時間:2023-09-13 17:14:48
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇常用網絡安全標準,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】策略;安全;無線網絡
1.引言
無線網絡與有線網絡相比可以隨時通過無線信號接入到無線網中,更加的快捷方便,而且不會受到網線接頭的限制。客戶端如3G手機和筆記本電腦等設備發展越來越快,因此在無線網絡的使用上更加的廣泛。而在目前無線網絡發展越來越迅速的同時,網絡安全隱患一直是一個值得關注的話題。
2.無線網絡存在的安全問題
網絡通信被竊聽、無線網絡被盜用、無線AP遭遇控制、遭遇無線釣魚攻擊是安全問題的四個表現層面。
網絡通信被竊聽:當用戶進行網絡操作時,會竊取大量的網絡信息。網絡上所傳輸的數據大多都是以明文的操作方式進行的,所以用戶的網絡通信信息完全可以通過數據流模式、分析數據流、監聽和觀察的方式被不法分子竊取。
無線網絡被盜用:俗稱的“蹭網”就是盜用無線網絡現象。這種現象很嚴重的影響到了正常用戶的使用。一是黑客在進行黑客行為時盜用了無線網對網絡安全帶來危害,同樣會受到牽連的就是正常用戶;二是正常用戶因無線網被盜用就會加大網絡入侵和攻擊的可能性;三是上網服務費用按網絡流量收費就會給正常用戶帶來經濟損失;四是正常用戶在訪問網絡時速度會減慢。
無線AP為他人控制:當無線網絡被盜用之后,就可以直接操作無線網絡接入點,即無線AP,可以隨意的設置正常用戶的管理界面。這樣將對正常用戶造成十分嚴重的后果:(1)圖2所示是路由器中的上網口令和上網賬號,可以很輕易的得到此路由器的信息;(2)盜用者可以隨時斷開網絡連接,修改AP參數。
遭遇無線釣魚攻擊:接入無線“釣魚”網絡點時用戶的網絡安全問題就會受到攻擊,這就是遭遇無線釣魚攻擊。用戶接入到由攻擊者所建立的無線網絡接入點時,系統就會受到攻擊、入侵和掃描,很多的計算機就會被控制,機密文件會被木馬感染,盜取等安全問題。
3.無線網絡安全的薄弱環節
造成無線網絡安全問題的原因有很多種。其中最薄弱的環節包括用戶安全意識淡薄、由無線網絡所產生的直接經濟利益、無線網絡的工作方式。
3.1 無線網絡用戶安全意識淡薄
在調查中顯示,很多使用無線路由器的人有40%的用戶使用默認密碼。而有30%的用戶根本沒有密碼保護。因此很多網絡都是敝開用的,任一無線終端都可以接入到網絡中,從而就會給網絡帶來不安全的因素;無線網絡被攻擊的方式多樣。研究無線網絡的攻擊已經十分的深入,方式也很多,因為這與用戶的經濟利益有直接的關系,表1就是各種攻擊無線網的軟件。所以在無線網絡安全的防范工作上還沒有進展。
無線網絡工作方式。無線網絡的薄弱環節有加密方式、SSID廣播和信號傳輸方式。
(1)無線網絡的加密方式
無線網絡的加密方式有WPA2加密方式、WPA加密方式、WEP加密方式,這是根據加密技術的發展過程劃分的。WEP加密方式可以在短時間內100%被破解,安全度較高的WPA2和WPA也有可能被破解。
(2)無線網絡使用的SSID廣播
自身的廣播信息通過SSID廣播傳輸給外界。因為SSID的廣播靠自身的信號發出信息,所以周圍的網卡都能搜索到也能看到網絡信號。
(3)無線網絡的信號傳輸方式
電磁波是無線網絡傳輸信息的介質,它與有線網絡傳輸信息的可監控性、可視性和固定性恰恰相反,它是不可視的并且向四周發散的網絡介質。人為不能控制它所發散的區域和范圍,所以這個網絡信號可以讓任何人都接收到。
3.2 入侵者破解無線網絡的方法
如今網絡技術越來越發達,所以對于破解WPA密碼和WEP密碼的流程和方法也有很多種方式。
(1)破解WEP加密的無線網絡
破解原理:圖1所示就是破解WEP加密無線網的流程。通過工具軟件探尋無線網絡,得到WEP數據包;數據包收集的足夠多,就可以計算分析統計通信包里的密碼碎片;最后組合排列密碼,就可以獲取正確的無線密碼。
圖1 破解WEP密碼流程圖
(2)破解WPA加密的無線網絡
破解WPA密碼要存在合法的客戶端,所以過程比較復雜。破解原理:對合法客戶端進行攻擊,使其與無線AP的連接中斷,重新獲得無線AP和客戶端的數據包,WPA的密碼就在此數據包里,俗稱“握手包”。不能直接得到WPA的密碼,要經過試誤并利用密碼字典才能得到,圖2所示就是破解WPA密碼的流程圖。
圖2 破解WPA密碼流程圖
4.無線網絡安全防范策略
為了使無線網絡能夠安全的使用下去,減少威脅和攻擊,提升網絡安全,就要有具體的安全措施,下面就是維護無線網絡安全所采用的幾種方法。
(1)接入限制策略
設置準許條件對非授權計算機訪問主計算機進行阻止。這樣的方法適合固定和數量較少的客戶端。限制方式只要過濾無線路由器的MAC地址就可以。
(2)隱藏SSID廣播策略
關閉SSID廣播,隱藏它所發送的無線網絡信息,使非授權計算機無法利用SSID查看。
(3)安全標準策略
WPA加密方式的安全程度要高于WEP標準,雖然其破解的可能性也存在但是要比其他方式更安全些,所以最安全的方式就是采用此方法。
(4)修改路由器密碼策略
修改默認的路由器密碼和用戶名,以確保路由器的安全。“admin”是很多路由器所默認的密碼和用戶名,所以完全沒有保障。
(5)降低無線AP功率策略
無線網絡所輻射的范圍和距離與AP發射功率有很大的關系。無線范圍超過了正常的網絡信號傳輸距離,那么就會產生盜用的現象。為了使非法訪問的可能性降低,就要減少無線AP的功率。
(6)強壯密碼策略
破解密碼是盜用無線網絡最常見最易破解的方式,所以在密碼設置時一定要盡量的復雜字符數要盡量的多,以確保無線網絡的安全。表2所示為使用EWSA軟件破解不同密碼需要的時間。
5.結束語
安全措施除了上面所提到的方法還有不接入陌生無線AP、定期修改密碼、定期安全檢查、防火墻和漏洞掃描等。
參加文獻
[1]任偉.無線網絡安全問題初探[J].信息網絡安全,2012, 01:10-13.
[2]朱建明.無線網絡安全方法與技術研究[D].西安電子科技大學,2004.
[3]鄭宇.4G無線網絡安全若干關鍵技術研究[D].西南交通大學,2006.
隨著計算機技術應用的日益普及,人們發現計算機安全成了當務之急。需要解決的問題是確保信息系統中硬件、軟件及正在處理、存儲、傳輸信息的保密性、完整性和可用性。涉及的安全性有:完整性——操作系統的正確性和可靠性、硬件和軟件的邏輯完整性,防止信息被未經授權的篡改;可用性——保證信息及信息系統確實為授權使用者所用,防止由于計算機病毒或其它人為因素造成的系統拒絕服務或者為敵手所用卻對授權者拒用。還有對計算機安全的威脅擴展到病毒、非法訪問、脆弱口令、黑客等等。
1 目前常用的多種解決方案
(1)安全管理中心
建立一套集中管理的機制和設備,用來給各網絡安全設備分發密鑰,監控網絡安全設備,收集網絡安全設備的審計信息等;
(2)檢測系統 檢測是利用審計跟蹤數據監視入侵活動;
(3)安全的操作系統 給系統中的關鍵服務器提供安全運行平臺;
(4)安全數據庫
確保數據庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等;
(5)容災系統
容災就是能夠恢復數據在災難發生前的系統狀態。在相隔較遠的異地,建立多套功能相同的系統,進行監視和功能切換。數據容災是信息安全戰略中非常重要的一個環節。
2 提出一整套系統安全解決方案
建立安全保障體系由安全手段、安全機制和安全環境三部分組成。系統安全手段包括系統手段和業務手段;安全機制包括系統機制、業務機制、環境機制;安全環境包括配套設備和機房環境。
3 系統安全保障建立
3.1 安全手段支撐
1)設備安全
服務器采用陣列盤或鏡像盤技術;采用CLUSTER技術;采用雙機或多機熱備份容錯系統;生產服務器和開發測試服務器分離;提供光盤備份庫;保證24小時不間斷運行;建立異地備用服務器。
工作站及終端具有防病毒功能;保證24小時不間斷運行。
網絡設備采用多傳輸媒介組成多路由制;結駁簡單、可靠;保證24小時不間斷運行。
2)支撐軟件安全
操作系統:
符合C2級安全標準,提供完善的操作系統監控、報警和故障處理。
數據庫系統:
符合C2級安全標準,提供完善的數據庫監控、報警和故障處理。大型關系數據庫有如下的安全機制以保證數據庫的安全:
數據庫級的安全性,對整個數據庫起作用。
表級的安全性,只對相關的表起作用。
列級的安全性,只對相關的列起作用。
行級的安全性,只對相關的行起作用。
類級的安全性,只對使用的隱含的類起作用。
管理和使用用戶權限的另一種方法是使用角色。在數據庫環境中角色的概念相當于UNIX操作系統中的組的概念。在數據庫系統中角色的目的是讓DBA對數據庫的權限進一步細化。
數據庫系統的審計策略是數據庫安全性的重要組成部分之一。大型關系數據庫系統提供的審計機制符合Trusted Computer System Evaluation Criteria(CSC-STD-001-83)C2級標準及Trusted Database Interpretation(NCSC-TC-021)標準。對每一個選擇出的用戶的活動,大型關系數據庫系統提供的審計功能將產生一條記錄。這些記錄將用于以下用途:
發現非法用戶及可疑用戶的行為并指出其執行的操作;
發現未授權的訪問企圖;
評價潛在的損害安全機制的因素;
假如有需要,為調查提供證據。
3)網絡系統安全
支持鑒別、接入控制、數據機密等一組安全功能;與其它系統的連接必須建立防火墻隔離;提供完整的網絡監控、報警和故障處理。
