时间:2023-12-20 15:08:34
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全新形势范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
中图分类号:TP311.52 文献标识码:A 文章编号:1009-914X(2014)42-0146-01
1.前言
随着我国信息化进程的不断深入,各个行政事业单位广泛应用信息化技术。而行政事业单位想要满足现代化社会发展的需求,就要应用先进科学技术,实现信息化网络安全管理。信息化网络安全问题成为行政事业单位广泛关注的焦点问题,病毒破坏、黑客攻击、非法入侵已经成为威胁网络安全的主要杀手。因此,通过对行政事业单位信息化网络安全的实现研究,可以促进行政事业单位信息化网络安全的实现。
2.行政事业单位信息化网络安全设计原则
2.1 技术先进性与成熟性
行政事业单位信息化网络安全设计,一方面要确保技术的先进性,另一方面,还要确保技术应用的成熟性。行政事业单位信息化网络安全设计不仅可以体现出当前先进的科学技术水平,还具有一定的发展空间,使行政事业单位信息化网络当前具有一定的领先性,在未来的发展中具有可开发性。
2.2 系统稳定性与可靠性
行政事业单位工作人员在进行信息化网络安全设计时,不仅要考虑到技术的先进性与成熟性,还要考虑到网络安全系统运行的稳定性与可靠性,确保行政事业单位信息化网络安全系统能够安全、可靠、稳定的运行。
3.行政事业单位信息化网络安全的重要内涵与内容
在当今信息时代,网络信息安全是一道极为关键的屏障,特别是行政事业单位的信息涉及到很多重要的数据,这就需要我们不断敏锐眼光,将信息化网络安全放在首位。信息化网络安全主要包括一些较为基础的运行信息,如域名和IP地址等,它们能够为广大用户的信息区别和认识服务,如确认网络用户的真实身份,也可以阻止那些不良信息侵入到网络中,还可以为用户提供大量的信息资源和服务器信息,形成和发展索引、导航等。一般来说,信息化网络安全都具有生命周期性,应包括应急响应、安全检查与稽核、安全意识的技术培训和教育、安全原则和安全目标的确定、安全工程的运行和测试、安全工程的实施监理、风险分析、安全工程的实施、安全产品与安全技术的选型与测试、需求分析、安全实施领域的确定、安全体系、安全策略等,这些构成了网络信息安全的一个完整生命周期,经过安全检查和稽核之后,又开始孕育下一个生命周期,周而复始,不断上升、不断往复。黑客水平在提高,信息技术在发展,那么相应的安全技术、安全体系、安全策略也要随之实现动态调整,使整个网络信息安全系统都随时处于一个动态过程中,不断进步、不断完善、不断更新。
4.行政事业单位信息化网络安全实现的有效措施与方案
4.1 加强外联网络安全防护
目前外联的方式可以通过蓝牙系统、红外线系统、无线网卡、PCMCIA、有线网卡、USB端口等一系列措施进行互联,应该在终端就对非法网络行为进行阻断,这是最为安全、最为有效的防护措施。因此,应该屏蔽不明端口,对计算机信息网络系统通过终端安全管理系统来固定设置,一旦发现有那些非法的客户端企图连接网络,那么应该将非法的客户端进行网络屏蔽或者阻断。笔者建议建立一套身份认证系统(基于PKI体系),进而实现访问控制、数据加密。同时,将CA认证系统和认证网关部署在重要服务器区附近,并且使得二者实现联动,促使实现传输通道的加密功能和用户的安全访问控制。
4.2 加强操作系统的安全防护
对于操作系统而言,必须要对其安全进行严格的防范,务必要利用专业的扫描软件来检测操作系统是否存在安全漏洞,存在多大的安全漏洞,一旦发现问题,那么就必须有效地分析问题,提出有效的安全配置方案,提出补救措施,严格限制关键文件和资料的使用权限,加强身份认证强度、完善认证机制,加强口令字的使用,及时给操作系统打上最新的补丁,将危险降至最低。
4.3 选择适宜的加密机制
逐跳加密是传统的网络层加密机制,即在发送信息数据的过程中,转发到节点和传输的过程采取密文方式,而信息在接收端和发送端之间则采取明文。但是众所周知,物联网的业务使用和网络连接是紧密结合,这样一来,就面临着是选择端到端加密,还是选择逐跳加密。
逐跳加密只是在网络层进行,且不需要对所有信息数据都加密,只需要对那些受保护的链接加密即可,因此,可以在所有的业务中都适用,也就是说,能够在在统一的物联网业务平台上对所有不同的业务进行安全管理,这样一来,就有效地保证了逐跳加密的可扩展性好、低成本、高效率、低时延的特点。但是值得注意的是,逐跳加密需要对信息数据在各传送节点上进行解密,因此,各个节点都很有可能会对被加密消息的明文进行实时解读,安全隐患较大,各传送节点的可信任度必须很高才行。
而端到端的加密方式则不同,它选择不同的安全策略主要是按照业务类型的不同来选择的,低安全要求的业务不提供或者只提供低安全等级的保护,高安全要求的业务才会提供高安全等级的保护。但是端到端的加密方式有个致命的确定,那就是不能保护消息的目的地址,不能对被传输消息数据的终点与源点进行掩盖,很容易遭到恶意攻击。
综上,对于高安全需求的业务,最佳的选择是采用端到端的加密方式;对于低安全需求的业务,则可以先选择逐跳加密的保护方式。
4.4 加强员工计算机知识和网络知识的培训
员工安全意识的薄弱与员工对计算机知识和网络知识匮乏有直接关系。员工因为对这些知识的不懂或不熟悉,所以就对网络安全没有理性的认识。要加强员工网络安全意识,就要提高员工的计算机知识和网络知识,使员工从根本上了解计算机安全和网络安全,这样员工才能很好的遵守网络安全规则。提高员工的计算机知识和网络知识的有效途径就是通过举办培训班,通过培训使员工掌握基本的计算机知识和网络知识,使员工充分了解网络的安全性和重要性,从而让员工自觉遵守网络安全的规则。
4.5 应用数字签名技术
数字签名技术实际上就是利用某种加密算法来生成一系列的代码和符号,然后再将其组成电子密码来代替印章签名或者书写签名。与此同时,数字签名技术还可以进行技术验证,其准确度是图章签名和手工签名所无法比拟的。数字签名技术采用了科学化的方法和规范化的程序,是当前操作性最强、技术最成熟、应用最普遍的电子签名方法。它能够对传输过程中电子文件数据是否有所改动进行准确验证,能够确保电子文件的不可抵赖性、真实性和完整性,可以用于认可电子数据内容和鉴定签名人的身份。数字签名就可用来防止收件人在收到信息之后又加以否认,或发送伪造信息;或修改信息等情况的出现。数字签名技术有多种算法,目前来看,RSA签名算法、DSS/DSA签名算法、Hash签名算法是应用最为广泛的。无论何种算法,其技术基础都是公钥算法体系,用户若要创建数字签名,只需要利用私钥来加密信息即可。然后,再将这种加密信息附加在所要发送的信息上,即可放心发送。
5.结语
总之,行政事业单位信息化网络系统由于受到各个因素的影响,导致其安全运行存在许多问题,务必要实现行政事业单位信息化网络安全,才能更好的服务于社会。
