时间:2022-08-13 01:18:25
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
1.基于IPv6的网络建设
在全球互联网高度发展的今天,由于网络与通信的日益融合,基于IPv4地址编码方式已于2011年1月枯竭。那么,IPv6成为解决IPv4地址耗尽问题的最好解决方法网络安全络安全论文,按照正常方式从IPv4向IPv6转换成功的话,全球所有的终端均可拥有一个IP地址,从而可实现全球网络的概念。
IPv6是下一版本的互联网协议,也可以说是下一代互联网的协议,它的提出最初是因为随着互联网的迅速发展,IPv4定义的有限地址空间将耗尽,而地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间,通过IPv6以重新定义地址空间。IPv6采用128位地址长度,几乎可以不受限制地提供IP地址网络安全络安全论文,从而确保了端到端连接的可能性。
除了地址分配问题外,IPv6虽然有整体吞吐量、高服务质量等优势,但在安全接入方面并不比IPv4更为显著。IPv6并不意味着网络就自然安全了,虽然不使用地址翻译,但仍然会使用防火墙,.net本身并不会带来安全的因素。IPv6与IPv4面临同样的安全问题。
2. IPSec安全协议
2.1 IPSec安全协议的体系结构
在IPv6中,IPSec安全协议是一个协议套件,主要包括:认证头(Authentication Header,AH)、封装安全载荷(Encapsulating Security Payload,ESP)、Internet密钥交换(Internet Key Exchange,IKE)等相关组件论文开题报告范文论文下载。它提供的安全服务有:数据源身份验证,无连接数据完整性检查,数据内容的机密性保证,抗重播保护以及有限数据流机密性保证。IPSec协议的体系结构如图1所示。
2.2IPSec认证头AH协议
认证头AH用于为IP提供数据完成性、数据原始身份验证和一些可选的、有限的抗重播服务。AH定义了对数据所实施的安全保护的方法、头的位置、身份验证的覆盖范围,以及输入和输出处理规则,但不对所用的身份验证算法进行具体定义[。AH的格式如图2所示。认证头AH有2种工作模式,即传输模式和隧道模式。传输模式只对传输层数据和IP头中的固定字段提供认证保护,主要适合于主机实现[3]。隧道模式则对整个IP数据提供认证保护。
2.3 IPSec封装安全载荷ESP协议
封装安全载荷ESP为IP提供机密性、数据源验证、抗重播以及数据完整性等安全服务。ESP的格式不是固定的,依据采用不同的加密算法而不同,但起始处必须是安全参数索引(SPI),用以定义加密算法及密钥的生存周期等。ESP格式如图3所示。封装安全载荷ESP有2种不同的加密工作模式,即传输模式和隧道模式。传输模式ESP只对传输层数据单元加密,IPv6和各种扩展头以及ESP中的SPI段用明文传输,该方式适用于主机到主机的加密。隧道模式ESP对整个IP分组进行加密,该模式以新的包含有足够路由信息的IP头封装,从而便于中间结点的识别,该方式适用于设置有防火墙或其他类型安全网关的结构体系。
随着互联网的飞速发展,城市人民的生活基本进入信息化时代,人们不管是网上购物,还是在线聊天等,或多或少了一些个人信息。甚至我国很大一部分的企业关键信息都存储于网络,因此网络是信息传递和存储的载体,它的正常运行有效地保证了用户信息的安全。网络信息安全主要涵盖网络信息安全、传输安全和内容安全三个方面,网络数据传播的渠道方式以及传播的信息内容是否真实可靠。基于我国网络安全基本情况,所谓网络安全,主要体现在从以下四个方面:网络信息数据的完整性、保密性以及共享数据的可控性和可用性。每一个安全特征都需要每个网络用户自觉维护,才能实现。本文根据网络安全要求及其特征,对目前网络安全做了体现架构分析。根据用户群体的不同将网络划分为五个层次,分别为应用和保密基础层、应用群体、用户群体、系统群体以及网络群体。目前,本文所提的五层网络安全体系在全球范围内已经得到了公认,并且也已经成功应用在网络安全产品之中,五层网络安全体系主要涵盖五层,下面针对每层的安全性问题做简要分析。
1.1.1网络层的安全性
网络信息和传输是否能得到控制是网络层安全性的核心问题,网络用户通过固定的IP地址进入网络系统,而网络则对此IP地址传输的数据进行检查,查看信息内容是否安全,安全则允许传输,否则屏蔽。目前网络安全性提高方法主要由两种:防火墙产品和VPN(虚拟专用网)。
1.1.2系统的安全性
网络系统中的安全性主要包括两个方面:第一是非法黑客对网络系统的入侵和破坏;第二是传统病毒对网络系统的入侵和破坏。病毒是一种可复制性、具有攻击型可执行文件,这些病毒的源头是非法程序员通过网络散布的、破坏正常文件的可执行文件;黑客是通过非法渠道进入网络系统窃取他人资料;这两种方式都是破坏系统安全性的渠道。
1.1.3用户操作安全性
目前,网络数据主要分为两种,一种是静态数据;一种是动态数据;而用户都是通过静态数据进行校验,登录系统,但往往由于用户操作失误或遗失账号密码,导致系统出现漏洞,给非法用户提供了侵入系统接口。
1.1.4应用程序的安全性
应用程序安全性主要涉及两个方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。即合法用户通过应用程序操作合法数据。
1.1.5数据的安全性
数据作为整个架构层次的核心部分,其保存前、中和后都需要进行加密,充分保证数据的安全性,即使在数据被窃后。通过数据加密等措施,即使数据丢失,也可以让非法入侵者得到的是加密文件,无法了解其信息内容。上述的五层安全体系并非孤立分散。他们是有机的结合体,通过互相的数据共享和联通,形成整个网络体系架构,以上便是本文所设计及介绍的五层网络安全体系。
1.2安全技术分析
从上个世纪网络盛行时,网络安全就被世人所关注,针对网络漏洞和病毒,科学家和研究者制定出各种协议和规则,甚至研究出各种网络安全技术,下面就几种成熟的网络安全技术进行分别介绍。
(1)防火墙技术。
防火墙作为一种网络数据核查软件,很好的杜绝了网络用户通过非法渠道获取其他网络用户信息,它通过分包和IP地址并行校验机制,对外来数据进行一一检查,此种技术很好的保障了内部数据的安全性。目前,防火墙技术主要是分组过滤和服务两种类型,它们的主要宗旨是保护外来非法数据对本地数据的入侵和破坏,防火墙技术是一种真正保证本地数据的有效工具,它通过固定的网络协议对往来电子邮件进行过滤,使进出数据都得到了很好的检验。
(2)应用网关。
应用网关主要是针对网络数据传输过程中的数据包进行过滤,一般与防火墙技术组合使用,防火墙将数据包送至应用网关,应用网关可以被用来处理电子邮件,远程登录,及文件传输。
(3)虚拟私人网络。
虚拟网络主要是为一些用户专门访问而成立的技术,因此可以在Internet上建立自己的虚拟私人网络是一个安全的策略。通过路由器,虚拟链接就形成了。这样就可以由用户建立一个专内网络,进行数据交换,形成内部网络。由此可见,通过这种手段来保护数据的安全。
(4)数据加密技术。
为防止数据被外部非法用户所窃取的另外一个重要技术就是数据加密技术,它也是目前最为常用,而且安全性和可靠性非常高,数据加密技术主要包括密钥机制、数据传输、存储和完整性等。数据传输加密技术。数据存储加密技术。数据完整性鉴别技术。密钥管理技术。
(5)智能卡技术。
智能卡技术主要是对存储数据的磁盘进行管理,在存储空间设置授权机制,非授权数据和非授权的操作用户都将无法与智能卡进行交互,这种方式充分保障了智能卡总的数据安全性,适合独立和重要数据保护应用技术之一。
2.数据加密
2.1数据加密技术
加密技术是保证某些信息只有目标接收人才能读懂其含义的一种方法。所有的加密技术都要使用算法,算法是一种复杂的数字规则,被设计用来搅乱信息,以防止第三者对信息的截获。密码体制技术是研究通信安全保密的学科,它由密码编码学和密码分析学两部分组成。密码编码学是研究对信息进行变换,以保护信息在传送过程中不被第三方窃取、解读和利用的方法,它涉及对数据的保护、控制和标识。密码分析学研究如何分析和破译密码,二者既相互对立,又相互促进。加密算法的抗攻击能力可用加密强度来衡量,加密强度由三个因素组成:算法强度、密钥的保密性、密钥长度。加密技术是信息安全系统中常用的一种数据保护工具,而这种加密技术可用在交易过程中使用,加密体制无外乎分为两种,一种是对称加密,另一种是非对称加密体制。除了这两种加密体制外,还包括了哈希技术和数字签名技术。这些加密技术都在五层体系架构中发挥着重要的作用。
(1)对称加密/对称密钥加密/专用密钥加密体制。
如果使用对称加密方式,相同的密钥被使用在信息加密和解密的过程中,加密算法可以通过使用对称加密方法将其简化,每个贸易方都采用相同的加密算法并只交换共享的专用密钥,而不必彼此研究和交换专用的加密算法。
(2)非对称加密/公开密钥加密。
非对称加密和公开密钥加密同属一个意思。即在这种加密体制中,密钥被分解为一个加密密钥和一个专用的解密密钥。非对称加密算法中最著名的就是RSA算法,它的优点是加密复杂度高,不易破解,但他的缺点是运行速度慢。因此在实际加密过程中基本不采用此种加密算法。对应加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。
2.2密钥安全分析
密钥是数据加密技术中的核心算法点,本文所讨论的五层架构体系中所有的数据传输和存储及访问,都基于数据加密技术的支持,随着技术的发展,加密技术不断完善,但完成安全的数据通讯,仅仅有加密和解密算法还是不够的,还需要有安全的密钥分配协议的支持。在网络数据传输过程中,采用公钥密码系统有较好的安全性,但加密解密的速度慢,而私钥虽然速度快,但不安全,因此密钥分配协议(简称KDP)是一种增强加密和解密的安全性。目前,世界存在的密钥分配协议有两种,一种是基于单一网络的密钥分配协议;一种是基于网络时钟同步的网络密钥分配协议;还有一种是基于层次的KDP。但这三种协议由于种种原因(必要前提、不可修补等)而不能长时间应用与数据加密技术中。
