信息安全精品(七篇)
時間:2023-02-04 05:37:50
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇信息安全范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
篇(1)
關鍵詞:信息;信息安全; 防范策略
中圖分類號:G353.1 文獻標識碼:A 文章編號:1007-9599 (2012) 10-0000-02
21世紀信息技術飛速發展,在社會發展中信息越來越重要,國家的政府、軍事、文教等諸多領域都與信息有關。如果信息的安全時常受到威脅,則會影響到國家各部門的日常活動。因此,信息的安全與防范非常重要。本文針對信息的安全問題進行分析,并提出了相應出的安全防護策略。
一、信息安全威脅
信息已經成為社會健康發展的重要保證,然而很多信息被人為篡改,竊取,泄露。信息載體還要經受不可抗拒的自然災害的威脅。而人為的威脅是最大的威脅。
隨著0Day 漏洞的增加和第三方軟件漏洞將常被黑客利用,黑客經常用第三方軟件的漏洞進行攻擊系統。隨著無線技術的推廣和普及,黑客也針對無線進行攻擊,因此在網絡上出現很多無線的破解技術,這樣攻擊者可以輕易地攻擊網絡,這樣對用戶的安全帶來很大的威脅。為了欺騙用戶,攻擊者還制造或編寫虛假的網站,即就是釣魚網,攻擊者利用釣魚偽造電子郵件或網站點等對用戶進行“攻擊”,因此用戶的信息由此而被泄漏出去。
計算機病毒以破壞程序等為目標。病毒主要是對用戶的文件或相關程序進行破壞,對系統和用戶資料威脅非常大。很多攻擊者利用網絡的相關工具如電子郵件等添加到文件或程序,因此有些用戶打開郵件都會被感染上病毒,這樣用戶的相關資料會受到不同程度的破壞。
除此外攻擊者通過不正當入侵手段向合法網站輸入非法的數據,數據量非常大,從而多出的數據會傳入到其他領域。如果對程序執行不當,那么相關程序和系統的設置會受到限制。
二、影響信息安全因素
信息載體與周邊環境的安全會影響到信息本身的安全。信息存儲場屏蔽處理不好,磁鼓、磁帶與高輻射設備等的信號外泄。信息處理和管理設置的電源系統不穩定,則用于存儲數據的設置會受到影響,特別是臨時性的RAM存儲器的數據會丟失,信息本身就無法得到保障。除此外硬件故障,特別是存儲信息的內存、硬盤等計算機部件的故障出現影響信息存儲和處理。
人的主觀性也是威脅的主要因素,特別是信息系統的操作人員,如果其故意篡改數據或沒有按規定進行操作程序,其信息就沒有可靠性。如果系統等出現故障則不能正確保存數據,這樣數據會丟失。信息設計人員或系統設計人員以對系統設計或對數據設計考慮不全面,這樣沒辦法在處理或傳輸中保證數據的完整,因此攻擊者就可以利用系統的漏洞進行攻擊,摧毀系統的數據等。網絡信息或數據傳輸往往受到通訊設備的影響,通訊設備的安全設計不全也會造成數據的丟失或損壞。同是攻擊者可利用這些不員以假冒、身份攻擊等對系統進行非法操作或操控。
考慮周全只是對現有的條件,對將來的考慮往往沒法預設,因此新的系統出現,本身就有漏洞。而攻擊者也容易找出漏洞。大部分系統都配備的改進系統管理及服務質量的工具軟件被破壞者利用,去收集非法信息及加強攻擊力度。系統維護不正當的操作和管理的本身不足也會對信息或數據產生威脅。因此作為管理人員必須對新系統進行分析,特別是對其漏洞危險進行分析并提出相關措施。管理人員的設計和檢測能力差沒辦法設計好的系統,也就沒辦法對系統中的數據進行有效的保護,因為系統不能抵御復雜的攻擊。建立和實施嚴密的安全制度與策略是真正實現網絡安全的基礎。
三、信息安全防范策略
保證數據或信息安全可以使用技術,僅靠技術不能完全保證數據的安全,同時還需要嚴格的管理,制定相關法律,利用法律進行約束,還有對員工進行安全教育。采取恰當的防護措施也能有效保護信息的安全。
(一)從技術層面進行防護
1.數據加密。可以用加密技術對信息進行加密以保護信息,如用MD5等加密技術,這樣攻擊不能輕易看到數據,加密的作用就是讓數據隱藏,這樣更好的保護數據。MD5是一種散列函數,主要是用來保護信息的完整性。在登錄認證中MD5運動得比較多,用戶在登錄系統或平臺時的用戶名和密碼等運動MD5加密,然后將加密后的結果存在相應的數據庫。其原理就是用戶登錄后平臺或系統會被MD5加密運算。如果運算得出的值與數據庫存在的值正確則可直接進入系統。這樣避免操具有管理權限的人員知道從而保證信息的安全。為加強數據的安全性,可以對MD5進行改進,比如可以運MD5進行兩次加密改進了單次加密的不安全性。總之加密可根據情況采用對稱加密和非對稱加密,更好的保護數據。
2.數字簽名,數字簽名主要是用來簽名和驗證。其運算主要運用了HASH函數從而更好的鑒別解決偽造、抵賴、冒充和篡改等問題。簽名技術可以有效的防止抵賴,在網絡中進行商務活動,即就是開展電子商務活動等,在活動中汲及到的數據是非常重要。大部分數據是商業機密,對買賣雙方來講非常重要。如果數據被篡改,對買賣雙方會產生巨大的損失。因此采用數字簽名可有效防止攻擊者的篡改而產生抵賴,同時也可以保證數據的安全和完整。
3.用戶身份認證就是對用戶身份進行驗證。用戶訪問服務器時,必須提供合法的身份證明,這樣服務器才給與相關的操作權限。用戶要存取等操作數據必須提供有效的標記,以方便服務器驗證。可以使用加密技術、人體等器官或生理特征進行認證,大部分可以用數字簽名技術進行認證。雙方互相認證,這樣可以保證數據的真實性。
篇(2)
操作系統多樣性讓網絡犯罪者擁有更多機會
2011年將是非主流操作系統、程序與瀏覽器的漏洞遭受更多攻擊的一年,而針對應用程序漏洞的攻擊也將大幅增長。云端計算和虛擬化雖然能為企業帶來大量的投資回報且節省成本,但也將服務器置于傳統的安全邊界之外,因此反而讓網絡犯罪者擁有更大的發揮空間,同時也會加重云端服務供應商的信息安全責任。
趨勢科技公司預測2011年將出現更多針對云端基礎架構與虛擬化系統的概念驗證攻擊。此外,網絡犯罪者已發現終端桌面操作系統的同質性已被逐漸打破,因此網絡犯罪者將轉攻擁有大量同質性的云端,開始嘗試如何滲透云端。而有些比較版本較早但仍被廣泛使用的操作系統(如:Windows? 2000/Windows? XP SP2)存在諸多無法修補的漏洞。由此,針對這些漏洞的攻擊仍將持續增長。
社會工程學攻擊仍將肆虐
社會工程學仍將持續在威脅傳播方面扮演重要角色。趨勢科技公司認為,傳統網站遭到滲透的情況在2011年將會減少,取而代之的是,網絡犯罪者將發動一波又一波的惡意程序攻擊,利用精心設計的電子郵件來誘騙使用者點擊惡意鏈接,進而導致使用者感染惡意程序下載器。這些惡意程序下載器會隨機產生一些二進制惡意程序來躲避檢測,如Conficker和ZeuS-LICAT就是利用這種手法。
由于網絡上已經出現一些連菜鳥都會使用的網絡犯罪工具,因此中小企業也開始成為網絡犯罪者的攻擊目標。在2010年,隨著地下犯罪工具使用率暴增,特定類型的企業組織很容易成為黑客的目標,例如:ZeuS在2010年就專門鎖定小型企業進行攻擊。預計未來,專門鎖定知名大型企業與關鍵基礎設施的攻擊,在數量與復雜度方面都將持續攀升。此外,2011年也很可能出現更多針對信息安全廠商品牌的攻擊行為,用以制造用戶的認知混淆與不安情緒。 趨勢科技對2011年以及未來網絡威脅的預測:
經濟利益仍是一切攻擊行為的誘因,網絡犯罪不可能消失;
越來越多的惡意程序會在攻擊時盜用或使用合法的數字簽名以躲避檢測;
隨著全球對網絡犯罪認識的提升,未來將有更多地下犯罪組織合并或聯合行動;
信息安全廠商將再也無法在終端電腦上存儲威脅或病毒特征碼,因此某些廠商可能將面臨困境。為解決此問題,他們可能會刪除一些舊的特征碼來尋求解決方案,但這樣反而無法阻止舊的惡意程序發作;
篇(3)
信息安全自主可控的涵義是:信息安全領域的技術和產品,能自主的就要盡最大可能實現自主;不能自主的,必須保證它是可控可知的,即要對信息安全技術與產品的風險、隱患、漏洞、潛在問題做到“心中有底、手中有招、控制有道”。 目前,煙草行業的核心應用系統(如“一號工程”、卷煙營銷、專賣管理、財務管理系統、人力資源系統等)的軟、硬件設備幾乎全套采用了國外主流、成熟的產品技術,從整體上來說,行業信息化核心應用基礎設施的選型、配置起點較高,但從另一方面講,信息安全系統的可控性、可知性、可預防性水平較低。不可否認,國內當前的采購政策、市場環境、IT發展現狀等因素在一定程度上制約了自主知識產權的IT產品技術進入高端、核心設備的市場采購范圍,但這絕不僅僅是一個技術問題,還有更深層次的長遠戰略、規劃管理問題。
信息安全
自主可控的意義
在煙草行業大力推行信息安全自主可控,具有以下重要意義:
1. 可避免分發式安全威脅。
IT產品的整個生命周期包括研發、設計、制造、銷售、安裝、維護、升級等過程,如果有人在其中任何一個環節上植入惡意代碼、開通惡意后門、加入隱蔽指令等,都將給信息系統造成一定安全隱患,即IT產品的分發式安全威脅。非自主的IT產品存在分發式安全威脅的概率很大,這類威脅往往不易被用戶發覺,但卻可能給用戶造成重大的損失、破壞。對非自主的IT產品增強防范意識、加強控制管理、制訂風險應對措施,可以大大避免分發式安全威脅。
2. 可封堵信息安全“漏洞”。
國外的IT廠商通常不會向中國用戶提供核心技術和專利,因此國內用戶很難對設備的整體可信性、可靠性、可控性進行全面檢測,分析判斷出設備中是否存在“后門”、“陷阱”、“漏洞”、“軟件炸彈”、“隱蔽指令”等安全威脅,一旦這些“漏洞”被利用,實施攻擊、入侵、修改、惡意破壞或者竊取機密數據信息,其后果不堪設想。據公安部有關資料顯示,近年來國內大量網絡泄密案件、竊密案件、信息安全事件均與“漏洞”有關。實施信息安全系統自主可控,可以在一定程度上起到堵塞信息安全漏洞,防患于未然的效果。
3. 是行業信息化發展的長遠戰略需要。
煙草行業核心應用信息化硬件設施投資規模巨大,處于高位運行狀態,很多企業基礎網絡平臺、服務系統平臺、應用平臺、安全支撐平臺基本上被國外產品壟斷,這些非自主IT產品本身封閉性強、操作復雜、技術資料短缺,國內用戶很難定制二次研發或者組裝生產。煙草企業在高端IT產品采購上幾乎沒有可選擇的空間,對IBM、微軟、戴爾等IT巨頭的依賴程度過大,信息系統運行后每年僅硬件維修保養一項就產生高額的附加成本費用,這些都不利于煙草信息化的長遠發展。信息化的平穩健康發展需要一個廣闊、開放、成熟、多元化的產品市場空間,在允許的情況下實施信息安全自主可控可以降低信息系統設備采購、開發、運維成本,滿足行業信息化發展的長遠戰略需要。
四項措施
實踐自主可控
“自主可控”從概念上分析,首先是“自主”,而后才能達到真正“可控”,“自主”是“可控”的必要條件。自主化不能簡單地理解成國產化,目前很多產品的國產化還是停留在對國外核心技術進行組裝式開發的基礎上,由于核心技術并不掌握在自己手中,因此這只能是一種準自主化或偽自主化,仍然存在一定的不可控因素、安全隱患。要實現信息安全系統的自主可控,就必須要求信息安全產品真正自主化。從狹義上講,使用國產自主化的軟硬件產品、技術和服務,是信息安全體系自主可控的基礎;從廣義上講,自主可控應該涵蓋信息化發展的全過程,各個環節都實現自主可控,這樣才能構建完整的、自主可控的信息安全體系。具體來說,可以采取以下幾項措施:
1. 加強重視,應用系統建設與信息安全建設并重。
我們迫切需要緊跟形勢、轉變觀念、與時俱進,加強對信息安全的重視支持,應用系統建設與信息安全建設必須“兩手抓、兩手硬”,在信息化建設過程中,繼續堅持應用系統建設與信息安全建設同步規劃、同步實施、協調發展、均衡發展的原則,將信息系統安全體系建設融入到煙草信息化建設的全過程之中。
2. 加強政策引導,為信息安全設備的采購提供政策導向、標準體系。
煙草行業迫切需要在信息安全設備、產品、服務的選型上遵循以下原則:
(1)對于信息安全設備、產品、技術、服務的選型,能自主的應該自主,不能自主的必須實現可知、可控、可檢測;
(2)原則上使用國產設備,只有在無相應國產設備時方可使用已通過國家相關主管部門批準、指定、測評、鑒定、認證的國外設備,絕不使用未經國家相關主管部門測評審核通過的設備;
(3)煙草企業必須和非自主的廠商(國產、非國產)簽署明確的安全保密責任書。
3. 加強管理監控,有效治理分發式安全威脅,提高可控性。
以管理舉措為主,配合使用技術手段加強對非自主化信息安全產品的監控,有效治理、檢測、評估分發式安全威脅,提高可控性。檢測、治理分發式安全威脅的技術手段主要可分為以下幾類:
(1)對信息系統使用、運維過程中發現的漏洞要及時打好補丁,堵塞漏洞;
(2)“最小化配置”,即只啟用必需的進程、端口、服務、應用,其余的一律關閉;
(3)對信息安全產品定期做深度的安全檢測并作跟蹤記錄,不符合安全標準的產品堅決不使用,不能做到可控的產品不部署到核心關鍵應用場合;
(4)對于已經在核心系統中使用的非自主產品,按要求進行及時加固和系統升級,對系統的運行進行嚴密的監測,一旦發現異常行為應立即采取對策處置;
(5)“人本理論”,信息安全產品最終還是要為人所用,因此必須加強各級使用人員、維護人員、管理人員的教育培訓,通過實施配套嚴格的管理制度,提高信息安全防范意識,提升專業操作技能。
4. 加強自主研發,提升信息化自主研發創新能力。
篇(4)
【關鍵詞】信息安全;數據庫;網絡應用;安全體系
1信息安全現狀
1.1目前醫院信息安全存在的問題根據衛生部關于印發《衛生行業信息安全等級保護工作的指導意見》的通知,三級甲等醫院的核心業務信息系統不得低于國家安全信息保護等級三級。據此我們對信息系統的各個方面進行了安全評估,發現主要有如下的問題:
(1)物理安全:機房管理混亂問題;機房場地效用不明確;機房人員訪問控制問題;
(2)網絡設備安全:訪問控制問題;網絡設備安全漏洞;設備配置安全;
(3)系統安全:補丁問題;運行服務問題;安全策略問題;訪問控制問題;默認共享問題;防病毒情況;
(4)數據安全:數據庫補丁問題;SQL數據庫默認賬號問題;SQL數據庫弱口令問題;SQL數據庫默認配置問題;(5)網絡區域安全:醫院內網安全措施完善;醫院內網的訪問控制問題;醫院內外網互訪控制問題;
(6)安全管理:沒有建立安全管理組織;沒有制定總體的安全策略;沒有落實各個部門信息安全的責任人;缺少安全管理文檔。
1.2當前醫院信息安全存在的問題,主要表現在如下的幾個方面
(1)機房所處環境不合格,場地效用不明確,人員訪問控制不足,管理混亂。
(2)在辦公外網中,醫院建立了基本的安全體系,但是還需要進一步的完善,例如辦公外網總出口有單點故障的隱患、門戶網站有被撰改的隱患。
(3)在醫院內網中,內網與辦公外網之間沒有做訪問控制,存在蠕蟲病毒相互擴散的可能。
(4)沒有成立安全應急小組,雖然有相應的應急事件預案,但缺少安全預案的應急演練;缺少安全事件應急處理流程與規范,也沒有對安全事件的處理過程做記錄歸檔。
(5)沒有建立數據備份與恢復制度;缺少對備份的數據做恢復演練,保證備份數據的有效性和可用性,在出現數據故障的時候能夠及時的進行恢復操作。
2醫院信息安全總體規劃
2.1設計目標、依據及原則
2.1.1設計目標
信息系統是醫院日常工作的重要應用,存儲著重要的數據資源,是醫院正常運行必不可少的組成部分,所以必須從硬件設施、軟件系統、安全管理等方面,加強安全保障體系的建設,為醫院工作應用提供安全可靠的運行環境。
2.1.2設計依據
(1)《信息安全等級保護管理辦法》;
(2)《信息技術安全技術信息技術安全性評估準則》;
(3)《衛生部衛生行業信息安全等級保護工作的指導意見》;
(4)《電子計算機場地通用規范》。
2.1.3設計原則
醫院信息安全系統在整體設計過程中應遵循如下的原則:分級保護原則:以應用為主導,科學劃分網絡安全防護與業務安全保護的安全等級,并依據安全等級進行安全建設和管理,保證服務的有效性和快捷性。最小特權原則:整個系統中的任何主體和客體不應具有超出執行任務所需權力以外的權力。標準化與一致性原則:醫院信息系統是一個龐大的系統工程,其安全保障體系的設計必須遵循一系列的標準,這樣才能確保各個分系統的一致性,使整個醫院信息系統安全地互聯互通、信息共享。多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層被攻破時,其他層仍可保護系統的安全。易操作性原則:安全措施需要人去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性;其次,措施的采用不能影響系統的正常運行。適應性及靈活性原則:安全措施必須能隨著系統性能及安全需求的變化而變化,要容易適應、容易修改和升級。
2.2總體信息安全規劃方案
2.2.1基礎保障體系
建設信息安全基礎保障體系,是一項復雜的、綜合的系統工程,是堅持積極防御、綜合防范方針的具體體現。目前醫院基礎保障體系已經初具規模,但是還存在個別問題,需要進一步的完善。
2.2.2監控審計體系
監控審計體系設計的實現,能完成對醫院內網所有網上行為的監控。通過此體系監控到的數據能對醫院內部網絡的使用率、數據流量、應用提供比例、安全事件記錄、網絡設備的動作情況、網絡內人員的網上行為記錄、網絡整體風險情況等有較全面的了解。
2.2.3應急響應體系
應急響應體系的主要功能是采取足夠的主動措施解決各類安全事件。安全事件可以被許多不同的事件觸發并破壞單個系統或整個網絡的可用性,完整性、數據的保密性。引發或可能引發本地小范圍破壞的安全問題應該就地解決,以避免加重整個醫院信息網絡的安全風險。
2.2.4災難備份與恢復體系
為了保證醫院信息系統的正常運行,抵抗包括地震、火災、水災等自然災難,以及戰爭、網絡攻擊、設備系統故障和人為破壞等無法預料的突發事件造成的損害,應該建立一個災難備份與恢復體系。在這個體系里主要包括下面三個部分:政務內網線路的冗余備份、主機服務器的系統備份與恢復、數據庫系統的備份與恢復。
3結論
通過對醫院的信息安全風險評估,我們發現了大量關于物理安全、操作系統、數據庫系統、網絡設備、應用系統等等方面的漏洞。為了達到對安全風險的長期有效的管理,我們進行了具有體系性和原則性并能夠符合醫院實際需求的規劃。
參考文獻
[1]王立,史明磊.醫院信息系統的建設與維護[J].醫學信息,2007,20(3).
[2]王洪萍,程濤.醫院信息系統安全技術分析[J].醫院管理雜志,2011,18(11).
[3]尚邦治.醫院信息系統安全問題[J].醫療設備信息,2004,19(9).
篇(5)
隨著信息化的高速發展,為企業及社會帶來了顯而易見的效益:提高的工作效率、減少的紙張浪費、快捷方便的通訊等等。但信息化也是一柄"雙刃劍",尤其是在企業管理、商業保密等工作中,還存在著令人堪憂的隱患:
一是物理安全風險。物理安全風險包括計算機系統的設備、設施和信息面臨因自然災害、環境事故(如斷電)、人為物理操作失誤以及不法分子進行違法犯罪等風險。
二是數據安全風險。數據安全風險包括競爭性業務的經營和管理數據泄漏,數據被人為惡意篡改或破壞等。
三是網絡安全風險。網絡安全風險包括病毒造成網絡癱瘓與擁塞、內部或外部人為惡意破壞造成網絡設備癱瘓、來自互聯網黑客的入侵威脅等。
二、保證企業信息安全的基本對策
2.1正確認識企業信息安全問題。
企業的信息安全問題,絕不僅僅是一個僅靠防火墻、密碼等等技術就能解決的問題,它還與人們的職業道德、社會道德以及企業管理等問題密切相關。因此,在維護企業信息安全時,我們必須站在宏觀的角度對問題進行考慮。在過去看來,一個企業信息的安全問題,是領導層或者IT單個部門的事情,但是憑少數人或部門的工作,對于保障公司的信息不被泄漏,防護信息存儲不被破壞、攻擊和偷盜是很難的事。筆者認為,意識指導行動,信息安全問題首先要解決的是員工的思想認識問題,只有企業的每一個人都認識到信息安全的重要性,才能在工作中自覺地維護信息安全。因為在任何一個體系中,人都是最活躍、最具有影響力和決定意義的因素,因此對于企業的信息安全問題而言,企業內部員工才是保護信息安全的最可靠、最有效的重大保障。此外,還可以加強引進信息安全技術人才以及信息安全管理人才,并在日常工作中,加強對隊伍專業知識以及工作技能的培訓,從而為企業建設一支強有力的信息安全保衛隊伍。其次信息管理部門要全面作好專業技術支持與防范工作,根據業務的需求采取適當的保護措施,實施專業應用系統。例如,保護企業信息安全的技術可以采用主動反擊、網絡入侵陷阱、密碼、取證、防火墻、安全服務、防病毒、可信服務、PKI服務、身份識別、備份恢復、網絡隔離等等保護產品以及保護技術,通過確保信息安全的最大化,來實現企業生產經營持續發展以及經濟效益的最大化。此外,還可以在工作的過程中,進一步優化企業信息安全管理,并進行管理監控以及安全風險評估,分析入侵防范、服務器架構等等關鍵問題,以全面性、多角度的掌控,確保企業信息系統的安全性、穩定性,因為信息安全問題不具有靜態性,信息管理始終處在一個不停變動的動態性過程,因此即使我們不可能確保信息的絕對安全,也必須做到相對安全,從而最大限度的降低企業風險。
2.2建立健全信息安全管理制度。
信息安全不僅是技術問題,更主要是管理問題。任何技術措施只能起到增強信息安全防范能力的作用,俗話說“三分技術,七分管理”,只有良好的管理工作才能使保障技術措施得到充分發揮,是能否對信息網絡實施有效信息安全保障的關鍵。現在中國石油股份有限公司內控體系中涉及信息內部控制的《信息系統總體控制辦法》(以下簡稱“GCC”)就很好的涵蓋了信息安全的各個方面,包括了機房管理、服務器管理、網絡管理和系統管理等。因此在實際的工作中,我們可以通過“三步驟”來實現企業信息的安全管理制度的健全化、完善化。第一,結合企業自身的實際,分析企業存在的問題以及預期的目標,制定具有科學性、合理性、實效性、可行性的信息安全管理制度,使保護信息安全工作做到有法可依,有章可循。第二,建立信息安全管理機構,明晰信息安全管理負責人的職務和責任,并建立相應的考核機制和激勵機制,以督促、鼓勵相關負責人的工作,提高信息管理工作質量。第三,真正貫徹管理措施,加強制度的執行力度,只有這樣,才能從根本上實現管理工作以及工作目標,最終提高企業的信息安全管理水平。
三、加強企業信息安全保障的幾點措施
如何有效地解決企業信息安全的專業性管理與技術性防范,筆者認為可從以下幾個方面著手。
3.1實行嚴格的網絡管理。企業網與互聯網的物理隔離、防火墻設置以及端口限制,與互聯網相比安全性較高,但在日常運行管理中我們仍然面臨網絡鏈路維護、違規使用網絡事件等問題,具體而言:一是在IP資源管理方面,采用IP+MAC捆綁的技術手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這樣,就不會出現IP地址被盜用而不能正常使用網絡的情況;二是在網絡流量監測方面,使用網絡監測軟件查看數據、視頻、語音等各種應用的利用帶寬,防止頻繁進行大文件的傳輸,甚至發現病毒的轉移及傳播方向。三是加強服務器管理。常見應用服務器安裝的操作系統多為WindowsServer,可利用其自帶的安全管理功能進行設置,包括服務器安全審核、組策略實施、服務器的備份策略以及系統補丁更新等。
3.2加強客戶端監管。對大多數單位的網管來說,客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個問題,這里推薦以下方法:
(1)將客戶端都加入到域中,使客戶端強制性納入管理員集中管理的范圍。
(2)只給用戶以普通域用戶的身份登錄到域,這樣就可以限制他們在本地計算機上安裝有安全隱患軟件的權利。
(3)實現客戶端操作系統補丁程序的自動安裝。
(4)利用企業IT部門的工作職能,設置熱線幫助和技術支持人員,統一管理局域網內各客戶端問題。
3.3堅持進行數據備份。由于應用系統的加入,各種數據庫日趨增長,如何確保數據在發生故障或災難性事件情況下不丟失,是當前面臨的一個難題。從成本及易操作性考慮,這里推薦以下兩種數據備份方法:一種是用硬盤進行數據備份;另一種是采用本地磁盤陣列來分別實現各服務器的本地硬盤數據冗余。
篇(6)
在16天的雅典奧運會比賽中,記錄顯示有超過500萬起信息技術安全報警信息,其中嚴重警報425起、危急警報20起。而在都靈冬奧會的17天比賽期間,共統計到52,855,848起安全報警,嚴重警報達185個。
與往屆相比,2008年北京奧運會新增了很多需求,比如眾多遠距離場館的網絡聯通、參會人數的眾多等等。那么,如何保證比賽網絡的高可用性和實時性?如何保證賽事成績等機密信息不被篡改?如何保證系統設備持續運行不宕機?這一切成了各界人士關注奧運的焦點。為此記者采訪了北京2008奧運會信息安全負責人來針對這些問題做一一解答。
多層保護齊上陣
從硬件系統的服務器、工作站等網絡設備,到軟件系統如操作系統的版本、補丁、BIOS設置(軟驅、光驅、USB的控制等)、注冊表設置,比賽網的所有系統都采用標準定制和統一模式,以此保證更大程度的可控性。除非特殊需要,電腦上的軟驅、光驅和USB都是禁用的,數據僅通過FTP服務器在比賽網和管理網間進行傳輸。
軟件部分采取的措施起到了加固操作系統的作用,如: 屏蔽普通用戶安裝軟件的權限; 及時更新并統一管理全部的補丁; 關掉不需要的進程和全部熱鍵。保障安全的一個原則就是通過操作系統統一的認證平臺確保提供給用戶組最小的訪問權限,即僅授予該用戶組在能夠完成工作的前提下最小的權限。
為了保障比賽網的高可用性,所有的網絡設備(包括路由器、交換機等)、網絡鏈路(包括電信運營商的鏈路設備),甚至數據中心都是雙重備份的。這樣,一旦某個系統出現故障,就會馬上轉到另一個系統中運行,從而確保全網沒有一個地方會造成單點故障而影響整個網絡。
隔離網絡風險小
除了對系統、硬件、軟件采取措施外,為了保證網絡高安全性,比賽網絡采用與互聯網沒有聯系的獨立網絡以減少來自互聯網的攻擊。但是由于比賽網與合作伙伴等外界聯系的需要,系統集成過程中采用專門劃分的雙層認證DMZ(非軍事區)進行網絡邊界管理,對每個對外連接的節點進行嚴格的流量控制,并且所有對外鏈接都要經過多重隔離。
據介紹,雙層DMZ中的第一層是在所有管理網、官方網的合作伙伴之間,如負責記分系統的OMEGA、負責電視廣播的北京奧林匹克廣播公司以及門戶網站搜狐等,第一層DMZ用來隔離較為可信的合作伙伴; 第二層DMZ則用來連接如國外的參賽報名系統、氣象信息匯報的氣象臺等不很可靠的互聯網連接。數據傳輸過程中的數據流向也是嚴格控制的,通常僅允許比賽網數據外傳,而從外向內的傳輸則幾乎不被允許。
在網絡系統接入方面也采取了嚴格的準入制度。每一個網絡端口只允許特定的設備在通過嚴格的安全檢測后接入,一旦發現非法網絡接入企圖,網絡監控系統便會立刻通知場館IT管理人員進行檢查。
網絡流量的分段是保障網絡安全的另一個重要手段。比賽網中不同的應用系統,如IDS、CIS、OVR、GMS等都運行于完全相隔的獨立虛擬網段(VLAN)中,由于跨越VLAN的流量會受到嚴格的訪問控制列表(ACL)的限制,任何非正常的跨越VLAN的流量都會觸動安全報警系統。這就保證了當一個系統受到攻擊時,其他系統都不會受到任何影響。
特別的安全等級制度
源訊及其合作伙伴為奧運專門開發的安全信息管理系統可謂是比賽網安全保障的核心所在,它是比賽網業務系統底層服務形態的支持系統,管理所有比賽網點發送的報警信息,保障奧運比賽網的信息安全。
篇(7)
【關鍵詞】信息安全; 威脅;防御策略;防火墻
1 計算機信息網絡安全概述
所謂計算機信息網絡安全,是指根據計算機通信網絡特性,通過相應的安全技術和措施,對計算機通信網絡的硬件、操作系統、應用軟件和數據等加以保護,防止遭到破壞或竊取,其實質就是要保護計算機通訊系統和通信網絡中的各種信息資源免受各種類型的威脅、干擾和破壞。計算機通信網絡的安全是指揮、控制信息安全的重要保證。
根據國家計算機網絡應急技術處理協調中心的權威統計,通過分布式密網捕獲的新的漏洞攻擊惡意代碼數量平均每天112次,每天捕獲最多的次數高達4369次。因此,隨著網絡一體化和互聯互通,我們必須加強計算機通信網絡安全防范意思,提高防范手段。
2 計算機信息安全常見的威脅
以上這些因素都可能是計算機信息資源遭到毀滅性的破壞。像一些自然因素我們是不可避免的,也是無法預測的;但是像一些人為攻擊的、破壞的我們是可以防御的、避免的。因此,我們必須重視各種因素對計算機信息安全的影響,確保計算機信息資源萬無一失。
3 計算機信息的安全的防御策略
根據計算機網絡系統的網絡結構和目前一般應用情況,我們采取可兩種措施:一是,采用漏洞掃描技術,對重要網絡設備進行風險評估,保證網絡系統盡量在最優的狀態下運行;二是,采用各種計算機網絡安全技術,構筑防御系統,主要有:防火墻技術、VPN技術、網絡加密技術、身份認證技術、網絡的實時監測。
3.1 漏洞掃描技術
漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞:在端口掃描后得到目標主機開啟的端口以及端口上的網絡服務,將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標主機系統進行攻擊的安全漏洞掃描,如測試弱口令等,若模擬攻擊成功,則表明目標主機系統存在安全漏洞。
3.2 防火墻技術
防火墻是網絡安全的屏障,一個防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境更安全,信息的安全就得到了保障。使用防火墻軟件可以在一定程度上控制局域網和Internet之間傳遞的數據。
防火墻一般是指用來在兩個或多個網絡間加強訪問控制的一個或一組網絡設備。從邏輯上來看,防火墻是分離器、限制器和分析器;從物理上來看,各個防火墻的物理實現方式可以多種多樣,但是歸根結底他們都是一組硬件設備(路由器、主機)和軟件的組合體;從本質上來看,防火墻是一種保護裝置,它用來保護網絡數據、資源和合法用戶的聲譽;從技術上來看,防火墻是一種訪問控制技術,它在某個機構的網絡與不安全的網絡之間設置障礙,阻止對網絡信息資源的非法訪問。
3.3 計算機網絡的加密技術(ipse)
采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可以解決網絡在公網的數據傳輸安全性問題,也可以解決遠程用戶訪問內網的安全問題。IP層是TCP/IP網絡中最關鍵的一層,IP作為網絡層協議,其安全機制可以對其上層的各種應用服務提供透明的覆蓋安全保護。IP安全是整個TCP/IP 安全的基礎,是網絡安全的核心。ipse 提供的安全功能或服務主要包括:訪問控制、無連接完整性、數據起源認證、抗重放攻擊、機密性、有限的數據流機密性。
3.4 身份認證
身份認證的作用是阻止非法實體的不良訪問。有多種方法可以認證一個實體的合法性,密碼技術是最常用的,但由于在實際系統中有許多用戶采用很容易被猜測的單詞或短語作為密碼,使得該方法經常失效。其他認證方法包括對人體生理特征的識別、智能卡等。隨著模式識別技術的發展,身份識別技術與數字簽名等技術結合,使得對于用戶身份的認證和識別更趨完善。
3.5 入侵檢測技術
入侵檢測技術是對入侵行為的檢測,他通過收集和分析網絡行為、安全日志、審計數據、其他網絡上可以獲得的信息以及計算機系統中若干關鍵的信息,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊,外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。
3.6 虛擬專用網技術
虛擬專用網(Virtual private Network,VPN) 是一門網絡技術,提供一種通過公用網絡安全地對企業內部專用網絡進行遠程訪問的連接方式;是通過一個公用網絡(通常是因特網)建立起一個臨時的、安全的連接,是一條穿過不安全的公用網絡的安全、穩定的隧道。
下面,我們主要談一下防火墻在網絡信息安全中的應用。
4 防火墻防御策略
4.1 防火墻的基本概念
所謂“防火墻”,是指一種將內部網和公眾網絡(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通信時執行的一種訪問控制手段,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡,防止他們更改、復制和毀壞你的重要信息。
4.2 防火墻的功能
1)過濾掉不安全服務和非法用戶。
2)控制對特殊站點的訪問。
3)提供監視Internet安全和預警的方便端點。
4.3 防火墻的優點
1)防火墻能強化安全策略
因為Internet上每天都有上百萬人在那里收集信息、交換信息,不可避免地會出現個別品德不良的人,或違反規則的人,防火墻是為了防止不良現象發生的"交通警察",它執行站點的安全策略,僅僅容許"認可的"和符合規則的請求通過。
2)防火墻能有效地記錄Internet上的活動
因為所有進出信息都必須通過防火墻,所以防火墻非常適用收集關于系統和網絡使用和誤用的信息。作為訪問的唯一點,防火墻能在被保護的網絡和外部網絡之間進行記錄。
3)防火墻限制暴露用戶點
防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。
4)防火墻是一個安全策略的檢查站
所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外。
4.4 防火墻的不足
1)防火墻不能防范不經由防火墻的攻擊。例如,如果允許從受保護網內部不受限制的向外撥號,一些用戶可以形成與Internet的直接的連接,從而繞過防火墻,造成一個潛在的后門攻擊渠道。
2)防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機上裝反病毒軟件。
3)防火墻不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Internet主機上并被執行而發起攻擊時,就會發生數據驅動攻擊。
4.5 防火墻的類型
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換―NAT、型和狀態監測型。
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術,工作在網絡層。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。但包過濾防火墻的缺點有三:一是,非法訪問一旦突破防火墻,即可對主機上的軟件和配置漏洞進行攻擊;二是,數據包的源地址、目的地址以及IP 的端口號都在數據包的頭部,很有可能被竊聽或假冒;三是,無法執行某些安全策略。
網絡地址轉化―NAT。 “你不能攻擊你看不見的東西”是網絡地址轉換的理論基礎。網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。當數據包流經網絡時,NAT將從發送端的數據包中移去專用的IP地址,并用一個偽IP地址代替。NAT軟件保留專用IP地址和偽IP地址的一張地址映射表。當一個數據包返回到NAT系統,這一過程將被逆轉。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。如果黑客在網上捕獲到這個數據包,他們也不能確定發送端的真實IP地址,從而無法攻擊內部網絡中的計算機。NAT技術也存在一些缺點,例如,木馬程序可以通過NAT進行外部連接,穿透防火墻。
型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品, 它分為應用層網關和電路層網關。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據, 然后再由服務器將數據傳輸給客戶機。從內部發出的數據包經過這樣的防火墻處理后,就好像是源于防火墻外部網卡一樣,從而可以達到隱藏內部結構的作用,這種防火墻是網絡專家公的最安全的防火墻。缺點是速度相對較慢。
監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。它是由Check Point 軟件技術有限公司率先提出的,也稱為動態包過濾防火墻。總的來說,具有:高安全性,高效性,可伸縮性和易擴展性。實際上,作為當前防火墻產品的主流趨勢,大多數服務器也集成了包過濾技術,這兩種技術的混合顯然比單獨使用具有更大的優勢。總的來說,網絡的安全性通常是以網絡服務的開放性和靈活性為代價的,防火墻只是整個網絡安全防護體系的一部分,而且防火墻并非萬無一失。除了使用了防火墻后技術,我們還使用了其他技術來加強安全保護,數據加密技術是保障信息安全的基石。所謂數據加密技術就是使用數字方法來重新組織數據,使得除了合法受者外,任何其他人想要恢復原先的“消息”是非常困難的。目前最常用的加密技術有對稱加密技術和非對稱加密技術。對稱加密技術是指同時運用一個密鑰進行加密和解密,非對稱加密技術就是加密和解密所用的密鑰不一樣。
4.6 防火墻的配置
1)雙宿堡壘主機防火墻
一個雙宿主機是一種防火墻,擁有兩個聯接到不同網絡上的網絡接口。例如,一個網絡接口聯到外部的不可信任的網絡上,另一個網絡接口聯接到內部的可信任的網絡上。這種防火墻的最大特點是IP層的通信是被阻止的,兩個網絡之間的通信可通過應用層數據共享或應用層服務來完成。一般情況下,人們采用服務的方法,因為這種方法為用戶提供了更為方便的訪問手段。
2)屏蔽主機防火墻
這種防火墻強迫所有的外部主機與一個堡壘主機相聯接,而不讓它們直接與內部主機相連。為了實現這個目的,專門設置了一個過濾路由器,通過它,把所有外部到內部的聯接都路由到了堡壘主機上。下圖顯示了屏蔽主機防火墻的結構。
3)屏蔽主機防火墻
在這種體系結構中,堡壘主機位于內部網絡,屏蔽路由器聯接Internet和內部網,它是防火墻的第一道防線。屏蔽路由器需要進行適當的配置,使所有的外部聯接被路由到堡壘主機上。并不是所有服務的入站聯接都會被路由到堡壘主機上,屏蔽路由器可以根據安全策略允許或禁止某種服務的入站聯接(外部到內部的主動聯接)。
對于出站聯接(內部網絡到外部不可信網絡的主動聯接),可以采用不同的策略。對于一些服務,如Telnet,可以允許它直接通過屏蔽路由器聯接到外部網而不通過堡壘主機;其他服務,如WWW和SMTP等,必須經過堡壘主機才能聯接到Internet,并在堡壘主機上運行該服務的服務器。怎樣安排這些服務取決于安全策略。
5 結束語
隨著信息技術的發展,影響通信網絡安全的各種因素也會不斷強化,因此計算機網絡的安全問題也越來越受到人們的重視,以上我們簡要的分析了計算機網絡存在的幾種安全隱患,以及一般采取的幾種安全防范策略,主要討論了防火墻在網絡信息安全中所起到的作用。總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
【參考文獻】
[1]田園.網絡安全教程[M].人民郵電出版社,2009.
