網(wǎng)絡安全申請匯總十篇
時間:2023-06-08 15:53:26
序論:好文章的創(chuàng)作是一個不斷探索和完善的過程,我們?yōu)槟扑]十篇網(wǎng)絡安全申請范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
一、 下載申報相關材料和模板
訪問全國信息安全標準化技術委員會網(wǎng)站(tc260.org.cn),點擊上方“工作動態(tài)”標簽,點擊左側邊欄“通知公告”,在通知公告中找到“關于印發(fā)《2021年網(wǎng)絡安全國家標準項目申報指南》的通知”,下載通知下方附件。
二、 準備申報材料
按照《全國信息安全標準化技術委員會標準制修訂工作程序》的要求,根據(jù)《2021年網(wǎng)絡安全國家標準項目申報指南》的支持范圍進行申報,填寫《網(wǎng)絡安全國家標準項目申請書》、《國家標準項目建議書》,并準備標準草案。
三、 在線填報申報材料
訪問全國信息安全標準化技術委員會網(wǎng)站(tc260.org.cn),點擊右上方“平臺登錄”標簽,使用相應工作組的成員單位賬號(WG或SWG開頭的賬號)進行登錄;進入“信息安全標準項目管理與服務平臺”頁面后,選擇“立項管理”模塊;根據(jù)申報項目的類型,選擇“制修訂立項管理”或“研究立項管理”;點擊右上方“新增”按鈕,進入立項信息在線填報頁面;按照平臺要求完整填寫相應信息,上傳《網(wǎng)絡安全國家標準項目申請書》、《國家標準項目建議書》和《標準草案》(均需提交WORD版);點擊“申請”完成在線立項申報流程。
四、 報送紙質申報材料
項目申報單位將在線上傳的《網(wǎng)絡安全國家標準項目申請書》、《國家標準項目建議書》和《標準草案》等紙質文件各一份,加蓋所在單位公章,寄送至全國信息安全標準化技術委員會秘書處。
五、秘書處聯(lián)系方式
全國信息安全標準化技術委員會秘書處
北京市安定門東大街1號(100007)
篇(2)
軍隊的計算機信息系統(tǒng)安全保護工作,按照軍隊的有關法規(guī)執(zhí)行。
第三條縣級以上人民政府公安機關公共信息網(wǎng)絡安全監(jiān)察部門負責主管本行政區(qū)域內的計算機信息系統(tǒng)安全保護工作。
第二章安全監(jiān)督
第四條公安機關公共信息網(wǎng)絡安全監(jiān)察部門對計算機信息系統(tǒng)安全保護工作行使下列職責:
(一)監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作;
(二)組織實施計算機信息系統(tǒng)安全評估、審驗;
(三)查處計算機違法犯罪案件;
(四)組織處置重大計算機信息系統(tǒng)安全事故和事件;
(五)負責計算機病毒和其他有害數(shù)據(jù)防治管理工作;
(六)對計算機信息系統(tǒng)安全服務和安全專用產(chǎn)品實施管理;
(七)負責計算機信息系統(tǒng)安全培訓管理工作;
(八)法律、法規(guī)和規(guī)章規(guī)定的其他職責。
第五條公安機關公共信息網(wǎng)絡安全監(jiān)察部門對重點安全保護單位計算機信息系統(tǒng)的安全檢查,每年不應少于一次。
第六條公安機關公共信息網(wǎng)絡安全監(jiān)察部門采取24小時內暫時停機、暫停聯(lián)網(wǎng)、備份數(shù)據(jù)等緊急措施須經(jīng)縣級以上公安機關批準。
第七條公安機關公共信息網(wǎng)絡安全監(jiān)察部門與所在地安全服務機構、互聯(lián)網(wǎng)運營單位和其他計算機信息系統(tǒng)使用單位應當建立聯(lián)防機制,依法及時查處通過計算機信息系統(tǒng)進行的違法犯罪行為,組織處置重大突發(fā)事件。
第三章安全保護責任
第八條單位和個人應當對其所有、使用和管理的計算機信息系統(tǒng)承擔相關的安全保護責任。
提供接入服務和信息服務以及主機托管、虛擬主機、網(wǎng)站和網(wǎng)頁信息維護等其他服務的單位應當和用戶在合同中明確雙方的計算機信息系統(tǒng)安全保護責任。提供服務的單位應當承擔與其提供服務直接相關的安全保護義務。
第九條網(wǎng)吧、社區(qū)、學校、圖書館、賓館等提供上網(wǎng)服務的場所和互聯(lián)網(wǎng)運營單位應當落實相應的安全措施,安裝已取得《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》的安全管理系統(tǒng)。
第十條計算機信息系統(tǒng)使用單位和個人為了保護計算機信息系統(tǒng)的安全,可以與安全服務機構明確服務項目和要求,建立相對穩(wěn)定的服務關系。
第四章安全專用產(chǎn)品
第十一條計算機信息系統(tǒng)安全專用產(chǎn)品生產(chǎn)單位在其產(chǎn)品進入本省市場銷售前,應當取得公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》,并報省公安廳公共信息網(wǎng)絡安全監(jiān)察部門備案。
第十二條本省安全專用產(chǎn)品生產(chǎn)單位應當在領取營業(yè)執(zhí)照后30日內持下列資料到省公安廳公共信息網(wǎng)絡安全監(jiān)察部門備案。
(一)單位簡況;
(二)營業(yè)執(zhí)照復印件;
(三)安全專用產(chǎn)品類型、功能等情況;
(四)主要技術人員資格證書復印件。
第十三條銷售信息網(wǎng)絡安全檢測產(chǎn)品的單位應當在領取營業(yè)執(zhí)照后30日內向地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門申請備案,填寫《廣東省信息網(wǎng)絡安全檢測產(chǎn)品銷售備案表》,并提交如下資料:
(一)單位簡況;
(二)營業(yè)執(zhí)照復印件;
(三)信息網(wǎng)絡安全檢測產(chǎn)品銷售和售后服務管理制度;
(四)主要技術人員資格證書和銷售人員有效證件復印件。
第十四條信息網(wǎng)絡安全檢測產(chǎn)品只限于單位購買使用。購買信息網(wǎng)絡安全檢測產(chǎn)品的單位應當指定專人管理和使用,不得出租、出借、轉讓、贈送,不得擅自用于檢測他人計算機信息系統(tǒng)。
用戶購買信息網(wǎng)絡安全檢測產(chǎn)品,應當持單位的證明文件到所在地地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門辦理備案手續(xù),公安機關應當在15日內予以辦理,發(fā)給《信息網(wǎng)絡安全檢測產(chǎn)品購買備案表》;不予辦理的,應當書面說明理由。
用戶應當憑《信息網(wǎng)絡安全檢測產(chǎn)品購買備案表》購買信息網(wǎng)絡安全檢測產(chǎn)品。投入使用后,應當在10日內將本單位的《用戶IP地址配置備案表》報送所在地地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門備案。
第十五條信息網(wǎng)絡安全檢測產(chǎn)品銷售單位應當查驗用戶的《購買信息網(wǎng)絡安全檢測產(chǎn)品備案表》后方可銷售。
銷售信息網(wǎng)絡安全檢測產(chǎn)品的單位,應當負責產(chǎn)品的使用授權和維護、更新。
第五章安全服務機構
第十六條安全服務資質實行等級管理,分一、二、三、四級。各等級所對應的承擔工程的資格如下:
(一)一級:可承擔所有計算機信息系統(tǒng)安全設計、建設、檢測;
(二)二級:可獨立承擔第一級、第二級、第三級、第四級安全保護等級且安全投資總額為300萬元以下的計算機信息系統(tǒng)安全設計、建設、檢測,合作承擔第五級安全保護等級或安全投資總額為300萬元以上的計算機信息系統(tǒng)安全設計、建設、檢測;
(三)三級:可獨立承擔第一級、第二級安全保護等級且安全投資總額為150萬元以下的計算機信息系統(tǒng)安全設計、建設、檢測,合作承擔第三級、第四級安全保護等級且安全投資總額為300萬元以下的計算機信息系統(tǒng)安全設計、建設、檢測;
(四)四級:可獨立承擔第一級、第二級安全保護等級且安全投資總額為50萬元以下的計算機信息系統(tǒng)安全設計、建設,合作承擔第一級、第二級安全保護等級且安全投資總額為150萬元以下的計算機信息系統(tǒng)安全設計、建設。
第十七條各安全服務資質等級條件如下:
一級資質:
(一)具有相應經(jīng)營范圍的營業(yè)執(zhí)照;
(二)注冊資本1200萬元以上,近3年的財務狀況良好;
(三)近3年完成計算機信息系統(tǒng)安全服務項目總值3000萬元以上,并承擔過至少1項450萬元以上或至少4項150萬元以上的項目;所完成的安全服務項目中應具有自主開發(fā)的安全產(chǎn)品;服務費用(含系統(tǒng)設計費、軟件開發(fā)費、系統(tǒng)集成費和技術服務費)應占工程項目總值的30%以上(即不低于900萬元);工程按合同要求質量合格,已通過驗收并投入實際應用;
(四)具有計算機安全或相關專業(yè)資格證書的專業(yè)技術人員不少于50人,其中大學本科以上學歷的人員不少于40人;
(五)安全服務工作的管理人員應當具有5年以上從事計算機信息系統(tǒng)安全技術領域企業(yè)管理工作經(jīng)歷,技術負責人已獲得計算機信息系統(tǒng)安全技術相關專業(yè)的高級職稱,從事計算機信息系統(tǒng)安全集成工作不少于5年;
(六)具有較強的綜合實力,有先進、完整的軟件及系統(tǒng)開發(fā)環(huán)境和設備,具有較強的技術開發(fā)能力;
(七)具有完善的組織管理制度、質量保證體系和客戶服務體系,實行工程標準化管理和量化控制,并能不斷改進;
(八)具有系統(tǒng)的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施。
(九)竣工項目均通過驗收;
(十)無觸犯計算機信息系統(tǒng)安全保護等有關法律法規(guī)的行為。
二級資質:
(一)具有相應經(jīng)營范圍的營業(yè)執(zhí)照;
(二)注冊資本500萬元以上,近3年的財務狀況良好;
(三)近3年完成計算機信息系統(tǒng)安全服務項目總值1500萬元以上,并承擔過至少1項225萬元以上或至少3項120萬元以上的項目;所完成的安全服務項目中應具有自主開發(fā)的安全產(chǎn)品;服務費用(含系統(tǒng)設計費、軟件開發(fā)費、系統(tǒng)集成費和技術服務費)應占工程項目總值的30%以上(即不低于450萬元);工程按合同要求質量合格,已通過驗收并投入實際應用;
(四)具有計算機安全或相關專業(yè)資格證書的專業(yè)技術人員不少于40人,其中大學本科以上學歷的人員不少于30人;
(五)安全服務工作的管理人員應當具有4年以上從事計算機信息系統(tǒng)安全技術領域企業(yè)管理工作經(jīng)歷,技術負責人已獲得計算機信息系統(tǒng)安全技術相關專業(yè)的高級職稱,從事計算機信息系統(tǒng)安全集成工作不少于4年;
