網頁安全論文匯總十篇
時間:2023-04-18 17:36:54
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網頁安全論文范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
計算機系統的正常運行以計算機操作系統程序為主要依據,與之相關的各類程序也必須以此為標準,操作系統理所當然地成為了計算機系統中的基本程序。計算機操作系統具有較強的拓展性,開發商很容易完成計算機系統的開發工作。但是,在優化和升級計算機系統的過程中,相關操作技術仍存在較大問題,這是計算機技術快速發展的難點,也是黑客入侵計算機系統的主要切入點。
1.2計算機病毒安全問題
計算機一旦受到病毒的入侵,將會出現嚴重的運行問題,如系統癱瘓、傳輸數據失真以及數據庫信息丟失等。計算機病毒具有典型的潛伏性、傳染性、隱蔽性和破環性,目前,計算機病毒種類主要有以下四種:第一,木馬病毒。該類病毒的主要目的是竊取計算機上的數據信息,具有典型的誘騙性;第二,蠕蟲病毒。熊貓燒香是該類病毒的典型代表,以用戶計算機上出現的漏洞為切入點,綜合使用攻擊計算機終端的方式控制計算機系統,該病毒具有較強的傳播性和變異性;第三,腳本病毒。該病毒主要發生在互聯網網頁位置;第四,間諜病毒。要想提升某網頁的訪問量,強制要求計算機用戶主頁預期鏈接。伴隨著科技的發展,計算機網絡應用范圍不斷擴大,各種類型病毒的破壞性也隨之增加。
1.3黑客
通過網絡攻擊計算機目前,我國仍存在著大量非法人員對計算機系統進行攻擊等行為,這類人員大都掌握著扎實的計算機和計算機安全漏洞技術,對計算機用戶終端與網絡做出強有力的破壞行為是他們的主要目的。黑客攻擊計算機網絡的主要形式有三種:第一,利用虛假的信息攻擊網絡;第二,利用木馬或者病毒程序對計算機用戶的電腦進行控制;第三,結合計算機用戶瀏覽網頁的腳本漏洞對其進行攻擊。
2計算機網絡安全技術在企業網中的應用
2.1防火墻技術
防護墻技術是計算機網絡安全技術在企業網中應用的主要表現形式之一。防火墻技術的應用能夠從根本上解決計算機病毒安全問題,在實際應用過程中,計算機網絡安全中心的防火墻技術被分為應用級防火墻和包過濾防火墻兩種形式。其中應用型防護墻的主要目的是保護服務器的安全,在掃描終端服務器的數據后,如果發現有意或者不合常理等攻擊行為,系統應該及時切斷服務器與內網服務器之間的交流,采用終端病毒傳播的方式保護企業網的安全。包過濾防火墻的主要工作任務是及時過濾路由器傳輸給計算機的數據信息,這種過濾手段可以阻擋病毒信息入侵計算機系統,并第一時間內通知用戶攔截病毒信息,為提高企業網的安全性提供技術保障。下圖1是企業網防護墻配置示意圖。Intranet周邊網絡InternetInternet防火墻周邊防火墻內部網絡服外部網絡務器服務器圖1防火墻配置
2.2數據加密技術
數據加密技術是計算機網絡安全技術在企業網中應用的另一種表現形式。在企業發展建設過程中,要想提高企業發展信息的安全性和可靠性,企業必須在實際運行的計算機網絡中綜合使用數據加密技術。數據加密技術要求將企業網內的相關數據進行加密處理,在傳輸和接收數據信息的過程中必須輸入正確的密碼才能打開相關文件,這為提高企業信息的安全性提供了技術保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種,其中對稱加密算法中使用的加密和加密信息保持一致,非對稱加密算法中加密方法和解密方法存在較大的差異,通常很難被黑客破解,這兩種加密形式在企業網中均得到了廣泛應用。
2.3病毒查殺技術
病毒查殺技術是計算機網絡安全技術在企業網中應用的表現形式之一。病毒對計算機安全有極大的威脅,該技術要求企業技術對計算機操作系統進行檢測和更新,減少系統出現漏洞的頻率;杜絕用戶在不經允許的情況下私自下載不正規的軟件;安裝正版病毒查殺軟件的過程中還應該及時清理病毒數據庫;控制用戶瀏覽不文明的網頁;在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理,確定文件的安全性后才能投入使用。
2.4入侵檢測技術
入侵檢測技術在企業網安全運行中發揮著至關重要的作用,其作用主要表現在以下幾方面:第一,收集計算機操作系統、網絡數據及相關應用程序中存在的信息數據;第二,找尋計算機系統中可能存在的侵害行為;第三,自動發出病毒侵害報警信號;第四,切斷入侵途徑;第五,攔截入侵。入侵檢測技術在企業網中的應用具有較強的安全性特征,該技術的主要任務是負責監視企業網絡運行狀況,對網絡的正常運行不會產生任何影響。入侵檢測技術使用的網絡系統以基于主機系統和基于網絡的入侵系統為主。基于主機系統的入侵檢測技術主要針對企業網的主機系統、歷史審計數據和用戶的系統日志等,該檢測技術具有極高的準確性,但是,實際檢測過程中很容易引發各種問題,如數據失真和檢測漏洞等;基于網絡入侵檢測技術以其自身存在的特點為依據,以網絡收集的相關數據信息為手段,在第一時間將入侵分析模塊里做出的測定結果發送給網絡管理人,該技術具有較強的抗攻擊能力、能在短時間內做出有效的檢測,但是,由于該技術能對網絡數據包的變化狀況進行監控,在實際過程中會給加密技術帶來一定程度影響。入侵檢測技術在企業網的應用過程中通常表現為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經確定的入侵模式為主,在實際檢測過程中,該檢測方法具有響應速度快和誤警率低等特點,但是,該檢測技術需要較長的檢測時間為支撐,實際耗費的工作量比較大。異常檢測的主要對象是計算機資源中用戶和系統非正常行為和正常行為情況,該檢測法誤警率較高,在實際檢測過程中必須對整個計算機系統進行全盤掃描,因此,必須有大量的檢測時間作支撐。
篇(2)
(1)從使用網絡的人來看,網絡使用者的安全防范意識不盡相同,有的人非常重視網絡安全,有的人甚至不知道什么是網絡安全,網絡安全意識薄弱。
