前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全与网络安全范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
1.1设计目标网络安全检测系统需要对网络中的用户计算机和网络访问行为进行审计,检测系统具有自动响应、自动分析功能。自动相应是指当系统发现有用户非法访问网络资源,系统将自动阻止,向管理员发出警示信息,并记录非法访问来源;自动分析是根据用户网络应用时应用的软件或者网址进行分析,通过建立黑名单功能将疑似威胁的程序或者方式过滤掉。此外,系统还具有审计数据自动生成、查询和系统维护功能等。
1.2网络安全检测系统架构网络安全检测系统架构采用分级式设计,架构图如。分级设计网络安全检测系统具有降低单点失效的风险,同时还可以降低服务器负荷,在系统的扩容性、容错性和处理速度上都具有更大的能力。
2系统功能设计
网络安全检测系统功能模块化设计将系统划分为用户身份管理功能模块、实时监控功能模块、软件管理模块、硬件管理模块、网络管理和文件管理。用户身份管理功能模块是实现对网络用户的身份识别和管理,根据用户等级控制使用权限;实时监控模块对在线主机进行管理,采用UDP方式在网络主机上的检测程序发送监控指令,检测程序对本地进行列表进行读取,实时向服务器反馈信息;软件管理模块是将已知有威胁的软件名称、参数等纳入管理数据库,当用户试图应用此软件时,检测系统会发出警告或者是拒绝应用;硬件管理模块对网络中的应用硬件进行登记,当硬件非法变更,系统将发出警告;网络管理模块将已知有威胁网络IP地址纳入管理数据库,当此IP访问网络系统时,检测系统会屏蔽此IP并发出警告;文件管理模块,对被控计算机上运行的文件进行实时审计,当用户应用的文件与系统数据库中非法文件记录匹配,则对该文件进行自动删除,或者提示用户文件存在风险。
3数据库设计
本文所设计的网络安全检测系统采用SQLServer作为数据库,数据库中建立主体表,其描述网络中被控主机的各项参数,譬如编号、名称、IP等;建立用户表,用户表中记录用户编号、用户名称、用户等级等;建立网络运行状态表,其保存网络运行状态结果、运行状态实际内容等,建立软件、硬件、信息表,表中包含软件的名称、版本信息、容量大小和硬件的配置信息等;建立软件、网址黑名单,对现已发现的对网络及主机具有威胁性的非法程序和IP地址进行记录。
4系统实现
4.1用户管理功能实现用户管理功能是提供网络中的用户注册、修改和删除,当用户登录时输出错误信息,则提示无此用户信息。当创建用户时,系统自动检测注册用户是否出现同名,如出现同名则提示更改,新用户加入网络应用后,网络安全检测系统会对该用户进行系统审核,并将其纳入监管对象。系统对网络中的用户进行监控,主要是对用户的硬件资源、软件资源、网络资源等进行管控,有效保护注册用户的网络应用安全。
4.2实时监控功能实现系统实时监控功能需要能够实时获取主机软硬件信息,对网络中用户的软件应用、网站访问、文件操作进行检测,并与数据库中的危险数据记录进行匹配,如发现危险则提出警告,或者直接屏蔽危险。
4.3网络主机及硬件信息监控功能实现网络主机及硬件信息监控是对网络中的被控计算机系统信息、硬件信息进行登记记录,当硬件设备发生变更或者网络主机系统发生变化,则安全检测系统会启动,告知网络管理人员,同时系统会对网络主机及硬件变更的安全性进行判定,如发现非法接入则进行警告并阻止连接网络。
5结束语
一、监狱信息化网络与信息安全培训调研
(一)培训调查内容
