時間:2023-09-14 17:43:41
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全分析,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:IPv4;IPv6;網絡安全;分析
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2008)16-21207-01
The Analysis of IPv6 and IPv4 Network Security
ZHANG Lian-huan, ZHU Xiao-fei
( 91065 Army, Huludao125001,China )
Abstract: This article first make a summary of IPv4 and IPv6 ,discussed the shortcomings of IPv4 and IPv6 advantages. Then IPv4 security flaws were analyzed, discussed IPv6 improve on these deficiencies, at the last the IPv6 security issues are also analyzed.
Key words: IPv4 and IPv6; network security; analysis
隨著網絡的繁榮發展,加上最初設計的地址分類方法不合理,造成了今天IP地址極度缺乏的狀況。其次,由于它起初主要面向研究和開發機構,對安全性的考慮不是很充分,而在實現網絡商業化的今天,不安全的通信信道帶來的網絡攻擊越來越多,其影響力也越來越大。IPv4獲得的巨大成功反而使得它本身陷入了一個尷尬的境地,此時IPv6的推出成為大勢所趨。
1 IPv4與IPv6概述
第一代互聯網美國軍方從60年代開始,70年代正式進行開發建設,1994年正式投入商業運營,并統一采用TCP/IP協議[1]。IPV4之所以向IPV6演進,主要是因為IPV4的地址協議出現明顯的局限,IP地址已經不能滿足需要。IPV4的IP地址大約為40多億,但是卻存在著嚴重的分配不均勻問題,其中美國掌握了絕對的控制權,IP地址分配上美國占著絕對的優勢。造成了我國的公眾網因IP地址匱乏,被迫大量使用轉換地址,嚴重影響了互聯網的正常發展,這就形成了對IPV6的迫切需要。下面對IPV4和IPV6進行簡單介紹:
1.1 IPv4
目前的全球因特網所采用的協議族是TCP/IP協議族。IP是TCP/IP協議族中網絡層的協議,是TCP/IP協議族的核心協議。目前IP協議的版本號是4(簡稱為IPv4),發展至今已經使用了30多年。IPv4的地址位數為32位,也就是最多有2的32次方的電腦可以聯到Internet上。有預測表明,所有IPv4地址將在2005~2010年間分配完畢。另外,由于IPv4采用與網絡拓撲結構無關的形式來分配地址,所以隨著連入網絡數目的增漲,路由器數目飛速增加,相應的,決定數據傳輸路由的路由表也就不斷增大,路由器在路由表中查詢正確路由的時間就越長。IPv4也缺乏網絡服務質量的支持,也沒有對移動服務的支持。
1.2 IPv6
IPV6設計的初衷就是為了擴大地址空間,擬通過IPv6重新定義地址空間可以滿足互聯網發展的需要。IPv6采用128位地址長度,幾乎可以不受限制地提供地址。按保守方法估算IPv6實際可分配的地址,整個地球的每平方米面積上仍可分配1000多個地址。在IPv6的設計過程中除了一勞永逸地解決了地址短缺問題以外,還考慮了在IPv4中解決不好的其它問題,主要有端到端IP連接、服務質量(QoS)、安全性、多播、移動性、即插即用等。具體地說,IPv6具有以下優勢:①擴展了地址容量,IPv6支持的IP地址長度由原來的32位擴充到128位;②自動地址分配,使IPv6終端能夠快速連接到網絡上,無需人工配置,實現了真正的即插即用。③簡化了報頭格式,有效減少了路由器及交換機對報頭的處理開銷;④提高了服務質量,IPv6數據包的格式包含一個8位的業務流類別(Class)和一個新的20位的流標簽(Flow Label),可以知道數據包的QoS需求,并進行快速的轉發;⑤提供了認證和私密性,IPv6將IP安全性(IPSec)作為自身標準的有機組成部分;⑥支持移動服務,IPv6對于移動性的支持是作為一個必需的協議內嵌在IP協議中的,IPv6的移動性支持取消了異地,完全支持路由優化,徹底消除了三角路由問題,并且為移動終端提供了足夠的地址資源,使得移動IP的實際應用成為可能。
2 IPv4的安全分析
在IPv4體系下,網絡層幾乎是毫無安全性可言的。
(1) IPv4地址分配的不合理性,導致IP地址分布十分零散。這就使得偽造源IP地址進行網絡攻擊成為可能,攻擊者可以任意偽造源IP地址對目標地址進行攻擊。
(下轉第1213頁)
(上接第1207頁)
(2) 由于網絡中存在的MTU的限制,因此傳送大于該網絡MTU的數據包要進行分片,但由此也會帶來安全上的漏洞。攻擊者只需要2個UDP分片,即可造成一些操作系統崩潰。
(3) 假冒IP地址,即攻擊者利用被攻擊者的IP地址或者一個根本不存在的地址作為特殊數據包的源地址,通過發送大量數據包占用被攻擊者的資源,造成被攻擊者的不正常工作。
3 IPv6安全分析
3.1 IPv6的改進
IPv6的巨大地址空間以及引入IPSEC帶來的加密和認證機制,實現了網絡層的身份認證和數據包的完整性、機密性,增強了網絡層的安全,對于應對網絡威脅與攻擊,保障網絡通信安全成效顯著。IPv6的優勢具體有以下幾點:
3.1.1 IPv6地址資源豐富。
IPv6采用128位地址,且地址采用前綴表示法,格式前綴(也稱全局路由前綴)是一個IP地址的高位,它用來識別子網或某種特殊類型的地址。其中,在全球范圍內可唯一標識的地址是“可聚類全局單播地址”,它基于一個分層的原則,把128位地址分成6個部分,第一部分是標識該地址使用的是“可聚類全局單播地址”,第二部分用作保留,再往下依次是“次級聚類標識符”,“站點級聚類標識符”,最后64位表示接口ID,所以IPv6可以提供的IP地址資源更加豐富。
3.1.2 與IPSec有機結合
由于IPv4協議本身沒有對數據進行有效保護,無法保證數據的完整性、機密性以及對身份的驗證,在網絡安全方面存在較大隱患。因此,在設計IPv6時,協議安全作為一個重要的方面進行考慮,將IP安全體系結構(IPSec)納入了協議整體之中,成為協議的一個有機組成部分。數據網絡的安全威脅是多層面的,它們分布在物理層、數據鏈路層、網絡層、傳輸層和應用層等各個部分,IPSec通過身份驗證頭(AH)與封裝安全性凈荷頭(ESP)相結合,配合相關的密鑰管理機制, IPSec為網絡數據和信息內容的有效性、一致性以及完整性提供了保證。但在實際部署IPv6網絡時,由于技術能力不夠和現有安全基礎設施不足等原因,使得IPv6網絡往往沒有采用任何安全措施。而且,其網絡傳輸數據包的基本機制也與IPv4相同,所以現有的IPv6網絡并不比IPv4網絡安全,這也有待完善。
3.1.3 數據認證
IPv6使數據包的接收者可以驗證數據的真實性、完整性,還可以與數字簽名結合,保證數據的不可抵賴性,使數據在接收端可得到認證,確保數據的真實可靠。而且,IPv6允許數據傳輸采用隧道模式和傳輸模式兩種方式,它既可為兩個節點間的簡單直接的數據包傳送提供身份驗證和保護,也可用于對發給安全性網關或由安全性網關發出的整個數據包進行包裝,并加入認證信息。
3.1.4 數據加密
在使用IPv6網絡中用戶可以對網絡層的數據進行加密并對IP報文進行校驗,這極大的增強了網絡安全。
3.2 IPv6的安全缺陷
網絡安全永遠是一個相對概念,也不要指望IPv6能夠徹底所有的網絡安全問題。
IPv6中仍保留著IPv4的諸多結構特點,如選項分片和TTL等。這些選項都曾經被黑客用來攻擊IPv4節點。而且,目前為止,IPv6中并沒有提出新的安全策略――所有使用的安全策略都是在IPv4下已經存在的,因此它無法從根本上解決安全性能的問題。
IPv6主要解決的是網絡層的身份認證、數據包完整性和加密問題。因此,一些從上層發起的攻擊如應用層的緩沖區溢出攻擊和傳輸層的TCP SYN FLOOD攻擊等在IPv6下仍然存在。
IPv6協議本身還有一些問題有待解決,IP網中許多不安全問題主要是管理造成的。由于目前針對IPv6的網管設備和網管軟件幾乎沒有成熟產品出現,因此缺乏對IPv6網絡進行監測和管理的手段,缺乏對大范圍的網絡故障定位和性能分析的手段。沒有網管,無法保障網絡高效、安全運行。IPv6網絡同樣需要防火墻、VPN、IDS、漏洞掃描、網絡過濾、防病毒網關等網絡安全設備。事實上IPv6環境下的病毒已經出現。這方面的安全技術研發尚需時日。
參考文獻:
[1] 劉斌.淺析IPv4和IPv6.高校實驗室工作研究,2006(3).
[2] 高嵩,賈卓生.關于IPv4及IPv6的安全討論.計算機與現代化,2006(6).
[3] 楊碧天,常立夏,詹德新.IPv6安全性能研究.網絡安全技術與應用,2008(1).
[4] 劉世杰,李祥和.IPv6對網絡安全的改進.電視技術,2007(2).
