行分析和識別,及時向網絡管理人員報警;跟蹤管理操作系統,識別無授僅用戶活動。具體應用就是指對那些面向系統資源和網絡資源的未經授權的行為進行識別和響應。入侵檢測通過監控系統的使用情況,來檢測系統用戶的越權使用以及系統外部的人侵者利用系統的安全缺陷對系統進行入侵的企圖。目前主要有兩類入侵檢測系統基于主機的和基于網絡的。前者檢查某臺主機系統日志中記錄的未經授權的可疑行為,并及時做出響應。后者是在連接過程中監視特定網段的數據流,查找每一數據包內隱藏的惡意入侵,并對發現的人侵做出及時的響應。

5.規范安全管理行為

篇6

1.2計算機病毒安全問題

計算機一旦受到病毒的入侵,將會出現嚴重的運行問題,如系統癱瘓、傳輸數據失真以及數據庫信息丟失等。計算機病毒具有典型的潛伏性、傳染性、隱蔽性和破環性,目前,計算機病毒種類主要有以下四種:第一,木馬病毒。該類病毒的主要目的是竊取計算機上的數據信息,具有典型的誘騙性;第二,蠕蟲病毒。熊貓燒香是該類病毒的典型代表,以用戶計算機上出現的漏洞為切入點,綜合使用攻擊計算機終端的方式控制計算機系統,該病毒具有較強的傳播性和變異性;第三,腳本病毒。該病毒主要發生在互聯網網頁位置;第四,間諜病毒。要想提升某網頁的訪問量,強制要求計算機用戶主頁預期鏈接。伴隨著科技的發展,計算機網絡應用范圍不斷擴大,各種類型病毒的破壞性也隨之增加。

1.3黑客

通過網絡攻擊計算機目前,我國仍存在著大量非法人員對計算機系統進行攻擊等行為,這類人員大都掌握著扎實的計算機和計算機安全漏洞技術,對計算機用戶終端與網絡做出強有力的破壞行為是他們的主要目的。黑客攻擊計算機網絡的主要形式有三種:第一,利用虛假的信息攻擊網絡;第二,利用木馬或者病毒程序對計算機用戶的電腦進行控制;第三,結合計算機用戶瀏覽網頁的腳本漏洞對其進行攻擊。

2計算機網絡安全技術在企業網中的應用

2.1防火墻技術

防護墻技術是計算機網絡安全技術在企業網中應用的主要表現形式之一。防火墻技術的應用能夠從根本上解決計算機病毒安全問題,在實際應用過程中,計算機網絡安全中心的防火墻技術被分為應用級防火墻和包過濾防火墻兩種形式。其中應用型防護墻的主要目的是保護服務器的安全,在掃描終端服務器的數據后,如果發現有意或者不合常理等攻擊行為,系統應該及時切斷服務器與內網服務器之間的交流,采用終端病毒傳播的方式保護企業網的安全。包過濾防火墻的主要工作任務是及時過濾路由器傳輸給計算機的數據信息,這種過濾手段可以阻擋病毒信息入侵計算機系統,并第一時間內通知用戶攔截病毒信息,為提高企業網的安全性提供技術保障。下圖1是企業網防護墻配置示意圖。Intranet周邊網絡InternetInternet防火墻周邊防火墻內部網絡服外部網絡務器服務器圖1防火墻配置

2.2數據加密技術

數據加密技術是計算機網絡安全技術在企業網中應用的另一種表現形式。在企業發展建設過程中,要想提高企業發展信息的安全性和可靠性,企業必須在實際運行的計算機網絡中綜合使用數據加密技術。數據加密技術要求將企業網內的相關數據進行加密處理,在傳輸和接收數據信息的過程中必須輸入正確的密碼才能打開相關文件,這為提高企業信息的安全性提供了技術保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種,其中對稱加密算法中使用的加密和加密信息保持一致,非對稱加密算法中加密方法和解密方法存在較大的差異,通常很難被黑客破解,這兩種加密形式在企業網中均得到了廣泛應用。

