時間:2023-09-17 15:04:19
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡系統安全評估,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1、提高企業信息系統的策略及措施解決企業信息安全方案分析
解決信息系統安全要有以下幾點認識:要解決信息系統要有統籌全局的觀念。解決信息系統的安全問題要樹立系統觀念,不能光靠一個面。從系統的角度分析信息系統是由用戶和計算機系統兩者組成,這包括人和技術兩點因素。使用和維護計算機安全信息系統可以根據信息系統具有動態性和變化性等特點進行調整。信息系統是一項長期屬于相對安全的工作,必須制訂長銷機制,絕不能以逸待勞。企業信息系統安全可以采取的策略是采用一套先進、科學及適用的安全技術系統,在對系統進行監控和防護,及時適當的分析信息系統的安全因素,使這套系統具有靈敏性和迅速性等響應機制,配合智能型動態調整功能體系。需要緊記的是系統安全來自于風險評估、安全策略、自我防御、實時監測、恢復數據、動態調整七個方面。其中,通過風險評估可以找出影響信息系統安全存在的技術和管理等因素產生的問題。在經過分析對即將產生問題的信息系統進行報告。
安全策略體現著系統安全的總體規劃指導具體措施的進行。是保障整個安全體系運行的核心。防御體系根據系統中出現的問題采用相關的技術防護措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過監測系統實時檢測運行各種情況。在安全防護機制下及時發現并且制止各種對系統攻擊的可能性,假設安全防護機制失效必須進行應急處理,立刻實現數據恢復。盡量縮小計算機系統被攻擊破壞的程度。可以采取自主備份,數據恢復,確保恢復,快速恢復等手段。并且分析和審理安全數據,適時跟蹤,排查系統有可能出現的違歸行為,檢查企業信息系統的安全保障體系是否超出違反規定。
通過改善系統性能引入一套先進的動態調整智能反饋機制,可以促進系統自動產生安全保護,取得良好的安全防護效果。可以對一臺安全體系模型進行分析,在管理方面,對安全策略和風險評估進行測評,在技術層面,實時監測和數據恢復形成一套防御體系。在制度方面,結合安全跟蹤進行系統排查工作。系統還應具備一套完整的完整的動態自主調整的反饋機制,促進該體系模型更好的與系統動態性能結合。
信息安全管理在風險評估和安全策略中均有體現,將這些管理因素應用與安全保障體系保護信息安全系統十分重要。企業必須設立專門的信息系統安全管理部門,保障企業信息系統的安全。由企業主要領導帶頭,組織信息安全領導小組,專門負責企業的信息安全實行總體規劃及管理。在設立信息主管部門實施具體的管理步驟。企業應該制訂關于保證信息系統安全管理的標準。標準中應該明確規定信息系統中各類用戶的職責和權限、必須嚴格遵守操作系統過程中的規范、信息安全事件的報告和處理流程、對保密信息進行嚴格存儲、系統的帳號及密碼管理、數據庫中信息管理、中心機房設備維護、檢查與評估信息安全工作等等信息安全的相關標準。而且在實際運用過程中不斷地總結及完善信息系統安全管理的標準。
相關部門應該積極開展信息風險評估工作。通過維護信息網的網絡基礎設施有拓撲、網絡設備和安全設備,對系統安全定期的進行評估工作,主動發現系統存在的安全問題。主要針對企業支撐的信息網和應用IT系統資產進行全方位檢查,對管理存在的弱點進行技術識別。對于企業的信息安全現狀進行全面的評估,可以制作一張風險視圖表現企業全面存在的問題。為安全建設提供指導方向和參考價值。為企業信息安全建設打下堅實的基礎。
最后,加強信息系統的運行管理。可以通過以下措施進行:規范系統電子臺帳、設備的軟件及硬件配置管理、建立完善的設備以及相關的技術文檔。系統日常各項工作進行閉環管理,系統安裝、設備運營管理等。還要對用戶工作進行規范管理,分配足夠的資源和應用權限。防御體系、實時檢測和數據恢復三方面都體現了技術因素,信息安全管理系統技術應用于安全保障體系中。在建設和維護信息安全保障體系過程中,需要多方面,多角度的進行綜合考慮。采用分步實施,逐步實現的手法。在信息安全方面采取必要的技術手段,加強系統采取冗余的配置,提高系統的安全性。
對中心數據庫系統、核心交換機、數據中心的存儲系統、關鍵應用系統服務器等。為了避免重要系統的單點故障可以采取雙機甚至群集的配置。另外,加強對網絡系統的管理。企業信息系統安全的核心內容之一是網絡系統。同樣也是影響系統安全因素最多的環節。網絡系統的不安全給系統安全帶來風險。接下來重點談網絡安全方面需要采取的技術手段。網絡安全的最基礎工作,是加強網絡的接入管理。
與公用網絡系統存在區別的是,企業在網絡系統中有專門的網絡,系統只準許規定的用戶接入,因此必須實現管理接入。在實際操作過程中,可以采取邊緣認證的方式。筆者在實際工作經驗總結出公司的網絡系統是通過對網絡系統進行改造實現支持802.1X或MAC地址兩種安全認證的方式。不斷實現企業內網絡系統的安全接入管理。網絡端口接入網絡系統時所有的工作站設備必須經過安全認證,從而保證只有登記的、授權記錄在冊的設備才能介入企業的網絡系統,從而保證系統安全。根據物理分布可以利用VLAN技術及使用情況劃分系統子網。這樣的劃分有以下益處:首先,隔離了網絡廣播流量,整個系統避免被人為或者系統故障引起的網絡風暴。其次是提高系統的管理性。通過劃分子網可以實現對不同子網采取不同安全策略,可以將故障縮小到最低范圍。根據一些應用的需要實現某些應用系統中的相對隔離。
2、結語
本文結合了筆者實際工作經驗對企業信息系統的安全問題提出了系統性的思考,對長期存在相對動態的信息系統安全解決的方法進行探討。可以用一句話進行概括總結:系統安全六要素是組成的系統安全的必要因素。同時,抓好規范管理,實現信息系統的安全技術。
【關鍵詞】智能電網 網絡系統 網絡安全
智能電網相較于傳統電網,因其安全、經濟、效益的特點而受到各國追捧。我國對于發展智能電網,也有“三橫兩縱”的明確規劃。建設智能電網,其中最關鍵的就是網絡系統,而網絡系統的安全更是重中之重。只有做好計算機網絡系統安全防護體系的建設,才能確保電網企業的平穩運轉。
1 計算機網絡系統在智能電網中的安全作用
1.1 安全監控系統――防患于未然
安全監控系統是整個系統中起防護性作用的重要一環,是整個系統安全戰中的“哨兵”為了在安全方面高效全面地監控整個系統平臺而設立,通過操作系統的多個層面,經由一系列操作行為來實行安全管制和監測。安全監控系統,可以提高整個系統的安全性,實現“防患于未然”的功能,是系統安全的“晴雨表”。安全監控系統具有主動性,利用智能軟件等技術,設計且實現一個主流通用的操作系統安全管制與監測平臺,從而保障計算機網絡系統安全。
1.2 安全保密管理系統――適時管理規范
安全保密管理系統能夠在自動化的狀態之下,對整個安全系統進行適時的調控和管理。具體來說,這種管理分為安全規章和技術規范的管理、安全策略的管理、安全狀態的管理和安全資產的管理等等。如果說安全監控系統是“晴雨表”,是“哨兵”,對計算機網絡系統起到監控作用,那么安全保密管理系統則是一把“手術刀”,是“先鋒”,及時調控,靈活處理。具體來說,安全規章和技術規范的管理是對與電網企業相關的政策制度、法律法規和技術規范進行統一管理,當然這一過程需要通過安全規章管理體系的建立來實現。
1.3信息安全管控平臺――整合融匯進行控制
信息安全管控平臺是智能電網計算機網絡安全防護系統中的“司令”,是整個網絡安全作戰“隊伍”的靈魂所在。這一平臺,是為用戶提供統一的管理平臺而設置,通過信息安全管控平臺,對內可以對電網企業的資產進行有效的管理,對外則可以對用戶訪問資產進行有效的控制,對訪問量做好記錄和統計。而正是這種內外協調統一的管理與控制,能對智能電網的網絡系統安全服務進行監控,并最終將系統的安全服務、資產、事件、響應等方面融合到平臺中去,一句話,信息安全管控平臺主要是起整合作用。
1.4 信息加密系統――保駕護航
“大海航行靠舵手。”這是人人都知道的道理。信息加密系統在智能電網計算機網絡系統安全防護體系當中,起到的就是這個作用:舵手。智能電網因其特殊性,有大量的數據需要進行傳輸,不管是終端的存儲還是在一些重要節點的保存上,還是在整體的數據傳輸過程中,都需要保障好網絡系統的數據安全性。如此一來,信息加密系統就成了其中非常關鍵的一環,信息加密系統主要通過應用加密協議來實現,在實際操作中,也與個人人份認證緊密結合。
2 智能電網中計算機網絡系統安全的具體構成
2.1 防火墻
防火墻是智能電網中計算機網絡系統安全的第一道防線,是一種防御機制。通過防火墻,能夠有效阻擋外來的病毒、安全漏洞等進入到智能電網的內部網絡,保障資源的安全。在具體的防火墻建設中,其基本架構決定了其選型應該根據業務的具體內容,根據業務對于安全性的具體要求來具體分析,做針對性防護,而不是一概而論,更不能一蹴而就。
2.2 防病毒系統
病毒問題存在于所有的計算機網絡系統中,輕則導致漏洞被黑客侵入,重則引發整個系統的癱瘓與崩潰。在智能電網的建設中,尤其需要注意防病毒系統的建設。隨著計算機網絡的擴展,病毒也不斷復雜化,擴散方式也是多種多樣。智能電網中各種系統不斷升級,隨之而來的,就是病毒的不斷進化。在智能電網的建設中,首先要高度重視防病毒系統的建設,其次病毒庫要不斷升級以適應不斷變化的情況,最后要聯合其他安全防護措施,一起構建多維防護體系。
2.3 入侵檢測系統
入侵檢測系統,顧名思義,就是對入侵者――安全漏洞、病毒等進行全面的檢測。防火墻是用來防護,防病毒系統是檢測病毒,而入侵檢測系統則是系統安全檢測的最后一道防線,是防火墻的補充和延伸。入侵的情況往往非常復雜,而防火墻因其自身功能,對于這些入侵者的攔截有所局限,這時候就是入侵檢測系統改出手的時候了。它具有監視、安全審計、反攻擊和攻擊識別等多項功能,通過接收網絡數據,能夠對誤操作、外部攻擊和內部攻擊進行實時的監控。
2.4 安全審計系統
安全審計系統更像是整體系統的報警器,它負責在系統中日夜穿梭“巡邏”,一旦發現不對,就拉響警報,提醒其他系統做好應戰準備。具體的實現方式是對各項網絡數據進行實時監測,網絡中一旦出現各種違規行為和敏感信息,就能實時加以捕捉。開啟實時報警,從而實現對系統安全的智能關聯評估、分析及安全事件的全程準確跟蹤定位。
3 結束語
智能電網的安全建設是一項非常復雜的工程,計算機網絡系統安全在整體智能電網的建設中有著舉足輕重的作用,關系到整個系統的安全、高效、平穩運行。提高對計算機網絡系統安全重要性的的認識,全面掌握其建設要點,有助于推動整體智能電網系統的建設。
參考文獻
[1]徐明磊.智能電網中計算機網絡的安全作用[J].數字技術與運用,2013(12):187-188.
