發布時間:2023-08-20 14:58:27
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡安全筆記樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
【關鍵詞】網絡安全;防范體系;必要性;問題;策略
【中圖分類號】TN915.08【文獻標識碼】A【文章編號】1672-5158(2013)07-0128-01
進入信息時代,計算機及網絡的應用更加廣泛與普遍,隨之而來的是影響網絡安全的因素也在不斷增加,諸如病毒傳播、非法訪問、數據丟失等事件屢見不鮮,網絡安全問題已經成為當今社會所面臨的共同挑戰。為了更好地應對網絡安全問題,有必要構建網絡安全防護體系,采取有效策略檢測、評估和修復安全隱患,為確保網絡安全、維護用戶利益作出積極的努力。
1 網絡安全隱患及構建安全防護體系的必要性
網絡,是指將各個孤立的工作站或計算機主機以物理鏈路連接的,以實現網絡資源共享為目的的數據鏈路。當今時代,人類社會和科學技術迅速發展,以數字信息技術為支撐的網絡技術在不斷更新壯大,網絡已經成為推動當前各個領域發展的重要平臺。而隨著網絡應用的迅速普及,各種信息資源在公共通信網絡上存儲、傳輸,來自各方面的威脅也愈來愈多,甚至被非法竊聽、截取、篡改或毀壞,從而造成不可估量的經濟社會損失。因此,十分有必要構建網絡安全防護體系,以適應當前形勢的發展。大致來說,影響網絡安全的因素主要來自以下幾方面:第一,網絡操作系統。操作系統是網絡的核心,通過操作系統才能真正使用網絡并使之發揮作用。但網絡本身就是一個始終處于更新的技術,網絡操作系統也不可能是完美的,也會不可避免地存在某些安全漏洞。而這些安全漏洞也正是造成網絡安全問題的隱患。第二,軟件、網絡硬盤。硬件、軟件系統是計算機及網絡的物理形態,二者同樣可能存在著一定的缺陷,而在實際的使用過程中,也可能會因操作不當而造成損傷,使數據在存儲和共享的過程中受到破壞。第三,網絡病毒。網絡病毒是一組能夠影響計算機使用的,并能夠自我復制的計算機指令或程序代碼。在網絡系統中,計算機跨越時空限制被鏈接在一起,各種數據信息在這種資源共享和通信中由一處傳播至另一處,而計算機病毒同樣以通過這一方式進行廣泛而迅速的傳播。當前網絡病毒的種類很多,其中比較常見的有木馬、蠕蟲等,它們對網絡用戶的信息安全造成了巨大的威脅。
2 構建網絡安全防護體系的具體措施
針對所存在的網絡安全威脅因素,十分有必要構建一個網絡安全防護體系,以及時檢測網絡操作系統和計算機軟硬件中所存在的隱患和漏洞,發現來自網絡中的病毒及黑客攻擊,維護網絡安全及用戶利益。當前,網絡安全防護體系主要由防護體系、病毒檢測及反應體系所構成。
2.1 防火墻
防火墻是網絡安全防護體系的主體構成。它是指由軟件和硬件兩部分組成的,位于內外網之間、用戶端與公共網之間的保護屏障。防火墻主要通過預先設定好的安全標準對網絡間傳輸的各種數據信息進行安全檢查,對網內外的資源共享和通信活動實施強制控制,以有效攔截病毒程序的訪問,以此來保護計算機網絡的安全。為了提高防火墻的各項功能,應盡量安裝正規公司所發明的防火墻軟件,并及時進行更新。
2.2 病毒檢測
計算機病毒作為一種常見的侵害網絡安全的數據代碼,是對當前網絡安全威脅最大的因素。病毒具有破壞性,復制性和傳染性的典型特征,主要通過附著在其他程序代碼上進行高速傳播,對網絡安全的危害性極大。因此,病毒檢測系統是網絡安全防護體系所必須具備的重要構成。網絡用戶可以通過病毒檢測系統對計算機局部或整體進行查殺,當前的網絡病毒檢測技術主要有特征碼技術、虛擬技術、主動防御技術,等等。
2.3 反應體系
反應體系是網絡安全防護體系的關鍵構成。當網絡用戶借助防火墻和病毒檢測系統發現網絡安全隱患時,需要通過反應體系采取必要的應對舉措。防護反應體系主要包括加密技術、密碼更改、IP 隱藏技術以及病毒查殺。其中,加密技術是指經過加密鑰匙及加密函數轉換將一個信息轉變為無法理解的、毫無意義的密文,以避免被非法入侵者獲取;密碼更改是網絡用戶所應具備的使用習慣,要定期或不定期對郵箱、網站注冊的密碼進行修改;IP隱藏技術是指通過動態IP、IP或者NAT等技術隱藏自己的計算機IP地址,避免其為網絡黑客所抓取和根據IP地址發動攻擊的技術手段。
3 對網絡安全防護體系的全面評估
為了最大限度地降低各種因素對網絡安全的威脅,應對所構建的網絡安全防護體系進行科學全面的評估,并根據防護體系的使用功能、運行狀況進行正確評價并及時改進和完善,為提高網絡安全防護水平提供重要支持。
3.1 網絡安全防護體系的評估方法
網絡安全防護評估指標體系是一個由評估對象、評估標準所組成的標準系統。進行網絡安全評估時,應盡量多地搜集網絡安全的網元信息、流量信息、報警信息、漏洞信息和靜態配置信息,并通過指數法、層次分析法對這些信息的數量和頻度進行分析,得出有效的結論,以評估網絡安全的等級和屬性。
3.2 網絡安全防護體系的評估內容
網絡安全防護體系的評估內容主要包括物理構成、操作系統、網絡系統、應用和安全管理等幾方面,根據評估標準對網絡安全的脆弱性、容災性、威脅性和穩定性進行科學全面的衡量與評判:其中,脆弱性主要衡量包括操作系統、計算機軟硬件、服務配置等網絡載體的安全系數;容災性主要衡量網絡系統自身對安全事件的防范和承載的容納度;威脅性主要衡量網絡安全影響因素對網絡安全態勢的影響;穩定性是是指網絡的流量、數據分布等信息的變化,這是決定網絡系統配置的重要參考。