2.3病毒查殺技術

病毒查殺技術是計算機網絡安全技術在企業網中應用的表現形式之一。病毒對計算機安全有極大的威脅,該技術要求企業技術對計算機操作系統進行檢測和更新,減少系統出現漏洞的頻率;杜絕用戶在不經允許的情況下私自下載不正規的軟件;安裝正版病毒查殺軟件的過程中還應該及時清理病毒數據庫;控制用戶瀏覽不文明的網頁;在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理,確定文件的安全性后才能投入使用。

2.4入侵檢測技術

入侵檢測技術在企業網安全運行中發揮著至關重要的作用,其作用主要表現在以下幾方面:第一,收集計算機操作系統、網絡數據及相關應用程序中存在的信息數據;第二,找尋計算機系統中可能存在的侵害行為;第三,自動發出病毒侵害報警信號;第四,切斷入侵途徑;第五,攔截入侵。入侵檢測技術在企業網中的應用具有較強的安全性特征,該技術的主要任務是負責監視企業網絡運行狀況,對網絡的正常運行不會產生任何影響。入侵檢測技術使用的網絡系統以基于主機系統和基于網絡的入侵系統為主?;谥鳈C系統的入侵檢測技術主要針對企業網的主機系統、歷史審計數據和用戶的系統日志等,該檢測技術具有極高的準確性,但是,實際檢測過程中很容易引發各種問題,如數據失真和檢測漏洞等;基于網絡入侵檢測技術以其自身存在的特點為依據,以網絡收集的相關數據信息為手段,在第一時間將入侵分析模塊里做出的測定結果發送給網絡管理人,該技術具有較強的抗攻擊能力、能在短時間內做出有效的檢測,但是,由于該技術能對網絡數據包的變化狀況進行監控,在實際過程中會給加密技術帶來一定程度影響。入侵檢測技術在企業網的應用過程中通常表現為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經確定的入侵模式為主,在實際檢測過程中,該檢測方法具有響應速度快和誤警率低等特點,但是,該檢測技術需要較長的檢測時間為支撐,實際耗費的工作量比較大。異常檢測的主要對象是計算機資源中用戶和系統非正常行為和正常行為情況,該檢測法誤警率較高,在實際檢測過程中必須對整個計算機系統進行全盤掃描,因此,必須有大量的檢測時間作支撐。

篇7

當前,我國較多局域網體系沒有單獨創建針對服務器的安全措施,雖然簡單的設置可令各類數據信息位于網絡系統中高效快速的傳播,然而同樣為病毒提供了便利的傳播感染渠道。局域網之中雖然各臺計算機均裝設了預防外界攻擊影響的安全工具,制定了防范措施,然而該類措施恰恰成為網絡安全的一類薄弱環節。在應對局域網絡內部影響攻擊時,效果不佳,尤其在其服務器受到病毒侵襲影響,會令全網系統不良崩潰。為此,對其服務器獨立裝設有效防護措施尤為重要。我們應在服務器內部安裝單獨的監控網內系統、各類病毒庫的實時升級系統,令其在全過程的實時安全監督、優化互補管控之下安全快速的運行。當發覺網內計算機系統受到病毒侵襲時,應快速將聯系中斷,并面向處理中心報告病毒種類,實施全面系統的殺毒處理。而當服務器系統被不良攻擊影響時,則可利用雙機熱備體系、陣列系統安全防護數據信息,提升整體系統安全水平。

