网络系统网络安全
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络系统网络安全范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络系统网络安全范文第1篇
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(smis)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(vlcc)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用hp compaq dx7400(pentium dual e2160/1.8ghz/ddr2 512m/80g);网关采用industrial computer 610(p4 2.8ghz/ddr333 512m/80g);交换机采用d-link des-1024d快速以太网交换机(10/100m 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用amos mail或rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义isms的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循pdca的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7 总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
网络系统网络安全范文第2篇
1.1系统安全维护探测
进行系统安全维护的过程中,相关人员要对系统内部安全漏洞进行探测,从根本上解决存在的安全隐患,探测的主要方式为:自编程序探测:自编程序探测主要指在进行探测的过程中,相关人员可以对互联网上的安全漏洞进行监测,观察用户在使用过程中是否存在漏洞问题。要对系统漏洞补丁中的自编程度进行监测,对黑客编写的程序进行检查,防止计算机网络系统安全受到破坏。慢速扫描:慢速扫描主要是通过对某个时间的监测实现对系统数据的控制和检查。该操作一般由扫描侦测仪完成,由特定主机发起的连接数目决定扫描的范围。扫描过程中要适当降低扫描的速度,提高扫描质量。体系结构探测:黑客与病毒会通过一定的特殊数据包对计算机网络系统安全造成破坏,导致计算机主机运行异常,造成系统出现损坏。在该过程中,每种操作系统都具有不同的响应时间和相应方式。对体系结构主体的异常相应时间和相应方式进行探测,可以轻而易举判断出可能存在的安全隐患,及时进行安全控制。
1.2防火墙技术
防火墙技术主要指在进行网络访问的过程中对网络访问地点、人员等进行控制,降低出现的非法人员访问风险。这种方法可以在很大程度上改善网络资源的整体管理效果,降低可能够出现的网络安全问题,对我国当前的计算机网络发展具有非常好的促进效果。实施计算机防火墙技术主要包括对计算机中的源地址、目标地址、原始端口、目标端口等及逆行那个监测,对可能出现的问题及时进行控制。在防火墙技术操作过程中,通常首先设定控制规则,然后对数据进行对比,当数据符合控制规则要求后数据才可以通过,完成操作。当不符合数据控制规则时,数据即会被丢弃。防火墙无法实现对计算机内部的控制,只能对外部网络进行保护。
1.3计算机网络安全加密技术
在进行计算机网络安全处理的过程中,相关人员要对计算机网络系统中的数据进行加密,保证信息数据的安全性、可靠性、稳定性。数据加密主要指在进行设计的过程中依据一定的指令实现对原有数据的转换,将数据转换为一定格式或一定规律的加密文件,进行贮存、传输工作。接收系统要通过相关的秘钥才能够对文件进行解密,达到对文件原文的翻译,实现数据加密的保障。在加密操作过程中,如何提高加密算法质量和秘钥管理质量是加密技术的关键。常见的加密算法主要包括对称加密算法和非对称加密算法。对称加密算法指在进行操作的过程中加密算法与秘钥一致,而后者恰恰相反。在当前的计算机网络系统安全维护过程中常选取非对称加密算法,这种算法的保密效果较高,安全性较强。
1.4设置安全策略