根据地区差异,我们选择有代表性的省份进行调查。本次调查共涉及16个省(市)、自治区,既包括经济发达的省份和直辖市,比如山东、广东、浙江和天津;也包括经济处于中等的内陆省份,比如山西、四川、河南、安徽、湖北、湖南、辽宁等省份;还包括经济相对低的西、北部省份,比如云南、甘肃、贵州、青海等省份。本次调查主要针对监狱在网络与信息安全方面的管理、监狱网络建设中最关心的网络安全问题、监狱网络采用的安全措施、监狱信息化网络与信息安全的软硬件配置、监狱干警对网络与信息安全的重视程度、监狱干警对网络与信息安全培训内容要求、监狱每年在网络与信息安全培训方面的预算、培训采取的方式、组织培训的机构、目前培训存在的问题等内容。
(二)培训调查结果
1.监狱在网络与信息安全方面的管理。通过对调查问卷的分析和相关监狱一线干警人员的座谈,监狱信息化网络与信息安全培训调查情况如下:大部分监狱制定了监狱网络与信息安全管理制度,确定了安全组织和责任人,并使用了防火墙和防病毒软件;干警最关心的网络安全问题是数据安全、防病毒安全、存储安全管理,而对安全认证关心最少;大部分监狱都采用物理隔离来保证监狱外网及内网中的信息安全,但各监狱部署入侵检测(IDS)和使用数据传输安全相对较少;监狱信息化建设中采用的网络安全技术主要是加密和防病毒软件,而电子签名的应用相对较少。
2.监狱在网络与信息安全方面的软硬件配置。目前监狱网络与信息安全人员的规模较小,59%以上的监狱都是在5人以下,但是监狱网络中的计算机数量最多比例的是100-500台,平均下来可能要一个干警管理100台左右的计算机。这个工作量还是非常大的,因此监狱非常有必要扩大专业人才队伍,保障监狱信息化网络与信息安全。从监狱在网络安全设备上的投入可以看出监狱每年投入在10万以上的比例最高,也说明了大部分监狱已经认识到了网络与信息安全的重要性。
3.监狱信息化网络与信息安全培训现状。监狱干警普遍对网络与信息安全的需求强烈,而这其中,网络安全管理与维护、容灾备份与数据恢复尤为重要。监狱培训费用每年在3000元以上占样本空间的86%以上。监狱干警更希望在监狱内部进行培训,培训能理论联系实际,在培训中有针对性地解决实际工作中遇到网络与信息安全问题。目前由公司或专业培训机构及高校举办的培训占据了70%,由此可以说明这些是目前主要培训组织。需要注意的是仍然有34%的人没有参加过网络与信息安全培训,说明网络与信息安全的培训还可进一步深入挖掘。已参加的培训,主要还是侧重管理、理论、政策、产品介绍,而真正用于网络与信息安全实践技能的培训还很少。同时,系统化、层次化的培训也非常少,培训中涉及到的这两方面的问题正是我们课题组主要研究的问题。
二、监狱信息化网络与信息安全数字化培训体系的构建
(—)监狱信息化网络与信息安全培训目标
近年来,国内外一些教育机构和专业公司研究开发了一系列网络与信息安全教学培训体系[M],国际上主要包括BS7799、IS027000、CISSP、CISA、CIW、SANSGIAC等,国内主要有中国信息安全测评中心实施的CISP、公安部等结构的信息安全等级保护、启明星辰的VCSE等。这些培训大都注重理论,而实践不强,并且培训费用很高。培训后,把培训的内容转换为工作实践,还需要花很长时间。因此,研究基于职业导向的监狱信息化网络与信息安全培训需求,制定一套适合全国监狱信息化建设实际情况的监狱信息化网络与信息安全培训体系变得尤为重要而紧迫。
根据《全国监狱信息化建设规划》和全国监狱信息化建设实际情况,通常监狱干警应具有较强的信息安全意识,掌握网络与信息安全基础理论,能熟练运用网络与信息安全知识和技能完成较为复杂的网络与信息安全保障工作,能够独立解决网络与信息安全工作中出现的常见问题。为此,监狱信息化网络与信息安全干警应通过有规划的培训和学习,掌握网络与信息安全管理理论知识,具有较强的网络与信息安全实践动手能力、处理能力和应变能力。为此,本文制定了监狱信息化网络与信息安全培训目标,主要涵盖专业知识、专业技能和信息安全素养。
(二)监狱信息化网络与信息安全培训教学内容体系
