网络安全的完整性篇1
关键词:计算机;网络安全;防御技术
信息技术的产业化发展已经成为世界发展的趋势,也是市场竞争的热点,我国正处于信息高速发展的时期,信息资源是社会发展最大的财富。计算机网络的推广与应用,对社会的整体发展来说,既是机遇也是挑战。它像一把双刃剑,不仅推动了社会的发展与进步,其本身存在的网络安全问题也促成了进一步建构网络安全体系的重大难题。由此可见,在网络安全管理方面,一方面,要以更加严谨、合理的安全防御技术为基础保障,确保计算机网络的安全应用;另一方面,要树立计算机网络安全防御系统的权威性、科学性和严谨性,为计算机网络安全运行提供可靠的技术保障。
一、计算机网络安全的特征分析
(一)真实性与可靠性
网络安全的真实性主要是针对用户而言的,是指授权用户身份信息的真实性。真实性主要是为了避免网络环境中冒名顶替制造虚假信息的现象发生,因此,对网络用户的实体身份信息进行鉴别是真实性需要解决的重要问题。网络安全的可靠性是指网络系统在特定的条件和时间内完成特定任务、功能的特征,这是计算机网络系统安全最基本的要求,也是建构计算机网络安全防御技术结构的基本目标。
(二)保密性与完整性
保密性与完整性是计算机网络信息安全保护的重要任务,是保障计算机网络安全的重要途径。保密性是指在计算机网络运行过程中保证机密信息不被泄露给非授权用户的过程,保证只有网络授权用户才能接收、使用信息,并确保在这个过程中,信息不会被窃取和非法共享等。完整性是指在计算机网络运行过程中保证重要信息不被恶意篡改的过程,保证网络信息在存储、传输过程中不被改变、破坏或丢失。完整性要求保持网络信息的正确生成、正确存储和正确传输,它是面对网络信息的整体而言的。保密性与完整性相辅相成,共同保护计算机网络信息的安全。保密性要求网络信息不被泄露给未授权使用的人,而完整性则要求网络信息不受到其他外界因素的干扰和破坏。
(三)可控性与占有性
网络安全的可控性主要是指对网络信息传播、运行的控制能力,它对计算机网络安全起到十分重要的把关作用。可控性要求杜绝不良信息通过网络发散、传播,避免造成不良的影响,危害网络环境的持续、稳定运行。网络信息安全的占有性是指授权用户有权利享受网络信息服务,即网络信息可被授权用户访问、存储、使用的特性。占有性是计算机网络信息安全系统面向授权用户的特殊性能,一方面,计算机网络系统的基本功能就是向授权用户提供信息服务;另一方面,网络用户的需求是多种多样的、随时随地的。因此,网络信息安全的占有性是相对于计算机网络功能而言的、要求人性化服务的重要特征。
二、计算机网络安全存在的隐患
网络本身具有很强的开放性和共享性,这为网络黑客恶意破坏信息安全提高了良好的契机。网络信息的安全防护要求杜绝不良信息通过网络发散、传播,避免造成不良的影响,危害网络环境的持续稳定运行。计算机网络的普及应用为人们提供了极大的便利,与此同时,信息化带给人们的网络安全威胁也日益严重。比如网络数据的窃取、网络黑客入侵、网络病毒等不安全因素严重威胁着网络信息安全,不利于计算机网络积极健康地发展。网络信息具有很高的复杂性,增加了网络安全管理的难度,这也是网络安全管理过程中亟待攻克的难题。计算机网络安全管理人员对整个计算机网络的安全性起着至关重要的作用,目前我国的计算机网络管理者在安全管理意识上存在一定的缺陷,对计算机网络的安全管理不够完善。计算机网络结构逐渐复杂化,其对网络安全管理人员的综合素质的要求也越来越高,如果网络安全管理人员的安全管理意识不高、安全管理操作不当、安全设置不合理,都会对计算机网络的整体安全产生不可忽视的影响。网络信息的高密度聚集性是计算机网络安全面临威胁的主要特征,高密度的信息往往更具有社会价值,同时也具有更大的风险,因此其安全性更易遭到威胁。计算机网络安全是一项系统的工程,因此要把计算机网络安全防护作为一个整体来看待。一方面,我国的计算机网络缺乏核心软件技术,整个信息网十分脆弱,具有易窃听、易打击的特点。核心软件技术的缺乏在很大程度上降低了我国计算机网络的安全性能。另一方面,我国的计算机网络结构不安全,网络安全性能低、网络安全系统缺乏稳定性,不规范、不合理、不安全的网络系统设置大大降低了计算机网络的安全性能。
三、构建计算机网络安全防御体系的决策分析
信息技术的高速发展与应用,使得人们对于网络安全的关注度日益提高,信息技术在不断发展,网络安全的内涵也在不断延伸,因此,在网络安全管理方面要以更加严谨、合理的安全防御技术为基础保障,确保计算机网络的安全应用。网络安全防御,不仅仅要保证信息的完整性、保密性、真实性以及可控性等这些基础因素,还要转换思维,结合不同的安全保护因素,建构一个更权威、更有效、更严谨的综合网络保护屏障,大大减少恶意的网络信息攻击。构建合理高效的计算机网络安全防御体系应从以下六个方面着手,有效保障计算机网络安全运行。
(一)科学预警
计算机网络安全防御技术的目的在于“防患于未然”,在保护计算机网络安全的过程中具有预见性的重要意义。科学预警是实施网络安全防护的首要前提,它能通过对整个网络环境以及网络安全性的分析判断为网络信息安全保护提供精确、科学的评估和预测。精确的网络安全预警大大降低了网络信息安全的风险性,提高了计算机网络安全保护的效率,确保了网络安全防护工作的顺利施行。预警是建构计算机网络安全防御技术结构的首要环节,它的作用意义重大。
(二)安全防护
计算机网络安全防护是提高计算机网络安全性能、防范恶意入侵的积极防御手段,它主要是通过建立一种机制来检查系统的安全设置,通过弥补安全漏洞来降低网络信息的风险。计算机网络安全防护是一种手段,它的目的是确保整个计算机网络安全防御技术结构中的每一个组成部分之间都能顺利完成相互间的配合,顺利完成网络安全保护的终极任务,确保网络安全防护工作的顺利施行。
(三)积极检测
检测是保证及时发现网络入侵行为的重要手段,是为响应提供可能的关键环节。它是通过对检测系统实施隐蔽技术,以防止入侵者发现防护措施并且破坏监测系统的一种主动反击行为,它能够为系统响应提供有效的时间,减少损失。有效检测可采用与防火墙互联互动、互动互防的技术手段,形成一个整体策略,并且设立安全监控中心,便于掌握整个网络的安全运行状态,这是有效防止入侵的根本途径,也是建构一个更权威、更有效、更严谨的综合网络保护屏障的根本措施。
(四)及时响应
响应是指在网络安全防护过程中,发现恶意破坏行为之后,及时反击入侵,避免更大程度破坏行为发生的防护措施。在发现不利于网络安全的入侵行为后,及时作出准确的响应是必不可少的,它是减少网络信息损失、保障各方面利益的重要保护屏障。现如今运用最好的系统响应包括有:实时响应阻断系统、攻击源跟踪系统、取证系统和反击系统。通过运用这些辅助工具来确保响应的准确实施,有效预防黑客入侵,提高网络安全系数,为网络安全提供可靠保障。
(五)有效恢复
任何严密的防御技术都很难做到万无一失,因此,恢复在网络安全防范体系中就显得至关重要。恢复是一种事后弥补行为,它通过使用完善的备份机制以及高端的技术手段确保重要信息的可恢复性,避免重要的信息丢失,损害经济利益。有效恢复借助自动恢复系统、快速恢复系统来控制恶意破坏行为,将网络信息的风险规避至最低,保护计算机网络的安全运行。
(六)适时反击
反击,是网络安全防御过程中必不可少的防护手段,它主要是依据高端技术搜索网络黑客等犯罪分子的作案线索和证据,以便于依法查办犯罪分子,打击网络恐怖主义的犯罪行为。在虚拟的网络数字化空间中,网络用户身份的真实性是亟待证实的,在网络环境中查找犯罪人无疑像大海捞针,因此需要大力发展相应的取证、举证、、打击等技术,运用相关的数字化设备进行数据修复等一系列的求证分析活动。适时反击是计算机网络安全的权威性手段,是为了重重打击网络入侵分子的破坏行为的一种惩处措施,这一措施有利于大大减少恶意的网络信息攻击,树立计算机网络安全防御系统的权威性、科学性和严谨性,为计算机网络安全运行提供可靠的技术保障。
四、总结
互联网信息的快速发展,使得信息化程度成为衡量一个国家综合发展能力的重要标志,也成为了各个国家在世界市场竞争中的重要技术工具。计算机网络安全是保证网民信息安全的关键,网络安全防御技术作为计算机网络安全的重中之重,是保障计算机网络应用各个领域利益的重要环节。在网络安全管理方面,一方面,要以更加严谨、合理的安全防御技术为基础保障,确保计算机网络的安全应用;另一方面,要树立计算机网络安全防御系统的权威性、科学性和严谨性,为计算机网络安全运行提供可靠的技术保障。本文主要研究分析了计算机网络安全防御技术结构,旨在立足于网络发展的整体,保证网络系统各个环节的安全,为建立可靠有效的计算机网络安全体系奠定坚实的理论基础。
参考文献:
[1]李先宗.计算机网络安全防御技术探究[J].电脑知识与技术,2015,21:33-35.
[2]朱玉林.计算机网络安全现状与防御技术研究[J].信息安全与技术,2013,01:27-28+56.
[3]吴亚洲.计算机网络技术的应用及安全防御探究[J].电脑编程技巧与维护,2015,01:93-94.
[4]汤勇峰.计算机网络安全的现状和防御技术[J].电子技术与软件工程,2014,23:223.
[5]欧阳心成.对我国计算机网络安全现状与防御技术的研究[J].通讯世界,2015,22:55.
[6]何吾明.计算机网络技术的应用及安全防御探究[J].经营管理者,2011,21:301.
网络安全的完整性篇2
无线网络在网络协议中规定的安全体系主要是wap中规定的应用。主要是保障数据通信在保密性、真实性、完整性以及不可否认性四个属性中的安全。保密性主要是从数据加密技术上来进行保障与防御,保密性是为了确保个人隐私不被截取或者中间阅读,通过强密码加密明文致使明文不可能被别人截取,除非在接受者能够获取口令的情况下,否则密钥保护足以抵挡被入侵的风险。为此,无线网络安全体系必须保障加密系统在理论上是不可攻破的,其次是在实际操作中也是不可攻破的。系统不能依赖于自身密码的保护,而应该依赖于密钥的保护,否则当前的黑客软件配上密码表通过最笨的方法也能够不断的测试出其中的密码设计;真实性是用来确保信息人的身份内容,它同样是一种技术,是为了在无线网络应用中确定对方同样为身份识别人的一种要求;完整性相对于安全体系来说是要确定所接收的数据是原始的,完整的,在其数据传输过程的中间环节没有被修改过。
通过数字签名等技术制约可以降低完整性不足的风险,在大多数的网络攻击情况下,完整性的重要意义甚至高于保密性,这说明一个问题,我们所保密的不一定的完整的,而完整的起码是保密的;不可否认性的意义在于强调认证系统的安全性,即整个安全系统的认证是无法被篡改的,考验这种安全性的内容主要有,确认信息的不可更改性和不能抵赖性,接受者能通过验证并合法,其他人无法更改和否定信息等内容。除了数据通信的安全性外还需要无线网络的安全性保障与防御,即无线传输层的安全保障。无线传输层的安全保障(wirelesstrans-portationLayerSeeurity)主要包括无线传输层的规范、无线传输层的结构、真实性、密钥交换、完整性与保密性。无线传输层通过安全连接来保证层级规范协议的有效性,通过将客户与整个安全网络的连接来保障协议的实现。通过控制网关使用参数的可能性,确保数据的安全。
协议规定要求双方安全协商,只有本区域的网络代表才能够有资格进入协商层级,从而在虚拟的结构中实现了有线网络式的单线单网。客户与网络两个终端间也能够有效的互相验证。无线网络的结构是一个层级协议,握手、报警、密钥交换以及应用使得结构趋于完整。无线网络中的真实性是通过网络证书来实现的,通过网络证书的交换,实现了应用网络中的真实性确认;无线网络中的完整性则是通过信息验证程序来进行维护和保障,通过不同的计算方法来实现网络完整;无线网络中的密钥交换是一个关键步骤,是无线网络安全性的一个具体保障措施,首先是Server发送一个Server密钥交换信息,通过计算的方式转移到客户层面,客户也通过相应的的计算机辅助计算来实现密钥的交换,双方互相验证,获得通关密码的生成;最后,主密码通过20字节的序号加诸于计算公式中得到保密性验证。这便形成了一系列的无线网络安全定制,从而有效的保障的无线网络数据传输的安全保卫与防御工作。
网络安全的完整性篇3
[关键词]档案信息网络安全;目标;策略
一、档案信息网络安全的重要性
网络的共享性、开放性特征决定了网络系统的脆弱性。网上信息在处理、存储、传输和使用过程中存在严重的安全隐患,很容易遭受各种不安全因素的破坏。安全问题已成为制约网络发展的巨大障碍。统计资料显示,目前黑客在网上的攻击活动每年以10倍的速度增长,计算机病毒的种类以几何级数倍增,活体病毒已达多种。
网络安全问题已引起我国政府和专家的高度重视。至今,我国已制定出一系列计算机网络安全的法规制度,成立了网络安全产品测评中心等网络安全机构,提出了国家信息安全的总体战略和系统规划。但是,由于我国网络技术落后于西方,网络安全形势更加严峻。因此,进一步提高网络安全意识,跟踪世界信息技术发展趋势,构筑技术先进、管理有效、安全可靠,建立在自主研究开发基础之上的国家信息安全体系,已成为我国信息技术界和信息管理界的当务之急。
档案信息不同于一般信息,它记录着党和国家事务活动的历史过程。档案中有相当部分涉及国家机密,关系国家安全,包含国家政治、经济、科技、军事、文化等方面的敏感信息,具有较强的机密性和利用限制性。这些信息一旦泄密或被非法利用,将威胁到国家的安全,损害公众的利益,危及社会稳定。因此,这些敏感档案信息必须通过种种安全措施严格限制于内部局域网中的授权名使用。即便非敏感性的开放档案,对外籍人士提供利用仍有种种限制,上网传送仍需谨慎处置。
二、档案信息网络安全的基本要求
档案信息网络安全应包括网络运行安全和网上信息安全两项基本要求。所谓网络运行安全是指档案信息网络的硬、软件系统设计合理,运行正常,网络人员操作规范、管理严密,整个网络系统能够按照设定的要求正常运转,发挥预定的各项功能。网络运行安全是网上信息安全的基础,也是正常开展网络化档案工作和网络化档案服务的必然要求。
网上信息安全是档案信息网络安全的核心内容,也是档案信息网络化建设的前提条件。网上信息安全是指网络中档案信息的存储安全和传输安全,即在保管利用网上档案信息过程中维护档案信息的真实性、完整性、保密性和有效性。
其一,要维护网上档案信息的真实性。所谓档案信息内容的真实,是指网上数字化档案承载的信息确实是文件正式生成时的记录,而无论该记录的形式已作何种变换。传统档案学理论强调:档案文件必须具有原始性,即必须是原生载体和原真内容,以确保档案文件的历史凭据价值。这一原始性要求对数字化文件必须作适当让步。因为,网络环境中数字化档案的存在和显现形态在其生命过程中不断变换,其信息内容是完全游离于其记录方式与载体形式之外的,网络环境中强调数字化档案载体的原生变得毫无意义。网上信息的流转,其实质正是信息载体的灵活变换。在失缺载体原生性的情况下如何确保网上档案信息的原真,是一个极具挑战性的课题,它对于维护网上档案文件的档案属性及其法律地位具有至关重要的意义。
其二,要维护网上档案信息的完整性。维护档案信息的完整性包括四层含义:一是信息内容的完整性。网上数字化档案文件的存储、流转过程极其复杂,在经过众多环节,跨越相当长的时空隧道后其内容信息极易因主客观原因而发生偏差,因而,必须从技术和管理两个方面入手,通过严格的管理控制机制和完善的技术措施来确保网上档案内容的完整,防止档案内容上的失真。二是文件集合的完整性。有机联系同样是数字化档案的基本特征。网上档案信息的存储和传播,必须维护文件之间这种内在的有机联系,反映出档案文件的“原有次序”,以防止档案整体价值的丧失。例如,通过建立相关文件之间的标识信息来反映文件之间的关系,维护文件集合的完整性。三是文件背景信息的完整性。文件产生的原因、责任机构、运作的过程、生成的技术状况等都是对文件价值至关重要的背景信息,这些背景信息对于判断内容极易失真的数字化档案的原生性来说,显得至关重要。背景信息应视作数字化文件的一个有机组成部分,需要在文件的整个生命周期意采集并妥善保存。四是元数据的完整性。元数据是数字化档案文件可读性和恢复原貌所需的数据。其重要性是不言而喻的。由于元数据在文件运行过程中并不直接显现,因而极易被忽视,重视元数据的采集,乃是档案信息网络化管理的基础性任务。
其三,要维护网上档案信息的保密性。泄密是指文件信息被未授权者非法获取并破解。开放性是网络的固有特征,这一特征与档案文件的保密性特征相背离。网络环境下,处于游离状态的数字化文件极易泄密,这也是部分档案专家将数字化文件排除在档案范围之外,并对档案信息网络化持谨慎态度的原因。保密性是档案文件的一个重要特征,只有将网络环境下信息失密的可能性降至最低,数字化档案才可能逐步取代传统文件,在网络环境下人们普遍接受。维护网上档案信息的保密性,是计算机界和档案界面临的共同课题。
其四,要维护网上档案信息的有效性。有效性是指网上数字化档案信息始终处于可能且便于利用的状态。这是对数字化档案的特定要求。以数字化形式存在的网上信息,具有对其生存环境的直接依赖性。因此,在网际共享时如何确保不同生成环境下档案信息的可用性,尤其是异种网络信息的“透明化”共享,是信息网络建设的重要课题。同时,网络技术的推陈出新,计算机软硬件环境的频繁升级,意味着数字化档案信息生成、显现环境的变更,由此也带来了技术环境的“迁移”问题及对档案信息有效性的维护要求。此外,数字化档案信息及其载体所具有的易逝、易变、易失等不稳定性质,都对档案信息利用中的可读性、法律上的可证性、保管上的长久性提出挑战。档案信息网络的安全保障体系必须以档案信息安全为中心,档案信息网络的运行安全应服务并服从于网上档案信息的安全。
参考文献:
网络安全的完整性篇4
关键词:县级电力企业;信息网络安全;安全策略;防病毒
中图分类号:tp393.08文献标识码:a文章编号:1007-9599(2012)15-0000-02
1前言
随着信息化时代的到来,企业内部的信息化和网络化的应用逐渐广泛。电力行业作为国民经济的重要组成部分,电力已经在人们的正常生活中不可缺少。电力系统的是否安全可靠,关系着国民经济的发展,更影响着人们的日常生活。然而电力企业信息网络的发展还不健全,尚存在很多安全问题。这些问题正是黑客和病毒入侵的目标。县级供电企业是整个电力企业的基本单位,只有保证县级供电企业信息网络的安全,才能使整个电力行业正常的运行,因此对其信息网络安全的研究受到越来越多的关注。
2信息网络安全概述
信息网络安全是指运用各种相关技术和管理,使网络信息不受危害和威胁,保证信息的安全。由于计算机网络在建立时就存在缺陷,本身具有局限性,使其网络系统的硬件和软件资源都有可能遭到破坏和入侵,严重时甚至可能引起整个系统的瘫痪,以至于造成巨大的损失。相对于外界的破坏,自身的防守时非常艰巨的,必须保证每个软件、每一项服务,甚至每个细节都要安全可靠。因此要对网络安全进行细致的研究,下面介绍其特征:
2.1完整性
主要是指数据的完整性。数据信息在未经许可的情况下不能进行任何修改。
2.2保密性
未经授权的用户不能使用该数据。
2.3可用性
被授权的用户可以根据自己的需求使用该数据,不能阻碍其合法使用。
2.4可控性
系统要能控制能够访问数据的用户,可以被访问的数据以及访问方式,并记录所有用户在系统内的网络活动。
3我国县级供电企业信息网络系统安全存在的问题
3.1网管技术水平低
县级供电企业的网络系统采用的防毒软件与上级企业的不统一。有些采用单机版的防毒软件,然而这种软件对如此庞大的信息网络防护能力有限,并不能达到应用的保护作用;有些采用专业的安全产品,但相关的技术人员没有相应的技术,不能很好地运用这些软件,使其不能发挥保障网络安全的作用,系统网管的技术水平有待提高;有的企业甚至没有部署相关的安全产品,更不能保护网络安全。这些都要求提高系统网管的技术水平。无论是在维护网络系统硬件设施,建立和更新数据信息,还是在系统遭到威胁时及时地进行防护,都需要相应的技术作为支撑。
3.2系统设备和软件存在漏洞
网络系统的发展时间很短,因此其操作系统、协议和数据库都存在漏洞,这些漏洞变成为黑客和病毒入侵的通道;存储介质受到破坏,使系统中的信息数据丢失和泄漏;系统不进行及时的修补,采用较弱的口令和访问限制。这些都是导致信息网络不安全的因素。网络是开放性的,因此非常容易受到外界的攻击和入侵,入侵者便是通过运用相关工具扫描系统和网络中的漏洞,通过这些漏洞进行攻击,致使网络受到危害,资料泄露。
3.3制度不完善
目前对于信息网络的建立,数据的使用以及用户的访问没有完善的规章制度,这也导致了各个县级供电企业信息网络系统之间的不统一,在数据传输和利用上受到限制。同时在目前已经确立的信息网络安全的防护规章制度的执行上,企业也不能严格的执行。
4提高网络安全方法
4.1网络安全策略
信息网络是一个庞大的系统,包括系统设备和软件的建立、数据的维护和更新、对外界攻击的修复等很多方面,必须各个细节都要保证安全,没有漏洞。然而很多供电企业,尤其是县级企业并没有对其引起足够的重视,只是被动地进行防护。整体的安全管理水平很低,没有完备的网络安全策略和规划。因此要想实现信息网络的安全,首先需要制定一个全面可行的安全策略以及相应的实施过程。
4.2提高网络安全技术人员技术水平
信息网络的运行涉及很多方面,其安全防护只是其中一部分,因此在网络安全部分要建立专业的安全技术队伍。信息网络中的一些系统和应用程序更新速度不一致,也会造成网络的不安全。一般企业的网络管理员要兼顾软硬件的维护和开发,有时会顾此失彼,因此要建立更专业的安全技术队伍,使信息网络的工作各有分工,实现专业性,提升整体网络安全技术水平,提高工作效率。
4.3完备的数据备份
当信息网络受到严重破坏时,备份数据便发挥了作用。不论网络系统建立的多完善,安全措施做得多到位,保留完备的备份数据都是有备无患。进行数据备份,首先要制定全面的备份计划,包括网络系统和数据信息备份、备份数据的修改和责任人等。备份时要严格按照计划进行实施。还要定期的检查备份数据,保证数据的完整性和实时性。同时网络管理人员的数据备份和恢复技术的操作要很熟练,这样才能保障备份数据的有效性。
4.4加强防病毒
随着网络技术的发展,网络病毒也越来越多,这些病毒都会对信息网络造成或多或少的危害。防病毒不仅需要应用专业可靠的防毒体系,还要建立防火墙,屏蔽非法的数据包。
对于防毒,在不同的硬件上要安装相应的防毒程序。例如工作站上应该安装单机的防毒程序;主机上则安装主机防毒程序;网关上安装防病毒墙;而这些不同的防毒程序的升级可以通过设立防毒控制中心,统一管理,由中心将升级包发给各个机器,完成整个网络防毒系统的升级。这样有针对性的防毒程序能更有效的进行病毒防护。
防火墙可以通过检测和过滤,阻断外来的非法攻击。防火墙的形式包括硬件、软件式和内嵌式三种。内嵌式防火墙需要与操作系统结合,性能较高,应用较为广泛。
5具体措施
5.1增强管理安全
在网络安全中管理是最重要的,如果安全管理制度不完善,就会导致正常的网络安全工作不能有序实施。信息网络的管理包括对网络的定期检查、实时监控以及出现故障时及时报告等。为了达到管理安全,首先,要制定完整详细的供电企业信息网络安全制度,并严格实施;其次,对用户的网络活动做记录并保存网络日志,以便对外部的攻击行为和违法操作进行追踪定位;还应制定应急方案,在网络系统出现故障和攻击时及时采取措施。
5.2网络分段
网络分段技术是指在网络中传输的信息,可以被处在用以网络平台上其他节点的计算机截取的技术。采用这种技术可以限制用户的非法访问。比如,黑客通过网络上的一个节点窃取该网络上的数据信息,如果没有任何限制,便能获得所有的数据,而网络分段技术则可以在这时,将黑客与网络上的数据隔离,限制其非法访问,进而保护了信息网络的安全。
5.3数据备份
重要数据的备份是网络安全的重要工作。随着网络技术的迅速发展,备份工作也必须要与之一致,保证实时性和完整性,才能在出现紧急问题时发挥其应有的作用,恢复数据信息。整个庞大的信息网络,备份的数据量也是很大的,要避免或减少不必要的备份;备份的时间也要恰当地选择,尽量不影响用户的使用;同时备份数据的存储介质要选择适当。
5.4病毒检测和防范
检测也是信息安全中的一个重要环节。通过应用专业的检测工具,对网络进行不断地检测,能够及时的发现漏洞和病毒,在最短时间内采取相应的措施。
病毒防范技术有很多,可以先分析网络病毒的特征,建立病毒库,在扫描数据信息时如果对象的代码与病毒库中的代码吻合,则判断其感染病毒;对于加密、变异的不易扫描出来的病毒可以通过虚拟执行查杀;最基本的还是对文件进行实时监控,一旦感染病毒,及时报警并采取相应的措施。
6结束语
供电企业信息网络安全涉及的范围很广,且由于信息化和网络化的高速发展,其安全措施也要与之发展速度相一致。县级供电企业作为电力行业的基本单元,也是供电企业信息网络安全工作的基本单元,而网络的发展时期还很短,尚存在很多问题,因此其网络安全工作任重而道远。要保证信息网络的安全,第一,要制定完善可行的网络安全策略,并在日常工作中严格执行;第二,提高网络安全技术队伍的技术水平,采用先进有效的安全技术;第三,制定健全的数据备份制度,建立完备的备份数据,并及时更新,保证其实时性和完整性;第四,采取防病毒措施,实时监测病毒是否入侵,一旦发现,立即报警并进行处理。
信息网络的安全是个永久的问题。企业必须根据网络和信息的发展,不断地改善网络安全策略和措施,才能保证数据信息的完整和安全。
参考文献:
[1]赵江华,杨双吉,贾海锋.县级供电企业信息网络安全的探讨[J].华北水利水电学院学报,2011,4
[2]许彬,杨伯超.县级供电企业网络安全架构初探[J].湖南电力,2006,1
[3]汤宁平.供电企业业务网络安全解决方案[J].宁夏电力,2009,1
网络安全的完整性篇5
1网络安全要素分析
1.1机密性
机密性是保障信息数据的安全,防止将信息数据泄露给未授权用户的过程。网络安全的机密性可以保证信息不被其他用户所得到,即便得到也难以获知其信息具体的内容,因此不能加以利用。一般情况下采用访问控制来组织其他用户获取机密信息,并采取加密的方式阻止其他用户获取信息内容。
1.2完整性
所谓完整性是指网络信息的不可更改性,要保障网络信息的完整性不可随意更改,如不正当操作、误删除文件等都有可能造成文件的丢失。完整性在一定程度上是保障网络信息安全,要求保持信息的原样,确保信息的正确生成、存储以及传输。完整性要素与机密性不同,完整性强调的是信息不能受到其他原因的破坏。
1.3可用性
可用性设置信息以及相关资产在需要使用的时候,能够立即获得。如通信线路出现故障的时候,在一段时间内不能正常使用,会影响到正常的商业运作,这就属于信息可用性遭到破坏。
1.4可控性
可控是指能够对网络上的信息以及信息系统实现实时监控,对信息的产生、传播等行为方式实施安全监控,控制网络资源的使用。
1.5可审查性对已出现安全问题能够提供可供调查的依据或手段,确保网络系统发生的行为都能够找到说明性记录。
2p2DR网络安全体系
面对网络安全的严峻形势,动态网络安全理论模型在上个实际逐步发展起来,动态网络安全理论模型在设计的过程中摆脱了传统网络安全体系设计过于简单的加密、认证技术。动态网络安全管理模型以承认漏洞、加强防护、实时检测为原则,为计算机网络安全系统的设计带来了新的思路。其中最典型的就属于p2DR模型。p2DR模型是最具代表性的动态安全模型的雏形。p2DR安全模型主要包含了四大部分。安全策略、安全防护、安全检测、安全响应。四者关系如下图1所示。如果在安全响应之后,加入安全机制,即可升级为p2DR2安全模型。两者模型的实质是一致的。p2DR模型是在安全策略的指导下,综合运用其它安全系统的同时,通过联合检测工具来分析和实时检测系统的安全状态,然后通过检测的安全系数将系统调整到“风险系数”最低的安全状态。p2DR模型中的四大模块组成了一个完整的动态安全循环,实时排除安全因素,保障系统的安全,模型中的安全策略在整个系统运行中处于中心地位。安全防护所指的物力防护安全及应用防范安全的集合,其中涵盖诸多安全防护子系统,保证系统的保密性及完整性,可以说安全防护是在传统防护上的升级改造。安全监测是在旧有安全监测措施的基础上,增和了报警系统、身份鉴别系统、检查监控等诸多安全监察措施,从监视、分析、审计等方面及时对破坏信息网络的行为进行预警,是安全防护从静态防护升级为动态防护的基础。安全响应是基于前三个流程最初的最终的安全响应,对出现威胁和安全事件及时有效的进行处理,包括了应急系统、实时报警切换系统等,在遭遇到紧急攻击事件的时候采取措施,如追反击攻击源、保护性关闭服务等。
3状态转移技术在安全管理中联动机制的应用分析
p2DR网络安全模型所构建的网络安全管理平台,最大的优势就是将传统静态防御发展到了动态防御。而p2DR网络安全模型实现动态防御最为关键的技术就是实现联动机制。联动控制模块依托网络安全策略库,能够根据具体事件情况形成推理机制,对安全系统中各安全设备进行影响,进行控制并提供必要的支持。使系统内各安全设备能够根据当前系统的安全系数和所受到的威胁进行动态响应,对系统自身无法进行处理的事件生成报告,提醒管理人员注意问题,必要时进行人工干预,更改相应措施,采取新的安全策略。如当系统出现非法入侵的时候,能够根据安全策略生成响应措施,以自动或手动方式来改变防火墙的控制策略。网络安全管理平台所管理的安全设备之间是状态之间的转移行为,如当出现入侵情况时,网络状态就会自动切换到检测状态,检测出入侵事件后,根据预先设置的安全策略再由检测状态转移到防护状态。状态抓你技术应用后对网络状态进行抽象画描述,可以从不同的层面实现各安全设备之间的联动。安全管理平台在实现设备联动时只需要针对检测设备开发出检测状态集,然后系统安全策略控制中小就会管理状态集之间的转移变迁。而且在同一状态集内可以实现状态转移,在这样的情况下就能够在原有安全管理平台上实现功能基础的二次开发机会。在该机制下,通过安装新的响应设备,系统则只需要开发一套针对该设备的响应集在旧有的状态集当中,现有的安全设备可以通过安全策略中心将检测到的状态防护与新的响应集连接起来,实现新旧设备之间的联动。从中可以看出,设备之间的联动就变成了n对1的情况,这是状态转移技术应用于安全管理平台最为重要的改进。
4结束语
伴随着网络规模不断扩大,层出不穷的安全问题威胁网络安全,很多机构通过购置网络安全工具来保护网络,但是从整体上来看,都存在不同的局限性,面对当前的动态系统、动态环境,急需要通过动态的安全模型和技术来进行改善。本文分析了网络安全的要素,并介绍和探讨具有代表性的动态网络安全体系p2DR网络安全模型,最后就状态转移技术应用到动态网络安全管理平台中进行了分析探究,对改善现有网络安全管理现状效果显著。
参考文献
[1]马彦武,董淑福,韩仲祥.一种网络安全联动防御模型的设计与实现[J].火力与指挥控制.2011.
[2]刘彩梅.防火墙技术在计算机网络安全管理中的应用[J].计算机光盘软件与应用.2013.
[3]韦勇,连一峰.基于日志审计与性能修正算法的网络安全态势评估模型[J].计算机学报.2009.
网络安全的完整性篇6
随着信息化建设的大力发展,医疗网络也正进行着一次次质的蜕变,从以往病人亲自来医院看病到网上健康咨询,从堆积如山的病历、X线光片到现在的无纸化传输、存储,医疗网络已经成为现今医疗机构的核心竞争力之一。当然,每一次医疗网络的变革都伴随着一次技术上的更替,而改造自己的医疗网络,提高对患者的服务质量也成为近年来各大医院纷纷采取的一项举措。
随着医院信息化的不断发展,数字化的医院成为医院信息化建设的目标,最终将实现患者信息的无纸化、无胶片等,全面提升医院的治疗效率,为患者提供更专业的诊疗服务。同时,医院的患者电子病历信息需要被保存5~20年以上。然而,随着医院各种信息的网络化,在提升医院工作效率的同时,也给患者的各种电子病历信息、医院管理信息等带来了极大的安全隐患。作为涉及患者个人隐私及医院安全的各种信息在网络中传播,如何保障患者的电子病历信息安全,保障患者电子病历能够被合法的用户安全地获取并查看,是建设数字化医院的根本前提。
同时,在目前医院网络环境中,由于用户的不当操作和疏忽,造成各种病毒及其攻击在医院网络中肆意流窜,不断出现的扫描攻击、DDoS攻击、aRp攻击等,造成医院门诊收费中断,医保服务无法正常处理等,给医院网络的稳定性造成了极大的冲击。因此,网络安全是网络系统稳定性的根本保障。
可见,稳定、安全已经成为构建新一代医疗网络最需要注重的两大环节。针对这种普遍的安全、管理问题,锐捷网络了其全新的GSn(全局安全网络)解决方案,并针对各个行业进行了定制化的设置,其中,医疗行业就是GSn已应用成熟的众多行业之一。
GSn,即GlobalSecuritynetwork,中文名称“全局安全网络”,是由锐捷安全交换机、锐捷安全管理平台、锐捷安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护的作用。GSn通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的设备联动集成到一个网络安全解决方案中,以“多兵种”协同达到网络全方位的安全,以此达到对网络安全威胁的自动防御,以及对网络受损系统的自动修复,同时其针对网络环境变化和新网络行为的自动学习能力,也达到了对未知安全事件的防范,做到了真正的主动防御。
下面的原理图,有助于更深刻地理解GSn的工作原理:
在保证数据稳定、高速传输的基础上,锐捷通过GSn侧重对医疗网络的安全与管理进行了考量。通过GSn,锐捷网络为医疗行业用户打造了一个多层面的安全保障:锐捷GSn全局安全涉及到身份准入控制;主机信息收集与管理;主机完整性(Hi)管理;安全事件管理(包括iDS技术、安全事件下的设备联动处理等)等诸多安全技术。在安全管理平台上,GSn能够根据主机信息定位到相应的接入用户,了解整个网络中各种硬件、软件、操作系统的分布和使用情况,并协助网络管理人员更好地制定网络安全策略;同时,GSn能够通过主机完整性对整个网络进行监控、主机完整性指的是用户所使用的pC是否符合相关的要求,如必须安装某程序且达到某版本(如某杀毒软件),禁止安装某些程序等,符合这些要求的pC即可以认为其符合主机完整性接入网络,如果存在网络安全问题或不满足主机完整性的时候,GSn就会对主机进行断网隔离处理,并在自动修复成功后重新接入网络,达到各个层面网络安全的整合防护,以此打造锐捷全局安全网络。
全局的安全、有效的管理、高速稳定的网络是锐捷网络对医疗行业的三大承诺。作为民族厂商,锐捷网络一直对国内各行业进行着深入的调研,也正是在这持续性的观察中,锐捷发现稳定高速、安全、易管理已经成为现今医疗网络的发展前景,而要想在众多的医疗机构中脱颖而出,人性化的医疗环境和患者的满意度就成为了考核医院成效的最大标准。
关于锐捷网络
网络安全的完整性篇7
论文摘要:随着教育信息化向纵深发展,越来越多的业务和数据都通过网络来传递和处理,因此教育信息网络安全问题也日益突出。提高网络的安全性,建立起一套真正适合教育信息网络的安全体系是时代的需要。
教育信息网络是教育信息系统运行的载体,是各级教育管理部门之间进行信息交换、实现信息共享的基础平台。教育信息网络安全状况直接影响着正常工作的运转。在网络建成的初期,安全问题可能还不突出,但随着信息化应用的深入,网络上的各种数据急剧增加,各种各样的安全问题开始困扰我们。因此在网络建设过程中,必须未雨绸缪,及时采取有效的安全措施,防范和清除各种安全隐患和威胁。
一、教育信息网络面临的安全威胁
教育信息网络面临的安全威胁大体可分为两种:一是对网络数据的威胁;二是对网络设备的威胁。这些威胁可能来源于各种各样的因素,总结起来,大致有下面几种:
1、物理因素。从物理上讲,教育信息网络的安全是脆弱的,整个网络涉及设备分布极为广泛,任何个人或部门都不可能时刻对这些设备进行全面监控,任何安置在不能上锁的地方的设施,包括光缆、电缆、局域网、远程网等都有可能遭到破坏,从而引起网络的瘫痪,影响正常工作的进行。如果是包含数据的软盘、光碟、主机等被盗,更会引起数据的丢失和泄露。
2、技术脆弱性因素。目前教育信息网络中局域网之间远程互连线路混杂,有电信、广电、联通、移动等多家,因此缺乏相应的统一安全机制,在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件交流规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在。
3、操作人员的失误因素。教育网络是以用户为中心的系统。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配限定用户的某些行为,以免故意或非故意地破坏。更多的安全措施必须由使用者来完成。使用者安全意识淡薄,操作不规范是威胁网络安全的主要因素。
4、管理因素。严格的管理是网络安全的重要措施。事实上,很多网管都疏于这方面的管理,对网络的管理思想麻痹,网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对账号认证等严格限制,舍不得投入必要的人力、财力、物力来加强网络的安全管理等等,都造成了网络安全的隐患。
5、其他因素。一般来说,安全与方便通常是互相矛盾的。有些网管虽然知道自己网络中存在的安全漏洞以及可能招致的攻击,但是出于管理协调方面的问题,却无法去更正。因为是大家一起在管理使用一个网络,包括用户数据更新管理、路由政策管理、数据流量统计管理、新服务开发管理、域名和地址管理等等。网络安全管理只是其中的一部分,并且在服务层次上,处于对其他管理提供服务的地位上。这样,在与其他管理服务存在冲突的时候,网络安全往往需要作出让步。
二、实现教育信息网络安全的对策
网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。不同属性的网络具有不同的安全需求。对于教育信息网络,受投资规模等方面的限制,不可能全部最高强度的实施,但是正确的做法是分析网络中最为脆弱的部分而着重解决,将有限的资金用在最为关键的地方。实现整体网络安全需要依靠完备适当的网络安全策略和严格的管理来落实。
网络的安全策略就是针对网络的实际情况(被保护信息价值、被攻击危险性、可投入的资金),在网络管理的整个过程,具体对各种网络安全措施进行取舍。网络的安全策略可以说是在一定条件下的成本和效率的平衡。
教育信息网络包括各级教育数据中心和信息系统运行的局域网,连接各级教育内部局域网的广域网,提供信息和社会化服务的国际互联网。它具有访问方式多样,用户群庞大,网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为保证网络的安全性,一般采用以下一些策略:
1、安全技术策略。目前,网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。对教育信息网络来说,主要应该采取以下一些技术措施:(1)防火墙。网络防火墙技术,作为内部网络与外部网络之间的第一道安全屏障,包含动态的封包过滤、应用服务、用户认证、网络地址转接、ip防假冒、预警模声、日志及计费分析等功能,可以有效地将内部网与外部网隔离开来,能够控制网络上往来的信息,而且仅仅容许合法用户进出局域网。根据防火墙的位置,可以分为外部防火墙和内部防火墙。外部防火墙将局域网与外部广域网隔离开来,而内部防火墙的任务经常是在各个部门子网之间进行通信检查控制。网络安全体系不应该提供外部系统跨越安全系统直接到达受保护的内部网络系统的途径。(2)加密机。加密机可以对广域网上传输的数据和信息进行加解密,保护网内的数据、文件、口令和控制信息,保护网络会话的完整性,并可防止非授权用户的搭线窃听和入网。(3)网络隔离VLan技术应用。采用交换式局域网技术的网络,可以用VLan技术来加强内部网络管理。VLan技术的核心是网络分段,根据功能、保密水平、安全水平等要求的差异将网络进行分段隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。网络分段可以分为物理分段和逻辑分段两种方式。(4)杀毒软件。选择合适的网络杀毒软件可以有效地防止病毒在网络上传播。(5)访问控制。这是网络安全防范和保护的最主要措施之一,其主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户账户的缺省限制检查等。当用户进入网络后,网络系统就赋予这一用户一定的访问权限,用户只能在其权限内进行操作。这样,就保证网络资源不被非法访问和非法使用。(6)入侵检测。入侵检测是对入侵行为的发觉,通过对网络或计算机系统中的若干关键点收集并进行分析从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。(7)网络安全漏洞扫描。安全扫描是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。(8)“最小授权”原则。从网络安全的角度考虑问题,打开的服务越多,可能出现的安全漏洞就会越多。“最小授权”原则指的是网络中账号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的账号等措施可以将系统的危险性大大降低。 2、物理安全及其保障。物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。网络规划设计阶段就应该充分考虑到设备的安全问题。将一些重要的设备建立完备的机房安全管理制度,妥善保管备份磁带和文档资料;防止非法人员进入机房进行偷窃和破坏活动。抑制和防止电磁泄漏是物理安全的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
3、网络安全管理。即使是一个完美的安全策略,如果得不到很好的实施,也是空纸一张。网络安全管理除了建立起一套严格的安全管理制度外,还必须培养一支具有安全管理意识的网络队伍。
网络管理人员通过对所有用户设置资源使用权限和口令,对用户名和口令进行加密、存储、传输、提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。
网管人员还需要建立与维护完整的网络用户数据库,严格对系统日志进行管理。定时对网络系统的安全状况做出评估和审核,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统。同时需要责任明确化、具体化,将网络的安全维护、系统和数据备份、软件配置和升级等责任具体到网管人员,实行包机制度和机历本制度等,保证责任人之间的备份和替换关系。
4、网络安全的培训教育。除了对用户进行有关网络安全的法律和规章制度进行宣传教育外,还必须让网络用户知道和了解一些安全策略:包括口令的选取、保存、更改周期、定期检查、保密。尽量不要在本地硬盘上共享文件,因为这样做将影响自己的机器安全。最好将共享文件存放在服务器上,既安全又方便了他人随时使用文件。设置有显示的屏幕保护,并且加上口令保护。定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯等等。
5、应急处理和灾难恢复。为保证网络系统发生灾难后做到有的放矢,必须制定一套完整可行的事件救援,灾难恢复计划及方案。备份磁带是在网络系统由于各种原因出现灾难事件时最为重要的恢复和分析的手段和依据。网络运行部门应该制定完整的系统备份计划,并严格实施。备份计划中应包括网络系统和用户数据备份、完全和增量备份的频度和责任人。
备份数据磁带的物理安全是整个网络安全体系中最重要的环节之一。通过备份磁带,一方面可以恢复被破坏的系统和数据;另一方面需要定期地检验备份磁带的有效性。可以通过定期的恢复演习对备份数据有效性进行鉴定,同时对网管人员数据恢复技术操作的演练做到遇问题不慌,从容应付,保障网络服务的提供。
教育信息网络的安全问题是一个较为复杂的系统工程。从严格的意义上来讲,没有绝对安全的网络系统。提高网络的安全系数是要以降低网络效率和增加投入为代价的。随着计算机技术的飞速发展,网络的安全有待于在实践中进一步研究和探索。在目前的情况下,我们应当全面考虑综合运用防火墙、加密技术、防毒软件等多项措施,互相配合,加强管理,从中寻找到确保网络安全与网络效率的平衡点,综合提高网络的安全性,从而建立起一套真正适合教育信息网络的安全体系。
参考文献
[1]JayRamachandran(美).《设计安全的体系结构》[m].机械工业出版社,2003年.
网络安全的完整性篇8
关键词:湖南烟草;信息系统;安全;总体目标
经过多年的信息化工作,目前湖南省烟草行业已经建立起全省的计算机网络信息系统。全省信息网络系统建设包括各市级分公司局域网和省域网建设。局域网建设方面,全省包括省局(公司)机关、白沙物流中心、市级分公司、县公司都已完成了局域网建设,省域网络的建设也规划完毕开始实施。省公司办公区域白沙物流中心机房通过千兆裸光纤相连,白沙物流以及各个市级分公司通过专线连入电信mStp专网。省公司、白沙物流中心机房和14个市级分公司都有internet接口,并且可以通过10mVpn相连接作为备份链路。市级分公司与其下属的县级分公司之间通过电信mStp专网相连接,同时还有一条2m的aDSL备份线路。省公司及14个市级分公司分别购买了2台iBm小型机,是全省烟草信息系统的核心设备。
一、湖南烟草信息系统安全现状
目前,在进行安全系统建设初期,全省整个烟草行业网络安全体系非常薄弱,基本上没有建立完善的安全防范体系,因此安全问题非常突出。总体情况来看,各个市级分公司仅仅有防火墙,无其他的安全防护设施。省公司和各个分公司在信息安全方面均各自为政,没有采取统一的有效的安全策略和防护措施。还有,虽然省公司、部分分公司采用了病毒防杀软件,但是没有覆盖全网的网络防毒系统,缺乏统一的管理和控制,因此病毒问题显得尤其突出。下面列出了已有的安全设施和措施:
(一)物理与链路层安全设施
在湖南烟草信息系统系统建设中,现有的物理与链路层安全设施如下:
1、物理安全方面:
通过对省中心机房和各个市级分公司机房的改造,增加了包括门禁、录像监控等等安全设备。另外加强了多种安全防护措施,包括:防火、防水、防静电、电源安全等等新的设备,使全省网络的物理安全性基本满足了现阶段的需求。
2、数据传输链路安全方面:
目前的信息系统建设过程中,采用了CiscopiX防火墙建立Vpn链路,而且在网络主干路上采用mpLSVpn技术,使得:信息在传输过程中保持保密性、完整性、可靠性,防篡改,采用ipSeC加密技术和产品,对敏感数据的传输进行加密,同时对传输双方的身份加以鉴别,从而达到安全保密性以及完整性的要求。
省域网(mStp)的链路为主链路,通过internet的Vpn链路为备份链路,在主链路发生故障的情况下,及时采用备份链路,最大程度的保障网络的可用性,保证相关信息的传输不受到人为、物理的其它因素的影响。
结合湖南烟草的实际情况来看,从物理与数据传输链路层的安全设施可以看出,当前信息系统的建设主要侧重于保障网络系统的可用性,在此基础上综合考虑完整性以及保密性的要求。在今后的安全系统建设中,也要遵循这个原则。
(二)网络层安全设施
在湖南烟草网络平台现有的体系中,网络层的安全设施主要包括以下内容:
优化整个网络的安全
骨干网络采用mpLSVpn技术,不同地市的不同业务网络,统一地市的不同业务网络,不同地市的统一业务网络抖逻辑隔离。不同的业务网络可以独立管理QoS。省中心和各个市级节点可以相互访问,但是市级节点不可以相互之间访问。
防火墙
防火墙是用于隔离信任网络与不信任网络的有效工具,在省公司、白沙物流信息中心、各个市级分公司网络的internet出口处部署piX防火墙,可以隔离内外网,设置nat等等安全策略,不仅仅节省了公网ip地址,而且隐藏了内网的网络结构,屏蔽了大多数的网络攻击,免收外来侵扰。
Vpn
通过piX防火墙通过internet建立Vpn链路,实现分公司与省公司之间通过internet进行备份数据传输通道以及移动用户拨入省公司内网的安全加密措施。
网络安全监管与故障处理
目前已经采购了多种网络管理软件,包括Ciscoworks管理软件(设备管理模块、Vpn管理模块、无线网络管理模块),可以管理所有的Cisco设备。aCS安全认证管理软件,用于建立和管理全网的身份认证系统。Sniffer软件,用于监控网络流量,发现、分析、排除各种网络故障。还有iBm的tivolienterpriseConsole管理管理软件,带有tivolinetview模块,可以检查并长期监控多种网络设施的运行状态。
通过这些工具建立网络管理系统,实现对全网关键网络设备的运行状态、链路的情况进行实时监控与管理,及时发现网络故障情况,并采取相应的响应报警机制,马上通知管理人员进行处理,尽量保障网络的可用性。
(三)系统层安全设施
在湖南烟草网络平台现有的体系中,网络层的安全设施主要包括以下内容:
主机安全监管
通过iBm的管理软件tivolimonitor,对关键主机和服务器系统的运行状态、资源的使用情况、安全日志等进行监管,及时发现系统的异常行为和故障,保障主机与业务系统的可用性。
系统冗余和备份
通过对关键的主机应用系统建立相应的系统冗余与备份措施--服务器双机热备等措施,最大程度保障主机系统的可用性,最大程度的保障烟草业务的连续性。
(四)应用层安全设施
在湖南烟草安全系统建设过程中,应用层的安全已经包括:
建立了全省数据备份中心,所有的省、市各级公司的业务数据每日备份到了省数据备份中心,有效地建立数据的本地在线备份以及异地远程备份的机制,确保数据在意外情况下的及时恢复,建立灾难和应急相应机制。
通过tivolimonitoringforDatabase实时监控数据库以及应用系统的关键性操作,并且对意外事件提供反应措施,从而进一步增加对网络及信息资源的可控性;
通过tivolimonitoringforwebinfrastructure,对关键应用和业务系统的运行状态进行监管,及时发现并排除应用故障问题,保障业务的连续性。
目前湖南烟草的信息安全管理的技术平台和管理制度,都已经具备了简单的雏形,但是还不能满足现有的网络安全需求和今后的进一步发展,还有待于进一步的加强。虽然湖南省烟草信息安全系统的建设已经开始起步,也具备了一定的安全防护能力,但是整体的安全防护还有很多的需求没有得到满足,尤其是网络层的防护,还有很多的安全设施没有到位,远远没有达到国家烟草总局在《烟草行业计算机网络和信息安全技术与管理规范》所提出的"纵深防御体系"和"动态防护"的要求。
二、湖南烟草信息安全建设总体目标
针对湖南烟草的现状以及安全需求分析,提出在湖南烟草信息安全系统建设的总体目标描述如下:
基于安全基础设施、以安全策略为指导,通过统一的安全管理平台,提供全面的安全服务内容,覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求,构建全面、完整、可靠、高效的省行业信息安全体系构架。从而在烟草行业信息化整体发展的基础上,极大地提高湖南省烟草行业的整体安全等级,为保障烟草行业的健康发展提供坚实的信息安全保障体系。
可以分解为以下四个具体目标:
网络和系统实体的可用性以及抗攻击性;
信息的安全性、保密性和可靠性;
系统安全的可管理性;
整体系统运行状态的可控性;
安全需求是建立良好的安全体系的前提条件,我们从湖南烟草行业网络系统得实际情况出发,根据对用户网络系统脆弱性以及安全威胁的风险评估,结合湖南烟草安全系统的总体建设目标,我们把整体的安全需求根据不同的侧重点,从信息安全管理体系、物理与链路层安全、网络层安全、系统层安全、应用层安全等五个方面进行充分的考虑。安全需求涵盖了整个信息系统的每个层次,具有一定的纵深性和涵盖面,其中安全管理部分我们认为是非中重要的一项,因为完善的安全防御体系是以各类安全技术的应用加以安全管理贯穿于始终,才能实现安全系统的良好运作发挥其性能。信息安全保障体系各层次的安全需求目标具体描述如下:
(一)物理与链路层安全需求目标分析
在湖南烟草安全系统建设中,物理与链路层安全需求阐述如下:
考虑到大量内部的数据跨过广域网(如internet、电信省域网等)进行传输,可能被它人窃听和破坏,因此对数据的传输的安全具有以下需求:
信息在传输过程中保持保密性、完整性、可靠性,防篡改,拟采用相关加密技术和产品,对敏感数据的传输进行加密,同时对传输双方的身份加以鉴别,从而达到安全保密性以及完整性的要求。
关键信息传输的链路必须通过备份链路等方式,保证相关信息的传输不受到人为、物理的其它因素的影响。
对系统中的关键应用以及关键的网络连接建立相应的安全机制,如建立备份通道,以便在主通道发生故障的情况,及时采用备份通道,最大程度的保障网络的可用性。
(二)网络层安全需求目标分析
网络层是网络入侵者进攻信息系统的渠道和通路,因此许多安全问题都集中体现在网络的安全方面。在湖南烟草网络平台安全体系中,安全需求主要包括以下内容:
网络安全优化
主要是对系统中不同网段的、不同功能要求以及不同的安全等级的区域的划分,同时根据不同的安全级别,针对性的制定各区域之间的访问控制规则。主要是对现有的网络设备加强安全策略配置如访问控制列表,进行严格的访问控制,并对核心网络设备进行相应的安全设置。
防火墙
防火墙是网络层安全领域最成熟、使用最广泛的技术,用于隔离信任网络与不信任网络的有效工具。需要在全省各网络中部署防火墙隔离内外网,设置各级安全屏蔽,将全网在网络上分割为相对独立的子网,免收外来袭击。
网络入侵防护与相应的安全审计系统
建立全网网络入侵防护检测与相应的安全审计系统,及时监测、拦截并记录来自外部和网络其它部分的黑客入侵行为,拒绝服务攻击,违规操作等,并能对相关入侵行为进行多个日志系统的关联分析,排除虚假的报警信息、过滤掉低风险事件,得到最准确的关键安全事件信息。
Vpn
建立Vpn链路,实现分公司与省公司之间通过internet进行备份数据传输通道以及移动用户拨入省公司内网的安全加密措施。
(三)系统层安全需求目标分析
主机服务器系统是整个应用业务的基础平台设施,因此其安全性会影响到整个应用业务系统能否正常的运营。在湖南烟草安全系统中,系统平台的安全建设主要有:
主机系统漏洞扫描与加固
采用安全扫描技术,对烟草系统中关键的主机和服务器进行定期漏洞扫描与评估,针对相关的系统漏洞,自动提出修补的措施,并定期进行相关操作系统的裁剪、修补和加固的工作。
操作系统安全
通过使用主机访问控制等技术措施及手段,对系统中的主机与服务器系统严格划分、管理、控制用户的权限和行为,增强操作系统的健壮性以及安全性,使操作系统达到更高层次的安全级别。
网络病毒防杀系统
建立全网的病毒检测与防范系统,及时检测和控制各种文件、宏和其它网络病毒的传播和破坏,具有集中统一的管理界面,系统具有自动升级,自动数据更新,可管理性等特性。
主机安全监管
通过网络安全综合管理,对关键主机和服务器系统的运行状态、资源的使用情况、安全日志等进行监管,及时发现系统的异常行为和故障,保障主机与业务系统的可用性。
(四)应用层安全需求目标分析
应用平台安全是系统最终保障的目标,数据的保密性、高可靠性和防篡改等特性,以及应用系统对于系统功能和相关数据的严格控制,将成为整个应用和数据安全体系的主要需求。在湖南烟草安全系统建设过程中,应用安全需求具体包括:
建立pKi/Ca体系,为应用安全提供认证、加密、数字签名、数据完整性等功能和服务。
有效地建立信息资源的标记、加密存储和保管机制。考虑应用层对传输数据进行加密。
建立全省数据备份中心,有效地建立数据的本地在线备份以及异地远程备份的机制,确保数据在意外情况下的及时恢复,建立灾难和应急相应机制。
实时监控数据库以及应用系统的关键性操作,并且对意外事件提供反应措施,从而进一步增加对网络及信息资源的可控性;
通过网络安全综合管理系统,对关键应用和业务系统的运行状态进行监管,及时发现并排除应用故障问题,保障业务的连续性。
从上述湖南烟草安全系统的建设需求分析中可以看出,整个系统的建需要包含从安全管理体系、物理与链路安全、网络安全、系统安全以及应用安全等五个方面的要求,结合了从管理到技术的各个层次。根据湖南烟草计算机网络系统的实际情况,现阶段的建设重点是解决网络安全和网络的高可用性,解决网络系统在信道传输、访问控制、运行保障以及与外界的网络的互连接口等方面的安全问题。最终按照国家烟草总局的相应安全规范,建设一个集策略、防护、检测、反应为一体的,基于国际先进的p2DR(策略/police,防护/protection,检测/Detection,反应/Response)模型的、动态适应的计算机网络安全防护体系。
参考文献:
[1]李红等.管理信息系统开发与应用[m].电子工业出版社出版社.2003年:8页
网络安全的完整性篇9
关键词:移动通信系统网络;认证;身份识别
中图分类号:tn929.5
通信技术的发达与应用领域的扩大,移动通信系统网络的安全性因为能够直接对客户和运营商的利益产生不同程度的直接或间接影响,社会各界也均将移动通信系统网络的安全性作为一项重点工作,如何运用合理的策略保障移动通信系统网络的安全具有十分重要的现实意义。
1移动通信网络的安全技术发展简介
第一代移动通信(1G)所利用的模拟蜂窝网系统,该系统无法提供非语音方面的业务,可以提供较为基本的语音会话业务。安全性能上,保密性很低,几乎没安全措施,给使用者和运营商带来严重的危害。该系统的安全技术主要是以移动台为平台,将系统的电子序列号与网络分配的移动台识别号用明文的方式传递到网络且加以比较,如果两者能够匹配,则允许用户接入。这种方式很容易造成盗打,并导致克隆手机的大量产生。第二代通信系统(2G)所利用的数字蜂窝网络系统,相较于第一代移动通信,保密性能上大幅度提高,并且彻底堵塞并机盗打的可能,但是仍然存在诸多安全隐患。在安全措施上,主要采用时分多址(tDma)和码分多址(CDma)两种措施,同时还引入了加密模式加密传输的信息,并增加了用户鉴权功能,使无线信道传送在安全性能上有所增强。2G鉴权流程如图1所示。
图12G鉴权流程
从图1可看出2G认证采用的是单向模式,在加密方面主要是以私钥密码体制为基础,而非端到端,通过共享秘密数据(私钥)的安全协议,从而使接入用户的认证和数据信息的保密两个方面都得到实现,因此,第二代移动通信系统仍然存在着安全隐患。第三代移动通信(3G),在其安全体系中定义了传输层、归属、服务层和应用层以及移动用户和移动设备、服务网和归属环境等五个方面的安全特征组。在面对威胁和攻击时,根据其来源于性质的不同会有一个相应的安全特征组来与其对抗,最终实现某一类安全目标。
当前,大多数发达国家正在加紧研制第四代移动通信技术(4G),以期能够保持并继续享有在未来4G系统中制定规则与标准方面的发言权。美日等国正在密集的组织科研力量研发新一代无线通信技术,以期能够尽快的进入市场化阶段。就现阶段的情况来看,在该领域新的研究方向主要集中在网络结构、用户切换和漫游等移动环境下的系统实现方案技术等方面,从而保障用户的大范围移动能够得以实现,这一技术路线也是目前第四代移动通信系统在全球最主要的设计思路。但是,因为无线网络自身方面所无法摆脱的脆弱性,来自各个方面的安全威胁仍然无法避免。
2移动通信系统网络安全策略研究
为可能够最大限度的保障尽可能多的用户在信息方面的安全,有效降低滥用或盗用等情况,就应当努力实现移动通信系统网络的全球兼容性能,可以通过以下策略实现上述目标:
2.1用户身份保密性。对于用户在无线链路中身份的保密性,主要由下述三个方面构成:(1)身份机密性:保证在用户真实身份具有安全性,防止窃听情况的发生;(2)位置机密性:保证用户位置的确定非经窃听完成;(3)不可追溯性:入侵者无法对用户的各类业务信息加以推断;为了能够最终实现用户身份保密性的目标,为了能够避免用户信息可追溯性,通常在用户身份识别方面采用临时身份的形式;同时,对于那些存在暴露用户信息风险的信令或数据,应使用相应加密措施加以防范。
2.2认证系统。双向认证体系能够有效的维护网络通讯的安全,即必须同时能够进行基站与mS认证和mS与基站认证。因此,系统应当保证在用户与网络建立连接时,实体认证机制能够发挥效能。双向认证鉴权总计有5个向量,他们的参数依次为RanD、期望响应(XReS)、加密密钥(CK)、完整性密钥(iK)、鉴权令牌(aUtn)。其中,iK负责保护接入链路信令数据的完整性,提高用户网络侧合法性鉴权。双向鉴权认证过程与基本原理见图2。
图2双向鉴权认证过程
通过比较ReS与XReS是否相等,对用户的身份进行双向网络认证。
2.3数据完整性研究。为了有效维护移动通信系统网络安全,需要保持数据的完整性,具体包括完整性算法协商、完整性密钥协商和数据完整性和信令数据的信源认证三个方面。完整性密钥协商的最终实现要置于执行密钥协商机制的过程之中。完整性算法协商的实现要通过用户和网络之间的安全模式协商机制。在移动通信当中,很大比例存在于mS与网络之间的信令信息都需要完整性的保护,其在3G中的实现是依赖消息认证这一方式完成的,有效避免了篡改行为。数据完整性保护方法见图3。
图3数据完整性保护方法
对于发送方而言,将要传送的数据利用完整性密钥iK通过F9算法生成消息认证码maC,并附于发出的消息之后。而接收方利用同样的方法对收到的消息进行运算得到XmaC,再由接收方比较maC与XmaC的一致性,如果完全相同,则证明消息完整。
2.4数据保密性研究。3G网络既延长了密钥长度还将加密算法协商机制引入其中,提供了以端到端为基础的全网范围内加密,同时还将以交换设备为核心的安全机制运用其中,有效地强化了网络在信息传送方面的安全性。在3G系统中,网络接入部分的数据保密主要表现在4各方面,即加密算法协商、加密密钥协商、用户数据加密和信令数据加密。其采用F8算法加密分组密码流数据,这种算法的实现由用户与服务网间的安全模式协商机制完成,由aKa实现加密密钥协商机制。
3结束语
随着无线通信与现代信息技术的融合与发展,推动了移动通信系统的进步,在经历了三展之后,正向第四代演进。本文基于就移动通信系统安全技术领域的分析,探讨了如何保障移动通信系统网络安全的有关策略,对于移动通信系统网络的安全性的提高具有一定的参考价值。
参考文献:
[1]张平,王卫东.第三代蜂窝移动通信系统-wCDma[m].北京:北京邮电大学出版社,2001:33-56.
[2]XenakisC,merakosLSecurityinthirdgenerationmobilenetworks[J].ComputerCommunications,2004(07):638-650.
网络安全的完整性篇10
关键词:计算机网络网络安全特征安全技术网络安全威胁防护
中图分类号:tp393文献标识码:a文章编号:1007-9416(2015)11-0000-00
随着计算机技术的不断发展,计算机网络已广泛应用于社会的各个领域,由于计算机病毒的侵入,黑客活动的猖獗,网络安全面临的威胁防不胜防,电脑硬件和软件都面临着潜在的安全隐患,如何防范网络安全潜在安全问题和威胁,提高网络数据信息的安全性,已成为当前计算机网络应用中亟待解决的重大问题,因此,加强对计算机网络安全的防护研究,全面提高计算机网络的安全性,具有重要的意义。
1计算机网络安全的含义与特性
计算机网络安全是利用网络管理控制和技术,保证计算机网络数据的保密性、完整性、合法使用性。包括计算机网络的物理性安全和罗辑性安全。物理安性全是指计算机系统设备和相关的设施等受到物理性方面的保护,以确保计算机网络中的硬件设备免于破坏、内部数据丢失等。罗辑性安全是指网络各种数据信息的完整性、保密性、合法使用性。
网络安全主要特有:保密性,信息不泄露;完整性,数据未经授权不能修改;合法使用性,授权访问,按需使用;限制性,对信息内容及传播限制的控制能力;可检测与审计性,对已出现的网络安全问题,及时提供依据与技术手段,检测、判断和解决,及时维护网络系统安全运行。
2计算机网络应用中普遍存在的主要安全隐患和威胁
⑴互联网络的开放性引起的网络系统的不安全性。为便于更多用户最大限度的访问和使用,网络系统具有高度的开放性,在广泛应用中从某种程度上导致了计算机网络安全面临着各种安全隐患和威胁入侵。
⑵计算机病毒及其变异危险的入侵和泛滥。计算机病毒具有很强的隐蔽性、极快的繁殖能力、多种传染途径、长期潜伏性及极大的破坏力。入侵计算机网络的病毒一旦发作,极易干扰网络系统的正常运行,在很大程度上破坏磁盘重要数据、删除有关的重要文件,甚至导致整个计算机系统无法正常运行,致使网络系统处于瘫痪状态。
⑶计算机网络操作系统存在着缺陷和漏洞,导致网络安全出现问题。操作系统作为计算机网络的系统支撑软件,具有很强的功能和作用,特别是它提供了很多的管理功能,但是,由于各种原因操作系统软件本身也存有缺陷,操作系统开发设计中存在的不周密性而留下的漏洞等,使得计算机网络在一定程度上会受到病毒、黑客入侵等威胁,导致计算机网络存在着不安全隐患的可能。
⑷网络安全防线的脆弱性、局限性导致网络被侵害。防火墙是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统,依照特定的规则,允许或是限制数据传输。它是在内部网和外部网之间、专用网与公共网之间构造的保护屏障。但是,防火墙无法解决内部网络之间的访问,所以具有一定的局限性。
⑸网络运行管理方面缺陷。计算机网络运行及安全管理缺陷,主要是由于对系统以及安全的不重视、管理不善、管理不到位,导致计算机网络遭到威胁。
⑹缺乏计算机安全评估系统。在实际应用中不注重计算机安全评估系统的构建,只注重计算机网络安全事故的预防与事后处理,缺乏对计算机网络安全作出及时的评估与监控,导致网络安全隐患不能及时被发现处理。
3计算机网络安全防范的主要策略方法
3.1技术性防范策略
利用网络安全技术进行防范,主要有实时监测、实时扫描、防火墙、完整性检验保护、病毒分析和系统安全管理等技术。
①实时扫描与监测。采用网络扫描工具,对最新的安全漏洞进行扫描修复。在网络服务器、email服务器中使用安全监测系统,实时跟踪、监视,截获上传非法内容,及时采取措施。
②属性安全控制。将给定的属性与网络服务器文件、目录和设备联系起来。利用属性设置覆盖已经指定受托者指派和有效权限,保护重要的目录和文件。
③网络访问控制。配置高效防火墙,有效防止网上病毒传播。最大限度地阻止黑客攻击。利用数据加密技术,保护数据传输的正确性与安全性。加强网络权限控制,建立网络服务器安全设置,设置口令、设置登录时间限制、非法访问者检测和关闭时间间隔,安装非法访问设备等。
④病毒预防与查杀。配备专业的安全高效的优秀网络杀毒软件,定期进行病毒查杀,有效提高系统的防护能力。可采用内存常驻防病毒的程序,时刻监视病毒的侵入并对磁盘进行检查。
⑤采用混合式入侵检测技术,提供实时入侵检测,采取抵御措施,防止恶意进攻。对系统安全属性进行审计检查,对系统数据完整性进行监测评估。利用审计记录,适时限制非法行为,保护系统安全。
另外,可以隐藏ip地址、关闭不必要端口、更换管理员账户、杜绝Guest账户入侵、封死黑客“后门”、删掉不必要协议、关闭“文件和打印共享”、禁止建立空连接、关闭不必要服务、做好ie安全设置等方法。
3.2完善网络安全管理制度
建立网络智能型日志系统。记录用户登录所有操作以备日后审计核查之用。建立档案加密制度,加强设施管理,建立健全安全管理制度,验证用户的身份和权限,防止越权操作,确保网络系统安全运行。
3.3物理性安全防范对策
保证系统实体安全的物理环境条件。如温度、湿度、清洁度、腐蚀度、虫害、振动和冲击、电气干扰等,选择合适的安装场地,强化机房的安全防护。
3.4其他防护措施
不使用来历不明的软件,系统盘以及移动盘进行写保护,重要文件及时备份,禁止未经检测移动盘插入计算机,建立口令密码,限定合理读写权限,提高网络工作人员素质,严禁打游戏,强化网络安全责任,安装正版杀毒软件和防火墙。