(六)具有先進、完整的軟件及系統(tǒng)開發(fā)環(huán)境和設備,有較強的技術開發(fā)能力;
(七)具有完善的組織管理制度、質量保證體系和客戶服務體系,實行工程標準化管理和量化控制;
(八)具有系統(tǒng)的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施;
(九)竣工項目均通過驗收;
(十)無觸犯計算機信息系統(tǒng)安全保護等有關法律法規(guī)的行為。
三級資質:
(一)具有相應經(jīng)營范圍的營業(yè)執(zhí)照;
(二)注冊資本100萬元以上,近3年的財務狀況良好;
(三)近3年完成計算機信息系統(tǒng)安全服務項目總值600萬元以上;服務費用(含系統(tǒng)設計費、軟件開發(fā)費、系統(tǒng)集成費和技術服務費)應占工程項目總值的30%以上(即不低于180萬元);工程按合同要求質量合格,已通過驗收并投入實際應用;
(四)具有計算機安全或相關專業(yè)資格證書的專業(yè)技術人員不少于20人,其中大學本科以上學歷的人員不少于15人;
(五)安全服務工作的管理人員應當具有3年以上從事計算機信息系統(tǒng)安全技術領域企業(yè)管理工作經(jīng)歷,技術負責人已獲得計算機信息系統(tǒng)安全技術相關專業(yè)的高級職稱,從事計算機信息系統(tǒng)安全集成工作不少于3年;
(六)具有與所承擔項目相適應的軟件及系統(tǒng)開發(fā)環(huán)境和設備,具有一定的技術開發(fā)能力;
(七)具有完善的組織管理制度、質量保證體系和客戶服務體系,實行工程標準化管理;
(八)具有系統(tǒng)的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施;
(九)竣工項目均通過驗收;
(十)無觸犯計算機信息系統(tǒng)安全保護等有關法律法規(guī)的行為。
四級資質:
(一)具有相應經(jīng)營范圍的營業(yè)執(zhí)照;
(二)注冊資本30萬元以上,近3年的財務狀況良好;
(三)具有計算機安全或相關專業(yè)資格證書的專業(yè)技術人員不少于15人;
(四)安全服務工作的管理人員應當具有2年以上從事計算機信息系統(tǒng)安全技術領域企業(yè)管理工作經(jīng)歷,技術負責人已獲得計算機信息系統(tǒng)安全技術相關專業(yè)的高級職稱,從事計算機信息系統(tǒng)安全集成工作不少于2年;
(五)具有與所承擔項目相適應的軟件及系統(tǒng)開發(fā)環(huán)境和設備,具有一定的技術開發(fā)能力;
(六)具有較為完善的組織管理制度、質量保證體系和客戶服務體系;
(七)具有系統(tǒng)的對員工進行新知識、新技術培訓的計劃,并能有效地組織實施;
(八)竣工項目均通過驗收;
(九)無觸犯計算機信息系統(tǒng)安全保護等有關法律法規(guī)的行為。
第十八條申請安全服務資質,應當持下列資料向地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門提出申請:
(一)申請書;
(二)營業(yè)執(zhí)照復印件;
(三)管理人員和專業(yè)技術人員的身份證明、學歷證明和計算機安全培訓合格證書;
(四)技術裝備情況及組織管理制度報告。
地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門應當自接到申請材料之日起15日內對申請材料進行初審。初審合格的,報送省公安廳公共信息網(wǎng)絡安全監(jiān)察部門核準;初審不合格的,退回申請并說明理由。
省公安廳公共信息網(wǎng)絡安全監(jiān)察部門應當自接到初審材料之日起15日內進行審查,符合條件的,核發(fā)資質證書。不符合條件的,作出不予核準的決定并說明理由。
持國家工商行政管理總局或省工商行政管理局核發(fā)的營業(yè)執(zhí)照以及申請一級安全服務資質的機構,直接向省公安廳公共信息網(wǎng)絡安全監(jiān)察部門提出申請,省公安廳公共信息網(wǎng)絡安全監(jiān)察部門應當在30日內作出核準意見。
第十九條從事計算機信息系統(tǒng)安全檢測的安全服務機構應當具有三級以上安全服務資質。
承擔重點安全保護單位計算機信息系統(tǒng)和計算機機房使用前安全檢測的安全服務機構由地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門實行總量控制,擇優(yōu)授權,應具備下列條件:
(一)具有三級以上安全服務資質;
(二)中國公民或者組織持有的股權或者股份不少于51%;
(三)具有提供長期服務的能力和良好信譽;
(四)具有自主開發(fā)的信息網(wǎng)絡安全檢測產(chǎn)品。
轄區(qū)內無符合條件的安全服務機構的,由地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門委托省內符合條件的安全服務機構承擔。
第二十條資質證書分為正本和副本,正本和副本具有同等法律效力。
第二十一條資質證書實行年審制度。年審時間為每年2月至3月,新領(換)資質證書未滿半年的不需年審。
第二十二條安全服務機構在年審前應當對本單位上一年度的下列情況進行自查,并形成自查書面材料:
(一)遵守國家有關法律法規(guī)和本省有關規(guī)定的情況;
(二)安全服務業(yè)績;
(三)用戶投訴及處理情況;
(四)參加國內和國際標準認證的情況;
(五)符合資質證書頒發(fā)條件的有關情況。
第二十三條安全服務機構參加年審,應當持下列材料向地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門提出申請:
(一)《計算機信息系統(tǒng)安全服務資質年審申請書》;
(二)資質證書副本;
(三)自查書面材料;
(四)其他材料。
第二十四條地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門自接到申請材料之日起15日內進行初審,材料齊全,情況屬實的,報送省公安廳公共信息網(wǎng)絡安全監(jiān)察部門審查。初審不合格的,退回申請并說明理由。
省公安廳公共信息網(wǎng)絡安全監(jiān)察部門應當自接到初審材料之日起10日內作出年審結論。
持國家工商行政管理總局或省工商行政管理局核發(fā)的營業(yè)執(zhí)照以及申請一級安全服務資質的機構,直接向省公安廳公共信息網(wǎng)絡安全監(jiān)察部門提出申請,省公安廳公共信息網(wǎng)絡安全監(jiān)察部門應當在20日內作出年審結論。
年審結論分為合格、降級、取消3種。
具備下列情形的,年審結論為合格:
(一)遵守國家有關法律法規(guī)和本省有關規(guī)定;
(二)上年度安全服務項目總值不低于本級資質條件規(guī)定的年均安全服務項目總值的四分之三(四級資質不低于50萬元);
(三)用戶投訴基本能合理解決;
(四)符合原等級資質證書頒發(fā)條件。
有下列情形之一的,年審結論為降級:
(一)違反國家有關法律法規(guī)和本省有關規(guī)定,情節(jié)輕微;
(二)上年度安全服務項目總值低于本級資質條件規(guī)定的年均安全服務項目總值的四分之三;
(三)10%以上的安全服務項目有用戶投訴且未能合理解決;
(四)不符合原等級資質證書頒發(fā)條件。
有下列情形之一的,年審結論為取消:
(一)違反國家有關法律法規(guī)和本省有關規(guī)定,情節(jié)嚴重;
(二)年度安全服務項目總值低于50萬元;
(三)20%以上的安全服務項目有用戶投訴且未能合理解決;
(四)情況發(fā)生變更,達不到資質證書頒發(fā)條件。
年審合格的,在資質證書副本和《計算機信息系統(tǒng)安全服務資質年審申請書》上注明,加蓋省公安廳公共信息網(wǎng)絡安全監(jiān)察專用章。
年審結論為降級的,原資質證書作廢,換發(fā)資質證書。
年審結論為取消的,資質證書作廢,安全服務機構應當自接到年審結論之日起10日內交回資質證書。
未按時參加年審的,年審結論視為取消。
年審結論為取消的,兩年內不得申請安全服務資質。
因特殊原因未年審的,應當書面說明理由,經(jīng)批準,方可補辦相關手續(xù)。
第二十五條資質證書有效期為4年,安全服務機構應當在期滿前60日內提交換證申請材料。換證程序與資質證書申請程序相同。期滿不換證的,資質證書作廢。
因特殊原因未按時換證的,應當書面說明理由,經(jīng)批準,方可補辦相關手續(xù)。
第二十六條資質證書登記事項發(fā)生變更的,應在30日內到地級以上市公安機關辦理變更手續(xù)。
第二十七條安全服務機構在取得資質證書一年后,達到較高一級資質條件的,可申請晉升等級,辦理程序與初次申請相同。
第二十八條安全服務機構情況發(fā)生變更,不符合原資質等級條件的,應當予以降級。
第六章安全審驗
第二十九條計算機信息系統(tǒng)和計算機機房的規(guī)劃、設計、建設應當按照國家有關規(guī)定和標準,同步落實安全保護制度和措施。
第三十條重點安全保護單位計算機信息系統(tǒng)和計算機機房安全設計方案應當報單位所在地地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門備案。
重點安全保護單位計算機信息系統(tǒng)和計算機機房建成后,應當由具有相應資格的安全服務機構進行安全檢測。檢測合格,方可投入使用。
安全檢測應當接受公安機關公共信息網(wǎng)絡安全監(jiān)察部門的監(jiān)督。
第三十一條計算機信息系統(tǒng)安全設計方案備案,應當填寫《廣東省計算機信息系統(tǒng)安全設計方案備案表》,并提交下列材料:
(一)計算機信息系統(tǒng)安全設計方案;
(二)計算機信息系統(tǒng)的總體需求說明;
(三)計算機信息系統(tǒng)的安全保護等級。
第三十二條計算機機房安全設計方案備案,應當填寫《廣東省計算機機房安全設計方案備案表》,并提交下列材料:
(一)承建單位營業(yè)執(zhí)照和資質證書復印件;
(二)計算機機房的用途和安全要求;
(三)計算機機房的施工方案和設計圖紙;
(四)其他應當提交的資料。
第三十三條安全服務機構對重點安全保護單位計算機信息系統(tǒng)和計算機機房進行使用前安全檢測,應當預先報告地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門。安全檢測結論由重點安全保護單位報地級以上市公安機關公共信息網(wǎng)絡安全監(jiān)察部門。
第三十四條計算機信息系統(tǒng)和計算機機房存在下列情形之一的,應當進行安全檢測:
(一)變更關鍵部件;
(二)安全檢測時間滿一年;
(三)發(fā)生案件或安全事故;
(四)公安機關公共信息網(wǎng)絡安全監(jiān)察部門根據(jù)應急處置工作的需要認為應當進行安全檢測;
(五)其他應當進行安全檢測的情形。
第三十五條安全服務機構應當履行下列職責:
(一)如實出具檢測報告;
(二)接受公安機關公共信息網(wǎng)絡安全監(jiān)察部門對檢測過程的監(jiān)督檢查;
