常用網絡安全標準匯總十篇
時間:2024-02-01 16:44:25
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇常用網絡安全標準范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
1.2總體目標結合我國信息技術發展的戰略目標,以國家宏觀調控管理與自愿性相結合的電力企業信息技術應用標準為主體,實現國家標準、行業標準和企業標準分工明確、協調發展。同時,電力企業應積極參與標準制定及應用,建設系統的、先進的、以及適合我國國情和電力企業實際情況的結構合理、能夠指導企業進行信息化建設的信息技術標準體系。
1.3建設原則結合我國電力企業信息化建設現狀,為更好地建立電力企業信息技化術標準體系的順利進行,在開展技術標準體系研究時,提出以下基本原則:
1.3.1系統全面編制信息化技術標準體系應充分研究在一定時期內企業信息技術、信息化建設中需要協調統一的一切事物和概念,形成層次恰當、功能配套的體系結構,形成相互關聯、相互制約、相互協調的配套系統。
1.3.2應用實踐信息化技術標準體系應適應和滿足市場機制下企業組織生產、經營管理的需要,必須與資源配置和環境條件相適應,成為發展信息技術、進行信息化建設的基礎措施,使其具有實用性和適用性。
1.3.3可擴展電力企業信息化技術標準體系應能隨著科學技術進步、企業信息化建設和管理機制的變動而調整、發展、更新,應具有預測性和可擴充性,成為一個開放的體系。
1.3.4持續優化電力企業信息化技術標準體系的建設,不僅要滿足當前形勢下的業務要求,也要考慮信息技術不斷更新與發展的要求,持續開展對技術標準體系的優化更新。
2技術標準體系建設內容
2.1標準體系架構根據《電力行業信息標準化體系》(DL/Z398-2010),對信息化領域的國家標準、行業標準,已信息技術的發展進行了梳理,構建了電力企業信息化技術標準體系框架
2.2框架說明
2.2.1基礎綜合通用標準基礎綜合通用標準由體系與標準編制通則、術語標準、軟件工程基礎標準、通用基礎標準等三部分構成。體系與標準編制通則主要收錄了國家、行業和企業對技術標準體系表及技術標準編制的相關要求和規范;術語標準主要收錄了各種常用的信息術語標準,如信息技術詞匯、條碼術語、計算機應用詞匯等;軟件工程基礎標準收錄了軟件工程過程標準、軟件工程質量標準、軟件工程技術、軟件工程工具與方法標準、軟件測試規范以及軟件開發的相關標準等;通用基礎標準主要收錄公司的信息項目規劃、設計、建設、驗收、評價、知識產權保護、信息規劃、設計、管控和安全等方面相關的基礎標準和規范。
2.2.2基礎設施基礎設施標準主要由信息設備、硬件環境標準和數據通信網絡標準三部分構成。信息設備主要收錄了服務器、存儲、信息網絡設備等相關標準;硬件環境標準主要收錄了綠色機房環境、災備設施標準等,如機房內外部環境等相關標準;數據通信網絡標準主要收錄了信息網絡方面的標準,如網絡體系結構、網絡工程、網絡接口、網絡交換傳輸與接入、網絡管理以及下一代互聯網標準。
2.2.3信息資源信息資源標準由信息分類與編碼標準、電網信息模型標準、數據元與元數據標準、數據交換標準四部分構成。信息分類與編碼標準主要收錄了信息分類與編碼通則和各類業務中使用的代碼標準;電網信息模型標準主要收錄了各種信息模型的標準,如:公共數據模型等;數據元與元數據標準主要收錄了數據元與元數據的相關標準;數據中心與數據交換標準主要收錄了數據中心與數據交換相關標準。
2.2.4信息應用信息應用標準由支撐服務標準、用戶交互標準、信息集成標準、業務應用標準四部分構成。支撐服務標準主要收錄了為信息應用提供基礎支撐服務的標準,如信息表示和處理、資源定位、數據訪問標準、目錄服務、消息服務、事務處理、業務訪問、流程控制等;用戶交互標準主要收錄了移動智能設備與終端、對外網站群、內部信息門戶、可視化展示相關的標準;服務集成標準主要收錄了公司一體化平臺和相關應用集成的標準規范,如GIS空間信息服務平臺等;業務應用標準主要收錄了與業務應用系統建設相關的建設規范、技術規范。
.2.5信息安全信息安全標準由安全基礎標準、物理安全標準、網絡安全標準、系統安全標準、數據安全標準、安全運行標準七部分組成。安全基礎標準主要收錄了與安全密切相關的基礎標準,例如安全的基本術語表示,安全模型,安全框架、可信平臺等;物理安全標準主要收錄了從物理角度闡述安全的保障標準,包括通信和信息系統實體安全的標準(如設備安全、機房的安全技術要求等);網絡安全標準主要收錄了網絡安全防護優化、內外網安全隔離、互聯網出口安全、無線網絡安全防護與檢測技術、移動安全接入防護等相關標準;系統安全標準主要收錄了企業信息化系統建設應遵守的相關技術標準,如操作系統安全、數據庫系統安全和病毒防范等方面的標準與規范;數據安全主要收錄了保密安全技術、文檔加密與推廣完善、數據備份與恢復等相關標準;安全運行標準主要收錄了等級保護、風險識別與評價控制、應急與災備等相關的標準及技術要求。
篇(2)
隨著移動設備飛速發展以及筆記本電腦的普及,無線網絡也得到了極其廣泛的應用。然而關于無線網絡的安全問題日益明顯,像是網絡信息遭遇非法竊聽、無線網絡遭受釣魚攻擊、無線網絡被盜用等等,這樣一來用戶在使用無線網絡時就將直接面對這些安全隱患,因此針對現有的無線網絡安全問題實施一定的應對策略是十分有必要的,否則這些問題將嚴重影響無線網絡的發展。
一、無線網絡存在的安全問題
就目前無線網絡日常應用中所遇到的網絡安全問題而言,它們可以細分為很多種,并且這些問題給正常的無線網絡的正常運行所造成的影響也各有不同,但是這些問題卻在無形中威脅到了無線網絡正常的運行。以無線網絡安全問題的表現來進行分類,大致可以分為以下4類:
1.安全問題――網絡遭遇盜用
這個無線網絡遭遇盜用是人們日常生活中最為常見的一種無線網絡安全問題,也常被人稱作“蹭網”,其實它所指的一般就是無線網絡遭遇非用戶授權的計算機或移動設備接入。這樣的“蹭網”行為對于正常用戶使用無線網絡帶的危害非常大,首先是這種行為能直接影響正常用戶在進行網絡訪問時的網絡運行速度;其次是對于一些使用無線上網卡的用戶來說,這樣的“蹭網”行為將直接造成正常用戶的經濟損失,因為很多無線上網卡都是按網絡流量來計費的;另外是一旦用戶的無線網絡遭遇非法盜用,那將加大其被非法攻擊以及入侵的可能性;最后就是無線網絡遭遇盜用后,如果這個被黑客利用并進行一系列的黑客行為,那樣最終所造成的安全事件,正常用戶也極有可能遭受牽連。
2.安全問題――通信遭遇竊聽
一般來說網絡通信遭遇竊聽所指的是用戶在正常使用無疑網絡時所進行的一系列網絡通信信息被同局域網里的其他設備所捕獲。絕大多數的用戶在進行網絡通信時,其通信內容在網絡上進行相互傳輸時都是采用的非加密方式,因此不法分子如果想要竊取正常用戶的通信信息,只需要以監聽、觀察、分析用戶的通信信息數據以及他們的數據流模式就能達到對其網絡通信信息的竊取目的。比方說最為常見的一種竊取模式,不法分子通過一些專門用來監視的軟件來實現盜取正常用戶的網絡使用信息以及其通信信息的上目的,再將這些盜取的信息在軟件中顯示出來,最終以非法獲取的用戶網絡通信信息來謀取不正當利益。
3.安全問題――遭遇釣魚攻擊
通常所說的無疑網絡遭遇釣魚攻擊指的就是用戶在正常使用無疑網絡的情況下,無意中接入了“釣魚”網絡接點,從而造成的無疑網絡被攻擊的網絡安全問題。一般來說無線網絡釣魚攻擊可以分為以下幾步,首先不法分子建立一個無線網絡虛假接入點,吸引用戶鏈接至該接入點。隨后一旦用戶誤入至此接入點,其所使用的計算機就很有可能被不法分子所控制,電腦系統被入侵或攻擊等,這樣的直接結果就是用戶電腦上的機密文件被竊取、網絡賬號與網銀賬號等被盜以及電腦系統被木馬感染等等一系列的網絡安全威脅。
4.安全問題――無線AP被控制
無線AP被控制一般指的是無線路由器管理權限被未授權的非法分子所竊取,而無線AP通常指的就是無線網絡的接入點,像是企業與家庭中都比較常見的無線路由器便是無線AP中的一種。一般最為常見的無線AP被控制現象多為用戶設置的無線AP密碼較為簡單所造成的,當用戶的無線網絡被他人所盜用后,其就可以通過無線網線直接訪問到無線AP的終端管理界面,如果用戶的無線AP密碼正好設置得十分簡單,那么非法入侵者就能隨意更改與設置用戶的無線AP的終端管理界面。
二、提高無線網絡安全問題的應對策略
由于無線網絡在日常使用中所存在的安全問題與安全隱患越來越明顯、越來越多樣化,因此我們只有采取有針對性的防范措施才能最大程度地降低無線網絡的威脅指數、提高其安全系數,減少被攻擊的可能性。
1.接入限制
這種方法一般指的是在無線路由器內的MAC地址中設置一定的條件要求,最終實現過濾并阻止非法入侵者的目的。通常這種方法多用計算機數較少同時比較固定的網絡環境,因此限制無線網絡接入的方法大多用在家庭網絡環境,在這種情況下用戶只需要將自己家中無線路由器的MAC地址設置成為家庭內計算機MAC地址,就可以簡單的實現這個目的。
2. SSID廣播隱藏
通常所說的SSID廣播隱藏其實就是關閉無線路由器的SSID廣播功能,因為一定關閉此功能就能使無線網絡信號達到隱身的效果,從而降低那些想要通過SSID功能查找到正常用戶無線網絡信號的機率,最終實現保護無線網絡安全的目的。關閉SSID廣播功能同樣也是對網絡環境有著一定的要求,因為在關閉無線路由器的SSID廣播功能后,如果需要正常使用無線網絡就必須定向尋找到無線網絡信號后方能使用,因此這個功能目前比較常用于一些客戶端較為穩定的計算機環境以及家庭網絡環境。
3.安全標準的選擇
目前很多無線網絡用戶在設置無線路由器時,通常都是直接采用的WEP標準,然而WEP標準已經被業界公認為是非常不安全一種設置,遭受攻擊的可能性非常高,因此用戶在設置無線路由器時必須以自身網絡安全環境需要為前提,使用WPA標準。雖然說WPA標準也有著被破解與被入侵的可能性,但是相對WEP標準而言,其安全指數仍然要高出很多,所以建議正常用戶在使用無線網絡時可以將WPA設置成加密模式。
4.無線路由器密碼的修改
由于目前很多無線網絡用戶在使用無線路由器時,對于網絡技術以及網絡安全的知識都比較貧乏,因此關于無線路由器的用戶名和密碼設置都是直接采用其默認的用戶名和密碼,這樣一來就大大降低了無線網絡的安全系數,讓不法分子在實施破解時就變得非常簡單,不法分子在破解了無線網絡密碼后登陸其管理界面便不再是難事。因此正常用戶在使用無線路由器時,一定要及時更改無線網絡的用戶名和密碼。
5.無線AP功率降低
由于在無線網絡在使用時所采用的無線AP功率的大小能直接影響到無線網絡的使用范圍,因此很多用戶在選擇無線AP功率時會盲目的追求較大的功率,反而忽略了其他的相關要素。因為無線網絡的覆蓋面積越大,其網線環境的安全威脅也會隨之增長,遭到非法攻擊與入侵的機率也將上升,因此用戶在選擇無線AP時,應該在保證自身的網速需求的前提下,盡量減少網絡的覆蓋面積,最終實現保證正常用戶用網安全的目的。
6.強壯無線網絡密碼
曾有學者對無線網絡密碼的安全等級做過相關的評估,其結果顯示,雖然都是采用的WPA加密形式,但是由于這些密碼的設計難易程度有所不同,其被破解速度也會隨之增加,其中最為簡單的就是簡單數字排列密碼。因此為了保證用網安全,提高密碼安全程度,正常用戶在設置密碼時需要盡量將其復雜化,比如說將數字、字母以及符號相結合來設置密碼。
7.其他安全措施
其實不僅僅只有上述這些加強無線網絡安全的手段,還有很多一些其他的安全措施同樣也可以應用到這個上面,具體如下:
一是防火墻對于提升網絡安全性能來說是有著非常不錯的效果,它能夠更好的隔離病毒與漏洞,特別是如果是企業用戶,可以建立一個統一的防火墻來實現阻擋入侵者進入網絡的目的。
二是定期不定期的更換無線網絡的密碼,由于一個密碼的破解速度有著一定的時間限制,因此,無線用戶可以通過更換密碼與用戶名的方法來延長攻擊者的破解時間,消磨破解者的耐心,最終讓其自動放棄攻擊。
三是因為無線用戶在登陸至無線AP管理頁面后,就可以直接查看到所有使用的客戶端列表,因此我們可以通過這個方法直接排查非法入侵者,從而對其進行處理。
四是不法分子一般都是搜尋并利用正常用戶的網絡設置漏洞來進行攻擊或其他不法操作的,因此為了保障無線網絡的用網安全,應該定期檢查加固自身無線網絡的安全性能,及時排除網絡漏洞,減少被入侵的可能性。
結語
總之,隨著我國全民信息時代的到來,無線網絡的使用率與覆蓋面積也將逐漸擴大,由于其自身所擁有的一些獨特的特性,這些都將使無線網絡的安全問題更加嚴峻,因此我們在使用這個無線網絡的同時,必須要緊密關注其安全問題,并且適當地采取一些措施預防與解決這些安全問題。
參考文獻
[1]菊.關于加強無線網絡的信息安全的方法探究[J].科技創新導報,2015(5):222.
篇(3)
關鍵詞:
網絡安全;通信技術;應用創新
0引言
信息技術發展的同時也推動了網絡的普及和發展,社會對信息系統的需求量日益增加。通信網絡信息安全支撐著社會經濟的發展,支撐著關鍵基礎設施的建設。隨著科技的進步發展,計算機網絡安全問題十分突出,尤其是信息的安全問題、保密問題以及可靠性等問題越來越突顯[1]。通信網絡的安全進行防范主要是負責保護系統軟硬件,保護信息數據,防止遭受病毒的蓄意破壞,從而導致數據的篡改和泄漏。因此,需要加強對網絡安全有效保護措施的研究力度,保證計算機網絡信息系統正常運行。
1網絡安全問題概述
1.1網絡安全的概念
計算機網絡主要向用戶提供網絡信息資源,為用戶提供信息服務。根本上說,網絡安全其實就是保障網絡中的信息安全,其中包含了物理安全以及邏輯安全。物理安全是指保護數據處理系統的安全管理和技術保護措施,用以保護網絡軟硬件不受病毒破壞,信息數據不受病毒的侵害[2];邏輯安全是信息安全的延伸,是防止信息被非法訪問,保證用戶在被授權情況下訪問網絡信息。
1.2網絡安全威脅的因素
(1)軟件的脆弱性。軟件應用、發展同時,出現了各種系統和應用軟件,這些軟件也更加的復雜,設計者在設計的時候也難以對其運行時產生的種種問題進行預測,更不能預測軟件在不同環境下運行會發生什么,這就難免會出現軟件漏洞[3]。軟件漏洞有主動漏洞和無意漏洞之分,前者是指設計人員在設計軟件時為控制系統或者竊取信息故意制造的漏洞;無意漏洞是指設計者由于疏忽或其他技術原因而產生的漏洞。
(2)協議的脆弱性。計算機網絡是基于通信協議運行和互聯的。計算機網絡產生的目的就是為了實現信息共享和數據庫交換。在最初設計當中沒有從整體上進行考慮,缺少整體設計,而且協議的開放性和共享性等也沒有認證機制,加密機制也缺乏[4],存在先天性不足,這就使得網絡安全存在諸多問題。
(3)數據庫管理系統的脆弱性。數據庫主要應用于客戶/服務器平臺。數據庫通過服務器上的DBMS系統管理相關數據信息。客戶/服務器平臺中有多個客戶端,每個客戶端均強烈要求分享數據,在一定程度上影響到數據庫的安全,對信息安全產生威脅。目前由于對數據庫的保護技術手段相對落后,難以保障數據庫數據安全,造成數據庫中的數據極易遭到破壞。
(4)人為因素。隨著通信技術的發展,黑客技術也隨之進步提高,人為利用黑客技術非法侵入、植入病毒、竊取信息的事件頻發。黑客正逐步發展為侵害計算機網絡安全的主要攻擊者。此外,許多單位沒有配置相應的安全管理人員,沒有定期的檢測計算機網絡安全信息系統,從而導致有潛在威脅時也無法做出采取相應的處理措施[5]。
2網絡安全與通信技術的應用創新
2.1通信技術的應用
(1)防火墻技術。防火墻是處理網絡安全問題的一個重要手段。防火墻常用于邏輯隔離內部網絡與外部網絡,它是安裝在內部網絡與外部網絡的連接點上的,從而保護內部網絡的技術保護內部網絡不被授權的用戶進行非法訪問[6]。防火墻主要是用于加強網絡間訪問控制的一種網絡設備,能夠對網絡起到保護作用是因為:第一,能夠對流經的信息數據進行掃描,過濾一些有害攻擊;第二,通過防火墻可以將后臺中不常使用的端口關閉,避免訪問特殊的站點,以此避免非授權用戶的非法訪問;第三,能夠對濫用網絡情況進行統計。防火墻技術能進行身份認證,而且還綜合了加密和控制訪問技術,使網絡更加的安全。因此,網絡管理人員可以結合其他的安全技術應用于計算機網絡中,以提高網絡的安全。然而,利用防火墻技術只能防御來自外部網絡的攻擊,并不能抵御內部產生的網絡攻擊,更不能防范病毒破壞,這樣經過偽裝的攻擊者常常可以橫行無阻地侵害網絡內部系統。
(2)數據加密技術。確保網絡信息不被惡意篡改和截取的數據加密技術,在網絡通信安全中十分重要。數據加密技術能對傳達的信息進行加密,信息在保護作用下可以用密文的方式進行傳送,就算是攻擊者截取了信息也無法知道信息內容。采用數據加密技術可以有效地防止信息被惡意篡改截取。數據加密技術根據接收方和發送方密鑰的具體情況加密算法分為對稱算法和公開密鑰算法。其中對稱算法加密、解密密鑰相同,該方法具有計算速度快的優勢,對稱算法中的密鑰是保證網絡完全的重要方面。公開密鑰算法加密密鑰和解密密鑰互不相同。相比較對稱算法,公開密鑰算法更便于對密鑰進行管理,但是后者算法要比前者復雜,花費的時間也多。因而,在網絡安全維護中,這兩種方法可以結合使用。
(3)入侵檢測技術。入侵檢測是指計算機網絡系統收集相關的重要信息,分析采集的信息,以便從信息中找到遭受攻擊的地方,找到違反安全策略的行為,并根據找出的疑點做出相應的處理。根據檢測方法可以將入侵檢測分為誤用檢測、混合型入侵和異常檢測三種。第一種檢測是根據已知的攻擊方式來制定入侵模式庫,然后通過其進行判斷。誤用檢測能夠檢測已知的攻擊模式,卻不能檢測新的入侵方式。而異常檢測則是對計算機網絡中存在的不正常的行為進行檢測,檢測非正常使用計算機網絡資源的情況,從而找出非法入侵的行為。異常檢測具有檢測速度快、檢測未知攻擊的特點,但是異常檢測的錯誤率較高。混合型入侵檢測系統是同時采用兩種不同的入侵方法。入侵檢測技術的功能主要表現在:①審核計算機信息系統的人配置,檢測其安全漏洞;②檢測計算機信息系統,分析使用用戶的活動;③查找使用用戶違規操作的行為;④統計分析不正常的行為,找出攻擊方式的規律;⑤及時檢測攻擊者的入侵行為,并對該行為做出相應的反應;⑥檢測計算機信息系統程序的正確性,分析信息數據的正確性。
2.2網絡安全與通信技術的應用創新
網絡安全與通信技術的應用創新主要體現在以下方面:首先,標準化活動。國際標準化組織正積極制定相關的安全評價標準;其次,Internet安全標準化。Internet安全標準主要是電子郵件方面的安全保密標準。最后,加密算法。加密算法主要包括IDEA、B-CRYPT、FEAL、MULT12等方法。標準化的安全技術不僅方便用戶使用網絡,還促進了社會網絡信息系統的良好發展,目前每一個國家和國際組織都在積極使用標準化的安全技術。
3結語
總之,網絡安全與通信技術的應用創新對實現計算機網絡發展具有重要的現實意義。加大研發力度,積極運用標準化的安全技術,有效促進網絡安全和通信技術的應用創新,實現計算機網絡可持續發展。
作者:譚魏欣 單位:湖北省荊州市長江河道管理局通信總站
參考文獻:
[1]熊芳芳.淺談計算機網絡安全問題及其對策[J].電子世界,2012(22):139-140.
[2]劉超,王冠超.網絡安全與通信技術的應用及創新研究論述[J].中國新通信,2016(2):77.
[3]何道敬.無線網絡安全的關鍵技術研究[D].浙江大學,2012.
篇(4)
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2010) 07-0000-01
Related Issues of Enterprise Network in Defense Depth System
Lian Qiang
(Henan Sanmenxia Yellow River Pearl Group Co., Ltd.,Information Center,Sanmenxia472000,China)
Abstract:The enterprise information and enable the rapid development of e-commerce enterprise network security is increasingly evident.Based on the analysis of network security situation and the characteristics of corporate networks,network security in compliance with the basic principles and based on recognized standards,proposed a model based on dynamic enterprises and network security defense in depth system.
Keywords:Enterprise network security;Network defense systems;Dynamic security model;System testing
一、引言
網絡安全體系結構是從系統的、整體的角度來考慮網絡安全問題。參照權威的信息安全標準,圍繞企業網絡特點,以先進的網絡安全理論為指導的,是解決企業網絡安全體系問題的必不可少的手段[1,2]。本文正是基于這個思路,力爭站在一個統攬全局的層次上,摒棄企業網絡的實現細節,抽象網絡安全需求,建立一個完善的企業網絡安全模型與體系。
二、企業網絡動態安全模型
針對一個具體的網絡系統,網絡活動、網絡的系統管理甚至網絡體系結構都可能是一個動態的、不斷變化的過程,所以,在考慮網絡的安全性時,應從被監控網絡或系統安全運行的角度,根據實際情況對網絡(或系統)實施系統的安全配置。也就是說,網絡安全應是一個從網絡運行的角度考慮其安全性的動態過程。
這里提出的可自適應網絡安全模型P2DR就是這樣一個動態的安全模型。其中,安全策略用以描述系統的安全需求以及如何組織各種安全機制來實現系統的安全需求。從基于時間的角度及普遍意義上講,P2DR模型概括了信息網絡安全的各個方面。我們需要根據模型做出自己的定義和闡述,使其符合企業網絡安全防御體系的需要。
(1)
公式中Pt表示系統為了保護安全目標而設置各種保護后的防護時間,也可認為是黑客攻擊系統所花的時間。Dt表示從攻擊開始,系統能夠檢測到攻擊行為指導所花的時間。Rt為發現攻擊后,系統能做出足夠響應將系統調整到正常狀態的時間。如果系統能滿足上述公式,即:防護時間Pt大于檢測時間Dt加上響應時間Rt,
則認為系統是安全的,因為它在攻擊造成危害前就對攻擊做出了響應并做出了處理。
(2) ,if
公式中Et表示系統的暴露時間,假定系統的防護時間Pt為0,即系統突然遭到破壞,則希望系統能快速檢測到并迅速調整到正常狀態,系統的檢測時間Dt和響應時間置之和就是系統的暴露時間Et。該時間越小,系統安全性越好。由此,我們可以得出動態網絡安全的新概念:及時的檢測和響應就是安全。
三、基P2DR模型的企業安全防御體系
根據前面敘述的P2DR動態網絡安全模型,針對企業的網絡系統,我們可以在對網絡系統進行安全評估的基礎上制定具體的系統安全策略,借助現有各種網絡安全技術和工具,設立多道的安全防線來集成各種可靠的安全機制從而建立完善的多層安全防御體系,以求能夠有效地抵御來自系統內外的入侵攻擊,達到企業網絡系統安全的目的。
(一)以安全策略為中心
企業規程應該簡明扼要。規程不應包含技術實施的詳細內容,因為這些內容經常更改。設計安全策略時應認真制訂計劃,以確保所有與安全有關的問題都得到充分重視。
(二)系統預警
預警是防患于未然,因此有效的預警措施對企業網絡安全十分重要。對安全漏洞的掃描是系統預警的重要方面。所謂漏洞掃描是指利用掃描程序(scanner)自動檢測遠端或本地主機安全脆弱點。在網絡管理員的手里,掃描程序可以使一些煩瑣的安全審計工作得以簡化。我們可以將常用的攻擊方法集成到漏洞掃描程序中,輸出統一格式的結果,這樣就可以對系統的抗攻擊能力有較為清楚的了解。
(三)系統防護
系繞防護包括系統論證、訪問控制、加密傳輸、數據完整性檢查等。防火墻作為一種傳統的網絡安全產品,其主要功能就是實施訪問控制策略。訪問控制策略規定了網絡不同部分允許的數據流向,還會制定哪些類型的傳輸是允許的,其它的傳輸都將被阻塞。加密傳輸也很重要。由于Internet上數據的時文傳輸,維修Internet造成了很大的顧慮。隨著全球經濟一體化趨勢的發展,加密是網絡防御體系中日益重要的一塊,在Internet上構筑虛擬專用網(VPN)是解決加密傳輸的一種普遍實用的方法。
(四)系統檢測
檢測包括入侵檢測、網絡審計和病毒檢測,入侵檢測和網絡審計的功能有很大的重復性,它們可以互為補究。其數據源也可以一次采集,重復利用。入侵檢測作為一種動態的監控、預防或抵御系統入侵行為的安全機制,是對傳統計算機機制的一種擴充,它的開發應用增大了網絡與系統安全的保護縱深,這是因為:現有的各種安全機制都有自己的局限性。
四、結語
本文描述了企業網絡的組成與特點,指出了我國企業安全存在的問題。針對這些問題,說明了P2DR動態安全模型,并詳細闡述了基于P2DR模型的企業網絡安全防御體系,解釋了體系各部分的組成和功能。
篇(5)
另外一家西雅圖的企業也有相似遭遇。他們的一臺筆記本電腦在辦公室被盜,之后企業就遭到了黑客攻擊。大約一個月之后,他們的資金開始被偷偷轉移。
第三家公司的員工身份信息全部被盜,黑客團伙成功擊垮了公司的安全網絡。
至少這家企業還有安全網絡,而大多數企業并沒有。2012年全美小型企業安全網絡調查顯示,83%的小型企業沒有正式的安全網絡防護計劃,而69%的企業甚至連非正式的安全網絡防護計劃都不具備。與此同時,這份報告還指出,71%的小型企業每天都要使用互聯網來維持運行,而其中半數企業都認為網絡黑客竊取數據屬于小概率事件,并不會對他們的企業產生影響。
然而,賽門鐵克公司2011年的研究顯示,網絡攻擊平均會給小型企業帶來18.8242萬美元的損失;將近三分之二在遭受攻擊后的6個月內倒閉。
其實這種事完全可以避免,最好的防護措施是加大黑客侵入的難度。據Verizon 2011年對數據侵入的研究顯示,超過8成的被攻擊企業都沒有對他們的WiFi系統進行加密防護,或密碼強度不夠高。你需要做的是進行以下6個步驟,讓你的企業不會輕易成為黑客攻擊的目標。
數據加密
銀行賬戶信息、信用卡賬戶和企業員工的社會保險賬戶信息,都是黑客重點襲擊的對象,也是他們用來盜取資金的工具。Steve Cullen是賽門鐵克SMB云服務高級副總裁,他表示:“儲存重要數據時,一定要對這些數據進行加密。”
SANS Institute是一家安全研究與教育機構,該機構教育人員Lance Spitzer建議人們將系統的安全防護級別調至最高,并使用全硬盤加密工具,現在各種主流系統都具有這樣的工具,如Windows上的BitLocker,Mac上的FileVault。打開這些工具只需要花費用戶幾分鐘的時間,但卻能夠對硬盤上的所有文件和程序進行加密防護,而且不會影響系統運行的流暢度。但是有一點需要注意,這個加密工具只會在用戶不對計算機進行操作的情況下被啟用,這意味著,當用戶操作計算機的時候,黑客仍然可以通過病毒和木馬來竊取用戶數據。將計算機的休眠時間設置為15分鐘,可以使這種加密效果更好。
不使用這種方法會出現什么樣的后果?如果你不對自己的硬盤進行加密,有可能黑客會對你的硬盤進行加密,使你無法訪問本來屬于自己的數據。在侵入企業的網絡之后,一些黑客會對企業存儲在計算機上的數據進行加密,并且以此來要挾企業,讓企業用金錢來換取密碼。
保管好硬件
在西雅圖地區被黑客侵入的企業中,有40家企業的硬件設施被盜,這也是黑客們常用的盜取企業數據的手法之一。在一個案例中,一家企業丟失了價值30萬美元的設備,其中包括筆記本電腦、手機和其他設備。攝像頭記錄了他們行竊的全部過程,這些黑客利用手推車將設備運到卡車上,而整個行竊過程居然持續了4個小時之久。
對于這些黑客來說,他們不會被警報所嚇走,因此,將計算機等硬件設備鎖在桌子上,能夠加大他們行竊的難度。然而現實是,很少有人會充分利用筆記本電腦上的安全鎖,將它鎖在桌子上。當然,竊賊有能力將這些繩索割斷,但是我們仍然要利用一切方法加大他們行竊的難度。Cullen表示:“他們不愿意多花哪怕是一分鐘的時間。時間是竊賊最大的敵人。”
除了使用筆記本電腦上的安全鎖之外,還可以使用更加有效的防盜措施。位于華盛頓的CRU-DataPort公司制造了一些這樣的計算機設備,配有安全鎖、USB安全密匙甚至是硬盤內置的加密工具;即使硬盤被盜,黑客也無法訪問其中的數據。
另一個實用的工具為軟件追蹤,尤其是對于那些依靠筆記本電腦進行移動工作的企業。軟件追蹤企業Prey開發了一種產品,能夠使用多種方法對各種丟失的設備進行追蹤,例如智能手機甚至是服務器等。當設備丟失時,它能立刻啟動密碼鎖定設備;如果該設備有攝像頭,甚至可將竊賊照片發送給失主。另外,這個工具的月使用費十分低廉。
鎖定網絡
很多被黑客攻擊的企業都是被黑客利用了WiFi網絡漏洞。在黑客界有一個專門術語叫“wardriving”——黑客在自己的汽車里安裝大功率天線,他們開著車在城里到處搜尋那些未加密的WiFi網絡。在鎖定目標WiFi之后,剩下的事情對于黑客們來說輕而易舉,他們可以破解企業的各種密碼,甚至獲取企業的財政數據。
對付wardriving最好的方式,就是壓根兒不要部署無線網絡。有線網絡雖然實用性較低,卻能提供更高的安全性,因為黑客很少有機會接觸到企業的有線路由器。但是如果你的企業必須使用無線網絡,第一件要做的事情就是要關閉網絡SSID的廣播功能,這將加大黑客搜尋到企業無線網絡的難度,只有知道網絡的確切名稱和密碼的用戶才能接入。咖啡廳之類的小型企業應該采取這種方法,并且定期更改網絡信息,當顧客需要使用無線網絡的時候,可以從工作人員那里獲得網絡信息。
當你在為企業部署WiFi的時候,一定要使用最新的安全標準。西雅圖一些被黑客襲擊的企業,使用的還是WEP加密標準,而這種標準早在10年前就已經不再安全了,可以想像在黑客眼中這個標準是多么小兒科。現在最新的安全標準是WAP2標準,能提供更長更難破解的密碼。在設定密碼時,你應該使用一系列毫無意義的數字、特殊字符和大小寫字母,這樣能為你提供更高的數據安全性。Cullen表示:“這樣的密碼黑客需要100萬年才能夠破解出來。”
安裝反惡意軟件和反病毒軟件
當黑客成功利用wardriving侵入企業的網絡之后,他們會在網絡中的其他計算機上植入惡意軟件或是病毒。但是他們并不是使用WiFi本身來發送病毒的,而是依靠推送垃圾郵件來進行病毒投送。一旦用戶點擊了郵件中的病毒或是程序,它們就會在計算機上安裝后臺運行代碼,記錄用戶的各種密碼,并將密碼發送給黑客。Verizon的研究顯示,2010年幾乎一半的數據侵入都使用了惡意軟件,80%的密碼被盜也是惡意軟件造成的。
SANS Institute的Spitzner表示:“惡意軟件是黑客竊取企業資金的最主要方式。只要你訪問那些需要密碼才能登陸的網站,例如Facebook、網上銀行等,惡意軟件就會記錄下你輸入的信息,并將這些信息發送給黑客。之后這些黑客就會立刻登陸你的網上銀行,將你的資金轉走。”
惡意軟件就是這樣安裝并在你的計算機上工作的,你需要做的就是在計算機上安裝惡意軟件和病毒防護軟件,智能手機等移動設備上也是一樣。每次在安裝新軟件之后,都應該讓防護軟件進行掃描和檢查,已確保新裝軟件是否安全。另外,還要定期更新防護軟件,沒有更新的防護軟件無法為你提供任何防護。
培訓員工
如果你的網絡中的任意一臺計算機被感染,那么整個網絡的所有計算機都處在危險當中。Cullen表示:“你不應該是唯一一個負責保護你和顧客的信息的人,所有的員工都應該參與進來。作為企業的擁有者,你應該為他們提供幫助和指導。”
你要讓員工知道,惡意軟件會通過郵件進行傳播,并讓IT部門的領導舉行定期的會議和培訓。首先你應該制定企業互聯網使用政策,規范員工的互聯網活動,例如禁止員工打開不明郵件的附件和鏈接,以及限制員工使用企業網絡打開個人智能手機上的私人郵件。
雇傭網絡安全提供商
聘請外部安全專家將有助于降低小型企業被攻擊的概率。這些網絡安全提供商是小型企業抵御黑客攻擊的好幫手。Cullen表示:“他們能夠處理很多小型企業不能或不想處理的安全問題。至少在我自己創業的時候,我不想把時間花在考慮安全問題上面。”
在雇傭網絡安全提供商之前,你要仔細閱讀各個安全提供商的服務項目和條款以確定最適合你的提供商。例如,如果你經常使用在線信用卡支付業務,那你就要確保你的網絡安全供應商符合支付卡行業數據安全標準(PCI DSS),不然如果你被黑客攻擊,你就要自負損失。
你甚至還可以將整個IT部門外包給管理服務提供商(MSP),他們將遠程管理企業的安全系統,負責將你的數據備份在他們的服務器上,并且進行更新防火墻、加密數據等工作,確保你的企業平穩運行。當問題出現時,他們將會為你的損失負責。
至于那起西雅圖案件,警方最終成功捕獲了這個網絡犯罪團伙,而且使用的是老式的刑偵手法。當團伙的一名成員正在酒吧使用一張偷來的禮品卡時,被警方抓獲。警方找到了一輛裝有大功率天線的奔馳車,并順藤摸瓜捕獲了他的兩個同伙。這個團伙于去年夏天被宣判將在監獄中度過22年的時間,并要賠償受害者的損失。 譯| 魯行云
已經被黑客狙擊怎么辦
如果你發現公司的大筆資金被轉移到俄羅斯或任何與你沒有業務來往的國家,你需要立刻聯系你使用的銀行。Spitzer表示:“你發現得越早,找回你的資金或將損失最小化的可能性就越大。”
如果你公司的計算機被盜,那么立刻報警,警察也許正在調查類似的案件,他們能為你提供一些幫助和線索,并且他們能夠聯系到其他部門,例如FBI和安全部門,這些部門在處理網絡犯罪方面更有經驗。但最重要的是馬上更改你的各種密碼并監控銀行賬戶余額,包括公司賬戶和你的個人賬戶。
你還想還擊?嘗試在你的網絡上安裝Mykonos網絡安全軟件。這個軟件是由一家位于舊金山的公司開發的,它能夠將攻擊軟件重新發送給黑客,讓黑客不斷被打擾,加大他們攻擊的難度,甚至可以直接拖慢黑客的計算機,讓他們無計可施。
保持警惕,注意安全!
網絡上有很多關于安全的知識。以下幾個免費資源可以幫助你遠離網絡攻擊。
FCC Small Biz Cyber Planner 2.0
每個企業有不同的安全需要,這個工具(FCC.gov/CyberPlanner)能夠讓企業根據自己的需要自主選擇安全設置。
Krebs on Security
前《華盛頓郵報》記者Brian Krebs在上撰寫網絡犯罪發展的博客。不要在睡前閱讀這個博客,不然你會做噩夢的。
OnGuardOnline
篇(6)
一、引言
計算機網絡安全的本質含義就是確保計算機用戶在互聯網上的行為信息與利益的安全。從狹義的觀念上來說,就是運用網絡進行技術和管理控制,保證在相應的網絡環境中,數據的完整性、可使用性及保密性,使組成計算機網絡安全系統的軟、硬件設備與軟件設施及其中的數據得到保護,防止惡意的或者偶然的原因而遭受到泄漏、破壞、更改等。計算機網絡的組成包括組建網絡的硬件、控制管理網絡的軟件以及共同享有的資源等的多種數據。計算機網絡安全涉及多方面,不僅僅包括網絡系統自身,同時它也含有信息安全技術。造成計算機網絡不安全的因素多種多樣,概括為偶發因素、人為因素、自然因素。計算機網絡安全有邏輯安全和物理安全這兩個方面,其中邏輯安全又包括信息的保密性、完整性以及可用性;而物理安全則指與系統相關的設備、設施得到物理方面的保護,免于被損壞、丟失等。
二、當前存在的網絡安全問題
(一)網絡硬件設備缺陷
網絡硬件設備在互聯網中占有重要地位,是不可或缺的一部分,其自身就存在著安全方面的隱患。計算機網絡存在的一個巨大威脅是硬件設備的泄漏,也是網絡安全中主要的隱患問題,并且也增加了計算機網絡泄密、竊密、失密的危險性,與此同時,其處理文件與同步過程中系統程序也會有安全隱患。另外網絡安全隱患問題在通信方面的脆弱性上也有體現,表現在它可能有一個機會,在處理程序與數據和信息交換的過程中強加上外部的影響,從而影響網絡安全。影響程序正常運行的主要有光纜、專線、電話線、微波這四種線路,其中專線、電話線、微波這三種線路較光纜上的信息相對容易竊取,另外對計算機信息安全構成威脅的還有操作失誤、規章制度不健全、管理水平較低、瀆職等多個方面。
(二)操作系統缺陷
操作系統對本地計算機以及網絡系統的安全起到至關重要的決定性作用,它是一個支撐軟件,為相應的程序或其它的運用系統提供一個正常運行的環境。計算機中的操作系統建立起上層軟件、計算機硬件以及用戶連接三方面的聯系,確保操作系統在復雜的網絡環境中更好的工作。很多常用的程序及操作系統中的核心部分都會發生一定漏洞,出現安全隱患問題,其中操作系統主要的安全方面的隱患是后門與系統漏洞。顯而易見,操作系統軟件出現的安全方面漏洞的本質是在不能夠完全滿足軟件安全的條件下引起的網絡系統中的主要缺陷。針對操作系統的安全性來說,就是要確保操作系統的正確有效以及安全可靠,即保證操作系統的完整性與安全性。
(三)計算機軟件的安全問題
操作系統軟件本身存在的不安全性,系統開發與設計的不完善而遺留的破綻,都會對計算機網絡造成安全隱患。操作系統軟件在網絡中起到重要的文件傳輸作用,軟件缺陷是應用軟件本身具有的特征之一,比如FTP,這類安裝程序常常會帶一些由人為編寫的可執行文件,一旦出現一點漏洞,那么可能導致系統崩潰。同時,入侵者通過某些漏洞會非常容易地進入到計算機系統內部,破壞計算機相應程序,竊取客戶隱私以及一些重要的商業秘密,無論是以上的傳輸文件,還是安裝的程序、加載的程序以及執行文件,都在一定程度上會給操作系統造成安全隱患問題,更嚴重的會把計算機中保密系統的資料、文件提供給外人,這將對計算機網絡的安全構成嚴重威脅。
三、計算機網絡安全的解決方案
(一)管理的安全解決方案
管理問題在網絡的安全問題中是最為重要、最核心的一個方面,主要原因是因為在一系保網絡安全的實施過程中,不可否認的主體是人,做一個假設,比如缺少一個有效、有序的管理機制,那么即使網絡安全方面的方案實施得非常到位也都失去了意義。因此,在我們的工作中,首先要對網絡安全知識加強培訓工作,并且制定有關網絡維護、系統維護方面的規程,建立相應的確實有效的應對預案,同時,運用一些技術層面的手段管理計算機網絡安全問題,實現其制度化與規范化。
(二)計算機系統安全解決方案
最近幾年,伴隨著網絡世界的快速發展,病毒的傳播路徑發生了很大改變,由以前的通過軟盤、光盤傳播轉變為現在波及范圍更廣、破壞性更大的網絡傳播方式。在這種背景下,我們要做的首先是提升對病毒的防范觀念,加強日常的殺毒與檢測工作,一旦發現有病毒要及時、快速的消滅,盡量避免其進一步擴散。針對黑客,竊取數據以及對系統進行篡改是其主要目標,因此做好入侵檢測與漏洞掃描是我們要加強的工作。此外,一些不可預知的、突發性的問題在系統安全方面也時有發生,針對這些我們可以采取對系統進行備份來應對,做到“有備無患”。
四、結束語
隨著計算機技術的飛速發展,互聯網絡的使用越來越普及,關于計算機網絡安全方面的問題已經影響到我們生活中的方方面面,網絡在給人們的生活帶來極大便利的同時也存在嚴重的隱患問題。不可否認的是計算機網絡安全使各個行業得到安全保障,從而也使工作效率得到進一步提高,但同時產生的很多問題也給我們的生活帶來困擾,因此,如何解決好網絡安全問題是至關重要的。在維護計算機網絡安全的過程中,我們應該運用網絡安全技術與工具,這是網絡安全的基礎,并且制定相對應的安全標準,給計算機網絡提供一個安全而潔凈的生存環境。
參考文獻:
篇(7)
1.2人為因素。影響計算機及網絡安全的因素,除了計算機自身的原因之外,還有一部分原因是人為因素造成的,主要表現在以下幾個方面。第一,計算機及網絡管理者缺乏安全意識,,很多人的網路信息安全意識比較薄弱,或者是根本沒有意識到信息網絡存在的威脅,存在僥幸心理,認為沒有必須采取安全防護措施。第二,網絡黑客的惡意攻擊。社會上目前存在很多的黑客,他們運用各種計算機病毒、技術手段等對計算機及網絡進行攻擊,或是非法訪問、竊取、篡改計算機信息,或是造成網絡通信系統癱瘓等,這些都使得計算機及網絡的安全受到嚴重威脅。
2加強計算機及網絡安全防護的具體措施
計算機及網絡安全威脅會嚴重影響用戶的信息安全。因此,人們必須要采取有力的措施加以解決,具體來講,可以從以下幾個方面著手解決。
2.1提高人們的計算機及網絡安全意識。人們在使用計算機及網絡時,一定要提高認識,意識到計算機及網絡中潛在的多種威脅,在平時的操作中提高警惕,養成良好的上網習慣。比如在平時使用計算機和網絡的過程中,不隨意打開來歷不明的郵件、不瀏覽不正規網站等;平時養成良好的病毒查殺習慣,防止某些計算機病毒利用漏洞來攻擊電腦,帶來不必要的麻煩。這里需要有關人員加強宣傳。比如在企業中,領導要加強員工的安全意識,舉辦信息安全技術培訓,向大家介紹計算機及網絡安全的重要性,避免僥幸心理,確保信息安全。
2.2加強制度建設。對于目前社會上存在的惡意竊取用戶信息等行為,必須要進一步加強制度建設,確保計算機及網絡信息安全。第一,國家需要加強法制建設,建立健全相關的法律制度,在此基礎上嚴厲打擊不法分子的行為,給其他人以威懾作用,使他們不敢以身試法。第二,在單位中,必須要加強制度建設,防止單位中的人惡意盜取單位信息。這就要求各單位根據其自身的特點,進一步完善信息采集、保密管理等方面的制度,然后再建立健全身份識別、密碼加密等制度,規范信息安全標準,用單位中的各種制度來進一步約束人們的“設網”行為。
2.3運用多種技術手段。為了進一步加強計算機及網絡管理和安全防護,必須要采取多種技術手段,確保信息安全,具體來講,可以充分運用以下幾種計算機及網絡安全技術。(1)防火墻技術。防火墻技術是目前大家比較常用的一種計算機及網絡安全防護技術,它的實現手段非常靈活,既可以通過軟件來實現,又可以借助硬件來完成,還可以將硬件和軟件有機結合起來達到有效保護計算機及網絡安全的目的。這種技術一般位于被保護網絡和其他網絡的邊界,其防護過程如下:先接收被保護網絡的所有數據流,然后再根據防火墻所配置的訪問控制策略,對這些數據流進行過濾,或者是采取其他措施,有效保護計算機及網絡安全。防火墻系統具有兩個方面的作用,一方面,它借助相關過濾手段,可以有效避免網絡資源受外部的侵入;另一方面,它還可以有效阻擋信息傳送,比如從被保護網絡向外傳送的具有一定價值的信息。就目前防火墻技術的實現方式來看,主要有應用級網關、過濾防火墻這兩種不同的方式。(2)病毒防范技術。眾所周知,計算機病毒具有傳播快、隱蔽性強等特點,是計算機及網絡安全的重要問題。因此,人們必須要采用病毒防范技術,確保計算機及網絡安全。比如在計算機上安裝病毒查殺軟件,比如市場上比較受大家青睞的金山衛士、卡巴斯基、360安全衛士等多種安全軟件,定期檢查電腦安全,保障計算機及網絡安全。(3)網絡入侵檢測技術。計算機及網絡中存在很多的網絡入侵行為,造成計算機信息泄露。針對這種行為,人們就可以充分運用網絡入侵檢測技術,有效保障計算機及網絡安全。這種技術一般又稱作網絡實時監控技術,主要是通過相關軟件(或者硬件)對被保護的網絡數據流進行實時檢查,然后將檢查的結果與系統中的入侵特征數據進行比對,如果發現兩者的結果一致,則存在計算機及網絡被攻擊的跡象,這時候計算機就會參照用戶所定義的相關操作出反應,比如馬上切斷網絡連接,防止計算機病毒的傳播;或者是直接通知安裝在計算機上的防火墻系統,調整計算機訪問控制策略,過濾掉那些被入侵的數據包等,從而有效保證計算機及網絡的安全。因此,人們可以通過采用網路入侵檢測技術,可以有效識別網絡上的入侵行為,然后采取相關措施加以解決。此外,人們還可以運用數據加密技術、黑客誘騙技術、網絡安全掃描技術等,從而有效保障計算機及網絡安全。
篇(8)
中圖分類號:F626.5 文獻標識碼:A
隨著科技的不斷發展,信息技術全球化的趨勢也越來越明顯,各種網絡技術不斷融合,信息覆蓋的業務領域也在不斷的擴大,移動通信系統的業務不僅與數據有關,業務范圍在不斷的擴大,電子商務、多媒體、互聯網等眾多的領域都已經涉及,移動信息交換的速度也獲得了大幅度的改善,3G移動通信系統可以滿足用戶多方面的需求,獲得了用戶的廣泛好評。由于3G移動通信系統具有眾多的優勢,因此,使用3G移動通信系統的客戶越來越多,所以,3G移動通信系統網絡安全問題開始獲得了人們的廣泛關注。
1 3G移動通信系統的發展及其網絡安全
所謂的3G也就是英文the third generation的簡稱。3G移動通信系統,主要指現在應用的第三代移動通信技術,移動通信技術自從產生到現在已經經歷了三次技術變革。1986年國際電聯正式提出3G的概念,3G移動通信系統屬于新一代與多媒體整合的通信系統,它將無線通信與互聯網有機的結合,運用3G系統用戶基本的通話需求不僅可以滿足。而且還可以滿足用戶電子商務、圖像、視頻交互等非語音業務的一些功能,3G移動通信系統為用戶提供了更多的優質服務,業務范圍更加廣泛。
由于3G移動通信系統業務范圍不斷擴大,不斷地將互聯網等多媒體業務與移動業務有機的結合,使得原本封閉的網絡逐漸開放,這樣,不但增加了業務量,為用戶提供了更多優質的服務,而且還節省了投資,贏得了更多的網絡用戶,促進了企業的發展,但是,3G移動通信系統網絡安全問題也開始顯得越來越重要。構建3G系統網絡安全的主要原則應該包含以下幾個方面,由于3G系統網絡是建立在2G系統網絡基礎之上,因此,3G網絡要充分吸收2G網絡的系統管理經驗,要繼續使用2G系統中比較成熟的安全管理方法,要修補和改正2G網絡所存在的一些問題,要保證3G網絡移動通信系統的運行安全。同時,保證3G網絡新興業務服務的運行安全。3G系統網絡安全的管理目標是:3G用戶的通信信息安全一定要保證,3G用戶的網絡信息安全一定要保證,明確安全標準,安全系統可被升級。明確加密算法;便于用戶大范圍之間的應用;保證新業務的使用安全。
2 3G移動通信系統網絡所面臨的安全威脅
由于傳播方式以及傳輸信息的影響,移動通信系統網絡所面臨的安全威脅更加嚴重,移動通信系統為保證數據信息的有效傳播,無線電訊號需要在傳播過程中進行多角度、多方向傳播,并且傳播必須具有強大的穿透力,和有線網絡相比,其信息遭受破壞的因素會更多。3G用戶的通信信息安全面臨更多的威脅,由于3G網絡提供了許多新的服務,業務范圍不斷增加,3G移動通信系統用戶可以登入互聯網,通過手機終端共享網絡資源,所以,來自網絡的安全威脅也影響著3G移動通信系統網絡用戶的通信信息安全。
相比2G系統,3G移動通信系統更易受到網絡安全的威脅。因為3G系統相比之前的2G系統數據資源量巨大,并且網絡信息也比較多,有些信息涉及到金錢利益等方面,因此,不法分子以及黑客就會尋找機會,導致網絡安全受到威脅。另外,3G移動通信系統的網絡開放程度比較高,所以,也給黑客的攻擊創造了許多的方便條件,還有,如果3G網絡軟件設置有缺陷,也可能導致3G系統產生漏洞,給3G網絡帶來不安全因素,造成潛在安全威脅。
3 3G移動通信系統網絡安全防范對策
3.1 3G系統的安全體系結構
3G安全算法邏輯結構主要包括三個不同層面,由低到高這三個不同層面分別是:傳輸層、服務層、歸屬層、應用層;針對不同的攻擊類型,結構中定義了五組安全特性,分別為網絡接入安全、核心網安全、用戶網安全、應用域安全、以及安全特性可見性、可配置能力。3G網絡系統中的網絡接入安全主要指對無線網絡的保護,包括以下功能:對移動設備的認證、網絡認證、用戶身份識別、用戶認證、機密性算法等。核心網安全主要指數據傳輸運營商間的安全性,核心網安全包括建立密鑰、分配密鑰、通信安全三個安全層次。用戶網安全主要指移動臺接入的安全特性,用戶網安全包括USIM卡與終端、用戶與USIM卡兩個層次。用戶網安全主要是信息傳輸鏈路的保護以及保證它們之間的正確認證。應用域安全主要指用戶在進行相關應用程序操作時,數據交換的安全性,由于USIM卡提供了新的功能,因此,網絡向USIM卡一定要保證傳輸信息安全。安全特性的可配置能力及可視性主要指用戶自行設置安全系數的功能以及所應用的服務允許了解安全性。
3.2 網絡安全的具體防范措施
3G移動通信系統網絡個人用戶一定要提高安全意識,要慎重接收不明信息,要仔細鑒別無線傳輸的對象,下載網絡資源以及瀏覽網頁的時候要時刻注意網絡的安全性。要安裝必要的殺毒軟件,確保網絡安全。還有,企業用戶要建立完善監管制度,宣傳安全知識,對3G移網絡進行有效管理,最后,電信運營商不但要保證自身信息傳輸過程及終端等接入網絡的安全性,同時,也要保證用戶信息傳輸以及接入網絡的安全性。
3.3 3G網絡新技術的廣泛應用
隨著密碼學的發展,新的密碼技術將會獲得廣泛的應用,在移動通信系統中量子密碼技術、生物識別技術、橢圓曲線密碼技術等將獲得廣泛應用,不同媒體間的無縫接入也將成為未來網絡安全研究開發的重點。互聯網成熟的安全防范技術也將逐步應用于3G網絡,3G網絡的安全防范性能一定會越來越好。
結語
在日常生活中,移動通信系統網絡已經獲得了廣泛的普及,手機等移動終端已經成為人們生活中越來越重要的日常用品,所以,3G網絡的安全問題對于人們通過手機終端共享網絡資源以及手機信息資源的安全有著很重要的影響,因此,如何解決3G網絡的安全問題,是移動通信系統需要不斷完善的一個重要問題。
參考文獻
[1]常永宏.第三代移動通信系統與技術[M].北京:人民郵電出版社,2002:1-10.
[2]3G移動通信系統的安全體系與防范策略.信息安全與通信保密[J].2009,(8):22-23.
篇(9)
一、引言
互聯網的發展及全面普及,給現代商業帶來了新的發展機遇,基于互聯網的電子商務應運而生,并成為一種新的商務模式。以互聯網為基礎的這種新的商務模式,也存在著許多亟待解決的問題。調查顯示,網絡安全、互聯網基礎設施建設等九大問題是阻礙電子商務發展的主要因素。其中,安全問題被調查對象列在首位。人們在享受電子商務帶來極大方便的同時,也經常會被安全問題所困擾。安全問題成為電子商務的核心問題。本文將對電子商務安全問題及基本解決辦法做一個探討。
二、電子商務安全問題產生的原因
電子商務安全問題,不僅僅是網絡安全問題,還包括信息安全問題、交易過程安全問題:
1.管理問題
大多數電子商務網站缺乏統一的管理,沒有一個合理的評價標準。同時,安全管理也存在很大隱患,大多數網站普遍易受黑客的攻擊,造成服務器癱瘓,使網站的信譽受到極大損害。
2.技術問題
網絡安全體系尚未形成。網絡安全在全球還沒有形成一個完整的體系。雖然電子商務安全的產品數量不少,但真正通過認證的卻相當少。安全技術的強度普遍不夠,國外有關電子商務的安全技術,雖然整體來看其結構或加密技術都不錯,但這種加密算法受到外國密碼政策的限制,對其他國出口的安全技術往往強度不夠。
3.環境問題
社會環境對于電子商務發展帶來的影響也不小。社會法制建設不夠,相關法律建設跟不上電子商務發展的法律基礎保證。
三、常見的電子商務安全問題
由于互聯網的完全開放性,以及不可預知的管理漏洞、技術威脅等出現,帶來了各種各樣的安全問題。其產生的主要隱患為網絡安全隱患、交易隱患。
1.網絡安全隱患
計算機網絡設備,電子商務依賴計算機系統的正常運行得以開展業務,網絡設備本身的物理故障,將導致電子商務無法正常進行;網絡惡意攻擊,使得網絡被破壞、導致系統癱瘓;安全產品使用不當,雖然在進行電子商務交易前采用了一些網絡安全設備(如防火墻、殺毒軟件等),但由于安全產品本身的問題或者使用的不當,導致這些產品并不能起到應有的作用。
2.交易隱患
交易隱患是困擾電子商務正常健康交易的最大障礙。在交易過程中,常存在以下隱患。假冒問題,攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,進行信息欺詐與信息破壞,從而獲得非法利益;在電子商務世界里誰為交易雙方的糾紛進行公證。
四、解決電子商務安全問題的基本技術
為避免電子商務中存在的安全問題,合理有效的措施極為重要,在實施過程中最為關鍵的技術主要有網絡安全技術、加密與認證技術、安全協議。
1.網絡安全技術
在應用網絡安全技術方面,防火墻技術是主要技術。防火墻就是在網絡邊界上建立相應的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬件產品中。防火墻是加強Intranet (內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。
2.加密與認證技術
(1)加密技術。加密技術作為主動的信息安全防范措施,利用加密算法,將明文轉換成為無意義的密文阻止非法用戶理解原始數據,從而確保數據的保密性。
加密技術是電子商務采取的主要安全措施。其目的在于提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析。加密技術通常分為對稱加密和非對稱加密兩類。目前,常用的非對稱加密算法有RSA算法。
(2)認證技術。認證技術是保證電子商務安全的又一重要技術手段,是防止信息被篡改、刪除、重放和偽造的一種有效方法,它使發送的消息具有被驗證的能力,使接收者能夠識別和確認消息的真偽。認證的實現包括數字摘要、數字信封、數字簽名、數字證書和智能卡等技術。
3.安全協議
安全協議本質上是關于某種應用的一系列規定,包括功能、參數、格式、模式等,通信各方只有共同遵守協議,才能互操作。與電子商務有關的安全協議主要有SSL和SET兩個。
(1)安全套接層協議SSL。SSL(Secure Sockets Layer)是由Netscape Communication公司開發的,工作在傳輸層的協議,主要保護信息傳輸的機密性和完整性,它適用于點對點之間的信息傳輸。SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如HTTP、FTP、TELNET等)以保證應用層數據傳輸的安全性。
(2)安全電子交易SET協議。SET(Secure Electronic Transaction)是專門為電子商務而設計的,用于保證在公共網絡上進行銀行卡支付交易的安全性。SET采用公鑰密碼體制和X.509數字證書標準,主要應用于保障網上購物信息的安全性。由于SET提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為了目前公認的信用卡或借記卡的網上交易的國際安全標準。
五、展望
綜上所述,為應對電子商務出現的各種安全問題,電子商務安全技術雖然已經取得了一定的成績,但是電子商務要真正成為一種主導的商務模式,還必須在其安全技術上有更大的發展和突破。
參考文獻:
[1]馮昊:電子商務的安全問題及對策[J].重慶廣播電視大學學報,2005,17~4:31~33
篇(10)
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)13-3019-04
1 網絡安全評估技術簡介
當前,隨著網絡技術和信息技術的發展與應用,人們對于網絡的安全性能越來越關注,網絡安全技術已從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻、防、測、控、管、評”等多方面的基礎理論和實施技術。信息安全是一個綜合、交叉學科領域,它要綜合利用數學、物理、通信和計算機諸多學科的長期知識積累和最新發展成果,進行自主創新研究、加強頂層設計,提出系統的、完整的解決方案。
網絡信息系統安全評估的目的是為了讓決策者進行風險處置,即運用綜合的策略來解決風險。信息系統可根據安全評估結果來定義安全需求,最終采用適當的安全控制策略來管理安全風險。
安全評估的結果就是對信息保護系統的某種程度上的確信,開展網絡安全系統評估技術研究,可以對國防軍工制造業數字化網絡系統、國家電子政務信息系統、各類信息安全系統等的規劃、設計、建設、運行等各階段進行系統級的測試評估,找出網絡系統的薄弱環節,發現并修正系統存在的弱點和漏洞,保證網絡系統的安全性,提出安全解決方案。
2 網絡安全評估理論體系和標準規范
2.1 網絡安全評估所要進行的工作是:
通過對實際網絡的半實物仿真,進行測試和安全評估技術的研究,參考國際相關技術標準,建立網絡安全評估模型,歸納安全評估指標,研制可操作性強的信息系統安全評測準則,并形成網絡信息安全的評估標準體系。
2.2 當前在網絡技術上主要的、通用的、主流的信息安全評估標準規范
2.2.1 歐美等西方國家的通用安全標準準則
1) 美國可信計算機安全評價標準(TCSEC)
2) 歐洲網絡安全評價標準(ITSEC)
3) 國際網絡安全通用準則(CC)
2.2.2 我國制定的網絡系統安全評估標準準則
1) 《國家信息技術安全性評估的通用準則》GB/T 18336標準
2) 公安部《信息網絡安全等級管理辦法》
3) BMZ1-2000《信息系統分級保護技術要求》
4) 《GJB 2646-96軍用計算機安全評估準則》
5) 《計算機信息系統安全保護等級劃分準則》等
3 安全評估過程模型
目前比較通用的對網絡信息系統進行安全評估的流程主要包括信息系統的資產(需保護的目標)識別、威脅識別、脆弱性識別、安全措施分析、安全事件影響分析以及綜合風險判定等。
對測評流程基本邏輯模型的構想如圖1所示。
在這個測試評估模型中,主要包括6方面的內容:
1) 系統分析:對信息系統的安全需求進行分析;
2) 識別關鍵資產:根據系統分析的結果識別出系統的重要資產;
3) 識別威脅:識別出系統主要的安全威脅以及威脅的途徑和方式;
4) 識別脆弱性:識別出系統在技術上的缺陷、漏洞、薄弱環節等;
5) 分析影響:分析安全事件對系統可能造成的影響;
6) 風險評估:綜合關鍵資產、威脅因素、脆弱性及控制措施,綜合事件影響,評估系統面臨的風險。
4 網絡系統安全態勢評估
安全態勢評估是進行網絡系統級安全評估的重要環節,合理的安全態勢評估方法可以有效地評定威脅級別不同的安全事件。對系統安全進行評估通常與攻擊給網絡帶來的損失是相對應的,造成的損失越大,說明攻擊越嚴重、網絡安全狀況越差。通過攻擊的損失可以評估攻擊的嚴重程度,從而評估網絡安全狀況。
結合網絡資產安全價值進行評估的具體算法如下:
設SERG為待評估安全事件關聯圖:
定義
IF(threatTa){AddSERGTToHighigh ImpactSetAndReport}
其中,SERG表示安全事件關聯,SERGStatei表示攻擊者獲取的直接資源列表;ASV(a)表示對應資產a的資產安全價值;Ta表示可以接受的威脅閥值;HighImpactSet表示高風險事件集合。
常用的對一個網絡信息系統進行安全態勢評估的算法有如下幾種。
4.1 專家評估法(Delphi法)
專家法也稱專家征詢法(Delphi法),其基本步驟如下:
1) 選擇專家:這是很重要的一步,選的好與不好將直接影響到結果的準確性,一般情況下,應有網絡安全領域中既有實際工作經驗又有較深理論修養的專家10人以上參與評估,專家數目太少時則影響此方法的準確性;
2) 確定出與網絡系統安全相關的m個被評估指標,將這些指標以及統一的權數確定規則發給選定的各位專家,由他們各自獨立地給出自己所認為的對每一個指標的安全態勢評價(Xi)以及每一個評價指標在網絡系統整體安全態勢評估中所占有的比重權值(Wi);
3) 回收專家們的評估結果并計算各安全態勢指標及指標權數的均值和標準差:
計算估計值和平均估計值的偏差
4) 將計算結果及補充材料返還給各位專家,要求所有的專家在新的基礎上重新確定各指標安全態勢及所占有的安全評價權重;
5) 重復上面兩步,直至各指標權數與其均值的離差不超過預先給定的標準為止,也就是各專家的意見基本趨于一致,以此時對該指標的安全評價作為系統最終安全評價,并以此時各指標權數的均值作為該指標的權數。
歸納起來,專家法評估的核心思想就是采用匿名的方式,收集和征詢該領域專家們的意見,將其答復作統計分析,再將分析結果反饋給領域專家,同時進一步就同一問題再次征詢專家意見,如此反復多輪,使專家們的意見逐漸集中到某個有限的范圍內,然后將此結果用中位數和四分位數來表示。對各個征詢意見做統計分析和綜合歸納時,如果發現專家的評價意見離散度太大,很難取得一致意見時,可以再進行幾輪征詢,然后再按照上述方法進行統計分析,直至取得較為一致的意見為止。該方法適用于各種評價指標之間相互獨立的場合,各指標對綜合評價值的貢獻彼此沒有什么影響。若評價指標之間不互相獨立,專家們比較分析的結果必然導致信息的重復,就難以得到符合客觀實際的綜合評價值。
4.2 基于“熵”的網絡系統安全態勢評估
網絡安全性能評價指標選取后,用一定的方法對其進行量化,即可得到對網絡系統的安全性度量,而可把網絡系統受攻擊前后的安全性差值作為攻擊效果的一個測度。考慮到進行網絡攻擊效果評估時,我們關心的只是網絡系統遭受攻擊前后安全性能的變化,借鑒信息論中“熵”的概念,可以提出評價網絡性能的“網絡熵”理論。“網絡熵”是對網絡安全性能的一種描述,“網絡熵”值越小,表明該網絡系統的安全性越好。對于網絡系統的某一項性能指標來說,其熵值可以定義為:
Hi=-log2Vi
式中:Vi指網絡第i項指標的歸一化參數。
網絡信息系統受到攻擊后,其安全功能下降,系統穩定性變差,這些變化必然在某些網絡性能指標上有所體現,相應的網絡熵值也應該有所變化。因此,可以用攻擊前后網絡熵值的變化量對攻擊效果進行描述。
網絡熵的計算應該綜合考慮影響網絡安全性能的各項指標,其值為各單項指標熵的加權和:
式中:n-影響網絡性能的指標個數;
?Ai-第i項指標的權重;
Hi第i項指標的網絡熵。
在如何設定各網絡單項指標的權重以逼真地反映其對整個網絡熵的貢獻時,設定的普遍通用的原則是根據網絡防護的目的和網絡服務的類型確定?Ai的值,在實際應用中,?Ai值可以通過對各項指標建立判斷矩陣,采用層次分析法逐層計算得出。一般而言,對網絡熵的設定時主要考慮以下三項指標的網絡熵:
1) 網絡吞吐量:單位時間內網絡結點之間成功傳送的無差錯的數據量;
2) 網絡響應時間:網絡服務請求和響應該請求之間的時間間隔;
3) 網絡延遲抖動:指平均延遲變化的時間量。
設網絡攻擊發生前,系統各指標的網絡熵為H攻擊發生后,系統各指標的網絡熵為 ,則網絡攻擊的效果可以表示為:
EH=H'-H
則有:
利用上式,僅需測得攻擊前后網絡的各項性能指標參數(Vi,Vi'),并設定好各指標的權重(?Ai),即可計算出網絡系統性能的損失,評估網絡系統受攻擊后的結果。EH是對網絡攻擊效果的定量描述,其值越大,表明網絡遭受攻擊后安全性能下降的越厲害,也就是說網絡安全性能越差。
國際標準中較為通用的根據EH值對網絡安全性能進行評估的參考標準值如表1所示。
4.3模糊綜合評判法
模糊綜合評判法也是常用的一種對網絡系統的安全態勢進行綜合評判的方法,它是根據模糊數學的基本理論,先選定被評估網絡系統的各評估指標域,而后利用模糊關系合成原理,通過構造等級模糊子集把反映被評事物的模糊指標進行量化(即確定隸屬度),然后利用模糊變換原理對各指標進行綜合。
模糊綜合評判法一般按以下程序進行:
1) 確定評價對象的因素論域U
U={u1,u2,…,un}
也就是首先確定被評估網絡系統的n個網絡安全領域的評價指標。
這一步主要是確定評價指標體系,解決從哪些方面和用哪些因素來評價客觀對象的問題。
2) 確定評語等級論域V
V={v1,v2,…,vm}
也就是對確定的各個評價指標的等級評定程度,即等級集合,每一個等級可對應一個模糊子集。正是由于這一論域的確定,才使得模糊綜合評價得到一個模糊評判向量,被評價對象對評語等級隸屬度的信息通過這個模糊向量表示出來,體現出評判的模糊性。
從技術處理的角度來看,評語等級數m通常取3≤m≤7,若m過大會超過人的語義能力,不易判斷對象的等級歸屬;若m過小又可能不符合模糊綜合評判的質量要求,故其取值以適中為宜。 取奇數的情況較多,因為這樣可以有一個中間等級,便于判斷被評事物的等級歸屬,具體等級可以依據評價內容用適當的語言描述,比如評價數據管理制度,可取V={號,較好,一般,較差,差};評價防黑客入侵設施,可取V={強,中,弱}等。
3) 進行單因素評價,建立模糊關系矩陣R
在構造了等級模糊子集后,就要逐個對各被評價指標ui確定其對各等級模糊子集vi的隸屬程度。這樣,可得到一個ui與vi間的模糊關系數據矩陣:
R=|r21r22…r2m|
式中:
rij表示U中因素ui對應V中等級vi的隸屬關系,即因素ui隸屬于vi的等級程度。
4) 確定評判因素的模糊權向量集
一般說來,所確定的網絡安全的n個評價指標對于網絡整體的安全態勢評估作用是不同的,各方面因素的表現在整體中所占的比重是不同的。
因此,定義了一個所謂模糊權向量集A的概念,該要素權向量集就是反映被評價指標的各因素相對于整體評價指標的重要程度。權向量的確定與其他評估方法相同,可采用層次分析等方法獲得。權向量集A可表示為:
A=(a1,a2,…,an)
并滿足如下關系:
5) 將A與R合成,得到被評估網絡系統的模糊綜合評判向量B
B=A?R
B=A?R= (a1,a2,…,an) |r21r22…r2m|
式中:
rij表示的是模糊關系數據矩陣R經過與模糊權向量集A矩陣運算后,得到的修正關系向量。
這樣做的意義在于使用模糊權向量集A矩陣來對關系隸屬矩陣R進行修正,使得到的綜合評判向量更為客觀準確。
6) 對模糊綜合評判結果B的歸一化處理
根據上一步的計算,得到了對網絡各安全評價指標的評判結果向量集B=(b1,b2,…,bn)
由于對每個評價指標的評判結果都是一個模糊向量,不便于各評價指標間的排序評優,因而還需要進一步的分析處理。
對模糊綜合評判結果向量 進行歸一化處理:
bj'=bj/n
從而得到各安全評價指標的歸一化向量,從而對各歸一化向量進行相應。
5 結束語
本論文首先介紹了網絡安全評估技術的基本知識,然后對安全評估模型進行了分析計算,闡述了網絡安全技術措施的有效性;最后對網絡安全態勢的評估給出了具體的算法和公式。通過本文的技術研究,基本上對網絡信息系統的安全評估技術有了初步的了解,下一步還將對安全評估的風險、安全評估中相關聯的各項因素進行研究。
參考文獻:
[1] 逮昭義.計算機通信網信息量理論[M].北京:電子工業出版社,1997:57-58.
