时间:2023-06-25 16:19:55
导语:在网络安全渗透技术的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
【 关键词 】 网络安全;安全隐患;解决方案
Research on Network Security Technology and Solution
He Mao-hui
(Wuhan Bioengineering Institute HubeiWuhan 430415)
【 Abstract 】 With the rapid development of computer technology and network security, security, integrity, availability, controllability and can be reviewed and other features make the network security increasingly become the focus of public attention. In this paper, the importance of network security is discussed, and the main forms of network security risks are analyzed, and the solution of network security is put forward.
【 Keywords 】 network security; hidden danger; solution
1 引言
随着网络时代的发展,网络安全问题成了当今社会不得不注意的重要问题,防范网络安全隐患应该从每个细节抓起,提高网络安全技术水平,加强网络信息管理,从根本上塑造一个和谐的网络环境。
2 网络安全的重要性
2.1 网络安全隐患的危害
(1)泄露私人信息。在信息化时代里,由于电脑等网络工具不断普及,网络也渗透到各行业以及私人生活中。人们利用网络进行资料的收集、上传、保存,在共享的资源模式中,形成了信息的一体化。同时,网络中也储存着大量的私人信息,一旦信息泄密,就会飞速流传于互联网中,带来网络舆论,恶劣情况下还会造成网络人身攻击。
(2)危及财产安全。随着网络一卡化的运用,人们不用麻烦的随身携带大量财物,只需要几张卡片就能进行各类消费,在一卡化模式的运作下,网络也最大化地便利了人们。如今,由网络芯卡衍生出了更高端的消费方式,常见的微信转账、微信红包、支付宝等支付手段,只需在手机网络中就能实现网络消费,为网络数字时展撑起了一片天。而在这样的环境背后,网络消费却潜藏着巨大的财产安全隐患。密码是数字时代的重要组成部分,网络中的众多信息都牵涉着密码,但是密码并非不可破译的,一旦被危险的木马软件抓到漏洞,无疑等于是凿开了保险柜的大门。在以牟取利益为宗旨的经济犯罪中,网络经济犯罪占据着极大的比例,无论个人还是企业,其经济财产安全都受到网络安全隐患严重的威胁。
2.2 提高网络安全技术水平的必要性
首先,提高网络安全技术水平有利于塑造一个干净的网络氛围,可以使各行业在安全的网络环境中和谐发展。其次,提高网络安全技术水平有利于打击网络违法犯罪,保护公民隐私权、财产权,维护社会安定。最后,提高网络安全技术水平就是保障国家经济不受损害,保证国家国防安全,是国家科学技术水平的综合体现。
3 对网络安全隐患主要形式的分析
3.1 操作系统的漏洞
任何计算机操作系统都有着自身的脆弱性,因此其被称之为操作系统的漏洞。操作系统自身的脆弱性一旦被放大,就会导致计算机病毒通过系统漏洞直接入侵。不仅如此,操作系统的漏洞具有推移性,会根据时间的推移,在不断解决问题的过程中不断衍生,从解决了的旧漏洞中又产生新的漏洞,周而复始,长期存在于计算机系统之中。不法者通过系统漏洞可以利用木马、病毒等方式控制电脑,从而窃取电脑中重要的信息和资料,是当今网络安全隐患存在的主要形式之一。
3.2 恶意代码的攻击
恶意代码的概念并不单指病毒,而是一种更大的概念。病毒只是恶意代码所包含的一种,网络木马、网络蠕虫、恶意广告也从属于恶意代码。恶意代码的定义是不必要的、危险的代码,也就是说任何没有意义的软件都可能与某个安全策略组织产生冲突,恶意代码包含了一切的此类软件。通常情况下,黑客就是恶意代码的撰写者,一般黑客受人雇佣,旨在通过非法的侵入盗取机密信息,或者通过破坏企业计算机系统,非法获取经济利益,形成行业恶性竞争。现在的网络环境中,恶意代码是最常见的网络安全隐患,常隐藏在正常的软件或网站之中,并且不易被发现,渗透性和传播性都非常强,具有极大的威胁性。
4 网络安全的解决方案
4.1 设置防火墙
防火墙是一种集安全策略和控制机制为一体的有效防入侵技术,是指通过网络边界所建立的安全检测系统来分隔外部和内部网络,并明确限制内部服务与外部服务的权限,可以实际阻挡相关攻击性网络入侵。防火墙的基本类型有六种,分别是复合型、过滤型、电路层网关、应用层网关、服务及自适应技术。在目前的大多数企业中,都运用到了防火墙技术。
4.2 对访问进行监控
访问监控是在对网络线路的监视和控制中,检查服务器中的关键访问,从而保护网络服务器重要数据的一种防护技术。访问监控技术通过主机本身的访问控制,与防火墙、安全防护软件等形成联动,对所有通过网路的访问进行严密监视和审核,以达到对计算机网络安全的保护。
4.3 采用多重加密
网络安全的威胁途径主要来源于数据的内部传送、中转过程以及线路窃听,采用多重加密技术,可以有效地提高信息数据及系统的保密性和安全性。多重加密技术主要分为几个过程:首先是传输数据的加密,这是保证传输过程的严密,主要有端口加密和线路加密两种方式;其次是数据储存的加密,目的是为了防范数据在储存中失密,主要方式是储存密码控制;最后是数据的鉴别和验证,这包括了对信息传输、储存、提取等多过程的鉴别,是一种以密钥、口令为鉴别方式的综合数据验证。日常的网络生活中,加密技术也常能看见,比如在微信、微博、游戏账号、邮箱等各大社交软件中,都设有个人密码,这是多重加密技术的第一层屏障,随着高级别威胁的出现,第一层的密码保护无法满足数据安全的需要。因此,在社交软件中就出现了动态码、验证码、密保信息等更高级的数据保护措施,在多元的数据保护手段下就形成了多重加密的安全技术。
4.4 实名身份认证
网络作为一种虚幻的构成,并没有形成良好的秩序,要防范网络安全隐患,就要加强现实生活对网络信息的干预。采用实名身份认证能够从实际生活中规范网络言行,从另一个角度说,这是一种法律意义上的监控。在实名身份制的网络认证下,便于法律的约束和治理,可以有效控制网络犯罪,从根本上促进网络世界的安全化与和谐化。
5 结束语
安全是一种概率性的词,没有绝对的安全,只有相对的安全。网络世界也是一样,绝对安全的网络环境是不存在的,就好比只要有利益,就会有犯罪,网络犯罪是会不断滋生的。但是,网络安全的隐患是可以防范的,正确的运用信息技术,加强网络安全的管理,在网络法律的有效制约中,就能拒各种“网络毒瘤”于网络的大门之外,共同塑造一个干净安全的新信息时代。
参考文献
[1] 李春晓.校园网网络安全技术及解决方案分析[J].电子测试,2013,18:100-101.
[2] 关勇.网络安全技术与企业网络安全解决方案研究[J].电子技术与软件工程,2015,05:227.
[3] 任戎.网络安全技术与校园网络安全解决方案刍探[J].四川文理学院学报,2008,05:43-45.
关键词 园区网;安全体系;规划;运维
中图分类号 TN9 文献标识码 A 文章编号 2095-6363(2015)09-0050-02
校园网络变得更加开放的同时,网络安全正经受更加严格的挑战,网络管理者必须切实了解保护本地网络安全的手段。本文尝试对如何创建安全的校园网络环境并保持其稳定运行提出一些规划原则与管理方法。
1 常见网络安全威胁类型
1)病毒、木马、蠕虫等自动攻击工具。具备自我复制和传播能力的程序可破坏计算机系统,破坏某信息保密性和完整性,使得攻击者从中获得利益。早期一般通过系统漏洞或文件漏洞传播,随着操作系统安全代码的日趋完善,目前主要靠欺骗性下载(如网站挂马或植入恶意代码)并被简单触发。
2)拒绝服务攻击。拒绝服务是攻击者常用攻击手段之一。攻击者通较强计算能力的服务器或大规模肉鸡作为攻击跳板,对目标发起洪水一般的非法请求,使得服务方难以接受正常访问请求或造成缓冲区溢出,服务被迫关闭甚至崩溃。
3)基于服务代码和服务漏洞的攻击。作为官方的网络窗口,运行于服务之上的网站代码并不总是安全的。事实上,国内多数网站都没能做到足够安全的代码防护。运行于非标准的web服务器的web网站,对熟练的站点攻击者而言,仅需几分钟即可获得基本webshell,并据此进行权限提升。从互联网上下载的免费文章系统(如知名的动网模板),由于受到关注,攻击者更容易通过内部技术组织联络获取攻击手段。
笔者所在学校站点早期使用ACCESS数据库,攻击者便经常尝试直接下载数据库;升级为SQL SERVER数据库后,我们发现了大量的SQL注入攻击代码,如晚间的一次攻击尝试代码:
……
dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR(4000)):eXeC(@s):--%20aNd%20'%25'=' 80 - 211.117.95.48 ……
从日志中很容易看出,攻击者尝试渗透数据库获取关键数值,并对注入代码做了简单伪装。
4)社会工程学攻击渗透。近年来攻击者对攻击目标的检测方法变得多样化,攻击者通过多种渠道了解目标,利用社会工程学手段分析以获得敏感信息,攻击更具效率,大数据技术的快速发展则进一步加剧了此类风险的威胁水平。如网络管理者总是愿意使用有类似特征的密码体系同时管理公用设备和个人信息,一旦个人信息被猜解,所在网络的安全风险便极大增加。
当代网络面临的安全风险越来越多,攻击不可避免,网络攻击的原理趋向复杂,而攻击者更容易获取更具威胁的自动化攻击工具,这意味着攻击变得愈发容易。
2 学校园区网安全体系的规划和建设
1)园区网安全体系的基本涵义。网络安全体系由硬件安全、底层系统安全和服务/软件安全三个方面构成,任何方面存在漏洞,都会导致整个网络面临安全崩溃。我国当前正在推动关键设备国产化进程,即从硬件层面考虑,保护网络敏感信息不被国外生产厂非法商取。完整的网络安全体系应在硬件层面作出合理选择,在底层系统层面进行合理配置,减少系统漏洞暴露,在提供服务时建立多层次风险防控和数据过滤措施,保证网络安全运行。
2)园区网安全体系规划原则。网络安全与提供服务的性能存在矛盾,管理者应以保障网络服务正常提供为前提,评判网络安全风险,适度规划并保留升级弹性,以经济合理的方式规划安全防御系统。网络安全体系需要覆盖到整个网络,对高风险区域应设置网络边界,并指定数据流动规则(ACL)。
3)网段规划。根据功能区分,通常将整个网络划分几个功能独立的子网,至少包括网络设备与网络管理区域、停火区(DMZ)、学生机房、办公区域以及普通联网用户区域等,各子网间保持物理或逻辑上的网段隔离,不同区域用户一般禁止跨越子网互访。这是保护网络安全的最基本手段。
4)安全防护设备选择。传统网络安全体系基于P2DR模型,即策略、防护、检测和响应,设备组成一般包括终端安全(配置杀毒软件);ACL(设备、端口规则和数据流向规则);防火墙以及IDS/IPS(应用于DMZ);它可以实现对多数病毒和传统攻击的有效抵御,以包过滤为基本检测手段,具备部分协议检测能力;对网站注入、渗透等较新的攻击方式防御能力有限。
选择何种设备组建网络安防体系,取决于本地网络规模、提供的服务类型和网络管理者的技能水平。园区网可以考虑在传统安全体系基础上,根据本地网络运行特性有针对性增加管控设备,为保障带宽有效利用,针对内部用户可配置行为管理系统,对用户网络行为进行管控,对占据带宽资源和并发数资源的应用予以限制;针对WEB服务,可以配置WEB防护系统,对数据库注入、代码攻击、跨站脚本等作出有效防护;针对网络内部恶意行为,可以配置网络日志分析记录系统,在恶意行为发生时提供报警,在行为发生后提供记录。
3 学校园区网安全体系运维原则
1)安全网络要求全部终端用户参与。根据“木桶原理”,网络中任一端点的安全风险会扩大到整个网络。园区网络安全体系需要覆盖到整个网络的所有端点。考虑到难以对所有用户实行严格要求,管理者应考虑网络不同区域的安全等级,制定对应安全策略,在不同区域间设立网络边界,保证任意区域故障不会蔓延至其他区域。
2)制度优先。防患于未然,网络安全事件总是发生在未曾受到关注的制度角落。管理者应综合考虑网络整体状态,制定安全事件责任制度,制定应急预案,制定各类安全事件和风险事件的相应制度,制定网络使用制度等;完善的制度是保障网络稳定运行的必要条件。
3)数据备份。数据备份是网络运维的必需手段。精确计算当前数据容量,预估数据增量,考虑数据备份措施,必要时配备数据备份设备。外部攻击者在获取网络权限后,经常造成有意或无意的数据损害,超过50%的情况下数据损失不可逆转。设置数据备份机制,是保障网络服务的最后手段。
4)完善事件记录。园区网历经长期运行后,管理者将能够发现和总结本地网络常见威胁列表,建立网络运维事件日志,能极大节省管理者故障定位和解决问题的时间与精力。这些记录包括下述文件,网络日常监测记录、病毒流行记录、设备故障处置和维修记录、攻击处置记录等。
4 结论
尽管网络总是不安全的,管理者还是可以通过各种手段,以科学、合理的方式建设网络安全体系,不断学习提高技术水平,尽力保护本地网络和服务不受非法攻击侵害。作为多年工作经验的总结,笔者希望通过本文抛砖引玉,提供网络安全运维的方法和原则,谨与同行共同交流。
参考文献
1网络工程专业学生网络系统安全保障能力培养的现状分析
网络工程专业是依托于计算机科学与技术专业发展起来的。网络工程专业的人才应该具备计算机类专业人才的四大基本能力:计算思维、算法设计与分析、程序设计与实现和系统能力。网络工程专业人才的专业能力可以进一步细化为:网络协议分析设计与实现、网络设备研发能力、网络应用系统设计与开发能力、网络工程设计与实施能力、网络系统管理与维护能力、网络系统安全保障能力等[1]。因此,网络系统安全保障能力是网络工程专业有别于其他计算机类专业的一个重要能力。但在目前的现实情况下,大家对网络工程专业和其他相关专业在专业能力构成上的差异认识不够,很多学校不同专业在网络系统安全保障能力培养方面存在同质化现象。在专业知识体系上,网络系统安全保障知识领域的核心知识单元应有:信息安全基础、安全模型、加密、认证、数字签名、安全协议、防火墙、入侵检测系统、漏洞检测与防护、安全评估与审计等。从知识体系上来看,网络工程专业中的网络系统安全保障知识基本上是信息安全专业中密码学、网络攻防技术及信息系统安全领域基础知识的综合,具有内容多、涉及面广的特点。另外,目前的知识体系主要从防御角度出发,攻击和渗透的知识还很欠缺。如何在确保知识体系覆盖完整的条件下,突出网络工程专业的特色,是一个尚待深入研究的课题。在课程体系结构上,网络系统安全保障能力对应的网络安全课程,对网络工程、信息安全和信息对抗专业来说是主干课程,而对计算机类其他专业来说,往往是扩展课程;信息安全专业和信息对抗专业一般将其细化为至少4门主干课程,如密码学、网络安全、信息系统安全和信息内容安全。网络工程专业需要强化网络安全课程,并开设相应的扩展课程,以完善网络系统安全保障课程体系的完整性。教学条件上,在网络与信息安全方面比较突出的国内高校主要以密码学领域的科学研究与人才培养见长,缺少网络系统安全保障的师资,特别是缺少既有工程背景和网络攻防实战经验又有高学术水平的师资,导致一些高校网络安全课程的教学质量不高,甚至无法开设,影响了网络系统安全保障能力的培养。网络系统安全保障不仅有理论性,也具有实践性,许多方法和手段需要在实践过程中认识和领会。一些高校的网络工程专业缺少必要的实验条件,有些仅仅进行加密与解密、VPN、入侵检测或防火墙等方面的简单配置性实验,缺少网络对抗等复杂的综合性实验,致使网络系统安全保障实践环节质量不高,影响学生动手能力的培养。
2网络工程专业学生网络系统安全保障能力构成
网络系统安全保障能力的教育需要以网络系统安全保障知识为载体,通过探讨知识发现问题求解过程,培养学生灵活运用所学知识有效地解决网络系统安全防御、检测、评估、响应等实际问题的能力。计算机类专业培养学生的计算思维、算法思维、程序思维、系统思维、过程思维、数据思维、人机系统思维等思维能力,而网络工程专业还要培养学生的对抗思维、逆向思维、拆解思维、全局思维等网络系统安全保障所特有的思维能力。网络系统安全保障体系是一个复杂系统,必须从复杂系统的观点,采用从定性到定量的综合集成的思想方法,追求整体效能。从系统工程方法论的观点出发,网络系统安全保障不能简单地采用还原论的观点处理,必须遵循“木桶原理”的整体思维,注重整体安全。网络系统安全保障的方法论与数学或计算机科学等学科相比,既有联系又有区别,包括观察、实验、猜想、归纳、类比和演绎推理以及理论分析、设计实现、测试分析等,综合形成了逆向验证的独特方法论。从不同的角度看网络系统安全保障可以得到不同的内涵和外延。从物理域看,是指网络空间的硬件设施设备安全,要求确保硬件设施设备不扰、破坏和摧毁;从信息域看,重点是确保信息的可用性、机密性、完整性和真实性;从认知域看,主要是关于网络传播的信息内容对国家政治及民众思想、道德、心理等方面的影响;从社会域看,要确保不因网络信息传播导致现实社会出现经济安全事件、民族宗教事件、暴力恐怖事件以及群体性聚集事件等。网络系统安全保障涉及网络协议安全及相关技术研究、网络安全需求分析、方案设计与系统部署、网络安全测试、评估与优化、网络安全策略制订与实施等内容。培养网络系统安全保障能力就是培养学生熟悉信息安全基本理论和常见的网络安全产品的工作原理,掌握主流网络安全产品如防火墙、入侵检测、漏洞扫描、病毒防杀、VPN、蜜罐等工具的安装配置和使用,能够制定网络系统安全策略与措施,部署安全系统,同时具有安全事故预防、监测、跟踪、管理、恢复等方面的能力以及网络安全系统的初步设计与开发能力,以满足企事业单位网络安全方面的实际工作需求。
3网络工程专业学生网络系统安全保障能力课程设置
网络工程专业涉及计算机网络的设计、规划、组网、维护、管理、安全、应用等方面的工程科学和实践问题,其网络安全课程使学生了解网络系统中各种潜在的安全威胁与攻击手段以及针对这些威胁可采用的安全机制与技术。掌握常见的网络安全工具和设备,如防火墙、入侵检测、漏洞扫描等工具的工作原理,学生可以了解网络安全的相关政策法规,并具有网络安全策略与措施制定、安全事故监测等能力。为了保质保量地完成网络工程专业学生的网络系统安全保障能力的培养,可设置相应的主干课程:网络安全技术和网络安全技术实践及扩展课程安全测试与评估技术。课程涉及的核心知识点。通过开设安全测试与评估技术,教师引导和培养学生用逆向、对抗和整体思维来学习并思考网络系统安全保障问题。
4培养学生网络系统安全保障的实践和创新能力
实践动手能力是网络系统安全保障能力培养中的重要一环。许多网络信息系统安全保障能力知识点比较难掌握,必须通过实践环节来消化、吸收、巩固和升华,才成为学生自己的技能。为此,我们一方面努力争取解决实验条件,与企业联合共建网络安全教学实验室;另一方面,自主开发实现了一系列的教学演示和实践工具,弥补部分环节难以让学生动手实践的不足。通过完善的实践体系(包括课内实验、综合实验、创新实践、实习及学科竞赛等),培养学生网络系统安全保障的实践和创新能力。课内实验包括安全测试与评估技术课程的信息收集、内部攻击、KaliLinux的安装与使用、Metasploit、缓冲溢出攻击、Shellcode、Web攻击、数据库安全、逆向分析等实验。网络安全技术课程对应的实践课程网络安全技术实践设置了加解密编程、PGP、PKI、VPN服务器和客户端、病毒与恶意代码行为分析、Iptables防火墙、Snort入侵检测、以太网网络监听与反监听、端口扫描、WinPcap编程、Windows和Linux安全配置等实验;另外还设置了两个综合实验——综合防御实验(安全配置、防火墙、入侵检测、事件响应)和综合渗透测试实验(信息收集、缓冲溢出渗透、权限提升、后门安装、日志清除)。在课内实验和综合实验环节采用分工合作、以强带弱、小组整体与个人测试评分相结合等措施,确保让每个学生掌握相应的网络系统安全保障实践能力。目前,我们正积极与网络安全相关企业建设实习和实训基地,开展社会实习和实践,探索利用社会力量培养实践能力的模式。专业实践是一门2学分的创新实践和实习课程。通过专业实践和毕业设计,学生可以根据自己的兴趣选择网络系统安全保障方面的创新实践拓展和深化。一方面,积极鼓励并组织优秀学生参加全国性和地方性的网络安全技能竞赛;另一方面,让高年级的同学参与教师的网络系统安全保障科研项目中来,让学生在竞争与对抗中和解决实际问题过程中增强自己的动手能力和创新能力,培养学生的自主学习能力和研究能力,激发他们的网络系统安全保障创新思维。
5结语
随着计算机网络在人类生活领域中的广泛应用,网络的攻击事件也随之增加。网络环境的出现极大地方便了人们之间的信息交流,推动了人类社会的进步。但同时,它也是一把双刃剑,它在为我们提供了便利的同时,也带来其中网络安全问题。其中网络安全问题已成为日渐棘手、迫切需要解决的一项任务。以前,人们注重从技术上去着手解决这个问题,而往往忽略了其它防护,虽然收到了一定的效果,却不能从根本上解决网络安全问题。事实上,信息管理的成功,关键在于人的因素。加强人的因素管理,是保障网络安全的重要途径。本文就“网络安全文化”相关概念、与其它文化的联系及其意义进行了分析与研究。
二、产生网络文化的背景和网络文化的构成
计算机网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然或恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。互联网出现以后,人们的网络活动日见频繁,并随之产生网络文化,网络活动总会有意识或无意识地包含着安全活动。在此基础上,本文提出网络安全文化的概念,它是安全文化和网络文化相互渗透的结果。它继承了安全文化与网络文化的共性,同时又具自己的特性。因此,我们认为网络安全文化是安全文化和网络文化的一个子类,它指人们对网络安全的理解和态度,以及对网络事故的评判和处理原则,是每个人对网络安全的价值观和行为准则的总和。
三、网络安全文化的作用过程
网络是计算机技术与通信技术的结合,它从一开始就是为人们通信服务,它的根本任务始终是信息共享与交流,它的主体是人,客体是信息。网络安全文化则产生于人的网络信息活动并影响人的网络信息活动,它的影响过程是全过程的,即从信息的收集、加工、存储,到传输的整个过程。网络安全文化存在于人的心里,是引导和规范人的网络行为的“心镜”。人们通过将自己的行为与之相比较,来判断自己的行为是否应该发生。 它和行为主体的动机、情绪、态度等要素一起作用于主体,在很大程度上影响着主体的行为,并使得网络更加安全和谐,因此培育优秀、先进的网络安全文化具有重大的现实意义和作用。
四、计算机网络安全现状
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
五、计算机网络安全的防范措施
加强内部网络治理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。
网络技术的普及和应用正在改变传统的信息技术产业,信息交流变得更加快捷和便利,但是这样也给网络信息的保密提出了更高的要求。
1.计算机网络安全问题产生的背景
计算机网络的应用已经渗透到社会的各个领域,网络信息安全已经成为人们日常生活颇为关注的问题。随着计算机网络技术的应用和发展,计算机网络的安全问题也越来越受到人们的关注。网络安全问题日益显得重要,网络的开放性与共享性,系统的复杂性,边界的不确定性,以及路径的不确定性,等等,都导致网络安全问题的发生,使得网络很容易受到外界的攻击和破坏,同样也使得数据信息的保密性受到严重的影响。网络安全问题已经迫在眉睫。
2.网络信息安全的重要性
随着信息技术的快速发展,随之而来的就是网络平台的安全问题,因此,人们对网络环境的要求越来越高,对网络安全也越来越重视。无论是网上交易,还是网络信息的传递,都是对网络安全提出的一个很大的挑战。网络信息安全已经成为国家、国防,以及国民经济的重要组成部分。随着计算机通讯技术和网络技术的不断发展,计算机网络将会日益成为农业、工业和国防等方面的重要信息交换手段,渗透到社会的各个领域。基于以上的情况,我们必须认清网络的脆弱性和潜在的威胁。所以,采取强力的安全措施是必要的,对于保证网络信息的安全传递十分重要。而目前并没有任何的计算机技术能完全保证网络信息的安全性,所以我们除了要加强技术方面的发展,还必须考虑非技术方面的因素,例如人们的安全意识等。
3.网络安全信息所面临的主要威胁
3.1计算机病毒的威胁。
病毒可以说是当前网络信息最主要的威胁,其发展趋势呈爆发式增长。国际安全协会的统计表明:计算机病毒正在以每年超过50%的速度增长。我国最大的防病毒厂商瑞星公司的报告显示:2004年上半年截获各种新型病毒11835个,2005年同期为26927个,而到2006年同期达到了119402个,2007年达到133717个,而2008年截获的病毒木马居然达到了1242244个,数量已经超过近五年来病毒数量的总和。以前,一个计算机病毒需要3年的时间才能传遍全球,而现在借助网络信息则只需要仅仅几分钟。根据有关部门统计,从2000年开始至今,全球数千万台计算机受到病毒感染,累计造成经济损失1000多亿美元,给全球的经济、科技的发展带来巨大的损失。
3.2计算机黑客的威胁。
根据我国公安部门的统计,1997年我国发生的与黑客有关的网络犯罪20起,1998年142起,1999年908起,2000年就超过了3000起,从2001年到目前为止,每年的网络犯罪更是数以万计,并且由于网络的隐蔽性,导致了破案率还不到10%。
3.3流氓软件的威胁。
当前越来越多的正规软件厂商受到利益的驱使,大量的制作并使用介于正规软件和病毒软件之间的流氓软件,而这些软件大多又具有木马的特征,与病毒之间的界限也越来越模糊。根据有关部门调查显示,从2006年开始,流氓软件对用户的侵害有超过病毒的趋势,严重地干扰了用户的日常工作,信息数据安全,以及个人隐私。
4.影响网络信息安全的主要因素
当前影响网络安全的因素很多,但是主要还是来自法律、管理、技术三个大方面。
4.1网络信息安全的相关法律法规的不健全。
对于网络犯罪越来越猖獗的情况,世界各国都已经开始拟定相关的法律法规,但是在互联网这样一个虚拟的世界里,可以说很难对网络信息犯罪进行监控和证据的收集。而制裁传统犯罪的法律法规又并不适合于网络信息犯罪,关于世界各国对于网络的犯罪底线又过于模糊和笼统,实在是很难有一个清楚的界限。网络世界里的立法尚有许多的空白点,这也导致了网络世界的“无政府”状态的情况日益加剧,网络信息犯罪呈泛滥的趋势,但是真正被送上审判席的可以说少之又少,网络犯罪几乎是无处不在。虽然目前有好几例网络信息犯罪被送上审判庭,但这对于目前庞大的网络犯罪数量来说只是冰山一角。
4.2网络信息安全意识淡薄,管理体制不够健全。
网络信息安全管制是网络安全的一个重要不可缺少的因素,但是大多数人的安全意识很薄弱,重技术、轻管理,殊不知大部分的信息安全问题都是出自于管理上的疏忽。在制度、流程和人员管理方面相当的混乱,这就为网络信息安全留下隐患,也为盗取信息者大开方便之门。据网络信息安全专家不完全统计,约80%的信息泄露都是由于管理上的疏忽。
4.3网络安全技术存在着不足。
网络信息系统安全一般由网络协议层安全、宿主操作系统层安全、数据库管理系统层安全和应用程序层安全四个层次组成,而这四个安全层次均在不同程度上存在安全方面的先天不足。首先,网络协议存在安全缺陷。网络协议是网络信息系统的基石,TCP/IP协议族是目前使用最广泛的互联网协议,已经成为互联网的事实标准。但令人遗憾的是,TCP/IP协议族的各种应用服务和通信流程在设计上均存在不同程度的安全缺陷,加之其以明文方式传送数据,导致欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改等网络攻击可以轻而易举地实现。其次,作为网络信息系统的运行平台,当前主流的操作系统Windows、UNIX、Unux等在体系结构的设计上均存在对安全性要求考虑不周的缺陷。根据美国国家安全局(NSA)的国家计算机安全中心1983年8月颁发的官方标准,受信任计算机系统评量基准,它们都属于安全级别较低的CZ级,其可动态连接机制、可动态创建远程/近程进程机制、特权程序适时激活机制和无口令远程过程调用服务人口为远程传输并执行恶意程序大开绿灯,成为病毒和黑客的乐园。再次,作为电子商务、金融,以及EPR系统等各种应用的基础,当前主流的数据库管理系统Oracle、DBZ、SQL、Sybase等在设计上缺乏全面考虑的安全分级管理策略,其与操作系统的众多接口很容易造成核心权限的失控,导致基于数据库漏洞的网络攻击成为黑客最常采用的攻击手段之一。最后,当前主流的软件开发技术瀑布模型、敏捷建模、中间件技术及软件构件化技术等对安全因素均不够重视。软件开发商和开发人员为追求商业利益,在应用程序开发过程中普遍存在重应用轻安全的思想,对威胁建模、安全策略和安全测试考虑不周,而宁可采取亡羊补牢的方法,导致当前各种应用程序漏洞频发和补丁程序满天飞这一极不正常的现象。并且由于补丁程序滞后于漏洞攻击程序这一必然规律,用户别无选择地被至于危险的境地。
5.保障网络信息安全的手段和措施
虽然网络信息系统的安全缺陷和安全威胁是客观存在的,但其风险是可以控制乃至规避的。
5.1网络信息安全的立法工作,强化对网络信息安全的重视。
法律是打击网络信息犯罪最有力的武器,是保障网络信息安全的根本。对所有危害网络信息安全的行为实施严厉的法律制裁,才能从根本上解决当前信息网络病毒泛滥、黑客猖撅、流氓软件明火执仗的无政府现状。网络信息安全也引起了我国政府的重视,国家有关部门建立了相应的机构,了有关的法规,以期加强对网络信息安全的管理。2005年4月1日开始实行《中华人民共和国电子签名法》,该法对于电子银行的业务发展是相当重要的,为银行在网络上的发展提供了基础的法律保障。2001年中国人民银行制定颁布的《网上银行业务管理暂行办法》直接规范了电子银行业务。为了有效地控制电子银行业务的风险,中国银监会制定了《电子银行业务管理办法》和《电子银行安全评估指引》,并且从2006年3月1日起正式实施,这一切都反映出我国对计算机网络与信息安全的高度重视,以及努力推动我国金融信息安全产业发展、提高我国信息安全技术水平的决心。
5.2强化网络信息安全体制。
研究表明,络信息安全漏洞主要是由于管理不善,因此,我们首先必须建立科学合理的网络信息安全管理、执行和监督机构,明确网络信息安全原则,构建网络信息安全策略,合理协调法律、技术和管理等诸多因素,实现网络信息安全的制度化。其次,必须建立从监测、响应、防护到恢复的一整套科学合理的网络信息安全管理体制,保证网络信息系统的安全运转。再次,必须正确认识当前的防病毒技术、人侵检测技术、防火墙技术、加密、解密技术、认证技术及数据恢复技术的重要性和局限性,采用最先进的安全技术保障网络信息安全。最后,加强人员的安全培训,提高网络信息安全防范意识,尽量减少人为因素造成的风险。
5.3开发安全的软件,防范于未然。
提高软件开发组织及其从业人员的安全意识,致力于开发安全的软件,从根本上减少软件系统的安全缺陷才是网络安全的终极之道。因此,所有软件开发从业人员必须掌握安全软件开发的思想和技术,坚决杜绝无视安全的开发。软件开发组织必须建立完善的安全软件开发管理制度,在软件开发过程中将软件安全性作为软件质量的一个重要测度,在设计阶段加入安全对策,并进行严格的安全测试,在正式前较少软件的安全缺陷,确保软件系统的安全性。
综上所述,网络信息安全是一个复杂的综合性工程,涉及法律、管理和技术等多个领域。虽然目前已经取得了一定的成效,但形势依然十分严峻,必须依靠众多相关方的共同努力,才能为广大信息网络用户打造一个安全可靠的应用环境。
参考文献:
[1]李卫.计算机网络安全与管理.北京:清华大学出版社,2006.1.
[2]蔡立军.计算机网络安全技术.北京:中国水利水电出版社,2005.2.
关键词:网络安全;管理技术
一、网络安全管理技术概述
网络安全管理是一门复合型技术,它涵盖了人工智能、网络管理、信息安全以及分布式计算等多个领域。目的是综合运用上述各领域的理论、技术和方法,维护和加强网络安全,防止各类病毒性软件的攻击和入侵,保证网络信息时刻处于安全、可控状态。其主要包括两方面,一是保护安全服务和信息;二是维护自身的网络安全。通常的途径主要有三个,分别是操作、管理和评估[2]。
二、网络安全管理技术的组成结构
网络安全管理技术的组成结构目前是网络安全管理工程师研究的热门领域。其首先应具备安全管理的能力,能够有效地维护网络的安全。其次,应该具备稳定性强、可重复使用以及适用范围广等特征。市场上现比较流行的网络安全管理系统主要有以下几种:一是Agent结构,它基于MAS方法,充分利用人工智能技术,将系统内部的Agent划分为不同的小类,并以某种方式组合起来,协同、互联式的完成网络安全管理维护;二是基于网络管理式的结构,它利用网络管理体系结构来维护网络信息安全,两者之间的关系较为密切。目前,主要应用的网络管理式为Web模式;三是基于模块化的网络结构,它借助于网络模块来实现对于网络安全的维护,此种方法是目前市场上较为流行的网络维护方法,常用的模块有构件、插件以及组件等[3]。
三、实现网络安全管理的有效策略
为了加强对于网络安全的管理,光靠建立完整的网络体系并不能够完成,完善的信息集成技术、信息之间的协同机制以及智能分析技术等也是不可或缺的。
(一)完善的信息集成技术
网络安全管理系统的功能是维护网络安全,鉴于目前复杂多变的互联网体系,要想完好的保护网络安全其必须具备适用范围广泛这一特征,能够维护各类网络信息的安全。因此,有效的采集不同类型的网络信息并对其加以维护处理,然后进行相关性分析,这就成为网络安全管理系统必须要解决的问题。信息集成技术为解决这些问题提供了新的思路,它的主要功能是采集数据并加以处理。其中,数据采集的目标是从各类信息库中筛选关联信息,数据处理的目标是净化各类数据,将其转化为一种便于识别的格式。
(二)智能分析引擎技术
智能分析引擎技术的主要功能是将不同信息类数据关联起来并加以分析,对威胁数据、携带病毒类数据识别出来并加以警告提示,因而它是整个网络安全管理技术的核心。其主要特点是综合性的分析各类网络数据,例如,网络漏洞和病毒攻击可以联合起来一起分析,发生于同一个时间段内的事件也可以协同综合性分析。此种综合性分析功能所产生的效果是单独分析所不具备的,能够明显提高数据分析的准确性。现有的安全管理平台之所以安全性能高就是因为具备这一分析特征。
(三)协同和通信规范技术
协同和通信规范技术是网络安全管理的另一个核心技术,它可实现各网络安全部件之间的无缝衔接和协同,是网络联合响应以及综合分析的前提条件。为了协同的处理各类信息数据,用户、安全部件、主机之间需要彼此建立密切的联系纽带。该纽带可以是直接的,常用方式有接口、协议等;也可以是间接的,常用方式是向公共安全管理信息基(SMIB)读写数据。
四、结语
互联网技术的深入快速发展对网络信息安全管理提出了更高的要求,目前已有很多网络安全产品进入市场,在各自领域维护者网络安全。然而,现有的网络安全管理技术尚存在很多不足,严重影响到网络安全的有效维护。比如,病毒程序的攻击、网络安全管理产品的协同性差等。幸运的是,目前很多网络安全维护商已经认识到这一问题,并组织技术专家对这些问题进行攻关。可以想象,未来的网络安全管理技术一定会是从小范围辐射到大范围,从集中式管理演变为分布式管理,网络安全维护能力会更强。
参考文献
[1]张涛,胡铭曾,云晓春,等.计算机网络安全性分析建模研究[J].通信学报,2015,26(12):100-109.
[关键词]计算机网络;网络安全;防范措施;防火墙
[中图分类号]TP393.08[文献标识码]A
随着高新科技的发展,信息技术已渗透各个领域,对行业现代化建设发挥越来越重要的作用。特别是信息技术在生活中的广泛渗透和发展,不但改变了传统的生活模式、办公方式、管理方式。信息化已作为社会发展的核心内容,成为促进社会发展的助推器。
然而,随着信息网规模的逐渐扩大和系统应用的不断深入。各种网络安全问题也随之而来。例如系统不稳定、网速缓慢或瘫痪:访问登录失败、设备和信息安全事故、黑客和计算机病毒入侵等故障,严重影响,网络的正常使用,成为阻碍网络进一步深化和发展的瓶颈。因此,研究网络安全防范技术具有十分重要的意义。
1计算机网络安全的概念
网络安全从本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护,免受破坏、更改和泄露,系统可靠正常地运行,网络服务小中断;从用户的角度来看,他们希望涉及个人和商业的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人利用窃听,篡改、抵赖等于段对自己的利益和隐私造成损害和侵犯;从网络运营商和管理者的角度来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源的非法占用和黑客的攻击。
计算机安全主要是为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的元凶而遭到破坏,更改和泄漏。从本质上来讲,网络安全包括组成网络系统的硬件,软件及其住网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏。网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
2网络安全的隐患
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面:
2.1计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。在使用互联网时应注意以下几项不可靠的安全性。
2.1.1网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
2.1.2网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
2.1.3网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。
2.2操作系统存在的安全问题
操作系统是一个支撑软件,是计算机程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不可靠安全性,是计算机系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
2.2.1操作系统结构体系的缺陷。操作系统本身有内存管理、CPU管理、外设的管理,每个管理都涉及一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
2.2.2操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统就可能会造成崩溃。像这些远程调用、文件传输,如果生产厂家或个人在上面安装间谍程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。所以,建议尽量少使用一些来历不明,或者无法证明它安全性的软件。
2.2.3操作系统有守护进程的防护功能,它是系统的一些进程,总是在等待某些事件的出现。所谓的守护进程,就是监控病毒的监控软件,当有病毒出现就会被捕捉。但是有些进程是一些病毒,碰到特定的情况就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时可能不起作用,可是在某些条件下发生后,就会发生作用。如果操作系统守护进程被人为地破坏掉就会出现这种不良的安全隐患。
3网络安全的防患措施
上面已经分析了网络安全所存在的一系列隐患,其中包括网络本身所具有的脆弱性和一些管理上的失当等原因。而作为计算机用户,应该积极地采取有效的措施进行防患,以避免严重后果发生的可能性。网络安全采用的主要防范措施如下:
3.1提高安全意识,加大安全管理力度
(1)配备专业的安全管理人员。安全管理要有专人负责,同时还要有技术人员去落实。(2)控制对网络的访问和使用。控制用户对网络的访问和使用的目的是保证网络资源不被非法使用和非法访问。(3)增强防病毒意识。查、杀病毒是确保网络系统安全的必不可少的重要手段。(4)及时做好数据备份工作,确保网络信息的安全。
3.2及时修补“漏洞”
网络软件不可能无缺陷、无漏洞,这些漏洞和缺陷正是黑客攻击的首选目标。
3.3利用网络安全技术
3.3.1防火墙技术
目前保护网络安全最主要的手段之一就是构筑防火墙。防火墙是一种形象的说法,其实它是一种计算机硬件和软件相结合的技术,是在受保护网与外部网之间构造一个保护层,把攻击者挡在受保护网的外面。这种技术强制所有出入内外网的数据流都必须经过此安全系统。它通过监测、限制或更改跨越防火墙的数据流,尽可能地对外部网络屏蔽有关受保护网络的信息和结构来实现对网络的安全保护。因而防火墙可以被认为是一种访问控制机制,用来在不安全的公共网络环境下实现局部网络的安全性。
3.3.2身份认证
身份认证是任何一个安全的计算机所必需的组成部分。身份认证必须做到准确无误地将对方辨认出来,同时还应该提供双向的认证,即互相证明自己的身份,网络环境下的身份认证比较复杂,因为验证身份的双方都是通过网络而不是直接接触,传统的指纹手段等已无法使用,所以目前通常采用的是基于对称密钥加密或公开密钥加密的方法,以及采用高科技手段的密码技术进行身份验证。
3.3.3访问控制
访问控制也叫接入控制,阻止非授权用户进入网络,防止任何对计算机资源和通信资源的非授权访问。即根据用户的身份赋予其相应的权限,也就是说按事先确定的规则决定主体对客体的访问是否合法。访问控制主要通过注册口令、用户分组控制、文件权限控制三个层次来实现。
3.3.4基于密码论的技术
密码技术是集数学、计算机科学、电子与通信等诸多学科于一体的交叉学科,是保护信息安全的主要手段之一,它不仅具有保证信息机密性的信息加密功能,而且具有数字签名、身份验证、秘密分存、系统安全等功能。
(1)密钥技术。密钥技术的任务是在一个密码系统中控制密钥的选择和分配。密钥是一段数字信息,它与加密算法相互作用,以控制信息的加密。(2)数字签名。数字签名是一种用于鉴别的重要技术。数字签名是一个数,它依赖于消息的所有位以及一个保密密钥。它的正确性可以用一个公开密钥来检验。数字签名可以用于鉴别服务,也可以用于完整和无拒绝服务。当数字签名用于无拒绝服务时,它是和公证一起使用的。公证是通过可信任的第三方来验证消息的。(3)验证技术。验证技术可分为基于共享密钥的认证和基于公钥的认证。前者实际上是执行一种查询―问答协议,发送方发送一个随机数给接收方,接收方解密后以一种特殊形式转换它并传回结果,从而实现认证。该协议的关键是如何建立共享密钥。
3.3.5反病毒软件
即使有防火墙、身份认证和加密措施,人们仍担心遭到病毒和黑客的攻击。随着计算机网络的发展,携带病毒和黑客程序的数据包和电子邮件越来越多,打开或运行这些文件,计算机就有可能感染病毒。假如安装有反病毒软件,就可以预防、检测一些病毒和黑客程序。
总之,网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强网络立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于网络病毒、网络犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的网络犯罪和网络病毒等问题,确保网络安全。
参考文献:
[1]白斌.防火墙在网络安全中的应用[J].科技创新导报,2007(35).
[2]彭,高.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011(01).[本文转自:]
关键词:计算机网络 安全隐患 防范措施
中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2012)08(b)-0024-01
1 计算机网络面临的安全威胁及隐患
(1)网络硬件存在安全隐患。一是核心技术受制于人。当前我国所使用的计算机芯片、骨干路由器和微机主板等主要是从国外进口的,且对引进技术和设备缺少必要的技术改造,一旦不法分子在硬件设备中预先安置后门程序,后果不堪设想。二是操作系统存在隐患。目前,我们使用的主要操作系统都是微软的Windows系列操作系统,这个系统设计之初考虑的是易用性而忽视了系统的安全,非授权用户或黑客可通过漏洞对网络进行攻击,而且此系统本身比较脆弱,易受温湿度、磁场、污染等外部环境的影响而出现故障。三是易遭非法终端接入。现有硬件设备很可能被非法分子在现有终端上并接一个终端,或非法终端在合法终端从网上撤下时乘机接入并操纵计算机通信接口,或通过某种技术手段冒充主机使敏感信息传到非法终端。四是易受非法入侵。非法分子通过技术渗透或通信线路入侵网络,非法盗用、破坏或获取敏感信息或数据及系统资源。利用目标计算机的漏洞进入系统或通过口令猜测进入系统,采用IP地址欺骗等手段来入侵。
(2)技术缺陷带来入侵威胁。一是网络协议的缺陷。包括源地址认证、网络控制机制及路由协议等使用TCP协议的缺陷,造成入侵者的入侵,进行访问、修改、拒绝访问、否认等攻击。二是软件出现缺陷。由于程序员在编程时考虑不周而造成的问题,如输入确认、访问确认、设计、特殊条件和竞争条件等错误引起的软件缺陷。三是病毒防护薄弱。计算机病毒可多种方式入侵计算机网络,且不断繁殖和扩散,使计算机系统出现错误或处理能力下降,甚至是丢失数据或文件。四是安全测试设备落后。目前的安全保密测试设备落后于系统发展,对部分系统隐患无法侦测,无法通过有效的定性定量分析来加强系统防范,使网络系统难以应对新出现的安全隐患。
(3)人为操作导致失泄密发生。一是安全防护人员少,专业人才不够。如网络管理员配置不当,安全观念不强,造成人为泄密,或由于责任心不强网络应用升级不及时造成安全漏洞,随意使用普通网络站(点)下载的软件。二是用户安全意识薄弱。部分用户将自己的账号随意转借他人或与别人共享,从而导致信息泄漏。三是现有安保人员业务不够精,安全管理不到位,特别是对不安全事件的处理不及时,方法不妥当。这些人为因素是无论多么精妙的安全策略和网络安全体系均无法防范和解决的。
(4)管理机制存在安全漏洞。一是安全措施不到位。信息网络越来越具有综合性和动态性特点,这同时也是信息网络不安全的原因所在。然而,部分操作人员对此缺少认识,未进入安全就绪状态就急于操作,结果导致敏感数据暴露,使系统遭受风险。二是缺乏综合性的解决方案。面对复杂的不断变化的网络世界,大多数单位缺乏综合性的安全管理解决方案,安全意识较强的单位也只是依赖防火墙和加密技术。三是防范机制不到位。不少单位没有从管理制度上建立相应的安全防范,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。
2 计算机网络安全防护的对策及措施
(1)发展自主信息安全产业。网络硬件要确保安全,发展具有我国自主知识产权的信息化产业成为重中之重。在未来的信息化发展过程中,要高度重视计算机网络安全保密设备和系统的“国产化”、“自主化”建设。一是积极组织核心技术攻关,如自主操作系统、密码专用芯片和安全处理器等,要狠抓技术及系统的综合集成,以确保信息系统的安全。二是加强关键技术研究,如密码技术、鉴别技术、病毒防御技术等,以提高技术防护能力。三是监测评估手段,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等,构建具有我国特色、行之有效的网络安全保密平台,实现网络及终端的可信、可管、可控,摆脱网络安全控制于人的被动局面。
(2)构建安全技术防护体系。面对网络系统存在的风险和威胁,应坚持积极防御、综合防护的原则,加强技术防护研究,采取有效技术手段,从预防、监控和处置等环节科学构建安全技术防护体系,确保网络系统安全。一是安全监察体系。落实网络安全防护中心编制,加强配套监察手段建设,建立健全网络安全监察机制;配套网络入侵检测、流量分析、行为审计等系统,增强安全事件的融合分析能力。二是终端防护体系。建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设;强化系统访问控制,设定用户访问权限,限制对资源的访问,防止非法用户侵入或合法用户不慎操作所造成的破坏。三是安全评估体系。综合运用漏洞扫描、取证分析、渗透测试、入侵监测等系统和手段对网络进行扫描分析,客观分析网络与信息系统面临的威胁及其存在的脆弱性,对安全事件一旦发生可能造成的危害程度进行定性定量分析,并提出有针对性的防护对策和整改措施,防患于未然,全面防范、化解和减少信息安全风险。
1.认清大趋势,从维护国家的高度认识和把握网络安全问题。当今世界,网络已成为新的国际政治角力场,网络也成为国家的重要组成部分。没有网络,国家就不完整;没有网络,国际网络空间秩序就将混乱无序,相关权益也无从保障;没有网络,互联网造福人类的初衷和目的就无法实现,互联网的发展也将失去意义。
但有人一味强调网络的开放性,认为网络无国界,是个不设防的地球村;有人对西方国家推行互联网霸权不够重视,还只是把眼光局限在经济霸权、政治霸权、军事霸权等领域;有人对网络攻击不了解、不敏感,对网络泄密事件没有引起足够的警觉。对此,我们要认清大趋势,真正从战略的高度来重视网络、经略网络空间。
强调尊重网络,不是要割裂全球网络空间,而是强调在平等的基础上,各国无论互联网发展快慢、技术强弱,其参与权、发展权、治理权都应当是平等的,都应当得到有效保障。一方面,要明确网络的内涵。网络是国家在网络空间的延伸,是国家新的实现形式,而不是新权利的创设。借鉴国际公法中传统的独立权、平等权、自卫权、管辖权内容,网络也应该包含以下要素:独立权,即确保一国网络拥有独立的、对其管理不受制于他人的基本权力;平等权,即各国网络之间能够平等进行互联互通的基本权利;自卫权,即国家应具备保护本国网络、能够不因攻击而导致瘫痪的能力;管辖权,即国家必须拥有对本国网络设施、网络信息的管理能力。另一方面,要界定网络的效力范围。网络的效力范围,也就是事实上的“网络边疆”。相对于可划界的、静态的领土、领空、领海,网络空间是虚拟、动态的。但是提供网络的物理设施,提供链接的网站、域名,提供渠道的信息系统确是实实在在的、可控的,那么网络的效力范围也应该包含一国领域内所有接入网络的物理基础设施,国家专属的互联网域名及其域内以及关系国计民生领域的国家核心网络系统。
2.应对大挑战,充分认识网络安全面临的形势和风险。受网络空间的传导影响,其他各方面的安全威胁界限更易突破,潜在危害和影响更加广泛深远。网络安全已经成为网络时代国家安全的战略基石。网络、国家安全的生态环境日益复杂和严峻,对此我们应该充分认识。
一是国际互联网发展格局存在的天然风险。在目前的互联网格局中,美国通过控制域名解析服务器掌握全球互联网的主动脉。美国握有互联网的核心技术,牢牢地控制着全球互联网的运行,属于全球互联网的监控者,直接威胁着他国网络国防安全,随时可以让他国的互联网瘫痪。
二是网络战催生的军事对抗全新威胁。世界强国都很重视网络战,把它当做未来战争的重要形态。美国将强化网络战能力作为军事改革计划的一个重点,设有专门的网络司令部,五角大楼的网络安全战略报告将网络战列为冲突战术选项,提出了保障自身网络安全、反击重大网络攻击和吓阻重大网络攻击三大任务。从某种意义上来说,网络战是美军手中新的零伤亡“核武器”。
三是大数据、云计算等技术发展带来的巨大挑战。无处不在的智能终端、随时在线的网络传输、互动频繁的社交网络,让以往只是网页浏览者的网民的面孔从模糊变得清晰。通过大数据分析可以对政府机关、国防军队、社会组织、公司企业和公民个人进行精准画像、行为还原,对采集到的数据做比对、系统整合,就比较容易破解和掌握一个国家和社会的要害信息和安全命脉。
四是网络防范意识薄弱和技术依赖滋生的安全漏洞。强调,“互联网核心技术是我们最大的‘命门’,核心技术受制于人是我们最大的隐患”。我国主流防火墙技术和杀毒技术大都来自国外,自主可控、高技术含量的网络安全产品匮乏,进口的计算机、交换机、路由器等可能被故意预留控制端口,存在着被非法“入侵”和“窃听”的可能。引进技术设备的网络远程服务十分普及,大型电力机组、高精尖的数控设备以及生产线等,都与国外企业技术联网,在进行网上远程诊断、技术升级、维修保养等售后服务的同时,外方也能时时监控设备运转和生产情况,不仅令我自身“门户洞开”,关键时候还可能接受指令而停止工作。
五是网上意识形态斗争的复杂形势。某些西方国家凭借其文化霸权和网络信息强势,将网络变成实施渗透的主渠道,大肆输出西方意识形态,鼓吹西方政治制度模式,诋毁攻击我们的政治制度和价值观念。某些国内网络大V散布谣言,扰乱社会秩序,故意混淆是非、颠倒黑白、蓄意炮制虚假新闻、歪曲历史、恶意诋毁公众人物,不断制造事端。
3.树立大视野,努力掌握互联网全球治理主动权。增强网络意识,强化网络安全观,要运用全球视野、发展眼光、辩证思维,旗帜鲜明地主张和维护好网络安全,夺取网络空间的制高点,争取更大的战略主动。
一是世界眼光。尊重网络与构建网络空间命运共同体是辩证统一的,网络安全是构建网络空间命运共同体的前提,网络空间命运共同体是网络安全的保障。在第二届世界互联网大会上,提出互联网发展的“四项原则”和“五点主张”,就是要推动形成网络空间“最大公约数”,达成基本共识,与世界各国一道,在彼此尊重网络的基础上,携手构建网络空间命运共同体。
二是中国立场。“四项原则”和“五点主张”既是为全球网络治理开出的药方,也是彰显中国智慧的立场表达。我们要坚持“四项原则”和“五点主张”,高举和平利用网络空间、反对网络犯罪、网络恐怖、网络霸权的旗帜,树立负责任的网络大国形象。同时,要利用国际组织、国际学术论坛,加强国际合作,参与相关法律文件的制定,表达和阐释好维护网络的利益诉求。
三是创新思维。“相互依存”“相互关联”“相互传导”是复杂网络思维的内在规律,要从“点对点”“要素到要素”“领域到领域”的传统思维中解放出来,运用“点到网”“网到点”“网到网”的思维理念,把握脉络、认清规律,更好地分析和洞察国家网络问题。
四是技术突破。强调,同世界先进水平相比,同建设网络强国战略目标相比,我们在很多方面还有不小差距,其中最大的差距在核心技术上。要从基础技术、通用技术,非对称技术、“杀手锏”技术和前沿技术、颠覆性技术入手,坚定不移实施创新驱动发展战略,制定信息领域核心技术设备发展战略纲要,强化重要领域和关键环节任务部署,尽快在核心技术上取得突破,争取在某些领域、某些方面实现“弯道超车”,实现从跟跑并跑到并跑领跑的转变。