通过对网络工程和信息安全专业教学目标的比较分析、归纳总结,结合司法部制定的《全国监狱信息化建设规划》、警察素质和其职业能力特点,以监狱信息安全干警的职业为导向,研究监狱干警在监狱信息化工作中的目标分工,制定各个工作环节所要达到的要求和应具备的职业技能,从而构建监狱信息化网络与信息安全培训教学内容体系。考虑到不同监狱信息化水平不一,监狱干警信息安全水平能力不一,因此本教学内容体系采取抽取式、模块化、层次化教学内容设计[5]8,各教学模块用Ml到M13表示,分别对应信息安全概念和法规、操作系统安全(Windows和Linux)、网络管理与组网、应用服务器安全、数据安全、恶意代码防范与处置、防火墙(Firewall)、入侵检测系统(IDS)、网络与信息安全渗透测试、密码学、信息安全审计、数据恢复与容灾备份。其中M1是基础模块,是后续模块的先导,M2到M13属于独立的教学模块,教学模块顺序和内容可由培训教师自行选定。根据信息化要求,将M1-M3模块定为初级水平;将M4-M7模块定为中级水平;将M8-M13模块定为高级水平。一般而言,只有初级通过了才可以参加中级的培训和考核,只有中级通过了才可以参加高级的培训和考核。监狱信息化网络与信息安全强调理论教学和实践教学相结合,二者融合贯通,因此在具体教学时,在课时安排上要有针对性。
(三)监狱信息化网络与信息安全培训教学考核与评价体系
监狱信息化网络与信息安全培训体系注重理论和实践相结合,强调二者融会贯通。因此考核方式为理论知识和实践技能,理论知识考试为闭卷考试,占总成绩的40%,实践技能考试占总成绩的60%。考虑到监狱信息化网络与信息安全数字培训体系的长期性和稳定性,理论考试一般通过在网络上部署考试服务器,建立考试题库,进行随机生成在线试卷,保证参加考试时,每一个学员考试试题的唯一性和相对稳定性,提高考试的权威性。通过调研,我们也发现有相当一部分培训学员对信息安全行业部门的权威认证是比较认可的,因此可以和相关行业部门建立合作,将他们的考核内容纳入到监狱信息化网络与信息安全数字培训体系的考核评价中,建立独立的考核模块,作为一个可选评价。
由于网络与信息安全是一个综合性的学科,所以要求相关从业人员必须具备丰富的网络与信息安全气囊理论知识,同时也有较强的实践动手能力和解决问题的能力,因此对实践要求的比重要大于理论知识,同时对不同岗位、不同知识技能设定不同的考核权重,以此来进行考核与评定。
<p style="text-align:center"
(四)监狱信息化网络与信息安全数字化培训体系的构建
建设监狱信息化网络与信息安全培训与交流网络平台是非常有必要的[6]。为此,重点需要抓好以下五方面工作。第一,通过该平台可以网络与信息安全培训课程通知,监狱干警可随时查询,根据自己的需要选择相关的培训课程。第二,通过该平台,监狱干警可在培训结束后,将工作中遇到的问题向培训老师请教,或者向同行业其他监狱干警请教,避免培训后仍然不能和工作相结合的问题。通过该平台加强全国各监狱干警之间的信息化交流,从而缩减各基层监狱之间已造成的数字鸿沟,为监狱信息化的建设与信息安全保障提供支持,提高技术人员水平,避免一些重复建设、促进信息化建设。第三,通过对监狱干警提问的内容进行整理,可以拓展培训中的实训内容,提高培训的效果。第四,通过在该网络平台上提供相关培训资料,实现了个性化培训和个性化服务[7],突破了以往固有的条件限制。这样,任何干警可以不受时间和地点限制,学习任意课程、任意章节,为监狱干警进行主动学习提供一个平台,实现了和短期培训互补。第五,通过吸引更多的IT公司为监狱信息化建设及其信息安全提供服务,该平台也将为上级领导及时了解最新的监狱信息化动态提供服务。
