发布时间:2023-10-10 17:14:31
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇信息安全防护方法,期待它们能激发您的灵感。
关键词:信息安全;防护方法;网络技术
前言
互联网改变了人们的生活,缩短了人和人之间的距离,实现了信息共享,但在带来这种享受的同时,也深受网络安全问题的影响,常常会出现数据丢失、黑客侵袭、病毒等问题,严重影响人们使用计算机的效率。各种安全防护技术也在不断出现,但黑客仍然屡禁不止,对社会造成了严重的危害,针对这些问题,如何确保网络信息的安全成为当前信息技术发展的重要问题。
1 计算机网络信息安全面临的威胁
一般网络威胁可以分为两种,一种是对信息的威胁,一种则是对设备的威胁。具体来说,网络威胁主要可以分为以下几类:
1.1 失误
失误当然不是故意的,有可能是操作人员的安全设置问题,也有可能是用户的安全意识不足,口令错误等,这都可能导致计算机安全威胁。
1.2 恶意为之
就是通过恶劣的行径威胁到他人使用计算机,这是目前很多计算机犯罪最主要的方式。一般可以将这类行为分为主动与被动两种。主动就是不择手段的破坏信息的有效性与完整性;被动则主要以获取信息为主,不会影响到计算机正常的运行,但不论是主动还是被动,都会影响网络安全,造成不可挽回的损失。
1.3 软件问题
任何网络软件都存在不足,这就给黑客留下了攻击的道路,有些软件的“后门”甚至是有意为之,一旦出现问题,后果往往无法挽回。
2 计算机网络在的安全问题
2.1 固有的安全漏洞
计算机软件一旦投入使用就会被有心之人利用,寻找漏洞,而这种漏洞修补的难度较大,最常见的漏洞主要分为以下两类:
(1)缓冲区溢出。该漏洞较为常见也常被利用,一些系统没有检查程序与缓冲区间的变化就接收数据,有些数据长度过长,溢出的部分就被放在堆栈内,系统就会按照既有的命令进行,给破坏者留下空隙。一旦发送超出缓冲区长度指令,系统就会出现不稳定的情况,影响系统运行安全。(2)拒绝服务。该系统漏洞是通过扰乱TCP/IP连接的次序,典型的DoS攻击会耗尽或是损坏一个或多个系统的资源(CPU周期、内存和磁盘空间),最终系统将无法处理。
2.2 滥用合法工具
多数系统都会配置用以改进系统管理软件,但很多有心之人会利用这一工具破会或者收集信息,影响系统的运行,威胁系统的安全。
2.3 错误的维护措施
黑客攻击就是利用系统的问题来达到攻击的目的,但如果安全管理无法达到预期的目的同样会造成安全隐患。如果出现漏洞,管理人员必须要对程序进行细致的分析,详细的了解,及时采取补救对策,减少损失。
2.4 低效的系统设计与检测能力
安全系统设计者必须秉持安全的前提进行设计,必须要十分重视信息保护工作,如果忽略安全问题的设计自然无法达到安全的目的,更别提复杂的攻击。建立安全架构必须要从基础做起,可以提供更加安全有效的安全服务。
3 信息安全防护的方法与策略
计算机在现代生活中的重要性不容置疑,因此必须要采取恰当的措施来达到安全防护的目的,可以采用以下几种方法:
3.1 IP地址的隐藏
黑客进行攻击第一步骤就是探测主机的IP,IP地址是网络安全最主要的部分,如果落入黑客手里,那么黑客攻击这个主机就如进入无人之境,最常见的就是:DoS(拒绝服务)攻击、Floop溢出攻击等。因此,用户必须要学会隐藏IP,可以使用服务器,提升用户使用网络的安全性。
3.2 关闭不必要的计算机端口
黑客入侵过程中会对计算机的端口进行扫描,如果端口设置了监视程序,一旦被外来网址扫描就会做出示警,此时用户就需要关闭端口,降低被黑客攻击的危险。
3.3 更换管理员的账户
密码保护是最基本的,但随着黑客攻击手段的增多,最基本的密码保护已经无法达到保护的目的,此时就可以为Administrator账户设置一个复杂难破解的密码,然后重新命名Administrator账户,然后再重新创建一个没有管理员权限的Administrator账户,入侵者一时无法找到正确的账户,减少风险。
3.4 杜绝Guest账户的入侵
Guest账户就是来宾客户,其是在一定范围内访问计算机,但其同时也为黑客入侵打开了方便之门,如果可以,Guest账户最好可以被删除或禁用,但是这一账户仍有存在的必要,此时就需要采取其他的方法,除了设置复杂的密码,也可以对访问路径进行设置,提升安全性。
3.5 将“后门”封死
(1)将不必要的协议删除。一般情况下,仅安装TCP/IP协议就够了。除此之外的协议都可以将其删除。其中NetBIOS是很多安全缺陷的问题根源,对于不需要提供文件和打印共享的主机,可以将绑定在TCP/IP协议的NetBIOS给关闭,避免针对NetBIOS的攻击。(2)关闭“文件与打印共享”。这个功能较为常用,但在不需要的时候其会成为黑客攻击的漏洞,因此不用的时候要将其关闭,如果需要打开最好能设置访问密码。(3)严禁建立空连接。计算机的设置中,任何用户都可以使用空连接上服务器,然后猜测账号与密码,因此,空连接是需要立即禁止的。(4)关闭不必要的服务器。当然服务越多管理工作也就更加方便,但这也为黑客提供了攻击的便利,因此,根据需求打开服务器,不必要的服务器最好关闭,达到保护系统运行的安全性。
3.6 设置好IE
ActiveX控件和JavaApplets有较强的功能,但容易被有心之人利用,网页中有很多恶意代码,只要网页运行,恶意代码就会攻击,影响正常运行。
3.7 安装必要的安全软件
安全软件层出不穷,在这么多软件中并不是越多越好,而是要选择需要切安全级别更高的,在上网的时候将安全软件打开,提升安全性。
3.8 防范木马程序
木马是最常见的病毒,也是威胁最严重的程序,其会通过一定的方法非法获取信息,因此,很多软件在设计之初就会防范木马。对于木马程序,可以先对文件进行检测,一旦发现木马要立即处理,对于不明运行的项目也要果断的删除。同时可以将注册表里KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”榍白旱目梢沙绦蛉部删除即可。
3.9 及时为系统打补丁
设计者会不断更新系统,用户可以随时关注微软的新闻,及时下载补丁,更新系统,做好安全检查,提升系统的安全性。
4 结束语
计算机成为人们离不开的重要工具,网络安全的产品也越来越多,防火墙、杀毒软件、入侵检测系统等等,但黑客的攻击方式也在不断更新,要想彻底杜绝网络安全隐患是不可能的,对此,安全防护工作一刻也不能懈怠,要尽最大地可能降低黑客的入侵,保护网络信息的安全,更好地发挥计算机在生活中的作用。
参考文献
[1]王勤硕.浅析计算机网络信息安全问题[J].电脑迷,2016(07).
论文摘要:文章针对计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击的安全和保密问题,归纳并提出了一些网络信息安全防护的方法和策略。
近年来,伴随着互联网技术在全球迅猛发展,人们在提供了极大的方便,然而,信息化在给人们带来种种物质和文化享受的同时,我们也正受到日益严重的来自网络的安全威胁,诸如网络的数据窃贼、黑客的侵袭、病毒者,甚至系统内部的泄密者。尽管我们正在广泛地使用各种复杂的软件技术,如防火墙、服务器,但是,无论在发达国家,还是在发展中国家,黑客活动越来越猖狂,他们无孔不入,对社会造成了严重的危害。与此同时,更让人不安的是,互联网上黑客网站还在不断增加,学习黑客技术、获得黑客攻击工具变得轻而易举。这样,使原本就十分脆弱的互联网越发显得不安全。针对各种来自网上的安全威胁,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。
1 计算机网络信息安全面临的威胁
计算机网络所面临的威胁大体可分为两种:①对网络中信息的威胁;②对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有以下几方面:
1.1 人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
1.2 人为的恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
1.3网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
2 计算机网络存在的安全问题
导致计算机网络信息安全受到威胁的根本原因在于网络存在安全问题,归纳为以下几点:
2.1 固有的安全漏洞
现在,新的操作系统或应用软件刚一上市,漏洞就已被找出。没有任何一个系统可以排除漏洞的存在,想要修补所有的漏洞很难。
2.1.1 缓冲区溢出。这是攻击中最容易被利用的系统漏洞。很多系统在不检查程序与缓冲区间的变化的情况下,就接收任何长度的数据输入,把溢出部分放在堆栈内,系统还照常执行命令。这样破坏者便有机可乘。他只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。假如破坏者特别配置一串他准备用于攻击的字符,他甚至可以访问系统根目录。
2.1.2 拒绝服务。拒绝服务(DoS)攻击的原理是搅乱TCP/IP连接的次序。典型的DoS攻击会耗尽或是损坏一个或多个系统的资源(CPU周期、内存和磁盘空间),直至系统无法处理合法的程序。这类攻击的例子是Synflood攻击。发动Synflood攻击的破坏者发送大量的不合法请求要求连接,目的是使系统不胜负荷。其结果是系统拒绝所有合法的请求,直至等待回答的请求超时。
2.2 合法工具的滥用
大部分系统都配备了用以改进系统管理及服务质量的工具软件,但遗憾的是,这些工具同时也会被破坏者利用去收集非法信息及加强攻击力度:
例如:NBTSTAT命令是用来给系统管理员提供远程节点的信息的。但是破坏者也用这一命令收集对系统有威胁性的信息,例如区域控制软件的身份信息、NetBIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。
另一个最常被利用的工具是网包嗅探器(PacketSniffer)。系统管理员用此工具来监控及分发网包,以便找出网络的潜在问题。黑客如要攻击网络,则先把网卡变成功能混杂的设备,截取经过网络的包(包括所有未加密的口令和其他敏感信息),然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。
2.3 不正确的系统维护措施
系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击,但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时,管理人员应仔细分析危险程度,并马上采取补救措施。
有时候,虽然我们已经对系统进行了维护,对软件进行了更新或升级,但由于路由器及防火墙的过滤规则过于复杂,系统又可能会出现新的漏洞。所以,及时、有效地改变管理可以大大降低系统所承受的风险。
2.4 低效的系统设计和检测能力
在不重视信息保护的情况下设计出来的安全系统会非常“不安全”,而且不能抵御复杂的攻击。建立安全的架构一定要从底层着手。这个架构应能提供实效性的安全服务,并且需要妥善的管理。
3 计算机网络信息安全的防护策略
尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。文章总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全:
3.1 隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用服务器。使用服务器后,其他用户只能探测到服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
3.2 关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“NortonInternetSecurity”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。
3.3 更
换管理员账户
Administrator账户试图获得Administrator账户的密码,所以要重新配置Administrator账号。首先是为Administrator账户设置一个强大复杂的密码,然后我们重命名Administrator账户,再创建一个没有管理员权限的Administrator账户欺骗入侵者。这样一来,入侵者就很难搞清哪个账户真正拥有管理员权限,也就在一定程度上减少了危险性。
3.4 杜绝Guest账户的入侵
Guest账户即所谓的来宾账户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!禁用或彻底删除Guest账户是最好的办法,但在某些必须使用到Guest账户的情况下,就需要通过其他途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest账户对物理路径的访问权限。3.5封死黑客的“后门”
俗话说“无风不起浪”,既然黑客能进入,那我们的系统一定存在为他们打开的“后门”,我们只要将此堵死,让黑客无处下手。
3.5.1 删掉不必要的协议。
对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NetBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,可以将绑定在TCP/IP协议的NetBIOS给关闭,避免针对NetBIOS的攻击。
3.5.2 关闭“文件和打印共享”。
文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,它也是引发黑客入侵的安全漏洞。所以在没有必要“文件和打印共享”的情况下,可以将其关闭。即便确实需要共享,也应该为共享资源设置访问密码。
3.5.3 禁止建立空连接。在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此必须禁止建立空连接。
3.5.4 关闭不必要的服务。服务开得多可以给管理带来方便,但也会给黑客留下可乘之机,因此对于一些确实用不到的服务,最好关掉。比如在不需要远程管理计算机时,就将有关远程网络登录的服务关掉。去掉不必要的服务停止之后,不仅能保证系统的安全,同时还可以提高系统运行速度。
3.6 做好IE的安全设置
ActiveX控件和JavaApplets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,具体设置步骤是:“工具”“Internet选项”“安全”“自定义级别”。另外,在IE的安全性设定中只能设定Internet、本地Intranet、受信任的站点、受限制的站点。
3.7 安装必要的安全软件
应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即使有黑客进攻,安全也是有保证的。
3.8 防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:①在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。②在“开始”“程序”“启动”或“开始” “程序”“Startup”选项里看是否有不明的运行项目,如果有,删除即可。③将注册表里KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。
3.9 不要回陌生人的邮件
有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的账号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。
3.10 防范间谍软件
如果想彻底把Spyware拒之门外,请按照这几个步骤来做:①断开网络连接并备份注册表和重要用户数据。②下载反间谍工具。③扫描并清除。④安装防火墙。⑤安装反病毒软件。
3.11 及时给系统打补丁
最后,建议大家到微软的站点下载自己的操作系统对应的补丁程序,微软不断推出的补丁尽管让人厌烦,但却是我们网络安全的基础。
广播发送平台的信息安全防护系统需按照IATF的标准,并根据广播信息的传送和处理过程的特点,制定相应的防护策略,包括网络边界监管、非法设备接入、用户访问认证、流量控制、安全审计、基础设施建设等方面。首先是网络边界安全。广播发送平台的网络结构较为复杂,网络边界的监管显得尤为重要,需考虑以下几个方面。一是用户的访问控制,安全防护系统通过分析消息的源端口和目的端口、原地址和目的地址等相关参数,实现对网络流量的管控,并通过利用防火墙等区域分割方式,对不同区域的用户访问进行区分,也可有效阻止网络安全威胁的传播。二是用户的身份认证,通过对访问者的身份进行鉴别,起到保护网络资源的作用,同时还能避免非法用户的入侵,维护安全防护系统的保密性。三是防范攻击,由于网络的连通性和开放性,广播传送平台的信息安全防护系统很容易受到病毒等的威胁和攻击。在防范攻击的过程中,安装并且及时升级防火墙是最好的选择。同时,及时更新设备,更新系统等也能够达到防范恶意攻击的目的。四是流量管控,只有对广播发送平台网络的流量进行管理和控制,才能保障该系统的正常运转和相关业务的连续性,因此需要制定相应的制度和机制来分析网络流量的传输特点和规律,从而确保用户的上网效率及消息的传送带宽,提供高质量的数据传输。接着是安全的计算环境。广播发送平台的信息安全防护系统中,计算环境包括应用系统、数据库服务器、应用服务器和终端,其中终端包括管理终端和业务终端。
2安全的计算环境需要为以上设备和应用的服务提供安全有效的防护机制
一是要对所有设备实现统一的管理和控制,在较高层面对终端和服务器实施统一完善的安全防护措施,能在不影响广播发送平台的正常运转的情况下有效提升业务进程的效率,。二是安全的审计制度,广播发送平台的安全防护计算环境中需部署完善的审计系统,通过融合处理业务流程日志,对用户操作、数据库的记录等日志进行采集,为管理人员的统一管控提供参考和便利。三是应用方面的安全,广播发送平台的信息安全防护系统有针对广播消息的传送和处理的特定需求,采取一定的措施如加密、认证、审计等对多层面的应用提供相应的安全保护。最后是基础设施建设方面的安全考虑。一是网络和基础设施,包括安全可靠的通信系统和物理隔离的安全设施,广播发送平台的信息安全防护体系中安全的通信网络需实现访问控制、认证、数据完整性、审计和保密的要求,物理方面的安全防护需考虑机房的访问、电力设施的保护、安全设备的维护等。二是支撑性的的基础设施要求在广播发送平台的信息安全防护体系中应用信息加密技术,可采用公钥这种非对称的加密方法,加密者和解密者各自拥有不同的密钥,以此实现系统内信息的安全、保密、真实和完整,并结合数字签名的方式进行身份认证,防止假冒。
3结束语
1计算机网络信息安全面临的威胁
计算机网络所面临的威胁大体可分为两种:①对网络中信息的威胁;②对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有以下几方面:
1.1人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
1.2人为的恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
1.3网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
2计算机网络存在的安全问题
导致计算机网络信息安全受到威胁的根本原因在于网络存在安全问题,归纳为以下几点:
2.1固有的安全漏洞
现在,新的操作系统或应用软件刚一上市,漏洞就已被找出。没有任何一个系统可以排除漏洞的存在,想要修补所有的漏洞很难。
2.1.1缓冲区溢出。这是攻击中最容易被利用的系统漏洞。很多系统在不检查程序与缓冲区间的变化的情况下,就接收任何长度的数据输入,把溢出部分放在堆栈内,系统还照常执行命令。这样破坏者便有机可乘。他只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。假如破坏者特别配置一串他准备用于攻击的字符,他甚至可以访问系统根目录。
2.1.2拒绝服务。拒绝服务(DoS)攻击的原理是搅乱TCP/IP连接的次序。典型的DoS攻击会耗尽或是损坏一个或多个系统的资源(CPU周期、内存和磁盘空间),直至系统无法处理合法的程序。这类攻击的例子是Synflood攻击。发动Synflood攻击的破坏者发送大量的不合法请求要求连接,目的是使系统不胜负荷。其结果是系统拒绝所有合法的请求,直至等待回答的请求超时。
2.2合法工具的滥用
大部分系统都配备了用以改进系统管理及服务质量的工具软件,但遗憾的是,这些工具同时也会被破坏者利用去收集非法信息及加强攻击力度:
例如:NBTSTAT命令是用来给系统管理员提供远程节点的信息的。但是破坏者也用这一命令收集对系统有威胁性的信息,例如区域控制软件的身份信息、NetBIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。
另一个最常被利用的工具是网包嗅探器(PacketSniffer)。系统管理员用此工具来监控及分发网包,以便找出网络的潜在问题。黑客如要攻击网络,则先把网卡变成功能混杂的设备,截取经过网络的包(包括所有未加密的口令和其他敏感信息),然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。
2.3不正确的系统维护措施
系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击,但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时,管理人员应仔细分析危险程度,并马上采取补救措施。
有时候,虽然我们已经对系统进行了维护,对软件进行了更新或升级,但由于路由器及防火墙的过滤规则过于复杂,系统又可能会出现新的漏洞。所以,及时、有效地改变管理可以大大降低系统所承受的风险。
2.4低效的系统设计和检测能力
在不重视信息保护的情况下设计
出来的安全系统会非常“不安全”,而且不能抵御复杂的攻击。建立安全的架构一定要从底层着手。这个架构应能提供实效性的安全服务,并且需要妥善的管理。
3计算机网络信息安全的防护策略
尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。文章总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全:
3.1隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用服务器。使用服务器后,其他用户只能探测到服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
3.2关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如
“NortonInternetSecurity”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。
3.3更换管理员账户
Administrator账户试图获得Administrator账户的密码,所以要重新配置Administrator账号。首先是为Administrator账户设置一个强大复杂的密码,然后我们重命名Administrator账户,再创建一个没有管理员权限的Administrator账户欺骗入侵者。这样一来,入侵者就很难搞清哪个账户真正拥有管理员权限,也就在一定程度上减少了危险性。
3.4杜绝Guest账户的入侵
Guest账户即所谓的来宾账户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!禁用或彻底删除Guest账户是最好的办法,但在某些必须使用到Guest账户的情况下,就需要通过其他途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest账户对物理路径的访问权限。3.5封死黑客的“后门”
俗话说“无风不起浪”,既然黑客能进入,那我们的系统一定存在为他们打开的“后门”,我们只要将此堵死,让黑客无处下手。
3.5.1删掉不必要的协议。
对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NetBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,可以将绑定在TCP/IP协议的NetBIOS给关闭,避免针对NetBIOS的攻击。
3.5.2关闭“文件和打印共享”。
文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,它也是引发黑客入侵的安全漏洞。所以在没有必要“文件和打印共享”的情况下,可以将其关闭。即便确实需要共享,也应该为共享资源设置访问密码。
3.5.3禁止建立空连接。在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此必须禁止建立空连接。
3.5.4关闭不必要的服务。服务开得多可以给管理带来方便,但也会给黑客留下可乘之机,因此对于一些确实用不到的服务,最好关掉。比如在不需要远程管理计算机时,就将有关远程网络登录的服务关掉。去掉不必要的服务停止之后,不仅能保证系统的安全,同时还可以提高系统运行速度。
3.6做好IE的安全设置
ActiveX控件和JavaApplets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,具体设置步骤是:“工具”“Internet选项”“安全”“自定义级别”。另外,在IE的安全性设定中只能设定Internet、本地Intranet、受信任的站点、受限制的站点。
3.7安装必要的安全软件
应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即使有黑客进攻,安全也是有保证的。
3.8防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:①在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。②在“开始”“程序”“启动”或“开始”“程序”“Startup”选项里看是否有不明的运行项目,如果有,删除即可。③将注册表里
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。
3.9不要回陌生人的邮件
有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的账号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。
3.10防范间谍软件
如果想彻底把Spyware拒之门外,请按照这几个步骤来做:①断开网络连接并备份注册表和重要用户数据。②下载反间谍工具。③扫描并清除。④安装防火墙。⑤安装反病毒软件。
3.11及时给系统打补丁
最后,建议大家到微软的站点下载自己的操作系统对应的补丁程序,微软不断推出的补丁尽管让人厌烦,但却是我们网络安全的基础。
【关键词】个人计算机;信息安全;防护
信息是社会发展的重要战略资源。随着网络和信息技术的发展,信息安全建设已经成为信息化建设的重要组成部分。同时,随着各种信息化系统日益深入应用,信息技术正在改变着我们生活的各个方面,我们已在不知不觉中进入了信息时代,整个社会和个人的事务越来越依赖信息,越来越离不开信息,所以信息安全是一个不容忽视的问题,应该引起我们的高度重视。
1.计算机个人信息常见的问题
目前我们所认为的个人计算机信息安全的隐患主要是指隐私或者重要信息的流逝和透露。包括个人隐私,一些常用账号的密码被他人盗取,以及一些交流软件的账号被他人使用等等。下面主要从以下几个方面来讨论目前存在的一些安全隐患。
(1)个人信息数据的泄露。一般我们个人使用的计算机里面有很多资料,包括学习的,工作的等等,这些资料都隐含着我们的个人信息,例如,身份证号码,家庭住址,联系方式等等。由于网络存在的不安全性以及电脑自身的不安全性又或者由于个人原因而导致的问题都有可能引起个人信息的泄露。特别是我们共享到网上的文档或者一些资料很可能由于上传的网站或共享的网址存在安全问题而使得自己的信息而泄露等等。
(2)网络购物引起的一系列安全隐患。随着互联网的发展,网上购物已经开始成为大部分人的一种消费方式。但是,网络购物同时也存在着一定的安全隐患。因为我们在网上购物存在着金钱的交易,不论是用网银还是支付宝,都存在着一定的风险。当你的网络不稳定的时候,在最后付款的时候由于存在着一个缓冲的页面,很可能由于你当时所处的网络不稳定,特别是网速变慢的时候,由于网络本身的漏洞而使得你的缓冲失败,最后页面会提醒你需要重新付款。但是有的时候,其实你已经付过款了,但是对方并没有收到。
(3)一些常用软件的账号被他人窃取。随着互联网和信息技术的发展,人们对于计算机的依赖越来越大。例如交流软件QQ,微信,飞信等等,还有一些社交软件例如微博,邮箱等等,这些软件都需要我们注册账号才能使用。如果你的密码强度不够高或者登陆账号的环境不安全都有可能被别人盗取你的密码而冒用你的身份登录从而盗取你的个人信息和资源。
2.个人计算机面临的安全威胁
计算机面临的威胁是要有以下三个方面:黑客侵入,计算机病毒以及系统自带的硬件的问题。
2.1黑客侵入
黑客是指程序设计人员或者一些水平超高的专家利用系统安全漏洞对网络进行攻击或破坏或窃取资料的人。黑客常见的攻击方式有下面几种:
(1)木马攻击。木马是一种由攻击者秘密安装在受害者计算机上的窃听及控制程序。计算机一旦被植入木马,其重要文件和信息不仅会被窃取,用户的一切操作行为也都会被密切监视,而且还会被攻击者远程操控实施对周围其他计算机的攻击。木马不仅是一般黑客的常用手段,更是网上情报刺探活动中的主要手段之一。
(2)网络监听。网络监听是指监听电脑系统或网络信息包以获取他人信息。一般黑客并不会利用此方法对他监听的对象进行攻击,但是他会通过这样的方法而盗取别人的信息,例如账号,用户密码等。
2.2计算机病毒
计算机科学里,电脑病毒是类似生物病毒一样的程序,它会复制自己并传播到其他宿主,并对宿主造成损害。宿主也是程序,通常是操作系统,从而进一步传染到其他程序、其他的电脑。电脑病毒在传播期间一般会隐蔽自己,由特定的条件触发,并开始产生破坏。
病毒是我们常见的一种攻击计算机的方式,可以说是无孔不入。它的侵入有时候是人为的有时候是非人为的,它能够影响计算机的软件和硬件并且能够破坏数据的完整性。并且计算机病毒可以自我复制以及它能够运行计算机的程序。很多情况下,它会给你的计算机造成硬件方面的困扰。
2.3硬件系统故障
电脑常见的硬件系统故障有内存条的损坏,硬盘损坏,主板元器件的烧坏等等。计算机本身的硬件问题而导致的信息的丢失需要专门找维修人员来进行计算机的维护。但是这种情况相较于之前提到的几种情况是比较安全的。它不会导致你的信息被他人盗取,只是会让你的信息在没有保存的情况下丢失,或者存在硬盘的资料由于硬盘的损坏而被封锁在里面。
3.个人计算机安全防范措施
(1)正确配置个人计算机系统。正确配置个人计算机系统,是做好计算机安全防范的基础。安装使用较新的正版系统软件,在安装的过程中要断开网络,避免在安装过程中感染病毒;还要设置好超级用户的密码并且再设置一个日常使用的用户帐号。操作系统安装完后,可以马上设置网络连接,然后通过互联网更新最新的系统补丁,因为最新的系统补丁通常可以弥补系统中被发现的安全漏洞。
(2)正确使用防病毒软件。作为普通个人用户,我们应该建立正确的预防病毒的意识,因为新的病毒会不断出现,为了保护我们的计算机,就应该安装正版的防病毒软件,并且经常对防病毒软件进行升级。一般的防病毒软件都有以下的功能,如查杀病毒、邮件监控、实时监控等,其中实时监控功能可以监控操作系统当前的所有文件,实时地检测病毒,以保证在病毒试图感染计算机系统前发现并清除它。总结起来,对防病毒软件,应该打开文件实时监控功能,打开邮件监控,及时升级病毒库文件,定期进行全盘扫描。
(3)正确使用防火墙。对于个人计算机而言,防火墙的主要作用是拦截通过网络漏洞进行的攻击以及禁止一些程序,在未经许可的情况下对外发送信息。我们可以通过购买获得正版的第三方防火墙软件,如果我们使用的是Windows XP以上的操作系统,系统内部已自带了Windows防火墙,只要把Windows防火墙打开即可。
(4)正确使用数据加密。网络传输中的数据加密是保证计算机信息安全的重要手段之一。使用密码技术可以防止信息被篡改、伪造和假冒。
总结
个人计算机安全的防护是与我们每个人息息相关的事情,大到一个国家小到个人都需要我们的努力。在这个互联网高速发展的时代,信息安全越来越引起人们的重视,不管是互联网的安全性能还是计算机自身的安全性能都和信息安全有着密切的联系。通过本文所讨论的这些措施基本上可以保证个人计算机的安全,但是由于计算机本身存在有漏洞,所以我们只能随时保持警惕性,不要轻易打开一些非法的网址,不要轻易相信一些非法的网络骗局,那么我们个人的计算机信息的安全就能得到有了的保证。
参考文献
[1]叶海峰.个人计算机数据安全威胁与防护策略浅析.科技资讯[J].2007第11期,90页
关键词:信息安全;等级保护;定级制度
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)03-0045-02
信息安全等级保护制度的建设,是随着经济建设和信息化建设的全面展开而进行的。对国家重要的信息系统等进行定级保护,可以提高信息系统的工作效率,在大数据、云计算的技术支持下,实现全系统的信息安全。为此国家多部门早已出台多项关于信息安全的制度和规定,明确说明国家信息安全保障工作的基本制度之一就是信息安全等级保护制度。其工作流程包含定级、对级别的建设和整改、测评建设整改工作、向主管公安部门备案;监管信息系统。其中首要阶段的定级工作,是作为等级保护的起始,为后面四个阶段的工作奠定基础。