(三)保守用戶秘密,不得保留安全檢測相關資料,不得擅自向第三方泄露用戶信息。
第七章安全培訓
第三十六條省公安廳、人事廳聯(lián)合成立的省計算機安全培訓領導小組,負責全省計算機安全培訓考試工作的組織和領導。下設省計算機安全培訓考試辦公室,具體負責計算機安全培訓的日常管理工作。
第三十七條下列人員應當參加計算機安全培訓,取得省計算機安全培訓考試辦公室頒發(fā)的計算機安全培訓合格證書,持證上崗:
(一)計算機信息系統(tǒng)使用單位安全管理責任人、信息審查員;
(二)重點安全保護單位計算機信息系統(tǒng)維護和管理人員;
(三)安全專用產(chǎn)品生產(chǎn)單位專業(yè)技術人員;
(四)安全服務機構專業(yè)技術人員、安全服務管理人員;
(五)其他從事計算機信息系統(tǒng)安全保護工作的人員。
第三十八條計算機安全培訓和考試由省計算機安全培訓考試辦公室授權的安全培訓考試點負責組織。安全培訓考試點實行統(tǒng)籌規(guī)劃,總量控制。
第三十九條計算機安全培訓和考試按照有關規(guī)定進行,實行學大綱,材,統(tǒng)一考試,統(tǒng)一發(fā)證。
考試合格的,由省計算機安全培訓考試辦公室在20日內發(fā)給計算機安全培訓合格證書。
篇(3)
1 網(wǎng)絡安全定義
所謂網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統(tǒng)能連續(xù)、可靠、正常地運行,網(wǎng)絡服務不中斷。常見的影響網(wǎng)絡安全的問題主要有病毒、黑客攻擊、系統(tǒng)漏洞、資料篡改等,這就需要我們建立一套完整的網(wǎng)絡安全體系來保障網(wǎng)絡安全可靠地運行。
2 計算機網(wǎng)絡攻擊的特點
計算機網(wǎng)絡攻擊具有下述特點:①損失巨大;②威脅社會和國家安全;③方法多樣,手段隱蔽;④以軟件攻擊為主。
3 影響網(wǎng)絡安全的主要因素
①信息泄密。②信息被篡改。③傳輸非法信息流。④網(wǎng)絡資源的錯誤使用。⑤非法使用網(wǎng)絡資源。⑥環(huán)境影響。⑦軟件漏洞。⑧人為安全因素。
4 計算機網(wǎng)絡中的安全缺陷及產(chǎn)生的原因
4.1 TCP/IP的脆弱性。因特網(wǎng)的基礎是TCP/IP協(xié)議。但該協(xié)議對于網(wǎng)絡的安全性考慮得并不多。并且,由于TCP/IP協(xié)議是公布于眾的,如果人們對TCP/IP很熟悉,就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。
4.2 網(wǎng)絡結構的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡。當人們用一臺主機和另一局域網(wǎng)的主機進行通信時,通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉發(fā),如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機,他就可以劫持用戶的數(shù)據(jù)包。
4.3 易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密,因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。
4.4 缺乏安全意識。雖然網(wǎng)絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。如人們?yōu)榱吮荛_防火墻服務器的額外認證,進行直接的PPP連接從而避開了防火墻的保護。
5 常見的網(wǎng)絡攻擊
5.1 特洛伊木馬。特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載,一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后,它會在計算機系統(tǒng)中隱藏一個可以在windows啟動時悄悄執(zhí)行的程序。當您連接到因特網(wǎng)上時,這個程序就會通知攻擊者,來報告您的IP地址以及預先設定的端口。攻擊者在收到這些信息后,再利用這個潛伏在其中的程序,就可以任意地修改你的計算機的參數(shù)設定、復制文件、窺視你整個硬盤中的內容等,從而達到控制你的計算機的目的。
5.2 WWW的欺騙技術。在網(wǎng)上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過。例如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務器,當用戶瀏覽目標網(wǎng)頁的時候,實際上是向黑客服務器發(fā)出請求,那么黑客就可以達到欺騙的目的。
5.3 郵件炸彈。電子郵件是互聯(lián)網(wǎng)上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發(fā)送流量特別大時,還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢,甚至癱瘓。相對于其它的攻擊手段來說,這種攻擊方法具有簡單、見效快等優(yōu)點。
5.4 過載攻擊。過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求,使被攻擊的服務器一直處于繁忙的狀態(tài),從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊,它是通過大量地進行人為地增大CPU的工作量,耗費CPU的工作時間,使其它的用戶一直處于等待狀態(tài)。
5.5 網(wǎng)絡監(jiān)聽。網(wǎng)絡監(jiān)聽是主機的一種工作模式,在這種模式下,主機可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接收方是誰。因為系統(tǒng)在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務器端,而攻擊者就能在兩端之間進行數(shù)據(jù)監(jiān)聽。此時若兩臺主機進行通信的信息沒有加密,只要使用某些網(wǎng)絡監(jiān)聽工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和帳號在內的信息資料。雖然網(wǎng)絡監(jiān)聽獲得的用戶帳號和口令具有一定的局限性,但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號及口令。
5.6 安全漏洞攻擊。許多系統(tǒng)都有這樣那樣的安全漏洞(Bugs)。其中一些是操作系統(tǒng)或應用軟件本身具有的。如緩沖區(qū)溢出攻擊。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況,就任意接受任意長度的數(shù)據(jù)輸入,把溢出的數(shù)據(jù)放在堆棧里,系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令,系統(tǒng)便進入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準備用作攻擊的字符,他甚至可以訪問根目錄,從而擁有對整個網(wǎng)絡的絕對控制權。
6 防范對策
在對網(wǎng)絡攻擊進行上述分析與識別的基礎上,我們應當認真制定有針對性的策略。明確安全對象,設置強有力的安全保障體系。
6.1 提高安全意識。不要隨意打開來歷不明的電子郵件及文件,不要隨便運行不太了解的人給你的程序;盡量避免從Internet下載不知名的軟件、游戲程序;密碼設置盡可能使用字母數(shù)字混排,單純的英文或者數(shù)字很容易窮舉;及時下載安裝系統(tǒng)補丁程序;不隨便運行黑客程序。
6.2 使用防毒、防黑等防火墻軟件將防毒、防黑當成日常工作。防火墻是一個用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網(wǎng)絡邊界上通過建立起來的相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內部和外部網(wǎng)絡,以阻檔外部網(wǎng)絡的侵入。
6.3 設置服務器,隱藏自己的IP地址提高警惕防范攻擊。保護自己的IP地址是很重要的。事實上,即便你的機器上被安裝了木馬程序,若沒有你的IP地址,攻擊者也是沒有辦法的,而保護IP地址的最好方法就是設置服務器。服務器能起到外部網(wǎng)絡申請訪問內部網(wǎng)絡的中間轉接作用,其功能類似于一個數(shù)據(jù)轉發(fā)器,它主要控制哪些用戶能訪問哪些服務類型。當外部網(wǎng)絡向內部網(wǎng)絡申請某種網(wǎng)絡服務時,服務器接受申請,然后它根據(jù)其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網(wǎng)絡轉發(fā)這項請求。
篇(4)
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2011) 23-0000-02
Security Maintenance of Computer Network Information
Zhang Feng
(Dalian Tiantu Cable Television Network Co.,Ltd.,Dalian 116011,China)
Abstract:Information technology makes the computer network becomes an important feature of the information age,computer and communication technology product-networks,the information superhighway in society today.However,in the early design of network protocols on security issues of neglect,frequently associated with security incidents occur,the line computer network system security threats facing can not be ignored,and thus become a serious social problems.In this paper,a computer network system to enhance the security of the line,described the security of computer network systems maintenance strategy.