(2)從黑客的角度來分析,黑客對于網絡安全的威脅是目前最大的。黑客通常是利用技術將帶有病毒的游戲、網頁、多媒體等放入軟件終端,電腦使用者不留意就會點開這些資源,黑客就會監控電腦的一切活動,會偷取計算機上的用戶名、賬戶、密碼等個人隱私數據,或者占用系統資源,嚴重的情況下會導致系統崩潰,企業相關的資料都會消失,損害企業的經濟、財產,并為網絡安全帶來威脅。
1.2客觀因素
石油企業應用網絡辦公都已經形成了企業獨立的網絡系統,但還是受到網絡安全的威脅,主要是由于影響石油企業網絡安全的自然原因主要是操作系統和軟件的漏洞。隨著科技的發展,網絡操作系統和應用軟件總在不斷地更新,而且其更新比較慢,這就為黑客的入侵提供了縫隙。
2、石油企業網絡安全的防護技術措施
隨著石油企業網絡安全問題的頻繁出現,網絡使用者必須重視網絡安全問題,必須對網絡安全采取有效的防護技術和措施,為企業提供安全的網絡管理平臺。
2.1石油企業建立健全企業規章制度
為了確保企業網絡安全,必須建立完善的安全系統,了解網絡安全的重要性。對于網絡安全事故的發生,應采取處罰制度,并進行記錄,一旦出現重大網絡安全事故,可以做到有證據可依。
2.2石油企業應對網絡數據采取加密技術
石油企業內一些重要的文件必須對其進行加密后再放到外部網絡中,并結合防火墻技術,才能進一步提高石油企業網絡信息系統內部數據的保密性和安全性,防止數據被非法人員偷盜,損害企業的利益。
2.3石油企業應加強員工網絡安全知識的培訓
員工作為石油企業網絡的使用者,梳理員工網絡安全意識變得尤為重要,只有讓員工認識到網絡安全的危害和意義才能從根本上防止主觀因素網絡安全問題的發生。石油企業應加強對員工網絡安全信息的培訓工作,提高員工的網絡安全意識,保證企業網絡安全的使用。
2.4石油企業應加強系統平臺與漏洞的處理
網絡管理員可以利用系統漏洞的掃描技術來提前獲取網絡應用過程中的漏洞,并通過漏洞處理技術快速恢復系統漏洞。
3、關于石油企業網絡安全中其它防護技術
在石油企業網絡安全防護技術方案中,還應該應用以下幾個防護技術:訪問控制技術、入侵行為檢測技術、異常流量分析與處理技術、終端安全防護與管理技術、身份認證與管理技術。
3.1訪問控制技術
企業可以根據企業本身的安全需求、安全級別的不同,在網絡的交界處和內部劃分出不同的區域,在這些區域中安裝防火墻設備進行訪問控制。通過防火墻設備對數據包進行過濾、對于有問題的數據進行分析,防止外部未被授權的用戶入侵企業網絡。單向數據輸出的安全區域,防火墻設備應對外區域的訪問請求進行阻止;對于需要進行雙向數據交互的區域,必須按照制源地址、目的地址、服務、協議、端口內容進行精確的匹配,避免網絡安全問題的出現。
3.2入侵行為檢測技術
入侵檢測就是在石油企業網絡的關鍵位置安裝檢測軟件,對入侵行為進行檢測與分析。入侵檢測技術可以對整個企業網絡進行檢測,對產生警告的信息進行記錄并處理。
3.3異常流量分析與處理技術
為了保障供應服務的穩定性,避免拒絕服務攻擊行為導致業務系統可用性的喪失,需要通過深度包檢測。當發現網絡流量有問題時,就會將惡意數據刪除,保留原有的正常數據,這樣就保證了有權限的用戶進行正常訪問。
3.4終端安全防護與管理技術
企業整體信息安全水平取決于安全防護最薄弱的環節。在石油企業中,企業比較重視網絡及應用系統的保護,忽視了對終端計算機的全面防護與管理措施的保護。這些就需要企業利用安全防護管理技術在內部終端計算機進行統一安全防護和安全管理,保證信息的安全。
篇(3)
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀
2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析
3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
篇(4)
2企業網安全管理的發展趨勢
2.1現代網絡主動防御模型
現代網絡主動防御模型包括3層,分別是管理、策略和技術。
(1)管理。網絡運行過程中,網絡管理具有重要的作用,其位于安全模型的核心層次。網絡管理的對象包括網絡技術、網絡用戶和網絡制度等。網絡技術的管理可以采用相關的策略,以便能夠促進網絡安全技術成為一個集成化的、縱深化的有機整體,以便能夠有效地提高網絡安全的防護性能。網絡用戶是網絡的使用者,使網絡發揮作用的發起者,并且網絡用戶的計算機使用專業水平不同,層次良莠不齊,因此需要加強網絡用戶管理。網絡用戶管理可以通過制定相關的網絡安全防范制度、網絡使用政策等,通過學習、培訓,提高網絡用戶的安全意識,增強網絡用戶的警覺性。
(2)策略。網絡安全防御策略能夠將相關的網絡技術有機整合,優化組合在一起,根據網絡用戶的規模、網絡的覆蓋范圍、網絡的用途等,制定不同等級的安全策略,實現網絡安全運行的行為準則。
(3)技術。網絡防御技術是實現網絡安全的具體實現措施,也是網絡管理和網絡安全防御策略實現的基礎,通常情況下,網絡主動防御技術包括六種,分別是網絡預警、保護、檢測、響應、恢復、反擊等,從六個不同層面進行深度防御,能夠及時有效地發現網絡中存在的安全威脅,采取保護措施,也可以使用入侵檢測等主動發現網絡中潛在的攻擊行為,做出響應,恢復網絡運行,并且可以根據網絡攻擊行為進行反擊。
2.2現代主動防御技術
現代計算機網絡主動防御技術可以有效地檢測已經發生的、潛在發生的安全威脅,采取保護、響應和反擊措施,保證網絡安全運行。
(1)預警。網絡預警技術可以預測網絡可能發生的攻擊行為,及時發出警告。網絡應包括漏洞預警、行為預警、攻擊趨勢預警、情報收集分析預警等多種技術。漏洞預警可以根據已經發現的系統漏洞,預測未來發生的網絡威脅;行為預警可以分析黑客行為,將其分類存儲在專家系統中,基于黑客行為預測網絡威脅;攻擊趨勢預警可以采集已經發生或當前正在發生的網絡攻擊數據,分析攻擊趨勢;情報收集分析預警可以通過各類數據挖掘算法,采集、分類、建立情報信息攻擊模型,發現網絡攻擊趨勢。
(2)保護。網絡安全保護是指采用靜態保護措施,保證網絡信息的完整性、機密性,通常采用防火墻、虛擬專用網等具體技術實現。
(3)檢測。檢測是網絡主動防御系統的重要環節之一,其可以采用入侵檢測技術、網絡安全掃描技術、網絡實時監控技術等及時地檢測網絡中是否存在非法的數據流,本地網絡是否存在安全漏洞,目的是發現網絡中潛在的攻擊行為,有效地阻止網絡攻擊。
(4)響應。如果網絡預警攻擊即將發生或者網絡攻擊已經發生,網絡主動響應技術可以及時做出攻擊防范,將攻擊給網絡帶來的危害降低到最小程度。網絡主動響應技術能夠及時判斷攻擊源位置,搜集網絡攻擊數據,阻斷網絡攻擊。響應需要將多種技術進行整合,比如使用網絡監控系統、防火墻等阻斷網絡攻擊,可以采用網絡僚機技術或網絡攻擊誘騙技術,將網絡攻擊引導到一個無用的主機上去,避免網絡攻擊造成網絡癱瘓,無法使用。網絡響應的另外一項功能就是及時獲取攻擊特征信息,分析網絡攻擊源、攻擊類型、攻擊目標、危害程度、現場狀態等信息,實現電子取證。
篇(5)
人為防護意識網絡入侵的目的是為了取得訪問的權限和儲存、讀寫的權限,以便其隨意的讀取修改計算機內的信息,并惡意地破壞整個系統,使其喪失服務的能力。而有一些程序被惡意捆綁了流氓軟件,當程序啟動時,與其捆綁的軟件也會被啟動,與此同時,許多安全缺口被捆綁軟件所打開,這也大大降低了入侵網絡的難度。除非用戶能夠禁止該程序的運行或者將相關軟件進行正確配置,否則安全問題永遠也解決不了。
應用系統與軟件的漏洞網絡服務器和瀏覽器的編程原理都是應用了CGI程序,很多人在對CGI程序進行編程時只是對其進行適當的修改,并沒有徹底的修改,因此這也造成了一個問題,CGI程序的安全漏洞方面都大同小異,因此,每個操作系統以及網絡軟件都不可能十全十美的出現,其網絡安全仍然不能得到完全解決,一旦與網絡進行連接,就有可能會受到來自各方面的攻擊。
后門與木馬程序后門是指軟件在出廠時為了以后修改方便而設置的一個非授權的訪問口令。后門的存在也使得計算機系統的潛在威脅大大增加。木馬程序也屬于一種特殊的后門程序,它受控于黑客,黑客可以對其進行遠程控制,一但木馬程序感染了電腦,黑客就可以利用木馬程序來控制電腦,并從電腦中竊取黑客想要的信息。
安全配置的正確設置一些軟件需要人為進行調試配置,而如果一些軟件的配置不正確,那么其存在可以說形同虛設。有很多站點在防火墻的配置上將訪問權限設置的過大,其中可能存在的隱患會被一些惡意分子所濫用。而黑客正是其中的一員,他們通常是程序設計人員,因此他們對于程序的編程和操作都十分了解,一旦有一絲安全漏洞出現,黑客便能夠侵入其中,并對電腦造成嚴重的危害,可以說黑客的危害比電腦病毒的危害要大得多。
常用的網絡安全技術
1殺毒軟件殺毒軟件是我們最常用的軟件,全世界幾乎每臺電腦都裝有殺毒軟件,利用殺毒軟件來對網絡進行安全保護是最為普通常見的技術方案,它的安裝簡單、功能便捷使得其普遍被人們所使用,但殺毒軟件顧名思義是用來殺毒的,功能方面比較局限,一旦有商務方面的需要其功能就不能滿足商務需求了,但隨著網絡的發展,殺毒技術也不斷地提升,主流的殺毒軟件對于黑客程序和木馬的防護有著很好的保護作用。
2防火墻防火墻是與網絡連接間進行一種預定義的安全策略,對于內外網通信施行訪問控制的一種安全防護措施。防火墻從防護措施上來說可以分成兩種,一種是軟件防火墻,軟件防火墻是利用軟件來在內部形成一個防火墻,價格較為低廉,其功能比較少,僅僅是依靠自定的規則來限制非法用戶進行訪問;第二種是硬件防火墻,硬件防火墻通過硬件和軟件的結合來講內外部網絡進行隔離,其效果較好,但價格較高,難以普及。但防火墻并沒有想象中的那樣難以破解,擁有先進的技術仍然能夠破解或者繞過防火墻對內部數據進行訪問,因此想要保證網絡信息安全還必須采取其他的措施來避免信息被竊取或篡改,如:數據加密、入侵檢測和安全掃描等等措施。值得一提的是防火墻只能夠防護住來自外部的侵襲,而內部網絡的安全則無法保護,因此想要對電力企業內部網絡安全進行保護還需要對內部網絡的控制和保護來實現。
3數據加密數據加密技術可以與防火墻相互配合,它的出現意味著信息系統的保密性和安全性進一步得到提高,秘密數據被盜竊,偵聽和破壞的可能性大大降低。
數據加密技術還衍生出文件加密和數字簽名技術。這兩種技術可以分為四種不同的作用,為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術這四種。數據傳輸加密主要針對數據在傳輸中的加密作用,主要可以分成線路加密和端口加密這兩種基本方法;數據儲存加密技術是在數據儲存時對其進行加密行為,使數據在儲存時不被竊取;數據完整性判別技術是在數據的傳輸、存取時所表現出來的一切行為的驗證,是否達到保密要求,通過對比所輸入的特征值是否與預先設定好的參數相符來實現數據的安全防護;數據加密在外所表現出來的應用主要為密鑰,密鑰管理技術是為了保證數據的使用效率。
數據加密技術是將在網絡中傳輸的數據進行加密從而保證其在網絡傳輸中的安全性,能夠在一定程度上防止機密信息的泄漏。同時,數據加密技術所應用的地方很廣泛,有信息鑒別、數字簽名和文件加密等技術,它能夠有效的阻止任何對信息安全能夠造成危害的行為。
4入侵檢測技術網絡入侵檢測技術是一種對網絡進行實時監控的技術,它能夠通過軟、硬件來對網絡中的數據進行實時地檢測,并將之與入侵數據庫進行比較,一旦其被判定為入侵行為,它能夠立即根據用戶所設定的參數來進行防護,如切斷網絡連接、過濾入侵數據包等等。因此,我們可以將入侵檢測技術當做是防火墻的堅強后盾,它能夠在不影響網絡性能的情況下對齊進行監聽,并對網絡提供實時保護,使得網絡的安全性能大大提升。
5網絡安全掃描技術網絡安全掃描技術是檢測網絡安全脆弱性的一項安全技術,它通過對網絡的掃描能夠及時的將網絡中的安全漏洞反映給網絡管理員,并客觀的評估網絡風險。利用網絡完全掃描技術能夠對局域網、互聯網、操作系統以及安全漏洞等進行服務,并且可以檢測出操作系統中存在的安全漏洞,同時還能夠檢測出計算機中是否被安裝了竊聽程序,以及防火墻可能存在的安全漏洞。
單利企業網絡安全解決方案
1物理隔離物理隔離指的是從物理上將網絡上的潛在威脅隔離掉。其主要表現為沒有連接、沒有包轉發等等。
2網絡系統安全解決方案網絡服務器的操作系統是一個比較重要的部分,網絡操作系統最重視的性能是穩定性和安全性。而網絡操作系統管理著計算機軟硬件資源,其充當著計算機與用戶間的橋梁作用。因此,我們一般可以采用以下設置來對網絡系統安全進行保障:①將不必要的服務關閉。②為之制定一個嚴格的賬戶系統。③將賬戶權限科學分配,不能濫放權利。④對網絡系統進行嚴謹科學的安全配置。
3入侵檢測方案目前,電力企業網絡防護體系中,僅僅是配置了傳統的防火墻進行防護。但由于傳統防火墻的功能并不強大,再加上操作系統中可能存在的安全漏洞,這兩點為網絡信息安全帶來了很大的風險。根據對電力企業的詳細網絡應用分析,電力企業對外應用的服務器應當受到重點關注。并在這個區域置放入侵檢測系統,這樣可以與防火墻形成交叉防護,相得益彰。
篇(6)
現階段,我國的供電企業內網網絡結構不夠健全,未能達成建立在供電企業內部網絡信息化的理想狀態。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內網網絡系統。但隨著各類信息系統不斷上線投運,財務、營銷、生產各專業都有相關的信息系統投入應用,相對薄弱的網絡系統必將成為整個信息管理模式的最短板。
(2)存在于網絡信息化機構漏洞較多。
目前在我國供電企業中,網絡信息化管理并未建立一個完整系統的體系,供電網絡的各類系統對于關鍵流程流轉、數據存儲等都非常的重要,不能出現絲毫的問題,但是所承載網絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發展極不平衡。信息化作為一項系統的工程,未能有專門的部門來負責執行和管理。網絡信息安全作為我國供電企業安全文化的重要組成部分,針對現今我國供電企業網絡安全管理的現狀來看,計算機病毒,黑客攻擊造成的關鍵保密數據外泄是目前最具威脅性的網絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業信息網絡安全帶來了一定的保障。但是目前供電企業信息管理工作不可回避的事實是:操作系統正版化程度嚴重不足。隨著在企業內被廣泛使用的XP操作系統停止更新,針對操作系統的攻擊將變得更加頻繁。一旦有計算機網絡病毒的出現,就會對企業內部計算機進行大規模的傳播,給目前相對公開化的網絡一個有機可乘的機會,對計算機系統進行惡意破壞,導致計算機系統崩潰。不法分力趁機竊取國家供電企業的相關文件,篡改供電系統相關數據,對國家供電系統進行毀滅性的攻擊,甚至致使整個供電系統出現大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網絡信息的安全,就必須要提高供電企業員工的綜合素質,目前國內供電企業職員的安全防范意識不強,水平參差不齊,多數為年輕職員,實際操作的能力較低,缺少應對突發事件應對措施知識的積累。且多數老齡職工難以對網絡信息完全掌握,跟不上信息化更新狀態,與新型網絡技術相脫軌。
2網絡信息安全管理在供電企業中的應用
造成供電企業的信息安全的威脅主要來自兩個方面,一方面是國家供電企業本身設備上的信息安全威脅,另一方面就是外界網絡惡意的攻擊其中以外界攻擊的方式存在的較多。現階段我國供電企業的相關部門都在使用計算機對網絡安全進行監督和管理,難以保證所有計算機完全處在安全狀態。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業進行安全的管理,建立病毒防護體系,及時更新網絡防病毒軟件,針對性地引進遠程協助設備,提高警報設備的水平。供電企業的信息系統一個較為龐大且繁雜的系統,在這個系統中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業信息系統安全是以制定針對性風險評估政策為前提的,根據信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業信息技術的操控,國家相關部門就必須實行自主研發信息安全管理體系,有效地運用高科技網絡技術促使安全策略、安全服務和安全機制的相結合,大力開發信息網絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。
篇(7)
2工業無線網絡安全隱患
雖然Wi-Fi具有傳輸速度高、覆蓋范圍廣、建設成本低、輻射更小等特點,但其本身在安全性方面存在缺陷,故采用Wi-Fi技術的工業無線網絡也面臨著不少安全威脅。
2.1容易被入侵
工業無線網絡的無線信號是廣播的狀態,即在特定范圍內的用戶都可以發現Wi-Fi信號的存在,任何惡意的入侵者都可以通過無線設備和破解工具對偵測AP并對無線網絡發起攻擊。Wi-Fi在對網絡訪問的驗證和數據傳輸方面也采用了加密方式,如WEP、WPA和WPA2協議等,但是入侵者仍然可以通過破解WEP/WPA/WPA2協議來入侵Wi-Fi網絡,一些無線網絡分析儀可以輕松破解Wi-Fi網絡的認證密碼,一些有目的的入侵者除了通過技術破解方式非法接入工業無線網絡之外,還有可能利用社會工程學的入侵手段進行接入,如入侵者向合法用戶套近乎或采取有償的方式獲得接入用戶名和密碼也能達到目的。
2.2有限帶寬容易被惡意攻擊占用和地址欺騙
入侵者在接入Wi-Fi網絡后發送大量的ping流量,或者向無線AP發送大量的服務請求,無線AP的消息均由入侵者接收,而真正的移動節點卻被拒絕服務,嚴重的可能會造成網絡癱瘓;入侵者同時發送廣播流量,就會同時阻塞多個AP;攻擊者在與無線網絡相同的無線信道內發送信號,而被攻擊的網絡就會通過CSMA/CA機制進行自動使用,這樣同樣會影響無線網絡的傳輸;惡意傳輸或下載較大的數據文件也會產生很大的網絡流量。這種情況在無線城區應用中較少見,入侵者惡意堵塞網絡,極有可能是要故意破壞生產環境,造成一定的損失。在工業生產中可用性應該是第一位的,對工業網絡安全來說,保證網絡的可用性也是第一位的。所以這種威脅對工業無線網絡來說威脅是比較大的。
2.3數據在傳輸的過程中很容易被截取
通過監聽無線通信,入侵者可從中還原出一些敏感信息;當工業無線網絡傳輸數據被截取后,入侵者甚至可能偽造某些指令給工業生產造成損失。
2.4偽造AP入侵者
可以自己購買AP并將AP的ID設置為正規的AP的SSID來欺騙用戶接入并竊取敏感資料。這種危害主要是使新接入用戶會誤接入到偽造AP中,無法正常工作。
2.5高級入侵
只要是入侵者采用合法或者非法手段接入無線城區,他就可以以此作為入侵其它系統的跳板,采用黑客手段攻擊其它系統或網絡,而他的行蹤則很難被追尋;或者通過劫持身份驗證會話、偽造認證服務器及驗證回復等步驟,攻擊者不但能夠獲取無線賬戶及密碼,遭遇到更深層面的欺詐等。
篇(8)
一、前言
近年來,隨著因特網的普及日漸迅速,電子交易開始融入人們的日常生活中,網上訂貨、網上繳費等眾多電子交易方式為人們創造了便利高效的生活方式,越來越多的人開始使用電子商務網站來傳遞各種信息,并進行各種交易。電子商務網站傳遞各種商務信息依靠的是互聯網,而互聯網是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之相連。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,網上的安全風險就構成了對電子商務的安全威脅。
從發展趨勢來看,電子商務正在形成全球性的發展潮流。電子商務的存在和發展,是以網絡技術的革新為前提。電子商務系統的構建、運行及維護,都離不開技術的支持。同時,因為電子商務適合于各種大、小型企業,所以應充分考慮如何保證電子商務網站的安全。
二、電子商務網站的安全控制
電子商務的基礎平臺是互聯網,電子商務發展的核心和關鍵問題就是交易的安全性。由于Internet本身的開放性,使網上交易面臨了種種危險,也由此提出了相應的安全控制要求。
下面從技術手段的角度,從系統安全與數據安全的不同層面來探討電子商務中出現的網絡安全問題。
(一)系統安全
在電子商務中,網絡安全一般包括以下兩個方面:
1.信息保密的安全
交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
2.交易者身份的安全
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會考慮網上的商店是否是黑店。因此能方便而可靠地確認對方身份是交易的前提。
對于一個企業來說,信息的安全尤為重要,這種安全首先取決于系統的安全。系統安全主要包括網絡系統、操作系統和應用系統三個層次。系統安全采用的技術和手段有冗余技術、網絡隔離技術、訪問控制技術、身份鑒別技術、加密技術、監控審計技術、安全評估技術等。
(1)網絡系統
網絡系統安全是網絡的開放性、無邊界性、自由性造成,安全解決的關鍵是把被保護的網絡從開放、無邊界、自由的環境中獨立出來,使網絡成為可控制、管理的內部系統,由于網絡系統是應用系統的基礎,網絡安全便成為首要問題。解決網絡安全主要方式有:
網絡冗余——它是解決網絡系統單點故障的重要措施。對關鍵性的網絡線路、設備,通常采用雙備份或多備份的方式。網絡運行時雙方對運營狀態相互實時監控并自動調整,當網絡的一段或一點發生故障或網絡信息流量突變時能在有效時間內進行切換分配,保證網絡正常的運行。
系統隔離——分為物理隔離和邏輯隔離,主要從網絡安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問,從而達到安全目的。對業務網絡或辦公網絡采用VLAN技術和通信協議實行邏輯隔離劃分不同的應用子網。
訪問控制——對于網絡不同信任域實現雙向控制或有限訪問原則,使受控的子網或主機訪問權限和信息流向能得到有效控制。具體相對網絡對象而言需要解決網絡的邊界的控制和網絡內部的控制,對于網絡資源來說保持有限訪問的原則,信息流向則可根據安全需求實現單向或雙向控制。訪問控制最重要的設備就是防火墻,它一般安置在不同安全域出入口處,對進出網絡的IP信息包進行過濾并按企業安全政策進行信息流控制,同時實現網絡地址轉換、實時信息審計警告等功能,高級防火墻還可實現基于用戶的細粒度的訪問控制。
身份鑒別——是對網絡訪問者權限的識別,一般通過三種方式驗證主體身份,一是主體了解的秘密,如用戶名、口令、密鑰;二是主體攜帶的物品,如磁卡、IC卡、動態口令卡和令牌卡等;三是主體特征或能力,如指紋、聲音、視網膜、簽名等。加密是為了防止網絡上的竊聽、泄漏、篡改和破壞,保證信息傳輸安全,對網上數據使用加密手段是最為有效的方式。目前加密可以在三個層次來實現,即鏈路層加密、網絡層加密和應用層加密。鏈路加密側重通信鏈路而不考慮信源和信宿,它對網絡高層主體是透明的。網絡層加密采用IPSEC核心協議,具有加密、認證雙重功能,是在IP層實現的安全標準。通過網絡加密可以構造企業內部的虛擬專網(VPN),使企業在較少投資下得到安全較大的回報,并保證用戶的應用安全。
安全監測——采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡掃描監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征,廣泛用于各行各業。網絡掃描是針對網絡設備的安全漏洞進行檢測和分析,包括網絡通信服務、路由器、防火墻、郵件、WEB服務器等,從而識別能被入侵者利用非法進入的網絡漏洞。網絡掃描系統對檢測到的漏洞信息形成詳細報告,包括位置、詳細描述和建議的改進方案,使網管能檢測和管理安全風險信息。
(2)操作系統
操作系統是管理計算機資源的核心系統,負責信息發送、管理設備存儲空間和各種系統資源的調度,它作為應用系統的軟件平臺具有通用性和易用性,操作系統安全性直接關系到應用系統的安全,操作系統安全分為應用安全和安全漏洞掃描。
應用安全——面向應用選擇可靠的操作系統,可以杜絕使用來歷不明的軟件。用戶可安裝操作系統保護與恢復軟件,并作相應的備份。
系統掃描——基于主機的安全評估系統是對系統的安全風險級別進行劃分,并提供完整的安全漏洞檢查列表,通過不同版本的操作系統進行掃描分析,對掃描漏洞自動修補形成報告,保護應用程序、數據免受盜用、破壞。
(3)應用系統
辦公系統文件(郵件)的安全存儲:利用加密手段,配合相應的身份鑒別和密鑰保護機制(IC卡、PCMCIA安全PC卡等),使得存儲于本機和網絡服務器上的個人和單位重要文件處于安全存儲的狀態,使得他人即使通過各種手段非法獲取相關文件或存儲介質(硬盤等),也無法獲得相關文件的內容。
文件(郵件)的安全傳送:對通過網絡(遠程或近程)傳送給他人的文件進行安全處理(加密、簽名、完整性鑒別等),使得被傳送的文件只有指定的收件者通過相應的安全鑒別機制(IC卡、PCMCIAPC卡)才能解密并閱讀,杜絕了文件在傳送或到達對方的存儲過程中被截獲、篡改等,主要用于信息網中的報表傳送、公文下發等。
業務系統的安全:主要面向業務管理和信息服務的安全需求。對通用信息服務系統(電子郵件系統、WEB信息服務系統、FTP服務系統等)采用基于應用開發安全軟件,如安全郵件系統、WEB頁面保護等;對業務信息可以配合管理系統采取對信息內容的審計稽查,防止外部非法信息侵入和內部敏感信息泄漏。
(二)數據安全
數據安全牽涉到數據庫的安全和數據本身安全,針對兩者應有相應的安全措施。
數據庫安全——大中型企業一般采用具有一定安全級別的SYBASE或ORACLE大型分布式數據庫,基于數據庫的重要性,應在此基礎上開發一些安全措施,增加相應控件,對數據庫分級管理并提供可靠的故障恢復機制,實現數據庫的訪問、存取、加密控制。具體實現方法有安全數據庫系統、數據庫保密系統、數據庫掃描系統等。
數據安全——指存儲在數據庫數據本身的安全,相應的保護措施有安裝反病毒軟件,建立可靠的數據備份與恢復系統,某些重要數據甚至可以采取加密保護。
(三)網絡交易平臺的安全
網上交易安全位于系統安全風險之上,在數據安全風險之下。只有提供一定的安全保證,在線交易的網民才會具有安全感,電子商務網站才會具有發展的空間。
交易安全標準——目前在電子商務中主要的安全標準有兩種:應用層的SET(安全電子交易)和會話層SSL(安全套層)協議。前者由信用卡機構VISA及MasterCard提出的針對電子錢包/商場/認證中心的安全標準,主要用于銀行等金融機構;后者由NETSCAPE公司提出針對數據的機密性/完整性/身份確認/開放性的安全協議,事實上已成為WWW應用安全標準。
交易安全基礎體系——交易安全基礎是現代密碼技術,依賴于加密方法和強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長,對稱密鑰具有加密效率高,但存在密鑰分發困難、管理不便的弱點;非對稱密鑰加密速度慢,但便于密鑰分發管理。通常把兩者結合使用,以達到高效安全的目的。
交易安全的實現——交易安全的實現主要有交易雙方身份確認、交易指令及數據加密傳輸、數據的完整性、防止雙方對交易結果的抵賴等等。具體實現的途徑是交易各方具有相關身份證明,同時在SSL協議體系下完成交易過程中電子證書驗證、數字簽名、指令數據的加密傳輸、交易結果確認審計等。
隨著電子商務的發展,網上交易越來越頻繁,調用每項服務時需要用戶證明身份,也需要這些服務器向客戶證明他們自己的身份。而保障身份安全的最有效的技術就是PKI技術。
PKI的應用在我國還處于起步階段,目前我國大多數企業只是在應用它的CA認證技術。CA(CertificationAuthorty)是一個確保信任度的權威實體,主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,并能很好地和其他廠家的CA產品兼容。在不久的將來,PKI技術會在電子商務和網絡安全中得到更廣泛的應用,從而真正保障用戶和商家的身份安全。
三、目前信息安全的研究方向
從歷史角度看,我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域,它綜合利用了數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。
安全協議作為信息安全的重要內容,其形式化方法分析始于80年代初,目前有基于狀態機、模態邏輯和代數工具的三種分析方法,但仍有局限性和漏洞,處于發展的提高階段。作為信息安全關鍵技術密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。1976年美國學者提出的公開密鑰密碼體制,克服了網絡信息系統密鑰管理的困難,同時解決了數字簽名問題,它是當前研究的熱點。
目前電子商務的安全性已是當前人們普遍關注的焦點,它正處于研究和發展階段,并帶動了論證理論、密鑰管理等研究。由于計算機運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術出處于探索之中。在我國,信息網絡安全技術的研究和產品開發雖處于起步階段,有大量的工作需要我們去研究、開發和探索,但我們相信在不久的將來,會走出一條有中國特色的產學研聯合發展之路,趕上或超過發達國家的水平,以此保證我國信息網絡的安全,推動我國國民經濟的高速發展。
四、結束語
電子商務是以互聯網為活動平臺的電子交易,它是繼電子貿易(EDI)之后的新一代電子數據交換形式。計算機網絡的發展與普及,直接帶動電子商務的發展。因此計算機網絡安全的要求更高,涉及面更廣,不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取,以保證系統本身安全性,如服務器自身穩定性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道等等。對重要商業應用,還必須加上防火墻和數據加密技術加以保護。在數據加密方面,更重要的是不斷提高和改進數據加密技術,使不法分子難有可乘之機。
參考文獻:
[1]佚名.解析電子商務安全[EB/OL]./it386/dnwl/,2006-07-25.
[2]佚名.網絡構建與維護[EB/OL].chinaec-/second/network.php,2006-07-16.
篇(9)
企業信息網絡比較復雜和繁瑣,不僅包括受理人的資料,而且還有相關產品的詳細資料以及企業內部員工的資料等,信息網絡系統能否正常運行,直接關系到通訊企業發展的好與壞[1]。但是由于計算機網絡和信息技術不斷的發展,經常存在各種各樣的要素威脅著系統的安全,從而損壞甚至丟失內部的重要信息,從而影響通信企業內部正常的運作,最終導致一系列損失[2]。因此,對于通信企業信息網絡安全的控制刻不容緩,應該加大力度提高系統的安全性能。
1.信息網絡安全概述
信息網絡安全是指通過各種各樣的網絡技術手段,保證計算機在正常運行的過程中處于安全的狀態,避免硬件及軟件受到網絡相關的危險因素的干擾與破壞,同時還可以阻止一些危險程序對整個系統進行攻擊與破壞,從而將信息泄露和篡改等,最終保證信息網絡在互聯網的大環境中正常運行[3]。信息網絡安全的維護主要是以信息與數據的完整性與可控性作為核心,并且能夠通過用戶的操作,實現基本的應用目的。在信息網絡的安全維護中,主要包括兩個方面。一是設備安全,包括計算機系統的穩定、硬件實體的安全以及軟件的正常運行。二是信息安全,主要指的是數據的備份、數據庫的安全性等。
2.通信企業信息網絡面臨的主要安全威脅
2.1人為的惡意攻擊
目前信息網絡所面臨的最大的威脅和挑戰就是認為的惡意攻擊,人們采取各種各樣的方式對于信息進行選擇性的破壞和控制,從而造成機密信息的丟失和篡改。
2.2人為的無意失誤
通訊企業通過對專門的管理人員進行管理與培訓從而保證信息網絡系統的正常運行,在日常管理和培訓的過程中,會無意的使相應的措施處理不當,這是在所難免的,當工作人員因為自己的原因導致操作不當,會使信息網絡系統出現或多或少的漏洞,還有可能造成設備的損壞,這些都是由于人為的無意失誤造成的后果[4]。
2.3計算機病毒
由于計算機網絡的復雜性及聯系性,在工作過程中會盡可能的實現資源共享,因此所接收的結點會有很多。由于無法檢測每個結點是否是安全的,因此極容易造成系統的病毒感染。而一旦信息網絡受到病毒的感染后,病毒會在信息網絡中以非常快的速度進行再生并且傳染給其他系統,最終將波及整個網絡,后果將不堪設想[5]。
3.通信企業做好信息網絡工作的措施
3.1對內部網的訪問保護
(1)用戶身份認證。如果用戶想要進入網絡必須經過三個步驟即首先進行用戶名進行驗證,其次進行用戶口令進行驗證,最后依據用戶帳號進入網絡。在這三個步驟中最關鍵的操作就是用戶口令,用戶口令需要同時進行系統的加密從而保護網絡的安全,并且還應控制同一個賬戶同時登陸多個計算機的這種現象[6]。(2)權限控制。管理員及用戶在進入網絡前需要履行某一個任務因此必須遵守所謂的權限原則,這種控制方法可以有效的防止一些非法的用戶在一定時間內訪問網絡資源,從而從根本上阻斷這條途徑。在進行權限設置的過程中,一定要遵守一些原則,第一,一定要合理的設置網絡權限,確保網絡權限設置的準確性,不能因為所設置的權限從而影響了整個網絡的正常工作,影響了工作的整體效率;第二應該增加一些先進的合理的加密操作技術來減少病毒的入侵,從而從一定程度上保證網絡的正常運行,對網絡信息數據使用系統性的加密來確保網絡安全性和合理性,最終實現對計算機所有結點信息的實時保護。(3)加密技術。通過合理準確的數學函數轉換的方法對系統以密文的形式代替明文的現象稱之為數據加密,當數據加密后,只有特定的管理人員可以對其進行解密,在數據加密的過程中主要包含兩大類:對稱加密和不對稱加密。
3.2對內外網間的訪問保護
(1)安全掃描。互聯網互動過程中,及時的對計算機安全衛士和殺毒軟件等進行升級,以便及時的對流動數據包進行檢測,以便及時有效的對網絡中發現的木馬和病毒采取有效的防護措施。(2)防火墻系統。防火墻作為計算機網絡信息安全防護的第一道屏障,是一種加強網絡之間訪問控制,以此來決定網絡之間傳輸信息的準確性、真實性及安全性,對于計算機的安全與正常運行具有重要的意義[7]。(3)入侵檢測。計算機當中的病毒傳播的速度較快且危害性極大,為此應該對網絡系統進行病毒的預防及統一的、集中管理,采用防病毒技術及時有效的進行殺毒軟件系統的升級,以便對網絡互動中發現的木馬或病毒程序采取及時的防護措施。
3.3網絡物理隔離
在進行信息網絡安全控制的過程中不能單一的采用一種安全控制對其保護,而應該根據網絡的復雜性采取不同的安全策略加以控制,因此管理人員可以依據密保的等級的程度、各種功能的保護以及不同形式安全設施的水平等差異,通過網絡分段隔離的方式提高通信企業信息網絡安全。這樣的形式及控制方法將以往的錯綜復雜的控制體系轉變成為細化的安全控制體系,能夠對于各種惡意的攻擊和入侵所造成的危害降低到最小。我們通常所說的物理隔離是指能滿足物理隔離的安全性要求的、相對的物理隔離技術。物理隔離的原理是使單個用戶在同一時間、同一空間不能同時使用內部網和外部網兩個系統。如果兩個系統在空間上物理隔離,在不同的時間運行,那么就可以得到兩個完全物理隔離的系統[8]。
3.4安全審計及入侵檢測技術
安全審計技術對于整個信息網絡安全的控制起到了關鍵性作用,它可以針對不同的用戶其入侵的方式、過程以及活動進行系統精密的記錄,主要分為兩個階段即誘捕和反擊。誘捕是一種特異安排出現的漏洞,可以在一定程度允許入侵者在一定時間內侵入,以便在今后能夠獲得更多的入侵證據及入侵的特征;當獲得足夠多的特征及證據的基礎上開始進行反擊,通過計算機精密的系統對用戶的非法入侵的行為進行秘密跟蹤并且在較快的時間里查詢對方的身份以及來源,從而將系統與入侵者的連接切斷,還可追蹤定位并對攻擊源進行反擊。
3.5制定切實可行的網絡安全管理策略
要想使通信企業信息網絡安全正常運行其前提必須保證整個網絡系統的安全,必須針對網絡安全提出相應的安全策略,應該使信息網絡使用起來安全方便,從而尋找最方便有效的安全措施。在工作的過程中管理人員一定要熟知對于開放性和安全性的具體要求,并且在工作過程中試圖尋求兩者的共同點和平衡點,當兩者出現矛盾的時候應該考慮事情的實際情況有進行準確的取舍。對本網絡拓撲結構和能夠承受的安全風險進行評估,從網絡安全技術方面為保證信息基礎的安全性提供了一個支撐。
信息網絡的發展需要計算機技術具有跟高的要求,特別是針對通信企業的信息網絡安全的控制問題應該加以關注,這直接關系到整個企業的發展。信息網絡工程是一個巨大而又復雜的動態的系統工程,需要從多角度進行思索與探討從而進行綜合性的分析,才能選擇出更好地安全網絡設備,并且對其進行有針對的系統的優化,從而提高管理人員及工作人員的業務水平,最終全面提高整個通訊企業信息網絡安全。
作者:王春寶 于曉鵬 單位:吉林師范大學計算機學院
參考文獻
[1]盧昱.網絡控制論淺敘[J].裝備指揮技術學院學報,2002,3(6):60-64.
[2]王雨田,控制論、信息論、系統科學與哲學[M].北京:中國人民大學出版社,1986.
[3]南湘浩,陳鐘.網絡安全技術概論[M].北京:國防工業出版社,2003.
[4]涂華.醫院信息系統的網絡安全與防范[J].中山大學學報論叢,2011,04(12).
[5]王蕓《.電子商務法規》.高等教育出版社,2010年版.
篇(10)
中小企業眾多是我國現階段發展的主要特點,它們的外貿出口已占70%。對于我國的中小企業來說,網上營銷恰恰可以實現用最小的代價把自己推銷出去。中小企業熱衷網上營銷的根本原因是可以突破大企業在行業里的競爭門檻。
Amazon網上書店作為網上做生意的鼻祖開創了一個新時代,公司成立于1995年,從事網上銷售只有短短的10年時間,而著名的Barnes & Noble集團是有著80多年的,員工數萬,并在全美各地擁有上千家豪華、巨大連鎖分店(而且遍布美國各大城市繁華商業區)的圖書連鎖零售業巨頭。在傳統的圖書零售,Barnes & Noble集團有著極好的品牌知名度、信譽、市場占有率,以及傳統銷售渠道等各種市場資源要素。但是截止1998年,根據美國商業周刊的,Amazon的股票市值為Barnes & Noble集團的8倍,徹底改變了傳統的大魚吃小魚的游戲規則,此是中小企業利用網上營銷的典范。從實物市場到虛擬市場的轉變,使得具有雄厚資金實力的大企業既不再是惟一的優勝者,也不是惟一的威脅者,在網上營銷條件下,所有企業都站在同一起跑點,這就使小企業網上營銷成為可能。
傳統營銷學理論基礎是廠商理論,即企業利潤最大化。在整個20世紀80年代與90年代,企業的營銷更多地運用“4P”策略,后來在此組合基礎上新增了“權力(Power)與關系(Public-relation)”形成6P營銷策略組合。最近有人提出“4V”營銷組合,即“差異化(Variation)”、“功能化(Versatility)”、“附加價值(Value)”、“共鳴(Vibration)”的營銷組合理論。它強調的是顧客需求的差異性,和企業提品功能的多樣性,以使企業和顧客達到共鳴。以舒爾茲教授為首的一批營銷學者從顧客需求的角度出發研究市場營銷理論,結合網上虛擬市場特點,提出了真正以“消費者效應”為核心的網上營銷4C組合。現代營銷學之父菲利浦·科特勒在《市場營銷的發展趨勢》一文中指出了以生產為中心四要素組合4P與4C有著一對一關系:Product(產品)—Custom(顧客的需求與期望);Price(價格)--Cost(顧客的費用);Place(分銷)--convenience(顧客購買的便利性);Promotion(促銷)—Communication(企業與顧客的溝通)。
以上策略的轉變極好地反映出網上營銷的本質,即更加顧客導向,更加個性化和差異化,更重視與客戶的互動與溝通。
中小企業要成功地開展網上營銷活動,除了熟悉上述網上營銷基本特征外,還必須充分認識到網上營銷的安全和風險問題。特別是對中小企業來說,投入到安全方面的資金和不足,在制定企業網上營銷策略時,要有安全意識,將安全問題與營銷策略一并考慮,以最低保障網上營銷順利開展。
一、網上營銷信任機制構建問題
B2B網上營銷營業額占整個網上營銷營業額已達到80%以上,而B2C 網上營銷營業額只占20%左右并且在各國總零售額中只占5%以下。因此,人們對B2C信任問題的討論,要遠遠多于對B2B網上營銷信任問題的討論。對于B2C網上營銷來說,企業網上營銷信任結合中國的特色,制定相應網上營銷信用策略。首先,我們必須不斷加強網上營銷法規的建設,包括簽章、安全與加密系統、隱私保護、知識產權保護、審查制度等問題的法律解決方案,使消費者的在線權益和安全得到法律的保障;其次,我們必須加強政府與民營的認證機構(信任的第三方)的建設,建立對買賣雙方的信用監控與保證體系;第三,我們必須加強網站內容的創新,為消費者多提供具有高價值和實用性強的內容;第四,根據中國國情建立起具有中國特色(類似日本7—11便利店的做法)的支付與配送的信任機制;最后,我們必須不斷加強網上營銷技術平臺的建設,從技術上,杜絕任何在線犯罪的機會,防范消費者重要信息的泄露,給消費者一個安全感,不斷建立在線消費者的信任。
二、網上營銷工具安全問題
網上營銷廉價高效的常見工具有:網絡交易平臺、E-mail、搜索引擎、BBS、博客等。運用最新的加密技術、身份認證和加密協議提高網絡交易平臺的技術安全。運用郵箱分類功能、郵件管理軟件的過濾功能和減少使用ISP提供的信箱,以及專業垃圾郵件清除軟件等技巧能夠有效地防范垃圾郵件和郵件炸彈。
三、保護隱私問題
隱私權問題是21世紀網上營銷中最突出的問題。隱私權概念最早是1890年美國家Sarnuel Warren和Louis Prandis提出的,被定義為“獨處權”。S.Adler在《中的隱私問題》中將其定義為:一種不被打擾的權利,一種匿名的權利,一種不被監視和個人信息不被窺探的權利(Gattiker等人,1996年)。網上營銷隱私可分為非法獲取客戶和消費者信息和非法泄露、使用消費者信息。由于網絡的廣泛性和快速性,隱私權問題尤為突出,保護客戶和消費者隱私權是客房關系管理的重要部分,也是建立顧客忠誠度重要保證。
四、知識產權保護問題
企業網上營銷面監的知識產權問題主要指數字化產權的侵權問題,具體包括版權和專利權兩個部分:一是版權。數字化技術和互聯網技術的發展,使復制和修改數字化產品、上傳和下載帶有知識產權的信息產品變得越來越方便、越來越快。一些利用互聯網進行分銷和促銷的企業在營銷過程中出現了許多侵犯所有者版權的行為,嚴重侵犯了版權所有者的合法權益。所以企業從事網上營銷活動,既要保護好自己的數字化知識產權,也要尊重別人的勞動成果。二是專利權。與專利權相關的企業營銷安全問題包括兩個方面。一方面是企業的侵權行為。有些企業對包括軟件在內的用以企業商業活動的營銷渠道和方法的商業專利進行非法使用。另一方面企業過分強調對專利的保護,而損失了知識的共享權,忽視了企業的責任,不但阻礙了知識的傳播和共享,還在一定程度上影響了社會的發展。
五、域名保護問題
六、交易平臺信用評估問題
七、信息安全問題
電腦病毒和黑客的猖獗對企業和客戶的信息安全造成了極大的威脅。某些企業為了達到一定的商業目的,利用電腦病毒或雇用電腦黑客攻擊競爭對手的商業網站,或竊取對手的企業商業核心秘密和客戶的資料,給對手造成極大的損失,甚至是致命的打擊。企業在開展網上營銷時,一定要做好技術和兩方面的準備,保護企業信息安全,避免造成重大損失。
八、網上詐騙問題