监狱信息化网络与信息安全数字化培训体系模型见图1所示。它以监狱信息化网络与信息安全培训与交流网络平台为依托,在此基础上将监狱信息化网络与信息安全培训目标、监狱信息化网络与信息安全培训教学内容、监狱信息化网络与信息安全培训教学组织与安排、监狱信息化网络与信息安全培训考核与评估互相衔接,建立起监狱信息化网络与信息安全数字化培训体系的一个维度。它按照监狱信息化网络与信息安全本身岗位的需要设定了M1-M13模块,构成了监狱信息化网络与信息安全数字化培训体系的第二个维度。对从事监狱信息化网络与信息安全干警的水平进行岗位绩效考核与评估,可依据他们所具有的网络与信息安全理论知识和实践技能,进行评定,设定初级、中级、高级三个层次,然后再针对上述岗位设定需要满足的技术和管理层次。这,构成了监狱信息化网络与信息安全数字化培训体系的第三个维度。
图1监狱信息化网络与信息安全数字化培训体系模型
通过建立开放性、数字化、应用性、行业性、抽取式、模块化、职业性的监狱信息化网络与信息安全数字化培训体系,构建了培训体系的长效机制,从而实现以学员为中心,教学内容与工作任务一体化、教学情境与工作环境一体化、理论教学与实践教学一体化、培训教师与行业管理一体化的多维度、多层次的培训。这,为监狱信息化建设的可持续性、网络与信息安全提供了重要的保障。
参考文献:
[1]吴爱英.2007年5月29日在全国监狱信息化建设工作会议上的讲话[N].新华日报,2007-05-30,(1).
[2]思源新创信息安全资讯公司.国外信息安全培训及认证现状和发展(上)[J].网络安全技术与应用,2004(11):12-14.
[3]思源新创信息安全资讯公司.国外信息安全培训及认证现状和发展(下)[J].网络安全技术与应用,2004(12):12-13.
[4]刘小平,宋建伟.国内信息安全培训发展浅析[J].信息安全与技术,2010(10):74-77.
[5]贾铁军,常艳,等.网络安全实用技术[M].北京:清华大学出版社,2011.
[6]王惠鹏,马国富,等.网络文化安全防范体系研究[J].重庆科技学院学报:社会科学版,2012(4):45-47.
【关键词】局域网;网络安全;网络防护
随着计算机信息技术的发展,网络已成为人们工作中不可缺少的工具。虽然IPv6技术和标准已经相对成熟,但是IPv4仍然是当前互联网的主要协议,IP地址资源紧缺使大多数企业单位仍然使用局域网的方式,通过NAT技术访问互联网。因此,局域网网络信息安全和系统安全建设就显得尤为重要。
1局域网网络信息安全存在的问题
1.1安全防护架构
完整的网络安全防护架构主要有由硬件、防火墙、漏洞扫描、网络防病毒系统等技术构筑一道安全屏障,并通过把不同的产品集成在同一个安全管理平台上,实现网络安全的统一、集中的管理。然而,目前大多数的局域网仅仅安装防火墙,造成网络安全架构不完善,加上局域网采用的技术比较简单,使局域网的很容易被攻击和盗取信息。
1.2系统漏洞
局域网系统漏洞主要包括网络设备硬件漏洞和用户计算机系统漏洞。完整的网络设备、计算机系统是由硬件和软件组成,网络硬件漏洞就是在网络设备硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。比如路由器系统存在BUG,访问控制规则设置存在错误等等。用户计算机系统漏洞是指用户没有及时的对系统漏洞进行更新,这些漏洞极易被黑客利用进行攻击,给局域网的信息安全带来巨大的隐患。
1.3人为因素
人为因素也是影响局域网信息安全的重要方面。由于个别用户安全意识不强,使用U盘等移动存储设备来进行数据的传递。这些外部数据没有经过必要的安全检查被带入内部局域网,使木马、蠕虫等病毒的非常容易地进入到内部网络。另外,许多用户将未经许可的设备擅自接入内部局域网络使用,也会造成病毒的传入和信息的泄密。比如,私自将个人无线路由接入到网络中,由于个人无线路由安全性比较低,黑客只要在路由器信号范围内就可以对局域网的数据进行盗取和攻击。此外,由于个人原因将局域网密码泄露、网线接入错误造成环网、ip地址冲突等问题都严重影响了局域网的信息安全。
