時間:2023-05-29 08:32:38
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇網絡安全防護方法,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1671-7597(2011)1210007-01
網絡信息安全問題自網絡技術及其應用系統誕生以來,就一直是存在于網絡建設過程當中,給網絡系統使用者與建設者帶來嚴峻挑戰的一個問題。相關工作人員需要認識到在網絡技術與應用系統不斷完善發展的過程中,網絡信息安全問題是始終存在的,并且它會伴隨著網絡功能的系統化、規模化、詳盡化而始終處在變化發展的過程當中。據此,在網絡應用系統技術蓬勃發展的當今社會,正確認識并處理好網絡信息安全防護的相關技術工作,已成為當下相關工作人員最亟待解決的問題之一。
1 網絡信息安全防護的現狀及發展趨勢分析
就我國而言,在全球經濟一體化進程不斷加劇與計算機網絡技術蓬勃發展的推動作用下,傳統模式下的網絡信息安全防護思想再也無法適應新時期網絡先進技術與經濟社會安全需求的發展要求。我們需要認識到盡快建立起一個合理、先進、符合現代網絡科學技術發展要求的網絡信息安全防護原則,并在此基礎上循序漸進的展開網絡信息安全的研究工作,勢必或已經會成為當前網絡信息安全相關工作人員的工作重心與中心。
1)網絡信息安全的新形勢研究。筆者查閱了大量相關資源,對近些年來我國在網絡信息安全工作中所遇到的新變化、新形勢、新發展規律進行了初步認識與總結,認為當前網絡信息安全新形勢當中的“新”可以體現在以下幾個方面。
① 網絡信息攻擊問題已成為網絡信息安全環節所面臨的首要問題。在當前的計算機網絡信息系統中各種盜號、釣魚、欺詐網頁或是病毒十分盛行。可以說,網絡信息攻擊問題正在走向與經濟利益相關的發展方向。
② 傳統網絡時代中以惡作劇、技術炫耀為目的發起的病毒攻擊數量和規模都呈現出逐年下降的趨勢,這些傳統意義上的網絡信息安全問題已非新形勢下計算機網絡信息系統的主流問題。
③ 工業化生產病毒正成為當前計算機網絡系統信息安全的發展趨勢,各種以高端無線技術為依托的病毒軟件、間諜程序攻占了當前的網絡信息安全結構,但相應的反病毒、反間諜技術發展卻始終不夠成熟,整個網絡信息安全防護工作陷入了較為尷尬的發展局面。
2)網絡信息安全防護工作的發展趨勢分析。針對當前經濟形勢下計算機網絡乃至整個網絡信息系統呈現出的新形勢分析,網絡信息的安全防護工作也是必要作出相應的變革,其研究工作不僅需要涉及到對各種病毒、間諜程序的有效控制,還需要實現整個計算機網絡系統高效的響應與恢復功能。具體而言,網絡信息安全防護正面臨著以下幾個方面的新發展趨勢。
① 網絡信息安全防護的地位正發生著轉變。網絡信息安全在由單機時代向互聯網時代逐步過渡的過程中開始受到人們日益廣泛的關注。計算機網絡系統與其相關技術的蓬勃發展也使得網絡信息安全防護由傳統意義上的“有益補充”輔助地位向著“不可或缺”的主體地位發生轉變。
② 網絡信息安全防護的技術正發生著轉變。縱觀計算機網絡技術及其應用系統的發展歷程,我們不難發現網絡信息安全防護對于整個網絡系統中出現的額安全問題解決思路由傳統的單點防護向著綜合防護轉變。在這一過程中,統一威脅管理成為了當前大部分相關部分解決信息安全問題所采用的關鍵技術之一。但這一技術當中存在的硬件系統性能發展不夠完善、邏輯協同問題等也使得這種安全防護技術面臨著前所未有的挑戰。
2 基于網絡信息安全防護新思想及理論的相關技術方法研究
筆者以多層次彈性閉合結構及無差異表示未知因素的基本思想,在預應式及周密性原則的作用下,提出了一種對解決網絡信息安全問題而言極為有效的新技術方法。大量的實踐研究結果表明,將這種網絡信息安全防護理論及相關方法應用在計算機網絡技術及相關應用系統的安全實踐工作中,能夠取得極為深遠且重要的意義。
這種基于多核MIPs64硬件網關的設計方法一般來說是由采用MIPs64型號安全處理犀利的多核處理器加上資源調度系統、控制系統以及通信接口三個模塊共同構成的。在這一系統中,核心處理器不僅具備了高集成化基礎下的系統64位解決方案,同時還能夠在硬件網關加速器與多核技術的加速作用下,達到系統CPU處理頻率與網絡信息安全防護效率的提升。
3 網絡信息安全防護理論與方法的發展展望
網絡信息安全防護理論與方法從本質上來說是網絡安全實踐工作及經驗總結的構成部分,它從網絡安全實踐中分離出來并最終作用于網絡安全防護工作的踐行。其理論與方法勢必會隨著網絡信息安全威脅對象與威脅范圍的變化而發生相應的變化。具體而言,可以概括為以下幾個方面。
1)網絡信息安全防護的安全評估范圍發展展望。在計算機網絡技術及其應用系統所處安全形勢的變化過程中,傳統意義上僅僅依靠硬件系統改造和技術升級來對網絡信息安全問題進行控制與處理的思想也無法適應當前網絡結構的高安全需求。這也就意味著安全評估工作需要從單純的安全環境問題處理向著安全環境與系統安全應用能力兼顧的復雜性系統結構方面發展,逐步上升到硬件系統處理與軟件系統處理并重的地位。
2)網絡信息安全防護的應用方法發展展望。統一威脅管理系統作為當前應用最為廣泛的網絡信息安全防護技術需要向著提供綜合性安全功能的方向發展,將病毒入侵功能與檢測功能共同融入到網絡系統防火墻的建設工作當中,使其能夠發揮在防御網絡信息安全混合型攻擊問題中的重要功能。
4 結束語
伴隨著現代科學技術的發展與經濟社會不斷進步,人民日益增長的物質與精神文化需求對新時期的網絡信息安全防護工作提出了更為嚴格的要求。本文對新時期網絡信息安全防護的理論與方法做出了簡要分析與說明,希望為今后相關研究工作的開展提供一定的意見與建議。
參考文獻:
[1]陳仕杰,加速成長的X86嵌入式系統(上)搶攻嵌入式市場的X86處理器雙雄AMD vs.VIA.[J].電子與電腦,2007(03).
[2]俞正方,電信IP承載網安全防御[J].信息安全與技術,2010(08).
