時間:2023-07-17 16:35:13
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網絡安全主動防護范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
中圖分類號:G642文獻標識碼:A文章編號:1009-3044(2012)22-5314-02
Network Security Professional Teaching Method Reform and Discussion
LIN Fei1,ZHANG Qian2,YE Ya-lin2
(1.Jinan Military Region, Jinan 264000,China;2 .Xi’an Communications Institute , Xi’an 710106,China)
Abstract:Network security professional is a theory and practice,closely integrated courses,not only emphasize the mastery of the technical principles of network security, and pay more attention to the improvement of students’practical ability. The paper analyzes the main problems in the existing network security professional teaching; propose a three stages of network security professional teaching method of basic experiment teaching; research, innovative practice teaching; innovative practice teaching. It is very great significance to develop practical high-quality professional telent.
Key words: network security; practice teaching; teaching method
網絡安全專業是一門理論與實踐并重的課程,該文針對目前多數院校現行網絡安全專業實踐課教學過程中存在的不足,結合多年網絡安全防護專業實踐課教學的體會,提出實踐課教學改革思路。將本課程的教學以“以理論為中心”轉化為“以實踐為中心”,將學生從課堂帶到實驗室,使其在實踐中深入理解、掌握和升華所學到的相關知識,使網絡安全防護專業學生具備較強實踐能力、任職能力和綜合能力,對網絡安全防護專業實踐課教學改革的對策作以探討。
1網絡安全防護專業教學存在的問題
網絡安全防護專業是一門實踐性很強的課程。實踐教學不僅僅是驗證和理解本學科的基本理論,也是培養學生的思維和創新能力。目前,多數院校在網絡安全防護專業教學過程中,實踐課教學環節比較薄弱,使得培養出來的學生實踐能力、創新能力和解決實際問題能力不強。網絡安全防護專業實踐教學普遍存在一些問題。
1.1理論教學為主,實踐教學為輔
現代實踐教學的主要目的是掌握實踐技能,但是很多高校在“理論+實踐”教學過程中,實踐教學環節設置不合理,仍是采用理論教學為主、實踐教學為輔的教學模式。這種模式使得學生學習專業技術知識掌握不好,學生難以全面透徹的理解相關專業知識,而且學生缺乏學習的主動性和積極性。如果教學中只是注重理論教學,那么學生畢業后很難滿足實際工作需求,很難在短時間內勝任網絡安全防護專業相關的工作。
1.2實踐教學內容設置單一,方法陳舊
大部分傳統網絡安全專業課的實驗設置,雖然項目比較繁多,但內容獨立、不同實驗之間缺乏系統性和靈活性。網絡安全專業實驗課不僅要求學生要有理論基礎知識,更要有一定的實踐操作能力。但很多時候都是老師在授課過程中進行相關的實驗演示,以老師為主導,老師是實驗的創作者,是主動施教者,這種方法使得在網絡安全防護專業實踐教學過程中,始終學生是被動者,極大阻礙了開發學生實踐動手能力的創造性和主動性,極大減弱了網絡安全防護專業教學的效果。
1.3實踐課的考核形式不合理
實踐教學考核方式不是很完備,主要表現在考核內容的設置缺乏靈活性,沒有很好的和實際工作中的具體問題結合起來。通過對近幾年各個院校網絡安全防護相關專業的考核方式、結果的分析,以及對相關專業的學生和用人單位的意見反饋的調查,表明目前網絡安全防護相關專業的考核方式仍是以理論考核為主,實踐操作考核比例較少,設置不合理,不能全面體現學員的實踐操作能力。
2網絡安全專業教學改革的思路與方法
實踐教學作為院校教學體系的一個重要教學環節,與理論教學相比則具有直觀性、實踐性、綜合性、啟發性和探索性的特點[1],不僅能使學生理解網絡安全防護專業的基本理論,還能提高學生分析和解決實際問題的能力。針對網絡安全防護專業學生的實際情況,將學生實踐能力劃分為基本能力、綜合能力和創新自主能力等不同層次。根據不同層次設置基礎實驗教學、綜合、設計性實踐教學和創新實踐教學三個階段,進行網絡安全防護專業實踐能力的培養。
2.1基礎性實驗教學
網絡安全專業實踐教學基本內容為依據,在原有課程實踐的基礎上,結合實踐教學的認知規律,重新整合重組。促進學員對基本原理的理解和基本技能的掌握。可劃分為不同的教學模塊,并引進相關領域新的實踐技術。網絡安全專業實驗教學內容包括密碼與安全協議、網絡攻擊、網絡安全防護等基礎性實驗。因此,在原有課程實驗的基礎上,將知識體系結構重新整合成圍繞一個專業問題或知識點為一個模塊的設計方式,可以單獨學習其中一個或多個內容,主要以驗證方式進行實驗,采取統一上機統一指導。
2.2綜合性、設計性實踐教學
在學生完成基礎性實踐的基礎上,進行綜合知識的技能訓練,培養學生基本技能的綜合分析能力,重視基本技能的綜合和擴展,網絡安全防護專業實踐教學除了包含基礎性實驗,還包含了綜合案例的方案過程設計、設備的運行和維護、問題的判斷與解決等更高一級的內容。綜合性、設計性實踐教學是基于“任務驅動”的方式采取由淺入深、由簡單到復雜、由小實驗到綜合型實驗的遞進方式設計實驗。
2.3創新性實踐教學
在綜合性、設計性實踐教學的基礎上,以培養學生的創新能力和自主研究能力為目的,借助網絡安全防護相關專業的技術各類競賽平臺,激發網絡安全防護專業學生從被動接受知識變為主動探求知識的學習熱情,設計相應的實踐項目,突出學生獨立設立實踐和獨立進行實踐操作,強化學生“探究式”學習能力和培養科學思維能力[2]。
3小結
該文以網絡安全防護專業實踐教學目標為指導,深入分析現有課程存在的不足,積極探索構建適合網絡安全防護專業的實踐課程,設計了包含網絡安全防護專業的基礎實驗教學、綜合性、設計性實踐教學、創新性實踐教學三個環節的實踐教學方法。課程設計以實現學生快速提升解決實際問題的能力、激發學生自主學習熱情為目標,使網絡安全防護專業學生具備為信息網絡提供安全可靠的等級防護、有效防御各類網絡攻擊、快速處置各類網絡安全事件的能力,真正滿足信息系統安全防護能力建設對人才的要求。
中圖分類號:TP393.08文獻標識碼:A 文章編號:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前,伴隨著計算機網絡的大量普及與發展,網絡安全問題也日益嚴峻。而傳統的、被動防御的網絡安全防護技術也將越來越無法應對不斷出現的新的攻擊方法和手段,網絡安全防護體系由被動防御轉向主動防御是大勢所趨。因此,立足現有網絡設備進行攻防實驗平臺的設計和研究,對于未來網絡安全防護技術的研究具有深遠的指導意義。
1 系統功能設計概述
1.1 主動防御技術的概念
主動防御技術是一種新的對抗網絡攻擊的技術,也是當今網絡安全領域新興的一個熱點技術。它源于英文“Pro-active Defense”,其確切的含義為“前攝性防御”,是指由于某些機制的存在,使攻擊者無法完成對攻擊目標的攻擊。由于這些前攝性措施能夠在無人干預的情況下預防安全事件,因此有了通常所說的“主動防御”[1]。網絡安全主動防御技術能夠彌補傳統被動防御技術的不足,采用主機防御的思想和技術,增強和保證本地網絡安全,及時發現正在進行的網絡攻擊,并以響應的應急機制預測和識別來自外部的未知攻擊,采取各種應對防護策略阻止攻擊者的各種攻擊行為。
