時間:2023-12-20 15:08:34
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇網絡安全新形勢范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
中圖分類號:TP311.52 文獻標識碼:A 文章編號:1009-914X(2014)42-0146-01
1.前言
隨著我國信息化進程的不斷深入,各個行政事業單位廣泛應用信息化技術。而行政事業單位想要滿足現代化社會發展的需求,就要應用先進科學技術,實現信息化網絡安全管理。信息化網絡安全問題成為行政事業單位廣泛關注的焦點問題,病毒破壞、黑客攻擊、非法入侵已經成為威脅網絡安全的主要殺手。因此,通過對行政事業單位信息化網絡安全的實現研究,可以促進行政事業單位信息化網絡安全的實現。
2.行政事業單位信息化網絡安全設計原則
2.1 技術先進性與成熟性
行政事業單位信息化網絡安全設計,一方面要確保技術的先進性,另一方面,還要確保技術應用的成熟性。行政事業單位信息化網絡安全設計不僅可以體現出當前先進的科學技術水平,還具有一定的發展空間,使行政事業單位信息化網絡當前具有一定的領先性,在未來的發展中具有可開發性。
2.2 系統穩定性與可靠性
行政事業單位工作人員在進行信息化網絡安全設計時,不僅要考慮到技術的先進性與成熟性,還要考慮到網絡安全系統運行的穩定性與可靠性,確保行政事業單位信息化網絡安全系統能夠安全、可靠、穩定的運行。
3.行政事業單位信息化網絡安全的重要內涵與內容
在當今信息時代,網絡信息安全是一道極為關鍵的屏障,特別是行政事業單位的信息涉及到很多重要的數據,這就需要我們不斷敏銳眼光,將信息化網絡安全放在首位。信息化網絡安全主要包括一些較為基礎的運行信息,如域名和IP地址等,它們能夠為廣大用戶的信息區別和認識服務,如確認網絡用戶的真實身份,也可以阻止那些不良信息侵入到網絡中,還可以為用戶提供大量的信息資源和服務器信息,形成和發展索引、導航等。一般來說,信息化網絡安全都具有生命周期性,應包括應急響應、安全檢查與稽核、安全意識的技術培訓和教育、安全原則和安全目標的確定、安全工程的運行和測試、安全工程的實施監理、風險分析、安全工程的實施、安全產品與安全技術的選型與測試、需求分析、安全實施領域的確定、安全體系、安全策略等,這些構成了網絡信息安全的一個完整生命周期,經過安全檢查和稽核之后,又開始孕育下一個生命周期,周而復始,不斷上升、不斷往復。黑客水平在提高,信息技術在發展,那么相應的安全技術、安全體系、安全策略也要隨之實現動態調整,使整個網絡信息安全系統都隨時處于一個動態過程中,不斷進步、不斷完善、不斷更新。
4.行政事業單位信息化網絡安全實現的有效措施與方案
4.1 加強外聯網絡安全防護
目前外聯的方式可以通過藍牙系統、紅外線系統、無線網卡、PCMCIA、有線網卡、USB端口等一系列措施進行互聯,應該在終端就對非法網絡行為進行阻斷,這是最為安全、最為有效的防護措施。因此,應該屏蔽不明端口,對計算機信息網絡系統通過終端安全管理系統來固定設置,一旦發現有那些非法的客戶端企圖連接網絡,那么應該將非法的客戶端進行網絡屏蔽或者阻斷。筆者建議建立一套身份認證系統(基于PKI體系),進而實現訪問控制、數據加密。同時,將CA認證系統和認證網關部署在重要服務器區附近,并且使得二者實現聯動,促使實現傳輸通道的加密功能和用戶的安全訪問控制。
4.2 加強操作系統的安全防護
對于操作系統而言,必須要對其安全進行嚴格的防范,務必要利用專業的掃描軟件來檢測操作系統是否存在安全漏洞,存在多大的安全漏洞,一旦發現問題,那么就必須有效地分析問題,提出有效的安全配置方案,提出補救措施,嚴格限制關鍵文件和資料的使用權限,加強身份認證強度、完善認證機制,加強口令字的使用,及時給操作系統打上最新的補丁,將危險降至最低。
4.3 選擇適宜的加密機制
逐跳加密是傳統的網絡層加密機制,即在發送信息數據的過程中,轉發到節點和傳輸的過程采取密文方式,而信息在接收端和發送端之間則采取明文。但是眾所周知,物聯網的業務使用和網絡連接是緊密結合,這樣一來,就面臨著是選擇端到端加密,還是選擇逐跳加密。
逐跳加密只是在網絡層進行,且不需要對所有信息數據都加密,只需要對那些受保護的鏈接加密即可,因此,可以在所有的業務中都適用,也就是說,能夠在在統一的物聯網業務平臺上對所有不同的業務進行安全管理,這樣一來,就有效地保證了逐跳加密的可擴展性好、低成本、高效率、低時延的特點。但是值得注意的是,逐跳加密需要對信息數據在各傳送節點上進行解密,因此,各個節點都很有可能會對被加密消息的明文進行實時解讀,安全隱患較大,各傳送節點的可信任度必須很高才行。
而端到端的加密方式則不同,它選擇不同的安全策略主要是按照業務類型的不同來選擇的,低安全要求的業務不提供或者只提供低安全等級的保護,高安全要求的業務才會提供高安全等級的保護。但是端到端的加密方式有個致命的確定,那就是不能保護消息的目的地址,不能對被傳輸消息數據的終點與源點進行掩蓋,很容易遭到惡意攻擊。
綜上,對于高安全需求的業務,最佳的選擇是采用端到端的加密方式;對于低安全需求的業務,則可以先選擇逐跳加密的保護方式。
4.4 加強員工計算機知識和網絡知識的培訓
員工安全意識的薄弱與員工對計算機知識和網絡知識匱乏有直接關系。員工因為對這些知識的不懂或不熟悉,所以就對網絡安全沒有理性的認識。要加強員工網絡安全意識,就要提高員工的計算機知識和網絡知識,使員工從根本上了解計算機安全和網絡安全,這樣員工才能很好的遵守網絡安全規則。提高員工的計算機知識和網絡知識的有效途徑就是通過舉辦培訓班,通過培訓使員工掌握基本的計算機知識和網絡知識,使員工充分了解網絡的安全性和重要性,從而讓員工自覺遵守網絡安全的規則。
4.5 應用數字簽名技術
數字簽名技術實際上就是利用某種加密算法來生成一系列的代碼和符號,然后再將其組成電子密碼來代替印章簽名或者書寫簽名。與此同時,數字簽名技術還可以進行技術驗證,其準確度是圖章簽名和手工簽名所無法比擬的。數字簽名技術采用了科學化的方法和規范化的程序,是當前操作性最強、技術最成熟、應用最普遍的電子簽名方法。它能夠對傳輸過程中電子文件數據是否有所改動進行準確驗證,能夠確保電子文件的不可抵賴性、真實性和完整性,可以用于認可電子數據內容和鑒定簽名人的身份。數字簽名就可用來防止收件人在收到信息之后又加以否認,或發送偽造信息;或修改信息等情況的出現。數字簽名技術有多種算法,目前來看,RSA簽名算法、DSS/DSA簽名算法、Hash簽名算法是應用最為廣泛的。無論何種算法,其技術基礎都是公鑰算法體系,用戶若要創建數字簽名,只需要利用私鑰來加密信息即可。然后,再將這種加密信息附加在所要發送的信息上,即可放心發送。
5.結語
總之,行政事業單位信息化網絡系統由于受到各個因素的影響,導致其安全運行存在許多問題,務必要實現行政事業單位信息化網絡安全,才能更好的服務于社會。