組建的可以是企業的內部網。同時,各個系統的主機的連接都采用了前置機通訊的方式,前置機實際上起了一定的防火墻作用,增加了非法用戶企圖通過某臺主機攻擊網內其它主機的難度。其次,企業網在與外界主機相連時,都將采用國產的防火墻產品,將有效的防止外界非法用戶對網內主機的入侵。
對于通過廣域網連接上線的用戶,可以通過路由器加密等手段保證數據在廣域網(特別是公用數據交換網)傳輸時數據的保密性和完整性,但會占用一定網絡帶寬。如果遠程用戶是通過DDN專線連接,應該說數據傳輸過程是比較安全的。
對于局域網上的用戶,最好的方法是將業務應用的子網和公網隔開,當然物理上完全斷開不大可能,可以通過在總部局域網交換機上設置業務專用的虛擬子網VLAN。這樣可利用現有設備,無需額外的資金投入。
4)應用系統安全
符合C2級安全標準,提供完善的問權限的識別和控制功能,提供多級密碼口令保護措施。
應用系統的安全性建立在數據庫管理系統的安全性之上,為保證系統的安全性,系統對操作員實行嚴格的分級權限管理,每一個操作員均擁有各自的工號(帳號)、登錄密碼和權限等級。特定的權限等級只能進入特定的功能模塊進行授權操作。除對系統的查詢操作外,任何一個對系統的“寫”操作(如錄入、修改、刪除資料)均將在系統中留下完整的記錄,包括該“寫”操作發生的日期、時間、操作員工號以及對系統進行了何種操作,以備日后追查。為了保證密碼的可靠性,對于操作員的密碼,用戶的密碼,均以密文的方式在數據庫中存放,這些密碼只能修改而不能夠直接讀取。
3.2 系統數據安全
1)數據備份與恢復
系統數據可進行聯機備份;
系統數據可進行聯機恢復;
被恢復的數據必須保持其完整性和一致性;
提供完整的系統數據監控、報警和故障處理。
2)數據的傳送與接受
保證系統數據的傳送完整;
保證系統數據的傳送機密;
提供完整的系統數據傳送監控和報警處理。
3.3 安全環境支撐
1)配套設備安全
配套先進的、完善的供電系統和應急報警系統。
2)機房環境安全
機房要防火、防塵、防雷、防磁;
機房溫度、濕度、電壓應符合計算機環境要求;
機房要進行定期維護保養。
3.4 安全機制支撐
1)系統安全機制
系統應具備訪問權限的識別和控制功能,提供多級密碼口令或使用硬件鑰匙等選擇和保護措施;
系統應能提供操作日志記錄功能,以便即時掌握運行狀況;
系統應具備完善的檢測功能,確保系統處理的準確性。系統每個環節的檢測實行閉環管理,并建立與應用系統相對獨立的檢測系統,校驗處理準確性;
建立校驗結果和安全邏輯異常情況報警系統。
2)業務安全機制
建立嚴格的管理制度和開發、維護、運行管理機制;
應用鑒別權限與訪問控制功能,對系統管理員、數據庫管理員、數據管理員、操作員必須授予各種訪問權限,包括人員身份、人員的密碼、所屬的地理位置及指令的控制,進行權限分割、責任分割;
要保證未授權的人員不能訪問應用管理系統,在應用管理系統安全性受到破壞時必須產生告警;
保證只有授權的人員或系統可以訪問某種功能,獲取某種數據。
3)環境安全機制
建立嚴格的機房安全管理制度;
及時審查日志文件;
非工作人員不準入機房;
任何人不得將有關資料泄密、任意抄錄。
4 結論
通過建立技術先進、管理完善、機制健全的系統安全體系,能有效保證企業系統安全運行、保守企業和用戶的秘密、維護企業的合法權益:
(1)網絡不間斷、暢通地運行;
(2)應用系統高效、穩定地運行;
關鍵詞:服務支持體系;安全動態模型
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 06-0000-02
在近些年,金盾工程進一步展開,各項信息網都得到了長足的發展,電子信息技術以計算機為應用基礎,網絡技術在各行各業中得到了越來越廣泛的應用,信息量的傳遞速度與共享范圍達到了前所未有的程度。
一、網絡和信息安全存在的威脅因素
計算機網絡的應用在日常生活中越來越普及,網絡系統及其中的重要信息資源無時無刻不面臨著來自四面八方的安全威脅,具體表現在如下幾個方面。
首先,內部人員的錯誤操作以及違規使用
這一類的情況主要有:蓄意盜竊網絡密碼、越權進入系統、越權操作訪問、人為蓄意破壞等。調查顯示,對網絡系統產生嚴重影響的行為一般來自于網絡內部的錯誤操作和違規使用,所以每個網絡管理者必須面對和思考的問題就是如何能有效地杜絕這一類的行為,在事后能夠較為成功的進行定位并及時取證分析。
第二,外部威脅
來自于外部的非法入侵主要是指外部遠程用戶利用非法軟件和系統,進入網絡系統,并對相關信息數據進行盜竊、篡改甚至毀壞性掠奪,從而導致網絡服務癱瘓乃至整個服務進程的中止。
第三,拒絕服務攻擊
表現在對網絡服務系統所進行的不間斷干擾,有時表現為改變網絡服務系統中正常進行的作業流程,或者是執行無關的程序,進而加重整個系統的運轉負荷,導致系統響應速度減慢,嚴重影響正常用戶的使用,調查顯示,網絡因受攻擊而拒絕服務的趨勢明顯上升。
第四,網絡病毒
在所有的網絡威脅中,網絡病毒無疑是最為臭名昭著的,它是最為常見、最重要、最難防范的威脅,它對各種局域網,甚至對整個互聯網的安全所產生的威脅是隨時存在的。
二、建立網絡和信息安全動態策略
網絡技術的普及,提高了工作效率,因此構建一個良好的網絡環境十分必要,然而,伴隨著計算機網絡在各行各業中的廣泛應用,相關的安全問題也不可避免地日漸突出,如果放任網絡上各種安全問題滋生擴大,不僅會嚴重的降低生產效率和生活質量,還會給人民的生命和財產安全帶來極其巨大的威脅和損害。
首先,網絡安全主要分為四個主要層面:物理安全、文化安全、信息安全以及系統安全。
第一,物理安全即指包括了各種通訊線路以及設備、計算機主機等硬件設施在內的所有網絡基礎設施,例如:容錯、容外部損傷、對干擾的抵抗等。
第二,系統安全。即是指代存在于網絡通信中的基礎協議,包含了操作系統以及應用系統在內的可用性,包括使用的合法性。例如,遇到網絡阻塞時的防護措施、對非法入侵行為的防護以及防護計算機病毒的自我保護行為等等。其核心內容和技術為:身份認證、日志的審查統計、對所授權限的管理、檢測系統漏洞并進行修補、對病毒以及其它各種形式的入侵行為的防護等。對入侵防護技術的概念則為:入侵防范、之后的檢測以及響應和系統的恢復。
第三,信息安全是指在保證數據和信息的完整性、保密性以及有效性等特性能,在計算機網絡中進行存儲、處理和傳輸等各項過程中得到安全的監護和保護。基礎行為包括對信息竊取行為的及時制止,防止惡意篡改信息以及冒名的發送偽造信息等,在所有的安全保障手段中,其最核心的技術則是密碼技術。顧名思義,即是在密碼技術的支持下,對數據加密、數字簽名以及相關身份確認等諸如此類的行為得到完整地實現,所以我們可以看見在信息安全以及系統安全中間存在著極強的彼此相互依賴的關系。
三、建立網絡與信息安全體系
為了在最大限度上保證全部網絡信息合法用戶的網絡信息安全,應該建立網絡與信息安全的一整套體系,其結構可以劃分為呈若干層次,所涉及的環節較多,主要包括:網絡安全中各種策略的建設性指導、網絡安全標準的統一規范、網絡安全全面防范的高端技術、網絡安全管理全方位保障以及網絡安全服務支持體系的建立等。這種安全體系的初衷是要建立一個可控的安全體系機構,管理人員在規范合理的指導下,得以擁有把握網絡整體安全狀況的權限,從而可以有效的對安全硬件設備以及先進的安全技術進行合理利用和全面管理,使得整個網絡與信息的安全性可控得以實現。網絡動態安全的實施則應該按步驟,分層次低進行。
首先,必須了解當前網絡整體的安全狀況,即進行安全風險的合理評估(主要指確定網絡資產的安全威脅性和脆弱性,并進一步估算由此可能會造成的損失程度和影響的過程)在綜合考慮提高網絡安全性、評估風險以及制定對應的安全措施時,應該考慮要有一套較為完整及符合實際情況的風險分析方法(包括了對應的安全措施制定方法),網絡安全評估的主要內容有如下兩個方面,首先,在考慮了回避最為常見的威脅以及漏洞(包括網絡管理部門在實施安全措施的控制之下仍然發生的破壞安全事件的發生概率)。
第二,當安全措施失效從而導致造成了業務的損失(包括到預計中財產信息被公開,還有信息不完整甚至不可用的全面影響)。這種風險評估所得出的結果應該作為制定網絡安全策略時所必須參考的依據,在進行風險評估分析的基礎上,進一步提出網絡和信息安全的整體需求,以期能夠確定網絡所要達到的安全系數和級別,對進一步可能采取的安全措施進行總體計劃,有針對性地發現并及時、徹底地解決網絡中存在著的諸多問題和癥狀,在動態安全體系的正確指導下,制定出更為合理有效的安全措施,并進行較為嚴格的安全管理。
安全保護及實時監測。即是指選用相關的安全產品(包括前沿技術、能夠執行的合適的安全制度)全面的安全管理規章制度的制定,明確安全實施與管理中全部流程,各個方面安全職責的切實確定,提高網絡安全性。而安全保護過程中可以使用的手段包括:設置防火墻、對漏洞進行定期掃描及修補、對非法入侵的檢測、對病毒的防護、備份與恢復、對信息進行多重加密、日志與審查統計以及動態口令等。
四、結語
總之,安全不是一朝一夕的事,所以當然不可能會有一個一勞永逸的解決方案。安全防護是一個動態的、不斷在進行和改革以期逐步完善的過程。這就引出了網絡安全的新概念——網絡動態安全體系模型。
參考文獻:
[1]康募建,姚京橙,林鵬.計算機網絡動態適應安全系統[J].中國電腦,200l,13(2):73-75
伴隨科技進步與時代的發展,21世紀已經成為了以信息化技術為主導的時代,它不僅為人們帶來了先進的科學技術,也在很大程度上改變了人們的生存方式與生活形態,尤其是網絡化管理被廣泛應用在企業的管理過程中,更是在很大程度上促進了企業的發展和建設。但是,以計算機為基礎的網絡技術并不是萬能的,它也會受到很大的安全威脅,因而應該對其信息網絡安全技術方面的問題加以研究與探討。