Keywords:Computer network;Network and information security;Security maintenance strategy
一、計算機網(wǎng)絡系統(tǒng)概述
(一)計算機網(wǎng)絡系統(tǒng)定義
計算機網(wǎng)絡系統(tǒng)就是利用通信設備和線路將地理位置不同、功能獨立的多個計算機系統(tǒng)互聯(lián)起來,以功能完善的網(wǎng)絡軟件實現(xiàn)網(wǎng)絡中資源共享和信息傳遞的系統(tǒng)。通過計算機的互聯(lián),實現(xiàn)計算機之間的通信,從而實現(xiàn)計算機系統(tǒng)之間的信息、軟件和設備資源的共享以及協(xié)同工作等功能,其本質特征在于提供計算機之間的各類資源的高度共享,實現(xiàn)便捷地交流信息和交換思想。計算機網(wǎng)絡的發(fā)展經(jīng)歷了具有通信功能的批處理系統(tǒng)、具有通信功能的多機系統(tǒng)和計算機網(wǎng)絡系統(tǒng)三個階段。
(二)計算機網(wǎng)絡系統(tǒng)的組成
在計算機網(wǎng)絡系統(tǒng)中,每臺計算機是獨立的,任何一臺計算機都不能干預其它計算機的工作,任何兩臺計算機之間沒有主從關系。計算機網(wǎng)絡系統(tǒng)由網(wǎng)絡硬件和網(wǎng)絡軟件兩部分組成。在網(wǎng)絡系統(tǒng)中,硬件對網(wǎng)絡的性能起著決定的作用,是網(wǎng)絡運行的實體,而網(wǎng)絡軟件則是支持網(wǎng)絡運行、提高效益和開發(fā)網(wǎng)絡資源的工具。
(三)計算機網(wǎng)絡的用途
1.共享資源:計算機網(wǎng)絡系統(tǒng)可將分散在各地的計算機中的數(shù)據(jù)信息收集起來,進行綜合分析處理。并把分析結果反饋給相關的各個計算機中,使數(shù)據(jù)信息得到充分的共享。更重要的是,利用計算機網(wǎng)絡共享軟件、數(shù)據(jù)等信息資源,以最大限度地降低成本,提高效率。
2.數(shù)據(jù)通信。利用計算機網(wǎng)絡可以實現(xiàn)計算機用戶相互間的通信。通過網(wǎng)絡上的文件服務器交換信息和報文、收發(fā)電子郵件、相互協(xié)同工作等。這些對辦公室自動化、提高生產(chǎn)率起著十分重要的作用。
二、計算機網(wǎng)絡安全概述
(一)網(wǎng)絡安全的定義
網(wǎng)絡安全就是網(wǎng)絡上的信息安全,是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。廣義來說,凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全所要研究的領域。網(wǎng)絡安全涉及的內容既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。技術方面主要側重于防范外部非法用戶的攻擊,管理方面則側重于內部人為因素的管理。
(二)網(wǎng)絡信息安全的脆弱性
1.網(wǎng)絡信息安全問題的產(chǎn)生。網(wǎng)絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為"信息的完整性、可用性、保密性和可靠性";控制安全則指身份認證、不可否認性、授權和訪問控制。
2.互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。同時也產(chǎn)生了許多安全問題:(1)互聯(lián)網(wǎng)是一個開放的網(wǎng)絡,TCP/IP是通用的協(xié)議,各種硬件和軟件平臺的計算機系統(tǒng)可以通過各種媒體接入進來,各種安全威脅可以不受地理限制、不受平臺約束,迅速通過互聯(lián)網(wǎng)影響到世界的每一個角落。(2)互聯(lián)網(wǎng)的自身的安全缺陷是導致互聯(lián)網(wǎng)脆弱性的根本原因。互聯(lián)網(wǎng)的脆弱性體現(xiàn)在設計、實現(xiàn)、維護的各個環(huán)節(jié)。設計階段,由于沒有充分考慮安全威脅,互聯(lián)網(wǎng)和所連接的計算機系統(tǒng)在實現(xiàn)階段也留下了大量的安全漏洞。由于網(wǎng)絡和相關軟件越來越復雜,安全漏洞也越來越多。由于管理員或者用戶的技術水平限制、維護管理工作量大等因素,這些安全機制并沒有發(fā)揮有效作用。(3)互聯(lián)網(wǎng)威脅的普遍性是安全問題的主要原因之一。(4)管理方面的困難性也是互聯(lián)網(wǎng)安全問題的重要原因。
三、常見網(wǎng)絡攻擊方法及對策
(一)網(wǎng)絡攻擊的常見方法
1.口令入侵。所謂口令入侵是指使用某些合法用戶的賬號和口令登錄到目的主機,然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的賬號,然后再進行合法用戶口令的破譯。
2.放置特洛伊木馬程序。特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載,一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后,它們就會像古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,并在自己的計算機系統(tǒng)中隱藏一個可以在windows啟動時悄悄執(zhí)行的程序。當您連接到因特網(wǎng)上時,這個程序就會通知攻擊者,來報告您的IP地址以及預先設定的端口。攻擊者在收到這些信息后,再利用這個潛伏在其中的程序,就可以任意地修改你的計算機的參數(shù)設定、復制文件、窺視你整個硬盤中的內容等,從而達到控制你的計算機的目的。
3.WWW的欺騙技術。在網(wǎng)上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產(chǎn)品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過,網(wǎng)頁上的信息是虛假的!例如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務器,當用戶瀏覽目標網(wǎng)頁的時候,實際上是向黑客服務器發(fā)出請求,那么黑客就可以達到欺騙的目的了。
4.電子郵件攻擊。電子郵件是互聯(lián)網(wǎng)上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發(fā)送流量特別大時,還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢,甚至癱瘓。相對于其它的攻擊手段來說,這種攻擊方法具有簡單、見效快等優(yōu)點。
5.網(wǎng)絡監(jiān)聽和安全漏洞攻擊。網(wǎng)絡監(jiān)聽是系統(tǒng)在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務器端,而攻擊者就能在兩端之間進行數(shù)據(jù)監(jiān)聽。如果信息沒有加密,就可截取包括口令和賬號在內的信息資料。
許多系統(tǒng)都有這樣那樣的安全漏洞(Bugs)。其中一些是操作系統(tǒng)或應用軟件本身具有的,如緩沖區(qū)溢出攻擊。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況,就任意接受任意長度的數(shù)據(jù)輸入,把溢出的數(shù)據(jù)放在堆棧里,系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令,系統(tǒng)便進入不穩(wěn)定狀態(tài)。
(二)網(wǎng)絡攻擊應對策略
在對網(wǎng)絡攻擊進行上述分析與識別的基礎上,我們應當認真制定有針對性的策略。明確安全對象,設置強有力的安全保障體系。有的放矢,在網(wǎng)絡中層層設防,發(fā)揮網(wǎng)絡的每層作用,做到未雨綢繆,預防為主,將重要的數(shù)據(jù)備份并時刻注意系統(tǒng)運行狀況。
1.提高安全意識。不要隨意打開來歷不明的電子郵件及文件,不要隨便運行不太了解的人給你的程序;盡量避免從Internet下載不知名的軟件、游戲程序;密碼設置盡可能使用字母數(shù)字混排,單純的英文或者數(shù)字很容易窮舉;及時下載安裝系統(tǒng)補丁程序。
2.使用防毒、防黑等防火墻軟件。防火墻是一個用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網(wǎng)絡邊界上通過建立起來的相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內部和外部網(wǎng)絡,以阻檔外部網(wǎng)絡的侵入。