【關鍵詞】計算機 通信網絡 安全現狀 安全防護策略
當今時代是一個計算機網絡信息化時代,計算機網絡技術早就滲入到了人們的生活及工作之中。鑒于計算機網絡技術的影響,人們的生活方式與生活習慣都發生了特別大的變化,同時人類對于計算機網絡的依賴程度也在逐年升高。計算機通信網絡能夠給計算機信息提供一個便捷,高效且比較安全的信息取得,輸送,處理和使用通信環境與傳輸通道。然而鑒于計算機通信網絡具有廣泛聯結性及開放性等特點,因此信息在傳送的過程別容易出現通信安全問題。特別是隨著通信網絡一體化與資源共享信息改革進程的逐年加快,計算機通信網絡安全問題也越來越突出,怎樣提高計算機通信網絡的安全防護屬于當下信息化時代必須要解決的問題。
一、如今中國計算機通信網絡安全現狀及存在的安全問題
近年來,由于計算機網絡的快速發展,計算機網絡安全問題已然成為了社會及人類關注的重要問題之一。盡管科技人員們早就研發出了如同服務器,防火墻及通道控制機制等眾多復雜的計算機通信安全防護軟件技術,然而黑客的攻擊還是給計算機通信網絡的安全帶來了巨大的隱患。如今,計算機通信網絡安全問題主要可以分成兩大部分:第一部分為計算機自身系統因素;第二部分為人為因素。在影響計算機通信網絡安全的兩大因素中,相對于計算機自身系統因素而言,人為因素對計算機通信網絡所造成的安全影響要更大一些,其危害程度也要更深一些。
(一)計算機因素
1.計算機軟件系統所存在的漏洞。計算機軟件系統漏洞的存在主要是由于軟件在設計時未思慮周全,造成通信協議及軟件應用系統存在某些的缺點,如果這些漏洞及缺點被非法分子及黑客知道了,那么他們就會通過這些漏洞攻擊計算機系統。再者,軟件設計者通常會設定某些后門程序以方便自己進行特定程序的設置,如果這些程序被黑客破解了,那么整個計算機系統就將面臨癱瘓的危險。
2.計算機病毒。計算機病毒屬于一組可以自我復制,且可以入電腦程度中損壞計算機程序,抑或直接破壞數據的程序代碼。計算機網絡的發展從某種程度上說也帶動了計算機病毒的發展,特別是當下的計算機網絡提速給病毒及木馬的傳播提供了有利的條件。如今的通信網絡絕大部分屬于3G網,在某些人看來,3G智能手機及3G平臺或許將成為病毒的重要棲息場所。
(二)人為因素
如今許多網絡管理人員根本就沒有網絡安全意識,時常會出現一些人為的失誤,比方說口令密碼設置過分簡單;有些管理人員甚至還會犯將密碼口令告訴他人的錯誤;某些安全管理人員在進行安全設置操作時會因為操作不恰當而導致安全隱患的出現;同時某些非法分子或黑客可能會通過盜取他人身份的方式進入到安全系統之中,隨意更改安全數據,肆意破壞安全系統。所有的這些因素都將使計算機安全系統陷入異常危險的境地之中,給計算機網絡系統的安全帶來了特別大的隱患。
二、提高計算機通信網絡安全的防護方法
(一)提高通信網絡安全技術
提高通信網絡安全的技術主要有三種:第一種,防火墻技術。身為通信網絡安全的第一道屏障,防火墻一般由技術,數據包過濾技術與網關應用三部分構成。防火墻的作用為分辨及限制外來的數據流,換句話說:用戶所進行的操作都必須經過防火墻的檢查,如此通信內網便可以得到較好的保護;第二種,鑒別技術。鑒別技術主要由數字簽名,報文鑒別及身份鑒別構成。這一技術的作用在于防止互聯網不安全現象的出現,比方說,數據被惡意更改及非法傳輸等等,更好地保護計算機通信網絡的安全;第三種,密碼技術。密碼技術的思想依據為偽裝信息,一般情況下,密碼技術可以分成對稱加密與不對稱加密兩種;而密碼類型則有移位密碼,代替密碼和乘積密碼三種。
(二)加強系統自然性能,進行通信網絡安全教育
首先,在使用計算機通信網絡的同時,慢慢完善通信協議,提高數據保密度,避免軟件系統漏洞的出現。與此同時,選擇那些責任心強且政治素質高的人進行計算機系統的管理及維護,選派專人進行計算機網絡安全系統的管理。其次,管理人員必須充分意識到網絡安全的重要性,相關部門還可以舉辦相關的安全研討會,提高工作人員的通信網絡安全意識,促進計算機安全網絡系統的發展。
(三)出臺一系列網絡安全策略
計算機通信網絡安全管理必須與行政手段相適應,從技術方面進行網絡安全的管理。一般而言,計算機網絡安全策略主要包括如下四個方面的內容:第一,網絡安全管理策略;第二,物理安全策略;第三,訪問控制策略;第四,信息加密策略。為防止未經授權的用戶使用網絡資源,公司可憑借網絡管理的形式向終端用戶提供訪問許可證書及有效口令,同時對用戶權限訪問進行控制。此外,為避免未獲授權用戶對數據進行刪除及修改等操作,通信網絡還必須建立全面的數據完整性鑒別系統。
三、結束語
總之,計算機通信網絡安全是一項艱巨且復雜的工作。網絡用戶及相關從業人員必須共同對其進行維護。網絡用戶理應熟悉且掌握計算機通信安全技術,同時還應具備較強的法律意識;而相關從業人員則必須具有較高的計算機安全防護水平,如此才有望創建一個時時刻刻都可以對計算機通信網絡進行過濾與防護的安全系統,進而有效保證計算機通信網絡的順利運行。
參考文獻:
[1]田地,崔學雨. 機電設備安裝試運行異常現象分析與對策[J].中國新技術新產品,2010(01).
[2]張馨予. 計算機通信網絡安全及相關技術探索[J].硅谷,2011(18):186.
計算機技術和互聯網業務的發展將人類帶入了網絡時代,網絡技術對人們的工作和生活等各個方面產生影響。計算機網絡已應用于軍事、旅行、購物、金融、商業等等越來越多的行業。人類對計算機網絡的依賴達到空前地步。計算機網絡的安全也隨之變得異常重要。計算機網絡遭受攻擊或癱瘓將帶來系類的經濟和社會問題。因此,對計算機網絡安全及其防護策略進行研究對維護社會穩定具有重要意義。
一、計算機通信網絡安全概述
(一)計算機網絡安全概念
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護,包括數據的泄露、更改、破壞或被非系統辨認控制等。計算機網絡安全不僅包括組網的硬件、管理控制網絡的軟件,也包括共享的資源,快捷的網絡服務,所以定義網絡安全應考慮涵蓋計算機網絡所涉及的全部內容。
網絡安全具有保密性、完整性、可用性、可控性和可審查性等五個特征:保密性指信息不泄露給非授權用戶、實體或過程,或供其利用的特性;完整性指數據未經授權不能進行改變的特性,也即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性;可用性指可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息;可控性指對信息的傳播及內容具有控制能力;可審查性指出現的安全問題時提供依據與手段
(二)網絡安全現本文由收集整理狀
前文提及隨著人類對計算機網絡的依賴增強,網絡安全維護成為迫在眉睫的問題。網絡安全將影響到經濟的發展和社會的穩定。目前,發達國家都加大了網絡完全的防范和治理工作,而我國面對的網絡安全問題也十分嚴峻:
1.信息安全意識淡薄
我國的計算機網絡安全防護意識淡薄,對網絡安全知識也十分有限。有的個人或企業認為花重金進行網絡安全防護沒必要;要不認為裝個防火墻或殺毒軟件就能保障網絡安全。總體而言,我國的網絡安全意識才起,缺乏系統的網絡安全管理措施。
2.基礎信息產業
從計算機硬件和軟件方面來看,我國計算機制造業雖很發達。但缺乏創新和具有知識產權產品,核心件、核心技術等嚴重依賴國外。
3.人才培養
網絡安全需要經過專業的培訓和學習,對人才的專業素質等要求更高。總體而言,我國網絡安全工作起步較晚,對專業人才的培養不能滿足對信息安全人才的需求。
二、影響計算機通信網絡安全的因素分析
