当前位置: 首页 精选范文 信息安全应用范文

信息安全应用精选(十四篇)

发布时间:2023-10-10 17:15:05

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇信息安全应用,期待它们能激发您的灵感。

信息安全应用

篇1

当用户想安全、轻松、及时地接入企业机密信息,如何保证这种接入的安全、简单呢?Citrix Password Manager是领先的企业单点登录解决方案,它从根本上改变了传统的多口令管理方式。使用它,用户可简单接入Windows、Web和基于主机的应用,且口令得到了更高的安全保障。它既可以作为独立的解决方案也可以作为Citrix环境的无缝部件使用。

以前,用户需记住5个,甚至15或30个口令,而且还必须弄清楚哪个应用配的是哪个口令,现在,就让我们彻底忘记那些让人感到恼火的事情吧。Password Manager的部署使用户只需一次身份验证,就能以一个口令登录所有受口令保护的应用。它将自动接入受口令保护的信息资源,执行严密的口令策略,监控口令相关事项,自动化最终用户工作,例如口令变更。

单点接入

为了加强IT安全,Password Manager对口令采取了集中化管理,具体事宜由IT机构的专业人员统一负责。这增强了用户的使用安全性及对外部攻击的防御能力。实际上,当用户离开公司后,可以仅关闭惟一的一道门终止他们的应用接入权利(取消主网络登录密码)。

同时,Password Manager加强了对信息接入的内部控制,使公司能轻松应付全球范围的大量法规条款。根据美国的HIPAA及Sarbanes-Oxley法案或European Union Data Protection Directive,安全缺口会让企业受到严厉的惩罚。在信息接入追踪方面,Password Manager执行强口令策略,自动化口令变更,实时抓取用户接入数据以供审查。

根据Forrester Research研究表明,Password Manager的自动口令变更过程使客户不必再为口令问题,尤其是口令重置,支付平均每用户200美元的Help Desk支持费用。利用用户自服务,Password Manager自动化了口令重置,为企业节约了成本。

除了上述几点之外,Password Manager的安装很方便,不需编写脚本,无须应用级别的整合,而且完全不会更改公司的基础架构。另外,它还能透明地直接集成业界先进的多因子认证设备。

主要特性

在应对来自IAM的挑战时,Citrix Password Manager提供了数字式签名,增强型事件记录和集成第三方安全认证来提高安全性、贯彻法律法规要求,另外还提供了一个强大的管理控制台以加强管理控制。此外,它还有更多、更显著的特性:

单点登录――提高生产力,用户仅凭自己的网络凭证进行一次登录。

增强口令策略――基于每个应用实施强口令生成法则,因而消除了用户自创的弱口令。

自动口令更改――用户看不到整个口令变更过程,这使IT人员能随意快速、简单并经常更改口令。

口令重置和账号解锁自服务――允许用户重置网域口令或解锁Windows账号。

Hot Desktop――让共享工作站的用户能在几秒内登录/退出。

用户身份供给机制――将用户的第二身份认证预置于Password Manager的核心存储。

竞争优势

Citrix Password Manager简化了企业用户的接入,为企业节约了成本,为每个人增强了安全性。如果Citrix Password Manager作为Citrix Access Suite的一部分来销售,其价值将大大提升。

Citrix Access Suite是目前安全按需接入领域集成性较好的接入解决方案,用户可在任何地方通过任何设备采用任何网络连接方式接入企业信息资源。Access Suite由Citrix Presentation Server、Citrix Access Gateway和Citrix Password Manager组成,提供了对信息(不管是数据、语音或人)的不间断接入。该套件设计安全,集中化接入,为企业应用奠定了坚实的基础,能自动适应动态的接入场景。

案例:非技术用户的简单接入

篇2

 

1网络安全的定义

 

网络安全是指使用各种网络管理、控制和技术措施,使得网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,保证网络系统可靠、连续不间断地运行。 而网络安全包含网络硬件安全、网络软件安全、网络信息安全。从广义来说,就是我们的信息,从源头的网络设备开始,到网络的传输过程,最后到网络的设备终端,都是涉及到网络安全保护的范围,最后保证信息的完整性、保密性和可用性。

 

2校园网面临的安全问题

 

校园网面临的安全问题主要有以下几个方面:

 

(1)校园中的计算机设备千差万别。比如学生宿舍的计算机、老师的计算机、学校机房的计算机,这些计算机应用的安全策略都不尽相同,没有一个统一的计算机管理制度,就会造成校园网的安全责任难以区分。

 

(2)开放的校园环境。极大部分的高校处于一种开放式的校园,很难保证校园内的计算机和通信设备免收破坏。机房出入管理不严,使潜在的入侵者有机会接近重要的设备。所以硬件设备的物理安全是整个校园网正常运行的基本条件,高校必须重视设备的物理安全,完善学校的安保系统。

 

(3)“家贼难防”。校园网中的用户是一个多元化的群体,有老师、学生和外来人员等,要使得校园网正常稳定运行,就要确保每个用户正确使用校园网。其中学生是一个活跃的群体,他们对新知识充满好奇,一些新的网络知识,比如入侵和攻击技术,会让他们铤而走险,不考虑后果,以校园网作为对象去实施这些攻击。例如DDOS(分布式拒绝服务器攻击),对服务器会造成很大的负载,导致校园网瘫痪。

 

3校园网的信息安全应用

 

针对校园网所面对的安全问题,如何正确保护校园网的正常稳定运行,主要体现在管理安全、物理安全、数据安全、网络安全等方面。

 

3.1管理安全

 

校园网的管理安全就是对校园内的一切人、设备和环境等资源的状态管理与控制,有以下几个项目:

 

(1)对校园网进行定期维护和保养,主要的设备应当集中管理,对校园网中的路由器、交换机、服务器等网络资源进行监视、测试、配置、分析、评价和控制,对设备进行实时的监控,及时处理异常情况。

 

(2)建立完善的机房出入登记制度,任何人出入机房都必须登记姓名和部门等相关信息,而机房管理人员应当每天下班前检查机房是否完好,水电和门锁是否已关闭等。

 

(3)加强校园网安全基础设备的建设,如重要的校园网设备应当按照监控录像,如遇异常情况能提供录像证明。

 

3.2物理安全

 

硬件设备的物理安全是整个校园网正常运行的基本条件,其中包括物理位置选择、物理访问控制、防盗防破坏、防火防潮、防静电、防雷击、电力供应等方面。

 

(1)校园网主要设备的物理位置应该远离产生粉尘、油烟,以及生产或贮存具有腐蚀性、易燃、易爆物品的场所,避开强电磁场干扰(广播电视发射塔等),与垃圾房、厨房、餐厅保持相当距离,防止鼠害。

 

(2)机房应该使用专门的防静电地板,重要的设备旁边应该有灭火器等灭火工具;建立有效的制冷系统,保证设备运行在正常的温度和湿度状态下。

 

(3)机房必须配备UPS(Uninterruptible Power System/Uninterruptible Power Supply),即不间断电源,保证机房24小时不间断运行。

 

3.3数据安全

 

在信息化时代里,信息数据是最宝贵的资源,很多违法者想方设法都要窃取这些重要的数据。对于高校校园网而言,最可能的数据安全包括:重要的科研数据被破坏或泄密;财务系统数据被破坏或泄密;教务系统被破坏,教师或学生的个人资料被破坏或泄密。为了保护这些重要的数据,可以从以下几方面着手:

 

(1)利用数据加密技术(如3DES算法)对校园网中敏感数据进行加密,防止数据在通信过程当中被窃取。

 

(2)重要数据应当做好异地备份,防止数据被破坏。当出现数据丢失或损坏的时候能够迅速还原。

 

(3)利用身份认证和权限控制,把校园网内的用户分权限,不同用户依据自身获得的相关权限进行相关数据或信息的处理,从而实现数据和相关信息资源的安全。

 

3.4网络安全

 

网络安全主要是利用路由器、交换机、防火墙和入侵防御系统等设备防止数据在通信过程当中遭到破坏。具体方案有如下几点:

 

(1)构建校园网入网设备的病毒防御体系。在校园网的出口处设置网关防病毒系统。对通过FTP下载文件、通过POP3接收下载外部邮件时可能携带的恶性的程序和病毒进行查杀扫描。在网络中心机房建立防病毒监测与控制中心,能够及时有效地发现、抵御病毒的攻击和彻底清除病毒。

 

(2)建立7*24小时监控的网络信息入侵检测体系。入侵检测系统(IDS)是新一代动态安全防范技术,通过对计算机网络或主机中的若干关键信息的收集和分析,从中发现是否有违反安全策略的行为和被攻击的迹象。

 

(3)建立高效可靠的内网安全管理体系。对于移动设备(笔记本等)和新增设备未经过安全过滤和检查,监测内网计算机的一些违规接入网络的行为。对于一些端口(无线接入设备或固定端口)可以使用IP地址与MAC地址进行绑定。

 

4结语

 

保证信息的安全是校园网能够得到广泛应用的重要前提条件,一个方面的安全解决方案很难充分保证校园网安全,因此建立一套多方位的安全管理方案是十分必要的。虽然信息没有百分之百的安全,但这样的全面保护方案也仍然是必要的,而且必须与时俱进,随时更新各种网络技术。本文提出的信息安全应用,能够有效保证校园网的信息安全。

篇3

本文重点描述了根据公安部出台的《信息安全技术信息系统安全保护定级指南》的要求,在医院信息系统等级防护中应用堡垒机去解决与保护域内计算机系统资源实现身份鉴别认证,并提供有效可回溯的安全审计方式,让医院信息系统获得最大的保障和管理应用效果。

关键词:

信息系统;安全;堡垒机

1、现状与要求

近年国家对企业的信息安全越来越重视,公安部及信息部等出台了《信息安全技术信息系统安全保护定级指南》(以下简称《指南》),卫生部也出台了《卫生行业信息安全等级保护工作的指导意见》对在建及已经运营的医院信息系统进行检查,要求重要信息系统其安全保护等级按照不低于三级进行建设。在《指南》中,要求信息系统必须建立及保存运维访问的各种操作日志。《定指南》将系统划分物理、网络、主机、应用和数据安全及备份等几大安全领域,其中几大领域均涉及到了数据以及操作审计、操作人员身份鉴别等安全问题。

2、医疗信息安全领域存在的问题

医院信息系统主要划分为his,pacs,Lis等几大子系统,其主要目标是支持医院的行政与管理运作,减轻各事务处理人员劳动强度,辅助医院高层对医院运作进行管理决策,提高医院工作效率,从而使医院能够获得良好的社会与经济效益。在对日常各系统的运维过程中,不同公司的维保人员有可能通过互联网络,在外地甚至在家对医院的业务系统进行升级与维护,操作方式基本分散无序,普遍存在由于管理人员登陆帐号管理不规范、运维权限划分不清晰、认证流程简单、缺乏对运维过程的监控、无法控制运维的时间段等等问题,容易导致其运维行为可能存在误操作、违规操作甚至恶意操作等现象,造成系统服务异常或宕机,病人数据信息被泄露或破坏。因此,进一步加强对拥有信息系统高级管理权限的运维操作人员的行为管理与监控,也是医院信息安全发展的必然趋势。