1.4.1物理安全策略。物理安全策略主要指对计算机以及计算机网络的使用环境进行检测,加强计算机硬件、网络设施的防护力度,将人为、自然对其的损害降到最低的物理保护策略。在该策略使用的过程中,相关人员要对使用用户进行身份验证以及用户权限设置,避免一些不法用户越权操作。要对IP地址进行隐藏。在进行IP地址的隐藏时可以选择使用服务器,就能够很好的保障计算机用户IP地址的安全性,提高计算机网络的安全。建立健全网络设备管理监察力度,避免非法进入网络管理区域从而对其造成偷窃、破坏等行为。
1.4.2访问控制策略。黑客对局域网进行攻击入侵,首先要控制内部的一台服务器,以此为基地来进行攻击,因此,计算机内部是网络安全威胁的主要因素。在内部网络应该加强防护措施,建立访问控制策略,对可能出现的入侵进行控制。通过对访问进行安全控制,对入网访问、操作权限、目录安全、属性安全、网络服务器安全、网络监测以及防火墙这七个领域实现安全监测,提高控制效果。
2总结
网络系统网络安全范文第3篇
关键词:3G;网络安全;安全体系
中图分类号:TN929.5
随着现代通讯技术的快速发展,通讯行业已经跨入3G(第三代移动通讯技术)时代。2009年1月,工信部为我国三大通信公司发放了3G牌照,随后中国联通公司迅速开通了WCDMA网络3G服务。中国联通通过宣传“沃”品牌,主攻家庭用户,特别是美国苹果公司和中国联通达成三年的合作协议,为中国联通吸引了许多手机高端用户,使中国联通的3G用户呈爆炸式增长。新技术带来新机遇的同时,也提出了新的安全性挑战。3G系统除了提供传统的语音通信业务外,还能够处理图像、音乐、视频流等多种媒体形式,还提供包括网页浏览、电话会议、电子商务、电子贸易等多种信息服务,同时,移动网络的IP化、终端趋智能化、带宽变大,使得手机功能越来越接近电脑的功能,这就将传统的计算机网络诸如病毒攻击、垃圾邮件、隐私泄露等安全隐患引入到移动通信网络中来,这就使得3G系统的安全问题更加复杂化。目前对于移动通信安全方面的讨论逐渐成为热点,国内外研究人员从各个方面进行了研究与探讨,例如安全目标、安全评价、威胁防范、认证技术、加密算法、密钥管理等,并取得了一系列重要成果。
1 3G系统的安全分析
1.1 信息泄露,个人私密信息存在泄露风险。3G终端的智能化,使得用户通过手机可以进行原来在电脑上进行的应用操作,因此智能手机上可存储用户个人的大量秘密信息,如银行账户信息、交易记录、个人资料等私密信息,当用户通过智能手机接入3G网络时,这些信息存在着被黑客进行窃取的危险。
1.2 病毒泛滥。随着3G智能手机的普及,针对手机的病毒与恶意软件也日益增多,而用户对于手机病毒的防范意识却还很薄弱,同时因功能限制,智能手机的病毒防护措施也未能像电脑那样完善,这就给了不法分子提供了可乘之机。
1.3 服务攻击。通过物理手段或协议干扰用户的数据,令用户数据无法在链路上正确传输,或通过使网络服务过载耗尽网络资源,达到使合法用户无法访问的目的。
1.4 不良信息传播。通过3G智能手机进行黄色信息等非法信息的传播,造成了恶劣的社会影响。
2 3G系统安全体系结构
针对上述安全威胁,建立3G通信网络的安全体系结构,从传输层、服务层、应用层进行安全防范。
在3G系统的安全体系中,定义了5个安全特征组,网络接入安全、网络域安全、用户域安全、应用域安全、安全的可知性和可配置性等,涉及传输层、服务层和应用层,同时也涉及移动用户、服务网和归属环境。每一安全特征组用以对抗某些威胁和攻击,实现3G系统的某些安全目标,具体如下:传输层主要是网络的接入安全,保护用户安全的接入3G通信网络,防止来自无线链路的攻击。对移动用户的身份进行保密,包括无法窃听用户身份、无法获取用户位置、无法侦测用户数据等,网络接入安全是安全应用3G通信网络的关键。服务层主要对用户安全与网络安全提供保护。用户安全保证用户在接入3G网络时,USIM与用户间进行认证,经授权后才可以接入网络,这就保证了合法用户进入通信网络。网络安全进行网络实体间的消息认证,并通过密钥分配,实现对数据的加密及数据源的认证,确保核心网络实体间能够安全的交换数据。应用层主要对USIM程序和用户的安全信息进行保护,通过检测确认、身份认证、数据完整性保护等,确保3G通信网络信息传输的安全性。另外,3G网络的安全配置能力定义了用户可知的网络安全特性,并可判断服务是否已安全服务作为基础,接受或拒绝服务。
3 3G系统的安全策略
