时间:2024-03-23 09:11:06
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇网络安全的前景范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
中图分类号:TP309
网络与信息安全,是指计算机系统运转正常,不受到攻击、破坏,数据不被窃取、泄漏,网络服务正常等。随着计算机技术的发展,社会的信息化,互联网的应用越来越普遍,网络和信息安全越来越重要,它关系到了国家安全与社会稳定。互联网在给人们带来便利的同时也给人们的用网和信息安全带来了威胁,计算机病毒层出不穷,人们个人信息泄露严重,这都给人们的经济和精神带来了重大危害,人们对于网络与信息安全问题也越来越重视。所以,网络与信息安全技术的发展完善十分重要。
1 网络信息安全的涵义
网络信息既有存储于网络节点上的信息资源,即静态信息,又有传播于网络节点间的信息,即动态信息。而这些静态信息和动态信息中有些是开放的,如广告、公共信息等;有些是保密的,如:私人间的通信、政府及军事部门、商业机密等。网络信息安全的涵义经过学术界的研究,已日益丰富起来并逐渐取得共识,通常大家认为主要应该包含如下四个方面:
1.1 完整性。完整性是指信息在存储或传输过程中保持不被修改、不被破坏和不丢失。就是说网络中的信息安全、精确且有效,不因人为的因素而改变信息原有的内容和流向。保证信息的完整性是信息安全的基本要求,而破坏信息的完整性则是对信息安全发动攻击的目的之一。
1.2 真实性。网络信息的真实性是指信息的可信度,主要是指对信息所有者或发送者的身份的确认。
1.3 可用性。可用性指网络资源在需要时即可使用,不因系统故障或误操作使资源丢失或妨碍对资源的使用。网络可用性还包括在某些不正常条件下继续运行的能力。影响网络可用性的因素包括人为与非人为两种。前者如非法占用网络资源、切断或阻塞网络通讯,通过电脑病毒或蠕虫降低网络性能、甚至是网络瘫痪等。后者如灾害事故(火、水、雷击等)和系统死锁、系统故障等。
1.4 机密性。网络信息的机密性是指网络信息的内容不会被未授权的第三方所知,即防止非法用户闯入系统、修改和窃取信息。从技术上说,任何传输线路,包括电缆(双绞线)、光缆、微波和卫星,都是可能被窃听的。电缆的窃听,通过电磁感应或利用电磁辐射来实施,其方式可以是接触式的,也可以是非接触式的。
2 网络与信息安全的现状
随着互联网技术的快速发展,信息共享逐渐在全球得到了实现,与此同时网络与信息安全也受到了更多的威胁。网络与信息安全所受到的威胁主要来自以下方面:
2.1 互联网的开放性特征。互联网的本质就是通过计算机的联接实现信息共享,这种开放性的本性使得互联网在构设之初就忽略了信息的安全性因素。然而,随着互联网技术的发展进步,信息共享化水平的大幅度提高,电子化商务逐渐成为人们生活的重要组成部分,人们的隐私信息的安全性在互联网上需要得到保障,这与互联网的本性相悖。
2.2 各种各样的计算机病毒。随着互联网的普及,计算机病毒也逐渐成为网络和信息安全的重要威胁。计算机病毒常常具有隐蔽性、潜伏性,而且还会随着信息共享而传染给其他的计算机,破坏性十分强大,会造成信息泄露、损坏,甚至导致网络堵塞等社会性危害。
2.3 计算机操作系统和应用软件存在漏洞。计算机的操作系统和应用软件在程序编制上都存在漏洞,这些漏洞是黑客攻击计算机的入手点。黑客攻击计算机,窃取、泄露用户信息或造成其他破坏,给用户带来经济和精神上的损失。
2.4 网络信息安全方面的法律法规不够完善。就我国来说,在网络与信息的安全保护方面的法律法规还有待进一步完善,而且网络处罚条例也没有得到有效实施。
3 网络与信息安全技术的重要性
3.1 互联网技术在经济领域快速发展。中国互联网信息中心的统计数据表明,我国的网民人数早已成为世界第一,而且人们对于网络的应用,越来越集中于商业性应用。电子商务近年来发展迅速,得到人们的普遍认可,创造了巨大的其经济产值,并且电子商务还会进一步的发展,因此,建设一个安全的网络环境十分重要。
3.2 网络信息安全与国家安全、社会稳定关系密切。随着计算机技术的发展,互联网逐渐应用到了我国各个领域,国家安全事物和人们生活与之息息相关。所以,网络与信息安全已经成为关系着国家安全和社会稳定的重要问题,引起了国家和人们的广泛关注。
3.3 用户安全意识提升。由于计算机病毒层出不穷而且具有传染性,很多用户的电脑都遭受过病毒的攻击,遭受到了或大或小的损失。此外,一些公司不注重客户信息的保护,出现了信息泄露事故,造成了很多不良影响。这些问题,都促使用户对个人信息的安全越来越重视。
3.4 网络发展的需要。随着计算机技术的发展,互联网的未来会走向多样化,但是基于互联网的开放性特征,信息共享程度增加的同时网络与信息安全所受到的威胁也会加大,所以网络信息的安全技术会一直被互联网需要。
4 网络与信息安全技术的发展前景
基于网络信息安全技术的重要性和互联网发展的需要,网络信息安全技术的发展前景会是一片光明,但是其发展过程也会存在一些曲折。
4.1 市场需求逐渐增加。安全类软件的市场发展迅速,其销售数量和销售额逐渐增长,已经成为软件市场的重要卖点之一,并且市场上安全软件的需求还在稳步上升。例如在用户的移动设备方面,大量的垃圾信息和隐藏在应用软件里的病毒等都让用户们逐渐意识到安全软件的重要性。近年来,移动客户对于安全软件的需求骤增,移动运营商们也加大了对于移动设备安全软件的开发。
4.2 用户范围广。随着互联网技术应用的普及,网络信息的安全保护不止普通网络用户需要,企业和国家的各个部门也都需要。所以网络信息安全软件的使用者很广泛,并且还有大量的潜在用户。现在,中小企业对于网络信息安全软件的需求很受重视,各软件开发商都在努力争取。
4.3 安全软件的开发向多元化发展。网络信息安全技术有很多种,例如防火墙技术、虚拟加密网络技术、加密技术、身份认证技术等,软件开发商所开发的软件除了上述技术对应的软件外,还有杀毒软件、系统安全性检测软件等。不同的软件投资力度、收益率、市场需求均不同,导致软件市场存在多样性的竞争。因此,软件开发商们应该综合考虑自身资金、对口技术等实际因素,选择适合的软件开发方向,做好发展规划。
4.4 软件市场逐渐形成垄断性竞争。在软件市场上,虽然软件开发商越来越多,但是大企业对市场的垄断越来越强。一方面,由于大企业资金雄厚,对软件的开发投资力度大,并且软件技术具有垄断性,所以在软件开发水平上大企业越来越领先。另一方面,小企业的运行策略不成熟,影响力不足。安全软件市场上大企业的影响力越来越大,在现阶段可以促进我国安全软件的投资力度和开发水平,但也要防止大企业形成较强的市场垄断。
4.5 我国安全技术水平仍较落后。虽然我国在网络信息安全软件的研发方面发展很快,进步也很大,但总体水平仍落后与发达国家。网络安全技术水平和软件的用户满意度都有待提高,所以,我国的软件开发商们要多多学习国外先进技术,增加合作机会,互帮互助,提高国产软件在本土的市场占有率。
5 结束语
互联网不仅给人们带来了便利,也使得网络与信息安全受到了多方面的威胁,所以发展网络与信息安全技术十分重要。而且我们不仅要充分认识到网络与信息安全技术的重要性,也要注重分析网络与信息安全技术光明又不乏曲折的发展前景,促进各安全软件开发商认清实际情况,选择正确的软件开发方向,引进国外先进技术,提高安全软件的开发水平。
参考文献:
在网络技术的广泛应用下,许多学校都建立了校园网络并投入使用,网络的优势势不可挡:加快信息处理、提高工作效率、实现资源共享、降低劳动强度。但是当网络给学校带来方便的同时,网络安全这一问题是否被学校重视。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论、数论等多种学科的综合性学科。网络安全从本质上说就是网络上的信息安全。它是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。本文从以下方面阐述校园网络的安全管理:
一、设备安全
畅通的网络环境、安全的网络设备,为校园网络的信息化、数字化提供了最基础的硬件保障。这里除了信息网络设备的供电、防水、防雷电、温湿度、防鼠和防盗等常规安全之外。还要强调网络设备的配置安全。主要包括:
(一)对网络设备设置8位以上复杂密码,并需要根据业务需求分配合适的管理用户和权限。目前大多数安全问题,是由于密码过于简单、密码管理不严,使“入侵者”乘虚而入。因此密码口令的有效管理是非常重要的。
(二)设置独立的设备管理虚拟局域网,把网管设备使用的ip地址与普通用户使用的ip地址段分开,并指定专用电脑进行接入管理和监控。
二、划分vlan
对校园网络合理的划分vlan。vlan就是虚拟局域网。目前大多数学校都配备了三层交换机和可管理的二层交换机,可是还有相当一部分学校把这些设备当作普通的交换机使用,没有进行vlan的划分。这样一方面是对设备资源的浪费,另一方面更是降低了网络安全性和网络性能。
采用虚拟局域网有如下优势:有效抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。基于端口的虚拟局域网是最实用的虚拟局域网,它保持了最普通、常用的虚拟局域网成员定义方法,配置也相当直观简单,不同的虚拟局域网之间进行通信需要通过路由器或具有路由功能的三层交换机。因此,有条件的学校首先就应该充分利用已有的硬件资源,采用vlan技术构筑高效安全的网络基础环境。
三、流量监控、协议分析、网络审计
使用专业设备如:网康。可以进行监控流量、协议分析及网络审计。
此类设备可以方便地配置于网络内部,用来预测网络的性能和发展趋势;实时检测校园网络内部终端的流量状况、分析网络的异常流量;提供全网的ip地址、机器名、mac地址等信息完备的地址表,方便网络的分析和管理;能对网络访问事件作统一记录、分析;还可生成各种报表用于存档。有利于早期发现网络中的可疑行为,预防不良网络行为的发生。
另外在网络管理当中,要贯彻实名制,既用机器使用者的真实姓名作为计算机命名的管理模式,直接监控到个人,当出现异常时可以准确定位,快速响应。
四、部署防火墙
防火墙是网络安全的屏障。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。只有经过精心选择的应用协议才能通过防火墙,这会使网络环境变得更为安全。在防火墙设置上我们按照以下原则配置用来提高网络安全性:
第一、根据校园网安全目标和安全策略,规划设置正确的安全过滤规则,审核ip数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严禁来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止的”原则。
第二、将防火墙配置成过滤掉以内部网络地址进入路由器的ip包。这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法ip地址离开内部网络的ip包,这样可以防止内部网络发起的对外攻击。
第三、定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
五、部署入侵防御系统
为了弥补防火墙的不足,可使用入侵防御系统:如ips。他能够及时识别攻击程序、有害代码及其克隆和变种,尽量将病毒挡在校园网之外。另外,对于已经传入校园网内的病毒,必须防止其扩散,可以利用核心交换机的访问控制列表,屏蔽掉某些可能被病毒利用的端口。这样就可以控制病毒,使其只能在某一子网内传播,而不至于在校园网内大范围扩散。
另外还可以在交换机上建立内网计算机的ip地址和mac地址的对应表,实现专人专用,防止ip地址被盗用。
六、服务器的安全
校园网的服务器为用户提供各种应用,但是应用提供得越多,系统就存在越多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭.只向用户提供他们所需的基本服务。例如:我们在校园网服务器中对用户只提供web服务功能,而没有必要向用户提供ftp功能。这样。在对服务器配置时,只开放web服务,而将ftp服务禁止。如果要开放ftp功能,则要规定端口、账号及密码,向指定的用户开放。因为用户通过ftp可以上传资源,如果给了用户可执行权限,那么,通过运行上传的某些程序,就可能使服务器受到攻击。所以,控制好服务器的用户群体也是保障网络安全的一个重要因素。
七、部署防病毒
校园网内部署防病毒系统,并且定时升级病毒库。部署防病系统是为了防止因某个客户端的病毒或木马程序在校园网中流窜,从而干扰网络主干、传染其他的客户端。部署防病毒能够在源头上保障校园网络的安全。在选择防病毒软件时应选用口碑比较好的名牌产品。
八、定时更新
任何一个操作系统、防病毒软件、防火墙系统、入侵检测系统、路由交换设备等网络节点、系统或多或少都存在着各种漏洞。系统漏洞的存在就成为网络安全的首要问题。发现并及时修补漏洞是每个网络管理人员的主要任务。当然,从系统中找到漏洞不是我们一般网络管理人员所能做的.但是及早地发现有报告的漏洞,并进行补丁升级却是我们应该做的。经常登录各有关网络安全网站,密切关注我们所有使用的软件和服务程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。网络管理员应该养成勤打补丁的习惯。
九、规范管理
以上提及的安全管理办法只是对网络设备和硬件所说,为校园网络提供技术手段和措施,但是还需要制定一系列的信息网络规章制度来规范网络管理员的操作流程,提高网络管理员的安全意识和责任。包括制定网络安全管理范围规章制度、制订有关校园网网络操作使用规程、制定人员出入校园网主控机房的管理制度、制定校园网网络系统的维护制度和应急措施、确定校园网信息安全管理的一般责任和具体责任,以及规定出现安全事故以及违反安全策略的后果等。
网络管理的规范程度直接反映一个网络的应用保障系数,通过以上几个方面的管理,并结合定期的内部网络的扫描巡检,科学的管理分工制度,要把一个网络管好、用好不难。
相信随着校园网络管理和校园网络安全不断优化发展。必然会给校园信息化、数字化应用提供畅通环境,校园网络的效益将会越来越大。也必将会进一步提高学校的教学质量和管理效率,使学校成为一所具有先进的信息化网络环境和数字化应用的现代化学校。
参考文献:
[1]黄开枝,孙岩.网络防御与安全对策[m].北京:清华大学出版社
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 01-0000-01
The Information Security Technology under the Network Environment
Yu Chao
(Ocean University of China,Qingdao266100)
Abstract:Globalization is accelerating the process of information, domestic and international security for the information technology field is also increasing discussion,so popular in the era of the network, network information security is very work information security technology as well as to an important research topic.
