緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)安全防護方法��,愿這些內(nèi)容能夠啟迪您的思維�,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享�!
篇1
關(guān)鍵詞: 網(wǎng)絡(luò)信息;安全防護���;理論�;方法;技術(shù)���;趨勢
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1671-7597(2011)1210007-01
網(wǎng)絡(luò)信息安全問題自網(wǎng)絡(luò)技術(shù)及其應(yīng)用系統(tǒng)誕生以來�����,就一直是存在于網(wǎng)絡(luò)建設(shè)過程當中�,給網(wǎng)絡(luò)系統(tǒng)使用者與建設(shè)者帶來嚴峻挑戰(zhàn)的一個問題�。相關(guān)工作人員需要認識到在網(wǎng)絡(luò)技術(shù)與應(yīng)用系統(tǒng)不斷完善發(fā)展的過程中,網(wǎng)絡(luò)信息安全問題是始終存在的����,并且它會伴隨著網(wǎng)絡(luò)功能的系統(tǒng)化、規(guī)?�;?��、詳盡化而始終處在變化發(fā)展的過程當中����。據(jù)此���,在網(wǎng)絡(luò)應(yīng)用系統(tǒng)技術(shù)蓬勃發(fā)展的當今社會����,正確認識并處理好網(wǎng)絡(luò)信息安全防護的相關(guān)技術(shù)工作����,已成為當下相關(guān)工作人員最亟待解決的問題之一。
1 網(wǎng)絡(luò)信息安全防護的現(xiàn)狀及發(fā)展趨勢分析
就我國而言����,在全球經(jīng)濟一體化進程不斷加劇與計算機網(wǎng)絡(luò)技術(shù)蓬勃發(fā)展的推動作用下,傳統(tǒng)模式下的網(wǎng)絡(luò)信息安全防護思想再也無法適應(yīng)新時期網(wǎng)絡(luò)先進技術(shù)與經(jīng)濟社會安全需求的發(fā)展要求���。我們需要認識到盡快建立起一個合理�、先進��、符合現(xiàn)代網(wǎng)絡(luò)科學(xué)技術(shù)發(fā)展要求的網(wǎng)絡(luò)信息安全防護原則����,并在此基礎(chǔ)上循序漸進的展開網(wǎng)絡(luò)信息安全的研究工作,勢必或已經(jīng)會成為當前網(wǎng)絡(luò)信息安全相關(guān)工作人員的工作重心與中心��。
1)網(wǎng)絡(luò)信息安全的新形勢研究��。筆者查閱了大量相關(guān)資源,對近些年來我國在網(wǎng)絡(luò)信息安全工作中所遇到的新變化��、新形勢��、新發(fā)展規(guī)律進行了初步認識與總結(jié)��,認為當前網(wǎng)絡(luò)信息安全新形勢當中的“新”可以體現(xiàn)在以下幾個方面�。
① 網(wǎng)絡(luò)信息攻擊問題已成為網(wǎng)絡(luò)信息安全環(huán)節(jié)所面臨的首要問題。在當前的計算機網(wǎng)絡(luò)信息系統(tǒng)中各種盜號���、釣魚����、欺詐網(wǎng)頁或是病毒十分盛行�。可以說�,網(wǎng)絡(luò)信息攻擊問題正在走向與經(jīng)濟利益相關(guān)的發(fā)展方向。
② 傳統(tǒng)網(wǎng)絡(luò)時代中以惡作劇�、技術(shù)炫耀為目的發(fā)起的病毒攻擊數(shù)量和規(guī)模都呈現(xiàn)出逐年下降的趨勢,這些傳統(tǒng)意義上的網(wǎng)絡(luò)信息安全問題已非新形勢下計算機網(wǎng)絡(luò)信息系統(tǒng)的主流問題��。
③ 工業(yè)化生產(chǎn)病毒正成為當前計算機網(wǎng)絡(luò)系統(tǒng)信息安全的發(fā)展趨勢���,各種以高端無線技術(shù)為依托的病毒軟件����、間諜程序攻占了當前的網(wǎng)絡(luò)信息安全結(jié)構(gòu),但相應(yīng)的反病毒��、反間諜技術(shù)發(fā)展卻始終不夠成熟��,整個網(wǎng)絡(luò)信息安全防護工作陷入了較為尷尬的發(fā)展局面��。
2)網(wǎng)絡(luò)信息安全防護工作的發(fā)展趨勢分析�����。針對當前經(jīng)濟形勢下計算機網(wǎng)絡(luò)乃至整個網(wǎng)絡(luò)信息系統(tǒng)呈現(xiàn)出的新形勢分析��,網(wǎng)絡(luò)信息的安全防護工作也是必要作出相應(yīng)的變革����,其研究工作不僅需要涉及到對各種病毒���、間諜程序的有效控制�����,還需要實現(xiàn)整個計算機網(wǎng)絡(luò)系統(tǒng)高效的響應(yīng)與恢復(fù)功能����。具體而言,網(wǎng)絡(luò)信息安全防護正面臨著以下幾個方面的新發(fā)展趨勢����。
① 網(wǎng)絡(luò)信息安全防護的地位正發(fā)生著轉(zhuǎn)變。網(wǎng)絡(luò)信息安全在由單機時代向互聯(lián)網(wǎng)時代逐步過渡的過程中開始受到人們?nèi)找鎻V泛的關(guān)注�。計算機網(wǎng)絡(luò)系統(tǒng)與其相關(guān)技術(shù)的蓬勃發(fā)展也使得網(wǎng)絡(luò)信息安全防護由傳統(tǒng)意義上的“有益補充”輔助地位向著“不可或缺”的主體地位發(fā)生轉(zhuǎn)變。
② 網(wǎng)絡(luò)信息安全防護的技術(shù)正發(fā)生著轉(zhuǎn)變�����??v觀計算機網(wǎng)絡(luò)技術(shù)及其應(yīng)用系統(tǒng)的發(fā)展歷程,我們不難發(fā)現(xiàn)網(wǎng)絡(luò)信息安全防護對于整個網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的額安全問題解決思路由傳統(tǒng)的單點防護向著綜合防護轉(zhuǎn)變��。在這一過程中���,統(tǒng)一威脅管理成為了當前大部分相關(guān)部分解決信息安全問題所采用的關(guān)鍵技術(shù)之一����。但這一技術(shù)當中存在的硬件系統(tǒng)性能發(fā)展不夠完善���、邏輯協(xié)同問題等也使得這種安全防護技術(shù)面臨著前所未有的挑戰(zhàn)����。
2 基于網(wǎng)絡(luò)信息安全防護新思想及理論的相關(guān)技術(shù)方法研究
筆者以多層次彈性閉合結(jié)構(gòu)及無差異表示未知因素的基本思想,在預(yù)應(yīng)式及周密性原則的作用下�,提出了一種對解決網(wǎng)絡(luò)信息安全問題而言極為有效的新技術(shù)方法。大量的實踐研究結(jié)果表明�,將這種網(wǎng)絡(luò)信息安全防護理論及相關(guān)方法應(yīng)用在計算機網(wǎng)絡(luò)技術(shù)及相關(guān)應(yīng)用系統(tǒng)的安全實踐工作中,能夠取得極為深遠且重要的意義����。
這種基于多核MIPs64硬件網(wǎng)關(guān)的設(shè)計方法一般來說是由采用MIPs64型號安全處理犀利的多核處理器加上資源調(diào)度系統(tǒng)、控制系統(tǒng)以及通信接口三個模塊共同構(gòu)成的�����。在這一系統(tǒng)中�,核心處理器不僅具備了高集成化基礎(chǔ)下的系統(tǒng)64位解決方案�����,同時還能夠在硬件網(wǎng)關(guān)加速器與多核技術(shù)的加速作用下����,達到系統(tǒng)CPU處理頻率與網(wǎng)絡(luò)信息安全防護效率的提升。
3 網(wǎng)絡(luò)信息安全防護理論與方法的發(fā)展展望
網(wǎng)絡(luò)信息安全防護理論與方法從本質(zhì)上來說是網(wǎng)絡(luò)安全實踐工作及經(jīng)驗總結(jié)的構(gòu)成部分,它從網(wǎng)絡(luò)安全實踐中分離出來并最終作用于網(wǎng)絡(luò)安全防護工作的踐行����。其理論與方法勢必會隨著網(wǎng)絡(luò)信息安全威脅對象與威脅范圍的變化而發(fā)生相應(yīng)的變化。具體而言���,可以概括為以下幾個方面���。
1)網(wǎng)絡(luò)信息安全防護的安全評估范圍發(fā)展展望。在計算機網(wǎng)絡(luò)技術(shù)及其應(yīng)用系統(tǒng)所處安全形勢的變化過程中�����,傳統(tǒng)意義上僅僅依靠硬件系統(tǒng)改造和技術(shù)升級來對網(wǎng)絡(luò)信息安全問題進行控制與處理的思想也無法適應(yīng)當前網(wǎng)絡(luò)結(jié)構(gòu)的高安全需求��。這也就意味著安全評估工作需要從單純的安全環(huán)境問題處理向著安全環(huán)境與系統(tǒng)安全應(yīng)用能力兼顧的復(fù)雜性系統(tǒng)結(jié)構(gòu)方面發(fā)展��,逐步上升到硬件系統(tǒng)處理與軟件系統(tǒng)處理并重的地位�����。
2)網(wǎng)絡(luò)信息安全防護的應(yīng)用方法發(fā)展展望����。統(tǒng)一威脅管理系統(tǒng)作為當前應(yīng)用最為廣泛的網(wǎng)絡(luò)信息安全防護技術(shù)需要向著提供綜合性安全功能的方向發(fā)展����,將病毒入侵功能與檢測功能共同融入到網(wǎng)絡(luò)系統(tǒng)防火墻的建設(shè)工作當中����,使其能夠發(fā)揮在防御網(wǎng)絡(luò)信息安全混合型攻擊問題中的重要功能。
4 結(jié)束語
伴隨著現(xiàn)代科學(xué)技術(shù)的發(fā)展與經(jīng)濟社會不斷進步���,人民日益增長的物質(zhì)與精神文化需求對新時期的網(wǎng)絡(luò)信息安全防護工作提出了更為嚴格的要求����。本文對新時期網(wǎng)絡(luò)信息安全防護的理論與方法做出了簡要分析與說明���,希望為今后相關(guān)研究工作的開展提供一定的意見與建議�。
參考文獻:
[1]陳仕杰�����,加速成長的X86嵌入式系統(tǒng)(上)搶攻嵌入式市場的X86處理器雙雄AMD vs.VIA.[J].電子與電腦�����,2007(03).
[2]俞正方��,電信IP承載網(wǎng)安全防御[J].信息安全與技術(shù)�,2010(08).
篇2
【關(guān)鍵詞】計算機 通信網(wǎng)絡(luò) 安全現(xiàn)狀 安全防護策略
當今時代是一個計算機網(wǎng)絡(luò)信息化時代,計算機網(wǎng)絡(luò)技術(shù)早就滲入到了人們的生活及工作之中�。鑒于計算機網(wǎng)絡(luò)技術(shù)的影響,人們的生活方式與生活習(xí)慣都發(fā)生了特別大的變化��,同時人類對于計算機網(wǎng)絡(luò)的依賴程度也在逐年升高���。計算機通信網(wǎng)絡(luò)能夠給計算機信息提供一個便捷���,高效且比較安全的信息取得,輸送���,處理和使用通信環(huán)境與傳輸通道�����。然而鑒于計算機通信網(wǎng)絡(luò)具有廣泛聯(lián)結(jié)性及開放性等特點����,因此信息在傳送的過程別容易出現(xiàn)通信安全問題��。特別是隨著通信網(wǎng)絡(luò)一體化與資源共享信息改革進程的逐年加快�,計算機通信網(wǎng)絡(luò)安全問題也越來越突出�,怎樣提高計算機通信網(wǎng)絡(luò)的安全防護屬于當下信息化時代必須要解決的問題��。
一�����、如今中國計算機通信網(wǎng)絡(luò)安全現(xiàn)狀及存在的安全問題
近年來�����,由于計算機網(wǎng)絡(luò)的快速發(fā)展����,計算機網(wǎng)絡(luò)安全問題已然成為了社會及人類關(guān)注的重要問題之一。盡管科技人員們早就研發(fā)出了如同服務(wù)器��,防火墻及通道控制機制等眾多復(fù)雜的計算機通信安全防護軟件技術(shù)��,然而黑客的攻擊還是給計算機通信網(wǎng)絡(luò)的安全帶來了巨大的隱患�����。如今��,計算機通信網(wǎng)絡(luò)安全問題主要可以分成兩大部分:第一部分為計算機自身系統(tǒng)因素�����;第二部分為人為因素�。在影響計算機通信網(wǎng)絡(luò)安全的兩大因素中,相對于計算機自身系統(tǒng)因素而言��,人為因素對計算機通信網(wǎng)絡(luò)所造成的安全影響要更大一些����,其危害程度也要更深一些。
(一)計算機因素
1.計算機軟件系統(tǒng)所存在的漏洞�。計算機軟件系統(tǒng)漏洞的存在主要是由于軟件在設(shè)計時未思慮周全,造成通信協(xié)議及軟件應(yīng)用系統(tǒng)存在某些的缺點���,如果這些漏洞及缺點被非法分子及黑客知道了�,那么他們就會通過這些漏洞攻擊計算機系統(tǒng)����。再者,軟件設(shè)計者通常會設(shè)定某些后門程序以方便自己進行特定程序的設(shè)置����,如果這些程序被黑客破解了,那么整個計算機系統(tǒng)就將面臨癱瘓的危險�。
2.計算機病毒�。計算機病毒屬于一組可以自我復(fù)制����,且可以入電腦程度中損壞計算機程序,抑或直接破壞數(shù)據(jù)的程序代碼�。計算機網(wǎng)絡(luò)的發(fā)展從某種程度上說也帶動了計算機病毒的發(fā)展,特別是當下的計算機網(wǎng)絡(luò)提速給病毒及木馬的傳播提供了有利的條件�����。如今的通信網(wǎng)絡(luò)絕大部分屬于3G網(wǎng)��,在某些人看來��,3G智能手機及3G平臺或許將成為病毒的重要棲息場所����。
(二)人為因素
如今許多網(wǎng)絡(luò)管理人員根本就沒有網(wǎng)絡(luò)安全意識,時常會出現(xiàn)一些人為的失誤�����,比方說口令密碼設(shè)置過分簡單�;有些管理人員甚至還會犯將密碼口令告訴他人的錯誤;某些安全管理人員在進行安全設(shè)置操作時會因為操作不恰當而導(dǎo)致安全隱患的出現(xiàn);同時某些非法分子或黑客可能會通過盜取他人身份的方式進入到安全系統(tǒng)之中��,隨意更改安全數(shù)據(jù)����,肆意破壞安全系統(tǒng)。所有的這些因素都將使計算機安全系統(tǒng)陷入異常危險的境地之中��,給計算機網(wǎng)絡(luò)系統(tǒng)的安全帶來了特別大的隱患�����。
二�、提高計算機通信網(wǎng)絡(luò)安全的防護方法
(一)提高通信網(wǎng)絡(luò)安全技術(shù)
提高通信網(wǎng)絡(luò)安全的技術(shù)主要有三種:第一種�����,防火墻技術(shù)�。身為通信網(wǎng)絡(luò)安全的第一道屏障,防火墻一般由技術(shù)����,數(shù)據(jù)包過濾技術(shù)與網(wǎng)關(guān)應(yīng)用三部分構(gòu)成。防火墻的作用為分辨及限制外來的數(shù)據(jù)流��,換句話說:用戶所進行的操作都必須經(jīng)過防火墻的檢查����,如此通信內(nèi)網(wǎng)便可以得到較好的保護��;第二種��,鑒別技術(shù)�。鑒別技術(shù)主要由數(shù)字簽名�,報文鑒別及身份鑒別構(gòu)成。這一技術(shù)的作用在于防止互聯(lián)網(wǎng)不安全現(xiàn)象的出現(xiàn)���,比方說�����,數(shù)據(jù)被惡意更改及非法傳輸?shù)鹊?���,更好地保護計算機通信網(wǎng)絡(luò)的安全����;第三種,密碼技術(shù)��。密碼技術(shù)的思想依據(jù)為偽裝信息,一般情況下�����,密碼技術(shù)可以分成對稱加密與不對稱加密兩種��;而密碼類型則有移位密碼���,代替密碼和乘積密碼三種。
(二)加強系統(tǒng)自然性能��,進行通信網(wǎng)絡(luò)安全教育
首先�����,在使用計算機通信網(wǎng)絡(luò)的同時��,慢慢完善通信協(xié)議���,提高數(shù)據(jù)保密度�,避免軟件系統(tǒng)漏洞的出現(xiàn)���。與此同時�,選擇那些責(zé)任心強且政治素質(zhì)高的人進行計算機系統(tǒng)的管理及維護,選派專人進行計算機網(wǎng)絡(luò)安全系統(tǒng)的管理��。其次�,管理人員必須充分意識到網(wǎng)絡(luò)安全的重要性,相關(guān)部門還可以舉辦相關(guān)的安全研討會���,提高工作人員的通信網(wǎng)絡(luò)安全意識�,促進計算機安全網(wǎng)絡(luò)系統(tǒng)的發(fā)展�����。
(三)出臺一系列網(wǎng)絡(luò)安全策略
計算機通信網(wǎng)絡(luò)安全管理必須與行政手段相適應(yīng)�����,從技術(shù)方面進行網(wǎng)絡(luò)安全的管理��。一般而言���,計算機網(wǎng)絡(luò)安全策略主要包括如下四個方面的內(nèi)容:第一�����,網(wǎng)絡(luò)安全管理策略�����;第二����,物理安全策略;第三�����,訪問控制策略����;第四��,信息加密策略���。為防止未經(jīng)授權(quán)的用戶使用網(wǎng)絡(luò)資源��,公司可憑借網(wǎng)絡(luò)管理的形式向終端用戶提供訪問許可證書及有效口令����,同時對用戶權(quán)限訪問進行控制��。此外,為避免未獲授權(quán)用戶對數(shù)據(jù)進行刪除及修改等操作��,通信網(wǎng)絡(luò)還必須建立全面的數(shù)據(jù)完整性鑒別系統(tǒng)����。
三、結(jié)束語
總之��,計算機通信網(wǎng)絡(luò)安全是一項艱巨且復(fù)雜的工作�。網(wǎng)絡(luò)用戶及相關(guān)從業(yè)人員必須共同對其進行維護。網(wǎng)絡(luò)用戶理應(yīng)熟悉且掌握計算機通信安全技術(shù)�,同時還應(yīng)具備較強的法律意識;而相關(guān)從業(yè)人員則必須具有較高的計算機安全防護水平�,如此才有望創(chuàng)建一個時時刻刻都可以對計算機通信網(wǎng)絡(luò)進行過濾與防護的安全系統(tǒng),進而有效保證計算機通信網(wǎng)絡(luò)的順利運行�����。
參考文獻:
[1]田地����,崔學(xué)雨. 機電設(shè)備安裝試運行異常現(xiàn)象分析與對策[J].中國新技術(shù)新產(chǎn)品��,2010(01).
[2]張馨予. 計算機通信網(wǎng)絡(luò)安全及相關(guān)技術(shù)探索[J].硅谷��,2011(18):186.
篇3
計算機技術(shù)和互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展將人類帶入了網(wǎng)絡(luò)時代,網(wǎng)絡(luò)技術(shù)對人們的工作和生活等各個方面產(chǎn)生影響�����。計算機網(wǎng)絡(luò)已應(yīng)用于軍事����、旅行、購物�、金融、商業(yè)等等越來越多的行業(yè)���。人類對計算機網(wǎng)絡(luò)的依賴達到空前地步�。計算機網(wǎng)絡(luò)的安全也隨之變得異常重要���。計算機網(wǎng)絡(luò)遭受攻擊或癱瘓將帶來系類的經(jīng)濟和社會問題。因此�����,對計算機網(wǎng)絡(luò)安全及其防護策略進行研究對維護社會穩(wěn)定具有重要意義��。
一����、計算機通信網(wǎng)絡(luò)安全概述
(一)計算機網(wǎng)絡(luò)安全概念
計算機網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施���,保證在一個網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性�����、完整性及可使用性受到保護���,包括數(shù)據(jù)的泄露��、更改���、破壞或被非系統(tǒng)辨認控制等。計算機網(wǎng)絡(luò)安全不僅包括組網(wǎng)的硬件�����、管理控制網(wǎng)絡(luò)的軟件���,也包括共享的資源�,快捷的網(wǎng)絡(luò)服務(wù)����,所以定義網(wǎng)絡(luò)安全應(yīng)考慮涵蓋計算機網(wǎng)絡(luò)所涉及的全部內(nèi)容�。
網(wǎng)絡(luò)安全具有保密性��、完整性����、可用性、可控性和可審查性等五個特征:保密性指信息不泄露給非授權(quán)用戶�����、實體或過程�,或供其利用的特性;完整性指數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性���,也即信息在存儲或傳輸過程中保持不被修改���、不被破壞和丟失的特性����;可用性指可被授權(quán)實體訪問并按需求使用的特性。即當需要時能否存取所需的信息�;可控性指對信息的傳播及內(nèi)容具有控制能力��;可審查性指出現(xiàn)的安全問題時提供依據(jù)與手段
(二)網(wǎng)絡(luò)安全現(xiàn)本文由收集整理狀
前文提及隨著人類對計算機網(wǎng)絡(luò)的依賴增強����,網(wǎng)絡(luò)安全維護成為迫在眉睫的問題�����。網(wǎng)絡(luò)安全將影響到經(jīng)濟的發(fā)展和社會的穩(wěn)定�。目前,發(fā)達國家都加大了網(wǎng)絡(luò)完全的防范和治理工作��,而我國面對的網(wǎng)絡(luò)安全問題也十分嚴峻:
1.信息安全意識淡薄
我國的計算機網(wǎng)絡(luò)安全防護意識淡薄��,對網(wǎng)絡(luò)安全知識也十分有限���。有的個人或企業(yè)認為花重金進行網(wǎng)絡(luò)安全防護沒必要�����;要不認為裝個防火墻或殺毒軟件就能保障網(wǎng)絡(luò)安全�����?�?傮w而言��,我國的網(wǎng)絡(luò)安全意識才起��,缺乏系統(tǒng)的網(wǎng)絡(luò)安全管理措施�。
2.基礎(chǔ)信息產(chǎn)業(yè)
從計算機硬件和軟件方面來看,我國計算機制造業(yè)雖很發(fā)達�。但缺乏創(chuàng)新和具有知識產(chǎn)權(quán)產(chǎn)品,核心件��、核心技術(shù)等嚴重依賴國外�����。
3.人才培養(yǎng)
網(wǎng)絡(luò)安全需要經(jīng)過專業(yè)的培訓(xùn)和學(xué)習(xí)���,對人才的專業(yè)素質(zhì)等要求更高��?�?傮w而言�����,我國網(wǎng)絡(luò)安全工作起步較晚�����,對專業(yè)人才的培養(yǎng)不能滿足對信息安全人才的需求�。
二�、影響計算機通信網(wǎng)絡(luò)安全的因素分析
計算機通信網(wǎng)絡(luò)信息的安全涉及到計算機科學(xué)、網(wǎng)絡(luò)技術(shù)��、通信技術(shù)��、密碼技術(shù)����、信息安全技術(shù)、應(yīng)用數(shù)學(xué)�、數(shù)論信息論等多種學(xué)科。它主要是指保護網(wǎng)絡(luò)系統(tǒng)的硬件����、軟件及其系統(tǒng)中的數(shù)據(jù),使之不受偶然的或者惡意的原因而遭到破壞�����、更改、泄露�����,系統(tǒng)連續(xù)可靠正常地運行�,網(wǎng)絡(luò)服務(wù)不中斷。具體而言影響網(wǎng)絡(luò)安全的因素包括:自然威脅�����、網(wǎng)絡(luò)攻擊�����、計算機病毒����、軟件漏洞和管理缺乏等方面。
(一)自然威脅
自然災(zāi)害如地震���、風(fēng)暴����、洪水以及溫度�、濕度��、震動等都會對計算機網(wǎng)絡(luò)安全產(chǎn)生影響��。
(二)網(wǎng)絡(luò)攻擊
計算機網(wǎng)絡(luò)安全不僅受到自然環(huán)境的影響,還有來自于“人禍”��。網(wǎng)絡(luò)攻擊構(gòu)成影響網(wǎng)絡(luò)安全最主要的方面��。網(wǎng)絡(luò)的技術(shù)是全開放的�����,使得網(wǎng)絡(luò)所面臨的攻擊來自多方面��?��;蚴莵碜晕锢韨鬏斁€路的攻擊�����,或是來自對網(wǎng)絡(luò)通信協(xié)議的攻擊�����,以及對計算機軟件��、硬件的漏洞
實施攻擊�。具體包括:借助系統(tǒng)命令進行攻擊,通過“ip欺騙”發(fā)起攻擊�����、“破解密碼攻擊”�����、“拒絕服務(wù)”欺騙式攻擊和通過系統(tǒng)“應(yīng)用層攻擊”等方面���。
(三)計算機病毒
計算機病毒是段可執(zhí)行程序��,通過像生物性病毒一樣在文件之間復(fù)制和傳遞���,影響網(wǎng)絡(luò)安全。因其具有一定的傳染性和潛伏性���,輕則影響機器運轉(zhuǎn)速度��,重則使用戶機器癱瘓��,給用戶帶來不可估量之損失���。
(四)軟件漏洞
常用的操作系統(tǒng)�、tcp/ip及其許多相關(guān)的協(xié)議在設(shè)計時為了方便使用�、開發(fā)或?qū)Y源共享及遠程控制,存在“后門”����,這就存在安全漏洞或錯誤����。如果沒有對安全等級鑒別或采取防護措施,攻擊者可直接進入網(wǎng)絡(luò)系統(tǒng)�,破壞或竊取信息,危機網(wǎng)絡(luò)系統(tǒng)安全�。
(五)管理缺乏
計算機網(wǎng)絡(luò)系統(tǒng)硬件和軟件再完備,倘若缺乏必要的網(wǎng)絡(luò)通信完全管理����,一方面不能協(xié)調(diào)配合發(fā)揮物理性資源優(yōu)勢;另一方面不能做好安全防范規(guī)劃���,當網(wǎng)絡(luò)攻擊等威脅來臨時不能及時應(yīng)對���。
三�����、計算機通信網(wǎng)絡(luò)的防護方法
針對計算機網(wǎng)絡(luò)系統(tǒng)存在的威脅�,從硬件策略���、軟件策略和管理策略等三個方面進行:
(一)硬件策略
硬件系統(tǒng)是構(gòu)成計算機網(wǎng)絡(luò)最基本的物質(zhì)�。要保證計算機網(wǎng)絡(luò)系統(tǒng)的安全����、可靠,必須保證系統(tǒng)實體有個安全的物理環(huán)境條件���。這個安全的環(huán)境是指機房及其設(shè)施�,主要包括以下內(nèi)容:計算機系統(tǒng)環(huán)境應(yīng)嚴格執(zhí)行包括溫度����、濕度、振動�����、電氣干擾等標準����;建設(shè)機房應(yīng)選取外部環(huán)境安全可靠�,抗電磁干擾��、避免強振動源的環(huán)境��;建立機房安全防護制度�����,針對物理性災(zāi)害和防止未授權(quán)個人或團體破壞���、篡改或盜竊網(wǎng)絡(luò)設(shè)施等對策。
(二)軟件策略
軟件策略主要保護計算機網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)挠行?��,保障?shù)據(jù)的安全性�、完整性等�����。具體包括反病毒技術(shù)��、防火墻技術(shù)��、加密技術(shù)、虛擬專有網(wǎng)絡(luò)技術(shù)和入侵檢測防衛(wèi)技術(shù)等幾方面:
1.反病毒技術(shù)
病毒具有傳播性和潛伏性等特點��,造成計算機變慢��,甚至是癱瘓��,進而帶來數(shù)據(jù)丟失等危害�。病毒防范技術(shù)是過對網(wǎng)絡(luò)上流通的數(shù)據(jù)、計算機內(nèi)的文件����、內(nèi)存和磁盤進行掃描,發(fā)現(xiàn)病毒并清除的技術(shù)?���,F(xiàn)在世界上成熟的反病毒技術(shù)已經(jīng)完全可以作到對所有的已知病毒徹底預(yù)防、徹底殺除����,主要涉及實施監(jiān)視技術(shù)、自動解壓縮技術(shù)和全平臺反病毒技術(shù)等����。
2.防火墻技術(shù)
防火墻是一個或一組實施訪問控制策略的系統(tǒng),在內(nèi)部局域網(wǎng)與internet之間的形成的一道安全保護屏障,防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部消息�����,同時也防止這類非法和惡意的網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)受破壞����。防火墻可能是軟件,也可能是硬件或兩者都有��。根據(jù)防火墻應(yīng)用在網(wǎng)絡(luò)中的層次不同進行劃分����,可分為:網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻���、復(fù)合型防火墻,它們之間各有所長����,具體使用哪一種,要看網(wǎng)絡(luò)的具體需要�����。
3.加密技術(shù)
加密技術(shù)是電子商務(wù)采取的主要安全保密措施,是最常用的安全保密手段���,利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送��,到達目的地后再用相同或不同的手段還原(解密)��。加密技術(shù)的應(yīng)用是多方面的����,但最為廣泛的還是在電子商務(wù)和vpn上的應(yīng)用�,深受廣大用戶的喜愛。
4.虛擬專有網(wǎng)絡(luò)
虛擬專有網(wǎng)絡(luò)是在公共通信網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)���,數(shù)據(jù)在公共通信網(wǎng)絡(luò)上構(gòu)建�����,包括路由過濾技術(shù)和隧道技術(shù)����。
5.入侵檢測和主動防衛(wèi)技術(shù)
入侵檢測是對入侵行為的發(fā)覺�,主要通過關(guān)鍵點信息收集和分析,發(fā)現(xiàn)網(wǎng)絡(luò)中違反安全策略和被攻擊的跡象����。而入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)���。入侵檢測系統(tǒng)可分為事件產(chǎn)生器、事件分析器����、響應(yīng)單元和事件數(shù)據(jù)庫等四個方面。
(三)管理策略
計算機網(wǎng)絡(luò)的安全管理�,不僅要看所采用的安全技術(shù)和防范措施,而且要看它所采取的管理措施和執(zhí)行計算機安全保護法律��、法規(guī)的力度����。只有將兩者緊密結(jié)合,才能使計算機網(wǎng)絡(luò)安全確實有效��。計算機網(wǎng)絡(luò)的安全管理�����,包括對計算機用戶的安全教育��、建立相應(yīng)的安全管理機構(gòu)���、不斷完善和加強計算機的管理功能�、加強計算機及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面���。加強計算機安全管理��、加強用戶的法律�、法規(guī)和道德觀念�,提高計算機用戶的安全意識,對防止計算機犯罪��、抵制黑客攻擊和防止計算機病毒干擾�����,是十分重要的措施�。
篇4
一、防守技戰(zhàn)法概述
為了順利完成本次護網(wǎng)行動任務(wù)���,切實加強網(wǎng)絡(luò)安全防護能力��,XXXX設(shè)立HW2019領(lǐng)導(dǎo)組和工作組�����,工作組下設(shè)技術(shù)組和協(xié)調(diào)組�。護網(wǎng)工作組由各部門及各二級單位信息化負責(zé)人組成,由股份公司副總裁擔任護網(wǎng)工作組的組長���。
為提高護網(wǎng)工作組人員的安全防護能力�����,對不同重要系統(tǒng)進行分等級安全防護��,從互聯(lián)網(wǎng)至目標系統(tǒng)�,依次設(shè)置如下三道安全防線:
第一道防線:集團總部互聯(lián)網(wǎng)邊界防護�����、二級單位企業(yè)互聯(lián)網(wǎng)邊界防護����。
第二道防線:廣域網(wǎng)邊界防護、DMZ區(qū)邊界防護�。
第三道防線:目標系統(tǒng)安全域邊界防護、VPN��。
根據(jù)三道防線現(xiàn)狀�,梳理出主要防護內(nèi)容,包括但不限于:梳理對外的互聯(lián)網(wǎng)應(yīng)用系統(tǒng),設(shè)備和安全措施���,明確相關(guān)責(zé)任人���,梳理網(wǎng)絡(luò)結(jié)構(gòu),重要的或需要重點保護的信息系統(tǒng)�����、應(yīng)用系統(tǒng)與各服務(wù)器之間的拓撲結(jié)構(gòu)�,網(wǎng)絡(luò)安全設(shè)備及網(wǎng)絡(luò)防護情況, SSLVPN和IPSECVPN接入情況��。集團廣域網(wǎng)����、集團專線邊界,加強各單位集團廣域網(wǎng)���、集團專線邊界防護措施����,無線網(wǎng)邊界��,加強對無線WIFI、藍牙等無線通信方式的管控��,關(guān)閉不具備安全條件及不必要開啟的無線功能�。
結(jié)合信息化資產(chǎn)梳理結(jié)果,攻防演習(xí)行動安全保障小組對集團信息化資產(chǎn)及重點下屬單位的網(wǎng)絡(luò)安全狀況進行安全風(fēng)險評估和排查�����,確認薄弱環(huán)節(jié)以便進行整改加固�����。
二��、 防守技戰(zhàn)法詳情
2.1 第一道防線--互聯(lián)網(wǎng)邊界及二級單位防護技戰(zhàn)法
2.1.1 安全感知防御�、檢測及響應(yīng)
構(gòu)建從“云端、邊界���、端點”+“安全感知”的防御機制����。相關(guān)防護思路如下:
防御能力:是指一系列策略集�����、產(chǎn)品和服務(wù)可以用于防御攻擊。這個方面的關(guān)鍵目標是通過減少被攻擊面來提升攻擊門檻�����,并在受影響前攔截攻擊動作�。
檢測能力:用于發(fā)現(xiàn)那些逃過防御網(wǎng)絡(luò)的攻擊��,該方面的關(guān)鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失��。檢測能力非常關(guān)鍵���,因為企業(yè)應(yīng)該假設(shè)自己已處在被攻擊狀態(tài)中����。
響應(yīng)能力:系統(tǒng)一旦檢測到入侵�,響應(yīng)系統(tǒng)就開始工作,進行事件處理�。響應(yīng)包括緊急響應(yīng)和恢復(fù)處理,恢復(fù)處理又包括系統(tǒng)恢復(fù)和信息恢復(fù)��。
2.1.2 安全可視及治理
l 全網(wǎng)安全可視
結(jié)合邊界防護����、安全檢測����、內(nèi)網(wǎng)檢測�����、管理中心���、可視化平臺��,基于行為和關(guān)聯(lián)分析技術(shù)��,對全網(wǎng)的流量實現(xiàn)全網(wǎng)應(yīng)用可視化�����,業(yè)務(wù)可視化���,攻擊與可疑流量可視化,解決安全黑洞與安全洼地的問題����。
l 動態(tài)感知
采用大數(shù)據(jù)、人工智能技術(shù)安全,建立了安全態(tài)勢感知平臺�,為所有業(yè)務(wù)場景提供云端的威脅感知能力。通過對邊界網(wǎng)絡(luò)流量的全流量的感知和分析����,來發(fā)現(xiàn)邊界威脅。通過潛伏威脅探針����、安全邊界設(shè)備����、上網(wǎng)行為感系統(tǒng),對服務(wù)器或終端上面的文件��、數(shù)據(jù)與通信進行安全監(jiān)控��,利用大數(shù)據(jù)技術(shù)感知數(shù)據(jù)來發(fā)現(xiàn)主動發(fā)現(xiàn)威脅����。
2.1.3 互聯(lián)網(wǎng)及二級單位的區(qū)域隔離
在互聯(lián)網(wǎng)出口,部署入侵防御IPS��、上網(wǎng)行為管理����,提供網(wǎng)絡(luò)邊界隔離���、訪問控制、入侵防護�、僵尸網(wǎng)絡(luò)防護、木馬防護�����、病毒防護等���。
在廣域網(wǎng)接入?yún)^(qū)邊界透明模式部署入侵防御系統(tǒng)�,針對專線接入流量進行控制和過濾��。
辦公網(wǎng)區(qū)應(yīng)部署終端檢測和響應(yīng)/惡意代碼防護軟件�,開啟病毒防護功能、文件監(jiān)測��,并及時更新安全規(guī)則庫���,保持最新狀態(tài)�����。
服務(wù)器區(qū)部署防火墻和WEB應(yīng)用防火墻���,對數(shù)據(jù)中心威脅進行防護���;匯聚交換機處旁路模式部署全流量探針,對流量進行監(jiān)測并同步至態(tài)勢感知平臺����;部署數(shù)據(jù)庫審計系統(tǒng),進行數(shù)據(jù)庫安全審計�。
在運維管理區(qū),部署堡壘機�����、日志審計���、漏洞掃描設(shè)備,實現(xiàn)單位的集中運維審計�����、日志審計和集中漏洞檢查功能����。
2.1.3.1 互聯(lián)網(wǎng)出口處安全加固
互聯(lián)網(wǎng)出口處雙機部署了因特網(wǎng)防火墻以及下一代防火墻進行出口處的防護���,在攻防演練期間,出口處防火墻通過對各類用戶權(quán)限的區(qū)分��,不同訪問需求��,可以進行精確的訪問控制�����。通過對終端用戶���、分支機構(gòu)不同的權(quán)限劃分保障網(wǎng)絡(luò)受控有序的運行��。
對能夠通過互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)的網(wǎng)絡(luò)對象IP地址進行嚴格管控���,將網(wǎng)段內(nèi)訪問IP地址段進行細化,盡量落實到個人靜態(tài)IP�����。
開啟精細化應(yīng)用控制策略����,設(shè)置多條應(yīng)用控制策略�,指定用戶才可以訪問目標業(yè)務(wù)系統(tǒng)應(yīng)用�����,防止出現(xiàn)因為粗放控制策略帶來的互聯(lián)網(wǎng)訪問風(fēng)險�����。
對所有通過聯(lián)網(wǎng)接入的用戶IP或IP地址段開啟全面安全防護策略�,開啟防病毒、防僵尸網(wǎng)絡(luò)�����、防篡改等防護功能�。
通過對全網(wǎng)進行訪問控制�����、明確權(quán)限劃分可以避免越權(quán)訪問�����、非法訪問等情況發(fā)生,減少安全事件發(fā)生概率�����。
護網(wǎng)行動開始之前���,將防火墻所有安全規(guī)則庫更新到最新�����,能夠匹配近期發(fā)生的絕大部分已知威脅��,并通過SAVE引擎對未知威脅進行有效防護��。
攻防演練期間��,通過互聯(lián)網(wǎng)訪問的用戶需要進行嚴格的認證策略和上網(wǎng)策略���,對上網(wǎng)用戶進行篩選放通合法用戶阻斷非法用戶,同時對于非法url網(wǎng)站�、風(fēng)險應(yīng)用做出有效管控。根據(jù)企業(yè)實際情況選擇合適流控策略���,最后對于所有員工的上網(wǎng)行為進行記錄審計����。
攻防演練期間,需要將上網(wǎng)行為管理設(shè)備的規(guī)則庫升級到最新���,避免近期出現(xiàn)的具備威脅的URL���、應(yīng)用等在訪問時對內(nèi)網(wǎng)造成危害。
2.1.3.2 DMZ區(qū)應(yīng)用層安全加固
當前網(wǎng)絡(luò)內(nèi)���,DMZ區(qū)部署了WEB應(yīng)用防火墻對應(yīng)用層威脅進行防護����,保證DMZ區(qū)域內(nèi)的網(wǎng)站系統(tǒng)�����、郵件網(wǎng)關(guān)�、視頻會議系統(tǒng)的安全
攻防演練期間,為了降低用從互聯(lián)網(wǎng)出口處訪問網(wǎng)站�、郵件��、視頻的風(fēng)險��,防止攻擊手通過互聯(lián)網(wǎng)出口訪問DMZ區(qū),進行頁面篡改���、或通過DMZ區(qū)訪問承載系統(tǒng)數(shù)據(jù)的服務(wù)器區(qū)進行破壞�,需要設(shè)置嚴格的WEB應(yīng)用層防護策略�����,保證DMZ區(qū)安全�。
通過設(shè)置WEB用用防護策略,提供OWASP定義的十大安全威脅的攻擊防護能力���,有效防止常見的web攻擊�����。(如����,SQL注入��、XSS跨站腳本����、CSRF跨站請求偽造)從而保護網(wǎng)站免受網(wǎng)站篡改��、網(wǎng)頁掛馬�、隱私侵犯��、身份竊取�����、經(jīng)濟損失��、名譽損失等問題���。
2.2 第二道防線-數(shù)據(jù)中心防護技戰(zhàn)法
總部數(shù)據(jù)中心從防御層面�、檢測層面����、響應(yīng)層面及運營層面構(gòu)建縱深防御體系。在現(xiàn)有設(shè)備的基礎(chǔ)上���,解決通號在安全建設(shè)初期單純滿足合規(guī)性建設(shè)的安全能力����,缺乏完善的主動防御技術(shù)和持續(xù)檢測技術(shù)帶來的風(fēng)險。主要解決思路如下:
1�����、基于安全風(fēng)險評估情況�����,夯實基礎(chǔ)安全架構(gòu)
通過持續(xù)性的風(fēng)險評估��,進行安全架構(gòu)的升級改造���,縮小攻擊面、減少風(fēng)險暴露時間����。包括:安全域改造、邊界加固��、主機加固等內(nèi)容��。
2���、加強持續(xù)檢測和快速響應(yīng)能力����,進一步形成安全體系閉環(huán)
針對內(nèi)網(wǎng)的資產(chǎn)、威脅及風(fēng)險�,進行持續(xù)性檢測;基于威脅情報驅(qū)動���,加強云端���、邊界、端點的聯(lián)動����,實現(xiàn)防御、檢測����、響應(yīng)閉環(huán)。
3���、提升企業(yè)安全可視與治理能力��,讓安全了然于胸
基于人工智能����、大數(shù)據(jù)技術(shù),提升全網(wǎng)安全風(fēng)險����、脆弱性的可視化能力,大幅度提升安全運維能力��,以及應(yīng)急響應(yīng)和事件追溯能力���。
2.2.1 邊界防御層面
原有的邊界防護已較完善,無需進行架構(gòu)變動�,只需要確保防御設(shè)備的策略有效性和特征庫的及時更新。針對目標系統(tǒng)���,通過在目標系統(tǒng)接入交換機和匯聚交換機之間透明部署一臺下一代防火墻�����,實現(xiàn)目標系統(tǒng)的針對性防護�,防止服務(wù)器群內(nèi)部的橫向威脅���。
下一代防火墻除基本的ACL訪問控制列表的方法予以隔離以外�,針對用戶實施精細化的訪問控制�����、應(yīng)用限制、帶寬保證等管控手段��。通號業(yè)務(wù)系統(tǒng)中存在對外的網(wǎng)站���、業(yè)務(wù)等�,因此需要對WEB應(yīng)用層進行有效防護�,通過下一代防火墻提供SQL注入、跨站腳本����、CC攻擊等檢測與過濾,避免Web服務(wù)器遭受攻擊破壞����;支持外鏈檢查和目錄訪問控制,防止Web Shell和敏感信息泄露���,避免網(wǎng)頁篡改與掛馬�����,滿足通號Web服務(wù)器深層次安全防護需求����。
根據(jù)現(xiàn)有網(wǎng)絡(luò),核心交換區(qū)部署了應(yīng)用性能管理系統(tǒng)���,攻防演練期間���,需要對應(yīng)用性能管理系統(tǒng)進行實時關(guān)注,應(yīng)用出現(xiàn)異常立即上報��,并定位責(zé)任人進行處置���,保證網(wǎng)絡(luò)性能穩(wěn)定,流暢運行��。
核心交換機雙機部署了兩臺防火墻���,物理上旁路部署��,邏輯上通過引流所有流量都經(jīng)過防火墻�����,通過防火墻對服務(wù)器區(qū)和運維管理區(qū)提供邊界訪問控制能力�����,進行安全防護�����。
攻防演練期間��,核心交換區(qū)防火墻進行策略調(diào)優(yōu)�,對訪問服務(wù)器區(qū)和運維管理區(qū)的流量數(shù)據(jù)進行嚴格管控,對訪問服務(wù)器區(qū)內(nèi)目標系統(tǒng)請求進行管控�����;防止安全威脅入侵運維管理區(qū)��,對整體網(wǎng)絡(luò)的安全及運維進行破壞�,獲取運維權(quán)限。
攻防演練期間�����,在各分支機構(gòu)的邊界��,通過對各類用戶權(quán)限的區(qū)分�,各分支機構(gòu)的不同訪問需求�����,可以進行精確的訪問控制�。通過對終端用戶��、分支機構(gòu)不同的權(quán)限劃分保障網(wǎng)絡(luò)受控有序的運行�。
專線接入及直連接入分支通過廣域網(wǎng)接入?yún)^(qū)的路由器-下一代防火墻-上網(wǎng)行為管理-核心交換機-服務(wù)器區(qū)的路徑進行訪問,因此通過完善下一代防火墻防護策略��,達到安全加固的目的��。
通過對全網(wǎng)進行訪問控制�、明確權(quán)限劃分可以避免越權(quán)訪問����、非法訪問等情況發(fā)生,減少安全事件發(fā)生概率���。
攻防演練前�,需要對下一代防火墻的各類規(guī)則庫����、防護策略進行更新和調(diào)優(yōu)�。
2.2.2 端點防御層面
服務(wù)器主機部署終端檢測響應(yīng)平臺EDR�,EDR基于多維度的智能檢測技術(shù),通過人工智能引擎��、行為引擎���、云查引擎�����、全網(wǎng)信譽庫對威脅進行防御���。
終端主機被入侵攻擊,導(dǎo)致感染勒索病毒或者挖礦病毒���,其中大部分攻擊是通過暴力破解的弱口令攻擊產(chǎn)生的�。EDR主動檢測暴力破解行為�,并對發(fā)現(xiàn)攻擊行為的IP進行封堵響應(yīng)。針對Web安全攻擊行為���,則主動檢測Web后門的文件�。針對僵尸網(wǎng)絡(luò)的攻擊,則根據(jù)僵尸網(wǎng)絡(luò)的活躍行為�,快速定位僵尸網(wǎng)絡(luò)文件,并進行一鍵查殺�����。
進行關(guān)聯(lián)檢測���、取證�����、響應(yīng)��、溯源等防護措施�����,與AC產(chǎn)品進行合規(guī)認證審查��、安全事件響應(yīng)等防護措施,形成應(yīng)對威脅的云管端立體化縱深防護閉環(huán)體系�����。
2.3 第三道防線-目標系統(tǒng)防護技戰(zhàn)法
本次攻防演練目標系統(tǒng)為資金管理系統(tǒng)及PLM系統(tǒng),兩個系統(tǒng)安全防護思路及策略一致�����,通過APDRO模型及安全策略調(diào)優(yōu)達到目標系統(tǒng)從技術(shù)上不被攻破的目的�����。
2.3.1 網(wǎng)絡(luò)層面
在網(wǎng)絡(luò)層面為了防止來自服務(wù)器群的橫向攻擊�����,同時針對業(yè)務(wù)系統(tǒng)進行有針對性的防護�,通過部署在目標系統(tǒng)邊界的下一代防火墻對這些業(yè)務(wù)信息系統(tǒng)提供安全威脅識別及阻斷攻擊行為的能力。
同時通過增加一臺VPN設(shè)備單獨目標系統(tǒng)�,確保對目標系統(tǒng)的訪問達到最小權(quán)限原則。
子公司及辦公樓訪問目標系統(tǒng)�����,需要通過登錄新建的護網(wǎng)專用VPN系統(tǒng)�����,再進行目標系統(tǒng)訪問��,并通過防火墻實現(xiàn)多重保障機制。
系統(tǒng)多因子認證構(gòu)建
為了保證攻防演練期間管理人員接入資金管理系統(tǒng)的安全性�,接入資金管理系統(tǒng)時,需要具備以下幾項安全能力:一是用戶身份的安全�����;二是接入終端的安全��;三是數(shù)據(jù)傳輸?shù)陌踩?��;四是?quán)限訪問安全�����;五是審計的安全��;六是智能終端訪問業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全性�����。
因此需要對能夠接入資金管理系統(tǒng)的用戶進行統(tǒng)一管理����,并且屏蔽有風(fēng)險訪問以及不可信用戶�����;使用專用SSL VPN對資金管理系統(tǒng)進行資源����;為需要接入資金管理系統(tǒng)的用戶單獨創(chuàng)建SSL VPN賬號,并開啟短信認證+硬件特征碼認證+賬戶名密碼認證�,屏蔽所有不可信任用戶訪問,對可信用戶進行強管控����。
對接入的可信用戶進行強管控認證仍會存在訪問風(fēng)險,因此需要邊界安全設(shè)備進行邊界安全加固��。
系統(tǒng)服務(wù)器主機正常運行是業(yè)務(wù)系統(tǒng)正常工作的前提����,服務(wù)器可能會面臨各類型的安全威脅,因此需要建設(shè)事前���、事中��、事后的全覆蓋防護體系:
l 事前�,快速的進行風(fēng)險掃描����,幫助用戶快速定位安全風(fēng)險并智能更新防護策略����;
l 事中�,有效防止了引起網(wǎng)頁篡改問題、網(wǎng)頁掛馬問題�、敏感信息泄漏問題、無法響應(yīng)正常服務(wù)問題及“拖庫”���、“暴庫”問題的web攻擊��、漏洞攻擊�、系統(tǒng)掃描等攻擊��;
l 事后���,對服務(wù)器外發(fā)內(nèi)容進行安全檢測�����,防止攻擊繞過安全防護體系����、數(shù)據(jù)泄漏問題。
同時�,為了保證安全威脅能夠及時被發(fā)現(xiàn)并處置��,因此需要構(gòu)建一套快速聯(lián)動的處理機制:本地防護與整體網(wǎng)絡(luò)聯(lián)動���、云端聯(lián)動�、終端聯(lián)動��,未知威脅預(yù)警與防護策略����,實時調(diào)優(yōu)策略;深度解析內(nèi)網(wǎng)未知行為�,全面安全防護;周期設(shè)備巡檢��,保障設(shè)備穩(wěn)定健康運行����;云端工單跟蹤,專家復(fù)審�����,周期性安全匯報;通過關(guān)聯(lián)全網(wǎng)安全日志�、黑客行為建模,精準預(yù)測����、定位網(wǎng)絡(luò)中存在的高級威脅、僵尸主機���,做到實時主動響應(yīng)����。
在業(yè)務(wù)系統(tǒng)交換機與匯聚交換機之間部署下一代防火墻��,根據(jù)資產(chǎn)梳理中收集到的可信用戶IP���、端口號��、責(zé)任人等信息���,在下一代防火墻的訪問控制策略中開啟白名單,將可信用戶名單添加到白名單中�����,白名單以外的任何用戶訪問業(yè)務(wù)系統(tǒng)都會被拒絕,保證了區(qū)域內(nèi)的服務(wù)器���、設(shè)備安全�����。
2.3.2 應(yīng)用層面
下一代防火墻防病毒網(wǎng)關(guān)的模塊可實現(xiàn)各個安全域的流量清洗功能,清洗來自其他安全域的病毒���、木馬�����、蠕蟲�����,防止各區(qū)域進行交叉感染����;
下一代防火墻基于語義分析技術(shù)提供標準語義規(guī)范識別能力�,進一步還原異變的web攻擊;應(yīng)用AI人工智能���,基于海量web攻擊特征有效識別未知的web威脅��?��;贏I構(gòu)建業(yè)務(wù)合規(guī)基線����,基于廣泛的模式學(xué)習(xí)提取合規(guī)的業(yè)務(wù)操作邏輯����,偏離基線行為的將會被判定為web威脅,提升web威脅識別的精準度���。
下一代防火墻以人工智能SAVE引擎為WEB應(yīng)用防火墻的智能檢測核心��,輔以云查引擎�、行為分析等技術(shù)�����,使達到高檢出率效果并有效洞悉威脅本質(zhì)���。威脅攻擊檢測�����、多維度處置快速響應(yīng)�����,有效解決現(xiàn)有信息系統(tǒng)安全問題�����。
目前通號服務(wù)器區(qū)安全建設(shè)存在以下問題一是以邊界防護為核心����,缺乏以整體業(yè)務(wù)鏈視角的端到端的整體動態(tài)防護的思路����;二以本地規(guī)則庫為核心,無法動態(tài)有效檢測已知威脅�;三是沒有智能化的大數(shù)據(jù)分析能力,無法感知未知威脅��;四是全網(wǎng)安全設(shè)備之間的數(shù)據(jù)不能共享����,做不到智能聯(lián)動��、協(xié)同防御���。
在保留傳統(tǒng)安全建設(shè)的能力基礎(chǔ)上,將基于人工智能����、大數(shù)據(jù)等技術(shù),按照“業(yè)務(wù)驅(qū)動安全”的理念����,采用全網(wǎng)安全可視、動態(tài)感知�����、閉環(huán)聯(lián)動����、軟件定義安全等技術(shù),建立涵蓋數(shù)據(jù)安全�����、應(yīng)用安全、終端安全等的“全業(yè)務(wù)鏈安全”����。
為了保證訪問資金管理系統(tǒng)訪問關(guān)系及時預(yù)警及安全可視化,需要將訪問目標系統(tǒng)的所有流量進行深度分析����,及時發(fā)現(xiàn)攻擊行為。
在在業(yè)務(wù)系統(tǒng)交換機旁路部署潛伏威脅探針�����,對訪問資金管理系統(tǒng)的所有流量進行采集和初步分析�����,并實時同步到安全態(tài)勢感知平臺進行深度分析�����,并將分析結(jié)果通過可視化界面呈現(xiàn)�����。
2.3.3 主機層面
下一代防火墻通過服務(wù)器防護功能模塊的開啟���,可實現(xiàn)對各個區(qū)域的Web服務(wù)器����、數(shù)據(jù)庫服務(wù)器�����、FTP服務(wù)器等服務(wù)器的安全防護�。防止黑客利用業(yè)務(wù)代碼開發(fā)安全保障不利,使得系統(tǒng)可輕易通過Web攻擊實現(xiàn)對Web服務(wù)器�、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題;
下一代防火墻通過風(fēng)險評估模塊對服務(wù)器進行安全體檢�,通過一鍵策略部署的功能WAF模塊的對應(yīng)策略,可幫助管理員的實現(xiàn)針對性的策略配置�;
利用下一代防火墻入侵防御模塊可實現(xiàn)對各類服務(wù)器操作系統(tǒng)漏洞(如:winserver2003、linux�、unix等)、應(yīng)用程序漏洞(IIS服務(wù)器���、Apache服務(wù)器���、中間件weblogic、數(shù)據(jù)庫oracle�、MSSQL����、MySQL等)的防護��,防止黑客利用該類漏洞通過緩沖區(qū)溢出���、惡意蠕蟲�、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限����、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲等資源被攻擊的問題��;
針對系統(tǒng)的服務(wù)器主機系統(tǒng)訪問控制策略需要對服務(wù)器及終端進行安全加固����,加固內(nèi)容包括但不限于:限制默認帳戶的訪問權(quán)限,重命名系統(tǒng)默認帳戶�����,修改帳戶的默認口令�����,刪除操作系統(tǒng)和數(shù)據(jù)庫中過期或多余的賬戶�,禁用無用帳戶或共享帳戶;根據(jù)管理用戶的角色分配權(quán)限���,實現(xiàn)管理用戶的權(quán)限分離�����,僅授予管理用戶所需的最小權(quán)限�����;啟用訪問控制功能�����,依據(jù)安全策略控制用戶對資源的訪問�����;加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫��。
通過終端檢測響應(yīng)平臺的部署����,監(jiān)測服務(wù)器主機之間的東西向流量,開啟定時查殺和漏洞補丁�����、實時文件監(jiān)控功能���,限制服務(wù)器主機之間互訪����,及時進行隔離防止服務(wù)器主機實現(xiàn)并橫向傳播威脅�����。并且通過攻擊鏈舉證進行攻擊溯源���。
2.4 攻防演練-檢測與響應(yīng)技戰(zhàn)法
2.4.1 預(yù)警分析
通過7*24小時在線的安全專家團隊和在線安全監(jiān)測與預(yù)警通報平臺�,即可對互聯(lián)網(wǎng)業(yè)務(wù)進行統(tǒng)一監(jiān)測����,統(tǒng)一預(yù)警。云端專家7*24小時值守��,一旦發(fā)現(xiàn)篡改����、漏洞等常規(guī)安全事件,即可實時進行處置���。對于webshell���、后門等高階事件,可以及時升級到技術(shù)分析組進行研判�����,一旦確認���,將會實時轉(zhuǎn)交應(yīng)急響應(yīng)組進行處置���。
監(jiān)測與相應(yīng)組成員實時監(jiān)控安全檢測類設(shè)備安全告警日志,并根據(jù)攻擊者特征分析入侵事件����,記錄事件信息,填寫文件并按照流程上報�����。
若同一來源IP地址觸發(fā)多條告警,若觸發(fā)告警時間較短����,判斷可能為掃描行為,若告警事件的協(xié)議摘要中存在部分探測驗證payload����,則確認為漏洞掃描行為,若協(xié)議摘要中出現(xiàn)具有攻擊性的payload����,則確認為利用漏洞執(zhí)行惡意代碼。
若告警事件為服務(wù)認證錯誤����,且錯誤次數(shù)較多,認證錯誤間隔較小�,且IP地址為同一IP地址,則判斷為暴力破解事件����;若錯誤次數(shù)較少,但超出正常認證錯誤頻率���,則判斷為攻擊者手工嘗試弱口令�。
2.4.2 應(yīng)急處置
應(yīng)急處置組對真實入侵行為及時響應(yīng),并開展阻斷工作�����,協(xié)助排查服務(wù)器上的木馬程序��,分析攻擊者入侵途徑并溯源�����。
安全事件的處置步驟如下:
(1)根據(jù)攻擊者入侵痕跡及告警詳情�����,判斷攻擊者的入侵途徑����。
(2)排查服務(wù)器上是否留下后門����,若存在后門,在相關(guān)責(zé)任人的陪同下清理后門����。
(3)分析攻擊者入侵之后在服務(wù)器上的詳細操作��,并根據(jù)相應(yīng)的安全事件應(yīng)急處置措施及操作手冊展開應(yīng)對措施�����。
(4)根據(jù)排查過程中的信息進行溯源�。
(5)梳理應(yīng)急處置過程���,輸出安全建議��。
篇5
【關(guān)鍵詞】網(wǎng)絡(luò)安全����;中毒����;家庭網(wǎng)絡(luò)用戶
隨著互聯(lián)網(wǎng)在家庭的普及,家庭網(wǎng)絡(luò)安全越來越受到用戶的注意和重視����。家庭網(wǎng)絡(luò)安全主要表現(xiàn)在兩個方面,一個是個人電腦中毒��,另一個是被非法用戶入侵。個人以為可以從“內(nèi)”和“外”兩個方面來加以解決���。
首先從“內(nèi)”的方面來說���。“內(nèi)”是指用戶本身�����,也就是說用戶在使用計算機時應(yīng)該注意的問題��,防止由于自己的疏忽大意而造成損失�。主要包括:(1)安裝一些必要的軟件�����,主要是防火墻�����、殺毒�����、防木馬等安全軟件。(2)要有一個安全的工作習(xí)慣�。可以先假定幾項活動是安全的�,其余的活動都是不安全的,并采取防病毒措施����。(3)積極備份??刹扇⊥耆珎浞莺妥芳觽浞莸姆椒▉韺崿F(xiàn)。(4)積極防范�。設(shè)置好開機密碼,不要讓別人隨便使用你的計算機�����,重要的文檔或盤符加上密碼保護��。家里有小孩的要經(jīng)常提醒小孩該如何安全使用計算機�����,告訴他如何使用殺毒軟件�����,哪些網(wǎng)站不能打開,不能隨便下載東西����,需要下載可以讓大人來完成等等,最好是小孩上機的開始幾年大人始終在邊上指導(dǎo)���,一旦發(fā)現(xiàn)錯誤的操作步驟及時糾正����。(5)打好補丁�����。因為在軟件設(shè)計中����,經(jīng)常會出現(xiàn)一些意想不到的錯誤和漏洞��,給程序帶來安全和穩(wěn)定性方面的隱患����。因此,經(jīng)常保持對軟件的更新�����,是保證系統(tǒng)安全的一種最簡單也是最直接的辦法。
以上幾種方法只是網(wǎng)絡(luò)安全方面常用的方法�,實際上保證安全從“內(nèi)”的方面來說還包括很多方面,如操作不當造成軟硬件損壞等���,當然�,這些就不僅僅是網(wǎng)絡(luò)安全方面的了���。實際上��,只要用戶在以上所說的五個方面如果做得不錯的話�,基本上網(wǎng)絡(luò)安全方面可以放60%以上的心了�。只不過許多用戶在這些方面一般不太在意或根本不在意,結(jié)果造成數(shù)據(jù)的損失��。這是十分愚蠢的�。那“外”又是指哪些呢?
我以為主要是指由外界而來的攻擊����,一般是指黑客的攻擊。要防止黑客的攻擊�,方法是挺多的���,有些方法比較復(fù)雜,一般用戶由于不是專業(yè)人員�,要掌握這些手段不太容易。我在這里介紹幾種一般簡單���、容易上手���,同時效果也不錯的方法供大家參考。
一��、隱藏IP地址
有兩種隱藏IP地址的方法�,一是使用服務(wù)器。服務(wù)器的原理是在客戶機(用戶上網(wǎng)的計算機)和遠程服務(wù)器(如用戶想訪問遠端www服務(wù)器)之間架設(shè)一個“中轉(zhuǎn)站”�����,當客戶機向遠程服務(wù)器提出服務(wù)要求后�,服務(wù)器首先截取用戶的請求�,然后服務(wù)器將服務(wù)請求轉(zhuǎn)交遠程服務(wù)器,從而實現(xiàn)客戶機和遠程服務(wù)器之間的聯(lián)系�。
很顯然,使用服務(wù)器后��,其它用戶只能探測到服務(wù)器的IP地址而不是用戶的IP地址,這就實現(xiàn)了隱藏用戶IP地址的目的��,保障了用戶上網(wǎng)安全���。提供免費服務(wù)器的網(wǎng)站有很多����,你也可以自己用獵手等工具來查找���。二是使用一些隱藏IP的軟件���,如賽門鐵克公司的Norton Internet Security就有這種功能,不論黑客使用哪一個IP掃描工具或PING工具���,都會告訴你根本沒有這個IP地址���,這樣黑客就無法攻擊你的計算機了。
二��、檢測是否有不速之客連接到我的電腦
可以利用Windows自帶的文件Nbtstat來檢測���。操作方法如下:
在Windows系統(tǒng)的運行中輸入Cmd���,在出現(xiàn)的命令窗口中輸入:nbtstat –s�,從命令執(zhí)行結(jié)果中可以看出本機的IP地址��,與你的電腦相連的其他計算機的IP地址以及本機與其他計算機��、其他計算機與本機的連接情況�。如果在命令窗口中輸入:nbtstat –n,則顯示出一個會話列表�,包含你上網(wǎng)用的IP地址與連接使用的端口以及連接的對方IP地址與連接使用的端口。如果想了解更多的Nbtstat的使用方法��,直接輸Nbtstat回車即可�。
三、關(guān)閉不必要的端口
黑客在入侵時常常會掃描你的計算機端口�����,如果安裝了端口監(jiān)視程序(比如Netwatch)����,該監(jiān)視程序則會有警告提示���。如果遇到這種入侵�����,可用工具軟件關(guān)閉用不到的端口��,比如用“Norton Internet Security”關(guān)閉用來提供網(wǎng)頁服務(wù)的80和443端口���,其他一些不常用的端口也可關(guān)閉����。
四��、更換管理員帳戶
Administrator帳戶擁有最高的系統(tǒng)權(quán)限����,一旦該帳戶被人利用,后果不堪設(shè)想���。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼�����,所以我們要重新配置Administrator帳號�����。首先是為Administrator帳戶設(shè)置一個強大復(fù)雜的密碼��,然后我們重命名Administrator帳戶���,再創(chuàng)建一個沒有管理員權(quán)限的Administrator帳戶欺騙入侵者��。這樣一來��,入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限�����,也就在一定程度上減少了危險性��。
五�、取消文件夾隱藏共享
如果你使用了Windows XP系統(tǒng)�����,打開從“控制面板/性能維護/管理工具/計算機管理“窗口下選擇”系統(tǒng)工具/共享文件夾/共享”����,就可以看到硬盤上的每個分區(qū)名后面都加了一個“$”�����,在后面說明部分也可以看到默認共享。只要鍵入“\\計算機名或者IP\C$”��,系統(tǒng)就會詢問用戶名和密碼����,遺憾的是大多數(shù)個人用戶系統(tǒng)Administrator的密碼都為空,入侵者可以輕易看到C盤的內(nèi)容��,這就給網(wǎng)絡(luò)安全帶來了極大的隱患��。因此需要取消文件夾隱藏共享�。怎么來消除默認共享呢?(下轉(zhuǎn)第192頁)
方法很簡單�,打開注冊表編輯器,進入“HKEY_LOCAL_M
ACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\parameters”�����,新建一個名為“AutoShareWKs”的雙字節(jié)值����,并將其值設(shè)為“0”�,然后重新啟動電腦���,這樣共享就取消了�。
六�����、拒絕惡意代碼
惡意網(wǎng)頁成了寬帶的最大威脅之一�����。一般惡意網(wǎng)頁都是因為加入了用編寫的惡意代碼才有破壞力的�。這些惡意代碼就相當于一些小程序,只要打開該網(wǎng)頁就會被運行�。所以要避免惡意網(wǎng)頁的攻擊只要禁止這些惡意代碼的運行就可以了?�?梢圆捎萌缦路椒ǎ海?)使用工具軟件��,如YAHOO助手里面有“安全防護”功能����,可以屏蔽惡意代碼,還可使用“反間諜專家”提供的超強系統(tǒng)免疫功能����,確保操作系統(tǒng)不再受到任何以知的侵擾�,并且能夠快速恢復(fù)被惡意代碼篡改的IE瀏覽器�。(2)運行IE瀏覽器,點擊“工具/Internet選項/安全/自定義級別”����,將安全級別定義為“安全級-高”���,對“ActiveX控件和插件”中第2�����、3項設(shè)置為“禁用”�����,其它項設(shè)置為“提示”�����,之后點擊“確定”�。這樣設(shè)置后����,當你使用IE瀏覽網(wǎng)頁時�,也可有效避免惡意網(wǎng)頁中惡意代碼的攻擊����。
七、把Guest賬號禁用
有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權(quán)限的�。如果不想把自己的計算機給別人當玩具,那還是禁止的好����。Windows XP系統(tǒng)中打開控制面板,單擊“用戶帳戶/更改帳戶”�,彈出“用戶帳戶”窗口。在點“禁用來賓帳戶”即可��。
篇6
關(guān)鍵詞: 計算機網(wǎng)絡(luò)�;安全防護;發(fā)展趨勢�����;分析
計算機網(wǎng)絡(luò)安全的威脅因素
1.1 操作系統(tǒng)存在安全問題
計算機的每個操作系統(tǒng)和網(wǎng)絡(luò)軟件都會存在一定的缺陷或者漏洞�����。而一些別有用心的黑客就會利用這些漏洞通過網(wǎng)絡(luò)對用戶的計算機進行攻擊,竊取信息或者進行其他攻擊行為����。
1.2 用戶的安全意識不強
在計算機網(wǎng)絡(luò)狀態(tài)下,用戶要使用軟件就需要設(shè)置一定的帳號密碼����,而一些用戶則缺乏自我信息安全的保護意識,隨意地將自己的帳號及其他個人信息轉(zhuǎn)借給他人���,或者與他人共享使用,這些都會對網(wǎng)絡(luò)安全帶來威脅�����。
1.3 病毒的入侵
病毒是程序編制者在計算機程序中人為地插入的破壞計算機功能或者數(shù)據(jù)���,影響計算機軟硬件正常運行且能夠進行快速自我復(fù)制的一段程序代碼或者計算機指令�����。由于病毒具有寄生性�、觸發(fā)性����、隱蔽性�����、破壞性���、傳染性等特點,所以我們在計算機的日常使用過程中�,一定要提高對病毒的防范意識,并做好病毒的查殺工作��。
1.4 防火墻的脆弱性
計算機的安全配置不當就會出現(xiàn)安全漏洞�,雖然防火墻能夠抵御部分侵犯行為,但是防火墻軟件一旦出現(xiàn)設(shè)備不當?shù)那闆r����,就會導(dǎo)致防火墻喪失其作用。此外����,如果內(nèi)部的人與外部的人聯(lián)合起來,那么再強的防火墻也會失去其優(yōu)勢���,無法保護計算機免受攻擊����。目前,隨著計算機技術(shù)的發(fā)展���,尤其是防火墻破解技術(shù)的發(fā)展�����,使得防火墻脆弱性的缺點更加明顯�。
1.5 黑客的攻擊
黑客是對計算機網(wǎng)絡(luò)安全造成威脅的一個重要因素�����,他們常利用網(wǎng)絡(luò)存在的漏洞或者潛入機房���,從事盜取計算機系統(tǒng)資源、篡改系統(tǒng)數(shù)據(jù)���、編制計算機病毒以及破壞計算機硬件設(shè)備等行為���,從而對計算機安全造成不良影響。
2 計算機網(wǎng)絡(luò)的安全防護
2.1 主要對策
2.1.1 建立健全網(wǎng)絡(luò)安全防護管理機制。建立切實可行的網(wǎng)絡(luò)安全管理運行機制���,是規(guī)范系統(tǒng)管理員以及用戶行為的保證����。只有這樣���,才能加強系統(tǒng)管理員和用戶的素質(zhì)和職業(yè)道德建設(shè)���,促使其對重要的技術(shù)數(shù)據(jù)進行備份,并逐漸形成良好的習(xí)慣�,自覺抵制各種威脅計算機網(wǎng)絡(luò)安全的行為,促進計算機網(wǎng)絡(luò)安全管理機制地科學(xué)發(fā)展�����。
2.1.2 合理規(guī)范訪問控制�����。網(wǎng)絡(luò)安全防護可以通過控制網(wǎng)絡(luò)訪問來實現(xiàn)�,其主要目的是限制并約束網(wǎng)絡(luò)資源非法竊取及盜用的行為。經(jīng)過實踐�����,我們發(fā)現(xiàn)控制網(wǎng)絡(luò)訪問是實現(xiàn)網(wǎng)絡(luò)安全的重要策略之一。從廣義上來講��,我們可以通過網(wǎng)絡(luò)權(quán)限控制�、入網(wǎng)訪問控制、屬性控制以及目錄級控制等手段來合理規(guī)范訪問控制�。
2.1.3 數(shù)據(jù)庫的維護與備份。系統(tǒng)管理員在平時應(yīng)做好數(shù)據(jù)庫數(shù)據(jù)的維護及備份工作���,一旦發(fā)生數(shù)據(jù)突發(fā)性丟失或損毀��,可以通過恢復(fù)數(shù)據(jù)庫的方式���,來降低損失。對系統(tǒng)數(shù)據(jù)的備份��,通常采用僅對數(shù)據(jù)庫備份����、備份增額以及備份事物日志和數(shù)據(jù)庫三種方法來實現(xiàn)�。
2.1.4 大力推廣密碼技術(shù)。大力推廣密碼技術(shù)是實現(xiàn)計算機信息網(wǎng)絡(luò)安全的重要手段��,通過密碼技術(shù)可以為計算機信息安全提供可靠的安全保證。對于密碼簽認和身份識別是密碼進行驗證當前保證信息完整性�、安全性的主要方式之一。密碼技術(shù)主要包括密碼古典機制����、私鑰密碼機制、數(shù)字簽名體制����、公鑰密碼機制和密鑰機制管理等。
2.1.5 切斷病毒的傳播渠道��。對于被病毒感染的計算機和硬盤應(yīng)進行徹底的查毒和殺毒工作���。在日常使用中�,對于來源可疑的文件不要輕易下載���,此外�,還應(yīng)限制移動硬盤�����、U盤等移動設(shè)備的使用����,以此來保護計算機受到病毒的侵害��。
2.1.6 強化網(wǎng)絡(luò)勘查反病毒的能力���。在計算機日常使用過程中,我們可以通過安裝安全網(wǎng)絡(luò)防火墻來實現(xiàn)對病毒的隔離和阻隔��,同時還可實現(xiàn)即時過濾����。安裝的安全網(wǎng)絡(luò)防火墻可以對計算機和網(wǎng)絡(luò)中的服務(wù)器上運行的程序、文件���、數(shù)據(jù)等進行定期的檢測和掃描�����,通過在工作站上增加防病毒卡��,來加強網(wǎng)絡(luò)文件和目錄訪問權(quán)限的設(shè)置��。
2.2 加強防范���,實現(xiàn)綜合管理
2.2.1 管理層面上的對策。計算機網(wǎng)絡(luò)安全環(huán)境的防護工作��,除了需要加強技術(shù)安全防護措施外�����,還應(yīng)逐步加強其運行管理能力以及計算機相關(guān)法律法規(guī)的完善工作�����,并增強現(xiàn)有法律的執(zhí)行力度��,只有二者緊密結(jié)合��,才能真正優(yōu)化網(wǎng)絡(luò)環(huán)境�����,實現(xiàn)網(wǎng)絡(luò)安全���。
篇7
關(guān)鍵詞:計算機網(wǎng)絡(luò)�����;安全防護����;發(fā)展
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 11-0000-02
隨著信息化時代的來臨和科技的高速發(fā)展,計算機網(wǎng)絡(luò)的用戶量在不斷地上升�����,人們的工作和生活已經(jīng)越來越離不開計算機網(wǎng)絡(luò)���,計算機網(wǎng)絡(luò)的確給人們帶來了巨大的方便和利益���,然而,隨著計算機網(wǎng)絡(luò)的發(fā)展����,用戶人數(shù)越來越多,用戶的一些個人信息和隱私�����、以及公司內(nèi)部重要資料數(shù)據(jù)甚至國家政府的機密等信息也就在計算機網(wǎng)絡(luò)上公開了��,計算機網(wǎng)絡(luò)具有很強的開放性和互聯(lián)性�,這些信息對于一些電腦黑客和不法分子來說,獲取簡直輕而易舉,信息若被他們獲取�,將會帶來嚴重的后果;再者����,計算機病毒在互聯(lián)網(wǎng)上的傳播速度將會越來越快�,危害性也越來越大,病毒的傳播與蔓延��,將會帶來更大的問題����,嚴重者甚至影響國家安全。因此����,必須要特別重視而且要全面做好計算機網(wǎng)絡(luò)的安全防護與發(fā)展趨勢安全分析。
一�、威脅計算機網(wǎng)絡(luò)安全的因素
(一)存在一定的無意的人為因素
人為的因素主要是部分的電腦操作者操作不當,比如說沒有進行正常的安全配置����,威脅操作系統(tǒng),沒有較強的計算機安全防護意識����,很多時候?qū)⒆约旱膫€人信息隨意發(fā)送��,這有很大可能將威脅到計算機網(wǎng)絡(luò)安全���。
(二)操作系統(tǒng)存在一定的不安全性
每個操作系統(tǒng)都存在一定的不安全性,操作系統(tǒng)支持數(shù)據(jù)的交換與連接�����,這對網(wǎng)絡(luò)安全來說是一個漏洞��;操作系統(tǒng)還可以創(chuàng)建進程����,然而這些進程軟件就是系統(tǒng)進程,黑客不法分子經(jīng)常就利用這些進程軟件竊取信息�����;再者����,操作系統(tǒng)還支持在互聯(lián)網(wǎng)中傳送文件,文件傳輸過程中很有可能附帶一些可執(zhí)行文件���,是人為編寫的�����,一旦出現(xiàn)漏洞被不法分子利用�,會對計算機網(wǎng)絡(luò)系統(tǒng)帶來很大的破壞。
(三)計算機病毒的威脅和惡意程序的破壞
由于計算機網(wǎng)絡(luò)的互聯(lián)性與廣泛性�,計算機病毒的傳播速度和威脅力越來越大�����,病毒其實是一些破壞計算機數(shù)據(jù)或功能��、阻礙計算機正常運行的�,而且還可以自我復(fù)制的一段計算機指令或代碼,而且病毒還有持續(xù)時間特別長��、危害性特別大���、傳染性特別高的特點���,病毒的傳播途經(jīng)也特別廣,一些光盤和移動硬盤以及其他的硬件設(shè)施都是病毒傳播的途徑,一些惡意的程序如木馬程序就是利用一些程序漏洞竊取信息的惡意程序�����,具有一定的自發(fā)性和隱蔽性���。
(四)計算機網(wǎng)絡(luò)安全技術(shù)人員和用戶安全意識不強��,技術(shù)人員能力有限
很多用戶缺乏個人信息的安全保護意識���,對于重要的信息實行共享、隨意轉(zhuǎn)借�;技術(shù)人員水平有限,不能夠建立一個很好的安全機制�����、提出安全策略��。
(五)黑客的惡意攻擊
黑客對計算機網(wǎng)絡(luò)安全帶來巨大的威脅����,他們通常能夠利用一些軟件來進行網(wǎng)絡(luò)上的攻擊,他們經(jīng)常竊取和篡改計算機中重要的系統(tǒng)數(shù)據(jù)和資源�,還能自己編制病毒破壞計算機系統(tǒng),對計算機的安全防護帶來巨大的影響和威脅�����。
二、計算機網(wǎng)絡(luò)安全防護的主要對策
(一)要健全計算機網(wǎng)絡(luò)安全管理的防護機制
建立健全計算機網(wǎng)絡(luò)安全防護機制����,是規(guī)范計算機用戶和管理員行為的保障,建立健全網(wǎng)絡(luò)安全管理機制�����,有利于提高用戶和計算機系統(tǒng)管理員的職業(yè)水準和專業(yè)素質(zhì)���,有利于使計算機操作人員形成良好的習(xí)慣,促使他們及時的對數(shù)據(jù)資料進行備份��,促進計算機網(wǎng)絡(luò)安全防護的工作能夠順利開展���。
(二)要重視加強防火墻技術(shù)
采用防火墻技術(shù)是一種有效地手段��,防火墻是一種網(wǎng)絡(luò)的屏障[1]��,因為黑客要想竊取重要的機密與信息必須進入計算機內(nèi)網(wǎng)��,而要想訪問內(nèi)網(wǎng)就必須通過連接外網(wǎng)來實現(xiàn)�����,采用防火墻技術(shù)可以有效地防止這一現(xiàn)象發(fā)生����,而且比較經(jīng)濟。一般把防火墻安裝在內(nèi)部網(wǎng)絡(luò)的出口�,這是一個最佳的位置,可以實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的訪問控制���,防火墻具有網(wǎng)址轉(zhuǎn)換功能�����,可以使外網(wǎng)連接都要經(jīng)過保護層����,可以對外網(wǎng)的狀態(tài)和活動進行監(jiān)聽���,對一些非法入侵的活動進行及時的控制和分析����。而且可以通過防火墻保護層的只有被授權(quán)的活動���,可以起到很大的作用���,促使內(nèi)網(wǎng)重要信息機密免受入侵����。
(三)重視加強數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)簡單來說就是通過使用一些密碼或代碼將一些重要的信息或數(shù)據(jù)從可以理解明白的明文方式變成一種錯亂的不能理解明白的密文方式�����,在存儲體內(nèi)或傳送過程中對信息進行保護�����,防止以明文方式丟取信息�,確保信息安全���。數(shù)據(jù)的加密技術(shù)包括數(shù)據(jù)傳送����、數(shù)據(jù)存儲���、密鑰和數(shù)據(jù)的完整性四項[2]�����,各個部分都能對數(shù)據(jù)信息進行全方位的安全性保護���,有轉(zhuǎn)換加密�、增加密碼�����、身份驗證審核�、加密密鑰、端加密�����、還有口令����、身份、密鑰的鑒別�����,包括最后的自動解密��。密鑰在各個環(huán)節(jié)的管理的好壞常常決定數(shù)據(jù)資料的保密安全。
(四)重視加強數(shù)據(jù)的備份工作
及時對一些重要的數(shù)據(jù)資料進行備份工作��,通過存儲技術(shù)將計算機中的重要的需要被保護的數(shù)據(jù)用其他的存儲設(shè)施���,如移動硬盤或者光盤進行轉(zhuǎn)存�����,以防系統(tǒng)崩潰時數(shù)據(jù)被破壞或者丟失�,即使數(shù)據(jù)被破壞或丟失后��,也可以依靠備份來進行數(shù)據(jù)的恢復(fù)�,只是在備份時,不要將源數(shù)據(jù)和備份數(shù)據(jù)放在一個服務(wù)器之中���,另找一個安全的地方進行存放���。要切實建立健全數(shù)據(jù)備份與恢復(fù)機制。
(五)進行相關(guān)政策法規(guī)的保障��,同時提高計算機操作人員與管理人員的專業(yè)能力與素養(yǎng)�����,提高安全防護意識
頒布相關(guān)的法律法規(guī)保障網(wǎng)絡(luò)安全����,加強管理,同時重視計算機網(wǎng)絡(luò)的安全意識教育��,再者要提高技術(shù)人員的專業(yè)能力與素養(yǎng)����,對于一些基本的網(wǎng)絡(luò)安全防護措施要很熟悉而且要做到位,及時的對新的技術(shù)人員進行培訓(xùn)與輔導(dǎo)����,加強安全防護管理的意識,不斷提高自身的專業(yè)技能與專業(yè)素養(yǎng)��。
三���、計算機網(wǎng)絡(luò)安全防護的發(fā)展
對于計算機網(wǎng)絡(luò)安全防護的發(fā)展�����,我們需要更加的完善網(wǎng)絡(luò)安全防護措施�����,在不斷進行完善更新的基礎(chǔ)上采用更為先進和主動的防護措施�,化被動為主動,我們可以采用“云安全”技術(shù)����,云安全這項新的技術(shù)可以大范圍的對網(wǎng)絡(luò)中的異常的軟件行為進行檢測,獲取關(guān)于病毒��、木馬等惡意程序的最新消息�,并通過服務(wù)端進行自動的處理分析,然后給每一位客戶發(fā)送解決方案����。從而整個計算機互聯(lián)網(wǎng)絡(luò)就像是一個巨大的殺毒軟件[3]。采用“云安全”等新技術(shù)會讓計算機網(wǎng)絡(luò)安全防護變得更有力�����。
四�����、小結(jié)
計算機互聯(lián)網(wǎng)絡(luò)是一個龐大而又復(fù)雜的信息網(wǎng)絡(luò)���,在這個信息網(wǎng)絡(luò)之中��,做好必要的安全防護措施是很重要的���,計算機網(wǎng)絡(luò)涉及的領(lǐng)域相當?shù)膹V泛,如果不進行計算機網(wǎng)絡(luò)的安全防護�,那么一旦在計算機網(wǎng)絡(luò)中一個領(lǐng)域中出現(xiàn)安全問題,那么其他的領(lǐng)域也會受到連鎖的影響���,這樣會導(dǎo)致全社會各個領(lǐng)域的工作受到嚴重阻礙�,甚至癱瘓�����,造成巨大的經(jīng)濟損失和人員的恐慌�,有時甚至?xí)绊懙杰娛骂I(lǐng)域,威脅到國家的安全����。因此全面認識到計算機網(wǎng)絡(luò)中的不安全因素,及時提出實施安全防護措施�����,及時的讓新技術(shù)加盟,我們才能夠更好地確保計算機網(wǎng)絡(luò)的安全����,促進人們正常的學(xué)習(xí)、工作�、生活,促進經(jīng)濟平穩(wěn)迅速發(fā)展�����,確保國家安全��。
參考文獻:
[1]楊艷杰.計算機網(wǎng)絡(luò)的安全防護與發(fā)展[J].電腦編程技巧與維護,2011,56(12):12-16
篇8
關(guān)鍵詞:計算機;網(wǎng)絡(luò)安全維護;對策
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2010) 09-0000-01
The Computer Network Security Maintenance Method
Zhang Qing
(Chuzhou Highway Transportation Administration,Chuzhou239000,China)
Abstract:This paper summarizes the characteristics of computer network security threats,and then summarizes the impact factors of network security,based on the computer network security maintenance methods and strategies.
Keywords:Computer;Network security;Countermeasures
一��、計算機網(wǎng)絡(luò)安全的概述
計算機網(wǎng)絡(luò)系統(tǒng)安全主要包括安全性�、保密性、完整性三個方面���。安全性,包括內(nèi)部安全和外部安全����。前者是指在系統(tǒng)的軟件�����、硬件及周圍的設(shè)施中實現(xiàn)的。后者主要是人事安全,是對某人參與計算機網(wǎng)絡(luò)系統(tǒng)工作和這位工作人員接觸到的敏感信息是否值得信賴的一種審查過程���。而保密性是指通過加密對傳輸過程中的數(shù)據(jù)進行保護的方法,又是對存儲在各種媒體上的數(shù)據(jù)加以保護的一種有效的手段����。完整性技術(shù)是保護計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)軟件(程序)與數(shù)據(jù)不被非法刪改的一種技術(shù)手段,它可分為數(shù)據(jù)完整性和軟件完整性��。計算機網(wǎng)絡(luò)安全機制的基本任務(wù)是訪問控制:即授權(quán)�����、確定訪問權(quán)限��、實施訪問權(quán)限�、計算機網(wǎng)絡(luò)審計跟蹤�����。
二���、影響計算機網(wǎng)絡(luò)安全的因素
(一)軟件后門
任何的系統(tǒng)軟件和應(yīng)用軟件都不是百分之百的無缺陷和無漏洞的,它缺陷和漏洞恰恰是非法用戶�、黑客進行竊取機密信息和破壞信息的首選途徑���。
(二)操作不當
操作員安全配置不當造成的安全漏洞,用戶安全意識不強��。用戶口令選擇不慎��。用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等,都會對網(wǎng)絡(luò)安全帶來威脅���。
(三)病毒攻擊
常見的病毒攻擊方式:1.密碼破解:是先設(shè)法獲取對方機器上的密碼文件,然后再設(shè)法運用密碼破解工具獲得密碼��。2.數(shù)據(jù)篡改:是截獲并修改網(wǎng)絡(luò)上特定的數(shù)據(jù)包來破壞目標數(shù)據(jù)的完整性�。3.網(wǎng)絡(luò)竊聽:是直接或間接截獲網(wǎng)絡(luò)上的特定數(shù)據(jù)包并進行分析來獲取所需信息��。4.非法入侵,是指黑客利用網(wǎng)絡(luò)的安全漏洞,不經(jīng)允許非法訪問內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源,從事刪除�、復(fù)制甚至毀壞數(shù)據(jù)的活動,一旦重要數(shù)據(jù)被竊將會給人們造成無法挽回的損失。5.地址欺騙,是攻擊者將自身IP偽裝成目標機器信任的機器的IP地址,以此來獲得對方的信任���。6.垃圾郵件,主要表現(xiàn)為黑客利用自己在網(wǎng)絡(luò)上所控制的計算機向郵件服務(wù)器發(fā)送大量的垃圾郵件,或者利用郵件服務(wù)器把垃圾郵件發(fā)送到其他服務(wù)器上���。
(四)認識不足
人們對網(wǎng)絡(luò)安全問題的認識和網(wǎng)絡(luò)的先天性不足,網(wǎng)絡(luò)一般基于Internet相連。Internet的互聯(lián)性和開放性給社會帶來極大效益的同時,入侵者也得到了更多的機會����。因為Internet本身缺乏相應(yīng)的安全機制,不對機密信息和敏感信息提供保護。
三��、計算機網(wǎng)絡(luò)的安全維護策略
(一)物理安全策略
物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器�、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊;驗證用戶的身份和使用權(quán)限�、防止用戶越權(quán)操作;確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生���。
抑制和防止電磁泄漏(即TEMPEST技術(shù))是物理安全策略的主要問題�。目前主要防護措施有兩類:一類是對傳導(dǎo)發(fā)射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導(dǎo)線間的交叉耦合���。另一類是對輻射的防護,這類防護措施又可分為以下兩種:一是采用各種電磁屏蔽措施,二是干擾的防護措施。
(二)網(wǎng)絡(luò)訪問控制策略
網(wǎng)絡(luò)訪問控制是網(wǎng)絡(luò)安全和實現(xiàn)訪問控制策略的第一層控制,主要通過一定的技術(shù)手段識別網(wǎng)絡(luò)用戶的身份,并依據(jù)不同用戶身份,給予不同的網(wǎng)絡(luò)訪問權(quán)限或阻止其進入使用單位網(wǎng)絡(luò)系統(tǒng)��。網(wǎng)絡(luò)訪問控制策略不僅能阻止網(wǎng)絡(luò)用戶的非法訪問,而且能夠在很大程度上減少病毒及惡意代碼的危害��。網(wǎng)絡(luò)訪問控制主要包括防火墻���、訪問控制列表���、劃分VLAN、IP從AC端口綁定等技術(shù)手段��。
(三)信息加密與用戶授權(quán)訪問
數(shù)據(jù)加密實質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進行移位和置換的變換算法,這種變換是受“密鑰”控制的���。在傳統(tǒng)的加密算法中,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,稱為“對稱密鑰算法”��。這樣的密鑰必須秘密保管,只能為授權(quán)用戶所知,授權(quán)用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息�。比較著名的常規(guī)密碼算法有:美國的DES及其各種變形,歐洲的IDEA;日本的FEAL-N。DES是對稱加密算法中最具代表性的算法�。如果加密/解密過程各有不相干的密鑰,構(gòu)成加密/解密的密鑰對,則稱這種加密算法為“非對稱加密算法”或稱為“公鑰加密算法”,相應(yīng)的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發(fā)送給私鑰擁有者����。私鑰是保密的,用于解密其接收的公鑰加密過的信息。
(四)網(wǎng)絡(luò)安全管理策略
在網(wǎng)絡(luò)安全中,除了采用上述技術(shù)措施之外,加強網(wǎng)絡(luò)的安全管理,制定有關(guān)規(guī)章制度,對于確保網(wǎng)絡(luò)的安全��、可靠地運行,將起到十分有效的作用����。網(wǎng)絡(luò)的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。
四���、結(jié)束語
計算機網(wǎng)絡(luò)的安全與人們的生活息息相關(guān),安全的計算機網(wǎng)絡(luò)系統(tǒng)不僅與系統(tǒng)管理員的業(yè)務(wù)素養(yǎng)有關(guān),而且和每個使用者的安全操作也有關(guān)系�。因此,認清網(wǎng)絡(luò)的脆弱性和潛在威脅,采取有力的安全策略,對于保障網(wǎng)絡(luò)的安全性十分重要��。
參考文獻:
