前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全定義主題范文,僅供參考,歡迎閱讀并收藏。
Abstract: With the rapid development of information industry,the computer network also rapidly popularizes,the infection seeps to everywhere around our lives. However,due to the connatural frailty of the computer network,as well as the start of China’s network and information technology was late, which causes the network security many potential threats. This article analyses the principal element combined with practical work,which affected the security of computer network system,puts forward the relevant countermeasure to discuss.
關(guān)鍵詞: 計算機網(wǎng)絡(luò);信息技術(shù);危險因素;安全對策;安全威脅
Key words: computer network;information technology;hazard factor;security countermeasure;security threat
中圖分類號:TP393文獻標識碼:A文章編號:1006-4311(2010)19-0139-01
0引言
隨著信息時代的全面降臨,計算機網(wǎng)絡(luò)技術(shù)已經(jīng)通過微機、服務(wù)器、光纖電纜和高速信息流將世界各個角落聯(lián)系在一起。此時,網(wǎng)絡(luò)安全問題便提上了技術(shù)人員與使用者的關(guān)注日程。信息交流時數(shù)據(jù)平臺的對外開放、計算機系統(tǒng)自身缺陷、軟硬件配合的失調(diào)、以及愈演愈烈的黑客攻擊等,都給網(wǎng)絡(luò)安全帶來了諸多不穩(wěn)定因素。盡快完善計算機網(wǎng)絡(luò)安全維護系統(tǒng),制定措施對抗?jié)撛陔[患,是當前信息安全工作中亟待解決的當務(wù)之急。
1計算機網(wǎng)絡(luò)的不安定因素
1.1 系統(tǒng)缺陷
1.1.1 網(wǎng)絡(luò)系統(tǒng)是以計算機語言編碼和支持軟件共同組成的,其設(shè)計中的邏輯失誤、偏差和缺陷都無法徹底避免。而很多木馬病毒也正是鉆了這個空子,在系統(tǒng)中尋找漏洞并針對其薄弱點進行攻擊,從而非法竊取數(shù)據(jù)和資料。系統(tǒng)的每個環(huán)節(jié)包括運行軟件、路由器甚至防火墻中均存在此類問題,給網(wǎng)絡(luò)安全造成風險。
1.1.2 企業(yè)或社區(qū)組建的小型內(nèi)部局域網(wǎng)絡(luò),一般通過共享的單獨網(wǎng)關(guān)對互聯(lián)網(wǎng)進行連接。內(nèi)部網(wǎng)中往往存在網(wǎng)絡(luò)管理混亂和維護手段不當?shù)膯栴},如移動設(shè)備的通用、盜版軟件濫用、電腦資源的廣泛共享、不符合安全操作的網(wǎng)絡(luò)運營等,都會使單機風險蔓延到整個局域網(wǎng),導(dǎo)致整個網(wǎng)絡(luò)安全受到威脅。
1.1.3 作為網(wǎng)絡(luò)樞紐,服務(wù)器選配時要考慮網(wǎng)絡(luò)環(huán)境及應(yīng)用軟件的配合,達到向網(wǎng)絡(luò)客戶提供不間斷服務(wù)的能力,優(yōu)化硬件配置,保證性能穩(wěn)定。否則硬件與系統(tǒng)的搭配不當,會造成傳輸速度和資源質(zhì)量的不穩(wěn)定,限制數(shù)據(jù)信息進行擴充升級,成為網(wǎng)絡(luò)功能發(fā)揮的阻礙。
1.1.4 軟件威脅可以說是目前網(wǎng)絡(luò)不安全因素最顯著的方面,其中尤以計算機病毒最為普遍。遭到病毒入侵時,電腦操作系統(tǒng)會運行減緩,性能不穩(wěn),嚴重時甚至整個硬件系統(tǒng)崩潰,這是當前世界性的網(wǎng)絡(luò)安全難題。其他的木馬軟件、缺少安全措施的聯(lián)網(wǎng)軟件等問題,也可能會導(dǎo)致個人數(shù)據(jù)遭到大范圍的暴露和流失。
1.1.5 目前我國網(wǎng)絡(luò)安全還缺乏相應(yīng)的規(guī)范章程,以及有效的安全維護手段、監(jiān)督機制和評估系統(tǒng),對黑客、網(wǎng)絡(luò)運營商、用戶等也缺乏管理機制,網(wǎng)絡(luò)的使用普及但雜亂無章,缺乏有序性條理,這樣給網(wǎng)絡(luò)維護造成了基礎(chǔ)薄弱的限制。
1.2 人為原因給網(wǎng)絡(luò)安全帶來威脅的人為原因有三個方面,一是縱橫網(wǎng)絡(luò)的黑客,以編寫計算機病毒、制造網(wǎng)絡(luò)攻擊、侵入局域網(wǎng)系統(tǒng)或網(wǎng)站后臺為業(yè),其技術(shù)水平往往與網(wǎng)絡(luò)科技更新同步,甚至超前,是當今世界網(wǎng)絡(luò)威脅的最大制造者;二是網(wǎng)絡(luò)維護人員業(yè)務(wù)能力的不足,管理混亂,甚至有些操作人員利用職權(quán)之便竊取用戶信息,盜用網(wǎng)絡(luò)資源;最后,計算機或網(wǎng)絡(luò)用戶缺乏網(wǎng)絡(luò)安全防范意識,保密觀念不強,對網(wǎng)絡(luò)安全風險疏于防范,導(dǎo)致系統(tǒng)遭受攻擊,數(shù)據(jù)被盜。
2計算機網(wǎng)絡(luò)的相關(guān)安全對策
針對上面所說到的幾點影響因素,我們可以考慮采取以下措施:
2.1 要完善系統(tǒng)自身防御能力,加強抵抗功能,設(shè)置防火墻作為屏蔽外界攻擊的保護罩,并從主機、操作、服務(wù)、應(yīng)用軟件和文件等系統(tǒng)多個環(huán)節(jié)逐級加以保護。系統(tǒng)漏洞是網(wǎng)絡(luò)維護的要害,務(wù)必時時加以提防。網(wǎng)絡(luò)管理員應(yīng)當提高警惕,關(guān)注系統(tǒng)薄弱點安全動態(tài),隨時發(fā)現(xiàn)系統(tǒng)漏洞,及時更新補丁安裝,保護管理員賬戶,確保網(wǎng)絡(luò)安全。
2.2 要求網(wǎng)絡(luò)單機用戶養(yǎng)成健康的網(wǎng)絡(luò)使用習(xí)慣,安裝可靠的殺毒軟件和防火墻,并保證殺毒軟件定期更新;對陌生網(wǎng)站、來歷不明的郵件敬而遠之;安裝軟件時要考慮其安全性;下載資源時注意是否捆綁可疑文件;使用移動設(shè)備注意其清潔性,保持殺毒頻率;對計算機和系統(tǒng)設(shè)置不易被破解的密碼或口令,定期更新,防止其他用戶對網(wǎng)絡(luò)系統(tǒng)進行非法操作。
2.3 堅持對硬件、軟件保持周期性的備份作業(yè),每次修改系統(tǒng)配置后及時保存,根絕自身情況制定日常備份制度并進行恢復(fù)演練。這樣即使計算機遭遇了黑客攻擊,還可以通過系統(tǒng)快速的恢復(fù)相關(guān)資料,盡量減少網(wǎng)絡(luò)事故引發(fā)的損失。
2.4 各單位應(yīng)根據(jù)自身情況完善相應(yīng)的網(wǎng)絡(luò)管理規(guī)范,從制度上針對可能遭遇的危險因素做出相應(yīng)對策,建立行之有效的制度框架,共同保證信息系統(tǒng)的穩(wěn)定。對網(wǎng)絡(luò)管理、維護、使用人員進行安全教育和培訓(xùn),要求全員增強安全意識,盡量規(guī)避網(wǎng)絡(luò)風險。
網(wǎng)絡(luò)安全工作是一項任重而道遠的任務(wù),在信息技術(shù)日新月異發(fā)展的今天,網(wǎng)絡(luò)應(yīng)用水平和黑客攻擊技術(shù)在攻防兩個方面此消彼長。安全維護人員務(wù)必時刻防范,預(yù)防安全風險,減少網(wǎng)絡(luò)事故,制定合理的維護手段,隨著環(huán)境和技術(shù)水平的變化,不斷調(diào)整安全策略。
參考文獻:
[1]王能輝.我國計算機網(wǎng)絡(luò)及信息安全存在的問題和對策[J].科技信息,2010,(7).
[2]梁亞聲,汪永益.計算機網(wǎng)絡(luò)安全基礎(chǔ)教程[M].北京:機械工業(yè)出版社,2005.
[3]蔣頻,胡華平,王奕.計算機信息系統(tǒng)安全體系設(shè)計[J].計算機工程與科學(xué),2006,(1).
【關(guān)鍵詞】維護;數(shù)據(jù)通信網(wǎng)絡(luò);網(wǎng)絡(luò)安全問題
隨著數(shù)據(jù)庫、計算機網(wǎng)絡(luò)及通信技術(shù)的高速發(fā)展,人們從計算機網(wǎng)絡(luò)系統(tǒng)中獲取通信數(shù)據(jù)已成為獲取數(shù)據(jù)的主要方式。由于互聯(lián)網(wǎng)和計算機網(wǎng)絡(luò)技術(shù)的高速發(fā)展,越來越多的人們選擇用網(wǎng)絡(luò)傳輸信息,但由此引發(fā)的網(wǎng)絡(luò)安全問題也成為人們?nèi)諠u關(guān)注的話題。不少企業(yè)在建立通信網(wǎng)絡(luò)系統(tǒng)時,多數(shù)是通過局域網(wǎng)獲取各通訊數(shù)據(jù)。數(shù)據(jù)通信網(wǎng)絡(luò)在給人們?nèi)粘I顜順O大便利的同時,也不排除存在各種各樣的網(wǎng)絡(luò)安全問題和網(wǎng)絡(luò)維護問題。
一、數(shù)據(jù)通信網(wǎng)絡(luò)與網(wǎng)絡(luò)安全的定義
1、數(shù)據(jù)通信網(wǎng)絡(luò)的定義。數(shù)據(jù)通信是計算機通過光纖或電話等傳輸途徑與客戶之間進行數(shù)據(jù)傳遞,借助網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)共享,同時客戶還可將接收到的信息進行更改與處理等操作。按地理位置分,數(shù)據(jù)通信網(wǎng)絡(luò)包括國際網(wǎng)、廣域網(wǎng)及局域網(wǎng)[1]。如,學(xué)校、企業(yè)及單位建立的網(wǎng)絡(luò)是局域網(wǎng),雖覆蓋面積小,但網(wǎng)絡(luò)較穩(wěn)定,在方便單位或企業(yè)管理的同時,也利用做好數(shù)據(jù)信息加密處理。
2、網(wǎng)絡(luò)安全的定義。網(wǎng)絡(luò)是由多個服務(wù)器終端與節(jié)點構(gòu)成,每一段的信息和數(shù)據(jù)傳遞都理應(yīng)收到保護,網(wǎng)絡(luò)傳輸數(shù)據(jù)時,多數(shù)信息與數(shù)據(jù)都是極為私密的,不可對外共享。網(wǎng)絡(luò)安全是確保傳遞數(shù)據(jù)與信息不受泄露基礎(chǔ)上,網(wǎng)絡(luò)系統(tǒng)仍可穩(wěn)定運行。如,企業(yè)的局域網(wǎng)絡(luò)遭受不良攻擊,企業(yè)易受到商業(yè)泄密等問題困擾。
二、數(shù)據(jù)通信維護網(wǎng)絡(luò)安全的重要性
1、通信網(wǎng)絡(luò)的穩(wěn)定性。缺乏穩(wěn)定性的數(shù)據(jù)通信網(wǎng)絡(luò),在數(shù)據(jù)傳輸過程中,極易導(dǎo)致數(shù)據(jù)丟失或延誤等情況,這樣的丟失和延誤易導(dǎo)致企業(yè)出現(xiàn)決策上的延誤,讓企業(yè)面臨重大損失的風險。
2、通信網(wǎng)絡(luò)的安全性。不少企業(yè)數(shù)據(jù)通信網(wǎng)絡(luò)存在漏洞情況,不法分子利通過漏洞,可對企業(yè)局域網(wǎng)展開惡意攻擊,這給企業(yè)大量重大經(jīng)濟損失風險。為保證自身用戶信息和財產(chǎn)安全,需確保整個網(wǎng)絡(luò)的安全。因此,需切實制定有效可行的數(shù)據(jù)通信維護措施,及時修補漏洞,在減少漏洞出現(xiàn)的同時,提升通信網(wǎng)絡(luò)的可靠性與安全性。
三、數(shù)據(jù)通信網(wǎng)絡(luò)維護網(wǎng)絡(luò)安全的途徑
1、安全性進行妥善評估。為實現(xiàn)數(shù)據(jù)通信與信息資源共享,很多企業(yè)、單位構(gòu)建自己的平臺,為確保其安全性,需對其網(wǎng)絡(luò)安全性進行妥善評估。網(wǎng)絡(luò)完全性評估主要包括檢查局域性的數(shù)據(jù)通信網(wǎng)絡(luò)、評估網(wǎng)絡(luò)系統(tǒng)內(nèi)部是否存在安全系數(shù)和安全威脅及制定相關(guān)維修工作。由專業(yè)評估維修人員對數(shù)據(jù)網(wǎng)絡(luò)中的硬、軟件數(shù)據(jù)信息進行合理分析,并作出詳細且全面的評價。
2、并分析數(shù)據(jù)通信網(wǎng)絡(luò)中的漏洞與威脅因素。在評估某一局域網(wǎng)安全性時,如發(fā)現(xiàn)該網(wǎng)絡(luò)安全系數(shù)較低,需對該網(wǎng)絡(luò)的硬、軟件設(shè)備和數(shù)據(jù)通信信息進行詳細的研究與分析,查找出網(wǎng)絡(luò)可能存在的威脅與漏洞。
3、核實重要數(shù)據(jù)通信信息。評估人員需對重要數(shù)據(jù)進行有效檢查,查看其是否存在被入侵情況,如有入侵情況,需提升網(wǎng)絡(luò)安全等級,可通過增設(shè)訪問權(quán)限、限制訪問IP等方式解決。
4、對網(wǎng)絡(luò)內(nèi)的硬、軟見進行詳細檢查。主要檢查網(wǎng)絡(luò)內(nèi)各硬軟件是否存在干擾信息與隱藏病毒,同時對設(shè)備的性能也進行有效評估。對網(wǎng)絡(luò)內(nèi)部系統(tǒng)進行整體評估,準確找到安全漏洞與網(wǎng)絡(luò)威脅,并進行能合理維護,可有效提升數(shù)據(jù)通信信息的安全性。
