时间:2022-12-04 04:50:49
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全保障措施范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
0 引言
目前,计算机网络技术的应用日趋广泛,但网络信息安全还存在很多问题,网络安全工作明显滞后于网络建设。网络安全问题容易造成信息泄露等问题,造成了信息安全的问题,严重的影响了各方面的发展和安全,这就需要从多方面综合研究信息安全问题,不断研发解决措施,真正实现计算机网络的安全有效的应用。
1 我国信息安全技术中存在的问题
1.1信息安全制度上 目前来说我国颁布了一些关于信息安全的法律法规以及出台了一些相关政府文件,例如,《网络信息安全不同等级保护措施》、《国家安全法》、《互联网络信息电子签名法》等。这些法律条例对于计算机网络的应用以及安全有一定的约束和保护,但是从全方面来看,很多条例知识针对网络信息内容进行了规范,整体上来说较为分散,没有一个统一的概述和规划,国家出台了一些规划措施,但是由于互联网安全问题的不断发展,时代的变化造成规划内容并不够明确,这些问题给网络信息安全技术带来了一定的隐患。
1.2 信息安全技术上
1.2.1 我国信息化建设发展速度很快,但是由于发展较晚,发展时间较短,这就造成我国的信息化建设缺乏自主研发的计算机网络软硬件的信息技术,很多软件都依赖国外的进口,这就造成网络安全的巨大隐患和脆弱状态。
1.2.2 在信息网络的应用中长期存在着病毒感染的隐患,虽然网络技术也在不断的发展,但是病毒也在不断改善,现代病毒能够通过多种突进进行传播和蔓延,例如,文件、网页、邮件等,这些病毒具有自启功能,能够直接潜入核心系统和内存,造成计算机网络数据传输出现问题,严重的甚至出现系统瘫痪。
1.2.3 在网络安全工作中,信息在网络中的传输具有可靠性低等特点,这就容易造成信息在网络系统易被破解和搜索。
1.2.4 网络中没有进行保护措施的电脑很容易受到潜在的威胁,威胁有很多方式,来自于网络的内部和外部等,木马病毒的入侵、硬盘数据被修改等都容易造成网络安全的问题。
1.3 信息安全意识上 在网络技术的不断发展中,我们更多注重的是网络基础设施的建设,但是相关的管理和安全工作却没有跟上,对于网络安全的投资和重视都严重不够,一旦安全上出现了隐患或者问题没有科学有效的措施进行及时的补救,甚至需要采取关闭网络等方式解决,造成了问题的严重化而不能真正有效的解决,在整个网络运行过程中,缺乏行之有效的安全检查和应对保护制度。
2 我国信息安全保障措施
2.1 制度上完善 为了保证网络信息安全发展就需要制定相关的政策,保证每个行为都有据可依有法可循,由于网络信息发展更新较快,这就需要对规范要求也及时跟新,保证制度上的完善,为网络信息安全技术提供法律基础。
2.2 技术上提高
2.2.1 数据加密技术。目前来说数据操作系统安全等级分为D1,Cl,C2,B1,B2, B3,A级,安全等级由低到高。在安全等级的应用上,使用C2级操作系统时要尽量使用配套相关级别,对于极端重要的系统要使用B级或者A级的保护。
2.2.2 防火墙和防病毒软件。防火墙和防病毒软件是常用的一种安全防护措施,能够对病毒实时进行扫描和检测,在清毒过程中由被动转为主动,对文件、内存以及网页等进行实时监控手段,一旦发现异常及时进行处理,防火墙则是防病毒软件和硬件的共同作用,利用防火墙本身内外网之间的安全网关对数据进行有效的过滤和筛选,控制其是否能够进行转发,另外防火墙还能够对信息的流向进行控制,提供网络使用状况和流量的审计、隐藏内部IP地址及网络结构的细节。它还可以帮助系统进行有效的网络安全隔离,通过安全过滤规则严格控制外网用户非法访问,并只打开必须的服务,防范外部的拒绝服务攻击。
2.2.3 使用安全路由器。安全路由器的使用能对单位内外部网络的互联、流量以及信息安全进行有效的安全维护,建设虚拟专用网是在区域网中将若干个区域网络实体利用隧道技术连接成各虚拟的独立网络,网络中的数据利用加/解密算法进行加密封装后,通过虚拟的公网隧道在各网络实体间传输,从而防止未授权用户窃取、篡改信息。
2.2.4 安装入侵检测系统。在安全防御体系中,入侵检测能力是一项重要的衡量因素,入侵检测系统包括入侵检测的软件和硬件,入侵检测系统能够弥补网络防火墙的静态防御漏洞,能够对内部攻击、外物攻击以及误操作等进行实时的防护和拦截,一旦计算机网络出现安全问题,入侵系统能够及时进行处理和完善,消除威胁。并且一种新型的网络诱骗系统能够对入侵者进行诱骗,通过构建一个环境真实的模拟网络,诱骗入侵者进行攻击,一旦攻击实施就能及时进行定位和控制,从而保护实际运行网络系统的安全,同时在虚拟网络中还能够获取入侵者的信息,从而为入侵行为提供证据,实现对入侵行为的打击。
2.3 意识上重视 首先对于思想的强化和加强是安全管理工作的基础,只有人的思想得到了充分的重视才能够对网络安全技术有所提高,参与人员必须熟悉相关规范要求,增强保密意识,真正的实现保密安全环境的优化。制度上要严格控制,设立专门的安全管理机构,实现专人专责,从而保证安全管理的问题。最后在这个信息化的时代,人才是重要的生产力,我们必须重视网络信息安全的人才培养,保障网络人员的高技术高素质,实现网络信息技术的安全。
3 结论
综上所述,信息安全对于一个国家的社会经济发展以及文化安全等方面都十分重要。这就需要我们充分重视信息安全问题,提高信息安全技术,针对不同的问题相应解决,实现我国信息安全制度的顺利运行。
参考文献:
网络通信技术的应用是时代的一次变革,引领经济发展进入信息化时代,将传统的信息通过网络通信既可以完成,打破了以往的时空界限,有效的提高了信息交流的效率。网络通信技术的发展,推动了很多行业进行了改革,在经营理念以及经营方式方面都有不同程度的变革,为行业的发展创造了新的局面。网络通信中的信息安全始终是信息化中的重要问题,因为大多数企业都已经实行了网上办公,企业中很多重要的信息都可能会面临安全问题,一旦企业的核心机密外泄,将会对企业的发展造成巨大的损失。所以建立网络通信信息安全保障体系是信息化时代背景下的重要举措,也是应对信息安全问题的重要保障。
1网络通信中信息安全的重要性
网络具有开放性和包容性的特点,任何一个用户都可以参与到网络中来,由此为一些别有用心的提供了可乘之机,为了自己的利益就会通过各种恶意的攻击手段非法获取企业的重要信息,由此对企业造成难以想象的损害。信息安全问题的产生原因有很多种,由于企业内部网络结构不合理,自身的安全防御能力较低,以及企业内部信息安全管理人员水平不高,或者企业内部的信息安全管理工作不到位等等,都为不法分子创造了机会。而如果网络黑客对网络信息进行恶意修改或者删除等行为,根据网络信息的性质不同,所产生的危害程度也不相同。在网络通信技术高度发达的现代化社会,企业间利用网络通信技术已经实现了跨区域的信息交流,并且随着网络技术的逐步扩展,参与到网络中的信息来源就越多,不仅关系到企业的发展,同时还有政府的电子政务公开、个企事业单位的办公平台以及国家各级政府的内部信息等,都会面临信息安全的威胁。所以根据信息机密程度的不同,应该相应的提高信息安全防范措施,另一方面也应该对威胁信息安全的行为以及操作者给予严厉的打击,为净化网络环境提供有利的条件。
2网络通信中信息安全存在的问题
2.1本身结构不合理
网络通信的数据交换是以网际间技术为支撑,立足于TCP/IP协议的用户。想要得到远程授权,必须在互联网上进行注册,而注册则需用TCP/IP协议的方式,这一协议本身存在结构上的问题,之所以会有网络间漏洞的产生,就源于这种树状的通讯形式。黑客和病毒会趁机对网络进行攻击,窃取窃听网络信息,对网络通信中的信息安全产生严重的影响。
2.2网络通信软件有漏洞
目前,人们所使用的基础性的和商务软件基本都是开放的公开性的,人们在软件设计的同时不可避免的会存在一些漏洞,所以时常会有一些补丁程序来修复软件,但也会有不及时修复漏洞的时候,一些不法分子就会利用这些软件漏洞,在网络通信过程中直接侵入网络系统,使网络通讯信息出现丢失和破坏,使整个通讯网络受到威胁。
2.3网络通讯系统不完善
网络通讯系统很容易受到不法分子人为的攻击,信息泄露的很大一部分原因是因为操作系统出现漏洞,一旦出现漏洞,觊觎网络资源已久的不法分子就会趁虚而入,对计算机系统的终端进行攻击,获取非法经济利益。
3网络通信中信息安全的保障策略
3.1加强通信协议
TCP/IP的安全一般情况下,不法分子对网络系统进行攻击时主要采用获取用户IP的方式,因此要重点保护IP地址,TCP/IP结构的第二层是交换机,信息的传递必须要经过交换机,加强对交换机的控制就能有效的保护IP地址。另外一个保护用户IP地址的有效方法是对路由器进行隔离控制,对来访的IP地址进行有效的监控,发现可疑的非法的IP立即终止其访问,断绝了不法分子的非法入侵过程,有效的保护了IP地址的安全。
3.2运用用户识别技术
用户识别技术主要包括口令和用户名密码的形式,通过身份验证来对用户进行识别,为用户个人的信息安全提供一定的保障。口令是用于用户识别的基本方法,在进行计算机操作时,会随机生成一种口令,因为具有随机性,所以安全程度较高,不容易泄漏,可以有效的提高保密性,但是其缺点就是不利于记忆。用户名密码是人们比较常用的一项用户识别技术,用户需要同时将用户名和密码输入正确,才能够获取访问权限,因为两项加密技术,所以对于一般性的信息还是具有较强的保密性。这类技术通常也应用于企业内部各种公共信息的管理,按照信息价值的不同,将信息分成不同的级别,每个级别都设置不同的用户名密码,只有相应权限的人才能够掌握用户名密码进行访问,在一定程度上保证企业内部信息的安全。
3.3加强对计算机病毒的防范
一些计算机病毒会对系统漏进行攻击,也可以潜伏占用内存,计算病毒的种类繁多,而且发展迅猛,它依附于一些文件、电子邮件进行传播,打开文件邮件的同时病毒就植入了你的电脑。安装一些有效的病毒查杀软件,并且软件具有在线升级服务,病毒的厂商还要随时关注病毒动态一些补丁,还要手动对一些可疑文件进行在线监测,对网络邮件不要轻易打开对其进行实时监控。做到有效防止病毒的侵入。
3.4建立完善的防火墙系统
防火墙是客户端普遍采用的方法,它可以检测数据流,进而限制穿越防火墙的数据流,有效的屏蔽外部网络对用户的窃听,保护个人的信息不丢失,达到有效保护的目的。建立一个牢固的防火墙,需要不时的更新扫描病毒的各项插件,防止病毒的恶意入侵时刻监视着病毒,将其阻挡在防火墙之外,才能更好地保障网络通信中的信息安全。
4结束语
随着网路通信技术的普及,已经广泛的应用于人们的工作和生活中,网络是一个虚拟的空间,但是其中也涵盖了大量的重要信息,包括个人信息、企业信息、政府信息等等,而在这种开放性的网络环境下,如何管理信息安全是一个重要的问题。一旦网络信息出现安全问题,将会对个人隐私、企业机密以及政府核心信息等造成严重的威胁,不仅对个体和团体造成影响,同时也不利于社会的稳定。所以应该加强网络通信信息安全治理,让网络通信为社会的发展创造更多的利益,尽量降低因为信息安全而带来的负面影响,共同打造一个健康的网络环境。
作者:范生平 单位:武警天津总队四支队网络管理站
参考文献:
计算机的普及,计算机网络技术的广泛应用,导致网络信息安全方面存在很多问题,网络安全明显跟不上网络建设的步伐。网络安全问题致使信息出现泄漏,引发信息安全问题,严重影响到各个方面的发展,这时就需要我们从多角度去分析研究信息安全问题,从而提出解决之策,真正意义上实现计算机网络的安全高效应用。
一、现阶段我国网络信息安全技术问题
从现阶段我国网络信息安全技术法律法规文献方面来说,尽管国家颁布了相应法律以及政府出台了相关文件,这些法律条文对计算机网络应用和安全方面具有一定的约束以及保护力,但是整体上来看,这些条文对网络信息内容规范的较为分散,没有一个系统的规划,尽管国家出台了相应规划措施,但是由于信息技术的不断发展,计算机网络安全问题层出不穷,这就给网络信息安全技术提出了一大难题[1]。我国信息化建设尽管发展迅猛,但是由于发展较晚且时间短,在计算机网络软硬件的信息技术上依赖于进口,这就对造成网络信息安全隐患。信息网络应用中长期存在病毒问题,随着技术发展,病毒本身也在不断发展完善,现阶段的病毒通过多种途径进行蔓延,它们一般都具有自启功能,一旦侵入直达核心系统和文件,造成数据传输问题,甚至出现系统崩溃。信息在传输中安全性低,这就造成信息在传输中极易被破译和搜索。很多电脑在网络中没有保护措施,这就很容易受到内部或者外部威胁的入侵,造成网络安全问题[2]。网络技术发展中,人们的眼光聚焦在基础设施建设上,对于网络安全建设重视度不够,一旦安全出现问题,没有有效科学的补救措施,有时甚至采取关闭网络的方式解决问题,加剧了问题的严重程度。
二、保障网络信息安全的技术措施
2.1政府法律制度上的完善网络信息安全的发展需要政府法律制度的支持,从而保证每个行为都能有法律参考,同时要确保对法律法规进行及时更新以及,从而确保法律制度的完善,为网络信息安全提供法律保护。2.2安全技术上的不断提高2.2.1计算机数据操作安全应用现阶段的数据操作安全应用上,对于C2级别操作系统使用时,要尽量保证相关配套的使用,对于特别重要的系统要应用A级别系统保护。2.2.2计算机网络信息安全防护措施网络信息安全防护措施中最常见的就是防火墙和防病毒软件,它们能对病毒进行实时扫描和检测,在清理病毒过程中,主动进行病毒防御清扫工作,对电脑内文件、内存和网页信息进行实时监控,一旦发现异常情况可以及时采取手段进行处理,防火墙是防病毒软件和硬件共同合作的产物,它通过防火墙自身内外网之间的安全网关对流通的数据进行实时有效的过滤和选择,控制信息是否能够安全进行转发,同时防火墙可以控制信息的流向,并对网络使用情况以及流量使用状况进行审计,隐藏网络内部IP地址等作用[3]。防火墙的使用,有效的帮助电脑系统进行网络安全隔离,利用网络信息安全过滤规则对外网用户进行非法访问设置,同时只开启必须的网络服务功能,对外部的服务进行防范攻击,保证网络信息的安全使用同时为网络信息安全使用创造大环境。2.2.3企业单位安全路由器的使用企业单位内外部网络的连接、流量使用和网络信息安全都需要安全路由器设备的使用来实现有效的网络信息安全防护工作。2.2.4计算机网络信息安全防御体系网络信息安全防御体系中,病毒入侵检测能力是判断安全防御体系的重要因素。电脑入侵检测系统由入侵检测软件和硬件两方面组成,它能对网络防火墙静态防御漏洞进行弥补,同时可以拦截电脑内部以及外部的攻击,并对错误操作等行为进行防护,一旦检测到计算机网络安全问题,电脑入侵系统就会及时反映并处理问题,消除安全威胁。目前研制出的一种新型网络入侵诱骗系统,通过真实环境的虚拟网络系统对入侵者实施诱骗,诱导入侵者进攻,以方便获取入侵者定位信息,同时对其进行控制,这种方式有效的保护了真实网络系统的安全[4],通过对入侵者定位信息的搜集,有力的打击了入侵犯罪行为。
三、结束语
信息安全无论是对于个人还是国家都是十分重要的,因此,需要我们在日常工作、生活中重视信息安全,提高自身信息安全技术,针对具体问题进行具体分析,及时解决问题,保证我国网络信息安全制度顺利的实行。
0前言
网络通信建立初始至今,就从未间断过对如何有效防范网络非法侵入、病毒、恶意攻击等信息安全问题的研究工作,特别是随着网络通信的普及,网络通信的信息安全形势更加严峻,由于用户的安全防范意识淡薄,计算机基础知识薄弱、操作不当以及网络通信本身存在的漏洞为不法分子与计算机病毒制造了可称之机,导致个人信息泄密以及财产损失的信息安全问题时有发生,更严重的涉及的企业、公民个人信息泄密,给经济和利益带来无法估量的损失,因此我们要增强网络通信的防范意识,健全网络通信中信息安全的管理机制,采取各种有效的技术防范手段,确保网络通信中的信息安全,为广大用户提供一个良好、和谐的网络通信环境。
1网络通信中信息安全的发展现状
1.1网络通信中信息安全的概况
网络通信中信息安全就是确保网络通信的保密性与可靠性以及其完整性,信息安全的定义非常广泛,不但包括了以网络通信的架构以及特定的信息安全作为根据,运用安全技术防范计算机遭到攻击的软件,还包含了为防范通信设备崩溃所造成的安全问题所制定的措施。
1.2网络通信中信息安全的现实意义
网络通信已经普及千家万户,具有广泛性和开放性的特性,所有人都在通过这个开放式的信息平台进行交流,网络通信在为人们的生活与工作提供便捷的服务的同时也存着违法犯罪人员通过网络通信中的漏洞盗取个人隐私信息,随着网络通信的发展,网络通信的各种隐患也随之暴露出来,由于网络通信系统自身的漏洞以及人们在使用中因为使用方法不当等问题造成信息泄密等安全事件时有发生,当前网络通信已经涉及到了个人银行、个人信息等几乎所有领域,一旦发生信息安全问题,不仅会造成个人隐私的泄露,很可能为个人的财产安全造成较大威胁,所以网络通信中的信息安全是当前网络通信管理中的重中之重,因此要进一步提高计算机信息安全的预防措施,加强网络通信安全管理,提升网络通信质量,保证网络通信中的信息安全,为网络提供安全、稳定的运行环境,促进网络通信安全管理工作。
2网络通信中信息安全存在的主要问题
2.1网络通信的结构存在隐患
网络通信普遍运用TCP/IP协议,网络通信是通过TCP/IP协议来完着数据交换,可TCP/IP协议的架构一直存有漏洞,原因是其通讯方式所造成的。由于其是通过树状的方式来运行,但是树状的方式一定程度上造成网络联接点之间存在隐患,不法人员、网络病毒通常会利用这些隐患进行违法犯罪活动,导致网络通信安全问题时有发生[1]。
2.2网络通信软件存在安全问题
网络通信中不可避免的会应用各种软件,网络通信软件也同样具有一定的开放性以及普遍性的特性,其特性导致违法犯罪份子能够轻松取得网络通信软件的源代码,通过源代码对网络通信软件中的漏洞加以利用从事盗取个人信息等不法活动,不仅会造成个人信息与财产损失,还可能导致通信软件与计算机的无法使用。
2.3网络通信中屡遭恶意攻击所造成的威胁
随着网络通信的普及应用,恶意攻击事件一直呈上升趋势。恶意攻击形式分为主动或被动攻击两种形式,主动攻击主要体现出可以主动针对网络通信数据的合理性与完整性进行攻击,造成网络通信无法运行,被动攻击是通过计算机截取网络数据,通过这种办法来造成网络通信无法正常使用。随着科学技术的不断发展,网络通信中的恶意攻击手段也越来越先进,目前出现的新型恶意攻击方式,可以攻击拥有防火墙和完善防范措施的网络通信系统,对网络通信中信息安全威胁很大[2]。
3网络通信中信息安全的保障措施
3.1完善网络通信中信息安全机制
可以借助通信协议的架构来制定信息安全机制来确保信息交换安全,通过通信协议能够了解到通信协议主要分为运用、交换、网络、链路、物理层五个部分组成。我们应该运用不同部分的安全协议来达到给网络通信信息加密,进一步完善网络通信中信息的安全机制,从而确保网络通信中的信息安全。
3.2健全用户身份安全验证
我国网络通信普遍采取了用户账户名和用户设置密码来进行登陆验证。但这个验证方法也同样存在着隐患,如果违法犯罪份子通过漏洞取得用户的用户名与密码,那么就会轻松的取得计算机信息,随着科技发展现在验证的技术也很多,可以运用识别技术、口令、密码等,口令由电脑随机产生,是现在最普遍的安全验证办法,为了更有效的提高网络通信中信息安全,也可以运用加密量子密码,因为量子密码及解密都是以量子力学状态下运行的,从而有效提升了网络通信的安全[3]。
3.3提高网络防火墙技术
防火墙技术被广泛应用在网络通信领域,防火墙通过对外来信息进行排查阻止进入的同时还可以有效拦截网络外部对网络内部信息的访问,有效阻挡了非法进入与病毒的入侵,是当前网络通信安全防范最有效的方法之一。所以应该进一步加强对先进防火墙技术的研发,努力提高防火墙防御和阻拦病毒的能力,同时还需要实时的更新反病毒软件。为了达到确保网络通信安全的目的,也可以运用防火墙来限制端口,从而有效防范病毒等有害入侵,除此之外,监测日志在网络通信的信息安全方面也起到了非常重要的作用,所以用户可以用检测日志来记录和监控计算机,以此来防范非法入侵和病毒的危险,从而进一步提高网络通信安全。
4结语
在网络通信技术快速发展的今天,网络通信中的信息安全已经受到了人们的广泛关注,确保网络通信中信息安全的各项安全措施应该不断保持更新和技术领先,众所周知,随着安全防范技术的不断提高,不法分子与病毒也在不断的更新换代,这就要求我们时刻不能掉以轻心,不断加强网络通信中信息安全的先进防范技术的研发,有效提升防范技术的科技水平,普及网络通信安全防范知识,提升人们对网络通信的安全防范意识,从而构建出良好的网络通信环境,确保网络通信中信息绝对安全。
参考文献
[1]陈湉,田慧蓉,谢玮.通信行业网络与信息安全标准体系架构研究[J].电信网技术,2012,03:29-35.
中图分类号:TP399 文献标识码:A文章编号:1007-9599 (2011) 16-0000-01
The Key Technology and Security Measures of Computer Network Security
Hao Xin
(Fast Computer Center Corporation,Xi'an710077,China)
Abstract:The computer network information security and people's production life is closely linked.Analysis of computer network security problems,and find the network information security protection measures,through the study of this issue,to help protect the network and information security.
Keywords:Network Information;Hidden Danger;Protection Strategy
当前,随着我国计算机技术的发展以及计算机网络的普遍应用,网络信息安全问题已经成为一个不可忽视的大问题。计算机网络信息安全关系到个人以及企事业单位的正常生活和正常运行,根据统计,发生入侵计算机网络,盗取个人或公司信息的事件不断增加。因此,必须保证计算机网络的保密性、可靠性和完整性,才能有效保证网络信息的安全。研究保护计算机网络信息安全已成为一个刻不容缓的课题。
一、计算机网络信息存在的安全隐患
(一)系统存在安全漏洞
系统存在安全漏洞这是一个经常提起的问题,每当新的操作系统或者新的应用软件上市不久,安全漏洞就被黑客发现。可以说没有一个系统是完美无缺的,其安全漏洞主要有以下两种。
1.缓冲区溢出。这种漏洞是最容易被黑客利用并进行攻击的漏洞,如果系统不检查程序与缓冲区间的变化,输入长度的数据时会把溢出部分放在堆栈内,系统还照常执行命令。黑客便可以利用这个漏洞发动攻击,其方法是发送超出缓冲区所能处理的长度的指令,使计算机系统不能正常运行,甚至盗取用户的个人信息。
2.拒绝服务。黑客利用这个漏洞来搅乱TCP/IP连接的次序,比较典型的是进行DoS攻击,它会耗尽或是损坏CPU周期、内存和磁盘空间等系统资源,使系统不能正常处理合法程序。
(二)合法工具被黑客利用
为了给用户带来更好的体验或更方便的使用,在计算机系统中都配备了一些工具软件,这些软件在提升系统性能为用户带来便利的同时,也成为了黑客利用的工具。例如:为系统管理员提供远程节点的信息的NBTSTAT命令,它也经常成为黑客利用的工具,进行收集用户身份信息、NetBIOS的名字、IIS名等,给用户的信息的安全带来严重的隐患。
(三)系统维护不及时
系统维护不及时是威胁网络信息安全的一个重要问题。在实际使用计算机网络时,很多用户不注意进行信息保护,有的用户甚至不安装杀毒软件,不进行系统漏洞打补丁。造成系统漏洞百出,网络信息极不安全,就如对黑客打开了大门一样,方便他们进入。因此,当系统出现漏洞时,应当及时进行升级维护。
二、计算机信息安全的保护措施
(一)对数据进行加密
网络数据加密主要有两种技术,分别是对称密码技术和非对称密码技术。二十世纪七十年代由IBM公司研制的对称密钥加密算法DES(Data En-cryption Standard)是非常著名的,DES使用56位密钥对64位的数据块进行加密。由于DES内部复杂的结构,保密性非常好。非对称密码算法加密和解密使用不同的密钥,用户可以先对信息进行加密,发送给接收对象以后,再进行解密,十分适合用户信息的保密。
(二)数字证书和公钥基础设施
当前,我国电子商务发展迅速,网上银行、网络购物等都使得网络交易日益频繁,为了保证交易和支付活动的安全可靠,必须采取新的措施来进行保障。安全认证机制是一种较为理想的保密方式,其中PKI(Public Key Infrastructure)公开密钥体系安全认证机制能够很好的保护用户信息和交易的安全。用户在PKI平台上可以安全通信,在公钥的基础之上用户进行网上安全通信有了保障。
(三)防止Guest账户被入侵
Guest账户就是我们常说的来宾账户,与管理者账户不同,来宾账户只可以访问计算机的一部分文件,是受到一定程度限制的。但是,即使这样来宾账户也可能被黑客所利用,用来盗取用户的私人信息。因此,需要对Guest账户采取一定措施,最有效的方法是禁用或彻底删除Guest账户。
(四)安装杀毒软件和防火墙
在电脑中安装杀毒软件和防火墙是保护信息安全必备的措施,他们是防止黑客入侵的有力屏障。防火墙是保障网络信息安全的最基础工具,它的抗攻击能力很好,可以为用户提高安全的信息服务,和杀毒软件一起组成有力的防护工具。
(五)提高浏览器安全设置
所有网民上网都离不开浏览器,这是上网必备的工具,而一些黑客也经常利用浏览器进行非法活动。如ActiveX控件,黑客利用这些控件插入恶意程序,如果打开网页这些恶意的小程序就会运行,严重侵害用户的信息安全,最好的防止措施是禁止这些恶意代码的运行。
(六)及时修复系统漏洞
当前大多数都使用微软的操作系统,每当出现漏洞以后,他们都会及时推出补丁程序,进行修复。所以要及时下载补丁程序,以保证我们网络信息的安全。
三、结束语
计算机网络信息安全与防护是一个不可轻视的问题,它直接关系到人民的生产生活,人们也已经离不开计算机网络。虽然有许多威胁我们网络信息安全的漏洞和技术问题,但新的网络安全产品也不断涌现,如有防火墙、杀毒软件等,因此防止黑客的非法入侵,保护网络信息安全是重中之重。通过本文对计算机网络信息安全问题和保护策略的研究,也希望能够为发展网络信息保护技术提供帮助,提高人们网络安全防护意识。
中分类号:TU988 文献标识码:A 文章编号:1671-2064(2017)10-0184-02
全面信息化建O在消防领域中的发展成为重点,这是对传统消防工作的突破,通过计算机网络技术的应用,对消防信息以及命令的传达和信息共享等目标都能实现。
1 计算机网络技术在消防领域中应用重要性和现状
1.1 计算机网络技术在消防领域中应用重要性
当前消防系统在信息化建设的指导下,已经有了很大程度改变,消防系统的作用也得到了有效发挥。在计算机网络技术的应用下,使得消防系统中的诸多功能都能得以发挥,其中远程操控系统、火警受理调度系统、辅助决策系统、GPS定位系统等等,这些现代化的技术应用,大大提高了消防工作的效率[1]。在计算机网络技术的支持下,在办公方面能有效实现自动化目标,这就大大减轻了原来手工来动的强度,对消防人员的工作量也大大减轻,提高了工作的整体效率。
计算机网络技术的应用过程中,在网络安全方面有着诸多鲜明特征,主要体现在完整性以及可控性和保密性。例如在完整性的特征方面,就主要是计算机数据没有授权不能随意更改,数据的保存和传输中,有着不被修改和不被破坏的特征。在消防工作当中对计算机网络技术的应用,能有效提高消防信息的透明化,对接受社会监督等也有着积极意义。
1.2 计算机网络技术在消防领域中的应用现状
