前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全與應急預案主題范文,僅供參考,歡迎閱讀并收藏。
[關鍵詞]油田網絡;信息安全;應急預案;設計
[中圖分類號]P624.8 [文獻標識碼]A [文章編號]1672-5158(2013)06-0108-02
1 前言
大慶油田目前正處于“三步走”發展構想的戰略調整階段,圍繞著“拓展領域,優化業務構成”這一核心工作內容,近年來大慶油田網絡信息化建設步履生風,勘探開發生產系統、油田地理信息系統、ERP系統和票據系統等多個大型信息化建設項目的正式上線及平穩運行,極大地推動了油田開發生產信息管理體系和油田財務信息化建設的不斷完善,同時也對網絡信息安全提出了更高的要求,特別是加強網絡信息安全應急預案的建設尤為重要,本文對此提出設計構想,以為優化油田網絡信息安全應急預案提供借鑒。
2 油田網絡信息安全應急預案的總體設計
2.1 應急預案適用范圍
油田網絡信息安全應急預案是針對因不可抗力、應用系統漏洞以及人為操作而導致的突發性網絡信息危機事件所做的應急處理工作。其目的在于一旦油田各網絡信息系統出現突發性危機事件時,依然能夠維持油田各項工作順利進行。
2.2 應急預案的實施主體
油田網絡信息安全應急預案的實施主體就是負責領導、制定、組織實施應急預案的工作人員,為此應當自上而下地,從大慶油田公司直至三、四級基層單位,都要設立網絡信息安全委員會,并由專家和相關部門領導組成網絡信息安全領導小組負責網絡與信息安全事件應急建設管理和應急處置。
2.3 應急預案的客體
油田網絡信息安全應急預案的客體就是網絡信息應急處理的對象,即針對何種事件進行應急處置。對此,由于不同的應急事件給油田網絡信息帶來的危害不同,對油田正常工作帶來的影響程度也不同,因而若要做好大慶油田網絡信息安全的防范與應急工作,首先要在應急預案中將大慶油田面臨的應急事件按相應等級進行分類。對此,可參照《中國石油天然氣集團公司網絡與信息安全突發事件專項應急預案》將應急事件分為六大類四大等級。
2.3.1 油田網絡信息應急事件的種類
六大類應急事件分別為:因破壞油田各應用系統正常使用而危害網絡信息安全的危害程序事件;因通過木馬、病毒等網絡技術手段或者外力攻擊危害油田網絡信息安全的網絡攻擊事件;因利用各種手段私自篡改、假冒、泄露、竊取而危害油田網絡信息安全的信息破壞事件;因服務端、客戶端設備故障而危害油田網絡信息安全的設備設施故障事件;因地震、冰雹等不可抗力導致油田網絡不能正常使用的災害性信息安全事件;除上述五大類之外的信息安全事件。
2.3.2 油田網絡信息應急事件的級別設定
參照《中國石油天然氣集團公司網絡與信息安全突發事件專項應急預案》對網絡信息安全危害程度的界定,可將上述每一類應急事件都按最終產生的危害程度劃分為特大事件、重大事件、較大事件和一般事件四個級別。
(1)油田網絡特大信息安全事件
此類突發性安全事件是指足以導致財務、勘探開發、油氣生產、地面工程以及人力資源等油田最為重要的信息系統遭受特別重大的破壞乃至癱瘓,且急需由大慶油田公司統籌安排各方面資源和指揮各界力量快速消除負面影響,確保各油田網絡信息系統恢復正常。一般包括如下兩種情況:一是油田網絡信息交互部分甚至全部鏈路中斷而造成的特大影響。;二是遭到不法分子惡意入侵并大肆宣傳危害國家安全的內容,或者通過網絡攻擊來竊取國家秘密、機密和絕密內容。
(2)油田網絡重大信息安全事件
此類突發性安全事件是指導致油田各信息系統遭受較為嚴重但不致于癱瘓的破壞,其產生的危害要小于特大安全事件,只需要大慶油田各二級單位統一協調、調度各方資源和力量來保障各油田網絡信息系統恢復正常。
(3)油田網絡較大信息安全事件
此類安全危機事件是指由大慶油田各二級單位認定的有可能對下屬各三、四級基層單位網絡信息安全造成較大危害,但該危害不會擴散至全大慶油田范圍的網絡信息安全事件。
(4)油田網絡一般信息安全事件
由大慶油田各二級單位下屬各三、四級單位認定的有可能對本單位造成較大危害,但該危害不會擴散至各二級單位的網絡信息安全事件。
3 油田網絡信息安全應急預案的方案設計
3.1 應急預警的方案設計
建立并完善應急預防與預警機制是將突發性應急事件扼殺在搖籃中的“先鋒隊”和“排頭兵”,因而油田各級單位都要做好網絡信息安全事件的預防工作。
首先,及時升級更新系統應用補丁、殺毒軟件和網絡防火墻來加強對服務器和用戶端的病毒防范,采用Station Lock等先進技術來辨別潛在的病毒攻擊意圖,將其拒之“局網”門外;
其次,應當對財務集成平臺、資金平臺、ERP系統和A4系統等油田重要業務的應用系統增加用戶身份驗證和識別功能,建立身份確認和授權管理機制,防止非法用戶竊取油田應用系統中各項保密級別的數據;
再次,各級單位還要做到每日備份主要數據、每周掃描漏洞、每月備份全部數據,以便系統發生危機后能夠及時恢復數據;
最后,還要建立完善各級安全事件的預警機制,做到基層系統應用崗位向網絡信息安全委員會報告,由網絡與信息安全領導小組辦公室啟動預警程序,即“向各級單位啟動應急預案的通知,要求各職能部門進入網絡安全預警狀態——組織專家、工程師和系統應用部門運維人員組成應急事件技術組,分析網絡信息安全事件的實際情況,提出問題解決意見,并在應急處理全過程提供必要的技術支持——網絡信息安全委員會根據技術組提供的意見作出應急處理決策,指揮、調度各級單位各方資源和力量作出防范和應急處理——網絡信息安全事件潛在危害消除后,安全委員會領導小組解除預警的通知”。
3.2 應急處置的方案設計
當接到各級網絡信息安全突發事件的通知后,網絡信息安全委員會要嚴格按照“應急預案啟動”、“應急處理程序”和“應急終止”三方面的處置程序對突發事件進行處理。
3.2.1 應急處置方案的啟動
當網絡與信息安全事件發生時,由網絡信息安全應急領導小組組長宣布啟動本預案,由網絡信息安全應急領導小組辦公室負責通知專家組成員,按照應急委員會主任授權,在2小時內向上級機關有關部門匯報。
3.2.2 應急處置程序的設計
首先,由網絡信息安全委員會組織、協調各方應急力量趕到應急事件現場,成立應急事件技術分析組,根據預案規定界定事件類別及等級,分析事件起因及性質,提出應急技術處置建議;其次,由網絡信息安全委員會領導小組綜合各項處置建議制定最佳處置方案,布置工作內容,指揮各方力量控制應急事件進一步擴大,減少潛在的損失與破壞,對事件源頭進行控制和徹底清除,恢復被破壞的信息、清理系統、恢復數據、程序、服務,使遭到破壞的系統重新運行;最后,對應急處理全過程進行評估,總結經驗,找到不足,填寫《大慶油田網絡與信息安全事件應急處理結果反饋表》,做好記錄以備調查;對進入司法程序的事件,配合公安保衛部門進行進一步的調查,打擊違法犯罪活動。
4 結束語
近年來,大慶油田各項工作依托互聯網和現代信息技術不斷上線運行大型應用系統,例如油氣水井生產數據管理系統、工程技術生產運行管理系統、人力資源系統和財務管理集成平臺等等。隨著這些系統的不斷完善和成熟應用,危害油田網絡信息安全的突發性潛在事件越來越多,因而油田網絡信息安全必須受到重視,尤其是要不斷優化設計應急預案,在總體設計上要明確應急預案適用范圍、實施主體和應急對象,在方案設計上要制定完善的應急預警和應急處置機制,從而確保潛在危害事件一旦發生便能夠得到及時處理,為油田各應用系統的正常運行提供切實保障!
參考文獻
關鍵詞:信息網絡安全培訓
兗礦魯南化肥廠(以下簡稱魯化)作為一個具有四十余年化工生產歷史的企業。近年來,生產經營、人員輸出、項目建設、改革改制任務繁重,給安全管理帶來更大的挑戰。面對安全管理的嚴峻形勢,企業充分發揮科技創新優勢,積極探索利用信息化手段改進和提升安全教育培訓水平,將網絡信息技術與企業自身實際情況相結合,構架起符合魯化自身狀況、具有企業特色的安全信息網絡平臺。通過安全信息網絡平臺,實施陽光安全教育培訓,使全員安全素質和安全意識明顯提升,進一步鞏固了企業良好的安全發展態勢。截至2011年12月31日,累計實現安全生產4169天。
一、安全信息網絡平臺系統的建立
(一)安全管理辦公自動化系統
包括公文管理、公共信息、電子郵件以及其它應用等模塊,根據安全生產的需要,在內部網站上專設了安全新聞、基層安全通訊、部門安全動態、安監在線、安全生產分析、安全文件、和諧魯化、“集思廣益”等欄目,實現信息共享、公開透明,提高了員工安全意識,自覺參與安全生產管理。
(二)重大危險源視頻監控系統
利用廠內局域網已鋪設的主干光纖網絡,設置重大危險源監控點10個,關鍵部位監控點12個,使網絡系統與監控系統結合,通過網絡實現遠端監控,可多人同時監控多個點,即時傳輸圖像,無距離限制,傳輸圖像無損失,圖像式感官刺激,激發了員工安全生產熱情,各部門領導及相關人員均可利用計算機監控相應地點情況,及時掌握并迅速處理突況。
(三)網上培訓、考試與積分系統
創新安全培訓管理,開發了網上培訓學習系統。針對人員分散、倒班員工不易集中的特點,利用現有網絡設立專欄,設立安全考試題庫和考核積分系統,使各單位充分了解、掌握企業安全培訓信息,更好地組織培訓和管理,實現了網上培訓與考核。
(四)企業信息系統
在內部網企業安全管理信息,并利用手機短信群發系統,實現企業資料管理、個人資料管理、信息發送管理等,進一步提高了員工安全意識。
二、信息網絡平臺在安全教育培訓上的應用
(一)建立科學的管理制度,保證安全教育培訓有效運行
為了使員工廣泛、及時、迅速掌握生產單位的安全運行、安全管理、安全隱患排查和治理、設備檢修、危化品的監控等情況,實現安全工作動態監控,更好地服務和支持安全生產工作。企業制定和完善了《安全教育管理信息制度》、《兗礦魯南化肥廠安全教育工作體系》等,要求各生產單位每天9:00將本單位安全生產有關情況的信息在內部網上相關安全管理欄目。廠安全監察處設專人負責信息管理,對有關建議、意見及安全管理方面的需求及時予以答復和服務。
(二)依托辦公自動化系統(OA),實現“四全”安全管理
1、建立安監在線,對安全管理過程實施實時跟蹤監控
為進一步強化安全管理,我廠自主開發了安監在線軟件。“安監在線”欄目設有干部下現場反饋情況、當日單位出勤情況、當日安全活動開展情況、當日外來施工單位情況、當日動火作業基本情況、當日檢修項目基本情況、當日安全檢查基本情況及安監在線歷史查詢十個子欄目,通過授權,各處室、分廠將有關信息及時上傳到相應欄目,每天更新。全體員工均可了解現場人員、檢修、施工等具體情況,使各級管理人員有的放矢地深入現場監督檢查,從而發現問題、查找原因、落實責任、制定措施、督促整改、檢查驗收,通過完善的閉環管理,培養和鍛煉了員工良好的安全專業素質。
2、實施安全生產分析
創新安全理念,堅持“每周一三五安全分析制度”。積極發動全廠各單位創新安全思維,以生產現場存在的問題或現象為切入點,收集安全管理上存在的問題,進而分析原因,提出見解或解決辦法,在廠內部網上相互交流學習。通過案例式剖析,一方面對出現的問題從全局角度進行綜合分析,提出整改措施并進行跟蹤,避免“頭疼醫頭、腳疼醫腳”;另一方面正面引導挖掘安全管理過程中的亮點,給其他單位以借鑒。通過安全分析,為全廠員工提供了一個學習、思考、借鑒的平臺,從而達到減少和控制危害、事故,更好地促進了安全生產工作。
3、及時反映基層安全動態。
企業內部網設有安全新聞、基層安全通訊和部門安全動態等安全氛圍營造版塊,由黨務工作處和各基層單位根據總廠和各單位實際安全生產情況天天更新內容。為鼓勵安全信息的,成立安全教育培訓通訊員網絡,定期授課,布置安全生產宣傳重點,并對各單位安全教育培訓情況實施獎懲考核。引導安全教育培訓通訊員及時捕捉基層安全生產點滴,弘揚安全生產主旋律,宣傳基層安全管理亮點和先進事跡,同時及時反饋基層關于安全生產的意見和建議。
(三)依托重大危險源視頻監控系統,對關鍵部位、關鍵設備實施不間斷全程監控
重大危險源管理是化工企業安全管理的關鍵環節。我廠根據廠內重大危險源分布情況,購置網絡數字多媒體信息系統,在廠區各重大危險源分別安裝了網絡數字化一體球,實施24小時錄像監控。通過重大危險源視頻監控系統,生產調度管理人員可以實時查看各重大危險源的運行狀態和相關記錄數據,及時發現設備的不正常狀態,為迅速準確采取相應措施、防止事故發生起到了重要作用。
(四)依托網上培訓教育系統,提高員工自主安全學習意識
為加強員工的安全教育培訓,我們建立了網上培訓、考試與積分系統。該系統設有教育培訓計劃、實施、評價體系。我廠定期按安全培訓計劃在內部網安全培訓信息系統中公布安全學習通知和有關的學習內容。管理人員和員工可以自主選擇學習時間,也可通過授權異地遠程登陸內部網進行在線學習、在線考試。建立網上員工學習檔案,實施積分制管理,并對培訓效果按季度、半年、全年進行評價。這套系統不但使員工能夠及時學習掌握安全生產方面的相關知識,也使安全學習有了更大的主動權,提高了員工學習的自覺性和主動性。
(五)依托安全信息網絡系統,實現安全管理全員聯動
安全信息網絡系統包括網上信息系統和手機短信群發系統。利用網上信息系統,及時公布安全文件制度信息。通過內部網安全管理和安全文件等版塊,一方面及時上傳企業內部各種安全生產文件、安全專項檢查信息、安全工作總結、安全工作計劃等,使全體員工迅速了解安全生產形勢。另一方面,根據安全檢查通報情況,及時整改現場存在的問題,消除事故隱患,保證安全生產。
利用手機短信群發系統,提高全員安全生產意識。每天給廠領導、中層管理人員、安監人員、班組長分層次當日安全生產情況短消息,使干部員工及時掌握安全生產動態信息。針對下雪、降溫、雷雨等特殊天氣,及時啟動應急預案,利用手機群發短信在一分鐘內即可將信息傳遞到每個員工。
三、實施效果和基本經驗
(一)提高安全管理效率,降低管理成本
企業利用安全網絡信息平臺,把安全教育培訓資源有效整合,利用網絡信息手段進行溝通的比例顯著提高,比如在安全會議、文件傳達、部門討論、問題跟蹤反饋等方面,全部通過在企業內部網安全信息網絡平臺上進行傳遞,工作效率明顯提高。經過授權,通過計算機在任何地方、任何時間,只要上網,都能及時地查詢到企業安全管理信息,實現了網絡學習,使隨時隨地培訓成為可能。同時,大量節約了紙張、復印、電話、傳真等費用,系統應用為每個員工帶來了工作便利,也使企業安全管理成本明顯降低。
(二)為提高員工安全素質提供了新途徑
傳統的安全教育培訓,采用講課和自學等枯燥、被動安全教育培訓模式,而這種模式的培訓效率和成本顯然不能很好地適應現代安全管理的需求。應用安全信息網絡平臺進行公開、引導式安全教育培訓,克服了廠內不同單位、不同部門、不同員工之間的溝通和管理障礙,使普通員工可以與管理者直接交流。網上學習培訓系統在應用過程中實現了教育功能與現代管理觀念的傳遞,培訓與考試過程更加公開透明,促進了員工的自主學習意識,促進企業人員素質整體提升。
(三)為企業安全管理決策提供依據
【關鍵詞】局域網;安全;危害;應對;模型
中圖分類號:TP393.1 文獻標識碼:A 文章編號:
一、前言
隨著網絡的普遍應用,特別是局域網的使用。各種對于局域網安全產生破壞的隱患成不出窮,一旦構成的破壞也是十分巨大的。因此,局域網的網絡安全及應對策略問題成為當前網絡安全的關鍵性問題。
二、當今局域網的安全現狀
由于IPV4地址的有限,使得很多地方都通過建立局域網來上網,如許多大中型企業和學校,這樣就有局域網內很多臺電腦的一個網絡通過一個端口連接都在互聯網上,這也就使得對局域網內的網絡安全變得尤其重要。在許多年前,局域網還是十分安全的,大多數的公司也常常習慣于直接在局域網共享各種常用軟件和資料,但是現在很多病毒開發者打起了局域網的主意。例如由于網游產生了APR病毒。這是一種欺騙性質的病毒,雖然它的目的并不是破壞局域網,但為了達到它盜號盜寶的目的,會嚴重影響其它局域網用戶的正常上網活動。有一種針對服務器的SYN攻擊也會令局域網電腦全體“ 掉 線 ” SYN攻擊屬于DOS攻擊的一種,它利用TCP協議三次握手的等待確認缺陷,通過發送大量的半連接請求,耗費CPU的內存資源。SYN攻擊除了能影響主機外,還可以危害路由器,防火墻等網絡系統,事實上SYN攻擊并不管目標是什么系統,只要這些系統打開TCP服務就可以實施。
三、局域網網絡安全建設
1、創建獨立安全局域網服務器
當前,我國較多局域網體系沒有單獨創建針對服務器的安全措施,雖然簡單的設置可令各類數據信息位于網絡系統中高效快速的傳播,然而同樣為病毒提供了便利的傳播感染渠道。局域網之中雖然各臺計算機均裝設了預防外界攻擊影響的安全工具,制定了防范措施,然而該類措施恰恰成為網絡安全的一類薄弱環節。在應對局域網絡內部影響攻擊時,效果不佳,尤其在其服務器受到病毒侵襲影響,會令全網系統不良崩潰。為此,對其服務器獨立裝設有效防護措施尤為重要。我們應在服務器內部安裝單獨的監控網內系統、各類病毒庫的實時升級系統,令其在全過程的實時安全監督、優化互補管控之下安全快速的運行。當發覺網內計算機系統受到病毒侵襲時,應快速將聯系中斷,并面向處理中心報告病毒種類,實施全面系統的殺毒處理。而當服務器系統被不良攻擊影響時,則可利用雙機熱備體系、陣列系統安全防護數據信息,提升整體系統安全水平。
2、樹立安全防范意識,提升應用者防毒水平
局域網產生的眾多安全問題之中,較多由于內網操作應用人員沒有樹立安全防范意識,令操作失誤頻繁發生。例如操作控制人員沒有有效進行安全配置令系統存在漏洞、或是由于安全防范意識不強,令外網攻擊借機人侵。在選擇口令階段中由于操作不慎,或將自身管理應用賬號隨意的借他人應用,均會給網絡安全造成不良威脅影響。另外,網絡釣魚也成為影響計算機局域網絡安全的顯著隱患問題。不法分子慣用該類方式盜取網絡系統賬號、竊用密碼,進而獲取滿足其利益需求的各類重要資訊、信息,還直接盜取他人經濟財產。一些網絡罪犯基于局域網絡系統資源信息全面共享的客觀特征而采取各類方式手段實施數據信息的不良截獲,或借助垃圾郵件群發、發送不明數據包、危險鏈接等誘導迷惑方式,令收信方進行點擊,對于計算機局域網絡系統的優質安全管理運行形成了較大的隱患威脅。
3、實施制度化的文件信息備份管理,預防不可逆損失
一般來講,各類網絡攻擊或者是病毒侵襲,均需要首先找到網絡系統中的落腳點方能實現攻擊竊取目標。而計算機系統漏洞、局域網絡后門則為攻擊者提供了落腳點,成為不安全攻擊的主體目標。當然該類漏洞無法絕對全面的徹底消除。因而,為有效提升各單位計算機局域網絡系統的綜合安全防護性能,應對系統以及各類數據、信息與文件進行定期全面備份,并確保制度化的實時升級管理,令該項制度成為應用局域網的現實規范。只有快速、及時、全面的實施整體數據信息及系統備份,方能在系統受到不良侵襲、導致信息不慎丟失時能夠快速恢復,杜絕不可逆影響的發生并產生永久損失。另外,對于資料信息的整體備份內容同日常應用儲存數據不應放于同一計算機或服務器之中,不然該類備份便會毫無意義。如果備份程序還支持加密,我們則可借助數據加密處置,多為磁盤增設一道密碼保護屏障。基于計算機病毒發展快速、更新頻繁、攻擊方式變幻莫測的狀況,工作人員還應為整體系統做好維護管理、打補丁升級及全面更新的應用控制,提升整體系統防護病毒影響水平。可通過防火墻系統安裝、監督控制手段應用、安裝強力查殺病毒工具軟件、定期備份殺毒、整理磁盤,注冊表清理及冗余刪除,規范文件應用及垃圾文件刪除等方式,實現系統的安全最優化目標。
四、局域網絡安全的主要威脅
目前威脅局域網內網絡安全的有以下幾方面:
1、計算機病毒。編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼被稱為計算機病毒。具有破壞性,復制性和傳染性。隨著計算機和網絡技術的推廣與發展,計算機病毒也在不斷地演變和壯大,其危害性也越來越大,對很多計算機局域網的安全構成了很大的威脅。
2、黑客入侵。黑客入侵技術,是對計算機系統和網絡的缺陷和漏洞的發現,以及針對這些缺陷實施攻擊的技術。這里的缺陷,包括軟件缺陷、硬件缺陷、網絡協議缺陷、管理缺陷和人為的失誤。黑客非法侵入計算機網絡,獲取局域網內的秘密信息或有選擇性地破壞局域網內信息的有效性和完整性,這是當前計算機局域網所面臨的最大威脅之一。
3、截取信號。這種威脅主要體現在無線局域網中,隨著網絡的發展,無線局域網已被看作網絡發展的必然方向。雖然無線局域網有很多顯著的優勢,但也存在著安全隱患,不法者可以通過特殊手段截取信號來獲取通信中的保密信息。
五、局域網絡安全事故應對策略模型
網絡安全事故應對策略模型的構建目標是利用多種安全防護措施以及系統數據的備份與恢復手段,構建一個基于全方位、多層次的事故協同處理系統,該系統包括對網絡攻擊者攻擊事故的檢測、審計與分析,攻擊記錄與防御、網絡偽裝與欺騙、災難備份與恢復等功能,為業務網絡系統搭建一個動態的、自治的安全環境。
網絡安全事故應對策略模型的組成主要包括三個部分的內容,一是攻擊信息記錄系統,主要利用攻擊信息記錄技術和網絡安全監察技術,對可疑的網絡數據流以及網絡鏈接進行檢測,獲取并保存網絡攻擊者的相關信息,這些信息可以為攻擊防御系統以及數據備份恢復系統提供可靠的依據,也可以在事后對網絡攻擊行為的分析與對策研究中起到重要作用;二是協同式攻擊防御技術,主要是以攻擊信息記錄系統中獲取的攻擊者攻擊的相關信息為基礎,將蜜罐技術和系統漏洞掃描技術融入到防御系統中,建立起立體的攻擊防御體系,從而實現對網絡攻擊行為的防護和抵御;三是網絡數據備份恢復系統,它的目標是實現一個低成本、高性能,與網絡中其他安全設備與系統協同工作的多數據備份恢復系統。
網絡安全事故應對策略模型的工作方式為,先由攻擊信息記錄系統,利用部署在主機與網絡設備中的監控組件,對網絡進行全方位的監視,對網絡中的數據包進行截取和分析,然后將審計與分析的結果傳輸到控制與分析中心,在那里對信息進行綜合和二次判斷,當確認有攻擊行為發生時,將信息輸送到協同式防御系統;
六、結束語
清晰了解局域網的網絡安全隱患產生的原因,明確針對各種網絡安全隱患的應對措施。其中局域網絡安全事故應對策略模型的建立,將有助于局域網絡安全的維護。但是,隨著網絡的日趨復雜化,單一模型是不能解決問題,因此面對實際問題,還需對解決方案進行發展創新。
參考文獻
[1胡錚.網絡與信息安全[M].清華大學出版社,2006.
[2]李輝.計算機網絡安全與對策[J].濰坊學院學報,2007.
【關鍵詞】操作系統 電子商務 密碼安全 病毒 防火墻
一、網絡安全技術體現的具體方面
(一)什么是網絡安全
可能有人會對什么是網絡安全不以為然,認為所謂的網絡安全,就是在使用網絡中保證安全。這樣等于沒有解釋什么是網絡安全,而且只有弄清楚怎樣的環境才算是安全的網絡,才能有的放矢,使用網絡技術去防范網絡犯罪,從而真正實現的網絡安全。網絡安全包含多個層面含義,是要讓用戶在網絡環境中能夠正常的傳輸數據信息,保證傳輸過程正常運行,不被認為或者自然的因素所影響。網絡安全既要保證網絡中軟件的安全更要保證網絡中硬件設備正常工作不被損壞。這是理論上的網絡安全環境,不可能完全避免認為和自然環境因素的影響,但是只要我們正確的認識網絡安全的重要,合理使用網絡安全技術,就能使得你的生活和工作的網絡環境避免收到侵害。
(二)網絡安全常見的體現:
網絡安全技術的應用越來越趨于完善,各個方面人們都已經使用或者正在嘗試使用網絡安全技術,最大程度的降低網絡犯罪所帶來的威脅。這里主要介紹幾個常見的網絡安全技術。首先,對于信息的傳送,我們使用了加密技術,這屬于計算機中密碼學的范疇。包括聊天信息的加密解密,個人帳戶隱私的加密,密碼的多重加密等等,不一而足。主要應用的領域主要在電子商務的財務往來和信息溝通軟件的保密方面(如騰訊QQ)。其次,主要是體現在殺毒軟件和防火墻兩方面。這兩種網絡安全技術針對性比較強,主要是針對來自網絡的病毒攻擊和一些非法的侵入行為。其實從原理角度講,殺毒軟件和防火墻并不相同,差異很大。殺毒軟件主要是針對進入到網絡的終端(計算機)中的病毒,進行查找與殺滅。讓病毒不能夠正常的復制、觸發,不能實現危害計算機危害網絡的目的。而防火墻則如同守衛大門的衛士,利用柵欄阻攔不受信賴的訪客,讓危險信息無法傳送到內網。但兩者也有相同的目的,就是共同組織危險者的破壞行為。再進一步說,網站是人們關注信息的平臺和媒介。哪么建立網站的服務器的安全性保障要跟高。這就要從操作系統抓起,合理選用自身性能更加安全的操作系統,進行操作系統安全設置,從根本上保證安全性進一步提高。
二、網絡安全技術的具體應用
(一)密碼學:
在電子商務和信息傳送中常常使用,利用的是密碼學的知識。但要實現具體應用就要以技術形式體現。現在常用的加密技術有MD5技術、數字簽名技術、RSA、DESA算法相關技術等。這些是以使用較多為介紹,不是以具體標準進行分類的。比如在實現不可逆的軟件加密或者計算機應用工具機密,MD5技術就有較多的使用。在電子商務中數字簽名技術更方便的保障了買方和賣方的共同利益,防止資金支付抵賴。
(二)防火墻應用:
防火墻已經介紹了,如同門衛一般,保障用戶和用戶間內網的安全。但從原理來說,其實防火墻歷經了幾個不同的階段,從早期利用數據包格式進行安全判定,到進一步電路級網關安全判定,再到應用層使用的安全判定。網絡安全性能一路攀升。但是不可否認的是,安全性能的攀升也付出了大量計算大量判定與時間的代價。從這些原理出發,廠商也制作了不同原理的防火墻。成熟產品也日益增多,如果在公共場合使用的網絡終端,都最好配置一款防火墻產品。現在比較流行的有天網防火墻、安氏領信,聯想網御,天融信等。當然還有很多國外防火墻產品性能也很優越。這里不再贅述。
(三)操作系統安全應用
WINDOWS已經是人們使用最多的操作系統,但是有的操作系統只適合個人用戶,對于服務器級的安全是不夠的。當然也不乏幾款操作系統是針對安全性設計的。因為微軟的操作系統人們研究已經較多,這里討論下LIUNX平臺下安卓系統的安全。Android系統作一個安全開源的移動平臺,在系統內核層次與應用開發方面都提供了強大的安全措施。在系統內核層次,應用沙盒可以實現應用之間的隔離,防止一個應用的數據和代碼被其它沒有授權的應用存取;隨著系統版本的升級,內存管理功能隨之豐富;加密的文件系統可以保護丟失設備上的數據不被泄漏。在應用開發方面同,采用加密、授權和安全IPC等措施構建的應用程序框架具有強大的安全特性;授權模式可以限制應用對系統功能和用戶數據的存取;應用指定的權限級別可以控制其它應用對自己的訪問;數字簽名保證了程序開發者與應用之間的信任關系。Android在安全性設計方面還考慮了盡量減少應用開發人員的負擔問題。針對安全性要求高的開發者通過平臺提供的靈活的安全控制機制可以輕松開發應用程序。針對安全性要求不高的開發者,系統默認的安全措施也能夠對應用程序提供較好的保護。對于可能存在的惡意攻擊,系統提供了防范機制,一方面降低攻擊成功的概率,另一方面盡量限制攻擊后系統所受損失。
參考文獻:
[1]高學軍,凌捷.網絡安全現狀與趨勢探討[J].汕頭大學學報(自然科學版).2004(04).
[2]禹春東,薛質.淺析入侵檢測系統[J].中國科技信息.2005(24).
[3]葉宇光.淺談網絡安全[J].電腦知識與技術.2004(32).
[4]劉明,韓江.網絡安全現狀及其防范技術探討[J].科技信息.2006(S2).
【關鍵詞】通信網絡;因素;技術;建設;措施
1.通信網絡安全的內涵
通信網絡安全是指信息安全和控制安全。其中國際標準化組織把信息安全定義為信息完整性、可用性、保密性和可靠性。而控制安全是指身份認證、不可否認性、授權和訪問控制。通信網絡的特點是具有開放性、交互性和分散性,能夠為用戶提供資源共享、開放、靈活和方便快速的信息傳遞、交流的方式。
2.通信網絡安全的現狀
2.1通信網絡發展現狀
中國互聯網絡信息中心(CNNIC)的《第27次中國互聯網絡發展狀況統計報告》數據顯示,截至2010年12月底,我國網民規模達到4.57億,較2009年底增加7330萬人。我國手機網民規模達3.03億,而網絡購物用戶年增長48.6%。Research艾瑞市場咨詢根據公安部公共信息網絡安全監察局統計數據顯示,互聯網遭受病毒攻擊中“瀏覽器配置被修改”占20.9%。“數據受損或丟失”18%,“系統使用受限”16.1%,“密碼被盜”13.1%。通過以上數據顯示,可以看出我國的通信網絡在飛速發展,而通信網絡安全問題日益加劇,通信網絡安全建設仍是亟待解決的重點問題。
2.2造成通信網絡安全問題的因素
第一,計算機病毒。計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。計算機病毒具有復制性、破壞性和傳染性。
第二,黑客攻擊。中國互聯網絡信息中心和國家互聯網應急中心的調查報告數據顯示,僅在2009年我國就有52%的網民曾遭遇過網絡安全事件,而網民處理安全事件所支付的相關費用就達153億元人民幣。網絡攻擊事件給用戶帶來了嚴重的經濟損失,其中包括網絡游戲、即時通信等賬號被盜造成的虛擬財產損失,網銀密碼、賬號被盜造成的財產損失等。產生網絡安全事件的主因是黑客惡意攻擊。通信網絡是基于TCP/IP協議,而TCP/IP協議在設計初期是出于信息資源共享的目的,沒有進行安全防護的方面的考慮,因此導致了通信網絡自身存在安全隱患,也給黑客提供了可乘之機。
第三,通信網絡基礎建設存在薄弱環節。例如通信網絡相關的軟硬件設施存在安全隱患。通信網絡運營商為了管理方便,會在一些軟硬件系統中留下遠程終端的登錄控制通道,還有一些通信軟件程序在投入市場使用中,缺少安全等級鑒別和防護程序,因此形成了通信網絡漏洞,容易被不法分子利用而發起入侵網絡系統的攻擊,使通信信息遭到竊取、篡改、泄露。另外通訊信息傳輸信道也存在安全隱患,例如許多通信運營商采取的是普通通信線路,沒有安置電磁屏蔽,容易被不法分子利用特殊裝置對信息進行竊取。
第四,人為因素造成的通信網絡安全問題。通信網絡的安全高效運行需要高素質、高專業技術水平的人員,而目前的網絡管理人員的安全觀念和技術水平還有待提升。
3.解決措施
隨著我國通信網絡功能的不斷完善,在人們日常生活、生產和社會經濟發展中起到了越來越重要的作用。因此,通信網絡安全建設需要采用有效的措施,消除通信網絡的安全隱患,加強對非法入侵的監測、防偽、審查、追蹤,保障通信網絡信息傳遞的安全性、可靠性、及時性和完整性,加強和完善通信線路的建立、信息傳輸全過程的安全防護措施。
3.1完善通信網絡基礎設施建設
通信網絡的物理安全是通信網絡安全的基礎,通信網絡基礎設施安全主要包括:保護計算機系統(各種網絡服務器)、網絡設備和通信鏈路免受自然災害、人為破壞和物理手段的攻擊,加強對系統帳戶的管理、用戶的分級管理、用戶權限的控制,以及系統關鍵部位的電磁保護防止電磁泄漏,同時要制定通信網絡安全管理制度,避免計算機控制室出現偷竊、破壞活動。
3.2完善通信網絡安全的法制體系建設
鑒于通信網絡存在安全事件造成巨大經濟財產損失,需要制定通信網絡安全的法律、法規,這也是打擊網絡犯罪的重要手段。我國在2009年3月實行了《信息安全條例(部內審議稿)》與《電信設施保護條例(草稿)》,明確了網絡與信息系統安全、網絡信息服務安全、信息技術產品和服務等內容,而且規范了保障電信設施建設與規劃、處理公用設施之間的相鄰關系、電信設施保護區的劃定、電信設施損壞賠償制度等方面的內容。進一步完善了通信網絡安全的法制體系,也為通信網絡安全運行提供了法律依據。
3.3運用網絡安全技術,保障通信網絡安全
3.3.1保障通信網絡安全的技術手段
針對通信網絡安全問題,采取的技術手段主要包括以下幾種。“身份鑒別”、“網絡授權”、“數據保護”、“收發確認”、“保證數據的完整性”、“業務流分析保護”。其中“身份鑒別”是基于身份認證技術,通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。這幾種安全防范措施,是系統開始運行到數據傳輸,以及通訊業務完成全過程的安全防護,能夠有效的保障數據傳輸的安全性、機密性、完整性。
3.3.2保障通信網絡安全的技術類型
建構防御系統還需要利用防火墻技術、入侵檢測技術、漏洞掃描技術等。
(1)防火墻技術
防火墻技術是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障,能夠最大限度的阻止網絡中的黑客入侵。
(2)入侵檢測技術
入侵檢測技術是對防火墻技術的補充。防火墻技術雖然能夠保護內部網絡不受外部網絡的攻擊,但它對內部網絡的一些非法活動的監控不夠完善。依據入侵檢測技術而應用的IDS即入侵檢測系統,積極主動地對內部攻擊、外部攻擊和誤操作的提供實時保護,IDS能夠在網絡系統受到危害之前,攔截和響應入侵,提高了信息安全性,同時也能夠主動保護網絡系統免于計算機病毒、木馬以及黑客的攻擊。
(3)漏洞掃描技術
由于通信系統自身存在漏洞,需要采用漏洞掃描技術來優化系統設置,針對不同系統軟件存在的安全漏洞下載安裝補丁程序,能夠及時升級網絡系統和修改軟件設計缺陷,以此提高通信網絡系統可靠性、安全性,保障通信網絡系統的運行。
4.總結
隨著通信網絡在全球范圍內的飛速發展,人類生活、工作的全部領域都與通信網絡息息相關,通信網絡提供高效、方便、強大服務功能的同時,其產生通信網絡安全問題也給社會經濟發展帶來了一定的負面影響。因此國家與相關部門要完善法律體系,依據安全技術手段,提高安全防范意識,全方位的增強網絡數據的安全、信息的安全、網絡系統的安全,促進通信網絡的發展。
【參考文獻】
隨著計算機網絡的發展,病毒、黑客、木馬等的惡意攻擊使網絡安全問題日益突出,如何提高網絡安全的防御能力越來越受到人們的關注。本文分析了當前計算機網絡安全所面臨的威脅及影響因素,并針對存在的問題提出了加強網絡安全防御能力的對策。網絡技術的發展給人們提供了信息交流的平臺,實現了信息資源的傳播和共享。但隨著計算機網絡應用的廣泛深入,運行環境也復雜多變,網絡安全問題變得越來越突出,所造成的負面影響和嚴重性不容忽視。病毒、黑客、木馬等的惡意攻擊,使計算機軟件和硬件受到破壞,使計算機網絡系統的安全性與可靠性受到非常大的影響,因此需要大力發展網絡安全技術,保證網絡傳輸的正常運行。
1影響計算機網絡安全的因素
1.1系統缺陷
雖然目前計算機的操作系統已經非常成熟,但是不可避免的還存在著安全漏洞,這給計算機網絡安全帶來了問題,給一些黑客利用這些系統漏洞入侵計算機系統帶來了可乘之機。漏洞是存在于計算機系統中的弱點,這個弱點可能是由于軟件或硬件本身存在的缺陷,也可能是由于系統配置不當等原因引起的問題。因為操作系統不可避免的存在這樣或那樣的漏洞,就會被黑客加以利用,繞過系統的安全防護而獲得一定程度的訪問權限,從而達到侵入他人計算機的目的。
1.2計算機病毒
病毒是破壞電腦信息和數據的最大威脅,通常指能夠攻擊用戶計算機的一種人為設計的代碼或程序,可以讓用戶的計算機速度變慢,數據被篡改,死機甚至崩潰,也可以讓一些重要的數據信息泄露,讓用戶受到巨大損失。典型的病毒如特洛伊木馬病毒,它是有預謀的隱藏在程序中程序代碼,通過非常手段偽裝成合法代碼,當用戶在無意識情況下運行了這個惡意程序,就會引發計算機中毒。計算機病毒是一種常見的破壞手段,破壞力很強,可以在很短的時間降低計算機的運行速度,甚至崩潰。普通用戶正常使用過程中很難發現計算機病毒,即使發現也很難徹底將其清除。所以在使用計算機過程中,尤其包含一些重要信息的數據庫系統,一定加強計算機的安全管理,讓計算機運行環境更加健康。
1.3管理上的欠缺
嚴格管理是企業、機構及用戶網絡系統免受攻擊的重要措施。很多用戶的網站或系統都疏于這方面的管理,如使用脆弱的用戶口令、不加甄別地從不安全的網絡站點上下載未經核實的軟件、系統升級不及時造成的網絡安全漏洞、在防火墻內部架設撥號服務器卻沒有對賬號認證等嚴格限制等。為一些不法分子制造了可乘之機。事實證明,內部用戶的安全威脅遠大于外部網用戶的安全威脅,使用者缺乏安全意識,人為因素造成的安全漏洞無疑是整個網絡安全性的最大隱患。
2計算機網絡安全防范措施
2.1建立網絡安全管理隊伍
技術人員是保證計算機網絡安全的重要力量,通過網絡管理技術人員與用戶的共同努力,盡可能地消除不安全因素。在大力加強安全技術建設,加強網絡安全管理力度,對于故意造成災害的人員必須依據制度嚴肅處理,這樣才能使計算機網絡的安全得到保障,可靠性得有效提高,從而使廣大用戶的利益得到保障。
2.2健全網絡安全機制
針對我國網絡安全存在的問題,我國先后頒布了《互聯網站從事登載新聞業務管理暫行規定》、《中國互聯網絡域名注冊暫行管理辦法》、《互聯網信息服務管理辦法》等相關法律法規,表明政府已經重視并規范網絡安全問題。但是就目前來看管理力度還需要進一步加大,需要重點抓這些法律法規的貫徹落實情況,要根據我國國情制定出政治、經濟、軍事、文化等各行業的網絡安全防范體系,并加大投入,加大重要數據信息的安全保護。同時,要加大網絡安全教育的培訓和普及,增加人們網絡安全教育,拓展網絡安全方面的知識,增強網絡安全的防范意識,自覺與不良現象作斗爭。這樣,才能讓網絡安全落到實處,保證網絡的正常運行。
2.3加強網絡病毒防范,及時修補漏洞
網絡開放性的特點給人們帶來方便的同時,也是計算機病毒傳播和擴散的途徑。隨著計算機技術的不斷進步,計算機病毒也變得越來越高級,破壞力也更強,這給計算機信息系統的安全造成了極大威脅。因此,計算機必須要安裝防毒殺毒的軟件,實時對病毒進行清理和檢測,尤其是軍隊、政府機關及研究所等重點部門更應該做好病毒的防治工作,保證計算機內數據信息的安全可靠。當計算機系統中存在安全隱患及漏洞時,很容易受到病毒和黑客的入侵,因此要對漏洞進行及時的修補。首先要了解網絡中安全隱患以及漏洞存在的位置,這僅僅依靠管理員的經驗尋找是無法完成的,最佳的解決方案是應用防護軟件以掃描的方式及時發現網絡漏洞,對網絡安全問題做出風險評估,并對其進行修補和優化,解決系統BUG,達到保護計算機安全的目的。
3計算機信息安全防范措施
3.1數據加密技術
信息加密是指對計算機網絡上的一些重要數據進行加密,再使用編譯方法進行還原的計算機技術,可以將機密文件、密碼口令等重要數據內容進行加密,使非法用戶無法讀取信息內容,從而保證這些信息在使用或者傳輸過程中的安全,數據加密技術的原理根據加密技術應用的邏輯位置,可以將其分成鏈路加密、端點加密以及節點加密三個層次。鏈路加密是對網絡層以下的文件進行加密,保護網絡節點之間的鏈路信息;端點加密是對網絡層以上的文件進行加密,保護源端用戶到目的端用戶的數據;節點加密是對協議傳輸層以上的文件進行加密,保護源節點到目的節點之間的傳輸鏈路。根據加密技術的作用區別,可以將其分為數據傳輸、數據存儲、密鑰管理技術以及數據完整性鑒別等技術。根據加密和解密時所需密鑰的情況,可以將其分為兩種:即對稱加密(私鑰加密)和非對稱加密(公鑰加密)。對稱加密是指加密和解密所需要的密鑰相同,如美國的數據加密標志(DES);非對稱加密是指加密與解密密鑰不相同,該種技術所需要的解密密鑰由用戶自己持有,但加密密鑰是可以公開的,如RSA加密技術。加密技術對數據信息安全性的保護,不是對系統和硬件本身的保護,而是對密鑰的保護,這是信息安全管理過程中非常重要的一個問題。
3.2防火墻技術
在計算機網絡安全技術中,設置防火墻是當前應用最為廣泛的技術之一。防火墻技術是隔離控制技術的一種,是指在內部網和外部網之間、專用網與公共網之間,以定義好的安全策略為基準,由計算機軟件和硬件設備組合而成的保護屏障。(1)包過濾技術。信息數據在網絡中傳輸過程中,以事先規定的過濾邏輯為基準對每個數據包的目標地址、源地址以及端口進行檢測,對其進行過濾,有選擇的通過。(2)應用網關技術。通過通信數據安全檢查軟件將被保護網絡和其他網絡連接在一起,并應用該軟件對要保護網絡進行隱蔽,保護其數據免受威脅。(3)狀態檢測技術。在不影響網絡正常運行的前提下,網關處執行網絡安全策略的引擎對網絡安全狀態進行檢測,對有關信息數據進行抽取,實現對網絡通信各層的實施檢測,一旦發現某個連接的參數有意外變化,則立即將其終止,從而使其具有良好的安全特性。防火墻技術作為網絡安全的一道屏障,不僅可以限制外部用戶對內部網絡的訪問,同時也可以反過來進行權限。它可以對一些不安全信息進行實時有效的隔離,防止其對計算機重要數據和信息的破壞,避免秘密信息泄露。
3.3身份認證
采取身份認證的方式控制用戶對計算機信息資源的訪問權限,這是維護系統運行安全、保護系統資源的一項重要技術。按照用戶的權限,對不同的用戶進行訪問控制,它的主要任務是保證網絡資源不被非法使用和訪問,是防止不法分子非法入侵的關鍵手段。主要技術手段有加密控制、網絡權限控制、鍵盤入口控制、邏輯安全控制等。
4結束語
計算機網絡安全是一項復雜的系統工程,隨著網絡安全問題日益復雜化,計算機網絡安全需要建立多層次的、多渠道的防護體系,既需要采取必要的安全技術來抵御病毒及黑客的入侵,同時還要采用規章制度來約束人們的行為,做到管理和技術并重。我們只有正視網絡的脆弱性和潛在威脅,大力宣傳網絡安全的重要性,不斷健全網絡安全的相關法規,提高網絡安全防范的技術水平,這樣才能真正解決網絡安全問題。
作者:馮 濤 王旭東 單位:蘭州理工大學計算機與通信學院
引用:
[1]杜躍進.全新時代:網絡安全威脅進入新階段[J].信息安全與通信保密,2011.
[2]魏為民,袁仲雄.網絡攻擊與防御技術的研究與實踐[J].信息網絡安全,2012.
[3]張旭珍,薛鵬驀,葉瑜等.網絡信息安全與防范技術[J].華北科技學院學報,2011.
【關鍵詞 】 安全域 場景劃分 營業廳 安全
The solution of business network based on scenes-division security domains
Liang Yang China Mobile Group Design Institute Co.,Ltd. Hebei Branch.
Abstract Based on the current status of urban business network of China Mobile Group Hebei Co.,Ltd, this article analyzes the drawbacks and underlying security problems in urban business network, and then proposes a solution of business network based on scenes-division security domains, which effectively enhances the network security.
Key words security domains; scenes division; service hall; security
一、地市營業網絡現狀及分析
1.1 地市營業網絡現狀
經過多年的業務發展和市場拓展,目前中國移動通信集團河北有限公司全省實體渠道營業網點總數達16000多個,其中自建實體渠道營業網點達1600多個,合作廳和商實體營業網點達14000多個,營業終端數達23000多個。
各地市的自建廳全部通過SDH自有傳輸經過MDCN上連至省業務支撐中心,但是合作廳和商實體營業廳接入省業務支撐中心的方式復雜多樣,經過調研,結果如下:
承德、張家口、秦皇島、廊坊、保定、滄州、邯鄲七個地市分公司的合作廳/商廳均通過SDH自有傳輸經本地市的營業匯聚交換機接入省業務支撐中心;石家莊分公司大部分合作廳/商廳通過SDH自有傳輸經本地市的營業匯聚交換機接入省業務支撐中心,少部分通過公網SSL VPN方式經本地市的營業匯聚交換機接入省業務支撐中心;唐山分公司部分合作廳/商廳通過SDH自有傳輸經本地市的營業匯聚交換機接入省業務支撐中心,部分通過公網SSL VPN方式經本地市的營業匯聚交換機接入省業務支撐中心,還有一部分是通過租用其他通信公司企業專網VPN方式接入本地市的營業匯聚交換機再上連至省業務支撐中心;衡水分公司部分合作廳/商廳通過SDH自有傳輸經本地市的營業匯聚交換機接入省業務支撐中心,部分通過公網SSL VPN方式經本地市的營業匯聚交換機接入省業務支撐中心;邢臺分公司少部分合作廳/商廳通過SDH自有傳輸經本地市的營業匯聚交換機接入省業務支撐中心,大部分通過公網SSL VPN方式經本地市的營業匯聚交換機接入省業務支撐中心。
圖1 地市合作/廳營業網絡現狀結構圖
各地市合作廳/商廳營業網絡現狀情況如上圖所示:
另外,中國移動通信集團河北有限公司近期啟動了營業廳瘦終端改造工程,目標是在未來5年內,逐步實現全省營業廳的瘦終端化,瘦終端服務器群在省業務支撐中心集中部署,因此在當前瘦終端尚未完全覆蓋全省的情況下,除了上述全省十一個地市分公司的營業網絡現狀外,又將增加一個瘦終端的接入方式,全省的營業網絡接入方式變得更加復雜。
1.2 地市營業網絡現狀分析
從上述現狀描述中可以看出,針對不同性質的營業廳,沒有進行有效的安全域劃分:
首先,從網絡層面,通過公網SSL VPN和通過租用其他通信公司企業專網VPN這兩種方式接入省業務支撐中心的合作廳/商廳在地市匯聚接入時未采用雙層異構防火墻安全措施,且所有類型的營業廳均直接接入地市營業匯聚交換機,未對不同性質的營業廳進行安全域隔離,在瘦終端尚未全面覆蓋的過渡期,合作廳/廳等所使用的終端、業務訪問行為等不能完全受河北移動公司管理,安全方面存在隱患,例如存在商操作員在非商接入域登錄的現象,一旦出現安全問題,影響面積較大。
其次,為滿足中國移動通信集團河北有限公司綠色瘦終端改造工程安全性建設的需要,要求綠色瘦終端營業廳同其他性質的營業廳進行安全隔離。
二、基于安全域場景劃分的營業網絡解決方案
2.1 方案說明
結合中國移動通信集團河北有限公司地市分公司的營業網絡現狀和未來幾年的瘦終端廳部署規劃,針對11個地市分公司的營業網絡進行基于安全域的場景劃分如下:
將市公司的營業網絡接入域劃分為兩個安全域,即內部接口子域和合作/子域;并劃分出四個場景分別部署不同性質的營業廳,場景一為普通終端自建廳,場景二為瘦終端廳,場景三為具備傳輸條件的普通終端合作廳/商廳,場景四為不具備傳輸條件的普通終端合作廳/商廳。
自建營業廳,由于營業人員所使用的終端、業務訪問行為等能夠接受中國移動通信集團河北有限公司的管理,屬于內部系統,瘦終端廳(無論是自建廳還是合作/廳)所采用的瘦終端將簡化只有鍵盤、鼠標、顯示器和外接打印機、智能卡等設備,在集中部署的服務器端采用遠程桌面技術,遠程桌面服務作為瘦終端的,執行營業系統的客戶端應用,訪問業務系統,省公司還可以根據管理需求針對營業廳的性質進行瘦終端的配置,比如自辦廳可以額外配置磁盤,而合作/廳不配置磁盤等等,這種性質的營業廳能夠規避營業員操作帶來的安全漏洞,能夠確保營業網絡的安全性,因此場景一和場景二部署在市公司內部接口子域。
場景三中普通終端的合作廳/商廳因所使用的終端、業務訪問行為等則不能完全受中國移動通信集團河北有限公司的管理,屬于外部系統,因此場景三部署在市公司的合作/子域。
場景四中普通終端的合作廳/商廳因所使用的終端、業務訪問行為等則不能完全受中國移動通信集團河北有限公司的管理,屬于外部系統,由于場景四是通過公網Internet方式接入至省業務支撐系統,安全風險較廳、合作廳更大,針對此類場景的營業廳需要特殊處理,將其部署在省業務支撐系統互聯網接口子域。
以上基于地市分公司安全域和省業務支撐系統安全域的四種場景劃分如圖2所示。
2.2 方案實施
市公司內部接口子域和市公司合作/子域中涉及的三個營業場景需要物理上隔離,需要部署統一匯聚接入交換機和路由器,場景三還要在交換機南向接口部署隔離防火墻,且與省業務支撐系統防火墻形成雙層異構,如表1所示方案實施前后采取的安全措施。
目前中國移動通信集團河北有限公司各地市分公司現有地市營業匯聚交換機為Cisco3750三層交換機,背板帶寬32Gbps,內存256M,端口為10/100M自適應以太端口,在現狀情況下剛剛能滿足需求;通過在石家莊瘦終端體驗廳進行測試,每臺瘦終端的帶寬需求為56KB至300KB,而目前每臺普通營業終端帶寬約為300KB,因此瘦終端的引入對目前的帶寬無影響;另外綜合考慮業務遠期發展和一些業務可能帶來的復雜度提升以及節能降耗、最大化利用投資等因素的影響,地市公司的營業匯聚交換機采用較高性能的中端三層交換機,在交換機上通過劃分VLAN來區分隔離場景一、場景二和場景三,達到物理隔離提升安全性目的,場景三在交換機南向接口部署隔離防火墻,要求此防火墻和省業務支撐系統防火墻形成雙層異構以保證安全性,另外,四個場景劃分后還需要重新劃分IP地址。
因為MDCN和省業務支撐系統互聯網接口子域負責四類場景的接入,為保證業務的順暢訪問,要求MDCN在各地市的接入節點以及省業務支撐系統互聯網接口子域接入交換機的各項性能指標不低于營業匯聚交換機的性能指標。
省業務支撐系統需要配合進行應用改造,地市公司至省公司的安全策略需要進行調整,各地市公司間互訪隔離策略需要部署,以達到路由精簡,降低網絡節點負荷。
【關鍵詞】搜索軟件 漏洞 網絡安全
搜索軟件有滲透到Internet每一個角落的趨勢,甚至是一些配置不當的數據庫、網站里的私人信息,例如Google的桌面搜索工具Desktop Search存在一個信息泄漏的漏洞,入侵者能通過腳本程序欺騙Desktop Search提供用戶信息,最常見的就是泄漏磁盤數據。利用這個漏洞提供的信息,入侵者可以偽造相關信件并建立欺騙性的電子商務網站,讓用戶誤以為是大公司發給自己的信函而受欺騙。同時因為Robot一般都運行在速度快、帶寬高的主機上,如果它快速訪問一個速度比較慢的目標站點,就有可能會導致該站點出現阻塞甚至停機,更為嚴重的是搜索軟件對網絡資源的搜索已逐漸成為病毒和黑客窺視的焦點,對網站、局域網安全構成嚴重的威脅。
1 搜索軟件主要的安全漏洞
1.1搜索軟件被作為匿名
像A1taVista、HotBot等搜索軟件能無意識地響應使用者的命令,把一些合乎搜索條件的網頁傳遞給使用者,一般黑客就是利用這一點,利用嵌套技術,層層使用網絡,通過搜索軟件搜索有缺陷的網站并入侵。
1.2搜索軟件被作為病毒查找攻擊對象的工具
例如,Santy蠕蟲病毒的爆發最初發生在一周前,這一蠕蟲病毒能夠刪除BBS論壇上的內容,在上面“涂鴉”它自己的內容。據安全公司表示,該病毒攻擊的對象是運行phpBB軟件的論壇網站,而且就是利用Google查找攻擊目標。在Google公司采取措施對Santy蠕蟲病毒對存在有漏洞的BBS論壇網站的查找進行查殺之后,Santy蠕蟲病毒的變種正在利用Google、AOL和雅虎等搜索軟件進行大肆傳播。
1.3Google批量黑客搜索攻擊技術
很多有特定漏洞的網站都有類似的標志頁面,而這些頁面如果被Google索引到,我們就可以通過搜索指定的單詞來找到某些有指定漏洞的網站。
1.4搜索軟件被利用查找有缺陷的系統
一般黑客入侵的標準程序是首先尋找易受攻擊的目標,接著再收集一些目標的信息,最后發起攻擊。一般來說,新開通網絡服務的主機容易成為攻擊目標,因為這些主機最有可能沒有很好的防范措施,如安全補丁、安裝及時更新的防火墻等。
1.5搜索軟件能用來搜索秘密文件
搜索軟件中的FTP搜索軟件,與HTTP搜索軟件相比,存在著更大的網絡漏洞。諸如LycosFTP的搜索軟件,它產生的成千上萬的網絡鏈接能夠探測到一些配置不當的FTP服務器上的敏感信息。任何網絡使用者,稍懂網絡知識,使用這種搜索軟件,都可以鏈接到一些保密的數據和信息,更不用說一些資深的黑客了。
1.6黑客利用桌面搜索攻擊個人計算機
近來金山公司發現一種名為“Google DeskTop”的工具能夠讓使用者很輕易地找到機器當中的私人信息。同時,這個搜索工具還可以搜出系統隱藏的文件,如果利用這個搜索工具就能輕易地修改掉系統文件,而在隱藏文件暴露的情況下,非常容易受到攻擊,而且病毒會利用操作系統漏洞進行攻擊。所以用戶在QQ、MSN聊天時,或者利用電子郵件收發時,個人信息會存在緩存當中,利用這一搜索會輕易搜索到網頁的記錄。
2 局域網的信息安全
影響局域網信息安全的因素主要有:非授權訪問、冒充合法用戶、破壞數據的完整性、干擾系統正常運行、病毒與惡意攻擊、線路竊聽等等。
2.1常規策略:訪問控制
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段,是保證網絡安全最重要的核心策略之一。
(1)入網訪問控制。它是第一層訪問控制,控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。
(2)網絡的權限控制。這是針對網絡非法操作所提出的一種安全保護措施。控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。
(3)目錄級安全控制。控制用戶對目錄、文件、設備的訪問,或可進一步指定對目錄下的子目錄和文件的權限。
(4)屬性安全控制。應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。
(5)網絡服務器安全控制。包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
(6)網絡監測和鎖定控制。服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應有一定的報警方式。同時應能自動記錄企圖嘗試進入網絡的對象和次數,并設置閾值以自動鎖定和驅逐非法訪問的賬戶。
(7)網絡端口和節點的安全控制。網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護,并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶,靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。
2.2.非常規卻有時更有效的安全策略和技術
(1)屏蔽Cookie程序
Cookie是Web服務器發送到電腦里的數據文件,它記錄了諸如用戶名、口令和關于用戶興趣取向的信息,因此有可能被入侵者利用,造成安全隱患,因此,我們可以在瀏覽器中做一些必要的設置,要求瀏覽器在接受Cookie之前提醒您,或者干脆拒絕它們。通常來說,Cookie會在瀏覽器被關閉時自動從計算機中刪除,可是,有許多Cookie會一反常態,始終存儲在硬盤中收集用戶的相關信息。
(2)屏蔽ActieX控件
由于ActieX控件可以被嵌入到HTML頁面中,并下載到瀏覽器端加以執行,因此會給瀏覽器端造成一定程度的安全威脅。
(3)定期清除緩存、歷史記錄,以及臨時文件夾中的內容
瀏覽器的緩存、歷史記錄,以及臨時文件夾中的內容保留了我們太多的上網的記錄,這些記錄一旦被那些無聊的人得到,他們就有可能從這些記錄中尋找到有關個人信息的蛛絲馬跡。
(4)內部網絡系統的密碼要定期修改
由于許多入侵者利用窮舉法來破解密碼,像john這一類的密碼破解程序可從因特網上免費下載,只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行,就可以獲得需要的賬號及密碼,因此,經常修改密碼對付這種盜用就顯得十分奏效。
(5)不要使用“My Documents”文件夾存放Word、Excel文件
Word、Excel默認的文件存放路徑是根目錄下的“My Documents”文件夾,在特洛伊木馬把用戶硬盤變成共享硬盤后,入侵者從這個目錄中的文件名一眼就能看出這個用戶是干什么的,這個目錄幾乎就是用戶的特征標識,所以為安全起見應把工作路徑改成別的目錄,并且層次越深越好,比如:c:\\abc\\def\\ghi\\jkl。
參考文獻:
[1]惠特曼離任.互聯網偶像為何速老[J].計算機與網絡,2008.
[2]姜奇平.2009年互聯網十大趨勢[J].互聯網周刊,2009.
【關鍵詞】網絡安全;信息安全; 安全隔離;MPLS-VPN
1 引言
隨著技術的不發展網絡安全面臨越來越多的挑戰;從U盤到病毒、漏洞;從蠕蟲到非法入侵等等電力信息網絡面臨各種各樣的威脅。本文主要闡述電力信息網絡安全的技術手段在實際工作中的應用。
2 電力企業信息安全技術手段
2.1 安全U盤
廣泛使用安全U盤對文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,并實現對文件訪問的控制。通過安全U盤對數據加密、信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。即使安全U盤丟失都不會造成公司信息的泄露。
2.2 網絡隱患掃描
通過我局統一網管平臺對網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。此項工作也可在防火墻的管理界面里監控;也可采用第三方的網管軟件管理。
2.3 入侵檢測
入侵檢測系統是專門針對黑客攻擊行為而研制的網絡安全產品。國際上先進的分布式入侵檢測構架,可最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任事件,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。系統具有強大的功能、方便友好的管理機制,可廣泛應用于電力行業各單位。此設備與防火墻聯動有效防止黑客等網絡攻擊。
2.4 網絡防病毒放漏洞
此類設備以我局應用趨勢防毒軟件為例,趨勢軟件可以采用C/S模式,在網絡防毒服務器中安裝殺毒軟件服務器端程序,以服務器作為網絡的核心,通過派發的形式對整個網絡部署查、殺毒,服務器通過Internet利用LiveUpdate(在線升級)功能,從免疫中心實時獲取最新的病毒碼信息和操作系統漏洞補丁信息,及時更新病毒代碼庫和系統漏洞補丁信息。為保護整個電力信息網絡免受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。服務器和網絡工作站都安裝客戶端軟件,利用從服務器端獲取的病毒碼信息對本地工作站進行病毒掃描,并對發現的病毒采取相應措施進行清除。同時拒絕不安裝客戶端軟件、有系統漏洞的用戶接入信息網。客戶端根據需要可用三種方式進行病毒掃描:實時掃描、預置掃描和人工掃描。由于病毒掃描可能帶來服務器性能上的降低,因此可采用預置掃描方式,將掃描時間設定在服務器訪問率最低的夜間。網絡工作站可根據各自需要,選擇合適的方式進行病毒掃描。客戶端采用登錄網絡自動安裝方式,確保每一臺上網的計算機都安裝并啟動病毒防火墻。同時要注意,選擇的網絡防病毒軟件應能夠適應各種系統平臺,各種數據庫平臺,各種應用軟件。
2.5 物理隔離
主要用于電力信息網的內外網之間的隔離。并嚴格遵守“上網不,不上網”原則。使用隔離機或隔離卡等設備隔離信息內網計算機與信息外網計算機;物理隔離做到企業內網計算機與上外網計算機分開使用。
2.6 防火墻安全網關
此類設備以防火墻為代表。防火墻是企業信息網絡的第一道屏障,這里的外網包括到不同層次的電力網、其他信息網如政府網和銀行網絡、internet,所有的訪問都將通過防火墻進行,不允許任何繞過防火墻的連接。DMZ停火區放置了企業對外提供各項服務的服務器,即能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。要正確設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可外的任何服務,也即是拒絕一切未予準許的服務。與Internet連接的防火墻的訪問策略中,必須禁止Rlogin,NNTP,Finger,Gopher,RSH,NFS等危險服務,也必須禁止Telnet,Terminal Server等遠程管理服務。
2.7 虛擬專用網絡
數據安全傳輸: 采用MPLS-VPN 技術對網絡信息進行加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,并實現對文件訪問的控制。對通信安全,采用數據加密、信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高時的信息(如電子公文,MAIL等等)在傳輸過程中的保密性和安全性。
3 結束語
電力信息網絡安全是一個系統的、全局的安全問題,網絡上的任何一個漏洞,都會導致全網的安全問題。不斷積累完善針對網絡實際情況的各類安全技術全面提高網絡的安全管理水平。動態調整及時檢測環境或系統中的變化,分析這些變化可能帶來的風險,并在必要時調整修改原有安全保護及管理措施或增加新的措施,以控制或防范風險。
參考文獻:
[1](美)米特尼克(Mitnick, K. D.),(美) 西蒙(Simon, W. L.).著.《網管天下:網絡安全管理實踐》,清華大學出版社,2014.02.05.
[2][英]Dafydd Stuttard Marcus Pinto.著 .《黑客攻防技術寶典:Web實戰篇》.012.07.01.