常用网络安全标准
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇常用网络安全标准范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
常用网络安全标准范文第1篇
一、2015年工控安全漏洞与安全事件依然突出
通过对国家信息安全漏洞库(CNNVD)的数据进行分析,2015年工控安全漏洞呈现以下几个特点:
1.工控安全漏洞披露数量居高不下,总体呈递增趋势。受2010年“震网病毒”事件影响,工控信息安全迅速成为安全领域的焦点。国内外掀起针对工控安全漏洞的研究热潮,因此自2010年以后工控漏洞披露数量激增,占全部数量的96%以上。随着国内外对工控安全的研究逐渐深入,以及工控漏洞的公开披露开始逐渐制度化、规范化,近几年漏洞披露数量趋于稳定。
2.工控核心硬件漏洞数量增长明显。尽管在当前已披露的工控系统漏洞中软件漏洞数量仍高居首位,但近几年工控硬件漏洞数量增长明显,所占比例有显著提高。例如,2010年工控硬件漏洞占比不足10%,但是2015年其占比高达37.5%。其中,工控硬件包括可编程逻辑控制器(PLC)、远程终端单元(RTU)、智能仪表设备(IED)及离散控制系统(DCS)等。
3.漏洞已覆盖工控系统主要组件,主流工控厂商无一幸免。无论是国外工控厂商(如西门子、施耐德、罗克韦尔等)还是国内工控厂商(研华),其产品普遍存在安全漏洞,且许多漏洞很难修补。在2015年新披露的工控漏洞中,西门子、施耐德、罗克韦尔、霍尼韦尔产品的漏洞数量分列前四位。
二、工控信息安全标准需求强烈,标准制定工作正全面推进
尽管工控信息安全问题已得到世界各国普遍重视,但在工业生产环境中如何落实信息安全管理和技术却没有切实可行的方法,工控信息安全防护面临着“无章可循”,工控信息安全标准已迫在眉睫。当前,无论是国外还是国内,工控信息安全标准的需求非常强烈,标准制定工作也如火如荼在开展,但工控系统的特殊性导致目前工控安全技术和管理仍处探索阶段,目前绝大多数标准正处于草案或征求意见阶段,而且在设计思路上存在较为明显的差异,这充分反映了目前不同人员对工控信息安全标准认识的不同,因此工控信息安全标准的制定与落地任重道远。
1.国外工控信息安全标准建设概况
IEC 62443(工业自动化控制系统信息安全)标准是当前国际最主要的工控信息安全标准,起始于2005年,但至今标准制定工作仍未结束,特别是在涉及到系统及产品的具体技术要求方面尚有一段时日。
此外,美国在工控信息安全标准方面也在不断推进。其国家标准技术研究院NIST早在2010年了《工业控制系统安全指南》(NIST SP800-82),并2014年了修订版2,对其控制和控制基线进行了调整,增加了专门针对工控系统的补充指南。在奥巴马政府美国总统第13636号行政令《提高关键基础设计网络安全》后,NIST也随即了《关键基础设施网络安全框架》,提出“识别保护检测响应恢复”的总体框架。
2.国内工控信息安全标准建设概况
在国内,两个标准化技术委员会都在制定工控信息安全标准工作,分别是:全国信息安全标准化技术委员会(SAC/TC260),以及全国工业过程测量与控制标准化技术委员会(SAC/TC 124)。
其中,由TC260委员会组织制定的《工业控制系统现场测控设备安全功能要求》和《工业控制系统安全控制应用指南》处于报批稿阶段,《工业控制系统安全管理基本要求》、《工业控制系统安全检查指南》、《工业控制系统风险影响等级划分规范》、《工业控制系统安全防护技术要求和测试评价方法》和《安全可控信息系统(电力系统)安全指标体系》正在制定过程中,并且在2015年新启动了《工业控制系统产品信息安全通用评估准则》、《工业控制系统漏洞检测技术要求》、《工业控制系统网络监测安全技术要求和测试评价方法》、《工业控制网络安全隔离与信息交换系统安全技术要求》、《工业控制系统网络审计产品安全技术要求》、《工业控制系统风险评估实施指南》等标准研制工作。