3、堡垒机在信息安全领域的应用

堡垒机,提供了在特定网络环境下,为确保域内服务器、路由器等设备的安全运行,使用协议等方式,接管对终端目标设备的访问界面,对其访问行为进行安全审计与翻译,集中管理、监控记录运维过程的一种设备,确保域内网络与数据不受破坏。堡垒机扮演了对信息系统和网络、数据看门者的角色,所有对网络关键设备、服务器以及数据库的访问,都要经过这个看门者的安全检查。符合安全规定条件在命令和操作才可以从大门通过,这个看门人可以对这些命令和操作进行登记记录,而某些非法访问、恶意攻击以及不合法命令则被阻隔于大门之外。因此,在提高医院信息安全防护等级的过程中,使用堡垒机不仅可以实现用户的身份鉴别、单点登陆、多因素安全认证,还可以将服务器、网络路由设备、数据库等资源的操作进行详细的记录并录像,提供有效的安全审计查询。堡垒机作为医院信息系统等级保护安全体系中的一个环节,可以很方便地做到事中监控,事后找出问题根源。医疗单位要选择一款好的堡垒机,要注意其生产厂家必须能在IT运维管理领域里,可以深刻感知医疗安全行业和国家的合规性规范及高安全性、高可用性和高可靠性需求,不断创新发展,致力从事智能的自动化运维管理。医院在选择堡垒机厂商时要注意厂商是否具备快速响应能力及行业内口碑等,多了解其产品的行业经验,注意了解厂商的是否有医院信息安全领域的服务经验及良好的服务质量,并建议选购前要做好堡垒机设备与医院信息系统的兼容性测试,选择良好的堡垒机厂商可以让医院医疗信息行业运维管理工作增值,这样才能让医院医疗信息系统获得最大的保障和应用效果。

4、堡垒机所应具备功能:

4.1单点登录

堡垒机可通过保护域内的安全设备、数据库、网络设备等对堡垒机专用帐号的授权,支持针对一系列授权帐号的密码定期变换,规范及简化密码管理流程。被授权的维护人员无需再记忆各种不同系统的密码,即可通过堡垒机安全便捷地登录被保护域内设备。

4.2帐号管理

针对保护域内的网络设备、服务器及其他安全设备的各种帐号进行统一管理,监控授权访问资源帐号的整个生命周期。可以根据运维人员的不同身份设计不同帐号角色,满足审计及运维操作管理要求。

4.3身份认证

由堡垒机提供统一的认证入口,支持包括动态与静态口令、硬件密钥、生物指纹认证等多种认证模式对用户认证。并要求可订制接口,支持第三方认证服务;有效提高保护域内设备的安全型及可靠性。

4.4资源授权

针对访问域内网络设备、服务器、数据库等根据ip协议类型、行为等多种要素进行授权操作

4.5访问控制

保垒机能支持对不同用户制定不同策略,有针对性地进行细粒度的访问控制,有效禁止非法及越权访问,最大限度地保护用户资源的安全。

4.6操作审计

堡垒机能支持针对命令字符操作、图形界面操作、文件传输操作等的多种行为的审计与录像全程记录,支持通过实时界面监控、对违规事件进行事中阻截。并能支持对指令信息的关键字搜索,精确定位录像回放位置等功能。

5.堡垒机在医院医疗信息系统安全的主要作用:

5.1从医院来看:

通过堡垒机细粒度的安全管控策略,保证医疗信息系统的服务器、网络设备、数据库、安全设备等安全可靠运行,并可以在一定保障数据的隐私性与安全性,降低人为安全损失,保障医疗信息系统的运营效益。

5.2从信息系统管理员来看

可以将保护域内系统所有的运维账号在堡垒机这个安全平台上管理,让管理更简单有序,确保用户拥有的权限是恰当的,只拥有完成任务所需的最小权限。

5.3权限控制:

通过堡垒机可以通过字符与图形界面直观方便的监控各种韵维访问行为,及时发现与阻隔违规操作、权限滥用等。

5.4以普通用户来看:

系统运维只需要记住一个自己的运维账号和口令,登录一次,就可以访问个资源,大大降低工作复杂性,提高了效率。

作者:胡名坚 周春华 黄慧勇 单位:佛山市第一人民医院计算机中心

参考文献:

篇4

【关键词】电力信息系统;信息安全技术;研究

【中图分类号】TP309【文献标识码】A【文章编号】2095-2066(2015)32-0048-02

经济与科技的发展使得我国的电力事业有了快速的提高。电力工作作为我国国民经济发展的核心工作,电力信息系统安全稳定的运行,确保了社会经济的发展,同时对人们的日常工作生活都起到了稳定作用。目前我国的电力信息系统的建设已经基本成型,但是还是有一些问题,这些问题主要表现在网际协议与安全体系上,也就是说我们对电力信息的风险防范方面做的不是很好,使得网络安全没有办法得到保证。因此,我们一定加强电力系统信息安全技术的研究,为我国的电力系统的发展作出一定的贡献。

1我国电力信息系统经常出现的一些问题

电力系统是一个比较庞大与复杂的系统,其安全可靠的运行直接影响着电力配电。只有做好电力信息系统信息安全工作,才能够确保电力系统安全稳定的运行,才可以有效预防恶意攻击与有害信息对电力系统的干扰。因此,对电力系统信息安全的防护工作是非常重要的。电力系统信息安全涉及的范围非常广泛,我国非常重视电力系统的信息安全,电力系统也非常重视电力系统信息安全的研究工作,并且在这方面投入了大量的资金,但是,目前我国电力系统信息安全还有着不少的问题,经常出现的问题有以下几个方面:

(1)电力系统信息安全管理不够规范,没有一套标准的安全管理规范系统,无法合理科学的管理控制电力系统的信息安全。

(2)电力部门对于电力系统的信息安全工作不够重视,安全意识比较淡薄,不重视信息安全技术的研究工作,仅仅只是安装了防护墙与防病毒的软件,在工作中要是遇到新的问题就没有办法及时的进行解决。

(3)电力部门对信息安全的管理没有进行系统的统筹规划,使得系统中存在着一些安全隐患,严重威胁了电力系统安全稳定的运行。

2电力信息系统的信息安全技术

2.1物理隔离技术

物理隔离技术主要指的是在物理层面把电力企业的内网与外网之间相互隔离开,预防黑客的非法攻击和破坏,以及病毒的扩散,进而导致电力系统出现瘫痪。在第一、二、三、四安全区都可以通过物理隔离手段做好相关的保护工作。物理隔离技术把企业的内网划分成许多个安全区域,每个区域都有明显的界定。那么电力信息系统安全的可操作性就会非常明显的得到提升,加上安全管理和实时监控手段的使用,可以很方便的帮助管理人员在区域中找到攻击点,并且及时的处理掉。同时也能够预防内网信息的扩散。主要技术有两个方面:①时间分隔系统。通过一系列的设置转换,例如转换器,把内网与外网进行信息交流的条件创建起来。②在计算机上安装安全分离卡。卡的主要作用是把一台电脑虚拟成两台,分别处于公用状态与安全状态。这样在实际工作中,就可以有效的确保能有一台电脑能够安全的进行内外网之间信息的交流。

2.2网络协议隔离技术

协议隔离技术主要指的是通过安置协议分离器达到内网与外网的分离。利用设置上的两个接口,完成内网和外网通过协议隔离进行信息的交流。在使用协议隔离技术的时候,内网和外网都是断开的,只有在需要进行信息交流的时候才会进行安全的暂时性连接。防火墙技术,就是在内网和外网之间树立一块安全的分离屏障,把那些无法预判的恶性攻击和破坏进行有效的拦截掉。同时,还可以最大程度的对外隐蔽和保护内网的信息与构造,确保内网能够安全正常的运行。

3电力信息系统信息安全技术的具体应用

3.1建立健全电力系统

一般来说,建立健全电力系统主要有三方面的工作需要做好。

(1)创建与完善电力调度的数据网络,需要在专门通道上通过多种手段达到物理层面和公共信息网络的安全分隔。其主要的方法有:使用专线,数字序列同步处理和准同步处理,通过专一的网络设施组装网络等。电力调度数据网只能够被允许传送和电力调度生产密切有关的数据业务信息。

(2)电力监控系统和电力调度数据网络都不准与外面的因特网进行直接关联,同时还要做好对电子邮件的严格限制收发工作。

(3)电力监控系统可以利用专用的局域网(内网),做到和当地另外的电力监控系统的关系与连接。还可以利用电力调度数据网络完成不同层级之间在不同的地方对电力监督系统的相互联系。所用的电力监督系统和办公智能化系统还有其他信息系统互相之间在进行网络关联时,一定要得到国家相关部门的审核与批准才可以,并且要使用相关的专一,有效的安全隔离设备。

3.2改革和创新网络安全技术

改革和创新网络安全技术主要包括了以下几个方面的措施:

(1)提高相关工作人员的安全防范意识和管理水平。安全意识的缺乏导致的系统安全隐患远远大于系统自身存在的错误与缺陷。把没有经过扫描查杀病毒的优盘,软盘插入电脑中、不妥当,不合理的设置相关密码、把密码写在另外的地方或者存放在电脑文件中、没有定期的修改密码,在网络上下载一些不安全的文件、还有企业自身合法获得许可的用户进行非法的行为等等,这些都会导致企业的信息网络存在非常大的风险。

(2)实时的监督网络端口和节点信息的走向,定期对企业的信息网络进行安全检查,信息日志的审核与统计,还有病毒的扫描排查工作,对很重要的数据要及时的备份保存,在整个网络领域创建一套正确有效的安全管理体制,都有利于企业信息网络的安全运转。

(3)正确安全的设定和存储密码。密码的安全是网络安全中至关重要的,如果密码被破解或泄密将给非法用户有机可乘,进入相关系统。随着穷举软件的兴起,根密码的位数要在十位以上,普通用户的密码也要求在八位以上,并且有大小写字母和数字及其他符合穿插随机组成的设定规则。也要避免把自己的生日或者名字等比较容易破解的信息作为密码使用。3.3网络安全框架要做到与时俱进电力企业信息网络在安全问题上有它自己的特点,遇到的安全威胁也是比较严重的,如果不处理好就会影响国家经济和人们的正常生活。未来一定会使用更加优越有效的网络安全框架,密码算法,入侵检测系统(IDS)与病毒查杀软件和更加智能化的防火墙技术等,来保证电力信息系统的信息安全。然而,防护往往是先从自身被瓦解的,所以在这些技术方面的防护基础上,还要制定一套有效的安全体系和培养员工的安全防范意识,它们是保证系统信息安全的核心。

4结束语

总而言之,我国电力信息系统的信息安全实现,需要借助大量相关的关键信息安全技术的辅助作用。本文主要描述了其中在电力信息系统信息安全管理中所运用到的一些常用技术,包括了各自的优缺点。在实际使用过程中,我们还要注意多种技术的选择与融合。本文还描述了信息安全技术在今后的广泛应用与推广,这项技术的推广使用有助于促进我国电力系统的完善与提高,更好的为国家和社会服务。

参考文献

[1]李云娟,赵小丽.基于精益化的电力企业信息安全风险管理研究[J].华北电力建设,2014,25(21):152~154.

