時間:2023-09-13 17:13:43
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇常見的網絡安全防護措施,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
醫院信息化建設中網絡安全存在技術因素與人為因素的干擾,需要針對各醫院實際情況做管理制度的完善健全,提升技術手段,規范管理細節措施,提升全體人員對網絡安全維護的意識與能力,從而有效的保證醫院信息化建設的高效化、安全化,有序化。
關鍵詞:
醫院;信息化建設;網絡安全;防護
醫院信息化建設不斷加快與成熟,促使整體的醫療診治水平提升,保證了診療工作的準確與效率。但是隨著信息化的普遍性,相關網絡管理工作也日益復雜,尤其是我國惡意軟件與不良網絡攻擊情況嚴重,導致醫院網絡安全管理存在較大的威脅。網絡安全是醫院信息化建設中的重要工作,是保證信息化工作開展的基本保障。
1醫院信息化建設中的常見安全隱患
1.1技術因素
醫院信息化建設中,會廣泛的涉及到服務器、客戶端、鏈路、軟件系統、存儲與網絡設備等多種構成元素。醫院信息化建設有效的提升了整體的診療水平,提高工作效率與便捷性,但是網絡安全問題也日益突出,相關信息資源的泄露或者系統攻擊都極大的威脅了信息化建設的有序開展。在安全管理中,物理性環境安全、操作系統安全、數據備份安全等都是網絡系統建設的常見安全問題。而常規性的運用防火墻以及其他防病毒操作都無法有效的保證信息化平臺的安全性,容易引發數據泄露、損壞與丟失,進而干擾了醫院正常工作運轉,甚至也對患者個人信息構成泄露,急需要通過更強的防護技術來做保障。對于部分醫院而言,會簡單的認為設置一定安全防火墻就可以保障系統的安全性,甚至認為不需要其他安全防護來做安全保障,這主要是安全防護工作中缺乏與時俱進的先進意識,認識誤區較為明顯。而防火墻只是防護手段中的一種,能夠防御性的安全問題較為局限,對網絡內部與旁路攻擊都無法達到理想的防護效果,同時針對內容攻擊的問題也無法處理。部分設備中只是對攻擊行為進行警告,但是并不具備攻擊行為的防控能力。在數據庫升級中,可以到數據庫做用戶操作登錄記錄,可以達到操作源IP地址的定位,但是缺乏無法阻止其做惡性操作,例如對數據信息做惡意的竊取與篡改,甚至無法認定操作人員最終責任,因為賬戶登錄只需要賬戶與密碼就可以進行,但是這種登錄操作任何掌握信息的人都可以進行,無法達到全面的管控。此外,安全防護措施工作量大,操作復雜。在做IP與MAC地址綁定中,需要管理人員針對每臺交換機做操作,對綁定信息做逐條的輸入,工作負荷相對更大,操作缺乏高效便捷性。其次,如果有人懂得相關網絡基礎技術,可以輕易的做到IP與MAC地址的變更,從而引發綁定操作失效。此外,醫院主機裝備了殺毒軟件,然而由于數量較多,不能有效的對每個主機做殺毒軟件的統一性管控,對于病毒庫的更新以及軟件的開啟等情況都無法做有效確定,相應的系統補丁也不能及時有效更新,進而導致安全防護效果不能確定。雖然醫院投入大量的財力與人力做好安全防護措施處理,但是實際上缺乏可執行性,同時由于各設備間缺乏關聯性,從而對于實際效果無法做有效評估與管控,安全防護措施與手段的運用則流于形式。
1.2人為因素
醫院信息化建設更多的操作需要人為進行,因此人為因素是網絡安全管理的重要因素。醫院沒有將網絡安全明確到人,缺乏責任制管理,無論是安全管理人員還是普通工作人員,缺乏足夠的安全管理意識。沒有形成規范合理的信息系統建設制度規范,導致實際操作無章可循。沒有強效的安全檢查與監督機制,同時也沒有專業的第三方機構做安全性介入管理。相關工作人員缺乏專業資質認定,對于網絡安全沒有展開合宜的宣傳教育,同時也缺乏對應工作與行為考核,導致工作人員缺乏應有的安全責任觀念。因為工作人員缺乏安全意識與專業的安全能力,會出現將個人電腦接入醫院內部網絡,從而導致病毒攜帶入網,導致相關信息化系統運行故障。或則將醫療業務網絡電腦與互聯網、外網連通,導致相關網絡中的病毒、木馬程序進入到醫院的內部網絡,導致網絡病毒蔓延。工作人員會因為有職務的便利性,會訪問醫院有關數據庫,從而得到數據資料的竊取與篡改,進而導致相關經濟損失。同時黑客會通過技術手段接入到醫院內部網絡中,進行直接性的網絡攻擊,醫院與醫保網絡系統處于連通數據驗證操作所需,如果被攻擊則容易導致嚴重后果。
2醫院信息化建設中的網絡安全防護
2.1完善管理制度
醫院網絡運行保持安全性效果的基礎在于完善健全的制度管理,可以通過對醫院實際情況的了解,設置針對性安全管理操作制度、監督制度、用人制度、激勵制度等多種內容。確保所有有關工作的開展有章可循,提升操作的標準性、可執行性。要不斷的強化制度的權威性,讓工作人員對此保持謹慎態度,避免安全疏忽。
2.2安全管理細節措施
醫院網絡管理需要多方面的細節措施來保證。例如為了保證服務器能夠可靠穩定的持續工作,需要運用雙機容錯與雙機熱備對應方案,對于關鍵性設備需要運用UPS來達到對主備機系統的有效供電,確保供電電壓持續穩定供應,同時避免突發事件。網絡架構方面,需要將主干網絡鏈路采用冗余模式,這樣如果出現部分線路故障,其余的冗余線路可以有效繼續支持整個網絡的運轉。需要運用物理隔離處理來對相關信息數據傳輸設備保持一定的安全防護,避免其他非專業人員或者惡意破壞人員對設備進行破壞,需要做好業務內網與外網連通的隔離,避免網絡混合后導致的攻擊影響或者信息泄露。對于醫院內部的信息內容,需要做好數據與系統信息的備份容災體系構建,這樣可以有效的在機房失火或者系統運行受到破壞時快速的恢復系統運行。要展開網絡系統的權限設置,避免違規越權操作導致系統信息數據的修改有著竊取,要做好數據庫審計日志,對于相關數據做動態性的跟蹤觀察與預警。
2.3技術手段升級
在網絡安全防護措施上需要保持多樣化與多層次的防護管理,積極主動的尋找管理漏洞,有效及時的修補管理不足。對網絡設備做好殺毒軟件的有效管控,建立內外網間的防火墻,限制網絡訪問權限,做好網絡攻擊預警與防護處理。對于網絡系統各操作做有效記錄跟蹤,最安全漏洞做到及時發現并修復。要投入足夠人力與財力,優化工作人員技術水平,從而有效的保證技術手段的專業完善性。
結束語
醫院信息化建設中網絡安全需要醫院所有人員的配合,提升安全意識,規范安全管理制度與行為,確保網絡安全的有序進行。
作者:梁子 單位:廣州市番禺區中心醫院
參考文獻
[1]李騫.醫院信息化建設中的網絡安全與防護措施探析[J].網絡安全技術與應用,2015(9):43,45.
【摘 要】進入新世紀以來,市場變遷,我國的IP城域網的發展進入了一個新的階段。以前人們對IP城域網的需求主要為寬帶,到如今逐漸向質量與可靠,有廣泛業務的不間斷網絡通信轉變。網絡安全作為網絡質量的基礎之一,已愈發受到運營商的重視。在銀行、政府、支付等特殊的企事業單位中,對IP城域網的網絡安全提出了更高的要求,間接的推動了IP城域網網絡安全的發展建設。本文從IP城域網網絡安全的現狀出發,分析了幾個常見的網絡攻擊方法并簡單的介紹了目前應對網絡攻擊的安全防護措施。
【關鍵詞】IP城域網;網絡安全;防護措施
從目前的分析來看,制約IP城域網發展的重要因素之一就是網絡安全。最近幾年,網絡安全事件發生的頻率在逐年升高,造成的損失也不斷升高,因此面對如此嚴峻的網絡安全形勢,必須對網絡安全大力度的加以整治。
1 .IP城域網網絡安全的現狀
1.1IP城域網的概況
一般而言,城域網主要由三個層次構成,分別為核心層、匯聚層以及接入層。
這三個層次在IP城域網中各自承擔著不同的功能,他們是IP城域網中不可缺少的一部分。IP城域網的核心層面臨著路由安全與核心層的設備自身安全等主要安全問題;匯聚層又稱為控制層,它主要面臨的網絡安全問題是路由安全、異常流量的抑制以及用戶的業務安全和對用戶訪問的控制;構成接入層的主要是一些二層的接入設備,接入層面臨的網絡安全問題是用戶的攻擊行為與對廣播風暴的抑制。
1.2IP城域網主要存在的風險
隨著目前網絡的不斷普及,城域網的用戶快速增加,網絡安全問題就凸顯出來,這些問題主要體現在五個方面:(1)用戶端引起的流量攻擊問題,(2) 用戶管理接入問題,(3)大量垃圾郵件擠占網絡帶寬,(4) 大量出現以占用帶寬為目的的應用,(5) 網絡安全的管理問題。
1.3IP城域網的安全現狀分析
目前IP城域網的安全主要面對著以下的幾個方面的問題:(1)關鍵設備(如核心設備)以及關鍵鏈路(出口城域網鏈路及BRAS/MSE上行鏈路)是否冗余(3)對核心層、匯聚層以及接入層的管理混亂,導致用戶隨意接入,(4)網絡設備在某些功能上存在缺陷。(1)網絡終端的防護能力薄弱,(2)對網絡缺乏相應的安全監控,除認證計費外,多數網絡處于開放狀態,
2.常見的網絡攻擊手段
常見的網絡攻擊手段主要有地址欺騙、端口掃描以及應用層攻擊,@些網絡攻擊對IP城域網的網絡安全造成了很大的威脅。
2.1地址欺騙
IP地址欺騙又被稱為身份欺騙,網絡攻擊者把真實的IP地址進行切狀,并發送特定的信息,擾亂正常的信息傳輸。IP地址欺騙也可以利用一些信息更改網絡的路由信息,從而達到竊取信息的目的。
2.2端口掃描
端口掃描是網絡攻擊者攻擊網絡的主要方法之一。這個方法就是攻擊者們利用公共公開的網絡安全工具對網絡系統進行較大規模的端口掃描,進而獲取相應的信息。攻擊者們用這種方法攻擊IP網絡,會占用大量的系統資源,會對正在正常使用的設備造成較大的危害。
2.3應用層攻擊
網絡攻擊者們使用應用層攻擊的直接對象就是網絡系統的服務器,應用層攻擊的條件相對較高,因此應用層攻擊者多為這個系統程序的初始設計者。他們可以再服務器的操作系統中制造一個后門,繞過正常程序達到目的,而特洛伊木馬就是一個典型。
3.應對網絡攻擊的安全防護
3.1搭建IP城域網網絡安全架構
IP城域網主要的安全隱患來自各個層次。針對核心層,我們需要做到以下幾個方面(1)選擇高可靠高性能核心路由器(2)做好冗余措施,避免單點故障,(3)選擇合適的路由協議,提高網絡可靠性及效率(4)充分利用訪問控制列表(ACL)等措施做好流量過濾機流量攻擊防范。
針對業務控制層,(1)BRAS/MSE上行到核心路由器鏈路必須冗余,同時起到鏈路安全及流量負載分擔功能(2)強化訪問控制列表(ACL),同時進行一些設置,以過濾或阻止某些攻擊企圖,通過關閉不必要的服務降低風險。
針對接入網,(1)防止環路,盡量減少二層VLAN透傳(2)采用QINQ方式,有效隔離用戶,防止ARP攻擊等。
另外,需在全網做好黑洞路由等安全防護策略;同時對各級設備都應注重強權限管理,加強用戶名、密碼、權限等訪問控制手段。而且對所有網絡設備配置及各類數據都必須進行及時有效的備份。
3.2應對網絡攻擊的主要技術策略
3.2.1設備防護。
設備是一切的基礎,對設備的安全進行防護是構建IP城域網網絡安全的主要措施之一。對設備我們需要實行最小化的服務原則,在使用設備時,關閉設備上一些并不需要的功能服務。在認證方面使用單點登錄集中認證的方法控制維護人員的遠程訪問,同時遠程訪問需使用SSH方式,簡介后還需要有相關的信息提示。
3.2.2接入層防護。
接入層相當于網絡終端與IP城域網的一堵墻,要想對網絡終端進行隔離就必須把接入層這堵墻建好。對接入層的建設主要是加強對L2網安全防護,特別加強對H用戶接入以及網吧接入的管理工作。尤其對網吧的管理,現網已經出現不止一次因為網吧遭受攻擊而影響其接入的那臺匯聚交換機甚至是BRAS癱瘓的情況。這就要求全網部署好防流量攻擊策略等。
3.2.3計費認證系統防護。
相對其他缺乏安全監控的網絡來說,認證計費系統的安全防護工作還是做得很好。計費認證系統防護方面我們需要對各個地市的計費認證系統進行集中的管理,對網絡的訪問實現對不同業務主機的安全防護,定期的對認證計費系統進行安全的掃描,對認證賬號、IP進行保密。
4 .結論
在新世紀下整體的IP網絡需要發展,但是IP城域網的網絡安全一定程度上制約著整個IP網絡的發展,因此解決IP城域網的網絡安全問題勢在必得。為了提高IP城域網的網絡安全水平,必須根據實際情況,制定相應的網絡安全應急機制,對整個城域網制定相應的應急預案,提高IP城域網整體對網絡安全的應對能力,做到防患于未然。
參考文獻:
[1]辛榮寰.中國通信學會信息通信網絡技術委員會2003年年會論文集[C]. 2003.
網絡工程安全之所以處在一個艱難的環境,主要的原因要歸咎于垃圾郵件。垃圾郵件是指用戶完全不想接受的郵件但是卻沒有辦法拒絕的郵件。這么長時間以來,這給用戶造成了嚴重的損害,但也讓網絡的負載越來越大,影響了網絡工程的工作的成效和安全性,而且大量網絡來源被消耗掉,減緩系統運行效率,另一方面,垃圾郵件因為數量過于龐大,已經違反了整個網絡安全。
2計算機系統風險
網絡工程安全在某種程度上也是因為計算機系統風險造成的。在網絡工程中,因為系統中的管理機構和不完美,在上述部門的位置不夠明顯,還不能改善的管理密碼,所以用戶會防守意識相對薄弱,信息系統的風險并不能達到合理的避免,讓網絡安全面臨四面楚歌的境地。,這將使計算機系統的風險變得越來越嚴重,甚至使計算機不工作,最后讓計算機網絡安全威脅嚴重。因此,必須加強網絡安全的工程。
3如何對網絡工程中的安全防護技術進行加強
3.1設置防火墻過濾信息
做好預防黑客的的措施,最有效的方式是使用防火墻,相應的信息過濾防火墻可以在網絡工程,加強安全防護技術。在網絡中,安裝本地網絡和外部網絡之間的防火墻是最有效的保護手段,網絡防火墻可以分段本地網絡和外部網絡地址,網絡通信所有計算機必須通過網絡防火墻,防火墻過濾后,它可以過濾一些網絡上的攻擊,避免了攻擊在目標計算機上執行,使內部網絡的安全性大大提高。同時,防火墻還可以對一些未使用的端口關閉操作,還可以進行盡職調查使交流一些特定端口封鎖木馬。對于一些特殊的網站訪問,網絡防火墻也可以進行禁止,防止黑客入侵。分組過濾防火墻和應用防火墻分別如以下兩圖所示:
3.2加強病毒防護措施
在網絡工程中,病毒的防護工作無疑是整個安全防護技術中不可分割的環節。在計算機系統的安全管理和日常維護,病毒防護是其中幾位關鍵的內容,計算機病毒日益呈爆炸式增長,我們越來越難以區分,它會導致以防止計算機網絡病毒的工作變得越來越困難,我們已經不可以僅僅利用技術的方式去防止病毒,而是選擇技術和科學的管理機制兩者有機的組合,讓人們提高預防的意識,可以讓網絡系統可以從根本上得到保護,促使網絡安全運行。殺毒軟件,常見的金山,瑞星殺毒和卡巴斯基。在通常的情況下,某些定期檢測病毒和病毒殺死在電腦,病毒被發現后及時處理。此外,對于一些重要的文件,電腦也應該及時備份,以防止丟失重要文件收到后對計算機病毒的入侵。
3.3植入入侵檢測技術
入侵檢測系統在網絡工程,是一種主動安全技術,我們可以科學的進行防護,并且還要逐步加強力度。網絡工程、惡意入侵檢測技術可以包含有效的識別在計算機網絡來源,網絡系統是瀕危回應之前攔截。可以實時保護外部攻擊、內部攻擊和誤操作,也可以采取相應的安全保護措施根據攻擊。現在網絡監控系統的項目,從網絡安全防御和角度三維深度提供安全服務,可以使來自網絡的威脅,有效降低損失,以提高今天的探測技術的關注。
3.4拒絕垃圾郵件收取
正如上面提到的,垃圾郵件沒有得到用戶授權卻強制用戶接受郵件的行為。批量發送可以說是其中重要的特點,在這段時間內計算機網絡的快速發展,垃圾郵件已逐漸成為計算機網絡安全的風險。因此有必要加強網絡安全工程,必須拒絕垃圾郵件的接受收,拒絕接收垃圾郵件,你必須保護自身的電子郵件地址,不能自由連接自己的電子郵件地址,更加不能把自身的地質給泄露出去,這樣就可以很好的避免接受垃圾郵件了。此外,您還可以使用一些郵件管理來管理自己的電子郵件帳戶,郵件過濾操作,拒絕接受垃圾郵件。
3.5加強網絡風險防范
在網絡安全防護工程,也不能忽視網絡和加強風險防范。想讓網絡風險防范,可以利用數據加密技術,它可以傳輸數據在網絡上訪問限制,設置專門通過用戶數據來指導,從而達到加密的目的。在項目的網絡數據加密的主要方式是,端到端加密,加密等,可以采用不同的數據在不同的情況下和加密方法。
4結語
摘要:目前,我國電力調度自動化系統網絡的建設成績斐然,例如電力調度網絡系統的利用率教高,技術水平比較先進等,但是也存在著網絡安全級別較低、實時性。要求較低等多方面的安全隱患。為此,筆者在本文中淺談了電力調度自動化系統網絡安全隱患及其防止。
關鍵詞:電力調度;自動化系統;網絡安全防護
近幾年來,隨著科學技術和網絡技術的發展,我國國家電力數據網一級網從1992年2月一期工程開始規劃建設,到1997年7月二期工程開通運行,迄今已有近十年的發展歷史。在這近十年間,我國電力調度自動化系統網絡的建設取得了客觀的成績,例如電力調度網絡系統的利用率教高,技術水平比較先進等,但是也存在著網絡安全級別較低、實時性。要求較低等多方面的安全隱患。因此我們就要根據電力調度自動化系統中各種應用存在的問題,優化電力調度自動化網絡系統,建立調度系統的安全防護體系。對此,我從以下幾方面進行分析研究。
1 電力調度自動化系統網絡存在的問題
電力調度自動化系統網絡存在的安全隱患有自然災害、硬件故障、盜用、偷竊等,對此我進行如下分析。
1.1 自然災害。常見的對電力調度自動化系統網絡造成影響的自然災害有地震、火山、滑坡,泥石流、臺風、雷擊等。自然災害可謂是天災人禍,這是無法避免的,我們能做的就是提前預測,并根據預測結果進行防范,使受災程度減到最小。
1.2 硬件故障。硬件故障是技術硬件問題,如網絡安全訪問控制技術,加密通信技術、身份認證技術、備份和恢復技術等。其中網絡安全訪問控制技術和加密通信技術的故障主要表現為黑客的攻擊和病毒的侵擾,導致網絡信息丟失,系統癱瘓;身份認證技術的故障主要表現為用戶拒絕系統管理、損害系統的完整性等。
1.3 盜用、偷竊。盜用和偷竊的問題主要體現為網絡系統的工作人員利用公務之便對網絡系統信息的盜用和網絡系統的資源的偷竊,以及非工作人員利用非法手段對絡系統信息的盜用和網絡系統的資源的偷竊等行為,最終導致整個電力調度網絡系統運轉癱瘓。
2 關于電力系統網絡的有關政策和法規
國家的有關部門對安全問題的有關政策和法規,對制定電力調度控制系統的安全策略起到指導性和引領性的作用。
2.1 公安部對網絡系統安全問題的有關政策和法規。公安部頒布了安全防護方面的一系列文件,規定各部門應根據具體情況決定自己的安全等級,實行國家強制標準。公安部規定自動控制系統應與外部網絡絕對物理隔離,可根據業務的需要建立專用數據網絡。
2.2 國家保密局對網絡系統安全問題的有關政策和法規。國家保密局也頒布了一系列安全保密方面的文件,例如,1998年10月國家保密局頒布的“涉及國家秘密的通信、辦公自動化和計算機信息系統審批暫行辦法”規定,涉及國家秘密的通信、辦公自動化和計算機信息系統的建設,必須與保密設施的建設同步進行,系統集成方案和信息保密方案不可混淆,應從整體考慮,實行物理隔離。
2.3 根據公安部及國家保密局對網絡系統安全問題的有關政策和法規,1996年11月原電力部752號文“電力工業中國家秘密及具體范圍的規定”明確了電力工業中涉及的國家秘密和重要企業秘密,均必須參照國家有關保密方面的規定。電力生產事關國計民生,電力系統的安全和保密都很重要,電力自動化系統要求可靠、安全、實時,而電力信息系統要求完整、保密。兩種業務應該隔離,特別是電力調度控制業務是電力系統的命脈,一定要與其他業務有效安全隔離。
3 電力調度自動化系統網絡安全隱患的防護辦法
電力系統安全防護的基本原則是:電力系統中,安全等級較高的系統不受安全等級較低系統的影響。電力監控系統的安全等級高于電力管理信息系統及辦公自動化系統,各電力監控系統必須具備可靠性高的自身安全防護設施,不得與安全等級低的系統直接相聯。針對以上幾點電力調度自動化系統網絡存在的問題,并根據電力系統安全防護的基本原則,我認為應從以下幾方面采取防護措施。
3.1 對自然災害采取的措施。對自然災害我們要以預測為主,盡量的減小破壞程度,這就對電力監控系統作出很大的要求。電力監控系統要通過專用局域網實現與本地其他電力監控系統的互聯,或通過電力調度數據網絡實現上下級異地電力監控系統的互聯。各電力監控系統與辦公自動化系統或其他信息系統之間以網絡方式互聯時,必須采用經國家有關部門認證的專用、可靠的安全隔離設施。電力監控系統要做到早發現,早報告,早預防,早治理。
3.2 硬件故障。對于硬件的故障,要求各有關單位應制定安全應急措施和故障恢復措施,對關鍵數據做好備份并妥善存放;及時升級防病毒軟件及安裝操作系統漏洞修補程序;加強對電子郵件的管理;在關鍵部位配備攻擊監測與告警設施,提高安全防護的主動性。在遭到黑客、病毒攻擊和其他人為破壞等情況后,必須及時采取安全應急措施,保護現場,盡快恢復系統運行,防止事故擴大,并立即向上級電力調度機構和本地信息安全主管部門報告。
【摘要】對智能終端面臨的安全威脅的具體形式、特點和發展趨勢進行了總結分析,重點對惡意應用帶來的安全威脅進行深入探析,并
>> 基于移動智能終端安全威脅與防護技術的研究 網絡信息安全的威脅與防范技術研究 智能終端安全威脅及應對措施 基于可信計算的移動智能終端安全技術研究 高校網絡安全與防護技術研究 Web應用其安全威脅與防護技術探討 基于AndroidWear的智能設備數據安全防護技術研究 網絡安全威脅態勢評估與分析技術研究 電網企業網絡信息安全的威脅與攻防新技術研究 移動智能終端Web應用平臺開發技術研究 對智能終端發展關鍵技術研究 電力企業辦公終端信息安全技術研究 移動終端中的通信安全技術研究 網站安全的威脅與防護 對煤礦供電設備的安全防護與電氣保護技術研究 計算機網絡安全與防護技術研究 論計算機網絡系統安全與防護技術研究 營銷服務手機應用平臺安全防護技術研究與應用 Web攻擊及安全防護技術研究 終端防護與云安全結合 常見問題解答 當前所在位置:l.
[5] Apple Inc. iOS Reference Library, Security Overview[EB/OL]. (2012-12-13). #//apple_ref/doc/uid/TP30000976-CH201-TPXREF101.
作者簡介
袁廣翔:高級工程師,現就職于工業和信息化部電信研究院,主要從事移動互聯網技術、應用和安全研究,以及標準化和測試相關工作。
潘娟:碩士畢業于北京郵電大學電信通信學院,現任工信部電信研究院泰爾終端實驗室信息安全部主任,主要從事移動互聯網安全、業務應用、終端機卡接口、移動支付等相關技術研究、標準編寫以及測試平臺搭建的工作。先后負責了YD/T 2407-2013、TD/T 2408-2013、YD/T 1700-2007、終端機卡接口系列行標、業務應用相關行標的編寫。發表文章三十余篇,申請專利多項。
【關鍵詞】 通訊網絡信息系統 安全威脅 安全防護技術
目前我國的3G通信技術和移動網絡通信技術逐漸成熟,4G通信技術馬上也要大力推廣應用,針對通訊網絡信息系統開放性高的特點,對如何做好安全防護技術,保證通訊網絡穩定運行的研究和探討具有非常重要的現實意義和實用價值。
一、通訊網絡信息系統的常見安全威脅
1、主動捕獲用戶身份信息。首先惡意行為發動者將自己偽裝,然后再以服務網絡的身份請求目標用戶進行身份驗證,目標用戶驗證后,身份信息就被獲取。2、干擾正常服務。依照干擾等級的不同,可以分為:(1)偽裝網絡實體:惡意行為發動者為了迷惑目標用戶,可以偽裝成合法的網絡實體,對于用戶的服務請求拒絕回答,如此反復,對正常通信服務起到干擾的非法目的。(2)物理等級干擾:物理等級干擾主要是針對通信系統的無線鏈路,惡意行為發動者通過物理手段以及相關的其它技術對通信系統的無線鏈路進行干擾,直接后果就是導致用戶的相關數據以及信令數據不能傳輸;(3)協議等級干擾:在通訊網絡系統中,有很多特定的網絡協議,惡意行為發動者利用某些技術手段干擾特定協議,導致特定協議流程失敗。3、非法訪問。正常訪問網絡需要有合法的用戶身份驗證,惡意行為發動者往往偽裝成“合法用戶”身份對網絡進行非法訪問,又或者潛入到用戶和網絡之間實施攻擊。4、攻擊數據完整性。網絡無線鏈路傳輸中業務數據、控制信息、信令、用戶信息等,必須保證完整性,惡意行為發動者利用特殊技術手段對其進行修改、插入、刪除等非法篡改。5、數據竊取。數據往往是網絡中最容易被竊取的信息,惡意行為發動者利用竊聽用戶業務、竊聽信令和控制數據、以網絡實體的身份竊取用戶信息、分析用戶流量等非法手段,在網絡中竊取用戶的信息以及業務數據來達到非法目的。
二、通訊網絡信息系統的安全防護技術
1、強化網絡漏洞的掃描和修補。我們通常用到的安全防護措施主要包括:殺毒軟件、防火墻、安全防護檢測等,正確防毒和殺毒的認識已經被大家廣泛接受。人們都忽略了安全漏洞的掃描和修補,認為安全漏洞的修補不是安全防護的重要手段,然而根據調查研究,大部分的網絡黑客入侵都是由于網絡系統的安全漏洞或者配置錯誤引起的,及時修復系統漏洞及補丁能夠有效降低網絡安全事件的發生。2、限制系統功能。網絡黑客一般都是檢測到網絡系統出現漏洞后,偽裝成合法的用戶身份入侵網絡,這就要求我們要采取相關措施,通過系統設置來限制系統可提供的服務功能和用戶對系統的操作權限,這樣就能大大減少黑客利用這些服務功能和權限攻擊系統的可能性。最為常見的安全設置就是限制用戶的訪問和數據加密技術。限制部分用戶對網絡資源的訪問權限和操作權限,同時也限制用戶控制臺的登錄,對登錄的用戶進行安全驗證。由于Internet的開放性,在網絡中傳輸的數據有被其他人攔截的風險,而對數據進行加密,設置特定的用戶才能解讀密文,將數據加密后再進行傳輸是保證數據安全的最有效的方法。3、入網測試。入網測試主要包括:對入網的網絡設備和相關安全產品進行綜合測評,對設備的安全等級、設備性能都要進行測試,測試合格后再投入使用。此舉不僅可以保證設備在投運時不攜帶未知的的安全隱患,保證被測試產品在入網后具有可控性、可用性以及可監督性。4、構建信息網絡的應急恢復系統。一直以來,通訊網絡安全都是奉行“安全第一,預防為主”的安全策略,凡事都要預防為主,這樣才能占據主動。通訊信息網絡的安全故障具有復雜性、多變性以及不定性,隨時都有可能發生惡意網絡入侵、破壞的安全事故,這就要求我們要成立專門管理通訊網絡信息系統的機構,有利于對網絡進行統一管理、合理分工、實時監控,并且做好通信網絡系統應急預案。如果發生危及通訊網絡信息安全的突發事件,則要及時啟動專項應急預案進行應急處置,及時有效地處理突發事件,將損失降低到最小。
三、結語
通信網絡安全維護也不是一朝一夕能夠完成的,是一個長遠持久的課題,我們要不斷的學習新的知識,適應網絡發展的節奏,有效結合多種安全技術,綜合運用,只有這樣才能保證通訊信息系統的安全。
參 考 文 獻
[1] 王福歡. 試論通訊網絡信息系統的維護技術. 《科學與財富》. 2012年5期
1網絡安全要素分析
1.1機密性
機密性是保障信息數據的安全,防止將信息數據泄露給未授權用戶的過程。網絡安全的機密性可以保證信息不被其他用戶所得到,即便得到也難以獲知其信息具體的內容,因此不能加以利用。一般情況下采用訪問控制來組織其他用戶獲取機密信息,并采取加密的方式阻止其他用戶獲取信息內容。
1.2完整性
所謂完整性是指網絡信息的不可更改性,要保障網絡信息的完整性不可隨意更改,如不正當操作、誤刪除文件等都有可能造成文件的丟失。完整性在一定程度上是保障網絡信息安全,要求保持信息的原樣,確保信息的正確生成、存儲以及傳輸。完整性要素與機密性不同,完整性強調的是信息不能受到其他原因的破壞。
1.3可用性
可用性設置信息以及相關資產在需要使用的時候,能夠立即獲得。如通信線路出現故障的時候,在一段時間內不能正常使用,會影響到正常的商業運作,這就屬于信息可用性遭到破壞。
1.4可控性
可控是指能夠對網絡上的信息以及信息系統實現實時監控,對信息的產生、傳播等行為方式實施安全監控,控制網絡資源的使用。
1.5可審查性對已出現安全問題能夠提供可供調查的依據或手段,確保網絡系統發生的行為都能夠找到說明性記錄。
2P2DR網絡安全體系
面對網絡安全的嚴峻形勢,動態網絡安全理論模型在上個實際逐步發展起來,動態網絡安全理論模型在設計的過程中擺脫了傳統網絡安全體系設計過于簡單的加密、認證技術。動態網絡安全管理模型以承認漏洞、加強防護、實時檢測為原則,為計算機網絡安全系統的設計帶來了新的思路。其中最典型的就屬于P2DR模型。P2DR模型是最具代表性的動態安全模型的雛形。P2DR安全模型主要包含了四大部分。安全策略、安全防護、安全檢測、安全響應。四者關系如下圖1所示。如果在安全響應之后,加入安全機制,即可升級為P2DR2安全模型。兩者模型的實質是一致的。P2DR模型是在安全策略的指導下,綜合運用其它安全系統的同時,通過聯合檢測工具來分析和實時檢測系統的安全狀態,然后通過檢測的安全系數將系統調整到“風險系數”最低的安全狀態。P2DR模型中的四大模塊組成了一個完整的動態安全循環,實時排除安全因素,保障系統的安全,模型中的安全策略在整個系統運行中處于中心地位。安全防護所指的物力防護安全及應用防范安全的集合,其中涵蓋諸多安全防護子系統,保證系統的保密性及完整性,可以說安全防護是在傳統防護上的升級改造。安全監測是在舊有安全監測措施的基礎上,增和了報警系統、身份鑒別系統、檢查監控等諸多安全監察措施,從監視、分析、審計等方面及時對破壞信息網絡的行為進行預警,是安全防護從靜態防護升級為動態防護的基礎。安全響應是基于前三個流程最初的最終的安全響應,對出現威脅和安全事件及時有效的進行處理,包括了應急系統、實時報警切換系統等,在遭遇到緊急攻擊事件的時候采取措施,如追反擊攻擊源、保護性關閉服務等。
3狀態轉移技術在安全管理中聯動機制的應用分析
P2DR網絡安全模型所構建的網絡安全管理平臺,最大的優勢就是將傳統靜態防御發展到了動態防御。而P2DR網絡安全模型實現動態防御最為關鍵的技術就是實現聯動機制。聯動控制模塊依托網絡安全策略庫,能夠根據具體事件情況形成推理機制,對安全系統中各安全設備進行影響,進行控制并提供必要的支持。使系統內各安全設備能夠根據當前系統的安全系數和所受到的威脅進行動態響應,對系統自身無法進行處理的事件生成報告,提醒管理人員注意問題,必要時進行人工干預,更改相應措施,采取新的安全策略。如當系統出現非法入侵的時候,能夠根據安全策略生成響應措施,以自動或手動方式來改變防火墻的控制策略。網絡安全管理平臺所管理的安全設備之間是狀態之間的轉移行為,如當出現入侵情況時,網絡狀態就會自動切換到檢測狀態,檢測出入侵事件后,根據預先設置的安全策略再由檢測狀態轉移到防護狀態。狀態抓你技術應用后對網絡狀態進行抽象畫描述,可以從不同的層面實現各安全設備之間的聯動。安全管理平臺在實現設備聯動時只需要針對檢測設備開發出檢測狀態集,然后系統安全策略控制中小就會管理狀態集之間的轉移變遷。而且在同一狀態集內可以實現狀態轉移,在這樣的情況下就能夠在原有安全管理平臺上實現功能基礎的二次開發機會。在該機制下,通過安裝新的響應設備,系統則只需要開發一套針對該設備的響應集在舊有的狀態集當中,現有的安全設備可以通過安全策略中心將檢測到的狀態防護與新的響應集連接起來,實現新舊設備之間的聯動。從中可以看出,設備之間的聯動就變成了N對1的情況,這是狀態轉移技術應用于安全管理平臺最為重要的改進。
4結束語
伴隨著網絡規模不斷擴大,層出不窮的安全問題威脅網絡安全,很多機構通過購置網絡安全工具來保護網絡,但是從整體上來看,都存在不同的局限性,面對當前的動態系統、動態環境,急需要通過動態的安全模型和技術來進行改善。本文分析了網絡安全的要素,并介紹和探討具有代表性的動態網絡安全體系P2DR網絡安全模型,最后就狀態轉移技術應用到動態網絡安全管理平臺中進行了分析探究,對改善現有網絡安全管理現狀效果顯著。
參考文獻
[1]馬彥武,董淑福,韓仲祥.一種網絡安全聯動防御模型的設計與實現[J].火力與指揮控制.2011.
[2]劉彩梅.防火墻技術在計算機網絡安全管理中的應用[J].計算機光盤軟件與應用.2013.
[3]韋勇,連一峰.基于日志審計與性能修正算法的網絡安全態勢評估模型[J].計算機學報.2009.
關鍵詞:計算機網絡管理;安全性;要點構架
計算機是21世紀的重大發明,隨著信息技術、網絡技術、通信技術和計算機技術的發展,推動了人類社會的信息化發展進程,并且成為了當代居民使用的重要工具。但是基于計算機網絡的開放性,其在使用中存在的一定的安全隱患,如果不進行有效管理,會導致使用者遭受巨大損失。因此,針對計算機網絡管理的安全性要點構架分析進行探究,對確保使用安全具有現實意義。
1當前計算機網絡中存在的安全隱患
1.1缺乏安全意識
隨著計算機技術的蓬勃發展,其已經在諸多領域實現了廣泛應用,但是一些使用者沒有經過系統性培訓,在操作中經常出現各種漏洞以及操作失誤,進而導致文件資源丟失或者破壞,在使用中也沒有采取合理的安全防護措施,對計算機網絡使用安全埋下隱患。
1.2盜取用戶信息
當前,一些網站或者軟件非法制造各種虛假信息,并且強制安裝一些帶有病毒的軟件,進而盜取用戶信息,包括機密文件、銀行卡信息以及密碼,不擾亂了正常社會秩序,同時也為使用者造成困擾。
1.3木馬病毒以及黑客
隨著信息技術和網絡技術的蓬勃發展,人類社會已經邁入到信息化時代,計算機網絡技術的重要性和作用性日益凸顯,在此背景下,一些不法分子利用木馬以及病毒等方式入侵使用者計算機,進而獲得經濟利益。同時,一些黑客的攻擊手段也不斷升級,對個人以及企業的計算機采取非法攻擊,獲取企業資料或者篡改數據等,對使用者的切身利益造成巨大危害。
2計算機網絡管理安全性要點構架
2.1提升安全防護意識
在我國社會發展新形勢下,計算機已經成為人們日常辦公、生活以及學習的重要工具,但是普遍使用者都缺乏安全意識,為不法分子提供了可乘之機,因此,需要在全社會加強計算機網絡安全宣傳,提升使用者的安全防護意識。首先,鼓勵使用者安裝正版的操作系統,避免由于系統漏洞而遭受黑客或者木馬攻擊,并且規范使用者的操作行為,防止由于操作失誤而導致文件損壞或者丟失;其次,在信息時代下,計算機病毒已經屬于一種社會常見現象,病毒的類型呈現多元化,為使用者安全防護增添了難度,因此,要樹立使用者的病毒防護意識,安裝以及定期升級殺毒軟件,發揮軟件的防御作用,避免計算機遭受病毒侵害;最后,將計算機網絡安全教育作為公民教育的關鍵組成部分,積極普及和宣傳相關法律,樹立廣大網民的法律意識,對計算機進行正當使用,嚴禁通過非法手段獲取經濟利益。
2.2科學控制網絡訪問
對網絡訪問進行科學控制是提升計算機網絡使用安全的重要途徑和關鍵舉措,使用者要采取有效措施加強網絡訪問控制,進而保證使用安全。首先,合理應用相關技術,當前較為常見的技術為權限設置,通過對用戶使用權限進行科學設置,能夠保證計算機使用的合法性和有效性,防止不具備權限的人非法訪問;其次,防火墻技術,其屬于計算機網絡安全管理的重要技術,已經在各個領域實現了廣泛應用,其可以有效杜絕外部非法訪問,在系統中構筑一道堅固的防御體系,隨著我國信息技術的蓬勃發展,防火墻技術已經日趨成熟,可以保證計算機系統的安全以及穩定運行。
2.3應用密碼技術
當前,密碼技術已經在計算機網絡安全管理中獲得廣泛應用,并且具有顯著的應用效果,當前較為常見的密碼技術為加密技術,該技術具有較強的適應性和安全性,在數據信息傳輸和保存過程中應用加密技術,能夠規范用戶的使用權限,文件即使被盜用也無法使用,需要使用指定的解密方式才能使用。加密技術主要分為非對稱加密技術和對稱加密技術,第一,非對稱加密技術,其通過不同密碼形式的方式呈現,分為私有密匙和公開密匙,數據信息在傳輸過程中利用公開密匙加密,使用者想要打開文件,也需要使用特定的私有密匙;第二,對稱加密技術,該技術主要是指數據信息的解密和加密密碼相同,這一技術操作較為簡單,對計算機設備并無特殊要求,傳輸者和使用者在掌握密碼后就可以完成文件的傳輸和使用。
2.4物理安全防護措施
想要確實計算機網絡使用安全,使用者還要靈活應用各種物理安全防護措施,進而起到良好的防護效果。首先,線路故障是導致計算機網絡出現安全隱患的重要硬件,在使用過程中,需要做好線路的防漏點、防水以及防潮措施,避免由于線路故障而導致網絡中斷,為使用者增添不便,同時,還要對計算機進行科學維護,保證其硬件設施處于正常工作狀態下;其次,針對常見計算機網絡故障,使用者需要提前制定應急預案,如果發生故障可以及時應對,避免遭受更大損失;最后,對于重要的資料和文件,需要提前做好備份工作,進而預防文件損壞或者丟失。
1 當前計算機網絡信息存在的安全問題
1.1 計算機病毒
計算機病毒一般都隱藏在計算機的執行程序、操作數據和文檔文件中,不易被發現。計算機病毒是常見的計算機網絡信息故障,它通過控制電腦程序,阻礙計算機的正常運行和操作,病毒也是危害性較大的一種網絡信息故障。當然,病毒不會憑空產生,它是依賴于數據包的傳輸、信息的復制以及程序的運行等方式進行傳播,所以,病毒產生一定會依靠移動硬盤、U盤、網絡下載軟件等載體傳播至電腦。
1.2 網絡系統脆弱
隨著計算機網絡技術的不斷發展和廣泛普及,計算機在家庭、學習、公司已經普及開來,使得計算機網絡信息變得異常龐大和分散。另外,為了方便計算機用戶使用,計算機網絡信息都是公開的,提倡資源人人分享和共同利用,大部分計算機網絡只需要簡單認證即可使用。這是目前計算機網絡系統的通性,這種發展狀況雖然給廣大計算機網絡用戶提供了方便和足夠的資源,但是無法確保用戶信息的安全,因為其信息的公開性和用戶的分散性給網絡黑客提供了一定的便利,對網絡安全環境和用戶隱私造成了很大的隱患。
1.3 木馬程序的惡意攻擊
木馬程序是在計算機運行程序的漏洞上乘虛而入,然后侵取文件的程序,導致該程序文件失效,程序無法使用。木馬程序具有隱藏性、自發性,而且木馬程序的入侵操作簡單,一些不法分子很容易使用,給個人或者公司、銀行等造成巨大損失。雖然它不一定會直接影響電腦的運行和操作,但它能逐漸控制計算機。
1.4 網絡黑客的入侵
黑客的入侵分為主動人侵和被動攻擊2種,主動入侵是以各種不同的方式選擇性地破壞網絡信息的合理性和有效性,盜竊用戶的信息和數據,給網絡用戶造成損失。被動攻擊是指在不影響計算機網絡正常運行的情況下攔截信息或者竊取信息,控制用戶電腦,進而達到黑客的非法目的。目前,各種各樣的殺毒或者系統軟件都是良莠不齊,而且存在潛在的用戶使用量競爭。存在許多不兼容的問題,在運行過程中經常會出現一些漏洞和缺陷,網絡黑客們就利用這些漏洞伺機而入,從而破壞和修改信息網絡的正常使用,導致系統癱瘓和數據丟失。網絡黑客的入侵不僅給用戶造成相當大的損失,也會給國家帶來經濟損失和政治矛盾。
1.5 自然災害造成的網絡信息安全問題
這一類網絡信息安全問題無法控制和防范,由于自然天氣原因或者任務因素造成自然災害的發生,導致計算機受損或者是網絡信號受損,對網絡信息造成無法傳輸和存儲等問題。例如,地震、雨雪等原因對網線、光纖的損壞,計算機網絡信息無法傳輸,雷電、雨水、火災等對計算機本身造成損壞,也使得計算機網絡信息遭遇安全問題。
2 計算機網絡信息安全防護無法取得較大的效果的原因
現代計算機專家都意識到了_上述問題的存在和對計算機網絡信息造成的巨大影響,給用戶帶來了非常不好的互聯網體驗。他們也確實采取了一系列措施來解決這些問題,研發了各種各樣的殺毒軟件、安全程序。但這些都無法解決根本問題,主要是因為計算機網絡信息安全防護存在以下問題。
2.1 硬件保障無法實現
對于廣大計算機用戶來說,要做好計算機網絡信息安全保護措施,計算機硬件設施是網絡信息保障的基礎,只有擁有良好的硬件設備,才能夠對網絡信息安全進行高效防護。計算機的硬件設備主要包括系統服務器、存儲硬件設備以及其他相關網絡設備等。目前,廣大用戶都喜歡小便宜,選用廉價的計算機硬件設備和網絡通訊設備,或者是計算機硬件設備制造者為了謀取利潤,選用劣質設備進行組裝,進而導致部分計算機硬件設備存在運行隱患,無法為計算機網絡信息安全防護提供良好的防護環境和堅實后盾。
2.2 計算機軟件問題
計算機軟件的高端智能是網絡信息安全保護的核心區域。目前,一些計算機軟件設計不合理,更新不及時,出現漏洞,給黑客和病毒帶來可乘之機,破壞計算機網絡的信息安全。另一方面,用戶在使用安全防護軟件的過程中不注重安全問題,比如用戶隨意開放安全軟件的限制功能,導致計算機中植入_些惡性病毒和間諜,對計算機網絡信息的安全性造成影響。
3 計算機網絡信息的有效防護
現階段,我國的計算機網絡系統軟件、系統數據的維護以及硬件的建設都融入了信息安全技術、計算機科學技術和密碼技術等方面的研究,多種技術的結合大大降低了計算機網絡信息被漏掉或篡改的幾率,但還存在一些影響網絡系統正常運行的威脅因素。介于這種情況,我國構建了專門的計算機網絡信息防護體系,為了保障計算機網絡信息安全保護系統的完善性,在體系中設置了計算機檢測環節、計算機響應環節以及網絡安全評估環節。國家科技建設和政治支持是計算機網絡信息防護高效的最有力保障,但是防護的關鍵在計算機網絡用戶者和網絡開發者身上。他們是計算機網絡信息的制造者和使用者,只有他們意識到計算機網絡信息防護的重要性,并采取有力的措施和行動,計算機網絡信息的安全才會有保障,計算機網絡信息安全的大環境才能有所好轉。作為計算機使用者和開發者應當做到以下幾點。
3.1 加強計算機網絡的管理和維護
首先,廣大計算機用戶應該對計算機網絡信息安全持有良好的積極態度,并參與進來,對計算機網絡安全環境引起足夠的重視,用戶在上網交流和沖浪時,要對自身所處的網絡環境的安全性進行判斷,如果安全性不高,要慎重選擇,以避免遭受病毒和黑客侵入和攻擊,對自身財產造成損失。其次,用戶應不間斷地對所用軟件和程序進行安全監控和殺毒處理,并及時更新,加強對重要信息數據的保護,避免信息數據丟失和被破壞。也要加強自己上網的各種賬號的安全:第一,設置的系統登錄賬號的密碼要盡量復雜;第二,盡量不要設置相同或相似的賬號,選取數字、字母、特殊符號相結合的密碼方式進行設置,此外要定期更換,密碼長度盡量要長。
3.2 入侵檢測和網絡監控技術
目前,計算機入侵檢測和網絡監控技術發展火熱而且已經成型,具備良好的計算機網絡信息安全防護功能,作為計算機網絡的體驗者應該與時俱進,引進這種技術,為自己的計算機提供高質量的保障技術。入侵檢測技術采用的方法是統計分析法和簽名分析法,統計分析法的具體方法是以統計學為理論基礎,通過對電腦某一項操作進行判斷,與標準操作進行對比甄別。簽名分析法是對己掌握的系統弱點進行攻擊的行為進行檢測和預報。這種高科技的計算機網絡信息安全防護技術很大地改善了計算機網絡安全環境,尤其是對廣大計算機使用者提供了巨大的防護功能。
3.3 加強硬件設備和軟件管理
上文中提到硬件設備的先進是計算機網絡信息安全防護的基礎,要想計算機網絡安全信息得到安全的保障,用戶就必須加強對計算機硬件的管理,及時更新存在問題的硬件設備,確保計算機系統運行的穩定性。其次,加強對存儲信息數據的硬盤的管理以及信息存儲管理,防止病毒和黑客的入侵帶來不必要的麻煩。在軟件管理方面,選擇合理的計算機網絡信息安全系統軟件,并定期更新、殺毒,確保安全防護系統軟件能夠滿足計算機網絡信息安全防護需求。同時,使用者要對安全防護軟件有足夠的了解,能夠正確使用安全防護軟件,不要開放安全防護軟件的限制和保護功能,并適時對軟件漏洞進行檢查和監測。
3.4 防范木馬程序
木馬程序一般是由黑客人為攻擊產生的,—旦植入用戶的計算機,會竊取計算機的相關數據和信息,造成巨大的損失。防范木馬程序應該做到3點:一是做好預防和警戒措施,將下載的文件暫時放到自己的新建文件夾里,利用用殺毒軟件來檢測是否規范無木馬程序,檢測合格后再存入指定文檔里。二是刪除不明確的運行項目,在“開始”一“程序”一“啟動”或“開始”一“程序”一“Startup”選項里查看核實是否存在不明的運行項目,如果存在,刪除即可。三是刪除可疑程序,打開注冊表進行刪除,一般刪除以“RUN”為前綴的注冊表即可。
3.5 建立嚴格的局域網絡管理制度
健全的局域網絡安全管理制度是保證計算機網絡安全的核心保障,隨著我國局域網絡的不斷發展和完善,相關部門需要制定嚴格的計算機網絡安全管理制度。要想每一位計算機網絡用戶都能夠享受到網絡信息的安全保障,就必須要求他們嚴格遵守局域網安全管理制度。用戶在進行內外網切換時切勿將有病毒的數據帶入內網中,在上網沖浪時要保障自身信息安全,不要瀏覽不健康的網站和信息,對陌生人發送來的文件切勿點擊。計算機網絡發展日新月異,隨著時間的發展,計算機網絡技術不斷進步與改善,一成不變的局域網絡管理制度不會適應互聯網的飛速發展,面對制度的空隙和缺漏,不法分子就能投機取巧。所以,相關部門不僅要建立健全的局域網絡安全管理制度,還要與時俱進,根據互聯網的發展適時對局域網絡安全管理制度進行改進和完善,使網絡黑客無機可入。
4 結語
計算機網絡已經成為公眾生活的重要組成部分,計算機網絡技術發展速度迅猛,越來越能滿足人們對其的極大需求。隨著大家對計算機信息系統生產信息的需求和依賴性逐步增強,其中存在的安全隱患也逐漸增大,用戶的體驗感也不會一如既往地順利。在飛速發展的同時,計算機網絡也出現了許許多多的問題。因此,計算機網絡信息安全顯得尤為重要。計算機網絡的安全問題要想得到很好解決,并不能完全依靠某一種單純的方法或者是某一個人,而是需要通過建立完善的防御機制和采用綜合的防護策略來保障計算機網絡信息安全。借助各種先進的發展技術和不斷改善的防護策略,才能構建一個相對比較完善、安全和穩定的防護體系。
【關鍵詞】計算機;生活方式;人類文明;安全防護
近年來,我國科技領域不斷進步,計算機網絡技術也隨之發展。我們已經進入信息時代,無論是工作、學習還是生活,都離不開計算機網絡信息技術,但是,在計算機普及和推廣使用的過程中,網絡信息安全問題也對計算機的使用產生了消極影響,一些不法分子利用網絡技術對用戶的計算機系統進行破壞,并從中盜取重要的數據、信息和資料,給用戶造成不可估量的損失,特別是近年來利用盜取來的信息進行詐騙的案例時有發生。作為一名高中學生,在使用計算機的過程中,我也深感網絡信息安全的重要性。文本從以下兩方面對這一課題展開探究。
1計算機網絡信息管理及安全防護中的問題
1.1木馬程序或病毒對信息管理與安全進行破壞
無論是電腦病毒,還是木馬入侵,在我國的計算機系統的安全問題中都是較為常見的,對網絡管理與安全構成威脅。兩者對計算機的破壞,是將具有破壞性的一些數據、功能,混在正常的計算機程序中,通過用戶安裝、使用正常的程序,將病毒和木馬帶入計算機,進而對計算機網絡進行破壞,導致計算機中的數據和信息受到損害或丟失,如破壞用戶存儲在計算機中的文件、資料等,甚至還會導致整個計算機系統造成癱瘓,影響用戶對計算機的正常使用。
1.2黑客攻擊
目前,黑客入侵,仍然是計算機網絡信息安全管理面臨的難點問題,黑客入侵,對計算機用戶的影響巨大。一般情況下,可以將黑客攻擊分為兩類:(1)網絡偵查,此種方式是隱性的,不易被用戶察覺,在入侵的過程中,不對用戶的計算機系統造成嚴重的損害,不會影響用戶的正常使用,在不知不覺中盜取計算機中的數據和信息,用戶難以及時發現;(2)網絡攻擊,與網絡偵查相比,網絡攻擊對計算機的破壞是顯性的,黑客通過多種方式方法,對計算機中的數據和資料進行破壞。除此以外,黑客的入侵,還會通過對服務攻擊進行拒絕的方式進行,即黑客利用網絡技術,對用戶的計算機進行攻擊,導致計算機的某些功能和程序無法應用,甚至會對計算機的主機造成嚴重破壞,使其無法正常運轉,給計算機用戶造成更大的損失。1.3網絡漏洞或配置不科學計算機系統自身就存在研發設計問題,帶有網絡漏洞,以及配置不協調等諸多問題,這些計算機系統的自帶問題,也為網絡信息安全問題的出現提供了溫床。受到計算機設計技術、以及生產方面問題的影響,導致許多文件服務器配置并不科學。同時,在網卡的選擇上也存在問題,進一步影響了計算機的運行效率。若計算機運行速度慢,則計算機系統的穩定性也必然較差,網絡系統的質量也難以抵御外來病毒的入侵。
2計算機網絡信息管理及安全防御有效對策
2.1安裝網絡安全防護軟件
首先,我們應該認識到,在計算機技術的發展的同時,整個社會的信息化水平也在不斷提高,木馬和病毒的出現不可避免。其次,應該明確木馬和病毒兩者的傳播方式,是通過用戶的信息傳達,以及復制等行為實現傳播的,同時,移動硬盤、手機等設備也成為其傳播的載體。因此,要集中精力,積極開發網絡安全防御軟件。在當前的網絡安全防護軟件中,一般都會設有防火墻功能、以及病毒檢測、查殺功能等,這些功能的作用是為用戶在安裝軟件、訪問網頁時,對帶有病毒的軟件和網址進行檢查,并對用戶發出警示,同時,病毒庫在不斷更新,對整個計算機網絡進行全面系統的檢測,及時發現計算機網絡中存在的病毒和木馬,并在第一時間對其機械能處理。新時代的計算機用戶,在使用計算機的過程中,要為計算機安裝安全防護軟件,最大程度上,保證計算機不受木馬和病毒的侵害。
2.2應對黑客攻擊
黑客攻擊已經嚴重影響到用戶對計算機的使用,因此,做好對黑客攻擊的預防工作尤為迫切。在應用計算機的過程中,用戶要具有安全防患意識,對存儲在計算機內的重要信息、數據和資料進行備份,防止在計算機遭遇黑客攻擊后,造成數據信息的損壞和丟失。與此同時,對于用戶存儲在計算機中的重要文件和重要信息,要加大保護力度,提前做好保護措施。具體而言,可以為其設置安全密碼,研發不易被破解的密碼保護程序。進一步加大黑客攻擊對計算機實施破壞的難度,為追蹤黑客行跡以及消除黑客搶奪與有利時機,爭取更多時間。
2.3對計算機有關配置及操作系統進行升級
針對計算機系統自身存在漏洞,以及配置不合理的問題,必須對計算機系統進行升級,對計算機相關配置進行更新。這兩部分的工作,都需要計算機網絡具有適應性、繁雜性,因此,計算機系統的研發設計人員,要不斷的對網絡技術進行改進,及時升級計算機系統,并不斷完善計算機的相關配置。特別要做好網絡服務器,以及網絡基礎設施兩方面的工作,并對計算機系統補丁及時的升級和更新。如此,方可有效預防計算機黑客利用計算機系統自身的不足,對計算機網絡進行不法侵害,實現計算機網絡信息的管理安全。
2.4落實實名制
當前黑客肆無忌憚的攻擊計算機網絡,其重要原因就是人們無法找到這些違法黑客,因此,想要提高計算機網絡信息安全,可以實施推廣網絡實名制,如此,我們可以準確的找到這些隱藏在屏幕背后的黑客一族,對其依法進行仲裁,維護網絡管理和安全。實現這一目標,就需要在更深層次,研發身份驗證技術,通過身份驗證,可以確定實施黑客攻擊的系統用戶。
3總結
綜上所述,本文首先分析了當前計算機網絡信息管理中存在的問題,然后提出了維護計算機網絡信息安全的有效措施。木馬和病毒的入侵,影響了計算機用戶的工作和學習,甚至對計算機用戶造成更嚴重損失。計算機網絡信息管理工作,以及安全防護工作刻不容緩。希望相關工作人員對本篇文章提出意見和建議,我將虛心接受,不斷完善自己的論述,為計算機網絡信息安全管理作出更大貢獻。
參考文獻
[1]劉威.淺談計算機網絡信息管理及其安全防護[J].科技創新與應用,2017(01):110.
計算機網絡安全的現狀據美國聯邦調查局統計,美國每年因網絡安全造成的損失高達75億美元。據美國金融時報報道,世界上平均每20分鐘就發生一次人侵國際互聯網絡的計算機安全事件,1/3的防火墻被突破。美國聯邦調査局計算機犯罪組負責人吉姆塞特爾稱:給我精選10名“黑客”,組成小組,90天內,我將使美國趴下。一位計算機專家毫不夸張地說:如果給我一臺普通計算機、一條電話線和一個調節器,就可以令某個地區的網絡運行失常。
據了解,從1997年底至今,我國的政府部門、證券公司、銀行、ISP、1CP等機構的計算機網絡相繼遭到多次攻擊。公安機關受理各類信息網絡違法犯罪案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網絡基礎設施和網絡應當攻擊者B對圖像Iwl2進行解釋攻擊時,有兩種情況:偽造原始圖像Ib=Iwl2-Wb,偽造水印Wb進行攻擊。當發生版權糾紛,A向仲裁者J提供lwl和,攻擊者提供lb和水印Wb,仲裁者得出如下結論:①對A來說,用Iwl和Iwl2檢測U得知其上嵌有W&,對U檢測得嵌有Wla(無需原圖檢測),對lb檢測,其上嵌有水印Wh-Wb和②對B來說,用lb和Iwl2檢測Iwl2得知其上嵌有Wb,對lb檢測用依賴于外國的產品和技術,在電子政務、電子商務和各行業的計算機網絡應用尚處于發展階段,以上這些領域的大型計算機網絡工程都由國內一些較大的系統集成商負責。有些集成商仍缺乏足夠專業的安全支撐技術力量,間時一些負責M絡安全的工程技術人員對許多潛在風險認識不足,缺乏必要的技術設施和相關處理經驗,面對形勢日益嚴峻的現狀,很多時候都顯得有些力不從心。也正是由于受技術條件的限制,很多人對網絡安全的意識僅停留在如何防范病毒階段,對網絡安全缺乏整體意識。可見,加強計算機網絡安全意識和相關的技術是非常必要的。
網絡安全隱患網絡具有互連性,導致網絡分布的廣域性、網絡體系結構的開放性、信息資源的共享性和通信信道的通用性,使得計算機網絡存在很多的隱患。它們是網絡安全的致命之處。這些隱患有人為的因素,也有其他的因素,有有意的,也有無意的。有來自網絡內部的,也有來自外部的影響。這些隱患對網絡安全產生直接或間接威脅。
計算機網絡安全隱患主要來自Web服務器的漏洞,其次是計算機病毒傳播,究其原因主要表現在以下方面:得kwwb-Wh和偸Wwla,蚣iwliin上嵌Wwla,沒¥Wb,所以lb是偽造的,B不是原作者,解釋攻擊失敗。攻擊者B偽造原始圖像Ib=IwI2-Whl,偽造水印Wbl,再對lb偽造魯棒性水印進行攻擊。當發生版權糾紛,A向仲裁者J提供。和雙18,攻擊者提供lb和水印,仲裁者得出如下結論:①對A來說,用Iwl和Iwl2檢測Iwl2得知其上嵌有W&,對Iwl檢測得嵌有Wia(無需原圖檢測),對lb檢測,其上嵌有水印和Wa;②對B來說,用lb和Iwl2檢測Iwl2得知其上嵌有WIb,對lb檢測得嵌有和嵌有Wla,對IW|檢測上嵌有Wla,沒有,所以lb是偽造的,B不是原作者,解釋攻擊失敗。
從上述分析可見,雙水印技術能有效地抵抗解釋攻擊。因為當攻擊者B多次偽造圖像,并多次插人偽造水印,勢必造成圖像在一定程度上的失真,令圖像數據不能被非法利用。通過研究攻擊方法可以找出現有水印方案中的大量不足之處。應該指出的是,對于一個水印系統,核心問題是如何檢測水印而不是如何嵌入水印。同時,攻擊往往形式多樣,并不局限于對水印算法本身,常常一些簡單的攻擊就可以使水印系統失敗。了解這些攻擊以及可能還會有的新的攻擊方法將幫助我們設計出更好的水印方案。
Web服務器存在的主要漏洞包括:物理路徑泄露、CGI源代碼泄露、S錄遍歷、執行任意命令、緩沖IX:溢出、拒絕服務、條件競爭和跨站腳本執行漏洞等,網絡病毒傳播:隨著計算機技術的不斷發展,病毒也變得越來越復雜和高級。新一代的計算機病毒充分利用某些常用操作系統與應用軟件的低防護性的弱點不斷肆虐,通過網絡傳播,將含病毒文件附加在郵件中的情況不斷增多,使得病毒的擴散速度也急劇提高,受感染的范圍越來越廣,這種病毒,我們稱為網絡病毒。原先常見的計算機病毒的破壞性無非就是格式化硬盤,刪除系統與用戶文件、破壞數據庫等等,而傳播途徑也無非是通過遭病毒感染的軟件的互相拷貝,攜帶病毒的盜版光盤的使用等,如感染磁盤系統區的引導型病毒和感染可執行文件的文件型病毒,而網絡病毒除了具有普通病毒的這些特性外,還具有遠端竊取用戶數據、遠端控制對方計算機等破壞特性,比如特洛伊木馬病毒和消耗網絡計算機的運行資源,拖垮網絡服務器的蠕蟲病毒。
網絡安全的防御面對各種網絡威脅,不能坐以待斃,要采取積極的應對措施,措施得當,損失就能減到最小。計算機網絡安全技術分析計算機網絡安全從技術上來說,主要由防病毒、防火墻、人侵檢測、網絡監控、信息審計、通信加密等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、人侵檢測技術、防病毒技術等,以下就此幾項技術分別進行分析。
防火墻。防火墻的主要功能。首先防火墻是網絡安全的屏障。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。
數據加密技術。數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段前,數據加密主要使用的有對稱密鑰加密和非對稱密鑰(也稱公幵密鑰)加密兩種技術數據加密的功能:首先通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。其次廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止電子欺騙,這對信息處理系統的安全起到極其重要的作用。
入侵檢測技術。入侵檢測是指“通過對行為、安全日志、審計數據或其它網絡上可以獲得的信息進行操作,檢測到對系統的闖人或闖人的企圖”。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻志預測和起訴支持。人侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。
人侵檢測技術的功能主要體現在以下方面:監視分析用戶及系統活動,查找非法用戶和合法用戶的越權操作。檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞;識別反映已知進攻的活動模式并向相關人士報警;對異常行為模式的統計分析;能夠實時地對檢測到的入侵行為進行反應;評估重要系統和數據文件的完整性;可以發現新的攻擊模式:,
防病毒技術。隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機網絡系統構成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上,即對本地和本丁作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒人侵網絡或者從網絡向其它資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。當然,網絡防病毒軟件本身必然需要增加額外的服務器系統資源消耗,此類軟件對網絡性能的影響還是較為明顯的,因此在使用過程中必須慎重選擇。
網絡安全的防護物理層的安全防護:在物理層上主要通過制定物理層面的管理規范和措施來提供安全解決方案。鏈路層的安全保護:主要是鏈路加密設備對數據加密保護。它對所有用戶數據一起加密,用戶數據通過通信線路送到另一節點后解密。網絡層的安全防護:網絡層的安全防護是面向IP包的,網絡層主要采用防火墻作為安全防護手段,實現初級的安全防護。在網絡層也可以根據一些安全協議實施加密保護。在網絡層也可實施相應的人侵檢測。傳輸層的安全防護:傳輸層處于通信子網和資源子網之間,起著承上啟下的作用。傳輸層也支持多種安全服務:①對等實體認證服務;②訪問控制服務;③數據保密服務;④數據完整;⑤數據源點認證服務。應用層的安全防護:原則上講所有安全服務均可在應用層提供。應用層可以實施強大的基于用戶的身份認證;也是實施數據加密、訪問控制的理想位置;還可加強數據的備份和恢復措施。應用層可以對資源的有效性進行控制,資源包括各種數據和服務。應用層的安全防護是面向用戶和應用程序的,因此可以實施細粒度的安全控制。
本文針對新疆電力營銷系統的現狀,給出了一種多層次的安全防護方案,對保障營銷系統網絡穩定運行,保護用戶信息安全,傳輸安全、存儲安全和有效安全管理方面給出了建設意見。
2新疆營銷網絡系統現狀
新疆電力營銷業務應用經過了多年的建設,目前大部分地區在業擴報裝、電費計算、客戶服務等方面的營銷信息化都基本達到實用化程度,在客戶服務層、業務處理層、管理監控層三個層次上實現了相應的基本功能。結合新疆電力公司的實際情況,主要分析了管理現狀和網絡現狀。
2.1管理現狀
根據公司總部提出的“集團化運作、集約化發展、精細化管理”的工作思路,從管理的需求上來說,數據越集中,管理的力度越細,越能夠達到精細化的管理的要求。但由于目前各地市公司的管理水平現狀、IT現狀、人員現狀等制約因素的限制,不可能使各地市公司的管理都能夠一步到位,尤其是邊遠地區。因此,營銷業務應用管理在基于現狀的基礎上逐步推進。根據對當前各地市公司的營銷管理現狀和管理目標需求的分析,管理現狀可分為如下三類:實時化、精細化管理;準實時、可控的管理;非實時、粗放式管理。目前大部分管理集中在第二類和第三類。
2.2網絡現狀
網絡建設水平將直接影響營銷業務應用的系統架構部署,目前新疆公司信息網已經形成,實現了公司總部到網省公司、網省公司本部到下屬地市公司的信息網絡互連互通,但是各地市公司在地市公司到下屬基層供電單位的之間的信息網絡建設情況差別較大,部分地市公司已經全部建成光纖網絡,并且有相應的備用通道,能夠滿足實時通信的要求,部分地市公司通過租用專線方式等實現連接,還有一些地市公司由于受地域條件的限制,尚存在一些信息網絡無法到達的地方,對大批量、實時的數據傳輸要求無法有效保證,通道的可靠性相對較差。
2.3需求分析
營銷業務系統通常部署在國家電網公司內部信息網絡的核心機房,為國家電網公司內部信息網絡和國家電網公司外部信息網絡的用戶提供相關業務支持。該網絡涉及業務工作和業務應用環境復雜,與外部/內部單位之間存在大量敏感數據交換,使用人員涵蓋國家電網公司內部人員,外部廠商人員,公網用戶等。因此,在網絡身份認證、數據存儲、網絡邊界防護與管理等層面上都有很高的安全需求。[2]
3關鍵技術和架構
3.1安全防護體系架構
營銷網絡系統安全防護體系的總體目標是保障營銷系統安全有序的運行,規范國家電網公司內部信息網員工和外部信息網用戶的行為,對違規行為進行報警和處理。營銷網絡系統安全防護體系由3個系統(3維度)接入終端安全、數據傳輸安全和應用系統安全三個方面內容,以及其多個子系統組成。
3.2接入終端安全
接入營銷網的智能終端形式多樣,包括PC終端、智能電表和移動售電終端等。面臨協議不統一,更新換代快,網絡攻擊日新月異,黑客利用安全漏洞的速度越來越快,形式越來越隱蔽等安全問題。傳統的基于特征碼被動防護的反病毒軟件遠遠不能滿足需求。需要加強終端的安全改造和監管,建立完善的認證、準入和監管機制,對違規行為及時報警、處理和備案,減小終端接入給系統帶來的安全隱患。
3.3數據傳輸安全
傳統的數據傳輸未采取加密和完整性校驗等保護措施,電力營銷數據涉及國家電網公司和用戶信息,安全等級較高,需要更有效的手段消除數據泄露、非法篡改信息等風險。市場上常見的安全網關、防火墻、漏洞檢測設備等,都具有數據加密傳輸的功能,能夠有效保證數據傳輸的安全性。但僅僅依靠安全設備來保證數據通道的安全也是不夠的。一旦設備被穿透,將可能造成營銷系統數據和用戶信息的泄露。除此之外,還需要采用更加安全可靠的協議和通信通道保證數據通信的安全。
3.4應用系統安全
目前營銷系統已經具有針對應用層的基于對象權限和用戶角色概念的認證和授權機制,但是這種機制還不能在網絡層及以下層對接入用戶進行細粒度的身份認證和訪問控制,營銷系統仍然面臨著安全風險。增強網絡層及以下層,比如接入層、鏈路層等的細粒度訪問控制,從而提高應用系統的安全性。
4安全建設
營銷系統安全建設涉及安全網絡安全、主機操作系統安全、數據庫安全、應用安全以及終端安全幾個層面的安全防護方案,用以解決營銷系統網絡安全目前存在的主要問題。
4.1終端安全加固
終端作為營銷系統使用操作的發起設備,其安全性直接關系到數據傳輸的安全,乃至內網應用系統的安全。終端不僅是創建和存放重要數據的源頭,而且是攻擊事件、數據泄密和病毒感染的源頭。這需要加強終端自身的安全防護策略的制定,定期檢測被攻擊的風險,對安全漏洞甚至病毒及時處理。對終端設備進行完善的身份認證和權限管理,限制和阻止非授權訪問、濫用、破壞行為。目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設備、應急指揮車等。由于不同終端采用的操作系統不同,安全防護要求和措施也不同,甚至需要根據不同的終端定制相應的安全模塊和安全策略,主要包括:針對不同終端(定制)的操作系統底層改造加固;終端接入前下載安裝可信任插件;采用兩種以上認證技術驗證用戶身份;嚴格按權限限制用戶的訪問;安裝安全通信模塊,保障加密通訊及連接;安裝監控系統,監控終端操作行為;安裝加密卡/認證卡,如USBKEY/PCMCIA/TF卡等。
4.2網絡環境安全
網絡環境安全防護是針對網絡的軟硬件環境、網絡內的信息傳輸情況以及網絡自身邊界的安全狀況進行安全防護。確保軟硬件設備整體在營銷網絡系統中安全有效工作。
4.2.1網絡設備安全
網絡設備安全包括國家電網公司信息內、外網營銷管理系統域中的網絡基礎設施的安全防護。主要防護措施包括,對網絡設備進行加固,及時安裝殺毒軟件和補丁,定期更新弱點掃描系統,并對掃描出的弱點及時進行處理。采用身份認證、IP、MAC地址控制外來設備的接入安全,采用較為安全的SSH、HTTPS等進行遠程管理。對網絡設備配置文件進行備份。對網絡設備安全事件進行定期或實時審計。采用硬件雙機、冗余備份等方式保證關鍵網絡及設備正常安全工作,保證營銷管理系統域中的關鍵網絡鏈路冗余。
4.2.2網絡傳輸安全
營銷系統數據經由網絡傳輸時可能會被截獲、篡改、刪除,因此應當建立安全的通信傳輸網絡以保證網絡信息的安全傳輸。在非邊遠地方建立專用的電力通信網絡方便營銷系統的用戶安全使用、在邊遠的沒有覆蓋電力局和供電營業所的地方,采用建立GPRS、GSM,3G專線或租用運營商ADSL、ISDN網絡專網專用的方式,保障電力通信安全。電力營銷技術系統與各個銀行網上銀行、郵政儲蓄網點、電費代繳機構進行合作繳費,極大方便電力客戶繳費。為了提高通道的安全性,形成了營銷系統信息內網、銀行郵政等儲蓄系統、internet公網、供電中心網絡的一個封閉環路,利用專網或VPN、加密隧道等技術提高數據傳輸的安全性和可靠性。在數據傳輸之前需要進行設備間的身份認證,在認證過程中網絡傳輸的口令信息禁止明文傳送,可通過哈希(HASH)單向運算、SSL加密、SecureShel(lSSH)加密、公鑰基礎設施(PublicKeyInfrastructure簡稱PKI)等方式實現。此外,為保證所傳輸數據的完整性需要對傳輸數據加密處理。系統可采用校驗碼等技術以檢測和管理數據、鑒別數據在傳輸過程中完整性是否受到破壞。在檢測到數據完整性被破壞時,采取有效的恢復措施。
4.2.3網絡邊界防護
網絡邊界防護主要基于根據不同安全等級網絡的要求劃分安全區域的安全防護思想。營銷系統安全域邊界,分為同一安全域內部各個子系統之間的內部邊界,和跨不同安全域之間的網絡外部邊界兩類。依據安全防護等級、邊界防護和深度防護標準,具有相同安全保護需求的網絡或系統,相互信任,具有相同的訪問和控制策略,安全等級相同,被劃分在同一安全域內[3],采用相同的安全防護措施。加強外部網絡邊界安全,可以采用部署堡壘機、入侵檢測、審計管理系統等硬件加強邊界防護,同時規范系統操作行為,分區域分級別加強系統保護,減少系統漏洞,提高系統內部的安全等級,從根本上提高系統的抗攻擊性。跨安全域傳輸的數據傳輸需要進行加密處理。實現數據加密,啟動系統的加密功能或增加相應模塊實現數據加密,也可采用第三方VPN等措施實現數據加密。
4.3主機安全
從增強主機安全的層面來增強營銷系統安全,采用虛擬專用網絡(VirtualPrivateNetwork簡稱VPN)等技術,在用戶網頁(WEB)瀏覽器和服務器之間進行安全數據通信,提高主機自身安全性,監管主機行,減小用戶錯誤操作對系統的影響。首先,掃描主機操作系統評估出配置錯誤項,按照系統廠商或安全組織提供的加固列表對操作系統進行安全加固,以達到相關系統安全標準。安裝第三方安全組件加強主機系統安全防護。采用主機防火墻系統、入侵檢測/防御系統(IDS/IPS)、監控軟件等。在服務器和客戶端上部署專用版或網絡版防病毒軟件系統或病毒防護系統等。此外,還需要制定用戶安全策略,系統用戶管理策略,定義用戶口令管理策略[4]。根據管理用戶角色分配用戶權限,限制管理員使用權限,實現不同管理用戶的權限分離。對資源訪問進行權限控制。依據安全策略對敏感信息資源設置敏感標記,制定訪問控制策略嚴格管理用戶對敏感信息資源的訪問和操作。
4.4數據庫安全
數據庫安全首要是數據存儲安全,包括敏感口令數據非明文存儲,對關鍵敏感業務數據加密存儲,本地數據備份與恢復,關鍵數據定期備份,備份介質場外存放和異地備份。當環境發生變更時,定期進行備份恢復測試,以保證所備份數據安全可靠。數據安全管理用于數據庫管理用戶的身份認證,制定用戶安全策略,數據庫系統用戶管理策略,口令管理的相關安全策略,用戶管理策略、用戶訪問控制策略,合理分配用戶權限。數據庫安全審計采用數據庫內部審計機制或第三方數據庫審計系統進行安全審計,并定期對審計結果進行分析處理。對較敏感的存儲過程加以管理,限制對敏感存儲過程的使用。及時更新數據庫程序補丁。經過安全測試后加載數據庫系統補丁,提升數據庫安全。數據庫安全控制、在數據庫安裝前,必須創建數據庫的管理員組,服務器進行訪問限制,制定監控方案的具體步驟。工具配置參數,實現同遠程數據庫之間的連接[5]。數據庫安全恢復,在數據庫導入時,和數據庫發生故障時,數據庫數據冷備份恢復和數據庫熱備份恢復。
4.5應用安全
應用安全是用戶對營銷系統應用的安全問題。包括應用系統安全和系統的用戶接口和數據接口的安全防護。
4.5.1應用系統安全防護
應用系統安全防護首先要對應用系統進行安全測評、安全加固,提供系統資源控制功能以保證業務正常運行。定期對應用程序軟件進行弱點掃描,掃描之前應更新掃描器特征代碼;弱點掃描應在非核心業務時段進行,并制定回退計劃。依據掃描結果,及時修復所發現的漏洞,確保系統安全運行。
4.5.2用戶接口安全防護
對于用戶訪問應用系統的用戶接口需采取必要的安全控制措施,包括對同一用戶采用兩種以上的鑒別技術鑒別用戶身份,如采用用戶名/口令、動態口令、物理識別設備、生物識別技術、數字證書身份鑒別技術等的組合使用。對于用戶認證登陸采用包括認證錯誤及超時鎖定、認證時間超出強制退出、認證情況記錄日志等安全控制措施。采用用戶名/口令認證時,應當對口令長度、復雜度、生存周期進行強制要求。同時,為保證用戶訪問重要業務數據過程的安全保密,用戶通過客戶端或WEB方式訪問應用系統重要數據應當考慮進行加密傳輸,如網上營業廳等通過Internet等外部公共網絡進行業務系統訪問必須采用SSL等方式對業務數據進行加密傳輸。杜絕經網絡傳輸的用戶名、口令等認證信息應當明文傳輸和用戶口令在應用系統中明文存儲。
4.5.3數據接口安全防護
數據接口的安全防護分為安全域內數據接口的安全防護和安全域間數據接口的安全防護。安全域內數據接口在同一安全域內部不同應用系統之間,需要通過網絡交換或共享數據而設置的數據接口;安全域間數據接口是跨不同安全域的不同應用系統間,需要交互或共享數據而設置的數據接口。
5安全管理
安全管理是安全建設的各項技術和措施得以實現不可缺少的保障,從制度和組織機構到安全運行、安全服務和應急安全管理,是一套標準化系統的流程規范,主要包括以下方面。
5.1安全組織機構
建立營銷業務應用安全防護的組織機構,并將安全防護的責任落實到人,安全防護組織機構可以由專職人員負責,也可由運維人員兼職。
5.2安全規章制度
建立安全規章制度,加強安全防護策略管理,軟件系統安全生命周期的管理,系統安全運維管理,安全審計與安全監控管理,以及口令管理、權限管理等。確保安全規章制度能夠有效落實執行。
5.3安全運行管理
在系統上線運行過程中,遵守國家電網公司的安全管理規定,嚴格遵守業務數據安全保密、網絡資源使用、辦公環境等的安全規定。首先,系統正式上線前應進行專門的系統安全防護測試,應確認軟件系統安全配置項目準確,以使得已經設計、開發的安全防護功能正常工作。在上線運行維護階段,應定期對系統運行情況進行全面審計,包括網絡審計、主機審計、數據庫審計,業務應用審計等。每次審計應記入審計報告,發現問題應進入問題處理流程。建立集中日志服務器對營銷交易安全域中網絡及安全設備日志進行集中收集存儲和管理。軟件升級改造可能會對原來的系統做出調整或更改,此時也應從需求、分析、設計、實施上線等的整個生命周期對運行執行新的安全管理。
5.4安全服務
安全服務的目的是保障系統建設過程中的各個階段的有效執行,問題、變更和偏差有效反饋,及時解決和糾正。從項目層面進行推進和監控系統建設的進展,確保項目建設質量和實現各項指標。從項目立項、調研、開發到實施、驗收、運維等各個不同階段,可以階段性開展不同的安全服務,包括安全管理、安全評審、安全運維、安全訪談、安全培訓、安全測試、安全認證等安全服務。
5.5安全評估
安全評估是對營銷系統潛在的風險進行評估(RiskAssessment),在風險尚未發生或產生嚴重后果之前對其造成后果的危險程度進行分析,制定相應的策略減少或杜絕風險的發生概率。營銷系統的安全評估主要是針對第三方使用人員,評估內容涵蓋,終端安全和接入網絡安全。根據國家電網公司安全等級標準,對核心業務系統接入網絡安全等級進行測評,并給出測評報告和定期加固改造辦法,如安裝終端加固軟件/硬件,安裝監控軟件、增加網絡安全設備、增加安全策略,包括禁止違規操作、禁止越權操作等。
5.6應急管理
為了營銷系統7×24小時安全運行,必須建立健全快速保障體系,在系統出現突發事件時,有效處理和解決問題,最大限度減小不良影響和損失,制定合理可行的應急預案,主要內容包括:明確目標或要求,設立具有專門的部門或工作小組對突發事件能夠及時反應和處理。加強規范的應急流程管理,明確應急處理的期限和責任人。對于一定安全等級的事件,要及時或上報。
6實施部署
營銷系統為多級部署系統。根據國家電網信息網絡分區域安全防護的指導思想原則,結合新疆多地市不同安全級別需求的實際情況,營銷系統網絡整體安全部署如圖2所示。在營銷系統部署中,對安全需求不同的地市子網劃分不同的安全域,網省管控平臺部署在網省信息內網,負責對所有安全防護措施的管控和策略的下發,它是不同安全級別地市子系統信息的管理控制中心,也是聯接總部展示平臺的橋梁,向國網總公司提交營銷系統安全運行的數據和報表等信息。
7結束語
