时间:2023-04-18 17:36:54
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇网页安全论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
计算机系统的正常运行以计算机操作系统程序为主要依据,与之相关的各类程序也必须以此为标准,操作系统理所当然地成为了计算机系统中的基本程序。计算机操作系统具有较强的拓展性,开发商很容易完成计算机系统的开发工作。但是,在优化和升级计算机系统的过程中,相关操作技术仍存在较大问题,这是计算机技术快速发展的难点,也是黑客入侵计算机系统的主要切入点。
1.2计算机病毒安全问题
计算机一旦受到病毒的入侵,将会出现严重的运行问题,如系统瘫痪、传输数据失真以及数据库信息丢失等。计算机病毒具有典型的潜伏性、传染性、隐蔽性和破环性,目前,计算机病毒种类主要有以下四种:第一,木马病毒。该类病毒的主要目的是窃取计算机上的数据信息,具有典型的诱骗性;第二,蠕虫病毒。熊猫烧香是该类病毒的典型代表,以用户计算机上出现的漏洞为切入点,综合使用攻击计算机终端的方式控制计算机系统,该病毒具有较强的传播性和变异性;第三,脚本病毒。该病毒主要发生在互联网网页位置;第四,间谍病毒。要想提升某网页的访问量,强制要求计算机用户主页预期链接。伴随着科技的发展,计算机网络应用范围不断扩大,各种类型病毒的破坏性也随之增加。
1.3黑客
通过网络攻击计算机目前,我国仍存在着大量非法人员对计算机系统进行攻击等行为,这类人员大都掌握着扎实的计算机和计算机安全漏洞技术,对计算机用户终端与网络做出强有力的破坏行为是他们的主要目的。黑客攻击计算机网络的主要形式有三种:第一,利用虚假的信息攻击网络;第二,利用木马或者病毒程序对计算机用户的电脑进行控制;第三,结合计算机用户浏览网页的脚本漏洞对其进行攻击。
2计算机网络安全技术在企业网中的应用
2.1防火墙技术
防护墙技术是计算机网络安全技术在企业网中应用的主要表现形式之一。防火墙技术的应用能够从根本上解决计算机病毒安全问题,在实际应用过程中,计算机网络安全中心的防火墙技术被分为应用级防火墙和包过滤防火墙两种形式。其中应用型防护墙的主要目的是保护服务器的安全,在扫描终端服务器的数据后,如果发现有意或者不合常理等攻击行为,系统应该及时切断服务器与内网服务器之间的交流,采用终端病毒传播的方式保护企业网的安全。包过滤防火墙的主要工作任务是及时过滤路由器传输给计算机的数据信息,这种过滤手段可以阻挡病毒信息入侵计算机系统,并第一时间内通知用户拦截病毒信息,为提高企业网的安全性提供技术保障。下图1是企业网防护墙配置示意图。Intranet周边网络InternetInternet防火墙周边防火墙内部网络服外部网络务器服务器图1防火墙配置
2.2数据加密技术
数据加密技术是计算机网络安全技术在企业网中应用的另一种表现形式。在企业发展建设过程中,要想提高企业发展信息的安全性和可靠性,企业必须在实际运行的计算机网络中综合使用数据加密技术。数据加密技术要求将企业网内的相关数据进行加密处理,在传输和接收数据信息的过程中必须输入正确的密码才能打开相关文件,这为提高企业信息的安全性提供了技术保障。加密算法的常用形式有对称加密算法和非对称加密算法两种,其中对称加密算法中使用的加密和加密信息保持一致,非对称加密算法中加密方法和解密方法存在较大的差异,通常很难被黑客破解,这两种加密形式在企业网中均得到了广泛应用。
2.3病毒查杀技术
病毒查杀技术是计算机网络安全技术在企业网中应用的表现形式之一。病毒对计算机安全有极大的威胁,该技术要求企业技术对计算机操作系统进行检测和更新,减少系统出现漏洞的频率;杜绝用户在不经允许的情况下私自下载不正规的软件;安装正版病毒查杀软件的过程中还应该及时清理病毒数据库;控制用户浏览不文明的网页;在下载不明邮件或者软件后立即对不良文件进行病毒查杀处理,确定文件的安全性后才能投入使用。
2.4入侵检测技术
入侵检测技术在企业网安全运行中发挥着至关重要的作用,其作用主要表现在以下几方面:第一,收集计算机操作系统、网络数据及相关应用程序中存在的信息数据;第二,找寻计算机系统中可能存在的侵害行为;第三,自动发出病毒侵害报警信号;第四,切断入侵途径;第五,拦截入侵。入侵检测技术在企业网中的应用具有较强的安全性特征,该技术的主要任务是负责监视企业网络运行状况,对网络的正常运行不会产生任何影响。入侵检测技术使用的网络系统以基于主机系统和基于网络的入侵系统为主。基于主机系统的入侵检测技术主要针对企业网的主机系统、历史审计数据和用户的系统日志等,该检测技术具有极高的准确性,但是,实际检测过程中很容易引发各种问题,如数据失真和检测漏洞等;基于网络入侵检测技术以其自身存在的特点为依据,以网络收集的相关数据信息为手段,在第一时间将入侵分析模块里做出的测定结果发送给网络管理人,该技术具有较强的抗攻击能力、能在短时间内做出有效的检测,但是,由于该技术能对网络数据包的变化状况进行监控,在实际过程中会给加密技术带来一定程度影响。入侵检测技术在企业网的应用过程中通常表现为误用检测和异常检测两种形式。误用检测通常以已经确定的入侵模式为主,在实际检测过程中,该检测方法具有响应速度快和误警率低等特点,但是,该检测技术需要较长的检测时间为支撑,实际耗费的工作量比较大。异常检测的主要对象是计算机资源中用户和系统非正常行为和正常行为情况,该检测法误警率较高,在实际检测过程中必须对整个计算机系统进行全盘扫描,因此,必须有大量的检测时间作支撑。
(1)从使用网络的人来看,网络使用者的安全防范意识不尽相同,有的人非常重视网络安全,有的人甚至不知道什么是网络安全,网络安全意识薄弱。
(2)从黑客的角度来分析,黑客对于网络安全的威胁是目前最大的。黑客通常是利用技术将带有病毒的游戏、网页、多媒体等放入软件终端,电脑使用者不留意就会点开这些资源,黑客就会监控电脑的一切活动,会偷取计算机上的用户名、账户、密码等个人隐私数据,或者占用系统资源,严重的情况下会导致系统崩溃,企业相关的资料都会消失,损害企业的经济、财产,并为网络安全带来威胁。
1.2客观因素
石油企业应用网络办公都已经形成了企业独立的网络系统,但还是受到网络安全的威胁,主要是由于影响石油企业网络安全的自然原因主要是操作系统和软件的漏洞。随着科技的发展,网络操作系统和应用软件总在不断地更新,而且其更新比较慢,这就为黑客的入侵提供了缝隙。
2、石油企业网络安全的防护技术措施
随着石油企业网络安全问题的频繁出现,网络使用者必须重视网络安全问题,必须对网络安全采取有效的防护技术和措施,为企业提供安全的网络管理平台。
2.1石油企业建立健全企业规章制度
为了确保企业网络安全,必须建立完善的安全系统,了解网络安全的重要性。对于网络安全事故的发生,应采取处罚制度,并进行记录,一旦出现重大网络安全事故,可以做到有证据可依。
2.2石油企业应对网络数据采取加密技术
石油企业内一些重要的文件必须对其进行加密后再放到外部网络中,并结合防火墙技术,才能进一步提高石油企业网络信息系统内部数据的保密性和安全性,防止数据被非法人员偷盗,损害企业的利益。
2.3石油企业应加强员工网络安全知识的培训
员工作为石油企业网络的使用者,梳理员工网络安全意识变得尤为重要,只有让员工认识到网络安全的危害和意义才能从根本上防止主观因素网络安全问题的发生。石油企业应加强对员工网络安全信息的培训工作,提高员工的网络安全意识,保证企业网络安全的使用。
2.4石油企业应加强系统平台与漏洞的处理
网络管理员可以利用系统漏洞的扫描技术来提前获取网络应用过程中的漏洞,并通过漏洞处理技术快速恢复系统漏洞。
3、关于石油企业网络安全中其它防护技术
在石油企业网络安全防护技术方案中,还应该应用以下几个防护技术:访问控制技术、入侵行为检测技术、异常流量分析与处理技术、终端安全防护与管理技术、身份认证与管理技术。
3.1访问控制技术
企业可以根据企业本身的安全需求、安全级别的不同,在网络的交界处和内部划分出不同的区域,在这些区域中安装防火墙设备进行访问控制。通过防火墙设备对数据包进行过滤、对于有问题的数据进行分析,防止外部未被授权的用户入侵企业网络。单向数据输出的安全区域,防火墙设备应对外区域的访问请求进行阻止;对于需要进行双向数据交互的区域,必须按照制源地址、目的地址、服务、协议、端口内容进行精确的匹配,避免网络安全问题的出现。
3.2入侵行为检测技术
入侵检测就是在石油企业网络的关键位置安装检测软件,对入侵行为进行检测与分析。入侵检测技术可以对整个企业网络进行检测,对产生警告的信息进行记录并处理。
3.3异常流量分析与处理技术
为了保障供应服务的稳定性,避免拒绝服务攻击行为导致业务系统可用性的丧失,需要通过深度包检测。当发现网络流量有问题时,就会将恶意数据删除,保留原有的正常数据,这样就保证了有权限的用户进行正常访问。
3.4终端安全防护与管理技术
企业整体信息安全水平取决于安全防护最薄弱的环节。在石油企业中,企业比较重视网络及应用系统的保护,忽视了对终端计算机的全面防护与管理措施的保护。这些就需要企业利用安全防护管理技术在内部终端计算机进行统一安全防护和安全管理,保证信息的安全。
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
关键词:无线;网络安全;解决策略
伴随着无线网络设备的价格不断走低,以及操作上的越来越简便,无线局域网网络在最近几年企业中得到了快速普及。为了方便进行资源共享、无线打印、移动办公操作,只要耗费几百元钱购买一台普通的无线路由器和一块无线网卡设备,就可以快速地搭建好一个简易的无线局域网网络了。在这种情形下由于无线网络的特点,使本地无线局域网就非常容易遭遇插入攻击、欺诈性接入、无线通信的劫持和监视等非法攻击。
1无线网络安全产生因素
1.1安全机制不太健全
企业无线局域网大部分都采用了安全防范性能一般的WEP协议,来对无线上网信号进行加密传输,而没有选用安全性能较高的WAP协议来保护无线信号的传输。普通上网用户即使采用了WEP加密协议、进行了WEP密钥设置,非法攻击者仍然能通过一些专业的攻击工具轻松破解加密信号,从而非常容易地截取客户上网地址、网络标识名称、无线频道信息、WEP密钥内容等信息,有了这些信息在手,非法攻击者就能方便地对本地无线局域网网络进行偷窃隐私或其他非法入侵操作了。
此外,企业无线局域网几乎都不支持系统日志管理、入侵安全检测等功能,可以这么说企业无线局域网目前的安全机制还不太健全。
1.2无法进行物理隔离
企业无线局域网从组建成功的那一刻,就直接暴露在外界,无线网络访问也无法进行任何有效的物理隔离,各种有意的、无意的非法攻击随时存在,那么无线局域网中的各种隐私信息也会随时被偷偷窃取、访问。
1.3用户安全意识不够
企业无线局域网往往只支持简单的地址绑定、地址过滤以及加密传输功能,这些基本安全功能在非法攻击者面前几乎没有多大防范作用。不过,一些不太熟悉无线网络知识的用户为了能够快速地实现移动办公、资源共享等目的,往往会毫不犹豫地选用组网成本低廉、管理维护操作简便的企业无线局域网,至于无线局域网的安全性能究竟如何,相信这些初级上网用户几乎不会进行任何考虑。再加上这些不太熟悉无线网络知识的初级用户,对网络安全知识了解得更少了,这些用户在使用无线网络的过程中很少有意识去进行一些安全设置操作。
1.4抗外界干扰能力差
无线局域网在工作的过程中,往往会选用一个特定的工作频段,在相同的工作频段内无线网络过多时,信号覆盖范围会互相重叠,这样会严重影响有效信号的强弱,最终可能会影响无线局域网的信号传输稳定性;此外,无线上网信号在传输过程中,特别容易受到墙体之类的建筑物的阻挡或干扰,这样也会对无线局域网的稳定性造成一定的影响。对于那些企业的无线局域网来说,它的抗外界干扰能力就更差了,显然这样的无线局域网是无法满足高质量网络访问应用要求的。
2企业无线解决策略。
无线网络的安全性与有线网络相差无几。在许多办公室中,入侵者可以轻易地访问并挂在有线网络上,并不会产生什么问题。远程攻击者可以通过后门获得对网络的访问权。一般的方案可能是一个端到端的加密,并对所有的资源采用独立的身份验证,这种资源不对公众开放。正因为无线网络为攻击者提供了许多进入并危害企业网络的机会,所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性。
防火墙:所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。一个强健的防火墙可以有效地阻止入侵者通过无线设备进入企业网络的企业。
安全标准:最早的安全标准WEP已经被证明是极端不安全的,并易于受到安全攻击。而更新的规范,如WPA、WPA2及IEEE802.11是更加强健的安全工具。IEEE802.11和RADIUS鉴权通过使用IEEE802.11标准中规定的MAC层方法或使用RADIUS等高层方法可对与无线网络相关的终端站进行鉴权。IEEE802.11标准支持MAC层鉴权业务的两个子层:开放系统和共享密钥。开放系统鉴权是设定鉴权服务,是终端站间彼此通信或终端站与接入点间通信的理想选择。802.11共享密钥鉴权容易受到攻击,且不符合Wi-Fi标准。
WPA、WPA2及IEEE802.11i持内置的高级加密和身份验证技术。WPA2和802.11都提供了对AES(高级加密标准)的支持,这项规范已为许多政府机构所采用。采用无线网络的企业应当充分利用这两种技术中的某一种。
漏洞扫描:许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息,如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞,如可以找出一些不安全的接入点等。
基于网络的漏洞扫描。基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中TCP/IP不同端口的服务,然后将这些相关信息与系统的漏洞库进行模式匹配,如果特征匹配成功,则认为安全漏洞存在;或者通过模拟黑客的攻击手法对目标主机进行攻击,如果模拟攻击成功,则认为安全漏洞存在。
基于主机的漏洞。主机漏洞扫描则通过在主机本地的程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描,搜集他们的信息,然后与系统的漏洞库进行比较,如果满足匹配条件,则认为安全漏洞存在。比如,利用低版本的DNSBind漏洞,攻击者能够获取root权限,侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具,能够监测到这些低版本的DNSBind是否在运行。一般来说,基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。
降低功率:使无线接入点保持封闭安全的第一步是正确放置天线,从而限制能够到达天线有效范围的信号量。天线的理想位置是目标覆盖区域的中心,并使泄露到墙外的信号尽可能的少。同时,仔细地调整天线的位置也可有助于防止信号落于非法用户手中。不过,完全控制无线信号是几乎不可能的,所以还需要同时采取其它一些措施来保证网络安全。其中降低发射器的功率,从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。
用户管理:企业要教育雇员正确使用无线设备,要求雇员报告其检测到或发现的任何不正常或可疑的活动。“科技以人为本”要加强所有雇员的安全防范意识,才能使企业无线网络安全防护真正实施。
当然,不能说这些保护方法是全面而深入的,因为无线网络的弱点是动态的,还有很多,如对无线路由器的安全配置也是一个很重要的方面。所以无线网络安全并不是一蹴而就的事情。
结束语:管理制度要与时俱进,而无线网络安全技术也是如此,为了企业能够更好的使用无线网络,享受新无线标准带来的高信号覆盖,高速度传输等方面的乐趣,企业网络管理员也应该实实在在的学会针对无线网络的安全管理,让企业网络特别是无线传输更加安全,将病毒与黑客入侵阻挡在无线信号大门之外。
参考文献
[1]《无线网络技术导论》作者:汪涛主编出版社:清华大学出版社
人为防护意识网络入侵的目的是为了取得访问的权限和储存、读写的权限,以便其随意的读取修改计算机内的信息,并恶意地破坏整个系统,使其丧失服务的能力。而有一些程序被恶意捆绑了流氓软件,当程序启动时,与其捆绑的软件也会被启动,与此同时,许多安全缺口被捆绑软件所打开,这也大大降低了入侵网络的难度。除非用户能够禁止该程序的运行或者将相关软件进行正确配置,否则安全问题永远也解决不了。
应用系统与软件的漏洞网络服务器和浏览器的编程原理都是应用了CGI程序,很多人在对CGI程序进行编程时只是对其进行适当的修改,并没有彻底的修改,因此这也造成了一个问题,CGI程序的安全漏洞方面都大同小异,因此,每个操作系统以及网络软件都不可能十全十美的出现,其网络安全仍然不能得到完全解决,一旦与网络进行连接,就有可能会受到来自各方面的攻击。
后门与木马程序后门是指软件在出厂时为了以后修改方便而设置的一个非授权的访问口令。后门的存在也使得计算机系统的潜在威胁大大增加。木马程序也属于一种特殊的后门程序,它受控于黑客,黑客可以对其进行远程控制,一但木马程序感染了电脑,黑客就可以利用木马程序来控制电脑,并从电脑中窃取黑客想要的信息。
安全配置的正确设置一些软件需要人为进行调试配置,而如果一些软件的配置不正确,那么其存在可以说形同虚设。有很多站点在防火墙的配置上将访问权限设置的过大,其中可能存在的隐患会被一些恶意分子所滥用。而黑客正是其中的一员,他们通常是程序设计人员,因此他们对于程序的编程和操作都十分了解,一旦有一丝安全漏洞出现,黑客便能够侵入其中,并对电脑造成严重的危害,可以说黑客的危害比电脑病毒的危害要大得多。
常用的网络安全技术
1杀毒软件杀毒软件是我们最常用的软件,全世界几乎每台电脑都装有杀毒软件,利用杀毒软件来对网络进行安全保护是最为普通常见的技术方案,它的安装简单、功能便捷使得其普遍被人们所使用,但杀毒软件顾名思义是用来杀毒的,功能方面比较局限,一旦有商务方面的需要其功能就不能满足商务需求了,但随着网络的发展,杀毒技术也不断地提升,主流的杀毒软件对于黑客程序和木马的防护有着很好的保护作用。
2防火墙防火墙是与网络连接间进行一种预定义的安全策略,对于内外网通信施行访问控制的一种安全防护措施。防火墙从防护措施上来说可以分成两种,一种是软件防火墙,软件防火墙是利用软件来在内部形成一个防火墙,价格较为低廉,其功能比较少,仅仅是依靠自定的规则来限制非法用户进行访问;第二种是硬件防火墙,硬件防火墙通过硬件和软件的结合来讲内外部网络进行隔离,其效果较好,但价格较高,难以普及。但防火墙并没有想象中的那样难以破解,拥有先进的技术仍然能够破解或者绕过防火墙对内部数据进行访问,因此想要保证网络信息安全还必须采取其他的措施来避免信息被窃取或篡改,如:数据加密、入侵检测和安全扫描等等措施。值得一提的是防火墙只能够防护住来自外部的侵袭,而内部网络的安全则无法保护,因此想要对电力企业内部网络安全进行保护还需要对内部网络的控制和保护来实现。
3数据加密数据加密技术可以与防火墙相互配合,它的出现意味着信息系统的保密性和安全性进一步得到提高,秘密数据被盗窃,侦听和破坏的可能性大大降低。
数据加密技术还衍生出文件加密和数字签名技术。这两种技术可以分为四种不同的作用,为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。数据传输加密主要针对数据在传输中的加密作用,主要可以分成线路加密和端口加密这两种基本方法;数据储存加密技术是在数据储存时对其进行加密行为,使数据在储存时不被窃取;数据完整性判别技术是在数据的传输、存取时所表现出来的一切行为的验证,是否达到保密要求,通过对比所输入的特征值是否与预先设定好的参数相符来实现数据的安全防护;数据加密在外所表现出来的应用主要为密钥,密钥管理技术是为了保证数据的使用效率。
数据加密技术是将在网络中传输的数据进行加密从而保证其在网络传输中的安全性,能够在一定程度上防止机密信息的泄漏。同时,数据加密技术所应用的地方很广泛,有信息鉴别、数字签名和文件加密等技术,它能够有效的阻止任何对信息安全能够造成危害的行为。
4入侵检测技术网络入侵检测技术是一种对网络进行实时监控的技术,它能够通过软、硬件来对网络中的数据进行实时地检测,并将之与入侵数据库进行比较,一旦其被判定为入侵行为,它能够立即根据用户所设定的参数来进行防护,如切断网络连接、过滤入侵数据包等等。因此,我们可以将入侵检测技术当做是防火墙的坚强后盾,它能够在不影响网络性能的情况下对齐进行监听,并对网络提供实时保护,使得网络的安全性能大大提升。
5网络安全扫描技术网络安全扫描技术是检测网络安全脆弱性的一项安全技术,它通过对网络的扫描能够及时的将网络中的安全漏洞反映给网络管理员,并客观的评估网络风险。利用网络完全扫描技术能够对局域网、互联网、操作系统以及安全漏洞等进行服务,并且可以检测出操作系统中存在的安全漏洞,同时还能够检测出计算机中是否被安装了窃听程序,以及防火墙可能存在的安全漏洞。
单利企业网络安全解决方案
1物理隔离物理隔离指的是从物理上将网络上的潜在威胁隔离掉。其主要表现为没有连接、没有包转发等等。
2网络系统安全解决方案网络服务器的操作系统是一个比较重要的部分,网络操作系统最重视的性能是稳定性和安全性。而网络操作系统管理着计算机软硬件资源,其充当着计算机与用户间的桥梁作用。因此,我们一般可以采用以下设置来对网络系统安全进行保障:①将不必要的服务关闭。②为之制定一个严格的账户系统。③将账户权限科学分配,不能滥放权利。④对网络系统进行严谨科学的安全配置。
3入侵检测方案目前,电力企业网络防护体系中,仅仅是配置了传统的防火墙进行防护。但由于传统防火墙的功能并不强大,再加上操作系统中可能存在的安全漏洞,这两点为网络信息安全带来了很大的风险。根据对电力企业的详细网络应用分析,电力企业对外应用的服务器应当受到重点关注。并在这个区域置放入侵检测系统,这样可以与防火墙形成交叉防护,相得益彰。
在网络架构技术层面,由于不同网络节点之间的转换方式不同,大多需要在IETF协议中构建,相对于管理逻辑区域的划分,可以通过组策略的形式进行内部联系,并对应用技术范围进行阐释,再进行转化后删除无关命令。网络构建的重要模式需要基于逻辑思维角度,由于设备视点中的不同网络之间的联系具有不完全性,因此需要通过服务器平台的控制对网络管理策略进行优化。目前对于网络策略管理的方法较多,较为常用的如对策略进行系统划分、网络设备平台的连接与管理,以及网络构建的基本独立性开发等,以便对网络内容区域进行修正。
1.2网络策略的应用
商务网络应用与商务办公网络的基本表达形式相对固定,其网络构建以自然语言作为区分要点,而自然语言所包含的网络子集范围较为广泛,可以根据用户的不同需求定制网络协议功能,从而实现商务办公的基本要求。而部分商务网络在实现其工作职能的本身,也需要对视点目标进行判断和分析,从而以自然语言的方式对目标进行重新构建。商务网络视点环境中,需要对视点策略进行二次解析,从而分析出视点策略的真实性。由于网络视点策略在正常使用过程中,需要通过数据库支持才能获取信息,因此可以通过数据库传输的组建对视点网络策略进行策略优化,从而实现多方法运行与智能化学习的过程。视点网络构建模式具有相对独立性,通常是采用一套规则的语言组合,对访问者以及管理者的不同指令进行识别,从而进行信息交互,对网络基本运行状态造成影响,并弱化网络策略发生异常的几率。目前常用的方法是通过软件来解析端口异常情况,在设备独立运行的过程中具体实现网络视点的基本操作方式。设备视点的建立需要通过网络协议与通信规则进行调控,在设备运行期间,设备输出语言对不同的网络协议许可进行解析,并根据不同的解析原理对管理策略进行调整,但需要注意的是要保证网络控制端命令的准确性和唯一性。在不同设备的联网使用过程中,由于系统参数与配置等差异,协议许可也就产生变化,从而需要不同的命令控制。对于视点网络的自动化运行,需要把握好相关控制命令,并根据网络协议区分命令控制策略,最终将网络策略应用于各类设备控制当中。
2事业单位网络舆情当下管理机制隐藏的问题
2.1管理观念较为陈旧
当前,大多数事业单位对社会舆情信息的分析还保持着传统的工作模式中,大多都是事情出来以后,再以救火的方式进行处理,只重视危机发生后的处理,而对危机发生前的信息收集以及分析等管理工作十分落后,在危机预警方面非常滞后。
2.2事业单位舆情管理部门缺少合作
事业单位中,大多数都与相关部门密切联系,比如:网络中心、业务办理中心等,多头管理问题较为突出。基本上每一个部门就有一个属于自己的舆情管理小组,在发生了紧急舆情时,各部门之情缺少有效的合作,在工作中缺少相关的配合以及信息共享,没有形成合理高效的工作联动机制开展管理工作。2.3事业单位中舆情管理体系尚不完善从一些典型的实例来看,目前只有少数的事业单位建立了将为健全的舆情管理体系。因为管理体系尚不健全,所以,一旦有责任人出现了管理问题,也无法及时进行惩处,而且很少有人会主动承担责任,大多数是相互推诿,严重的甚至隐瞒具有的实情。
3完善事业单位网络信息安全管理机制的措施
3.1做好网络共享和恶意代码之间的控制
网络资源实行共享,方便了不同单位、不同部门、不同用户对资源的需求,但是,也存在着一定的不安全性,恶意代码可以充分利用网络环境扩散以及信息共享条件等漏洞,威胁了网络信息的安全,影响是不容忽视的。如果对恶意信息交换不做好管控,将非常容易造成网络QoS降低,严重的会造成系统瘫痪,导致系统不能正常工作。
3.2安全规范和信息化建设操作不协调
在网络安全建设中,并没有统一的操作,基本是哪里有漏洞就补哪里的形式,这样严重的阻碍了信息安全共享,同时也留下了许多安全隐患。
3.3控制好进口产品和安全自主控制
当前,国内的信息化技术并不高,造成出多的信息化技术需要依靠从国外进口,不管是软件还是硬件,都或多或少的受到了一些限制。在关键技术都从国外进口的背景下,如果出现安全问题后果是无法想象的。
3.4IT产品大规模攻击与单一性问题
在信息系统中,不管是软件还是硬件,都具有单一性,比如:同一个版本的操作软件、同一个版本的操作系统,在这种情况下,攻击者通过软件编程,能让攻击自动化完成,进而危及大片网络安全,这样就导致了“零日”攻击,出现了计算机病毒等大型安全事件。
3.5网络安全管理要素需要根据当前IT产品的不足与缺陷进行分析,目前网络信息系统中,对于IT产品的应用较为广泛
主要有:通信信息系统、数据处理系统、操作平台等。但由于不同软件与系统之间,需要共同的协议构架来形成有机的整体,因此需要把握系统与设备之间的互异性。目前生产厂家开发的IT产品种类繁多,数据安全协议也五花八门,信息安全共享协议在一定区域内执行共同协议规范,但跨区域协议之间存在一定的交流障碍,使得网络安全信息系统无法形成统一的构建,从而无法形成统一的管理模式,因而使得网络安全事故频发。
2工业无线网络安全隐患
虽然Wi-Fi具有传输速度高、覆盖范围广、建设成本低、辐射更小等特点,但其本身在安全性方面存在缺陷,故采用Wi-Fi技术的工业无线网络也面临着不少安全威胁。
2.1容易被入侵
工业无线网络的无线信号是广播的状态,即在特定范围内的用户都可以发现Wi-Fi信号的存在,任何恶意的入侵者都可以通过无线设备和破解工具对侦测AP并对无线网络发起攻击。Wi-Fi在对网络访问的验证和数据传输方面也采用了加密方式,如WEP、WPA和WPA2协议等,但是入侵者仍然可以通过破解WEP/WPA/WPA2协议来入侵Wi-Fi网络,一些无线网络分析仪可以轻松破解Wi-Fi网络的认证密码,一些有目的的入侵者除了通过技术破解方式非法接入工业无线网络之外,还有可能利用社会工程学的入侵手段进行接入,如入侵者向合法用户套近乎或采取有偿的方式获得接入用户名和密码也能达到目的。
2.2有限带宽容易被恶意攻击占用和地址欺骗
入侵者在接入Wi-Fi网络后发送大量的ping流量,或者向无线AP发送大量的服务请求,无线AP的消息均由入侵者接收,而真正的移动节点却被拒绝服务,严重的可能会造成网络瘫痪;入侵者同时发送广播流量,就会同时阻塞多个AP;攻击者在与无线网络相同的无线信道内发送信号,而被攻击的网络就会通过CSMA/CA机制进行自动使用,这样同样会影响无线网络的传输;恶意传输或下载较大的数据文件也会产生很大的网络流量。这种情况在无线城区应用中较少见,入侵者恶意堵塞网络,极有可能是要故意破坏生产环境,造成一定的损失。在工业生产中可用性应该是第一位的,对工业网络安全来说,保证网络的可用性也是第一位的。所以这种威胁对工业无线网络来说威胁是比较大的。
2.3数据在传输的过程中很容易被截取
通过监听无线通信,入侵者可从中还原出一些敏感信息;当工业无线网络传输数据被截取后,入侵者甚至可能伪造某些指令给工业生产造成损失。
2.4伪造AP入侵者
可以自己购买AP并将AP的ID设置为正规的AP的SSID来欺骗用户接入并窃取敏感资料。这种危害主要是使新接入用户会误接入到伪造AP中,无法正常工作。
2.5高级入侵
只要是入侵者采用合法或者非法手段接入无线城区,他就可以以此作为入侵其它系统的跳板,采用黑客手段攻击其它系统或网络,而他的行踪则很难被追寻;或者通过劫持身份验证会话、伪造认证服务器及验证回复等步骤,攻击者不但能够获取无线账户及密码,遭遇到更深层面的欺诈等。
一、前言
近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。
从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。
二、电子商务网站的安全控制
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。
(一)系统安全
在电子商务中,网络安全一般包括以下两个方面:
1.信息保密的安全
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的安全
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:
网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。
系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIAPC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
(二)数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。
数据库安全——大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的安全
网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。
交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准。
交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。
交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。
PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(CertificationAuthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。
三、目前信息安全的研究方向
从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。
目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
四、结束语
电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。
参考文献:
[1]佚名.解析电子商务安全[EB/OL]./it386/dnwl/,2006-07-25.
[2]佚名.网络构建与维护[EB/OL].chinaec-/second/network.php,2006-07-16.
2事业单位信息化网络安全实现的有效措施与方案
2.1增强安全意识,完善安全管理制度
管理人员是信息化网络安全中重要的一环,事业单位工作人员要能够提高自身安全意识,并完善安全管理的制度。很多信息化安全事件的事后分析表明,很多安全事件的发生原因并不是入侵者的破坏能力强大,而是许多工作人员自身没有对安全隐患很好的注重,不能及时地做好基本的安全防范管理措施。因此,培养工作人员养成良好的操作习惯、加强工作人员的安全意识,对事业单位信息化网络安全实现具有重大意义。完善安全的管理制度需要事业单位建立相对应的安全组织管理,加强员工的安全意识,规划设计安全措施,制定有效的管理制度,并严格地实施。信息化网络处于一个不断改进、不断变化的状态,这就要求安全管理制度也能够做到网络信息化同步发展。
2.2网络系统安装防火墙
在网络系统中安装防火墙能够有效地做到使网络系统的访问受限,保护网络系统,为网络系统创建出一个安全的环境。
2.3做好网络系统漏洞补丁管理工作
网络系统的运行过程中,要求操作者定期对操作系统进行日常的补丁管理工作,以及计算机的软件程序的补丁管理工作,让网络系统能够在内部、外部系统中都处于安全的环境下。
2.4做好重要文件数据加密工作
做好重要文件的数据加密工作,能够有效地防止信息外泄,保证信息的机密性。数据加密技术分为对称和非对称两种体系。对称性密钥的安全性能高、速度快、运算量小,使用者双方公用一个密钥(加密和解密共用同一个钥匙),任何一方都能解密,双方都不外泄就能保证信息的机密性;非对称密钥分为公钥和明钥,公钥用于加密,明钥用于加密。重要文件如果用数据加密技术隐蔽起来,哪怕第三方窃取到也不能解密,从而保证重要文件的安全性。
中小企业众多是我国现阶段发展的主要特点,它们的外贸出口已占70%。对于我国的中小企业来说,网上营销恰恰可以实现用最小的代价把自己推销出去。中小企业热衷网上营销的根本原因是可以突破大企业在行业里的竞争门槛。
Amazon网上书店作为网上做生意的鼻祖开创了一个新时代,公司成立于1995年,从事网上销售只有短短的10年时间,而著名的Barnes & Noble集团是有着80多年的,员工数万,并在全美各地拥有上千家豪华、巨大连锁分店(而且遍布美国各大城市繁华商业区)的图书连锁零售业巨头。在传统的图书零售,Barnes & Noble集团有着极好的品牌知名度、信誉、市场占有率,以及传统销售渠道等各种市场资源要素。但是截止1998年,根据美国商业周刊的,Amazon的股票市值为Barnes & Noble集团的8倍,彻底改变了传统的大鱼吃小鱼的游戏规则,此是中小企业利用网上营销的典范。从实物市场到虚拟市场的转变,使得具有雄厚资金实力的大企业既不再是惟一的优胜者,也不是惟一的威胁者,在网上营销条件下,所有企业都站在同一起跑点,这就使小企业网上营销成为可能。
传统营销学理论基础是厂商理论,即企业利润最大化。在整个20世纪80年代与90年代,企业的营销更多地运用“4P”策略,后来在此组合基础上新增了“权力(Power)与关系(Public-relation)”形成6P营销策略组合。最近有人提出“4V”营销组合,即“差异化(Variation)”、“功能化(Versatility)”、“附加价值(Value)”、“共鸣(Vibration)”的营销组合理论。它强调的是顾客需求的差异性,和企业提品功能的多样性,以使企业和顾客达到共鸣。以舒尔兹教授为首的一批营销学者从顾客需求的角度出发研究市场营销理论,结合网上虚拟市场特点,提出了真正以“消费者效应”为核心的网上营销4C组合。现代营销学之父菲利浦·科特勒在《市场营销的发展趋势》一文中指出了以生产为中心四要素组合4P与4C有着一对一关系:Product(产品)—Custom(顾客的需求与期望);Price(价格)--Cost(顾客的费用);Place(分销)--convenience(顾客购买的便利性);Promotion(促销)—Communication(企业与顾客的沟通)。
以上策略的转变极好地反映出网上营销的本质,即更加顾客导向,更加个性化和差异化,更重视与客户的互动与沟通。
中小企业要成功地开展网上营销活动,除了熟悉上述网上营销基本特征外,还必须充分认识到网上营销的安全和风险问题。特别是对中小企业来说,投入到安全方面的资金和不足,在制定企业网上营销策略时,要有安全意识,将安全问题与营销策略一并考虑,以最低保障网上营销顺利开展。
一、网上营销信任机制构建问题
B2B网上营销营业额占整个网上营销营业额已达到80%以上,而B2C 网上营销营业额只占20%左右并且在各国总零售额中只占5%以下。因此,人们对B2C信任问题的讨论,要远远多于对B2B网上营销信任问题的讨论。对于B2C网上营销来说,企业网上营销信任结合中国的特色,制定相应网上营销信用策略。首先,我们必须不断加强网上营销法规的建设,包括签章、安全与加密系统、隐私保护、知识产权保护、审查制度等问题的法律解决方案,使消费者的在线权益和安全得到法律的保障;其次,我们必须加强政府与民营的认证机构(信任的第三方)的建设,建立对买卖双方的信用监控与保证体系;第三,我们必须加强网站内容的创新,为消费者多提供具有高价值和实用性强的内容;第四,根据中国国情建立起具有中国特色(类似日本7—11便利店的做法)的支付与配送的信任机制;最后,我们必须不断加强网上营销技术平台的建设,从技术上,杜绝任何在线犯罪的机会,防范消费者重要信息的泄露,给消费者一个安全感,不断建立在线消费者的信任。
二、网上营销工具安全问题
网上营销廉价高效的常见工具有:网络交易平台、E-mail、搜索引擎、BBS、博客等。运用最新的加密技术、身份认证和加密协议提高网络交易平台的技术安全。运用邮箱分类功能、邮件管理软件的过滤功能和减少使用ISP提供的信箱,以及专业垃圾邮件清除软件等技巧能够有效地防范垃圾邮件和邮件炸弹。
三、保护隐私问题
隐私权问题是21世纪网上营销中最突出的问题。隐私权概念最早是1890年美国家Sarnuel Warren和Louis Prandis提出的,被定义为“独处权”。S.Adler在《中的隐私问题》中将其定义为:一种不被打扰的权利,一种匿名的权利,一种不被监视和个人信息不被窥探的权利(Gattiker等人,1996年)。网上营销隐私可分为非法获取客户和消费者信息和非法泄露、使用消费者信息。由于网络的广泛性和快速性,隐私权问题尤为突出,保护客户和消费者隐私权是客房关系管理的重要部分,也是建立顾客忠诚度重要保证。
四、知识产权保护问题
企业网上营销面监的知识产权问题主要指数字化产权的侵权问题,具体包括版权和专利权两个部分:一是版权。数字化技术和互联网技术的发展,使复制和修改数字化产品、上传和下载带有知识产权的信息产品变得越来越方便、越来越快。一些利用互联网进行分销和促销的企业在营销过程中出现了许多侵犯所有者版权的行为,严重侵犯了版权所有者的合法权益。所以企业从事网上营销活动,既要保护好自己的数字化知识产权,也要尊重别人的劳动成果。二是专利权。与专利权相关的企业营销安全问题包括两个方面。一方面是企业的侵权行为。有些企业对包括软件在内的用以企业商业活动的营销渠道和方法的商业专利进行非法使用。另一方面企业过分强调对专利的保护,而损失了知识的共享权,忽视了企业的责任,不但阻碍了知识的传播和共享,还在一定程度上影响了社会的发展。
五、域名保护问题
六、交易平台信用评估问题
七、信息安全问题
电脑病毒和黑客的猖獗对企业和客户的信息安全造成了极大的威胁。某些企业为了达到一定的商业目的,利用电脑病毒或雇用电脑黑客攻击竞争对手的商业网站,或窃取对手的企业商业核心秘密和客户的资料,给对手造成极大的损失,甚至是致命的打击。企业在开展网上营销时,一定要做好技术和两方面的准备,保护企业信息安全,避免造成重大损失。
八、网上诈骗问题