3.3 網絡安全防護體系的評估反饋
在對網絡安全防護體系進行科學、客觀并具預見性的評估之后,應當出具專門的網絡安全評估報告,使網絡安全狀況更加全面、深刻地展示出來,為網絡安全管理人員尋找解決問題的方法、制定網絡安全解決方案提供了有效的參考數據。
計算機網絡安全特征主要表現在系統的保密性、真實性、完整性、可靠性、可控性等方面。隨著網絡信息技術的發展,計算機網絡安全隱患日益增多,各種網絡犯罪活動也愈加頻繁,網絡信息安全正面臨著巨大的威脅和挑戰。面對這一嚴峻的形勢,網絡安全管理者應當制定科學規范的網絡安全解決方案,構建包括防火墻、病毒檢測和反應體系在內的網絡安全防護體系,對計算機及網絡使用情況進行實時監控,并盡量使計算機軟硬件及網絡配置達到最優化和協調,最大限度地降低網絡安全風險,發揮網絡的巨大作用,維護網絡用戶的合法權益。
參考文獻
[1] 張慧敏,錢亦萍,鄭慶華,等.集成化網絡安全監控平臺的研究與實現[J].通信學報,2003,24(7)
[2] 陳秀真,鄭慶華,管曉宏,林晨光.網絡化系統安全態勢評估的研究[J].西安交通大學學報,2004,38(4)
《報告》顯示,截至2010年12月底,我國網民規模達到4.57億,較2009年底增加7330萬人;我國手機網民規模達3.03億,依然是拉動中國總體網民規模攀升的主要動力,但用戶手機網民增幅較2009年趨緩;最引人注目的是,網絡購物用戶年增長48.6%,是用戶增長最快的應用,預示著更多的經濟活動步入互聯網時代。
網民規模突破4.5億大關上網設備呈多元化發展
《報告》顯示,截至2010年12月底,我國網民規模突破4.5億大關,達到4.57億,較2009年底增加7330萬人;互聯網普及率攀升至34.3%,較2009年提高5.4個百分點。我國手機網民規模達3.03億,較2009年底增加6930萬人。手機網民在總體網民中的比例進一步提高,從2009年末的60.8%提升至66.2%。手機網民較傳統互聯網網民增幅更大,依然構成拉動中國總體網民規模攀升的主要動力。
我國網民上網設備多樣化發展,筆記本電腦上網使用率增速最大。《報告》顯示,2010年,網民使用臺式電腦、手機和筆記本電腦上網的占比分別為78.4%、66.2%和45.7%,與2009年相比,筆記本電腦上網使用率上升最快,增加了15個百分點,手機和臺式電腦上網使用率分別增加5.4%和5%。
商務應用持續“領跑”網絡 網絡娛樂漸入平穩期
當前,娛樂類應用在我國網民網絡應用中呈現下滑勢趨勢,電子商務類互聯網應用則成為我國互聯網經濟發展最快、最迅速的主力軍。
《報告》顯示,網絡購物用戶年增長48.6%,是用戶增長最快的應用,而網上支付和網上銀行也以45.8%和48.2%的年增長率,遠遠超過其他類網絡應用,我國更多的經濟活動正在加速步入互聯網時代。
與電子商務類應用規模和模式的快速增長,網絡娛樂進入相對平穩的發展期。《報告》顯示,2010年大部分娛樂類應用滲透率均已下滑,網絡音樂、網絡游戲和網絡視頻的用戶滲透率分別下降4.2%、2.4%和0.4%,用戶規模增幅相對較小。
中小企業試水“網絡營銷” 基礎網絡安全不容忽視
當前,中小企業紛紛試水“網絡營銷”。《報告》顯示,中小企業互聯網接入比例達92.7%,規模較大的企業互聯網接入比例更是接近100%。43%的中國企業擁有獨立網站或在電子商務平臺建立網店;57.2%的企業利用互聯網與客戶溝通,為客戶提供咨詢服務;中小企業電子商務/網絡營銷應用水平為42.1%,其中電子郵件以21.3%的比例成為“最普遍的互聯網營銷方式”。
另外,我國手機網民規模達3.03億,依然是拉動中國總體網民規模攀升的主要動力,但用戶手機網民增幅較2009年趨緩;最引人注目的是,網絡購物用戶年增長48.6%,是用戶增長最快的應用,預示著更多的經濟活動步入互聯網時代。
《報告》顯示,截至2010年12月底,我國網民規模突破4.5億大關,達到4.57億,較2009年底增加7330萬人;互聯網普及率攀升至34.3%,較2009年提高5.4個百分點。我國手機網民規模達3.03億,較2009年底增加6930萬人。手機網民在總體網民中的比例進一步提高,從2009年末的60.8%提升至66.2%。手機網民較傳統互聯網網民增幅更大,依然構成拉動中國總體網民規模攀升的主要動力。
隨著我國網民上網設備多樣化發展,筆記本電腦上網使用率增速最大。《報告》顯示,2010年,網民使用臺式電腦、手機和筆記本電腦上網的占比分別為78.4%、66.2%和45.7%,與2009年相比,筆記本電腦上網使用率上升最快,增加了15個百分點,手機和臺式電腦上網使用率分別增加5.4%和5%。
《報告》顯示,雖然我國有線(固網)用戶中寬帶普及率已經高達98.3%,但是全國平均互聯網平均連接速度僅為100.9 KB/s,遠低于全球平均連接速度(230.4 KB/s)。目前,國內各省中河南、湖南和河北的平均連接速度排名前三,分別為131.2 KB/s,128.2 KB/s和124.5 KB/s。
當前,娛樂類應用在我國網民網絡應用中呈現下滑勢趨勢,電子商務類互聯網應用則成為我國互聯網經濟發展最快、最迅速的主力軍。
《報告》顯示,網絡購物用戶年增長48.6%,是用戶增長最快的應用,而網上支付和網上銀行也以45.8%和48.2%的年增長率,遠遠超過其他類網絡應用,我國更多的經濟活動正在加速步入互聯網時代。
與電子商務類應用規模和模式的快速增長,網絡娛樂進入相對平穩的發展期。《報告》顯示,2010年大部分娛樂類應用滲透率均已下滑,網絡音樂、網絡游戲和網絡視頻的用戶滲透率分別下降4.2%、2.4%和0.4%,用戶規模增幅相對較小。