【 關鍵詞 】 “互聯網+”時代;網絡安全;管理策略;安全體系
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
當今社會已經進入到了“互聯網+”時代,網絡安全與我們的生活息息相關,密不可分。網絡信息安全對于國家、社會、企業、生活的各個領域以及個人都有十分重要的作用和意義。目前,在網絡應用的深入和技術頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新。防火墻、VNP、IDS、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在互聯網絡中得到了廣泛應用。隨著大規模網絡的部署和應用領域的迅速拓展,網絡安全的重要性越來越受到人們的關注,但同時網絡安全的脆弱性也引起了人們的重視,網絡安全問題隨時隨地都有可能發生。近年來,國外一些組織曾多次對中國企業、政府等網站進行過大規模的網絡攻擊,網絡安全已滲入到社會生活的各個方面,提高網絡安全防護能力,研究網絡安全管理策略是一項十分緊迫而有意義的課題。
2 “互聯網+”時代網絡安全
互聯網本身在軟硬件方面存在著“先天”的漏洞,“互聯網+”時代的到來讓這只大網的規模急劇擴大,盡管在網絡安全防護方面采取了很多有效性措施,然而網絡信息所具有的高無形價值、低復制成本、低傳播成本和強時效性的特點造成了各種各樣的安全隱患,安全成為了互聯網絡的重要屬性。
2.1 內涵
“互聯網+”是指依托互聯網基礎平臺,利用移動互聯網、 云計算、大數據技術等新一代信息技術與各行業的跨界融合,發揮互聯網在生產要素配置中的優化和集成作用,實現產業轉型、業務拓展和產品創新的新模式。互聯網對其他行業的深入影響和滲透,正改變著人們的生成、生活方式,互聯網+傳統集市造就了淘寶,互聯網+傳統百貨公司造就了京東,互聯網+傳統銀行造就了支付寶,互聯網+傳統交通造就了快的、滴滴。隨著“互聯網+”時代的到來,迫切需要“網絡安全+”的保護,否則,互聯網發展的越快遭遇重大損失的風險越大,失去了安全,“互聯網+”就會成為沙中之塔。在國家戰略的推動下,互聯網產業規模的成長空間還很巨大,網絡安全,刻不容緩。
2.2 主要內容
“互聯網+”不僅僅是互聯網移動了、泛在了、與傳統行業對接了,更加入了無所不在的計算、數據、知識,給網絡安全帶來了巨大的挑戰和風險。網絡安全泛指網絡系統的硬件、軟件及其系統上的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不被中斷。從內容上看,“互聯網+時代”的網絡安全大致包括四個方面:(1)網絡實體安全主要是以網絡機房的物理條件、物理環境及設施、計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等為主;(2)軟件安全主要是保護網絡系統不被非法侵入,系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等;(3)數據安全主要是保護數據不被非法存取,確保其完整性、一致性、機密性等;(4)管理安全主要是網絡運行過程中對突發事件的安全處理等,包括采取安全分析技術、建立安全管理制度、開展安全審計、進行風險分析等。
2.3 基本要求
網絡安全包括五個基本要求:機密性、完整性、可用性、可控性與可審查性。(1)機密性是指保證網絡信息不被非授權用戶得到,即使得到也無法知曉信息內容,通過訪問控制、加密變換等方式阻止非授權用戶獲知信息內容;(2)完整性是指網絡在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等,以及網絡安全處理方法的正確性;(3)可用性是指網絡中的各類資源在授權人需要的時候,可以立即獲得;(4)可控性是指能夠對網絡系統實施安全監控,做到能夠控制授權范圍內的信息流向、傳播及行為方式,控制網絡資源的使用方式;(5)可審查性是指對出現的安全問題能夠提供調查的依據和手段,使系統內發生的與安全有關的行為均有說明性記錄可查。
3 “互聯網+”時代網絡安全分析
3.1 特征分析
近年來,無論是在軍事還是在民用信息領域中都出現了一個趨勢:以網絡為中心,各行各業與互聯網緊密相關,即進入了“互聯網+”時代。各類組織、機構的行為對網絡的依賴程度越來越大,以網絡為中心的趨勢導致了兩個顯著的特征:一是互聯網絡的重要性;二是互聯網絡的脆弱性。
網絡的重要性體現在現代人類社會中的諸多要素對互聯網絡的依賴。就像人們離不開水、電、電話一樣,人們也越來越離不開網絡,而且越是發達的地區,對網絡的依賴程度就越大。尤其是隨著重要基礎設施的高度信息化,直接影響國家利益及安全的許多關鍵基礎設施已實現網絡化,與此同時,這些社會的“命脈”和“核心”控制系統也面臨著更大的威脅,一旦上述基礎設施的網絡系統遭受攻擊而失靈,可能造成一個地區,甚至是一個國家社會功能的部分或者是完全癱瘓。
網絡的脆弱性體現在這些重要的網絡中,每時每刻都會面臨惡意攻擊、病毒傳播、錯誤操作、隨機失效等安全威脅,而且這些威脅所導致的損失,也隨著人們對網絡依賴程度的日益增高而變得越來越難以控制。互聯網最初基本上是一個不設防的網絡空間,其采用的TCP/IP、SNMP等協議的安全性很脆弱。它強調開放性和共享性,本身并不為用戶提供高度的安全保護。互聯網絡系統的脆弱性,使其容易受到致命的攻擊。事實上,目前我國與互聯網相連的大部分網絡管理中心都遭受過境內外黑客的攻擊或入侵,其中銀行、金融和證券機構是黑客攻擊的重點。
3.2 現狀分析
《2013年中國網民信息安全狀況研究報告》指出:整體上,我國網絡安全環境不容客觀,手機短信安全、應用軟件安全、計算機終端安全和各類服務器安全狀況不盡人意。
從數量規模上看,中國已是網絡大國,但從防護和管理能力上看,還不是網絡強國,網絡安全形勢十分嚴峻復雜。2015年2月,中國互聯網信息中心《第35次中國互聯網絡發展狀況統計報告》顯示,隨著“互聯網+”時代的到來,2014年中國網民規模6.49億,手機網民數量5.57億,網站總數3350000,國際出口帶寬達4118G,中國大陸31個省、直轄市、自治區中網民數量超過千萬規模的達25個。
從應用范圍上,“互聯網+”時代的到來使得龐大的網絡群體帶領中國進入了“低頭閱讀”時代,“微博客賬號12 億,微信日均發送160 億條,QQ 日均發送60 億條,新浪微博、騰訊微博日均發帖2.3 億條,手機客戶端日均啟動20 億次”的數據體現了中國網民的特征。
從網絡安全發展趨勢上看,網絡規模急劇擴大,增加了網絡安全漏洞的可能性;多個行業領域加入互聯網,增加了網絡安全控制的難度和風險;移動智能互聯設備作為互聯網的末端延伸,增加了網絡攻擊的新目標;互聯網經濟規模的躍升,增加了網絡管理的復雜性。
3.3 威脅分析
互聯網絡安全威脅主要來自于幾個方面:一是計算機網絡系統遭受病毒感染和破壞。計算機網絡病毒呈現出異常活躍的態勢,我國約73%的計算機用戶曾感染病毒,且病毒的破壞性較大;二是電腦黑客活動猖獗。網絡系統具有致命的脆弱性、易受攻擊性和開放性,我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入;三是網絡基礎設施自身的缺陷。各類硬件設施本身存在漏洞和安全隱患,各類網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。國內與網絡有關的各類違法行為以每年30%的速度遞增,來自于外部的黑客攻擊、病毒入侵和基于多IP的惡意攻擊持續不斷。
從網絡安全威脅對象上看,主要是應用軟件、新型智能終端、移動互聯設備、路由器和各類網站。2015年瑞星公司的《瑞星2014年中國信息安全報告》顯示,新增病毒的總體數量依然呈上漲趨勢,掛馬網站及釣魚網站屢禁不止。新增手機病毒上漲迅速,路由器安全、NFC支付安全、智能可穿戴設備等是當前網絡安全最為薄弱的環節。
從網絡安全狀態上看,僅2014年,總體網民中有46.3%的網民遭遇過網絡安全問題,在安全事件中,電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重,分別達到26.7%和25.9%,在網上遭遇到消費欺詐比例為12.6%。2015年2月境內感染網絡病毒的終端數為2210000,境內被篡改網站數量近10000個,3月電信網內遭受DDOS攻擊流量近18000TB。2015年5月底短短幾天,就有支付寶、網易、Uber等互聯網龍頭接連出現故障,這是海外黑客針對中國APT攻擊的冰山一角。
從網絡安全防護技術上看,一方面,安全問題層出不窮,技術日趨復雜。另一方面,安全問題的迅速發展和網絡規模的迅速擴大,給安全解決方案帶來極大的挑戰,方案本身的研發周期和用戶部署周期的影響,導致安全解決方案在處理實際問題時普遍存在強滯后性、弱通用性和弱有效性的特點。更為重要的是現有安全解決方案通常只能針對特定的安全問題,用戶需要不斷增加部署新的安全解決方案以應對網絡安全的發展。
4 “互聯網+”時代網絡安全管理體系
安全是“互聯網+”時展的核心問題,網絡安全管理至關重要,在“互聯網+”模式提出之后,如何守衛網絡安全將成其發展的關鍵。“互聯網+”時代更需要建立一個完整的網絡安全防護體系,提高各網絡設備、系統之間的協同性和關聯性,使網絡安全防護體系由靜態到動態,由被動到主動,提高網絡安全處置的自適應性和實時反應能力,增強入侵檢測的阻斷能力,從而達到全面系統安全管控的效果。
4.1 基于監測預警建立網絡安全態勢感知體系
在現有基礎上,通過互聯網安全態勢評價指標,分級分層部料數據采集和感知分析系統,構建互聯網安全態勢感知體系。評價指標包括網絡運行基礎型指標,網絡脆弱性指標、網絡威脅指標三類。其中運行基礎指標包括基礎網絡性能、基礎網絡流量和網絡設備負載等;網絡脆弱性指標包括關鍵網絡設備性能指數、重要系統的狀態參數、終端服務器運行狀態等;網絡威脅指標包括攻擊事件、攻擊類型、病毒傳播速度、染毒終端數量等。為了有效地獲取各類統計分析數據,需要在重要的節點和核心區域部署數據采集和感知分析系統,對網絡中的應用終端、大型核心服務器等關鍵數據進行采集,如網絡運行狀態數據、病毒感染數據、骨干網絡流量數據、服務器病毒攻擊數據等,通過對采集數據的分析,形成分類、分級的網絡安全態勢,通過對數據的實時關聯分析動態獲取網絡安全態勢,構建一體聯動的態勢感知體系。
4.2 基于主動防御建立網絡安全入侵檢測體系
在現有入侵防御能力基礎上,重點建設主動防御、網絡蜜罐、流量清洗等系統,構建網絡安全入侵檢測體系。一是建設主動防御系統。利用啟發式檢測和入侵行為分析技術構建主動防御系統,部署于各類各級網絡管理終端和核心服務器上,通過對未知網絡威脅、病毒木馬進行檢測和查殺,主動檢測系統漏洞和安全配置,形成上下聯動、多級一體的安全防護能力。二是建設網絡蜜罐系統。利用虛擬化和仿真等技術拓展和豐富網絡蜜罐系統,實現攻擊誘捕和蜜罐數據管理,在重要節點、網站和業務專網以上節點部署攻擊誘捕系統,有針對性地設置虛假目標,誘騙實施方對其攻擊,并記錄詳細的攻擊行為、方法和訪問目標等數據,通過對誘捕攻擊數據分析,形成聯動防御體系。三是建設流量清洗系統,包括流量監測和過濾分系統。在核心交換區域和網絡管理中心部署流量檢測分系統,及時發現網絡中的攻擊流量和惡意流量。在核心骨干節點部署流量過濾分系統,在網絡攻擊發生時,按照設置的過濾規則,自動過濾惡意攻擊流量,確保正常的數據流量,從數據鏈路層阻止惡意攻擊對網絡的破壞。
4.3 基于實時響應建立網絡安全應急管控體系
在現有應急響應機制基礎上,通過進一步加強廣域網絡、系統設備和各類用戶終端的控制,構建應急管控體系。一是加強多級、多類核心網絡的控制。依托網絡管理系統、流量監測系統以及流量清洗系統對骨干網絡進行實時監控,實時掌控不同方向、不同區域、不同領域的網絡流量分布情況、網絡帶寬占用情況,便于有效應對各類突況。二是加強網絡安全事件的控制。特別是對影響網絡運行的病毒傳播擴散、惡意攻擊導致網絡癱瘓以及對各類網絡的非法攻擊等行為,要能在第一時間進行預警和處置。三是建立健全應急管控機制。對于不同類型的網絡安全威脅,明確相關的職能部門及必要的防范措施,避免出現網絡安全問題時“無人問津”的情況,確保網絡安全處理的時效性。
5 結束語
時代賦予了互聯網新的職能,互聯網在給我們的生活帶來便利的同時也威脅著人們的安全,必須著重研究和建立新的網絡安全管理體制并制定相應的應對策略。網絡安全策略不能停留在被動的封堵漏洞狀態,也遠遠不是防毒軟件和防火墻等安全產品的簡單堆砌就能夠解決的,網絡安全需要形成一套主動防范、積極應對的可信、可控網絡體系,從根本上提高網絡與信息安全的監管、恢復和抗擊、防護、響應等能力,對于個人、企業、社會甚至國家利益和安全都具有十分重要的現實意義。
參考文獻
[1] 吳賀君.我國互聯網安全現狀及發展趨勢[J].長春師范學院學報,2011(12).