计算机网络技术应用在消防领域中,能发挥积极作用。在整个消防系统当中,都是通过计算机网络技术支持的,例如火警受理调度系统以及网络数据维护系统和计算机辅助决策专家系统等。这些都是提高消防工作效率的重要支持技术。如火警受理调度系统的应用中,火警电话是光纤集中汇接到本地消防支队程控交换机,进而从交换机当中提取电话号码信息,以及调出电话局提供的机主以及电话所在地信息,自动生成相应的文件,这样就在火警电话的受理效率上得到了加强[2]。在计算机网络技术的支持下,对消防的整体工作就得到了加强。近些年在随着技术水平的进一步提高,计算机网络技术在消防领域当中的应用也得到了升级改善。
但是在发挥积极作用的同时,也存在着相应不足。从整体上来看,计算机网络技术在消防领域当中的应用中,消防人员的网络安全意识还没有加强,在工作中没有注重计算机网络的安全操作,对杀毒软件没有及时性升级等。再有是工作人员在网络信息的保密意识层面比较薄弱。这些层面对计算机网络的安全就带来了很大威胁。在未来的发展过程中,消防计算机网络的安全工作还需要充分重视,保障消防工作的顺利开展。
2 消防计算机网络的安全问题和应对措施探究
2.1 消防计算机网络的安全问题分析
消防计算机网络的安全受到诸多因素影响,在当前的诸多方面还存在着问题。主要体现在计算机网络自身的开放性,使得网络安全比较脆弱。互联网技术的优点就是开放性,但是在带来方便的同时,也对计算机的使用存在着安全威胁[3]。消防工作中对计算机网络技术的应用由于缺乏安全意识,就比较容易受到黑客的攻击,对计算机网络系统的安全运行带来了很大威胁。
计算机网络技术的应用过程中,在安全设备的应用方面不能有效阻止所有的攻击。防火墙是人们应用比较多的技术,但这一技术并非不可破,在漏洞的基础上就很难保障消防领域的系统安全性。没有对路由器的配置维护工作得到加强,就必然会带来安全隐患。
消防计算机网络的安全问题,还会受到工作人员因素影响。消防工作人员只有加强自身的网络安全意识,才能最大化保障计算机网络系统的安全性。但是从实际的情况来看,我国的消防领域对计算机网络技术应用人员,在技术能力上以及职业道德等方面还有待进一步加强,没有注重自身的责任意识加强。这就必然会带来诸多的安全性问题。
消防工作中的计算机网络操作系统安全级别不高,以及在数据库的管理系统安全性方面比较薄弱,这就大大影响了消防工作的顺利进行。一旦出现系统性问题,就必然会直接影响实际消防工作[4]。计算机操作系统的安全保障是深层次的保障,所以只有充分重视这一层面的安全保障,才能真正有助于消防的工作效率提高。但是当前我国的消防领域对计算机操作系统应用多是引进的,操作系统自身的安全级别并不是很高,在对数据库的安全管理方面就比较薄弱。
2.2 消防计算机网络的安全保障措施
消防计算机网络安全的保障,就要从多方面进行加强措施实施,笔者结合实际,对消防计算机网络安全的保障措施进行了探究,如下所示:
第一,注重消防计算机网络安全体系完善构建。要想保障消防计算机网络的安全应用,就要注重安全体系的完善构建,在当前的网络建设系统工程的进一步推动下,消防领域就要在计算机网络技术的应用方面加强重视,对单位网络化的规划科学实施,以及注重在管理上和实际需求相联系。将计算机网络建设以及科学的应用,以及在后续的提高以及再应用的发展层面加强重视,将信息化建设的积极作用得以充分发挥。消防计算机网络建设工作的实施中,要充分重视软硬件的共同建设,将两者能够得以双向发展,构建完整性的信息安全保障制度,促进消防计算机网络系统的安全运行。
第二,充分重视保障局域网的安全。消防计算机网络的安全保障措施的实施中,就要注重局域网的安全保障,这就需要通过网络分段以及交换式集线器替代共享式集线器的方法进行实现。局域网安全保障措施实施中,在网络分段的方法实施上要加强重视,这也是控制网络广播风暴的重要手法,对网络的安全保障有着积极作用。在网络分段方法的应用中,主要是把非法用户和敏感网络资源进行分离,这样就能有效防止非法窃听。而通过交换式集线器的方法应用下,在用户和主机实施数据通信的时候,两台机器间的数据包就会被同一台集线器上的用户窃听,通过交换式集线器的应用,就能有效防止这一问题出现。
第三,注重对网络安全技术的应用。保障消防计算机网络的安全性,就要充分注重安全技术的应用,对病毒查杀技术以及加密技术等综合性的运用。计算机网络系统的安全性保障,在杀毒查杀软件的安装下,就能有效保障系统的安全性,对系统病毒以及不知名的文件进行扫描以及清除等。这样就能起到安全保护的作用[5]。比较常用的病毒查杀软件有360杀毒软件、金山毒霸等等。在这些病毒查杀软件的应用下,保障计算机网络系统的安全性就比较有利。另外,就是要在加密技术方面科学应用,主要是对文件传输设置密码,保障文件传输中的安全性。
第四,加强消防计算机网络广域网的安全保护。保障消防计算机网络的安全,需要从多方面着手实施,在对虚拟专网的安全保障方面,在隧道技术的应用下,把消防部队专网数据加密封装后,在虚拟公网隧道运用下实施信息传输,这样就能有效防止敏感数据被窃。当前的一些VPN技术的核心协议方面还没有形成通用的标准,所以在设备间的互操作会带来一定的问题,在这一层面要加强重视。为保障广域网的安全性,就可将身份认证技术进行应用,保障网络系统的信息安全性。
3 结语
综上所述,消防计算机网络安全的保障,需要对其中的安全问题针对性的分析,然后针对性的解决实际问题。通过此次理论研究,对消防计算机网络的安全保障就能提供理论依据,从而保障系统的安全性。
参考文献
[1]陈鹏.消防部队信息网络安全管理探讨[J].广西民族大学学报(自然科学版),2008,(9):130-132.
[2]张思宇.消防信息化建设中的网络安全情况分析[J].科技资讯,2007,(33):94.
随着网络技术的发展和应用需求的牵引,网络规模和应用范围不断扩大,网络安全风险变得更加严重和复杂。凡是涉及到保障银行正常营业的所有问题,如信息技术设备和金融信息系统软件的正常运行、信息系统中业务信息及商业机密的妥善保存等,都与金融信息系统的安全有关,都要采取相应的安全风险防范措施。目前,针对互联网的应用还缺乏有效的安全措施和手段,这严重限制了银行系统通过互联网对外提供服务的范围和种类,迫切需要构建更加科学合理的金融信息系统安全保障体系。
1金融信息系统安全保障体系总体架构
金融信息系统安全保障体系包括物理安全、系统安全、网络安全、应用安全和安全管理,其总体架构见图1.
2安全保障系统构成
下面从物理安全、系统安全、网络安全、应用安全和安全管理等方面来描述金融信息系统安全保障系统的构成.
