购物车(0) 期刊中心 科普订阅 范文中心
400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 网络安全技术防护体系范文

网络安全技术防护体系精选(九篇)

网络安全技术防护体系

第1篇:网络安全技术防护体系范文

[关键词]移动网络;网络安全;防护技术

引言

根据工信部提供的数据,截至2018年3月,我国移动互联网用户总数高达13.2亿,同比增加16.1%,移动网络用户数量的持续增加,不仅催生了新的经济业态,便捷了用户生活,也诱发了信息数据丢失、泄露等安全问题。为保持移动网络的安全性与稳定性,研究团队与技术人员需要从安全防护技术的角度出发,厘清设计需求,强化技术创新,逐步构建起完备的移动网络安全防护技术体系。

1移动通信网络安全防护技术概述

探讨移动通信网络安全防护技术构成与类型,有助于技术人员形成正确的观念认知,掌握移动通信网络安全防护的特点,梳理后续安全防护技术的设计需求,为安全防护技术的科学应用提供方向性引导。随着移动网络技术的日益成熟,移动通信网络安全防护技术逐步完善,可以充分满足不同场景下的网络安全防护基本要求。具体来看,现阶段移动网络安全机制较为健全、完善,形成了网络接入安全、网络域安全、用户域安全、应用安全等几个层级[1],实现了移动网络的传输层、服务层以及应用层的有效联动,强化了对移动网络入网用户的身份识别能力,以更好地提升移动通信网络的安全防护能力,相关技术构成如图1所示。网络接入安全保护技术的作用,使得用户可以通过身份识别等方式,快速接入到移动网络之中,从而规避无线链路攻击风险,保证网络运行的安全性,降低网络安全风险。通过构建网络安全域安全技术模块,对移动网络中的数据交互路径采取加密保护等相关举措,可以降低数据丢失或者泄露的风险。与其他网络不同,移动网络用户相对而言较为固定,用户群体较为明显,这种特性使得在移动通信网络安全防护应用过程中,可以通过签约用户识别模块,形成移动实体/通用签约用户识别模块(UniversalSubscriberIdentityModule,USIM)安全环境,实现移动网络安全防护的灵活化、有效化,依托移动网络安全防护技术,使得电信运营商的服务质量显著提升,更好地满足不同场景下、不同用户群体的移动网络使用需求[2]。随着5G网络的日益成熟,移动网络安全防护技术也需要做出相应的转变,通过形成移动通信网络安全平台,实现硬件系统与软件系统的联动,构建起平台式、生态化的移动通信网络安全防护机制,最大限度地保证用户信息的安全性与有效性。

2移动通信网络安全防护技术设计需求

移动通信网络安全防护技术涉及的技术类型较为多元,为有效整合安全防护技术资源,技术人员应当明确安全防护技术需求,在技术需求导向下,提升移动通信网络安全防护技术应用的有效性。

2.1移动通信网络面临的主要威胁

移动通信网络在使用过程中,受到病毒、木马、垃圾邮件等因素的威胁日益严重,用户个人信息数据丢失案例逐年上升,网络安全形势日益严峻。出现这种情况的主要原因在于,移动通信网络经过多年发展,其形成以网络应用服务为核心,以移动终端为平台的应用场景[3]。这种技术特性,使得越来越多的用户愿意通过移动通信网络进行数据的访问。数据访问的完成,固然提升了用户的使用体验,但是移动通信网络在通过空中接口传输数据的过程中,出现数据截流或者丢失的概率也相对较大。移动通信网络具有较强的开放性,用户可以根据自身的需要,进行网络资源的获取与访问,这种开放性,无形之中增加了安全事件的发生概率。这些移动通信网络安全威胁要素的存在,势必要求技术人员快速做出思路的转变,通过技术创新与优化,持续增强技术的安全性。

2.2移动通信网络安全防护技术设计基本要求

2.2.1基于体系安全的移动通信网络安全防护为改善移动通信网络安全防护能力,有效应对各类外部风险,避免数据窃取或者泄漏等情况的发生。在移动通信网络安全防护工中,需要以平台为基础,丰富安全防护的路径与场景,基于这种技术思路,我国相关安全技术团队提出了平台化的解决方案。将移动通信网络终端作为主要平台,对终端实体设备与网络之间的初始认证路径、认证频次等做出适当的调整,形成安全信息的交互,这种平台式的移动通信网络安全防护技术,不仅可以提升实际的防护能力,还在很大程度上降低了移动通信安全防护技术的应用成本,避免了额外费用的产生,稳步提升了移动通信网络安全防护的实用性与可行性[4]。

2.2.2基于终端安全的移动通信网络安全防护终端是移动通信网络数据存储、交互、使用的重要媒介,基于这种认知,技术人员需要将终端作为安全防护的重要领域,通过技术的创新,打造完备的终端安全防护机制体系。例如,目前较为成熟的第三代移动通信网络的认证与密钥协商协议(AuthenticationandKeyAgreement,AKA),其根据终端特性,设置了可信计算安全结构,这种安全结构以可信移动平台、公钥基础设施作为框架,将用户终端中嵌入敏感服务,形成鲁棒性终端安全平台,从实践效果来看,这种安全认证技术方案,不仅可以识别各类终端攻击行为,消除各类安全风险,其技术原理相对简单,实现难度较小,在实践环节,表现出明显的实践优势。

3移动网络安全防护技术体系的构建

移动通信网络安全防护技术的应用,要求技术人员从实际出发,在做好防护技术设计需求分析的基础上,依托现有的技术手段,建立起完备的移动通信网络安全防护技术应用体系,实现安全防护体系的健全与完善。

3.1应用可信服务安全防护技术方案

基于移动通信网络安全防护技术设计要求,技术人员应当将平台作为基础,形成以移动可信计算模块为核心的安全防护技术体系。从实际情况来看,移动可信计算模块具有较强的独立性,可以为用户提供可靠的信息安全通道,对于移动通信网络终端安装的各类操作软件进行合法性检测,对于没有获得授权的软件,禁止安装与运行。这种技术处理方案实用性较强,具备较高的使用价值。

3.2应用安全服务器防护技术方案

为降低移动通信网络安全防护技术的应用难度,技术人员将安全服务器纳入防护技术方案中,通过安全服务器,移动通信网络可以在较短的时间内完成移动端软件完整性评估与合法性查询,通过这种辅助功能,移动通信网络使用的各类硬件、软件保持在安全运行状态,实现对各类安全事件的评估与应对,以保证安全防护成效。在安全服务器防护技术设置上,技术人员需要针对性地做好查询功能的设置工作,为移动终端提供软件合法性查询服务。这种技术机制使得安全服务器可以对移动终端安装或者运行软件进行系统化查询。例如,根据需要,对安装或者运行软件的合法性进行审查。审查过程中,终端通过本地的MTM进行查询,如没有获得查询结果,则发出查询申请,安全服务器在接受申请后,进行系列安全查询,并将查询结果及时反馈给终端。在安全服务器使用过程中,还需要做好升级工作。例如,加强与软件提供商的技术沟通,通过技术沟通,做好软件安全性、合法性信息的生成,实现软件的备案。还要持续提升运营网络的接入网服务器交互功能,逐步强化移动终端完整性的整体性接入能力,保证移动终端的安全性与整体性。

3.3应用大数据下安全防护技术方案

大数据背景下,移动通信安全防护技术的应用,要求技术人员从安全监测、安全响应、系统恢复等层面出发,形成完备的安全防护机制。在安全监测模块设计环节,技术人员通过入侵监测技术、网络深度过滤技术、网络抓包技术得以对移动通信网络漏洞开展评估与分析,并根据评估结果,进行网络安全补丁的下载,从而避免病毒等非法入侵行为的发生[5]。相应安全技术研发过程中,依托杀毒软件、防火墙等现有的网络安全防护技术方案,确保移动通信网络在遭受攻击后,可以快速响应,实现对网络病毒的查杀,确保信息数据的安全性。要做好网络终端数据的备份,定期进行移动通信网络数据的备份,一旦出现信息泄露或者网络遭受攻击的情况,让技术人员可以通过备份技术,快速完成数据的恢复,将信息泄露的损失降到最低。

第2篇:网络安全技术防护体系范文

关键词:计算机;网络安全;防火墙技术

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)16-3743-03

Abstract: The firewall technology is the main way to maintain the security of computer networks play an efficient protection. With the application and popularization of computer network security has become more concerned about social issues. Society for Computer Network Security, made lot of protective measures, application firewall technology is obvious, not only reflects a high level of security protection, while creating a safe and reliable operating environment. Therefore, this paper through the computer network security research, analysis application firewall technology.

Key words: computer; network security; firewall technology

计算机网络安全主要是保障信息传输保密,防止攻击造成的信息泄露。基于网络安全的计算机运行,维护数据安全,保障运行问题,体现网络安全的重要性。计算机网络安全保护技术多种多样,该文主要以防火墙技术为例,分析其在计算机网络安全中的应用。防火墙的保护原理是信息隔离,在信息交互的过程中形成防护屏障,一方面过滤危险信息,另一方面提高计算机网络安全保护的能力,强化计算机网络系统的防御能力。防火墙技术在计算机网络安全中发挥监督、跟踪的作用,明确各项信息访问。

1 分析计算机网络安全与防火墙技术

计算机网络安全与防火墙技术之间存在密不可分的关系,防火墙技术随着计算机网络的需求发展,在网络安全的推动下,防火墙技术体现安全防护的优势。分析计算机网络安全与防火墙技术,如下:

1.1 计算机网络安全

安全是计算机网络运行的首要原则,随着现代社会的信息化发展,计算机网络的运行得到推进,但是其在运行过程中不断出现安全威胁,影响计算机网络的安全水平,例举计算机网络的安全威胁。

1.1.1 数据威胁

数据是计算机网络的主体,数据运行的过程中存在诸多漏洞,引发计算机网络的安全隐患[1]。例如:计算机网络运行中的节点数据,较容易受到攻击者篡改,破坏数据完整性,攻击者利用数据内容的脆弱部分,窥探内网数据,泄漏数据,攻击者利用计算机网络系统的安全漏洞,植入木马、病毒,导致数据系统瘫痪,无法支持计算机网络的安全运行。

1.1.2 外力破坏

外力破坏是计算机网络安全运行不可忽略的危险点,最主要的是人为破坏,如:病毒、木马攻击等。目前,计算机网络受到此类影响较大,部分攻击者利用网站病毒、邮件病毒等方式,攻击用户计算机,病毒植入时大多是由于用户不正确的操作习惯,导致计算机网络系统出现漏洞。例如:用户长时间浏览外网网站,但是没有定期查杀病毒,攻击者很容易摸清用户的浏览习惯,在特性网站中添加攻击链接,当用户点击该网站时,病毒立即启动,直接攻击用户的计算机。

1.1.3 环境威胁

计算机网络处于共享环境内,面临资源开放的威胁。环境是计算机网络运行的基础,用户在访问外网时必须经过网络环境,所以存在明显的环境威胁,网络环境内的攻击非常强烈,攻击者利用网络环境设置攻击环节,主要攻击网络环境内交互的数据包,经由数据包将攻击信息带入内网,破坏内网的防护结构,针对环境威胁,必须发挥防火墙技术的全面特点。

1.2 防火墙技术

防火墙技术主要有:(1)状态检测,以计算机网络为研究整体,主要分析数据流,区别计算机网络中的数据信息,识别数据信息中的不安全因素,此类型防火墙技术效益明显,但是缺乏一定的时效性,容易造成保护延迟;(2)包过滤技术,以网络层为保护对象,严格要求计算机网络的协议,在保障协议安全的基础上才可实现防护处理,体现防护价值;(3)应用型防火墙,利用IP转换的方式,伪装IP或端口,确保内外网络连接的安全性,促使用户在访问外网时,能够处于安全、稳定的空间内。

2 防火墙技术在计算机网络安全中的应用价值

防火墙技术在计算机网络安全中确实得到广泛应用,体现防火墙技术的高效价值。针对防火墙技术的应用价值,做如下分析:

2.1 过滤技术的应用价值

过滤技术体现防火墙选择过滤的应用价值,防火墙根据特定位置,提供过滤服务。例如:过滤技术在计算机网络系统TCP位置,防火墙预先检查TCP位置接收到的数据包,全面检查数据包的安全性,如果发现威胁因素或攻击行为,立即阻断数据包的传输,过滤在外网环境内,过滤技术的应用,体现明显的预防特性,科学控制风险信息的传输,组织风险信息进入内网,以此确保TCP区域的安全运行[2]。防火墙中的过滤技术,不仅应用于计算机网络安全控制,其在路由器方面也存在明显的应用价值。

2.1.1 技术的应用价值

防火墙中的技术,具有一定的特殊性,其可在计算机网络运行的各项模块发挥控制作用,时刻体现强效状态。技术的价值体现为:该技术在内外网之间发挥中转作用,计算机网络的内网部分,只接受部分发出的请求,而外网请求直接被拒绝,该技术在内网、外网的分割方面,发挥主要作用,杜绝出现内外混淆的现象,所以技术在实现应用价值方面,同样面临技术压力。

2.1.2 检测技术的应用价值

检测技术以计算机网络的状态为主,属于新技术领域。检测技术的运行建立在状态机制的基础上,将外网传入的数据包作为整体,准确分析数据包的状态内容,检测技术将分析结果汇总为记录表,分为规则和状态,比对两表后识别数据状态。目前,检测技术应用于各层网络之间,获取网络连接的状态信息,拓宽计算机网络安全保护的范围,由此提高网络信息的运行效率。

2.1.3 协议技术的应用价值

协议技术主要是防止Dos攻击,Dos攻击容易导致计算机网络以及服务器陷入瘫痪状态,促使计算机网络无法正常提供运行信息,此类攻击没有限制要求,基本处于无限制攻击状态[3]。防火墙利用协议技术,在此类攻击中发挥主体保护,在协议技术参与下的防火墙技术,保护计算机的内部网络,提供各类网关服务,网关是连接服务器与信息的直接途径,待防火墙回应后,服务器才可运行。防火墙促使服务器处于高度安全的环境中,规避外网攻击,例如:当外网向内网发送请求信息时,防火墙通过SYN设置访问上限,降低服务器承担的攻击压力,同时完成数据包检测。

3 防火墙技术在计算机网络安全中的应用

综合分析计算机网络安全中出现的问题,体现防火墙技术在计算机网络安全中的应用,规划防火墙技术安全保护的方式。

3.1 访问策略中的应用

访问策略是防火墙技术的应用核心,在计算机网络安全中占据主体地位。访问策略的实施主要以配置为主,经过缜密的计划安排,深化统计计算机网络运行信息的整个过程,形成科学的防护系统。防火墙技术针对计算机网络的运行实际,规划访问策略,以此营造安全环境。防火墙技术在访问策略中的保护流程为:(1)防火墙技术将计算机运行信息划分为不同的单位,针对每个单位规划内、外两部分的访问保护,确保流通访问的安全价值;(2)防火墙技术通过访问策略主动了解计算机网络运行的各项地址,如:目的地址、端口地址等,主动摸清计算机网络的运行特点,便于规划安全保护方式;(3)访问策略在计算机安全保护中对应不同的保护方式,根据计算机安全的需求以及访问策略的应用实际,防火墙技术适当调整访问策略,体现最优保护,访问策略在执行安全保护技术时,形成策略表,以此记录访问策略的所有活动,策略表的信息并不完全适用于网络保护,还需自主调节,防火墙技术根据策略表严格规划执行顺序,所以通过策略表约束防火墙技术的保护行为,很大程度上提供网络安全保护的效率;(4)访问策略运行完毕后,排除运行漏洞后将其作为防火墙技术的配置,合理保护计算机网络的安全。

3.2 日志监控中的应用

部分计算机用户善于分析防火墙技术的保护日志,以此获取价值信息。日志监控在计算机网络安全保护中同样占据较大比重,属于防火墙技术的重点保护对象。用户分析防火墙日志时,并不需要执行全面操作,避免忽视关键信息,例如:用户打开防火墙技术在执行计算机网络安全保护时生成的日志,全面采集某一类别的日志信息,主要是由于防火墙技术的工作量大,生成海量信息,只能通过类别划分,才可实现监控,还可降低日志采集的难度,不会对主要信息形成恶意屏蔽。用户在类别信息中提取关键信息,以此作为日志监控的依据,发挥日志监控的效益。除此以外,用户实时记录防火墙技术中的报警信息,此类信息在日志监控中具有优化价值,有利于降低选择记录的难度。基于日志监控的作用下,防火墙技术安全保护的能力得到加强,提高防火墙技术的筛选能力,优化网络流量。

3.3 安全配置中的应用

安全配置是防火墙技术的重点,安全配置主要将计算机网络安全划分为不同模块,独立需要安全防护的模块,将其转化为隔离区,作为安全保护的重点。防火墙技术的隔离区,属于单独局域网,其可成为组成计算机内部网络的一部分,但是更重要的是其保护网络服务器内部的信息安全,促使计算机处于安全、稳定的运行环境中。防火墙对安全配置的要求比较高,体现其在计算机网络安全中的应用效率[4]。该安全配置隔离区域具备明显的特性,与其他安全防护技术不同,主要的工作方式为:防火墙技术自动监控计算机网络隔离区域内的信息流通,主要利用地址转换,将由内网流入外网的信息IP转化为公共IP,由此可以避免外网攻击者解析IP,防止IP追踪,安全配置的主要目的是提供隐藏IP,促使信息在内外两网的交互过程中,有效隐藏真实IP,直接利用隐藏IP流通,体现地址转化技术的价值,保护内网安全,严格防止外网入侵,外网解析隐藏IP时,无法追踪真实信息,只能获取虚假的IP地址,因此无法借助内网信息攻击内网,很大程度上提高内网的运行安全。

4 防火墙技术在计算机网络安全中的优势

防火墙技术与其他计算机网络安全技术相比,具有明显的优势,在安全防护中占据主要地位,提升计算机网络的防护水平。

4.1 准确识别网络攻击

计算机网络面临的安全攻击来自于不同层次,攻击种类呈现多样化的发展趋势,防火墙技术在不断变化的攻击行为中,主动识别攻击路径和方式,判断攻击行为的属性,提出有效的保护措施,防火墙技术处于更新、升级的状态,适应变化过快的攻击行为,体现准确识别的优势,保护计算机网络处于安全的环境中,优化计算机的运行,防止网络数据被恶意损坏、窃取。

4.2 高效保护网络系统

防火墙技术在计算机网络安全中具有较高的保护能力,表现出高效的保护水平[5]。攻击者对计算机网络采取的攻击行为并不确定,防火墙迅速觉察具有危险性的攻击活动,在最短的时间内防止网络系统被攻击,一方面维持计算机网络系统的安全运行,另一方面保障计算机网络系统的整体性能,强化网络结构,体现高效率的保护能力。

5 结束语

计算机网络是现代社会进步的主要内容,各行各业提升对计算机网络的依赖性,更是加强对计算机网络的应用力度,由此计算机网络面临严峻的安全问题,通过防火墙技术,有效维护计算机网络的安全运行。防火墙技术在计算机网络安全方面,体现高效率的安全价值,充分结合计算机网络的运行实际,提供可靠的安全保护,发挥防火墙技术的作用,实时保护计算机网络的安全环境。

参考文献:

[1] 张俊伟.计算机网络安全问题分析[J].包头职业技术学院学报,2012,(4):25.

