網絡安全防控體系精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全防控體系主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全防控體系范文
關鍵詞:疾病預防與控制;計算機網絡;信息;安全
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 04-0000-02
計算機網絡技術在疾病預防控制中心的信息管理系統中得到了廣泛的應用,為疾病預防控制龐大的管理工作帶來了很多方便,但同時也存在著一些隱患。計算機操作系統大多數都存在各式各樣的安全漏洞,正是這些漏洞才使病毒有可乘之機進行傳染,如不及時更新操作系統,這些漏洞都是安全隱患。計算機病毒將影響疾控系統的正常運行、網絡速度下降,甚至造成疾控系統的癱瘓。計算機病毒一般具有破壞性、隱蔽性、潛伏性、傳染性等特點。
一、目前疾控系統網絡安全存在的問題
(一)網絡攻擊:網絡攻擊可分為內部與外部攻擊。內部攻擊一般情況都是由于疾控中心內部人員瀏覽一些非法網站或下載非法軟件引起計算機中毒,從而感染整個內部網絡系統。而外部攻擊則來自互聯網,由于疾控中心網絡與互聯網相連,信息共享的同時也面臨著遭遇攻擊的風險。因為在互聯網上可以任意下載很多攻擊工具,這類攻擊工具設置簡單、使用方便,破壞力大,這意味著攻擊所需要的技術門檻大大降低。因此,就算是一個很普通的上網者也會對疾控系統造成很大的危害。
(二)網絡安全監管缺失:隨著我縣疾控中心計算機網絡的大范圍普及,單位計算機網絡日益增多,如果不加強管理,采取措施,隨時有可能造成病毒傳播泛濫、網絡被攻擊、數據損壞、系統癱瘓等嚴重后果。由于一部分人利用中心網絡的資源進行一些軟件資源下載服務,導致大量垃圾郵件出現,占用了的帶寬資源,致使網絡資源嚴重被浪費,造成流量堵塞、上網速度減慢等問題。
疾控系統網絡建設普遍存在重硬件、忽軟件,重運行、輕管理的現象。其表現為對網絡安全的認識不足,網絡系統作為一項大工程為實施運行,沒有一套完善的安全管理方案是不行的,對于IP地址的申請分配和開通、賬戶的維護、服務器上應用系統、管理系統的審查和網絡規范的設計及調整上,缺少防范措施。
(三)計算機設備老化與損壞:我縣疾控中心網絡分布在整個單位及鄉鎮醫院,管理起來有一定的難度,涉及硬件的設備暴露在外面的設施,都有可能遭到有意或無意地損壞,這樣可能會造成網絡系統全部或部分癱瘓的后果。
二、分析問題產生的主要原因
(一)單位職工的網絡安全意識薄弱:許多職工對網絡系統安全不夠重視,不顧及病毒任意下載,通過網絡下載或對于外來的帶毒移動存儲介質都沒有殺毒的意識,經常有意無意進行病毒的傳播,攻擊疾控中心網絡系統,干擾疾控網絡的安全運行。
(二)經費投入不足:單位上基本上都不是專業人士,對其都是一知半解,對于網絡安全認知不足。認為只要系統能夠運行就行,投入的經費相對少,而有限的投資也往往用在網絡設備購置上。對于網絡系統安全建設問題的建設不夠重視,存在的各種安全隱患,一旦爆發后果將不堪設想。
(三)非法軟件的使用:由于非法軟件在網絡系統中普遍使用,這些軟件的傳播一方面占用了大量的網絡帶寬資源,另一方面也給網絡安全帶來了很大的隱患。例如前段時間盜版XP操作系統自動更新補丁引起的電腦黑屏事件,就是因為微軟公司對盜版的XP操作系統的更新做了限制。另一方面,從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,許多疾病上報系統也因此被攻擊者侵入和利用。
三、創建完全可靠的網絡系統是實現不了的
網絡系統安全是一個大工程。在目前的情況下,需要全面考慮綜合運用多種工具來抵御病毒的入侵,使用殺毒軟件等多項技術,互相配合、加強管理,提高網絡系統的安全性。為更好的完善疾控網絡系統提出以下幾點解決方法。
(一)病毒的防范:計算機病毒危害固然很大,但是只要掌握了一些防病毒的常識就能很好的進行防范。我作為單位網絡管理員應經常向同事講解一些防毒常識,這樣單位整體的安全意識就會大大提高。
1.用生活中的基本常識來進行辨別。不打開來歷不明郵件及所帶附件,對可疑的郵件要進行刪除。
2.安裝防病毒產品并保證更新最新的病毒庫。應該在重要的計算機上安裝實時病毒監控軟件,并且至少每周更新一次病毒庫,最好是每天更新、升級,達到防病毒的效果。
3.不要從任何不可靠的渠道下載任何軟件。最好不要使用重要的計算機去瀏覽一些個人網站,特別是一些黑客類或黃色網站,不要隨意在小網站上下載軟件。如果非得下載,應該對下載的軟件在安裝或運行前進行病毒掃描。
4.減少使用網絡下載Microsoft Office的程序,這些文件類型的會提高感染病毒的幾率。
5.不用他人的磁盤安裝軟件或者是復制共享的磁盤,因為這是導致病毒傳播的重要途徑。在網絡環境下,要盡量使用無盤工作站,不用或少用有軟驅的工作站。只要把好這一關,就能有效地防止病毒入侵。
6.使用基于客戶端的防火墻或過濾措施。如果計算機需要經常掛在互聯網上,就需要使用個人防火墻來保護文檔或個人隱私,并可防止黑客來訪問系統。否則個人信息甚至信用卡號碼和其他密碼都有可能被竊取。
7.及時更新操作系統,安裝各種補丁程序非常重要的。使用常用的軟件來預防病毒的入侵,及時發現安全隱患,如360安全衛士、卡卡安全助手等軟件。
(二)防火墻隔離技術:防火墻作為一種將內外網隔離的技術,普遍運用于網絡安全建設中。防火墻隔離技術又可分為物理隔離和邏輯隔離兩種,物理隔離比較徹底,但開銷比較大。邏輯隔離即是軟件隔離,比較普遍,現在有很多都是免費的,如360安全衛士,金山衛士等。
(三)加強網絡系統的監管:在不影響網絡正常運行的情況下,加強內部網絡監管機制,可以最大限度地保護網絡系統資源。如:配備入侵檢測系統IDS、入侵防御系統IPS、網絡監聽系統等。通過各種監管手段,增強網絡安全的自我適應性和反應能力,及時發現不良因素,從而保證網絡系統服務的正常運行。通過使用網絡軟件、日志分析軟件等工具,形成一個功能完整、覆蓋全面的監控管理系統,保證疾控各系統的運行。
(四)重要數據的維護:數據是計算機系統中最重要的部分。用戶數據不要與系統共用一個分區,這是因為系統出現問題時,避免數據丟失,造成不必要的麻煩。重要的數據要及時備份,備份前要進行病毒查殺,數據備份可采取多樣備份,如異地備份、光盤備份、U盤備份等多種方式,并且做好分區表、注冊表等備份工作,這樣在系統維護和修復時可以提高其工作效率。
(五)建立網絡安全管理制度:為了確保整個單位網絡系統安全有效的運行,必須要對網絡進行全面的安全性分析和研究,建立出一套切實可行的安全管理制度。具體主要包括以下幾個方面的內容:
1.建立一個專業的信息安全管理科室,制定統管全局的網絡信息安全規定。
2.對單位從事網絡的人員進行專業知識和技能的培訓,培養一支具有安全管理意識的網管隊伍,從技術上提高應地各種攻擊破壞方法。
3.對疾控系統全體職工進行網駱安全知識培訓。
4.在疾控中心內部設立網絡安全信息欄,網絡規章制度、網絡病毒公告、操作系統更新公告等,并提供常用軟件的補丁下載。
四、網絡安全系統建設對疾控系統工作發揮著重要作用
我縣疾病預防控制中心有一個安全的網絡系統,它可以實現傳染病監測、防治信息個案報告及管理,實現疾病監測信息的一體化管理和文件共享。目前,疾控系統已構建疾病預防控制基本信息系統、疾病監測信息報告管理系統、突發公共衛生事件報告管理系統、疫苗管理系統以及結核病防治管理信息系統、艾滋病防治管理信息系統等,實現傳染病疫情網上直報。一個安全的網絡系統,可以極大提高疫情報告工作的準確性和完整性。實現疫情信息共享,對傳染病疫情報告工作的起著重要意義和作用。
五、總結
我單位疾控系統的網絡安全問題是一個復雜而長遠的工程,需要整體統一防范,這不僅僅是被動的,更要主動進行。在網絡系統安全日益會影響到疾控事業運行的情況下,要加強網絡管理制度,對職工進行網絡道德的教育,全單位的網絡知識;安裝最新的防病毒軟件和下載補丁更新系統漏洞,對重要文件要進行多種備份,只有這樣網絡安全才能得到保障,疾控事業的工作才能在良好的環境中開展。
參考文獻:
[1]郭秋萍.計算機網絡技術[M].北京:清華大學出版社,2008
[2]中國疾病預防控制中心.傳染病監測信息網絡直報工作與技術指南2005試行版[M].北京:人民衛生出版社,2005,10
[3徐敬東.計算機網絡[M].北京:清華大學出版社,2009
第2篇:網絡安全防控體系范文
關鍵詞:公共衛生行業;計算機網絡安全管理;安全技術防范;信息技術;信息安全等級 文獻標識碼:A
中圖分類號:TP393 文章編號:1009-2374(2015)08- DOI:10.13535/ki.11-4406/n.2015.
