时间:2023-11-20 10:24:59
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全相关认证范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)04-0037-02
网络安全认证结构是一个较为复杂的系统化工程,要针对系统软件和人员制度进行系统化分析,要结合网络安全技术进行集中处理,从而保证不同安全问题能得到有效认证和处理,明确校园安全保护方面的需求,从而积极落实动态化安全模型,利用有效的解决方案,确保高效稳定网络运行环境。
1 常用网络安全技术分析
在实际网络安全技术管理过程中,要针对实际管理结构建构系统化管控机制,目前,较为常用的网络安全技术主要包括以下几种。
第一,数据加密技术。在网络管理机制中,数据加密技术是较为重要的安全技术结构,在实际技术应用过程中,主要是利用相应的加密算法建构系统化的计算模型。
第二,身份认证技术。在实际技术结构建立过程中,借助计算机以及网络系统对操作者的身份进行集中关注,并且按照身份信息以及特定数据进行综合分析,计算机借助用户数字身份对用户身份的合理性。要结合物理身份以及数字身份的对应进行集中处理,从而保证相应数据的安全性。
第三,防火墙技术。防火墙是网络安全的基本屏障,也是内部网络安全性提升的重要技术结构,主要是借助相关软件和系统对不安全流量以及风险进行集中处理,确保安全隐患得到有效维护,利用协议对内部网络进行集中处理。在防火墙技术中,要对网路存取以及访问记录进行集中审计。
2 校园网络体系分析
2.1校园网络认证系统
在校园网络体系建立过程中,要针对相应问题进行集中处理,作为高校信息化的基本平台和基础设施,在实际工作中承担着非常重要的作用。因此,要结合高校实际建立切实有效的校园网认证系统,从技术结构层面要积极落实自身网络规模和运营特点,确保校园网络体系认证系统能满足安全高效的工作管理机制。目前,多数高校校园网络都利用以太网,建立局域网标准,并且结合相应的网络体系建构校园网认证模式。
利用以太网对接入认证方式进行处理,主要是利用PPPoE认证模式、802.1认证模式以及Web认证模式等,能结合相关协议对其逻辑点进行综合连接。在认证机制管理过程中,要对认真协议以及访问控制进行综合分处理,从而支持业务和流媒体业务处理业务,确保应用效果切实有效。
2.2校园网络安全问题分析
在校园网络安全管理过程中,要结合相关问题进行集中处理,并且积极落实有效的高校信息化建设机制,在校园网运行过程中,主要是针对高校教育以及科研基础设施进行综合管控,承担科研以及管理任务。网络实际应用过程中,会区别于商业用网络以及政府用网络。其一,网络组成结构较为复杂,分为核心、汇聚以及接入等层次,会直接分别划分为教学子网络、办公子网络以及宿舍子网络等,在对其接入方式进行分析时,并且建构双出口结构。利用多层次和双出口特征,导致校园网运行结构中存在复杂网络环境。其二,在高校校园网运行过程中,网络应用系统和功能较为复杂,同时要满足教学信息交流和科研活动,在运行电子邮件系统和网络办公系统的基础上,教学中应用在线教学系统,日常生活应用一卡通系统,提高整体应对安全隐患的能力。
2.3校园网络安全需求分析
在校园网络安全需求分析过程中,需要对校园网络进行分层管理,确保管控机制和管理维度的有效性,作为大型网络区域,需要对相关协议以及网络运行结构进行细化处理和综合解构。在处理校园网络系统物理结构和安全问题方面,需要技术人员结合校园的实际问题建构有效的校园网认证系统。由于网络应用人群数量基数较大,且安全隐患性问题较多,需要建构系统化且具有一定实际价值的校园网安全支持系统。
在对网络安全需求结构进行分析的过程中,第一,建立网络边缘安全区域,网络边缘安全主要是在校园网和外界网交界处,利用相应的访问数据管理机制,对其进行集中管控。主要包括接入校园内网、信息共享上网体系、远程访问服务网络、服务器、接入CERNET,接入CHINANET等,能禁止外部用户非法访问校园网数据,隐藏校园网内网的IP,并且能为校园网提供更加安全可靠的远程访问服务项目。第二,建立汇聚安全区,应用校园W络骨干节点,并且对网络之间的高速以及稳定进行集中处理。第三,服务器安全区域,要结合外服务器区域以及内服务区域,对其内容和信息进行集中处理,并且保证高风险区域得到有效处理,以保证通讯结构不受到影响。校园网应用系统较多,要对安全性进行针对性分析,确保实施隔离后各个区域能满足相应的管理需求。第四,接入网安全区,在接入网安全问题处理过程中,由于越来越多的病毒会导致二层协议受到漏洞影响,校园接入网络的布点较多,人员组成较为复杂,针对端口环路问题要进行集中管理和层级化处理,确保相应的安全性得到有效维护。
3 校园网认证系统的安全体系
3.1校园网认证系统的安全风险和应对措施
在校园网认证系统建立和运行过程中,要对校园网认证安全风险进行综合评估。
其一,应用层面对的安全风险,主要包括病毒木马攻击、缓冲区溢出问题、逆向工程问题、注册表供给问题以及社交工程问题等。攻击依赖关系中主要是ARP攻击、Sniffer攻击以及病毒直接攻击等。针对上述问题,技术人员要提高程度的安全性,并且确保学生能提高安全防护意识,而对于ARP攻击项目,需要应用高安全性加密算法取代弱加密算法,并且宝恒用户登录信息不会存储在注册表内。
其二,表示层、会话层、传输层的安全风险,主要是来自URL的编码攻击、会话劫持问题以及DOS攻击等,依赖的是Sniffer攻击,需要技术人员针对相关问题进行集中的技术升级和综合处理。
其三,传输层的安全风险,主要是来自于IP地址的攻击,需要技术人员针对相应适配结构安装有效的防火墙。
其四,数据链路层的安全风险,主要是来自于ARP攻击,依赖关系是Sniffer攻击,利用相应的ARP地址绑定能有效的应对相关问题,建构更加有效的管理系统。
其五,物理层的安全风险,主要是Sniffer攻击以及直接攻击,针对上诉问题,需要技术人员利用相应的手段对POST进行有效消除,并且去掉数据中的MAC地址密文,以保证有效地减少秘钥泄露问题,并且要指导学生提高网络安全防护意识。
3.2校园网认证系统的接入层安全设计
在校园网络系统中,接入层是和用户终端相连的重要结构,在实际认证系统建立过程中,由于接入层的交换机需要承受终端的流量攻击,因此,技术人员需要对其进行集中处理和综合管控,确保其设计参数和应用结构的有效性。
其一,利用ARP欺骗技术,对于相应的缓存信息进行集中处理和综合维护,并且保证相应参数结构不会对网络安全运行产生影响,也能针对ARP攻击进行有效应对,从而建立切实有效的防御体系,借助修改攻击目标的ARPcache表实现数据处理,从而提高校园网认证系统的安全性。
其二,用户身份认证部署结构,为了更好地满足校园网的安全需求,要积极落实有效的管理模式,由于接入用户识别和认证体系存在问题,需要对网络接入控制模型进行集中处理和综合管控,提高认证结构资源维护机制的同时,确保相应认证结构得以有效处理。
3.3校园网认证系统的网络出口安全设计
校园网认证系统建立过程中,出口安全设计是整个网络安全体系中较为重要的项目参数结构,需要技术人员针对其网络通道进行系统化分析和综合处理,确保安全设计内部网络和外部资源结构之间建立有效的平衡态关系,并对性能问题和内网访问速度,并对光纤服务器进行综合分析。
3.4校园网认证系统的网络核心层安全策略
网络核心层是交换网络的核心元件,也是安全策略得到有效落实的基本方式,核心层设计要对其通信安全进行集中处理,并有效配置ACL策略,对其进行访问控制,从而保证端口过滤得到有效管理。在核心层管理过程中,要对VLAN进行有效划分,也要对安全访问控制列表进行有效配置,对不同子网区域之间的访问权限进行有效管理,为了进一步提高关键业务实现系统的独立,从而保证网络管理系统和隔离系统的优化,实现有效的数据交互,确保访问权限得到有效分类,也为系统整体监督管理的优化奠定坚实基础,并且积极落实相应的配置方案。只有对病毒端口进行集中过滤,才能保证网路端口的扫描和传播模型进行分析,有效处理病毒传递路径,保证访问控制列表的有效性,真正落实病毒端口过滤的管理路径,保证管理维度和管理控制模型的有序性。
4 结束语
总而言之,校园网认证系统的管理问题需要得到有效解决,结合组织结构和网络多样性进行系统升级,并针对地理区域特征和网络基础设施等特征建构系统化处理模型,对于突发性网络需求以及校园网网络堵塞等问题进行集中处理和综合管控,从根本上提高校园网网络维护和管理效率。在提高各层次网络安全性的同时,积极建构更加安全的校园网认证系统,实现网络管理项目的可持续发展。
参考文献:
[1] 杜民.802.1x和web/portal认证协同打造校园网认证系统[J].山东商业职业技术学院学报,2015,10(6):104-107.
2广电行业网络安全的影响因素
广电行业在发展的过程中,存在较多的网络安全问题,这与网络自身的因素有着一定关系,影响着广电行业发展的健康性。广电行业对信息安全要求比较高,在网络建设的过程中,需要保证网络的安全性,这样才能提高广电行业发展水平。广电行业应用的网络技术在不断变化,随着科技的不断发展,网络环境也在不断的变化,在不同的时期,存在的网络安全隐患也有较大的差异,在解决的过程中,需要结合市场发展现状。在广电网络发展的初级阶段,存在的安全问题主要是物理故障,常见的问题就是设备故障,技术人员需要对设备进行定期检修。在发展阶段,网络安全影响因素逐渐变为网络攻击问题,这对技术人员提出了更高的要求,其必须结合当前网络形式,找出导致广电行业存在安全隐患的原因。广电行业电缆分配网络的形式本身存在一定缺陷,这会导致广电网络容易受到病毒的攻击,网络安全维护技术在发展的过程中,遭遇了瓶颈期,这主要是因为广电网络抵御攻击的能力比较低,在优化网络技术时,需要引进国外的先进技术,但是又会受到国际出口网络地址的限制,需要将私网地址转化为公用网络地址。我国广电行业双向网络的发展比较缓慢,这一行业缺乏专业的人才,需要培养网络安全维护人才,这样才能提高网络安全防御能力,才能提高网络传输数据的能力。针对广电行业网络安全问题,必须针对影响因素,找出相应的解决措施,这样才能保证广电行业健康、长远的发展下去。
3提高广电行业网络安全的措施
3.1网络特点分析
一是网络处于转型阶段,广电网络正处于将模拟电视转变成数字电视的阶段,广电网络投资也主要用于电视转型领域,用于网络安全维护领域的资金和力量相对不足,缺少必要的人才和财力保障网络安全。二是广电对网络的管理能力不足。虽然广电网络发展势头迅猛,但是广电行业还未形成统一的网络管理,需依赖核心网络设备提供的网络安全管理软件进行管理。网络安全管理能力的不足还体现在系统和网络安全建设滞后方面,广电网络系统和网络安全建设处于起步阶段,没有形成集中式管理系统。
3.2对网络结构进行完善
3.2.1接入层的安全防御方案含析
接人层安全需要局端设备具备认证能力,根据安全策略分析接人终端设备的身份,防止不服从安全策略的非法终端设备接人网络。当前一些网络运营商采用实名制结构,每个用户配发一张智能卡,开通增值业务时根据智能卡内的用户密钥完成身份认证,无身份密钥的用户无法进人网络,从而确保网络接人层的安全。应用范围较广的身份认证有PKI技术,它是一种较为安全可靠的身份认证技术。其操作原理为将用户信息发送至认证服务器接受认证,认证服务器接受信息、后确定信息、是否符合安全策略。如果信息、符合安全策略,认证服务器才会想用户端发送随机数值,用户端的用户根据密钥显示的随机数值以及接认证服务器发送的随机数值进行加密,将加密信息发送至认证服务端。认证服务端接收加密数值后,根据用户的公钥进行解密,并对比发送的随机数值信息。如果信息均一致,则通过认证,允许人网,否则禁止人网。
3.2.2内容层的安全防御方案
由于广电HFC网络传输的数据容易被黑客切取,应格外重视提高内容层的防御能力。对于内容层的防御,可采用数字签名和数字信封技术保障HFC网络传输数据的保密性和完整性。例如数字信封,它要求采用特定的方式接受数字信封,否则无法读取信封内的信息。数字信封安全措施弥补了非对称密钥及对称密钥加密时间过长及分发困难的问题,也提高了信息传输安全性。数字信封保护方式流程如下:首先使用对称密钥加密发送方发送的信息,使用接收方的公钥将信息加工为数字信封,再发送给用户。用户使用私钥解开对称密钥,再使用对称密钥解开加密的信息。另外,还可应用虚拟专用技术手段,位于公共网络系统之中创建专用网络,进而令数据在可靠安全的管理工作下。该技术手段主要应用隧道技术手段、加密解密方式以及秘钥管理,认证辨别身份技术手段做好安全可靠的保障。
关键词:
无线网络;安全;防范
高效无线网络校园是现在很多高校建设的目标,因此,高校在为用户提供基本的互联网上网服务外,还需要为用户提供安全可靠的网络服务,用户可以在校内或者校外访问相应的资源。网络安全设计实现对内外接入时避免面临网络安全的问题,保证网络资源及网络设备的安全是校园无线网络建设所面临的一个严峻问题。
1无线网络安全面临的主要问题
1.1访问权限的控制
学校一般拥有大量的外网地址,但是对外提供服务的只是其中的一部分或者少数几个地址,因此需要在出口设备上严格限制外网对内的访问权限,只有允许的地址或者允许地址的特定端口才是可以被访问的,其它地址一律禁止外网发起的主动访问。
1.2攻击主机的主动识别和防护
动态监测外网主机对资源平台的访问,当外部主机发起非法攻击或者大量合法请求时,网关设备会主动将非法主机进行隔离,从而保证资源平台的安全性;
2无线网络安全主要的设计内容
基于“接入安全”的理念,将学院园区无线网络认证过程设置到离学生客户端最近的网络边界处,通过启用Web认证模式,无线控制器和学校目前采用的AAA认证系统的协同工作,当学生在接入无线网络的时候,网络无线控制器和ZZ-OS认证网关进行对接,通过portal的方式将认证页面推送到客户端,然后将学生认证所需要的用户名和密码上传到无线控制器,无线控制器通过与ZZ-OS认证系统的对接,获取学生相关的认证信息,如果认证通过,则无线控制器将通知无线AP接入点,允许该学生访问相关的资源,学生使用浏览器即可完成认证过程,不仅保证了接入学生的学生合法性,而且学生能快捷便利的使用无线网络,极大的提高了学生的体验感。
2.1学生数据加密安全
无线AP通过WEP、TKIP和AES加密技术,为接入学生提供完整的数据安全保障机制,确保无线网络的数据传输安全。
2.2虚拟无线分组技术
通过虚拟无线接入点(VirtualAP)技术,整机可最大提供16个ESSID,支持16个802.1QVLAN,网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离,并可针对每个SSID配置单独的认证方式、加密机制等。
2.3标准CAPWAP加密隧道确保传输安全无线
AP接入点与网络无线控制器以国际标准的CAPWAP加密隧道模式通信,确保了数据传输过程中的内容安全。
3安全准入设计
无线网络为开放式的网络环境,基于端口的有线网络管理方式已经无法满足无线用户接入管理的需求。为了解决接入用户管理的问题一般高校都会部署AAA服务器,通过AAA服务器实现无线用户身份认证。通过引入AAA服务器虽然解决了“谁”可以连接无线网络的问题,但是如何进行用户身份的认证呢?无线网络部署的初期一般采用SU的方式。SU方式需要无线用户在无线终端设备上安装特定的客户端,通过该客户端完成用户身份的校验。但是随着智能终端的出现,接入无线网络的终端不仅仅是笔记本电脑,平板电脑、手机等智能终端也需要接入无线网络,而SU模式并不适合安装在智能终端上。为了解决智能终端接入无线网络的问题很多设备厂商推出了Web认证,智能终端不再需要安装客户端,只需要通过浏览器就可完成身份认证。针对智能终端Web似乎是一种比较完美的身份认证方式。随着互联网应用的迅速崛起,用户希望在物理位置移动的同时可以使用微信、微博等互联网应用。如果依然采用Web方式进行身份认证,用户将会感觉很麻烦,影响用户对无线网络的体验,为了解决认证方式繁琐的问题,无感知认证应用而生,无感知身份认证只需要用户首次进行终端相关用户信息配设置后续终端接入无需用户干预自动完成。
4安全审计设计
无线网络为了给用户提供良好的上网体验,一般终端接入网络时采用动态地址分配方式,同时公有地址不足是所有国内高校面临的一个问题,为了解决地址不足的问题一般校内采用私有地址,出口网络设备进行NAT转化。在私有地址环境中采用动态地址分配方式,管理员将会面临一个问题:当发生安全事件时,网监部门只能为管理提供一个具体的外网地址和访问的时间点,仅有的信息中要准确定位问题的具体负责人。传统的日志审计平台只记录了出口设备的NAT日志,可以通过公网地址和具体的时间找到对应的私网地址,但是由于地址采用动态分配的方式,能难确定该时间段对应的地址是哪个用户在使用或者说需要查询多个系统才能确认最终的用户,如果多个系统中有一个系统时钟不一致,可能造成最终信息的错误。为了加强出口行为管理和日志记录,解决安全审计方面的问题,安全方案采用elog应用日志及流量管理系统。elog配合出口网关可有效记录NAT日志、流日志、URL日志、会话日志等,并可存储3个月以上,满足公安部82号令相关要求,学校也可对相关安全事件有效溯源。日志对于网络安全的分析和安全设备的管理非常重要,网关设备采用统一格式记录各种网络攻击和安全威胁,支持本地查看的同时,还能够通过统一的输出接口将日志发送到日志服务器,为用户事后分析、审计提供重要信息。NAT日志查询(如图1所示)。在充分考虑校园无线网络安全设计的前提下,对网络自身的数据加密、信息泄露以及网络攻击进行严密防控的同时,提升用户信息安全意识,从用户自身入手防止出现简单密码、默认密码和用户主机杀毒等问题。做到“防范为主、有据可查、追本溯源”,才能更好的应对网络安全问题,提高校园信息的安全性,为师生提供安全可靠的无线网络服务。
参考文献
[1]吴林刚.无线网络的安全隐患及防护对策[J].科技信息,2011(25).
一、加强顶层设计,确立信息安全教育国家战略
1.《网络空间安全国家战略》
布什政府在2003年2月了《网络空间安全国家战略》,其中首次从国家层面提出了“提高网络安全意识与培训计划”,指出,“除了信息技术系统的脆弱性外,要提高网络的安全性至少面临着两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。
2.《美国网络安全评估》报告
2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。
3.《国家网络安全综合计划》(CNCI)
2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”
4.《国家网络空间安全教育战略计划》
2011年8月11日,NIST授权《美国网络
安全教育倡议战略规划:构建数字美国》草案,征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划,阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识,促进美国的经济繁荣和保障国家安全,并通过以下三个目标实现这一愿景:增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。
二、做好立法工作,完善法规标隹体系
1.《联邦信息安全管理法案》(FISMA)
2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。
FISMA法案明确要求:联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训,为此还提议了一个较为完善的国家安全意识及其培训系统。
2.国防部(DoD)8570指令
2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。
3.联邦政府信息技术安全培训标准(FIPS)
FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前,NIST已制定和两部权威的信息安全培训标准:《信息技术安全培训要求:基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架,依据这些框架,美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。
4.网络安全法案
2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。
三、构建信息网络安全组织机构,健全安全教育培训管理体制
为了落实信息安全教育培训相关政策和法律法规,美国将协调、执行、监督、管理等权利分配给多个政府部门,依据最新的《国家网络安全教育战略计划》的思路,国家标准技术研究所(NIST)为整个计划的负责单位,协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。
社会各界积极参与
行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。
(1)国际信息系统审计协会(丨SACA)
国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。
(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。
GIAC认证程序有以下几个特点:
GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。
(3)国际信息系统安全认证联盟(ISC)2
国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。
1大数据的产生与发展
目前,人们对于大数据的理解还不够全面,对于大数据也没有统一的特定概念。大数据是大量数据与复杂数据的组合,以及在现有数据库中无法处置的一组数据[1]。大数据的特征是对于海量数据的发掘与分析。单台电脑处理数据非常困难,必需采用数据库技术处置云计算。大数据研究受到了国内外学术界与产业界的普遍关注,成为当今世界信息时代的热点话题。2011年10月,工信部把北京、上海、深圳以及杭州等城市确认为“云计算中心”试行城市,并且举行大数据报告研讨会。目前,大数据已经渗透到人们生活、工作的各个领域,影响着各个领域的变革,推进了各个企业、各个行业的快速发展。
2大数据环境下数据治理的特点
目前,数据治理的研究受了社会各界的普遍关注,国内外的学者在数据治理的研究上获得了很多成果。但是,从金融行业与通信行业的数据治理实践来看,传统数据治理存在一定的缺陷。数据治理委员会是与传统数据治理系统有关的关键部门。数据管理委员会的职责是制订科学合理的数据管理计划,调整数据管理过程。数据治理委员会要重视数据治理的总体质量,强化数据治理的安全性管理、准备数据分析和统筹管理,充分体现数据所隐含的业务价值[2]。在大数据环境下,数据的种类多样,数据来源范围大,数据急速增长,数据价值极大。以往的数据存储类型难以符合大数据的存储需求。数据整合分析中,数据是可操作的。这个过程需要数据治理急速变更策略。在大数据环境下,数据管理工作的重点与难点重要包括以下几个方面。第一,企业不同部门,数据的收集方法与数据源也不同。此外,不同的部门可反复搜集相近的数据,但数据标准与数据可能不同,留存位置也可能不同,严重影响数据的精度与数据的共享。第二,数据质量。大数据环境中的数据治理不但要求实时性,而且提出了精度要求。因为数据标准的不同,经常会发生一些冗余与反复的数据。企业中不同部门对于数据改版一般非常容易符合实时需求,这对数据质量的正确性与实时性影响极大。第三,数据隐私保障。在对外开放与共享数据的过程中,可实现数据的充分利用,但是可能会造成数据泄漏或数据侵害。所以,数据安全性与隐私保障面临挑战。
3大数据背景下网络数据受到侵害的具体状况
大数据便捷了人们的生活,但是也存在各种安全隐患,因此数据治理十分重要。在大数据时代,侵害隐私主要包括四个方面。第一,存储数据时侵害隐私。由于用户不明白数据子集的时间、位置与内容,因此不明白数据是如何被储存的。第二,数据传输过程中侵害隐私。在信息技术时代,大部分数据传输均是通过网络传送的,使监听、电磁泄漏等信息安全事件的发生频率越来越高。比如,斯诺登2013年披露的一份美国“棱镜计划”文件表明,美国可暗中监控网民,并且侵略多个国家的网络获取信息。第三,在处理数据时侵犯隐私权。处理信息时,人们大都使用虚拟技术,而处理硬件落后或者处理技术不过关都有可能造成信息的丢失。以图书馆为例,图书馆一般使用的是比较落后的信息处理系统,图书馆的档案文件和用户的使用情况很容易被某些别有用心的人盗取。第四,在数据被毁坏的过程中侵害隐私[3]。随着各种云技术的发展,直观的数据移除手动不能全然毁坏数据。服务提供商重视备份数据,以期取得越来越多的数据信息,了解用户的爱好。即使有些国家规定了数据销毁时间,但是按照规定操作的服务商很少。
4大数据背景下数据治理中网络安全存在的问题
4.1网络黑客攻击
网络黑客是大数据下网络安全性最关键的潜在危险之一。一般黑客攻击的主要目的是毁坏计算机的内容并且展开盗窃,一般是集体作案。他们通过数据漏洞进入计算机外部。黑客毁坏相关数据与关键内容,反击服务器,导致用户难以正常使用,从而给企业造成巨大的经济损失[4]。大数据的网络环境具有一定的开放性,是每个人获取大量参考内容与共享资源的地方。网络反击压制了网络数据的安全性,妨碍了网络整体的通畅,严重影响了企业发展和社会转型。
4.2用户数据网络安全防范意识不到位
人们的网络安全性应对观念薄弱。通常,通过网购、邮件传送、用户指定帐户等输出的各种信息,会在不留意周围环境或是网上借阅时留下痕迹,从而可能使用户的秘密信息遭到泄露。此外,一部分用户使用网络时浏览弹出的连接或是对话框,易被恶意网站或是欺诈犯反击或是受骗。所以,很多用户因为不具备专业的网络安全性保护技术,即便信息数据被毁坏也难以维修,给自己的生活与工作造成不方便。
4.3防火墙技术应用率较低
在大数据时代,防火墙技术的精确应用成为保障网络安全性的手段之一。精确运用防火墙技术可大幅度减少网络安全性问题爆发的概率。但是,他们却无法掌握该种系统的应用要点,导致网络安全问题一直无法得到有效解决。
5大数据背景下数据治理中加强网络安全的策略
5.1加强攻击溯源技术的应用
网络安全性体系建构中,网络攻击源追踪技术十分必要。稳定情况下,网络信息安全性系统展开攻击分析时,从多个关键内核结构诊断、文件、程序等层面展开分析,并且初始化系统与网络流量展开辅助分析。同时,通过监理统一的、多层次的网络安全攻击描述模型,严格按照相关规则进行海量日志攻击信息的关联性分析,从而更快更精准地找出计算机系统中可能存在的攻击问题,为后续的网络攻击溯源工作开展提供可靠的数据依据。但是,网络安全攻击溯源技术应用过程中,还存在一些不足之处亟待改进。一方面,在异构数据源的处理上,包括数据库和文档数据库的处理。另一方面,在海量数据的处理上,随着经济全球化的发展,互联网与物联网之间相互联合,知识网络数据信息量成倍增长,而针对海量网络数据溯源处理技术执行效率的提升还有很大的进步空间。
5.2认证与授权机制
认证是证实信息真实性的过程,通常分成3个部分——信息认证、身份认证和认证协议。
5.2.1消息认证
消息认证就是验证消息的完整性。消息认证时,要确认消息是认证目标发送的,发送的消息与要求不存在出入,消息发送的时间、顺序等都有明确的数据。但是,这种消息认证模式存在较大漏洞。比如,网易云音乐的手机注册验证码的有效时间是1min,有些用户可以使用身边的朋友手机号进行注册。
5.2.2身份认证
身份认证一般是即时展开的,需输出ID号码、学校、学分等详细信息。目前,网络的身份认证存在两种形式,一种是输入身份证号等相关信息的形式,另一种是输入身份证号等相关信息之外再本人手持身份证的照片进行认证。第一种身份认证方法存在较大纰漏,主要是由于大多数用户对身份证号码的保密意识不强,易被他人盗用,骗取身份信息。所以,近年来,注重用户个人信息的服务提供商一般装载身份认证进行验证[5]。
5.2.3认证协议
网络世界中,除消息认证与身份认证之外,需建立相关协议以保证消息的可靠性,以避免节点误导或是病毒欺骗。协议的内容愈确切,条款愈清楚,信息便愈能获得保障。
5.2.4授权
授权是授予一个个体或者拥有能够对某些资源进行某种操作的权利。通常,安全性要求愈严苛,许可建议愈严苛,许可等级分类愈详尽,隐私保障愈好。例如,SSL协议,用户可安全证明网络节点的身份并且容许对于用户信息的访问。
5.3有效应用智能防火墙技术
从实用角度来看,防火墙技术的出现为网络安全问题的解决工作提供了新的思路,同时为网络系统的安全新增了一道关键的防线。在大数据时代背景下,网络安全性问题需采用智能防火墙技术。为了在防治网络风险方面能充分发挥作用,需从下列几个方面展开确切应用。第一,相关的网络用户在实际应用智能防火墙技术期间,必须要准确有效地分析防火墙系统的应用参数信息是否符合计算机设备适用软件的应用参数,以此有效降低防火墙系统与计算机设备兼容问题出现的概率。第二,充分利用防火墙系统的应用优势与各种功能。为了检验系统漏洞与安全性风险,需充分利用系统的功能克服问题,以保证该种技术能够充分发挥其应有的系统安全保护作用。第三,网民必需改版智能防火墙系统。网络病毒会随着时间改版,在这种情况下,原有的防火墙系统可能难以辨识全新的网络病毒。因此,要及时改版,保证系统保障网络用户的安全性。数据便是价值,这是社会未来转型的必然趋势。大数据治理在保证数据质量与安全性方面具备关键的积极意义。为充分发挥数据价值提供了关键支持。不过,我们也有必要详尽分析与分析数据治理与网络安全性保护措施,以此符合时代的需要。
参考文献:
互联网具有一网通天下的特点,不仅改变了人们的生活方式,还为商务活动的发展开辟了新的方向,网络经济已与人们的生活密不可分。电子商务与网络相互依存,网络安全问题同时也困扰着电子商务的发展。为了推进电子商务快速发展,加强对网络安全的研究和应用意义十分重大。
一、网络安全对于电子商务的重要性
当前,电子商务已逐步覆盖全球,而网络安全问题也得到了业内广泛关注。电子商务的交易方式有别于传统的面对面交易,在电力商务中,交易双方均通过网络进行信息交流,以网络为媒介无疑加大了交易的风险性,因此安全的网络环境能够给交易双方均带来良好的体验。电子商务的网络安全管理较为复杂,不仅需要高新的技术做支持,如电子签名、电子识别等,还需要用户的配合,通常来说,用户的个人信息越全面,网络交易平台对用户的保护便会越全方位。可见,在电子商务交易平台中,网络安全具有十分重要的作用。