1.4病毒和恶意代码
局域网的病毒来源主要通过以下几种方式:(1)黑客借助系统漏洞将病毒和恶意代码上传到局域网目的主机上;(2)由于人为因素,通过U盘等移动设备将病毒传入局域网;(3)访问互联网,从网站下载的软件带有病毒。一旦病毒进入到局域网,便对局域网信息数据进行盗取和破坏,比如ARP病毒能够进行路由欺骗和网关欺骗,不但影响局域网网络速度,而且对用户的私密信息威胁很大。
2安全防护策略与措施
2.1技术防护措施
2.1.1加密技术对重要数据进行加密是网络传输的常用的技术。在数据传输前对数据进行加密,综合数字签名、身份认证和动态验证等多种加密技术,杜绝数据在网络上以明文的方式传输,防止用户数据在传输过程中被截获,增加破解难度。建立复杂密码机制,并定期进行更换。2.1.2防火墙技术防火墙是内部网络与外部网络之间的网络安全系统,提供边界安全防护和访问权限控制。它使内部网络与Internet之间或与其他外部网络互相隔离,防范外部网络对内部网络的的攻击和非法访问。通过配置安全策略规则,实现对经过防火墙访问内部网络数据流的审计和控制,是保障网络安全的核心技术。网络防病毒系统是网络安全的另一形式的防火墙。在网络中安装网关杀毒设备,对网络数据进行病毒检测和扫描,确保病毒在到达用户计算机前被清除;配置全网杀毒策略,同步更新每台计算机的杀毒软件,定期进行全网杀毒;对U盘、移动硬盘等移动存储设备须经专业人员查杀后,方可进行文件的存储和拷贝等操作,这些安全防护是网络防病毒系统必不可少的防护措施。2.1.3入侵检测和入侵防御技术入侵检测是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。防火墙是按照事先设定的规则判断数据包的合法性,阻止非法的数据包进入,而入侵检测系统则监控网络、系统的入侵行为,通过该系统可以快速定位来自内部网络和外部网络的攻击行为以及网络的异常流量等等。入侵防御系统是位于防火墙和网络设备之间,对网络中的数据传输进行检测,对可能发现各种攻击企图、攻击行为进行防御,以保证网络资源的安全。2.1.4构建安全防护架构在完整的硬件防护系统下,搭建集中安全管理平台,设立用户、服务器等多区域安全防护机制,建立分级安全防护架构和管理机制。通过搭建文件备份服务器,对重要数据定期备份;设立网络的重要节点、链路设立备份机制,减少故障对网络信息安全的影响;配置网络漏洞扫描系统,及时发现网络安全漏洞、客户机或者服务器的安全漏洞并及时进行修补等方式,构建全面、安全的局域网网络防护体系。
2.2管理制度防护措施
保障信息安全要从多方面角度来实现。除了安全技术的应用,管理制度的完善和管理人员的组织配合是构成完整的信息安全防护体系的重要内容。管理工作是作为网络安全的重要组成部分,要确保信息安全工作的顺利进行,必须由管理人员把每个环节落实到具体的网络中,而人的不确定性使之成为网络安全中最薄弱环节。因此,必须用制度来规范人的行为,通过建立完善的安全管理制度达到网络信息安全的根本目标。具体是要根据企业单位信息系统安全管理需求,建立科学的人员管理、设备管理、灾难管理、应急响应、用户安全服务等管理制度,并与安全技术紧密结合,形成一套可靠、完备局域网信息系统安全管理保障体系。
3结束语
随着计算机网络技术的发展,网络攻击形式日趋复杂和多样化,局域网网络信息安全和防护作为一项长期而艰巨的任务,需要不断的探索和改进。合理地配置网络安全规则,以安全防护技术为依托,充分发挥网络安全防护设备的能效,建立多层次的、立体的网络安全防护体系,才能确保整个局域网网络系统信息安全。
参考文献
[1]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011,39(1):121-124.