3.1 技术层面。对设备层的安全加固。当今移动互联网的设备层有:数据库、操作系统、网元设备等,其中网元设备指移动互联网中交换机、路由器、防火墙等其他的内容层设备,对这些设备自身进行安全加固的加固准则是ACL保护、4 A设置等;对操作系统宜进行补丁管理、最小化安装和安装防病毒软件等安全加固对策;数据库的安全加固,现在大多是利用众多的安全备份原则,进而确保数据库的安全可靠。
加强移动互联网安全技术标准制定。在目前国内移动互联网当中,还有如下不足:安全机制缺失、网络域对病毒等异常流量的监控不足或者缺乏终端安全机制和网络设备安全机制等。因此,有必要结合我国密码管理办法规定和已有密码算法,制定相关安全标准,并相应地引入移动互联网安全机制,包括AKA认证和空口加密等机制。同时,引入网络域安全机制。安全域边缘特别是接外网的节点应综合部署具有入侵检测、用户认证、数据加密的安全网关,以起到安全隔离作用。另外,我国目前缺乏移动互联网内容安全方面的技术标准,需要加大对移动互联网内容安全方面的标准制定。
增强和改进3G系统继承于2G系统的安全元素。3G的安全将建立在第二代系统的安全之上,在GSM和其他第二代系统内已经证明是必要的和加强的安全元素应当被3G的安全所采纳;3G的安全要确定和校正第二代系统中的实时的和已认识到的缺点;3G的安全要提供新的安全特征,并保护3G提供的新的业务。这些改进包括对身份验证系统改进、认证方法的改进、数据保密性的改进、数据完整性的改进等。
3.2 管理层面。首先是建立健全通讯网络管理机制,将责任问责制度推广到其中来,对网站的运营商和服务供应商做好登记和备案。完善相关法律法规,增强网络安全问题的管理。其次是建立3G高速通讯系统的安全模型:OSI模型和TCP/IP模型是主要适用于计算机网络的模型,而通讯系统有其自身的特点和发展方向。因此,大力推广IP技术和Adhoc技术才是实现3G网络高效、安全的主要方式。还有就是完善3G安全运行的保障体系,包括地面服务器,网络服务器,服务协议硬件配置,网络覆盖,结构规划等都能够有序的运作。
4 结束语
3G通信业务已成为目前通信行业发展的主流,它给通讯行业带来新的商机,为人们提供了更好的通讯体验,但同时,也带来了巨大的安全隐患,进行3G通信系统的安全性研究,保证其快速、安全的发展,具有十分重要的现实意义。
参考文献:
[1]张帆.某省联通公司3G竞争战略研究[D].华北电力大学,2010(04).
[2]王慧敏.浅谈3G通信网络的安全问题[J].科技信息,2010(25).
[3]张海清.浅述移动互联网的安全问题及其对策[J].信息通信,2012(02).
[4]孔祥浩.关于3G通信网络安全问题的探讨[J].电脑与电信,2010(01).
[5]张海清.浅述移动互联网的安全问题及其对策[J].信息通信,2012(02).
网络系统网络安全范文第4篇
关键词:信息系统;管理;网络通信
中图分类号:TP393.08 文献标志码:A 文章编号:1673-291X(2013)23-0286-01
一、信息系统管理和网络安全分析
信息通信系统是指以计算机技术以及网络通信技术为基础的系统,它是一个集合人、数据库、规程和各种设备(包括软硬件)以及工具有机结合的运营体系。信息通信风险评估和管理是对信息在产生、存储、传输等过程中的机密性、完整性、实时性、有效性遭到破坏的可能性及由此产生的后果所做的估计、估价和事中、事后的有效管理的过程。在信息通信领域,与信息处理生命的周期和安全相关的每一个环节,应该被重点关注和有效管理,这其中包括信息本身在整个生命周期中的存在形式,存在的价值以及如何确保过程的安全,同时包括存储处理相关的设备和传递交换过程中使用的通信网络。
二、信息系统管理与网络通信中的问题
1.计算机病毒。信息技术的飞速发展极大地推动了计算机和网络的普及,但同时由于相关政策、法规的滞后,不同地区、不同民族、不同意识形态的差异和道德观念的差异,不法者制造了大量的计算机病毒在网络或通过传播。因为计算机病毒是一种可以自我复制的程序,传播速度快,所以它对计算机造成的破坏是巨大的,甚至可能使整个信息系统瘫痪,而且如今病毒的设计更加高技术化,计算机病毒的种类和传播形式在不断发展变化着,已经成为计算机面临的主要安全问题之一。
2.黑客。黑客主要以发现和攻击网络操作系统的漏洞和缺陷为目的,对于网络和计算机系统的破坏,有时是有目的的,有时又是无目的的。病毒制造者利用网络安全的脆弱性进行非法活动,也可以称为计算机安全的外部攻击者。这些攻击 者采用修改网页,非法入侵主机破坏程序,窃取网上或他人信息。网络黑客可以摧毁网络节点,释放计算机病毒,造成整个网络系统的瘫痪。也许是因为某些黑客的攻击对象并没有对社会或国家安全造成多大影响,没能得到及时的制裁,所以,不被人们重视的病毒泛滥到令绝大多数网络通信者烦恼和无奈。
3.内部攻击和破坏。内部攻击和破坏经常是一些不法分子、利益纠葛者、对企业或社会不满者,利用自己对内部系统的了解,有预谋地进行网络攻击。由于内部入侵者更了解网络结构和相关数据,因此他们的非法行为将对网络系统造成更大威胁。特别是对于企业来说,企业内部的网络攻击和破坏有时甚至会成为企业商业秘密的重大威胁因素。比如那些对企业心怀不满的员工、被解雇的职员、受信任的客户、咨询顾问等所有能进入企业内部网络系统的人都有可能对系统造成威胁。另外,由于部分企业管理者网络安全意识缺乏,不注意保护自己的账号、密码等,都可能会引起企业内部网络的安全问题。
三、信息通信风险对策
1.身份认证。当系统的用户特别是企业内部用户,要访问系统资源时要求确认是否是合法的用户。通常的做法是用户名和口令识别方法进行用户身份的认证和识别。避免那种广而告之的用户名和识别口令,考虑到信息和网络安全,信息共享应该对部分群体是有限度的。
2.报文认证。主要是通信双方对通信的内容进行验证,以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没被修改过。
3.访问授权。主要是确认用户对某资源的访问权限,未经授权的领域如有非授权访问者访问必须有制度监督和制裁措施,疏于管理就等于放任,放任就等于所有信息公开,就等于让黑客或病毒制造者任意破坏网络和信息通信系统。
结语
信息和网络通信的安全问题,说到底是法制、道德问题的综合体现。企业信息与通信安全问题,一方面需要企业文化建设更加制度化、人本化。另一方面,信息及网络通信系统的实时维护和技术升级、专业化管理也是保证信息通信安全的重要因素。
参考文献:
网络系统网络安全范文第5篇
关键词:网络安全;设计原则;策略
随着云计算在网络中的出现,网络安全系统建设问题是各种Internet服务提供商非常重视的问题,由于网络安全系统的设计工程具有整体性和动态性的显著特征,本文进行网络安全系统设计所采用的网络层安全防护技术主要包括:网络层防火墙技术、入侵检测IDS技术、漏洞检测技术、网络防病毒技术、实时监控与恢复、安全事件紧急响应体系等。这些安全防护技术可以有效地保障网络网络基础和结构。除了网络层的安全防护技术外,在应用层也采用了安全防护技术,主要通过设计应用层安全防护架构实现,此防护安全架构分成若干个不同的层次,它的特点主要体现在多层次、多方面、立体型的层次结构。总体来说,这个应用层安全防护架构由安全策略指导、安全标准规范、安全防范技术、安全管理保障等几个部分组成。这种应用层的防护体系主要保障网络用户各项业务方面的安全。因此,网络应该建立实施完善的网络层安全防护措施的同时再设计实施基于Web应用的应用层安全防护,从根本上全面和有效的保障用户系统和用户业务的安全性。
一、安全体系设计原则
专业性和规范性设计原则,在网络网络系统中,网络攻击技术和网络防御技术是网络信息安全的一对矛盾体,两种技术从不同的角度不断地对网络网络系统的安全提出了很大挑战,专业技术人员只有掌握了这两种技术才能对网络系统的安全有全面的认识,才能提供有效的安全技术、产品和服务,这就需要相关专业技术人才具有很强的专业性,并能长期的进行网络网络安全技术研究并积累经验,从而系统、全面和深入地为用户提供服务。
本次网络的安全体系所涉及的所有网络安全的概念、系统定义和体系思想等都是参考目前国内和国际有关网络安全的专业规范制定的,均符合相关的网络安全标准和行业标准,这样可以充分确保网络安全体系设计的技术深度和专业性。
综合性和整体性安全性设计原则,实践证明,一个较好的安全措施往往是多种有效的方法进行恰当综合应用的结果,因为在网络网络中包括个人、设备、软件、数据和策略等这些环节都具有一定的地位和影响作用,只有从网络网络系统综合整体的角度去看待、分析和设计,才能取得最有效和可行性强的安全措施。因此,网络网络安全设计必须遵循综合性和整体性安全设计原则,并根据规定的安全策略制定出合理的网络网络安全体系结构。