1企業信息網絡安全管理中存在的問題
1.1病毒問題
在企業的信息網絡安全管理過程中,由于企業的信息處在開放的網絡環境中,則會因各種通信功能的開啟,尤其是一些技術安全的漏洞等問題,加上信息的傳播速度非常快,實時性更高,所以發生病毒侵害的可能性就較大。從攻擊途徑來看,通常會通過軟盤的拷貝方式、網絡中的文件傳輸方式以及硬件設備中的固化病毒程序等完成。其手段是突破原有的網絡防御系統,其主要的核心力量在于技術。導致的結果是計算機無法運行,各種數據丟失,以及網絡環境的破壞,給企業的信息網絡安全管理造成極大的威脅。
1.2操作系統存在問題
不同的操作系統會提供不同的裝機設置與桌面,由于各種雜燴的存在,缺乏統一管理,表面看是在一個系統下,但是由于兼容性的問題也有可能會出現一些安全漏洞,不便于企業采取有效的安全管理措施。再如當同時使用兩款安全保衛軟件的時候,往往會出現各自程序的互相攻擊,而出現兩者共同休眠的狀態,并不給予計算機以保護,而且由于捆綁軟件及下載問題的存在,大多數軟件的攜帶下載往往將病毒帶入,或者因為下載中的計算機系統默認程序等造成一系列的文件堆積等從而造成操作系統的速度減慢,出現卡機、死機、藍屏、發熱等現象,最終影響正常的計算機使用,使得企業的信息化辦公受到嚴重的影響。另外,由于配置不當的問題,也會使其出現安全漏洞。在這方面可以看出,由于它在開始階段會進行存取檢查,但當每次數據傳輸過程中并不進行重復檢查,只是改變一些傳輸的地址而已,這一點易于讓人利用,因而給其系統帶來嚴重威脅,從而造成企業的重要數據出現泄露。
2企業進行信息網絡安全管理的防護策略
2.1對軟件進行加密
企業在進行信息網絡安全管理的過程中,可以通過采用以下幾點措施,對軟件進行加密,充分維護企業的網絡安全,為企業的發展創造一個安全的信息環境。首先,企業的管理人員一方面應該建立安全的計算機網絡系統;另一方面應該利用一些安全衛士之類的軟件進行時時防護,如毒霸、360等都是比較成熟且免費應用的殺毒軟件。其次,應該從制度上進行一定的制約,企業應當依據自身建設和發展的實際情況,制定出嚴格的保密措施,以及上網的制度和規范,對企業員工的上網行為加以規范,盡量減少威脅企業網絡信息安全事故的發生。此外,企業還應該讓信息部門做好機房、硬件、數據、軟件、網絡等各方面的安全維護與監測,為企業的發展營造出一個安全的環境。
2.2設置防火墻
企業在信息網絡安全管理方面,最常用的防護策略就是設置防火墻,即通過加強網絡間的訪問限制或控制,來防止外部用戶利用非正常手段進行的可能性網絡技術攻擊。這一特殊的網絡互聯設備,利用一定的程序設定來對各種軟件進行掃描、檢查、時時提醒并進行修復,從而保證網絡環境的運行保持在良好狀態。利用數據加密這一技術,可以有效地預防黑客的訪問及惡意篡改代碼信息或竊取一些數據信息或毀掉一些重要信息等,可以充分維護企業的數據安全,保護企業的商業秘密的安全性不受到威脅。
2.3對主機的防護
企業在建設和發展的過程中,很多的業務都是通過主機來進行運轉和操作的,它肩負著重要數據的存儲任務,因此若是企業的主機系統一旦發生故障,這無疑將會使企業面臨重大經濟財產損失。因而,對于主機系統進行重點防御保護對于企業而言是極為重要的。在實際的日常操作過程中,對于系統主機應當對相應的重點區域進行多次檢測,對于可能存在的系統漏洞提高掃描的安全標準,以最嚴格的標準要求對企業的主機系統進行防御和維護工作,通過制定出相應的檢測掃描制度,對主機系統進行定期掃描,同時在定期掃描的基礎上還要增加不定期掃描從而從概率上一再降低主機系統發生故障的可能性,對于主機系統掃描過程中發現的漏洞問題,及時采取安裝防護補丁和加固注冊表的方式來加強主機的安全防御保護能力,避免安全故障的發生。
2.4做好數據的備份與恢復工作
積極采取有效的措施,對數據進行備份與恢復,對于數據完整性和安全性的保障具有積極的作用。一旦計算機受到病毒侵襲,計算機操作和管理人員,應建立有效的數據庫,確保數據的完整性,這樣就可以有效地提升網絡通信的安全性,維護企業的網絡信息安全。
本文將從加密技術概述談起,從困擾計算機網絡安全的現狀中來分析常用的加密技術,并提出積極的建議來提升計算機網絡數據的信息安全級別。
【關鍵詞】加密技術 計算機網絡 影響 安全性
網絡安全問題已經成為現代計算機管理的關鍵問題,其危害不僅具有隱蔽性和潛在性,更重要的是對用戶和信息所有者的影響日益嚴重。信息加密技術是從保障網絡信息安全視角,對網絡信息數據采用的主動防范的對策,以防范非法用戶對用戶數據的竊聽或盜用。因此,作為現代信息安全管理的主要方法,對加密技術進行研究就顯得尤為重要和迫切。
1 計算機加密技術概述
隨著信息技術的飛速發展,數據加密技術更是受到空前的關注和重視。數據加密旨在通過特定的算法來對計算機系統中使用的數據進行有效轉換,防范非法用戶從數據中竊取獲得有用信息,進而實現對計算機網絡用戶信息的保護。作為一項主動防范的信息技術,其主要特點是借助于特殊的計算機算法,將原有的明文信息轉換為密文,使得黑客盜取數據后仍然無法進行查看和使用。由此可見,數據加密技術能夠確保計算機網絡系統的安全性,更好的保護和維護好信息所有者的權益。從數據加密原理和方法上,在對明文進行加密處理中,一方面可以從防范非法利用中增強數據的安全性,另一方面,高效的數據加密算法還可以對數據帶來壓縮,便于提升數據的傳輸效率。
2 當前數據加密技術的現狀以及對網絡安全的重要性
網絡安全在我國還處于起步階段,國外數據加密技術的引入不僅開拓了數據加密的視野,也為我國數據安全提供了新的發展思路。在探索與實踐中,我國的數據加密技術也取得了一定的成果,如結合數據加密領域的特點及要求,在數據傳輸加密技術、數據存儲加密技術、數據密鑰加密管理、信息隱藏技術、非對稱加密技術等領域也獲得了快速應用。安全是數據加密的根本,為了實現對數據傳輸及數據使用中的安全標準,數據加密技術從安全理念上,加大對數據的加密與對外來入侵的檢測,從而為數據的安全和完整創造條件。
3 當前常見數據加密技術分類及特點
加密技術的發展隨著網絡應用的推廣而不斷創新,其主要加密技術分類有以下幾種:一是傳輸加密技術;二是存儲加密技術;三是數據隱藏技術;四是密鑰管理技術;五是確認加密技術;六是對稱加密技術;七是非對稱加密技術 。由此可見,對于加密和解密的密鑰利用,因收發雙方所使用的密鑰不同,常常在應用中成為“公鑰”和“私鑰”,當然,在非對稱加密技術中,“公鑰”與“私鑰”是相對而言的,這種技術能夠從網絡安全上實現對分布式系統數據的有效加密,但其計算量大,對系統要求較高。
4 提升加密技術在計算機網絡安全中的應用策略
信息安全是計算機網絡數據運行的前提,對于信息的加密處理,主要是從信息安全上,來確保信息的完整性和有效性。因此,在軟件加密技術應用中,應該從以下幾點給予著重應用:一是網絡殺毒軟件自身的加密,對于加密程序在應用過程中,一旦感染病毒將無法正常運行,因此要首先從殺毒軟件的檢測后,才能進行文件加密,因此在殺毒軟件本身也是經過加密處理的。二是在電子商務應用中,特別是隨著電子商務網絡商店的日益發展,對于電子商務中的交易環節,特別是對金融交易過程的保護,必然提出更高的安全性要求。如對網頁瀏覽者身份的鑒定,對用戶信息及身份的驗證,對相關數據資料的讀取和應用等,都需要從加密技術中給予保護,防范盜用或侵犯。因此,在電子商務安全運行中,也需要結合加密技術來促進網絡交易平臺的安全,保護雙方的權益。三是在企業局域網架構中的應用,作為企業局域網建設,對數據加密是確保企業信息系統安全的有效措施。如加密路由器技術,不僅可以實現對局域網內部數據的有效加密和保護,還能防范數據被傳輸出去后,即使到達非法用戶也需要路由器來進行解密,從而增強了數據的安全控制性。四是在數據庫技術中的應用,作為數據加密技術的典型應用,在數據庫系統管理及應用中,加強對數據的保護就是對數據庫信息訪問權限的管理,利用加密技術一方面來加密數據庫系統資源,另一方面即使數據庫被盜也無法實現正確破譯。五是在各類應用軟件中的應用,從現代網絡技術的發展進程來看,軟件技術的發展發揮了積極的推動作用,而在軟件使用中,由于軟件的共享性和傳播性,對于軟件的使用也往往采用加密技術來保護軟件用戶的合法權益。因此,對軟件實施加密技術處理,一方面可以從軟件的安全性上來保護,另一方面從對用戶的使用上加以規范,從而滿足軟件的合理、有效利用。
5 結語
加密技術是伴隨信息化應用的發展而同比提升,對于信息加密技術的研究,一方面可以從加密技術的主動性上來提升防范能力,規避風險,另一方面可以從數據的保護和確保數據的完整性上,來更好的提升數據信息的利用率。在信息技術發展的今天,數據安全越來越受到廣泛的重視,特別是電子商務系統平臺建設,更需要從信息加密技術上來提升平臺的穩健性和安全性,以防范非法用戶的入侵和對重要數據的竊取。因此,從信息安全理念上,加大對信息加密技術的研究和探索,進一步提升網絡防火墻、網絡入侵檢測技術,切實從數據安全上為系統的穩定運行提供積極、主動的技術保障。
參考文獻
[1]楊建才.對計算機網絡安全中應用信息加密技術的研究[J].計算機光盤軟件與應用,2012(03).
[2]朱聞亞.數據加密技術在計算機網絡安全中的應用價值研究[J].制造業自動化, 2012(06).
[3]孫浩,韓金威.安全性防護技術對計算機網絡的影響[J].數字技術與應用,2013(10).