當前,中小企業紛紛試水“網絡營銷”。《報告》顯示,中小企業互聯網接入比例達92.7%,規模較大的企業互聯網接入比例更是接近100%。43%的中國企業擁有獨立網站或在電子商務平臺建立網店;57.2%的企業利用互聯網與客戶溝通,為客戶提供咨詢服務;中小企業電子商務/網絡營銷應用水平為42.1%,其中電子郵件以21.3%的比例成為“最普遍的互聯網營銷方式”。
隨著政府對網絡安全問題集中治理力度的不斷加大,絡安全問題有了明顯的改善,但形勢依舊嚴峻,問題仍不容忽視。《報告》顯示,2010年,遇到過病毒或木馬攻擊的網民比例為45.8%;有過賬號或密碼被盜經歷的網民占21.8%。
關鍵詞:互聯網;網絡安全;創新
1 我國互聯網的發展狀況
目前,我國約有84.3萬個網站,我國網民人數已達1.37億。我國互聯網的特點如下:第一,新聞網站繁榮,網民言論自由,廣大老百姓熱衷通過互聯網表達觀點。第二,網站已經不是唯一的或最重要的網上信息傳播的通道或載體,新的信息載體點越來越多,朝著個人傳播能力增強的方向發展。第三,網絡在重合,在無限擴展到其他傳播方式,當前與電話、電視網絡疊加到一起,技術上與其他傳播方式的融合已經實現了。第四,人們在網上提供信息和獲取信息的方式在發生改變。以往主要通過門戶網站,現在趨勢為門戶網站搜索化,搜索網站門戶化,搜索信息個性化。
2 網絡安全面臨的新威脅
2.1 流氓軟件
“流氓軟件”沒有明確的定義。通常認為,是一種非正規軟件,它具有間諜、行為記錄、瀏覽器劫持、搜索引擎劫持、自動廣告、自動撥號、盜竊密碼等軟件功能。[1]它的主要表現形式如下:強行或秘密進入用戶電腦,自動安裝,不進行安裝提示,無法刪除和卸載,開機自啟動,占用系統資源;強行彈出廣告,以獲取商業利益,干擾用戶工作;監視用戶上網行為,記錄用戶上網習慣,或竊取用戶賬號密碼等隱私信息;強行劫持用戶瀏覽器或搜索引擎,妨害用戶瀏覽正常的網頁。
2.2 個人電子信息資料泄露
據統計,每年都有大量的個人信息被盜竊或濫用,個人信息失竊以及由此引發的相關欺詐活動,給消費者造成大量的經濟損失,使商業和金融機構的損失也非常慘重。[2]其中,政府、金融、醫療、教育、保險、證券、通信、航空、旅游等關鍵基礎設施和重要信息系統部門是信息泄露的多發區。筆記本電腦、移動硬盤、U盤等移動設備丟失或被盜,黑客入侵存有個人信息的公共服務系統或商務系統數據庫成為個人信息泄露的主要途徑。
2.3 網絡犯罪
網絡犯罪日益猖獗,其中詐騙(網上購物、QQ好友、虛假信息),盜竊(虛假銀行、證券交易),賭博(、)等犯罪行為已經成為主要網絡犯罪形式。網絡犯罪的特征:第一,違法犯罪行為人所在地、發生地、結果地相分離(跨地域性);第二,高技術性;第三,違法犯罪成本低;第四,證據易滅失、難提取,偵破難度大。
3 我國網絡安全工作現狀
近年來,隨著信息技術發展和我國信息化程度的不斷提高,我國在網絡安全工作方面進行了全面部署,取得了一系列的重要進展,但與發達國家相比,現階段在國家網絡安全保障等方面存在較大差距,亟待探索新的網絡安全管控模式。[3]目前,我國網絡安全中主要存在的問題:第一,我國網絡安全防護工作起步晚、基礎差。我國的網絡安全防護工作尚處于起步階段,基礎薄弱,水平不高,網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。第二,我國網絡用戶的安全防范意識非常淡薄。第三,我國網絡安全監管工作有待進一步深化。國家相關部門雖然制定了很多信息安全產業規劃和措施,但是在網絡安全的具體實施上還沒有完全落到實處,監管措施不到位,監管體系尚待完善,網絡安全保障制度不健全、責任不落實、管理不到位。因此,還需要有關部門加強網絡安全工作的監督。第四,我國網絡安全關鍵技術的研發能力不足。第五,我國網絡安全的立法存在缺位。
4 加強網絡安全的創新措施
4.1 不斷創新網絡安全防范技術
未來網絡安全技術的發展方向將會朝著多個方面預防的方向發展,這就要求我國不斷開展網絡安全的技術研發和創新,全面構建安全保障技術體系,為網絡安全監管提供必要的技術能力和手段,努力用技術業務創新提高網絡安全防范能力。[4]
4.2 盡快建立和完善與網絡信息安全相關的規章制度
目前,我國網絡安全的法律法規還處在嚴重不足和起步階段,難以適應網絡發展的需要,現有的政策法規太籠統、缺乏操作性。針對網絡安全的薄弱環節,政府監管部門應不斷完善安全審計、風險評估等有關規章制度。
4.3 互聯網數據中心和聯網單位要做出積極的防護舉措
互聯網數據中心和聯網單位應該做出以下防護舉措:記錄并留存用戶注冊信息;在公共信息服務中發現、停止傳輸違法信息,并保留相關記錄;聯網使用單位使用內部網絡地址與互聯網網絡地址轉換方式向用戶提供接入服務的,能夠記錄并留存用戶使用的互聯網網絡地址和內部網絡地址對應關系。
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等諸多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施。因此,只有綜合采取多種防范措施,制定嚴格的保密政策和明晰的安全策略,才能完好、實時地保證信息的機密性、完整性和可用性,為網絡提供強大的安全保證。
[參考文獻]
[1]謝玉嬌.網絡安全防范體系及設計原則[J].黑龍江科技信息,2010(32).
[2]周媛.淺談網絡安全防范[J].才智.2010(10).