TC124委员会组织制定的工控信息安全标准工作也在如火如荼进行。2014年12月,TC124委员会了《工业控制系统信息安全》(GB/T 30976-2014),包括两个部分内容:评估规范和验收规范。另外,TC124委员会等同采用了IEC 62443中的部分标准,包括《工业通信网络网络和系统安全术语、概念和模型》(JB/T 11961-2014,等同采用IEC/TS 62443-1-1:2009)、《工业过程测量和控制安全网络和系统安全》(JB/T 11960-2014,等同采用IEC PAS 62443-3:2008)、《工业通信网络网络和系统工业自动化和控制系统信息安全技术》(JB/T 11962-2014,等同采用IEC/TR 62443-3-1:2009),此外对IEC62443-2-1:2010标准转标工作已经进入报批稿阶段,并正在计划对IEC 62443-3-3:2013进行转标工作。除此之外,TC124委员会组织制定的集散控制系统(DCS)安全系列标准和可编程控制器(PLC)安全要求标准也已经进入征求意见稿后期阶段。
由于不同行业的工业控制系统差异很大,因此我国部分行业已经制定或正在研究制定适合自身行业特点的工控信息安全标准。2014年,国家发改委了第14号令《电力监控系统安全防护规定》,取代原先的《电力二次系统安全防护规定》(电监会[2005]5号),以此作为电力监控系统信息安全防护的指导依据,同时原有配套的防护方案也进行了相应的更新。在城市轨道交通领域,上海申通地铁集团有限公司2013年了《上海轨道交通信息安全技术架构》(沪地铁信[2013]222号文),并在2015年以222号文为指导文件了企业标准《轨道交通信息安全技术建设指导意见》(2015,试行)。同时,北京市轨道交通设计研究院有限公司于2015年牵头拟制国家标准草案《城市轨道交通工业控制系统信息安全要求》。在石油化工领域,2015年由石化盈科牵头拟制《中石化工业控制系统信息安全要求》等。
三、工控安全防护技术正迅速发展并在局部开始试点,但离大规模部署和应用有一定差距
当前许多信息安全厂商和工控自动化厂商纷纷研究工业控制系统的信息安全防护技术并开发相应产品,近几年出现了一系列诸如工控防火墙、工控异常监测系统、主机防护软件等产品并在部分企业进行试点应用。比较有代表性的工控安全防护产品及特点如下:
1.工控防火墙 防火墙是目前网络边界上最常用的一种安全防护设备,主要功能包括访问控制、地址转换、应用、带宽和流量控制等。相对于传统的IT防火墙,工控防火墙不但需要对TCP/IP协议进行安全过滤,更需要对工控应用层协议进行深度解析和安全过滤,如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控应用层协议的深度检测,包括控制指令识别、操作地址和操作参数提取等,才能真正阻止那些不安全的控制指令及数据。
2.工控安全监测系统我国现有工业控制系统网络普遍呈现出“无纵深”、“无监测”、“无防护”特点,工控安全监测系统正是针对上述问题而快速发展起来的技术。它通过数据镜像方式采集大量工控网络数据并进行分析,最终发现各种网络异常行为、黑客攻击线索等。利用该系统,相关人员能够了解工控网络实时通信状况,及时发现潜在的攻击前兆、病毒传播痕迹以及各类网络异常情况,同时,由于该系统是以“旁路”方式接入工控网络中,不会对生产运行造成不良影响,因此更容易在工控系统这种特殊环境下进行部署和推广。
3.主机防护产品在工业生产过程中,人员能够通过工程师站或操作员站对PLC、DCS控制器等设备进行控制,从而实现阀门关闭、执行过程改变等操作。这些工程师站、操作员站等主机系统就变得十分重要,一旦出现问题,比如感染计算机病毒等,就会对正常生产造成较大影响。近年来发生的由于工程师站或操作员站感染计算机病毒最终导致控制通信中断从而影响生产的报道屡见不鲜。加强这些重要主机系统的安全防护,尤其是病毒防护至关重要。但是,传统的基于杀毒软件的防护机制在工控系统中面临着很多挑战,其中最严重的就是在工控网络这样一个封闭的网络环境中,杀毒软件无法在线升级。另外,杀毒软件对未知病毒、变异病毒也无能为力。在此情况下,基于白名单的防护技术开始出现。由于工控系统在建设完成投入运行后,其系统将基本保持稳定不变,应用单一、规律性强,因而很容易获得系统合法的“白名单”。通过这种方式就能够发现由于感染病毒或者攻击而产生的各种异常状况。
