互联网安全技术
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇互联网安全技术范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
互联网安全技术范文第1篇
第二条本规定所称互联网安全保护技术措施,是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法。
第三条互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施,并保障互联网安全保护技术措施功能的正常发挥。
第四条互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息,但法律、法规另有规定的除外。
互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施,不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。
第五条公安机关公共信息网络安全监察部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。
第六条互联网安全保护技术措施应当符合国家标准。没有国家标准的,应当符合公共安全行业技术标准。
第七条互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施:
(一)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;
(二)重要数据库和系统主要设备的冗灾备份措施;
(三)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;
(四)法律、法规和规章规定应当落实的其他安全保护技术措施。
第八条提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:
(一)记录并留存用户注册信息;
(二)使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系;
(三)记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。
第九条提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:
(一)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(二)提供新闻、出版以及电子公告等服务的,能够记录并留存的信息内容及时间;
(三)开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复;
(四)开办电子公告服务的,具有用户注册信息和信息审计功能;
(五)开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。
第十条提供互联网数据中心服务的单位和联网使用单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:
(一)记录并留存用户注册信息;
(二)在公共信息服务中发现、停止传输违法信息,并保留相关记录;
(三)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。
第十一条提供互联网上网服务的单位,除落实本规定第七条规定的互联网安全保护技术措施外,还应当安装并运行互联网公共上网服务场所安全管理系统。
第十二条互联网服务提供者依照本规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。
第十三条互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。
第十四条互联网服务提供者和联网使用单位不得实施下列破坏互联网安全保护技术措施的行为:
(一)擅自停止或者部分停止安全保护技术设施、技术手段运行;
(二)故意破坏安全保护技术设施;
(三)擅自删除、篡改安全保护技术设施、技术手段运行程序和记录;
(四)擅自改变安全保护技术措施的用途和范围;
(五)其他故意破坏安全保护技术措施或者妨碍其功能正常发挥的行为。
第十五条违反本规定第七条至第十四条规定的,由公安机关依照《计算机信息网络国际联网安全保护管理办法》第二十一条的规定予以处罚。
第十六条公安机关应当依法对辖区内互联网服务提供者和联网使用单位安全保护技术措施的落实情况进行指导、监督和检查。
公安机关在依法监督检查时,互联网服务提供者、联网使用单位应当派人参加。公安机关对监督检查发现的问题,应当提出改进意见,通知互联网服务提供者、联网使用单位及时整改。
公安机关在监督检查时,监督检查人员不得少于二人,并应当出示执法身份证件。
第十七条公安机关及其工作人员违反本规定,有,行为的,对直接负责的主管人员和其他直接责任人员依法给予行政处分;构成犯罪的,依法追究刑事责任。
第十八条本规定所称互联网服务提供者,是指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位。
本规定所称联网使用单位,是指为本单位应用需要连接并使用互联网的单位。
互联网安全技术范文第2篇
【关键词】互联网+ 入侵监测 安全防御 遗传算法
1 引言
入侵检测是一种网络安全防御技术,其可以部署于网络防火墙、访问控制列表等软件中,可以检测流入到系统中的数据流,并且识别数据流中的网络包内容,判别数据流是否属于木马和病毒等不正常数据。目前,网络安全入侵检测技术已经诞生了多种,比如状态检测技术和深度包过滤技术,有效提高了网络安全识别、处理等防御能力。
2 “互联网+”时代网络安全管理现状
目前,我国已经进入到了“互联网+”时代,互联网已经应用到了金融、民生、工业等多个领域。互联网的繁荣为人们带来了许多的便利,同时互联网安全事故也频频出现,网络病毒、木马和黑客攻击技术也大幅度改进,并且呈现出攻击渠道多样化、威胁智能化、范围广泛化等特点。
2.1 攻击渠道多样化
目前,网络设备、应用接入渠道较多,按照内外网划分为内网接入、外网接入;按照有线、无线可以划分为有线接入、无线接入;按照接入设备可以划分为PC接入、移动智能终端接入等多种类别,接入渠道较多,也为攻击威胁提供了较多的入侵渠道。
2.2 威胁智能化
攻击威胁程序设计技术的提升,使得病毒、木马隐藏的周期更长,行为更加隐蔽,传统的网络木马、病毒防御工具无法查杀。
2.3 破坏范围更广
随着网络及承载的应用软件集成化增强,不同类型的系统管理平台都通过SOA架构、ESB技术接入到网络集群平台上,一旦某个系统受到攻击,病毒可以在很短的时间内传播到其他子系统,破坏范围更广。
3 “互联网+”时代网络安全入侵检测功能设计
入侵检测业务流程包括三个阶段,分别是采集网络数据、分析数据内容和启动防御措施,能够实时预估网络安全防御状况,保证网络安全运行,如图1所示。
网络安全入侵检测过程中,为了提高入侵检测准确度,引入遗传算法和BP神经网络,结合这两种数据挖掘算法的优势,设计了一个遗传神经网络算法,业务流程如下:
(1)采集网络数据,获取数据源。
(2)利用遗传神经网络识别数据内容,对数据进行建模,将获取的网络数据包转换为神经网络能够识别的数学向量。
(3)使用已知的、理想状态的数据对遗传神经网络进行训练。
(4)使用训练好的遗传神经网络对网络数据进行检测。
(5)保存遗传神经网络检测的结果。
(6)网络安全响应。
遗传神经网络在入侵检测过程中包括两个阶段,分别是训练学习阶段和检测分析阶段。
(1)训练学习阶段。遗传神经网络训练学习可以生成一个功能完善的、识别准确的入侵检测模型,系统训练学习流程如下:给定样本库和期望输出参数,将两者作为遗传神经网络输入参数,学习样本中包含非常典型的具有攻击行为特征的样本数据和正常数据,通过训练学习得到的遗传神经网络可以与输入的期望结果进行比较和分析,直到期望输出的误差可以达到人们的期望值。
(2)检测分析阶段。遗传神经网络训练结束之后,使用权值的形式将其保存起来,将其应用到实际网络入侵检测系统,能够识别正常行为或异常行为。
4 结束语
互联网的快速发展和普及为人们的工作、生活和学习带来便利,但同时也潜在着许多威胁,采用先进的网络安全防御技术,以便提升网络的安全运行能力。入侵检测是网络安全主动防御的一个关键技术,入侵检测利用遗传算法和BP神经网络算法优势,可以准确地构建一个入侵检测模型,准确地检测出病毒、木马数据,启动病毒木马查杀软件,清除网络中的威胁,保证网络正常运行。
参考文献
[1]徐振华.基于BP神经网络的分布式入侵检测模型改进算法研究[J].网络安全技术与应用,2016,24(2):111-112.
[2]刘成.试论入侵检测技术在网络安全中的应用与研究[J].网络安全技术与应用,2016,24(2):74-75.
[3]周立军,张杰,吕海燕.基于数据挖掘技术的网络入侵检测技术研究[J].现代电子技术,2016,18(6):121-122.
[4]谢胜军.云计算时代网络安全现状与防御措施探讨[J].网络安全技术与应用,2016,26(2):41-42.