关键字:信息系统信息安全身份认证安全检测
一、目前信息系统技术安全的研究
1.信息安全现状分析
随着信息化进程的深入,信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,许多企业、单位花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业、单位信息安全的标准、制度建设滞后。
2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。其中,发生过1次的占总数的22%,2次的占13%,3次以上的占23%,此外,有7%的调查对象不清楚是否发生过网络安全事件。从发生安全事件的类型分析,遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出,占安全事件总数的79%,其次是垃圾邮件,占36%,拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出,共占到总数的43%.
调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%.
对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低。
2.企业信息安全防范的任务
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:
从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。
二、信息系统常见技术安全漏洞与技术安全隐患
每个系统都有漏洞,不论你在系统安全性上投入多少财力,攻击者仍然可以发现一些可利用的特征和配置缺陷。发现一个已知的漏洞,远比发现一个未知漏洞要容易的多,这就意味着:多数攻击者所利用的都是常见的漏洞。这样的话,采用适当的工具,就能在黑客利用这些常见漏洞之前,查出网络的薄弱之处。漏洞大体上分为以下几大类:
(1)权限攻击。攻击者无须一个账号登录到本地直接获得远程系统的管理员权限,通常通过攻击以root身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出,少部分来自守护进程本身的逻辑缺陷。
(2)读取受限文件。攻击者通过利用某些漏洞,读取系统中他应该没有权限的文件,这些文件通常是安全相关的。这些漏洞的存在可能是文件设置权限不正确,或者是特权进程对文件的不正确处理和意外dumpcore使受限文件的一部份dump到了core文件中.
(3)拒绝服务。攻击者利用这类漏洞,无须登录即可对系统发起拒绝服务攻击,使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。
(4)口令恢复。因为采用了很弱的口令加密方式,使攻击者可以很容易的分析出口令的加密方法,从而使攻击者通过某种方法得到密码后还原出明文来。
(5)服务器信息泄露。利用这类漏洞,攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷,一般是对错误的不正确处理。
漏洞的存在是个客观事实,但漏洞只能以一定的方式被利用,每个漏洞都要求攻击处于网络空间一个特定的位置,因此按攻击的位置划分,可能的攻击方式分为以下四类:物理接触、主机模式、客户机模式、中间人方式。
三、信息系统的安全防范措施
1.防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为二大类:分组过滤、应用。
计算机信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。也可以根据计算机通信网络特性,通过相应的安全技术和措施,对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护,防止遭到破坏或窃取,其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。计算机通信网络的安全是指挥、控制信息安全的重要保证。总之,我们必须加强计算机通信网络安全防范意识,提高防范手段。
2信息安全的内容
2.1硬件安全
即网络硬件和存储媒休的安全。要保护这些硬设施不受损害,能够正常工作。
2.2软件安全
即计算机及其网络各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复。
2.3运行服务安全
即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
2.4数据安全
即网络中存在及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
3信息安全风险分析
3.1计算机病毒的威胁
随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。
3.2黑客攻击
黑客攻击已经成为近年来经常出现的问题。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源。
3.3信息传递的安全风险
企业和外部单位,以及国外有关公司有着广泛的工作联系,许多日常信息、数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如:①被非法用户截取从而泄露企业机密;②被非法篡改,造成数据混乱、信息错误从而造成工作失误;③非法用户假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。
3.4软件的漏洞或“后门”