5、修復(fù)漏洞、消除威脅因素。查找到相關(guān)網(wǎng)絡(luò)威脅與安全漏洞后,制定具有針對性的修復(fù)和消除措施。如利用服務(wù)器對數(shù)據(jù)的分析作用,將具有漏洞查找出來,并進行及時修補;為預(yù)防或消除病毒攻擊,可利用專業(yè)或有效的殺毒軟件;為增加病毒的可靠性防御,可設(shè)立防火墻。
6、加密與身份認證技術(shù)。確保數(shù)據(jù)通信網(wǎng)絡(luò)安全的一個重要手段就是數(shù)據(jù)加密技術(shù),受互聯(lián)網(wǎng)自身性質(zhì)決定,數(shù)據(jù)或文件需進行口令加密和通信數(shù)據(jù)加密[2]。身份認證技術(shù)也稱身份識別,是網(wǎng)絡(luò)對用戶身份確認操作的過程,是為了確保用戶的真實身份與數(shù)字認證身份的一致的技術(shù),它有利于提高用戶的安全和用戶身份的準確性。
關(guān)鍵詞:網(wǎng)閘;防火墻;網(wǎng)絡(luò)安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)34-7702-02
某醫(yī)院網(wǎng)絡(luò)從功能上可劃分為:內(nèi)網(wǎng)、外網(wǎng)。內(nèi)網(wǎng)運行多個醫(yī)療業(yè)務(wù),病患信息處理等。外網(wǎng)運行于因特網(wǎng),需要提供預(yù)約掛號和患者檢驗結(jié)果查詢等功能。內(nèi)外網(wǎng)數(shù)據(jù)交換需要防止重要信息的泄露、黑客的侵擾、網(wǎng)絡(luò)資源的非法使用和計算機病毒等。為了實現(xiàn)內(nèi)外網(wǎng)絡(luò)的數(shù)據(jù)交換安全,某醫(yī)院采取了隔離網(wǎng)閘和防火墻聯(lián)合應(yīng)用的措施。
1 網(wǎng)閘
安全隔離網(wǎng)閘是一組具有多種控制功能的軟硬件組成的網(wǎng)絡(luò)安全設(shè)備,它在電路上切斷了網(wǎng)絡(luò)之間的鏈路層連接,并能夠在網(wǎng)絡(luò)間進行安全的應(yīng)用數(shù)據(jù)交換。某醫(yī)院網(wǎng)閘部署在內(nèi)外網(wǎng)核心交換機之間,以實現(xiàn)內(nèi)外網(wǎng)擺渡。普通訪問需要網(wǎng)閘內(nèi)外網(wǎng)任務(wù)號對應(yīng),透明訪問只需要配置網(wǎng)閘的一端(客戶端),不存在任務(wù)號對應(yīng)問題。如圖1。
2 防火墻
防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合,防火墻的作用是對網(wǎng)絡(luò)訪問實施訪問控制策略,它提供信息安全服務(wù),具有較強的抗攻擊能力。某醫(yī)院防火墻部署于互聯(lián)網(wǎng)出口與外網(wǎng)核心交換機之間,防火墻運行模式是路由NAT模式,在防火墻上做端口映射配置。
2.1 資源定義
在資源定義中添加地址資源和服務(wù)器地址。
2.2 端口映射
在上述端口和服務(wù)器地址都定義好后,再在端口映射規(guī)則中添加即可。在防火墻-〉安全規(guī)則-〉端口映射下添加端口映射:
選好對外的公開地址,內(nèi)部服務(wù)和對外服務(wù),如果內(nèi)部地址、對外服務(wù)、對內(nèi)服務(wù)沒有相關(guān)地址和端口,則在資源定義中添加。
2.3 包過濾規(guī)則
端口映射策略配置完成后,還需在包過濾規(guī)則中添加任意到服務(wù)器的訪問設(shè)置為允許。
3 結(jié)束語
通過在某醫(yī)院部署網(wǎng)閘和防火墻以實現(xiàn)內(nèi)外網(wǎng)絡(luò)之間的訪問,能夠?qū)崿F(xiàn)更高級別的訪問控制和內(nèi)容過濾,阻止已知的以及未知的入侵和內(nèi)部信息的泄漏。
參考文獻:
【關(guān)鍵詞】可擴展;網(wǎng)絡(luò)安全;態(tài)勢;優(yōu)化設(shè)計
現(xiàn)在,網(wǎng)絡(luò)安全態(tài)勢感知還是缺乏一個標準進行規(guī)范,由于各研究領(lǐng)域?qū)B(tài)勢感知的理解不同,使得態(tài)勢感知實現(xiàn)方式呈現(xiàn)出多元化的現(xiàn)象。本文主要對業(yè)內(nèi)成熟的Endsley態(tài)勢模型在網(wǎng)絡(luò)安全領(lǐng)域的作用,加以改進使之成為態(tài)勢感知領(lǐng)域內(nèi)實用的網(wǎng)絡(luò)安全方案。
1、基本概念
本文主要用三個概念對態(tài)勢提取的過程進行規(guī)范:定義1:時空知識庫:將態(tài)勢提取過程中的時間和空間專家知識的表示,存儲形式是哈希表。定義2:嚴重度知識庫:是態(tài)勢提取過程中的入侵或攻擊的專家描述,存儲形式為哈希表。定義3:權(quán)重分配函數(shù):是對定義1及定義2的專家的知識函數(shù)表現(xiàn)。利用攻擊嚴重度指標、Timelndex和Spacelndex為參數(shù),從而獲得權(quán)重系數(shù)。
2、態(tài)勢模型分析及框架設(shè)計
2.1態(tài)勢模型與過程框架
網(wǎng)絡(luò)安全領(lǐng)域中的底層事件和ESM處理的事件是不同的,但是ESM數(shù)據(jù)處理的過程可以借鑒到網(wǎng)絡(luò)安全態(tài)勢分析中。ESM對環(huán)境對象定義為威脅單元,多個威脅單元構(gòu)成一個組,該組包括感興趣的參數(shù)。許多威脅單元共同用作態(tài)勢提取的模塊,與歷史態(tài)勢進行比對,從而獲取態(tài)勢信息。按照ESM的運行過程,提出網(wǎng)絡(luò)安全態(tài)勢提取框架,如圖1.