一、數據安全保護應用
在汽車、火車上使用筆記本時,由于振動很容易讓硬盤出現壞道,久而久之,不僅損傷硬盤,還會造成硬盤數據丟失,而東芝筆記本內置了三維硬盤保護技術,其在筆記本內設置了三維加速度感應器,配合東芝筆記本內置的硬盤保護程序,可以靈敏地自動感知機器全方位的微小震動,在機身跌落或受撞擊時,可以快速鎖死磁頭(如圖1),從而保護硬盤盤片,防止數據信息的丟失,不過使用時需要打開東芝硬盤保護程序,并將保護狀態設置為“開”(如圖2),同時根據需要設置好安全檢測級別即可。
數據安全或許是商務用戶最關系的,針對網絡病毒、非法入侵等問題,東芝筆記本建立了一套立體的數據安全管理體系,譬如具備了BIOS級別、Windows層面及硬盤密碼等多層密碼檢驗功能,用戶可以進入BIOS設置中,或者在Windows下進入“東芝硬件設置”,從而設置系統啟動密碼或硬盤訪問權限(如圖3),此舉還避免了進入BIOS設置的繁瑣過程。如果需要更高級別的安全措施,還可以選擇內置指紋識別系統的東芝商務筆記本,其嵌入式生物掃描儀配合內置的軟件,讓商務用戶徹底擺脫非法入侵的擔憂。
為了徹底保護硬盤數據,東芝筆記本還內置了硬盤鎖功能,但使用時需在BIOS中,設定硬盤訪問權限,該功能不僅有效地保護硬盤數據,確保個人和商務信息不會泄露,而且還能使用戶從容自主地控制硬盤權限。如果筆記本內置了指紋系統,利用“我的保險箱”可以對重要文件進行加密(如圖4),即使盜取者拔下硬盤裝載至其他電腦上,如果沒指紋鑰匙,保險箱內的數據依舊無法被讀取。此外,東芝還支持Disable Bit防病毒功能,配合筆記本上的處理器,能夠區分代碼的比特值來阻止緩沖區溢出,從而抵御病毒和蠕蟲對系統的威脅。
二、網絡診斷管理應用
東芝筆記本內置了ConfigFree網絡管理軟件,它采用了最酷的Flash技術,用戶只要開啟無線網卡開關,用戶使用向導式無線連接設置,軟件就會自動探測到周圍的無線網絡接入點,此舉可以提高無線網絡信號的接收力和穿透力,使用時進入“無線LAN”界面,然后會出現一個模仿雷達的操作界面(如圖5),此時會顯示無線網絡接入點的信號強弱,用戶只要選中想要接入的網絡,按下鼠標后拖至WIFI的中心電腦后放開,即可完成無線網絡的連接,用戶還可以利用其內置的安全特性,以保證無線網絡安全可靠。
東芝ConfigFree具有網絡故障診斷能力,并為用戶提供了智能解決方案。如果發現網絡不正常,此時可以進入“網絡醫生”界面,ConfigFree會根據用戶已安裝的網絡硬件,自動探測用戶網絡可能存在的軟硬問題,譬如網絡設置或硬件故障帶來的網絡連接故障,如果發現有問題,會以黃色感嘆號提示用戶(如圖6),用戶點出現問題的“提示圖標”后,會彈出一個“所選部分的問題點”界面,并采取一步一步的問題對策,提示用戶如何解決實際問題,對于大多數用戶而言,這種智能的網絡故障解決方案非常有幫助。
對于商務用戶而言,有時需要在不同的場合使用筆記本上網,譬如除了在家里上網外,還需要在總公司與分公司之間往返辦公,偶爾還可能在咖啡館進行無線上網,而ConfigFree可以根據不同的網絡環境,讓用戶輕松點一下鼠標,就可以在10秒內迅速完成不同的網絡切換,大大解決了配置時間。方法是進入“配置文件”界面,在“配置文件設置”中點“添加”按鈕,然后設置好網絡參數,將自己經常使用的幾個網絡環境都添加到列表,一旦從一個網絡環境到另一網絡環境使用,只需點“切換”按鈕即可快速切換(如圖7)。
三、電池省電程序應用
與惠普、聯想、戴爾等筆記本一樣,東芝筆記本內置了省電程序,用戶可以在“東芝控制臺”下也可以找到“東芝省電”圖標(如圖8),運行該程序后進入東芝省電屬性設置中,然后可以選擇節能方案,譬如在使用電池供電的情況下,在“電源使用方式”中可以選擇電池的供電模式,其中“High Power”表示高電力模式,“Normal”表示正常供電模式,而 “Long Life”則是最長供電時間模式,為了獲得更長的續航時間,建議選擇 “Long Life”供電方式(如圖9)。
近年來,電力企業不斷發展,特別是水電企業,改變了以往一直以來封閉式的網絡結構和業務系統,利用信息網絡逐漸跟外界接口聯系,許多企業都建立了自己的網絡系統,如企業門戶、辦公自動化系統、財務系統、營銷系統、生產管理系統等,極大提高了辦公效率,實現數據實時傳輸及共享。信息化的發展、網絡的普及,使辦公地點不緊緊局限于辦公室,遠程移動辦公成為了可能,辦公效率也大大提高,突破了時間及空間的限制,但信息化高速發展的同時也給我們帶來了嚴重的網絡安全問題。對此國家也非常關注,特意成立中央網絡安全和信息化領導小組,再次體現出過對保障網絡安全、維護國家利益、推動信息化發展的決心。由此可見,網絡安全已經到了不可小視,必須深入探討研究的地步。
2廣蓄電廠信息網絡安全建設
2.1網絡安全區域劃分
劃分安全區域是構建企業信息網絡安全的基礎,提高抗擊風險能力,提高可靠性和可維護性。廣蓄電廠內網劃分為網絡核心區、外聯接入區、IDC業務區、終端接入區。網絡核心區域是整個電廠信息網絡安全的核心,它主要負責全網信息數據的傳輸及交換、不同區域的邊界防護。這個區域一般包括核心交換機、核心路由器、防火墻及安全防護設備等。IDC業務區主要是各業務應用服務器設備所在區域,如企業門戶、OA系統、生產管理系統等各信息系統服務器。終端接入區即為終端設備(如:臺式機、筆記本電腦、打印機等)連入內網區域。
2.2二次安防體系建設
