前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全技术专业培训范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:校园网络 网络安全 管理
高校校园网作为高校这个特殊环境中传递信息的媒介,是学校重要的教学、科研信息基础设施,它提供教学,科研,娱乐,教育管理,招生。随着校园网的逐步发展,网络应用的逐渐普及,校内部的网络越来越多的暴露给了外部世界。因此,在校园网络及其信息系统中如何设置自己的安全措施,使它安全、稳定、高效地运转,发挥其应有的作用,成为各校越来越重视的问题。
针对层出不穷的校园网络安全问题,高校内设办公机构和部门都购置了各种网络安全产品,如防火墙、入侵检测系统、漏洞扫描器、系统实时监控器、VPN网关、网络防病毒软件等。毋容置疑,这些产品分别在不同的侧面保护着网络系统。但是,从系统整体安全考虑,这些单一的网络安全产品都存在着不同的安全局限性。并且网络安全不仅有着众多的技术安全因素,更多的在网络安全的管理、部署和操作方面,因此,将技术和管理相结合,建立一个多层次的校园网安全防御体系,对于构建安全的校园网环境有着重大的意义。
保障高校校园网络安全应该从网络安全技术和安全策略方面去同步加强,安全策略是先导,先进的网络安全技术是根本。
网络信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。信息安全的实现要依靠先进的技术、严格的安全管理、法律约束和安全教育。本文从此三个方面去综合考虑、规划建设校园网络,构建了一个多层次的校园网安全主动防御体系模型。
一、依托网络安全技术构建网络安全堡垒
1.合理规划设计校园网络物理结构
校园网络是教学,科研,娱乐,教务管理、图书管管理等活动的基础设施。特别地,在科研、教务管理、图书馆管理等方面,对校园网络安全要求很高。对这些关键部门,构建相应的办公网络时,应该在物理上独立实施建设。与其他一些安全级别不同的部门在物理网络建设上应该尽量隔离,这样的物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。
计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。
正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.构建应用级网关、实时入侵检测(IDS)
应用级网关作为防火墙(Firewall)中的一个主要类型,它通过侦听网络内部客户的服务请求,检查并验证其合法性,若合法,它将作为一台客户机一样向真正的服务器发出请求并取回所需信息,最后再转发给客户。对于内部客户而言,应用级网关好像原始的公共服务器,对于公共服务器而言,服务器好像原始的客户一样,亦即应用级网关充当了双重身份,并将内部系统与外界完全隔离开来,外面只能看到服务器,而看不到任何内部资源。
IDS作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络受到危害之前进行拦截和响应。防火墙能够将一些预期的网络攻击阻挡于网络外面,而IDS还能对一些非预期的攻击进行识别并做出反应。将IDS与防火墙联动,能更有效地阻止攻击事件,把网络隐患降至较低程度。
3.建立多层次的病毒防护体系
这里的多层次病毒防护体系是指在Internet网关(具有垃圾邮件过滤功能)上安装基于Internet网关的反病毒软件;在服务器上安装基于服务器的反病毒软件;在校园网的每个台式机上安装台式机的反病毒软件。同时,还需要做好如下工作:定时对网络进行杀毒;对每台计算机都开启病毒监控;经常对服务器和客户机的杀毒软件进行升级。
二、加强和规范校园网络安全管理
1.加强黑客入侵检测与防范
校园网入侵者一般为校园网内部用户,有着窥探他人隐私的好奇性,攻入私人计算机。有的入侵者希望通过入侵学校数据库,以达到修改个人资料和学习成绩为目的。个别的电脑高手希望通过入侵,引起他人注意,以显示自己的能力,这样的人不会盗取别人的电脑资料,但会故意留下“足迹”,如进行破坏或是“留言”。
为了维护高校教务系统及图书馆管理系统安全,应该特别加强黑客入侵检测,并严格防范。主要可以采取以下几方面的措施:
(1)检测网络嗅探程序
网络嗅探是一种常用的收集网络数据包的方法,其基本原理是对经过网卡的数据包进行捕获和解码,从链路层协议开始进行解码分析,一直到应用层的协议,最后获取数据包中需要的内容,如账号、口令等。