[2]周建设,王红丹.信息化战场指挥信息系统信息安全保障体系研究[J].电力信息工程,2014,17(07):242~244.

篇5

随着社会的快速发展,信息化管理技术在现代网络信息安全的应用也越来越关键。其不仅能够让网络的安全等级得到全面的提升,还能让网络的环境得到有效地净化。但是在实际的应用过程中吗,其依旧面临很多细节性的问题,需要不断去完善。本文主要针对信息管理技术在现代网络信息安全中的应用进行了分析,并提出了相应的信息安全优化措施。

关键词:

信息管理技术;网络信息;安全;应用

随着我国互联网的全球化,信息管理的内容也得到了极大的丰富。信息管理技术也逐渐的成熟。但是在实际管理中,其经常会面临一些信息安全方面的问题。计算机信息的安全管理包括系统安全和信息安全两个方面,系统安全是指确保系统能够提供有效的服务,信息安全则侧重于信息的完整性、可用性和保密性。具体来说,应该从物理层面、系统层面、网络层面、应用层面和管理层面等五个层面来确保计算机信息管理系统的安全。因此,加强信息管理技术在现代网络信息安全中应用十分关键。

一、什么是信息管理系统

1.1信息管理系统的起源于发展

计算机信息管理系统涉及各个学科领域,是一门综合性的新学科。随着科学技术的进步与发展,我国的计算机信息管理系统也在不断发展,被广泛应用,它不仅具有信息管理系统的基本功能,而且具有预测、计划等特殊功能,对人们的生活产生了很大的影响,带来诸多便利。其实从1995年开始,计算机信息管理系统就开始不断创新,并被广泛应用。近年来,随着计算机技术的广泛发展与应用,信息管理系统的功能、性能都在不断进行优化,也在逐步走进大众的生活,越来越具有人性化。现在信息化成为我们最主要的生产力,信息资源是国家和社会发展的重要战略资源。相信在未来社会,计算机信息管理系统会为人类社会的进步做出更大贡献。

1.2网络信息安全的重要性

随着网络计算机的普及,社会的资源、知识得到最大化的共享,人与人之间的距离不断被拉近,人们之间的交流、沟通更加便利。可是在这背后却隐藏着巨大的隐患,那就是我们的网络信息安全问题。由于系统漏洞,病毒、黑客经常会对我们计算机网络系统趁虚而入,不仅会造成系统瘫痪,更重要的一点是会造成我们的信息外泄,隐私外传,使人们的生活越来越没有安全感。如果我们要想改变这一现状,就要对计算机网络进行维护,严禁杜绝病毒、黑客的入侵,维护我们个人隐私,保证生活正常运转。

二、怎样建立计算机网络信息安全系统

1.1完善健全相应的规章制度

往大环境说,网络信息安全问题涉及国家的安全、、社会的稳定、民族的发展等一系列重要问题。而且,随着信息全球化的发展,网络信息安全问题也显得越来越重要。为了确保网络信息系统的正常元转,我们必须从国家制度层面加以规范、积极进行引导。其一,将网络安全实践问题上升为法律制度,清晰、明确指明在现有的条件下网民的上网制度,向人们清楚传达中国的网络空间需求,完善网络信息安全法律体系建设。其二,积极联合各级部门、各个领域,寻求多方面支持,建立多渠道的宣传方式,寻求多样化的宣传手段。并积极围绕电子商务、电信和公众关注的热点问题,组织多种多样的宣传活动,是普通百姓积极参与其中,培养普罗大众的计算机网络信息安全意识。其三,建立专门的计算机网络信息监管小组,定期对计算机网络信息系统进行维护和排查,让员工清楚认识到什么才是健康、有序上网。还有一点是,在电脑上安装防毒扫面工具,对病毒、木马、黑客定期进行扫描和查杀,保证计算机网络信息系统安全运作。其三,淘汰落后电脑,实现电脑系统的标准配置,并设计开机和网络密码。做好机房的安全工作,严禁杜绝火灾隐患,对机房实行统一管理,有专门人员负责巡查。

1.2对信息进行加密算法

保证信息安全最有效的方法就是对信息进行加密,我们这里提到的并不是传统意义上的信息加密,我们要明白随着信息技术的发展,传统的信息加密方式早已不能满足现在这个信息时代的要求。随着我们对信息加密方法的创新,现在出现了一种全新的加密方式:公开密钥,而且这也是目前应用最频繁的加密算法之一。其实,光有信息加密算法也是不够的,我们还应该强化我们的身份验证,确保上网口令的正常运行,并结合上面提到过的相关的规章制度,才能在真正意义上防止黑客、病毒的入侵。

三、结语:

综上所述,随着计算机信息网络的飞速发展,虽然信息管理技术也得到了成熟。但是在实际管理中,其经常会面临一些信息安全方面的问题。为了保证网络信息的安全,我们不仅要对计算机信息管理网络安全体系结构进行详细的了解,同时还需要结合实际情况不断的完善健全相应的规章制度,并对网络信息进行加密处理,确保信息的高保性。相信随着网络信息技术的快速发展,信息安全管理技术将会得到更大的发展,同时网络信息安全也会得到极大的提高。

作者:徐慧敏 单位:吐哈油田公司

参考文献:

篇6

【关键词】信息安全;应用驱动;实验教学

一、信息安全实验教学现状

1.缺乏合适的实验类教材。国内信息安全实验类教材种类繁多,但大多数教材认为实验的目的是为了更好地理解理论概念,因而只强调了理论概念本身。例如,为了让学生理解RSA算法中的大数N,很多教材只讲了N是两个素数的乘积,一些实验教材也允许学生任意产生两个素数,将其乘积作为N(正确的方式应当是,产生两个超过1024比特位的大素数)。这种教材误导学生认为“使用一般的素数也可以实现RSA算法”,让学生在真正面临生产实践时,无法正确产生安全的大数。使用这类教材的最明显后果就是,导致学生对实践需求了解不够,实验课程对学生实践能力培养不够。2.实验环境落后,实验内容缺乏实用性。目前,大多数信息安全实验教学仍然采用WindowsXP平台下的VisualC++6.0集成编译环境。该编译环境早在1998年便投入使用,已经无法支持当前一些重要编程语言的最新标准(如C99标准),不再适合编程学习和应用程序开发。并且,大多数信息安全实验内容通常为教材中某些知识、定理、算法的实验性验证,尚没有从生产实践中抽象出来,具有明确针对性,并与应用问题相关的实验训练内容,因而难以适应就业市场对学生实际技能的要求,也难以激发学生探索新知识的兴趣。还有部分信息安全实验课程仍将一些已被遗弃的加密标准(如DES算法)列入教学计划。3.对学生学习动力的刺激不够。由于实验教材和实验内容与实践脱轨而缺乏趣味性,加剧了学生对实验类课程的忽视。导致的结果就是学生将信息安全实验课的学习视为“走过场”,很难达到课程预期的“提高学生程序设计能力,培养学生信息安全实践能力”的目的。4.考核手段片面。目前,大部分信息安全实验课程仍以笔试来考核学生对知识的掌握能力,无法脱离具有理论课程特色的选择、判断、填空、问答等题型;还有部分信息安全课程虽然考察学生编程能力,但要求学生在试卷上编写程序,这种考核方式单调、枯燥,无法合理反映学生的实际操作能力,也容易误导学生埋头于书本知识,忽视实际操作与应用能力的培养。

二、应用驱动式信息安全实验教学

本文提出以实际应用为驱动的信息安全实验的教学模式。在目前基本验证型实验的基础上,改进现有实验内容和实验环境,形成现代化信息安全实验教学平台;根据基础实验内容,增加应用前景广阔、创新空间较大的综合性实验设计,提高学生应用所学信息安全知识解决生产实践中的信息安全问题的能力;制定以问题为驱动的教学方式,鼓励学生发挥主观能动性,开发自身创新潜能;设计灵活科学的考核方式,综合考虑学生的应用实践能力以及相关实验的理论基础知识。1.实验环境升级。采用Linux平台下基于gcc或g++的编译环境来替代过时的VisualC++6.0。这种实验方式的优势包括:首先,gcc或g++支持最新的C/C++语言标准,利于学生接触最前沿的编程规范;其次,学生在程序设计语言课程之后,可以通过使用gcc和g++来了解程序编译的基本规则(之前程序设计语言课程采用集成开发环境隐藏了该规则),可以通过使用Linux来熟悉这种操作系统下的基本操作,为“编译原理”和“Unix操作系统”等课程打下基础。2.实验内容重设计。为了解决过去信息安全实验与生产实践脱节的缺陷,通过重设计实验内容来注重对学生应用能力的培养,包括:弱化过时信息安全算法在实验课程中的分量,并引入一些前沿新型信息安全算法(例如基于椭圆曲线的密码算法)作为选学内容(但仍讲授实践),以吸引学生兴趣;在学生理解掌握信息安全理论算法的基础上,强调灵活调用密码学库中应用程序接口的能力以适应实践生产需求;加强与企业单位和兄弟院校的合作,从科研或产业前沿获取最新的实验素材,设计解决实践中真实信息安全问题的综合性实验内容。2.优化教学方式。在实验过程中,教师只起到指导和协助作用,充分激发和调动学生自主学习精神,即学生不仅仅需要考虑当前所学的知识点,更需要面向问题自适应地学习新内容新方法,并与其他学生分工合作,共同解决问题。最终,提高学生解决问题的综合能力。4.多元化考核方式。实验课程也将采用综合的考核方式,不再由一张试卷或一次实验来确定学生的最终成绩。每个学生在实验课程的最终成绩将由教师根据其在每一次实验任务的完成情况所形成的综合评估决定。

篇7

(一)网络本身弱点

信息网络具有开放性的显着特点,既为网络用户提供了便捷高速的服务方式,也成为网络信息需要面临的一项安全威胁。同时,运用于信息网络的相关通信协议,不具备较高的安全性能,极易让用户遭受欺骗攻击、信息篡改、数据截取等安全问题。

(二)人为恶意攻击

人为恶意攻击是网络信息中,用户所面临的最大安全威胁。人为恶意攻击具有较强的针对性,是有目的地进行网络信息数据完整性、有效性等方面的破坏,其攻击方式较为隐蔽,包括对网路信息数据的窃取、破译、篡改等,主要威胁到用户的经济利益。

(三)计算机病毒

计算机病毒存在隐蔽性、传染性、破坏性等特点,往往隐藏或伪装为正常程序,随着计算机程序的启动而被运行。计算机病毒通过破坏、窃听等方式,实现对网络信息的操作。相比于其他安全威胁而言,其整体威胁程度较大,轻则影响操作系统的运行效率,重则破坏用户的整体系统数据,且难以被恢复,形成不可挽回的损失。