4.移动介质管控技术在工控网络中,由于工控系统故障进行维修,或者由于工艺生产逻辑变更导致的工程逻辑控制程序的变更,需要在上位机插入U盘等外来移动介质,这必然成为工控网络的一个攻击点。例如,伊朗“震网”病毒就是采用U盘摆渡方式,对上位机(即WinCC主机)进行了渗透攻击,从而最终控制了西门子PLC,造成了伊朗核设施损坏的严重危害后果。针对上述情况,一些针对U盘管控的技术和原型产品开始出现,包括专用U盘安全防护工具、USB漏洞检测工具等。
总之,针对工控系统安全防护需求及工控环境特点,许多防护技术和产品正在快速研发中,甚至在部分企业进行试点应用。但是,由于这些技术和产品在稳定性、可靠性等方面还未经严格考验,能否适用于工业环境的高温、高湿、粉尘情况还未可知,再加上工控系统作为生产系统,一旦出现故障将会造成不可估量的财产损失甚至人员伤亡,用户不敢冒然部署安全防护设备,因此目前还没有行业大规模使用上述防护技术和产品。
四、主要对策建议
针对2015年工控信息安全总体情况,提出以下对策建议:
1.进一步强化工控信息安全领导机构,充分发挥组织管理职能。
2.对工控新建系统和存量系统进行区别对待。对于工控新建系统而言,要将信息安全纳入总体规划中,从安全管理和安全技术两方面着手提升新建系统的安全保障能力,对关键设备进行安全选型,在系统上线运行前进行风险评估和渗透测试,及时发现安全漏洞并进行修补,避免系统投入生产后无法“打补丁”的情况。对于大量存量系统而言,应在不影响生产运行的情况下,通过旁路安全监测、外边界保护等方式,形成基本的工控安全状况监测和取证分析能力,彻底扭转现阶段对工控网络内部状况一无所知、面对工控病毒攻击束手无策的局面。
3.大力推进工控安全防护技术在实际应用中“落地”,鼓励主要工控行业用户进行试点应用,并对那些实践证明已经成熟的技术和产品在全行业进行推广。
4.建立工控关键设备的安全测评机制,防止设备存在高危漏洞甚至是“后门”等重大隐患。
常用网络安全标准范文第2篇
关键词:关键词:数据库 ;安全技术;策略
中图分类号:TP309.2 文献标识码:A 文章编号:
1.数据库及其安全
数据库作为一个形式,是当前计算机存储和操纵数据的最高形式,存储和操作都是基于数据库形式来表现。数据库技术的发展,必定带动这计算机数据库安全技术的发展和升级。然而,数据库系统的生命定义为数据库安全技术,它是数据库信息可用性、连续性和保密性的统一。纵观数据库的发展历程,从网络层次来看,数据库在发展的三个阶段中的任何时段,数据库的安全问题一直是重中之重。
2.计算机数据库安全技术
数据库安全问题从数据库诞生以来,一直存在,安全问题的暴露,对于数据库安全技术的提升有着至关重要的影响。所谓数据库安全技术,是将开放环境下开发的数据在读取、共享过程中,通过相关访问控制和访问管理技术、安全审计、数据库加密和其他方法来确保数据库安全。此外,数据库系统的应用对其安全性做了重大的努力,对于信息而言,数据库系统是信息的集合体,是计算机信息系统的心脏,其安全性能问题不言而喻。
2.1 访问控制和存取管理技术
计算机的应用主要是基于主体进程、客体联系,加之用户和数据之间的相互活动而形成,因此计算机的安全问题可以归结于主体和客体之间访问的合法性问题。所谓合法,系指在访问数据、读取程序、执行命令等各个过程均是经过主体-客体授权,非授权的访问被拒绝。这样既能保证数据的保密性,又能确保数据完整和可用性的统一。
2.2 安全审计
安全审计实际上是对方案的评估,具备连续性。其必须服务于审计管理员,为管理员提供管理数据,判断违反安全方案的位置节点。审计功能可以自动将数据库的全部操作进行记录,对于攻击检测系统而言,它能按照审计功能记录的数据来分析系统所遭受的攻击,并分析其原因,自动检测系统的安全漏洞。
2.3 数据库加密
数据库加密是数据库安全技术中比较常见技术,旨在通过对数据库的加密,来保证用户客体的信息安全,最低程度降低损失。所谓加密,通常而言是将可明确辨别的数据信息转换为不能识别的加密数据信息,非指定用户不能识别相关数据,指定用户可将加密信息通过相关程序进行解密而识别。数据库加密系统实际上是加密和解密两个过程的统一,即可辨数据信息转换成非可变信息、算法、利用密钥解密读取数据等三个过程。