当电脑系统被一些网络嗅探程序跟踪时,可能会出现网络通讯丢包率非常高或是网络带宽出现反常,这些情况是网络有嗅探器的可能反应。网络管理员就应该及时加以处理。通常,可以在关键的系统上部署检测嗅探器工具,例如AntiSniff工具,来自动检测网络嗅探程序。
(2)及时更新IIS漏洞
由于宽带的普及,给自己的计算机装上简单易学的IIS,搭建一个ftp或是web站点,已经不是什么难事。但是IIS层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对IIS的远程攻击防范措施:关注微软官方站点,及时安装IIS的漏洞补丁。
(3)选择性关闭IPC$共享、防止IPC$共享入侵
IPC$ (Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。2000/XP/2003在提供了IPC$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。个人用户如果无网络服务的可关闭IPC$共享,最好的方法是给自己的账户加上强口令,并不定期地更换。
2.加强校园网络中服务器安全规范
(1)制定缜密的服务器管理制度,对服务器的操作从程序上进行规范。确保安装正版操作系统和杀毒软件,及时更新,打上漏洞补丁。各种密码必须做到定期更换,经常对服务器进行漏洞扫描,确保安全。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
(2)建立定期备份制度,服务器可以采用RAID5(磁盘阵列)技术,或者是双机容错技术等等,确保系统能不间断运行。
(3)根据分配工作的不同,赋予操作人员不同级别的权限,同时建立完备的日志系统,做到出现问题能立马有迹可循。
3.建立校园网的统一认证系统
认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密和不可否认服务等。校园网与 Internet没有实施物理隔离。但是,对于运行内部管理信息系统的内网,建立其统一的身份认证系统仍然是非常必要的,以便对数字证书的生成、审批、发放、废止、查询等进行统一管理。
三、加强高校网络安全教育
要确保高校网络安全,除了依赖最新的网络安全技术去构建网络安全屏障外,还要加强高校网络安全教育。主要有以下几方面的措施:
1.对网络管理员定期进行专业培训
有些网络管理员专业知识和技能不够、责任心不强,部分网络管理员在工作之前没有受过系统的专业培训。所以,不能很好地胜任本职工作。
严格的管理是校园网安全的重要措施。事实上,很多学校都疏于这方面的管理,对网络安全保护不够重视。为了确保整个网络的安全有效运行,有必要制定出一套满足网络实际安全需要的、切实可行的安全管理制度。
2.在高校师生中普遍开展网络安全教育
高校中教师作为知识的引导传播者,在信息化教育不断发展的高校教育中,教师网络安全意识的提高,首先要从提高教师对网络安全的认识做起。教师应了解相关的网络安全法律、法规,如内容分级过滤制度等。教师应意识到无论是在学校还是家庭,都应加强网络安全和道德教育,积极、耐心的引导学生,使他们形成正确的态度和观念去面对网络。同时,给学生提供丰富、健康的网络资源,为学生营造良好的网络学习氛围,并教育学生在网上自觉遵守道德规范,维护自身和他人的合法权益。
四、总结
高校校园网络信息安全是我们非常关注但又难以彻底解决的问题。校园网络建设没有统一的标准和规范,目前也没专门的技术或产品能够完全解决网络的安全问题。我们只能根据最新的信息安全保障体系理念,采用安全策略分析、授权访问、认证技术、密码技术、防火墙技术、IPSec技术(IP Security)信息与网络安全最新的技术去构建校园网络的安全体系,另外,我们在思想上要认识到网络安全的重要性,在校园网络安全建设硬件方面不但要有资金投入,还要不断加强校园网络管理人员和校园网用户的网络安全知识教育培训,树立大家的网络安全防范意识。这样,就可以使网络安全事故发生的可能性降低到最小。我们相信,随着教育信息化的发展,校园网络安全也越来越受到大家的关注,校园网也会越来越安全。
参考文献:
[1]陈新建.校园网的安全现状和改进对策[J].网络安全技术与运用.
[2]刘建炜.基于网络层次结构安全的校园网络安全防护体系解决方案[J].教育探究,2010,(3).
[3]谢希仁.计算机网络[M].大连:大连理工大学出版社,2003.