1 概述
公共衛生行業承擔的職責主要包括重大傳染病防控、慢性非傳染病防控、衛生監督、職業病防制、精神衛生管理、健康危險因素評價、突發公共衛生事件處置和兒童免疫接種管理等,在管理過程中要涉及到大量的重要信息數據,包括疾病監測數據、健康危險因素監測數據和免疫規劃管理數據等,這就對公共衛生行業在信息數據管理的方面提出了很高的要求,務必要將計算機網絡安全管理防范問題放在重要位置,從網絡防范技術和監督管理等方面建立健全計算機信息安全保障體系,確保各類信息數據安全有效。
2 目前公共衛生行業計算機網絡安全存在的問題
2.1 數據信息安全威脅
信息數據面臨的安全威脅來自于多個方面,有通過病毒、非授權竊取來破壞數據保密性的安全威脅,有因為操作系統故障、應用系統故障等導致的破壞數據完整性的安全威脅,有因為硬盤故障、誤操作等導致的破壞數據可用性的安全威脅,還有因為病毒威脅、非授權篡改導致的破壞數據真實性的安全威脅,這些潛在的安全威脅將會導致信息數據被刪除、破壞、篡改甚至被竊取,給公共衛生行業帶來無法彌補的損失。
2.2 安全管理缺失
公共衛生行業在信息化建設工作中,如果存在重應用、輕安全的現象,在IT系統建設過程中沒有充分考慮信息安全的科學規劃,將導致后期信息安全建設和管理工作比較被動,業務的發展及信息系統的建設與信息安全管理建設不對稱;或由于重視信息安全技術,輕視安全管理,雖然采用了比較先進的信息安全技術,但相應的管理措施不到位,如病毒庫不及時升級、變更管理松懈、崗位職責不清、忽視數據備份等現象普遍存在,很有可能會導致本不應該發生的信息安全事件發生。
3 分析問題產生的主要原因
3.1 經費投入不足導致的安全防范技術薄弱
許多公共衛生機構的信息化基礎設施和軟硬件設備,都是在2003年SARS疫情爆發以后國家投入建設的,運行至今,很多省級以下的公共衛生單位由于領導認識不足或經費所限,只重視疾病防控能力和實驗室檢驗檢測能力的建設,而忽視了對公共衛生信息化的投入,很少將經費用于信息化建設和信息安全投入,信息化基礎設施陳舊、軟硬件設備老化,信息安全防范技術比較薄弱,因網絡設備損壞、服務器宕機等故障或無入侵檢測、核心防火墻等安全防護設備,導致信息數據丟失、竊取的現象時有發生,嚴重影響了重要信息數據的保密性、完整性和安全性,一旦發生信息安全事件后果將不堪設想。
3.2 專業技術人才缺乏
建設信息化、發展信息化最大的動力資源是掌握信息化的專業技術人才,人才的培養是行業信息化高速發展的基礎,然而,公共衛生行業的人才梯隊主要以疾病控制、醫學檢驗專業為主,信息化、信息安全專業技術人才缺乏,隊伍力量薄弱,不能很好地利用現有的計算機軟硬件設備,也很難對本單位現有的信息化、信息安全現狀進行有效的評估,缺乏制定本行業長期、可持續信息化建設發展規劃的能力,這也是制約公共衛生行業信息化發展的重要因數。
3.3 信息安全培訓不足,職工安全保密意識不強
信息安全是一項全員參與的工作,它不僅是信息化管理部門的本職工作,更是整個公共衛生行業的重要工作職責,很多單位沒有將信息安全培訓放在重要位置,沒有定期開展信息安全意識教育培訓,許多職工對網絡安全不夠重視,缺乏網絡安全意識,隨意接收、下載、拷貝未知文件,沒有查殺病毒、木馬的習慣,經常有意無意的傳播病毒,使得單位網絡系統經常遭受ARP、宏病毒等病毒木馬的攻擊,嚴重影響了單位網絡的安全穩定運行;同時,許多職工對于單位的移動介質缺乏規范化管理意識,隨意將拷貝有信息的移動硬盤、優盤等介質帶出單位,在其他聯網的計算機上使用,信息容易失竊,存在非常嚴重的信息安全隱患。
4 如何促進公共衛生行業計算機網絡安全性提升
4.1 強化管理,建立行業計算機網絡安全管理制度
為了確保整個計算機網絡的安全有效運行,建立出一套既符合本行業工作實際的,又滿足網絡實際安全需要的、切實可行的安全管理制度勢在必行。主要包括以下三方面的內容:
4.1.1 成立信息安全管理機構,引進信息安全專業技術人才,結合單位開展的工作特點,從管理、安全等級保護、安全防范、人員管理等方面制定統管全局的網絡安全管理規定。
4.1.2 制定信息安全知識培訓制度,定期開展全員信息安全知識培訓,讓全體員工及時了解計算機網絡安全知識最新動態,結合信息安全事件案列,進一步強化職工對信息安全保密重要性的認識。同時,對信息技術人員進行專業知識和操作技能的培訓,培養一支具有安全管理意識的隊伍,提高應對各種網絡安全攻擊破壞的能力。
4.1.3 建立信息安全監督檢查機制,開展定期或不定期內部信息安全監督檢查,同時將信息安全檢查納入單位季度、年度綜合目標責任制考核體系,檢查結果直接與科室和個人的獎勵績效工資、評先評優掛鉤,落實獎懲機制,懲防并舉,確保信息安全落實無死角。
4.2 開展信息安全等級保護建設
開展信息安全等級保護建設,通過對公共衛生行業處理、存儲重要信息數據的信息系統實行分等級安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置,建立健全信息安全應急機制,定期對信息系統安全等保建設情況進行測評,存在問題及時整改,從制度落實、安全技術防護、應急處置管理等各個方面,進一步提高公共衛生行業信息安全的防護能力、應急處置能力和安全隱患發現能力。
4.3 加強網絡安全技術防范
隨著信息技術的高速發展,信息網絡安全需要依托防火墻、入侵檢測、VPN等安全防護設施,充分運用各個軟硬件網絡安全技術特點,建立安全策略層、用戶層、網絡與信息資源層和安全服務層4個層次的網絡安全防護體系,全面增強網絡系統的安全性和可靠性。
4.3.1 防火墻技術。防火墻技術在公共衛生行業網絡安全建設體系中發揮著重要的作用,按照結構和功能通常劃分為濾防火墻、應用防火墻和狀態檢測防火墻三種類型,一般部署在核心網絡的邊緣,將內部網絡與Internet之間或者與其他外部網絡互相隔離,有效地記錄Internet上的活動,將網絡中不安全的服務進行有效的過濾,并嚴格限制網絡之間的互相訪問,從而提高網絡的防毒能力和抗攻擊能力,確保內部網絡安全穩定運行。
4.3.2 入侵檢測。入侵檢測是防火墻的合理補充,是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備,檢測方法包括基于專家系統入侵檢測方法和基于神經網絡的入侵檢測方法兩種,利用入侵檢測系統,能夠迅速及時地發現并報告系統中未授權或異常現象,幫助系統對付內部攻擊和外部網絡攻擊,在網絡系統受到危害之前攔截和響應入侵,在安全審計、監視、進攻識別等方面進一步擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。
4.3.3 虛擬專用網絡(VPN)技術。VPN技術因為低成本、高度靈活的特點,在很多行業信息化建設中被廣泛應用,公共衛生行業也有很多信息系統都是基于VPN進行數據傳輸的,如中國疾病預防控制信息系統等,通過在公用網絡上建立VPN,利用VPN網關將數據包進行加密和目標地址轉換,以實現遠程訪問。VPN技術實現方式目前運用的主要有MPLS、IPSEC和SSL三種類型,中國疾病預防控制信息系統VPN鏈路網絡采用的就是IPSECVPN模式,利用VPN鏈路隧道,實現國家到省、市、縣四級的互聯互通和數據傳輸共享。VPN通過使用點到點協議用戶級身份驗證的方法進行驗證,將高度敏感的數據地址進行物理分隔,只有授權用戶才能與VPN服務器建立連接,進行遠程訪問,避免非授權用戶接觸或竊取重要數據,為用戶信息提供了很高的安全性保護。
5 結語
在信息化高速發展的今天,計算機網絡安全已經成為影響公共衛生行業健康穩定發展的重要因數,只有通過不斷完善網絡安全制度,加大網絡安全軟硬件投入、強化安全防范技術、開展信息安全等級保護建設、加快信息安全人才培養和網絡安全知識培訓等,才能保障公共衛生行業在良好的環境中有序、順利的開展工作。
參考文獻
[1] 龐德明.辦公自動化網絡的安全問題研究[J].電腦知識與技術,2009,(6).
[2] 陳棠暉.淺析疾控系統的網絡安全[J].網絡安全技術與應用,2011,(4).