2.4 数据安全传输常用协议
数据库安全不仅仅限于存储的数据,在数据传输过程中往往涉及到数据的安全和完整两个方面,所以数据传输协议应运而生。
SSL(Secure socket layer)协议:此类协议旨在确定数据浏览者的身份,并且在浏览器用户和服务器之间建立加密的服务标准,其在浏览器和Web服务器程序中应用十分广泛,SSL协议需要用户安装相关的数字证书才能使用服务器的全部功能,这样必然能保证数据安全和完整。
IPSec(Internet Protocol Security)协议:此类协议是基于IETF定义的安全标准框架,其能加密和验证网络端。IPSec协议能定义可选网络安全服务,其他功能必须根据自身安全策略来与此类服务进行匹配,在安全标准框架中建立详细的安全解决策略,从本质上增加数据传输的保密性和可靠性。
HTTPS(Secure Hypertext Transfer Protoc01)协议:此类协议通常理解为安全超文本传输协议,它能内置于其浏览器中,其过程就是反复压缩和解压数据信息,返回网络上进行数据的传送。
3.数据库系统安全防范策略
3.1 物理安全防护策略
所谓物理安全防护策略是指采取一系列的措施抵抗数据库系统物理装备的威胁,主要包括自然灾害、电磁辐射以及恶劣工作环境等多个方面,从而确保数据库内的重要数据资源尽可能的不被破坏,或者在受到破坏时能够及时的恢复。物理安全防护策略因数据库所属网络、所在系统以及所含信息的不同而不同,目前较常采用的策略包括抗干扰系统、隔离系统、电磁兼容环境、防辐射、防水、防火、防静电以及数据的备份和恢复等。
3.2 网络安全防护策略
随着计算机技术的迅速发展,越来越多基于网络的数据库系统建立起来,为网络用户提供所需要的各类信息,网络成为数据库系统运行不可或缺的基本组成部分。一方面,数据库用户需要网络进入,才可能获得需要的信息;另一方面,数据库的入侵也必定是经过网络入侵来实现的,因此,就当前来说,数据库系统的安全性在很大程度上取决于网络的安全性,网络安全是数据库系统安全的有力保障。常用的网络层面的安全防护措施包括防火墙技术、网络防病毒技术、入侵技术以及管理安全防护策略。
(1)防火墙技术
当前,数据库系统的网络安全防护措施中应用最为广泛的是防火墙技术,它是由软件和硬件设备组成的、在内部网络和外部网络之间、专用网与公共网之间构建的一道保护屏障,以有力监控网络的可信任性,有效拦截非法访问,从而确保数据安全性。当前,大部分数据库系统之前都建立有各种形式的防火墙作为一个安全网关,防止外部网络的非法入侵,保护数据库信息免受破坏。数据包过滤器、状态分析和是最基本、最有效的防火墙技术,一般来讲,不单独使用其中一项,而是将三项技术综合使用,从而达到最好的防护效果。
防火墙技术具有简单实用、透明度高而且可以在不修改原有网络应用系统的情况下达到一定安全要求的特点。但防火墙技术不是万能的,其局限在于不能有效拦截网络内部的非法操作。另外,防火墙技术智能化程度较低,一旦确定防火墙级别,写入其内部的规则便已确定,对于某种信息是否拦截也已确定,无法实现动态识别和自动调整。再者,防火墙使用的滤波技术通常会大幅降低网络性能。
(2) 网络防病毒技术
病毒实际上就是针对复杂系统中的错误或漏洞,进行网络攻击来窃取、篡改信息,而复杂系统中的错误和漏洞往往难以规避,因此病毒对网络安全造成巨大的影响。对于病毒的防范,至关重要。必须严格加强服务器和工作站的操作管理,对于工作站而言,无盘操作、网络杀毒软件、防火墙是常用的病毒防范策略。对于病毒,我们必须做到预防为主,多种防范技术相结合的手段,才能将病毒规避于无形。
(3)入侵检测
所谓的网路入侵是指非指定授权用户对计算机网络数据进行篡改、复制、存贮等行为以及恶意破坏计算机网络安全等行为。为了防止数据库被破坏,针对网络入侵,必须实施有效的入侵检测。所谓入侵检测是指监控安全日志及审计数据等计算机网络系统中的关键点信息,并对信息进行归纳分析,进而检测到对系统的闯入或闯入的企图。入侵检测是一项重要的安全监控技术,能够有效地监督系统及用户的行为、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全策略的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。