樹立安全防范意識,提升應用者防毒水平

局域網產生的眾多安全問題之中,較多由于內網操作應用人員沒有樹立安全防范意識,令操作失誤頻繁發生。例如操作控制人員沒有有效進行安全配置令系統存在漏洞、或是由于安全防范意識不強,令外網攻擊借機入侵。在選擇口令階段中由于操作不慎,或將自身管理應用賬號隨意的借他人應用,均會給網絡安全造成不良威脅影響。另外,網絡釣魚也成為影響計算機局域網絡安全的顯著隱患問題。不法分子慣用該類方式盜取網絡系統賬號、竊用密碼,進而獲取滿足其利益需求的各類重要資訊、信息,還直接盜取他人經濟財產。一些網絡罪犯基于局域網絡系統資源信息全面共享的客觀特征而采取各類方式手段實施數據信息的不良截獲,或借助垃圾郵件群發、發送不明數據包、危險鏈接等誘導迷惑方式,令收信方進行點擊,對于計算機局域網絡系統的優質安全管理運行形成了較大的隱患威脅。為此,應用管理局域網人員應明晰自身責任重大性,以身作則,對于陌生人傳輸信息、不明郵件不應理睬,還可利用刪除、截獲、屏蔽、權限管控等手段阻斷釣魚者侵入通道,不給他們以可乘之機,進而凈化網絡環境。

3實施制度化的文件信息備份管理,預防不可逆損失

篇8

1.2風險威脅與安全防護相適應原則商業銀行面對的是極其復雜的金融環境,要面臨多種風險和威脅,然而商業銀行計算機網絡不容易實現完全的安全。需要對網絡及所處層次的機密性及被攻擊的風險性程度開展評估和研究,制定與之匹配的安全解決方式。

1.3系統性原則商業銀行計算機網絡的安全防御必須合理使用系統工程的理論進而全面分析網絡的安全及必須使用的具體方法。第一,系統性原則表現在各類管理制度的制定、落實和補充和專業方法的落實。第二,要充分為綜合性能、安全性和影響等考慮。第三,關注每個鏈路和節點的安全性,建立系統安防體系。

2計算機網絡安全采取的措施

商業銀行需要依據銀監會的《銀行業金融機構信息系統風險管理指引》,引進系統審計專家進行評估,結合計算機網絡系統安全的解決原則,建立綜合計算機網絡防護措施。

2.1加強外部安全管理網絡管理人員需要認真思考各類外部進攻的形式,研究貼近實際情況的網絡安全方法,防止黑客發起的攻擊行為,特別是針對于金融安全的商業銀行網絡系統。通過防火墻、入侵檢測系統,組成多層次網絡安全系統,確保金融網絡安全。入侵檢測技術是網絡安全技術和信息技術結合的新方法。通過入侵檢測技術能夠實時監視網絡系統的相關方位,當這些位置受到進攻時,可以馬上檢測和立即響應。構建入侵檢測系統,可以馬上發現商業銀行金融網絡的非法入侵和對信息系統的進攻,可以實時監控、自動識別網絡違規行為并馬上自動響應,實現對網絡上敏感數據的保護。

2.2加強內部安全管理內部安全管理可以利用802.1X準入控制技術、內部訪問控制技術、內部漏洞掃描技術相結合,構建多層次的內部網絡安全體系。基于802.1x協議的準入控制設計強調了對于交換機端口的接入控制。在內部用戶使用客戶端接入局域網時,客戶端會先向接入交換機設備發送接入請求,并將相關身份認證信息發送給接入交換機,接入交換機將客戶端身份認證信息轉發給認證服務器,如果認證成功該客戶端將被允許接入局域網內。如認證失敗客戶端將被禁止接入局域網或被限制在隔離VLAN中。[4]內部訪問控制技術可以使用防火墻將核心服務器區域與內部客戶端區域隔離,保證服務器區域不被非法訪問。同時結合訪問控制列表(ACL)方式,限制內部客戶端允許訪問的區域或應用,保證重要服務器或應用不被串訪。同時結合內部漏洞掃描技術,通過在內部網絡搭建漏洞掃描服務器,通過對計算機網絡設備進行相關安全掃描收集收集網絡系統信息,查找安全隱患和可能被攻擊者利用的漏洞,并針對發現的漏洞加以防范。