對態(tài)勢分析的過程中,根據(jù)攻擊的嚴重度可以講網(wǎng)絡(luò)攻擊分為高危、中危、低危及位置威脅,用Phigh(t)、Pmedium(t)、Plow(t)和Punknown(t)4類威脅單元來劃分表示,四類威脅單元共同構(gòu)成網(wǎng)絡(luò)安全的總體態(tài)勢,則有:
S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)
式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)
在以上兩式中,t表示評估時序;Count表示評估時間內(nèi)的統(tǒng)計值;Timelndex與Spacelndex則表示攻擊的時間與空間要素。則有某威脅單元特定時段內(nèi)的態(tài)勢:
PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB
Count x WT(TimeIndex) x WS(SpaceIndex) (3)
式中WT(Timelndex)與Ws(Spacelndcx)是時間與空間權(quán)重系數(shù)分配函數(shù)結(jié)果。根據(jù)以上計算過程,得出態(tài)勢的提取過程:
S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB
[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)
式中S-KB是[WhighWmediumWlow0]T。受網(wǎng)絡(luò)攻擊程度的影響,一次高危攻擊的危害要比三次低級別攻擊的危害大。那么態(tài)勢提取的過程是符合實際情況的,即(4)可以變化為:[10Whigh 10Wmedium 10Wlow 0]T。
2.2安全域劃分及指標分配
根據(jù)信任等級的不同,常常對網(wǎng)絡(luò)系統(tǒng)劃分不同的安全域或建立信任級別。在不同安全域受到攻擊的視乎,對網(wǎng)絡(luò)造成的危害是不一樣的。一般用威脅單元中的Spacelndex表示不同的安全域,也用這一參數(shù)來作為WCAF的輸入,然后獲取不同安全域的重要性指標。根據(jù)以上內(nèi)容,可以劃分不同的安全域,其規(guī)則如表1:
2.3告警融合模塊
網(wǎng)絡(luò)中存在一些系統(tǒng)固件在以往運行中會產(chǎn)生大量的冗余低危報警。如果不將這些冗余信息處理掉,在大量的低危告警的存在下,系統(tǒng)對高危攻擊的態(tài)勢分析就會失去準確的辨別能力。本文主要介紹滑動時間窗的方式來過濾掉冗余的低危告警信息,這種方式是根據(jù)不同長度時間窗的比較來去除冗余的效果,這樣就可以保證在對冗余信息進行消除的同時而保留有用的信息。
3、實驗仿真及評估
3.1數(shù)據(jù)采集及預(yù)處理
根據(jù)以上設(shè)計進行仿真實驗,如圖2所示,局域網(wǎng)可以和互聯(lián)網(wǎng)直接相連,并且有OA、Web及Proxy等服務(wù)內(nèi)容。根據(jù)主機資源及部署的服務(wù)的重要性,就可以對該網(wǎng)段進行安全域的劃分,可以劃分其為兩個安全域,標記為安全域1和安全域2,分別表示為SZ-1和SZ-2。
根據(jù)實驗?zāi)康模瑢?shù)據(jù)首先進行采集,以五天為一個采集單元,共獲取305000條數(shù)據(jù)信息。對五天的數(shù)據(jù)隨機挑選三天的數(shù)據(jù)進行分析,分別表示為Day1#、Day2#和Day3#,然后對原始數(shù)據(jù)進行冗余處理,再對數(shù)據(jù)進行預(yù)處理。表2為預(yù)處理前的數(shù)據(jù)分布。如果選擇20s與30s當作時間窗長度,那么數(shù)據(jù)約減的效果不是很明顯。所以選擇20s作為時間窗的長度。
在態(tài)勢分析中,TimeIndex與Spaeelndex按照安全域劃分與評估間隔來定,此次實驗將評估周期定為1天,按照小時來劃分Timelndex分配,即1至24,然后將評估間隔的重要度按照網(wǎng)絡(luò)流量的等級劃分為3個等級。
表3為評估間隔重要性等級,WC表示歸一化的量化權(quán)重系數(shù),安全域的劃分參照表1。
3.2仿真結(jié)果
Day1#中嚴重度系數(shù)分配的前后如圖3a和圖3b顯示。因為Day1#中出現(xiàn)的高危攻擊要比相應(yīng)間隔的中低危告警要少的多,也就是說,圖3a中的低危態(tài)勢表現(xiàn)要嚴重與高危和中危態(tài)勢。這就說明,在對統(tǒng)計值進行建立時,對網(wǎng)絡(luò)攻擊中的嚴重度無法準確的進行評估。圖3b反應(yīng)了網(wǎng)絡(luò)安全態(tài)勢的嚴重度系數(shù)分配突出高危攻擊的影響。
與圖3表述相一致,圖4中a和b也表示嚴重度系數(shù),不同的是安全域是SZ-2,與圖3a面臨的問題相似,圖4a也反應(yīng)了低危攻擊比高危和中危攻擊嚴重,例如在Day1#數(shù)據(jù)中,第10、15與19小時都發(fā)生了高危攻擊,但是,這些高危攻擊在圖4a中,完全淹沒在低危告警中,圖4b中則完全顯示出高危態(tài)勢的變化。
在將SpaceIndex引入SZ-1和SZ-2前后,總體安全態(tài)勢如圖5a和圖5b的變化。在周期評估時,比較接近的是SZ-1中的攻擊分布和攻擊數(shù)量和SZ-2比較接近。所以在引入SpaceIndex之前,二者的態(tài)勢曲線是最為接近的,但是不同的是SZ-1中的主機和服務(wù)要比SZ-2中的主機和服務(wù)重要,因此,如果對兩個安全域同時進行攻擊時,兩個安全域所在的網(wǎng)絡(luò)系統(tǒng)受到的影響是完全不同的,只有在引入Spacelndex后,才能體現(xiàn)出態(tài)勢的變化,如圖5b。
圖6a中,主要是對Day2#總體態(tài)勢變化和不同安全域的態(tài)勢變化進行比較,從圖中可以看出,總體態(tài)勢的變化主要是有SZ-2所決定的。在特定時段內(nèi),SZ-2的變化并未引起SZ-1的態(tài)勢變化而被忽視。該思想在圖6b中Day3#數(shù)據(jù)中也被驗證。
4、結(jié)論
根據(jù)以上實驗,結(jié)果符合初衷,可是效果也有利于用戶發(fā)現(xiàn)風險。在大量中低危告警中,高危告警還是能決定態(tài)勢變化,所以,高級別態(tài)勢變化對整體態(tài)勢變化還是有著決定性的作用。
論文關(guān)鍵詞:IPv6,網(wǎng)絡(luò)安全
1.基于IPv6的網(wǎng)絡(luò)建設(shè)
在全球互聯(lián)網(wǎng)高度發(fā)展的今天,由于網(wǎng)絡(luò)與通信的日益融合,基于IPv4地址編碼方式已于2011年1月枯竭。那么,IPv6成為解決IPv4地址耗盡問題的最好解決方法網(wǎng)絡(luò)安全絡(luò)安全論文,按照正常方式從IPv4向IPv6轉(zhuǎn)換成功的話,全球所有的終端均可擁有一個IP地址,從而可實現(xiàn)全球網(wǎng)絡(luò)的概念。
IPv6是下一版本的互聯(lián)網(wǎng)協(xié)議,也可以說是下一代互聯(lián)網(wǎng)的協(xié)議,它的提出最初是因為隨著互聯(lián)網(wǎng)的迅速發(fā)展,IPv4定義的有限地址空間將耗盡,而地址空間的不足必將妨礙互聯(lián)網(wǎng)的進一步發(fā)展。為了擴大地址空間,通過IPv6以重新定義地址空間。IPv6采用128位地址長度,幾乎可以不受限制地提供IP地址網(wǎng)絡(luò)安全絡(luò)安全論文,從而確保了端到端連接的可能性。
除了地址分配問題外,IPv6雖然有整體吞吐量、高服務(wù)質(zhì)量等優(yōu)勢,但在安全接入方面并不比IPv4更為顯著。IPv6并不意味著網(wǎng)絡(luò)就自然安全了,雖然不使用地址翻譯,但仍然會使用防火墻,.net本身并不會帶來安全的因素。IPv6與IPv4面臨同樣的安全問題。
2. IPSec安全協(xié)議
2.1 IPSec安全協(xié)議的體系結(jié)構(gòu)
在IPv6中,IPSec安全協(xié)議是一個協(xié)議套件,主要包括:認證頭(Authentication Header,AH)、封裝安全載荷(Encapsulating Security Payload,ESP)、Internet密鑰交換(Internet Key Exchange,IKE)等相關(guān)組件論文開題報告范文論文下載。它提供的安全服務(wù)有:數(shù)據(jù)源身份驗證,無連接數(shù)據(jù)完整性檢查,數(shù)據(jù)內(nèi)容的機密性保證,抗重播保護以及有限數(shù)據(jù)流機密性保證。IPSec協(xié)議的體系結(jié)構(gòu)如圖1所示。
2.2IPSec認證頭AH協(xié)議
認證頭AH用于為IP提供數(shù)據(jù)完成性、數(shù)據(jù)原始身份驗證和一些可選的、有限的抗重播服務(wù)。AH定義了對數(shù)據(jù)所實施的安全保護的方法、頭的位置、身份驗證的覆蓋范圍,以及輸入和輸出處理規(guī)則,但不對所用的身份驗證算法進行具體定義[。AH的格式如圖2所示。認證頭AH有2種工作模式,即傳輸模式和隧道模式。傳輸模式只對傳輸層數(shù)據(jù)和IP頭中的固定字段提供認證保護,主要適合于主機實現(xiàn)[3]。隧道模式則對整個IP數(shù)據(jù)提供認證保護。
2.3 IPSec封裝安全載荷ESP協(xié)議
封裝安全載荷ESP為IP提供機密性、數(shù)據(jù)源驗證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。ESP的格式不是固定的,依據(jù)采用不同的加密算法而不同,但起始處必須是安全參數(shù)索引(SPI),用以定義加密算法及密鑰的生存周期等。ESP格式如圖3所示。封裝安全載荷ESP有2種不同的加密工作模式,即傳輸模式和隧道模式。傳輸模式ESP只對傳輸層數(shù)據(jù)單元加密,IPv6和各種擴展頭以及ESP中的SPI段用明文傳輸,該方式適用于主機到主機的加密。隧道模式ESP對整個IP分組進行加密,該模式以新的包含有足夠路由信息的IP頭封裝,從而便于中間結(jié)點的識別,該方式適用于設(shè)置有防火墻或其他類型安全網(wǎng)關(guān)的結(jié)構(gòu)體系。
2.4 IPSec密鑰交換IKE協(xié)議
關(guān)鍵詞:網(wǎng)絡(luò) 信息安全 計算機安全技術(shù)
中圖分類號: TN711 文獻標識碼: A 文章編號:
隨著計算機信息技術(shù)的發(fā)展,使網(wǎng)絡(luò)成為全球信息傳遞和交互的主要途徑,改變著人們的生產(chǎn)和生活方式。網(wǎng)絡(luò)信息已經(jīng)成為社會發(fā)展的重要組成部分,對政治、經(jīng)濟、軍事、文化、教育等諸多領(lǐng)域產(chǎn)生了巨大的影響。事實上,網(wǎng)絡(luò)安全已經(jīng)成為關(guān)系國家和國家安全、經(jīng)濟繁榮和社會穩(wěn)定、文化傳承和教育進步的重大問題,因此,我們在利用網(wǎng)絡(luò)信息資源的同時,必須加強網(wǎng)絡(luò)信息安全技術(shù)的研究和開發(fā)。
1網(wǎng)絡(luò)安全的概念 運用網(wǎng)絡(luò)的目的是為了利用網(wǎng)絡(luò)的物理或邏輯的環(huán)境,實現(xiàn)各類信息的共享,計算機網(wǎng)絡(luò)需要保護傳輸中的敏感信息,需要區(qū)分信息的合法用戶和非法用戶。在使用網(wǎng)絡(luò)的同時,有的人可能無意地非法訪問并修改了某些敏感信息,致使網(wǎng)絡(luò)服務(wù)中斷,有的人出于各種目的有意地竊取機密信息,破壞網(wǎng)絡(luò)的正常運作。所有這些都是對網(wǎng)絡(luò)的威脅。因此,網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)的信息安全,主要研究計算機網(wǎng)絡(luò)的安全技術(shù)和安全機制,以確保網(wǎng)絡(luò)免受各種威脅和攻擊,做到正常而有序地工作。
2網(wǎng)絡(luò)安全的分析 確保網(wǎng)絡(luò)安全應(yīng)從以下四個方面著手: ①運行系統(tǒng)的安全。硬件系統(tǒng)的可靠安全運行,計算機操作系統(tǒng)和應(yīng)用軟件的安全,數(shù)據(jù)庫系統(tǒng)的安全,側(cè)重于保證系統(tǒng)正常地運行,其本質(zhì)是保護系統(tǒng)的合法操作和正常運行。②網(wǎng)絡(luò)上系統(tǒng)信息的安全。即確保用戶口令鑒別、用戶存取權(quán)限控制,數(shù)據(jù)存取權(quán)限、數(shù)據(jù)加密、計算機病毒防治等方面的安全。③網(wǎng)絡(luò)上信息傳播的安全。信息傳播后的安全,包括信息過濾等。其側(cè)重于防止和控制非法、有害的信息傳播產(chǎn)生的后果,避免網(wǎng)絡(luò)上傳輸?shù)男畔⑹Э亍"芫W(wǎng)絡(luò)上信息內(nèi)容的安全。即保護信息的保密性、真實性和完整性。保護用戶的利益和隱私。
3網(wǎng)絡(luò)安全的攻略 網(wǎng)絡(luò)的任何一部分都存在安全隱患,針對每一個安全隱患需要采取具體的措施加以防范。目前常用的安全技術(shù)有包過濾技術(shù)、加密技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)等。下面分別介紹:
①包過濾技術(shù)。它可以阻止某些主機隨意訪問另外一些主機。包過濾功能通常在路由器中實現(xiàn),具有包過濾功能的路由器叫包過濾路由器。網(wǎng)絡(luò)管理員可以配置包過濾路由器,來控制哪些包可以通過,哪些包不可以通過。
②加密技術(shù)。凡是用特種符號按照通信雙方約定的方法把數(shù)據(jù)的原形隱藏起來,不為第三者所識別的通信方式稱為密碼通信。在計算機通信中,采用密碼技術(shù)將信息隱蔽起來,再將隱蔽后的信息傳播出去,是信息在傳輸過程中即使被竊取或截獲,竊取者也不能了解信息的內(nèi)容,從而保證信息傳輸?shù)陌踩?/p>
1 前言
隨著現(xiàn)代信息技術(shù)的發(fā)展和網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用,信息服務(wù)行業(yè)在服務(wù)內(nèi)容、服務(wù)方式與服務(wù)對象等方面發(fā)生了革命性變化,運作效率也有了顯著提升。在網(wǎng)絡(luò)環(huán)境下,信息服務(wù)行業(yè)在國家經(jīng)濟生活中的地位日益重要。但是,網(wǎng)絡(luò)同時也是攻擊事件和病毒蠕蟲等滋生之地。信息安全事件已經(jīng)不單單是影響個別民眾、企業(yè)的小事,而是影響到國家的安全。
隨著信息安全事件發(fā)生的日益頻繁,發(fā)達國家和地區(qū)對信息安全問題都予以了高度重視。我國長期以來信息安全意識不強,即使是重視,也僅限于政治和軍事領(lǐng)域。近幾年來,面對國際信息環(huán)境的變化與挑戰(zhàn),我國也采取了一系列對策。在法律法規(guī)建設(shè)方面,《計算機軟件保護條例》、《計算機信息系統(tǒng)安全保護條例》、《計算機病毒防治管理辦法》等相繼出臺。
2 信息安全基本概念
國內(nèi)外對“信息安全”沒有統(tǒng)一的定義?!吨腥A人民共和過計算機信息系統(tǒng)安全保護條例》的定義:“保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(網(wǎng)絡(luò))的安全,運行環(huán)境的安全,保障信息安全,保障計算機功能的正常發(fā)揮,以維護計算機信息系統(tǒng)的安全”。國家信息安全重點實驗室的定義:“信息安全涉及到信息的機密性、完整性、可用性、可控性。綜合起來說,就是要保障電子信息的有效性。國際標準化委員會的定義:“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護,保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露”。英國信息安全管理標準的定義:“信息安全是使信息避免一系列威脅,保障商務(wù)的連續(xù)性,最大限度地減少商務(wù)損失,最大限度地獲取投資和商務(wù)的回報,涉及信息的機密性、完整性、可用性”。美國人則認為:“信息安全包括信息的機密性、完整性、可用性、真實性和不可抵賴性”。其實,當前信息安全的概念正在與時俱進,它從早期的通信保密發(fā)展到關(guān)注信息的保密、完整、可用、可控和不可否認的信息安全,并進一步發(fā)展到如今的信息保障和信息保障體系。信息保障依賴于人、操作和技術(shù)實現(xiàn)組織的任務(wù)運作,針對技術(shù)信息基礎(chǔ)設(shè)施的管理活動同樣依賴于這三個因素,穩(wěn)健的信息保障狀態(tài)意味著信息保障和政策、步驟、技術(shù)和機制在整個組織的信息基礎(chǔ)設(shè)施的所有層面上均能得到實施,即面向數(shù)據(jù)安全概念是信息保密性、完整性和可用性;面向使用者的安全概念則是鑒別、授權(quán)、訪問、控制、抗否認性和可服務(wù)性以及基于內(nèi)容的個人隱私、知識產(chǎn)權(quán)等的保護,這兩者的結(jié)合就是信息安全保障體現(xiàn)的安全服務(wù),而這些安全問題又要依賴于密碼、數(shù)字簽名、身份驗證技術(shù)、防火墻、災(zāi)難恢復(fù)、防毒墻和防黑客入侵等安全機制加以解決,其中密碼技術(shù)和管理是信息安全的核心,而安全標準和系統(tǒng)評估則是信息安全的基礎(chǔ)。因此,信息安全就是指一個國家的社會信息化的狀態(tài)不受外來威脅與侵害,一個國家的信息技術(shù)體系不受到外來的威脅與侵害。
3 信息安全的基本屬性
信息安全有以下幾點基本屬性:
3.1 完整性
信息存儲和傳輸?shù)倪^程保持被修改不被破壞的,不入,不延遲,不亂序和不丟失的數(shù)據(jù)特征。對于軍用信息來說完整性遭破壞導(dǎo)致延誤戰(zhàn)機,自相殘殺或閑置戰(zhàn)斗力,破壞信息完整性是對信息安全發(fā)動攻擊的最終目的。
3.2 可用性
信息可被合法用戶訪問并能按照要求順序使用的特征,既在需要時就可以去用所需信息??捎眯怨艟褪亲钄嘈畔⒌目捎眯浴@缙茐木W(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行就屬于這種類型攻擊。
3.3 保密性
信息給非授權(quán)個人/實體或供其使用的特征。軍用信息安全尤為注重信息保密性。
3.4 可控性
授權(quán)機構(gòu)可以隨時控制信息的機密性。美國的政府提倡“密鑰托管’、“密鑰恢復(fù)”等措施就是實現(xiàn)信息安全可控性的例子。
3.5 可靠性
信息用戶認可的質(zhì)量連續(xù)服務(wù)于用戶的特征,但也有人認為可靠性是人們對信息系統(tǒng)而不是信息本身的要求??傮w來看,信息安全就是要保證信息的基本屬性不被破壞,信息按照發(fā)送方的意愿成功被接收方接收。
4 網(wǎng)絡(luò)安全的威脅
4.1 人為的無意失誤
如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉(zhuǎn)借他
人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。
4.2 人為的惡意攻擊
此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機密數(shù)據(jù)的泄漏。
4.3 網(wǎng)絡(luò)軟件的漏洞和“后門”
網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。另外,軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設(shè)想。計算機網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)信息安全實際上是密不可分的,兩者相輔相成,缺一不可。計算機網(wǎng)絡(luò)設(shè)備安全特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題,實施網(wǎng)絡(luò)安全增強方案,以保證計算機網(wǎng)絡(luò)自身的安全。網(wǎng)絡(luò)信息安全則緊緊圍繞信息在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題,在計算機網(wǎng)絡(luò)設(shè)備安全的基礎(chǔ)上,如何保障信息應(yīng)用過程的順利進行。沒有計算機網(wǎng)絡(luò)設(shè)備安全作為基礎(chǔ),網(wǎng)絡(luò)信息安全就猶如空中樓閣,無從談起。沒有信息安全保障,即使計算機網(wǎng)絡(luò)本身再安全,仍然無法達到計算機網(wǎng)絡(luò)信息應(yīng)用的最終目的。
5 信息安全策略
信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規(guī)則。實現(xiàn)信息安全,不但靠先進的技術(shù),而且也得靠嚴格的安全管理,法律約束和安全教育。
5.1 先進的信息安全技術(shù)是網(wǎng)絡(luò)安全的根本保證
用戶對自身面臨的威脅進行風險評估,決定其所需要的安全服務(wù)種類,選擇相應(yīng)的安全機制,然后集成先進的安全技術(shù),形成一個全方位的安全系統(tǒng);
5.2 嚴格的安全管理
各計算機網(wǎng)絡(luò)使用機構(gòu),企業(yè)和單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法,加強內(nèi)部管理,建立合適的網(wǎng)絡(luò)安全管理系統(tǒng),加強用戶管理和授權(quán)管理,建立安全審計和跟蹤體系,提高整體網(wǎng)絡(luò)安全意識;
5.3 制訂嚴格的法律、法規(guī)
計算機網(wǎng)絡(luò)是一種新生事物。它的許多行為無法可依,無章可循,導(dǎo)致網(wǎng)絡(luò)上計算機犯罪處于無序狀態(tài)。面對日趨嚴重的網(wǎng)絡(luò)犯罪,必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī),使非法分子懾于法律,不敢輕舉妄動。
作者:張秀梅 來源:科教導(dǎo)刊 2009年5期
關(guān)鍵詞:計算機信息;信息管理;網(wǎng)絡(luò)安全
現(xiàn)階段互聯(lián)網(wǎng)與居民實際生活的聯(lián)系越加緊密,計算機技術(shù)在為居民帶來便利的同時也存在著很多隱蔽的危險。無論對于相關(guān)企事業(yè)單位還是個人而言,來自于網(wǎng)絡(luò)的威脅都會造成一定的經(jīng)濟與精神損失。因此,解決網(wǎng)絡(luò)安全問題已經(jīng)刻不容緩,想要解決網(wǎng)絡(luò)安全問題就需要在網(wǎng)絡(luò)當中充分利用計算機信息管理技術(shù)。本文將從計算機信息管理的定義、現(xiàn)階段計算機信息在網(wǎng)絡(luò)安全應(yīng)用當中存在的問題以及計算機信息管理在網(wǎng)絡(luò)安全中具體應(yīng)用策略三方面進行綜合論述。
一、計算機信息管理以及網(wǎng)絡(luò)安全的定義
網(wǎng)絡(luò)安全指的是在互聯(lián)網(wǎng)中相互傳輸?shù)男畔踩潭?,有時也指計算機系統(tǒng)硬件部分具備的安全性。在網(wǎng)絡(luò)之中,有關(guān)信息在傳輸?shù)倪^程當中,需要保證在安全、密閉的環(huán)境之下進行,保證私人信息不被盜竊、利用。計算機信息管理指的是對于網(wǎng)絡(luò)之中傳遞的信息進行管理的技術(shù)。在實際應(yīng)用當中,計算機信息管理技術(shù)有及其重大的意義,對于有關(guān)網(wǎng)絡(luò)威脅的防護以及消除都能夠起到十分重要的作用,是保障居民網(wǎng)絡(luò)安全重要的手段之一[1]。通常對于網(wǎng)絡(luò)信息管理工作可以劃分為服務(wù)器信息傳遞、自身用戶信息、網(wǎng)絡(luò)下載信息等幾個大模塊。
二、現(xiàn)階段計算機信息管理在網(wǎng)絡(luò)安全應(yīng)用當中存在的問題
(一)工作人員自身網(wǎng)絡(luò)安全意識較低
目前的計算機信息管理在網(wǎng)絡(luò)安全應(yīng)用之中,工作人員自身網(wǎng)絡(luò)安全意識偏低是較為顯著的問題之一[2]。計算機信息管理技術(shù)是否能在網(wǎng)絡(luò)安全防護工作當中起到應(yīng)有的作用,與工作人員的實際執(zhí)行情況密不可分,由于計算機信息管理技術(shù)具有較強的專業(yè)性,其他部門很難對于計算機信息管理部門的工作人員起到良好的輔助作用,可以說在實際工作當中該部門的獨立性較強,這對于相關(guān)人員自身網(wǎng)絡(luò)安全意識、專業(yè)技能等方面都提出了更高的要求。隨著科技的進步來自于網(wǎng)絡(luò)當中的威脅呈現(xiàn)隱蔽化、多樣化。如果工作人員自身網(wǎng)絡(luò)安全意識較低,無法及時察覺網(wǎng)絡(luò)當中存在的威脅,勢必會對用戶造成嚴重的損失。因此,解決工作人員自身安全意識偏低的問題是現(xiàn)階段主要的問題之一。
(二)計算機信息管理技術(shù)存在漏洞
計算機信息管理技術(shù)重視對于用戶在網(wǎng)絡(luò)當中信息訪問的控制,對其信息來源進行一定程度之上的監(jiān)控,在此過程當中不僅會涉及到互聯(lián)網(wǎng)用戶自身還牽連著信息提供者、中轉(zhuǎn)者等多方面的信息,因此計算機信息管理技術(shù)具備很強的專業(yè)性,想要保障計算機管理技術(shù)在網(wǎng)絡(luò)安全之中的得到有效的應(yīng)用需要較為完善的技術(shù)指導(dǎo)以及環(huán)境。由于我國有關(guān)計算機信息管理在網(wǎng)絡(luò)安全應(yīng)用方面起步較晚,計算機信息管理技術(shù)還屬于初級階段,存在很多漏洞,面對著不法分子時刻革新的技術(shù),現(xiàn)在計算機信息管理有些難以招架。因此,加強計算機信息管理技術(shù),修復(fù)當前技術(shù)當中存在的漏洞是將計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中有效應(yīng)用的正確手段[3]。
三、計算機信息管理在網(wǎng)絡(luò)安全中具體應(yīng)用策略
(一)工作人員加強安全意識
工作人員加強自身有關(guān)網(wǎng)絡(luò)安全防范意識是保障用戶網(wǎng)絡(luò)安全的前提,目前網(wǎng)絡(luò)威脅的偽裝技術(shù)愈發(fā)先進,普通用戶難以察覺,這就需要有關(guān)工作人員加強警惕。對于在職很長時間理論知識落后的員工進行加強安全意識的專項培訓(xùn),提升工作人員對于網(wǎng)絡(luò)安全的認知,大力引進相關(guān)的高端人才,通過對于尖端人才的學(xué)習(xí)促進整體工作人員安全意識進行提升。將工作人員的工資與實際業(yè)績進行捆綁,激發(fā)工作人員的工作激情,杜絕魚目混珠的人員拉低整個隊伍的素質(zhì),加強對于網(wǎng)絡(luò)環(huán)境的監(jiān)管,保障用戶在網(wǎng)絡(luò)當中的信息安全。
(二)加強計算機信息管理技術(shù)
現(xiàn)階段的計算機應(yīng)用技術(shù)對于全方位保護用戶的信息安全做的還不夠到位,面臨著網(wǎng)絡(luò)威脅技術(shù)的飛速提升,有關(guān)計算機信息管理技術(shù)也亟待加強。有關(guān)部門對于此事應(yīng)當加大重視程度,領(lǐng)導(dǎo)階層打開視野,加強對于國際當中先進計算機信息管理技術(shù)的引進,提升有關(guān)工作人員自身的工作素養(yǎng),加快國內(nèi)計算機信息管理技術(shù)制度的建設(shè),完善在計算機信息管理技術(shù)當中存在的漏洞,做到“魔高一尺,道高一丈”,將不法分子制造的網(wǎng)絡(luò)威脅拒之門外,為居民打造和諧、綠色的上網(wǎng)環(huán)境。
(三)完善網(wǎng)絡(luò)信息安全體系
想要保證居民網(wǎng)絡(luò)安全首先要加強網(wǎng)絡(luò)信息安全管理體系,健全的網(wǎng)絡(luò)信息安全管理體系是一切計算機信息管理技術(shù)應(yīng)用的基礎(chǔ)。近幾年來,隨著科技的飛速發(fā)展,我國網(wǎng)絡(luò)信息安全體系正在不斷的健全完善當中,在網(wǎng)絡(luò)時代的今天,有關(guān)計算機信息管理技術(shù)的革新日新月異,網(wǎng)絡(luò)威脅也在時刻進行變化,建立健全網(wǎng)絡(luò)信息安全體系就顯得尤為重要,在新時代的背景之下,有關(guān)部門一定要加速網(wǎng)絡(luò)信息安全的建設(shè),構(gòu)架全面的網(wǎng)絡(luò)信息安全體系,才能有效維護網(wǎng)絡(luò)安全。
隨著社會經(jīng)濟技術(shù)的不斷發(fā)展,中國進入了全面信息化時代,隨之而來的網(wǎng)絡(luò)安全問題層出不窮,時刻威脅著居民在網(wǎng)絡(luò)時代的信息安全。為保障居民的網(wǎng)絡(luò)信息安全,在新時代下做好網(wǎng)絡(luò)安全中的計算機信息管理手段就顯得十分必要,相關(guān)單位必須要重視當前在計算機信息管理技術(shù)當中存在的問題,及時加以改正,提高自身技術(shù)水平,才能更加全面的保護用戶的網(wǎng)絡(luò)安全。
作者:汪志偉 單位:中國石油大港油田第三礦區(qū)管理服務(wù)公司
參考文獻:
[1]陳文兵.計算機信息管理技術(shù)在維護網(wǎng)絡(luò)安全中的應(yīng)用策略探究[J].電腦知識與技術(shù),2015,(36):35-36.
關(guān)鍵詞:網(wǎng)絡(luò)防火墻;配置;管理
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)25-0026-02
1 網(wǎng)絡(luò)防火墻的部署問題綜述
為保證內(nèi)網(wǎng)所有數(shù)據(jù)流量均通過防火墻過濾,從而保護內(nèi)網(wǎng)用戶的安全,一般情況下防火墻均部署在網(wǎng)絡(luò)出口位置,上接路由器或鏈路負載均衡設(shè)備,下接三層核心交換機。防火墻的接口一般分為三類:內(nèi)網(wǎng)口、外網(wǎng)口和DMZ口,校園網(wǎng)中網(wǎng)絡(luò)防火墻的部署如下圖所示:
內(nèi)網(wǎng)口用于連接內(nèi)網(wǎng)交換機,通常是核心交換,負責轉(zhuǎn)發(fā)內(nèi)網(wǎng)數(shù)據(jù);外網(wǎng)口用于連接外網(wǎng),或是路由設(shè)備的接口;DMZ口用于連接內(nèi)網(wǎng)服務(wù)器,這個區(qū)域的設(shè)備或服務(wù)對外網(wǎng)公開,但通過配置可以隱藏內(nèi)部地址。
防火墻的管理方式有兩種:命令行和WebGUI。通常情況下命令行管理模式的權(quán)限是最高的,防火墻廠商不對用戶公開;防火墻用戶采取分級管理,一般包含超級管理員、系統(tǒng)管理員和日志管理員。
2 網(wǎng)絡(luò)防火墻常用的配置
2.1策略配置
防火墻策略是網(wǎng)絡(luò)安全管理中最常用的方式。策略配置通常分為三個步驟:
(1) 定義對象
對象即需要控制的源地址和目的地址,通常代表用戶或訪問者,也可以代表某個城市或是主機,表示需要控制的范圍。
(2) 定義服務(wù)
服務(wù)通常是需要控制的時間段、或是某些特殊的端口,用于精確控制對象的某個方面,如在某個時間段不允許訪問某個固定地址等。
(3) 定義規(guī)則
規(guī)則即對象與策略的集合,將對象和服務(wù)結(jié)合在一起,定義允許和禁止某對象的特定服務(wù),多個規(guī)則結(jié)合在一起構(gòu)成策略。
規(guī)則的執(zhí)行按照自上而下的順序,如兩條規(guī)則的所涉及的范圍有重復(fù),則跳過下一條規(guī)則中所規(guī)定的,因此在日常防火墻的管理中,新定義的規(guī)則一般放在最上面,保證被優(yōu)先執(zhí)行,而制定新規(guī)則之后若原有服務(wù)出現(xiàn)異常,則應(yīng)該檢查是否是新規(guī)則在制定時是否對原有策略產(chǎn)生了影響。例如定義內(nèi)網(wǎng)中的網(wǎng)段10.0.1.1/24不能訪問某網(wǎng)站http://需要兩條規(guī)則(不考慮其他規(guī)則的條件下),定義規(guī)則如下:
策略生效后,如10.0.0.0網(wǎng)段用戶訪問的是http://,則匹配第一條規(guī)則,禁止訪問;而訪問其他的地址的網(wǎng)站或其他服務(wù),則匹配第二條規(guī)則,允許通過。兩條規(guī)則相結(jié)合生成了這一策略。
2.2網(wǎng)絡(luò)地址轉(zhuǎn)換配置
網(wǎng)絡(luò)地址轉(zhuǎn)換配置在防火墻中主要有兩個作用:首先是隱藏內(nèi)部地址,主要作用于內(nèi)網(wǎng)服務(wù)器對外公開,通過網(wǎng)絡(luò)地址轉(zhuǎn)換將內(nèi)網(wǎng)地址隱藏起來,起到一定的保護作用;其次網(wǎng)絡(luò)地址轉(zhuǎn)換用于解決共有IP地址不足的問題,將內(nèi)網(wǎng)私有地址轉(zhuǎn)換成互聯(lián)網(wǎng)中通用的IPV4地址,也就是源地址轉(zhuǎn)換和目的地址。
源地址轉(zhuǎn)換一般用于內(nèi)網(wǎng)用戶訪問外網(wǎng)時,防火墻統(tǒng)一將私有IP地址轉(zhuǎn)換成指定的公網(wǎng)IP,例如學(xué)校的外網(wǎng)IP是218.95.46.65,則內(nèi)網(wǎng)所有用戶的訪問Internet時都統(tǒng)一轉(zhuǎn)換成該IP地址。目的地址轉(zhuǎn)換則是當外網(wǎng)用戶訪問DMZ區(qū)中的某個服務(wù)器時,防火墻根據(jù)訪問的服務(wù)請求,將數(shù)據(jù)包送至對應(yīng)提供服務(wù)的主機。
2.3 其他功能配置
高校購買的防火墻通常都會有很多高級功能,如反垃圾郵件、內(nèi)容過濾、入侵防御等,多數(shù)高校都只是應(yīng)用了防火墻最基本的功能,而對這部分功能缺乏開發(fā)和應(yīng)用的經(jīng)驗。實際上如果高校能夠很好地配置使用這些功能,對整個校園網(wǎng)的安全提升會起到非常重要的作用。如利用反垃圾郵件系統(tǒng)過濾垃圾郵件、使用內(nèi)容過濾屏蔽非法網(wǎng)站的關(guān)鍵字,進行入侵防御等都能大大提高校園網(wǎng)絡(luò)安全。
3 網(wǎng)絡(luò)防火墻后期的管理與維護問題
3.1 管理策略
3.1.1 不斷完善安全策略
很多高校網(wǎng)絡(luò)防火墻的安全策略都是產(chǎn)品購買時廠家工程師依據(jù)客戶要求設(shè)置了,經(jīng)過多年的使用,原有的策略已經(jīng)不能滿足安全的需要,對于最新發(fā)現(xiàn)的木馬、蠕蟲病毒也沒有進一步的策略防護,因此需要管理員根據(jù)實際情況不斷調(diào)整安全策略,及時封堵最新具有安全威脅的地址和端口。
3.1.2 建立日志系統(tǒng)
日志系統(tǒng)是安全防護的最后一道關(guān)卡,它在安全管理中占據(jù)十分重要的地位。但是很多高校并沒有十分重視日志系統(tǒng)的建立,導(dǎo)致入侵發(fā)生后無據(jù)可查。實際上由于防火墻是整個網(wǎng)絡(luò)的唯一出口,利用防火墻建立一個日志系統(tǒng)將會在管理工作中起到事半功倍的作用。具體的做法是指定一臺專用的服務(wù)器,通過第三方軟件在防火墻上采集相應(yīng)的數(shù)據(jù),通過局域網(wǎng)傳送到日志服務(wù)器上。
3.2 維護策略
3.2.1 賬號維護
賬號維護是防火墻維護中的一項重要任務(wù),主要包括權(quán)限維護和密碼維護兩個方面的內(nèi)容。權(quán)限維護是指管理員賬戶應(yīng)該分級管理,出現(xiàn)不同分工時應(yīng)該及時調(diào)整賬號權(quán)限;而密碼維護則是要求各管理員至少每三個月就應(yīng)更換一次密碼,密碼應(yīng)包含字母、數(shù)字和字符串并且保證8位以上。
3.2.2 備份管理
防火墻的備份管理也是維護工作中的重要一環(huán),當發(fā)生系統(tǒng)故障時可以及時通過備份迅速恢復(fù)配置,保證網(wǎng)絡(luò)的順暢運行。備份的頻率是至少保證每月1次,配置發(fā)生變動時應(yīng)及時備份,并且應(yīng)該將備份文件放置在異地服務(wù)器上,避免防火墻硬件發(fā)生損壞時能及時從服務(wù)器中找回原有配置。
4 網(wǎng)絡(luò)防火墻常見的故障及解決方案
4.1OS故障
網(wǎng)絡(luò)防火墻的OS一般都比較穩(wěn)定,出現(xiàn)故障的概率較小,但是系統(tǒng)升級時比較容易出現(xiàn)OS故障。筆者工作時使用的防火墻在系統(tǒng)升級時就曾經(jīng)發(fā)生過系統(tǒng)故障,升級完成后不能正常工作,恢復(fù)原有系統(tǒng)后通訊正常,原因一般都是OS來源不當或是在傳輸過程中部分文件丟失,因此在升級時應(yīng)該通過廠家進行并在升級前做好備份工作。
4.2配置故障
配置故障發(fā)生的主要原因是因為很多高校管理員將防火墻同路由器等同配置,雖然防火墻在某些功能上可以替代路由器,但其在轉(zhuǎn)發(fā)效率上是遠低于路由器的,并且很多配置也不盡相同,管理員只有充分掌握防火墻的原理和配置方法后才能在實際工作中盡量少失誤。因此我們配置防火墻時如發(fā)生配置故障應(yīng)迅速恢復(fù)原有配置保證網(wǎng)絡(luò)通暢,再查找配置上的錯誤。
5 小結(jié)
本文從網(wǎng)絡(luò)防火墻的部署、常用配置、管理與維護和常見故障與解決方案四個方面討論了高校網(wǎng)絡(luò)防火墻的配置與管理工作,網(wǎng)絡(luò)管理員應(yīng)充分掌握本校網(wǎng)絡(luò)防火墻的管理方法,不斷調(diào)整安全策略,盡量避免故障的發(fā)生,才能最大限度地保障校園網(wǎng)絡(luò)安全的運行。
參考文獻:
[1] 姚爽.計算機安全與防火墻技術(shù)[J].電子技術(shù)與軟件工程,2016,(9)223.