参考文献:
中图分类号:TP393
计算机网络是计算机科学发展的产物,对于信息的共享、实现远程通信等提高了可靠性和拓展性。但是,正是由于计算机网络的不断发展,计算机网络安全存在着严重的威胁,影响了计算机网络功能的发挥,甚至在一定程度上损害了人们的经济利益和社会利益。因此,正确认识计算机网络安全问题,做好计算机网络安全问题防范工作,对于提高生产生活效率,具有重要的意义。
1 计算机网络安全的含义
计算机网络安全也是计算机网络的信息安全,主要是指网络系统中的数据、软件和硬件受到一定保护,计算机网络系统能够顺利地连续地运行,不会因为各种因素出现信息泄露、被篡改、被破坏和网络服务器出现中断的现象。网络安全问题涉及的不仅是计算机网络的管理问题,还涉及到计算机网络技术方面的问题,二者缺一不可。随着计算机技术的飞速发展,网络攻击被认为是对计算机网络安全威胁最大的问题。计算机网络安全具有可审查性,可控性,可用性,完整性和保密性五个特征。此外,计算机网络自身存在着脆弱性和自由性,因为对用户没有过多限制,很多用户都可以在网络中和获取信息,再加上计算机技术的不断发展和更新等,都给计算机网络带来了巨大的信息安全威胁。
2 计算机网络的不安全因素分析
计算机网络的不安全因素有很多,除了人为因素之外,还有自然的因素和偶发的因素。计算机网络的不安全因素主要表现在以下几个方面:第一,信息泄露。具体表现为计算机网络中的信息被人窃听,通过这种窃听获得一定的数据信息,给计算机网络带来了一定的消极影响。第二,信息篡改。信息篡改不属于信息泄密层次上的侵犯,通过信息篡改,可以给信息数据带来巨大的损害。不法分子通过截取网上的信息包对其进行更改,或者故意增加一些对自己有利的信息,带来了信息误导的作用,而使得信息原本作用受到了影响。第三,传输非法信息流。这种不安全因素主要表现为只允许用户之间进行特定类型的通信,而其他类型的通信则不可以被运用,给信息安全带来了问题。第四,利用网络资源错误破坏资源。不合理的资源被访问控制,一些有用资源很可能被偶然地或者故意地被破坏,影响了计算机网络的安全问题。第五,非法利用网络资源。通过用户名和密码登录到特定用户登录系统里去,并对系统中的网络资源进行利用、消耗,对合法用户的利益造成了损害。第六,环境因素。自然环境和社会环境会给计算机网络带来安全问题,影响网络系统的安全运行。自然环境主要是各种自然灾害,如地震、泥石流、水灾、风暴、建筑物被破坏等,有可能使计算机的网络信息不再或者影响信息资源的继续传播和共享,直接给计算机网络信息带来威胁。而社会环境主要是一些偶发性的因素,如电源故障、设备故障、软件开发中的漏洞等都可能给计算机网络带来严重威胁。第七,软件漏洞。计算机网络系统中的操作系统、数据库、应用软件、TCP/IP协议、网络软件和服务、密码设置等中存在着一些安全漏洞,这些安全漏洞,一旦遇到病毒技术的攻击,很容易带来灾难性的后果。第八,
管理人员的人为安全因素。不管系统有多强大,且配备了多少安全措施,管理人员如果没有实施好安全管理,或者没有按照规定正确使用计算机网路系统,甚至通过人为地暴龙一些关键性信息,都会给计算机网络带来严重威胁。具体说来,管理人员的人文安全因素主要有安全意识淡薄、安全措施欠完善、安全管理水平较低、安全管理制度不健全、操作不当等。
3 计算机网络安全问题的防范的对策
3.1 技术策略。从技术的角度出发,计算机网络安全防范技术主要有数据备份、防火墙技术、加密技术、物理隔离网闸技术等。需要注意的是,计算机网络安全技术并不是靠一个安全防范技术就能实现的,而需要多个技术的共同作用来促进其实现。
(1)数据备份。数据备份是指对硬盘上的信息数据等有用资源进行拷贝、复制,将其转移到另外一个移动存储硬盘中,防止因为计算机网路受到信息侵害时出现信息丢失,造成巨大损失的手段。因为人为因素或者环境因素,计算机中存储的信息数据有可能会丢失,如果之前采用数据备份的方式将其复制到移动存储硬盘中,就能在发生信息危险的时候将其重新转移回来了,从而有效地避免了这些信息损失。
(2)防火墙技术。防火墙技术是指在计算机网络中安装一种能屏蔽计算机内部网络结构,防止计算机被外界网络识别和入侵,从而造成信息数据的威胁的重要手段。防火墙技术作为建立在计算机网络与网络之间的安全保护系统,能够通过对经过防火墙的数据进行检测、限制和更改,因而保证了计算机网络系统内部的安全。从此可以看出,防火墙的运用可以提高计算机网络内部系统的安全性,防止信息被窃听、篡改和破坏。
(3)加密技术。加密技术是指通过计算机网络系统进行加密,其他非法人员和用户通过用户登录系统享用信息资源和破坏信息资源的有效手段。通过加密技术,合法用户能够有一把属于自己的“钥匙”,在登陆的时候通过用户名和密码可以查看、更新、下载信息资源,从而保证了信息资源的安全。此外,随着加密技术的不断发展,密码被处理成“密文”,再加上解密技术的发展,为计算机用户提供了巨大的方便。
(4)物理隔离网闸技术。物理隔离网闸技术是指在连接两个独立的主机之间建立多种控制功能的固定开关读写介质,两立的主机之间只存在着读写两个命令,而没有通信的连接、信息传播命令,形成了一种物理隔离的方式,是一种有效的信息安全设备,对于计算机的安全防范起到了良好的效果。有了物理隔离网闸技术,能够阻隔具有攻击性质的计算机网络黑客,使其无法入侵计算机网络系统,因而有效保护了计算机网络系统的安全。
3.2 安全管理策略。做好安全管理策略,可以有效防止计算机网络管理方面带来的安全问题,全面保证计算机网络安全的顺利进行。计算机网络给合法用户带来了巨大的方便,却在提供方便的同时因为用户的个人利益对他人用户带来了安全威胁,这需要充分发挥安全管理的有效作用。
首先,要加强管理意识。从认识上抓好计算机网络安全管理,对于计算机网络系统进一步强化,在系统中进行设备和网络密码的设置和管理,定期对密码和设备进行更换,并确保知道密码的人越少越好,设置密码的多层管理,防止计算机网络安全受到威胁。
其次,要加强计算机网络维护和管理人员的培训和教育工作。加强网络安全管理的主体是人,从加强他们的专业素质出发,提高他们的解决网络安全问题的能力,防止监守自盗的现象出现。一方面,要提高他们的思想素质,并加强他们对网络攻击方式的认识,学习网络攻击方式的各种办法途径,加强管理和维护,及时发现各种不安全因素;另一方面,要提高他们的网络攻击处理技术水平,让其更好地完成计算机网络安全维护和管理工作。
此外,还要加强计算机网络设备的管理,建立健全计算机网络安全管理体制,从各个方面将计算机网络安全隐患降至最低,从而确保计算机网络安全有效防范。
参考文献:
[1]孟晓明.网络信息的安全问题与安全防护策略研究[J].情报杂志,2004,3.
[2]任从容.网络安全问题的探讨[J].科技创新导报,2008,32.
[3]余伟.计算机网络安全问题剖析[J].电脑知识与技术,2009,21.
[4]薛海英,何喜彬.计算机网络安全问题剖析[J].知识经济,2010,4.