3.3 管理安全防护策略
计算机的安全通常都是由人来控制,任何数据的维护以及数据库系统和计算机网络的安全运行,都是由人这个主体来完成,加强计算机网络安全教育以及对操作管理人员进行与时俱进的培训和管理,才能最终解决计算机安全的问题的。
4.结语
数据库技术的发展日新月异,而对数据库的攻击方式也五花八门,要求我们数据库系统的管理和维护方式必须具备多样性、可持续性。综上所述,确保数据库安全,必须分析影响数据库安全的各个因素,引进最新的安全技术成果,升级安全防范软件,相信数据库安全问题在今后会得到有效的控制和解决。
参考文献:
常用网络安全标准范文第3篇
如今的信息化时代,计算机网络已经成为人们工作、学习和生活中一种不可缺少的重要工具,当前很多高校都构建了自己的校园局域网,为广大师生的学习和工作提供了很多的便利,与此同时由于计算机网络的开放性,校园网经常遭受多种安全威胁,严重影响了校园网的安全稳定运行。因此在校园网中要积极利用网络安全技术,提高校园网的安全性。本文分析了校园网的安全目标,阐述了网络安全技术在校园网中的应用。
【关键词】网络安全技术 校园网 应用
近年来,计算机网络技术被广泛的应用在高校校园中,校园网快速发展,同时校园网的安全问题也受到了人们关注的焦点。由于校园网的网络用户包含职工、教师、学生等多个人群,并且不同使用者对于校园网的使用也不同,如网络办公、浏览网页、信息处理等,校园网的安全问题非常突出。为了提高校园网的安全稳定性,必须积极的在校园网中应用网络安全技术,加强校园网网络安全管理,使校园网为广大师生提供更多的便利。
1 校园网的安全目标
1.1 可控性
校园网的可控性是指校园网可以调节和控制传播信息内容和方式的能力,为了保障广大师生和国家的利益,维护良好的社会秩序,校园网管理者必须适当的控制和监督在校园网平台上传播的相关信息,避免社会犯罪和外界侵犯,保障校园网的安全稳定性。
1.2 可靠性
校园网的可靠性是校园网最基本的安全目标之一,校园网的可靠性是指校园网安全、稳定的运行,快速完成校园网用户指定的相应功能和具体任务。
1.3 真实性
校园网的真实性是指校园网用户不能否定或者抵赖对校园网系统的任何操作和承诺。任何用户对于校园网的操作都具有真实性。
1.4 保密性
校园网的保密性是指校园网必须确保用户信息的安全性,不能出现信息泄露,提高校园网的可靠性和可用性。校园网的保密性要求校园网管理系统必须做好用户信息保存和处理工作,任何人不得泄露网络用户的个人信息。
1.5 完整性
校园网的完整性是指各种信息资源在校园网的传输过程中,不能发生信息资源删除、修改、伪造、篡改等破坏行为,确保信息资源的完整性。校园网在日常运行过程中,很容易受到设备故障、误码、恶意攻击、网络病毒等因素的影响,导致校园网信息资源被破坏,严重影响校园网的安全稳定运行。
2 网络安全技术在校园网中的应用
2.1 防火墙技术
在校园网中安装防火墙,以校园局域网为平台,按照一定的计算机网络系统中的相关安全标准,实时检测校园网中传输的数据包,如果发现数据包的来源地质存在安全风险,会立即拦截传输数据进入网络,并且快速阻止非法入侵者或者网络黑客以非法手段获取内部信息数据或者访问内部网络,能够有效地过滤校园网中的危险因素,有效地提高了校园网的安全性。另外,防火墙技术还可以实时记录和监控校园网的多种操作,校园网用户在校园网的操作内容都会经过防火墙的监测,并且留下相关的记录信息,一旦发现校园网出现非法操作,会立即发出报警信号,引起校园网管理人员和用户的注意。
2.2 访问控制列表技术(ACL)
在校园网中应用ACL技术,可以对校园网中的协议、MAC地址、端口、IP地址等进行过滤,有效地抵挡人为恶意攻击和病毒攻击。可以利用ACL技术的访问控制拓展列表和访问控制标准列表来定义规则,只允许校园网中的MAC和IP访问系统操作和数据库[2],校园网系统数据库只提供给开放部分的端口,屏蔽不常使用和病毒经常出入的端口,只允许合法的网络用户进行数据交流,将一切非法的主机抵挡在校园网之外。