[2]鐘偉杰.試論網絡安全訪問的規劃與建設 [J].信息安全與技術,2011(6):6-8.
[3]蔡銘,謝曉玲,王雪暢等.智能電網脆弱性分析及對策研究 [J].信息工程大學學報,2013(3):376-379.
[4]熊宇航.智能電網網絡安全問題研究 [J]. 數字化用戶,2013(29):76.
關鍵詞:稅務系統;信息安全;安全策略
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10406-02
On the Information Security Policy and Management of Tax Information Management System
HUANG Jian-qun
(Xi'an Shiyou University, Xi'an 710065, China)
Abstract: In this paper, first, points out that information on the importance of the tax system through the presentation of tax information management systems, Concludes with the tax information security and management solutions, The program in improving safety and reliability of tax information has some referential significance.
Key words: tax systems; information security; security policy
稅收是國家財政收入的重要途徑,相關的稅務系業務要求其具有準確性、公證性和完整性的特點,因此保證稅務信息系統的安全性意義重大。稅務系統作為電子政務系統的一部分,屬國家基礎信息建設,其基本特點是:網絡地域廣、信息系統服務對象復雜;稅務信息具有數據集中、安全性要求高;應用系統的種類較多,網絡系統安全設備數量大,種類多,管理難度大。
稅務系統是一個及其龐大復雜的系統,從業務上有國稅、地稅之分,從地域來說又有國家級、省級、地市級、區縣四級。網絡結點眾多、網絡設備和網絡出口不計其數、操作系統種類繁多、應用系統五花八門、網絡機構極其復雜。面對如此復雜的系統,其內部安全隱患隨處可見,經過不斷的研究和探索,目前已經積累了大量解決稅務系統信息基礎設施安全的方法和經驗,形成一整套稅務系統的安全保障方法,相關安全保障的體系也在不斷完善和發展中。
1 網絡信息安全在稅務系統中的重要性
計算機軟硬件技術的發展和互聯網技術的普及,為電子稅務的發展奠定了基礎。尤其是國家金稅工程的建設和應用,使稅務部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務可以最大限度地確保國家的稅收收入,但卻面臨著系統安全性的難題。
雖然我國稅務信息化建設自開始金稅工程以來,取得了長足進步,極大提高了稅務工作效率和質量。但稅務系統本身也暴露出了一系列要改進的問題,各種應用軟件自成體系、重復開發、信息集中程度低。隨著信息化水平的不斷提高,基于信息網絡及計算機的犯罪事件也日益增加。稅務系統所面臨的信息網絡安全威脅不容忽視。建立稅務管理信息化網絡安全體系,要求人們必須提高對網絡安全重要性的認識,增強防范意識,加強網絡安全管理,采取先進有效的技術防范措施。
2 稅務系統安全建設
如何保證信息在傳遞過程中的安全性對稅務系統來說至關重要,任何網絡設備或者解決方案的漏洞都會對稅務系統造成很大影響。如何成功處理信息安全問題,使國家稅務系統在充分利用信息技術的同時,保障系統的安全,對稅務系統建設具有極大意義。信息安全的建設涉及到信息賴以存在和傳遞的一切設施和環境。構筑這個體系的目的是保證信息的安全,不僅需要信息技術的努力與突破,還需要相關政策、法律、管理等方面提供的有力保障,同時也需要提高操作信息系統的工作人員的安全意識。
2.1 稅務系統安全防護體系
稅務系統安全防護體系保證了系統在生命期內處于動態的安全狀態,確保系統功能正確,不受系統規模變化的影響,性能滿意,具有良好的互操作性和強有力的生存能力等。
稅務信息系統安全模型提供了必要的安全服務和措施,增加了動態特性,強調了各因素之間關系的重要性。該模型是一種實時的、動態的安全理論模型,是實施信息安全保障的基礎。在模型基礎上建立安全體系架構隨著環境和時間改變,框架和技術將會主動實時動態的調整,從而確保稅務系統的信息安全。
2.2 稅務系統風險評估
稅務系統信息安全保障的目的是確保系統的信息免受威脅,但絕對的安全并不可能實現,只能通過一定的控制措施將系統受到威脅的可能性降到一個可接受的范圍內。風險評估是對信息及信息處理設施的威脅、影響、脆弱性及三者發生的可能性的評估。風險評估用來確認稅務系統的安全風險及大小,即利用適當的風險評估技術,確定稅務系統資產的風險等級和優先風險控制順序。
風險評估是信息安全管理體系的基礎,為降低網絡的風險、實施風險管理及風險控制提供了直接依據。系統風險評估貫穿于系統整個生命期的始終,是系統安全保障討論最為重要的一個環節。
3 稅務信息系統整體安全構架
一般稅務信息系統所采用的安全架構模型如圖1所示。
從安全結構模型可以看出,該安全架構主要分為三部分:網絡系統基礎防御體系、應用安全體系和安全管理體系。網絡系統基礎防御體系是一個最基本的安全體系,主要從物理級、網絡級、系統級幾個層次采取一系列統一的安全措施,為信息系統的所有應用提供一個基礎的、安全的網絡系統運行環境。
該體系的主要安全建設范圍如下:
1) 物理級安全:主要提供對系統內部關鍵設備、線路、存儲介質的物理運行環境安全,確保系統能正常工作。
2) 網絡級安全:在網絡層上,提供對系統內部網絡系統、廣域網連接和遠程訪問網絡的運行安全保障,確保各類應用系統能在統一的網絡安全平臺上可靠地運作。
3) 系統級安全:主要是從操作系統的角度考慮系統安全措施,防止不法分子利用操作系統的一些BUG、后門取得對系統的非法操作權限。
4 信息安全管理策略
4.1 安全管理平臺
信息安全管理的總體原則是“沒有明確表述為允許的都被認為是被禁止的”。信息安全管理實行安全等級保護制度,制定安全等級劃分標準和安全等級的保護辦法。從管理的角度,將系統中的各類安全管理工具統一到一個平臺,并對各種安全事件、報警、監控做統一處理,發現各類安全問題的相關性,按照預定義的安全策略,進行自動的流程化處理,從而大為縮短發現問題、解決問題的時間,減少了人工操作的工作量,提高安全管理工作的效率。
通過技術手段,構建一個專門的安全管理平臺,將各類安全管理工具集成在這個統一的平臺上,對信息系統整體安全架構的實施進行實時監視并對發現的問題或安全漏洞從技術角度進行分析,為安全管理策略的調整提供建議和反饋信息。統一的安全管理平臺將有助于各種安全管理技術手段的相互補充和有效發揮,也便于從系統整體的角度來進行安全的監視和管理,從而提高安全管理工作的效率。
4.2 物理安全策略
物理安全是對計算機網絡系統中的設備、設施及相關的數據存儲介質提供的安全保護,使其免受各類自然災害及人為導致的破壞。物理安全防范是系統安全架構的基礎,對系統的正常運行具有重要的作用。
當然,信息系統安全不是一成不變的,它是一個動態的過程。隨著安全攻擊和防范技術的發展,安全策略也必須分階段進行調整。日常的安全工作要靠合理的制度和對制度的遵守來實現。只有建立良好的信息安全管理機制,做到技術與管理良好配合,才能長期、有效地防范信息系統的風險。
5 網絡信息安全所采取的主要措施
目前網絡信息安全所采取的主要措施是使用一系列的安全技術來防止對信息系統的非授權使用。討論稅務系統安全策略問題時,相關人員往往傾向于防火墻、入侵檢測系統等實際的安全設備。其實,造成系統安全問題的本質是稅務信息系統本身存在脆弱性。任何信息系統都不可避免的存在或多或少的脆弱性,而且這些脆弱性都是潛在的,無法預知。系統出現脆弱性的根本原因是由于系統的復雜性使得系統存在脆弱性的風險成正比,系統越復雜,系統存在的脆弱性的風險就越大,反之亦然。
安全防御的總策略為:1)建立網絡邊界和安全域防護系統,防止來自系統外部的攻擊和對內部安全訪問域進行控制;2)建立基于整個網絡和全部應用的安全基礎設施,實現系統的內部的身份認證、權限劃分、訪問控制和安全審計;3)建立全系統網絡范圍內的安全管理與響應中心,強化網絡可管理、安全可維護、事件可響應;4)進行分級縱深安全保護,構成系統網絡統一的防范與保護、監控與檢查、響應與處置機制。
6 結束語
解決信息系統的安全不是一個獨立的項目問題,安全策略包括各種安全方案、法律法規、規章制度、技術標準、管理規范等,是整個信息系統安全建設的依據。現有的安全保障體系一般基于深度防御技術框架,若能進一步利用現代信息處理技術中的人工智能技術、嵌入式技術、主動技術、實時技術等,將形成更加完善的信息安全管理體系。
稅務信息安全直接關系到稅收信息化建設的成敗,必須引起稅務機關和每一位稅務人的重視。科學技術的發展不一定能對任何事物的本質和現象都產生影響,技術只有與先進的管理思想、管理體制相結合,才能產生巨大的效益。
參考文獻:
[1] 蔡皖東.信息安全工程與管理[M].西安:西安電子科技大學出版社,2004.
[2] 譚思亮.網絡與信息安全[M].北京:人民郵電出版社,2002.
[3] 譚榮華.稅務信息化簡明教程[M].北京:中國人民大學出版社,2001.
[4] 李濤.網絡安全概論[M].北京:電子工業出版社,2004.
[5] 朱建軍,熊兵.網絡安全防范手冊[M].北京:人民郵電出版社,2007.
[6] 戴英俠,連一峰,王航.系統安全與入侵檢測[M].北京:清華大學出版社,2002.
Abstract: As the technology becomes more advanced, network is gradually integrated into people's lives, and the network security issues are coming too. This article put forward the analysis method of network security based on weaknesses correlation from the network security status quo and the definition of the weakness relationship.
關鍵詞: 弱點;相關性;網絡安全;方法
Key words: weakness;correlation;network security;method
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2013)02-0194-02
1 網絡安全現狀
目前網路安全問題越來越突出。網絡攻擊者不僅利用單個弱點來攻擊網絡系統,還一起組合攻擊,所謂組合攻擊并不是組織多個攻擊者一起攻擊,而是攻擊者把多個主機的弱點結合起來對網絡進行攻擊,這對網絡安全來說是極大的威脅。為了對網絡安全進行評估,就必須深入管理網絡安全系統。網絡安全性的分析方法已經不能滿足當前的形勢,因為它具有單一性,并沒有綜合各個因素來考慮。所以,目前最重要的是提高網絡安全性分析方法,要對基于多個弱點相關性的網絡安全性分析方法進行深入研究。
2 弱點相關性的定義
網絡系統在特定一個環境中,雖然有其安全保護措施,但是攻擊者還是可以利用一個固定節點上的弱點來盜取權限,隨后,又利用此權限來盜取下一個權限,反反復復,最后使整個系統的權限都被盜取。在權限一個接著一個被盜取的過程中,我們可以看出弱點是具有非常強的關聯性的,只要具有關聯性盜取權限的工作就變得越來越簡單了。可以一眼看出的是,這些弱點存在的方式是多樣的,既可以在同一主機的不同軟件上,也可以在不同的網絡節點上。基于這樣的情況來看,我們就可以從相關性這一概念入手,對弱點在環節上的相互關系作解釋說明,把每個弱點在攻擊中發揮出的不同作用表現出來,只有這樣才能從多個角度來考慮弱點對網絡系統產生的影響,對網路系統做更進一步的評估工作。
3 基于弱點相關性的網絡安全性分析方法
3.1 網絡安全分析類型
3.1.1 物理安全分析 對于整個網絡安全系統來說,網絡物理安全分析法是整個網絡安全的基礎條件。在某些網絡系統比較弱的工程建設中,比如說校園網絡工程建設,它的耐壓值是非常低的。為了不出現一些狀況,在進行網絡工程建設的設計前就應該做好相關準備工作,在正式施工的過程中,要先考慮到人和設備不受外界因素影響,比如說雷擊等自然災害,還要考慮其布線系統與各個系統之間的距離、安全等。需要注意的是,必須要建設其防雷系統,因為雷擊這種自然現象對系統的危害是非常大的。在考慮安裝防雷系統時,不僅僅是需要考慮到其計算機所在建筑物得防雷,還要考慮到計算機內部的防雷裝置。總而言之,物理安全的風險主要有水災、火災、地震等自然災害,操作失誤、錯誤等人為災害,一定要對這些方面做出相應的解決措施,避免出現網絡系統的物理安全風險。
3.1.2 網絡結構安全分析 對于網絡系統來說,網絡拓撲結構設計也是會影響其安全性的。一旦外部網與內部網通信,內部網絡的所有設備都會受到一定的威脅,對于同一網絡的系統來說也會受到其影響。透過一定的網絡傳播,還會對連上Internet/Intranet的其他的網絡有所影響。在某些時候,還涉及到法律和金融等敏感領域。所以,我們在設計其網絡系統時一定要考慮到將服務器公開,還要對內部的資料與外網進行一定的隔離,避免出現機密泄露的情況。還需要注意的一點是,要對外網進入的請求過濾,允許安全的信息進入。
3.1.3 系統安全分析 這里的系統安全指的是對全部網絡操作系統以及網絡硬件平臺進行一個檢測的工作,只允許安全的信息進入。就目前的情況來看,并沒有絕對安全的操作系統,只有安全性比較高的系統罷了。舉一個例子來說,Microsoft 的Windows NT以及其它任何商用UNIX操作系統,里面必然有其Back-Door。綜上所述,完全安全的操作系統是沒有的。所以每個用戶都應該綜合考慮然后對網絡進行分析工作,一定要選擇安全性高的操作系統。除了要選用安全的操作系統外,還要對其系統定期進行檢查工作,設定一些安全配置。還需要注意的一點就是,要對登錄過程進行嚴格的認證,確保用戶的合法性,操作者的權限限制也要控制在最小的范圍之內。
3.2 方法
3.2.1 物理措施 基于弱點相關性的網絡安全系統,是可以對其采取物理措施的,舉一些例子來說,比如網絡的關鍵設備,其包括交換機和大型計算機等;制定一定的網絡安全制度,還可以采取一些方便安裝的措施,像防火裝置和防輻射裝置等。
3.2.2 訪問控制 對用戶的訪問權限進行嚴格的認證,這些認證主要指的是用戶訪問網絡資源的時候。舉一個例子來說,一個用戶在訪問一個網站,一般情況下,在這個網頁打開之前,一定會彈出一個對話框,判定這個網頁是否具有一定的安全性,就是在這個基礎上,對其系統的安全性再進一步的提高,加大對帶有病毒的網頁控制工作。
3.2.3 數據加密 在日常生活中,對事物進行加密措施是很常見的,網絡安全工作必然也少不了這一重要環節。對于網絡的資料數據安全來說,機密是最基本也是最重要的手段之一。加密的作用是避免出現信息外泄的情況,是防御有企圖的人的有效方法,另外,還有降低計算機中病毒的概率。
3.2.4 網絡隔離 網絡隔離有隔離卡和安全隔離兩種方式。隔離開主要用于對象是單臺機器,而安全隔離的范圍相對來說是比較廣的,它是用于整個網絡的,這是它們最顯著的區別。
3.2.5 其他措施 除了上面介紹到物理措施、訪問控制、數據加密以及網絡隔離四種方法以外,對信息的過濾、容錯、備份等措施也是有一定的作用的。在近些年來,許多研究者在基于弱點相關性的網絡安全中提出了許多的方法,其方法運用到實際操作中也取得了一定的效果,不管是數據加密,還是防火墻技術,都是基于弱點相關性的網絡安全性分析方法。
3.3 主機弱點列表如表1。
參考文獻:
[1]張晗,萬明杰,王寒凝.戰術互聯網同質層基于信任評估的安全分簇算法[J].計算機應用,2007,(10).
[2]劉密霞.網絡安全態勢分析與可生存性評估研究[D].蘭州理工大學,2008.
[3]楊秀華,李天博,李振建,楊玉芬.基于網絡蠕蟲特征的檢測技術研究[A].中國儀器儀表學會第九屆青年學術會議論文集[C].2007.
[4]甘早斌,吳平,路松峰,李瑞軒.基于擴展攻擊樹的信息系統安全風險評估[J].計算機應用研究,2007,(11).
