網絡安全的意義精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全的意義主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全的意義范文
(1)忽視權限攻擊。互聯網的連接方式多樣,其物理連接方式往往為攻擊者所利用。攻擊者可能通過連接計算機電纜的方式,順利地侵入目標計算機,成為其超級用戶并利用其root身份運行相關系統程序,實現遠程控制。攻擊者往往對其所控制的計算機進行程序修改,發動權限攻擊。
(2)忽視系統漏洞。硬件、軟件、協議實施過程和系統安全方面存在的漏洞被統稱為系統漏洞,可能被攻擊者所利用,發動未授權訪問或者破壞系統。TCP/IP為最基本的網絡配置,雖然其效率極高,但是網絡安全性較差。但是如果過分地考慮安全性又會造成效率的下降。因此,這種網絡配置也造成了網絡安全的不穩定性,容易使計算機受到欺騙和被監聽。
(3)電子郵箱管理不善。電子郵件具有公開性,這一點可以為攻擊者所利用。攻擊者常常發送郵件至被攻擊者的電子郵箱中,令對方接收垃圾郵件。攻擊者通過分析口令密碼,對原文進行解讀。這一點很容易做到,因為郵件采用的加密方式較為簡單。
(4)忽視對病毒的查殺。計算機病毒是一種能夠自我復制并侵入和破壞計算機的功能和數據的一組代碼和指令。病毒的隱蔽性、傳播性和潛伏性造成了其不易被發現的特點,因而對于網絡安全的破壞性更大。
(5)網絡管理不完善。網絡的正常運行離不開管理人員的精心維護,如果維護不善很容易造成計算機設備的損壞,造成網絡安全方面的問題。這些人為因素是完全可以避免的,這需要網絡計算機管理人員具備應有的責任心和職業素養。
2網絡安全維護過程中出現的問題的解決對策
(1)訪問權限的控制。對于第一訪問控制,即入網訪問,其控制的主要內容有登陸服務器、獲取網絡資源、控制用戶入網時間以及入網設備等。網絡權限的設置主要是針對非法網絡操作,是一種保護服務器安全的措施。在這個過程中要特別注意控制目錄級別的安全以及網絡端口等,防止其被攻擊者所利用。
(2)及時修補系統漏洞。系統漏洞是計算機系統無法避免的,我們的管理人員所能夠做到的就是及時地在殺毒軟件的幫助下進行修復。可以根據實際情況安裝相應的防火墻,從而阻斷端口的外部訪問,阻斷入侵途徑。
(3)對重要網絡資源進行備份,進行恢復設置。備份工作在維護網絡安全方面有著極其重要的作用,因為它能夠防止信息的不可恢復性丟失。當然,備份系統應該做到多層次和立體式,首先對硬件設施進行防護,防止其損壞;其次,利用相關軟件,結合手工修復的方式恢復系統數據和文件。只有建立多層級的防護措施才能夠有效地防止信息的丟失,杜絕邏輯損壞。
(4)殺滅病毒。從范圍的大小考慮,可以將殺滅病毒的方式分為兩種,即單個計算機上病毒的查殺和整個網絡系統的病毒查殺。單個計算機上病毒的查殺比較簡單,但是整個網絡系統的病毒查殺是相當復雜和困難的。對于比較大的網絡,應該進行集體和集中的病毒查殺工作,做到完全覆蓋、不留死角。
(5)完善網絡管理。這是維護網絡安全的核心問題,因此必須制定出完善的網絡安全管理制度,加強管理人員的培訓,提高其責任心。
3結語
第2篇:網絡安全的意義范文
【關鍵詞】3G移動通信系統;網絡安全;防范措施
隨著第三代移動通信(3G)網絡技術的發展,移動終端功能的增強和移動業務應用內容的豐富,各種無線應用將極大地豐富人們的日常工作和生活,也將為國家信息化戰略提供強大的技術支撐,網絡安全問題就顯得更加重要。
1.3G 移動通信系統及網絡安全相關概述
3G移動通信系統即第三代移動通信技術,3G是英文the thirdgeneration的縮寫。移動通信技術發展至今歷經三次技術變革。3G的概念于1986年由國際電聯正式提出,是將無線通信與互聯網等新興多媒體整合的新一代通信系統[1]。3G系統不僅滿足了用戶基本的通話需求,對于非語音業務如圖像、視頻交互,電子商務等,3G系統同樣提供了優質業務的服務。
3G移動通信系統由于與互聯網等多媒體通信結合,原本封閉的網絡逐漸開放,一方面可以節省投資,另一方面便于業務升級,提供良好的服務。但與此同時3G移動通信系統的安全面臨一定挑戰。
構建3G系統的安全原則概括來說可做如下表述:建立在2G系統基礎之上的3G系統要充分吸收構建2G系統的經驗教訓,對2G系統中可行有效的安全方法要繼續使用,針對他的問題應加以修補,要全面保護3G系統,并且提供全部服務,包括新興業務服務。3G系統需要達到的安全目標:保護用戶及相關信息;保護相關網絡的信息安全;明確加密算法;明確安全標準,便于大范圍用戶的之間的應用;確保安全系統可被升級,應對可能出現的新服務等。
2.影響3G移動通信系統網絡安全的主要因素
3G移動通信系統的主要安全威脅來自網絡協議和系統的弱點,攻擊者可以利用網絡協議和系統的弱點非授權訪問、非授權處理敏感數據、干擾或濫用網絡服務,對用戶和網絡資源造成損失。
按照攻擊的物理位置,對移動通信系統的安全威脅可分為對無線鏈路的威脅、對服務網絡的威脅和對移動終端的威脅,其威脅方式主要有以下幾種。(1)竊聽:在無線鏈路或服務網內竊聽用戶數據、信令數據及控制數據;(2)偽裝:偽裝成網絡單元截取用戶數據、信令數據及控制數據,偽終端欺騙網絡獲取服務;(3)流量分析:主動或被動流量分析以獲取信息的時間、速率、長度、來源及目的地;(4)破壞數據完整性:修改、插入、重放、刪除用戶數據或信令數據以破壞數據完整性;(5)拒絕服務:在物理上或協議上干擾用戶數據、信令數據及控制數據在無線鏈路上的正確傳輸實現拒絕服務攻擊;(6)否認:用戶否認業務費用、業務數據來源及發送或接收到的其他用戶數據,網絡單元否認提供網絡服務;(7)非授權訪問服務: 用戶濫用權限獲取對非授權服務的訪問,服務網濫用權限獲取對非授權服務的訪問;(8)資源耗盡:通過使網絡服務過載耗盡網絡資源,使合法用戶無法訪問。當然,隨著移動通信網絡規模的不斷發展和網絡新業務的應用,還會有新的攻擊類型出現。
3.3G 移動通信系統網絡存在的安全問題
由于傳播方式以及傳輸信息的影響,移動通信系統網絡所面臨的安全威脅更加嚴重,移動通信系統為保證數據信息的有效傳播,無線電訊號需要在傳播過程中進行多角度、多方向傳播,并且傳播必須具有強大的穿透力,和有線網絡相比,其信息遭受破壞的因素會更多。3G用戶的通信信息安全面臨更多的威脅,由于 3G網絡提供了許多新的服務,業務范圍不斷增加,3G移動通信系統用戶可以登入互聯網,通過手機終端共享網絡資源,所以,來自網絡的安全威脅也影響著3G 移動通信系統網絡用戶的通信信息安全。
相比2G系統,3G移動通信系統更易受到網絡安全的威脅。因為3G系統相比之前的 2G系統數據資源量巨大,并且網絡信息也比較多,有些信息涉及到金錢利益等方面,因此,不法分子以及黑客就會尋找機會,導致網絡安全受到威脅。另外,3G 移動通信系統的網絡開放程度比較高,所以,也給黑客的攻擊創造了許多的方便條件,還有,如果3G網絡軟件設置有缺陷,也可能導致3G系統產生漏洞,給3G 網絡帶來不安全因素,造成潛在安全威脅。
4.3G 移動通信系統的網絡安全防范對策
4.1 3G移動通信系統網絡安全的技術
接入網安全的實現由智能卡USIM卡保證,它在物理和邏輯上均屬獨立個體。未來各種不同媒體間的安全、無縫接入將是研究開發的重點。3G核心網正逐步向IP網過渡,新的安全問題也將涌現,互聯網上較成熟安全技術同時也可應用于3G移動通信網絡的安全防范。傳輸層的安全因為互聯網的接入受到更為廣泛的重視,其防范技術主要采用公鑰加密算法,同時具有類似基于智能卡的設備。應用層安全主要是指運營商為用戶提供語音與非語音服務時的安全保護機制。代碼安全,在3G系統中可針對不同情況利用標準化工具包定制相應的代碼,雖有安全機制的考慮,但是不法分子可以偽裝代碼對移動終端進行破壞,可通過建立信任域節點來保證代碼應用的安全。
4.2 3G 移動通信系統的安全體系結構
3G系統安全體系結構中定義了三個不同層面上的五組安全特性,三個層面由高到低分別是:應用層、歸屬層/服務層和傳輸層;五組安全特性包括網絡接入安全、網絡域安全、用戶域安全、應用域安全、安全特性的可視性及可配置能力。網絡接入安全是指3G網絡系統中的對無線網絡的保護。其功能包括用戶認證、網絡認證、用戶身份識別、機密性算法、對移動設備的認證、保護數據完整性、有效性等。網絡域安全是指運營商間數據傳輸的安全性,其包括三個安全層次:密鑰建立、密鑰分配、通信安全。用戶域安全主要指接入移動臺的安全特性,具體包括兩個層次:用戶與USIM卡、USIM卡與終端。保證它們之間的正確認證以及信息傳輸鏈路的保護。應用域安全是指用戶在操作相關應用程序時,與運營商之間的數據交換的安全性。USIM卡提供了添加新的應用程序的功能,所以要確保網絡向USIM卡傳輸信息的安全。安全特性的可視性及可配置能力是指允許用戶了解所應用的服務的安全性,以及自行設置的安全系數的功能。
4.3 3G移動通信系統網絡安全的防范措施
首先,個人用戶應加強安全意識,對于不明信息的接收要慎重;確保無線傳輸的對象是確定的安全對象;瀏覽、下載網絡資源注意其安全性;安裝殺毒軟件等。其次,企業用戶大力宣傳3G系統相關的安全知識,建立完善的管理及監管制度。最后,電信運營商要從用戶、信息傳輸過程及終端等各個方面保證自身及用戶接入網絡的安全性。手機等移動終端已滲入日常生活的各個方面,3G移動通信系統的網絡的安全性影響更加深遠,也將面臨更多的挑戰。
5.結語
3G系統的安全以第2代移動通信系統中的安全技術為基礎,保留了在系統中被證明是必要和強大的安全功能,并且對系統中的安全弱點做了很大的改進,同時也考慮了安全的擴展性。網絡安全問題是系統的一個重要問題,只有保證所提供業務的安全性,才能獲得成功。系統的安全要提供新的安全措施來保證其所提供新業務的安全。
【參考文獻】
[1]曾勇,舒燕梅.3G給信息安全帶來前景[J].信息安全與通信保密,2009,21(4):45-47.
