時間:2022-10-24 05:32:08
引言:易發(fā)表網(wǎng)憑借豐富的文秘實踐,為您精心挑選了九篇信息網(wǎng)絡(luò)安全論文范例。如需獲取更多原創(chuàng)內(nèi)容,可隨時聯(lián)系我們的客服老師。
1.1電力信息網(wǎng)絡(luò)安全的相關(guān)理論
隨著社會的不斷進步發(fā)展,我國的電力企業(yè)在新的階段取得了矚目的成就,國家的有關(guān)部門以及各級的電力企業(yè)對電力信息網(wǎng)絡(luò)安全問題有著很高的重視度,故此在2002年國家經(jīng)貿(mào)委制定了相關(guān)的電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定。次年,將國家電力信息網(wǎng)絡(luò)安全運行歸入到電力安全生產(chǎn)的管理范疇,并將其納入電力安全生產(chǎn)的體系。在網(wǎng)絡(luò)的安全技術(shù)措施方面,電力信息部門在國家信息安全防護框架下,在2002年開始了電力系統(tǒng)信息安全示范工程,針對電力信息網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)已經(jīng)是近些年的電力企業(yè)信息網(wǎng)絡(luò)化建設(shè)的重點內(nèi)容,諸多的電力企業(yè)在網(wǎng)絡(luò)身份認證以及防病毒、攻擊方面得到了加強,各電力單位也有了不同等級以及種類的信息網(wǎng)絡(luò)安全體系。
1.2電力信息網(wǎng)絡(luò)安全當前面臨的風險分析
在電力信息網(wǎng)絡(luò)安全所面臨的安全風險可分為網(wǎng)絡(luò)設(shè)備風險以及網(wǎng)絡(luò)中信息風險兩個層面。在電力信息網(wǎng)絡(luò)安全并非是單點安全,它所指的是在整個電力企業(yè)的信息網(wǎng)絡(luò)整體安全,這就涵蓋著管理以及技術(shù)兩方面。在電力信息網(wǎng)絡(luò)安全的物理安全風險方面主要就是信息網(wǎng)絡(luò)服務(wù)系統(tǒng)中的設(shè)備以及服務(wù)器和用戶端計算機等這些設(shè)備,在物理安全風險方面主要有火災(zāi)以及雷電等,這些風險會使得電力信息網(wǎng)絡(luò)突然中斷或者系統(tǒng)發(fā)生癱瘓等。在網(wǎng)絡(luò)安全風險方面主要有電力實時系統(tǒng)安全風險以及網(wǎng)絡(luò)體系結(jié)構(gòu)安全風險和網(wǎng)絡(luò)通信協(xié)議安全風險。在電力信息網(wǎng)絡(luò)安全系統(tǒng)的安全風險主要就是操作系統(tǒng)安全風險和數(shù)據(jù)庫安全風險以及病毒危害風險、黑客入侵風險。應(yīng)用安全風險方面就是身份認證和授權(quán)控制安全風險,信息傳輸完整性風險,信息傳輸機密性以及不可抵賴性風險。在管理上的安全風險主要就是責權(quán)不明以及管理的混亂,安全管理制度的不完善和操作性不強,網(wǎng)絡(luò)管理員自身方面存在的問題以及缺乏對網(wǎng)絡(luò)可控性和可審查性。
2當前我國電力信息網(wǎng)絡(luò)安全現(xiàn)狀及應(yīng)對策略探究
2.1當前我國電力信息網(wǎng)絡(luò)安全現(xiàn)狀分析
從當前我國的電力信息網(wǎng)絡(luò)安全現(xiàn)狀情況來看,還存在著諸多的問題有待進一步的解決,首先就是電力企業(yè)的員工在信息網(wǎng)絡(luò)安全意識方面還有待加強,最為突出的就是用戶的安全意識有待加強,系統(tǒng)登陸口令比較的簡單,有的甚至是將賬號以及密碼借給他人使用,對電力信息資源的共享以及管理不理性,這些方面對信息網(wǎng)絡(luò)安全都有著比較大的威脅。另外,就是電力企業(yè)員工多網(wǎng)絡(luò)長時間的占用,從而大量的消耗了網(wǎng)絡(luò)資源,從而給電力信息網(wǎng)絡(luò)安全的通信增加了負擔,這對電力系統(tǒng)內(nèi)部的網(wǎng)絡(luò)通信效率有了很大的影響,有的由于對網(wǎng)頁的瀏覽以及使用了優(yōu)盤致使一些網(wǎng)絡(luò)病毒在信息網(wǎng)絡(luò)中大肆的傳播,從而給電力信息網(wǎng)絡(luò)安全帶來了很大的威脅。再者就是缺乏統(tǒng)一的信息安全管理的規(guī)范,由于種種因素使得電力信息網(wǎng)絡(luò)安全的管理規(guī)范還沒有得到統(tǒng)一完善的建立。還有就是在和電力行業(yè)特點相適應(yīng)的信息網(wǎng)絡(luò)安全體系方面的建設(shè)還沒有完善,在電力系統(tǒng)當中的信息網(wǎng)絡(luò)已經(jīng)滲透到了諸多的領(lǐng)域,在管理以及經(jīng)營和生產(chǎn)等方面的應(yīng)用已經(jīng)是愈來愈多,但實際的安全技術(shù)和策略等應(yīng)對措施比較的缺乏。還有就是信息網(wǎng)絡(luò)硬件系統(tǒng)不牢固,這是比較普遍的問題,雖然互聯(lián)網(wǎng)的硬件系統(tǒng)已經(jīng)在安全性和穩(wěn)定性方面都具備,但依然在一些方面還存在著脆弱性,硬件故障對信息的傳輸會造成不安全的威脅以及信息失真。
2.2針對我國電力信息網(wǎng)絡(luò)安全現(xiàn)狀的應(yīng)對策略
在對電力信息網(wǎng)絡(luò)安全的相關(guān)問題采取防范措施時,要能夠從實際出發(fā),首先要對電力企業(yè)人員在信息安全網(wǎng)絡(luò)的意識上得到加強,對員工在信息網(wǎng)絡(luò)的安全教育和培訓方面進行強化,要能夠讓電力企業(yè)的員工通過教育培訓對電力信息網(wǎng)絡(luò)安全的重要性有充分的認識,要能夠?qū)ο嚓P(guān)的要求規(guī)定嚴格的遵守。另外,就是要創(chuàng)建電力信息網(wǎng)絡(luò)安全體系的防護骨架,要能夠?qū)⑵浜碗娏I(yè)特色、企業(yè)電腦信息技術(shù)的實際得到有機的結(jié)合,從而來創(chuàng)建電力新提案權(quán)體系的防護骨架,還要能夠根據(jù)信息業(yè)務(wù)的功能,把電力信息系統(tǒng)分成不同的層面,也就是信息網(wǎng)絡(luò)安全自動化系統(tǒng)以及生產(chǎn)管理系統(tǒng)和電力信息管理系統(tǒng),這樣能夠循序漸進有規(guī)律的對實際問題加以解決。再者就是對安全管理的強化,首先在網(wǎng)絡(luò)的設(shè)備安全管理方面,網(wǎng)絡(luò)設(shè)備的安全管理要能夠?qū)⒎謪^(qū)防御以及雙網(wǎng)雙機得以實現(xiàn),進而再建立多層防御以及登記防御的體系,對信息網(wǎng)絡(luò)的數(shù)據(jù)要做好檢測和控制工作,并要能夠?qū)W(wǎng)絡(luò)的訪問加以嚴格控制,要進行實施入侵防護措施,在網(wǎng)絡(luò)的訪問權(quán)限進行設(shè)置。對網(wǎng)絡(luò)的性能要進行及時的檢測,從而使得網(wǎng)絡(luò)的安全運行得以保證,在電力信息的傳輸過程中要進行加密處理,要保證信息的保密性,針對敏感性的數(shù)據(jù)信息要設(shè)置復雜的保密方式,防止非法的偵聽和盜取信息數(shù)據(jù)。另外還可以通過防火墻的隔離措施進行對非法網(wǎng)絡(luò)入侵問題進行防范,安裝入侵檢測系統(tǒng)以及服務(wù)器核心防護系統(tǒng),對網(wǎng)絡(luò)的安全性進行實時的監(jiān)控,這樣能夠使得電力企業(yè)信息網(wǎng)絡(luò)安全事故得以較低。為能夠有效的將電力企業(yè)的生產(chǎn)控制區(qū)安全得以保障,通過在生產(chǎn)控制區(qū)以及外部網(wǎng)絡(luò)匯接點上架設(shè)網(wǎng)絡(luò)隔離設(shè)備,能夠?qū)⑸a(chǎn)控制區(qū)的安全得以有效的保障,網(wǎng)絡(luò)隔離設(shè)備能夠在不影響電力系統(tǒng)的狀況下,把生產(chǎn)控制系統(tǒng)的數(shù)據(jù)單向發(fā)到與之相連的MIS網(wǎng)絡(luò)或者是其它的業(yè)務(wù)系統(tǒng)當中,能夠?qū)⒁恍┚W(wǎng)絡(luò)入侵以及病毒的攻擊等得以有效的隔離,這樣就對電力企業(yè)的生產(chǎn)控制系統(tǒng)的安全運營有了保障。最后在信道安全方面進行采取相關(guān)的手段也能夠?qū)﹄娏π畔⒕W(wǎng)絡(luò)的安全起到保護作用,在跨廣域網(wǎng)的安全措施方面可通過MPLSVPN將多種業(yè)務(wù)進行隔離,這樣能夠保證各種業(yè)務(wù)間的安全性和獨立性,為能夠使得各電力部門的網(wǎng)絡(luò)正常的運行,將MPLS進行引入是最佳的解決方案,這樣能夠?qū)崿F(xiàn)電力調(diào)度等生產(chǎn)控制業(yè)務(wù)在跨廣域網(wǎng)時的安全防護。
3結(jié)語
影響計算機信息網(wǎng)絡(luò)安全的人為因素主要包括以下幾點;是制定的網(wǎng)絡(luò)系統(tǒng)管理制度欠缺完善。例如,對于故障計算機的維修方面,未能制定出在其被送修之前要進行消磁處理的規(guī)定,且未能安排專門的人員進行監(jiān)修,進而導致了數(shù)據(jù)的泄露;相關(guān)管理工作人員自身的業(yè)務(wù)素質(zhì)較低。如不知道如何還原移動存儲介質(zhì)上已備刪除的文件;在進行計算機信息日常維護工作或用戶權(quán)限的設(shè)置時,由于自身操作經(jīng)驗的不熟練導致將權(quán)限授予給了不合適的客戶等。
2計算機信息網(wǎng)絡(luò)安全問題的應(yīng)對策略
2.1物理層面的網(wǎng)絡(luò)安全對策
對網(wǎng)絡(luò)安全建設(shè)的加強,主要可以從硬件及軟件這兩個方面的安全維護來入手。而在硬件方面,其具體措施如下;相關(guān)管理人員務(wù)必要對計算機、服務(wù)器以及通信鏈路等硬件設(shè)備的安全性進行仔細的檢查與維護,并盡量減輕甚至避免由濕度、電磁干擾、溫度、灰塵以及自然災(zāi)害等影響因素給硬件設(shè)備造成的損害,為網(wǎng)絡(luò)硬件設(shè)備的安全提供保障;建立完善的機房安全防護措施,利用物理訪問控制設(shè)備對訪問用戶的身份進行驗證。
2.2修復計算機網(wǎng)絡(luò)出現(xiàn)的漏洞
注重用戶及賬戶權(quán)限的安全設(shè)置工作,對每位用戶身份及相關(guān)權(quán)限進行仔細的驗證,并對用戶的數(shù)量以及用戶訪問權(quán)限的范圍進行合理控制;建立起系統(tǒng)的病毒防范體系,以對各種網(wǎng)絡(luò)病毒進行有效防護,防止信息數(shù)據(jù)被惡意的竊取及篡改,保障信息的安全;充分利用防護墻技術(shù)對訪問權(quán)限進行科學、合理的設(shè)置,并通過對提供商的補丁進行下載,來修復出現(xiàn)的網(wǎng)絡(luò)漏洞,進而對內(nèi)部網(wǎng)絡(luò)的安全進行保護;對不良信息進行相關(guān)的防護建設(shè)。針對于與Internet連接的網(wǎng)絡(luò)中摻雜的大量不良信息,應(yīng)當建立起信息過濾系統(tǒng),通過字段過濾以及IP過濾的方式,來對不良信息進行屏蔽。
2.3完善網(wǎng)絡(luò)安全管理制度
通過對計算機信息網(wǎng)絡(luò)管理現(xiàn)狀的分析,不能看出,目前我國計算機網(wǎng)絡(luò)中依然存在很多安全隱患,這不僅僅會威脅到人們和企業(yè)的利益,同時也會威脅到國家和民族的利益,因此,掌握印象計算機安全的各種因素,從而針對這些因素制定各種管理措施,是目前我國網(wǎng)絡(luò)技術(shù)人員的首要任務(wù),具體分析如下。
1)計算機病毒。我們常說的計算機病毒,實際上就是一種對計算機各種數(shù)據(jù)進行份復制的程度代碼,它是利用按照程序的手段,對計算機系統(tǒng)系統(tǒng)進行破壞的,進而導致計算機出現(xiàn)問題,并無法使用。例如,蠕蟲病毒,它是一種比較常見的計算機病毒之一,它就是計算機本身為載體,如果計算機系統(tǒng)出現(xiàn)漏洞,它就會利用這些漏洞進行傳播,其傳播速度快,一旦潛入計算機內(nèi)部,并不容易被發(fā)現(xiàn),同時還具強大的破壞力,如果它與黑客技術(shù)相結(jié)合,那么對于計算機網(wǎng)絡(luò)信息安全的威脅會更大。
2)木馬程序和后門。“木馬程序”以及“后門”是近些年來逐漸興起的計算機病毒,“后門”最為顯著的特點就是,計算機被感染之后,管理人員無法對其加阻止,它會隨意進入計算機系統(tǒng),并且種植者能夠很快潛入系統(tǒng)中,也不容易被發(fā)現(xiàn),計算機技術(shù)的升級換代過程中,“木馬程序”也隨之更新,例如特洛伊木馬病毒,這種病毒還能夠黑客活動提供便利,同樣具有較強的隱蔽性。
3)外在環(huán)境影響和安全意識。除了影響計算機信息安全的因素之外,一些外部環(huán)境因素也會對其產(chǎn)生影響,例如,自然災(zāi)害,計算機所在環(huán)境等等,另外,有大一部分的計算機使用者的安全防護意識弱,這就為惡意程序的入侵以及病毒攻擊提供了條件。
2計算機信息網(wǎng)絡(luò)安全管理的策略
1)漏洞掃描和加密。對計算機信息網(wǎng)絡(luò)進行安全管理的第一步就是,進行系統(tǒng)漏洞掃描并采取加密的措施。漏洞掃描需要借助相關(guān)的工具,在找到系統(tǒng)漏洞被發(fā)現(xiàn)之后,對其進行修復和優(yōu)化,從而為計算機系統(tǒng)的安全性提供保障,而機密技術(shù)則是對文件進行加密處理的一種技術(shù),簡單的說,就是對源文件加密之后,其會形成很多不可讀代碼,這些代碼必須要輸入特定的密碼之后,才能夠顯示出來,并進行使用。
2)防火墻的應(yīng)用和入侵檢測。在計算機信息網(wǎng)絡(luò)系統(tǒng)中,防火墻是非常重要的一個部分,也是最為關(guān)鍵的一道防線,它不僅僅能夠保障內(nèi)部系統(tǒng)順利進入外部系統(tǒng),還能夠有效阻止外部可以程序入侵內(nèi)部網(wǎng)絡(luò)。為計算機病毒以及各種惡意程序的入侵,都會對計算機系統(tǒng)造成影響和破壞,從而對計算機信息網(wǎng)絡(luò)帶來威脅。因此做好計算機網(wǎng)絡(luò)安全管理工作,是非常必要的。了保障這樣的管理效果,管理人員首先就應(yīng)該做好數(shù)據(jù)包的控制工作。然后對所有能夠進入防火墻的信息給與通過,入侵檢測技術(shù)是指通過檢測違反計算機網(wǎng)絡(luò)安全信息的技術(shù)。當系統(tǒng)被入侵時,及時記錄和檢測,并對不能進行的活動加以限制,從而對計算機系統(tǒng)進行有效防護。
3)網(wǎng)絡(luò)病毒防范和反病毒系統(tǒng)。反病毒系統(tǒng)是指禁止打開來歷不明的郵件,計算機相關(guān)技術(shù)人員根據(jù)對計算機病毒的了解進行與之相應(yīng)的反病毒設(shè)計,從而促進計算機安全運行。近年來,互聯(lián)網(wǎng)病毒傳播途徑越來越多,擴散速度也日益增快,傳統(tǒng)的單機防止病毒技術(shù)已經(jīng)不能滿足互聯(lián)網(wǎng)絡(luò)的要求。因此,有效利用局域網(wǎng)全面進行病毒防治工作勢在必行。
3結(jié)束語
論文摘要:隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用,信息安全問題正日益突出顯現(xiàn)出來,受到越來越多的關(guān)注。文章介紹了網(wǎng)絡(luò)信息安全的現(xiàn)狀.探討了網(wǎng)絡(luò)信息安全的內(nèi)涵,分析了網(wǎng)絡(luò)信息安全的主要威脅,最后給出了網(wǎng)絡(luò)信息安全的實現(xiàn)技術(shù)和防范措施.以保障計算機網(wǎng)絡(luò)的信息安全,從而充分發(fā)揮計算機網(wǎng)絡(luò)的作用。
論文關(guān)鍵詞:計算機,網(wǎng)絡(luò)安全,安全管理,密鑰安全技術(shù)
當今社會.網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術(shù)的迅猛發(fā)展.網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升,原本網(wǎng)絡(luò)固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁.網(wǎng)絡(luò)安全已變成越來越棘手的問題在此.筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識和一些常用的安全防范技術(shù)。
1網(wǎng)絡(luò)信息安全的內(nèi)涵
網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全.指網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全。網(wǎng)絡(luò)信息的傳輸、存儲、處理和使用都要求處于安全狀態(tài)可見.網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動態(tài)安全兩種靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實性:動態(tài)安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
2網(wǎng)絡(luò)信息安全的現(xiàn)狀
中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》。報告顯示,截至2008年底,中國網(wǎng)民數(shù)達到2.98億.手機網(wǎng)民數(shù)超1億達1.137億。
Research艾瑞市場咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計數(shù)據(jù)顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%.“系統(tǒng)使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%。
3安全防范重在管理
在網(wǎng)絡(luò)安全中.無論從采用的管理模型,還是技術(shù)控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理、制度的管理、機構(gòu)的管理等.它的作用也是最關(guān)鍵的.是網(wǎng)絡(luò)安全防范中的靈魂。
在機構(gòu)或部門中.各層次人員的責任感.對信息安全的認識、理解和重視程度,都與網(wǎng)絡(luò)安全息息相關(guān)所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設(shè)計階段就將安全要求和控制一體化考慮進去.則成本會更低、效率會更高那么做好網(wǎng)絡(luò)信息安全管理.至少應(yīng)從下面幾個方面人手.再結(jié)合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責分工如設(shè)立專職的系統(tǒng)管理員.進行定時強化培訓.對網(wǎng)絡(luò)運行情況進行定時檢測等。
2)有了明確的職責分工.還要保障制度的貫徹落實.要加強監(jiān)督檢查建立嚴格的考核制度和獎懲機制是必要的。
③對網(wǎng)絡(luò)的管理要遵循國家的規(guī)章制度.維持網(wǎng)絡(luò)有條不紊地運行。
④應(yīng)明確網(wǎng)絡(luò)信息的分類.按等級采取不同級別的安全保護。
4網(wǎng)絡(luò)信息系統(tǒng)的安全防御
4.1防火墻技術(shù)
根據(jù)CNCERT/CC調(diào)查顯示.在各類網(wǎng)絡(luò)安全技術(shù)使用中.防火墻的使用率最高達到76.5%。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預測的、潛在破壞性的侵入。它通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況.以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。
4.2認證技術(shù)
認證是防止主動攻擊的重要技術(shù).它對開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用.認證的主要目的有兩個:
①驗證信息的發(fā)送者是真正的主人
2)驗證信息的完整性,保證信息在傳送過程中未被竄改、重放或延遲等。
4.3信息加密技術(shù)
加密是實現(xiàn)信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結(jié)合使用.互補長短。
4.4數(shù)字水印技術(shù)
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監(jiān)測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的廣泛應(yīng)用.信息隱藏技術(shù)的發(fā)展有了更加廣闊的應(yīng)用前景。數(shù)字水印是信息隱藏技術(shù)的一個重要研究方向.它是通過一定的算法將一些標志性信息直接嵌到多媒體內(nèi)容中.但不影響原內(nèi)容的價值和使用.并且不能被人的感覺系統(tǒng)覺察或注意到。
4.5入侵檢測技術(shù)的應(yīng)用
人侵檢測系統(tǒng)(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息.再通過這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)IDS被認為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對系統(tǒng)發(fā)生危害前.檢測到入侵攻擊.并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關(guān)信息.作為防范系統(tǒng)的知識.添加入策略集中.增強系統(tǒng)的防范能力.避免系統(tǒng)再次受到同類型的入侵入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預測和支持。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù).是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
1.1公安網(wǎng)絡(luò)系統(tǒng)中軟件設(shè)計問題
由于公安網(wǎng)絡(luò)系統(tǒng)的安全防護軟件的開發(fā)周期與早期的系統(tǒng)分析不適合當前安全防護形勢的原因。其公安網(wǎng)絡(luò)操作系統(tǒng)與應(yīng)用軟件中存在很多的安全樓同,這些漏洞的存在將對網(wǎng)絡(luò)的正常運行構(gòu)成很大的隱患。
1.2病毒的防護漏洞
公安網(wǎng)絡(luò)目前對網(wǎng)絡(luò)病毒的防護手段十分有限,沒有建立專用的計算及病毒防護中心、監(jiān)控中心,這同樣對公安網(wǎng)絡(luò)的安全造成巨大隱患,“尼姆達”與“2003蠕蟲王”等網(wǎng)絡(luò)病毒曾對公安網(wǎng)絡(luò)造成想打的危害,造成網(wǎng)絡(luò)擁堵、降低性能,嚴重擾亂了公安系統(tǒng)的正常工作秩序。
1.3信息安全的管理體制不完善
公安網(wǎng)絡(luò)系統(tǒng)是與公共網(wǎng)絡(luò)物理隔離的系統(tǒng),但是還未在整體上建立完善的安全結(jié)構(gòu)體系,在管理上缺乏安全標準以及使用條例,甚至有些地方公安網(wǎng)絡(luò)中的計算機出現(xiàn)公安網(wǎng)絡(luò)與公共網(wǎng)絡(luò)同時使用的現(xiàn)象,這都對公安網(wǎng)絡(luò)的信息安全帶來不可忽視的安全威脅,使非法入侵者有著可乘之機。
2公安網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)設(shè)計
公安網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)設(shè)計,是一項非常復雜的系統(tǒng)工程,該體系對安全的需求是多層次,多方面的。因此本文設(shè)計了比較完整的安全體系結(jié)構(gòu)模型,以保障整個系統(tǒng)的完備性以及安全性,為公安網(wǎng)絡(luò)的信息安全提供切實有效的安全服務(wù)保障。本文在借鑒了多種成熟的信息網(wǎng)絡(luò)安全體系結(jié)構(gòu),并且根據(jù)國家公安部提出的具體保障體系的指導思想,設(shè)計了適應(yīng)我國公安網(wǎng)絡(luò)的信息安全體系。該體系從安全服務(wù)、協(xié)議層次以及系統(tǒng)單元三個維度,綜合立體的對公安信息網(wǎng)絡(luò)的安全體系進行了設(shè)計。這個三個層次均包含了安全管理模塊。
2.1協(xié)議層次維度
本文從網(wǎng)絡(luò)的七層協(xié)議模型來設(shè)計公安網(wǎng)絡(luò)的安全體系結(jié)構(gòu)中的協(xié)議層次。每一個協(xié)議層次都有專屬的安全機制。對于某一項安全服務(wù),安全實現(xiàn)機制隨著協(xié)議層次的不同而不同。例如,審計跟蹤的安全服務(wù)項目在網(wǎng)絡(luò)層,主要對審計記錄與登錄主機之間的流量進行分析,對非法入侵進行實時監(jiān)測。病毒防護層一般在應(yīng)用層實現(xiàn),一般用來對訪問事件進行監(jiān)控,監(jiān)控內(nèi)容為用戶身份,訪問IP,訪問的應(yīng)用等等進行日志統(tǒng)計。
2.2安全服務(wù)維度
公安網(wǎng)絡(luò)的信息安全體系中包括的安全服務(wù)有,身份識別認證、訪問控制權(quán)限、數(shù)據(jù)完整性和保密性以及抗抵賴組成了安全服務(wù)模型。在安全服務(wù)模型中,每一個安全服務(wù)對應(yīng)著不同類別的應(yīng)用。這幾種安全服務(wù)模型不是獨立的是互相聯(lián)系著的。進入公安網(wǎng)絡(luò)安全體系的主體登錄系統(tǒng)時,要進行身份識別認證,并且查找授權(quán)數(shù)據(jù)庫,以獲得主體訪問的權(quán)限,如果通過驗證與授權(quán),則對訪問信息進行加密返回至主體,主體通過解析進行信息獲取。并且,主體訪問的過程被審計跟蹤監(jiān)測模塊記錄,生成訪問日志,以便日后進行查驗。
2.3系統(tǒng)單元維度
公安網(wǎng)絡(luò)的信息安全體系的實施階段,上述安全服務(wù)與協(xié)議等要集成在物理單元上,從系統(tǒng)單元的維度看,可分為以下幾個層次。首先,物理環(huán)境安全,該層次保護計算機信息系統(tǒng)的基本設(shè)施安全,能夠有能力應(yīng)對自然災(zāi)害以及人為物理誤操作對安全體系的基礎(chǔ)設(shè)施的干擾以及破壞。其次,網(wǎng)絡(luò)平臺的安全,主要保證網(wǎng)絡(luò)的安全可靠運行,保障通過交換機等網(wǎng)絡(luò)設(shè)備的信息的安全。最后是應(yīng)用系統(tǒng)的安全,該層次提供了訪問用戶的身份認證、數(shù)據(jù)的保密性以及完整性,權(quán)限訪問等。
3總結(jié)
尤其是當以下問題發(fā)生時,使得網(wǎng)絡(luò)在遭受安全攻擊時,顯得非常脆弱:上層應(yīng)用的安全收到Internet底層TCP/IP網(wǎng)絡(luò)協(xié)議安全性的影響,如果底層TCMP網(wǎng)絡(luò)協(xié)議受到攻擊,那么上層應(yīng)用也會存在安全隱患;黑客技術(shù)和解密工具在網(wǎng)絡(luò)上無序傳播,而給一些不法分子利用這些技術(shù)來攻擊網(wǎng)絡(luò);軟件的更新周期較長,而極有可能使得操作系統(tǒng)和應(yīng)用程序出現(xiàn)新的的攻擊漏洞;網(wǎng)絡(luò)管理中的法律法規(guī)不健全,各種條款的嚴謹性不足,而給管理工作帶來不便,對于法規(guī)的執(zhí)行力度不足,缺乏切實可行的措施。
2對企業(yè)辦公網(wǎng)絡(luò)安全造成威脅的因素
對辦公網(wǎng)絡(luò)的信息安全實施有效的保護有著非常重要的意義,但同時也存在著一定的難度。由于網(wǎng)絡(luò)技術(shù)自身存在很多不足,如系統(tǒng)安全性保障不足。沒有安全性的實踐等,而使得辦公網(wǎng)絡(luò)不堪一擊。除了自然災(zāi)害會給辦公網(wǎng)絡(luò)埋下巨大的安全隱患外,還有計算機犯罪、黑客攻擊等因素也是影響網(wǎng)絡(luò)信息安全的不穩(wěn)定因素。
2.1自然災(zāi)害造成的威脅
從本質(zhì)上來說,企業(yè)辦公網(wǎng)絡(luò)的信息系統(tǒng)就是一臺機器,根本不具備抵御自然災(zāi)害、溫度、濕度等環(huán)節(jié)因素影響的能力,再加上防護措施的欠缺,必然會加大自然災(zāi)害和環(huán)境對辦公網(wǎng)絡(luò)信息的威脅。最常見的就是斷電而造成的影響,會使得正處于運行狀態(tài)中的設(shè)備受到損害或者導致數(shù)據(jù)丟失等情況的發(fā)生。
2.2網(wǎng)絡(luò)軟件漏洞造成的威脅
一般來說,網(wǎng)絡(luò)軟件自身就存在著一些不可避免的漏洞,而給黑客攻擊提供了便利,黑客會利用這些軟件漏洞對網(wǎng)絡(luò)實施攻擊,在常見的案例中,網(wǎng)絡(luò)安全受到攻擊的主要原因就是由于網(wǎng)絡(luò)軟件不完善。還有一些軟件編程人員,為了自身使用方便而設(shè)置“后門”,一旦這些“后門”被不法分子找到,將會造成不可預料的后果。
2.3黑客造成的威脅
辦公網(wǎng)絡(luò)信息安全遭受黑客攻擊的案例數(shù)不勝數(shù),這些黑客利用各種計算機工具,對自己所掌握的系統(tǒng)和網(wǎng)絡(luò)缺陷下手,從而盜取、竊聽重要信息,或者攻擊系統(tǒng)中的重要信息,甚至篡改辦公網(wǎng)絡(luò)中的部分信息,而造成辦公網(wǎng)絡(luò)癱瘓,給企業(yè)造成嚴重的損失。
2.4計算機病毒造成的威脅
計算機病毒會以極快的速度蔓延,而且波及的范圍也非常廣,一旦爆發(fā)計算機病毒將會造成不可估計的損失。計算機病毒無影無形,以依附于其他程序的形式存在,隨著程序的運行進一步侵入系統(tǒng),并迅速擴散。一旦辦公網(wǎng)絡(luò)被病毒入侵,會降低工作效率,甚至導致系統(tǒng)死機,數(shù)據(jù)丟失等嚴重情況的發(fā)生。
3如何加強辦公網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全
3.1數(shù)據(jù)加密
數(shù)據(jù)加密技術(shù)指的是通過加密鑰匙和加密函數(shù)轉(zhuǎn)化,將信息處理成為無意義的密文。而接收方再通過解密鑰匙和解密函數(shù),將密文還原成為明文。加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石。加密的原理就是改變數(shù)據(jù)的表現(xiàn)形式,而目的就是確保密文只能被特定的人所解讀。一個加密網(wǎng)絡(luò),不僅可以實現(xiàn)對非授權(quán)用戶的搭線竊聽和入網(wǎng)的阻攔,而且還能有效的防止惡意軟件的入侵。一般的數(shù)據(jù)加密可以在通信的三個層次來實現(xiàn),分別是鏈路加密、節(jié)點加密和端到端加密。
3.2建立網(wǎng)絡(luò)管理平臺
現(xiàn)階段,隨著網(wǎng)絡(luò)系統(tǒng)的不斷擴大,越來越多的技術(shù)也應(yīng)用到網(wǎng)絡(luò)安全當中,常見的技術(shù)主要有防火墻、入侵檢測、防病毒軟件等。但不足的就是這些系統(tǒng)都處于獨立地工作狀態(tài),要保證網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)資源能夠被充分利用,應(yīng)當為其提供一個經(jīng)濟安全、可靠高效、功能完善的網(wǎng)絡(luò)管理平臺來實現(xiàn)對這些網(wǎng)絡(luò)安全設(shè)備的綜合管理,使其能夠充分發(fā)揮應(yīng)有的功能。
3.3設(shè)置防火墻
1.1加強網(wǎng)絡(luò)安全教育,增強校園網(wǎng)用戶安全意識及防護技能
目前,所有高校基本都普及了校園網(wǎng)絡(luò),高校學生在校園內(nèi)部隨處都可以上網(wǎng),教師和其它人員的工作也離不開網(wǎng)絡(luò)的輔助,高校內(nèi)部的網(wǎng)絡(luò)端口日益增多,上網(wǎng)的人數(shù)也是與日俱增,其中大多數(shù)人并不具備網(wǎng)絡(luò)安全方面相關(guān)知識,這為高校信息安全埋下了隱患,信息安全方面的教育勢在必行。用戶的流動性強是校園網(wǎng)用戶群體的一個顯著特征,因此,學生的信息安全教育是一項重要并且需要長期堅持的工作。學校應(yīng)將信息安全知識和防護技能的培訓納入學生計算機基礎(chǔ)課程中,并將有關(guān)的教學內(nèi)容、實驗與學校的信息安全工作聯(lián)系起來,在實現(xiàn)教學目標的同時,也可以起到對學校信息安全的促進與保障作用。目前,高校雖然已經(jīng)普遍開設(shè)了計算機應(yīng)用基礎(chǔ)課程,仍然有必要選擇性地開設(shè)網(wǎng)絡(luò)安全課程或?qū)n}講座,宣傳網(wǎng)絡(luò)安全知識和網(wǎng)絡(luò)道德教育,提高所有學生和教師的網(wǎng)絡(luò)安全意識,并且可以開展有針對性的實踐技能培訓,提高學生和教師的網(wǎng)絡(luò)防護技能。新形勢下,高校學生應(yīng)當具備一定的網(wǎng)絡(luò)基礎(chǔ)知識,讓學生學會正確對待各類網(wǎng)絡(luò)信息、合理使用網(wǎng)絡(luò)資源的能力,形成正確的價值觀,維護網(wǎng)絡(luò)道德規(guī)范。此外,對校園網(wǎng)中其他用戶的信息安全教育與培訓也是一項需要長期堅持的工作。
1.2加強校園網(wǎng)安全維護,增強網(wǎng)絡(luò)管理人員的安全意識和技能
校園網(wǎng)信息安全既有管理方面的漏洞,也有技術(shù)層面的風險。專業(yè)的網(wǎng)絡(luò)管理人員負責整個校園網(wǎng)絡(luò)的維護、網(wǎng)絡(luò)系統(tǒng)的更新、升級及新技術(shù)的研發(fā)。建立一支既懂管理又有技術(shù)的信息安全人才隊伍是很有必要的,保障網(wǎng)絡(luò)的信息安全首先應(yīng)當提升這部分專業(yè)人士的安全意識及專業(yè)技術(shù)水平,定期進行培訓和考核。其次要從技術(shù)層面做好信息安全防御工作。使用必要的網(wǎng)絡(luò)安全防護技術(shù),如:身份認證技術(shù)、入侵檢測技術(shù)、防火墻技術(shù)、防病毒網(wǎng)關(guān)技術(shù)、垃圾郵件過濾系統(tǒng)以及安全審計等技術(shù)來防御來自外部或內(nèi)部的攻擊,有效地對校園網(wǎng)的進行防護。另外,現(xiàn)在市場上網(wǎng)絡(luò)安全的新產(chǎn)品、新技術(shù)非常多,也可以為校園網(wǎng)提供更好的保護功能。
1.3建立健全校園網(wǎng)安全保障體系
健全的信息安全管理體制,對于在管理層面維護信息安全至關(guān)重要。除了建立一支高素質(zhì)的網(wǎng)絡(luò)管理專業(yè)技術(shù)人員隊伍外,還必須建立一套嚴格的管理規(guī)章制度。有了技術(shù)水平足夠高的設(shè)備、軟件支持,再加上有針對其網(wǎng)絡(luò)建設(shè)和應(yīng)用設(shè)計的完善的規(guī)章制度,整個網(wǎng)絡(luò)安全體系才有了根本保障。此外,在科學合理的信息安全管理機制中,應(yīng)急響應(yīng)機制尤為重要,因為,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng),關(guān)鍵在于發(fā)現(xiàn)或發(fā)生安全風險時,能否及時正確做出應(yīng)對,進行防御,采取措施消除風險,或?qū)p失降到最低,使網(wǎng)絡(luò)系統(tǒng)能夠快速恢復正常運行。
2結(jié)語
狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性,按照網(wǎng)絡(luò)對象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運營商內(nèi)部網(wǎng)絡(luò)安全等幾個方面;廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個基本層面,在這個基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面,幾個層面結(jié)合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網(wǎng)絡(luò)安全的建設(shè),針對網(wǎng)絡(luò)特點、業(yè)務(wù)特點建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年,原中國電信意識到網(wǎng)絡(luò)安全的重要性,并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門,著力建立中國電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據(jù)組織保障策略引導、保障機制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和業(yè)務(wù)的突飛猛進,單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此,建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺,也就是SOC平臺,形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系,以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作,來完成對網(wǎng)絡(luò)安全事件的監(jiān)控,完成對網(wǎng)絡(luò)安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統(tǒng)。
然而,網(wǎng)絡(luò)安全是相對的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等,造成了網(wǎng)絡(luò)的脆弱性。當電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中,安全問題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看,隨著攻擊技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊工具的獲得越來越容易,對網(wǎng)絡(luò)發(fā)起攻擊變得容易;而運營商網(wǎng)絡(luò)分布越來越廣泛,這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞,容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看,業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等,也是威脅網(wǎng)絡(luò)安全的因素。
2電信網(wǎng)絡(luò)安全面臨的形勢及問題
2.1互聯(lián)網(wǎng)與電信網(wǎng)的融合,給電信網(wǎng)帶來新的安全威脅
傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送,信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網(wǎng)絡(luò)控制系統(tǒng),保障了網(wǎng)絡(luò)安全。IP電話引入后,需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通,電信網(wǎng)的信令網(wǎng)不再獨立于業(yè)務(wù)網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上,TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現(xiàn)不法行為,無論是運營商還是執(zhí)法機關(guān),確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術(shù)、新業(yè)務(wù)的引入,給電信網(wǎng)的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網(wǎng)絡(luò)安全方面看,如果采取的措施不當,NGN的引入可能會增加網(wǎng)絡(luò)的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入,都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強,每一個用戶都有能力對網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制,組成僵尸網(wǎng)絡(luò)群,其拒絕服務(wù)攻擊的破壞力將可能十分巨大。
2.3運營商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合,網(wǎng)絡(luò)出現(xiàn)重大事故時難以迅速恢復
目前,我國電信領(lǐng)域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監(jiān)管措施還不配套,給電信網(wǎng)絡(luò)安全帶來了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面,原來由行業(yè)主管部門對電信網(wǎng)絡(luò)進行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè),現(xiàn)在由各運營企業(yè)承擔各自網(wǎng)絡(luò)的規(guī)劃、建設(shè),行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題,不同運營商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。
2.4相關(guān)法規(guī)尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備,且缺乏操作性。在規(guī)范電信運營企業(yè)安全保障建設(shè)方面,也缺乏法律依據(jù)。運營企業(yè)為了在競爭中占據(jù)有利地位,更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場份額和投資回報,把經(jīng)濟效益放在首位,網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運行維護管理等相對滯后。
3電信網(wǎng)絡(luò)安全防護的對策思考
強化電信網(wǎng)絡(luò)安全,應(yīng)做到主動防護與被動監(jiān)控、全面防護與重點防護相結(jié)合,著重考慮以下幾方面。
3.1發(fā)散性的技術(shù)方案設(shè)計思路
在采用電信行業(yè)安全解決方案時,首先需要對關(guān)鍵資源進行定位,然后以關(guān)鍵資源為基點,按照發(fā)散性的思路進行安全分析和保護,并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng),使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。
3.2網(wǎng)絡(luò)層安全解決方案
網(wǎng)絡(luò)層安全要基于以下幾點考慮:控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問;劃分并隔離不同安全域;防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作。可以按照網(wǎng)絡(luò)區(qū)域安全級別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域,即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域,在這兩大區(qū)域之間需要進行安全隔離。同時,應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護和監(jiān)控需要,與實際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機構(gòu)組織形式進行密切結(jié)合,在系統(tǒng)中建立一個完善的安全體系,包括企業(yè)級的網(wǎng)絡(luò)實時監(jiān)控、入侵檢測和防御,系統(tǒng)訪問控制,網(wǎng)絡(luò)入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統(tǒng)的總體可控性。
3.3網(wǎng)絡(luò)層方案配置
在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品,將工作站直接連接到主干交換機的監(jiān)控端口(SPANPort),用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包,并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進行相應(yīng)的監(jiān)測。
3.4主機、操作系統(tǒng)、數(shù)據(jù)庫配置方案
由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu),兼呈局域網(wǎng)和廣域網(wǎng)的特性,是一個充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計算機網(wǎng)絡(luò),它面臨的安全性威脅來自于方方面面。每一個需要保護的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護產(chǎn)品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產(chǎn)品進行中央管理。
3.5系統(tǒng)、數(shù)據(jù)庫漏洞掃描
系統(tǒng)和數(shù)據(jù)庫的漏洞掃描對電信行業(yè)這樣的大型網(wǎng)絡(luò)而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統(tǒng)/數(shù)據(jù)庫漏洞掃描工具。
參考文獻
[1]信息產(chǎn)業(yè)部電信管理局.電信網(wǎng)絡(luò)與信息安全管理[M].北京:人民郵電出版社,2004.
[2]陳綱.保障電信網(wǎng)絡(luò)安全的五項措施[N].通信產(chǎn)業(yè)報,2003-9-28.
1.1設(shè)計目標網(wǎng)絡(luò)安全檢測系統(tǒng)需要對網(wǎng)絡(luò)中的用戶計算機和網(wǎng)絡(luò)訪問行為進行審計,檢測系統(tǒng)具有自動響應(yīng)、自動分析功能。自動相應(yīng)是指當系統(tǒng)發(fā)現(xiàn)有用戶非法訪問網(wǎng)絡(luò)資源,系統(tǒng)將自動阻止,向管理員發(fā)出警示信息,并記錄非法訪問來源;自動分析是根據(jù)用戶網(wǎng)絡(luò)應(yīng)用時應(yīng)用的軟件或者網(wǎng)址進行分析,通過建立黑名單功能將疑似威脅的程序或者方式過濾掉。此外,系統(tǒng)還具有審計數(shù)據(jù)自動生成、查詢和系統(tǒng)維護功能等。
1.2網(wǎng)絡(luò)安全檢測系統(tǒng)架構(gòu)網(wǎng)絡(luò)安全檢測系統(tǒng)架構(gòu)采用分級式設(shè)計,架構(gòu)圖如。分級設(shè)計網(wǎng)絡(luò)安全檢測系統(tǒng)具有降低單點失效的風險,同時還可以降低服務(wù)器負荷,在系統(tǒng)的擴容性、容錯性和處理速度上都具有更大的能力。
2系統(tǒng)功能設(shè)計
網(wǎng)絡(luò)安全檢測系統(tǒng)功能模塊化設(shè)計將系統(tǒng)劃分為用戶身份管理功能模塊、實時監(jiān)控功能模塊、軟件管理模塊、硬件管理模塊、網(wǎng)絡(luò)管理和文件管理。用戶身份管理功能模塊是實現(xiàn)對網(wǎng)絡(luò)用戶的身份識別和管理,根據(jù)用戶等級控制使用權(quán)限;實時監(jiān)控模塊對在線主機進行管理,采用UDP方式在網(wǎng)絡(luò)主機上的檢測程序發(fā)送監(jiān)控指令,檢測程序?qū)Ρ镜剡M行列表進行讀取,實時向服務(wù)器反饋信息;軟件管理模塊是將已知有威脅的軟件名稱、參數(shù)等納入管理數(shù)據(jù)庫,當用戶試圖應(yīng)用此軟件時,檢測系統(tǒng)會發(fā)出警告或者是拒絕應(yīng)用;硬件管理模塊對網(wǎng)絡(luò)中的應(yīng)用硬件進行登記,當硬件非法變更,系統(tǒng)將發(fā)出警告;網(wǎng)絡(luò)管理模塊將已知有威脅網(wǎng)絡(luò)IP地址納入管理數(shù)據(jù)庫,當此IP訪問網(wǎng)絡(luò)系統(tǒng)時,檢測系統(tǒng)會屏蔽此IP并發(fā)出警告;文件管理模塊,對被控計算機上運行的文件進行實時審計,當用戶應(yīng)用的文件與系統(tǒng)數(shù)據(jù)庫中非法文件記錄匹配,則對該文件進行自動刪除,或者提示用戶文件存在風險。
3數(shù)據(jù)庫設(shè)計
本文所設(shè)計的網(wǎng)絡(luò)安全檢測系統(tǒng)采用SQLServer作為數(shù)據(jù)庫,數(shù)據(jù)庫中建立主體表,其描述網(wǎng)絡(luò)中被控主機的各項參數(shù),譬如編號、名稱、IP等;建立用戶表,用戶表中記錄用戶編號、用戶名稱、用戶等級等;建立網(wǎng)絡(luò)運行狀態(tài)表,其保存網(wǎng)絡(luò)運行狀態(tài)結(jié)果、運行狀態(tài)實際內(nèi)容等,建立軟件、硬件、信息表,表中包含軟件的名稱、版本信息、容量大小和硬件的配置信息等;建立軟件、網(wǎng)址黑名單,對現(xiàn)已發(fā)現(xiàn)的對網(wǎng)絡(luò)及主機具有威脅性的非法程序和IP地址進行記錄。
4系統(tǒng)實現(xiàn)
4.1用戶管理功能實現(xiàn)用戶管理功能是提供網(wǎng)絡(luò)中的用戶注冊、修改和刪除,當用戶登錄時輸出錯誤信息,則提示無此用戶信息。當創(chuàng)建用戶時,系統(tǒng)自動檢測注冊用戶是否出現(xiàn)同名,如出現(xiàn)同名則提示更改,新用戶加入網(wǎng)絡(luò)應(yīng)用后,網(wǎng)絡(luò)安全檢測系統(tǒng)會對該用戶進行系統(tǒng)審核,并將其納入監(jiān)管對象。系統(tǒng)對網(wǎng)絡(luò)中的用戶進行監(jiān)控,主要是對用戶的硬件資源、軟件資源、網(wǎng)絡(luò)資源等進行管控,有效保護注冊用戶的網(wǎng)絡(luò)應(yīng)用安全。
4.2實時監(jiān)控功能實現(xiàn)系統(tǒng)實時監(jiān)控功能需要能夠?qū)崟r獲取主機軟硬件信息,對網(wǎng)絡(luò)中用戶的軟件應(yīng)用、網(wǎng)站訪問、文件操作進行檢測,并與數(shù)據(jù)庫中的危險數(shù)據(jù)記錄進行匹配,如發(fā)現(xiàn)危險則提出警告,或者直接屏蔽危險。
4.3網(wǎng)絡(luò)主機及硬件信息監(jiān)控功能實現(xiàn)網(wǎng)絡(luò)主機及硬件信息監(jiān)控是對網(wǎng)絡(luò)中的被控計算機系統(tǒng)信息、硬件信息進行登記記錄,當硬件設(shè)備發(fā)生變更或者網(wǎng)絡(luò)主機系統(tǒng)發(fā)生變化,則安全檢測系統(tǒng)會啟動,告知網(wǎng)絡(luò)管理人員,同時系統(tǒng)會對網(wǎng)絡(luò)主機及硬件變更的安全性進行判定,如發(fā)現(xiàn)非法接入則進行警告并阻止連接網(wǎng)絡(luò)。
5結(jié)束語