互联网安全技术范文第3篇
关键词:互联网;信息传播;信息安全;网络信息安全技术
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 05-0000-02
一、引言
随着科技的高速发展、互联网的大力普及,越来越多的人在互联网这个虚拟的世界里面开创了自己的小世界,很多以前只能在日常生活中完成的事情,也都搬到了网上进行。网络不仅成为了人们娱乐休闲的场所,成为了人们的一种职业手段,更成为了人们生活中不可或缺的一部分。在这种情况下,很多私人信息,包括个人及家庭基本信息、银行帐号信息等更加私密的信息,都需要通过互联网进行传输,在这种大背景之下,信息安全技术就显得尤为重要,而其在互联网中的运用也成为了人们不得不考虑的问题。
二、网络环境下信息安全技术简介
单从信息安全来看,其包括的层面是很大的。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全技术,从广义上来看,凡是涉及到信息的安全性、完整性、可用性、真实性和可控性的相关理论和技术都是信息安全所要研究的领域。狭义的信息安全技术是指为对抗利用电子信息技术手段对信息资源及软、硬件应用系统进行截获、干扰、篡改、毁坏等恶意破坏行为所采用的电子信息技术的总称[1]。随着互联网热潮的兴起,整个社会对网络的依赖越来越强,信息安全的重要性开始显现。
随着信息安全内涵的不断延伸,信息安全技术也得到了长足的发展,从最初对信息进行保密,发展到现在要保证信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。互联网环境下,信息安全技术可以主要概括为以下几个方面的内容:身份认证技术、加密解密技术、边界防护技术、访问控制技术、主机加固技术、安全审计技术、检测监控技术等。
三、互联网中的信息安全技术
互联网是面向所有用户的,所有信息高度共享,所以信息安全技术在互联网中的应用就显得尤为重要。
(一)信息安全技术之于互联网的必要性
国际互联网十分发达,基本可以联通生活的方方面面,我国的互联网虽不如发达国家先进,但是同作为互联网,其所面临的安全问题都是一样的。网络信息安全有三个重要的目标:完整性、机密性和有效性,对于信息的保护,也便是从这三个方面进行展开,
(二)信息安全技术在互联网中的运用
美国国家安全局对现有的信息安全工程实践和计算机网络系统的构成进行了系统分析和总结,提出了《信息保障技术框架》[2],从空间维度,将分布式的网络信息系统划分为局域计算环境、网络边界、网络传输和网络基础设施四种类型的安全区域,并详细论述了在不同安全域如何应用不同的安全技术要素构建分布式的信息安全系统。所以互联网中对于信息安全技术的使用是有一个应用体系的,不同的网络系统有不同的安全策略,但是不论是何种网络形式,有三项信息安全技术是必须被运用的,它们是:身份认证技术、数据加密技术、防火墙技术。
1.身份认证技术
身份认证是网络安全的第一道防线,也是最重要的一道防线。对于身份认证系统来说,最重要的技术指标是合法用户的身份是否易于被别人冒充。用户身份被冒充不仅可能损害用户自身的利益,也可能损害其他用户和整个系统。所以,身份认证是授权控制的基础[3]。现实生活中,可以通过很多途径来进行身份的认证,就在这种情况下也有人伪造身份,而对于网络虚拟环境,身份应该如何认证确实是一项头疼的技术难题。目前网络上的身份认证方式主要有:密码认证、口令卡认证、u盾认证以及各种技术结合使用等方式,也取得了一定的成效,对于信息安全的保障,起了很大的作用。
2.数据加密解密技术
数据加密技术是互联网中最基本的信息安全技术,因为众所周知,互联网的本质就是进行信息的共享,而有些信息是只对个人或者部分群体才可以共享的,另一方面,裸数据在网络中传播是很容易被窃取的,所以在信息发送端对数据进行加密,接收信息的时候进行解密,针对互联网信息传播的特点,是行之有效的信息安全技术。
3.防火墙技术
防火墙,很多人都很熟悉,它实质上是起到一个屏障的作用,正如其名,可以将有害信息挡在墙外,过滤到不利信息,阻止破坏性的信息出现在用户的计算机。防火墙的基本准则有两种:一切未被禁止的就是允许的;一切未被允许的就是禁止的。这种过来是如何实现的?这就涉及实现防火墙的技术,主要有:数据包过滤、应用网关和服务等。对于互联网而言,一个有效的防火墙,可以帮助用户免除很多有害信息的干扰,也是信息安全技术对于互联网非常大的贡献。
除了使用一些安全技术措施之外,在网络安全中,通过制定相关的规章制度来加强网络的安全管理,对于确保网络顺利、安全、可靠、有序的运行,也会起到十分重要的作用。
四、结束语
本文简要介绍了身份认证技术、数据加密技术、防火墙技术这三项技术对于网络信息安全的重要性及其应用,事实上随着科学技术的飞速发展,互联网的组织形式也在发生极大变化,网络信息安全技术在互联网上应用将会越来越多,但是笔者相信,本文所介绍的三个基本运用,会随着互联网的越来越透明化而得到更大的发展。
参考文献:
[1]黄培生.信息安全技术[J].学科发展,2004,3:19-22.