2.3 数据加密技术
在校园网中应用数据加密技术,防止非法入侵者篡改和查看校园网中的重要信息和文件。应用数据加密技术对校园网中的信息数据进行加密,主动抵御校园网可能出现的安全隐患,提高校园网的安全性。数据加密技术可以将校园网中的数据信息进行置换或者移位变换,由网络密钥来控制数据信息的解密。通常情况下,数据加密技术拥有公开密钥和私用密钥两种加密技术,私用密钥加密技术利用同一个密钥解密和加密数据信息,只有校园网授权用户才知道这个密钥,授权用户利用这个私用密钥对数据信息进行解密。数据加密技术的公开密钥加密拥有私钥和公钥两个密钥,可以同时进行解密和加密,如果校园网用户使用私钥对网络数据进行加密,拥有公钥的网络用户可以完成解密,如果校园网用户使用公钥对网络数据进行加密,只有拥有私钥的用户可以进行解密,公钥在校园网中是公开的,任何网络用户都可以使用公钥对数据信息加密,然后将数据信息发送给拥有私钥的用户,只有合法用户才拥有私钥。
2.4 IDS技术
IDS(Intrusion Detection System)技术是一种非常重要的入侵检测系统,在校园网中应用IDS技术,可以实时监测校园网系统中信息的通信情况,当监测到异常的访问行为或者数据传输时,IDS可以自动采取主动防护措施或者发出报警信号。当前,入侵检测系统主要通过误用检测和异常检测这两种检测方法,检测校园网中的入侵行为。
2.5 身份认证技术
由于校园网的用户类型较多,为了确保校园网的安全稳定性,对于任何进入校园网系统的用户都必须进行身份认证,因此可以在校园网中应用身份认证技术,这种数字化的PKI体制的身份认证技术和传统的使用口令及用户名认证技术相比,其安全性能更高。用户登陆校园网之后,在访问校园网信息资源时,需要使用会话和证书信息,通过这些来验证用户的真实身份,有效地阻止非法入侵者假冒合法用户的行为。另外,这种数字化的PKI体制的身份认证技术还可以有效地提高校园网的校园一卡通登录、电子邮件、权限管理和控制以及日志管理和审计等方面的信息安全。
3 结束语
校园网对广大师生的生活、学习和工作有着非常重要的影响,只有不断提高校园网的安全性,人们才能更加放心地使用校园网系统,因此要积极应用多种网络安全技术,推动校园网的安全、稳定运行,为广大师生提供更多的服务。
参考文献
[1]丁吉安.常用网络安全技术在校园网中的应用研究[D].山东大学,2011.
[2]姚汝,肖尧.网络安全技术在校园网中的应用研究[J].网络安全技术与应用,2014,01:115+165.
[3]谢晖辉.网络安全技术在校园网中的应用[J].电脑知识与技术,2011,09:2087-2088.
常用网络安全标准范文第4篇
关键词:信息安全 防火墙 CGI ARP
目前,电子政务的发展方兴未艾,已经进入了符合Internet/Intranet技术标准的平台应用阶段。在这一阶段,电子政务系统不仅在技术上有了很大进步,而且应用范围已从部门内部、部门之间扩展到行业/系统内部,乃至跨部委跨系统。这样的一个庞大系统,不仅要考虑其可靠性、开放性、可维护性和可管理性,更应考虑其安全性。没有安全性,这个系统就失去了存在的意义,而且随着技术的发展,安全问题已经成为电子政务的核心问题,它将伴随着电子政务的发展而发展。
在安全性方面,除了要制定严密的入网、使用制度外,更应该从技术上保障系统的安全。通过多年网络管理、维护的实践,并借鉴网络战的相关战法,笔者总结了几点安全性措施,以供同行参考。
一、查漏强网法
查漏强网法,是指要经常或定期对己方网络进行网络安全漏洞检测和修补,提高己方网络抵御黑客攻击的能力。
网管应该时刻牢记:在完成一个网络补丁的同时,可能又产生新的漏洞。这些漏洞即使我们不去研究,黑客也会去研究的,我们应该把研究网络安全漏洞看成是建立网络防御体系的关键所在;要尽量减少漏洞发现与漏洞修补之间的“时间差”。这个“时间差”越小,黑客能利用我方网络安全漏洞的机会就越少,反之我方网络面临的安全威胁越大。
通过多起泄密案例分析,堡垒往往是从内部攻破的。因此,网管也应抓好硬件、软件和人员的管理。一个好的规章制度其隐性的作用往往胜过好的防火墙。