參考文獻:
中圖分類號:TP393
計算機網絡是計算機科學發展的產物,對于信息的共享、實現遠程通信等提高了可靠性和拓展性。但是,正是由于計算機網絡的不斷發展,計算機網絡安全存在著嚴重的威脅,影響了計算機網絡功能的發揮,甚至在一定程度上損害了人們的經濟利益和社會利益。因此,正確認識計算機網絡安全問題,做好計算機網絡安全問題防范工作,對于提高生產生活效率,具有重要的意義。
1 計算機網絡安全的含義
計算機網絡安全也是計算機網絡的信息安全,主要是指網絡系統中的數據、軟件和硬件受到一定保護,計算機網絡系統能夠順利地連續地運行,不會因為各種因素出現信息泄露、被篡改、被破壞和網絡服務器出現中斷的現象。網絡安全問題涉及的不僅是計算機網絡的管理問題,還涉及到計算機網絡技術方面的問題,二者缺一不可。隨著計算機技術的飛速發展,網絡攻擊被認為是對計算機網絡安全威脅最大的問題。計算機網絡安全具有可審查性,可控性,可用性,完整性和保密性五個特征。此外,計算機網絡自身存在著脆弱性和自由性,因為對用戶沒有過多限制,很多用戶都可以在網絡中和獲取信息,再加上計算機技術的不斷發展和更新等,都給計算機網絡帶來了巨大的信息安全威脅。
2 計算機網絡的不安全因素分析
計算機網絡的不安全因素有很多,除了人為因素之外,還有自然的因素和偶發的因素。計算機網絡的不安全因素主要表現在以下幾個方面:第一,信息泄露。具體表現為計算機網絡中的信息被人竊聽,通過這種竊聽獲得一定的數據信息,給計算機網絡帶來了一定的消極影響。第二,信息篡改。信息篡改不屬于信息泄密層次上的侵犯,通過信息篡改,可以給信息數據帶來巨大的損害。不法分子通過截取網上的信息包對其進行更改,或者故意增加一些對自己有利的信息,帶來了信息誤導的作用,而使得信息原本作用受到了影響。第三,傳輸非法信息流。這種不安全因素主要表現為只允許用戶之間進行特定類型的通信,而其他類型的通信則不可以被運用,給信息安全帶來了問題。第四,利用網絡資源錯誤破壞資源。不合理的資源被訪問控制,一些有用資源很可能被偶然地或者故意地被破壞,影響了計算機網絡的安全問題。第五,非法利用網絡資源。通過用戶名和密碼登錄到特定用戶登錄系統里去,并對系統中的網絡資源進行利用、消耗,對合法用戶的利益造成了損害。第六,環境因素。自然環境和社會環境會給計算機網絡帶來安全問題,影響網絡系統的安全運行。自然環境主要是各種自然災害,如地震、泥石流、水災、風暴、建筑物被破壞等,有可能使計算機的網絡信息不再或者影響信息資源的繼續傳播和共享,直接給計算機網絡信息帶來威脅。而社會環境主要是一些偶發性的因素,如電源故障、設備故障、軟件開發中的漏洞等都可能給計算機網絡帶來嚴重威脅。第七,軟件漏洞。計算機網絡系統中的操作系統、數據庫、應用軟件、TCP/IP協議、網絡軟件和服務、密碼設置等中存在著一些安全漏洞,這些安全漏洞,一旦遇到病毒技術的攻擊,很容易帶來災難性的后果。第八,
管理人員的人為安全因素。不管系統有多強大,且配備了多少安全措施,管理人員如果沒有實施好安全管理,或者沒有按照規定正確使用計算機網路系統,甚至通過人為地暴龍一些關鍵性信息,都會給計算機網絡帶來嚴重威脅。具體說來,管理人員的人文安全因素主要有安全意識淡薄、安全措施欠完善、安全管理水平較低、安全管理制度不健全、操作不當等。
3 計算機網絡安全問題的防范的對策
3.1 技術策略。從技術的角度出發,計算機網絡安全防范技術主要有數據備份、防火墻技術、加密技術、物理隔離網閘技術等。需要注意的是,計算機網絡安全技術并不是靠一個安全防范技術就能實現的,而需要多個技術的共同作用來促進其實現。
(1)數據備份。數據備份是指對硬盤上的信息數據等有用資源進行拷貝、復制,將其轉移到另外一個移動存儲硬盤中,防止因為計算機網路受到信息侵害時出現信息丟失,造成巨大損失的手段。因為人為因素或者環境因素,計算機中存儲的信息數據有可能會丟失,如果之前采用數據備份的方式將其復制到移動存儲硬盤中,就能在發生信息危險的時候將其重新轉移回來了,從而有效地避免了這些信息損失。
(2)防火墻技術。防火墻技術是指在計算機網絡中安裝一種能屏蔽計算機內部網絡結構,防止計算機被外界網絡識別和入侵,從而造成信息數據的威脅的重要手段。防火墻技術作為建立在計算機網絡與網絡之間的安全保護系統,能夠通過對經過防火墻的數據進行檢測、限制和更改,因而保證了計算機網絡系統內部的安全。從此可以看出,防火墻的運用可以提高計算機網絡內部系統的安全性,防止信息被竊聽、篡改和破壞。
(3)加密技術。加密技術是指通過計算機網絡系統進行加密,其他非法人員和用戶通過用戶登錄系統享用信息資源和破壞信息資源的有效手段。通過加密技術,合法用戶能夠有一把屬于自己的“鑰匙”,在登陸的時候通過用戶名和密碼可以查看、更新、下載信息資源,從而保證了信息資源的安全。此外,隨著加密技術的不斷發展,密碼被處理成“密文”,再加上解密技術的發展,為計算機用戶提供了巨大的方便。
(4)物理隔離網閘技術。物理隔離網閘技術是指在連接兩個獨立的主機之間建立多種控制功能的固定開關讀寫介質,兩立的主機之間只存在著讀寫兩個命令,而沒有通信的連接、信息傳播命令,形成了一種物理隔離的方式,是一種有效的信息安全設備,對于計算機的安全防范起到了良好的效果。有了物理隔離網閘技術,能夠阻隔具有攻擊性質的計算機網絡黑客,使其無法入侵計算機網絡系統,因而有效保護了計算機網絡系統的安全。
3.2 安全管理策略。做好安全管理策略,可以有效防止計算機網絡管理方面帶來的安全問題,全面保證計算機網絡安全的順利進行。計算機網絡給合法用戶帶來了巨大的方便,卻在提供方便的同時因為用戶的個人利益對他人用戶帶來了安全威脅,這需要充分發揮安全管理的有效作用。
首先,要加強管理意識。從認識上抓好計算機網絡安全管理,對于計算機網絡系統進一步強化,在系統中進行設備和網絡密碼的設置和管理,定期對密碼和設備進行更換,并確保知道密碼的人越少越好,設置密碼的多層管理,防止計算機網絡安全受到威脅。
其次,要加強計算機網絡維護和管理人員的培訓和教育工作。加強網絡安全管理的主體是人,從加強他們的專業素質出發,提高他們的解決網絡安全問題的能力,防止監守自盜的現象出現。一方面,要提高他們的思想素質,并加強他們對網絡攻擊方式的認識,學習網絡攻擊方式的各種辦法途徑,加強管理和維護,及時發現各種不安全因素;另一方面,要提高他們的網絡攻擊處理技術水平,讓其更好地完成計算機網絡安全維護和管理工作。
此外,還要加強計算機網絡設備的管理,建立健全計算機網絡安全管理體制,從各個方面將計算機網絡安全隱患降至最低,從而確保計算機網絡安全有效防范。
參考文獻:
[1]孟曉明.網絡信息的安全問題與安全防護策略研究[J].情報雜志,2004,3.
[2]任從容.網絡安全問題的探討[J].科技創新導報,2008,32.
[3]余偉.計算機網絡安全問題剖析[J].電腦知識與技術,2009,21.
[4]薛海英,何喜彬.計算機網絡安全問題剖析[J].知識經濟,2010,4.
