时间:2024-02-01 16:44:25
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇常用网络安全标准范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
1.2总体目标结合我国信息技术发展的战略目标,以国家宏观调控管理与自愿性相结合的电力企业信息技术应用标准为主体,实现国家标准、行业标准和企业标准分工明确、协调发展。同时,电力企业应积极参与标准制定及应用,建设系统的、先进的、以及适合我国国情和电力企业实际情况的结构合理、能够指导企业进行信息化建设的信息技术标准体系。
1.3建设原则结合我国电力企业信息化建设现状,为更好地建立电力企业信息技化术标准体系的顺利进行,在开展技术标准体系研究时,提出以下基本原则:
1.3.1系统全面编制信息化技术标准体系应充分研究在一定时期内企业信息技术、信息化建设中需要协调统一的一切事物和概念,形成层次恰当、功能配套的体系结构,形成相互关联、相互制约、相互协调的配套系统。
1.3.2应用实践信息化技术标准体系应适应和满足市场机制下企业组织生产、经营管理的需要,必须与资源配置和环境条件相适应,成为发展信息技术、进行信息化建设的基础措施,使其具有实用性和适用性。
1.3.3可扩展电力企业信息化技术标准体系应能随着科学技术进步、企业信息化建设和管理机制的变动而调整、发展、更新,应具有预测性和可扩充性,成为一个开放的体系。
1.3.4持续优化电力企业信息化技术标准体系的建设,不仅要满足当前形势下的业务要求,也要考虑信息技术不断更新与发展的要求,持续开展对技术标准体系的优化更新。
2技术标准体系建设内容
2.1标准体系架构根据《电力行业信息标准化体系》(DL/Z398-2010),对信息化领域的国家标准、行业标准,已信息技术的发展进行了梳理,构建了电力企业信息化技术标准体系框架
2.2框架说明
2.2.1基础综合通用标准基础综合通用标准由体系与标准编制通则、术语标准、软件工程基础标准、通用基础标准等三部分构成。体系与标准编制通则主要收录了国家、行业和企业对技术标准体系表及技术标准编制的相关要求和规范;术语标准主要收录了各种常用的信息术语标准,如信息技术词汇、条码术语、计算机应用词汇等;软件工程基础标准收录了软件工程过程标准、软件工程质量标准、软件工程技术、软件工程工具与方法标准、软件测试规范以及软件开发的相关标准等;通用基础标准主要收录公司的信息项目规划、设计、建设、验收、评价、知识产权保护、信息规划、设计、管控和安全等方面相关的基础标准和规范。
2.2.2基础设施基础设施标准主要由信息设备、硬件环境标准和数据通信网络标准三部分构成。信息设备主要收录了服务器、存储、信息网络设备等相关标准;硬件环境标准主要收录了绿色机房环境、灾备设施标准等,如机房内外部环境等相关标准;数据通信网络标准主要收录了信息网络方面的标准,如网络体系结构、网络工程、网络接口、网络交换传输与接入、网络管理以及下一代互联网标准。
2.2.3信息资源信息资源标准由信息分类与编码标准、电网信息模型标准、数据元与元数据标准、数据交换标准四部分构成。信息分类与编码标准主要收录了信息分类与编码通则和各类业务中使用的代码标准;电网信息模型标准主要收录了各种信息模型的标准,如:公共数据模型等;数据元与元数据标准主要收录了数据元与元数据的相关标准;数据中心与数据交换标准主要收录了数据中心与数据交换相关标准。
2.2.4信息应用信息应用标准由支撑服务标准、用户交互标准、信息集成标准、业务应用标准四部分构成。支撑服务标准主要收录了为信息应用提供基础支撑服务的标准,如信息表示和处理、资源定位、数据访问标准、目录服务、消息服务、事务处理、业务访问、流程控制等;用户交互标准主要收录了移动智能设备与终端、对外网站群、内部信息门户、可视化展示相关的标准;服务集成标准主要收录了公司一体化平台和相关应用集成的标准规范,如GIS空间信息服务平台等;业务应用标准主要收录了与业务应用系统建设相关的建设规范、技术规范。
.2.5信息安全信息安全标准由安全基础标准、物理安全标准、网络安全标准、系统安全标准、数据安全标准、安全运行标准七部分组成。安全基础标准主要收录了与安全密切相关的基础标准,例如安全的基本术语表示,安全模型,安全框架、可信平台等;物理安全标准主要收录了从物理角度阐述安全的保障标准,包括通信和信息系统实体安全的标准(如设备安全、机房的安全技术要求等);网络安全标准主要收录了网络安全防护优化、内外网安全隔离、互联网出口安全、无线网络安全防护与检测技术、移动安全接入防护等相关标准;系统安全标准主要收录了企业信息化系统建设应遵守的相关技术标准,如操作系统安全、数据库系统安全和病毒防范等方面的标准与规范;数据安全主要收录了保密安全技术、文档加密与推广完善、数据备份与恢复等相关标准;安全运行标准主要收录了等级保护、风险识别与评价控制、应急与灾备等相关的标准及技术要求。
随着移动设备飞速发展以及笔记本电脑的普及,无线网络也得到了极其广泛的应用。然而关于无线网络的安全问题日益明显,像是网络信息遭遇非法窃听、无线网络遭受钓鱼攻击、无线网络被盗用等等,这样一来用户在使用无线网络时就将直接面对这些安全隐患,因此针对现有的无线网络安全问题实施一定的应对策略是十分有必要的,否则这些问题将严重影响无线网络的发展。
一、无线网络存在的安全问题
就目前无线网络日常应用中所遇到的网络安全问题而言,它们可以细分为很多种,并且这些问题给正常的无线网络的正常运行所造成的影响也各有不同,但是这些问题却在无形中威胁到了无线网络正常的运行。以无线网络安全问题的表现来进行分类,大致可以分为以下4类:
1.安全问题――网络遭遇盗用
这个无线网络遭遇盗用是人们日常生活中最为常见的一种无线网络安全问题,也常被人称作“蹭网”,其实它所指的一般就是无线网络遭遇非用户授权的计算机或移动设备接入。这样的“蹭网”行为对于正常用户使用无线网络带的危害非常大,首先是这种行为能直接影响正常用户在进行网络访问时的网络运行速度;其次是对于一些使用无线上网卡的用户来说,这样的“蹭网”行为将直接造成正常用户的经济损失,因为很多无线上网卡都是按网络流量来计费的;另外是一旦用户的无线网络遭遇非法盗用,那将加大其被非法攻击以及入侵的可能性;最后就是无线网络遭遇盗用后,如果这个被黑客利用并进行一系列的黑客行为,那样最终所造成的安全事件,正常用户也极有可能遭受牵连。
2.安全问题――通信遭遇窃听
一般来说网络通信遭遇窃听所指的是用户在正常使用无疑网络时所进行的一系列网络通信信息被同局域网里的其他设备所捕获。绝大多数的用户在进行网络通信时,其通信内容在网络上进行相互传输时都是采用的非加密方式,因此不法分子如果想要窃取正常用户的通信信息,只需要以监听、观察、分析用户的通信信息数据以及他们的数据流模式就能达到对其网络通信信息的窃取目的。比方说最为常见的一种窃取模式,不法分子通过一些专门用来监视的软件来实现盗取正常用户的网络使用信息以及其通信信息的上目的,再将这些盗取的信息在软件中显示出来,最终以非法获取的用户网络通信信息来谋取不正当利益。
3.安全问题――遭遇钓鱼攻击
通常所说的无疑网络遭遇钓鱼攻击指的就是用户在正常使用无疑网络的情况下,无意中接入了“钓鱼”网络接点,从而造成的无疑网络被攻击的网络安全问题。一般来说无线网络钓鱼攻击可以分为以下几步,首先不法分子建立一个无线网络虚假接入点,吸引用户链接至该接入点。随后一旦用户误入至此接入点,其所使用的计算机就很有可能被不法分子所控制,电脑系统被入侵或攻击等,这样的直接结果就是用户电脑上的机密文件被窃取、网络账号与网银账号等被盗以及电脑系统被木马感染等等一系列的网络安全威胁。
4.安全问题――无线AP被控制
无线AP被控制一般指的是无线路由器管理权限被未授权的非法分子所窃取,而无线AP通常指的就是无线网络的接入点,像是企业与家庭中都比较常见的无线路由器便是无线AP中的一种。一般最为常见的无线AP被控制现象多为用户设置的无线AP密码较为简单所造成的,当用户的无线网络被他人所盗用后,其就可以通过无线网线直接访问到无线AP的终端管理界面,如果用户的无线AP密码正好设置得十分简单,那么非法入侵者就能随意更改与设置用户的无线AP的终端管理界面。
二、提高无线网络安全问题的应对策略
由于无线网络在日常使用中所存在的安全问题与安全隐患越来越明显、越来越多样化,因此我们只有采取有针对性的防范措施才能最大程度地降低无线网络的威胁指数、提高其安全系数,减少被攻击的可能性。
1.接入限制
这种方法一般指的是在无线路由器内的MAC地址中设置一定的条件要求,最终实现过滤并阻止非法入侵者的目的。通常这种方法多用计算机数较少同时比较固定的网络环境,因此限制无线网络接入的方法大多用在家庭网络环境,在这种情况下用户只需要将自己家中无线路由器的MAC地址设置成为家庭内计算机MAC地址,就可以简单的实现这个目的。
2. SSID广播隐藏
通常所说的SSID广播隐藏其实就是关闭无线路由器的SSID广播功能,因为一定关闭此功能就能使无线网络信号达到隐身的效果,从而降低那些想要通过SSID功能查找到正常用户无线网络信号的机率,最终实现保护无线网络安全的目的。关闭SSID广播功能同样也是对网络环境有着一定的要求,因为在关闭无线路由器的SSID广播功能后,如果需要正常使用无线网络就必须定向寻找到无线网络信号后方能使用,因此这个功能目前比较常用于一些客户端较为稳定的计算机环境以及家庭网络环境。
3.安全标准的选择
目前很多无线网络用户在设置无线路由器时,通常都是直接采用的WEP标准,然而WEP标准已经被业界公认为是非常不安全一种设置,遭受攻击的可能性非常高,因此用户在设置无线路由器时必须以自身网络安全环境需要为前提,使用WPA标准。虽然说WPA标准也有着被破解与被入侵的可能性,但是相对WEP标准而言,其安全指数仍然要高出很多,所以建议正常用户在使用无线网络时可以将WPA设置成加密模式。
4.无线路由器密码的修改
由于目前很多无线网络用户在使用无线路由器时,对于网络技术以及网络安全的知识都比较贫乏,因此关于无线路由器的用户名和密码设置都是直接采用其默认的用户名和密码,这样一来就大大降低了无线网络的安全系数,让不法分子在实施破解时就变得非常简单,不法分子在破解了无线网络密码后登陆其管理界面便不再是难事。因此正常用户在使用无线路由器时,一定要及时更改无线网络的用户名和密码。
5.无线AP功率降低
由于在无线网络在使用时所采用的无线AP功率的大小能直接影响到无线网络的使用范围,因此很多用户在选择无线AP功率时会盲目的追求较大的功率,反而忽略了其他的相关要素。因为无线网络的覆盖面积越大,其网线环境的安全威胁也会随之增长,遭到非法攻击与入侵的机率也将上升,因此用户在选择无线AP时,应该在保证自身的网速需求的前提下,尽量减少网络的覆盖面积,最终实现保证正常用户用网安全的目的。
6.强壮无线网络密码
曾有学者对无线网络密码的安全等级做过相关的评估,其结果显示,虽然都是采用的WPA加密形式,但是由于这些密码的设计难易程度有所不同,其被破解速度也会随之增加,其中最为简单的就是简单数字排列密码。因此为了保证用网安全,提高密码安全程度,正常用户在设置密码时需要尽量将其复杂化,比如说将数字、字母以及符号相结合来设置密码。
7.其他安全措施
其实不仅仅只有上述这些加强无线网络安全的手段,还有很多一些其他的安全措施同样也可以应用到这个上面,具体如下:
一是防火墙对于提升网络安全性能来说是有着非常不错的效果,它能够更好的隔离病毒与漏洞,特别是如果是企业用户,可以建立一个统一的防火墙来实现阻挡入侵者进入网络的目的。
二是定期不定期的更换无线网络的密码,由于一个密码的破解速度有着一定的时间限制,因此,无线用户可以通过更换密码与用户名的方法来延长攻击者的破解时间,消磨破解者的耐心,最终让其自动放弃攻击。
三是因为无线用户在登陆至无线AP管理页面后,就可以直接查看到所有使用的客户端列表,因此我们可以通过这个方法直接排查非法入侵者,从而对其进行处理。
四是不法分子一般都是搜寻并利用正常用户的网络设置漏洞来进行攻击或其他不法操作的,因此为了保障无线网络的用网安全,应该定期检查加固自身无线网络的安全性能,及时排除网络漏洞,减少被入侵的可能性。
结语
总之,随着我国全民信息时代的到来,无线网络的使用率与覆盖面积也将逐渐扩大,由于其自身所拥有的一些独特的特性,这些都将使无线网络的安全问题更加严峻,因此我们在使用这个无线网络的同时,必须要紧密关注其安全问题,并且适当地采取一些措施预防与解决这些安全问题。
参考文献
[1]菊.关于加强无线网络的信息安全的方法探究[J].科技创新导报,2015(5):222.
关键词:
网络安全;通信技术;应用创新
0引言
信息技术发展的同时也推动了网络的普及和发展,社会对信息系统的需求量日益增加。通信网络信息安全支撑着社会经济的发展,支撑着关键基础设施的建设。随着科技的进步发展,计算机网络安全问题十分突出,尤其是信息的安全问题、保密问题以及可靠性等问题越来越突显[1]。通信网络的安全进行防范主要是负责保护系统软硬件,保护信息数据,防止遭受病毒的蓄意破坏,从而导致数据的篡改和泄漏。因此,需要加强对网络安全有效保护措施的研究力度,保证计算机网络信息系统正常运行。
1网络安全问题概述
1.1网络安全的概念
计算机网络主要向用户提供网络信息资源,为用户提供信息服务。根本上说,网络安全其实就是保障网络中的信息安全,其中包含了物理安全以及逻辑安全。物理安全是指保护数据处理系统的安全管理和技术保护措施,用以保护网络软硬件不受病毒破坏,信息数据不受病毒的侵害[2];逻辑安全是信息安全的延伸,是防止信息被非法访问,保证用户在被授权情况下访问网络信息。
1.2网络安全威胁的因素
(1)软件的脆弱性。软件应用、发展同时,出现了各种系统和应用软件,这些软件也更加的复杂,设计者在设计的时候也难以对其运行时产生的种种问题进行预测,更不能预测软件在不同环境下运行会发生什么,这就难免会出现软件漏洞[3]。软件漏洞有主动漏洞和无意漏洞之分,前者是指设计人员在设计软件时为控制系统或者窃取信息故意制造的漏洞;无意漏洞是指设计者由于疏忽或其他技术原因而产生的漏洞。
(2)协议的脆弱性。计算机网络是基于通信协议运行和互联的。计算机网络产生的目的就是为了实现信息共享和数据库交换。在最初设计当中没有从整体上进行考虑,缺少整体设计,而且协议的开放性和共享性等也没有认证机制,加密机制也缺乏[4],存在先天性不足,这就使得网络安全存在诸多问题。
(3)数据库管理系统的脆弱性。数据库主要应用于客户/服务器平台。数据库通过服务器上的DBMS系统管理相关数据信息。客户/服务器平台中有多个客户端,每个客户端均强烈要求分享数据,在一定程度上影响到数据库的安全,对信息安全产生威胁。目前由于对数据库的保护技术手段相对落后,难以保障数据库数据安全,造成数据库中的数据极易遭到破坏。
(4)人为因素。随着通信技术的发展,黑客技术也随之进步提高,人为利用黑客技术非法侵入、植入病毒、窃取信息的事件频发。黑客正逐步发展为侵害计算机网络安全的主要攻击者。此外,许多单位没有配置相应的安全管理人员,没有定期的检测计算机网络安全信息系统,从而导致有潜在威胁时也无法做出采取相应的处理措施[5]。
2网络安全与通信技术的应用创新
2.1通信技术的应用
(1)防火墙技术。防火墙是处理网络安全问题的一个重要手段。防火墙常用于逻辑隔离内部网络与外部网络,它是安装在内部网络与外部网络的连接点上的,从而保护内部网络的技术保护内部网络不被授权的用户进行非法访问[6]。防火墙主要是用于加强网络间访问控制的一种网络设备,能够对网络起到保护作用是因为:第一,能够对流经的信息数据进行扫描,过滤一些有害攻击;第二,通过防火墙可以将后台中不常使用的端口关闭,避免访问特殊的站点,以此避免非授权用户的非法访问;第三,能够对滥用网络情况进行统计。防火墙技术能进行身份认证,而且还综合了加密和控制访问技术,使网络更加的安全。因此,网络管理人员可以结合其他的安全技术应用于计算机网络中,以提高网络的安全。然而,利用防火墙技术只能防御来自外部网络的攻击,并不能抵御内部产生的网络攻击,更不能防范病毒破坏,这样经过伪装的攻击者常常可以横行无阻地侵害网络内部系统。
(2)数据加密技术。确保网络信息不被恶意篡改和截取的数据加密技术,在网络通信安全中十分重要。数据加密技术能对传达的信息进行加密,信息在保护作用下可以用密文的方式进行传送,就算是攻击者截取了信息也无法知道信息内容。采用数据加密技术可以有效地防止信息被恶意篡改截取。数据加密技术根据接收方和发送方密钥的具体情况加密算法分为对称算法和公开密钥算法。其中对称算法加密、解密密钥相同,该方法具有计算速度快的优势,对称算法中的密钥是保证网络完全的重要方面。公开密钥算法加密密钥和解密密钥互不相同。相比较对称算法,公开密钥算法更便于对密钥进行管理,但是后者算法要比前者复杂,花费的时间也多。因而,在网络安全维护中,这两种方法可以结合使用。
(3)入侵检测技术。入侵检测是指计算机网络系统收集相关的重要信息,分析采集的信息,以便从信息中找到遭受攻击的地方,找到违反安全策略的行为,并根据找出的疑点做出相应的处理。根据检测方法可以将入侵检测分为误用检测、混合型入侵和异常检测三种。第一种检测是根据已知的攻击方式来制定入侵模式库,然后通过其进行判断。误用检测能够检测已知的攻击模式,却不能检测新的入侵方式。而异常检测则是对计算机网络中存在的不正常的行为进行检测,检测非正常使用计算机网络资源的情况,从而找出非法入侵的行为。异常检测具有检测速度快、检测未知攻击的特点,但是异常检测的错误率较高。混合型入侵检测系统是同时采用两种不同的入侵方法。入侵检测技术的功能主要表现在:①审核计算机信息系统的人配置,检测其安全漏洞;②检测计算机信息系统,分析使用用户的活动;③查找使用用户违规操作的行为;④统计分析不正常的行为,找出攻击方式的规律;⑤及时检测攻击者的入侵行为,并对该行为做出相应的反应;⑥检测计算机信息系统程序的正确性,分析信息数据的正确性。
2.2网络安全与通信技术的应用创新
网络安全与通信技术的应用创新主要体现在以下方面:首先,标准化活动。国际标准化组织正积极制定相关的安全评价标准;其次,Internet安全标准化。Internet安全标准主要是电子邮件方面的安全保密标准。最后,加密算法。加密算法主要包括IDEA、B-CRYPT、FEAL、MULT12等方法。标准化的安全技术不仅方便用户使用网络,还促进了社会网络信息系统的良好发展,目前每一个国家和国际组织都在积极使用标准化的安全技术。
3结语
总之,网络安全与通信技术的应用创新对实现计算机网络发展具有重要的现实意义。加大研发力度,积极运用标准化的安全技术,有效促进网络安全和通信技术的应用创新,实现计算机网络可持续发展。
作者:谭魏欣 单位:湖北省荆州市长江河道管理局通信总站
参考文献:
[1]熊芳芳.浅谈计算机网络安全问题及其对策[J].电子世界,2012(22):139-140.
[2]刘超,王冠超.网络安全与通信技术的应用及创新研究论述[J].中国新通信,2016(2):77.
[3]何道敬.无线网络安全的关键技术研究[D].浙江大学,2012.
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 07-0000-01
Related Issues of Enterprise Network in Defense Depth System
Lian Qiang
(Henan Sanmenxia Yellow River Pearl Group Co., Ltd.,Information Center,Sanmenxia472000,China)
Abstract:The enterprise information and enable the rapid development of e-commerce enterprise network security is increasingly evident.Based on the analysis of network security situation and the characteristics of corporate networks,network security in compliance with the basic principles and based on recognized standards,proposed a model based on dynamic enterprises and network security defense in depth system.
Keywords:Enterprise network security;Network defense systems;Dynamic security model;System testing
一、引言
网络安全体系结构是从系统的、整体的角度来考虑网络安全问题。参照权威的信息安全标准,围绕企业网络特点,以先进的网络安全理论为指导的,是解决企业网络安全体系问题的必不可少的手段[1,2]。本文正是基于这个思路,力争站在一个统揽全局的层次上,摒弃企业网络的实现细节,抽象网络安全需求,建立一个完善的企业网络安全模型与体系。
二、企业网络动态安全模型
针对一个具体的网络系统,网络活动、网络的系统管理甚至网络体系结构都可能是一个动态的、不断变化的过程,所以,在考虑网络的安全性时,应从被监控网络或系统安全运行的角度,根据实际情况对网络(或系统)实施系统的安全配置。也就是说,网络安全应是一个从网络运行的角度考虑其安全性的动态过程。
这里提出的可自适应网络安全模型P2DR就是这样一个动态的安全模型。其中,安全策略用以描述系统的安全需求以及如何组织各种安全机制来实现系统的安全需求。从基于时间的角度及普遍意义上讲,P2DR模型概括了信息网络安全的各个方面。我们需要根据模型做出自己的定义和阐述,使其符合企业网络安全防御体系的需要。
(1)
公式中Pt表示系统为了保护安全目标而设置各种保护后的防护时间,也可认为是黑客攻击系统所花的时间。Dt表示从攻击开始,系统能够检测到攻击行为指导所花的时间。Rt为发现攻击后,系统能做出足够响应将系统调整到正常状态的时间。如果系统能满足上述公式,即:防护时间Pt大于检测时间Dt加上响应时间Rt,
则认为系统是安全的,因为它在攻击造成危害前就对攻击做出了响应并做出了处理。
(2) ,if
公式中Et表示系统的暴露时间,假定系统的防护时间Pt为0,即系统突然遭到破坏,则希望系统能快速检测到并迅速调整到正常状态,系统的检测时间Dt和响应时间置之和就是系统的暴露时间Et。该时间越小,系统安全性越好。由此,我们可以得出动态网络安全的新概念:及时的检测和响应就是安全。
三、基P2DR模型的企业安全防御体系
根据前面叙述的P2DR动态网络安全模型,针对企业的网络系统,我们可以在对网络系统进行安全评估的基础上制定具体的系统安全策略,借助现有各种网络安全技术和工具,设立多道的安全防线来集成各种可靠的安全机制从而建立完善的多层安全防御体系,以求能够有效地抵御来自系统内外的入侵攻击,达到企业网络系统安全的目的。
(一)以安全策略为中心
企业规程应该简明扼要。规程不应包含技术实施的详细内容,因为这些内容经常更改。设计安全策略时应认真制订计划,以确保所有与安全有关的问题都得到充分重视。
(二)系统预警
预警是防患于未然,因此有效的预警措施对企业网络安全十分重要。对安全漏洞的扫描是系统预警的重要方面。所谓漏洞扫描是指利用扫描程序(scanner)自动检测远端或本地主机安全脆弱点。在网络管理员的手里,扫描程序可以使一些烦琐的安全审计工作得以简化。我们可以将常用的攻击方法集成到漏洞扫描程序中,输出统一格式的结果,这样就可以对系统的抗攻击能力有较为清楚的了解。
(三)系统防护
系绕防护包括系统论证、访问控制、加密传输、数据完整性检查等。防火墙作为一种传统的网络安全产品,其主要功能就是实施访问控制策略。访问控制策略规定了网络不同部分允许的数据流向,还会制定哪些类型的传输是允许的,其它的传输都将被阻塞。加密传输也很重要。由于Internet上数据的时文传输,维修Internet造成了很大的顾虑。随着全球经济一体化趋势的发展,加密是网络防御体系中日益重要的一块,在Internet上构筑虚拟专用网(VPN)是解决加密传输的一种普遍实用的方法。
(四)系统检测
检测包括入侵检测、网络审计和病毒检测,入侵检测和网络审计的功能有很大的重复性,它们可以互为补究。其数据源也可以一次采集,重复利用。入侵检测作为一种动态的监控、预防或抵御系统入侵行为的安全机制,是对传统计算机机制的一种扩充,它的开发应用增大了网络与系统安全的保护纵深,这是因为:现有的各种安全机制都有自己的局限性。
四、结语
本文描述了企业网络的组成与特点,指出了我国企业安全存在的问题。针对这些问题,说明了P2DR动态安全模型,并详细阐述了基于P2DR模型的企业网络安全防御体系,解释了体系各部分的组成和功能。
另外一家西雅图的企业也有相似遭遇。他们的一台笔记本电脑在办公室被盗,之后企业就遭到了黑客攻击。大约一个月之后,他们的资金开始被偷偷转移。
第三家公司的员工身份信息全部被盗,黑客团伙成功击垮了公司的安全网络。
至少这家企业还有安全网络,而大多数企业并没有。2012年全美小型企业安全网络调查显示,83%的小型企业没有正式的安全网络防护计划,而69%的企业甚至连非正式的安全网络防护计划都不具备。与此同时,这份报告还指出,71%的小型企业每天都要使用互联网来维持运行,而其中半数企业都认为网络黑客窃取数据属于小概率事件,并不会对他们的企业产生影响。
然而,赛门铁克公司2011年的研究显示,网络攻击平均会给小型企业带来18.8242万美元的损失;将近三分之二在遭受攻击后的6个月内倒闭。
其实这种事完全可以避免,最好的防护措施是加大黑客侵入的难度。据Verizon 2011年对数据侵入的研究显示,超过8成的被攻击企业都没有对他们的WiFi系统进行加密防护,或密码强度不够高。你需要做的是进行以下6个步骤,让你的企业不会轻易成为黑客攻击的目标。
数据加密
银行账户信息、信用卡账户和企业员工的社会保险账户信息,都是黑客重点袭击的对象,也是他们用来盗取资金的工具。Steve Cullen是赛门铁克SMB云服务高级副总裁,他表示:“储存重要数据时,一定要对这些数据进行加密。”
SANS Institute是一家安全研究与教育机构,该机构教育人员Lance Spitzer建议人们将系统的安全防护级别调至最高,并使用全硬盘加密工具,现在各种主流系统都具有这样的工具,如Windows上的BitLocker,Mac上的FileVault。打开这些工具只需要花费用户几分钟的时间,但却能够对硬盘上的所有文件和程序进行加密防护,而且不会影响系统运行的流畅度。但是有一点需要注意,这个加密工具只会在用户不对计算机进行操作的情况下被启用,这意味着,当用户操作计算机的时候,黑客仍然可以通过病毒和木马来窃取用户数据。将计算机的休眠时间设置为15分钟,可以使这种加密效果更好。
不使用这种方法会出现什么样的后果?如果你不对自己的硬盘进行加密,有可能黑客会对你的硬盘进行加密,使你无法访问本来属于自己的数据。在侵入企业的网络之后,一些黑客会对企业存储在计算机上的数据进行加密,并且以此来要挟企业,让企业用金钱来换取密码。
保管好硬件
在西雅图地区被黑客侵入的企业中,有40家企业的硬件设施被盗,这也是黑客们常用的盗取企业数据的手法之一。在一个案例中,一家企业丢失了价值30万美元的设备,其中包括笔记本电脑、手机和其他设备。摄像头记录了他们行窃的全部过程,这些黑客利用手推车将设备运到卡车上,而整个行窃过程居然持续了4个小时之久。
对于这些黑客来说,他们不会被警报所吓走,因此,将计算机等硬件设备锁在桌子上,能够加大他们行窃的难度。然而现实是,很少有人会充分利用笔记本电脑上的安全锁,将它锁在桌子上。当然,窃贼有能力将这些绳索割断,但是我们仍然要利用一切方法加大他们行窃的难度。Cullen表示:“他们不愿意多花哪怕是一分钟的时间。时间是窃贼最大的敌人。”
除了使用笔记本电脑上的安全锁之外,还可以使用更加有效的防盗措施。位于华盛顿的CRU-DataPort公司制造了一些这样的计算机设备,配有安全锁、USB安全密匙甚至是硬盘内置的加密工具;即使硬盘被盗,黑客也无法访问其中的数据。
另一个实用的工具为软件追踪,尤其是对于那些依靠笔记本电脑进行移动工作的企业。软件追踪企业Prey开发了一种产品,能够使用多种方法对各种丢失的设备进行追踪,例如智能手机甚至是服务器等。当设备丢失时,它能立刻启动密码锁定设备;如果该设备有摄像头,甚至可将窃贼照片发送给失主。另外,这个工具的月使用费十分低廉。
锁定网络
很多被黑客攻击的企业都是被黑客利用了WiFi网络漏洞。在黑客界有一个专门术语叫“wardriving”——黑客在自己的汽车里安装大功率天线,他们开着车在城里到处搜寻那些未加密的WiFi网络。在锁定目标WiFi之后,剩下的事情对于黑客们来说轻而易举,他们可以破解企业的各种密码,甚至获取企业的财政数据。
对付wardriving最好的方式,就是压根儿不要部署无线网络。有线网络虽然实用性较低,却能提供更高的安全性,因为黑客很少有机会接触到企业的有线路由器。但是如果你的企业必须使用无线网络,第一件要做的事情就是要关闭网络SSID的广播功能,这将加大黑客搜寻到企业无线网络的难度,只有知道网络的确切名称和密码的用户才能接入。咖啡厅之类的小型企业应该采取这种方法,并且定期更改网络信息,当顾客需要使用无线网络的时候,可以从工作人员那里获得网络信息。
当你在为企业部署WiFi的时候,一定要使用最新的安全标准。西雅图一些被黑客袭击的企业,使用的还是WEP加密标准,而这种标准早在10年前就已经不再安全了,可以想像在黑客眼中这个标准是多么小儿科。现在最新的安全标准是WAP2标准,能提供更长更难破解的密码。在设定密码时,你应该使用一系列毫无意义的数字、特殊字符和大小写字母,这样能为你提供更高的数据安全性。Cullen表示:“这样的密码黑客需要100万年才能够破解出来。”
安装反恶意软件和反病毒软件
当黑客成功利用wardriving侵入企业的网络之后,他们会在网络中的其他计算机上植入恶意软件或是病毒。但是他们并不是使用WiFi本身来发送病毒的,而是依靠推送垃圾邮件来进行病毒投送。一旦用户点击了邮件中的病毒或是程序,它们就会在计算机上安装后台运行代码,记录用户的各种密码,并将密码发送给黑客。Verizon的研究显示,2010年几乎一半的数据侵入都使用了恶意软件,80%的密码被盗也是恶意软件造成的。
SANS Institute的Spitzner表示:“恶意软件是黑客窃取企业资金的最主要方式。只要你访问那些需要密码才能登陆的网站,例如Facebook、网上银行等,恶意软件就会记录下你输入的信息,并将这些信息发送给黑客。之后这些黑客就会立刻登陆你的网上银行,将你的资金转走。”
恶意软件就是这样安装并在你的计算机上工作的,你需要做的就是在计算机上安装恶意软件和病毒防护软件,智能手机等移动设备上也是一样。每次在安装新软件之后,都应该让防护软件进行扫描和检查,已确保新装软件是否安全。另外,还要定期更新防护软件,没有更新的防护软件无法为你提供任何防护。
培训员工
如果你的网络中的任意一台计算机被感染,那么整个网络的所有计算机都处在危险当中。Cullen表示:“你不应该是唯一一个负责保护你和顾客的信息的人,所有的员工都应该参与进来。作为企业的拥有者,你应该为他们提供帮助和指导。”
你要让员工知道,恶意软件会通过邮件进行传播,并让IT部门的领导举行定期的会议和培训。首先你应该制定企业互联网使用政策,规范员工的互联网活动,例如禁止员工打开不明邮件的附件和链接,以及限制员工使用企业网络打开个人智能手机上的私人邮件。
雇佣网络安全提供商
聘请外部安全专家将有助于降低小型企业被攻击的概率。这些网络安全提供商是小型企业抵御黑客攻击的好帮手。Cullen表示:“他们能够处理很多小型企业不能或不想处理的安全问题。至少在我自己创业的时候,我不想把时间花在考虑安全问题上面。”
在雇佣网络安全提供商之前,你要仔细阅读各个安全提供商的服务项目和条款以确定最适合你的提供商。例如,如果你经常使用在线信用卡支付业务,那你就要确保你的网络安全供应商符合支付卡行业数据安全标准(PCI DSS),不然如果你被黑客攻击,你就要自负损失。
你甚至还可以将整个IT部门外包给管理服务提供商(MSP),他们将远程管理企业的安全系统,负责将你的数据备份在他们的服务器上,并且进行更新防火墙、加密数据等工作,确保你的企业平稳运行。当问题出现时,他们将会为你的损失负责。
至于那起西雅图案件,警方最终成功捕获了这个网络犯罪团伙,而且使用的是老式的刑侦手法。当团伙的一名成员正在酒吧使用一张偷来的礼品卡时,被警方抓获。警方找到了一辆装有大功率天线的奔驰车,并顺藤摸瓜捕获了他的两个同伙。这个团伙于去年夏天被宣判将在监狱中度过22年的时间,并要赔偿受害者的损失。 译| 鲁行云
已经被黑客狙击怎么办
如果你发现公司的大笔资金被转移到俄罗斯或任何与你没有业务来往的国家,你需要立刻联系你使用的银行。Spitzer表示:“你发现得越早,找回你的资金或将损失最小化的可能性就越大。”
如果你公司的计算机被盗,那么立刻报警,警察也许正在调查类似的案件,他们能为你提供一些帮助和线索,并且他们能够联系到其他部门,例如FBI和安全部门,这些部门在处理网络犯罪方面更有经验。但最重要的是马上更改你的各种密码并监控银行账户余额,包括公司账户和你的个人账户。
你还想还击?尝试在你的网络上安装Mykonos网络安全软件。这个软件是由一家位于旧金山的公司开发的,它能够将攻击软件重新发送给黑客,让黑客不断被打扰,加大他们攻击的难度,甚至可以直接拖慢黑客的计算机,让他们无计可施。
保持警惕,注意安全!
网络上有很多关于安全的知识。以下几个免费资源可以帮助你远离网络攻击。
FCC Small Biz Cyber Planner 2.0
每个企业有不同的安全需要,这个工具(FCC.gov/CyberPlanner)能够让企业根据自己的需要自主选择安全设置。
Krebs on Security
前《华盛顿邮报》记者Brian Krebs在上撰写网络犯罪发展的博客。不要在睡前阅读这个博客,不然你会做噩梦的。
OnGuardOnline
一、引言
计算机网络安全的本质含义就是确保计算机用户在互联网上的行为信息与利益的安全。从狭义的观念上来说,就是运用网络进行技术和管理控制,保证在相应的网络环境中,数据的完整性、可使用性及保密性,使组成计算机网络安全系统的软、硬件设备与软件设施及其中的数据得到保护,防止恶意的或者偶然的原因而遭受到泄漏、破坏、更改等。计算机网络的组成包括组建网络的硬件、控制管理网络的软件以及共同享有的资源等的多种数据。计算机网络安全涉及多方面,不仅仅包括网络系统自身,同时它也含有信息安全技术。造成计算机网络不安全的因素多种多样,概括为偶发因素、人为因素、自然因素。计算机网络安全有逻辑安全和物理安全这两个方面,其中逻辑安全又包括信息的保密性、完整性以及可用性;而物理安全则指与系统相关的设备、设施得到物理方面的保护,免于被损坏、丢失等。
二、当前存在的网络安全问题
(一)网络硬件设备缺陷
网络硬件设备在互联网中占有重要地位,是不可或缺的一部分,其自身就存在着安全方面的隐患。计算机网络存在的一个巨大威胁是硬件设备的泄漏,也是网络安全中主要的隐患问题,并且也增加了计算机网络泄密、窃密、失密的危险性,与此同时,其处理文件与同步过程中系统程序也会有安全隐患。另外网络安全隐患问题在通信方面的脆弱性上也有体现,表现在它可能有一个机会,在处理程序与数据和信息交换的过程中强加上外部的影响,从而影响网络安全。影响程序正常运行的主要有光缆、专线、电话线、微波这四种线路,其中专线、电话线、微波这三种线路较光缆上的信息相对容易窃取,另外对计算机信息安全构成威胁的还有操作失误、规章制度不健全、管理水平较低、渎职等多个方面。
(二)操作系统缺陷
操作系统对本地计算机以及网络系统的安全起到至关重要的决定性作用,它是一个支撑软件,为相应的程序或其它的运用系统提供一个正常运行的环境。计算机中的操作系统建立起上层软件、计算机硬件以及用户连接三方面的联系,确保操作系统在复杂的网络环境中更好的工作。很多常用的程序及操作系统中的核心部分都会发生一定漏洞,出现安全隐患问题,其中操作系统主要的安全方面的隐患是后门与系统漏洞。显而易见,操作系统软件出现的安全方面漏洞的本质是在不能够完全满足软件安全的条件下引起的网络系统中的主要缺陷。针对操作系统的安全性来说,就是要确保操作系统的正确有效以及安全可靠,即保证操作系统的完整性与安全性。
(三)计算机软件的安全问题
操作系统软件本身存在的不安全性,系统开发与设计的不完善而遗留的破绽,都会对计算机网络造成安全隐患。操作系统软件在网络中起到重要的文件传输作用,软件缺陷是应用软件本身具有的特征之一,比如FTP,这类安装程序常常会带一些由人为编写的可执行文件,一旦出现一点漏洞,那么可能导致系统崩溃。同时,入侵者通过某些漏洞会非常容易地进入到计算机系统内部,破坏计算机相应程序,窃取客户隐私以及一些重要的商业秘密,无论是以上的传输文件,还是安装的程序、加载的程序以及执行文件,都在一定程度上会给操作系统造成安全隐患问题,更严重的会把计算机中保密系统的资料、文件提供给外人,这将对计算机网络的安全构成严重威胁。
三、计算机网络安全的解决方案
(一)管理的安全解决方案
管理问题在网络的安全问题中是最为重要、最核心的一个方面,主要原因是因为在一系保网络安全的实施过程中,不可否认的主体是人,做一个假设,比如缺少一个有效、有序的管理机制,那么即使网络安全方面的方案实施得非常到位也都失去了意义。因此,在我们的工作中,首先要对网络安全知识加强培训工作,并且制定有关网络维护、系统维护方面的规程,建立相应的确实有效的应对预案,同时,运用一些技术层面的手段管理计算机网络安全问题,实现其制度化与规范化。
(二)计算机系统安全解决方案
最近几年,伴随着网络世界的快速发展,病毒的传播路径发生了很大改变,由以前的通过软盘、光盘传播转变为现在波及范围更广、破坏性更大的网络传播方式。在这种背景下,我们要做的首先是提升对病毒的防范观念,加强日常的杀毒与检测工作,一旦发现有病毒要及时、快速的消灭,尽量避免其进一步扩散。针对黑客,窃取数据以及对系统进行篡改是其主要目标,因此做好入侵检测与漏洞扫描是我们要加强的工作。此外,一些不可预知的、突发性的问题在系统安全方面也时有发生,针对这些我们可以采取对系统进行备份来应对,做到“有备无患”。
四、结束语
随着计算机技术的飞速发展,互联网络的使用越来越普及,关于计算机网络安全方面的问题已经影响到我们生活中的方方面面,网络在给人们的生活带来极大便利的同时也存在严重的隐患问题。不可否认的是计算机网络安全使各个行业得到安全保障,从而也使工作效率得到进一步提高,但同时产生的很多问题也给我们的生活带来困扰,因此,如何解决好网络安全问题是至关重要的。在维护计算机网络安全的过程中,我们应该运用网络安全技术与工具,这是网络安全的基础,并且制定相对应的安全标准,给计算机网络提供一个安全而洁净的生存环境。
参考文献:
1.2人为因素。影响计算机及网络安全的因素,除了计算机自身的原因之外,还有一部分原因是人为因素造成的,主要表现在以下几个方面。第一,计算机及网络管理者缺乏安全意识,,很多人的网路信息安全意识比较薄弱,或者是根本没有意识到信息网络存在的威胁,存在侥幸心理,认为没有必须采取安全防护措施。第二,网络黑客的恶意攻击。社会上目前存在很多的黑客,他们运用各种计算机病毒、技术手段等对计算机及网络进行攻击,或是非法访问、窃取、篡改计算机信息,或是造成网络通信系统瘫痪等,这些都使得计算机及网络的安全受到严重威胁。
2加强计算机及网络安全防护的具体措施
计算机及网络安全威胁会严重影响用户的信息安全。因此,人们必须要采取有力的措施加以解决,具体来讲,可以从以下几个方面着手解决。
2.1提高人们的计算机及网络安全意识。人们在使用计算机及网络时,一定要提高认识,意识到计算机及网络中潜在的多种威胁,在平时的操作中提高警惕,养成良好的上网习惯。比如在平时使用计算机和网络的过程中,不随意打开来历不明的邮件、不浏览不正规网站等;平时养成良好的病毒查杀习惯,防止某些计算机病毒利用漏洞来攻击电脑,带来不必要的麻烦。这里需要有关人员加强宣传。比如在企业中,领导要加强员工的安全意识,举办信息安全技术培训,向大家介绍计算机及网络安全的重要性,避免侥幸心理,确保信息安全。
2.2加强制度建设。对于目前社会上存在的恶意窃取用户信息等行为,必须要进一步加强制度建设,确保计算机及网络信息安全。第一,国家需要加强法制建设,建立健全相关的法律制度,在此基础上严厉打击不法分子的行为,给其他人以威慑作用,使他们不敢以身试法。第二,在单位中,必须要加强制度建设,防止单位中的人恶意盗取单位信息。这就要求各单位根据其自身的特点,进一步完善信息采集、保密管理等方面的制度,然后再建立健全身份识别、密码加密等制度,规范信息安全标准,用单位中的各种制度来进一步约束人们的“设网”行为。
2.3运用多种技术手段。为了进一步加强计算机及网络管理和安全防护,必须要采取多种技术手段,确保信息安全,具体来讲,可以充分运用以下几种计算机及网络安全技术。(1)防火墙技术。防火墙技术是目前大家比较常用的一种计算机及网络安全防护技术,它的实现手段非常灵活,既可以通过软件来实现,又可以借助硬件来完成,还可以将硬件和软件有机结合起来达到有效保护计算机及网络安全的目的。这种技术一般位于被保护网络和其他网络的边界,其防护过程如下:先接收被保护网络的所有数据流,然后再根据防火墙所配置的访问控制策略,对这些数据流进行过滤,或者是采取其他措施,有效保护计算机及网络安全。防火墙系统具有两个方面的作用,一方面,它借助相关过滤手段,可以有效避免网络资源受外部的侵入;另一方面,它还可以有效阻挡信息传送,比如从被保护网络向外传送的具有一定价值的信息。就目前防火墙技术的实现方式来看,主要有应用级网关、过滤防火墙这两种不同的方式。(2)病毒防范技术。众所周知,计算机病毒具有传播快、隐蔽性强等特点,是计算机及网络安全的重要问题。因此,人们必须要采用病毒防范技术,确保计算机及网络安全。比如在计算机上安装病毒查杀软件,比如市场上比较受大家青睐的金山卫士、卡巴斯基、360安全卫士等多种安全软件,定期检查电脑安全,保障计算机及网络安全。(3)网络入侵检测技术。计算机及网络中存在很多的网络入侵行为,造成计算机信息泄露。针对这种行为,人们就可以充分运用网络入侵检测技术,有效保障计算机及网络安全。这种技术一般又称作网络实时监控技术,主要是通过相关软件(或者硬件)对被保护的网络数据流进行实时检查,然后将检查的结果与系统中的入侵特征数据进行比对,如果发现两者的结果一致,则存在计算机及网络被攻击的迹象,这时候计算机就会参照用户所定义的相关操作出反应,比如马上切断网络连接,防止计算机病毒的传播;或者是直接通知安装在计算机上的防火墙系统,调整计算机访问控制策略,过滤掉那些被入侵的数据包等,从而有效保证计算机及网络的安全。因此,人们可以通过采用网路入侵检测技术,可以有效识别网络上的入侵行为,然后采取相关措施加以解决。此外,人们还可以运用数据加密技术、黑客诱骗技术、网络安全扫描技术等,从而有效保障计算机及网络安全。
中图分类号:F626.5 文献标识码:A
随着科技的不断发展,信息技术全球化的趋势也越来越明显,各种网络技术不断融合,信息覆盖的业务领域也在不断的扩大,移动通信系统的业务不仅与数据有关,业务范围在不断的扩大,电子商务、多媒体、互联网等众多的领域都已经涉及,移动信息交换的速度也获得了大幅度的改善,3G移动通信系统可以满足用户多方面的需求,获得了用户的广泛好评。由于3G移动通信系统具有众多的优势,因此,使用3G移动通信系统的客户越来越多,所以,3G移动通信系统网络安全问题开始获得了人们的广泛关注。
1 3G移动通信系统的发展及其网络安全
所谓的3G也就是英文the third generation的简称。3G移动通信系统,主要指现在应用的第三代移动通信技术,移动通信技术自从产生到现在已经经历了三次技术变革。1986年国际电联正式提出3G的概念,3G移动通信系统属于新一代与多媒体整合的通信系统,它将无线通信与互联网有机的结合,运用3G系统用户基本的通话需求不仅可以满足。而且还可以满足用户电子商务、图像、视频交互等非语音业务的一些功能,3G移动通信系统为用户提供了更多的优质服务,业务范围更加广泛。
由于3G移动通信系统业务范围不断扩大,不断地将互联网等多媒体业务与移动业务有机的结合,使得原本封闭的网络逐渐开放,这样,不但增加了业务量,为用户提供了更多优质的服务,而且还节省了投资,赢得了更多的网络用户,促进了企业的发展,但是,3G移动通信系统网络安全问题也开始显得越来越重要。构建3G系统网络安全的主要原则应该包含以下几个方面,由于3G系统网络是建立在2G系统网络基础之上,因此,3G网络要充分吸收2G网络的系统管理经验,要继续使用2G系统中比较成熟的安全管理方法,要修补和改正2G网络所存在的一些问题,要保证3G网络移动通信系统的运行安全。同时,保证3G网络新兴业务服务的运行安全。3G系统网络安全的管理目标是:3G用户的通信信息安全一定要保证,3G用户的网络信息安全一定要保证,明确安全标准,安全系统可被升级。明确加密算法;便于用户大范围之间的应用;保证新业务的使用安全。
2 3G移动通信系统网络所面临的安全威胁
由于传播方式以及传输信息的影响,移动通信系统网络所面临的安全威胁更加严重,移动通信系统为保证数据信息的有效传播,无线电讯号需要在传播过程中进行多角度、多方向传播,并且传播必须具有强大的穿透力,和有线网络相比,其信息遭受破坏的因素会更多。3G用户的通信信息安全面临更多的威胁,由于3G网络提供了许多新的服务,业务范围不断增加,3G移动通信系统用户可以登入互联网,通过手机终端共享网络资源,所以,来自网络的安全威胁也影响着3G移动通信系统网络用户的通信信息安全。
相比2G系统,3G移动通信系统更易受到网络安全的威胁。因为3G系统相比之前的2G系统数据资源量巨大,并且网络信息也比较多,有些信息涉及到金钱利益等方面,因此,不法分子以及黑客就会寻找机会,导致网络安全受到威胁。另外,3G移动通信系统的网络开放程度比较高,所以,也给黑客的攻击创造了许多的方便条件,还有,如果3G网络软件设置有缺陷,也可能导致3G系统产生漏洞,给3G网络带来不安全因素,造成潜在安全威胁。
3 3G移动通信系统网络安全防范对策
3.1 3G系统的安全体系结构
3G安全算法逻辑结构主要包括三个不同层面,由低到高这三个不同层面分别是:传输层、服务层、归属层、应用层;针对不同的攻击类型,结构中定义了五组安全特性,分别为网络接入安全、核心网安全、用户网安全、应用域安全、以及安全特性可见性、可配置能力。3G网络系统中的网络接入安全主要指对无线网络的保护,包括以下功能:对移动设备的认证、网络认证、用户身份识别、用户认证、机密性算法等。核心网安全主要指数据传输运营商间的安全性,核心网安全包括建立密钥、分配密钥、通信安全三个安全层次。用户网安全主要指移动台接入的安全特性,用户网安全包括USIM卡与终端、用户与USIM卡两个层次。用户网安全主要是信息传输链路的保护以及保证它们之间的正确认证。应用域安全主要指用户在进行相关应用程序操作时,数据交换的安全性,由于USIM卡提供了新的功能,因此,网络向USIM卡一定要保证传输信息安全。安全特性的可配置能力及可视性主要指用户自行设置安全系数的功能以及所应用的服务允许了解安全性。
3.2 网络安全的具体防范措施
3G移动通信系统网络个人用户一定要提高安全意识,要慎重接收不明信息,要仔细鉴别无线传输的对象,下载网络资源以及浏览网页的时候要时刻注意网络的安全性。要安装必要的杀毒软件,确保网络安全。还有,企业用户要建立完善监管制度,宣传安全知识,对3G移网络进行有效管理,最后,电信运营商不但要保证自身信息传输过程及终端等接入网络的安全性,同时,也要保证用户信息传输以及接入网络的安全性。
3.3 3G网络新技术的广泛应用
随着密码学的发展,新的密码技术将会获得广泛的应用,在移动通信系统中量子密码技术、生物识别技术、椭圆曲线密码技术等将获得广泛应用,不同媒体间的无缝接入也将成为未来网络安全研究开发的重点。互联网成熟的安全防范技术也将逐步应用于3G网络,3G网络的安全防范性能一定会越来越好。
结语
在日常生活中,移动通信系统网络已经获得了广泛的普及,手机等移动终端已经成为人们生活中越来越重要的日常用品,所以,3G网络的安全问题对于人们通过手机终端共享网络资源以及手机信息资源的安全有着很重要的影响,因此,如何解决3G网络的安全问题,是移动通信系统需要不断完善的一个重要问题。
参考文献
[1]常永宏.第三代移动通信系统与技术[M].北京:人民邮电出版社,2002:1-10.
[2]3G移动通信系统的安全体系与防范策略.信息安全与通信保密[J].2009,(8):22-23.
一、引言
互联网的发展及全面普及,给现代商业带来了新的发展机遇,基于互联网的电子商务应运而生,并成为一种新的商务模式。以互联网为基础的这种新的商务模式,也存在着许多亟待解决的问题。调查显示,网络安全、互联网基础设施建设等九大问题是阻碍电子商务发展的主要因素。其中,安全问题被调查对象列在首位。人们在享受电子商务带来极大方便的同时,也经常会被安全问题所困扰。安全问题成为电子商务的核心问题。本文将对电子商务安全问题及基本解决办法做一个探讨。
二、电子商务安全问题产生的原因
电子商务安全问题,不仅仅是网络安全问题,还包括信息安全问题、交易过程安全问题:
1.管理问题
大多数电子商务网站缺乏统一的管理,没有一个合理的评价标准。同时,安全管理也存在很大隐患,大多数网站普遍易受黑客的攻击,造成服务器瘫痪,使网站的信誉受到极大损害。
2.技术问题
网络安全体系尚未形成。网络安全在全球还没有形成一个完整的体系。虽然电子商务安全的产品数量不少,但真正通过认证的却相当少。安全技术的强度普遍不够,国外有关电子商务的安全技术,虽然整体来看其结构或加密技术都不错,但这种加密算法受到外国密码政策的限制,对其他国出口的安全技术往往强度不够。
3.环境问题
社会环境对于电子商务发展带来的影响也不小。社会法制建设不够,相关法律建设跟不上电子商务发展的法律基础保证。
三、常见的电子商务安全问题
由于互联网的完全开放性,以及不可预知的管理漏洞、技术威胁等出现,带来了各种各样的安全问题。其产生的主要隐患为网络安全隐患、交易隐患。
1.网络安全隐患
计算机网络设备,电子商务依赖计算机系统的正常运行得以开展业务,网络设备本身的物理故障,将导致电子商务无法正常进行;网络恶意攻击,使得网络被破坏、导致系统瘫痪;安全产品使用不当,虽然在进行电子商务交易前采用了一些网络安全设备(如防火墙、杀毒软件等),但由于安全产品本身的问题或者使用的不当,导致这些产品并不能起到应有的作用。
2.交易隐患
交易隐患是困扰电子商务正常健康交易的最大障碍。在交易过程中,常存在以下隐患。假冒问题,攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益;在电子商务世界里谁为交易双方的纠纷进行公证。
四、解决电子商务安全问题的基本技术
为避免电子商务中存在的安全问题,合理有效的措施极为重要,在实施过程中最为关键的技术主要有网络安全技术、加密与认证技术、安全协议。
1.网络安全技术
在应用网络安全技术方面,防火墙技术是主要技术。防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。防火墙是加强Intranet (内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。
2.加密与认证技术
(1)加密技术。加密技术作为主动的信息安全防范措施,利用加密算法,将明文转换成为无意义的密文阻止非法用户理解原始数据,从而确保数据的保密性。
加密技术是电子商务采取的主要安全措施。其目的在于提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析。加密技术通常分为对称加密和非对称加密两类。目前,常用的非对称加密算法有RSA算法。
(2)认证技术。认证技术是保证电子商务安全的又一重要技术手段,是防止信息被篡改、删除、重放和伪造的一种有效方法,它使发送的消息具有被验证的能力,使接收者能够识别和确认消息的真伪。认证的实现包括数字摘要、数字信封、数字签名、数字证书和智能卡等技术。
3.安全协议
安全协议本质上是关于某种应用的一系列规定,包括功能、参数、格式、模式等,通信各方只有共同遵守协议,才能互操作。与电子商务有关的安全协议主要有SSL和SET两个。
(1)安全套接层协议SSL。SSL(Secure Sockets Layer)是由Netscape Communication公司开发的,工作在传输层的协议,主要保护信息传输的机密性和完整性,它适用于点对点之间的信息传输。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。
(2)安全电子交易SET协议。SET(Secure Electronic Transaction)是专门为电子商务而设计的,用于保证在公共网络上进行银行卡支付交易的安全性。SET采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡或借记卡的网上交易的国际安全标准。
五、展望
综上所述,为应对电子商务出现的各种安全问题,电子商务安全技术虽然已经取得了一定的成绩,但是电子商务要真正成为一种主导的商务模式,还必须在其安全技术上有更大的发展和突破。
参考文献:
[1]冯昊:电子商务的安全问题及对策[J].重庆广播电视大学学报,2005,17~4:31~33
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)13-3019-04
1 网络安全评估技术简介
当前,随着网络技术和信息技术的发展与应用,人们对于网络的安全性能越来越关注,网络安全技术已从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究、加强顶层设计,提出系统的、完整的解决方案。
网络信息系统安全评估的目的是为了让决策者进行风险处置,即运用综合的策略来解决风险。信息系统可根据安全评估结果来定义安全需求,最终采用适当的安全控制策略来管理安全风险。
安全评估的结果就是对信息保护系统的某种程度上的确信,开展网络安全系统评估技术研究,可以对国防军工制造业数字化网络系统、国家电子政务信息系统、各类信息安全系统等的规划、设计、建设、运行等各阶段进行系统级的测试评估,找出网络系统的薄弱环节,发现并修正系统存在的弱点和漏洞,保证网络系统的安全性,提出安全解决方案。
2 网络安全评估理论体系和标准规范
2.1 网络安全评估所要进行的工作是:
通过对实际网络的半实物仿真,进行测试和安全评估技术的研究,参考国际相关技术标准,建立网络安全评估模型,归纳安全评估指标,研制可操作性强的信息系统安全评测准则,并形成网络信息安全的评估标准体系。
2.2 当前在网络技术上主要的、通用的、主流的信息安全评估标准规范
2.2.1 欧美等西方国家的通用安全标准准则
1) 美国可信计算机安全评价标准(TCSEC)
2) 欧洲网络安全评价标准(ITSEC)
3) 国际网络安全通用准则(CC)
2.2.2 我国制定的网络系统安全评估标准准则
1) 《国家信息技术安全性评估的通用准则》GB/T 18336标准
2) 公安部《信息网络安全等级管理办法》
3) BMZ1-2000《信息系统分级保护技术要求》
4) 《GJB 2646-96军用计算机安全评估准则》
5) 《计算机信息系统安全保护等级划分准则》等
3 安全评估过程模型
目前比较通用的对网络信息系统进行安全评估的流程主要包括信息系统的资产(需保护的目标)识别、威胁识别、脆弱性识别、安全措施分析、安全事件影响分析以及综合风险判定等。
对测评流程基本逻辑模型的构想如图1所示。
在这个测试评估模型中,主要包括6方面的内容:
1) 系统分析:对信息系统的安全需求进行分析;
2) 识别关键资产:根据系统分析的结果识别出系统的重要资产;
3) 识别威胁:识别出系统主要的安全威胁以及威胁的途径和方式;
4) 识别脆弱性:识别出系统在技术上的缺陷、漏洞、薄弱环节等;
5) 分析影响:分析安全事件对系统可能造成的影响;
6) 风险评估:综合关键资产、威胁因素、脆弱性及控制措施,综合事件影响,评估系统面临的风险。
4 网络系统安全态势评估
安全态势评估是进行网络系统级安全评估的重要环节,合理的安全态势评估方法可以有效地评定威胁级别不同的安全事件。对系统安全进行评估通常与攻击给网络带来的损失是相对应的,造成的损失越大,说明攻击越严重、网络安全状况越差。通过攻击的损失可以评估攻击的严重程度,从而评估网络安全状况。
结合网络资产安全价值进行评估的具体算法如下:
设SERG为待评估安全事件关联图:
定义
IF(threatTa){AddSERGTToHighigh ImpactSetAndReport}
其中,SERG表示安全事件关联,SERGStatei表示攻击者获取的直接资源列表;ASV(a)表示对应资产a的资产安全价值;Ta表示可以接受的威胁阀值;HighImpactSet表示高风险事件集合。
常用的对一个网络信息系统进行安全态势评估的算法有如下几种。
4.1 专家评估法(Delphi法)
专家法也称专家征询法(Delphi法),其基本步骤如下:
1) 选择专家:这是很重要的一步,选的好与不好将直接影响到结果的准确性,一般情况下,应有网络安全领域中既有实际工作经验又有较深理论修养的专家10人以上参与评估,专家数目太少时则影响此方法的准确性;
2) 确定出与网络系统安全相关的m个被评估指标,将这些指标以及统一的权数确定规则发给选定的各位专家,由他们各自独立地给出自己所认为的对每一个指标的安全态势评价(Xi)以及每一个评价指标在网络系统整体安全态势评估中所占有的比重权值(Wi);
3) 回收专家们的评估结果并计算各安全态势指标及指标权数的均值和标准差:
计算估计值和平均估计值的偏差
4) 将计算结果及补充材料返还给各位专家,要求所有的专家在新的基础上重新确定各指标安全态势及所占有的安全评价权重;
5) 重复上面两步,直至各指标权数与其均值的离差不超过预先给定的标准为止,也就是各专家的意见基本趋于一致,以此时对该指标的安全评价作为系统最终安全评价,并以此时各指标权数的均值作为该指标的权数。
归纳起来,专家法评估的核心思想就是采用匿名的方式,收集和征询该领域专家们的意见,将其答复作统计分析,再将分析结果反馈给领域专家,同时进一步就同一问题再次征询专家意见,如此反复多轮,使专家们的意见逐渐集中到某个有限的范围内,然后将此结果用中位数和四分位数来表示。对各个征询意见做统计分析和综合归纳时,如果发现专家的评价意见离散度太大,很难取得一致意见时,可以再进行几轮征询,然后再按照上述方法进行统计分析,直至取得较为一致的意见为止。该方法适用于各种评价指标之间相互独立的场合,各指标对综合评价值的贡献彼此没有什么影响。若评价指标之间不互相独立,专家们比较分析的结果必然导致信息的重复,就难以得到符合客观实际的综合评价值。
4.2 基于“熵”的网络系统安全态势评估
网络安全性能评价指标选取后,用一定的方法对其进行量化,即可得到对网络系统的安全性度量,而可把网络系统受攻击前后的安全性差值作为攻击效果的一个测度。考虑到进行网络攻击效果评估时,我们关心的只是网络系统遭受攻击前后安全性能的变化,借鉴信息论中“熵”的概念,可以提出评价网络性能的“网络熵”理论。“网络熵”是对网络安全性能的一种描述,“网络熵”值越小,表明该网络系统的安全性越好。对于网络系统的某一项性能指标来说,其熵值可以定义为:
Hi=-log2Vi
式中:Vi指网络第i项指标的归一化参数。
网络信息系统受到攻击后,其安全功能下降,系统稳定性变差,这些变化必然在某些网络性能指标上有所体现,相应的网络熵值也应该有所变化。因此,可以用攻击前后网络熵值的变化量对攻击效果进行描述。
网络熵的计算应该综合考虑影响网络安全性能的各项指标,其值为各单项指标熵的加权和:
式中:n-影响网络性能的指标个数;
?Ai-第i项指标的权重;
Hi第i项指标的网络熵。
在如何设定各网络单项指标的权重以逼真地反映其对整个网络熵的贡献时,设定的普遍通用的原则是根据网络防护的目的和网络服务的类型确定?Ai的值,在实际应用中,?Ai值可以通过对各项指标建立判断矩阵,采用层次分析法逐层计算得出。一般而言,对网络熵的设定时主要考虑以下三项指标的网络熵:
1) 网络吞吐量:单位时间内网络结点之间成功传送的无差错的数据量;
2) 网络响应时间:网络服务请求和响应该请求之间的时间间隔;
3) 网络延迟抖动:指平均延迟变化的时间量。
设网络攻击发生前,系统各指标的网络熵为H攻击发生后,系统各指标的网络熵为 ,则网络攻击的效果可以表示为:
EH=H'-H
则有:
利用上式,仅需测得攻击前后网络的各项性能指标参数(Vi,Vi'),并设定好各指标的权重(?Ai),即可计算出网络系统性能的损失,评估网络系统受攻击后的结果。EH是对网络攻击效果的定量描述,其值越大,表明网络遭受攻击后安全性能下降的越厉害,也就是说网络安全性能越差。
国际标准中较为通用的根据EH值对网络安全性能进行评估的参考标准值如表1所示。
4.3模糊综合评判法
模糊综合评判法也是常用的一种对网络系统的安全态势进行综合评判的方法,它是根据模糊数学的基本理论,先选定被评估网络系统的各评估指标域,而后利用模糊关系合成原理,通过构造等级模糊子集把反映被评事物的模糊指标进行量化(即确定隶属度),然后利用模糊变换原理对各指标进行综合。
模糊综合评判法一般按以下程序进行:
1) 确定评价对象的因素论域U
U={u1,u2,…,un}
也就是首先确定被评估网络系统的n个网络安全领域的评价指标。
这一步主要是确定评价指标体系,解决从哪些方面和用哪些因素来评价客观对象的问题。
2) 确定评语等级论域V
V={v1,v2,…,vm}
也就是对确定的各个评价指标的等级评定程度,即等级集合,每一个等级可对应一个模糊子集。正是由于这一论域的确定,才使得模糊综合评价得到一个模糊评判向量,被评价对象对评语等级隶属度的信息通过这个模糊向量表示出来,体现出评判的模糊性。
从技术处理的角度来看,评语等级数m通常取3≤m≤7,若m过大会超过人的语义能力,不易判断对象的等级归属;若m过小又可能不符合模糊综合评判的质量要求,故其取值以适中为宜。 取奇数的情况较多,因为这样可以有一个中间等级,便于判断被评事物的等级归属,具体等级可以依据评价内容用适当的语言描述,比如评价数据管理制度,可取V={号,较好,一般,较差,差};评价防黑客入侵设施,可取V={强,中,弱}等。
3) 进行单因素评价,建立模糊关系矩阵R
在构造了等级模糊子集后,就要逐个对各被评价指标ui确定其对各等级模糊子集vi的隶属程度。这样,可得到一个ui与vi间的模糊关系数据矩阵:
R=|r21r22…r2m|
式中:
rij表示U中因素ui对应V中等级vi的隶属关系,即因素ui隶属于vi的等级程度。
4) 确定评判因素的模糊权向量集
一般说来,所确定的网络安全的n个评价指标对于网络整体的安全态势评估作用是不同的,各方面因素的表现在整体中所占的比重是不同的。
因此,定义了一个所谓模糊权向量集A的概念,该要素权向量集就是反映被评价指标的各因素相对于整体评价指标的重要程度。权向量的确定与其他评估方法相同,可采用层次分析等方法获得。权向量集A可表示为:
A=(a1,a2,…,an)
并满足如下关系:
5) 将A与R合成,得到被评估网络系统的模糊综合评判向量B
B=A・R
B=A・R= (a1,a2,…,an) |r21r22…r2m|
式中:
rij表示的是模糊关系数据矩阵R经过与模糊权向量集A矩阵运算后,得到的修正关系向量。
这样做的意义在于使用模糊权向量集A矩阵来对关系隶属矩阵R进行修正,使得到的综合评判向量更为客观准确。
6) 对模糊综合评判结果B的归一化处理
根据上一步的计算,得到了对网络各安全评价指标的评判结果向量集B=(b1,b2,…,bn)
由于对每个评价指标的评判结果都是一个模糊向量,不便于各评价指标间的排序评优,因而还需要进一步的分析处理。
对模糊综合评判结果向量 进行归一化处理:
bj'=bj/n
从而得到各安全评价指标的归一化向量,从而对各归一化向量进行相应。
5 结束语
本论文首先介绍了网络安全评估技术的基本知识,然后对安全评估模型进行了分析计算,阐述了网络安全技术措施的有效性;最后对网络安全态势的评估给出了具体的算法和公式。通过本文的技术研究,基本上对网络信息系统的安全评估技术有了初步的了解,下一步还将对安全评估的风险、安全评估中相关联的各项因素进行研究。
参考文献:
[1] 逮昭义.计算机通信网信息量理论[M].北京:电子工业出版社,1997:57-58.