第3篇:網絡安全防控體系范文
[關鍵詞]網絡安全;風險;對策;措施
中圖分類號:F232 文獻標識碼:A 文章編號:1009-914X(2017)15-0274-01
隨著信息技術的普及及深度發展,我們已經進入了信息化時代,計算機網絡成為人們生活中不可缺少的重要組成部分,為人類提供了諸多的便利和快捷,同時也要看到還存在一些不利于因素影響著我們網絡的使用安全,如網絡黑客、網絡詐騙、網絡信息泄露、木馬、病毒等等,這些都需要我們積極加以防治。
一、網絡安全存在的風險分析
1、網絡黑客
網絡黑客通常持有一定的目的通過將惡意的程序植入他人的計算機系統獲得非法的信息為自己的非法利益服務。黑客一般都有自己的編程,通過各種渠道誘導用戶點擊或者通過其他軟件下載的方式進入計算機用戶電腦系統,通過自己的編程獲得所需的數據和信息,并進行系統及程序的破壞,使得用戶的計算機系統不能正常使用或遭到毀滅性破壞,產生極其惡劣的影響。其攻擊性主要集中在兩個方面,意識攻擊重要的網站,使得網絡造成癱瘓。另一方面對個人用戶進行攻擊,竊取非法信息和數據為其犯罪行為服務,以獲取非法收益。如一些非法廣告鏈接,當網絡用戶經不住誘惑進行點擊后,電腦就如同種了病毒,各種非法程序在電腦中迅速蔓延,幾乎無法刪除,造成硬盤的損失和不可利用,甚至使得電腦上網購物或者銀行支付過程中密碼等信息的被竊取,造成用戶的不必要的財產損失,產生及其惡劣的影響。
2、計算機系統漏洞
如果計算機系統或者局域網系統沒有很好的安全防護系統則會使得用戶及網絡產生極大的網絡安全隱患,很多網絡病毒、木馬程序會很容易的侵入網絡或者用戶計算機系統,使得網站處于癱瘓狀態,各種程序失去正常使用,用戶的電腦終端也由于病毒的侵入無法或者繼續正常使用下去。對網絡及計算機的使用造成極大的營銷。
3、計算機網絡病毒
計算機網絡病毒是造成網絡安全問題出現的最主要的因素,其本質就是由于系統及網絡自身存在很難控制的程序編碼,而使得系統處于無法正常控制的狀態,這些網絡病毒的傳播速度很快,并通過網絡進行傳播,傳播速度快,具有較強的毀滅性。同時帶有病毒的U盤和一些網頁鏈接也是病毒傳播的主要途徑,一旦用戶進行點擊或者是進行程序的下載,病毒就會突破殺毒軟件及防火墻的限制進入網絡和系統中,使得網絡處于癱瘓狀態,用戶無法正常使用。尤其是一些病毒殺毒軟件很難處理和刪除掉,有著很強的粘附力,非計算機專業用戶無法進行刪除和還原。
二、網絡安全防治對策
1、定期對網絡進行必要的維護
如今的信息技術發展日新月異,相應的各種病毒、木馬程序其技術也會不斷的提高,變換各種花樣,因此要定期對網絡進行必要的升級、維護和更新,如對殺毒軟件進行定期的升級和更新,對計算機系統進行定期的查殺管理,對系統進行定期的升級管理,避免系統漏洞的出現。重視防火墻的使用,并不斷對其技術進行更新和提升,從而使得防火墻技術起到良好的安全防御功能。并定期對局域網等進行電腦病毒的防治,健全和完善整個計算機網絡的病毒防控體系,從而有效的保護整個網絡處于安全和使用狀態。
2、加強網絡監測和控制
要建立黑客及非法用戶的侵入監測和記錄,提高非法用戶訪問的檢測和控制水平,對用戶的網絡使用定期進行檢查,通過一定的安全防護軟件提高對網絡病毒等的事先的防控處理能力,對非法訪問進行自動的禁止和過濾,當出現病毒侵入時及時的關停和自動鎖定某個電腦賬戶,從而有效的保護整個網絡的安全,提高系統的安全性能。
3、完善網絡訪問和控制功能
建立有效的防控策略是保護網絡安全、防止非法侵入的重要方法,能夠有效確保進入計算機系統和網絡系統的人員都處于可信任狀態,確保網絡數據不被非法用戶所使用。主要需要做好三個方面的內容:第一是做好入網的防控措施。因為入網訪問控制是實現網絡安全的第一道門戶,其功能是控制用戶進入網絡服務器并使用網絡中的資源,控制這些用戶的入網時間和位置,一般通過用戶名、用戶口令、檢查權限等三個步驟來實現。這種方式使得網絡使用的安全門檻得到提高。第二是操控權限的設置。設定一定操控權限能夠有效的防止各類非法操作的出現,從而提高安全防范功能。網絡管理員可以給每個用戶設定一定的操作權限,這樣用戶只能使用和訪問權限內的資源和內容,從而提高了數據及資源的安全防范能力,起到了良好的數據安全防范功能。第三,目錄安全控制。目錄安全是指用戶在主目錄下進行相關的操作,如進行文件的讀寫功能、文件的閱讀、修改及刪除功能等,通過這些目錄的功能管理實現資源的有效分層控制,使得用戶的使用處于一定的權限水平,從而提高了數據的安全防范功能,提高了安全性能。
總之,在計算機網絡使用方面,一定要提高安全使用意識,定期對系統及網絡進行維護,加強安全檢測和防護,及時有效的防治各類網絡病毒、木馬和黑客的攻擊,從而提高網絡及計算機系統的安全使用性能,避免出現不必要的風險和各種損失,并通過不斷地信息及技術水平的提高和創新,提高網絡安全的有效防護能力。
參考文獻:
[1] 謝宗曉.信息安全管理系列之二十七 網絡空間安全相關標準ITU-T X.1205探析[J].中國質量與標準導報. 2017(04)
[2] 王廣濤.計算機信息管理技術在網絡安全中的應用[J].科技創新與應用.2017(12)
第4篇:網絡安全防控體系范文
關鍵詞:計算機網絡;安全問題;防范措施
中圖分類號:TP393.08
計算機網絡安全問題隨著網絡的形成和發展而始終存在著,在計算機互聯網得以迅速發展的今天,我們的生活和工作已經難以脫離互聯網,但是計算機網絡的發展也隨之產生了更加嚴重的網絡安全問題,各種黑客攻擊事件和病毒大規模感染網絡的事件時有發生,計算機網絡中的安全問題極大的阻礙了計算機技術的發展,對人們的網絡活動產生了極大的影響。所以,我們必須要認識到計算機網絡安全問題的重要性,努力營造安全健康的網絡環境。但是我們也必須認識到,計算機網絡安全問題的預防是一項長期性系統性的工作,必須依靠廣大信息技術工作者的不懈努力,積極的去探索和研究安全的防范體系,從而實現對網絡安全問題的全方位防護。
1 網絡安全的特點
多元化的特點。網絡安全多元化的特點主要表現在安全隱患的形式和內容的多樣化,以至于網絡安全體系逐漸完善化和技術化。在今天的網絡安全體系中,以多技術多系統模式來應對網絡安全的多元化。
體系化的特點。這種體系化主要是網絡安全制度的系統化和安全技術的體系化,面對復雜的網絡安全環境,完善網絡安全體系,構建完整的網絡安全系統,從而保證計算機網絡的安全,與此同時,應對當前這樣多變的網絡環境,對于計算機網絡的安全防范措施也必須不斷進行更新。
復雜化的特點。互聯網的發展讓客戶端的聯網模式更加復雜多樣,從而讓網絡安全的外界因素增多,計算機網絡安全逐漸延伸到互聯網的各個層面,這就要求我們要不斷探索網絡安全技術,才能適應日益復雜的網絡環境。
2 計算機網絡中的安全問題分析
2.1 物理層存在的安全問題
目前計算機網絡大多都是屬于拓撲型網絡,但不同的網絡設施是為了不同的節點來服務的,計算機網絡的相關設施一般來說包含了服務器、交換機、路由器以及其他機房設備,另外還有一部分機房配備了UPS設備來避免突發性斷電。而計算機自身硬件以及網絡傳輸線路等從廣義上來說都可以稱之為計算機網絡物理層,這些相關設備的運行狀況等都屬于物理層的安全防范問題。
2.2 網絡層存在的安全問題
現階段關于計算機網絡服務的相關法律法規還并不是非常完善,相關權限規定也并不全面清楚,這樣一來就造成了計算機網絡經常性的會遭到來自互聯網的惡意攻擊,例如黑客攻擊就屬于典型的網絡層安全問題。這些安全問題的誘發因素常常是因為網絡管理工作者在進行網絡管理和配置的過程中人為操作失誤而導致網絡存在安全漏洞,而個人用戶對計算機的使用不當等情況也會產生來自互聯網的安全威脅。
2.3 系統層存在的安全問題
因為計算機操作系統產生的網絡安全問題對于個人用戶來說是最普遍的,現階段國內用戶對于自己計算機的系統管理意識還不夠強,大多數用戶都是安裝的微軟windows XP以及windows7系統,而這些大多都是盜版系統,其中隱藏著很多安全漏洞,用戶如果不能及時的對漏洞進行修復,常常會讓黑客趁虛而入,給網絡帶來較大的安全風險。
2.4 病毒感染的安全問題
計算機病毒常常會引起計算機系統的崩潰,數據的損壞等,而部分病毒甚至還會損壞計算機硬件,如果這些病毒在互聯網中大量傳播,其后果不堪設想。計算機病毒的傳播途徑一般來說有兩種,其一是在互聯網傳播,比如說用戶在各個論壇下載帶有病毒的軟件、接受陌生郵件、在非法網站下載電影或者網絡游戲等;其二是在局域網內部傳播,局域網內部傳播會導致內網中所有計算機的崩潰和局域網癱瘓。
3 計算機網絡安全問題的防范措施
3.1 物理層的防范措施
計算機網絡物理層的安全防范是很多企業網絡安全體系構建中重點關注的問題,因此我們應該尤為注重對網絡物理層的安全防范。企業在建設計算機機房的過程中,應該根據相關規范標準嚴格建造,機房的選址通常來說要選擇在干燥通風的地方,注意做好避光措施,同時可以配以窗簾等遮蔽物避免計算機受到陽光直接照射;此外還必須要做好機房的防火措施,有條件的情況下應該設計精密的空調系統和通風系統,從而更好的控制計算機機房的溫濕度,配置UPS電源等,從而確保網絡物理層的安全穩定。
3.2 技術層的防范措施
一方面應該努力做好網絡入侵檢測措施,我們可以通過對計算機系統程序等相關信息進行分析,從而有效的監測有可能產生的網絡入侵行為,當發現之后立即自動報警或者切斷相關線路。目前入侵監測的手段一般是對系統程序異常反應以及計算機不正常操作行為進行檢測,這一方法的主要優勢在于響應速度快,誤查率較低;另一方面我們還應該做好計算機病毒的防范工作,計算機病毒防范包括了病毒預防、病毒檢測以及病毒查殺等階段,對計算機病毒進行有效防范能夠確保計算機擁有一個安全穩定的運行環境,這也是網絡技術層的主要防范手段之一。
3.3 系統層與管理層的安全防護
網絡層的安全問題一般都體現在網絡安全性上,對于網絡層的安全防范一般有網絡身份認證、網絡資源訪問控制、保證網絡數據傳輸的完整性和保密性、保證域名系統以及路由系統的安全、做好入侵檢測等手段。
網絡管理層的安全防范主要是做好安全管理工作,要求我們必須做好安全技術和相關網絡設備的管理,制定并完善相關的安全管理制度規則等。網絡安全管理工作制度化能夠在很大程度上對整個網絡的安全產生影響,嚴格的管理,明確的職責以及合理的工作分配能夠有效的降低網絡其他層次面臨的安全威脅。
3.4 用戶自身的安全意識
網絡安全的直接受害人以及受益人是用戶,提高用戶的安全上網意識,培養他們面對計算機網絡安全問題的防范能力,這是解決網絡安全問題最有效的方法之一。用戶必須要有較好的上網習慣,能夠定期的更新殺毒軟件,修復系統漏洞,確保自己的計算機能夠時刻的處于安全狀態之下,用戶在使用互聯網的過程中應該盡可能的避免瀏覽非法網站,避免下載非法軟件等;另外用戶還必須要做好自己網絡賬號信息的管理,避免黑客盜取而造成財產損失。
4 結束語
總之,隨著計算機技術和互聯網技術的不斷發展,各行各業的信息化程度已經逐漸提升,人們對于計算機網絡的需求也越來越高,同時由于計算機網絡環境中存在的某些不安全因素,導致了互聯網中各種安全隱患的普遍存在,通常來說個人用戶對于這些安全隱患不具有全面的防范措施,從而造成了個人網站被黑客攻擊、個人信息資料被非法竊取的事件頻頻發生。無論是企業還是個人用戶,他們都面臨著網絡安全問題的威脅,所以加強計算機網絡安全的防范變得更加重要。要做好相應的防范預防措施,就應該以完善的網絡安全保護體系為基礎,從技術上、管理上等各方面出發,積極展開預防行動,對網絡安全問題的源頭進行防范,從而讓用戶擁有一個安全健康的網絡環境,確保互聯網的穩定運轉。
參考文獻:
[1]雷冰.淺談計算機網絡信息和網絡安全防護策略[J].企業技術開發,2011(23):40.
[2]李天祥,李軒明.淺析計算機網絡安全缺陷與防范[J].電腦知識與技術,2011(17):48.
[3]胡志剛.計算機網絡安全防范措施探討[J].科學之友,2012(09):35.
第5篇:網絡安全防控體系范文
1防火墻概述
防火墻是一種通過相關的網絡設備對網絡中的一些惡意程序或者惡意信息進行攔截和防控,保證計算機網絡安全。從現在的來看,防火墻的工作原理都是對進入或者輸出的信息進行相關的檢測,獲得防火墻體系授權的信息能夠通過,未獲得授權的信息將無法通過。但是不同類型的防火墻有著不同的防控作用,網絡管理者可以通過對防火墻進行相關信息設置來改變防火墻的防控作用。
2防火墻的技術類型
2.1狀態檢測技術
狀態檢測類型防火墻是一種通過網絡連接狀態對相關的惡意程序或者惡意信息進行防控的防火墻,狀態檢測防火墻是在網絡中建立一個狀態連接表,然后對相關的數據進行識別檢測。該類型防火墻具有較高的安全性和靈活性,是現在應用較為廣泛的防火墻類型。但是也存在著在數據檢測時出現網絡遲滯。
2.2網絡地址轉換技術
網絡地址轉換防火墻是在網絡運行過程中,網絡管理者對網絡系統中的所有的計算機服務器進行網絡地址注冊。在這樣的網絡體系中,所有的計算機服務器通過系統的安全網卡對外部網絡進行訪問。這樣網絡中的真實的網絡地址將被隱藏起來,從而避免了相關的惡意程序的攻擊,因此能夠很好的對網絡通信進行安全保護。
2.3應用技術
應用類型的防火主要是在應用層對相關的進出網絡的信息進行監控和管理。這種防火墻只需在網絡中輸入相關的安全保障程序就能夠對相關的計算機網絡通信進行完全防護,具有較高的安全性,能夠對入侵的病毒進行有效的清除。但是這種類型的防火墻防護能力較強,因此在使用過程中十分容易造成網絡由于過度防護的網絡癱瘓,因此對網絡的穩定性有一定的影響,在實際中應用范圍較小。
2.4包過濾類型技術
包過濾類型的防火墻是通過對數據包、端口和目的的信息的授權管理來防止惡意程序和惡意信息的進入。這種類型的防火墻最大的特點是只要在網絡中安裝一個路由器就能夠對整個網絡進行保護,過濾型路由器具有較高的運行效率,因此能夠提升防火墻的防控效率。但是這種類型的防火墻由于主要依靠網絡地址,因此對偽裝的惡意網絡地址不能進行識別,存在一定的安全防控漏洞。
3防火墻選擇建議
3.1防火墻類型
為了發揮防火墻在網絡通信方面的防控作用,要根據網絡類型和網絡的運行狀況來選擇合適的防火墻類型。例如一些局域網來講要保證網絡通信的安全應該選擇網絡地址轉換類型的防火墻。對一些動態網絡的網絡通信安全保護要求防火墻有較高的靈活性,應此應該選擇狀態檢測型防火墻。因此在網絡通信安全防護方面,只有根據網絡類型和網絡防護對象來選擇合適的防火墻才能真正的發揮防火墻的作用,保證網絡通信安全。
3.2具有擴充性
防火墻是要對整個網絡進行相關的保護,需要根據網絡的發展進行全局保護,因此所選擇的防火墻應該具有一定的擴充性來適應網絡的變化。對一些新建網絡而言,由于網絡規模較小,信息傳輸量較小,防火墻的防控壓力較小,隨著網絡的擴大,整個網絡的防控壓力增大,這是需要對防火墻進行擴充,從而使防火墻對整個網絡進行防控。只有選擇的防火墻具有一定的擴充性才能適應網絡發展的需要,才能真正的保護網絡通信。
3.3防火墻安全性
第6篇:網絡安全防控體系范文
關鍵詞:信息安全;管理體系;PKI/CA;MPLS VPN;基線
在供電企業現代信息技術廣泛運用生產經營、綜合管理之中,實現資源和信息共享,為領導提供相關輔助決策。保障企業信息安全是企業領導層、專業人員及企業全員共同面對的。信息安全是集管理、人員、設備、技術為一體系統工程,木桶原理可以很好地詮釋信息安全,一個企業安全不取決于最強項,而取決最短板。信息安全需從制度建設、體系架構、一體化防控體系、人員意識、專業人員技術水平等多方面共同建設,才能有效提高企業信息安全,才能為企業生產、經營保駕護航。
1基層供電信息安全現狀
基層供電企業信息安全建設方面,在制度建設、安全分區、網絡架構、一體化防護、人員意識、專業人員技術水平等多方面存在不同程度問題。
1.1管理制度不健全,制度多重化
信息安全制度建設方面較為被動,大多數都是現實之中出現某一問題,然后一個相關制度,制度修修補補。同一類問題有時出現不同管理規定里,處理辦法不一,甚至發生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統建設渠道不同,未提前進行信息安全方面考慮,管理職責不明,導致部分信息安全工作開始不順暢。
1.2安全區域劃分不明,網絡架構不清晰
基層供電企業系統建設主要由上級推廣系統和自建系統,系統建設時候相當部分系統未充分考慮系統,特別是業務部門自建系統更甚。網絡建設需要什么就連接什么,存在服務器、終端、外聯區域不明顯,網絡架構不清晰。
1.3未建立一體化安全防護體系
從近些年已經發生的各類信息安全事件來看,內部客戶端問題造成超過將近70%。內部終端用戶網絡行為控制不足,存在網絡帶寬濫用;終端接入沒有相應準入控制,不滿足網絡安全需求用戶接入辦公網絡,網絡環境安全構成極大風險;內部人員對核心服務器和網絡設備未建立統一內部控制機制;移動介質未實施注冊制管理等問題。
1.4未建立行之有效設備基線標準
網絡安全設備、操作系統、數據庫、中間件、應用系統等廠家為了某種方便需求,在設備和系統中常常保留有默認缺省安全配置項,這些恰恰是別人利用漏洞。基層供電企業在部署設備和系統時,沒有統一基線標準,沒有對設備和系統進行相應基線加固,企業存在潛在風險。
1.5信息安全意識較差,技術水平參差不齊
企業信息安全認識存在認識上誤區,常常認為我們有較強信息安全保護設備,外部不易攻破內部,事實上堡壘常常是從內部攻破的。比如企業員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業機密泄露等,這恰恰是基層供電企業全員信息安全意識較為薄弱表現。專業技術人員缺乏必要自我學習和知識主動更新,未取得專門信息安全專業人員資質,處理問題能力表現參差不齊。
2必要性
信息安全為國家安全重要組成部門,電力企業信息安全為國家信息安全的重要元素,電網安全事關國計民生。2014年2月,國家成立中央網絡安全和信息化領導小組,將網絡信息安全提升前所未有高度。近年發生的“棱鏡門”事件,前幾年發生伊朗核電站“震網”病毒(Stuxnet病毒)網絡攻擊,其中一個關鍵問題就是利用移動介質擺渡來進行攻擊,造成設備癱瘓,這一系列信息安全事件都事關國家安全,因此人人都要有信息安全意識。首先要防止企業機密數據(財務、人資、投資、客戶等)泄漏;其次,保持數據真實性和完整性,錯誤的或被篡改的不當信息可能會導致錯誤的決策或商業機會甚至信譽的喪失;最后,信息的可用性,防止由于人員、流程和技術服務的中斷而影響業務的正常運作,業務賴以生存的關鍵系統如失效,不能得到及時有效恢復,會造成重大損失。建立嚴格的訪問控制,前面數據分級時有制定數據的“所有者”及給敏感數據進行分級,按照分級的要求制定嚴格的訪問控制策略,基本的思想是最小特權原則和權限分離原則。最少特權是給定使用者最低的只需完成其工作任務的權限;權限分離原則是將不同的工作職能分開,只給相關職能有必要讓其知道的內容訪問權限。通過對內部網絡行為的監控可以規范內部的上網行為,提高工作效率,保護企業有限網絡資源應用于主要生產經營上來。
3特點探析
通過我們對基層供電企業在信息安全存在問題及必要性來看,主要是管理制度、網絡信息安全技術、人員意識等方面存在問題,有以下特點。
3.1管理制度方面
常說信息安全“三方技術、七分管理”,制度建設對信息安全保障至關重要。信息安全管理制度應該有上級主管部門建立一套統一管理制度,基層供電企業遵照執行,可以根據各單位具體情況進一步細化,讓管理制度落地。從企業總體信息安全方針到具體專業制度管理上,實現全網一體化,規范化。
3.2網絡信息安全技術方面
上級專業主管部門,站在企業高度,制定專業技術標準和技術細則。從網絡安全分區、網絡技術架構、互聯網接入和訪問方式、終端安全管理、網絡準入控制等方面統一規劃,分布實施,最終實現企業網絡信息安全防控一體化。
3.3信息安全意識培養方面
企業員工信息安全意識培養是個長期的過程,不是通過一次兩次培訓就能解決的,采取形式多樣化方式來培養員工安全意識,可以通過集中培訓講課、視頻宣傳、張貼宣傳畫等方式進行。針對專業人員,要讓他們養成按照制度辦事習慣,用戶需要申請某項資源,嚴格按照制度執行,填寫相應資源申請,有時候領導打招呼也要按照制度流程來執行。長此以往,人人都會知道自己該做什么,不該做什么,該怎么做,企業信息安全意識就會得到極大提高。
3.4專業技術人員水平方面
信息安全技術日新月異,不學習就落后,不斷收集信息安全方面信息,共同討論相關話題,建立相應培訓機制,專業人員實行持證上崗,提升專業人員實際解決問題能力,有效提高人員專業素養,成為企業信息安全方面專家。
4實施和開展
從2009年開始,先后進行一系列信息安全建設,涉及到信息安全制度建設、網絡信息安全體系架構、信息安全保障服務、人員培訓等方面,整體提高基層供電企業信息安全狀況。
4.1信息安全制度建設
2010年開始信息安全體系ISO27001、27002建設,結合企業情況,形成30個信息安全相關文件,涵蓋企業信息安全方針、等級保護、人員管理、機房管理、網絡信息系統運行維護管理、終端安全、病毒防護、介質管理、數據管理、日志管理、教育培訓等諸多方面。2013年為進一步提示公司信息化管理水平,先后增加修改建設管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細則。經過這一系列制度建設,基層供電企業有章可循,全網信息安全依據統一,明確短板情況。
4.2建設一體化網絡與信息安全防控
首先依據電監會5號文件要求,網絡架構按照三層四區原則進行部署建設,生產實時控制大區(Ⅰ、Ⅱ區)與信息管理大區(Ⅲ、Ⅳ區)之間采用國家強制認證單向數據隔離裝置進行強制隔離,網絡架構采用核心、匯聚、接入部署。網絡接入按照功能劃分服務器區、網管區、核心交換區、用戶辦公區、外聯區、互聯網接入區,在綜合數據網上,利用MPLSVPN,根據劃分不同VPN業務、隔離相互間數據交叉。建立全網PKI/CA系統,構建企業員工在企業數字身份認證系統,已建成系統進行未采用PKI登陸系統,進行相應改造結合PKI/CA系統,采用PKI登陸,在建系統用戶登陸必須集成PKI登陸。根據企業信息安全要求,進行互聯網統一出口,部署統一互聯網防控設備,建立統一上網行為管理策略,規范員工上網行為,合理使用有限互聯網資源,審計員工上網日志,以備不時之需。建立企業統一病毒防護系統,實現病毒軟件統一安裝,病毒庫自動更新,防護策略統一下發,定期統計病毒分布情況,同時作為終端接入內網必備選項,對終端病毒態勢比較嚴重用戶進行督促整改,有效防止病毒在企業內部蔓延,進一步進化內網環境。建立統一網絡邊界安全防護,在企業內網邊界合理部署防火墻、IPS、UTM,并將其產生日志發送到統一安全管理平臺,進行日志管理分析,展現企業內部信息安全態勢,預警企業內部信息安全存在問題。利用AD域或PKI/CA進行用戶身份認證,建設統一桌面管理,所有內網用戶必須滿足最基本防病毒、安全助手、IT監控要求方可接入內網,系統啟用強制安全策略,終端采用采用DHCP,用戶不能自動修改IP地址,在DHCP服務器上實現IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認證方面可以采用NACC或交換機802.1x方式進行,不滿足要求用戶,自動重定向到指定網站進行安全合規性檢查,滿足要求后自動接入內網,強制所有用戶采用統一網絡安全準入規則。實行移動介質注冊制,極大提高終端安全性,有效保護企業信息資產。建立內部運維控制機制,實現4A統一安全管理,認證、賬號、授權、審計集中管控。規劃統一服務器、網絡設備資源池,按照用戶需求,提交相應申請材料,授權訪問特定設備和資源,并對用戶訪問行為全程記錄審計。
5結語
第7篇:網絡安全防控體系范文
隨著信息安全技術的不斷發展深化,單純的層次化方法已經不能適應新的安全形勢,必須以體系化思想重新定義縱深防御,形成一個縱深的、動態的安全保障框架,亦即縱深防御體系。縱深防御體系是一種信息安全防護系統設計方法論,其基本思想是綜合治理,它以信息安全為中心,以多層面安全手段為基礎,以流程化管控為抓手,以貫穿信息系統的生命周期為管理范疇,采用等級化的思想,最終形成手段縱深、級別縱深、流程縱深的防御與保障體系,以等級化為原則等級保護作為國家信息安全的一項制度,為關系到國計民生的各類重大信息系統的安全防護提供了指導思路。等級保護的主體思想在于等級化和差異化,即為不同等級的保護對象提供合理的防護措施。縱深防御體系的建設,不能是防護設施和防護手段的一味堆砌,而是要以等級化為指導思想,充分考慮防護目標的等級特征,在防控框架、控制流程、生命周期管理等各個方面,都需要劃分相應的等級,以等級特征為基礎,提供合理的防護。沒有等級標的的防護是盲目的,不僅浪費大量的人力物力,而且還會導致安全措施、手段脫離需求,造成防護手段不到位。以信息安全為中心信息是業務系統的產物,是各項業務的最終承載者。諸多單位、人員、系統進行的各項工作,其價值都體現在信息上,可以說信息是業務系統的核心所在。因此信息的安全是縱深防御體系的中心,保障信息安全也是縱深防御體系實施的最終目的。縱深防御體系建設必須圍繞信息安全保障展開。以多層次安全手段為基礎為實現信息安全,必須從4個層面加以控制防護:法律、規范、標準、制度,安全管理,物理安全,網絡安全,系統安全,應用安全以及信息安全。信息安全包括了保護信息的保密性、完整性、可用性、不可否認性等安全屬性的各類防護措施;應用安全包括計算機硬件、軟件、數據庫、操作系統安全等,以提供安全可靠的計算機系統作為保障。網絡安全包括身份認證、訪問控制、防病毒、數據傳輸的加解密等等,以提供安全的網絡環境。物理安全是各類邏輯防護手段的基礎,物理環境不安全,其他邏輯防護的安全性也無從談起。這一系列的防護手段,都需要進行統一的管理,才能協調一致,才能保證防護的有效性。而管理的實施和技術方法手段的管理、部署以及運行管理都需要政策、規程、操作和組織架構等方面構成的政策框架來支撐和維護。這七個層面形成的控制框架是縱深防御體系的基礎。
以流程化管控為抓手安全防護與管理一定是動態過程,再穩固的靜態防護措施,最終都會在新型漏洞和威脅下土崩瓦解。因此,縱深防御體系的實施必須要實施流程化管控,其中包括四個階段:防護、感知、決策和響應,并不斷循環往復。防護是指對網絡設備、業務系統、信息等采取的各類防護手段,即按照控制框架實施的防護措施。感知主要完成對網絡中各類安全事件的監控,包括對網絡空間的網絡行為、網絡資源狀態、用戶行為、網絡流量、設備狀態和系統脆弱的感知等。決策為安全事件的處理提供評判依據,包括了對防護對象和防護措施的等級劃分和管理、安全事件的關聯分析、安全風險評估、安全事件預警等。響應則完成對安全事件的處理過程,包括應急措施、災難恢復、網絡阻斷、病毒刪除、系統加固等措施。通過流程化管控的不斷循環重復,及時調整安全防護策略,保證了安全防護系統防護效能的不斷提升。以信息系統的生命周期為管理范疇信息系統的生命周期包括設計、建設、運行以及終止四個階段。之所以出現信息系統建設和安全防護系統建設“兩張皮”的情況,主要原因是在信息系統設計過程中,沒有充分考慮安全防護需求,導致后期的安全防護手段只能在信息系統的修修補補,不能起到合理的防護作用。另外,由于日常防護管理只注重系統運行時的管理,而在系統終止后疏于監管,由此導致的信息丟失現象也日益嚴重。因此,為避免信息失控,縱深防御體系必須涵蓋信息系統的生命周期全過程。在設計過程中,充分進行風險分析,緊密貼合安全防護需求,設計信息安全防護系統。在建設階段,信息系統與安全防護系統同步建設,避免安全防護系統與信息系統的整體業務需求脫節。在運行階段,實施安全防護,并依據信息系統的新變化,及時調整安全策略和安全配置。在信息系統終止階段,應該具有完善的系統注銷制度和管理規范,保證在系統中殘留的有用信息不外泄,進而從信息系統的整個生命周期保證信息安全。總之,縱深防御體系并不是傳統意義上的防護位置的縱深,也不是網絡協議層次的縱深,而是深人貫徹等級化保護的思想,在信息系統的整個生命周期,采用合理化的防護和管理控制框架,實施不斷循環的流程化管控,進而形成一體化的、動態的防護與保障框架,提供合理、有效的信息安全保護。縱深防御體系需要強調人的管理通常情況下,信息安全系統的實施具有三個層次。最低層次是技術手段建設。在這個階段,主要以防護手段建設為主,部署防火墻,采用加密傳輸,實施身份認證、授權等等,這些技術手段都以消除某種特定威脅為主要目標,具有很強的局限性。第二層次為安全管理。經過第一階段的手段建設,使每一種風險都有相應的措施應對,但是過多的手段帶來的就是管理上的問題。