[2] 陳君.互聯網信息安全的“中國設計”[J].今日中國(中文版),2014(06).
[3] 周潛之.加強網絡安全管理刻不容緩[N].光明日報,2014(01).
[4] 羅佳妮.完善互聯網信息安全保障機制的思考[J].新聞傳播,2013(09).
[5] 胡凌.網絡安全、隱私與互聯網的未來[J].中外法學,2012(02).
[6] 中國互聯網信息中心.2013年中國網民信息安全狀況研究報告[R].2013(09).
[7] 娜,劉鵬飛.2015中國互聯網展望[J].新媒在線,2015(03).
[8] 熊勵,王國正.移動互聯網安全,一道繞不過去的坎[J].社會觀察,2014(05).
[9] 喻國明.移動互聯網時代的網絡安全:趨勢與對策[J].國明視點,2015(02).
[10] 蔡志偉.融合網絡行為監測與控制技術研究[D].理工大學碩士論文,2011(06).
[11] 周鵬.大數據時代網絡安全的防護[J].網絡安全技術與應用,2015(04).
【關鍵詞】移動通信網絡;安全問題;互聯網
一、前言
現代移動通信網絡的安全問題已經不再體現為原始的信息泄露方面,變得更加多元化,尤其實在手機與互聯網的接駁,使得互聯網的安全問題也開始影響移動通信網絡的安全,這樣的發展形勢下,保證移動通信網絡的安全,保護信息在移動通信網絡中傳輸不會被竊取、毀壞、篡改就變得更加的艱難。
二、移動通信網絡的定義
移動通信網絡是指移動物體或者移動物體與固定物體之間的通信網絡。就實際的應用來說,與人們最為密切的,就是現有的通信網絡、手機、無繩電話、衛星電話等。
現在的移動通信網絡與互聯網的相似程度越來越高,而且依托于手機網絡的很多聊天工具的出現使得,移動通信出現了很大的變化。也容易將移動通信網絡與互聯網相混淆。實際上手機通信網絡與互聯網是兩個不同的網絡,手機可以使用互聯網是因為手機移動網絡與互聯網有鏈接,而不是移動通信網絡包括互聯網,這是一個需要具體區分的概念[1]。4G網絡支持的視頻電話與互聯網的視頻聊天不同,它所使用的不是互聯網而是現有的移動通信網絡,原有的移動通信網絡傳輸語音信號,而現在可以傳輸視頻信號。這是一個看似相同但是本質上不同的問題。
移動通信網絡更加注重私密性,相對于互聯網來說,它所需要的保密性更強,能夠共享的信息更少,在發展中更注重安全問題,和信息的保護。在人們的認識中移動通信網絡更加的安全。
三、移動通信網絡的新局面
隨著移動通信技術的不斷深化,互聯網與移動通信網絡的重合部分也越來越大,這就產生了新的局面,與互聯網重合的部分和相似的部分越多,安全問題的重合和相似的部分也就越多。傳統的信號傳輸僅限于語音信號和文字信號,這些信號對于系統的要求低,而且技術性不高,所面對的安全問題也僅限于保證信息的泄露。而現代移動通信可以需要的安全性就高,適應性也更廣。在實際生活中,手機所需要負責的也更多,不僅僅是通話,發短信還可以進行工作,瀏覽網頁,看書等等,這樣的轉變使移動通信網絡的功能性有了很大的開發,很多以前幻想的情況通過一定的技術手段得以實現。現在的移動通信因為智能手機的出現變成了計算機互聯網的補充用品,在無法使用電腦或者攜帶不方便時,手機就在一定程度上替代了電腦的作用,移動通信網絡成了與互聯網相連接的橋梁。這就是現代移動通信網絡的新局面,傳統方式的移動通信網絡運行模式已經無法適應現在的情況。數據傳輸內容,傳輸方式的改變,迫使移動通信網絡的安全保護方式作出新的適應和改變[2]。
四、移動通信網絡的安全問題
1.傳統問題
傳統的移動通信網絡問題主要是集中在通信網絡上的竊聽與反竊聽上,因為信號傳輸能力和技術手段的問題,不存在信息篡改的情況。但是現代的移動通信網絡面臨的將是傳統問題從根源上的改變,新技術帶來的不僅僅是好的變化,在現代的移動通信網絡中,竊聽反竊聽的手段也越來越多樣,有依托于信息傳輸種植“種子”的,有劫持手機信號的還有很多方式,這樣的情況下傳統的移動通信網絡安全策略就無法有效的保護使用者的信息安全,造成了嚴重的信息危機。
2.新的問題
這些問題很明顯的帶有互聯網的色彩,可以說都是互聯網的負面衍生品,移動通信網絡在一定程度上替代了計算機網絡的使用功能,在移動信息網絡高質量高數量的數據傳輸的同時,智能手機依靠其與電腦的同質性崛起,可以說此二者是相輔相成的,但是這樣的改變使得,電腦病毒、黑客等互聯網安全問題有了更大的施展空間。
手機軟件在功用上可以與計算機相仿,但是手機的基本防護能力與計算機相比有著很大的差距,手機受限于硬件和數據空間的大小無法運行過大的防御軟件,但是這樣的限制對于病毒,黑客等安全問題幾乎沒有影響。甚至現代移動通信網絡發展初期就已經有了專用的手機病毒,這就表示在移動通行網絡整體防御機制沒有建立起來時,網絡破壞程序已經開始了發展,這樣的威脅世界為嚴重的[3]。
再有手機用戶的手機經濟行為越來越多,是很多罪犯將目標放在了移動通行網絡上,這就標志著移動通信網絡犯罪將成為移動通信網絡安全的首要問題。
五、移動通信網絡的安全對策
1.線路保護
移動通信網絡的基礎是遍布全球的通信基站、主服務器和衛星,可以說這些系統是對外不對內的,一旦線路出現問題,那么整個系統將毫無保留的呈現在入侵者面前,這樣的結果是不能被接受,損失也是整個世界所不能承受的,所以保護移動通信線路時需要嚴格的。
2.加密保護
最傳統的保護方式也是最為使用的保護方式,將整個系統進行加密,在移動通信網絡中流動的數據,經過嚴格的加密程序可以有效地保護起來。在新的技術的支持下,加密程序更加的復雜,步驟也更加的繁瑣。利用技術上的優勢保護系統內的信息,可以完成對于絕大多數使用者的保護。
3.身份認證
身份認證是一個十分重要的環節,這個身份既可以指個人身份,也可以指系統身份。個人身份就像現在的手機實名制,是一種可以有效保護個人的系統信息的方式。系統身份是作為信息的接受者或者信息的者的一種認證模式,再這樣的體系統,無法進行認證的使用者會被拒絕接入,利用這種方式對使用者的信息進行保護[4]。
4.信息篩選
在現代移動信息網絡中使用者是無法對接收信息進行篩選的,作為最終端的地系統只有接收和發射的能力,這就給使用者帶來了使用安全。以手機為例,現在的手機都是一殺毒軟件屏蔽的方式來進行對于信息的篩選,但是移動網絡本身沒有這樣的能力,單純依靠殺毒軟件達不到很好地信息篩選的效果,很多的入侵都是以殺毒系統識別不到的方式侵入手機盜取信息。
而移動網絡系統的信息篩選將從根源上解決這些問題,系統將直接篩選安全的信息傳入移動通信網絡,這就避免了很多不安全信息在傳入移動通信網絡后對于網絡用戶的傷害。
六、總結
現代移動通信網絡有著不同于之前的時代性和進步性,這樣的進步不僅影響著使用者的使用效果,也帶來更多更嚴峻的安全問題,再這樣的背景下,現代移動通信網絡加強自身的安全建設將成為首要的問題。在未來的發展中信息安全問題一直會影響著移動通信網絡的發展,也是我們將一直面對為之努力的問題。
參考文獻
[1]王歌.現代移動通信網絡安全分析[J].電子技術與軟件工程,2013,08(06):47.
[2]楊光輝,李曉蔚.現代移動通信網絡安全關鍵技術探討[J].長沙通信職業技術學院學報,2010,06(02):29-35.
