时间:2023-09-13 17:13:43
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇常见的网络安全防护措施,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
医院信息化建设中网络安全存在技术因素与人为因素的干扰,需要针对各医院实际情况做管理制度的完善健全,提升技术手段,规范管理细节措施,提升全体人员对网络安全维护的意识与能力,从而有效的保证医院信息化建设的高效化、安全化,有序化。
关键词:
医院;信息化建设;网络安全;防护
医院信息化建设不断加快与成熟,促使整体的医疗诊治水平提升,保证了诊疗工作的准确与效率。但是随着信息化的普遍性,相关网络管理工作也日益复杂,尤其是我国恶意软件与不良网络攻击情况严重,导致医院网络安全管理存在较大的威胁。网络安全是医院信息化建设中的重要工作,是保证信息化工作开展的基本保障。
1医院信息化建设中的常见安全隐患
1.1技术因素
医院信息化建设中,会广泛的涉及到服务器、客户端、链路、软件系统、存储与网络设备等多种构成元素。医院信息化建设有效的提升了整体的诊疗水平,提高工作效率与便捷性,但是网络安全问题也日益突出,相关信息资源的泄露或者系统攻击都极大的威胁了信息化建设的有序开展。在安全管理中,物理性环境安全、操作系统安全、数据备份安全等都是网络系统建设的常见安全问题。而常规性的运用防火墙以及其他防病毒操作都无法有效的保证信息化平台的安全性,容易引发数据泄露、损坏与丢失,进而干扰了医院正常工作运转,甚至也对患者个人信息构成泄露,急需要通过更强的防护技术来做保障。对于部分医院而言,会简单的认为设置一定安全防火墙就可以保障系统的安全性,甚至认为不需要其他安全防护来做安全保障,这主要是安全防护工作中缺乏与时俱进的先进意识,认识误区较为明显。而防火墙只是防护手段中的一种,能够防御性的安全问题较为局限,对网络内部与旁路攻击都无法达到理想的防护效果,同时针对内容攻击的问题也无法处理。部分设备中只是对攻击行为进行警告,但是并不具备攻击行为的防控能力。在数据库升级中,可以到数据库做用户操作登录记录,可以达到操作源IP地址的定位,但是缺乏无法阻止其做恶性操作,例如对数据信息做恶意的窃取与篡改,甚至无法认定操作人员最终责任,因为账户登录只需要账户与密码就可以进行,但是这种登录操作任何掌握信息的人都可以进行,无法达到全面的管控。此外,安全防护措施工作量大,操作复杂。在做IP与MAC地址绑定中,需要管理人员针对每台交换机做操作,对绑定信息做逐条的输入,工作负荷相对更大,操作缺乏高效便捷性。其次,如果有人懂得相关网络基础技术,可以轻易的做到IP与MAC地址的变更,从而引发绑定操作失效。此外,医院主机装备了杀毒软件,然而由于数量较多,不能有效的对每个主机做杀毒软件的统一性管控,对于病毒库的更新以及软件的开启等情况都无法做有效确定,相应的系统补丁也不能及时有效更新,进而导致安全防护效果不能确定。虽然医院投入大量的财力与人力做好安全防护措施处理,但是实际上缺乏可执行性,同时由于各设备间缺乏关联性,从而对于实际效果无法做有效评估与管控,安全防护措施与手段的运用则流于形式。
1.2人为因素
医院信息化建设更多的操作需要人为进行,因此人为因素是网络安全管理的重要因素。医院没有将网络安全明确到人,缺乏责任制管理,无论是安全管理人员还是普通工作人员,缺乏足够的安全管理意识。没有形成规范合理的信息系统建设制度规范,导致实际操作无章可循。没有强效的安全检查与监督机制,同时也没有专业的第三方机构做安全性介入管理。相关工作人员缺乏专业资质认定,对于网络安全没有展开合宜的宣传教育,同时也缺乏对应工作与行为考核,导致工作人员缺乏应有的安全责任观念。因为工作人员缺乏安全意识与专业的安全能力,会出现将个人电脑接入医院内部网络,从而导致病毒携带入网,导致相关信息化系统运行故障。或则将医疗业务网络电脑与互联网、外网连通,导致相关网络中的病毒、木马程序进入到医院的内部网络,导致网络病毒蔓延。工作人员会因为有职务的便利性,会访问医院有关数据库,从而得到数据资料的窃取与篡改,进而导致相关经济损失。同时黑客会通过技术手段接入到医院内部网络中,进行直接性的网络攻击,医院与医保网络系统处于连通数据验证操作所需,如果被攻击则容易导致严重后果。
2医院信息化建设中的网络安全防护
2.1完善管理制度
医院网络运行保持安全性效果的基础在于完善健全的制度管理,可以通过对医院实际情况的了解,设置针对性安全管理操作制度、监督制度、用人制度、激励制度等多种内容。确保所有有关工作的开展有章可循,提升操作的标准性、可执行性。要不断的强化制度的权威性,让工作人员对此保持谨慎态度,避免安全疏忽。
2.2安全管理细节措施
医院网络管理需要多方面的细节措施来保证。例如为了保证服务器能够可靠稳定的持续工作,需要运用双机容错与双机热备对应方案,对于关键性设备需要运用UPS来达到对主备机系统的有效供电,确保供电电压持续稳定供应,同时避免突发事件。网络架构方面,需要将主干网络链路采用冗余模式,这样如果出现部分线路故障,其余的冗余线路可以有效继续支持整个网络的运转。需要运用物理隔离处理来对相关信息数据传输设备保持一定的安全防护,避免其他非专业人员或者恶意破坏人员对设备进行破坏,需要做好业务内网与外网连通的隔离,避免网络混合后导致的攻击影响或者信息泄露。对于医院内部的信息内容,需要做好数据与系统信息的备份容灾体系构建,这样可以有效的在机房失火或者系统运行受到破坏时快速的恢复系统运行。要展开网络系统的权限设置,避免违规越权操作导致系统信息数据的修改有着窃取,要做好数据库审计日志,对于相关数据做动态性的跟踪观察与预警。
2.3技术手段升级
在网络安全防护措施上需要保持多样化与多层次的防护管理,积极主动的寻找管理漏洞,有效及时的修补管理不足。对网络设备做好杀毒软件的有效管控,建立内外网间的防火墙,限制网络访问权限,做好网络攻击预警与防护处理。对于网络系统各操作做有效记录跟踪,最安全漏洞做到及时发现并修复。要投入足够人力与财力,优化工作人员技术水平,从而有效的保证技术手段的专业完善性。
结束语
医院信息化建设中网络安全需要医院所有人员的配合,提升安全意识,规范安全管理制度与行为,确保网络安全的有序进行。
作者:梁子 单位:广州市番禺区中心医院
参考文献
[1]李骞.医院信息化建设中的网络安全与防护措施探析[J].网络安全技术与应用,2015(9):43,45.
【摘 要】进入新世纪以来,市场变迁,我国的IP城域网的发展进入了一个新的阶段。以前人们对IP城域网的需求主要为宽带,到如今逐渐向质量与可靠,有广泛业务的不间断网络通信转变。网络安全作为网络质量的基础之一,已愈发受到运营商的重视。在银行、政府、支付等特殊的企事业单位中,对IP城域网的网络安全提出了更高的要求,间接的推动了IP城域网网络安全的发展建设。本文从IP城域网网络安全的现状出发,分析了几个常见的网络攻击方法并简单的介绍了目前应对网络攻击的安全防护措施。
【关键词】IP城域网;网络安全;防护措施
从目前的分析来看,制约IP城域网发展的重要因素之一就是网络安全。最近几年,网络安全事件发生的频率在逐年升高,造成的损失也不断升高,因此面对如此严峻的网络安全形势,必须对网络安全大力度的加以整治。
1 .IP城域网网络安全的现状
1.1IP城域网的概况
一般而言,城域网主要由三个层次构成,分别为核心层、汇聚层以及接入层。
这三个层次在IP城域网中各自承担着不同的功能,他们是IP城域网中不可缺少的一部分。IP城域网的核心层面临着路由安全与核心层的设备自身安全等主要安全问题;汇聚层又称为控制层,它主要面临的网络安全问题是路由安全、异常流量的抑制以及用户的业务安全和对用户访问的控制;构成接入层的主要是一些二层的接入设备,接入层面临的网络安全问题是用户的攻击行为与对广播风暴的抑制。
1.2IP城域网主要存在的风险
随着目前网络的不断普及,城域网的用户快速增加,网络安全问题就凸显出来,这些问题主要体现在五个方面:(1)用户端引起的流量攻击问题,(2) 用户管理接入问题,(3)大量垃圾邮件挤占网络带宽,(4) 大量出现以占用带宽为目的的应用,(5) 网络安全的管理问题。
1.3IP城域网的安全现状分析
目前IP城域网的安全主要面对着以下的几个方面的问题:(1)关键设备(如核心设备)以及关键链路(出口城域网链路及BRAS/MSE上行链路)是否冗余(3)对核心层、汇聚层以及接入层的管理混乱,导致用户随意接入,(4)网络设备在某些功能上存在缺陷。(1)网络终端的防护能力薄弱,(2)对网络缺乏相应的安全监控,除认证计费外,多数网络处于开放状态,
2.常见的网络攻击手段
常见的网络攻击手段主要有地址欺骗、端口扫描以及应用层攻击,@些网络攻击对IP城域网的网络安全造成了很大的威胁。
2.1地址欺骗
IP地址欺骗又被称为身份欺骗,网络攻击者把真实的IP地址进行切状,并发送特定的信息,扰乱正常的信息传输。IP地址欺骗也可以利用一些信息更改网络的路由信息,从而达到窃取信息的目的。
2.2端口扫描
端口扫描是网络攻击者攻击网络的主要方法之一。这个方法就是攻击者们利用公共公开的网络安全工具对网络系统进行较大规模的端口扫描,进而获取相应的信息。攻击者们用这种方法攻击IP网络,会占用大量的系统资源,会对正在正常使用的设备造成较大的危害。
2.3应用层攻击
网络攻击者们使用应用层攻击的直接对象就是网络系统的服务器,应用层攻击的条件相对较高,因此应用层攻击者多为这个系统程序的初始设计者。他们可以再服务器的操作系统中制造一个后门,绕过正常程序达到目的,而特洛伊木马就是一个典型。
3.应对网络攻击的安全防护
3.1搭建IP城域网网络安全架构
IP城域网主要的安全隐患来自各个层次。针对核心层,我们需要做到以下几个方面(1)选择高可靠高性能核心路由器(2)做好冗余措施,避免单点故障,(3)选择合适的路由协议,提高网络可靠性及效率(4)充分利用访问控制列表(ACL)等措施做好流量过滤机流量攻击防范。
针对业务控制层,(1)BRAS/MSE上行到核心路由器链路必须冗余,同时起到链路安全及流量负载分担功能(2)强化访问控制列表(ACL),同时进行一些设置,以过滤或阻止某些攻击企图,通过关闭不必要的服务降低风险。
针对接入网,(1)防止环路,尽量减少二层VLAN透传(2)采用QINQ方式,有效隔离用户,防止ARP攻击等。
另外,需在全网做好黑洞路由等安全防护策略;同时对各级设备都应注重强权限管理,加强用户名、密码、权限等访问控制手段。而且对所有网络设备配置及各类数据都必须进行及时有效的备份。
3.2应对网络攻击的主要技术策略
3.2.1设备防护。
设备是一切的基础,对设备的安全进行防护是构建IP城域网网络安全的主要措施之一。对设备我们需要实行最小化的服务原则,在使用设备时,关闭设备上一些并不需要的功能服务。在认证方面使用单点登录集中认证的方法控制维护人员的远程访问,同时远程访问需使用SSH方式,简介后还需要有相关的信息提示。
3.2.2接入层防护。
接入层相当于网络终端与IP城域网的一堵墙,要想对网络终端进行隔离就必须把接入层这堵墙建好。对接入层的建设主要是加强对L2网安全防护,特别加强对H用户接入以及网吧接入的管理工作。尤其对网吧的管理,现网已经出现不止一次因为网吧遭受攻击而影响其接入的那台汇聚交换机甚至是BRAS瘫痪的情况。这就要求全网部署好防流量攻击策略等。
3.2.3计费认证系统防护。
相对其他缺乏安全监控的网络来说,认证计费系统的安全防护工作还是做得很好。计费认证系统防护方面我们需要对各个地市的计费认证系统进行集中的管理,对网络的访问实现对不同业务主机的安全防护,定期的对认证计费系统进行安全的扫描,对认证账号、IP进行保密。
4 .结论
在新世纪下整体的IP网络需要发展,但是IP城域网的网络安全一定程度上制约着整个IP网络的发展,因此解决IP城域网的网络安全问题势在必得。为了提高IP城域网的网络安全水平,必须根据实际情况,制定相应的网络安全应急机制,对整个城域网制定相应的应急预案,提高IP城域网整体对网络安全的应对能力,做到防患于未然。
参考文献:
[1]辛荣寰.中国通信学会信息通信网络技术委员会2003年年会论文集[C]. 2003.
网络工程安全之所以处在一个艰难的环境,主要的原因要归咎于垃圾邮件。垃圾邮件是指用户完全不想接受的邮件但是却没有办法拒绝的邮件。这么长时间以来,这给用户造成了严重的损害,但也让网络的负载越来越大,影响了网络工程的工作的成效和安全性,而且大量网络来源被消耗掉,减缓系统运行效率,另一方面,垃圾邮件因为数量过于庞大,已经违反了整个网络安全。
2计算机系统风险
网络工程安全在某种程度上也是因为计算机系统风险造成的。在网络工程中,因为系统中的管理机构和不完美,在上述部门的位置不够明显,还不能改善的管理密码,所以用户会防守意识相对薄弱,信息系统的风险并不能达到合理的避免,让网络安全面临四面楚歌的境地。,这将使计算机系统的风险变得越来越严重,甚至使计算机不工作,最后让计算机网络安全威胁严重。因此,必须加强网络安全的工程。
3如何对网络工程中的安全防护技术进行加强
3.1设置防火墙过滤信息
做好预防黑客的的措施,最有效的方式是使用防火墙,相应的信息过滤防火墙可以在网络工程,加强安全防护技术。在网络中,安装本地网络和外部网络之间的防火墙是最有效的保护手段,网络防火墙可以分段本地网络和外部网络地址,网络通信所有计算机必须通过网络防火墙,防火墙过滤后,它可以过滤一些网络上的攻击,避免了攻击在目标计算机上执行,使内部网络的安全性大大提高。同时,防火墙还可以对一些未使用的端口关闭操作,还可以进行尽职调查使交流一些特定端口封锁木马。对于一些特殊的网站访问,网络防火墙也可以进行禁止,防止黑客入侵。分组过滤防火墙和应用防火墙分别如以下两图所示:
3.2加强病毒防护措施
在网络工程中,病毒的防护工作无疑是整个安全防护技术中不可分割的环节。在计算机系统的安全管理和日常维护,病毒防护是其中几位关键的内容,计算机病毒日益呈爆炸式增长,我们越来越难以区分,它会导致以防止计算机网络病毒的工作变得越来越困难,我们已经不可以仅仅利用技术的方式去防止病毒,而是选择技术和科学的管理机制两者有机的组合,让人们提高预防的意识,可以让网络系统可以从根本上得到保护,促使网络安全运行。杀毒软件,常见的金山,瑞星杀毒和卡巴斯基。在通常的情况下,某些定期检测病毒和病毒杀死在电脑,病毒被发现后及时处理。此外,对于一些重要的文件,电脑也应该及时备份,以防止丢失重要文件收到后对计算机病毒的入侵。
3.3植入入侵检测技术
入侵检测系统在网络工程,是一种主动安全技术,我们可以科学的进行防护,并且还要逐步加强力度。网络工程、恶意入侵检测技术可以包含有效的识别在计算机网络来源,网络系统是濒危回应之前拦截。可以实时保护外部攻击、内部攻击和误操作,也可以采取相应的安全保护措施根据攻击。现在网络监控系统的项目,从网络安全防御和角度三维深度提供安全服务,可以使来自网络的威胁,有效降低损失,以提高今天的探测技术的关注。
3.4拒绝垃圾邮件收取
正如上面提到的,垃圾邮件没有得到用户授权却强制用户接受邮件的行为。批量发送可以说是其中重要的特点,在这段时间内计算机网络的快速发展,垃圾邮件已逐渐成为计算机网络安全的风险。因此有必要加强网络安全工程,必须拒绝垃圾邮件的接受收,拒绝接收垃圾邮件,你必须保护自身的电子邮件地址,不能自由连接自己的电子邮件地址,更加不能把自身的地质给泄露出去,这样就可以很好的避免接受垃圾邮件了。此外,您还可以使用一些邮件管理来管理自己的电子邮件帐户,邮件过滤操作,拒绝接受垃圾邮件。
3.5加强网络风险防范
在网络安全防护工程,也不能忽视网络和加强风险防范。想让网络风险防范,可以利用数据加密技术,它可以传输数据在网络上访问限制,设置专门通过用户数据来指导,从而达到加密的目的。在项目的网络数据加密的主要方式是,端到端加密,加密等,可以采用不同的数据在不同的情况下和加密方法。
4结语
摘要:目前,我国电力调度自动化系统网络的建设成绩斐然,例如电力调度网络系统的利用率教高,技术水平比较先进等,但是也存在着网络安全级别较低、实时性。要求较低等多方面的安全隐患。为此,笔者在本文中浅谈了电力调度自动化系统网络安全隐患及其防止。
关键词:电力调度;自动化系统;网络安全防护
近几年来,随着科学技术和网络技术的发展,我国国家电力数据网一级网从1992年2月一期工程开始规划建设,到1997年7月二期工程开通运行,迄今已有近十年的发展历史。在这近十年间,我国电力调度自动化系统网络的建设取得了客观的成绩,例如电力调度网络系统的利用率教高,技术水平比较先进等,但是也存在着网络安全级别较低、实时性。要求较低等多方面的安全隐患。因此我们就要根据电力调度自动化系统中各种应用存在的问题,优化电力调度自动化网络系统,建立调度系统的安全防护体系。对此,我从以下几方面进行分析研究。
1 电力调度自动化系统网络存在的问题
电力调度自动化系统网络存在的安全隐患有自然灾害、硬件故障、盗用、偷窃等,对此我进行如下分析。
1.1 自然灾害。常见的对电力调度自动化系统网络造成影响的自然灾害有地震、火山、滑坡,泥石流、台风、雷击等。自然灾害可谓是天灾人祸,这是无法避免的,我们能做的就是提前预测,并根据预测结果进行防范,使受灾程度减到最小。
1.2 硬件故障。硬件故障是技术硬件问题,如网络安全访问控制技术,加密通信技术、身份认证技术、备份和恢复技术等。其中网络安全访问控制技术和加密通信技术的故障主要表现为黑客的攻击和病毒的侵扰,导致网络信息丢失,系统瘫痪;身份认证技术的故障主要表现为用户拒绝系统管理、损害系统的完整性等。
1.3 盗用、偷窃。盗用和偷窃的问题主要体现为网络系统的工作人员利用公务之便对网络系统信息的盗用和网络系统的资源的偷窃,以及非工作人员利用非法手段对络系统信息的盗用和网络系统的资源的偷窃等行为,最终导致整个电力调度网络系统运转瘫痪。
2 关于电力系统网络的有关政策和法规
国家的有关部门对安全问题的有关政策和法规,对制定电力调度控制系统的安全策略起到指导性和引领性的作用。
2.1 公安部对网络系统安全问题的有关政策和法规。公安部颁布了安全防护方面的一系列文件,规定各部门应根据具体情况决定自己的安全等级,实行国家强制标准。公安部规定自动控制系统应与外部网络绝对物理隔离,可根据业务的需要建立专用数据网络。
2.2 国家保密局对网络系统安全问题的有关政策和法规。国家保密局也颁布了一系列安全保密方面的文件,例如,1998年10月国家保密局颁布的“涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法”规定,涉及国家秘密的通信、办公自动化和计算机信息系统的建设,必须与保密设施的建设同步进行,系统集成方案和信息保密方案不可混淆,应从整体考虑,实行物理隔离。
2.3 根据公安部及国家保密局对网络系统安全问题的有关政策和法规,1996年11月原电力部752号文“电力工业中国家秘密及具体范围的规定”明确了电力工业中涉及的国家秘密和重要企业秘密,均必须参照国家有关保密方面的规定。电力生产事关国计民生,电力系统的安全和保密都很重要,电力自动化系统要求可靠、安全、实时,而电力信息系统要求完整、保密。两种业务应该隔离,特别是电力调度控制业务是电力系统的命脉,一定要与其他业务有效安全隔离。
3 电力调度自动化系统网络安全隐患的防护办法
电力系统安全防护的基本原则是:电力系统中,安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。针对以上几点电力调度自动化系统网络存在的问题,并根据电力系统安全防护的基本原则,我认为应从以下几方面采取防护措施。
3.1 对自然灾害采取的措施。对自然灾害我们要以预测为主,尽量的减小破坏程度,这就对电力监控系统作出很大的要求。电力监控系统要通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。电力监控系统要做到早发现,早报告,早预防,早治理。
3.2 硬件故障。对于硬件的故障,要求各有关单位应制定安全应急措施和故障恢复措施,对关键数据做好备份并妥善存放;及时升级防病毒软件及安装操作系统漏洞修补程序;加强对电子邮件的管理;在关键部位配备攻击监测与告警设施,提高安全防护的主动性。在遭到黑客、病毒攻击和其他人为破坏等情况后,必须及时采取安全应急措施,保护现场,尽快恢复系统运行,防止事故扩大,并立即向上级电力调度机构和本地信息安全主管部门报告。
【摘要】对智能终端面临的安全威胁的具体形式、特点和发展趋势进行了总结分析,重点对恶意应用带来的安全威胁进行深入探析,并
>> 基于移动智能终端安全威胁与防护技术的研究 网络信息安全的威胁与防范技术研究 智能终端安全威胁及应对措施 基于可信计算的移动智能终端安全技术研究 高校网络安全与防护技术研究 Web应用其安全威胁与防护技术探讨 基于AndroidWear的智能设备数据安全防护技术研究 网络安全威胁态势评估与分析技术研究 电网企业网络信息安全的威胁与攻防新技术研究 移动智能终端Web应用平台开发技术研究 对智能终端发展关键技术研究 电力企业办公终端信息安全技术研究 移动终端中的通信安全技术研究 网站安全的威胁与防护 对煤矿供电设备的安全防护与电气保护技术研究 计算机网络安全与防护技术研究 论计算机网络系统安全与防护技术研究 营销服务手机应用平台安全防护技术研究与应用 Web攻击及安全防护技术研究 终端防护与云安全结合 常见问题解答 当前所在位置:l.
[5] Apple Inc. iOS Reference Library, Security Overview[EB/OL]. (2012-12-13). #//apple_ref/doc/uid/TP30000976-CH201-TPXREF101.
作者简介
袁广翔:高级工程师,现就职于工业和信息化部电信研究院,主要从事移动互联网技术、应用和安全研究,以及标准化和测试相关工作。
潘娟:硕士毕业于北京邮电大学电信通信学院,现任工信部电信研究院泰尔终端实验室信息安全部主任,主要从事移动互联网安全、业务应用、终端机卡接口、移动支付等相关技术研究、标准编写以及测试平台搭建的工作。先后负责了YD/T 2407-2013、TD/T 2408-2013、YD/T 1700-2007、终端机卡接口系列行标、业务应用相关行标的编写。发表文章三十余篇,申请专利多项。
【关键词】 通讯网络信息系统 安全威胁 安全防护技术
目前我国的3G通信技术和移动网络通信技术逐渐成熟,4G通信技术马上也要大力推广应用,针对通讯网络信息系统开放性高的特点,对如何做好安全防护技术,保证通讯网络稳定运行的研究和探讨具有非常重要的现实意义和实用价值。
一、通讯网络信息系统的常见安全威胁
1、主动捕获用户身份信息。首先恶意行为发动者将自己伪装,然后再以服务网络的身份请求目标用户进行身份验证,目标用户验证后,身份信息就被获取。2、干扰正常服务。依照干扰等级的不同,可以分为:(1)伪装网络实体:恶意行为发动者为了迷惑目标用户,可以伪装成合法的网络实体,对于用户的服务请求拒绝回答,如此反复,对正常通信服务起到干扰的非法目的。(2)物理等级干扰:物理等级干扰主要是针对通信系统的无线链路,恶意行为发动者通过物理手段以及相关的其它技术对通信系统的无线链路进行干扰,直接后果就是导致用户的相关数据以及信令数据不能传输;(3)协议等级干扰:在通讯网络系统中,有很多特定的网络协议,恶意行为发动者利用某些技术手段干扰特定协议,导致特定协议流程失败。3、非法访问。正常访问网络需要有合法的用户身份验证,恶意行为发动者往往伪装成“合法用户”身份对网络进行非法访问,又或者潜入到用户和网络之间实施攻击。4、攻击数据完整性。网络无线链路传输中业务数据、控制信息、信令、用户信息等,必须保证完整性,恶意行为发动者利用特殊技术手段对其进行修改、插入、删除等非法篡改。5、数据窃取。数据往往是网络中最容易被窃取的信息,恶意行为发动者利用窃听用户业务、窃听信令和控制数据、以网络实体的身份窃取用户信息、分析用户流量等非法手段,在网络中窃取用户的信息以及业务数据来达到非法目的。
二、通讯网络信息系统的安全防护技术
1、强化网络漏洞的扫描和修补。我们通常用到的安全防护措施主要包括:杀毒软件、防火墙、安全防护检测等,正确防毒和杀毒的认识已经被大家广泛接受。人们都忽略了安全漏洞的扫描和修补,认为安全漏洞的修补不是安全防护的重要手段,然而根据调查研究,大部分的网络黑客入侵都是由于网络系统的安全漏洞或者配置错误引起的,及时修复系统漏洞及补丁能够有效降低网络安全事件的发生。2、限制系统功能。网络黑客一般都是检测到网络系统出现漏洞后,伪装成合法的用户身份入侵网络,这就要求我们要采取相关措施,通过系统设置来限制系统可提供的服务功能和用户对系统的操作权限,这样就能大大减少黑客利用这些服务功能和权限攻击系统的可能性。最为常见的安全设置就是限制用户的访问和数据加密技术。限制部分用户对网络资源的访问权限和操作权限,同时也限制用户控制台的登录,对登录的用户进行安全验证。由于Internet的开放性,在网络中传输的数据有被其他人拦截的风险,而对数据进行加密,设置特定的用户才能解读密文,将数据加密后再进行传输是保证数据安全的最有效的方法。3、入网测试。入网测试主要包括:对入网的网络设备和相关安全产品进行综合测评,对设备的安全等级、设备性能都要进行测试,测试合格后再投入使用。此举不仅可以保证设备在投运时不携带未知的的安全隐患,保证被测试产品在入网后具有可控性、可用性以及可监督性。4、构建信息网络的应急恢复系统。一直以来,通讯网络安全都是奉行“安全第一,预防为主”的安全策略,凡事都要预防为主,这样才能占据主动。通讯信息网络的安全故障具有复杂性、多变性以及不定性,随时都有可能发生恶意网络入侵、破坏的安全事故,这就要求我们要成立专门管理通讯网络信息系统的机构,有利于对网络进行统一管理、合理分工、实时监控,并且做好通信网络系统应急预案。如果发生危及通讯网络信息安全的突发事件,则要及时启动专项应急预案进行应急处置,及时有效地处理突发事件,将损失降低到最小。
三、结语
通信网络安全维护也不是一朝一夕能够完成的,是一个长远持久的课题,我们要不断的学习新的知识,适应网络发展的节奏,有效结合多种安全技术,综合运用,只有这样才能保证通讯信息系统的安全。
参 考 文 献
[1] 王福欢. 试论通讯网络信息系统的维护技术. 《科学与财富》. 2012年5期
1网络安全要素分析
1.1机密性
机密性是保障信息数据的安全,防止将信息数据泄露给未授权用户的过程。网络安全的机密性可以保证信息不被其他用户所得到,即便得到也难以获知其信息具体的内容,因此不能加以利用。一般情况下采用访问控制来组织其他用户获取机密信息,并采取加密的方式阻止其他用户获取信息内容。
1.2完整性
所谓完整性是指网络信息的不可更改性,要保障网络信息的完整性不可随意更改,如不正当操作、误删除文件等都有可能造成文件的丢失。完整性在一定程度上是保障网络信息安全,要求保持信息的原样,确保信息的正确生成、存储以及传输。完整性要素与机密性不同,完整性强调的是信息不能受到其他原因的破坏。
1.3可用性
可用性设置信息以及相关资产在需要使用的时候,能够立即获得。如通信线路出现故障的时候,在一段时间内不能正常使用,会影响到正常的商业运作,这就属于信息可用性遭到破坏。
1.4可控性
可控是指能够对网络上的信息以及信息系统实现实时监控,对信息的产生、传播等行为方式实施安全监控,控制网络资源的使用。
1.5可审查性对已出现安全问题能够提供可供调查的依据或手段,确保网络系统发生的行为都能够找到说明性记录。
2P2DR网络安全体系
面对网络安全的严峻形势,动态网络安全理论模型在上个实际逐步发展起来,动态网络安全理论模型在设计的过程中摆脱了传统网络安全体系设计过于简单的加密、认证技术。动态网络安全管理模型以承认漏洞、加强防护、实时检测为原则,为计算机网络安全系统的设计带来了新的思路。其中最典型的就属于P2DR模型。P2DR模型是最具代表性的动态安全模型的雏形。P2DR安全模型主要包含了四大部分。安全策略、安全防护、安全检测、安全响应。四者关系如下图1所示。如果在安全响应之后,加入安全机制,即可升级为P2DR2安全模型。两者模型的实质是一致的。P2DR模型是在安全策略的指导下,综合运用其它安全系统的同时,通过联合检测工具来分析和实时检测系统的安全状态,然后通过检测的安全系数将系统调整到“风险系数”最低的安全状态。P2DR模型中的四大模块组成了一个完整的动态安全循环,实时排除安全因素,保障系统的安全,模型中的安全策略在整个系统运行中处于中心地位。安全防护所指的物力防护安全及应用防范安全的集合,其中涵盖诸多安全防护子系统,保证系统的保密性及完整性,可以说安全防护是在传统防护上的升级改造。安全监测是在旧有安全监测措施的基础上,增和了报警系统、身份鉴别系统、检查监控等诸多安全监察措施,从监视、分析、审计等方面及时对破坏信息网络的行为进行预警,是安全防护从静态防护升级为动态防护的基础。安全响应是基于前三个流程最初的最终的安全响应,对出现威胁和安全事件及时有效的进行处理,包括了应急系统、实时报警切换系统等,在遭遇到紧急攻击事件的时候采取措施,如追反击攻击源、保护性关闭服务等。
3状态转移技术在安全管理中联动机制的应用分析
P2DR网络安全模型所构建的网络安全管理平台,最大的优势就是将传统静态防御发展到了动态防御。而P2DR网络安全模型实现动态防御最为关键的技术就是实现联动机制。联动控制模块依托网络安全策略库,能够根据具体事件情况形成推理机制,对安全系统中各安全设备进行影响,进行控制并提供必要的支持。使系统内各安全设备能够根据当前系统的安全系数和所受到的威胁进行动态响应,对系统自身无法进行处理的事件生成报告,提醒管理人员注意问题,必要时进行人工干预,更改相应措施,采取新的安全策略。如当系统出现非法入侵的时候,能够根据安全策略生成响应措施,以自动或手动方式来改变防火墙的控制策略。网络安全管理平台所管理的安全设备之间是状态之间的转移行为,如当出现入侵情况时,网络状态就会自动切换到检测状态,检测出入侵事件后,根据预先设置的安全策略再由检测状态转移到防护状态。状态抓你技术应用后对网络状态进行抽象画描述,可以从不同的层面实现各安全设备之间的联动。安全管理平台在实现设备联动时只需要针对检测设备开发出检测状态集,然后系统安全策略控制中小就会管理状态集之间的转移变迁。而且在同一状态集内可以实现状态转移,在这样的情况下就能够在原有安全管理平台上实现功能基础的二次开发机会。在该机制下,通过安装新的响应设备,系统则只需要开发一套针对该设备的响应集在旧有的状态集当中,现有的安全设备可以通过安全策略中心将检测到的状态防护与新的响应集连接起来,实现新旧设备之间的联动。从中可以看出,设备之间的联动就变成了N对1的情况,这是状态转移技术应用于安全管理平台最为重要的改进。
4结束语
伴随着网络规模不断扩大,层出不穷的安全问题威胁网络安全,很多机构通过购置网络安全工具来保护网络,但是从整体上来看,都存在不同的局限性,面对当前的动态系统、动态环境,急需要通过动态的安全模型和技术来进行改善。本文分析了网络安全的要素,并介绍和探讨具有代表性的动态网络安全体系P2DR网络安全模型,最后就状态转移技术应用到动态网络安全管理平台中进行了分析探究,对改善现有网络安全管理现状效果显著。
参考文献
[1]马彦武,董淑福,韩仲祥.一种网络安全联动防御模型的设计与实现[J].火力与指挥控制.2011.
[2]刘彩梅.防火墙技术在计算机网络安全管理中的应用[J].计算机光盘软件与应用.2013.
[3]韦勇,连一峰.基于日志审计与性能修正算法的网络安全态势评估模型[J].计算机学报.2009.
关键词:计算机网络管理;安全性;要点构架
计算机是21世纪的重大发明,随着信息技术、网络技术、通信技术和计算机技术的发展,推动了人类社会的信息化发展进程,并且成为了当代居民使用的重要工具。但是基于计算机网络的开放性,其在使用中存在的一定的安全隐患,如果不进行有效管理,会导致使用者遭受巨大损失。因此,针对计算机网络管理的安全性要点构架分析进行探究,对确保使用安全具有现实意义。
1当前计算机网络中存在的安全隐患
1.1缺乏安全意识
随着计算机技术的蓬勃发展,其已经在诸多领域实现了广泛应用,但是一些使用者没有经过系统性培训,在操作中经常出现各种漏洞以及操作失误,进而导致文件资源丢失或者破坏,在使用中也没有采取合理的安全防护措施,对计算机网络使用安全埋下隐患。
1.2盗取用户信息
当前,一些网站或者软件非法制造各种虚假信息,并且强制安装一些带有病毒的软件,进而盗取用户信息,包括机密文件、银行卡信息以及密码,不扰乱了正常社会秩序,同时也为使用者造成困扰。
1.3木马病毒以及黑客
随着信息技术和网络技术的蓬勃发展,人类社会已经迈入到信息化时代,计算机网络技术的重要性和作用性日益凸显,在此背景下,一些不法分子利用木马以及病毒等方式入侵使用者计算机,进而获得经济利益。同时,一些黑客的攻击手段也不断升级,对个人以及企业的计算机采取非法攻击,获取企业资料或者篡改数据等,对使用者的切身利益造成巨大危害。
2计算机网络管理安全性要点构架
2.1提升安全防护意识
在我国社会发展新形势下,计算机已经成为人们日常办公、生活以及学习的重要工具,但是普遍使用者都缺乏安全意识,为不法分子提供了可乘之机,因此,需要在全社会加强计算机网络安全宣传,提升使用者的安全防护意识。首先,鼓励使用者安装正版的操作系统,避免由于系统漏洞而遭受黑客或者木马攻击,并且规范使用者的操作行为,防止由于操作失误而导致文件损坏或者丢失;其次,在信息时代下,计算机病毒已经属于一种社会常见现象,病毒的类型呈现多元化,为使用者安全防护增添了难度,因此,要树立使用者的病毒防护意识,安装以及定期升级杀毒软件,发挥软件的防御作用,避免计算机遭受病毒侵害;最后,将计算机网络安全教育作为公民教育的关键组成部分,积极普及和宣传相关法律,树立广大网民的法律意识,对计算机进行正当使用,严禁通过非法手段获取经济利益。
2.2科学控制网络访问
对网络访问进行科学控制是提升计算机网络使用安全的重要途径和关键举措,使用者要采取有效措施加强网络访问控制,进而保证使用安全。首先,合理应用相关技术,当前较为常见的技术为权限设置,通过对用户使用权限进行科学设置,能够保证计算机使用的合法性和有效性,防止不具备权限的人非法访问;其次,防火墙技术,其属于计算机网络安全管理的重要技术,已经在各个领域实现了广泛应用,其可以有效杜绝外部非法访问,在系统中构筑一道坚固的防御体系,随着我国信息技术的蓬勃发展,防火墙技术已经日趋成熟,可以保证计算机系统的安全以及稳定运行。
2.3应用密码技术
当前,密码技术已经在计算机网络安全管理中获得广泛应用,并且具有显著的应用效果,当前较为常见的密码技术为加密技术,该技术具有较强的适应性和安全性,在数据信息传输和保存过程中应用加密技术,能够规范用户的使用权限,文件即使被盗用也无法使用,需要使用指定的解密方式才能使用。加密技术主要分为非对称加密技术和对称加密技术,第一,非对称加密技术,其通过不同密码形式的方式呈现,分为私有密匙和公开密匙,数据信息在传输过程中利用公开密匙加密,使用者想要打开文件,也需要使用特定的私有密匙;第二,对称加密技术,该技术主要是指数据信息的解密和加密密码相同,这一技术操作较为简单,对计算机设备并无特殊要求,传输者和使用者在掌握密码后就可以完成文件的传输和使用。
2.4物理安全防护措施
想要确实计算机网络使用安全,使用者还要灵活应用各种物理安全防护措施,进而起到良好的防护效果。首先,线路故障是导致计算机网络出现安全隐患的重要硬件,在使用过程中,需要做好线路的防漏点、防水以及防潮措施,避免由于线路故障而导致网络中断,为使用者增添不便,同时,还要对计算机进行科学维护,保证其硬件设施处于正常工作状态下;其次,针对常见计算机网络故障,使用者需要提前制定应急预案,如果发生故障可以及时应对,避免遭受更大损失;最后,对于重要的资料和文件,需要提前做好备份工作,进而预防文件损坏或者丢失。
1 当前计算机网络信息存在的安全问题
1.1 计算机病毒
计算机病毒一般都隐藏在计算机的执行程序、操作数据和文档文件中,不易被发现。计算机病毒是常见的计算机网络信息故障,它通过控制电脑程序,阻碍计算机的正常运行和操作,病毒也是危害性较大的一种网络信息故障。当然,病毒不会凭空产生,它是依赖于数据包的传输、信息的复制以及程序的运行等方式进行传播,所以,病毒产生一定会依靠移动硬盘、U盘、网络下载软件等载体传播至电脑。
1.2 网络系统脆弱
随着计算机网络技术的不断发展和广泛普及,计算机在家庭、学习、公司已经普及开来,使得计算机网络信息变得异常庞大和分散。另外,为了方便计算机用户使用,计算机网络信息都是公开的,提倡资源人人分享和共同利用,大部分计算机网络只需要简单认证即可使用。这是目前计算机网络系统的通性,这种发展状况虽然给广大计算机网络用户提供了方便和足够的资源,但是无法确保用户信息的安全,因为其信息的公开性和用户的分散性给网络黑客提供了一定的便利,对网络安全环境和用户隐私造成了很大的隐患。
1.3 木马程序的恶意攻击
木马程序是在计算机运行程序的漏洞上乘虚而入,然后侵取文件的程序,导致该程序文件失效,程序无法使用。木马程序具有隐藏性、自发性,而且木马程序的入侵操作简单,一些不法分子很容易使用,给个人或者公司、银行等造成巨大损失。虽然它不一定会直接影响电脑的运行和操作,但它能逐渐控制计算机。
1.4 网络黑客的入侵
黑客的入侵分为主动人侵和被动攻击2种,主动入侵是以各种不同的方式选择性地破坏网络信息的合理性和有效性,盗窃用户的信息和数据,给网络用户造成损失。被动攻击是指在不影响计算机网络正常运行的情况下拦截信息或者窃取信息,控制用户电脑,进而达到黑客的非法目的。目前,各种各样的杀毒或者系统软件都是良莠不齐,而且存在潜在的用户使用量竞争。存在许多不兼容的问题,在运行过程中经常会出现一些漏洞和缺陷,网络黑客们就利用这些漏洞伺机而入,从而破坏和修改信息网络的正常使用,导致系统瘫痪和数据丢失。网络黑客的入侵不仅给用户造成相当大的损失,也会给国家带来经济损失和政治矛盾。
1.5 自然灾害造成的网络信息安全问题
这一类网络信息安全问题无法控制和防范,由于自然天气原因或者任务因素造成自然灾害的发生,导致计算机受损或者是网络信号受损,对网络信息造成无法传输和存储等问题。例如,地震、雨雪等原因对网线、光纤的损坏,计算机网络信息无法传输,雷电、雨水、火灾等对计算机本身造成损坏,也使得计算机网络信息遭遇安全问题。
2 计算机网络信息安全防护无法取得较大的效果的原因
现代计算机专家都意识到了_上述问题的存在和对计算机网络信息造成的巨大影响,给用户带来了非常不好的互联网体验。他们也确实采取了一系列措施来解决这些问题,研发了各种各样的杀毒软件、安全程序。但这些都无法解决根本问题,主要是因为计算机网络信息安全防护存在以下问题。
2.1 硬件保障无法实现
对于广大计算机用户来说,要做好计算机网络信息安全保护措施,计算机硬件设施是网络信息保障的基础,只有拥有良好的硬件设备,才能够对网络信息安全进行高效防护。计算机的硬件设备主要包括系统服务器、存储硬件设备以及其他相关网络设备等。目前,广大用户都喜欢小便宜,选用廉价的计算机硬件设备和网络通讯设备,或者是计算机硬件设备制造者为了谋取利润,选用劣质设备进行组装,进而导致部分计算机硬件设备存在运行隐患,无法为计算机网络信息安全防护提供良好的防护环境和坚实后盾。
2.2 计算机软件问题
计算机软件的高端智能是网络信息安全保护的核心区域。目前,一些计算机软件设计不合理,更新不及时,出现漏洞,给黑客和病毒带来可乘之机,破坏计算机网络的信息安全。另一方面,用户在使用安全防护软件的过程中不注重安全问题,比如用户随意开放安全软件的限制功能,导致计算机中植入_些恶性病毒和间谍,对计算机网络信息的安全性造成影响。
3 计算机网络信息的有效防护
现阶段,我国的计算机网络系统软件、系统数据的维护以及硬件的建设都融入了信息安全技术、计算机科学技术和密码技术等方面的研究,多种技术的结合大大降低了计算机网络信息被漏掉或篡改的几率,但还存在一些影响网络系统正常运行的威胁因素。介于这种情况,我国构建了专门的计算机网络信息防护体系,为了保障计算机网络信息安全保护系统的完善性,在体系中设置了计算机检测环节、计算机响应环节以及网络安全评估环节。国家科技建设和政治支持是计算机网络信息防护高效的最有力保障,但是防护的关键在计算机网络用户者和网络开发者身上。他们是计算机网络信息的制造者和使用者,只有他们意识到计算机网络信息防护的重要性,并采取有力的措施和行动,计算机网络信息的安全才会有保障,计算机网络信息安全的大环境才能有所好转。作为计算机使用者和开发者应当做到以下几点。
3.1 加强计算机网络的管理和维护
首先,广大计算机用户应该对计算机网络信息安全持有良好的积极态度,并参与进来,对计算机网络安全环境引起足够的重视,用户在上网交流和冲浪时,要对自身所处的网络环境的安全性进行判断,如果安全性不高,要慎重选择,以避免遭受病毒和黑客侵入和攻击,对自身财产造成损失。其次,用户应不间断地对所用软件和程序进行安全监控和杀毒处理,并及时更新,加强对重要信息数据的保护,避免信息数据丢失和被破坏。也要加强自己上网的各种账号的安全:第一,设置的系统登录账号的密码要尽量复杂;第二,尽量不要设置相同或相似的账号,选取数字、字母、特殊符号相结合的密码方式进行设置,此外要定期更换,密码长度尽量要长。
3.2 入侵检测和网络监控技术
目前,计算机入侵检测和网络监控技术发展火热而且已经成型,具备良好的计算机网络信息安全防护功能,作为计算机网络的体验者应该与时俱进,引进这种技术,为自己的计算机提供高质量的保障技术。入侵检测技术采用的方法是统计分析法和签名分析法,统计分析法的具体方法是以统计学为理论基础,通过对电脑某一项操作进行判断,与标准操作进行对比甄别。签名分析法是对己掌握的系统弱点进行攻击的行为进行检测和预报。这种高科技的计算机网络信息安全防护技术很大地改善了计算机网络安全环境,尤其是对广大计算机使用者提供了巨大的防护功能。
3.3 加强硬件设备和软件管理
上文中提到硬件设备的先进是计算机网络信息安全防护的基础,要想计算机网络安全信息得到安全的保障,用户就必须加强对计算机硬件的管理,及时更新存在问题的硬件设备,确保计算机系统运行的稳定性。其次,加强对存储信息数据的硬盘的管理以及信息存储管理,防止病毒和黑客的入侵带来不必要的麻烦。在软件管理方面,选择合理的计算机网络信息安全系统软件,并定期更新、杀毒,确保安全防护系统软件能够满足计算机网络信息安全防护需求。同时,使用者要对安全防护软件有足够的了解,能够正确使用安全防护软件,不要开放安全防护软件的限制和保护功能,并适时对软件漏洞进行检查和监测。
3.4 防范木马程序
木马程序一般是由黑客人为攻击产生的,—旦植入用户的计算机,会窃取计算机的相关数据和信息,造成巨大的损失。防范木马程序应该做到3点:一是做好预防和警戒措施,将下载的文件暂时放到自己的新建文件夹里,利用用杀毒软件来检测是否规范无木马程序,检测合格后再存入指定文档里。二是删除不明确的运行项目,在“开始”一“程序”一“启动”或“开始”一“程序”一“Startup”选项里查看核实是否存在不明的运行项目,如果存在,删除即可。三是删除可疑程序,打开注册表进行删除,一般删除以“RUN”为前缀的注册表即可。
3.5 建立严格的局域网络管理制度
健全的局域网络安全管理制度是保证计算机网络安全的核心保障,随着我国局域网络的不断发展和完善,相关部门需要制定严格的计算机网络安全管理制度。要想每一位计算机网络用户都能够享受到网络信息的安全保障,就必须要求他们严格遵守局域网安全管理制度。用户在进行内外网切换时切勿将有病毒的数据带入内网中,在上网冲浪时要保障自身信息安全,不要浏览不健康的网站和信息,对陌生人发送来的文件切勿点击。计算机网络发展日新月异,随着时间的发展,计算机网络技术不断进步与改善,一成不变的局域网络管理制度不会适应互联网的飞速发展,面对制度的空隙和缺漏,不法分子就能投机取巧。所以,相关部门不仅要建立健全的局域网络安全管理制度,还要与时俱进,根据互联网的发展适时对局域网络安全管理制度进行改进和完善,使网络黑客无机可入。
4 结语
计算机网络已经成为公众生活的重要组成部分,计算机网络技术发展速度迅猛,越来越能满足人们对其的极大需求。随着大家对计算机信息系统生产信息的需求和依赖性逐步增强,其中存在的安全隐患也逐渐增大,用户的体验感也不会一如既往地顺利。在飞速发展的同时,计算机网络也出现了许许多多的问题。因此,计算机网络信息安全显得尤为重要。计算机网络的安全问题要想得到很好解决,并不能完全依靠某一种单纯的方法或者是某一个人,而是需要通过建立完善的防御机制和采用综合的防护策略来保障计算机网络信息安全。借助各种先进的发展技术和不断改善的防护策略,才能构建一个相对比较完善、安全和稳定的防护体系。
【关键词】计算机;生活方式;人类文明;安全防护
近年来,我国科技领域不断进步,计算机网络技术也随之发展。我们已经进入信息时代,无论是工作、学习还是生活,都离不开计算机网络信息技术,但是,在计算机普及和推广使用的过程中,网络信息安全问题也对计算机的使用产生了消极影响,一些不法分子利用网络技术对用户的计算机系统进行破坏,并从中盗取重要的数据、信息和资料,给用户造成不可估量的损失,特别是近年来利用盗取来的信息进行诈骗的案例时有发生。作为一名高中学生,在使用计算机的过程中,我也深感网络信息安全的重要性。文本从以下两方面对这一课题展开探究。
1计算机网络信息管理及安全防护中的问题
1.1木马程序或病毒对信息管理与安全进行破坏
无论是电脑病毒,还是木马入侵,在我国的计算机系统的安全问题中都是较为常见的,对网络管理与安全构成威胁。两者对计算机的破坏,是将具有破坏性的一些数据、功能,混在正常的计算机程序中,通过用户安装、使用正常的程序,将病毒和木马带入计算机,进而对计算机网络进行破坏,导致计算机中的数据和信息受到损害或丢失,如破坏用户存储在计算机中的文件、资料等,甚至还会导致整个计算机系统造成瘫痪,影响用户对计算机的正常使用。
1.2黑客攻击
目前,黑客入侵,仍然是计算机网络信息安全管理面临的难点问题,黑客入侵,对计算机用户的影响巨大。一般情况下,可以将黑客攻击分为两类:(1)网络侦查,此种方式是隐性的,不易被用户察觉,在入侵的过程中,不对用户的计算机系统造成严重的损害,不会影响用户的正常使用,在不知不觉中盗取计算机中的数据和信息,用户难以及时发现;(2)网络攻击,与网络侦查相比,网络攻击对计算机的破坏是显性的,黑客通过多种方式方法,对计算机中的数据和资料进行破坏。除此以外,黑客的入侵,还会通过对服务攻击进行拒绝的方式进行,即黑客利用网络技术,对用户的计算机进行攻击,导致计算机的某些功能和程序无法应用,甚至会对计算机的主机造成严重破坏,使其无法正常运转,给计算机用户造成更大的损失。1.3网络漏洞或配置不科学计算机系统自身就存在研发设计问题,带有网络漏洞,以及配置不协调等诸多问题,这些计算机系统的自带问题,也为网络信息安全问题的出现提供了温床。受到计算机设计技术、以及生产方面问题的影响,导致许多文件服务器配置并不科学。同时,在网卡的选择上也存在问题,进一步影响了计算机的运行效率。若计算机运行速度慢,则计算机系统的稳定性也必然较差,网络系统的质量也难以抵御外来病毒的入侵。
2计算机网络信息管理及安全防御有效对策
2.1安装网络安全防护软件
首先,我们应该认识到,在计算机技术的发展的同时,整个社会的信息化水平也在不断提高,木马和病毒的出现不可避免。其次,应该明确木马和病毒两者的传播方式,是通过用户的信息传达,以及复制等行为实现传播的,同时,移动硬盘、手机等设备也成为其传播的载体。因此,要集中精力,积极开发网络安全防御软件。在当前的网络安全防护软件中,一般都会设有防火墙功能、以及病毒检测、查杀功能等,这些功能的作用是为用户在安装软件、访问网页时,对带有病毒的软件和网址进行检查,并对用户发出警示,同时,病毒库在不断更新,对整个计算机网络进行全面系统的检测,及时发现计算机网络中存在的病毒和木马,并在第一时间对其机械能处理。新时代的计算机用户,在使用计算机的过程中,要为计算机安装安全防护软件,最大程度上,保证计算机不受木马和病毒的侵害。
2.2应对黑客攻击
黑客攻击已经严重影响到用户对计算机的使用,因此,做好对黑客攻击的预防工作尤为迫切。在应用计算机的过程中,用户要具有安全防患意识,对存储在计算机内的重要信息、数据和资料进行备份,防止在计算机遭遇黑客攻击后,造成数据信息的损坏和丢失。与此同时,对于用户存储在计算机中的重要文件和重要信息,要加大保护力度,提前做好保护措施。具体而言,可以为其设置安全密码,研发不易被破解的密码保护程序。进一步加大黑客攻击对计算机实施破坏的难度,为追踪黑客行迹以及消除黑客抢夺与有利时机,争取更多时间。
2.3对计算机有关配置及操作系统进行升级
针对计算机系统自身存在漏洞,以及配置不合理的问题,必须对计算机系统进行升级,对计算机相关配置进行更新。这两部分的工作,都需要计算机网络具有适应性、繁杂性,因此,计算机系统的研发设计人员,要不断的对网络技术进行改进,及时升级计算机系统,并不断完善计算机的相关配置。特别要做好网络服务器,以及网络基础设施两方面的工作,并对计算机系统补丁及时的升级和更新。如此,方可有效预防计算机黑客利用计算机系统自身的不足,对计算机网络进行不法侵害,实现计算机网络信息的管理安全。
2.4落实实名制
当前黑客肆无忌惮的攻击计算机网络,其重要原因就是人们无法找到这些违法黑客,因此,想要提高计算机网络信息安全,可以实施推广网络实名制,如此,我们可以准确的找到这些隐藏在屏幕背后的黑客一族,对其依法进行仲裁,维护网络管理和安全。实现这一目标,就需要在更深层次,研发身份验证技术,通过身份验证,可以确定实施黑客攻击的系统用户。
3总结
综上所述,本文首先分析了当前计算机网络信息管理中存在的问题,然后提出了维护计算机网络信息安全的有效措施。木马和病毒的入侵,影响了计算机用户的工作和学习,甚至对计算机用户造成更严重损失。计算机网络信息管理工作,以及安全防护工作刻不容缓。希望相关工作人员对本篇文章提出意见和建议,我将虚心接受,不断完善自己的论述,为计算机网络信息安全管理作出更大贡献。
参考文献
[1]刘威.浅谈计算机网络信息管理及其安全防护[J].科技创新与应用,2017(01):110.
计算机网络安全的现状据美国联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道,世界上平均每20分钟就发生一次人侵国际互联网络的计算机安全事件,1/3的防火墙被突破。美国联邦调査局计算机犯罪组负责人吉姆塞特尔称:给我精选10名“黑客”,组成小组,90天内,我将使美国趴下。一位计算机专家毫不夸张地说:如果给我一台普通计算机、一条电话线和一个调节器,就可以令某个地区的网络运行失常。
据了解,从1997年底至今,我国的政府部门、证券公司、银行、ISP、1CP等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应当攻击者B对图像Iwl2进行解释攻击时,有两种情况:伪造原始图像Ib=Iwl2-Wb,伪造水印Wb进行攻击。当发生版权纠纷,A向仲裁者J提供lwl和,攻击者提供lb和水印Wb,仲裁者得出如下结论:①对A来说,用Iwl和Iwl2检测U得知其上嵌有W&,对U检测得嵌有Wla(无需原图检测),对lb检测,其上嵌有水印Wh-Wb和②对B来说,用lb和Iwl2检测Iwl2得知其上嵌有Wb,对lb检测用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量,间时一些负责M络安全的工程技术人员对许多潜在风险认识不足,缺乏必要的技术设施和相关处理经验,面对形势日益严峻的现状,很多时候都显得有些力不从心。也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。可见,加强计算机网络安全意识和相关的技术是非常必要的。
网络安全隐患网络具有互连性,导致网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的通用性,使得计算机网络存在很多的隐患。它们是网络安全的致命之处。这些隐患有人为的因素,也有其他的因素,有有意的,也有无意的。有来自网络内部的,也有来自外部的影响。这些隐患对网络安全产生直接或间接威胁。
计算机网络安全隐患主要来自Web服务器的漏洞,其次是计算机病毒传播,究其原因主要表现在以下方面:得kwwb-Wh和偸Wwla,蚣iwliin上嵌Wwla,没¥Wb,所以lb是伪造的,B不是原作者,解释攻击失败。攻击者B伪造原始图像Ib=IwI2-Whl,伪造水印Wbl,再对lb伪造鲁棒性水印进行攻击。当发生版权纠纷,A向仲裁者J提供。和双18,攻击者提供lb和水印,仲裁者得出如下结论:①对A来说,用Iwl和Iwl2检测Iwl2得知其上嵌有W&,对Iwl检测得嵌有Wia(无需原图检测),对lb检测,其上嵌有水印和Wa;②对B来说,用lb和Iwl2检测Iwl2得知其上嵌有WIb,对lb检测得嵌有和嵌有Wla,对IW|检测上嵌有Wla,没有,所以lb是伪造的,B不是原作者,解释攻击失败。
从上述分析可见,双水印技术能有效地抵抗解释攻击。因为当攻击者B多次伪造图像,并多次插人伪造水印,势必造成图像在一定程度上的失真,令图像数据不能被非法利用。通过研究攻击方法可以找出现有水印方案中的大量不足之处。应该指出的是,对于一个水印系统,核心问题是如何检测水印而不是如何嵌入水印。同时,攻击往往形式多样,并不局限于对水印算法本身,常常一些简单的攻击就可以使水印系统失败。了解这些攻击以及可能还会有的新的攻击方法将帮助我们设计出更好的水印方案。
Web服务器存在的主要漏洞包括:物理路径泄露、CGI源代码泄露、S录遍历、执行任意命令、缓冲IX:溢出、拒绝服务、条件竞争和跨站脚本执行漏洞等,网络病毒传播:随着计算机技术的不断发展,病毒也变得越来越复杂和高级。新一代的计算机病毒充分利用某些常用操作系统与应用软件的低防护性的弱点不断肆虐,通过网络传播,将含病毒文件附加在邮件中的情况不断增多,使得病毒的扩散速度也急剧提高,受感染的范围越来越广,这种病毒,我们称为网络病毒。原先常见的计算机病毒的破坏性无非就是格式化硬盘,删除系统与用户文件、破坏数据库等等,而传播途径也无非是通过遭病毒感染的软件的互相拷贝,携带病毒的盗版光盘的使用等,如感染磁盘系统区的引导型病毒和感染可执行文件的文件型病毒,而网络病毒除了具有普通病毒的这些特性外,还具有远端窃取用户数据、远端控制对方计算机等破坏特性,比如特洛伊木马病毒和消耗网络计算机的运行资源,拖垮网络服务器的蠕虫病毒。
网络安全的防御面对各种网络威胁,不能坐以待毙,要采取积极的应对措施,措施得当,损失就能减到最小。计算机网络安全技术分析计算机网络安全从技术上来说,主要由防病毒、防火墙、人侵检测、网络监控、信息审计、通信加密等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、人侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。
防火墙。防火墙的主要功能。首先防火墙是网络安全的屏障。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
数据加密技术。数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段前,数据加密主要使用的有对称密钥加密和非对称密钥(也称公幵密钥)加密两种技术数据加密的功能:首先通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄漏。其次广泛地被应用于信息鉴别、数字签名等技术中,用来防止电子欺骗,这对信息处理系统的安全起到极其重要的作用。
入侵检测技术。入侵检测是指“通过对行为、安全日志、审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯人或闯人的企图”。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻志预测和起诉支持。人侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
人侵检测技术的功能主要体现在以下方面:监视分析用户及系统活动,查找非法用户和合法用户的越权操作。检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;识别反映已知进攻的活动模式并向相关人士报警;对异常行为模式的统计分析;能够实时地对检测到的入侵行为进行反应;评估重要系统和数据文件的完整性;可以发现新的攻击模式:,
防病毒技术。随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机网络系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本丁作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒人侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。当然,网络防病毒软件本身必然需要增加额外的服务器系统资源消耗,此类软件对网络性能的影响还是较为明显的,因此在使用过程中必须慎重选择。
网络安全的防护物理层的安全防护:在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方案。链路层的安全保护:主要是链路加密设备对数据加密保护。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后解密。网络层的安全防护:网络层的安全防护是面向IP包的,网络层主要采用防火墙作为安全防护手段,实现初级的安全防护。在网络层也可以根据一些安全协议实施加密保护。在网络层也可实施相应的人侵检测。传输层的安全防护:传输层处于通信子网和资源子网之间,起着承上启下的作用。传输层也支持多种安全服务:①对等实体认证服务;②访问控制服务;③数据保密服务;④数据完整;⑤数据源点认证服务。应用层的安全防护:原则上讲所有安全服务均可在应用层提供。应用层可以实施强大的基于用户的身份认证;也是实施数据加密、访问控制的理想位置;还可加强数据的备份和恢复措施。应用层可以对资源的有效性进行控制,资源包括各种数据和服务。应用层的安全防护是面向用户和应用程序的,因此可以实施细粒度的安全控制。
本文针对新疆电力营销系统的现状,给出了一种多层次的安全防护方案,对保障营销系统网络稳定运行,保护用户信息安全,传输安全、存储安全和有效安全管理方面给出了建设意见。
2新疆营销网络系统现状
新疆电力营销业务应用经过了多年的建设,目前大部分地区在业扩报装、电费计算、客户服务等方面的营销信息化都基本达到实用化程度,在客户服务层、业务处理层、管理监控层三个层次上实现了相应的基本功能。结合新疆电力公司的实际情况,主要分析了管理现状和网络现状。
2.1管理现状
根据公司总部提出的“集团化运作、集约化发展、精细化管理”的工作思路,从管理的需求上来说,数据越集中,管理的力度越细,越能够达到精细化的管理的要求。但由于目前各地市公司的管理水平现状、IT现状、人员现状等制约因素的限制,不可能使各地市公司的管理都能够一步到位,尤其是边远地区。因此,营销业务应用管理在基于现状的基础上逐步推进。根据对当前各地市公司的营销管理现状和管理目标需求的分析,管理现状可分为如下三类:实时化、精细化管理;准实时、可控的管理;非实时、粗放式管理。目前大部分管理集中在第二类和第三类。
2.2网络现状
网络建设水平将直接影响营销业务应用的系统架构部署,目前新疆公司信息网已经形成,实现了公司总部到网省公司、网省公司本部到下属地市公司的信息网络互连互通,但是各地市公司在地市公司到下属基层供电单位的之间的信息网络建设情况差别较大,部分地市公司已经全部建成光纤网络,并且有相应的备用通道,能够满足实时通信的要求,部分地市公司通过租用专线方式等实现连接,还有一些地市公司由于受地域条件的限制,尚存在一些信息网络无法到达的地方,对大批量、实时的数据传输要求无法有效保证,通道的可靠性相对较差。
2.3需求分析
营销业务系统通常部署在国家电网公司内部信息网络的核心机房,为国家电网公司内部信息网络和国家电网公司外部信息网络的用户提供相关业务支持。该网络涉及业务工作和业务应用环境复杂,与外部/内部单位之间存在大量敏感数据交换,使用人员涵盖国家电网公司内部人员,外部厂商人员,公网用户等。因此,在网络身份认证、数据存储、网络边界防护与管理等层面上都有很高的安全需求。[2]
3关键技术和架构
3.1安全防护体系架构
营销网络系统安全防护体系的总体目标是保障营销系统安全有序的运行,规范国家电网公司内部信息网员工和外部信息网用户的行为,对违规行为进行报警和处理。营销网络系统安全防护体系由3个系统(3维度)接入终端安全、数据传输安全和应用系统安全三个方面内容,以及其多个子系统组成。
3.2接入终端安全
接入营销网的智能终端形式多样,包括PC终端、智能电表和移动售电终端等。面临协议不统一,更新换代快,网络攻击日新月异,黑客利用安全漏洞的速度越来越快,形式越来越隐蔽等安全问题。传统的基于特征码被动防护的反病毒软件远远不能满足需求。需要加强终端的安全改造和监管,建立完善的认证、准入和监管机制,对违规行为及时报警、处理和备案,减小终端接入给系统带来的安全隐患。
3.3数据传输安全
传统的数据传输未采取加密和完整性校验等保护措施,电力营销数据涉及国家电网公司和用户信息,安全等级较高,需要更有效的手段消除数据泄露、非法篡改信息等风险。市场上常见的安全网关、防火墙、漏洞检测设备等,都具有数据加密传输的功能,能够有效保证数据传输的安全性。但仅仅依靠安全设备来保证数据通道的安全也是不够的。一旦设备被穿透,将可能造成营销系统数据和用户信息的泄露。除此之外,还需要采用更加安全可靠的协议和通信通道保证数据通信的安全。
3.4应用系统安全
目前营销系统已经具有针对应用层的基于对象权限和用户角色概念的认证和授权机制,但是这种机制还不能在网络层及以下层对接入用户进行细粒度的身份认证和访问控制,营销系统仍然面临着安全风险。增强网络层及以下层,比如接入层、链路层等的细粒度访问控制,从而提高应用系统的安全性。
4安全建设
营销系统安全建设涉及安全网络安全、主机操作系统安全、数据库安全、应用安全以及终端安全几个层面的安全防护方案,用以解决营销系统网络安全目前存在的主要问题。
4.1终端安全加固
终端作为营销系统使用操作的发起设备,其安全性直接关系到数据传输的安全,乃至内网应用系统的安全。终端不仅是创建和存放重要数据的源头,而且是攻击事件、数据泄密和病毒感染的源头。这需要加强终端自身的安全防护策略的制定,定期检测被攻击的风险,对安全漏洞甚至病毒及时处理。对终端设备进行完善的身份认证和权限管理,限制和阻止非授权访问、滥用、破坏行为。目前公司主要的接入终端有PC、PDA、无线表计、配变检测设备、应急指挥车等。由于不同终端采用的操作系统不同,安全防护要求和措施也不同,甚至需要根据不同的终端定制相应的安全模块和安全策略,主要包括:针对不同终端(定制)的操作系统底层改造加固;终端接入前下载安装可信任插件;采用两种以上认证技术验证用户身份;严格按权限限制用户的访问;安装安全通信模块,保障加密通讯及连接;安装监控系统,监控终端操作行为;安装加密卡/认证卡,如USBKEY/PCMCIA/TF卡等。
4.2网络环境安全
网络环境安全防护是针对网络的软硬件环境、网络内的信息传输情况以及网络自身边界的安全状况进行安全防护。确保软硬件设备整体在营销网络系统中安全有效工作。
4.2.1网络设备安全
网络设备安全包括国家电网公司信息内、外网营销管理系统域中的网络基础设施的安全防护。主要防护措施包括,对网络设备进行加固,及时安装杀毒软件和补丁,定期更新弱点扫描系统,并对扫描出的弱点及时进行处理。采用身份认证、IP、MAC地址控制外来设备的接入安全,采用较为安全的SSH、HTTPS等进行远程管理。对网络设备配置文件进行备份。对网络设备安全事件进行定期或实时审计。采用硬件双机、冗余备份等方式保证关键网络及设备正常安全工作,保证营销管理系统域中的关键网络链路冗余。
4.2.2网络传输安全
营销系统数据经由网络传输时可能会被截获、篡改、删除,因此应当建立安全的通信传输网络以保证网络信息的安全传输。在非边远地方建立专用的电力通信网络方便营销系统的用户安全使用、在边远的没有覆盖电力局和供电营业所的地方,采用建立GPRS、GSM,3G专线或租用运营商ADSL、ISDN网络专网专用的方式,保障电力通信安全。电力营销技术系统与各个银行网上银行、邮政储蓄网点、电费代缴机构进行合作缴费,极大方便电力客户缴费。为了提高通道的安全性,形成了营销系统信息内网、银行邮政等储蓄系统、internet公网、供电中心网络的一个封闭环路,利用专网或VPN、加密隧道等技术提高数据传输的安全性和可靠性。在数据传输之前需要进行设备间的身份认证,在认证过程中网络传输的口令信息禁止明文传送,可通过哈希(HASH)单向运算、SSL加密、SecureShel(lSSH)加密、公钥基础设施(PublicKeyInfrastructure简称PKI)等方式实现。此外,为保证所传输数据的完整性需要对传输数据加密处理。系统可采用校验码等技术以检测和管理数据、鉴别数据在传输过程中完整性是否受到破坏。在检测到数据完整性被破坏时,采取有效的恢复措施。
4.2.3网络边界防护
网络边界防护主要基于根据不同安全等级网络的要求划分安全区域的安全防护思想。营销系统安全域边界,分为同一安全域内部各个子系统之间的内部边界,和跨不同安全域之间的网络外部边界两类。依据安全防护等级、边界防护和深度防护标准,具有相同安全保护需求的网络或系统,相互信任,具有相同的访问和控制策略,安全等级相同,被划分在同一安全域内[3],采用相同的安全防护措施。加强外部网络边界安全,可以采用部署堡垒机、入侵检测、审计管理系统等硬件加强边界防护,同时规范系统操作行为,分区域分级别加强系统保护,减少系统漏洞,提高系统内部的安全等级,从根本上提高系统的抗攻击性。跨安全域传输的数据传输需要进行加密处理。实现数据加密,启动系统的加密功能或增加相应模块实现数据加密,也可采用第三方VPN等措施实现数据加密。
4.3主机安全
从增强主机安全的层面来增强营销系统安全,采用虚拟专用网络(VirtualPrivateNetwork简称VPN)等技术,在用户网页(WEB)浏览器和服务器之间进行安全数据通信,提高主机自身安全性,监管主机行,减小用户错误操作对系统的影响。首先,扫描主机操作系统评估出配置错误项,按照系统厂商或安全组织提供的加固列表对操作系统进行安全加固,以达到相关系统安全标准。安装第三方安全组件加强主机系统安全防护。采用主机防火墙系统、入侵检测/防御系统(IDS/IPS)、监控软件等。在服务器和客户端上部署专用版或网络版防病毒软件系统或病毒防护系统等。此外,还需要制定用户安全策略,系统用户管理策略,定义用户口令管理策略[4]。根据管理用户角色分配用户权限,限制管理员使用权限,实现不同管理用户的权限分离。对资源访问进行权限控制。依据安全策略对敏感信息资源设置敏感标记,制定访问控制策略严格管理用户对敏感信息资源的访问和操作。
4.4数据库安全
数据库安全首要是数据存储安全,包括敏感口令数据非明文存储,对关键敏感业务数据加密存储,本地数据备份与恢复,关键数据定期备份,备份介质场外存放和异地备份。当环境发生变更时,定期进行备份恢复测试,以保证所备份数据安全可靠。数据安全管理用于数据库管理用户的身份认证,制定用户安全策略,数据库系统用户管理策略,口令管理的相关安全策略,用户管理策略、用户访问控制策略,合理分配用户权限。数据库安全审计采用数据库内部审计机制或第三方数据库审计系统进行安全审计,并定期对审计结果进行分析处理。对较敏感的存储过程加以管理,限制对敏感存储过程的使用。及时更新数据库程序补丁。经过安全测试后加载数据库系统补丁,提升数据库安全。数据库安全控制、在数据库安装前,必须创建数据库的管理员组,服务器进行访问限制,制定监控方案的具体步骤。工具配置参数,实现同远程数据库之间的连接[5]。数据库安全恢复,在数据库导入时,和数据库发生故障时,数据库数据冷备份恢复和数据库热备份恢复。
4.5应用安全
应用安全是用户对营销系统应用的安全问题。包括应用系统安全和系统的用户接口和数据接口的安全防护。
4.5.1应用系统安全防护
应用系统安全防护首先要对应用系统进行安全测评、安全加固,提供系统资源控制功能以保证业务正常运行。定期对应用程序软件进行弱点扫描,扫描之前应更新扫描器特征代码;弱点扫描应在非核心业务时段进行,并制定回退计划。依据扫描结果,及时修复所发现的漏洞,确保系统安全运行。
4.5.2用户接口安全防护
对于用户访问应用系统的用户接口需采取必要的安全控制措施,包括对同一用户采用两种以上的鉴别技术鉴别用户身份,如采用用户名/口令、动态口令、物理识别设备、生物识别技术、数字证书身份鉴别技术等的组合使用。对于用户认证登陆采用包括认证错误及超时锁定、认证时间超出强制退出、认证情况记录日志等安全控制措施。采用用户名/口令认证时,应当对口令长度、复杂度、生存周期进行强制要求。同时,为保证用户访问重要业务数据过程的安全保密,用户通过客户端或WEB方式访问应用系统重要数据应当考虑进行加密传输,如网上营业厅等通过Internet等外部公共网络进行业务系统访问必须采用SSL等方式对业务数据进行加密传输。杜绝经网络传输的用户名、口令等认证信息应当明文传输和用户口令在应用系统中明文存储。
4.5.3数据接口安全防护
数据接口的安全防护分为安全域内数据接口的安全防护和安全域间数据接口的安全防护。安全域内数据接口在同一安全域内部不同应用系统之间,需要通过网络交换或共享数据而设置的数据接口;安全域间数据接口是跨不同安全域的不同应用系统间,需要交互或共享数据而设置的数据接口。
5安全管理
安全管理是安全建设的各项技术和措施得以实现不可缺少的保障,从制度和组织机构到安全运行、安全服务和应急安全管理,是一套标准化系统的流程规范,主要包括以下方面。
5.1安全组织机构
建立营销业务应用安全防护的组织机构,并将安全防护的责任落实到人,安全防护组织机构可以由专职人员负责,也可由运维人员兼职。
5.2安全规章制度
建立安全规章制度,加强安全防护策略管理,软件系统安全生命周期的管理,系统安全运维管理,安全审计与安全监控管理,以及口令管理、权限管理等。确保安全规章制度能够有效落实执行。
5.3安全运行管理
在系统上线运行过程中,遵守国家电网公司的安全管理规定,严格遵守业务数据安全保密、网络资源使用、办公环境等的安全规定。首先,系统正式上线前应进行专门的系统安全防护测试,应确认软件系统安全配置项目准确,以使得已经设计、开发的安全防护功能正常工作。在上线运行维护阶段,应定期对系统运行情况进行全面审计,包括网络审计、主机审计、数据库审计,业务应用审计等。每次审计应记入审计报告,发现问题应进入问题处理流程。建立集中日志服务器对营销交易安全域中网络及安全设备日志进行集中收集存储和管理。软件升级改造可能会对原来的系统做出调整或更改,此时也应从需求、分析、设计、实施上线等的整个生命周期对运行执行新的安全管理。
5.4安全服务
安全服务的目的是保障系统建设过程中的各个阶段的有效执行,问题、变更和偏差有效反馈,及时解决和纠正。从项目层面进行推进和监控系统建设的进展,确保项目建设质量和实现各项指标。从项目立项、调研、开发到实施、验收、运维等各个不同阶段,可以阶段性开展不同的安全服务,包括安全管理、安全评审、安全运维、安全访谈、安全培训、安全测试、安全认证等安全服务。
5.5安全评估
安全评估是对营销系统潜在的风险进行评估(RiskAssessment),在风险尚未发生或产生严重后果之前对其造成后果的危险程度进行分析,制定相应的策略减少或杜绝风险的发生概率。营销系统的安全评估主要是针对第三方使用人员,评估内容涵盖,终端安全和接入网络安全。根据国家电网公司安全等级标准,对核心业务系统接入网络安全等级进行测评,并给出测评报告和定期加固改造办法,如安装终端加固软件/硬件,安装监控软件、增加网络安全设备、增加安全策略,包括禁止违规操作、禁止越权操作等。
5.6应急管理
为了营销系统7×24小时安全运行,必须建立健全快速保障体系,在系统出现突发事件时,有效处理和解决问题,最大限度减小不良影响和损失,制定合理可行的应急预案,主要内容包括:明确目标或要求,设立具有专门的部门或工作小组对突发事件能够及时反应和处理。加强规范的应急流程管理,明确应急处理的期限和责任人。对于一定安全等级的事件,要及时或上报。
6实施部署
营销系统为多级部署系统。根据国家电网信息网络分区域安全防护的指导思想原则,结合新疆多地市不同安全级别需求的实际情况,营销系统网络整体安全部署如图2所示。在营销系统部署中,对安全需求不同的地市子网划分不同的安全域,网省管控平台部署在网省信息内网,负责对所有安全防护措施的管控和策略的下发,它是不同安全级别地市子系统信息的管理控制中心,也是联接总部展示平台的桥梁,向国网总公司提交营销系统安全运行的数据和报表等信息。
7结束语