二、电子商务中网络安全的技术要素
1、防火墙技术。防火墙技术主要是通过数据包过滤以及服务的方式来实现病毒的防治和阻挡入侵互联网内部信息[1]。防火墙好比一个可以设定滤网大小的过滤装置,可以根据用户的需求,对信息进行过滤、管理。在服务器中,防火墙的技术便演化为一种连接各个网关的技术,对网关之间的信息联通进行过滤。虽然上述两种过滤管理技术形式略有区别,但本质相同,在电子商务中,可以将两者结合使用,使各自的优势得到充分发挥。实现在防火墙内部设计好一个过滤装置,以便对信息进行过滤与确定是否可以通过。
2、数据加密技术。数据加密是对于指定接收方设定一个解密的密码,由数学的方式,转换成安全性高的加密技术,以确保信息的安全。这里面会涉及到一个认证中心,也就是第三方来进行服务的一个专门机构,必须严格按照认证操作规定进行服务[2]。认证系统的基本原理是利用可靠性高的第三方认证系统CA来确保安全与合法、可靠性的交易行为。主要包括CA和Webpunisher,RA与CA的两者通过报文进行交易,不过也要通过RSA进行加密,必须有解密密钥才可以对称,并通过认证,如果明文与密文的不对称,就不会认证通过,保证了信息的安全[3]。
3、数字认证技术。为了使电子商务交易平台更为安全、可靠,数字认证技术便应运而生,其以第三方信任机制为主要载体,在进行网络交易时,用户需通过这一机制进行身份认证,以避免不法分子盗用他人信息。PKI对用户信息的保护通过密钥来实现,密钥保存了用户的个人信息,在用户下次登陆时,唯有信息对称相符,才能享受到电子商务平台提供的相应服务,在密钥的管理下,数据的信息得到充分保护,电子商务交易的安全性能得到了大幅提升。
三、电子商务中网络安全提升的策略
1、提高对网络安全重要性的认识。随着信息技术的快速发展,网络在人们工作、生活中已无处不在,我们在享受网络带来的便利时,还应了加强对网络安全重要性的了解,树立网络安全防范意识,为加强网络安全奠定思想基础。应加强对网络安全知识的宣传和普及,使公民对网络安全有一个全面的了解;同时,还应使公民掌握一些维护网络安全的技能,以便发生网络安全问题时,能够得到及时控制,避免问题扩大化。
2、加快网络安全专业人才的培养。网络安全的提升离不开素质过硬的专业人才,由于网络技术具有一定的门槛,如果对专业了解不深,技术上不够专攻,专业问题便难以得到有效解决,应着力提升电子商务网络安全技术人员的专业素养,为加强网络安全奠定人力基础。在培养专业人才时,应勤于和国内外的专业人员进行技术交流,加强对网络安全领域前沿技术的了解和掌握,避免在技术更新上落后于人。
3、开展网络安全立法和执法。网络安全的有效提升需要从法律层面进行约束,应着力于完善网络安全立法和执法的相关工作,加快立法工作的步伐,构建科学、合理的网络安全法律体系。自从计算机产生以来,世界各国均设立了维护网络安全的相关法律法规。在新时期,我国应集结安全部、公安部等职能部门的力量,加强对网络安全的管理,力求构建一个安全、健康的网络环境。
四、结论
综上所述,在信息时代背景下,电子商务假以时日便会成为信息交流的重要平台,成为全球竞争发展的热门领域。我国电子商务起步较晚,但发展后劲十足,在一体化趋势的引导下,电子商务应着力提升网络的安全性,形成具有我国特色的电子商务,在全球经济中力争赢得一席之地。
参 考 文 献
随着Internet技术的不断发展和网络应用技术的普及,网络安全威胁频繁地出现在互联网中。近年来,网络攻击的目的逐渐转变为获取不正当的经济利益。在此种情况下,加强网络安全建设已成为各个企业的迫切需要。烟草公司的网络安全防护机制和安全技术是确保其网络信息安全的关键所在。只有加强防护体系建设和创新安全技术,才能在保证网络安全的前提下,促进烟草公司的发展。
1县级烟草公司网络现面临的威胁
目前,烟草公司计算机网络面临的威胁从主体上可分为对网络信息的威胁、对网络设备的威胁。
1.1人为无意的失误
如果网络的安全配置不合理,则可能会出现安全漏洞,加之用户选择口令时不谨慎,甚至将自己的账号随意转借给他人或与他人共享,进而为网络埋下了安全隐患。
1.2人为恶意的攻击
人为恶意的攻击可分为主动攻击和被动攻击,这两种攻击都会对烟草公司的计算机网络造成较大的破坏,导致机密数据存在泄露的风险。比如,相关操作者未及时控制来自Internet的电子邮件中携带的病毒、Web浏览器可能存在的恶意Java控件等,进而对计算机网络造成巨大的影响。
1.3网络软件的漏洞
对于网络软件而言,会存在一定的缺陷和漏洞,而这些缺陷和漏洞为黑客提供了可乘之机。
1.4自然灾害和恶性事件
该种网络威胁主要是指无法预测的自然灾害和人为恶性事件。自然灾害包括地震、洪水等,人为恶性事件包括恶意破坏、人为纵火等。虽然这些事件发生的概率较低,但一旦发生,则会造成异常严重的后果,必须严以防范。
2构建烟草公司信息网络安全防护体系
要想形成一个完整的安全体系,并制订有效的解决方案,就必须在基于用户网络体系结构、网络分析的基础上开展研究。对于安全体系的构建,除了要建立安全理论和研发安全技术外,还要将安全策略、安全管理等各项内容囊括其中。总体来看,构建安全体系是一项跨学科、综合性的信息系统工程,应从设施、技术、管理、经营、操作等方面整体把握。安全系统的整体框架如图1所示。安全系统的整体框架可分为安全管理框架和安全技术框架。这两个部分既相互独立,又相互融合。安全管理框架包括安全策略、安全组织管理和安全运作管理三个层面;安全技术框架包括鉴别与认证、访问控制、内容安全、冗余与恢复、审计响应五个层面。由此可见,根据烟草公司网络信息安全系统提出的对安全服务的需求,可将整个网络安全防护机制分为安全技术防护、安全管理和安全服务。
2.1安全技术防护机制
在此环节中,旨在将安全策略中的各个要素转化成为可行的技术。对于内容层面而言,必须明确安全策略的保护方向、保护内容,如何实施保护、处理发生的问题等。在此情况下,一旦整体的安全策略形成,经实践检验后,便可大幅推广,这有利于烟草公司整体安全水平的提高。此外,安全技术防护体系也可划分为1个基础平台和4个子系统。在这个技术防护体系中,结合网络管理等功能,可对安全事件等实现全程监控,并与各项技术相结合,从而实现对网络设备、信息安全的综合管理,确保系统的持续可用性。
2.2安全管理机制
依据ISO/IEC17700信息安全管理标准思路及其相关内容,信息安全管理机制的内容包括制订安全管理策略、制订风险评估机制、建设日常安全管理制度等。基于该项内容涉及的管理、技术等各个方面,需各方面资源的大力支持,通过技术工人与管理者的无隙合作,建立烟草公司内部的信息安全防范责任体系。2.3安全服务机制安全服务需结合人、管理、产品与技术等各方面,其首要内容是定期评估整个网络的风险,了解网络当前的安全状况,并根据评估结果调整网络安全策略,从而确保系统的正常运行。此外,还可通过专业培训,进一步促进烟草公司员工安全意识的增强。
3烟草公司的网络信息安全技术
3.1访问控制技术
在烟草公司的网络信息安全技术中,访问控制技术是最重要的一项,其由主体、客体、访问控制策略三个要素组成。烟草公司访问用户的种类多、数量大、常变化,进而增加了授权管理工作的负担。因此,为了避免发生上述情况,直接将访问权限授予了主体,从而便于管理。此外,还应革新并采用基于角色的访问控制模型RBAC。
3.2数字签名技术
在烟草公司,数字签名技术的应用很普遍。数字签名属于一种实现认证、非否认的方法。在网络虚拟环境中,数字签名技术仍然是确认身份的关键技术之一,可完全代替亲笔签名,其无论是在法律上,还是技术上均有严格的保证。在烟草公司的网络安全中应用数字签名技术,可更快地获得发送者公钥。但在这一过程中需要注意,应对发送者私钥严格保密。
3.3身份认证技术
身份认证是指在计算机与网络系统这一虚拟数字环境中确认操作者身份的过程。在网络系统中,用户的所有信息是用一组特定的数据来表示的;而在现实生活中,每个人都有着独一无二的物理身份。如何确保这两种身份的对应性,已成为相关工作者遇到的难题。而采用身份认证技术可很好地解决该难题。该技术主要包括基于随机口令的双因素认证和基于RKI体制的数字证书认证技术等。基于口令的身份认证技术具有使用灵活、投入小等特点,在一些封闭的小型系统或安全性要求较低的系统中非常适用;基于PKI体制的数字证书认证技术可有效保证信息系统的真实性、完整性、机密性等。
4结束语
综上所述,安全是烟草公司网络赖以生存的重要前提,网络安全的最终目标是确保在网络中交换的数据信息不会被删除、篡改、泄露甚至破坏,从而提高系统应用的可控性和保密性。因此,烟草公司必须具备一套行之有效的网络安全防护机制,增强自身网络的整体防御能力,研发网络安全立体防护技术。只有建立完善的信息安全防范体系,才能使烟草公司内部的重要信息资源得到有效保护。
参考文献
中图分类号 TN915 文献标识码 A 文章编号 1673-9671-(2012)092-0101-01
在世界发展的进程中,计算机网络无疑是一项最伟大的科学发明,它打破了时空的界限,为人们进行工作、学习和生活提供了极大的便利,并逐渐地在当前时期成为了办公的主要趋势,日益加深着对于人们的影响。而此种状况也在一定程度上加深了网络安全问题对于人们的影响力度,使得人们暴露在更危险的网络境地中,实施有效的网络安全管理迫在眉睫。而本文便是出于帮助人们解决网络安全问题不良影响的目的,谈论了网络安全各种影响因素以及相关的管理技术。
1 网络安全当前的威胁因素分析
当前时期,人们对于网络的应用逐渐深入,网络安全问题也逐渐加剧。层出不穷的网络威胁严重地阻碍了网络积极作用的发挥,推动网络安全问题全方位的有效解决极其必要。本文下面就分析一下目前威胁网络安全的几点因素:
首先,计算机病毒以及木马程序入侵,是网络面临的最为严重的危害。网络破坏者恶意地编制一系列的程序代码或者是操作指令,以各种信息、资料等作为载体来插入到计算机的程序,并借助于计算机网络的漏洞来发起主动攻击,从而使计算机网络不能够顺利地使用各种功能以及数据,比如蠕虫病毒、宏病毒等。而木马程序则是计算机黑客利用计算机后门将其编制的程序输入到计算机的控制器或者是服务器中,从而对他人的计算机实施远程的非法的操作及控制,达到对于信息的窃取或破坏等。
其次,计算机网络还面临着非授权访问以及恶意传播垃圾信息的安全威胁。计算机破坏者利用其掌握的计算机程序编写或调试技巧来对某些未获得授权的文件或网络进行非法或违规的访问,从而入侵授权的网络内部,达到对于网络上各种信息的窃取或者对于其他应用系统的破坏。而垃圾信息或邮件的传递,则是作为一种网络通行的载体,强制性地将自己的一些信息或邮件输入到其他用户的计算机中,一旦用户阅览这些垃圾资料,破坏者就有机会窃取用户的私人信息。
再者,计算机网络还有可能受到自然灾害、电磁干扰、设备老化等自然因素的威胁,从而使计算机网络的应用出现潜在的难以察觉的漏洞,为其他非法入侵者提供了入侵的途径。
2 计算机网络实施安全管理的相关技术措施
网络用户当前正在更深入地程度上加强着对于计算机网络的依赖,各种私人信息被暴露在网络上,这就使得网络犯罪等问题日益猖獗,其破坏力度也逐渐地加大,进行有效的安全管理已经成为新时期有效利用网络的必要保障。具体而言,应对网络安全问题的管理措施主要有以下几个方面:
2.1 防火墙技术的应用
在计算机网络的安全管理中,防火墙技术以控制访问的管理手段来实施具体的管理,它利用必要的软件以及硬件搭配严格地限定可以通过网络的相关的通信数据,从而增强内部网络对于其他不良信息的抵抗能力。具体来讲,防火墙技术包括不允许访问与不允许通过的两个地址表,还有IP地址匹配以及信息包过滤;两种算法等组成,在网络安全管理中,主要就是通过利用访问控制屏障将内部网络与外部网络进行隔离,从而使内部网络的使用存在于一种相对安全的网关中,进而避免各种破坏性入侵对于网络安全的破坏。目前,人们主要利用服务器、动态及静态分组过滤或者是状态过滤等的防火墙技术来实施管理。
2.2 数据加密技术的应用
当前时期,计算机网络的信息安全管理工作最为关键及核心的保护措施就是数据加密的技术,此种技术能够以自身各色加密算法来实现低成本高成效的网络安全保护,比如,密钥管理便是目前应用较为普遍的一种技术。具体而言,网络保护者利用一种特殊的方式打乱各种信息的排列方式,未授权的访问者无法顺利地实现对于这些信息的有效标识,从而不能够进行非法的网络访问。以密钥管理来讲,私钥加密者利用同一条加密以及解密信息来进行信息安全管理,而公钥加密者则分别利用加密以及解密的两条信息来进行安全防护,二者的使用都是为了使信息只能够被加密者所使用,进而达到对于网络的安全保护。
2.3 身份认证技术的应用
计算机安全防护者为操作系统设定一个独特的身份,从而仅仅使能够经过其身份认证的用户实施操作,从而避免其他访问者对于网络的非法访问。目前身份认证、授权访问、数字签名以及报文认证等认证技术,都在计算机网络的安全管理中有所应用。其中身份认证是借助于用户名或者是口令设定等方法来实现,而授权访问则是系统授予某些用户以独特的访问权限来拒绝其他不具有权限者的访问,数据签名则是应用于私钥加密的函数算法技术,报文认证则是以通信双方互相验证其通信内容,从而确认其报文在传输过程中未受到任何的修改或破坏,顺利地达到接收者手中。
3 结束语
计算机网络的安全管理是当前社会的焦点话题,推动网络安全的顺利、高效实现必须得到有效的践行,所以,计算机的技术研究人员要积极地推动各种安全管理技术的研发以及应用,从而为计算机的安全管理提供必要的支撑。除了上文所提到的各种管理技术之外,用户目前还可以利用入侵检测系统技术以及虚拟专用网技术等,来实施对于网络的安全保护。
参考文献
中图分类号:TP393.08
1 安全管理体系结构及功能
1.1 安全管理体系结构
网络安全是企业安全有效运行的保障,安全管理体系主要包括安全策略、安全运作、安全管理等。安全策略管理是企业网络安全运行的体系基础,有利于项目建设规范化管理和运行和安全工作的开展。安全基础设施系统主要有访问控制、桌面管理、认证管理、防垃圾系统、服务器监控与日志统一管理系统、漏洞扫描系统、服务器加固系统等。莱钢计算机网络整体架构图如图1所示。
1.2 安全管理系统功能
安全管理系统的功能将所管辖的IP计算机信息根据分类登记,有利于其他安全管理模块进行数据连接和信息共享,并配备服务器和交换机加固工具,及时掌握网络中各个系统的最新安全风险动态,并及时的对服务器文件、进程、注册表等进行保护。安全监控系统是监控全网事件报警信息,对当前事件进行安全监督和实时监控,有利于企业网络安全运行和业务系统的安全性,监控的产品主要包括网络中的设备、日志相关信息、相关事件的报警信息等。