關鍵詞:網絡安全;防火墻;數據庫;病毒;黑客
當今許多的企業都廣泛的使用信息技術,特別是網絡技術的應用越來越多,而寬帶接入已經成為企業內部計算機網絡接入國際互聯網的主要方式。而與此同時,因為計算機網絡特有的開放性,企業的網絡安全問題也隨之而來,由于安全問題給企業造成了相當大的損失。因此,預防和檢測網絡設計的安全問題和來自國際互聯網的黑客攻擊以及病毒入侵成為網絡管理員一個重要課題。
一、網絡安全問題
在實際應用過程中,遇到了不少網絡安全方面的問題。網絡安全是一個十分復雜的問題,它的劃分大體上可以分為內網和外網。如下表所示:
由上表可以看出,外部網的安全問題主要集中在入侵方面,主要的體現在:未授權的訪問,破壞數據的完整性,拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防范外部網,同時更防范內部網。因為內部網安全措施對網絡安全的意義更大。據調查,在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在:物理層的安全,資源共享的訪問控制策略,網內病毒侵害,合法用戶非授權訪問,假冒合法用戶非法授權訪問和數據災難性破壞。
二、安全管理措施
綜合以上對于網絡安全問題的初步認識,有線中心采取如下的措施:
(一)針對與外網的一些安全問題
對于外網造成的安全問題,使用防火墻技術來實現二者的隔離和訪問控制。
防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制(允許、禁止、報警)。
防火墻可以監視、控制和更改在內部和外部網絡之間流動的網絡通信;用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,從而保護內部網絡操作環境。所以,安裝防火墻對于網絡安全來說具有很多優點:(1)集中的網絡安全;(2)可作為中心“扼制點”;(3)產生安全報警;(4)監視并記錄Internet的使用;(5)NAT的位置;(6)WWW和FTP服務器的理想位置。
但防火墻不可能完全防止有些新的攻擊或那些不經過防火墻的其它攻擊。為此,中心選用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一種基于主機的實時入侵檢測產品,一旦發現對主機的入侵,RealSecure可以中斷用戶進程和掛起用戶賬號來阻止進一步入侵,同時它還會發出警報、記錄事件等以及執行用戶自定義動作。RealSecureSystemAgent還具有偽裝功能,可以將服務器不開放的端口進行偽裝,進一步迷惑可能的入侵者,提高系統的防護時間。Re?鄄alSecureNetworkEngin是基于網絡的實時入侵檢測產品,在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵后,除了可以及時切斷攻擊行為之外,還可以動態地調整防火墻的防護策略,使得防火墻成為一個動態的、智能的防護體系。
通過部署入侵檢測系統,我們實現了以下功能:
對于WWW服務器,配置主頁的自動恢復功能,即如果WWW服務器被攻破、主頁被纂改,系統能夠自動識別并把它恢復至事先設定的頁面。
入侵檢測系統與防火墻進行“互動”,即當入侵檢測系統檢測到網絡攻擊后,通知防火墻,由防火墻對攻擊進行阻斷。
(二)針對網絡物理層的穩定
網絡物理層的穩定主要包括設備的電源保護,抗電磁干擾和防雷擊。
本中心采用二路供電的措施,并且在配電箱后面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中,所有的機箱都必須有接地的設計,在機房安裝的時候必須按照接地的規定做工程;對于供電設備,也必須做好接地的工作。這樣就可以防止靜電對設備的破壞,保證了網內硬件的安全。
(三)針對病毒感染的問題
病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼;廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件,(例如:SymantecAntivirus等)并控制寫入服務器的客戶端,網管可以隨時升級并殺毒,保證寫入數據的安全性,服務器的安全性,以及在客戶端安裝由奇虎安全衛士之類來防止廣告軟件和間諜軟件。
(四)針對應用系統的安全
應用系統的安全主要面對的是服務器的安全,對于服務器來說,安全的配置是首要的。對于本中心來說主要需要2個方面的配置:服務器的操作系統(Windows2003)的安
全配置和數據庫(SQLServer2000)的安全配置。
1.操作系統(Windows2003)的安全配置
(1)系統升級、打操作系統補丁,尤其是IIS6.0補丁。
(2)禁止默認共享。
(3)打開管理工具-本地安全策略,在本地策略-安全選項中,開啟不顯示上次的登錄用戶名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帳號,并給guest加一個異常復雜的密碼。
(6)關閉不必要的端口。
(7)啟用WIN2003的自身帶的網絡防火墻,并進行端口的改變。
(8)打開審核策略,這個也非常重要,必須開啟。
2.數據庫(SQLServer2000)的安全配置
(1)安裝完SQLServer2000數據庫上微軟網站打最新的SP4補丁。
nbsp;(2)使用安全的密碼策略
。設置復雜的sa密碼。
(3)在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQLServer。
(4)使用操作系統自己的IPSec可以實現IP數據包的安全性。
(五)管理員的工具
除了以上的一些安全措施以外,作為網絡管理員還要準備一些針對網絡監控的管理工具,通過這些工具來加強對網絡安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP協議的探測工具。
Ipconfig/winipcfg,查看和修改網絡中的TCP/IP協議的有關配置,
Netstat,利用該工具可以顯示有關統計信息和當前TCP/IP網絡連接的情況,用戶或網絡管理人員可以得到非常詳盡的統計結果。
SolarWindsEngineer''''sEditionToolset
另外本中心還采用SolarWindsEngineer''''sEditionToolset。它的用途十分廣泛,涵蓋了從簡單、變化的ping監控器及子網計算器(Subnetcalculators)到更為復雜的性能監控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介紹:
SolarWindsEngineer’sEdition是一套非常全面的網絡工具庫,包括了網絡恢復、錯誤監控、性能監控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition還增加了新的SwitchPortMapper工具,它可以在您的switch上自動執行Layer2和Layer3恢復。工程師版包含了SolarwindsMIB瀏覽器和網絡性能監控器(NetworkPerformanceMonitor),以及其他附加網絡管理工具。
SnifferPro能夠了解本機網絡的使用情況,它使用流量顯示和圖表繪制功能在眾多網管軟件中最為強大最為靈活;它能在于混雜模式下的監聽,也就是說它可以監聽到來自于其他計算機發往另外計算機的數據,當然很多混雜模式下的監聽是以一定的設置為基礎的,只有了解了對本機流量的監聽設置才能夠進行高級混雜模式監聽。
除了上面說的五個措施以外,還有不少其他的措施加強了安全問題的管理:
制訂相應的機房管理制度;
制訂相應的軟件管理制度;
制訂嚴格的操作管理規程;
制訂在緊急情況下系統如何盡快恢復的應急措施,使損失減至最小;
【關鍵詞】 社交網絡 安全問題 對策
社交網絡現在已成為人們在互聯網上進行信息交流的主要平臺,并且隨著社會的不斷進步與發展,使用社交網絡的人會越來越多。人們除了關注社交網絡給人們的交流與溝通帶來的便利,也應該關注社交網絡中潛在的威脅與問題,如不及時的解決當前出現的問題,將對社交網絡的發展產生制約。因此,找到有效解決社交網絡中安全問題的途徑已成為當務之急。
1 社交網絡的概念及特點
社交網絡主要來自于現代社會中的各種網絡關系所形成的系統思想及其應用形式,為了給人們建立一個基于社會網絡的應用互聯網服務,由代表不同個人或者團體的節點構成,所呈現出的是實體之間的關系網絡[1]。人們可以通過社交網絡與朋友以及家人保持聯系,也可以與陌生人成為好友,在網絡中聊天,并且能夠將用戶的信息進行公開。社交網絡為用戶提供一些其他人的列表,以幫助用戶選擇可以聯系的成員。社交網絡的開放性,使得人們可以進行音樂共享,互相發表評論等。總之,社交網絡給人們的交流與互動提供了很大的便利,它也具備如下幾個特點:(1)所擁有的用戶數目大,并且用戶的的種類比較多,并不是只針對單一的人群,在交互方式上也實現了多樣化。(2)社交網絡應用起來相對比較靈活,具有強大的功能,這也使得網站對用戶的各種行為無法進行控制。(3)社交網絡中所蘊含的信息量特別多,同時又具有高開放性,更加增大了對用戶的管理難度。社交網絡所具有的特點使得安全問題更加突出,為了社會的和諧與穩定,應加大對社交網絡中安全問題的重視,不斷探索解決的對策。
2 社交網絡安全需求
人們之所以使用社交網絡主要是想將自己的觀點以及生活中所發生的故事與他人進行分享,通常情況下,將個人主頁不斷進行更新的用戶,其主頁的瀏覽量也會更加的多。然而如何在頻繁分享信息的情況下,保證個人數據的安全是值得思考的問題。以下主要是從社交網絡的完整性、保密性以及可用性這三個方面對社交網絡的安全需求進行了探討。
2.1 完整性
大部分社交網絡對現實世界中已有的人際關系是早已承認的,在較為理想的狀態下,社交網絡可以作為人們在離線狀態下的關系網絡[2]。社交網絡要保證數據的完整就應該將虛擬與現實的這種精確對應關系保持下去,對于所有偏離這種對應關系的企圖都將被看作是攻擊,這種攻擊可以利用適當的機制來檢測,進而對其進行糾正。數據的完整性受到攻擊主要是體現在聯系丟失以及節點丟失這兩種形式。節點丟失現已成為社交網絡中較為基本的問題,它的發生總會引起一些其他問題的發生。例如攻擊者利用名人的身份在網絡中散布謠言,并從中獲得一定的利益。因此,社交網絡的用戶應確保與自己進行交流的對象是可靠的。
2.2 保密性
對于使用社交網絡的用戶而言,個人隱私信息若被盜用將會對用戶的生活及個人帶來巨大的傷害。因此,要保證數據的保密性是非常重要的。用戶的個人隱私可以分為身份隱私、個人空間隱私以及通信隱私三種[3]。身份隱私主要是指要保證與用戶身份有關的信息安全,不會被他人盜用。個人空間方面的隱私主要還是與所使用的社交網絡具有的各項功能有關。通信隱私主要是指在網絡中與聯系人的信息交流,除了用戶本人以及其所信任的聯系人之外,其他第三方不會獲知,信息受到嚴格的保護。
2.3 可用性
現代社會,社交網絡所發揮的作用越來越大,尤其是在各種信息的以及人際之間的交流方面,這就需要社交網絡的主頁中被設置成公開的所有信息項,應該為用戶提供隨時可用的服務。社交網絡應為用戶保證信息在任何時候都能夠可用。
3 社交網絡安全問題分析
由于各種因素的影響,社交網絡平臺也存在諸多的不安全因素,使得網絡安全問題越發突出,要想加強社交網絡管理,就必須針對其中的問題進行向西方恩熙。
3.1 針對社交網絡的數據進行挖掘
在社交網絡中,很多信息數據可以被除用戶外的第三方進行下載或者收集,長此以往,用戶的信息被積攢,最終可以整合成一個關于用戶本人的完整檔案,容易被他人非法使用。除了用戶自愿公開的信息之外,還有一些網絡運營所產生的數據,如登錄的地址,上線時長、用戶主頁瀏覽量等,這些數據都能夠被他人用作定位或者識別的信息[4]。對于用戶來說是一種潛在的威脅。一些社交網站,要求用戶將本人的照片傳到自己的個人主頁以對個人信息進行完善,如果被他人通過人臉識別就會將用戶在其它網站上的信息泄露。
3.2 傳統形式的安全威脅
原有的垃圾信息主要是以電子郵件為主,將一些垃圾郵件、廣告郵件等惡意的發送到用戶的郵箱中,社交網絡中的信息攻擊可以通過用戶的好友列表將垃圾信息快速的傳播,使得網絡負載增加,造成一定的信任缺失,通常會以申請好友為由以達到釣魚等目的。傳統的安全威脅還包括對系統可用性的破壞,攻擊者為加大網絡的負載會選用多種手段,重新定向用戶的請求,以使網絡的性能降低,破壞網絡的系統服務。攻擊者通常選用的攻擊方式主要有黑洞攻擊、拒絕服務攻擊等[5]。
3.3 與身份相關的威脅
通常,攻擊者會將自己偽裝成用戶的好友,以不同的手段誘騙用戶,讓其訪問帶有惡意插件的資源。社交網絡主要是為了讓人們結交朋友的,對于陌生人的請求并沒有什么約束,所以,對于這種攻擊用戶就很容易受到威脅。還有些攻擊者一方面通過虛假的身份對合法用戶的信息進行盜取,另一方面以不同的手段破壞轉發路徑。此外,主要針對社交網絡的一種攻擊方式為Wormhole攻擊,攻擊者從網絡的一端將報文接收之后,再以一種特殊的通道方式將報文傳到另一端的網絡中進行重播。例如用戶將自己身份標識的報文發送到網絡一端的服務器上,攻擊者就會將此報文截獲,繼而在網絡的其他地方重新發表此報文。攻擊者不僅盜取信息進行胡亂的更改,還假冒用戶的身份,是一種嚴重的網絡破壞行為。
4 解決社交網絡安全問題的幾條對策
4.1 健全網站的安全建設
用戶使用社交網絡是一種特殊的消費,社交網絡企業應以用戶的需求為主要標準,為用戶提供良好的服務,保障用戶的信息安全,因此應加強對網站的安全建設。由于很多攻擊者總是冒充合法用戶的好友或者采用申請好友的方式對個人信息實施盜取,因此網站可以在建設初期,對用戶所輸入的內容進行嚴格的限制管理,尤其是在好友輸入框所在的頁面實行代碼檢測,以對用戶所輸內容的安全度進行檢查,在測試的過程中如果發現有腳本錯誤存在或者出現框架變形的情況,這就表明網站有可能存在惡意漏洞。此外,在對網站的管理方面也應不斷加強,除對輸入框要逐一的進行手動排查之外,還可以使用一些檢測漏洞的軟件,如Paros軟件等。
4.2 用戶自身做好防范工作
社交網站的安全除了需要網站一方不斷努力之外,用戶也應該從自身出發,加強自身的安全意識。對于陌生人的請求要經過認真的考慮,對于個人信息盡量不要在社交網站上透漏,尤其是自己的收入以及銀行賬戶等方面的信息。這些信息極易引起攻擊者的注意。在QQ或者MSN這樣的社交網站上要根據網站所具有的強大功能進行安全設置,以對自己的信息安全負責。對于自己的密碼要及時的修改以免被他人竊取,泄露重要的信息。只有用戶自身做好防范工作,才能真正減少攻擊者的侵害。
4.3 加強立法保障
當前我國關于網絡安全上的立法還不完善,整體上的操作性不強,為了加強網絡安全方面的建設,應盡快建立與當前社會互聯網發展形勢相適應的法律體系。尤其是社交網絡這幾年的迅速發展,網絡安全問題突出,亟需與個人信息保護有關的法律出臺。在法律上進行約束管理,可以有效打擊當前社交網絡中各種攻擊者的猖狂行為。同時,對于違法犯罪的網絡黑客要給予嚴厲的懲罰,以杜絕網絡中盜取信息、誘騙合法用戶的現象,為建立安全的社交網絡環境提供法律保障。
5 結語
社交網絡的安全問題正隨著社交網絡的普及越來越突出,社交網絡企業以及用戶都應該對當前的安全問題予以重視,企業應健全網站的安全建設,用戶需要提高自身的安全意識,而國家應加強立法方面的保障,以共同確保社交網絡的安全。
參考文獻:
[1]許瓊來,傅四保,劉薇.網絡信任及其影響因素和模型研究[J].北京郵電大學學報(社會科學版),2011(3):90-91.
