前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的常見網(wǎng)絡(luò)安全漏洞主題范文,僅供參考,歡迎閱讀并收藏。
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò);信息安全;攻擊方式;應(yīng)對(duì)策略
一、當(dāng)前網(wǎng)絡(luò)信息面臨的安全威脅
1、軟件本身的脆弱性。各種系統(tǒng)軟件、應(yīng)用軟件隨著規(guī)模不斷擴(kuò)大,自身也變得愈加復(fù)雜,只要有軟件,就有可能存在安全漏洞,如Windows、Unix、XP等操作系統(tǒng)都或多或少的漏洞,即使不斷打補(bǔ)丁和修補(bǔ)漏洞,又會(huì)不斷涌現(xiàn)出新的漏洞,使軟件本身帶有脆弱性。2、協(xié)議安全的脆弱性。運(yùn)行中的計(jì)算機(jī)都是建立在各種通信協(xié)議基礎(chǔ)之上的,但由于互聯(lián)網(wǎng)設(shè)計(jì)的初衷只是很單純的想要實(shí)現(xiàn)信息與數(shù)據(jù)的共享,缺乏對(duì)信息安全的構(gòu)思,同時(shí)協(xié)議的復(fù)雜性、開放性,以及設(shè)計(jì)時(shí)缺少認(rèn)證與加密的保障,使網(wǎng)絡(luò)安全存在先天性的不足。3、人員因素。由于網(wǎng)絡(luò)管理人員和用戶自身管理意識(shí)的薄弱,以及用戶在網(wǎng)絡(luò)配置時(shí)知識(shí)與技能的欠缺,造成配制時(shí)操作不當(dāng),從而導(dǎo)致安全漏洞的出現(xiàn),使信息安全得不到很好的保障。4、計(jì)算機(jī)病毒。當(dāng)計(jì)算機(jī)在正常運(yùn)行時(shí),插入的計(jì)算機(jī)病毒就像生物病毒一樣,進(jìn)行自我復(fù)制、繁殖,相互傳染,迅速蔓延,導(dǎo)致程序無法正常運(yùn)行下去,從而使信息安全受到威脅,如“熊貓燒香病毒”
二、常見網(wǎng)絡(luò)攻擊方式
1、網(wǎng)絡(luò)鏈路層。MAC地址欺騙:本機(jī)的MAC地址被篡改為其他機(jī)器的MAC地址。ARP欺騙:篡改IPH和MAC地址之間的映射關(guān)系,將數(shù)據(jù)包發(fā)送給了攻擊者的主機(jī)而不是正確的主機(jī)。2、網(wǎng)絡(luò)層。IP地址欺騙:是通過偽造數(shù)據(jù)包包頭,使顯示的信息源不是實(shí)際的來源,就像這個(gè)數(shù)據(jù)包是從另一臺(tái)計(jì)算機(jī)上發(fā)送的。以及淚滴攻擊、ICMP攻擊和RIP路由欺騙。3、傳輸層。TCP初始化序號(hào)預(yù)測:通過預(yù)測初始號(hào)來偽造TCP數(shù)據(jù)包。以及TCP端口掃描、land攻擊、TCP會(huì)話劫持、RST和FIN攻擊。4、應(yīng)用層。DNS欺騙:域名服務(wù)器被攻擊者冒充,并將用戶查詢的IP地址篡改為攻擊者的IP地址,使用戶在上網(wǎng)時(shí)看到的是攻擊者的網(wǎng)頁,而不是自己真正想要瀏覽的頁面。以及電子郵件攻擊和緩沖區(qū)溢出攻擊。5、特洛伊木馬。特洛伊木馬病毒是當(dāng)前較為流行的病毒,和一般病毒相比大有不同,它不會(huì)刻意感染其他文件同時(shí)也不會(huì)自我繁殖,主要通過自身偽裝,從而吸引用戶下載,進(jìn)而使用戶門戶被病毒施種者打開,達(dá)到任意破壞、竊取用戶的文件,更有甚者去操控用戶的機(jī)子。6、拒絕服務(wù)攻擊。有兩種表現(xiàn)形式:一是為阻止接收新的請求,逼迫使服務(wù)器緩沖區(qū)滿;另一種是利用IP地進(jìn)行欺騙,逼迫服務(wù)器對(duì)合法用戶的連接進(jìn)行復(fù)位,從而影響用戶的正常連接。
三、網(wǎng)絡(luò)安全采取的主要措施
1、防火墻。是網(wǎng)絡(luò)安全的第一道門戶,可實(shí)現(xiàn)內(nèi)部網(wǎng)和外部不可信任網(wǎng)絡(luò)之間,或者內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全區(qū)域之間的隔離與訪問控制,保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。2、虛擬專用網(wǎng)技術(shù)。一個(gè)完整的VPN技術(shù)方案包括VPN隧道技術(shù)、密碼技術(shù)和服務(wù)質(zhì)量保證技術(shù)。先建立一個(gè)隧道,在數(shù)據(jù)傳輸時(shí)再利用加密技術(shù)對(duì)其進(jìn)行加密,使數(shù)據(jù)的私有性和安全性得到保障。3、訪問控制技術(shù)。是機(jī)制與策略的結(jié)合,允許對(duì)限定資源的授權(quán)訪問,同時(shí)可保護(hù)資源,阻止某些無權(quán)訪問資源的用戶進(jìn)行偶然或惡意的訪問。4、入侵檢測技術(shù)。是指盡最大可能對(duì)入侵者企圖控制網(wǎng)絡(luò)資源或系統(tǒng)的監(jiān)視或阻止,是用于檢測系統(tǒng)的完整性、可用性以及機(jī)密性等方式的一種安全技術(shù),同時(shí)也是一種發(fā)現(xiàn)入侵者攻擊以及用戶濫用特權(quán)的方法。5、數(shù)據(jù)加密技術(shù)。目前最常用的有對(duì)稱加密和非對(duì)稱加密技術(shù)。使用數(shù)字方法來重新組織數(shù)據(jù)[2],使得除了合法使用者外,任何其他人想要恢復(fù)原先的“消息”是非常困難的。6、身份認(rèn)證技術(shù)。主要有基于密碼和生物特征的身份認(rèn)證技術(shù)。其實(shí)質(zhì)是被認(rèn)證方的一些信息,如果不是自己,任何人不能造假。四、總結(jié)網(wǎng)絡(luò)信息安全是一個(gè)不斷變化、快速更新的領(lǐng)域,導(dǎo)致人們面對(duì)的信息安全問題不斷變化,攻擊者的攻擊手段也層出不窮,所以綜合運(yùn)用各種安全高效的防護(hù)措施是至關(guān)重要的。為了網(wǎng)絡(luò)信息的安全,降低黑客入侵的風(fēng)險(xiǎn),我們必須嚴(yán)陣以待,采取各種應(yīng)對(duì)策略,集眾家之所長,相互配合,從而建立起穩(wěn)固牢靠的網(wǎng)絡(luò)安全體系。
參考文獻(xiàn)
[1]王致.訪問控制技術(shù)與策略[N].網(wǎng)絡(luò)世界,2001-07-23035.
[2]馬備,沈峰.計(jì)算機(jī)網(wǎng)絡(luò)的保密管理研究[J].河南公安高等專科學(xué)校學(xué)報(bào),2001,05:22-29.
[3]衷奇.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及應(yīng)對(duì)策略研究[D].南昌大學(xué),2010.
1.1網(wǎng)絡(luò)安全協(xié)議的安全性檢測
目前,信息技術(shù)得到快速發(fā)展,各類網(wǎng)絡(luò)安全協(xié)議不斷應(yīng)用于計(jì)算機(jī)通信中,對(duì)于信息傳遞和數(shù)據(jù)的傳輸具有重要意義。然而,在網(wǎng)絡(luò)安全協(xié)議過程中,設(shè)計(jì)者未能全面了解和分析網(wǎng)絡(luò)安全的需求,導(dǎo)致設(shè)計(jì)的網(wǎng)絡(luò)安全協(xié)議在安全性分析中存在大量問題,直接導(dǎo)致一些網(wǎng)絡(luò)安全協(xié)議剛推出便由于存在漏洞而無效。對(duì)于網(wǎng)絡(luò)安全協(xié)議的安全性檢測,通常情況下證明網(wǎng)絡(luò)安全協(xié)議存在安全性漏洞比網(wǎng)絡(luò)安全協(xié)議安全更加簡單和方便。目前,對(duì)于網(wǎng)絡(luò)安全協(xié)議安全性的檢測主要是通過攻擊手段測試來實(shí)現(xiàn)網(wǎng)絡(luò)安全協(xié)議安全性風(fēng)險(xiǎn)。攻擊性測試一般分為攻擊網(wǎng)絡(luò)安全協(xié)議加密算法、攻擊算法和協(xié)議的加密技術(shù)以及攻擊網(wǎng)絡(luò)安全協(xié)議本身,以便發(fā)現(xiàn)網(wǎng)絡(luò)安全協(xié)議存在的安全漏洞,及時(shí)對(duì)網(wǎng)絡(luò)安全協(xié)議進(jìn)行改進(jìn)和優(yōu)化,提升網(wǎng)絡(luò)安全協(xié)議安全性。
1.2常見網(wǎng)絡(luò)安全協(xié)議設(shè)計(jì)方式
在網(wǎng)絡(luò)安全協(xié)議設(shè)計(jì)過程中,較為注重網(wǎng)絡(luò)安全協(xié)議的復(fù)雜性設(shè)計(jì)和交織攻擊抵御能力設(shè)計(jì),在確保網(wǎng)絡(luò)安全協(xié)議具備較高安全性的同時(shí),保證網(wǎng)絡(luò)安全協(xié)議具備一定的經(jīng)濟(jì)性。網(wǎng)絡(luò)安全協(xié)議的復(fù)雜性主要目的是保障網(wǎng)絡(luò)安全協(xié)議的安全,而網(wǎng)絡(luò)安全協(xié)議的交織攻擊抵抗力則是為了實(shí)現(xiàn)網(wǎng)絡(luò)安全協(xié)議應(yīng)用范圍的擴(kuò)展。在網(wǎng)絡(luò)安全協(xié)議設(shè)計(jì)過程中,應(yīng)當(dāng)注重邊界條件的設(shè)定,確保網(wǎng)絡(luò)安全協(xié)議集復(fù)雜性、安全性、簡單性以及經(jīng)濟(jì)性于一身。一方面,利用一次性隨機(jī)數(shù)來替換時(shí)間戳。同步認(rèn)證的形式是目前網(wǎng)絡(luò)安全協(xié)議的設(shè)計(jì)運(yùn)用較為廣泛的方式,該認(rèn)證形式要求各認(rèn)證用戶之間必須保持嚴(yán)格的同步時(shí)鐘,在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境良好的情況相對(duì)容易實(shí)現(xiàn),然而當(dāng)網(wǎng)絡(luò)存在一定延遲時(shí),難以實(shí)現(xiàn)個(gè)用戶之間的同步認(rèn)證。對(duì)此,在網(wǎng)絡(luò)安全協(xié)議設(shè)計(jì)過程中可以合理運(yùn)用異步認(rèn)證方式,采用隨機(jī)生成的驗(yàn)證數(shù)字或字母來取代時(shí)間戳,在實(shí)現(xiàn)有效由于網(wǎng)絡(luò)條件引發(fā)的認(rèn)證失敗問題的同時(shí),確保網(wǎng)絡(luò)安全協(xié)議的安全性。另一方面,采用能夠抵御常規(guī)攻擊的設(shè)計(jì)方式。網(wǎng)絡(luò)安全協(xié)議必須具備抵御常見明文攻擊、混合攻擊以及過期信息攻擊等網(wǎng)絡(luò)攻擊的能力,防止網(wǎng)絡(luò)擊者從應(yīng)答信息中獲取密鑰信息。同時(shí),在設(shè)計(jì)網(wǎng)絡(luò)安全協(xié)議過程中,也應(yīng)當(dāng)注重過期消息的處理機(jī)制的合理運(yùn)用,避免網(wǎng)絡(luò)攻擊者利用過期信息或是對(duì)過期信息進(jìn)行是該來實(shí)現(xiàn)攻擊,提升網(wǎng)絡(luò)安全協(xié)議的安全性。此外,在設(shè)計(jì)網(wǎng)絡(luò)安全協(xié)議過程中,還應(yīng)當(dāng)確保網(wǎng)絡(luò)安全協(xié)議實(shí)用性,保障網(wǎng)絡(luò)安全協(xié)議能夠在任何網(wǎng)絡(luò)結(jié)構(gòu)的任意協(xié)議層中使用。在網(wǎng)絡(luò)通信中,不同網(wǎng)絡(luò)結(jié)構(gòu)的不同協(xié)議層在接受信息長度方面存在一定差異,對(duì)此,在設(shè)置網(wǎng)絡(luò)安全協(xié)議秘鑰消息時(shí),必須確保密鑰消息滿足最短協(xié)議層的要求,將密碼消息長度設(shè)置為一組報(bào)文的長度,在確保網(wǎng)絡(luò)安全協(xié)議適用性的同時(shí),提升網(wǎng)絡(luò)安全協(xié)議的安全性。
2計(jì)算機(jī)網(wǎng)絡(luò)安全協(xié)議在CTC中的應(yīng)用
近年來,隨著計(jì)算機(jī)通信技術(shù)、網(wǎng)絡(luò)技術(shù)以及我國高速鐵路的不斷發(fā)展,推動(dòng)了我國調(diào)度集中控系統(tǒng)(CentralizedTrafficControl,檢測CTC系統(tǒng))的不斷發(fā)展,使得CTC系統(tǒng)廣泛應(yīng)用于高鐵的指揮調(diào)度中。CTC系統(tǒng)是鐵路運(yùn)輸指揮信息化自動(dòng)化的基礎(chǔ)和重要組成部分,采用了自動(dòng)控制技術(shù)、計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)等先進(jìn)技術(shù),同時(shí)采用智能化分散自律設(shè)計(jì)原則,是一種以列車運(yùn)行調(diào)整計(jì)劃控制為中心,兼顧列車與調(diào)車作業(yè)的高度自動(dòng)化的調(diào)度指揮系統(tǒng)。同CTC系統(tǒng)的路由器與交換機(jī)之間裝設(shè)了防火墻隔離設(shè)備,能夠有效確保CTC系統(tǒng)中心局域網(wǎng)的安全。CTC系統(tǒng)的車站系統(tǒng)的局域網(wǎng)主干主要由兩臺(tái)高性能交換機(jī)或集線器構(gòu)成,并在車站調(diào)度集中自律機(jī)LiRC、值班員工作站以及信號(hào)員工作站等設(shè)備上配備兩個(gè)以太網(wǎng)口,以實(shí)現(xiàn)與高速網(wǎng)絡(luò)通信。為實(shí)現(xiàn)車站系統(tǒng)與車站基層廣域網(wǎng)之間的網(wǎng)絡(luò)通信和高速數(shù)據(jù)傳輸,車站系統(tǒng)配備了兩臺(tái)路由器。車站基層廣域網(wǎng)連接調(diào)度中心局域網(wǎng)通過雙環(huán)、迂回的高速專用數(shù)字通道實(shí)現(xiàn)與各車站局域網(wǎng)的網(wǎng)絡(luò)通信,其中,該數(shù)字通道的帶寬超過2Mbps/s,且每個(gè)通道環(huán)的站數(shù)在8個(gè)以內(nèi),并采用每個(gè)環(huán)應(yīng)交叉連接到局域網(wǎng)兩臺(tái)路由器的方式來確保其數(shù)據(jù)傳輸?shù)目煽啃?。CTC系統(tǒng)在網(wǎng)絡(luò)通信協(xié)議方面,采用TCP/IP協(xié)議,并在數(shù)據(jù)傳輸過程中運(yùn)用CHAP身份驗(yàn)證技術(shù)和IPSEC安全保密技術(shù),在有效實(shí)現(xiàn)數(shù)據(jù)高速傳遞的同時(shí),確保的網(wǎng)絡(luò)通信的安全。
3結(jié)語
關(guān)鍵詞:安全策略;加密;防火墻;安全管理
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 07-0000-01
Discussion on Computer Network Security Policy
Zhang Yonghua
(Jixi City Real Estate Board Property Department,Jixi158000,China)
Abstract:As computer networks have linked form of diversity,the uneven distribution of the terminal and network openness,connectivity and other features,resulting in the network vulnerable to hackers,crackers,malware and other attacks against the law,so the security of online information and Confidentiality is a crucial issue,plan computer network security is increasingly becoming the subject of attention.A brief introduction to the computer network threats in the contemporary, as well as the face of this threat to our security policy should be taken.For example:physical security policy,access control policies,network access control and so on.
Keywords:Security policy;Encryption;Firewall;Safety management
一、相關(guān)概念
(一)網(wǎng)絡(luò)安全的定義。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科,它涉及的因素主要包括物理安全、系統(tǒng)安全、信息安全和文化安全。國際標(biāo)準(zhǔn)化組織(ISO)對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是:為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞,更改和泄露。由此可以將計(jì)算網(wǎng)絡(luò)的安全理解為:通過采用各種技術(shù)和管理措施,使網(wǎng)絡(luò)系統(tǒng)正系統(tǒng)正常運(yùn)行,從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。顯而易見網(wǎng)絡(luò)安全與其所保護(hù)的信息對(duì)象有關(guān),它的本質(zhì)是在信息的安全期內(nèi)保證其在網(wǎng)絡(luò)上流動(dòng)時(shí)或者靜態(tài)存放時(shí)不被非授權(quán)用戶非法訪問,但授權(quán)用戶可以訪問。
(二)網(wǎng)絡(luò)安全防范的意義。一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完全性、保密性和真實(shí)性等特點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全,還要保護(hù)數(shù)據(jù)安全等。因此針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題,實(shí)施網(wǎng)絡(luò)安全保護(hù)方案以確保計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性是每一個(gè)計(jì)算機(jī)系統(tǒng)都要認(rèn)真對(duì)待的一個(gè)重要問題。
二、威脅網(wǎng)絡(luò)安全的主要因素
(一)安全策略。許多站點(diǎn)在防火墻配置上無意識(shí)地?cái)U(kuò)大了訪問權(quán)限,忽視了這些權(quán)限可能會(huì)被其他人員濫用。網(wǎng)絡(luò)入侵的目的主要是取得使用系統(tǒng)的存儲(chǔ)權(quán)限、寫權(quán)限以及訪問其他存儲(chǔ)內(nèi)容的權(quán)限,或者是作為進(jìn)一步進(jìn)入其他系統(tǒng)的跳板,或者惡意破壞這個(gè)系統(tǒng),使其毀壞而喪失服務(wù)能力。
(二)應(yīng)用系統(tǒng)安全漏洞。WEB服務(wù)器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時(shí)對(duì)軟件包并不十分了解,多數(shù)人不是新編程序,而是對(duì)程序加以適當(dāng)?shù)男薷?,這樣一來,很多CGI程序就難免具有相同安全漏洞。
(三)計(jì)算機(jī)病毒。計(jì)算機(jī)病毒指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能和數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。如常見的蠕蟲病毒,就是以計(jì)算機(jī)為載體,利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)攻擊,是一種通過網(wǎng)絡(luò)傳統(tǒng)的惡性病毒。它具有病毒的一些共性,如傳播性、隱蔽性、破壞性和潛伏性等等,同時(shí)具有自己的一些特征,如不利用文件寄生(有的只存在于內(nèi)存中),對(duì)網(wǎng)絡(luò)造成拒絕服務(wù),以及和黑客技術(shù)相結(jié)合等。
三、網(wǎng)絡(luò)攻擊和入侵的主要途徑
主要途徑有:
(一)口令入侵,是指使用合法用戶的賬號(hào)和口令登錄到目的主機(jī),然后實(shí)施攻擊的活動(dòng)。這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的賬號(hào),然后再進(jìn)行口令的破譯。獲得用戶賬號(hào)的方法很多,如:利用目標(biāo)主機(jī)的finger功能進(jìn)行查詢,主機(jī)系統(tǒng)會(huì)將保存的用戶資料(如用戶名、登錄時(shí)間等)顯示在終端上;利用目標(biāo)主機(jī)的X.500目錄查詢服務(wù),也給攻擊者提供了獲得信息的一條簡易途徑;電子郵件地址也常會(huì)透露其在上目標(biāo)主機(jī)上的賬號(hào)。
(二)IP欺騙,是指攻擊者偽造別人的IP地址,讓一臺(tái)計(jì)算機(jī)假冒另一臺(tái)計(jì)算機(jī)以達(dá)到獲取信任的目的。在TCP的三次握手過程中,入侵者假冒被入侵主機(jī)信任的主機(jī)與被入侵主機(jī)進(jìn)行連接,并對(duì)被入侵主機(jī)信任的主機(jī)發(fā)起淹沒攻擊,使其處于癱瘓狀態(tài)。當(dāng)主機(jī)正在進(jìn)行遠(yuǎn)程服務(wù)時(shí),入侵者最容易獲得目標(biāo)網(wǎng)絡(luò)的信任關(guān)系,由于彼此信任,從而進(jìn)行IP欺騙。
四、網(wǎng)絡(luò)安全的防御措施
(一)安裝防病毒軟件。查找和清除計(jì)算機(jī)病毒技術(shù)的原理就是在殺病毒掃描程序中嵌入病毒特征碼引擎,然后根據(jù)病毒特征碼數(shù)據(jù)庫進(jìn)行對(duì)比式查殺。任何類型的網(wǎng)絡(luò)免受病毒攻擊最保險(xiǎn)和最有效的方法是對(duì)互聯(lián)網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)安裝使用經(jīng)公安機(jī)關(guān)檢測合格的病毒產(chǎn)品并定期下載病毒特征碼對(duì)殺毒軟件升級(jí),確保計(jì)算機(jī)不會(huì)受到已發(fā)現(xiàn)的病毒的攻擊。
(二)使用防火墻防護(hù)。防火墻是近期發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,防火墻技術(shù)對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過濾掉一些攻擊,以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可關(guān)閉不使用的端口,而且它還能禁止特定端口的流出通信,對(duì)鎖特洛伊木馬。最后,它可以禁止來自特殊站點(diǎn)的訪問,從而防止來自不明入侵者的所有通信,在很大程度上保護(hù)了網(wǎng)絡(luò)的安全性。
(三)使用加密技術(shù)。加密技術(shù)主要是隱藏信息、防止對(duì)信息篡改或防止非法使用信息成轉(zhuǎn)換數(shù)據(jù)的功能或方法。它是將數(shù)據(jù)信息轉(zhuǎn)換為一種不易解讀的模式來保護(hù)信息,除非有解密密鑰才能閱讀信息。加密技術(shù)包括算法和密鑰。算法是將普通的文本(或是可以理解的信息)與一串?dāng)?shù)字(密鑰)的結(jié)合,產(chǎn)生不可理解的密文的步驟。密鑰是用來對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中,可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來保證網(wǎng)絡(luò)的信息通信安全。
五、結(jié)束語
計(jì)算機(jī)網(wǎng)絡(luò)在全球范圍內(nèi)得到了迅速發(fā)展,其應(yīng)用幾乎包括了人類生活和工作的全部領(lǐng)域,它在帶給我們前所未有的方便的同時(shí),也給我們制造了大量的問題,網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程,需要仔細(xì)考慮系統(tǒng)的安全需求,并將各種安全技術(shù)結(jié)合在一起,才能更有效地維護(hù)自己的計(jì)算機(jī)網(wǎng)絡(luò)及信息的安全,生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。
參考文獻(xiàn):
[1]蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社,2002,8
關(guān)鍵詞:高校校園網(wǎng);網(wǎng)絡(luò)安全;防范策略
一、引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,其應(yīng)用已逐漸滲透到經(jīng)濟(jì)、軍事、科技、教育等各個(gè)領(lǐng)域和“校校通”工程的日益推進(jìn),很多高校都建設(shè)了校園網(wǎng)并通過各種渠道接入了internet,在享受Internet方便快捷的同時(shí),校園網(wǎng)絡(luò)也是學(xué)校重要的基礎(chǔ)設(shè)施,擔(dān)當(dāng)著學(xué)校教學(xué)教務(wù)管理、科研、行政管理和對(duì)外交流等許多角色,不僅給高校的教育帶來巨大的幫助,也給學(xué)生提供了大量的信息。校園網(wǎng)安全狀況直接影響著學(xué)校的教學(xué)活動(dòng),隨著現(xiàn)代網(wǎng)絡(luò)應(yīng)用的不斷深入,使得校園網(wǎng)絡(luò)安全問題也不斷暴露出來、日益突出。例如非授權(quán)訪問、冒充合法用戶、惡意軟件和網(wǎng)絡(luò)病毒傳播等,干擾系統(tǒng)正常運(yùn)行造成網(wǎng)速變慢、信息丟失以及網(wǎng)絡(luò)癱瘓等嚴(yán)重后果。因此,如何構(gòu)筑相對(duì)可靠的校園網(wǎng)安全體系是每一所高校必須解決的問題。
二、校園網(wǎng)安全存在的威脅分析
(一)網(wǎng)絡(luò)硬件安全問題
網(wǎng)絡(luò)的硬件安全風(fēng)險(xiǎn)主要有環(huán)境事故(如地震、水災(zāi)、火災(zāi)、雷電等)、電源故障、人為操作失誤或錯(cuò)誤、設(shè)備被盜或被毀、電磁干擾、線路截獲等。例如,網(wǎng)絡(luò)設(shè)備遭受雷擊,雷雨天氣時(shí),即使關(guān)閉電腦,也有可能燒壞主版、網(wǎng)卡和所連接的交換機(jī)端口,造成電腦和樓宇交換機(jī)等設(shè)備的損壞等;日常工作中因斷電造成設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象也時(shí)有發(fā)生;另外,戶外光纜容易遭受其他施工時(shí)意外破壞。
(二)防火墻局限性
防火墻實(shí)質(zhì)上就是一種隔離控制技術(shù),將網(wǎng)絡(luò)分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩部分(見圖1),是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,檢查和檢測所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息流,以便防止未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)。雖然它是目前保護(hù)網(wǎng)絡(luò)安全的有效手段,但也存在一定的局限性:不能防范不經(jīng)過防火墻的攻擊和威脅;防火墻只能對(duì)跨越邊界的信息進(jìn)行檢測、控制,而對(duì)網(wǎng)絡(luò)內(nèi)部人員的攻擊不具備防范能力;不能完全防止傳送已感染病毒的軟件或文件;防火墻難于管理和配置,容易造成安全漏洞。
(三)系統(tǒng)安全問題
在校園網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各節(jié)點(diǎn)主機(jī)系統(tǒng)的安全性,而主機(jī)系統(tǒng)的安全性正是由操作系統(tǒng)的安全性所決定的。沒有安全的操作系統(tǒng)的支持,校園網(wǎng)絡(luò)安全也毫無根基可言。目前校園網(wǎng)中服務(wù)器常用的操作系統(tǒng)有Windows 2003Server、Unix、Linux等,這些操作系統(tǒng)存在不同程度的安全漏洞,在某種程度上對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅,例如UNIX服務(wù)器、NT服務(wù)器及Windows桌面PC存在系統(tǒng)漏洞。這些都給予黑客入侵的機(jī)會(huì),如果對(duì)這些漏洞不了解,不采取相應(yīng)的措施,就會(huì)使操作系統(tǒng)完全暴露給入侵者,對(duì)校園網(wǎng)安全構(gòu)成威脅;另一方面網(wǎng)絡(luò)協(xié)議本身缺乏安全性,由于網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行著多種網(wǎng)絡(luò)協(xié)議(TCP/IP,IPX/SPX,NETBEUA),而這些網(wǎng)絡(luò)協(xié)議并非專門為安全通訊而設(shè)計(jì),使得網(wǎng)絡(luò)存在安全威脅。如TCP/IP協(xié)議族軟件,本身缺乏安全性。
(四)網(wǎng)絡(luò)病毒傳播問題
計(jì)算機(jī)病毒問題是一個(gè)常見網(wǎng)絡(luò)安全問題,也是計(jì)算機(jī)網(wǎng)絡(luò)世界里的一個(gè)永恒問題。網(wǎng)絡(luò)病毒的傳播無需普通的用戶介入,它們的傳播途徑廣,傳播速度快,造成的危害極大,幾乎到了令人防不勝防的地步。網(wǎng)絡(luò)病毒侵入校園網(wǎng)后,自動(dòng)收集有用信息,或者是自動(dòng)探測其他計(jì)算機(jī)上存在的漏洞,通過局域網(wǎng)傳播,在很短的時(shí)間內(nèi)就可以使校園網(wǎng)內(nèi)部幾百臺(tái)電腦中病毒,導(dǎo)致整個(gè)校園網(wǎng)癱瘓,對(duì)校園網(wǎng)安全構(gòu)成威脅。
(五)黑客入侵攻擊問題
隨著網(wǎng)絡(luò)在快速發(fā)展和普及,越來越多的人使用并掌握一定的網(wǎng)絡(luò)技術(shù),特別是現(xiàn)在網(wǎng)絡(luò)上提供了大量的傻瓜化的黑客入侵攻擊軟件,人們可以很方便的下載并使用這種工具軟件對(duì)網(wǎng)絡(luò)實(shí)施攻擊,黑客還可以從校園網(wǎng)的薄弱環(huán)節(jié)入手,迅速地完成對(duì)校園網(wǎng)絡(luò)用戶身份的竊取和非法地對(duì)信息資源進(jìn)行訪問和處理進(jìn)而完成對(duì)整個(gè)校園網(wǎng)絡(luò)的攻擊。
(六)校園網(wǎng)絡(luò)內(nèi)部威脅
校園網(wǎng)絡(luò)安全的威脅既可以來自內(nèi)部網(wǎng),又可以來自外部網(wǎng)。根據(jù)不同的研究結(jié)果表明,大約有70-85%的安全事故來自內(nèi)部網(wǎng)。首先,由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,網(wǎng)絡(luò)上的黑客攻擊工具泛濫成災(zāi),很容易利用這些工具進(jìn)行攻擊校園網(wǎng),影響網(wǎng)絡(luò)正常使用;其次,網(wǎng)絡(luò)管理員的無意失誤,如安全口令選擇不當(dāng)、用戶權(quán)限設(shè)置過大等等,同樣給校園網(wǎng)絡(luò)帶來致命的威脅。
三、校園網(wǎng)絡(luò)安全防范策略
(一)校園網(wǎng)的規(guī)劃
VLAN技術(shù)的核心是網(wǎng)絡(luò)分段,可將網(wǎng)絡(luò)分段為物理分段和邏輯分段兩種方式。在實(shí)際應(yīng)用過程中,通常將二者相結(jié)合。按學(xué)校職能劃分不同的VLAN,在一定程度上起到了網(wǎng)絡(luò)隔離的作用,即使局域網(wǎng)機(jī)器中病毒,也只是被限制在某一網(wǎng)段之內(nèi),不至于擴(kuò)散到整個(gè)網(wǎng)絡(luò);同時(shí)在三層交換機(jī)上通過訪問控制列表對(duì)不同網(wǎng)段的訪問進(jìn)行限制。
(二)物理安全策略
物理安全是校園網(wǎng)絡(luò)安全的最基本保障,是整個(gè)校園網(wǎng)絡(luò)安全系統(tǒng)中不可缺少和忽視的組成部分。在校園網(wǎng)規(guī)劃設(shè)計(jì)階段,就應(yīng)該充分考慮到網(wǎng)絡(luò)設(shè)備的安全問題。如安裝網(wǎng)絡(luò)防雷系統(tǒng)、防電磁輻射、抗電磁干擾以及電源保護(hù)等,通過相應(yīng)的防護(hù)措施,實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)的有效保護(hù)。防止戶外光纖或其他網(wǎng)絡(luò)通信線纜被意外挖斷,主要的措施可以采取線纜深埋地下,并且在地面上做好相關(guān)的標(biāo)記說明,同時(shí)在學(xué)校的建筑規(guī)劃圖紙上也作相應(yīng)的標(biāo)注。可以避免此類意外事件的發(fā)生。
(三)合理配置防火墻
防火墻位于校園網(wǎng)和Internet之間,只有通過防火墻,校園網(wǎng)和Internet用戶才能互相訪問。利用防火墻的信息過濾功能,可以過濾掉有害信息,保障網(wǎng)絡(luò)的安全。其中FTP、WWW、DNSE-mail服務(wù)器安置在防火墻的DMZ區(qū)(即“非軍事區(qū)”,DMZ可以阻止內(nèi)網(wǎng)和外部網(wǎng)絡(luò)直接通信,以確保內(nèi)網(wǎng)安全),與內(nèi)、外部網(wǎng)絡(luò)間進(jìn)行隔離,內(nèi)網(wǎng)接口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī),外部網(wǎng)絡(luò)接口通過路由器和Internet連接。通過Internet進(jìn)來的外部網(wǎng)絡(luò)用戶只能訪問到對(duì)外公開的服務(wù)(如FTP、WWW、DNSE-mail等),既可以保護(hù)內(nèi)網(wǎng)資源不被外部網(wǎng)絡(luò)非授權(quán)用戶的非法訪問或破壞,也可阻止內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)相關(guān)資源的使用,同時(shí)還能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。
在防火墻設(shè)置上,按照下面原則來配置以提高網(wǎng)絡(luò)安全性:
1、根據(jù)校園網(wǎng)安全策略和目標(biāo),規(guī)劃設(shè)置合理的安全過濾規(guī)則,審核IP數(shù)據(jù)包的內(nèi)容,包括協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目,嚴(yán)格禁止來自外部網(wǎng)絡(luò)的對(duì)校園內(nèi)網(wǎng)的不必要的、非法的訪問??傇瓌t是“不被允許的服務(wù)就是被禁止”。
2、在防火墻上作配置,過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊,過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包,防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外的攻擊。
3、在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表,防止IP地址被盜用。
4、定期查看防火墻訪問日志,以便及時(shí)發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。
(四)校園網(wǎng)絡(luò)安全監(jiān)測
入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)(Intrusion Detection System,IDS)中利用審計(jì)日志,能夠識(shí)別出任何不希望有的活動(dòng),從而達(dá)到限制這些活動(dòng),以保護(hù)系統(tǒng)的安全,提高信息的完整性。在校園網(wǎng)絡(luò)中最好采用混合入侵檢測,即采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng),則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。這些系統(tǒng)或措施在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行檢測,從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。
(五)防范網(wǎng)絡(luò)病毒傳播,限制影響范圍
病毒傳播速度快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于校園網(wǎng)的全方位防病毒軟件。校園網(wǎng)的管理員只要及時(shí)在服務(wù)器端進(jìn)行升級(jí),客戶端啟動(dòng)后就可自動(dòng)升級(jí),網(wǎng)管員還可對(duì)所有安裝客戶端的計(jì)算機(jī)進(jìn)行病毒監(jiān)控、進(jìn)行遠(yuǎn)程殺毒,及時(shí)了解校園網(wǎng)中病毒疫情。另外,定期或不定期對(duì)防病毒軟件升級(jí),使校園網(wǎng)絡(luò)免受病毒的侵襲。
(六)盜用合法IP問題的解決
解決IP地址盜用問題的最有效方法是使用交換機(jī)進(jìn)行控制,即在TCP/IP第二層進(jìn)行控制:使用交換機(jī)提供的端口的單地址工作模式,即交換機(jī)的每一個(gè)端口只允許一臺(tái)主機(jī)通過該端口訪問網(wǎng)絡(luò),任何其它地址的主機(jī)的訪問被拒絕;另外一種解決方法就是使用靜態(tài)ARP表實(shí)現(xiàn)路由器隔離,即路由器中IP與MAC地址的映射采用靜態(tài)設(shè)置,而不通過ARP來獲得,這樣當(dāng)非法訪問的IP地址和MAC地址不一致時(shí),路由器根據(jù)正確的靜態(tài)設(shè)置轉(zhuǎn)發(fā)的幀就不會(huì)到達(dá)非法主機(jī)。
(七)建立安全管理隊(duì)伍
俗話說,網(wǎng)絡(luò)安全是“三分技術(shù),七分管理”,安全管理是貫穿于安全防范體系的始終。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ),安全技術(shù)是配合安全管理的輔助措施。學(xué)校應(yīng)該加強(qiáng)對(duì)網(wǎng)絡(luò)使用者安全理論、安全技術(shù)以及專業(yè)業(yè)務(wù)的培訓(xùn),同時(shí)必須建立了一套校園網(wǎng)絡(luò)安全管理模式,制定有詳細(xì)的安全管理制度,并采取切實(shí)有效的措施保證制度的執(zhí)行。
四、結(jié)束語
校園網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)發(fā)展過程,是檢測、監(jiān)視、安全響應(yīng)的循環(huán)過程。對(duì)網(wǎng)絡(luò)安全防范體系的建立不是一勞永逸的,隨著計(jì)算機(jī)技術(shù)的發(fā)展,新技術(shù)的不斷涌現(xiàn)和使用,新的安全問題也不斷涌現(xiàn),在對(duì)網(wǎng)絡(luò)安全的防范策略要不斷改進(jìn),保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展,確保校園網(wǎng)絡(luò)朝著健康、安全、高速的方向發(fā)展。
參考文獻(xiàn):
1、伍錦群.防火墻技術(shù)的探討[J].長春理工大學(xué)學(xué)報(bào),2008(2).
2、閻慧.防火墻原理與技術(shù)[M].機(jī)械工業(yè)出版社,2004.
3、王建平.網(wǎng)絡(luò)安全與管理[M].西北工業(yè)大學(xué)出版社,2008.
4、王鳳英,程震.網(wǎng)絡(luò)與信息安全[M].中國鐵道出版社,2006.
1美國電力行業(yè)信息安全的戰(zhàn)略框架
為響應(yīng)奧巴馬政府關(guān)于加強(qiáng)丨Kj家能源坫礎(chǔ)設(shè)施安全(13636行政令,即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求,美國能源部出資,能源行業(yè)控制系統(tǒng)工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護(hù)能源行業(yè)控制系統(tǒng)路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎(chǔ)上,于2011年了《實(shí)現(xiàn)能源傳輸系統(tǒng)信息安全路線閣》。2011路線圖為電力行業(yè)未來丨0年的信息安全制定了戰(zhàn)略框架和行動(dòng)計(jì)劃,體現(xiàn)了美國加強(qiáng)國家電網(wǎng)持續(xù)安全和可靠性的承諾和努力路線圖基于風(fēng)險(xiǎn)管理原則,明確了至2020年美國能源傳輸系統(tǒng)網(wǎng)絡(luò)安全目標(biāo)、實(shí)施策略及里程碑計(jì)劃,指導(dǎo)行業(yè)、政府、學(xué)術(shù)界為共丨司愿景投入并協(xié)同合作。2011路線圖指出:至2020年,要設(shè)計(jì)、安裝、運(yùn)行、維護(hù)堅(jiān)韌的能源傳輸系統(tǒng)(resilientenergydeliverysystems)。美國能源彳了業(yè)的網(wǎng)絡(luò)安全目標(biāo)已從安全防護(hù)轉(zhuǎn)向系統(tǒng)堅(jiān)韌。路線圖提出了實(shí)現(xiàn)目標(biāo)的5個(gè)策略,為行業(yè)、政府、學(xué)術(shù)界指明了發(fā)展方向和工作思路。(1)建立安全文化。定期回顧和完善風(fēng)險(xiǎn)管理實(shí)踐,確保建立的安全控制有效。網(wǎng)絡(luò)安全實(shí)踐成為能源行業(yè)所有相關(guān)者的習(xí)慣,,(2)評(píng)估和監(jiān)測風(fēng)險(xiǎn)。實(shí)現(xiàn)對(duì)能源輸送系統(tǒng)的所有架構(gòu)層次、信息物理融合領(lǐng)域的連續(xù)安全狀態(tài)監(jiān)測,持續(xù)評(píng)估新的網(wǎng)絡(luò)威脅、漏洞、風(fēng)險(xiǎn)及其應(yīng)對(duì)措施。(3)制定和實(shí)施新的保施。新一代能源傳輸系統(tǒng)結(jié)構(gòu)實(shí)現(xiàn)“深度防御”,在網(wǎng)絡(luò)安全事件中能連續(xù)運(yùn)行。(4)開展事件管理。開展網(wǎng)絡(luò)事件的監(jiān)測、補(bǔ)救、恢復(fù),減少對(duì)能源傳輸系統(tǒng)的影響。開展事件后續(xù)的分析、取證以及總結(jié),促進(jìn)能源輸送系統(tǒng)環(huán)境的改進(jìn)。(5)持續(xù)安全改進(jìn)。保持強(qiáng)大的資源保障、明確的激勵(lì)機(jī)制及利益相關(guān)者密切合作,確保持續(xù)積極主動(dòng)的能源傳輸系統(tǒng)安全提升。為及時(shí)跟蹤2011路線圖實(shí)施情況,能源行業(yè)控制系統(tǒng)工作組(ESCSWG)提供了ieRoadmap交互式平臺(tái)。通過該平臺(tái)共享各方的努力成果,掌握里程碑進(jìn)展情況,使能源利益相關(guān)者為路線圖的實(shí)現(xiàn)作一致努力。
2美國電力行業(yè)信息安全的管理結(jié)構(gòu)
承擔(dān)美國電力行業(yè)信息安全相關(guān)職責(zé)的主要政府機(jī)構(gòu)和組織包括:國土安全部(DHS)、能源部(1)0£)、聯(lián)邦能源管理委員會(huì)(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業(yè)委員會(huì)(PUC)。2.1國土安全部美國國土安全部是美國聯(lián)邦政府指定的基礎(chǔ)設(shè)施信息安全領(lǐng)導(dǎo)部I'j'負(fù)責(zé)監(jiān)督保護(hù)政府網(wǎng)絡(luò)安全,為私營企業(yè)提供專業(yè)援助。2009年DHS建立了國家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負(fù)責(zé)與聯(lián)邦相關(guān)部門、各州、各行業(yè)以及國際社會(huì)共享網(wǎng)絡(luò)威脅發(fā)展趨勢,組織協(xié)調(diào)事件響應(yīng)w。
2.2能源部
美國能源部不直接承擔(dān)電網(wǎng)信息安全的管理職責(zé),而是通過指導(dǎo)技術(shù)研發(fā)和協(xié)助項(xiàng)目開發(fā)促進(jìn)私營企業(yè)發(fā)展和技術(shù)進(jìn)步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔(dān)加強(qiáng)國家能源基礎(chǔ)設(shè)施的可靠性和堅(jiān)韌性的職責(zé),提供技術(shù)研究和發(fā)展的資金,推進(jìn)風(fēng)險(xiǎn)管理策略和信息安全標(biāo)準(zhǔn)研發(fā),促進(jìn)威脅信息的及時(shí)共享,為電網(wǎng)信息安全戰(zhàn)略性綜合方案提供支撐。
能源部2012年與美國國家標(biāo)準(zhǔn)技術(shù)研究院、北美電力可靠性公司合作編制了《電力安全風(fēng)險(xiǎn)管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國土安全部等共同協(xié)作編制完成了《電力行業(yè)信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨,以支撐電力行業(yè)的信息安全能力評(píng)估和提升;2014年資助能源行業(yè)控制系統(tǒng)工作組(ESCSWG)形成了《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全采購用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強(qiáng)供應(yīng)鏈的信息安全風(fēng)險(xiǎn)管理。
在201丨路線圖的指導(dǎo)下,能源部啟動(dòng)了能源傳輸系統(tǒng)的信息安全項(xiàng)目,資助愛達(dá)荷國家實(shí)驗(yàn)室建立SCADA安全測試平臺(tái),發(fā)現(xiàn)并解決行業(yè)面臨的關(guān)鍵安全漏洞和威脅;資助伊利諾伊大學(xué)等開展值得信賴的電網(wǎng)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)研究。
2.3聯(lián)邦能源管理委員會(huì)
聯(lián)邦能源管理委員會(huì)負(fù)責(zé)依法制定聯(lián)邦政府職責(zé)范圍內(nèi)的能源監(jiān)管政策并實(shí)施監(jiān)管,是獨(dú)立監(jiān)管機(jī)構(gòu)。2005年能源政策法案(EnergyPolicyActof2005)授權(quán)FERC監(jiān)督包括信息安全標(biāo)準(zhǔn)在內(nèi)的主干電網(wǎng)強(qiáng)制可靠性標(biāo)準(zhǔn)的實(shí)施。2007年能源獨(dú)立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國家標(biāo)準(zhǔn)與技術(shù)研究所(National丨nstituteofStandardsan<丨Technology,NIST)相關(guān)責(zé)任以協(xié)調(diào)智能電網(wǎng)指導(dǎo)方針和標(biāo)準(zhǔn)的編制和落實(shí)。2011年的電網(wǎng)網(wǎng)絡(luò)安全法案(GridCyberSecurityAct)要求FKRC建立關(guān)鍵電力基礎(chǔ)設(shè)施的信息安全標(biāo)準(zhǔn)。
2007年FERC批準(zhǔn)由北美電力可靠性公司制定的《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》(criticalinfrastructureprotection,CIPW標(biāo)準(zhǔn)為北美電力可靠性標(biāo)準(zhǔn)之中的強(qiáng)制標(biāo)準(zhǔn),要求各相關(guān)企業(yè)執(zhí)行,旨在保護(hù)電網(wǎng),預(yù)防信息系統(tǒng)攻擊事件的發(fā)生。
2.4北美電力可靠性公司
北美電力可靠性公司是非盈利的國際電力可靠性組織。NERC在FERC的監(jiān)管下,制定并強(qiáng)制執(zhí)行包括信息安全標(biāo)準(zhǔn)在內(nèi)的大電力系統(tǒng)可靠性標(biāo)準(zhǔn),開展可靠性監(jiān)測、分析、評(píng)估、信息共享,確保大電力系統(tǒng)的可靠性。
NERC了一系列的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)標(biāo)準(zhǔn)181作為北美電力系統(tǒng)的強(qiáng)制性標(biāo)準(zhǔn);與美國能源部和NIST編制了《電力行業(yè)信息安全風(fēng)險(xiǎn)管理過程指南》,提供了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的指導(dǎo)方針。
歸屬NERC的電力行業(yè)協(xié)凋委員會(huì)(ESCC)是聯(lián)邦政府與電力行業(yè)的主要聯(lián)絡(luò)者,其主要使命是促進(jìn)和支持行業(yè)政策和戰(zhàn)略的協(xié)調(diào),以提高電力行業(yè)的可靠性和堅(jiān)韌性'NERC通過其電力行業(yè)信息共享和分析中心(ES-ISAC)的態(tài)勢感知、事件管理以及協(xié)調(diào)和溝通的能力,與電力企業(yè)進(jìn)行及時(shí)、可靠和安全的信息共享和溝通。通過電網(wǎng)安全年會(huì)(GridSecCon)、簡報(bào),提供威脅應(yīng)對(duì)策略、最佳實(shí)踐的討論共享和培訓(xùn)機(jī)會(huì);組織電網(wǎng)安全演練(GridEx)檢查整個(gè)行業(yè)應(yīng)對(duì)物理和網(wǎng)絡(luò)事件的響應(yīng)能力,促2.5州公共事業(yè)委員會(huì)美國聯(lián)邦政府對(duì)地方電力公司供電系統(tǒng)的可靠性沒有直接的監(jiān)管職責(zé)。各州公共事業(yè)委員會(huì)負(fù)責(zé)監(jiān)管地方電力公司的信息安全,大多數(shù)州的PUC沒有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定職責(zé)。PUC通過監(jiān)管權(quán)力,成為地方電力系統(tǒng)和配電系統(tǒng)網(wǎng)絡(luò)安全措施的重要決策者。全國公用事業(yè)監(jiān)管委員協(xié)會(huì)(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個(gè)聯(lián)盟協(xié)會(huì),也采取措施促進(jìn)PUC的電力網(wǎng)絡(luò)安全工作,呼吁PUC密切監(jiān)控網(wǎng)絡(luò)安全威脅,定期審查各自的政策和程序,以確保與適用標(biāo)準(zhǔn)、最佳實(shí)踐的一致性%
3美國電力行業(yè)信息安全的硏究資源
參與美國電力行業(yè)信息安全研究的機(jī)構(gòu)和組織主要有商務(wù)部所屬的國家標(biāo)準(zhǔn)技術(shù)研究院及其領(lǐng)導(dǎo)下的智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)、國土安全部所屬的能源行業(yè)控制系統(tǒng)工作組,重點(diǎn)幵展電力行業(yè)信息安全發(fā)展路線圖、框架以及標(biāo)準(zhǔn)、指南的研究。同時(shí),能源部所屬的多個(gè)國家實(shí)驗(yàn)室提供網(wǎng)絡(luò)安全測試、網(wǎng)絡(luò)威脅分析、具體防御措施指導(dǎo)以及新技術(shù)研究等。
3.1國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)
根據(jù)2007能源獨(dú)立與安全法令,美_國家標(biāo)準(zhǔn)技術(shù)研究院負(fù)責(zé)包括信息安全協(xié)議在內(nèi)的智能電網(wǎng)協(xié)議和標(biāo)準(zhǔn)的自愿框架的研發(fā)。NISTf20102014發(fā)#了《?能電網(wǎng)互操作標(biāo)準(zhǔn)的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本,明確了智能電網(wǎng)的網(wǎng)絡(luò)安全原則以及標(biāo)準(zhǔn)等。2011年3月,NIST了信息安全標(biāo)準(zhǔn)和指導(dǎo)方針系列中的旗艦文檔《NISTSP800-39,信息安全風(fēng)險(xiǎn)管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk),提供了一系列有意義的信息安全改進(jìn)建議。2014年2月,根據(jù)13636行政令,了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》第一版,以幫助組織識(shí)別、評(píng)估和管理關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險(xiǎn)。
NIST正在開發(fā)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)用于檢測符合網(wǎng)絡(luò)安全保護(hù)指導(dǎo)方針和標(biāo)準(zhǔn)的_「.業(yè)控制系統(tǒng)的性能,以指導(dǎo)工業(yè)控制系統(tǒng)安全策略最佳實(shí)踐的實(shí)施。
3.2智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)
智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)其前身是智能電網(wǎng)互操作組網(wǎng)絡(luò)安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網(wǎng)安全架構(gòu)、風(fēng)險(xiǎn)管理流程、安全測試和認(rèn)證等研究,致力于推進(jìn)智能電網(wǎng)網(wǎng)絡(luò)安全的發(fā)展和標(biāo)準(zhǔn)化。在NIST的領(lǐng)導(dǎo)下,SGCC編制并進(jìn)一步修訂了《智能電網(wǎng)信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網(wǎng)信息安全分析框架,為組織級(jí)研究、設(shè)計(jì)、研發(fā)和實(shí)施智能電網(wǎng)技術(shù)提供了指導(dǎo)性T.具。
3.3國家電力行業(yè)信息安全組織(NESC0)
能源部組建的國家電力行業(yè)信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO),集結(jié)了美國國內(nèi)外致力于電力行業(yè)網(wǎng)絡(luò)安全的專家、開發(fā)商以及用戶,致力于網(wǎng)絡(luò)威脅的數(shù)據(jù)分析和取證工作⑴。美國電力科學(xué)研究院(EPRI)作為NESC0成員之一提供研究和分析資源,開展信息安全要求、標(biāo)準(zhǔn)和結(jié)果的評(píng)估和分析。NESCO與能源部、聯(lián)邦政府其他機(jī)構(gòu)等共同合作補(bǔ)充和完善了2011路線圖的關(guān)鍵里程碑和目標(biāo)。
3.4能源行業(yè)控制系統(tǒng)工作組(ESCSWG)
隸屬國土安全部的能源行業(yè)控制系統(tǒng)工作組由能源領(lǐng)域安全專家組成,在關(guān)鍵基礎(chǔ)設(shè)施合作咨詢委員會(huì)框架下運(yùn)作。在能源部的資助下,ESCSWG編制了《實(shí)現(xiàn)能源傳輸系統(tǒng)信息安全路線圖》、《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全釆購用語指南》。3.5能源部所屬的國家實(shí)驗(yàn)室
3.5.1愛達(dá)荷國家實(shí)驗(yàn)室(INL)
愛達(dá)荷W家實(shí)驗(yàn)室成立于1949年,是為美國能源部在能源研究、國家防御等方面提供支撐的應(yīng)用工程實(shí)驗(yàn)室。近十年來,INL與電力行業(yè)合作,加強(qiáng)了電網(wǎng)可靠性、控制系統(tǒng)安全研究。
在美國能源部的資助下,INL建立了包含美國國內(nèi)和國際上多種控制系統(tǒng)的SCADA安全測試平臺(tái)以及無線測試平臺(tái)等資源,目的對(duì)SCADA進(jìn)行全面、徹底的評(píng)估,識(shí)別控制系統(tǒng)脆弱點(diǎn),并提供脆弱點(diǎn)的消減方法113】。通過能源部的能源傳輸系統(tǒng)信息安全項(xiàng)目,INL提出了采用數(shù)據(jù)壓縮技術(shù)檢測惡意流量對(duì)SCADA實(shí)時(shí)網(wǎng)絡(luò)保護(hù)的方法hi。為支持美國國土安全部控制系統(tǒng)安全項(xiàng)目,INL開發(fā)并實(shí)施了培訓(xùn)課程以增強(qiáng)控制系統(tǒng)專家的安全意識(shí)和防御能力。1NL的相關(guān)研究報(bào)告有《SCADA網(wǎng)絡(luò)安全評(píng)估方法》、《控制系統(tǒng)十大漏洞及其補(bǔ)救措施》、《控制系統(tǒng)網(wǎng)絡(luò)安全:深度防御戰(zhàn)略》、《控制系統(tǒng)評(píng)估中常見網(wǎng)絡(luò)安全漏洞》%、《能源傳輸控制系統(tǒng)漏洞分析>嚴(yán)|等。
3.5.2太平洋西北國家實(shí)驗(yàn)室(PNNL)
太平洋西北國家實(shí)驗(yàn)室是美國能源部所屬的闊家綜合性實(shí)驗(yàn)室,研究解決美國在能源、環(huán)境和國家安全等方面最緊迫的問題。
PNNL提出的安全SCADA通信協(xié)議(secureserialcommunicationsprotocol,SSCP)的概念,有助于實(shí)現(xiàn)遠(yuǎn)程訪問設(shè)備與控制中心之間的安全通信。的相關(guān)研究報(bào)告有《工業(yè)控制和SCADA的安全數(shù)據(jù)傳輸指南》等。PNNL目前正在開展仿生技術(shù)提高能源領(lǐng)域網(wǎng)絡(luò)安全的研究項(xiàng)。
3.5.3桑迪亞國家實(shí)驗(yàn)室(SNL)
桑迪亞國家實(shí)驗(yàn)室是能源部所屬的多學(xué)科國家實(shí)驗(yàn)室,也是聯(lián)邦政府資助的研究和發(fā)展中心。SNL的研究報(bào)告有《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)網(wǎng)絡(luò)漏洞評(píng)估指南》、《控制系統(tǒng)數(shù)據(jù)分析和保護(hù)安全框架》、《過程控制系統(tǒng)的安全指標(biāo)》I1'《高級(jí)計(jì)量基礎(chǔ)設(shè)施安全考慮》、《微電網(wǎng)網(wǎng)絡(luò)安全參考結(jié)構(gòu)》等。在能源部的資助下,SNL開展了關(guān)于供應(yīng)鏈威脅的研究項(xiàng)目,形成的威脅模型有助于指導(dǎo)安全解決方案的選擇以及新投資的決策h(yuǎn)i。
4美國電力行業(yè)信息安全的運(yùn)作策略
4.1標(biāo)準(zhǔn)只作為網(wǎng)絡(luò)安全的基線
NERC的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)(CIP)作為強(qiáng)制性標(biāo)準(zhǔn),是電力行業(yè)整體網(wǎng)絡(luò)安全策略的重要內(nèi)容。CIP標(biāo)準(zhǔn)與電網(wǎng)規(guī)劃準(zhǔn)則、系統(tǒng)有功平衡與調(diào)頻、無功平衡與調(diào)壓、安全穩(wěn)定運(yùn)行等系列標(biāo)準(zhǔn)相并列,成為北美大電網(wǎng)可靠性標(biāo)準(zhǔn)的重要組成部分。目前強(qiáng)制執(zhí)行的是CIP-002至C⑴-009共8個(gè)標(biāo)準(zhǔn)的第3版。文獻(xiàn)1丨6]提供了CIP-002至CIP-009主要內(nèi)容的描述列表。C〖P第5版近期已通過FERC批準(zhǔn)即將于2016年實(shí)施。第5版新增了CIP-010配置變更管理和漏洞評(píng)估、C1P-011信息保護(hù)2個(gè)強(qiáng)制標(biāo)準(zhǔn)。
目前配電系統(tǒng)沒有強(qiáng)制標(biāo)準(zhǔn),但NIST將C1P標(biāo)準(zhǔn)融入了智能電網(wǎng)互操作框架中。智能電網(wǎng)互操作框架雖然是自愿標(biāo)準(zhǔn),但為配電系統(tǒng)提供了信息安全措施指導(dǎo)為系統(tǒng)性的指導(dǎo)智能電網(wǎng)信息安全工作,NIST組織編制了《美國智能電網(wǎng)信息安全指南》,提出了一個(gè)普適性的智能電網(wǎng)信息安全分析框架,為智能電網(wǎng)的各相關(guān)方提供了風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)識(shí)別以及安全要求的實(shí)施方法。DOE編制的《電力行業(yè)信息安全風(fēng)險(xiǎn)管理過程指南》提供了電力行業(yè)信息安全風(fēng)險(xiǎn)管理的方法[5】。DOE與DHS合作編制的《信息安全能力成熟度模型》(ES-C2M2)i6i,通過行業(yè)實(shí)踐幫助組織評(píng)估、優(yōu)化和改善網(wǎng)絡(luò)安全功能,促進(jìn)網(wǎng)絡(luò)安全行動(dòng)和投資的有序開展以及信息安全能力的持續(xù)提升。2014年NIST了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》也作為電力行業(yè)網(wǎng)絡(luò)安全自愿標(biāo)準(zhǔn)。文獻(xiàn)f17]提到只有21%的公用事業(yè)采取了NERC推薦的預(yù)防震網(wǎng)措施,可見自愿標(biāo)準(zhǔn)的執(zhí)行率偏低強(qiáng)制執(zhí)行的CIP標(biāo)準(zhǔn)在大電力系統(tǒng)網(wǎng)絡(luò)安全方面確實(shí)發(fā)揮了基礎(chǔ)作用,然而網(wǎng)絡(luò)威脅的快速變化以及每個(gè)組織面對(duì)的風(fēng)險(xiǎn)的獨(dú)特性,強(qiáng)制性標(biāo)準(zhǔn)在某種程度上影響企業(yè)采取超過但不同于最低標(biāo)準(zhǔn)的合適的防護(hù)措施。文獻(xiàn)丨3]提出目前將強(qiáng)制性的解決方案擴(kuò)展到配電網(wǎng)不是有效的方法,聯(lián)邦政府也在考慮縮小強(qiáng)制性范圍。持續(xù)提升網(wǎng)絡(luò)安全水平不能僅僅依賴于標(biāo)準(zhǔn)的符合度,監(jiān)督管理不能保證安全。電力行業(yè)的網(wǎng)絡(luò)安全需要整體的網(wǎng)絡(luò)安全戰(zhàn)略,包括安全文化建設(shè)、共享與協(xié)作、風(fēng)險(xiǎn)管理等。無論是強(qiáng)制性的標(biāo)準(zhǔn)還是非強(qiáng)制性的標(biāo)準(zhǔn)都只是信息安全的最低要求'4.2安全文化建設(shè)成為信息安全路線圖首要策略
對(duì)能源傳輸系統(tǒng)安全風(fēng)險(xiǎn)的認(rèn)知缺失或識(shí)別能力的不足,缺少有效的安全策略和技術(shù)環(huán)境訓(xùn)練的人員,將阻礙能源行業(yè)的持續(xù)安全。安全文化建設(shè)已成為201丨路線圖的首要策略,以提升電力行業(yè)網(wǎng)絡(luò)安全運(yùn)作的主動(dòng)性。2011路線圖提出重點(diǎn)從最佳實(shí)踐、教育、認(rèn)證等方面加強(qiáng)信息安全文化建設(shè),以實(shí)現(xiàn)能源傳輸系統(tǒng)的最佳實(shí)踐被廣泛使用、具備能源傳輸和網(wǎng)絡(luò)安全技能的行業(yè)人員明顯增長等中長期目標(biāo)'最佳實(shí)踐傳遞的目標(biāo)效果是網(wǎng)絡(luò)安全實(shí)踐成為能源行業(yè)所有相關(guān)者的習(xí)慣。相關(guān)國家實(shí)驗(yàn)室圍繞各自研究方向總結(jié)了評(píng)估方法、漏洞補(bǔ)救措施、操作指南等一系列最佳實(shí)踐。如INL根據(jù)其多年SCADA漏洞評(píng)估經(jīng)驗(yàn),編制了《能源傳輸系統(tǒng)漏洞分析》、《SCADA網(wǎng)絡(luò)安全評(píng)估方法》等。PNNL編制的《丁業(yè)控制和SCADA系統(tǒng)的安全數(shù)據(jù)傳輸指南》,為工業(yè)控制系統(tǒng)提供了能及時(shí)發(fā)現(xiàn)并阻止人侵的數(shù)據(jù)傳輸結(jié)構(gòu)。NIST將最佳實(shí)踐融入了安全框架、指南和導(dǎo)則中,如《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全指南》等。NESCO、NERC等通過電網(wǎng)安全年會(huì)等多種方式提供了最佳實(shí)踐的交流機(jī)會(huì)。
【關(guān)鍵詞】計(jì)算機(jī) 網(wǎng)絡(luò) 安全與防護(hù)
在第三次科技革命中,計(jì)算機(jī)與互聯(lián)網(wǎng)的廣泛應(yīng)用正在改變著我們的生產(chǎn)與生活的方式。二十一世紀(jì)以來,計(jì)算機(jī)技術(shù)的發(fā)展速度可以說是舉世矚目,在快速發(fā)展的信息技術(shù)以及巨大的應(yīng)用市場的帶動(dòng)下,計(jì)算機(jī)以其獨(dú)有的優(yōu)勢,正逐漸被廣泛應(yīng)用在我們生產(chǎn)與生活的各個(gè)方面。特別是隨著網(wǎng)絡(luò)的普及,信息的全球互聯(lián)與分享已經(jīng)讓世界逐漸地形成了一個(gè)地球村。我們在領(lǐng)略與享受這種由計(jì)算機(jī)網(wǎng)絡(luò)所帶來的巨大的快捷與便利的同時(shí),也在遭受著由于計(jì)算機(jī)網(wǎng)絡(luò)的漏洞以及黑客與病毒的攻擊而帶來的一系列困擾,甚至還會(huì)造成嚴(yán)重的經(jīng)濟(jì)損失。據(jù)報(bào)道,在幾年前的我國網(wǎng)上傳播的一個(gè)“熊貓燒香”的網(wǎng)絡(luò)病毒,直接導(dǎo)致很多網(wǎng)站無法正常打開與運(yùn)營,間接經(jīng)濟(jì)損失超過億元,這為我們的計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)再次敲響了警鐘。加強(qiáng)與提升對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)水平已經(jīng)提上了議事日程。本文從計(jì)算機(jī)安全的相關(guān)概念入手,在分析我國當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)的現(xiàn)狀的基礎(chǔ)上,對(duì)其今后的網(wǎng)絡(luò)安全防護(hù)提出了一些參考性的建議,希望能有助于我國計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)理論的進(jìn)一步發(fā)展與完善。
1 計(jì)算機(jī)網(wǎng)絡(luò)安全的概念與基本組成
1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的概念
計(jì)算機(jī)網(wǎng)絡(luò)安全是計(jì)算機(jī)安全的重要組成部分,它主要是指信息在計(jì)算機(jī)網(wǎng)絡(luò)的傳播過程中,能夠避免或保證信息的丟失、泄漏與篡改等方面。最為計(jì)算機(jī)安全的一部分,計(jì)算機(jī)網(wǎng)絡(luò)安全是針對(duì)計(jì)算機(jī)安全中的信息安全而界定的。我們平常所熟悉的計(jì)算機(jī)安全主要涉及計(jì)算機(jī)的兩個(gè)層面,一個(gè)是我們比較熟悉的硬件層面,也就是關(guān)于計(jì)算機(jī)的相關(guān)硬件一設(shè)備在操作過程中避免人為的損害。另一種是計(jì)算機(jī)的軟件層面,主要包括對(duì)計(jì)算機(jī)內(nèi)部主要操作系統(tǒng)與應(yīng)用軟件的有效保護(hù),避免在操作過程中的惡意攻擊而造成操作系統(tǒng)的無法正常運(yùn)行等。在計(jì)算機(jī)安全領(lǐng)域,我們還會(huì)將計(jì)算機(jī)安全進(jìn)一步劃分為物理層面的安全,這與上文所提到的計(jì)算機(jī)的硬件安全,內(nèi)涵基本趨同。另一點(diǎn)就是計(jì)算機(jī)在邏輯層面的安全,這也就是本文所要研究的重點(diǎn),計(jì)算機(jī)的網(wǎng)絡(luò)安全,主要是涉及計(jì)算機(jī)的信息安全。
1.2 計(jì)算機(jī)網(wǎng)絡(luò)安全的基本組成
計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)比較復(fù)雜的體系,它一方面包含著具體的網(wǎng)絡(luò)安全所需要的相關(guān)數(shù)據(jù)與設(shè)備支持,另一方面,還包括一系列的對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)與管理。具體來說,在計(jì)算機(jī)網(wǎng)絡(luò)安全體系中,首先是要確保網(wǎng)絡(luò)硬件的安全,也就是要確保信息傳遞過程中所經(jīng)由的基本物理實(shí)體要安全保密,保障信息在傳輸過程中的高效與無誤,在確保包括傳輸線路等一系列的網(wǎng)絡(luò)實(shí)體的安全過程中,還要確保包括文件傳輸協(xié)議在內(nèi)的相關(guān)信息與數(shù)據(jù)的安全傳輸,從而避免由于不正當(dāng)?shù)娜肭侄斐尚畔⒌膩G失,復(fù)制與篡改。在此基礎(chǔ)上,計(jì)算機(jī)網(wǎng)絡(luò)安全中,還需要一系列的預(yù)警與防護(hù)機(jī)制來更好地實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的有效防護(hù)。這其中包括對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)營安全的監(jiān)管,以及相關(guān)制度與法規(guī)的設(shè)立。
2 我國計(jì)算機(jī)網(wǎng)絡(luò)安全的發(fā)展現(xiàn)狀
根據(jù)國家信息產(chǎn)業(yè)部的最新的統(tǒng)計(jì)數(shù)字表明,在未來的10到20年,我國的與計(jì)算機(jī)有關(guān)的相關(guān)技術(shù)產(chǎn)品的研發(fā)與推廣,將會(huì)為整個(gè)經(jīng)濟(jì)技術(shù)的發(fā)展注入更大的推動(dòng)力。目前據(jù)世界計(jì)算機(jī)應(yīng)用機(jī)構(gòu)的粗略統(tǒng)計(jì),到目前為止,每年與計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)相關(guān)的銷售將會(huì)突破近千億大關(guān),這是一個(gè)非常龐大的數(shù)字。我國在計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展與建設(shè)方面取得了比較可喜的成就,互聯(lián)網(wǎng)絡(luò)已經(jīng)基本覆蓋了我國社會(huì)發(fā)展與生產(chǎn)、生活的各個(gè)層面。但是在如此迅速發(fā)展的互聯(lián)網(wǎng)的背后,我們的計(jì)算機(jī)網(wǎng)絡(luò)安全的發(fā)展現(xiàn)狀與歐美等發(fā)達(dá)國家相比還存在著很大的發(fā)展空間,這種安全的問題一方面來自系統(tǒng)的設(shè)計(jì)本身有可能存在著一定的數(shù)據(jù)與安全隱患與缺陷,另一方面,是來自包括互聯(lián)網(wǎng)在內(nèi)的,各種可能的病毒的攻擊,因此安全問題不可以輕視。在快速發(fā)展的時(shí)代,網(wǎng)絡(luò)安全是大眾普遍的也是必然的需求,只有不斷地提升計(jì)算機(jī)網(wǎng)絡(luò)的安全性,才會(huì)更好的服務(wù)與滿足越來越多樣的大眾需求。目前我國計(jì)算機(jī)網(wǎng)絡(luò)安全問題主要表現(xiàn)在:
2.1 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)有待提升
我國已經(jīng)成了計(jì)算機(jī)網(wǎng)絡(luò)大國,但是與計(jì)算機(jī)網(wǎng)絡(luò)強(qiáng)國之間還存在著很大的差距,由于在計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展過程中,我國比較注重量的覆蓋,在質(zhì)的方面留下了很多的安全隱患。特別是在一些比較尖端的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)方面的創(chuàng)新性不足,甚至一些領(lǐng)域的應(yīng)用軟件還對(duì)國外計(jì)算機(jī)技術(shù)存在著一定的依賴性。這些都嚴(yán)重地制約了我國的計(jì)算機(jī)網(wǎng)絡(luò)安全的獨(dú)立發(fā)展。
2.2 計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)意識(shí)有待加強(qiáng)
在計(jì)算機(jī)網(wǎng)絡(luò)的主要應(yīng)用領(lǐng)域,特別是最近比較火爆的電子商務(wù)等領(lǐng)域,由于計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)方面的意識(shí)比較淡薄,很多企業(yè)缺乏足夠的防范意識(shí)與預(yù)警機(jī)制,在日常的網(wǎng)絡(luò)維護(hù)的過程中,缺乏高標(biāo)準(zhǔn)的防火墻體系,這些都為計(jì)算機(jī)網(wǎng)絡(luò)安全埋下了隱患。尤其是,隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及,我國雖然設(shè)立了包括實(shí)名上網(wǎng)的制度,但是對(duì)于計(jì)算機(jī)病毒的防護(hù)等方面還處在一個(gè)比較被動(dòng)的局面。
2.3 計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)法規(guī)的不健全
我國正在經(jīng)歷一個(gè)經(jīng)濟(jì)、政治發(fā)展的轉(zhuǎn)型期,在這個(gè)階段,我們的計(jì)算機(jī)網(wǎng)絡(luò)安全的立法與執(zhí)法方面的體系與制度還需要進(jìn)一步地完善。這種由于法規(guī)監(jiān)管的缺失,每年因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)安全而造成的經(jīng)濟(jì)損失已經(jīng)高達(dá)上億元。因此,加強(qiáng)相關(guān)法規(guī)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的有效監(jiān)管與防護(hù)是下一步政府相關(guān)職能部門工作的主要方向。
3 計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)的對(duì)策分析
從計(jì)算機(jī)安全,特別是計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念我們可以看出防護(hù)計(jì)算機(jī)的安全應(yīng)該從物理與邏輯兩個(gè)層面來入手。具體來說:
3.1 物理層面的計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)對(duì)策
從物理層面上對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù),就是在一些涉及國家民生與關(guān)鍵領(lǐng)域的計(jì)算機(jī)網(wǎng)絡(luò)中。要從物理層面與公共網(wǎng)絡(luò)進(jìn)行一定的隔離或者是保密處理,對(duì)與網(wǎng)站機(jī)相關(guān)數(shù)據(jù)的訪問設(shè)定嚴(yán)格的準(zhǔn)入制度,最大限度的保持網(wǎng)絡(luò)的相對(duì)獨(dú)立性。在此基礎(chǔ)上,要進(jìn)一步對(duì)計(jì)算機(jī)的相關(guān)操作硬件進(jìn)行性能的提升,提高其抗病毒機(jī)黑客入侵的干擾的與防護(hù)的水平與能力。需要指出的是,計(jì)算機(jī)作為網(wǎng)絡(luò)運(yùn)行的主要載體,要不斷地對(duì)其主要的系統(tǒng)進(jìn)行不斷地升級(jí)以滿足不斷升級(jí)的技術(shù)要求。爭取在計(jì)算機(jī)物理系統(tǒng)運(yùn)用之前,測試并診斷,從而保證其呈現(xiàn)出最佳的工作狀態(tài)。與此同時(shí),在物理系統(tǒng)的具體運(yùn)用的階段,要不斷的根據(jù)生產(chǎn)與生活運(yùn)用過程中,出現(xiàn)的新問題,來不斷的進(jìn)行系統(tǒng)的調(diào)試與更新,不斷保持其物理系統(tǒng)的先進(jìn)性。
3.2 邏輯層面的計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)對(duì)策
邏輯層面的防護(hù)主要是指在信息的傳遞過程中那個(gè)的網(wǎng)絡(luò)安全。目前比較常用的就是防火墻技術(shù)。利用防火墻技術(shù)可以有效的阻止不明身份的登錄以及對(duì)網(wǎng)絡(luò)相關(guān)信息的讀取,從而在源頭上為網(wǎng)絡(luò)信息的安全構(gòu)筑一個(gè)屏障。具體來說,隨著計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)技術(shù)的不斷進(jìn)步與升級(jí),對(duì)于信息的加密傳輸?shù)募夹g(shù)也在不斷地應(yīng)用在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)領(lǐng)域。通過這種信息的加密處理可以有助于網(wǎng)絡(luò)傳輸過程中的相關(guān)信息的準(zhǔn)確傳遞。同時(shí),相關(guān)的計(jì)算機(jī)技術(shù)部門應(yīng)該本著高度負(fù)責(zé)的態(tài)度,在計(jì)算機(jī)網(wǎng)絡(luò)安全的研發(fā)與檢測階段,將系統(tǒng)的缺陷與不足進(jìn)行最大程度的改良與提升。特別是在測試方面要不斷豐富測試的相關(guān)數(shù)據(jù)指標(biāo)與內(nèi)容,不斷鉆研測試的信度與可靠性,為邏輯層面的網(wǎng)絡(luò)安全防護(hù)提供更為有利的技術(shù)支持。
3.3 開展全球網(wǎng)絡(luò)安全防護(hù)應(yīng)對(duì)機(jī)制
在當(dāng)今的網(wǎng)絡(luò)發(fā)展的時(shí)代,網(wǎng)絡(luò)已經(jīng)真正地跨越了國家與地區(qū),成為人類交流信息的共有資源與平臺(tái),在全球互聯(lián)的今天,我們也要看到由于網(wǎng)絡(luò)的這種傳播性,一些具有較強(qiáng)的攻擊力的計(jì)算機(jī)網(wǎng)絡(luò)病毒極易造成大面積乃至全球范圍的影響與破環(huán)。因此,在國際上建立網(wǎng)絡(luò)安全的預(yù)警機(jī)制與防護(hù)平臺(tái)有助于在第一時(shí)間將計(jì)算機(jī)病毒的全球破壞性降到最低。這一方面,是計(jì)算機(jī)網(wǎng)絡(luò)的世界互聯(lián)為一體的特性決定的,另一方面,也是面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)的嚴(yán)峻形勢所必須要采取的舉措。
3.4 繼續(xù)推進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)安全的監(jiān)管法規(guī)的建設(shè)
在我國計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展過程中,法制的建設(shè)應(yīng)該是先行的,至少應(yīng)該與其發(fā)展保持同步,從而發(fā)揮保駕護(hù)航的價(jià)值與作用??墒怯捎谖覈?dāng)前正處于經(jīng)濟(jì)發(fā)展的轉(zhuǎn)型階段,因此,一些法律與法規(guī)還有待進(jìn)一步地修訂與完善。特別是關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)資源的監(jiān)管,以及具體的實(shí)施方案還需要在實(shí)踐中發(fā)揮更好的法律規(guī)范的效力。由于計(jì)算機(jī)網(wǎng)絡(luò)帶有很大的匿名性,很多的計(jì)算機(jī)網(wǎng)絡(luò)黑客會(huì)利用一些技術(shù)手段來對(duì)網(wǎng)絡(luò)的安全漏洞進(jìn)行破環(huán)。這種威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的行為需要借助法律的手段來進(jìn)行嚴(yán)厲的打擊。由于我國在計(jì)算機(jī)網(wǎng)絡(luò)安全的監(jiān)管法規(guī)等方面的不完善,目前我國的計(jì)算機(jī)網(wǎng)絡(luò)安全的法規(guī)與制度還無法適應(yīng)與滿足當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)需要。因此,我國立法機(jī)關(guān),應(yīng)該在借鑒歐美等發(fā)達(dá)國家相關(guān)法規(guī)的基礎(chǔ)上,從我國的計(jì)算機(jī)網(wǎng)絡(luò)安全的具體實(shí)際出發(fā),制定具有中國特色的計(jì)算機(jī)網(wǎng)絡(luò)安全的監(jiān)管法規(guī),從而為計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)保駕護(hù)航。
3.5 加強(qiáng)科技創(chuàng)新,提高計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)水平
計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)是一個(gè)系統(tǒng)的過程,需要我們從硬件到軟件都要進(jìn)行全方位的考慮。一方面,我們要大力構(gòu)筑安全的計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)體,另一方面要不斷加強(qiáng)科技創(chuàng)新,不斷地提升我國在計(jì)算機(jī)領(lǐng)域,特別是在計(jì)算機(jī)網(wǎng)絡(luò)與安全領(lǐng)域的技術(shù)水平。當(dāng)然這需要一大批的計(jì)算機(jī)專業(yè)人才的不懈努力,所以,培養(yǎng)具有較高科研水平的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)人才是未來我國計(jì)算機(jī)教育培養(yǎng)的重點(diǎn)方向。
3.6 提高計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)意識(shí)
在所有的計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)的對(duì)策中,除了技術(shù)手段的更新與升級(jí)以外,應(yīng)該從計(jì)算機(jī)網(wǎng)絡(luò)整體發(fā)展考慮進(jìn)一步地提升大家在網(wǎng)絡(luò)使用時(shí)的安全防護(hù)意識(shí)。從信息的輸入到相關(guān)文件與程序的打開要主要進(jìn)行病毒的掃描與清除。只有提高每一位計(jì)算機(jī)用戶的網(wǎng)絡(luò)安全的使用意識(shí),才會(huì)進(jìn)一步減少網(wǎng)絡(luò)安全受到破壞而帶來的不利影響。與此同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)安全使用者應(yīng)該積極的舉報(bào)發(fā)現(xiàn)的計(jì)算機(jī)網(wǎng)絡(luò)病毒,為相關(guān)的政府職能部門制定相應(yīng)的解決策略提供必要的支持,形成一個(gè)全民反計(jì)算機(jī)病毒的氛圍,構(gòu)筑良好的計(jì)算機(jī)網(wǎng)絡(luò)安全發(fā)展的環(huán)境。
4 結(jié)語
計(jì)算機(jī)網(wǎng)絡(luò)是上個(gè)世紀(jì)最偉大的發(fā)明之一,它的出現(xiàn)讓我們的生產(chǎn)與生活發(fā)生了翻天覆地的變化。我們在享受計(jì)算機(jī)網(wǎng)絡(luò)所帶來的發(fā)展的便捷的同時(shí),也要最大限度地避免由于計(jì)算機(jī)網(wǎng)絡(luò)安全而帶來的一系列的問題。本文簡要分析了計(jì)算機(jī)網(wǎng)絡(luò)安全的基本組成,從計(jì)算機(jī)網(wǎng)絡(luò)的防護(hù)的主要層面進(jìn)行了剖析,并從立法與全球合作與技術(shù)創(chuàng)新等維度對(duì)加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全提出了一些參考性的建議,希望能為計(jì)算機(jī)網(wǎng)絡(luò)安全的理論研究與發(fā)展貢獻(xiàn)綿薄之力。
參考文獻(xiàn)
[1]官有保,晉國卿.計(jì)算機(jī)網(wǎng)絡(luò)安全問題和防范措施[J].科技廣場,2011(09):45-46.
[2]馬睿.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全的防控[J].北方經(jīng)貿(mào),2011(11):125-127.
[3]陳祖新.談現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全和防范技術(shù)[J].信息與電腦(理論版),2011(11):110-111.
[4]黎明.計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)[J].現(xiàn)代營銷(學(xué)苑版),2011(11):47-49.
[5]鄭懷宇,王建烽.常見網(wǎng)絡(luò)攻擊手段及安全防范探討[J].科技創(chuàng)新導(dǎo)報(bào),2009(22):60-61.
作者簡介
李玉輝(1993-),男,遼寧省錦州市人。大學(xué)本科學(xué)歷。計(jì)算機(jī)科學(xué)與技術(shù)師范專業(yè)。
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:省級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:省級(jí)期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