改革開放以來,我國社會經濟得到了長足的發展,人民物質文化生活水平不斷提高,用電量亦直線增漲,電力行業獲得了前所未有的發展機遇。隨著電力行業的不斷發展壯大和信息網絡技術日新月異的發展,電力行業和電力企業也面臨著一系列的挑戰,電力信息網絡風險管理和防御顯得日益重要,信息網絡風險量化評估成為重中之重。由于我國電力信息化技術起步較晚,發展也比較滯后,電力信息網絡風險管理與風險防御是一個新的課題,電力信息網絡風險量化評估在最近幾年才被重視,所以存在不少的問題急待完善。
1電力信息網絡風險量化評估的必要性
隨著信息技術的不斷發展,電力信息網絡存在的風險越來越大,電力企業不得不提高信息網絡風險防控意識,重視電力信息網絡的風險評估工作。進行電力系統信息網絡風險量化評估意義體現在許多方面,可以提高電力企業管理層和全體員工的信息網絡安全意識,促進電力企業不斷完善電力信息網絡技術的研發與提升,防范廣大電力用戶個人信息泄露,為電力企業今后的良好發展保駕護航。近年來,電力企業迎來了黃金發展時期,電力網絡覆蓋面不斷擴大,電力企業管理理念也不斷提升,電力系統也隨之步入了數字化時代,信息網絡安全防范成為當務之急。目前電力系統信息網絡安全防范一般為安裝防病毒軟件、部署防火墻、進行入侵檢測等基礎性的安全防御,缺乏完整有效的信息安全保障體系。風險量化評估技術能夠準確預測出電力信息網絡可能面臨的各種威脅,及時發現系統安全問題,進行風險分析和評估,盡最大可能地協助防御電力系統安全威脅。
2電力系統信息網絡安全風險評估中存
在的問題我國電力信息網絡安全風險評估是近幾年才開始的,發展相對滯后,目前針對電力信息網絡安全風險評估的相關研究特別少。2008年電力行業信息標準化技術委員會才討論通過了《電力行業信息化標準體系》,因此電力信息網絡安全風險評估中存在不少的問題和難題有待解決。
2.1電力信息網絡系統的得雜性
電力行業,電力企業,各電網單位因為工作性質不同,對電力信息網絡安全風險的認識各不相同,加上相關標準體系的不健全,信息識別缺乏參考,電力信息網絡安全風險識別存在較大的困難。此外電力信息網絡安全風險評估對象難以確定,也給評估工作帶來了很大的困難。2.2電力信息網絡安全風險量化評估方法缺乏科學性我國部分電力企業的信息網絡安全風險評估方法比較落后簡單,其主要方式是組織專家、管理人員、用戶代表根據一些相關的信息數據開會研討,再在研討的基礎上進行人為打分,形成書面的文字說明和統計表格來評定電力信息網絡系統可能面臨的各種風險,這種評估方法十分模糊,缺乏科學的分析,給風險防范決策帶來了極大風險,實在不可取。
2.3傳統的電力信息網絡安全風險評估方法過于主觀
目前用于電力信息網絡安全風險分析計算的傳統方法很多,如層次分析、模糊理論等方法。可是因為電力網絡安全信息的復雜性、不確定性和人為干擾等原因,傳統分析評估方法比較主觀,影響評估結果。在評估的實際工作中存在很多干擾因素,如何排除干擾因素亦是一大難點。電力信息網絡安全風險量化評估要面對海量的信息數據,如何采用科學方法進行數據篩選,簡約數據簡化評估流程是當前的又一重大課題。
3電力信息網絡所面臨的風險分析
電力信息網絡系統面臨的風險五花八門,影響電力信息網絡系統的因素錯綜復雜,需要根據實際情況建立一個立體的安全防御體系。要搞好電力信息網絡系統安全防護工作首先要分析電力信息網絡系統面臨的風險類別,然后才能各個突破,有效防范。電力信息網絡系統面臨的安全風險主要有兩面大類別:安全技術風險和安全管理風險。
3.1電力信息網絡安全技術風險
3.1.1物理性安全風險是指信息網絡外界環境因素和物理因素,導致設備及線路故障使電力信息網絡處于癱瘓狀態,電力信息系統不能正常動作。如地震海嘯、水患火災,雷劈電擊等自然災害;人為的破壞和人為信息泄露;電磁及靜電干擾等,都能夠使電力信息網絡系統不能正常工作。3.1.2網絡安全風險是指電力信息系統內網與外網之間的防火墻不能有效隔離,網絡安全設置的結構出現問題,關鍵設備處理業務的硬件空間不夠用,通信線纜和信息處理硬件等級太低,電力信息網絡速度跟不上等等。3.1.3主機系統本身存在的安全風險是指系統本身安全防御不夠完善,存在系統漏洞,電力企業內部人員和外部人員都可以利用一定的信息技術盜取用戶所有的權限,竊走或破壞電力信息網絡相關數據。電力信息網絡安全風險有兩種:一是因操作不當,安裝了一些不良插件,使電力信息網絡系統門戶大開,被他人輕而易舉地進行網絡入侵和攻擊;二是因為主機硬件出故障使數據丟失無法恢復,以及數據庫本身存在不可修復的漏洞導致數據的丟失。
3.2電力信息網絡安全管理中存在的風險
電力信息網絡是一個龐大復雜的網絡,必須要重視安全管理。電力信息網絡安全管理風險來源于電力企業的內部,可見其風險威脅性之大。電力信息網絡安全管理中存在風險的原因主要是企業內部管理混亂,權責劃分不清晰,操作人員業務技能不過關,工作人員責任心缺乏,最主要還是管理層對電力信息網絡安全管理中存在的風險意識薄弱,風險管理不到位所致。
4電力信息網絡風險評估的量化分析
4.1電力信息網絡風險評估標準
目前我國一般運用的電力信息網絡風險評估標準是:GB/T20984-2007《信息安全技術:信息安全風險評估規范》,該標準定義了信息安全風險評估的相關專業術語,規范了信息安全風險評估流程,對信息網絡系統各個使用壽命周期的風險評估實施細節做出了詳細的說明和規定。
4.2電力信息網絡安全風險計算模型
學界認為電力信息網絡的安全風險與風險事件發生概率與風險事件發生后造成的可能損失存在較高的相關性。所以電力信息系統總體風險值的計算公式如下:R(x)=f(p,c)其中R(x)為系統風險總值,p代表概率,c為風險事件產生的后果。由此可知,利用科學的計算模式來量化風險事件發生的概率,和風險事件發生后可能產生的后果,即可演算出電力信息網絡安全的風險總值。
4.3電力信息網絡安全風險量化評估的方法
4.3.1模糊綜合評判法模糊綜合評判法采用模糊數學進行電力信息網絡安全風險量化評估的一種方法,利用模糊數學的隸屬度理論,把對風險的定性評估轉化成定量評估,一般運用于復雜龐大的電力信息網絡安全防御系統的綜全性評估。利用模糊綜合評判法時,要確定好因數集、評判集、權重系數,解出綜合評估矩陣值。模糊綜合評判法是一種線性分析數學方法,多用于化解風險量化評估中的不確定因素。4.3.2層次分析法電力信息網絡風險量化評估層次分析法起源于美國,是將定性與定量相結合的一種風險量化評估分析方法。層次分析法是把信息網絡風險分成不同的層次等級,從最底層開始進行分析、比較和計算各評估要素所占的權重,層層向上計算求解,直到計算出最終矩陣值,從而判斷出信息網絡風險終值。4.3.3變精度粗糙集法電力信息網絡風險量化評估變精度粗糙集法是一種處理模糊和不精確性問題的數學方法,其核心理念是利用問題的描述集合,用可辨關系與不可辨關系確定該問題的近似域,在數據中尋找出問題的內在規律,從而獲得風險量化評估所需要的相關數據。在實際工作中,電力信息網絡風險量化評估分析會受到諸多因素的影響和干擾,變精度粗糙集法可以把這些干擾因素模糊化,具有強大的定性分析功能。電力信息網絡風險量化評估是運用數學工具把評估對象進行量化處理的一種過程。在現實工作中,無論采用哪種信息網絡風險評估的量化分析方法,其目的都是為了更好地進行風險防控,為電力企業的發展保駕護航。
5總結
電力信息網絡安全對保證人民財產安全和電力企業的日常營運都具有非常重要的意義,電力企業領導層必須要加以重視,加大科研投入,定向培養相關的專業人才,強化電力信息網絡安全風險評估工作,為電力企業的良好發展打下堅實的基礎。
參考文獻
[1]龐霞,謝清宇.淺議電力信息安全運行維護與管理[J].科技與企業,2012(07):28.
[2]王申華,蔣健.電力信息安全運行維護及管理探討[J].信息與電腦(理論版),2014(11):45.
為了確保奧運期間網絡系統安全穩定的運行,必須保證國內外參與2008奧運盛事的廣大用戶安全暢通的移動信息服務,所以移動運營商需要在已有安全體系的基礎上引入專業的安全服務,來增強有關網絡承載平臺、數據業務系統、業務支撐系統等方面的安全風險控制能力,以保證能夠持續不斷地發現系統安全風險,選擇適當控制措施及時進行糾正。
日常安全服務
日常安全服務主要在非奧運賽時進行,服務的內容主要包括安全預警服務、安全系統評估/抽查、安全加固、安全巡檢等服務。重點關注是在檢查奧運有關系統的安全性,修補信息安全的短板,降低出現安全問題的可能性,并對可預見的安全問題進行適當的演練。具體步驟如下:
首先要通過從專業安全服務組織獲取安全預警信息,為奧運有關系統的運維人員提供最新的安全動態、技術和定制的安全信息。具體包括實時安全漏洞通知、定期安全通告匯總、臨時安全解決方案等。同時將這些信息與建設的網絡安全預警系統進行結合,實時反映網絡運行的安全狀況,分析監控過程中不正常的網絡參數或者業務流量,并進行同步響應。
其次要通過對奧運有關系統進行安全風險評估,以準確掌握各個系統的安全風險狀況,為安全防護體系的建設提供客觀依據。為了降低安全評估可能給有關系統帶來的影響,建議對涉及的主機系統、網絡設備、安全設備采用安全專家手工檢查的方式進行,而終端設備的數量眾多,重要性相對較低,可采用工具自動掃描的方式進行安全檢查。同時,可以考慮對奧運直接提供服務的奧運產品系統進行全面的評估,對奧運有關系統的承載和運行支撐平臺進行抽查。
再次,在安全評估/抽查以后可以采用修改安全配置、添加安全策略、更新系統補丁、建立安全防護措施等方式,進行安全風險點的修補和加固,以促使奧運相關系統的安全風險級別降低到安全水平。
由專業安全服務組織協助進行安全巡檢工作,一方面對網絡中的主機系統、業務系統、數據庫系統進行基本的安全檢查,發現是否有啟動異常服務、非法訪問等情況存在;另一方面對安全設備如防火墻、入侵檢測、防病毒、動態口令認證等安全系統進行定期安全檢查,核查安全策略,以起到防微杜漸的作用。
奧運會期間安全駐點服務
經過在奧運開賽之前的充分準備,奧運有關網絡系統的安全建設業已完成,已經形成了較為完善的安全管控體系。在奧運會期間最重要的就是依據既定的策略使業務系統安全、穩定地運行,而不適合再進行安全建設的施工操作,需要盡可能少的進行網絡架構、主機系統、安全控制措施等方面的調整。
針對這個階段的安全防護特點,適合引入專業的安全駐點服務。安全駐點服務在現場提供奧運會期間全網系統的安全職守,主要內容包括:奧運相關系統運行狀態安全檢查、第三方維護人員安全指導、安全檢測系統日志分析(比如入侵檢測系統)、安全優化需求分析和方案提供、安全事件處理等,同時協助處理日常安全工作,加快響應時間,保證業務質量。
在安全駐點服務中的重要工作還包括對緊急安全事件的響應,這方面在下面進行介紹。
應急響應服務
應急響應服務是在奧運有關網絡出現緊急安全問題的時候,由專業安全服務組織提供有效的預案流程、技術手段等綜合措施,對已發生或可能發生的有重大危害的網絡與信息安全事件進行響應,以盡量降低可能造成的損失,并使業務盡快恢復正常運轉。
經過對奧運有關網絡系統分析,可能會出現的安全事件主要有:網絡速度緩慢、堵塞,重要業務系統出現資源占用異常升高,業務應用系統出現異常,重要業務系統出現異常進程、非法訪問、爆發病毒等,重要系統出現啟動或關機異常、系統崩潰,重要業務系統數據被篡改等。
在出現上述安全事件的時候,可以通過應急響應服務對疑似安全事件進行準確判定,對確認的安全事件進行處理和清除,以盡快恢復業務系統的運行,分析和追蹤攻擊源。
關鍵詞:網絡安全 問題 對策
1 什么是計算機網絡安全問題
國際標準化組織將計算機安全定義為:為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。完整性,即保證非授權操作不能修改數據。有效性,即保證非授權操作不能破壞信息或計算機數資源。網絡系統安全包括網絡安全和信息安全。那么網絡安全指基于網絡運作和網絡間的互聯互通造成的物理線路和連接的安全、網絡系統安全、操作系統安全、應用服務安全、人員管理安全等幾個方面。信息安全指數據的保密性、完整性、真實性、可用性、不可否認性及可控性等安全。
2 計算機網絡安全的現狀
網絡安全問題不容忽視,諸如有意或無意地修改或破壞系統,或者在非授權和不能監測的方式下對數據進行修改的數據完整性破壞行為;利用計算機信息系統的廣泛互聯性和匿名性,散步錯誤的信息以詆毀某個對象的形象和知名度的誹謗行為;以及在網絡系統中,讀取網上傳輸的數據,安裝通信監視器和讀取網上的信息等,不得不讓人們引起足夠重視。
2.1互聯網犯罪行為嚴重
互聯網進入人們生活的各個角落,人們很多事情都需要通過網絡來完成。正因為這樣,網絡犯罪也越來越普遍。人們利用網絡盜取別人的信息,對用戶的保密信息、財產等造成嚴重損失。
2.2用戶安全意識不強
對于互聯網用戶應該加強安全意識,所有用戶要有自身網絡保護意識,還要注意自身的網絡行為是否給他人造成危害意識,有時用戶的不經意行為就會造成其他用戶的安全威脅。
2.3黑客技術發展迅速
互聯網不斷發展,商業活動越來越多,現在出現的很多病毒都是帶有商業利益的,病毒的方式有木馬、蠕蟲、間諜程序等,導致網絡中的信息和數據被盜取。黑客之所以能給用戶數據帶來威脅,因為它能使病毒進行偽裝和隱藏,以致于一般的殺毒軟件無法檢查并查殺病毒。計算機網絡安全的防范對策網絡安全與網絡系統息息相關,要想確保計算機網絡能夠安全穩定運行,應從以下幾方面著手。
3 對計算機網絡安全問題采取的幾點防范措施
3.1管理安全對策
作為計算機安全運行的重中之重,管理問題尤為重要。人是操作計算機系統的主體,因此人為操作失誤也是影響網絡安全運行的主要因素之一。基于此,必須建立健全網絡管理機制,只有實現人為操作規范化管理,才能夠有效避免人為操作失誤安全隱患。此外,還應采取有效措施提高計算機管理人員的安全防護意識,并制定一套行之有效的網絡安全應急防護方案。
3.2計算機系統的安全對策
隨著網絡時代的到來,計算機信息技術也得到了飛速發展,不過隨之而來的是計算機病毒的傳播也呈現出多樣化趨勢,要想確保計算機網絡運行的安全可靠性,不僅僅要進一步提升廣大計算機用戶的安全防護意識,更為重要的是加大對計算機病毒的防護力度。常見的計算機系統安全防護手段主要有以下幾方面:計算機用戶不要隨意打開或進入具有欺騙性的郵件或網站;加強對計算機病毒防護知識的學習,及時發現并解決計算機異常問題,以便有效預防計算機病毒攻擊,確保計算機系統安全穩定運行。另外,對于一旦遭受病毒攻擊就會造成巨大經濟損失或其它損失的網絡用戶而言,應及時做好系統備份工作。
3.3計算機實體的物理防護對策
計算機物理安全很容易被人們所忽視,事實上,包括計算機硬件以及通信線路等在內的一些實體設備的安全防護也會對計算機系統安全運行產生直接影響,如果這些實體設備出現不同程度的故障,很可能會導致網絡安全隱患。為有效預防雷電和強電對網絡系統的干擾,技術人員往往通過增設避雷設備解決該問題,并利用電磁屏蔽技術有效避免電磁泄漏現象的出現,與此同時,還應做好對計算機設備的日常維護工作,確保防火、防震、防靜電以及防塵等措施全部落實到位,為計算機系統安全可靠運行提供有力保障。
3.4網絡控制對策
加強對網絡的有效控制是確保網絡安全的主要手段。(1)對網絡設置訪問權限。為有效解決因人為非法操作所造成的網絡安全隱患問題,應對網絡設置訪問權限。加強入網控制是目前較為常見的網絡控制手段,例如用戶實名制登錄、身份驗證、口令驗證等等。另外,還應對用戶以及用戶組的訪問權限進行合理設置。(2)加強網絡防火墻的控制。防火墻技術是保障網絡安全的重要技術手段。該技術主要是通過對內網和外網進行有效隔離,并對這兩個網絡通信時的訪問尺度進行有效控制來確保網絡安全。過濾防火墻和防火墻是當前常見的防火墻技術:①過濾防火墻:利用路由器來阻擋外網對內網的非法入侵是過濾防火墻的主要作用。②防火墻:服務器技術是防火墻的最核心技術,服務器會對外部網絡向內網發送的數據和請求進行過濾,只有符合過濾規則的數據才會被傳遞至真實的服務器,這樣能夠有效預防非法數據的傳輸。雖然防火墻技術能夠進一步增強網絡的安全可靠性,但該技術也無法確保網絡的絕對安全,其自身也會面臨被計算機病毒入侵的安全隱患,基于此,我們應將防火墻技術與其它安全防護技術有機結合在一起,從而使計算機網絡安全得到進一步提升。
4 結語
據相關機構調查結果表明,未對自己網絡制定專門的安全防護對策,僅僅通過較為簡單的安全防護手段來確保網絡安全的企業比例高達 55%,并且這些簡單的安全防護措施之間很容易出現相互矛盾或相互重疊等方面問題,這樣既導致網絡的服務性能大打折扣,又無法確保網絡安全可靠運行,因此,我們應加大網絡安全管理力度,提高網絡管理人員的安全意識,并加強網絡安全技術的研發與應用,只有如此才能確保計算機網絡安全可靠運行。
參考文獻
[1]楊國文.網絡病毒防治技術在計算機管理中的應用[J].網絡安全技術與應用,2011(9)
【關鍵詞】:應用系統;安全;方案設計;實現
中圖分類號:S611文獻標識碼: A
1、前言
21 世紀生活,全球向網絡化發展,網絡正以驚人的速度應用于各行各業。尤其是Internet,已經深入到了我們生活、工作的方方面面。隨著網絡的普及,網絡安全問題日益突出,并已成為制約網絡發展的重要因素。安全策略是指一個系統工作時必須遵守的安全規則的精確規范。它不是一個統一的標準,而是在對特定的系統進行徹底分析的基礎上制定的切實的策略。安全策略的內容應該包括系統安全隱患的分析以及應對的措施。本文以下內容將對應用系統安全方案的設計與實現進行研究和探討,以供參考。
2、網絡安全方案總體設計原則
網絡安全方案總體設計原則為:第一,綜合性、整體性原則。應用系統工程的觀點、方法,分析網絡的安全及具體措施。安全措施主要包括行政法律手段、各種管理制度以及專業措施。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡,包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。第二,需求、風險、代價平衡的原則。對任意網絡,絕對安全難以達到,也不一定是必要的。對一個網絡進行實際的研究,并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施。第三,一致性原則。一致性原則主要是指網絡安全問題應與整個網絡的工作周期同時存在,制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計及實施計劃、網絡驗證、驗收、運行等,都要有安全的內容及措施。第四,易操作性原則。安全措施需要人去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。其次,措施的采用不能影響系統的正常運行。第五,分布實施原則。由于網絡系統及其應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。第六,多重保護原則。任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它保護仍可保護信息的安全。第七,可評價性原則。如何預先評價一個安全設計并驗證其網絡的安全性,需要通過國家有關網絡信息安全測評認證機構的評估來實現。
3、應用系統安全體系結構
具體的安全控制系統由以下幾個方面組成:物理安全、網絡平臺安全、系統安全、信息和數據安全、應用安全和安全管理。第一,物理安全。可采用多種手段和措施用于加強物理場所的安全管理,包括:制訂相應的機房出入管理制度,使用門衛、閉路電視系統、門禁系統等等,來監控人員的進出、對出入人員進行登記;實行機房設備登記制度和嚴格的設備操作規程等等。第二,網絡平臺安全。在網絡的安全方面,主要考慮兩個大的層次,一是整個網絡結構成熟化,主要是優化網絡結構,二是整個網絡系統的安全。從對網絡平臺的安全風險分析可以看出,應用系統的網絡拓撲結構已充分考慮了網絡的安全性。實踐證明,應用系統的網絡平臺安全可以保證。第三,系統安全。系統安全主要是指操作系統、應用系統的安全性和可靠性。對于操作系統的安全防范可以采取如下策略:對操作系統進行安全配置,提高系統的安全性;關鍵性信息不直接公開。應用系統在開發時,采用規范化的開發過程,盡可能的減少應用系統的漏洞。第四,信息和數據安全。為了能夠在系統出現故障時及時修復數據,應建立了良好的備份機制。備份系統的目的是盡可能地全盤恢復運行計算機系統所需的數據和系統信息。第五,應用安全。嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。 密切注視應用軟件的Bug。在這里要積極防范端口掃描攻擊。第六,安全管理。為了保護網絡的安全,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,安全管理規范也是網絡安全所必須的。安全管理策略一方面從純粹的管理上即安全管理規范來實現,另一方面從技術上建立高效的管理平臺。安全管理策略主要有:定義完善的安全管理模型;建立長遠的并且可實施的安全策略;徹底貫徹規范的安全防范措施;建立恰當的安全評估尺度,并且進行經常性的規則審核。當然,還需要建立高效的管理平臺。