[2]鄭宇鈞,林琳.當校園SNS照進現實――校內網的人際傳播模式探討[J].廣東技術師范學院學報,2012(3):48-49.
[3]蔡曉蓮,李平.計算機網絡安全威脅及防范策略的探討[J].網絡與信息,2012(6):58-59.
(山東理工大學計算機科學與技術學院,山東 淄博 255049)
【摘要】物聯網是基于互聯網技術為全球商品供應鏈提供服務而建立的平臺,互聯網的安全性對物聯網的開發和使用至關重要,它影響著使用者本身的安全以及他們自身隱私信息的安全。因此加強物聯網網絡安全,提高物聯網的安全措施,提高自身抗攻擊能力,采用數據安全認證、建立客戶的隱私保護機制、健全法律體系對物聯網的安全保證,從技術和法制上對物聯網加強安全。
關鍵詞 物聯網;數據安全;隱私權;網絡安全
1物聯網定義
物聯網是在互聯網快速發展的基礎上延伸和擴展的網絡應用,通過射頻識別、紅外感應、全球定位、激光掃描等信息傳感設備,根據指定的協議,把客戶、商品與互聯網相連接,進行信息交換和通信的平臺,實現網絡對商品的智能化識別、定位、跟蹤、監控和管理。物聯網被稱為世界信息產業發展的第三次浪潮,它是互聯網基礎上的業務拓展和網絡應用。[1]
2物聯網的安全和隱私保護問題
物聯網技術主要是為人和人、物和物以及人和物之間建立一個信息共享相互聯系的網絡,這樣就可能存在數據安全和個人隱私被泄露問題。物聯網作為一個新型信息共享網絡平臺,它的發展和建設都要涉及到海量的隱私信息和數據保護,然而當前還是缺乏認可的統一的技術的手段以及基于安全隱私保護監管法規,導致對物聯網應用缺乏信心和安全感。只有在隱私信息受到安全保護,在提供完善的信息數據安全保護措施以及完善的安全管理策略保障的前提下,物聯網才能被廣大用戶接受和使用。因此互聯網安全問題已經成為制約物聯網發展的關鍵問題,對信息的處理主要包括信息采集、匯聚、融合以及傳輸和控制等進程,這其中每個環節都決定了物聯網安全的特性與要求。[2]
(1)信息采集傳輸中的安全。信息數據在傳輸過程中很可能對數據不能進行有效的加密保護,導致在廣播或多播等方式的傳輸過程別無線模式下,傳輸的信息可能會遭到諸如惡意節點中斷、中途攔截、篡改路由協議以及偽造虛假的路由信息等方式對網絡中傳輸的信息進行竊取和破壞。另外,網絡中節點多源異構性、多樣性,網絡節點中電池的續航能力,耐高溫、高寒的能力以及道路導航的自動控制能力,數據傳輸和消息的及時性和準確性等也關系到網絡安全。這些對物聯網的發展的安全保護體系建設提出了更高的要求。
(2)物聯網業務安全。物聯網運行中存在著不同的與業務相關的安全平臺,像云計算、海量信息處理以及分布式計算系統等,這些支撐物聯網業務平臺必須為它們相應的上層服務管理以及相應的大規模應用建立一個可靠、高效的安全系統,這些都會對安全技術提出更高的要求。
(3)物聯網中隱私信息的安全性。物聯網在應用中使用了數量龐大的電子標簽和無人值守設備,讓隱私信息受到安全威脅,比如設備劫持等是用戶的信息甚至關系國家安全的信息遭到泄露,導致用戶被惡意跟蹤或隱私信息被利用做一些不法勾當。因此物聯網的安全的機密性、完整性以及使用的靈活性對于隱私信息的保護至關重要,直接體現物聯網的安全可靠性問題。[3]
(4)物聯網的穩定、可靠性關系到隱私安全。信息的完整性、可用性在整個物聯網應用中貫穿整個數據流,如果由于網絡攻擊、拒絕服務攻擊、路由攻擊等都會使物聯網的數據流不完整、遭到破壞,物聯網業務不能完成,其中一些敏感的隱私信息就有可能被竊取。并且在物聯網的應用中需要和大量的其他應用領域的物理設備相關聯,因此物聯網必須要穩定可靠地運行,保證在數據傳輸過程中信息完整性,可用性以及安全性。
3物聯網安全保障技術
物聯網應用的廣泛性、普及性和決定性的因素就是物聯網安全問題特別是某些關鍵信息的保護的程度。現在物聯網應用領域廣泛,其安全性研究牽扯到各個行業,研究難度廣。
(1)密鑰系統是物聯網安全的技術基礎。包括非對稱和對稱密鑰系統,一種方式是通過互聯網密鑰分配中心對密鑰系統進行管理和分配。二種方式是通過各個網絡中心進行分布式管理,通過各自的網絡結構對各個網絡節點的通信節點間的密鑰協商來管理。密鑰算法生成的密鑰的安全強度與網絡攻擊破解之間的代價大小來保障數據包傳輸過程的機密性,盡量縮短密鑰周期性,讓先前截獲的密鑰破解后無法再生成有效的的密鑰繼續進行非法勾當。[4]
(2)數據處理中隱私信息的處理。物聯網在信息采集、傳輸過程中都關系著隱私信息的安全保護,在可靠、可信的網絡安全技術下保證信息在傳輸中不被篡改或被非法竊取。特別是在物聯網應用中基于位置信息的服務是最基本的服務,定位、電子地圖或者基于手機信號的位置定位、無線傳感網的定位和隱私信息查詢等安全保護面臨嚴峻挑戰,目前多采用空間加密、位置偽裝和時空匿名等方式加以保護。
(3)網絡中的路由安全協議。物聯網平臺跨越了許多不同類型的平臺,每個平臺都有各自的路由協議和算法,比如基于IP地址的路由協議、移動通信和傳感網的路由協議,因此需要解決多網融合中間統一的抗攻擊的路由安全算法,盡量防止虛假路由、選擇性轉發攻擊、蟲洞攻擊以及確認攻擊等通過路由的安全漏洞進行攻擊的模式。目前比較有效的路由技術是根據路由算法實現進行相關的劃分,比如以數據為中心的層次式路由、根據位置信息的路由建立的地理路由。[5]
(4)認證和訪問控制技術。物聯網的使用者需要通過通信確認對方的身份的真實性并交換會話密鑰,其中及時性和保密性是其基礎。另外還包括消息認證,通過給對方發送確認消息來確認對方的真實性。物聯網的認證機制主要包含公鑰認證技術、預共享密鑰認證技術、隨機密鑰預分布技術以及其他輔助認證技術等相結合來對用戶進行合法認證和控制。
(5)入侵檢測以及容錯技術。在有惡意入侵時網絡要具有容錯性,防止由于惡意入侵導致網絡的停止或崩潰,提高網絡的抗干擾性。主要表現在網絡拓撲中的容錯、網絡覆蓋中的容錯以及數據檢測中的容錯機制等,保證在網絡出現斷裂、部分節點、鏈路失效和惡劣環境下特定事件發生時網絡、通信正常,數據傳輸無誤。[5]
4物聯網安全面臨的挑戰
物聯網發展中信息安全、網絡安全、數據安全的問題更加突出,相應關鍵安全技術的研究關系著其中的成本、復雜性,安全技術的開發和研究與所投入成正比的。物聯網的應用范圍廣而且安全技術復雜,設防和攻擊是相輔相成的,逐級提高,破解反破解,攻擊反攻擊高效并存。因此物聯網系統受到攻擊的復雜性和不確定性很難把握,不能從根本上防止各種攻擊。網絡環境、技術條件以及應用的要求的復雜性加大了物聯網安全技術研究的難度,再加上當前硬件技術的發展跟不上物聯網需求的發展要求。計算設備的更新換代頻繁,計算能力的迅速提高對于當前密鑰技術的研究也提出了挑戰。[6]因此,隨著計算機技術的不斷發展,物聯網就需要能夠適應各種變化的全新的具備靈活性、可編程、可重構的蜜鑰算法。
參考文獻
[1]李海濤,范紅.物聯網安全性研究與分析[J].信息安全與技術,2012,11.
[2]施榮華,楊政宇.物聯網安全技術[M].電子工業出版社,2013.
[3]李維,馮剛.物聯網系統安全與可靠性測評技術研究[J].計算機技術與發展,2013,4.
[4]張學記.智慧城市:物聯網體系架構及應用[M].電子工業出版社,2014.
[5]張碩雪,宋增國.物聯網安全問題分析[J].計算機安全,2012,5.