2. 1物理安全
物理安全是保障整个网络与信息系统安全的前提。物理安全主要涉及环境安全、设备安全和介质安全。环境安全主要是指防雷、防水、防火、防电磁辐射等内容;设备安全主要包括设备的防盗、防毁、防止线路被截获、抗电磁干扰及电源保护等;介质安全指存储数据信息的介质安全。
2. 2系统安全
1)网络结构安全主要指网络拓扑结构是否合理、线路是否有冗余。
2)操作系统安全指应采用安全性较高的网络操作系统,关闭不常用却存在安全隐患的应用,对一些保存有用户信息及其口令的关键文件的使用权限进行严格限制。
3)应用系统安全应用服务器尽量关闭不经常使用的协议及协议端口号,加强登录身份认证,严格限制登录者的操作权限,将其完成的操作限制在合法的范围内。
4)系统备份与恢复机制它是保护金融信息系统崩溃后快速恢复的重要技术措施,在系统运行时,应采取必要的技术手段对网络及主机设备配置、金融业务系统等进行备份,在故障或灾难发生时,迅速恢复系统到最新状态。
2. 3网络安全
1)隔离与访间控制机制该机制可根据不同用户安全级别或不同部门的安全需求,利用3层交换机来划分虚拟子网(vlan);在不同业务系统之间划分mpls vpn,实现受控互访、隔离和信息共享;在网络中配备防火墙,实现网络内外或网络内部不同安全域之间的隔离与访问控制。
2)通信保密通过采取数据链路层和网络层加密等措施,实现对网络中重要信息传送的保护。
3)入侵检测根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应,从而防止针对网络的攻击与犯罪行为。
4)网络安全扫描系统通过对网络中所有部件进行扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,提出补救措施等。
2.4应用安全
1)访问控制根据金融信息系统建设的需要,采取自主访问控制或强制访问控制机制,对用户和资源分配不同的授权级,以控制用户对资源的访问。
2)身份识别和验证涉及到收集验证数据、安全传输数据、查证当前用户是否仍是目前使用系统的用户等。
3)数据备份与恢复机制该机制是保护金融系统中数据资源的重要技术措施。在业务应用系统运行时,应采取磁盘镜像、磁盘阵列、磁带库等技术手段,对数据信息进行备份,并在故障或灾难发生时,采取适当的恢复策略,修复系统中被破坏的或不正确的数据,使之恢复到一致性状态。
4 ) pk/ca认证系统通过建立该系统,实现网络访问的身份认证和访问控制,同时还可实现网络文件传输的保密性、真实性、完整性和文件的抗抵赖性。
2. 5安全管理
金融信息系统是一个包括横向、纵向连接的多级网络,运行着多个业务系统。为实现对金融信息系统的安全管理,应设置安全管理中心,对安全事件、设备故障信息等进行集中分析和处置,并在此基础士实施统一规划、集中管理、严格规章、明确责任和动态监控,确保金融信息系统安全可靠运行。
3安全保障措施
3. 1设置安全保障策略
1)总体安全策略在金融信息系统安全保障体系构建中,应遵循以下总体安全策略圈:①未经允许的访问都要严格禁止;②允许的访问都要经过认证、授权才能进行;③重要信息在网上传输要经过加密措施。
2)网络边界安全策略和联动策略在金融信息系统网络和internet之间设置防火墙,以隐藏和保护金融信息系统网络;在网络核心节点与各业务系统局域网边界之间设置防火墙,允许授权用户访问该局域网内的特定资源;按业务和行政归属,在横向和纵向网络上通过采用mpls vpn技术进行vpn划分,实现有效隔离;网络设备如防火墙、人侵检测系统、交换机、路由器、网络防病毒系统和访问控制系统等,既可以单独运行,还可以通过联动策略,一旦发现非法人侵,人侵检测系统会通知相应的安全产品实施联动保护,有效地确保金融信息系统网络的安全。
3. 2部署安全技术和安全产品
为确保金融信息系统的安全可靠运行,遵循安全保障体系总体架构和安全保障策略,应在金融信息系统中部署相应的安全技术和安全产品。
1)划分安全域根据金融信息系统的功能及业务特征,按照等级保护思想,将其划分为省网络管理中心局域网、省级城域网接入单位的接人网络等安全区域,对不同安全域实施等级保护,既方便了用户使用,又加强了安全防护。
2)防火墙技术防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵人,通过监测、限制、更改跨越防火墙的数据流,尽可能对外部屏蔽网络内部的信息、结构和运行状况,以此实现网络的安全保护。
3)mpls vpn技术由于金融信息系统承载多个相对独立的业务系统,各业务系统为不同的职能部门开展业务提供服务。因此,应采用mplsvpn技术,按照业务系统和业务类型进行纵向vpn和横向vpn划分,实现不同业务系统之间的安全隔离及全网对不同业务系统的统一管理。
4)人侵检测系统在金融信息系统中设置人侵检测系统,对系统的网络安全状态进行定期的检查,对人侵事件进行报警并记录,并通过完整的安全策略,利用人侵检测系统与防火墙的有效互动,对网络系统实施全方位保护。
5)防病毒系统在网络中对所有可能造成危害的病毒源或通道配置对应的防病毒软件。该系统提供集中式的管理,将反病毒程序的安装、执行、预约扫描、更新升级、病毒码分发和共享等日常的管理维护工作化繁为简,对病毒进行实时监控,使网络免遭病毒的人侵和危害。
6)违规外联监控系统通过该系统对非法连接国际互联网行为进行监测,对网络系统内的主机拨号、双网卡、服务器等多种上网行为进行集中统一管理。违规外联监控系统根据监控策略,可对非法连接进行切断或报警,同时记录、存储、查询相关信息。
7)安全评估系统该系统对工作站、服务器、交换机、数据库应用等各种对象可能存在的安全漏洞进行逐项检查,根据扫描结果向系统提供安全性分析报告。安全扫描技术与防火墙、人侵检测系统互相配合与联动,能够提供安全性更高的网络。
4月12日,由中国通信学会主办2012(第二届)中国电信业信息与网络安全高层研讨会在北京召开。会议以“面向‘十二五'的重要信息系统安全和云安全策略”为主题。工业和信息化部通信保障局副局长熊四皓、中国工程院院士沈昌祥、国家信息中心专家委员会主任宁家骏等专家学者参加会议并作专题报告,各基础电信运营企业领导、电信增值服务运营企业代表、重要信息系统网络和信息安全主管、技术研发单位、新闻媒体等约400人出席了本次会议。中国通信学会副理事长刘彩主持了大会开幕式。
工业和信息化部通信保障局副局长熊四皓在致辞中表示,近年来,我国信息通信业发展取得了巨大成就,但也要清醒地看到,我们面临的网络安全形势不容乐观。一是网络的IP化程度不断加深,以云计算、物联网、社交网络、微博客、智能终端等为代表新技术、新业务、新终端不断涌现,但IP网络的可信机制和安全可控问题一直没有得到很好的解决,保障网络信息安全的压力与日俱增。二是黄赌毒等网络不良和违法信息时有抬头,移动互联网安全和手机恶意程序传播引起广泛关注,用户信息泄露、网络钓鱼、网络攻击、病毒传播等安全事件时有发生,网络环境治理和用户权益保护工作任重道远。三是我国社会转型期多种矛盾凸显,互联网等新媒体的聚焦、发酵、放大、扩散效应,使社会管理的难度大大增加,中央和有关部门对加强信息网络管理提出了更高的要求。四是国际上围绕网络空间的竞争和博弈日益激烈,西方国家连续网络安全战略,发展网络攻击威慑能力,宣传“中国黑客攻击威胁”,亟需我们从战略层面统筹谋划、提高能力、有效应对,维护我网络空间安全。