3.設置服務器,隱藏自己的IP地址。保護IP地址的最好方法就是設置服務器。服務器能起到外部網(wǎng)絡申請訪問內部網(wǎng)絡的中間轉接作用,它主要控制哪些用戶能訪問哪些服務類型。當外部網(wǎng)絡向內部網(wǎng)絡申請某種網(wǎng)絡服務時,服務器接受申請,然后它根據(jù)其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網(wǎng)絡轉發(fā)這項請求。
4.將防毒、防黑當成日常例性工作,定時更新防毒組件,將防毒軟件保持在常駐狀態(tài),以徹底防毒。
5.提高警惕和備份資料,對于重要的個人資料做好嚴密的保護,并養(yǎng)成資料備份的習慣。加強對網(wǎng)絡信息安全的重視,強化信息網(wǎng)絡安全保障體系建設。
(三)逐步消除網(wǎng)絡安全隱患
1.建立網(wǎng)絡安全長效機制的重要手段。建立規(guī)范的網(wǎng)絡秩序,需要不斷完善法制,探索網(wǎng)絡空間所體現(xiàn)的需求和原則,為規(guī)范網(wǎng)絡空間秩序確定法律框架;建立規(guī)范的網(wǎng)絡秩序,還要在道德和文化層面確定每個使用網(wǎng)絡者的義務;建立規(guī)范的網(wǎng)絡秩序,需要在法制基礎上建立打擊各類網(wǎng)絡犯罪有效機制和手段。
2.引發(fā)網(wǎng)絡安全事件的原因。據(jù)調查,因“利用未打補丁或未受保護的軟件漏洞”,占50.3%;對員工不充分的安全操作和流程的培訓及教育占36.3%;緊隨其后的是缺乏全面的網(wǎng)絡安全意識教育,占28.7%。因此,要用直觀、易懂、演示性的方式來加強員工的網(wǎng)絡安全意識水平,降低企業(yè)面臨的各種風險,提高競爭力。
3.保障信息安全任重道遠。專家認為,我國目前網(wǎng)絡安全的推進重點,已開始由物理層面的防毒向文化、思想、精神層面的防毒轉變,倡導網(wǎng)絡文明和凈化網(wǎng)絡環(huán)境內容。截至目前,信息產(chǎn)業(yè)部啟動的“陽光綠色網(wǎng)絡工程”系列活動,已經(jīng)取得顯著成果,并正在長期系統(tǒng)地凈化著網(wǎng)絡環(huán)境。
四、結束語
網(wǎng)絡經(jīng)濟發(fā)展對網(wǎng)絡安全產(chǎn)品有了新的需求,因此具有巨大的市場前景的防火墻、殺毒軟件、安全認證等產(chǎn)品將占據(jù)市場的主要份額,網(wǎng)絡主動檢測和防御的技術也將有所發(fā)展。國內網(wǎng)絡安全產(chǎn)品線已相對齊全,國內外廠商的產(chǎn)品已能夠提供保障網(wǎng)絡安全的防病毒、防火墻、入侵檢測和安全評估、信息加密、安全認證以及網(wǎng)絡安全整體解決方案等全系列產(chǎn)品。全國信息安全產(chǎn)品的產(chǎn)業(yè)化已經(jīng)有了一個良好的開端。
參考文獻:
[1]網(wǎng)絡安全技術介紹.
篇(5)
一、常見網(wǎng)絡攻擊的原理和手段
1.口令入侵。口令入侵是指使用某些合法用戶的賬號和口令登錄到目的主機,然后再實施攻擊活動。獲得用戶賬號的方法很多,如利用目標主機的Finger功能、X.500服務、從電子郵件地址中收集、查看習慣性賬號。獲取用戶的賬號后,利用一些專門軟件強行破解用戶口令。
2.放置特洛伊木馬程序。特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開或下載,一旦用戶打開或者執(zhí)行了這些程序,就會像古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,并在計算機系統(tǒng)中隱藏一個可以在windows啟動時悄悄執(zhí)行的程序。當你連接到因特網(wǎng)上時,這個程序就會通知攻擊者,來報告你的IP地址以及預先設定的端口。攻擊者在收到這些信息后,再利用預先潛伏的程序,就可以任意地修改你的計算機的參數(shù)設定、復制文件、窺視你整個硬盤中的內容等,達到控制你的計算機的目的。
3.電子郵件攻擊。電子郵件是互聯(lián)網(wǎng)上運用得十分廣泛的一種通訊方式。攻擊者使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內容重復、無用的垃圾郵件,使目的郵箱被撐爆而無法使用。攻擊者還可以佯裝系統(tǒng)管理員,給用戶發(fā)送郵件要求用戶修改口令或在貌似正常的附件中加載病毒或其他木馬程序。
4.網(wǎng)絡監(jiān)聽。網(wǎng)絡監(jiān)聽是主機的一種工作模式,在這種模式下,主機可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?不管這些信息的發(fā)送方和接收方是誰。系統(tǒng)在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務器端,攻擊者就能在兩端之間進行數(shù)據(jù)監(jiān)聽。此時若兩臺主機進行通信的信息沒有加密,只要使用某些網(wǎng)絡監(jiān)聽工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和賬號在內的信息資料。
5.安全漏洞攻擊。許多系統(tǒng)都有這樣那樣的安全漏洞(B ugs)。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況,就任意接受任意長度的數(shù)據(jù)輸入,把溢出的數(shù)據(jù)放在堆棧里,系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令,系統(tǒng)便進入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準備用作攻擊的字符,他甚至可以訪問根目錄,從而擁有對整個網(wǎng)絡的絕對控制權。
二、網(wǎng)絡攻擊應對策略
1.利用安全防范技術。(1)加密技術。加密技術主要分為公開算法和私有算法兩種,私有算法是運用起來是比較簡單和運算速度比較快,缺點是一旦被解密者追蹤到算法,算法就徹底廢了。公開算法的算法是公開,有的是不可逆,有用公鑰,私鑰的,優(yōu)點是非常難破解,可廣泛用于各種應用;缺點是運算速度較慢,使用時很不方便。(2)身份認證技術。身份認證技術在電子商務應用中是極為重要的核心安全技術之一,主要在數(shù)字簽名是用公鑰私鑰的方式保證文件是由使用者發(fā)出的和保證數(shù)據(jù)的安全。在網(wǎng)絡應用中有第三方認證技術Kerberos,可以使用戶使用的密碼在網(wǎng)絡傳送中,每次均不一樣,可以有效的保證數(shù)據(jù)安全和方便用戶在網(wǎng)絡登入其它機器的過程中不需要重復輸入密碼。(3)防火墻。防火墻技術是比較重要的一個橋梁,以用來過濾內部網(wǎng)絡和外部網(wǎng)絡環(huán)境,在網(wǎng)絡安全方面,它的核心技術就是包過濾,高級防火墻還具有地址轉換,虛擬私網(wǎng)等功能。
2.制訂安全策略。(1)提高安全意識。一是不隨意打開來歷不明的電子郵件及文件,不隨意運行不明程序;二是盡量避免從Internet下載不明軟件,一旦下載軟件及時用最新的病毒和木馬查殺軟件進行掃描;三是密碼設置盡可能使用字母數(shù)字混排,不容易窮舉,重要密碼最好經(jīng)常更換;四是及時下載安裝系統(tǒng)補丁程序。(2)使用防毒、防黑等防火墻。防火墻是用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網(wǎng)絡邊界上通過建立起來的相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內部和外部網(wǎng)絡,以阻檔外部網(wǎng)絡的侵入。(3)設置服務器,隱藏自己的IP地址。事實上,即便你的機器上被安裝了木馬程序,若沒有你的IP地址,攻擊者也是沒有辦法,保護IP地址的最好方法就是設置服務器。服務器能起到外部網(wǎng)絡申請訪問內部網(wǎng)絡的中間轉接作用。當外部網(wǎng)絡向內部網(wǎng)絡申請某種網(wǎng)絡服務時,服務器接受申請,然后它根據(jù)其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務。(4)將防毒、防黑當成日常例性工作,定時更新防毒組件,將防毒軟件保持在常駐狀態(tài),以徹底防毒。(5)對于重要的資料做好嚴密的保護,并養(yǎng)成資料備份的習慣。
參考文獻
篇(6)
隨著互聯(lián)網(wǎng)的迅猛發(fā)展,高校作為培養(yǎng)人才的基地,對網(wǎng)絡的要求越來越高,對在互聯(lián)網(wǎng)上查找信息、在BBS上發(fā)表言論、發(fā)送郵件、建立博客、瀏覽網(wǎng)頁、看網(wǎng)上視頻等寬帶要求越來越高,這就在設備的管理、網(wǎng)絡安全與網(wǎng)絡監(jiān)控上向校園網(wǎng)絡管理人員提出了更高的要求。在這里,校園網(wǎng)絡管理人員至少需要考慮四大問題:一是確保網(wǎng)絡設備管理正常工作,過濾非法用戶使用網(wǎng)絡資源情況的出現(xiàn);二是檢測系統(tǒng)漏洞預防病毒和網(wǎng)絡黑客攻擊;三是實時做好在線遠程控制設備控制;四是監(jiān)控當前網(wǎng)絡使用狀況,實現(xiàn)網(wǎng)絡流量的合理配置。而這一系列問題的根本性措施是要設計出合理的校園網(wǎng)絡安全管理系統(tǒng)。