2.3可修补密钥分配协议
本文基于数据加密技术和网络安全的五层体系架构考虑,设计一种可替补的密钥分配协议方法,通过此协议,增加数据加密密钥的合理性和减小密钥丢失的风险性,提高网络安全性能。所谓密钥可修补分配协议的重点在于当一个密钥由于病毒、黑客或用户误操作而导致的系统漏洞,因此系统就出现各种被恶意破坏的可能存在,目前部分密钥分配协议中采用新密钥代替被泄露的密钥,但也无法保证没有了安全漏洞。而本文所设计的密钥分配协议不仅能取代泄露的密钥,而且可使系统恢复至初始,此种协议被称为可替补协议。
1)信息泄露。信息泄露主要是指信息被泄露给规定机构意外的人员使用。导致信息出现泄露的原因可能是信息访问的过程中被窃听或是对信息进行探测等。
2)信息伪造。伪造主要是指不相关人员或机构对真实的信息进行伪造,从而获取合法用户的使用权利,使得信息的真实性遭到破坏。
3)信息篡改。篡改主要是指不相关的人员或机构对系统内的资源进行篡改,使得信息的完整以及真实性遭到损坏。
4)参与者对所作的行为进行否认。这主要是指参与者否认自己的行为,而从中获取非法利益。
5)非法访问。这主要是指无权对信息进行访问的人员对系统内的信息资源进行非法使用,从而使得信息可能被滥用,而对金融网络交易造成不利的影响。
2金融网络安全服务的内容
通过以上对金融网络存在的安全风险进行了分析,并在分析的基础上提出了一些在保障网络金融安全体系中必须做到的,主要包括以下几点:
1)实现机密性保护。机密性主要是指对系统内的数据进行某种特定形式的转换而保护真实的信息。要实现机密性保护,一般情况下是采用密码防控技术,即对系统内的数据进行加密处理,对真实的信息进行隐藏,并转换为密文。在这种情况下,即使外部使用者获取到了数据也无法得到相关的信息;此外还要对数据流进行保护,做到对传输的数据源、频率等情况进行加密,从而有效的避免外部使用者通过截取数据流而获取信息内容。
2)对数据来源进行认证。这主要是指根据传输过来的数据中所包含的的信息进行验证,从而确定所传输的数据是来自于发起方。而对数据来源进行认证,最主要的目的就是确定所传输数据与发起方之间的不可破坏的联系。
3)对参与者的人身份进行认证。这主要是指保证参与者身份正确,一般情况下,对参与者的身份进行认证是在协商阶段,一旦参与者的身份确认无误,系统中的应用程序就会赋予参与者相应的权利,从而实现参与者的操作,而且对参与者的身份进行了认证科研作为以后系统访问的控制提供设计依据。
4)确保数据的完整性与真实性。保证数据的完整性与真实性主要就是指数据在传输的过程中没有被攻击者修改。在金融网络交易中,这两个方面主要用于对数据流的处理过程中,充分的保证数据在传输的过程中没有被修改等,从而确保收到的信息内容与发出时保持一致,一旦发现数据不完整或不真实,则说明该数据不可进行使用。
5)不可否认。这主要是为了有效的避免发收双方对所传输的数据进行否认。在这种情况下,当数据进行传输时,必须对数据进行相应的处理,保证接收方所受到的信息是从特定的发送方所发出的,同时,当接收方对是、传输的数据进行接受后,也应进行相应的处理并告知发送方信息已被接受。
6)对访问进行控制。访问控制最主要的目标就是有效的防止外部使用者在未经授权的情况下对信息进行访问,从而保证信息的保密,同时进行访问控制好可以有效的保证敏感信息在安全的环境中进行传输。对于金融网络安全服务内容与安全风险的对应关系如下表所示:
3金融网络的安全体系设计的防护原则
从计算机的特性上来讲,网络安全包含了网络中的所有层次,所有对于金融网络的安全防护只单一的从一个层次去进行安全的保护是远远不够的,所以必须从多个方面进行金融网络安全的实施,根据对计算机的层次结构分析,金融网络安全主要包括网络安全、链路安全以及应用安全这三个部分。网络安全的原则就是将需要进行保护的网络独立出来,从而成为一个可以进行独立管理以及控制的内部网络系统,而在此所以采用的就是防火墙来实现对内外部网络的隔离与控制,进而保证金融网络的安全。在这个方面,运用的技术设备主要是入侵检测系统,通过对网络中的漏洞进行扫描并进行正确的分析,实现网络的安全。链路安全主要是保证数据在传输过程中安全,在这个方面主要是通过对链路进行加密,同时对参与者的身份进行验证,有效的将内外部区域进性划分,从而保证数据在传输过程中的安全。而应用安全则是三者中最高层次,主要是采用密码技术来对参与者的身份进行验证,并同时进行访问的控制,保证数据的完整性,安全性。由于网络的开发性以及资源的共享,使得信息极易被窃取,篡改,从而造成信息的的不安全,所以为了有效的保证信息的安全,必须采取有效的技术策略,进而充分的实现对金融网络的安全防范。
4金融网络安全体系的设计
对于金融网络安全体系的设计,从技术层面上讲,金融网络安全体系中的组成部分主要有软件系统、网络监控、防火墙、信息加密,安全扫描等多个方面。而这些安全部分由于只能完成自己所要完成的功能,只有当所有的安全组件都有效的完成自己的任务,才能构成一个完整的金融网络安全系统,而要真正实现安全保护这些构成组件缺一不可。从这里也可以看出金融网络安全是一个系统整体的工程,要想真正的实现金融网络交易的安全,就必须保证所涉及的网络设备以及这些组件的安全。对金融网络安全体系进行设计研究,最主要的目的就是为了对金融网络的整个交易过程进行全程保护,这就使得对于金融网络安全的保护并不只是某些安全设备就可以独立完成的,必须充分的采用各种安全防范技术,设计出一个全方位、多层次的网络安全体系,在上面提出的安全防护原则的基础上,以及通过采用防火墙、个人安全平台等多种安全技术来金融网络安全体系进行了设计,金融网络安全体系图如下图所示:在这个设计图中,金融网络安全体系所采用的安全设备主要有以下几种:
1)防火墙。在入口的地方进行防火墙的设置,可以有效的控制外界对资源的访问,从而有效的实现内部网络与外部网络上的相隔离以及资源的访问控制,从而有效的保障系统内信息资源的安全性、完整性以及真实性。
2)外部入侵检测系统。这种系统主要是及时的对违规信息进行识别并进行处理,它存在与任何存在数据风险的地方,通过及时的截取网络数据流,对入侵的数据进行识别、记录并破坏截取信息的代码,从而额准确的判断出未经授权的信息访问,一旦发现存在这类情况,入侵检测系统可以及时的根据系统内所设定的安全策略进行处理,从而阻止未经授权者对信息的继续访问。
3)虚拟专用网。虚拟专用网可以在各网络连接点之间建立一个安全加密隧道,从而实现数据在传输的过程中不会被窃取或者篡改,从而及时,准确的将信息传达给所需用户,进而实现信息资源的共享。
4)个人安全平台。个人安全平台主要是为了实现对系统内的资源以及计算机进行保护,而在一些关键的设备上设置个人安全平台可以有效的实现对系统内资源信息的访问,从而有效的防止数据被窃取或者被篡改。对于这个金融网络安全体系的设计与研究,可以对金融网络安全中存在的内外部风险同时进行有效的防范,从而最大程度上保障金融网络的安全。
(一)气象技术的保障需求。当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。
(二)气象网站的安全需要。全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。
二、气象网络安全存在的问题
其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:
(一)气象网络管理缺陷。由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:
(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。
(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。
(3)相关工作人员的失职。气象部门工作人员的职责不到位,,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。
(二)病毒侵入。目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。
三、解决对策
(一)严格的安全管理制度。面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:
(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。
(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。
(二)防范各种非法软件攻击和入侵。网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。
目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。
(三)病毒防护策略。对于网络病毒的防范是气象网络的重要组成部分。目前,气象网络的覆盖面广,病毒的危害也越来越大,加之传统的单机杀毒已无法满足需求,因此急需一个完善的病毒防护体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。
主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。
参考文献:
[1]张剑平等,《地理信息系统与MapInfo应用》.科学出版社.1999.