文章編號:ISSN1006―656X(2014)01-0064-01
一、網絡信息安全面臨的新威脅
(一) 網絡空間的思想文化受到嚴重攻擊
歷經多年無辜栽贓、隨意指責后,美國針對中國的抹黑突然升級。2013年,美國的一家網絡安全公司曼迪昂特在一份報告中稱,近年美國遭受的網絡“黑客攻擊”多與中國軍方有關,而西方媒體立即將這一事件放大為世界輿論,中國國防部不得不出來辟謠。其實,在指責中國進行網絡“黑客攻擊”的同時,美國卻在對中國實施著遠超網絡局限的戰略“黑客攻擊”。美國生產的蘋果、微軟、谷歌等代表的高端信息產品,控制著全球經濟食物鏈的頂端,且其信息產品自身攜帶破解對方防御的網絡技術。這種賊喊捉賊式的黑客指責,乃為掩護其實質性的網絡戰略安排,肆意侵犯我國思想文化營造輿論支持。
(二)服務器成為重點攻擊目標
數字化時代,在線服務、網絡設備和傳輸的數據量都在迅速增長。在客戶端防御越來越嚴密的基礎上,服務器被列入重點攻擊目標。2013年初,國內多家大型網站均曝出被黑客拖庫的消息,黑客入侵網站服務器、竊取用戶數據庫后,利用其獲取的大量帳號密碼在網上支付等平臺上試探盜號,也就是俗稱的先拖庫、后撞號,間接導致一些知名支付平臺和微博網站相繼遭到大規模撞號攻擊,用戶的賬號密碼瞬間被暴露出來,之前只在局部范圍流傳的數據一夜之間暴露在公眾面前。
(三) 電腦病毒制造者針對智能手機的攻擊會更加劇烈
高性能智能手機市場份額的快速增長,以及智能手機的惡意軟件類型呈現多樣化,引發了手機安全威脅的爆發。目前,采用塞班操作系統的手機正在迅速被Android系統取代,國內Android市場管理又相對寬松。高性能智能手機在移動互聯網的使用體驗和PC又沒有本質差異,基于PC互聯網的攻擊者不斷向手機平臺轉移,從最開始的暗扣話費、訂購服務、浪費流量,發展到竊取隱私和云端控制手機。2012年底,數以千萬計的智能手機被曝植入CIQ手機間諜,一時引發世人矚目。
(四) 最危險的攻擊來自企業內部
內部攻擊可能是最具有毀滅性。由于特權用戶可以訪問絕大部分數據,而大多數企業還不具備監控所有數據的能力和設備,且來自內部的威脅通常是動態的,特征也在不斷變化著。如同預防惡意軟件一樣,防護者必須提前采取內部控制措施。
二、對策與措施
(一)高度重視與維護網絡空間的思想文化
第一,在思想認識上要將網絡安全提升到國家戰略高度。必須像重視領土領海一樣,高度重視網絡空間的思想文化。認真學習借鑒他國的經驗做法,盡早制定網絡領域成體系性的法律,以及應對網絡戰的攻防戰略。第二,大力發展中國信息產業,盡早擺脫對美國的技術依賴?,F在,國際互聯網信息流量三分之二來自美國,第二名的日本占7%,中國信息輸出流量只有0.05%。這一方面說明美國信息網絡霸權何等強大,同時也凸顯國家在這一領域的劣勢。我國應迅速轉變低技術發展模式,盡快將資金、人力轉向新型戰略產業上來。第三,以愛國主義為旗幟,以民族危亡為警策,警惕國外非政府組織的滲透,限制外資進入中國政治新聞類網站,并在思想文化領域奪回網絡輿論的主導權。
(二)著力提升網站的安全性
首先,強化網站的日常安全維護。網站專業技術人員要及時為服務器操作系統和網站程序打好補丁,防止因網站程序版本陳舊、服務器操作系統更新補丁不及時,被黑客利用入侵,成為傀儡主機。同時,從安全的角度,建立健全網站專業技術人員日常維護管理考核機制,強化對網站的日常安全維護,嚴謹地開展測試流程,去除不必要的風險因素。特別在用戶交互環節,更加注意控制權限,過濾可能出現的威脅。其次,建立網站安全檢測平臺。在網站安全檢測方面,建立網站安全檢測平臺,提供集漏洞檢測、掛馬檢測和篡改檢測于一體的一站式服務,動態監控網站安全狀況。一旦發現網站被掛馬或被篡改,能夠自動以郵件等方式通知網站管理員,可在第一時間為高危漏洞提供修復建議,將網站蒙受損失的風險降到最低。
(三)強化關鍵人員手機的使用管理
手機以無線信號方式進行通信,只要使用相應的接收設備,都可以接收手機通信信息,且使用手機上網、接收彩信、下載安裝文件時,手機都有可能在不知不覺中被植入間諜竊密軟件,變成身邊的竊聽、竊照、定位等間諜工具,因此,使用手機毫無秘密可言。單位關鍵人員、重要人員使用的手機必須經過必要的安全檢查,盡可能配備和使用專用手機,嚴禁使用未經入網許可的手機和開通位置服務、連接互聯網等功能的手機。同時,不得在手機中存儲重要人員的工作單位、職務等敏感信息,不得啟用手機的遠程數據同步功能。手機出現故障或發生異常情況時應立即報告,并在指定地點維修,無法恢復使用的手機應按器材銷毀。
(四)加強保密技術設施建設
[5]楊梅喜.關于完善網絡安全立法的建議[EB/OL]..2013-8-31.
[6]楊文陽.中國網絡文化安全評價指標體系的研究[D].武漢:華中科技大學.2007年.
引言
當今世界,信息技術革命日新月異,對國際政治、經濟、文化、社會、軍事等領域發展產生了深刻影響。信息化和經濟全球化相互促進,互聯網已經融入社會生活方方面面,深刻改變了人們的生產和生活方式。網絡安全和信息化對一個國家很多領域都是牽一發而動全身,被視為繼陸、海、空、天之后的“第五空間”。如何應對網絡安全威脅,雖然國內外在網絡安全管理領域不斷地探索,但網絡安全問題想要徹底的規避還需要更加完善的技術與管理。
1.網絡安全管理的現狀
網絡安全管理是保障網絡正常運行的基礎,網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,防止網絡系統因為突發事件或惡意的攻擊而遭到破壞、更改、泄露,系統連續、可靠正常地運行,網絡服務不中斷。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。技術手段是網絡安全管理的必要手段,包括網絡安全硬件、網絡安全軟件和網絡安全服務。其中,網絡硬件包括防火墻和VPN、獨立的VPN、入侵檢測系統、認證令牌環卡、生物識別系統、加密機和芯片。網絡安全軟件包括安全內容管理、防火墻和VPN、入侵檢測系統、安全3A、加密等。其中安全內容管理還包括防病毒、網絡控制和郵件掃描,安全3A包括授權、認證和管理等,這些技術手段的運用在一定程度上促進了網絡安全管理的有效性。
但是由于網絡的復雜性,在當前網絡管理中具有很大的不穩定性,所以網絡安全管理具有很大的挑戰性。我國整體的網絡安全意識相對缺乏,自主創新方面還相對落后,網絡安全系統的防護能力較差,參與信息安全管理的機構權威性不夠,并且大部分的網絡設施還依靠進口,這就導致我國網絡安全管理的效果不明顯。不過,據調查顯示,如今我國對網絡安全管理的重視程度越來越高,80%以上的單位已經配備了專門的安全管理人員,并有超過10%的單位建立了自己的網絡安全組織。但也仍然存在安全管理人員沒有經過嚴格的培訓、安全經費投入比例較少等問題。如圖1所示:
圖1
圖1所示是對我國當前網絡安全管理現狀的調查,可見網絡安全管理問題已經得到人們的重視,但能夠達到網絡安全管理程度很高的單位所占比例還比較少。
而在國外,西方發達國家從上世紀八十年代就開始重視網絡安全問題,在網絡安全基礎設施的建設上也比較完備,并且很多網絡安全技術、防護技術至今還是未向外公開的。但是即便如此,國外的網絡安全問題并沒有被遏制,計算機犯罪及網絡侵權問題仍然嚴重威脅著網絡使用的安全,并且帶來了嚴重的經濟損失。因此,不論是國內還是國外,網絡安全管理的現狀都不容樂觀,必須加大管理力度及投入,制定合理的網絡安全管理措施。
2.網絡安全常見問題
2.1 病毒問題
病毒是威脅網絡安全的常見問題之一。根據《2013年中國網絡安全報告》現實我國中毒機器環比大幅增長。網絡病毒主要指的是一種特殊的程序,這類程序能夠竊取網絡、終端設備上的隱私,并且對網絡的正常運行會造成一定的影響。如果感染上病毒,則系統的運行效率會急劇下降,甚是會使得系統死機或造成毀壞,導致文件及數據的丟失,或者導致重要部件的損壞。病毒在網絡的作用下傳播的速度非常快,對網絡安全的威脅性非常大。
2.2 黑客攻擊問題
黑客攻擊問題也是計算機網絡安全問題之一。2013年,電腦管家網址安全云中心監控到被黑客攻破利用的網絡20.3萬個。黑客本來是指掌握較高計算機技術的人群,但在這類人群中有部分人利用自己的技術對計算機網絡進行攻擊或破壞。一般而言,黑客攻擊可以分為兩類,即破壞性攻擊和非破壞性攻擊。非破壞性攻擊在實施以后往往會擾亂計算機網絡系統的正常運行,但對系統內的資料并不進行竊取,攻擊的方式一般為拒絕服務攻擊或信息炸彈。而破壞性攻擊則會侵入計算機網絡系統,竊取保密資料,或者對目標文件進行破壞,因此這類攻擊對計算機安全的威脅性非常大。
2.3 垃圾郵件問題
垃圾郵件也是計算機網絡安全面臨的重要問題。其主要是利用公開的電子郵件地址,進行垃圾信息的傳遞,將商業信息、宗教信息及政治活動的信息強行的通過電子郵件的形式進行傳遞,強迫別人接受垃圾郵件。這類郵件中的不安全內容及信息會傳遞到用戶的郵箱當中,能夠助力不法活動的組織及傳播,對整個社會都有一定的安全威脅。
2.4 間諜軟件問題
間諜軟件對網絡安全的威脅性非常大,間諜軟件對網絡安全的影響不在于對計算機網絡系統進行破壞,而是通過這類軟件的植入可以竊取用戶的信息,并且可以監視用戶的行為,進行廣告的,甚至對計算機系統的設置進行更改,不僅用戶的隱私被暴露,影響計算機網絡的安全,而且還會影響計算機系統的性能。特別是隨著智能手機、平板電腦的快速普及,移動互聯網安全形勢不容樂觀,帶來的數據信息泄露問題也更為突出。
2.5 網絡犯罪問題
網絡犯罪是一種通過竊取口令的方式非法的侵入到用戶的系統之后,進行有害信息的傳遞,并惡意對系統進行破壞的犯罪行為。網絡犯罪通過網絡的途徑進行詐騙、盜竊等活動,對網絡安全的威脅非常之大,并且對整個社會的安全及穩定性也會造成極大的影響,必須予以嚴厲的懲治。
2.6 突發事件導致的安全問題
突發事件所導致的網絡安全問題不容忽視,這類事件主要可以分為三種情況:
第一,由于突發的自然災害,如地震、火災、臺風等而導致的網絡信息系統的損壞;
第二,由于突發的事故,如電力的終端、軟件及硬件設備的故障等原因,而導致的網絡信息系統的損壞;