計算機通信網絡信息的安全涉及到計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論信息論等多種學科。它主要是指保護網絡系統的硬件、軟件及其系統中的數據,使之不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。具體而言影響網絡安全的因素包括:自然威脅、網絡攻擊、計算機病毒、軟件漏洞和管理缺乏等方面。
(一)自然威脅
自然災害如地震、風暴、洪水以及溫度、濕度、震動等都會對計算機網絡安全產生影響。
(二)網絡攻擊
計算機網絡安全不僅受到自然環境的影響,還有來自于“人禍”。網絡攻擊構成影響網絡安全最主要的方面。網絡的技術是全開放的,使得網絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網絡通信協議的攻擊,以及對計算機軟件、硬件的漏洞
實施攻擊。具體包括:借助系統命令進行攻擊,通過“ip欺騙”發起攻擊、“破解密碼攻擊”、“拒絕服務”欺騙式攻擊和通過系統“應用層攻擊”等方面。
(三)計算機病毒
計算機病毒是段可執行程序,通過像生物性病毒一樣在文件之間復制和傳遞,影響網絡安全。因其具有一定的傳染性和潛伏性,輕則影響機器運轉速度,重則使用戶機器癱瘓,給用戶帶來不可估量之損失。
(四)軟件漏洞
常用的操作系統、tcp/ip及其許多相關的協議在設計時為了方便使用、開發或對資源共享及遠程控制,存在“后門”,這就存在安全漏洞或錯誤。如果沒有對安全等級鑒別或采取防護措施,攻擊者可直接進入網絡系統,破壞或竊取信息,危機網絡系統安全。
(五)管理缺乏
計算機網絡系統硬件和軟件再完備,倘若缺乏必要的網絡通信完全管理,一方面不能協調配合發揮物理性資源優勢;另一方面不能做好安全防范規劃,當網絡攻擊等威脅來臨時不能及時應對。
三、計算機通信網絡的防護方法
針對計算機網絡系統存在的威脅,從硬件策略、軟件策略和管理策略等三個方面進行:
(一)硬件策略
硬件系統是構成計算機網絡最基本的物質。要保證計算機網絡系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施,主要包括以下內容:計算機系統環境應嚴格執行包括溫度、濕度、振動、電氣干擾等標準;建設機房應選取外部環境安全可靠,抗電磁干擾、避免強振動源的環境;建立機房安全防護制度,針對物理性災害和防止未授權個人或團體破壞、篡改或盜竊網絡設施等對策。
(二)軟件策略
軟件策略主要保護計算機網絡數據傳輸的有效性,保障數據的安全性、完整性等。具體包括反病毒技術、防火墻技術、加密技術、虛擬專有網絡技術和入侵檢測防衛技術等幾方面:
1.反病毒技術
病毒具有傳播性和潛伏性等特點,造成計算機變慢,甚至是癱瘓,進而帶來數據丟失等危害。病毒防范技術是過對網絡上流通的數據、計算機內的文件、內存和磁盤進行掃描,發現病毒并清除的技術。現在世界上成熟的反病毒技術已經完全可以作到對所有的已知病毒徹底預防、徹底殺除,主要涉及實施監視技術、自動解壓縮技術和全平臺反病毒技術等。
2.防火墻技術
防火墻是一個或一組實施訪問控制策略的系統,在內部局域網與internet之間的形成的一道安全保護屏障,防止非法用戶訪問內部網絡上的資源和非法向外傳遞內部消息,同時也防止這類非法和惡意的網絡行為導致內部網絡受破壞。防火墻可能是軟件,也可能是硬件或兩者都有。根據防火墻應用在網絡中的層次不同進行劃分,可分為:網絡層防火墻、應用層防火墻、復合型防火墻,它們之間各有所長,具體使用哪一種,要看網絡的具體需要。
3.加密技術
加密技術是電子商務采取的主要安全保密措施,是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)。加密技術的應用是多方面的,但最為廣泛的還是在電子商務和vpn上的應用,深受廣大用戶的喜愛。
4.虛擬專有網絡
虛擬專有網絡是在公共通信網絡上建立專用網絡,數據在公共通信網絡上構建,包括路由過濾技術和隧道技術。
5.入侵檢測和主動防衛技術
入侵檢測是對入侵行為的發覺,主要通過關鍵點信息收集和分析,發現網絡中違反安全策略和被攻擊的跡象。而入侵檢測的軟件與硬件的組合便是入侵檢測系統。入侵檢測系統可分為事件產生器、事件分析器、響應單元和事件數據庫等四個方面。
(三)管理策略
計算機網絡的安全管理,不僅要看所采用的安全技術和防范措施,而且要看它所采取的管理措施和執行計算機安全保護法律、法規的力度。只有將兩者緊密結合,才能使計算機網絡安全確實有效。計算機網絡的安全管理,包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
一、防守技戰法概述
為了順利完成本次護網行動任務,切實加強網絡安全防護能力,XXXX設立HW2019領導組和工作組,工作組下設技術組和協調組。護網工作組由各部門及各二級單位信息化負責人組成,由股份公司副總裁擔任護網工作組的組長。
為提高護網工作組人員的安全防護能力,對不同重要系統進行分等級安全防護,從互聯網至目標系統,依次設置如下三道安全防線:
第一道防線:集團總部互聯網邊界防護、二級單位企業互聯網邊界防護。
第二道防線:廣域網邊界防護、DMZ區邊界防護。
第三道防線:目標系統安全域邊界防護、VPN。
根據三道防線現狀,梳理出主要防護內容,包括但不限于:梳理對外的互聯網應用系統,設備和安全措施,明確相關責任人,梳理網絡結構,重要的或需要重點保護的信息系統、應用系統與各服務器之間的拓撲結構,網絡安全設備及網絡防護情況, SSLVPN和IPSECVPN接入情況。集團廣域網、集團專線邊界,加強各單位集團廣域網、集團專線邊界防護措施,無線網邊界,加強對無線WIFI、藍牙等無線通信方式的管控,關閉不具備安全條件及不必要開啟的無線功能。
結合信息化資產梳理結果,攻防演習行動安全保障小組對集團信息化資產及重點下屬單位的網絡安全狀況進行安全風險評估和排查,確認薄弱環節以便進行整改加固。
二、 防守技戰法詳情
2.1 第一道防線--互聯網邊界及二級單位防護技戰法
2.1.1 安全感知防御、檢測及響應
構建從“云端、邊界、端點”+“安全感知”的防御機制。相關防護思路如下:
防御能力:是指一系列策略集、產品和服務可以用于防御攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻,并在受影響前攔截攻擊動作。
檢測能力:用于發現那些逃過防御網絡的攻擊,該方面的關鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。檢測能力非常關鍵,因為企業應該假設自己已處在被攻擊狀態中。
響應能力:系統一旦檢測到入侵,響應系統就開始工作,進行事件處理。響應包括緊急響應和恢復處理,恢復處理又包括系統恢復和信息恢復。
2.1.2 安全可視及治理
l 全網安全可視
結合邊界防護、安全檢測、內網檢測、管理中心、可視化平臺,基于行為和關聯分析技術,對全網的流量實現全網應用可視化,業務可視化,攻擊與可疑流量可視化,解決安全黑洞與安全洼地的問題。
l 動態感知
采用大數據、人工智能技術安全,建立了安全態勢感知平臺,為所有業務場景提供云端的威脅感知能力。通過對邊界網絡流量的全流量的感知和分析,來發現邊界威脅。通過潛伏威脅探針、安全邊界設備、上網行為感系統,對服務器或終端上面的文件、數據與通信進行安全監控,利用大數據技術感知數據來發現主動發現威脅。
2.1.3 互聯網及二級單位的區域隔離
在互聯網出口,部署入侵防御IPS、上網行為管理,提供網絡邊界隔離、訪問控制、入侵防護、僵尸網絡防護、木馬防護、病毒防護等。
在廣域網接入區邊界透明模式部署入侵防御系統,針對專線接入流量進行控制和過濾。
辦公網區應部署終端檢測和響應/惡意代碼防護軟件,開啟病毒防護功能、文件監測,并及時更新安全規則庫,保持最新狀態。
