緒論:在尋找寫作靈感嗎����?愛發表網為您精選了8篇網頁安全論文����,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享��!
篇1
隨著網絡中傳播的木馬��、病毒等開發、設計技術的強化和智能化��,其傳播速度越來越快�����,傳播途徑也越來越廣泛���,并且隱藏周期更長��,更難以被人發現,尤其是在互聯網時代����,化工企業的生產控制���、經營辦公等信息數據均通過互聯網連接在一起�����,并且非專業的技術人員很少定期進行查毒和殺毒,導致網絡中彌漫著ARP病毒���、FTP病毒、震蕩波病毒���、郵件病毒和網頁病毒等,導致計算機網絡性能逐漸降低�,服務效率大幅度下降�����。
2化工企業網絡安全防御措施
2.1應用層安全防御措施
在化工企業網絡中,應用層與網絡用戶直接接觸��,因此為了保護應用層安全�,需要強化第一道安全屏障,可以采取的措施包括設置用戶/組角色��,實行單一角色登陸及認證���,為用戶分配固定的安全控制權限標識���,限制用戶的訪問權限����,并且建立動態配置機制,以便更好地控制網絡資源��,避免病毒��、木馬和黑客攻擊核心數據資源���,確保用戶實現有效控制訪問�。
2.2接入層安全防御措施
接入層可以根據不同的IP組�,分類控制訪問網絡資源的模式,并且能夠強化遠程接入的防御能力�。由于化工企業員工眾多��,需要根據其所在的不同部門,設置不同的訪問權限�,僅僅依賴角色控制難以實現訪問資源的合理管理�,因為角色管理是人為的�����,無法更好地從根本上進行控制�����,因此根據客戶機的IP地址����、MAC地址、交換機端口地址劃分VPN���,可以有效地實現遠程訪問VPN、IntranetVPN或ExtranetVPN��,共同構建良好的VPN模式����,并且在實現遠程接入過程中,可以采用隧道加密協議,將VPN根據不同的訪問權限和重要程度劃分為PPTPPN��、L2TPPN���、IPSecPN和MPLSPN等���,以便能夠對傳輸的數據進行不同層次的加密�����,更好保護化工企業網絡的數據傳輸有效性���、安全性�、準確性�����。
2.3傳輸層防御措施
目前����,化工企業網絡傳輸層的防御措施也有很多個���,比如構建入侵檢測����、防火墻和審計分析體系,因此可以使用殺毒防毒軟件、防火墻��、虛擬局域網和ACL等具體的措施進行實現�,可以為化工企業網絡構建一個完善的網絡防火墻體系,確保網絡用戶的認證信息是完整的,保證網絡用戶不受到病毒、木馬侵襲和黑客的攻擊。
2.4主動防御體系
為了更好地面對網絡安全面臨的威脅�,化工企業除了在接入層和傳輸層采用傳統的安全防御措施之外�����,同時構建主動的安全防御體系,采用主動安全防御措施,以便能夠確保網絡的正常使用。構建主動安全防御體系時�,網絡主動預警技術主要包括網絡主動預警���、響應�、檢測�、保護、恢復和反擊六個方面,其中核心內容是網絡主動預警技術和主動響應技術,其也是與傳統的防御技術具有較大區別的方面����。在網絡主動預警過程中�����,首先可以通過遺傳算法、支持量機����、BP神經網絡等技術進行入侵檢測��,以便能夠有效地確定網絡中是否存在非法數據流等信息,掃描網絡操作系統是否存在漏洞,以便能夠根據數據庫、知識庫中保存的經驗數據,判斷網絡信息流中是否存在非法的內容及相關的特征�����,及時主動地采取漏洞預警���、攻擊預警����、行為預警�、情報采集預警等技術,進行網絡主動預警����。
2.5網絡主動響應技術
網絡主動預警技術可以發現即將或者已經發生的網絡攻擊行為�,網絡主動響應技術可以對相關的攻擊行為進行防御���,以便能夠最大化地降低網絡攻擊行為帶來的影響��。目前�����,網絡主動響應技術可以搜集攻擊數據,對其進行實時的分析��,判斷攻擊源所在的位置�����,以便能夠采用網絡防火墻等阻斷攻擊源��,或者可以采用網絡攻擊誘騙技術或者僚機技術,將網絡中已經或正在發生的攻擊行為引誘到一個無關緊要的主機上���,降低網絡攻擊造成的危害。
3結語
篇2
1.1主觀因素
(1)從使用網絡的人來看�����,網絡使用者的安全防范意識不盡相同�����,有的人非常重視網絡安全,有的人甚至不知道什么是網絡安全,網絡安全意識薄弱。
(2)從黑客的角度來分析,黑客對于網絡安全的威脅是目前最大的����。黑客通常是利用技術將帶有病毒的游戲�����、網頁��、多媒體等放入軟件終端,電腦使用者不留意就會點開這些資源�����,黑客就會監控電腦的一切活動�����,會偷取計算機上的用戶名�����、賬戶、密碼等個人隱私數據���,或者占用系統資源,嚴重的情況下會導致系統崩潰�,企業相關的資料都會消失���,損害企業的經濟、財產,并為網絡安全帶來威脅��。
1.2客觀因素
石油企業應用網絡辦公都已經形成了企業獨立的網絡系統�����,但還是受到網絡安全的威脅�����,主要是由于影響石油企業網絡安全的自然原因主要是操作系統和軟件的漏洞。隨著科技的發展,網絡操作系統和應用軟件總在不斷地更新,而且其更新比較慢����,這就為黑客的入侵提供了縫隙��。
2、石油企業網絡安全的防護技術措施
隨著石油企業網絡安全問題的頻繁出現,網絡使用者必須重視網絡安全問題,必須對網絡安全采取有效的防護技術和措施��,為企業提供安全的網絡管理平臺�����。
2.1石油企業建立健全企業規章制度
為了確保企業網絡安全���,必須建立完善的安全系統���,了解網絡安全的重要性�����。對于網絡安全事故的發生,應采取處罰制度,并進行記錄�����,一旦出現重大網絡安全事故�,可以做到有證據可依����。
2.2石油企業應對網絡數據采取加密技術
石油企業內一些重要的文件必須對其進行加密后再放到外部網絡中,并結合防火墻技術��,才能進一步提高石油企業網絡信息系統內部數據的保密性和安全性����,防止數據被非法人員偷盜,損害企業的利益���。
2.3石油企業應加強員工網絡安全知識的培訓
員工作為石油企業網絡的使用者����,梳理員工網絡安全意識變得尤為重要����,只有讓員工認識到網絡安全的危害和意義才能從根本上防止主觀因素網絡安全問題的發生。石油企業應加強對員工網絡安全信息的培訓工作,提高員工的網絡安全意識,保證企業網絡安全的使用�。
2.4石油企業應加強系統平臺與漏洞的處理
網絡管理員可以利用系統漏洞的掃描技術來提前獲取網絡應用過程中的漏洞����,并通過漏洞處理技術快速恢復系統漏洞�����。
3��、關于石油企業網絡安全中其它防護技術
在石油企業網絡安全防護技術方案中,還應該應用以下幾個防護技術:訪問控制技術、入侵行為檢測技術�、異常流量分析與處理技術、終端安全防護與管理技術���、身份認證與管理技術。
3.1訪問控制技術
企業可以根據企業本身的安全需求��、安全級別的不同��,在網絡的交界處和內部劃分出不同的區域����,在這些區域中安裝防火墻設備進行訪問控制���。通過防火墻設備對數據包進行過濾���、對于有問題的數據進行分析����,防止外部未被授權的用戶入侵企業網絡。單向數據輸出的安全區域��,防火墻設備應對外區域的訪問請求進行阻止�����;對于需要進行雙向數據交互的區域��,必須按照制源地址、目的地址�、服務�����、協議、端口內容進行精確的匹配�����,避免網絡安全問題的出現���。
3.2入侵行為檢測技術
入侵檢測就是在石油企業網絡的關鍵位置安裝檢測軟件�,對入侵行為進行檢測與分析����。入侵檢測技術可以對整個企業網絡進行檢測,對產生警告的信息進行記錄并處理。
3.3異常流量分析與處理技術
為了保障供應服務的穩定性��,避免拒絕服務攻擊行為導致業務系統可用性的喪失�,需要通過深度包檢測。當發現網絡流量有問題時�,就會將惡意數據刪除��,保留原有的正常數據,這樣就保證了有權限的用戶進行正常訪問�。
3.4終端安全防護與管理技術
企業整體信息安全水平取決于安全防護最薄弱的環節��。在石油企業中,企業比較重視網絡及應用系統的保護���,忽視了對終端計算機的全面防護與管理措施的保護。這些就需要企業利用安全防護管理技術在內部終端計算機進行統一安全防護和安全管理,保證信息的安全�。
4����、結語
篇3
關鍵詞信息安全;PKI��;CA����;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加�,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益��,但隨之而來的安全問題也在困擾著用戶,在2003年后����,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場�����,企業就面臨著如何提高自身核心競爭力的問題�,而其內部的管理問題、效率問題、考核問題����、信息傳遞問題�����、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段����。
在下面的描述中����,以某公司為例進行說明�����。
2信息系統現狀
2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺����,通過內部網相互連接����,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接����。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節���,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善��,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式�。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目����,基于當時對信息安全的認識和安全產品的狀況���,信息安全的主要內容是網絡安全���,部署了防火墻��、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性���,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用���。
3風險與需求分析
3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強����,計算機應用系統對網絡的依賴性增強���。計算機網絡規模不斷擴大�,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求�����。
(2)計算機應用系統涉及越來越多的企業關鍵數據���,這些數據大多集中在公司總部數據中心����,因此有必要加強各計算機應用系統的用戶管理和身份的認證�����,加強對數據的備份��,并運用技術手段,提高數據的機密性����、完整性和可用性�����。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展����、安全威脅種類的增加��,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷��,具體表現在:
(1)系統性不強�,安全防護僅限于網絡安全,系統�����、應用和數據的安全存在較大的風險����。
目前實施的安全方案是基于當時的認識進行的�����,主要工作集中于網絡安全��,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器�、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段���,很容易被冒充����;又如數據備份缺乏整體方案和制度規范��,容易造成重要數據的丟失和泄露�。
當時的網絡安全的基本是一種外部網絡安全的概念���,是基于這樣一種信任模型的���,即網絡內部的用戶都是可信的�。在這種信任模型下��,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部�,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的����。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的��。在這種信任模型中�,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息�,或者從內部網絡訪問服務器�,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況�����。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部�,這些隱患直接導致了信息被內部人員所竊取和破壞����。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范�����,也沒有選用有關的安全服務����。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級��。
已購買的網絡安全產品中����,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制����,原有的防火墻將成為企業內網和公網之間的瓶頸�。同時病毒的防范�、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能�����。
網絡信息系統的安全建設建立在風險評估的基礎上�����,這是信息化建設的內在要求�,系統主管部門和運營��、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期��,在規劃的過程中��,就運用風險評估�、風險管理的手段�����,用戶才可以避免重復建設和投資的浪費���。
3.2需求分析
如前所述���,某公司信息系統存在較大的風險�����,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統�、應用��、數據各方面的安全防護。為此����,要加強安全防護的整體布局����,擴大安全防護的覆蓋面���,增加新的安全防護手段����。
(2)網絡規模的擴大和復雜性的增加���,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰���,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求��,為此要加快規章制度和技術規范的建設����,使安全防范的各項工作都能夠有序、規范地進行���。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務�,做好事前��、事中和事后的各項防范工作,應對不斷出現的各種安全威脅�,也是某公司面臨的重要課題�。
4設計原則
安全體系建設應按照“統一規劃���、統籌安排��、統一標準�、分步實施”的原則進行�����,避免重復投入��、重復建設,充分考慮整體和局部的利益���。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化�����、規范化的要求�����,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程����,從信息系統的各層次���、安全防范的各階段全面地進行考慮����,既注重技術的實現����,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡�����、系統���、應用等方方面面�,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續�、穩定運行����,這是安全技術體系建設必須面對的最大風險���。本規劃特別考慮規避運行風險問題���,在規劃與應用系統銜接的基礎安全措施時�,優先保證透明化��,從提供通用安全基礎服務的要求出發�,設計并實現安全系統與應用系統的平滑連接��。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力�,某公司分期、分批建設了一些整體的或區域的安全技術系統�,配置了相應的設施��。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時����,對現有安全系統采取了完善�����、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能��,而不是排斥或拋棄�。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統��,各層保護相互補充�����,當一層保護被攻破時��,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加�����,系統脆弱性也會不斷增加�����。一勞永逸地解決安全問題是不現實的。針對安全體系的特性�����,尋求安全�、風險、開銷的平衡�����,采取“統一規劃����、分步實施”的原則。即可滿足某公司安全的基本需求����,亦可節省費用開支����。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮��,全面覆蓋信息系統的各層次��,針對網絡、系統���、應用、數據做全面的防范���。信息安全防范體系模型顯示安全防范是一個動態的過程�,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終�����,如圖2所示�����。
圖2網絡與信息安全防范體系模型
信息安全又是相對的���,需要在風險����、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析�,對現有的信息安全產品和解決方案的調查�����,通過與計算機專業公司接觸,初步確定了本次安全項目的內容�。通過本次安全項目的實施���,基本建成較完整的信息安全防范體系��。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上����。目前����,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務�。PKI(PublicKeyInfrastructure��,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系���,它從技術上解決了網上身份認證��、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統���,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝�����,在此體系中通過數字證書來確認對方的身份�。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成�。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改)���,通過哈希函數和數字簽名來完成�����。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據���。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比�,具有降低成本及維護費用����、易于擴展�����、數據傳輸的高安全性�。
通過安裝部署VPN系統�,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案��。它利用開放性網絡作為信息傳輸的媒體�,通過加密�����、認證��、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據���,用以代替專線方式,實現移動用戶����、遠程LAN的安全連接���。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術����,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效��、穩定地安全保護�����。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置���。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一�����。隨著網絡的快速發展���,電子郵件的使用日益廣泛�����,成為人們交流的重要工具����,大量的敏感信息隨之在網絡上傳播��。然而由于網絡的開放性和郵件協議自身的缺點����,電子郵件存在著很大的安全隱患���。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)��,它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的��。首先,它的認證機制依賴于層次結構的證書認證機構��,所有下一級的組織和個人的證書由上一級的組織負責認證�,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的���。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送��。保證了信件內容的安全性���。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部����,大量的安全威脅來自企業內部����。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部�����。同時�,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段�����。
桌面安全系統把電子簽章����、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案����。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性�����。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章�,或是打開文檔時驗證文檔的完整性和查看文檔的作者����。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后�����,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡�����。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機�����。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲���。由于密鑰保存在智能密碼鑰匙中���,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法�����,從而保證了存儲數據的安全性�����。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便����、安全的身份認證技術����。它采用軟硬件相結合���、一次一密的強雙因子認證模式�,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書��,利用USBKey內置的密碼算法實現對用戶身份的認證�。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能�,還可構建用戶集中管理與認證系統、應用安全組件��、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系�,從而實現上述身份認證、授權與訪問控制���、安全審計、數據的機密性����、完整性���、抗抵賴性的總體要求����。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范����、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示��。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程��,也為本方案的實施提供了借鑒�。
圖3
因此在本方案的組織和實施中���,除了工程的實施外����,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估���,明確需求所在,務求有的放矢�,確保技術方案的針對性和投資的回報����。
(2)把應急響應和事故恢復作為技術方案的一部分�����,必要時可借助專業公司的安全服務����,提高應對重大安全事件的能力�。
(3)該方案投資大,覆蓋范圍廣����,根據實際情況���,可采取分地區����、分階段實施的方式�。
(4)在方案實施的同時,加強規章制度��、技術規范的建設����,使信息安全的日常工作進一步制度化、規范化����。
7結論
本文以某公司為例����,分析了網絡安全現狀�����,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面�,從技術手段的改進�,到規章制度的完善���;從單機系統的安全加固����,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施����,可以建立較完善的信息安全體系���,有效地防范信息系統來自各方面的攻擊和威脅��,把風險降到最低水平。
篇4
數據鏈層位于物理層和網絡層之間,數據鏈層受到的破壞會直接作用到其他各層���。數據鏈層的安全隱患又容易被忽略,數據鏈層的安全問題有:MAC地址泛洪攻擊、ARP攻擊、存取控制地址欺騙�、VLAN攻擊�����、VTP攻擊和VLAN跳躍攻擊。
2網絡層的安全
網絡層處于數據鏈層和傳輸層之間,是網絡體系結構中的第三層�����,TCP/IP協議族中最核心的IP協議就在網絡層��,廣泛應用的TCP、UDP�、IGMP及ICMP數據包��,都以IP數據報文形式傳輸。網絡層封裝IP數據包����,并路由轉發���,解決機器之間的通信問題���。網絡層常見安全問題有:明文傳輸面臨的威脅��、IP地址欺騙�、源路由欺騙和ICMP攻擊����。
3傳輸層的安全
傳輸層在OSI模型中起著關鍵作用,負責端到端可靠的交換數據傳輸和數據控制。在傳輸層使用最廣泛的有兩種協議:傳輸控制協議和用戶數據報協議。傳輸層常見安全問題有:TCP"SYN"攻擊、Land攻擊�、TCP會話劫持和端口掃描攻擊���。
4操作系統的安全
目前在職業院校�����,除了服務器是使用UNIX、Linux外,其它工作站基本是使用微軟操作系統����,存在以下風險�����。(1)安全隱患的產生����,主要是操作系統配置不合理,例如:沒有管理員口令��,用戶弱口令��,未刪除和禁用不必要的帳號����,設置完全共享的目錄���、沒有防病毒軟件��、不合理的訪問控制�����,資源共享的訪問權限配置不當等。(2)操作系統的正常運行需要很多系統服務支撐��,這些系統服務向用戶和應用程序提供功能接口�,有些是操作系統正常運行必需的,有些則是不必要的�����。不必要的服務不僅會占用系統資源�����,還會給操作系統帶來安全威脅�����。如果用戶不知道自已的操作系統����,哪些服務是可以訪問網絡的,就容易被入侵者利用�。
5業務應用的安全
職業院校為了滿足科研�、教學�����、辦公的需要�,校園網搭建了很多網絡應用系統��,如:信息��、教務管理�����、辦公自動化、圖書管理等���。這些應用系統很重要,但也存在風險如下:(1)身份認證:操作系統和應用系統為了保證安全�����,采取了身份認證措施�����,這些機制各有特點��,但是入侵者仍可以利用網絡竊聽、非法數據庫訪問���、窮舉攻擊���、重放攻擊手段獲取口令��。用戶安全意識淡薄���,使用系統默認或者弱密碼�,并且長期不改動��,形同虛設�����。(2)WEB服務:WEB服務是學校用于對外宣傳、開展網絡遠程教學的重要手段,應用極其普遍��,使得Web服務經常成為非法攻擊的首選目標���。存在的安全隱患較多�,網頁代碼本身就存在后門和一些缺陷,比如IIS漏洞、ASP的上傳漏洞��、SQL注入�、緩沖區溢出等。入侵者一旦攻陷WEB服務器,可以把WEB服務器作為跳板,通過中間件或數據庫連接部件,非法訪問學校內部應用系統和數據庫���,并可利用網頁腳本訪問本地文件系統和網絡系統中其它資源。(3)數據庫:數據庫是信息系統的核心�����,校園網內的業務應用依賴于各種數據庫系統�����,保證數據的安全和完整,正確配置數據庫系統顯得至關重要����。數據庫是個復雜的系統�。非專業人員是無法正確配置數據庫系統的���。關系型數據庫是可從端口尋址的�,通過查詢工具就可建立與數據庫的連接,例如通過TCP1521和1526端口�,就能侵入一個弱防護的數據庫��;數據庫運行過程中,出現的錯誤信息��,可以泄漏數據庫結構�,分析這些信息就能實施攻擊。(4)網絡資源共享:為了工作方便����,內部人員經常會使用網絡共享���,如果沒有對資源共享���,作必要的訪問控制策略�����,重要的數據信息��,就無防護地暴露在網絡中。
6網絡管理的安全
安全管理對于有一定規模的職業院校網絡來說是極其重要的�。如果沒有相應制度約束��,就會帶來風險:網絡管理人員把校園網絡結構、系統的一些重要信息傳播給外人,會造成信息泄漏���;密碼和密鑰管理風險,管理員賬戶及密碼被外人竊取�;在約束缺失的情況下,利用網絡和系統的弱點�,實施入侵�、修改����、刪除數據等非法行為;審計不力或無審計���,當網絡受到攻擊或其它威脅時,沒有相應的檢測�、監控��、報告與預警機制。事件發生后�����,不能提供任何記錄�,無法追蹤線索,缺乏對網絡的可控和可審查性����。
7結束語
篇5
病毒病毒對于計算機來說就如同老鼠對于人類來說����?!袄鲜筮^街,人人喊打”����,而病毒過街��,人人避而趨之,它會破壞電腦中的數據以及計算機功能�,且它對于硬件的傷害是十分大的��,而且它還能夠進行自我復制,這也讓病毒的生存能力大大加強�,由此可以得出其破壞性可見一斑�。
人為防護意識網絡入侵的目的是為了取得訪問的權限和儲存��、讀寫的權限,以便其隨意的讀取修改計算機內的信息,并惡意地破壞整個系統���,使其喪失服務的能力。而有一些程序被惡意捆綁了流氓軟件,當程序啟動時,與其捆綁的軟件也會被啟動�����,與此同時����,許多安全缺口被捆綁軟件所打開,這也大大降低了入侵網絡的難度。除非用戶能夠禁止該程序的運行或者將相關軟件進行正確配置�����,否則安全問題永遠也解決不了��。
應用系統與軟件的漏洞網絡服務器和瀏覽器的編程原理都是應用了CGI程序��,很多人在對CGI程序進行編程時只是對其進行適當的修改,并沒有徹底的修改,因此這也造成了一個問題���,CGI程序的安全漏洞方面都大同小異,因此,每個操作系統以及網絡軟件都不可能十全十美的出現����,其網絡安全仍然不能得到完全解決���,一旦與網絡進行連接�����,就有可能會受到來自各方面的攻擊���。
后門與木馬程序后門是指軟件在出廠時為了以后修改方便而設置的一個非授權的訪問口令。后門的存在也使得計算機系統的潛在威脅大大增加。木馬程序也屬于一種特殊的后門程序���,它受控于黑客,黑客可以對其進行遠程控制,一但木馬程序感染了電腦,黑客就可以利用木馬程序來控制電腦���,并從電腦中竊取黑客想要的信息。
安全配置的正確設置一些軟件需要人為進行調試配置,而如果一些軟件的配置不正確,那么其存在可以說形同虛設。有很多站點在防火墻的配置上將訪問權限設置的過大�����,其中可能存在的隱患會被一些惡意分子所濫用�����。而黑客正是其中的一員���,他們通常是程序設計人員����,因此他們對于程序的編程和操作都十分了解���,一旦有一絲安全漏洞出現���,黑客便能夠侵入其中�����,并對電腦造成嚴重的危害���,可以說黑客的危害比電腦病毒的危害要大得多���。
常用的網絡安全技術
1殺毒軟件殺毒軟件是我們最常用的軟件,全世界幾乎每臺電腦都裝有殺毒軟件����,利用殺毒軟件來對網絡進行安全保護是最為普通常見的技術方案�,它的安裝簡單���、功能便捷使得其普遍被人們所使用��,但殺毒軟件顧名思義是用來殺毒的�,功能方面比較局限����,一旦有商務方面的需要其功能就不能滿足商務需求了,但隨著網絡的發展���,殺毒技術也不斷地提升,主流的殺毒軟件對于黑客程序和木馬的防護有著很好的保護作用�����。
2防火墻防火墻是與網絡連接間進行一種預定義的安全策略�����,對于內外網通信施行訪問控制的一種安全防護措施��。防火墻從防護措施上來說可以分成兩種,一種是軟件防火墻���,軟件防火墻是利用軟件來在內部形成一個防火墻,價格較為低廉�,其功能比較少�����,僅僅是依靠自定的規則來限制非法用戶進行訪問;第二種是硬件防火墻���,硬件防火墻通過硬件和軟件的結合來講內外部網絡進行隔離,其效果較好���,但價格較高,難以普及����。但防火墻并沒有想象中的那樣難以破解�����,擁有先進的技術仍然能夠破解或者繞過防火墻對內部數據進行訪問,因此想要保證網絡信息安全還必須采取其他的措施來避免信息被竊取或篡改��,如:數據加密�、入侵檢測和安全掃描等等措施。值得一提的是防火墻只能夠防護住來自外部的侵襲�,而內部網絡的安全則無法保護����,因此想要對電力企業內部網絡安全進行保護還需要對內部網絡的控制和保護來實現���。
3數據加密數據加密技術可以與防火墻相互配合�����,它的出現意味著信息系統的保密性和安全性進一步得到提高�,秘密數據被盜竊�,偵聽和破壞的可能性大大降低。
數據加密技術還衍生出文件加密和數字簽名技術��。這兩種技術可以分為四種不同的作用����,為數據傳輸��、數據存儲���、數據完整性的鑒別以及密鑰管理技術這四種����。數據傳輸加密主要針對數據在傳輸中的加密作用�����,主要可以分成線路加密和端口加密這兩種基本方法��;數據儲存加密技術是在數據儲存時對其進行加密行為,使數據在儲存時不被竊取����;數據完整性判別技術是在數據的傳輸���、存取時所表現出來的一切行為的驗證�����,是否達到保密要求,通過對比所輸入的特征值是否與預先設定好的參數相符來實現數據的安全防護;數據加密在外所表現出來的應用主要為密鑰���,密鑰管理技術是為了保證數據的使用效率。
數據加密技術是將在網絡中傳輸的數據進行加密從而保證其在網絡傳輸中的安全性,能夠在一定程度上防止機密信息的泄漏�����。同時�����,數據加密技術所應用的地方很廣泛�����,有信息鑒別、數字簽名和文件加密等技術,它能夠有效的阻止任何對信息安全能夠造成危害的行為����。
4入侵檢測技術網絡入侵檢測技術是一種對網絡進行實時監控的技術���,它能夠通過軟��、硬件來對網絡中的數據進行實時地檢測,并將之與入侵數據庫進行比較,一旦其被判定為入侵行為,它能夠立即根據用戶所設定的參數來進行防護�,如切斷網絡連接�����、過濾入侵數據包等等。因此,我們可以將入侵檢測技術當做是防火墻的堅強后盾,它能夠在不影響網絡性能的情況下對齊進行監聽���,并對網絡提供實時保護,使得網絡的安全性能大大提升。
5網絡安全掃描技術網絡安全掃描技術是檢測網絡安全脆弱性的一項安全技術���,它通過對網絡的掃描能夠及時的將網絡中的安全漏洞反映給網絡管理員,并客觀的評估網絡風險���。利用網絡完全掃描技術能夠對局域網、互聯網���、操作系統以及安全漏洞等進行服務,并且可以檢測出操作系統中存在的安全漏洞�����,同時還能夠檢測出計算機中是否被安裝了竊聽程序���,以及防火墻可能存在的安全漏洞���。
單利企業網絡安全解決方案
1物理隔離物理隔離指的是從物理上將網絡上的潛在威脅隔離掉����。其主要表現為沒有連接�����、沒有包轉發等等�。
2網絡系統安全解決方案網絡服務器的操作系統是一個比較重要的部分����,網絡操作系統最重視的性能是穩定性和安全性。而網絡操作系統管理著計算機軟硬件資源�,其充當著計算機與用戶間的橋梁作用�。因此�,我們一般可以采用以下設置來對網絡系統安全進行保障:①將不必要的服務關閉。②為之制定一個嚴格的賬戶系統���。③將賬戶權限科學分配,不能濫放權利��。④對網絡系統進行嚴謹科學的安全配置���。
3入侵檢測方案目前�,電力企業網絡防護體系中,僅僅是配置了傳統的防火墻進行防護�����。但由于傳統防火墻的功能并不強大����,再加上操作系統中可能存在的安全漏洞����,這兩點為網絡信息安全帶來了很大的風險。根據對電力企業的詳細網絡應用分析�,電力企業對外應用的服務器應當受到重點關注����。并在這個區域置放入侵檢測系統,這樣可以與防火墻形成交叉防護�����,相得益彰�����。
4安全管理解決方案信息系統安全主要是針對日常防護工作����,應當根據國家法律來建立健全日常安全措施和安全目標����,并根據電力企業的實際安全要求來部署安全措施,并嚴格的實施貫徹下去���。
篇6
為了制定詳細而有針對性的教案,筆者做了一個有關學生上網情況的調查�����。關于上網地點:有80.97%的學生在家����,12.97%的學生到網吧�,3.95%的學生到同學或親友家,2.11%的學生在學校微機室。在網上做得相對最多的事項:37.00%的學生獲取資訊�����、查找學習資料��,1.41%的學生休閑購物�,16.16%的學生聊天����、交友,45.43%的學生游戲娛樂。如何處理有害信息:27.63%的學生隨它去,21.55%的學生非常擔心但很無奈�����,2.11%的學生有時會將它故意傳給他人���,48.71%的學生安裝綠色上網軟件�。從統計結果可以看出,學生上網面對的安全隱患很多�。大部分學生選擇在家或網吧上網��,在家或網吧上網缺少同齡人或者家長的引導監督。很多學生通過網絡玩游戲或者聊天�����,將網絡用于學習的只占不到一半的比例�,遇到有害信息時,很多學生束手無策,任不良信息傳播。
二����、對學生進行網絡安全教育的方法
根據以上情況�,筆者在安全教育課堂中��,采取了多種教育方法幫助學生認識網絡,規避不安全的網絡隱患���。
1.案例植入,情景展演給學生大量的青少年犯罪案例���,通過理清案例的來龍去脈幫助學生認識到,接觸不良網絡信息�,是誘發其犯罪的主要原因之一�����。同時,將學生們身邊及媒體上曝光的大量因網絡而導致青少年誤入歧途的案例改編成情景劇��,在課上進行展演��,使學生有切身的體驗��。
2.開放網絡資源����,積極創設綠色上網環境很多老師都發現����,學生沉迷于網絡世界,往往不能自拔耽誤學業����。老師們往往建議家長不要購置計算機�,不要開通網絡���。但是�,學生們上網的現象還是屢禁不絕。家中計算機、網絡關閉了��,但學生還可以通過手機�����、網吧等其他的方式上網。在學校的倡導下�,我們將安全課與計算課相結合�,共同創設綠色網絡直通車����,教會學生怎樣規避網絡不良信息,教會他們使用一些綠色上網軟件����。同時�����,利用一切機會,與家長共同創設家庭綠色網絡環境�����。如將有關網絡的安全事項印發成宣傳單派發給家長���,將綠色上網軟件打包進行資源共享等��。對于這點的認識���,經過了由堵到疏的過程��。通過在安全課上開放網絡資源,更多的學生學會了文明安全地上網�,有選擇地處理網絡與生活的關系�。
篇7
1.1對不同接入者權限的區分企業網絡中的接入者應用目的是不相同的�����,有些必須接入互聯網,而有些設備不能接入互聯網;有些是一定時間能接入�����,一定時間不能接入等等���,出于成本等因素考慮����,不可能也沒必要鋪設多套網絡。通常的做法是通過3層交換機劃分虛擬局域網VLAN(VirtualLocalAreaNetwork)來區分不同的網段,與防火墻等網絡控制設備配合來實現有關功能。
1.2安全審計功能通過在網絡旁路掛載的方式,對網絡進行監聽�,捕獲并分析網絡數據包�����,還原出完整的協議原始信息,并準確記錄網絡訪問的關鍵信息,從而實現網絡訪問記錄���、郵件訪問記錄、上網時間控制、不良站點訪問禁止等功能�。審計設備安裝后不能影響原有網絡����,并需具有提供內容安全控制的功能,使網絡維護人員能夠及時發現系統漏洞和入侵行為等����,從而使網絡系統性能能夠得到有效改善��。通常的做法就是安裝安全運行維護系統SOC(SecurityOperationsCente)r,網管員定時查看日志來分析網絡狀況����,并制定相應的策略來維護穩定網絡的安全運行�。
1.3外網用戶訪問內部網絡公司會有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice)�,因辦公需要���,會到公司內網獲取相關數據資料���,出于安全和便捷等因素考慮�����,需要借助虛擬專用網絡技術VPN(VirtualPrivateNetwork)來實現��。通常的做法是安裝VPN設備(應用網關)來實現。
2網絡安全設備的部署與應用
通過企業網絡安全分析��,結合中小企業網絡的實際需求進行設計��,網絡拓撲如圖1所示��。從拓撲圖1可以看出,該網絡中的核心網絡設備為UTM綜合安全網關。它集成了防病毒、入侵檢測和防火墻等多種網絡安全防護功能,從而成為統一威脅管理UTM(UnifiedThreatManagement)綜合安全網關����。它是一種由專用硬件�、專用軟件和網絡技術組成的具有專門用途的設備��,通過提供一項或多項安全功能���,將多種安全特性集成于一個硬件設備�,構成一個標準的統一管理平臺[2]�����。通常�����,UTM設備應該具備的基本功能有網絡防火墻����、網絡入侵檢測(防御)和網關防病毒等功能。為使這些功能能夠協同運作�����,有效降低操作管理難度����,研發人員會從易于操作使用的角度對系統進行優化,提升產品的易用性并降低用戶誤操作的可能性����。對于沒有專業信息安全知識的人員或者技術力量相對薄弱的中小企業來說��,使用UTM產品可以很方便地提高這些企業應用信息安全設施的質量。在本案例中主要使用的功能有防火墻���、防病毒、VPN�、流量控制�、訪問控制�、入侵檢測盒日志審計等。網絡接入和路由轉發功能也可由UTM設備來實現�。因其具有多個接口(即多個網卡)�,可通過設定接口組把辦公區�����、車間��、服務器組等不同區域劃分成不同的網段�;通過對不同網段設定不同的訪問規則��,制定不同的訪問策略�����,來實現非軍事化區DMZ(demilitarizedzone)�����、可信任區以及非信任區的劃分��,從而有效增強網絡的安全性和穩定性。
對于上網行為的管理����,可以通過內置UTM設備的功能來實現管控����,并可以實現Web過濾以及安全審計功能.1可以訪問互聯網�����,而車間2不能訪問互聯網��。在辦公區和部分車間安裝無線AP,可方便人員隨時接入網絡�。通過訪問密碼和身份認證等手段�,可對接入者進行身份識別�,對其訪問網絡的權限進行區分管控。市場上還有一些專用的上網行為管理設備��,有條件的單位可進行安裝�����,用以實現對員工上網行為進行更為精準的管控���。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端�����,用事先分配好的VPN賬戶��,借助UTM設備的VPN功能���,與總部建立VPN隧道���,從而保證相互間通信的保密性�,安全訪問企業內部網絡�����,實現高效安全的網絡應用����。
3結束語
篇8
[關鍵詞]互聯網;電子商務;系統安全;數據安全;網絡系統
一���、前言
近年來,隨著因特網的普及日漸迅速,電子交易開始融入人們的日常生活中,網上訂貨����、網上繳費等眾多電子交易方式為人們創造了便利高效的生活方式,越來越多的人開始使用電子商務網站來傳遞各種信息,并進行各種交易。電子商務網站傳遞各種商務信息依靠的是互聯網,而互聯網是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之相連。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,網上的安全風險就構成了對電子商務的安全威脅。
從發展趨勢來看,電子商務正在形成全球性的發展潮流。電子商務的存在和發展,是以網絡技術的革新為前提��。電子商務系統的構建����、運行及維護,都離不開技術的支持。同時,因為電子商務適合于各種大����、小型企業,所以應充分考慮如何保證電子商務網站的安全��。
二、電子商務網站的安全控制
電子商務的基礎平臺是互聯網,電子商務發展的核心和關鍵問題就是交易的安全性�����。由于Internet本身的開放性,使網上交易面臨了種種危險,也由此提出了相應的安全控制要求��。
下面從技術手段的角度,從系統安全與數據安全的不同層面來探討電子商務中出現的網絡安全問題���。
(一)系統安全
在電子商務中,網絡安全一般包括以下兩個方面:
1.信息保密的安全
交易中的商務信息均有保密的要求���。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機���。因此在電子商務的信息傳播中一般均有加密的要求���。
2.交易者身份的安全
網上交易的雙方很可能素昧平生,相隔千里�����。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會考慮網上的商店是否是黑店。因此能方便而可靠地確認對方身份是交易的前提�����。
對于一個企業來說,信息的安全尤為重要,這種安全首先取決于系統的安全���。系統安全主要包括網絡系統���、操作系統和應用系統三個層次�。系統安全采用的技術和手段有冗余技術、網絡隔離技術���、訪問控制技術�����、身份鑒別技術��、加密技術、監控審計技術����、安全評估技術等����。
(1)網絡系統
網絡系統安全是網絡的開放性����、無邊界性、自由性造成,安全解決的關鍵是把被保護的網絡從開放���、無邊界、自由的環境中獨立出來,使網絡成為可控制�����、管理的內部系統,由于網絡系統是應用系統的基礎,網絡安全便成為首要問題���。解決網絡安全主要方式有:
網絡冗余——它是解決網絡系統單點故障的重要措施����。對關鍵性的網絡線路、設備,通常采用雙備份或多備份的方式��。網絡運行時雙方對運營狀態相互實時監控并自動調整,當網絡的一段或一點發生故障或網絡信息流量突變時能在有效時間內進行切換分配,保證網絡正常的運行��。
系統隔離——分為物理隔離和邏輯隔離,主要從網絡安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問,從而達到安全目的。對業務網絡或辦公網絡采用VLAN技術和通信協議實行邏輯隔離劃分不同的應用子網�����。
訪問控制——對于網絡不同信任域實現雙向控制或有限訪問原則,使受控的子網或主機訪問權限和信息流向能得到有效控制。具體相對網絡對象而言需要解決網絡的邊界的控制和網絡內部的控制,對于網絡資源來說保持有限訪問的原則,信息流向則可根據安全需求實現單向或雙向控制���。訪問控制最重要的設備就是防火墻,它一般安置在不同安全域出入口處,對進出網絡的IP信息包進行過濾并按企業安全政策進行信息流控制,同時實現網絡地址轉換、實時信息審計警告等功能,高級防火墻還可實現基于用戶的細粒度的訪問控制���。
身份鑒別——是對網絡訪問者權限的識別,一般通過三種方式驗證主體身份,一是主體了解的秘密,如用戶名、口令���、密鑰;二是主體攜帶的物品,如磁卡、IC卡�����、動態口令卡和令牌卡等;三是主體特征或能力,如指紋��、聲音����、視網膜��、簽名等�。加密是為了防止網絡上的竊聽�����、泄漏�、篡改和破壞,保證信息傳輸安全,對網上數據使用加密手段是最為有效的方式����。目前加密可以在三個層次來實現,即鏈路層加密�����、網絡層加密和應用層加密���。鏈路加密側重通信鏈路而不考慮信源和信宿,它對網絡高層主體是透明的�。網絡層加密采用IPSEC核心協議,具有加密����、認證雙重功能,是在IP層實現的安全標準。通過網絡加密可以構造企業內部的虛擬專網(VPN),使企業在較少投資下得到安全較大的回報,并保證用戶的應用安全。
安全監測——采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描����、預警�、阻斷��、記錄��、跟蹤等,從而發現系統遭受的攻擊傷害。網絡掃描監測系統作為對付電腦黑客最有效的技術手段,具有實時���、自適應、主動識別和響應等特征,廣泛用于各行各業�����。網絡掃描是針對網絡設備的安全漏洞進行檢測和分析,包括網絡通信服務�、路由器、防火墻、郵件�����、WEB服務器等,從而識別能被入侵者利用非法進入的網絡漏洞�。網絡掃描系統對檢測到的漏洞信息形成詳細報告,包括位置、詳細描述和建議的改進方案,使網管能檢測和管理安全風險信息。
(2)操作系統
操作系統是管理計算機資源的核心系統,負責信息發送���、管理設備存儲空間和各種系統資源的調度,它作為應用系統的軟件平臺具有通用性和易用性,操作系統安全性直接關系到應用系統的安全,操作系統安全分為應用安全和安全漏洞掃描�����。
應用安全——面向應用選擇可靠的操作系統,可以杜絕使用來歷不明的軟件����。用戶可安裝操作系統保護與恢復軟件,并作相應的備份�。
系統掃描——基于主機的安全評估系統是對系統的安全風險級別進行劃分,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數據免受盜用����、破壞�����。
(3)應用系統
辦公系統文件(郵件)的安全存儲:利用加密手段,配合相應的身份鑒別和密鑰保護機制(IC卡�����、PCMCIA安全PC卡等),使得存儲于本機和網絡服務器上的個人和單位重要文件處于安全存儲的狀態,使得他人即使通過各種手段非法獲取相關文件或存儲介質(硬盤等),也無法獲得相關文件的內容。
文件(郵件)的安全傳送:對通過網絡(遠程或近程)傳送給他人的文件進行安全處理(加密�、簽名����、完整性鑒別等),使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制(IC卡����、PCMCIAPC卡)才能解密并閱讀,杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等,主要用于信息網中的報表傳送、公文下發等。
業務系統的安全:主要面向業務管理和信息服務的安全需求�����。對通用信息服務系統(電子郵件系統��、WEB信息服務系統、FTP服務系統等)采用基于應用開發安全軟件,如安全郵件系統�����、WEB頁面保護等;對業務信息可以配合管理系統采取對信息內容的審計稽查,防止外部非法信息侵入和內部敏感信息泄漏�����。
(二)數據安全
數據安全牽涉到數據庫的安全和數據本身安全,針對兩者應有相應的安全措施����。
數據庫安全——大中型企業一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數據庫,基于數據庫的重要性,應在此基礎上開發一些安全措施,增加相應控件,對數據庫分級管理并提供可靠的故障恢復機制,實現數據庫的訪問�����、存取���、加密控制�。具體實現方法有安全數據庫系統���、數據庫保密系統���、數據庫掃描系統等����。
數據安全——指存儲在數據庫數據本身的安全,相應的保護措施有安裝反病毒軟件,建立可靠的數據備份與恢復系統,某些重要數據甚至可以采取加密保護。
(三)網絡交易平臺的安全
網上交易安全位于系統安全風險之上,在數據安全風險之下����。只有提供一定的安全保證,在線交易的網民才會具有安全感,電子商務網站才會具有發展的空間�����。
交易安全標準——目前在電子商務中主要的安全標準有兩種:應用層的SET(安全電子交易)和會話層SSL(安全套層)協議�����。前者由信用卡機構VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準,主要用于銀行等金融機構;后者由NETSCAPE公司提出針對數據的機密性/完整性/身份確認/開放性的安全協議,事實上已成為WWW應用安全標準���。
交易安全基礎體系——交易安全基礎是現代密碼技術,依賴于加密方法和強度�����。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長,對稱密鑰具有加密效率高,但存在密鑰分發困難��、管理不便的弱點;非對稱密鑰加密速度慢,但便于密鑰分發管理。通常把兩者結合使用,以達到高效安全的目的�����。
交易安全的實現——交易安全的實現主要有交易雙方身份確認��、交易指令及數據加密傳輸��、數據的完整性、防止雙方對交易結果的抵賴等等�����。具體實現的途徑是交易各方具有相關身份證明,同時在SSL協議體系下完成交易過程中電子證書驗證���、數字簽名�、指令數據的加密傳輸、交易結果確認審計等�����。
隨著電子商務的發展,網上交易越來越頻繁,調用每項服務時需要用戶證明身份,也需要這些服務器向客戶證明他們自己的身份�����。而保障身份安全的最有效的技術就是PKI技術。
PKI的應用在我國還處于起步階段,目前我國大多數企業只是在應用它的CA認證技術�����。CA(CertificationAuthorty)是一個確保信任度的權威實體,主要職責是頒發證書��、驗證用戶身份的真實性����。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,都應當相信持有證明的該用戶�。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,并能很好地和其他廠家的CA產品兼容。在不久的將來,PKI技術會在電子商務和網絡安全中得到更廣泛的應用,從而真正保障用戶和商家的身份安全。
三、目前信息安全的研究方向
從歷史角度看,我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關�����、黑客入侵檢測�����、系統脆弱性掃描軟件等�����。但因信息網絡安全領域是一個綜合、交叉的學科領域,它綜合利用了數學���、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的�����、完整的和協同的解決信息網絡安全的方案,從安全體系結構�、安全協議�、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體����。
安全協議作為信息安全的重要內容,其形式化方法分析始于80年代初,目前有基于狀態機���、模態邏輯和代數工具的三種分析方法,但仍有局限性和漏洞,處于發展的提高階段����。作為信息安全關鍵技術密碼學,近年來空前活躍,美����、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁��。1976年美國學者提出的公開密鑰密碼體制,克服了網絡信息系統密鑰管理的困難,同時解決了數字簽名問題,它是當前研究的熱點��。
目前電子商務的安全性已是當前人們普遍關注的焦點,它正處于研究和發展階段,并帶動了論證理論����、密鑰管理等研究。由于計算機運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼����、DNA密碼�����、混沌理論等密碼新技術出處于探索之中。在我國,信息網絡安全技術的研究和產品開發雖處于起步階段,有大量的工作需要我們去研究���、開發和探索,但我們相信在不久的將來,會走出一條有中國特色的產學研聯合發展之路,趕上或超過發達國家的水平,以此保證我國信息網絡的安全,推動我國國民經濟的高速發展���。
四��、結束語
電子商務是以互聯網為活動平臺的電子交易,它是繼電子貿易(EDI)之后的新一代電子數據交換形式�。計算機網絡的發展與普及,直接帶動電子商務的發展���。因此計算機網絡安全的要求更高,涉及面更廣,不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取,以保證系統本身安全性,如服務器自身穩定性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道等等��。對重要商業應用,還必須加上防火墻和數據加密技術加以保護���。在數據加密方面,更重要的是不斷提高和改進數據加密技術,使不法分子難有可乘之機���。
參考文獻:
[1]佚名.解析電子商務安全[EB/OL]./it386/dnwl/,2006-07-25.
[2]佚名.網絡構建與維護[EB/OL].chinaec-/second/network.php,2006-07-16.
[3]洪國彬.電子商務安全與管理[M].北京:電子工業出版社,2006.