2.3加強鏈路安全管理對于數據鏈路的安全管理目前常用方法是對傳輸中的數據流進行加密。對于有特殊安全要求的敏感數據需要在傳輸過程中進行必要的加密處理。常用的加密方式有針對線路的加密和服務器端對端的加密兩種。前者側重在線路上而不考慮信源與信宿,通過在線路兩端設置加密機,通過加密算法對線路上傳輸的所有數據進行加密和解密。后者則指交易數據在服務器端通過調用加密軟件,采用加密算法對所發送的信息進行加密,把相應的敏感信息加密成密文,然后再在局域網或專線上傳輸,當這些信息一旦到達目的地,將由對端服務器調用相應的解密算法解密數據信息。隨著加密技術的不斷運用,針對加密數據的破解也越來越猖獗,對數據加密算法的要求也越來越高,目前根據國家規定越來越多的商業銀行開始使用國密算法。

篇9

1.1插入攻擊插入攻擊以部署非授權的設備或創建新的無線網絡為基礎,這種部署或創建往往沒有經過安全過程或安全檢查??蓪尤朦c進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。

1.2漫游攻擊者攻擊者沒有必要在物理上位于企業建筑物內部,他們可以使用網絡掃描器,如Netstumbler等工具??梢栽谝苿拥慕煌üぞ呱嫌霉P記本電腦或其它移動設備嗅探出無線網絡,這種活動稱為“wardriving”;走在大街上或通過企業網站執行同樣的任務,這稱為“warwalking”。

1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段,創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害,但它卻可以構造出一個無保護措施的網絡,并進而充當了入侵者進入企業網絡的開放門戶。

1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”,雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然后竊取個別網絡的數據或攻擊計算機。

1.5竊取網絡資源有些用戶喜歡從鄰近的無線網絡訪問互聯網,即使他們沒有什么惡意企圖,但仍會占用大量的網絡帶寬,嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件,或下載盜版內容,這會產生一些法律問題。

1.6對無線通信的劫持和監視正如在有線網絡中一樣,劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況,一是無線數據包分析,即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶,并劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視,這種監視依賴于集線器,所以很少見。

二、保障無線網絡安全的技術方法

2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對不同無線網絡的識別,類似我們的手機識別不同的移動運營商的機制。參數在設備缺省設定中是被AP無線接入點廣播出去的,客戶端只有收到這個參數或者手動設定與AP相同的SSID才能連接到無線網絡。而我們如果把這個廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡的。需要注意的是,如果黑客利用其他手段獲取相應參數,仍可接入目標網絡,因此,隱藏SSID適用于一般SOHO環境當作簡單口令安全方式。

2.2MAC地址過濾顧名思義,這種方式就是通過對AP的設定,將指定的無線網卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數據包都會做出判斷,只有符合設定標準的才能被轉發,否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網絡,一般SOHO,小型企業工作室可以采用該安全手段。

2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經過WIFI認證的設備都支持該安全協定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數據不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼,部署比較麻煩;使用靜態非交換式密鑰,安全性也受到了業界的質疑,但是它仍然可以阻擋一般的數據截獲攻擊,一般用于SOHO、中小型企業的安全加密。

2.4AP隔離類似于有線網絡的VLAN,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網絡。該方法用于對酒店和機場等公共熱點HotSpot的架設,讓接入的無線客戶端保持隔離,提供安全的Internet接入。

2.5802.1x協議802.1x協議由IEEE定義,用于以太網和無線局域網中的端口訪問與控制。802.1x引入了PPP協議定義的擴展認證協議EAP。作為擴展認證協議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。

2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規格802.11i之前的過渡方案,也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP(TemporalKeyIntegrityProtocol),這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協議,而且TKIP加密仍不能滿足高端企業和政府的加密需求,該方法多用于企業無線網絡部署。