關鍵詞:計算機信息管理;網絡安全;技術應用
當今時代,隨著網絡技術的飛速發展,人類正邁向一個以網絡化、數字化技術革命為中心的新時代。人類在享受網絡帶給我們生活便利的同時,也面臨著網絡信息的安全問題,黑客攻擊、網絡木馬、網絡欺詐等均對網絡系統安全帶來重大威脅,甚至嚴重影響到國家和社會的安全穩定,做好網絡安全工作,保護網絡的健康,也具有及其重要的作用。
一、網絡安全與網絡信息管理安全的概述
(一)網絡安全的本質
網絡安全,是指包括網絡硬件系統與軟件系統的在內所有數據的安全。可分為動態安全與靜態安全。即,信息的傳輸與處理過程中不被惡意篡改、竊取;信息在無數據傳輸、處理的情侶下信息內容的完整、保密。網絡系統的安全涉及到技術和管理方面的問題,其安全一般包括了五個特征,分別是網絡安全的機密性、完整性、可用性、可控性和可審查性,分別確保網絡通信信息的安全性、合法用戶對數據修改的授權、在受到網絡攻擊時可以為客戶提供相應的服務、根據公司安全策略對信息流向及行為方式進行授權以及確保在出現網絡安全問題后可以提供調查的依據和手段。
(二)網絡信息管理的概述
網絡信息管理,是指針對網絡信息進行安全、健康的管理。這是由互聯網具有其自身的開放性,導致的各種各樣的復雜的網絡安全問題造成的。網絡安全問題包括:用戶的個人信息、網絡的信息資源等,加強網絡信息管理已經到了亟待解決的局面。
二、計算機信息管理在網路安全應用中存在的問題
首先是計算機網絡具有脆弱性,當前,市場上很多電腦的操作系統本身是有缺陷的,一旦被黑客利用,后果不堪設想。因為任何操作系統都是由許多的通用模塊組成的,每個模塊都是為了保證計算機的正常功能。就算是只有一個模塊出現問題,黑客就會利用這個問題模塊來進行襲擊,直接造成電腦系統癱瘓。其次,共享計算機網絡本身就具有缺陷性。如果通過計算機共享局域網傳輸的文件含有病毒時,就會損害計算機的操作系統,為網絡帶來潛在的威脅。
此外,還有些人為因素、自然因素與偶然因素。比如計算機網絡信息技術操作人員自身的操作水平不高等。當前盡管網絡已經深入家家戶戶,但大多數人都還是網絡時代的新手,對網絡安全的不重視度、自身的管理能力低,這些都極易造成網絡安全問題。
網絡詐騙就是一個屢見不鮮的例子,近幾年,現在的詐騙形式多樣,手段也多樣。比如,一些中獎信息、讓你核對身份各方面的信息或者陌生人盜用別人的qq、微信發起聊天,要求借錢等手段。這個時候,千萬要冷靜,與打電話或者發短信向其本人確定,切記要保護自己的私人信息,如本人的證件號碼、密碼等千萬不可輕易相信網絡中的任何中獎信息,切莫貪小便宜,沒有天上掉餡餅的好事,一旦感覺受騙,一定要與記得報警。
三、計算機信息技術科學安全應用的應用在互聯網中的建議與策略
(一)提高防范意識
計算機相關人員要從根本上樹立其防范風險的意識,自覺提高職業素質和職業道德素養;使用計算機的時候,惡意消息不要輕易相信,有關涉及陌生人轉賬、錢財的問題,千萬要多個心眼;突然冒出的網絡視頻不要點開;不明網址不要隨意進入等。時時刻刻切記防止惡性文件進入系統,使系統癱瘓。只要人人從自身都開始提高防范意識,那么就在一定程度上使惡意信息阻斷掉。此外要定期對網絡進行安全掃描,檢查是否有病毒等進行干擾系統,盡最大可能避免我們的電腦受到惡意攻擊。
(二)優化網絡信息安全管理體系
實現網絡安全與網絡信息安全管理體系的建立密不可分。有一個良好的網絡信息安全管理體系是確保網絡安全實施得當的前提。比如要設置一些防火墻、毒霸等軟件、堅持定期掃描文件,每次開機都要檢查一下電腦是否正常,及時查殺病毒。使得電腦在避免中毒的同時也能得到持續不斷的優化。此外,還要不斷增加在研發更優質軟件的工作力度,鼓勵各界技術工作人員積極研發,提高信息技術的水平,使網絡安全風險上出現的任何問題與威脅都能解決與處理掉,不斷提高我們技術人員在這個方面的能力,并且從不能絲毫有松懈。
特別要強調的是有關防火墻技術的發展趨勢。任何系統的更新換代、升級都具有雙面性,絕不可能做到絕對安全,也就是說,防火墻技術在不斷的發展與升級的同時,惡意的攻擊行為也是避免不了的。這就是說,維護計算機網絡的安全工作是永無止境的,并且,對網絡安全性需求也在不斷提高。因此,防火墻未來的發展趨勢要將中的放在研發對網絡那些攻擊行為能做到自動監控與自動報警;能自動分析電腦是否有疑似入侵行為,并作出報告;不斷地提高過濾的深度,還可以開發出對病毒自動掃除的功能等。隨著IP協議經歷IPv4到IPv6的發展歷程,防火墻技術一定會發生重大的變革,會與網絡安全技術相結合,共同創建安全、合理、健康的計算機網絡安全防護體系。以銀行的網絡安全案例為例,我國銀行網絡總體是一個銀行內部業務系統,采取總行到省行及地市行的三級網絡結構,總行網絡為一級結點,省行網絡中心為二級結點,各地市銀行網絡中心、各支行網絡中心為三級結點,針對銀行網絡系統的安全風險分析,其防范需求則可以通過加密設備應用、安全檢測實時檢查網絡的數據流,動態防范來自內外網絡的惡意攻擊,評估網絡系統及操作系統的安全等級,分析并提出補救等。
(三)網絡安全設計方案
網絡安全方案設計主要是從網絡安全工程角度進行編寫,它是試圖建立一個可控的安全體系管理人員在合理的安全規范指導下,掌握網絡的整體安全狀況,有效地對安全設計和安全技術進行利用和管理,使整個網絡和信息的安全性處于可控狀態。網絡與信息的安全體系結構是劃分為若干層面的多層次、多方面、立體的安全架構,體系涉及的各個環節包括網絡安全策略指導、網絡安全標準規范、網絡安全防范技術、網絡安全管理保障、網絡安全服務支持體系等。關于網絡安全體系的構建,國內大多數的網絡安全公司都在沿用國際上的PDR和P2DR的網絡安全理論模型。一份安全解決方案的框架,可以涉及6個方面,客戶則根據實際需求取舍其中的某些方面。一是概要安全風險分析,能突出用戶所在的行業,并結合業務特點、網絡環境和應用系統等,有針對性地對政府行業、電力行業、金融行業等,體現他們的行業特點。二是根據實際安全風險分析,對網絡的風險和威脅分析、系統的風險和威脅分析、應用的分析和威脅分析、對網絡系統和應用的風險和威脅的具體和實際的詳細分析。三是網絡系統的安全原則,體現在動態性、唯一性、整體性、專業性和嚴密性。四是安全產品,包括防火墻、防病毒、身份認證、傳輸加密和入侵檢測等五個方面,對安全產品的安全技術進行比較和分析。五是通過工具和技術相結合,對風險進行評估。六是安全服務,相較于不斷更新的安全技術、安全風險和安全威脅,服務的作用現在已經變得越來越重要。網絡拓樸安全可以幫助用戶消除產生風險和威脅的根源。
(四)其他保護措施
使用電腦過程中謹記要注意信息的訪問控制與信息的安全測試。目前,PKI(公開密鑰體系)具有十分高效的安全性能,我們可以通過利用這種方法來實現有效的認證與加密工作。再比如,為了防止數據在傳輸中被惡意攔截、竊取還可通過加密傳輸的應用,比如,使用鏈路加密技術,即對加密網絡鏈路的中繼群路信號。不僅可以提高管理信息的保密性,還可以防止被攻擊利用,使得入侵者不能進行流量的分析工作。通過運用鏈路與端與端都加密,這樣,大大提高了密碼被破譯的難度。設計方案時,動態安全是一個越來越重要的概念,這也是網絡安全方案與其他方案的最大^別。動態安全就是隨著環境的變化和時間的推移,以動態的方式考慮以后或將面臨的問題,做好項目升級及網絡系統的升級有比較好的升級接口。
四、結語
這個時代就是屬于計算機、數學信號,屬于網絡的新時代,網絡的使用范圍日后只能是更加開闊,涉及的領域也會越來越多。網絡安全的問題也就成為當前亟待解決的問題,但不能因為存在風險就選擇放棄網絡。這是屬于這個時代的產物。
正因為如此,加強網絡安全的工作也就及其重要。需要我們相關的技術人員不斷的研發軟件來抵制惡意文件;需要政府部門全方面支持網絡安全工作的進行;也需要人人自身開始提高防范意識,這樣數據資源被泄露的幾率就會大大降低,我們離安全、健康的網絡體系也就指日可待了。
【參考文獻】
[1]歐海斌.計算機信息管理在網絡安全中的應用研究[J].移動信息,2016(06):185.
[2]戴瑩.計算機信息管理在網絡安全中的應用研究[J].電子制作,2014(2x):160.