3、結尾
本文以上內容對方案設計原則及安全體系結構進行了研究和探討,表達了觀點,提出了見解,另外還需注意的是,應用系統遭到病毒襲擊后,必須盡快采取病毒防護方法,可以采取網絡病毒防護方法,在系統中安裝Norton AntiVirus 企業版,并按照地面系統的特點進行配置。實踐證明,在發生病毒事件的時候,該病毒防護系統及時有效地控制了病毒的傳播及破壞,在目前地面網絡中起到了關鍵的保障作用
【參考文獻】
[1]《面向21 世紀網絡安全與防護》胡昌振等,北京希望電子出版社
【關鍵詞】網絡安全;消防遠程監控;防范措施
1、引言
消防遠程監控系統是隨著計算機、網絡、通信等現代技術的應用而發展起來的新型技術系統,是加強公共消防安全管理的一項重要科技手段。然而,目前網絡上攻擊網絡系統的手段越來越多,如何使消防遠程監控系統安全可靠地為聯網單位服務也是擺在消防部門面前的一個問題。
2、網絡隱患的來源
2.1人為因素
(1)操作失誤。操作員設置的安全配置不當造成安全漏洞。而提高用戶安全防范意識,選擇合理安全配置,是減少網絡風險的重要途徑。
(2)惡意攻擊。這是消防遠程監控系統網絡所面臨的最大威脅,如何預防或抑制惡意攻擊,是網絡安全防范的核心內容。
2.2非人為因素
(1)軟件漏洞。任何系統軟件或應用軟件都不是百分百無缺陷、無漏洞的,軟件漏洞是入侵者攻擊的首選路徑。
(2)病毒攻擊。網絡是消防遠程監控系統與服務器實現數據連接的互聯網平臺,因而不可避免地會遭到這樣或者那樣的病毒攻擊。
3、消防遠程監控系統網絡安全技術
信息安全主要涉及信息傳輸安全、信息存儲安全以及對網絡傳輸信息內容的審計三方面。信息存儲安全,也即消防遠程監控系統終端安全,一般是基于口令和/或密碼算法的身份驗證,來保證信息的安全保護。信息內容審計,是實時對進出內部網絡的信息進行內容審計,以防止或追查可能的泄密行為。
(a)數據傳輸加密技術。該技術對傳輸中的數據流進行加密,以防止通信線路上的竊聽、泄漏、篡改和破壞。
一般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側重與在通信鏈路上而不考慮信源和信宿,是對保密信息通過各鏈路采用不同的加密密鑰提供安全保護。鏈路加密是面向節點的,對于網絡高層主體是透明的,它對高層的協議信息(地址、檢錯、幀頭幀尾)都加密,因此數據在傳輸中是密文的,但在中央節點必須解密得到路由信息。端到端加密則指信息由發送端自動加密,并進入TCP/IP數據包回封,然后作為不可閱讀和不可識別的數據穿過互聯網,當這些信息一旦到達目的地,將自動重組、解密,成為可讀數據。端到端加密是面向網絡高層主體的,它不對下層協議進行信息加密,協議信息以明文形式傳輸,用戶數據在中央節點不需解密。
(b)數據完整性鑒別技術。目前,對于動態傳輸的信息,許多協議確保信息完整性的方法大多是收錯重傳、丟棄后續包的辦法,但黑客的攻擊可以改變信息包內部的內容,所以應采取有效的措施來進行完整性控制。
(c)防抵賴技術。它包括對源和目的地雙方的證明,常用方法是數字簽名,數字簽名采用一定的數據交換協議,使得通信雙方能夠滿足兩個條件:接收方能夠鑒別發送方所宣稱的身份,發送方以后不能否認他發送過數據這一事實。
鑒于為保障數據傳輸的安全,需采用數據傳輸加密技術、數據完整性鑒別技術及防抵賴技術。為節省投資、簡化系統配置、便于管理、使用方便,有必要選取集成的安全保密技術措施及設備。
4、消防遠程監控系統網絡安全防范策略
基于網絡系統風險的來源以及對人們造成危害的重大性,做好防御措施,減少隱患源頭,防范于未然,是消防遠程監控系統網絡安全的主要方針政策。為此,單位或個人應該從一下幾方面入手:
(1)開展消防遠程監控系統信息系統安全風險評估
風險評估是消防遠程監控系統信息安全保障工作的基礎。安全源于風險,信息安全保障工作的基礎和出發點就是要確定安全風險的來源、種類、破壞程度、發生可能性、產生的后果等內容。風險評估也是實現消防遠程監控系統網絡安全保障工作的重要環節,是建立信息安全管理體系工作的重要步驟,是信息安全風險管理的重要工作階段,是信息安全保障工作的主要核查手段。當安全形勢發生重大變化或網絡與信息系統使命有重大變更時,及時進行信息安全風險評估,發現和了解新的風險,并及時調整安全保障技術和管理措施。
(2)加強消防遠程監控系統病毒防御,實時檢測網絡安全漏洞,監控病毒入侵。
加強消防遠程監控系統病毒防御應從兩方面著手。首先各級監控中心應建立網絡安全管理制度、健全信息安全規則;加強對中心網絡管理人員進行專業知識和計算機網絡安全新技術的培訓;對監控中心值守人員要請專業技術人員介紹網絡安全的重要性以及病毒防御常識等。再者應該加強技術上的防范措施,例如建立網管系統,使用漏洞掃描、入侵監控等系統。檢測安全漏洞就是掃描網絡中系統、程序、軟件的漏洞。利用漏洞掃描系統提供的最新漏洞報告,提醒管理員實時了解網絡系統當前存在的漏洞并及時采取相應的措施進行修補。
(3)定期實行數據備份或恢復,具備應急備份功能
消防遠程監控系統由于各種原因出現災難事件時最為重要的是恢復和分析的手段與依據。網絡運行部門應該制定完整的系統備份計劃,并嚴格實施。備份計劃中應包括網絡系統和用戶數據備份、完全和增量備份的頻度和責任人。還要用科學、發展的眼光看待消防遠程監控中心的數據備份或恢復問題,具備應急備份功能。如采用雙機熱備等方式保證系統及信息的安全也是非常有必要的。
(4)安裝配置防火墻
防火墻從本質上講就是一種網絡保護裝置,它是一個或一組網絡設備,可以在不同的網絡間通過匹配編好的網絡策略規劃來決定對網絡的訪問,達到對網絡數據的保護。防火墻作用包括:限制他人進入內部網絡,過濾掉不安全服務和非法用戶;限定用戶訪問特殊站點;監視Internet安全等。
5、結束語
隨著信息化進程的不斷深入,信息技術的負面效應和網上不良信息時有出現,消防遠程監控系統感染病毒時有泛濫,網絡隱患事件時有發生,網絡安全問題屢禁不止。可以說,沒有絕對安全的消防遠程監控系統,一個系統只要使用,就或多或少存在安全問題,只是程度不同而已。僅僅采用一兩項安全技術是不足以全面對抗網絡上所潛在的各種威脅的。因此,必須提高用戶安全意識,配合有效的防范措施和安全技術,定期檢查,實時監控,才能將網絡風險減小到最低限度。
參考文獻
[1]GB 26875-2011.《城市消防遠程監控系統技術規范》[S].2011
[2](美)考夫曼等著,許劍卓 等譯.網絡安全―公眾世界中的秘密通信(第二版)[M].電子工業出版社.2004
關鍵字:電子商務密鑰數字摘要數字簽名數字時間戳數字證書SSL協議SET協議
隨著計算機技術、網絡通信技術和因特網的發展,目前電子商務技術正在全球迅速發展。電子商務實際是基于互聯網絡開展的各種商務活動,由于Internet本身具有開放性,且交易各方具有不直接對面性,其資金流轉具有計算機處理性和網絡傳輸性,使得交易的安全成為了電子商務發展的核心和關鍵問題。為了確保在交易過程中信息有效、真實、可靠且保密,目前主要采用的安全防偽技術有數據加密技術、認證技術和安全協議技術。
電子商務網絡安全從其本質上來講就是網絡上的信息安全,是指電子商務網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠運行,網絡服務不中斷。網絡安全不僅僅是技術問題,也是一個管理問題,因此要解決網絡安全問題,必須有綜合的解決方案,才能全方位地對付各種不同的威脅和攻擊,這樣才能確保網絡信息的保密性、完整性、可用性。.因此,加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。
一、電子商務中的安全控制
電子商務的基礎平臺是互聯網,電子商務發展的核心和關鍵問題就是交易的安全,由于Internet本身的開放性,使網上交易面臨著種種危險,也由此提出了相應的安全控制要求。
下面從技術手段的角度,從系統安全與數據安全的不同層面來探討電子商務中出現的網絡安全問題。
1.系統安全
在電子商務中,網絡安全一般包括以下兩個方面:對于一個企業來說,首先是信息的安全與交易者身份的安全,但是信息安全的前提條件是系統的安全。
系統安全采用的技術和手段有冗余技術、網絡隔離技術、訪問控制技術、身份鑒別技術、加密技術、監控審計技術、安全評估技術等。
(1)網絡系統
網絡系統安全是網絡的開放性、無邊界性、自由性造成,安全解決的關鍵是把被保護的網絡從開放、無邊界、自由的環境中獨立出來,使網絡成為可控制、管理的內部系統,由于網絡系統是應用系統的基礎,網絡安全便成為首問題。解決網絡安全主要方式有:
網絡冗佘一它是解決網絡系統單點故障的重要措施。對關鍵性的網絡線路、設備,通常采用雙備份或多備份的方式。網絡運行時雙方對運營狀態相互實時監控井自動調整,當網絡的一段或一點發生故障或網絡信息流量突變時能在有效時間內進行切換分配,保證網絡正常的運行。
系統隔離一分為物理隔離和邏輯隔離,主要從網絡安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問,從而達到安全目的。對業務網絡或辦公網絡采用VLAN技術和通信協議實行邏輯隔離劃分不同的應用子網。
訪問控制一對于網絡不同信任域實現雙向控制或有限訪問原則,使受控的子網或主機訪問權限和信息流向能得到有效控制。具體相對網絡對象而言需要解決網絡的邊界的控制和網絡內部的控制,對于網絡資源來說保持有限訪問的原則,信息流則可根據安全需求實現的單向或雙向控制。訪問控制最重要的設備就是防火墻,它一般安置在不同點域的出入口處,對進出網絡的IP信息包進行過濾并按企業安全政策進行信息流控制,同時實現網絡地址轉換、實時信息審計警告等功能,高級防火墻還可實現基于用戶的細粒度的訪問控制。
身份鑒別一是對網絡訪問者權限的識別,一般通過三種方式驗證主體身份,一是主體了解的秘密,如用戶名口令、密鑰:二是主體攜帶的物品,如磁卡、IC卡、動態口令卡和令牌卡等:三是主體特征或能力,如指紋、聲音、視網膜、簽名等。加密是為了防止網絡上的竊聽、泄漏、篡改和破壞,保證信息傳輸安全,對網上數據使用加密手段是最為有效的方式。目前加密可以在三個層次來實現,即鏈路層加密、網絡層加密和應用層加密。鏈路加密側重通信鏈路而不考慮信源和信宿,它對網絡高層主體是透明的。網絡層加密采用IPSEC核心協議,具有加密、認證雙重功能,是在IP層實現的安全標準。通過網絡加密可以構造企業內部的慮擬專網,使企業在較少投資下得到安全較大的回報,并保證用戶的應用安全。
安全監測一采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡掃描監測.系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征,廣泛用于各行各業。網絡掃描是針對網絡設備的安全漏洞進行檢測和分析,包括網絡通信服務、路由器、防火墻、郵件、WEB服務器等,從而識別能被入侵者利用非法進入的網絡漏洞。網絡掃描系統對檢測到的漏洞信息形成詳細報告,包括位置、詳細描述和建議的改進方案,使網答能檢測和答理安全風險信息。
(2)操作系統
操作系統是管理計算機資源的核心系統,負責信息發送、管理、設備存儲空間和各種系統資源的調度,它作為應用系統的軟件平臺具有通用性和易用性,操作系統安全性自接關系到應用系統安全,操作系統安全分為應用安全和安全漏洞掃描。
應用安全一一面向應用選擇可靠的操作系統,可以杜絕使用來歷不明的軟件。用戶可安裝操作系統保護與恢復軟件,并作相應的備份。
系統掃描——基于主機的安全評估系統是對系統的安全風險級別進行劃分,并供完整的安全漏洞檢查列表,通過不同版木的操作系統進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數抓免受盜用、破壞。
(3)應用系統
辦公系統文件(郵件)的安全存儲:利用加密手段,配合相應的身份鑒別和密鑰保護機制IC卡、PCMCIA安全PC卡等,使得存儲于本機和網絡服務器上的個人和單位重要文件處于安全存儲的狀態,使得他人即使通過各種手段非法獲取相關文件或存儲介質磁盤等,也無法獲得相關文件的內容。
文件郵件的安全傳送:對通過網絡傳送給他人的文件進行安全處理(加密、簽名、完整性鑒別等),使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制IC卡、PCMCIAPC卡才能解密井閱讀,杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等,主要用于信息網中的報表傳送、公文卜發等。
二、電子商務網絡安全應對措施
1.使用網絡監測和鎖定監控
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形或文字或聲音等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進人網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該帳戶將被自動鎖定。通過分析記錄數據,可以發現可疑的網絡活動,并采取措施預先阻止今后可能發生的入侵行為。
2.對通信端口和通信線路進行保護
遠程終端和通信線路是安全的薄弱環節,對目前已有各種各樣的端口保護專用設備,要選擇符合實際需要的技術先進的產品。對于通信線路,應盡可能埋在地下,并且盡可能采用光纜,因為光纜不存在因各種電磁輻射引起的電磁泄漏,而且抗干擾性能極好。若采用電纜,要抑制和防止電磁泄漏,目前主要措施有兩類:一類是對傳導發射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護,可采用電磁屏蔽措施和干擾方式的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。
3.采用信息流安全控制
防止不法分子通過流量和流向分析手段來確定攻擊的目標。
這類安全控制包括:掩蓋通信的頻度、掩蓋報文的長度、掩蓋報文的形式、掩蓋報文的地址。具體方法是填充報文和改變傳輸路徑。為掩蓋報文地址,一般采用物理層的鏈路加密方式,為掩蓋報文的形式,常采用帶反饋的加密方式。
4.安裝高性能的防火墻
防火墻是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障。
如果內部網絡要進人Internet,必須在內部網絡與外部網絡的接口處設置防火墻,在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的侵入,確保內部網絡中的數據安全。在具體應用防火墻技術時,還要考慮兩個方面:首先,防火墻是不能防病毒的,工作站是病毒進人網絡的主要途徑,所以應該在工作站上安裝防病毒軟件。其次,防火墻技術的另外一個弱點在于數據在防火墻之間的更新,如果延遲太大將無法支持實時服務請求。
5.采用訪問控制
從計算機系統的處理能力方面對信息提供保護,它按照事先確定的規則決定主體對客體的訪問是否合法。當主體試圖非法使用一個未經授權的資源時,訪問控制機制將拒絕這一企圖,并將這一事件報告給審計跟蹤系統。審計跟蹤系統將給出報警,并記入日志檔案。對于文件和數據庫設置安全屬性,對其共享的程度予以劃分,通過訪問矩陣來限制用戶的使用方式。協同工作流OA。
隨著電子政務的飛速發展,其承載的政府管理和服務系統日趨龐雜,這就對電子政務網絡系統的安全性提出了更高的要求。因此,建立與網絡信息安全相適應的安全策略和安全設施,構筑完整的網絡安全體系,是電子政務發展的一個重要內容。
2 電子政務網絡面臨的安全問題
(1)網絡的規劃缺乏合理性。由于技術和資金投入方面的原因,電子政務網絡在規劃建設時往往會在一些方面缺少前瞻性的考慮,而隨著電子政務應用需求的與日俱增,這些問題直接表現為網絡在功能上和性能上的相對滯后。
(2)網絡病毒問題比較突出。病毒問題對電子政務網絡的安全應用造成了很大的威脅,在實際中往往會忽視全網防毒的重要性,并且對未知病毒的防范上缺乏必要的措施。
(3)網絡攻擊事件日益增多。隨著網絡攻擊技術的發展,對電子政務網絡的攻擊行為日益增多,包括物理通路竊聽、鏈路數據被截獲、非法用戶入侵、政府網頁被惡意篡改等等,都對電子政務網絡的安全性提出了更高的要求。
(4)災難恢復機制不夠完善。在電子政務網絡建設中,存在著單點故障的隱患,這些都是電子政務網絡在安全防范和恢復能力方面存在的薄弱環節。
(5)網絡安全管理相對滯后。電子政務網絡的安全三分靠建設、七分靠管理,而在目前的電子政務網絡建設中,與網絡安全相關的規范、措施、預案相對較少,安全管理的意識還很淡薄。
3安全體系的設計
電子政務網絡安全是個復雜的綜合性問題,不能簡單地理解成為一些安全產品的集合,而是要形成體系化的建設,可以從安全技術和安全管理兩個方面實現:
(1)安全技術
安全技術是實現電子政務網絡安全最直接、最普遍的方法,因而在電子政務網絡安全保障上應考慮以下安全技術的應用:應用防火墻技術,隔離內外網絡、控制訪問權限,防止非法訪問和惡意攻擊;應用主動入侵防御技術保護核心服務器和內部網絡,進行深層防御、精確阻斷;應用安全掃描技術主動探測網絡安全漏洞,進行網絡安全評估,保持網絡系統安全的一致性和連續性;應用審計技術對業務數據流和人員上網行為進行審計,防止網絡濫用情況的發生,進一步規范上網行為;應用流量分析技術,優化網絡帶寬,實現網絡資源和網絡應用的可控制性;應用網絡負載均衡技術,提高不同網絡之間訪問速度;應用統一管理技術,實現對網絡設備、服務器和基礎設施的統一監測管理。
(2)安全管理
網絡安全的核心是安全管理,安全管理是確保安全技術得以有效實施的保障,可以考慮兩方面的措施:一是制定本地區、本部門的電子政務網絡安全管理規范,充分發揮網絡在信息化建設中的基礎性作用,促進信息化建設健康、快速、協調發展;二是制定電子政務網絡突發事件應急預案,建立起完善的電子政務網絡系統保障和恢復應急工作機制,有效預防、及時控制和最大限度地消除突發網絡事件的危害和影響,確保電子政務網絡系統的安全、穩定運行。
4安全體系的建設原則
(1)完整性。單一的技術手段或管理手段對安全問題的發現、處理、控制等能力各有優劣,所以應該從整體安全性的角度考慮需要不同安全策略和安全設施之間的安全互補,提高對安全事件響應的準確性和全面性。
(2)經濟性。安全體系建設要因地制宜,從本地區、本部門電子政務網絡建設發展的實際出發,根據對安全方面的需求,制定合理的保護策略,使安全和投資達到均衡,做到低投入、高產出。
(3)動態性。網絡的安全是一個全動態的過程,無論是安全產品的選用,還是安全策略的制定,都必須具有延續性和前瞻性,能夠針對新的安全需求,不斷地進行技術和設備的升級換代,進行安全策略的調整,以適應新的發展需要。
(4)標準性。在電子政務網絡安全體系建設中,要遵守國家標準、行業標準以及國際相關的安全標準,這是構建系統安全的保障和基礎。
(5)可操作性。安全體系的任何一個環節都應該有很好的可控性,包括安全產品的易用性、安全技術手段的針對性、安全管理制度規范的可實施性,確保安全體系建設能收到良好的實際效果。
5 結束語
網絡安全是相對的,安全體系的建設也并非一勞永逸。隨著電子政務的進一步發展,必然會對網絡安全提出更高的要求,這就需要用動態的、前進的、創新的眼光來認識安全,定期進行安全評估、合理運用安全技術、加強安全管理措施,建立起更加完善的電子政務網絡安全體系。
參考文獻
[關鍵詞]互聯網;電子商務;系統安全;數據安全;網絡系統
一、前言
近年來,隨著因特網的普及日漸迅速,電子交易開始融入人們的日常生活中,網上訂貨、網上繳費等眾多電子交易方式為人們創造了便利高效的生活方式,越來越多的人開始使用電子商務網站來傳遞各種信息,并進行各種交易。電子商務網站傳遞各種商務信息依靠的是互聯網,而互聯網是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之相連。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,網上的安全風險就構成了對電子商務的安全威脅。
從發展趨勢來看,電子商務正在形成全球性的發展潮流。電子商務的存在和發展,是以網絡技術的革新為前提。電子商務系統的構建、運行及維護,都離不開技術的支持。同時,因為電子商務適合于各種大、小型企業,所以應充分考慮如何保證電子商務網站的安全。
二、電子商務網站的安全控制
電子商務的基礎平臺是互聯網,電子商務發展的核心和關鍵問題就是交易的安全性。由于Internet本身的開放性,使網上交易面臨了種種危險,也由此提出了相應的安全控制要求。
下面從技術手段的角度,從系統安全與數據安全的不同層面來探討電子商務中出現的網絡安全問題。
(一)系統安全
在電子商務中,網絡安全一般包括以下兩個方面:
1.信息保密的安全
交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
2.交易者身份的安全
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會考慮網上的商店是否是黑店。因此能方便而可靠地確認對方身份是交易的前提。
對于一個企業來說,信息的安全尤為重要,這種安全首先取決于系統的安全。系統安全主要包括網絡系統、操作系統和應用系統三個層次。系統安全采用的技術和手段有冗余技術、網絡隔離技術、訪問控制技術、身份鑒別技術、加密技術、監控審計技術、安全評估技術等。
(1)網絡系統
網絡系統安全是網絡的開放性、無邊界性、自由性造成,安全解決的關鍵是把被保護的網絡從開放、無邊界、自由的環境中獨立出來,使網絡成為可控制、管理的內部系統,由于網絡系統是應用系統的基礎,網絡安全便成為首要問題。解決網絡安全主要方式有:
網絡冗余——它是解決網絡系統單點故障的重要措施。對關鍵性的網絡線路、設備,通常采用雙備份或多備份的方式。網絡運行時雙方對運營狀態相互實時監控并自動調整,當網絡的一段或一點發生故障或網絡信息流量突變時能在有效時間內進行切換分配,保證網絡正常的運行。
系統隔離——分為物理隔離和邏輯隔離,主要從網絡安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問,從而達到安全目的。對業務網絡或辦公網絡采用VLAN技術和通信協議實行邏輯隔離劃分不同的應用子網。
訪問控制——對于網絡不同信任域實現雙向控制或有限訪問原則,使受控的子網或主機訪問權限和信息流向能得到有效控制。具體相對網絡對象而言需要解決網絡的邊界的控制和網絡內部的控制,對于網絡資源來說保持有限訪問的原則,信息流向則可根據安全需求實現單向或雙向控制。訪問控制最重要的設備就是防火墻,它一般安置在不同安全域出入口處,對進出網絡的IP信息包進行過濾并按企業安全政策進行信息流控制,同時實現網絡地址轉換、實時信息審計警告等功能,高級防火墻還可實現基于用戶的細粒度的訪問控制。
身份鑒別——是對網絡訪問者權限的識別,一般通過三種方式驗證主體身份,一是主體了解的秘密,如用戶名、口令、密鑰;二是主體攜帶的物品,如磁卡、IC卡、動態口令卡和令牌卡等;三是主體特征或能力,如指紋、聲音、視網膜、簽名等。加密是為了防止網絡上的竊聽、泄漏、篡改和破壞,保證信息傳輸安全,對網上數據使用加密手段是最為有效的方式。目前加密可以在三個層次來實現,即鏈路層加密、網絡層加密和應用層加密。鏈路加密側重通信鏈路而不考慮信源和信宿,它對網絡高層主體是透明的。網絡層加密采用IPSEC核心協議,具有加密、認證雙重功能,是在IP層實現的安全標準。通過網絡加密可以構造企業內部的虛擬專網(VPN),使企業在較少投資下得到安全較大的回報,并保證用戶的應用安全。
安全監測——采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡掃描監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征,廣泛用于各行各業。網絡掃描是針對網絡設備的安全漏洞進行檢測和分析,包括網絡通信服務、路由器、防火墻、郵件、WEB服務器等,從而識別能被入侵者利用非法進入的網絡漏洞。網絡掃描系統對檢測到的漏洞信息形成詳細報告,包括位置、詳細描述和建議的改進方案,使網管能檢測和管理安全風險信息。
(2)操作系統
操作系統是管理計算機資源的核心系統,負責信息發送、管理設備存儲空間和各種系統資源的調度,它作為應用系統的軟件平臺具有通用性和易用性,操作系統安全性直接關系到應用系統的安全,操作系統安全分為應用安全和安全漏洞掃描。
應用安全——面向應用選擇可靠的操作系統,可以杜絕使用來歷不明的軟件。用戶可安裝操作系統保護與恢復軟件,并作相應的備份。
系統掃描——基于主機的安全評估系統是對系統的安全風險級別進行劃分,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數據免受盜用、破壞。
(3)應用系統
辦公系統文件(郵件)的安全存儲:利用加密手段,配合相應的身份鑒別和密鑰保護機制(IC卡、PCMCIA安全PC卡等),使得存儲于本機和網絡服務器上的個人和單位重要文件處于安全存儲的狀態,使得他人即使通過各種手段非法獲取相關文件或存儲介質(硬盤等),也無法獲得相關文件的內容。
文件(郵件)的安全傳送:對通過網絡(遠程或近程)傳送給他人的文件進行安全處理(加密、簽名、完整性鑒別等),使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制(IC卡、PCMCIAPC卡)才能解密并閱讀,杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等,主要用于信息網中的報表傳送、公文下發等。
業務系統的安全:主要面向業務管理和信息服務的安全需求。對通用信息服務系統(電子郵件系統、WEB信息服務系統、FTP服務系統等)采用基于應用開發安全軟件,如安全郵件系統、WEB頁面保護等;對業務信息可以配合管理系統采取對信息內容的審計稽查,防止外部非法信息侵入和內部敏感信息泄漏。
(二)數據安全
數據安全牽涉到數據庫的安全和數據本身安全,針對兩者應有相應的安全措施。
數據庫安全——大中型企業一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數據庫,基于數據庫的重要性,應在此基礎上開發一些安全措施,增加相應控件,對數據庫分級管理并提供可靠的故障恢復機制,實現數據庫的訪問、存取、加密控制。具體實現方法有安全數據庫系統、數據庫保密系統、數據庫掃描系統等。
數據安全——指存儲在數據庫數據本身的安全,相應的保護措施有安裝反病毒軟件,建立可靠的數據備份與恢復系統,某些重要數據甚至可以采取加密保護。
(三)網絡交易平臺的安全
網上交易安全位于系統安全風險之上,在數據安全風險之下。只有提供一定的安全保證,在線交易的網民才會具有安全感,電子商務網站才會具有發展的空間。
交易安全標準——目前在電子商務中主要的安全標準有兩種:應用層的SET(安全電子交易)和會話層SSL(安全套層)協議。前者由信用卡機構VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準,主要用于銀行等金融機構;后者由NETSCAPE公司提出針對數據的機密性/完整性/身份確認/開放性的安全協議,事實上已成為WWW應用安全標準。
交易安全基礎體系——交易安全基礎是現代密碼技術,依賴于加密方法和強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長,對稱密鑰具有加密效率高,但存在密鑰分發困難、管理不便的弱點;非對稱密鑰加密速度慢,但便于密鑰分發管理。通常把兩者結合使用,以達到高效安全的目的。
交易安全的實現——交易安全的實現主要有交易雙方身份確認、交易指令及數據加密傳輸、數據的完整性、防止雙方對交易結果的抵賴等等。具體實現的途徑是交易各方具有相關身份證明,同時在SSL協議體系下完成交易過程中電子證書驗證、數字簽名、指令數據的加密傳輸、交易結果確認審計等。
隨著電子商務的發展,網上交易越來越頻繁,調用每項服務時需要用戶證明身份,也需要這些服務器向客戶證明他們自己的身份。而保障身份安全的最有效的技術就是PKI技術。
PKI的應用在我國還處于起步階段,目前我國大多數企業只是在應用它的CA認證技術。CA(CertificationAuthorty)是一個確保信任度的權威實體,主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,并能很好地和其他廠家的CA產品兼容。在不久的將來,PKI技術會在電子商務和網絡安全中得到更廣泛的應用,從而真正保障用戶和商家的身份安全。
三、目前信息安全的研究方向
從歷史角度看,我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域,它綜合利用了數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。
安全協議作為信息安全的重要內容,其形式化方法分析始于80年代初,目前有基于狀態機、模態邏輯和代數工具的三種分析方法,但仍有局限性和漏洞,處于發展的提高階段。作為信息安全關鍵技術密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。1976年美國學者提出的公開密鑰密碼體制,克服了網絡信息系統密鑰管理的困難,同時解決了數字簽名問題,它是當前研究的熱點。
目前電子商務的安全性已是當前人們普遍關注的焦點,它正處于研究和發展階段,并帶動了論證理論、密鑰管理等研究。由于計算機運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術出處于探索之中。在我國,信息網絡安全技術的研究和產品開發雖處于起步階段,有大量的工作需要我們去研究、開發和探索,但我們相信在不久的將來,會走出一條有中國特色的產學研聯合發展之路,趕上或超過發達國家的水平,以此保證我國信息網絡的安全,推動我國國民經濟的高速發展。
四、結束語
電子商務是以互聯網為活動平臺的電子交易,它是繼電子貿易(EDI)之后的新一代電子數據交換形式。計算機網絡的發展與普及,直接帶動電子商務的發展。因此計算機網絡安全的要求更高,涉及面更廣,不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取,以保證系統本身安全性,如服務器自身穩定性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道等等。對重要商業應用,還必須加上防火墻和數據加密技術加以保護。在數據加密方面,更重要的是不斷提高和改進數據加密技術,使不法分子難有可乘之機。
參考文獻:
[1]佚名.解析電子商務安全[EB/OL]./it386/dnwl/,2006-07-25.
[2]佚名.網絡構建與維護[EB/OL].chinaec-/second/network.php,2006-07-16.
[3]洪國彬.電子商務安全與管理[M].北京:電子工業出版社,2006.