1 信息系统安全等级保护政策概述
我国在信息技术的浪潮退推动下,各行各业都在面临信息化、智能化的转型升级带来的冲击和挑战。需要建设的信息化项目不断增多,很多领域的业务都要采用网络信息系统作为载体,因此,信息系统的数量和结构都在增加和复杂化,对信息进行等级保护就被提上了日程。
2008年,我国首部信息安全等级保护管理办法由公安部下发,信息系统有了等级的划分,并且对信息系统的保护也有了明确的管理规定。2008年,信息系统安全等级保护定级上升到了国家级别的标准,拥有了定级指南,对于信息系统安全等级定级工作来说,意味着拥有了定级的方法和准则。2009年,关于整改信息安全等级保护工作的指导意见证实下发,要求对信息安全等级保护的整改要按照测评工作的标准展开。这是第一次对信息安全等级保护测评体系的建设进行的规定。
2 信息系统的安全定级
在信息安全技术等级定级指南中,对于信息技术的重要性以及遭到破坏的危害性进行了详细的阐述,从公共安全、社会利益、公民权益等几个方面,将信息系统的安全等级划分为五个等级:
第一级为当信息安全被侵犯,国家利益、公共安全等合法权益就会被损坏,但是国家安全、社会利益和公共秩序不会受到损害。
第二级为当信息安全被侵犯,公民的合法权益就会被侵害,但是国家安全不会受到破坏。
第三级为当信息系统受到侵犯后,社会秩序和公共利益被损坏,进而产生对国家安全的损害。
第四级是信息系统受到破坏,社会秩序、公共利益、国家安全都会受到特别严重的损伤。
第五级是信息系统受到侵犯,国家安全被特别严重地损坏。
3 当前信息系统安全定级中存在的问题
1)定级对象不明确是信息系统安全定级中的常见问题。当信息系统在相同的网络环境中被按照独立的系统进行定级时,多个定级对象会重复出现环境和设备。以机房的EPR系统和OA系统以及配套为例,系统中如果使用到网络资源,就有可能产生相同的定级对象同时出现不同的网络设备的情况。
2)根据安全信息国家定级指南中对安全保护等级的定级要求。当受侵害客体为国家、社会、公民安全以及组织法人的合法权益时,客体的侵害程度可以分为一般、严重、特别严重。这种分类是比较抽象的。需要进行具体的描述,但是从目前的发函情况看,对于危害程度的描述还是过于倾向于主观判断,因此对客观情况的定级准确率不足,依据不足。
3)现有的定级报告皆是从模板中引用格式,参考定价指南,提供定级流程,引导结论的验证。从下表我们可以大概地看到定级要素和安全保护等级的关系:
表1
[受侵害的客体\&一般损害\&严重损害\&特别严重的损害\&公民、法人和组织的合法权益\&第一级\&第二级\&第二级\&社会利益、公共秩序\&第二级\&第三级\&第四级\&国家安全\&第三级\&第四级\&第五级\&]
对于基础数据的描述虽然也能显示出关于信息安全系统定级的重要意义,但是从系统的客观问题以及随时可能出现威胁和侵害的现象角度观察,很多关于信息安全等级定级的新方法还不能保证定级结果的准确性,很多定级报告不完善,缺乏依据,主观判断成分多,无法将信息安全系统的真实情况反映给决策层,对于工作的开展没有好处。
4 等级保护流程
等级保护的工作是循环的、动态发展的。将等级保护工作视为循环性强的工作对于工作流程加以分析,最终得到的是等级保护工作的流程图:
定级阶段:系统划分、等级确定;填写表格;
初步备案阶段:上报材料、专家评审,不符合安全等级规定的重新定级,最终进入初备案。
测评阶段:选定机构、测评、出具报告;
整改阶段:制订方案、专家论证、提出整改措施并实施;
复评阶段:对定级方案进行复评,得到最终的备案;
根据等级保护制度接受监管的阶段。
需要说明的是,等级保护工作的初始阶段:定级工作可以采用自行定级的方法,也可以委托第三方机构进行监管和测评。定级工作是所有阶段工作的基础。初备案阶段有一个重新定级的环节,主要是如果出现不公平、不公正或者定级不合格的情况,要对信息系统的等级评定工作进行复评选,并达到等级保护的要求,才能进行最终的备案。
5 信息安全定级方法
1)定流程是参照定级指南进行的,包括了业务信息和系统服务等内容。首先是确定定级对象,然后确定业务信息安全受到破坏和侵害的客体,以及系统服务安全受到破坏和侵害的客体。两方面都要进行客体的侵害程度的评定,前者得出业务信息安全等级,后者得出系统服务安全等级,最后形成了定级对象的安全保护等级。
定级对象的选取根据定级指南的规定,具有一些特征,首先是拥有安全责任单位,第二是信息系统要素,第三是承载单一和独立的业务。在定级对象的业务应用上应该拥有共享的机房基础环境和网络设备等,这样就不会产生重复出现的定级对象。而且将物理环境、网络资源等纳入到信息系统中,形成具有单独优先定级权限的定级对象[1]。
对于受侵害的客体的损害程度的评分,要对危害后果等进行权重分析。参照的依据包括国家安全、社会利益、公众秩序、公民法人和组织的权益。客体的侵害程度在定x和解释上是简单而抽象的,要对危害程度进行具体的描述,就要规避主观判断、依据不足的问题。对客体的侵害程度进行确定,是需要参考很多元素的,要得到一个准确的定量,可以采用评分表的方法对危害后果予以打分。
表2
[危害后果\&得分\&权重\&影响工作职能形式\&\&\&降低业务能力\&\&\&引起纠纷需要法律介入\&\&\&财产损失\&\&\&社会不良影响\&\&\&损害到组织和个人\&\&\&其他影响\&\&\&]
根据对表格中的打分得到的数值和权重的分析,可以得出定级对象被破坏后可能产生的危害以及后果。不存在危害的数值为0,有危害程度较轻的数值为1,有危害程度较高的为2,后果严重的为3。不同的信息系统在服务内容、范围、对象上都不同,因此不同的得分和权重最能反映信息安全系统的实际情况。
确定安全保护等级是在所有流程结束后,得到的结论。这个结论包括客体对等级对象的侵害造成的危害,信息安全的保密性、可用性的情况,系统服务安全的及时性、有效性的问题等等。当业务信息安全和服务系统的客体侵害程度不同时,就要在定级过程中处理不同的危害后果。
2)定级表格的细化是为定级报告模板提供基础数据,并保证信息安全系统稳定可靠的重要保障。当系统内部问题导致其难以支撑定级结果后,采用系统定级的方法,就能够将信息系统的情况记载道定级表中。定级表包括了定级系统的用户情况以及定级系统的业务职能等情况,例如在行业和部门内的地位和作用。定级系统需要有备份系统作为应急措施,保证定级系统在关联系统受到破坏后不会受到数据传递等的影响。
6 案例分析
按照等级保护工作测评和定级的规定,确定信息系统的等级。某政府网站信息系统包括的板块为:政务公开、地方行政、法制建设、管理措施、领导讲话、网上办事大厅、新闻动态、政府公告、举报建议等,还专门开辟了一个下载板块,方便下载有用的电子表单加以填报。
在这个政府网站的信息系统中,制订了符合信息安全等级保护定级指南的流程和标准,通过分析,判断,研究等流程确定定级的系统。该网站的拥有者设立的专门的政府网站平台,由指定部门确定相关资料的搜集、采集、整理的过程方案。在这套流程中,信息生产者为企业,产生的资料是信息,管理信息的手段是利用科学技术,对外承担政务信息,拥有独立的业务,如办事流程、新闻会等。将各类任务的环境加以构建,就形成了政府网站中具有基本特征和要素的定级对象。对定级客体的邀请,要采取分析的方法,确保信息系统内的保密性和可用性。实际操作中只要能够保证信息的完整性和通用性,又增强了制作、、管理的职能建设,激发出参与者的完整性和保密性。提高可用概率。而系统服务安全有力地支撑着系统安全运行,并为信息安全系统提供有效的服务,达到地方网站发挥在定级中的作用,帮助提供服务,满足消费者的需求。采用了这种方法,网站信息系统的业务信息安全和系统服务安全都将是今后在企业运用中需要特别加以注意的。
例如:对于受侵害的客体,必须说明客体的情况,是否受到法律保护,等级保护中牵扯到的社会关系和合法权益。尤其是针对信息系统的客体的先后顺序进行判断,结合政府平台,实施政务信息公开。如果做不到政务信息公开,政府就要设置管理界限,发挥人的主观能动性,在知情权、业务能力、投诉与批评等阶段加大业务办理力度,最大可能地维护法人和代表组织的知情权,排弃受到破坏的客体,法人由于难以掺入个人组织中,直接投诉合法的法律法规,由于业务施工的进度过快,环节纷繁众多[2]。再由于受损教育可以对客体的积极主动性。方便法人和组织知情、办理业务、举报、投诉等。
对于客体造成的侵害进行后果的分析,无论是大型门户网站,还是在金融政策引领下,亲自感受到客体检查结果的影响,如信息安全管理等,都要注重网络平台的临时性。
7 结束语
要做好信息系统的安全保护等级的确定,就要采取正确的 (下转第51页)
(上接第46页)
策略以及方法,对信息安全管控产生依赖,保护过程中采取正确的策略和方法,等等。信息系统、安全等级保护不足的问题,都要求管理觉决策层加熬煮。在实际运行中,还要以定级指南为指导,综合信息系统的业务特征,切实推动信息技术等级保护工作的大力发展。
参考文献:
[关键词]数据库 中间层 应用层 三层架构
中图分类号:X936 文献标识码:A 文章编号:1009-914X(2016)17-0299-01
笔者从事计算机十多年的教学,又参与了软件Java与的开发及应用。在这里,我想针对网络安全监察维护模式,由浅入深地谈谈应该如何建立良好的信息系统体系结构模式。
一、认识信息系统体系结构的重大意义
首先,我们必须清楚地认识到良好的信息系统体系结构对于网络安全监察维护模式的意义重大。如果我们有一个良好的信息系统体系结构,我们完全可以抵御或者减少病毒入侵,如网页挂马等。
阅读计算机之类的报刊、杂志,我们总有一些不解,什么是中间层,什么是接口,什么是修改参数,什么是模拟仿真,那么我以Java程序或程序为例进行阐述。
Java程序和程序,我认为是目前最好的系统程序,因为它们有一种很好的思想值得我们去学习,去采纳。作为一名学者,不能只是一味地去学习、接纳别人的东西,而是要理解事物的本质,所谓必定要透过事物的表象去看清里面的内涵,与实质,不能一味地去抄袭或者盗窃他人的原代码之类的东西。这样做,既无科学道德,也无太多的实际价值,同时也不能在专业术语、英文字母上徘徊不前,大道理小道理地讲,又有什么用。
二、程序三层架构思想
Java程序和程序,基本的三层架构思想,这给我们的信息体系结构带来不少的冲击。数据结构体系的基本三层模式(图1):
当然你可以在信息体系结构的基本三层的基础上发展五六层、七八层都可以,但是我们要知道是上一层调用下一层的命令。应用层,就是我们常说的界面、窗口;数据库层,就是我们大量信息储存的地方;中间层,就是在应用层需要数据库时,依靠中间层进行层层转运,即应用层程序先调用中间层命令,由中间层程序再调用数据库层里的文件信息。这里要注意的问题是,应用层是永远不可能直接调用数据库层的信息。同样,箭头永远不可能反过来,也就是说数据库层不可能去调用中间层或应用层的程序,他们是独立、有序的。这样就做到了信息体系结构的良性循环。所谓“君是君,臣是臣,哪里是主语,哪里是谓语”。
说到这里,有朋友会问,这与我们的“网络安全监察维护”有什么联系。试想,这样一个有序的信息体系结构,如果在每一层都进行打包、封装、加密,甚至工具式的异类化,直接调用,那么病毒怎么进得来,计算机的安全监察与维护技术工作不是变得更加容易!