随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows还是UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件、等等都被发现过存在安全隐患。大家熟悉的尼母达,中国黑客等病毒都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全的主要威胁之一。
3.5身份认证和访问控制存在的问题
企业中的信息系统一般供特定范围的用户使用,信息系统中包含的信息和数据也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户、设置权限、管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。如部分应用系统的用户权限管理功能过于简单,不能灵活实现更详细的权限控制;各应用系统没有一个统一的用户管理,使用起来非常不方便,不能确保账号的有效管理和使用安全。
4信息安全的对策
4.1安全技术
为了保障信息的机密性、完整性、可用性和可控性,必须采用相关的技术手段。这些技术手段是信息安全体系中直观的部分,任何一方面薄弱都会产生巨大的危险。因此,应该合理部署、互相联动,使其成为一个有机的整体。具体的技术介绍如下:
4.1.1加解密技术在传输过程或存储过程中进行信息数据的加解密,典型的加密体制可采用对称加密和非对称加密。
4.1.2VPN技术VPN即虚拟专用网,通过一个公用网络(通常是因特网)建立一个临时的、安全的连接.是一条穿过混乱的公用网络的安全、稳定的隧道。通常VPN是对企业内部网的扩展,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
4.1.3防火墙技术防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,防止外界对内部资源的非法访问,以及内部对外部的不安全访问。
4.1.4入侵检测技术人侵检测技术IDS是防火墙的合理补充,帮助系统防御网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。人侵检测技术从计算机网络系统中的若干关键点收集信息,并进行分析,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。
4.1.5防病毒技术随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
4.1.6安全审计技术包含日志审计和行为审计。日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性和安全策略的有效性,追溯、分析安全攻击轨迹。并能为实时防御提供手段。通过对员工或用户的网络行为审计,可确认行为的规范性,确保管理的安全。
4.2安全管理
只有建立完善的安全管理制度。将信息安全管理自始至终贯彻落实于信息系统管理的方方面面,企业信息安全才能真正得以实现。具体技术包括以下几方面。
4.2.1开展信息安全教育,提高安全意识员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。据不完全统计,信息安全的威胁除了外部的(占20%),主要还是内部的(占8O%)。在企业中,可以采用多种形式对员工开展信息安全教育,例如:①可以通过培训、宣传等形式,采用适当的奖惩措施,强化技术人员对信息安全的重视,提升使用人员的安全观念;②有针对性地开展安全意识宣传教育,同时对在安全方面存在问题的用户进行提醒并督促改进,逐渐提高用户的安全意识。
4.2.2建立完善的组织管理体系完整的企业信息系统安全管理体系首先要建立完善的组织体系,即建立由行政领导、IT技术主管、信息安全主管、系统用户代表和安全顾问等组成的安全决策机构,完成制定并信息安全管理规范和建立信息安全管理组织等工作,从管理层面和执行层面上统一协调项目实施进程。克服实施过程中人为因素的干扰,保障信息安全措施的落实以及信息安全体系自身的不断完善。
4.2.3及时备份重要数据在实际的运行环境中,数据备份与恢复是十分重要的。即使从预防、防护、加密、检测等方面加强了安全措施,但也无法保证系统不会出现安全故障,应该对重要数据进行备份,以保障数据的完整性。企业最好采用统一的备份系统和备份软件,将所有需要备份的数据按照备份策略进行增量和完全备份。要有专人负责和专人检查,保障数据备份的严格进行及可靠、完整性,并定期安排数据恢复测试,检验其可用性,及时调整数据备份和恢复策略。目前,虚拟存储技术已日趋成熟,可在异地安装一套存储设备进行异地备份,不具备该条件的,则必须保证备份介质异地存放,所有的备份介质必须有专人保管。
5信息安全的方法
从信息安全属性的角度来看,每个信息安全层面具有相应的处置方法。
5.1物理安全
指对网络与信息系统的物理装备的保护,主要的保护方式有干扰处理、电磁屏蔽、数据校验、冗余和系统备份等。
5.2运行安全
指对网络与信息系统的运行过程和运行状态的保护,主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用以及数据备份等。
5.3数据安全
指对信息在数据收集、处理、存储、检索、传输、交换、显示和扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖,主要的保护方式有加密、认证、非对称密钥、完整性验证、鉴别、数字签名和秘密共享等。
5.4内容安全
指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力,主要的处置手段是密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤以及系统的控制等。
5.5信息对抗
指在信息的利用过程中,对信息真实性的隐藏与保护,或者攻击与分析,主要的处置手段是消除重要的局部信息、加大信息获取能力以及消除信息的不确定性等。
6对网络信息安全的前景