服務器區部署防火墻和WEB應用防火墻,對數據中心威脅進行防護;匯聚交換機處旁路模式部署全流量探針,對流量進行監測并同步至態勢感知平臺;部署數據庫審計系統,進行數據庫安全審計。
在運維管理區,部署堡壘機、日志審計、漏洞掃描設備,實現單位的集中運維審計、日志審計和集中漏洞檢查功能。
2.1.3.1 互聯網出口處安全加固
互聯網出口處雙機部署了因特網防火墻以及下一代防火墻進行出口處的防護,在攻防演練期間,出口處防火墻通過對各類用戶權限的區分,不同訪問需求,可以進行精確的訪問控制。通過對終端用戶、分支機構不同的權限劃分保障網絡受控有序的運行。
對能夠通過互聯網訪問內網的網絡對象IP地址進行嚴格管控,將網段內訪問IP地址段進行細化,盡量落實到個人靜態IP。
開啟精細化應用控制策略,設置多條應用控制策略,指定用戶才可以訪問目標業務系統應用,防止出現因為粗放控制策略帶來的互聯網訪問風險。
對所有通過聯網接入的用戶IP或IP地址段開啟全面安全防護策略,開啟防病毒、防僵尸網絡、防篡改等防護功能。
通過對全網進行訪問控制、明確權限劃分可以避免越權訪問、非法訪問等情況發生,減少安全事件發生概率。
護網行動開始之前,將防火墻所有安全規則庫更新到最新,能夠匹配近期發生的絕大部分已知威脅,并通過SAVE引擎對未知威脅進行有效防護。
攻防演練期間,通過互聯網訪問的用戶需要進行嚴格的認證策略和上網策略,對上網用戶進行篩選放通合法用戶阻斷非法用戶,同時對于非法url網站、風險應用做出有效管控。根據企業實際情況選擇合適流控策略,最后對于所有員工的上網行為進行記錄審計。
攻防演練期間,需要將上網行為管理設備的規則庫升級到最新,避免近期出現的具備威脅的URL、應用等在訪問時對內網造成危害。
2.1.3.2 DMZ區應用層安全加固
當前網絡內,DMZ區部署了WEB應用防火墻對應用層威脅進行防護,保證DMZ區域內的網站系統、郵件網關、視頻會議系統的安全
攻防演練期間,為了降低用從互聯網出口處訪問網站、郵件、視頻的風險,防止攻擊手通過互聯網出口訪問DMZ區,進行頁面篡改、或通過DMZ區訪問承載系統數據的服務器區進行破壞,需要設置嚴格的WEB應用層防護策略,保證DMZ區安全。
通過設置WEB用用防護策略,提供OWASP定義的十大安全威脅的攻擊防護能力,有效防止常見的web攻擊。(如,SQL注入、XSS跨站腳本、CSRF跨站請求偽造)從而保護網站免受網站篡改、網頁掛馬、隱私侵犯、身份竊取、經濟損失、名譽損失等問題。
2.2 第二道防線-數據中心防護技戰法
總部數據中心從防御層面、檢測層面、響應層面及運營層面構建縱深防御體系。在現有設備的基礎上,解決通號在安全建設初期單純滿足合規性建設的安全能力,缺乏完善的主動防御技術和持續檢測技術帶來的風險。主要解決思路如下:
1、基于安全風險評估情況,夯實基礎安全架構
通過持續性的風險評估,進行安全架構的升級改造,縮小攻擊面、減少風險暴露時間。包括:安全域改造、邊界加固、主機加固等內容。
2、加強持續檢測和快速響應能力,進一步形成安全體系閉環
針對內網的資產、威脅及風險,進行持續性檢測;基于威脅情報驅動,加強云端、邊界、端點的聯動,實現防御、檢測、響應閉環。
3、提升企業安全可視與治理能力,讓安全了然于胸
基于人工智能、大數據技術,提升全網安全風險、脆弱性的可視化能力,大幅度提升安全運維能力,以及應急響應和事件追溯能力。
2.2.1 邊界防御層面
原有的邊界防護已較完善,無需進行架構變動,只需要確保防御設備的策略有效性和特征庫的及時更新。針對目標系統,通過在目標系統接入交換機和匯聚交換機之間透明部署一臺下一代防火墻,實現目標系統的針對性防護,防止服務器群內部的橫向威脅。
下一代防火墻除基本的ACL訪問控制列表的方法予以隔離以外,針對用戶實施精細化的訪問控制、應用限制、帶寬保證等管控手段。通號業務系統中存在對外的網站、業務等,因此需要對WEB應用層進行有效防護,通過下一代防火墻提供SQL注入、跨站腳本、CC攻擊等檢測與過濾,避免Web服務器遭受攻擊破壞;支持外鏈檢查和目錄訪問控制,防止Web Shell和敏感信息泄露,避免網頁篡改與掛馬,滿足通號Web服務器深層次安全防護需求。
根據現有網絡,核心交換區部署了應用性能管理系統,攻防演練期間,需要對應用性能管理系統進行實時關注,應用出現異常立即上報,并定位責任人進行處置,保證網絡性能穩定,流暢運行。
核心交換機雙機部署了兩臺防火墻,物理上旁路部署,邏輯上通過引流所有流量都經過防火墻,通過防火墻對服務器區和運維管理區提供邊界訪問控制能力,進行安全防護。
攻防演練期間,核心交換區防火墻進行策略調優,對訪問服務器區和運維管理區的流量數據進行嚴格管控,對訪問服務器區內目標系統請求進行管控;防止安全威脅入侵運維管理區,對整體網絡的安全及運維進行破壞,獲取運維權限。
攻防演練期間,在各分支機構的邊界,通過對各類用戶權限的區分,各分支機構的不同訪問需求,可以進行精確的訪問控制。通過對終端用戶、分支機構不同的權限劃分保障網絡受控有序的運行。
專線接入及直連接入分支通過廣域網接入區的路由器-下一代防火墻-上網行為管理-核心交換機-服務器區的路徑進行訪問,因此通過完善下一代防火墻防護策略,達到安全加固的目的。
通過對全網進行訪問控制、明確權限劃分可以避免越權訪問、非法訪問等情況發生,減少安全事件發生概率。
攻防演練前,需要對下一代防火墻的各類規則庫、防護策略進行更新和調優。
2.2.2 端點防御層面
服務器主機部署終端檢測響應平臺EDR,EDR基于多維度的智能檢測技術,通過人工智能引擎、行為引擎、云查引擎、全網信譽庫對威脅進行防御。
終端主機被入侵攻擊,導致感染勒索病毒或者挖礦病毒,其中大部分攻擊是通過暴力破解的弱口令攻擊產生的。EDR主動檢測暴力破解行為,并對發現攻擊行為的IP進行封堵響應。針對Web安全攻擊行為,則主動檢測Web后門的文件。針對僵尸網絡的攻擊,則根據僵尸網絡的活躍行為,快速定位僵尸網絡文件,并進行一鍵查殺。
進行關聯檢測、取證、響應、溯源等防護措施,與AC產品進行合規認證審查、安全事件響應等防護措施,形成應對威脅的云管端立體化縱深防護閉環體系。
2.3 第三道防線-目標系統防護技戰法
本次攻防演練目標系統為資金管理系統及PLM系統,兩個系統安全防護思路及策略一致,通過APDRO模型及安全策略調優達到目標系統從技術上不被攻破的目的。
2.3.1 網絡層面
在網絡層面為了防止來自服務器群的橫向攻擊,同時針對業務系統進行有針對性的防護,通過部署在目標系統邊界的下一代防火墻對這些業務信息系統提供安全威脅識別及阻斷攻擊行為的能力。
同時通過增加一臺VPN設備單獨目標系統,確保對目標系統的訪問達到最小權限原則。
子公司及辦公樓訪問目標系統,需要通過登錄新建的護網專用VPN系統,再進行目標系統訪問,并通過防火墻實現多重保障機制。
系統多因子認證構建
為了保證攻防演練期間管理人員接入資金管理系統的安全性,接入資金管理系統時,需要具備以下幾項安全能力:一是用戶身份的安全;二是接入終端的安全;三是數據傳輸的安全;四是權限訪問安全;五是審計的安全;六是智能終端訪問業務系統數據安全性。
因此需要對能夠接入資金管理系統的用戶進行統一管理,并且屏蔽有風險訪問以及不可信用戶;使用專用SSL VPN對資金管理系統進行資源;為需要接入資金管理系統的用戶單獨創建SSL VPN賬號,并開啟短信認證+硬件特征碼認證+賬戶名密碼認證,屏蔽所有不可信任用戶訪問,對可信用戶進行強管控。
對接入的可信用戶進行強管控認證仍會存在訪問風險,因此需要邊界安全設備進行邊界安全加固。
系統服務器主機正常運行是業務系統正常工作的前提,服務器可能會面臨各類型的安全威脅,因此需要建設事前、事中、事后的全覆蓋防護體系:
l 事前,快速的進行風險掃描,幫助用戶快速定位安全風險并智能更新防護策略;