關鍵詞:網絡安全 計算機安全 網絡安全技術 信息化
一、威脅網絡安全的因素
1.計算機系統和硬件上的漏洞是由操作系統、數據庫、應用軟件及網絡設備等設計存在缺陷和漏洞造成,絕大多數病毒、木馬都通過漏洞進行網絡傳播和攻擊。
2.病毒傳播和木馬威脅是造成網絡安全的又一因素。當前很多網絡病毒和木馬偽裝成驅動程序或系統程序,殺毒軟件即使發現也無法刪除。這些東西能快速在內網和外網傳播,占用大量的網絡帶寬,網絡一旦中招,就有可能造成系統崩潰和網絡癱瘓,甚至破壞和刪除重要的數據文件,竊取用戶信息。
3.企業局域網外網連通了Internet互聯網,自然面臨來自互聯網的攻擊和威脅,同時內部用戶通過內網或外網的攻擊也可能存在。在企業局域網內有WEB服務、流媒體服務、數據庫服務等等,不同的網絡服務會使用不同的網絡端口,一些蠕蟲病毒則通過端口對網絡進行攻擊,從而使應用服務無法啟用;還有一些不良用戶還會利用網絡工具對網絡中的WEB服務器、文件服務器、流媒體服務器、數據庫服務器等進行掃描和攻擊,造成網絡擁堵,使一些服務器拒絕提供服務,從而造成整個網絡癱瘓。常見的網絡攻擊有:拒絕服務、口令攻擊、地址欺騙、IP盜用,竊聽等。
4.在實際網絡管理中,管理本身也存在漏洞,如安全制度不夠細化;對用戶訪問權限設置和安全策略規劃不全,系統和用戶密碼設置過于簡單,系統和設備漏洞補丁未及時更新。
5.許多企業用戶未經允許隨意接入局域網,造成網絡環路、ip地址沖突和交換設備損壞。還有的私自拆換電腦配件,隨意更改電腦配置,造成電腦癱瘓。
二、對策措施
1.定期檢查所有計算機及服務器硬件,安裝安全殺毒軟件,完善系統漏洞。
2.定期督促企業用戶對自己電腦進行病毒查殺,在任何時間都要做好備份,一旦網絡或網站出現故障、數據庫或系統崩潰,網絡管理人員都能在第一時間處理故障,及時恢復網絡運行,做好備份和應急響應。
3.建立內外網絡隔離體系。首先,對不同的職能按VLAN進行網絡劃分,為不同的VLAN之間建立安全訪問機制;其次,在網絡設備中將IP和MAC進行捆綁,以防止各節點隨意修改IP,造成IP地址沖突。最后,在需要聯通互聯網的電腦上安裝隔離卡,通過網絡隔離卡分開使用內外網。
4.建設虛擬專用網(VPN),為企業用戶在外登陸公司內網提供方便。
5.設置內外網絡防火墻。防火墻是網絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數據,在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統,采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊。
6.部署安全性能更高的安全產品。通過對產品合理的安全策略和設置,實施對公司網絡進行流量監控,并對非法入侵和攻擊進行攔截,同時對一些異常數據進行過濾,檢測出流量異常的端口確定計算機及使用人,從而快速判斷出發生安全問題的性質,及時采取相應的安全措施和策略,不斷提升網絡系統安全級別。在企業中通過應用防火墻,IPS(入侵檢測)及SG(防病毒網關)對局域網定期進行網絡安全掃描檢測。
7.采取相應措施,細化網絡安全管理制度。建立安全有效的安全管理制度,對網絡中各個環節進行細化管理,責任到人,確定每位員工使用的計算機登記在冊,加強管理人員的安全意識,加強對網絡管理人員的安全技術和管理培訓,從技術上提高應對各種網絡安全威脅的能力和提升整體的網絡管理水平。
8.加強企業用戶的網絡安全教育,提高安全和法律意識。培養上網安全意識,用戶要及時安裝殺毒軟件和防火墻,不得隨意下載軟件或上傳含有惡意代碼的軟件。讓用戶知道編寫和傳播病毒、非法入侵和攻擊等是違法行為。
總之,企業用戶養成良好的網絡安全意識和使用習慣,對整個網絡的安全運行都有著重要作用。
三、結束語
企業計算機網絡安全是一個系統的工程,需要認真構思信息系統的安全需求,將各種安全技術結合在一起,才能生成一個高效、通用、安全的網絡系統。企業計算機網絡安全也是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括業務系統本身的安全問題,也有物理的和邏輯的技術措施。因此,只有完善保密政策,明晰安全策略以及提高網絡管理人才的素質才能完好、實時地保證信息的完整性和確證性,為網絡提供強大的網絡安全技術支持。
計算機網絡安全是個綜合性和復雜性的問題。面對網絡安全行業的飛速發展以及整個社會越來越快的信息化進程,各種新技術將會不斷出現和應用。網絡安全孕育著無限的機遇和挑戰,作為一個熱門的研究領域和其擁有的重要戰略意義,相信未來網絡安全技術將會取得更加長足的發展。
參考文獻
[1]孫健敏.計算機網絡技術與應用.西安電子科技大學出版社.2010
關鍵詞:IP專用網絡;網絡安全;系統
1 概述
近年來IP網絡不斷發展,資源共享給軍事、政治和經濟等領域帶來了不盡的方便與快捷。在網上可以隨時索取所需資料,可以傳送電子郵件,還可以網上購物等等。然而當計算機遭受“黑客” 圖謀不軌的惡意攻擊時,你會發現部分數據已被竊取、修改和破壞,IP網絡背后存在的安全隱患也就將暴露無疑。隨著IP網絡系統和數據等安全問題的出現,引起計算機領域、通信領域以及相關領域的重視。
2 IP專用網絡系統安全需求分析
2.1 IP專用網絡系統應用特點
根據IP專用網絡的使用實際,主要網絡應用有實時數據傳輸、語音信息傳輸處理、視頻信息傳輸處理、多媒體信息傳輸處理和由數據庫作后臺支持的MIS應用系統等。盡管各種網絡應用千差萬變,但應用主體在網絡中扮演的角色是一致的。網絡應用中有兩種重要的角色:客戶與服務器。而網絡的信息流向不外乎以下三種方式:客戶與客戶之間;客戶與服務器之間;服務器與服務器之間。IP專用網絡系統應用形式是第二、三種結合。
2.2 IP專用網絡系統安全需求
無論信息傳遞的收、發方是誰,網絡安全包括:在網絡正常運行時,受到外來攻擊,能夠保證網絡系統繼續運行。網絡管理系統設置等重要資料不被破壞。數據安全保證數據不被竊取、修改和破壞。具有先進的入侵防范體系,對于圖謀不軌的惡意行為能夠及時發現、記錄和跟蹤。訪問控制和身份認證機制,確保應用系統不被非法訪問。保障合法用戶的正常請求得到安全服務,防范來自網絡內部其它系統的破壞所造成的安全隱患。系統和數據在遭到破壞時能夠及時恢復。
2.3 IP專用網絡系統安全的功能
建立IP專用網絡系統安全體系應具備加密通訊、簽名/認證、備份/恢復、多層防御、內部信息加密、安全審計等功能。
3 IP專用網絡系統安全方案設計
3.1 安全系統總體結構
從提供網絡有效信息服務的角度來看,網絡系統安全包括:硬件配置及基礎設施應確保支持系統的不間斷運行;軟硬件運行環境應確保系統正確、可靠運行。從網絡系統組成的角度來看,系統安全可分為五個層次:物理層的硬件平臺安全、系統層的操作系統和數據庫系統安全、網絡層的網絡系統安全、應用層的應用系統安全和管理層的系統安全管理。
3.2 物理層安全
硬件平臺的安全主要是支持軟件系統正確、可靠運行,同時又要防止物理上可能造成的信息泄露。無線信道必須采取加密手段;外網連接必須采用硬件防火墻設備;選用符合電磁兼容性等要求的IP專用網絡設備;機房建設應符合電磁兼容性要求。
3.3 系統層安全
網絡操作系統安全是防止系統在正常運行狀態下遭受破壞;數據庫系統安全主要保護以庫結構形式存放的數據,防止非授權用戶以各種非法途徑獲取,并確保數據庫系統運行正常。
建立用戶權限認證體系,健全系統訪問日志,提供有效的監督機制。用戶權限認證屬于網絡層的安全策略。系統管理員負責監督管理所有系統資源的分配、控制,分配不同級別的用戶權限,進行數據庫的備份與恢復;系統工程師負責操作系統中的所有設置和網絡參數;系統操作員負責操作系統中的部分設置和網絡參數;只讀用戶只能監視系統中的設備狀態。
系統內部安全防范也可采用先進的具有中國版權的指紋識別系統,指紋識別系統采用活體指紋實行密碼登錄,確保系統安全,它與口令雙重加密,更無懈可擊。
3.4 網絡層安全
網絡隱患掃描是在非法入侵之前,幫助系統管理員主動對網絡上的設備進行安全測試。外部掃描是模擬黑客攻擊的過程在網絡上進行掃描,并分析掃描信息,結合不斷更新的漏洞庫來發現網絡存在的隱患;內部掃描是模擬系統管理員從主機內部掃描,檢查一切和網絡安全有關的配置是否正確,從而從內部清除隱患。入侵檢測系統用來檢查一個局域網段上的通信,可以和防火墻設備配合來監測來自外部的通信;可以監測內部網絡用戶對于敏感數據或應用系統的使用情況。當發現可疑行為時,網絡監測預警系統能夠根據系統安全策略做出反應,實時報警、事件登錄、自動阻斷通信連接或執行其它有效安全策略。
3.5 應用層安全
應用層安全策略可采用防止病毒侵害手段,建立完整的防病毒體系。如在網絡管理系統環境,購買并安裝Norton Antivirus或其他國產網絡防殺病毒軟件。為保護主機端數據的完整性,也采用有效的數據備份及恢復系統。
3.6 管理層安全
制定相應的管理制度和操作規范:制定機房管理制度、系統管理員職責、機房值班員守則、數據庫管理規定及網絡安全管理規范等;制定嚴格的操作規程,明確各級人員職責和權限,各負其責,不允許超越自己的管轄范圍;制定完備的系統運行維護制度;強化各類人員的安全意識,嚴格按照有關規定辦事。
4 結束語
IP專用網絡安全的需求分析必須切合實際,網絡安全設計的目標和原則要合理可行,IP專用網絡安全方案的設計方法適合其它類型網絡的安全設計。全面的安全策略需要投入大量的軟、硬件設備,付出可觀的資金。根據IP專用網的實際需求和經費支持情況,可以適當采用方案中的部分安全策略,達到理想的安全防范目的。
參考文獻
[關鍵詞] 醫院信息系統;日常維護;網絡安全doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 10. 024
[中圖分類號] TP393.1;R197.32 [文獻標識碼] A [文章編號] 1673 - 0194(2013)10- 0046- 02
隨著網絡的迅猛發展,網絡安全已經成為最迫切需要解決的問題之一。應用醫院管理信息系統在為醫院帶來這些便利的同時,也給自己帶來了一個很嚴峻的考驗,那就是系統的安全問題。醫院管理信息系統的安全應從技術保護和管理機制入手,只有做好安全防范,才能確保整個信息系統的安全、高效、可靠。所以信息系統的網絡安全問題不容忽視。
1 概述
要實現醫院綜合信息網在全院各部門的廣泛應用,目標是在保證具有足夠開放性的前提下提供信息資源的保密性、完整性和可靠性。①保密性:防止非法侵入未審查的信息;②完整性:對信息數據的準確性和完整性有保護的能力;③可靠性:保證信息和其他重要資源在需要時能供用戶使用。
