時間:2023-09-19 16:26:08
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全防護技術,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2016)01-0000-00
目前已經進入到信息時代,這樣便在很大程度上推動了計算機網絡技術的進一步發展,但同時也對安全防護技術提出了更為嚴格的要求。計算機網絡環境中存在大量風險,如病毒、黑客以及網絡攻擊等,很容易造成信息泄露,危害人身財產安全。因為提高計算機應用的安全性,必須要做好各項網絡風險的分析,加強安全防護技術的研究,爭取不斷提高網絡運行安全性。
1計算機網絡安全特點
計算機網絡運行為開放式環境,這樣就很容易受到各項因素的影響,如常見的網絡病毒、木馬、計算機蠕蟲等,同時還會遭受網絡攻擊,通過不正當行為非法獲取個人信息,造成信息泄露,增加了網絡運行風險。另外,在用戶操作時,經常會因為失誤或者好奇而進入錯誤網站,該網站然后通過第三方特殊軟件,進入到用戶者電腦竊取機密信息,造成信息泄露。為提高計算機網絡技術應用綜合效果,必須要針對常見安全風險進行綜合分析,采取一系列措施,進行硬件與軟件防護。對于計算機網絡安全防護來說,需要具有保密性、完整性、可用性以及可控性等特點,即所用安保防護措施可以最大程度的提高計算機網絡環境保密性,數據在未經授權的前提下,不能進行再編輯,并且在存儲或傳輸工程中不會出現破壞或者丟失等情況,同時還需要對信息內容以及傳播渠道具有控制能力[1]。
2計算機網絡安全防護技術分析
2.1 防火墻防護
防火墻是計算機網絡安全防護常用方法之一,主要就是在計算機網絡與網絡安全域之間構建一個一系列部件的組合,作為網絡安全的第一道防護屏障,對提高計算機風險抵抗力具有良好效果。并且與其他防護方法相比,此種方法電腦管理者可以實現自動控制,是管理人員對電腦內部用戶訪問外界網絡的唯一權限。對于防火墻來說,其具有一定的網絡攻擊抵御能力,因此在設計時可以對電腦防火墻進行系統整體升級,避免木馬病毒進入電腦,來確保信息數據的安全性。
2.2加密防護技術
信息加密已經成為計算機安全防護的主要技術之一,如常見的RSA、DES等。在進行信息加密時,可以根據DES算法隨機選擇功能來確定DES密鑰,并通過此種算法來對信息原文進行加密,最后利用密鑰完成加密信息的破解,完成信息的訪問需求。并且,加密防護技術還可以應用于計算機節點信息,來提高節點信息的安全性,端到端加密方式可以保證信息傳輸均以密文形式進行,有效降低了外界風險因素的影響。
2.3 網絡訪問控制
計算機網絡運行時,如果進行數據信息的遠程傳輸,在不采取任何防護措施的情況,會為木馬病毒提供訪問計算機的途徑。為提高計算機網絡防護安全效果,因此需要在對防火墻升級基礎上,做好網絡訪問控制技術的研究。即對路由器進行控制,來提高用戶局域網運行安全性。或者是對計算機內文件信息設置訪問權限,在權限驗證通過后才可訪問文件,來避免病毒對文件信息的破壞與竊取。
3計算機網絡安全入侵檢測技術分析
3.1 檢測方法
目前所應用入侵檢測技術,根據其應用范圍可以分為主機型、型以及網絡型三種,而以入侵技術為依據,又可以分為異常入侵檢測與誤用入侵檢測兩種[2]。第一,異常檢測模型。主要檢測與可接受行為之間存在的偏差,如果將行為定義為可接受性,則確定不可接受對象為入侵。檢測時需要對正常操作特征進行總結,如果用戶出現與正常行為相差較大的情況則認為存在入侵。第二,誤用檢測模型。主要檢測與已知不可接受行為之間的匹配效果,對不可接受行為進行定義,這樣一旦遇到可以匹配的行為便會發出告警。對非正常操作行為特征進行收集,并建立相應的特征庫,在監測用戶以及系統行為與特征庫信息匹配時,則可以斷定存在入侵。
3.2 風險檢測過程
3.2.1收集信息
首先需要對用戶活動、系統網絡等數據信息進行全面收集,此環節工作通過設置在不同網段傳感器以及不同主機來完成,主要包括網絡流量、網絡日志文件、異常目錄與文件變更以及異常程序執行等。
3.2.2分析信息
待收集完各項系統運行以及活動數據信息后,將其全部輸送到檢測引擎。檢測引擎駐留在傳感器中,通過模式匹配、統計分析以及完整性分析等方式,來完成所有信息的分析[3]。在檢測工程中一旦發現存在誤用模式,則會向控制臺發送告警信號。
3.2.3結果處理
控制臺接收到告警信息后,根據預先定義的響應方案采取相應措施,如常見的終止進程、配置路由器與防火墻、改變文件屬性以及切斷連接等,確保系統運行的安全性。
4結語
計算機網絡安全現在已經成為重點研究內容,不僅僅需要安裝常規殺毒軟件,更重要的是要進行安全防護技術的研究與應用,提高計算機對網絡風險的抵抗能力。目前已經有更多安全防護技術被應用到計算機安全防護中,但是還需要繼續做好技術性研究,爭取不斷提高網絡運行安全性與可靠性。
參考文獻
[1] 邊云生.計算機網絡安全防護技術探究[J].電腦知識與技術,2011,31:7603-7604.
[2] 孫嘉葦.對計算機網絡安全防護技術的探討[J].計算機光盤軟件與應用,2012,02:93-94.
[3] 劉靜.計算機網絡安全防護技術研究[J].計算機光盤軟件與應用,2012,22:73-74.
【關鍵詞】 計算機技術 無線網絡信息技術 防護措施
無線網絡,既包括允許用戶建立遠距離無線連接的全球語音和數據網絡,也包括為近距離無線連接進行優化的紅外線技術及射頻技術,與有線網絡的用途十分類似,最大的不同在于傳輸媒介的不同,利用無線電技術取代網線,可以和有線網絡互為備份。
近些年來,無線網絡發展異常迅速,但是與此同時其存在的安全問題越來越多,形勢也越來越多樣化,嚴重影響著無線網絡的發展和使用。因此,了解無線網絡的在日常應用出現的安全問題,探究應對無線網絡應用中安全問題的防護技術措施,以促進無線網絡的應用和發展就有著重要的現實意義。
一、無線網絡的在日常應用出現的安全問題
無線網絡在日常應用越來越廣泛,但其安全問題也日益嚴重,其遭受的攻擊形式日益多樣化,很多現有的安全措施卻很難發揮應有的作用,這些都給無線網絡的發展帶來了很大的困擾,阻礙了無線網絡技術的發展。
1.1 無線網絡攻擊形式多樣,防不勝防
無線網絡安全從來就不是一個獨立的問題,其受到共計可以說來自很多方面,很多網絡威脅都是無線網絡所獨有的,具體的有:插入式攻擊手段,這種攻擊手段一般是以部署非授權的設備或者創建新的無線網絡為基礎,其普遍沒有經過安全檢查過程,雖然很多客戶端接入時需要輸入口令,但是也有一些并沒有設置口令或者接入點要求的客戶端訪問口令是完全相同的,入侵者就可以通過一個無線客戶端直接與接入點通信,從而進入內部網絡;漫游攻擊手段,攻擊者只需要使用網絡掃描器就可以用筆記本等移動設備探測到無線網路,而不需要物理上處于建筑物內部;欺詐性接入點,是指未獲得無線網絡所有者許可或知曉的情況下,就私自設置存在的接入點,構造一個無保護措施的網絡;無線釣魚,又稱雙面惡魔攻擊,其等待一些盲目信任的用戶進入錯誤的接入點,之后竊取個別網絡的數據或者攻擊計算機網絡;竊取網絡資源,這會影響網絡性能,甚至會產生一些法律問題:最后一點就是對無線網絡的劫持和監視,其可以用類似有線網絡的技術捕獲無線通信,用捕獲來的信息冒充一個合法用戶。
1.2 無線網絡的一些安全措施無法發揮作用
很多人認為對無線通訊加密就是最牢靠的安全方式,但是在現實當中,加密密文頻繁被破早已不再安全,無論是從最基本的WEP加密還是到比較復雜的WAP加密,這些加密方式都被陸續破解了,這樣就造成無線通訊網絡只能夠通過自己建立Radius驗證服務器或使用WPA2來提高通訊安全了,但是不過WPA2并不是所有設備都支持的。
同時,無線數據sniffer讓無線通訊毫無隱私,由于無線通訊的靈活性,使得只要有信號的地方入侵者就一定可以通過一些工具手段探測出無線網絡數據的內容無論是加密的還是沒有加密的,即便是隱藏SSID信息,修改信號發射頻段等方法在無線數據snifer工具面前都無濟于事。
另外,雖然無線網絡在應用方面提供了一些MAC地址過濾的功能,但是由于MAC地址是可以隨意修改的,使得這些過濾功能可以說是形同虛設,所以當入侵者通過無線數據sniffer工具等工具查找到有訪問權限MAC地址通訊信息后,就可以將非法入侵主機的MAC地址進行偽造,從而讓MAC地址過濾功能形同虛設。
二、應對無線網絡應用中安全問題的具體防護技術措施
針對以上無線網絡存在的安全問題,必要加強無線網絡優化,通過對網絡參數的修改、網絡結構以及設備配置的調整和采取某些技術手段等等優化措施,確保無線網絡系統高質量的運行,促使現有的無線網絡資源獲得最佳效益,以最經濟的投入獲得最大的收益。
下面是筆者結合自身的工作實踐,提出的一些應對無線網絡安全的措施,具體有:
2.1 采用有效的類型不同的加密方式和強力密碼
在使用加密方法時,要使用一些更加有效的加密方式,如WPA2就是一種最新的安全運算法則,其貫徹整個無線系統,而且可以從配置屏幕中進行直接選取。同時,在允許的情況下,還可以采用不同類型的加密方式,以增加系統層面的安全。
另外,一個強力的密碼可以使得暴力破解變得不可能,在設置密碼的過程中,使用更為復雜的密碼,以確保密保的安全性,增加攻擊者測試密碼的數量,增加其解密時間。
2.2 加強對于無線網絡入侵者的監控
全面關注無線網絡安全狀況,加強對無線網絡入侵者的監控。需要加強對攻擊發展的趨勢進行必要的跟蹤,盡可能的了解攻擊工具時如何連接到無線網絡上來的,明確如何應對可以提供更好的保護,對無線網絡掃面和訪問企圖給進行分析,對真正異常的情況給予及時的通知。
2.3 加強無線網絡卡號管理
很多無線網路都是可以設置僅僅接受某些卡號的聯機,而這些無線網絡卡號必須先有管理者注冊后方可使用該無線網絡,利用這種管理方式就可以有效的阻擋一些未經授權的使用情況,即使對方知道你的無線網絡賬號和密碼,只要卡號沒有出現的名單中也無法使用該無線網絡。
2.4 利用防火墻區隔無線網段
大多數無線網絡使用者會將無線網絡基地臺放在公司內部方便大家使用,但是這種方式導致很難進行授權管控,無線阿絡應該比照企業遠程連接網絡的管理方式,利用防火墻隔離成一個網絡區段,加強無線網絡進入公司內部使用的管理,及時調整無線網絡隔離區段。
最后,對于無線網絡安全來說,大部分的應對措施可以說就是一些普通常識,我們要在實際操作中做到并不是特別困難,但是很多情況下,我們的使用管理者并沒有認識到這種常識的重要性,對于無線網絡安全的認識也不足。
因此,無線網絡的使用者應該經常對無線網絡和移動電腦進行必要的檢查,以保證沒有漏掉一些重要的部分,并且確保關注的是有效的而不是不必要甚至是完全無效的安全措施。
關鍵詞:邊界防護;安全域劃分;入侵檢測;等級保護
中圖分類號: TM247 文獻標識碼: A 文章編號:
0 引言
隨著電網公司SG186工程的實施和信息化建設的逐步推進,重要應用系統已集中部署到省公司,市級電力企業將主要負責數據采集和網絡實時傳輸工作,信息網絡的安全穩定性將直接影響信息系統的安全、可靠。電力企業通過網絡分區分域、邊界防護、規范安全配置及部署網絡監測防護等手段,建立信息網絡安全防護體系,提高了信息安全運行水平。
1 企業信息網分區分域
1.1 信息網絡分區
電力企業信息網絡分為信息外網區和信息內網區。結合資金、通道資源等因素考慮,省、地、縣信息廣域骨干網將做內外網邏輯隔離,全部骨干網節點上投運具備MPLS-VPN功能的高端路由器設備,信息外網以信息內網為承載網,開通MPLS-VPN通道到各地、縣本地網接入點,地、縣本地局域網以物理隔離方式分別組建信息內網和信息外網實現內外網隔離。
1.2 安全域建設
網絡安全的基本策略是進行安全區域劃分,根據信息業務安全等級差異可劃分不同安全等級的區域,實現對安全風險的有效隔離。市級電力企業主要的營銷管理系統、生產管理系統、協同辦公系統等已全部集中部署在省公司,因此在市公司中,系統均為二級系統。根據網絡安全域與網絡功能區相匹配的原則,信息內網安全域可劃分為系統服務器域和內網終端域兩個,并通過防火墻實現安全風險隔離。信息外網因沒有對外業務應用系統,全部為外網終端,因此外網只有外網終端域。信息內網網絡示意圖如圖1所示:
圖1 信息內網網絡示意圖
2 網絡邊界防護
邊界防護是指網絡區域間和區域內所有網絡流量必須在明確的策略允許下進行傳輸,數據流進行嚴格的控制,包括數據流的源和目的地址,控制精度達到端口級,默認拒絕所有不確定的數據流。邊界的隔離防護功能可以從物理上實現,也可在網絡層和系統層實現。市級電力企業信息內外網實現物理隔離方式,信息內網不存在第三方邊界,信息內網的網絡邊界根據區域網絡數據流向劃分為縱向邊界、橫向邊界和終端接入邊界。劃分示意圖如圖2所示。
圖2 邊界劃分示意圖
2.1 縱向邊界防護
市級信息網絡縱向邊界分為上聯省公司邊界和下聯縣級公司邊界兩部分,邊界劃分和隔離方式基本相同,采用BGP協議劃分不同的自治系統域網絡邊界,以口字形方式雙機冗余連接,部署防火墻做網絡邊界隔離,通過防火墻的訪問控制策略實現數據流的縱向訪問控制防護。
2.2 橫向邊界防護
市級信息網絡橫向邊界分為安全域間邊界防護和網段間防護。安全域邊界防護采用防火墻作邊界安全策略配置,實現服務器域和內網終端域間的安全訪問控制;網段間防護包括服務器網段VLAN劃分和內網終端域網段VLAN劃分,通過在網絡設備層上配置詳細的VLAN訪問控制策略實現網段間的邊界防護。
2.3 終端接入邊界防護
終端接入邊界防護主要是計算機終端和接入層交換機的安全接入控制,包括設備接入許可控制和外聯阻斷。設備接入控制采用網絡層的IP-MAC地址綁定功能做接入許可控制,并在網絡設備端作端口訪問控制策略;外聯阻斷控制是部署終端管理系統實時對設備外聯進行檢測,如有連接外網可主動發起阻斷操作并告警,通過應用系統層做邊界接入防護。
3 規范網絡安全配置
網絡安全威脅是實際存在的,網絡本身的安全性配置是網絡系統的安全基礎,可最大程度地降低網絡層的攻擊威脅。如何正確有效地啟用各類網絡安全配置是網絡日常維護深入的重點。網絡設備安全配置總體包括網絡服務、網絡協議和網絡訪問控制三方面。以cisco網絡設備為例,列舉以下安全配置:
4 網絡安全監測防護
4.1 網絡管理系統
網管系統可對網絡設備進行遠程管理和狀態監控,實現對網絡內所有網絡設備的告警監測和故障定位,使用運行管理功能能提供網絡故障預警、故障定位。同時能確定網絡設備CPU、內存的負荷、站點的可到達性、網絡鏈路流量、傳輸速率、帶寬利用率、時延、丟包等。并發現系統的物理連接和系統配置的問題,進而優化網絡性能、提高網絡運行效益。是網絡管理員管理網絡的重要手段。
4.2 入侵檢測系統
人侵檢測系統能提供安全審計、監視、攻擊識別和防攻擊等多項功能;具有事前警告、事中防護和事后取證等特點;可以監視用戶和系統的運行狀態,查找非法用戶和合法用戶的越權操作;檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞。通過入侵檢測系統,管理員能實時檢測到用戶網絡受攻擊行為,并即時采取應急措施。
4.3 漏洞掃描系統
漏洞掃描系統將網絡、主機和桌面終端的系統配置信息進行漏洞規則匹配分析,能即時檢測到網絡上各設備的系統漏洞,發現系統隱患及脆弱點,能通過補丁更新系統更新。
4.4 日志審計系統
日志審計系統能將網絡設備、防火墻設備、入侵檢測及主機系統的日志數據進行采集、分析和識別,對各類事件歸類匯總分析,實時定位網絡安全事件的準確性,并進行報警響應。
4.5 防病毒系統
計算機病毒是造成網絡大規模癱瘓的重要原因,通過防病毒系統對病毒感染傳播的遏制,是網絡安全的重要防護手段。終端防病毒軟件安裝率是電力企業信息安全考核的重要指標。
關鍵詞:安全事件管理器;網絡安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)08-10ppp-0c
1 相關背景
隨著網絡應用的發展,網絡信息安全越來越成為人們關注的焦點,同時網絡安全技術也成為網絡技術研究的熱點領域之一。到目前為止,得到廣泛應用的網絡安全技術主要有防火墻(Firewall),IDS,IPS系統,蜜罐系統等,這些安全技術在網絡安全防護方面發揮著重要的作用。但是隨著網絡新應用的不斷發展,這些技術也受到越來越多的挑戰,出現了不少的問題,主要體現在以下三個方面:
(1)眾多異構環境下的安全設備每天產生大量的安全事件信息,海量的安全事件信息難以分析和處理。
(2)網絡安全應用的發展,一個組織內可能設置的各種安全設備之間無法信息共享,使得安全管理人員不能及時掌網絡的安全態勢。
(3)組織內的各種安全設備都針對某一部分的網絡安全威脅而設置,整個組織內各安全設備無法形成一個有效的,整合的安全防護功能。
針對以上問題,安全事件管理器技術作為一種新的網絡安全防護技術被提出來了,與其它的網絡安全防護技術相比,它更強調對整個組織網絡內的整體安全防護,側重于各安全設備之間的信息共享與信息關聯,從而提供更為強大的,更易于被安全人員使用的網絡安全保護功能。
2 安全事件管理器的概念與架構
2.1 安全事件管理器概念
安全事件管理器的概念主要側重于以下二個方面:
(1)整合性:現階段組織內部安裝的多種安全設備隨時產生大量的安全事件信息,安全事件管理器技術注重將這些安全事件信息通過各種方式整合在一起,形成統一的格式,有利于安全管理人員及時分析和掌握網絡安全動態。同時統一的、格式化的安全事件信息也為專用的,智能化的安全事件信息分析工具提供了很有價值的信息源。
(2)閉環性:現有的安全防護技術大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關注某一類安全事件信息,然后作出判斷和動作。隨著網絡入侵和攻擊方式的多樣化,這些技術會出現一些問題,主要有誤報,漏報等。這些問題的主要根源來自于以上技術只側重對某一類安全事件信息分析,不能與其它安全設備產生的信息進行關聯,從而造成誤判。安全事件管理器從這個角度出發,通過對組織內各安全設備產生的信息進行整合和關聯,實現對安全防護的閉環自反饋系統,達到對網絡安全態勢更準確的分析判斷結果。
從以上二個方面可以看出,安全事件管理器并沒有提供針對某類網絡安全威脅直接的防御和保護,它是通過整合,關聯來自不同設備的安全事件信息,實現對網絡安全狀況準確的分析和判斷,從而實現對網絡更有效的安全保護。
2.2 安全事件管理器的架構
安全事件管理器的架構主要如下圖所示。
圖1 安全事件事件管理系統結構與設置圖
從圖中可以看出安全事件管理主要由三個部分組成的:安全事件信息的數據庫:主要負責安全事件信息的收集、格式化和統一存儲;而安全事件分析服務器主要負責對安全事件信息進行智能化的分析,這部分是安全事件管理系統的核心部分,由它實現對海量安全事件信息的統計和關聯分析,形成多層次、多角度的閉環監控系統;安全事件管理器的終端部分主要負責圖形界面,用于用戶對安全事件管理器的設置和安全事件警報、查詢平臺。
3 安全事件管理器核心技術
3.1 數據抽取與格式化技術
數據抽取與格式化技術是安全事件管理器的基礎,只要將來源不同的安全事件信息從不同平臺的設備中抽取出來,并加以格式化成為統一的數據格式,才可以實現對安全設備產生的安全事件信息進行整合、分析。而數據的抽取與格式化主要由兩方面組成,即數據源獲取數據,數據格式化統一描述。
從數據源獲取數據主要的途徑是通過對網絡中各安全設備的日志以及設備數據庫提供的接口來直接獲取數據,而獲取的數據都是各安全設備自定義的,所以要對數據要采用統一的描述方式進行整理和格式化,目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的,因為XML語言是一種與平臺無關的標記描述語言,采用文本方式,因而通過它可以實現對安全事件信息的統一格式的描述后,跨平臺實現對安全事件信息的共享與交互。
3.2 關聯分析技術與統計分析技術
關聯分析技術與統計分析技術是安全事件管理器的功能核心,安全事件管理器強調是多層次與多角度的對來源不同安全設備的監控信息進行分析,因此安全事件管理器的分析功能也由多種技術組成,其中主要的是關聯分析技術與統計分析技術。
關聯分析技術主要是根據攻擊者入侵網絡可能會同時在不同的安全設備上留下記錄信息,安全事件管理器通過分析不同的設備在短時間內記錄的信息,在時間上的順序和關聯可有可能準備地分析出結果。而統計分析技術則是在一段時間內對網絡中記錄的安全事件信息按屬性進行分類統計,當某類事件在一段時間內發生頻率異常,則認為網絡可能面臨著安全風險危險,這是一種基于統計知識的分析技術。與關聯分析技術不同的是,這種技術可以發現不為人知的安全攻擊方式,而關聯分析技術則是必須要事先確定關聯規則,也就是了解入侵攻擊的方式才可以實現準確的發現和分析效果。
4 安全事件管理器未來的發展趨勢
目前安全事件管理器的開發已經在軟件產業,特別是信息安全產業中成為了熱點,并形成一定的市場。國內外主要的一些在信息安全產業有影響的大公司如: IBM和思科公司都有相應的產品推出,在國內比較有影響是XFOCUS的OPENSTF系統。
從總體上看,隨著網絡入侵手段的復雜化以及網絡安全設備的多樣化,造成目前網絡防護中的木桶現象,即網絡安全很難形成全方面的、有效的整體防護,其中任何一個設備的失誤都可能會造成整個防護系統被突破。
從技術發展來看,信息的共享是網絡安全防護發展的必然趨勢,網絡安全事件管理器是采用安全事件信息共享的方式,將整個網絡的安全事件信息集中起來,進行分析,達到融合現有的各種安全防護技術,以及未來防護技術兼容的優勢,從而達到更準備和有效的分析與判斷效果。因此有理由相信,隨著安全事件管理器技術的進一步發展,尤其是安全事件信息分析技術的發展,安全事件管理器系統必然在未來的信息安全領域中占有重要的地位。
參考文獻:
關鍵詞:電力企業;信息;網絡安全;防護技術
引言
信息技術的快速發展,有效的帶動了計算機網絡的發展速度,企業已全面開始信息化建設。計算機網絡已成為企業生產經營過程中不可或缺的重要工具,但由于計算機網絡具有聯結形式多樣、開放性和互聯性的特點,這就導致網絡在運行過程中極易受到惡意的攻擊和破壞,面臨著嚴懲的安全隱患,而且在應用的各個環節都面臨著網絡安全的威脅,所以加強網絡信息安全防護工作具有極為重要性。目前無論電力企業處于局域網還是廣域網中,都存在著潛在的威脅,所以在網絡運行過程中需要針對電力企業網絡所存在的脆弱性和潛在威脅,從而加強安全防護措施,確保網絡信息的保密性、完整性和安全性。
1 目前計算機信息網絡面臨的威脅
目前計算機網絡中的信息和設備都面臨著嚴重要的威脅,導致這些威脅產生的因素較多,而且具有多樣化的特點,可以將其歸納為以下三種情況:
1.1 人為的無意失誤
網絡用戶缺乏必要的安全意識,口令簡單、隨意與別人共享帳號,操作人員安全配置不當等問題的存在都是導致安全漏洞發生的重要因素,這些因素都是由于人為的無意失誤行為引發的。
1.2 人為的惡意攻擊
人為的惡意攻擊是導致計算機網絡的最大威脅,人為惡意攻擊還分為主動攻擊和被動攻擊兩種,主動攻擊是采取各種行業對計算機的信息安全進行破壞,使信息的完整性和有效性受到影響。而被動攻擊是在不會對網絡運行影響的情況下,對計算機內的機密信息進行截獲、竊取和破譯,從而導致機密信息的泄漏。無論是主動攻擊還是被動攻擊,都對計算機網絡的安全性帶來較大的影響。
1.3 網絡軟件的漏洞和“后門”
網絡軟件在設計時,編程人員為了維護的方便通常都會設置“后門”,而這些“后門”則為網絡軟件帶來了缺陷和漏洞,成為黑客攻擊的主要目標。盡管這些“后門”是不會被外人知道的,但一旦黑客通過“后門”攻入到網絡,則會導致無法想像的后果產生。
2 信息網絡安防的加密技術和安全策略
2.1 信息加密技術
通過信息加密可以對網內的數據、文件和信息進行有效的保護,確保網上數據傳輸的安全。目前網絡加密的方法通常有鏈路加密、端點加密和節點加密三種,通過這三種加密方法的應用,有效的保證了網絡節點之間鏈路信息的安全,實現了對源端到目的端、對源節點到目的節點之間用戶數據的保護。在常規密碼中,收信方和發信方所使用的加密密鑰和解密密鑰是相同的,其具有較強的保密性,而且在長時間的使用過程中,很好的承受住了檢驗和攻擊,但需要加強對密鑰的管理,使其能夠通過安全的途徑進行傳送,這是確保網絡安全的重要因素。通過網絡密碼技術可以有效的防止非授權用戶的竊聽和入網,同時對于惡意軟件也具有很發好的防護作用,是確保網絡安全的最有效的技術。
2.2 計算機信息網絡的安全策略
2.2.1 物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
2.2.2 訪問控制策略
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非法訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。
3 加強網絡安全管理措施
3.1 入網訪問控制
在進行網絡訪問時,通過入網訪問控制為網絡訪問提供第一層保護控制,其主要是通過用戶名的識別和驗證、用戶口令的識別與驗證、用戶賬戶的缺省限制檢查來進行保護控制的,在入網訪問控制中,只有系統管理員才能建立用戶賬戶,通過對普通用戶的賬號進行控制和限制,對其登錄服務器獲取網絡資源來進行控制,對用戶入網的時間和在哪臺工作站入網進行準許和控制,從而確保網絡的安全。
3.2 網絡的權限控制
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施,網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類:特殊用戶(即系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以通過訪問控制表來描述。
3.3 目錄級安全控制
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、存取控制權限。網絡系統管理員為用戶指定適當的訪問權限,這些訪問權限控制著用戶對服務器的訪問。
3.4 網絡監測和鎖定控制
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形或文字或聲音等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該帳戶將被自動鎖定。
3.5 防火墻控制
防火墻可以對網絡起到一層安全的保障屏障,有效的阻止網絡中的黑客的訪問和攻擊,同時通過建立相應的網絡通信監控系統來對內部和外部的網絡進行有效的隔離,從而對外部網絡的入侵起到有效的阻擋作用。
4 結束語
近年來,隨著科學技術的快速發展,計算機網絡已成為信息交換的重要途徑,這就對網絡安全提出了更高的要求,在對網絡安全防護工作中,不僅需要加強網絡安全管理工作,而且還需要制定有效的規章制度加強對網絡安全的防范,通過對網絡所存在的薄弱處及潛在威脅,從而制定科學合理的安全防護策略,確保實現對網絡安全的有效防范。
參考文獻
[1]王燕嬌.電力系統計算機網絡應用及系統安全淺析[J].科學時代,2013(3).
本文闡述了國內煙草企業面對的網絡信息安全的主要威脅,分析其網絡安全防護體系建設的應用現狀,指出其中存在的問題,之后,從科學設定防護目標原則、合理確定網絡安全區域、大力推行動態防護措施、構建專業防護人才隊伍、提升員工安全防護意識等方面,提出加強煙草企業網絡安全防護體系建設的策略,希望對相關工作有所幫助。
關鍵詞:
煙草企業;網絡安全防護;體系建設
隨著信息化的逐步發展,國內煙草企業也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此,越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。
1威脅煙草企業網絡信息體系安全的因素
受各種因素影響,煙草企業網絡信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2軟硬件因素
網絡安全設備投資方面,行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發展迅速,超出防火墻屏蔽能力等,都使企業安全防護網絡遭受嚴重威脅。
1.3結構性因素
煙草企業現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2煙草企業網絡安全防護體系建設現狀
煙草企業網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1業務應用集成整合不足
不少煙草企業防護系統在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合,對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協調,致使在信息化建設中,業務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業信息化建設的各個環節,加上企業信息化治理模式構建不成熟等原因,制約了企業安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3加強煙草企業網絡安全防護體系建設的策略
煙草企業應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則,始終堅持兩級主體、協同建設和項目帶動的模式,按照統一架構、安全同步、統一平臺的技術規范,才能持續推動產業發展同信息化建設和諧共生。
3.1遵循網絡防護基本原則
煙草企業在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統計,大的問題盡量拆解細分,類似的問題歸類統一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業內部網絡來說,應以功能為界限來劃分,以劃分區域為安全防護區域。同時,要不斷地完善安全防護體系建設標準,打破不同企業之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2合理確定網絡安全區域
煙草企業在使用網絡過程中,不同的區域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時,對生產、監管、流通、銷售等各個環節,要根據其業務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態度,根據企業實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3大力推行動態防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業所遭受的網絡威脅進行分析,確定系統存在哪些漏洞、留有什么隱患,實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制,在系統遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統的基本功能,為后期確定問題原因與及時恢復系統留下時間,并且確保企業業務的開展不被中斷,不會為企業帶來很大的經濟損失。另外,還應大力提倡煙草企業同專業信息防護企業合作,構建病毒防護戰略聯盟,為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。
3.4構建專業防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強,既要熟知信息安全防護技術,也要對煙草企業生產全過程了然于胸,并熟知國家政策法規等制度。因此,煙草企業要大力構建專業的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業現有信息安全防護人員的能力素質,也要積極同病毒防護企業、專業院校和科研院所合作,引進高素質專業技術人才,從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。
3.5提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心,統一對企業網絡安全防護系統進行管理培訓,各部門、各環節也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監督下,都要在網絡使用制度的規則框架中,杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規地使用信息網絡。
4結語
煙草企業管理者必須清醒認識到,利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰,以實事求是的態度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業做大做強奠定堅實的基礎。
參考文獻:
[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
[2]賴如勤,郭翔飛,于閩.地市煙草信息安全防護模型的構建與應用[J].中國煙草學報,2016(4).
工業控制系統網絡安全防護體系是工業行業現代化建設體系中的重要組成部分,對保證工業安全、穩定、可持續競爭發展具有重要意義。基于此,文章從工業控制系統相關概述出發,對工業控制系統存在的網絡安全問題,以及當今工業控制系網絡安全防護體系設計的優化進行了分析與闡述,以供參考。
關鍵詞:
工業控制系統;網絡安全;防護體系
0引言
工業控制系統是我國工業領域建設中的重要組成部分,在我國現代化工業生產與管理中占有重要地位。隨著近年來我國工業信息化、自動化、智能化的創新與發展,工業控制系統呈現出網絡化、智能化、數字化發展趨勢,并在我國工業領域各行業控制機制中,如能源開發、水文建設、機械制作生產、工業產品運輸等得到了廣泛應用。因此,在網絡安全隱患頻發的背景下,對工業控制系統網絡安全防護體系的研究與分析具有重要現實意義,已成為當今社會關注的重點內容之一。
1工業控制系統
工業控制系統(IndustrialControlSystem,ICS)是由一定的計算機設備與各種自動化控制組件、工業信息數據采集、生產與監管過程控制部件共同構成且廣泛應用與工業生產與管理建設中的一種控制系統總稱[1]。工業控制系統體系在通常情況下,大致可分為五個部分,分別為“工業基礎設施控制系統部分”、“可編程邏輯控制器/遠程控制終端系統部分(PLC/RTU)”、“分布式控制系統部分(DCS)”、“數據采集與監管系統部分(SCADA)”以及“企業整體信息控制系統(EIS)”[2]。近年來,在互聯網技術、計算機技術、電子通信技術以及控制技術,不斷創新與廣泛應用的推動下,工業控制系統已經實現了由傳統機械操作控制到網絡化控制模式的發展,工業控制系統的結構核心由最初的“計算機集約控制系統(CCS)”轉換為“分散式控制系統(DCS)”,并逐漸趨向于“生產現場一體化控制系統(FCS)”的創新與改革發展。目前,隨著我國工業領域的高速發展,工業控制系統已經被廣泛應用到水利建設行業、鋼鐵行業、石油化工行業、交通建設行業、城市電氣工程建設行業、環境保護等眾多領域與行業中,其安全性、穩定性、優化性運行對我國經濟發展與社會穩定具有重要影響作用。
2工業控制系統存在的網絡安全威脅
2.1工業控制系統本身存在的問題
由于工業控制系統是一項綜合性、技術復雜性的控制體系,且應用領域相對較廣。因此,在設計與應用過程中對工作人員具有較高的要求,從而導致系統本身在設計或操作中容易出現安全隱患。
2.2外界網絡風險滲透問題
目前,工業控制系統網絡化設計與應用,已成為時展的必然趨勢,在各領域中應用工業控制系統時,對于數據信息的采集、分析與管理,需要工業控制系統與公共網絡系統進行一定的鏈接或遠程操控。在這一過程中,工業控制系統的部分結構暴露在公共網絡環境中,而目前公共網絡環境仍存在一定的網絡信息安全問題,這在一定程度上將會導致工業控制系統受到來自網絡病毒、網絡黑客以及人為惡意干擾等因素的影響,從而出現工業控制系統網絡安全問題。例如,“百度百科”網站,通過利用SHODAN引擎進行OpenDirectory搜索時,將會獲得八千多個處于公共網絡環境下與“工業控制系統”相關的信息,一旦出現黑客或人為惡意攻擊,將為網站管理系統帶來嚴重的影響[3]。
2.3OPC接口開放性以及協議漏洞存在的問題
由于工業控制系統中,其網絡框架多是基于“以太網”進行構建的,因此,在既定環境下,工業過程控制標準OPC(Ob-jectLinkingandEmbeddingforProcessControl)具有較強的開放性[4]。當對工業控制系統進行操作時,基于OPC的數據采集與傳輸接口有效網絡信息保護舉措的缺失,加之OPC協議、TCP/IP協議以及其他專屬代碼中存在一定的漏洞,且其漏洞易受外界不確定性風險因素的攻擊與干擾,從而形成工業控制系統網絡風險。
2.4工業控制系統脆弱性問題
目前,我國多數工業控制系統內部存在一定的問題,致使工業控制系統具有“脆弱性”特征,例如,網絡配置問題、網絡設備硬件問題、網絡通信問題、無線連接問題、網絡邊界問題、網絡監管問題等等[5]。這些問題,在一定程度上為網絡信息風險因素的發生提供了可行性,從而形成工業控制系統網絡安全問題。
3加強工業控制系統網絡安全防護體系的建議
工業控制系統網絡安全防護體系的構建,不僅需要加強相關技術的研發與利用,同時也需要相關部門(如,設備生產廠家、政府結構、用戶等)基于自身實際情況與優勢加以輔助,從而實現工業控制系統網絡安全防護體系多元化、全方位的構建。
3.1強化工業控制系統用戶使用安全防護能力
首先,構建科學且完善的網絡防護安全策略:安全策略作為工業控制系統網絡安全防護體系設計與執行的重要前提條件,對保證工業控制系統的網絡安全性具有重要指導作用。對此,相關工作人員應在結合當今工業控制系統存在的“脆弱性”問題,在依據傳統網絡安全系統構建策略優勢的基礎上,有針對性的制定一系列網絡防護安全策略,用以保證工業控制系統安全設計、操作、管理、養護維修規范化、系統化、全面化、標準化施行。例如,基于傳統網絡安全策略——補丁管理,結合工業控制系統實際需求,對工業控制系統核心系統進行“補丁升級”,用以彌補工業控制系統在公共網絡環境下存在的各項漏洞危機[6]。在此過程中,設計人員以及相關工作者應通過“試驗測驗”的方式,為工業控制系統營造仿真應用環境,并在此試驗環境中對系統進行反復測驗、審核、評價,并對系統核心配置、代碼進行備份處理,在保證補丁的全面化升級的同時,降低升級過程中存在的潛在風險。其次,注重工業控制系統網絡隔離防護體系的構建:網絡隔離防護的構建與執行,對降低工業控制系統外界風險具有重要意義。對此,相關設計與工作人員應在明確認知與掌握工業控制系統網絡安全防護目標的基礎上,制定相應的網絡隔離防護方案,并給予有效應用。通常情況下,工業控制系統設計人員應依據不同領域中工業控制系統類型與應用需求,對系統所需設備進行整理,并依據整理內容進行具體測評與調試,用以保證各結構設備作用與性能的有效發揮,避免出現設備之間搭配與連接不和諧等問題的產生;根據工業控制系統功能關鍵點對隔離防護區域進行分類與規劃(包括工業控制系統內網區域、工業控制系統外部區域、工業控制系統生產操作區域、工業控制系統安全隔離區域等),并針對不同區域情況與待保護程度要求,采用相應的舉措進行改善,實現不同風險的不同控制[7]。與此同時,構建合理、有效的物理層防護體系:實踐證明,物理層防護體系的構建(物理保護),對工業控制系統網絡安全防護具有至關重要的作用,是工業控制系統實現網絡安全管理與建設的重要基礎項目,也是核心項目,對工業控制和系統網絡防護體系整體效果的優化,具有決定性作用。因此,在進行工業控制防護系統網絡安全防護體系優化設計時,設計人員以及相關企業應注重對工業控制系統物理層的完善與優化。例如,通過配置企業門禁體系,用以避免外來人員對工業現場的侵害;依據企業特色,配設相應的生產應急設備,如備用發電機、備用操作工具、備用電線、備用油庫等,用以避免突發現象導致設計或生產出現問題;通過配置一定的監測管理方案或設施,對系統進行一體化監管,用以及時發現問題(包括自然風險因素、設備生產安全風險因素等)并解決問題,保證工業控制系統運行的優化性。此外,加強互聯網滲透與分析防治:設計工作人員為避免工業控制系統互聯網滲透安全威脅問題,可通過換位思考的形式,對已經設計的工業控制系統網絡安全防護體系進行測評,并從對方的角度進行思考,制定防護對策,用以提升工業控制系統網絡安全性。
3.2強化工業控制系統生產企業網絡安全防護能力
工業控制系統生產企業,作為工業控制系統的研發者與生產者,應提升自身對工業控制系統網絡安全設計的重視程度,從而在生產過程中保證工業控制系統的質量。與此同時,系統生產企業在引進先進設計技術與經驗的基礎上,強化自身綜合能力與開發水平,保證工業控制系統緊跟時展需求,推動工業控制系統不斷創新,從根源上降低工業控制系統自身存在安全風險。
3.3加大政府扶持與監管力度
由上述分析可知,工業控制系統在我國各領域各行業中具有廣泛的應用,并占據著重要的地位,其安全性、穩定性、創新性、優化性對我國市場經濟發展與社會的穩定具有直接影響作用。由此可見,工業控制系統網絡安全防護體系的構建,不僅是各企業內部組織結構體系創新建設問題,政府以及社會等外部體系的構建同樣具有重要意義。對此,政府以及其他第三方結構應注重自身社會責任的執行,加強對工業控制系統安全防護體系環境的管理與監督,促進工業控制系統安全防護外部體系的構建。例如,通過制定相應的網絡安全運行規范與行為懲罰措施,用以避免互聯網惡意破壞行為的發生;通過制定行業網絡安全防護機制與準則,嚴格控制工業控制系統等基礎設施的網絡安全性,加大自身維權效益。
4結論
綜上所述,本文針對“工業控制系統網絡安全防護體系”課題研究的基礎上,分析了工業控制系統以及當今工業控制系統存在的網絡安全問題,并在工業控制系統網絡安全防護體系設計的基礎上,提供了加強工業控制系統網絡安全防護體系設計的優化對策,以期對工業控制系統網絡安全具有更明確的認知與理解,從而促進我國工業控制系統網絡安全防護體系建設的優化發展。
參考文獻:
[1]王棟,陳傳鵬,顏佳,郭靚,來風剛.新一代電力信息網絡安全架構的思考[J].電力系統自動化,2016(2):6-11.
[2]薛訓明,楊波,汪飛,郭磊,唐皓辰.煙草行業制絲生產線工業控制系統安全防護體系設計[J].科技展望,2016(14):264-265.
[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關鍵基礎設施工業控制系統安全保障探索[J].網絡安全技術與應用,2016(5):81-86.
[4]羅常.工業控制系統信息安全防護體系在電力系統中的應用研究[J].機電工程技術,2016(12):97-100.
[5]劉秋紅.關于構建信息安全防護體系的思考——基于現代計算機網絡系統[J].技術與市場,2013(6):314.
[6]孟雁.工業控制系統安全隱患分析及對策研究[J].保密科學技術,2013(4):16-21.
在威脅數字圖書館計算機網絡安全的因素中,計算機網絡病毒是一項破壞力較大的威脅因素。使用計算機的網絡病毒安全防護技術是建設安全、有效的數字圖書館體系的基礎。可以通過優化管理并安置反病毒裝置的方法提高數字圖書館的信息數據安全性。優化管理的措施主要包括對信息的復制、傳輸管理。
2數字圖書館的數據信息安全保護技術
數字圖書館的數據信息安全保護技術主要包括以下三種。對數字的圖書館數據資源實行加密的方法保護其安全是確保數字圖書館信息數據安全的最基本也是最行之有效的辦法之一,采用安全技術的加密算法,把數據中的資源轉換成密文的形式傳輸,這樣在數據的傳輸過程中就不能夠截取和破譯傳輸的信息內容,提高圖書館信息資源傳輸的安全性能,保證用戶和數據的隱私。通常的數字圖書館數據信息加密算法有相應密鑰加密算法與顯示的密鑰加密算法,相應密鑰的加密算法是指設置的密碼和解密采用相同的。信息的偽裝安全防護技術。國際數字圖書館數據安全技術專家探究出給數據附上偽裝技術,用來攻擊不法分子破壞、竊取文件的行為以保護文件的安全。數字信息的偽裝保護安全技術原理是基于信息資源的冗余位置將信息中的文字、圖片或者聲音等信息進行隱藏,達到保護數據的作用。這項安全技術成為一項比較有效的計算機網絡數據安全保護技術措施。以原本的數字信息為底,引入水印保護數字信息的所有權的水印安全防護技術。水印通常為某部分的文字、序列號同原本的信息(比如圖像、音頻)密切相關,水印將信息隱藏在里邊,信息在使用和傳輸的過程中不會遭到破。數據的水印防護安全技術的主要特點是對數據保護的永久性、所傳輸的數據和原始數據之間的真實性較高、水印隱藏下其他攻擊的不可檢查性和多樣性等特性。
3數字圖書館的網絡安全防護技術
網絡防護墻是當前保護計算機網絡安全的網頁瀏覽監管技術之一,其作為一項被動的反擊保護方法保護數字圖書館安全技術存在。防護墻安全技術的特點是可以監管控制保護網絡對象中的不法攻擊行為,其在對網絡中的不法行為進行監視的過程中能夠控制和改動經由網絡的數據流,盡量的控制網絡內部的拓撲體系,同時安全防護墻能夠屏蔽網絡外部的危險攻擊點,無論是在保護區域的內部還是外部,都做到監督控制的作用,這是網絡安全防火的重要保護措施。
4網絡體系安全防護技術
信息資源備份。在數字圖書館的資源共享平臺中構建對應的存儲局域網,能夠進行一體的信息數據備份和恢復,借用鏡像與RAD科技確保數據安全。圖書館的不同部門與不同級層資料庫應該進行定時備份和不同位置的安全備份保護措施。定時、不同位置的資料備份要進行加量傳輸,根據業務需求不一選擇是同步拷貝或者非同步拷貝。針對重要的信息數據庫存體系,可進行鏡像技術的安全保護。在安全結構里的重要密保裝置和安全裝置的密鑰同其他重要安全參數亦須備份保護,盡可能不讓密碼裝置或者安裝裝置的密鑰以及重要安全參數遺失阻礙網絡系統的正常運行。
5客戶安全防護措施
數字圖書館客戶的安全防護措施主要在于是不是只有能夠獲得權利的客戶才可以獲得數字圖書館網絡中的資源與信息。關于客戶的安全防護措施可以從主要的兩個方面進行,也就是:客戶的分組管理和加強用戶身份認證兩個方面。分組管理是對客戶進行安全威脅等級的劃分,也就是估計客戶對計算機網絡破壞程度進行客戶威脅網絡安全的程度等級劃分;用戶身份認證是計算機網絡程序在標識與鑒定客戶身份,避免出現非法和惡意行為威脅合法用戶信息。當前較為常見的用戶身份認證是口令設置,安全性能不強,為強化用戶身份證驗證,提高數字圖書館的計算機網絡安全性能,可進行用戶認證的強化,比如指紋認證、物理技術等方式提高安全性能。
6結束語
關鍵詞:信息時代;計算機網絡安全;安全防護;策略
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)06-0030-02
21世紀的今天,人們對于信息網絡系統有著較強的依賴性,同時面臨著網絡安全威脅也是較為嚴峻。對于網絡信息安全而言,主要是一門多學科知識應用的系統,不僅僅存在計算機科學和通信技術,同時也有著信息安全技術和信息論等方面的知識。在對網絡系統硬軟件的保護過程,并做好系統數據的加密過程,對不間斷的網絡服務提供。對于本文的研究,強調信息時代計算機網絡的安全防護過程,就要做好入網前的安全檢查工作,避免非法用戶對網絡系統的進入。管理員更要做好網絡用戶的設立過程,結合資源的權限,做好網絡賬號的合理設置,將用戶的安全意識不斷增強,實現防火墻的完善建設,對網絡入侵檢測系統進行構建,從根本上保障信息時代計算機網絡安全運行。
1信息時代計算機網絡常見的安全威脅
現代化信息時代的計算機網絡安全防護過程,往往有著各種各樣的威脅。對于當前的網絡安全威脅而言,可以從以下幾個方面說起:
1) 自然災害和網絡系統威脅
對于計算機信息系統而言,主要是智能機器,在環境影響下,直接影響著設備的硬件部分,不斷的減少計算機的使用壽命,降低計算機的使用性能。在網絡系統的應用階段,有著脆弱性的特點,由于計算機網絡系統中的Internet技術有著開放性的特點,時常受到一定各方面的攻擊,在對TCP/IO協議依賴階段,缺乏一定的安全性,并使得網絡系統的實際運行階段,不僅僅有著欺騙攻擊的行為,同時也存在數據的截取和篡改行為[1]。
2) 用戶操作和計算機病毒威脅
計算機用戶在操作階段,缺乏較強的安全意識,以至于用戶口令的簡單設置過程,使得自己的賬號被泄露,并帶來各種網絡安全上的威脅。計算機網絡面臨的最大威脅主要是人為的一種惡意攻擊過程[2]。這種惡意攻擊過程,不僅僅存在主動性攻擊行為,同時也存在被動性的供給行為。在對信息有效性的破壞過程,同時也將信息的完整性直接破壞。被動型的破壞過程,在對機密信息的竊取中,帶給用戶一定的損失。計算機病毒的存在,在一些可執行程序中隱藏,并在系統控制過程,本著傳染性以及潛伏性的特點,實現文件的復制和傳送,并將系統的工作效率顯著降低,對于文件有著損壞和刪除過程,對系統的硬件破壞,并帶來更大的損失。
3) 垃圾郵件和計算機犯罪威脅
電子郵件往往有著公開性的特點,在電子郵件的可傳播過程,通過在別人的電子郵件中將自己的電子郵件進行強行推入,并結合計算機病毒不同情況,帶給系統直接上的破壞過程,并做好系統的竊取,對用戶的隱私直接威脅,帶給計算機一定的安全隱患[3]。計算機犯罪主要是結合口令竊取的過程,對計算機信息系統非法侵入,對有害的信息進行傳播,對計算機系統進行惡意的破壞。
2 信息時代計算機網絡安全防護體系的構建
信息時代計算機網絡安全防護體系的創建,主要是結合當前的計算機信息攻擊手段,注重網絡運行過程的防護,同時也要做好網絡的安全評估過程,在安全防護技術的多種模式應用過程,實現的安全防護。
關于信息時代計算機網絡安全防護體系的構建,如圖1所示。
在網絡安全防護體系結構的創建過程,往往存在三個模塊的設計,也即是網絡安全評估、安全防護以及網絡安全服務過程[4]。
首先,對于網絡安全評估過程而言,如圖2所示,
主要是掃描系統的漏洞,并正確的評估網絡管理。
其次,對于安全防護過程而言,如圖3所示.
主要是做好病毒防護體系的防護,在網絡訪問控制過程,加強網絡上的監控,做好數據的有效性保密。
最后,對于網絡安全服務的過程,如圖4所示,
主要是做好應急服務體系的建立,實現數據的有效恢復,做好安全技術上的科學培訓。
因此,計算機網絡信息安全的防護過程,主要是多種模式的應用,基于多種模塊的創建,將計算機網絡信息的安全性提高。
3 信息時代計算機網絡信息安全防護策略
信息時代經濟的發展中,計算機網絡信息安全的防護,更要結合當前的根本形式,在各種安全威脅的狀態分析過程,對適當的防護措施進行選擇,進而對網絡信息的安全型直接保障。關于信息時代計算機網絡信息安全的防護,可以從以下幾個環節做起:
1) 加強賬戶安全管理,安裝防火墻
關鍵詞 通信網絡;安全防護
中圖分類號:TN929 文獻標識碼:A 文章編號:1671-7597(2013)14-0044-01
通信網絡承載了大量的數據信息傳輸任務,所傳輸的信息涉及多個領域的多種內容,為確保這些內容的安全性和可靠性在應用通信網絡的同時必須采用適當的安全防護技術確保網絡信息、網絡設備的安全,避免出現信息泄露、網絡不穩定、網絡服務中斷等情況發生。
1 通信網絡的安全層次劃分
通信網絡安全主要是指應用特定的安全防護手段或技術對通信網絡中傳輸的信息或通信網絡所提供的服務進行支持和維護,確保網絡自身的可靠性和穩定性,確保所傳輸信息的完整性和機密性。為實現通信網絡的安全不僅需要根據網絡應用需求建立、健全適當的安全防護機制,還需要對通信網絡進行分級,根據不同的級別的網絡特性建立與之相匹配的信息傳輸與控制策略。此外,為進一步提升通信網絡的安全性能,還需要使用主動檢測與主動防御機制來降低網絡威脅發生的可能性。
按照功能和結構不同可以將通信網絡分為業務承載層、服務層以及信息傳遞層等三層。上述三層中,每一層負責相應的網絡功能實現,所需的安全防護機制也不盡相同。
承載層與業務層主要是指傳輸網、互聯網、幀中繼網、移動通信網、電話網等基礎承載網絡及其承載的數據業務等。該層涉及網絡結構實現及數據傳輸業務承載等內容,具有完整的通信鏈路和拓撲結構,因而該層中的網絡安全以網絡結構的可靠性與生存性為主,包括網絡節點、網絡鏈路以及拓撲結構等的安全與可靠等具體內容。
服務層主要是指基于通信網絡而實現的具體功能層,如IVPN業務、VOIP業務以及ATM專線業務等。由于該層是用戶交互的主要實現層,故其安全維護側重于服務可用性與服務可控性。其中,可用性與業務承載網關聯較大,可控性需要服務安全防護體系來維護與保障。
信息傳遞層主要是指業務承載層與服務層中間的數據傳輸部分,該層中的安全側重于保護數據信息的完整性與可靠性,避免出現信息泄露。在實際應用常用的信息傳輸安全保護技術有數字簽名、數據加密、報文鑒別等。
2 通信網絡中的安全防護關鍵技術分析
根據防護內容不同可以將通信網絡中所應用的安全防護技術分為安全分析評估類、網絡拓撲設計類、故障檢測與通信保障類以及數據傳輸防護類等。
2.1 安全分析評估相關技術
隨著網絡規模的擴大,網絡功能的拓展,現代通信網絡無論是在硬件功能還是在網絡拓撲方面都快變得越來越復雜。此時為有效管理網絡運行相關軟硬件設備,準確檢測與識別通信網絡中存在的安全隱患,就必須使用網絡管理相關技術對網絡進行管理,確保各項資源處于可控狀態。目前常用的網絡管理安全策略有網管數據完整性鑒別技術、網管節點訪問控制技術以及網管數據通信加密技術等。
2.2 網絡拓撲設計相關技術
通信中斷是通信網絡中的常見故障之一,該故障通常是由節點失效或鏈路中斷等所引起的。為提升通信網絡的可用性與生存性,在進行網絡建設或部署時可以采用冗余與備份技術來提升通信網絡的穩定性。如在部署傳輸網時可以將網絡的拓撲結構設計為環形結構、在部署VOIP網時可以使用雙歸屬連接的方式進行拓撲結構設計等。
2.3 故障檢測與保障相關技術
故障檢測技術可以對通信網絡的運行狀態進行實時監測,通過數據通信或信元反饋的方式來判斷通信網絡中是否存在問題。如傳輸網中通常使用數據編碼技術對通信網絡狀態進行判斷、ATM網絡中可以使用信元來對鏈路情況進行判斷。為降低故障的影響,一旦出現故障,網絡可以利用保護倒換技術切換到備用鏈路進行數據傳輸。
2.4 數據傳輸安全防護
為確保通信網絡中傳輸信息的安全性、完整性與可靠性,多種安全防護技術被應用到通信網絡中來對通信信息進行安全防護。
1)數據加密技術。該技術是最為常用的信息安全防護技術之一,利用該技術既可以對數據本身進行加密,還可以對通信鏈路進行加密。在對傳輸端進行加密時可以使用不同的加密算法和加密密鑰將傳輸端需要傳輸的數據信息加密為不可識別的、無規律性的密文信息,該信息只能夠被正確的密鑰解密還原。在對鏈路進行加密時,信息流經的節點間的中繼群路信號被加密,信息傳輸鏈路處于保密狀態,外部無法對通信鏈路內傳輸的數據進行流量分析。
2)信息簽名與信息鑒別技術。為確保信息的完整性,避免信息在傳輸過程中被非法篡改可以使用數字簽名對信息進行加水印處理,接收端接收數據時使用對應的信息鑒別技術對所接收到的信息進行識別,檢查確認該信息是否收到破壞。
2.5 通信網絡安全防護相關技術
為進一步增強通信網絡的安全性,還可以使用主動防御相關策略對可能存在的安全威脅進行檢測與排除。常用的主動防御技術有入侵檢測技術、訪問及業務控制技術等。
其中,入侵檢測技術可以對網絡中傳輸的信息進行過濾和分析,實時監控通信網絡的運行狀態,一旦發現安全威脅或入侵行為則采用特定的安全防護策略對通信網絡或通信數據進行保護,避免出現網絡故障。
訪問及業務控制技術可以對通信設置網絡用戶身份或限定網絡用戶資源使用權限等對用戶行為進行控制,增強通信網絡的可控性與安全性,確保各用戶行為和各項服務應用都可以做到有據可循。
3 總結
總之,通信網絡是現代信息通信的最主要載體,為確保通信網絡的安全、避免因安全問題出現服務中斷、信息泄露或網絡故障等問題,必須針對不同網絡層次采用適當的安全防護技術來增強通信網絡的安全性能。
參考文獻
[1]羅綿輝,郭鑫.通信網絡安全的分層及關鍵技術[J].信息技術,2007(9).
[2]滕學斌,齊中杰.通信網絡安全關鍵技術[J].計算機與網絡,2005(9).
[3]楊光輝,李曉蔚.現代移動通信網絡安全關鍵技術探討[J].長沙通信職業技術學院學報,2007(6).
[關鍵詞] 網絡;安全威脅;中國石油;網絡安全域
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035
[中圖分類號] TP343.08 [文獻標識碼] A [文章編號] 1673 - 0194(2012)10- 0062- 02
1 引 言
隨著市場競爭的日益加劇,業務靈活性、成本控制成為企業經營者最關心的問題,彈性靈活的業務流程需求日益加強,辦公自動化、生產上網、業務上網、遠程辦公等業務模式不斷出現,促使企業加快信息網絡的建設。越來越多的企業核心業務、數據上網,一個穩定安全的企業信息網絡已成為企業正常運營的基本條件。同時為了規范企業治理,國家監管部門對企業的內控管理提出了多項規范要求,包括 IT 數據、流程、應用和基礎結構的完整性、可用性和準確性等方面。
然而信息網絡面臨的安全威脅與日俱增,安全攻擊漸漸向有組織、有目的、趨利化方向發展,網絡病毒、漏洞依然泛濫,同時信息技術的不斷更新,信息安全面臨的挑戰不斷增加。特別是云的應用,云環境下的數據安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構建靈活有效的企業網絡安全防護體系,滿足業務發展的需要,已成為企業信息化建設、甚至是企業業務發展必須要考慮的問題。
2 大型企業網絡面臨的安全威脅
賽門鐵克的《2011 安全狀況調查報告》顯示:29%的企業定期遭受網絡攻擊,71% 的企業在過去的一年里遭受過網絡攻擊。大型企業由于地域跨度大,信息系統多,受攻擊面廣等特點,更是成為被攻擊的首選目標。
大型企業網絡應用存在的安全威脅主要包括:(1)內網應用不規范。企業網絡行為不加限制,P2P下載等信息占據大量的網絡帶寬,同時也不可避免地將互聯網中的大量病毒、木馬等有害信息傳播到內網,對內網應用系統安全構成威脅。(2)網絡接入控制不嚴。網絡準入設施及制度的缺失,任何人都可以隨時、隨地插線上網,極易帶來病毒、木馬等,也很容易造成身份假冒、信息竊取、信息丟失等事件。(3)VPN系統安全措施不全。企業中的VPN系統,特別是二級單位自建的VPN系統,安全防護與審計能力不高,存在管理和控制不完善,且存在非系統員工用戶,行為難以監管和約束。(4)衛星信號易泄密。衛星通信方便靈活,通信范圍廣,不受距離和地域限制,許多在僻遠地區作業的一線生產單位,通過衛星系統傳遞生產、現場視頻等信息。但由于無線信號在自由空間中傳輸,容易被截獲。(5)無線網絡安全風險較大。無線接入由于靈活方便,常在局域網絡中使用,但是存在容易侵入、未經授權使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。(6)生產網隔離不徹底。企業中生產網絡與管理網絡尚沒有明確的隔離規范,大多數二級單位采用防火墻邏輯隔離,有些單位防護策略制定不嚴格,導致生產網被來自管理網絡的病毒感染。
3 大型企業網絡安全防護體系建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中,都名列前茅,“十一五”期間,將企業信息安全保障體系建設列為信息化整體規劃中,并逐步實施。其中涉及管理類項目3個,控制類項目3個,技術類項目5個。中國石油網絡安全域建設是其重要建設內容。
中國石油網絡分為專網、內網與外網3類。其中專網承載與實時生產或決策相關的信息系統,是相對封閉、有隔離的專用網絡。內網是通過租用國內數據鏈路,承載對內服務業務信息系統的網絡,與外網邏輯隔離。外網是實現對外提供服務和應用的網絡,與互聯網相連(見圖1)。
為了構建安全可靠的中國石油網絡安全架構,中國石油通過劃分中國石油網絡安全域,明確安全責任和防護標準,采取分層的防護措施來提高整體網絡的安全性,同時,為安全事件追溯提供必要的技術手段。網絡安全域實施項目按照先邊界安全加固、后深入內部防護的指導思想,將項目分為:廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3部分。
廣域網邊界防護子項目主要包括數據中心邊界防護和區域網絡中心邊界防護。數據中心邊界防護設計主要是保障集團公司統一規劃應用系統的安全、可靠運行。區域網絡中心邊界安全防護在保障各區域內員工訪問互聯網的同時,還需保障部分自建應用系統的正常運行。現中石油在全國范圍內建立和完善16個互聯網出口的安全防護,所有單位均通過16個互聯網出口對外聯系,規劃DMZ,制定統一的策略,對外服務應用統一部署DMZ,內網與外網邏輯隔離,內網員工能正常收發郵件、瀏覽網頁,部分功能受限。
域間防護方案主要遵循 “縱深防護,保護核心”主體思想,安全防護針對各專網與內網接入點進行部署,并根據其在網絡層面由下至上的分布,保護策略強度依次由弱至強。數據中心安全防護按照數據中心業務系統的現狀和定級情況,將數據中心劃分為4個安全區域,分別是核心網絡、二級系統區、三級系統區、網絡管理區;通過完善數據中心核心網絡與廣域網邊界,二級系統、三級系統、網絡管理區與核心區邊界,二、三級系統區內部各信息系統間的邊界防護,構成數據中心縱深防御的體系,提升整體安全防護水平。
域內防護是指分離其他網絡并制定訪問策略,完善域內安全監控手段和技術,規范域內防護標準,實現實名制上網。中國石油以現有遠程接入控制系統用戶管理模式為基礎,并通過完善現有SSL VPN系統、增加IPSEC遠程接入方式,為出差員工、分支機構接入提供安全的接入環境。實名制訪問互聯網主要以用戶身份與自然人一一對應關系為基礎,實現用戶互聯網訪問、安全設備管理準入及授權控制、實名審計;以部署設備證書為基礎,實現數據中心對外提供服務的信息系統服務器網絡身份真實可靠,從而確保區域網絡中心、數據中心互聯網接入的安全性。
4 結束語
一個穩定安全的企業信息網絡已成為企業正常運營的基本條件,然而信息網絡的安全威脅日益加劇,企業網絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網絡安全域建設,系統地解決網絡安全問題,供其他企業參考。
主要參考文獻
[1]王擁軍. 淺談企業網絡安全防護體系的建設 [J]. 信息安全與通信保密,2011(12).
【關鍵詞】入侵檢測技術;網絡安全;具體運用
網絡信息技術發展日新月異,人們在享受它所帶來的便利的同時,還受到它所帶來的網絡安全問題的威脅和危害。網絡安全是基于對網絡系統的軟、硬件系統中的關鍵數據進行加密和保護。隨著網絡信息技術的應用范圍越來越廣泛,對網絡攻擊的種類增多,程度也越來越嚴重,傳統的網絡安全防護技術已經無法抵御這些種類與日俱增的惡意入侵和攻擊,逐漸不能適應網絡安全防護更高的要求。入侵檢測技術是作為傳統網絡安全防護技術的一項補充,它擴充了系統管理員的安全審計、監視、進攻識別和響應等方面的安全管理能力,提升了信息安全基礎結構的完整性,成為網絡安全防護中第二道堅實的防線。以下將就入侵檢測技術的概念、工作原理等做出系統的歸納,和入侵檢測技術在網絡安全中的具體運用進行闡述。
1入侵檢測技術概述
1.1入侵檢測的簡介
入侵檢測技術,是一種對計算機網絡的程序進行入侵式的檢測先進技術,它肩負著網絡安全中第二道防線的任務,起到保護計算機網絡安全的作用。入侵檢測是通過對安全日志、行為、審計和其他可獲得的信息以及系統的關鍵信息的收集并作出分析,以此檢測出計算機網絡中違反安全策略的行為和受攻擊的對象的一個工作過程。它實施保護工作的過程具體可分為:監視、分析網絡用戶和網絡系統活動;網絡安全系統構造和弱點的審查評估;認定反映已知進攻活動并作出警示警告;網絡系統異常行為的統計和分析4個步驟。入侵檢測技術能夠同時兼備實時監控內部攻擊、外部攻擊和錯誤操作的任務,把對網絡系統的危害阻截在發生之前,并對網絡入侵作出響應,是一種相對傳統的被動靜態網絡安全防護技術提出的一種積極動態網絡安全防護技術。
1.2工作原理
入侵檢測系統相當于一部典型的窺探設備,它的工作原理是在不用跨接多個物理網段也不用轉發流量的前提下,通過收集網絡上靜態的、被動的相關數據報文,提取出所收集的數據報文的流量統計特征的相關數據與入侵檢測系統內置的入侵數據進行智能化的匹配和分析,如果出現匹配耦合度高的數據報文流量,那個它就被認定是入侵攻擊,網絡入侵檢測系統就會根據計算機系統所設定的閥值和相應的配置激發報警并對認定的入侵攻擊進行一定的反擊。
2入侵檢測技術網絡安全中的具體運用
入侵檢測技術包括了聚類算法、數據挖掘技術和智能分布技術等幾個方面。入侵檢測技術在網絡安全中的運用,重點是這幾種檢測技術合理的運用,具體如下。
2.1聚類算法的運用
入侵檢測技術當中的聚類算法在網絡安全的運用具有可以在脫離指導的情況下開展網絡異常檢測工作。可以將沒有標記的數據的工作相似的數據歸到同一類中,并對網絡安全系統運行中存在的異常的數據迅速高效地識別出來。運用到網絡安全,大大提高了網絡運行的可靠程度,使網絡安全的級別更上一個級別。在實際情況中,網絡中通常存在著種類比較多的數據,當中還包括了大量的相似數據,這些數據如同定時炸彈般隱藏著極大的危險,如不能及時發現并攔截處理,就會破壞網絡安全系統,而聚類算法的運用就解決了這一問題,為網絡安全系統正常運行提供了保障。
2.2數據挖掘技術的運用
數據挖掘技術,顧名思義就是對互聯網中的傳輸數據的挖掘和分析,從而找出數據中的錯誤、不規范、異常等的情況,并適當地處理這些非正常的情況。數據挖掘技術在運行速度方面占有絕對的優勢,把它運用到網絡安全工作中,這種優勢能很好的體現出來出來,它運用數據挖掘技術中的關聯算法和序列挖掘算法來提取網絡的行為模式,能夠準確快速地識別網絡中非正常的、不規范的運行程序;并且運用分類算法進行歸類和預測用戶網絡行為或特權程序系統的調用,此外還把聚類算法和數據挖掘技術結合起來,比較和計算出每次記錄之間的矢量距自動分辨和歸類出用戶的登錄記錄、連接記錄,最后,對各分類出來的數據給予相應的處理。
2.3智能分布技術的運用
智能分布技術是基于網絡擴展性、智能性、無關性等相關特性而言的對網絡安全進行檢測的技術。該技術的在網絡安全中的運用,能夠把網絡特別是較龐大復雜的網絡環境劃分成幾個區域來進行檢測,把多個檢測點設定在每一個區域中,在整個網絡安全系統設定一個管理點,對各區域的檢測點進行檢測再集中管理,從而分析檢測出入侵的程序和異常的數據等。這樣不但能提高網絡安全系數,還可以確保對入侵程序快速準確地定位,并及時采取有針對性的處理方法,極大程度地提高了網絡安全系統的運行效率。
3總結
隨著網絡信息技術的飛速發展,網絡應用的領域越來越廣泛,隨之而來出現的網絡安全問題種類也越來越多,危害程度越來越大,傳統的網絡安全防護技術對網絡安全的作用效果逐漸降低甚至失效,入侵檢測技術的出現,挽救了這個局面,通過把聚類算法、數據挖掘技術、智能分布技術等入侵檢測技術相互配合運用到網絡安全中,為網絡安全提供了第二道防線的保護,對入侵網絡的攻擊進行快速有效的攔截和反擊,很大程度降低了入侵攻擊所帶來的傷害,大大提高了網絡安全的系數。是未來網絡安全技術發展的趨勢。
參考文獻
[1]張正昊.淺談計算機網絡信息安全及防護措施[J].科技風,2014(19).
[2]隋新,劉瑩.入侵檢測技術的研究[J].科技通報,2014(11).
[3]孫志寬.計算機網絡安全的現狀及對策研究[J].科技風,2014(19).
[4]周小燕.網絡入侵安全檢查實踐操作分析[J].無線互聯科技,2014(11).