Keywords:Network environment;Information security;Information
security technology
网络已经成为我们生活中密不可分的一部分,随着网络技术的发展,其开放的程度越来越大,对于社会的影响力也与日俱增,但是病毒、网络黑客和远程监听等网络安全威胁也成为了一个日趋严重的社会问题。本文就网络环境中的信息安全技术的相关问题做简要分析。
一、网络信息安全的意义
目前世界上最大的网络通信系统就是Internet,提供包括文字、图像、数据和声音等形式的信息。它的应用范围也非常的广泛,涉及到政治、经济、教育、科学、体育和军事等等领域。随着计算机和信息业的发展,特别是以Internet为平台的信息产业的发展,使得网络中的信息安全问题显得尤为突出,网络中的信息随时面临被篡改、阻截和破坏等的威胁而无法正确读取,给网络的正常运行带来巨大的挑战,甚至可能面临瘫痪的问题。美国从九十年代起,网络信息被盗取、拦截的信息就屡屡见报,就银行密码被窃取的案件,每年美国银行界损失的金额就高达数十亿美元。在1996年有调查显示,美国的企业有53%曾受到过计算机病毒的侵害,42%曾受到非法黑客的侵入,而五角大楼更是称一年内受到的攻击就高达25万次之多。
中国的网络安全研究起步较晚,但是黑客的等级却已经是国际级的了。公安部在1998年就破获了近百起黑客案件,利用网络进行犯罪的案件在近年来更是以每年30%的速度增加。计算机病毒种类的增加速度远远不及黑客的攻击方法的增加速度。我国针对银行等金融领域的黑客犯罪案件的涉案金额已经有数亿之巨,其他行业的黑客案件也不时的发生。对于网络环境中的信息安全问题的研究主要始于六十年代末期,但当时的计算机的性能和速度都处在相对落后的条件下,使用范围也并不广,所以对于此课题的研究也一直在小范围内进行。直到八十年代后,因为计算机性能的大幅度提升,其应用范围更是已扩大到世界上的各个角落,进入九十年代后更是得到了爆炸式的发展,计算机网络的普及已经将人们带到了一个全新的时空里,人们生活的各个方面都开始依赖上了网络。
二、网络环境中的信息安全技术简介
(一)加密技术
加密技术是为通信信息流或数据提供机密性的保护。还为实现安全机制起主导或辅助的作用。加密的算法则是一种对于信息的编码规则,它也是编码与译码依赖于密钥的参数。用户使用该规则就可以在密钥的控制下将明文的消息改为密文,使用译码规则就可以将密文还原为明文。没有正确的密钥则无法实现加密或者解密的操作,非授权用户则无法还原加密的信息。密钥是有其特殊性的,目前主要有两种类型,即对称密码体制和非对称密码体制。对称密码算法为DES和各种变形、IDEA以及AES、RC5算法等。非对称密码的算法较为著名的有RSA、圆曲线算法和背包密码等。
(二)数字签名
数字签名又名电子签名,包括在身份认证、数据的完整性以及不可否认性和匿名性等方面的应用。主要有两个过程,即签名者用给定的数据单元来签名,接收者验证此签名。这种技术的应用也是十分广泛的,在电子印章和商务合同中经常采用,还有电子邮件安全协议族和安全电子支付协议等密钥分发都是采用的数字签名技术。
(三)身份认证
身份认证技术又被称为鉴别或者确认,是通过验证被认证的对象是一个或者多个参数的真实性和有效性来证实该对象是否符合或有效的过程,用以保护数据的准确性和真实性。身份认证在金融、保险、电信和医疗、公安等领域都起着重要的作用,随着计算机网络技术的发展,电子银行和电子商务等特别注重网络安全的领域都亟需该技术的支持。目前的身份认证技术主要有两类:传统身份认证技术和双因素身份认证技术。
除了以上三种,另外还有访问控制、通信量填充(信息隐藏)、路由控制、公证和安全标记等信息安全技术。
三、结语。
信息产业发展到今天,网络信息的安全对我们社会生活甚而国家安全的重要性是不言而喻的,随着通信技术的普及程度越来越高,作为一种日常信息交换手段的计算机网络已经深入我们生活中的方方面面。因此,采取强有力的措施来保障我们的网络安全是我们亟需解决的问题。当然,我们也必须意识到,入侵者的技术也在不断提高,对于安全威胁的防范不可能一劳永逸,只有不断的改进和完善,才能保证网络的正常运转。
参考文献:
[1]何凯霖,徐力.信息安全技术的综合利用浅析[J].中国科技纵横,2010,07
[2]王烨.浅谈企业的信息安全技术[J].中国科技信息,2009,24
中图分类号:TP309 文献标识码:A 文章编号:1007-9599 (2012) 10-0000-02
随着互联网迅猛发展,以云计算、物联网、移动互联为代表的新信息技术成为新的战略产业。云计算是继大型计算机到客户端-服务器的大转变之后的又一巨变,云计算环境引发了网络安全的新问题,这是任何IT系统都难以回避的问题,也是信息化社会的焦点问题。各种私有云或是公有云的数据中心建设,安全、高效的业务交付是云计算环境下网络安全必备的基础和要求。
一、云计算的内涵和特点
(一)云计算的内涵
云计算(cloud computing)是基于互联网相关服务的增加、使用和交付模式,涉及通过互联网提供动态易扩展、经常是虚拟化的资源;是并行计算、分布式计算和网格计算的发展实现。云计算通过集群应用、网格技术或分布式文件系统等功能,将网络中大量不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的系统。有狭义和广义之分。狭义的云计算指的是IT基础设施的交付和使用模式,即通过网络按需、易扩展的方式获取所需资源;广义的云计算指的是服务的交付和使用模式,即通过网络按需、易扩展的方式获取所需资源。
二、云计算的特点
云计算的特点包括有以下几点:超大规模、虚拟化、高可靠性、通用性、高可扩展性、按需服务、极为廉价。
云计算的规模超大,拥有相当庞大的规模,引用一句话就是“能赋予用户前所未有的计算能力”。云计算对用户端的设备要求相对更低,支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”,而不是固定的有形实体,恰恰体现了“云”的虚拟化特点。“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地PC更为可靠、安全。云计算不针对特定的应用,同一个“云”可以同时支撑不同的应用运行。“云”的规模可以动态伸缩,满足应用和用户规模增长的需要,比如通过管理工具和中间件实现弹性扩展的MySQL集群。可以这样讲,云计算为我们使用网络提供了几乎无限多的可能。云计算是一种优先考虑可伸缩性的系统设计理念。同时“云”是一个庞大的资源池,用户可以按需购买,云可以像自来水、电、煤气一样来计费。由于“云”可以采用极其廉价的节点来构成云,云的自动化集中式管理,使用户可以充分享受云的低成本。
二、云计算安全的含义
云计算安全的含义,主要包含两个方面的含义。一是“云”资深的安全,也成为云计算安全,包括云计算应用系统安全,云计算应用服务安全,云计算用户信息安全;二是,云计算提供和交付安全,指的是云计算技术在安全领域的具体应用,也成为安全云计算,即基于云计算的技术来提升安全系统服务效能的安全解决方案。
三、云环境下可能的网络安全风险