第三,由于人為原因而導致的網絡信息系統的損壞,這里的人為原因主要是指人為的破壞網絡的線路及相關的網絡設備。
這三類事件的發生往往是對網絡軟件或硬件設備的損壞,從而導致信息的丟失及不良信息的流入,給網絡安全帶來一定的影響。
3.網絡安全管理建議
3.1 提高網絡安全防范意識
網絡安全是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題,網絡安全問題僅通過技術手段來解決是不夠的,提高網絡安全防范意識是促進網絡安全管理有效性的保障。首先,人員因素是提高安全管理環節的重要一環,加強對網絡管理人員的網絡安全教育,全面提高人員技術水平、政治覺悟和安全意識是網絡安全的重要保障。要加強安全防范意識,以有效的排除網絡安全影響因素。其次,加強網絡安全宣傳,明確網絡安全問題所帶來的嚴重后果,在所有的網民之中樹立起維護網絡安全的意識,從而自覺抵制影響網絡安全的行為。
3.2 加強自主知識產權技術開發
目前中國網絡信息核心技術和關鍵設備嚴重依賴他國。相關數據顯示,全球網絡根域名服務器為美國掌控;中國90%以上的高端芯片依賴美國幾家企業提供;智能操作系統的90%以上由美國企業提供。中國政府、金融、能源、電信、交通等領域的信息化系統主機裝備中近一半采用外國產品?;A網絡中七成以上的設備來自美國思科公司,幾乎所有的超級核心節點、國際交換節點、國際匯聚節點和互聯互通節點都由思科公司掌握。雖然華為、中國移動等公司研發應用了一批擁有自主知識產權的技術產品,但要建設具有自主知識產權的信息產業核心技術,實現我國信息產業自主創新與跨越發展,需要進一步加強頂層設計,集中攻克事關國家戰略利益的信息產業關鍵技術,研制一批具有自主知識產權的重要設備和關鍵產品。
3.3 完善網絡技術管理
技術與管理一直是信息安全工作的焦點問題,從BISS公布的數據看,超過70%的信息安全事故如果事先加強管理都是可以避免的,也就是三分技術、七分管理,二者并重。在網絡安全防護方面,國家雖然推行了安全等級和分級保護的眾多規定,但部門和重點企業單位更多用設備購置來滿足安全分級要求,安全后期服務沒有常態化。這導致安全防御設備使用成效低下,無法及時監測內部安全態勢,完成系統升級等服務。因此,必須要建立健全網絡安全管理機制,做好物理環境的安全管理、網絡系統管理、以及網絡安全使用規范。此外,完善網絡安全管理相關技術是促進網絡安全管理的重要保障。首先,要更好的完善傳統的網絡安全管理技術;其次,要積極開展雙邊、多邊的互聯網國際交流合作,不斷應用拓展及開發新技術。
3.4 強化法律手段對網絡安全管理的干預
法律是信息網絡安全的制度保障,強化法律手段對網絡安全管理的干預是促進網絡安全問題得以解決的重要手段。
首先,要借鑒國外的相關成功案例,結合我國的實際情況,對我國的網絡安全法律法規進行完善;
其次,建立高素質的網絡安全執法隊伍,促使網絡安全問題能夠及時的被發現,從而提高執法的效率;
第三,建立規范的網絡運行秩序,嚴厲打擊網絡犯罪行為,并定期進行網絡秩序的整頓,以預防網絡安全問題的出現。
3.5 加大網絡安全專業人才隊伍建設
據了解,2012年,中國網絡安全領域的人才需求量已達50多萬人,當時我國網絡信息安全專業人才僅約4萬人,而每年我國網絡信息安全專業畢業生卻不足萬人,人才缺口凸顯。世界范圍內,網絡安全人才也是稀缺資源。未來網絡安全領域的競爭一定是人才競爭,對比國內外在網絡信息安全領域的投入力度和方式發現,中國的投入仍相對集中于“硬件”上,而怎樣培養出更適應中國網絡安全實踐需要的人才、怎樣將優秀人才留在中國國內以及網絡安全保障體系內,是我們需要不斷思考的問題。
4.結束語
隨著云計算、物聯網、移動互聯網、大數據、智能化等網絡信息化新興應用持續拓展,未來中國網絡安全威脅將持續擴大。在2014年召開的中央網絡安全和信息化領導小組第一次會議上,網絡安全已經提升為國家重大戰略問題。如何建設成為網絡強國,關鍵還得建立自己的核心競爭力,升級網絡發展思路,把經濟增長優勢、信息基礎優勢、優秀文化優勢轉化為話語權,確保國家網絡安全。
參考文獻
[1]巴大偉.計算機網絡安全問題及其防范措施[J].信息通信,2013(8).
[2]羅耀.淺談計算機網絡安全管理的措施[J].信息與電腦,2011(3).
[3]王弘揚.淺談計算機網絡安全問題及防范措施[J].黑龍江科技信息,2012(2).
[4]熊英.計算機網絡安全管理研究[J].科技風,2010(21).
[5]余平.計算機網絡安全管理研究[J].科技信息,2012(17).
內部網絡安全與人事檔案材料運行風險分析
內部網絡(局域網)的開發應用,給內部人事部門在處理各類人事檔案材料帶來無盡的好處與便捷,隨著內部網絡應用的擴大,網絡安全風險也變得更加嚴重和復雜,原來由單個計算機安全事故引起的損害可能傳播到其他系統和主機引起大范圍的癱瘓和損失,直接影響人事檔案材料在內部網絡運行中的安全。內部網絡的安全問題主要有:
(一)內部網絡物理安全問題。內部網絡物理安全是整個網絡系統安全的前提,物理安全存在風險主要有:火災、水災、地震等環境事故,造成整個系統毀滅;電源故障,造成設備斷電以至操作系統引導失敗或數據庫信息丟失;設備被盜、被毀等,造成系統毀滅或人事檔案材料泄漏;不正常的機房溫濕度環境,造成服務器、路由器、交換機等局域網核心設備出現故障,甚至燒毀等。上述各種情況的發生,都將使人事檔案材料在錄入、整理、傳遞、存儲等問題上存在安全問題。
(二)內部網絡結構的安全問題。加強內部網絡結構安全,防范黑客和病毒的攻擊,是人事檔案材料在內部網絡運行中的安全保障,網絡結構安全風險主要有:一是來自因特網的安全威脅,對于內部局域網絡系統,就人事檔案材料的錄入、傳遞、整理、存檔等,人事部門都制定相關規章,明確規定網內用戶不得與互聯網直接或間接相連,確保人事檔案信材料在內部網絡運行中的安全。盡管這樣,但從技術角度看,用戶計算機大多具備通過撥號方式連接因特網的能力;從管理角度看,也無法保證所有用戶都能自覺嚴格執行有關管理規定。二是內部局域網絡安全受到威脅,導致人事檔案材料丟失和泄密,據有關數據統計表明,發生網絡安全攻擊事件中約70%是來自內部網絡的病毒侵犯。三是內部網絡設備的安全隱患,也影響人事檔案材料在網絡運行中的安全。網絡設備包含路由器、交扳機、防火墻等。它們的設置比較復雜,可能由于疏忽或不正確理解而使這些設備使用的可靠性、安全性不佳;四是從系統的安全風險分析來看:內部局域網操作系統主要有Win98、Win2k、winXP、Win2KServer等,不管是什么操作系統,都有其BackDoor和Bug,這些“后門”和安全漏洞都存在著重大安全隱患,但是,系統的安全程度與計算機的安全配置以及與系統的應用面有很大關系,操作系統如果沒有采用相應安全配置,則掌握一般攻擊技術的人都可能入侵得手。因此.必須正確評估自己的網絡安全,并根據網絡風險大小作出相應的安全解決方案。
(三)內部網絡系統應用安全問題。系統應用安全涉及很多方面,系統應用是動態的、不斷變化的,應用的安全性也是動態的,這就需要我們對不同的系統應用檢測安全漏洞必須采取相應的安全措施,降低系統應用的安全風險:一是資源共享。網絡系統內部通常是共享網絡資源,比如文件共享、打印機共享等,由此,可能存在少數同志有意無意把硬盤中重要的人事檔案材料共享目錄長期暴露在網絡鄰居上,而被外部人員輕易偷取或被內部其他員工竊取并傳播出去造成泄密;二是電子郵件系統。電子郵件系統為網內用戶提供電子郵件應用,網內用戶可以通過Outlook或lotus進行電子郵件收、發送,這就存在接收或傳播一些特洛伊木馬、病毒程序等,由于許多用戶安全意識比較淡薄,對一些來歷不明的郵件.沒有警惕性,給侵入者提供機會,給系統帶來不安全因素;三是病毒侵害。網絡是病毒傳播最快的途徑之一,病毒程序可以通過網上下載,使用盜版光盤或軟盤發送電子郵件,造成人為的病毒感染,病毒程序完全可能在極短的時間內迅速擴散,傳播到網絡上的其他主機,由于病毒入侵,機器死機等不安全因素,造成人事檔案材料和人事機密文件泄漏和丟失;四是人事檔案材料范圍廣、數量大、密級高,有些信息還必須在計算機上處理,因此,人事檔案材料在網絡上運行的安全問題對人事部門尤其重要。
加強內部網絡安全性的對策
(一)樹立良好的網絡安全意識。增強計算機人員的安全防范意識,定期開展提高網絡安全防范意識的培訓,加強經常性的安全防范意識宣傳教育,全面提高網絡安全防范意識。目前不重視網絡安全問題在個別單位和一定范圍內還是存在,其原因也是多方面的,但主要還是思想認識問題。各單位主要責任人的安全意識對網絡整體安全具有決定意義,領導干部應將網絡安全意識、責任意識和保密意識聯系起來,要把網絡安全納入到誰主管,誰負責;誰使用,誰負責的安全管理體制之中,同時要普及網絡安全技術知識,用實際案例不斷進行網絡安全教育,不斷強化重視網絡安全的氛圍。
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)35-0100-03
Abstract: This paper aims to integrate the network safety consciousness, real problem situation, professional quality concept into the college experimental teaching process under the strategy of network power, to stimulate students' enthusiasm and initiative, and guide students to find, analyze and solve the problem, to sum up the experiment in the form of lists. Ultimately, the "student oriented, supplemented by teachers" teaching ideas are reflected, and students' practical ability are enhanced.
Key words: ARP spoofing;network safety consciousness; problem situation; professional quality
1 引言
2014年來,中央網絡安全和信息化領導小組組長多次提出了“沒有網絡安全就沒有國家安全”以及“建設網絡強國”的重要論斷。2015年政府工作報告提出的“互聯網+行動計劃” 體現出信息化對網絡發展巨大推動作用和以網絡為載體的數據驅動巨大魅力的同時,也呼喚著人們通過網絡的進一步發展來不斷提升網絡安全的能力和意識。兩屆國家網絡安全宣傳周活動的開展也為加強全民網絡安全宣傳教育、提升網民的網絡安全防范意識和技能提供了良好的途徑。
網絡安全上升到國家戰略層面,各類網絡攻擊和竊取事件的頻發驅動信息安全需求急劇增加,目前網絡安全普遍存在的問題是信息安全意識不強、缺乏整體安全方案、沒有安全管理機制、系統本身不安全以及缺少必要的安全專才。
網絡安全意識比技術更重要。作為培養網絡專業技能人才的一線高校教師,在平常實驗教學中除了借助各種安全設備和環境完成實訓內容外,更重要的是提升學生的安全意識和處理安全事故的能力,在提高專業技能水平的同時培養學生的職業素質,因此設計好網絡安全實驗課程顯得尤為重要。本文以ARP欺騙攻擊與防范實驗教學為例,探索在真實網絡安全情境下,新型安全課程實驗教學模式的改革以及教學效果。
2 ARP欺騙攻擊原理
ARP協議是以太網等數據鏈路層的基礎協議,負責完成IP地址到硬件地址的映射。工作過程簡述如下:1)當主機或者網絡設備需要解析一個IP地址對應的MAC地址時,會廣播發送ARP請求報文。2)主機或者網絡設備接收到ARP請求后,會進行應答。同時,根據請求發送者的IP地址和MAC地址的對應關系建立ARP表項。3)發起請求的主機或者網絡設備接收到應答后,同樣會將應答報文中發送者的IP地址和MAC地址的映射關系記錄下來,生成ARP表項。從ARP工作機制可以看出,ARP協議簡單易用,但是卻沒有任何安全機制,攻擊者可以發送偽造ARP報文對網絡進行攻擊。偽造ARP報文具有如下特點:偽造的ARP報文中源MAC地址/目的MAC地址和以太網幀封裝中的源MAC地址/目的MAC地址不一致;偽造的ARP報文中源IP地址和源MAC地址的映射關系不是合法用戶真實的映射關系。目前主要的ARP攻擊方式有如下幾類:仿冒網關攻擊、仿冒用戶攻擊(欺騙網關或者其他主機)、泛洪攻擊。
3 問題情境設計
教學情境是課堂教學的基本要素,有價值的教學情境一定是內含問題的情境,它能有效地引發學生的思考。問題情境的創設,對于學生學習興趣的激發起著決定作用。因此,如何設計具有一定情緒色彩的、以形象為主體的生動具體的場景,以激發學生一定的情感,就成為教學之初需要考慮的問題。
在一個沒有防御的園區網中爆發的ARP病毒會造成網絡丟包、不能訪問網關、IP地址沖突等問題,實驗室所有主機分配的是同一網段IP地址,接入交換機,預先在教師機上開啟Sniffer嗅探者軟件,運行數據包發生器,修改后的ARP廣播報文會持續被發送到當前局域網中,為學生建立一個真實園區網面臨的問題情境,接下來引導學生按照“發現問題-分析問題-解決問題”的順序完成實驗內容,提升自己的安全意識和實踐能力。
4 實施過程
4.1 實驗環境
實驗室所有主機處于同一網段,類似如下所示的拓撲圖環境:
4.2 問題情境的構造
教師機IP地址為172.16.75.105,在本實驗中充當攻擊者身份。首先構造用于攻擊的ARP欺騙報文,在Sniffer軟件上定義好過濾器后,開始捕獲報文,首先將教師機的ARP緩存清空,嘗試PING網關,停止捕獲并顯示結果如下圖所示,
發送當前的幀之前做如下修改:(1)更改源IP地址為網關IP地址;(2)更改源MAC地址為偽造的MAC 地址11-22-33-44-55-66;(3)更改目的IP地址為任一同網段主機IP地址;(4)更改目的MAC地址為全F值。設置為連續不斷地發送幀,啟動數據幀發生器,此時當前網段會充斥著此類ARP廣播報文。
4.3 問題情境的呈現
以4-5人為一組,以真實的網絡管理員遇到的企業局域網故障為案例,向學生說明經常受到的網絡攻擊來自于網絡內部,表現為訪問互聯網時斷時續,打開網頁或下載文件的速度明顯變慢,甚至無法訪問公司的Web服務器等資源,嚴重影響了企業辦公業務的正常運行,公司領導對此很不滿意,要求立刻徹底解決問題。要求在實驗報告上完成每步測試內容并填寫檢查結果。此環節注重引入職業教育理念,既要注重技能鍛煉,又要注意素質培養。立足本職崗位,敢于承擔責任,從工作中發現問題是什么,為什么到怎么做,同時培養學生的團隊意識。
4.4發現問題
此環節旨在讓學生運用已掌握的網絡維護技能發現當前局域網存在的問題,通過觀察學生在測試環節中采用的方法,可以了解到學生能否快速有效地定位網絡中的故障,在不投入新的設備情況下解決問題。
通過觀察,多數學生會按照如下測試步驟檢測網絡狀況:1)檢查本機網絡連接情況及IP地址是否有效;2)檢查與同一網段內其余主機連接情況;3)檢查與網關連接情況;4)檢查與DNS服務器連接情況;5)檢查與Web服務器連接情況。這一過程旨在幫助學生基于收集到的測試數據判斷問題癥結點的能力,只有在充分調查研究的基礎上具體問題具體分析,才能把存在的問題癥結點找準、找實、找透,才能開對方子,做到對癥下藥。
4.5分析問題
根據課堂反映來看,絕大多數學生在實施到第3步時發現PING網關IP地址不通,并且重啟機器后癥狀依舊,沒過多久又會產生丟包現象。不少學生通過使用ARP -a命令發現學習到的網關MAC地址是偽造的11-22-33-44-55-66,進而判斷出問題在于網關MAC地址被篡改,通過使用Sniffer軟件,可以嗅探到局域網內充斥著大量的ARP報文,并且通過抓包分析,發現源IP地址為172.16.75.254的網關的MAC地址為11-22-33-44-55-66。此時需要引導學生去思考兩個問題:一是為什么主機會無條件更新,二是如何防范此類錯誤。結合課本上提到的TCP/IP協議棧的脆弱性,部分同學會得出主機并不對收到的ARP報文進行檢查,從而導致PC主機更新本機ARP緩存里的網關MAC地址的結論。
這個分析問題的過程注重培養學生遇到問題的應變能力,這種能力的訓練對于今后可能從事的網絡運維崗位而言,是非常有必要的。
4.6 解決問題
明白了問題的原因,如何解決問題就是一個水到渠成的過程。通過幾分鐘分組討論的形式,最后總結了幾組的意見,歸納出兩種解決思路:一是主機對于收到的ARP偽造報文不進行更新操作,二是限制此類ARP廣播報文在局域網內的泛洪。此時,結合實訓指導書內容,教師提出兩種解決方案讓學生選擇,一是在局域網內各臺主機上靜態綁定正確的網關MAC地址,這樣即使主機收到了虛假MAC地址也不予以更新;二是在交換機各端口上設置單位時間內允許通過的ARP報文數量的閾值,超過閾值則關閉端口。同時讓學生分組討論,對這兩種方案的優缺點進行比較,最終得出如下的結論,方案一因為要在局域網內每臺主機上配置命令,工作量較大,網關MAC地址一旦改變又得重新配置,而且治標不治本,不能有效遏制網段內ARP報文造成的廣播風暴,網絡傳輸性能較低;方案二只需在交換機端口上進行配置,與網關MAC地址無關,如果再在端口上劃分好VLAN,將會進一步限制廣播報文的傳輸范圍。
4.7 實驗總結
總結既是自己對于實驗的理解歸納,也是對整個實驗過程的回放,既要總結有所收獲的地方,也要歸納出不足之處。通過將實驗全過程中涉及現象、情境及步驟列成問題清單,讓每位學生都能從實驗中總結出得與失。最后借鑒翻轉課堂的思想,邀請一位學生就實驗目的、方法、步驟進行口頭陳述,由其余學生進行補充,從而獲得更深層次的理解。
5 結語
通過網絡安全實驗課程的教學嘗試,以及學生的反映來看,收到了一定成效??偨Y起來達到了三個目的,一是探索網絡安全意識、網絡安全技能并重的新型網絡安全實驗教學方法,二是引導學生進入實際問題情境中,深入角色,積極主動地去發現、分析及解決問題,三是將個人責任感、團隊合作等職業化素質理念融入到教學過程當中,培養主人公意識。在教學過程中需要注意對于課堂進度以及時間的把握,如學生遇到難點應及時進行引導,推動進程。
參考文獻:
[1] 遲恩宇,劉天飛,楊建毅,王東.網絡安全與防護[M].電子工業出版社,2009.
[2] 葉成緒.校園網中基于ARP協議的欺騙及其預防[J].青海大學學報: 自然科學版,2007(3):59-61.
[3] 秦豐林,段海新,郭汝廷.ARP欺騙的監測與防范技術綜述[J].計算機應用研究,2009(1):30-33.
[4] 孟令健.計算機網絡安全ARP攻擊行為的防范研究[J].齊齊哈爾大學學報: 自然科學版,2013(3):9-11.
[5] 郭會茹,楊斌,牛立全.ARP攻擊原理分析及其安全防范措施[J].網絡安全技術與應用,2015(6):5-6.
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)34-7694-03
隨著互聯網的不斷發展壯大和日益開放,網絡給人們帶來海量信息的同時也帶來了一定的隱患。用戶傳輸的隱私數據丟失,信息被攔截等事件不斷發生。對于信息系統的非法入侵和破壞活動正以驚人的速度在全世界蔓延,同時給人們帶來巨大的經濟損失和安全威脅。據統計,每年全球因安全問題導致的損失已經可以用萬億美元的數量級來計算[1]。因此,針對網絡通信帶來的安全性的問題,為了解決用戶傳輸隱私數據丟失或者被截獲的事件的頻發,讓一種既強調安全性又能夠以快速經濟時效性的算法加密方式加密的安全模型的需求變得迫切起來。該文設計的通信模型能夠有效解決網絡通信所帶來的安全隱患。
1 理論基礎及現狀
網絡安全性[2],可以粗略地分為四個相互交織的部分:保密、鑒別、抗否認和完整性控制。保密是指保護信息在存儲和傳輸的過程中的機密性,防止未授權者訪問;鑒別主要指在揭示敏感信息或進行事務處理前必須先確認對方的身份;抗否認性要求能夠保證信息發送方不能否認已發送的信息,這與簽名有關;完整性控制要求能夠保證收到的信息的確是最初的原始數據,而沒有被第三者篡改或偽造。
PKI(Public Key Infrastructure, 公開密鑰體系)[3], PKI技術利用公鑰理論和技術建立的提供信息安全服務的基礎設施,是國際公認的互聯網電子商務的安全認證機制,利用現代密碼學中的公鑰密碼技術在開放的Internet網絡環境中提供數據加密以及數字簽名服務的統一的技術框架。公鑰是目前應用最廣泛的一種加密體制,在這一體系中,加密密鑰與解密密鑰各不相同,發送信息的人利用接收者的公鑰發送加密信息,接收者再利用自己專有的私鑰進行解密。這種方式既保證了信息的機密性,又能保證信息具有不可抵賴性。目前,公鑰體系廣泛地用于CA認證、數字簽名和密鑰交換等領域。
2 模型設計方案
基于理論基礎及研究現狀,本方案的重點放在對于身份驗證算法安全性的研究。整個方案是基于已經成熟了的PKI公開密鑰體系,PKI作為一種安全技術已經深入到網絡應用的各個層面,由于其充分利用公鑰密碼學的理論基礎,為各種網絡應用提供全面的安全服務。因此整個方案的基礎已經成熟并且得到了大規模的應用,現在尚存的問題就是PKI體系如何推廣到無線方面,而整個PKI體系中的核心,數字證書在計算機上已經成熟的算法,關于證書中包含的內容,以及證書的頒發,撤銷算法。密鑰備份、恢復和更新的算法以及如何驗證證書的算法。
1) 通過驗證中心發送給終端的數字證書需要具備3個特點,即不可否認性,不可篡改性和唯一性,可防御重放攻擊、偽造攻擊,實現可信身份認證。
2) 數字證書使用公鑰體制即利用一對互相匹配的密鑰進行加密、解密[4][5]。每個用戶自己設定一把特定的僅為本人所有的私有密鑰(私鑰),用它進行解密和簽名;同時設定一把公共密鑰(公鑰)并由本人公開,為一組用戶所共享,用于加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。因此所面對的問題就是證書的制作和簽發,和關于數據傳送的加密和解密。
3) 基于目前流行的操作系統實現上述關鍵問題,并可以嵌入到其它的應用系統。
2.1 設計目標
為解決網絡傳輸中的用戶傳輸隱私數據丟失或者被截獲的事件,新的模型需要兼顧以下兩方面性能:
1)安全性:即達到充分保護用戶信息安全的目的。設計需要完成三個目標:即通信雙方的互相確認身份、信息不可篡改和信息不可否認。通信雙方應互相確認來保證通信目標相互沒有被劫持的隱患;信息不可篡改則表示信息在傳輸的過程中不能夠被截獲并且在篡改后重新發送;信息不可否認目標為信息發出后,通過密碼學的方法使發出信息者不能夠否認發出信息的事實。通過三方面來保證整個信息傳輸過程中的安全性。
2)時效性:除了安全性,加密的速度及模型運行的速度也是要考慮的因素,如果模型運行速度過慢則失去時效性。本模型在兼顧安全性的同時兼顧時效性,能夠在保證安全的同時以最短的時間內完成加密過程以保證通信的實時性,信息的時效性。
2.2 模型的設計與實現
2.2.1雙方通信的初始化過程
初始化過程類似于TCP傳輸協議中初始化的三步握手的過程[6],不過在本模型中加入了雙方交換公鑰證書以及交換隨機生成的雙方都認可的一個隨機碼,作為之后傳輸數據中使用的對稱加密算法中秘鑰的使用。同時在傳輸隨機碼的過程中,使用了PKI非對稱加密算法,來保證安全性,即使用對方的公鑰對信息進行加密,在對方收到后使用自己的私鑰對信息進行解密。如圖1所示:
2.2.2 證書分發過程
證書生成模型,每一個需要進行通信的客戶端都需要一個公鑰證書,這個證書由一個服務器進行共同管理。作為管理機構進行證書的分發,身份認證等工作。
保證證書不被篡改所使用的算法是Hash算法,通過比較存儲在證書中的公鑰的Hash碼以及通過計算接收到證書的公鑰的Hash碼,并將兩者進行比較,如果相等則證書得到確認,不相等則認證終止,如圖2所示。
2.2.3 信息通訊過程的加密與解密算法
如圖3,加密過程:首先客戶端對信息M進行Hash算法提取摘要數據,之后對M使用在初始化交換得到的隨機性秘鑰通過對稱加密算法DES進行加密,在對M進行Hash算法提取摘要后會得到要一個固定長度的32位或者64位的摘要數據,對摘要數據H使用簽名算法(即使用客戶端的秘鑰進行加密)得到數據H’,之后將經過DES算法加密的信息M與H’通過添加一個分隔符合并一起發送到服務器端。
解密過程:服務器端接到來自客戶端的信息,首先將加密過的M與H’進行分離,通過分隔符來區分兩者數據,先使用客戶端的公鑰對H’的簽名算法進行解密,得到解密出的M信息的散列碼H,之后通過隨機性秘鑰對DES算法加密過的信息M進行解密,得到信息M,之后計算解密出的信息M的散列碼H2,比較H與H2,如果相等則表示信息安全傳送,在數據庫中記錄后顯示在服務器端,如果不相等則代表數據進行過篡改。
2.3 算法分析
在初始化中使用PKI非對稱加密算法,來保證互相交換隨機碼的安全性。非對稱加密與對稱加密的效率比起來雖然安全性很高但是效率非常低,并不適合在后來信息的傳輸中對有可能由大量字符組成的信息使用非對稱加密。因此在一開始的初始化過程中使用非對稱加密傳送一組隨機碼作為之后信息對稱加密算法的秘鑰來保證信息傳送中加密算法的效率。證書的分發過程需要保證證書的分發無誤,因此使用Hash算法來保證客戶端得到了相應的公鑰以及公鑰沒有被篡改。以上兩個步驟保證了安全性的第一個目標,身份互相確認。
在信息的傳輸過程中,使用的Hash算法對信息提取摘要數據,并在信息M解密后對信息重新提取摘要數據,并將之對比。這樣做的原因是防止信息在傳輸的過程中被認為的篡改,Hash在提取摘要數據時,即使信息有了最微小的變動,通過Hash算法提取出的摘要數據也會有巨大的不同。這樣就保證了安全性的第二個目標,信息不可篡改。
通過對信息提取出的摘要數據進行簽名算法,不僅能夠通過簽名算法自身的特性來保證安全性的第三個目標,信息不可否認。而且由于提取出的摘要數據的位數固定(32位或64位)且都非常小,因此對于簽名算法這樣時間復雜度比較高的算法來說,可以保證在極短的時間內對小數據進行加密解密,通過初始化時候使用非對稱加密來傳送秘鑰,以及之后信息傳送使用效率極高的對稱加密DES來對整個信息進行基礎的加密來保證安全性的同時,這兩點也保證了信息的時效性。
經過實際實驗,數據可以在人體感知的范圍之內(0.2s)完成所有加密解密過程,基本不會對時效性有任何影響。
3 總結
互聯網逐漸深入我們的生活,為人們的日常生活提供了極大便利。我們現在處在一個互聯網時代,享受著它帶來的好處同時也承受著數據泄露的風險。該文通過對當今的實時熱點領域—網絡的實時安全模型的研究,提出了一種能夠平衡安全性和時效性的模型,能夠從身份互相確認,信息不可篡改,信息不可否認三方面保證安全性的同時,保證了模型的效率,能夠以極快的速度加密與解密信息,保證了信息的時效性,使得模型在電商、互聯網金融等網絡服務領域能夠貢獻一定的價值。
參考文獻:
[1] 張慶華.信息網絡動態安全體系模型綜述[J].計算機應用研究, 2002,5:4-7.
[2] 曾志峰.網絡安全測防體系的研究與實現[D].北京:北京郵電大學博士學位論文,2001.
[3] 荊繼武,林璟鏘,馮登國. PKI技術[M]. 北京:科學出版社, 2008:79-96.
當今時代是一個信息時代,計算機網絡技術被應用到了方方面面,整個世界正在逐漸發展為一個整體,各個國家各種職業的人們生活、工作、學習的聯系會越來越緊密。企業經營管理過程中,IT系統是不可或缺的,該系統能夠為企業提供更加便捷的辦公平臺,同時進行更方便的內部通訊。
1 企業IT網絡信息安全的重要性
企業實現信息化的過程中,保證IT系統的信息安全是必要的保障,企業管理人員和系統使用人員都要求IT系統的安全性能夠進一步提升。考慮到企業IT系統與其他類型系統的不同性質,企業IT系統更需要保證的是能夠保持穩定的持續運行。針對這一要求,企業信息系統管理人員應當加強安全管理,對企業網絡管理進行必要的優化,引進先進的安全技術提升系統的安全性。
2 影響企業IT網絡信息安全的主要因素
2.1 自然因素
自然界存在著的一些輻射、雷電問題可能會對露天傳輸線路造成影響,進而導致網絡傳輸不穩,這是可能會導致IT網絡信息安全受到不良影響的自然因素。
2.2 人為因素
2.2.1 管理人員不重視
企業IT網絡需要企業的專門負責人員進行管理,但是管理人員對于該項工作不夠重視,就有可能導致信息安全受到不良影響。例如:針對比較重要的信息資料,沒有進行加密保護;計算機開機密碼過于簡單;機房工作人員行為不當,沒有定期進行網絡維護等等。
2.2.2 不法分子惡意破壞
非法訪問。有些技術人員針對系統中的漏洞進行破解,獲取企業內部資料導致信息泄露,進而獲取利益。
病毒入侵。人為創造破壞性的病毒,對企業信息網絡進行破壞,造成企業內部信息丟失、泄露,整個系統癱瘓。
黑客入侵。有些高技術水平的黑客會為了某種目的越過企業的防火墻對IT系統進行破壞攻擊,造成系統癱瘓,影響企業的正常運轉。
3 提升企業IT網絡信息安全性的關鍵技術
針對企業IT系統普遍存在的安全隱患,應當采取合適的安全技術提升系統的安全性,保證系統的正常運行,提升企業的經濟效益。下面筆者針對幾種提升IT系統網絡信息安全的技術展開分析:
3.1 入侵檢測
結合長久以來的信息管理經驗來看,單純進行系統安全保護并不足夠,因為系統本身不可避免的會存在一些漏洞,而不法分子往往就是利用這類漏洞進行非法入侵。同時,企業內部也有可能出現非法入侵操作。針對非法入侵問題,可以設計專業性質的監測系統對系統中的信息進行定期檢測,其作用是保證系統能夠及時發現入侵,在斷開連接的同時對入侵人員進行追蹤。其工作原理為對IT系統進行關鍵點設置,并進行取樣分析,若是發現分析結果中存在疑似入侵的現象,就馬上進行有效處理。
3.2 數據加密
數據加密技術的應用時間較長,自信息技術誕生以來,加密技術就同步出現了。企業信息系統想要利用數據加密技術提供安全保障,就要結合大量的加密解密算法經驗以及經典數據進行。對于需要加密的數據來說,只有通過特定的解密算法或是設定好的密鑰才能進行信息讀取,若是沒有該類信息就無法讀取,即便被不法分子所竊取,也不會發生信息泄露。數據加密技術在企業IT系統中的應用不僅可以保護商業信息,同時還能提升系統的安全穩定性。
3.3 防火墻
為了保證企業IT網絡系統的安全,應當針對企業系統特點設計高水平的防火墻。若是沒有防火墻,單純依靠系統本身自帶的安全配置并不可靠,必須保證整個系統中的主系統和子系統都在安全保護的范圍之內,但是企業網絡中的子網若是相對較大,那么同步性就會比較難。所以,為了保證網絡同步安全,應當設置防火墻。防火墻的作用并不是對系統中所有的終端都進行保護,而是保護信息交換點,同時保證整個系統中只有信息交換點能夠與外界進行聯系。也就是說,防火墻的基本作用是保證企業IT系統和外界信息之間存在一道屏障,能夠通過屏障的安全管理策略對交換信息流進行保護。
3.4 網絡訪問保護
企業IT系統在設計的過程中,會對訪問權限加以設置,對于不同的操作人員權限設計不同。信息系統遭到非法入侵時,其訪問權限很容易受到影響,導致訪問權限混亂,進而權限不足的用戶也能訪問越權信息,對企業IT系統的安全性造成威脅。針對這一問題,需要在進行IT網絡信息系統設計的過程中進行網絡訪問保護設計,例如WINDOWS VISTA系統中的NAP模塊,就是對訪問權限進行有效管理的重要模塊。該模塊能夠阻止由于非法入侵導致的權限混亂問題快速恢復,進而保證正常的健康用戶能夠順利訪問系統。
4 結語
企業IT網絡信息系統若是想要保證能夠安全穩定的運行,必須從技術層面上實現安全管理控制,為企業運營提供安全穩定的信息環境,進而提升企業的管理效率、工作效率以及經濟效益。
參考文獻:
[1]胡心遠.企業IT系統的信息安全研究[J].計算機光盤軟件與應用,2012(14).
[2]高云偉.企業網絡信息技術平臺安全性與穩定性探析[J].信息系統工程,2014(03).