一、校園網(wǎng)網(wǎng)絡安全環(huán)境概述
網(wǎng)絡軟、硬件存在的安全漏洞會導致網(wǎng)絡系統(tǒng)遇到各種威脅,導致絡安全事件發(fā)生,因此為維護這個網(wǎng)絡系統(tǒng),要利用其他手段來創(chuàng)造一個良好的網(wǎng)絡環(huán)境。本文認為應該建立一個網(wǎng)絡安全防護體系,該系統(tǒng)既包括先進的技術,還包括安全教育、法律約束和嚴格的管理。也就是說,當前制定的網(wǎng)絡技術安全包括網(wǎng)絡安全、物理安全和信息安全。
1、網(wǎng)絡安全
網(wǎng)絡安全是指主機、網(wǎng)絡運行安全、服務器安全、子網(wǎng)安全及局域網(wǎng)安全。網(wǎng)絡安全的實現(xiàn)需要內部網(wǎng)與網(wǎng)絡安全域之間的隔離、內外網(wǎng)之間的隔離、還要對計算機網(wǎng)絡進行審計和監(jiān)控、及時檢測網(wǎng)絡安全,同時做好了網(wǎng)絡系統(tǒng)備份和網(wǎng)絡反病毒。
要實現(xiàn)網(wǎng)絡安全,在內、外部網(wǎng)間設置防火墻是最有效、最主要、最經(jīng)濟的措施之一。內部網(wǎng)的不同網(wǎng)段之間的敏感性和受信任度不同,存在很大的差異,所以非常有必要在它們之間設置防火墻,從而限制局部網(wǎng)絡的不安全因素影響到全局,以實現(xiàn)內外網(wǎng)的隔離與訪問控制。對網(wǎng)絡系統(tǒng)可以運用網(wǎng)絡安全檢測工具進行定期安全性檢測和分析,及時發(fā)現(xiàn)并修正其存在的弱點和問題。從而運用反病毒環(huán)節(jié)對網(wǎng)絡目錄和文件設置訪問權等,對網(wǎng)絡服務器中的文件進行頻繁掃描和監(jiān)控。在網(wǎng)絡系統(tǒng)人為失誤或硬件故障的情況下,或者在對網(wǎng)絡進行攻擊破壞數(shù)據(jù)完整性或入侵者非授權訪問時,備份系統(tǒng)文件可以起到很好的保護作用。
2、物理安全
通過設置裝置和應用程序等方式方法來保護計算機和存儲介質的安全稱為物理安全。一般有兩層含義:一是環(huán)境安全,通過設立電子監(jiān)控,設立災難的預警、應急處理和恢復機制,將災難發(fā)生時的損失盡可能減小,保障區(qū)域環(huán)境安全。二是設備安全,主要是防線路截獲、抗電磁干擾及電源、防電磁信息輻射泄漏、防盜、防毀等設備的安全保護。三是媒體安全,主要是指媒體數(shù)據(jù)的安全,即防復制、防消磁、防丟失等,另外是媒體本身的安全,包括防盜、防毀、防霉等。
3、信息安全
管理和技術兩方面的安全統(tǒng)稱為網(wǎng)絡安全。信息安全重要體現(xiàn)主要表現(xiàn)在數(shù)據(jù)的機密性、可用性、完整性和抗否認性等,包括用戶口令鑒別,計算機病毒防治,數(shù)據(jù)存取權限,用戶存取權限控制,方式控制、安全問題跟蹤、安全審計和數(shù)據(jù)加密等。
二、網(wǎng)絡安全系統(tǒng)設計開發(fā)的出發(fā)點
針對不同的網(wǎng)絡管理人員,網(wǎng)絡安全管理系統(tǒng)憑借著能夠提供不同的服務的應用功能,可以讓使用者在方便使用網(wǎng)絡資源庫的時候達到良好的管理效果。其關系如圖1所示。
圖1:人機交互關系圖
現(xiàn)在很多校園網(wǎng)絡管理者都能夠做到嚴格管理高校校園網(wǎng)網(wǎng)絡線路、設備和用戶。在整個高校,網(wǎng)絡安全管理是網(wǎng)絡安全管理系統(tǒng)的核心環(huán)節(jié)。但從上圖可以看出,網(wǎng)絡的管理應不限于此,還應該對于其他廠商設備以及網(wǎng)絡業(yè)務的擴展與應用等方面也相應地采取有效措施。
三、網(wǎng)絡安全管理系統(tǒng)功能及分類
路由管理、網(wǎng)絡安全審計、用戶認證管理、網(wǎng)絡故障管理、網(wǎng)絡監(jiān)控等是整個網(wǎng)絡安全管理的重要組成成分。
圖2:網(wǎng)絡安全管理系統(tǒng)基本功能
檢測潛在的網(wǎng)絡安全隱患、及時監(jiān)控和發(fā)現(xiàn)系統(tǒng)中的病毒,并及時查殺可疑的外來入侵者,并及時發(fā)現(xiàn)管理以及網(wǎng)絡的訪問熱點上的薄弱環(huán)節(jié)。為幫助網(wǎng)絡管理人員及時采取現(xiàn)場措施,收集來自路由器的重要信息(如用UDP或TCP協(xié)議受到的攻擊)數(shù)據(jù),確保相關網(wǎng)絡安全信息,保障校園網(wǎng)的信息完整性。
(1)路由安全管理
網(wǎng)絡管理員可以用圖形化界面顯示各路由器所在物理位置,察看路由器的端口運行情況,核實路由器的CPU占用率和網(wǎng)絡路由拓撲結構,還可以核對路由器的MAC地址及路由協(xié)議的性能優(yōu)化等功能,做到實時地對路由器信息進行添加、刪除、修改等操作。對全校所有路由器進行遠程管理的功能。
(2)用戶認證管理
校園網(wǎng)要實行有效的用戶管理。上網(wǎng)用戶提交的用戶信息可以在安全系統(tǒng)系統(tǒng)上進行修改、刪除等操作;對用戶提交的信息,可以提交至上層進行審批;查看網(wǎng)絡管理中心對申請上網(wǎng)的審批結果;可在校范圍內上查看全網(wǎng)登記用戶信息申請,一一查看和打印審批過程中的審批記錄,有效得出審批結果。
(3)網(wǎng)絡監(jiān)控
安全系統(tǒng)對校園網(wǎng)目前所有環(huán)節(jié),包括路由器、服務器、交換機客戶端等進行監(jiān)控,可以使網(wǎng)絡管理人員對整個網(wǎng)絡在圖形化的界面下一目了然,直觀地表示當前各環(huán)節(jié)如路由器、服務器等是否處于正常工作狀態(tài),便于管理人員進行查閱、統(tǒng)計等工作,詳細地記錄下監(jiān)控數(shù)據(jù)后存放至后臺數(shù)據(jù)庫中,便于對其進行信息方面的統(tǒng)計。
(4)網(wǎng)絡故障管理
借助網(wǎng)絡安全系統(tǒng),網(wǎng)絡中心管理人員可對用戶提交的信息進行及時處理,比如提供給用戶便捷查看學校網(wǎng)絡中心對各種申請的審批結和報修的新增網(wǎng)絡點的功能,修改、刪除網(wǎng)絡配置等各種申請,調整并反饋給用戶。
運用網(wǎng)絡安全系統(tǒng),一旦發(fā)生網(wǎng)絡故障,網(wǎng)絡管理人員可啟動快速自動響應功能,實時鑒別和判斷故障發(fā)生的原因,從而將網(wǎng)絡故障時間或影響校園網(wǎng)的網(wǎng)絡問題降低到最小程度。
四、校園網(wǎng)絡安全體系的設計原則與任務
按照“統(tǒng)一規(guī)劃,分步實施”的原則,在建設網(wǎng)絡系統(tǒng)初期應著重考慮到安全性問題,同時要建立一個基礎的安全防護體系,再根據(jù)應用的變化,補充上防護體系并進一步增強。
(一)校園網(wǎng)絡安全體系的設計原則
設計網(wǎng)絡安全體系時應根據(jù)網(wǎng)絡安全性設計的要求,遵循可行性原則、多重保護原則、安全性原則、動態(tài)化原則、可承擔性原則等原則。
一是可行性原則:校園網(wǎng)用戶設計網(wǎng)絡安全體系不能純粹地從理論角度考慮,更應該考慮到設計網(wǎng)絡安全體系的目的是指導實施,設計方案在實施中需要切實可行。如果僅僅是為了追求理論上的完美以至于無法實施,那么網(wǎng)絡安全體系本身就毫無實際價值。
二是多重保護原則:在硬件上采取冗余、備份等技術多角度保護系統(tǒng)。因為任何安全措施都不能保證絕對安全,所以要建立一個多重保護系統(tǒng),當一層保護被攻破時,其他層仍可保護信息安全。
三是安全性原則:安全性成為首要目標。原因在于設計網(wǎng)絡安全體系的最終目的是保障信息與網(wǎng)絡系統(tǒng)的安全。構建網(wǎng)絡安全體系的目的是保證系統(tǒng)的正常運行,需要進行權衡網(wǎng)絡安全是否影響系統(tǒng)的正常運行,必須選擇在安全和性能之間合適的平衡點。網(wǎng)絡安全體系包含一些硬件和軟件,它們會占用網(wǎng)絡系統(tǒng)的一些資源。因此,在設計網(wǎng)絡安全體系時必須考慮系統(tǒng)資源的開銷,要求安全防護系統(tǒng)本身不能妨礙網(wǎng)絡系統(tǒng)的正常運轉。
四是動態(tài)化原則:安全防護隨著用戶的增加、網(wǎng)絡技術的快速發(fā)展也需要不斷地發(fā)展,所以制定安全措施要盡可能引入更多的可變因素,使之具有良好的擴展性。
五是可承擔性原則:考慮校園本身運行特點和實際承受能力,要切實可行,沒有必要按電信級、銀行級標準設計。
(二)校園網(wǎng)絡安全體系設計的任務
校園網(wǎng)絡安全體系設計的根本任務是為了讓高校網(wǎng)絡管理人員掌握各種網(wǎng)絡安全技術。具體在管理校園網(wǎng)中提供如下服務:
(1)為校園網(wǎng)用戶和網(wǎng)絡管理者之間提供一個動態(tài)網(wǎng)絡交流系統(tǒng),同時,提供對用戶的管理功能,對用戶的網(wǎng)絡運行狀況進行動態(tài)判斷,并為將來創(chuàng)造用戶自主服務知識庫提供基本條件。
(2)建立能夠存放與網(wǎng)絡信息相關的各種數(shù)據(jù),較為規(guī)范的網(wǎng)絡安全信息庫。
(3)全面管理網(wǎng)絡路由設置、網(wǎng)絡流量控制、用戶防火墻設置、系統(tǒng)漏洞、網(wǎng)絡版殺毒軟件安裝及工作情況等信息,并對網(wǎng)絡網(wǎng)絡故障響應、用戶報修登記等業(yè)務提供實時在線服務。
五、結束語
為了控制好一個復雜的計算機網(wǎng)絡并運行好其全過程,保證其效率,需要把高校校園網(wǎng)的安全作為一個龐大的系統(tǒng)工程來對待,需要全方位防范。因此,一定要在技術上和管理上強化基礎工作。從而達到一個好的網(wǎng)絡安全管理系統(tǒng),即達到網(wǎng)絡可靠、安全和高效運行的目的,從而對對各種網(wǎng)絡設備及其軟件資源進行有效的監(jiān)視、解釋和控制。
參考文獻:
[1]謝志強.IPv6過渡技術在高校網(wǎng)絡建設中的應用研究[J]. 福建電腦. 2009(02)
篇(7)
關鍵字:計算機網(wǎng)絡安全 商務交易安全
一 前言
隨著INTERNET的發(fā)展,電子商務已經(jīng)逐漸成為人們進行商務活動的新模式。越來越多的人通過INTERNET進行商務活動。電子商務的發(fā)展前景十分誘人,而其安全問題也變得越來越突出,如何建立一個安全,便捷的電子商務應用環(huán)境,對信息提供足夠的保護,已經(jīng)成為商家和用戶都十分關注的話題。
篇(8)
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2009)14-3678-02
網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息安全。它涉及的領域相當廣泛。這是因為目前的公用通信網(wǎng)絡中存在著各種各樣的安全漏洞和威脅。從廣義來說,凡是涉及到網(wǎng)絡信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網(wǎng)絡安全所要研究的領域。計算機網(wǎng)絡安全的含義就是通過各種密碼技術和信息安全技術,保護在通信網(wǎng)絡中傳輸、交換和存儲信息的機密性、完整性和真實性,并對信息的傳播及內容有控制能力。網(wǎng)絡安全的結構層次包括物理安全、安全控制和安全服務。
1 計算機網(wǎng)絡的危險因素
1.1 威脅網(wǎng)絡安全的主要因素
計算機網(wǎng)絡安全受到的威脅包括:
1)“黑客”的攻擊:利用UNIX系統(tǒng)提供的Telnet Daemon、FTPd、Remote Exee Daemon等默認賬戶進行攻擊;利用UNIX系統(tǒng)提供的Finger、RuserS收集的信息進行攻擊;利用FTP、NFS、Rlogin等進行攻擊;
2)計算機病毒和拒絕服務攻擊;
3)威脅的類型:非授權訪問。這主要的是指對網(wǎng)絡設備以及信息資源進行非正常使用或超越權限使用;假冒合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權,以達到占用合法用戶資源的目的;數(shù)據(jù)完整性受破壞;干擾系統(tǒng)的正常運行,改變系統(tǒng)正常運行的方向,以及延時系統(tǒng)的響應時間;病毒;通信線路被竊聽等;
4)操作系統(tǒng)的脆弱性。
操作系統(tǒng)支持的程序動態(tài)連接與數(shù)據(jù)動態(tài)交換是現(xiàn)代系統(tǒng)集成和系統(tǒng)擴展的必備功能,而動態(tài)連接、I/O程序與系統(tǒng)服務、打補丁升級可被黑客利用,滋生病毒。操作系統(tǒng)可能創(chuàng)建進程,即使在網(wǎng)絡的節(jié)點上同樣也可以進行遠程進程的創(chuàng)建與激活,且該進程有繼續(xù)創(chuàng)建進程的權力,加上操作系統(tǒng)支持在網(wǎng)絡上傳輸文件,在網(wǎng)絡上能加載程序,二者結合起來就可以在遠端服務器上安裝“間諜”軟件,常以打補丁的方式“打”入合法用戶(尤其是在特權用戶)以躲避監(jiān)測。守護進程Daemon具有操作系統(tǒng)核心層軟件同等權力,會被黑客利用。網(wǎng)絡操作系統(tǒng)提供的遠程過程調用(RPC)服務以及它所安排的無口令入口也是黑客的通道。
不管是什么樣的網(wǎng)絡系統(tǒng)都離不開人的管理,但大多數(shù)網(wǎng)絡系統(tǒng)缺少安全管理員,特別是高素質的網(wǎng)絡管理員。此外,缺少網(wǎng)絡安全管理的技術規(guī)范,缺少定期的安全測試與檢查,更缺少安全監(jiān)控。令人擔憂的是許多網(wǎng)絡系統(tǒng)已使用多年,但網(wǎng)絡管理員與用戶的注冊、口令等還是處于默認狀態(tài)。
1.2 來自外部各種威脅
物理威脅:物理安全是指用以保護計算機硬件和存儲介質的裝置與工作程序,常見的物理威脅有偷竊、廢物搜尋和間諜活動。
網(wǎng)絡威脅:網(wǎng)絡威脅常見的有:電子竊聽、撥號入網(wǎng)、假冒。
身份鑒別:身份識別普遍存在于計算機系統(tǒng)中,最簡單的形式是口令,但是口令是脆弱的鑒別手段,黑客可以設法破解口令,如安排口令圈套(模仿登錄界面)套取口令;用密碼字典或其他工具軟件來破解口令,或者破壞口令算法(使用超長的字符串)。
編制程序:主要是病毒、蠕蟲、特洛伊木馬、宏病毒等通過不同的方式進入用戶的系統(tǒng)。
系統(tǒng)漏洞:主要是后門backdoor(如VMS操作系統(tǒng)、一些BIOS的萬能密碼)和源代碼漏洞。
2 計算機網(wǎng)絡的安全策略
2.1 物理安全策略
物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊:驗證用戶的身份和使用權限,防止用戶越權操作;確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。抵制和防止電磁泄露是物理安全策略的一個主要問題。目前主要防護措施有兩類,一類是對傳導輻射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉禍合。另一類是對輻射的防護,這類防護措施又可分為以下的兩種:一是采用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統(tǒng)工作的同時,利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。
2.2 訪問控制策略
訪問控制是網(wǎng)絡安全防范和保護的主要策略,它的主要任務是保證網(wǎng)絡資源不被非法使用和異常訪問。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網(wǎng)絡安全最重要的核心策略之一。
1)入網(wǎng)訪問控制
入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源,控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的默認限制檢查。
對網(wǎng)絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續(xù)驗證用戶輸入的口令,否則,用戶將被拒之網(wǎng)絡之外。用戶名和口令驗證有效之后,再進一步履行用戶賬號的默認限制用戶入網(wǎng)的工作站數(shù)量。當用戶對交費網(wǎng)絡的訪問“交費”用盡時,網(wǎng)絡還應能對用戶的賬號加以限制,用戶此時應無法進入網(wǎng)絡訪問資源。網(wǎng)絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則是認為是非法用戶的入侵,應給出報警信息。
2)網(wǎng)絡的權限控制
網(wǎng)絡的權限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限,以控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作。受托者指派和繼承權限屏蔽(IRM)可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器,可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據(jù)訪問權限將用戶分為以下幾類:特殊用戶(即系統(tǒng)管理員);一般用戶,系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限;審計用戶,負責網(wǎng)絡的安全控制與資源使用情況的審計。用戶對網(wǎng)絡資源的訪問權限可以用一個訪問控制表來描述。
3)目錄級安全控制
網(wǎng)絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有8種:系統(tǒng)管理員權限(SuPervisor)、讀權限(Read)、寫權限(Write)、創(chuàng)建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(FileSean)、存取控制權限(AeeeSSControl)。用戶對文件或目標的有效權限取決于三個因素:用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網(wǎng)絡系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權限,這些訪問權限控制著用戶對服務器的訪問。8種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務器資源的訪問,從而加強網(wǎng)絡和服務器的安全性。
4)網(wǎng)絡服務器安全控制
網(wǎng)絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網(wǎng)絡服務器的安全控制包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
2.3 防火墻控制
防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術性措施,它是一個用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網(wǎng)絡邊界上通過建立相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內部和外部網(wǎng)絡,以阻擋外部網(wǎng)絡的入侵。目前的防火墻主要有以下三種類型:
1)包過濾防火墻:包過濾防火墻設置在網(wǎng)絡層,可以在路由器上實現(xiàn)包過濾。首先應建立一定數(shù)量的信息過濾表,信息過濾表是以其收到的數(shù)據(jù)包頭信息為基礎而建成的。信息包頭含有數(shù)據(jù)包源IP地址、目的工P地址、傳輸協(xié)議類型(TCP、UDP、工CMP等)、協(xié)議源端口號、協(xié)議目的端口號、連接請示方向、ICMP報文類型等。當一個數(shù)據(jù)包滿足過濾表中的規(guī)則時,則允許數(shù)據(jù)包通過,否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內部的訪問,也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包,無法實施對應用級協(xié)議的處理,也無法處理UDP、RPC或動態(tài)的協(xié)議。
2)防火墻:防火墻又稱應用層網(wǎng)關級防火墻,它由服務器和過濾路由器組成,是目前較流行的一種防火墻。它將過濾路由器和軟件技術結合在一起。過濾路由器負責網(wǎng)絡互聯(lián),并對數(shù)據(jù)進行嚴格選擇,然后將篩選過的數(shù)據(jù)傳送給服務器。服務器起到外部網(wǎng)絡申請訪問內部網(wǎng)絡的中間轉接作用,其功能類似于一個數(shù)據(jù)轉發(fā)器,它主要控制哪些用戶能訪問哪些服務類型。當外部網(wǎng)絡向內部網(wǎng)絡申請某種網(wǎng)絡服務時,服務器接受申請,然后它根據(jù)其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網(wǎng)絡轉發(fā)這項請求。防火墻無法快速支持一些新出現(xiàn)的業(yè)務(如多媒體)。
3)雙穴主機防火墻:該防火墻是用主機來執(zhí)行安全控制功能。一臺雙穴主機配有多個網(wǎng)卡,分別連接不同的網(wǎng)絡。雙穴主機從一個網(wǎng)絡收集數(shù)據(jù),并且有選擇地把它發(fā)送到另一個網(wǎng)絡上。網(wǎng)絡服務由雙穴主機上的服務來提供。內部網(wǎng)和外部網(wǎng)的用戶可通過雙穴主機的共享數(shù)據(jù)區(qū)傳遞數(shù)據(jù),從而保護了內部網(wǎng)絡不被非法訪問。
參考文獻:
[1] 彭靜,章軍祥,田萍芳. 計算機網(wǎng)絡化管理與安全設計[J].計算機與數(shù)字工程, 2007,(5) .
篇(9)
DSF的運作
DSF架構的運行需要幾個組件相互配合,實現(xiàn)如下功能:一是設備的登記,包括了客戶端機器和DAS的登記。主要通過在客戶端和DAS之間傳送密鑰,并且加密保存在兩邊;二是要實現(xiàn)DSS登記,包括了DSS和DAS,企業(yè)要正常使用DSS,需要通過獲得DAS許可才能進行等級,DAS向DSS發(fā)送簽名文件,該簽名文件中包含了DSS的使用許可和許可期限;三是實現(xiàn)客戶端向DSS注冊應用程序;四是DSS想DAS注冊應用程序。
DSF在設備端網(wǎng)絡安全中應用
DSF是一個網(wǎng)絡安全的結構框架,在應用上,筆者在此主要介紹其在網(wǎng)絡安全維護的身份認證和訪問控制上的應用。基于DSF的身份認證和訪問控制,主要是應用于基于B/S結構的電子商務和電子政務平臺。具體操作方式是利用DSF的硬件信息作為數(shù)字認證身份。關于身份認證的主要流程包括了如下幾步:首先以用戶名和密碼組合的方式向系統(tǒng)提出申請,管理員接到來自用戶的申請后進行審批,判斷用戶是否能夠通過審核,使用該系統(tǒng),其次審批通過后由系統(tǒng)向用戶許可證,許可證由20位的密碼文件組成,用戶再次登錄,輸入用戶名和密碼,下載許可證,提交設備登記,登記時由管理員驗證客戶端的許可證,最后進行設備應用程序的注冊,注冊成功后,用戶為系統(tǒng)的授權用戶,從而能夠登錄系統(tǒng),在設備上正常使用應用程序。訪問控制主要是對應用系統(tǒng)的內部資源進行后臺控制,訪問控制是對用戶使用應用程序的內部資源范圍的控制和合理協(xié)調。在本設計中對訪問的控制,主要是針對系統(tǒng)內部各個功能模塊而言,按照用戶的身份進行控制,其實現(xiàn)的方式主要采用的是JSP+JAVABEAN,應用的數(shù)據(jù)庫系統(tǒng)是ORCLE8I。
基于客戶端的用戶管理主要包括了以下幾個組成部分:用戶權限管理、用戶角色管理、權限組管理以及部門管理。用戶管理主要是指用戶申請用戶名和密碼,后臺能夠根據(jù)用戶的具體情況,對用戶進行刪除、修改和用戶維護的工作;用戶組管理則主要是將分散的用戶歸于一個用戶組,將用戶分成不同的組,將用戶分類、分等級,不同的用戶等級組享有不同的權限,系統(tǒng)后臺能夠對用戶組進行添加、刪除和修改等后臺維護工作。權限組管理則主要是指將用戶的權限模塊分配給每一個用戶組,一個用戶組只能使用相關的權限組內的功能模塊,系統(tǒng)主要對這些用戶組權限模塊進行調整、修改和添加刪除等操作。用戶權限管理是針對客戶端用戶進行權限管理,是對組內權限的細化和分化,是對用戶組內權限功能以外的權限的設置;部門管理則是對部門進行分類添加和修改,部門是用戶和用戶組的歸屬,系統(tǒng)通過統(tǒng)一維護和合理分配,能夠實現(xiàn)權限的最優(yōu)管理。
篇(10)
《通知》提出,立足電信行業(yè)網(wǎng)絡安全防護的實際需求,圍繞網(wǎng)絡安全技術手段建設的重點方向,推動基礎電信企業(yè)開展管理和技術手段創(chuàng)新應用,引導基礎電信企業(yè)加大網(wǎng)絡安全技術投入,落實安全防護責任,發(fā)掘行業(yè)網(wǎng)絡安全優(yōu)秀實踐案例,促進先進技術和經(jīng)驗的行業(yè)推廣應用,充分發(fā)揮技術手段在保障網(wǎng)絡基礎設施安全方面的作用,切實增強電信行業(yè)防范和應對網(wǎng)絡安全威脅的能力。
《通知》要求,2015年試點示范項目的申請主體為基礎電信企業(yè)集團公司或省級公司,試點示范項目應為已建或在建(含已立項)的網(wǎng)絡安全管理系統(tǒng)或技術平臺。
根據(jù)相關省、自治區(qū)、直轄市通信管理局推薦和各基礎電信企業(yè)集團公司申報,經(jīng)組織專家評選,綜合考慮項目的實用性、創(chuàng)新性、先進性、可推廣性,工信部共選出33個項目列入2015年電信行業(yè)網(wǎng)絡安全試點示范項目。