2 网络系统安全体系的设计与实施
2.1 身份认证系统设计分析
网络安全运维管理中心设置在信息中心,担负全网桌面安全管理,通过制定相关策略、委派安全角色,对全网数据进行统计分析和安全管理,并通过一系列的安全运行策略建立安全身份认证体系。莱钢统一身份认证系统架构图如图2所示。
RSA SeucrID由认证服务器RSA ACE/Server、软件RSA ACE/Agent、认证设备以及认证应用编程接口(API)组成。RSA ACE/Server软件是网络中的认证引擎,由安全管理员或网络管理员进行维护。
2.2 计算机资产安全管理系统
计算机资产安全管理为莱钢的高层管理人员提供全网资源的多维度分析报表。信息中心成为莱钢的IT系统的“安全策略中心”、“安全管理中心”、“数据汇聚中心”和“报表总中心”。下设一级管理中心,分布在各分部,由总中心授权负责对分部人员权限管理和桌面系统管理,并具体实现对各终端桌面目录、桌面管理、软件分发、系统自动升级管理、信息安全和管理监控功能。软件分发工具大大提高了莱钢桌面计算机管理的自动化程度,提高管理效率。自动化的工作流程还可以避免人工操作带来的风险,使莱钢的桌面计算机上的资产得到更好的保护。通过软件分发机制,从桌面计算机标准化支撑平台将软件分发到指定的桌面计算机和支撑平台内部指定的服务器,消除对桌面计算机和服务器的访问等人为因素导致的错误。及时安装操作系统更新补丁,避免成为黑客和病毒的攻击对象。及时安装应用程序的补丁,减少安全隐患,增加应用程序稳定性和功能。对服务器系统的补丁需要经过评估对现有系统的影响,避免出现业务系统故障。服务器系统的补丁需要利用自动检测技术,通过人工的评估,再实现自动分发和手工安装。
2.3 EAD端点准入防御体系
EAD安全准入主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。
2.4 网络安全模型的设计
从网络安全、应用安全、管理安全的角度出发,设计归纳莱钢网络系统安全模型,主要包括:(1)网络架构防护:采用网络边界防毒、统一身份认证技术和针对于网络设备和网络服务器的漏洞扫描技术;(2)应用系统风险防护:采用的主要技术包括防病毒技术、服务器系统加固技术、计算机资产安全管理技术、补丁管理技术、主页防篡改技术、防垃圾邮件技术、灾难备份恢复技术及统一日志管理技术;(3)安全管理体系建立:通过对安全策略进行有效的和贯彻执行,可以规范项目建设、运行维护相关的安全内容,指导各种安全工作的开展和流程,确保IP网的安全;(4)集中管理、整合监控:对计算机系统进行综合集中管理,对日常的系统、网络、资产以及安全等日常运行能够拥有较为统一的管理入口,对系统网络可用性、资产有效性、安全防范诸多管理功能的组件进行事件级的整合、分析和响应。
3 结束语
互联网已经深度渗透到各个领域,成为事关国家安全的基础设施和斗争,网络安全是保证各种应用系统数据安全的重要基础,必须加强和采取有效的预防措施,掌握网络资源状况及实用信息,可提高网络管理的效率。
参考文献:
[1]温贵江.基于数据包过滤技术的个人防火墙系统设计与研究[D].吉林大学,2010.
中图分类号:TP393.08
随着科学技术的迅速发展,网络得到了较大的发展空间,由于传统的有线网络随着网络应用的不断发展,难以适应现代化社会的需求,因此逐渐被无线网络替代,在丰富了人们生活的同时也给人们带来了更为便捷的服务。但是随着无线网络的发展,也将面临着网络安全问题。
1 无线网络安全协议的形式化方法综述
1.1 无线网络安全协议
无线网络的发展随着社会经济的迅速发展,得到了较大的发展空间,并且随着无线网络的不断发展,针对于无线网络的一个个新的标准和技术也在不断的出现,在某一开放系统中由于主体数量比较大,而两个互不相识的主体希望进行安全通信,那么,它们之间就必须要建立一个安全的通信渠道,而建立了安全通信渠道的两个主体之间必须要运行某种安全协议,以此来完成双方互相认证的功能,当然还应该建立秘钥任务。而无线网络安全协议也就是针对于无线网络而言的安全信道,按照自己的功能可以将安全协议分为可以将其分为三类,首先是认证协议,这主要是提供给一个参与方关于其通信对方身份的一定确信度的一种方式,认证协议包含了实体认证协议、消息认证协议等其他协议,并且认证协议主要是用来防止假冒、否认等相关攻击的。其次是认证及秘钥交换协议,这主要是为了给身份已经被确认的参与方建立一个共享秘密,目前这种方式是网络通信中最为普遍的一种安全协议。最后是秘钥交换协议,这种协议是在参与协议的两个实体之间,或者是多个实体之间建立的共享秘密,尤其是这些秘密可以作为对称秘钥,用于加密、消息认真以及实体认证等多种密码学用途[1]。
1.2 安全协议的形式化方法
针对于安全协议形式化分析,我们可以将其分为计算机安全方法,以及计算机复杂性方法两大类,而计算机安全方法,又可以称之为基于符号理论的形式化方法,它主要是强调自动化机器的描述和分析,但是,由于这种方法存在不可预测性和复杂性,所以这种方法主要是由于攻击者具有指数规模的可能操作集,会导致状态爆炸的问题,计算机安全方法还可以进一步分类:模态逻辑方法、模型监测方法等。计算机复杂性方法,也可以称之为证明安全方法,其主要思想是通过归纳推理,而计算机复杂性方法中应用较为广泛的是CK模型和UC模型。
2 无线网络的安全威胁和具无线网络的具体表现
无线网络的应用较大程度的扩大了无线网用户的自由程度,并且无线网络还具有安装时间短,更改网络结构方便灵活,灵活增加用户等等其他的优点,而最为重要的是它还可以提供无线覆盖范围内的安全功能漫游服务等特点。但是,与此同时无线网络也面临着一些严峻地新的挑战,而其中最为关键的环节就是无线网络的安全性,而由于无线网络主要是通过无线电波在空中进行数据传输的,在数据发射机覆盖的区域内,基本上所有的无线用户都能够接收到这些数据,也就是说用户只需要具有相同的接收频率,那么用户就能够获取所传递的相关信息。并且由于无线移动设备在存储能力,以及计算能力等其他的方面都存在一定的局限性,也就导致在有线环境下,许多安全方案以及安全技术并不能够直接的在无线环境中应用,比如:防火墙通过无线电波进行的网络通信并不具备一定的相关作用,而任何人在特定的区域范围内都能够截获或者是插入网络数据,导致无线网络面临着一些安全威胁{2]。
而针对于安全威胁,我们可以将其分为故意威胁和偶然威胁这两种形式,而故意威胁又可以进一步分为主动故意威胁和被动故意威胁,无线网络安全威胁,主要表现在以下几个方面。首先,攻击者伪装成为合法的用户,通过无线接入非法访问网络资源,从而给无线网络带来安全威胁,这是最为普遍的一种威胁;其次是针对无线连接或者是无线设备实施的拒绝服务攻击;第三是恶意实体可能得到合法用户的隐私,然后对无线网络进行非法入侵;第四,恶意用户可能通过无线网络,将其自动连接到自己想要攻击的网络上去,并采取相关方法实施对特定的网络进行攻击。此外还有很多种威胁,比如:手持设备容易丢失,从而泄露敏感信息。
3 无线网络安全协议的形式化分析的具体方法