互联网安全技术范文第4篇
关键词:互联网通信;技术改进;安全性
伴随着互联网技术的发展,逐渐出现了移动互联网以及移动互联网通信。当前针对互联网通信技术的改进以及安全问题的研究主要是集中在两方面:一方面是安全体系与安全体制的研究,另一方面是移动终端的安全研究。
1 互联网通信技术的安全性
伴随移动网络自身技术的不断演进,逐渐出现2G,3G以及现在的4G LTE移动通信系统,并且随之出现了移动网络与WLAN,WiMax等其他无线网络的融合和衔接,这些技术的出现逐渐渗透于人们的生活,因此针对这些新技术建立与之匹配的安全体系以及安全体制至关重要。
当前移动互联网通信主要采取的安全机制主要包括如下几种:
1.1 身份认证机制
身份认证机制,也称之为认证与秘钥协议,主要的目的是保护移动网络的核心安全,其中核心是根据用户以及相对应的使用网络之间的身份的双方面的认证,从而保证网络通信技术的安全性,主要的实现方法是通过加密算法实现的。[1]
1.2 完整性保护机制
移动通信技术的安全性还需要通过保护机制进行完整性保护来保障。保护性机制主要是实现移动通信终端与网络基站之间的信号的传输安全,例如不受到信息的插入、信息的删除、信息的修改、信息的置乱以及信息的伪造等等。终端与基站之间传输的信息主要是通过TD-SCDMA以及LTE采用分组算法的方式进行,算法之后再通过验证将消息认证码附加在传输信息之后,从而确保信息源的合法性与完整性。[2]
1.3 空口加密机制
空口加密机制主要是对移动终端与基站之间数据的传输以及信号的传输进行加密,从而加强移动通信终端与网络基站之间的传输的保密性以及空口的保密性。由于移动通信终端在计算空间以及计算能力方面的局限,空口加密机制主要是利用是密码算法,主要包括以下几种:GSM、TD-SCDMA以及LTE等等。[3]
1.4 用户身份保护机制
移动网络通信的用户身份保护机制主要是为了进行用户真实身份的识别,并且对其进行跟踪,主要是通过身份识别码技术实现的。在大部分情况下,无线网络上的用户身份标识主要是临时身份识别的形式存在的,但是在极个别的情况下,例如在开机以及临时身份标识出现问题的情况下,才会再次使用真实身份标识。与此同时,临时身份识别码随着移动网络技术的发展不断进行更新换代,并且更新换代的技术越来越快。[4]
1.5 网络信令安全交换机制
保护互联网通信技术的安全性并且实现互联通通信技术的改进就需要格外的重视网络信令安全交换机制,进而保障网络不同单元以及不同空间的信号的机密和完整。例如LTE的网络信号安全交换机制主要是通过MAPSec机制来进行保护和实现的,主要保护的核心内容是事务的处理的应用的内容,进而又通过IPSec ESP机制来保障服务网与分组网之间的数据的安全以及信号的机密。[5]
1.6 移动终端安全衔接机制
对于移动通信技术来讲,移动终端的安全机制是最后的落脚点。这主要是通过PIN编码进行实现的,通过编码进行用户识别,进而通过USIM机制进行终端衔接网络的范围的合理性控制,在此基础上附加TLS(安全传输层协议)以及IPSec机制保证数据传输的安全性,主要是移动终端与智能卡之间。[6]
1.7 安全服务对用户的可见性与可配置性