接着,便存在层与层之间的通信连接问题,这就是我们常阅读报刊杂志上所看见的专业术语“接口”。有读者会问“接口”是个什么层。这里我们首先要清楚地认识到,各层之间的联系,其实就在于各层文件名的命名及其附加参数,还有上一层可以插入下一层的文件名及其附加参数。文件名在本层中,既是一个程序文件的标志,同时对上一层来说,是调用下一层的命令,也就是说上一层只要输入下一层的文件名及其实参,就可以调用下一层的文件。文件名及其附加参数在本层中是一个功能块或者称为过程调用和形参,在调用层则为命令和实参,只有符合条件的参数才可以配合命令去调用下一层的功能块。如此反复,我们便可以在界面上看到了不断更新的数据、动态的网页。不符合条件的实参是不可以配合命令去调用下一层的功能块。举个浅显的例子说下,如果下一层的程序块的内容是10除以多少,条件是有限制的,如不能为0或其他字母,如果输入0或者其他字母,那么程序会马上终止,进入退出状态,不再运行。我们再看下仿真软件,理论上只要修改参数,就知道故障就在哪里,然后通过模拟故障去排除故障,如仿真战机、空中大战、仿真系统维修软件等,它们的故障就是实参输入不合条件,出现故障,导致局部程序无法运行,上一层功能块只有调用其他的功能块才能解决故障问题,使模拟仿真安然进行。仿真软件的设计,使现实事物并不需要出现,也不要去实验,如空中大战,达到理想的训练效果,又节省了人、材、机,同时又避免了环境污染和资源浪费。但是仿真系统与现实社会还是有一定距离,还是有必要去和现实数据进行吻合。我们可以应用这种理论进行网络安全监察维护的仿真检测。
中间层是一个封装的程序,如果需要执行多个命令,就封装多个中间层。各层只要有必要,可以从这个项目中分离开,进入另外一个项目,只要提供一个接口。
程序的工具性异类化。为什么称为程序的工具性异类化?程序包或功能块经过一系列的代码转换命令,完全变成了一个工具,直接拿来用即可,你无须知道它的源代码,更确切地说,你根本不知道,也许永远不知道它的源代码 ,你只是利用这个工具去做你想去做的事情,现代计算机中称工具的专业名称为“对象”。所以工具性程序与普通程序完全不同,有些需要转换代码后才能调用,有些只是通过实参配合命令进行调用,不符合要求的实参根本无法进行调用。那么有人会问,能不能破译“对象”的源代码?所谓“解铃还须系铃人”,破译源代码除了“系铃人”之外,别无他人。那么有人会说木马病毒可以破译,我个人认为,木马病毒只是侵入,无法破译并获得源代码。现代软件加密技术非常强,里三圈外三圈,拦了个水泄不通,木马技术最多也只是个别侵入与替换与复制,除非知道程序的破译方法,一般不可以破译并获得源代码的。
在项目做好后,经过系统软件生成器平台转化成独立代码,直接运行在计算机操作系统中。
这里有两个问题仍需解决,第一个问题是系统软件生成器平台是如何将程序打包并工具化的,第二个问题是不同版本的系统软件之间是如何兼容的。
当我们还常常夸C语言、C++语言源代码开放,功能如何之强大时,其实,我们在程序应用上还是未能解决根本问题。信息系统结构的未来发展趋向,就是进行程序的快速打包封装,快速便捷地进行功能调用,快速地组装并且达到新的适用功能,而并不是程序的源代码如何地强大。软件业的发展必须将程序进行工具性的“异类化”,成为程序的新品种,直接拿过来用即可,我们并不需要其内部的源代码是什么。除此之外,我们要清楚地认识到,有些操作系统具有兼容其他语言的能力,以致我们的系统软件能轻而易举地应用到某些操作系统上。
我们常说要自动化,不仅指硬件的自动化,更是要指软件的自动化。软件要自动化,必须要有独立、有序、反应敏捷的信息体系结构,加上调用封装好的工具性软件,优良的独立接口软件,达到与各种系统软件平台的兼容,同时也使计算安全监察维护技术工作变得相当简单。哪一部分出了问题,我们就维护哪一部分,并不需要从头至尾个个检查。这样,有利于减少工作量,提高工作效率。
三、结语
写到这里,我希望广大软件开发的工作者门,开发出更好的、有利于国人的软件产品,从根本上解决我们计算机网络安全监察与维护的技术工作问题。
参考文献
[1] 尚宇峰.网络可靠性研究[J].2006.12-16
关键词:网络信息安全;防护策略;满意度
选题依据和背景情况:在现今信息化时代,网络安全已经成为越来越重要的课题。对我国网络信息安全防护策略在世界市场上的影响做一个系统的评估,能对我国网络信息安全防护策略现在的整体水平有一个具体的把握同时研究如何去提升做的更好的方法。
1我国网络信息安全防护策略发展现状及存在的问题
我国网络信息安全对于网络信息安全防护策略的重视度不足,甚至部分网络信息安全认为,网络信息安全防护策略可有可无,因此并未将网络信息安全防护策略纳入到网络信息安全运转日程当中。就我国网络信息安全目前情况而言,其网络信息安全防护策略还存在较多的问题,还要全面提升网络信息安全竞争力,扩充消费群体,就需要对所存在的问题进行一一梳理。
1.1存在独立性,信息不能共享
市场网络信息安全防护策略存在独立性,并且其市场网络信息安全防护策略是不同共享的。网络信息安全中不同业务部门所拥有的市场网络信息安全防护策略是不能够共享的,这样就造成了网络信息安全的工作滞怠,无法为客户提供完整性的服务。这样不仅会造成客户资源的流失,而且也严重滞怠了网络信息安全的工作效率与工作质量。因为大数据时代的到来,为网络信息安全需要提供了非常好的市场发展机会。而在未来三年到五年的时间里,网络信息安全也应该更加重视大数据时代带给互联网领域的市场网络信息安全防护策略。伴随而来的挑战,也将大数据时代网络信息安全之间的竞争推向了。一旦有哪一家网络信息安全不能够在大数据时代的数据流中,选择到具有重要价值的市场网络信息安全防护策略,并且对市场网络信息安全防护策略进行系统的管理,那么就会与其他的网络信息安全之间的差距越来越大。因此,如何有效的从大数据时代的数据流中,筛选出具有价值的市场网络信息安全防护策略,对市场网络信息安全防护策略进行系统、全面的管理,并且将其转化为网络信息安全的市场核心竞争力,就是网络信息安全必须加以重视的地方。
1.2网络信息安全防护策略人才缺乏,信息监管工作不明确
根据信息化时代的基本特点来看,可以明显了解到,市场网络信息安全防护策略发展的如此迅猛,数据量呈现爆炸式的增长趋势,其管理技术必须要做到与时俱进,才能更加顺应信息化时代的数据流的发展需求。也因为互联网领域各大网络信息安全需要对市场网络信息安全防护策略的高速发展,奠定市场网络信息安全防护策略技术基础,所以对网络信息安全防护策略的技术人才的需求较大。而对于网络信息安全而言,最为重要的市场网络信息安全防护策略就是市场网络信息安全防护策略,如何对市场网络信息安全防护策略进行系统、完善的管理,将会直接影响到网络信息安全的未来发展。但是就目前的形势而言,互联网领域网络信息安全的客户关系的管理技术人才十分有限。几乎不能满足互联网领域对于网络信息安全防护策略人才的需求,而这也直接影响到了网络信息安全的网络信息安全防护策略效率及质量。并且,网络信息安全的客户关系监管工作也具有一定的有限性。例如在信息化时代的互联网领域环境下,网络信息安全必须对市场网络信息安全防护策略监管工作进行有效性的提升。因为信息化时代下的网络信息安全必须对市场网络信息安全防护策略进行系统的保密监管,防止外流出来,否则,后果将不堪设想。
2网络信息安全防护策略发展对策分析
根据上一章的网络信息安全防护策略问题的梳理,本章提出了针对性的对策,以此来解决网络信息安全网络信息安全防护策略问题。
2.1将市场网络信息安全防护策略进行整合管理
网络信息安全需要将各个业务部门的市场网络信息安全防护策略进行整合性的管理,由此来提升网络信息安全服务体系与业务项目的制定,从而将网络信息安全的工作被动性状态转换为积极性状态。网络信息安全的市场网络信息安全防护策略进行整合性的管理,能够全面的提升网络信息安全的工作效率与工作质量,与此同时,能够让客户满意度提升,提升客户忠诚度,从而为网络信息安全有效的保留客户资源。
2.2加强网络信息安全防护策略人才的培养
在对市场网络信息安全防护策略进行整合管理的过程中,还需要加强网络信息安全防护策略人才的培养。就目前网络信息安全的网络信息安全防护策略人才数量的状态来看,互联网领域整体呈现出对网络信息安全防护策略人才求过于供的现象,可见网络信息安全防护策略人才的培养对于网络信息安全发展的重要性。面对如此庞大的市场网络信息安全防护策略量,这对于网络信息安全的存储与分析信息技术的要求非常高。但是伴随着网络信息安全对于市场网络信息安全防护策略的存储与分析技术人才的需求越来越多,市场网络信息安全防护策略的存储与分析技术人才群体显得供不应求。而网络信息安全信息管理部门不仅要为网络信息安全招募合适的网络信息安全防护策略技术人才,而且还需要规划一笔款项,来专门用作培养市场网络信息安全防护策略技术人才的经费。这样不仅能够为网络信息安全自身提供充足的市场网络信息安全防护策略存储与分析技术人才,而且还能建立网络信息安全市场网络信息安全防护策略存储与分析技术员工的忠诚度。显然,巨大的市场网络信息安全防护策略量是需要先进的市场网络信息安全防护策略存储与分析技术来帮助储存的。如果不能对庞大的数据量进行合理、系统的处理,那么将会为网络信息安全带来许多不便之处,甚至会直接影响到网络信息安全的内部经营管理与外部市场发展。不仅如此,网络信息安全信息管理部门也需要对其他各部门做出系统的市场网络信息安全防护策略培训规划,为的就是全面提升网络信息安全上下员工对于互联网领域市场网络信息安全防护策略的敏锐度,从而有效的掌握对网络信息安全最具价值的市场网络信息安全防护策略。而网络信息安全防护策略与分析的价值,就在于对有效的市场网络信息安全防护策略进行激活、归纳与重复利用。所以,网络信息安全市场网络信息安全防护策略的分析管理技术是需要保持在互联网领域前沿水平的,如果不能提供熟练且先进的网络信息安全防护策略分析技术,那么其综合竞争力就会大大落后于互联网领域的其他网络信息安全。
3探析网络信息安全防护策略的发展前景
在新经济时代,网络信息安全的整体质量如个人素养提升一般关键,并且成为了网络信息安全提升市场竞争力的重点所在。面对新市场的挑战,网络信息安全应该学会如何对待不同背景、类型的客户,并且通过网络信息安全防护策略来建立网络信息安全客户群,与现代化的管理思想及方式相结合,有效整合网络信息安全资源。网络信息安全防护策略的出现真正使网络信息安全能够全面观察客户资源,将网络信息安全管理趋于信息化,有效加强网络信息安全竞争力。
4结语
在当代互联网领域发展中,网络信息安全网络信息安全防护策略系统的制定与执行工作非常重要。而就互联网领域各大网络信息安全目前的网络信息安全防护策略现状来看,虽然网络信息安全的产品营销模式及网络信息安全运营流程等都已趋于稳定,但是在网络信息安全防护策略上仍然存在一定的问题。并且在其网络信息安全防护策略的目标市场的挖掘上,还有一定的潜力空间。应该正视网络信息安全防护策略问题,并且制定及时的解决方案,才能保证谋求到更好的发展未来。
参考文献:
[1]杨二宝.关于加强企业应收账款管理的思考[J].特区经济.2013(07):233-234.