1.2 系統設計目標
目前關于主動防御的網絡安全防御策略理論研究的較多,但是對于很多實際應用方面還缺乏實戰的指導和經驗。網絡安全攻防實驗平臺主要依據主動防御技術體系為策略手段,針對現有網管軟件存在的問題,進行主動防御技術體系優化,其核心在于在實驗中實現系統的漏洞機理分析、安全性檢測、攻擊試驗、安全應急響應和提供防御應對策略建議等功能,能夠啟發實驗者認識和理解安全機理,發現安全隱患,并進行系統安全防護。
1.3 實驗平臺功能
基于主動防御的網絡安全攻防實驗平臺是一個網絡攻擊與防御的模擬演示平臺,在單機上模擬出基本的網絡節點(設備),然后在這個模擬的網絡環境中演示出網絡攻擊與防御的基本原理和過程,并以可視化的結果呈現出來。該實驗平臺所仿真的機理和結果能夠依據網絡安全的需求,最終用于網絡攻防測評和實戰的雙重目的。并可以為網絡攻擊和防護技能人才更好的學習提供一定的參考。為完整地體現網絡戰攻防的全過程,該平臺分為攻擊模塊與防御模塊兩部分。
攻擊模塊部分包括主機端口的掃描、檢測、Web/SMB攻擊模塊和IDS等。其主要功能是實現對于目標系統的檢測、漏洞掃描、攻擊和與防護端的通訊等[2]。
防御模塊部分主要是基于主動防御技術的功能要求,實現檢測、防護和響應三種功能機制。即能夠檢測到有無攻擊行為并予以顯示、給出陷阱欺騙可以利用的漏洞和提供防護應對策略等,如: 網絡取證、網絡對抗、補丁安裝、系統備份、防護工具的選購和安裝、響應等。
2 攻防實驗平臺模型設計
2.1 設計方案
要實現網絡攻防的實驗,就必須在局域網環境構建仿真的Internet環境,作為攻防實驗的基礎和實驗環境。仿真的Internet環境能實現www服務、FTP、E-mail服務、在線交互通信和數據庫引擎服務等基本功能。依據系統的功能需求分析,該平臺要實現一個集檢測、攻擊、防護、提供防護應對策略方案等功能于一體的軟件系統。主要是除了要實現基本的檢測、攻擊功能外,還必須通過向導程序引導用戶認識網絡攻防的機理流程,即:漏洞存在―漏洞檢測(攻擊模塊)―攻擊進行(攻擊模塊)―系統被破壞―補救措施(防御模塊)―解決的策略方案(防御模塊)[3],以更好的達到實驗效果。
平臺整體采用C/S模式,攻擊模塊為客戶端,防御模塊為服務器端。攻擊模塊進行真實的掃描、入侵和滲透攻擊,防御模塊從一定程度上模擬并顯示受到的掃描、攻擊行為,其模擬的過程是動態的,讓實驗者看到系統攻擊和被攻擊的全部入侵過程,然后提供響應的防護應對策略。攻防實驗平臺模型如圖1所示。
2.2 基于主動防御的網絡安全體系
根據本實驗平臺設計的思想和策略原理,為實現主動防御的檢測、防護和響應功能機制,構建基于主動防御技術的網絡安全策略體系(如圖2所示)。安全策略是網絡安全體系的核心,防護是整個網絡安全體系的前沿,防火墻被安置在局域網和Internet網絡之間,可以監視并限制進出網絡的數據包,并防范網絡內外的非法訪問[4-5]。主動防御技術和防火墻技術相結合,構建了一道網絡安全的立體防線,在很大程度上確保了網絡系統的安全,對于未來的網絡安全防護具有深遠的意義。檢測和響應是網絡安全體系主動防御的核心,主要由網絡主機漏洞掃描(包括對密碼破解)、Web/SMB攻擊、IDS、網絡取證、蜜罐技術等應急響應系統共同實現,包括異常檢測、模式發現和漏洞發現。
2.3 攻防模塊設計
該實驗平臺的攻擊模塊和防御模塊利用C/S模式采用特定端口進行通訊。攻擊端以動作消息的形式,把進行的每一個動作發往防御端,防御模塊從數據庫中調用相關數據進行模擬、仿真,讓實驗者看到和體會到自身系統受到的各種攻擊。攻防模塊經過TCP/IP建立連接后,開始進行掃描、檢測、Web/SMB攻擊和IDS等入侵行為,攻擊端每一個消息的啟動都會發給防御端一個標志位,防御模塊經判斷后,調用相關的顯示和檢測模塊進行處理,并提供相應的防護應對策略。
3 平臺的實現
3.1 主動防御思想的實現
在一個程序中,必須要通過接口調用操作系統所提供的功能函數來實現自己的功能。同樣,在平臺系統中,掛接程序的API函數,就可以知道程序的進程將有什么動作,對待那些對系統有威脅的動作該怎么處理等等。實驗中,采取掛接系統程序進程的API函數,對主機進程的代碼進行真實的掃描,如果發現有諸如SIDT、SGDT、自定位指令等,就讓進程繼續運行;接下來就對系統進程調用API的情況進行監視,如果發現系統在數據的傳輸時違反規則,則會提示用戶進行有針對性的操作;如果發現一個諸如EXE的程序文件被進程以讀寫的方式打開,說明進程的線程可能想要感染PE文件,系統就會發出警告;如果進程調用了CreateRemoteThread(),則說明它可能是比較威脅的API木馬進程,也會發出警告。
3.2 攻擊程序模塊實現
網絡安全攻防實驗平臺的設計是基于面向對象的思想,采用動態連接庫開發掃描、檢測、攻擊等功能模塊。利用套接字變量進行TCP/IP通信,調用DLL隱式連接和顯示連接,采用在DLL中封裝對話框的形式,也就是把掃描、檢測、攻擊等功能和所需要的對話框同時封裝到DLL中,然后主程序直接調用DLL[6]。實驗中,可以在攻擊程序模塊中指定IP范圍,并輸入需要攻擊的主機IP地址和相應的其他參數,對活動主機漏洞進行掃描和密碼攻擊(如圖3所示);并指定IP,對其進行Web/SMB攻擊,然后輸出攻擊的結果和在攻擊過程中產生的錯誤信息等。
3.3 防御程序模塊實現
在程序的運行中,采取利用網絡偵聽機制監聽攻擊模塊的每一次動作消息的形式,自動顯示給用戶所偵聽到外部攻擊行為(如圖4所示:Web/SMB攻擊)。該模塊同樣使用了WinSock類套接字進行通訊,在創建了套接字后,賦予套接字一個地址。攻擊模塊套接字和防御模塊套接字通過建立TCP/IP連接進行數據的傳輸。然后防御模塊根據接收到的標志信息,在數據庫中檢索對應的記錄,進行結果顯示、網絡取證、向用戶提供攻擊的類型及防護方法等多種應對策略。其中的蜜罐響應模塊能夠及時獲取攻擊信息,對攻擊行為進行深入的分析,對未知攻擊進行動態識別,捕獲未知攻擊信息并反饋給防護系統,實現系統防護能力的動態提升。
4 結束語
基于主動防御的網絡安全攻防實驗平臺主要是針對傳統的被動式防御手段的不完善而提出的思想模型。從模型的構建、平臺的模擬和實驗的效果來看,其系統從一定程度上真實的模擬了網絡設備的攻防功能,可以為網絡管理者和學習者提供一定的參考和指導。
參考文獻:
[1] 楊銳,羊興.建立基于主動防御技術的網絡安全體系[J].電腦科技,2008(5).
[2] 裴斐,鄭秋生,等.網絡攻防訓練平臺設計[J].中原工學院學報,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―網絡安全的機密與解決方案[ M].北京:清華大學出版社,2002
[4] 張常有.網絡安全體系結構[M].成都:電子科技大學出版社,2006(15).
近年來,很多現代化企業加大信息建設,一些下屬公司的網絡接入企業總網絡,企業網路物理層邊界限制模糊,而電子商務的業務發展需求要求企業網絡具有共享性,能夠在一定權限下實現網絡交易,這也使得企業內部網絡邊界成為一個邏輯邊界,防火墻在網絡邊界上的設置受到很多限制,影響了防火墻的安全防護作用。
1.2入侵審計和防御體系不完善
隨著互聯網的快速發展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業網絡安全。當前,很多企業缺乏完善的入侵審計和防御體系,企業網絡的主動防御和智能分析能力明顯不足,檢查監控效率低,缺乏一致性的安全防護規范,安全策略落實不到位。
2.構建企業網絡安全防護體系
2.1企業網絡安全防護體系構建目標
結合企業網絡的安全目標、使用主體、性質等因素,合理劃分企業邏輯子網,對不同的邏輯子網設置不同的安全防護體系,加強網絡邊界控制和安全訪問控制,保持區域之間的信任關系,構建企業網絡安全防護體系,實現網絡安全目標:第一,將大型的、復雜的企業網絡安全問題轉化為小區域的、簡單的安全防護問題,有效控制企業網絡系統風險,提高網絡安全;第二,合理劃分企業網絡安全域,優化網絡架構,實現企業網絡安全設計、規劃和入網;第三,明確企業網絡各個區域的安全防護難點和重點,加大安全設備投入量,提高企業網絡安全設備的利用率;第四,加強企業網絡運行維護,合理部署企業網絡的審計設備,提供全面的網絡審核和檢查依據,為企業構建網絡安全防護體系提供重要參考。
2.2合理劃分安全域