l 事中,有效防止了引起網頁篡改問題、網頁掛馬問題、敏感信息泄漏問題、無法響應正常服務問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統掃描等攻擊;
l 事后,對服務器外發內容進行安全檢測,防止攻擊繞過安全防護體系、數據泄漏問題。
同時,為了保證安全威脅能夠及時被發現并處置,因此需要構建一套快速聯動的處理機制:本地防護與整體網絡聯動、云端聯動、終端聯動,未知威脅預警與防護策略,實時調優策略;深度解析內網未知行為,全面安全防護;周期設備巡檢,保障設備穩定健康運行;云端工單跟蹤,專家復審,周期性安全匯報;通過關聯全網安全日志、黑客行為建模,精準預測、定位網絡中存在的高級威脅、僵尸主機,做到實時主動響應。
在業務系統交換機與匯聚交換機之間部署下一代防火墻,根據資產梳理中收集到的可信用戶IP、端口號、責任人等信息,在下一代防火墻的訪問控制策略中開啟白名單,將可信用戶名單添加到白名單中,白名單以外的任何用戶訪問業務系統都會被拒絕,保證了區域內的服務器、設備安全。
2.3.2 應用層面
下一代防火墻防病毒網關的模塊可實現各個安全域的流量清洗功能,清洗來自其他安全域的病毒、木馬、蠕蟲,防止各區域進行交叉感染;
下一代防火墻基于語義分析技術提供標準語義規范識別能力,進一步還原異變的web攻擊;應用AI人工智能,基于海量web攻擊特征有效識別未知的web威脅。基于AI構建業務合規基線,基于廣泛的模式學習提取合規的業務操作邏輯,偏離基線行為的將會被判定為web威脅,提升web威脅識別的精準度。
下一代防火墻以人工智能SAVE引擎為WEB應用防火墻的智能檢測核心,輔以云查引擎、行為分析等技術,使達到高檢出率效果并有效洞悉威脅本質。威脅攻擊檢測、多維度處置快速響應,有效解決現有信息系統安全問題。
目前通號服務器區安全建設存在以下問題一是以邊界防護為核心,缺乏以整體業務鏈視角的端到端的整體動態防護的思路;二以本地規則庫為核心,無法動態有效檢測已知威脅;三是沒有智能化的大數據分析能力,無法感知未知威脅;四是全網安全設備之間的數據不能共享,做不到智能聯動、協同防御。
在保留傳統安全建設的能力基礎上,將基于人工智能、大數據等技術,按照“業務驅動安全”的理念,采用全網安全可視、動態感知、閉環聯動、軟件定義安全等技術,建立涵蓋數據安全、應用安全、終端安全等的“全業務鏈安全”。
為了保證訪問資金管理系統訪問關系及時預警及安全可視化,需要將訪問目標系統的所有流量進行深度分析,及時發現攻擊行為。
在在業務系統交換機旁路部署潛伏威脅探針,對訪問資金管理系統的所有流量進行采集和初步分析,并實時同步到安全態勢感知平臺進行深度分析,并將分析結果通過可視化界面呈現。
2.3.3 主機層面
下一代防火墻通過服務器防護功能模塊的開啟,可實現對各個區域的Web服務器、數據庫服務器、FTP服務器等服務器的安全防護。防止黑客利用業務代碼開發安全保障不利,使得系統可輕易通過Web攻擊實現對Web服務器、數據庫的攻擊造成數據庫信息被竊取的問題;
下一代防火墻通過風險評估模塊對服務器進行安全體檢,通過一鍵策略部署的功能WAF模塊的對應策略,可幫助管理員的實現針對性的策略配置;
利用下一代防火墻入侵防御模塊可實現對各類服務器操作系統漏洞(如:winserver2003、linux、unix等)、應用程序漏洞(IIS服務器、Apache服務器、中間件weblogic、數據庫oracle、MSSQL、MySQL等)的防護,防止黑客利用該類漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題;
針對系統的服務器主機系統訪問控制策略需要對服務器及終端進行安全加固,加固內容包括但不限于:限制默認帳戶的訪問權限,重命名系統默認帳戶,修改帳戶的默認口令,刪除操作系統和數據庫中過期或多余的賬戶,禁用無用帳戶或共享帳戶;根據管理用戶的角色分配權限,實現管理用戶的權限分離,僅授予管理用戶所需的最小權限;啟用訪問控制功能,依據安全策略控制用戶對資源的訪問;加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。
通過終端檢測響應平臺的部署,監測服務器主機之間的東西向流量,開啟定時查殺和漏洞補丁、實時文件監控功能,限制服務器主機之間互訪,及時進行隔離防止服務器主機實現并橫向傳播威脅。并且通過攻擊鏈舉證進行攻擊溯源。
2.4 攻防演練-檢測與響應技戰法
2.4.1 預警分析
通過7*24小時在線的安全專家團隊和在線安全監測與預警通報平臺,即可對互聯網業務進行統一監測,統一預警。云端專家7*24小時值守,一旦發現篡改、漏洞等常規安全事件,即可實時進行處置。對于webshell、后門等高階事件,可以及時升級到技術分析組進行研判,一旦確認,將會實時轉交應急響應組進行處置。
監測與相應組成員實時監控安全檢測類設備安全告警日志,并根據攻擊者特征分析入侵事件,記錄事件信息,填寫文件并按照流程上報。
若同一來源IP地址觸發多條告警,若觸發告警時間較短,判斷可能為掃描行為,若告警事件的協議摘要中存在部分探測驗證payload,則確認為漏洞掃描行為,若協議摘要中出現具有攻擊性的payload,則確認為利用漏洞執行惡意代碼。
若告警事件為服務認證錯誤,且錯誤次數較多,認證錯誤間隔較小,且IP地址為同一IP地址,則判斷為暴力破解事件;若錯誤次數較少,但超出正常認證錯誤頻率,則判斷為攻擊者手工嘗試弱口令。
2.4.2 應急處置
應急處置組對真實入侵行為及時響應,并開展阻斷工作,協助排查服務器上的木馬程序,分析攻擊者入侵途徑并溯源。
安全事件的處置步驟如下:
(1)根據攻擊者入侵痕跡及告警詳情,判斷攻擊者的入侵途徑。
(2)排查服務器上是否留下后門,若存在后門,在相關責任人的陪同下清理后門。
(3)分析攻擊者入侵之后在服務器上的詳細操作,并根據相應的安全事件應急處置措施及操作手冊展開應對措施。
(4)根據排查過程中的信息進行溯源。
(5)梳理應急處置過程,輸出安全建議。
【關鍵詞】網絡安全;中毒;家庭網絡用戶
隨著互聯網在家庭的普及,家庭網絡安全越來越受到用戶的注意和重視。家庭網絡安全主要表現在兩個方面,一個是個人電腦中毒,另一個是被非法用戶入侵。個人以為可以從“內”和“外”兩個方面來加以解決。
首先從“內”的方面來說。“內”是指用戶本身,也就是說用戶在使用計算機時應該注意的問題,防止由于自己的疏忽大意而造成損失。主要包括:(1)安裝一些必要的軟件,主要是防火墻、殺毒、防木馬等安全軟件。(2)要有一個安全的工作習慣。可以先假定幾項活動是安全的,其余的活動都是不安全的,并采取防病毒措施。(3)積極備份。可采取完全備份和追加備份的方法來實現。(4)積極防范。設置好開機密碼,不要讓別人隨便使用你的計算機,重要的文檔或盤符加上密碼保護。家里有小孩的要經常提醒小孩該如何安全使用計算機,告訴他如何使用殺毒軟件,哪些網站不能打開,不能隨便下載東西,需要下載可以讓大人來完成等等,最好是小孩上機的開始幾年大人始終在邊上指導,一旦發現錯誤的操作步驟及時糾正。(5)打好補丁。因為在軟件設計中,經常會出現一些意想不到的錯誤和漏洞,給程序帶來安全和穩定性方面的隱患。因此,經常保持對軟件的更新,是保證系統安全的一種最簡單也是最直接的辦法。
以上幾種方法只是網絡安全方面常用的方法,實際上保證安全從“內”的方面來說還包括很多方面,如操作不當造成軟硬件損壞等,當然,這些就不僅僅是網絡安全方面的了。實際上,只要用戶在以上所說的五個方面如果做得不錯的話,基本上網絡安全方面可以放60%以上的心了。只不過許多用戶在這些方面一般不太在意或根本不在意,結果造成數據的損失。這是十分愚蠢的。那“外”又是指哪些呢?