[2]李峰,王全弟.美国应收账款担保制度及其对我国的启示[J].复旦学报:社会科学版.2011(04):102-110.
1 计算机信息安全的相关概念
计算机信息安全是指现代计算机网络通信所需要的内部和外部环境,主要的保护对象为计算机信息通信系统中硬件及软件等数据信息,在运行过程中使其免受木马、盗号、恶意篡改信息等黑客行为,从而保障计算机网络服务的安全、稳定运行。因此,计算机信息安全指的是保障信息在网络传输是能抵御各种攻击,并对系统产生的各种安全漏洞进行自我修复或发出预警指示提醒信息管理人员及时采取相应措施。计算机信息安全所涉及的系统信息数据极为庞大,主要包括计算机ID信息、硬件资源、网络服务器地址、服务器管理员密码、文件夹密码以及计算机系统不断变换与更新的各类登录用户名和密码信息等内容。从整体来来归类,可以将计算机信息安全划分为信息的存储安全和传输安全两大类。
2 计算机信息安全技术防护的内容
计算机信息安全防护技术所包含的内容较为繁杂,从现阶段安全技术应用的实际情况来看,强化计算机安全防护技术可以从安全技术管理入手。安全管理包含的主要内容为:对计算机系统进行安全检测和漏洞修补、分析系统数据、安装系统防火墙、设置管理员密码、安装正版杀毒软件、对系统进行定期不定期的入侵检测扫描等。同时,计算机安全防护管理人员应积极的研究并完善信息安全管理制度,严格根据管理条列规范安全防护行为,加强对管理人员的安全知识培训,提高其安全防护意识。
3 提高计算机信息安全的策略
为了提高计算机信息安全防护水平,保护国家和个人的信息与财产安全,以充分发挥计算机科学技术的社会和经济效益,我们应从以下几个方面来加强计算机信息安全防护工作。
3.1 提高计算机信息安全防护意识,加强法律立法
随着计算机网络技术的高速发展以及个人PC机、移动终端的大众化使用,随之而来的信息安全威胁与日俱争,一方面是由于计算机操作使用者的技术门槛要求过低;另一方面是计算机安全防护技术与黑客技术的发展所呈现出的矛盾性。无论是国家部门还是企事业组织对职工的安全防护知识力度的不足,更导致计算机安全事故频发。因此,要提高计算机信息安全防护技术水平,首要加强法律立法,对各种黑客入侵和人为恶意破坏行为进行法律上的制裁;同时,国家应出台并完善计算机安全防护管理条例,使计算机信息安全防护工作有法可依,有法可循。针对认为操作失误而导致的计算机安全事故,应做好对相关人员的安全防护知识教育工作,提高其安全防护意识,从思想上认知到计算机安全防护知识对维护个人和集体财产安全的重要性。企事业单位应将掌握一定的计算机安全防护知识作为职工聘任标准之一,并将这一标准加入到职工考核之中,在各类组织结构内容构建计算机信息安全管理条例,以规范人们的日常行为。
3.2 计算机信息安全防护的具体技术
1)设立身份验证机制。身份验证机制即是确认访问计算机信息系统的具体个人是否为系统所允许,最主要的目的是防止其他个人的恶意欺诈和假冒攻击行为。对身份验证通常有三种方法:①设立管理员登陆密码和私有密钥等;②通过特殊的媒介进行身份验证,如网银登陆所需要的U盾,管理员配置的IC卡和护照等;③通过验证用户的生物体征来达到密码保护的功能,如IPHONE的HOME键指纹识别功能,或者其他的视网膜识别和笔迹识别等。
2)设定用户操作权限。结合计算机信息数据的具体应用,设置不同的个体访问、修改、保存、复制和共享权限,以防止用户的越权行为对信息安全系统所带来的潜在威胁。如设置计算机PC端的管理员和访客密码,文件的可修改、可复制权限等。
3)加密计算机信息数据。信息数据的加密即是通过美国改变信息符号的排列足组合方式或设置对象之间的身份识别机制,以实现只有合法用户才能获取信息的目的。计算机信息加密方法一般分为:信息表加密、信息记录加密以及信息字段加密等。其中计算机信息记录的加密处理方式因其操作方式便利、灵活性高、选择性多而受到较为广泛的应用。如网络聊天工具的异地登录聊天信息查询的密码登录功能。
3.3 网络安全监测
对计算机网络传输带宽进行合理分配,并预留相应的空间,以满足网络使用高峰期的资源需求,并控制网络IP访问,设置IP过滤和黑名单功能,关闭系统的远程控制与拨号功能。局域网内设置用户访问、复制、修改与共享权限,有WIFI的局域网设置相应的密钥。同时,要监测端口扫描、木马攻击、服务攻击、IP碎片攻击、恶意插件下载与安装等潜在的信息安全威胁。对操作终端安装杀毒软件,定期的进行全盘扫描和杀毒,以及时的检测系统是否存在恶意攻击代码,系统不能删除的文件要进行手动清除。
关键词:军队计算机网络;安全防护
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)22-5312-02
随着信息军事时代的来临,“网络中心战”、“网络中心行动”成为当前军事领域战争行动的基本方式。军队计算机网络是实施网络中心战、网络中心行动的关键基础设施,是敌重点攻击的对象,其安全防护情况直接关系其效能作用的发挥,关系到战争的胜负,因此必须认真研究分析其安全形势,剖析存在问题,采取有力措施,提高安全防护能力。
1军队计算机网络安全形势分析
1.1形势的严峻性
信息军事时代,信息安全成为军队安全的重中之重。军队计算机网络是承载信息的重要平台,围绕网络展开的信息窃密与反窃密斗争正愈演愈烈。一些国家和地区利用网络大肆窃取我军秘密信息,并综合盗用黑客、木马、病毒攻击及窃取等多种信息作战手段对我网络进行破坏,严重威胁着国家和军队安全。
1.2威胁的多元性
军队计算机网络虽然在物理上与其他网络隔离,但是由于系统建设规模大、涉及领域广、组织结构复杂、缺乏严密的法规标准,使得军队计算机网络安全防护异常困难,从某种意义上讲,计算机网络上任何一个环节和关节点的被突破,都可能使全网和全系统瘫痪,后果不堪设想。
1.3事件的突发性
计算机网络安全威胁往往具有潜伏性和不可预测性,对被攻击方而言安全事件呈现出极强的突发性,被攻击方往往会丧失宝贵的防御时间,为信息安全事件处置带来极大的挑战,计算机网络安全威胁中的很多事件还没有被察觉,就已经造成不可预料的损失。目前,计算机芯片、骨干路由器和微机主板等核心技术多数仍由国外进口,一旦敌对势力在特定的时间激活恶意程序,就可以在我们毫无察觉的情况下瞬间发起攻击,造成整个系统的瘫痪。
1.4处置的艰巨性
信息化条件下,信息争夺空间巨大、流动性强,领域不断拓展,安全隐患不断增多。而当前部队部分人员信息安全观念淡薄;安全防护技术手段落后,针对性应急处置手段缺乏;法规制度不完备,组织安全防护力度差,对部分安全事件防护处置策略缺少相应的规范和力量。军事网络失泄密一旦发生,将导致整个网络震荡,失密影响范围广泛,泄密后果十分严重。
2军队计算络安全存在的主要问题
计算机网络安全保密工作十分重要,目前,我军计算机网络安全方面还存在以下问题:
2.1网络安全防护意识比较淡薄
目前,部队计算机网络建设普遍受到高度重视,但是有些单位仅仅看到网络建设带来的显著效益和便利,而对计算机网络系统安全防护建设同步规划、同步建设的认识较为短浅。从计算机网络安全防护系统建设投入看,国外计算机网络安全防护投入占整体投入的10-20%,我国仅占到2-5%,不足国外的四分之一,军队在此方面的投入也明显不足。同时,受长期和平环境影响,“有密难保、无密可保”的思想意识普遍存在,对网络安全问题关注不够,思想意识比较淡薄,影响到计算机网络整体安全防护建设的发展。
2.2网络安全防护建设相对滞后
我军围绕作战应用需求,重点加强了光纤传输链路建设,网络基础已经比较配套,但安全防护建设却明显滞后。部分单位未对网络进行防火墙、保密机配套建设;相当数量的终端没有安装防病毒系统;入侵检测没有完全发挥起作用;安防系统系统建设各自为战,无法形成整体安全防护体系等,这些都制约了计算机网络安全防护整体水平的发展。。
2.3网络安全防护标准尚未健全
当前,我军陆续颁布了一系列与网络信息安全相关的法律法规,但在安全保密等级划分、网络安全体系规范、网络安全策略制定、网络防护手段使用规范等方面仍存在不足。例如,对军队网络安全体系建设标准中部分设备、系统未进行明确;安全防护等级虽已明确,但配套手段还没有统一进行明确,无法达到最佳防护。同时,制度标准的落实情况也令人堪忧,有令不行、有禁不止的现象随处可见,这些都对军用计算机网络系统带来了巨大的安全隐患。
2.4网络核心技术受制于人
虽然近年来我国的信息技术得以飞速发展,但仍没有摆脱技术落后的局面,特别是计算机芯片、操作系统、路由协调等核心技术仍然没有摆脱国外的束缚。目前,我军大多数信息网络采用的都是微软的windows系列操作系统和TCP/IP、IPX/SPX等网络协议,这些系统的共同特点是在设计之初主要考虑了易用性而忽视了系统安全性,使军事信息网络自身从建设之初就存在安全隐患。
3加强军队计算机网络安全防护的对策措施
计算机网络应用与安全防护问题相生相伴,是“矛”和“盾”的关系,信息安全问题将长期存在,不可能彻底避免和消除。为此,必须着眼防患于未然,积极建设计算机网络安全防护体系,有效提升网络安全防护能力,确保“非法用户进不来,秘密信息取不走,网络平台摧不垮”。
3.1强化人员安全防护意识
强化军队人员的信息安全意识,一是通过大众传播媒介,增强信息安全意识,普及信息安全知识,依托信息服务网站开设信息网络安全知识普及专栏,提高安全防护能力,增强部队官兵信息安全防范意识。二是积极组织各种专题讨论和培训班,培养信息安全人才,使部队有计算机网络安全防护方面的“明白人”。三是要积极开展安全策略研究,明确安全责任,增强人员的责任心,全面提高部队信息安全防护能力。
3.2建立健全安全管理机制
针对我军军事信息网络安全防护现状,制定和完善军队计算机网络建设、管理与安全防护机制,确立网络安全防护工作科学、合理的运行机制。一是配套法规标准。建立健全制度规定,明确各级责任、措施、手段;制定标准规范,明确建设技术体制;规划安全策略,明确设备系统防护标准,以完善网络安全法律体系,使信息安全管理走上法制化轨道,确保信息网络安全有法可依、有章可循。二是建立协调机制。信息安全防护工作涉及多个业务职能部门,加强部门之间的相互协调、相互补充、统一规划、统一管理,提升整体防护能力。三是组建安全队伍。建立计算机网络安全防护中心,明确安全防护机制,建立安全防护组织领导管理机构,明确领导及工作人员,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏网络信息安全的事件进行调查和处理,确保网络信息的安全。
3.3构建安全技术防护体系