二、网络信息技术安全现状分析

目前,国内绝大部分企业、单位都已建立了相关的信息系统,实现了对各类丰富信息资源的充分利用。但随着各行各业信息网络系统的逐步成型,网络信息所面临的黑客、恶意软件与其他攻击等安全问题越来越多,虽已研发、改进了许多信息安全技术,用于网络信息安全防护,但仍旧存在许多问题,究其原因,主要表现在以下三方面:

第一,未建立健全的安全技术保障体系。当前大部分企业、单位,在信息安全设备上投入较多资金,以确保网络信息系统的安全可靠。但是,没有建立健全相应的技术保障体系,预期目标难以被实现。

第二,缺乏制度化与常规化的应急反应体系。现阶段,许多行业领域内,在网络信息技术安全方面,还未建立健全相应的应急反应系统,而对已有应急反应系统,没有进行制度化、常规化改进。

第三,企业、单位的信息安全标准与制度滞后。在网络信息安全的标准与制度建设方面,企业与单位都为进行及时的调整与改进。同时,用户缺乏信息安全意识,网络信息安全管理员为经历科学、系统的安全技术培训,安全管理水平不高。而用于信息安全的经费投入较少,难以达到信息安全标准与要求。

三、现行主要信息安全技术及应用分析

(一)通信协议安全

作为下一代互联网通信协议,IPv6安全性较高,强制实施Internet安全协议IPSec,由认证协议、封装安全载荷、Internet密钥交换协议三部分组成,即AH、ESP、IKE。IPSec确保IPv6拥有较高的互操作能力与安全性能,让IP层多种安全服务得到有效实现。

(二)密码技术

确保网络信息安全的核心与关键为信息安全技术中的密码技术,其密码体质包括单钥、双钥、混合密码三种。其中,单钥为对称密码;双钥为不对称密码;混乱密码为单双钥的混合实现。在网络系统中,采用加密技术能避免使用特殊网络拓扑结构,便于数据传输的同时,确保网络路径的安全可靠,为网络通信过程提供真正的保障。现阶段,在网络信息中,所采用的密码技术主要为双钥与混合密码。

1、公钥密码

为了加强公钥密码的安全性能,公钥的长度均≥600bit。目前,基于Montgomery算法的RSA公钥密码,排出了已有的除法运算模式,通过乘法与模减运算的同时进行,大程度提升了运算速度,被广泛使用。同时,部分厂商已成功研制出与IEEEPl363标准相符合的椭圆曲线公钥密码,并成功运用于电子政务中,具备较强的保密性与较高的运行速度。

2、Hash函数

关于SHA-0碰撞与SHA-1理论破解的提出,降低了SHA-1破解的计算量,在很大程度上影响了Hash函数安全现状的评估及其今后设计。同时,由于MD5和SHA-1的破解,让数字签名的现有理论根基遭到质疑,给正在使用中的数字签名方法带来巨大威胁。

3、量子密码

量子加密技术采用量子力学定律,让用户双方产生私有随机数字字符串,以代表数字字符串的单个量子序列传递信息,并通过比特值进行信息接收,确保通信不被窃听。一旦窃听现象发生,通信就会结束,并生成新的密钥。

(三)防火墙技术

防护墙技术是一组软硬件的有机组合,为控制内部与外部网络访问的有效手段,能确保内部网安全稳定运行。防火墙技术为用户提供存取控制与信息保密服务,具有操作简单、透明度高的优点,在保持原有网络应用系统功能的基础上,最大限度满足用户的网络信息安全要求,受到用户的广泛推崇。防火墙技术的应用,让外部与内部网络必须通过防火墙实现相互通信。企业、单位在关于防火墙技术的应用上,需制定合理、科学的安全策略,在此基础上设置防火墙,隔绝其它类型信息。目前,防火墙技术主要分为以下三类:

第一,包过滤技术(Packet filtering)。其技术主要作用于网络层,结合不同数据包源IP地址、目的IP地址、TCP/UDP源端口号与目的端口号等进行区分、判断,分析数据包是否符合安全策略,予以通行,其设计为过滤算法。

第二,(Proxy)服务技术。其技术主要作用于应用层,通过转接外部网络对内部网络的申请服务,有效控制应用层服务。内部网络无法接受外部网络其它节点申请的直接请求,其接受的服务请求只能为模式。应用网关即为服务运行的主机,具备较强的数据流监控、过滤、记录等相关功能。

篇8

目前,全国高校中的信息化建设发展迅速,横向发展越来越全面,纵向发展越来越深入。信息化建设对高校的教育发展具有革命性影响,已经成为促进高校教育改革创新和提高教育质量的推动力,是高校教育发展的创新前沿。大学的教学、科研和管理的正常运作几乎完全依赖于信息系统的稳定可靠运行,信息系统中的安全体系成为至关重要的部分。因此,高校需要一套完整严密的安全体系来保障信息化建设。

二、现状与问题

随着高校信息化建设的推进,大学信息化建设规模越来越大,软硬件设备配备完整,运行保障的基础技术手段基本具备。拥有了网络系统管理和应用技术支持的专业人员,在安全上采用了防火墙、防病毒等常规的安全防护手段,保障了核心业务系统在一般情况下的正常运行,具备了基本的安全防护能力。但随着信息系统的发展,不管从业务功能还是数据方面都在不断的发生变化,但信息安全体系的不断完善与整改往往因得不到重视而滞后。所以就会存在以下主要问题:信息化建设领导机构及信息安全机构设置不够正规化、专一化。在之前,大多数高校中,信息安全机构不受重视、不够专一。认为信息安全部分的进程,不用单独成为信息化建设时平行推进的一条线,在信息化建设时对能考虑到的安全问题做决策,过程中未考虑到的问题,随后再去做分析。这样的结果往往使得安全部分的建设跟信息化建设脱节,如果步伐相差较大,安全系统体系最终不能到达预期的结果。防护系统过于单一。网络与信息安全事件分类不明确,出现不同问题预处理方式不明确,导致不能全面的做到预防备案。对信息系统没有主动去测试、筛选、扫描等主动检测、监测与查找,而是等待不同的安全问题出现后再去找相应的解决方案。保障措施不完善。后续处理应及时,抑制不安全影响进一步扩大。