2.7WPA2WPA2與WPA后向兼容,支持更高級的AES加密,能夠更好地解決無線網絡的安全問題。由于部分AP和大多數移動客戶端不支持此協議,盡管微軟已經提供最新的WPA2補丁,但是仍需要對客戶端逐一部署。該方法適用于企業、政府及SOHO用戶。

篇10

2加強計算機管理技術在網絡安全中的應用方法

2.1要裴炎高素質的計算機網絡維護人才,畢竟現代社會是知識經濟時代,擁有專業知識的人才對國家和企業的發展是十分重要的,因此就要引進和培養一批懂計算機的專業人才來服務國家和企業,防止一些不法分子利用一些邪門歪道來竊取重要的信息。計算機專業人才因為學過這方面的專業知識,他們會熟練的使用計算機管理技術來實現整個局域網的安全,隨著計算機不斷的發展,專業人才的知識也在不斷的更新,他們能掌握計算網絡當中一些重要的信息,熟練操作一些重要的軟件和數據庫,從而讓計算機網絡平穩的運行。因此,人才的引進是十分重要的,只有擁有軟實力,才能在今后的競爭中占據有利的位置,不斷適應時展的潮流。

2.2要做好計算機網絡的信息安全管理工作,首先就要建立起一套安全的網絡信息實施計劃,并要根據計劃一步一步的實施,要給社會營造一種綠色的上網環境,同時要在計劃當中增加一些科學的元素,在實際的使用過程中,要構建一個管理模型,要多向先進的管理團隊看齊,掌握好計算網絡管理的中堅技術,這個時候計算網絡信息系統就顯得十分的重要,在面臨問題的時候,可以系統中的步驟一步一步的拯救和改善,這樣才能合理并安全的實現計算機信息網絡的安全,相關的技術人員也要認真對待自身的本職工作,只有通過這樣將責任個人化,才能使得計算機網絡信息安全得到保障。

2.3在日常使用計算網絡進行工作的時候,為了防止計算機網絡出現漏洞,就必須要定期給計算機進行檢查,使用一些計算機安全軟件實時保護和監視計算機的基本情況,如果計算機出現問題,就要對存在的問題進行分析和采取一些措施來補救,不能拖延的太久,越拖得久,計算機積累的垃圾也就越多。與此同時,要針對不同的用戶制定不一樣的登錄口令和驗證碼,避免一些不法分子很輕易的就用一些軟件破譯計算機的登錄密碼,做好計算機的網絡信息管理工作,要將防范的范圍擴大化,重視計算機軟硬件之間的結合工作,做好細節的防范工作是保護重要信息不被竊取的重要途徑之一。

2.4要提高計算信息信息管理的水平,最重要的一點就是引起足夠的重視,對一些微乎其微的問題也要杜絕,時刻保持安全防范的意識,在工作中多加注意每個小細節,對于一些不良的信息要及時的清理,避免存在一些病毒從而竊取機密信息,企業和各個機關單位也要組建一批高素質的技術人員,并要培訓這些計算機技術人員的計算機安全防范意識和管理能力,讓他們從思想上牢固樹立計算機安全防范意識,在工作中將這種思想傳播給更多的人,畢竟做好計算機信息網絡管理工作是一項相當緊迫的任務,因此,一旦信息系統受到黑客和病毒的進攻,各種隱私材料將在非常短的時間內消失,會給企業和機關單位帶來慘重的災難,因此,提高防范的警惕性是非常重要的。

篇11

一方面,電力調度自動化具有復雜性,也正是因為它的這種復雜性,讓電力調度人員在對電力調度自動化的網絡系統進行管理的時候,出現了難以對其進行管理的現象。另一方面,隨著互聯網的不斷發展,更是增強了一些惡意軟件和黑客的技術手段,這就從很大程度上增加了電力調度自動化的網絡安全問題。隨著電力調度自動化網絡安全問題的加深,電力調度自動化在運行的過程當中,就會出現越來越多的問題,從而導致整個電力調度自動化不能正常的進行運轉。

3電力調度人員沒有盡到該盡的責任

電力調度人員自身的素質,在電力調度自動化管理的過程當中起著決定性的作用。因此,電力調度人員要是不具備很高的個人素質,那么他在工作的整個過程當中,就不會用嚴謹的態度去履行工作的義務,那就更別說是承擔起相應的責任了。于是,一旦網絡安全出現問題,他們也就無法及時找到造成這些問題出現的因素,從而導致問題越來越嚴重,以致于最后危及到了整個電力調度自動化的運行。

4探究解決電力調度自動化網絡安全問題的方法

通過對電力調度自動化的網絡安全問題進行仔細的分析和探究,現將能夠有效解決這一問題的方法列舉出來:

4.1為電力調度自動化建造一個基于科學之上的網絡結構

建設人員在為電力調度自動化建立網絡結構的時候,要嚴格的按照網絡安全中所規定的去進行,以確保網絡結構的一致性和完整性。

4.2安排專業的技術人員對電力調度自動化的網絡系統進行管理

當電力調度自動化在運行的時候,電力企業要安排專業的技術人員,對電力調度自動化網絡系統進行實時的監控和管理。一旦網絡系統出現了問題,那么技術人員就可以及時的發現,并找出造成這一問題出現的原因,然后對其進行全面的分析和探究,最后總結出一個能夠有效解決這一問題的辦法。其次,電力企業還要對這些技術人員進行定期的網絡安全管理知識的培訓,以提高他們的網絡管理水平。

4.3對電力調度自動化的網絡系統進行定期的維護

對網絡系統進行定期的維護,可以有效的減少網絡系統出現問題的概率。當然,在對網絡系統進行維護的時候,要對網絡系統進行全方位的檢查和維護,比如:可以用殺毒軟件清理網絡系統中的垃圾、對需要升級的軟件進行升級和檢查網絡系統中的信息等等。只有加強了對網絡系統的維護,才能夠從很大程度上避免網絡系統在運行的過程當中出現安全性問題。

篇12

1.通過偽裝發動攻擊

利用軟件偽造IP包,把自己偽裝成被信任主機的地址,與目標主機進行會話,一旦攻擊者冒充成功,就可以在目標主機并不知曉的情況下成功實施欺騙或入侵;或者,通過偽造IP地址、路由條目、DNS解析地址,使受攻擊服務器無法辨別這些請求或無法正常響應這些請求,從而造成緩沖區阻塞或死機;或者,通過將局域網中的某臺機器IP地址設置為網關地址,導致網絡中數據包無法正常轉發而使某一網段癱瘓。

2.利用開放端口漏洞發動攻擊

利用操作系統中某些服務開放的端口發動緩沖區溢出攻擊。這主要是由于軟件中邊界條件、函數指針等方面設計不當或缺乏限制,因而造成地址空間錯誤的一種漏洞。利用軟件系統中對某種特定類型的報文或請求沒有處理,導致軟件遇到這種類型的報文時運行出現異常,從而導致軟件崩潰甚至系統崩潰。

3.通過木馬程序進行入侵或發動攻擊

木馬是一種基于遠程控制的黑客工具,具有隱蔽性和非授權性的特點,一旦被成功植入到目標主機中,計算機就成為黑客控制的傀儡主機,黑客成了超級用戶。木馬程序可以被用來收集系統中的重要信息,如口令、賬號、密碼等。此外,黑客可以遠程控制傀儡主機對別的主機發動攻擊,如DDoS攻擊就是大量傀儡主機接到攻擊命令后,同時向被攻擊目標發送大量的服務請求數據包。

4.嗅探器和掃描攻擊

嗅探器是利用計算機的網絡接口截獲目的地為其他計算機的數據報文的一種技術。網絡嗅探器通過被動地監聽網絡通信、分析數據來非法獲得用戶名、口令等重要信息,它對網絡安全的威脅來自其被動性和非干擾性,使得網絡嗅探具有很強的隱蔽性,往往讓網絡信息泄密變得不容易被發現。掃描,是指針對系統漏洞,對系統和網絡的遍歷搜尋行為。由于漏洞普遍存在,掃描手段往往會被惡意使用和隱蔽使用,探測他人主機的有用信息,作為實施下一步攻擊的前奏。

為了應對不斷更新的網絡攻擊手段,網絡安全技術也經歷了從被動防護到主動檢測的發展過程。主要的網絡安全技術包括:防火墻、VPN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護技術,入侵檢測、入侵防

御和漏洞掃描屬主動檢測技術,這些技術領域的研究成果已經成為眾多信息安全產品的基礎。

二、網絡的安全策略分析

早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界,然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查,只有符合規定的信息才可以通過網絡邊界,從而達到阻止對網絡攻擊、入侵的目的。主要的網絡防護技術包括:

1.防火墻

防火墻是一種隔離控制技術,通過預定義的安全策略,對內外網通信強制實施訪問控制,常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過;狀態檢測技術采用的是一種基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別,與傳統包過濾防火墻的靜態過濾規則表相比,它具有更好的靈活性和安全性;應用網關技術在應用層實現,它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡,其目的在于隱蔽被保護網絡的具體細節,保護其中的主機及其數據。

2.VPN

VPN(VirtualPrivateNetwork)即虛擬專用網絡,它是將物理分布在不同地點的網絡通過公用骨干網連接而成的邏輯上的虛擬子網。它可以幫助異地用戶、公司分支機構、商業伙伴及供應商與內部網建立可信的安全連接,并保證數據的安全傳輸。為了保障信息的安全,VPN技術采用了鑒別、訪問控制、保密性和完整性等措施,以防止信息被泄露、篡改和復制。VPN技術可以在不同的傳輸協議層實現,如在應用層有SSL協議,它廣泛應用于Web瀏覽程序和Web服務器程序,提供對等的身份認證和應用數據的加密;在會話層有Socks協議,在該協議中,客戶程序通過Socks客戶端的1080端口透過防火墻發起連接,建立到Socks服務器的VPN隧道;在網絡層有IPSec協議,它是一種由IETF設計的端到端的確保IP層通信安全的機制,對IP包進行的IPSec處理有AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)兩種方式。

3.防毒墻

防毒墻是指位于網絡入口處,用于對網絡傳輸中的病毒進行過濾的網絡安全設備。防火墻能夠對網絡數據流連接的合法性進行分析,但它對從允許連接的電腦上發送過來的病毒數據流卻是無能為力的,因為它無法識別合法數據包中是否存在病毒這一情況;防毒墻則是為了解決防火墻這種防毒缺陷而產生的一種安全設備。防毒墻使用簽名技術在網關處進行查毒工作,阻止網絡蠕蟲(Worm)和僵尸網絡(BOT)的擴散。此外,管理人員能夠定義分組的安全策略,以過濾網絡流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的IP/MAC地址,以及TCP/UDP端口和協議。

三、網絡檢測技術分析

人們意識到僅僅依靠防護技術是無法擋住所有攻擊,于是以檢測為主要標志的安全技術應運而生。這類技術的基本思想是通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統,或者更廣泛意義上的信息系統的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探,以及內部合法用戶的超越使用權限的非法活動。主要的網絡安全檢測技術有:

1.入侵檢測

入侵檢測系統(IntrusionDetectionSystem,IDS)是用于檢測任何損害或企圖損害系統的保密性、完整性或可用的一種網絡安全技術。它通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統,包括檢測外界非法入侵者的惡意攻擊或試探,以及內部合法用戶的超越使用權限的非法活動。作為防火墻的有效補充,入侵檢測技術能夠幫助系統對付已知和未知網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應),提高了信息安全基礎結構的完整性。