我以為主要是指由外界而來的攻擊,一般是指黑客的攻擊。要防止黑客的攻擊,方法是挺多的,有些方法比較復雜,一般用戶由于不是專業人員,要掌握這些手段不太容易。我在這里介紹幾種一般簡單、容易上手,同時效果也不錯的方法供大家參考。
一、隱藏IP地址
有兩種隱藏IP地址的方法,一是使用服務器。服務器的原理是在客戶機(用戶上網的計算機)和遠程服務器(如用戶想訪問遠端www服務器)之間架設一個“中轉站”,當客戶機向遠程服務器提出服務要求后,服務器首先截取用戶的請求,然后服務器將服務請求轉交遠程服務器,從而實現客戶機和遠程服務器之間的聯系。
很顯然,使用服務器后,其它用戶只能探測到服務器的IP地址而不是用戶的IP地址,這就實現了隱藏用戶IP地址的目的,保障了用戶上網安全。提供免費服務器的網站有很多,你也可以自己用獵手等工具來查找。二是使用一些隱藏IP的軟件,如賽門鐵克公司的Norton Internet Security就有這種功能,不論黑客使用哪一個IP掃描工具或PING工具,都會告訴你根本沒有這個IP地址,這樣黑客就無法攻擊你的計算機了。
二、檢測是否有不速之客連接到我的電腦
可以利用Windows自帶的文件Nbtstat來檢測。操作方法如下:
在Windows系統的運行中輸入Cmd,在出現的命令窗口中輸入:nbtstat –s,從命令執行結果中可以看出本機的IP地址,與你的電腦相連的其他計算機的IP地址以及本機與其他計算機、其他計算機與本機的連接情況。如果在命令窗口中輸入:nbtstat –n,則顯示出一個會話列表,包含你上網用的IP地址與連接使用的端口以及連接的對方IP地址與連接使用的端口。如果想了解更多的Nbtstat的使用方法,直接輸Nbtstat回車即可。
三、關閉不必要的端口
黑客在入侵時常常會掃描你的計算機端口,如果安裝了端口監視程序(比如Netwatch),該監視程序則會有警告提示。如果遇到這種入侵,可用工具軟件關閉用不到的端口,比如用“Norton Internet Security”關閉用來提供網頁服務的80和443端口,其他一些不常用的端口也可關閉。
四、更換管理員帳戶
Administrator帳戶擁有最高的系統權限,一旦該帳戶被人利用,后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator帳號。首先是為Administrator帳戶設置一個強大復雜的密碼,然后我們重命名Administrator帳戶,再創建一個沒有管理員權限的Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員權限,也就在一定程度上減少了危險性。
五、取消文件夾隱藏共享
如果你使用了Windows XP系統,打開從“控制面板/性能維護/管理工具/計算機管理“窗口下選擇”系統工具/共享文件夾/共享”,就可以看到硬盤上的每個分區名后面都加了一個“$”,在后面說明部分也可以看到默認共享。只要鍵入“\\計算機名或者IP\C$”,系統就會詢問用戶名和密碼,遺憾的是大多數個人用戶系統Administrator的密碼都為空,入侵者可以輕易看到C盤的內容,這就給網絡安全帶來了極大的隱患。因此需要取消文件夾隱藏共享。怎么來消除默認共享呢?(下轉第192頁)
方法很簡單,打開注冊表編輯器,進入“HKEY_LOCAL_M
ACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\parameters”,新建一個名為“AutoShareWKs”的雙字節值,并將其值設為“0”,然后重新啟動電腦,這樣共享就取消了。
六、拒絕惡意代碼
惡意網頁成了寬帶的最大威脅之一。一般惡意網頁都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼就相當于一些小程序,只要打開該網頁就會被運行。所以要避免惡意網頁的攻擊只要禁止這些惡意代碼的運行就可以了。可以采用如下方法:(1)使用工具軟件,如YAHOO助手里面有“安全防護”功能,可以屏蔽惡意代碼,還可使用“反間諜專家”提供的超強系統免疫功能,確保操作系統不再受到任何以知的侵擾,并且能夠快速恢復被惡意代碼篡改的IE瀏覽器。(2)運行IE瀏覽器,點擊“工具/Internet選項/安全/自定義級別”,將安全級別定義為“安全級-高”,對“ActiveX控件和插件”中第2、3項設置為“禁用”,其它項設置為“提示”,之后點擊“確定”。這樣設置后,當你使用IE瀏覽網頁時,也可有效避免惡意網頁中惡意代碼的攻擊。
七、把Guest賬號禁用
有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權限的。如果不想把自己的計算機給別人當玩具,那還是禁止的好。Windows XP系統中打開控制面板,單擊“用戶帳戶/更改帳戶”,彈出“用戶帳戶”窗口。在點“禁用來賓帳戶”即可。
關鍵詞: 計算機網絡;安全防護;發展趨勢;分析
計算機網絡安全的威脅因素
1.1 操作系統存在安全問題
計算機的每個操作系統和網絡軟件都會存在一定的缺陷或者漏洞。而一些別有用心的黑客就會利用這些漏洞通過網絡對用戶的計算機進行攻擊,竊取信息或者進行其他攻擊行為。
1.2 用戶的安全意識不強
在計算機網絡狀態下,用戶要使用軟件就需要設置一定的帳號密碼,而一些用戶則缺乏自我信息安全的保護意識,隨意地將自己的帳號及其他個人信息轉借給他人,或者與他人共享使用,這些都會對網絡安全帶來威脅。
1.3 病毒的入侵
病毒是程序編制者在計算機程序中人為地插入的破壞計算機功能或者數據,影響計算機軟硬件正常運行且能夠進行快速自我復制的一段程序代碼或者計算機指令。由于病毒具有寄生性、觸發性、隱蔽性、破壞性、傳染性等特點,所以我們在計算機的日常使用過程中,一定要提高對病毒的防范意識,并做好病毒的查殺工作。
1.4 防火墻的脆弱性
計算機的安全配置不當就會出現安全漏洞,雖然防火墻能夠抵御部分侵犯行為,但是防火墻軟件一旦出現設備不當的情況,就會導致防火墻喪失其作用。此外,如果內部的人與外部的人聯合起來,那么再強的防火墻也會失去其優勢,無法保護計算機免受攻擊。目前,隨著計算機技術的發展,尤其是防火墻破解技術的發展,使得防火墻脆弱性的缺點更加明顯。
1.5 黑客的攻擊
黑客是對計算機網絡安全造成威脅的一個重要因素,他們常利用網絡存在的漏洞或者潛入機房,從事盜取計算機系統資源、篡改系統數據、編制計算機病毒以及破壞計算機硬件設備等行為,從而對計算機安全造成不良影響。
2 計算機網絡的安全防護
2.1 主要對策
2.1.1 建立健全網絡安全防護管理機制。建立切實可行的網絡安全管理運行機制,是規范系統管理員以及用戶行為的保證。只有這樣,才能加強系統管理員和用戶的素質和職業道德建設,促使其對重要的技術數據進行備份,并逐漸形成良好的習慣,自覺抵制各種威脅計算機網絡安全的行為,促進計算機網絡安全管理機制地科學發展。