現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同,因此在劃分企業網絡安全域時,應結合業務屬性和網絡管理,不僅要確保企業正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發揮不同方式的優勢,結合企業網絡管理要求和網絡業務需求,有針對性地進行企業網絡安全域劃分。首先,根據業務需求,可以將企業網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業內網業務的安全性。其次,按照企業業務系統方式,分別劃分外網和內網安全域,企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業網絡的信息系統,包括信息系統內部和系統之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。
2.3基于入侵檢測的動態防護
隨著網絡技術的快速發展,企業網絡面臨的安全威脅也不斷發生變化,網絡攻擊手段日益多樣化,新病毒不斷涌現,因此企業網絡安全防護體系構建應適應網絡發展和變化,綜合考慮工作人員、防護策略、防護技術等多方面的因素,實現基于入侵檢測的動態防護。基于入侵檢測的動態防護主要包括備份恢復、風險分析、應急機制、入侵檢測和安全防護,以入侵檢測為基礎,一旦檢測到企業網絡的入侵威脅,網絡系統立即啟動應急機制,如果檢測到企業網絡系統已經受到損壞,可利用備份恢復機制,及時恢復企業網絡設置,確保企業網絡的安全運行。通過動態安全防護策略,利用動態反饋機制,提高企業網絡的風險評估分析能力和主動防御能力。
2.4分層縱深安全防護策略
企業網絡安全防護最常見的是設置防火墻,但是網絡安全風險可能存在于企業網絡的各個層次,防火墻的安全防護作用比較有限。企業網絡可采用分層縱深安全防護策略,保障網絡安全防護的深度和廣度,構建高效、綜合、全面的安全防護體系,對于企業網絡中的應用層、數據層、系統層、網絡層和物理層分別采用信息保護、應用系統安全防護、數據庫安全防護、操作系統安全防護、網絡保護、物理安全保護等防護手段,根據不同網絡系統的特點,有針對性地進行安全防護,例如,在網絡層可利用資源控制模塊和訪問控制模塊,加強對網絡節點的訪問控制,在企業網絡的應用層和數據層設置身份授權和認證系統,避免用戶的違規操作和越權操作。又例如,由于網絡環境比較復雜,可在企業網絡的應用層、數據層和系統層,設置網絡監控和檢測模塊,保護企業網絡的服務器,防止權限濫用和誤操作。
計算機網絡的全面應用與發展,切實為人們的生活和工作帶來了便利,同時也拓寬了信息交流渠道,互聯網也逐漸成為人們生產生活中不可獲取的一部分。但網絡實際上也是一把雙刃劍,在其快速發展的背后,往往蘊藏著較大的安全風險,網絡黑客、病毒植入等情況逐漸增多。為確保每一位用戶的網絡安全,需在充分理解當前需求的基礎上,積極研發各類防御技術,通過實踐應用找到其中存在的問題,并采取行之有效的措施加以解決,進而提高網絡安全管理水平,防止安全危害的發生。
一、現代網絡攻擊的特點
1.網絡攻擊趨于自動化。如今,網絡黑客工具層出不窮,非法攻擊的發起人不再是以往具有豐富經驗的計算機頂級操作者,只要具備簡單基礎的人都可借助此類工具或軟件實施非法攻擊,使得網絡非法攻擊的技術門檻大幅降低,直接增加了防護難度,為網絡安全建設帶來了不同程度的風險威脅。
2.攻擊手段逐漸多樣。網絡技術與各類應用的持續發展應用,在某種程度上也使攻擊的方式趨于多樣化,利用系統漏洞實施非法攻擊的例子并不少見,在安全漏洞察覺速度不斷提高的情形下,網絡攻擊手段也在逐漸推陳出新,致使網絡防御一度陷入僵局。現階段的網絡攻擊手段已不局限于掃描窺探、畸形報文攻擊等傳統方式,通過對近年來幾起較為嚴重的網絡攻擊事件的總結發現,DoS攻擊、IP Spoofing 攻擊、Land攻擊等一系列新型攻擊手段的出現幾率正不斷提高。
二、目前網絡安全防御技術
1.防火墻技術。防火墻是一種充分利用硬軟件而組成的系統,主要控制內部網絡與外部網絡的連接和訪問,從狹義的角度講,防火墻實際上就是一種安裝了相應防護軟件的系統或主機;從廣義的角度講,防火墻除提供必要的防護功能外,還包含了安全策略與行為約束。
防火墻是建立在內網與外網之間的防護屏障,也可以是一個安全網關,主要用于惡意入侵和各類無法預測危害的發生。防火墻的實際功能為:對安全性不佳的用戶與服務進行過濾、管理控制不可信網絡的訪問、對暴露的用戶進行限制、制約非法訪問、攻擊警報等。防火墻是迄今為止最為常用且有效的防御手段,是切實保障網絡安全的主要技術之一。
2.認證技術。認證是一種可有效防止惡意攻擊的防御手段,它可對開放環境中的各類消息系統提供安全防護,實施認證技術的目的在于:
(1)驗證消息的者是否合法;
(2)驗證所的消息是否安全可靠,并保證信息傳輸過程中不會被攻擊者篡改。
當前較為常用的認證技術為:信息認證、身份認證以及數字簽名等。其中,信息認證技術的應用可以很好的解決在通信雙方利益和危害均保持一致的情形下所出現的入侵和破壞防護等問題。此外,數字簽字還可有效防止第三方以他人名義發送或接受信息的行為。
3.取證技術。取證技術主要包含動態和靜態兩種形式。其中靜態取證指的是,在系統遭受侵害時,通過采取各類有效手段的方式,對危害進行取證和分析。在當前情況中,靜態取證的應用范圍較為廣泛,在遭受入侵之后,對信息數據實行確認、抽取與分析,抽出憑證,這一系統過程會涉及數據防護技術、系統磁盤復制技術、數據信息識別技術、數據信息提取技術、數據信息分析技術、加密技術、解密技術等。
動態取證作為計算機取證技術的主要發展方向,是指在計算機中預先安裝,在入侵發生時,可對系統的操作行為生成對應的日志,已達到動態記錄的目的。充分運用文件系統所具有的特性,相關工具加以輔助,從而對損失的文件進行恢復,然后將日志上傳至取證機中進行備份,為入侵行為的發生提供有力的證據,實現網絡安全的綜合防護。在動態取證中,具有一定典型特征的技術有:非法入侵檢測技術、非法入侵取證技術、追蹤技術、數據采集技術、數據過濾技術、信息的動態獲取技術、IP獲取技術等。
三、網絡安全新技術
隨著網絡在人們的生活、工作和學習中越來越普及,網絡安全問題也越來越困擾著人們,除了上述提到的幾種安全技術,一些新的防御手段也逐漸開發出來,應用到網絡中。
1.蜜罐技術。蜜罐是一種近幾年興起的安全防御技術,憑借其獨特的思想和理念逐漸得到了多數人的關注和應用。蜜罐技術由Lance spitzner創作,他給出了該防御技術的定義,即為:蜜罐實際上是一個安全資源,其基本價值主要體現在掃描、攻擊與攻陷,隨后針對各種攻擊活動實施監視、檢測與研究。蜜罐技術的具體防御機制為,短暫容忍入侵行為,同時對攻擊方式、攻擊目的等進行記錄和學習,特別是未知的攻擊信息,進而對網絡做出相應的調整,采取必要的安全措施,提升系統的安全性。此外,該技術還可有效轉移攻擊發起者的注意視線,消耗攻擊者的資源及精力,從而起到間接防護的作用。蜜罐技術可以為使用者提供動態識別各類攻擊的手段,將成功捕獲的重要信息向防護系統中反饋,進而達到動態提升系統防御力的目的。然而由于蜜罐技術是一種新興技術,所以其還處在起始階段,但它所具有的獨特功能和防御能力,正逐漸成為防護體系的重要組成部分,通過不斷的完善和發展,該技術勢必會得到更加廣泛的應用,充分發揮其防御能力,使非法攻擊無從下手。
2.攻擊吸收及轉移技術。在特殊環境下,若在發現攻擊時對當前的連接進行迅速切斷,雖然可以有效避免后續危害,但這樣一來就無法對攻擊者的行為進行觀察,不利于類似攻擊方式的防范。攻擊吸收及轉移技術是近幾年興起的防御技術,該技術的全面運用可以極短的時間內將攻擊包吸收至相應的誘騙系統當中,不僅可以對和攻擊者之間的連接進行快速切斷,還可有效保護主機,此外還能對攻擊行為和方式進行分析,為類似攻擊的防范提供基礎支持。
在未來的網絡安全中,將會面臨著更加嚴峻的考驗,不僅攻擊方式豐富,且危害性也在不斷提高。為此,相關人員必須充分理解防御技術應用與發展必要性,綜合分析網絡安全現狀,結合自身實踐經驗,積極研發各類殺毒軟件,并對服務器的安全進行加強,及時更新軟件與補丁,切實做好網絡安全管理。另外,人們還需轉變傳統觀念,網絡安全不單單是安裝各種殺毒軟件這么簡單,而是需要將系統應用、服務器等進行有效的結合,進而形成一個完善、健全的防御體系,以有效防止所有類型的入侵和攻擊。
參考文獻:
[1]應向榮.網絡攻擊新趨勢下主動防御系統的重要性.[J].計算機安全.2003.
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
當今社會已經進入到了“互聯網+”時代,網絡安全與我們的生活息息相關,密不可分。網絡信息安全對于國家、社會、企業、生活的各個領域以及個人都有十分重要的作用和意義。目前,在網絡應用的深入和技術頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新。防火墻、VNP、IDS、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在互聯網絡中得到了廣泛應用。隨著大規模網絡的部署和應用領域的迅速拓展,網絡安全的重要性越來越受到人們的關注,但同時網絡安全的脆弱性也引起了人們的重視,網絡安全問題隨時隨地都有可能發生。近年來,國外一些組織曾多次對中國企業、政府等網站進行過大規模的網絡攻擊,網絡安全已滲入到社會生活的各個方面,提高網絡安全防護能力,研究網絡安全管理策略是一項十分緊迫而有意義的課題。
2 “互聯網+”時代網絡安全
互聯網本身在軟硬件方面存在著“先天”的漏洞,“互聯網+”時代的到來讓這只大網的規模急劇擴大,盡管在網絡安全防護方面采取了很多有效性措施,然而網絡信息所具有的高無形價值、低復制成本、低傳播成本和強時效性的特點造成了各種各樣的安全隱患,安全成為了互聯網絡的重要屬性。
2.1 內涵
“互聯網+”是指依托互聯網基礎平臺,利用移動互聯網、 云計算、大數據技術等新一代信息技術與各行業的跨界融合,發揮互聯網在生產要素配置中的優化和集成作用,實現產業轉型、業務拓展和產品創新的新模式。互聯網對其他行業的深入影響和滲透,正改變著人們的生成、生活方式,互聯網+傳統集市造就了淘寶,互聯網+傳統百貨公司造就了京東,互聯網+傳統銀行造就了支付寶,互聯網+傳統交通造就了快的、滴滴。隨著“互聯網+”時代的到來,迫切需要“網絡安全+”的保護,否則,互聯網發展的越快遭遇重大損失的風險越大,失去了安全,“互聯網+”就會成為沙中之塔。在國家戰略的推動下,互聯網產業規模的成長空間還很巨大,網絡安全,刻不容緩。
2.2 主要內容
“互聯網+”不僅僅是互聯網移動了、泛在了、與傳統行業對接了,更加入了無所不在的計算、數據、知識,給網絡安全帶來了巨大的挑戰和風險。網絡安全泛指網絡系統的硬件、軟件及其系統上的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不被中斷。從內容上看,“互聯網+時代”的網絡安全大致包括四個方面:(1)網絡實體安全主要是以網絡機房的物理條件、物理環境及設施、計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等為主;(2)軟件安全主要是保護網絡系統不被非法侵入,系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等;(3)數據安全主要是保護數據不被非法存取,確保其完整性、一致性、機密性等;(4)管理安全主要是網絡運行過程中對突發事件的安全處理等,包括采取安全分析技術、建立安全管理制度、開展安全審計、進行風險分析等。
2.3 基本要求
網絡安全包括五個基本要求:機密性、完整性、可用性、可控性與可審查性。(1)機密性是指保證網絡信息不被非授權用戶得到,即使得到也無法知曉信息內容,通過訪問控制、加密變換等方式阻止非授權用戶獲知信息內容;(2)完整性是指網絡在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等,以及網絡安全處理方法的正確性;(3)可用性是指網絡中的各類資源在授權人需要的時候,可以立即獲得;(4)可控性是指能夠對網絡系統實施安全監控,做到能夠控制授權范圍內的信息流向、傳播及行為方式,控制網絡資源的使用方式;(5)可審查性是指對出現的安全問題能夠提供調查的依據和手段,使系統內發生的與安全有關的行為均有說明性記錄可查。
3 “互聯網+”時代網絡安全分析
3.1 特征分析
近年來,無論是在軍事還是在民用信息領域中都出現了一個趨勢:以網絡為中心,各行各業與互聯網緊密相關,即進入了“互聯網+”時代。各類組織、機構的行為對網絡的依賴程度越來越大,以網絡為中心的趨勢導致了兩個顯著的特征:一是互聯網絡的重要性;二是互聯網絡的脆弱性。
網絡的重要性體現在現代人類社會中的諸多要素對互聯網絡的依賴。就像人們離不開水、電、電話一樣,人們也越來越離不開網絡,而且越是發達的地區,對網絡的依賴程度就越大。尤其是隨著重要基礎設施的高度信息化,直接影響國家利益及安全的許多關鍵基礎設施已實現網絡化,與此同時,這些社會的“命脈”和“核心”控制系統也面臨著更大的威脅,一旦上述基礎設施的網絡系統遭受攻擊而失靈,可能造成一個地區,甚至是一個國家社會功能的部分或者是完全癱瘓。
網絡的脆弱性體現在這些重要的網絡中,每時每刻都會面臨惡意攻擊、病毒傳播、錯誤操作、隨機失效等安全威脅,而且這些威脅所導致的損失,也隨著人們對網絡依賴程度的日益增高而變得越來越難以控制。互聯網最初基本上是一個不設防的網絡空間,其采用的TCP/IP、SNMP等協議的安全性很脆弱。它強調開放性和共享性,本身并不為用戶提供高度的安全保護。互聯網絡系統的脆弱性,使其容易受到致命的攻擊。事實上,目前我國與互聯網相連的大部分網絡管理中心都遭受過境內外黑客的攻擊或入侵,其中銀行、金融和證券機構是黑客攻擊的重點。
3.2 現狀分析
《2013年中國網民信息安全狀況研究報告》指出:整體上,我國網絡安全環境不容客觀,手機短信安全、應用軟件安全、計算機終端安全和各類服務器安全狀況不盡人意。
從數量規模上看,中國已是網絡大國,但從防護和管理能力上看,還不是網絡強國,網絡安全形勢十分嚴峻復雜。2015年2月,中國互聯網信息中心《第35次中國互聯網絡發展狀況統計報告》顯示,隨著“互聯網+”時代的到來,2014年中國網民規模6.49億,手機網民數量5.57億,網站總數3350000,國際出口帶寬達4118G,中國大陸31個省、直轄市、自治區中網民數量超過千萬規模的達25個。
從應用范圍上,“互聯網+”時代的到來使得龐大的網絡群體帶領中國進入了“低頭閱讀”時代,“微博客賬號12 億,微信日均發送160 億條,QQ 日均發送60 億條,新浪微博、騰訊微博日均發帖2.3 億條,手機客戶端日均啟動20 億次”的數據體現了中國網民的特征。
從網絡安全發展趨勢上看,網絡規模急劇擴大,增加了網絡安全漏洞的可能性;多個行業領域加入互聯網,增加了網絡安全控制的難度和風險;移動智能互聯設備作為互聯網的末端延伸,增加了網絡攻擊的新目標;互聯網經濟規模的躍升,增加了網絡管理的復雜性。
3.3 威脅分析
互聯網絡安全威脅主要來自于幾個方面:一是計算機網絡系統遭受病毒感染和破壞。計算機網絡病毒呈現出異常活躍的態勢,我國約73%的計算機用戶曾感染病毒,且病毒的破壞性較大;二是電腦黑客活動猖獗。網絡系統具有致命的脆弱性、易受攻擊性和開放性,我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入;三是網絡基礎設施自身的缺陷。各類硬件設施本身存在漏洞和安全隱患,各類網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。國內與網絡有關的各類違法行為以每年30%的速度遞增,來自于外部的黑客攻擊、病毒入侵和基于多IP的惡意攻擊持續不斷。
從網絡安全威脅對象上看,主要是應用軟件、新型智能終端、移動互聯設備、路由器和各類網站。2015年瑞星公司的《瑞星2014年中國信息安全報告》顯示,新增病毒的總體數量依然呈上漲趨勢,掛馬網站及釣魚網站屢禁不止。新增手機病毒上漲迅速,路由器安全、NFC支付安全、智能可穿戴設備等是當前網絡安全最為薄弱的環節。
從網絡安全狀態上看,僅2014年,總體網民中有46.3%的網民遭遇過網絡安全問題,在安全事件中,電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重,分別達到26.7%和25.9%,在網上遭遇到消費欺詐比例為12.6%。2015年2月境內感染網絡病毒的終端數為2210000,境內被篡改網站數量近10000個,3月電信網內遭受DDOS攻擊流量近18000TB。2015年5月底短短幾天,就有支付寶、網易、Uber等互聯網龍頭接連出現故障,這是海外黑客針對中國APT攻擊的冰山一角。
從網絡安全防護技術上看,一方面,安全問題層出不窮,技術日趨復雜。另一方面,安全問題的迅速發展和網絡規模的迅速擴大,給安全解決方案帶來極大的挑戰,方案本身的研發周期和用戶部署周期的影響,導致安全解決方案在處理實際問題時普遍存在強滯后性、弱通用性和弱有效性的特點。更為重要的是現有安全解決方案通常只能針對特定的安全問題,用戶需要不斷增加部署新的安全解決方案以應對網絡安全的發展。
4 “互聯網+”時代網絡安全管理體系
安全是“互聯網+”時展的核心問題,網絡安全管理至關重要,在“互聯網+”模式提出之后,如何守衛網絡安全將成其發展的關鍵。“互聯網+”時代更需要建立一個完整的網絡安全防護體系,提高各網絡設備、系統之間的協同性和關聯性,使網絡安全防護體系由靜態到動態,由被動到主動,提高網絡安全處置的自適應性和實時反應能力,增強入侵檢測的阻斷能力,從而達到全面系統安全管控的效果。
4.1 基于監測預警建立網絡安全態勢感知體系
在現有基礎上,通過互聯網安全態勢評價指標,分級分層部料數據采集和感知分析系統,構建互聯網安全態勢感知體系。評價指標包括網絡運行基礎型指標,網絡脆弱性指標、網絡威脅指標三類。其中運行基礎指標包括基礎網絡性能、基礎網絡流量和網絡設備負載等;網絡脆弱性指標包括關鍵網絡設備性能指數、重要系統的狀態參數、終端服務器運行狀態等;網絡威脅指標包括攻擊事件、攻擊類型、病毒傳播速度、染毒終端數量等。為了有效地獲取各類統計分析數據,需要在重要的節點和核心區域部署數據采集和感知分析系統,對網絡中的應用終端、大型核心服務器等關鍵數據進行采集,如網絡運行狀態數據、病毒感染數據、骨干網絡流量數據、服務器病毒攻擊數據等,通過對采集數據的分析,形成分類、分級的網絡安全態勢,通過對數據的實時關聯分析動態獲取網絡安全態勢,構建一體聯動的態勢感知體系。
4.2 基于主動防御建立網絡安全入侵檢測體系
在現有入侵防御能力基礎上,重點建設主動防御、網絡蜜罐、流量清洗等系統,構建網絡安全入侵檢測體系。一是建設主動防御系統。利用啟發式檢測和入侵行為分析技術構建主動防御系統,部署于各類各級網絡管理終端和核心服務器上,通過對未知網絡威脅、病毒木馬進行檢測和查殺,主動檢測系統漏洞和安全配置,形成上下聯動、多級一體的安全防護能力。二是建設網絡蜜罐系統。利用虛擬化和仿真等技術拓展和豐富網絡蜜罐系統,實現攻擊誘捕和蜜罐數據管理,在重要節點、網站和業務專網以上節點部署攻擊誘捕系統,有針對性地設置虛假目標,誘騙實施方對其攻擊,并記錄詳細的攻擊行為、方法和訪問目標等數據,通過對誘捕攻擊數據分析,形成聯動防御體系。三是建設流量清洗系統,包括流量監測和過濾分系統。在核心交換區域和網絡管理中心部署流量檢測分系統,及時發現網絡中的攻擊流量和惡意流量。在核心骨干節點部署流量過濾分系統,在網絡攻擊發生時,按照設置的過濾規則,自動過濾惡意攻擊流量,確保正常的數據流量,從數據鏈路層阻止惡意攻擊對網絡的破壞。
4.3 基于實時響應建立網絡安全應急管控體系
在現有應急響應機制基礎上,通過進一步加強廣域網絡、系統設備和各類用戶終端的控制,構建應急管控體系。一是加強多級、多類核心網絡的控制。依托網絡管理系統、流量監測系統以及流量清洗系統對骨干網絡進行實時監控,實時掌控不同方向、不同區域、不同領域的網絡流量分布情況、網絡帶寬占用情況,便于有效應對各類突況。二是加強網絡安全事件的控制。特別是對影響網絡運行的病毒傳播擴散、惡意攻擊導致網絡癱瘓以及對各類網絡的非法攻擊等行為,要能在第一時間進行預警和處置。三是建立健全應急管控機制。對于不同類型的網絡安全威脅,明確相關的職能部門及必要的防范措施,避免出現網絡安全問題時“無人問津”的情況,確保網絡安全處理的時效性。
5 結束語
時代賦予了互聯網新的職能,互聯網在給我們的生活帶來便利的同時也威脅著人們的安全,必須著重研究和建立新的網絡安全管理體制并制定相應的應對策略。網絡安全策略不能停留在被動的封堵漏洞狀態,也遠遠不是防毒軟件和防火墻等安全產品的簡單堆砌就能夠解決的,網絡安全需要形成一套主動防范、積極應對的可信、可控網絡體系,從根本上提高網絡與信息安全的監管、恢復和抗擊、防護、響應等能力,對于個人、企業、社會甚至國家利益和安全都具有十分重要的現實意義。
參考文獻
[1] 吳賀君.我國互聯網安全現狀及發展趨勢[J].長春師范學院學報,2011(12).
[2] 陳君.互聯網信息安全的“中國設計”[J].今日中國(中文版),2014(06).
[3] 周潛之.加強網絡安全管理刻不容緩[N].光明日報,2014(01).
[4] 羅佳妮.完善互聯網信息安全保障機制的思考[J].新聞傳播,2013(09).
[5] 胡凌.網絡安全、隱私與互聯網的未來[J].中外法學,2012(02).
[6] 中國互聯網信息中心.2013年中國網民信息安全狀況研究報告[R].2013(09).
[7] 娜,劉鵬飛.2015中國互聯網展望[J].新媒在線,2015(03).
[8] 熊勵,王國正.移動互聯網安全,一道繞不過去的坎[J].社會觀察,2014(05).
[9] 喻國明.移動互聯網時代的網絡安全:趨勢與對策[J].國明視點,2015(02).
[10] 蔡志偉.融合網絡行為監測與控制技術研究[D].理工大學碩士論文,2011(06).
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-8937(2014)5-0010-02
計算機網絡技術的迅猛發展極大地改變了人們的生活方式,深遠影響著人們日常工作的發展,是當前社會不可缺少、不可替代的技術類型。然而隨著其向更層次的發展后,一系列因計算進網絡技術而附加產生的問題接踵而至,很大程度上對其長遠發展造成了阻礙。近年來,關于計算機病毒、計算機黑客攻擊而造成的全球互聯網和軍事情報網及商業等頻頻癱瘓的狀況此起彼伏,傳播速度快、破壞能力強、影響范圍廣的病毒入侵使得計算機網絡安全技術時刻經受著挑戰。因此,掌握先進的網絡安全防護技術變得十分必要。
1 計算機網絡技術存在的安全隱患
1.1 關于計算機病毒造成的安全隱患
計算機網絡技術深刻地透入到人們生活的各個角落,人們對其認識了解也不在少數,同樣的對可能引發安全隱患的病毒也不陌生。計算機網絡病毒的種類有很多,最常見的當屬木馬病毒,它傳播速度快、破壞力大且難以根除,使得其在各大互聯網絡肆意橫行,時時刻對網絡安全造成致命的威脅。而且計算機病毒的存在具有較強的隱蔽性,不易被察覺。很多計算機用戶往往是在毫無防備的情況下感染上的,這些病毒大多潛藏在諸多非專業的資料網站內,用戶在下載這些資料時病毒就趁機入侵,使資料下載用戶的計算機硬件遭到破壞并出現相應的安全漏洞,長期受到病毒的侵擾威脅。計算機病毒有良性病毒和惡性病毒的區別,惡性病毒具有超輕的傳染性、隱蔽性、破壞性等特點,難以及時發現、徹底清除,在相當長的時間和廣闊的范圍內對計算機用戶構成極大地困擾。良性病毒帶來的破壞力相對較弱、時間較短、危害范圍也更小,可以在發現后利用殺毒軟件進行徹底清除。
1.2 關于黑客攻擊造成的安全隱患
黑客攻擊是影響計算機網絡技術安全的另一重要因素。黑客攻擊是人為的未經管理者和法律許可就直接進入其電腦,完成破壞電腦管理者計算機硬件系統和軟件系統的操作,使管理者電腦出現嚴重的漏洞,用戶電腦中的資料信息遭到竊取,并且還會將隱藏的病毒程序種植于用戶電腦之中,長期的對用戶電腦進行破壞性操作控制。黑客攻擊相較于一般的病毒入侵更具威脅性,人為的不可控性是黑客攻擊難以防范的最根本問題。
1.3 計算機系統軟件漏洞造成的安全隱患
計算機應用系統本身存在著不少系統漏洞,這些漏洞對計算機本身的網絡安全并不會構成任何威脅,但這些固有的漏洞為黑客攻擊、惡意軟件侵入、病毒滋生提供了可乘之機,一旦黑客、不法分子及病毒掌握這些漏洞,他們便會趁虛而入,此時原本無害的系統漏洞就成了病毒滋生的溫床和計算機遭受入侵的幫兇。
1.4 安全配置不當造成的隱患
在計算機操作過程中,如果安全配置不當也會引發相應的安全隱患。安全配置的合理設置如同計算機自身的“看家本領”,良好的配置才能練就過硬的安全防護能力,若是配置不當,很多安全防護軟件便不能正常使用,也不能發揮其為計算機用戶安全保駕護航的作用,更會給計算機留下漏洞,形成網絡缺口,最終導致病毒入侵的后果。
2 計算機網絡安全防護技術建設的必要性
計算機網絡技術的普及性、廣泛性、便捷性等特點使得其在全世界范圍內擁有廣大深厚的用戶基礎,這在為人們生活提供便利的同時更存在著相對等的安全隱患,一旦問題產生,可影響輻射的范圍是全球性的。網絡安全狀態下可以惠及全球,網絡存在隱患時也可以波及全球,因而全球的計算機網絡用戶都必須時刻警惕網絡安全隱患的侵擾,并且在全球范圍內建設計算機網絡安全防護建設的防護體系,在問題發生后迅速作出反應,并且及時進行信息交流傳達,將破壞范圍降到最小,造成的損失減到最低,確保全球網絡通信環境的安全可靠。計算機網絡安全遭到威脅和破壞后帶來的損失是不可估量的,信息竊取、網絡癱瘓等造成人們生產生活難以正常繼續,商業及軍事情報遭泄露帶來的危害是更廣范圍更深層次的,極有可能引發社會騷亂、局勢動蕩,因此必須加強計算機網絡安全防護技術的開發與研究,力求做到防患于未然,即便問題出現也可以第一時間內妥善解決,將危害損失降到最低。
3 計算機網絡安全防護策略
3.1 針對病毒入侵采取防火墻技術
利用防火墻技術構筑起計算機網絡安全的一道屏障,將內網與外網通信過程中程序的訪問進行控制,有選擇的訪問安全可靠的資源網站,對存在安全隱患的訪問程序進行首輪篩選攔截,確保網絡通信正常運行。防火墻本身具有一定的抗攻擊能力,目前常用的防火墻技術主要有包過濾防火墻、地址轉換防火墻和防火墻三種。這三種防火墻技術通過濾除不可信地址的信息接收與發送,轉換內網地址、隱藏終端地址,利用服務器與網絡服務器溝通等手段不斷加強內網的安全穩定性。防火墻技術是目前計算機網絡安全最基本的防護技術,但也是必不可少的防護措施,需要推廣使用。
3.2 針對黑客攻擊采用訪客控制技術
訪問控制管理技術可以保障網絡系統在可控的范圍內被訪問,使網絡資源不會被非法利用和訪問。對于入網環節實施首層訪問控制,并且對進入者的訪問時間、訪問內容、訪問權限都作出明確限制。還需要計算機網絡用戶對系統相關文件設置相應權限,篩選出符合訪問權限者,及時報告并阻截不符合權限者。還可以使用身份認證技術對網絡用戶進行身份認證,并對用戶限定相應的網絡操作權限,這一操作的設定將加大非法用戶的訪問難度還可以對網絡不明用戶的不正常操作行為進行記錄。網絡管理人員必須做好對整個網絡系統的監控,記錄好服務器登錄用戶信息,一旦有異常出現,可利用聲音、文字等多種方式進行應急報警,提升網絡管理者的警惕性,及時阻攔黑客的不良攻擊,有效預防來自外部的惡意攻擊。
3.3 針對計算機系統軟件漏洞造成的隱患
計算機本身的漏洞問題是固有的,為保證計算機網絡安全必須定時的對系統漏洞做全盤掃描,深度清理。發現漏洞后及時修補,不給黑客、不法分子以可乘之機。計算機本身存在的漏洞若不及時發現并修復,很可能會產生外部病毒入侵、黑客攻擊與系統本身的漏洞“里應外合”的嚴重后果,造成的影響更是毀滅性的,因此必須嚴格搞好系統本身的漏洞監控修復工作,真正做到防患于未然。
3.4 入侵檢測技術
入侵檢測技術相較于其他防御技術有很大的不同,它扭轉了原來被動防御的劣勢,主動出擊,主動展開計算機網絡安全技術的防護工作,掌握一定的主動性,及時對異常入侵者做出反應。入侵檢測技術可以與多種相關技術合作,共同制定出與網絡環境相適應的安全規則,從而對網絡獲取的信息進行分析檢測,并時刻對網絡運行狀態進行監控,及時排除網絡中存在的安全威脅。
3.5 搞好計算機網絡專業人員培訓,建設專業的防護人
才隊伍
計算機是由人發明創造的,其操作使用者是人類,其管理維護者更是計算機專業人員,因此為了做好計算機網絡安全防護,專業的網絡管理維護人員是必不可少的。搞好計算機網絡網絡專業管理人員的培訓、建設專業的防護人才隊伍,提高其處理解決問題的能力,可以有效的對計算機的信息管理安全進行控制,保障網絡通信安全暢通運行。
3.6 加強網絡安全防范意識
計算機網絡安全問題產生的很大一部分原因在于計算機網絡用戶的安全防范意識薄弱,缺乏有力的信息甄別能力,容易受到虛假不良信息的誘惑侵蝕,從而無意中進入到病毒攜帶網站的圈套,進而受到病毒感染、木馬入侵等危害計算機網絡安全的干擾。因此廣大計算機網絡用戶務必有較強的網絡安全防護意識,對瀏覽網頁時自動彈出的信息窗口作仔細的甄別,確保其安全可靠后再選擇進入頁面,對于安全性不能確定的網頁要及時舉報攔截,將網絡安全防護的意識牢牢樹立于腦海之中。
3.7 利用多種新興媒體加大網絡安全維護的宣傳力度
新興的媒體客戶端在廣大計算機用戶中有著深厚的用戶基礎,在計算機網絡安全防護工作中,二者可以互相結合,利用媒體宣傳安全上網、防范網絡危險的知識和方法,營造安全和諧的上網環境,對于諸多惡意信息網站要及時舉報、曝光,必要時進行關閉處理,避免網絡用戶二次上當。在安全上網的方法指導下,計算機網絡用戶就可以走出操作使用時的盲區,在最大限度內做到趨利避害。
3.8 用資料備份儲存技術
計算機用戶在日常的工作學習和生活中會將大量的數據信息資料存入電腦之中,這在網絡安全暢通的情況下是非常方便的,但計算機網絡若遭到破壞或損毀,內存的資料也就不復存在的,這就要求采用資料備份存儲技術,將計算機內的個人資料信息作出備份存儲,避免資料信息丟失,給生活工作帶來不便。
4 結 語
計算機網絡在人們的生活工作中滲透得越來越深入,已經日漸成為人們生活中必不可少的一部分,人們的衣食住行都與之有著密不可分的聯系,其在人們生活中扮演的重要角色已經無可替代,而且在更長遠的時間里,計算機網絡對人們生活的影響會更加透徹,更加廣泛,人們的生活較之于現在也會發生更加深刻的變革。人們的生活會向著智能、簡約的趨勢發展,這種生活追求的實現必須依賴于安全可靠的計算機網絡技術。換言之,安全的計算機網絡環境和可靠地計算機網絡技術是確保人們生活日漸美好的充分必要條件,因而全世界范圍內的網絡用戶都必須為實現這一目標而共同努力,營造文明上網的和諧環境、倡導安全上網的操作規范,做到全社會參與,共同抵制計算機網絡安全隱患的侵襲。通過本文研究發現,機損及網絡安全防護不僅需要技術上的革新,還需要網絡用戶的積極響應參與,二者有效配合才可以充分保證計算機網絡的安全。
參考文獻:
關鍵詞:
煙草企業;網絡安全防護;體系建設
隨著信息化的逐步發展,國內煙草企業也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此,越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。
1威脅煙草企業網絡信息體系安全的因素
受各種因素影響,煙草企業網絡信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2軟硬件因素
網絡安全設備投資方面,行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發展迅速,超出防火墻屏蔽能力等,都使企業安全防護網絡遭受嚴重威脅。
1.3結構性因素
煙草企業現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2煙草企業網絡安全防護體系建設現狀
煙草企業網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1業務應用集成整合不足
不少煙草企業防護系統在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合,對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協調,致使在信息化建設中,業務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業信息化建設的各個環節,加上企業信息化治理模式構建不成熟等原因,制約了企業安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3加強煙草企業網絡安全防護體系建設的策略
煙草企業應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則,始終堅持兩級主體、協同建設和項目帶動的模式,按照統一架構、安全同步、統一平臺的技術規范,才能持續推動產業發展同信息化建設和諧共生。
3.1遵循網絡防護基本原則
煙草企業在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統計,大的問題盡量拆解細分,類似的問題歸類統一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業內部網絡來說,應以功能為界限來劃分,以劃分區域為安全防護區域。同時,要不斷地完善安全防護體系建設標準,打破不同企業之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2合理確定網絡安全區域
煙草企業在使用網絡過程中,不同的區域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時,對生產、監管、流通、銷售等各個環節,要根據其業務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態度,根據企業實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3大力推行動態防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業所遭受的網絡威脅進行分析,確定系統存在哪些漏洞、留有什么隱患,實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制,在系統遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統的基本功能,為后期確定問題原因與及時恢復系統留下時間,并且確保企業業務的開展不被中斷,不會為企業帶來很大的經濟損失。另外,還應大力提倡煙草企業同專業信息防護企業合作,構建病毒防護戰略聯盟,為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。
3.4構建專業防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強,既要熟知信息安全防護技術,也要對煙草企業生產全過程了然于胸,并熟知國家政策法規等制度。因此,煙草企業要大力構建專業的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業現有信息安全防護人員的能力素質,也要積極同病毒防護企業、專業院校和科研院所合作,引進高素質專業技術人才,從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。
3.5提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心,統一對企業網絡安全防護系統進行管理培訓,各部門、各環節也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監督下,都要在網絡使用制度的規則框架中,杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規地使用信息網絡。
4結語
煙草企業管理者必須清醒認識到,利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰,以實事求是的態度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業做大做強奠定堅實的基礎。
參考文獻:
[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
近年來‘1.21 DNS事件’和‘棱鏡門事件’等網絡安全事件層出不窮,使得網絡安全監控管理理論和機制的研究受到高度的重視,而各類網絡安全技術的創新已是網絡安全研究的主導方向。但是,網絡安全體系一定要以網為本,從網絡系統的角度重新設計網絡的安全體系。下面就對網絡安全技術應用的綜合性及系統性進行剖析。
一、網絡面臨的安全問題
網絡環境下的信息和數據面臨諸多風險,即使是在使用了現有的安全機制情況下,由于每一種安全機制都有一定的應用范圍和應用環境,網絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結為以下幾點:
(一)網絡的自身的安全缺陷是導致網絡安全問題的根本原因。
TCP/IP協議是網絡中使用的基本通信協議,設計之初沒有充分考慮安全威脅,許多的網絡協議和應用沒有提供必要的安全服務。確切的說,TCP/IP除了最常用的TCP和IP協議外,還包含許多工具性協議、管理協議及應用協議。TCP/IP協議共分為應用層、傳輸層、網際層、網絡接口層。其中,應用層向用戶提供訪問Internet的TELNET、FTP、DNS等一些高層協議。傳輸層提供應用程序端到端通信服務的TCP和UDP協議。網際層負責相鄰主機之間的通信的IP和ICMP等協議。網絡接口層主要負責數據幀的發送和接收。而這些協議基本上都存安全設計缺陷或漏洞。
(二)網絡系統的維護和管理方面的困難性也是網絡安全問題主要原因。
木桶理論:傳統理論描述的是一個木桶其價值在于盛水量的多少,但決定盛水量的關鍵是最短的木板。新理論認為,木桶的長久盛水量,取決于各木板之間配合的緊密性。相對于傳統理論,新理論更強調系統中各個部件之間的關聯。
根據權威部門統計,超過80%的網絡安全問題源于用戶終端,業界也推出了大量的軟硬件安全產品。但這些產品并沒有真正解決終端安全問題,究其原因是它們只著眼于自己的領域,相互沒有配合。
(三)用戶的安全和防范意識薄弱是造成網絡安全問題的最重要原因。
二、網絡安全的防護
現階段為了解決網絡環境下所面臨的安全問題,必須強化網絡安全意識,創新網絡安全策略,積極落實安全防范措施。但由于網絡安全威脅的多樣性和復雜性,從而導致了對網絡安全防護的綜合性和系統性。
(一)針對以上三大隱患我們需要進行有針對性的防范:
1.網絡自身的安全缺陷導致的網絡安全問題
對于網絡自身的安全問題是不可避免,長期存在的。由于網絡和相關軟件越來越復雜,安全漏洞也會越來越多,這些漏洞往往成為網絡攻擊的重要目標或渠道。因此我們在與相應的軟件硬件廠商保持實時信息交流的同時,時刻關注網絡安全的最新消息,有針對性地更新解決方案和應用策略。
2.網絡維護和管理方面的困難性導致的網絡安全問題
網絡安全需要網絡管理者和建設者主動思考,通過安全聯動技術將整個網絡系統中的各類資源進行整合,這樣才能真正實現全面防護、統一管理、降低成本、強制安全等目標。
3.用戶安全和防范意識薄弱造成的網絡安全問題
首先要通過管理制度和普及相應的法律法規來全面的提升用戶的安全和防范意識,使用戶主動做好終端的管理和防護;其次,需要抓住網絡準入這一關鍵點來管理終端,確保終端安全制度嚴格實施。同時融入其它的安全和管理技術,建立主動防御的安全體系,并在實踐中不斷完善。
(二)網絡安全防護還需通過以下方式手段進行完善:
1.部署防火墻
防火墻的基本功能是對網絡進行訪問控制。絕大部分的防火墻都是放置在可信任網絡(內部網)和不可信任網絡(Internet)之間。在實際的應用中可結合實際需求情況進行部署。
2.在網絡內部和日常管理過程中建立多級備份機制
數據和信息安全工作是網絡安全的重中之重。對于重要數據資料采取必要的容災備份機制,以保證不丟失或被破壞,即使遭到破壞在最短時間內可以恢復。
3.加強對惡意代碼程序的防護
在網絡預防方面:由于現有的防控軟件和硬件大多數都屬于被動的防治,因此對于惡意代碼程序的防護應該通過管理和制度上從根本進行預防。
在終端預防方面:由于惡意代碼程序都是基于軟件運行的。對其防治在于完善軟件的安全機制。因此我們首先要嚴格管理制度,對網絡中的終端使用行為和各類軟件從嚴進行管理與檢測。
①加強系統中軟硬件的漏洞檢測和更新
就目前網絡系統的安全狀況而言,系統中的軟件和硬件都可能存在漏洞。因此必需與設備廠商建立長久的更新預防機制。
②采用加解密技術
網絡是一個開放式系統,加密和解密技術不能公應用于email等應用,對于其它的網絡通信也很重要。
③部署入侵檢測系統
入侵檢測系統可以檢查網絡或系統中是否存在違反即定安全策略的行為和被攻擊的跡象,通過采取相應的聯動手段達到限制這些活動,以保護網絡和信息系統的安全。
三、結束語
網絡安全技術的應用是一個綜合性的課題,涉及到技術、管理、使用等諸多方面,既包含信息系統本身的安全問題,也有物理和邏輯的技術措施,需要通過精心調研網絡信息系統的安全需求,確定切實可行的網絡信息安全解決方案。只有通過在建設和應用過程中不斷地分析問題、不斷地創新解決方案,同時嚴格的執行相關的管理制度和操作規程、明確清晰的制定安全策略,以及建立高素質的網絡管理人才隊伍。才能完好、實時地保證信息的安全性、完整性和準確性,為網絡信息提供最大化的安全服務。
參考文獻:
隨著通信技術、計算機技術在網絡中的使用,促進網絡技術的快速發,但是,網絡安全面臨的問題也出現了多樣化的現象,網絡病毒入侵、黑客盜號等網絡安全漏洞問題影響著人們對網絡的運用,也對人們的信息安全造成了嚴重的威脅,影響著人們之間的信息交流。在網絡經常發現用戶大量的信息被竊取,有時網絡安全問題嚴重時,還會導致用戶的信息丟失,計算機受到損害等。因此,加強計算機網絡的安全防護,針對當前計算機網絡系統的安全問題,采用有效的防御手段是保證網絡安全使用重要途徑。
1 計算機網絡安全漏洞的類型分析
網絡安全漏洞的成因是多種多樣的,安全漏洞是計算機網絡技術發展過程中常見的問題之一,但是黑客與病毒制造者正是利用這種漏洞,對計算機網絡進行攻擊。因為計算機網絡的安全漏洞是多種多樣的,產生的網絡病毒也是多種多樣的,例如蠕蟲、木馬病毒程序對用戶的攻擊目標就不相同。由于計算機網絡安全漏洞的表現形式不同,分類的方法也不相同,一般地的可以將計算機網絡的安全漏洞分為兩種類型。
1.1 系統漏洞
系統漏洞是計算機網絡安全的常見問題,由于計算機網絡系統本身具有資源共享和交互特性,為了有效的提高用戶之間交流與互動,就需要不斷地拓展計算機系統功能,最大程度地滿足用戶對各類計算機功能的需求,在新功能開發、使用的過程中,不可避免的會出現一些漏洞,使得計算機網絡系統處在不安全的狀態下。基于計算機網絡多項功能的系統環境,黑客網絡就會對新開發的功能漏洞進行攻擊,以在更大范圍內獲取用戶信息,同時由于計算機網絡運行的周期越長,漏洞就越容易被發展,黑客對網絡攻擊的可能性就越大。計算機網絡的鏈路是網絡系統工作的基礎支持,也是網絡交互的重要保證,用戶在進行一些特殊的功能通信與文件交互時,需要開放網絡中的某些特殊端口,這時網絡病毒就會對這些端口進行攻擊,這種網絡安全漏洞也是當前計算機網絡安全的重要問題之一。
1.2 協議漏洞
協議漏洞主要是計算機網絡通信系統的通信協議進行劃分的,計算機網絡主要以TCP/IP協議為基礎進行通信,由于TCP/IP缺陷形成的漏洞,導致計算機網絡安全性能存在缺陷,被劃分為協議漏洞。協議漏洞在網絡安全中沒有嚴格的區分標準,但是病毒利用協議漏洞對網絡進行攻擊產生的影響具有一定的相似性,就需要從TCP/IP協議層對整個計算機進行防護,才能有效的保證網絡的安全。TCP/IP協議是計算機網絡的信息通道,是保證網絡通信重要因素。但是,由于TCP/IP的技術本身還不完善,使得它不能有效的νㄐ判議漏洞進行控制,在網絡通信的過程中,協議也不能正確判斷IP的實際來源,這樣在通信的過程中,TCP/IP受到的攻擊也就比較多,也會影響著網絡的正常通信。例:滿足TCP/IP協議通信類、共享類等特殊需求時,在通信的過程中,就需打開相應的通信端口,在端口的信息交互是很快的,在這種情況下,TCP/IP協議就會出現漏洞,黑客利用打開的端口,就會對通信協議展開攻擊,以解析的方式通過打開的端口侵入到計算機系統中,對網絡系統能夠的通信協議進行惡意的篡改,使得網絡通信出現安全問題。
2 計算機網絡安全漏洞的原因分析
安全漏洞最根本的原因是計算機不完善的原因造成的,而造成安全漏洞的原因是多方面的,但是主要因素一般集中在DoS和網絡入侵兩個方面,在網絡安全管理中,DOS是拒絕類服務,主要是對系統中的安全權限進行限制,在DOS拒絕服務的同時,網絡管理系統的安全漏洞權限就會被限制,網絡的安全性能就會提高,但是如果用戶需要利用某一個端口,就需要打開通信端口,修改端口的權限,就必須要個端口分配權限資源,導致網絡系統的資源程序被分割,通信端口就存在安全的問題,同時由于通信端口并不能保障所有資源都可以被DOS有效利用,DOS安全管理就不能有效的對端口通信的所有資源進行管理,分割后的資源部分會轉化成無效文件,這樣就會被黑客與病毒利用,進而引發網絡安全漏洞。網絡入侵是一種網絡攻擊形式,它屬于惡意攻擊,往往會對用戶的信息安全造成損害,它主要以網絡安全漏洞為入侵目的,通過病毒的入侵,盜取系統的信息,對計算機網絡造成更大范圍內的安全問題,例如,病毒以寫入的方式,對系統的通信文件進行修改,使得用戶的權限信息被修改,導致計算機網絡系統安全防護能力降低或者癱瘓,從而使得一些非法用戶盜取系統的信息,甚至會造成部分信息混淆,往往會造成更大的網絡安全漏洞,進而會造成大面積的數據泄露。由于計算機的DOS系統與網絡入侵造成的網絡安全漏洞,如果不采取有效的安全防御措施,就會使得用戶的信息處于無保護狀態,影響著網絡信息的安全。
3 計算機網絡安全漏洞的防范策略研究
由于計算機網絡中安全問題是多種多樣的,在對計算機網絡安全漏洞進行防護時,需要根據安全漏洞的種類,來分析計算機網絡安全漏洞形成的原因,結合具體的情況,選擇合適的安全防范策略。
3.1 防火墻技術
防火墻技術的主要功能是對網絡中的病毒數據進行隔離,進而起到保護網絡安全,提高網絡系統的安全性。根據防火墻技術的工作方式,可以將其分為如下三種網絡安全防護方式:第一種是過濾防護,這是防火墻的基本功能,主要是采用路由器技術對網絡的安全漏洞進行掃描分析,通過漏油器來篩選網絡數據的訪問行為,對非法的數據進行隔離,但是采用防火墻不能對隱蔽的地址進行過濾,對一些隱蔽性的攻擊不能做到有效的防護;第二種是技術,它是對訪問計算機系統的程序數據進行分析,如果發現病毒直接阻斷程序的訪問,采用技術可以對訪問系統的數據進行記錄,并生成加密信息列表,以便與后期掃描的數據進行比對,如果發現異常就阻斷網絡訪問,進而能夠實現對計算機網絡進行防護,保證網絡的安全;第三是方位控制技術,實時控制網絡的非法訪問,對非法訪問的用戶進行控制,訪控技術的實現也可以通過安裝防火墻,采用防火墻的安全功能對訪問的用戶身份進行驗證,通過設計用戶訪問的全新,采用口令與密碼結合的方式對用戶的訪問進行控制,限制非法的用戶訪問系統的數據,保護計算機網絡中的文件、數據的安全,進而達到網絡安全防護的目的。
3.2 病毒防范措施