1商務主要的信息安全要素
1.1有效性
有效性是指信息發送方發送給信息接收方的信息是未經外人加工、改變的信息。貿易數據都具有特定型性,是指貿易信息只有在特定的時刻和確定的地點才是有效的。電子商務改變了過去紙質的方式,以電子的形式傳遞信息,如何確保電子信息在傳送過程中的未經加工是確保信息有效的前提。電子商務中信息的有效性對企業、個人、甚至國家的經濟利益有著重大的影響,所以,要及時對網絡故障、應用程序錯誤、系統軟件錯誤或者計算機病毒引起的信息安全隱患進行防范,以確保數據的有效性。
1.2保密性
保密性是指貿易信息在存儲或傳遞過程中未經他人竊取或泄露。傳統的紙質貿易信息一般是通過郵寄的信件及其他可靠的傳遞渠道來互送商業貿易文件以確保信息的安全。現代電子網絡是一個開放的傳遞平臺,維護商業貿易信息顯得更加重要,確保商業機密的保密性是電子商務全面推廣應用的基本保障。所以,必須確保貿易信息在傳遞過程中的保密性,防止非法竊取及泄露。
1.3完整性
完整性是指電子貿易信息在傳遞的過程中沒有沒被修改、歪曲和重復,信息的接受者接收到的信息與信息發送方發送的信息完全相同。貿易信息的完整性會對貿易各方經濟利潤、營銷策略和貿易合同產生巨大影響。確保貿易信息的完整性是電子商務實際應用的重要基礎。所以,在信息傳遞過程中要防范信息被隨意生成、修改和刪除,防止信息的丟失與重復,同時信息的傳遞次序要保證統一。
1.4可靠性
電子商務信息直接關系到貿易雙方的商業交易,在交易過程中如何確保進行交易的對方與交易所期望的貿易方是同一者,這就需要電子商務信息必須確保本身的可靠性。在傳統的商業交易中,雙放當事人可以通過手寫簽名或印章等形式確保雙方的身份,但是電子商業貿易利用網絡這一形式,無法采取傳統的身份認定形式,就必須確保貿易信息的可靠性,從而為貿易雙方進行商業交易奠定重要基礎。
2電子商務安全的技術要求
2.1物理安全
要根據國家標準、信息安全等級、信息技術情況,制定切實可行、符合實際情況的的物理安全標準體系。本體系可以防范設備功能失常、電源事故、電磁泄漏等引起的信息失密等。
2.2網絡安全
為了保證電子商務交易的安全可靠,電子商務平臺須穩定可靠,能夠全天候正常運行。系統在運行的任何中斷,如病毒入侵、網絡故障或硬件軟件錯誤等都會對正在進行電子商務交易的雙方造成重大損失,尤其是丟失或失密的貿易信息,將是不可恢復性的。
2.3商務安全
商務安全是指商務交易中的安全問題,商務安全的不同方面需要通過不同的網絡安全技術和安全交易標準來確保實現。確保電子商務安全的技術主要有安全電子交易SET協議、在線支付協議、文件加密技術、數字簽名技術等。
2.4系統安全
系統安全主要是指主機的操作系統和數據庫系統的安全情況。對系統安全的防范和保護,要通過安全技術升級,加強安全保護設施的投資建設,提高系統的安全防護能力。
3目前我國電子商務存在的問題
就我國電子商務而言,我國的科學技術水平目前還處于較低層次,技術含量不高,資金投入又不足,在安全保密方面存在較大的隱患,網絡安全性較低,主要表現在我國的網絡信息易擾、欺騙等,再加上我國人民對于網絡安全這方面的安全意識不高,網絡安全處于十分薄弱的環境中。
3.1電子商務安全存在的隱患
(1)網絡協議方面的安全問題。在電子商務中,交易雙方在交易中是通過傳送數據包的形式來交換數據,傳送過程中,不法惡意攻擊者會攔截數據包,甚至在一定程度上破壞,這使得接收方接收的信息是不正確的。
(2)用戶信息的安全問題。用戶和商家是在B/S結構的電子商務網站使用瀏覽器登錄進行交易,在登陸瀏覽器時勢必會使用電腦,有的用戶在使用電腦時,如果計算機中存在木馬,那么登陸者的信息存在泄露的危險,有的用戶在不方便使用自己電腦的情況下使用公共計算機,有些不法分子會通過電腦技術竊取交易信息。
(3)商家商務網的安全問題。有些企業在制作自己的商務網站時由于技術不過硬,本身的商務網站就存在隱患,服務器安全性低,不法分子利用電腦技術攻擊商務網站,竊取用戶信息和交易信息。
3.2電子商務安全問題的具體表現
(1)交易信息被竊取、毀壞。電子商務交易在數據包的傳送過程中,可能會被一些不法分子運用電腦技術非法篡改交易信息,使得交易信息失去真實性和可靠性。無論是在網絡硬件還是軟件方面,都存在導致傳送過程中信息的誤傳的可能性。
(2)假冒身份問題。電子商務交易是通過瀏覽器登錄進行交易,交易雙方沒有機會面對面洽談,這就給了第三人一個假冒交易某一方破壞交易、騙取交易成果,甚至敗壞交易某一方的聲譽等的機會。
(3)交易抵賴問題。例如,在電子商務交易中,買家收到貨之后,不確認收貨。
(4)計算機病毒感染問題。電子商務交易勢必會使用計算機,交易者在使用計算機時,存在選中有病毒的計算機的可能性,這樣給商務交易帶來了問題。另外,我國網上的蠕蟲病毒等在網絡流域的傳播極易發生,傳播過程中會產生巨大的攻擊流量,會導致訪問速度滯停的問題。
4電子商務安全防范技術
為確保電子商務貿易的有效進行,一方面要保證電子商務平臺的運行可靠穩定,能夠全天候持續不斷地提供網絡服務;另一方面,電子商務系統還必須不斷更新和采用最新安全技術來保證電子商務的整個交易過程的安全,防止交易抵賴行為。在現實生活中,電子商務安全防范技術主要有以下幾種:
4.1數據加密技術
數據加密技術分為常規密鑰密碼體系和公開密鑰密碼體系兩大類。在交易雙方可以保證密鑰在交換階段未曾發生丟失或泄露的情況下,通常采用常規密鑰密碼技術為機密信息加密。在公開密鑰密碼體系中,加密密鑰是公開的信息,加密算法和解密算法也是公開的信息,而解密密鑰是機密的。重要的公開密鑰密碼體系有:基于NP完全理論的Merkel-Hellman背包體系、基于數論中大數分解的RSA體系、基于編碼理論的McEliece體系。以上兩種加密體系各有優缺點:常規密鑰密碼體系的優點是加密速度快、效率高,主要用于大量數據的加密,但是常規密鑰密碼體系中密鑰在傳遞過程中容易被竊取,對于大量密鑰的管理存在缺陷;公開密鑰體系在大范圍密鑰的安全方面很好的解決了常規密鑰密碼體系存在的問題,保密性能比常規密鑰密碼體系高,但是公開密鑰密碼體系項目復雜,加密速度較慢。實踐中通常將常規密鑰密碼體系和公開密鑰密碼體系結合起來使用。
4.2防火墻技術
防火墻技術分為兩類:服務技術和數據包過濾技術。其中,數據包過濾技術較為簡單,也最常用,它通過檢查接收到的每個數據包的頭,來分析該數據包是否已經發送到目的地。防火墻技術通過對數據進行分析并有選擇的過濾,從而有效地避免外來因素對數據包進行的破壞,保證網絡的安全。實踐中,也常常將數據包過濾防火墻與服務器結合使用,可以更加有效地保護網絡安全。
4.3虛擬專網技術VPN
VPN具有適應性強、投資小、易管理等優點,通過使用信息加密技術、安全隧道技術、用戶認證技術、訪問控制技術等實現對網絡信息的保護。VPN可以使商業伙伴、公司、供應商、遠程用戶的內部網之間建立可靠穩定的安全連接,確保貿易信息的安全傳輸,從而保證在公共的Internet或企業局域網之間安全進行電子交易。
4.4安全認證技術
安全認證技術包括以下幾種:
(1)數字簽名技術。數字簽名技術可以確保原始報文的不可否認性以及鑒別,并且可以防止虛假簽名。
(2)數字摘要技術。數字摘要技術通過驗證網絡傳輸的明文,鑒別其是否經過篡改,進而確保數據的有效性和完整性。
(3)數字憑證技術。數字憑證技術通過運用電子手段來鑒別用戶身份以及管理用戶對網絡資源訪問的權限。
(4)認證中心。認證中心專門負責審核網絡用戶的真實身份并提供相應的證明,且只管理每個用戶的一個公開密鑰,在一定程度上大大降低了密鑰管理的復雜性。
(5)智能卡技術。智能卡具有存儲數據和讀寫數據的能力,可以對數據進行簡單地處理,能夠對數據進行加密和解密,其特點是存儲器部分具有外部不可讀性,可以使用戶身份鑒別更加安全。
5電子商務中的信息安全對策
5.1不斷完善網絡安全管理體系
我國應在現有網絡安全管理部門之外建立一個具有權威的信息安全領導機構。該部門應宏觀地、有效統一地協調各部門的職能,對市場網絡信息安全現狀進行及時的分析,制定科學的政策。對于使用計算機網絡的單位及個人,必須嚴格遵守《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網絡安全保護管理辦法》,建立完善的責任問責制度。
5.2大力培養網絡安全專業人才
面對現代網絡應用高速普及的情況,網絡安全專業人才顯得捉襟見肘,我國需要大量的網絡安全人才維護網絡的安全。我國應加大對培養網絡安全人才的科研教育機構的投入力度,同時積極組織人才及組織與國外的相關部門進行技術經驗交流,不斷引進國外先進網絡安全保護技術,并及時對我國專業人員進行技術培訓。
5.3建立網絡風險防范機制
現階段我國的網絡安全技術較滯后、相關法律法規不是很健全,網絡安全面臨很多威脅因素,這就要求電子貿易用戶建立網絡風險防范機制,為存在的安全因素建立補救措施。電子商務交易用戶可以根據交易具體情況為標的物進行投保,通過這些措施,可在很大程度上減少網絡安全事故造成的經濟損失。
關鍵詞:網絡防火墻 通訊信息安全 維護
1、視頻通訊安全的網絡標準體系芻議
現代社會中人們對于通訊信息的要求已經不僅僅滿足于信息文字的傳輸,而越來越多的選擇視頻通訊信息的交流方式。所以,基于IP系統的網絡傳輸環境建立的視頻通信網,被各種企事業單位廣泛的采用,這種通信網的使用優勢不僅在于可以大大的降低通訊成本,還可以簡化操作和控制流程,有利于相關部門的監督和管理工作的執行,所以,是目前最普遍的一種通訊網形式。
另外,基于IP系統的通信網是嚴格按照國際上的相關標準制定的餓,符合國際運行安全標準的通信網。實踐證明現行的IP通信網的安全防護系統已經較為成熟。
2、網絡防火墻設置應用與視頻通訊信息安全的維護
正如我們所知道的,一般的網絡應用程序都是要受到其所依托的網絡運營環境的制約,不論是基于H.323標準體系的視頻通訊,還是基于SIP的標準體系。從長遠規劃來看,這樣的情況一方面會影響到視頻產品選型以及系統結構的方案,另一方面還會對網絡環境自身的更新換代產生類似的副作用。縱觀這些影響因素,基于網絡環境傳輸條件本身,怎么樣才能更好地解決“防火墻”設置應用問題從而改善其對視頻通訊系統的影響是所有的視頻通訊用戶、視頻通訊設備建設單位、視頻生產商甚至網絡廠商必須直接面對的一個重要問題。比如通過對協議中對“握手”的定義,我們可以發現,H.323和SIP有兩種體系的標準。而同時保證視頻通訊過程和網絡安全的“防火墻”、NAT等機制存在的則是無法回避的矛盾。