在查漏方面,CGI脚本是主页安全漏洞的主要来源,推荐过滤“& ;` " ” | * ? ~ ^ ( ) [ ] { } $ # ”等特殊字符;在设计CGI脚本时,其对输入数据的长度有严格限制;使用C编写CGI程序时,一定要使用安全的函数;实现功能时制定安全合理的策略,CGI程序还应具有检查异常情况的功能,在检查出陌生数据后CGI应能及时处理这些情况。在保护FTP服务器时,设置站点为不可视和设置用户登陆频率行之有效。
二、监测反黑法
监测反黑法,是指在己方网络运行过程中,动态监视网络运行状态和用户行为,当发现异常情况和黑客攻击行为时,及时报警并采取应对措施,对付黑客的攻击。
一名好的网络安全人员,应该从两个不同的角度对网络进行安全评估:第一,从黑客角度进行思考,寻找现有的网络漏洞,对网络资源加以保护;第二,从安全管理者的角度进行思考,寻找既可保障安全又不影响网络运行效率的最佳途径。
计算机网络防御不是采用安全措施就万事大吉的静态过程,而是一个包括网络防护、监测、响应、恢复等四个环节的连续、反复的动态过程。具体实施有:第一,要选择符合安全标准和通过安全认证的网络安全技术手段和设备,如选择安全级别较高的网络操作系统、数据库系统、服务器、路由器和防火墙等,构建一个全方位、多层次、立体化的动态防护体系,构建网络防御的第一道防线。第二,要采用网络入侵检测216系统及时发现黑客攻击行为,及时报警。第三,当发生报警时应及时分析原因,采用应急响应和处置措施,断开网络连接、堵塞漏洞、跟踪攻击或进行反攻,及时把敌人入侵的手段、特点向上级报告和向友邻单位通报。第四,要及时对网络系统的软件和数据进行备份;当网络系统遭到破坏时,应能够及时对软件和数据进行恢复。
对于目前危害很大的ARP病毒攻击,可以使用以下的方法进行防御:
使用可防御ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。
对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大地减少该问题的发生。
在发生ARP攻击时,及时找到病毒攻击源头,并收集病毒信息,使用TrendLabs软件进行分析,TrendLabs将以最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。
三、筑墙护网法
筑墙护网法,是指通过身份认证、访问控制、数据加密和防火墙等手段在网络边界和网络内部主机上构建一道一道的防火墙,以防止黑客进行网络渗透或入侵,窃取情报。
网络防火墙是一种保护计算机网络系统安全的技术性措施,它是将计算机内部网络和外部网络分开的方法,实际上是一种隔离技术,它可以阻止网络中的黑客来攻击和破坏内部网络。目前网络防火墙主要有以下四种类型:包过滤防火墙、防火墙、双穴主机防火墙和检测型防火墙。不同类型的防火墙,其效果是不同的。需要注意的是,监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在使用中的防火墙产品仍然以型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。
四、以攻协防法
以攻协防法,即在防御中抓住有利的战机对黑客计算机网络系统实施攻击,以积极的攻势行动保护己方计算机网络系统安全的方法。这种方法在网络战中经常使用。
进攻就是最好的防御。人不犯我,我不犯人。目前网络泄密已经给我们各行各业造成了巨大的损失,对敌对势力进行必要的教训是应该的。通过对黑客实施计算机网络侦察,了解黑客对我实施计算机网络进攻的组织和实施方案,以及黑客计算机网络系统的相关信息,一方面便于我方采取得当的隐蔽对策实施防护,另一方面可以通过了解的情报,对黑客计算机网络系统实施反击,从而达到保护我方计算机网络系统的目的。
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。我国日益开放并融入世界,但加强安全监管和建立保护屏障不可或缺。目前我国政府、相关部门和有识之士都把网络监管提到新的高度,例如上海市负责信息安全工作的部门就提出了采用非对称战略构建上海信息安全防御体系,其核心是在技术处于弱势的情况下,用强化管理体系来提高网络安全整体水平。我们衷心希望在不久的将来,我国信息安全工作能跟随信息化的逐步深入,上一个新台阶。