[2]黄翠仙,厦门市气象局网络的VLAN设计[J].广西气象.2005(1).
当今社会,通信网络的普及和演进让人们改变了信息沟通的方式,通信网络作为信息传递的一种主要载体,在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值,另一方面也意味着巨大的潜在危险--一旦通信网络出现安全事故,就有可能使成千上万人之间的沟通出现障碍,带来社会价值和经济价值的无法预料的损失。
2通信网络安全现状
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题。
计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。
计算机病毒的层出不穷及其大范围的恶意传播,对当今日愈发展的社会网络通信安全产生威胁。
现在企业单位各部门信息传输的的物理媒介,大部分是依靠普通通信线路来完成的,虽然也有一定的防护措施和技术,但还是容易被窃取。
通信系统大量使用的是商用软件,由于商用软件的源代码,源程序完全或部分公开化,使得这些软件存在安全问题。
3通信网络安全分析
针对计算机系统及网络固有的开放性等特点,加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。安全意识不强,操作技术不熟练,违反安全保密规定和操作规程,如果明密界限不清,密件明发,长期重复使用一种密钥,将导致密码被破译,如果下发口令及密码后没有及时收回,致使在口令和密码到期后仍能通过其进入网络系统,将造成系统管理的混乱和漏洞。为防止以上所列情况的发生,在网络管理和使用中,要大力加强管理人员的安全保密意识。
软硬件设施存在安全隐患。为了方便管理,部分软硬件系统在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在着许多不完善的或是未发现的漏洞(bug),加上商用软件源程序完全或部分公开化,使得在使用通信网络的过程中,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软硬件的漏洞直接侵入网络系统,破坏或窃取通信信息。
传输信道上的安全隐患。如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。
另外,在通信网建设和管理上,目前还普遍存在着计划性差。审批不严格,标准不统一,建设质量低,维护管理差,网络效率不高,人为因素干扰等问题。因此,网络安全性应引起我们的高度重视。
4通信网络安全维护措施及技术
当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。于是,保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露,保障系统连续可靠地运行,网络服务不中断,就成为通信网络安全的主要内容。
为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输我们可以运用到以下防卫措施:“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性,即便被截获也会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”,一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查,一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(VPN)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
漏洞扫描技术。面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
结束语
目前解决网络安全问题的大部分技术是存在的,但是随着社会的发展,人们对网络功能的要求愈加苛刻,这就决定了通信网络安全维护是一个长远持久的课题。我们必须适应社会,不断提高技术水平,以保证网络安全维护的顺利进行。
参考文献
[1]张咏梅.计算机通信网络安全概述.中国科技信息,2006.
[2]杨华.网络安全技术的研究与应用.计算机与网络,2008
[3]冯苗苗.网络安全技术的探讨.科技信息,2008.
[4]姜滨,于湛.通信网络安全与防护.甘肃科技,2006.
[5]艾抗,李建华,唐华.网络安全技术及应用.济南职业学院学报,2005.
[6]罗绵辉,郭鑫.通信网络安全的分层及关键技术.信息技术,2007.
国际标准化组织(ISO)将网络安全[2]定义为:为数据处理系统建立相应的安全保护措施,保护运行在网络系统中的硬件、软件以及系统中的数据不被黑客更改、破坏或者泄露,从而保证了网络服务不中断,使得系统可靠安全地运行.上述网络安全的定义包含两方面内容:物理安全和逻辑安全.其中物理安全是指在构建网络系统的时候,保证物理线路能够防雷、放火、防水、防盗等,能够保证物理线路连续的进行数据传输.而逻辑安全通常指的是传输在网络上数据的信息安全,即对网络上传输信息的保密性、可用性和完整性的保护.另一方面,网络安全性的涵义也可以理解成是信息安全的一种引申,即网络安全是对网络信息的保密性、可用性和完整性提供相应的保护.概括的说,可以将网络安全定义为:为保证目前网络中运行的系统、信息数据、信道传输数据和信息内容的安全而采取相应的措施,从而保证网络中信息传输、交换以及处理的保密性、可用性、可控性、可审查性、完整性.
1.2网络安全基本特征
网络安全应具有保密性、可用性、可控性、可审查性、完整性等五个方面的特征.保密性:信息未经授权不泄露给任何用户,而且信息的特性也具有保密性,其它非授权用户、实体或过程无法利用其特征.可用性:用户经过授权后可按需使用,即授权用户当需要该信息时能否正常存取.网络环境下常见的可用性的攻击包括拒绝服务攻击、破坏网络或系统的正常运行等.可控性:对网络中传播的信息及其内容具有控制能力.可审查性:当网络中出现安全问题时可提供相应的依据与手段,便于追踪攻击源.完整性:用户未经授权不能随意改变数据的特性,即信息在保存或者传输的过程中拥有不被修改、破坏或丢失的特性,保证了信息的完整性.
2校园网建设概述及其安全威胁
随着互联网的快速普及,校园网建设已经成为学校的基础建设之一,教育信息化、数字化已经成为教育发展的主方向,校园网已成为学校日常教学、办公、科研、管理、生活主要的工具和手段之一,并发挥着越来越重要的作用[3].另一方面,随着国家科教兴国战略的实施,政府加强了对学校的投资,由此也加强了学校对校园网的建设.中国教育和科研计算机网(CER-NET)的成立,标志着教育网的形成.CERNET主干网络传输速率已达到2.5Gpbs,总容量达40Gpbs,它吸引超过1000所高校的鼎力加盟,覆盖全国超过200个城市.目前,大部分学校都已建成校园网,实现了校园网的整体覆盖,包括办公楼、教学楼、宿舍楼等.校园网同时与Internet对接,实现了校园办公教学的信息化、自动化.如图1所示,为一个简单的校园网组网模型.随着CERNET的建设不断提高,校园网已经成为互联网的重要组成部分之一,是学校信息化、数字化建设的基础设施,同时担任着科研与教学的重要任务.然而,目前国内大多数学校都缺乏对校园网建设的综合规划、缺乏相应的网络管理措施、以及对校园网络的认识不足,这些都极大阻碍了校园网的发展.因此合理地对校园网络升级,是目前学校校园网工程的首要目标之一[4].同时,校园网作为学校数字化、信息化的基础设施,安全问题不容忽视.在互联网开放程度很高的今天,校园网往往最容易成为黑客攻击的目标.威胁校园网安全的因素有很多,但主要的安全威胁有以下几类.
2.1TCP/IP协议漏洞造成的威胁
现在互联网上使用最多的协议就是TCP/IP协议了,这几乎是所有校园网采用的网络传输协议.TCP/IP协议在设计之初,就没有考虑安全问题,它只考虑如何把信息互相传输,因此存在很大的安全威胁.虽然国际标准化组织提出的OSI七层协议能够很好的保证网络安全,但是由于TCP/IP协议的开放性和通用性几乎占用了整个市场,使得OSI七层协议无法推广.所以,目前网络黑客针对TCP/IP漏洞攻击有很多,例如:数据窃听、源地址欺骗、ARP欺骗等等.
(1)数据窃听(PacketSniff).TCP/IP协议从设计之初,就采取的是数据包明码传输,这种传输模式使得数据包很容易被窃听、修改和伪造.黑客可以利用一系列工具获取网络中正在传输的数据包,窃取用户有利用价值的信息,如用户账户和密码等信息.同时,黑客也能修改和伪造数据包,让用户误入钓鱼网站或者窃取网上银行信息,给用户造成直接经济损失.特别是在校园网中,数据包流通比较集中,一旦获取了校园网服务器或管理员账号信息,将会给校园网络造成重大损失.
(2)源地址欺骗(SourceAddressSpoofing).在网络安全中,一个比较重要的安全问题就是源地址欺骗.这里的源地址,能够是IP地址,也能是MAC地址.但是MAC地址随着路由转发,信息会发生变化,而且在实际的网络系统中,也有一定的限制,改造欺骗难度比较大,所以一般的源地址欺骗是指IP地址伪造欺骗.攻击者通常伪造被攻击的主机IP地址,骗取防火墙信任,从而对校园网内部发起攻击.
(3)源路由选择欺骗(SourceRoutingSpoo-fing).在一个完整的IP数据包中,通常只包含源地址和目的地址,即路由器可以知道数据包从哪个主机发送出来,将要到达哪个主机.源路由是指数据包将会列出所要经过的路由,路由器将会根据这些指定的路由将数据包送达相应的主机,然后根据其反向路由进行应答,从而实现主机之间的通信.而源路由选择欺骗,则是攻击者通过伪造主机源路由,让数据包经过该主机必经路由,使受攻击主机出现错误判断,将某些被保护的数据提供给了攻击者.另一方面,由于路由器一般对接收到的路由信息是不经过检验的,这样就给攻击者提供便利,攻击者可以发送虚假数据包,改变某些重要数据包的传递路径,使得数据在传递到正常主机前,即可抓取分析,从而也达到攻击的目的.
(4)鉴别攻击(AuthenticationAttacks).由于TCP/IP协议还无法证明网络身份的真实有效性,因此黑客可以伪造他人合法身份入侵到网络系统或者获取密钥信息,从而达到攻击目的.
(5)ARP欺骗(AddressResolutionProtocolSpoofing).ARP即地址解析协议,作用是将网络中的IP地址转换成MAC物理地址的协议.因为在局域网中,尤其是在校园网中,使用最多的往往是MAC地址进行传输,而不是IP地址进行传输,所以ARP协议能够很快的让局域网中的两台主机进行通信.而黑客只需在局域网中进行网络监听,获取到一台主机A的节点信息(IP地址和MAC地址),就能伪造A的数据包,与B进行通信,获取有用信息.另一方面,黑客可以伪造一个不存在的MAC地址在局域网内传播,形成广播风暴,这样会造成网络不通,给局域网造成致命打击.
(6)DoS攻击(DenialofService).DoS攻击,即拒绝服务攻击,攻击者的目的是让目标主机或网络无法提供正常服务.因为TCP协议采用三次握手建立一次连接,而任何一次握手失败,则会重新发送.攻击者正是利用这一个协议漏洞,采取不断建立连接,然后丢弃该连接数据包,使得服务器处于等待状态,如果攻击者一直持续连接和丢弃的过程,则服务器和网络所有的资源会被完全消耗,导致计算机或网络无法正常工作,从而达到攻击目的.
(7)DDoS攻击(DistributedDenialofServ-ice).DDoS攻击,即分布式拒绝服务攻击,它是指攻击者借助一系列工具或手段,联合多个计算机组成攻击平台,对一个或数个目标发动DoS攻击.最基本的DoS是利用合法的服务请求,占用攻击目标主机大量服务资源,使得正常用户无法访问.然而DoS服务需要占用大量带宽,单个计算机攻击肯定无法达到攻击者想要的目标.因此网络黑客会抓取网络“肉鸡”,集合大量网络带宽,组成庞大的攻击平台,可以在瞬间让被攻击目标处于瘫痪状态.
(8)TCP序列号欺骗和攻击(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以伪造TCP序列号,形成一个TCP封包,对网络中可信节点进行攻击.而且最重要的是,黑客可能利用伪造的TCP封包发动SYN攻击,让服务器无法完成三次握手,造成服务器开放大量等待端口,影响正常网络访问,严重时,可直接造成服务器死机,如果该服务器是WEB服务器或者DNS服务器,那么可能导致网站主页无法链接或者校园网内部用户无法访问外部网络.
(9)ICMP攻击(InternetControlMessageProtocolAttacks).ICMP协议是Internet控制报文协议,它属于TCP/IP协议下的一个子协议,用于在IP主机和路由器之间传递控制消息.其中控制消息是指网络是否畅通、主机是否可连接、路由是否可用等一系列消息,它对数据传输有很重要的作用.而ICMP攻击是指利用操作系统ICMP的尺寸大小不得超过64KB这一规定,发动“PingofDeath”攻击,当主机ICMP数据包尺寸超过64KB时,主机会发生内存分配错误,导致TCP/IP堆栈崩溃,使得目标主机死机.虽然操作系统通过取消ICMP数据包大小限制来解决该漏洞,但是向目标主机发动持续、大规模的ICMP攻击,会消耗主机CPU、内存等资源,严重时也会导致目标主机瘫痪,无法提供正常服务.
2.2漏洞威胁
软件和操作系统是由程序员编写的,而在开发的过程中,多多少少会存在各种各样的漏洞问题,这些漏洞如果不能及时修复,将会对主机造成重大安全威胁.一旦该主机被攻破,同时也会给该主机处在的局域网中的其它机器造成威胁,情况严重时,甚至会造成整个网络瘫痪.近几年来,无论是Windows操作系统,还是Linux操作系统,的补丁数目一直持续增加.特别是Windows操作系统,在校园网内拥有的用户众多,如果没能及时修复各种漏洞,势必会影响整个校园网安全.
2.3病毒、木马威胁
近些年来,随着互联网的普及,网络上各种各样的开源软件繁多,有些开源软件打着免费的旗号,暗留后门或者对操作系统植入木马,稍不注意,就会对整个系统造成重大影响.同时,网络上黑客也会主动攻击,种植木马,抓取网络肉鸡,作为自己攻击的跳板,对互联网上其它的计算机造成严重威胁.
2.4初级黑客攻击
校园网因为自身局限性,其网络管理水平无法与企业相比,因此很容易受到网络上初级黑客的攻击,作为他们试手的目标.另外一方面,互联网出现的一系列黑客教程、黑客工具,这些教程和工具可以自由查阅和下载,加上很多黑客工具属于使用简单,这让许多初级黑客也能在一段时间内对网络造成严重的攻击.且根据心理学研究分析,很多普通攻击者往往有炫耀心理,即把校园网作为自己攻击的目标,以获取所谓的成功感,这让校园网增加更多的威胁.
3目前校园网网络建设中存在的主要安全问题
目前在校园网网络建设中主要存在的安全问题分为人为因素导致的安全问题和非人为因素导致的安全问题.
3.1人为因素导致的网络安全问题
3.1.1校园网用户数量庞大
校园网内用户量众多且处在同一个局域网中,同时,校园网内服务器数量也是别的局域网不能比拟的.用户量加上数目可观、功能强大的服务器,这些条件也吸引着互联网上众多黑客的攻击,因此存在着很大的安全隐患.
3.1.2校园网用户安全意识低
根据调查研究发现,校园网的用户大部分都安全意识不强,用户计算机整体水平偏低,有一部分校园网用户基本上不安装杀毒软件,也没能及时给系统打补丁,系统处于“裸奔”状态.这对于当今如此开放的互联网,将直接为黑客提供攻击目标.而且校园网用户极少学习相应的安全防范知识,在下载和使用软件时,基本上不考虑其风险性,这些都将会给黑客制造攻击机会,影响整个校园网安全[5].
3.1.3信息泄密
信息泄密是指将信息透漏给非授权用户,它在一定程度上破坏了计算机系统的保密性.目前,常见的信息泄密有:操作系统漏洞、流氓软件、网络监听、病毒、木马、业务流分析、网络钓鱼、电磁、物理入侵、射频截获、非法授权、计算机后门程序.
3.1.4拒绝服务攻击(DoS)
攻击者使用一切办法让被攻击计算机停止提供服务,让合法的信息或资源访问被拒绝或者严重推迟.常见的DoS攻击有:SYNFlood、IP欺骗、UDP洪水攻击、Ping洪流攻击等.
3.1.5完整性破坏
攻击者通过系统漏洞、病毒、木马、后门程序等方式破坏信息的完整性,使得信息乱码.
3.1.6网络滥用
由于授权的用户因操作或行为不当,导致网络滥用,从而导致网络安全威胁,例如非法外联、非法内联、设备滥用、业务滥用、移动风险等等.
3.2非人为因素导致的网络安全问题
网络安全除去人为因素外,很大一部分安全威胁来自安全工具和操作系统自身的局限性.其具体特征为:每一种安全工具(如:杀毒软件)都有其自身的应用范围和环境,同时安全工具受到人为因素、系统漏洞、程序BUG的影响,这些因素反而给攻击者带来了一定的便利.对于操作系统而言,没有绝对安全的操作系统,无论是微软的Windows系列操作系统,还是开源的Linux操作系统,都有存在后门或漏洞的可能.世界上没有绝对安全的操作系统,因此在搭建校园网时,要选择安全性尽可能高的操作系统,而且要随时提供校园网用户漏洞补丁下载,以及杀毒软件,保证用户系统安全性始终最高.由上所述,我们可以说网络安全问题绝大部分是由人为因素引起的.现在,国家也制定了相应的法律来保护网络安全,打击相应的网络犯罪活动.但是校园网作为一个庞大的用户群,如何防范这些网络犯罪活动显得尤为重要.我们不能等着整个网络被攻击导致瘫痪后再想着去防范,而是要在攻击之前做好准备工作,让校园网在安全中运行.
4加强校园网网络安全建设的对策和建议
加强校园网网络安全建设主要从以下几个方面来进行.
4.1应重视校园网网络的安全搭建
在校园网工程的建设中,网络系统的搭建是属于弱电工程,它的耐压值比较低.由此,在校园网工程的设计和建设中,一定要首先考虑人以及网络中物理设备的防火、防电以及防雷等安全问题;考虑网络中布线系统与通信线路、照明线路、动力线路、空气对流管道以及暖气管道之间的距离;考虑网络中物理电路的接地安全;考虑建设合理的防雷系统,保证建筑物、计算机以及其它物理设备的防雷[6].
4.2应加强校园网网络的安全维护技术
从技术层面来说,网络安全主要是由防火墙系统、入侵检测系统、病毒监测系统等多个安全组件组成,单独的一个组件是无法保证当前网络信息安全的.最早的网络安全技术是采用边界阈值控制法,即通过对网络边界的数据包进行监测,符合规定的数据包可通过,不符合规定的数据包就抛弃,这种方式在一定程度上能阻止对网络的入侵和攻击,但是不能有效防止网络攻击.目前,应用比较广泛的网络安全基本技术有:防火墙技术、防病毒技术、数据加密技术等.防火墙[7]指的是一个由硬件和软件混合组成的设备,用于将内部网络和外部网络隔离起来,建立一层安全保护屏障,它是一种隔离控制技术.常见的防火墙有包过滤技术、技术、状态监测技术等.相对于防火墙来说,防病毒技术将是从计算机网络内部进行防控,主要预防病毒程序、后门程序、网络监听等.目前采取比较多的防病毒手段是对系统进行监听,阻止不合规定进程.而且防病毒技术永远是滞后性的,即防病毒工具一直在病毒出现后才能组织.现在的防病毒技术和云平台技术结合,已经对病毒起到了一定的控制作用.相对前面两种技术来说,数据加密技术就比较灵活了.可以将用户的信息经过加密后,再在网络上传输,及时数据被黑客截获,没有有效的密钥,数据对黑客来说也只是一堆无效数据而已.在开放的互联网平台,数据加密能够有效的保证了用户的隐私以及数据的安全[8].
4.3应建立科学的校园网网络管理人员岗位职责
计算机网络安全绝大部分是人为因素引起的.因此在校园网搭建过程中,关于对计算机系统管理员的培训及管理,是校园网网络安全中最重要的一部分.一个不合理的操作,很有可能让整个网络系统瘫痪,因此必须建立健全管理规范,明确管理员责任和权利.同时,要记录管理员操作信息,当发现不合规定的记录时,可以及时分析,如果发现黑客入侵,则及时采取必要措施杜绝黑客进一步入侵,必要时需向当地公安机关报案,减少学校损失.另外一方面,建立健全的管理制度以及严格的管理模式,可以保证校园网的正常、安全运行.总而言之,网络安全涉及的领域很多,是一个综合性的问题.只有合理的运用相关技术以及人员培训,才能尽最大可能的把安全威胁降到最低.
论文关键词:科研网络信息;安全隐患;控制策略
1引言
随着计算机网络技术的普及,利用网络信息技术来改造传统科研管理模式已经成为一种历史潮流。由于计算机网络的互联性和开放性,在提供信息和检索信息的同时,也面临着一些安全隐患,科研信息一旦泄露,会给科研项目的实施带来致命的打击。因此,加强网络安全、防止信息泄露、修改和非法窃取已成为科研单位普及与应用网络迫切需要解决的问题,及时掌握和控制网络信息安全隐患是十分必要的。
2科研网络信息安全的概念和意义
2.1概念
科研网络信息安全主要包括以下两个方面的内容:①科研数据的完整性,即科研数据不发生损坏或丢失,具有完全的可靠性和准确性。②信息系统的安全性,防止故意冒充、窃取和损坏数据。
2.2意义
根据信息安全自身的特点以及科研的实际情况。
网络信息安全在科研单位的实施应该以信息安全技术做支撑,通过流程、审查和教育等的全面协同机制,形成一个适合科研管理的完整的信息安全体系,并依靠其自身的持续改进能力,始终同步支持科研项目发展对网络信息安全的要求。
3科研网络信息存在的安全隐患
3.1网络管理方面的问题
科研网络的信息化,由于覆盖面大、使用人员多以及资料、信息系统管理存在漏洞.有关人员缺乏保密意识,往往不能保证工作文稿、科研资料、学术论文等在网络上安全、正确、实时的传输和管理。
3.2外部威胁
网络具有方便、快捷的特点。但也面临着遭遇各种攻击的风险。各种病毒通过网络传播,致使网络性能下降,同时黑客也经常利用网络攻击服务器,窃取、破坏一些重要的信息,给网络系统带来严重的损失。
4科研网络信息安全的控制策略
4.1建立完善的网络信息管理体系
4.1.1制定并网络信息安全管理制度这是科研网络信息安全工作的指导准则,信息安全体系的建立也要以此为基础。
4.1.2建立网络信息安全管理组织这为网络信息安全体系的建立提供组织保障,也是网络信息安全实施的一个重要环节,没有一个强有力的管理体系,就不能保证信息安全按计划推进。
4.1.3加强网络信息保密审查工作坚持“谁公开、谁负责、谁审查”的原则,落实保密审查责任制,规范各科室、部门分工负责的保密审查制度,不断完善和细化保密审查的工作制度、工作程序、工作规范和工作要求。
4.2开展充分的信息安全教育
工作人员信息安全意识的高低,是一个科研单位信息安全体系是否能够最终成功实施的决定性因素,所以需要对员工进行充分的教育,提高其信息安全意识,保证信息安全实施的成效。
科研单位可以采取多种形式对工作人员开展信息安全教育,充分利用科研单位内部的舆论宣传手段,如观看警示教育片、保密知识培训、签订保密承诺书、保密专项检查等,并将工作人员的信息安全教育纳入绩效考核体系。
4.3选择合适的网络信息安全管理技术
网络信息安全管理技术作为信息安全体系的基础,在信息安全管理中起到基石的作用。
4.3.1设置密码保护设置密码的作用就是安全保护,主要是为了保证信息免遭窃取、泄露、破坏和修改等,常采用数据备份、访问控制、存取控制、用户识别、数据加密等安全措施。
4.3.2设置防火墙防火墙在某种意义上可以说是一种访问控制产品,它能强化安全策略,限制暴露用户点,它在内部网络与不安全的外部网络之间设置屏障,防止网络上的病毒、资源盗用等传播到网络内部,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。
4.3.3病毒防范和堵住操作系统本身的安全漏洞为了防止感染和传播病毒,计算机信息系统必须使用有安全专用产品销售许可证的计算机病毒防治产品。同时任何操作系统也都存在着安全漏洞问题,只要计算机接人网络,它就有可能受到被攻击的威胁,还必须完成一个给系统“打补丁”的工作,修补程序中的漏洞,以提高系统的性能。防止病毒的攻击。
4.3.4使用入侵检测技术人侵检测系统能够主动检查网络的易受攻击点和安全漏洞。并且通常能够先于人工探测到危险行为,是一种积极的动态安全检测防护技术,对防范网络恶意攻击及误操作提供了主动的实时保护。
4.4加强网络和移动存储介质的管理
网络系统的可用性是指计算机网络系统要随时随地能够为用户服务,要保障合法用户能够访问到想要浏览的网络信息,不会出现拒绝合法用户的服务要求和非合法用户滥用的现象。计算机网络系统最重要的功能就是为合法用户提供多方面的、随时随地的网络服务。
1.2完整性
网络系统的完整性是指网络信息在传输过程中不能因为任何原因,发生网络信掺入、重放、伪造、修改、删除等破坏现象[1],影响网络信息的完整性。通过信息攻击、网络病毒、人为攻击、误码、设备故障等原因都会造成网络信息完整性的破坏。
1.3保密性
网络系统的保密性是指网络系统要保证用户信息不能发生泄露,主要体现在网络系统的可用性和可靠性,是网络系统安全的重要指标。保密性不同于完整性,完整性强调的是网络信息不能被破坏,保密性是指防止网络信息的发生泄露[2]。
1.4真实性
网络系统的真实性是指网络用户对网络系统操作的不可抵赖性,任何用户都不能抵赖或者否定曾经对网络系统的承诺和操作。
1.5可靠性
网络系统的可靠性是指系统的安全稳定运行,网络系统要在一定的时间和条件下稳定的完成网络用户指定的任务和功能,网络系统的可靠性是网络安全最基本的要求。
1.6可控性
网络系统的可控性是指网络系统可以控制和调整网络信息传播方式和传播内容的能力,为了保障国家和广大人民的利益,为正常的社会管理秩序,网络系统管理者有必要对网络信息进行适当的监督和控制,避免外地侵犯和社会犯罪,维护网络安全。
2网络安全技术在校园网中的应用
2.1防火墙
防火墙是指管理校园网和外界互联网之间用户访问权限的软件和硬件的组合设备[3],防火墙处于校园网和外界互联网之间的通道中,能够有效地阻断来自外界的病毒和非法访问,能够有效地提高校园网的网络安全。防火墙可以有效拦截来自外界的不安全的访问服务,同时还可以对防火墙进行设置,屏蔽有危害、不健康的网络网站,降低校园网的安全危害。另外防火墙还可以有效地监控用户对校园网的访问,记录用户的访问记录,保存到网络数据库中,可以快速统计校园网的使用情况,在分析用户访问记录如果发现用户的操作存在安全问题,防火墙可以及时发出报警信号,提醒用户的这个非法操作,防止校园网内部信息的泄露、另外,防火墙可以和NAT技术高效地结合起来,用于隐藏校园网的网络结构信息,提高校园网的安全系数,同时防火墙和NAT技术的高效结合很好地解决了校园网IP不足的情况,提高了校园网的运行效率。防火墙在校园网中的应用,完善了校园网内部的网络隔断,即使校园网发生安全问题,也可以在短时间内控制问题扩散的速度和范围。防火墙在校园网中发挥着重要的作用,能够有效地阻断来自外界互联网的安全侵害,但是防火墙不能阻止校园网内部的安全问题,不能拒绝和控制校园网内部的感染病毒。
2.2VPN技术
VPN技术在校园网的应用,通过VPN设备将校内局域网和外部的互联网连接起来,可以提高校园网的数据安全。VPN服务器经过设置后,只有符合相应条件的用户经过连接VPN服务器才能获得访问特定网络信息的权限,拒绝校园网内用户的危险操作。VPN技术可以实现用户验证,通过验证校内网用户的身份,只有符合条件的授权用户才能连接到VPN服务器,进行相关访问。其次实现校园网数据加密,VPN技术可以将通过互联网通道传输的数据进行加密,只有经过授权的用户才能访问这些信息。再次实现校园网密钥管理,通过生成校园网和互联网的基本协议,提高校园网的可靠性。并且VPN技术在校园网中的应用不需要安装VPN的客户端设备,降低了校园网安全管理的成本。通过VPN技术,校园网络管理员可以对校园网内用户的操作进行实时监控,及时发现校园网络故障点,进行远程维护,提高校园网维护管理能力。
2.3入侵检测技术
入侵检测技术在校园网中的应用,可以检测校园网络中一些不安全的网络操作行为,一旦检测到网络系统中的一些异常现象和未授权的网络操作,就会发出网络报警信号。入侵检测技术可以自动分析校园网络的用户活动,检测出校园网中授权用户的非法使用和未授权用户的越权使用[4]。入侵检测技术还可以监控校园网络系统的配置情况,检测出系统安全漏洞,提醒校园网络管理人员及时进行维护。另外,入侵检测技术在识别网络攻击和网络威胁方面具有重要的作用,可以及时发出报警信号,并且拒绝和处理网络攻击入侵行为,结合发现的网络攻击模式,检测校园网系统结构是否存在安全漏洞,提高校园网的数据完整性,进行系统评估。
2.4访问控制技术
访问控制技术主要是用来控制校园网用户的非法访问和非法操作,用户想要进入校园网,首先要通过访问控制,经过验证识别用用户口令、户名、密码等,确定该用户是否具有访问校园网的权限,当用户进入校园网后,就会赋予用户访问操作权限,使校园网络资源不会被未授权用户非法使用和非法访问。
2.5网络数据恢复和备份技术
校园网中的网络数据恢复和备份技术,可以防止校园网信息数据丢失,保护校园网重要信息资源。网络数据恢复和备份技术可以实现集中式的网络信息资源管理,对整个校园网系统中的信息资源进行备份管理,可以极大地提高校园网管理员的工作效率,实现网络资源的统一管理,利用网络备份设备实时监控校园网络中的备份作业,结合校园网的运行情况,及时修改网络备份策略[5],提高系统备份效率。校园网管理员可以利用网络数据恢复和备份技术,定时对网络数据库中的数据进行备份,这是网络管理重要环节。校园网的备份系统可以在用户进行校园网访问时,建立在线网络索引,当用户需要恢复网络信息时,通过在线网络索引中的备份系统就可以自动恢复网络数据文件。网络数据恢复和备份技术实现了校园网络的归档管理,通过时间定期和项目管理对网络信息数据进行归档管理,在网络环境建立统一的数据备份和储存格式,使所有网络信息数据在统一格式中完成长时间的保存[6]。
2.6灾难恢复技术
校园网中的灾难恢复主要包括两类:个别数据文件的恢复和所有信息数据的恢复。当校园网中的个别数据文件恢复可以利用网络中备份系统完成个别受损数据文件的恢复,校园网络管理员可以浏览目录或者数据库,触动受损数据文件的恢复功能,系统会自动加载存储软件,恢复受损文件。所有信息数据的恢复主要应用在当发生意外灾难时导致整个校园网系统重组、系统升级、系统崩溃和信息数据丢失等情况。
1.1操作系统安全
操作系统是一种支撑性软件,为其他应用软件的应用提供一个运行的环境,并具有多方面的管理功能,一旦操作软件在开发设计的时候存在漏洞的时候就会给网络安全留下隐患。操作系统是由多个管理模块组成的,每个模块都有自己的程序,因此也会存在缺陷问题;操作系统都会有后门程序以备程序来修改程序设计的不足,但正是后门程序可以绕过安全控制而获取对程序或系统的访问权的设计,从而给黑客的入侵攻击提供了入口;操作系统的远程调用功能,远程调用可以提交程序给远程服务器执行,如果中间通讯环节被黑客监控,就会出现网络安全问题。
1.2数据库安全
数据库相关软件开发时遗漏的弊端,影响数据库的自我防护水平,比如最高权限被随意使用、平台漏洞、审计记录不全、协议漏洞、验证不足、备份数据暴露等等。另外,数据库访问者经常出现的使用安全问题也会导致网络安全隐患,比如数据输入错误、有意蓄谋破坏数据库、绕过管理策略非法访问数据库、未经授权任意修改删除数据库信息。
1.3防火墙安全
作为保护计算机网络安全的重要系统软件,防火墙能够阻挡来自外界的网络攻击,过滤掉一些网络病毒,但是部署了防火墙并不表示网络的绝对安全,防火墙只对来自外部网络的数据进行过滤,对局域网内部的破坏,防火墙是不起任何防范作用的。防火墙对外部数据的过滤是按照一定规则进行的,如果有网络攻击模式不在防火墙的过滤规则之内,防火墙也是不起作用的,特别是在当今网络安全漏洞百出的今天,更需要常常更新防火墙的安全策略。
2计算机网络系统安全软件开发建议
基于计算机网络系统的安全问题,为保护计算机网络用户和应用系统的安全,我们需要分别研讨入侵防护软件、数据库备份与容灾软件、病毒防护软件、虚拟局域网保护软件等。
2.1入侵防护软件
入侵防护软件设置于防火墙后面,主要功能是检查计算机网络运行时的系统状况,同时将运行状况等记录下来,检测当前的网络运行状况,尤其是网络的流量,可结合设定好的过滤规则来对网络上的流量或内容进行监控,出现异常情况时会发出预警信号,它还可以协助防火墙和路由器的工作。该软件的最大有点是当有病毒发生攻击之前就可以实时捕捉网络数据、检测可以数据,并及时发出预警信号,收集黑客入侵行为的信息,记录整个入侵事件的过程,而且还可以追踪到发生入侵行为的具置,从而增强系统的防护入侵能力。
2.2数据备份和容灾软件
数据备份和容灾软件,可以安全备份需保护数据的安全性,在国外已经被广泛应用,但是在国内却没有被得到重视。数据备份和容灾软件要求将RAID技术安装到操作系统,将主硬盘文件备份到从硬盘;移动介质和光盘备份,计算机内的数据会随着使用的时间发生意外损坏或破坏,采用移动介质和光盘可以将数据拷贝出来进行存储;磁盘阵列贮存法,可大大提高系统的安全性能和稳定性能。随着储存、备份和容灾软件的相互结合,将来会构成一体化的数据容灾备份储存系统,并进行数据加密。
2.3病毒防护软件
随着计算机网络被广泛的应用,网络病毒类型越来越多,由于计算机网络的连通性,一旦感染病毒则会呈现快速的传播速度,波及面也广,而且计算机病毒的传播途径也日趋多样化,因此,需要开发完善的病毒防护软件,防范计算机网络病毒。首先是分析病毒传播规律和危害性,开发相对应的杀毒软件,并在规定时间内扫描系统指定位置及更新病毒库;其次是安装防毒墙软件,传统的防火墙利用IP控制的方式,来禁止病毒和黑客的入侵,难以对实时监测网络系统情况,而防毒墙则可以在网络入口(即网关处)对病毒进行过滤,防止病毒扩散。最后是更各系统补丁,以提高系统的操作水平和应用能力,同时预防病毒利用系统漏洞入侵计算机。
2.4虚拟局域网软件
采用虚拟局域网软件,可以将不同需求的用户隔离开来,并划分到不同的VLAN,采用这种做法可以提高计算机网络的安全性。具体做法是从逻辑上将计算机网络分为一个个的子网,并将这些子网相互隔离,一旦发生入侵事故也不会导致网内上“广播风暴”的发生。结合子网的控制访问需求,将访问控制列表设置在各个子网中间,以形成对具体方向访问的允许条件、限制条件等,从而达到保护各个子网的目的。同时,把MAC地址和静态IP地址上网的计算机或相关设备进行绑定,这样就可以有效防止静态IP地址或是MAC地址被盗用的问题出现。
2.5服务器安全软件
服务器系统安全软件分为两种,一种是系统软件,另外一种为应用软件。计算机网络在配置服务器系统软件时要充分考虑到它的承受能力和安全功能性,承受能力是指安全设计、减少攻击面、编程;安全功能涵盖各种安全协议程序,并基于自身的使用需求,及时更新操作系统;服务器应用软件的应用,要求考虑软件在稳定性、可靠、安全等方面的性能,以避免带入病毒,并定期及时更新。
在医院发展过程中,有时会侧重于硬件设施及应用层面的投入,对计算机网络安全管理问题重视不够。计算机网络安全管理制度体系的不健全,操作规程及职责的不明确,也会导致在医院信息管理系统运行中出现网络安全问题。
2使用者自身信息安全意识不强
由于医务工作者自身因素,并没有经过网络安全理论知识与技术的专业培训,网络安全意识相对较薄弱。在医院局域网内,工作站计算机未配置光驱并禁止USB端口,极个别员工将自己的光驱连接到计算机上,安装并传输一些未经检测并可能携带病毒的文件。网络中其他客户端计算机可以通过网络共享下载使用该文件,从而导致计算机网络安全事件的发生。与此同时,使用人员存在一定的侥幸依赖心理,认为出现问题也有专人来解决与维护,忽视计算机网络安全问题,使得对网络的监管、检查、维护困难重重。
3计算机病毒的威胁日益严重
随着网络资源的不断发展而来的是日渐繁多的网络病毒,随着计算机病毒的不断扩散,对医院计算机网络安全工作的进行带来很大的阻扰。由于对网络安全管理及维护的投入较小,网络安全管理技术的相对滞后等原因,导致无法对新型病毒采取相应的有效的预防及应对措施,结果轻者导致占用存储空间,影响系统效率,重者破坏数据完整性,甚至导致整个系统瘫痪。
二加强计算机网络安全保护的相关建议
1完善计算机网络安全管理制度
网络安全管理依赖于安全有效的技术措施的同时,也需要有严格的制度保障其实现。在日常工作中需要不断建立及完善网络安全管理制度、操作规程及职责,明确计算机网络管理员及操作人员的工作规范及职责,各工作站的操作规范,建立合适的奖惩机制,做到计算机网络安全制度化管理,认真做好落实和监督工作。
2保障做好岗前培训工作
专业技术人员需制定详细的岗前培训工作计划,对医务工作人员进行规范化培训,使其能明确掌握计算机软硬件基础知识及操作技能、医疗工作中的操作规范及流程,了解计算机网络安全知识。培训人员可以由各科室进行推荐,先组织较年轻,接受力、理解力较强的工作人员先进行培训,以起到示范带教作用,之后再分批次对各科室人员进行整体培训,以达到各部门全科室普及的效果。随着医院规模的不断发展和扩大,医院网络功能应用的不断增加,人员的不断变化,对操作人员的培训是一个需要长期坚持不间断的过程,需要专业技术人员提前规划,落实工作。
3计算机网络硬件管理
对于医院计算机网络而言,服务器的安全在网络安全中处于最核心地位。因此,应当遵循对于机房环境建设的国家规范,建立良好的机房环境,同时也应有严格保障的UPS电源,避免因断电而造成的数据丢失。同时也应对网络各组成硬件,如网线、路由器、集线器、交换机等连接设备制定详细的日常维护计划,并做好工作日志记录,做好值班记录,做到维护管理程序化、规范化,保障医院网络的正常运转。
4提高网络安全软件技术水平
若从资金的角度考虑,在未能投入大量网络安全硬件辅助设备的前提下,加强网络安全软件的技术水平不失为一种行之有效的手段。可以采取的措施有:加强防火墙控制。防火墙技术是防范外部网络攻击的有效途径,在日常工作中,加强防火墙控制,提高医院计算机网络网络防火墙的技术水平,是避免外部非法入侵的有效手段。但因其不能防范来自网络内部的攻击,作为辅助手段,可以适当采用入侵检测手段,加强对系统运行安全的监控。防毒墙(网络版)的使用。防毒墙(网络版)可以对文件系统进行实时扫描,以保护终端客户机和网络服务器不受病毒/恶意软件、间谍软件/灰色软件等威胁攻击的危害,而基于Web的管理控制台可以轻松的在每台终端机和服务器上设置协同的安全策略和部署自动更新。
5网络隔离措施
在有条件的情况下,可以采取将内网与外网独立设置的策略,从物理层面上将医院内部网络与外部网络进行隔离,避免来自外部网络的攻击,同时对连接外网的计算机进行严格控制,以保障医疗信息的安全。内网可通过交换机划分VLAN将整个网络分为若干不同的广播域,实现网络中不同网段的物理隔离,防止影响一个网段的问题对整个网络造成影响。
6访问控制
访问控制是网络安全防范和保护的最主要策略,要严格控制工作站子系统使用人员的授权,在保障日常工作正常运行的前提下,尽量减少其授权。对于工作中确实需要授予特权的情况下,尽量控制授权人数,如科主任和护士长,便于管理,有利于出现问题时查找责任。同时做好用户登录口令管理,杜绝共有、共知用户口令的现象,确保发生问题时可以顺利查找责任人。
7数据库备份与恢复
为防止因意外而导致的信息丢失和网络瘫痪,数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。
2计算机网络安全的影响因素
2.1计算机网络硬件的配置不科学
文件服务器作为计算机网络的的传输中心,是决定计算机系统稳定性的关键因素。在实际的计算机网络运营中,服务器并没有同计算机网络的运行需求相配合,在结构设计等方面未形成完备的计划,影响了计算机网络性能的延展性,使文件服务器功能的发挥上大打折扣。
2.2欠缺健全的管理制度
计算机的管理是规范计算机正常运行的重要制度保证,但是很多计算机网络应用系统的管理力度不够,缺乏对计算机管理的有效控制,影响计算机的正常秩序。
2.3计算机安全意识不足
在计算机系统内会有无数的节点,各个节点都有可能导致计算机数据泄露。加之防火墙配置上并未对访问权限有严格的规范,使得计算机的访问权限的访问范围不段扩大,容易被不法分子滥用窃取计算机内的重要数据信息。
3确保计算机网络安全的应对措施
3.1制定合理的网络系统结构
计算机网络安全需要依靠合理的网络系统设计,网络系统的结构是影响计算机网络安全的重要因素。所以应该形成完备的计算机网络系统结构,在不断地运行中积极寻找更好的计算机网络运行的规划设计。但同时要重点注意局域网的运行,因为局域网的技术应用是以广播为媒介的网络,系统中的任何两点会形成基础的通信数据,被存在于这两点的网卡所接收,当然数据的传输过程中还有可能受到系统内任意一点网卡的干扰,截取相关信息。可见,计算机网络的不安全因素随时存在,只要将相关的窃听装置安装于任何一点便可盗取相关数据信息,严重威胁着计算机网络的安全运行。
3.2强化对计算机网络的系统管理
如何有效对计算机网络的不安全因素进行控制,需要加强对其的管理控制。通过建立健全安全管理体制,切实提高计算机网络的安全管理水平。坚决杜绝计算机的非法用户接触计算机或者进入计算机控制室恶意破坏计算机的行为。在硬件设备的保护上,要重点打击破坏计算机的非法行为,尤其是要特别注意计算机网络服务器、打印机、路由器等设备设施上。同时要保证计算机室内的运行环境符合计算机运行的要求条件,例如室内温度、湿度、清洁情况、插座电源等要定期检查,确保能正常工作。
3.3安装计算机杀毒软件
时代的不断发展,促使计算机病毒也在不断地更新,一旦发生计算机网络病毒就会导致计算机网络系统的全部瘫痪,给计算机造成无法挽回的后果。而杀毒软件可以说是计算机病毒的克星,可以有效地防止计算机病毒的侵袭,保护计算机系统不受到病毒的威胁。所以在计算机网络的安全防护中要运用好杀毒软件的作用,在计算机内安装杀毒软件,进行系统定期的病毒查杀。但是很多计算机用户对计算机病毒的认识不够,认为计算机病毒只需要注重感染后的及时杀毒便可以,殊不知病毒最重要的是要“防”。在病毒发生之后,被动进行计算机病毒的查杀的行为只能暂时消灭病毒,而不能从根本上进行查杀,具有一定的局限性。另外,计算机病毒的特性促使其变化多样,所以一定要安装计算机病毒杀毒软件,及时发现计算内潜在的病毒并进行彻底的消除。同时,要定期对计算机进行全面杀毒,确保计算机的软件和硬件设备能正常工作。
3.4实施防火墙
近几年来,防火墙的应用越来越受到人们的关注。是近几年发展起来的一种保护计算机网络安全措施,可以有效地控制信息进出,是保护信息安全最基本的安全防护措施之一。防火墙可以真正组织非法用户入侵计算机系统,在逐步提高安全性的同时将有害的信息进行过滤,提高安全等级。防火墙的工作原理很简单,将所有的密码、口令信息都记录在防火墙上,另外对计算机系统的访问都要经过防火墙的审核。如果发现有不当的地方应该及时指出并同工作人员进行沟通解决。
3.5实施数据加密保护
数据加密是在计算机病毒防护中运营比较灵活的策略,在开放性的网络里应用最为广泛,最主要的作用是保护计算机内的数据信息,例如文件、数字等信息免遭病毒的破坏。在使用计算机时,一定要特别注意密码的保护功能,针对不同的需求进行不同密码的设置。在设置密码时要遵循一定的原则:首先尽量不要使用同一个密码,避免因一个密码的丢失而造成所有隐私的泄露。其次,在设置密码时最大程度加大密码设置的繁琐程度,包含数字、字母、标点符合等多种形式,加大破解密码的难度。最后一定不要在登录时点击记住密码功能,这样会给不法分子趁机盗取重要信息造成可乘之机,导致严重的后果发生。
3.6严格控制网络权限
并不是所有的人都可以无限制的进行计算机系统的使用,只允许一部分人有访问和使用计算机网络的权限。这样可以极大地加强计算机系统的保密性,设置重重障碍阻止不法之徒闯入计算机网络系统当中,破坏计算机的正常运行。只有具有规定权限的人员才可以被允许有计算机网络访问的权限。在进行访问时,最先有相应的用户名和密码,只有输入正确服务器才会显示下一步的访问操作,申请访问的人员在经过计算机的审查后方可进入计算机应用系统中。在这过程中,如果反复使用密码但均错误的时候,则被视为非法入侵,随之会有警报进行预警,计算机系统会迅速调整运作程序,阻止不利因素的破坏。