那么我們所知道的關于常用的 “防火墻”,其安全性能的工作原理主要是利用屏蔽掉外部數據對受保護的網絡通訊中計算機的數據鏈接,而僅僅依靠開放少數指定的地址和通信端口,來確保Internet服務器等工作設備的正常使用。
我們通過調查分析得出,現在各企事業單位、國家各機關網絡通信安全情況,均處于平衡飽和狀態,這些單位和機關在保護措施的選擇上通常是“防火墻”和NAT同時并用,即在被保護的網絡中單獨設置一個DMZ區域供Internet及E-ma il等服務器共享,把在辦公室內使用的計算機統一起來放在一個網絡當中,即受保護的位置,那么內網之外的數據如果想要被內網接收就需要設置一個轉換設備才能達到,然而這樣保護起來則使位于內網的A要與位于外網的B實現某種信息共享,或者視頻傳輸就存在一定的困難,因此就需要研發出一種新型的通訊設備來聯絡內外網的互通關系。我們能想象的到常用的網絡通訊數據傳輸通訊在這樣的網絡結構模式下,一般進行內外網的互訪是沒有任何的障礙的,但是對于特殊的、非常規的網絡應用來說,基于H.323體系或者SIP體系的視頻音頻通訊設備進行互通的數據集,也就是我們所說的“握手”時,提出交換數據申請的一方在數據傳輸過程中會把自己的IP地址包含在內,但是這個IP地址是處于非公開狀態的、含有隱私意義的私人有效地址,這樣一來就會遭到所設置的網絡防護墻的安全隔離,一旦在指定時間內不能及時的作出回應,另一接受數據的端口就視為對方拒絕回應。所以僅僅依靠開放端口進行補救兩端的信息傳遞、互通數據,對于有嚴格合法性、“同源性”檢查的H.323網絡信息通訊系統來說是很困難的。即:視頻音頻數據能從一端傳送到另一端,但對于處于接收端位置的網絡系統來說,卻很難做出回應。此類現象在實際的視音頻網絡通訊過程是經常出現的狀況。
那么如何既能很好地傳遞相互間的信息,又能保證視頻音頻通訊安全呢?關于這點,網絡設備商和運行商都做了很多有益的探索,成效也是有目共睹的,他們的做法比較一致,即通過更新系統標準或者建立與原系統標準相兼容的防火墻設備,盡量在廣大的用戶中推廣新的防火墻替代品,或者是加強研發團隊的不斷升級、更新換代從而擁有更多、更豐富的功能。
3、相關措施進行了探討
3.1 采取網絡VPN開放設置
該方法一般說來是采取視頻音頻設備的自身升級換代為主要手段,基本不改變所使用網絡的基礎設備的改造,在降低成本這方面十分有利。這樣操作的方法主要是直接將視頻設備放置在DMZ區或直接放置在外網,然而這種方法是以基本喪失對視頻產品進行網絡安全保護為重要代價,另外和內網之間本來的“絕緣”沒有取消,就很難在桌面上實現對音頻視頻的應用。所以這種辦法目前比較適合在有較好的安全保障的專網使用,或在VPN的內部使用。
3.2 選用支持NAT的視頻產品
由于H.323產品在應用過程中會顯示用戶的基本信息,所以必須對其信息進行加密,然后再經過NAT的轉換,被邀請端的設備難以給予有效的應答,因而部分H.323產品通過在呼叫過程中,將用有效的NAT映射地址取代本地私有地址來完成呼叫應答,這樣就解決了地址解析問題。如VTEL公司的VISTA系列產品,不但可以支持NAT的地址解析,還可以指定NAT端口,這樣做更有利于網絡設置。這種方案對單一NAT機制十分有效,如ADSL等PPPOE網絡環境下,可以在不附加其他網絡或H.323設備的基礎上解決問題。
3.3 服務器
計算機網絡的安全評價是計算機操作和運行過程中的一個重要的環節。影響計算機網絡安全的因素有很多,例如硬件、軟件設備、計算機程序、操作方式、網絡環境等。傳統的計算機網絡安全評價是一個線性評價的過程,不能對各種影響因素進行綜合的評價,在評價的精度上也不高。神經網絡是在傳統評價方式上進行優化的一種評價手段,采用了更為合理的評價標準,然后通過專家打分的方式確定各個影響因素在評價指標中所占到的比重,最后得出計算機網絡的安全評價。
關鍵詞:
神經網絡;計算機;網絡安全評價;應用
伴隨著網絡技術的發展,計算機網絡安全的影響因素也在不斷增加,病毒、系統漏洞、黑客入侵等多種安全隱患對計算機的功能和操作都能產生了極大的影響。這些影響因素之間還會相互影響,形成錯綜復雜的非線性關系,給網絡系統安全性的定量評價帶來了極大的難度。計算機網絡安全的傳統評價方式采用的是線性評價的模式,在操作上較為復雜,且精度不高,已經無法在實際應用中發揮有效的作用。另一種專家評價方式則帶有較強的主觀性,且對專家自身的專業素質和工作經驗有著較高的要求,評價的結果往往難以驗證。神經網絡是近幾年發展起來的新型評價方式,它是由許多神經元組成的,能夠對網絡的安全性進行非線性的評價,并完成對網絡的簡單維護和控制,與傳統評價方式相比,神經網絡在評價精度和效率上都有較大的提高。
1神經網絡的特點及發展
神經網絡的提出是在上個世紀中期。生物學家和物理學家首次嘗試將兩個學科的研究結合起來,形成了神經網絡模型。這種模型是以人腦的神經網絡為模板,模擬了人腦處理信息和傳遞信息的過程。通過數學學科對網絡的結構、神經元的組成等進行研究,以及生物學對神經元的功能、作用原理等進行研究,成功模擬出了神經網絡模型。這一模型的提出為神經網絡在計算機安全評價方面的應用奠定了基礎。上個世紀中后期,計算機領域的專家將神經網絡的模型應用到了計算機網絡安全的研究上,并在原始模型的基礎上,增加了模型的感知功能,并與計算機技術進行了結合,在工程學領域進行了應用。神經網絡模型在計算機網絡上的應用能夠實現對聲波的檢測和識別,并且確定目標物的精確位置。這促進了神經網絡技術的進一步發展。上個世紀末,計算機專家又提出了一種新的映射網絡模型,利用映射中的拓撲結構,對計算機的功能進行了模擬。1982年,生物學家對神經網絡的性質進行了更深層的研究,從而發現神經網絡是一種非線性的結構,由此神經網絡為計算機網絡安全的評價提供了一條新的思路。
2計算機網絡安全評價體系概述
計算機網絡安全是現在人們關注的重點問題之一,所謂的計算機網絡安全就是指通過合理的措施確保計算機中的數據信息的安全性和可靠性。計算機網絡安全包括兩部分的內容,第一部分是邏輯安全,所謂的邏輯安全是指保證計算機中存儲的數據信息的完整性和安全性;第二部分是物理安全,所謂的物理安全是指要對計算機的硬件設施進行檢查,保證計算機的硬件設施、系統處于安全運行狀態,避免出現計算機硬件設施運行異常的情況。但需要注意的是計算機網絡安全不僅僅包括上述這些內容,隨著網絡技術的不斷發展,計算機網絡安全還應包括網絡信息共享的安全性。通過上述的分析不難發現,計算機網絡安全具有下述幾個特征。第一,計算機網絡安全具有一定的保密性,計算機網絡中傳輸的數據信息有很大一部分是需要保密的,因此為了保證網絡傳輸信息的安全,必須要加強計算機網絡安全建設;第二,計算機網絡安全具有一定的完整性,計算機中無論是存儲的數據還是傳輸的數據都應保證其完整性,這樣才能滿足相應的使用要求;第三,計算機網絡安全應具有一定的可控性,計算機網絡安全性應是處于可以控制的范圍內,如果不能滿足這一要求,則會影響計算機網絡的使用效果。近年來,隨著科學技術的不斷發展,計算機網絡安全面臨的挑戰愈加嚴峻,在這種情況下,必須要加強對計算機網絡安全的重視。計算機網絡安全評價是實現網絡安全保護的重要環節之一,只有對網絡中存在的安全隱患進行有效的評估和檢測,才能有針對性地制定解決方案,從而實現網絡的安全穩定運行。隨著評價方式的不斷豐富和評價標準的不斷完善,逐漸形成了一個完整的網絡安全評價體系。網絡安全評價體系的建立需要遵循一些基本的原則。首先是準確性原則,建立計算機網絡安全評價體系的根本目的就是要有效識別網絡中的安全隱患,確保網絡環境的安全可靠,評價的準確性直接影響了網絡安全維護的質量。其次是獨立性,要對網絡安全進行評價必須要有一定的安全標準,這就需要設置一系列的評價指標,各個指標之間都應當是相互獨立的,不應當在內容上產生重疊,防止指標之間的相互影響。第三是簡潔性原則,在確保評價準確的基礎上,要使評價的過程盡量的簡化,這樣才能提高評價的效率。第四是完善性原則,完善性就是要求指標應當包含對網絡安全性各個方面的評價,能夠從整體上反映出整個系統的運行狀態。最后是可行性原則,在選擇評價指標時應當考慮到指標能否在實際中進行操作和執行,因此,指標的設定應當盡量與實際操作結合起來。
3網絡安全體系的設定
根據網絡安全的狀況可以將計算機的網絡安全分為四個等級,分別是安全、有風險、有危險、非常危險。不同的安全等級可以采用不同的顏色進行標注。例如十分危險可以用紅色進行標注,表明網絡中存在極大的漏洞,需要立即進行處理。有危險可以用橙色進行標注,說明網絡中存在安全隱患,需要對網絡進行檢查,并進行一定的殺毒處理。有風險可以用黃色進行標注,說明網絡的運行的過程中出現了風險項,需要對網絡進行一定的檢測和調試,及時排除網絡中的風險項。安全可以用綠色來表示,說明網絡安全狀況良好,可以進行放心的使用。用顏色來表示不同的安全狀態是一種十分直觀的表示方式,能夠方便用戶在最短的時間內確認網絡的運行狀況。
4各評價指標的取值及標準化問題
計算機網絡安全評價由于各個指標所評價的因素不同,因此在指標的取值和標準上也有所不同。評價的方式主要有兩種,分別是定性評價和定量評價。這兩種評價方式的側重點有所不同,因此將兩項評價指標結合起來能夠更全面反映網絡的安全狀況。定量指標在進行取值時應當根據實際情況進行選取,不能對所有的定量指標采取一樣的評價指標。在進行標準化處理時則要將取值的范圍限定在0-1之間。對定性標準而言,采用專家打分的方式是較好的取值方式,不同的系統也要根據實際情況進行不同的等級評價。定性指標也應當進行一定的標準化處理。
5借助神經網絡建立計算機網絡安全評價的必要性
與傳統的算法相比,神經網絡算法有著明顯的優勢,例如,有較強的學習能力,能夠進行自我調解,精確度較高等。
5.1較強的適應性神經網絡具有良好的環境適應能力,當其處于輸入或輸出的狀態時,可以進行自我調節從而提高計算的精度,并對計算的過程進行反饋。
5.2容錯性神經網絡與傳統算法相比,最大的優勢在于它對噪音和不完善的信息具有較高的敏感度,這是由于神經網絡的每一個節點對應著網絡中的一個特征,當某一個節點中輸入的信息出現問題時,神經網絡能夠立即作出反應。
5.3可在線應用神經網絡運行的核心環節在訓練過程,因此在這一個階段會耗費較長的時間。一旦神經網絡完成這一個階段的工作后,就能快速的獲得計算結果,從而提高了安全評價的效率,能夠在在線系統的應用中獲得良好的效果。
6計算機網絡安全評價模型的設計
6.1輸入層輸入層的神經元節點數量應當根據計算機網絡安全評價指標的數量來確定。例如,當計算機安全評價模型中含有20個指標時,輸入層的神經元指標也必須為20個。
