时间:2023-06-08 15:53:26
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇网络安全笔记范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
中图分类号:TP393.09 文献标识码:C DOI:10.3969/j.issn.1672-8181.2013.16.052
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。 由于各种原因的存在,网络安全会受到不同方面的影响,如系统硬件、网络技术缺陷、设备和技术落后、黑客攻击、防护系统漏洞、网络安全意识缺乏、基础知识教育落后等等,所以我们要认清时时刻刻面临的问题,认清安全维护的必要性,从硬件、软件上加强网络系统安全的维护,确保大家能有一个公开、安全的网络环境。
1 简述网络系统安全
一般来说,网络安全由四个部分组成:
一是运行系统的安全,更侧重于硬件设施的安全,即保证操作系统、存储系统、传输线路等的安全,避免因硬件设施的老化、不稳定、漏洞等原因而导致网络系统的不安全,从最基础避免网络安全隐患的存在。
二是系统信息的安全,包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。
三是信息传播的安全,控制信息通过网络传播的途径和影响,例如信息过滤等,防止和控制不良有害信息的传播,保障正常信息顺畅流通。
四是信息内容的安全,注重信息的保密性、真实性和完整性,避免其他人利用系统的安全漏洞做出对合法用户的不利行为。
2 计算机网络系统安全的主要威胁
所谓网络系统安全,最重要的就是要保证通过网络渠道传播信息时,信息完好无误,不会被修改和破坏,并且确保其三大特征――完整性、可靠性和保密性。然而,随着网络时代的飞速发展,人们在享受网络带来的便利的同时,也深受各类病毒和技术的困扰,各种各样的问题已经在极大程度上威胁了计算机网络系统的安全。
由于种种原因,目前我国网络系统的安全维护方面还有很多问题,主要体现在:
2.1 网络安全意识淡薄
目前在我国,人们的网络安全意识普遍比较淡薄,对计算机网络没有常识性的认识,缺少必备的安全维护知识。许多网络用户或工作人员只看到上网后给工作和学习带来的种种好处,过于注重运用的体验,缺少安全维护的意识和措施,如此便造成了种种不良信息和病毒的入侵,容易导致安全问题的发生。
2.2 网络信息技术自身的不足
虽然信息技术高速发展,但仍有其不足和需要不断完善的地方,而这些不足往往就会成为信息传播时的不安全因素。例如现在网络系统中使用率最高的协议是TCP/IP协议,几乎90%的用户都会选择,但是TCP/IP协议组是默认建立在安全可信赖的环境中,对于现在网络的复杂性、不安全性并未做应有的考虑。诸如此类无法避免的问题,就会给用户在使用网络系统时造成一定的安全隐患,甚至造成不必要的安全事故。
2.3 网络硬件投入不足
网络技术高速发展的同时,各种信息技术和设备的更新换代也是越来越快,跟不上高速发展的步伐就会被远远甩在身后。而我们目前很多用户的技术和设备已经陈旧,无法满足使用的需要,更无法提供安全的硬件支持。为维护网络的安全运行,还需要完善技术和设备,尤其对于网络安全技术更应该投入专项资金。必须要避免因设备等原因而产生的问题。现在社会有很多的企业和事业单位,固定资产中关于计算机和网络维护方面极具缩水,甚至严重匮乏,所用设备甚至连基本的办公功能都无法满足,安全级别更是几近于零。所以,在此也倡导相关单位能重视起计算机和计算机网络安全的投入与维护,将安全落到实处。
3 如何加强网络系统安全的维护
现在社会飞速发展,工作和生活也越来越多地需要网络的支持,如果网络存在安全隐患,时时刻刻都要面对信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,任何一个问题的产生,都会带来无法弥补的损失。无数的案例摆在我们眼前,通过最简单的聊天工具就可以窃取对方电脑和网络中的机密文档。其原因:一是用户相关知识的不足,二是网络系统存在很多的漏洞,而这些损失往往是可以避免的。面对沉痛的教训,我们更应该防患于未然,做到预防为主,防治结合。
首先,我们应该用科学完善的管理机制来支撑网络安全维护这一系统工程,包括组织建设、制度建设和全员安全教育,小到个人用户,大到公司、政府和国家,都需要从点滴做起,建立好组织架构和相应机构,设立相关的规章制度,并且必须重视工作人员的安全教育,加强安全意识。
其次,还需要运用技术手段来确保网络系统的安全,针对不同的安全时期,制定不同的技术策略,如系统安全策略、安全管理策略和纵深防御策略等等,对操作系统、数据库、服务器等进行安全加固,避免因硬件设施带来的安全问题,加强安全系统如防火墙的建立和运用,将不良的入侵和攻击挡在系统之外。
4 小结
网络时代高速发展,体现出了现代技术的日益发展,然而,高速发展的同时也会产生诸多的问题等待人们去解决,而对于网络技术来讲,安全更是重中之重。本文就网络系统安全的维护这一命题,从基本概念、主要威胁和维护措施等方面,阐述了安全维护的必要性。相信随着网络的不断发展,技术的不断完善,人们安全意识和素养的不断提升,网络系统的安全会越来越有保障。
参考文献:
[1]周学广.信息安全学[M].北京机械工业出版社,2003.
[2]曹天杰等.计算机系统安全[M].北京高等教育出版社,2003.
[3]熊华,郭世泽.网络安全――取证与蜜罐[M].人民邮电出版社,2003.
随着网络的不断发展和开放,在便利快捷的同时也会面对着很多潜在的新危险与新挑战,网络中的安全问题已经达到了刻不容缓的地步。为了解决网络时代的网络安全这一问题,近些年来逐渐盛行起了防火墙技术。这门技术是网络安全中的一种独立元素,其安全性能将关联着每一个用户最切身也是最直接的个人利益。因此,就需要对防火墙技术进行仔细分析,并设计出对应的软件雏形以及数学模式,使用打分制来确定其在系统中所能达到的安全等级,在对其进行安全风险评估后,使其不仅能成为加强系统安全性能的科学依据,还具有对网络安全起到防范和防御的能力。
1网络安全的概念
网络安全的概念根据用户的不同理解而有着不尽相同的解释,但是从大多数的用户角度来看,他们都期望所涉及的商业利益和个人隐私等方面的信息能够得到完整而机密性的保护,防止被人使用冒充、窃听、篡改等非法手段侵犯到其利益与隐私,并且还希望能够同时避免被其他的用户非授权性的破坏及访问。若是从管理者的角度来看,就想要对自己的后台操作,本地的网络信息访问,以及其他工作性质的操作都能得到保护与控制,防止有病毒、资源的非法占用及非法控制,甚至黑客攻击等的情况出现。网络安全其实就是信息安全,只有信息的安全才能保障数据的完整性、保密性、可用性与合法的使用性。因此,网络安全的另一种解释就是网络系统的软件、硬件甚至系统里的所有数据都能受到保护,不至于因为偶然或蓄意的行为而受到泄露、破坏和更改,使系统可以正常而可靠的持续运行。由此可见,网络安全触及到的内容有技术方面的,也有管理方面的,两方面缺一不可,且相互补充。在技术方面就会偏重于防止外部用户的非法攻击,在管理方面则会偏重于内部的人为破坏因素。当前,怎样更好更有效的保护信息数据和增强网络系统的安全性,已然成为了必须解决的一个重要问题。
2网络安全的特点
1)保密性特点:该特点是不将信息泄露出去给非授权的用户。2)完整性特点:在数据没有授权的情况下,经过储存或者传输的过程中都要保持其不被丢失或修改,破坏。3)可用性特点:这是一种在被授权后,实体能够进行访问或按照需求进行使用的一种特性。4)可控性特点:控制信息或内容向外传播。5)可审查性特点:在发生安全问题时提供手段和依据。
3防火墙的概述
伴随着网络的不断普及和发展,网络中存在的漏洞也就无可避免地会被发现出来。也就出现了有些心怀恶意的攻击者利用它们来对特定的人、单位、企业,或整个网络进行攻击,向网络安全发起挑战,以至于造成严重的威胁。为了抵御外界这种恶意的攻击,许多安全技术也就应运而生,如:保护网络安全、防火墙、网络病毒检测等。其中,位于内外网络交界处的防火墙技术就成为了特别重要的一环。1)防火墙的含义防火墙是网络中内部网络和外界网络两者之间的一道防御系统,它可以通过让内部网络和Internet,或是与其他的外部网络之间相互进行隔离,再运用限制互访来达到保护内部网络的功能,当然这些处理上的操作根本就不会阻碍用户对某些风险区域的访问。防火墙技术是产生在内部和外界网络之间唯一一条安全通道,通过选择对它的配置,可以允许哪些内部的服务能够被外界所访问,以及外界的哪些人能够来访问其内部服务,以至于达到外部服务还可以让内部人员去访问等诸多权限。而新一代的防火墙还具有防止内部人员向外传输敏感数据的功能,并管理子网和子网之间,子网和外网之间的这种需要被限制的互访。若是将局域性的网络放在防火墙的后面,就需要对防火墙实施有效的配置,才能够使其发挥出防御外界攻击的保护功能。对于防火墙的认识,还可以简单的将其认为是一个限制器,或分析器和分离器,它能够有效的监视内部网络与Internet之间的所有活动,确保内部网络的安全性。因此,不管防火墙 只是一个特别简单的过滤器也好,还是一个精心设置的网关也罢,其保护性的原理始终不变。并且,它的技术主要是用在保护由多台计算机组成的一些大型的网络,因为这些地方是黑客们最感兴趣,也最觉得刺激的地方。毕竟要想架设防火墙,就一定会要投入相当多的资金来筹备大型的硬件和软件,而防火墙的特点是需要在一立的计算机上运行。2)防火墙的简史防火墙的技术从其产生到现如今已经过了二十年,可以分为五个阶段:简单包过滤的防火墙、链路层的防火墙、应用层的防火墙、动态包过滤的防火墙和自适应的防火墙。最近这两年,人们逐渐提出了智能防火墙的技术,也就是第六代的防火墙技术。这种智能防火墙从其技术到其特征都是运用统计和记忆,概率与决策等智能方法对数据加以识别,从而实现对访问进行控制的目的。这种新型的数学方法取代了匹配检查的海量计算,通过高效率的发现网络行为中的特征值,而直接对外界访问加以控制。正因为这些都是使用的人工智能的科学方法,才会被称之为智能防火墙。更聪明也更加智能的智能防火墙利用它的优势克服了传统防火墙那种一管就死一放就乱的缺点,并且还有效地解决了原来广泛存有的拒绝服务攻击方面的问题,以及病毒传播与高级应用入侵等弊端。这种新型的智能防火墙将原来设定为出口的概念变为了关口,所有要想经过关口的数据,都一定要被防火墙检查。另一方面,这种智能防火墙本身的安全性就要比传统防火墙高出很多,并且在很多方面都有着质的跃进,这种现象也就代表了防火墙技术在未来发展中的主流方向。3)防火墙的功能①过滤,是防火墙采用的一种防护措施,会对假冒的IP源地址或是所有的源路由的分组进行识别和过滤。②网络地址的转换,也是防火墙其中的一种功能。它会使用网络中的地址转换技术来对所有的内部地址进行转换,让外界网络没有办法了解到内部的网络结构,另一方面又会容许内部的网络使用自编的地址。③防火墙还具有对访问进行监控,以及对网络的存取进行记录的功能。当外界访问可疑时,防火墙就会适时发出报警,并且会提供一些网络被攻击或是监测等方面的详细信息以供参考。
4防火墙对网络安全起的作用
防火墙的作用就在于从各个端口来判断和识别出从外部的一些不安全网络发过来到内部的安全网络里的数据是不是有害的,经过判断之后,会将有害的数据进行拦截或丢弃,已完成初步对网络安全上的保障。同时,还会在网络与系统遭到危害或破坏之前,实行报警与响应等措施。在对网络安装了防火墙或调制了正确的配置之后,能够实现以下四种目的:1)自动过滤掉非法用户或不安全的一些服务,防止他人访问内部网络、2)限制用户访问一些特殊的站点。3)禁止入侵者靠近所设的防御设施。4)在监视Internet的安全,提供了便捷和方便。
5总结
防火墙是近些年来维护和保护网络安全的一种重要技术手段,会依据网络的信息保密程度来进行不同的多级保护模式与安全方面的策略。加大使用防火墙不仅经济,而且还能高效的保障网络的安全。如今已经有越来越多不同功能的防火墙技术产品被选择使用,诸如:电子邮件的防火墙、病毒防火墙以及Telnet防火墙等。可即便防火墙有着如此多的功能,但也不可能是万能的,也总有其缺点,所以还是需要与其他的安全措施配合来一起防御外部攻击,才能达到更强的保护功能。
作者:李胜军 单位:吉林省经济管理干部学院
参考文献:
[1]郑林:防火墙原理入门[Z].E企业,2000.
[2]杨璐:网络安全理论与技术[M].北京:人民邮电出版社,2003.
[3]刘青,张庆军:基于防火墙技术的计算机网络安全机制探析[J].硅谷,2015(3).
关键词 电子货币 网络银行 网络安全
从1998年招商银行开通网络银行服务后,全国性的商业银行纷纷开通了网络银行业务,网上支付和银行卡支付已经成为目前我国电子支付的主流。2009年全国的支付总量约为1130万亿,其中300万亿元通过各商业银行支付系统完成,127万亿元由银联银行卡系统进行,电子货币将成为未来货币发展的主要趋势,而网络银行也将成为今后电子货币交易的主要平台。
一、 电子货币与网络银行的概念和特点
(一) 电子货币的概念
电子货币(Electronic Money)是以金融电子化网络为基础,以商用电子化机具和各类交易卡为媒介,以电子计算机技术和通信技术为手段,以电子数据(二进制数据)形式存储在银行的计算机系统中,并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。
目前,我国流行的电子货币主要有四种类型:
(1)储值卡型电子货币
一般以磁卡或IC卡形式出现,其发行主体除了商业银行之外,还有电信部门、IC企业、商业零售企业、政府机关和学校等。
(2)信用卡应用型电子货币
指商业银行、信用卡公司等发行主体发行的贷记卡或准贷记卡,可在发行主体规定的信用额度内贷款消费,之后于规定时间还款。
(3)存款利用型电子货币
主要有借记卡、电子支票等,用于对银行存款以电子化方式支取现金、转帐结算、划拨资金等。
(4)现金模拟型电子货币
一种是基于Internet网络环境使用的、将代表货币价值的二进制数据保管在微机终端硬盘内的电子现金;一种是将货币价值保存在IC卡内并可脱离银行支付系统流通的电子钱包。
(二) 电子货币的特点
电子货币可以在互联网上或通过其他电子通信方式进行支付,没有物理形态,为持有者的金融信用。现阶段,电子货币与实体货币之间以1:1的比率兑换,具备价值尺度和流通手段的基本职能,还有价值保存、储藏手段、支付手段、世界货币等职能。
具体而言,电子货币具有以下特点:
(1)依托电子计算机进行储存、支付和流通
电子货币以二进制数据的形式存在,离不开电子计算机,电子货币的普及和计算机技术的发展,促进了网络银行的诞生。
(2)可广泛应用于生产、交换、分配和消费领域
电子货币虽然不具有实物形态,但仍然具备货币的基本职能,能够在社会生产的各个领域发挥支付和流通手段的职能。
(3)融储蓄、信贷和非现金结算等多种功能为一体
货币电子化使多功能一体化得以实现,也使传统银行业务的办理更加便捷。
(4)电子货币具有使用简便、安全、迅速、可靠的特征
随着网络安全技术的提高,在大额支付领域,电子货币比传统货币更加便捷和安全。
(5)以银行卡(磁卡、智能卡)为媒体
电子货币的无形化使其必须以银行卡等为载体,这也成为电子货币区别于传统货币的一大特点。
(三) 网络银行的概念
网络银行又称网上银行、在线银行,是指银行利用Internet技术,通过Internet向客户提供开户、销户、查询、对账、行内转账、跨行转账、信贷、网上证券、投资理财等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。
网络银行业务可以分为信息服务、中间服务和全面服务三种,目前,我国网络银行的服务种类已经涉及到了各个领域。虽然美国网络银行的业务量占银行业务量的比例已接近50%,而我国尚不足1%,但随着我国电子货币的普及和网络的发展,网络银行的发展前景极为广阔。
(四) 网络银行的特点
银行是金融系统中的重要机构,而网络银行是金融电子化的产物,也是电子货币的主要交易场所,是传统银行与网络信息技术相结合的结果,与传统银行相比,具有与众不同的特点:
(1)电子化交易,无纸化经营
电子支票、电子汇票和电子收据代替纸质票据,电子现金、电子钱包、电子信用卡等电子货币代替纸币,交易业务通过数据通信网络进行,使无纸化交易在网络银行成为现实。
(2)便捷、高效的全方位服务
网上银行是在Internet上的虚拟银行柜台,又被称为“3A银行”,能够在任何时间(Anytime)、任何地点(Anywhere)、以任何方式(Anyway)为客户提供金融服务,使用户享受到不受时间、空间限制的全方位服务。
(3)降低成本,保证正常经营
现在零售交易上使用的现金,其成本大概是1.7%左右,而电子货币是0.6%左右。网络银行采用了虚拟现实信息处理技术,又可以在保证原有业务量不降低的前提下,减少营业点的数量,从而使银行的经营成本大大减少。
(4)简单易学,方便沟通
网络的普及使网上交易简单易学,而E-mail的通信方式也便于客户与银行之间以及银行内部的沟通。
二、 网络银行的电子货币交易模式及问题
电子货币是近年来日益流行的新兴货币形式,在网络购物、投资理财等领域发挥了传统货币不可比拟的重大作用。电子货币之所以能够基本上取代纸币在货币交易系统中流通,一方面由于信息时代对货币交易效率的要求,另一方面也由于电子货币便捷、易携带和安全等优点。
(一)现行的电子货币交易模式
网络银行作为电子货币的主要交易场所,其交易模式是网银用户和银行机构普遍关心的问题。目前,我国网络银行普遍使用SSL加密技术标准,在技术层面上可以保证数据在传输过程中的安全问题。
虽然各商业银行的安全认证工具不同,但总体而言,包括密码、文件数字证书、动态口令卡、动态手机口令、移动口令牌和移动数字证书等认证介质。密码是安全系数最低的认证工具,移动数字证书则是最安全的认证工具,其他认证工具的安全系数基本在80%以上,结合使用能保证基本的安全交易。
(二)网络银行的安全交易问题
CNNIC的调查结果显示,不愿意开通网络银行的银行客户中,有76%是出于安全考虑;开通网络银行的网络用户中,有16%对网络银行表示不满意;33%的网购用户不愿意选择网银支付货款。可见,网上银行的安全性没有因为其便捷性而被忽视,反而成为了阻碍网络银行发展的一大问题。
目前,网络银行存在的安全性问题主要包括以下几个方面:
1.对实体的威胁和攻击
各种自然灾害、人为破坏以及媒体的失窃和丢失,即针对银行等金融机构计算机及其外部设备和网络的威胁和攻击。
2.对银行信息的威胁和攻击
这包括信息泄漏和信息破坏。信息泄漏是指偶然或故意地获得目标系统中的信息,尤其是敏感信息而造成泄漏事件;信息破坏是指由于偶然事故或人为破坏,使信息的正确性、完整性和可用性受到破坏。
3.计算机犯罪
计算机犯罪是指破坏或者盗窃计算机及其部件或者利用计算机进行贪污、盗窃、侵犯个人隐私等行为,相对于传统犯罪而言,增长率高,损失更严重。
4.计算机病毒
犯罪分子通过计算机病毒入侵网银用户以非法获取个人隐私等,严重危及网银用户的安全。
三、 网络银行的安全交易对策
网络银行的安全涉及到网络平台的各个方面,按照OSI的七层网络模型,网络安全也包括物理层、链路层、网络层、操作系统、应用平台和应用系统安全等多个方面。虽然OSI只提供了一种抽象模型,但该模型能够提供五种安全服务:
(1) 鉴别
证明通讯双方的身份与其申明的身份相一致,这是使用网银的第一道防线。
(2) 访问控制
对不同的信息和用户设定不同的权限,保证只允许经授权的用户访问经授权的资源,这是对网银用户资料的安全保障。
(3) 数据机密性
保证通讯内容不被他人捕获,不会泄露敏感的信息,这是对通讯过程的保护。
(4) 数据完整性
保证信息在传输过程中不会被他人篡改,也就是电子货币在交易过程中不会出现问题。
(5) 不可否认性
证明一条信息已经被发送和接受,发送方和接受方都有能力证明接收和发送的操作确实发生了,并且能够确定对方的身份。
为了保证网络银行的安全性,必须在不同层次上采取不同的安全技术来保证系统的安全性能,目前被普遍采用的是网络层安全协议中的安全套接字协议(SSL)和安全电子交易标准(SET)。SSL为客户/服务器会话提供了服务器确认、客户确认、完整性和机密性等一系列安全服务。
除此之外,网络层安全技术还包括最广泛使用的防火墙技术,设立多重防火墙,一方面可以分隔互联网与交易服务器,防止互联网用户的非法入侵;另一方面可以分割交易服务器与银行内部网,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
在应用层上,信息认证技术是确认交易双方真实性和传输数据准确性的保证,网络银行已经采取了基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码等技术,尤其是中行为了防止诈骗推出的手机认证服务,更是为身份认证提供了重重保障。
在除网络层和应用层的其他层次上,网络安全技术也不可忽视,总而言之,网络安全是多层次的,要真正应对网络银行电子交易过程中的安全威胁,就要制定多层次、多体系的安全体系,实行24小时实时安全监控,随时进行系统漏洞扫描和实时入侵检测。
四、 结论
虽然采用电子货币支付很便捷,但由于电子货币的交易在网络中主要表现为数据的存储和传输,任何一个环节出错,都会影响数据的真实性和准确性,进而影响电子货币的安全交易。
从金融机构角度来说,电子货币自身的缺陷和交易过程的风险性不容忽视,尤其是其对金融系统安全的影响,需要金融监管部门的重视,更呼唤金融监管体系的完善。
从银行角度来说,继续扩大网络银行业务,发挥电子货币交易的巨大作用,但要注意从交易的每个环节采取严密的安全保护措施,使用高安全级的Web应用服务器,建议严密的安全控制体系,全程监控,多重认证。
从个人角度来说,要正确认识电子货币,运用辩证的观点看待这一新型货币,既不能因为电子货币的便捷性而否定现金在交易中的作用,也不能因为电子货币的风险性而彻底抵制电子货币的交易。在享受便捷的同时,也要重视电子货币的安全问题,设置安全可靠的密码,保护好其他认证工具,保证所有的交易都在安全可靠的网站进行,不随意泄露个人信息。
参考文献:
[1][美]玛丽•J•克罗宁.互联网上的银行与金融.经济科学出版社.2002.1.
忘了要安内
不管是安装防火墙、入侵检测系统等,企业的着眼点往往是放在外部的威胁上,企业网内部的安全管理,就常常被忽略了。我们可以不难体会到,随着网络技术的演进,整个网络世界已与以前大大不同,不再只是单纯的有线环境,网络控管也变得较为困难。
此前,企业习惯于攘外再安内的原因是,以往对于企业网络的攻击主要来自于企业外部,所以企业习惯先部署防御外在威胁的安全架构,如防火墙、入侵检测系统等;然而现今的网络攻击模式,如间谍软件等,都是先在企业内部网络进行档案破坏或密码解译等动作,更有甚者是在之后再将企业内部信息打包送出,这种攻击模式已经变成一种新的趋势。因此,企业网络安全要做得透彻,应该要从连上网络的那一刻便开始注意。
企业控管有三大层面,除了管制使用者能否上网之外,接下来要管制使用者的上网行为,让其符合企业内部的安全规范;最后一个部份则是分层管理,也就是针对使用者取得内部网络使用授权之后的资源管理,像是每个部门都应该受到不同的权限要求与保障。
零时差攻击所造成的惨剧
我们见到许多恶意软件作者在“空窗期”(辨识出恶意软件并提供修补程序之前)试图感染计算机,此趋势似乎一直延续至今。即便企业已经部署了所有必要的防火墙、入侵检测系统、病毒防护程序等,此类利用 WMF 弱点的零时差攻击就足以让企业 IT 管理者头痛不已。
越来越多的员工现在都使用笔记本电脑在家工作,或是出差时在旅馆或机场内工作。不过一个非常重要的环节却可能被忽略:公司网络内部的接入控制。因此在员工直接联机到企业内部网络时,审慎控制接入流程 (包括员工的身份认证、检查 PC或笔记本电脑的安全状态等) 是非常重要的。不过,Gartner 最近的报告指出,即使最好的企业也只能控制大约 80% 的网络端点 (员工的笔记本电脑/PC)。
UAC的概念与管理
所谓UAC (Unified Access Control,统一接入控制) 是产业级的协同研究成果,可以协助保证每一个接入点在进入网络前皆符合网络安全规范,每个使用者要先取得PC及其它装置的接入权限才能进入特定的网络。UAC的解决方案保证端点设备在接入网络前是完全遵循已建立的安全策略,并确保不符合安全策略的设备无法接入该网络、并设置可补救的隔离区供端点修正网络政策,或限制其可接入的资源。
UAC的架构基本上是由三个主要的组件所组成,包含了Policy Server (政策服务器,即控制器)、Agent(器)以及 Enforcer(执行器)。政策服务器(控制器)的作用是检查从网络接入装置转送来的端点安全凭证,判定并给予其适当的接入权限 (如允许进入、隔离或拒绝进入);Agent 的功能在于搜集端点的安全信息与设定等信息,并把这些信息传递到网络接入装置 (Enforcer);Enforcer 则是强制执行的设备,负责阻挡或隔离不符合网络政策的网络行为。
UAC是业界对企业网络更高的安全需求所产生的反应,是一种更为全面性的防护方式,持续监控使用者的联机,而不是单纯假设只要使用者通过网络联机一开始的安全和恶意软件检查,便不会做出其它违反安全规范的行为。
基本上,完整而有效的UAC 架构应该要能提供以下几个层面的安全功能:
端点安全状态检查―评估联机装置的“安全健康状况”;
零时攻击防御―主动预测出潜在威胁,而非只针对已发现的威胁做出反应;
动态执行政策―能够实时对网络上的高风险活动立即采取行动;
精确进行隔离与矫正―隔离威胁来源并排解疑难;
提供网络情报―提供 IT 管理人员进行管理决策所需的信息;
政策决定和政策执行―将网络接入对应至企业需求。
有了安全没了方便?
病毒与蠕虫不断的透过网络来影响企业营运,因为它而导致企业必须面对停工、恢复所需费用、无止尽的修补、公共责任、收入损失等。零时差攻击表明了,系统安全更新 (patch) 远跟不上脆弱的系统被攻击的速度,往往系统在安全管理者提供最新的更新码 (patch、病毒码) 前就已经遭受了攻击。
UAC 是应对无所不在的攻击模式所产生的防护架构,只是,防堵了因为图一己之便所衍生出的网络安全问题,却有可能因此降低了企业流程的便利性?
企业在部署 UAC或其它安全防护机制时,一定要在安全维护与使用便利性上取得平衡。
根据知名研究机构 Current Analysis调查指出,企业在部署安全防护方案时有四点基本的考虑与需求,第一个要求是部署简单,可以快速完成;第二个考虑是开放标准,也就是希望未来新的解决方案要能支持各端点的安全需求,要能整合各种增值应用,如此才不会被特定安全提供商所牵绊住,各项产品才有机会整合成一个完美的防护机制;第三个考虑则是希望除了内部员工之外,包括合作厂商、访客等在进入企业网络范畴之前都能够受到管控;最后一项则是,希望能够分阶段部署这些安全机制与设备,不管是按照部门或是依照网络层的不同来分段设置,也希望能够整合不同时间所设置的安全设备。
接入控制机制除了要针对内部员工之外,也常需针对外在的访客来作出反应。目前,一些先进的科学园区中许多企业在访客携带笔记本计算机进入公司之前,都会要求其填写一份安全防护问卷表,若是填写的问卷表中显示,访客没有符合该公司的安全防护规定,如未安装某些防毒软件等,常会被要求须在特定区域等候负责人员替访客执行笔记本计算机的扫毒动作,确认安全无虞之后才准在企业内部上网。如此的安全维护动作虽然很确实,但却是非常不方便,除了会增加企业 IT 人员的负担外,也耽误到访客的宝贵时间。
平衡方案与未来趋势
有了安全就没了方便,要方便使否就要忽略安全呢?有企业开始使用无的方式来平衡便利接入与安全防护这两个难以取舍的网络安全议题。
许多企业开始以较简易而不用直接安装防护机制的方式来做到安全与便利性的并重;譬如当外来访客上网准备进入内网体系时,类似UAC架构中Enforcer(执行器)的机制,若发现访客电脑尚未安装某些防毒程序或是病毒码未更新等违反企业安全规范的状况,便会自动将其导引至某些特定的网页,让其自动可以更新病毒码,或是干脆让其只能接入特定网页,而无法接入企业网络内的资源,这就是系统的矫正以及隔离功能。
一是思想认识不够。部分干部职工对网络安全重视不够,安全意识不强,还存在模糊认识。有的认为,只有写着密级字样的文件才是秘密文件,自己办公上网所涉及到的办公内容和一些数字谈不上秘密,不属于保密信息;少数用户感到,和平时候,赤峰地区贫穷,信息化条件落后,失密、窃密与已无关,也不可能在自己身上发生,不必大惊小怪;一些职工认为,信息化社会,敌特分子窃密技术新、手段高,还存在无密可保,有密难保的畏难情绪;还有个别人员认为,信息交流是个人行为,网上聊天是言论自由,不存在失泄密问题,侥幸心理十分严重。二是防范措施不严。目前,大多数计算机网络系统大多采用软硬件“防火墙”、杀毒软件等一般性物理隔离技术,缺乏非授权用户进入、采用口令破解程序等高技术破坏、窃取手段的特殊防范措施。有的科、室和所干扰器配备不齐,有的损坏后未能及时更换;有的虽然配备了干扰器,但经常处于不开机状态,没有发挥应有的作用。少数用户违反规定在同一台计算机上进行办公和上网;还有的违反规定,使用带内容的移动载体从因特网下载资料,存在失泄密倾向;一些科室对台式计算机、笔记本电脑、移动存储等办公设备上网管理不严格、不科学;还有个别科室对计算机网络安全管理疏于管理、放任自流,检查、督导流于形式,存在比较严重的信息安全隐患。三是防腐能力不强。网络被西方敌对势力称作“虚拟空间的政治生力军”,它们不断冲击我国人员的理想信念,这也是西方敌对势力对我国进行政治瓦解的新手段和新策略,同时负面网络信息也冲击和影响着全办干部职工的思想行为。调查中我们发现,极少数职工在网上聊天随意谈论单位信息、发表言论、友等现象,甚至还有个别人员经不起诱惑,迷失自我,有的甚至会走上歧路,容易发生网络犯罪。
二、做好信息化条件下计算机网络安全工作的对策
(1)加大网络安全教育力度,进一步强化网络安全意识。抓好信息化条件下网络安全,首要的是加强教育,强化安全保密意识,筑牢全办干部职工的思想防线,确保网络使用安全。一是要提高思想认识,克服模糊观念。各级要进一步端正指导思想,进一步提高安全保密意识。要定期组织全办干部职工学习保密规定、网络安全、反敌渗透窃密等有关保密知识,教育引导大家进一步认清信息化条件下网络安全工作的重要性,走出“有密难保、无密可保”的认识误区,真正从思想上重视起来,树立正确的安全保密观念。二是要搞好疏堵结合,增强抵御能力。网络已经成为社会生活的重要内容,成为全办干部职工了解和认识社会的重要途径。三是要抓好教育培训,提高网络技能。办党组在搞好网络安全教育的同时,要对全办干部职工进行网络安全保密技术培训;采取外请专家、内请行家等方式对使用互联网、局域网、政府网和军网的人员进行网络安全保密知识教育,要把手机泄密、网络泄密等新知识作为学习的重点,提高网络安全技能。不断增强全办干部职工做好网络安全保密工作的责任感和使命感。
(2)加大网络安全管理力度,严防失泄密事件发生。严格管理、科学管理是确保信息化条件下网络安全的重要手段,也是防止网络失泄密的主要途径。要结合办实际,针对当前网络安全管理存在的问题,不断加大管控力度,提高网络管理水平,防止失泄密事件的发生。一是要加强台式计算机的管理。每台计算机管理要责任到人,要签定网络安全保密责任书,落实“谁主管、谁负责,谁使用、谁负责,谁签字、谁负责”的责任制,形成一级抓一级、一级对一级负责的网络安全责任意识。二是要加强对移动媒体管理。进一步加大对办公使用的笔记本电脑、移动硬盘、U盘、光盘和磁盘等移动媒体的使用和管理,要按照类别、级别、等级进行编号、登记、使用等,严禁带秘密载体进入公共场所、公私混用、私自上网等,严防因移动媒体管理使用不当而引发失泄密事件。三是要加强检查督导。要不定期、经常对网络安全进行了突击检查,对查找出来的问题,要当面教育,现场整改;对不遵守网络安全使用管理规定的人员,要采取办学习班、考试等到形式进行培训和补课,不断搞高网络安全意识和技能;要加强对办公时间使用网络的管理,倡导安全上网,上健康网、上文明网,进一步提高广大干部职工遵守网络安全安全的纪律性和自觉性。
(3)加大网络安全制度建设力度,增强网络安全的实效。没有规矩不能成方圆,加强网络安全管理也是同样的道理。严格安全管理规章制度是实现网络安全的重要保证。一是要树立链网计算机审批制度。二是要建立上网信息审批制度。严格明确信息收集整理和信息的审批权限。三是要建立信息技术安全制度。在网络建设上,要采取互联网、军网物理隔离等先进技术手段,建立两套独立的网络系统,从硬件的物理链接上保障信息传输安全;对网络终端机要通过网络安全隔离卡实现单机终端分时、分域对互联网、军网、政府网和局域网的访问控制;在互联网、军网、局域网防火墙上,要设立非法侵入报警系统,设置网络访问权限等,防止非法侵入。四是要建立信息网络“引导员”制度。全办干部职工要把互联网、局域网、政府网和军网作为学习工具,在通过上网不断提高快速获取信息、科学鉴别信息、综合运用信息、驾驭管控信息,以及引导和监督全办干部职工遵循网络道德的能力的同时,要在各科、室和所上网人员中选拔专门的有计算机基础的人员担任“网络引导员”,搞好专题网络信息培训、思想考查和技术认证等,发挥其网上监督管理和维护保障作用,确保信息化条件下网络安全。
参考文献:
中图分类号:TN711 文献标识码:A 文章编号:
前言
互联网技术的高速发展改变了人们的生产与生活,促进了经济与社会发展进步,在取得显著成效的同时,信息技术安全是不容忽视的重要问题。回顾我国当前的互联网发展,和发达国家相比还有较大差距,虽然也重视了网络安全技术的开发与运用,但是受制于人才以及设备、技术等方面的因素,安全防护工作难以达到令人满意的程度。当前,互联网技术与设备更新换代的速度不断加快,病毒攻击防不胜防,国内互联网安全工作现状不尽如人意。本文主要针对当前常用的网络攻击技术以及网络安全工作进行分析研究。
1、常用的网络攻击技术
目前,网络攻击方法层出不穷,而且随着技术的不断发展,网络攻击日益呈现自动化、低门槛的趋势,黑客、间谍常采用的网络攻击技术。
1.1 有机可乘的系统漏洞
系统漏洞是指应用软件或操作系统在逻辑设计上的缺陷或在编写时产生的错误,这些缺陷或错误可以被间谍利用以获取远程计算机的控制权,轻易窃取远程计算机中的重要资料。其主要方式是以口令为攻击目标,进行猜测破译,或避开口令验证,冒充合法用户潜入目标计算机,取得对计算机的控制权。尽管通过“打补丁”的方式可以缓解由“漏洞”引起的问题,但是大多数人没有及时“打补丁”的意识,可能造成计算机系统长期存在系统漏洞,这就给网络间谍以可乘之机。例如,网络扫描技术就是通过在Internet 上进行广泛搜索,以找出特定计算机或软件中的弱点。
1.2 里应外合的“木马”
“木马”是一种隐蔽的远程控制软件。计算机木马程序一般由两个部分组成:木马和控守中心。为了防止安全人员的追踪,往往再增加一个部分:跳板。它是木马与控守中心通信的桥梁,一般也是被攻击者控制的机器,木马通过跳板与控守中心联系,拥有控守中心的人就可以通过网络控制你的计算机,了解你的一举一动,捕获每一次键击事件,轻松窃取密码、目录路径、驱动器映射,甚至个人通信方面的信息及一切文档内容。如果你的机器上还带有麦克风或摄像头,那么窃听你的所有谈话内容和捕获一切视频流量对它来说也是举手之劳。
由于计算机系统本身存在的漏洞或使用者的安全意识不足,导致“木马”可以通过多种方式进入上网计算机。比如在浏览网页时,可潜伏在链接和图片中;收邮件时,可藏在附件里;下载程序时,可把自己和程序合并为一体。很多木马还会采用隐藏技术,如有的木马把名字改为window.exe,不熟悉系统的人根本不敢删除;还有的通过代码注入和dll插入技术,潜伏在系统进程如svchost.exe 或explorer.exe 中,从防火墙的监控日志中很难判断是正常连接还是恶意连接,由此,采用不同隐藏技术的木马就神不知鬼不觉地穿过了防火墙与控守中心通信了。据有关部门统计,“木马”攻击占全部病毒破坏事件的90%,仅2007 年上半年,境外就有近8万台主机对我境内计算机进行过木马攻击,我境内有近一百万台计算机被植入“木马”。
1.3 监听网络数据的嗅探器
网络嗅探即网络监听,是一种可以利用计算机网络共享通讯通道进行数据捕获的技术。嗅探侦听主要有两种途径,一种是将侦听工具软件放到网络连接的设备或可以控制网络连接设备的电脑上,比如网关服务器、路由器;另外一种是针对不安全的局域网,放到个人电脑上就可以实现对整个局域网的侦听。由于在一个普通的网络环境中,账号和口令等很多信息以明文方式传输,一旦入侵者获得其中一台主机的管理员权限,就可以窃听到流经整个局域网的数据,并有可能入侵网络中的所有计算机。网络监听软件可以监听的内容包罗万象,从账户密码到聊天记录,从电子邮件到网页内容。不久前,一款MSN 的监听软件在互联网上盛行,只要下载安装这个软件,任何一个普通人都能在网上监听本地局域网内所有人的MSN 聊天内容。
1.4 不知不觉窃走隐私的“摆渡”病毒
“摆渡”病毒以移动存储设备为媒介,在电脑间传播。据传该病毒是美国中情局授意微软特意留下的漏洞,与系统结合,具有消息阻塞功能,目前没有任何杀毒软件能侦测该病毒。以U盘为例,通过互联网或其它途径,使U盘感染“摆渡”病毒,当U盘插入计算机时,在无任何操作和显示的情况下,U盘内的“摆渡”病毒按事先设定好的窃密策略,将文件从机中复制到U盘隐藏目录下。一旦此U盘再次插入上网计算机,文件就会被“摆渡”病毒转移至上网计算机中,窃密者即可实施远程窃密。
1.5 偷窥电子邮件的食肉动物
写好的电子邮件发送到互联网上后,它将被发至服务商的邮件服务器中暂存一段时间,经过分拣发往下一目标,在经历了多个邮件服务器后,才会到达收件人的邮箱中。可见,所发出的电子邮件从进入互联网开始,就有可能被一些管理着邮件服务器的人员看到。由美国联邦调查局开发的“食肉动物”就是一个安装在邮件服务器中的邮件监视系统,它能监控服务器上发出和接收到的所有邮件,并从中猎取各种重要信息,比电话窃听器还危险。这种系统为美国政府掌握,对其情报收集不愧为一把利器,如果谁想用电子邮件来传递信息,简直无异于“自投罗网”。
1.6 无线互联功能的计算机及其设备窃密
具有无线上网功能的计算机及无线键盘、无线鼠标等无线设备,如果采用开放的信号传输,任何具有接收功能的设备都可接收到其传输的信息,即使采用了加密技术也能被破解。
当前,英特尔公司推出的迅驰移动计算技术已成为主流高端笔记本电脑的标准配置,这种笔记本电脑具有自动寻址、联网功能,无需外加模块就能以对等方式与其它有此功能的笔记本电脑无线互联,也能以接入方式通过无线交换机组成无线网络系统,无线联接的有效距离近百米。如用使用这种笔记本处理信息,可以被其它笔记本或无线交换机联通,导致信息被窃取,并且不易察觉;如果作为终端接入网络,在工作时被其它笔记本无线联通,将使整个网络的信息都面临被窃取的危险;而安装有Windows操作系统并具有无线联网功能的笔记本电脑即使不处理信息,只要上互联网或被无线互联,就有可能通过空口令、弱口令及IPC 共享等漏洞被取得控制权,进而将麦克风打开,使笔记本电脑变成窃听器,造成泄密[4]。一些安装有无线网卡、具备无线上网功能的台式计算机同样存在以上隐患。
2.提高网络攻击防卫能力的措施
2.1 完善网络安全管理。
要进一步完善计算机与网络管理的制度,强化主动预防,凡是计算机均要严格按照物理隔绝以及网络防御要求落实到位。凡是补丁程序要及时安装,提高计算机系统的防御水平,要借助于网络安全管理制度的落实来提高安全管理水平。
2.2 加大软件研发力度。
针对当前出现的各种网络攻击行为,国家安全部门以及信息研发机构要强化软件研发力度,变被动为主动,开发研制各种防御性软件技术。同时,要立足于网络攻击的环节、特点,开展针对性的研究工作,提高网络防御研究的针对性,还要具有研究的前瞻性,针对可能出现攻击的薄弱环节进行超前研究,防患于未然。
2.3 强化人员技术培训。
要对相关计算机操作使用岗位的人员进行防网络攻击专门业务培训,对于不同类型、级别的计算机防网络攻击工作,实施相应的培训,同时要开展防御知识普及工作,提高全民防网络攻击意识与能力水平。
结束语
综上所述,在当前信息化社会背景下,网络攻击行为不可避免,国内相关机构与群众应当提高防御意识,掌握基本技术与手段,保护好信息安全,将因信息失密造成的损失降到最低。
具体来说,P1提供了WAN和LAN 2个网络接口,在使用时,我们要做的就是分别将它们连接到所住酒店的宽带网络接口和笔记本电脑有线网口上,然后打开电源。多数情况下,酒店宽带都是基于端口的认证服务。这时,P1默认可以从当地网络中自动获得一个IP地址和与之配套的网关、DNS信息,并自动根据P1内置的VPN参数进行企业VPN管道连接。一旦连接成功,你会看到P1的VPN指示灯变绿。整个过程,完全无需用户任何干预,像在公司内部一样。
如果你所住的酒店使用IE窗口认证模式,则你还需要在VPN连接成功前先开启IE窗口,随便输入一个网址,系统会自动弹出相应的酒店宽带网络登录窗口,你也只要按照酒店上网说明,输入你房间的宽带口令,即可激活Internet服务。接下来,P1仍然会自动配置好网管事先设定好的VPN连接,将你接入公司的网络安全体系中。
其实,P1这样的个人硬件安防解决方案最大的好处还是在于企业安全的统一管理和部署。
在完全没有用户干预的情况下,网管能通过ZyXEL的Vantage CNM中央网管系统远程强制分发统一的企业安防策略。确保身处异地的员工电脑一样可以在远程连入企业网络前,都确实执行最新的企业网络安全规范,既。节省了网管逐一为大家升级防火墙的麻烦,也避免了百密一疏的危险。真正做到贴身的安防服务。
三心二意玩电脑
随着电脑更新速度的日益提升,谁家还没有个把淘汰下来的旧电脑,或者被笔记本电脑替换下来的台式机。这些电脑大都已成食之无味、弃之可惜的鸡肋。怎样利用这些电脑,帮你做更多的事情呢?这里,我们给你再支一招:用多电脑切换器(KVM Switch)实现多机并用互不干扰。
这里我们拿Aten(宏正自动科技)的双机USB切换器CS-173ZA为例给大家做一示范。它具备2套主机接口,包括VGA、音频(MIC、音箱)和USB总共4个接口,可以满足2台主机共享同一套显示器、键鼠以及USB打印机等外设。这样,你就可以将家中空闲的主机也架起来完成一些简单的后台工作,比如进行BT下载。或者更方便地将笔记本电脑连到家里台式机的大屏幕液晶显示器和高保真音箱上,用标准键鼠更舒适地进行操控,而不必受制于笔记本电脑的配置。
多电脑切换器的连接也很简单,你只要将随机附带的2条主数据线,分别连接到电脑主机和KVM后的CPU1/2接口上(注意连接方向:数据线包括VGA、音频和USB接头的一端接在主机对应接口上,数据线的另一端接到KVM上),然后将显示器、USB键鼠(PS/2键鼠可以通过附带USB-2-PS/2转接线转换连接)和音响系统的MIc/音箱接入到KVM对应端口上,一切就算ok了!KVM的使用也非常容易。在开机2台电脑后,你可以直接通过KVM正面的1、2主机对应按钮,进行双机操控、显示、声音系统的快速切换。即要显示、操控1号机的信息,就按下1号机切换键,然后就跟原来一样,直接使用1号电脑。待需要使用2号主机时,就简单地按下2号机切换键,显示屏和键鼠就都连接到2号电脑上,你即可以开始操作2号电脑。
【 Abstract 】 Firewalls and other types of antivirus software are good security products. But a certain initiative of the highest level to make the whole network system of the hospital safe should be established . Every day we will pay more attention to all kinds of hacker attacks, viruses and worms, etc. But when we saw these news, maybe the system has already been attacked. In this article,we are trying to introduce a proactive network security model. In this model, even if we should find a new virus, we would not worry about the whole network system security of thehospital.
【 Keywords 】 firewall; network security; initiative
1 引言
类似于防火墙或者反病毒类软件,都是属于被动型或者说是反应型安全措施。在攻击到来时,这类软件都会产生相应的对抗动作,它们可以作为整个安全体系的一部分,但是,还需要建立一种具有主动性的网络安全模式,防护任何未知的攻击,保护医院的网络安全。
2 实现主动性网络安全防护体系的四项安全措施
在实现一个具有主动性的网络安全架构前,需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面:防火墙、VPN、反病毒软件以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包,但是它并不能识别入侵,而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道,但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的,而且面对黑客攻击,基本没有什么反抗能力。同样,入侵检测系统也是一个纯粹的受激反应系统,在入侵发生后才会有所动作。
虽然这四项基本的安全措施对医院信息化来说至关重要,但是实际上,一个医院也许花费了上百万购买和建立防火墙、VPN、反病毒软件以及IDS系统,但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞,它可以被黑客利用,用来攻击网络、窃取信息,并使网络瘫痪。这就更加需要一种具有主动性的网络安全模式来综合管理这四项基本安全措施。
3 四项安全措施的综合管理具体实施的步骤
3.1 实现主动性的网络安全模式
作为医院的信息化技术人员,要保护医院的网络首先需要开发一套安全策略,并要求所有科室人员遵守这一规则。同时,需要屏蔽所有的移动设备,并开启无线网络的加密功能以增强网络的安全级别。为无线路由器打好补丁并确保防火墙可以正常工作是非常重要的,之后检查系统漏洞,如果发现漏洞就立即用补丁或其它方法将其保护起来,这样可以防止黑客利用这些漏洞窃取医院的资料和导致网络瘫痪。
3.2 开发一个安全策略
良好的网络环境总是以一个能够起到作用的安全策略为开始实现的,大家都必须按照这个策略来执行。基本的规则包括从指导操作员如何建立可靠的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。比如应该有针对医院收费项目和患者费用信息的备份策略;又如一个镜象系统,以便在灾难发生后可以迅速恢复数据。执行一个共同的安全策略也就意味着向具有主动性安全网络迈出了第一步。
3.3 减少对安全策略的破坏
不论是有线网络,还是无线网络,都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件,同时却安装了很多点对点的传输程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软件等,它们都是网络安全漏洞的根源。因此,必须强制所有的终端安装反病毒软件,并开启Windows XP内建的防火墙,或者安装商业级的桌面防火墙软件,同时卸载点对点共享程序以及聊天软件。
3.4 封锁移动设备
对于医院的网络来说,最大的威胁可能就是来自那些随处移动的笔记本电脑或其它移动终端,它们具有网络的接入权限,可以随时接入医院的网络,具有最大的安全隐患。
据Forrester Research调查,到2005年,世界总共将有3500万移动设备用户,而到2010年,这个数字将增加到150亿。这些数字让我们了解这将是医院网络安全所面临的巨大考验。通过安全策略,可以让网络针对无线终端具有更多的审核,比如快速检测到无线终端的接入,然后验证这些终端是否符合安全策略,是否是经过认证的用户,是否有明显的系统漏洞等。
3.5 设置防火墙
虽然防火墙并没有特别强的安全主动性,但是它可以很好地完成自己该做的那份工作。防火墙要设置智能化的规则,以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口,因此需要为防火墙建立规则,屏蔽所有系统上的1045端口。另外,当笔记本电脑或其它无线设备连接到网络中时,防火墙也应该具有动态的规则来屏蔽这些移动终端的危险端口。
3.6 下载安装商业级的安全工具
目前与安全有关的商业软件相当丰富,可以从网上下载相应的产品来帮助保护医院网络。这类产品从安全策略模板到反病毒、反垃圾邮件程序等,应有尽有。微软也针对系统的漏洞不断给出升级补丁。所有这些工具都可以有效地提升网络的安全等级,因此应该充分利用它们。
3.7 禁止潜在的可被黑客利用的对象
“浏览器助手(BHO)”是最常见的可被黑客利用的对象。它一般用来监测用户的页面导航情况以及监控文件下载。BHO一般是在用户不知情的情况下被安装在系统中的,由于它可以将外界的信息存入你的系统,因此对网络安全来说是一个威胁。BHO是通过ADODB流对象在IE中运行的,通过禁止ADODB流对象,就可以防止BHO写入文件、运行程序以及在系统上进行其它一些动作。
3.8 留意最新的威胁
据计算机安全协会 (CSI)表示,2002 CSI/FBI计算机犯罪和安全调查显示,“计算机犯罪和信息安全的威胁仍然不衰退,并且趋向于金融领域”。因此,需要时刻留意网络上的最新安全信息,以便保护医院网络。
3.9 弥补已知的漏洞
系统上已知的漏洞被称为“通用漏洞批露”(CVE),它是由MITRE组织汇编整理的漏洞信息。通过打补丁或其它措施,可以将网络中所有系统的CVE漏洞弥补好。
4 结束语
虽然安全性永远都不是百分之百的,但是搭建好具有主动性的网络安全模式就可以使医院的网络安全处于优势地位。
参考文献
[1] 邓素平.构建网络安全防护体系[J].山东通信技术,2001,2:17-19.
[2] 刘晓莹等.网络安全防护体系中网络管理技术的研究与应用[J].应用与开发,2001,2001,3:30-31.
第二,ARP攻击的有效预防。供电公司对于这一问题的规定为:将DHCPSnooping应用于全部供电设备,DAI应用于全部新设备,避免受到ARP攻击。通过保留IP的形式,通过DHCP服务器分配地址。
第三,HUB(HUB是一个多端口的转发器,当以HUB为中心设备时,网络中某条线路产生了故障,并不影响其他线路的工作)的混接控制。该现象所导致的安全隐患表现为:供电公司的网络与路由器、HUB等设备相互连接,这就容易增加用户用电的困难。供电网络安全改造过程中,利用人工检查与网管系统相结合的方式,确定相关的UB端口,一次接入,将HUB这一环节撤销,保证增加端口,经8换机网管,替代传统设备,保证网络与全部交换机接入端口相互连接。第四,为多个部门建立Radius服务器的账号。供电公司对于这一问题的规定为:建立独立的桌面管理系统数据库或是部门之间关联的数据库,验证全部部门用户密码和账户基本相同。第五,网络接入认证,确保桌面管理系统的安装率。供电公司对于这一问题的规定为:桌面管理系统安装率100%,严格认证网络和计算机之间的连接。其主要的安全问题是:不安装桌面客户端的电脑,电脑终端会自动化分和修复VLAN,访问服务器,自动将客户端、杀毒软件和补丁安装在电脑上。客户端安装后,各部门可以由客户端进入并选择,则获取其中的地址和系统用户名。
2供电公司网络安全的解决途径
交换机在接入后,IEEE802.1x协议将会生效,并从Radius服务器中认证用户。802.1x计算机客户端软件在一般状态下,与终端接换机接入后,802.1x协议则会生效,并设定各个端口只能够认证通过一台终端。对于相同的HUB和交换,因其不能提供协议认证端口,能够进行暂时性的uilt-auth认证,从而确保通过所有终端认证。交换机更换后,取消端口认证,并配置下级交换机认证。将Radius服务器设置于信息中心,从而确保Radius服务器工作的可靠性,并保证2台以上的Radius服务器,使其实现账号的自动同步。在配置交换机时,对各个端口的MAC地址数量进行严格控制,设置值默认为1。通过对登陆交换机进行检查,确定HUB的端口,通过分线的方法达到接入要求,也可用管理交换机替换原来的HUB,从而确保交换机接入端口仅仅存在一台认证通过的终端与网络相互连接,也可下接设备为802.1x接入认证提供支持。Cisco交换机与终端端口相互连接后,会将BPDUGUARD功能启动,进而避免计算机端口与HUB或交换机随意连接,进而形成网络环路。在网络监察过程中,终端可能并未打开,这就容易形成端口与多台计算机相互连接的现象,需要进行严格控制,在其他终端开机后,无法实现网络连接。信息中心技术支持人员需要配置交换机,保证其与网络的顺利连接。在交换机端口与管理交换机相互连接,而非终端时,需要将BPDPGUARD功能关闭,避免交换机端口的自动关闭。
建立每个VLAN独立的ACL并应用后,实现VLAN之间三层隔离的目标。因为目前的业务主要体现为信息中心机房内,因而VLAN只能够访问信息中心服务器,且不限制访问其他兄弟单位网络。自动绑定交换机端口和MAC地址,通过“port-securitymaximum”对所有交换机端口接入终端的数量进行控制。利用DHCP服务器内的IP地址保留方式,绑定MAC地址和IP地址,而且,在开启交换机DAI功能后,只能允许终端以过DHCP方式获取IP地址,避免终端手动指定IP地址,进而出现IP地址冲突或是盗用问题。联合应用DAI和DHCPSnooping,有助于ARP攻击的控制。以保留IP的形式在DHCP服务器上对IP地址进行重新分配,从而实现绑定IP地址和MAC地址的目标。为了对非法DHCP服务器进行限制,应控制交换机,确保全部终端均获得合法DHCP服务器的地址。少数计算机需要经常性与各个VLAN网络接入,应实现VLAN内各个IP地址的分配。
希捷重塑备份概念
2012年6月14日,希捷科技公司宣布推出Backup Plus产品系列。作为希捷的重塑消费存储产品系列,Backup Plus可实现最简单的设置、一键备份、保存及共享Facebook和Flickr内容等各种功能。它能与Windows及Apple计算机互操作,并提供各种全新的功能,以保护、共享和保存我们数字生活的方方面面。产品预装希捷全新的无障碍Dashboard软件,可实现一键本地备份。(浛博)
Immersion带来新的触觉震撼
2012年6月20日,Immersion公司在亚洲移动通信博览会现场演示了其内置TouchSense技术的软件解决方案。在Immersion技术的帮助下,OEM厂商能够将精心设计的触摸反馈效果持续应用于整个移动用户界面中,从而打造出越来越具吸引力的差异化用户体验。随着Immersion推出易于使用的集成工具,安卓系统的OEM厂商和应用开发者们可以在其移动游戏和应用中加入更高端的触摸反馈效果,借助触觉技术实现逼真的体验感受。(浛博)
有道首发Android Pad版
伴随着Google首台平板电脑Nexus 7的,有道词典也推出了Android Pad 1.0版本,成为Android Pad上国内首个翻译服务类应用,继续领跑同类产品。有道词典及时填补了翻译领域的空白,推出首个Android Pad版词典应用,满足了Android Pad用户的翻译需求。Android版有道词典具有词典、百科和翻译三大经典功能,并且支持中、英、日、韩、法多语种查词及全文翻译。与PC端一样,用户除了能享受到丰富的网络释义和海量例句等翻译服务,在离线环境下还可以使用包含10万个常用词汇的中英本地词库。(浛博)
东芝21:9超宽屏超极本
2012年6月13日下午,东芝电脑在北京举办了以“超越巅峰 极致体验”为主题的新品媒体沟通会,本次会议的主角是东芝即将的两款14英寸全新超极本Satellite U800与Satellite U800W。其中U800外壳采用铝合金金属材质制成,机身最厚处仅有19.9毫米,重量仅为1.7kg,搭载英特尔最新一代的Ivy Bridge i3/i5处理器,且配备了AMD Radeon HD 7550M独立显卡。而U800W是全球唯一一款使用21比9屏幕显示比例的超极本,21比9的超长屏幕为各类应用带来了全新的体验。(王健)
富士通2012年夏季新品
6月26日,富士通个人电脑夏季新品会在北京盛大举行,延续高端“匠”理念,富士通在此次会上了包括A系列、P系列、S系列、U系列在内的十款新品笔记本电脑。其中,全新推出的超极本LIFEBOOK U系列以其极具匠心的设计、超纤薄机身、超长续航能力以及卓越的商务性能开创了超极本新时代,特别是LIFEBOOK U772,其机身最厚处仅为15.6mm,是目前全球最纤薄的14英寸超极本,具有极高的安全性能,其配备的45Wh新型聚合物锂电池亦可提供长达约9.1小时的续航能力。它的推出更加充分展现了富士通注重研究用户体验、不断追求顶级品质的创新精神。(王健)
三星新一代9系列笔记本