文章编号:ISSN1006―656X(2014)01-0064-01
一、网络信息安全面临的新威胁
(一) 网络空间的思想文化受到严重攻击
历经多年无辜栽赃、随意指责后,美国针对中国的抹黑突然升级。2013年,美国的一家网络安全公司曼迪昂特在一份报告中称,近年美国遭受的网络“黑客攻击”多与中国军方有关,而西方媒体立即将这一事件放大为世界舆论,中国国防部不得不出来辟谣。其实,在指责中国进行网络“黑客攻击”的同时,美国却在对中国实施着远超网络局限的战略“黑客攻击”。美国生产的苹果、微软、谷歌等代表的高端信息产品,控制着全球经济食物链的顶端,且其信息产品自身携带破解对方防御的网络技术。这种贼喊捉贼式的黑客指责,乃为掩护其实质性的网络战略安排,肆意侵犯我国思想文化营造舆论支持。
(二)服务器成为重点攻击目标
数字化时代,在线服务、网络设备和传输的数据量都在迅速增长。在客户端防御越来越严密的基础上,服务器被列入重点攻击目标。2013年初,国内多家大型网站均曝出被黑客拖库的消息,黑客入侵网站服务器、窃取用户数据库后,利用其获取的大量帐号密码在网上支付等平台上试探盗号,也就是俗称的先拖库、后撞号,间接导致一些知名支付平台和微博网站相继遭到大规模撞号攻击,用户的账号密码瞬间被暴露出来,之前只在局部范围流传的数据一夜之间暴露在公众面前。
(三) 电脑病毒制造者针对智能手机的攻击会更加剧烈
高性能智能手机市场份额的快速增长,以及智能手机的恶意软件类型呈现多样化,引发了手机安全威胁的爆发。目前,采用塞班操作系统的手机正在迅速被Android系统取代,国内Android市场管理又相对宽松。高性能智能手机在移动互联网的使用体验和PC又没有本质差异,基于PC互联网的攻击者不断向手机平台转移,从最开始的暗扣话费、订购服务、浪费流量,发展到窃取隐私和云端控制手机。2012年底,数以千万计的智能手机被曝植入CIQ手机间谍,一时引发世人瞩目。
(四) 最危险的攻击来自企业内部
内部攻击可能是最具有毁灭性。由于特权用户可以访问绝大部分数据,而大多数企业还不具备监控所有数据的能力和设备,且来自内部的威胁通常是动态的,特征也在不断变化着。如同预防恶意软件一样,防护者必须提前采取内部控制措施。
二、对策与措施
(一)高度重视与维护网络空间的思想文化
第一,在思想认识上要将网络安全提升到国家战略高度。必须像重视领土领海一样,高度重视网络空间的思想文化。认真学习借鉴他国的经验做法,尽早制定网络领域成体系性的法律,以及应对网络战的攻防战略。第二,大力发展中国信息产业,尽早摆脱对美国的技术依赖。现在,国际互联网信息流量三分之二来自美国,第二名的日本占7%,中国信息输出流量只有0.05%。这一方面说明美国信息网络霸权何等强大,同时也凸显国家在这一领域的劣势。我国应迅速转变低技术发展模式,尽快将资金、人力转向新型战略产业上来。第三,以爱国主义为旗帜,以民族危亡为警策,警惕国外非政府组织的渗透,限制外资进入中国政治新闻类网站,并在思想文化领域夺回网络舆论的主导权。
(二)着力提升网站的安全性
首先,强化网站的日常安全维护。网站专业技术人员要及时为服务器操作系统和网站程序打好补丁,防止因网站程序版本陈旧、服务器操作系统更新补丁不及时,被黑客利用入侵,成为傀儡主机。同时,从安全的角度,建立健全网站专业技术人员日常维护管理考核机制,强化对网站的日常安全维护,严谨地开展测试流程,去除不必要的风险因素。特别在用户交互环节,更加注意控制权限,过滤可能出现的威胁。其次,建立网站安全检测平台。在网站安全检测方面,建立网站安全检测平台,提供集漏洞检测、挂马检测和篡改检测于一体的一站式服务,动态监控网站安全状况。一旦发现网站被挂马或被篡改,能够自动以邮件等方式通知网站管理员,可在第一时间为高危漏洞提供修复建议,将网站蒙受损失的风险降到最低。
(三)强化关键人员手机的使用管理
手机以无线信号方式进行通信,只要使用相应的接收设备,都可以接收手机通信信息,且使用手机上网、接收彩信、下载安装文件时,手机都有可能在不知不觉中被植入间谍窃密软件,变成身边的窃听、窃照、定位等间谍工具,因此,使用手机毫无秘密可言。单位关键人员、重要人员使用的手机必须经过必要的安全检查,尽可能配备和使用专用手机,严禁使用未经入网许可的手机和开通位置服务、连接互联网等功能的手机。同时,不得在手机中存储重要人员的工作单位、职务等敏感信息,不得启用手机的远程数据同步功能。手机出现故障或发生异常情况时应立即报告,并在指定地点维修,无法恢复使用的手机应按器材销毁。
(四)加强保密技术设施建设
[5]杨梅喜.关于完善网络安全立法的建议[EB/OL]..2013-8-31.
[6]杨文阳.中国网络文化安全评价指标体系的研究[D].武汉:华中科技大学.2007年.
引言
当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式。网络安全和信息化对一个国家很多领域都是牵一发而动全身,被视为继陆、海、空、天之后的“第五空间”。如何应对网络安全威胁,虽然国内外在网络安全管理领域不断地探索,但网络安全问题想要彻底的规避还需要更加完善的技术与管理。
1.网络安全管理的现状
网络安全管理是保障网络正常运行的基础,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,防止网络系统因为突发事件或恶意的攻击而遭到破坏、更改、泄露,系统连续、可靠正常地运行,网络服务不中断。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。技术手段是网络安全管理的必要手段,包括网络安全硬件、网络安全软件和网络安全服务。其中,网络硬件包括防火墙和VPN、独立的VPN、入侵检测系统、认证令牌环卡、生物识别系统、加密机和芯片。网络安全软件包括安全内容管理、防火墙和VPN、入侵检测系统、安全3A、加密等。其中安全内容管理还包括防病毒、网络控制和邮件扫描,安全3A包括授权、认证和管理等,这些技术手段的运用在一定程度上促进了网络安全管理的有效性。
但是由于网络的复杂性,在当前网络管理中具有很大的不稳定性,所以网络安全管理具有很大的挑战性。我国整体的网络安全意识相对缺乏,自主创新方面还相对落后,网络安全系统的防护能力较差,参与信息安全管理的机构权威性不够,并且大部分的网络设施还依靠进口,这就导致我国网络安全管理的效果不明显。不过,据调查显示,如今我国对网络安全管理的重视程度越来越高,80%以上的单位已经配备了专门的安全管理人员,并有超过10%的单位建立了自己的网络安全组织。但也仍然存在安全管理人员没有经过严格的培训、安全经费投入比例较少等问题。如图1所示:
图1
图1所示是对我国当前网络安全管理现状的调查,可见网络安全管理问题已经得到人们的重视,但能够达到网络安全管理程度很高的单位所占比例还比较少。
而在国外,西方发达国家从上世纪八十年代就开始重视网络安全问题,在网络安全基础设施的建设上也比较完备,并且很多网络安全技术、防护技术至今还是未向外公开的。但是即便如此,国外的网络安全问题并没有被遏制,计算机犯罪及网络侵权问题仍然严重威胁着网络使用的安全,并且带来了严重的经济损失。因此,不论是国内还是国外,网络安全管理的现状都不容乐观,必须加大管理力度及投入,制定合理的网络安全管理措施。
2.网络安全常见问题
2.1 病毒问题
病毒是威胁网络安全的常见问题之一。根据《2013年中国网络安全报告》现实我国中毒机器环比大幅增长。网络病毒主要指的是一种特殊的程序,这类程序能够窃取网络、终端设备上的隐私,并且对网络的正常运行会造成一定的影响。如果感染上病毒,则系统的运行效率会急剧下降,甚是会使得系统死机或造成毁坏,导致文件及数据的丢失,或者导致重要部件的损坏。病毒在网络的作用下传播的速度非常快,对网络安全的威胁性非常大。
2.2 黑客攻击问题
黑客攻击问题也是计算机网络安全问题之一。2013年,电脑管家网址安全云中心监控到被黑客攻破利用的网络20.3万个。黑客本来是指掌握较高计算机技术的人群,但在这类人群中有部分人利用自己的技术对计算机网络进行攻击或破坏。一般而言,黑客攻击可以分为两类,即破坏性攻击和非破坏性攻击。非破坏性攻击在实施以后往往会扰乱计算机网络系统的正常运行,但对系统内的资料并不进行窃取,攻击的方式一般为拒绝服务攻击或信息炸弹。而破坏性攻击则会侵入计算机网络系统,窃取保密资料,或者对目标文件进行破坏,因此这类攻击对计算机安全的威胁性非常大。
2.3 垃圾邮件问题
垃圾邮件也是计算机网络安全面临的重要问题。其主要是利用公开的电子邮件地址,进行垃圾信息的传递,将商业信息、宗教信息及政治活动的信息强行的通过电子邮件的形式进行传递,强迫别人接受垃圾邮件。这类邮件中的不安全内容及信息会传递到用户的邮箱当中,能够助力不法活动的组织及传播,对整个社会都有一定的安全威胁。
2.4 间谍软件问题
间谍软件对网络安全的威胁性非常大,间谍软件对网络安全的影响不在于对计算机网络系统进行破坏,而是通过这类软件的植入可以窃取用户的信息,并且可以监视用户的行为,进行广告的,甚至对计算机系统的设置进行更改,不仅用户的隐私被暴露,影响计算机网络的安全,而且还会影响计算机系统的性能。特别是随着智能手机、平板电脑的快速普及,移动互联网安全形势不容乐观,带来的数据信息泄露问题也更为突出。
2.5 网络犯罪问题
网络犯罪是一种通过窃取口令的方式非法的侵入到用户的系统之后,进行有害信息的传递,并恶意对系统进行破坏的犯罪行为。网络犯罪通过网络的途径进行诈骗、盗窃等活动,对网络安全的威胁非常之大,并且对整个社会的安全及稳定性也会造成极大的影响,必须予以严厉的惩治。
2.6 突发事件导致的安全问题
突发事件所导致的网络安全问题不容忽视,这类事件主要可以分为三种情况:
第一,由于突发的自然灾害,如地震、火灾、台风等而导致的网络信息系统的损坏;
第二,由于突发的事故,如电力的终端、软件及硬件设备的故障等原因,而导致的网络信息系统的损坏;
第三,由于人为原因而导致的网络信息系统的损坏,这里的人为原因主要是指人为的破坏网络的线路及相关的网络设备。
这三类事件的发生往往是对网络软件或硬件设备的损坏,从而导致信息的丢失及不良信息的流入,给网络安全带来一定的影响。