第3篇:網絡安全的意義范文
關鍵詞: 下一代網絡; NGN; 網絡安全; 應對措施
中圖分類號: TP393.08 文獻標識碼: A 文章編號:1009-8631(2010)06-0154-02
一、前言
隨著我國信息產業的迅猛發展,信息技術已經逐漸成為主導中國國民經濟和社會發展的重要因素。當今,世界各國都在積極應對信息化的挑戰和機遇,信息化、網絡化、數字化正在全球范圍內形成一場新的技術、產業和革命。大力發展信息化,其中一個重要的問題就是信息安全問題,它不僅僅是一個IT網絡安全的問題,從大的方面來說,信息安全問題直接關系到國家安全。
互聯網的高速發展推動了整個社會進入信息時代的進程,同時也改變了人們的生活方式。但是我們可以看到,由于第一代互聯網在設計之初并沒有充分考慮到信息安全問題,使得各種病毒、木馬、間諜軟件、黑客攻擊在網絡中層出不窮,整個網絡世界疲于應付,已經成為困擾互聯網用戶的首要問題;同時,由于安全問題給用戶帶來的不信任感和不安全感,基于IP技術的電子商務的發展也受到了極大的限制。
下一代網絡(NGN)是一個建立在IP技術基礎上的新型公共電信網絡,能夠容納各種形式的信息,在統一的管理平臺下,實現音頻、視頻、數據信號的傳輸和管理,提供各種寬帶應用和傳統電信業務,是一個真正實現寬帶窄帶一體化、有線無線一體化、有源無源一體化、傳輸接入一體化的綜合業務網絡。
二、下一代網絡的構成
與傳統的PSTN網絡不同,NGN以在統一的網絡架構上解決各種綜合業務的靈活提供能力為出發點,提供諸如業務邏輯、業務的接入和傳送手段、業務的資源提供能力和業務的認證管理等服務。為此,在NGN中,以執行各種業務邏輯的軟交換(Softswitch)設備為核心進行網絡的構架建設。除此之外,業務邏輯可在應用服務器(AS)上統一完成,并可向用戶提供開放的業務應用編程接口(API)。而對于媒體流的傳送和接入層面,NGN將通過各種接入手段將接入的業務流集中到統一的分組網絡平臺上傳送。
分組化的、開放的、分層的網絡架構體系是下一代網絡的顯著特征。業界基本上按業務層、控制層、傳送層、接入層四層劃分,各層之間通過標準的開放接口互連。
業務層:一個開放、綜合的業務接入平臺,在電信網絡環境中,智能地接入各種業務,提供各種增值服務,而在多媒體網絡環境中,也需要相應的業務生成和維護環境。
控制層:主要指網絡為完成端到端的數據傳輸進行的路由判決和數據轉發的功能,它是網絡的交換核心,目的是在傳輸層基礎上構建端到端的通信過程,軟交換(Softswitch)將是下一代網絡的核心,體現了NGN的網絡融合思想。
傳送層:面向用戶端支持透明的TDM線路的接入,在網絡核心提供大帶寬的數據傳輸能力,并替代傳統的配線架,構建靈活和可重用的長途傳輸網絡,一般為基于DWDM技術的全光網。
接入層:在用戶端支持多種業務的接入,提供各種寬窄帶、移動或固定用戶接入。
三、NGN的安全隱患
NGN網絡是一個復雜的系統,無論是網絡硬件開發、協議設計、還是網絡應用軟件開發,都不可避免地會存在有不完善的地方,對于NGN系統來說,其安全隱患表現在以下幾個方面:
(一)物理設備層面的隱患
1. 設備故障
NGN網絡上的設備均是常年不間斷地運行,難免會出現硬件故障,這些故障可能會造成數據的丟失、通信的中斷,從而對用戶服務造成損害。如果是某些核心的設備出現故障,則有可能導致整個網絡的癱瘓。
2. 電磁輻射
我們知道,電子設備都具有電磁輻射,一方面電磁的泄露讓竊聽者在一定距離內使用先進的接收設備,可以盜取到正在傳送的信息和數據,從而嚴重威脅用戶的隱私;另一方面,電磁輻射可以破壞另外一些設備中的通信數據。
3. 線路竊聽
在無線通訊中,信號是在空中傳播,無法采用物理的方式保護,這就使得攻擊者可以使用一些設備對通訊數據進行竊聽;在有線通訊中,攻擊者可以通過物理直接搭線的方式竊聽相關信息。
4. 天災人禍
這類災害包括火災、水災、盜竊等等,一旦發生,其造成的后果都是毀滅性的,且不可彌補。
(二)操作系統層面的隱患
操作系統是網絡應用的軟件基礎,負責掌控硬件的運行與應用軟件的調度,其重要程度不言而喻。目前網絡上應用比較普遍的操作系統有Linux、Unix、Windows、以及嵌入式Vxworks等。沒有任何一種操作系統是完全安全的,正如Windows操作系統存在的大量安全漏洞造成了目前互聯網安全問題的現狀一樣,操作系統的隱患也將使得網絡系統本身存在極大的安全隱患。
針對操作系統存在的隱患,黑客的攻擊手法主要是使用一些現有的黑客工具或自己編制一些程序進行攻擊,比如口令攻擊。口令攻擊的目的是為了盜取密碼,由于用戶設置密碼過于簡單或者容易破解,如FTP服務器密碼、數據庫管理密碼、系統超級用戶密碼等,黑客利用一些智能軟件通過簡單的猜測就能破解這些口令,從而使用戶失去安全保障。
(三)應用軟件層面的隱患
應用軟件在使用過程中,往往被用戶有意或無意刪除,造成其完整性受到破壞。此外,不同應用軟件之間也可能出現相互沖突。有些應用軟件,在安裝時存在文件互相覆蓋或改寫,從而引起一些不安全的因素。
(四)數據庫層面的安全隱患
數據庫是存放數據的軟件系統,其安全隱患主要有:
1. 數據的安全
數據庫中存放著大量的數據,這些數據可供擁有一定職責和權利的用戶共享,但是,很難嚴格限制用戶只得到一些他們必需的和他們權利相當的數據,通常用戶可能獲得更多的權限和數據。由于數據庫被多人或多個系統共享,如何保證數據庫的正確性和完整性也是問題。
2. 數據庫系統被非法用戶侵入
數據庫本身存在著潛在的各種漏洞,致使一些非法用戶利用這些漏洞侵入數據庫系統,造成用戶數據泄漏。比如SQL Server數據庫系統加密的口令一直都非常脆弱。
3. 數據加密不安全性
由于現在不存在絕對不可破解的加密技術,各種加密手段均有一定的不安全性。
(五)協議層面的安全隱患
協議的安全隱患主要體現在網絡中互相通信的協議本身存在安全方面的不健全,以及協議實現中存在的漏洞問題。協議在本質上也是一種軟件系統,因此在設計上不可避免地會存在一些失誤。比如:互聯網的基礎協議TCP/IP的設計就是僅僅建立在研究和試驗的基礎上,沒有考慮到安全性。黑客可以通過專用軟件工具對網絡掃描以掌握有用的信息,探測出網絡的缺口,從而進行攻擊。另外,IP地址也可以人為地用軟件設置,造成虛假IP地址,從而無法保證來源的真實性。
在NGN系統中,包含多種多樣的協議,主要的協議包括H.248、SIP、MGCP、H.323、BICC、SigTran等,正是這些協議促成了各種網絡的互通。但同時,每種協議也都存在著一些使網絡服務中斷的隱患。
四、NGN面對的安全威脅
目前,大部分的NGN網絡都是基于IP進行通信的,因此,根據IP協議層次的不同,NGN安全威脅可以分為來自底層協議的攻擊和來自高層協議的攻擊。
(一)底層協議攻擊