重点加强四个体系建设:一是安全监察体系。建立健全网络安全监察机制;配套建设计算机网络入侵检测、流量分析、行为审计等系统,增强安全事件的融合分析能力;配备安全管理系统,实现对全网安全策略的统一管理和控制;加强安全服务保障体系建设,提供病毒库升级、补丁分发、安全预警等安全服务,通过各系统的综合应用,提高网络的综合安全分析能力。二是终端防护体系。建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设;强化系统访问控制,设定用户访问权限,防止非法用户侵入或合法用户不慎操作所造成的破坏;加强实体鉴别,保证用户在获取信息过程中不受干扰、不被假冒,确保用户终端实体的可信;加强身份认证,为设备、用户、应用等颁发数字证书,并提供数字签名、身份验证、访问控制等服务,防止非授权接入和访问;加强终端保护,进行终端操作系统的安全加固,防止非法登录网络,保证终端资源的可控;提供病毒防护功能,适时查杀病毒、检查漏洞;提供主机入侵检测功能,防止对终端的攻击行为,从而全面建立终端防护体系,为终端用户构造一个安全环境。三是安全评估体系。按照军队有关防护标准,综合运用漏洞扫描、取证分析、渗透测试、入侵检测等系统和手段对网络进行扫描分析,客观分析网络与信息系统所面临的威胁及其存在的脆弱性,对安全事件可能造成的危害程度进行科学的定性定量分析,并提出有针对性的防护对策和整改措施,全面防范、化解和减少信息安全风险。四是应急响应体系。加强信息安全应急支援队伍建设,明确应急响应处置方法及原则;充分考虑抗毁性与灾难恢复,制定和完善应急处置预案根据安全级别的要求来制定响应策略;建立容灾备份设施系统,规范备份制度与流程,对域名系统、网管系统、邮件系统及重要业务系统等重要信息、数据适时进行备份,确保系统崩溃以后能够在最短时间内快速恢复运行,提高信息网络的安全性和抗毁性。
3.4发展自主信息安全产业
自主信息产业或信息产品国产化能够为信息安全提供更高保证。要加强计算机网络安全保密设备和系统的“军产化”,“独立化”建设。为此,应抓好以下几个方面的工作:一是组织核心技术攻关,如研发自主操作系统、密码专用芯片和安全处理器等,狠抓技术及系统的综合集成,以确保军用计算机信息系统安全。二是加强关键技术研究,如密码技术、鉴别技术、病毒防御技术、入侵检测技术等,有效提高军用计算机网络的安全防护能力。三是寻求监测评估手段,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等,构建具有我军特色、行之有效的计算机网络安全保密平台,实现网络及终端的可信、可管、可控,摆脱网络安全受制于人的被动局面。
军队计算机网络安全防护涉及要素众多,是一个系统的整体的过程。在进行防护时,要充分认清计算机网络安全面临的严峻形势,认真查找存在的问题,系统整体的采取有针对性的防范措施,从而提高网络安全防护能力。
参考文献:
[1]曹旭.计算机网络安全策略探讨[J].计算机安全,2011(21).
[2]刘萍.计算机网络安全及防范技术探讨[J].科技信息,2010(15).
[3]吴世忠,江常青.信息安全保障基础[M].北京:航空工业出版社,2010.
信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:
1.1信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。
1.2网络分区和隔离
运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。
1.3终端安全防护
需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。
2.构建信息安全防护体系
电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。
2.1建立科学合理的信息安全策略体系
信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。
2.2建设先进可靠的信息安全技术防护体系
结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。
2.3设置责权统一的信息安全组织体系
在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。
2.4构建全面完善的信息安全管理体系
对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。
2.4.1用制度保证信息安全
企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。
2.4.3建设时就考虑信息安全
在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。
2.4.4实施信息安全运行保障
主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。
3.总结
在社会经济与科技水平都得到迅速发展的今天,电力企业的发展也迈向了一个新台阶,信息安全防护技术在电力系统中的应用也逐渐增加,电力信息系统的建设与维护比较复杂,主要的是要加强其安全防护能力,避免产生信息漏洞对电力系统造成安全威胁。
【关键词】电力系统;信息安全;防护
电力资源在整个社会的发展中都占据着十分重要的地位,而且人们的日常生活与生产活动都离不开对电力资源的使用,其形式比较多样化,电力系统属于一项比较复杂的体系,有时会在供电方面产生不稳定的情况,如果一个地方的电力系统发生故障就可能会影响周边的一片区域,对人们的生活、生产活动造成不便。
1电力系统中信息安全防护技术的发展现状
电力系统中所涉及到的信息安全防护工作最主要的就是与电力负荷管理以及电力生产营销、电网调度自动化、安全设备等相关的工作内容,而且它还属于电力系统中比较复杂的一项工程类型,在现阶段的发展中,电力行业的发展逐渐加速,其中电力系统所应用的信息安全防护技术也获得了不小的进步,这使得电力系统信息安全防护技术的管理机构的工作效率得到了有效的提升。不过,还是存在一些电力企业为了单纯的追逐经济利益而对电力系统的管理工作存在轻视,电力系统信息安全防护方面的建设缺乏足够的重视,还需要进一步的完善,从而使得电力系统在信息安全方面缺乏一个比较全面的规划,这对于电力企业的经济进步产生着很大的阻碍。在电力系统开展的信息安全防护工作需要不断的对防护技术进行完善和规范,这不仅是电力系统运行质量水平方面的需求也是电力企业获得长久发展以及获得经济效益的保障,通常情况下,电力企业的信息安全防护工作人员在专业能力以及专业素质方面比较不足,对相关技术知识的了解、应用和标准化施工了解的不是很全面和透彻,而且其在电力信息安全防护方面掌握的技术也得不到充分的利用,这些方面的状况都对电力系统信息安全防护工作的发展产生着不利影响。
2电力系统中信息安全防护技术的分析
2.1电力系统中信息安全的风险评估技术
风险评估(VulnerabilityAssessment)是电力网络系统安全防护中的一项重要技术,主要有关注软件所在主机上面的风险漏洞与通过网络远程探测其他主机的安全风险漏洞两方面的内容[1]。这一信息技术系统主要的工作目标就是完成服务器、数据库以及工作站等设施的工作对象,按照信息网络中存在的安全漏洞存储库以及其他安全管理机制、安全防护措施等来对电力系统的各个工作目标可能存在的安全问题进行全面的扫描以及检查,然后对检查的对象中包含的信息进行提取,对其存在的安全风险等级情况进行进一步的评估总结,由此对电力系统运行的安全状况进行正确的判断,提出准确的安全改善建议和进步的对策。这种电力系统安全风险分析的实现需要借助网络漏洞扫描技术的应用,在工作操作中,风险评估可以作为一种有效的辅助手段来应用,但是真正的信息安全防护的开展还要主要借助防火墙、IPSec、VPN等技术来实现。
2.2电力系统中信息安全防护的物理隔离技术
物理隔离有横向隔离和纵向隔离两种方式,横向隔离装置是采用电力专用密码算法设计、专用于电力系统的一种单向隔离设备,安装在生产控制大区与管理信息大区之间[2]。这种横向的隔离技术,其设备在运行过程中可以实现两个安全区之间的物理形式的隔离,对FTP、E-Mail、Wed等网络通用的服务技术项目进行禁止,还可以将使用B/S或者C/S方式的数据库进行隔离设备的穿越、访问等操作进行阻拦。另外,物理隔离中包含的纵向隔离设备主要的使用的是数字加密、认证以及访问过滤等技术类型,它属于一种在电力系统中的纵向加密的认证设备中专门使用的技术,主要使用在上下级企业生产管理大区的网络边界之中,作用就是完成纵向网络信息边界的安全防护工作与数据的远方安全传输工作,确保电力系统中生产管理大区的信息传输的不可逆性以及完整性。
2.3电力系统中信息安全防护的IPSec技术分析
因特网协议安全性是为IPv4和IPv6协议提供加密服务的,其使用网络认证协议和封装安全载荷协议来保证其安全。使用因特网中的安全关联以及密钥管理协议、因特网简单交换密钥协议可以开展密钥的控制管理及交换等操作。电力系统信息安全防护技术中的IPSec安全服务技术主要有对网络信息的访问数量进行管理,还有无连接数据完整性、数据源认证、信息加密以及通信机密性限制等作用。其中,访问方面的管理控制在IPSec技术中需要使用身份认证制度、数字签名标准以及公钥加密等进行认证,提高了信息流通的保密性,在无连接完整性的操作中则要使用数据源验证这一方式来实现。另外,IPSec技术抗重播功能可以有效的防止攻击者进行IP包复制与截取操作。在电力系统工作中接收到IP包之后,需要使用同一个验证码以及算法来进行数据的验证,如果结果与MAC中的一样,才可以通过这一验证。
2.4电力系统信息安全防护的VPN技术应用
虚拟网络是指采用隧道技术、身份认证等方法,建立一个将远程用户、公司分支机构、公司合作伙伴等与企业内网连接起来的安全数据专用通道。通过对VPN技术的应用电力企业与其用户能够实现对公共互联网的运用,从而与分部的网络、其他远程的服务网络、企业的网络等系统进行连接,而且可以起到保护电力系统网络通信安全的作用。VPN技术在实际的应用中具备安全性能好、管理规范化以及服务质量高、成本低、灵活等特点,在电力单位的运行中,应尽量的使用VPN技术产品来对其中重要的业务信息跨部门或者跨地区的传输实行加密处理,这样可以对信息的安全传输过程进行保障。但是在具体的应用中,需要注意几个方面的问题:①VPN的服务协议在实施的过程中要与现有的网络协议内容保持一致性。②在实施VPN服务的企业中的部门机构需要合理选择其中的密钥技术类型以及加密形式、密钥长度等,这样才可以促进网络负载与安全发展中的平衡发展。
3电力系统中信息安全防护技术的发展趋势
电力系统中包含的信息安全防护技术除了以上的几种之外还包括存取控制、安全协议、身份验证等这些已经得到了广泛应用的安全技术类型,主要是由防病毒、安全审计、硬件密码加速等相关技术的一种集成,这种技术的结合发展成为的GAP技术产品对于电力系统网络的连接的灵活性提高更有帮助,这样形式的安全防护技术的结合在电力系统信息安全管理中的发展潜力比较大。而且IPSecVPN技术也有向SSLVPN这一方向发展的趋势。总体来说,电力系统信息安全工作比较复杂和系统化,不仅涉及到网络安全技术的发展程度,而且与网络的系统复杂程度及发展层次有着很大的联系,所以,电力系统中信息安全网络的防护应采用分层次、分区域的进行管理防护。
4结语
在电力系统中信息安全防护技术的实际应用与技术方面的安全措施对比,建立完善的安全管理制度以及提高安全防护意识显得更加重要,信息安全防护的工作需要不断提高重视,在提高系统安全性的同时还需要加强安全方面的监管,确保电力系统的稳定、安全的运行。
参考文献
[1]朱世顺,余勇.信息安全防护技术在电力系统中的最佳实践[J].电力信息化,2009,04:24~26.
三种挑战
当前,黑客攻击手段越来越先进,APT攻击、DDos攻击、社会工程学、零日漏洞让用户应接不暇,而传统的以打补丁为基础的防护措施已经难以起到实效。信息安全面临着多方面的挑战。
针对APT攻击的日益流行,国家计算机网络应急技术处理协调中心副总工杜跃进表示,APT攻击的应对方法有三个层面,包括最低层的网络摄像头、中间层的特征数据集以及最高层的多方位情报汇总与深度分析。国内安全厂商目前主要是在做中间层的特征数据收集,在更高层次的情报共享和分析方面,做得还远远不够。在他看来,未来情报、资源和能力需要进行整合,形成另一种安全“云”,而现有的监测、预警、响应及风险管理,也需要进行有针对性的升级。
此外,在应对移动互联网带来的新威胁方面,一项针对全球CIO的调查显示,66%的受访者希望在企业内部建立起类似于App Store的内部移动应用商店,以替代当前面向公众的应用商店。CIO们希望通过这种方式应对BYOD带来的威胁。但在中国,企业内部应用商店的部署还没有被提上日程。因此,绿盟科技副总裁吴云坤认为:“虽然国内BYOD应用不多,但信息安全问题比国外严重,因为国内企业在管理和体制上还没有给出严格限制。
从市场的角度看,美国的安全硬件采购量呈下降趋势,安全服务的采购量在不断升高。相比之下,中国的安全软件采购增势尚不明显。对此,吴云坤认为,信息安全厂商要摆脱做设备的模式,强化运营模式,加强“与用户、合作伙伴、云端的协作,以及设备与设备、人与设备的协作”。
安全防护正在融入IT基础架构
今年3月,信息安全领域有两项重大收购:3月13日,戴尔宣布收购安全厂商Sonic Wall;3月31日,华为以5.3亿美元回购华为赛门铁克的全部股权。这让人联想起近年来的多起IT巨头对安全厂商的收购案,例如英特尔收购迈克菲、惠普收购Arcsight、EMC收购RSA等。这些收购表明,安全防护正在融入IT基础架构。
借助安全厂商的专业技术,提升其软硬件的安全性,将信息安全融入既有产品或IT架构的不仅仅是IT巨头,一些新兴厂商也从信息安全的角度寻找更多新机会。在此次交流会上,华为存储网络安全公司战略及规划部部长郑志彬重点介绍了10家在2012 RSA大会上备受关注的企业,其中有两家企业在原有业务基础上融入了安全防护功能,拓展了新的商业模式。
例如,原本做基于Java开源组件的Sonatypa Insight在本届RSA大会上备受关注,它建立了一个基于Java的开源组件库。由于开发者倾向于利用开源软件、开源模块开发应用,Sonatypa Insight为用户提供针对库里Java的应用做安全性检测和安全管理,以及开源软件的管理。如果用户订购相关服务,只要软件有漏洞,Sonatypa Insight会及时告知开源软件的使用者,并帮助用户打补丁,将软件更新到新版本。
此外,ionGrid公司原本针对iPad平台给企业提供服务,将企业应用转换到iPad平台上,在此基础上,它提供基于流的技术控制员工访问企业文档安全状况监测服务,并对所有访问进行SSL 、AES加密,然后通过沙箱控制,保证应用和文档的安全性。
下一代安全体系亟待建立
传统的防护手段是提取攻击手法,建立威胁库,并对网络和设备进行检测。绿盟科技首席战略官、云安全联盟理事赵粮认为,当前的安全防护体系已经很难应对成百万、上千万的新型病毒和恶意软件,以及新环境下层出不穷的安全威胁了。
“失去了智能,再先进的战斗机也会失去眼睛和大脑,成为一堆废铁。”在赵粮看来,孤立的网络安全的逻辑判断方法和威胁库已难以满足下一代威胁,一个能在更大范围内实时识别潜在威胁的病毒库和逻辑方法急需建立起来,下一代信息安全防护体系的建立已经迫在眉睫。
关键词:电力系统;信息安全;防护措施
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01
Power System Information Security Protection Measures Research
Chnag Dongliang,Dong Hongjuan
(Tongchuan Power Supply Bureau,Tongchuan 727031,China)
Abstract:With the power system and the Internet become more closely linked,the power system faces major challenges of information security.In this paper,the whole power system of information security measures,focusing on the firewalls,message encryption,authentication,security,auditing,and data backup and disaster recovery protection technology,and information security measures in the future development trends are analyzed.
Keywords:Power system;Information security;Protection measures
一、引言
随着电力自动化水平的不断提高及计算机技术的进步,电力系统与电力数据信息网络的联系也愈加密切。但同时,电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,进而影响电网的可靠供电,以致影响到人民群众的日常生活。因此,电力系统信息安全己成为一项涉及电网调度自动化、继电保护及安全装置、电力负荷控制等有关生产、经营和管理方面的多领域、复杂的大型系统工程[1,2]。由此可见,对电力系统信息安全防护措施进行研究就显得很有必要。
二、信息安全防护措施
(一)安全防护体系的建立
电力信息系统由于其本身的特殊性和重要性,建立一个合理有效的安全防护体系有着十分重要的意义。显然,传统的对系统进行风险分析,制定相应的安全策略,采取安全技术作为防护措施的安全防护方法已经不能满足当前电力系统的要求。这是因为该安全方案对系统正确的设置和完善的防御手段依赖程度高,并且在很大程度上针对固定的威胁,是一种被动式的静态的防御体系。而实际上在电力信息系统中,除了有静态、非实时数据外,还有动态的、实时的生产控制数据。因此,电力系统信息的安全防护体系也应该是一个动态的、全方位的过程。这就需要建立一个动态安全体系模型,要充分考虑风险分析、安全策略、防御系统、实时监控、应急响应、灾难备份等各个方面,并且考虑到各个部分之间的动态关系与依赖性[3]。
(二)各种防护技术的运用
1.防火墙。防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。电力系统中,防火墙可对生产控制、行政管理、市场营销等系统之间信息的整合、共享与调用在不同网段之间进行过滤和控制,不允许有绕过防火墙的行为发生,同时阻断攻击破坏行为,分权限合理享用信息资源[4]。当然,合理地配置防火墙,证网络之间的连接安全,不会在连接端口出现安全漏洞也是确保电力系统信息安全的重要任务。
2.信息加密。信息加密技术是利用数学或物理手段,对电子信息在传输过程中核存储体内进行保护,以防止泄露的技术。信息加密包括两方面的要求,一个是对数据保密性要求,使未经授权的非法访问即使得到数据也难以解密;另一个是对通信保密性要求,防止用户通信数据篡改、通信数据插入、通信数据重用等非法操作[5]。常用的加密技术有对称密码技术(如DES算法)、非对称密钥技术(又称公开密钥技术,如RAS算法)以及二者的混合使用。
3.身份认证。在网络中为了确保安全,必须使特定的网络资源授权给特定的用户使用,同时使得非法用户无法访问高于其权限的相关网络资源。这种为主机或最终用户建立身份的主要技术就是身份认证技术。在实际认证过程中,可采取如口令、密钥、智能卡或指纹等方法来验证主体的身份[6]。常用的身份认证机制主要有基于CA(Certificate Authority,授权证书)的身份认证机制和基于DCE/Kerberos的身份认证机制。在电力系统中,电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等多方面应用。市场交易各方的身份确认、物流控制、财务结算、实时数据交换,均需要权威、安全的身份认证系统[7]。因此,建立全国和网、省公司的认证授权机构,提供目录服务、身份管理、认证管理、访问管理等功能,实现主机系统、网络设备、安全设备、应用系统等的统一身份认证管理是极为重要的。
4.安全审计。信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。做好安全审计工作,能够增强电力企业对故障、风险的预警能力和监控能力,也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。随着电力信息系统规模的不断扩大与安全设施的不断完善,需要引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备行为、操作系统运行行为、数据库访问行为、业务应用系统运行行为等统一进行安全审计,及时自动分析系统安全事件,实现系统安全管理。
三、结论
本文从安全防护体系的建立、各种防护技术的运用和信息安全管理三个方面对电力信息安全防护措施进行了综述,并提出了具有综合功能的物理隔离产品的开发、电力系统建设的完善、安全防护技术的自主研发、信息安全管理体制的健全等防护措施发展趋势。
参考文献:
[1]李治.电力系统信息安全关键技术的研究[D].武汉:武汉大学电力电子及电力传动,2004
[2]董绍辉.电力企业信息安全体系的设计与应用[D].西安:电子科技大学软件工程,2010
[3]冯剑红,谢汶.电力信息安全体系结构研究及安全策略[J].四川电力技术,2006,29(3):59-62
[4]王建勇.电力系统信息安全研究[J].应用科学,2008,6(20):101
[5]张小飞,朱洁.电力信息安全探讨[J].计算机安全,2009,4:89-93