【中圖分類號】TP393 【文獻標識碼】A 【文章編號】1672-5158(2013)04-0175-01
隨著計算機
網絡技術的迅猛發展,信息安全問題日益突出。所謂信息安全,逐漸成為一個綜合性的多層面的問題,所謂信息安全,是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法系統辨識、控制。計算機網絡信息安全主要面臨兩類威脅,一類是計算機信息泄漏,另一類是數據破壞。由于計算機系統脆弱的安全性,只要用計算機來處理、存儲和傳輸數據就會存在安全隱患。近年來,隨著計算機網絡信息泄漏和信息破壞事件不斷上長的趨勢,計算機信息安全問題已經從單一的技術問題,演變成突出的社會問題。
一、計算機網絡信息安全現狀
計算機網絡信息安全現狀計算機網絡信息安全包括網絡系統的硬、軟件及系統中的數據受到保護,不受偶然或惡意的原因而遭到破壞、更改、泄露,使得系統連續、可靠、正常地運行,網絡服務不中斷。計算機和網絡技術具有的復雜性和多樣性,使得計算機和網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。在Intemet網絡上,因互聯網本身沒有時空和地域的限制,每當有一種新的攻擊手段產生,就能在很短時間內傳遍全世界,這些攻擊手段利用網絡和系統漏洞進行攻擊從而造成計算機系統及網絡癱瘓。蠕蟲、后門、R0nt kits、DOS和Snier是大家熟悉的幾種黑客攻擊手段。這些攻擊手段卻都體現了它們驚人的威力,時至今日,有愈演愈烈之勢。這幾類攻擊手段的新變種,與以前出現的攻擊方法相比,更加智能化,攻擊目標直指互聯網基礎協議和操作系統層次。從web程序的控制程序到內核級R00tlets。
二、計算機網絡信息技術安全所面臨的問題
1、病毒入侵。實際上病毒是一種破壞計算機的一種程序。在開放的網絡中,計算機網絡病毒就會很容易入侵。計算機病毒入侵有很多方式,例如通過電子郵件、附件的形式。有的時候用戶沒有注意到這些電子郵件,無意間下載了郵件,病毒就會進入到計算機系統之中。當一臺計算機中了病毒后,網內的計算機會都會被感染,因此說病毒有著非常驚人的傳播速度,這無疑會帶來很大的經濟損失。著名的計算機網絡病毒有巴基斯坦病毒、CIH病毒、“梅莉莎”病毒、熊貓燒香病毒、Q Q尾巴病毒。
2、網絡入侵。網絡入侵是指計算機網絡被黑客或者其他對計算機網絡信息系統進行非授權訪問的人員,采用各種非法手段侵入的行為。他們往往會對計算機信息系統進行攻擊,并對系統中的信息進行竊取、篡改、刪除,甚至使系統部分或者全部崩潰。在網絡不穩定時,黑客開始利用高水平的計算機和技術進行這種間諜活動。通常情況下,他們來對各種組織機構(包括政府、銀行、公司的等)的內部信息進行非法盜取,進而獲利。網絡入侵方式有口令入侵、特洛伊木馬術、監聽法以及隱藏技術等。很多年以來,黑客的活動都很頻繁,主要是攻擊信息網絡,對政府網站進行攻擊,對銀行等金融機構進行攻擊,這就造成了國家安全利益收到威脅,給人民群眾的財產帶來了損失。網絡信息安全由于黑客的存在,遭到了嚴重的威脅。
3、后門。后門是指在計算機網絡信息系統中人為的設定一些“陷阱”,從而繞過信息安全監管而獲取對程序或系統訪問權限,以達到干擾和破壞計算機信息系統的正常運行的目的。后門一般可分為硬件后門和軟件后門兩種。硬件后門主要指蓄意更改集成電路芯片的內部設計和使用規程的“芯片搗鬼”,以達到破壞計算機網絡信息系統的目的。軟件后門主要是指程序員按特定的條件設計的,并蓄意留在軟件內部的特定源代碼。
4、人為失誤。為了保護好網絡,互聯網本身就設置了很多安全保護,但這些防護由于人們淡薄的安全意識沒有起到有效的作用,安全漏洞時有出現,這就容易造成網絡攻擊。計算機用戶都擁有各自不同的網絡使用權限,由于用戶安全意識不強經常會給不法分子可乘之機,在用戶將密碼泄露或密碼設置過于簡單的情況下,非法用戶很容易侵入網絡系統,對網絡內的數據信息進行使用或篡改、刪除、破壞等。
三、計算機網絡信息技術安全的防范手段
1、殺毒軟件。殺毒軟件也叫防毒軟件、反病毒軟件,目前國內市場上有360、金山毒霸、瑞星等很多殺毒軟件。殺毒軟件兼具監控識別、自動升級以及病毒掃描等功能,它是計算機防御系統的重要組成部分,并且應用非常廣泛。它主要是用于清除計算機中的病毒、特洛伊木馬以及惡意軟件等。它能夠加強計算機中的數據備份,對于敏感的數據與設備實行隔離措施,同時不會輕易打開來歷不明的文件。
2、防火墻技術。防火墻技術是指隔離在本地網絡與外界網絡之間的一道防御系統的總稱。在互聯網上防火墻是一種非常有效的網絡安全模型,通過它可以隔離風險區域與安全區域的連接,同時不會妨礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信量,僅讓安全、核準的信息進入。目前的防火墻主要有包過濾防火墻、防火墻和雙穴主機防火墻三種類型,并在計算機網絡得到了廣泛的應用。
我國科學技術不斷進步,計算機技術發展尤為迅速,并且在我國社會生活中起著極為重要的作用,給我們的現實生活帶來了很多的變化,使得我們與社會的聯系越來越密切。然而,在運用電子計算機網絡技術的過程中,由于計算機網絡的開放性,給計算機用戶帶來很大的安全問題,用戶的個人信息可能會泄漏,甚至會給人們的財產安全造成一定的威脅,所以,一定要對計算機網絡安全問題有所重視,而且要采取相關措施來提高網絡運用的安全性。我國相關部門一定要對計算機網絡安全采取一定的行動,讓網民可以安心上網。本文就是分析了在我國互聯網技術不斷發展的前提下,如何保障人民計算機網絡運用的安全,提出了相關的建議和意見,希望可以減少網絡帶來的風險,更好的促進人們幸福生活。并對漏洞掃描技術進行了一定的分析,充分發揮其對網絡病毒的抵制作用而且還能夠修復相關的漏洞,從而保障網絡安全。
1 新形勢下計算機網絡安全發展現狀
這幾年,我國計算機網絡技術不斷發展,計算機的信息處理能力是越來越強,更好地促進人們生活、學習、工作。我國人們在日常生活中也喜歡通過計算機網絡來完成相關的工作,搜集相關信息。計算機網絡有較強的開放性和便利性,人們可以在網上進行購物、聯系溝通、工作,足不出戶可通曉天下事,人們與世界的聯系越來越密切。計算機網絡技術在給人們帶來便利的同時,也給人們帶來了一定的風險和威脅。比如人們在網上購物或信息搜集時,會填寫一些個人信息,這些個人信息一旦沒有得到很好的保密,泄漏出去就會對人們的隱私安全和財產安全造成一定影響。甚至,有時會有新聞爆出相關人員因為個人信息泄漏,導致存款被盜。因此,當前我國計算機網絡安全問題頻出,這需要我國相關部門引起重視,采取一定措施維護計算機網絡系統安全,使得人們可以安心、放心上網。除此之外,還有計算機網絡病毒給人們上網帶來極大地安全困擾,計算機網絡病毒的入侵會使得電腦程序混亂,造成系統內部癱瘓,有時還會造成人們本身已經準備好的相關數據的丟失,給人們工作、生活帶來麻煩。而且,現在還有一些惡意軟件會給計算機網絡帶來一定的危害,破壞電腦系統內部正常運行,使得計算機內部混亂,無法正常工作,造成計算機系統死機等??傊?我國當前計算機網絡安全問題非常多,這些問題已經嚴重影響了人們的正常生活,還給人們帶來了非常多的負面影響。
2 計算機網絡存在的主要安全問題
第一,計算機內部的每一種安全機制都有一定的適用范圍,而且這種機制在運用的過程中還需要滿足一定的條件,所以計算機內部機制的不完善給用戶帶來了很大的安全隱患。在計算機內部程序當中,防火墻是其中一種比較有效的安全工具,可以給電腦用戶提供一些安全保障。防火墻在計算機網絡系統運作的過程中,它能夠隱蔽計算機內部網絡結構,使電腦網絡結構不會輕易被識別。防火墻在內部網絡與外部網絡的聯系過程中制造了一些障礙,使得外部網絡不能夠輕易地訪問內部網絡。但是,防火墻這一工具的功能還是有限的,它不能夠阻止內部網絡之間的聯系,這樣電腦系統內部網絡之間就可以隨便往來。防火墻對于內部網絡與內部網絡之間的入侵行為是很難發覺的,這樣也會給電腦系統造成破壞。還有就是系統的后門不是電腦內部傳統的工具所能夠考慮到的地方,這也是防火墻所不能夠顧及的一個方面。系統后門容易被入侵,防火墻也很難發覺,并采取相關的措施。
第二,電腦內部安全工具的使用存在一定的缺陷,在電腦用戶的使用過程中,電腦內部的安全工具能不能實現功能最大化,能不能使得安全工具使用效果的最優化,很大程度上受到了人為因素的制約。在這個使用的過程中受到了系統管理者和普通用戶的影響,在使用安全工具的過程中要是沒有使用正當設置,會產生不安全因素。