2.1.2 合理規范訪問控制。網絡安全防護可以通過控制網絡訪問來實現,其主要目的是限制并約束網絡資源非法竊取及盜用的行為。經過實踐,我們發現控制網絡訪問是實現網絡安全的重要策略之一。從廣義上來講,我們可以通過網絡權限控制、入網訪問控制、屬性控制以及目錄級控制等手段來合理規范訪問控制。
2.1.3 數據庫的維護與備份。系統管理員在平時應做好數據庫數據的維護及備份工作,一旦發生數據突發性丟失或損毀,可以通過恢復數據庫的方式,來降低損失。對系統數據的備份,通常采用僅對數據庫備份、備份增額以及備份事物日志和數據庫三種方法來實現。
2.1.4 大力推廣密碼技術。大力推廣密碼技術是實現計算機信息網絡安全的重要手段,通過密碼技術可以為計算機信息安全提供可靠的安全保證。對于密碼簽認和身份識別是密碼進行驗證當前保證信息完整性、安全性的主要方式之一。密碼技術主要包括密碼古典機制、私鑰密碼機制、數字簽名體制、公鑰密碼機制和密鑰機制管理等。
2.1.5 切斷病毒的傳播渠道。對于被病毒感染的計算機和硬盤應進行徹底的查毒和殺毒工作。在日常使用中,對于來源可疑的文件不要輕易下載,此外,還應限制移動硬盤、U盤等移動設備的使用,以此來保護計算機受到病毒的侵害。
2.1.6 強化網絡勘查反病毒的能力。在計算機日常使用過程中,我們可以通過安裝安全網絡防火墻來實現對病毒的隔離和阻隔,同時還可實現即時過濾。安裝的安全網絡防火墻可以對計算機和網絡中的服務器上運行的程序、文件、數據等進行定期的檢測和掃描,通過在工作站上增加防病毒卡,來加強網絡文件和目錄訪問權限的設置。
2.2 加強防范,實現綜合管理
2.2.1 管理層面上的對策。計算機網絡安全環境的防護工作,除了需要加強技術安全防護措施外,還應逐步加強其運行管理能力以及計算機相關法律法規的完善工作,并增強現有法律的執行力度,只有二者緊密結合,才能真正優化網絡環境,實現網絡安全。
關鍵詞:計算機網絡;安全防護;發展
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 11-0000-02
隨著信息化時代的來臨和科技的高速發展,計算機網絡的用戶量在不斷地上升,人們的工作和生活已經越來越離不開計算機網絡,計算機網絡的確給人們帶來了巨大的方便和利益,然而,隨著計算機網絡的發展,用戶人數越來越多,用戶的一些個人信息和隱私、以及公司內部重要資料數據甚至國家政府的機密等信息也就在計算機網絡上公開了,計算機網絡具有很強的開放性和互聯性,這些信息對于一些電腦黑客和不法分子來說,獲取簡直輕而易舉,信息若被他們獲取,將會帶來嚴重的后果;再者,計算機病毒在互聯網上的傳播速度將會越來越快,危害性也越來越大,病毒的傳播與蔓延,將會帶來更大的問題,嚴重者甚至影響國家安全。因此,必須要特別重視而且要全面做好計算機網絡的安全防護與發展趨勢安全分析。
一、威脅計算機網絡安全的因素
(一)存在一定的無意的人為因素
人為的因素主要是部分的電腦操作者操作不當,比如說沒有進行正常的安全配置,威脅操作系統,沒有較強的計算機安全防護意識,很多時候將自己的個人信息隨意發送,這有很大可能將威脅到計算機網絡安全。
(二)操作系統存在一定的不安全性
每個操作系統都存在一定的不安全性,操作系統支持數據的交換與連接,這對網絡安全來說是一個漏洞;操作系統還可以創建進程,然而這些進程軟件就是系統進程,黑客不法分子經常就利用這些進程軟件竊取信息;再者,操作系統還支持在互聯網中傳送文件,文件傳輸過程中很有可能附帶一些可執行文件,是人為編寫的,一旦出現漏洞被不法分子利用,會對計算機網絡系統帶來很大的破壞。
(三)計算機病毒的威脅和惡意程序的破壞
由于計算機網絡的互聯性與廣泛性,計算機病毒的傳播速度和威脅力越來越大,病毒其實是一些破壞計算機數據或功能、阻礙計算機正常運行的,而且還可以自我復制的一段計算機指令或代碼,而且病毒還有持續時間特別長、危害性特別大、傳染性特別高的特點,病毒的傳播途經也特別廣,一些光盤和移動硬盤以及其他的硬件設施都是病毒傳播的途徑,一些惡意的程序如木馬程序就是利用一些程序漏洞竊取信息的惡意程序,具有一定的自發性和隱蔽性。
(四)計算機網絡安全技術人員和用戶安全意識不強,技術人員能力有限
很多用戶缺乏個人信息的安全保護意識,對于重要的信息實行共享、隨意轉借;技術人員水平有限,不能夠建立一個很好的安全機制、提出安全策略。
(五)黑客的惡意攻擊
黑客對計算機網絡安全帶來巨大的威脅,他們通常能夠利用一些軟件來進行網絡上的攻擊,他們經常竊取和篡改計算機中重要的系統數據和資源,還能自己編制病毒破壞計算機系統,對計算機的安全防護帶來巨大的影響和威脅。
二、計算機網絡安全防護的主要對策
(一)要健全計算機網絡安全管理的防護機制
建立健全計算機網絡安全防護機制,是規范計算機用戶和管理員行為的保障,建立健全網絡安全管理機制,有利于提高用戶和計算機系統管理員的職業水準和專業素質,有利于使計算機操作人員形成良好的習慣,促使他們及時的對數據資料進行備份,促進計算機網絡安全防護的工作能夠順利開展。
(二)要重視加強防火墻技術
采用防火墻技術是一種有效地手段,防火墻是一種網絡的屏障[1],因為黑客要想竊取重要的機密與信息必須進入計算機內網,而要想訪問內網就必須通過連接外網來實現,采用防火墻技術可以有效地防止這一現象發生,而且比較經濟。一般把防火墻安裝在內部網絡的出口,這是一個最佳的位置,可以實現內網與外網之間的訪問控制,防火墻具有網址轉換功能,可以使外網連接都要經過保護層,可以對外網的狀態和活動進行監聽,對一些非法入侵的活動進行及時的控制和分析。而且可以通過防火墻保護層的只有被授權的活動,可以起到很大的作用,促使內網重要信息機密免受入侵。
(三)重視加強數據加密技術
數據加密技術簡單來說就是通過使用一些密碼或代碼將一些重要的信息或數據從可以理解明白的明文方式變成一種錯亂的不能理解明白的密文方式,在存儲體內或傳送過程中對信息進行保護,防止以明文方式丟取信息,確保信息安全。數據的加密技術包括數據傳送、數據存儲、密鑰和數據的完整性四項[2],各個部分都能對數據信息進行全方位的安全性保護,有轉換加密、增加密碼、身份驗證審核、加密密鑰、端加密、還有口令、身份、密鑰的鑒別,包括最后的自動解密。密鑰在各個環節的管理的好壞常常決定數據資料的保密安全。
(四)重視加強數據的備份工作
及時對一些重要的數據資料進行備份工作,通過存儲技術將計算機中的重要的需要被保護的數據用其他的存儲設施,如移動硬盤或者光盤進行轉存,以防系統崩潰時數據被破壞或者丟失,即使數據被破壞或丟失后,也可以依靠備份來進行數據的恢復,只是在備份時,不要將源數據和備份數據放在一個服務器之中,另找一個安全的地方進行存放。要切實建立健全數據備份與恢復機制。
(五)進行相關政策法規的保障,同時提高計算機操作人員與管理人員的專業能力與素養,提高安全防護意識
頒布相關的法律法規保障網絡安全,加強管理,同時重視計算機網絡的安全意識教育,再者要提高技術人員的專業能力與素養,對于一些基本的網絡安全防護措施要很熟悉而且要做到位,及時的對新的技術人員進行培訓與輔導,加強安全防護管理的意識,不斷提高自身的專業技能與專業素養。
三、計算機網絡安全防護的發展