3.网络安全管理建议
3.1 提高网络安全防范意识
网络安全是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,网络安全问题仅通过技术手段来解决是不够的,提高网络安全防范意识是促进网络安全管理有效性的保障。首先,人员因素是提高安全管理环节的重要一环,加强对网络管理人员的网络安全教育,全面提高人员技术水平、政治觉悟和安全意识是网络安全的重要保障。要加强安全防范意识,以有效的排除网络安全影响因素。其次,加强网络安全宣传,明确网络安全问题所带来的严重后果,在所有的网民之中树立起维护网络安全的意识,从而自觉抵制影响网络安全的行为。
3.2 加强自主知识产权技术开发
目前中国网络信息核心技术和关键设备严重依赖他国。相关数据显示,全球网络根域名服务器为美国掌控;中国90%以上的高端芯片依赖美国几家企业提供;智能操作系统的90%以上由美国企业提供。中国政府、金融、能源、电信、交通等领域的信息化系统主机装备中近一半采用外国产品。基础网络中七成以上的设备来自美国思科公司,几乎所有的超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科公司掌握。虽然华为、中国移动等公司研发应用了一批拥有自主知识产权的技术产品,但要建设具有自主知识产权的信息产业核心技术,实现我国信息产业自主创新与跨越发展,需要进一步加强顶层设计,集中攻克事关国家战略利益的信息产业关键技术,研制一批具有自主知识产权的重要设备和关键产品。
3.3 完善网络技术管理
技术与管理一直是信息安全工作的焦点问题,从BISS公布的数据看,超过70%的信息安全事故如果事先加强管理都是可以避免的,也就是三分技术、七分管理,二者并重。在网络安全防护方面,国家虽然推行了安全等级和分级保护的众多规定,但部门和重点企业单位更多用设备购置来满足安全分级要求,安全后期服务没有常态化。这导致安全防御设备使用成效低下,无法及时监测内部安全态势,完成系统升级等服务。因此,必须要建立健全网络安全管理机制,做好物理环境的安全管理、网络系统管理、以及网络安全使用规范。此外,完善网络安全管理相关技术是促进网络安全管理的重要保障。首先,要更好的完善传统的网络安全管理技术;其次,要积极开展双边、多边的互联网国际交流合作,不断应用拓展及开发新技术。
3.4 强化法律手段对网络安全管理的干预
法律是信息网络安全的制度保障,强化法律手段对网络安全管理的干预是促进网络安全问题得以解决的重要手段。
首先,要借鉴国外的相关成功案例,结合我国的实际情况,对我国的网络安全法律法规进行完善;
其次,建立高素质的网络安全执法队伍,促使网络安全问题能够及时的被发现,从而提高执法的效率;
第三,建立规范的网络运行秩序,严厉打击网络犯罪行为,并定期进行网络秩序的整顿,以预防网络安全问题的出现。
3.5 加大网络安全专业人才队伍建设
据了解,2012年,中国网络安全领域的人才需求量已达50多万人,当时我国网络信息安全专业人才仅约4万人,而每年我国网络信息安全专业毕业生却不足万人,人才缺口凸显。世界范围内,网络安全人才也是稀缺资源。未来网络安全领域的竞争一定是人才竞争,对比国内外在网络信息安全领域的投入力度和方式发现,中国的投入仍相对集中于“硬件”上,而怎样培养出更适应中国网络安全实践需要的人才、怎样将优秀人才留在中国国内以及网络安全保障体系内,是我们需要不断思考的问题。
4.结束语
随着云计算、物联网、移动互联网、大数据、智能化等网络信息化新兴应用持续拓展,未来中国网络安全威胁将持续扩大。在2014年召开的中央网络安全和信息化领导小组第一次会议上,网络安全已经提升为国家重大战略问题。如何建设成为网络强国,关键还得建立自己的核心竞争力,升级网络发展思路,把经济增长优势、信息基础优势、优秀文化优势转化为话语权,确保国家网络安全。
参考文献
[1]巴大伟.计算机网络安全问题及其防范措施[J].信息通信,2013(8).
[2]罗耀.浅谈计算机网络安全管理的措施[J].信息与电脑,2011(3).
[3]王弘扬.浅谈计算机网络安全问题及防范措施[J].黑龙江科技信息,2012(2).
[4]熊英.计算机网络安全管理研究[J].科技风,2010(21).
[5]余平.计算机网络安全管理研究[J].科技信息,2012(17).
内部网络安全与人事档案材料运行风险分析
内部网络(局域网)的开发应用,给内部人事部门在处理各类人事档案材料带来无尽的好处与便捷,随着内部网络应用的扩大,网络安全风险也变得更加严重和复杂,原来由单个计算机安全事故引起的损害可能传播到其他系统和主机引起大范围的瘫痪和损失,直接影响人事档案材料在内部网络运行中的安全。内部网络的安全问题主要有:
(一)内部网络物理安全问题。内部网络物理安全是整个网络系统安全的前提,物理安全存在风险主要有:火灾、水灾、地震等环境事故,造成整个系统毁灭;电源故障,造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁等,造成系统毁灭或人事档案材料泄漏;不正常的机房温湿度环境,造成服务器、路由器、交换机等局域网核心设备出现故障,甚至烧毁等。上述各种情况的发生,都将使人事档案材料在录入、整理、传递、存储等问题上存在安全问题。
(二)内部网络结构的安全问题。加强内部网络结构安全,防范黑客和病毒的攻击,是人事档案材料在内部网络运行中的安全保障,网络结构安全风险主要有:一是来自因特网的安全威胁,对于内部局域网络系统,就人事档案材料的录入、传递、整理、存档等,人事部门都制定相关规章,明确规定网内用户不得与互联网直接或间接相连,确保人事档案信材料在内部网络运行中的安全。尽管这样,但从技术角度看,用户计算机大多具备通过拨号方式连接因特网的能力;从管理角度看,也无法保证所有用户都能自觉严格执行有关管理规定。二是内部局域网络安全受到威胁,导致人事档案材料丢失和泄密,据有关数据统计表明,发生网络安全攻击事件中约70%是来自内部网络的病毒侵犯。三是内部网络设备的安全隐患,也影响人事档案材料在网络运行中的安全。网络设备包含路由器、交扳机、防火墙等。它们的设置比较复杂,可能由于疏忽或不正确理解而使这些设备使用的可靠性、安全性不佳;四是从系统的安全风险分析来看:内部局域网操作系统主要有Win98、Win2k、winXP、Win2KServer等,不管是什么操作系统,都有其BackDoor和Bug,这些“后门”和安全漏洞都存在着重大安全隐患,但是,系统的安全程度与计算机的安全配置以及与系统的应用面有很大关系,操作系统如果没有采用相应安全配置,则掌握一般攻击技术的人都可能入侵得手。因此.必须正确评估自己的网络安全,并根据网络风险大小作出相应的安全解决方案。
(三)内部网络系统应用安全问题。系统应用安全涉及很多方面,系统应用是动态的、不断变化的,应用的安全性也是动态的,这就需要我们对不同的系统应用检测安全漏洞必须采取相应的安全措施,降低系统应用的安全风险:一是资源共享。网络系统内部通常是共享网络资源,比如文件共享、打印机共享等,由此,可能存在少数同志有意无意把硬盘中重要的人事档案材料共享目录长期暴露在网络邻居上,而被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密;二是电子邮件系统。电子邮件系统为网内用户提供电子邮件应用,网内用户可以通过Outlook或lotus进行电子邮件收、发送,这就存在接收或传播一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件.没有警惕性,给侵入者提供机会,给系统带来不安全因素;三是病毒侵害。网络是病毒传播最快的途径之一,病毒程序可以通过网上下载,使用盗版光盘或软盘发送电子邮件,造成人为的病毒感染,病毒程序完全可能在极短的时间内迅速扩散,传播到网络上的其他主机,由于病毒入侵,机器死机等不安全因素,造成人事档案材料和人事机密文件泄漏和丢失;四是人事档案材料范围广、数量大、密级高,有些信息还必须在计算机上处理,因此,人事档案材料在网络上运行的安全问题对人事部门尤其重要。
加强内部网络安全性的对策
(一)树立良好的网络安全意识。增强计算机人员的安全防范意识,定期开展提高网络安全防范意识的培训,加强经常性的安全防范意识宣传教育,全面提高网络安全防范意识。目前不重视网络安全问题在个别单位和一定范围内还是存在,其原因也是多方面的,但主要还是思想认识问题。各单位主要责任人的安全意识对网络整体安全具有决定意义,领导干部应将网络安全意识、责任意识和保密意识联系起来,要把网络安全纳入到谁主管,谁负责;谁使用,谁负责的安全管理体制之中,同时要普及网络安全技术知识,用实际案例不断进行网络安全教育,不断强化重视网络安全的氛围。
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)35-0100-03
Abstract: This paper aims to integrate the network safety consciousness, real problem situation, professional quality concept into the college experimental teaching process under the strategy of network power, to stimulate students' enthusiasm and initiative, and guide students to find, analyze and solve the problem, to sum up the experiment in the form of lists. Ultimately, the "student oriented, supplemented by teachers" teaching ideas are reflected, and students' practical ability are enhanced.