根據國家電監管委員會令第5號《電力二次系統安全防護規定》、34號《關于印發<電力二次系統安全防護總體方案>》的相關要求,電廠堅持按照二次安全防護體系原則建設:
(1)安全分區:根據安全等級的劃分,將廣蓄電廠網絡劃分為生產控制大區和管理信息大區,其中生產控制大區又劃分為實時控制Ⅰ區和非實時控制Ⅱ區。
(2)網絡專用:電力調度數據網在專用通道上使用獨立的網絡設備組網,采用SDH/PDH不同通道等方式跟調度、各電廠的生產業務相連接,在物理層面上與其他數據網及外部公共信息網安全隔離。對電廠的IP地址進行調整和統一互聯網出口,將生活區網絡和辦公網絡分離,加強對網絡的統一管理和監控。
(3)橫向隔離:在生產控制大區與管理信息大區之間部署經國家指定部門檢測認證的電力專用正反向安全隔離裝置。正向安全隔離裝置采用非網絡方式的單向數據傳輸,反向安全隔離裝置接收管理信息大區發向生產控制大區的數據,采用簽名認證、內容過濾等檢查處理,提高系統安全防護能力。
(4)縱向認證:廣蓄電廠生產控制大區與調度數據網的縱向連接進行了安全防護硬件的部署,包括縱向加密裝置、縱向防火墻等,并配置了相應的安全策略,禁用了高風險的網絡服務,實現雙向身份認證、數據加密和訪問控制。
2.3安全防護措施
(1)防火墻
在外聯接入區域同內網網絡之間設置了防火墻設備,并對防火墻制定了安全策略,對一些不安全的端口和協議進行限制。通過防火墻過濾進出網絡的數據,對內網的訪問行為進行控制和阻斷,禁止外部用戶進入內網網絡,訪問內部機器,使所有的服務器、工作站及網絡設備都在防火墻的保護下。
(2)口令加密和訪問控制
電廠對所有用戶終端采用準入控制技術,每個用戶都以實名注冊,需通過部門賬號申請獲得IP地址才能上局域網,并通過PKI系統對用戶訪問企業門戶、OA系統等業務系統進行訪問控制管理。在核心交換機中對重要業務部門劃分單獨的虛擬子網(VLAN),并使其在局域網內隔離,限制其他VLAN成員訪問,確保信息的保密安全。對電廠內部的網絡設備交換機、防火墻等,采用專機專用配置,并賦予用戶一定的訪問存取權限、口令等安全保密措施,建立嚴格的網絡安全日志和審查系統,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(3)上網行為管理
上網行為管理設備直接串行部署在內網邊界區域,并制定了精細化的活動審計策略、應用軟件監控管理策略,監控及記錄用戶非法操作信息,實時掌握互聯網使用情況,防患于未然,通過上網行為管理設備進行互聯網網關控制。
(4)防病毒系統
在電廠的局域網內部署了Symantec防病毒系統。Symantec系統具有跨平臺的技術及強大功能,系統中心是中央管理控制臺。通過該管理控制臺集中管理運行SymantecAntiVirus企業版的服務器和客戶端;可以啟動和調度掃描,以及設置實時防護,從而建立并實施病毒防護策略,管理病毒定義文件的更新,控制活動病毒,管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。
(5)建立虛擬專網(VPN)系統
為保證網絡的安全,實現移動辦公,在核心網絡邊界區域部署了1臺VPN設備,并設置訪問條件和身份認證授權策略,如通過PKI系統進行身份認證和訪問授權后才能訪問電廠企業門戶系統、OA系統等。使用虛擬專網(VPN)系統,不僅滿足了電廠用戶遠程辦公需求,而且保證了電廠信息網絡及信息系統數據安全傳輸。
3信息網絡安全管理策略
俗話說:“三分技術,七分管理”,這在信息網絡安全管理方面也是適用的。事實上95%以上的計算機、網絡受到的攻擊事件和病毒侵害都是由于管理不善造成的。廣州蓄能水電廠作為國內一流的水力發電廠,頭頂上始終懸著一把信息網絡安全的達摩克利斯之劍。在推進信息化道路上,借鑒國內外企業對信息網絡安全管理的經驗,形成屬于自身發展的網絡安全管理策略。(1)建立完善的網絡信息安全管理制度。在信息網絡安全方面電廠成立專門的信息化安全小組,制定完善的信息安全規章制度,規范整個電廠對網絡及信息系統的使用。(2)建立完備的網絡與信息安全應急預案。電廠建立了一套應急預案體系,目的就是在發生緊急情況時,指導電廠的值班人員對突發事件及時響應并解決問題。(3)定期進行安全風險評估及加固。電廠每年進行安全風險評估分析,及時了解和掌握整個網絡的安全現狀,通過安全加固使得網絡安全系統更加健全。
4結束語
【關鍵詞】網絡安全;現狀分析;改進措施
互聯網技術的高速發展改變了人們的生產與生活,促進了經濟與社會發展進步,在取得顯著成效的同時,信息技術安全是不容忽視的重要問題。不法分子甚至國外敵對勢力、國家也雇傭網絡黑客非法獲取我國相關經濟、社會乃至軍事等方面的秘密信息,實現其不可告人的目的。回顧我國當前的互聯網發展,和發達國家相比還有較大差距,雖然也重視了網絡安全技術的開發與運用,但是受制于人才以及設備、技術等方面的因素,安全防護工作難以達到令人滿意的程度。當前,互聯網技術與設備更新換代的速度不斷加快,病毒攻擊防不勝防,國內互聯網安全工作現狀不盡如人意。本文主要針對當前常用的網絡攻擊技術以及網絡安全工作進行分析研究。
1.目前常見網絡攻擊技術
在網絡技術中,攻擊方式具有多樣化特征,并且網絡攻擊越來越自動化以及低技術門檻,下面簡要闡述常見的網絡攻擊技術。