中国工程院院士沈昌祥在报告中指出,针对我国信息安全顶层设计缺失和滞后问题,要认真研究分析信息安全新形势对我国的深刻影响,加快研究制定和实施适应新形势的信息安全战略、新时期国家网络与信息安全保障体系建设总体规划和实施方案,明确新时期国家网络与信息安全的战略目标、主要任务和保障措施以及实施步骤等。
与会代表一致认为,现阶段,我们应针对云计算和物联网信息安全保障关键技术攻关等,统一领导、统筹规划、明确目标、总体布局、分工协作、分段实施,鼓励创新和竞争,通过攻关工程的建设,将信息安全保障能力提升到世界先进水平。(董义)
(中国通信学会)
对于电子档案而言,其主要是建立在计算机和网络技术的基础之上,属于相对较新的事物,对档案工作具有极大的推动作用。但是,在实际应用中,鉴于诸多因素的影响,使得其在安全问题上面临挑战,因此,要加强电子档案信息安全保障系统建设。
一、对电子档案信息安全保障体系概念的分析
电子档案的信息安全保障体系,主要是借助一定的安全策略,应用先进和科学的安全技术,实现对电子档案信息的有效防护和监控,保证电子档案信息在整个保存和处理中的安全性,提高并保证档案信息的真实性和完整性,彰显动态的调整功能,主要是由防护、检测、反应和恢复四个环节,实现持续发展的动态过程。
二、全面介绍电子档案信息安全保障体系的组成部分
(一)重视法制标准保障的全面建设。1.注重建立更加专业的电子档案信息安全法律。当前,电子档案信息安全相关法律主要在刑法、档案法中有所体现,但是,缺少专业性的电子档案信息安全法,在一定程度上使得电子档案信息在保护和执行方面力度不够。因此,需要重视安全法规的建设,形成具有针对性的安全保障措施,针对破坏现象,进行相应的处理,同时,强化执法强度,保障电子档案管理能够有法可依,强化执法力度。2.重视完整的电子档案信息安全立法。在档案信息安全立法中,缺乏严谨的结构体系,缺陷比较明显,主要包含相关的公开制度、隐私权法律制度、网络知识产权等。3.形成全面的档案信息安全标准体系。对于档案信息安全标准体系,其发展较晚,属于初级发展时期,缺乏完整性和健全性,因此,要立足基础、技术和管理标准,进行标准体系的建设。在系统运行中,要注重对新型系统的设计、验收、运行和维护,在根本上实现电子档案安全管理的有序进行。
(二)做好基础设施保证建设工作。对于电子档案信息的传递和运行,基础设施建设必不可少,主要是立足硬件系统和运行技术架构,实现对安全信息技术环境的营造。在基础安全架构中,要立足网络安全架构,结合软硬件,实现安全系统的有效部署。在进行架构设计的时候,需要针对功能进行分区,实现对网络功能的明确,设置保护等级,同时,进行信息访问权限的限制。
(三)全面加强组织管理保证建设。1.将先进的管理思想渗透其中。对于电子档案,需要重视前端和全程控制管理思想,立足文件到档案的全周期监控,能够及时发现其中的问题,保证监督的有效性。要重视分级管理,结合文件价值,进行安全管理,强化管理力度。要将风险管理的思想融入其中,进行有效评估,形成对策,降低档案安全风险。2.重视建立权威性的信息安全管理机构。对于档案管理机构,只有保证其权威性,才能提高管理工作的高度。在组织上,需要重视职能的划分,在根本上保证对信息安全管理工作的战略性指导,也能够做好具体工作,形成详细的应对策略。3.重视对基础设施配置的管控。在进行基础设置配置的时候,需要重视对各种参数的考量,保证其根本的稳定性与可靠性,达到安全运行的目的。同时,要重视对地址的选择,保证各方面要求能够达到技术要求。4.设计更具可靠的电子档案安全管理系统。对于电子档案管理而言,信息技术十分关键,需要保证安全性与稳定性。为此,在设计的时候,结合控制的思想,立足档案管理的责任,在根本上满足档案安全功能的需要,尤其是强化权限、监控等功能等。
(四)加强安全技术保障工作。1.将物理安全平台的构件作为重要工作来抓。对于网络电子信息的安全性,物理安全发挥重要的作用,主要针对环境、设备和媒体安全几个方面,有效防护环境的安全性,保证设备稳定性,避免干扰现象,保证数据的安全性。2.加强对电子档案安全管理的网络支持。主要包含传输和业务网络两个部分。其中,传输网络安全能够有效维护电子档案传输的稳定性,有效保证网络服务的可靠性。而对于业务网络安全,主要对病毒的防范、对防火墙的设置以及对网络的监控,实现对档案信息系统业务资源的有效防护。
三、结语
综上,电子档案信息安全保障体系具有系统和综合性,重视法制建设标准,立足基础安全设施,重视整体安全策略和组装,借助先进的安全防范机制,保障档案信息资源的高安全性、高可靠性和高可用性。同时,积极促进档案整体信息化应用水平的全面提高,为信息化建设保驾护航。
【参考文献】
[1]黄昌瑛.电子档案信息安全保障策略研究[D].福建师范大学,2007.
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
一、电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
二、电信网络安全面临的形势及问题
2.1互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
三、电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1 电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2 电信网络安全面临的形势及问题
2.1 互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2 新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3 运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4 相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3 电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1 发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2 网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3 网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4 主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