安全服务对于用户之间的可见性与可配置性主要是指提供用户获得安全服务的信息,并且了解安全服务的状态的一种渠道,并且安全服务的可见性与可配置性需要简洁方便,这样才会让用户对其产生依赖性。
移动终端是移动互联网的源头,是进行数据操作的源头,主要包括创建、存储以及处理。因此尤其需要注意移动终端数据的安全性、可见性以及可配置性,从而不仅实现安全,也实现更好的为用户服务。
关于移动终端的数据安全主要工作是进行病毒传播的防控,通过一定技术手段识别在移动终端上安装的没有授权的非法软件,正在运行的恶意的代码以及部分用户的不合理的操作,对于以上行为的基本的防范可以为广大用户提供安全的执行环境和使用环境。
移动病毒的防控策略主要包括两个方面:一方面主要存在于网络层面,主要是通过精确的移动病毒的传播模型,分析病毒在移动网络传播中的传播动力特征以及典型特点,并且基于以上分析设计移动网络的病毒免疫模型,从而在这一层面防范移动病毒的传播,另外一层面主要是在移动终端层面,主要的方式是通过直接的杀毒软件安装的形式进行,通过杀毒软件对于病毒进行深层次的查杀,为达到查杀的准确性,杀毒软件需要定期更新,并且需要不断的钻研和检测。
2 提高互联网通信安全性的关键技术
移动网络通信是目前存在的主要的通信方式,其安全性的研究存在着诸多成就,但是也面临着多方面的挑战。作者总结了在移动网络通信安全机制构建,以及移动通信终端安全性能提高方面的技术现状,但是为进一步提高移动网络通信的安全性还需要加强以下关键技术。
2.1 需要提高移动网络匿名漫游协议的安全性
提高移动网络匿名漫游协议的安全性可以采用更加先进的椭圆曲线公钥密码算法,从而保证该协议的安全系数更大,以及更好的可操作性。该漫游协议可以实现更加广泛的用户服务,功能更加强大,不仅仅可以实现用户匿名,并且可以兼顾用户的兼容性和口令的验证等。
2.2 加强对于病毒的防范
对于病毒的防范是互联网通信安全性能提高的必要前提和主要途径。作者总结近几年的相关研究成果指出要加强移动病毒的传播途径的控制。根据传播动力学,移动病毒可以在网络和移动终端任何一个空间通过不同的传播突进进行传播,甚至于可以通过同一种传播途径在多层网络生进行传播。[7]因此我们可以根据病毒多途径传播的概念,建立病毒多途径防范模型以及多层面网络模型。构建模型的同时结合渗流理论,计算得出多层网络的传播临界值,从而加强病毒的精准防范。
3 结束语
随着互联网技术的不断更新换代,互联网通信尤其是移动网络通信技术也在与时进步,文章主要从移动网络安全体系的构建以及安全机制的核心协议部分进行总结和研究,并且指出加强网络匿名漫游协议的安全性以及病毒防范的研究方向,希望能够对网络通信的安全性的加强有所帮助。
参考文献
[1]王金.浅谈无线网络安全问题[J].好家长,2016(33).
[2]肖伟.无线网络安全问题与解决策略研究[J].网络安全技术与应用,2016(05).
[3]梁富强.计算机无线网络安全策略研究[J].河南科技,2014(02).
[4]王宇,蔡满春.无线网络安全课程的探讨[J].网络安全技术与应用,2014(03).
[5]蔡志福,谢志贤.浅谈无线网络安全[J].计算机光盘软件与应用,2015(23).