Key words: ARP spoofing;network safety consciousness; problem situation; professional quality
1 引言
2014年来,中央网络安全和信息化领导小组组长多次提出了“没有网络安全就没有国家安全”以及“建设网络强国”的重要论断。2015年政府工作报告提出的“互联网+行动计划” 体现出信息化对网络发展巨大推动作用和以网络为载体的数据驱动巨大魅力的同时,也呼唤着人们通过网络的进一步发展来不断提升网络安全的能力和意识。两届国家网络安全宣传周活动的开展也为加强全民网络安全宣传教育、提升网民的网络安全防范意识和技能提供了良好的途径。
网络安全上升到国家战略层面,各类网络攻击和窃取事件的频发驱动信息安全需求急剧增加,目前网络安全普遍存在的问题是信息安全意识不强、缺乏整体安全方案、没有安全管理机制、系统本身不安全以及缺少必要的安全专才。
网络安全意识比技术更重要。作为培养网络专业技能人才的一线高校教师,在平常实验教学中除了借助各种安全设备和环境完成实训内容外,更重要的是提升学生的安全意识和处理安全事故的能力,在提高专业技能水平的同时培养学生的职业素质,因此设计好网络安全实验课程显得尤为重要。本文以ARP欺骗攻击与防范实验教学为例,探索在真实网络安全情境下,新型安全课程实验教学模式的改革以及教学效果。
2 ARP欺骗攻击原理
ARP协议是以太网等数据链路层的基础协议,负责完成IP地址到硬件地址的映射。工作过程简述如下:1)当主机或者网络设备需要解析一个IP地址对应的MAC地址时,会广播发送ARP请求报文。2)主机或者网络设备接收到ARP请求后,会进行应答。同时,根据请求发送者的IP地址和MAC地址的对应关系建立ARP表项。3)发起请求的主机或者网络设备接收到应答后,同样会将应答报文中发送者的IP地址和MAC地址的映射关系记录下来,生成ARP表项。从ARP工作机制可以看出,ARP协议简单易用,但是却没有任何安全机制,攻击者可以发送伪造ARP报文对网络进行攻击。伪造ARP报文具有如下特点:伪造的ARP报文中源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致;伪造的ARP报文中源IP地址和源MAC地址的映射关系不是合法用户真实的映射关系。目前主要的ARP攻击方式有如下几类:仿冒网关攻击、仿冒用户攻击(欺骗网关或者其他主机)、泛洪攻击。
3 问题情境设计
教学情境是课堂教学的基本要素,有价值的教学情境一定是内含问题的情境,它能有效地引发学生的思考。问题情境的创设,对于学生学习兴趣的激发起着决定作用。因此,如何设计具有一定情绪色彩的、以形象为主体的生动具体的场景,以激发学生一定的情感,就成为教学之初需要考虑的问题。
在一个没有防御的园区网中爆发的ARP病毒会造成网络丢包、不能访问网关、IP地址冲突等问题,实验室所有主机分配的是同一网段IP地址,接入交换机,预先在教师机上开启Sniffer嗅探者软件,运行数据包发生器,修改后的ARP广播报文会持续被发送到当前局域网中,为学生建立一个真实园区网面临的问题情境,接下来引导学生按照“发现问题-分析问题-解决问题”的顺序完成实验内容,提升自己的安全意识和实践能力。
4 实施过程
4.1 实验环境
实验室所有主机处于同一网段,类似如下所示的拓扑图环境:
4.2 问题情境的构造
教师机IP地址为172.16.75.105,在本实验中充当攻击者身份。首先构造用于攻击的ARP欺骗报文,在Sniffer软件上定义好过滤器后,开始捕获报文,首先将教师机的ARP缓存清空,尝试PING网关,停止捕获并显示结果如下图所示,
发送当前的帧之前做如下修改:(1)更改源IP地址为网关IP地址;(2)更改源MAC地址为伪造的MAC 地址11-22-33-44-55-66;(3)更改目的IP地址为任一同网段主机IP地址;(4)更改目的MAC地址为全F值。设置为连续不断地发送帧,启动数据帧发生器,此时当前网段会充斥着此类ARP广播报文。
4.3 问题情境的呈现
以4-5人为一组,以真实的网络管理员遇到的企业局域网故障为案例,向学生说明经常受到的网络攻击来自于网络内部,表现为访问互联网时断时续,打开网页或下载文件的速度明显变慢,甚至无法访问公司的Web服务器等资源,严重影响了企业办公业务的正常运行,公司领导对此很不满意,要求立刻彻底解决问题。要求在实验报告上完成每步测试内容并填写检查结果。此环节注重引入职业教育理念,既要注重技能锻炼,又要注意素质培养。立足本职岗位,敢于承担责任,从工作中发现问题是什么,为什么到怎么做,同时培养学生的团队意识。
4.4发现问题
此环节旨在让学生运用已掌握的网络维护技能发现当前局域网存在的问题,通过观察学生在测试环节中采用的方法,可以了解到学生能否快速有效地定位网络中的故障,在不投入新的设备情况下解决问题。
通过观察,多数学生会按照如下测试步骤检测网络状况:1)检查本机网络连接情况及IP地址是否有效;2)检查与同一网段内其余主机连接情况;3)检查与网关连接情况;4)检查与DNS服务器连接情况;5)检查与Web服务器连接情况。这一过程旨在帮助学生基于收集到的测试数据判断问题症结点的能力,只有在充分调查研究的基础上具体问题具体分析,才能把存在的问题症结点找准、找实、找透,才能开对方子,做到对症下药。
4.5分析问题
根据课堂反映来看,绝大多数学生在实施到第3步时发现PING网关IP地址不通,并且重启机器后症状依旧,没过多久又会产生丢包现象。不少学生通过使用ARP -a命令发现学习到的网关MAC地址是伪造的11-22-33-44-55-66,进而判断出问题在于网关MAC地址被篡改,通过使用Sniffer软件,可以嗅探到局域网内充斥着大量的ARP报文,并且通过抓包分析,发现源IP地址为172.16.75.254的网关的MAC地址为11-22-33-44-55-66。此时需要引导学生去思考两个问题:一是为什么主机会无条件更新,二是如何防范此类错误。结合课本上提到的TCP/IP协议栈的脆弱性,部分同学会得出主机并不对收到的ARP报文进行检查,从而导致PC主机更新本机ARP缓存里的网关MAC地址的结论。
这个分析问题的过程注重培养学生遇到问题的应变能力,这种能力的训练对于今后可能从事的网络运维岗位而言,是非常有必要的。
4.6 解决问题
明白了问题的原因,如何解决问题就是一个水到渠成的过程。通过几分钟分组讨论的形式,最后总结了几组的意见,归纳出两种解决思路:一是主机对于收到的ARP伪造报文不进行更新操作,二是限制此类ARP广播报文在局域网内的泛洪。此时,结合实训指导书内容,教师提出两种解决方案让学生选择,一是在局域网内各台主机上静态绑定正确的网关MAC地址,这样即使主机收到了虚假MAC地址也不予以更新;二是在交换机各端口上设置单位时间内允许通过的ARP报文数量的阈值,超过阈值则关闭端口。同时让学生分组讨论,对这两种方案的优缺点进行比较,最终得出如下的结论,方案一因为要在局域网内每台主机上配置命令,工作量较大,网关MAC地址一旦改变又得重新配置,而且治标不治本,不能有效遏制网段内ARP报文造成的广播风暴,网络传输性能较低;方案二只需在交换机端口上进行配置,与网关MAC地址无关,如果再在端口上划分好VLAN,将会进一步限制广播报文的传输范围。
4.7 实验总结
总结既是自己对于实验的理解归纳,也是对整个实验过程的回放,既要总结有所收获的地方,也要归纳出不足之处。通过将实验全过程中涉及现象、情境及步骤列成问题清单,让每位学生都能从实验中总结出得与失。最后借鉴翻转课堂的思想,邀请一位学生就实验目的、方法、步骤进行口头陈述,由其余学生进行补充,从而获得更深层次的理解。
5 结语
通过网络安全实验课程的教学尝试,以及学生的反映来看,收到了一定成效。总结起来达到了三个目的,一是探索网络安全意识、网络安全技能并重的新型网络安全实验教学方法,二是引导学生进入实际问题情境中,深入角色,积极主动地去发现、分析及解决问题,三是将个人责任感、团队合作等职业化素质理念融入到教学过程当中,培养主人公意识。在教学过程中需要注意对于课堂进度以及时间的把握,如学生遇到难点应及时进行引导,推动进程。
参考文献:
[1] 迟恩宇,刘天飞,杨建毅,王东.网络安全与防护[M].电子工业出版社,2009.
[2] 叶成绪.校园网中基于ARP协议的欺骗及其预防[J].青海大学学报: 自然科学版,2007(3):59-61.
[3] 秦丰林,段海新,郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究,2009(1):30-33.
[4] 孟令健.计算机网络安全ARP攻击行为的防范研究[J].齐齐哈尔大学学报: 自然科学版,2013(3):9-11.
[5] 郭会茹,杨斌,牛立全.ARP攻击原理分析及其安全防范措施[J].网络安全技术与应用,2015(6):5-6.
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)34-7694-03
随着互联网的不断发展壮大和日益开放,网络给人们带来海量信息的同时也带来了一定的隐患。用户传输的隐私数据丢失,信息被拦截等事件不断发生。对于信息系统的非法入侵和破坏活动正以惊人的速度在全世界蔓延,同时给人们带来巨大的经济损失和安全威胁。据统计,每年全球因安全问题导致的损失已经可以用万亿美元的数量级来计算[1]。因此,针对网络通信带来的安全性的问题,为了解决用户传输隐私数据丢失或者被截获的事件的频发,让一种既强调安全性又能够以快速经济时效性的算法加密方式加密的安全模型的需求变得迫切起来。该文设计的通信模型能够有效解决网络通信所带来的安全隐患。
1 理论基础及现状
网络安全性[2],可以粗略地分为四个相互交织的部分:保密、鉴别、抗否认和完整性控制。保密是指保护信息在存储和传输的过程中的机密性,防止未授权者访问;鉴别主要指在揭示敏感信息或进行事务处理前必须先确认对方的身份;抗否认性要求能够保证信息发送方不能否认已发送的信息,这与签名有关;完整性控制要求能够保证收到的信息的确是最初的原始数据,而没有被第三者篡改或伪造。
PKI(Public Key Infrastructure, 公开密钥体系)[3], PKI技术利用公钥理论和技术建立的提供信息安全服务的基础设施,是国际公认的互联网电子商务的安全认证机制,利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。公钥是目前应用最广泛的一种加密体制,在这一体系中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体系广泛地用于CA认证、数字签名和密钥交换等领域。
2 模型设计方案
基于理论基础及研究现状,本方案的重点放在对于身份验证算法安全性的研究。整个方案是基于已经成熟了的PKI公开密钥体系,PKI作为一种安全技术已经深入到网络应用的各个层面,由于其充分利用公钥密码学的理论基础,为各种网络应用提供全面的安全服务。因此整个方案的基础已经成熟并且得到了大规模的应用,现在尚存的问题就是PKI体系如何推广到无线方面,而整个PKI体系中的核心,数字证书在计算机上已经成熟的算法,关于证书中包含的内容,以及证书的颁发,撤销算法。密钥备份、恢复和更新的算法以及如何验证证书的算法。
1) 通过验证中心发送给终端的数字证书需要具备3个特点,即不可否认性,不可篡改性和唯一性,可防御重放攻击、伪造攻击,实现可信身份认证。
2) 数字证书使用公钥体制即利用一对互相匹配的密钥进行加密、解密[4][5]。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。因此所面对的问题就是证书的制作和签发,和关于数据传送的加密和解密。
3) 基于目前流行的操作系统实现上述关键问题,并可以嵌入到其它的应用系统。
2.1 设计目标
为解决网络传输中的用户传输隐私数据丢失或者被截获的事件,新的模型需要兼顾以下两方面性能:
1)安全性:即达到充分保护用户信息安全的目的。设计需要完成三个目标:即通信双方的互相确认身份、信息不可篡改和信息不可否认。通信双方应互相确认来保证通信目标相互没有被劫持的隐患;信息不可篡改则表示信息在传输的过程中不能够被截获并且在篡改后重新发送;信息不可否认目标为信息发出后,通过密码学的方法使发出信息者不能够否认发出信息的事实。通过三方面来保证整个信息传输过程中的安全性。
2)时效性:除了安全性,加密的速度及模型运行的速度也是要考虑的因素,如果模型运行速度过慢则失去时效性。本模型在兼顾安全性的同时兼顾时效性,能够在保证安全的同时以最短的时间内完成加密过程以保证通信的实时性,信息的时效性。
2.2 模型的设计与实现
2.2.1双方通信的初始化过程
初始化过程类似于TCP传输协议中初始化的三步握手的过程[6],不过在本模型中加入了双方交换公钥证书以及交换随机生成的双方都认可的一个随机码,作为之后传输数据中使用的对称加密算法中秘钥的使用。同时在传输随机码的过程中,使用了PKI非对称加密算法,来保证安全性,即使用对方的公钥对信息进行加密,在对方收到后使用自己的私钥对信息进行解密。如图1所示:
2.2.2 证书分发过程
证书生成模型,每一个需要进行通信的客户端都需要一个公钥证书,这个证书由一个服务器进行共同管理。作为管理机构进行证书的分发,身份认证等工作。
保证证书不被篡改所使用的算法是Hash算法,通过比较存储在证书中的公钥的Hash码以及通过计算接收到证书的公钥的Hash码,并将两者进行比较,如果相等则证书得到确认,不相等则认证终止,如图2所示。
2.2.3 信息通讯过程的加密与解密算法
如图3,加密过程:首先客户端对信息M进行Hash算法提取摘要数据,之后对M使用在初始化交换得到的随机性秘钥通过对称加密算法DES进行加密,在对M进行Hash算法提取摘要后会得到要一个固定长度的32位或者64位的摘要数据,对摘要数据H使用签名算法(即使用客户端的秘钥进行加密)得到数据H’,之后将经过DES算法加密的信息M与H’通过添加一个分隔符合并一起发送到服务器端。
解密过程:服务器端接到来自客户端的信息,首先将加密过的M与H’进行分离,通过分隔符来区分两者数据,先使用客户端的公钥对H’的签名算法进行解密,得到解密出的M信息的散列码H,之后通过随机性秘钥对DES算法加密过的信息M进行解密,得到信息M,之后计算解密出的信息M的散列码H2,比较H与H2,如果相等则表示信息安全传送,在数据库中记录后显示在服务器端,如果不相等则代表数据进行过篡改。
2.3 算法分析