6.2隱含層絕大多數神經網絡的隱含層屬于單向隱含層。隱含層節點的數量直接決定著神經網絡的性能。當隱含層的數量過多時會導致神經網絡的結構過于復雜,信息傳輸的速率較低。當隱含層的節點數量較少時,神經網絡的容錯能力會減弱。因此,隱含層節點的數量必須進行合理地選擇。根據實際操作的經驗,通常隱含層的節點數量為5個時能夠起到較好的評價作用。
6.3輸出層輸出層的節點數量通常為2個,可以通過不同的組合方式來表示不同等級的網絡安全狀態。例如,(1,1)表示安全,(1,0)表示存在風險,(0,1)表示存在危險,(0,0)表示非常危險。
7計算機網絡評價的具體步驟
計算機網絡評價的具體過程分為兩個步驟:首先是構建計算機網絡安全評價體系,其次是使用粒子群優化的方法對BP神經系統進行優化,改善BP神經網絡自身的缺陷,提高其性能。BP神經網絡的優化方法有以下幾點:對BP神經網絡的目標量、函數等進行初始化;對粒子的初始速度、初始位置、動量參數等進行設置和調整;通過粒子群的集中來完善BP神經網絡的功能,對網絡的適應度作出評價;對每個神經元進行歷史適應度與當前適應度的對比,若當前的適應度是歷史最高時,就應當及時保存,并將此作為評價的標準;計算每個粒子的慣性;當粒子的位置和運動速率產生變化時,記錄粒子群之間的適應度誤差,并做好相應的記錄;對系統適應度的誤差進行統計。
8計算機網絡安全評價的原理
計算機的安全評價原理是依據相關的評價標準,先確定評價的范圍和內容,再根據網絡的實際運行狀況和安全狀態,對網絡中可能出現安全隱患的區域進行預測,并采取制定的標準進行評價,最終得到網絡安全等級。在這一過程中,合理地選擇計算機網絡的評價因素、建立正確的評價模型是關鍵的環節。計算機網絡是一個非線性的結構,安全漏洞的出現具有突發性和多變性。而神經網絡具有非線性的評價功能,用它來進行計算機網絡的安全等級評價是一種科學性較高的評價模式,能夠有效地提高評價的精度。
8.1計算機網絡安全評價指標體選擇計算機是一個十分復雜的體系,影響其安全等級的因素有很多,要確保安全評價的準確性就要建立起一個完善、合理的評價體系。計算機網絡安全評價指標的選擇應當從管理安全、物理安全、邏輯安全等幾個方面進行考慮,并采用專家系統對安全評價標準的選擇進行調整和確定,確定各個指標在最終的評價體系中所占的比重。
8.2計算機網絡安全指標的歸一化處理由于各個指標之間的評價方式有所不同,因此不同的指標之間是無法進行直接的比較的。為了便于進行指標之間的比較,并加快神經網絡的收斂速率,需要對指標進行歸一化處理。定性指標可以通過專家打分的方式進行歸一處理,定量指標則需要經過一定的公式計算進行歸一化處理。
8.3BP神經網絡算法BP神經網絡是當前最常用的一種神經網絡模型。它采用的是梯度下降的算法,可以對誤差進行反向計算,從而對網絡的閾值進行不斷的調整,減少計算的誤差。BP神經網絡具有強大的非線性逼近能力,計算方法較為簡單,但是也有一定的缺陷,例如容易陷入局部極值,從而防止了有效的收斂,此外,BP神經網絡還有全局能力不強的缺點,由于BP神經網絡采用的是反向傳播的下降算法,所以收斂速度極慢。
9神經網絡系統在計算機網絡安全中的應用
計算機網絡具有傳遞數據、分享信息的功能,當前已經在眾多領域進行了應用,包括商務、貿易、信息管理等。而網絡黑客則利用了計算機網絡的安全漏洞,對系統進行攻擊和入侵,并竊取了客戶重要的個人信息和商業信息,給用戶造成了極大的經濟損失,并對整個社會造成惡劣影響。神經網絡系統在計算機信息傳遞的過程中起到了過濾非法信息的作用。在網絡世界中,信息的傳遞是雙向的,而在神經網絡的模式下,信息的輸入和輸出都要經過神經網絡的過濾作用。神經網絡的三個組成部分,輸入層、輸出層、隱含層都對信息有過濾的作用,經過三層的過濾作用,信息的安全性有了更好的保障。在這三層中,隱含層起到了關鍵性的作用。輸入的信息都要先經過隱含層,在經過隱含層的處理后,再通過輸出層傳出。在信息傳輸的過程中,若發現信息存在異常,可以輸送回上一層進行信息的重新核對,信息重新進行上述的處理過程,直到確認信息無誤后才會輸出。神經網絡系統的應用極大地提高了網絡的安全性,從而為人們提供了一個良好的網絡環境。盡管神經網絡系統有上述的這些優點,但也存在一定的缺陷。雖然神經網絡的靈活性和適應性較強,但對缺失信息的反應不如傳統算法靈敏。在神經網絡中,一個節點只能反映一個網絡問題,一旦一個節點發生問題后,整個神經網絡都會作出相應的反應。神經網絡具有較好的延展性,可以容納多種類型的樣本數據。神經網絡還具有較好的學習適應能力,可以歸納總結運行過程中的運算規律,自動調節信息輸入輸出的形式,從而減少數據的誤差。神經網絡還能在有線網絡中進行應用,因此可以進行大范圍的推廣。大量的節點共同組成了神經網絡,相鄰的節點之間都是相互連接的,從而確保了信息傳遞的效率。神經系統能夠自動的調節節點之間的關聯,具有一定的智能化操作功能,還可以對問題進行簡單的分析。神經系統的結構較為復雜,在處理信息的過程中可以產生多種不同的組合類型,并從這些組合中優選出最佳的組合方式。但這種結構也會導致在信息處理的過程中一些細小的問題容易被忽視,在一定程度上影響信息處理的精度。一些復雜的數據采用神經網絡的處理方法速率會十分的緩慢。在輸入信息不斷增加的過程中,計算機內部的存儲壓力會顯著上升,進一步影響信息的處理速度。神經網絡與人工智能的功能還是存在一定的差距的,在性能和結構上還有進一步完善的空間。
10結束語
神經網絡是將生物學與數學進行結合的典范,將兩個學科的優勢充分的利用起來。神經網絡在計算機網絡安全評價中能夠起到良好的效果,可以在未來進行進一步的推廣應用。
參考文獻:
[1]李忠武,陳麗清.計算機網絡安全評價中神經網絡的應用研究[J].現代電子技術,2014(9):11-13.
[2]鄭剛.計算機網絡安全評價中神經網絡的應用研究[J].網絡安全技術與應用,2014(7):33-36.
論文關鍵詞:高師計算機專業;信息安全;法律法規課程
人類進入21世紀,現代信息技術迅猛發展,特別是網絡技術的快速發展,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網絡犯罪,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業的教育工作者來說,面臨著前所未有的機遇和挑戰,這不僅因為,自己一方面要傳授學生先進的網絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業學生中開設與信息安全有關的法律法規課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環境下的高師計算機專業學生信息安全法律法規教學的新特點、新方法、新途徑、新對策已成為高師計算機專業教育者關心和思考的問題.本文主要結合我校的實際,就如何在高師計算機專業中開設信息安全法律課程作一些探討.
1現有的計算機專業課程特點
根據我校人才培養目標、服務面向定位,按照夯實基礎、拓寬專業口徑、注重素質教育和創新精神、實踐能力培養的人才培養思路,溝通不同學科、不同專業之間的課程聯系.全校整個課程體系分為“通識教育課程、專業課程(含專業基礎課程、專業方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業課程的特點介紹.
1.1專業基礎課程專業基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養,夯實基礎,拓寬專業口徑.考慮到學科知識體系、學生轉專業等需要,原則上各學科大類所涵蓋的各專業的學科專業基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等.
1.2專業方向課程各專業應圍繞人才培養目標與規格設置主要課程,按照教育部《普通高等學校本科專業目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發展的需要,在任一方向課程組中選擇規定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業旨在培養一批適合現代軟件工程、網絡工程發展要求的軟件工程、網絡工程技術人員,現有我校的計算機專業課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發展,人們更廣泛的使用網絡、更關注信息安全這一事實,作為計算機專業的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業學生開設信息安全法律法規的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養體系的重要途徑與任務.
高師計算機專業,雖然沒有開設與信息安全專業一樣多與信息安全的有關技術類課程.但這些專業的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業的學生中開設相關的法律法規選修課程是必要的.
2.2可行性技術與法律原本并不關聯,但是在信息安全領域,技術與法律卻深深的關聯在一起,在全世界各國都不難發現諸如像數字簽名、PKI應用與法律體系緊密關聯.從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據前面對信息安全法律法規內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多,有數學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯系十分緊密,新方法、新技術以及新問題不斷涌現,這給信息安全課程設置帶來了很大的難度,為使我校計算機專業學生了解、掌握這一新技術,我們在專業課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業課、專業選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規內容的特點
信息安全的特點決定了其法律、法規內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規.
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優先發展的地位.