互联网安全技术范文第5篇
青岛市胶州中心医院信息科,山东胶州 266300
[摘要] 在互联网信息化广泛普及的今天,上下级公文的传递、医院管理、医药技术信息、采购招标等医院日常业务需要经常与外界进行数据交流。而属于医院内部网络的电子病案类系统数据及综合性金融、管理类敏感数据,历来都是做为行业内部涉密信息需要妥善加以防护。本文着重探讨如何安全、有效的在医疗单位内部应用互联网信息技术。
[
关键词 ] 医疗;信息技术;安全;网络;互联网
[中图分类号]R197.4[文献标识码] A[文章编号] 1672-5654(2014)10(c)-0060-02
[作者简介] 李文健(1977-),男,山东潍坊,大学本科,助理工程师,电脑软硬件、网络维护及使用。
医疗行业信息化因其涉及到医院电子病案系统数据及各类敏感金融、管理类数据,历来都是做为行业内涉密信息妥善加以防护。而在互联网时代的今天,上下级公文的传递、医院管理、医药技术信息、采购招标等医院日常业务的需要又不可能闭关锁国不与外界产生数据交互。如何安全、经济、快捷的应用互联网技术就承现出相互矛盾的态势。
1 国内医疗行业互联网信息技术应用现状
就目前而言,国内医疗行业普遍采取的是以下两种方式应用互联网信息:
1.1采取内外网物理隔离,各自使用一套单独的网络系统,独立运行,互不干扰
此种方法的优点在于内外网数据使用各自的核心交换机及各自的主干网络独立传输数据,没有交汇点,不会对医院内部敏感数据造成泄密、黑客攻击破坏、感染病毒等潜在危害;但缺点也是显而易见的,独立的两套网络系统造成了资金及技术资源的巨大浪费。
1.2内外网采用路由器及交换机等网络设备共同使用一套网络系统,共享网络资源
此种方法的优点是经济、实惠,资源利用率高。但缺点则更为突出,在没有针对性防护的前提下内网系统非常容易遭到黑客、病毒、木马程序等各类威胁的窥觊和破坏。就内网应用而言潜在危害同样很大,内网用户为非法使用外网任意篡改IP地址从而影响到合法用户的使用;客户端电脑一旦感染病毒将通过服务器将病毒扩散至全网导致大面积网络瘫痪;工作时间私玩网游、看电影、炒股等行为将严重影响工作秩序。
2应用实例
通过参考部分国内同行医疗单位信息化系统应用案例及参加各类信息化安全讲座培训,权衡各方面利弊后,我单位在2013年采取了通过应用四级综合防控手段实现了内外网数据资源共享平台。
2.1采用入侵防护系统(IPS)抵御来自互联网的各类入侵及攻击行为
将互联网光纤使用路由器跳转后接入IPS,对互联网信息实行首次过滤,形成了网络数据平台的第一级防护。
入侵防护系统(IPS)能对目前已知网络攻击类型(如HTTP网页攻击、IIS、CGI远程攻击等)及入侵模式作出相应的防御处理,并在其危险行为开始之前就将其进程结束;同时根据往来IP地址、端口号、协议等实时状态判断数据流是否正常,是否有访问潜在不安全因素网址等行为,发现后即时进行拦阻。在目前单位应用中监控到的攻击类型里,以事件类型为 “CGI_Access HTTP_IIS_ISAPI_.idq_访问”的低安全级别攻击为最多,截止自2014年7月23日17时已发生1110多例。通过数据分析可以得出结论:IPS在单位运行期间网络环境得到了较高的安全保障。
2.2采用网络防火墙(硬件)防御来自互联网的非法数据类型,与入侵防护系统(IPS)形成双层防火墙技术共同抵御黑客入侵及在线扫描攻击等非法网络行为
入侵防护系统(IPS)通过网络端口与防火墙形成级联,部署在互联网入口位置,实现双层过滤,组成了网络数据平台的第二级防护。