采用殺毒軟件對計算機網絡安全進行防護是網絡安全常用的方法與手段之一,病毒對計算機網絡安全漏洞的攻擊力非常強,常常能夠繞過防火墻對計算機進行攻擊,而且計算機病毒具有依附性、多變性的特點,這樣使用殺毒軟件能夠有效的對病毒進行防護。一旦計算機網絡中出現病毒,病毒就可以借助網絡的安全漏洞,進入到用戶計算機中,對用戶計算機系統進行干擾與破壞。因此,在網絡系統中,可以按照防病毒軟件來提高計算機的安全防護措施,提高網絡系統的安全。目前,我國主要利用多層防衛系統作為病毒防范的措施,采取主動防御的辦法,在用戶的計算機上安裝計算機殺毒軟件,例如卡巴斯基、360、小紅傘等病毒查殺軟件,防止病毒入侵,它們一般都具有主動防御的功能,利用殺毒軟件定期對計算機系統進行檢測,分析計算機網絡系統的安全問題,分析系統中是否存在安全漏洞,及時的修復計算機的漏洞,使得計算機能夠在良好的網絡環境中進行工作。由于計算機病毒是一個不斷變化的過程,而且病毒的變異能力也十分強大,這就需要做好計算機病毒庫的升級工作,防止病毒侵入到計算機中,通過安裝殺毒軟件,并定期更新病毒庫,可以有效的切斷計算機病毒的入侵途徑,優化計算機網絡的運行環境。
3.3 漏洞掃描技術
漏洞掃描技術的作用是對計算機系統中存在的安全漏洞進行掃描,及時發現系統存在的漏洞問題,它的工作原理如下:模擬實際的漏洞攻擊,對網絡系統中存在的安全問題進行分析,利用各種探測方式,分析計算機網絡系統中是否存在安全的漏洞或者不合理的行為,然后以錯誤的注冊方式,分析系統的漏洞,例如在通訊的主機端口,進行路徑掃描,然后根據主機反饋的信息,分析計算機網絡系統中是夠存在安全漏洞,在采用模擬漏洞攻擊的方式,對計算機網絡安全漏洞機進行檢查與分析,并逐步的進行分析,以便于及時的發現網絡系統中是否存在安全的問題,并根據計算機系統反饋的信息,分析安全漏洞的實質,這樣以達到能夠有效的防護計算機網絡系統的安全漏洞。目前,漏洞掃描的主要技術為DOS掃描,來達到掃描緩沖的目的,以便于對計算機系統的安全漏洞進行分析。計算機網絡的安全漏洞掃描具有全面性的特點,它不僅能夠對本地計算機網絡系統的安全漏洞進行檢查分析,也可以通過遠程控制,對計算機系統進行遠程掃描。漏洞掃描技術需要定期對計算機網絡系統的安全漏洞進行掃描,并定期的對安全系統進行維護,通過對計算機網絡系統的服務器、通信端口、運行軟件等作為漏洞掃描的防o對象,加強對計算機安全進行防護,由于這類維護對象經常需要網絡環境進行接觸,也是用戶需要經常運行的部分,容易出現網絡安全漏洞,成為病毒、木馬、黑客攻擊的主要對象,同時還會這類維護對象還能夠成為病毒的依附對象,引發大規模的病毒工具,造成用戶文件的丟失或者被盜。因此,將此類維護對象對計算機網絡系統的漏洞掃描關鍵位置,能夠有效的提高網絡安全防護能力。
3.4 端口解析技術
端口主要是指計算機網絡通信的USB接口,一般是計算機系統的對外信息接口,在計算機系統中,USB接口的安全性也做了防護,但是在工作的過程中,也有可能存在安全漏洞。因此,在接入USB接口時,需要做好計算機安全防護,在USB端口接入設備時,系統就會對其通信端口進行解析,并及時的向用戶反饋信息,一旦出現病毒就會及時的發出報警,這樣就能夠有效的對病毒、木馬等行為進行檢測,避免計算機病毒通過USB通信端口植入到計算機系統中,提高網絡的安全性。因此,在計算機中使用USB設備時,需要做好計算機安全漏洞防護措施,以提高網絡的安全性。
3.5 數據備份
數據備份是計算機系統自我防護的一個重要功能,一個完整的安全系統,在工作時必須具備數據的備份與還原的能力,能夠有效的對計算機的數據威脅進行防范。如果計算機出現威脅導致用戶數據破壞時,系統能自動的進行還原,為用戶提供備份的數據。雖然,數據備份對網絡系統安全管理是一項比較乏味的工作,在實際工作中可能對用戶不會起到幫助的作用,但是,一旦用戶的電腦出現安全問題時,數據備份能夠起到防患未然的作用,在一定的程度內降低了用戶的損失,提高了數據的安全性能。
3.6 入侵檢測
雖然網絡安全防患措施都在使用,但大多數的網絡安全防患措施都具有被動防患的弱點,主動防御的性能較差,有的屬于工作人員的工作疏忽,往往會導致嚴重的后果,通過采用入侵檢測是非常有效的措施,能夠在病毒對計算機的數據進行攻擊之前進行檢測,然后利用報警與防護系統對工作人員進行提醒,在入侵檢測的過程中,能夠有效的減少因為入侵攻擊造成的財產損失,增強系統的安全防護的性能,有利于增強網絡的穩定性。
4 結束語
隨著計算機網絡安全的問題越來越得到重視,人們也加強對網絡安全技術的研究,為了有效的對計算機網絡安全進行控制,就需要深入的對計算機網絡安全問題進行分析,探究網絡安全漏洞形成的原因,才能有效的提出安全防護措施。在具體的防護過程中,需要綜合的利用防火墻技術、漏洞掃描技術、入侵檢測技術以及殺毒軟件控制技術等網絡進行安全的防護,科學合理的制定網絡安全防護措施,才能有效的提高計算機網絡系統的安全。
參考文獻
[1]張達聰.鄒議計算機網絡安全漏洞及防范措施[J].硅谷,2016(06).
[2]魏英韜.淺析計算機網絡安全防范措施[J].中國新技術新產品,2015(03).
[3]羅耀.淺談計算機網絡安全管理的措施[J].信息與電腦(理論版),2014(04).
[4]王茹.計算機信息網絡安全存在的問題及其應對策略[J].信息與電腦(理論版),2015(05).
作者簡介
2公共部門網絡安全管理中的問題
(1)重建設、輕管理,安全管理制度落實不到位
目前公共部門在信息化建設中存在一些不良弊端,往往重視計算機網絡系統設備的選購和建設的過程,然而當網絡系統完成建設后卻不能及時的按照上級相關網絡管理制度,來對設備進行管理維護,缺乏一套有效的、適合本單位的網絡管理制度。
(2)網絡安全管理人才不足
當前計算機技術飛速發展,對操作和使用計算機設備的人的要求也是越來越高。然而,在計算機網絡體系的建設過程中,相關的專業人才較少,相關的內部業務培訓也無法滿足當前信息發展的要求,在各單位普遍存在網絡管理人員專業能力不強、素質不高、安全意識薄弱等問題。目前,加強網絡安全管理人才的培養已成為當前計算機網絡體系建設中急需解決的問題之一。
(3)公共部門人員網絡知識水平參差不齊
網絡安全意識淡薄。當下,隨著計算機網絡的普及,越來越多的單位都將本單位的計算機連入了網絡。但是大部分用戶對計算機網絡安全知識不熟悉,對網絡及各種系統大多停留在如何使用的基礎上,對網絡安全防護意識不強。例如,在無保護措施的情況下,隨意共享、傳遞重要文件,甚至少數人在無意識的情況下將帶有保密信息的計算機、存儲介質連入Internet。
3相關對策
(1)加強思想教育
從思想上構筑網絡安全的防火墻。提高網絡安全防護能力,首先要加強用戶的網絡安全意識,通過在公共部門中宣講學習上級關于網絡安全防護的有關指示精神、政策法規和一些網絡安全防護知識的教材,引導用戶充分認識到網絡安全防護工作的重要性,學習如何加強網絡安全防護能力的基礎知識,要讓每名工作人員知道在網絡防護工作中自己應該做什么和怎么做。以近些年發生的網絡安全事件為案例,講述發生網絡失泄密對部門和個人造成的危害性,進一步增強全體工作人員的遵紀守法、安全保密意識,堅決杜絕危害計算機網絡系統的思想行為。
(2)采取多種技術手段
為信息安全防護提供強有力的技術保障。在網絡安全建設中,要在網絡物理隔離的基礎上,運用防火墻技術、入侵檢測技術、身份認證技術、數據加密技術、漏洞掃描技術和防病毒技術及其相應的專業設備,從技術層面上提升網絡防護能力。對已建設好的各類網絡系統,要積極研究和開發適合的網絡安全管理系統,對網絡運行狀態進行實時監控,能夠及時發現和修復系統存在的漏洞,主動抵御黑客和病毒的侵襲,監測網絡中發生的各種異常情況并進行告警。還要嚴格控制各類接觸網絡人員的訪問權限,備份重要數據,以便一旦出事,可以迅速恢復。通過對各種網絡防護技術的運用,科學的構建計算機網絡安全防護體系。
(3)注重高科技人才的培養
建立一支具有強大戰斗力的網絡安全防護隊伍。在未來可能遭遇的網絡攻擊中,要避免被侵害,先進的技術和設備是一個因素,但是最終決定結果的因素是人在其中所發揮的作用。新時期新階段,信息化人才隊伍的建設有了更高的要求,高素質人才是信息建設現代化的關鍵。
(4)加強網絡安全制度建設
使網絡安全防護工作有法可依、有章可循。嚴格按照規章制度辦事是提升網絡安全防護能力的基礎,在計算機網絡系統建設和使用過程中,把各項規章制度落實到位,還要具體問題具體分析,結合自己單位實際建立可行的網絡安全管理辦法。尤其是在制度實施過程中,一定要嚴格遵守,一套再科學有效的制度如果無法執行,那么就無法對網絡安全建設產生作用。要建立合理的分層管理和責任管理的制度,將具體責任層層明確到具體人身上,對違反了規定的人要給予嚴厲的處罰,提高違法成本,對心存僥幸的人在心理上起到震懾,杜絕違規違法操作。同時,隨著信息技術的快速發展,在制度制定時,要不斷科學的創新、完善和更新現有制度,真正在制度上保障計算機網絡系統的安全。