[2] 王秀翠.防火墙技术在计算机网络安全中的应用[J].软件导刊,2011,(5):28-30.

[3] 戴锐.探析防火墙技术在计算机网络安全中的应用[J].信息与电脑,2011,(11):10-12.

第3篇:网络安全技术防护体系范文

关键词:企业财务;网络安全;防护

企业财务部门是最早使用微机办公的部门之一,在加强信息化建设的同时,以指挥自动化网为平台的企业财务网络化建设也取得了长足的发展,且各局域网之间留有相应的接口,起到了很好的示范作用。

随着现代企业纵横配套的光纤线路的建成,企业内部已经基本上实现了数字化通信,企业财务系统的网络框架已经基本显现。但各相关单位企业财务信息化建设进度不一,相关的网络协议标准不一致,防护水平不高,绝大部分设备还没有更新,其技术水平还不能适应更高的要求,一些关键部位的设计构造,如网络拓朴构型,通信协议标准的制定等,与抵抗信息化打击的要求相差甚远。

为了确保企业财务信息系统畅通和财务保障的精确、及时、高效,就要尽快把企业财务网络安全纳入到信息网络的综合防护中来。

一、企业财务网络安全所面临的主要威胁

一般来讲,网络面临的威胁主要可分两大类:一是对网络中软件、协议以及所传输信息的威胁,即“软”威胁;二是对网络中基站、终端、传输媒介等网络实体的威胁,即“硬”威胁。从形式上表现为:计算机犯罪、人为行为、“黑客”行为、信息泄露、电子谍报、电子干扰、病毒攻击、火力打击、意外事故、网络软件与协议中的缺陷等,都是威胁网络安全的重要因素。

另外,从技术的因素考虑,影响网络安全的因素还存在着技术与非技术的两种情况。

技术因素,即网络系统自身存在的不安全因素。如网络协议中存在的漏洞;应用软件(财务软件等)在开发设计时,聘请的编程人员可在软件中设置非外人所知的程序入口(即“后门”),必要时可通过此处访问用户,盗取文件;网络通信平台中主机设备、线路、光缆发射电磁声光信号而泄密;在数据传输过程中,各接口的不可靠性,造成信息丢失等。

非技术因素,即人为的管理因素造成的网络漏洞。如保密观念不强,在与互联网相连的主机上处理密级材料,并将其存入硬盘中;忽视口令管理和用户访问权限的设置,虽给计算机上了“锁”,却“锁”而不严,谁都能打开;在大部分企业内部,办公主机既连单位的局域网,又接地方的互联网,出现一机多用的现象等。要实现网络的安全就必须想办法在一定程度上克服以上所述的种种威胁与隐患,通过技术策略和安全策略两方面的努力,来确保网络系统的安全。

二、企业财务网络安全的防护

(一)企业财务网络安全的技术防护

1、采用安全传输技术进行防护。企业财务网络的传输介质由光纤线缆、金属线缆和通信卫星等构成,对传输的信息以光信号、电信号和电磁信号的形式进行传递,基于传输介质的特性和所传输信息的特征,对企业财务网络中所传送的信息可采用加密技术、业务流填充技术和干扰与屏蔽技术来进行防护。首先,加密技术可采用先进的密码体制及成熟的加密系统等,对所传信息予以加密保护。如用量子密码体制可对光纤中所传输的光信号以光量子的形式进行加密,采用此技术不仅可以防止窃听,而且通信双方还可以及时发现有人在进行窃听,进而结束通信,再生成新的密钥进行传输。这改变了以往信息被窃听而不易被发现的局面,这一技术还可以在网络中运用于卫星通信,但不适用于金属线缆通信。其次,业务流填充技术可以在网络中连续发送随机序列码流,使网络中不论忙时或闲时信息流变化都不大。从而防止网络窃听者通过对网络中信息流流向和流量的分析来获取敏感信息。再次,通过干扰和屏蔽技术来抑制金属线缆通信、卫星通信中电磁信号的外泄,利用反相抵消技术和特殊调制方法来减弱和隐蔽信息流,采用扩频、跳频技术,干扰敌方的电磁窥探。

2、采用网络防御技术进行防护。所谓网络防御就是要构筑网络系统的“铜墙铁壁”。(1)对基站及终端的主机设置各层次的账号、口令,利用地址识别技术、包过滤技术、网络地址转换――NAT技术、技术等构建第一道防线――防火墙,即在内部网络和外部网络之间建立相应的网络通信监控系统,来阻止“黑客”、病毒等对内部网络的攻击。(2)采用相关软件的底层接口技术、扫描技术、算法优化技术等对那些透过第一道防线的“黑客”,病毒等进行及时的堵截封杀,防止其在网络中蔓延。如:应用程序底层接口技术,是为了在查杀那些针对某一类应用软件而设计的病毒时,能够从应用程序底层的接口深度地开展查毒、杀毒。(3)利用访问控制技术可以防止来自于网络内部的威胁,既防止合法用户非法操作,对隐蔽在系统内部的潜在威胁也有一定的御防作用,如利用强制访问控制技术可以抵抗特洛伊木马的攻击。

3、采用入侵检测技术进行防护。入侵检测是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略。如网络入侵检测系统可以判断出应用层的入侵事件,这样就极大地提高了判断“黑客”攻击行为的准确程度;利用扫描功能对系统软件、应用软件以及硬件进行缺陷、漏洞以及隐蔽程序(陷阱门)进行检测,使管理人员能及时发现并对其进行修补。并可以对非法用户的入侵进行识别和处理,可以作为网络系统的最后一道安全防线。同时它还能提供扫描、安全审计、监视等多种功能,不仅能检测来自外部的入侵行为,也能检测内部用户的非法越权操作。

(二)对企业财务网络中网络实体的防护

1、对网络实体要尽量国产化。网络实体是指网络中各类设备(包括节点机设备、通信设备、终端设备、存储设备、电源系统等)以及为此服务的其他硬件设备的总称。对于生产通信设备、存储设备和电源系统中所涉及到的产品技术,我国已经达到甚至超过了世界先进水平,因此这些设备已基本上实现了国产化,然而终端设备、节点机设备在某种程度上还依赖于进口。目前,我军各级各类网络计算机都是民用产品,其机内核心芯片基本为进口产品,倘若对方在出口我国的计算机产品中隐藏“逻辑炸弹”或预留“陷阱门”,后果将不堪设想。据悉,奔腾III处理器,就留有窥视用户信息的后门,对此要保持高度的警惕性。2000年深圳桑达公司与清华大学合作研制成功了集互联、路由、管理、带宽优化、防火墙等功能于一体的SED―R系列路由器,缓解了此类设备依赖于进口的局面。

2、对网络实体进行合理的配置。网络实体的配置可分为实体与实体之间的配置和实体与软件之间的配置。对这两种配置要把握科学、安全和效率最大化的原则。首先,实体与实体之间的配置,就是对实体进行科学的组合以及实体的空间配置是否安全。如在电磁泄漏严重的显示器、金属线缆等周围加装一些射频信号干扰器,可以有效地阻止信息泄漏,防止敌方的电磁窥探;数据加密设备DEE(Data Encryption Equipment)可以与Modem安装在一起构成密码调制解调器,防止信息被非法截获;为了保障内部网络的安全,可以用过滤式路由器和堡垒主机对内部网络进行隔离。实体的空间配置可采用地面疏散及地下隐藏等手段,防止敌方的火力摧毁。其次,实体与软件之间的配置。该种配置主要从方便操作,易于管理,安全可靠的角度出发。根据实体的性能,选择最佳的软件(首选国产软件),由于各种软件都存在着一定的漏洞与缺陷,因此在慎重选择各种软件的同时,结合它们自身的优缺点,对实体和软件,以优补缺进行科学合理的配置,层层安装,层层设“卡”。并对操作系统及相关软件进行定期升级。

3、对网络实体的综合防护。实现由过去单纯的防护向伪装、设障、拦截、干扰、欺骗等综合防护转变,实现被动防护与主动防护相结合,完成企业财务网络安全防护的新跨越,对网络实体的配置地域实行区域屏蔽,防止敌方报文嗅探(网络窃听)。以“骗、打、藏”来提高实体的生存能力,即运用电子欺骗、伪装欺骗;实施信息对抗、火力对抗;采取疏散配置、工程防护。采用一切先进技术手段,完善防护措施和配套建设。在提高企业财务网络安全系数,使其经得起“软硬武器”杀伤破坏的同时,增强防护预警能力。

(三)建立企业财务网络安全防护的专业力量

集中专业人才,组建企业财务网络防护分队和计算机应急反应分队。以研究对付来自网络的计算机病毒攻击或“黑客”入侵等的对策,特召既熟悉专门业务,又精通计算机网络技术,具有丰富网络工程建设经验的工程技术人员、管理人员。切实做到让网络人才来管网用网。

国家人事部公布的2003年我国人才市场招聘与求职专业的情况中了解到,计算机专业的招聘数量为14.8万人,但求职人数为39.6万人,是招聘人数的2.7倍,这表明我国计算机人才市场充满活力,同时也可以在网络界和各大院校内广纳“贤才”,“以牙还牙”用“黑客”对付“黑客”,从而确保企业内部网络系统的安全。

(四)企业财务网络的安全管理策略

1、制定和完善相应的政策法规和标准规范。安全的基石是严格的法规、细致的章程制度和相应的手段。财务部应该成立相应的信息网络管理与安全中心,负责制定财务信息、基础设施(含安全保密部分)建设、使用和全寿命管理的政策和程序,建立信息网络安全标准认证和质量检测机制,指导后勤财务信息化建设的实施,保证企业财务网络持续、快速、安全地正常运转。

2、采用先进的技术。首先,先进的安全技术是财务信息安全的根本保障,企业财务网络对自身面临的威胁进行风险评估,决定其需要的安全服务种类,从而选择相应的安全机制,然后集成先进的安全技术,形成全方位的安全系统。其次,加强防护技术的研究,使防护手段由单一性向多样性转变。同时抓紧研究和发展主动防护技术,使其在理论和实践上有进一步的突破和创新,从理论上提高企业财务网络系统的防护能力。

第4篇:网络安全技术防护体系范文

关键词:病毒;防护;安全体系;架构设计

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)11-2494-03

随着信息技术与网络技术的不断发展,计算机病毒已发展成为危害企业正常运行的一大问题。根据美国《金融时报》报道,现在平均每20秒就发生一次入侵计算机网络的事件,超过三分之一的互联网被攻破。国内百分之八十的网络存在安全隐患,百分之二十的网站有严重安全问题。计算机病毒不仅会造成人力资源与物质资源的浪费,还会随着病毒的传播演化,形成一个社会化问题,对社会稳定与国家安全构成了极大的威胁。因此,从计算机病毒特点出发,利用已有的安全体系研究方法,对计算机病毒的防护架构展开分析与设计,不仅能够增强企业的自我防护能力,而且对病毒在整个社会范围内的肆意传播起到有力的制约作用,具有十分重要的意义。

1 计算机病毒特点

研究表明[1],对当前网络安全危害最大的威胁为计算机病毒,它将会造成网络通信阻塞、文件系统破坏、甚至重要数据丢失等严重后果,给企业与个人带来重大的财产损失。为了更为清晰地认识与理解计算机病毒带来的安全风险,我们首先对计算机病毒的特点展开剖析。一般而言,计算机病毒会附着在宿主程序的可执行文件中,随着宿主程序的运行开始执行病毒程序,并且它们具有自我繁殖与网络繁殖功能,在不断传播的过程中加剧破坏程度。传统的计算机病毒具有以下特征:(1)可以感染可执行代码的程序或文件;(2)能够通过网络进行病毒传播;(3)会造成引导失败或破坏扇区,引发硬盘的格式化;(4)消耗计算机内存,减缓计算机运行速度;(5)躲避防毒软件,具有较强的隐蔽性。

随着计算机病毒的不断发展,传统的计算机病毒威胁也日趋复杂化与智能化,其对网络安全造成的危害也在不断加大,我们将这种新型的威胁称为混合型威胁[2]。混合型威胁综合了病毒传播与多种黑客技术,能够自动发现与利用系统漏洞,并通过系统漏洞进行病毒的快速传播与感染。与传统病毒相比,具有混合型威胁特性的病毒具有以下特征:(1)传播速度更快,混合型威胁病毒传播速度极快,通常在几个小时甚至几分钟内感染整个网络,致使网络瘫痪;(2)侵入性与隐蔽性更强,混合型威胁病毒引入了自动化的漏洞发现与利用技术,使其更容易侵入计算机,并具有很强的隐蔽性;(3)破坏程度更大,混合型威胁病毒能够智能地利用计算机漏洞,且伴随着木马程序,在传播过程中形成大规模的DDOS攻击,破坏性与危害性得到进一步提升。2001年7月爆发的红色代码(Code Red)就是该类病毒的典型代表,其集成了多种黑客技术,例如病毒传播、漏洞扫描、漏洞攻击、DDOS攻击等,给互联网用户带来了极大的冲击。2009年爆发的震网(Stuxnet)病毒[3]则主要针对伊朗的核设施实施攻击,该病毒同时利用微软和西门子公司产品的7个最新漏洞,可以绕过安全产品的检测在短期内不被发现。即使被发现之后三年之久,“震网”病毒仍然困扰着军事战略家、计算机安全专家、政治决策者和广大民众。

由此可见,计算机病毒防护是企业网络安全亟需解决的首要问题,如何构建合理的计算机病毒防护架构,增强计算机系统和网络系统的安全性已成为人们关注的焦点。

2 企业安全体系中的病毒防护架构设计

2.1 企业安全体系内容

企业安全体系是指企业在进行信息采集、信息传播、信息处理、信息存储和信息运用过程中,能够保证信息安全性、完整性、可用性、真实性和可控性等方面的基础设施与保障措施[4]。企业安全体系内容主要包括三个方面,即人员、制度和技术,三者既相互联系又相互制约,形成了一个不可分割的整体,具体描述如下:

1) 人员。人员是企业安全体系中最薄弱的环节,根据信息安全防护链分析,人通常是造成企业信息泄露和信息丢失的主要因素。因此,企业安全体系首先解决的威胁不是外部,而是企业内部人员的安防意识与安防能力,加大企业员工的信息安全教育,传授信息安全技巧,培养信息安全综合防护能力,是构建企业安全体系的基础。

2) 制度。制度是企业从日常的工作出发,制定相应的规范与规章,制约企业人员进行安全防护。因此,企业安全体系必须加强规章制度的制定与实施,明确安防责任人,规定安防控制措施与奖惩措施。例如,制定《企业系统安全管理规定》、《企业应急处理管理规定》、《企业数据安全规范管理方法》、《企业密码体制管理办法》、《企业病毒防护手册》等一系列规章制度。此外,企业还需加大监管力度,以制度为依据约束与管理员工,完善企业安全体系建设。

3) 技术。技术是企业安全体系的核心与基本保障,只有建立一套安全稳定的信息安全技术体系,才能够保证企业信息化办公的安全运行。此处的安全技术主要包括身份鉴别技术、病毒防护技术、访问审计技术、网络安全技术、数据加密技术等一系列信息安全技术,同时,企业还需要订购与部署一些相关安全产品,例如企业网络防火墙、病毒防护软件、VPN设备、入侵检测设备等。

2.2 企业病毒威胁分析

根据企业安全管理的实际情况,我们可以对病毒威胁划分类型,从而为病毒防护架构设计提供技术支撑。

企业病毒威胁大致可以分为边界威胁、内网威胁、数据威胁以及远程接入威胁四类,具体描述如下:

1) 边界威胁。边界是指企业内部网络与互联网等外部网络之间的衔接区域,如果病毒防护措施不理想,病毒很容易通过边界区域进入企业的内部网络,对企业造成极大的危害,因此,边界威胁是企业信息安全建设面临的首要威胁。

2) 内网威胁。内部威胁是指病毒对企业内部网络节点造成的威胁,主要包括系统漏洞威胁、Web服务漏洞威胁、僵尸病毒威胁、木马威胁、恶意代码威胁、僵尸代码威胁等。由于企业内部节点数目众多、病毒威胁多样,因此,内网威胁很难实现全面与有效防护。

3) 数据威胁。数据威胁是指病毒对企业内部的数据库造成的威胁。由于企业的数据中心是企业内部信息传输与交换最为密集的地方,一旦遭到攻击将会对企业带来巨大的损失,因此,数据威胁是企业信息安全建设必须重点考虑的一项威胁。

4) 远程接入威胁。由于现代化的企业一般会建立异地分支机构,在总部与分支建立网络连接时大都采用具有保密性的网络连接技术,例如VPN技术。病毒对该类加密技术也会产生一定的威胁,当远程接入的VPN遭到病毒攻击,企业内部网络将会产生较大的损失,因此,该类威胁也是企业信息安全建设必须考虑的一项重要威胁。

2.3 病毒防护架构设计

根据企业安全体系主要内容,针对病毒对企业带来的各类威胁,该文提出了一种新型的病毒防护架构,如图2所示。

企业病毒防护架构包括纵向的防护内容与横向的威胁类型。针对不同的威胁类型,在“人员―制度―技术”三个不同的层面进行分析与研讨,并给出相应的解决方案。该防护架构具体描述如下:

a)边界―人员:组织边界网络管理人员进行专业培训,使其掌握边界网络的病毒防护知识,熟练边界网络防护设备的操作与应用。

b)内网―人员:组织全体员工进行病毒预防知识培训,加强病毒防护意识,减少木马、蠕虫等病毒进入内网的潜在危险。

c)数据―人员:组织数据管理人员进行病毒防护培训,使其掌握数据库入侵知识、病毒攻击手段以及应急处理方法等多种防护技能,熟练防护设备的操作与应用。

d)远程接入―人员:组织负责远程接入的管理人员进行专业培训,掌握针对VPN连接的加密体制、用户权限管理方法、病毒攻击手段以及应急处理方法。

e)边界―制度:建立企业边界网络管理规章制度,明确值班人员的工作职责、病毒防护手册、奖惩制度,约束网络管理人员行为,减少失误,确保边界网络安全。

f)内部―制度:建立企业员工的病毒防护制度,建立监督机构,依据规章制度规范企业员工的病毒防护措施。

g)数据―制度:建立企业数据中心管理规定,明确数据管理人员的工作职责、病毒防护措施以及应急处理方法,按照制度规范各项操作。

h)远程接入―制度:建立远程接入管理规定,规范远程接入操作,减少因操作失误造成的病毒侵入与攻击。

i)边界―技术:针对边界病毒威胁,企业应该对安全设备集成AV防护模块,或者部署硬件防病毒墙,从而可以有效阻止病毒侵入内网,而且在网络边界应增加URL过滤功能,对一些已知的病毒载体网站(挂马网站或不健康的网站)进行地址过滤,减少病毒隐患。

j)内网―技术:针对内网威胁,应建立两级病毒防护机制,即企业级的病毒防护中心与个人版的病毒防护系统。企业级的病毒防护中心负责整个网络的病毒防护,为个人提供杀毒软件更新服务;个人的病毒防护系统则利用杀毒软件、软件防火墙进行病毒防护,且定时更新软件系统,做到个人计算机系统、软件应用等实时防护。

k)数据―技术:针对数据威胁,应在数据中心建立硬件防火墙,对安全信任网络与非安全网络进行隔离,并且设置针对DDOS攻击与病毒攻击的防御软件与设备,例如,杀毒软件、具有高性能检测引擎的入侵防御系统等,具体的防护技术可以详见参考文献[5]。

l)远程接入―技术:针对远程接入威胁,应加强VPN连接的用户访问权限管理,减少无关人员的侵入与破坏,并且加入防病毒软件,监测连接的安全性。

与传统的计算机病毒防护架构不同,该文提出的防护架构更为合理,其不仅局限于局部的技术架构,而且关注了更为高层的制度与人员的安全防护能力,为企业全面推进病毒安全防护体系建设提供可靠指导。

3 结束语

随着计算机病毒的复杂性、智能性与危害性不断提高,企业病毒防护能力已发展成为企业信息化建设中的一个重要问题。该文首先对计算机病毒的特点与发展趋势展开分析,随后利用企业安全体系内容(人员,制度,技术),结合企业潜在的病毒威胁,提出了病毒防护框架及其相应的解决方法。该框架能够有效指导企业病毒防护建设,为企业的网络利用及信息化办公提供保障。

参考文献:

[1] 周子英.某集团网络信息安全体系的构建[J].计算机应用与软件, 2009, 26(12):273-277.

[2] 赵聪.完善网络安全体系,全面提升信息网络病毒防护水平[J].天津科技,2009,36(4):82-84.

[3] Robert McMillan.Siemens: Stuxnet worm hit industrial systems[R].ComputerWorld,Septemper 14, 2010.

第5篇:网络安全技术防护体系范文

[关键词]民航企业信息 网络信息系统 网络信息安全

中图分类号:TP245.47 文献标识码:A 文章编号:1009-914X(2015)43-0312-01

1. 引言

网络信息系统逐渐成为现代企业管理中重要的基础设施,中国民航企业通过它们实现了对生产、管理信息的快速传递和共享,极大地提高了运行管理效率。因此,网络信息系统的安全稳定运行对于民航企业的正常运作而言非常重要,直接影响国家的安全形势,影响民航企业的发展与效益,可见制定正确的企业网络信息安全与防护策略已经成为了中国民航企业所面临的重要课题。

2. 民航企业网络信息化建设面临网络信息安全问题

近些年,我国民航企业的网络信息化建设虽然取得很大飞跃,但与国际先进水平还有一定的差距,尤其是民航的网络信息安全总体形势不容乐观,信息安全存在一些隐患,对此我们必须时刻警惕,加强防范。网络信息安全问题这主要表现在几个方面。

1)网络与信息系统的防护水平不高,网络信息系统遭到恶意入侵和攻击影响较大的网络信息安全事故时有发生,并直接影响安全生产,如2006 年中航信离港系统技术故障, 造成大量航班延误和大批旅客滞留机场,给我们敲响了警钟。

2)行业人员在网络信息安全技术水平方面还处在较低水平,缺乏专业队伍和人才。技术人员的应急处置能力不强,遇到突发事件应变处置能力还需提高。员工对网络与信息安全认识还不到位,安全意识淡薄,对网络信息不安全的事实认识不足。

3) 各单位的网络信息安全工作组织机构还不健全,在工作职责等方面还需明确加强。行业性质的网络信息安全标准、规范和认证体系不够完善,在网络与信息系统的建设和信息安全管理工作中缺乏统一的行业性标准、规范。缺乏一套完整有效的管理方法和有效的监督检查措施,缺乏网络安全审计和安全监控。

4)各单位建设网络信息系统时缺乏后期安全维护方案。缺乏更深入的系统安全备份机制,有效的系统恢复机制,遇到突发信息安全事故不能及时恢复网络信息系统的正常运行。

5)网络信息安全系统建设缺乏整体规划,个别单位是为了上系统而上系统,很多单位对各自的网络信息系统建设缺乏全面、深入、细致的安全体系规划和研究。网路信息安全基础设施建设发展也不平衡,设备缺乏统一性, 一些网络信息系统中缺乏足够的网络监控设备,不能及时发现处置外部入侵攻击行为,不能及时排除系统中的安全隐患和故障。

3. 保障民航网络信息安全的主要措施

在建立全行业信息安全防御体系,加大网络信息系统安全工作投入,加快网络信息安全设施建设的同时,还应做好几个方面。

3.1 完善网络信息安全制度,建立网络信息安全行政制度体系

从以前民航实际发生的安全事件来看,绝大多数是由于网络信息安全管理不到位、责任不明确造成的。因此,我们要进一步完善网络信息安全管理责任制,加强管理,明确责任。建立完善行业性质的网络信息安全标准、规范体系,继续加强网络信息安全工作,切实提高民航信息安全水平,逐步建立完善网络信息安全保障体系和防范机制,实行网络信息安全等级保护,分级保护,加大监管力度,建立网络信息安全通报制度。民航还应与国防、公安等机关部门密切配合联系,构建防御功能更强、覆盖面更广的网络信息安全防护体系。

3.2 加强培训建立网络信息安全防护队伍

大力发展民航网络信息安全产业, 密切跟踪国际网络信息安全产业发展动向,加强与国际间的合作交流,积极引进国际先进管理方法和技术, 加快网络信息安全技术与管理人才的培养。进一步增强民航系统网络信息安全意识, 逐步提高网络信息安全技术人员的业务素质和技术水平,打造一支技术全面、管理过硬、能打硬仗,与民航快速发展相适应的网络信息安全技术和管理队伍。

3.3 建立网络信息安全防护体系,通过先进技术手段保障信息系统安全

1)入侵检测和网络监控技术

入侵检测是近年来发展起来的一种防范技术,入侵检测是指通过对网络信息系统的行为、安全日志、审计数据、其它网络信息进行检测,检测到对本网络信息系统的入侵或入侵的企图, 其作用是监控网络和计算机系统是否出现被攻击或入侵。民航企业可以采用入侵检测技术建立入侵检测系(IntrusionDetection System,简称IDS),能同步检测到系统外部的入侵和内部用户的非授权行为,及时发现并报告网络信息系统中未授权和异常现象,对网络信息系统中的恶意行为第一时间发现并做出相应处置。

2)文件加密和数字签名技术

文件加密与数字签名技术是为保障信息系统及数据的安全保密性, 防止机密数据被外部窃取、更改、损坏。文件加密技术是用来防御文件被非法用户打开读取,数字签名技术是保障用户收到的是真正自己所需用户发来的邮件,确保用户的真实性。民航企业网络信息系统可使用文件加密和数字签名技术来保障信息数据的安全、保密、稳定性。

3)身份认证技术

身份认证是在网络信息系统中确认操作者身份的过程。身份认证通过防火墙、VPN、入侵检测、安全网关、安全目录等可以有效的管理网络信息系统的用户数字身份的权限,由于网络信息系统只能识别操作者的数字省份,而身份认证技术可效解决了操作者物理身份和数字身份相对应的问题,给网络信息系统提供了权限管理的依据。民航企业网络信息系统采用几种方式进行身份认证:用户名加口令密码的方式、用户所知道的东西(如印章、证件号码、信用卡号码等);生物特征识别方式(包括指纹、声音、视网膜、签字、笔迹等),基于USBKey 的身份认证可提高系统安全性。

4)运用技术手段建立网络信息安全防护体系

现代攻击入侵方式的多元化, 单纯的依靠防火墙、身份认证、加密文件等手段已经不能满足现实需求,需要构成一个系统化、科学化的网络信息安全防护体系,不仅是单纯的网络运行过程的防护,还包括对网络信息系统的安全评估、系统监测、系统响应、安全监控、应急处置、安全服务、安全培训等方面。在全行业建立网络信息安全备份中心,对信息数据做到更好的保护。

4. 结束语

民航企业网络信息化安全要做到安全与发展并举,要正确处理好安全和发展的关系, 要以安全保发展,在发展中求安全。同时,还要注重管理和技术并重,要坚持管理和技术并重,技术是基础,管理是保障,既要积极采用先进成熟的安全技术, 又要重视安全管理的重要性,通过管理弥补技术上的不足,进行管理和技术并重的综合治理,保障民航网络信息化安全,为实现民航“十二五”规划和民航强国建设的宏伟目标打下坚实基础。

参考文献

第6篇:网络安全技术防护体系范文

【关键字】油田网络 安全防护 防火墙 网络应用

为更快地适应网络发展速度,稳定油田网络发展的现状,在面对新的挑战的同时也会存在壮大自己的机遇,因此做好油田网络的全面发展,需要研发开拓新业务,实现业务转型,在保证油田网络的正常运行的同时,健全安全防护体系,确保实现正常生产管理,防治因管理疏忽或操作失误引发病毒入侵通信网络而造成经济损失。

一、油田网络应用的现状

早在油田网路的初步兴起时,油田网络只注重生产的便捷性,效率高,可实现油田生产各方面的监控,降低了生产成本,但疏忽了整体的开放性,防护意识差,造成整体通信安全可靠性低,如通信协议TCP/IP就存在很大的漏洞,一些服务系统很可能被攻击获得权限,造成网络服务、网络应用程序均存在安全隐患,在黑客看来,一些简单的认证过程或静态密码口令,假冒别的身份可轻而易举的入侵通信通道。其次,许多操作系统缺乏管理及更新,与安全防护管理者缺乏专业管理意识或知识能力有限有关。

二、加强油田网络应用建设

1、操作系统使用正版。盗版系统的特点是系统不稳定性,可能系统本身携带病毒,容易出现瘫痪,其次,盗版系统不可以免费升级,不可预知并处理系统存在的高危漏洞,整个网络不能及时得到保护,此外,造成的运行缓慢,迟钝等现象,对油田视频监控管理非常不利,为企业的安全造成不可预估的损失。因此,杜绝使用盗版体统。

2、加强内网的安全管理,依次为依托制定多种安全管理措施。防火墙技术发展的已经相当先进成熟,但对内部网络的防护几乎没有作用,而信息产业统计信息显示,大约70%的网络攻击来自内网人员,因此,管理好内部网络安全系统是处理好大型复杂网络的最佳途径,善于利用局域网的内网管理系统制定多种油田网络安全管理策略。

3、定期管理重要软件,比如杀毒软件,做好升级更新,性能好的软件才能够起到实时防护作用;一些恶评软件,定期清理流氓软件,能够加快油田网络的运行速度,同时清除了一些占用内存。

三、建立网络安全防护技术

1、应用防火墙技术。防火墙技术是重要的网络安全防护技术。用于加强网络之间的访问权限,如外部网路用户若想采用不合理手段进入内部网络,必须经过防火墙的审核,也因此内部网络资源被安全访问的前提是防火墙技术成熟。防火墙将外部网和内部网隔绝开,处理掉来自外部网的一切有害攻击,守护内部网不被病毒入侵,形成油田网络安全防护的主要环节。此外,防火墙还可以将访问内部网的所有活动进行过滤,审核,剔除不必要的服务或不相干的服务活动,筛选出安全可靠的服务进入内网访问,因此,防火墙也可以详细记录多有访问内网的活动,增加了可疑攻击的分析结果。

2、加强防病毒体系。建立防病毒体系,目的在于控制病毒的传播,病毒的重要发展史是2003年,诸如“冲击波”、“蠕虫王”等病毒飞速发展,瞬时对通信网络的安全产生巨大的威胁。因此我们应当加强系统的病毒侵入管理,做到全方位的防止病毒。首先建立病毒防护体系,制定多层防护措施,每个管理者提高网络安全意识,使用正版的防毒杀毒软件,将网络中脆弱的环节发生病毒攻击的可能杀死在萌芽中。

3、善与应用加密技术。高端的加密技术是保证网络难以被攻破的关键。信息加密技术可以确保网络内部的信息、数据等不被泄露。常用的加密方式有三种,端点加密、链路加密和节点加密,三种加密方式分别实现源端到目的端、网络节点链路和源节点到目的节点的保护。加密技术广为使用的原因在于它可以利用很小的代价实现很大的安全保护作用,其加密方法可达数百种,密钥的算法又分为两种,常规和公钥密码算法,因此做好密钥的管理也是网络系统安全管理的关键。

第7篇:网络安全技术防护体系范文

关键词:校园网络;防御体系;安全

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)26-6379-03

Construction and Analysis of Campus Network Defense System

WU Dong-ni

(College of Computer and Information Science of Kaili University, Kaili 556000, China)

Abstract: With the development of camputer network, the security of network becomes more and more important. Especially for the campus, it is very important that How to defense the influence of unsafty. The paper discusses the the defensive sturcture of campus network that is established on the basis of technology, security technology management and security management, and also discusses its defensive technology.

Key words: campus network; defensive system; security

校园网络的飞速发展,已经成为了校园信息化建设的重要载体,承担了学校教学、科研、办公等日常工作的运行,其安全问题也成为了网络管理者最棘手的首要问题。校园网服务于全校师生,人数多、学生好奇心强、上网时间比较集中等原因,使得校园网络面临着各种各样的威胁。如何保证校园网络的安全,使全校师生拥有健康和谐的网络环境?我们需要构建一个全面的、互动的网络安全防御体系来阻止威胁的侵害。

1 校园网络防御体系的构建

为了保护校园内数据信息资源的安全,一般学校的校园网络在安全方面主要采取了路由器和防火墙进行保护。通过相应的端口设置,可以对内部数据包进行过滤从而达到安全的性能。但是这种防御比较单一,面对千变万化的黑客攻击手段,校园网络更加需要一套全面的、互动的防御管理体系。

1.1 校园网络防御体系的结构

网络信息安全的保护主要有三个基本的要素,即检测,响应和防护[1]。检测是及时发现各种入侵攻击行为。响应是在发现入侵行为之后,及时的切断入侵、抵抗攻击者的进一步破坏活动而做出的反击行为。防护是对网络信息的保护,使之免受黑客的攻击。同样,校园网络信息的安全也少不了这三个要素,可以通过采用IDS入侵检测系统进行信息数据检测,人工控制做出相应的阻断、扫描等响应,通过防火墙进行网络安全的保护。基于此思想,校园网络防御体系结构主要由3个层次组成,即:物理安全层、安全技术层和安全管理层。见图1所示。

物理安全层是网络安全的基础,主要是指防盗、防火、防静电、防雷击和防电磁泄漏等方面[2],目的是保障网络设备的安全。安全技术层是保证网络安全的核心,涉及到的网络管理技术有防火墙、入侵检测系统、漏洞扫描及防病毒技术,通过各种技术的互动、合理的应用来保护校园网的安全。安全管理层针对的是人员的管理,主要是由管理者对网络设备、突发事件及网络运行的管理,使之最有效的保障校园网的安全。

1.2 校园网络防御体系的实现过程

校园网络防御体系结构涉及到防火墙、入侵检测、漏洞扫描、数据备份与恢复等网络安全技术。通过这些技术的相互补充和协调工作,建立一个联动的、动态的多层自防御体系,使网络安全的性能达到最优。各系统之间既能互动、又能保持相互的独立。各种安全管理技术对网络安全的具体实现方案见图2。

第一道安全防线采用防火墙来阻止来自网络外部的攻击和入侵。防火墙是不同网络或网络安全区域之间信息的惟一出入口,它可根据网络的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。防火墙的各个端口可以通过不同的配置来进行改变,可以基于不同的策略定义不同的路由,并且防火墙本身没有操作系统,消除了操作系统本身级别上的安全漏洞问题。防火墙通过相应的设置可以保证基本服务的数据包通过,对于未知的、存在隐患的数据包则可进行禁止。设置为:[3]WWW端口为80,采用TCP或UDP协议,eth1=>允许所有来自Intranet的WWW包,eth0=>仅允许目的为内部网服务器的WWW包;ftp端口为21,ftp-data端口为20,均采用TCP协议,eth1=>允许所有来自Intranet的ftp、ftp-data包,eth0=>仅允许目的为内部ftp服务器的数据包;telnet端口为21,采用TCP协议,eth1=>允许所有来自Intranet的telnet包,eth0=>仅允许目的为bbs服务器的包;Smtp端口为21,采用TCP协议,eth1=>允许所有来自Intranet的Smtp包,eth0=>仅允许目的为email服务器的smtp请求等等的相应设置。因此,防火墙作为网络安全的第一道防线,从一定程度上可以解决网络安全存在的问题,但是防火墙并不是万能的,防火墙是一种被动的访问控制设备,而且提供的是安全区域的周边防护,只能对网络出入口的数据信息进行控制,所以,单一的防火墙是无法保障网络内部的安全。

第二道防线由入侵检测系统组成。入侵检测是一种动态的安全防护技术[4],该系统通过在网络和主机系统中主动寻找入侵行为并告警,从而提供对内部攻击、外部攻击和误操作的实时控制,它可以作为防火墙的合理补充,入侵检测技术能够帮助防火墙对付网络上存在的攻击行为,对系统管理员的安全管理能力进行扩展。入侵检测系统与防火墙进行互动,比如有一个攻击行为nmap扫描,它没有被防火墙阻断,就会扫描内部主机端口,寻找目标主机存在的漏洞,一旦发现漏洞就会进行下一步的攻击行为。与防火墙进行互动的入侵检测就能检测到跳过防火墙的nmap扫描攻击,从而自动修改防火墙的存取规则,来拒绝这个nmap扫描攻击。在互动之前,两者需要先定义设置好端口,互相配置对方的IP地址,防火墙以服务器的模式运行,IDS以客户端的模式运行。这是实现网络动态性安全的关键。

第三道防线由漏洞扫描系统构成。目的是定期扫描系统,检查并补上系统漏洞。从而减少攻击行为成功的可能性。利用漏洞扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描,系统管理员还可以了解网络系统中存在的不安全的网络服务等。

第四道防线是防病毒技术。网络安全的保证,需要建立一个有效的病毒预防和查杀机制。在网络中部署分布式、网络化的防病毒系统,管理人员可以从中心位置对整个网络进行实时的病毒查杀,终端用户也能自己进行查杀。具体措施是:在学校网络的中心机房服务器上全部安装杀毒软件,由管理人员负责管理各个主机网点。并且在学校的各个行政部门及教学部门分别都安装杀毒软件的客户端。要保证所有计算机都安装杀毒软件的客户端,不能漏掉一个,防止出现“木桶效应”。

第五道防线由恢复系统构成。为了确保信息的安全性,预防数据信息丢失造成的损害,建立有效的恢复机制是必须的。对服务器和重要数据进行相应的备份,如果系统或数据一旦遭到破坏,网络将会中断、数据将会丢失,此时,我们就可以启动备份的数据,使网络在最短的时间内进行恢复回到正常。因此,为了避免意外情况的发生,一定要做好备份恢复工作,除了操作系统本身提供的一些备份功能之外,还可以选择专业的备份工具,如Veritas的Backupexce和Legato的Networker等。

各个有效的网络安全管理技术之间并不是孤立的,网络的安全需要彼此之间相互的协调进行保护。但俗话说“三分技术,七分管理”,只有安全的网络管理技术是不够的,还需要人员的管理,使各种网络安全管理技术发挥最优的作用。学校需要建立一个安全的管理制度和安全策略来确保学校网络的安全,从管理体制上保证网络安全策略的切实可行。比如,学校成立网络安全管理小组、应急小组,并应有相应的管理职责等。

2 校园网络防御体系防护的模拟分析

为了测试和分析黑客入侵时,校园网络所建立的安全防范体系在防护方面所起的作用,建立了一个模拟测试环境进行分析。在该试验环境中[5],使用防火墙、路由器作为防护工具,IDS作为侦测工具,产品响应及人工响应作为事件响应方式,备份系统作为恢复机制,通过管理平台管理这些产品,以安全政策为指导,以安全管理制度为落实手段,使学校建立的网络安全防护体系发挥作用。在分析中,分别从校园网络受到的外部攻击和内部攻击进行的。

2.1 外部攻击行为的防护性能分析

黑客攻击行为多种多样,这里采用最常见的恶意代码病毒的攻击为分析对象。以尼姆达病毒为例进行分析。

尼姆达病毒是通过电子邮件等方式传播的蠕虫病毒恶意代码。具有感染速度快、扩散面广、传播形式复杂多样等特点,通过系统漏洞、局域网共享、电子邮件和文件等四种途径传播,能感染装有各类Windows操作系统的服务器和个人电脑。

如图3所示,防范体系对尼姆达病毒攻击的防护过程如下:

Step1:如果黑客或者是被利用的用户通过尼姆达病毒来攻击被保护的校园网络中的节点A。

Step2:若该攻击行为被防病毒系统首先发现,就由防病毒系统直接杀掉,将结果报告给管理人员记录(即#,响应过程结束。若尼姆达病毒的攻击首先是被IDS检测到,则会由IDS向管理平台报告攻击警报。

Step3:管理平台受到报警信息之后,会立刻通知防病毒系统查杀节点A上的病毒。

Step4:防病毒系统会对主机A进行病毒查杀,并将处理结果报送管理平台,由管理平台进行记录存档,再将处理的结果信息反馈给IDS。

2.2内部攻击行为的防护性能分析

内部攻击以内部口令攻击为分析对象,通过内部用户或者黑客使用letmein等口令攻击内部节点A为例,防范体系对内部口令攻击的防护过程如下(如图4所示):

Step1:内部黑客使用口令攻击软件从内部对校园中被保护的节点A进行攻击。

Step2:口令的攻击行为首先被节点A上的IDS检测到,然后由IDS向管理平台报告攻击警报信息。

Step3:管理平台在收到节点A的IDS报警信息后,由管理人员根据具体的情况通过内部管理制度的规定进行处理,或者由主机A上的IDS直接阻断该攻击,过程响应结束。

3 结束语

总之,随着学校的不断发展,校园网络务必将日趋庞大,网络环境也更加复杂,面临的网络攻击也更大,因此安全防御体系的建立尤为重要,文中提到的方案基于安全技术层面、安全技术管理层面、安全管理层面组建的防御体系并不是固定不变的,它需要在实践中不断的整合、不断的完善,为学校的教学、科研、服务、生活等活动的正常开展提供一个安全的网络保障。

参考文献:

[1] 石志国,薛为民,尹浩.计算机网络安全教程[M].北京:清华大学出版社,北京交通大学出版社,2008.

[2] 汪婧.校园网络建设及网络安全的研究[D].南昌大学,2009,12.

[3] 祁宏伟.校园网络信息安全保护研究与实现[D].内蒙古大学,2010,6.

第8篇:网络安全技术防护体系范文

关键词:计算机网络;安全防护;计算机安全隐患

引言

随着我国对于计算机网络技术的广泛应用,对于其应用的安全防护设计和实现也逐渐成为当前人们热议的话题。这需要能够系统地针对网络安全技术进行相关探究,并针对当前计算机网络技术的系统安全隐患,构建成熟的防御和管理体系,同时应用相关网络安全知识对存在的安全隐患进行深入剖析,进而构建一套完善的网络安全防御分解体系。

1计算机网络安全防护设计概述

计算机网络是为用户提供所需信息资源服务的一种方式,而计算机网络安全防护主要用于保护相关服务信息的完整性。当前的计算机网络安全防护设计主要是为了更好地保证网络信息的安全。为此,近些年的研究往往将计算机网络安全防护技术的应用与计算机网络的发展直接联系在一起,相关的计算机网络安全防护技术的研究也越来越成熟和完善。例如,无论是近些年提出的区块链加密技术,还是刚刚颁布的密码法,对于计算机网络的安全防护都给予了高度重视。对计算机网络安全的重视能够强化人们的安全意识和计算机网络信息版权意识,同时也有助于增强人们的法律意识,帮助人们更好地掌握计算机网络技术,更好地享受计算机网络带来的便利。

2计算机网络安全防护设计现状

用户的安全意识较差一直是我国计算机网络安全存在的首要问题。由于很多计算机用户缺乏信息安全意识,因此在日常操作中经常由于操作不当引发信息安全问题,如信息泄露、安全信息使用不当、使用环境不安全、使用方式不符合规定等。此外,由于近些年来我国的防护措施水平存在一定的问题,处理网络漏洞时往往会由于技术原因导致监管力度不够、处理不够及时等,直接导致计算机网络出现安全问题。为了更好地发展计算机网络,必须正视存在的这些问题,将网络安全放在关键位置上。

3计算机网络安全防护的设计与实现

针对当前计算机网络安全防护设计的应用现状和存在的问题进行相关解析,本文提出了相关的防护设计与实现策略,以期能够更好地实现相关的网络安全防护设计应用,提高网络技术自身的安全性[1-2]。