需求风险和代价互相平衡的设计原则,在当今的互联网环境下,对任何一个网络网络系统来说,要在各个方面保证其绝对安全基本上是难以实现的,当然绝对的网络安全也不一定是必需的。在对网络的安全设计中,采用了需求、风险和代价互相平衡的设计原则,即在设计时要求对网络的任务、性能、结构、可靠性和可维护性等方面进行实际研究,并对网络可能面临的威胁及可能承担的风险进行定性与定量相结合的分析方法,然后再制定安全设计的规范和措施,具体包括以下方面的安全设计原则。
一致性安全设计原则,网络安全系统设计的一致性原则主要是指网络网络安全问题应与整个网络网络的生命周期同时存在,制定的网络安全体系结构必须与网络系统的安全需求相一致。网络系统的安全设计及实施计划、网络测试、验收、运行等方面都有相应的一致性的安全内容及措施。
易操作性安全设计原则,网络系统的安全设计采用了易操作性原则,因为措施需要人为去完成,如果安全设计措施过于复杂,对技术人员的要求过高,那么本身就降低了安全性。而且安全设计措施的采用不能影响系统的正常运行。
可扩展性安全设计原则,网络系统的安全设计采用了可扩展性原则,因为在进行安全系统设计时,必须要考虑到网络系统的性质、规模和结构等多方面发生变化的可能性,为网络系统扩充留下相当的冗余度。并且,在安全防护体系思想的指导下,网络安全系统的设计和实施都可以采取更新的安全技术和更换性能更强的网络产品,或者可以通过网络拓扑的扩充来对网络的安全功能进行扩展。
多重保护安全设计原则,网络系统的安全设计也采用了多重保护的安全设计原则,因为互联网的复杂程度越来越高,任何安全措施都不可能保证网络的绝对安全,都是有可能被攻破的。科学的方法是设计一个多重保护的网络系统,实现针对网络层和应用层的保护相互补充,可以有效保证当其中一层安全保护被攻破时,另外一层的保护仍可确保网络系统数据信息的安全。
可管理性安全设计原则,网络系统的安全设计,往往会由于网络管理内部的管理制度不完善,或者职责划分的不明确的问题导致在设计时采取的安全设计技术和安全设备不能很好地发挥安全保护的作用。网络采用的可管理的安全设计原则是建立一个动态的、可控的安全体系结构,保证网络管理人员在一套合理的安全规范的指导下可以完全管理网络网络系统的安全。这样就可以有效地保证对安全设备和安全技术进行利用与管理,使得整个网络网络的安全性是可控制和可管理的。
业务连续性安全设计原则,网络的安全设计保证了其业务的连续性,网络安全系统的设计与实现不可避免地会涉及到原有的业务系统,业务连续性安全设计原则要求新增加的安全系统不会影响原有网络系统的安全性、完整性、保密性和可用性,有效保证网络所有业务的连续性。
动态性安全设计原则,通过网络的安全问题显示计算机网络安全的发展是动态的,这就要求对其实施的相应的防御体系也是动态的。随计算机网络的脆弱性特别是WEB应用脆弱性的改变和黑客的计算机网络攻击技术的不断发展和变化,在进行网络的安全系统设计时应该及时并不断地完善和改进网络系统的安全防护措施。
二、安全设计策略
网络作为大量数据信息集中的中心,有着不同的承载数据的对象,通过对网络的安全分析,在网络中传输的不同的数据类型和服务对象所遇到的网络安全威胁也不一样,因此,针对不同网络安全威胁所采用相应的安全防范措施也不尽相同,比如:针对在网络中托管的服务器经常受到系统漏洞和非授权连接等威胁,通常采用部署网络层防火墙、身份认证和漏洞扫描的安全设计策略,根据网络中的不同对象受到的不同网络安全威胁的实际情况确定了相应的安全措施。
针对网络的实际情况,在网络层和应用层实施网络安全系统设计的时候有针对性的采用高效的安全设计策略,同时采用多层防御的方法,通过对网络结构调整和网络网络产品部署,并辅助以配置安全策略服务和结合安全管理手段,最终在网络层和应用层形成系统的、动态的、可持续的安全防御体系。而且在网络安全产品选型时要遵守以下策略。
在网络安全产品选型时,需要厂家可以提供客户化支持的网络产品。只有这样才能保证网络系统的安全是可以用户化的,才能有针对性的为用户的应用和企业的业务提供安全保证。网络网络安全产品可以随时根据企业用户的需求进行相应的改进,从而更加适合企业用户的实际需要。
需要网络产品厂家可以提供本地化服务的产品。只有这样才能保证遇到问题时能够以最快的速度提供应急响应的服务,从而有效的实现对企业用户应用和企业业务的服务保证。
在选择网络网络产品时除了必须通过国家主管部门和权威机构的评测外,还需要通过专业评测机构以及网络行业用户的评测。
在选择产品时需要符合相应的国际和国内的相关标准,尤其是国内相关的网络安全标准。比如国内的安全等级标准、安全漏洞标准,网络安全标准以及国际安全标准。