安全协议主要是采用密码技术来保障通信各方之间安全交换信息的一个规则序列,其主要目的就是在通信各方之间提供认证或为新的会话分配会话密钥,目前分析安全协议的形式化方法主要有三种,即:推理构造法,这种方法主要是基于知识和信念推理的模态逻辑,比如K3P逻辑等其他逻辑;再有就是攻击构造法,这种方法从协议的初始状态开始,对合法的主体和一个攻击者所有可能执行的路径进行全方面的搜索,以此来找到协议可能存在的问题;此外还有证明构造法,证明构造法集成了上述两种方法的思想和技术。对于无线网络安全协议的形式化分析方法,笔者认为,可以从以下三个方面进行分析。第一,基于逻辑证明的协议分析。BNA逻辑,这种方法最早用于认证和秘钥交换协议的形式化方法,它的出现极大地激发了研究人员对于这一领域的广泛兴趣,BAN逻辑中的证明构造是非常简洁的,并且它还比较容易完成,但是,应用BNA逻辑分析只是一个协议,从具体的协议到逻辑表达式的抽象过程都是比较困难的。BNA逻辑的语法中区分了主体、秘钥以及时鲜值这三种密码要素,并且BNA逻辑可以对WAI的认证模型进行有效的分析,但通过相关研究表明,WAI并不能够有效地实现全部的认证以及秘钥协商目标,这主要是由于WAI中存在着诸多的安全问题,比如:无法提供身份保护、缺乏私钥验证等,这就表明WAPI无法提供足够级别的安全保护{3]。第二,攻击类型以及安全密码协议形式化的分析。在任何一个开放性的无线网络环境中,网络管理人员必须要全方位地考虑到对攻击者存在,主要是由于攻击者可能实施各种攻击,对一些具有价值的文件和网络系统进行破坏,要处理这种安全问题就必须要积极的采取一定的措施。认证协议主要是建立在密码基础上的,而它的主要目的就是为了能够有效地证明所声称的某种属性,认证协议的主要攻击者判定是依靠有没有授权,并且企图获益的攻击者或共谋者。在一般情况下,进行分析认证协议的时,主要采用的是假设底层密码算法比较完善的方式,并不考虑其可能存在的弱点,认证协议典型的攻击主要有消息攻击、中间人攻击以及平行会话攻击等其他形式。第三,基于CK模型的协议形式化分析。CK模型的协议形式化,其主要目标是通过模块化的方法来设计和分析秘钥交换协议,以此来简化协议的设计和安全分析,首先必须要将秘钥协商协议定义在理想的模型之中,之后再采用不可区分性来定义理想模型中的安全性,然后再通过相关方法将协议编译成现实模型中的协议,CK模型采用了相关方法对WAPI的安全性进行了分析,并指出WAPI中存在的安全缺陷。
4 结束语
综上所述,无线网络给人们的生活和工作等方面带来了较大的便利性,但是由于无线网络具有开放性和无线终端的移动性等特点,导致在有限网络环境下的一些安全方案无法直接应用。采用形式化分析方法能够有效的研究出无线网络的安全保障技术,从而促进我国网络技术的发展。
参考文献:
[1]任伟.无线网络安全问题初探[J],信息网络安全,2012(01).
云技术是在网络技术与信息技术不断发展而来的衍生物,其主要通过虚拟技术、分布式计算以及云储存技术,将网络中的各种资源整合起来,根据用户的需求提供相应的服务,也就是按需供应的方式,具有良好的发展前景,推动了我国信息产业的进一步发展,并引起了信息产业的技术创新。因此,需要关注网络安全储存中的问题,合理应用互联网络安全技术,推动信息产业的进一步发展。
1.1身份认证
身份认证技术是网络储存安全系统中的重要技术,其主要应用了以下几种技术:1.1.1口令核对。系统根据用户的权限创建用户口令,在身份验证时仅需要按照指令输入相应的用户ID与口令,即可实现验证,一旦验证正确,即可通过系统检查,若没有通过即为非法用户;1.1.2IC卡的身份验证。该技术首先将用户的相关信息输入IC卡中,在验证时通过输入用户ID与口令,智能卡能够将随机的信息输送至验证服务器,从而完成验证,有助于提高网络安全性;1.1.3PKI身份认证。这是基于公钥基础设施所研发的认证技术,其通过匹配秘钥来完成加密与解密的操作,在秘钥备份、恢复机制以及秘钥更新等功能之下来维护系统的安全性;1.1.4Kerberos身份认证。其主要是基于第三方可行协议之下的认证渠道,其拥有资源访问系统和授权服务器,能够对用户的口令进行加密,从而获得授权服务器的使用权限,在进行身份验证之后,获得了相应的合法操作权限,从而能够享受到相应的服务。
1.2数据加密
数据加密技术可以分为对称加密技术与非对称加密技术,对称加密技术具有较高的解答难度,且安全性较高,但是在秘钥传递与秘钥管理中存在较大的难度,同时无法实现签名这一功能。非对称加密算法能够有效完善对称加密算法的漏洞,但是在秘钥传递与管理方面的作用有限,虽然安全性较高,但是应用效率低且复杂性高。
2互联网络安全技术的应用
互联网络安全技术的应用推动了我国社会的快速发展,但是在带来许多便利与价值的同时,其本身的存在对于网络安全储存也造成了较大的威胁。为了更好的利用互联网络安全技术,需要了解其在计算机网络安全储存中的应用方法,并以此为基础,采取有效的措施来提高其的应用效果。
2.1可取回性证明算法
在目前的网络安全储存中,主要是通过应用可取回性证明算对相关数据信息进行处理和验证。在此算法中,通过加入冗余纠错编码,能够对用户在互联网络安全中的身份进行验证。在数据信息查询中,就是对云端进行验证,在响应之后,用户能够对数据信息进行查询,并对数据的安全状态进行确认。用户若无法通过验证,则可能导致文件损坏,需要通过可取回性证明算法来恢复损坏的数据。若数据信息是在可取回范围内被破坏的,可以利用冗余编码重复利用,这样能够提高数据信息的安全性,同时也能够保障数据恢复的成功率。
2.2MC-R应用策略
互联网络安全技术在计算机网络安全储存中的应用可以通过采用0MC-R策略,从而能够提高数据信息的控制效果,有助于提高数据管理效率。在实际应用过程中,0MC-R策略的实施主要可以从两方面着手:(1)首先在用户端在利用MC公钥密码算法进行加密。网络储存在联合互联网络安全技术之后,云端数据信息的伪装性能就会下降,这样就需要通过MC公钥密码算法进行加密处理,将数据进行模块、标记模块、隐藏模块的伪装,从而提高数据信息的安全性。三个模块都具有不同的功能,因此会表现出不同的特点,相互之间需要通过良好的合作才能够发挥较大的作用。(2)互联网络安全技术具有强大的计算能力,在计算机网络运行过程中,要想计算云端数据,首先需要进行核心数据加密与校验,从而避免云端算法应用过程中出现的数据顺号的问题。在应用云端算法的过程中,主要涵盖了两个模版,一个是加密模版,另一个是解密模版。用户在根据系统指令进行操作之后,用户通过MC公钥密码算法保存相关数据,当密码形成之后就会自动进入加密环节,在此过程中只需要进行MC公钥密码算法的处理,然后将秘钥上传至云端中,当云端获取相应的数据信息之后,需要再次进行信息加密处理。用户可以根据实际需求觉得是否需要通过MC公钥密码再次进行加密处理。可以利用加密程序用秘钥打开加密数据。
3结论
综上所述,网络技术在各行各业中的广泛应用,使得大数据信息处理成为目前需要解决的重要问题。利用互联网络安全技术能够通过数据共享,从而对海量数据进行快速计算与分析。本文针对互联网络安全与防护措施进行探讨,从而提高数据库的安全性。网络成为人们工作与生活中的重要工具,但是由于网络的开放性和共享性,使得网络技术在应用过程中容易出现各种安全问题,成为现代社会关注的重要问题。在网络安全数据储存中应用互联网络安全技术,不但能够提高系统的扩展性,同时能够提高系统的吸能,对于提高计算机网络安全储存系统的安全性具有重要的作用。