3.1增强用户安全意识

用户在使用计算机互联网络时存在基础性应用不足的问题,需要相关的计算机用户操作守则真正发挥作用,或者能够开展对于用户的针对性培训,以便增强用户的安全意识。此外,计算机网络安全监管部门需要加强对用户行为的引导,避免由于没有正规引导导致的用户安全信息问题,同时需要用户能够保证自身网络使用环境的安全,避免在未知环境下进行计算机操作。

3.2加强网络安全管理措施

针对当前计算机网络安全问题较多的现状,我国需要相关的计算机网络安全管理人员能够更好地对当前计算机网络信息技术中存在的安全问题进行有效的安全管理。例如,制定并监督相关网络技术安全规定的执行,网络使用情况的优化和完善,通过强化员工自身的网络应用安全管理意识来优化网络安全。为了更好地优化网络安全管理措施,需要相关的管理人员按照一定的规定执行更有效的监管行为。这对于整个监管部门来说具有重要的意义,需要管理人员能够对网络安全具有更深刻的了解。此外,需要深入规定相关的计算机网络准入标准,避免接入不符合规定的计算机网络,从而减小病毒等不安全因素对网络安全的影响。

3.3重视计算机软件开发人员的培养和教育

目前,我国还需要高度重视对软件技术应用人员的培养和教育,应给予一定的政策和福利支撑,以便培养出更多优秀的计算机网络安全防护人员,促进计算机网络信息技术的快速发展与进步[3]。同时,管理部门和计算机网络开发部门应根据不同的计算机理论,提供针对性的开发课程和安全维护课程,从而提升计算机软件开发人员自身的专业素质和素养。

3.4制定内部监督制度

计算机网络应用部门在监管过程中要做好预防工作,避免由于工作中问题责任不明确而出现不必要的推诿现象。这就要求相关的计算机网络应用管理和维护部门制定完善的内部监督制度,尽量避免由于工作失误造成计算机网络技术产生漏洞。这种内部监督制度能够在一定程度上优化对网络应用的技术管理,从而更好地保障计算机网络的系统安全,同时避免相关的计算机网络隐患。此外,计算机网络技术的内部监督制度能够从内部避免计算机网络的隐患,帮助计算机网络完善安全保障体系,实现优化计算机网络的目标。

3.5强化档案计算机管理的加密处理

计算机加密技术的最大特点在于能够主动防御不法分子入侵。加密技术是将网络数据通过某些特定的算法转换为相应的密文,只有使用相应的算法才能解析出数据信息,是近年来计算机网络技术安全防护的重要措施。许多网络黑客可以通过企业内部的计算机网络入侵企业的数据库,导致企业重要信息丢失或者泄漏。计算机网络加密技术是加密技术在企业内部局域网中的一项重要应用,对计算机网络进行加密可以保证企业内部数据的安全,也能够防止不法分子通过计算机网络进入企业内部,对于企业的健康稳定发展具有重要的作用。此外,相关的管理人员需要针对当前计算机网络存在的漏洞及时进行修复,避免由于相关漏洞导致系统性的风险。

第9篇:网络安全技术防护体系范文

在互联网环境下计算机网络安全越来越受到重视,本文介绍了计算机网络安全的相关概念,并对目前网络安全防护现状分析了网络安全技术发展的趋势。

【关键词】网络安全 技术 发展趋势

在网络信息建设快速发展的现实情况中同时带来了一系列的网络安全问题。计算机网络信息技术给人们生活工作提供了很大的方便,但是网络信息被盗取破坏的安全问题给人们带来了很大的烦恼,因此提高网络技术防护水平有着重要的意义。

1 计算机网络安全相关概念

保护计算机系统正常运行,网络系统中的软件、硬件和数据不被恶意攻击或其他因素破坏、修改或者遗失是计算机网络安全的主要内容。其中包括网络数据在没有经过授权的情况不被改变,信息在传输过程中确保信息的完整性而不会被破坏或丢失;保护信息不被未获得权限的计算机截取或使用;能够对信息传播进行有效控制等。

但是计算机网络安全问题时有发生,其中影响网络安全的因素有很多:

(1)网络系统设计问题,网络设计问题可导致网络安全问题的发生,由于网络系统在设计中缺乏全面的考虑和规范地设计,因此会出现安全漏洞,并且导致网络系统的拓展性不强。

(2)网络硬件配置问题,网络系统的质量会极大程度上受到网络中枢企业服务器的影响,其服务器运行是否稳定以及功能是否完善都决定了网络系统质量水平;另外,如果在网卡的选配上使用不当也会导致网络不稳定现象。

(3)网络安全策略不够严密,网络安全策略是网络安全计划实施前的准备或者是对计算机网络安全防护设置具体行动。但是在网络防火墙设置中往往会因为扩大了访问权限,导致不法人员对网络系统的恶意破坏。

(4)局域网安全问题,局域网常常用来局域内计算机之间的联系和资源共享,它共享数据的开放性也导致了信息容易被无意或有意的篡改,因此局域网也给网络安全性制造了麻烦。如果在局域网中设置访问控制配置,一定程度上可以提高安全性,但是其设置比较复杂,并且还会给别人提供可乘之机

2 计算机网络安全技术发展趋势

网络安全控制技术主要集中在防病毒、防火墙以及入侵检验这三项技术中。这三项技术的研发和使用给网络环境提供了安全保障,但是随着网络环境不断复杂化,上述三项技术在目前水平整体技术框架中仍显得不足。为了提高网络系统的安全性,强化这三项的防护能力是计算机网络安全技术的主要发展趋势。

2.1 防火墙技术发展趋势

当今的防护墙技术水平以及产品都不是很成熟,在防护网络安全上存在一定的缺陷,使得客户的需求得不到满足,用户的需求是防火墙技术不断向前发展的动力,所以在以后的防火墙技术发展中提高它的安全性能,提高处理速度以及丰富功能是它的主要发展方向,这些技术特点中创新是关键性因素,只有加大技术创新的投入才能使得防火墙技术更加稳定地快速发展。目前各大安全防护软件在防火墙技术性能研究方面主要集中在它的易用性、实用性以及稳定性上深入探讨。防火墙技术会随着网络环境形势变化而发展,并逐渐获得用户更大的好感。防火墙技术在算法和技术方面取得了较大的成就,但是防火墙技术如果被应用到计算加速和应用层性能分析方面,就能扩大服务功能为用户网络系统应用层进行安全保护,因此对芯片加速问题和对深度内容过滤的内容研究,是防火墙技术发展的重要突破口,也是防火墙技术的创新之处,网络安全公司应该着力致力于这项技术的研究从而破解如今网络安全问题形势严峻的问题。

为了面对当前网络安全问题的挑战,就要建立起基于不同架构的功能防火墙,为促进我国网络安全环境进一步努力。想要达到这个目的就需要相关部门和研究人员投入更大的物力和财力进行研究,总之防火墙技术在环境的推动下会更具有人性化和可靠性。

2.2 入侵检测技术发展趋势

入侵检测技术的工作原理是:通过搜集、分析多方面的信息对系统进行检测,检测内容包括系统是否被攻击以及有无违反网络系统安全策略的行为。以后的入侵检测技术发展主要借助两种手段对系统进行检测。

(1)安全防御检测,通过运用网络安全风险管理体系中整体工程措施对网络安全管理问题进行全方面的处理,包括对加密通道、防火墙以及防病毒等方面对网络结构和网络系统进行全方位的检查和分析,工程风险管理体系再生成可行的解决办法解决入侵问题。

(2)智能化检测,智能化监测手段是未来提高入侵检测技术发展水平的突破口之一。目前,常用的智能化检测方法主要是采用免疫原理法、模糊技术法以及神经网络手段等,特殊问题下还会用到遗传算法,通过上述方法加强对泛化入侵的辨识。其智能化检测手段仍有很大的发展空间。

2.3 防病毒技术发展趋势

提高防病毒技术发展水平主要是提高相关技术对网络系统病毒的查杀率,在未来的防病毒技术产品中其发展趋势主要集中在反病毒和反黑有机结合方面以及从入口处拦截病毒。威胁病毒和黑客是网络安全的两大真凶。在以后的技术研究中能够更好的实现用户根据实际需求进行智能扫描。在入口处拦截病毒是防病毒的根源之处,目前有很多生产商正在研发相关软件和程序研发,将防毒程序和软件直接配置在安全网关上面。

3 结语

计算机网络安全技术在维护用户利益和国家机密安全有着不可替代的作用,随着网络环境的不断复杂化,提高网络安全防火墙技术、防入侵技术以及防病毒技术是当前解决网络安全问题的重要手段。

参考文献

[1]李峰.计算机网络安全技术及其发展趋势[J].知识经济,2013(10).

[2]韩永生.当代计算机信息网络安全技术及未来的发展趋势[J].中国教育技术装备,2012(33).

[3]温爱华,张泰,刘菊芳.基于计算机网络信息安全技术及其发展趋势的探讨[J].煤炭技术,2012(05).

作者简介

王圣蓉(1984-), 女 ,黑龙江省哈尔滨市人。 大学本科学历。现为黑龙江省机场管理集团有限公司经理助理。研究方向为办公自动化系统的研究。

相关热门标签
相关文章阅读
精选范文推荐
相关期刊推荐