前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)及計算機(jī)安全培訓(xùn)主題范文,僅供參考,歡迎閱讀并收藏。
[關(guān)鍵詞]計算機(jī) 信息安全技術(shù) 相關(guān)概念 防護(hù)內(nèi)容 防護(hù)措施
中圖分類號:TP393.0 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-914X(2016)28-0194-01
1.計算機(jī)信息安全的相關(guān)概念
計算機(jī)網(wǎng)絡(luò)安全指的是現(xiàn)代計算機(jī)網(wǎng)絡(luò)內(nèi)部的安全環(huán)境維護(hù),卞要保護(hù)的是計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬盤、軟件中的數(shù)據(jù)資源,在沒有因為意外或惡意等情況下未遭遇人為型破壞和更改相關(guān)重要的數(shù)據(jù)信息,從而保障計算機(jī)網(wǎng)絡(luò)服務(wù)的正常運(yùn)作。
2.計算機(jī)信息安全技術(shù)防護(hù)的內(nèi)容
計算機(jī)信息安全防護(hù),強(qiáng)化計算機(jī)信息安全管理的防護(hù)工作和防護(hù)內(nèi)容較多。從現(xiàn)階段計拿機(jī)信息安全防護(hù)的實際情況來看,強(qiáng)化對計算機(jī)安全信息的管理可以從計算機(jī)安全技術(shù)入手,對計算機(jī)系統(tǒng)的安全信息存在的漏洞進(jìn)行及時的檢測、修補(bǔ)和分析結(jié)合檢測分析得到的結(jié)果制定有效的防護(hù)方案建立完善的安全系統(tǒng)體系。其中安全系統(tǒng)體系包括安全防火墻、計算機(jī)網(wǎng)絡(luò)的殺毒軟件、入侵監(jiān)測掃描系統(tǒng)等信息安全防護(hù)體系。從計算機(jī)信息安全管理方面來看,需要建立健全的信息安全制度,欄窀據(jù)信息安全管理制度的相關(guān)規(guī)定對計算機(jī)信息進(jìn)行防護(hù),加強(qiáng)管理人員的安全防護(hù)意識。此外,計算機(jī)信息安全防護(hù)還需要充分考慮計算機(jī)安全數(shù)據(jù)資源的合法使用、安全穩(wěn)定運(yùn)作數(shù)據(jù)資料存儲和傳輸?shù)耐暾浴⒖煽匦?、機(jī)密性和可用性等。
3.計算機(jī)信息安全防護(hù)中存在的問題
隨著計算機(jī)信息化技術(shù)的進(jìn)一步發(fā)展,信息安全已經(jīng)引起人們的高度關(guān)注。現(xiàn)階段計算機(jī)安全信息防護(hù)還存在諸多問題。計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全體系不夠完善,因此要保障計算機(jī)信息安全必須要配置一些安全信息設(shè)備,但是目前的安全技術(shù)水平偏低,安全信息質(zhì)量得不到保障。此外計算機(jī)系統(tǒng)內(nèi)部的應(yīng)急措施的構(gòu)建機(jī)制不夠健全,安全制度不完善,滿足不了信息安全的防護(hù)標(biāo)準(zhǔn)要求。近幾年來,我國用人單位對計算機(jī)催息安全管理工作越來越重視,但是有些單位的計算機(jī)安全信息防護(hù)意識薄弱,負(fù)責(zé)信息安全防護(hù)的管理人員業(yè)務(wù)素質(zhì)偏低,計算機(jī)信息安全技術(shù)防護(hù)水平偏低。同時,一些企業(yè)對管理人員的信息安全培訓(xùn)力度不足,對安全信息防護(hù)的設(shè)備費(fèi)用的投入力度不足。因此,現(xiàn)階段我國企業(yè)的計算機(jī)信息安全防護(hù)水平與社會服務(wù)的程度偏低。
4.計算機(jī)信息安全防護(hù)的措施
4.1 注計算機(jī)病毒的防護(hù)
計算機(jī)網(wǎng)絡(luò)之間的病毒傳播速度較快?,F(xiàn)代計算機(jī)網(wǎng)絡(luò)防護(hù)病毒必須要在互聯(lián)網(wǎng)環(huán)境下,對計算機(jī)的操作系統(tǒng)采取科學(xué)合理的防毒措施,有效防護(hù)計算機(jī)信息安全?,F(xiàn)階段,從計算機(jī)信息行業(yè)來看,針對不同的操作系統(tǒng),所采用的計算機(jī)防毒軟件的具體功能也會不一樣,但是能夠加強(qiáng)計算機(jī)用戶的信息安全防護(hù)利用安全掃描技術(shù)、訪問控制技術(shù)、信息過濾技術(shù),制止惡性攻擊,加強(qiáng)計算機(jī)系統(tǒng)的安全性能,強(qiáng)化對計算機(jī)信息安全的防護(hù)。
4.2 信息安全技術(shù)
計算機(jī)信息安全技術(shù)主要包括實時的掃描技術(shù)、病毒情況研究報告技術(shù)、檢測技術(shù)、檢驗保護(hù)技術(shù)、防火墻、計算機(jī)信息安全管理技術(shù)等。企業(yè)需要建立完善的信息安全管理和防護(hù)制度,提高系統(tǒng)管理工作人員人員技術(shù)水平和職業(yè)道德素質(zhì)。對重要的機(jī)密信息進(jìn)行嚴(yán)格的開機(jī)查毒,及時地備份重要數(shù)據(jù),對網(wǎng)站訪問進(jìn)行肖致地控制,實現(xiàn)信息安全的防范和保護(hù)對數(shù)據(jù)庫進(jìn)行備份和咬復(fù)實現(xiàn)防護(hù)和管理數(shù)據(jù)的完整性。利用數(shù)據(jù)流加密技術(shù)、公鑰密碼體制、單鑰密碼體制等密碼技術(shù)劉信息進(jìn)行安全管理,保護(hù)信息的安全。切斷傳播途徑,對感染的計算機(jī)進(jìn)行徹底性查毒,不使用來路不明的程序、軟盤等,不隨意打開可疑的郵件等。提高計算機(jī)網(wǎng)絡(luò)的抗病毒能力。在計算機(jī)上配置病毒防火墻,對計算機(jī)網(wǎng)絡(luò)文件進(jìn)行及時地檢測和掃描。利用防病毒卡,對網(wǎng)絡(luò)文件訪問權(quán)限進(jìn)行設(shè)置。
4.3 提高信息安全管理人員的技術(shù)防護(hù)水平
計算機(jī)信息安全不僅需要從技術(shù)上進(jìn)行信息安全防范措施,同時也要采取有效的管理措施,貫徹落實計算機(jī)信息安全防護(hù)反律法規(guī)制度,提高計算機(jī)信息的安全性。對計算機(jī)管理人員進(jìn)行培訓(xùn);建立完善的計算機(jī)信息安全管理機(jī)制,改進(jìn)計算機(jī)信息安全管理能力,加強(qiáng)計算機(jī)信息安全的立法和執(zhí)法力度,強(qiáng)化計算機(jī)信息管理的道德規(guī)范,提高管理人員對安全信息的防護(hù)意識;明確計算機(jī)系統(tǒng)管理人員的工作職責(zé)。此外,企業(yè)需要增加對計算機(jī)安全信息防護(hù)設(shè)備的投入費(fèi)用,整體提高我國社會部門的計算機(jī)信息安全防護(hù)與社會服務(wù)水平。
5.結(jié)束語
綜合上述,計算機(jī)信息安全防護(hù)過程中存在著;信息安全管理體系不夠健全、信息安全制度不完善、負(fù)責(zé)信息安全防護(hù)的管理人員業(yè)務(wù)素質(zhì)偏低等問題,這就要求企業(yè)從計算機(jī)病毒的防護(hù)、信息安全技術(shù)、信息安全管理人員的技術(shù)防護(hù)水平這三方面入手,全面提高計算機(jī)信息安全技術(shù)水平和管理人員對計算機(jī)信息的安全防護(hù)能力。
參考文獻(xiàn)
隨著電力信息化的不斷推進(jìn),信息安全問題也日益突出,在信息安全建設(shè)方面,供電企業(yè)相繼投入了大量的安全防護(hù)措施。文章結(jié)合實際工作探討了供電企業(yè)如何建立起一個完整的、強(qiáng)有力的信息安全維護(hù)與保障體系。
1 電力信息網(wǎng)絡(luò)的安全分析
①計算機(jī)及信息網(wǎng)絡(luò)安全意識薄弱。供電系統(tǒng)各種計算機(jī)應(yīng)用對信息安全的認(rèn)識距離實際需要差距較大,對新出現(xiàn)的信息安全問題認(rèn)識不足。②急需建立同供電行業(yè)特點相適應(yīng)的計算機(jī)信息安全體系。相對來說,在計算機(jī)安全策略、安全技術(shù)和安全措施投入較少。為保證供電系統(tǒng)安全、穩(wěn)定、高效運(yùn)行,應(yīng)建立一套結(jié)合電力計算機(jī)應(yīng)用特點的計算機(jī)信息安全體系。③聯(lián)網(wǎng)的外部威脅。供電系統(tǒng)較早的計算機(jī)系統(tǒng)一般都是內(nèi)部的局域網(wǎng),并沒有同外界連接。所以早期的計算機(jī)安全只是防止外部破壞或者對內(nèi)部人員的安全控制就可以了,但現(xiàn)在就必須要面對國際互聯(lián)網(wǎng)上各種安全攻擊,如網(wǎng)絡(luò)病毒、木馬和電腦黑客等。④數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲保護(hù)不完善。供電行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計和開發(fā),用戶身份認(rèn)證基本上采用口令的鑒別模式,而這種模式很容易被攻破。沒有完善的數(shù)據(jù)備份措施。很多單位只是選擇一臺工作站備份一下數(shù)據(jù)就了事,沒有完善的數(shù)據(jù)備份設(shè)備、沒有數(shù)據(jù)備份策略、沒有備份的管理制度,沒有對數(shù)據(jù)備份的介質(zhì)進(jìn)行妥善保管。
2 供電企業(yè)的信息安全措施
供電系統(tǒng)的信息安全具有訪問方式多樣,用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點,信息安全問題需從網(wǎng)絡(luò)規(guī)劃設(shè)計階段就仔細(xì)考慮,并在實際運(yùn)行中嚴(yán)格管理。為了保障信息安全,采取的策略主要包括以下幾個方面。
2.1加強(qiáng)電力信息網(wǎng)安全教育
①為了保證安全的成功和有效,管理部門應(yīng)當(dāng)對企業(yè)各級管理人員、用戶、技術(shù)人員進(jìn)行安全培訓(xùn),所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略。②主管信息安全工作的負(fù)責(zé)人或各級管理人員,重點是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部的建立和管理制度的制定等。負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護(hù)技術(shù)的合理運(yùn)用等。
2.2重視設(shè)備管理
重視設(shè)備管理是在企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計階段就應(yīng)充分考慮安全問題。將一些重要的設(shè)備,如各種服務(wù)器、主干交換機(jī)、路由器等盡量實行集中管理;各種通信線路盡量實行深埋、穿線或架空,并有明顯標(biāo)記,防止意外損壞;對于終端設(shè)備,如工作站、小型交挾機(jī)、集線器和其它轉(zhuǎn)接設(shè)備要落實到人,進(jìn)行嚴(yán)格管理;加強(qiáng)信息設(shè)備的物理安全,注意服務(wù)器、計算機(jī)、交換機(jī)等設(shè)備的防火、防盜、防水、防潮、防塵、防靜電。
2.3重視技術(shù)管理
①防火墻技術(shù)。供電系統(tǒng)的生產(chǎn)、計量、營銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對這些訪問行為進(jìn)行過濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。②虛擬局域網(wǎng)技術(shù)[vLAN技術(shù))。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含1組有著相同需求的計算機(jī)工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個tAN內(nèi)的各工作站無須放置在同一物理空間里,即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風(fēng)暴、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。③數(shù)據(jù)與系統(tǒng)備份技術(shù)。供電企業(yè)的數(shù)據(jù)庫必須定期進(jìn)行備份,按其重要程度確定數(shù)據(jù)備份等級。配置數(shù)據(jù)備份策略,建立數(shù)據(jù)備份中心,采用先進(jìn)災(zāi)難恢復(fù)技術(shù),對關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份,制定詳盡的應(yīng)用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復(fù)預(yù)案,并進(jìn)行定期預(yù)演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復(fù)數(shù)據(jù)與系統(tǒng),從而保證信息系統(tǒng)的可用性和可靠性。④建立信息安全身份認(rèn)證體系。電力市場交易系統(tǒng)就其實質(zhì)來說,是一個典型的電子商務(wù)系統(tǒng),它必須保證交易數(shù)據(jù)安全。在電力市場技術(shù)支持系統(tǒng)中,作為市場成員交易各方的身份確認(rèn)、物流控制、財務(wù)結(jié)算、實時數(shù)據(jù)交換系統(tǒng)中,均需要權(quán)威、安全的身份認(rèn)證系統(tǒng)。
一、問題分析
應(yīng)該說,目前基層央行計算機(jī)信息安全工作形勢比較好,硬件設(shè)施配備基本滿足業(yè)務(wù)發(fā)展的需要,安全管理比較扎實,防范措施也比較得力,但從長遠(yuǎn)的計算機(jī)信息安全工作的角度來分析,仍然還存在諸多問題。
1.重視安全工具投資而輕視管理投資
從基層央行的情況來看,信息安全系統(tǒng)主要由防火墻、入侵檢測、非法外聯(lián)和病毒防范等組成。這些手段只能是在對非法用戶和越權(quán)訪問者進(jìn)行封堵,而對訪問的源端(客戶端)防范不夠。操作系統(tǒng)的不完善導(dǎo)致各種漏洞層出不窮,不能從根本上解決外部攻擊,更無法防止內(nèi)部人員作案。這些問題導(dǎo)致信息安全系統(tǒng)越做越復(fù)雜,誤報率增多,安全投入不斷增加,維護(hù)和管理更加困難。這就不得不使我們反思:在當(dāng)前信息安全的形式下,使用“老三樣”采用“防外攻、堵漏洞、防火墻”等手段,往往是防不勝防。
這些觀念的形成有諸多原因,但最根本的原因在于對計算機(jī)安全知識了解不多,對安全管理內(nèi)涵認(rèn)識不夠。計算機(jī)安全管理的目的:一是保障業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行;二是防止信息泄漏;三是預(yù)防犯罪分子利用系統(tǒng)作案。這需要集責(zé)任感、科技知識和管理能力于一體,更需要安全管理部門和各業(yè)務(wù)運(yùn)行部門間的通力協(xié)作和配合,還少不了強(qiáng)有力的政策支持。偏頗的安全觀念使計算機(jī)安全管理工作定位不準(zhǔn)、目標(biāo)不明、步調(diào)難統(tǒng)一、合力難形成。
2.重項目建設(shè)、輕安全規(guī)劃
人民銀行信息安全管理規(guī)定“計算機(jī)系統(tǒng)建設(shè)項目應(yīng)在規(guī)劃與立項階段同步考慮安全問題,建設(shè)方案應(yīng)滿足人民銀行信息安全保障總體規(guī)劃的相關(guān)要求”、“各單位計算機(jī)系統(tǒng)上線運(yùn)行實行安全審查制度,未通過安全審查的任何新建或改造計算機(jī)系統(tǒng)不得投產(chǎn)運(yùn)行”。但大多數(shù)基層行自建項目都沒有考慮這兩條要求。項目建設(shè)普遍存在“重建輕管”的問題,即建設(shè)使用優(yōu)先,安全規(guī)劃、管理制度、安全保障滯后。
3.激勵機(jī)制的不平衡影響技術(shù)人員工作的積極性
從目前基層央行的情況來看,一方面,安全管理人員大都是由計算機(jī)工程技術(shù)人員兼任,他們既是電子化工程項目的建設(shè)者、管理者,也是信息安全的管理者、監(jiān)督者,集電子化建設(shè)、信息安全管理和信息安全監(jiān)督于一身,不能有效地對安全現(xiàn)狀進(jìn)行真實、客觀的評估和審計。也很難對計算機(jī)安全工作實施有效管理,使得組織管理機(jī)制、安全防范措施不能及時到位。另一方面,計算機(jī)安全的意識尚未深入人心,安全培訓(xùn)、教育觀念非常淡薄,忽視了安全管理人員和業(yè)務(wù)人員的專業(yè)培訓(xùn),使得他們對銀行計算機(jī)安全問題不能深入了解,也造成了安全技術(shù)防范能力差、科技含量低的現(xiàn)狀,客觀上阻礙了安全技術(shù)的應(yīng)用與發(fā)展,不能完全適應(yīng)金融電子化快速發(fā)展的要求。
以某中支為例,全轄9名計算機(jī)技術(shù)人員(其中2名為兼職)70%的技術(shù)人員從事科技工作達(dá)15年,工作單調(diào),崗位輪換在科技工作中難以實現(xiàn)。中支人均維護(hù)系統(tǒng)11個,維護(hù)電子設(shè)備達(dá)30臺(套),轄內(nèi)縣市支行人均維護(hù)系統(tǒng)數(shù)25個,維護(hù)電子設(shè)備50臺(套),日常運(yùn)行維護(hù)工作任務(wù)非常繁重,技術(shù)人員就正常的休假都難以保證,而且所從事的工作絕大多數(shù)是維護(hù),很難體現(xiàn)出看得見的成績。成就感、榮譽(yù)感淡化,加之計算機(jī)技術(shù)日新月異,工作人員掌握的知識不能與時俱進(jìn),知識普遍老化,存在著怕?lián)L(fēng)險的畏難情緒。專業(yè)安全管理人員缺乏應(yīng)有的積極性,在制訂安全策略、審核安全方案、開展安全評估和審計檢查等方面往往力不從心。
4.缺乏有效的安全內(nèi)控機(jī)制使制度的執(zhí)行打折扣
首先,缺乏外部監(jiān)督,對上級行安全管理制度的落實和執(zhí)行情況、對內(nèi)部安全管理制度的建立和完善情況,沒有確定有效的外部監(jiān)督機(jī)制,造成制度落實不夠、內(nèi)控制度不完善。一是計算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分嚴(yán)重。某中支僅一季度就出現(xiàn)病毒報警信息1475條,感染計算機(jī)317臺次。二是網(wǎng)上失密、竊密情況沒有引起足夠重視。基層央行大多數(shù)工作人員不乏存在這樣的情況:用存儲有重要信息的移動盤直接插入到互聯(lián)網(wǎng)的機(jī)子上下載和編輯資料,然后不經(jīng)過病毒和木馬檢測就在內(nèi)聯(lián)網(wǎng)上進(jìn)行使用、傳輸?shù)炔僮?,還有就是不經(jīng)過登記和審批手續(xù)攜帶存儲有重要或敏感信息的移動盤外出,給基層央行的信息安全和保密工作造成很大的隱患。三是信息安全管理不善,安全措施不到位,有令不行、有禁不止,信息系統(tǒng)運(yùn)行事故時有發(fā)生。這固然有其客觀原因,但缺乏嚴(yán)格管理和崗位監(jiān)督制度,是問題的根本所在。崗位監(jiān)督機(jī)制的缺失形成信息安全管理中最大的漏洞。
第二,缺乏安全評估。目前,基層行對本單位安全狀況心里沒底。機(jī)房環(huán)境有沒有隱患,網(wǎng)絡(luò)有沒有漏洞,系統(tǒng)是否安全,說不清楚。主要是因為沒有一套完善的安全評估體系和標(biāo)準(zhǔn),無法對本單位的安全狀況進(jìn)行科學(xué)評估。
第三,缺乏定期審計。信息安全檢查很多,但大多側(cè)重于制度落實和物理安全。而對于技術(shù)安全,則需要更專業(yè)更規(guī)范的專項審計才能發(fā)現(xiàn)問題,找出漏洞?,F(xiàn)階段基層行審計部門沒有能力進(jìn)行計算機(jī)安全審計,科技部門審計自己管理的業(yè)務(wù)信息系統(tǒng),容易造成角色錯位,達(dá)不到審計效果。這些因素造成基層行計算機(jī)安全審計工作不能有效開展。
二、對策建議
1.積極創(chuàng)新計算機(jī)安全管理工作機(jī)制
一是建立信息安全風(fēng)險管理保障機(jī)制,把信息安全風(fēng)險管控工作擺上議事日程,建立健全信息安全風(fēng)險管理部門和崗位責(zé)任制度,層層抓好落實。要加強(qiáng)培訓(xùn)工作,提高風(fēng)險管控能力和應(yīng)變能力。充分發(fā)揮科技部門安全檢查、紀(jì)檢監(jiān)察部門風(fēng)險監(jiān)控、內(nèi)審部門審計監(jiān)督“三道防線”的約束作用,形成完備的違規(guī)監(jiān)測和糾錯體系。加大違規(guī)行為處罰力度,提高管控措施的約束力。
二是建立信息安全風(fēng)險評估和預(yù)警機(jī)制。要全面落實風(fēng)險評估制度,建立信息安全風(fēng)險監(jiān)測體系,及時識別風(fēng)險因素,排查隱患,徹查各類問題的根源。要將信息安全風(fēng)險控制前移,從業(yè)務(wù)部門需求管理開始,把風(fēng)險管控貫穿于信息流動的整個過程,加強(qiáng)追蹤控制。要在充分分析信息安全風(fēng)險對業(yè)務(wù)影響的基礎(chǔ)上,建立良好的風(fēng)險分類分級制度,實施重點監(jiān)控。從法律法規(guī)、國家政策、業(yè)務(wù)規(guī)范等多角度區(qū)分各類信息安全風(fēng)險,落實監(jiān)測和保障措施。
三是建立并完善信息安全風(fēng)險應(yīng)急處置機(jī)制,加強(qiáng)風(fēng)險應(yīng)急和處置機(jī)制建設(shè)。要認(rèn)真研究制定信息安全風(fēng)險應(yīng)急管理的中長期規(guī)劃,結(jié)合實際,穩(wěn)步提高應(yīng)急管理水平。要加強(qiáng)數(shù)據(jù)備份、災(zāi)難恢復(fù)以及業(yè)務(wù)連續(xù)性的管理。完善各類應(yīng)急預(yù)案,加強(qiáng)應(yīng)急演練,通過應(yīng)急演練把應(yīng)急和災(zāi)備工作從技術(shù)管理層面提升到全方位、多部門齊抓共管、協(xié)調(diào)一致的全行工作層面,確保極端事件發(fā)生時,能夠在最短的時間內(nèi)按照既定方案有序處置。
2.培養(yǎng)和充實安全管理人才,健全計算機(jī)安全管理組織體系
關(guān)鍵詞:局域網(wǎng) 安全體系 立體防御
1、案例背景
哈爾濱經(jīng)濟(jì)技術(shù)開發(fā)區(qū)管理委員會(以下簡稱“哈經(jīng)開區(qū)”)管理大廈內(nèi)部網(wǎng)絡(luò)經(jīng)過幾年建設(shè),已經(jīng)實現(xiàn)千兆到樓、百兆到桌面的寬帶網(wǎng)絡(luò)數(shù)據(jù)傳輸;該區(qū)建有完善的網(wǎng)絡(luò)數(shù)據(jù)中心,完善的網(wǎng)絡(luò)通信設(shè)備和網(wǎng)絡(luò)服務(wù)器系統(tǒng)。采用高速交換技術(shù),建立方便快捷靈活多變的信息通信平臺,提升了辦公效率,節(jié)省了人們的勞動量,但是也帶來了一定的網(wǎng)絡(luò)安全問題,增加了網(wǎng)絡(luò)安全的風(fēng)險。為此,要保證網(wǎng)絡(luò)的安全運(yùn)行,必須要有一套與之配套的可操作的計算機(jī)病毒解決措施和應(yīng)對方案。構(gòu)建一個統(tǒng)一的有效的切實的可行的網(wǎng)絡(luò)安全防御體系,有效的防止和應(yīng)對病毒攻擊和入侵。
2、案例分析
本文從哈經(jīng)開區(qū)網(wǎng)絡(luò)安全的實際情況以及防御運(yùn)行的實際情況進(jìn)行分析:
2.1局域網(wǎng)維護(hù)工作量日益加重,計算機(jī)病毒日益猖狂
最初建立計算機(jī)網(wǎng)絡(luò)的時候,采用了國內(nèi)比較著名的防病毒軟件,比如金山毒霸,瑞星殺毒等等。但是都不盡如人意。局域網(wǎng)中計算機(jī)病毒傳播和感染的事情仍然時有發(fā)生。計算機(jī)網(wǎng)絡(luò)的維護(hù)人員要忙于清理計算機(jī)病毒、重新安裝操作系統(tǒng)或者安裝相關(guān)的應(yīng)用軟件。
計算機(jī)病毒的頑固性存在多個方面,首先,計算機(jī)病毒自身具有較快的傳播性和較強(qiáng)的可執(zhí)行性。同時,計算機(jī)病毒還有其他一些典型的特點。一是傳播速度非??臁T谡块T局域網(wǎng)環(huán)境下,計算機(jī)病毒可以利用各種介質(zhì),通過局域網(wǎng)迅速的進(jìn)行傳播下去。而且傳播的方位非常的廣泛,在局域網(wǎng)模式下的病毒要遠(yuǎn)遠(yuǎn)比在單機(jī)模式下的病毒難以應(yīng)付。很多在單機(jī)模式下可以輕易殺除的病毒,在局域網(wǎng)模式下往往力不從心。而且病毒的破壞性非常大,一旦病毒襲擊了政府的辦公網(wǎng)絡(luò),就會影響到政府的正常的工作。而且很多時候,病毒常常造成政府的辦公網(wǎng)絡(luò)崩潰,整個電腦系統(tǒng)的數(shù)據(jù)被盜取或者丟失。二是激發(fā)條件很多。通過局域網(wǎng),病毒的隱蔽性得到大大的提升。計算機(jī)網(wǎng)絡(luò)病毒可以通過多種途徑和方式進(jìn)行激發(fā),例如可以通過內(nèi)部時鐘或者計算機(jī)上的系統(tǒng)日期等。三是計算機(jī)網(wǎng)絡(luò)病毒的潛在危險非常大,在局域網(wǎng)中,一旦計算機(jī)網(wǎng)絡(luò)被感染病毒,即使后來病毒被清除,但仍然可能有病毒潛伏在電腦中,而且被感染的病毒再次發(fā)生被感染的概率非常的高。
2.2多種因素引發(fā)病毒,網(wǎng)絡(luò)安全意識亟待提高
(1)從主觀因素考慮,主要是由于部分用戶缺乏安全上網(wǎng)意識。要么電腦上沒有安裝殺毒軟件或安裝過期的殺毒軟件,要么就是不對操作系統(tǒng)升級,在網(wǎng)上下載東西的時候沒有注意,訪問不安全的網(wǎng)站等。這是誘發(fā)計算機(jī)病毒的一個重要原因。(2)從客觀上來講,病毒防御系統(tǒng)技術(shù)的提升跟不上計算機(jī)病毒技術(shù)的變化。防御病毒系統(tǒng)功能因多方面原因,未能及時換代,可終端結(jié)點不夠,使得個別終端結(jié)點不能對操作系統(tǒng)進(jìn)行升級。(3)政府部門的工作人員,有些由于計算機(jī)基礎(chǔ)知識薄弱,對計算機(jī)的認(rèn)識僅僅限于使用水平,沒有較強(qiáng)的計算機(jī)操作能力和病毒文件識別能力,遇到病毒時處理遲緩等。
3、保障措施
為確保哈經(jīng)區(qū)計算機(jī)網(wǎng)絡(luò)的安全有效運(yùn)行,區(qū)委會信息中心先后從是三個不同的方面采取了措施來確保全委計算機(jī)網(wǎng)絡(luò)的正常運(yùn)行和安全,首先是重新改造和劃分VLAN,通過在使用中發(fā)現(xiàn)的問題進(jìn)行分析改造,以樓層為單位進(jìn)行劃分的原則,對整個局域網(wǎng)的布局進(jìn)行重新的劃分,劃分成為不同的VLAN。這種劃分,有效的限制了病毒傳播的范圍,減小了病毒傳播危害的區(qū)域。解決了以往一旦一臺計算機(jī)受到病毒感染整個局域網(wǎng)都癱瘓的問題。其次是加強(qiáng)網(wǎng)絡(luò)安全檢查機(jī)制。定期派技術(shù)人員對對客戶端軟件安全情況進(jìn)行跟蹤監(jiān)控,及時發(fā)現(xiàn)客戶端安裝的軟件,對與業(yè)務(wù)工作無關(guān)的游戲、盜版軟件能做到“三及時”,即及時跟蹤、及時發(fā)現(xiàn)、及時控制。最后是對工作人員進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)和教育,從思想上和習(xí)慣上加強(qiáng)工作人員的防毒殺毒意識。
基于上述分析,從整個網(wǎng)絡(luò)系統(tǒng)安全的整體考慮,要想實現(xiàn)整個網(wǎng)絡(luò)體系防病毒體系的真正安全,必須要從技術(shù)和管理兩個方面抓起,通過行政決策和遠(yuǎn)期效應(yīng)的科學(xué)統(tǒng)一。
3.1利用軟件技術(shù),構(gòu)建病毒防御體系
如何靈活運(yùn)用軟件技術(shù)是確保計算機(jī)網(wǎng)絡(luò)安全所面臨的一個重要課題,要實現(xiàn)“層層設(shè)防、集中控管、以防為主、防殺結(jié)合”的目標(biāo),構(gòu)建局域網(wǎng)病毒立體防御體系,通過實施的防毒策略,實現(xiàn)對內(nèi)網(wǎng)全方位、多層次的立體病毒防護(hù),為系統(tǒng)和數(shù)據(jù)安全提供強(qiáng)有力的保證。建設(shè)的主要內(nèi)容包括:防病毒體系的構(gòu)建必須把整個網(wǎng)器、防病毒工作站等硬件設(shè)備的多層次防御,縱向上構(gòu)建基于單機(jī)用戶,橫向上基于網(wǎng)絡(luò)整體。病毒防護(hù)軟件必須具有網(wǎng)絡(luò)建設(shè)基于系統(tǒng)防病毒、郵件防病毒版的概念,即擁有防病毒控制中心和客戶端自動防用系統(tǒng)的全方位保護(hù),用戶提供一個覆蓋面廣、操作簡便、集防毒、查毒、殺毒于一身的立體病毒防御體系。
3.2從管理措施和制度上確保計算機(jī)網(wǎng)絡(luò)的安全
如何進(jìn)一步加強(qiáng)和提高工作人員的安全使用計算機(jī)意識是管委會的一個重要工作。通過構(gòu)建立體化的計算機(jī)病毒防御體系,可以實現(xiàn)在軟件和硬件層次上計算機(jī)網(wǎng)絡(luò)的安全。在次基礎(chǔ)上,要加大信息安全的宣傳和教育力度,定期對工作人員進(jìn)行專業(yè)培訓(xùn),通過普及計算機(jī)基礎(chǔ)知識,強(qiáng)化計算機(jī)安全意識,強(qiáng)化殺毒方面的技能的培訓(xùn)工作來確保網(wǎng)絡(luò)安全和防病毒體系的建立。
關(guān)鍵詞:會計電算化 內(nèi)控管理 安全防范
會計電算化的安全問題無非產(chǎn)生自以下兩個方面:一是技術(shù)上的安全漏洞,二是管理上的安全隱患。只有堵住計算機(jī)技術(shù)方面的安全漏洞,并嚴(yán)格計算機(jī)的內(nèi)控管理,才能從根本上防范會計電算化犯罪事件的發(fā)生。
一、會計電算化技術(shù)上的安全問題
計算機(jī)技術(shù)上的安全主要包括以下幾個方面。
1.物理安全。計算機(jī)的物理安全是指用一些裝置和應(yīng)用程序來保護(hù)計算機(jī)硬件和存儲介質(zhì)的安全。主要是防范計算機(jī)設(shè)備受損的危險和計算機(jī)設(shè)備及存儲介質(zhì)被盜的危險。在會計電算化中,許多重要的數(shù)據(jù)都存儲在電腦存儲設(shè)備中,一旦受損或被盜,后果不堪設(shè)想,因此,磁盤、磁帶等設(shè)備要嚴(yán)格保管,并注意數(shù)據(jù)的多重備份。除存儲設(shè)備外,其他設(shè)備也是十分重要的,如通訊線路的安全、ups電源的安全(特別注意不能在ups電源上插入電腦以外的設(shè)備)等。
2.操作系統(tǒng)的安全。操作系統(tǒng)是電腦中最基本、最重要的軟件,不同的操作系統(tǒng)提供的安全能力也不同。如dos操作系統(tǒng),許多用戶共用一臺電腦的所有資源,文件可以相互修改,容易產(chǎn)生安全問題。而大多數(shù)的操作系統(tǒng)如:unix、novell、netware就不允許一個用戶未經(jīng)授權(quán)修改或刪除另一用戶的文件。在會計電算化中,就必須注意操作系統(tǒng)的安全,根據(jù)不同信息的安全性使用相應(yīng)操作系統(tǒng)。操作系統(tǒng)的安全性還表現(xiàn)在操作系統(tǒng)的bug,操作系統(tǒng)本身的程序錯誤可能會被不良用心的人利用,因此必須關(guān)注最新消息,及時下載補(bǔ)丁程序修復(fù)。
3.網(wǎng)絡(luò)互聯(lián)的安全。由于信息共享的需要,企業(yè)內(nèi)部計算機(jī)之間的網(wǎng)絡(luò)互聯(lián)日益普遍,企業(yè)更是越來越多地通過互聯(lián)網(wǎng)為客戶提供信息披露服務(wù),而在黑客入侵事件屢見不鮮的今天,企業(yè)對網(wǎng)絡(luò)互聯(lián)的安全尤為關(guān)注。資源共享與信息安全歷來是一對矛盾,如何面對網(wǎng)絡(luò)互聯(lián)所帶來的安全問題已是企業(yè)在會計網(wǎng)絡(luò)化過程中所面臨的一個重要課題。計算機(jī)的入侵破壞活動要么是非法獲得計算機(jī)的訪問權(quán)限而進(jìn)入系統(tǒng)的,要么是利用網(wǎng)絡(luò)通信上的漏洞,竊取或更改信息而得逞的,因此網(wǎng)絡(luò)互聯(lián)的安全必須從訪問控制的管理和通信安全的管理(如加密、認(rèn)證)兩方面著手。
4.程序的安全。程序安全除了系統(tǒng)程序的安全、通訊軟件的安全外,還包括應(yīng)用軟件的安全,特別是所運(yùn)行的各類應(yīng)用軟件,由于開發(fā)商不同、維護(hù)人員不同,有可能存在邏輯陷阱、時間炸彈或系統(tǒng)后門,都有可能損害到安全。
二、會計電算化管理上的安全問題
針對計算機(jī)技術(shù)的安全問題,企業(yè)必須在管理上注意加強(qiáng)防范,建立有效的計算機(jī)管理體制。下面著重討論三方面的管理:
1.口令管理??诹罟芾硎欠乐褂嬎銠C(jī)的非法入侵最基本也是最重要的要求。遺憾的是,在企業(yè)中普遍存在對口令管理不重視的情況,很多電腦系統(tǒng)未設(shè)置口令保護(hù),甚至連有些會計系統(tǒng)的主機(jī),也未設(shè)置超級用戶口令。這是非常嚴(yán)重的系統(tǒng)安全隱患,好多操作員口令也是十分簡單脆弱的,有些操作員還把口令寫在電腦的周圍,這樣的口令形同虛設(shè),達(dá)不到安全防范的目的。一個安全性高的口令必須有足夠的長度,一般在8位以上,最好是字母和數(shù)字混合使用,而且不要使用字典中的單詞,否則很容易被密碼破譯程序解開??诹钸€必須經(jīng)常更換,這樣安全性也會大為增加。
2.物理設(shè)備的管理。針對計算機(jī)物理安全的內(nèi)容,企業(yè)必須嚴(yán)格計算機(jī)物理設(shè)備的管理。(1)存儲設(shè)備管理。企業(yè)計算機(jī)的存儲設(shè)備記錄著重要的業(yè)務(wù)數(shù)據(jù)和賬務(wù)數(shù)據(jù),一旦丟失或損壞,后果不堪設(shè)想,因此必須對存儲設(shè)備進(jìn)行登記管理、嚴(yán)格保存、數(shù)據(jù)分散備份。磁盤、磁帶等應(yīng)按業(yè)務(wù)、時間分類有序地保存,一些重要的數(shù)據(jù)還應(yīng)在不同的地點進(jìn)行雙重備份。(2)網(wǎng)絡(luò)設(shè)備管理。網(wǎng)絡(luò)設(shè)備的管理包括網(wǎng)絡(luò)通訊線路的保護(hù)和監(jiān)控、網(wǎng)絡(luò)通訊設(shè)備的管理,網(wǎng)絡(luò)接口設(shè)備如集線器、機(jī)柜的管理和保護(hù)措施。(3)電源設(shè)備管理。計算機(jī)中普遍應(yīng)用ups不間斷電源,以保證計算機(jī)的工作不受突然斷電的影響,保障了計算機(jī)數(shù)據(jù)和服務(wù)的不間斷性。計算機(jī)ups電源應(yīng)與市電嚴(yán)格區(qū)分,不得用于非電腦設(shè)備的供電,否則容易燒毀ups,造成損失。(4)其他設(shè)備管理。除了上述幾種設(shè)備,其他的計算機(jī)設(shè)備的管理也是十分重要的,應(yīng)建立健全電腦設(shè)備的登記管理工作。
3.人員管理。計算安全的保障是與操作人員的安全素質(zhì)、安全知識、技術(shù)水平密不可分的,重視對人員的管理才能保證計算機(jī)的安全。(1)系統(tǒng)管理員的安全培訓(xùn)。系統(tǒng)管理員擔(dān)負(fù)著系統(tǒng)維護(hù)和安全監(jiān)督的責(zé)任,因此系統(tǒng)管理員的安全培訓(xùn)工作十分重要,只有系統(tǒng)管理員的安全意識提高,系統(tǒng)管理員的技術(shù)水平增強(qiáng),對系統(tǒng)了然于胸,才能有效地對付各類非法入侵和維護(hù)系統(tǒng)的正常運(yùn)行。(2)操作人員的安全教育。普通的業(yè)務(wù)操作人員的安全教育也很重要,人人都應(yīng)重視計算機(jī)的安全,嚴(yán)格按照計算機(jī)系統(tǒng)的操作規(guī)程工作,計算機(jī)的安全才有保證。(3)機(jī)房實行出入登記制度或ic卡房門管理。機(jī)房作為重要的機(jī)要場所,放置著許多重要的電腦設(shè)備如系統(tǒng)服務(wù)器、網(wǎng)絡(luò)通信設(shè)備、局域網(wǎng)接線機(jī)柜等,因此要有一套嚴(yán)格的機(jī)房管理制度,并實行出入登記制度或ic卡房門管理制度,以保障的機(jī)房的安全。
三、常見計算機(jī)攻擊技術(shù)分析
古人云:知己知彼,百戰(zhàn)不殆。我們必須了解計算機(jī)入侵的攻擊技術(shù),才能更好地防范計算機(jī)犯罪。有人認(rèn)為,內(nèi)部人員技術(shù)水平太高了,就有可能發(fā)生內(nèi)部作案事件,其實這是十分片面的。我們看到,大部分的內(nèi)部作案事件實際上并不是利用很高的技術(shù),而是利用內(nèi)部管理上的漏洞得逞的,只要加強(qiáng)管理控制(當(dāng)然包括技術(shù)上的如密碼的控制),就可大大減少內(nèi)部作案的情況。而在網(wǎng)絡(luò)化的當(dāng)今,外部作案才是防不勝防,只有內(nèi)部技術(shù)人員的水平提高了,才能在防范電腦安全方面走在前面。實際上,大多數(shù)的電腦攻擊者并非天才,他們大都利用一些別人使用過的并在安全領(lǐng)域廣為人知的技術(shù)和工具,如stan、iss到各類實用短小的網(wǎng)絡(luò)監(jiān)聽工具。在互聯(lián)網(wǎng)上,這些工具比比皆是。下面列舉分析一些常見的計算機(jī)攻擊行為。
1.口令攻擊。口令攻擊是最直接的入侵方式。當(dāng)用戶未設(shè)置口令或是十分簡單的口令時,就大大增加了攻擊的成功率。在企業(yè)內(nèi)部經(jīng)常使用的unix操作系統(tǒng)中,用戶的口令以加密的形式存在放在/etc/passwd或者是/etc/shadow文件中,非法用戶可能利用匿名ftp或趁操作員離開工作臺之機(jī)獲取密碼文件,然后使用一些口令分析程序進(jìn)行破譯。實際上,unix系統(tǒng)加密所用的crypto函數(shù)是基于數(shù)據(jù)加密標(biāo)準(zhǔn)(des)的,從數(shù)學(xué)原理上可以保證從加密的密文得到加密前的明文是不可能的或非常困難的。但是,用戶常常選擇一些容易猜測的口令,從而給入侵者開了方便之門,破譯者把常用的單詞和數(shù)字組合作為一個字典文件,然后對字典文件進(jìn)行加密并與密文對照,從而獲得用戶口令,因此一個好的口令是十分重要的。上述兩個存放口令的文件是攻擊者的首要目標(biāo),早期的unix版本口令密文就放在/etc/passwd中,而該文件對所有用戶都是可讀的,危險性較大,新版的unix一般把口令密文放在/etc/shadow中,該文件對普通用戶是不可讀寫的,安全性有所提高,但應(yīng)注意系統(tǒng)管理員的口令安全。
口令破解的另一種方法是網(wǎng)絡(luò)監(jiān)聽,在下文中將有敘述。
在企業(yè)內(nèi)部,容易發(fā)生口令疏忽的地方有:unix主機(jī)操作員(包括系統(tǒng)管理員)的口令未設(shè)或不牢固、路由設(shè)備如cisco路由器未更改初始密碼、業(yè)務(wù)系統(tǒng)的單一密碼多人保管制度、對外部參與維護(hù)的電腦公司人員所掌握的口令缺乏管理等。對付口令攻擊的防范措施:設(shè)置好的口令、限制口令文件的讀取權(quán)限、通訊加密、不定時更換口令,當(dāng)然最重要的是加強(qiáng)用戶的口令管理意識對經(jīng)常的檢查制度。
2.程序攻擊。程序攻擊就是利用不良的程序或系統(tǒng)程序的錯誤進(jìn)行的攻擊。下面列舉一些常用的程序攻擊行為。(1)病毒和蠕蟲。我們對病毒都已經(jīng)并不陌生,從早期的大麻病毒、雨點病毒、黑色星期五病毒到大名鼎鼎的cih病毒、美麗殺手病毒,各類的病毒層出不窮,給計算機(jī)系統(tǒng)造成了極大的破壞。病毒其實是一些程序,它常常修改計算機(jī)中的另一些正常程序,并把自己復(fù)制到其他程序的代碼中,通過修改其他程序的執(zhí)行流程,以實現(xiàn)自己的隱藏、復(fù)制、傳播和發(fā)作。病毒一般分為引導(dǎo)型病毒、文件型病毒和宏病毒(實際上就是一種特殊的文件型病毒)?,F(xiàn)有的病毒絕大多數(shù)都是dos和windows操作系統(tǒng)下的病毒,這與dos與windows對用戶權(quán)限和系統(tǒng)資源的管理較薄弱有關(guān)。對付病毒最有效的辦法就是對所有外來程序進(jìn)行檢測、定時查毒、安裝防毒程序、加強(qiáng)軟件管理等。蠕蟲與病毒不同,它是一種可以在網(wǎng)絡(luò)上不同主機(jī)之間傳播而不修改目標(biāo)主機(jī)上的其他程序的一類程序,它不一定破壞任何軟件和硬件,但其通過在計算機(jī)網(wǎng)絡(luò)之間的不斷傳播和擴(kuò)張而嚴(yán)重消耗系統(tǒng)資源和帶寬,使系統(tǒng)不勝負(fù)荷甚至崩潰。最有名的蠕蟲當(dāng)屬1988年由莫里斯釋放的internet蠕蟲。(2)特洛伊木馬技術(shù)。特洛伊木馬程序是指那些表面上執(zhí)行正常指令,而實際上隱藏著一些破壞性的指令,當(dāng)不小心讓這種程序進(jìn)入系統(tǒng),就有可能給系統(tǒng)帶來危害。特洛伊木馬程序常常在用戶不知情的情況下拷貝文件或竊取密碼。在unix系統(tǒng)中,制造一個特洛伊馬木程序,即更換常用的一些系統(tǒng)程序和命令,是很容易的事。因此對這類威脅,我們要做好防范工作,首先離開電腦終端時應(yīng)及時退出注冊,系統(tǒng)管理員應(yīng)定時掃描分析。此外還應(yīng)了解一些對付特洛伊木馬的方法,如數(shù)字簽名技術(shù)、tripwire工具等。(3)利用處理程序錯誤的攻擊。這種攻擊是利用處理程序中存在的錯誤進(jìn)行的攻擊,由于這類攻擊大都可以通過網(wǎng)絡(luò)發(fā)動,給系統(tǒng)安全造成了較大的危害。目前在網(wǎng)上已有一些補(bǔ)丁程序用來對付這類攻擊,安裝一個pc防火墻也可以有效地防止這類攻擊。
3.緩沖區(qū)溢出。在許多操作系統(tǒng)和應(yīng)用軟件中,都普遍存在一種非常危險的安全漏洞,這就是緩沖區(qū)溢出。對付緩沖區(qū)溢出攻擊,系統(tǒng)管理員必須經(jīng)常檢查系統(tǒng)的bug,注意電腦廠商的最新消息,及時安裝系統(tǒng)補(bǔ)丁程序,并在編程中對字符串進(jìn)行操作時注意對字符串長度的檢查,以免產(chǎn)生的漏洞。
4.拒絕服務(wù)的攻擊。拒絕服務(wù)的攻擊有兩種類型:一是試圖去破壞或毀壞資源而使無人可以使用該資源,如切斷電源或網(wǎng)絡(luò)線路、刪除文件、格式化磁盤等。二是過載一些系統(tǒng)服務(wù)或者消耗一些資源,如填滿磁盤空間。
5.其他攻擊,如電子郵件攻擊、ip欺騙等。
參考文獻(xiàn):
1.楊翠環(huán).企業(yè)內(nèi)部網(wǎng)的構(gòu)建、管理及安全.職業(yè)時空,2004(6)
2.鄧長紅,鄧金娥.論會計電算化的安全問題及其管理對策.科技創(chuàng)業(yè)月刊,2004(12)
計算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù).計算機(jī)網(wǎng)絡(luò)安全包括兩個方面,即物理安全和羅輯安全.物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù),免于破壞、丟失等.羅輯安全包括信息的完整性、保密性和可用性.
第二章 計算機(jī)網(wǎng)絡(luò)不安全因素
2.1 計算機(jī)網(wǎng)絡(luò)的脆弱性
(1)網(wǎng)絡(luò)的開放性,網(wǎng)絡(luò)的技術(shù)是全開放的,使得網(wǎng)絡(luò)所面臨的攻擊來自多方面.或是來自物理傳輸線路的攻擊,或是來自對網(wǎng)絡(luò)通信協(xié)議的攻擊,以及對計算機(jī)軟件、硬件的漏洞實施攻擊.
(2)網(wǎng)絡(luò)的國際性,意味著對網(wǎng)絡(luò)的攻擊不僅是來自于本地網(wǎng)絡(luò)的用戶,還可以是互聯(lián)網(wǎng)上其他國家的黑客,所以,網(wǎng)絡(luò)的安全面臨著國際化的挑戰(zhàn).
(3)網(wǎng)絡(luò)的自由性,大多數(shù)的網(wǎng)絡(luò)對用戶的使用沒有技術(shù)上的約束,用戶可以自由的上網(wǎng),和獲取各類信息.
2.2 操作系統(tǒng)存在的安全問題
(1)操作系統(tǒng)結(jié)構(gòu)體系的缺陷.操作系統(tǒng)本身有內(nèi)存管理、CPU 管理、外設(shè)的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內(nèi)存管理的問題,外部網(wǎng)絡(luò)的一個連接過來,剛好連接一個有缺陷的模塊,可能出現(xiàn)的情況是,計算機(jī)系統(tǒng)會因此崩潰.所以,有些黑客往往是針對操作系統(tǒng)的不完善進(jìn)行攻擊,使計算機(jī)系統(tǒng),特別是服務(wù)器系統(tǒng)立刻癱瘓.
(2)操作系統(tǒng)支持在網(wǎng)絡(luò)上傳送文件、加載或安裝程序,包括可執(zhí)行文件,這些功能也會帶來不安全因素.網(wǎng)絡(luò)很重要的一個功能就是文件傳輸功能,比如 FTP,這些安裝程序經(jīng)常會帶一些可執(zhí)行文件,這些可執(zhí)行文件都是人為編寫的程序,如果某個地方出現(xiàn)漏洞,那么系統(tǒng)可能就會造成崩潰.像這些遠(yuǎn)程調(diào)用、文件傳輸,如果生產(chǎn)廠家或個人在上面安裝間諜程序,那么用戶的整個傳輸過程、使用過程都會被別人監(jiān)視到,所有的這些傳輸文件、加載的程序、安裝的程序、執(zhí)行文件,都可能給操作系統(tǒng)帶來安全的隱患.所以,建議盡量少使用一些來歷不明,或者無法證明它的安全性的軟件.
(3)操作系統(tǒng)有些守護(hù)進(jìn)程,它是系統(tǒng)的一些進(jìn)程,總是在等待某些事件的出現(xiàn).所謂守護(hù)進(jìn)程,比如說用戶有沒按鍵盤或鼠標(biāo),或者別的一些處理.一些監(jiān)控病毒的監(jiān)控軟件也是守護(hù)進(jìn)程,這些進(jìn)程可能是好的,比如防病毒程序,一有病毒出現(xiàn)就會被撲捉到.但是有些進(jìn)程是一些病毒,一碰到特定的情況,比如碰到7 月1 日,它就會把用戶的硬盤格式化,這些進(jìn)程就是很危險的守護(hù)進(jìn)程,平時它可能不起作用,可是在某些條件發(fā)生,比如7 月1 日,它才發(fā)生作用,如果操作系統(tǒng)有些守護(hù)進(jìn)程被人破壞掉就會出現(xiàn)這種不安全的情況.
(4)操作系統(tǒng)不安全的一個原因在于它可以創(chuàng)建進(jìn)程,支持進(jìn)程的遠(yuǎn)程創(chuàng)建和激活,支持被創(chuàng)建的進(jìn)程繼承創(chuàng)建的權(quán)利,這些機(jī)制提供了在遠(yuǎn)端服務(wù)器上安裝"間諜"軟件的條件.若將間諜軟件以打補(bǔ)丁的方式"打"在一個合法用戶上,特別是"打"在一個特權(quán)用戶上,黑客或間諜軟件就可以使系統(tǒng)進(jìn)程與作業(yè)的監(jiān)視程序監(jiān)測不到它的存在.
(5)操作系統(tǒng)會提供一些遠(yuǎn)程調(diào)用功能,所謂遠(yuǎn)程調(diào)用就是一臺計算機(jī)可以調(diào)用遠(yuǎn)程一個大型服務(wù)器里面的一些程序,可以提交程序給遠(yuǎn)程的服務(wù)器執(zhí)行,如telnet.遠(yuǎn)程調(diào)用要經(jīng)過很多的環(huán)節(jié),中間的通訊環(huán)節(jié)可能會出現(xiàn)被人監(jiān)控等安全的問題.
(6)操作系統(tǒng)的后門和漏洞.后門程序是指那些繞過安全控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法.在軟件開發(fā)階段,程序員利用軟件的后門程序得以便利修改程序設(shè)計中的不足.一旦后門被黑客利用,或在軟件前沒有刪除后門程序,容易被黑客當(dāng)成漏洞進(jìn)行攻擊,造成信息泄密和丟失.此外,操作系統(tǒng)的無口令的入口,也是信息安全的一大隱患.
(7) 盡管操作系統(tǒng)的漏洞可以通過版本的不斷升級來克服, 但是系統(tǒng)的某一個安全漏洞就會使得系統(tǒng)的所有安全控制毫無價值.當(dāng)發(fā)現(xiàn)問題到升級這段時間,一個小小的漏洞就足以使你的整個網(wǎng)絡(luò)癱瘓掉.
2.3 數(shù)據(jù)庫存儲的內(nèi)容存在的安全問題
數(shù)據(jù)庫管理系統(tǒng)大量的信息存儲在各種各樣的數(shù)據(jù)庫里面,包括我們上網(wǎng)看到的所有信息,數(shù)據(jù)庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少.例如:授權(quán)用戶超出了訪問權(quán)限進(jìn)行數(shù)據(jù)的更改活動;非法用戶繞過安全內(nèi)核,竊取信息.對于數(shù)據(jù)庫的安全而言,就是要保證數(shù)據(jù)的安全可靠和正確有效,即確保數(shù)據(jù)的安全性、完整性.數(shù)據(jù)的安全性是防止數(shù)據(jù)庫被破壞和非法的存取;數(shù)據(jù)庫的完整性是防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù).
2.4 防火墻的脆弱性
防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.它是一種計算機(jī)硬件和軟件的結(jié)合,使 Internet 與Intranet 之間建立起一個安全網(wǎng)關(guān)(Security Gateway),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入.
但防火墻只能提供網(wǎng)絡(luò)的安全性,不能保證網(wǎng)絡(luò)的絕對安全,它也難以防范網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的侵犯.并不要指望防火墻靠自身就能夠給予計算機(jī)安全.防火墻保護(hù)你免受一類攻擊的威脅,但是卻不能防止從LAN 內(nèi)部的攻擊,若是內(nèi)部的人和外部的人聯(lián)合起來,即使防火墻再強(qiáng),也是沒有優(yōu)勢的.它甚至不能保護(hù)你免受所有那些它能檢測到的攻擊.隨著技術(shù)的發(fā)展,還有一些破解的方法也使得防火墻造成一定隱患.這就是防火墻的局限性.
2.5 其他方面的因素
計算機(jī)系統(tǒng)硬件和通訊設(shè)施極易遭受到自然環(huán)境的影響,如:各種自然災(zāi)害(如地震、泥石流、水災(zāi)、風(fēng)暴、建筑物破壞等)對計算機(jī)網(wǎng)絡(luò)構(gòu)成威脅.還有一些偶發(fā)性因素,如電源故障、設(shè)備的機(jī)能失常、軟件開發(fā)過程中留下的某些漏洞等,也對計算機(jī)網(wǎng)絡(luò)構(gòu)成嚴(yán)重威脅.此外管理不好、規(guī)章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機(jī)信息安全造成威脅.
第三章 計算機(jī)網(wǎng)絡(luò)安全的對策
3.1 技術(shù)層面對策
(1) 建立安全管理制度.提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng).對重要部門和信息,嚴(yán)格做好開機(jī)查毒,及時備份數(shù)據(jù),這是一種簡單有效的方法.
(2) 網(wǎng)絡(luò)訪問控制.訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略.它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問.它是保證網(wǎng)絡(luò)安全最重要的核心策略之一.訪問控制涉及的技術(shù)比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段.
(3) 應(yīng)用密碼技術(shù).應(yīng)用密碼技術(shù)是信息安全核心技術(shù),密碼手段為信息安全提供了可靠保證.基于密碼的數(shù)字簽名和身份認(rèn)證是當(dāng)前保證信息完整性的最主要方法之一,密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理.
(4)數(shù)據(jù)庫的備份與恢復(fù).數(shù)據(jù)庫的備份與恢復(fù)是數(shù)據(jù)庫管理員維護(hù)數(shù)據(jù)安全性和完整性的重要操作.備份是恢復(fù)數(shù)據(jù)庫最容易和最能防止意外的保證方法.恢復(fù)是在意外發(fā)生后利用備份來恢復(fù)數(shù)據(jù)的操作.有三種主要備份策略:只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務(wù)日志、增量備份.
(5) 切斷傳播途徑.對被感染的硬盤和計算機(jī)進(jìn)行徹底殺毒處理,不使用來歷不明的U 盤和程序,不隨意下載網(wǎng)絡(luò)可疑信息.
(6) 提高網(wǎng)絡(luò)反病毒技術(shù)能力.通過安裝病毒防火墻,進(jìn)行實時過濾.對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測,在工作站上采用防病毒卡,加強(qiáng)網(wǎng)絡(luò)目錄和文件訪問權(quán)限的設(shè)置.在網(wǎng)絡(luò)中,限制只能由服務(wù)器才允許執(zhí)行的文件.
(7) 研發(fā)并完善高安全的操作系統(tǒng).研發(fā)具有高安全的操作系統(tǒng),不給病毒得以滋生的溫床才能更安全.
3.2 管理層面對策
計算機(jī)網(wǎng)絡(luò)的安全管理,不僅要看所采用的安全技術(shù)和防范措施,而且要看它所采取的管理措施和執(zhí)行計算機(jī)安全保護(hù)法律、法規(guī)的力度.只有將兩者緊密結(jié)合,才能使計算機(jī)網(wǎng)絡(luò)安全確實有效.
計算機(jī)網(wǎng)絡(luò)的安全管理,包括對計算機(jī)用戶的安全教育、建立相應(yīng)的安全管理機(jī)構(gòu)、不斷完善和加強(qiáng)計算機(jī)的管理功能、加強(qiáng)計算機(jī)及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面.加強(qiáng)計算機(jī)安全管理、加強(qiáng)用戶的法律、法規(guī)和道德觀念,提高計算機(jī)用戶的安全意識,對防止計算機(jī)犯罪、抵制黑客攻擊和防止計算機(jī)病毒干擾,是十分重要的措施.
這就要對計算機(jī)用戶不斷進(jìn)行法制教育,包括計算機(jī)安全法、計算機(jī)犯罪法、保密法、數(shù)據(jù)保護(hù)法等,明確計算機(jī)用戶和系統(tǒng)管理人員應(yīng)履行的權(quán)利和義務(wù),自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護(hù)計算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全,維護(hù)信息系統(tǒng)的安全.除此之外,還應(yīng)教育計算機(jī)用戶和全體工作人員,應(yīng)自覺遵守為維護(hù)系統(tǒng)安全而建立的一切規(guī)章制度,包括人員管理制度、運(yùn)行維護(hù)和管理制度、計算機(jī)處理的控制和管理制度、各種資料管理制度、機(jī)房保衛(wèi)管理制度、專機(jī)專用和嚴(yán)格分工等管理制度.
3.3 物理安全層面對策
(1) 機(jī)房場地環(huán)境的選擇.計算機(jī)系統(tǒng)選擇一個合適的安裝場所十分重要.它直接影響到系統(tǒng)的安全性和可靠性.選擇計算機(jī)房場地,要注意其外部環(huán)境安全性、地質(zhì)可靠性、場地抗電磁干擾性,避開強(qiáng)振動源和強(qiáng)噪聲源,并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁.還要注意出入口的管理.
2) 計算機(jī)系統(tǒng)的環(huán)境條件.計算機(jī)系統(tǒng)的安全環(huán)境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴(yán)格的標(biāo)準(zhǔn).
(3) 機(jī)房的安全防護(hù).機(jī)房的安全防護(hù)是針對環(huán)境的物理災(zāi)害和防止未授權(quán)的個人或團(tuán)體破壞、篡改或盜竊網(wǎng)絡(luò)設(shè)施、重要數(shù)據(jù)而采取的安全措施和對策.為做到區(qū)域安全,首先,應(yīng)考慮物理訪問控制來識別訪問用戶的身份,并對其合法性進(jìn)行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機(jī)系統(tǒng)中心設(shè)備外設(shè)多層安全防護(hù)圈,以防止非法暴力入侵;第四設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施.
第四章 局域網(wǎng)安全現(xiàn)狀
廣域網(wǎng)絡(luò)已有了相對完善的安全防御體系, 防火墻、漏洞掃描、防病毒、IDS 等網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界方面的防御, 重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處, 在這些設(shè)備的嚴(yán)密監(jiān)控下, 來自網(wǎng)絡(luò)外部的安全威脅大大減小.相反來自網(wǎng)絡(luò)內(nèi)部的計算機(jī)客戶端的安全威脅缺乏必要的安全管理措施, 安全威脅較大.未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動進(jìn)入網(wǎng)絡(luò), 形成極大的安全隱患.目前, 局域網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點, 而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴(yán)重程度.
第五章 局域網(wǎng)安全威脅分析
5.1 欺騙性的軟件使數(shù)據(jù)安全性降低
由于局域網(wǎng)很大的一部分用處是資源共享, 而正是由于共享資源的"數(shù)據(jù)開放性", 導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除, 數(shù)據(jù)安全性較低.例如"網(wǎng)絡(luò)釣魚攻擊", 釣魚工具是通過大量發(fā)送聲稱來自于一些知名機(jī)構(gòu)的欺騙性垃圾郵件, 意圖引誘收信人給出敏感信息: 如用戶名、口令、賬號ID、ATM PIN 碼或信用卡詳細(xì)信息等的一種攻擊方式.最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù),以往此類攻擊的冒名的多是大型或著名的網(wǎng)站, 但由于大型網(wǎng)站反應(yīng)比較迅速, 而且所提供的安全功能不斷增強(qiáng), 網(wǎng)絡(luò)釣魚已越來越多地把目光對準(zhǔn)了較小的網(wǎng)站.同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段, 因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生.
5.2 服務(wù)器區(qū)域沒有進(jìn)行獨立防護(hù)
局域網(wǎng)內(nèi)計算機(jī)的數(shù)據(jù)快速、便捷的傳遞, 造就了病毒感染的直接性和快速性, 如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨立保護(hù), 其中一臺電腦感染病毒, 并且通過服務(wù)器進(jìn)行信息傳遞, 就會感染服務(wù)器, 這樣局域網(wǎng)中任何一臺通過服務(wù)器信息傳遞的電腦, 就有可能會感染病毒.雖然在網(wǎng)絡(luò)出口有防火墻阻斷對外來攻擊, 但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊.
5.3 計算機(jī)病毒及惡意代碼的威脅
由于網(wǎng)絡(luò)用戶不及時安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁, 或未及時更新防病毒軟件的病毒庫而造成計算機(jī)病毒的入侵.許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點.寄生軟件可以修改磁盤上現(xiàn)有的軟件, 在自己寄生的文件中注入新的代碼.最近幾年, 隨著犯罪軟件(crimeware) 洶涌而至, 寄生軟件已退居幕后, 成為犯罪軟件的助手.2007 年, 兩種軟件的結(jié)合推動舊有寄生軟件變種增長3 倍之多.2008 年, 預(yù)計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長, 寄生軟件的總量預(yù)計將增長20%.
5.4 局域網(wǎng)用戶安全意識不強(qiáng)
許多用戶使用移動存儲設(shè)備來進(jìn)行數(shù)據(jù)的傳遞, 經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設(shè)備帶入內(nèi)部局域網(wǎng), 同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng), 這給木馬、蠕蟲等病毒的進(jìn)入提供了方便同時增加了數(shù)據(jù)泄密的可能性.另外一機(jī)兩用甚至多用情況普遍, 筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用, 許多用戶將在In ternet 網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用, 造成病毒的傳入和信息的泄密.
5.5 IP 地址沖突
局域網(wǎng)用戶在同一個網(wǎng)段內(nèi), 經(jīng)常造成IP 地址沖突, 造成部分計算機(jī)無法上網(wǎng).對于局域網(wǎng)來講,此類IP 地址沖突的問題會經(jīng)常出現(xiàn), 用戶規(guī)模越大, 查找工作就越困難, 所以網(wǎng)絡(luò)管理員必須加以解決.
正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨特的特點, 造成局域網(wǎng)內(nèi)的病毒快速傳遞, 數(shù)據(jù)安全性低, 網(wǎng)內(nèi)電腦相互感染, 病毒屢殺不盡, 數(shù)據(jù)經(jīng)常丟失.
第六章 局域網(wǎng)安全控制與病毒防治策略
6.1 加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)
(1)加強(qiáng)安全知識培訓(xùn), 使每個計算機(jī)使用者掌握一定的安全知識, 至少能夠掌握如何備份本地的數(shù)據(jù), 保證本地數(shù)據(jù)信息的安全可靠.
(2)加強(qiáng)安全意識培訓(xùn), 讓每個工作人員明白數(shù)據(jù)信息安全的重要性, 理解保證數(shù)據(jù)信息安全是所有計算機(jī)使用者共同的責(zé)任.
(3)加強(qiáng)網(wǎng)絡(luò)知識培訓(xùn), 通過培訓(xùn)掌握一定的網(wǎng)絡(luò)知識, 能夠掌握IP 地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識, 樹立良好的計算機(jī)使用習(xí)慣.
6.2 局域網(wǎng)安全控制策略
(1)利用桌面管理系統(tǒng)控制用戶入網(wǎng).入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用, 是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略.它為網(wǎng)絡(luò)訪問提供了第一層訪問控制.它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源, 控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng).用戶和用戶組被賦予一定的權(quán)限, 網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源, 可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作.啟用密碼策略, 強(qiáng)制計算機(jī)用戶設(shè)置符合安全要求的密碼, 包括設(shè)置口令鎖定服務(wù)器控制臺, 以防止非法用戶修改.設(shè)定服務(wù)器登錄時間限制、檢測非法訪問.刪除重要信息或破壞數(shù)據(jù), 提高系統(tǒng)安全行, 對密碼不符合要求的計算機(jī)在多次警告后阻斷其連網(wǎng).
(2)采用防火墻技術(shù).防火墻技術(shù)是通常安裝在單獨的計算機(jī)上, 與網(wǎng)絡(luò)的其余部分隔開, 它使內(nèi)部網(wǎng)絡(luò)與In ternet 之間或與其他外部網(wǎng)絡(luò)互相隔離,限制網(wǎng)絡(luò)互訪, 用來保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入, 執(zhí)行安全管制措施, 記錄所有可疑事件.它是在兩個網(wǎng)絡(luò)之間實行控制策略的系統(tǒng), 是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù).采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有:
①深度數(shù)據(jù)包處理.深度數(shù)據(jù)包處理在一個數(shù)據(jù)流當(dāng)中有多個數(shù)據(jù)包, 在尋找攻擊異常行為的同時, 保持整個數(shù)據(jù)流的狀態(tài).深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應(yīng)用流量, 以避免應(yīng)用時帶來時延.
②TCP? IP 終止.應(yīng)用層攻擊涉及多種數(shù)據(jù)包, 并且常常涉及不同的數(shù)據(jù)流.流量分析系統(tǒng)要發(fā)揮功效, 就必須在用戶與應(yīng)用保持互動的整個會話期間, 能夠檢測數(shù)據(jù)包和請求, 以尋找攻擊行為.至少, 這需要能夠終止傳輸層協(xié)議, 并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式.系統(tǒng)中存著一些訪問網(wǎng)絡(luò)的木馬、病毒等IP 地址, 檢查訪問的IP 地址或者端口是否合法, 有效的TCP? IP 終止, 并有效地扼殺木馬.時等.
③IP?U RL 過濾.一旦應(yīng)用流量是明文格式, 就必須檢測HTTP 請求的U RL 部分, 尋找惡意攻擊的跡象, 這就需要一種方案不僅能檢查RUL , 還能檢查請求的其余部分.其實, 如果把應(yīng)用響應(yīng)考慮進(jìn)來, 可以大大提高檢測攻擊的準(zhǔn)確性.雖然U RL 過濾是一項重要的操作,可以阻止通常的腳本類型的攻擊.
④訪問網(wǎng)絡(luò)進(jìn)程跟蹤.訪問網(wǎng)絡(luò)進(jìn)程跟蹤.這是防火墻技術(shù)的最基本部分, 判斷進(jìn)程訪問網(wǎng)絡(luò)的合法性, 進(jìn)行有效攔截.這項功能通常借助于TD I層的網(wǎng)絡(luò)數(shù)據(jù)攔截, 得到操作網(wǎng)絡(luò)數(shù)據(jù)報的進(jìn)程的詳細(xì)信息加以實現(xiàn).
(3) 封存所有空閑的IP 地址, 啟動IP 地址綁定采用上網(wǎng)計算機(jī)IP 地址與MCA 地址唯一對應(yīng), 網(wǎng)絡(luò)沒有空閑IP 地址的策略.由于采用了無空閑IP 地址策略, 可以有效防止IP 地址引起的網(wǎng)絡(luò)中斷和移動計算機(jī)隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密.
(4) 屬性安全控制.它能控制以下幾個方面的權(quán)限: 防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等.網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件.
(5) 啟用殺毒軟件強(qiáng)制安裝策略, 監(jiān)測所有運(yùn)行在局域網(wǎng)絡(luò)上的計算機(jī), 對沒有安裝殺毒軟件的計算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件.
6.3 病毒防治
(1)增加安全意識和安全知識, 對工作人員定期培訓(xùn).首先明確病毒的危害, 文件共享的時候盡量控制權(quán)限和增加密碼, 對來歷不明的文件運(yùn)行前進(jìn)行查殺等, 都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播.這些措施對杜絕病毒, 主觀能動性起到很重要的作用.
(2) 小心使用移動存儲設(shè)備.在使用移動存儲設(shè)備之前進(jìn)行病毒的掃描和查殺, 也可把病毒拒絕在外.
(3) 挑選網(wǎng)絡(luò)版殺毒軟件.一般而言, 查殺是否徹底, 界面是否友好、方便, 能否實現(xiàn)遠(yuǎn)程控制、集中管理是決定一個網(wǎng)絡(luò)殺毒軟件的三大要素.瑞星殺毒軟件在這些方面都相當(dāng)不錯, 能夠熟練掌握瑞星殺毒軟件使用, 及時升級殺毒軟件病毒庫, 有效使用殺毒軟件是防毒殺毒的關(guān)鍵.
通過以上策略的設(shè)置, 能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行中存在的問題, 快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲等網(wǎng)絡(luò)安全威脅的切入點, 及時、準(zhǔn)確的切斷安全事件發(fā)生點和網(wǎng)絡(luò).
局域網(wǎng)安全控制與病毒防治是一項長期而艱巨的任務(wù), 需要不斷的探索.隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展計算機(jī)病毒形式及傳播途徑日趨多樣化, 安全問題日益復(fù)雜化, 網(wǎng)絡(luò)安全建設(shè)已不再像單臺計算安全防護(hù)那樣簡單.計算機(jī)網(wǎng)絡(luò)安全需要建立多層次的、立體的防護(hù)體系, 要具備完善的管理系統(tǒng)來設(shè)置和維護(hù)對安全的防護(hù)策略.
第七章 結(jié)論
(1)配置防火墻.利用防火墻,在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息.防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制, 防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以,防火墻是網(wǎng)絡(luò)安全的重要一環(huán).
(2)網(wǎng)絡(luò)病毒的防范.在網(wǎng)絡(luò)環(huán)境下,病毒 傳播擴(kuò)散快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品.校園網(wǎng)絡(luò)是內(nèi)部局域網(wǎng),就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件.如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件,加強(qiáng)上網(wǎng)計算機(jī)的安全.如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換,還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒.所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,使網(wǎng)絡(luò)免受病毒的侵襲.
(3)采用入侵檢測系統(tǒng).入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未 授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù).在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動, 從而達(dá)到限制這些活動,以保護(hù)系統(tǒng)的安全.在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù),最好采用混合入侵檢測,在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動防御體系.
(4)Web,Email,BBS的安全監(jiān)測系統(tǒng).在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),實時跟蹤、監(jiān)視網(wǎng)絡(luò), 截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容 ,建立保存相應(yīng)記錄的數(shù)據(jù)庫.及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容,及時向上級安全網(wǎng)管中 心報告,采取措施.
(5)IP盜用問題的解決.在路由器上捆綁IP和MAC地址.當(dāng)某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行.否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息.
(6)漏洞掃描系統(tǒng).解決網(wǎng)絡(luò)層安全問題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點.面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估,顯然是不現(xiàn)實的.解決的方案是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò) 安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患.在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞.
(7)利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全.對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力.在這種情況下,我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù).設(shè)計一個子網(wǎng)專用的監(jiān)聽程序.該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機(jī)間相互聯(lián)系的情況,為系統(tǒng)中各個服務(wù)器的審計文件提供備份.
總之,網(wǎng)絡(luò)安全是一個系統(tǒng)的工程,不能僅僅依靠防火墻等單個的系統(tǒng),而需要仔細(xì)考慮系統(tǒng)的安全需求,并將各種安全技術(shù),如密碼技術(shù)等結(jié)合在 一起,才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng).
參考文獻(xiàn)
[1] 胡勝紅.畢婭.《網(wǎng)絡(luò)工程原理與實踐教程》人民郵電出版社,2008
[2] 江大慶.吳強(qiáng).《網(wǎng)絡(luò)互聯(lián)及路由器技術(shù)》.北京.清華大學(xué)出版社,2009
[3] 邊宇樞.《網(wǎng)絡(luò)系統(tǒng)管理與維護(hù)》. 北京.中央廣播電視大學(xué)出版社,2009
網(wǎng)絡(luò)技術(shù)的普及和應(yīng)用正在改變傳統(tǒng)的信息技術(shù)產(chǎn)業(yè),信息交流變得更加快捷和便利,但是這樣也給網(wǎng)絡(luò)信息的保密提出了更高的要求。
1.計算機(jī)網(wǎng)絡(luò)安全問題產(chǎn)生的背景
計算機(jī)網(wǎng)絡(luò)的應(yīng)用已經(jīng)滲透到社會的各個領(lǐng)域,網(wǎng)絡(luò)信息安全已經(jīng)成為人們?nèi)粘I铑H為關(guān)注的問題。隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用和發(fā)展,計算機(jī)網(wǎng)絡(luò)的安全問題也越來越受到人們的關(guān)注。網(wǎng)絡(luò)安全問題日益顯得重要,網(wǎng)絡(luò)的開放性與共享性,系統(tǒng)的復(fù)雜性,邊界的不確定性,以及路徑的不確定性,等等,都導(dǎo)致網(wǎng)絡(luò)安全問題的發(fā)生,使得網(wǎng)絡(luò)很容易受到外界的攻擊和破壞,同樣也使得數(shù)據(jù)信息的保密性受到嚴(yán)重的影響。網(wǎng)絡(luò)安全問題已經(jīng)迫在眉睫。
2.網(wǎng)絡(luò)信息安全的重要性
隨著信息技術(shù)的快速發(fā)展,隨之而來的就是網(wǎng)絡(luò)平臺的安全問題,因此,人們對網(wǎng)絡(luò)環(huán)境的要求越來越高,對網(wǎng)絡(luò)安全也越來越重視。無論是網(wǎng)上交易,還是網(wǎng)絡(luò)信息的傳遞,都是對網(wǎng)絡(luò)安全提出的一個很大的挑戰(zhàn)。網(wǎng)絡(luò)信息安全已經(jīng)成為國家、國防,以及國民經(jīng)濟(jì)的重要組成部分。隨著計算機(jī)通訊技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,計算機(jī)網(wǎng)絡(luò)將會日益成為農(nóng)業(yè)、工業(yè)和國防等方面的重要信息交換手段,滲透到社會的各個領(lǐng)域?;谝陨系那闆r,我們必須認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在的威脅。所以,采取強(qiáng)力的安全措施是必要的,對于保證網(wǎng)絡(luò)信息的安全傳遞十分重要。而目前并沒有任何的計算機(jī)技術(shù)能完全保證網(wǎng)絡(luò)信息的安全性,所以我們除了要加強(qiáng)技術(shù)方面的發(fā)展,還必須考慮非技術(shù)方面的因素,例如人們的安全意識等。
3.網(wǎng)絡(luò)安全信息所面臨的主要威脅
3.1計算機(jī)病毒的威脅。
病毒可以說是當(dāng)前網(wǎng)絡(luò)信息最主要的威脅,其發(fā)展趨勢呈爆發(fā)式增長。國際安全協(xié)會的統(tǒng)計表明:計算機(jī)病毒正在以每年超過50%的速度增長。我國最大的防病毒廠商瑞星公司的報告顯示:2004年上半年截獲各種新型病毒11835個,2005年同期為26927個,而到2006年同期達(dá)到了119402個,2007年達(dá)到133717個,而2008年截獲的病毒木馬居然達(dá)到了1242244個,數(shù)量已經(jīng)超過近五年來病毒數(shù)量的總和。以前,一個計算機(jī)病毒需要3年的時間才能傳遍全球,而現(xiàn)在借助網(wǎng)絡(luò)信息則只需要僅僅幾分鐘。根據(jù)有關(guān)部門統(tǒng)計,從2000年開始至今,全球數(shù)千萬臺計算機(jī)受到病毒感染,累計造成經(jīng)濟(jì)損失1000多億美元,給全球的經(jīng)濟(jì)、科技的發(fā)展帶來巨大的損失。
3.2計算機(jī)黑客的威脅。
根據(jù)我國公安部門的統(tǒng)計,1997年我國發(fā)生的與黑客有關(guān)的網(wǎng)絡(luò)犯罪20起,1998年142起,1999年908起,2000年就超過了3000起,從2001年到目前為止,每年的網(wǎng)絡(luò)犯罪更是數(shù)以萬計,并且由于網(wǎng)絡(luò)的隱蔽性,導(dǎo)致了破案率還不到10%。
3.3流氓軟件的威脅。
當(dāng)前越來越多的正規(guī)軟件廠商受到利益的驅(qū)使,大量的制作并使用介于正規(guī)軟件和病毒軟件之間的流氓軟件,而這些軟件大多又具有木馬的特征,與病毒之間的界限也越來越模糊。根據(jù)有關(guān)部門調(diào)查顯示,從2006年開始,流氓軟件對用戶的侵害有超過病毒的趨勢,嚴(yán)重地干擾了用戶的日常工作,信息數(shù)據(jù)安全,以及個人隱私。
4.影響網(wǎng)絡(luò)信息安全的主要因素
當(dāng)前影響網(wǎng)絡(luò)安全的因素很多,但是主要還是來自法律、管理、技術(shù)三個大方面。
4.1網(wǎng)絡(luò)信息安全的相關(guān)法律法規(guī)的不健全。
對于網(wǎng)絡(luò)犯罪越來越猖獗的情況,世界各國都已經(jīng)開始擬定相關(guān)的法律法規(guī),但是在互聯(lián)網(wǎng)這樣一個虛擬的世界里,可以說很難對網(wǎng)絡(luò)信息犯罪進(jìn)行監(jiān)控和證據(jù)的收集。而制裁傳統(tǒng)犯罪的法律法規(guī)又并不適合于網(wǎng)絡(luò)信息犯罪,關(guān)于世界各國對于網(wǎng)絡(luò)的犯罪底線又過于模糊和籠統(tǒng),實在是很難有一個清楚的界限。網(wǎng)絡(luò)世界里的立法尚有許多的空白點,這也導(dǎo)致了網(wǎng)絡(luò)世界的“無政府”狀態(tài)的情況日益加劇,網(wǎng)絡(luò)信息犯罪呈泛濫的趨勢,但是真正被送上審判席的可以說少之又少,網(wǎng)絡(luò)犯罪幾乎是無處不在。雖然目前有好幾例網(wǎng)絡(luò)信息犯罪被送上審判庭,但這對于目前龐大的網(wǎng)絡(luò)犯罪數(shù)量來說只是冰山一角。
4.2網(wǎng)絡(luò)信息安全意識淡薄,管理體制不夠健全。
網(wǎng)絡(luò)信息安全管制是網(wǎng)絡(luò)安全的一個重要不可缺少的因素,但是大多數(shù)人的安全意識很薄弱,重技術(shù)、輕管理,殊不知大部分的信息安全問題都是出自于管理上的疏忽。在制度、流程和人員管理方面相當(dāng)?shù)幕靵y,這就為網(wǎng)絡(luò)信息安全留下隱患,也為盜取信息者大開方便之門。據(jù)網(wǎng)絡(luò)信息安全專家不完全統(tǒng)計,約80%的信息泄露都是由于管理上的疏忽。
4.3網(wǎng)絡(luò)安全技術(shù)存在著不足。
網(wǎng)絡(luò)信息系統(tǒng)安全一般由網(wǎng)絡(luò)協(xié)議層安全、宿主操作系統(tǒng)層安全、數(shù)據(jù)庫管理系統(tǒng)層安全和應(yīng)用程序?qū)影踩膫€層次組成,而這四個安全層次均在不同程度上存在安全方面的先天不足。首先,網(wǎng)絡(luò)協(xié)議存在安全缺陷。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)信息系統(tǒng)的基石,TCP/IP協(xié)議族是目前使用最廣泛的互聯(lián)網(wǎng)協(xié)議,已經(jīng)成為互聯(lián)網(wǎng)的事實標(biāo)準(zhǔn)。但令人遺憾的是,TCP/IP協(xié)議族的各種應(yīng)用服務(wù)和通信流程在設(shè)計上均存在不同程度的安全缺陷,加之其以明文方式傳送數(shù)據(jù),導(dǎo)致欺騙攻擊、否認(rèn)服務(wù)、拒絕服務(wù)、數(shù)據(jù)截取和數(shù)據(jù)纂改等網(wǎng)絡(luò)攻擊可以輕而易舉地實現(xiàn)。其次,作為網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行平臺,當(dāng)前主流的操作系統(tǒng)Windows、UNIX、Unux等在體系結(jié)構(gòu)的設(shè)計上均存在對安全性要求考慮不周的缺陷。根據(jù)美國國家安全局(NSA)的國家計算機(jī)安全中心1983年8月頒發(fā)的官方標(biāo)準(zhǔn),受信任計算機(jī)系統(tǒng)評量基準(zhǔn),它們都屬于安全級別較低的CZ級,其可動態(tài)連接機(jī)制、可動態(tài)創(chuàng)建遠(yuǎn)程/近程進(jìn)程機(jī)制、特權(quán)程序適時激活機(jī)制和無口令遠(yuǎn)程過程調(diào)用服務(wù)人口為遠(yuǎn)程傳輸并執(zhí)行惡意程序大開綠燈,成為病毒和黑客的樂園。再次,作為電子商務(wù)、金融,以及EPR系統(tǒng)等各種應(yīng)用的基礎(chǔ),當(dāng)前主流的數(shù)據(jù)庫管理系統(tǒng)Oracle、DBZ、SQL、Sybase等在設(shè)計上缺乏全面考慮的安全分級管理策略,其與操作系統(tǒng)的眾多接口很容易造成核心權(quán)限的失控,導(dǎo)致基于數(shù)據(jù)庫漏洞的網(wǎng)絡(luò)攻擊成為黑客最常采用的攻擊手段之一。最后,當(dāng)前主流的軟件開發(fā)技術(shù)瀑布模型、敏捷建模、中間件技術(shù)及軟件構(gòu)件化技術(shù)等對安全因素均不夠重視。軟件開發(fā)商和開發(fā)人員為追求商業(yè)利益,在應(yīng)用程序開發(fā)過程中普遍存在重應(yīng)用輕安全的思想,對威脅建模、安全策略和安全測試考慮不周,而寧可采取亡羊補(bǔ)牢的方法,導(dǎo)致當(dāng)前各種應(yīng)用程序漏洞頻發(fā)和補(bǔ)丁程序滿天飛這一極不正常的現(xiàn)象。并且由于補(bǔ)丁程序滯后于漏洞攻擊程序這一必然規(guī)律,用戶別無選擇地被至于危險的境地。
5.保障網(wǎng)絡(luò)信息安全的手段和措施
雖然網(wǎng)絡(luò)信息系統(tǒng)的安全缺陷和安全威脅是客觀存在的,但其風(fēng)險是可以控制乃至規(guī)避的。
5.1網(wǎng)絡(luò)信息安全的立法工作,強(qiáng)化對網(wǎng)絡(luò)信息安全的重視。
法律是打擊網(wǎng)絡(luò)信息犯罪最有力的武器,是保障網(wǎng)絡(luò)信息安全的根本。對所有危害網(wǎng)絡(luò)信息安全的行為實施嚴(yán)厲的法律制裁,才能從根本上解決當(dāng)前信息網(wǎng)絡(luò)病毒泛濫、黑客猖撅、流氓軟件明火執(zhí)仗的無政府現(xiàn)狀。網(wǎng)絡(luò)信息安全也引起了我國政府的重視,國家有關(guān)部門建立了相應(yīng)的機(jī)構(gòu),了有關(guān)的法規(guī),以期加強(qiáng)對網(wǎng)絡(luò)信息安全的管理。2005年4月1日開始實行《中華人民共和國電子簽名法》,該法對于電子銀行的業(yè)務(wù)發(fā)展是相當(dāng)重要的,為銀行在網(wǎng)絡(luò)上的發(fā)展提供了基礎(chǔ)的法律保障。2001年中國人民銀行制定頒布的《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》直接規(guī)范了電子銀行業(yè)務(wù)。為了有效地控制電子銀行業(yè)務(wù)的風(fēng)險,中國銀監(jiān)會制定了《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》,并且從2006年3月1日起正式實施,這一切都反映出我國對計算機(jī)網(wǎng)絡(luò)與信息安全的高度重視,以及努力推動我國金融信息安全產(chǎn)業(yè)發(fā)展、提高我國信息安全技術(shù)水平的決心。
5.2強(qiáng)化網(wǎng)絡(luò)信息安全體制。
研究表明,絡(luò)信息安全漏洞主要是由于管理不善,因此,我們首先必須建立科學(xué)合理的網(wǎng)絡(luò)信息安全管理、執(zhí)行和監(jiān)督機(jī)構(gòu),明確網(wǎng)絡(luò)信息安全原則,構(gòu)建網(wǎng)絡(luò)信息安全策略,合理協(xié)調(diào)法律、技術(shù)和管理等諸多因素,實現(xiàn)網(wǎng)絡(luò)信息安全的制度化。其次,必須建立從監(jiān)測、響應(yīng)、防護(hù)到恢復(fù)的一整套科學(xué)合理的網(wǎng)絡(luò)信息安全管理體制,保證網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)轉(zhuǎn)。再次,必須正確認(rèn)識當(dāng)前的防病毒技術(shù)、人侵檢測技術(shù)、防火墻技術(shù)、加密、解密技術(shù)、認(rèn)證技術(shù)及數(shù)據(jù)恢復(fù)技術(shù)的重要性和局限性,采用最先進(jìn)的安全技術(shù)保障網(wǎng)絡(luò)信息安全。最后,加強(qiáng)人員的安全培訓(xùn),提高網(wǎng)絡(luò)信息安全防范意識,盡量減少人為因素造成的風(fēng)險。
5.3開發(fā)安全的軟件,防范于未然。
提高軟件開發(fā)組織及其從業(yè)人員的安全意識,致力于開發(fā)安全的軟件,從根本上減少軟件系統(tǒng)的安全缺陷才是網(wǎng)絡(luò)安全的終極之道。因此,所有軟件開發(fā)從業(yè)人員必須掌握安全軟件開發(fā)的思想和技術(shù),堅決杜絕無視安全的開發(fā)。軟件開發(fā)組織必須建立完善的安全軟件開發(fā)管理制度,在軟件開發(fā)過程中將軟件安全性作為軟件質(zhì)量的一個重要測度,在設(shè)計階段加入安全對策,并進(jìn)行嚴(yán)格的安全測試,在正式前較少軟件的安全缺陷,確保軟件系統(tǒng)的安全性。
綜上所述,網(wǎng)絡(luò)信息安全是一個復(fù)雜的綜合性工程,涉及法律、管理和技術(shù)等多個領(lǐng)域。雖然目前已經(jīng)取得了一定的成效,但形勢依然十分嚴(yán)峻,必須依靠眾多相關(guān)方的共同努力,才能為廣大信息網(wǎng)絡(luò)用戶打造一個安全可靠的應(yīng)用環(huán)境。
參考文獻(xiàn):
[1]李衛(wèi).計算機(jī)網(wǎng)絡(luò)安全與管理.北京:清華大學(xué)出版社,2006.1.
[2]蔡立軍.計算機(jī)網(wǎng)絡(luò)安全技術(shù).北京:中國水利水電出版社,2005.2.
數(shù)據(jù)安全 數(shù)字圖書館 數(shù)據(jù)庫 復(fù)制技術(shù)
一、論題背景
隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,我國各高校的數(shù)字圖書館系統(tǒng),無論從承載的業(yè)務(wù)量和數(shù)據(jù)規(guī)模,還是提供服務(wù)的質(zhì)量上,都得到了很大的提高,特別是通過Internet對外提供的很多人性化的服務(wù),例如:館際互借、網(wǎng)上預(yù)約、在線續(xù)借、在線查詢、推薦訂購等等。
然而,Internet作為一個龐大的計算機(jī)網(wǎng)絡(luò),其通??缭降奈锢矸秶鷱膸资锏綆浊Ч?它能連接多個城市或國家,或者橫跨幾個洲,并能提供遠(yuǎn)距離通信,形成國際性的遠(yuǎn)程網(wǎng)絡(luò)。其具有信息資源的共享性、整體的開放性和分布的廣域性,而真是這些特點為系統(tǒng)的破壞、信息的盜取以及非法的操作,提供了極為方便和難以預(yù)防控制的可乘之機(jī)。因此,數(shù)字圖書館的數(shù)據(jù)安全性是現(xiàn)代各高校圖書館必須關(guān)注的核心問題,其直接關(guān)系到數(shù)字圖書館的可用性、安全性、穩(wěn)定性以及未來的發(fā)展。
二、數(shù)據(jù)安全的因素
影響數(shù)字圖書館的數(shù)據(jù)安全因素較多,包括內(nèi)部的、外界的、人為的和不可抗因素等等,但主要可以羅列為以下幾個因素:
首先,是自然災(zāi)害原因,如火災(zāi)、地震、水災(zāi)、雷擊等各種自然災(zāi)害導(dǎo)致主機(jī)損壞而造成的數(shù)據(jù)丟失情況。
其次,因服務(wù)器突然斷電或者主機(jī)耗損過度而導(dǎo)致有重要數(shù)據(jù)的硬盤損壞,從而造成的數(shù)據(jù)丟失情況。
其次,人為的誤操作導(dǎo)致,如誤拔電源、誤刪除重要文件等造成的數(shù)據(jù)丟失情況。
其次,來自Internet的惡意攻擊,如網(wǎng)絡(luò)黑客惡意攻擊數(shù)字圖書館服務(wù)器,損壞數(shù)據(jù)和重要文件而造成的數(shù)據(jù)丟失情況。
最后,軟件故障原因,如某些惡意軟件或者帶有病毒的盜版軟件,導(dǎo)致操作系統(tǒng)損壞或者數(shù)據(jù)丟失情況。
由此可見,怎樣妥善處理好以上5個主要因素,是保證數(shù)字圖書館的數(shù)據(jù)安全的根本。
三、提高數(shù)據(jù)安全性措施
針對以上提到的影響數(shù)字圖書館數(shù)據(jù)安全因素,我們可以從軟件安全措施、硬件安全措施和人員素質(zhì)培養(yǎng),這三個方面來解決數(shù)字圖書館在數(shù)據(jù)安全性方面存在的問題。
1. 工作人員素質(zhì)
圖書館管理員的個人素質(zhì)高低,對于數(shù)字圖書館的數(shù)據(jù)安全有直接的影響。因此,針對圖書館工作人員的安全素質(zhì)培訓(xùn)是非常重要的。我們可以采用以下措施:
首先,對于圖書館管理人員的選拔,我們應(yīng)該盡量選擇那些做事比較細(xì)心、慎重的,最好有計算機(jī)知識基礎(chǔ)的人,謹(jǐn)慎使用做事比較粗心大意的人。
其次,我們要定期對圖書館工作人員進(jìn)行安全培訓(xùn)和考核,包括系統(tǒng)安全、軟件安全、數(shù)據(jù)庫安全和服務(wù)器安全等。只有這樣,我們的工作人員的安全素質(zhì)才會不斷地提高,同時圖書館的數(shù)據(jù)安全也得到了人力的保障。
最后,我們要對以前出現(xiàn)過的故障,以及經(jīng)常遇到的問題進(jìn)行總結(jié),這樣我們圖書館的工作人員的實戰(zhàn)經(jīng)驗會得到很大的提升,工作效率相對的也會提高很多。
2. 硬件安全措施
硬件安全措施主要是指儲存數(shù)字圖書館數(shù)據(jù)的服務(wù)器安全,其對于數(shù)字圖書館的數(shù)據(jù)安全也有著直接的影響,因為一旦服務(wù)器出現(xiàn)故障,例如磁盤損壞,那么其后果可能是無法彌補(bǔ)的。
3.軟件安全措施
軟件安全措施分為系統(tǒng)軟件安全措施和應(yīng)用軟件安全措施。系統(tǒng)軟件安全包括操作系統(tǒng)和數(shù)據(jù)庫,其安全是其他軟件安全的基礎(chǔ)。應(yīng)用軟件安全措施主要是指數(shù)字圖書館系統(tǒng)軟件安全措施,其安全是保證數(shù)字圖書館的數(shù)據(jù)安全的首要保障。
(1)操作系統(tǒng)安全措施。操作系統(tǒng)安全是其他所有應(yīng)用軟件的安全根本,也是數(shù)字圖書館的數(shù)據(jù)安全的前提。對于windows系列的操作系統(tǒng),因為其應(yīng)用最為廣泛,因此最容易受到計算機(jī)病毒感染,也總?cè)菀自獾胶诳蛡兊墓簟?/p>
(2)數(shù)據(jù)庫安全措施。數(shù)據(jù)庫是存儲圖書館系統(tǒng)數(shù)據(jù)的地方,其安全和穩(wěn)定性直接關(guān)系到整個數(shù)字圖書館能否正常運(yùn)行,是保證數(shù)字圖書館數(shù)據(jù)安全的重中之重!目前比較流行的數(shù)據(jù)庫有甲骨文公司的Oracle和MySQL,IBM公司的db2,SYBASE公司的Sybase數(shù)據(jù)庫,微軟公司的SQL Server數(shù)據(jù)庫。各高校目前比較通用的是Oracle和SQL Server兩種數(shù)據(jù)庫。那么對于數(shù)據(jù)庫的安全性,我們可以采用以下措施:
首先,依然強(qiáng)調(diào)的是選擇正版的、穩(wěn)定性好的數(shù)據(jù)庫產(chǎn)品,這樣如果后期數(shù)據(jù)庫 出現(xiàn)重大問題,我們可以直接聯(lián)系相關(guān)的數(shù)據(jù)庫廠家,進(jìn)行修復(fù)和完善。 其次,我們需要定期對數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行備份,這是最廉價的安全防范措施。我們可以通過手工備份相關(guān)數(shù)據(jù)文件,也可以采用數(shù)據(jù)庫的復(fù)制技術(shù)來實現(xiàn)。 最后,我們需要定期查看數(shù)據(jù)庫的監(jiān)控日志,監(jiān)控日志中一般都記錄了數(shù)據(jù)庫的運(yùn)行情況,以此來核查我們在
日常操作中無法覺察到的異常情況,并將異常問題提交到數(shù)據(jù)庫產(chǎn)品廠家,以便及時給數(shù)據(jù)庫存在的漏洞打上補(bǔ)丁。
(3)數(shù)字圖書館系統(tǒng)安全措施。數(shù)字圖書館系統(tǒng)是直接操作后臺數(shù)據(jù)庫的,因此它對數(shù)字圖書館數(shù)據(jù)的安全具有直接的影響。對于數(shù)字圖書館系統(tǒng)軟件安全,首先,我們應(yīng)該對其進(jìn)行嚴(yán)格的賬戶管理,賬戶密碼的復(fù)雜度盡量要高,防止有人盜取賬戶進(jìn)行惡意操作;其次,應(yīng)該要求數(shù)據(jù)庫廠家定期檢查或修復(fù)系統(tǒng)存在的異常和漏洞,以防止網(wǎng)絡(luò)黑客進(jìn)行惡意攻擊;最后,要定期對圖書館管理員進(jìn)行軟件操作及安全性培訓(xùn),防止因圖書館管理員失誤而造成數(shù)據(jù)丟失和異常情況發(fā)生。
數(shù)字圖書館的數(shù)據(jù)安全與否,是整個圖書館系統(tǒng)得以正常運(yùn)行和對外提供服務(wù)的根本,其是未來數(shù)字圖書館發(fā)展的必須關(guān)注的一個關(guān)鍵環(huán)節(jié)。因此,對于圖書館的全體工作人員,應(yīng)該要有較高的安全意識和豐富的計算機(jī)安全知識。只有這樣,才能為廣大師生提供一個安全的、穩(wěn)定的和人性化的數(shù)字圖書館服務(wù)。也只有這樣,才能保證數(shù)字圖書館的可持續(xù)發(fā)展。
參考文獻(xiàn):
[1]《信息安全概論》,段云所,2003年9月,高等教育出版社.
[2]《數(shù)據(jù)庫安全》,陳越,2011年7月,國防工業(yè)出版社。
對于企業(yè)信息通信網(wǎng)絡(luò)環(huán)境來說,容易出現(xiàn)問題是用戶。很多企業(yè)用戶,包括高級管理人員以及其他具有訪問特權(quán)的人,每天都在網(wǎng)絡(luò)中進(jìn)行各種行為,沒有安全意識中進(jìn)行一些違規(guī)操作,從而企業(yè)網(wǎng)絡(luò)安全出行問題。對此,最佳的防范措施應(yīng)該是開展安全知識培訓(xùn),規(guī)范用戶行為,提高安全意識。
1.1網(wǎng)絡(luò)用戶的行為管理需要規(guī)范。
網(wǎng)絡(luò)行為的根本出發(fā)點,不僅僅是對設(shè)備進(jìn)行保護(hù),也不是對數(shù)據(jù)進(jìn)行監(jiān)控防范,而是規(guī)范企業(yè)員工在網(wǎng)絡(luò)中的各種行為,也就是對人的管理。規(guī)范企業(yè)員工的網(wǎng)絡(luò)行為需要通過技術(shù)設(shè)備和規(guī)章制度的結(jié)合來進(jìn)行。網(wǎng)絡(luò)中用戶的各種不規(guī)范行為主要包括:正常使用互聯(lián)網(wǎng)時訪問到被人為惡意控制的網(wǎng)站或者網(wǎng)頁。這些被控制的網(wǎng)站被黑客植入后門,方便攻擊者竊取企業(yè)的各類內(nèi)部數(shù)據(jù)或者控制其連接互聯(lián)網(wǎng)的服務(wù)器。
1.2網(wǎng)絡(luò)用戶的安全意識需要加強(qiáng)。
各種安全設(shè)備的建立和安全技術(shù)的應(yīng)用只是企業(yè)信息通信網(wǎng)絡(luò)安全防護(hù)的一部分,關(guān)鍵是加強(qiáng)企業(yè)網(wǎng)絡(luò)用戶的安全意識,貫徹落實企業(yè)的安全制度。企業(yè)只依靠技術(shù)不可能完全解決自身的安全防護(hù),因為技術(shù)在不斷發(fā)展,設(shè)備在不斷更新,黑客技術(shù)也在發(fā)展和更新。所以企業(yè)管理人員必須有安全意識,重視自己企業(yè)的安全措施。加強(qiáng)對員工的安全培訓(xùn),使得全體人員提高安全意識,從根本杜絕安全隱患。
2企業(yè)信息通信網(wǎng)絡(luò)的安全防護(hù)
信息通信網(wǎng)絡(luò)安全防護(hù)工作,主要包括幾個方面:安全組織、安全技術(shù)、安全運(yùn)行體系。
2.1安全組織體系的構(gòu)架
信息通信網(wǎng)絡(luò)安全組織建設(shè)方面,需要建立決策、管理、協(xié)作三級組織架構(gòu),明確各層組織的職責(zé)分工和職能,對應(yīng)合理的崗位,配備相應(yīng)的人員,同時根據(jù)企業(yè)信息通信網(wǎng)絡(luò)實際情況,建立起垂直和水平的溝通、協(xié)調(diào)機(jī)制。企業(yè)中有具體的人和組織來承擔(dān)安全工作,即成立專業(yè)的信息通信網(wǎng)絡(luò)安全部門,設(shè)置不同的崗位,明確對應(yīng)的職責(zé),并且賦予部門相應(yīng)的權(quán)力和信任;安全部門組織專業(yè)人員制訂出安全策略來指導(dǎo)和規(guī)范安全工作的開展,明確哪些可以做,哪些不能做,哪些如何做,做到何種程度等等。另外需要創(chuàng)造合理的外部環(huán)境來推動安全部門的工作,建立起一套快速有效的溝通協(xié)調(diào)機(jī)制,確保安全工作的高效推動。
2.2安全技術(shù)的應(yīng)用
有了安全組織制訂的安全目標(biāo)和安全策略后,需要選擇合適的安全技術(shù)來滿足安全目標(biāo);這里主要分為信息通信網(wǎng)絡(luò)系統(tǒng)的整體防護(hù)和個人終端的防護(hù)。
2.2.1信息通信網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)。
系統(tǒng)自身漏洞而導(dǎo)致的安全風(fēng)險,經(jīng)常是因為信息通信網(wǎng)絡(luò)應(yīng)用本身的漏洞使得網(wǎng)站被病毒入侵或者被植入控制程序,導(dǎo)致企業(yè)丟失數(shù)據(jù)。因此需要建立以下防范措施:(1)部署網(wǎng)絡(luò)應(yīng)用防火墻和網(wǎng)絡(luò)應(yīng)用安全掃描器,重要的網(wǎng)絡(luò)應(yīng)用通過各種安全認(rèn)證或者許可才能進(jìn)行使用,同時保證驗證程序本身的安全性。(2)時刻對系統(tǒng)進(jìn)行更新,對應(yīng)用程序和系統(tǒng)軟件進(jìn)行補(bǔ)丁安裝和升級。對于客戶端漏洞有以下幾種防范措施:(1)系統(tǒng)管理員要通過相應(yīng)的認(rèn)證軟件攔截限制用戶訪問一些具有安全威脅的網(wǎng)頁;(2)系統(tǒng)管理員要通過相關(guān)方案防止用戶訪問含有攻擊和惡意軟件的網(wǎng)站;(3)系統(tǒng)管理員要禁止用戶從網(wǎng)上下載任何媒體播放文件;(4)系統(tǒng)管理員要通過部署相關(guān)軟件禁止外網(wǎng)訪問企業(yè)的郵件服務(wù)器;(5)禁止系統(tǒng)管理員在企業(yè)內(nèi)部服務(wù)器上使用網(wǎng)頁瀏覽器、電子郵件客戶端、媒體播放器以及辦公軟件。從技術(shù)層面上而言,安全問題無處不在,單一的防火墻、防病毒軟件、區(qū)域防御系統(tǒng)已經(jīng)不能滿足企業(yè)網(wǎng)的需要,為了應(yīng)對網(wǎng)絡(luò)中存在的多元、多層次的安全威脅,必須首先構(gòu)建一個完備的安全體系,在體系架構(gòu)下層層設(shè)防、步步為營,才能夠?qū)踩珕栴}各個擊破,實現(xiàn)全網(wǎng)安全。安全體系架構(gòu):由以太網(wǎng)交換機(jī)、路由器、防火墻、流量控制與行為審計系統(tǒng)、接入認(rèn)證與強(qiáng)制管理平臺等多種網(wǎng)絡(luò)設(shè)備做技術(shù)支撐。從可信終端準(zhǔn)入、資產(chǎn)管理、訪問控制、入侵防御、遠(yuǎn)程訪問、行為審計、全局安全管理等多方面,構(gòu)成完善的防護(hù)體系,從而實現(xiàn)“可信、可控、可取證”的全網(wǎng)安全。其中以太網(wǎng)交換機(jī)、路由器、防火墻、流量控制與行為審計系統(tǒng)作為部署在網(wǎng)絡(luò)各個層面的組件,接入認(rèn)證與強(qiáng)制管理平臺作為全網(wǎng)調(diào)度和策略分發(fā)的決策核心,通過安全聯(lián)動,從內(nèi)外兩個安全域,三個維度構(gòu)建自適應(yīng)的安全體系。
2.2.2信息通信網(wǎng)絡(luò)中個人應(yīng)用的安全防護(hù)。
為了更好地加強(qiáng)企業(yè)信息通信網(wǎng)絡(luò)安全,必須規(guī)范用戶自己的安全行為,加強(qiáng)個人安全意識,建立自己的計算機(jī)安全系統(tǒng),這就需要企業(yè)每個員工做到以下幾方面的安全措施:(1)修改計算機(jī)管理員賬戶,為系統(tǒng)管理員和備份操作員創(chuàng)建特殊賬戶。用戶要禁止所有具有管理員和備份特權(quán)的賬戶瀏覽Web,嚴(yán)禁設(shè)置缺省的Guest賬戶;(2)限制遠(yuǎn)程管理員訪問NT平臺;(3)在域控制器上,修改注冊表設(shè)置;(4)嚴(yán)格限制域中Windows工作站上的管理員特權(quán),嚴(yán)禁使用缺省值;(5)對于注冊表嚴(yán)格限制,只能進(jìn)行本地注冊,不能遠(yuǎn)程訪問;(6)限制打印操作員權(quán)限的人數(shù);(7)合理配置FTP,確保服務(wù)器必須驗證所有FTP申請。在確定了安全組織和安全技術(shù)后,必須通過規(guī)范的運(yùn)作過程來實施安全工作,將安全組織和安全技術(shù)有機(jī)地結(jié)合起來,形成一個相互推動、相互聯(lián)系地整體安全運(yùn)行體系,最終實現(xiàn)企業(yè)信息通信網(wǎng)絡(luò)的安全防護(hù)。
3結(jié)束語