从云计算诞生开始,安全性始终是实施云计算首要考虑的问题之一。云计算作为一种新兴的商业模式,至今已有为数不少的成功案例。具有根据用户需求听个快速弹性部署、廉价服务能来,使用户节约投入、免去维护与运行成本。不仅成为IT行业,也成为各国政府、各国行业所广泛关注的热点。由于云计算集中了大量数据,各国政府以及研究机构都高度关注云计算的安全问题。如何建设安全的云计算环境,如何给客户提供高安全性的SLA保证,如何保证自身业务系统保存、使用核心数据安全,以免发生数据泄漏或者丢失,损害企业核心竞争力等问题的解决迫在眉睫,而任何一种应用都是流程和逻辑的体现,大部分应用包括“云”在内是不能够准确无误地再现流程和逻辑,必然会存在缺陷和漏洞,本文仅对云计算环境下可能的安全风险进行简要的分析。
(一)虚拟化产生的安全风险
服务器虚拟化是目前云计算最为广泛的技术,它可以将单台物理服务器虚拟出多台虚拟机且独立安装各自的操作系统和应用程序,有效提升服务器利用率,同时也存在两种安全风险。一是虚拟机应用程序的安全漏洞,另一个是虚拟软件各种底层应用程序的安全漏洞。
虚拟化技术引入了Hypervisor和其他管理模块,虚拟化对网络安全带来的严重威胁是虚拟机间通过硬件的背板,而不是网络进行通信,也就是说通信流量对标准网络安全控制是不可见的,检测、在线封堵都是无效的。虚拟机的应用程序是云服务交付的核心构成,因为编程技术的缺陷会存在多个安全漏洞,为适应和使用虚拟化的API接口,也会产生安全漏洞。
另外,虚拟化软件各种底层应用程序的安全漏洞、虚拟机应用程序的安全漏洞也会引发安全风险。
(二)数据泄漏风险
用户数据在“云”中传输和存储,但用户本事对于自身数据在“云”中的安全风险并没有实际的控制能力,数据安全完全依赖于云计算服务商,如果云计算服务商本事对数据安全控制存在疏漏,很可能导致数据泄漏或丢失。如下几种情况都有可能导致数据泄漏:服务器的安全漏洞、虚拟化软件的安全漏洞导致黑客入侵;数据在传输中没有加密,加密数据密钥管理存在纰漏;不同用户数据传输之间没有进行有效隔离,在没有任何补偿控制情况下与其他客户数据混合;云计算用户数据没有进行数据备份;另外,数据在云端时,新增的数据汇总和推理,可能会导致违反敏感和机密资料的保密性。
(三)身份和访问管理安全风险
传统的安全模型中,已经有成熟的解决方案针对网络终端用户安全接入和访问控制。云计算环境下,在Iaas服务模型出现后,服务商需要针对各个企业、各个类型用户提供差异化身份认证管理授权策略,确保合法用户访问所要求的服务器。单因素用户验证码能够产生极大的安全隐患,同时云自助服务门户的潜在安全漏洞给黑客提供了各种未经授权的非法访问的机会。就是所谓的账号和服务劫持。另外,在企业之外处理敏感数据会带来内在的风险,外包服务一般都会绕过企业IT部门对内部所施加的“物理的、逻辑的和人员控制”,即所谓的特权用户的访问权限。还有就是恶意的内部员工也是造成数据泄漏的不可忽略因素。
(四)Web安全风险
许多云服务是通过REST Web服务界面访问的,即API。API密钥空间是触及“云”重要内容的工具,但是这些密钥经常是通过邮件发送,或保存在文件服务器中供多人使用。
云计算环境中,Web是用户最直观的体验窗口,近几年涌现的各种Web攻击,大都是通过不安全的接口和API直接对云计算环境下的网络安全造成破坏性的影响。
(五)服务可用性威胁
用户数据和业务应用处于云计算当中,其业务流程将依赖于云计算服务提供商所提供的服务,这对服务商的云平台服务连续性、SLA和IT流程、安全策略、事件处理及分析提出挑战。当发生系统故障时,数据恢复也是一个非常重要的安全问题。
总之,云计算环境下,系统流量模型相对集中,对安全设备的性能和扩展性等方面有新的要求,系统需要支持更高性能的安全防护,安全资源池在高性能可扩展方面需要提供相应的安全保障。从技术角度来看,云计算目前仍缺乏相应的技术标准,需要不断完善技术架构。在云计算环境下,用户数据安全很大程度依赖于云计算服务商的技术与管理策略。用户都期待岁技术完善能够“可信云”,最大程度规避安全风险。
参考文献:
[1] Greenberg A,Hamilton J R,et al.VL2:A Scalable and Flexible Data Center Network[C]//ACM SIGCOMM Computer Communication Review,2009,39(4):51-62
[2] Biggest-cloud-challenge-security.html.
引言
随着社会的发展,企业对信息资源的依赖程度来越大,由此带来的信息安全问题也日益突出。生产中的业务数据、管理中的重要信息,如果企业自身的信息安全管理有重大疏漏,也无法保证数据的安全可靠。当前,企业在黑客病毒日益猖撅的网络环境下不仅要保护自身信息的安全,还要保护业务数据的信息安全,因此有必要从体系管理的高度构建企业信息安全。
一、企业信息安全的二维性
当前,企业信息安全已涉及到与信息相关的各方面。企业信息安全不仅要考虑信息本身,还需要考虑信息依附的信息载体(包括物理平台、系统平台、通信平台、网络平台和应用平台,例如PC机、服务器等)的安全以及信息运转所处环境(包括硬环境和软环境,例如员工素质、室内温度等)的安全。资产如果不对影响信息安全的各个角度进行全面的综合分析,则难以实现企业信息安全。因此,需要从企业信息安全的总体大局出发,树立企业信息安全的多维性,综合考虑企业信息安全的各个环节,扬长避短,采取多种措施共同维护企业信息安全。
1、技术维:技术发展是推动信息社会化的主要动力,企业通常需要借助于一项或多项技术才能充分利用信息,使信息收益最大化。然而,信息技术的使用具有双面性,人们既可以利用技术手段如电子邮件等迅速把信息发送出去,恶意者也可由此截获信息内容。为确保企业信息安全,必须合理的使用信息技术,因此,技术安全是实现企业信息安全的核心。
1)恶意代码和未授权移动代码的防范和检测。网络世界上存在着成千上万的恶意代码(如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹等)和未授权的移动代码(如Javaseript脚本、Java小程序等)。这些代码会给计算机等信息基础设施及信息本身造成损害,需要加以防范和检测。
2)信息备份。内在的软硬件产品目前还不能确保完全可靠,还存在着各种各样的问题。外在的恶意代码和未授权移动代码的攻击,也会造成应用信息系统的瘫痪。为确保信息的不丢失,有必要采取技术备份手段,定期备份。
3)访问权限。不同的信息及其应用信息系统应有不同的访问权限,低级别角色不应能访问高级别的信息及应用信息系统。为此,可通过技术手段设定信息的访问权限,限制用户的访问范围。
4)网络访问。当今,一个离开网络的企业难以成功运转,员工通常需要从网络中获取各种信息。然而,网络的畅通也给恶意者提供了访问企业内部信息的渠道。为此,有必要采用网络防火墙技术,控制内部和外部网络的访问。
2、管理维:企业信息安全不但需要依靠技术安全,而且与管理安全也息息相关。没有管理安全,技术安全是难以在企业中真正贯彻落实的。管理安全在企业中的实施是企业信息得以安全的关键。企业应建立健全相应的信息安全管理办法,加强内部和外部的安全管理、安全审计和信息跟踪体系,提高整体信息安全意识,把管理安全落到实处。
l)信息安全方针和信息安全政策的制定。信息安全方针和信息安全政策体现了管理者的信息安全意图,管理者应适时对信息安全方针评审,以确保信息安全方针政策的适宜性、充分性和有效性。
2)构建信息安全组织架构。为在企业内贯彻既定的信息安全方针和政策,确保整个企业信息安全控制措施的实施和协调,以及外部人员访问企业信息和信息处理设施的安全,需要构建有效的信息安全组织架构。
二、企业信息安全构建原则
企业信息安全构建原则为确保企业信息的可用性、完整性和机密性,企业在日常运作时须遵守以下原则。
l)权限最小化。受保护的企业信息只能在限定范围内共享。员工仅被授予为顺利履行工作职责而能访问敏感信息的适当权限。对企业敏感信息的获知人员应加以限制,仅对有工作需要的人员采取限制性开放。最小化原则又可细分为知所必须和用所必须的原则,即给予员工的读权限只限于员工为顺利完成工作必须获的信息内容,给予员工的写权限只限于员工所能够表述的内容。
2)分权制衡。对涉及到企业信息安全各维度的使用权限适当地划分,使每个授权主体只能拥有其中的部分权限,共同保证信息系统的安全。如果授权主体分配的权限过大,则难以对其进行监督和制约,会存在较大的信息安全风险。因此,在授权时要采取三权分立的原则,使各授权主体间相互制约、相互监督,通过分权制衡确保企业信息安全。例如网络管理员、系统管理员和日志审核员就不应被授予同一员工。
三、企业信息安全管理体系的构建
信息安全管理体系模型企业信息安全管理体系的构建要统筹考虑多方面因素,勿留短板。安全技术是构建信息安全的基础,员工的安全意识和企业资源的充分提供是有效保证安全体系正常运作的关键,安全管理则是安全技术和安全意识恒久长效的保障,三者缺一不可。因此,在构建企业信息安全管理体系时,要全面考虑各个维度的安全,做好各方面的平衡,各部门互相配合,共同打造企业信息安全管理平台。科学的安全管理体系应该包括以下主要环节:制定反映企业特色的安全方针、构建强健有力的信息安全组织机构、依法行事、选择稳定可靠的安全技术和安全产品、设计完善的安全评估标准、树立.员工的安全意识和营造良好的信息安全文化氛围等。因此,为了使企业构建的信息安全管理体系能适应不断变化的风险,必须要以构建、执行、评估、改进、再构建的方式持续地进行,构成一个P(计划)、D(执行)、C(检查)、A(改进)反馈循环链以使构建的企业信息安全管理体系不断地根据新的风险做出合理调整。
四、结论
信息安全管理体系的构建对企业高效运行具有重要意义。只有全面分析影响企业信息安全的各种来源后才能构建良好的企业信息安全管理体系。从大量的企业案例来看,技术、管理和资源是影响企业信息安全的3个角度。为此,应从技术、管理和资源出发考虑信息安全管理体系的构建原则和企业信息安全管理体系应满足的基本要求。同时,也应注意到,信息安全管理体系的构建不是一劳永逸而是不断改进的,企业的信息安全管理体系应遵从PDCA的过程方法论持续改进,才能确保企业信息的安全长效。
1.云计算的含义及其特征
云计算是在分布式计算、网格计算、并行计算等发展的基础上提出的一种新型计算模型,是一种新兴的共享基础架构的方法,它面对的是超大规模的分布式环境,核心是提供数据存储和网络服务。具有以下特点:提供了最安全可靠的数据存储信息;对用户终端的设备要求低,方便快捷;可以实现不同设备间的网络数据共享;提供强大的空间和计算功能。此环境下,“计算机网络安全”即“为网络信息数据系统的安全创建和使用而采取的相关技术上和管理上保护,从而保护计算机硬件、软件数据信息不会因为意外或者和人为故意而遭到破坏、更改和泄漏,加强对计算机网络信息数据系统的保密性、完整性和可利用性的安全设置”。
“云计算“环境下计算机网络安全的特征:高度的保密性,即计算机网络的信息不能随意泄露给未授权的用户或避免任其利用的过程;信息的完整性,即其他未经过授权的用户不得随意改变、破坏、丢弃信息的特性;操作的可控性,即被授权用户具有对信息的利用、处理的权利,从而控制信息的传播过程;信息的审查性,即当网络安全出现问题时,采取必要的手段加以控制、核查。
2.计算机网络安全的现状分析
首先,在技术方面,所有的数据在云里,一旦发生由于技术方面的因素导致的服务中断,那么用户只能束手无策。此外,云计算所面临的问题在目前网络应用中全部清晰可见。以TCP/IP 协议为核心的互联网虽然取得了巨大的成功,却面临着许多重要的问题,其中安全性最为突出,特别是虚假地址和虚假标识问题导致了大量安全问题。
其次,急需解决的安全问题。在目前的计算环境中,防范驻留在用户PC 上的病毒软件发起的恶意攻击是一个重大难题,当前的趋势是业余黑客继续演变为违法黑客。而云计算环境对违法黑客极具吸引力,因此,云计算有许多重要的安全问题,比如在没有真正明确保密性、完整性和可用性责任的情况下把服务委给第三方,需要解决这个问题。
此外,缺乏计算机网络安全的法律法规等相关政策保障。目前,我国的立法机关尚没有完善的针对于计算机网络系统安全的法律法规政策,缺乏相关的对黑客组织行为的法律制裁措施,这也是造成现代网络安全隐患的一个重要原因,根据我国网络存在的弊端,立法机关应该出台相关的法律法规来限制威胁行为的猖獗。
3.加强计算机网络安全防范的具体措施
3.1首先,提高网络安全的防范意识,明确网络安全发展目标
一方面,加强对网络系统认证身份的确认和识别,明确授权主体,从而提高对网络安全在身份上的确认保障,避免因第三方侵入网络安全系统,另一方面,保证网络信息的完整性和机密性、一致性,加强对信息传播的监控操作,防止机密信息流失,造成不必要的影响,禁止非授权用户对信息数据的整改,严格把关信息安全的操控。
3.2其次,加强对网络安全技术的研究,提高应对网络威胁的手段和能力
3.2.1系统安全防护
除了电脑锁之外,应该注重防火墙的设置和保护屏障的应用,未来防火墙的技术结构应该注重高安全性和高效率性,重新设计其技术结构,比如引用鉴别授权机制、多级虚拟专业防护墙等,控制网络信息的流向,隐藏内部IP地址和网络结构细节设置,防止网络遭受黑客组织攻击,密码口令安全的设置上,注重对密码强度的设计,确保计算机系统设备上的网络安全性。
3.2.2采用认证和数字签名技术
认证技术保证了网络通讯使用过程中的身份确认,数字签名技术更是确保了网络世界中安全指数极高的手段,从而保证计算机网络安全平台的顺利使用和操控。
3.2.3应用程序和服务器的运用
在安装具体的防毒程序和操控步骤方面给予防范,提高电脑安全的警觉性,加强对陌生信息的防范性,运用必要的程序应用禁止外来不安全信息的侵入。同时,服务器除了具有隐藏内网、节省公网IP的功能,还有缓冲作用,加速对经常访问网站的查看,防止黑客的直接攻击,提高了网络安全性。
3.3此外, 云计算环境下确保数据安全的具体方法
3.3.1采用加密技术
PGP 或者相应的开源产品TrueCrypt等程序能够加密文件,把文件保存到网络上之前先进行加密,对于电子邮件还可采用Hushmail 这种具有加密功能的网络程序来进行加密。
3.3.2选择信誉好的云服务提供商
信誉良好的公司不大可能任由用户数据离开自己的控制范围,从而拿自己的品牌来冒险。建议使用名气大的服务,它们不大可能拿自己的名牌来冒险,不会任由数据泄密事件发生,也不会与营销商共享数据。
3.3.3使用过滤器
Vontu、Websense和Vericept等公司提供一种系统,目的在于监视哪些数据离开了你的网络,从而自动阻止敏感数据。比方说,身份证号码具有独特的数位排列方式。还可以对这类系统进行配置,以便一家公司里面的不同用户在导出数据方面享有不同程度的自由。
在信息时代高速发展的今天,云计算环境下计算机网络安全问题突出表现在人们生活办公的方方面面,是一个集合了技术、管理、使用、安全等诸多领域的问题。提高计算机网络安全技术水平,普及网络安全知识教育,增强对网络安全的意识,创新计算机科学技术应用的安全程序,严厉打击黑客等破坏网络安全的不良行为,通过制定和完善相关政策法规为网络系统安全提供政策保障,来规范计算机网络系统安全,从而创造一个健康、安全、科学管理的网络环境,促进我国计算机科学事业良性发展。 [科]
【参考文献】
[1]黄怡强,等.浅谈软件开发需求分析阶段的主要任务.中山大学学报,2002(01).
中图分类号:TP393.08 文献标识码:A 文章编号:1007—9599 (2012) 14—0000—02
一、引言
随着社会信息程度的加深,大型医院的网络结构变得更加复杂,网络规模也在迅速拓展。这时,网络信息安全问题成为了网络管理者需要考虑的一个重要问题,一旦医院的网络信息出现问题,不但影响医院的正常工作,而且还将影响到患者病情的治疗,产生较大的社会危害。因此,保证医院网络信息安全成为了当前医院管理的一项重要工作。
二、计算机病毒及其预防对策
随着网络技术的迅速发展以及计算机应用范围的迅速扩大,计算机病毒的破坏性越来越大,可以将之列为社会的一大公害之一。当前的网络流行病毒大部分以耗损计算机系统资源为主要特征,其中的蠕虫病毒危害最大,对医院的信息安全造成了较大的危害。一般而言,医院的信息网络是局域网,其与互联网存在着物理隔断,但是依然有病毒存在,这将如何处理?
(一)医院信息网络中计算机病毒的主要来源
针对医院网络病毒的处理首先要找到网络中病毒的主要来源,一般包括这样几个方面:
1.安装配发的计算机已经感染了病毒。随着硬盘技术的发展,硬盘克隆技术得到了广泛的应用,计算机的配发也已经进入了程序化,快捷而方便。但是,这也增加了计算机被病毒感染的概率,一旦计算机母盘感染病毒,那么其他克隆体都将被感染。
2.内网连接外网是感染病毒。部分医疗单位的计算机不但连接院内的医疗网络,又连接外网。虽然不是同事连接两个网络,但是一旦在连接外网的过程中感染了病毒,再连接内网时就会将病毒带到内网。这时病毒进入医院信息网络的一个重要渠道。
3.安装使用了盗版光盘或者软件。盗版软件不但难以保证其软件的品质,而且通常都携带有一些病毒。而这些病毒由于是直接嵌入到程序中,异常顽固,一般难以清除,清除之后将导致软件不能正常使用。
4.用户使用的移动介质中带有病毒,诸如U盘、移动硬盘等也是将病毒带入医院内网的一个重要渠道。对于这些含毒软件接入医院信息网络,管理人员一般难以进行控制,通常是通过加装杀毒软件的方式加以防控,但是效果并不是很理想。
(二)计算机病毒的应对策略
针对上述医院信息网络中病毒的主要来源,医院所采取的病毒防治措施达到了对应的瓶颈。但是,随着医院信息化程度的加深,远程医疗以及PACS技术不断成熟,针对社会整体医疗信息的整合是医疗信息网络发展的趋势,这样才能有效促进医疗水平的不断发展。基于如此考虑,医院应该从多个方面来积极的防御病毒的侵入,采取的应对策略主要包括这样几个方面:
1.完善对应的规则制度,从管理层面来加强对信息系统的控制。例如,对于医院配发的计算机,不得用来安装游戏软件或者是其他非工作软件,否则将给予经济上的处罚,并在绩效考核方面予以扣分。
2.通过多种宣传方式来提高医院管理人员预防计算机病毒的意识,增加预防病毒的主动性。
3.对于接入系统的客户端计算机,要求都安装杀毒软件以及防火墙,并实时的对其进行升级。
4.加强对医疗信息数据库的备份,确保备份的数据不被病毒感染。
5.当从内网计入外网时,在入口处设置对应的防火墙、IDS或者是IPS设备,抵御病毒的侵入。
6.对客户端的流量进行监控,一旦发现异常即进行病毒清除工作,查找病毒来源。
三、医院内网信息安全隐患及应对策略
(一)医院内网信息安全隐患
更多的医院信息管理人员意识到信息安全的最大危险来自于医疗系统网络内部。而内网中有部分用户对这些信息拥有较大的处理权限,能够随时的对数据库以及相关记录进行修改。一旦这些问题得不到合理的约束,必将导致统计数据不准确的问题,带来对应的纠纷。而导致这种结果出现的原因主要是由于网络系统漏洞与缺陷导致的。
虽然一些医院采用了信息安全性能极高的数据库管理软件,但是由于软件设计方面存在的缺陷,导致部分用户依然可以直接对数据库进行操作。尤其是一些计算机语言操作水平较高的用户,利用简单的语言就可以对数据库进行修改,脱离了一些限制与约束机制的控制,达到一些非正当的目的,增加了网络系统的安全隐患。
(二)内网信息安全隐患应对策略
根据当前医院所采取的内网信息安全漏洞处理以及对应的防范措施来看,主要的应对策略包括下面这样几种:
1.针对网络中存在的系统漏洞,医院的网络管理者不能够对“用户”的操作技能存在侥幸心理,认为用户没有这样的能力,这种方式不能保证信息的持久安全,而应该积极的寻求更新的机制来对数据进行访问与控制。
2.制定的管理规程制度都应该认真执行,不能将其视作挂在墙上的装饰物。安全的网络80%是依靠管理制度的严格执行来保证的,只有剩余的20%才需要依靠技术来加以处理。
3.尽量使用固定分配IP的方式,而不是采用DHCP策略。并对日志加以记录,严防非法IP的登陆,观察异常流量问题。
4.当需要对数据库进行重要操作时,应该进行日志备份,做到有据可查。
5.对于暂时不需要用到的信息节点,应该将设备的对应端口设置为disable。
6.所有的患者医疗信息都应该加密之后在保存到数据库当中,防止恶意窃取行为的发生。在保证信息共享得以实现的基础上,确保信息安全。
四、医院信息网络的雷击隐患与应对策略
医院信息网络雷击隐患
计算机网络的防雷击是一个持久的问题,正是由于这个原因,导致人们在意识上没有对之加以足够的认识,成为了医院信息网络的重要隐患。一旦防护不到位,将给财产以及人员带来重大损失。通常而言,雷击的多发地带对雷击都有很好的处理措施,所以雷击多发地带的雷击事故反而要少,而雷击少发地带就需要引起足够的重视。对于医院的信息网络而言,防雷击工程一般都是有专业的工程企业来进行的,但是这并不等于是在信息网络设置完成之后再进行防雷作业,而是应该在整个网络规划的阶段进行与专业的防雷作业进行同步协作,从开始就进行规划。除了对应的专业措施之外,网络管理人员应该做到下面这样几点:
1.安装过程中确保强、弱电线缆不在同一个金属管线之内。
2.网络信息的中心机房应该是防雷保护工作的重点,进行防雷屏蔽过程中一定要保护到位。
3.对于系统重要设备的端口,应该在专业技术人员的建议之下设置对应的过载接地设备,保证设备在雷击天气的安全。
4.对于室外光缆应该根据具体的而需要来进行等电位接地,形成体系的接地网络。
五、其他人为因素
人为因素是影响信息网络的一个重要方面,而通常又没有受到人们的足够重视,所以应该通过对人为因素的控制来降低网络出现的安全风险。在实际的管理过程中,可以采用如下的具体措施:其一,在临床科室中尽量不使用包含有电源适配器的HUB,否则将导致局域网络的不稳定;其二,在进行网络施工之前要强化与网络维护人员的协调,在断电之前做好对应的应急处理方案;其三,配线与机柜之间的距离应该合理设置,原理人群密集区,避免噪声的影响;其四,对于另外一些不可预见的因素还需要灵活观察,现场进行及时处理。
六、结语
本文从计算机病毒、内网信息安全、防雷击以及其他人为因素四个方面探讨了医院网络信息安全隐患,针对这些隐患提出了对应的预防策略,对提高医院信息安全起到了一定的积极作用。
参考文献:
1 引言
随着信息化的高速发展和网络在人们生活、工作中的应用、普及,人们的安全意识也太太提高,对网络安全产品的需要也日益紧迫和严格。用户对于安全管理系统的要求已不满足于仅仅在出错时弹出一个对话框,而是希望系统在监控过往信息的同时能够对数据进行分析、消化。并以一种更加入性化的方式将网络上存在的安全风险准确地告知用户。
入侵检测系统(Intrus Jon Detection system,IDS)是近十几年来发展起来的一种主动安全防范技术。所谓入侵检测就是监视分析用户和系统的行为,审计系统配置和漏洞,评估敏感系统和数据的完整性,识别攻击行为,对异常行为进行统计,自动地收集和系统相美的补丁,进行审计跟踪识别违反安全法规的行为,使用专用服务器记录黑客行为等功能的总称。
IDS为计算机系统的完整性。可用性及可信性提供积极主动的保护,并在计算机系统受到危害之前进行拦截防卫。IDS对网络的控制手段有:黑名单断开、灰名单报警、阻塞HTTP请求、通知防火墙阻断和通过SN-MPTrap报警等。
2 技术的分析
入侵检测技术是通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应。从方式上可分为三种:异常、误用和模式的发现技术。
(1)异常
异常发现技术的前提是假定所有入侵行为都是与正常行为不同的。首先通过训练过程建立起系统正常行为的轨迹,然后在实际运用中把所有与正常轨迹不同的系统状态视为可疑。例如。通过流量统计分析将异常时问的异常网络流量视为可疑。
但异常发现技术的缺点是并非所有的入侵都表现为异常。
(2)误用
误用发现技术的入侵检测是指通过预先精确定义的入侵模式,对观察到的用户行为和资源使用情况进行检测。如入侵签名说明了导致误用事件弱点的特征、条件、序列和关系,还包含系统状态。
(3)模式
假定所有入侵行为和手段都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配发现。模式发现的关键是如何表达入侵的模式,定义发现入侵的规则库,把真正的入侵与正常行为区分开来。
3 设计的实现
基于不同的结构和侦听的策略,IDS可分为两类:主机型(Host-based IDS)和网络型(Network-based IDS)。
3.1主机型IDS
主机型IDS为早期的结构,是基于系统日志,应用程序日志或者通过操作系统的底层支持来进行分析,实时监视可疑的连接、系统日志检查以及特定应用的执行过程。主要用于保护自身所在的关键服务器。
在主机型IDS中,每一台被监控的服务器上都安装入侵检测。入侵检测的任务就是通过收集被监控服务器中的系统、网络及用户活动的状态和行为等数据,达到跟踪并记录这台服务器上的非授权访问企图或其他恶意行为之目的,如图01所示。
主机型入侵检测软件可以提供比网络型工具更好的应用层安全性,因为主机型软件可以检测到失败的访问企图,它可以监视用户访问文件或目录的次数。将软件加载到众多服务器和桌面上是一项费用高且耗时的工作。另外,一旦发现软件有新的问题l必须随之进行升级。
主机型IDS驻留在被检测的主机中,网络传输加密对入侵检测的工作不会产生影响。因为入侵检测是通过操作系统来读取相关信息,而操作系统已经在收到到来的数据时将其解密了。另外,主机型IDS还具有接近于实时的检测和应答响应时间。
(1)特点:
假如入侵者突破网络中的安全防线,已经进入主机操作,那么Host-Based IDS对于监测重要的服务器安全状态具有十分重要的价值。
(2)弱点:
①信息审计如易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来骗过审计;
②审计与网络不能通过分析主机审计记录来检测网络攻击(域名欺骗、端口扫描等);
③攻击类型受限Host-Based IDS只能对服务器的特定的用户、应用程序执行动作、日志进行检测,所能检测到的攻击类型受到限制,但提供预警报告。
3.2网络型IDS
网络型IDS则主要用于实时监控网络上的数据包,其输入数据来源于网络的信息流,能够检测该网段上发生的全部网络入侵。因此,网络型IDS可以保护整个网段内的所有主机。
网络型IDS利用网络侦听技术收集在网络上传输的分组数据包,并对这些数据包的内容、源地址。目的地址等进行分析,从中发现入侵行为,如图02所示。
(1)特点:
①服务器平立网络型IDS监视通信流量而不影响服务器平台的变化与更新;
②一个接口便可访问配置简单的网络型IDS的环境只需要一个普通的网络访问接口;
③防攻击类型多样众多的攻击标识可以监视多种多样的攻击,包括协议和特定环境的政击。
(2)弱点:
①无访问控制措施不像防火墙那样采取访问控制措施,但防火墙并不是入侵检测设备;
②攻击阻止差网络型IDS不能去阻止攻击,而采用预警方式。
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 01-0000-01
随着无线网络技术的飞速发展和商业化普及,无线网络正在成为单位局域网络的重要组成部分。由于无线网络的微波信号在空气中进行数据信息传输的时候,受自然天气情况、建筑物障碍,以及与其他微波信号的相互干扰等原因都可以导致无线网络信号的中断、衰减,从而影响无线信号的稳定性,同时也影响者无线网络的安全性,所以建立安全、稳定的无线网络是各单位网络部门必须考虑的问题,而无线网络的安全性又是首要考虑的问题。
一、威胁无线网络安全的途径
(一)进行搜索攻击。NetStumbler软件是第一个被广泛用来发现无线网络的软件。很多无线网络是不使用加密功能的,或即使加密功能是处于活动状态,如果没有关闭(wirelessAccessPoint,无线基站)广播信息功能,AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息,如网络名称、SSID(SecureSetIdentifier,安全集标识符)等可给黑客提供入侵的条件。
(二)网络接管与篡改。同样因为TCP/IP设计的原因,某些欺骗技术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP,那么所有来自无线网的通信量都会传到攻击者的机器上,包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。
(三)窃取网络资源。有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。
(四)泄露威胁包括窃听、截取和监听。即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具,如AiroPeek和TCPDump来监听和分析通信量,从而识别出可以破解的信容。另外,还有其它一些威胁,如客户端对客户端的攻击、干扰、对加密系统的攻击、错误的配置等,这都属于可给无线网络带来风险的因素。
二、安全防护对策
(一)使用各种最新的身份认证措施来防止未经授权用户的访问。无线信号都是在空气中传播的,那么也就难免会传播到其它一些不希望到达的地方,只要是在信号覆盖范围内,那非法用户无需任何物理连接就可以获取无线网络的数据,因此,必须从多方面防止非法终端接入以及数据的泄漏问题。
(二)利用网卡MAC地址来防止非法AP的接入访问。每块无线网卡都拥有唯一的一个MAC地址,如果我们为AP设置一个基于MAC地址的Access Control(访问控制表),就可确保只有经过注册的设备才能进入网络。预防非法AP的接入访问,可以利用对AP的合法性验证以及定期的站点审查来防止。
(三)无线网络设备典型情况下都包括WEP或WPA加密。这两种加密形式都有助于保护网络,但WPA要比WEP更加健壮和安全。为了实施WPA或WEP,用户需要在无线网络的所有无线设备上都输入一个加密密钥,一般情况下,产品的用户手册都会包括一个如何配置加密密钥的详细指南。简言之,基本的安全要求用户至少考虑以下几个方面:互联网和本地网络之间有一个NAT防火墙;启用MAC地址过滤;启用了无线客户端的WPA或WEP加密吗。
(四)建议禁用DHCP和SNMP设置。从禁用DHCP对无线网络而言,这很有意义。如果采取这项措施,黑客不得不破译你的IP地址、子网掩码及其它所需的TCP/IP参数。无论黑客怎样利用你的访问点,他仍需要弄清楚IP地址。而关于SNMP设置,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关你方网络的重要信息。
(五)反病毒软件。反病毒软件的基本功能是相同的,但用户至少需要考虑以下几个方面:这种软件支持自动更新从而便于检测新病毒的时间;扫描病毒的速度如何;它可以扫描并清理即时通信程序的附件;它附带一个软件防火墙;病毒的清除要求用户的参与。
(六)软件防火墙。防火墙管理着通过这些端口的通信,它可以阻止,或放行,有时它会问用户是否希望准许一个将要打开的连接?多数防火墙包括一个通用的规则集,它准许用户设置准许什么、禁止什么类型的通信。
(七)硬件防火墙。许多路由器都内置了硬件防火墙。硬件防火墙利用其自己的处理器进行端口过滤和加密任务,这意味着几乎不太可能耗尽计算机中的资源,这也就给用户们更佳的总体性能。还有一些防火墙准许用户建立从互联网到LAN的VPN连接,这就使得用户即使在路途中也可以访问自己的计算机。
三、网路的服务与管理。
(一)无线疏于防范。在网络中,对于无线网络的管理更应该加强。虽然目前在无线安全保障机制方面包括有WEP加密、VLAN、VPN、802.1x,以及最新颁布实施的802.11i无线网络安全标准等多种方式,但稍有一丝疏忽,整个网络就会受到致命的破坏。
(二)无线网络的管理被很多单位建设者认为可有可无。众所周知,在目前所出现的网络安全问题中,虽然病毒、DoS攻击日益猖獗,但80%以上的不安全因素来自于网络内部。在对有线网络的管理上,由于其自身的成熟技术和意识已日趋完善,而对于无线网络,存在着不经常使用,或只是使用很少的错误意识而忽视对其管理,这样就容易造成与有线网络脱节,从而引起管理中的失误,形成整个网络的不安全漏洞。因此,管理需要系统考虑。
总之,虽然无线网络自身技术中所存在的缺陷容易造成对其管理上的缺陷,但要想真正管理好无线网络其实并不难,除了加强有线网络自身的管理之外,从整个网络系统全面考虑网络的管理就足以使无线局域网更加稳定可靠地运行。采用类似于对有线网络的管理方式,通过监控整个无线局域网的运行状况,发现网络瓶颈和设备故障,方便配置WLAN设备,以及对网络资源进行合理分配即可实现对无线网络的全面管理。
中图分类号:G451.2 文献标识码:A 文章编号:1007-9599 (2011) 21-0000-01
Issues Should Pay Attention to Application Environment of Computer Network Security
Zhao Lei
(Dongchang College of Liaocheng University,Network Information Center,Liaocheng 252000,China)
Abstract:This article mainly from the starting environment for network security applications,highlighting in the process of building issues that need attention,so you can be more convenient and effective application of network technology and the environment combine to enable network operators better.
Keywords:Computer network;Network security;Application environment development
一、引言
现如今,广泛至大型企业集团,具体到小型单位和各大高校,对于网络的依赖性越来越明显,大部分数据都存储在安全性较高数据库中,方便查看和修改。单从这点出发,安全性就值得重视。所以需要借助很多新型的技术来达到网络安全应用环境的建设。技术在不断的更新,时代在不断的进步,计算机网络也在不断的发展着,各种应用环境的安全性问题也需要不断的进步,确保在实际运用中避免出现信息窃取等不安全迹象。作为一名称职的网络建设者和维护者来说,要以网络安全作为首要出发点和目标,这样才可以进一步去研究工程中的具体需求和存在的网络安全隐患,在建设的过程中不断的解决问题。
二、计算机网络自身存在的不安全因素
(一)Internet网本身的局限问题
因为Internet网本身就存在着局限性,计算网络是面向全球的,很多的资源是为了能够达到共享的目的,这样网络的开放性会让网络处在一个极易被攻击的环境,众多的网络协议虽然可以避免一些明显存在的问题,但是还是会存在很多隐蔽性的安全问题,比如窃听,篡改等,这些都不易被发现。
其次计算机网络不去限制网络的使用者,只要有一台计算机,配备了联网的设备,就完全可以了随意浏览和下载文件等网络性活动,活动是自由的,就像人的言论自由一样。
(二)计算机操作系统的安全性问题
计算机的裸机上一定要安装第一层系统才能运行,这就是我们常使用的各种版本的操作系统,任何事物都是有其弊端和优势的,不管是哪家公司设计的操作系统都有其漏洞可破,都会受到攻击,往往很多不安全的活动都是在操作系统上动了手脚,不安全的因素存在其中。这也就是我们在使用的过程中为什么要不断的更新病毒库和更新系统漏洞的原因。
与此同时,一般常见的操作系统都是支持网络服务功能的,包含有网络上下载和上传文件图片等可执行文件,这也正好体现了网络的很重要一个特点――共享性。但是在下载或者上传文件的过程中任何一个环节出现问题都会植入不安全因子。为了将安全的思想贯穿到底,需要我们在计算机网络安全应用环境建设中注意一下的问题。
三、计算机网络安全应用环境建设中注意
计算机网络安全应用环境建设中要把注意点考虑周全,可以从硬件和软件这两方面双重“施压”。针对以上计算机网络本身存在的安全问题,可以采用较新的科技技术去进一步完善安全的条件。
(一)网络安全应用环境的建设步骤
各种应用环境的建设过程都是需要一步一步去完成的,包括网络安全的应用环境,比如说各大高校的新型图书馆建设问题。首先要对整个网络进行细致的规划和设计,整个过程需要面向学生群体,把各种应用实例嵌入其中;要能够进行统一化计划,建设过程可以一步一步去具体实现其中细节问题;整个建设要注重效率二字;同时要将安全性问题贯穿建设的始终,学会层次化控制各个区域。其次要了解各项原则,在规划中为了方便,要能够一体化管理,但是要依据实际需要分部实行,小步前行,把环境建设的安全性和稳定性放在重要的地位。虽然网络没有绝对的安全,但是尽力去提高其安全指数,保证信息的安全性。
(二)建设应用环境中出现的各种安全隐患
一般要进行各种网络攻击的形式主要有:常见的有木马攻击,主要是通过植入方式,在重要的文件里秘密的安装控制程序文件,这样在不安全的环境下进行的一切行为就会被别人获取,进一步对有用信息利用,可以想象后果的严重性。其次就是让人头疼的病毒,其中有些是可以被查杀,但有些目前的杀毒软件都没辙。病毒的可怕之处就是在各种环境下能破坏有用的信息,甚至让计算机无法正常运行。再次还有网络上越来越多的各种类型的钓鱼网站,会在你打开网页时候不经意出现各种引诱的信息,通过要你注册信息还窃取相关资料,一般比较典型的网站攻击都是黑客进行攻击的重要手段,通过欺诈信息还获得利益。
(三)建设过程中安全机制的安排
其次就要利用好安全机制,对数据进行有效的加密和认证措施,一般在网络上传输的数据都是以明文的形式,这种不安全的形式造成了很多问题,需要采取MD5以及各种DES算法来加密和安全传输。现在越来越多的安全中心利用了口令机制,这也是访问控制中的一种手段,这样可以安全授权,而且要求每次使用过后的密码都要进行更新,保证了密码不能被猜中,安全性更高。最后不可忽视的问题就是信息的备份工作,要依据分区对重要数据进行备份,这样病毒或者其他硬件出现问题后可以及时采取补救措施。
(四)安全性工作的实质
网络环境应用的重视程度决定了其安全性,需要加强引导工作,把应用环境的建设工作安排合理,分工明确,在建设过程中要注重效率,将安全性贯彻到底,这样计算机网络安全的应用环境的建设工作才能顺利的进行,建设完毕之后为了今后更好的工作,可以调查效果,主要针对应用环境的安全性和实用性这两个方面。
四、结束语
本文主要从安全性的角度出发,简析了应用环境建设中会出现的问题以及需要注意的事项,并且还要及时的采取补救措施,基于网络环境下个人计算机系统的安全性,可以对各种应用程序进行建设。伴随着网络世界越来越多样化,各种应用环境也在不断的诞生,安全性的问题也需要不断的解决。新型的计算机网络问题也诞生出各式各样的补救措施,这就是进步的表现,也是我们不断创新的结果。计算机网络安全应用环境的建设问题任重而道远。