首页 资料文库 期刊中心 杂志订阅 发表指南 个人中心
美章网 精品范文 信息网络安全论文范文

信息网络安全论文范文

信息网络安全论文

信息网络安全论文范文第1篇

通过将内部网络间接连接到网络上就可以实现物理隔离,这就是物理安全防范措施。通过物理安全防范可以实现保护工作站、网络服务器以及路由器等硬件免受自然灾害以及人为因素的影响。唯有将公共网与内部网物理隔离开,才能够保证内部网络免受黑客等的入侵,在一定程度上保证安全,并且更有利于管理人员的控制、管理。

2防病毒技术

计算机病毒难以根除,具有强大的攻击性,可以破坏计算机中的应用程序,甚至可以删除文件、格式化硬盘,因此现阶段防范计算机病毒是保障信息网络安全的重点。通过多年的科学研究,现阶段已经有三种常见的病毒防范技术,分别是预防病毒、检测病毒和网络消毒。

3施行身份认证

通过确认操作者身份来保证网络安全的技术称之为身份认证技术。常见的身份认证有两种方式,分别是主机之间的认证、主机与用户间的认证。主机与用户之间的认证可以通过设置密码、用户生理特征、智能卡等多种方式进行设置。

4防火墙技术

防火墙技术是现阶段使用频率最高的安全防范技术。防火墙技术的技术核心就是通过构建一个比较安全的环境来尽量保证用户的网络安全。防火墙可以根据用户的个人需求来控制网络域间的信息安全,并且防火墙本身也具有一定的攻击能力。现阶段防火墙主要有三种,分别是:全状态包过滤型、包过滤型以及服务器型。

5采用入侵检测技术

用户采用入侵检测技术后,就可以及时检测到系统中的异常现象,并及时报告,继而达到保障网络安全的目的。漏洞扫描技术。通过对电脑进行全方位的检测,及时更新漏洞补丁,完成修复就可以减少黑客利用漏洞发动攻击的几率,继而达到保护用户网络的目的。

6合理的管理措施

通过多方面的安全管理措施,例如:完善计算机管理技术,建立管理机构,加强用户安全教育等方式来预防和控制病毒与黑客给用户带来的影响。使用信息加密技术。在网络中,每个用户都使用了大量的应用程序以便于工作、生活,因此为了保证个人、工作方面的隐私被泄露要采用信息加密技术来保障网络安全。

7结论

信息网络安全论文范文第2篇

国家安全是国家调控机制中一个重要因素,具有举足轻重的地位和作用。“国家安全”也是一个历史的和发展的概念,其内涵依据一个国家所处时代的不同而发展演变。时至今日,“国家安全”早已由狭义上的强调国家不受外敌入侵的军事安全扩展为一个广义的内容丰富的大体系。其内涵是一个由关系到国家与社会稳定和发展的各种国内外因素共同构成的动态系统。国家安全政策的主要内容,是尽可能对不利于国家稳定和发展的各种国内外因素进行调控,实现国家的安定和预定的国家目标。代表国家的政治实体(政权和政治制度)为了在不断变化的环境中生存和发展,必须在满足现代国家特定的内外需求的同时,符合一定的国际行为规范。对外政策是政治实体试图适应或控制外部环境对内部影响的一系列行动方针或原则,对外政策能否奏效,取决于不同国家在国内治理和对外关系方面发挥效用的能力。从调控和治理之角度来说,国家对外政策是从属于国家安全战略的。在美国实现现代化及走向强国和超级强国的发展过程中,一个显著的特点是在国家安全的名义下,大力发展高科技,而且首先用于军事。军事科技又带动了高科技,进而带动了整个经济的发展。科学技术的不断创新是美国军事力量和经济实力迅速发展的重要因素,对保障其经济繁荣和国家安全发挥了至关重要的作用。美国战后不断提高科研经费在财政预算中的比例,持续把庞大的人力、物力和财力用于发展军事工业。从战后到20世纪70年代末,科研投入的比例一直雄居世界第一。70年代后继续大幅度增加。国防在美国的研发费用中占很大比重。战后美国几项关键性发明,如电子计算机、卫星通信、微电子处理器等,均直接产自于军事研究。即使是在冷战时期,“遏制战略”之父乔治•凯南也认为冷战竞争主要是在各自内部,即“看谁在解决自己的特殊问题时干得最成功”,而不是靠军事手段。美国经济学家约翰•加尔布雷斯则更加明确地指出,西方国家的命运“完全取决于其发展自己生产力的能力”。美国政府推动信息技术的发展,制定国家信息安全战略,并在不同阶段根据内外情况变化进行调整,很大程度亦是因循了上述系统治国理念。20世纪50年代后期至70年代,美国政府为了在冷战中占据主动,围绕“国家安全”进行国内外战略设计与调控,大力支持发展信息技术,资助并主导了互联网的诞生与发展。1957年苏联世界上第一颗人造卫星上天后,艾森豪威尔总统先后签署了两个公共法案,美国国防部高级研究计划署(DARPA)和美国国家航空航天局(NASA)得以创建。这些部门的建立和相关科研预算经费的投入,有力地推动了军事安全信息技术的创新发展。1962年,美国国防部设想建立一种能够保证美国国内外防卫力量在遭到苏联第一次核打击后仍具有生存和反击能力的指挥系统。随之,计算机专家提出了计算机“网络”的概念。1971年,高级研究计划署资助了一个项目———高级研究计划局网络,把接受其补助金的大学的电脑在全国联网,实现了计算机“网络”这一设想。为了对该网络雏形进行统一技术管理,美国国防部于1974年主导建立了TCP(传输控制协议)和IP(因特网协议)(后合称为TCP/IP协议)。同年,美国国防部将TCP/IP协议公开,向全世界无条件地免费提供解决电脑网络之间通信的核心技术。五角大楼如此慷慨地向全球提供互联网技术和相关管理协议,其背后自有其深远的、颇具战略意义的谋虑。在当时的历史背景下,该互联网络是一套有明确假想敌的军事指挥系统,其指挥乃至控制功能需要与内外部环境进行信息交换方能体现(亦即“知己知彼”)。另外,其他国家一旦应用此套技术并采纳其管理规范,就会在虚拟空间产生对“美国制造”网络的需求和依赖,这反过来又推动美国政府进一步放开互联网技术,从军用推广至民用,促进经济利益不断扩大。从历史根源的角度来看,自电子计算机互联技术诞生之日起,其应用和推广过程中存在的信息安全问题就相伴而生。但美国国家信息安全作为一种系统思想和战略,是从20世纪90年代初逐渐形成和发展起来的。它在政策实践上以国内为重点,国内、国外并举,围绕内部稳定和发展与维系全球事务主导地位之战略目标,在国内安全得到保障的基础上,根据不同时期的内外环境特点,制定和适时调整对外政策。

二、网络时代美国信息安全战略之发展

信息安全在美国的国家安全和对外政策中开始上升到战略的高度是在克林顿执政时期。克林顿政府以综合发展和综合治理相结合的理念为基础,将政治、军事、经济、文化、社会等领域有机融合起来,对产业结构进行调整,一方面大力推进信息技术在相关领域的研发;另一方面一步步构建信息安全领域的国家战略。20世纪90年代初,苏联解体、冷战结束后,美国在国外失去了最大的政治军事战略竞争对手,国内则面临经济增长乏力等问题,同时还要应付来自于欧洲和日本日趋激烈的经济竞争。此时上台的克林顿政府为应对这些新的挑战,提出国家安全战略三要点:以军事能力维护美国安全;重振美国经济;在国外推行“民主”。其中,“经济安全”是核心。克林顿政府根据国际局势的变化对军事力量进行了结构性调整,继续加大研发以信息技术为支撑的尖端武器的力度,提高军事人员的素质。与此同时,开始着手信息安全领域的相关部署。1993年,美国政府提出兴建“国家信息基础设施”,即“信息高速公路构想”,对产业结构进行了调整,大力发展信息产业,同时加快用高新技术对传统制造业进行改造。产业结构的变化和信息产业的飞速发展带动了金融和股票市场的繁荣,使美国经济出现了有史以来不间断增长时间最长的时期。到了90年代后期,构建网络空间安全即为保护国家信息安全的战略思想被正式采纳,成为美国政府政策,信息安全的概念随之产生,然后纳入美国国家安全战略体系。由此,网络时代美国国家安全战略框架下的信息安全政策就产生了。1998年5月,克林顿颁布第63号总统令———《克林顿政府对关键基础设施保护的政策》,首次提出了“信息安全”的概念和意义。该文件开宗明义“:美国拥有世界上最强大的军事力量和经济力量,这两种力量相互促进相互依赖,但是也越来越依赖某些关键设施和以网络为基础的信息系统。”在2000年12月克林顿签署的《全球化时代的国家安全战略》文件中,“信息安全”被囊括了进来。这标志着新的历史背景下,信息安全正式成为了美国国家安全战略框架的重要组成部分。在对外关系上,克林顿政府坚持一切以实现国家安全战略要点为根本的政策。而在利用信息技术优势实现经济安全战略目标方面,克林顿对外政策的第一大特点,是把计算机网络作为对外贸易政策的一个重要组成部分。美国在因特网上的商业活动占得先机。1997年,通过因特网上进行的76亿美元商品交易中,美国就占了9/10;美国企业占了全世界网址的70%,占网上总收入的93%。正是基于对全球互联网贸易巨大潜力的认识,1997年7月,克林顿政府公布了网络贸易战略报告《全球网络贸易框架》,强烈要求宣布互联网络为全球自由贸易区,发展技术并制订行为准则。美国政府的目标是尽可能充分地利用自身优势,把它研制的互联网技术标准和制定的内部行为准则推广到全世界,把美国的标准作为全球的标准固定下来,从而在全球虚拟空间贸易竞争中占据主导地位。由此可见,在对外关系方面,发展全球网络贸易并主导国际规则的制定,已成为美国政府维护国家经济安全的一项重要内容。在外交事务方面,克林顿政府的政策之显著特点是推行新霸权主义,大打“人权牌”,以图将美国的人权观和价值观推向全世界,这是克林顿政府安全战略对外部分的核心之一。其中,通过利用网络信息技术进行美国精英治理价值观推广是非常重要的。为了在世界上推行美国的国际规则,克林顿很注意使用“软”的一手。他上台伊始即把在国外推动民主和人权作为其外交政策的第三支柱。他提出的冷战后美国对外关系新战略的内容之一便是“帮助”社会主义国家“扩大民主和市场经济”,极力通过外交手段继续在国际社会中推广美国的价值观。克林顿政府为美国留下的最大一笔外交“遗产”,当属以“新干涉主义”“克林顿主义”等著名的一套“软”“硬”并重的“理论”。克林顿抛出的这套“人权高于”的“理论”,便是美国选择的修改现行国际规则的突破口。而全球推广互联网技术,能相对低成本、高效率地帮助美国政府突破他国境外信息准入屏障,将自己的观念即时传播至当地民众,对舆论造成影响。小布什2001年上台后不久就爆发了“9•11”恐怖袭击。在反恐战争的背景下,为保障美国国家信息安全,防止出现极端事件,美国政府进一步提高了对信息安全的重视程度,战略思想从防御为主转为攻防结合。2003年2月,美国公布了《国家网络安全战略》报告,提出建立美国国家网络空间安全响应系统,正如有学者指出的,此系统可谓是一个国家—民间,公共—私人合作机制。奥巴马2009年上台后,从军事安全角度,进一步强调网络空间战略的进攻能力和威慑性。同时,奥巴马政府将互联网信息安全作为美国外交政策突破国家的便捷途径,对外推进国家利益以及推广自身认可的价值观。同年5月,奥巴马总统批准公布了国家网络安全评估报告:《网络空间政策评估———保障可信和强健的信息和通信基础设施》,指出“美国的经济和安全利益都是以信息系统为基础,……,政府需要综合考虑各方竞争的利益,制定出一个全面设想和计划,以解决美国面临的网络安全问题”;6月,美国创建了世界上第一个网络战司令部。2010年,白宫发表了《2010国家安全战略》,保证将信息安全作为国家安全工作的重点。与克林顿时期相比,奥巴马时期网络安全战略的特点是,网络外溢效应凸显,虚拟空间的传播突破了传统的国界线,同时也影响到了作为最初主导构建网络内外空间的美国政府所要处理的内外问题。

三、信息安全在美国国家安全和对外政策中的作用日益重要

美国“国家安全”的核心目标是主动避免自身关键利益受到伤害,在内外环境中,争取最大程度的主导权。作为国家安全总体战略的一个部分,美国的国家信息安全战略也即为此目标服务。在当代,信息技术与国家安全的关系越来越密切。信息安全上升到国家安全战略的高度后,在美国的对外政策中起了越来越重要的作用。主要体现在以下几个方面。信息安全在美国的世界秩序构建中具有十分重要的地位。乔治•里卡斯对美国的世界秩序作了贴切的描述:“首先是尽可能扩大和巩固生存空间,建立并巩固一种更为广泛的秩序,这种秩序在美国力量强大时是它自我表演的舞台;在遇到失败或力量相对衰落时是支持和复兴的力量;即使美国最终衰败时,也会“成为被人们铭记和仿效的楷模”。在网络时代,美国政治精英们相信“信息就是权力”。美国政府推行的信息安全战略是为美国国家安全战略服务的有力工具。美国对外安全战略总的要求是,防止敌对和不友好势力对美国利益的损害,美国的中心目标是建立一个以它为主导的世界秩序,信息安全无疑成为成本低、效果显,影响既广泛又深远的政策手段。第二次世界大战后,美国的国内外政策相互影响,两者之间的关系越来越密切。究其原因,主要是政府和国会动辄以“国家安全”对美国的内外政策加以诠释。“世界秩序”则日益成为美国“国家安全”掩盖下“霸权有理”的代名词,它涵盖了美国由企图主宰世界到试图主导世界的策略上的转变过程。而信息安全则成为美国国家安全中日益重要的内容。 国际规则是规制世界秩序的大法。美国对其信息主导地位的维护对全球信息安全规则产生了重大影响。为了使其易于接受,美国对其信息安全战略(政策)重新进行了诠释,突出并强调该战略中的“国际性”,极力诠释其战略目标及实现手段和规则制定之“道德性”,意图在于通过“道德性”来掩盖美国争取国际网络空间规则制定主导权以及相关利益的真实目的,通过“国际性”来印证其“道德性”。美国在实现手段和规则方面精心设计,力图使其显得在最大程度上符合全球化和人类安全问题的时代潮流。2011年美国政府出台的第一份《网络空间国际战略》,首次明确将互联网自由纳入维护网络安全政策体系之内,“将此项努力与二战后建立经济和军事安全的全球框架相提并论”。从这份《网络空间国际战略》文件可以看出,信息技术在21世纪快速发展与全球普及,已经对国际秩序造成了深远影响,美国作为国际社会霸主,意识到自己必须通过强调自身国家安全战略的“国际性”与“道德性”来重新构建其世界影响力的合法性与合理性。网络技术和信息安全对于提高美国的综合国力起了巨大的推动作用。实力是一国制定外交政策的基本参考标准,信息技术的发展对美国综合国力的进一步提高产生了深刻影响。美国从20世纪80年代末开始越来越重视“软”力量的作用。其外交政策的一个显著特点就是综合使用或交替使用政治、经济和文化意识形态手段。约瑟夫•奈认为,冷战结束后,意识形态的冲突将让位于更危险的各种文明之间的冲突,属于不同文化范围的各个民族的文明之间的冲突正是为了扩大自己的支配权;他还认为,在当今时代“,硬实力和软实力同样重要,但是在信息时代,软实力正变得比以往更为突出”。基欧汉和奈在论述信息与权力的关系时指出:“信息和美国大众文化的传播增进了美国观念和价值观在全球的认知和开放”;“在21世纪,广义的信息能力可能会成为最关键的权力资源”,“信息革命的最终影响是,改变政治进程,在软、硬权力的关系中,软权力比过去更为重要。”网络外交的出现,使软实力的重要性进一步提升。布什政府时期,美国的对外政策开始向利用综合力量进行调控。克林顿上台后更加重视“软”力量,把美国式的民主和西方资本主义经济作为普遍原理在全世界推广。他在20世纪末向国会提交的《新世纪国家安全战略》强调,美国必须致力于外交“,为防止冲突、促进民主、开放市场”等方面花的每一美元都肯定会在安全上得到回报。奥巴马总统则更加主动地出击,把《网络空间国际战略》称为“美国第一次针对网络空间制定全盘计划”。不难看出,美国政府是要将信息技术优势充分为己所用,营造有利于自身稳定与发展的外部环境,通过危机管理、推广民主和市场开放来塑造信息化时代的全球价值观,增强自身国际影响力,进而巩固和提高国家实力。信息技术的发展对外交决策的影响越来越大。自上世纪末,美国产业结构就已经发生了重大变化,长期以来在产业结构中居于主导地位的钢铁、石油、化工等产业的地位逐渐下降,以半导体、微电子、计算机、软件业为代表的信息技术产业迅速崛起。早在20世纪90年代,微软、英特尔公司就已取代了美国三大汽车公司当年的地位,成为美国经济保持持续增长的主要推动力。至今,信息产业已成为美国最大的产业,伴随着这种变化,一批新的权势人物也涌现出来,对美国的对外政策产生了重大影响。这批新的权势人物拥有强大的经济实力做后盾,将逐渐在美国的政治权力架构中扮演举足轻重的角色。他们有能力通过参与或资助竞选、游说国会、制造和影响舆论等方式影响美国内政外交的酝酿和制定。鉴于信息技术产业如今在美国经济发展中所占据的重要地位,美国政府制定对外政策(尤其是经贸政策和知识产权问题)时势必要考虑这一产业集团代表的利益与要求。

四、信息安全:美国国家安全和对外政策的“双刃剑”

互联网的发展促进了人类的生产力的提高,在政治、经济、军事等方面的积极作用毋庸置疑,但其“双刃剑”的角色也不可否认。对于美国这样的超级大国,现代网络信息技术对其国家安全和外交活动的影响更是双重的。主要体现在以下几个方面。网络安全遇到的威胁日益严重。计算机病毒利用现代计算机网络技术进行传播,对网络信息系统进行攻击和破坏,对外交信息安全造成了严重威胁。黑客攻击是另一种破坏程序,可给外交人员及国家带来严重影响,甚至威胁国家和地区的安全。近些年来,不单是美国,世界其他主要国家也将信息安全列为国家安全的重要威胁。如,俄罗斯在2000年9月把国家信息化建设作为其外交的一个重要组成部分。英国政府2010年10月公布的《国家安全战略》将网络战列为英国今后面临的“最严重威胁”之一。随着全球化的发展,网络已经直接影响到世界各国的政治、经济和社会运转,控制着世界信息流动和国际经济命脉如何切实维护网络安全,各国尚无万全之策,美国也不例外。对西方价值观,特别是人权观的影响愈发明显。批判理论家罗伯特•考克斯指出,社会结构是主体间互动的结果,是社会建构而成的。人类安全和人权问题越来越受重视。按照西方资本主义的意识形态和美国自己的文化价值观去“规范”全世界,是美国国家安全战略的一项重要内容,且占有越来越突出的位置。冷战结束后,美国等西方国家把“捍卫西方价值观”推到外交和国家安全的前台。20世纪90年代以来成为西方一个重要政治理论“第三条道路”宣称的对外政策的两大实质,一是向全世界推广西方的自由、民主、人权、法治等价值观,二是推行“人权高于”“人权无国界”“有限”“过时论”等观念。美国在“互联网打上了美国价值观的烙印”。但美国自身也是精英治理与个人自由之间矛盾着的混合体,一边是现实,一边是信仰及理想。“美国价值观”在对外政策(人权问题、个人自由、道德观)方面定调太高,看上去很美,但真正落实起来,困难很多。如屡屡发生的美国利用网络信息技术对国内,特别是对别国机构和重要人物的窃听丑闻,最有名的是斯诺登揭秘案例,就大大削弱了美国的“道德”影响力。正在逐渐削弱美国等西方国家的霸权地位。1999年,约瑟夫•奈在《信息革命与国际安全》一书中,把信息技术革命视为21世纪美国在国际事务中保持主导地位、发挥更大作用的一种重要“软力量”。美国凭借其在信息技术和互联网方面的优势谋求全球信息化主导权,以获取“信息霸权”来进一步巩固和扩大其21世纪全球唯一超级大国的影响力,强化其“全球霸权”地位。迄今为止,以美国为首的少数西方发达国家在信息领域仍占有很大优势,确立并保持着“信息霸权”。他们深信自身的政治主张和价值观念具有优越性和普世价值,同时对政治体制和价值观不同的国家心存偏见,在不完全了解这些国家(特别是广大发展中国家)具体历史和现实国情的情况下,干涉别国内政,制造民族间、国家间和不同宗教间的矛盾,招致了越来越多的不满、嫉恨,为自己催生、培育了越来越多的对立面。一些宗教团体、政治党派、极端组织等也通过各种信息传输手段传播不利于、甚至反对美国等西方国家的各种主张。从国家层面来看,全球网络信息空间主要的行为体仍是各个国家,在国际体系信息安全规范仍然缺位的情况下,各国均设法扩大本国网络空间安全边界来保障国家安全,由此产生的结果是合作与博弈并存。美国对此情况显然已经有了一定程度的认识,但仍无法摆脱过于以自我为中心的价值判断,白宫在2011年5的《网络空间国际战略:构建一个繁荣、安全和开放的网络世界》,被解读为既是“合作的邀请”又是“对抗的宣言”。长期以来美国等西方发达国家主导着互联网治理的话语权,从标榜互联网“开放、共享、无国界”到借“网络自由”等抨击其他国家的网络安全治理。这些不可避免地引起了其他国家或机构层级的抵制乃至对立。总的来看,美国在信息领域正经历从“霸权”到“王权”的转变过程。对国际关系概念和公共外交带来挑战。伴随着网络信息技术的飞速发展和空间技术的应用,传统的“国家“”领空”和“领土”等概念受到了一定程度的影响。利用高科技手段制造和传播旨在削弱、颠覆他国政权的信息、刺探情报或进行洗钱等活动,给国家安全增添了新的防范问题。1965年“公共外交”概念被首次提出并得到运用,该外交策略试图通过现代信息通讯等手段影响其他国家的公众,以帮助外交政策的形成与推行。美国是“公共外交”的有力践行者,白宫大力开展思想文化传播,实施外交战略,在网络信息空间构建“公共外交”的实践场域。但通过互联网频频披露的美国政府之种种劣行,无疑也会损害美国的形象,侵蚀美国透过外交展现的“软”实力和“巧”力量。此外,信息安全“双刃剑”还体现在这些方面:(1)随着网络信息技术的深入发展,美国的国家安全正遭受着越来越大的非传统威胁,对传统国家政治治理模式造成了挑战。(2)政府权威受到进一步挑战,个人、企业、非政府组织、、社会运动等都成为影响国际政治的重要变量,削弱了美国及许多国家政府对本国事务的控制能力;国家外交政策的合法性在网络上受到更多质疑的同时,政府对网络舆情的管理更加困难,对外交议程的控制力也会相应减少,如美国国防部因无法合理解释关塔那摩监狱的虐囚事件而在网上广受诟病。(3)面临更多的国内外问题。美国虽在建立其国际安全体系方面“成就”显著,但用于“国家安全”上的开支增加迅猛,这固然刺激和带动了经济的发展,但同时也背负着过多的支出;它既可提高国家的安全系数,同时也增加了易受攻击的“软肋”。

五、结语

信息网络安全论文范文第3篇

1.1设计目标网络安全检测系统需要对网络中的用户计算机和网络访问行为进行审计,检测系统具有自动响应、自动分析功能。自动相应是指当系统发现有用户非法访问网络资源,系统将自动阻止,向管理员发出警示信息,并记录非法访问来源;自动分析是根据用户网络应用时应用的软件或者网址进行分析,通过建立黑名单功能将疑似威胁的程序或者方式过滤掉。此外,系统还具有审计数据自动生成、查询和系统维护功能等。

1.2网络安全检测系统架构网络安全检测系统架构采用分级式设计,架构图如。分级设计网络安全检测系统具有降低单点失效的风险,同时还可以降低服务器负荷,在系统的扩容性、容错性和处理速度上都具有更大的能力。

2系统功能设计

网络安全检测系统功能模块化设计将系统划分为用户身份管理功能模块、实时监控功能模块、软件管理模块、硬件管理模块、网络管理和文件管理。用户身份管理功能模块是实现对网络用户的身份识别和管理,根据用户等级控制使用权限;实时监控模块对在线主机进行管理,采用UDP方式在网络主机上的检测程序发送监控指令,检测程序对本地进行列表进行读取,实时向服务器反馈信息;软件管理模块是将已知有威胁的软件名称、参数等纳入管理数据库,当用户试图应用此软件时,检测系统会发出警告或者是拒绝应用;硬件管理模块对网络中的应用硬件进行登记,当硬件非法变更,系统将发出警告;网络管理模块将已知有威胁网络IP地址纳入管理数据库,当此IP访问网络系统时,检测系统会屏蔽此IP并发出警告;文件管理模块,对被控计算机上运行的文件进行实时审计,当用户应用的文件与系统数据库中非法文件记录匹配,则对该文件进行自动删除,或者提示用户文件存在风险。

3数据库设计

本文所设计的网络安全检测系统采用SQLServer作为数据库,数据库中建立主体表,其描述网络中被控主机的各项参数,譬如编号、名称、IP等;建立用户表,用户表中记录用户编号、用户名称、用户等级等;建立网络运行状态表,其保存网络运行状态结果、运行状态实际内容等,建立软件、硬件、信息表,表中包含软件的名称、版本信息、容量大小和硬件的配置信息等;建立软件、网址黑名单,对现已发现的对网络及主机具有威胁性的非法程序和IP地址进行记录。

4系统实现

4.1用户管理功能实现用户管理功能是提供网络中的用户注册、修改和删除,当用户登录时输出错误信息,则提示无此用户信息。当创建用户时,系统自动检测注册用户是否出现同名,如出现同名则提示更改,新用户加入网络应用后,网络安全检测系统会对该用户进行系统审核,并将其纳入监管对象。系统对网络中的用户进行监控,主要是对用户的硬件资源、软件资源、网络资源等进行管控,有效保护注册用户的网络应用安全。

4.2实时监控功能实现系统实时监控功能需要能够实时获取主机软硬件信息,对网络中用户的软件应用、网站访问、文件操作进行检测,并与数据库中的危险数据记录进行匹配,如发现危险则提出警告,或者直接屏蔽危险。

4.3网络主机及硬件信息监控功能实现网络主机及硬件信息监控是对网络中的被控计算机系统信息、硬件信息进行登记记录,当硬件设备发生变更或者网络主机系统发生变化,则安全检测系统会启动,告知网络管理人员,同时系统会对网络主机及硬件变更的安全性进行判定,如发现非法接入则进行警告并阻止连接网络。

5结束语

信息网络安全论文范文第4篇

[摘要]随着互联网的全面普及,基于互联网的电子商务应运而生,近年来获得了巨大的发展。作为一种全新的商务模式,它对企业管理水平、信息传递技术都提出了更高要求,其中电子商务网站的安全控制显得尤为重要。本文从电子商务网站的建立开始,对安全问题作一个基本的探讨,重点阐述了电子商务系统中的系统安全、数据安全、网络交易平台的安全。只有安全、可靠的交易网络,才能保证交易信息安全、迅速地传递,才能保证数据库服务器的正常运行。

[关键词]互联网;电子商务;系统安全;数据安全;网络系统

一、前言

近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。

从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。

二、电子商务网站的安全控制

电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。

下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。

(一)系统安全

在电子商务中,网络安全一般包括以下两个方面:

1.信息保密的安全

交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

2.交易者身份的安全

网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。

对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。

(1)网络系统

网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:

网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。

系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。

访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。

身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。

安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。

(2)操作系统

操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。

应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。

系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。

(3)应用系统

办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。

文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIAPC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。

业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。

(二)数据安全

数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。

数据库安全——大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。

数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。

(三)网络交易平台的安全

网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。

交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准。

交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。

交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。

随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。

PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(CertificationAuthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。

三、目前信息安全的研究方向

从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。

安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。

目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。

四、结束语

电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。

参考文献:

[1]佚名.解析电子商务安全[EB/OL].

[2]佚名.网络构建与维护[EB/OL].,2006-07-16.

[3]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.

信息网络安全论文范文第5篇

信息人才教育培养途径

1.学历教育

加强学科专业建设是加强信息安全人才培养的一个重要途径。自2001年教育部批准信息安全专业以来,我国已有100多所高校设置了信息安全类相关本科专业。2015年,国务院学位委员会、教育部联合发文《关于增设网络空间安全一级学科的通知》,旨在全面提升网络空间安全学科建设水平,为网络空间安全学科的发展带来机遇。事实上,网络空间安全学科在我国经过10多年的发展,理论和技术已经较为成熟,主要体现在以下几个方面:一是网络空间安全学科具有明确的研究对象,并形成相对独立的理论体系和研究方法。研究对象是网络空间及其安全问题。二是网络空间安全已经形成了若干相互关联的二级学科研究方向,密码学及应用、系统安全、网络安全是本学科多年来公认的三个比较成熟的研究领域,另外,还包括网络空间安全基础理论和应用系统安全。三是网络空间安全的研究已得到国内外学术界的普遍认同,并已经积累了多年的研究或信息安全相关专业人才培养的经验和基础。高校的信息安全和网络空间安全专业学历教育毕业生是网络信息安全人才培养的重要渠道之一。

2.安全竞赛

信息网络安全具有很强的实践性,高校培养的信息安全人才和企业的实际需求还存在一定的差距,为了解企业对于信息安全人才的需求,高校师生参加网络安全技能竞赛,通过竞赛查不足、补短板,激发学生的学习热情,增强学习的针对性。高校可与网络安全相关度高、需求迫切的企业建立长期对口合作关系,根据企业实际需求培养学生实践能力。

3.单位内训

高校毕业生毕业进入企事业单位后,需要快速融入企业,掌握本岗位所需各种技能,很多单位针对信息安全从业人员组织单位内训。目前,很多单位采用在线授课和面授方式组织单位内部的信息安全培训。通过短期面授的方式组织信息安全培训,快速提升企业员工的岗位技能。企业内部的在线教育平台提供信息网络安全实践环境,这些在线教育的平台除了可以提供面向信息安全相关专业的相关课程实验之外,还紧跟国内外最新的安全技术发展与典型的安全热点事件,通过适当的简化与还原,为单位内训提供一系列与时俱进的创新型实践环境。

4.持续教育

信息安全持续教育是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。国内与信息安全行业相关的培训机构也逐年增多,通过培训机构的持续教育提高信息安全专业毕业生的总体水平。国内现有的信息安全认证培训已经建立了多层次、综合性与专业性相结合的体系,从数量到质量都得到长足发展,为国家信息安全的人才培养打下良好基础。通过开展面向信息安全认证从业人员的专业持续教育培训工作,提高了信息安全认证相关人员的执业水平,加快了我国信息安全专业技术人才队伍的培养,保障了信息安全认证人员队伍的质量和数量。

信息安全人才教育培养所需条件

信息安全人才教育培养需要体系化教材、专业化师资和系统化实践环境。

1.体系化教材

体系化优秀教材是网络空间安全专业人才的关键,但是,这却是一项十分艰巨的任务。原因有二:其一,网络空间安全的涉及面非常广,至少包括密码学、数学、计算机、操作系统、通信工程、信息工程、数据库等多门学科,因此,其知识体系庞杂、难以梳理;其二,网络空间安全的实践性很强,技术发展更新非常快,对环境和师资要求也很高。教材是教学的基础。优秀体系化教材建设需要制定科学合理的网络安全教材编写方案,邀请高水平学者加入教材编委会,明确分工、层层把关,做好教材的编纂、评审和发行工作。此外,还可以开发视频教学资源,推动传统书本教材向多媒体互动式教材转化提升,可加强入门性、普及性培训教材和相关科普读物的编写。

2.专业化师资

信息网络安全人才培养离不开专业化师资队伍。新设立的网络安全学院需要大量的学术水平高的教师,以提高我国网络空间安全教育的整体水平。针对一些高校网络安全方面教师缺乏的情况,可以采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。积极创造条件,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师到网信企业、科研机构和国家机关进行科研合作或挂职。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。

3.系统化实践

网络空间安全是一门综合性学科,不仅具有很强的理论性,同时也具有很强的实践性,许多安全技术与手段需要在最新的仿真实践环境中去认识和体会。提高学生维护网络安全的实际能力,需要结合课程设计逼真的网络攻防环境,搭建基于网络对抗的仿真模拟演练平台,进行系统化实践才能为社会提供具有丰富的理论知识和良好的实践技能的应用型人才。

信息网络安全论文范文第6篇

随着信息产业的高速发展,众多企业都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。

关键字:信息系统信息安全身份认证安全检测

Abstract:

Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.

Keywords:InformationsystemInformationsecurity

StatusauthenticationSafeexamination

一、目前信息系统技术安全的研究

1.企业信息安全现状分析

随着信息化进程的深入,企业信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。

2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%.

对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低。

2.企业信息安全防范的任务

信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:

从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。

从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。

信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。

二、计算机网络中信息系统的安全防范措施

(一)网络层安全措施

①防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。

防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。

②入侵检测技术

IETF将一个入侵检测系统分为四个组件:事件产生器(EventGenerators);事件分析器(EventAnalyzers);响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。

根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID(IntrusionDetection):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。

对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(CSignature-Based),另一种基于异常情况(Abnormally-Based)。

(二)服务器端安全措施只有正确的安装和设置操作系统,才能使其在安全方面发挥应有的作用。下面以WIN2000SERVER为例。

①正确地分区和分配逻辑盘。

微软的IIS经常有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。本系统的配置是建立三个逻辑驱动器,C盘20G,用来装系统和重要的日志文件,D盘20G放IIS,E盘20G放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。因为,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。

②正确

地选择安装顺序。

一般的人可能对安装顺序不太重视,认为只要安装好了,怎么装都可以的。很多时候正是因为管理员思想上的松懈才给不法分子以可乘之机。Win2000在安装中有几个顺序是一定要注意的:

首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000SERVER之前,一定不要把主机接入网络。

其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装,尽管很麻烦,却很必要。

(三)安全配置

①端口::端口是计算机和外部网络相连的逻辑接口,从安全的角度来看,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性——TCP/IP——高级——选项——TCP/IP筛选中启用TCP/IP筛选,不过对于Win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口;这样对于需要开大量端口的用户就比较麻烦。

②IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,所以在本系统的WWW服务器采取下面的设置:

首先,把操作系统在C盘默认安装的Inetpub目录彻底删掉,在D盘建一个Inetpub在IIS管理器中将主目录指向D:\Inetpub。

其次,在IIS安装时默认的scripts等虚拟目录一概删除,这些都容易成为攻击的目标。我们虽然已经把Inetpub从系统盘挪出来了,但这样作也是完全必要的。如果需要什么权限的目录可以在需要的时候再建,需要什么权限开什么。特别注意写权限和执行程序的权限,没有绝对的必要千万不要给。

③应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指出的是ASP,ASP和其它确实需要用到的文件类型。我们不需要IIS提供的应用程序的映射,删除所有的映射,具体操作:在IIS管理器中右击主机一属性一WWW服务编辑一主目录配置一应用程序映射,然后就一个个删除这些映射。点击“确定”退出时要让虚拟站点继承刚才所设定的属性。

经过了Win2000Server的正确安装与正确配置,操作系统的漏洞得到了很好的预防,同时增加了补丁,这样子就大大增强了操作系统的安全性能。

虽然信息管理系统安全性措施目前已经比较成熟,但我们切不可马虎大意,只有不断学习新的网络安全知识、采取日新月异的网络安全措施,才能保证我们的网络安全防御真正金汤。

参考文献:

刘海平,朱仲英.一个基于ASP的在线会员管理信息系统.微型电脑应用.2002(10)

东软集团有限公司,NetEye防火墙使用指南3.0,1-3

贾晶,陈元,王丽娜编著,信息系统的安全与保密,第一版,1999.01,清华大学出版社

EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94

杨兵.网络系统安全技术研究及其在宝钢设备采购管理系统中的应用:(学位论文).辽宁:东北大学,2002

刘广良.建设银行计算机网络信息系统安全管理策略研究:(学位论文).湖南:湖南大学.2001

信息网络安全论文范文第7篇

信息安全的内涵随着信息技术的不断发展而得到了扩展,从原始的保密性逐渐增加了完整性、可控性及可用性等,最终形成的集攻击、防范、检测与控制、管理、评估等与一体的理论体系。传统的信息安全技术将注意力都集中在计算机系统本身的安全方面,针对单机系统环境而进行设置,不能够对计算机网络环境安全进行良好的描述,也缺乏有效应对动态安全问题的措施。随着计算机网络的不断发展与推广,互联网逐渐具备了动态变化性,而传统的静态安全模式已经不能够满足其安全要求了。在这种背景之下,信息安全体系结构的出现更好地满足了计算机网络的安全需求,因此得到了迅速的发展与推广。信息安全体系结构的思路为:通过不同安全防护因素的相互结合实现比单一防护更加有效的综合型防护屏障,这种安全防护体系结构能够更好地降低黑客对计算机网络的入侵与破坏,确保计算机网络安全。

计算机网络的信息安全体系结构的主要作用就是为信息保障、数据传递奠定坚实的基础。随着计算机网络所面临的风险与压力的不断增大,为了能够更好地确保信息安全,必须注重计算机网信息安全体系结构完整性、实用性的提高。在科技的不断发展与进步的基础之上,提出了计算机网络信息安全体系结构——WPDRRC结构,不同的字母代表不同的环节,主要包括warnin(g预警)、protect(保护)、detectio(n检测)、respons(e响应)、restor(e恢复)、counterattac(k反击)六个方面,各个环节之间由于时间关系而具有动态反馈的关系。在计算机网络的信息安全体系结构中,预警模块、保护模块与检测模块都是以预防性为主的,通过保护与检测行为对黑客入侵计算机进行较为有效的制止。当前,虽然计算机网络信息安全技术已经比较先进,但是由于计算机网络所具有的开放性,其安全性依旧是面临一定威胁的。因此,在计算机网络的信息安全体系结构中,响应模块、恢复模块与反击模块主要的作用是解决实质性的工作,对已经出现的各种安全问题进行有效地解决,确保计算机网络信息安全。

1.1warnin(g预警)整个计算机网络的信息安全体系结构中,预警模块是最为根本的所在,主要的作用是对计算机网络的信息安全进行诊断,该诊断具有预防性。同时,预警结构通过研究计算机网络的性能,提出具有科学性与合理性的评估报告。

1.2protect(保护)保护结构主要的作用是对计算机的信息安全系统提供保护,确保计算机网络在使用过程中的安全性,有效地封锁、控制外界对计算机网络的入侵及攻击行为。保护结构能够对计算机网络进行安全设置,实现对计算机网络的检查与保护,其检查与保护工作的重点内容就是网络总存在的各种可能被攻击的点或者是存在的漏洞,通过这些方式为信息数据在计算机网络中的安全、通畅应用提供条件。

1.3detectio(n检测)计算机网络的信息安全体系结构中的检查结构主要的作用是对计算机受到的各种攻击行为进行及时、准确的发觉。在整个信息安全体系结构中,检测结构具有隐蔽性,主要的目的是防止黑客发现并恶意修改信息安全体系结构中的检测模块,确保检测模块能够持续为计算机网络提供保护,同时还能够促进检测模块自身保护能力的提高。检测模块一般情况下需要与保护模块进行配合应用,从而促进计算机网络保护能力与检测能力的提高。

1.4respons(e响应)当计算机网络信息安全体系结构中出现入侵行为之后,需要及时通过冻结措施对计算机网络进行冻结,从而防止黑客的入侵行为进一个侵入到计算机网络中。同时,要通过相应的响应模块对入侵进行响应。例如,计算机网络信息安全体系结构中可以通过阻断响应系统技术实现对入侵及时、准确的响应,杜绝黑客对计算机网络更加深入的入侵行为。

1.5restor(e恢复)计算机网络信息安全体系结构中的恢复模块主要的作用是在计算机网络遭受到黑客的攻击与入侵之后,对已经损坏的信息数据等进行及时的恢复。在对其进行恢复的过程中,主要的原理为事先对计算机网络中的信息文件与数据资源进行备份工作,当其受到攻击与入侵之后通过自动恢复功能对其进行修复。

1.6counterattac(k反击)计算机网络信息安全体系结构中的反击模块具有较高的性能,主要的作用为通过标记跟踪功能对黑客的入侵与攻击进行跟踪与标记,之后对其进行反击。反击模块首先针对黑客的入侵行为进行跟踪与标记,在此基础上利用侦查系统对黑客入侵的方式、途径及黑客的地址等进行解析,保留黑客对计算机网络进行入侵的证据。与此同时,反击模块会采用一定的反击措施,对黑客的再次攻击进行有效的防范。

2计算机网络信息安全体系结构的防护分析

当前,在对计算机网络信息安全体系结构进行防护的过程中,较为常用的就是WPDRRC结构,其主要的流程包括攻击前防护、攻击中防护与攻击后防护三个方面。

2.1信息安全体系结构被攻击前防护工作在整个的计算机网络中,不同的文件有着不同的使用频率,而那些使用频率越高的文件就越容易受到黑客的攻击。因此,信息安全体系结构的被攻击前防护工作的主要内容就是对这些比较容易受到黑客攻击的文件进行保护,主要的保护方式包括防火墙、网络访问控制等。通过WPDRRC结构对其中存在的威胁因素进行明确,有针对性地进行解决措施的完善。

2.2信息安全体系结构被攻击中防护工作当计算机网络受到攻击之后,信息安全体系结构的主要防护工作为阻止正在进行中的攻击行为。WPDRRC结构能够通过对计算机网络系统文件的综合分析对正在进行中的攻击行为进行风险,同时能够对计算机网络中各个细节存在的变动进行感知,最终对黑客的攻击行为进行有效的制止。

2.3信息安全体系结构被攻击后防护工作当计算机网络受到攻击之后,信息安全体系结构主要的防护工作内容为对计算机网络中出现的破坏进行修复,为计算机网络的政策运行提供基础。同时,恢复到对计算机网络信息安全的保护中。

3计算机网络信息安全体系结构中加入人为因素

IT领域中都是以技术人员为主体来对产业雏形进行构建的,因此在IT领域中往往存在着及其重视技术的现象,主要的表现为以功能单纯而追求纵向性能的产品为代表,产品的覆盖范围限制在技术体系部分,缺乏对组织体系、管理体系等其他重要组成部分的重视。因此,只有在计算机网络信息安全体系结构中加入人为因素才具有现实意义。在计算机网络信息安全体系结构的构建过程中,应该注重以组织体系为本,以技术体系为支撑,以管理系统为保证,实现三者之间的均衡,从而真正发挥计算机网络信息安全体系结构的重要作用。

4总结

信息网络安全论文范文第8篇

1.1“一机多用”问题时有发生

目前,有部分公安人员缺乏一定的保护意识,上班时间用智能手机、笔记本等具有无线上网功能的电子产品连接公安网,还有部分公安部门报废的计算机未进行硬盘格式化处理等问题时有发生。由此可见,“一机多用”问题对公安计算机信息安全有着很大的威胁,甚至会导致其它网络病毒攻击公安网,进而泄漏重要的警务信息,引发其他的安全事故。

1.2电脑经常遭受病毒入侵

公安计算机时常遭受病毒的原因主要是由于以下三点,第一,部分公安人员随意在计算机上下载未知软件、插拔U盘和移动硬盘等;第二,使用公安网的部分电脑没有装备杀毒软件,就算是有此类软件但是也不能及时升级维护,进而使一些新病毒无法识别不能清除;第三,有的公安部门在电脑发生故障或添置新电脑时,不按规定程序申报,反而请外界的专业维修人员来做系统,进而导致很多病毒趁机入侵计算机信息网络。

1.3存在计算机违规保密现象

经过相关报告和检查发现许多公安计算机在保密措施方面做的不完善,比如相关人员将绝密信息存储到电脑上面,将文件违规存储到非专用的计算机上,甚至部分公安部门并未配备专用的计算机等,这类现象无疑是带来安全隐患的重要诱发因素。

1.4其他违规行为

有少数公安人员在网上存在违规行为,在公安计算机上安装违规的电脑游戏或软件,有的公安人员随便在网上发表言论或者是进行其他测试,还有的在公安计算机上使用“黑客”等软件,非法登陆未授权的系统、数据库和网站等。

2.有效应对公安计算机信息安全主要风险的策略

根据以上公安计算机存在的主要风险可见,加强管理公安网已经刻不容缓。为了改变目前的现状,笔者提出了以下几点策略。

2.1提高整体人员的网络安全防范意识,增加安全宣传教育

公安计算机信息安全是一个全方位的体系,无论是哪一个细小环节出现问题,都会使整个公安网面临重大的安全隐患,与此同时,公安计算机信息安全还是一个完整的、长期的问题,网络上的任意漏洞都会致使全网崩溃。为此,必须加强全员计算机信息安全方面的教育和监督工作,让每个人都时刻保持警惕意识和高度的责任感,强烈遏制运用公安网进行的一切违规行为。

2.2增强组织领导

第一,将公安计算机信息网络安全责任分配给各个领导,将这项工作重要对待,如果遇到任何安全问题,第一责任人都应该及时协调解决;第二,将公安计算机信息安全落实到个别主管部门责任,各个主管部门要做好信息安全的培训、教育和宣传工作,提高整体人员的安全防患意识;第三,将使用单位责任落实到实处,各个部门既是保障计算机信息安全的重要参与者又是使用者,所以必须加强全员的信息安全教育,并从实践中找到漏洞和存在的重大问题,继而有针对性的解决发生重大问题的某一部门,不断完善工作中的各项信息安全管理体制,坚决遏制此类情况的发生。

2.3注重队伍建设

第一,在全员中选拔工作责任心强、计算机应用网络水平比较突出的员工,作为对应的各个基层单位、支队以及部门的网络安全管理员,配合所属领导做好计算机信息安全的重要工作;第二,对网络安全管理员进行定期培训,为他们创造更多出国深造的机会,进而完善自身的知识水平,提高自我素质,为我国公安计算机信息安全做更多的贡献;第三,明确网络安全管理员的具体职责,使其切实肩负起各项检查监督的责任,对于发生违规行为的具体单位、部门进行通报制度,进而警惕同类事件的发生。

2.4加强技术建设

目前大多数违规现象的发生虽然都进行了处置,但是还不能有效避免重大信息安全事故的发生,所以主动管理与防御已经是迫在眉睫,应该将其放在目前以及以后的一项重要工作内容来进行。首先,要合理的限制访问权限,设立安全保障系统,避免其他计算机、手机等具有无线连接功能的电子产品随意应用公安网,杜绝“一机多用”情况的发生;其次,有效进行漏洞扫描,对安全评估系统不断的开发和应用,及时对整个网络的各个计算机进行定期的漏洞扫描,发现问题以后立刻采取加固措施,并不断完善各项安全管理工作;最后,设立网络防御系统,对于入侵的病毒、黑客、间谍软件等及时防护,并完善各类病毒的体系,提高公安计算机信息安全主动防御的能力。

3.结语

信息网络安全论文范文第9篇

关键词:信息网络安全系统

近年来,随着经济水平的不断提高,信息技术的不断发展,一些单位、企业将办公业务的处理、流转和管理等过程都采用了电子化、信息化,大大提高了办事效率。然而,正由于网络技术的广泛普及和各类信息系统的广泛应用使得网络化办公中必然存在众多潜在的安全隐患。也即在连结信息能力、流通能力迅速提高的同时,基于网络连接的安全问题将日益突出。因此,在网络开放的信息时代为了保护数据的安全,让网络办公系统免受黑客的威胁,就需要考虑网络化办公中的安全问题并预以解决。

一、网络连接上的安全

目前,企业网络办公系统多数采用的是客户机/服务器工作模式,远程用户、公司分支机构、商业伙伴及供应商基本上是通过客户端软件使用调制解调器拨号或网卡连接到服务器,以获取信息资源,通过网络在对身份的认证和信息的传输过程中如不采取有效措施就容易被读取或窃听,入侵者将能以合法的身份进行非法操作,这样就会存在严重的安全隐患。

同时,企业为了完成各分支机构间的数据、话音的传送,需要建立企业专用网络。早期由于网络技术及网络规模的限制,只能租用专线、自购设备、投入大量资金及人员构建自己实实在在的专用网络(PN,PrivateNetwork)。随着数据通信技术的发展,特别是ATM、FrameRelay(简称FR)技术的出现,企业用户可以通过租用面向连接的逻辑通道PVC组建与专线网络性质一样的网络,但是由于在物理层带宽及介质的非独享性,所以叫虚拟专用网络(VPN,VirtualPrivateNetwork)。特别是Internet的兴起,为企业用户提供了更加广泛的网络基础和灵活的网络应用。

VPN(VirtualPrivateNetwork,虚拟专用网络)是一种通过综合利用网络技术、访问控制技术和加密技术,并通过一定的用户管理机制,在公共网络中建立起安全的“专用”网络。它替代了传统的拨号访问,通过一个公用网络(Internet、帧中继、ATM)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,利用公网资源作为企业专网的延续,节省了租用专线的费用。

VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN也可作为电信专线(DDN、FR)备份线路,当专线出现故障时可迅速切换到VPN链路进行数据传输,确保数据无间断性地传输。

进行远程访问时,远程用户可以通过VPN技术拨号到当地的ISP,然后通过共享路由网络,连接到总公司的防火墙或是交换机上,在实现访问信息资源的同时可节省长途拨号的费用。当一个数据传输通道的两个端点被认为是可信的时候,安全性主要在于加强两个虚拟专用网服务器之间的加密和认证手段上,而VPN通过对自己承载的隧道和数据包实施特定的安全协议,主机之间可通过这些协议协商用于保证数据保密性、数据完整性、数据收发双方的认证性等安全性所需的加密技术和数据签字技术。

二、Web服务器的安全

Intranet是目前最为流行的网络技术。利用Intranet,各个企业,无论大中小,都可以很方便地建立起自己的内部网络信息系统。Intranet通过浏览器来查看信息,用户的请求送到Web服务器,由Web服务器对用户的请求进行操作,直接提交静态页面;或通过CGI进行交互式复杂处理,再由Web服务器负责将处理结果转化为HTML格式,反馈给用户。因此,Web服务器的安全是不容忽视的。而安全套接字层SSL(Securesocketlayer)的使用为其提供了较好的安全性。

SSL是用于服务器之上的一个加密系统,是利用传输控制协议(TCP)来提供可靠的端到端的安全服务,它可以确保在客户机与服务器之间传输的数据是安全与隐密的。SSL协议分为两层,底层是建立在可靠的TCP上的SSL记录层,用来封装高层的协议,上层通过握手协议、警示协议、更改密码协议,用于对SSL交换过程的管理,从而实现超文体传输协议的传输。目前大部分的Web服务器和浏览器都支持SSL的资料加密传输协议。要使服务器和客户机使用SSL进行安全的通信,服务器必须有两样东西:密钥对(Keypair)和证书(Certificate)。SSL使用安全握手来初始化客户机与服务器之间的安全连接。在握手期间,客户机和服务器对它们将要为此会话使用的密钥及加密方法达成一致。客户机使用服务器证书验证服务器。握手之后,SSL被用来加密和解密HTTPS(组合SSL和HTTP的一个独特协议)请求和服务器响应中的所有信息。

三、数据库的安全

在办公自动化中,数据库在描述、存储、组织和共享数据中发挥了巨大的作用,它的安全直接关系到系统的有效性、数据和交易的完整性、保密性。但并不是访问并锁定了关键的网络服务和操作系统的漏洞,服务器上的所有应用程序就得到了安全保障。现代数据库系统具有多种特征和性能配置方式,在使用时可能会误用,或危及数据的保密性、有效性和完整性。所有现代关系型数据库系统都是“可从端口寻址的”,这意味着任何人只要有合适的查询工具,就都可与数据库直接相连,并能躲开操作系统的安全机制。例如:可以用TCP/IP协议从1521和1526端口访问Oracle7.3和8数据库。多数数据库系统还有众所周知的默认帐号和密码,可支持对数据库资源的各级访问。从这两个简单的数据相结合,很多重要的数据库系统很可能受到威协。因此,要保证数据库的完整性,首先应做好备份,同时要有严格的用户身份鉴别,对使用数据库的时间、地点加以限制,另外还需要使用数据库管理系统提供的审计功能,用以跟踪和记录用户对数据库和数据库对象的操作,全方面保障数据库系统的安全。4.网络安全防范

现阶段为了保证网络信息的安全,企业办公的正常运行,我们将采用以下几种方式来对网络安全进行防范:

(1)配置防病毒软件

在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。

(2)利用防火墙

利用防火墙可以将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。

(3)Web、Email的安全监测系统

在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。

(4)漏洞扫描系统

解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。

(5)利用网络监听维护子网系统安全

对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。:

总之,网络办公中的信息安全是一个系统的工程,不能仅仅依靠防毒软件或者防火墙等单个的系统,必须将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统。但由于系统中的安全隐患、黑客的攻击手段和技术在不断提高,因此我们对安全的概念要不断的扩展,安全的技术也应不断更新,这就有大量的工作需要我们去研究、开发和探索,以此才能保证我国信息网络的安全,推动我国国民经济的高速发展。

参考文献:

[1]《网络安全理论与应用》杨波北京电子工业出版社2002

[2]《计算机网络安全技术》蔡立军中国水利水电出版社2005

信息网络安全论文范文第10篇

1.1企业内部系统问题及漏洞

大多数企业内部的系统问题是由于电脑操作不当引起的,这种由内部操作问题引起的网络故障一般属于内部故障。导致这种故障的原因多是企业内部人员对于计算机操作和信息化管理的使用能力不足,这种故障会导致网络不稳或网络中断等问题,这种属于内部系统操作不当带来的安全隐患,一般属于比较容易处理的网络故障。

1.2计算机硬件方面不足

计算机作为一种辅助工具,是信息化系统的主要硬件组成部分,它由多个部分组成,各个部分之间相互关联、紧密合作,形成一个整体的计算机工作系统。如果其中任何一个部件出现问题,都会影响到整个计算机的正常工作。计算机部件的损坏主要是物理损坏,大都由网络连接错误、线路损坏等原因造成,这些都是不可预测的,一旦发生问题,将影响计算机的正常稳定工作,造成硬件方面的损坏。除了上述因素,硬件方面的问题还存在于企业机房的安全管理和维护。机房是整个信息系统的核心部分,负责整个信息系统的数据传输,如果出现硬件上的问题,会影响企业内部信息系统的正常运行,严重的话,会导致整个系统瘫痪,造成大规模的影响,这是计算机硬件方面要注意的一个重要问题。

1.3外来威胁

外来威胁一般指外部的恶意攻击,常见的外来威胁方式主要有计算机病毒、黑客入侵等。由于企业内部多釆取内网连接方式,一般内网连接建立在相互信任的基础上,因此,其防御能力较为薄弱,系统在面临外部攻击时,电脑黑客往往利用这个薄弱环节对系统进行攻击。此外,许多计算机程序本身也存在许多漏洞,随着黑客攻击的手段和渠道越来越多样化,计算机系统安全面临着巨大的挑战,作为企业,应该对不良网络环境提高警惕,提升计算机应用程序的安全防患力。

2计算机网络安全的应对措施

2.1建立安全防火墙

防火墙是由计算机硬件设备和软件组合而成。它是内部网络和互联网之间的一个安全保护屏障,也是内部网络与外部网络之间唯一的信息交换口。根据制定的安全策略,防火墙可以将不可访问的IP进行阻挡,允许可以访问的IP进行信息交换,以这样的方式来高效避免不安全的[P和软件的侵入和攻击。

2.2建立终端防护

网络终端是信息安全的最后关卡,无论是计算机、手机还是其他终端,都应该安装并使用杀毒软件和终端防火墙软件,定期更新病毒库,定期对终端进行体检和查杀,及时安装补丁,修复系统漏洞,查杀病毒和木马,保证终端设备的正常。

2.3对数据进行加密

企业可以釆用数据加密技术来确保信息传递过程中的安全问题。数据加密技术是指在传输前使用加密算法和加密密钥将明文转变为密文,然后再将密文数据封装成数据包后在互联网上传输,接受者可以通过解密算法和解密密钥将密文恢复成可读数据,这种方法是数据传输中最安全有效的方法,保证了信息的安全性,如果没有解密密钥,想要恢复读取数据是非常困难的。加密技术被广泛的应用的信息科技领域,其中一个重要应用就是VPN即虚拟专用网,一些企业的各个部门分布在不同领域,各部门有与之相对应的内部局域网络,如果想要将这些局域网连接起来,可以使用VPN技术。信息数据首先由发送端局域网传送至路由器进行加密,随后通过互联网传输,最后到达目的局域网的路由器上,目的局域网路由器会对信息进行解密,这就实现了局域网的数据信息在互联网的安全传输。

2.4提升计算机网络环境的安全级别

为了保证网络的正常使用,需要按照相关的规定要求对计算机网络环境进行升级。一个良好的物理环境,可以提高相关网络设备的安全性。网络中心机房应该建立良好的电源、防雷防火系统,机房应该保证合适的温度和湿度,需要配备可以提供至少2小时以上供电的UPS后备电源,以防停电时机房内设备仍可继续工作,防止由断电引起的信息数据丢失及设备的损坏。同时机房要设置烟感器、灭火器、自动喷淋设备,防止由外界因素而导致机房的损坏。

2.5建立应急恢复体系

做好应急响应措施,一旦发生紧急情况,在最短时间内保证系统的恢复运行及数据的安全。一种方法是建立磁盘阵列,将多块硬盘按不同的方式组合起来形成一个硬盘组,从而时间比单个硬盘更高的存储性能和提供数据备份的可能。另一种方法是建立双击热备份服务系统,即主服务器由两台服务器组成,当其中一台服务器损坏之后,另一台自动成为其备份服务器,能够继续提供服务。此外,服务器和终端都要定期备份数据,以保证意外发生之后可以快速恢复。

2.6对上网行为进行管理

建立安全管理机制,规范上网行为,对局域网内部用户用网络行为进行管理。根据安全策略,对网络使用者的身份、终端、时间、地点、文件下载、邮件收发等操作进行及时通信管理。上网行为管理阻止了非法用户入侵,规范了合法用户的网络使用行为,及时发现和处理异常情况,避免入侵者通过网页、文件和邮件对网络进行入侵,造成信息安全事故。

2.7建立安全管理机构,强化制度管理

除了以技术手段保障网络数据安全之外,制定有效的管理规范制度并成立相关机构进行落实执行也是保障网络数据安全的重要手段。要加强管理,首先要建立健全、完善、规范的计算机网络使用条例,制定维护网络系统的章程和网络应急方案。对执行人员进行专业培训,定期对系统进行安全审计,包含曰志审计、行为审计,通过日志审计查看系统是否遭受外来攻击,从而评估网络配置是否合理,安全策略是否有效,追溯分析安全攻击轨迹,为实时防御提供手段。同时也要对使用者的网络行为进行审计,定期组织培训,加强所有使用人员对网络安全维护的意识,提高人员的安全素质,防范打击计算机犯罪,并且定期对计算机终端进行检查维护。

3结束语

信息网络安全论文范文第11篇

1.1安全意识不足

在电力企业中,许多员工对信息网络安全的重要性没有得到正确地认识,缺乏足够的安全意识,对新出现的信息安全问题认识不足。存在计算机、信息系统用户使用过于简单或系统默认口令和部分人员将用户名、口令转借他人使用的现象。

1.2基础安全设施不健全

虽然电力企业在生产、运营、管理等多方面的信息化建设在不断增加,但是对于电力信息网络安全的重视程度不足,造成在信息网络安全策略、安全技术、安全措施等方面的基础设施相对较少,无法满足信息网络安全防护的需求。需要企业在信息化建设中加大对信息安全建设的投入。

1.3企业缺乏统一的安全管理策略

由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范,以用于企业安全措施的部署。

1.4薄弱的身份认证管理

在电力企业信息化应用时,信息系统用户的身份认证基本采用基于口令的鉴别方式,而这种身份认证方式存在缺陷,很容易被非法人员攻破。简单基于口令的认证方式已无法满足网络安全的需求。

1.5存在隐患的信息网络架构

虽然当前很多电力企业基本实现了核心、汇聚和接入式的三层网络架构,但仍有一部分企业采用二层交换的网络。除此之外,网络架构还存在着如下一些问题:首先,防火墙系统是力度比较粗的访问控制产品,它仅在基于TCP/IP协议的过滤方面表现出色,企业网络边界仅部署防火墙无法实现真正的网络安全。其次,网络架构存在单点故障,网络中个别设备出现故障导致大面积网络用户无法进行任何的信息访问,此问题需要企业进行改进。

1.6存在安全隐患的机房环境

很多电力企业的信息网络机房仅做了机房本身的防雷措施,未对设备的端口采取防雷措施。另外,信息网络机房在温、湿度环境监测、UPS供电系统、消防系统、机房门禁管理等方面存在着严重不足,需进一步的完善。当机房环境发生异常情况不能的得到及时有效的处理,造成异常情况扩大,甚至导致机房设备损坏、数据丢失,将给企业带来严重的经济损失[2]。

2电力企业信息网络安全防护的技术措施

电力企业信息网络涉及电力企业的生产和管理的很多环节,它是一个复杂的系统。对于电力信息网络安全防护,关键的技术措施主要包括防病毒技术、信息加密技术、漏洞扫描技术、防火墙技术、身份认证技术、入侵检测技术、数据备份与恢复技术、安全审计技术、机房环境监测技术。下面对这几项技术进行描述。

2.1防病毒技术

防病毒技术是有效识别恶意程序并消除其影响的一种技术手段。从防病毒商品对计算机病毒的作用来讲,防病毒技术可以分为三类:一是通过一定的技术手段防止计算机病毒对系统的传染和破坏,对病毒的规则进行分类处理并在有相似规则的程序运行时认定为病毒的病毒预防技术,它包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。二是通过一定的技术手段判定出特定计算机病毒的病毒检测技术。三是病毒出现后通过对病毒进行分析研究而研制出来的具有相应解读功能软件的病毒消除技术,该技术发展相对较被动,具有滞后性和局限性,对于变种的病毒的无法消除[3]。

2.2信息加密技术

加密技术是信息安全领域的一种基本且非常重要的技术。数据加密技术主要分为对称型加密、非对称型加密两类。对称型加密使用单个秘钥对数据进行加密或解密,特点是计算量小、加密效率高。非对称型加密算法也称公用秘钥算法,其特点是有两个秘钥(即公用秘钥和私有秘钥)且相互搭配才能完成加密和解密的全过程。它特别适用于分布式系统中的数据加密。

2.3漏洞扫描技术

漏洞扫描技术是对重点对象(包括工作站、服务器、路由器、交换机、数据库等)进行扫描,它的原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,发现其中可能被黑客利用的漏洞。漏洞扫描的结果是对系统安全性能的一个评估,指出哪些攻击是可能的,是安全防护措施的一个重要组成部分。目前,漏洞扫描技术分为基于网络的扫描和基于主机的扫描两种类型。

2.4防火墙技术

防火墙技术是一种综合性的技术,涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范以及安全操作系统等多方面,它是设置在不同网络(如可信任的企业内部护网络和不可信任的公共网络)或网络安全域之间的一道屏障,以防止发生不可预测的潜在的破坏入。防火墙是不同网络或网络安全域之间信息的唯一出口,可以根据企业的安全策略检测、限制或更改出入防火墙的数据流,尽可能地对外部屏蔽不同网络的信息、结构和运行状况,以此来实现网络的安全保护,防止一个需要被保护的网络遭受外界因素的干扰和侵害。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更为安全[4]。

2.5身份认证技术

身份认证技术是信息网络用户在进入网络或访问不同保护级别的信息资源时,对用户身份的真实性、合法性和唯一性进行确认的过程。身份认证是信息网络安全的第一道防线,是保证信息网络安全的重要措施之一。它的作用是防止非法人员进入网络系统,防止非法人员通过各种违法操作获取不正当的利益、非法访问受控信息、恶意破坏系统数据的完整性等情况的发生,是严防“病从口入”的关口。常用的身份认证包括主体特征认证、口令认证、一次性口令认证和持证认证。

2.6入侵检测技术

入侵检测技术是使网络和系统免遭非法攻击的一种网络安全技术,它采用的是主动防护的工作模式,它能在入侵攻击发生前检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。入侵检测技术是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能的发现各种攻击企图、攻击行为或攻击结果,记录主机和网络系统上发生的一切事件,一旦发现有攻击的迹象或其它不正常现象就采取截断、报警等方式进行处理并通知管理员,同时详细记录有关的事件日志,以备分析取证。入侵检测技术是防火墙技术的合理补充,它有效填补了防火墙无法阻止内部人员攻击的缺陷[5]。

2.7数据备份与恢复技术

对于企业来说,最珍贵的信息化资源不是计算机、服务器、交换机和路由器等硬件设备,而是存储在存储介质中的数据信息,这些数据信息包括营销、财务、档案、办公信息等,一旦数据丢失、被恶意篡改,将给企业带来严重的损失。因此建立集中和分散相结合的数据备份恢复设施以及制定切实可行的数据备份和恢复策略是必不可少的。有效的数据备份是防止信息系统软硬件损坏而造成的数据丢失有效途径,从而降低系统故障带来的损失。在条件适宜的情况下,对重要的生产、运营、管理数据进行异地备份,以提高数据的安全性。

2.8安全审计技术

安全审计技术是信息网络安全领域的重要组成部分,它是根据一定的安全策略记录和分析网络上发生的一切事件,不仅能识别网络用户还能记录网络用户的行为,同时发现能够改进系统运行性能和系统安全的地方。安全审计的作用包括对潜在的攻击者起到震慑或警告的作用、监测和制止对安全系统的入侵、发现计算机的滥用情况,为网络入侵行为和攻击行为提供有效的追究证据,是网络事故处理的重要依据。

2.9机房环境监测技术

机房环境监测报警系统整合了多个设备的监控,使无人值守机房的物理运行环境、动力配电状况、设备运行状况、消防状况的变化包括可能出现的危机情况得到全面的监控。并且,系统可实现多种报警方式,例如,当机房环境出现异常时,系统通过电话报警或短信报警的方式通知用户,使用户及时获取机房异常状态。

3电力企业信息网络安全防护的管理措施

针对电力企业信息网络,为实现全方位、整体的网络安全保护。除了技术方面的措施,还有管理方面的措施,管理方面的措施主要包括组织机构管理、制度管理、安全培训管理三个方面。制定完备的管理措施是信息网络安全防护的关键。

3.1组织机构管理

电力企业成立以一把手为组长的信息安全保障体系。保障体系包括信息安全领导小组,信息安全工作小组,信息运维部门以及信息专责。信息安全领导小组应全面掌握企业的信息状况,指导信息安全工作。信息安全工作小组在信息安全领导小组的领导下执行有关规章制度,对员工宣传贯彻信息和保密方面的法律法规。

3.2制度管理

结合电力企业信息网络安全的需要,调整信息网络安全管理策略,建立健全完善的安全管理制度,形成完整的安全管理体系,严格按照制度执行。信息网络安全管理制度体系分为三层结构:总体方针、具体管理制度和各类操作规程。

3.3安全培训管理

信息网络安全教育是计算机信息安全的重要组成部分,是增强企业员工安全意识和安全技能的有效方法。其中针对信息网络技术人员的培训包括网络安全理论培训、安全意识培训、岗位技能培训、安全技术培训、安全产品培训。非专业人员可根据需要对其进行安全理论培训、安全意识培训。定期开展信息网络安全培训,根据不同岗位制定不同的培训计划,以增强员工的信息网络安全防范意识。只有提高员工的网络安全意识才能在管理和技术上有效的实现信息网络安全。

4结束语

信息网络安全论文范文第12篇

关健词:局域网络信息资源数据加密

信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制,直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。

一、网络信息安全的孟要性

网络信息安全涉及到信息的机密性、完整性、可用性、可控性。它为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。信息保障依赖于人和技术实现组织的任务运作,针对技术信息基础设施的管理活动同样依赖于这三个因素,稳健的信息保障状态意味着信息保障和政策、步骤、技术和机制在整个组织的信息基础设施的所有层面上均能得到实施。

目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。单一的保密措施己很难保证通信和信息的安全,必须综合应用各种保密措施。

二、局域网内病毒防治问题

局域网病毒来源主要有以下几种方式:①从网站下载的软件带有病毒:浏览网站的时候ActiveX控件带来的病毒;②安装程序附带的流氓软件:不明邮件带来的病毒;③移动存储设备存储数据传染病毒等等方式。使用者日常使用时应尽量从正规网站下载软件、少浏览不正当网站、不明邮件应该尽量不打开等。处理方法主要有以下几类。

首先:在网关上的网络层时常进行病毒检测和扫描,及时清除明显的病毒封包,对病毒源客户机进行阻塞与隔离,大规模爆发网络病毒时也能够有效的隔离病毒疫区。

其次:监测每台计算机的杀毒软件安装情况和病毒库更新情况,以及操作系统或者其它应用软件的补丁安装情况,若发现客户机或者服务器存在严重的高危险性安全缺陷或者漏洞的话就应该将其暂时断开网络,拒绝其接入单位网络,直至缺陷或漏洞修复完毕,补丁安装完毕后再将其接入网络内。

再次:使用U盘、移动硬盘等移动存储设备传递各类数据,已经成为各类病毒传播的主要途径之一。由于U盘和移动硬盘使用方便,很多计算机用户都选择使用它来进行数据文件的存储和拷贝,无形中使得U盘和移动硬盘成为这些病毒和恶意木马程序传播的媒体,给计算机用户的数据安全和系统的正常使用带来很大危害。鉴于通过U盘和移动硬盘传播的计算机病毒在互联网络上的传播日趋增多,办公网络内用户可以按照以下几点,正确安全地使用U盘和移动硬盘进行数据文件的存储和拷贝。

最后:根据实际情况可进行数据加密,VPN系统VPN(虚拟专用网)可以通过一个公用网络(通常是互联网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。它可用于不断增长的移动用户的全球互联网接入,以实现安全连接;也可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

三、实现网络信息安全的策略

明确等级保护措施。合理划分安全域,确定各安全域的物理边界和逻辑边界,明确不同安全域之间的信任关系。在安全域的网络边界建立有效的访问控制措施。通过安全区域最大限度地实施数据源隐藏,结构化和纵深化区域防御,防止和抵御各种网络攻击,保证信息系统各个网络系统的持续、稳定、可靠运行。

1.系统安全策略

对操作系统、数据库及服务系统进行漏洞修补和安全加固,对关键业务的服务器建立严格的审核机制。最大限度解决由操作系统、数据库系统、服务系统、网络协议漏洞带来的安全问题,解决黑客入侵、非法访问、系统缺陷、病毒等安全隐患。:

2安全管理策略

针对企业信息系统安全管理需求,在安全管理上需要在完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理等方面机制、制度的同时,与管理技术紧密结合,形成一套比较完备的企业信息系统安全管理保障体系。

信息网络安全论文范文第13篇

1.1卫生行业信息化建设的方向性为进一步加快我国卫生信息化整体的建设步伐,推进信息技术在全国医疗卫生领域的广泛应用,改善我国卫生防疫、公众医疗、基层卫生等状况,提高公共卫生健康水平,国家鼓励地方政府建设全国联网五级数字卫生信息平台。即:建设覆盖全国“省—市—县(市、区)—乡—村”五级数字卫生体系,并通过租用营运商提供的网络,实现对全国卫生信息以及公众健康信息的收集、处理、查询、传输和共享,完成面向公众基于个人健康档案服务和远程医疗会诊。

1.2加强卫生信息收集整理的重要性加强卫生信息的收集整理是改善和提高卫生系统质量的前提条件。尽管及时可靠的卫生信息是改善公共卫生状况的基础,但是,由于各级卫生行政管理机关在数据采集、分析、和使用方面的投入不足等原因,常常无法实现及时的跟踪以达到完全链接和反映现实医疗卫生状况,导致决策者无法正确发现问题、了解现实需求、跟踪最新进展、评估所采取措施产生的影响,干扰了行政管理部门在卫生政策制定、项目设计以及资源分配等方面做出正确决策。所以,加强卫生信息收集整理对改善和提高卫生系统的服务质量就显得尤为重要。

1.3加强信息安全保障和管理的必要性安全管理是一个可持续的安全防护过程。信息安全建设是我国卫生行业信息化建设不可缺少的重要组成部分。医疗卫生信息系统承载着大量事关国家政治安全、经济安全和社会稳定的信息数据,网络与信息安全不仅关系到卫生信息化的健康发展,而且已经成为国家安全保障体系的重要组成部分。因此,开展卫生行业信息化必须重视建立健全信息安全保障和管理体系建设。一是强化安全保密意识,高度重视信息安全,是确保卫生行业信息系统安全运行的前提条件;二是加强法制建设,建立完善规范的制度,是做好卫生行业信息安全保障工作的重要基础;三是建立信息安全组织体系,落实安全管理责任制,是做好卫生行业信息安全保障工作的关键;四是结合实际注重实效,正确处理“五级数字卫生体系”安全,是确保信息安全投资效益的最佳选择。

2卫生信息安全的风险与需求分析

随着网络社会发展程度的不断提高,网络与信息安全事件是信息化发展进程中不可避免的副产品。当今社会已进入互联网时代,信息传播的方式、广度、速度都是过去任何一个时代无法比拟的。随着网络应用的日益普及,黑客攻击成指数级增长,利用互联网传播有害信息的手段层出不穷。网络在给人们带来便利的同时,也带来不可忽视的安全风险。所以,可靠的卫生信息就需要一个安全的数据运行环境,只有这样,才能实现向卫生行政管理部门或社会提供有效的、高质量的、安全的数据保障。

2.1安全风险分析目前卫生系统所面临的风险主要包括应用系统风险和网络风险。应用系统风险主要体现在身份认证、数据的机密性、完整性、授权管理控制等,此类风险可以通过应用系统的改造提升得到控制。网络风险主要体现在网络结构不够清晰、区域划分不合理、区域边界防护措施缺失、接入网络缺少相应的防护措施、安全管理不到位等,容易造成可用带宽损耗、网络整体布局被获得、网络设备路由错误、网络设备配置错误、网络设备被非授权访问、网络管理通信受到干扰、网络管理通信被中断、传输中的网络管理信息被修改和替换、网络管理中心受到攻击、外部单位接入风险、本地用户接入威胁、恶意代码传播和破坏风险、安全操作风险、安全管理风险等等。系统和网络出现问题,将会造成网络信息丢失和网络瘫痪,无法实现网络功能和满足服务对象的需求。

2.2网络安全需求分析保证网络相关设备安全、稳定、可靠地为业务活动提供优质服务的前提是网络要安全、设备运行要正常。为此,必须要保证网络体系结构安全,采用各种安全措施有效防止卫生网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等事故发生;采用灵活的网络拓扑和冗余与备份,保证网络结构不因单点故障造成网络业务活动的中断;采用可信的网络管理手段,保证结构的完整性。网络系统遭到有意攻击、设备故障、网络管理出现漏洞等是网络安全防范的重点。

2.3边界安全需求分析清晰、规范地界定、标识网络边界,是网络边界设备和安全网关实施防护的有效措施。采用具有多层访问控制功能的防火墙对接入实施控制;使用基于网络的IDS有效侦测来自内部、外部对网络边界的攻击,严格记录网络安全事件,配备网络边界设备脆弱性评估工具,有效监控网络边界设备的配置、运行状态和负载;配置网络穿透性测试工具,定期或不定期对网络边界安全有效性进行检查。边界安全是网络安全的门户,提升网络边界安全设备管理服务功能,是保证安全策略设计、配置、部署等管理工作的有效途径。

2.4网络管理安全需求分析对于卫生网络系统而言,网络与信息的安全时常受到威胁,最常见的就是拒绝服务攻击、网页篡改、恶意程序等。为保证网络与信息的安全,需要构造科学、有效的网络安全管理平台。以业务为中心,面向卫生系统,将不同的网络进行整合,基于应用环境来管理网络及其设备的正常运行。当网络异常时,基于事先制订的策略(主要是应急方案)和网络管理系统,实现主动采取行动(如:终止、切断相关连接;停止部分非关键业务等),达到主动保证卫生系统网络安全和正常运行的目的。

3卫生信息安全的防御体系与网络的维护

3.1卫生信息安全的防御体系卫生信息安全防御体系是一个动态的过程,攻防双方都是与时俱进的。防护的目的在于阻止入侵或者延迟入侵所需要的时间,以便为检测和响应争取主动。一旦防护失效,通过检测和响应,可以及时修复漏洞,杜绝威胁,防止损失扩大,确保业务运行的持续性。从技术发展的角度来考虑,攻击和防御构成了一种动态平衡的体系。一段时间内,安全防御发挥着有效的作用,此时的安全体系就具有一定的平衡性,但这种平衡是相对稳定的,一旦攻击技术有所突破,防御也需要随之更新,安全防御体系就是在这种由此及彼的相互牵制中动态发展的。

3.2网络的维护随着信息系统在卫生行业的应用,网络安全问题日渐凸显。一旦网络出现故障,小到造成单机信息丢失、被窃取、操作系统瘫痪;大到全网网络服务中断,业务被迫停滞,甚至是重要数据丢失等一系列严重后果。在新医改大背景下,对医疗服务质量的要求越来越高,如何构建坚固的网络环境,是每一个医疗单位的责任,同时也是挑战。在网络正常运行的情况下,对网络基础设施的维护主要包括:确保网络传输的正常;掌握卫生系统主干设备的配置及配置参数变更情况,备份各个设备的配置文件。这里的设备主要是指交换机和路由器、服务器等。主要任务是:负责网络布线配线架的管理,确保配线的合理有序;掌握内部网络连接情况,以便发现问题迅速定位;掌握与外部网络的连接配置,监督网络通信情况,发现问题后与有关机构及时联系;实时监控整个卫生行业内部网络的运转和通信流量情况。

3.3信息安全风险控制策略面对复杂的大规模网络环境,无论采取多么完美的安全保护措施,信息系统的安全风险都在所难免。因此,在对信息系统进行安全风险评估的基础上,有针对性的提出其安全风险控制策略,利用相关技术及管理措施降低或化解风险,如物理安全策略、软件安全策略、管理安全策略、数据安全策略等,可以将系统安全风险控制在一个可控的范围之内。

信息网络安全论文范文第14篇

关键词:网络信息安全;大型网络;硬件防火墙;三次握手;过滤;CPU负载

伴随着信息技术的发展,网络已经成为人们工作生活必不可少的工具,而网络信息安全也越来越受到人们的重视。防火墙技术的发展将促进防火墙成为网络安全的重要保障,而硬件防火墙会成为保护大中型网络信息安全的首选!

一、大中型网络为何选择硬件防火墙

软件防火墙是安装在计算机操作平台的软件产品,它通过在操作系统底层工作来实现管理网络和优化防御功能。

对于大中型网络来说,将软件防火墙装人内部网络的每台设备和内部服务器中来保护网络安全的工作量是巨大的,在实际操作比较困难。首先,大中型网络需要稳定高速运行,而基于操作系统的软件防火墙运行将会给CPU增加超重负荷,造成路由不稳定,势必影响网络。其次,大中型网络会是黑客们攻击的对象,面对高速密集的DOS(拒绝服务)攻击,显然,单凭软件防火墙本身承受能力是无法做到抵御黑客,保护网络安全的。再次,软件防火墙在兼容性方面不及硬件防火墙。正是软件防火墙存在这些缺点.在大中型网络中一般会采用硬件防火墙。

二、硬件防火墙的工作原理和网络安全防御策略

2.1防火墙在网络中的位置

外部防火墙工作在外部网络和内部网络之间,这样的布署将内部网络和外部网络有效地隔离起来,已达到增加内部网络安全的目的。一般情况下,还要设立一个隔离区(DMZ),放人公开的服务器,让外网访问时,就能增加内网的安全。而内部防火墙保护隔离区对内网的访问安全,这样的综合布署将有效提高网络安全。

2.2硬件防火墙的构成

硬件防火墙为了克服软件防火墙在大中型网络中的不足,对软件防火墙进行了改进。通过硬件和软件的结合来设计防火墙,硬件和软件部分都必须单独设计,将软件防火墙嵌入在硬件中同时,采用专门的操作系统平台(加入Linux系统,因为有些指令程序需要安装在Windows系统之中,而Windows稳定性不如Linux,如果在本身就很脆弱的系统平台中布署安全策略.这样的防火墙也会不安全),从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求,使硬件防火墙的实际带宽与理论值基本一致,提高吞吐量、增加安全性,加快运行速度。将这样的硬件防火墙安装进入大中型网络,不仅在可以有效地保障内网与外网链接时的安全.而且可以保障内部网络中不同部门不同区域之间的安全。

2.3大中型网络安全威胁来源

现今的网络使用的都是TcP,IP协议,TCP报文段传输最重要的就是报文段首部(segmenthea&r)~的内容。客户端和服务端的服务响应都是与报文段首部的数据相关联,而三次握手能够实现也和报文段首部的数据相关,其安全性也取决于首部内容,因此黑客经常利用TCPflP协议的漏洞对报文段首部下手从而实现有外网对内网进行攻击。

在大中型网络内部也有部门的划分,对于一些比较重要的部门就连内部网络其他部门也要授权后才能进行访问,这样就会最大限度保障网络的安全,因为有的大型网络的安全关系到国家社会的安全和稳定,所以如果在内部发生网络威胁将会带来更大的损失。

2.4网络中的攻击手段

网络中主要的攻击手段就是对服务器实行拒绝服务攻击,用IP欺骗使服务器复位合法用户的连接,使其不能正常连接.还有就是迫使服务器缓冲区满,无法接受新的请求。

2.4.1伪造IP欺骗攻击

IP欺骗中攻击者构造一个TCP数据,伪装自己的IP和一个合法用户IP相同,并且对服务器发送TCP数据,数据中包含复位链接位(RST),当发送的连接有错误时,服务器就会清空缓冲区中建立好的正确连接。这时,如果那个合法用户要再发送合法数据,服务器就不会为其服务,该用户必须重新建立连接。

2.4.2SYNFLooD攻击

SYNFLOOD是利用了TCP协议的缺陷,一个正常的TCP连接需要三次握手,首先客户端发送一个包含SYN标志的数据包,然后服务器返回一个SYN/ACK的应答包,表示客户端的请求被接受,最后客户端再返回一个确认包ACK,这样才完成TCP连接。在服务器端发送应答包后,如果客户端不发出确认,服务器会等待到超时,期间这些半连接状态都保存在一个空间有限的缓冲区队列(BacklogQueue)中。SYNFLOOD攻击就是利用服务器的连接缓冲区,使用一些特制的程序(可以设置TCP报文段的首部,使整个T0P拉文与正常报文类似,但无法建立连接),向服务器端不断地成倍发送仅有SYN标志的TCP连接请求,当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中,这样就会使服务器端的TCP资源迅速耗尽,当缓冲区队列满时,服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝,导致正常的连接不能进入,甚至会导致服务器的系统崩溃。

2.4.3ACKHood攻击

用户和服务器之间建立了TCP连接后,所有TCP报文都会带有ACK标志位,服务器接受到报文时,会检查数据包中表示连接的数据是否存在,如果存在,在检查连接状态是否合法,合法就将数据传送给应用层,非法则服务器操作系统协议栈会回应RST包给用户。对于JSP服务器来说,小的ACK包冲击就会导致服务器艰难处理正常得连接请求,而大批量高密度的ACKFlood会让A.pache或IIS服务器出现高频率的网卡中断和过重负载,最终会导致网卡停止响应。ACKFlood会对路由器等网络设备以及服务器造成影响。

2.4.4UDPFlood攻击

UDPFlood攻击是利用UDP协议无连接的特点,伪造大量客户端IP地址向服务器发起UDP连接,一旦服务器有一个端口响应并提供服务,就会遭到攻击,UDPFlood会对视频服务器和DNS服务器等造成攻击。

2.4.5ICMPFlood攻击

ICMPFlood通过Pin生的大量数据包,发送给服务器,服务器收到大量ICMP数据包,使CPU占用率满载继而引起该TCP/IP栈瘫痪,并停止响应TCP/IP请求,从而遭受攻击,因此运行逐渐变慢,进而死机。

除了以上几种攻击手段,在网络中还存在一些其他攻击手段,如宽带DOS攻击,自身消耗DOS攻击,将服务器硬盘装满,利用安全策略漏洞等等,这些需要硬件防火墙对其做出合理有效防御。

2.5硬件防火墙防御攻击的策略

2.5.1伪造IP欺骗攻击的防御策略

当IP数据包出内网时检验其IP源地址,每一个连接内网的硬件防火墙在决定是否允许本网内部的IP数据包发出之前,先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址,该IP包就被拒绝,不允许该包离开内网。这样一来,攻击者至需要使用自己的IP地址才能通过连接网关或路由器。这样过滤和检验内网发出数据包的IP源地址的方法基本可以做到预防伪造IP欺骗攻击。

2.5.2SYNFLo0D攻击防御策略

硬件防火墙对于SYNFLOOD攻击防御基本上有三种,一是阻断新建的连接,二是释放无效连接,三是SYNCookie和SafeRe.set技术。

阻断新建连接就是在防火墙发现连半开连接数阈值和新建连接数阈值被超时时,SYNFLOOD攻击检测发现攻击,暂时阻止客户向服务器发出的任何请求。防火墙能在服务器处理新建连接报文之前将其阻断,削弱了网络攻击对服务器的影响,但无法在服务器被攻击时有效提升服务器的服务能力。因此,一般配合防火墙SYNFlood攻击检测,避免瞬间高强度攻击使服务器系统崩溃。释放无效链接是当服务器上半开连接过多时,要警惕冒充客户端的虚假IP发起无效连接,防火墙要在这些连接中识别那些是无效的.向服务器发送复位报文,让服务器进行释放,协助服务器恢复服务能力。SYNCo0kie和SafeReset是验证发起连接客户的合法性。防火墙要保护服务器入口的关键位置,对服务器发出的报文进行严格检查。

2.5.3ACKFlood攻击防御策略

防火墙对网络进行分析,当收包异常大于发包时,攻击者一般采用大量ACK包,小包发送,提高速度,这种判断方法是对称性判断.可以作为ACKFlood攻击的依据。防火墙建立hash表存放TCP连接状态,从而大致上知道网络状况。

2.5.4UDPHood攻击防御策略

UDPF1ood攻击防御比较困难,因为UDP是无连接的,防火墙应该判断UDP包的大小,大包攻击则采用粉碎UDP包的方法,或者对碎片进行重组。还有比较专业的防火墙在攻击端口不是业务端口是丢弃UDP包,抑或将UDP也设一些和TCP类似的规则。

2.5.5ICMPFlood攻击防御策略

对于ICMPFlood的防御策略,硬件防火墙采用过滤ICMP报文的方法。硬件防火墙还对网络中其他的一些攻击手段进行着安全有效的防御,保护着网络的安全。

三、硬件防火墙的配置考虑要素和选购标准

硬件防火墙是网络硬件设备,需要安装配置,网络管理人员应该要考虑实际应用中硬件规则的改变调整,配置参数也在不断改变。对于硬件防火墙的安全策略也应该考虑到,哪些数据流被允许,哪些不被允许,还有等等,还有授权的问题,外网域内网之问,内网里各个不同部门之间,还有DMZ区域和内网等,这些都需要照顾到。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化.并能尽量避免因修改配置所造成的错误和安全漏洞。除此之外还要考虑CPU负载问题,过高的CPU负载可能是遭到网络DOS攻击。硬盘中保留日志记录也很重要,这对检查硬件防火墙有着重要作用,还要定期检查。:

信息网络安全论文范文第15篇

1.1策略模型的构建

在网络架构技术层面,由于不同网络节点之间的转换方式不同,大多需要在IETF协议中构建,相对于管理逻辑区域的划分,可以通过组策略的形式进行内部联系,并对应用技术范围进行阐释,再进行转化后删除无关命令。网络构建的重要模式需要基于逻辑思维角度,由于设备视点中的不同网络之间的联系具有不完全性,因此需要通过服务器平台的控制对网络管理策略进行优化。目前对于网络策略管理的方法较多,较为常用的如对策略进行系统划分、网络设备平台的连接与管理,以及网络构建的基本独立性开发等,以便对网络内容区域进行修正。

1.2网络策略的应用

商务网络应用与商务办公网络的基本表达形式相对固定,其网络构建以自然语言作为区分要点,而自然语言所包含的网络子集范围较为广泛,可以根据用户的不同需求定制网络协议功能,从而实现商务办公的基本要求。而部分商务网络在实现其工作职能的本身,也需要对视点目标进行判断和分析,从而以自然语言的方式对目标进行重新构建。商务网络视点环境中,需要对视点策略进行二次解析,从而分析出视点策略的真实性。由于网络视点策略在正常使用过程中,需要通过数据库支持才能获取信息,因此可以通过数据库传输的组建对视点网络策略进行策略优化,从而实现多方法运行与智能化学习的过程。视点网络构建模式具有相对独立性,通常是采用一套规则的语言组合,对访问者以及管理者的不同指令进行识别,从而进行信息交互,对网络基本运行状态造成影响,并弱化网络策略发生异常的几率。目前常用的方法是通过软件来解析端口异常情况,在设备独立运行的过程中具体实现网络视点的基本操作方式。设备视点的建立需要通过网络协议与通信规则进行调控,在设备运行期间,设备输出语言对不同的网络协议许可进行解析,并根据不同的解析原理对管理策略进行调整,但需要注意的是要保证网络控制端命令的准确性和唯一性。在不同设备的联网使用过程中,由于系统参数与配置等差异,协议许可也就产生变化,从而需要不同的命令控制。对于视点网络的自动化运行,需要把握好相关控制命令,并根据网络协议区分命令控制策略,最终将网络策略应用于各类设备控制当中。

2事业单位网络舆情当下管理机制隐藏的问题

2.1管理观念较为陈旧

当前,大多数事业单位对社会舆情信息的分析还保持着传统的工作模式中,大多都是事情出来以后,再以救火的方式进行处理,只重视危机发生后的处理,而对危机发生前的信息收集以及分析等管理工作十分落后,在危机预警方面非常滞后。

2.2事业单位舆情管理部门缺少合作

事业单位中,大多数都与相关部门密切联系,比如:网络中心、业务办理中心等,多头管理问题较为突出。基本上每一个部门就有一个属于自己的舆情管理小组,在发生了紧急舆情时,各部门之情缺少有效的合作,在工作中缺少相关的配合以及信息共享,没有形成合理高效的工作联动机制开展管理工作。2.3事业单位中舆情管理体系尚不完善从一些典型的实例来看,目前只有少数的事业单位建立了将为健全的舆情管理体系。因为管理体系尚不健全,所以,一旦有责任人出现了管理问题,也无法及时进行惩处,而且很少有人会主动承担责任,大多数是相互推诿,严重的甚至隐瞒具有的实情。

3完善事业单位网络信息安全管理机制的措施

3.1做好网络共享和恶意代码之间的控制

网络资源实行共享,方便了不同单位、不同部门、不同用户对资源的需求,但是,也存在着一定的不安全性,恶意代码可以充分利用网络环境扩散以及信息共享条件等漏洞,威胁了网络信息的安全,影响是不容忽视的。如果对恶意信息交换不做好管控,将非常容易造成网络QoS降低,严重的会造成系统瘫痪,导致系统不能正常工作。

3.2安全规范和信息化建设操作不协调

在网络安全建设中,并没有统一的操作,基本是哪里有漏洞就补哪里的形式,这样严重的阻碍了信息安全共享,同时也留下了许多安全隐患。

3.3控制好进口产品和安全自主控制

当前,国内的信息化技术并不高,造成出多的信息化技术需要依靠从国外进口,不管是软件还是硬件,都或多或少的受到了一些限制。在关键技术都从国外进口的背景下,如果出现安全问题后果是无法想象的。

3.4IT产品大规模攻击与单一性问题

在信息系统中,不管是软件还是硬件,都具有单一性,比如:同一个版本的操作软件、同一个版本的操作系统,在这种情况下,攻击者通过软件编程,能让攻击自动化完成,进而危及大片网络安全,这样就导致了“零日”攻击,出现了计算机病毒等大型安全事件。

3.5网络安全管理要素需要根据当前IT产品的不足与缺陷进行分析,目前网络信息系统中,对于IT产品的应用较为广泛

主要有:通信信息系统、数据处理系统、操作平台等。但由于不同软件与系统之间,需要共同的协议构架来形成有机的整体,因此需要把握系统与设备之间的互异性。目前生产厂家开发的IT产品种类繁多,数据安全协议也五花八门,信息安全共享协议在一定区域内执行共同协议规范,但跨区域协议之间存在一定的交流障碍,使得网络安全信息系统无法形成统一的构建,从而无法形成统一的管理模式,因而使得网络安全事故频发。

4结论

精品推荐
扩展阅读
推荐期刊