2.入侵防御

入侵防御系統(IntrusionPreventionSystem,IPS)則是一種主動的、積極的入侵防范、阻止系統。IPS是基于IDS的、建立在IDS發展的基礎上的新生網絡安全技術,IPS的檢測功能類似于IDS,防御功能類似于防火墻。IDS是一種并聯在網絡上的設備,它只能被動地檢測網絡遭到了何種攻擊,它的阻斷攻擊能力非常有限;而IPS部署在網絡的進出口處,當它檢測到攻擊企圖后,會自動地將攻擊包丟掉或采取措施將攻擊源阻斷??梢哉J為IPS就是防火墻加上入侵檢測系統,但并不是說IPS可以代替防火墻或入侵檢測系統。防火墻是粒度比較粗的訪問控制產品,它在基于TCP/IP協議的過濾方面表現出色,同時具備網絡地址轉換、服務、流量統計、VPN等功能。

3.漏洞掃描

漏洞掃描技術是一項重要的主動防范安全技術,它主要通過以下兩種方法來檢查目標主機是否存在漏洞:在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務,將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標主機系統進行攻擊性的安全漏洞掃描,如測試弱勢口令等,若模擬攻擊成功,則表明目標主機系統存在安全漏洞。發現系統漏洞的一種重要技術是蜜罐(Honeypot)系統,它是故意讓人攻擊的目標,引誘黑客前來攻擊。通過對蜜罐系統記錄的攻擊行為進行分析,來發現攻擊者的攻擊方法及系統存在的漏洞。

四、結語

盡管傳統的安全技術在保障網絡安全方面發揮了重要作用,但在一個巨大、開放、動態和復雜的互聯網中技術都存在著各種各樣的局限性。安全廠商在疲于奔命的升級產品的檢測數據庫,系統廠商在疲于奔命的修補產品漏洞,而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統的防病毒軟件只能用于防范計算機病毒,防火墻只能對非法訪問通信進行過濾,而入侵檢測系統只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設施中,安全問題的炸彈隨時都有爆炸的可能。用戶必須針對每種安全威脅部署相應的防御手段,這樣使信息安全工作的復雜度和風險性都難以下降。為了有效地解決日益突出的網絡安全問題,網絡安全研究人員和網絡安全企業也不斷推出新的網絡安全技術和安全產品。

參考文獻:

[1]周碧英:淺析計算機網絡安全技術[J].甘肅科技,2008,24(3):18~19

[2]潘號良:面向基礎設施的網絡安全措施探討[J].軟件導刊,2008,(3):74~75

篇13

隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。

隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。

在下面的描述中,以某公司為例進行說明。

2信息系統現狀

2.1信息化整體狀況

1)計算機網絡

某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。

圖1

2)應用系統

經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。

2.2信息安全現狀

為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。

3風險與需求分析

3.1風險分析

通過對我們信息系統現狀的分析,可得出如下結論:

(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。

(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。

通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:

(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。

當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。

針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。

美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。

(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。

已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。

網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。

3.2需求分析

如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:

(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。

(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。

(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。

4設計原則

安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。

4.1標準化原則

本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。

4.2系統化原則

信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。

4.3規避風險原則

安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。

4.4保護投資原則

由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。

4.5多重保護原則

任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。

4.6分步實施原則

由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。

5設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。

圖2網絡與信息安全防范體系模型

信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。

5.1網絡安全基礎設施

證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:

身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。

數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。

數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。

不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。

5.2邊界防護和網絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。

通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。

集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4桌面安全防護

對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。

桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。

1)電子簽章系統

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統

安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。

3)文件加密系統

文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。

5.5身份認證

身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:

(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。

(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。

(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。

7結論

本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。

91综合网人人