網絡安全筆記匯總十篇
時間:2023-06-08 15:53:26
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網絡安全筆記范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
中圖分類號:TP393.09 文獻標識碼:C DOI:10.3969/j.issn.1672-8181.2013.16.052
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。 由于各種原因的存在,網絡安全會受到不同方面的影響,如系統硬件、網絡技術缺陷、設備和技術落后、黑客攻擊、防護系統漏洞、網絡安全意識缺乏、基礎知識教育落后等等,所以我們要認清時時刻刻面臨的問題,認清安全維護的必要性,從硬件、軟件上加強網絡系統安全的維護,確保大家能有一個公開、安全的網絡環境。
1 簡述網絡系統安全
一般來說,網絡安全由四個部分組成:
一是運行系統的安全,更側重于硬件設施的安全,即保證操作系統、存儲系統、傳輸線路等的安全,避免因硬件設施的老化、不穩定、漏洞等原因而導致網絡系統的不安全,從最基礎避免網絡安全隱患的存在。
二是系統信息的安全,包括用戶口令鑒別,用戶存取權限控制,數據存取權限、方式控制,安全審計,安全問題跟蹤,計算機病毒防治,數據加密。
三是信息傳播的安全,控制信息通過網絡傳播的途徑和影響,例如信息過濾等,防止和控制不良有害信息的傳播,保障正常信息順暢流通。
四是信息內容的安全,注重信息的保密性、真實性和完整性,避免其他人利用系統的安全漏洞做出對合法用戶的不利行為。
2 計算機網絡系統安全的主要威脅
所謂網絡系統安全,最重要的就是要保證通過網絡渠道傳播信息時,信息完好無誤,不會被修改和破壞,并且確保其三大特征――完整性、可靠性和保密性。然而,隨著網絡時代的飛速發展,人們在享受網絡帶來的便利的同時,也深受各類病毒和技術的困擾,各種各樣的問題已經在極大程度上威脅了計算機網絡系統的安全。
由于種種原因,目前我國網絡系統的安全維護方面還有很多問題,主要體現在:
2.1 網絡安全意識淡薄
目前在我國,人們的網絡安全意識普遍比較淡薄,對計算機網絡沒有常識性的認識,缺少必備的安全維護知識。許多網絡用戶或工作人員只看到上網后給工作和學習帶來的種種好處,過于注重運用的體驗,缺少安全維護的意識和措施,如此便造成了種種不良信息和病毒的入侵,容易導致安全問題的發生。
2.2 網絡信息技術自身的不足
雖然信息技術高速發展,但仍有其不足和需要不斷完善的地方,而這些不足往往就會成為信息傳播時的不安全因素。例如現在網絡系統中使用率最高的協議是TCP/IP協議,幾乎90%的用戶都會選擇,但是TCP/IP協議組是默認建立在安全可信賴的環境中,對于現在網絡的復雜性、不安全性并未做應有的考慮。諸如此類無法避免的問題,就會給用戶在使用網絡系統時造成一定的安全隱患,甚至造成不必要的安全事故。
2.3 網絡硬件投入不足
網絡技術高速發展的同時,各種信息技術和設備的更新換代也是越來越快,跟不上高速發展的步伐就會被遠遠甩在身后。而我們目前很多用戶的技術和設備已經陳舊,無法滿足使用的需要,更無法提供安全的硬件支持。為維護網絡的安全運行,還需要完善技術和設備,尤其對于網絡安全技術更應該投入專項資金。必須要避免因設備等原因而產生的問題。現在社會有很多的企業和事業單位,固定資產中關于計算機和網絡維護方面極具縮水,甚至嚴重匱乏,所用設備甚至連基本的辦公功能都無法滿足,安全級別更是幾近于零。所以,在此也倡導相關單位能重視起計算機和計算機網絡安全的投入與維護,將安全落到實處。
3 如何加強網絡系統安全的維護
現在社會飛速發展,工作和生活也越來越多地需要網絡的支持,如果網絡存在安全隱患,時時刻刻都要面對信息的丟失或不能及時流通,或者被篡改、增刪、破壞或竊用,任何一個問題的產生,都會帶來無法彌補的損失。無數的案例擺在我們眼前,通過最簡單的聊天工具就可以竊取對方電腦和網絡中的機密文檔。其原因:一是用戶相關知識的不足,二是網絡系統存在很多的漏洞,而這些損失往往是可以避免的。面對沉痛的教訓,我們更應該防患于未然,做到預防為主,防治結合。
首先,我們應該用科學完善的管理機制來支撐網絡安全維護這一系統工程,包括組織建設、制度建設和全員安全教育,小到個人用戶,大到公司、政府和國家,都需要從點滴做起,建立好組織架構和相應機構,設立相關的規章制度,并且必須重視工作人員的安全教育,加強安全意識。
其次,還需要運用技術手段來確保網絡系統的安全,針對不同的安全時期,制定不同的技術策略,如系統安全策略、安全管理策略和縱深防御策略等等,對操作系統、數據庫、服務器等進行安全加固,避免因硬件設施帶來的安全問題,加強安全系統如防火墻的建立和運用,將不良的入侵和攻擊擋在系統之外。
4 小結
網絡時代高速發展,體現出了現代技術的日益發展,然而,高速發展的同時也會產生諸多的問題等待人們去解決,而對于網絡技術來講,安全更是重中之重。本文就網絡系統安全的維護這一命題,從基本概念、主要威脅和維護措施等方面,闡述了安全維護的必要性。相信隨著網絡的不斷發展,技術的不斷完善,人們安全意識和素養的不斷提升,網絡系統的安全會越來越有保障。
參考文獻:
[1]周學廣.信息安全學[M].北京機械工業出版社,2003.
[2]曹天杰等.計算機系統安全[M].北京高等教育出版社,2003.
[3]熊華,郭世澤.網絡安全――取證與蜜罐[M].人民郵電出版社,2003.
篇(2)
隨著網絡的不斷發展和開放,在便利快捷的同時也會面對著很多潛在的新危險與新挑戰,網絡中的安全問題已經達到了刻不容緩的地步。為了解決網絡時代的網絡安全這一問題,近些年來逐漸盛行起了防火墻技術。這門技術是網絡安全中的一種獨立元素,其安全性能將關聯著每一個用戶最切身也是最直接的個人利益。因此,就需要對防火墻技術進行仔細分析,并設計出對應的軟件雛形以及數學模式,使用打分制來確定其在系統中所能達到的安全等級,在對其進行安全風險評估后,使其不僅能成為加強系統安全性能的科學依據,還具有對網絡安全起到防范和防御的能力。
1網絡安全的概念
網絡安全的概念根據用戶的不同理解而有著不盡相同的解釋,但是從大多數的用戶角度來看,他們都期望所涉及的商業利益和個人隱私等方面的信息能夠得到完整而機密性的保護,防止被人使用冒充、竊聽、篡改等非法手段侵犯到其利益與隱私,并且還希望能夠同時避免被其他的用戶非授權性的破壞及訪問。若是從管理者的角度來看,就想要對自己的后臺操作,本地的網絡信息訪問,以及其他工作性質的操作都能得到保護與控制,防止有病毒、資源的非法占用及非法控制,甚至黑客攻擊等的情況出現。網絡安全其實就是信息安全,只有信息的安全才能保障數據的完整性、保密性、可用性與合法的使用性。因此,網絡安全的另一種解釋就是網絡系統的軟件、硬件甚至系統里的所有數據都能受到保護,不至于因為偶然或蓄意的行為而受到泄露、破壞和更改,使系統可以正常而可靠的持續運行。由此可見,網絡安全觸及到的內容有技術方面的,也有管理方面的,兩方面缺一不可,且相互補充。在技術方面就會偏重于防止外部用戶的非法攻擊,在管理方面則會偏重于內部的人為破壞因素。當前,怎樣更好更有效的保護信息數據和增強網絡系統的安全性,已然成為了必須解決的一個重要問題。
2網絡安全的特點
1)保密性特點:該特點是不將信息泄露出去給非授權的用戶。2)完整性特點:在數據沒有授權的情況下,經過儲存或者傳輸的過程中都要保持其不被丟失或修改,破壞。3)可用性特點:這是一種在被授權后,實體能夠進行訪問或按照需求進行使用的一種特性。4)可控性特點:控制信息或內容向外傳播。5)可審查性特點:在發生安全問題時提供手段和依據。
3防火墻的概述
伴隨著網絡的不斷普及和發展,網絡中存在的漏洞也就無可避免地會被發現出來。也就出現了有些心懷惡意的攻擊者利用它們來對特定的人、單位、企業,或整個網絡進行攻擊,向網絡安全發起挑戰,以至于造成嚴重的威脅。為了抵御外界這種惡意的攻擊,許多安全技術也就應運而生,如:保護網絡安全、防火墻、網絡病毒檢測等。其中,位于內外網絡交界處的防火墻技術就成為了特別重要的一環。1)防火墻的含義防火墻是網絡中內部網絡和外界網絡兩者之間的一道防御系統,它可以通過讓內部網絡和Internet,或是與其他的外部網絡之間相互進行隔離,再運用限制互訪來達到保護內部網絡的功能,當然這些處理上的操作根本就不會阻礙用戶對某些風險區域的訪問。防火墻技術是產生在內部和外界網絡之間唯一一條安全通道,通過選擇對它的配置,可以允許哪些內部的服務能夠被外界所訪問,以及外界的哪些人能夠來訪問其內部服務,以至于達到外部服務還可以讓內部人員去訪問等諸多權限。而新一代的防火墻還具有防止內部人員向外傳輸敏感數據的功能,并管理子網和子網之間,子網和外網之間的這種需要被限制的互訪。若是將局域性的網絡放在防火墻的后面,就需要對防火墻實施有效的配置,才能夠使其發揮出防御外界攻擊的保護功能。對于防火墻的認識,還可以簡單的將其認為是一個限制器,或分析器和分離器,它能夠有效的監視內部網絡與Internet之間的所有活動,確保內部網絡的安全性。因此,不管防火墻 只是一個特別簡單的過濾器也好,還是一個精心設置的網關也罷,其保護性的原理始終不變。并且,它的技術主要是用在保護由多臺計算機組成的一些大型的網絡,因為這些地方是黑客們最感興趣,也最覺得刺激的地方。畢竟要想架設防火墻,就一定會要投入相當多的資金來籌備大型的硬件和軟件,而防火墻的特點是需要在一立的計算機上運行。2)防火墻的簡史防火墻的技術從其產生到現如今已經過了二十年,可以分為五個階段:簡單包過濾的防火墻、鏈路層的防火墻、應用層的防火墻、動態包過濾的防火墻和自適應的防火墻。最近這兩年,人們逐漸提出了智能防火墻的技術,也就是第六代的防火墻技術。這種智能防火墻從其技術到其特征都是運用統計和記憶,概率與決策等智能方法對數據加以識別,從而實現對訪問進行控制的目的。這種新型的數學方法取代了匹配檢查的海量計算,通過高效率的發現網絡行為中的特征值,而直接對外界訪問加以控制。正因為這些都是使用的人工智能的科學方法,才會被稱之為智能防火墻。更聰明也更加智能的智能防火墻利用它的優勢克服了傳統防火墻那種一管就死一放就亂的缺點,并且還有效地解決了原來廣泛存有的拒絕服務攻擊方面的問題,以及病毒傳播與高級應用入侵等弊端。這種新型的智能防火墻將原來設定為出口的概念變為了關口,所有要想經過關口的數據,都一定要被防火墻檢查。另一方面,這種智能防火墻本身的安全性就要比傳統防火墻高出很多,并且在很多方面都有著質的躍進,這種現象也就代表了防火墻技術在未來發展中的主流方向。3)防火墻的功能①過濾,是防火墻采用的一種防護措施,會對假冒的IP源地址或是所有的源路由的分組進行識別和過濾。②網絡地址的轉換,也是防火墻其中的一種功能。它會使用網絡中的地址轉換技術來對所有的內部地址進行轉換,讓外界網絡沒有辦法了解到內部的網絡結構,另一方面又會容許內部的網絡使用自編的地址。③防火墻還具有對訪問進行監控,以及對網絡的存取進行記錄的功能。當外界訪問可疑時,防火墻就會適時發出報警,并且會提供一些網絡被攻擊或是監測等方面的詳細信息以供參考。
4防火墻對網絡安全起的作用
防火墻的作用就在于從各個端口來判斷和識別出從外部的一些不安全網絡發過來到內部的安全網絡里的數據是不是有害的,經過判斷之后,會將有害的數據進行攔截或丟棄,已完成初步對網絡安全上的保障。同時,還會在網絡與系統遭到危害或破壞之前,實行報警與響應等措施。在對網絡安裝了防火墻或調制了正確的配置之后,能夠實現以下四種目的:1)自動過濾掉非法用戶或不安全的一些服務,防止他人訪問內部網絡、2)限制用戶訪問一些特殊的站點。3)禁止入侵者靠近所設的防御設施。4)在監視Internet的安全,提供了便捷和方便。
5總結
防火墻是近些年來維護和保護網絡安全的一種重要技術手段,會依據網絡的信息保密程度來進行不同的多級保護模式與安全方面的策略。加大使用防火墻不僅經濟,而且還能高效的保障網絡的安全。如今已經有越來越多不同功能的防火墻技術產品被選擇使用,諸如:電子郵件的防火墻、病毒防火墻以及Telnet防火墻等。可即便防火墻有著如此多的功能,但也不可能是萬能的,也總有其缺點,所以還是需要與其他的安全措施配合來一起防御外部攻擊,才能達到更強的保護功能。
作者:李勝軍 單位:吉林省經濟管理干部學院
參考文獻:
[1]鄭林:防火墻原理入門[Z].E企業,2000.
[2]楊璐:網絡安全理論與技術[M].北京:人民郵電出版社,2003.
[3]劉青,張慶軍:基于防火墻技術的計算機網絡安全機制探析[J].硅谷,2015(3).
篇(3)
關鍵詞 電子貨幣 網絡銀行 網絡安全
從1998年招商銀行開通網絡銀行服務后,全國性的商業銀行紛紛開通了網絡銀行業務,網上支付和銀行卡支付已經成為目前我國電子支付的主流。2009年全國的支付總量約為1130萬億,其中300萬億元通過各商業銀行支付系統完成,127萬億元由銀聯銀行卡系統進行,電子貨幣將成為未來貨幣發展的主要趨勢,而網絡銀行也將成為今后電子貨幣交易的主要平臺。
一、 電子貨幣與網絡銀行的概念和特點
(一) 電子貨幣的概念
電子貨幣(Electronic Money)是以金融電子化網絡為基礎,以商用電子化機具和各類交易卡為媒介,以電子計算機技術和通信技術為手段,以電子數據(二進制數據)形式存儲在銀行的計算機系統中,并通過計算機網絡系統以電子信息傳遞形式實現流通和支付功能的貨幣。
目前,我國流行的電子貨幣主要有四種類型:
(1)儲值卡型電子貨幣
一般以磁卡或IC卡形式出現,其發行主體除了商業銀行之外,還有電信部門、IC企業、商業零售企業、政府機關和學校等。
(2)信用卡應用型電子貨幣
指商業銀行、信用卡公司等發行主體發行的貸記卡或準貸記卡,可在發行主體規定的信用額度內貸款消費,之后于規定時間還款。
(3)存款利用型電子貨幣
主要有借記卡、電子支票等,用于對銀行存款以電子化方式支取現金、轉帳結算、劃撥資金等。
(4)現金模擬型電子貨幣
一種是基于Internet網絡環境使用的、將代表貨幣價值的二進制數據保管在微機終端硬盤內的電子現金;一種是將貨幣價值保存在IC卡內并可脫離銀行支付系統流通的電子錢包。
(二) 電子貨幣的特點
電子貨幣可以在互聯網上或通過其他電子通信方式進行支付,沒有物理形態,為持有者的金融信用。現階段,電子貨幣與實體貨幣之間以1:1的比率兌換,具備價值尺度和流通手段的基本職能,還有價值保存、儲藏手段、支付手段、世界貨幣等職能。
具體而言,電子貨幣具有以下特點:
(1)依托電子計算機進行儲存、支付和流通
電子貨幣以二進制數據的形式存在,離不開電子計算機,電子貨幣的普及和計算機技術的發展,促進了網絡銀行的誕生。
(2)可廣泛應用于生產、交換、分配和消費領域
電子貨幣雖然不具有實物形態,但仍然具備貨幣的基本職能,能夠在社會生產的各個領域發揮支付和流通手段的職能。
(3)融儲蓄、信貸和非現金結算等多種功能為一體
貨幣電子化使多功能一體化得以實現,也使傳統銀行業務的辦理更加便捷。
(4)電子貨幣具有使用簡便、安全、迅速、可靠的特征
隨著網絡安全技術的提高,在大額支付領域,電子貨幣比傳統貨幣更加便捷和安全。
(5)以銀行卡(磁卡、智能卡)為媒體
電子貨幣的無形化使其必須以銀行卡等為載體,這也成為電子貨幣區別于傳統貨幣的一大特點。
(三) 網絡銀行的概念
網絡銀行又稱網上銀行、在線銀行,是指銀行利用Internet技術,通過Internet向客戶提供開戶、銷戶、查詢、對賬、行內轉賬、跨行轉賬、信貸、網上證券、投資理財等傳統服務項目,使客戶可以足不出戶就能夠安全便捷地管理活期和定期存款、支票、信用卡及個人投資等。
網絡銀行業務可以分為信息服務、中間服務和全面服務三種,目前,我國網絡銀行的服務種類已經涉及到了各個領域。雖然美國網絡銀行的業務量占銀行業務量的比例已接近50%,而我國尚不足1%,但隨著我國電子貨幣的普及和網絡的發展,網絡銀行的發展前景極為廣闊。
(四) 網絡銀行的特點
銀行是金融系統中的重要機構,而網絡銀行是金融電子化的產物,也是電子貨幣的主要交易場所,是傳統銀行與網絡信息技術相結合的結果,與傳統銀行相比,具有與眾不同的特點:
(1)電子化交易,無紙化經營
電子支票、電子匯票和電子收據代替紙質票據,電子現金、電子錢包、電子信用卡等電子貨幣代替紙幣,交易業務通過數據通信網絡進行,使無紙化交易在網絡銀行成為現實。
(2)便捷、高效的全方位服務
網上銀行是在Internet上的虛擬銀行柜臺,又被稱為“3A銀行”,能夠在任何時間(Anytime)、任何地點(Anywhere)、以任何方式(Anyway)為客戶提供金融服務,使用戶享受到不受時間、空間限制的全方位服務。
(3)降低成本,保證正常經營
現在零售交易上使用的現金,其成本大概是1.7%左右,而電子貨幣是0.6%左右。網絡銀行采用了虛擬現實信息處理技術,又可以在保證原有業務量不降低的前提下,減少營業點的數量,從而使銀行的經營成本大大減少。
(4)簡單易學,方便溝通
網絡的普及使網上交易簡單易學,而E-mail的通信方式也便于客戶與銀行之間以及銀行內部的溝通。
二、 網絡銀行的電子貨幣交易模式及問題
電子貨幣是近年來日益流行的新興貨幣形式,在網絡購物、投資理財等領域發揮了傳統貨幣不可比擬的重大作用。電子貨幣之所以能夠基本上取代紙幣在貨幣交易系統中流通,一方面由于信息時代對貨幣交易效率的要求,另一方面也由于電子貨幣便捷、易攜帶和安全等優點。
(一)現行的電子貨幣交易模式
網絡銀行作為電子貨幣的主要交易場所,其交易模式是網銀用戶和銀行機構普遍關心的問題。目前,我國網絡銀行普遍使用SSL加密技術標準,在技術層面上可以保證數據在傳輸過程中的安全問題。
雖然各商業銀行的安全認證工具不同,但總體而言,包括密碼、文件數字證書、動態口令卡、動態手機口令、移動口令牌和移動數字證書等認證介質。密碼是安全系數最低的認證工具,移動數字證書則是最安全的認證工具,其他認證工具的安全系數基本在80%以上,結合使用能保證基本的安全交易。
(二)網絡銀行的安全交易問題
CNNIC的調查結果顯示,不愿意開通網絡銀行的銀行客戶中,有76%是出于安全考慮;開通網絡銀行的網絡用戶中,有16%對網絡銀行表示不滿意;33%的網購用戶不愿意選擇網銀支付貨款。可見,網上銀行的安全性沒有因為其便捷性而被忽視,反而成為了阻礙網絡銀行發展的一大問題。
目前,網絡銀行存在的安全性問題主要包括以下幾個方面:
1.對實體的威脅和攻擊
各種自然災害、人為破壞以及媒體的失竊和丟失,即針對銀行等金融機構計算機及其外部設備和網絡的威脅和攻擊。
2.對銀行信息的威脅和攻擊
這包括信息泄漏和信息破壞。信息泄漏是指偶然或故意地獲得目標系統中的信息,尤其是敏感信息而造成泄漏事件;信息破壞是指由于偶然事故或人為破壞,使信息的正確性、完整性和可用性受到破壞。
3.計算機犯罪
計算機犯罪是指破壞或者盜竊計算機及其部件或者利用計算機進行貪污、盜竊、侵犯個人隱私等行為,相對于傳統犯罪而言,增長率高,損失更嚴重。
4.計算機病毒
犯罪分子通過計算機病毒入侵網銀用戶以非法獲取個人隱私等,嚴重危及網銀用戶的安全。
三、 網絡銀行的安全交易對策
網絡銀行的安全涉及到網絡平臺的各個方面,按照OSI的七層網絡模型,網絡安全也包括物理層、鏈路層、網絡層、操作系統、應用平臺和應用系統安全等多個方面。雖然OSI只提供了一種抽象模型,但該模型能夠提供五種安全服務:
(1) 鑒別
證明通訊雙方的身份與其申明的身份相一致,這是使用網銀的第一道防線。
(2) 訪問控制
對不同的信息和用戶設定不同的權限,保證只允許經授權的用戶訪問經授權的資源,這是對網銀用戶資料的安全保障。
(3) 數據機密性
保證通訊內容不被他人捕獲,不會泄露敏感的信息,這是對通訊過程的保護。
(4) 數據完整性
保證信息在傳輸過程中不會被他人篡改,也就是電子貨幣在交易過程中不會出現問題。
(5) 不可否認性
證明一條信息已經被發送和接受,發送方和接受方都有能力證明接收和發送的操作確實發生了,并且能夠確定對方的身份。
為了保證網絡銀行的安全性,必須在不同層次上采取不同的安全技術來保證系統的安全性能,目前被普遍采用的是網絡層安全協議中的安全套接字協議(SSL)和安全電子交易標準(SET)。SSL為客戶/服務器會話提供了服務器確認、客戶確認、完整性和機密性等一系列安全服務。
除此之外,網絡層安全技術還包括最廣泛使用的防火墻技術,設立多重防火墻,一方面可以分隔互聯網與交易服務器,防止互聯網用戶的非法入侵;另一方面可以分割交易服務器與銀行內部網,有效保護銀行內部網,同時防止內部網對交易服務器的入侵。
在應用層上,信息認證技術是確認交易雙方真實性和傳輸數據準確性的保證,網絡銀行已經采取了基于“RSA公鑰密碼體制”的加密機制、數字簽名機制和用戶登錄密碼等技術,尤其是中行為了防止詐騙推出的手機認證服務,更是為身份認證提供了重重保障。
在除網絡層和應用層的其他層次上,網絡安全技術也不可忽視,總而言之,網絡安全是多層次的,要真正應對網絡銀行電子交易過程中的安全威脅,就要制定多層次、多體系的安全體系,實行24小時實時安全監控,隨時進行系統漏洞掃描和實時入侵檢測。
四、 結論
雖然采用電子貨幣支付很便捷,但由于電子貨幣的交易在網絡中主要表現為數據的存儲和傳輸,任何一個環節出錯,都會影響數據的真實性和準確性,進而影響電子貨幣的安全交易。
從金融機構角度來說,電子貨幣自身的缺陷和交易過程的風險性不容忽視,尤其是其對金融系統安全的影響,需要金融監管部門的重視,更呼喚金融監管體系的完善。
從銀行角度來說,繼續擴大網絡銀行業務,發揮電子貨幣交易的巨大作用,但要注意從交易的每個環節采取嚴密的安全保護措施,使用高安全級的Web應用服務器,建議嚴密的安全控制體系,全程監控,多重認證。
從個人角度來說,要正確認識電子貨幣,運用辯證的觀點看待這一新型貨幣,既不能因為電子貨幣的便捷性而否定現金在交易中的作用,也不能因為電子貨幣的風險性而徹底抵制電子貨幣的交易。在享受便捷的同時,也要重視電子貨幣的安全問題,設置安全可靠的密碼,保護好其他認證工具,保證所有的交易都在安全可靠的網站進行,不隨意泄露個人信息。
參考文獻:
[1][美]瑪麗•J•克羅寧.互聯網上的銀行與金融.經濟科學出版社.2002.1.
篇(4)
忘了要安內
不管是安裝防火墻、入侵檢測系統等,企業的著眼點往往是放在外部的威脅上,企業網內部的安全管理,就常常被忽略了。我們可以不難體會到,隨著網絡技術的演進,整個網絡世界已與以前大大不同,不再只是單純的有線環境,網絡控管也變得較為困難。
此前,企業習慣于攘外再安內的原因是,以往對于企業網絡的攻擊主要來自于企業外部,所以企業習慣先部署防御外在威脅的安全架構,如防火墻、入侵檢測系統等;然而現今的網絡攻擊模式,如間諜軟件等,都是先在企業內部網絡進行檔案破壞或密碼解譯等動作,更有甚者是在之后再將企業內部信息打包送出,這種攻擊模式已經變成一種新的趨勢。因此,企業網絡安全要做得透徹,應該要從連上網絡的那一刻便開始注意。
企業控管有三大層面,除了管制使用者能否上網之外,接下來要管制使用者的上網行為,讓其符合企業內部的安全規范;最后一個部份則是分層管理,也就是針對使用者取得內部網絡使用授權之后的資源管理,像是每個部門都應該受到不同的權限要求與保障。
零時差攻擊所造成的慘劇
我們見到許多惡意軟件作者在“空窗期”(辨識出惡意軟件并提供修補程序之前)試圖感染計算機,此趨勢似乎一直延續至今。即便企業已經部署了所有必要的防火墻、入侵檢測系統、病毒防護程序等,此類利用 WMF 弱點的零時差攻擊就足以讓企業 IT 管理者頭痛不已。
越來越多的員工現在都使用筆記本電腦在家工作,或是出差時在旅館或機場內工作。不過一個非常重要的環節卻可能被忽略:公司網絡內部的接入控制。因此在員工直接聯機到企業內部網絡時,審慎控制接入流程 (包括員工的身份認證、檢查 PC或筆記本電腦的安全狀態等) 是非常重要的。不過,Gartner 最近的報告指出,即使最好的企業也只能控制大約 80% 的網絡端點 (員工的筆記本電腦/PC)。
UAC的概念與管理
所謂UAC (Unified Access Control,統一接入控制) 是產業級的協同研究成果,可以協助保證每一個接入點在進入網絡前皆符合網絡安全規范,每個使用者要先取得PC及其它裝置的接入權限才能進入特定的網絡。UAC的解決方案保證端點設備在接入網絡前是完全遵循已建立的安全策略,并確保不符合安全策略的設備無法接入該網絡、并設置可補救的隔離區供端點修正網絡政策,或限制其可接入的資源。
UAC的架構基本上是由三個主要的組件所組成,包含了Policy Server (政策服務器,即控制器)、Agent(器)以及 Enforcer(執行器)。政策服務器(控制器)的作用是檢查從網絡接入裝置轉送來的端點安全憑證,判定并給予其適當的接入權限 (如允許進入、隔離或拒絕進入);Agent 的功能在于搜集端點的安全信息與設定等信息,并把這些信息傳遞到網絡接入裝置 (Enforcer);Enforcer 則是強制執行的設備,負責阻擋或隔離不符合網絡政策的網絡行為。
UAC是業界對企業網絡更高的安全需求所產生的反應,是一種更為全面性的防護方式,持續監控使用者的聯機,而不是單純假設只要使用者通過網絡聯機一開始的安全和惡意軟件檢查,便不會做出其它違反安全規范的行為。
基本上,完整而有效的UAC 架構應該要能提供以下幾個層面的安全功能:
端點安全狀態檢查―評估聯機裝置的“安全健康狀況”;
零時攻擊防御―主動預測出潛在威脅,而非只針對已發現的威脅做出反應;
動態執行政策―能夠實時對網絡上的高風險活動立即采取行動;
精確進行隔離與矯正―隔離威脅來源并排解疑難;
提供網絡情報―提供 IT 管理人員進行管理決策所需的信息;
政策決定和政策執行―將網絡接入對應至企業需求。
有了安全沒了方便?
病毒與蠕蟲不斷的透過網絡來影響企業營運,因為它而導致企業必須面對停工、恢復所需費用、無止盡的修補、公共責任、收入損失等。零時差攻擊表明了,系統安全更新 (patch) 遠跟不上脆弱的系統被攻擊的速度,往往系統在安全管理者提供最新的更新碼 (patch、病毒碼) 前就已經遭受了攻擊。
UAC 是應對無所不在的攻擊模式所產生的防護架構,只是,防堵了因為圖一己之便所衍生出的網絡安全問題,卻有可能因此降低了企業流程的便利性?
企業在部署 UAC或其它安全防護機制時,一定要在安全維護與使用便利性上取得平衡。
根據知名研究機構 Current Analysis調查指出,企業在部署安全防護方案時有四點基本的考慮與需求,第一個要求是部署簡單,可以快速完成;第二個考慮是開放標準,也就是希望未來新的解決方案要能支持各端點的安全需求,要能整合各種增值應用,如此才不會被特定安全提供商所牽絆住,各項產品才有機會整合成一個完美的防護機制;第三個考慮則是希望除了內部員工之外,包括合作廠商、訪客等在進入企業網絡范疇之前都能夠受到管控;最后一項則是,希望能夠分階段部署這些安全機制與設備,不管是按照部門或是依照網絡層的不同來分段設置,也希望能夠整合不同時間所設置的安全設備。
接入控制機制除了要針對內部員工之外,也常需針對外在的訪客來作出反應。目前,一些先進的科學園區中許多企業在訪客攜帶筆記本計算機進入公司之前,都會要求其填寫一份安全防護問卷表,若是填寫的問卷表中顯示,訪客沒有符合該公司的安全防護規定,如未安裝某些防毒軟件等,常會被要求須在特定區域等候負責人員替訪客執行筆記本計算機的掃毒動作,確認安全無虞之后才準在企業內部上網。如此的安全維護動作雖然很確實,但卻是非常不方便,除了會增加企業 IT 人員的負擔外,也耽誤到訪客的寶貴時間。
平衡方案與未來趨勢
有了安全就沒了方便,要方便使否就要忽略安全呢?有企業開始使用無的方式來平衡便利接入與安全防護這兩個難以取舍的網絡安全議題。
許多企業開始以較簡易而不用直接安裝防護機制的方式來做到安全與便利性的并重;譬如當外來訪客上網準備進入內網體系時,類似UAC架構中Enforcer(執行器)的機制,若發現訪客電腦尚未安裝某些防毒程序或是病毒碼未更新等違反企業安全規范的狀況,便會自動將其導引至某些特定的網頁,讓其自動可以更新病毒碼,或是干脆讓其只能接入特定網頁,而無法接入企業網絡內的資源,這就是系統的矯正以及隔離功能。
篇(5)
一是思想認識不夠。部分干部職工對網絡安全重視不夠,安全意識不強,還存在模糊認識。有的認為,只有寫著密級字樣的文件才是秘密文件,自己辦公上網所涉及到的辦公內容和一些數字談不上秘密,不屬于保密信息;少數用戶感到,和平時候,赤峰地區貧窮,信息化條件落后,失密、竊密與已無關,也不可能在自己身上發生,不必大驚小怪;一些職工認為,信息化社會,敵特分子竊密技術新、手段高,還存在無密可保,有密難保的畏難情緒;還有個別人員認為,信息交流是個人行為,網上聊天是言論自由,不存在失泄密問題,僥幸心理十分嚴重。二是防范措施不嚴。目前,大多數計算機網絡系統大多采用軟硬件“防火墻”、殺毒軟件等一般性物理隔離技術,缺乏非授權用戶進入、采用口令破解程序等高技術破壞、竊取手段的特殊防范措施。有的科、室和所干擾器配備不齊,有的損壞后未能及時更換;有的雖然配備了干擾器,但經常處于不開機狀態,沒有發揮應有的作用。少數用戶違反規定在同一臺計算機上進行辦公和上網;還有的違反規定,使用帶內容的移動載體從因特網下載資料,存在失泄密傾向;一些科室對臺式計算機、筆記本電腦、移動存儲等辦公設備上網管理不嚴格、不科學;還有個別科室對計算機網絡安全管理疏于管理、放任自流,檢查、督導流于形式,存在比較嚴重的信息安全隱患。三是防腐能力不強。網絡被西方敵對勢力稱作“虛擬空間的政治生力軍”,它們不斷沖擊我國人員的理想信念,這也是西方敵對勢力對我國進行政治瓦解的新手段和新策略,同時負面網絡信息也沖擊和影響著全辦干部職工的思想行為。調查中我們發現,極少數職工在網上聊天隨意談論單位信息、發表言論、友等現象,甚至還有個別人員經不起誘惑,迷失自我,有的甚至會走上歧路,容易發生網絡犯罪。
二、做好信息化條件下計算機網絡安全工作的對策
(1)加大網絡安全教育力度,進一步強化網絡安全意識。抓好信息化條件下網絡安全,首要的是加強教育,強化安全保密意識,筑牢全辦干部職工的思想防線,確保網絡使用安全。一是要提高思想認識,克服模糊觀念。各級要進一步端正指導思想,進一步提高安全保密意識。要定期組織全辦干部職工學習保密規定、網絡安全、反敵滲透竊密等有關保密知識,教育引導大家進一步認清信息化條件下網絡安全工作的重要性,走出“有密難保、無密可保”的認識誤區,真正從思想上重視起來,樹立正確的安全保密觀念。二是要搞好疏堵結合,增強抵御能力。網絡已經成為社會生活的重要內容,成為全辦干部職工了解和認識社會的重要途徑。三是要抓好教育培訓,提高網絡技能。辦黨組在搞好網絡安全教育的同時,要對全辦干部職工進行網絡安全保密技術培訓;采取外請專家、內請行家等方式對使用互聯網、局域網、政府網和軍網的人員進行網絡安全保密知識教育,要把手機泄密、網絡泄密等新知識作為學習的重點,提高網絡安全技能。不斷增強全辦干部職工做好網絡安全保密工作的責任感和使命感。
(2)加大網絡安全管理力度,嚴防失泄密事件發生。嚴格管理、科學管理是確保信息化條件下網絡安全的重要手段,也是防止網絡失泄密的主要途徑。要結合辦實際,針對當前網絡安全管理存在的問題,不斷加大管控力度,提高網絡管理水平,防止失泄密事件的發生。一是要加強臺式計算機的管理。每臺計算機管理要責任到人,要簽定網絡安全保密責任書,落實“誰主管、誰負責,誰使用、誰負責,誰簽字、誰負責”的責任制,形成一級抓一級、一級對一級負責的網絡安全責任意識。二是要加強對移動媒體管理。進一步加大對辦公使用的筆記本電腦、移動硬盤、U盤、光盤和磁盤等移動媒體的使用和管理,要按照類別、級別、等級進行編號、登記、使用等,嚴禁帶秘密載體進入公共場所、公私混用、私自上網等,嚴防因移動媒體管理使用不當而引發失泄密事件。三是要加強檢查督導。要不定期、經常對網絡安全進行了突擊檢查,對查找出來的問題,要當面教育,現場整改;對不遵守網絡安全使用管理規定的人員,要采取辦學習班、考試等到形式進行培訓和補課,不斷搞高網絡安全意識和技能;要加強對辦公時間使用網絡的管理,倡導安全上網,上健康網、上文明網,進一步提高廣大干部職工遵守網絡安全安全的紀律性和自覺性。
(3)加大網絡安全制度建設力度,增強網絡安全的實效。沒有規矩不能成方圓,加強網絡安全管理也是同樣的道理。嚴格安全管理規章制度是實現網絡安全的重要保證。一是要樹立鏈網計算機審批制度。二是要建立上網信息審批制度。嚴格明確信息收集整理和信息的審批權限。三是要建立信息技術安全制度。在網絡建設上,要采取互聯網、軍網物理隔離等先進技術手段,建立兩套獨立的網絡系統,從硬件的物理鏈接上保障信息傳輸安全;對網絡終端機要通過網絡安全隔離卡實現單機終端分時、分域對互聯網、軍網、政府網和局域網的訪問控制;在互聯網、軍網、局域網防火墻上,要設立非法侵入報警系統,設置網絡訪問權限等,防止非法侵入。四是要建立信息網絡“引導員”制度。全辦干部職工要把互聯網、局域網、政府網和軍網作為學習工具,在通過上網不斷提高快速獲取信息、科學鑒別信息、綜合運用信息、駕馭管控信息,以及引導和監督全辦干部職工遵循網絡道德的能力的同時,要在各科、室和所上網人員中選拔專門的有計算機基礎的人員擔任“網絡引導員”,搞好專題網絡信息培訓、思想考查和技術認證等,發揮其網上監督管理和維護保障作用,確保信息化條件下網絡安全。
參考文獻:
篇(6)
中圖分類號:TN711 文獻標識碼:A 文章編號:
前言
互聯網技術的高速發展改變了人們的生產與生活,促進了經濟與社會發展進步,在取得顯著成效的同時,信息技術安全是不容忽視的重要問題。回顧我國當前的互聯網發展,和發達國家相比還有較大差距,雖然也重視了網絡安全技術的開發與運用,但是受制于人才以及設備、技術等方面的因素,安全防護工作難以達到令人滿意的程度。當前,互聯網技術與設備更新換代的速度不斷加快,病毒攻擊防不勝防,國內互聯網安全工作現狀不盡如人意。本文主要針對當前常用的網絡攻擊技術以及網絡安全工作進行分析研究。
1、常用的網絡攻擊技術
目前,網絡攻擊方法層出不窮,而且隨著技術的不斷發展,網絡攻擊日益呈現自動化、低門檻的趨勢,黑客、間諜常采用的網絡攻擊技術。
1.1 有機可乘的系統漏洞
系統漏洞是指應用軟件或操作系統在邏輯設計上的缺陷或在編寫時產生的錯誤,這些缺陷或錯誤可以被間諜利用以獲取遠程計算機的控制權,輕易竊取遠程計算機中的重要資料。其主要方式是以口令為攻擊目標,進行猜測破譯,或避開口令驗證,冒充合法用戶潛入目標計算機,取得對計算機的控制權。盡管通過“打補丁”的方式可以緩解由“漏洞”引起的問題,但是大多數人沒有及時“打補丁”的意識,可能造成計算機系統長期存在系統漏洞,這就給網絡間諜以可乘之機。例如,網絡掃描技術就是通過在Internet 上進行廣泛搜索,以找出特定計算機或軟件中的弱點。
1.2 里應外合的“木馬”
“木馬”是一種隱蔽的遠程控制軟件。計算機木馬程序一般由兩個部分組成:木馬和控守中心。為了防止安全人員的追蹤,往往再增加一個部分:跳板。它是木馬與控守中心通信的橋梁,一般也是被攻擊者控制的機器,木馬通過跳板與控守中心聯系,擁有控守中心的人就可以通過網絡控制你的計算機,了解你的一舉一動,捕獲每一次鍵擊事件,輕松竊取密碼、目錄路徑、驅動器映射,甚至個人通信方面的信息及一切文檔內容。如果你的機器上還帶有麥克風或攝像頭,那么竊聽你的所有談話內容和捕獲一切視頻流量對它來說也是舉手之勞。
由于計算機系統本身存在的漏洞或使用者的安全意識不足,導致“木馬”可以通過多種方式進入上網計算機。比如在瀏覽網頁時,可潛伏在鏈接和圖片中;收郵件時,可藏在附件里;下載程序時,可把自己和程序合并為一體。很多木馬還會采用隱藏技術,如有的木馬把名字改為window.exe,不熟悉系統的人根本不敢刪除;還有的通過代碼注入和dll插入技術,潛伏在系統進程如svchost.exe 或explorer.exe 中,從防火墻的監控日志中很難判斷是正常連接還是惡意連接,由此,采用不同隱藏技術的木馬就神不知鬼不覺地穿過了防火墻與控守中心通信了。據有關部門統計,“木馬”攻擊占全部病毒破壞事件的90%,僅2007 年上半年,境外就有近8萬臺主機對我境內計算機進行過木馬攻擊,我境內有近一百萬臺計算機被植入“木馬”。
1.3 監聽網絡數據的嗅探器
網絡嗅探即網絡監聽,是一種可以利用計算機網絡共享通訊通道進行數據捕獲的技術。嗅探偵聽主要有兩種途徑,一種是將偵聽工具軟件放到網絡連接的設備或可以控制網絡連接設備的電腦上,比如網關服務器、路由器;另外一種是針對不安全的局域網,放到個人電腦上就可以實現對整個局域網的偵聽。由于在一個普通的網絡環境中,賬號和口令等很多信息以明文方式傳輸,一旦入侵者獲得其中一臺主機的管理員權限,就可以竊聽到流經整個局域網的數據,并有可能入侵網絡中的所有計算機。網絡監聽軟件可以監聽的內容包羅萬象,從賬戶密碼到聊天記錄,從電子郵件到網頁內容。不久前,一款MSN 的監聽軟件在互聯網上盛行,只要下載安裝這個軟件,任何一個普通人都能在網上監聽本地局域網內所有人的MSN 聊天內容。
1.4 不知不覺竊走隱私的“擺渡”病毒
“擺渡”病毒以移動存儲設備為媒介,在電腦間傳播。據傳該病毒是美國中情局授意微軟特意留下的漏洞,與系統結合,具有消息阻塞功能,目前沒有任何殺毒軟件能偵測該病毒。以U盤為例,通過互聯網或其它途徑,使U盤感染“擺渡”病毒,當U盤插入計算機時,在無任何操作和顯示的情況下,U盤內的“擺渡”病毒按事先設定好的竊密策略,將文件從機中復制到U盤隱藏目錄下。一旦此U盤再次插入上網計算機,文件就會被“擺渡”病毒轉移至上網計算機中,竊密者即可實施遠程竊密。
1.5 偷窺電子郵件的食肉動物
寫好的電子郵件發送到互聯網上后,它將被發至服務商的郵件服務器中暫存一段時間,經過分揀發往下一目標,在經歷了多個郵件服務器后,才會到達收件人的郵箱中。可見,所發出的電子郵件從進入互聯網開始,就有可能被一些管理著郵件服務器的人員看到。由美國聯邦調查局開發的“食肉動物”就是一個安裝在郵件服務器中的郵件監視系統,它能監控服務器上發出和接收到的所有郵件,并從中獵取各種重要信息,比電話竊聽器還危險。這種系統為美國政府掌握,對其情報收集不愧為一把利器,如果誰想用電子郵件來傳遞信息,簡直無異于“自投羅網”。
1.6 無線互聯功能的計算機及其設備竊密
具有無線上網功能的計算機及無線鍵盤、無線鼠標等無線設備,如果采用開放的信號傳輸,任何具有接收功能的設備都可接收到其傳輸的信息,即使采用了加密技術也能被破解。
當前,英特爾公司推出的迅馳移動計算技術已成為主流高端筆記本電腦的標準配置,這種筆記本電腦具有自動尋址、聯網功能,無需外加模塊就能以對等方式與其它有此功能的筆記本電腦無線互聯,也能以接入方式通過無線交換機組成無線網絡系統,無線聯接的有效距離近百米。如用使用這種筆記本處理信息,可以被其它筆記本或無線交換機聯通,導致信息被竊取,并且不易察覺;如果作為終端接入網絡,在工作時被其它筆記本無線聯通,將使整個網絡的信息都面臨被竊取的危險;而安裝有Windows操作系統并具有無線聯網功能的筆記本電腦即使不處理信息,只要上互聯網或被無線互聯,就有可能通過空口令、弱口令及IPC 共享等漏洞被取得控制權,進而將麥克風打開,使筆記本電腦變成竊聽器,造成泄密[4]。一些安裝有無線網卡、具備無線上網功能的臺式計算機同樣存在以上隱患。
2.提高網絡攻擊防衛能力的措施
2.1 完善網絡安全管理。
要進一步完善計算機與網絡管理的制度,強化主動預防,凡是計算機均要嚴格按照物理隔絕以及網絡防御要求落實到位。凡是補丁程序要及時安裝,提高計算機系統的防御水平,要借助于網絡安全管理制度的落實來提高安全管理水平。
2.2 加大軟件研發力度。
針對當前出現的各種網絡攻擊行為,國家安全部門以及信息研發機構要強化軟件研發力度,變被動為主動,開發研制各種防御性軟件技術。同時,要立足于網絡攻擊的環節、特點,開展針對性的研究工作,提高網絡防御研究的針對性,還要具有研究的前瞻性,針對可能出現攻擊的薄弱環節進行超前研究,防患于未然。
2.3 強化人員技術培訓。
要對相關計算機操作使用崗位的人員進行防網絡攻擊專門業務培訓,對于不同類型、級別的計算機防網絡攻擊工作,實施相應的培訓,同時要開展防御知識普及工作,提高全民防網絡攻擊意識與能力水平。
結束語
綜上所述,在當前信息化社會背景下,網絡攻擊行為不可避免,國內相關機構與群眾應當提高防御意識,掌握基本技術與手段,保護好信息安全,將因信息失密造成的損失降到最低。
篇(7)
具體來說,P1提供了WAN和LAN 2個網絡接口,在使用時,我們要做的就是分別將它們連接到所住酒店的寬帶網絡接口和筆記本電腦有線網口上,然后打開電源。多數情況下,酒店寬帶都是基于端口的認證服務。這時,P1默認可以從當地網絡中自動獲得一個IP地址和與之配套的網關、DNS信息,并自動根據P1內置的VPN參數進行企業VPN管道連接。一旦連接成功,你會看到P1的VPN指示燈變綠。整個過程,完全無需用戶任何干預,像在公司內部一樣。
如果你所住的酒店使用IE窗口認證模式,則你還需要在VPN連接成功前先開啟IE窗口,隨便輸入一個網址,系統會自動彈出相應的酒店寬帶網絡登錄窗口,你也只要按照酒店上網說明,輸入你房間的寬帶口令,即可激活Internet服務。接下來,P1仍然會自動配置好網管事先設定好的VPN連接,將你接入公司的網絡安全體系中。
其實,P1這樣的個人硬件安防解決方案最大的好處還是在于企業安全的統一管理和部署。
在完全沒有用戶干預的情況下,網管能通過ZyXEL的Vantage CNM中央網管系統遠程強制分發統一的企業安防策略。確保身處異地的員工電腦一樣可以在遠程連入企業網絡前,都確實執行最新的企業網絡安全規范,既。節省了網管逐一為大家升級防火墻的麻煩,也避免了百密一疏的危險。真正做到貼身的安防服務。
三心二意玩電腦
隨著電腦更新速度的日益提升,誰家還沒有個把淘汰下來的舊電腦,或者被筆記本電腦替換下來的臺式機。這些電腦大都已成食之無味、棄之可惜的雞肋。怎樣利用這些電腦,幫你做更多的事情呢?這里,我們給你再支一招:用多電腦切換器(KVM Switch)實現多機并用互不干擾。
這里我們拿Aten(宏正自動科技)的雙機USB切換器CS-173ZA為例給大家做一示范。它具備2套主機接口,包括VGA、音頻(MIC、音箱)和USB總共4個接口,可以滿足2臺主機共享同一套顯示器、鍵鼠以及USB打印機等外設。這樣,你就可以將家中空閑的主機也架起來完成一些簡單的后臺工作,比如進行BT下載。或者更方便地將筆記本電腦連到家里臺式機的大屏幕液晶顯示器和高保真音箱上,用標準鍵鼠更舒適地進行操控,而不必受制于筆記本電腦的配置。
多電腦切換器的連接也很簡單,你只要將隨機附帶的2條主數據線,分別連接到電腦主機和KVM后的CPU1/2接口上(注意連接方向:數據線包括VGA、音頻和USB接頭的一端接在主機對應接口上,數據線的另一端接到KVM上),然后將顯示器、USB鍵鼠(PS/2鍵鼠可以通過附帶USB-2-PS/2轉接線轉換連接)和音響系統的MIc/音箱接入到KVM對應端口上,一切就算ok了!KVM的使用也非常容易。在開機2臺電腦后,你可以直接通過KVM正面的1、2主機對應按鈕,進行雙機操控、顯示、聲音系統的快速切換。即要顯示、操控1號機的信息,就按下1號機切換鍵,然后就跟原來一樣,直接使用1號電腦。待需要使用2號主機時,就簡單地按下2號機切換鍵,顯示屏和鍵鼠就都連接到2號電腦上,你即可以開始操作2號電腦。
篇(8)
【 Abstract 】 Firewalls and other types of antivirus software are good security products. But a certain initiative of the highest level to make the whole network system of the hospital safe should be established . Every day we will pay more attention to all kinds of hacker attacks, viruses and worms, etc. But when we saw these news, maybe the system has already been attacked. In this article,we are trying to introduce a proactive network security model. In this model, even if we should find a new virus, we would not worry about the whole network system security of thehospital.
【 Keywords 】 firewall; network security; initiative
1 引言
類似于防火墻或者反病毒類軟件,都是屬于被動型或者說是反應型安全措施。在攻擊到來時,這類軟件都會產生相應的對抗動作,它們可以作為整個安全體系的一部分,但是,還需要建立一種具有主動性的網絡安全模式,防護任何未知的攻擊,保護醫院的網絡安全。
2 實現主動性網絡安全防護體系的四項安全措施
在實現一個具有主動性的網絡安全架構前,需要對現有的主流網絡安全體系有一個大概的了解。防護方法包括四個方面:防火墻、VPN、反病毒軟件以及入侵檢測系統(IDS)。防火墻可以檢測數據包并試圖阻止有問題的數據包,但是它并不能識別入侵,而且有時候會將有用的數據包阻止。VPN則是在兩個不安全的計算機間建立起一個受保護的專用通道,但是它并不能保護網絡中的資料。反病毒軟件是與其自身的規則密不可分的,而且面對黑客攻擊,基本沒有什么反抗能力。同樣,入侵檢測系統也是一個純粹的受激反應系統,在入侵發生后才會有所動作。
雖然這四項基本的安全措施對醫院信息化來說至關重要,但是實際上,一個醫院也許花費了上百萬購買和建立防火墻、VPN、反病毒軟件以及IDS系統,但是面對黑客所采用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力。CVE本質上說是應用程序內部的漏洞,它可以被黑客利用,用來攻擊網絡、竊取信息,并使網絡癱瘓。這就更加需要一種具有主動性的網絡安全模式來綜合管理這四項基本安全措施。
3 四項安全措施的綜合管理具體實施的步驟
3.1 實現主動性的網絡安全模式
作為醫院的信息化技術人員,要保護醫院的網絡首先需要開發一套安全策略,并要求所有科室人員遵守這一規則。同時,需要屏蔽所有的移動設備,并開啟無線網絡的加密功能以增強網絡的安全級別。為無線路由器打好補丁并確保防火墻可以正常工作是非常重要的,之后檢查系統漏洞,如果發現漏洞就立即用補丁或其它方法將其保護起來,這樣可以防止黑客利用這些漏洞竊取醫院的資料和導致網絡癱瘓。
3.2 開發一個安全策略
良好的網絡環境總是以一個能夠起到作用的安全策略為開始實現的,大家都必須按照這個策略來執行。基本的規則包括從指導操作員如何建立可靠的密碼到業務連續計劃以及災難恢復計劃(BCP和DRP)。比如應該有針對醫院收費項目和患者費用信息的備份策略;又如一個鏡象系統,以便在災難發生后可以迅速恢復數據。執行一個共同的安全策略也就意味著向具有主動性安全網絡邁出了第一步。
3.3 減少對安全策略的破壞
不論是有線網絡,還是無線網絡,都很有可能出現破壞安全策略的情況。很多系統沒有裝防病毒軟件、防火墻軟件,同時卻安裝了很多點對點的傳輸程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即時消息軟件等,它們都是網絡安全漏洞的根源。因此,必須強制所有的終端安裝反病毒軟件,并開啟Windows XP內建的防火墻,或者安裝商業級的桌面防火墻軟件,同時卸載點對點共享程序以及聊天軟件。
3.4 封鎖移動設備
對于醫院的網絡來說,最大的威脅可能就是來自那些隨處移動的筆記本電腦或其它移動終端,它們具有網絡的接入權限,可以隨時接入醫院的網絡,具有最大的安全隱患。
據Forrester Research調查,到2005年,世界總共將有3500萬移動設備用戶,而到2010年,這個數字將增加到150億。這些數字讓我們了解這將是醫院網絡安全所面臨的巨大考驗。通過安全策略,可以讓網絡針對無線終端具有更多的審核,比如快速檢測到無線終端的接入,然后驗證這些終端是否符合安全策略,是否是經過認證的用戶,是否有明顯的系統漏洞等。
3.5 設置防火墻
雖然防火墻并沒有特別強的安全主動性,但是它可以很好地完成自己該做的那份工作。防火墻要設置智能化的規則,以便關閉那些可能成為黑客入侵途徑的端口。比如1045端口就是SASSER蠕蟲的攻擊端口,因此需要為防火墻建立規則,屏蔽所有系統上的1045端口。另外,當筆記本電腦或其它無線設備連接到網絡中時,防火墻也應該具有動態的規則來屏蔽這些移動終端的危險端口。
3.6 下載安裝商業級的安全工具
目前與安全有關的商業軟件相當豐富,可以從網上下載相應的產品來幫助保護醫院網絡。這類產品從安全策略模板到反病毒、反垃圾郵件程序等,應有盡有。微軟也針對系統的漏洞不斷給出升級補丁。所有這些工具都可以有效地提升網絡的安全等級,因此應該充分利用它們。
3.7 禁止潛在的可被黑客利用的對象
“瀏覽器助手(BHO)”是最常見的可被黑客利用的對象。它一般用來監測用戶的頁面導航情況以及監控文件下載。BHO一般是在用戶不知情的情況下被安裝在系統中的,由于它可以將外界的信息存入你的系統,因此對網絡安全來說是一個威脅。BHO是通過ADODB流對象在IE中運行的,通過禁止ADODB流對象,就可以防止BHO寫入文件、運行程序以及在系統上進行其它一些動作。
3.8 留意最新的威脅
據計算機安全協會 (CSI)表示,2002 CSI/FBI計算機犯罪和安全調查顯示,“計算機犯罪和信息安全的威脅仍然不衰退,并且趨向于金融領域”。因此,需要時刻留意網絡上的最新安全信息,以便保護醫院網絡。
3.9 彌補已知的漏洞
系統上已知的漏洞被稱為“通用漏洞批露”(CVE),它是由MITRE組織匯編整理的漏洞信息。通過打補丁或其它措施,可以將網絡中所有系統的CVE漏洞彌補好。
4 結束語
雖然安全性永遠都不是百分之百的,但是搭建好具有主動性的網絡安全模式就可以使醫院的網絡安全處于優勢地位。
參考文獻
[1] 鄧素平.構建網絡安全防護體系[J].山東通信技術,2001,2:17-19.
[2] 劉曉瑩等.網絡安全防護體系中網絡管理技術的研究與應用[J].應用與開發,2001,2001,3:30-31.
篇(9)
第二,ARP攻擊的有效預防。供電公司對于這一問題的規定為:將DHCPSnooping應用于全部供電設備,DAI應用于全部新設備,避免受到ARP攻擊。通過保留IP的形式,通過DHCP服務器分配地址。
第三,HUB(HUB是一個多端口的轉發器,當以HUB為中心設備時,網絡中某條線路產生了故障,并不影響其他線路的工作)的混接控制。該現象所導致的安全隱患表現為:供電公司的網絡與路由器、HUB等設備相互連接,這就容易增加用戶用電的困難。供電網絡安全改造過程中,利用人工檢查與網管系統相結合的方式,確定相關的UB端口,一次接入,將HUB這一環節撤銷,保證增加端口,經8換機網管,替代傳統設備,保證網絡與全部交換機接入端口相互連接。第四,為多個部門建立Radius服務器的賬號。供電公司對于這一問題的規定為:建立獨立的桌面管理系統數據庫或是部門之間關聯的數據庫,驗證全部部門用戶密碼和賬戶基本相同。第五,網絡接入認證,確保桌面管理系統的安裝率。供電公司對于這一問題的規定為:桌面管理系統安裝率100%,嚴格認證網絡和計算機之間的連接。其主要的安全問題是:不安裝桌面客戶端的電腦,電腦終端會自動化分和修復VLAN,訪問服務器,自動將客戶端、殺毒軟件和補丁安裝在電腦上。客戶端安裝后,各部門可以由客戶端進入并選擇,則獲取其中的地址和系統用戶名。
2供電公司網絡安全的解決途徑
交換機在接入后,IEEE802.1x協議將會生效,并從Radius服務器中認證用戶。802.1x計算機客戶端軟件在一般狀態下,與終端接換機接入后,802.1x協議則會生效,并設定各個端口只能夠認證通過一臺終端。對于相同的HUB和交換,因其不能提供協議認證端口,能夠進行暫時性的uilt-auth認證,從而確保通過所有終端認證。交換機更換后,取消端口認證,并配置下級交換機認證。將Radius服務器設置于信息中心,從而確保Radius服務器工作的可靠性,并保證2臺以上的Radius服務器,使其實現賬號的自動同步。在配置交換機時,對各個端口的MAC地址數量進行嚴格控制,設置值默認為1。通過對登陸交換機進行檢查,確定HUB的端口,通過分線的方法達到接入要求,也可用管理交換機替換原來的HUB,從而確保交換機接入端口僅僅存在一臺認證通過的終端與網絡相互連接,也可下接設備為802.1x接入認證提供支持。Cisco交換機與終端端口相互連接后,會將BPDUGUARD功能啟動,進而避免計算機端口與HUB或交換機隨意連接,進而形成網絡環路。在網絡監察過程中,終端可能并未打開,這就容易形成端口與多臺計算機相互連接的現象,需要進行嚴格控制,在其他終端開機后,無法實現網絡連接。信息中心技術支持人員需要配置交換機,保證其與網絡的順利連接。在交換機端口與管理交換機相互連接,而非終端時,需要將BPDPGUARD功能關閉,避免交換機端口的自動關閉。
建立每個VLAN獨立的ACL并應用后,實現VLAN之間三層隔離的目標。因為目前的業務主要體現為信息中心機房內,因而VLAN只能夠訪問信息中心服務器,且不限制訪問其他兄弟單位網絡。自動綁定交換機端口和MAC地址,通過“port-securitymaximum”對所有交換機端口接入終端的數量進行控制。利用DHCP服務器內的IP地址保留方式,綁定MAC地址和IP地址,而且,在開啟交換機DAI功能后,只能允許終端以過DHCP方式獲取IP地址,避免終端手動指定IP地址,進而出現IP地址沖突或是盜用問題。聯合應用DAI和DHCPSnooping,有助于ARP攻擊的控制。以保留IP的形式在DHCP服務器上對IP地址進行重新分配,從而實現綁定IP地址和MAC地址的目標。為了對非法DHCP服務器進行限制,應控制交換機,確保全部終端均獲得合法DHCP服務器的地址。少數計算機需要經常性與各個VLAN網絡接入,應實現VLAN內各個IP地址的分配。
篇(10)
希捷重塑備份概念
2012年6月14日,希捷科技公司宣布推出Backup Plus產品系列。作為希捷的重塑消費存儲產品系列,Backup Plus可實現最簡單的設置、一鍵備份、保存及共享Facebook和Flickr內容等各種功能。它能與Windows及Apple計算機互操作,并提供各種全新的功能,以保護、共享和保存我們數字生活的方方面面。產品預裝希捷全新的無障礙Dashboard軟件,可實現一鍵本地備份。(浛博)
Immersion帶來新的觸覺震撼
2012年6月20日,Immersion公司在亞洲移動通信博覽會現場演示了其內置TouchSense技術的軟件解決方案。在Immersion技術的幫助下,OEM廠商能夠將精心設計的觸摸反饋效果持續應用于整個移動用戶界面中,從而打造出越來越具吸引力的差異化用戶體驗。隨著Immersion推出易于使用的集成工具,安卓系統的OEM廠商和應用開發者們可以在其移動游戲和應用中加入更高端的觸摸反饋效果,借助觸覺技術實現逼真的體驗感受。(浛博)
有道首發Android Pad版
伴隨著Google首臺平板電腦Nexus 7的,有道詞典也推出了Android Pad 1.0版本,成為Android Pad上國內首個翻譯服務類應用,繼續領跑同類產品。有道詞典及時填補了翻譯領域的空白,推出首個Android Pad版詞典應用,滿足了Android Pad用戶的翻譯需求。Android版有道詞典具有詞典、百科和翻譯三大經典功能,并且支持中、英、日、韓、法多語種查詞及全文翻譯。與PC端一樣,用戶除了能享受到豐富的網絡釋義和海量例句等翻譯服務,在離線環境下還可以使用包含10萬個常用詞匯的中英本地詞庫。(浛博)
東芝21:9超寬屏超極本
2012年6月13日下午,東芝電腦在北京舉辦了以“超越巔峰 極致體驗”為主題的新品媒體溝通會,本次會議的主角是東芝即將的兩款14英寸全新超極本Satellite U800與Satellite U800W。其中U800外殼采用鋁合金金屬材質制成,機身最厚處僅有19.9毫米,重量僅為1.7kg,搭載英特爾最新一代的Ivy Bridge i3/i5處理器,且配備了AMD Radeon HD 7550M獨立顯卡。而U800W是全球唯一一款使用21比9屏幕顯示比例的超極本,21比9的超長屏幕為各類應用帶來了全新的體驗。(王健)
富士通2012年夏季新品
6月26日,富士通個人電腦夏季新品會在北京盛大舉行,延續高端“匠”理念,富士通在此次會上了包括A系列、P系列、S系列、U系列在內的十款新品筆記本電腦。其中,全新推出的超極本LIFEBOOK U系列以其極具匠心的設計、超纖薄機身、超長續航能力以及卓越的商務性能開創了超極本新時代,特別是LIFEBOOK U772,其機身最厚處僅為15.6mm,是目前全球最纖薄的14英寸超極本,具有極高的安全性能,其配備的45Wh新型聚合物鋰電池亦可提供長達約9.1小時的續航能力。它的推出更加充分展現了富士通注重研究用戶體驗、不斷追求頂級品質的創新精神。(王健)
三星新一代9系列筆記本