作者简介:
常用网络安全标准范文第5篇
随着互联网络的发展和师生对各种数据需要和交流的不断增长,各高职院都已经建立了自己的网络。伴随着网络用户和数据信息量的迅速增长以及网络环境和管理复杂等原因,校园网不但要防止来自外部的黑客入侵,还需要防止来自内部的恶意破坏。即要保证信息的开放与安全性,又要保证教学财务等信息的完整和保密性。所以,校园网络的安全是至关重要的。
2网络安全防护措施
(1)internet的不安全性。①网络互联技术是全开放的,使得网络面临的破坏和攻击来自各方面。②网络的国际性意味着网络的攻击不仅来自本地网络的用户,而且可以来自互联网上的任何一台机器。③网络的自由性意味着最初网络对用户的使用并没有提供任何的技术约束,用户可以自由地访问网络和信息。(2)操作系统的不安全性。操作系统安全是整个校园网络安全的基础。首先,操作系统的体系结构使得其程序链接是动态的,很容易遭到黑客的攻击和利用,人们在上传和下载文件时也容易产生计算机病毒。其次,操作系统可以创建进程并支持进程的远程创建与激活,这使得一些黑客或间谍软件能够很轻易地进入用户的计算机。(3)数据库的不安全性。资源共享和数据通信是计算机网络的主要功能,如今数据库系统需要面对更多的安全威胁。数据库的安全就是为了确保数据的安全可靠和信息完整。阻止用户对数据的故意破坏和非法存取。数据的不安全性主要有以下两个方面:①非授权用户对数据库的访问。②授权用户对数据库的非法访问。文件服务器是运行网络操作系统的核心设备,它的基本功能就是向服务器提供文件和数据存储。简化了网络数据的管理、改善了系统的性能、提高了数据的可用性、降低了运营成本。此外文件服务器还具有分时系统管理的全部功能,能够对全网统一管理,提供网络用户访问文件、目录的并必控制和安全保密措施。因此文件服务器的损坏会造成整个网络的瘫痪。所以对文件服务器的管理至关重要。文件服务器的管理存在两个大问题,一是不能正确精确授权,导致文件管理混乱;二是不能有效对文件实施审核,缺乏了一套对文件管理的审核方案。防火墙指的是一个软件和硬件设备组合而成、在各种网络之间的界面上构造的保护屏障。它是一种网络安全部件,可以是硬件,也可以是软件,也可能是硬件和软件的结合,这种安全部件处于被保护网络和其它网络的边界,接收进出被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或做出其它操作。是隔离内部网络与外界网络的第一道安全防御系统,最大限度地阻止了网络中黑客的来访。是网络安全最主要和最基本的基础设施。如果没有防火墙,整个网络的安全将被网络中最脆弱的部分所制约。在设计和选用防火墙方面,不管采用原始设计还是使用现成的防火墙,对于管理员来说,首先得根据安全级别确定防火墙的安全标准。其次,设计或选用防火墙必须与网络接口匹配,要尽量防止所能想到的威胁。防火墙可以是软件或硬件模块,并能集成于网桥、网关、路由器等设备之中。为了安全起见,建议在防火墙网络中,对内部DNS服务器和外部DNS服务器进行分开放置。网络操作系统在安装时要先拔下网线。这样可以阻止黑客和病毒利用网络接口攻击操作系统。安装杀毒软件。为操作系统用户设置密码并禁止使用Guest用户。为操作系统安装用来修正操作系统漏洞的补丁。预防优盘病毒指用户向系统提供自己的身份证明,最常的方法是提供用户名和密码。身份鉴别强调一致性验证,因此必须保证标识的唯一性。鉴别是用于检验用户身份的合法性的检验。(4)数据库加密。常用的数据加密技术有对称加密技术和非对称加密技术两种。此外为了制止非授权用户对数据库的访问,也为了约束授权用户对数据库访问的范围和方式,DBMS必须具备用户帐号口令和用户身份识别的保护机制。DBMS依靠帐号和口令的一致来识别用户身份的合法性。全体用户的帐号口令储存在某个系统文件中,DBMS采用安全技术保护该文件,以免遭到破坏。DBA根据用户的实际需要授予适当的数据库使用权。给驱动器加密让服务器远离网络安装防病毒软件并定期杀毒删除不必要的软件、停止不必要的服务,不给黑客留下攻击的机会。使用最少的特权执行管理任务。给服务器更新最新最全的补丁。
3结语
