网络安全防范体系篇1
今日的世界已进入了网络信息高速流通的时代,它仿佛使地球变小了,把世界各地的距离拉近。随着计算机技术的发展,网络进入了千家万户。本文首先概括了网络信息安全的概念和当前网络安全解决方案的局限性,然后对网络安全防范体系及设计原则进行了系统分析。
【关键词】网络安全网络攻击
1引言
在网络信息高度发达的今天,网络已经成为信息交流便利和开放的代名词,几年前不可思议的事情今天已成为现实。然而伴随计算机与通信技术的迅猛发展,网络攻击与防御技术也在循环递升,矛与盾的较量会长时间的进行下去。原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁,网络安全已变成越来越棘手的问题。据有关部门统计,网络犯罪几年来呈上升趋势。在此,笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。
2当前主要影响网络安全的管理因素和技术因素
随着计算机网络的普及,网络安全问题成了人们关心的焦点,影响计算机网络安全的主要因素有:
(1)tCp/ip的脆弱性。作为所有网络安全协议基石的tCp/ip协议,其本身对于网络安全性考虑欠缺,这就使攻击者可以利用它的安全缺陷来实施网络攻击。
(2)软件系统的不完善性造成了网络安全漏洞,给攻击者打开方便之门。
(3)网络结构的不安全性。由于因特网采用了网间网技术,因此当两台主机进行通信时,攻击者利用一台处于用户数据流传输路径上的主机,就可以劫持用户的数据包。
(4)缺乏安全意识和策略。由于人们普遍缺乏安全意识,网络中许多安全屏障形同虚设。如为了避开防火墙的额外认证,直接进行ppp连接,给他人留下可乘之机等。
(5)管理制度不健全,网络管理、维护任其自然。
(6)由于条块分割的利益分配问题所带来的网络安全问题。
3目前解决网络安全问题存在着技术和管理的缺失
网络安全防范措施主要有防火墙、口令验证系统、加密系统等,应用最广泛的是防火墙技术。防火墙技术是内部网最重要的安全技术之一,其主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险立足点为。但也有其明显的局限性,如:
(1)防火墙难于防内。防火墙的安全控制只能作用于外对内或内对外,而据权威部门统计结果表明,网络上的安全攻击事件有70%来自内部攻击。
(2)防火墙难于管理和配置,易造成安全漏洞。防火墙的管理和配置,易造成安全漏洞。防火墙的管理及配置相当复杂,一般来说,由多个系统(路由器、过滤器、服务器、网关、保垒主机)组成的防火墙,管理上有所疏忽是在所难免的。根据美国财经杂志统计资料表明,30%的入侵发生在有防火墙的情况下。
(3)防火墙的安全控制主要是基于ip地址的,难以为用户在防火墙内外提供一致的安全策略。许多防火墙对用户的安全控制主要是基于用户所用机器的ip地址而不是用户身份,这样就很难为同一用户在防火墙内外提供一致的安全控制策略,限制了企业网的物理范围。
4当前设计网络安全防范体系应遵循的原则
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSe-Cmm(“系统安全工程能力成熟模型”)和iSo17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以几项原则:
(1)短板理论在网络信息安全技术方面的应用。网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的“安全最低点”的安全性能。
(2)防止以偏概全的网络信息安全的整体性原则。要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。
(3)实践中的安全性评价与经济可行和安全性的平衡原则。对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。
5结束语
由于互联网络的开放性和通信协议的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击非常严重,因此建立有效的网络安全防范体系就更为迫切。实际上,保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则,更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则,分析网络系统的各个不安全环节,找到安全漏洞,做到有的放矢。
参考文献
[1]朱理森,张守连.计算机网络应用技术[m].北京:专利文献出版社,2001.
[2]刘占全.网络管理与防火墙[m].北京:人民邮电出版社,1999.
网络安全防范体系篇2
关键词:高校;网络安全建设;思考
1引言
网络安全,指的是计算机网络系统的安全,不仅包括网络系统正常运行的硬件、软件环境安全,也包括网络传输的资源、数据等信息安全[1]。网络安全不仅关系到我们每一个公民,更是事关国家安全的重要问题。高校作为培养当代大学生的主要阵地,在网络安全建设及教育方面更是肩负着重要的责任。面对信息泄露等校园网络安全问题以及日趋严峻的网络安全形势,如何保障高校网络安全建设的稳步推进,已经成为重中之重。
2网络安全建设存在的问题
高校网络安全建设存在一些问题,主要有以下几点。(1)网络安全专业人员不足目前高校已基本上实现校园网络全覆盖。有成千上万的网络计算机,但与之配套的网络安全管理员却严重不足,甚至没有专职的网络安全管理员[2]。而且大部分网络安全管理人员没有接受过系统化的岗前培训,安全责任意识单薄,专业素养不够高,网络安全专业人员及其技能都存在严重不足。(2)师生网络安全意识不强高校网络的使用主体为本校师生,群体庞大,且大部分高校未开展系统、全面、全覆盖的网络安全主题教育,导致用户群体网络安全防范意识不强。部分教师在使用计算机时对病毒防护、密码保护、漏洞修复等基础网络安全操作无意识,使得计算机很容易被入侵而造成数据及资源丢失[3]。一些学生在面对复杂的网络环境时,由于猎奇心理及感情用事,可能会采用一些诸如“翻墙”等威胁高校网络安全的行为或者网络暴力等激进行为。(3)网络安全防护体系不完善截止到目前,很多高校尚未认识到加强网络安全管理的重要性,缺乏一套完善的网络安全防护体系。领导重视不够,未形成专门的网络安全领导小组;资金投入不足,无法购买各类网络安全防护设备;管理制度不完善,无应急预案等;技术防护手段不足,缺少各类必须的技术防护手段;网络安全人员不足,未设置网络安全技术专岗等。这些都是当前高校网络安全面临的突出问题。
3加强高校网络安全建设的对策
3.1网络安全防护体系
高校网络安全建设应以人员组织为基础,以管理制度为依据,以技术防护为手段,三管齐下,切实保障好高校的网络及信息安全。
3.1.1人员组织体系自上而下,建立起管理决策层、组织协调层、落实执行层的三层架构人员组织体系。管理决策层统一领导网络安全工作,研究制定网络安全发展规划,决策网络安全建设中的重大事项等。组织协调层统一协调学校网络安全建设工作,负责网络安全及运行保障项目的建设、改造、升级、维护等方面,负责制度与人员队伍建设等。落实执行层负责具体工作的落地执行。
3.1.2管理规范体系规范化是制度化的最高形式,是一种非常有效和严谨的管理方式。完善的管理规范体系是保障网络安全的法律基础,是通过建立标准规范来约束用户行为的制度。其实现的过程就是规范管理的过程。管理规范体系包括网络安全责任制、网络安全管理规范、应急响应机制、网络安全通报制度等方面的内容。(1)网络安全责任制按照“谁主管谁负责、谁运行谁负责”的原则,明确网络安全工作责任主体,各部门应有专人专岗负责网络安全具体工作,细化网络安全各关键岗位安全管理责任,签订安全责任书,建立安全责任体系,形成网络安全工作长效机制。(2)网络安全管理规范建立健全网络安全管理制度,明确信息系统管理、数据管理、信息管理、网站、微信、微博和移动应用管理、电子邮件管理、交互式栏目管理等的管理规范,使所有的网络安全活动都有规范可依,有制度约束。(3)应急响应机制制定完善网络安全应急预案、明确应急处置流程、处置权限、落实应急技术支撑队伍,强化技能训练,强化技能训练。至少一年两次开展网络应急演练。通过模拟网络安全事故现场环境,提高应急处置能力。(4)网络安全通报制度定期开展安全检查,全面、细致地排查安全隐患,并定期对检查结果进行通报,督促相关部门落实整改。如通过《网络安全简报》、《信息化简报》等手段,通报各业务系统漏洞扫描、数据备份、日志审计、数据库审计等各项安全指标,督促相关部门做好网络安全责任落实。
3.1.3技术防护体系网络安全及运行保障是一项系统工程,对系统的过程要素、组织结构和结构功能进行分析,主要分为预警层次、检测层次、保护层次、响应层次四个层级。预警层次主要是发现问题、记录问题和预警问题。检测层次主要是发现服务器存在的安全漏洞、安全配置问题、应用系统安全漏洞,形成完整的安全风险报告,帮助安全人员查漏补缺,防范风险于未然[4]。保护层次是对网络运行的实时保护,包括拒绝服务、入侵检测、流量分析、数据防泄露等。响应层次是对安全事件进行及时的响应,包括数据库审计、安全监管、安全服务等。
3.2网络安全宣传教育
维护高校网络安全是全校师生共同的责任,维护网络安全不仅需要学校的防护体系,更需要广大师生的共同参与,网络安全这道防线才能筑得牢固。因此,在制定完善的网络安全防护体系的基础上,更要通过定期的安全培训、知识讲座和学术交流,使全校师生不断增强网络安全意识,掌握网络安全知识,并有效提升各类网络安全事件的风险防范能力,进一步营造一个安全、健康、文明、和谐的网络环境。
4结束语
高校网络安全体系的建设是一个数据庞大、层次复杂、多点防御的工程,涉及到人员组织体系、管理规范体系、技术防护体系等多个层面。其建设的完成不是一蹴而就的,需要从全局进行总体规划,分步实施,才能实现高校网络安全管理的最终目标[5]。
参考文献
[1]王乔平.浅谈对网络安全的认识.信息系统工程,2019(07):78
[2]李佳霖.高校网络安全管理的现状及对策.通讯世界,2019,26(05):17-18
[3]文理卓,李东宸,郑宪,董石.浅析高校网络安全管理及对策探讨.中国管理信息化,2019,22(14):153-154
[4]梁艺军.高校web网站安全防护策略.中国教育网络,2015(02):57-58
网络安全防范体系篇3
中图分类号:tp393.08文献标识码:a文章编号:1007-9416(2012)04-0000-00
所谓计算机网络,就是通过通信线路将某些具有独立功能的计算机与和外部设备进行连接,再计算机网络操作系统、计算机网络管理软件以及计算机网络通信协议的共同协调作用下,实现信息传递与资源共享功能的计算机系统。所谓计算机网络安全,就是对计算机网络系统内的软硬件以及系统数据进行有效保护,使其能够不受外界因素影响而持续地进行正常工作,避免其因遭受破坏而泄露信息、更改系统或者发生网络服务中断等问题。从本质上来讲,计算机网络安全的根本是指计算机网络信息的安全,因此计算机网络安全的研究领域囊括了网络信息的保密性、真实性、完整性、可用以及可控性等相关技术理论等内容。计算机网络安全是一项涉及计算机、网络、通信、密码、信息安全、应用数学等多种学科的应用技术。防火墙、入侵检测、病毒防治是计算机网络安全技术的三项基本内容。
1、计算机网络安全与计算机网络安全技术的发展现状
我们所说的计算机网络需要以网络可识别的网络协议为前提,在此基础上再将各种网络应用进行完整的组合,因此无论协议本身还是网络应用,均存在发生问题的可能性。计算机网络安全问题,既有计算机网络协议的使用和设计问题,也有网络协议的应用以及相关软件的应用问题,此外还有一些人为因素导致的系统管理失误等等。
面对计算机网络安全这一研究课题,计算机网络安全专家曾经进行了深入的探索研究,设计开发了一系列安全技术试图防患于未然,例如:防火墙系统、访问控制技术、密码安全技术、病毒防护技术、数据库安全技术等等,还先后推出了防火墙软件、入侵检测(iDS)软件以及各类防毒杀毒软件等,从某种程度上使得计算机网络安全问题得以有效解决和处理。
随着计算机技术的不断发展,计算机网络安全技术也逐渐由系统和网络等基础层面的防护演变提高至应用层面的安全防护上来,由基层或者基本数据层面提高至应用层面上来,安全技术更主要的已与应用紧密结合起来,因此应用防护已经与各类业务行为紧密相联。
尤其是近年来,我国政府对于计算机网络安全问题尤为关注,进一步推动了我国计算机网络安全技术的发展和繁荣,很多网络安全企业与时俱进,采用最新的安全技术手段和方法,研制开发和推出了一批能够有效满足计算机用户需求且符合时展需要的安全产品,也使得我国计算机网络安全技术得以逐步提高。
2、计算机网络安全技术面临的主要问题及影响因素
2.1计算机网络安全技术面临的主要问题
计算机网络安全技术面临着许多难题,其中最主要的现在的网络安全技术仅能够解决某个以及某方面的网络安全问题,而对其他方面问题无法有效防范和处理,更无法实现对计算机网络系统的全面防范保护。例如访问控制以及身份认证等技术的主要功能就是对网络用户身份进行确认,却无法保证网络用户彼此之间传递信息是否安全的问题;再如病毒防范技术也仅能够防止病毒威胁网络系统安全,却无法辨认识别网络用户身份等等。
通过现有的防火墙技术,能够解决一部分网络安全问题,然而一些防火墙产品也都存在局限性。如今的网络环境,防火墙主要是作为可信网络与不可信网络之间的缓冲作用,同时作为其它网络可能发起攻击屏障防范工具。现代防火墙技术也无法保证其放行的数据全部安全,因此应用同样存在局限。再有,如果是从内部网络攻击防火墙、或者绕过防火墙进行攻击、采用最新的攻击手段、发生数据驱动攻击等等其都无法进行有效防御。因此,即使用户在计算机系统中安装有防火墙,然而面对泛滥的蠕虫、各种新式病毒、某些垃圾邮件等等问题仍然无法有效解决。
入侵检测技术中也有一定的局限,其中最主要的是漏报及误报问题。入侵检测技术通常仅能视为参考工具使用,而作为安全工具其是无法值得信赖的。单个产品没有经入侵检测,可能存在提前预警方面的问题,目前应该从精确定位和全局管理等方面着手研究,尚存一定发展空间。
大部分用户都会在单机和终端安装某些防毒软件工具,然而内网安全问题不仅是简单的防病毒问题,还包括执行安全策略、防范外来非法侵入以及补丁管理、日常管理等各种相关内容。
网络安全技术在面对某个具体系统、软硬件、数据、以及程序本身的安全时,从网络安全的整体技术框架方面来看,其问题相当严峻。对于应用层面的安全问题,其侧重点在于信息语义范畴的内容和网络虚拟世界的行为。
在理想的安全防范产品没有面世时,绝大部分用户只能通过防火墙技术来保护网络安全。然而,面对新的oS漏洞以及大量的网络层攻击,出现了许多攻破防火墙和攻击网络的事件。因此,计算机网络安全商和广大计算机用户都期望能够拥有一套理想的计算机网络安全防范系统,从而确保网络系统的安全。
2.2计算机网络安全技术面临的影响因素
理想情况下,计算机网络安全技术能够保证计算机网络的安全,然而,现实情况却并非如此,存在着很多不安全因素,综合分析其主要影响因素包括以下几方面内容:
(1)计算机网络的建设单位、网络管理人员以及技术人员在其主观上缺乏安全防范意识,没有采取必要的安全措施,在其工作行为上始终处于被动状态。
(2)单位的工作人员对网络安全的现状不了解以及对网络安全隐患不清楚,因为人为因素导致未能做好防御攻击。
(3)单位没有建立起相对完备的网络安全防范体系结构,未能形成有效防范,导致攻击者有机可乘对网络缺陷进行攻击。
(4)单位缺乏完善的计算机网络管理体系,无法有效利用安全管理体系以及安全防范措施。因此在业务活动中,某些安全漏洞很容易泄露信息,让攻击者能够收集到一些敏感信息。
(5)网络安全管理人员以及专业技术人员安全知识缺乏,无法实现对网络安全的有效管理,对于现存的安全问题不能及时发现解决,对于未来可能发生的安全突发事件没有能力有效处理。
3、计算机网络安全技术的主要解决策略
计算机网络安全的实现是一项长期系统的工程。因此,必须做好需求分析,加强安全风险管理,制定安全防范策略,开展定期安全审核,注重外部支持,以及加强网络安全管理,从而实现预期的网络安全目标。
(1)做好需求分析。只要明确安全需求,才能建立起有效的安全防范体系结构,从而保证网络系统的安全。
(2)加强安全风险管理。单位要充分利用现有资料,尽已所能做好安全防范工作,针对安全需求分析发现的可能存在的安全威胁以及业务安全需求进行风险评估,加强安全风险管理。
(3)制定安全防范策略。单位要根据安全需要、风险评估的结果,有计划地制定出有效的计算机网络安全防范策略。
(4)开展定期安全审核。开展安全审核的目的就是查看单位是否采取了有效的安全防范策略。面对单位计算机网络配置的频繁变化,单位对网络安全的需求也会发生改变,因此网络安全策略也要随之进行调整。为了确保在安全策略和控制措施能够反映出这种变化的情况,必须进行定期安全审核。
(5)注重外部支持。计算机网络安全还需要注重依靠外部支持。通过专业的安全服务机构能够有效改善现有的网络安全体系,以及提供网络安全预警和获取最新的安全资讯内容等。
(6)加强网络安全管理。网络安全管理是网络安全的重中之重,要想真正做好网络安全工作,必须加强网络安全的管理。
4、结语
综上所述,计算机网络安全与计算机网络的发展是紧密相联的。计算机网络安全是一项长期系统的工程,单纯地依靠防火墙技术、杀毒软件等进行防护远远不够。要知道计算机网络系统属于人机交互系统,人才是进行计算机安全保护的主体。因此,我们在进行计算机网络安全硬件产品研发和打造强大的计算机网络安全系统的同时,还必须注重人们对计算机网络安全防范意识的树立,网络安全制度的建立,网络安全教育的开展,网络安全管理的落实,建立起从技术层面到管理层面都十分强大的计算机网络安全系统。
参考文献
[1]杨永旭.防火墙技术在网络安全应用中的现状[J].甘肃科技,2009.
[2]张旭斌.计算机网络安全现状及防范策略[J].数字技术与应用,2009.
[3]周刚伟,苏凯.对网络安全技术的浅析[J].数字技术与应用,2009.
[4]李忍,戴书文.浅谈网络安全问题及防御[J].知识经济,2009.
网络安全防范体系篇4
信息技术的飞速发展,令整体信息市场变得更加复杂,而计算机网络系统技术逐步发展成为一个重要学科,现代社会之中更多的培训学校崭露头角,导致计算机网络系统安全技术工作人员掌握的技术实力与水平并不平衡,呈现出参差不齐的状态。技术员工素质水平不高,导致在维护管理企业通信网络系统安全的过程中势必会形成不同类别的安全漏洞,令整体体系陷入混乱不堪的局面。而正式的技术员工还会由于没能重视网络系统整体安全的重要性,而在实践过程中存在敷衍、应付的问题,这些现象均成为威胁计算机网络通信系统安全的重要因素。
2提升计算机通信网络安全科学对策
2.1创建整体化防范系统创建完善、整体化的计算机通信网络安全系统是做好安全防范工作的一项重要内容。由于整体企业网络系统较为庞大,应用单一一种方式保障计算机通信网络系统安全存在一定难度。信息时代,为令企业信息系统更加安全可靠,便需要采用现代化的方式手段,引入先进性的工具设施,激发其核心功能价值,进而确保网络系统整体安全,降低企业后续维护管理耗费的经济损失。有关技术员工应更为注重网络安全,创建完善的防范系统,针对连接企业内部应用系统的计算机应做严格细致的把关与筛选。同时,在设置客户端应用密码的过程中,应通过多重防护进行有效防范。唯有如此,企业计算机通信网络系统安全方能得到更大的保障,进而推动企业的不断进步与全面升华,促进市场经济的飞速发展。
2.2健全网络系统管理体制计算机通信网络技术快速发展的时代,网络安全问题渐渐被人们忽视,进而导致网络体制存在一定的漏洞,对企业提升生产管理效益形成了不良威胁。为此企业工作人员唯有注重计算机通信网络安全,提升安全防范意识,强化网络安全系统建设,方能达到事半功倍的工作效果。当前,网络系统进入到更多的企业之中,有关机密的信息数据、企业重要资料均存储至计算机系统之中,因此安全管理人员应更为重视网络安全,进而为企业单位的健康持续发展提供更优质的内在保障。网络管理工作人员应更多的借鉴吸取先进的经验,掌握符合时代需要的安全管理工作方法,形成对通信网络系统安全保障的正确认知。同时应强化体制建设,创建出更为完善健全的网络系统平台,引进更多的优秀人才,进而为企业单位的安全、健康、持续发展保驾护航。
2.3提升计算机通信网络安全技术水平提升计算机通信网络安全技术水平为确保整体网络系统有用性的重要环节。企业安全系统之中,应引入有效的防范措施,通过科学的手段方式做好多重防护。企业工作人员登录内网应设置单独的口令,进而确保企业单位内部系统安全。通常应对外部入侵行为需要借助防火墙系统,采取必要的访问控制手段,利用专业化的安全管理知识确保企业整体安全。在引进工作人员的过程中,应注重考核应聘人员的专业技能以及综合素质,创建健全完善的人才培养机制,方能为企业单位计算机通信网络安全提供更大的保障。
3结论
网络安全防范体系篇5
随着信息产业的高速发展,众多企业都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。
关键字:信息系统 信息安全 身份认证 安全检测
abstract:
alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheinternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:informationsystem informationsecurity
Statusauthentication Safeexamination
一、目前信息系统技术安全的研究
1. 企业信息安全现状分析
随着信息化进程的深入,企业信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。
2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%.
对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低 。
2. 企业信息安全防范的任务
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:
从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality )、完整性(integrity)、抗否认性(non-Repudiation) ,可用性(availability)。其他安全:病毒防治、预防内部犯罪。
二、计算机网络中信息系统的安全防范措施
(一)网络层安全措施
①防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入internet网络为甚。
网络安全防范体系篇6
1、网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2、现有网络安全技术
计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
问题类型问题点问题描述
协议设计安全问题被忽视制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误协议设计错误,导致系统服务容易失效或招受攻击。
软件设计设计错误协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作操作失误操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护默认值不安全软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统软件和操作系统的各种补丁程序没有及时修复。
内部安全问题对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(iDS)、防病毒软件、Ca系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。
3、现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:
一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;
二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;
三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;
四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对ip地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的oS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。
4发展趋势:
中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
4.1、现阶段网络安全技术的局限性
谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。
任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
4.2、技术发展趋势分析
.防火墙技术发展趋势
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,Utm(Unifiedthreatmanagement,统一威胁管理)技术应运而生。
从概念的定义上看,Utm既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合Utm的概念;而从后半部分来看,Utm的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
Utm的功能见图1.由于Utm设备是串联接入的安全设备,因此Utm设备本身必须具备良好的性能和高可靠性,同时,Utm在统一的产品管理平台下,集防火墙、Vpn、网关防病毒、ipS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向Utm方向演进将是防火墙的发展趋势。Utm设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像ip、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。ipS理念在20世纪90年代就已经被提出,但是目前全世界对ipS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于Utm设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
二网络安全面临的主要问题
1.网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全措施加以防范,完全处于被动挨打的位置。
2.组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐患,从而失去了防御攻击的先机。
3.组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击者以可乘之机。
4.组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5.网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络,不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。
三网络安全的解决办法
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
1.安全需求分析"知已知彼,百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。
2.安全风险管理安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。
3.制定安全策略根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4.定期安全审核安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。
5.外部支持计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。
6.计算机网络安全管理安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。
网络安全防范体系篇7
关键词:烟草;计算机网络;网络安全;防范措施
中图分类号:tp:文献标识码:a:文章编号:1673-9671-(2012)022-0112-02根据烟草行业计算机信息网络建设规划,安徽省各地市级烟草公司均已建成了上接省局(公司)、向下覆盖各县局(公司)及基层对所的互联互通、信息共享的信息网络。在网络的每一级节点上,都各有一个局域网,并在多级网络上运行着综合业务系统、专卖系统以及办公系统等。考虑到网络结构和应用系统的复杂性,网络安全体系的建立和网络安全解决方案的制订就显得十分重要了。
1信息网络安全概述
信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据遭受到故意或偶然的非授权泄露、更改、破坏,使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。信息网络安全包括网络自身的安全和网络内信息的安全两部分。
2地市级烟草公司信息网络安全面临的威胁
信息网络安全的威胁主要来自于内部破坏和外部攻击,是一个动态的复杂过程,它贯穿于信息资产和信息网络系统的整个生命周期。
2.1外部威胁
病毒传播、黑客攻击、垃圾邮件泛滥等已成为影响最为广泛的安全威胁。
2.1.1计算机病毒
计算机病毒具有传染性、隐蔽性、潜伏性、可激发性、破坏性等特点,令人防不胜防,计算机病毒已经成为计算机网络最大的安全隐患之一。计算机病毒对信息网络安全威胁极大,轻者影响计算机运行速度,抢占资源,重者破换数据文件,窃取秘密资料,造成信息网络系统瘫痪。目前,烟草行业网络建设相当完善,主干网络通过专线连接各级局,经营主体企业都有独立的internet出口,日常经营活动工作主要依靠信息网络平台支撑实现,雄厚的信息网络资源也为病毒传播提供了便捷,一旦病毒泛滥,造成的损失将是不可估量的。
2.1.2黑客攻击
黑客攻击是指黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。黑客攻击是一种高智能、高技术的犯罪形式,并且随着各种攻击软件工具的出现,黑客攻击也变得越来越普遍,据趋势科技统计,85%个人计算机使用者担心黑客入侵,由此可见黑客攻击的普遍性。黑客攻击给信息网络系统与用户信息的安全带来严重的威胁与挑战。
2.1.3垃圾邮件威胁
随着internet的迅猛发展,网上电子邮件的传输日益频繁,据统计现在垃圾邮件每天超过1 200亿封,全球范围内,平均每个人每天收到20封垃圾邮件。超过80%的垃圾邮件源自受感染的僵尸计算机,一旦触发,令人防不胜防。企业和个人需要了解这些几乎不可见,但却十分危险的威胁,并做好防护。
2.2内部威胁
公安部曾作过统计,70%的泄密犯罪来自于内部,电脑应用单位80%未设立相应的安全管理体系,58%无严格的管理制度。
目前烟草企业由于信息安全管理制度不健全或贯彻落实不够;员工的安全防范意识不强;构建安全体系的资金投入与运维现状需求存在矛盾等因素,导致安全管理层面的安全措施及安全技术难以有效实施。如果相关技术人员违规操作(如管理员泄露密码),即便有最好的安全技术的支持,也保证不了信息网络安全。
另外由于认知能力和技术发展的局限性,在软件和硬件设计的过程中,难免留下技术缺陷,存在一定的薄弱环节和不安全因素,造成信息网络的安全隐患。
3防范措施
由信息化过程中企业面临的安全威胁可见,有众多的网络安全风险需要考虑,因此,烟草企业必须采取统一的安全策略来保证网络的安
全性。
3.1外部威胁的防范措施
3.1.1防病毒
通过建立专业的防病系统,采用主流的网络版防病毒软件,包括服务器端和客户端两部分,服务器端是防毒系统的管理端,下载更新病毒库,客户机端由服务器统一管理,自动更新,保证了烟草企业信息网络能快速、全面的清杀病毒;在硬件方面,为了阻断来自外网的aRp、蠕虫等病毒对内网的攻击,企业内网出口处部署网络防毒墙和防病毒网关,有效地遏制病毒在烟草行业主干网上扩散。实践经验证明,将防病毒管理统一纳入全局的安全生产体系,统一管理、统一规划,以规章制度为基础,以技术手段为保障,努力营造安全、可靠的信息网络环境。
3.1.2防火墙
防火墙是一种网络安全保障手段,同时也是一种执行网络通信的访问控制尺度。防火墙的主要作用就在于通过在内外两个网络之间建立安全控制点,并控制进、出一个网络的权限,从而实现对进、出烟草内部网络的服务和访问进行控制和审计,实现对外部网络用户非法通过外部网络进入内部网络进行访问、干扰和破坏的有效控制,保护内部网络资源。与此同时,从逻辑上来讲,防火墙也是一个分离器、限制器和分析器,其作用就体现在能够有效地监视内部网络和internet之间的任何活动,进而实现内部网络的安全。
3.1.3入侵检测
把入侵检测产品与防火墙联动起来,透过防火墙来监视局域网外部的攻击,并把触发联动的防火墙及时关闭该连接;同时对主服务器网段的异常行为进行监控,从而防止来自局域网内部的攻击,防止无意的误用及滥用行为的发生。可以说,入侵检测是针对防火墙做出的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力。
3.1.4网络加密(ipsec)
ip层是tCp/ip网络中最关键的一层。ip作为网络层协议,由于其安全机制对其上层的各种应用服务可以提供透明的覆盖式安全保护。因此,ip安全是整个tCp/ip安全的基础。同时,由于ipSec提供了逐个数据流或逐个连接的安全性保护,实现了非常细致的安全控制,它主要通过各种安全保护措施诸如验证算法、加密算法等一些特殊的安全保护机制来实现安全目的。因此它是目前唯一的一种能用于任何形式的internet通信安全保障协议。
3.2内部威胁的防范措施
3.2.1健全信息安全制度
构建一套切合实际、行之有效的安全制度是信息安全体系发展的基础。任何一个成功的机构、组织、企业的背后,一定有它们规范性与创新性的管理制度作为支持,在规范性地管理着日常活动,保证流程和效率。在信息网络安全管理方面也是同样如此,管理制度的是否完善、规范,一定程度上决定了一个企业信息网络安全的程度。信息网络安全管理的组织构架:实行一把手负责制,一把手是直接负责领导信息化建设,信息化领导小组下设信息技术中心,负责安全方面的具体事务,各基层设专职负责安全的系统管理员,在组织构架上保证企业安全体系的执行。信息网络安全制度应随着信息化的发展逐步完善。通过建立《计算机操作规范》、《信息化设备管理制度》、《技术、设备档案资料管理规定》、《网络巡检管理制度》、《中心机房管理制度》、《备份管理制度》、《系统维护管理制度》、《网络信息安全应急预案》等安全管理规范,用制度为烟草企业的信息网络系统顺利运行保驾护航,提高it系统效率,降低企业运行风险。
3.2.2身份认证
网络安全的身份认证是指在登录计算机网络时,系统对用户身份的一种确认技术。网络安全身份认证不仅是网络安全的第一道防线,也是一道最重要的防线。在身份认证的过程中,用户首先要经过身份认证系统对其身份进行有效识别,然后,访问监控器会根据用户的身份及授权数据库,来决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。
3.2.3访问控制
访问控制决定了用户可以访问的网络范围、使用的协议、端口;对用户能访问系统的何种资源以及如何使用这些资源进行控制。采用基于角色的访问控制与审计机制,通过控制网关,为不同的部门、不同职位的员工设置差异化的网络访问策略和网络访问权限。保障访问控制措施的有效性。加强日常检查机制,对业务流量实时监控与审计事件统计分析。部署入侵检测系统,建立完善的安全预警和灵活多样的安全应急反应体系。对出现的入侵行为进行实时报警和阻断。
3.2.4漏洞扫描
对一个网络系统而言,网络存在安全问题,容易遭受黑客攻击,究其原因,主要还是存在着一些安全隐患。就目前的网络系统来说,无论是在硬件、软件、以及协议的具体实现方面,还是在系统安全策略方面,都可能存在一定的安全缺陷。因此,及时检测出网络中每个系统的安全漏洞是非常必要的。通过部署微软为企业用户提供的wSUS(windowsServerUpdateServices)解决方案,定期对网络系统进行漏洞扫描,可以主动发现安全问题并在第一时间完成有效防护,让攻击者无隙可钻。
4结束语
总之,对计算机网络信息安全的防护是一项系统工程,任何单一的防护措施都不是万无一失的,网络信息安全工作遵循短板原理:圆木桶上最短的那块板决定了这个木桶可以装水的多少,要根据不同的现实问题,采取与之相适应的最佳防护策略进行综合防护。需要建立完善的机制,有效的监督执行,实时动态调整,变被动防御为主动防御,这样才能真正保障整个企业网的安全、稳定运行。
参考文献
[1]李海燕,王艳萍.计算机网络安全问题与防范方法的探讨[J].2011.
[2]张楠.浅析计算机网络安全的现状及对策[J].2010.
网络安全防范体系篇8
关键词:电子政务;网络安全;风险;防范
1电子政务网络安全概述
1.1电子政务网络安全发展现状
随着因特网的迅猛发展,我国信息网络技术进入了日益月异的发展阶段,并得以广泛应用。但因特网具有高度的开放性以及自由性,为应用创造极大便利的同时也对其安全性提出了更为严格的要求。现如今,电子政务网络安全问题日益突出,甚至在一定程度上阻碍了我国电子政务建设事业的健康发展,通过何种方式来提升电子政务网络的安全性己然成为亟待解决的问题。
1.2做好电子政务网络安全风险防范工作的意义
对于整个信息网络而言,电子政务是其中一个比较特殊的应用领域,涉及海量的需要严格保护的信息,相较一般电子商务,其表现出下述特点:首先,信息内容保密等级高;其次,在一定程度上影响甚至决定了行政监督力度;最后,通过网络能够为公众提供高质量的公共服务。电子政务网络一旦遇到安全风险,有可能导致重要信息丢失甚至暴露,带来难以估量的损失,也正因如此,电子政务网络也是信息间谍的首要攻击目标之一。由此可见,政府部门重视和做好电子政务网络安全风险防范工作,对于本部门的高效运行具有相当积极的现实意义。
2电子政务网络安全风险分析
2.1物理层风险分析
对于电子政务网络而言,物理层安全是其整体安全的基础。物理层风险主要包括:地震、洪水以及火灾等导致网络瘫痪甚至毁灭;电源故障导致断电、操作系统异常;设备失窃、损毁导致数据丢失甚至泄露;报警系统存在漏洞等。
2.2数据链路层风险分析
入侵者可能会以传输线路为突破口,在上面设置窃听设备以达成窃取数据的目的,然后再借助相应技术解读数据,还可能会对数据进行一定的篡改。此类风险因素会给电子政务网络安全埋下严重隐患。
2.3网络层安全风险分析
对电子政务网络所囊括的各个节点而言,其他网络节点均属于外部节点,属于不可信任范畴,均可能导致安全威胁。风险可能源自内部。攻击者借助snifrer之类的嗅探程序来寻找安全漏洞,然后在此基础上对内网发起攻击。风险也可能源自外部,入侵者可能以公开服务器为跳板向内网发起攻击。
2.4系统层安全风险分析
系统层安全一般是指网络操作系统、计算机数据库、配套应用系统等方面的安全。现阶段的操作系统,其开发商一定会设置相应的BackDoor(后门),另外,系统本身也必然存在若干安全漏洞。无论是“后门”,还是安全漏洞,均会埋下极大的安全隐患。就具体应用而言,系统安全性在很大程度上取决于安全配置,若安全配置不到位,将会为入侵者提供极大便利。
2.5应用层安全风险分析
随着网络技术的迅速发展,电脑远程控制呈现出简单化的发展趋势,受此影响,病毒、黑客程序有机结合之后往往带来更为严重的危害,而病毒的入侵通常会导致用户重要数据的泄露。病毒能够经由多种途径(如网上下载、邮件发送以及人为投放等)入侵内部网络系统,所以,其危害是相当严重的。在整个网络系统中,即便只有1台主机“中毒”,也会在很短时间里使其他主机受到感染,进而埋下数据泄露等一系列不安全因素。
2.6管理层安全风险分析
在网络安全中,管理属于核心部位。安全管理体系不完善,未能明确界定权责,极可能导致管理安全风险。当网络受到内部或外部的相关安全威胁时,难以及时且合理地应对,同时也难以对入侵行为进行追踪,换而言之,网络可控性以及可审查性不理想。因而,重视和做好管理层的工作便成了当务之急。
3电子政务网络安全风险的防范
3.1物理层风险的防范
使用那些可提供验证授权等功能的产品,对内外网用户进行高效管理,从而避免入侵者在没有授权的情形下对网络内的重要或敏感数据进行窃取和篡改,又或者对服务提供点发动攻击,防止入侵者通过伪用户身份取得授权而导致严重的网络危害。可借助系列路由器、防火墙产品、计算机网络管理平台之间的有机配合,以实现对用户信息(用户名、登录密码、权限)的科学管理,并在此基础上优化服务策略。
3.2数据链路层风险的防范
对于政府网络应用而言,其不仅涉及大量的内部应用(oa系统、文件共享以及邮件接收等),同时还涉及大量的外部应用(和合作伙伴之间的沟通等)。为实现对远程用户的有效控制,保证内网资源的安全性,可公共网络中开辟出专用网络,从而使得相关数据可以经由安全系数较高的“加密通道”传播。由国家相关要求可知,政府网络可依托既有平台构建属于自己的内部网络,但一定要采用认证以及加密技术,从而确保数据传输拥有足够的安全性。对于单独的Vpn网关而言,其核心功能是以ipSec数据包为对象,执行加(解)密以及身份认证处理,若采用该部署方式,防火墙难以对Vpn数据予以有效的访问控制,继而带来诸多负面问题。所以,在防火墙安全网关上集成Vpn便成了现阶段安全产品的主流发展趋势之一,可以能提供一个集灵活性、高效性以及完整性等诸多优点于一身的安全方案。
3.3网络层安全风险的防范
在所有网络出口处设置防火墙能够实现对网络的有效隔离,将其划分为若干安全域,从而进行相应的访问控制。以防火墙为工具进行多网口结构设计,如此一来,能够为合法用户提供相关服务,与此同时,将非法用户的访问拒之门外。当防火墙配置了入侵检测这―功能时,便能够以自动检测的方式查找网络数据流中可能的、隐藏的入侵方式,并提醒管理员及时优化控制规则,最终为整个网络提供实时而有效的网络保护。
3.4系统层安全风险的防范
为实现对操作系统安全的有效保护,建议从下述两点着手:首先,使用具有自主知识产权且向政府提供源代码的那一类产品;其次,以系统为对象,通过漏洞扫描工具进行定期扫描,以便及时发现相关问题。
3.5应用层安全风险的防范
建议安装高性能的专业防火墙,要求具备下述功能:(1)外部攻击防范;(2)内网安全;(3)流量监控;(4)邮件过滤;(5)网页过滤;(6)应用层过滤等。引入和应用以aSpF为代表的应用状态检测技术,在验证连接状态是否正常的同时,也可实现对异常命令的有效检测。
3.6管理层安全风险的防范
对于网络安全而言,管理层安全是其核心所在。通过安全管理的有效实施可为各项安全技术的顺利实施提供有力保障,建议从两方面入手:首先,立足本地区以及本部门的实际情况,制定和实施针对性的安全管理规范,充分利用网络,发挥其在信息化建设工作中的重要作用,推动政府部门信息化建设工作的顺利、高效开展;其次,以可能发生的电子政务网络突发事件为对象,制定配套的应急预案,构建健全的应急机制,从而尽可能地消除突发网络事件所带来的负面影响,最终为电子政务网络的高效运行奠定坚实基础。
4电子政务网络安全体系建设案例
4.1某市电子政务现状分析
某市现辖三市(县级市)、五县、五区和一百多个基层政务单位。在政府信息化建设的大背景下,该市的市政府行政管理体制正积极向精简化、统一化以及高效化的方向不断发展。现阶段,各级政务单位均结合自身的具体情况构建起了不同形式的、规模大小不一的办公网络,然而在互联方面考虑不足,相互之间形成了所谓的“信息孤岛”,因而构建具有高度统一性质的电子政务外网平台,以保障网络资源的充分共享已然成为当务之急。值得一提的是,各级政务单位在构建自身网络的过程中没有进行统一规划,因而无论是在安全防护上,还是在安全管理上,均存在较明显的欠缺,所以,如何保障电子政务网络安全成了亟需解决的问题。下面将针对其整体解决方案予以进一步探讨。
4.2整体解决方案
为实现对该市电子政务外网平台的全面、有效保护,应遵循“全网部署、一体安全、简单为本”的原则,为其构建一个一体化的全面安全防护体系,从而最大程度地满足用户的实际需求。
4.2.1全网部署
在电子政务外网平台体系中,各级政务部门于广域网出口处设置了天清汉马USG一体化安全网关如图1所示,并将集中管理系统设置在了该市的市政府信息中心,能以整个网络体系为对象进行统一化管理。在统一化管理模式下,管理员通过面前的计算机便能够及时了解各级政务部位的网络状态,尤其是各类风险以及威胁,若察觉到局部突发性质的不安全事件,可马上对整个网络的安全策略进行相应调整,然后统一下发,消除网络威胁,减轻不利影响,从而构建一个具有在线监测和高效防护功能的一体化安全风险管理体系。
4.2.2一体安全
对于天清汉马USG一体化安全网关而言,其优点表现在两大方面,一个是高性能的硬件架构,另一个是一体化的软件设计,集若干项高效的安全技术(防火墙、Vpn以及入侵防御等)于一体,还推出了QoS、负载均衡以及日志审计等实用功能,可为网络边界提供及时而强大的安全防护。这便是“一体安全”的重要体现。除此之外,借助集中管理技术能够对系统中的多台计算机同时下发安全管理策略,如此一来,大幅简化了安全策略的具体实施过程。
4.2.3简单为本
面对电子政务日趋复杂的网络环境,通过何种途径来更加简单地进行安全防护成了整个方案亟需解决的问题之一。“简单”在某种程度上是安全的一种外在表现形式,同时技术层面的创新是达成“简单”目的的途径。天清汉马USG一体化安全网关在设计过程中便充分体现了这一理念,并在实践应用中取得了较理想的效果,集中反映在下述方面:(1)设备部署变得简单;(2)防御威胁变得简单;(3)策略实施变得简单;(4)管理维护变得简单。
网络安全防范体系篇9
关键词:三维度端到端安全体系架构;平煤集团
中图分类号:tp311文献标识码:a文章编号:1009-3044(2010)03-736-02
thrgee-demensionalDegreeofend-to-endintegrtedSecurityarchitectureappliedinpingmeiGroup
XiaoZhen-yu1,wanGHong2
(puterCommunicationBranchofpingmeiGroup,pingdingshan467000,China;2.pingdingshanindustrialCollegeoftechnology,pingdingshan467001,China)
aBstract:thispaperbasedontheinformationnetworkdesigninpingmeigroup,introdecethefeaturesofthree-dimensionaldegreeofend-to-end,andappliedinpingmeiGroup.Researchforthemeasuresandstrategiesofnetworksecurity.
Keywords:thrgee-demensionaldegreeofend-to-endintegrtedsecurityarchitecture;pingmeigroup
1三维度端到端集成安全体系架构简介
三维度端到端集成安全体系架构是基于对当前网络发展需求的研究,最佳的安全解决方案,从时间、空间、网络层次三个纬度立体式的考虑端到端集成的安全体系架构,给用户一个完整清晰的网络安全导航图,能够全面满足企业信息化安全解决方案的需要。
在该架构中,大家除了可以从熟悉的网络层次视角来看待安全问题,同时还可以从时间及空间的角度来审视安全问题,从而大大拓展了安全的思路与视觉,具备全面考虑与实施安全防护的模型与能力。
2平煤集团网络特点
平煤集团企业网络在物理网络环境上,分布在平顶山市内的各生产矿、二级单位基本上都具备了联入平煤集团骨干网络的条件。但是一些偏远地区如石龙区大庄、高庄(直线距离50里)目前采用2m微波方式的联网;朝川、新丰、白庙等新收购矿井分布在市区郊县内,并且位置比较分散,目前我们还没有线路资源,是租用光纤或采用微波、无线,要视具体费用情况来定;开封的碳化硅厂距离比较远约200公里,只有采用租用光纤或通过互联网的Vpn技术实现;平煤集团(集团)公司在北京、郑州、青岛、深圳、上海、广州等地还有各类驻外办事机构的网络接入方式可能只有能互联网的Vpn才能实现。
今天,it、网络相关人员对黑客、病毒攻击的危险性都有了深刻的认识,所以很多网络都大量投资了防火墙、防病毒软件等。但一段时间运作下来,发现效果并不理想,病毒依然时常泛滥、重要信息常被泄露、网络可用性差,原因何在,关键在于安全是一个完整的体系,原来的安全体系架构存在巨大的缺陷:
从时间来看,网络安全设计及解决方案往往只考虑事前防范,缺乏必要的事后追踪及审计能力,时间层面上并没有端到端考虑;
从空间来看,往往侧重于考虑对来自外网的黑客防御,对于内部的安全控制缺乏必要手段,空间层面并没有端到端考虑;
从网路层面来看,往往侧重于业务层的安全,对网络层和用户层的安全缺乏必要关注。
三维度端到端集成安全体系架构,有机的统一了上面三个方面的网络缺陷,从而使网络趋于更加安全。
3三维度端到端集成安全体系架构在平煤集团网络的应用
3.1网络层次(网络层、用户层、业务层)端到端安全设计
网络的各层次均存在安全威胁的可能,平煤集团的网络安全设计充分体现了网络安全防范的分层思想,根据不同网络层次的特点进行有针对性的防范。
网络层:采用oSpF或BGp协议分区管理整个企业网络,保障网络路由,网络地址等基础网络的安全。
用户接入层:采用办公用网和民用网隔离,确保合法的用户接入,访问合法的网络范围,并保障用户信息的隔离等用户接入网络的安全。
业务层:采用mpLSVpn隔离各业务之间的访问,保证用户访问内容的合法性与安全性。
针对传统网络在用户层防范比较薄弱的缺陷,可采用大量的增强措施,如用户接入认证、地址防盗用、访问控制等能力。
3.2时间(事前、事后)端到端安全设计
以前业界更关注网络的事前防范能力,而对事后跟踪能力考虑很少,在安全事件发生前后,要求网络所能提供的支持也是不同的,其花费的代价与技术实现难度有非常大的差别:
事前防范:主要通过数据隔离、加密、过滤、管理等技术,加强整个网络的健壮性。
事后跟踪:通过对用户上网端口、时间、访问的记录,全面提供用户上网的追溯能力,从而为后期的分析提供第一手的资料。
实际上日志记录等功能是一个非常良好的追溯手段,在出现问题时可以根据记录迅速查找源头,防止事态进一步扩大;同时可以通过法律惩治罪犯,以警后人。但原来的日志记录都仅限于在应用层的服务器做。这个方案最大的问题就是宽带网络提供灵活的接入手段使得接口分布广泛,仅在应用层做记录无法定位用户的位置,特别是当出现应用层账号密码盗用时给后期的进一步追查带来很大的困难。网络安全架构提供在网络级做日志记录的能力,可以定位到端口,从而确定物理地点与时间,将会给后期进一步查明真相带来很大的帮助。特别是针对我国ip地址比较少,公有地址和私有地址混合组网等随处可见的情况,独具在私有地址环境下的追溯能力。
3.3空间(外网、内网)端到端安全设计
以往的安全体系侧重在外网防范上下工夫,而对内网安全考虑很少。接入internet的外网与办工系统的内网所面临的网络环境、安全防范的目标、对用户的管理力度都有很大的差异,所以必须针对外网与内网的不同特点制定有效的安全策略:
外网:通过Vpn、加密等保证信息安全,通过网络防火墙、病毒防火墙等防范网络攻击,侧重的是防范。
内网:通过对用户的识别,保证合法的用户访问合法的网络范围,并做好访问记录,侧重的是监控。
在目前这样一个人员高动流动的时代,大部分的泄密均源自内网。原因是传统网络提供的是一个平等的数据交换平台,而实际上不同的人员其访问的范围应该是有所不同。比如普通员工只能谈问本部门的办工服务器,而领导则可以访问某些重要服务器。如果不对人员访问权限进行合理的控制,则必然对重要信息产生极大威胁。原有的在应用层进行用户鉴权与访问控制的方案由于用户已合法接入网络,可以监听到相关信息,实施攻击,所以效果往往不尽如人意。也正是因为这个原因,今天的安全已是一个涵盖网络级、应用级的在内的完整概念。从网络级就对用户进行访问控制,将大大增加非法用户进一步实施盗取与攻击的难度,从而增强安全防护体系的效能。
随着网络上应用的进一步增多,随着网络进一步深入人们的生活,入侵与反入侵、盗用与反盗用的斗争也必将升级。而网络的安全防护作为一个系统工程,其范围与深度早已超出了我们原来的预料,并还将进一步发展。
3.4网络安全策略
全网的安全策略包括网络安全策略,节点安全策略,数据安全策略,和持续安全策略。
网络安全策略:主要保证网络拓扑机构的合理性,全网各个节点之间的连接线路的可用性。
节点安全策略:主要保证各个节点内的设备不受攻击,保证服务不中断。
数据安全策略:保证系统重要数据得到及时有效的备份保护,并避免受到非法使用者的篡改等。
持续安全策略:是从发展的角度,提出如何对系统的安全缺陷及时跟踪和修正,保证网络的长期安全性。
3.5网络安全措施
网络安全措施:全网从骨干拓扑结构到连接链路均考虑路由的备份,采用分层的拓扑结构,支持动态迂回路由。企业网核心节点设备可以通过动态路由协议保证网络可达,通过流量工程合理规划流量、通过快速重路由保证转发的延续性。还通过划分Vpn网络、VLan网络来保障专业行业网络的安全性。
节点安全措施:在城域网核心节点设备的主控板、交换网板、时钟板、电源等部件都具有冗余配置能力,线路板支持在线热插拔而不会丢失数据,能够保证设备的不间断运行。
在汇聚层设备方面,为了保障网络安全,降低网络故障,所有关键部件采用冗余备份设计,如:电源模块备份,控制和交换板采用冗余备份。对网络设备采用多级安全密码体系,限制非法设备和用户登录,在出现软硬件故障时,可以迅速切换到备用模块,保障业务的不间断运行。
数据安全措施:关键数据采用身份认证与授权,通过访问权限限制,加密保存,加密传输,同时网络和系统中各种重要数据进行及时有效的备份。
持续安全措施:与用户共同制定完善的管理规范,通过良好的手段达到防微杜渐的目的。为了安全起见,需通过防火墙进行隔离,使得网络管理系统中的主机变得更加安全。此外,利用数据库服务器外接的磁带机达到文件系统、数据库、网管信息以及操作系统的备份功能,使网络管理系统内部的各台主机有更高的安全等级。安全管理服务器进行网络中安全隐患的查询以及网络中安全漏洞的分析。通过安全检测软件对网络的运行进行监控,可以实时检测网路中出现的一切可疑隐患,从网络层、操作系统层、应用层等各个层面对网络进行分析探测。实时监控结点的入口处,确保网络免受黑客攻击。
3.6其他安全措施
路由器依据路由信息表来发送报文。动态路由协议负责接收其他路由器传送来的路由信息,并发送自己维护的路由信息。在接受任何路由变化的信息之前,需要对此路由信息的发送方进行验证,以保证收到的是由信任的源发送的合法的路由信息。
需要对邻接路由器进行验证的路由协议有
BorderGatewayprotocol(BGp)
openShortestpathFirst(oSpF)
Routinginformationprotocol(Rip)Version2
如果运行了这些路由协议中的一个或多个协议,并且有可能接收到虚假的路由信息的话,则有必要配置对邻接路由器的验证。
高端核心路由器产品不论是路由处理系统本身,还是分散的业务处理板都提供包安全过滤/aCL的机制,防止非法侵入和恶意报文攻击。对重要的路由协议(oSpF,iS-iS,Rip、oSpF等)也提供多种验证方法(明文验证、mD5、HmaC-mD5)。支持2种用户鉴权模式:本地验证和Radius验证来对用户身份和授权进行验证,防止对设备的非法配置。支持对流的过滤、重定向、采样、镜像等功能,该特性可以采样和分析网络流量,对网络安全、网络规划和运营有重要意义。nat业务板具备完善安全日志功能,可以有效的监控地址转换信息。
4小结
网络安全是一个系统工程,不仅要配备防火墙、防病毒网关等系统设备,更重要的是要从管理和流程上设立信息安全级别,并明确权限和责任。包括对网络资源访问权限的控制,对病毒及攻击的检测和防范,对网络使用情况的监控等。特别是在目前情况下平煤集团的一些应用系统都在系统内要求保证安全,不能被网内和网外的其它非授权用户访问,但又要允许被授权的用户如集团公司领导,相关的业务管理人员等进行访问。而应用系统的组成部分如瓦斯监测系统要求分布在各二级单位的生产矿的监测系统联成网,但是又要保证集团公司部分领导能进行瓦斯监测系统的查询访问,又隔离其它未授权的网络访问。实现的方式尽量能达到最优,又不影响到网络性能,使网络不至于过于复杂难以管理。总之,网络安全是一个循序渐进的过程,在这个过程中,我们会摸索出更多、更适合自己企业的网络安全方式。
参考文献:
[1]蔡敏,徐慧慧,黄炳强.UmL基础与Rose建模教程[m].北京:人民邮电出版社,2006.
[2]李洋,郑龚等译.UmL和模式应用[m].北京:机械工业出版社,2006.
[3]潘爱民.计算机网络[m].4版.北京:清华大学出版社,2004.
[4]曹天杰,张永平,苏成.计算机系统安全[m].北京:高等教育出版社,2003.
网络安全防范体系篇10
关键词:网络金融风险防范措施
一、前言
自20世纪90年代以来,伴随着网络技术的迅猛发展,人们的消费方式发生了翻天覆地的变化,整个社会的经济结构经历了巨大的调整,电子商务作为一种全新的经济形式风靡全球。电子商务的迅速发展有力推动了网络金融的发展。所以说,网络金融是网络时代的特殊产物,是金融与网络技术全面结合的成果。
网络金融主要包括网上银行、网上证券、网上保险、网络期货、网上支付、网上结算等金融业务,人们可以通过网络足不出户处理金融问题和享受金融服务。但人们在享受网络金融带来的便利的同时,也面临着前所未有的网络金融风险。
二、网络金融风险的种类
从业务技术角度分析,网络金融风险可分为两大类:基于网络信息技术导致的技术风险和基于网络金融业务特征导致的业务风险。基于网络信息技术导致的技术风险主要包括安全风险和技术选择与支持风险,基于网络金融业务特征导致的业务风险主要包括操作风险、市场选择风险、信誉风险和法律风险。
(一)网络信息技术风险
1.安全风险。网络金融的安全风险主要来自于计算机系统停机、磁盘列阵破坏及网络外部的数字攻击,计算机病毒破坏等因素。网络金融交易运行的载体是计算机网络,所有的交易资料都存储在计算机中。互联网下的信息传递很容易成为网络黑客攻击的目标。据调查,网上黑客的攻击活动能量正以每年10倍的速度增长,他们利用网上的任何漏洞和缺陷非法进入主机、窃取信息、发送假冒电子邮件等。计算机网络病毒可通过网络进行扩散与传染,传播速度是单机的几十倍,一旦某个程序被感染,则整台机器、整个网络也很快被感染,破坏力极大。
2.技术选择与支持风险。传统商业金融机构为支持网络金融业务的开展,必须选择一种网络金融技术解决方案,而其所选择的方案可能存在设计缺陷或被错误操作,这就造成了网络金融的技术选择风险,可能使金融机构所经营的网络金融业务因技术陈旧、网络过时而引起巨大的技术机会损失。同时,由于网络技术具有较强的专业性,金融机构的网络技术问题往往依赖外部市场的技术服务支持来解决,这种做法在一定程度上适应了网络金融发展的需要,提高了金融机构的工作效率,但也使传统商业金融机构暴露在可能出现的操作风险之中.这就造成了网络金融的技术支持风险。
(二)网络金融业务风险
1.操作风险。网络金融业务的操作风险一方面来自网络银行安全系统,另一方面来自网络银行客户。网络银行安全系统的设计缺陷、银行职员的操作失误、系统错误等均可能导致网络金融业务出现操作风险,甚而危及网络银行的总体安全;网络银行客户在使用网络银行时的疏忽大意也可能导致网络金融业务的操作风险。
2.市场选择风险。网络金融的市场选择风险是指由于信息不对称引起网络银行在选择方面处于劣势地位而导致的业务风险。如网络银行客户利用网络的特点,对自己的信息实施隐蔽,使得网络银行在鉴别客户风险水平时而处于不利的选择地位。
3.信誉风险。信誉风险带给金融机构的是持续性的、长期的消极影响。一旦发生信誉风险,不仅会使公众失去对银行的信心,还会使银行同客户之间长期建立的友好关系受到损害,使银行面临丧失客户和资金来源的风险。而网络银行业务由于采用的多是新技术,更容易发生故障,任何原因引起的系统问题都会给银行带来信誉风险。
4.法律风险。网络银行业务涉及诸多法律,主要有:消费者权益保护法、财务披露制度、隐私保护法、知识产权保护法和货币发行制度等。对任何一项法律条文的疏忽都可能使金融机构处在法律风险的风口浪尖。
三、网络金融风险的影响
就其本质而言,网络金融风险与传统商业银行金融风险并无区别。但需要特别指出的是,引发网络金融风险的因素以及网络金融风险对传统商业银行和网络银行的影响则与传统商业银行金融风险大不相同。例如,在传统商业银行背景下,安全风险可能只带来局部损失,但在网络金融中,安全风险则会导致整个网络的瘫痪,是一种系统性风险。所以说,网络金融风险将放大传统金融风险。
首先,传统商业银行业务面对的对象是实际的货币,而在网络金融业务中,经济活动的表现形式已不是货币资金的流动,而是代表货币资金的数字化信息,这种信息所代表的货币量已大大超过了实际的货币数量。
其次,网络技术所特有的高效远程处理功能,在为金融服务和产品提供快捷的技术支持的同时,也加大了支付、清算风险的国际性波及速度和范围,使风险的聚集变得轻而易举,而使风险的预防变得困难。在传统商业银行“纸质”结算中,对于出现的偶然性差错或失误,有一定的时间进行纠正。但在网络金融业务中,这种纠正的余地大大缩小,错误的补救成本加大。
第三,网络金融业务的操作平台是互联网,网络的虚拟化特征使金融业务交易也变得“虚拟化”。在网络金融业务中,交易对象和交易过程都变得隐蔽,使金融风险形式更加多样化。
最后,网络金融风险将加剧金融危机的爆发性和破坏性。一些超级金融集团为追求自身利益,利用国际金融交易平台进行大范围的国际投资与投机活动.加大了金融危机的突发性。互联网的开放性加大了金融风险的“传染”性。在传统金融中,可以通过一系列强制手段将风险隔离,但在网络金融中,这种隔离的可行性大大减弱,国与国之间的风险相关性日益加强,金融危机一旦形成,会迅速波及世界各国。
四、网络金融风险防范措施
认识到网络金融风险的存在及其不良影响,并不意味着不要发展网络金融。相反,网络金融的发展是大势所趋。为了保证网络金融的健康有序,必须着力加强网络金融风险防范。鉴于网络金融的特点,网络金融风险的监管和控制措施也就不同于传统金融风险管理的手段和方式。
(一)加强网络金融系统的基础建设
我国在信息技术的发展方面起步较晚,目前我国使用的计算机软硬件系统大多是引进国外相对落后的产品,这也在很大程度上对我们进行网络金融风险防范带来了不利影响。因此,我们应重视信息技术的发展,加快我国信息产业发展进程,大力发展先进的、具有我国自主知识产权的信息技术,以加强网络金融系统的基础建设,提高计算机系统的关键技术水平,提高计算机软硬件系统的安全防御能力。只有如此,才能从根本上防范和减少网络金融安全风险及技术选择与支持风险。
(二)完善金融系统计算机安全管理办法,建立金融系统网络金融风险防范机制
网络金融风险的本质是仍然是金融风险,传统金融机构作为网络金融的主体应从源头上加强网络金融风险防范。金融机构应加强内部控制职能,充实内部科技力量,制定完善的计算机安全管理办法,建立网络金融风险防范制度,健全本系统计算机安全管理工作机构,聘请专业人才成立专门从事防范网络金融风险的专职队伍。
(三)加强防范和控制网络金融风险的法制体系建设
我国目前已初步制定《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等计算机使用安全保障等方面的法规,并在刑法中对计算机犯罪的罪名做出了相关规定,但防范和控制网络金融风险的法制体系建设还远远落后于网络金融的发展。我们应在借鉴发达国家的先进经验的基础上,及时制定和颁发相关法律法规对电子交易的合法性、电子商务的安全性进行规范,尽快出台《电子商务法》,对数字签名、电子凭证的有效性进行明确规定,明确电子商务中银行和客户双方的权利和义务。同时还要完善对金融行业的监管规章,增加对其提供的网络金融业务的监管。
(四)加快社会信用制度建设、健全个人信用体系
据统计显示,发达国家的企业逾期应收账款约占贸易总额的0.25%~0.5%,而在我国,这一比例却达5%以上。我国的个人信用体系也基本属于空白。因此,我国要发展电子商务,发展网络金融,必须加快信用制度和个人信用体系建设,这是降低网络金融虚拟性所带来的风险的有力保证。金融机构应以结合传统纸质结算为基础,开发个人信用数据库,并实现个人信用信息共享,用以提供个人信用报告网络查询服务、个人信用资信认证、信用等级评估和信用咨询服务,逐步建立个人信用体系。无论是对传统的金融业务,还是对新兴的网络金融,健全的个人信用体系,完善的社会信用制度都是减少金融风险,促进金融业规范发展的制度保障。
(五)将网络金融风险防范纳入现代金融体系制度建设
近几年来,我国的现代金融体系制度建设取得了很大的成就。要长期有效地防范网络金融风险,维护网络金融的健康发展,就应将网络金融风险防范纳入到我国的现代金融体系建设制度中来,建立起发展网络金融的总体规划和统一的技术标准,将防范网络金融风险作为一项长期的工作,坚持不懈。目前我国的网络金融业务之所以漏洞较多,与金融系统电子化建设没有统一规划,没有统一的技术规范是密不可分的,只有将网络金融的发展纳入现代金融体系建设,统一规划,制订统一的技术标准规范,才有利于网络金融系统的统一监管,才能使网络金融系统内部的协调一致,减少支付结算风险,并有利于其它风险的监测和防范。
(六)加强国际合作,基于国际协调防范网络金融风险
网络金融风险具有较强的“传染性”,防范网络金融风险是世界各国共同的任务。我国目前信息技术水平不高,防范网络金融风险的人才匮乏,为此,有必要以开放的姿态,与国际具有较高的网络金融风险防范能力的国家和机构合作,利用对方成熟的技术基础,解决我国网络金融业务的软硬件难题。例如,目前全球已经有由42家金融机构合作成立的认证中心可以为133个国家的公司提供认证服务。利用这些开放的、成熟的国际认证中心,有利于我国的金融机构快速安全地实现跨境电子银行业务。同时,还可以借鉴世界先进国家和机构防范网络金融风险的成功经验,使我国的网络金融风险防范工作事半功倍。
网络金融的发展为人们提供了便利、快捷的金融服务,但也带来了前所未见的网络金融风险,这些风险的存在大大影响了交易和资金的安全性,影响了金融业的健康向上发展。因而,防范网络金融风险,以保障网络金融业务对经济发展的良性促进作用是非常必要的。
参考文献:
[1]李虹.网络金融特殊风险深化[J].浙江金融,2007(11).