1.1 系統自身漏洞成為了攻擊薄弱環節。任何一種運用軟件以及操作系統,在邏輯設計過程中都會或多或少地存在著缺陷,這些系統自身存在的漏洞,極有可能成為間諜攻擊的切入口,對計算機實施遠程操控,將設備中存儲的重要信息非法竊走。運用這一漏洞進行攻擊的主要途徑就是對口令實施攻擊,破譯口令內容進入計算機,或者繞開口令的驗證程序直接進入計算機,控制計算機并竊取機密信息。為了彌補系統開發的漏洞,設計方通常會定期補丁程序對系統進行維護,提高安全系數,但是在實際工作中,部分用戶沒有能夠及時對補丁程序進行運用,導致計算機系統漏洞暴露出來,給一些不法人員有可控之機,當前的網絡掃描技術就能夠對針對的計算機以及相關軟件缺陷漏洞進行尋找。
1.2 口令過于簡單易受攻擊。在用戶系統與網絡系統安全設置中,密碼是較為常用的方式之一,例如開機密碼、用戶名密碼以及郵箱密碼等,部分用戶在密碼設置上面沒有引起重視,在開機與系統密碼設置中未進行設置,一旦不法分子建立一個空連接,能夠很容易遠程侵入計算機,獲取相關信息資料,安全缺少了一道屏障。也有的用戶雖然設置了密碼,但是較為簡單,通常是由幾個數字構成,難度過低,破譯的可能性較大。研究顯示,字母混合數字構成的綜合性密碼能夠加大破解的難度,因此在密碼設置上面盡量避免單純的簡單數字,以提高密碼破解難度,提高系統與計算機安全系數。
1.3 木馬程序里應外合竊取信息。木馬屬于一種遠程控制軟件,較為隱蔽,木馬程序一般由木馬和控守中心共同組成,通常還會增設跳板以對付安全人員的追蹤。不法人員通過跳板實現木馬與控守中心的聯系,實現對目標計算機的控制,輕松竊取計算機密碼、目錄路徑以及驅動器映射等,甚至個人通信信息也會被輕易竊取。對于裝設視頻和音頻設備的計算機而言,不法分子還能夠通過木馬程序輕松獲得相關語音和視頻信息內容,個人私密一覽無遺,各種機密信息如同曝光一般。部分使用者對于木馬程序危害性認識不足,其能夠借助于多種形式或者載體潛入計算機,網頁瀏覽、郵件收發等環節容易被木馬潛入。有的木馬會采取偽裝和隱藏的方式存在于計算機之中,這些運用隱藏技術的木馬就能夠這樣輕松通過防火墻和操守中心進行通信,將各種信息輕松竊取。據權威部門調查顯示,現在每年都有十幾萬臺境外計算機通過木馬程序對我國的計算機進行網絡攻擊,年受攻擊計算機達到百萬臺以上,大量信息被不法竊取,造成了不可估量的損失,甚至危害國家安全。
1.4 網絡嗅探設備竊取信息。網絡嗅探設備俗稱網絡監聽,借助于計算機網絡共享通訊途徑實施數據竊取,主要通過兩種方式實現不法目標,第一種方式就是在網絡連接設備以及其控制電腦上安裝偵聽工具軟件,例如路由器等,實現監聽目的;另一種是安設在個人電腦上對不安全的局域網實現偵聽。不法分子一旦竊取了主機管理員權限,就能夠輕松竊取全部局域網之內的相關數據,輕松入侵局域網內的各臺設備。網絡監聽額軟件的功能極其強大,賬戶密碼、儲存信息甚至聊天記錄等,都可以輕松竊取。
1.5 “食肉動物”軟件竊取電子郵件信息。美國情報部門成功開發研制出一種名為“食肉動物”的軟件,其工作原理是在發件人發出郵件至收件人收到郵件之間的環節,進行郵件內容的竊取,是隱藏在郵件服務器中的一種極其強大的監視系統,對于經服務器收發的全部郵件進行監控,竊取其中的秘密信息或者有價值內容,是美國情報部門搜集電子郵件信息的重要途徑,危害性極大,一旦通過電子郵件進行相關秘密信息的傳送,泄密的幾率極大。
1.6 “擺渡”病毒悄然竊取機密信息。“擺渡”病毒是美國情報部門與微軟公司勾結的產物,屬于一種系統的故意漏洞利用病毒,一般借助于移動存儲設備進行信息的竊取。一旦移動存儲設備感染這種病毒之后,與計算機進行連接時候,其自動按照設定的竊密程序將相關的秘密文件復制隱藏域移動存儲設備,同一個移動存儲設備一旦與上網計算機進行連接的時候,其藏的機密文件就能夠被“擺渡”病毒移到這臺計算機之中,不法分子能夠通過遠程操控的方式竊取該機密文件。
1.7 通過無線互聯功能竊取秘密信息。現在無線上網功能的計算機以及級無線鼠標、鍵盤等設備,運用開放信號進行信息傳輸,保密性較差,能夠被具有相同功能的設備獲取器信息,加上了加密技術,一旦被破解之后,泄密也在所難免。例如現在許多計算機具有自動尋址與聯網的功能,不需要外加模塊就能夠與同功能的筆記本電腦實現無線互聯,一旦這臺筆記本極其處理相關的秘密信息,很容易被其他計算機竊取機密。這樣的設備一旦被作為終端接入網絡之中,整個網絡的信息安全性都得不到保障,在被其他計算機聯通的狀態下,機密信息能夠被輕松獲取。
2.網絡攻擊技術對網絡安全的影響
在信息網絡發展日新月異的背景下,完全杜絕因網絡攻擊泄密現象不太現實,唯有最大限度地采取防護措施,減少此類現象發生,最為重要的是對網絡攻擊技術進行分析研究,找準突破口,為網絡安全增加保險系數。
2.1 網絡攻擊技術具有雙面性。互聯網具有開放與互聯的特點,不可避免地產生跨國攻擊獲取機密現象,在積極防御相關網絡攻擊的同時,促進了自身網絡安全技術的研究,只有不斷提升和改進現有的防護軟件與設備,才能夠在攻擊與反攻擊這場網絡不見硝煙的戰爭中打贏,對于提高計算機技術自主知識產權具有積極影響。
2.2 網絡攻擊加速了技術發展。正式由于網絡攻擊行為與技術的存在,并且越來越厲害,才對計算機生產商以及網絡技術研究單位產生了強勁的動力,促使他們與時俱進地改進自己的產品,提高設備以及網絡的安全性能。網絡攻擊技術的發展帶來了反網絡攻擊技術的同步發展,造就了計算機安全產業,對于整個互聯網技術的發展與進步具有積極意義。不法分子借助于網絡攻擊技術尋找網絡與設備的薄弱環節進行攻擊,獲取機密信息,管理防御人員也可以從網絡攻擊行為中判定系統存在的漏洞環節,予以針對性升級改進,進一步提高網絡安全性能,在不斷的攻擊、防御和改進循環中提升網絡安全系數。