底層協議攻擊主要是指第一層到第四層的網絡攻擊,比如,針對TCP、UDP或SCTP協議的攻擊。來自底層協議的攻擊是非常普遍的,對于網絡中的大量設備會產生相同的影響,所以,對這些攻擊的防范是與整個網絡密切相關的,且與上面運行什么協議無關。
(二)高層協議攻擊
高層協議攻擊主要是針對NGN協議的攻擊,比如SIP、H.323、MEGACO、COPS等協議。由于來自高層協議的攻擊一般都是針對特定目標協議的,因此一般的防護方法是:或針對特定的協議,或使用安全的隧道機制。
(三)NGN中存在的其他攻擊
1. 拒絕服務(DOS)攻擊
拒絕服務攻擊的目的是讓正常用戶無法使用某種服務。比如,讓系統設備無法工作或者是讓系統的資源不足。這種攻擊采用的方法有很多,比如發送大量的數據包給特定的系統或設備,讓設備無法接收正常的數據包,或使系統忙于處理這些無用的數據包;或者利用系統的弱點入侵,讓系統無法正常工作或開機。另外還有:發送大量的偽造請求給某個設備;TCP數據洪流,即發送大量的帶有不同TCP標記的數據包,比較常用的有SYN、ACK或RST的TCP數據包;ICMP洪流,即發送大量的ICMP請求/回應(ping洪流)數據包給特定IP地址的網絡設備;發送大量的大數據包的Ping數據流給特定IP地址的網絡設備;UDP洪流,即發送大量的數據包給特定IP地址的設備;呼叫建立洪流,即在使用SIP協議時,發送大量的INVITE/BYTE呼叫建立請求等數據包給特定的設備,或者發送大量的其他協議的呼叫建立請求;非法的通信結束請求,使得正常用戶的呼叫中斷;注冊洪流,即發送大量的注冊請求給一個特定的設備,使得正常的用戶注冊服務無法進行等等。
2. 偷聽
這類攻擊的目的主要是想非法獲取一些信息或者資源,比如機密的數據。
偷聽攻擊的種類主要有:偷聽通信的數據內容;偷聽網絡設備的ID(用于網絡設備間通信前的身份驗證);使用特定的消息比如OPTIONS或Audit請求,獲取SIP/服務器、網關以及軟交換的信息等。
3. 偽裝
入侵者使用偷聽的信息來偽裝一個合法的請求,比如,他可以先截取用戶名和密碼,然后修改其信息,非法訪問某個網絡或者設備。在合法用戶和某個設備建立連接以后,入侵者還可以使用偽裝的方法使用這種現成的連接進行其他類型的攻擊,比如拒絕服務攻擊。除此之外,還有通過MAC地址和IP地址的偽裝攻擊。
4. 修改信息
修改信息的入侵者經過某種特定的操作,使數據被破壞或者變成毫無用處。一般來說,這種修改是其他攻擊的開始,比如拒絕服務攻擊、偽裝或者欺詐攻擊。被修改的信息可以有很多個方面,比如,用戶的通信內容、終端ID、網絡設備ID、呼叫建立信息、路由信息、用戶驗證信息、服務驗證信息、網絡設備的驗證信息以及用戶注冊時的交互信息等,都可能被修改。
5. 提高NGN安全的應對措施
要避免NGN未來可能遭遇的安全威脅,應全面著手,做好幾個方面的工作。
首先,安全是相對的,不是絕對的,安全威脅永遠存在。安全不是一種穩定的狀態,永遠不能認為采用了怎樣的安全措施就能實現安全狀態。付出金錢、管理代價可以增強安全性,但是無論付出多少代價也不能實現永遠、絕對安全。
其次,安全是一個不穩定的狀態,隨著新技術的出現以及時間的推移,原本相對安全的措施和技術也會變得相對不安全。
再者,安全技術和管理措施是有針對性、有范圍的,通常只對已知或所假想的安全威脅有效,安全技術和安全管理措施不能對未知或未預想的安全威脅生效。
安全應作為基礎研究,需要長期的努力。NGN安全研究范圍設計廣泛,涉及法律法規、技術標準、管理措施、網絡規劃、網絡設計、設備可靠性、業務特性、商業模式、纜線埋放、加密強度、加密算法、有害信息定義等大量領域。因此安全研究不是一蹴而就的,需要長期的努力。安全投入本身不能產生直接效益,只能防止和減少因不安全因素而造成的損失。此外通信安全越來越重要,不但影響公眾生活,還直接影響國家利益和國家安全。因此安全研究應當作為基礎研究,應由國家和運營商共同進行。
安全要付出代價,安全要求應當適度。NGN安全是所有人所希望的,但不是所有人都意識到為達到一定的安全標準,通常要付出相當大的代價。為安全付出的代價可能是人力、物力、財力,也可能是降低效率。當為機密性付出的代價大于因泄密可能受到的損失時,安全存在的意義并不大。在日常通話中能保證機密性當然理想,但是如需要增加幾倍的通話費用來增強機密性時,相信大多數用戶都將無法接受。
安全隱患有大有小,有輕重緩急之分。當前NGN上存在大量安全隱患,例如光纖、電纜可能遭破壞或竊聽,網絡設備可能被攻擊,用戶通信可能被非法竊聽,網絡業務可能被惡意濫用,網絡服務可能被分布式拒絕攻擊,網絡協議可能存在漏洞,加密算法可能強度不夠,基礎設施過于集中等。對于眾多的安全隱患,應當視可能造成的危害以及需要付出的成本,按順序加以解決。一般來說可能大面積影響網絡業務提供的安全隱患應當優先解決,對于不影響業務正常開展,或者只影響少量用戶之類的安全隱患則可以延后解決。
安全不僅是技術問題,更重要的是管理。絕大多數安全隱患可以通過技術手段解決,但是安全更重要的是管理方面。當前技術條件下任何安全技術都是需要人參與的:再先進的安全技術也無法防范管理人員的惡意破壞;口令采用再復雜的加密算法也會因為采用“生日”作為密碼而被竊取;最安全的防火墻也可能因為管理人員配置疏忽而失效。完善的管理機制能在最大程度上減少管理人員有意或無意增加安全隱患的行為,但也是以日志和審計作后盾的,以降低效率作代價的。
網絡安全不僅僅是定性的,應當定量評估。長期以來,通信網絡主要提供話音服務,對話音自身的信息安全以及內容是否合法并不關心,因此主要以業務可用性以及設備可靠性體現網絡安全。隨著技術的進步以及新業務的涌現,主要是由于互聯網的出現,網絡安全有了新的含義。此外,通信網絡還支撐著國家重要安全設施的正常運行,因此網絡安全有必要定量評估。通信網絡只有定量評估,才能劃分安全等級。不同的網絡應用應當有最低安全等級要求。例如電子政務、電子商務、個人通信、商務通信所要求的NGN應當有不同的網絡安全要求,這樣才能提供個性化服務。因此NGN安全應當定量評估,通信應當滿足最低安全等級要求。
信息安全是一個涉及面很廣的問題,要想確保安全,必須同時從法規政策、管理、技術這三個層次上采取有效措施。高層的安全功能為低層的安全功能提供保護,忽略任何一個方面、任何一個層次上的安全措施都不可能提供真正的全方位安全。
第4篇:網絡安全的意義范文
下一代防火墻(NGFW)可以全面應對應用層威脅,通過深度過濾網絡流量中的用戶、應用和內容,并借助全新的高性能并行處理引擎,為用戶提供有效的網絡一體化安全防護,幫助用戶安全地開展業務并簡化用戶的網絡安全架構。當前我國自主的主流防火墻產品有華為NGFW、深信服NGAF、網神防火墻等,在政企、教育、銀行、醫療、科研等行業和領域承接著防護網絡及數據安全的重任,下面對下一代防火墻在網絡安全防護中的應用做深入分析。
1下一代防火墻的比較優勢
下一代防火墻除去傳統防火墻具有的包過濾、網絡地址轉換、狀態檢測和VPN技術等以外,還具有很多彌補傳統防火墻缺陷的技術優勢。一是多模塊功能的集成聯動,如入侵防御系統(IPS)、病毒檢測系統、VPN、網絡應用防護系統(WAF)等,改變了傳統防護設備疊加部署、串糖葫蘆式的部署模式,節約成本、消除網絡瓶頸和單點故障,數據包單次解析多核并行處理提高檢測速度,多模塊聯動提高響應速度,日志整合提高檢測效率。二是網絡二至七層的全棧檢測能力,克服傳統防火墻包過濾基于IP和端口檢測的局限性,可以具體應用為粒度設置過濾及安全策略,輔助用戶管理應用。三是數據包深度檢測,通過對數據包進行深層次的協議解碼、內容解析、模式匹配等操作,實現對數據包內容的完全解析,查找相對應的內容安全策略進行匹配。下一代防火墻通過HTTPS的功能,實現對SSL加密的數據進行解密分析,可以檢測郵件中的非法信息。四是可視化配置界面,結合先進的技術和理念,設備配置可視簡化,功能完善,使技術人員精力從復雜的配置命令中解放出來,更多關注配置規則的現實意義。通過可視化報表不僅能夠全面呈現用戶和業務的安全現狀,還能幫助用戶快速定位安全問題。
2下一代防火墻設備的選配
下一代防火墻功能強大,成本也相對較高,一些廠商按功能模塊收費,因此在選配防火墻設備時需要考慮性價比。一是要了解使用方的網絡拓撲結構、核心服務、主干網絡帶寬利用率峰值、網絡中安全設備部署現狀和終端用戶網絡使用體驗,挖掘出網絡建設安全需求和亟須解決的問題。二是根據客戶安全需求,選擇對應的防護功能,進而選用功能適配的防火墻設備,在采購防火墻設備的同時需開通對應的功能權限,比如網絡序列號、IPSecVPN分支機構、SSLVPN移動用戶數,WEB防護、網關殺毒、IPS、應用控制、流量控制、各類特征庫升級序號等。三是根據功能需求選擇相應的設備部署方式,接入方式不同,實現的防護功能也有差異,防火墻支持網關模式、網橋模式、混合模式、旁接模式和雙機接入等。四是根據防火墻接入干線的流量來確定防火墻的性能指標,核心指標有接口數量及帶寬、整機吞吐量、應用層吞吐量、每秒最大連接數和并發連接數、設備存儲空間、關鍵部件冗余等,可能制約網絡應用和用戶體驗。
3下一代防火墻對網絡連通性的影響
防火墻網絡連通配置比較復雜,有的部署模式可能改變原網絡結構,影響原網絡的連通性。一是影響網絡結構。在網關模式和混合模式中,下一代防火墻可替代現有出口路由器,部署在網絡出口配置路由功能。在網橋模式中下一代防火墻具有二層網絡交換機的功能,部署在核心路由器與核心交換機中間。旁接模式中,下一代防火墻通常接入核心交換機,同時將核心交換機的流量鏡像至防火墻,因為實際流量不經過防火墻,防火墻不能實現數據的實時檢測和阻斷,通常在使用監測和審計時采用這種部署方式。兩臺防火墻可支持雙主模式或主備模式,部署在雙核心網絡中,實現防火墻設備的設備冗余和線路冗余[1]。二是對網絡分區管理。按照網絡系統安全等級保護2.0的要求,網絡要分區管理,實現這一功能的主要設備就是防火墻。除了旁接模式外,使用其他三種模式部署時,均可將原網絡分隔成三個區域,即可信區域、DMZ區域和不可信區域,便于分區管理和配置防護策略。內網屬于可信區域,對外服務的服務器部署在DMZ區域,直接連接外網的出口網絡屬于不可信區域,僅對內提供服務的服務器劃入可信區域[2]。三是網絡技術運用。下一代防火墻在網絡出口處支持多線路接入,包括ADSL線路的PPPoE接入,可同時接入多條運營商線路,并根據需要實現網絡出口的多種模式的負載均衡,充分利用出口帶寬,實現出口線路冗余。設備支持網絡接口配置成交換口和路由口,支持常用路由協議配置,支持IPV6。使用IPSecVPN技術建立總部與分支網絡間的VPN線路,建立總部與分支專線的虛擬備份鏈路。SSLVPN則可使出差人員異地方便接入內部網絡、資源和服務等,保障移動安全辦公需要。四是防火墻連通性配置。首先配置連通網絡。網橋模式下,先使用既有網絡設備連通網絡,再在路由器與核心交換機中間加裝防火墻。網關模式下,先配置相應的防火墻接口參數,再連通網絡。網絡連通后添加相應的包過濾規則或全通規則,測試防火墻內外網數據是否可達。其次,配置路由參數。選擇網絡通用的路由協議配置相應的路由參數。最后測試私有網絡與公網的連通性。因運營商網絡上不私網網段,私網訪問公網時需配置NAT規則,公網訪問私網時配置端口映射或IP映射規則,添加映射規則后,還須添加相應的包過濾規則才能生效。
4下一代防火墻安全策略配置
下一代防火墻通常配置的安全策略包括漏洞攻擊策略、Web應用防護策略、僵尸網絡策略、內容安全策略、應用控制策略、連接數控制策略、DoS/DDoS防護策略、流量管理策略、用戶認證策略和認證選項等。安全策略制定時需注意以下事項:一是安全策略的可讀性設置。為保證防火墻規則的可讀性,在為各類資源、服務、應用、規則命名時要有明顯區分,體現其分類、功能和用途,有利于安全策略的可視化配置和策略解讀。防止大型網絡配置規則過多后,因命名混亂而制造后期管理和維護難度。資源命名時以分組或類命名,在策略中調用分組,后期維護中方便添加和刪除單個資源。二是安全策略的細粒度配置。安全策略源目地址、出入網口和源目端口與實際對應。下一代防火墻可以對區域、IP分組及用戶、應用或服務、時間及生效狀態等進行細粒度配置,進行個性化設置,也可以針對某個具體應用進行細節化配置,如允許用戶通過HTTPS訪問互聯網,但是禁止通過HTTPS下載數據;允許用戶使用QQ,但是禁止用戶通過QQ接收文件。三是調整安全策略執行順序。防火墻的安全策略通常按順序執行,遇到滿足條件的策略直接放行數據包,而不檢查后續策略的適用性,因此策略順序在防火墻功能發揮中的作用尤為重要。在配置規則時需將地址范圍小、用戶數量少、服務端口少等局部生效的安全策略序號調整至同類策略列表的前列優先執行。四是多方式的用戶認證策略。防火墻實現精確管控首先要確定用戶身份,通過用戶認證策略可以確定單位內部每一個用戶,即某個IP地址上某個時刻是哪個用戶在使用的信息,對上網用戶的身份進行認證,從而實現基于用戶的上網行為管理。通常支持本地用戶名密碼登錄、借助其他身份認證系統的單點登錄、跨交換機和網段的IP-MAC地址綁定建立用戶和IP對應關系,鎖定上網用戶身份,實現用戶無感知地上網。5下一代防火墻對數據的全程防護下一代防火墻具有風險感知、多設備多模塊聯動防御、數據深度檢測、日志分析可視化等功能,通過技術手段的融合,在網絡威脅下全程對數據進行防護,包括事前的網絡安全風險檢測、事中的多手段聯動防御、事后的快速響應,并將防護信息通過多種形式以可視化的方式呈現給用戶。一是事前網絡安全風險感知。安全威脅發生前,防火墻通過流經流量的IP地址檢測及端口檢測快速識別內部的服務器,檢測服務器上開放端口、存在的漏洞和弱密碼等風險;利用豐富的掃描插件對WEB服務器進行掃描,識別網站類型,提供漏洞分析和修復建議,通過流量檢測、策略對比、版本檢測等多個維度檢測服務器對應的安全策略是否存在和生效。二是事中多設備多模塊聯動防御。下一代防火墻在防御層面融合了多種安全技術,防火墻內部傳統防火墻、網關殺毒、IPS、WAF等模塊聯動防御,對網絡數據進行L2-7層的安全防護,同時與其他安全設備聯動取得更好的防護效果。下一代防火墻與終端檢測響應平動,持續檢測發現、快速響應處置,形成多層次立體化的威脅防御體系,彌補防火墻對內部發起和內部用戶之間的網絡攻擊無法檢測的缺陷[3]。下一代防火墻與云安全平動,借助廠家強大的技術支持、威脅云端檢測、快速響應和全網威脅情報分享等,對抗高級威脅和未知威脅,為客戶保駕護航。三是事后快速響應。下一代防火墻在黑客入侵之后,能夠幫助客戶及時發現入侵后的惡意行為,如檢測僵尸主機發起的惡意攻擊行為,網頁篡改,網站黑鏈植入及網站后門檢測等,并快速推送警告事件,協助用戶進行響應處置。通過數據中心分析可發現被攻擊的主機數量和被攻擊的嚴重等級,利用策略動作自動執行、專用工具和云端聯動等方式快速響應。
第5篇:網絡安全的意義范文
【關鍵詞】計算機網絡 安全防護 網絡安全 系統漏洞
計算機網絡的建設使得世界各地的聯系更加頻繁和緊密,極大地促進了人類文明的發展。但與此同時,計算機網絡安全問題也有愈演愈烈之勢,給社會造成了巨大的經濟損失。因此,加強計算機網絡建設的安全對策研究具有重要的現實意義。
1 計算機網絡安全的定義
計算機網絡由一定數量的計算機以及與之相連的外部設備構成,處于該網絡中的計算機設備分別位于不同的地理位置,各自擁有獨立功能,并且通過通信線路彼此連接,能夠在網絡系統及軟件的協助下完成信息的交互與數據的共享。受制于計算機網絡自身的架構特點,其中的傳輸線路、硬件設備以及操作軟件都可能成為不法分子攻擊和破壞的對象,從而對計算機網絡的安全運行造成影響。計算機網絡安全則是指網絡中的信息流動、數據存儲等不受自然或人為因素的干擾,不發生數據信息的篡改或泄露,從而保障信息的完整性、保密性和真實性。
2 計算機網絡建設面臨的安全問題
2.1 病毒入侵
計算機病毒是出于各種不當目的而編寫的代碼或程序,其具有傳染力強、破壞力大的特點,且由于計算機病毒一般沒有特定的傳染對象,因此其影響范圍十分廣泛。計算機病毒通常會破壞電腦的軟件系統,竊取或刪改其中的文件和信息,給計算機用戶帶來巨大困擾和損失。還有極少部分病毒能夠對硬件部分造成影響,導致設備故障或損毀。
2.2 黑客威脅
黑客可通過各種軟硬件漏洞非法潛入計算機系統,并竊取、損壞其中的數據資料,其行為具有隱蔽性和破壞性。在當前的社會環境下,只要黑客行為沒有造成太大損失,一般不會定性為犯罪,這也間接導致了黑客行為的肆虐。近年來頻頻發生的個人信息泄露事件就大多是網絡黑客所為。
2.3 硬件落伍
普通用戶對計算機硬件一般沒有太高要求,但對于一些企業或政府重要部門來說,硬件配置直接決定了計算機能否順利更新并運行最新的軟件及程序,進而影響其安全性能。同時,受惡劣場地條件、電磁干擾、自然老化等因素的影響,計算機設備可能出現各種各樣的缺陷,給黑客留下可乘之機,使之能夠借助遠程監控硬件設備來入侵電腦。
2.4 系統漏洞
系統漏洞是無法避免的存在,只能通過更新補丁等方式盡量減少漏洞數量,消除漏洞影響。系統漏洞是黑客攻擊的重要入口,許多信息的泄露和數據的篡改都是通過漏洞來完成的,它就如同黑客的后門,只要利用其中的一個漏洞就可以隨時潛入,并進行大量的非法操作,給計算機網絡安全造成重大威脅。
3 計算機網絡建設的安全對策
3.1 訪問控制
訪問控制能夠避免信息數據被非法訪問或竊取,其主要有以下三種方式:
3.1.1 屬性安全控制
這種方法通常和網絡設備、服務器文件與目錄,以及所制定的屬性聯系起來,能夠充分保證訪客的安全。
3.1.2 防火墻控制
防火墻是系統的通信門檻,控制著進、出兩個方向的數據通信,可以阻止黑客的非法訪問,常用的防火墻有過濾型、型、雙穴主機型三種。
3.1.3 入網訪問控制
其通過控制服務器登錄用戶的入網時間、資源權限等,將非法訪問拒之門外。
3.2 升級硬件
升級硬件是計算機網絡安全的重要保障,升級硬件設備能夠全面提高計算機運行能力,確保其順利完成操作系統或軟件的更新,提高安全防護性能。同時,升級硬件可以消除老硬件中的漏洞,如Inter CPU被曝存在緩存機制漏洞,黑客可在系統管理模式(SMM)中安裝rootkit來發起攻擊,而最新的處理器已對這一問題進行了修復。此外,如今硬件的功能越來越多元化,一些新硬件采用了最新的安全設計,在接入方面的安全性有了大幅提升。
3.3 軟件補丁
對于計算機軟件系統要及時進行更新,打上最新的補丁,從而消除已發現的系統漏洞,必要時應定期進行自檢,并結合實際情況設置加密程序,從而保障軟件系統的安全性。在關注軟件系統安全的同時,也應該外接一定的安全控件,為計算機網絡設置雙層保險。
3.4 加強備份
任何防護措施都有其自身的局限性,雖然計算機軟件系統本身擁有比較完善的信息數據保護能力,但一些物理性的損毀卻很難完全避免,比如硬件受潮、進水、火災、高溫老化等,都很可能導致信息資料丟失。因此,必須定期對計算機網絡中的數據資料進行備份,這樣即便發生信息的意外丟失,也能通過備份數據給予恢復。
3.5 服務器防護
首先,要完善服務器管理使用規章,比如要求網絡服務器的管理人員必須依據相應的規章制度來規范操作和維護服務器;強化服務器機房管理,嚴禁閑雜人員進出機房,避免非法授權操作。其次,使用相應的安全技術,比如采用基于角色的權限管理方案,為服務器操作系統增加安全設置等。再次,提高服務器基礎防護措施,比如選用安全隱患較少的NTFS格式,或者將服務器重要數據所在磁盤轉變為NTFS格式;購買正版、專業的網絡監測軟件,對外部網絡進行密切監控,準確辨別非法入侵。最后,對于不必要公開的服務器IP地址予以隱藏,只公開Web服務器或郵件服務器等IP地址,同時屏蔽不必要的通訊端口,以減少服務器受攻擊的幾率。
4 結論
計算機網絡安全防護水平的高低直接關乎計算機網絡建設的最終成效,因此必須加強計算機網絡建設的安全防護。針對目前計算機網絡建設存在的安全問題,可通過訪問控制、升級硬件、軟件補丁、加強備份、服務器防護等方式進行安全防護,從而提高計算機網絡安全水平,保證計算機網絡信息的安全性、保密性、真實性。
參考文獻
[1]黃磊,鄭偉杰,陶金.分析計算機信息管理技術在網絡安全中的運用[J].黑龍江科技信息,2015(24).
[2]張穎,曹天人.如何加強計算機網絡數據庫的安全性[J].科學咨詢,2015(27).
[3]魏巍巍,陳悅.計算機信息網絡安全現狀與防范對策探索[J].產業與科技論壇,2015(14).
第6篇:網絡安全的意義范文
關鍵詞:校園一卡通 網絡 安全 對策
中圖分類號:TP393 文獻標識碼:A 文章編號:1672-3791(2014)03(c)-0038-01
現今社會正處于數字化時期,且隨著信息技術的發展,一卡通網絡逐漸被應用于行政事業單位、金融企業、保險行業以及學校等人口較為密集的區域。當前,學校中一卡通網絡的應用主要體現在:學籍管理、教學管理、食堂消費管理、圖書管理、考勤管理、宿舍管理、門禁管理以及校園通訊等系統中;其形式主要存在于學生卡、借記卡、飯卡、上網卡、出入證、宿舍房卡以及報名登記卡等方面。這樣一來,不僅能夠給使用者提供便利,而且還能節約資源。但其網絡安全問題不容忽視,因此,分析校園一卡通網絡安全問題,加強對其的防范顯得尤為重要。
1 校園一卡通網絡中易出現的安全問題
校園一卡通網絡的應用,不僅給學生的學習和生活帶來極大的便利,而且還能提升學校建設、管理方面的質量。但是,校園一卡通網絡仍存在一些安全問題,具體體現在以下幾個方面。
(1)極易受計算機的病毒影響:計算機未安裝殺毒軟件或殺毒軟件更新不及時,一旦連通網絡極易被病毒侵入,致使一條線路上的一卡通網絡遭病毒入侵。
(2)系統本身存在漏洞:校園一卡通網絡的穩定性及安全性較好,但將自身系統中存在的漏洞全部排除仍比較困難,這就給非法入侵的用戶提供了可能。
(3)濫用網絡資源現象較為嚴重:校園一卡通網絡面對的用戶不同,由于設計、管理等方面存在缺陷,知識校園網用戶濫用網絡資源現象較為嚴重。
(4)網絡的攻擊、入侵:未安裝反病毒軟件、病毒數據庫更新不及時、計算機存在漏洞等情況下極易受外部網絡的攻擊和入侵。此外,校園一卡通網絡用戶過多,學生素質水平高低不一,少部分學生利用非法軟件惡意攻擊、破壞存在缺陷、漏洞的計算機,致使校園一卡通網絡被破壞[1]。
(5)校園網絡管理不足:校園網絡管理中存在一定的不足和缺陷,這在一定程度上導致了校園網絡一卡通安全問題的產生,如,網絡管理的人員業務素質較低、更換管理人員的頻率過高,管理人員分工不明確等都有可能致使網絡安全問題的出現。
2 提升校園一卡通網絡安全的對策
2.1 加強對計算機病毒的防范
隨著信息技術的不斷發展,計算機網絡病毒的種類也逐漸增多,加強對計算機病毒的防范,需做到以下幾個方面:首先,需提升網絡管理人員的專業素質;提高網絡管理人員的素質,使其能夠積極投入到工作中;同時,還需做好系統的安全工作,確保網絡更好的為用戶服用;其次,及時升級防毒軟件和數據庫;定期升級防毒軟件,能有效防護校園一卡通網絡的安全,并避免數據被非法入侵者破壞,降低修復的成本[2]。
2.2 及時修補影響系統安全的漏洞
網絡管理人員應利用系統自動修補漏洞的軟件或反病毒軟件等,對影響系統安全的漏洞進行修補,這樣不僅能夠保證用戶的合法權益,而且還能夠為用戶提供更好的服務。
2.3 身份認證和識別技術的開發和利用
身份認證是防護校園一卡通網絡資產最為重要的關口,因此,加大對用戶身份認證和識別技術的開發和利用,保障用戶身份合法化、網絡服務規范化起著至關重要的作用。身份認證不僅能夠確保用戶擁有一個安全的通網絡體系,而且還能進一步強化用戶安全防范的意識和觀念,進而確保網絡的運行更為安全、可靠。
2.4 加大網絡監控的力度
確保校園一卡通網絡使用的安全,就必須加大對其網絡監控的力度。校園一卡通遍布全校各個角落,健全且合理的網絡監控能夠對非法入侵者起到約束性的作用。同時,還應做好相關的安全隔離,這樣一來,合法用戶使用權限的同時,還能夠抑制非法入侵者的登錄,為校園一卡通網絡安全提供了屏障。此外,還應對數據進行備份,以便修復被非法入侵者惡意破壞的數據級系統,盡可能的將損傷降至最低[3]。
2.5 建立健全安全管理體系
建立健全的校園一卡通網絡安全管理體系,不僅能夠保障用戶的合法權益,而且還能夠震懾非法入侵者,進而確保網絡的安全。健全且行之有效的安全管理體系,需加強合法用戶防范意識,使其的操作更加規范化、法制化,進而提升合法用戶網絡的使用率,減少安全隱患的發生。
3 結語
校園一卡通的廣泛應用,進一步加快了校園數字化建設的腳步。同時,對于降低學校建設及管理等方面的投入成本,彌補對學生管理方面的缺陷具有重要意義。此外,還能有效剔除重復的管理程序,提升學校管理的質量,促進學校的長久、健康的發展。
第7篇:網絡安全的意義范文
關鍵詞:全球化;網絡安全;新思維;鏡鑒;下一步
中圖分類號: TP309 文獻標識碼: A 文章編號: 1673-1069(2016)15-151-2
1 概述
現如今以網絡技術和信息技術為依托的各種智能化、自動化系統逐步深入發展,網絡安全作為我國國家安全體系中重要的組成部分變得日益重要。現階段,網絡安全已成為全球化性問題,世界各國都將其上升到國家戰略層面,并且深刻認識、科學合理的規劃與管理。世界各國都從各自國家的戰略利益出發,運用網絡安全新思維、新技術加強了網絡安全建設。我國也應在中央網絡安全和信息化領導小組的總體架構下深刻認識、理解網絡安全的最新國際發展趨勢,深化體制機制建設,構建具有中國特色的網絡安全戰略框架。本文首先分析了英國網絡安全和信息化領導機制建設的相關經驗,之后提出了強化我國網絡安全的必要途徑,旨在為提高我國網絡安全水平提供一些建議和思路。
1.1 國家網絡安全戰略
近年來,英國不斷制定國家層面的信息安全戰略規劃,連續了兩份國家網絡安全戰略,分別是09年的《英國網絡安全戰略》報告與11年的《英國網絡安全戰略:在數字世界里保護英國并促進國家發展》。英國的網絡安全戰略將網絡安全作為新的經濟增長點,關注于維護本國網絡安全、加強本國網絡安全產業競爭力、創造新的商業機遇,從而促進經濟增長和經濟繁榮。它堅持技術為本,立足于網絡安全技術的發展和更新;強調政府間的跨部門協作和國際合作;注重發動社會的力量,鼓勵全民參與;堅持積極防御和主動出擊相結合。
1.2 網絡安全管理機構的設置
網絡安全管理體制是貫徹執行網絡安全戰略的基礎保障,英國政府也在這方面進行了不斷的調整,并將其演化為實現英國國家戰略目標的嶄新武器。英國政府并未設置全國統一的機構來維護網絡安全,而是加強統籌協作,明確各部門、各崗位的職責分工與權限。在互聯網管理上,英國還運用了本國固有的自由主義,其輕政府管制、重社會自治。因此,在維護網絡安全方面,應將設置的政府職能部門與自律組織、獨立的規制機構有效結合,共同管理本國的網絡安全,實現最佳的管理目標。
1.3 立法保障和行業自律
一直以來,英國出臺了很多互聯網及相關領域的立法,并且也在不斷完善和發展網絡自治自律機制,立法保障和行業自律是英國實施網絡管理的兩種主要手段,并輔之以政府指導。最初互聯網立法的重點是保護關鍵性信息基礎設施,隨著互聯網的不斷發展,逐漸開始強調網絡信息的安全,加強對網絡犯罪的打擊。同時,行業自律機制在控制和監管網絡非法信息方面發揮著重要的作用。英國的網絡監管擁有比較完善的法律框架以及完善的法律法規基礎,這為保障英國的網絡信息安全以及權益提供了必要的支撐。
2 英國網絡安全戰略經驗對我國網絡安全和信息化的啟示及建議
2.1 構建符合我國國情的網絡安全戰略
現如今,我國建立了網絡安全和信息化領導小組,但其重要地位和價值沒有得到充分的體現,尤其是網絡安全戰略思維的重要性。因此,必須結合我國現階段的具體國情、國家治理體系、現代化的治理能力以及現代化的軍事理論等關鍵環節,全面、系統、有側重點的構建具有中國特色的網絡安全戰略。首先要將相關的關鍵概念發展起來,在此條件下明確我國網絡安全戰略框架的構成要素、各要素的地位與作用以及相關關系,確立網絡安全戰略框架的具體任務和項目。
2.2 不斷完善相應的法律法規體系
現在我國的信息立法存在滯后性,不符合信息化建設的需求,極大的限制了我國社會經濟的發展與穩定。網絡管理必須有強大的法律法規體系做后盾,提升網絡安全管理水平。因此我國應重視信息立法建設,不斷完善相應的法律法規體系,可以借鑒國外較為成功的信息立法經驗,強化前瞻性信息立法,滿足網絡安全維護與我國信息化發展的需求,加大依法管理網絡的力度。
2.3 重構互聯網管理領導體制
當前我國建立的網絡安全和信息化領導小組,雖然統籌協調了網絡安全與信息化建設,但其下設機構的合理布局仍有待研究。“領導小組”機制主要是發揮統籌協調各職能部門的作用,“領導小組”辦公室也就是網信辦是其日常辦事機構,作為輔助領導小組制定并統籌實施國家網絡安全與信息化戰略機構應保持獨立性,處理好同網絡安全與信息化的具體業務領域的監管部門的關系,例如,負責實施“兩化融合”戰略的工業和信息化部等,并且與國務院互聯網信息管理辦公室分離。另外,還要賦予網信辦規劃落實信息化戰略、規劃管理國家網絡建設、系統開發關鍵技術、系統采購核心設備的宏觀指導以及國家網絡安全評估與審查等職能,真正發揮“領導小組”統籌協調的價值和作用。
2.4 協調組織政府各方資源
網絡安全和信息化建設涉及領域和內容都較為廣泛,是一項復雜、龐大的任務,因此必須協調全國各個機構及全民的參與,共同維護國家的網絡安全。在此過程中“領導小組”要充分發揮其集中統一領導作用,針對各領域的網絡安全和信息化建設存在的重大問題,統籌協調解決。另外,還要加強互聯網國際交流與合作,積極參與國際交流,擴大信息基礎設施發展和研發信息技術與設備方面的國際合作,積極參與信息安全國際標準的制定,切實提供我國的網絡安全水平。
2.5 積極推進信息基礎設施的建設與維護 各國網絡安全戰略的高效實施都離不開信息基礎設施的建設與維護,因此,我國應高度重視關鍵信息基礎設施的建設與維護工作,并將其上升到國家戰略高度,在此基礎上制定和實施網絡政策。首先要準確掌握和了解現階段我國信息化發展和網絡安全維護的實際情況,尤其是要深化對關鍵信息基礎設施、黨政軍重要業務系統的統計調查,加快建立國家網絡安全評估與審查機制。
2.6 創新研發關鍵技術與設備
過分依賴國外的技術支持,會導致本國的信息化建設和網絡安全維護失去本質上的意義,因此我國應增強自主創新能力,研發關鍵技術與設備,為維護網絡安全和信息化建設提供保障。國家政府要大力支持國內信息安全技術和產品的研發工作,創造有利條件促進國內市場的發展。另外,還可以借助高等院校中計算機和數學基礎,鼓勵自主創新,制定信息領域的核心技術設備發展戰略,促進我國IT產業和網絡安全產業的可持續發展。
2.7 強化高素質網絡安全和信息化人才隊伍的建設
除了注重建設合理、完善的管理體制以及自主創新研發技術與設備之外,人才隊伍的建設也是推進網絡安全維護和信息化建設的關鍵點,我國應利用高校及相關的科研單位與組織,加大這方面人才的培養力度,同時制定科學合理的人才培訓機制,為保障國家網絡信息安全提供有力的智力支撐。
3 結語
綜上所述,英國實施的網絡安全戰略對我國構建網絡安全和信息化建設的新型領導體制具有重要的參考價值,我國應結合我國的國情,積極借鑒其成功經驗,構建符合我國國情的網絡安全戰略,正確指導我國網絡管理;不斷完善相應的法律法規體系,為保障網絡安全提供法律保障;重構互聯網管理領導體制,協調組織政府各方資源,積極推進信息基礎設施的建設與維護,創新研發關鍵技術與設備,強化高素質網絡安全和信息化人才隊伍的建設,穩步推進我國網絡安全維護與信息化建設。
參 考 文 獻
[1] 任琳.全球公域:不均衡全球化世界中的治理與權力[J].國際安全研究,2014(6):114-128.
第8篇:網絡安全的意義范文
關鍵詞:網上交易;證券;安全;身份認證;SOA
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)25-6092-03
隨著網絡技術的發展,人們的生活發生了翻天覆地的變化,證券交易的形式也隨之發生了改變。當今社會,網絡交易已成為其最主要的交易模式。網絡交易有著方便、快捷、實時性強、無須等候等優點,然而,危及網上證券交易安全的病毒、木馬、釣魚、竊取、篡改等攻擊手段層出不窮。大部分網上證券交易用戶的防范意識不高,對于可能盜取用戶口令的攻擊手段沒有任何防范能力,嚴重影響了整個證券交易體系的安全。在交易當中,一旦網絡安全問題發生,輕則造成個人的直接經濟損失,重則對行業造成毀滅性打擊,甚至還會對整個社會秩序產生連鎖的負面影響。因此,網絡證券交易的安全性一直以來都是人們高度關注的問題。
為了保障網絡證券交易的安全,科研工作者們針對這一問題展開了大量研究,獲得了卓有成效的進展。迄今為止,在密碼保護、身份認證、日志審計等各個方面都已形成了成熟的技術和標準;同時,也能夠見到一些安全保障系統范例,例如:遼寧證券網上交易系統[1]、基于PKI技術的網上證券信息系統[2]、興安證券網上交易系統[3]等等。然而,我們綜合比較這些解決方案后發現:這些系統或多或少都存在一些不足。這些系統或者只針對網絡交易安全的某一個方面使用了某一種核心技術;或者雖然涉及到了多個保護環節,但防護力度較為分散;或者系統的擴展性不強,難以根據實際需要進行更新和改進。
證券交易行業需要的是能夠保障交易安全并且具有商業價值的完善系統。針對這一需求,我們開發了這套“基于面向服務架構(SOA)的網絡證券交易安全系統”。本系統主要有以下四大優勢:在技術上,我們使用了多種先進成果相輔相成的方法,多角度全方位地保障網絡交易的各個方面;在功能上,根據保護內容的不同,將系統分為客戶防御、身份認證和日志審計三個主要部分,層次清晰合理;在性能指標上,我們的系統完全能夠滿足商業環境中大量數據并況下的時效性和穩定性;在系統構架上,我們根據面向服務構架(SOA)的要求,設計出了一套各模塊單元之間耦合度低、便于升級和維護的系統,系統中的三個主要部分都可以作為獨立的部件進行技術更新或移植到其他平臺,具有較強的實用價值和商業價值。
1 背景
1.1 網絡證券交易的安全
網絡證券交易作為一種“網絡交易”形式,它的安全問題與其他類型網絡交易相比,有許多相似性,但也具有自身鮮明的特點。總體來說,包括了以下幾個基本的安全問題[4]:
1)保證證券交易系統運行的安全,即保證證券交易系統在信息處理和傳輸時的安全。這一問題主要側重于保證系統正常穩定地運行,避免因為系統的崩潰或損壞而對系統內存貯、處理和傳輸的信息造成破壞和損失,同時要避免因故障而引起的信息泄露。
2)保證證券交易信息系統的安全。這包括用戶身份認證和授權,用戶存取權限的控制,交易行為的可追溯和抗抵抗,資金的異常阻止,二次鑒別,計算機病毒防治和數據傳輸加密等等。
3)保證證券交易內容的安全。這主要側重于保證交易信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損于合法用戶的行為,本質上是保護用戶的利益和隱私。
1.2保障網絡交易安全的對策
針對網絡證券交易安全問題,一個能夠保障安全并投入商業使用的系統,應具有保密性、正確性和完整性、身份的確定性、不可抵賴性四個基本特點。為滿足這些特點,目前系統一般采取如下幾種對策[5]:
1)安裝防火墻, 防止黑客入侵及攻擊;
2)安裝防病毒軟件;
3)采用身份認證和數字簽名支持第三方CA認證體系,確保網上委托身份識別的安全性;
4)使用128位強加密算法和數字簽名, 確保委托數據的安全, 防止數據在傳輸過程中被截獲修改;
5)網上委托站點和券商交易系統相互獨立,有明確的接口,訪問券商交易系統的接口轉換程序由券商編制,源代碼由券商保管;
6)在Internet與證券公司網絡的網關上采用并口隔離技術。并口通信使用的是專用協議, 而不是通用的TCP/IP協議,其優越性在于既能完成正常數據交換功能, 又能非常有效地隔離一切來自Internet上的對證券公司網絡的攻擊;
7)所有與委托有關的程序全部在券商的營業場所內運行,電信局方面只運行與行情有關的程序。
8)交易數據處理的可監控和防抵賴。
9)行情主站和委托主站自動互為備份,確保在系統和線路出現故障或大行情突然來臨時,不會因并發量過大而導致通道堵塞,不影響客戶的交易。
在重點分析了以上幾種對策的安全性、可行性和適用性之后,我們決定同時采用上述1、2、3、4、8方案。這些方法不僅代表了計算機網絡安全方面的先進技術,同時也適于系統的實現和投入商用;為了能使整體功能進一步強化,除上述方法之外,我們還增加了反逆向分析技術、擁有自主產權的SSL加密技術、基于數據挖掘的監控預警等多種技術手段,將系統的功能劃分為“防盜取口令”、“防非法登錄”、“預警與日志審計”三個清晰的層面,構建起可靠的“三重防護”模式;除此之外,針對用戶的習慣和操作環境特點,在保障安全級別不降低的前提下,我們將一些安全策略的選擇權交給用戶,實現了系統的靈活性,這也是我們的一大創新。
1.3 面向服務體系構架(SOA)
面向服務的體系結構(Service-Oriented Architecture,縮寫為SOA)是一個組件模型,它將應用程序的不同功能單元(稱為服務)通過這些服務之間定義良好的接口和契約聯系起來[6]。接口是采用中立的方式進行定義的,它應該獨立于實現服務的硬件平臺、操作系統和編程語言。這使得構建在各種這樣的系統中的服務可以一種統一和通用的方式進行交互。這種體系結構,與傳統的面向對象模型不同,它的各個模塊之間是松耦合的。松耦合保障了各個模塊之間的相對獨立性,模塊內部的修整對外不會造成使用的變化。
SOA具有平臺無關、低耦合、可以按模塊分別實施等特點,比較適合部件功能劃分清晰,同時需要頻繁更新的系統。對于我們所研究的證券交易安全系統來說,根據商業使用的反饋進行系統版本的升級、部件的更新是很普遍的,而且,各個部件也都可以作為獨立的標準化產品推向市場,因此,采用這種設計方式是非常合理的。
以下幾個小節將詳細地介紹我們開發的系統。其中第3小節從整體設計出發,展示了系統的整體構架;第4小節將以系統的“身份認證”模塊為例,詳細介紹了這一子平臺的特點;第5節系統測試,通過實驗數據證明我們系統的可靠性;第6小節總結了這一系統的研究意義和經驗,希望我們的工作能夠為后繼的研究者們提供一些參考價值,最后一部分是參考文獻。
4 系統測試
我們對實現后的系統進行了測試。在目前的實驗結果中,系統單臺設備平均處理能力不低于500筆/秒;單臺設備峰值處理能力不低于1500筆/秒;周邊應用客戶端認證響應延時
5 結論
網上證券交易的安全性一直是人們關注的話題,也是金融行業不可或缺的一部分。我們針對金融行業交易安全開發的這一套系統,涵蓋了網絡交易過程中最容易發生問題的各個方面,采用了多種先進反入侵技術集成、多種認證方式集成、多種系統保護機制集成的方法,功能完善;建立了合理的系統構架,模塊之間耦合度低,安全性強,便于維護和移植;投入測試之后結果良好,可投入商業使用。
科技發展日新月異,誠然,我們的系統也存在許多可以進步的地方。我們仍不斷追求著更安全、用戶使用更便捷、處理速度更快的網絡證券交易安全系統。在今后的研究工作中,我們還將不斷研究加密、認證、日志審計的核心技術,隨時進行系統的更新和完善。同時,也正如其他同行提出的,“證券業網上交易系統安全體系的建立,不是某個環節或者單一層面的問題,而是從設施、技術到管理的,整個經營運作體系的方案”,我們所做的工作,只是在保障網絡金融交易安全道路上的一小步,希望這項工作能夠為行業的發展和穩定提供一些幫助,也為其他研究者提供借鑒參考。
參考文獻:
[1] 王淑清,齊景嘉.興安證券網上交易安全方案[J].金融理論與教學,2006(1).
[2] 楊童.基于PKI技術的網上證券信息系統的安全解決方案[J].電腦知識與技術,2009(7).
[3] 王淑清,齊景嘉.興安證券網上交易安全方案[J].金融理論與數學,2006(1).
[4] 戴宗坤,羅萬伯,唐三平,等.信息系統安全[M].北京:金城出版社,2002.
[5] 姚前,陳舜,謝立.綜合安全管理監控技術在網上證券交易中的應用[J].計算機應用研究,2005,22(4).
[6] 毛新生.SOA原理?方法?實踐[M].北京:電子工業出版社,2007.
[7] 尉永青,劉培德.電子商務環境下主要的身份認證方式分析[J].商場現代化,2005(7).
第9篇:網絡安全的意義范文
【關鍵詞】無線局域網 通信安全 IEEE802.11 不安全因素
目前,全球已經普及了筆記本電腦以及3G手機的使用,無線局域網通過自身較高的靈活性以及使用方便等優點使其得到了廣泛應用。但是,因為基站之間相互發送信息的過程都處于空氣中,機密信息也就比較容易泄露。無線網絡協議802.11規定,無線網絡的安全性主要通過WEP(Wired Equivalent Privacy)實現。802.11 安全機制主要通過三部分組成,分別是認證、加密以及數據完整性。因為無線局域網通過射頻的方式進行工作,因此它自身的開放增加了確保其安全的難度,所以相比較于傳統的有線網絡,無線局域網自身的安全問題比較嚴重。
1 無線局域網中不安全因素
與有線局域網相比,無線局域網面臨的安全隱患很多,主要有以下幾種特征:
1.1 檢測難度大
在有線網絡中,必須靠近傳輸線才可以竊取信息,但是無線局域網中,而攻擊無線局域網時攻擊者能夠躲避在遠處。而且,因為這種竊取方法屬于被動攻擊,導致管理員不易察覺是否被攻擊。
1.2 大功率易干擾
整個網絡被攻擊者通過大功率干擾后可能處于癱瘓狀態,同時因為IEEE802.11b使用特定的開放頻段,也很容易受其它設備的。
1.3 容易受到插入攻擊
攻擊者不用切開電纜就能夠直接向網絡中傳輸信息。
1.4 容易受到拒絕服務攻擊
此類攻擊具有兩種方式,一是攻擊者通過發送垃圾數據將信道阻塞,二是通過對某個設備連續發送虛假請求。
1.5 偽裝接入點
無線局域網內有許多接入點AP,所以,攻擊者能夠使用較大功率站點將原接入點覆蓋,導致其它站點與之錯誤連接。
1.6 移動帶來管理難題
無線信道自身的高誤碼率限制了一部分加密算法的使用。
2 IEEE802.11標準的安全性
IEEE802.11標準可以通過兩種方法實現無線網絡的接入控制以及加密:一是系統ID認證,二是有線對等加密。
2.1 認證
站點與站點建立連接前需要進行認證,站點在執行認證時發送一個認證幀到相應站點,IEEE802.11標準詳細定義了兩種認證服務:一種是通過開放系統認證,該認證方式是802.11的默認方式。另一種是共享密鑰認證。
2.2 WEP加密技術
WEP主要提供的是無線局域網信息流的安全手段,作為對稱加密方法,其具有相同的加密與解密的密鑰和算法,其主要目標是接入控制,禁止未授權的用戶使用局域網。通過設定密碼,只能夠允許具有正確WEP密鑰的用戶來保護信息流。
3 IEEE802.11的安全缺陷
無線局域網IEEE802.11存在的安全缺陷主要有以下幾個方面:
3.1 WEP存在的缺陷
不具備完整的密鑰系統、安全機制沒有足夠的安全級別、認證系統存在缺陷、數據算法存在不足。
3.2 RC4算法存在的缺陷
RC4算法作為WEP使用的主要算法,其弱點是解密丟步會影響后續數據出錯。
3.3 認證安全存在的缺陷
開放式認證系統作為IEEE802.11默認的標準認證協議,其本質就是一種空的認證算法。而它自身的認證機制已經給予了攻擊者的入侵提供了方便。
4 無線局域網安全防范措施
無線局域網主要具有三種安全策略。大部分安全產品的供應商在裝配安全系統的時候會將三種策略進行組合。其中,策略一為認證。該策略主要包含對客戶端是否為已經授權的無線用戶進行判斷,同時也需要認證該用戶具備的權限范圍。策略二為用戶獲取認證且使用無線網絡以后可以保障會話的保密性。通常保密性可以使用加密的方式實現。而最后的策略是對信息的完整性進行校驗。
用戶需要通過使用環境的機密需要,評估正在使用的軟件。
4.1 頻繁審查
保障無線局域網的安全的第一步就是審查網絡,在內部網絡中,嚴格審查所有訪問節點,在查出欺騙的訪問節點后對它們進行約束,或者在網絡中徹底底剝離它們。
4.2 正確使用加密措施
第一步要確定適當的加密標準。因為無線局域網系統不會單一地存在,在企業環境中更是如此,因此,加密措施要與上級應用系統相互匹配,一般情況下盡可能選取密鑰位數多的密碼。
4.3 提供認證機制
加密只可以確保數據安全,但是不能夠保證信息的完整和真實,因此需要提供可以匹配的認證機制。與加密措施相同,提供的認證機制必須可以與其它系統相匹配,一般情況下用戶需要增添對無線網絡使用者的認證功能,也可以配備檢測入侵系統。
4.4 對機密性按時評估
用戶在每個季度的開始或結束時,必須對無線局域網的使用狀況進行評估,從而通過網絡的流量對網絡中的機密性進行改變,根據需要來區分網段進行數據傳輸。
5 結語
通過全文所有的分析可以看出,目前處于市場主流地位的IEEE802.11無線局域網,具有很多的缺陷和安全隱患。所以,一些新型的安全機制已經被相繼提出,從而對現存的一些安全隱患進行彌補,提高無線網絡的安全性和機密性。然而,這些新的安全機制在理論設計上還存在一部分缺陷,可能會受到新型攻擊方式的攻擊。因此,必須不斷的完善新型技術,才可以讓我們在無線網絡安全問題來臨時從容面對,從而實現無線網絡的廣泛應用。
參考文獻
[1]李勤,張浩軍,楊峰等.無線局域網安全協議的研究和實現[J].計算機應用, 2005,25(1):164-166.
[2]王茂才,戴光明,宋軍等.無線局域網的安全性研究[J].計算機應用研究,2007,12(01):158-160.
[3]廖鷹,魏進武,岳儉等.無線局域網安全性分析[J].計算機工程與應用,2003,3(35):165-168.
[4]邢新景,張朝陽,王匡. IEEE802.11的WEP算法安全性淺析[J].無線通信技術,2003,6(04):36-39.
