安全网络论文
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇安全网络论文范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
安全网络论文范文第1篇
网络黑客在网络上对数量众多计算机进行控制,以此形成规模更大的网络来攻击所要攻击的网络目标,这就是最近几年所产生的所谓“僵尸网络”。僵尸网络具有极大的危害性,其幕后者在通常情况下很难让网络警察所发现;此外,基于僵尸网络来攻击网络,具有极快的网络速度、极为显著的攻击效果,通常可以在短短数分钟之内让所要攻击网络出现瘫痪状态。在全球全部“僵尸网络”电脑数量当中,我国所拥有的“僵尸网络”电脑数量达到1/5左右,由此可知,僵尸网络对我国网络信息安全所构成的威胁是极大的。
2我国网络信息安全的应对措施
2.1加强网络信息安全管理网络信息安全实质就是一个管理方面的问题,特别是在我国网络信息安全行业刚刚发展初期,做好网络信息安全的管理工作更显得尤为重要。①严格根据管理流程实施管理操作。对网络进行微观操作,这是网络内网产生不安全的主要原因,因此,对业务不得进行越权查看及使用,不许私自对数据库或某些机密文件进行修改,以此来杜绝内网中计算机及网络受到恶意攻击。②实施连续性管理网络系统。作为网络管理人员,一定要把系统恢复和系统备份策略应用于网络系统,这不仅可实现连续性管理系统的要求,而且还可有效避免因恶意破坏、自然灾害等原因使设备遭到破坏、无法正常提供服务的问题发生。③加强管理人员的日常操作管理。要有效对系统进行管理,最为重要的在于管理人员,因此,作为网络系统管理人员,一定要具备超强的技术能力,此外,还必须具备一定的网络信息安全意识。不管是企业,还是公司,在进行网络管理人员选拔时,一定要综合考虑有关技术能力和安全意识等方面的因素;同时,还要创造条件对这些网络管理人员实施一定的职业培训以及网络信息安全教育,以此来让网络管理人员切实懂得网络信息安全的重要性,并让他们明白在维护网络信息安全中他们个人所应承担的责任。此外,对于网络信息的相关操作管理,一定要让网络管理人员熟练掌握,对于安全的网络管理策略能予以正确的执行和落实,这样,就可最大限度避免因人为原因所带来的网络信息安全漏洞。
2.2设置防火墙网络威胁绝大多数是从互联网来的,应用防火墙来判断与辨别进出网络的各种信息,能够有效避免内网或计算机系统遭到病毒和木马的攻击;所以,要对网络信息安全进行有效保护,一定要选择一个防火墙来进行保护,而且要让所选择的防火墙,不仅要技术性强,而且防御功能要足够强大。
2.3安装vpn设备所谓vpn设备,其实就是一个服务器,电脑在进行网络信息传递过程中,要使网络信息先向vpn服务器进行传递,然后再通过vpn设备向目的主机进行传递,这样就可让计算机不直接连接于物联网,从而让网络黑客无法得到真正的ip地址,无法完成对网络进行攻击,这样就有效对网络信息安全起到了保护作用。
3结语
安全网络论文范文第2篇
近来较典型的是蠕虫与木马,比如说木马程序它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。近来就出现许多人的网络账户遭到木马程序盗取的案例。这些网络病毒使人民财产受到严重侵害,也严重威胁到我们的正常工作与生活。恶意的攻击和入侵所谓恶意的攻击和入侵可对信息的有效性和完整性进行有选择的破坏,也可在不影响网络正常工作的情况下,对网络进行数据监听,截获或捕捉传播在网络中的信息,这是计算机网络面临的主要威胁,引发网络安全的问题。
计算机网络受到威胁后果严重
1.国家安全将遭受到威胁
网络黑客攻击的目标常包括银行、政府及军事部门,窃取和修改信息。这会对社会和国家安全造成严重威胁,有可能带来无法挽回的损失。
2.损失巨大
很多网络是大型网络,像互联网是全球性网络,这些网络上连接着无数计算机及网络设备,如果攻击者攻击入侵连接在网络上的计算机和网络设备,会破坏成千上万台计算机,从而给用户造成巨大经济损失。
3.手段多样,手法隐蔽
网络攻击所需设备简单,所花时间短,某些过程只需一台连接Internet的PC即可完成。这个特征决定了攻击者的方式多样性和隐蔽性。比如网络攻击者既可以用监视网上数据来盗取他人的保密信息;可以通过截取他人的帐号和口令潜入他人的计算机系统;可以通过一些方法来绕过或破坏他人安装的防火墙等等。
网络安全防范技术
1.病毒的防范
计算机病毒变得越来越复杂,对计算机信息系统构成极大的威胁。在网络环境中对计算机病毒的防范是网络安全性建设中重要的一环。它的入侵检测技术包括基于主机和基于网络两种。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。对网络病毒的防范主要包括预防病毒、检测病毒和杀毒三种技术。网络版防病毒系统包括:(1)系统中心:系统中心实时记录计算机的病毒监控、检测和清除的信息,实现对整个防护系统的自动控制。(2)服务器端:服务器端为网络服务器操作系统应用而设计。(3)客户端:客户端对当前工作站上病毒监控、检测和清除,并在需要时向系统中心发送病毒监测报告。(4)管理控制台:管理控制台是为了网络管理员的应用而设计的,通过它可以集中管理网络上所有已安装的防病毒系统防护软件的计算机。
2.防火墙的配置
首先我们了解防火墙所处的位置决定了一些特点包括(1)所有的从外部到内部的通信都必须经过它(。2)只有有内部访问策略授权的通信才能被允许通过。(3)系统本身具有很强的高可靠性。所以防火墙是网络安全的屏障,配置防火墒是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是所有安全工具中最重要的一个组成部分。它在内部信任网络和其他任何非信任网络上提供了不同的规则进行判断和验证,确定是否允许该类型的信息通过。一个防火墙策略要符合4个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。也可对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时,也能提供网络使用情况的统计数据。当有网络入侵或攻击时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次,利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响,防止内部信息的外泄。
3.数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密包括传输过程中的数据加密和存储数据加密,对于传输加密,一般有硬件加密和软件加密两种方法实现。网络中的数据加密,要选择加密算法和密钥,可以将这些加密算法分为对称密钥算法和公钥密钥算法两种。对称密钥算法中,收发双方使用相同的密钥。比较著名的对称密钥算法有:美国的DES、欧洲的IDEA等。
4.应用入侵检测技术
入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。入侵检测系统的功能包括:监控和分析系统、用户的行为;评估系统文件与数据文件的完整性,检查系统漏洞;对系统的异常行为进行分析和识别,及时向网络管理人员报警;跟踪管理操作系统,识别无授仅用户活动。具体应用就是指对那些面向系统资源和网络资源的未经授权的行为进行识别和响应。入侵检测通过监控系统的使用情况,来检测系统用户的越权使用以及系统外部的人侵者利用系统的安全缺陷对系统进行入侵的企图。目前主要有两类入侵检测系统基于主机的和基于网络的。前者检查某台主机系统日志中记录的未经授权的可疑行为,并及时做出响应。后者是在连接过程中监视特定网段的数据流,查找每一数据包内隐藏的恶意入侵,并对发现的人侵做出及时的响应。
5.规范安全管理行为
单单在网络安全技术上提高也是不够的,因为网络人员也可能是造成网络安全的因素,所以安全管理行为的规范是必须的。一要内部有完善的安全管理规范,二要建立基于安全策略的搞笑网络管理平台。两方面统筹规划部署,达到提高整体安全性的效果。
安全网络论文范文第3篇
商业银行计算机网络安全与网络规模、结构、通信协议、应用业务程序的功能和实现方式紧密相关,一个优秀的安全设计应当整合当前网络和业务特殊之处并全面考虑发展要求。商业银行的网络安全保护应选择分层次保护的优点,使用多级拓扑防护方式,设置不同级别的防御方法。访问控制是网络安全防护和防御的首要方式之一,其重要目标是保证网络资源不被非法访问。访问控制技术所包括内容相对广泛,其中有网络登录控制、网络使用权限控制、目录级安全控制以及属性安全控制等多种手段。结合某些商业银行的网络系统和部分商业银行的网络和业务规划,谈商业银行计算机网络安全解决的原则。
1.1实行分级和分区防护的原则商业银行的计算机网络绝大多数是分层次的,即总行中心、省级中心、网点终端,计算机网络安全防护对应实行分级防护的原则,实现对不同层次网络的分层防护。防火墙也根据访问需求被分为不同的安全区域:内部核心的TRUST区域,外部不可信的Untrust区域,第三方受限访问的DMZ区域。
1.2风险威胁与安全防护相适应原则商业银行面对的是极其复杂的金融环境,要面临多种风险和威胁,然而商业银行计算机网络不容易实现完全的安全。需要对网络及所处层次的机密性及被攻击的风险性程度开展评估和研究,制定与之匹配的安全解决方式。
1.3系统性原则商业银行计算机网络的安全防御必须合理使用系统工程的理论进而全面分析网络的安全及必须使用的具体方法。第一,系统性原则表现在各类管理制度的制定、落实和补充和专业方法的落实。第二,要充分为综合性能、安全性和影响等考虑。第三,关注每个链路和节点的安全性,建立系统安防体系。
2计算机网络安全采取的措施
商业银行需要依据银监会的《银行业金融机构信息系统风险管理指引》,引进系统审计专家进行评估,结合计算机网络系统安全的解决原则,建立综合计算机网络防护措施。
2.1加强外部安全管理网络管理人员需要认真思考各类外部进攻的形式,研究贴近实际情况的网络安全方法,防止黑客发起的攻击行为,特别是针对于金融安全的商业银行网络系统。通过防火墙、入侵检测系统,组成多层次网络安全系统,确保金融网络安全。入侵检测技术是网络安全技术和信息技术结合的新方法。通过入侵检测技术能够实时监视网络系统的相关方位,当这些位置受到进攻时,可以马上检测和立即响应。构建入侵检测系统,可以马上发现商业银行金融网络的非法入侵和对信息系统的进攻,可以实时监控、自动识别网络违规行为并马上自动响应,实现对网络上敏感数据的保护。
2.2加强内部安全管理内部安全管理可以利用802.1X准入控制技术、内部访问控制技术、内部漏洞扫描技术相结合,构建多层次的内部网络安全体系。基于802.1x协议的准入控制设计强调了对于交换机端口的接入控制。在内部用户使用客户端接入局域网时,客户端会先向接入交换机设备发送接入请求,并将相关身份认证信息发送给接入交换机,接入交换机将客户端身份认证信息转发给认证服务器,如果认证成功该客户端将被允许接入局域网内。如认证失败客户端将被禁止接入局域网或被限制在隔离VLAN中。[4]内部访问控制技术可以使用防火墙将核心服务器区域与内部客户端区域隔离,保证服务器区域不被非法访问。同时结合访问控制列表(ACL)方式,限制内部客户端允许访问的区域或应用,保证重要服务器或应用不被串访。同时结合内部漏洞扫描技术,通过在内部网络搭建漏洞扫描服务器,通过对计算机网络设备进行相关安全扫描收集收集网络系统信息,查找安全隐患和可能被攻击者利用的漏洞,并针对发现的漏洞加以防范。
2.3加强链路安全管理对于数据链路的安全管理目前常用方法是对传输中的数据流进行加密。对于有特殊安全要求的敏感数据需要在传输过程中进行必要的加密处理。常用的加密方式有针对线路的加密和服务器端对端的加密两种。前者侧重在线路上而不考虑信源与信宿,通过在线路两端设置加密机,通过加密算法对线路上传输的所有数据进行加密和解密。后者则指交易数据在服务器端通过调用加密软件,采用加密算法对所发送的信息进行加密,把相应的敏感信息加密成密文,然后再在局域网或专线上传输,当这些信息一旦到达目的地,将由对端服务器调用相应的解密算法解密数据信息。随着加密技术的不断运用,针对加密数据的破解也越来越猖獗,对数据加密算法的要求也越来越高,目前根据国家规定越来越多的商业银行开始使用国密算法。
2.4建立商业银行网络安全审计评估体系通过建立商业银行网络安全审计评估体系,保证计算机信息系统的正常运行。对商业银行的核心业务系统和计算机网络数据进行安全风险评估,发掘风险隐患,制订相关的措施。[5]
安全网络论文范文第4篇
众所周知,只要是基于互联网之下的系统,都要按时对其进行系统的升级。否则,该系统就会出现漏洞,从而导致黑客和恶意软件的入侵,给系统造成严重的破坏。电力调度自动化的网络系统也是如此,如果电力调度人员不能定期的给电力调度自动化的网络系统进行升级,那么就会导致该系统出现漏洞。这个时候,黑客就可以借助一些高科技的技术,肆意的去修改或者是窃取电力调度传输过程中的信息。电力调度的信息一旦被修改或者是窃取,将会给电力企业造成无法挽回的经济损失。
2电力调度人员没有对电力调度自动化的网络系统进行严格的管理
一方面,电力调度自动化具有复杂性,也正是因为它的这种复杂性,让电力调度人员在对电力调度自动化的网络系统进行管理的时候,出现了难以对其进行管理的现象。另一方面,随着互联网的不断发展,更是增强了一些恶意软件和黑客的技术手段,这就从很大程度上增加了电力调度自动化的网络安全问题。随着电力调度自动化网络安全问题的加深,电力调度自动化在运行的过程当中,就会出现越来越多的问题,从而导致整个电力调度自动化不能正常的进行运转。
3电力调度人员没有尽到该尽的责任
电力调度人员自身的素质,在电力调度自动化管理的过程当中起着决定性的作用。因此,电力调度人员要是不具备很高的个人素质,那么他在工作的整个过程当中,就不会用严谨的态度去履行工作的义务,那就更别说是承担起相应的责任了。于是,一旦网络安全出现问题,他们也就无法及时找到造成这些问题出现的因素,从而导致问题越来越严重,以致于最后危及到了整个电力调度自动化的运行。
4探究解决电力调度自动化网络安全问题的方法
通过对电力调度自动化的网络安全问题进行仔细的分析和探究,现将能够有效解决这一问题的方法列举出来:
4.1为电力调度自动化建造一个基于科学之上的网络结构
建设人员在为电力调度自动化建立网络结构的时候,要严格的按照网络安全中所规定的去进行,以确保网络结构的一致性和完整性。
4.2安排专业的技术人员对电力调度自动化的网络系统进行管理
当电力调度自动化在运行的时候,电力企业要安排专业的技术人员,对电力调度自动化网络系统进行实时的监控和管理。一旦网络系统出现了问题,那么技术人员就可以及时的发现,并找出造成这一问题出现的原因,然后对其进行全面的分析和探究,最后总结出一个能够有效解决这一问题的办法。其次,电力企业还要对这些技术人员进行定期的网络安全管理知识的培训,以提高他们的网络管理水平。
4.3对电力调度自动化的网络系统进行定期的维护
对网络系统进行定期的维护,可以有效的减少网络系统出现问题的概率。当然,在对网络系统进行维护的时候,要对网络系统进行全方位的检查和维护,比如:可以用杀毒软件清理网络系统中的垃圾、对需要升级的软件进行升级和检查网络系统中的信息等等。只有加强了对网络系统的维护,才能够从很大程度上避免网络系统在运行的过程当中出现安全性问题。
5结束语
安全网络论文范文第5篇
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