三、高校信息安全体系的设计与应用

1.信息化建设领导机构及信息安全机构设置。(1)学校成立校园网络与信息安全事件应急处置领导小组,全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。(2)数字校园建设中心作为学校信息化建设的主管部门,负责校园主干网络与主要信息系统安全事件的预防、监测、报告和应急处置,负责对学校其他部门主管的网络信息系统的安全防护情况进行日常检查、指导和督促,必要时数字校园建设中心协助相关主管部门完成突发事件的技术处理。(3)成立校园网管理委员会,职责为负责领导、监督和协调校园网的建设和运行;负责对校园网建设、使用和运行中的重大问题和政策性问题进行决策。信息化领导小组由主管信息化校领导和有关职能部门负责人组成。整合网络中心、技术中心和电教中心成立数字校园建设中心,数字校园建设中心在教育信息化领导小组的领导下负责学校的信息化建设。(4)单独成立校园网络与信息安全事件应急处置领导小组,全面负责和统一指挥校园网络与信息安全重大突发事件的应急处置工作。2.完整的信息安全架构。信息安全工作是一项常抓不懈的长期工作,首都师范大学在努力做好当下相关工作的同时,分别在安全技术和管理规范上做了相应的规划。学校根据目前信息安全的现状,申报信息安全建设专项,计划通过采购数据中心防火墙、漏洞扫描系统、负载均衡等安全防护设备工相关工具,对数据中心进行整体安全加固,提升数据中心安全防护能力,切实提高系统的安全风险抵御能力,降低网络应用系统所面临安全风险威胁,保证网络应用系统安全、稳定的运行,使网络信息系统在符合国家信息安全防护相应级别的安全要求。以首都师范大学数据中心安全规划架构为例:第一层安全防护:即传统防火墙+IPS,并且对内部的应用进行详细控制,对校园网开放应用需要对开开放的端口,例如真把HTTP的80端口开放出来,其余的应和数据库等就不会出现在校园网当中,并通过IPS对于蠕虫、syn等攻击行为进行防护。第二层安全防护:由于传统的防火墙无法对于80端口的web应用进行防护,所以需要专门的web应用防火墙进行80端口的web应用的防护;在数据中心与核心交换机之间一般都使用万兆链路,web应用防火墙不能像传统防火墙能够去支持万兆接口,只能够通过策略路由的方式将所有的80端口流量全部匹配至web应用防火墙内,其余的流量还照样能够走万兆流量,一般在测试的过程中web流量基本维持在300M-500M之间,或者也可以采用反向的方式旁路在数据中心交换机上。第三层安全防护:虚拟化安全防护,在数据中心层面都提倡大二层结构,为了是最大化降低应用之间的访问延迟,所以在虚拟化网络设计当中就沿用二层设计,但由于一台物理机器上承载多台虚拟机,所以在2层交换上都是在虚拟交换机上进行,也就是说在相同虚拟机上同网段段的数据交互在网卡层面就完成,那相互之间的安全就需要依靠虚拟化安全防护来完成。第四层安全防护:数据库安全防护,这部分防护主要是在应用服务器与数据库服务器之间,监视数据库活动、防止未被授权的数据库访问、SQL注入权限或角色升级、对敏感数据的非法访问。第五层安全检测:通过漏洞扫描设备解决系统本身的漏洞和安全隐患,在拓扑中只要网络可达便可对所有的设备进行检查。该项目正在逐步推进过程中,计划于明年年底前建设完成并交付使用,通过该项目的实施,各安全设备的运行防护能够保障首都师范大学数据中心的信息安全,实现数据中心信息和网络的安全。同时,还申报并计划学校信息安全等级保护测评和整改项目,该项目启动后,将对学校重点的信息系统进行等级保护测评并针对相应的测评结果对相应问题进行有针对性的改造;对于学校整个信息安全体系及信息安全管理制度进行统一的梳理,从制度和管理上对于信息安全进行全面的保障。3.对网络与信息安全事件进行分类分级:《信息安全事件分类分级指南》(1)网络与信息安全事件分类。网络与信息安全突发事件依据发生过程、性质和特征的不同,可分为以下四类:①网络攻击事件:校园网络与信息系统因病毒感染、非法入侵等造成学校网站或部门二级网站主页被恶意篡改,应用系统数据被拷贝、篡改、删除等。②设备故障事件:校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪。③灾害性事件:因洪水、火灾、雷击、地震、台风、非正常停电等外力因素导致网络与信息系统损毁,造成业务中断、系统宕机、网络瘫痪。④信息内容安全事件:利用校园网络在校内外传播法律法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益等。(2)网络与信息安全分级。网络与信息安全突发事件依据可控性、严重程度和影响范围的不同,可分为以下四级:I级(特别重大):学校网络与信息系统发生全校性大规模瘫痪,对学校正常工作造成特别严重损害,且事态发展超出学校控制能力的安全事件;II级(重大):学校网络与信息系统造成全校性瘫痪,对学校正常工作造成严重损害,事态发展超出数字校园建设中心控制能力,需学校各部门协同处置的安全事件;III级(较大):学校某一区域的网络与信息系统瘫痪,对学校正常工作造成一定损害,数字校园建设中心可自行处理的安全事件;IV级(一般):某一局部网络或信息系统受到一定程度损坏,对学校某些工作有一定影响,但不危及学校整体工作的安全事件。4.做好预防措施,安全漏洞检查与发现问题及时整改。依照上面指定的《信息安全事件分类分级指南》,对校园网络通信平台、应用平台和信息系统采取相应安全保障措施。建立健全安全事件预警预报体系,严格执行校园网络与信息系统安全管理制度,常年坚持校园网络安全工作值班制度。加强对校园网络与学校网站等重点信息系统的监控和安全管理,做好相关数据日志记录,确定合理规则,对校园网络进出信息实行过滤及预警。实行信息网上审批制度,对可能引发校园网络与信息安全事件的信息,要认真收集、分析、判断,发现有异常情况时,及时防范处理并逐级报告。做好服务器及数据中心的数据备份及登记工作,建立灾难性数据恢复机制。特殊时期,根据要求和部署组织专业技术人员对校园网络和信息系统采取加强性保护措施,对校园网络通信及信息系统进行不间断监控。主动检测与查找信息安全存在的漏洞风险,并根据安全154信息系统工程│2017.6.20ACADEMICRESEARCH学术研究漏洞的危险程度对问题采取以下方式进行处理:一是将存在安全隐患的网站进行短期关停,并限期封堵安全漏洞;二是对于涉及范围比较广,师生员工关注比较高的网站(如学校主页)加强安全检查和监控,并上报办公会,启动改版计划;三是对于建设较早且安全隐患较多二级部门网站进行永久性关停,并责令相关单位以新的安全标准建设新网站。对存在安全漏洞进行整改,对学校的安全风险进行全面排查,把信息安全事件扼杀在萌芽状体。以免在信息安全方面没有造成不良的影响,造成损失。5.完备的处理流程(1)预案启动。发生校园网络与信息安全事件后,数字校园建设中心和突发安全事件的信息系统建管部门应尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认突发事件的类别和等级,并参照下述响应机制对突发事件进行处置。(2)应急响应①应急响应机制。III级或IV级突发事件响应:数字校园建设中心和突发安全事件的信息系统建管部门自行负责应急处置工作,有关情况报分管校领导。II级突发事件响应:数字校园建设中心立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,由领导小组统一组织、协调指挥进行应急处置。I级突发事件响应:数字校园建设中心立即上报分管校领导和校园网络与信息安全事件应急处置领导小组,领导小组再上报至市公安局等相关部门,由北京市相关部门会同我校校园网络与信息安全事件应急处置领导小组统一组织、协调指挥应急处置。②应急处理方式。根据网络与信息安全事件分类采取不同应急处置方式。对于网络攻击事件,查找网络攻击的源头,寻找对用内部的服务器等设备,关闭内部相关设备与外部的网络连接。抓包并分析网络攻击的来源信息。对造成的信息破坏进行修复,利用备份系统进行恢复。基于攻击的类型可以采取以下解决办法:病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。外部入侵:找出攻击的源头,评估分析对网络系统和数据系统造成的伤害。如果是试图入侵被防火墙直接拦截的,对入侵数据进行分析,分析其欲攻击的IP和端口。对服务器的端口进行监察或关闭。对该IP地址进行限制访问。如果已经对系统造成损害,需要立即断开与外网的连接,以免造成更为严重的伤害。内部入侵:定位内部的入侵相关信息,信息包含入侵的用户,所在办公室位置,入侵的IP地址和端口。对于入侵成功的,应立即关闭内网交换设备。设备故障事件:定位造成故障事件的设备,评估事件的严重程度,对于非持久化存储的设备或可暂时停运的设备,使用备用设备替换。迅速联系IT部门,对设备故障做维护与报备。保证相关的校园网络系统的正常运转。灾害性事件:此类事件多指自然灾害事件,根据灾害的程度,在保证人身安全的情况下,对设备以及数据进行紧急保护。信息内容安全事件:接到校内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息人并做好善后处理;对公安机关要求我校协查的外网不良信息事件,根据校园网上网相关记录查找信息人。其它不确定安全事件:根据提前制定的安全事件处理原则,根据实时情况灵活多变进行处理。对于未知的处理办法,对信息安全部门进行咨询求助。③后续处理。对攻击事件先进行以上的事件处理之后,应及时的采取措施,防止攻击事件造成的危害进一步的增强。对于具有潜伏性的、长久性的病毒攻击,要实时的进行隔离和防护。对攻击事件抑制以后,追其根源,分析事件的动机和途径。解决并清除此危机,制定对此类攻击处理的成熟方案。在确保安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。④记录上报。对于发生的安全事件,要认真做记录与统计。将记录结果向校园安全部门领导及时汇报,及时分析网络系统日志,将重要日志信息做永久存储处理。⑤结束响应。不断完善网络安全整体方案,加强技术管理,确保信息系统的稳定与安全。根据工作需要聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持。6.保障措施。校园网络与信息安全应急处置是一项长期的、随时可能发生的工作,必须做好各项应急保障工作。(1)队伍保障。加强对安全队伍工作人员的安全技术培训,增强安全队伍对日常操作的安全程度,面对突发安全事件能紧急处理。对于日常维护能做到防患于未然。(2)技术保障。拒绝采用盗版办公软件,特别是安全维护相关的软件,比如防火墙、杀毒软件等,应安装正版使用。拥有健全的安全防护体系与安全技术,对防护系统进行多方位、多层次的设计。确保安全系统的稳定与可靠。(3)资金保障。信息安全部门要积极的对安全的升级与维护项目进行申报,对于申报资金要落到安全系统建设实处。学校领导与财务部门,要大力支持安全部门的专项资金申请审批工作。将安全系统预算纳入到每年的财政预算中。(4)安全培训和演练。聘请专业的安全公司人员对部门人员进行培训与教学,在理论培训的同时,进行安全事件的软件模拟或真实模拟演练。

四、结语

高校信息化管理水平是衡量高校办学水平的重要尺度,信息化管理过程中的安全是重中之重。随着高等教育的迅速发展, 办学规模不断扩大, 教学管理越来越复杂化, 高校的信息系统管理工作面临着严峻挑战。伴随着高校信息化进程的不断推进,新的信息安全隐患不断涌现,信息风险也不断加大,建立一套高效、集成的信息安全保障体系势在必行。利用技术措施加强信息安全防护,保证管理信息系统正常运行,这样才能满足教学管理的需要。

作者:刘海龙 安寅杰 单位:首都师范大学数字校园建设中心

参考文献

[1]吴晓瞻.高校安全协同办公信息系统的设计与实现[D].浙江:浙江工业大学,2016.

[2]黄文雯.办公业务安全保障系统的设计与实现[A].中国电机工程学会电力信息化专业委员会、国家电网公司信息通信分公司:2016电力行业信息化年会论文集,2016,(4):10-23.

[3]姚亚玲.高校网络教学管理系统的设计与实现[D].吉林:吉林大学,2016.

[4]黄宏杰,陈永清.现代校园网信息安全化的研究[J].计算机时代,2016,(12):46-48+52.

[5]徐豪.高校网络安全管理问题与对策研究[J].数字技术与应用,2016,(09):200-201.

篇9

关键词:计算机系统安全保护技术

Abstract: The following author described this stage the security of computer information technology and the safe handling and application.

Keywords: computer, system security and protection technology.

中图分类号:G623.58文献标识码:A 文章编号:

一、计算机信息系统安全技术

1.1数据加密技术EFS加密的定义

①EFS为NTFS文件系统卷上创建的文件提供文件级别的加密;②EFS的默认配置无需管理工作———用户可以立即开始加密文件;③EFS使用公/私钥对系统来加密文件,该系统针对特定的安全主体是全球惟一的。

1.2防火墙技术防火墙的定义

防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。它是不同网络或网络安全域之间信息的唯一出入口。

1.3 VPN技术

VPN(Virtual Private Network,虚拟专用网络)虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。

二、计算机信息系统安全技术研究的必要性

2.1信息系统面临的安全威胁

计算机信息系统面临的威胁主要有:信息被截获、窃取、篡改、假冒、删除以及插入;黑客的入侵;病毒的侵入;内部人员的破坏等3.2计算机信息系统的安全需求计算机信息必须满足的安全需求有:确保信息的完整性、认证性、机密性、不可抵赖性、不可拒绝性等。

2.2计算机信息系统面临攻击

计算机信息系统会遭受到各个方面的攻击,总结如下:

(1)对计算机信息系统中信息的篡改,并且进行攻击导致系统信息的不完整,包括篡改计算机信息系统中有关的数据内容,更改消息的时间、次序等,从而让信息失真。

(2)伪造系统中的信息,对系统的认证进行攻击,伪造份子首先将伪造的假信息注入到系统、然后以合法人的名义进入系统、对信息进行非法操作,阻碍信息完整有效的传递。

(3)为了攻击系统信息中的机密性文件,对系统中重要信息进行窃取,通过各种手段来泄露信息包括搭线法等,又或者为了获得有的情报采用业务流量法进行分析。

(4)通过攻击硬件系统来达到攻击系统的目的,导致系统瘫痪、中断,从而不能正常运作。

三、计算机信息系统安全技术能解决的实际问题

EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。能够意识到是否被ARP攻击,能够很好的防范它的攻击,并能解决关于此的问题及攻击。

欺骗数据包是探测、攻击和有经验攻击者的标志。带有内部地址的传入数据包可能表示有人企图入侵或者探测,应该拒绝它进入网络。同样,应该设置路由器只路由带有有效内部IP地址的传出数据包。验证传出数据包并不能保护您遭受拒绝服务攻击,但是它却能够防止这种攻击从您的网络发起。

VPN部署在企业接入因特网的路由器之后,或者它本身就具有路由器的功能,因此,它己经成为保护企业内部资产安全最重要的门户。阻止黑客入侵、检查病毒、身份认证与权限检查等很多安全功能需要VPN完成或在同VPN与相关产品协同完成。因此,VPN必须按照一个开放的标准,提供与第三方安全产品协同工作的能力。

在Internet传输的所有数据都暴露于任何网络客户面前,任何对通信进行监测的人都可以对通信的数据进行截取和修改。保证数据传输的保密性、完整性和安全性的关键在于防止网络的监听和篡改。SSL技术为应用层间数据通信提供安全的途径,它位于可靠的传输层之上,为高层的应用提供透明的服务,保证传输信息的隐私性、可靠性和用户的非否认性。

防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

四、计算机信息系统安全保护技术

从上述的分析中可以了解到计算机信息系统面临着各种威胁,为了防患于未然,使系统免受攻击,采取必要的计算机信息系统安全保护技术就具有重大的意义。系统安全保护技术的目标和任务是为了防止计算机内部信息遭到非法的获取、破坏和更改。