對于計算機網絡安全防護的發展,我們需要更加的完善網絡安全防護措施,在不斷進行完善更新的基礎上采用更為先進和主動的防護措施,化被動為主動,我們可以采用“云安全”技術,云安全這項新的技術可以大范圍的對網絡中的異常的軟件行為進行檢測,獲取關于病毒、木馬等惡意程序的最新消息,并通過服務端進行自動的處理分析,然后給每一位客戶發送解決方案。從而整個計算機互聯網絡就像是一個巨大的殺毒軟件[3]。采用“云安全”等新技術會讓計算機網絡安全防護變得更有力。
四、小結
計算機互聯網絡是一個龐大而又復雜的信息網絡,在這個信息網絡之中,做好必要的安全防護措施是很重要的,計算機網絡涉及的領域相當的廣泛,如果不進行計算機網絡的安全防護,那么一旦在計算機網絡中一個領域中出現安全問題,那么其他的領域也會受到連鎖的影響,這樣會導致全社會各個領域的工作受到嚴重阻礙,甚至癱瘓,造成巨大的經濟損失和人員的恐慌,有時甚至會影響到軍事領域,威脅到國家的安全。因此全面認識到計算機網絡中的不安全因素,及時提出實施安全防護措施,及時的讓新技術加盟,我們才能夠更好地確保計算機網絡的安全,促進人們正常的學習、工作、生活,促進經濟平穩迅速發展,確保國家安全。
參考文獻:
[1]楊艷杰.計算機網絡的安全防護與發展[J].電腦編程技巧與維護,2011,56(12):12-16
關鍵詞:計算機;網絡安全維護;對策
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2010) 09-0000-01
The Computer Network Security Maintenance Method
Zhang Qing
(Chuzhou Highway Transportation Administration,Chuzhou239000,China)
Abstract:This paper summarizes the characteristics of computer network security threats,and then summarizes the impact factors of network security,based on the computer network security maintenance methods and strategies.
Keywords:Computer;Network security;Countermeasures
一、計算機網絡安全的概述
計算機網絡系統安全主要包括安全性、保密性、完整性三個方面。安全性,包括內部安全和外部安全。前者是指在系統的軟件、硬件及周圍的設施中實現的。后者主要是人事安全,是對某人參與計算機網絡系統工作和這位工作人員接觸到的敏感信息是否值得信賴的一種審查過程。而保密性是指通過加密對傳輸過程中的數據進行保護的方法,又是對存儲在各種媒體上的數據加以保護的一種有效的手段。完整性技術是保護計算機網絡系統內軟件(程序)與數據不被非法刪改的一種技術手段,它可分為數據完整性和軟件完整性。計算機網絡安全機制的基本任務是訪問控制:即授權、確定訪問權限、實施訪問權限、計算機網絡審計跟蹤。
二、影響計算機網絡安全的因素
(一)軟件后門
任何的系統軟件和應用軟件都不是百分之百的無缺陷和無漏洞的,它缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。
(二)操作不當
操作員安全配置不當造成的安全漏洞,用戶安全意識不強。用戶口令選擇不慎。用戶將自己的賬號隨意轉借他人或與別人共享等,都會對網絡安全帶來威脅。
(三)病毒攻擊
常見的病毒攻擊方式:1.密碼破解:是先設法獲取對方機器上的密碼文件,然后再設法運用密碼破解工具獲得密碼。2.數據篡改:是截獲并修改網絡上特定的數據包來破壞目標數據的完整性。3.網絡竊聽:是直接或間接截獲網絡上的特定數據包并進行分析來獲取所需信息。4.非法入侵,是指黑客利用網絡的安全漏洞,不經允許非法訪問內部網絡或數據資源,從事刪除、復制甚至毀壞數據的活動,一旦重要數據被竊將會給人們造成無法挽回的損失。5.地址欺騙,是攻擊者將自身IP偽裝成目標機器信任的機器的IP地址,以此來獲得對方的信任。6.垃圾郵件,主要表現為黑客利用自己在網絡上所控制的計算機向郵件服務器發送大量的垃圾郵件,或者利用郵件服務器把垃圾郵件發送到其他服務器上。
(四)認識不足
人們對網絡安全問題的認識和網絡的先天性不足,網絡一般基于Internet相連。Internet的互聯性和開放性給社會帶來極大效益的同時,入侵者也得到了更多的機會。因為Internet本身缺乏相應的安全機制,不對機密信息和敏感信息提供保護。
三、計算機網絡的安全維護策略
(一)物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的主要問題。目前主要防護措施有兩類:一類是對傳導發射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護,這類防護措施又可分為以下兩種:一是采用各種電磁屏蔽措施,二是干擾的防護措施。
(二)網絡訪問控制策略
網絡訪問控制是網絡安全和實現訪問控制策略的第一層控制,主要通過一定的技術手段識別網絡用戶的身份,并依據不同用戶身份,給予不同的網絡訪問權限或阻止其進入使用單位網絡系統。網絡訪問控制策略不僅能阻止網絡用戶的非法訪問,而且能夠在很大程度上減少病毒及惡意代碼的危害。網絡訪問控制主要包括防火墻、訪問控制列表、劃分VLAN、IP從AC端口綁定等技術手段。
(三)信息加密與用戶授權訪問
數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法,這種變換是受“密鑰”控制的。在傳統的加密算法中,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,稱為“對稱密鑰算法”。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息。比較著名的常規密碼算法有:美國的DES及其各種變形,歐洲的IDEA;日本的FEAL-N。DES是對稱加密算法中最具代表性的算法。如果加密/解密過程各有不相干的密鑰,構成加密/解密的密鑰對,則稱這種加密算法為“非對稱加密算法”或稱為“公鑰加密算法”,相應的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發送給私鑰擁有者。私鑰是保密的,用于解密其接收的公鑰加密過的信息。
(四)網絡安全管理策略
在網絡安全中,除了采用上述技術措施之外,加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。
四、結束語
計算機網絡的安全與人們的生活息息相關,安全的計算機網絡系統不僅與系統管理員的業務素養有關,而且和每個使用者的安全操作也有關系。因此,認清網絡的脆弱性和潛在威脅,采取有力的安全策略,對于保障網絡的安全性十分重要。
參考文獻:
