序論:速發表網結合其深厚的文秘經驗���,特別為您篩選了11篇網絡安全相關認證范文��。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系�����,希望您能從中汲取靈感和知識�!
篇1
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2017)04-0037-02
網絡安全認證結構是一個較為復雜的系統化工程,要針對系統軟件和人員制度進行系統化分析��,要結合網絡安全技術進行集中處理��,從而保證不同安全問題能得到有效認證和處理��,明確校園安全保護方面的需求��,從而積極落實動態化安全模型�,利用有效的解決方案,確保高效穩定網絡運行環境���。
1 常用網絡安全技術分析
在實際網絡安全技術管理過程中�,要針對實際管理結構建構系統化管控機制��,目前�����,較為常用的網絡安全技術主要包括以下幾種�����。
第一��,數據加密技術。在網絡管理機制中���,數據加密技術是較為重要的安全技術結構�,在實際技術應用過程中�����,主要是利用相應的加密算法建構系統化的計算模型�����。
第二���,身份認證技術����。在實際技術結構建立過程中���,借助計算機以及網絡系統對操作者的身份進行集中關注����,并且按照身份信息以及特定數據進行綜合分析���,計算機借助用戶數字身份對用戶身份的合理性���。要結合物理身份以及數字身份的對應進行集中處理,從而保證相應數據的安全性�����。
第三����,防火墻技術。防火墻是網絡安全的基本屏障�����,也是內部網絡安全性提升的重要技術結構�,主要是借助相關軟件和系統對不安全流量以及風險進行集中處理,確保安全隱患得到有效維護�����,利用協議對內部網絡進行集中處理��。在防火墻技術中�����,要對網路存取以及訪問記錄進行集中審計。
2 校園網絡體系分析
2.1校園網絡認證系統
在校園網絡體系建立過程中���,要針對相應問題進行集中處理�����,作為高校信息化的基本平臺和基礎設施����,在實際工作中承擔著非常重要的作用���。因此�����,要結合高校實際建立切實有效的校園網認證系統�,從技術結構層面要積極落實自身網絡規模和運營特點���,確保校園網絡體系認證系統能滿足安全高效的工作管理機制��。目前��,多數高校校園網絡都利用以太網��,建立局域網標準�,并且結合相應的網絡體系建構校園網認證模式�。
利用以太網對接入認證方式進行處理,主要是利用PPPoE認證模式��、802.1認證模式以及Web認證模式等�,能結合相關協議對其邏輯點進行綜合連接。在認證機制管理過程中����,要對認真協議以及訪問控制進行綜合分處理,從而支持業務和流媒體業務處理業務�����,確保應用效果切實有效���。
2.2校園網絡安全問題分析
在校園網絡安全管理過程中���,要結合相關問題進行集中處理,并且積極落實有效的高校信息化建設機制�����,在校園網運行過程中,主要是針對高校教育以及科研基礎設施進行綜合管控��,承擔科研以及管理任務�����。網絡實際應用過程中����,會區別于商業用網絡以及政府用網絡。其一�,網絡組成結構較為復雜,分為核心�、匯聚以及接入等層次,會直接分別劃分為教學子網絡�、辦公子網絡以及宿舍子網絡等,在對其接入方式進行分析時�����,并且建構雙出口結構�。利用多層次和雙出口特征,導致校園網運行結構中存在復雜網絡環境。其二�����,在高校校園網運行過程中�,網絡應用系統和功能較為復雜,同時要滿足教學信息交流和科研活動��,在運行電子郵件系統和網絡辦公系統的基礎上�����,教學中應用在線教學系統�,日常生活應用一卡通系統�,提高整體應對安全隱患的能力。
2.3校園網絡安全需求分析
在校園網絡安全需求分析過程中�����,需要對校園網絡進行分層管理����,確保管控機制和管理維度的有效性,作為大型網絡區域��,需要對相關協議以及網絡運行結構進行細化處理和綜合解構。在處理校園網絡系統物理結構和安全問題方面���,需要技術人員結合校園的實際問題建構有效的校園網認證系統��。由于網絡應用人群數量基數較大����,且安全隱患性問題較多�����,需要建構系統化且具有一定實際價值的校園網安全支持系統����。
在對網絡安全需求結構進行分析的過程中,第一����,建立網絡邊緣安全區域,網絡邊緣安全主要是在校園網和外界網交界處����,利用相應的訪問數據管理機制,對其進行集中管控����。主要包括接入校園內網����、信息共享上網體系���、遠程訪問服務網絡�、服務器�����、接入CERNET���,接入CHINANET等,能禁止外部用戶非法訪問校園網數據��,隱藏校園網內網的IP��,并且能為校園網提供更加安全可靠的遠程訪問服務項目����。第二,建立匯聚安全區�,應用校園W絡骨干節點,并且對網絡之間的高速以及穩定進行集中處理。第三�����,服務器安全區域�����,要結合外服務器區域以及內服務區域�,對其內容和信息進行集中處理,并且保證高風險區域得到有效處理��,以保證通訊結構不受到影響�。校園網應用系統較多,要對安全性進行針對性分析���,確保實施隔離后各個區域能滿足相應的管理需求�。第四���,接入網安全區�����,在接入網安全問題處理過程中���,由于越來越多的病毒會導致二層協議受到漏洞影響�,校園接入網絡的布點較多�����,人員組成較為復雜�,針對端口環路問題要進行集中管理和層級化處理,確保相應的安全性得到有效維護����。
3 校園網認證系統的安全體系
3.1校園網認證系統的安全風險和應對措施
在校園網認證系統建立和運行過程中,要對校園網認證安全風險進行綜合評估��。
其一����,應用層面對的安全風險�����,主要包括病毒木馬攻擊����、緩沖區溢出問題�����、逆向工程問題���、注冊表供給問題以及社交工程問題等。攻擊依賴關系中主要是ARP攻擊��、Sniffer攻擊以及病毒直接攻擊等�����。針對上述問題��,技術人員要提高程度的安全性���,并且確保學生能提高安全防護意識����,而對于ARP攻擊項目���,需要應用高安全性加密算法取代弱加密算法��,并且寶恒用戶登錄信息不會存儲在注冊表內���。
其二���,表示層、會話層����、傳輸層的安全風險,主要是來自URL的編碼攻擊�、會話劫持問題以及DOS攻擊等,依賴的是Sniffer攻擊��,需要技術人員針對相關問題進行集中的技術升級和綜合處理��。
其三�����,傳輸層的安全風險���,主要是來自于IP地址的攻擊�����,需要技術人員針對相應適配結構安裝有效的防火墻�����。
其四����,數據鏈路層的安全風險���,主要是來自于ARP攻擊�,依賴關系是Sniffer攻擊�,利用相應的ARP地址綁定能有效的應對相關問題,建構更加有效的管理系統��。
其五����,物理層的安全風險,主要是Sniffer攻擊以及直接攻擊��,針對上訴問題��,需要技術人員利用相應的手段對POST進行有效消除,并且去掉數據中的MAC地址密文�����,以保證有效地減少秘鑰泄露問題,并且要指導學生提高網絡安全防護意識��。
3.2校園網認證系統的接入層安全設計
在校園網絡系統中��,接入層是和用戶終端相連的重要結構,在實際認證系統建立過程中���,由于接入層的交換機需要承受終端的流量攻擊���,因此���,技術人員需要對其進行集中處理和綜合管控���,確保其設計參數和應用結構的有效性�。
其一,利用ARP欺騙技術�����,對于相應的緩存信息進行集中處理和綜合維護�,并且保證相應參數結構不會對網絡安全運行產生影響����,也能針對ARP攻擊進行有效應對���,從而建立切實有效的防御體系�,借助修改攻擊目標的ARPcache表實現數據處理,從而提高校園網認證系統的安全性。
其二��,用戶身份認證部署結構����,為了更好地滿足校園網的安全需求���,要積極落實有效的管理模式�,由于接入用戶識別和認證體系存在問題,需要對網絡接入控制模型進行集中處理和綜合管控,提高認證結構資源維護機制的同時����,確保相應認證結構得以有效處理。
3.3校園網認證系統的網絡出口安全設計
校園網認證系統建立過程中����,出口安全設計是整個網絡安全體系中較為重要的項目參數結構,需要技術人員針對其網絡通道進行系統化分析和綜合處理���,確保安全設計內部網絡和外部資源結構之間建立有效的平衡態關系�����,并對性能問題和內網訪問速度,并對光纖服務器進行綜合分析�。
3.4校園網認證系統的網絡核心層安全策略
網絡核心層是交換網絡的核心元件����,也是安全策略得到有效落實的基本方式�,核心層設計要對其通信安全進行集中處理�,并有效配置ACL策略�,對其進行訪問控制����,從而保證端口過濾得到有效管理����。在核心層管理過程中�,要對VLAN進行有效劃分�����,也要對安全訪問控制列表進行有效配置,對不同子網區域之間的訪問權限進行有效管理�����,為了進一步提高關鍵業務實現系統的獨立����,從而保證網絡管理系統和隔離系統的優化�����,實現有效的數據交互�����,確保訪問權限得到有效分類��,也為系統整體監督管理的優化奠定堅實基礎��,并且積極落實相應的配置方案��。只有對病毒端口進行集中過濾��,才能保證網路端口的掃描和傳播模型進行分析����,有效處理病毒傳遞路徑����,保證訪問控制列表的有效性,真正落實病毒端口過濾的管理路徑,保證管理維度和管理控制模型的有序性����。
4 結束語
總而言之,校園網認證系統的管理問題需要得到有效解決,結合組織結構和網絡多樣性進行系統升級�,并針對地理區域特征和網絡基礎設施等特征建構系統化處理模型����,對于突發性網絡需求以及校園網網絡堵塞等問題進行集中處理和綜合管控��,從根本上提高校園網網絡維護和管理效率���。在提高各層次網絡安全性的同時�,積極建構更加安全的校園網認證系統,實現網絡管理項目的可持續發展����。
參考文獻:
[1] 杜民.802.1x和web/portal認證協同打造校園網認證系統[J].山東商業職業技術學院學報���,2015��,10(6):104-107.
篇2
2廣電行業網絡安全的影響因素
廣電行業在發展的過程中,存在較多的網絡安全問題�����,這與網絡自身的因素有著一定關系��,影響著廣電行業發展的健康性�。廣電行業對信息安全要求比較高,在網絡建設的過程中��,需要保證網絡的安全性,這樣才能提高廣電行業發展水平���。廣電行業應用的網絡技術在不斷變化�����,隨著科技的不斷發展�,網絡環境也在不斷的變化,在不同的時期����,存在的網絡安全隱患也有較大的差異,在解決的過程中,需要結合市場發展現狀����。在廣電網絡發展的初級階段,存在的安全問題主要是物理故障,常見的問題就是設備故障�����,技術人員需要對設備進行定期檢修�。在發展階段�,網絡安全影響因素逐漸變為網絡攻擊問題,這對技術人員提出了更高的要求,其必須結合當前網絡形式,找出導致廣電行業存在安全隱患的原因���。廣電行業電纜分配網絡的形式本身存在一定缺陷�,這會導致廣電網絡容易受到病毒的攻擊��,網絡安全維護技術在發展的過程中����,遭遇了瓶頸期�,這主要是因為廣電網絡抵御攻擊的能力比較低�,在優化網絡技術時��,需要引進國外的先進技術,但是又會受到國際出口網絡地址的限制�,需要將私網地址轉化為公用網絡地址�。我國廣電行業雙向網絡的發展比較緩慢�,這一行業缺乏專業的人才�,需要培養網絡安全維護人才�����,這樣才能提高網絡安全防御能力����,才能提高網絡傳輸數據的能力。針對廣電行業網絡安全問題����,必須針對影響因素��,找出相應的解決措施,這樣才能保證廣電行業健康���、長遠的發展下去�。
3提高廣電行業網絡安全的措施
3.1網絡特點分析
一是網絡處于轉型階段��,廣電網絡正處于將模擬電視轉變成數字電視的階段��,廣電網絡投資也主要用于電視轉型領域,用于網絡安全維護領域的資金和力量相對不足�����,缺少必要的人才和財力保障網絡安全�。二是廣電對網絡的管理能力不足�。雖然廣電網絡發展勢頭迅猛,但是廣電行業還未形成統一的網絡管理�����,需依賴核心網絡設備提供的網絡安全管理軟件進行管理����。網絡安全管理能力的不足還體現在系統和網絡安全建設滯后方面��,廣電網絡系統和網絡安全建設處于起步階段,沒有形成集中式管理系統�����。
3.2對網絡結構進行完善
3.2.1接入層的安全防御方案含析
接人層安全需要局端設備具備認證能力�����,根據安全策略分析接人終端設備的身份���,防止不服從安全策略的非法終端設備接人網絡��。當前一些網絡運營商采用實名制結構��,每個用戶配發一張智能卡���,開通增值業務時根據智能卡內的用戶密鑰完成身份認證��,無身份密鑰的用戶無法進人網絡,從而確保網絡接人層的安全�����。應用范圍較廣的身份認證有PKI技術,它是一種較為安全可靠的身份認證技術。其操作原理為將用戶信息發送至認證服務器接受認證��,認證服務器接受信息����、后確定信息���、是否符合安全策略��。如果信息��、符合安全策略���,認證服務器才會想用戶端發送隨機數值�,用戶端的用戶根據密鑰顯示的隨機數值以及接認證服務器發送的隨機數值進行加密��,將加密信息發送至認證服務端����。認證服務端接收加密數值后,根據用戶的公鑰進行解密����,并對比發送的隨機數值信息����。如果信息均一致���,則通過認證��,允許人網,否則禁止人網�����。
3.2.2內容層的安全防御方案
由于廣電HFC網絡傳輸的數據容易被黑客切取��,應格外重視提高內容層的防御能力�����。對于內容層的防御,可采用數字簽名和數字信封技術保障HFC網絡傳輸數據的保密性和完整性�。例如數字信封�����,它要求采用特定的方式接受數字信封,否則無法讀取信封內的信息���。數字信封安全措施彌補了非對稱密鑰及對稱密鑰加密時間過長及分發困難的問題��,也提高了信息傳輸安全性���。數字信封保護方式流程如下:首先使用對稱密鑰加密發送方發送的信息,使用接收方的公鑰將信息加工為數字信封,再發送給用戶�����。用戶使用私鑰解開對稱密鑰�����,再使用對稱密鑰解開加密的信息。另外�����,還可應用虛擬專用技術手段�,位于公共網絡系統之中創建專用網絡����,進而令數據在可靠安全的管理工作下。該技術手段主要應用隧道技術手段��、加密解密方式以及秘鑰管理�����,認證辨別身份技術手段做好安全可靠的保障����。
篇3
關鍵詞:
無線網絡;安全;防范
高效無線網絡校園是現在很多高校建設的目標���,因此��,高校在為用戶提供基本的互聯網上網服務外��,還需要為用戶提供安全可靠的網絡服務�����,用戶可以在校內或者校外訪問相應的資源�����。網絡安全設計實現對內外接入時避免面臨網絡安全的問題��,保證網絡資源及網絡設備的安全是校園無線網絡建設所面臨的一個嚴峻問題�����。
1無線網絡安全面臨的主要問題
1.1訪問權限的控制
學校一般擁有大量的外網地址,但是對外提供服務的只是其中的一部分或者少數幾個地址��,因此需要在出口設備上嚴格限制外網對內的訪問權限�����,只有允許的地址或者允許地址的特定端口才是可以被訪問的�����,其它地址一律禁止外網發起的主動訪問����。
1.2攻擊主機的主動識別和防護
動態監測外網主機對資源平臺的訪問��,當外部主機發起非法攻擊或者大量合法請求時����,網關設備會主動將非法主機進行隔離�����,從而保證資源平臺的安全性��;
2無線網絡安全主要的設計內容
基于“接入安全”的理念��,將學院園區無線網絡認證過程設置到離學生客戶端最近的網絡邊界處�����,通過啟用Web認證模式����,無線控制器和學校目前采用的AAA認證系統的協同工作,當學生在接入無線網絡的時候�����,網絡無線控制器和ZZ-OS認證網關進行對接,通過portal的方式將認證頁面推送到客戶端�,然后將學生認證所需要的用戶名和密碼上傳到無線控制器,無線控制器通過與ZZ-OS認證系統的對接,獲取學生相關的認證信息��,如果認證通過���,則無線控制器將通知無線AP接入點,允許該學生訪問相關的資源��,學生使用瀏覽器即可完成認證過程�,不僅保證了接入學生的學生合法性����,而且學生能快捷便利的使用無線網絡,極大的提高了學生的體驗感����。
2.1學生數據加密安全
無線AP通過WEP��、TKIP和AES加密技術���,為接入學生提供完整的數據安全保障機制,確保無線網絡的數據傳輸安全�����。
2.2虛擬無線分組技術
通過虛擬無線接入點(VirtualAP)技術�����,整機可最大提供16個ESSID�����,支持16個802.1QVLAN��,網管人員可以對使用相同SSID的子網或VLAN單獨實施加密和隔離��,并可針對每個SSID配置單獨的認證方式��、加密機制等�。
2.3標準CAPWAP加密隧道確保傳輸安全無線
AP接入點與網絡無線控制器以國際標準的CAPWAP加密隧道模式通信�,確保了數據傳輸過程中的內容安全�。
3安全準入設計
無線網絡為開放式的網絡環境�����,基于端口的有線網絡管理方式已經無法滿足無線用戶接入管理的需求���。為了解決接入用戶管理的問題一般高校都會部署AAA服務器,通過AAA服務器實現無線用戶身份認證����。通過引入AAA服務器雖然解決了“誰”可以連接無線網絡的問題,但是如何進行用戶身份的認證呢?無線網絡部署的初期一般采用SU的方式��。SU方式需要無線用戶在無線終端設備上安裝特定的客戶端��,通過該客戶端完成用戶身份的校驗��。但是隨著智能終端的出現��,接入無線網絡的終端不僅僅是筆記本電腦�����,平板電腦�、手機等智能終端也需要接入無線網絡,而SU模式并不適合安裝在智能終端上���。為了解決智能終端接入無線網絡的問題很多設備廠商推出了Web認證���,智能終端不再需要安裝客戶端����,只需要通過瀏覽器就可完成身份認證。針對智能終端Web似乎是一種比較完美的身份認證方式��。隨著互聯網應用的迅速崛起�����,用戶希望在物理位置移動的同時可以使用微信����、微博等互聯網應用���。如果依然采用Web方式進行身份認證�����,用戶將會感覺很麻煩�����,影響用戶對無線網絡的體驗��,為了解決認證方式繁瑣的問題���,無感知認證應用而生�,無感知身份認證只需要用戶首次進行終端相關用戶信息配設置后續終端接入無需用戶干預自動完成。
4安全審計設計
無線網絡為了給用戶提供良好的上網體驗�����,一般終端接入網絡時采用動態地址分配方式,同時公有地址不足是所有國內高校面臨的一個問題���,為了解決地址不足的問題一般校內采用私有地址����,出口網絡設備進行NAT轉化。在私有地址環境中采用動態地址分配方式���,管理員將會面臨一個問題:當發生安全事件時���,網監部門只能為管理提供一個具體的外網地址和訪問的時間點�,僅有的信息中要準確定位問題的具體負責人��。傳統的日志審計平臺只記錄了出口設備的NAT日志,可以通過公網地址和具體的時間找到對應的私網地址��,但是由于地址采用動態分配的方式���,能難確定該時間段對應的地址是哪個用戶在使用或者說需要查詢多個系統才能確認最終的用戶,如果多個系統中有一個系統時鐘不一致�����,可能造成最終信息的錯誤��。為了加強出口行為管理和日志記錄�����,解決安全審計方面的問題����,安全方案采用elog應用日志及流量管理系統����。elog配合出口網關可有效記錄NAT日志�����、流日志、URL日志��、會話日志等�����,并可存儲3個月以上���,滿足公安部82號令相關要求����,學校也可對相關安全事件有效溯源。日志對于網絡安全的分析和安全設備的管理非常重要�����,網關設備采用統一格式記錄各種網絡攻擊和安全威脅��,支持本地查看的同時��,還能夠通過統一的輸出接口將日志發送到日志服務器�,為用戶事后分析、審計提供重要信息�����。NAT日志查詢(如圖1所示)�����。在充分考慮校園無線網絡安全設計的前提下���,對網絡自身的數據加密����、信息泄露以及網絡攻擊進行嚴密防控的同時,提升用戶信息安全意識����,從用戶自身入手防止出現簡單密碼���、默認密碼和用戶主機殺毒等問題���。做到“防范為主����、有據可查�、追本溯源”�,才能更好的應對網絡安全問題����,提高校園信息的安全性,為師生提供安全可靠的無線網絡服務�。
參考文獻
[1]吳林剛.無線網絡的安全隱患及防護對策[J].科技信息,2011(25).
篇4
一、加強頂層設計��,確立信息安全教育國家戰略
1.《網絡空間安全國家戰略》
布什政府在2003年2月了《網絡空間安全國家戰略》�����,其中首次從國家層面提出了“提高網絡安全意識與培訓計劃”���,指出,“除了信息技術系統的脆弱性外�,要提高網絡的安全性至少面臨著兩個障礙:缺乏對安全問題的了解和認識;無法找到足夠多的經過培訓或通過認證的人員來建立并管理安全系統�?����!盀榇?�,美國要開展全國性的增強安全意識活動,加強培訓和網絡安全專業人員資格認證���。
2.《美國網絡安全評估》報告
2009年5月29日美國公布了《美國網絡安全評估》報告,評估了美國政府在網絡空間的安全戰略���、策略和標準�,指出了存在的問題�����,提出行動計戈IJ����。所提議的優先行動計劃之一就是“加強公眾網絡安全教育”����。
3.《國家網絡安全綜合計劃》(CNCI)
2010年3月2日��,奧巴馬政府對前布什政府在2007年制定的一份國家網絡安全綜合計劃的部分內容進行解密����。CNCI計劃提出要實現重要目標之一就是:“為了有效地保證持續的技術優勢和未來的網絡安全���,必須制定一個技術熟練和精通網絡的勞動力和未來員工的有效渠道���。擴大網絡教育���,以加強未來的網絡安全環境����?�!?/p>
4.《國家網絡空間安全教育戰略計劃》
2011年8月11日����,NIST授權《美國網絡
安全教育倡議戰略規劃:構建數字美國》草案,征求公眾意見����。該規劃是美國網絡安全教育倡議(NICE)的首個戰略規劃,闡明了NICE的任務���、遠景和目標�����。NICE旨在通過創新的網絡行為教育����、培訓和加強相關意識����,促進美國的經濟繁榮和保障國家安全�����,并通過以下三個目標實現這一愿景:增強公眾有關網上活動風險的意識;擴展能支持國家網絡安全的人員隊伍;建立和維持一支強大的具有全球競爭力的網絡安全隊伍����。
二��、做好立法工作��,完善法規標隹體系
1.《聯邦信息安全管理法案》(FISMA)
2002年7月,美國政府制定了《聯邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經認識到信息安全對美國經濟和國家安全利益的重要性�,并從風險管理角度提出了一個有效的信息安全管理體系。信息安全教育與培訓是信息安全管理體系中一個重要環節�����。
FISMA法案明確要求:聯邦政府機構須為內外部相關人員提供信息安全風險的安全意識培訓����,為此還提議了一個較為完善的國家安全意識及其培訓系統�����。
2.國防部(DoD)8570指令
2005年12月,為了更好地支持“全球信息網格計戈j”��,美國國防部了8570指令�����。該指令涵蓋以下主要內容:建立技術基準�����,管理職員的信息保障技能;實現正規的信息保障勞動力技能培訓和認證活動;通過標準的測試認證檢驗信息保障人員的知識和技能;在基礎教育和實驗教育中�,持續的增加信息保障內容��。
3.聯邦政府信息技術安全培訓標準(FIPS)
FISMA法案明確指定NIST負責制定聯邦政府(除國防、情報部門以外)所使用的信息安全技術�、產品和培訓方面的國家標準�����。目前����,NIST已制定和兩部權威的信息安全培訓標準:《信息技術安全培訓要求:基于角色和表現的模型》(NISTSP800-16)和《建立信息安全意i只和培訓方案》(NISTSP800—50)cNIST在SP800—16標準中提出了信息安全培訓概念性的框架�����,依據這些框架�����,美國聯邦政府部門開展了很多綜合性的聯邦計算臟務(FSC)項目�。
4.網絡安全法案
2010年3月24日����,美國參議院商務���、科學和運輸委員會全票通過了旨在加強美國網絡安全�����、幫助美國政府機構和企業有效應對網絡威脅的《網絡安全法案》。該法案要求政府機構和私營部門加強在網絡安全領域方面的信息共享���,強調通過市場手段���,鼓勵培養網絡安全人才,開發網絡安全產品和服務。
三���、構建信息網絡安全組織機構�,健全安全教育培訓管理體制
為了落實信息安全教育培訓相關政策和法律法規�����,美國將協調�、執行��、監督、管理等權利分配給多個政府部門��,依據最新的《國家網絡安全教育戰略計劃》的思路���,國家標準技術研究所(NIST)為整個計劃的負責單位,協調其他部門參與計劃的實施;國土安全部(DHS)���、國防部(DoD)����、國務院�����、教育部和國家科學基金會(NSF)協力加強公眾的信息安全意識;DHS、海關總署�、NSF和國家安全局(NSA)共同加強從業人員f支術能力;DHS、DoD���、NIST����、NSA�、NSF和人事管理局(OPM)負責建立高端網絡安全人才隊伍��。
社會各界積極參與
行業協會已經站到了信息安全教育培訓的前沿�,成為信息安全教育培訓的踐行者�����。其職責主要是協助有關部門制定信息安全教育與培訓的標準�����,組織持續的教育活動,并向內部成員單位實施培訓�����。行業協會自身作為提供教育和培訓的主體���,一方面可以根據政府的引導和企業的需求來設置培訓內容;另一方面可以利用政府和產業界的資源�,充分發揮其在信息安全領域內不可替代的社會職能。行業協會提供的培訓標準是政府制定的培訓標準的主要補充�����,為規范和完善美國信息安全培訓行業提供了切實可行的保障。
(1)國際信息系統審計協會(丨SACA)
國際信息系統審計協會(ISACA)是一個為信息管理、控制��、安全和審計專業設定規范標準的全球性組織��,會員遍布逾160個國家���,總數超過86,000人����。ISACA成立于1969年,除贊助舉辦國際會議外�����,還編輯出版《信息系統監控期刊》��,制定國際信息系統的審計與監控標準,以及頒授國際廣泛認可的注冊信息系統審計師(CISA)專業資格認證。CISA認證體系已通過美國國家標準協會(ANSI)依照ISO/IEC17024:2003標準對其進行的資格鑒定���。同時���,美國國防部也認可了CISA認證�,并將其納入到國防系統信息技術人員技能商業資格認證體系當中���。這產生了以下四方面的作用:認可CISA認證所提供的特有資格和專業知識技能;保護認證的信譽并提供法律保護;增進消費者和公眾對本認證和持證者的信心;使跨國、跨行業的人才流動更加便利��。
(2)美國系統網絡安全(SANS)研究院SANS是于1989年創立的美國非政府組織(NGO)��,是一所具有代表性的從事網絡安全研究教育的專業機構�。1999年SANS首次推出了安全技術認證程序(GIAC)����。
GIAC認證程序有以下幾個特點:
GIAC提供超過20種的信息安全認證��,其大多數符合DOD8570指令��。GIAC依據國家標準對安全專業人員及開發人員進行各方面技能認證���。GIAC安全認證分為入門級信息安全基礎認證(GISF)和高級安全要素認證(GSEC)�����。兩種認證都重點考察安全基礎知識,保證揺正人員擁有必備的安全技能�����。其它GIAC安全認證包括:認證防火墻分析師(確認設計�����、配置和監控路由器、防火墻和其它邊界設備所需的知識���、技能和能力)�、認證入侵分析師(評估考生配置和監控入侵檢測系統的知識)、認證事故處理員(考察考生處理事故和攻擊的能力)和認證司法辯論分析師(考查考生高效處理正式司法調查的能力�。
(3)國際信息系統安全認證聯盟(ISC)2
國際信息系統安全核準聯盟(ISC)2成立于1989年,是一家致力于為全球信息系統安全從業人員提供信息安全專業技能培訓和認證的國際領先非營利組織�����。在(ISC)2各種認證中�����,CISSP數量最多����。截至2010年底,全球共有75000名CISSP獲證人員,其中��,美國獲證人員數量超過70%^CISSP獲證人員中���,約30%在政府部門工作�����,40%從事信息安全月服務行業����,30%從事用戶終端工作����。
篇5
1大數據的產生與發展
目前�����,人們對于大數據的理解還不夠全面���,對于大數據也沒有統一的特定概念����。大數據是大量數據與復雜數據的組合�����,以及在現有數據庫中無法處置的一組數據[1]��。大數據的特征是對于海量數據的發掘與分析��。單臺電腦處理數據非常困難�,必需采用數據庫技術處置云計算�。大數據研究受到了國內外學術界與產業界的普遍關注,成為當今世界信息時代的熱點話題����。2011年10月,工信部把北京����、上海���、深圳以及杭州等城市確認為“云計算中心”試行城市��,并且舉行大數據報告研討會。目前��,大數據已經滲透到人們生活��、工作的各個領域���,影響著各個領域的變革,推進了各個企業����、各個行業的快速發展。
2大數據環境下數據治理的特點
目前�,數據治理的研究受了社會各界的普遍關注��,國內外的學者在數據治理的研究上獲得了很多成果����。但是��,從金融行業與通信行業的數據治理實踐來看�,傳統數據治理存在一定的缺陷。數據治理委員會是與傳統數據治理系統有關的關鍵部門�����。數據管理委員會的職責是制訂科學合理的數據管理計劃����,調整數據管理過程。數據治理委員會要重視數據治理的總體質量����,強化數據治理的安全性管理����、準備數據分析和統籌管理,充分體現數據所隱含的業務價值[2]����。在大數據環境下,數據的種類多樣,數據來源范圍大�����,數據急速增長�����,數據價值極大���。以往的數據存儲類型難以符合大數據的存儲需求�����。數據整合分析中�,數據是可操作的��。這個過程需要數據治理急速變更策略���。在大數據環境下,數據管理工作的重點與難點重要包括以下幾個方面�。第一�����,企業不同部門�����,數據的收集方法與數據源也不同��。此外���,不同的部門可反復搜集相近的數據��,但數據標準與數據可能不同�����,留存位置也可能不同��,嚴重影響數據的精度與數據的共享���。第二,數據質量�����。大數據環境中的數據治理不但要求實時性�����,而且提出了精度要求���。因為數據標準的不同���,經常會發生一些冗余與反復的數據�。企業中不同部門對于數據改版一般非常容易符合實時需求��,這對數據質量的正確性與實時性影響極大。第三���,數據隱私保障。在對外開放與共享數據的過程中�,可實現數據的充分利用����,但是可能會造成數據泄漏或數據侵害。所以����,數據安全性與隱私保障面臨挑戰。
3大數據背景下網絡數據受到侵害的具體狀況
大數據便捷了人們的生活�����,但是也存在各種安全隱患����,因此數據治理十分重要。在大數據時代����,侵害隱私主要包括四個方面���。第一�����,存儲數據時侵害隱私���。由于用戶不明白數據子集的時間、位置與內容��,因此不明白數據是如何被儲存的�����。第二�����,數據傳輸過程中侵害隱私���。在信息技術時代,大部分數據傳輸均是通過網絡傳送的��,使監聽��、電磁泄漏等信息安全事件的發生頻率越來越高���。比如,斯諾登2013年披露的一份美國“棱鏡計劃”文件表明�,美國可暗中監控網民��,并且侵略多個國家的網絡獲取信息���。第三�,在處理數據時侵犯隱私權���。處理信息時���,人們大都使用虛擬技術,而處理硬件落后或者處理技術不過關都有可能造成信息的丟失�����。以圖書館為例�����,圖書館一般使用的是比較落后的信息處理系統�����,圖書館的檔案文件和用戶的使用情況很容易被某些別有用心的人盜取�。第四,在數據被毀壞的過程中侵害隱私[3]����。隨著各種云技術的發展,直觀的數據移除手動不能全然毀壞數據���。服務提供商重視備份數據��,以期取得越來越多的數據信息,了解用戶的愛好���。即使有些國家規定了數據銷毀時間�����,但是按照規定操作的服務商很少。
4大數據背景下數據治理中網絡安全存在的問題
4.1網絡黑客攻擊
網絡黑客是大數據下網絡安全性最關鍵的潛在危險之一��。一般黑客攻擊的主要目的是毀壞計算機的內容并且展開盜竊,一般是集體作案��。他們通過數據漏洞進入計算機外部��。黑客毀壞相關數據與關鍵內容���,反擊服務器,導致用戶難以正常使用�,從而給企業造成巨大的經濟損失[4]。大數據的網絡環境具有一定的開放性����,是每個人獲取大量參考內容與共享資源的地方。網絡反擊壓制了網絡數據的安全性,妨礙了網絡整體的通暢�����,嚴重影響了企業發展和社會轉型���。
4.2用戶數據網絡安全防范意識不到位
人們的網絡安全性應對觀念薄弱����。通常���,通過網購�、郵件傳送���、用戶指定帳戶等輸出的各種信息���,會在不留意周圍環境或是網上借閱時留下痕跡,從而可能使用戶的秘密信息遭到泄露����。此外�����,一部分用戶使用網絡時瀏覽彈出的連接或是對話框��,易被惡意網站或是欺詐犯反擊或是受騙���。所以����,很多用戶因為不具備專業的網絡安全性保護技術���,即便信息數據被毀壞也難以維修����,給自己的生活與工作造成不方便。
4.3防火墻技術應用率較低
在大數據時代����,防火墻技術的精確應用成為保障網絡安全性的手段之一��。精確運用防火墻技術可大幅度減少網絡安全性問題爆發的概率�����。但是,他們卻無法掌握該種系統的應用要點��,導致網絡安全問題一直無法得到有效解決。
5大數據背景下數據治理中加強網絡安全的策略
5.1加強攻擊溯源技術的應用
網絡安全性體系建構中,網絡攻擊源追蹤技術十分必要����。穩定情況下,網絡信息安全性系統展開攻擊分析時�����,從多個關鍵內核結構診斷��、文件�、程序等層面展開分析,并且初始化系統與網絡流量展開輔助分析�����。同時��,通過監理統一的、多層次的網絡安全攻擊描述模型����,嚴格按照相關規則進行海量日志攻擊信息的關聯性分析,從而更快更精準地找出計算機系統中可能存在的攻擊問題�����,為后續的網絡攻擊溯源工作開展提供可靠的數據依據�。但是����,網絡安全攻擊溯源技術應用過程中,還存在一些不足之處亟待改進��。一方面���,在異構數據源的處理上,包括數據庫和文檔數據庫的處理�����。另一方面,在海量數據的處理上�,隨著經濟全球化的發展,互聯網與物聯網之間相互聯合�����,知識網絡數據信息量成倍增長��,而針對海量網絡數據溯源處理技術執行效率的提升還有很大的進步空間�����。
5.2認證與授權機制
認證是證實信息真實性的過程��,通常分成3個部分——信息認證��、身份認證和認證協議。
5.2.1消息認證
消息認證就是驗證消息的完整性��。消息認證時�,要確認消息是認證目標發送的,發送的消息與要求不存在出入�����,消息發送的時間��、順序等都有明確的數據。但是��,這種消息認證模式存在較大漏洞�����。比如���,網易云音樂的手機注冊驗證碼的有效時間是1min,有些用戶可以使用身邊的朋友手機號進行注冊�。
5.2.2身份認證
身份認證一般是即時展開的,需輸出ID號碼��、學校�、學分等詳細信息�。目前,網絡的身份認證存在兩種形式����,一種是輸入身份證號等相關信息的形式,另一種是輸入身份證號等相關信息之外再本人手持身份證的照片進行認證����。第一種身份認證方法存在較大紕漏,主要是由于大多數用戶對身份證號碼的保密意識不強,易被他人盜用��,騙取身份信息��。所以,近年來����,注重用戶個人信息的服務提供商一般裝載身份認證進行驗證[5]。
5.2.3認證協議
網絡世界中�����,除消息認證與身份認證之外�����,需建立相關協議以保證消息的可靠性,以避免節點誤導或是病毒欺騙��。協議的內容愈確切�����,條款愈清楚��,信息便愈能獲得保障。
5.2.4授權
授權是授予一個個體或者擁有能夠對某些資源進行某種操作的權利�。通常,安全性要求愈嚴苛�����,許可建議愈嚴苛�����,許可等級分類愈詳盡,隱私保障愈好�。例如,SSL協議���,用戶可安全證明網絡節點的身份并且容許對于用戶信息的訪問���。
5.3有效應用智能防火墻技術
從實用角度來看��,防火墻技術的出現為網絡安全問題的解決工作提供了新的思路��,同時為網絡系統的安全新增了一道關鍵的防線��。在大數據時代背景下����,網絡安全性問題需采用智能防火墻技術��。為了在防治網絡風險方面能充分發揮作用����,需從下列幾個方面展開確切應用�����。第一���,相關的網絡用戶在實際應用智能防火墻技術期間,必須要準確有效地分析防火墻系統的應用參數信息是否符合計算機設備適用軟件的應用參數����,以此有效降低防火墻系統與計算機設備兼容問題出現的概率���。第二�����,充分利用防火墻系統的應用優勢與各種功能�����。為了檢驗系統漏洞與安全性風險�����,需充分利用系統的功能克服問題��,以保證該種技術能夠充分發揮其應有的系統安全保護作用����。第三,網民必需改版智能防火墻系統���。網絡病毒會隨著時間改版���,在這種情況下����,原有的防火墻系統可能難以辨識全新的網絡病毒。因此����,要及時改版,保證系統保障網絡用戶的安全性����。數據便是價值,這是社會未來轉型的必然趨勢���。大數據治理在保證數據質量與安全性方面具備關鍵的積極意義����。為充分發揮數據價值提供了關鍵支持�����。不過���,我們也有必要詳盡分析與分析數據治理與網絡安全性保護措施��,以此符合時代的需要����。
參考文獻:
篇6
互聯網具有一網通天下的特點����,不僅改變了人們的生活方式��,還為商務活動的發展開辟了新的方向����,網絡經濟已與人們的生活密不可分�。電子商務與網絡相互依存,網絡安全問題同時也困擾著電子商務的發展���。為了推進電子商務快速發展��,加強對網絡安全的研究和應用意義十分重大��。
一�����、網絡安全對于電子商務的重要性
當前,電子商務已逐步覆蓋全球�����,而網絡安全問題也得到了業內廣泛關注�����。電子商務的交易方式有別于傳統的面對面交易����,在電力商務中,交易雙方均通過網絡進行信息交流�,以網絡為媒介無疑加大了交易的風險性,因此安全的網絡環境能夠給交易雙方均帶來良好的體驗�����。電子商務的網絡安全管理較為復雜����,不僅需要高新的技術做支持��,如電子簽名�����、電子識別等���,還需要用戶的配合�����,通常來說�����,用戶的個人信息越全面�����,網絡交易平臺對用戶的保護便會越全方位���?��?梢姡陔娮由虅战灰灼脚_中�,網絡安全具有十分重要的作用�。
二���、電子商務中網絡安全的技術要素
1、防火墻技術�����。防火墻技術主要是通過數據包過濾以及服務的方式來實現病毒的防治和阻擋入侵互聯網內部信息[1]��。防火墻好比一個可以設定濾網大小的過濾裝置���,可以根據用戶的需求����,對信息進行過濾�����、管理�。在服務器中�,防火墻的技術便演化為一種連接各個網關的技術�,對網關之間的信息聯通進行過濾。雖然上述兩種過濾管理技術形式略有區別����,但本質相同���,在電子商務中����,可以將兩者結合使用���,使各自的優勢得到充分發揮。實現在防火墻內部設計好一個過濾裝置��,以便對信息進行過濾與確定是否可以通過。
2���、數據加密技術��。數據加密是對于指定接收方設定一個解密的密碼���,由數學的方式����,轉換成安全性高的加密技術���,以確保信息的安全�����。這里面會涉及到一個認證中心�,也就是第三方來進行服務的一個專門機構���,必須嚴格按照認證操作規定進行服務[2]�。認證系統的基本原理是利用可靠性高的第三方認證系統CA來確保安全與合法����、可靠性的交易行為。主要包括CA和Webpunisher�����,RA與CA的兩者通過報文進行交易�,不過也要通過RSA進行加密�,必須有解密密鑰才可以對稱,并通過認證���,如果明文與密文的不對稱�,就不會認證通過�����,保證了信息的安全[3]�����。
3�����、數字認證技術�。為了使電子商務交易平臺更為安全���、可靠����,數字認證技術便應運而生,其以第三方信任機制為主要載體�����,在進行網絡交易時�����,用戶需通過這一機制進行身份認證,以避免不法分子盜用他人信息����。PKI對用戶信息的保護通過密鑰來實現,密鑰保存了用戶的個人信息�����,在用戶下次登陸時,唯有信息對稱相符��,才能享受到電子商務平臺提供的相應服務�����,在密鑰的管理下����,數據的信息得到充分保護,電子商務交易的安全性能得到了大幅提升。
三�����、電子商務中網絡安全提升的策略
1�、提高對網絡安全重要性的認識。隨著信息技術的快速發展��,網絡在人們工作����、生活中已無處不在����,我們在享受網絡帶來的便利時,還應了加強對網絡安全重要性的了解��,樹立網絡安全防范意識�,為加強網絡安全奠定思想基礎�����。應加強對網絡安全知識的宣傳和普及��,使公民對網絡安全有一個全面的了解���;同時�,還應使公民掌握一些維護網絡安全的技能,以便發生網絡安全問題時��,能夠得到及時控制,避免問題擴大化�。
2、加快網絡安全專業人才的培養�。網絡安全的提升離不開素質過硬的專業人才,由于網絡技術具有一定的門檻�,如果對專業了解不深,技術上不夠專攻�����,專業問題便難以得到有效解決��,應著力提升電子商務網絡安全技術人員的專業素養,為加強網絡安全奠定人力基礎���。在培養專業人才時���,應勤于和國內外的專業人員進行技術交流��,加強對網絡安全領域前沿技術的了解和掌握����,避免在技術更新上落后于人。
3���、開展網絡安全立法和執法��。網絡安全的有效提升需要從法律層面進行約束,應著力于完善網絡安全立法和執法的相關工作���,加快立法工作的步伐�����,構建科學�����、合理的網絡安全法律體系。自從計算機產生以來���,世界各國均設立了維護網絡安全的相關法律法規��。在新時期����,我國應集結安全部�����、公安部等職能部門的力量���,加強對網絡安全的管理,力求構建一個安全���、健康的網絡環境�。
四����、結論
綜上所述,在信息時代背景下���,電子商務假以時日便會成為信息交流的重要平臺����,成為全球競爭發展的熱門領域。我國電子商務起步較晚��,但發展后勁十足����,在一體化趨勢的引導下,電子商務應著力提升網絡的安全性�,形成具有我國特色的電子商務���,在全球經濟中力爭贏得一席之地�����。
參 考 文 獻
篇7
隨著Internet技術的不斷發展和網絡應用技術的普及��,網絡安全威脅頻繁地出現在互聯網中。近年來����,網絡攻擊的目的逐漸轉變為獲取不正當的經濟利益�����。在此種情況下���,加強網絡安全建設已成為各個企業的迫切需要。煙草公司的網絡安全防護機制和安全技術是確保其網絡信息安全的關鍵所在���。只有加強防護體系建設和創新安全技術����,才能在保證網絡安全的前提下,促進煙草公司的發展�。
1縣級煙草公司網絡現面臨的威脅
目前,煙草公司計算機網絡面臨的威脅從主體上可分為對網絡信息的威脅��、對網絡設備的威脅�。
1.1人為無意的失誤
如果網絡的安全配置不合理�,則可能會出現安全漏洞,加之用戶選擇口令時不謹慎����,甚至將自己的賬號隨意轉借給他人或與他人共享���,進而為網絡埋下了安全隱患�����。
1.2人為惡意的攻擊
人為惡意的攻擊可分為主動攻擊和被動攻擊�����,這兩種攻擊都會對煙草公司的計算機網絡造成較大的破壞��,導致機密數據存在泄露的風險����。比如,相關操作者未及時控制來自Internet的電子郵件中攜帶的病毒�����、Web瀏覽器可能存在的惡意Java控件等��,進而對計算機網絡造成巨大的影響��。
1.3網絡軟件的漏洞
對于網絡軟件而言�����,會存在一定的缺陷和漏洞�����,而這些缺陷和漏洞為黑客提供了可乘之機����。
1.4自然災害和惡性事件
該種網絡威脅主要是指無法預測的自然災害和人為惡性事件。自然災害包括地震����、洪水等,人為惡性事件包括惡意破壞��、人為縱火等�����。雖然這些事件發生的概率較低���,但一旦發生�,則會造成異常嚴重的后果,必須嚴以防范��。
2構建煙草公司信息網絡安全防護體系
要想形成一個完整的安全體系����,并制訂有效的解決方案�,就必須在基于用戶網絡體系結構、網絡分析的基礎上開展研究。對于安全體系的構建�����,除了要建立安全理論和研發安全技術外����,還要將安全策略、安全管理等各項內容囊括其中�����?�?傮w來看�,構建安全體系是一項跨學科��、綜合性的信息系統工程��,應從設施、技術����、管理、經營�����、操作等方面整體把握��。安全系統的整體框架如圖1所示���。安全系統的整體框架可分為安全管理框架和安全技術框架。這兩個部分既相互獨立��,又相互融合�����。安全管理框架包括安全策略����、安全組織管理和安全運作管理三個層面���;安全技術框架包括鑒別與認證����、訪問控制���、內容安全��、冗余與恢復����、審計響應五個層面。由此可見�����,根據煙草公司網絡信息安全系統提出的對安全服務的需求�����,可將整個網絡安全防護機制分為安全技術防護����、安全管理和安全服務。
2.1安全技術防護機制
在此環節中�����,旨在將安全策略中的各個要素轉化成為可行的技術。對于內容層面而言���,必須明確安全策略的保護方向�����、保護內容���,如何實施保護����、處理發生的問題等。在此情況下��,一旦整體的安全策略形成���,經實踐檢驗后,便可大幅推廣����,這有利于煙草公司整體安全水平的提高。此外�����,安全技術防護體系也可劃分為1個基礎平臺和4個子系統��。在這個技術防護體系中����,結合網絡管理等功能����,可對安全事件等實現全程監控,并與各項技術相結合,從而實現對網絡設備�����、信息安全的綜合管理����,確保系統的持續可用性。
2.2安全管理機制
依據ISO/IEC17700信息安全管理標準思路及其相關內容�����,信息安全管理機制的內容包括制訂安全管理策略�、制訂風險評估機制、建設日常安全管理制度等��?�;谠擁梼热萆婕暗墓芾?���、技術等各個方面,需各方面資源的大力支持��,通過技術工人與管理者的無隙合作,建立煙草公司內部的信息安全防范責任體系�����。2.3安全服務機制安全服務需結合人、管理�����、產品與技術等各方面��,其首要內容是定期評估整個網絡的風險��,了解網絡當前的安全狀況����,并根據評估結果調整網絡安全策略,從而確保系統的正常運行��。此外��,還可通過專業培訓,進一步促進煙草公司員工安全意識的增強���。
3煙草公司的網絡信息安全技術
3.1訪問控制技術
在煙草公司的網絡信息安全技術中�����,訪問控制技術是最重要的一項����,其由主體����、客體、訪問控制策略三個要素組成�����。煙草公司訪問用戶的種類多�、數量大、常變化���,進而增加了授權管理工作的負擔��。因此,為了避免發生上述情況�����,直接將訪問權限授予了主體����,從而便于管理。此外����,還應革新并采用基于角色的訪問控制模型RBAC�����。
3.2數字簽名技術
在煙草公司����,數字簽名技術的應用很普遍�����。數字簽名屬于一種實現認證、非否認的方法����。在網絡虛擬環境中���,數字簽名技術仍然是確認身份的關鍵技術之一���,可完全代替親筆簽名��,其無論是在法律上��,還是技術上均有嚴格的保證��。在煙草公司的網絡安全中應用數字簽名技術�,可更快地獲得發送者公鑰。但在這一過程中需要注意�,應對發送者私鑰嚴格保密。
3.3身份認證技術
身份認證是指在計算機與網絡系統這一虛擬數字環境中確認操作者身份的過程����。在網絡系統中,用戶的所有信息是用一組特定的數據來表示的�����;而在現實生活中,每個人都有著獨一無二的物理身份��。如何確保這兩種身份的對應性�,已成為相關工作者遇到的難題。而采用身份認證技術可很好地解決該難題��。該技術主要包括基于隨機口令的雙因素認證和基于RKI體制的數字證書認證技術等?�;诳诹畹纳矸菡J證技術具有使用靈活�����、投入小等特點,在一些封閉的小型系統或安全性要求較低的系統中非常適用��;基于PKI體制的數字證書認證技術可有效保證信息系統的真實性��、完整性����、機密性等。
4結束語
綜上所述���,安全是煙草公司網絡賴以生存的重要前提�,網絡安全的最終目標是確保在網絡中交換的數據信息不會被刪除、篡改��、泄露甚至破壞�����,從而提高系統應用的可控性和保密性�����。因此,煙草公司必須具備一套行之有效的網絡安全防護機制�,增強自身網絡的整體防御能力,研發網絡安全立體防護技術�����。只有建立完善的信息安全防范體系���,才能使煙草公司內部的重要信息資源得到有效保護�����。
參考文獻
篇8
中圖分類號 TN915 文獻標識碼 A 文章編號 1673-9671-(2012)092-0101-01
在世界發展的進程中�,計算機網絡無疑是一項最偉大的科學發明,它打破了時空的界限�,為人們進行工作、學習和生活提供了極大的便利�,并逐漸地在當前時期成為了辦公的主要趨勢��,日益加深著對于人們的影響��。而此種狀況也在一定程度上加深了網絡安全問題對于人們的影響力度���,使得人們暴露在更危險的網絡境地中,實施有效的網絡安全管理迫在眉睫����。而本文便是出于幫助人們解決網絡安全問題不良影響的目的����,談論了網絡安全各種影響因素以及相關的管理技術�����。
1 網絡安全當前的威脅因素分析
當前時期�,人們對于網絡的應用逐漸深入�����,網絡安全問題也逐漸加劇����。層出不窮的網絡威脅嚴重地阻礙了網絡積極作用的發揮�����,推動網絡安全問題全方位的有效解決極其必要����。本文下面就分析一下目前威脅網絡安全的幾點因素:
首先,計算機病毒以及木馬程序入侵���,是網絡面臨的最為嚴重的危害。網絡破壞者惡意地編制一系列的程序代碼或者是操作指令����,以各種信息���、資料等作為載體來插入到計算機的程序,并借助于計算機網絡的漏洞來發起主動攻擊����,從而使計算機網絡不能夠順利地使用各種功能以及數據���,比如蠕蟲病毒��、宏病毒等��。而木馬程序則是計算機黑客利用計算機后門將其編制的程序輸入到計算機的控制器或者是服務器中���,從而對他人的計算機實施遠程的非法的操作及控制,達到對于信息的竊取或破壞等�。
其次,計算機網絡還面臨著非授權訪問以及惡意傳播垃圾信息的安全威脅���。計算機破壞者利用其掌握的計算機程序編寫或調試技巧來對某些未獲得授權的文件或網絡進行非法或違規的訪問�����,從而入侵授權的網絡內部�,達到對于網絡上各種信息的竊取或者對于其他應用系統的破壞。而垃圾信息或郵件的傳遞��,則是作為一種網絡通行的載體���,強制性地將自己的一些信息或郵件輸入到其他用戶的計算機中����,一旦用戶閱覽這些垃圾資料�����,破壞者就有機會竊取用戶的私人信息。
再者����,計算機網絡還有可能受到自然災害���、電磁干擾����、設備老化等自然因素的威脅���,從而使計算機網絡的應用出現潛在的難以察覺的漏洞,為其他非法入侵者提供了入侵的途徑��。
2 計算機網絡實施安全管理的相關技術措施
網絡用戶當前正在更深入地程度上加強著對于計算機網絡的依賴��,各種私人信息被暴露在網絡上�����,這就使得網絡犯罪等問題日益猖獗���,其破壞力度也逐漸地加大,進行有效的安全管理已經成為新時期有效利用網絡的必要保障�����。具體而言��,應對網絡安全問題的管理措施主要有以下幾個方面:
2.1 防火墻技術的應用
在計算機網絡的安全管理中�,防火墻技術以控制訪問的管理手段來實施具體的管理���,它利用必要的軟件以及硬件搭配嚴格地限定可以通過網絡的相關的通信數據,從而增強內部網絡對于其他不良信息的抵抗能力�����。具體來講���,防火墻技術包括不允許訪問與不允許通過的兩個地址表�����,還有IP地址匹配以及信息包過濾�����;兩種算法等組成�,在網絡安全管理中���,主要就是通過利用訪問控制屏障將內部網絡與外部網絡進行隔離����,從而使內部網絡的使用存在于一種相對安全的網關中�����,進而避免各種破壞性入侵對于網絡安全的破壞。目前��,人們主要利用服務器�����、動態及靜態分組過濾或者是狀態過濾等的防火墻技術來實施管理�����。
2.2 數據加密技術的應用
當前時期,計算機網絡的信息安全管理工作最為關鍵及核心的保護措施就是數據加密的技術��,此種技術能夠以自身各色加密算法來實現低成本高成效的網絡安全保護�,比如,密鑰管理便是目前應用較為普遍的一種技術��。具體而言����,網絡保護者利用一種特殊的方式打亂各種信息的排列方式�����,未授權的訪問者無法順利地實現對于這些信息的有效標識��,從而不能夠進行非法的網絡訪問���。以密鑰管理來講����,私鑰加密者利用同一條加密以及解密信息來進行信息安全管理���,而公鑰加密者則分別利用加密以及解密的兩條信息來進行安全防護���,二者的使用都是為了使信息只能夠被加密者所使用��,進而達到對于網絡的安全保護�。
2.3 身份認證技術的應用
計算機安全防護者為操作系統設定一個獨特的身份���,從而僅僅使能夠經過其身份認證的用戶實施操作�,從而避免其他訪問者對于網絡的非法訪問��。目前身份認證����、授權訪問����、數字簽名以及報文認證等認證技術��,都在計算機網絡的安全管理中有所應用����。其中身份認證是借助于用戶名或者是口令設定等方法來實現,而授權訪問則是系統授予某些用戶以獨特的訪問權限來拒絕其他不具有權限者的訪問���,數據簽名則是應用于私鑰加密的函數算法技術��,報文認證則是以通信雙方互相驗證其通信內容���,從而確認其報文在傳輸過程中未受到任何的修改或破壞,順利地達到接收者手中。
3 結束語
計算機網絡的安全管理是當前社會的焦點話題����,推動網絡安全的順利��、高效實現必須得到有效的踐行�����,所以,計算機的技術研究人員要積極地推動各種安全管理技術的研發以及應用����,從而為計算機的安全管理提供必要的支撐�。除了上文所提到的各種管理技術之外,用戶目前還可以利用入侵檢測系統技術以及虛擬專用網技術等��,來實施對于網絡的安全保護����。
參考文獻
篇9
中圖分類號:TP393.08
1 安全管理體系結構及功能
1.1 安全管理體系結構
網絡安全是企業安全有效運行的保障�,安全管理體系主要包括安全策略、安全運作���、安全管理等��。安全策略管理是企業網絡安全運行的體系基礎�����,有利于項目建設規范化管理和運行和安全工作的開展���。安全基礎設施系統主要有訪問控制、桌面管理�、認證管理、防垃圾系統��、服務器監控與日志統一管理系統��、漏洞掃描系統、服務器加固系統等���。萊鋼計算機網絡整體架構圖如圖1所示����。
1.2 安全管理系統功能
安全管理系統的功能將所管轄的IP計算機信息根據分類登記�,有利于其他安全管理模塊進行數據連接和信息共享,并配備服務器和交換機加固工具�,及時掌握網絡中各個系統的最新安全風險動態����,并及時的對服務器文件、進程�、注冊表等進行保護。安全監控系統是監控全網事件報警信息����,對當前事件進行安全監督和實時監控,有利于企業網絡安全運行和業務系統的安全性��,監控的產品主要包括網絡中的設備�����、日志相關信息�����、相關事件的報警信息等。
2 網絡系統安全體系的設計與實施
2.1 身份認證系統設計分析
網絡安全運維管理中心設置在信息中心����,擔負全網桌面安全管理,通過制定相關策略�、委派安全角色,對全網數據進行統計分析和安全管理����,并通過一系列的安全運行策略建立安全身份認證體系。萊鋼統一身份認證系統架構圖如圖2所示�����。
RSA SeucrID由認證服務器RSA ACE/Server�、軟件RSA ACE/Agent、認證設備以及認證應用編程接口(API)組成�。RSA ACE/Server軟件是網絡中的認證引擎,由安全管理員或網絡管理員進行維護�。
2.2 計算機資產安全管理系統
計算機資產安全管理為萊鋼的高層管理人員提供全網資源的多維度分析報表����。信息中心成為萊鋼的IT系統的“安全策略中心”����、“安全管理中心”�����、“數據匯聚中心”和“報表總中心”�����。下設一級管理中心���,分布在各分部����,由總中心授權負責對分部人員權限管理和桌面系統管理��,并具體實現對各終端桌面目錄���、桌面管理���、軟件分發�����、系統自動升級管理�����、信息安全和管理監控功能�。軟件分發工具大大提高了萊鋼桌面計算機管理的自動化程度,提高管理效率����。自動化的工作流程還可以避免人工操作帶來的風險����,使萊鋼的桌面計算機上的資產得到更好的保護。通過軟件分發機制����,從桌面計算機標準化支撐平臺將軟件分發到指定的桌面計算機和支撐平臺內部指定的服務器����,消除對桌面計算機和服務器的訪問等人為因素導致的錯誤�����。及時安裝操作系統更新補丁��,避免成為黑客和病毒的攻擊對象��。及時安裝應用程序的補丁,減少安全隱患�����,增加應用程序穩定性和功能���。對服務器系統的補丁需要經過評估對現有系統的影響��,避免出現業務系統故障�����。服務器系統的補丁需要利用自動檢測技術��,通過人工的評估�,再實現自動分發和手工安裝。
2.3 EAD端點準入防御體系
EAD安全準入主要是通過身份認證和安全策略檢查的方式���,對未通過身份認證或不符合安全策略的用戶終端進行網絡隔離����,并幫助終端進行安全修復���,以達到防范不安全網絡用戶終端給安全網絡帶來安全威脅的目的����。
2.4 網絡安全模型的設計
從網絡安全���、應用安全�����、管理安全的角度出發�����,設計歸納萊鋼網絡系統安全模型�,主要包括:(1)網絡架構防護:采用網絡邊界防毒、統一身份認證技術和針對于網絡設備和網絡服務器的漏洞掃描技術���;(2)應用系統風險防護:采用的主要技術包括防病毒技術�����、服務器系統加固技術����、計算機資產安全管理技術����、補丁管理技術��、主頁防篡改技術�、防垃圾郵件技術、災難備份恢復技術及統一日志管理技術���;(3)安全管理體系建立:通過對安全策略進行有效的和貫徹執行�����,可以規范項目建設、運行維護相關的安全內容��,指導各種安全工作的開展和流程�����,確保IP網的安全����;(4)集中管理、整合監控:對計算機系統進行綜合集中管理�����,對日常的系統�、網絡、資產以及安全等日常運行能夠擁有較為統一的管理入口��,對系統網絡可用性���、資產有效性��、安全防范諸多管理功能的組件進行事件級的整合�����、分析和響應���。
3 結束語
互聯網已經深度滲透到各個領域�,成為事關國家安全的基礎設施和斗爭,網絡安全是保證各種應用系統數據安全的重要基礎���,必須加強和采取有效的預防措施���,掌握網絡資源狀況及實用信息���,可提高網絡管理的效率。
參考文獻:
[1]溫貴江.基于數據包過濾技術的個人防火墻系統設計與研究[D].吉林大學,2010.
篇10
中圖分類號:TP393.08
隨著科學技術的迅速發展�����,網絡得到了較大的發展空間�����,由于傳統的有線網絡隨著網絡應用的不斷發展�����,難以適應現代化社會的需求����,因此逐漸被無線網絡替代�,在豐富了人們生活的同時也給人們帶來了更為便捷的服務。但是隨著無線網絡的發展���,也將面臨著網絡安全問題。
1 無線網絡安全協議的形式化方法綜述
1.1 無線網絡安全協議
無線網絡的發展隨著社會經濟的迅速發展���,得到了較大的發展空間�,并且隨著無線網絡的不斷發展�,針對于無線網絡的一個個新的標準和技術也在不斷的出現,在某一開放系統中由于主體數量比較大�,而兩個互不相識的主體希望進行安全通信,那么,它們之間就必須要建立一個安全的通信渠道�,而建立了安全通信渠道的兩個主體之間必須要運行某種安全協議,以此來完成雙方互相認證的功能����,當然還應該建立秘鑰任務。而無線網絡安全協議也就是針對于無線網絡而言的安全信道����,按照自己的功能可以將安全協議分為可以將其分為三類�����,首先是認證協議,這主要是提供給一個參與方關于其通信對方身份的一定確信度的一種方式�,認證協議包含了實體認證協議�����、消息認證協議等其他協議�,并且認證協議主要是用來防止假冒、否認等相關攻擊的�����。其次是認證及秘鑰交換協議�����,這主要是為了給身份已經被確認的參與方建立一個共享秘密����,目前這種方式是網絡通信中最為普遍的一種安全協議����。最后是秘鑰交換協議��,這種協議是在參與協議的兩個實體之間���,或者是多個實體之間建立的共享秘密�,尤其是這些秘密可以作為對稱秘鑰,用于加密����、消息認真以及實體認證等多種密碼學用途[1]。
1.2 安全協議的形式化方法
針對于安全協議形式化分析,我們可以將其分為計算機安全方法����,以及計算機復雜性方法兩大類,而計算機安全方法�����,又可以稱之為基于符號理論的形式化方法���,它主要是強調自動化機器的描述和分析�����,但是����,由于這種方法存在不可預測性和復雜性,所以這種方法主要是由于攻擊者具有指數規模的可能操作集����,會導致狀態爆炸的問題,計算機安全方法還可以進一步分類:模態邏輯方法����、模型監測方法等。計算機復雜性方法����,也可以稱之為證明安全方法,其主要思想是通過歸納推理���,而計算機復雜性方法中應用較為廣泛的是CK模型和UC模型����。
2 無線網絡的安全威脅和具無線網絡的具體表現
無線網絡的應用較大程度的擴大了無線網用戶的自由程度�,并且無線網絡還具有安裝時間短,更改網絡結構方便靈活���,靈活增加用戶等等其他的優點�����,而最為重要的是它還可以提供無線覆蓋范圍內的安全功能漫游服務等特點��。但是�,與此同時無線網絡也面臨著一些嚴峻地新的挑戰,而其中最為關鍵的環節就是無線網絡的安全性��,而由于無線網絡主要是通過無線電波在空中進行數據傳輸的�����,在數據發射機覆蓋的區域內����,基本上所有的無線用戶都能夠接收到這些數據���,也就是說用戶只需要具有相同的接收頻率����,那么用戶就能夠獲取所傳遞的相關信息���。并且由于無線移動設備在存儲能力�����,以及計算能力等其他的方面都存在一定的局限性�,也就導致在有線環境下���,許多安全方案以及安全技術并不能夠直接的在無線環境中應用��,比如:防火墻通過無線電波進行的網絡通信并不具備一定的相關作用�����,而任何人在特定的區域范圍內都能夠截獲或者是插入網絡數據���,導致無線網絡面臨著一些安全威脅{2]���。
而針對于安全威脅,我們可以將其分為故意威脅和偶然威脅這兩種形式����,而故意威脅又可以進一步分為主動故意威脅和被動故意威脅,無線網絡安全威脅��,主要表現在以下幾個方面��。首先���,攻擊者偽裝成為合法的用戶���,通過無線接入非法訪問網絡資源,從而給無線網絡帶來安全威脅����,這是最為普遍的一種威脅���;其次是針對無線連接或者是無線設備實施的拒絕服務攻擊�;第三是惡意實體可能得到合法用戶的隱私,然后對無線網絡進行非法入侵����;第四����,惡意用戶可能通過無線網絡����,將其自動連接到自己想要攻擊的網絡上去,并采取相關方法實施對特定的網絡進行攻擊��。此外還有很多種威脅��,比如:手持設備容易丟失,從而泄露敏感信息����。
3 無線網絡安全協議的形式化分析的具體方法
安全協議主要是采用密碼技術來保障通信各方之間安全交換信息的一個規則序列�,其主要目的就是在通信各方之間提供認證或為新的會話分配會話密鑰����,目前分析安全協議的形式化方法主要有三種,即:推理構造法���,這種方法主要是基于知識和信念推理的模態邏輯����,比如K3P邏輯等其他邏輯��;再有就是攻擊構造法,這種方法從協議的初始狀態開始�,對合法的主體和一個攻擊者所有可能執行的路徑進行全方面的搜索,以此來找到協議可能存在的問題��;此外還有證明構造法��,證明構造法集成了上述兩種方法的思想和技術�����。對于無線網絡安全協議的形式化分析方法,筆者認為�����,可以從以下三個方面進行分析��。第一���,基于邏輯證明的協議分析。BNA邏輯���,這種方法最早用于認證和秘鑰交換協議的形式化方法���,它的出現極大地激發了研究人員對于這一領域的廣泛興趣,BAN邏輯中的證明構造是非常簡潔的�,并且它還比較容易完成,但是���,應用BNA邏輯分析只是一個協議����,從具體的協議到邏輯表達式的抽象過程都是比較困難的。BNA邏輯的語法中區分了主體���、秘鑰以及時鮮值這三種密碼要素����,并且BNA邏輯可以對WAI的認證模型進行有效的分析���,但通過相關研究表明�,WAI并不能夠有效地實現全部的認證以及秘鑰協商目標,這主要是由于WAI中存在著諸多的安全問題�,比如:無法提供身份保護、缺乏私鑰驗證等��,這就表明WAPI無法提供足夠級別的安全保護{3]���。第二���,攻擊類型以及安全密碼協議形式化的分析。在任何一個開放性的無線網絡環境中��,網絡管理人員必須要全方位地考慮到對攻擊者存在,主要是由于攻擊者可能實施各種攻擊,對一些具有價值的文件和網絡系統進行破壞����,要處理這種安全問題就必須要積極的采取一定的措施。認證協議主要是建立在密碼基礎上的��,而它的主要目的就是為了能夠有效地證明所聲稱的某種屬性�����,認證協議的主要攻擊者判定是依靠有沒有授權��,并且企圖獲益的攻擊者或共謀者���。在一般情況下,進行分析認證協議的時���,主要采用的是假設底層密碼算法比較完善的方式�����,并不考慮其可能存在的弱點,認證協議典型的攻擊主要有消息攻擊����、中間人攻擊以及平行會話攻擊等其他形式。第三�����,基于CK模型的協議形式化分析�����。CK模型的協議形式化�,其主要目標是通過模塊化的方法來設計和分析秘鑰交換協議,以此來簡化協議的設計和安全分析�����,首先必須要將秘鑰協商協議定義在理想的模型之中���,之后再采用不可區分性來定義理想模型中的安全性����,然后再通過相關方法將協議編譯成現實模型中的協議,CK模型采用了相關方法對WAPI的安全性進行了分析�,并指出WAPI中存在的安全缺陷。
4 結束語
綜上所述�,無線網絡給人們的生活和工作等方面帶來了較大的便利性,但是由于無線網絡具有開放性和無線終端的移動性等特點��,導致在有限網絡環境下的一些安全方案無法直接應用��。采用形式化分析方法能夠有效的研究出無線網絡的安全保障技術�,從而促進我國網絡技術的發展。
參考文獻:
[1]任偉.無線網絡安全問題初探[J]�����,信息網絡安全,2012(01).
篇11
云技術是在網絡技術與信息技術不斷發展而來的衍生物����,其主要通過虛擬技術、分布式計算以及云儲存技術����,將網絡中的各種資源整合起來,根據用戶的需求提供相應的服務���,也就是按需供應的方式��,具有良好的發展前景����,推動了我國信息產業的進一步發展�,并引起了信息產業的技術創新。因此�����,需要關注網絡安全儲存中的問題�,合理應用互聯網絡安全技術,推動信息產業的進一步發展�����。
1.1身份認證
身份認證技術是網絡儲存安全系統中的重要技術,其主要應用了以下幾種技術:1.1.1口令核對���。系統根據用戶的權限創建用戶口令�,在身份驗證時僅需要按照指令輸入相應的用戶ID與口令����,即可實現驗證,一旦驗證正確�,即可通過系統檢查,若沒有通過即為非法用戶��;1.1.2IC卡的身份驗證��。該技術首先將用戶的相關信息輸入IC卡中����,在驗證時通過輸入用戶ID與口令�,智能卡能夠將隨機的信息輸送至驗證服務器,從而完成驗證�,有助于提高網絡安全性;1.1.3PKI身份認證。這是基于公鑰基礎設施所研發的認證技術�,其通過匹配秘鑰來完成加密與解密的操作,在秘鑰備份��、恢復機制以及秘鑰更新等功能之下來維護系統的安全性��;1.1.4Kerberos身份認證���。其主要是基于第三方可行協議之下的認證渠道�����,其擁有資源訪問系統和授權服務器����,能夠對用戶的口令進行加密���,從而獲得授權服務器的使用權限���,在進行身份驗證之后,獲得了相應的合法操作權限���,從而能夠享受到相應的服務��。
1.2數據加密
數據加密技術可以分為對稱加密技術與非對稱加密技術����,對稱加密技術具有較高的解答難度,且安全性較高�,但是在秘鑰傳遞與秘鑰管理中存在較大的難度,同時無法實現簽名這一功能��。非對稱加密算法能夠有效完善對稱加密算法的漏洞���,但是在秘鑰傳遞與管理方面的作用有限���,雖然安全性較高,但是應用效率低且復雜性高���。
2互聯網絡安全技術的應用
互聯網絡安全技術的應用推動了我國社會的快速發展��,但是在帶來許多便利與價值的同時�����,其本身的存在對于網絡安全儲存也造成了較大的威脅����。為了更好的利用互聯網絡安全技術,需要了解其在計算機網絡安全儲存中的應用方法���,并以此為基礎,采取有效的措施來提高其的應用效果�。
2.1可取回性證明算法
在目前的網絡安全儲存中,主要是通過應用可取回性證明算對相關數據信息進行處理和驗證�����。在此算法中���,通過加入冗余糾錯編碼���,能夠對用戶在互聯網絡安全中的身份進行驗證。在數據信息查詢中�����,就是對云端進行驗證,在響應之后�,用戶能夠對數據信息進行查詢,并對數據的安全狀態進行確認����。用戶若無法通過驗證,則可能導致文件損壞�,需要通過可取回性證明算法來恢復損壞的數據。若數據信息是在可取回范圍內被破壞的�,可以利用冗余編碼重復利用,這樣能夠提高數據信息的安全性��,同時也能夠保障數據恢復的成功率�����。
2.2MC-R應用策略
互聯網絡安全技術在計算機網絡安全儲存中的應用可以通過采用0MC-R策略�,從而能夠提高數據信息的控制效果,有助于提高數據管理效率���。在實際應用過程中���,0MC-R策略的實施主要可以從兩方面著手:(1)首先在用戶端在利用MC公鑰密碼算法進行加密��。網絡儲存在聯合互聯網絡安全技術之后�����,云端數據信息的偽裝性能就會下降�����,這樣就需要通過MC公鑰密碼算法進行加密處理,將數據進行模塊�����、標記模塊�����、隱藏模塊的偽裝���,從而提高數據信息的安全性����。三個模塊都具有不同的功能,因此會表現出不同的特點��,相互之間需要通過良好的合作才能夠發揮較大的作用�。(2)互聯網絡安全技術具有強大的計算能力,在計算機網絡運行過程中��,要想計算云端數據�,首先需要進行核心數據加密與校驗,從而避免云端算法應用過程中出現的數據順號的問題�。在應用云端算法的過程中�,主要涵蓋了兩個模版,一個是加密模版��,另一個是解密模版��。用戶在根據系統指令進行操作之后���,用戶通過MC公鑰密碼算法保存相關數據�,當密碼形成之后就會自動進入加密環節���,在此過程中只需要進行MC公鑰密碼算法的處理�,然后將秘鑰上傳至云端中,當云端獲取相應的數據信息之后�����,需要再次進行信息加密處理�。用戶可以根據實際需求覺得是否需要通過MC公鑰密碼再次進行加密處理??梢岳眉用艹绦蛴妹罔€打開加密數據��。
3結論
綜上所述��,網絡技術在各行各業中的廣泛應用����,使得大數據信息處理成為目前需要解決的重要問題���。利用互聯網絡安全技術能夠通過數據共享��,從而對海量數據進行快速計算與分析�����。本文針對互聯網絡安全與防護措施進行探討����,從而提高數據庫的安全性。網絡成為人們工作與生活中的重要工具�,但是由于網絡的開放性和共享性,使得網絡技術在應用過程中容易出現各種安全問題����,成為現代社會關注的重要問題。在網絡安全數據儲存中應用互聯網絡安全技術���,不但能夠提高系統的擴展性��,同時能夠提高系統的吸能�����,對于提高計算機網絡安全儲存系統的安全性具有重要的作用�����。
