网络安全防护方法
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全防护方法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全防护方法范文第1篇
当今时代是一个计算机网络信息化时代,计算机网络技术早就渗入到了人们的生活及工作之中。鉴于计算机网络技术的影响,人们的生活方式与生活习惯都发生了特别大的变化,同时人类对于计算机网络的依赖程度也在逐年升高。计算机通信网络能够给计算机信息提供一个便捷,高效且比较安全的信息取得,输送,处理和使用通信环境与传输通道。然而鉴于计算机通信网络具有广泛联结性及开放性等特点,因此信息在传送的过程别容易出现通信安全问题。特别是随着通信网络一体化与资源共享信息改革进程的逐年加快,计算机通信网络安全问题也越来越突出,怎样提高计算机通信网络的安全防护属于当下信息化时代必须要解决的问题。
一、如今中国计算机通信网络安全现状及存在的安全问题
近年来,由于计算机网络的快速发展,计算机网络安全问题已然成为了社会及人类关注的重要问题之一。尽管科技人员们早就研发出了如同服务器,防火墙及通道控制机制等众多复杂的计算机通信安全防护软件技术,然而黑客的攻击还是给计算机通信网络的安全带来了巨大的隐患。如今,计算机通信网络安全问题主要可以分成两大部分:第一部分为计算机自身系统因素;第二部分为人为因素。在影响计算机通信网络安全的两大因素中,相对于计算机自身系统因素而言,人为因素对计算机通信网络所造成的安全影响要更大一些,其危害程度也要更深一些。
(一)计算机因素
1.计算机软件系统所存在的漏洞。计算机软件系统漏洞的存在主要是由于软件在设计时未思虑周全,造成通信协议及软件应用系统存在某些的缺点,如果这些漏洞及缺点被非法分子及黑客知道了,那么他们就会通过这些漏洞攻击计算机系统。再者,软件设计者通常会设定某些后门程序以方便自己进行特定程序的设置,如果这些程序被黑客破解了,那么整个计算机系统就将面临瘫痪的危险。
2.计算机病毒。计算机病毒属于一组可以自我复制,且可以入电脑程度中损坏计算机程序,抑或直接破坏数据的程序代码。计算机网络的发展从某种程度上说也带动了计算机病毒的发展,特别是当下的计算机网络提速给病毒及木马的传播提供了有利的条件。如今的通信网络绝大部分属于3G网,在某些人看来,3G智能手机及3G平台或许将成为病毒的重要栖息场所。
(二)人为因素
如今许多网络管理人员根本就没有网络安全意识,时常会出现一些人为的失误,比方说口令密码设置过分简单;有些管理人员甚至还会犯将密码口令告诉他人的错误;某些安全管理人员在进行安全设置操作时会因为操作不恰当而导致安全隐患的出现;同时某些非法分子或黑客可能会通过盗取他人身份的方式进入到安全系统之中,随意更改安全数据,肆意破坏安全系统。所有的这些因素都将使计算机安全系统陷入异常危险的境地之中,给计算机网络系统的安全带来了特别大的隐患。
二、提高计算机通信网络安全的防护方法
(一)提高通信网络安全技术
提高通信网络安全的技术主要有三种:第一种,防火墙技术。身为通信网络安全的第一道屏障,防火墙一般由技术,数据包过滤技术与网关应用三部分构成。防火墙的作用为分辨及限制外来的数据流,换句话说:用户所进行的操作都必须经过防火墙的检查,如此通信内网便可以得到较好的保护;第二种,鉴别技术。鉴别技术主要由数字签名,报文鉴别及身份鉴别构成。这一技术的作用在于防止互联网不安全现象的出现,比方说,数据被恶意更改及非法传输等等,更好地保护计算机通信网络的安全;第三种,密码技术。密码技术的思想依据为伪装信息,一般情况下,密码技术可以分成对称加密与不对称加密两种;而密码类型则有移位密码,代替密码和乘积密码三种。
(二)加强系统自然性能,进行通信网络安全教育
首先,在使用计算机通信网络的同时,慢慢完善通信协议,提高数据保密度,避免软件系统漏洞的出现。与此同时,选择那些责任心强且政治素质高的人进行计算机系统的管理及维护,选派专人进行计算机网络安全系统的管理。其次,管理人员必须充分意识到网络安全的重要性,相关部门还可以举办相关的安全研讨会,提高工作人员的通信网络安全意识,促进计算机安全网络系统的发展。
(三)出台一系列网络安全策略
计算机通信网络安全管理必须与行政手段相适应,从技术方面进行网络安全的管理。一般而言,计算机网络安全策略主要包括如下四个方面的内容:第一,网络安全管理策略;第二,物理安全策略;第三,访问控制策略;第四,信息加密策略。为防止未经授权的用户使用网络资源,公司可凭借网络管理的形式向终端用户提供访问许可证书及有效口令,同时对用户权限访问进行控制。此外,为避免未获授权用户对数据进行删除及修改等操作,通信网络还必须建立全面的数据完整性鉴别系统。
三、结束语
总之,计算机通信网络安全是一项艰巨且复杂的工作。网络用户及相关从业人员必须共同对其进行维护。网络用户理应熟悉且掌握计算机通信安全技术,同时还应具备较强的法律意识;而相关从业人员则必须具有较高的计算机安全防护水平,如此才有望创建一个时时刻刻都可以对计算机通信网络进行过滤与防护的安全系统,进而有效保证计算机通信网络的顺利运行。
参考文献:
[1]田地,崔学雨. 机电设备安装试运行异常现象分析与对策[J].中国新技术新产品,2010(01).
[2]张馨予. 计算机通信网络安全及相关技术探索[J].硅谷,2011(18):186.
网络安全防护方法范文第2篇
[关键词] 网络安全;安全防护;计算机安全
[中图分类号]TP393.08 [文献标识码] C[文章编号] 1673-7210(2009)07(b)-113-02
随着计算机网络的不断普及应用,全球信息化已成为人类发展的重大趋势,信息技术正在以惊人的速度渗透到研究所的各个领域,研究所的信息化程度也有了显著的提高。由于科研单位是掌握科学信息最前沿的领域,对信息的传递要及时准确。就目前科研院所(如医药生物技术研究所)在计算机领域的主要应用包括:科技文献的检索、科研信息查询及信息交流、传递等。科研人员在自身的领域都是业务能手,但在计算机安全应用上往往忽略或欠缺。因此,要求信息网络能够稳定安全地运行,满足科研工作的需要。
1 计算机信息系统面临的安全威胁
造成网络安全威胁的主要因素有以下几个方面:
1.1 计算机病毒
伴随着计算机技术的推广普及,计算机病毒也在不断地发展演变,其危害越来越大。目前计算机病毒的特点是流行广泛、种类繁多、潜伏期长、破坏力大,对计算机信息系统的安全构成了长期与现实的威胁。
1.2 黑客入侵
通过技术手段,黑客以非法手段侵入计算机信息系统,获取计算机中的秘密信息或有选择地破坏信息的有效性与完整性。这是当前计算机信息系统所面临的最大威胁。1.3 系统漏洞
利用计算机操作系统、信息管理系统、网络系统等的安全漏洞,进行窃密与破坏活动。各类软件系统总是存在一些缺陷或漏洞,有些是疏忽造成的,有些则是软件公司为了自便而设置的,这些漏洞或“后门”一般不为人所知,但这给病毒、黑客入侵提供了可能。据Symantec的调查显示有65%的威胁是由系统漏洞造成的。
1.4 人为因素
由于人们在日常使用计算机时对安全防护的疏忽,特别是对口令的不重视,很容易产生弱口令,很多人用诸如自己的生日、姓名等作为口令,为黑客破解密码提供了机会。在内网中,黑客的口令破解程序更易奏效。
2 提高安全防护工作的办法
当前,科研院所计算机信息系统的安全防护工作,在技术层面上还存有一定缺陷,这需要相关工作人员针对以上可预见的威胁,及时完善安全设备设施、制定相应安全的技术措施,切实加强安全防护与防范,以保障信息系统的安全。当前,主要基于应用的技术防范措施有以下几种:
2.1 防病毒技术
计算机病毒的典型任务是潜伏、复制和破坏,防治的基本任务是发现、解剖和杀灭。目前,比较有效的方法是选用网络防病毒系统,用户端只需做一次系统安装,按时进行病毒库的升级工作,由防病毒软件进行病毒的自动查杀。
2.2 端口封闭技术
由于多数黑客都是通过端口扫描技术入侵用户计算机,因此,关闭不必要的端口,是防止黑客入侵的有效方法和手段。关闭端口的方法有:
2.2.1 基于基本应用,关闭所有不必要的应用端口。具体方法是:右键单击“网上邻居”选“属性”打开右键单击“本地连接”选“属性”打开选“Internet协议(TCP/IP)”选“属性”打开选择“高级”打开选择“筛选”选中“TCP/IP筛选”点击“属性”进入选择界面,选择需要开放的端口。
2.2.2 关闭容易被黑客利用的端口。病毒和黑客通常是通过TCP135、139、445、593、1025 端口和UDP135、137、138、445端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389侵入计算机的。因此,应关闭这些端口以保护计算机。
2.3 及时修补系统漏洞
由于各类软件系统总是存在一些缺陷或漏洞,有些是疏忽造成的缺陷。试想,若住在一个千疮百孔的破屋子里,会感到安全吗?而计算机都是基于各种软件运行,一个千疮百孔的计算机,怎么能够保障信息与网络应用的安全呢?应利用开源软件或杀毒软件自带的漏洞扫描工具及时对计算机系统漏洞安全扫描,可利用开源软件或杀毒软件自带的漏洞扫描工具完成。利用这些工具,找出操作系统中存在的可能被攻击的漏洞。
2.4 访问控制
访问控制是计算机信息系统安全的关键技术,对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户的口令是用户登陆计算机的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,它确定了每个用户的权力限制条件。
当前,随着计算机信息技术的迅猛发展,对计算机信息系统的破坏也日渐猖獗。然而,“魔高一尺,道高一丈”,只有真正警惕起来,牢固树立安全防护意识,加强安全防护,才能够防患于未然,保证计算机系统的安全。
3 结语
科研院所网络的安全问题,不仅是设备、技术的问题,更是管理的问题。对于计算机系统的使用者来说,一定要提高安全意识,加强安全防护的技术手段,注重对网络安全知识的了解和学习,保障计算机信息系统的安全,以满足科研工作的需要。
[参考文献]
[1]王宏伟.网络安全威胁与对策[J].科技创业月刊,2006,19(5):179-180.
[2]夏丹丹,李刚,程梦梦,等.入侵检测系统综述[J].网络安全技术与应用,2007,(1):35-36.
[3]冯素梅.网络安全技术与应用[J].网络防火墙技术分析与选择,2008,(4):21-22.
网络安全防护方法范文第3篇
对美军而言,作战系统的网络化、信息化产生了巨大的军事效益,但伴随而来的风险和漏洞却对军事安全构成了严重威胁。技术进步和安全需求推动着美军网络安全保护工作在实践中不断发展和完善,美军以“纵深防御”战略为指导思想,大力加强信息安全体系的建设。
“纵深防御”战略的提出
“纵深防御”原指通过层层设防来保护动力学或现实世界的军事或战略资产,迫使敌方分散进攻力量,难以维系后勤保障,从而达到迟滞敌方进攻或使之无法继续进攻的战术目的。在网络空间防御中,“纵深防御”战略是指采用多样化、多层次、纵深的防御措施来保障信息和信息系统安全,其主要目的是在攻击者成功地破坏了某种防御机制的情况下,网络安全防御体系仍能够利用其他防御机制为信息系统提供保护,使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施和应用系统。
20世纪末,随着网络技术的应用与发展以及“网络中心战”概念的提出,美军各部门和单位对信息和网络的依赖性不断增强,网络安全问题随之凸显,单纯的保密与静态防护已无法满足信息安全的需求,美军亟需与之相适应的信息安全保障措施。为满足军方的需求,美国国家安全局于1998年制定了《信息保障技术框架(1.0版)》(IATF)。IATF系统地研究了信息保障技术,提出了“纵深防御”战略,认为信息保障要靠人员、操作和技术来实现,并建立起了“防护、检测、响应、恢复”动态反馈模式(即PDRR模型)保障网络安全,为保护美国的信息基础设施提供了技术指南。在美军的实践中,“纵深防御”战略应用于一种风险共担的信息系统环境,由多方共同采取多样化、多层次的综合性防御措施来保障美军信息和信息系统安全。借助在信息系统内广泛采用的多种防御措施,“纵深防御”战略有效地解决和弥补了信息系统生命周期内在人员、技术和操作方面存在的安全漏洞和薄弱环节。
“纵深防御”战略的主要内容
人员、技术和操作是“纵深防御”战略的核心要素,着眼于人员管理、技术保障和运行维护的政策制度设计、装备技术研发、安全态势维持等活动,构成了“纵深防御”战略的主要内容。
人员是网络安全体系中的决定性因素。“纵深防御”战略强调人员因素,在领导层面上,要求领导层能够意识到现实的网络安全威胁,重视安全管理工作,自上而下地推动安全管理政策的落实;在操作人员层面,要求加强对操作人员的培训,提高信息安全意识;在人员制度层面,要求制定严格的网络安全管理规范,明确各类人员的责任和义务职责;在安全防范机制层面,要求建立物理的和人工的安全监测机制,防止出现违规操作。
技术是网络安全最基本的保障,是构建网络空间防御体系的现实基础。“纵深防御”战略提出:建立有效的技术引进政策和机制是确保技术运用适当的前提,只有依据系统架构与安全政策,进行风险评估,选择合适的安全防御技术,构建完善的防御体系,才有助于推动实现全面的网络安全。
操作是指为保持系统的安全状态而开展的日常工作,其主要任务是严格执行系统安全策略,迅速应对入侵事件,确保信息系统关键功能的正常运行。操作是“纵深防御”战略中的核心因素,人员和技术在防御体系中的作用只有通过经常性的运行维护工作才能得以体现。
实施“纵深防御”战略的指导思想及应用原则
“纵深防御”战略是美军保护网络系统核心部分免遭入侵的基本策略。美国防部规定各军兵种、国防部各部门、各司令部应运用“纵深防御”战略保护国防部的信息和信息系统,开展相应的计划和训练工作;各级领导部门需因地制宜地开展风险评估工作,制定有效的风险管理措施,并根据各单位的能力和水平采取有效的“纵深防御”措施;在国防部信息系统的软硬件研发过程中,应贯彻“纵深防御”战略,积极建设相关网络安全防御系统,采取渐进的方式优先保护关键资产和数据。为推动“纵深防御”战略的实施,深化认识、明确重点,IATF提出实施“纵深防御”战略应遵循“多处设防、分层防护、细化标准”等原则。
多处设防。“纵深防御”战略把网络与基础设施、飞地边界、计算环境和支撑性基础设施列为重点防护区域,实际应用当中涉及针对路由器、防火墙、VPN、服务器、个人计算机和应用软件等的保护。本地计算环境的防护以服务器和工作站为重点,是信息系统安全保护的核心地带。飞地是一组本地计算设备的集合,飞地边界防护主要关注如何对进出这些“区域”边界的数据流进行有效地控制与监视。网络及其附属基础设施是连接各种飞地的大型传输网络,由在网络节点间传输信息的设备构成,包括各类业务网、城域网、校园网和局域网。网络及其附属基础设施的安全是整个信息系统安全的基础。支撑性基础设施(如密钥管理基础设施)是网络安全机制赖以运行的基础,其作用在于保障网络、飞地和计算环境中网络安全机制的运行,从而实现对信息系统的安全管理。
分层防护。美军在实施“纵深防御”战略的过程中,按照分层的网络体系结构,对国防信息系统各层面临的安全威胁进行充分的分析评估,针对不同的安全威胁分层部署防护和检测机制措施,形成梯次配置,进而增加攻击被检测的风险,提高攻击成本,降低其成功几率。以美海军为例,美海军在实施“纵深防御”战略的过程中,构建起了以“主机、局域网、广域网、海军GIG网络、国防部GIG网络”五个区域为基础的设防区域,综合运用入侵防御系统、防火墙、基于主机的安全系统等分层防护措施实施网络防御。
细化标准。细化标准是对各类网络安全系统机制的强度(如加密算法的强度)和网络安全技术解决方案的设计保障(如采用机密手段确保机制的实施)做出具体的规定。为了描述网络安全的强度,美国防部制定了初、中、高三个等级,并提出国防信息系统的“纵深防御”战略中,网络安全技术解决方案应根据系统的重要性等级,采取其中一个级别的措施。例如高等级的安全服务和机制可提供最严格的防护和最强的安全对抗措施,高等级的安全解决方案必须达到下列要求:采用国家安全局认证的1类密码用于加密;采用国家安全局认证的1类密码验证访问控制;密钥管理方面,对于对称密码,采用国家安全局批准的密钥管理措施(创建、控制和分发),对于非对称密码,使用5类PKI认证和硬件安全标识保护用户私有密钥和加密算法;采用的产品需通过国家安全局的评估和认证。
“纵深防御”战略的实践和发展
美军率先将“纵深防御”战略应用于全球信息栅格的建设,加强顶层设计与长远规划,积极开展安全技术创新,大胆借鉴和利用成熟的商用安全产品,从组织管理、装备技术和政策法规层面,建立起综合性网络安全保障体系,不断强化国防信息系统的安全。
在组织管理层面,为推动“纵深防御”战略的落实,美军建立了以联合参谋部为领导机构、各军种具体负责、国家安全局和国防信息系统局提供技术支援和保障的组织管理体系。联合参谋部情报部部长负责制定保障“纵深防御”战略的情报条令和法规,联合参谋部作战计划与联合部队发展部负责计划和在演习中落实“纵深防御”战略;各军种部长负责制定本军种“纵深防御”战略的具体实施细则,监督所辖网络的贯彻和执行情况;国防信息系统局局长负责组织和领导国防信息系统“纵深防御”战略防御技术的研发工作,会同参联会主席和国家安全局局长制定“纵深防御”战略分层保护措施,并监督落实情况;国家安全局局长负责管理IATF的制定工作,保障“纵深防御”战略的实施,并提供相应的工程技术支援。
在装备技术层面的建设,美国国防部要求:美军网络空间安全解决方案应坚持以通用性和综合性为研发方向,以“纵深防御”为基本手段,以C4ISR框架结构为基础,推动网络空间作战的发展。为此,美军贯彻“先关键资产和数据,后飞地网络”的保护原则,通过技术研发和装备采办,有重点、分阶段地推动装备技术防御体系的完善和更新。装备技术体系建设核心内容包括密码技术、非军事区、虚拟安全飞地、基于主机的安全系统“应用程序白名单”技术和网络态势感知。
在政策法规层面,2009年美国国防部制定并颁布了《网络空间的信息保障发展战(CIIA)》,提出了国防部信息系统安全建设的“网络保障、身份保障和信息保障”总体目标,从能力建设、任务管理、攻击防范和应变处置四个方面提出了具体的工作任务目标。为促进任务目标的落实,国防部首席信息官办公室制定了《信息安全政策总图》,以四项任务目标为总纲,着眼“纵深防御”战略的实际应用,对国防部和联邦政府现行的网络安全政策和技术法规进行了全面的梳理和分类,内容涉及网络空间安全工作的组织与领导、网络空间作战技术研发、从业人员职业技能培训、通信加密和信息共享管理、网络攻击防范、可信网络系统建设以及加强网络安全战备等方面,从而建立起了完整而又清晰的“纵深防御”战略的政策法规体系。
网络安全防护方法范文第4篇
【关键词】 计算机 网络 安全防护 病毒防护技术
知识经济多元化发展的时代中,全球计算机的应用范围越来越广泛,对于人们的日常生活带来了极大的便利,同时计算机病毒也在猖狂的传染着和扩散着,对于计算机网络安全带来了前所未有的威胁。做好计算机网络安全中的病毒防护技术控制志在必行,本文对病毒防护技术在计算机网络安全中的应用进行研究分析有一定的经济价值和现实意义。
一、计算机网络安全问题发生原因
计算机网络安全常见的影响因素,主要来源于网络自身的一些系统缺陷,就其实质性而言,计算机网络安全问题发生原因可以从以下几个方面说起:一方面,非授权性访问以及信息的非法性利用是计算机网络安全的主要影响因素,在没有经过一定的授权而进行的访问,对于用户的部分信息有着有意修改和窃取的作用。同时信息的非法性利用,以至于难以保证信息有着一定的保密性。另一方面计算机网络资源的错误使用以及环境,同样对于计算机网络安全产生了极大的威胁,非法用户登录之后,对网络资源的使用,造成了资源的消耗,进而损害了用户的根本利益。计算机网络安全同样也存在一定的软件漏洞,这些常见的软件漏洞一旦受到病毒的侵略,将会产生不堪设想的后果,对计算机网络安全具有严重影响。
二、计算机网络安全防护对病毒防护技术在的应用策略
计算机网络安全中病毒防护技术的应用,就要避免病毒的侵入,将安全威胁彻底消除,并做好基础的防范工作,以此有效提高计算机网络安全性和可靠性,为广大用户日常生活和工作中的计算机网络应用提供安全性。病毒防护技术在计算机网络安全中应用过程中,可以从以下几个环节做起:
2.1 将软件的防御能力显著提高
软件防御能力提高的过程中,就要定期的检查软件,对潜藏的病毒进行寻找,软件较大时,就要采取人力,将杀毒软件运行,投入一定的资金,做好软件的安全防御,通过购买一些防毒卡,做好内部系统的安全防护。
2.2 加强服务器的合法保护
一般而言,病毒进入最主要的关卡则是服务器,而整个网络的重要支柱同样也是服务器,一旦服务器受到非法分子的全面攻击,将会使得整个网络受到严重的威胁,进而处于一种瘫痪的状态。一旦服务器通过对模块进行装载,并对服务器进行合理的扫描以及杀毒,进而结合防毒卡,将会有着更好的防护效果。
2.3 加密数据信息和安全防范病毒
计算机病毒侵入的过程中,不可避免的对计算机用户的机密信息有着一定的入侵作用,在对加密方式采取的过程中,通过重新编码信息,将计算机用户的重要信息进行隐藏。而做好数据和信息的加密处理,就要采取密钥管理和密文存储的方式,一旦用户进入系统之后,就要对用户的身份以及相关数据进行全面的验证,进而将安全保密的目的全面实现。病毒防范时,由于病毒有着越来越强的伪装性和攻击性,对于内部网络而言,主要采取内部局域网,而基于服务器操作平台的相关防病毒软件,有着较强的针对性,并及时的发现计算机隐藏的相关病毒,全方位的防护病毒,对计算机漏洞的补丁进行自动性的更新。
2.4 建立防火墙,做好安全隔离
计算机网络安全防护过程中,可以结合防火墙做好病毒的安全隔离,将病毒的入侵进行阻挡,并在计算机内部和局域网中,对外来信息进行辨别,做好计算机和局域网信息数据的分类。安全隔离的过程中,对于计算机的安全性有着基础保障作用,通过对一些可疑信息和一些数据进行隔离,并在通信网络内部信息保密的基础上,避免病毒的繁殖和感染,进而对计算机网络的安全进行全面的保护。
总而言之,计算机网络安全防护过程中,不仅仅要做好软件的安全防范和建立安全模块,同时也要保证传输线路的安全,实现网络的双重加密,做好信息数据存取的安全控制,通过采取鉴别机制对实体身份进行特权识别,进而对双方身份的合法性进行检验。
网络安全防护方法范文第5篇
关键词:企业财务;网络安全;防护
企业财务部门是最早使用微机办公的部门之一,在加强信息化建设的同时,以指挥自动化网为平台的企业财务网络化建设也取得了长足的发展,且各局域网之间留有相应的接口,起到了很好的示范作用。
随着现代企业纵横配套的光纤线路的建成,企业内部已经基本上实现了数字化通信,企业财务系统的网络框架已经基本显现。但各相关单位企业财务信息化建设进度不一,相关的网络协议标准不一致,防护水平不高,绝大部分设备还没有更新,其技术水平还不能适应更高的要求,一些关键部位的设计构造,如网络拓朴构型,通信协议标准的制定等,与抵抗信息化打击的要求相差甚远。
为了确保企业财务信息系统畅通和财务保障的精确、及时、高效,就要尽快把企业财务网络安全纳入到信息网络的综合防护中来。
一、企业财务网络安全所面临的主要威胁
一般来讲,网络面临的威胁主要可分两大类:一是对网络中软件、协议以及所传输信息的威胁,即“软”威胁;二是对网络中基站、终端、传输媒介等网络实体的威胁,即“硬”威胁。从形式上表现为:计算机犯罪、人为行为、“黑客”行为、信息泄露、电子谍报、电子干扰、病毒攻击、火力打击、意外事故、网络软件与协议中的缺陷等,都是威胁网络安全的重要因素。
另外,从技术的因素考虑,影响网络安全的因素还存在着技术与非技术的两种情况。
技术因素,即网络系统自身存在的不安全因素。如网络协议中存在的漏洞;应用软件(财务软件等)在开发设计时,聘请的编程人员可在软件中设置非外人所知的程序入口(即“后门”),必要时可通过此处访问用户,盗取文件;网络通信平台中主机设备、线路、光缆发射电磁声光信号而泄密;在数据传输过程中,各接口的不可靠性,造成信息丢失等。
非技术因素,即人为的管理因素造成的网络漏洞。如保密观念不强,在与互联网相连的主机上处理密级材料,并将其存入硬盘中;忽视口令管理和用户访问权限的设置,虽给计算机上了“锁”,却“锁”而不严,谁都能打开;在大部分企业内部,办公主机既连单位的局域网,又接地方的互联网,出现一机多用的现象等。要实现网络的安全就必须想办法在一定程度上克服以上所述的种种威胁与隐患,通过技术策略和安全策略两方面的努力,来确保网络系统的安全。
二、企业财务网络安全的防护
(一)企业财务网络安全的技术防护
1、采用安全传输技术进行防护。企业财务网络的传输介质由光纤线缆、金属线缆和通信卫星等构成,对传输的信息以光信号、电信号和电磁信号的形式进行传递,基于传输介质的特性和所传输信息的特征,对企业财务网络中所传送的信息可采用加密技术、业务流填充技术和干扰与屏蔽技术来进行防护。首先,加密技术可采用先进的密码体制及成熟的加密系统等,对所传信息予以加密保护。如用量子密码体制可对光纤中所传输的光信号以光量子的形式进行加密,采用此技术不仅可以防止窃听,而且通信双方还可以及时发现有人在进行窃听,进而结束通信,再生成新的密钥进行传输。这改变了以往信息被窃听而不易被发现的局面,这一技术还可以在网络中运用于卫星通信,但不适用于金属线缆通信。其次,业务流填充技术可以在网络中连续发送随机序列码流,使网络中不论忙时或闲时信息流变化都不大。从而防止网络窃听者通过对网络中信息流流向和流量的分析来获取敏感信息。再次,通过干扰和屏蔽技术来抑制金属线缆通信、卫星通信中电磁信号的外泄,利用反相抵消技术和特殊调制方法来减弱和隐蔽信息流,采用扩频、跳频技术,干扰敌方的电磁窥探。
2、采用网络防御技术进行防护。所谓网络防御就是要构筑网络系统的“铜墙铁壁”。(1)对基站及终端的主机设置各层次的账号、口令,利用地址识别技术、包过滤技术、网络地址转换――NAT技术、技术等构建第一道防线――防火墙,即在内部网络和外部网络之间建立相应的网络通信监控系统,来阻止“黑客”、病毒等对内部网络的攻击。(2)采用相关软件的底层接口技术、扫描技术、算法优化技术等对那些透过第一道防线的“黑客”,病毒等进行及时的堵截封杀,防止其在网络中蔓延。如:应用程序底层接口技术,是为了在查杀那些针对某一类应用软件而设计的病毒时,能够从应用程序底层的接口深度地开展查毒、杀毒。(3)利用访问控制技术可以防止来自于网络内部的威胁,既防止合法用户非法操作,对隐蔽在系统内部的潜在威胁也有一定的御防作用,如利用强制访问控制技术可以抵抗特洛伊木马的攻击。
3、采用入侵检测技术进行防护。入侵检测是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略。如网络入侵检测系统可以判断出应用层的入侵事件,这样就极大地提高了判断“黑客”攻击行为的准确程度;利用扫描功能对系统软件、应用软件以及硬件进行缺陷、漏洞以及隐蔽程序(陷阱门)进行检测,使管理人员能及时发现并对其进行修补。并可以对非法用户的入侵进行识别和处理,可以作为网络系统的最后一道安全防线。同时它还能提供扫描、安全审计、监视等多种功能,不仅能检测来自外部的入侵行为,也能检测内部用户的非法越权操作。
(二)对企业财务网络中网络实体的防护
1、对网络实体要尽量国产化。网络实体是指网络中各类设备(包括节点机设备、通信设备、终端设备、存储设备、电源系统等)以及为此服务的其他硬件设备的总称。对于生产通信设备、存储设备和电源系统中所涉及到的产品技术,我国已经达到甚至超过了世界先进水平,因此这些设备已基本上实现了国产化,然而终端设备、节点机设备在某种程度上还依赖于进口。目前,我军各级各类网络计算机都是民用产品,其机内核心芯片基本为进口产品,倘若对方在出口我国的计算机产品中隐藏“逻辑炸弹”或预留“陷阱门”,后果将不堪设想。据悉,奔腾III处理器,就留有窥视用户信息的后门,对此要保持高度的警惕性。2000年深圳桑达公司与清华大学合作研制成功了集互联、路由、管理、带宽优化、防火墙等功能于一体的SED―R系列路由器,缓解了此类设备依赖于进口的局面。
2、对网络实体进行合理的配置。网络实体的配置可分为实体与实体之间的配置和实体与软件之间的配置。对这两种配置要把握科学、安全和效率最大化的原则。首先,实体与实体之间的配置,就是对实体进行科学的组合以及实体的空间配置是否安全。如在电磁泄漏严重的显示器、金属线缆等周围加装一些射频信号干扰器,可以有效地阻止信息泄漏,防止敌方的电磁窥探;数据加密设备DEE(Data Encryption Equipment)可以与Modem安装在一起构成密码调制解调器,防止信息被非法截获;为了保障内部网络的安全,可以用过滤式路由器和堡垒主机对内部网络进行隔离。实体的空间配置可采用地面疏散及地下隐藏等手段,防止敌方的火力摧毁。其次,实体与软件之间的配置。该种配置主要从方便操作,易于管理,安全可靠的角度出发。根据实体的性能,选择最佳的软件(首选国产软件),由于各种软件都存在着一定的漏洞与缺陷,因此在慎重选择各种软件的同时,结合它们自身的优缺点,对实体和软件,以优补缺进行科学合理的配置,层层安装,层层设“卡”。并对操作系统及相关软件进行定期升级。
3、对网络实体的综合防护。实现由过去单纯的防护向伪装、设障、拦截、干扰、欺骗等综合防护转变,实现被动防护与主动防护相结合,完成企业财务网络安全防护的新跨越,对网络实体的配置地域实行区域屏蔽,防止敌方报文嗅探(网络窃听)。以“骗、打、藏”来提高实体的生存能力,即运用电子欺骗、伪装欺骗;实施信息对抗、火力对抗;采取疏散配置、工程防护。采用一切先进技术手段,完善防护措施和配套建设。在提高企业财务网络安全系数,使其经得起“软硬武器”杀伤破坏的同时,增强防护预警能力。
(三)建立企业财务网络安全防护的专业力量
集中专业人才,组建企业财务网络防护分队和计算机应急反应分队。以研究对付来自网络的计算机病毒攻击或“黑客”入侵等的对策,特召既熟悉专门业务,又精通计算机网络技术,具有丰富网络工程建设经验的工程技术人员、管理人员。切实做到让网络人才来管网用网。
国家人事部公布的2003年我国人才市场招聘与求职专业的情况中了解到,计算机专业的招聘数量为14.8万人,但求职人数为39.6万人,是招聘人数的2.7倍,这表明我国计算机人才市场充满活力,同时也可以在网络界和各大院校内广纳“贤才”,“以牙还牙”用“黑客”对付“黑客”,从而确保企业内部网络系统的安全。
(四)企业财务网络的安全管理策略
1、制定和完善相应的政策法规和标准规范。安全的基石是严格的法规、细致的章程制度和相应的手段。财务部应该成立相应的信息网络管理与安全中心,负责制定财务信息、基础设施(含安全保密部分)建设、使用和全寿命管理的政策和程序,建立信息网络安全标准认证和质量检测机制,指导后勤财务信息化建设的实施,保证企业财务网络持续、快速、安全地正常运转。
2、采用先进的技术。首先,先进的安全技术是财务信息安全的根本保障,企业财务网络对自身面临的威胁进行风险评估,决定其需要的安全服务种类,从而选择相应的安全机制,然后集成先进的安全技术,形成全方位的安全系统。其次,加强防护技术的研究,使防护手段由单一性向多样性转变。同时抓紧研究和发展主动防护技术,使其在理论和实践上有进一步的突破和创新,从理论上提高企业财务网络系统的防护能力。