在初始化中使用PKI非对称加密算法,来保证互相交换随机码的安全性。非对称加密与对称加密的效率比起来虽然安全性很高但是效率非常低,并不适合在后来信息的传输中对有可能由大量字符组成的信息使用非对称加密。因此在一开始的初始化过程中使用非对称加密传送一组随机码作为之后信息对称加密算法的秘钥来保证信息传送中加密算法的效率。证书的分发过程需要保证证书的分发无误,因此使用Hash算法来保证客户端得到了相应的公钥以及公钥没有被篡改。以上两个步骤保证了安全性的第一个目标,身份互相确认。
在信息的传输过程中,使用的Hash算法对信息提取摘要数据,并在信息M解密后对信息重新提取摘要数据,并将之对比。这样做的原因是防止信息在传输的过程中被认为的篡改,Hash在提取摘要数据时,即使信息有了最微小的变动,通过Hash算法提取出的摘要数据也会有巨大的不同。这样就保证了安全性的第二个目标,信息不可篡改。
通过对信息提取出的摘要数据进行签名算法,不仅能够通过签名算法自身的特性来保证安全性的第三个目标,信息不可否认。而且由于提取出的摘要数据的位数固定(32位或64位)且都非常小,因此对于签名算法这样时间复杂度比较高的算法来说,可以保证在极短的时间内对小数据进行加密解密,通过初始化时候使用非对称加密来传送秘钥,以及之后信息传送使用效率极高的对称加密DES来对整个信息进行基础的加密来保证安全性的同时,这两点也保证了信息的时效性。
经过实际实验,数据可以在人体感知的范围之内(0.2s)完成所有加密解密过程,基本不会对时效性有任何影响。
3 总结
互联网逐渐深入我们的生活,为人们的日常生活提供了极大便利。我们现在处在一个互联网时代,享受着它带来的好处同时也承受着数据泄露的风险。该文通过对当今的实时热点领域—网络的实时安全模型的研究,提出了一种能够平衡安全性和时效性的模型,能够从身份互相确认,信息不可篡改,信息不可否认三方面保证安全性的同时,保证了模型的效率,能够以极快的速度加密与解密信息,保证了信息的时效性,使得模型在电商、互联网金融等网络服务领域能够贡献一定的价值。
参考文献:
[1] 张庆华.信息网络动态安全体系模型综述[J].计算机应用研究, 2002,5:4-7.
[2] 曾志峰.网络安全测防体系的研究与实现[D].北京:北京邮电大学博士学位论文,2001.
[3] 荆继武,林璟锵,冯登国. PKI技术[M]. 北京:科学出版社, 2008:79-96.
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)03-0177-01
伴随着人们对计算机网络应用的普遍化,威胁着网络信息安全的诸多因素也随之出现,并且形式日益多样化,解除的方式也呈现出越来越复杂的趋势,病毒木马窃取用户数据,进行恶意的信息篡改删添,对计算机应用构成了直接的威胁。
1 应用网计算机络信息安全的主要技术
1.1 防火墙技术
此技术可以通过对访问IP识别、检查、过滤,并有意识的避免外界网络对局域内网络的读取,从而保护局域内部单独节点的网络信息环境安全,防火墙技术可以同时使用于网络层面和应用层面,由于使用时间比较早,所以现阶段应用比较普遍,但对技术的要求仍然比较高。
1.2 数据加密技术
此项技术顾名思义就是对有效数据进行保护,使之不会受到恶意的读取、更改,此项技术操作简单,技术性不强,通过对数据流加密使妄图窃取数据的人不能够直观的得到数据,而且破解的困难比较大,而合法使用者可以通过预先设定的秘钥简单的得到数据,从而使数据信息得到安全的管理,数据加密技术对于容量比较小的纯数据行资料所起到的保护作用更加明显。
1.3 访问控制技术
此项技术是对访问权限加以控制,限定一部分有权利的用户对网内资源读取和进行基本操作,这样可以直接避免无权利人员的上机操作,这种技术应用简单,而且效果明显,所以现在应用的范围比较广,但是现阶段仍然不能够识别取得访问权利的假用户进行恶意的操作,所以此项技术的升级空间相对比较大[1]。
1.4 虚拟专用网技术
此项技术是研发时间相对较晚的一种,它的操作原理是在公共网络的基础上又搭建专用网络,通过对专用网络进行各种网络保护,使之处于相对安全的网络信息环境之中,密钥和认证操作简单,低成本的解决了远程网络连接的安全难题,是保护计算机网络信息安全的又一重要技术,在无形中拓宽了信息网络的应用范围。
1.5 安全隔离技术
此项技术对于网络信息安全的保护更加的完善,它不仅有效的将可能有害的攻击隔离于设定保护的网络范围之外,而且可以成功的避免保护局域内的信息对外泄露,从而使被保护局域信息成为一个独立的个体,但个体与个体之间仍可以满足信息交换,达到网络传递信息与信息共享的目的,安全隔离技术是总体防攻击性能比较好的技术,因为以隔离位侧重点,所以被攻击的可能性被大大降低[2]。
1.6 身份认证技术
此项技术也是对访问对象进行有效控制的一种,当访问人员满足可访问人员设定的不能够被伪造的基本信息的情况下,访问人员就可以直接获得访问权限,除此之外任何操作行为都属于无效操作,这样将访问控制变得更加的严格和难以复制,保障的作用更加稳定,现阶段身份认证的种类主要如下图1所示。
1.7 入侵检测系统
此项技术是在网络系统真实发生被危害行为之前进行有效控制与拦截,相对于其他几种技术更显得积极主动,不论是内部入侵、外部入侵还是误操作引起的损害网络系统现象,他都可以有意识的进行防范,是访问权限被攻击后主要的管理手段。
2 进行计算机网络信息安全环境建设
2.1 强化信息网络安全保障体系
计算机信息网络安全保障体系要坚持积极防御、综合防范的原则,由于对计算机网络的应用范围和应用强度的不同,不同用户对于网络安全防护的需求程度不同,要根据不同网络用户的需求研发相应的保护技术,使之能够从容的面对可能出现的网络威胁,所以需要国家的网络信息安全技术部门做保障,社会各群体之间建立关于互联网操作过程中出现的网络事件交流的平台,将问题进行集中的解决,并可以在问题的积累、解决的过程中创新,为解决网络信息安全问题提供保障。
2.2 建立网络安全长效机制
建立网络安全长效机制是实现对计算机网络信息安全进行长效管理的最根本的措施,需要国家宏观调控手段作为支持,通过相关法律法规的制定,强制性的遏制危害网络信息环境安全的行为发生,建立网络信息安全的保障体系,从国外先进的管理技术中吸取经验,并有意识的吸引有相关专业技能的人才为我国的网络信息安全事业做出努力,国家的经济手段在这个过程中也具有不可忽视的重要调节作用[3]。
对网络信息环境进行安全管理,实质上就是采用有效的措施对威胁的因素进行抵制,对有可能出现的问题进行防范,尽一切的努力使威胁因素的产生环境被摧毁或遏制,这个过程不仅需要计算机相关技术人员的努力,而且需要所有计算机网络用户的关注。
3 结语
信息科技的发展,不仅表现在计算机网络的应用范围与应用手段方面,对计算机网络安全的威胁因素也在不断的更新,所以保护计算机网络安全的技术与平台也需要不断的创新,这样才能够实现对网络信息安全有效管理。
参考文献
【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158(2013)04-0175-01
随着计算机
网络技术的迅猛发展,信息安全问题日益突出。所谓信息安全,逐渐成为一个综合性的多层面的问题,所谓信息安全,是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识、控制。计算机网络信息安全主要面临两类威胁,一类是计算机信息泄漏,另一类是数据破坏。由于计算机系统脆弱的安全性,只要用计算机来处理、存储和传输数据就会存在安全隐患。近年来,随着计算机网络信息泄漏和信息破坏事件不断上长的趋势,计算机信息安全问题已经从单一的技术问题,演变成突出的社会问题。
一、计算机网络信息安全现状
计算机网络信息安全现状计算机网络信息安全包括网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。在Intemet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在很短时间内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门、R0nt kits、DOS和Snier是大家熟悉的几种黑客攻击手段。这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从web程序的控制程序到内核级R00tlets。
二、计算机网络信息技术安全所面临的问题
1、病毒入侵。实际上病毒是一种破坏计算机的一种程序。在开放的网络中,计算机网络病毒就会很容易入侵。计算机病毒入侵有很多方式,例如通过电子邮件、附件的形式。有的时候用户没有注意到这些电子邮件,无意间下载了邮件,病毒就会进入到计算机系统之中。当一台计算机中了病毒后,网内的计算机会都会被感染,因此说病毒有着非常惊人的传播速度,这无疑会带来很大的经济损失。著名的计算机网络病毒有巴基斯坦病毒、CIH病毒、“梅莉莎”病毒、熊猫烧香病毒、Q Q尾巴病毒。
2、网络入侵。网络入侵是指计算机网络被黑客或者其他对计算机网络信息系统进行非授权访问的人员,采用各种非法手段侵入的行为。他们往往会对计算机信息系统进行攻击,并对系统中的信息进行窃取、篡改、删除,甚至使系统部分或者全部崩溃。在网络不稳定时,黑客开始利用高水平的计算机和技术进行这种间谍活动。通常情况下,他们来对各种组织机构(包括政府、银行、公司的等)的内部信息进行非法盗取,进而获利。网络入侵方式有口令入侵、特洛伊木马术、监听法以及隐藏技术等。很多年以来,黑客的活动都很频繁,主要是攻击信息网络,对政府网站进行攻击,对银行等金融机构进行攻击,这就造成了国家安全利益收到威胁,给人民群众的财产带来了损失。网络信息安全由于黑客的存在,遭到了严重的威胁。
3、后门。后门是指在计算机网络信息系统中人为的设定一些“陷阱”,从而绕过信息安全监管而获取对程序或系统访问权限,以达到干扰和破坏计算机信息系统的正常运行的目的。后门一般可分为硬件后门和软件后门两种。硬件后门主要指蓄意更改集成电路芯片的内部设计和使用规程的“芯片捣鬼”,以达到破坏计算机网络信息系统的目的。软件后门主要是指程序员按特定的条件设计的,并蓄意留在软件内部的特定源代码。
4、人为失误。为了保护好网络,互联网本身就设置了很多安全保护,但这些防护由于人们淡薄的安全意识没有起到有效的作用,安全漏洞时有出现,这就容易造成网络攻击。计算机用户都拥有各自不同的网络使用权限,由于用户安全意识不强经常会给不法分子可乘之机,在用户将密码泄露或密码设置过于简单的情况下,非法用户很容易侵入网络系统,对网络内的数据信息进行使用或篡改、删除、破坏等。
三、计算机网络信息技术安全的防范手段
1、杀毒软件。杀毒软件也叫防毒软件、反病毒软件,目前国内市场上有360、金山毒霸、瑞星等很多杀毒软件。杀毒软件兼具监控识别、自动升级以及病毒扫描等功能,它是计算机防御系统的重要组成部分,并且应用非常广泛。它主要是用于清除计算机中的病毒、特洛伊木马以及恶意软件等。它能够加强计算机中的数据备份,对于敏感的数据与设备实行隔离措施,同时不会轻易打开来历不明的文件。
2、防火墙技术。防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,仅让安全、核准的信息进入。目前的防火墙主要有包过滤防火墙、防火墙和双穴主机防火墙三种类型,并在计算机网络得到了广泛的应用。
我国科学技术不断进步,计算机技术发展尤为迅速,并且在我国社会生活中起着极为重要的作用,给我们的现实生活带来了很多的变化,使得我们与社会的联系越来越密切。然而,在运用电子计算机网络技术的过程中,由于计算机网络的开放性,给计算机用户带来很大的安全问题,用户的个人信息可能会泄漏,甚至会给人们的财产安全造成一定的威胁,所以,一定要对计算机网络安全问题有所重视,而且要采取相关措施来提高网络运用的安全性。我国相关部门一定要对计算机网络安全采取一定的行动,让网民可以安心上网。本文就是分析了在我国互联网技术不断发展的前提下,如何保障人民计算机网络运用的安全,提出了相关的建议和意见,希望可以减少网络带来的风险,更好的促进人们幸福生活。并对漏洞扫描技术进行了一定的分析,充分发挥其对网络病毒的抵制作用而且还能够修复相关的漏洞,从而保障网络安全。
1 新形势下计算机网络安全发展现状
这几年,我国计算机网络技术不断发展,计算机的信息处理能力是越来越强,更好地促进人们生活、学习、工作。我国人们在日常生活中也喜欢通过计算机网络来完成相关的工作,搜集相关信息。计算机网络有较强的开放性和便利性,人们可以在网上进行购物、联系沟通、工作,足不出户可通晓天下事,人们与世界的联系越来越密切。计算机网络技术在给人们带来便利的同时,也给人们带来了一定的风险和威胁。比如人们在网上购物或信息搜集时,会填写一些个人信息,这些个人信息一旦没有得到很好的保密,泄漏出去就会对人们的隐私安全和财产安全造成一定影响。甚至,有时会有新闻爆出相关人员因为个人信息泄漏,导致存款被盗。因此,当前我国计算机网络安全问题频出,这需要我国相关部门引起重视,采取一定措施维护计算机网络系统安全,使得人们可以安心、放心上网。除此之外,还有计算机网络病毒给人们上网带来极大地安全困扰,计算机网络病毒的入侵会使得电脑程序混乱,造成系统内部瘫痪,有时还会造成人们本身已经准备好的相关数据的丢失,给人们工作、生活带来麻烦。而且,现在还有一些恶意软件会给计算机网络带来一定的危害,破坏电脑系统内部正常运行,使得计算机内部混乱,无法正常工作,造成计算机系统死机等。总之,我国当前计算机网络安全问题非常多,这些问题已经严重影响了人们的正常生活,还给人们带来了非常多的负面影响。
2 计算机网络存在的主要安全问题
第一,计算机内部的每一种安全机制都有一定的适用范围,而且这种机制在运用的过程中还需要满足一定的条件,所以计算机内部机制的不完善给用户带来了很大的安全隐患。在计算机内部程序当中,防火墙是其中一种比较有效的安全工具,可以给电脑用户提供一些安全保障。防火墙在计算机网络系统运作的过程中,它能够隐蔽计算机内部网络结构,使电脑网络结构不会轻易被识别。防火墙在内部网络与外部网络的联系过程中制造了一些障碍,使得外部网络不能够轻易地访问内部网络。但是,防火墙这一工具的功能还是有限的,它不能够阻止内部网络之间的联系,这样电脑系统内部网络之间就可以随便往来。防火墙对于内部网络与内部网络之间的入侵行为是很难发觉的,这样也会给电脑系统造成破坏。还有就是系统的后门不是电脑内部传统的工具所能够考虑到的地方,这也是防火墙所不能够顾及的一个方面。系统后门容易被入侵,防火墙也很难发觉,并采取相关的措施。
第二,电脑内部安全工具的使用存在一定的缺陷,在电脑用户的使用过程中,电脑内部的安全工具能不能实现功能最大化,能不能使得安全工具使用效果的最优化,很大程度上受到了人为因素的制约。在这个使用的过程中受到了系统管理者和普通用户的影响,在使用安全工具的过程中要是没有使用正当设置,会产生不安全因素。