5高師信息安全技術課程中的法律法規內容教學目標
對于計算機專業或信息安全專業的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規,深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業的角度研究信息安全所涉到的法律法規,為此,開設信息安全法律法規課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規和標準.如:《中華人民共和國信息系統安全保護條例》,《中華人民共和國數字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規課程設置探討
根據我校計算機專業課程體系結構,信息安全有關的法律法規課程,其中多數涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規基礎講座:本講座力圖改變大家對信息安全的態度,使操作人員知曉信息安全的重要性、企業安全規章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規,主要內容包括:國內信息安全法律法規概貌、我國現有信息安全相關法律法規簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數據隱藏、惡意代碼、主流操作系統取證技術,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
關鍵詞:多媒體教學;計算機系統;安全保護;遠程教育;技術研究
計算機信息系統的安全保護,應當保障計算機及其相關的和配套的設備的安全,運行環境的安全,保障信息的安全.保障計算機功能的正常發揮,以維護計算機信息系統的安全運行。也就是說。我們應在計算機硬件、軟件及運行環境等網絡的各個環節上,考慮來自網絡系統內部和外部兩方面的因素,從管理和技術上著手,制訂比較完善的網絡系統安全保護策略。
一、網絡安全現狀
據統計,我國現有企業的網絡安全現狀是不容樂觀的,其主要表現在以下幾個方面:信息和網絡的安全防護能力差;網絡安全人才缺乏;企業員工對網絡的安全保密意識淡薄,企業領導對網絡安全方面不夠重視等。一部分企業認為添加了各種安全產品之后,該網絡就已經安全了,企業領導基本上就是只注重直接的經濟利益回報的投資項目,對網絡安全這個看不見實際回饋的資金投入大部分都采取不積極的態度,其中起主導作用的因素還有就是企業缺少專門的技術人員和專業指導,導致我國目前企業的網絡安全建設普遍處于不容樂觀的狀況。
二、網絡安全常見威脅
(一)計算機病毒
計算機病毒指在計算機程序中插入的破壞計算機功能和數據、影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經常表現為:藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等,并且在短時間內傳播從而導致大量的計算機系統癱瘓,對企業或者個人造成重大的經濟損失。
(二)非授權訪問
指利用編寫和調試計算機程序侵入到他方內部網或專用網,獲得非法或未授權的網絡或文件訪問的行為。如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。
(三)木馬程序和后門
木馬程序和后門是一種可以通過遠程控制別人計算機的程序,具有隱蔽性和非授權性的特點。企業的某臺計算機被安裝了木馬程序或后門后,該程序可能會竊取用戶信息,包括用戶輸入的各種密碼,并將這些信息發送出去,或者使得黑客可以通過網絡遠程操控這臺計算機,竊取計算機中的用戶信息和文件,更為嚴重的是通過該臺計算機操控整個企業的網絡系統,使整個網絡系統都暴露在黑客間諜的眼前。
三、網絡的安全策略
(一)更改系統管理員的賬戶名
應將系統管理員的賬戶名由原先的Administrator改為一個無意義的字符串,這樣要疊錄的非法用戶不但要猜準口令。還必須猜出用戶名,這種更名功能在域用戶管理器的User Properties對話框中并沒有設置,用它的User-*-Rename菜單選項就可以實現這一功能。如果用的是NT4.0。可以用Resource Kit中提供的工具封鎖聯機系統管理員賬號,這種封鎖僅僅對由網絡過來的非法疊錄起作用。
(二)關閉不必要的向內TCP/IP端口
非法用戶進入系統并得到管理員權限之后。首先要做的,必定設法恢復管理員刻意廢止的TCP/IP上的NetBIOS裝訂,管理員應該使用路由器作為另一道防線。即提供web和FTP之類公共服務的NT服務器,這種情況下,只須保留兩條路由器到服務器的向內路徑:端日80的H1vrP和端日2l的FTP。
(三)防火墻配置
防火墻是在2個網絡間實現訪問控制的1個或1組軟件或硬件系統,它是外部網絡與內部網絡之間的第1道安全屏障。本建設方案主要采用硬件防火墻,其主要功能就是屏蔽和允許指定的數據通訊,而這個功能的實現又主要是依靠一套訪問控制策略,由訪問控制策略來決定通訊的合法性,該控制策略的具體內容由企業的安全管理員和系統管理員共同來制定。
制定的防火墻安全策略主要有:所有從內到外和從外到內的數據包都必須經過防火墻;只有被安全策略允許的數據包才能通過防火墻;服務器本身不能直接訪問互聯網;防火墻本身要有預防入侵的功能;默認禁止所有服務,除非是必須的服務才允許。而其他一些應用系統需要開放特殊的端口由系統管理員來執行。
(四)VLAN 的劃分
VLAN 是為解決以太網的廣播問題和安全性而提出的一種協議。它在以太網的基礎上增加了VLAN 頭,用VLAN ID 把用戶劃分為更小的工作組,限制不同VLAN 之間的用戶不能直接互訪,每個VLAN 就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態管理網絡。VLAN 之間的訪問需要通過應用系統的授權來進行數據交互。為保護敏感資源和控制廣播風暴,在3 層路由交換機的集中式網絡環境下,將網絡中的所有客戶主機和服務器系統分別集中到不同的VLAN 里,在每個VLAN 里不允許任何用戶設置IP、用戶主機和服務器之間相互PING,不允許用戶主機對服務器的數據進行編輯,只允許數據訪問,從而較好地保護敏感的主機資源和服務器系統的數據。采用3層交換機,通過VLAN 劃分,來實現同一部門在同一個VLAN 中,這樣既方便同部門的數據交換,又限制了不同部門之間用戶的直接訪問。
(五)身份認證
身份認證是提高網絡安全的主要措施之一。其主要目的是證實被認證對象是否屬實,常被用于通信雙方相互確認身份,以保證通信的安全。常用的網絡身份認證技術有:靜態密碼、USB Key 和動態口令、智能卡牌等。其中,最常見的使用是用戶名加靜態密碼的方式。而在本方案中主要采用USB Key的方式。基于USB Key 的身份認證方式采用軟硬件相結合,很好地解決了安全性與易用性之間的矛盾,利用USB Key內置的密碼算法實現對用戶身份的認證。USB Key身份認證系統主要有2種應用模式:一是基于沖擊、響應的認證模式;二是基于PKI 體系的認證模式。
(六)制訂網絡系統的應急計劃
為了將由意外事故引起的網絡系統損害降低到最小程度,企業應制訂應急計劃。以防意外事故使網絡系統遭受破壞,該應急計劃應包括緊急行動方案及軟、硬件系統恢復方案等,絕對的安全是沒有的,安全標準的追求是以資金和方便為代價的。我們應隨時根據網絡系統的運行環境而采用相應的安全保護策略。通過對計算機網絡系統安全問題的充分認識,以及行政、技術和物質手段的保證。網絡系統就能夠有足夠的安全性來對付各種不安全問題。
【關鍵詞】跨區域 企業 組網模式
1 前言
所謂跨區域企業,是指企業分支機構分布在不同地理位置的企業。目前,常見的跨區域企業的組網模式有專線、VPN和 VPDN三種。專線組網模式通過租用運營商企業專線實現跨區域企業不同分支機構的互聯,具有安全性高、可靠性高的特點。VPN模式又叫虛擬專用網絡,是利用加密技術在公用網絡上建立企業專用網絡的技術,具有成本低、安全性適中的優點。VPDN簡稱虛擬專用撥號網,是基于撥號用戶的虛擬專用撥號網業務,具有安全性高、部署靈活的優點。下面分別就專線組網、VPN組網和VPDN組網模式進行探討。
2 專線
專線方式通過租用運營商專線的方式連接跨區域企業的不同分支機構。所謂專線是指,運營商通過傳輸設備為企業搭建一條專享的通訊鏈路。企業所有的數據均在獨立的、私密的通路上進行傳輸。該種方式能為企業提供帶寬穩定、可靠和安全的數據通路。但具有建設周期長、成本高昂和部署不靈活的缺點。專線按類型可以劃分為ADSL專線、DDN專線、FR專線、SDH專線、ATM專線和MSTP專線。目前ADSL專線、DDN專線和FR專線已逐步退出了歷史舞臺,當下比較常用的專線接入方式是ATM專線、SDH專線和MSTP專線。ATM是面向連接的通信方式,在通信前先在收與發終端間建立一條連接,通信時報文不斷地在該連接上傳送,具有傳輸時延小、可靠性高的優點。SDH又稱同步數字體系,是一種將復接、線路傳輸及交換功能融為一體、并由統一網管系統操作的綜合信息傳送網絡。MSTP是基于SDH 的多業務傳送平臺,是基于SDH 平臺實現以太網業務的接入、處理和傳送。MSTP線路具有帶寬靈活配置的優點,運營商可以在三個工作日內完成帶寬提速操作。
3 IPSec VPN
VPN又稱虛擬專用網絡,是利用加密技術在公網上建立專用網絡的技術,具有成本低,易于使用的優點。VPN廣泛應用于組織總部和分支機構之間的組網互聯,其利用組織已有的互聯網出口,虛擬出一條“專線”,將組織的分支機構和總部連接起來,組成一個大的局域網。具體做法為,在企業總部和各分支機構部署VPN設備,各個VPN設備之間通過互聯網建立連接關系,基于IPSEC協議建立總部和各個分支機構之間的安全隧道。所有企業總部和分支機構之間的數據,均通過安全隧道進行傳輸。即使數據被公網上的黑客獲取,也無法獲取和篡改數據,有效地保證了數據的安全性和完整。IPSec是由IETF 定義的安全標準框架,用以提供公用和專用網絡的端對端加密和驗證服務,具有不可否認性、反重播性、數據完整性和數據可靠性等安全特性。IPSec由兩類協議組成:AH協議和ESP協議。AH常用MD5和SH1來保證數據完整性,用DES、3DES和AES來保證數據安全性。在企業組網實踐中,可以根據安全性需求進行選用。
4 VPDN
VPDN又稱為虛擬專用撥號網,是基于撥號用戶的虛擬專用撥號網業務。VPDN采用專用的網絡安全和通信協議,可以使企業總部和分支機構之間通過虛擬的安全通道進行連接。根據運營商實現方式的不同,VPDN可以分為L2TP模式和GRE模式。其中GRE模式中,地址分配和認證由運營商完成。這種方式極大簡化了企業運維成本,但安全性和靈活性稍差。L2TP模式下,地址分配和接入認證在企業側完成。對企業而言,具有很好地安全性和靈活性。下面以L2TP模式為例,介紹跨區域企業VPDN組網實踐。在L2TP模式下,企業一般在總部部署LNS和防火墻,在各分支機構部署3G/4G路由器,運營商側部署LAC設備。運營商側的LAC設備與企業總部的LNS建立L2TP安全隧道,對企業分支機構至總部的數據進行加密。分支機構與總部進行通訊時,首先會觸發3G/4G路由器進行撥號,3G/4G路由器會通過PAP協議傳輸用戶認證信息到企業總部的LNS服務器,LNS服務器再通過企業總部的安全設備進行身份認證。身份認證通過后,企業分支機構與總部之間就建立起了一條安全數據通路。
以上分別介紹了專線、VPN和VPDN三種常見的跨區域企業組網模式。在安全性上,專線模式最高、其次VPDN模式、VPN模式最差;再靈活性上,VPDN最高、其次VPN、專線模式最差;在可靠性上,專線模式最優、VPN模式次之、VPDN最差;在運營成本上,專線模式最高、VPDN次之、VPN最低。在跨區域企業組網實踐中,網絡架構師應該根據企業成本承受能力、技術力量,以及安全性、可靠性的具體需求,選擇適應的一種或幾種組網模式。一般來說,實時性和安全性要求較高的企業,應該選用專線組網模式;實時性要求不高、要求有一定部署靈活性企業應該選用VPN組網模式;安全性要求較高、實時性要求不高的企業選擇VPDN方式較為適宜。
參考文獻
[1]陳霜霜.計算機網絡安全的研究與探討[J].科技信息,2011.