2.3 網絡攻擊技術能夠服務國家安全。在信息化程度不斷提高的背景下,網絡安全對于國家經濟發展意義重大,對于整個國家經濟與國防安全具有不可估量的重要性。在未來的信息戰之中,我國應當強化對網絡攻擊行為的防御力度,同時也要能夠研制和設計出反攻擊技術手段,提高預警、防衛以及反擊的能力,提高信息防御以及恢復能力。
3.提高網絡攻擊防衛能力的措施
3.1 加大軟件研發力度。針對當前出現的各種網絡攻擊行為,國家安全部門以及信息研發機構要強化軟件研發力度,變被動為主動,開發研制各種防御性軟件技術。同時,要立足于網絡攻擊的環節、特點,開展針對性的研究工作,提高網絡防御研究的針對性,還要具有研究的前瞻性,針對可能出現攻擊的薄弱環節進行超前研究,防患于未然。
3.2 完善網絡安全管理。要進一步完善計算機與網絡管理的制度,強化主動預防,凡是計算機均要嚴格按照物理隔絕以及網絡防御要求落實到位。凡是補丁程序要及時安裝,提高計算機系統的防御水平,要借助于網絡安全管理制度的落實來提高安全管理水平。
3.3 強化人員技術培訓。要對相關計算機操作使用崗位的人員進行防網絡攻擊專門業務培訓,對于不同類型、級別的計算機防網絡攻擊工作,實施相應的培訓,同時要開展防御知識普及工作,提高全民防網絡攻擊意識與能力水平。
綜上所述,在當前信息化社會背景下,網絡攻擊行為不可避免,國內相關機構與群眾應當提高防御意識,掌握基本技術與手段,保護好信息安全,將因信息失密造成的損失降到最低。
參考文獻
[1]黃慧,陳閎中.針對黑客攻擊的預防措施[J].計算機安全,2005(09).
[2]王麗輝.網絡安全及相關技術[J].吉林農業科技學院學報,2005(02).
[3]何萬敏.網絡信息安全與防范技術[J].甘肅農業,2005(01).
[4]張先紅,編著.數字簽名原理及技術[M].機械工業出版社,2004.
以采用的技術手段和防護措施。
關鍵詞:局域網;安全;防護措施
中圖分類號:TP 文獻標識碼:A 文章編號:1671—7597(2012)0120184-01
隨著科技的不斷進步和發展,信息化已經存在于社會發展中的各個角
落,計算機網絡在提高數據傳輸率,實現數據集中和數據共享等方面發揮
著極其重要的作用,已經成為我們工作、學習和生活密不可分的工具。但
隨著網絡用戶的不斷增加和網絡結構的日漸復雜,網絡安全問題也就顯得
尤為重要,尤其是局域網安全問題已經成為各行業迫在眉睫要解決的問
題。
1 局域網安全形勢分析
互聯網的迅速普及,使廣域網應用和局域網應用成為企事業發展中不
可缺少的一部分。然而,在感受網絡所帶來的便利的同時,也面臨著各種
各樣的進攻和威脅:機密泄漏、數據丟失、網絡濫用、身份冒用、非法入
侵等等。目前在廣域網中已有了相對完善的安全防御體系,防火墻、防毒
墻、IDS等重要的安全設施大致集中在機房或網絡入口處,在這些設備的
嚴密監控下,來自網絡外部的安全威脅大大減小。但在局域網中,雖然有
些企業也建立了相應的局域網絡安全系統,并制定了相應的網絡安全使用
制度,但在實際使用中,并未起到較好的效果。由于用戶對操作系統安全
使用策略的配置及各種技術選項意義不明確,各種安全工具得不到正確的
使用,導致系統漏洞、違規軟件、病毒、惡意代碼入侵等現象層出不窮。
針對來自網絡內部的計算機客戶端缺乏必要和有效的安全管理措施,導致
未經授權的網絡設備或用戶就可能通過局域網的網絡設備自動進入網絡,
形成極大的安全隱患。目前局域網的安全隱患正是來自網絡系統本身存在
的安全弱點,而系統在使用和管理過程的疏漏則增加了安全問題的嚴重程
度,局域網安全形勢十分嚴峻,不可忽視。
2 局域網安全隱患分析
由于局域網的結構和采用的技術比較簡單,僅包括少數網絡設備,安
全措施相對較少,這給病毒傳播提供了有效的通道,為數據信息的安全埋
下了隱患。通常局域網的安全威脅有以下幾類:
2.1 漏洞和黑客攻擊
由于局域網的主要功能就是資源共享,而正是由于共享資源的“數據
開放性”,導致系統存在很多漏洞,黑客就是利用了這些系統漏洞對系統
進行攻擊,對數據信息進行篡改和刪除。最常用的手段就是冒充一些真正
的網站來騙取用戶的敏感數據,如用戶名、口令、賬號ID或信用卡詳細信
息等。由于用戶缺乏數據備份和系統管理等方面的安全意識和安全手段,
因此經常會造成數據丟失、信息泄漏等問題。
2.2 病毒威脅
由于網絡用戶不及時安裝防病毒軟件和操作系統補丁,或未及時更新
防病毒軟件的病毒庫而造成計算機病毒的入侵。病毒和惡意代碼攻擊電腦
后,輕則使系統工作效率下降,重則造成系統死機或癱瘓,使部分文件或
全部數據丟失,甚至造成計算機主板等硬件設備損壞,嚴重影響正常工
作。
2.3 用戶安全意識不強
許多用戶使用移動存儲設備來進行數據傳遞,經常將外部數據不經
過必要的安全檢查就通過移動存儲設備帶入內部局域網,同時將內部數
據帶出局域網,這給木馬、蠕蟲等病毒的進入提供了方便,同時也增加
了數據泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在
內外網之間平凡切換使用,許多用戶將在Internet網上使用過的筆記本
電腦在未經許可的情況下擅自接入內部局域網絡使用,造成病毒的傳入
和信息的泄密。
3 局域網安全控制分析
3.1 人員網絡安全培訓