关键词:网络安全角度;医院管理系统;计算机信息安全技术
一、医院计算机信息系统运行中常见的问题
(一)计算机信息系统内部的安全隐患
医院计算机信息系统的内部安全隐患,即网络运行过程中出现的安全性破坏,或是导致系统数据出现缺失而导致的意外情况,都属于内部的安全隐患。
(二)计算机信息系统外部的安全隐患
能够造成计算机信息系统外部安全隐患,通常属于人为故意破坏的行为,随着计算机信息技术的发展,部分不法分子通过电子信息技术入侵其他系统盗取文件的行为日益猖獗,对于这样的违法行为,即使有关部门勒令禁止,但仍无法完全杜绝。如医院与医保中心之间的计算机系统是相互连接的,一旦一方的计算机系统出现高危病毒,或者说病毒的水平高于医院计算机系统的防火墙设置,那么就会形成大面积的计算机瘫痪,从而影响医疗设施的正常流程运作,使网络运行出现巨大的安全隐患。
(三)计算机信息系统客户端运行的安全隐患
随着终端电子产品的不断涌现,各服务机构都能够通过手机终端App实现便捷服务,除这种形式外,在当下的医疗服务场所,一些客户端自助式设备也十分常见。这些客户端自助式设备,能够与网络相连接,通过用户的自主选择,实现所需服务的项目咨询或相关手续办理,为医疗服务提供了便利的途径。但医院的计算机客户端管理并不容易,需要更为专业的管理方式与制度约束,才能够规范管理流程。若是计算机客户端出现问题,其解决方式较为繁琐,并且会对医院的整体网络运行带来严重的影响。
二、医院计算机信息系统运行的安全技术内容及解决方法
(一)加强计算机数据的管理工作
(1)医院计算机信息系统应实行数据备份制度,加强对重要数据信息的管理工作,将重要的文件备份到安全的硬盘中。一旦出现系统事故,备份工作能够最大程度的降低医院的损失。医院的网络管理中心在安装各部门的计算机时,应利用网络中心数据库的设施,定期启动数据的自动备份管理,并借助恢复命令机制,确保备份服务器所工作的内容与主服务器一致。(2)医院应启动计算机运行的实时检测系统,将计算机系统的统计数据能够更加明确的记录下来,如医院的检查数据、诊疗信息等,都能够起到存档备份的作用。同时,医院的网络管理中心,也可以通过对系统运行状况的检测加以评估,对潜在风险进行及早的预防与控制,从而降低医院计算机系统的运行风险。
(二)加强对信息系统核心技术的管理与升级
(1)医院方面的计算机信息技术通常由网络运行中心进行管理,由于系统外部的接触设备较多,也使管理工作出现了许多困难。由外接设备所带来的病毒影响,对于计算机系统的运行是存在一定风险的,为了确保移动设备的使用安全,网络管理人员可通过在计算机系统上安装病毒识别软件,以实现对外接设备的安全控制。同时增强移动设备的安全性能也是十分必要的,这就需要相关工作人员对核心技术进行研究和升级。(2)当代医院已基本实现信息化管理流程,对从业人员的计算机方面培训也是必要的。医院应通过定期培训的方式,对计算机维护的基本常识与操作方法,进行系统化的培训与教育,使从业者具备信息系统安全的意识与理念,实现计算机操作的普及,避免由人为因素带来的网络运行破坏及故障。
(三)升级医院计算机网络系统的安全管理
(1)在管理层次,网络运行中心的工作人员应对服务器的运行进行定期的检查,不仅如此,还要对机房的运行环境进行整理和布置,使网络中心始终处于稳定的状态下。对发现的故障或风险,要及时反映情况并等待处理结果,才能使服务器的运行受到合理化保障。(2)医院的网络防火墙应及时更新和性能提升,使计算机信息系统能在抵抗病毒入侵方面得以性能优化。同时对于网络技术人员的专业培训也是必不可少的,院方要严格规范管理流程,使技术人员不断提升自身的专业水平,在明确岗位职责的基础上,对相关计算机信息系统进行安全规划和科学管理。
三、医院计算机信息系统运行的优化建议与解决方法
(1)由于网络管理与软件维护的工作较为繁重,且工作人员的维修效率有待提高,故医院方面可通过总结维修经验的方式,定期进行报告反馈,减少琐碎维修工作占用的时间。同时院方还应要求工作人员在软硬件维修上要作出全面的检修计划,对易出现或常出现的问题进行归类总结,以便于在通讯联系的过程中维修人员能够通过医务人员的描述,携带相关维修工具,并且能够在最短的时间内进行抢修,减少运行损失。(2)医院的计算机信息系统维护是一个需要不断提高的过程,其不仅要求在医院的管理制度上予以完善,更要在技术人员的软实力方面予以加强。院方可通过将部分业务外包的形式,对信息科所承担的维护任务进行分担,使内部技术人员能够与外部技术进行交流,实现自身维修水平的提升。同时院方还应整合规划全员的信息系统,做好系统扩展的规划方案,在目前所确立的信息化制度的基础上,予以合理的整合、优化与完善。
关键词:运营商;网络安全;风险分析;用户行为;安全增值
中图分类号:TN915.08 文献标识码:A 文章编号:1674-7712 (2012) 10-0107-01
随着互联网技术的飞速发展,互联网的建设和应用正日趋成熟,使得国内外同行业间的竞争加剧,因此,向全社会提供一个安全、高速、易用的互联网环境,成为了每个运营商都面临着的挑战。
本文简要分析了运营商普遍存在的安全问题,提出了一些有针对性的想法。从分析运营商所面临的安全风险入手,对运营商提高网络与信息安全的水平进行初步的探讨。
一、网络运营的安全现状和面临的主要安全风险
考虑互联网的安全,从技术层面上来说,应当首先明确网络结构的安全特性;从管理层面上说,应当首先明确技术人员的能力与规章制度的执行效率等情况。
为方便说明问题以一省的互联网为例,从网络、用户行为和管理等几个方面进行简要分析。
(一)网络层面
骨干网的安全风险主要有(依照破坏强度大小排列,下同):
1.急速消耗带宽类的拒绝服务攻击,例如,穿越省网出口的网络蠕虫引发的安全风险和穿越省骨干网核心节点间的网络蠕虫引发的安全风险;
2.路由器自身遭受攻击,例如IOS或路由协议可能出现的安全漏洞引发的安全风险;
3.路由器配置错误和不当引发的安全风险;
4.缓速消耗带宽类的拒绝服务攻击,例如各种人为的以缓慢消耗带宽为目的的破坏。
(二)用户行为
用户行为的安全风险主要有:
1.病毒的传播更加便捷高效、破坏力更强。虽然用户可能使用了各种形式的杀毒软件,但是如果出现病毒借助点对点共享方式进行传播的情况,由于病毒检测机构很难快速获得病毒样本,所以被延长了的杀毒周期加剧了病毒的破坏力,带来的安全风险极大;
2.信息安全受到极大的挑战,数据的机密性和完整性受到严重威胁;
3.带宽消耗非常大,符合缓速消耗带宽类拒绝服务攻击的特征。
由此看出,虽然用户行为引发的安全风险主要集中在用户自身,影响其信息资产的安全,同时也对运营商的网络产生影响。但是用户不会如此客观的看待这个问题。他们很可能会迁怒于运营商网络的不稳定、不安全。如此下去,若被竞争对手加以利用,则会更加不利于市场竞争。
(三)管理层面
安全工作需要管理层面和技术层面紧密结合才能取得实质的效果,在行业内普遍认同“三分技术、七分管理”的理念。
1.目前,各运营商都普遍成立了专门的安全组织,但在实际工作中,各级安全机构间的沟通一直都比较少,还没有形成定期沟通的机制。由此会引发的安全风险主要表现在由于指挥调度、信息传递、考核监督等受到影响而不能及时处理安全事件、消除安全隐患等方面。
2.在安全工作的流程上,主要有两个工作关系还没有得到优化:一是安全管理员与设备、网管维护人员的工作关系,二是上级安全管理员与下级安全管理员间的工作关系。由于流程没有优化,加之相关的规章制度也没有健全,所以会带来安全管理上的风险。
3.运营商的整个安全工作缺乏一支专业技术队伍作为支撑,缺乏较高水平的核心技术人员,很多工作无法落到实处。缺乏核心技术人员,以及技术人员整体水平偏低,都是安全工作的严重隐患,能引发极大的安全风险。
二、网络运营安全问题的解决思路
总结上述对运营商互联网安全风险的分析,可以看到,当前的安全风险已经分布在涉及技术和管理两大范畴在内的方方面面。为了有效的消除安全风险,可以采取“三步走”战略。
(一)采取基本措施,具备安全风险控制的基本能力
1.部署分布式漏洞扫描器(IS), 主动发现安全漏洞。使用漏洞扫描器可以主动的发现安全隐患,从而能够及时采取必要措施进行补救以避免遭受网络攻击和破坏。漏洞扫描器主要采用模拟入侵的方式验证目标系统的安全性,用来对全省互联网设备和业务主机进行漏洞扫描和发现。
2.部署分布式网络入侵检测系统(IDS),完善安全监视手段。网络入侵检测(预防)系统主要是用来识别网络攻击和安全事故,监视网络安全状况;可以为发现、截获、追踪和事后分析网络攻击行为提供必要的原始数据。入侵检测系统不同于异常流量分析设备,前者是基于安全事件的检测,智能化程度较高;后者基于流量采样统计,对大流量环境下的检测能力较强。
3.部署综合安全风险分析系统。综合安全风险分析系统可以改善当前网络安全工作中完全依靠手工运算进行安全风险分析、预测的局面,全面提高网络安全风险控制的能力。综合安全风险分析系统还可以在运行维护的辅助决策、安全预警和流程控制等方面发挥作用。
4.部署防范拒绝服务攻击(Anti-DDoS)系统。防范拒绝服务攻击系统具备综合安全风险分析系统的关联分析资料,防范拒绝服务模块可以与之进行联动,在综合安全风险分析系统的支持下,可以有效的调度网络资源对抗(或削弱)拒绝服务攻击,还可以进行溯源。
5.考虑请一家或数家安全技术力量雄厚的公司来为运营网络提供高级安全顾问服务,并在出现紧急情况时,为运营商提供专业的安全应急服务。
6.技术队伍建设。采用参加专业培训与实际工作相结合的方式进行技术队伍建设,尤其应当注意培养核心技术人员。
(二)制订、实施安全工作的中长期规划
中长期规划主要用来加强互联网网络本身和各种依托互联网的业务系统的生存能力,也就是考虑实施业务持续性计划,或称作BCP(Business Continuity Planning)。
BCP是一套完整的解决方案,用来消灭或降低突发事件对业务产生的影响,是在量化的业务冲击分析(BIA)及风险分析(RA)基础上,制定各种相应的应急及恢复计划、方法和流程,减轻灾难事件造成的不利影响。
(三)安全增值服务计划
【关键词】防护技术;计算机;网络信息安全
1计算机网络信息安全定义
信息安全是基于各种安全协议、CP安全操作系统等网络管理控制技术及配套管理机制、法律等,使得网络信息所依存的系统安全,网络信息不被非法传播、控制、变动、使用等,保障计算机网络信息具备较好的保密性、完整性、可控性、可用性等。一般认为,依据实施主体不同,可把计算机网络信息安全可划分为物理安全及逻辑安全两部分。物理安全即网络信息所寄存的系统、系统所配置的硬件及拷贝工具等不受到物理损伤或丢失;逻辑安全即保障信息真实性、完整性及可控性等。
2计算机网络信息安全的现状
2.1信息安全的问题
信息安全受到的威胁集中在人为因素上,即网络黑客等通过编程、篡改或破坏安全机制,非法调用、变动原始网络信息,使得用户个人信息、文件等泄密。此外,入侵者还可通过编写网络病毒或制作携带病毒的APP,来破坏系统安全防护机制,使得密码、账户、企业机密等用户信息在传播过程中造到窃取、泄密等。
2.2物理安全的问题
物理安全问题的实施主体是网络信息所依存的系统硬件配置,主要的成因是温差、湿度过大等环境因素,所引起的系统安全问题一般有设备故障、线路受损、供电问题、系统问题等。系统硬件受损一般具有恢复难度大,维护成本高等特点。
3安全防护的技术手段
3.1计算机安全技术
强健的操作系统(OS):操作系统是配置在计算机上的初始系统软件,作为计算机软硬件运转的基础和人机交互的接口,其功能的正常实施具有重要作用。就系统安全性来讲,配置良好的访问控制及系统设计的系统具有较好的安全性能;此外,用户应优先选择软件工具完备、缩放性好的的操作系统;为缩减系统受到非法入侵的概率,应优先选用低用户群OS系统版本。容错技术:系统容错技术在处理数据算坏及丢失情况时,具有良好性能,损失的数据自动恢复,可保障系统具备良好的稳定性。当前主流的容错技术有:基于奇偶校验及错误校正码的匹配,避免位址总线及数据的运转出错;引入双机备份同步校验机制,使得网络系统中某一系统出错后,可以自动跳转至另一备用系统,保障系统安全和数据完整。
3.2网络信息安全技术
3.2.1信息确认技术安全机制构建的基础在于用户与系统间的信任关系,这种信任关系可通过直接信任或第三方信任的方案来确认,与之相匹配的确认技术有:只有合法用户才有权限对外发送信息,入侵者不能盗用身份进行信息传送;信息接收者在明晰发送者的合法身份后,可对传送信息进行校验,并可依次拒绝接收信息;发生异常,认证系统会对传送信息做出处理。
3.2.2网络访问控制技术即防火墙技术,是计算机信息安全的防护系统,其功能模块在外部网络及内部网络之间,控制着访问权限及数据交互。其实施规则为:不被禁止便可访问,不被允许便被禁止。防火墙技术的实质是一项隔离技术,为保证其功能实施,人们建立了包过滤技术、虚拟补丁技术、审计技术等技术手段。
3.2.3密钥安全技术密钥安全技术作为一项应用最为广泛、实践效果良好的安全保密手段,不断有新型加密技术涌现,但可简单划分为非对称加密及对称密钥加密两类。其中,非对称加密是通过一个公钥和一个私钥来完成密钥管理,电子签章比较容易,但非对称加密算法设计复杂,用户操作繁杂。对称密钥加密是用同一密钥进行加密解密,用户操作简单,算法设计简易,实践效果良好,但是密码长度不大,破解难度小。
3.3病毒防范技术
计算机病毒是入侵者为实现特定目的而编写的可执行代码,具有自我复制、破坏性及传染性等特征,最终会破坏计算机功能及网络数据。病毒成功突破计算机安全机制后,入侵者会编写特定代码附着在文件中,为系统攻击及数据篡改等打下基础。常见的非法侵入行为有破坏系统安全网络,直接窃取用户账号、密码等,或向程序中插入计算机病毒、木马、逻辑炸弹等。
4加强计算机网络安全的对策措施
4.1强化网络加密技术
加密保护是实证效果良好的数据安全处理方式,可对网络数据、文件、用户信息及网络信息传输过程实现良好防护。网络数据传输过程加密方式有:①首尾加密,即对进行网络传输的数据实现全程加密,由接收端进行解密;②链接加密,即网络传输信息进入一个节点后,系统会配置一个密码进行加密,传送至另一节点后,会进行解密,并且,各节点加密密码不同;③节点加密,同样是在节点进行加密,但是一般要用保存在安全保险箱中的加密硬件对处于传输过程的数据进行解密与重加密。
4.2加强网络安全教育和管理
该措施的立足点在于提高系统操作人员的专业技能,继而避免基于人为因素而存在的信息安全问题。具体来讲,应对操作者进行安全防护专业培训,提高操作水平;建规立制,规范具体操作流程,强化操作者安全意识及责任感。
关键词:网络安全;信息安全;计算机安全;信息管理
随着交通行业的科技信息化发展,交通行业各应用系统及计算机遭受病毒攻击、垃圾邮件泛滥等问题威胁着行业信息安全。由于缺乏安全意识,出现了数据丢失、信息被盗等安全问题,给整个行业造成重大损失。保证行业内计算机及网络信息系统的安全运行,不受病毒、黑客的侵扰极为重要。
1交通行业计算机信息安全存在的问题
现阶段,交通行业内的计算机用户群体复杂,存在的信息安全问题也很复杂。主要存在以下几个方面的问题。(1)计算机软硬件核心技术大多依赖进口目前,中国的软硬件核心技术欠缺,例如美国的CPU芯片、美国微软公司的WINDOWS操作系统、美国微软公司的日常办公通用软件OPFICE、各大数据库等软硬件大多依赖国外。国外的系统固然会不定期更新,但肯定会存在大量的安全漏洞,留下隐藏性病毒、后门等隐患。这些漏洞使得计算机的安全性能大大降低,同时使网络处于极脆弱的状态。(2)缺乏安全有效的防护措施很多计算机用户不设置系统登录密码,即便是设置了密码但是密码策略低,有的甚至设置成电话号码、连续数字等。用户虽然安装了杀毒软件,但缺乏安全意识,有的用户的杀毒软件根本没有升级病毒库,相当于是在裸机的状态下使用,一旦感染病毒,再加上黑客攻击,很可能直接造成网络瘫痪,从而导致存储在计算机中的大量敏感文件和工作文件信息被窃取,极易造成泄密事件。(3)重要数据缺少备份行业用户的操作水平不高或者操作习惯不好,会导致经常误删一些重要文件。此外,各种自然灾害、病毒、黑客攻击、计算机硬件设备损坏等都会导致文件及数据遭遇毁灭性的损坏。如果用户未对重要数据进行备份,一旦文件遭到破坏将很难恢复,对个人甚至国家都会造成严重后果,所以数据备份不容忽视。(4)电子邮箱密码设置过于简单某些单位的电子邮箱没有相关管理制度,网络管理者在分配邮箱的时候一般会设置一个较简单的默认密码,用户在使用过程中很少有修改密码的习惯。完全把邮箱变成一个网络存储空间使用,往来邮件长时间不清理。一旦电子邮箱被黑客攻破,后果不堪设想。(5)计算机网络信息安全缺乏严格的管理制度行业内大部分单位虽然有信息安全管理制度,也明确了岗位职责及规范,但在实际工作中却并未严格按照规范执行,有很多制度一成不变,已经跟不上时代的发展,与现阶段国家的相关规定也存在很大差距,导致极大的信息安全隐患。此外,对于特定的账户密码和管理员权限没有监管,缺乏安全保障制度和预防措施。(6)对于计算机信息安全事故缺乏有效的应对措施防患于未然极其重要。一些行业内单位对于信息安全缺少防范措施,一旦出现重大网络安全故障后,缺乏快速补救的措施和应急方案,不能及时排除安全故障和隐患,势必会给单位和个人造成重大损失。(7)计算机信息使用和管理人员安全意识淡薄有的计算机信息使用和管理人员在日常生活和工作中缺乏安全保密意识,不能严格执行交通运输部保密办的“计算机不上网,上网计算机不”的保密要求,往往把U盘混用,接收资料也不杀毒处理,操作系统、杀毒软件不及时升级,这些行为都会导致计算机感染病毒。外出时,个人手机和笔记本电脑经常会连接到各种无线网络中,这对行业信息安全都有极大的风险。
2交通行业计算机信息安全管理对策
(1)推广国内自主研发的核心设备和技术的应用按照国家相关要求和规范进行网络信息安全和计算机信息化设备的采购和配置。涉及到重要的信息,尽量使用国内自主研发的经过国家保密局、安全局、公安部评测通过的计算机网络安全设备。(2)对内部网络及系统进行分级保护对行业内的计算机信息网络,一定要按照国家有关要求和交通运输部保密办的要求,进行分级保护管理。对单位内网络中的所有网络终端进行系统加固,安装安全登录、主机审计、身份认证、主机监控、黑白名单、违规外联、补丁分发、文件分发系统。对网络内的终端计算机实行关闭刻录、USB使用功能,禁止使用无线及蓝牙等外设设备,采用红黑电源插座。计算机只可进数据,严禁出数据。出数据必须要逐级审批,方可开通权限进行刻录和打印。对网络线路加装线路保护仪,网络设备和系统要放置在屏蔽机房和屏蔽机柜内。(3)对内部非的网络和政务外网进行等级保护按照国家有关要求和标准规范,进行等级保护测评。全面安装计算机安全登录终端、主机审计和监控系统。对等级级别高的网路和系统要间隔不长时间再次测评。《中华人民共和国网络安全法》现已实施,为了避免在国家重大活动信息安全保障中出现信息安全责任事故,尽量使用软硬件设备关闭单位大楼内的无线信号。(4)安装防病毒软件、防火墙、入侵检测系统对行业内的网络计算机,要逐台安装防病毒软件和木马查杀软件,要求对病毒进行定时或实时的扫描及漏洞检测。对文件、邮件、内存、网页进行全面实时监控,一旦发现异常情况,及时定位处理。要使用补丁分发系统及时针对系统和常用软件漏洞进行分发安装。网络层一定要软硬结合,使用防火墙和入侵检测系统,对安全策略及过滤规则按照最高等级设置,以防御外部恶意攻击。对网络中的IP地址加装ACK地址管理系统。为了安全起见,全部设置静态IP地址,然后与MAC地址绑定,这样可以有效预防IP地址欺骗。同时利用上网行为管理系统,屏蔽非法访问的不良行为,禁止把内部敏感信息和数据传播至公共网络。使用网络监控和预警平台对网络进行监测,及时有效地保护网络安全。(5)完善行业计算机网络安全管理体系为了加强网络安全管理,将信息安全管理工作落到实处,必须对网络中的每个管理环节进行监管,实现网络信息安全的最终目标。为了提前发现网络风险,将风险降至最小,避免黑客利用漏洞破坏网络信息安全,必须从顶层设计入手,针对网络信息安全制定全面的管理体系和网络信息风险评估体系,这对建设安全的网络环境十分重要,可以对网络信息起到监管作用,更加有利于网络信息安全管理。(6)提高思想认识,加强制度落实信息安全管理工作的首要基础是通过加强思想教育、制度学习和落实,提高全员的网络安全意识。认真学习各类信息安全法规和保密教材,尤其是要深入学习《中华人民共和国网络安全法》,强化安全保密观念,提高安全保密意识和素质,增强网络安全保密知识,改善网络安全保密环境。(7)制定严格的信息安全管理制度为了维护行业信息安全,每个行业单位应结合实际情况,完善内部网络信息安全管理制度,确保信息处理、存储、传播的安全。对于的计算机应安排专人负责。文件应单独保存在介质中。对于机房、计算机软硬件、信息系统建设与运维、邮件服务器系统,也应制定不同的安全策略和管理制度,并在实际工作中严格执行落实。(8)制定网络安全应急管理措施为了能够及时快速地处置网络安全事故,行业各单位需结合实际情况,制定本单位网络安全应急管理措施,明确岗位职责和处置权限,并定期开展安全应急预演,提高技术人员的应急处理能力。网络安全事故突发应急处置过程中,一旦发现问题要及时上报,规定报送流程、时间要求等,采取措施降低损害。每次的处理都要记录并保存,以便追溯。按照应急处置程序,一旦发生信息安全事件,要立即向有关部门报告。(9)重视网络信息安全人才的培养各单位应重视网络信息安全人才的培养,建立一支信息安全管理技术过硬的团队。每年制定不同的年度培训计划,通过每季度不少于一次的专业培训来提高网络信息安全人才的专业技术能力。
3结语
总之,交通运输行业对计算机及各种网络的依赖性越来越强,遭受各种病毒侵扰、黑客攻击也是不可避免的。交通行业计算机及网络信息安全问题,必须引起各单位高度重视。人人都应从自我做起,提高个人的信息安全意识,养成良好的计算机使用习惯。只有完善制度、严格落实执行、提高监管力度,才能从根本上解决网络信息安全问题,建立稳定、和谐、安全的网络信息环境。
作者:郭俊杰 单位:中国交通通信信息中心
参考文献:
[1]赵辉,樊杰,徐京渝.分布式行业电子政务网络信息安全问题及对策[J].中国交通信息化,2013(2):36-38.
[2]李治国.浅析计算机网络信息安全存在的问题及对策[J].计算机光盘软件与应用,2012(21):47-48.