諸多防護系統的升級、維護和管理,成為維護人員的噩夢。各個防護措施間的協調配置也給維護人員提出了很高的挑戰。保護對象是否安全已不是防護措施是否得當的簡單問題,維護人員的負責程度、能力高低成為決定防護措施是否成功的關鍵,而這些因素是極不穩定的,迫切需要統一的安全管理規范、流程、措施來規范系統維護人員的操作,并建立管理系統來協助維護人員完成各項工作,確保實現穩定、有效的安全防護。第三層次為人的管理。技術上的問題一定是可以解決的,但人的問題是一個復雜問題,人是信息安全領域最不安全的因素。即便是制定了嚴格的規章制度,建立了全面、穩定的安全防護體系,如果人不遵守這些制度,違規操作或者無意行為,都可能繞過防護體系。在這種情況下,整個安全防護系統就像是馬其諾防線一樣形同虛設。因此,要實現縱深防御,必須強調對人員的管理。規范員工的安全操作行為,加強員工的安全意識培訓,提升員工對安全的認識高度,從意識形態領域提高信息安全防護的強度。這不僅要求單位個體的努力,還需要全社會的共同努力,為我們的網絡安全提供一個良好的人文環境。
作者:安輝耀 張鵬
第8篇:網絡安全防控體系范文
關鍵詞:醫院;信息化建設;網絡安全;防護
醫院信息化建設不斷加快與成熟,促使整體的醫療診治水平提升,保證了診療工作的準確與效率。但是隨著信息化的普遍性,相關網絡管理工作也日益復雜,尤其是我國惡意軟件與不良網絡攻擊情況嚴重,導致醫院網絡安全管理存在較大的威脅。網絡安全是醫院信息化建設中的重要工作,是保證信息化工作開展的基本保障。
1醫院信息化建設中的常見安全隱患
1.1技術因素
醫院信息化建設中,會廣泛的涉及到服務器、客戶端、鏈路、軟件系統、存儲與網絡設備等多種構成元素。醫院信息化建設有效的提升了整體的診療水平,提高工作效率與便捷性,但是網絡安全問題也日益突出,相關信息資源的泄露或者系統攻擊都極大的威脅了信息化建設的有序開展。在安全管理中,物理性環境安全、操作系統安全、數據備份安全等都是網絡系統建設的常見安全問題。而常規性的運用防火墻以及其他防病毒操作都無法有效的保證信息化平臺的安全性,容易引發數據泄露、損壞與丟失,進而干擾了醫院正常工作運轉,甚至也對患者個人信息構成泄露,急需要通過更強的防護技術來做保障。對于部分醫院而言,會簡單的認為設置一定安全防火墻就可以保障系統的安全性,甚至認為不需要其他安全防護來做安全保障,這主要是安全防護工作中缺乏與時俱進的先進意識,認識誤區較為明顯。而防火墻只是防護手段中的一種,能夠防御性的安全問題較為局限,對網絡內部與旁路攻擊都無法達到理想的防護效果,同時針對內容攻擊的問題也無法處理。部分設備中只是對攻擊行為進行警告,但是并不具備攻擊行為的防控能力。在數據庫升級中,可以到數據庫做用戶操作登錄記錄,可以達到操作源IP地址的定位,但是缺乏無法阻止其做惡性操作,例如對數據信息做惡意的竊取與篡改,甚至無法認定操作人員最終責任,因為賬戶登錄只需要賬戶與密碼就可以進行,但是這種登錄操作任何掌握信息的人都可以進行,無法達到全面的管控。此外,安全防護措施工作量大,操作復雜。在做IP與MAC地址綁定中,需要管理人員針對每臺交換機做操作,對綁定信息做逐條的輸入,工作負荷相對更大,操作缺乏高效便捷性。其次,如果有人懂得相關網絡基礎技術,可以輕易的做到IP與MAC地址的變更,從而引發綁定操作失效。此外,醫院主機裝備了殺毒軟件,然而由于數量較多,不能有效的對每個主機做殺毒軟件的統一性管控,對于病毒庫的更新以及軟件的開啟等情況都無法做有效確定,相應的系統補丁也不能及時有效更新,進而導致安全防護效果不能確定。雖然醫院投入大量的財力與人力做好安全防護措施處理,但是實際上缺乏可執行性,同時由于各設備間缺乏關聯性,從而對于實際效果無法做有效評估與管控,安全防護措施與手段的運用則流于形式。
1.2人為因素
醫院信息化建設更多的操作需要人為進行,因此人為因素是網絡安全管理的重要因素。醫院沒有將網絡安全明確到人,缺乏責任制管理,無論是安全管理人員還是普通工作人員,缺乏足夠的安全管理意識。沒有形成規范合理的信息系統建設制度規范,導致實際操作無章可循。沒有強效的安全檢查與監督機制,同時也沒有專業的第三方機構做安全性介入管理。相關工作人員缺乏專業資質認定,對于網絡安全沒有展開合宜的宣傳教育,同時也缺乏對應工作與行為考核,導致工作人員缺乏應有的安全責任觀念。因為工作人員缺乏安全意識與專業的安全能力,會出現將個人電腦接入醫院內部網絡,從而導致病毒攜帶入網,導致相關信息化系統運行故障。或則將醫療業務網絡電腦與互聯網、外網連通,導致相關網絡中的病毒、木馬程序進入到醫院的內部網絡,導致網絡病毒蔓延。工作人員會因為有職務的便利性,會訪問醫院有關數據庫,從而得到數據資料的竊取與篡改,進而導致相關經濟損失。同時黑客會通過技術手段接入到醫院內部網絡中,進行直接性的網絡攻擊,醫院與醫保網絡系統處于連通數據驗證操作所需,如果被攻擊則容易導致嚴重后果。
2醫院信息化建設中的網絡安全防護
2.1完善管理制度
醫院網絡運行保持安全性效果的基礎在于完善健全的制度管理,可以通過對醫院實際情況的了解,設置針對性安全管理操作制度、監督制度、用人制度、激勵制度等多種內容。確保所有有關工作的開展有章可循,提升操作的標準性、可執行性。要不斷的強化制度的權威性,讓工作人員對此保持謹慎態度,避免安全疏忽。
2.2安全管理細節措施
醫院網絡管理需要多方面的細節措施來保證。例如為了保證服務器能夠可靠穩定的持續工作,需要運用雙機容錯與雙機熱備對應方案,對于關鍵性設備需要運用UPS來達到對主備機系統的有效供電,確保供電電壓持續穩定供應,同時避免突發事件。網絡架構方面,需要將主干網絡鏈路采用冗余模式,這樣如果出現部分線路故障,其余的冗余線路可以有效繼續支持整個網絡的運轉。需要運用物理隔離處理來對相關信息數據傳輸設備保持一定的安全防護,避免其他非專業人員或者惡意破壞人員對設備進行破壞,需要做好業務內網與外網連通的隔離,避免網絡混合后導致的攻擊影響或者信息泄露。對于醫院內部的信息內容,需要做好數據與系統信息的備份容災體系構建,這樣可以有效的在機房失火或者系統運行受到破壞時快速的恢復系統運行。要展開網絡系統的權限設置,避免違規越權操作導致系統信息數據的修改有著竊取,要做好數據庫審計日志,對于相關數據做動態性的跟蹤觀察與預警。
2.3技術手段升級
在網絡安全防護措施上需要保持多樣化與多層次的防護管理,積極主動的尋找管理漏洞,有效及時的修補管理不足。對網絡設備做好殺毒軟件的有效管控,建立內外網間的防火墻,限制網絡訪問權限,做好網絡攻擊預警與防護處理。對于網絡系統各操作做有效記錄跟蹤,最安全漏洞做到及時發現并修復。要投入足夠人力與財力,優化工作人員技術水平,從而有效的保證技術手段的專業完善性。
結束語
醫院信息化建設中網絡安全需要醫院所有人員的配合,提升安全意識,規范安全管理制度與行為,確保網絡安全的有序進行。
參考文獻
[1]李騫.醫院信息化建設中的網絡安全與防護措施探析[J].網絡安全技術與應用,2015(9):43,45.
[2]雷震宇.醫院信息化建設中網絡安全維護討論[J].信息通信,2016(6):153-153,154.
第9篇:網絡安全防控體系范文
【關鍵詞】防火墻技術 計算機安全 構建 策略
隨著網絡信息技術的不斷發展,計算機網絡已廣泛應用于現代生產生活之中。但在開放的互聯網環境之下,網絡信息安全問題日益成為制約網絡信息技術發展,影響計算機網絡有效應用的重要因素。從實際來看,計算機系統設計缺陷、應用軟件漏洞、計算機病毒、人為惡意攻擊等,都是當前計算機面臨的主要安全威脅。如何在快速發展的互聯網時代,構建完備的安全防御體系,既是計算機自身安全的內部需求,也是強化計算機發展的重要舉措。特別是多樣化的外部威脅源,對計算機的網絡信息安全構成了極大地安全隱患,惡意攻擊行為的發生、計算機病毒感染,輕則造成計算機系統運行效率下降,重則重要數據丟失、被截獲,甚至出現系統癱瘓等問題。防火墻技術是當前廣泛應用與計算機安全構建中的安全技術之一,隨著防火墻技術的不斷發展與成熟,其在計算機安全構建中的作用日益凸顯。通過“防火墻+入侵檢測”的互動構建,提高了計算機安全防御系統的整體性能,也優化了防火墻的防御性能,特別是對于難響應等問題的解決,提高了防火墻的現實應用價值。
1 防火墻概述
在互聯網快速發展的當前,開放的互聯網推動力現代社會的發展,但在發展的同時也伴隨著諸多的新問題,特別是計算機網絡信息安全問題的日益嚴峻,強調構建計算機安全防護體系的必要性與緊迫性。防火墻技術是現代計算機安全構建中重要技術之一,對于網絡信息安全起到重要的作用。如圖1所示,是防火墻的防火作用的體系圖,從中可以知道,防火墻就是在本地網絡與外地網絡之間構建了防御系統,進而起到安全防護的作用。
因此,防火墻防護作用的體現,主要在于防止未經授權或不希望的通信進入被其保護的網絡。一般而言,防火墻的作用體現在以下幾點:
(1)對Internet的外部進入行為,防火墻可以進行過濾非法用戶或不安全服務,進而起到安全防護作用;
(2)在開放的互聯網環境下,存在諸多不安全站點,防火墻可以限制人們對特殊站點的訪問,進而起到安全防御作用;
(3)防火墻的監視作用也十分有效,通過對Internet的安全監視,進而確保內部網絡行為安全。
但是,從防火墻技術本身而言,其實質上是一種被動技術,難以對內部的非法訪問起到有效防護的作用。這就決定,防火墻適合用于相對獨立的網絡環境,起到網絡防護屏障的效果。一方面,防火墻作為網絡安全的屏障,對于存在的惡意攻擊、不安全服務,可以進行過濾,降低網絡安全風險;另一方面,防火墻對于一些精心選擇的應用協議可能難以防御,但就目前的網絡安全構建而言,防火墻在凈化網絡安全環境上仍具有重要的現實作用,可以同時保護網絡免受基于路由的不安全攻擊。因此,從實際而言,防火墻在諸多計算機網絡安全上,可以起到實際性的安全防護作用。
(1)實現對“脆弱服務”的有效保護;
(2)實現對系統安全訪問的切實控制;
(3)確保計算機的集中安全管理,并在保密性上進一步強化;
(4)通過對不法使用數據等的記錄與統計,強化對網絡不安全行為的監控。
2 防火墻的分類及工作原理
當前,防火墻已廣泛應用于計算機安全領域,并不同類型的防火墻,在網絡安全構建中的功能不同。強化對各類防火墻的認識,對于其在計算機網絡安全中的應用,具有十分重要的現實意義。具體而言,防火墻主要分為服務型防火墻;包過濾防火墻、復合型防火墻。
2.1 包過濾防火墻
一般而言,包過濾防火墻安置于路由器,以IP信息包作為基礎,實現對目標地址、IP源地址等進行帥選,進而在過濾中確保計算機安全。如圖2所示,是基于包過濾技術的防火墻設計。其中,網絡層是包過濾防火墻的工作點,在Intranet與Internet中,對于傳輸的IP數據包進行檢查與過濾。因此,包過濾防火墻有著顯著的優越性:
(1)具有靈活有效性。
(2)簡單易行性。
但是,包過濾防火墻由于防火墻機制的固有缺陷,存在以下幾點缺陷:
(1)對于“假冒”難以實現有效防控。
(2)只能在網絡層與傳輸層實現防御作用。
(3)對于網絡內部的攻擊威脅不能起到防御作用。因此,在基于包過濾防火墻下的計算機安全構建,在很大程度上提高了計算機的運行環境的安全性,但也存在一些不足,應針對實際的安全構建需求,進行科學合理的安全加固,確保計算機網絡安全。
2.2 服務型防火墻
一般而言,服務型防火墻主要有客戶程序段、服務器端程序等構成。具體如圖3所示,是服務型防火墻體系。服務型防火墻的中間節點與客戶端程序處于相連狀態,并且,在中間節點上,又與外部服務器進行連接也就是說,當客戶端將瀏覽器配置成使用功能時,防火墻就將客戶端瀏覽器的請求轉給互聯網;當互聯網返回響應時,服務器再把它轉給你的瀏覽器。因此,相比于過濾型防火墻,在服務型防火墻中并不存在內外網之間的直接連接,并且服務型防火墻在功能上,也提供審計、日記等服務功能。
2.3 復合型防火墻
復合型防火墻作為新一代的防火墻技術,集和了智能IP識別技術,實現了對應用、協議等的高效分組識別,也進一步強化了對應用的訪問控制。在智能IP識別技術中,實現了創新性的發展,在摒棄傳統復合型防火墻技術的同時,創新性的采用了諸多新技術,如特有快速搜索算法、零拷貝流分析等,在構建計算機安全上,日益發揮重要的作用。下圖4所示,是復合型防火墻工作原理圖。在計算機安全構建中,復合型防護墻實現了內容過濾、病毒防御的整合。常規防火墻難以對隱蔽的網絡信息安全實現有效防控,復合型防火墻體現了網絡信息安全的新思路,在網絡界面對應用層進行掃描。正如圖4所示,網絡邊界實施OSI第七層的內容掃描,實現了實時在網絡邊緣布署病毒防護、內容過濾等應用層服務措施。
因此,在計算機安全構建中,針對安全體系之需求,選擇相應的防火墻,以全方位確保計算的運行安全。當前,計算機安全因素日益多樣化,防火墻在計算機安全中的作用日益顯現,這也強調防火墻在今后的發展中,應不斷地創新,以更好地滿足計算機安全需求。
3 計算機安全問題
3.1 計算機系統設計缺陷
從Windows XP到Windows7、Windows8,再到現在的Windows10,操作系統的不斷發展,帶給了計算機快速發展的重要前提。但是,由于系統設計的缺陷也是計算機陷入安全危機的重要原因。一方面,系統補丁的不斷出現,用戶通補丁的及時下載,以確保計算機的安全性;另一方面,系統越來越完善、越來越完善,設計上的缺陷難以避免,這些缺陷的存在,是計算機安全的最大隱患之一,值得微軟、殺毒軟件商、客戶的重視。
3.2 應用軟件漏洞
計算機的普及與應用,推動了現代社會的發展,特別是各類應用軟件的研發與應用,極大地提高并豐富了計算機的用途。在計算機應用軟件的設計過程中,設計者往往會在軟件中設置“后門”,以便于設計公司“防盜版”。但是,設計中所設置的“后門”,卻極易成為病毒或黑客攻擊,進而造成計算機安全。當然,計算機應用軟件“后門”存在的同時,很多應用軟件也存在自身的安全隱患。從實際來看,計算機應用軟件的常見安全漏洞主要有以下幾個方面:
3.2.1 SQL注入
SQL注入是指,將SQL命令插入至Web表單的輸入域的查詢字符串,進而欺騙服務器執行惡意的SQL命令。如圖5所示,就是典型的惡意SQL注入,對于計算機的安全構成了較大的安全隱患,導致用戶端的信息安全。
3.2.2 緩沖區溢出
在軟件安全中,緩沖區溢出已成為重要的安全威脅。在實際當中,計算機諸多安全問題與緩沖區溢出有關。如,設計空間的轉換規則的校驗問題;局部測試空間與設計空間不足。這些問題的出現,就是因為緩沖區溢出所致,影響計算機的安全運行與操作。
3.2.3 加密弱點
加密是確保計算機安全的有效措施,也是構建安全體系的重要方法。但是由于不安全加密算法的使用;身份驗證算法有缺陷;未對加密數據進行簽名等,都在很大程度上造成了加密弱點,進而影響到計算機的網絡信息安全。
3.3 人為惡意攻擊
開放的互聯網環境之下,人為惡意攻擊成為計算機網絡的最大安全問題之一,對用戶的信息安全造成嚴重的威脅。當前,人為惡意攻擊主要分為兩種:一種是主動攻擊;另一種是被動攻擊。其中,主動攻擊是指利用各種攻擊手段,有選擇性或針對性的破壞信息的完整性,進而造成網絡信息安全問題;而被動攻擊則是在不影響網絡正常工作的前提之下,對相關機密信息進行截獲或破譯。因此,無論是主動的人為惡意攻擊,還是被動的人為惡意攻擊,都對計算機安全造成極大的安全威脅。輕者影響正常運行;重則導致系統癱瘓、數據丟失。
3.4 計算機病毒
談“毒”“色”變的網絡信息時代,病毒已成為計算機安全的重要威脅源。計算機病毒具有隱蔽性、傳播性和可存儲性,這是病毒之所有如此大破壞性的原因。首先,計算機病毒隱藏于數據文件或可持續的程序之中,強大的隱蔽性導致難以發現。一旦病毒入侵、觸發,對計算機系統安全直接構成威脅。;其次,計算機病毒主要通過程序運行、文件傳輸(復制)等方式進行傳播,可傳染性是病毒對計算機安全構成安全威脅的重要因素。從實際來看,計算機病毒運行之后,對計算機安全的危害輕則系統運行效率降低,重則出現系統癱瘓,重要文件、數據發生丟失。近年來,計算機病毒隨著信息技術的不斷發展,不斷出“新”,諸多惡性病毒基于網絡形成了較大范圍內的計算機安全問題。例如,威震一時的“熊貓燒香病毒”、“CH病毒”等,在網絡傳播之下,形成了嚴重的計算機網絡安全,造成巨大損失。
3.5 用戶安全意識淡薄
網絡時代的到來,讓計算機網絡成為現代社會生產生活的不可獲取的重要產物。目前,我國網民數量已超6億人,其中有近90%的網民遭遇過計算機安全問題,但這些網民對計算機安全問題比較忽視,在思想上缺乏安全意識。如,。據不完全統計,我國有近83%的計算機用戶有過病毒感染的經歷。其中,16%的用戶在計算機病毒的入侵下,出現全部數據遭到破壞;58%的用戶是部分數據遭到破壞。一方面,計算機病毒所造的網絡信息安全威脅是巨大的,輕則造成用戶數據出現部分丟失或損壞,重則導致系統癱瘓,直接給用戶造成致命的安全威脅;另一方面,我國廣大的計算機用戶缺乏良好的安全意識,上網行為不規范、進入非法網站等行為,都會對計算機安全造成較大影響。
3.6 拒絕服務攻擊
當前,在惡意人為進攻中,拒絕服務攻擊的網絡安全問題尤為突出。通過利用操作系統漏洞、TCP/IP漏洞,對網絡設備實施惡意攻擊,進而造成不同程度的網絡信息安全問題。一般情況之下,攻擊者通過對網絡服務系統進行惡意干擾,進而造成服務系統流程發生改變,一些無關的惡意程序被執行,以至于操作系統運行減慢,甚至出現系統癱瘓。而對于合法的用戶,被惡意程序排斥無法進入網絡服務系統。從實際來看,電子郵件炸彈等網絡安全事例,就是拒絕服務攻擊所帶來的網絡信息安全問題。
3.7 黑客入侵
黑客是網絡信息安全的重要威脅源,通過破譯密碼、放置木馬程序等方法,對網絡系統實施攻擊。近年來,黑客入侵的網絡安全事件頻發,逐步成為全球網絡信息安全的重要防范領域。特別是在金融證券、軍事等領域,黑客入侵事件尤為頻繁。當前計算機的所使用的操作系統易win7為主,但由于系統存在安全漏洞,且漏洞補丁未能及時開發。這樣一來,黑客利用系統漏洞,實施黑客入侵,對計算機用戶造成威脅。一旦計算機被黑客入侵,黑客可以對用戶的數據庫進行任意的修改、刪除,進而對用戶的網絡信息安全帶來極大的安全隱患。
4 基于計算機安全下防火墻入侵檢測
當前,防火墻技術已廣泛應用于計算機網絡信息安全的構建之中,發揮著保護層的重要作用。首先,防火墻可以有效地對外部網訪問進行限制,進而為內部網構建了保護層,確保內部網絡的安全訪問;其次,防火墻通過對網絡訪問進行統計記錄,對惡意行為或可以動作進行報警,以確保外部可疑動作及時有效地進行監視;再次,防火墻的安全體現,主要在于防范技術體系的建立。如,通過分組過濾技術、服務技術,構建計算機安全防范技術體系,為網絡信息安全構建安全可靠的網絡安全防范體系。
在計算機安全隱患日益多樣化、互聯網開放化的當前,防火墻技術的應用,一方面是計算機安全構建的內部需求,在確保計算機安全上起到重要作用;另一方面,防火墻技術不斷發展與日益完善,相對成熟的技術狀態,為防火墻技術廣泛應用于計算機安全構建,創造了良好的內外條件。因此,強化防火墻技術在計算機安全構建中的應用,特別是防火墻的入侵檢測,符合計算機安全構建的要求,也是充分發揮防火墻防御作用的集中體現。
4.1 入侵檢測
隨著計算機安全問題的日益突出,如何強化威脅入侵檢測,已成為構建計算機安全的重要基礎。實質而言,入侵檢測就是指對網絡資源、計算機上的“惡意”行為進行有效的識別,并及時響應。因此,入侵檢測一方面對來源于外部的攻擊進行有效檢測,進而確保計算機網絡安全;另一方面,對于未被授權的活動進行檢測,對可能存在的入侵行為進行防御。這就說明,入侵檢測為計算機構建了完備的安全體系,并強化了計算機防御惡意入侵的能力。
4.2 入侵檢測技術(IDS)
隨著計算機安全技術的不斷發展,入侵檢測技術作為新一代安全防范技術,已廣泛應用于計算機的安全構建之中,并取得良好的應用效果。入侵檢測系統通過對計算機系統和計算機網絡中的關鍵點的若干信息進行收集,并進行全面的分析,以便于發現是否有被攻擊或違反安全策略的惡意攻擊行為。因此,入侵檢測系統實現了檢測、記錄及報警響應于一體的動態安全防御體系,不僅能夠對外部入侵行為進行有效監測,而且對于計算機網絡內部行為進行監督,是否存在未授權活動的用戶。IDS對計算機內部的數據通訊信息進行全面的分析,而且對網絡外部的不良入侵企圖進行分辨,確保計算機系統在受到危險攻擊之前,能夠及時作出報警。當然,入侵檢測系統只是起到預防報警響應等作用,但是自身無法進行阻止和處理。IPS是用于計算機安全構建中的入侵防御系統,如表1所示,是IDS與IPS的比較分析。從中可以知道,IPS在安全構建中,其諸多性能優于IDS,特別是多重檢測機制,提高檢測性能與精準度。但是,IDS部署簡單,具有良好的適應性和可操作性。在安全構建中起到一定的響應報警,對于計算機安全防御體系十分重要。
4.3 “防火墻+入侵檢測技術”,構建安全防護體系
在計算機的安全構建中,完備的安全防御體系應具備是三個部分:一是防護;二是檢測;三是響應。從一定層面而言,任何一部分的缺失,都可能造成計算機安全防御體系的功能缺失,進而影響正常的防御能力。首先,防御體系中的三個部分,其之間的關系體現,主要在于實現基于時間的簡單關系,即P>R+D。其中,D代表檢測入侵行為所需時間;R為事件響應設施產生效力所需的時間;P為防御體系防護手段所需的支持時間。因此,從這一簡單的關系式,我們可以清楚地知道,但惡意入侵行為尚未突破計算機的安全防御系統,入侵檢測系統已發現這一惡意行為,進而及時報警效應。也就是說,對于計算機安全防御體系,雖然難以實現百分百的安全防御,但是快速有效的檢測響應機制,是確保計算機安全的重要前提,在接受到報警響應之后,防火墻的防護作用發揮重要作用。“防火墻+入侵檢測技術”的防御體系構建,對于提高安全防御能力,具有十分重要的現實意義。兩者結合實現的有效互動,一方面實現了更加完備的安全防御體系,在很大程度上解決了傳統計算機網絡信息安全技術單一的不足;另一方面,解決了防火墻防御難響應的現實問題,進而提高了防火墻在計算機安全構建中的應用價值,滿足計算機的安全需求。
總而言之,“防火墻+入侵檢測”的互動結合,實現了防火墻通過IDS發現策略之外的惡意攻擊行為,并且對源于外部的網絡攻擊進行有效阻斷。正如圖6所示的互動邏輯,互動關系的建立極大地提高了防火墻的整體防護性能,進一步滿足了當前計算機安全構建的現實需求。
4.4 “防火墻+入侵檢測”的接口互動方式
從實際而言,“防火墻+入侵檢測”的接口互動方式主要有兩種:
(1)將入侵檢測技術嵌入防火墻之中,實現兩者緊密結合。在這種互動方式之下,流經防火墻的數據源進入入侵檢測系統,而非數據包。這就說明,所有需要通過的數據包,一方面要接受防火墻的驗證,另一方面也要判斷其是否具有攻擊性,進而確保防御體系性能的充分發揮。
(2)兩者的互動通過開發接口實現。也就是說,入侵檢測系統或防火墻開放一個接口,用于另一方的接入。這種互動方式,需要雙方按照固定的協議進行通信,進而完成網絡安全事件的傳輸。相比而言,第二種接入方式的靈活性更大,且在很大程度上不會對防火墻的防護性能造成影響。
5 結語
總而言之,構建安全的網絡信息環境,是網絡信息技術發展的必然要求,也是網絡信息技術更好服務社會發展的重要基礎。在網絡信息安全的防范中,一方面要構建安全防范體系,對計算機病毒等實施有效的攔截;另一方面,逐步完善防火墻與其他技術的整合,進一步強化防火墻的防御性能。當前,計算機安全問題突出,在很大程度上影響了計算機的發展,同時也影響了其在日常生產生活中的應用價值。因此,在實現安全構建的過程中,一方面充分認識到當前計算機安全所面臨的主要安全問題,特別是對于計算機病毒、人為惡意攻擊等安全問題,直接影響了計算機的安全運行。防火墻技術在近年的發展中,技術不斷完備與成熟,
在計算機安全構建中的作用日益凸顯,通過“防火墻+入侵檢測”的互動結合,一方面提高了安全構建中的安全防御能力;另一方面也改善了防火墻的防御性能,強化了其在計算機安全構建中的應用價值。
參考文獻
[1]張曉雙.淺析計算機網絡安全的主要隱患及管理措施[J].電子制作,2015(03).
[2]盛洪.分析就死算計網絡通信安全問題與防范策略探究[J].電子測試,2015(05).
[3]劉濤.淺析計算機網絡安全技術[J].電子制作,2015(05).
[4]鄭偉.基于防火墻的網絡安全技術的研究[D].吉林大學,2012.
[5]林國慶.淺析計算機網絡安全與防火墻技術[J].恩施職業技術學院學報,2010(07).
[6]易前旭.網絡安全中的防火墻使用技術[J].電子技術與軟件工程,2014(08).
[7]王蕾.企業計算機網絡的安全管理探討[J].中國新技術新產品,2014(12).
[8]賴月芳.LINUX環境下的防火墻網絡安全設計與實現[D].華南理工大學,2013.
[9]溫愛華.計算機網絡安全與防火墻技術[J].產業與科技論壇,2011(10).
[10]沈國平.試析計算機安全與防火墻技術[J].黑龍江科技信息,2012(05).
[11]Wan.perp.The application of firewall technology in campus network security [J].information and computer,2011 (01).
[12]z-lfreid.The system configuration and the selection of computer firewall to implement the technology [J]. value engineering,2011(03).
[13]Li Chunlin.Research and application of database technology [J]. information technology,2010(04).
[14]major.Internet firewall technology development of [J].microcomputer world,2008(12).
[15]Lin Guoqing.Analysis of computer network security and firewall technology [J].Journal of Enshi Technical College,2010(07).
作者簡介
郭志強(1971-),男,廣東省廣州市番禺區人。碩士學位。現為廣州市番禺區教育裝備中心教師(中學一級)。