目前,絕大多數醫院均采用樹型和星型的混合拓撲,利用標準五類或超五類雙絞線綜合布線,樓棟間采用光纖進行中長距離連接。 將寬帶或專線接入網絡中的路由器,從而與外網進行信息交換。
醫院信息系統網絡不僅要保護計算機網絡設備安全和計算機網絡系統安全,同時還要保護系統數據庫數據安全等。所以醫院信息系統網絡安全防范的重點主要包括醫院內部威脅和醫院外部威脅。
內部威脅主要有:醫院內部工作人員將攜帶病毒的個人電腦或移動存儲介質接入醫院信息系統網絡,使醫院信息系統網絡計算機感染病毒,對網絡造成破壞,導致業務中斷,其次是醫院內部個別非法人員利用權限之便,非法訪問數據庫,從而對有價值的數據產生威脅并有可能篡改病人就診數據,為醫患糾紛埋下隱患,使醫院蒙受巨大損失。
外部威脅主要有:外來人員利用非授權電腦,私自接入醫院信息系統網絡,有意或無意發動攻擊、傳播病毒、竊取或篡改數據;醫院業務系統需要與醫保中心、新農合等社保網絡相連,進行數據傳輸,由此也會為醫院帶來安全的威脅。
2 安全維護技術要點
2.1 備份技術
無論信息系統設計、維護得多嚴格、科學、合理,故障的發生都是不可避免的。因此任何計算機系統在設計時都應考慮容災解決方案,即建立備份系統。
備份技術是在醫院信息系統發生故障數據庫無法使用時,能夠保障信息系統在很短的時間內完全恢復系統運行。數據備份是由備份軟件和備份設備共同完成的。醫院信息系統管理員設計合理的備份策略,確定備份頻度、備份時間、恢復時間等。備份策略主要有3種:只備份數據庫、備份數據庫和事務日志、增量備份。根據時間情況選擇合適的備份策略。
2.2 冗余技術
醫院信息網絡由于運行整個醫院的業務系統,需要保證網絡的正常運行,不因網絡的故障或變化引起醫院業務的瞬間質量惡化甚至內部業務系統的中斷。網絡作為數據處理及轉發中心,應充分考慮可靠性。網絡的可靠性通過冗余技術實現,包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余、以太網冗余等技術。
2.3 防火墻技術
防火墻是屏蔽黑客入侵、保證系統安全的主要手段。防火墻是負責管理風險區域和內部網絡之間的訪問,在內部網和外部網之間的界面上構造保護層,所有的內部網和外部網之間的連接必須經過此保護層,從而使內部網和外部網在一定意義下隔離,防止非法入侵和破壞行為。
2.4 加密技術
信息交換加密技術分為2類,即對稱加密和非對稱加密,具體如下所述:在對稱加密技術中,通常是用的一把鑰匙開把鎖,對信息的加密和解密都使用相同的密鑰。 這樣有利于簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法,這樣更省心。
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。 這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。
2.5 身份驗證
根據角色級別、用戶類型及其對信息系統的重要性來選擇是否進行身份認證,對不同用戶選擇恰當的身份認證手段。訪問控制策略要有具體的時間和空間條件限制,保證具有訪問權限的用戶,只有在職權范圍內的時間、空間方位,才有權限訪問信息系統。具體地,需要將用戶對信息系統進行操作的時間進行分類,對不同時間條件下的用戶權限分別進行定義;而且用戶在信息系統中的操作權限必須在限定的設備、網絡接口來行使。同時對不同類型角色的用戶權限進行合理的分配,權限分配遵守最小權限原則、權限分離原則。授權機制要適應分布式環境的特點,采用動態授權。
3 安全管理方案
醫院信息系統的建立和實施增強了醫院的信息化建設和管理,同時也使醫院的整體運作過程中,完全依賴于計算機信息化、網絡化管理。這就使得醫院網絡信息安全變得越來越重要,一旦信息系統安全受到威脅或破壞,整個醫院將受到巨大的損失和直接的社會影響。因此,網絡便成了整個醫院信息系統的運行的核心保障,全醫院日常工作能否正常進行,便取決于網絡是否暢通無阻,可見網絡安全是醫院日常工作正常進行的保證和支持。
3.1 網絡硬件的安全
網絡安全問題涉及的因素諸多,但最重要的莫過于網絡中硬件的安全。網絡硬件安全主要指是網絡硬件設備和網絡線路的安全,因為它們構成了整個網絡安全的基礎,例如:數據庫服務器、中心交換機、二級交換機、UPS電源以及HUB等構成了整個網絡中的關鍵設備,因此它們性能的好壞,能否正常工作直接影響到整個系統的運行。建議醫院應根據實際情況選擇合理的網絡設備,同時要制定一系列的應急方法措施和嚴格的值班考勤規章制度,要做到定期對網絡硬件設備進行維護和檢修,真正做到防患于未然。例如,對醫院中心機房的供電設備一定要措施到位,設備充足,要考慮到應該有足夠的UPS在醫院突發停電的情況下對主機系統供電,同時也保證來電壓的穩定。
3.2 網絡設計
關于安全網絡設計的問題,應特別注意網絡設計缺陷和網絡設備選型缺陷對網絡安全的影響問題。 網絡總體設計應以高性能、高可靠性、高安全性、良好的可擴展性、可管理性為原則,并采用模塊化的設計方法。 網絡采用三層架構模式,即核心層、匯聚層和接入層。
3.3 客戶端的安全措施
目前,醫院客戶端大多使用的是Windows 操作系統,由于網絡用戶可以修改其中的網絡配置,這樣無形中為醫院網絡安全帶來一定的隱患。所以應根據醫院的現況,應該將與網絡安全有關的設置運用到實際中去,應該進行相應的修改防護措施,這樣可以保證網絡的安全性。
4 結 論
醫院的各級領導、組織和部門工作人員不僅僅需要從思想上重視醫院信息系統網絡安全這一問題,更需要從行動上加以重視,體現在醫院的領導以及相關的工作人員應該定期學習相關知識,醫院可以舉辦相關講座、培訓、考試、考核等等內容,這樣既可以使工作人員學到更多的網絡安全知識,維護醫院的網絡安全,又可以豐富大家的生活,增強單位人員的集體責任心和安全感。
同時,人員的管理和培訓應該制定具體的細則,通過對每一個操作員工安排網前培訓,不僅可以讓他們熟悉入網的操作流程和相關的規章制度,同時還能夠增強操作人員的網絡安全知識和網絡安全的意識。
此外,醫院應建立起日常操作規章制度、網絡安全的保密制度等等。 醫院的網絡化管理已經是現代化管理不能夠缺少的系統工程,而且醫院的網絡化管理在醫院的日常工作中起著十分重要的作用,一定不能無視,網絡安全管理對醫院的日常正常運行起著越來越重要的作用。
主要參考文獻
[1]傅征,任連仲.醫院管理信息系統建設與應用[M].北京:人民軍醫出版社,2002.
關鍵詞:信息安全;多重防護;專業人才
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)28-0045-02
隨著信息化時代的來臨,網絡技術獲得了長遠發展,網絡已經融入到人們的生活中。伴隨著智能手機和移動互聯的發展,網絡更是影響到了人們生活的方方面面。人們的飲食起居、娛樂活動、交通出行等等,都已經和網絡掛鉤。在網絡數據吞吐量如此之大的今天,如何做好網絡信息的安全保障工作,是網絡公司的首要考慮問題,這一問題也是用戶的關注焦點。
1 計算機網絡安全的概念
1.1網絡安全的含義
計算機網絡安全是指通過采取技術控制措施,以加強計算機網絡的安全管理工作,保障網絡服務器的數據安全儲存、數據的安全傳輸、數據的加密安全可靠、避免因黑客攻擊或安全漏洞所造成的網絡數據泄露。網絡安全分為兩個部分,一個是硬件部分,另一個是軟件部分。硬件部分是網絡的硬件運行與維護,確保網絡硬件的良好、可靠運行,不因物理損傷而造成網絡數據的損失。軟件部分是通過軟件防控,保證數據的安全性、可靠性、保密性。
1.2網絡安全的脆弱性
計算機網絡雖然功能強大,但是網絡結構復雜,系統龐大,勢必存在著一定的缺陷與漏洞。這些漏洞各種各樣,對網絡造成了嚴重的威脅。網絡的開放性是造成計算機網絡脆弱的原因之一,網絡的開放性指網絡對所有用戶是開放的,使用網絡的人涵蓋各個階層,而且網絡技術也是開放的,這種開放既促進了網絡技術的發展,它極大地促進了網絡的開發基礎和開發人員的參與熱情,但是這種開放也給網絡的發展帶來了威脅,它使網絡極易遭受各個方向的攻擊。另一個造成網絡脆弱的原因是網絡的自由性,網絡不是萬能的,但是網絡可以超距離的實現人類的很多追求,任何人在網絡都可以自由發言,網絡的這種自由既給了網民最大限度地自由,也給了網民違法犯罪的機會,近年來,高智商、高技術的網絡犯罪都是由網絡的自由性造成的。網絡的脆弱體現在開放性和自由性,這兩種特性使網絡在便利人們生活的同時,也承受著極高的風險。
2 計算機網絡安全方面存在的主要問題
2.1因黑客攻擊造成的威脅
黑客一詞是hackerde 中文翻譯,本意是專門尋找計算機BUG的,由于經濟利益的驅動,黑客開始使用病毒軟件對計算機網絡進行攻擊。早些年時,黑客往往使用“灰鴿子”進行遠程控制和釣魚,以達到控制別人主機的目的。隨著網絡技術的發展,黑客開始更高級的病毒,通過網絡進行網絡攻擊,據統計,因為黑客網絡攻擊所造成的經濟損失,占網絡總收益的15%,每年全球因網絡攻擊造成的損失高達4000億美元。黑客通過公共通用網絡侵入企業、事業單位、個人甚至政府機關的內部網絡,竊取有價值的數據和資料,已達到賺取巨額傭金的目的。雖然各個公司都有專門的網絡技術維護人員,但是與處于暗處且手段層出不窮的黑客對比,仍是無法有效應付。2015年7月28日,福建福州市一名股民因為黑客竊取了他的股票交易賬戶和密碼,將他價值100多萬的股票低價拋出,給他造成了嚴重的經濟損失。這是一例黑客通過網絡實施病毒攻擊的真實案例,這個案例只是冰山一角,每年我國因為黑客攻擊造成的經濟損失高達近百億元人民幣,因此黑客攻擊是計算機網絡安全存在的巨大隱患。
2.2計算機病毒對網絡造成的威脅
計算機病毒是利用計算機代碼漏洞制作的攻擊性軟件,以達到攻破網絡安全保護層,侵入網絡內部或者破壞網絡的正常運行,造成網絡的癱瘓。計算機病毒不僅僅利用網絡系統的漏洞進行編程,也利用網絡設備的軟件進行攻擊。正是病毒攻擊的雙重性,造成網絡系統在遭受黑客攻擊時往往變得“脆弱”。病毒多種多樣,攻擊的方式也是五花八門,不走尋常路。病毒按其攻擊方式可以分為源碼型病毒、嵌入性病毒、外殼型病毒、操作系統病毒等。網絡病毒主要通過網絡感染主機和網絡設備,實現大范圍的傳播和迫害,給個人和企業帶來巨大的經濟和資源損失。最常見的網絡病毒是“木馬”病毒,這類病毒具有極高的潛伏性、傳播性、爆發性,且一旦被激活,不易被清除干凈,是網絡系統最易遭受到的病毒攻擊種類。以騰訊公司為例,騰訊公司是國內著名的門戶網站和社交平臺,旗下業務涉及社交、游戲、新聞等各個行業,其網絡服務器更是每天吞吐巨量數據,據騰訊官方宣稱,其8月份時每天攔截數百萬次黑客攻擊,其網絡系統的安全措施面臨巨大的壓力,在2015年7月22日時,騰訊云遭受有史以來最大的數據損失,泄露數據高達300G,據悉,這是一起病毒攻擊引發的數據泄露事件。由此可見,計算機網絡系統因為計算機病毒而遭受了巨大的風險和壓力。
2.3計算機網絡協議的脆弱性
計算機網絡協議是為了便于計算機通過網絡按照一定的約定進行合法的“交流”,這種交流時為了保證計算機網絡的安全。常見的計算機網絡協議有TCP/IP協議、IPX/SPX協議、NetBEUI協議等,這些協議便于各個計算機主機通過網絡交流信息,也使網絡獲得了大范圍的傳播,實現了網絡的開放性和國際性。但是計算機網絡協議的初衷是為了便于網絡信息的交互,在網絡安全性上設計不足,網絡協議的開放性和自由性過度,在網絡協議的認證和加密上缺乏安全保障,給計算機網絡留下了安全漏洞。計算機網絡技術發展速度快,網絡協議的制定跟不上網路技術的發展速度,面臨新出的網絡威脅,應對力度不足。最常用的TCP/IP協議經過多年使用,其代碼編程和網絡架構早已被熟知,在安全上存在著眾多安全漏洞,尤其以IP為重災區。
3 加強計算機網絡安全的防范措施
3.1網絡入侵安全檢測機制
在網絡入侵檢測上已由靜態的防范過渡到了動態的防范措施,通過建立網絡入侵安全檢測機制可以實現網絡的識別行為:識別入侵網絡的行為、識別入侵網絡的操作者、檢測網絡系統的漏洞并報警、記錄網絡入侵的活動、為網絡系統漏洞的修復提供必要的信息。而且網絡入侵安全機制具有經濟性、安全性、時效性和可擴展性。具有良好的發揮空間,通過建立IDS系統,可以為網絡安全加一把”鎖“,這把鎖是存在于網絡的各個層面,是建立在網絡的整體中的,為網絡系統在遭受攻擊時可以主動的、實時的記錄攻擊活動并報警,為網絡系統的反擊和防止攻擊行為的擴大,提供必要的時間。
3.2采用網絡數據安全加密技術
網絡系統中最重要的便是網絡數據,為了加強網絡數據的安全,需要對其采用數據加密技術。在網絡系統中采用數據加密技術,一是對網絡中存儲的數據進行加密;二是對傳輸中的網絡數據進行加密;三是對接收方的數據進行數據加密;四是對上傳的數據進行加密。通過采用對數據進行多重加密,加大數據被破解的難度。在網絡數據的加密上可以使用DES加密算法和專用密匙。其中DES加密算法是采用了64位數字算法,極大地提高了網絡數據的安全。
3.3加強網絡系統的安全管理
加強網絡安全系統的安全管理是針對網絡系統管理不完善的現狀提出的應對舉措。首先要加強對網絡設備的安全管理,將網絡設備置于安全的、適宜的工作環境中,避免因物理因素造成的網路設備損壞,例如今年發生的支付寶發生的通訊中斷故障便是因為通信光纖被挖斷所導致的,因此需要在網絡設備上采取多重防護措施。其次要經常進行網絡系統的殺毒工作,及時更新病毒庫,加大對網絡病毒的查殺工作。建立動態的防護措施,由專業的技術人員進行專業操作,采用防火墻技術和云安全技術,加強網絡的安全防范。最后可以使用VPN網絡架構,將內網嚴密的保護起來,使用虛擬網絡進行數據的傳輸。
4 結束語
計算機網絡的安全工作需要跟著時代信息技術的發展而發展,需要國家立法,打擊網絡犯罪行為,需要采用多種防護措施進行防御,但是這種防御不是被動防御,而是積極防御,以有備備無患。
參考文獻:
網絡安全防護是一種網絡安全技術,指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。
防護措施:
1、對用戶訪問網絡資源的權限進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的權限,控制網絡設備配置的權限,等等。
2、數據加密防護:加密是防護數據安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。
3、網絡隔離防護:網絡隔離有兩種方式,一種是采用隔離卡來實現的,一種是采用網絡安全隔離網閘實現的。
(來源:文章屋網 )
Abstract: As the technology becomes more advanced, network is gradually integrated into people's lives, and the network security issues are coming too. This article put forward the analysis method of network security based on weaknesses correlation from the network security status quo and the definition of the weakness relationship.
關鍵詞: 弱點;相關性;網絡安全;方法
Key words: weakness;correlation;network security;method
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2013)02-0194-02
1 網絡安全現狀
目前網路安全問題越來越突出。網絡攻擊者不僅利用單個弱點來攻擊網絡系統,還一起組合攻擊,所謂組合攻擊并不是組織多個攻擊者一起攻擊,而是攻擊者把多個主機的弱點結合起來對網絡進行攻擊,這對網絡安全來說是極大的威脅。為了對網絡安全進行評估,就必須深入管理網絡安全系統。網絡安全性的分析方法已經不能滿足當前的形勢,因為它具有單一性,并沒有綜合各個因素來考慮。所以,目前最重要的是提高網絡安全性分析方法,要對基于多個弱點相關性的網絡安全性分析方法進行深入研究。
2 弱點相關性的定義
網絡系統在特定一個環境中,雖然有其安全保護措施,但是攻擊者還是可以利用一個固定節點上的弱點來盜取權限,隨后,又利用此權限來盜取下一個權限,反反復復,最后使整個系統的權限都被盜取。在權限一個接著一個被盜取的過程中,我們可以看出弱點是具有非常強的關聯性的,只要具有關聯性盜取權限的工作就變得越來越簡單了。可以一眼看出的是,這些弱點存在的方式是多樣的,既可以在同一主機的不同軟件上,也可以在不同的網絡節點上。基于這樣的情況來看,我們就可以從相關性這一概念入手,對弱點在環節上的相互關系作解釋說明,把每個弱點在攻擊中發揮出的不同作用表現出來,只有這樣才能從多個角度來考慮弱點對網絡系統產生的影響,對網路系統做更進一步的評估工作。
3 基于弱點相關性的網絡安全性分析方法
3.1 網絡安全分析類型
3.1.1 物理安全分析 對于整個網絡安全系統來說,網絡物理安全分析法是整個網絡安全的基礎條件。在某些網絡系統比較弱的工程建設中,比如說校園網絡工程建設,它的耐壓值是非常低的。為了不出現一些狀況,在進行網絡工程建設的設計前就應該做好相關準備工作,在正式施工的過程中,要先考慮到人和設備不受外界因素影響,比如說雷擊等自然災害,還要考慮其布線系統與各個系統之間的距離、安全等。需要注意的是,必須要建設其防雷系統,因為雷擊這種自然現象對系統的危害是非常大的。在考慮安裝防雷系統時,不僅僅是需要考慮到其計算機所在建筑物得防雷,還要考慮到計算機內部的防雷裝置。總而言之,物理安全的風險主要有水災、火災、地震等自然災害,操作失誤、錯誤等人為災害,一定要對這些方面做出相應的解決措施,避免出現網絡系統的物理安全風險。
3.1.2 網絡結構安全分析 對于網絡系統來說,網絡拓撲結構設計也是會影響其安全性的。一旦外部網與內部網通信,內部網絡的所有設備都會受到一定的威脅,對于同一網絡的系統來說也會受到其影響。透過一定的網絡傳播,還會對連上Internet/Intranet的其他的網絡有所影響。在某些時候,還涉及到法律和金融等敏感領域。所以,我們在設計其網絡系統時一定要考慮到將服務器公開,還要對內部的資料與外網進行一定的隔離,避免出現機密泄露的情況。還需要注意的一點是,要對外網進入的請求過濾,允許安全的信息進入。
3.1.3 系統安全分析 這里的系統安全指的是對全部網絡操作系統以及網絡硬件平臺進行一個檢測的工作,只允許安全的信息進入。就目前的情況來看,并沒有絕對安全的操作系統,只有安全性比較高的系統罷了。舉一個例子來說,Microsoft 的Windows NT以及其它任何商用UNIX操作系統,里面必然有其Back-Door。綜上所述,完全安全的操作系統是沒有的。所以每個用戶都應該綜合考慮然后對網絡進行分析工作,一定要選擇安全性高的操作系統。除了要選用安全的操作系統外,還要對其系統定期進行檢查工作,設定一些安全配置。還需要注意的一點就是,要對登錄過程進行嚴格的認證,確保用戶的合法性,操作者的權限限制也要控制在最小的范圍之內。
3.2 方法
3.2.1 物理措施 基于弱點相關性的網絡安全系統,是可以對其采取物理措施的,舉一些例子來說,比如網絡的關鍵設備,其包括交換機和大型計算機等;制定一定的網絡安全制度,還可以采取一些方便安裝的措施,像防火裝置和防輻射裝置等。
3.2.2 訪問控制 對用戶的訪問權限進行嚴格的認證,這些認證主要指的是用戶訪問網絡資源的時候。舉一個例子來說,一個用戶在訪問一個網站,一般情況下,在這個網頁打開之前,一定會彈出一個對話框,判定這個網頁是否具有一定的安全性,就是在這個基礎上,對其系統的安全性再進一步的提高,加大對帶有病毒的網頁控制工作。
3.2.3 數據加密 在日常生活中,對事物進行加密措施是很常見的,網絡安全工作必然也少不了這一重要環節。對于網絡的資料數據安全來說,機密是最基本也是最重要的手段之一。加密的作用是避免出現信息外泄的情況,是防御有企圖的人的有效方法,另外,還有降低計算機中病毒的概率。
3.2.4 網絡隔離 網絡隔離有隔離卡和安全隔離兩種方式。隔離開主要用于對象是單臺機器,而安全隔離的范圍相對來說是比較廣的,它是用于整個網絡的,這是它們最顯著的區別。
3.2.5 其他措施 除了上面介紹到物理措施、訪問控制、數據加密以及網絡隔離四種方法以外,對信息的過濾、容錯、備份等措施也是有一定的作用的。在近些年來,許多研究者在基于弱點相關性的網絡安全中提出了許多的方法,其方法運用到實際操作中也取得了一定的效果,不管是數據加密,還是防火墻技術,都是基于弱點相關性的網絡安全性分析方法。
3.3 主機弱點列表如表1。
參考文獻:
[1]張晗,萬明杰,王寒凝.戰術互聯網同質層基于信任評估的安全分簇算法[J].計算機應用,2007,(10).
[2]劉密霞.網絡安全態勢分析與可生存性評估研究[D].蘭州理工大學,2008.
[3]楊秀華,李天博,李振建,楊玉芬.基于網絡蠕蟲特征的檢測技術研究[A].中國儀器儀表學會第九屆青年學術會議論文集[C].2007.
[4]甘早斌,吳平,路松峰,李瑞軒.基于擴展攻擊樹的信息系統安全風險評估[J].計算機應用研究,2007,(11).