安全是個系統,它是一個匯集了硬件、軟件、網絡、人員以及他們之
間互相關系和接口的系統。從行業和組織的業務角度看,主要涉及管理、
技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個
環節落實到每個層次上。而進行這種具體操作的是人,人正是網絡安全中
最薄弱的環節,然而這個環節的加固又是見效最快的。所以必須加強對使
用網絡的人員的管理,注意管理方式和實現方法,從而加強工作人員的安
全培訓,增強內部人員的安全防范意識,提高內部管理人員整體素質。對
于局域網內部人員可以從以下幾方面進行培訓:
1)加強安全意識培訓,讓每個工作人員明白數據信息安全的重要
性,理解保證數據信息安全是所有計算機使用者共同的責任。
2)加強安全知識培訓,使每個計算機使用者掌握一定的安全知識,
至少能夠掌握如何備份本地數據,保證本地數據信息的安全可靠。
3)加強網絡知識培訓,通過培訓掌握一定的網絡知識,能夠掌握
IP地址的配置、數據的共享等網絡基本知識,樹立良好的計算機使用習
慣。
3.2 局域網安全技術和防控措施
安全管理是指保護網絡用戶資源與設各以及網絡管理系統本身不被未
經授權的用戶訪問。目前網絡管理工作最重要的部分是客戶端安全,對網
絡安全運行威脅最大的也是客戶端安全。只有解決網絡內部的安全問題,
才可以排除網絡中最大的安全隱患,對于內部網絡終端安全管理主要從終
端狀態、行為、事件三個方面進行防御。利用現有的安全管理軟件加強對
以上三個方面的管理是當前解決局域網安全問題的關鍵所在。
1)控制用戶訪問。入網訪問控制是保證網絡資源不被非法使用,是
網絡安全防范和保護的主要策略,它為網絡訪問提供了第一層訪問控制。
它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制用戶入網的時間
和在哪臺工作站入網。用戶被賦予一定的權限,網絡控制用戶可以訪問的
目錄、文件和其他資源,指定用戶對這些文件、目錄、設備能夠執行的操
作。啟用密碼策略,強制計算機用戶設置符合安全要求的密碼,包括設置
口令鎖定服務器控制臺,以防止非法用戶修改。設定服務器登錄時間限
制、檢測非法訪問。刪除重要信息或破壞數據,提高系統安全行,對密碼
不符合要求的計算機在多次警告后阻斷其連網。
2)采用防火墻技術。防火墻可以是硬件也可以是軟件,與網絡的其
余部分隔開,使內部網絡與互聯網或是其他外部網絡之間相互隔離,用來
保護內網資源免遭非法使用者的侵入。它能夠執行安全管制措施,記錄所
有可疑事件。在防火墻上可以通過設置訪問控制列表來限制網絡互訪,它
實際上是一個在兩個網絡之間實行控制策略的系統,是建立在現代通信網
絡技術和信息安全技術基礎上的應用性安全技術。
3)嚴控IP地址的使用。在網絡中啟動IP地址綁定,采用IP地址與
MCA地址唯一對應、網絡沒有空閑IP地址的策略。由于采用了無空閑IP地
址策略,可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局
域網絡造成病毒傳播和數據泄密。
4)加強數據保護。對重要數據和文件采取必要的權限設置,防止用
戶對目錄和文件的誤刪除和修改,防止用戶查看目錄和文件、顯示向某個
文件寫數據、拷貝、刪除目錄或文件、執行文件、隱含文件、共享、系統
屬性等。
3.3 病毒防治
病毒的侵入必將對系統資源構成威脅,影響系統的正常運行。特別是
通過網絡傳播的計算機病毒,能在很短的時間內使整個計算機網絡處于癱
瘓狀態,從而造成巨大的損失。因此,防止病毒的侵入要比發現和消除病
毒更重要。防毒的重點是控制病毒的傳染,防毒的關鍵是對病毒行為的判
斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。
防病毒體系是建立在每個局域網的防病毒系統上的,主要從以下幾個方面
制定有針對性的防病毒策略:
1)增加安全意識和安全知識,對工作人員定期培訓。首先明確病毒
的危害,文件共享的時候盡量控制權限和增加密碼,對來歷不明的文件運
行前進行查殺等,都可以很好地防止病毒在網絡中的傳播。這些措施對杜
絕病毒能夠起到很重要的作用。
2)謹慎使用移動存儲設備。在使用移動存儲設備之前進行必要的病
毒掃描和查殺,盡可能的避免病毒的入侵,堅決把病毒拒絕在外。
3)挑選網絡版殺毒軟件。一般而言,查殺是否徹底,界面是否友
好、方便,能否實現遠程控制、集中管理是決定一個網絡殺毒軟件是否有
效的三大要素。目前很多殺毒軟件都做的都相當不錯,能夠熟練掌握殺毒
軟件使用,及時升級殺毒軟件病毒庫,有效使用殺毒軟件是防毒殺毒的關
鍵。
通過以上策略的設置,能夠及時發現網絡運行中存在的問題,快速有
效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點,及時、準確的切斷
安全事件發生點和網絡。
局域網安全控制與病毒防治是一項長期而艱巨的任務,需要不斷的探
索。隨著網絡應用的發展,計算機病毒的存在形式及傳播途徑日趨多樣
化,安全問題日益復雜化,網絡安全建設已不再像單臺計算機防護那樣簡
單。計算機網絡安全需要建立多層次的、立體的防護體系,要具備完善的
管理系統來設置和維護對安全的防護策略。
參考文獻:
[1]鄧亞平,計算機網絡安全[M].北京:人民郵電出版社,2004.
[2]王秀和、楊明,計算機網絡安全技術淺析[J].中國教育技術設備,