计算机一旦连接网络,计算机系统的安全性就显得尤为重要,既要考虑网络病毒的查杀,还得提防外部非法用户的侵入,防火墙技术就成为网络安全最重要的防范措施和手段。目前技术条件下,能够有效保护网络安全(内部网络安全和服务器安全)的措施就是设置双层防火墙。防火墙限制不明身份人员对内部网络访问,同时也是对内部用户和外网连接进行必要限制的一种安全设置。双层过滤技术主要包括外部防火墙和内部防火墙,外部防火墙的功能是过滤,内部防火墙则可以确保内部网络对外部网络访问的安全。在内、外部防火墙之间存在着一个独立的空间区域,这一区域的存在为内部网络安全提供了保障。即使非法入侵者攻破了外部防火墙,由于这一区域的存在,他们也无法侵入到内部网络。所以将提供对外网络访问的服务器放置在这一空间区域内就能确保其安全性。当客户端工作时防火墙能对用户网络访问日志进行记录,计算机系统一旦发生异常,防火墙就能及时地进行阻隔,从而防止用户信息的泄露,并为用户提供相关的信息记录。选择并安装适当的防火墙能够有效地提高计算机使用的安全性,控制不明身份人员对用户信息的偷窥,降低网络使用的危险性,更好地保护计算机和网络使用的安全性[1]。
2.3采用上网行为管理系统(硬件)对内网用户的网络应用行为进行管控,限制各类非办公软件的使用,并对网络流量资源进行调配
经过二次过滤的数据通过防火墙级联至上网行为管理机,经上网行为管理机的下行端口联接至核心交换机就完成了网络数据平台的第三级硬件管控措施。
在使用上网行为管理系统之前,单位的互联网使用一直处于粗放式管理模式。部分未授权职工通过扫描网络IP地址的方式,使用笔记本电脑和更改办公电脑IP地址达到非法上网的目的。由此造成的IP地址冲突时有发生,影响了合法用户的使用;而上班时间玩网游、看电影、网购、下载超大软件等非正常上网行为则严重影响了单位的正常工作秩序。启用上网行为管理系统之后针对上述问题采取了绑定合法用户电脑IP和设置用户名、密码验证上网的方式,杜绝了非授权用户利用非法手段使用互联网现象;通过配置用户权限,限制了在线视频、P2P下载、网购、网游、炒股等明令禁止的网络行为。以2014年7月23日为例,当天单位全网内共拦截到P2P行为433例、网络流媒体134例、危险行为0例、游戏应用16例、股票交易及行情分析0例;对网络流量的策略化管理,保证了网页浏览、收发邮件、视频会议等基础应用的网络带宽,规范了办公人员的上网行为。在方便管理的同时保障了单位正常上网环境的畅通。
2.4采用网络版杀毒软件对全院范围内客户端电脑安装病毒防护程序,及时查杀病毒,实时抵御病毒对网络环境所带来的威胁
网络版杀毒软件是整个数据资源平台中的最后一个防护环节,选择一个适用于本单位的网络版杀毒软件至关重要,它的正常运行决定着作为系统中最末端的工作电脑的安全运转与否。
普通杀毒软件最大的败笔是将正在使用的工作软件当作病毒误报误杀,不仅不能保护客户端的正常应用,反而成了危害医院正常工作的“元凶”。在征求了信息化管理软件生产厂商的意见后单位决定选用一款处理策略相对比较温和的病毒防护软件。该杀毒软件对感染了病毒的电脑采取先隔离审查再清除病毒的方式,对医院等大型企事业单位敏感数据有良好的包容性,适用于医院的工作环境需要。
配置好网络版杀毒软件服务器端设置及自动查杀病毒的策略后,该杀毒软件可自动在线升级服务器端病毒知识库并对客户端进行更新,同时根据预置策略唤醒客户端对整机进行查杀处理。在对最近一次的服务器日志例行分析中发现自2014年初至7月23日止,全院范围内发现病毒104种,共计40329个;通过预设扫描方式处理病毒1220个,实时扫描处理病毒39095个,而手工扫描处理的病毒数量仅为14个;在随后的全院范围内调查问卷中也没有发现漏杀、误杀、杀毒不完全等现象。对正在使用的工作软件普调中也没有发现拦截报警等情况,这说明目前在我单位的工作应用中网络版杀毒软件已成功发挥了堡垒作用,自动处理工作中的不安全因素已成为常态化运行。
3结语
通过应用以上四级管控措施,本单位在利用前期投入的一套主干网资源的基础上,缩减了对网络基础设施的重复投资,降低了用于维护网络硬件和基础设施方面的资金、人力、技术资源,提高了整体网络资源的利用率,在保证网络安全应用的同时为单位节省出了大批的资金。而二网合一的数据平台经实际应用的检测原有的网络传输速率并没有受到明显影响,完全可以胜任现有的医院工作需要。
[
参考文献]