(1)对计算机信息系统存在的风险进行评估

进行风险评估是估计计算机中系统资源在遭受威胁或者攻击导致损失的大小。然后把为用于消除这种威胁所需要付出的资金多少与损失进行比较,最后做出相应的对策。评估的重点就是进行效益风险对比。

(2)对计算机信息系统进行监控

对计算机信息系统进行监控就必须采取监控技术,监控技术主要任务是对网络中的信息进行收取、分析、处理,然后提取识别出计算机信息系统中信息的隐含特征。

(3)进行安全评测

为了保护计算机的信息安全就要对攻击对象进行分析研究。安全评测就是建立在此基础上的,通过分析然后提出相应对策。主要作用就是为了减少损失。

(4)采用安全审计技术

安全审计技术的应用过程就是首先当用户在计算机系统上进行操作时,对其动作进行记录,如果出现违反计算机安全操作规则后,就可以对相应用户进行追查,追究其责任,防止用户抵赖。

五、信息系统安全技术的应用策略

(1)制定信息系统安全技术的战略计划,制定信息系统安全战略计划主要是将信息系统建设与国家信息资源开发利用的整体目标有机联接起来,与社会科技发展战略目标接轨,不断以战略计划为指导,将信息系统安全技术用到实处。

(2)运用集成的视觉,将信息实体安全技术的应用引导信息安全技术研究步入正轨。

(3)信息系统安全技术存在多功能相似的信息系统和共同的基础性的技术问题,必须不断创新,开发出可利用的高质量的程序和安全系统,通过共享信息资源不断提高信息系统质量,加快信息系统现代化建设速度、减少开支。

(4)以信息为中心的设计,以信息资源开发利用为出发点,不断从具体作业的数据模型到构造完整的形式化的信息模型中总结经验,启发研发灵感,构造完整的关于信息系统安全管理的指导条例。

(5)信息系统安全技术要特别强调预测及追踪能力,在不断更新的计算机信息中提高计算机信息系统安全技术与社会动态发展的衔接性。

(6)统一标准化、数据通信网的宏观管理标准,完善信息系统的建设和发展。

六、构建完善的计算机信息系统安全技术体系结构

(1)建立智能化的信息安全系统。信息系统将成为未来管理决策的参考导向,采用人工智能、专家系统技术、知识库系统的技术、模式识别以及语言理解技术综合建立智能化信息系统,以确保满足日益发展的计算机管理的需要。

(2)开放式的信息系统。宏观上管理信息资源共享,不断优化网络化的环境、应用开放式的系统来控制的信息,充分发挥信息资源的共享效用,以信息交流为导向,不断扬长避短,最终实现开放式的信息系统安全技术模式的转变。

(3)运用工程的设计知道研发新的安全技术,成立新的安全技术体系,并将新的技术写入程序,及时做到安全技术体系的检测及升级。不断促进信息系统安全技术的开发。

七、结束语

综上所述,加强对计算机信息系统安全技术的研究与应用探讨,将对计算机信息保护工作以及信息监督管理提供更多可参考的依据,完善具体的、系统全面的计算机信息系统安全管理制度,不断规范化监督、指导准则,确保计算机信息安全技术应用,以达到计算机信息技术的可持续发展。

参考文献:

篇10

关键词:网络信息;安全控制技术;应用

一、计算机网络信息安全问题的现状

(一)计算机系统问题。目前,很多计算机系统网络都普遍存在控制性差的特点,计算机本身就具有开放性的特点,再加之缺乏相应控制的系统,很容易给电脑黑客提供可乘之机,电脑黑客会利用计算机系统存在的漏洞,来攻击和破坏计算机用户的系统,导致计算机系统瘫痪。

(二)计算机病毒传播。互联网技术的普遍运用,计算机病毒的类型也呈现出多种形式,这些计算机病毒严重的威胁着计算机信息安全,容易造成计算机用户的信息数据流失或者被破坏,威胁着计算机用户的信息安全。

(三)计算机存储传播。计算机信息在存储和传播的过程中,缺乏相应的保护措施,可能导致计算机信息在传播的过程中被任意修改,导致信息的失真。此外,计算机信息的保密技术不高,存在信息被偷看或者被偷盗的可能性,会给计算机用户带来一些不必要的麻烦。

二、网络安全控制技术

(一)生物识别技术。生物识别技术主要根据计算机用户的人体特征来进行识别操作的。由于每个人都是不同的个体,具有明显的差异性。这种技术的运用为网络信息安全提供了安全保障,确保了网络信息的安全性。

(二)防火墙技术。防火墙技术是目前被应用最广泛的一个网络信息安全控制技术,为计算机网络信息安全提供了一定的保障,在计算机网络和外用网络之间设立一道屏障[1],确保计算机网络的内在信息不受外在网络信息和环境的影响和侵害,保障计算机网络信息内在的安全性。

(三)数据加密技术。数据加密技术就是将将计算机用户的一些明文数据进行加密,运用密码进行转化,一般不知道转化密码的人员就无法破解相关数据,这样来保证计算机用户数据信息的安全性,

(四)全审计技术。安全审计技术主要是定期对整个计算机系统进行扫描,一旦发现计算机系统存在漏洞,能及时对计算机漏洞进行处理,减少有害病毒对计算机系统的破坏,确保计算机系统的安全性。

三、网络信息安全控制技术的实际应用

(一)电子商务中的应用。淘宝、唯品会、当当等网络购物网站的成立,人们的购物活动变得更加方便,人们在购物的过程中多数都会选用信用卡作为付款的主要支付方式,这就会涉及到消费者的财产安全问题,也会存在消费者的信用卡账号被别人盗用的情况,造成消费者的经济损失。因此,为了保障消费者的财产安全,网络信息安全管理工作显得尤为重要。加密技术[2]的出现,极大的解决了消费者的信用卡支付安全问题,确保消费者的网络购物交易的安全性。

(二)局域网中的应用。一个单位区域内会设置多台互联网计算机组,被称之为局域网。目前,很多国际化的公司,会在其他很多的国家内设置一个或者多个分公司,每个分公司都有属于自己的,可以方便分公司和总公司的办公,会利用专门的线路来连接各个分公司的,这时就会运用到虚拟的专用网,这样可以有效的保护公司信息的安全性,也能给用户提供真实、可靠的信息。

(三)其他方面的应用。电子邮件的传递过程中,为了防止他人伪造客户的身份信息,造成一些不必要的麻烦,可以采用数字签名技术来保护客户的网络信息安全。在人们进行淘宝的网络购物支付时,可以运用电子交易协议和安全套接层协议,来确保消费者的信用卡信息安全,此外,为了确保消费者信用卡密码的安全性,专门研发出密码专用芯片,来保障消费者的网络信息安全。

结语

在网络时代的今天,网络信息安全涉及到多个层面,网络信息安全的重要性已经得到人们的普遍认同,都开始将网络信息安全控制技术运用于网络信息安全的相关工作中,同时也要根据时代的发展需求,不断对网络信息安全控制技术进行创新和改进,为不断变化的网络安全环境提供更好的网络信息安全控制技术,促进网络信息安全、健康的发展和传递。

参考文献

[1]任晓英,尹志浩.谈网络信息安全控制技术及应用[J].广东科技,2013,18:55-56.

篇11

关键词:网络;信息;安全;油田;数字化

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)24-5789-02

近年来,国家下发了多个文件,要求加强信息系统安全管理工作。近期,在《我国国民经济和社会发展十二五规划纲要》第十三章就多次提到了信息安全,其中第一节《构建下一代信息基础设施》、第二节《加快经济社会信息化》、第三节《加强网络与信息安全保障》均涉及信息安全方面的内容。特别是第三条,专门提出了信息安全保障,决定要构建信息安全保密防护体系、加强网络管理,确保国家信息安全等。

1建设目标

按照国家、集团公司对网络与信息安全的要求和规范,结合油田网络与信息安全现状,着力完善油田网络与信息安全体系建设,从计算机桌面、网络传输、互联网出口等环节,对油田办公网和社区网进行全面的安全升级,为油田数字化管理提供一个安全、可靠、稳定的网络基础平台。

2网络与信息安全现状

油田网络经过不断的改造和完善,目前已具有西安等七个主要汇聚节点,已经覆盖了全部油气田生产区域。

油田办公网络和社区网络已实现物理隔离。办公网计算机用户自行进行计算机病毒等防护操作;操作系统补丁升级也用户自行完成。社区网网络单独运行,在网络出口采用防火墙进行安全防护。

近年来,随着油气藏地质数据库和科研生产数据库安全系统的建设,在互联网出口防火墙、流量监测和流量清洗等设备的安装上线,油田网络基本具备了一定的安全管理架构,但是在计算机终端、大型应用系统的访问控制、数据库安全防护等方面,网络与信息精细化管理等方面还存在着一定的风险。

3全面加强企业网络与信息安全建设

随着油田数字化管理的大力推广和建设,为了保障公司办公网和社区网的网络及信息安全,桌面安全系统、身份管理与认证系统、网络与信息安全系统三大系统先后上线。

3.1桌面安全系统

系统是保障桌面计算机安全的合规性及可用性;降低桌面计算机病毒和木马发生机率;提升桌面计算机抵御安全威胁的能力;提高桌面安全管理水平;在桌面计算机层面上保障总部统一建设信息系统的安全;制定与桌面计算机安全相关的制度、标准和规范,从管理和技术两个方面满足国家等级保护要求和企业对计算机安全的总体需求,不断提升桌面安全管理水平。

3.2身份管理与认证系统

系统以统一的强认证技术为基础,集中的帐号、口令管理为机制,不仅能够有效解决当前存在的弱口令、孤儿帐号等“老大难”问题,而且通过集中、统一的实现方式为总部信息技术应用环境建立起安全可靠的信息安全“基准线”。

1)PKI公共密钥体系

可以对用户电子证书的加密密钥进行更新、备份,并存放在数据库中进行统一的管理;可以对用户的电子证书进行更新、补办、吊销等。

2)IAM身份管理与访问控制

系统为用户制作电子证书,在符合国家相关标准的公共密钥体系基础设施(PKI)的支撑下,基于严谨的加密算法与密钥管理机制,实现高安全性的USBKey数字证书认证方式;用户经过统一身份认证之后,即可访问该用户拥有访问权限的全部应用系统。实现了电子签名、安全巡检和审计追踪等功能,确保用户帐号操作的可稽核性,身份与帐号信息的完整性,能够及时发现对于用户帐号属性的非法篡改。

3.3网络与信息安全系统

通过在办公网和社区网互联网出口部署安全网关、服务器、防火墙等设备,在网内关键路径部署上网行为管理设备,满足企业关于网络防攻击、数据防泄漏、上网行为管理和网络信息管理等需求。

4三大系统全面提升企业网络与信息安全保障能力

随着信息化技术的发展,数字化建设在油田的推广,网络正逐渐改变着我们的生活。网络不单是提供收发邮件、聊天、看电影等一般,它已经是油田实现数字化管理,建设数字化油气田的基础。正因为如此,网络的安全,网上信息的安全更显得关键。随着桌面安全系统、身份管理与认证系统、网络与信息安全系统的应用,从数据源(计算机桌面)---传输通道---互联网、总部网络出口,油田网络和信息的安全防护能力、网内用户网络行为的审计和追溯能力、大型应用系统的用户安全防护能力等得到了全面的提升,油田的网络和信息安全体系得到了极大的完善。

1)从数据源头提升网络安全防护能力,提供工作效率。随着桌面安全系统的安装部署,企业内所有计算机将接受系统管理,计算机防病毒、操作系统补丁等重要防护手段将定期的、自动的得到升级和维护,使得计算机的利用率、网络正常运行率等得到了保障,减少了因为计算机系统和软件故障、网络故障等导致的无法办公等时间,提高了工作的效率。

2)严格管理网络应用,净化网络行为,提高网络利用率。网络与信息安全系统的应用,将帮助网络管理员净化网络行为,对和办公无关的、非法的网络行为可以监控和阻断,保证将有限的网络资源充分利用到办公业务中。

3)网络事件的监管和审计。网络与信息安全系统可以对网内的网络事件进行追踪和定位。

4)对重点应用系统实行集中化管理。身份管理与认证系统保证了重点应用系统的用户访问安全,同时对系统数据库有着重要的防护作用,减小了非法用户、非授权用户等对应用系统和数据库进行攻击和破坏,从而影响正常的办公业务的风险。

篇12

【关键词】虚拟化技术 信息安全领域 应用

虚拟化技术自1959年被首次提出后,逐渐引起了人们的广泛关注和研究,虚拟化技术的特点使其应用能够有效降低计算机软硬件的购买成本、降低电力消耗、节省设备放置空间。近年来,计算机虚拟化、存储虚拟化以及网络虚拟化的应用在处理信息安全问题方面也发挥出重要作用。

1 常见的信息安全问题

1.1 网络环境下的信息安全问题

计算机网络具有高度开放性,有利于信息的快速传播,但同时也具有明显的安全隐患。计算机在网络环境下面临着多种信息安全问题,比如黑客攻击、计算机病毒以及隐藏在应用程序中的间谍软件。黑客攻击分为破坏性攻击和盗窃性攻击,前者是直接干扰系统的正常运行,使目标系统瘫痪,后者则是入侵电脑系统,盗取系统保密信息,造成信息泄露问题。计算机病毒种类繁多,常见的有木马病毒、脚本病毒、后门病毒等,向目标计算机植入病毒也是黑客攻击的主要手段。一般民用电脑主要面临的信息安全问题是隐藏在应用程序中的间谍软件,这种软件通常寄生于应用程序的安装包和升级补丁中,普遍攻击性不强,但是会给用户带来信息泄露风险,还会占用较多的系统资源,造成系统性能下降。

1.2 存储过程中的信息安全问题

利用计算机存储信息具有存储量大、方便整理和调用等优点,但是一旦计算机系统或硬件出现问题,也将造成大量的有用信息丢失或泄露。传统的信息备份系统对软硬件环境有较高要求,而且数据恢复周期长。常见的信息备份方式有拷贝、压缩文件和日志文件等。在开放的网络环境下,计算机的内部存储系统也面临着暴露的风险,或受计算机系统影响,一旦系统被病毒入侵,可能会永久遗失或被盗取。

2 虚拟化技术在信息安全领域的应用

2.1 虚拟化技术的隔离效果

在一台物理设备上运行多个虚拟操作系统是虚拟化技术的主要应用之一,这些虚拟的操作系统之间、与主机操作系统之间相互隔离,尽管在同一台物理设备上运行、共享外设和网络,但是它们之间不能直接通信。虚拟技术的隔离效果如图1所示。

虚拟化技术的隔离效果可以有效应对黑客攻击和应用程序的不稳定性,降低主机系统崩溃以及重要信息泄露的风险。利用虚拟系统掩护主机操作系统,为主机资源提供保护。用户在应用虚拟技术的主机上,可以把重要数据和网络口令存储在主机操作系统中,利用虚拟系统进行网络连接和应用程序下载安装,将重要数据与存在安全风险的新安装应用程序相隔离,提高用户数据的安全性。而且虚拟系统及时遭到破坏,也可通过简单的一键操作进行恢复,使用起来没有技术难度。

利用虚拟技术的隔离特性进行病毒查杀也是非常有效的手段,传统的病毒查杀方式普遍是从代码分析,比较被动,无法有效发现、阻拦新型病毒入侵。在虚拟系统中进行病毒查杀,可以从病毒的行为进行分析,将病毒控制在虚拟环境下,对新型病毒也能实现及时发现和有效控制,是病毒查杀领域的前沿课题。

2.2 虚拟化技术帮助数据备份和恢复

利用虚拟化技术进行数据备份和数据恢复可以有效降低恢复代价,减短恢复周期。可以建立虚拟机映像文件对整个虚拟环境进行备份,其实质只是备份几个映像文件,操作固定性强,需要恢复文件时通过加载映像文件,在几分钟之内即可完成。而且可以实现在不同物理设备和操作系统下进行数据恢复,大大降低魍潮阜莘绞蕉匀碛布的要求和恢复周期。

传统的宕机和人备份技术需要两个以上的物理设备同时运行才能保障业务的连续性,虚拟化技术的应用只需在同一台物理设备上建立虚拟节点,即可提供热备份服务,在主节点没有业务需要处理时可以建立多个虚拟备份节点,动态地提供人备份服务。

2.3 虚拟化技术中的蜜罐技术

蜜罐技术是一种诱惑攻击的技术手段,蜜罐用来被探测、被攻击甚至被攻陷,不修补任何东西,为使用者提供有价值的额外信息,是信息安全中的重要防御手段。可以利用蜜罐进行恶意代码的收集、分析,通过建立蜜罐网络可以实现大范围的攻击监测。利用虚拟化技术部署蜜罐可以在一台物理设备商建立多个虚拟蜜罐,模仿不同的配置和系统环境,而且虚拟蜜罐被破坏之后易于重建,可以有效降低经济成本。

3 结束语

随着虚拟技术相关研究的不断深入,虚拟技术在信息安全领域已经有了较为广泛的应用。利用虚拟技术维护信息安全可以有效降低安全维护的成本、提高安全维护效率,是未来信息安全的主要研究方向之一。本文只是对目前虚拟技术在信息安全领域应用的粗浅分析,其应用还有很大研究空间。

参考文献

[1]沈敏虎,查德平,刘百祥,赵泽宇.虚拟机网络部署与管理研究[J].实验技术与管理,2011,28(14):311-313.

[2]卢凯,迟万庆,刘勇鹏,唐宏伟.高效能计算机系统虚拟化技术研究[J].计算机工程与科学,2014,22(17):153-157.

[3]钱磊,李宏亮,谢向辉,陈左宁.虚拟化技术在高性能计算机系统中的应用研究[J].计算机工程与科学,2014,29(11):307-311.

[4]张岩峰,张荧允,王翠荣,王和兴,高远.一种基于虚拟化技术的面向服务网络[J].东南大学学报,2014,45(21):217-220.

篇13

1高校校园网信息安全现状

随着近年来我国高校信息化水平的不断提升,国内高校校园网中所运行的应用也持续增多,校园网信息系统变得更加复杂,甚至很多高校把一些十分重要的科研成果、科研课题以及很多关键的技术资料都存储于校园网中的服务器内。现阶段校园网很容易受到诸如病毒、黑客等攻击,校园网中应用了大量的服务器,安装了各种应用软件,存储了很多宝贵的资料数据,其中主要有Web、FTP、邮件服务器以及办公自动化等。这些服务器也很容易成为不法分子攻击的目标。随着高校网络出口宽带的不断加大,应用服务系统还会持续增多,校园网用户的数量也持上升趋势,与校园网相关的信息安全问题开始凸显出来。部分高校对校园网信息安全不是非常重视,相关的信息安全技术员的防范意识薄弱,这就导致攻击者有机可乘;还有部分高校并未添置确保信息安全的硬件设备,针对校园网信息安全的资金投入比较缺乏,甚至根本没有预算,校园网硬件设备陈旧老化,软件系统漏洞百出,存在非常大的安全隐患。校园网内所安装的应用软件也存在漏洞,这些漏洞很容易导致校园网的故障甚至瘫痪。据相关数据显示,全球范围内基本上所有高校的服务器都曾经受到过黑客的入侵或不同程度的攻击,可见校园网信息安全问题已经成为了一个迫切需要解决的关键问题[1]。

2校园网信息安全风险因素

校园网的网络连接形式相对复杂,系统中涉及到的设备数量较多,这些因素都会在一定程度上给校园网信息安全产生很多风险因素,这些风险通常来自于下面几个方面:(1)互联网带来的风险。校园网的建设基本上都需要借助于Internet技术,同时还需要与互联网相连接。网络用户能够直接对互联网资源进行访问,同理互联网用户也能够通过一些手段来访问校园网的资源。互联网中的信息不能够百分之百确信,因为网络信息的安全性存在隐患,是否会带来网络攻击也无法预料。因此在使用校园网的过程中必须要真正抓好安全防范工作,预防可能存在的安全风险。(2)病毒带来的风险。病毒属于非法程序,通常是为了实现某些不法企图而编写的,具有极强的复制能力。病毒可能会对校园网造成毁灭性的损害。特别是现阶段计算机网络技术的飞速发展,电子邮件用户逐渐增多,让互联网变成了病毒扩散的主要载体,很多病毒都能够借助于互联网和计算机这一平台来肆意传播,因此,校园网中的数据信息在日益开放的网络环境下很容易受到病毒的破坏。(3)系统可能产生的安全风险。这一风险因素通常来源于数据库系统、操作系统或者应用系统。大部分校园网通常都会用到Linux、Unix或者Windows系统,最常见的为Win-dows系统。任何操作系统其自身都不会做到完美无缺,或多或少都会存在很多未知的安全隐患,同时也有很多第三方软件或安全组织已经对其中存在的漏洞进行了披露,了一些修复补丁。但黑客会利用一些未知的漏洞嵌入到校园网中,对系统进行破坏[2]。(4)管理方面存在的安全风险。管理工作在校园网信息安全防范中占据着非常关键的地位。很多学校都把校园网的建设放在首位而忽略了对其的安全管理。产生安全隐患的一个非常关键的原因便是学校并未建立全面的网络信息安全管理机制。比如说校园网用户的安全防范意识薄弱,校园网没有完善的管理制度,校园网信息安全技术人员用户口令设置不合理等,这些都可能给校园网信息安全造成威胁。

3校园网信息安全技术的应用

3.1网络层安全技术

确保网络层的安全是保障校园网基础设施安全性与稳定性的重要手段,它能够有效防范外部非法接入。(1)以技术实现架构的方向来说,校园网网络框架的层次清晰,采取核心层、汇聚层以及接入层的结构;其中的重要设备能够实现冗余设置;(2)其网络边界必须明确,必须与IATF的网络基础设施、计算环境以及支撑基础设置防御原则相符合,从而更加有助于进行安全控制。从设备的方向上而言,各个层次的设备所需求的安全实现方式是各不相同。1)校园网核心设备的防护指的是避免核心设备受到物理损坏或者网络攻击所导致的设备性能受到影响。所以我们可以采取以下策略:①无阻塞交换设备;②应用分布处理技术或QOS技术;③节点关键设备冗余备份,当系统产生故障现象之后能够第一时间切换备用模块;④网络设备应用多极安全密码体系,防止非法用户登录。2)汇聚层设备应当强调其流量控制以及做好用户管理工作,以实现如下功能:①确保接入侧用户之间隔离,避免IP地址被复制盗用,避免用户之间进行相互攻击;②IP地址和MAC地址进行绑定,端口或者MAC地址绑定,能够提供追踪非法用户的途径;③能够限制最大接入的IP地址数、TCP/UDP连接数等,从而避免DOS类攻击;④能够对控制列表进行访问,比如说在虚拟路由器内建立控制列表,借助多种网络安全层业务支撑安全层、网络监控以及身份认证系统、远程教育教学管理等主机、操作系统、设备、网络线路等校园网信息安全层次模型过滤规则,对于目标网络可以提供多层次全方位的安全保护,还可以直接禁止一部分用户进行访问,有选择性地对一些网络服务进行屏蔽等[3]。对接入层设备来说,可以通过用户隔离;用户流量带宽控制等方式来对其进行安全防护。网络边界可以选择使用防火墙技术、入侵检测技术以及VPN接入来确保其安全。

3.2业务支撑层安全技术

业务支撑层属于应用层的基础,其中主要包含了主机(提供网络服务的服务器)、资源(提供可以被用户使用的系统设备和服务,诸如CPU资源、内存资源以及网络服务等)、操作系统以及基础数据库(诸如教学资源数据库、教学管理信息库)等。业务支撑层的安全必须要根据校园网特性以及操作系统的实际情况,在用户与主机之间、主机与主机之间,进行更加严格的访问控制,利用加密技术构建更为安全的数据传输通道,能够实现不同用户在不受限制的时间地点对校园网内的资源进行不同权限访问。另外,主机还应当应用入侵检测技术,可以第一时间找到网络攻击和其他入侵行为并快速地进行响应,比如说切断用户连接处理。对于现阶段日益严重的计算机网络病毒,应当设置网络化的校园网防毒系统,避免对系统内的数据造成损害。此外,还应当做好下面几点工作:(1)操作系统漏洞的修复与完善;(2)校园网内基础应用程序的升级与修复;(3)数据库和其他守护进程的完善修复;(4)数据安全保护工作,比如说数据库的访问控制、数据完整性、数据监控与审计以及数据的备份安全等。

3.3网络监控与身份认证

网络监控系统的本质属于技术安全手段,它借助于完善的安保功能来确保网内安全,其中主要包含漏洞管理、威胁管理或者配置管理等。网络监控系统通常来说是从网络交换设备、安全设备、主机系统、应用系统或者数据库等方面进行部署。利用分析路由器交换机的访问日志的方式来检查接入情况;通过防护设备报警信息和防火墙非正常连接现象来判定校园网的实际安全状况;对服务器的监控主要是利用性能检查、日志和系统错误报警以及应用错误报警等进行识别;对于关键应用以及核心数据的访问日志和报警来判定系统内的安全情况。身份认证系统贯穿于整个校园网系统之内,它可以帮助我们很好地处理访问者物理身份与数字身份一致性的问题。因为校园网内存在诸多的应用系统,每个系统具备独立的安全策略,利用统一的身份认证,选择单点登录机制,应用单一帐号,系统维护自动接驳到后台各个应用系统的帐号管理。在具体实施的过程中要建立身份认证数据库,把访问信息进行集中独立管理;建立单一的目录来充当数据源;身份认证技术可以很好地帮助校园网信息安全技术人员创建与销毁网络账户[4]。

3.4防火墙安全技术的应用

防火墙可以说是网络信息安全的屏障,只有被允许的应用协议才能够通过防火墙,因此它能够保证校园网环境变得更加安全。软件防火墙应当基于校园网的操作系统,若操作系统受到影响,则防火墙的运行便会失去稳定性。软件防火墙会占用服务器资源,而硬件防火墙属于专用设备,其效率与性能更高,且具备更高的安全性。所以学校在需要进行保护的服务器前应接入硬件防火墙。在对防火墙策略进行配置的过程中必须要细化到服务器的各个端口。Windows系统默认有很多服务端口,可对部分不必要的端口予以关闭处理。比如说基于包过滤的防火墙,在对其中某一台服务器进行设置时,需要何种服务再开启什么端口,选择最小授权的方式。针对部分关键的应用来说,基于包过滤的防火墙的过滤规则为:(1)允许外网对校园网中WWW服务器的HTTP连接,开放80端口;(2)允许外网对校园网中电子邮件服务的P0P3以及SMTP连接,开放22、25、110、80连接;(3)允许外网对校园网中DNS查询,开放53端口;(4)允许校园网中的用户使用FTP服务,开放21端口。

4结语

篇14

【关键词】智能电网 信息安全技术 应用 改善

在物联网时代,智能电网将为人们的生活与工作方式带来重大的变革与改善,但其特有的包容性与开放性又不可避免地容易引发信息安全问题。与传统的电力系统相比,智能电网一旦失控,将造成信息与经济上的巨大损失,甚至是危及到人身与社会安全。在智能电网的部署过程中,需充分考虑信息安全问题,例如数据安全、网络安全以及物理安全等。

一、智能电网概述

(一)智能电网的基本内容

智能电网作为一种数字化电网,具有高度自动化的特点,其核心理念即在建立高速、集成双向通信网络的前提下,对先进的信息控制与通信技术作充分的利用,使电网智能化水平得到有效的提升。智能电网建设的最终目标就是实现电网的环境友好、高效、经济、安全和可靠。

(二)智能电网的信息安全隐患

1.扩大的防御范围。在智能电网中,存在多种通信方式与网络协议并存的情况,包括智能传感网、卫星通信、移动通信网络、无线局域网等。这一现象容易导致电网通信网络的边界扩大,遭受到的攻击也将更为智能化、多样化。另外,在信息的传输过程中,也存在被破坏、篡改与非法窃听等隐患。

2.激增的信息交互。信息系统融合度与集成度的不断提高,将大大增强系统的依赖性,使得业务系统和外界用户间、业务系统之间的实时交互更为频繁与丰富。与此同时,海量的交互信息容易导致数据的吞吐量过大,引起业务过载、网络波动等问题。另外,终端用户的交互信息也存在被破坏、篡改与泄露的安全隐患。

3.引入的技术更新。多网融合、云计算、物联网、虚拟化、智能设备、无线通讯技术等前沿技术在得到逐步发展与成熟的同时,也将使得各类信息安全威胁日渐凸显。

4.用户侧安全威胁。随着各类智能终端的大量接入,使得网络边界也进一步延伸至用户侧。容易接触、类型多样、数量庞大的业务终端,极易引发非法控制、接入与信息泄露等安全问题。

二、智能电网中的信息安全技术

电网信息安全的主要需求方面包括应用系统与数据、计算机系统、通信网与物理等,其目标是充分保证信息的可控、可用、完整与机密。为使智能电网的安全运行得到保证,需充分重视以下几个方面。

(一)物理安全。物理安全指的是智能电网系统在运营过程中,必需的各类设备与硬件的安全,包括存储介质、计算机终端、网络设备与传感设备等。在企业中,多数的信息数据都是被存储在物理设备中。只要物理设备的安全性较高,信息数据的安全就有所保证,反之则毫无安全性可言。针对一些重要的、有价值的数据,需建立起相应的容灾系统与备份系统。简要来说,可先建立起一定的接入控制措施与物理安全防护,对部署在开放环境的相关设备进行保护,防止遭到人为破坏或者信息泄露。再者,需设计并实施一些针对灾害的保护措施,包括爆炸、地震、水灾、火灾等。另外,电力企业必须充分依据实际情况,建立起一个集中与分散备份相结合、双机热备与单机镜像相结合的数据备份制度和系统。

(二)网络安全。网络安全主要面向智能电网所提高的网络支撑平台与配套的设备、设施等,包括网络拓扑的结构图、网络基础的服务设施、交换、路由设备与各类安全设备等。智能电网通信网可使用物理隔离与安全隔离装置对安全大区进行划分,并充分利用虚拟专用网、防火墙,采用网络防杀病毒、入侵检测、安全隔离与加密等技术来保障网络安全。在电力企业中,信息网络主要包括外联、办公、调度等方面,而这些网络也需要分别设置安全级别,并配置安全设备。举例来说,电力调度信息网络传输的信息和数据较多,其信息安全要求较高,需配置安全性能很高的监控系统、检测系统、防火墙等。在配置设备的时候,需充分考虑科学性与合理性,不可降低网络的运行速度或者使其存在安全隐患。

(三)应用安全。应用安全作为网络信息安全的重要组成部分之一,其防护对象主要包括系统内、系统间、用户接口、应用系统本身的数据接口,需应用的安全技术主要包括云存储、异地容灾、数据备份、数据完整性的保护技术、数据加密、安全审计、访问控制、双向强身份认证等。应用安全的主要影响因素是人,即电力企业中的员工一旦发生恶意操作或者错误操作,将对应用系统的安全运行造成严重威胁。产生这一问题的原因主要是缺乏必要的维护制度,管理控制不到位,使得权限滥用。另外,外部网络的病毒入侵与黑客攻击也容易引发这一问题。因此,必须建立起有关安全运行的维护制度,确保企业内部实行严格的管控,以降低应用安全问题发生率。

(四)数据安全。数据安全主要分为自身安全和防护安全,其中自身安全一般是应用加密算法对数据进行保护,比如身份认证、加密等;防护安全主要是应用先进存储技术对数据进行防护,比如磁盘阵列、双机热备、备份等。数据安全的影响因素包括信息窃取、黑客、病毒、错误操作、驱动器损坏等。在电力企业中,必须充分重视防护数据安全,通过访问控制、身份认证、加密等方式,确保文件够准确、保密。在数据防护安全上,可选用异地容灾、双机容错等措施。

三、结语

电力作为国民经济建设所需的基础行业之一,关系到日常生活、生产供电的可靠性与稳定性,对我国持续快速的发展和社会繁荣稳定起到非常重要的保障作用。开展智能电网信息安全的建设,一方面是为了使我国的科学发展观得到贯彻和落实,以信息化来带动安全建设现代化,并对技术资源作有效的整合,使资源配置优化得到进一步的推进;另一方面,需确保智能电网的发展迈向互动化、智能化、现代化,其导向需充分依据智能电网的新型安全业务需求,以构建出企业级的职能信息安全综合防御体系,使安全集约化的管控得到进一步的加强,从而助力统一智能电网的建设工作。

参考文献: