亚洲国产精品无码成人片久久-夜夜高潮夜夜爽夜夜爱爱-午夜精品久久久久久久无码-凹凸在线无码免费视频

期刊大全 雜志訂閱 SCI期刊 投稿指導 期刊服務 文秘服務 出版社 登錄/注冊 購物車(0)

首頁 > 精品范文 > 信息安全

信息安全精品(七篇)

時間:2023-02-04 05:37:50

序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內(nèi)心深處的真相,好投稿為您帶來了七篇信息安全范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創(chuàng)作。

信息安全

篇(1)

關鍵詞:信息;信息安全; 防范策略

中圖分類號:G353.1 文獻標識碼:A 文章編號:1007-9599 (2012) 10-0000-02

21世紀信息技術(shù)飛速發(fā)展,在社會發(fā)展中信息越來越重要,國家的政府、軍事、文教等諸多領域都與信息有關。如果信息的安全時常受到威脅,則會影響到國家各部門的日常活動。因此,信息的安全與防范非常重要。本文針對信息的安全問題進行分析,并提出了相應出的安全防護策略。

一、信息安全威脅

信息已經(jīng)成為社會健康發(fā)展的重要保證,然而很多信息被人為篡改,竊取,泄露。信息載體還要經(jīng)受不可抗拒的自然災害的威脅。而人為的威脅是最大的威脅。

隨著0Day 漏洞的增加和第三方軟件漏洞將常被黑客利用,黑客經(jīng)常用第三方軟件的漏洞進行攻擊系統(tǒng)。隨著無線技術(shù)的推廣和普及,黑客也針對無線進行攻擊,因此在網(wǎng)絡上出現(xiàn)很多無線的破解技術(shù),這樣攻擊者可以輕易地攻擊網(wǎng)絡,這樣對用戶的安全帶來很大的威脅。為了欺騙用戶,攻擊者還制造或編寫虛假的網(wǎng)站,即就是釣魚網(wǎng),攻擊者利用釣魚偽造電子郵件或網(wǎng)站點等對用戶進行“攻擊”,因此用戶的信息由此而被泄漏出去。

計算機病毒以破壞程序等為目標。病毒主要是對用戶的文件或相關程序進行破壞,對系統(tǒng)和用戶資料威脅非常大。很多攻擊者利用網(wǎng)絡的相關工具如電子郵件等添加到文件或程序,因此有些用戶打開郵件都會被感染上病毒,這樣用戶的相關資料會受到不同程度的破壞。

除此外攻擊者通過不正當入侵手段向合法網(wǎng)站輸入非法的數(shù)據(jù),數(shù)據(jù)量非常大,從而多出的數(shù)據(jù)會傳入到其他領域。如果對程序執(zhí)行不當,那么相關程序和系統(tǒng)的設置會受到限制。

二、影響信息安全因素

信息載體與周邊環(huán)境的安全會影響到信息本身的安全。信息存儲場屏蔽處理不好,磁鼓、磁帶與高輻射設備等的信號外泄。信息處理和管理設置的電源系統(tǒng)不穩(wěn)定,則用于存儲數(shù)據(jù)的設置會受到影響,特別是臨時性的RAM存儲器的數(shù)據(jù)會丟失,信息本身就無法得到保障。除此外硬件故障,特別是存儲信息的內(nèi)存、硬盤等計算機部件的故障出現(xiàn)影響信息存儲和處理。

人的主觀性也是威脅的主要因素,特別是信息系統(tǒng)的操作人員,如果其故意篡改數(shù)據(jù)或沒有按規(guī)定進行操作程序,其信息就沒有可靠性。如果系統(tǒng)等出現(xiàn)故障則不能正確保存數(shù)據(jù),這樣數(shù)據(jù)會丟失。信息設計人員或系統(tǒng)設計人員以對系統(tǒng)設計或?qū)?shù)據(jù)設計考慮不全面,這樣沒辦法在處理或傳輸中保證數(shù)據(jù)的完整,因此攻擊者就可以利用系統(tǒng)的漏洞進行攻擊,摧毀系統(tǒng)的數(shù)據(jù)等。網(wǎng)絡信息或數(shù)據(jù)傳輸往往受到通訊設備的影響,通訊設備的安全設計不全也會造成數(shù)據(jù)的丟失或損壞。同是攻擊者可利用這些不員以假冒、身份攻擊等對系統(tǒng)進行非法操作或操控。

考慮周全只是對現(xiàn)有的條件,對將來的考慮往往沒法預設,因此新的系統(tǒng)出現(xiàn),本身就有漏洞。而攻擊者也容易找出漏洞。大部分系統(tǒng)都配備的改進系統(tǒng)管理及服務質(zhì)量的工具軟件被破壞者利用,去收集非法信息及加強攻擊力度。系統(tǒng)維護不正當?shù)牟僮骱凸芾淼谋旧聿蛔阋矔π畔⒒驍?shù)據(jù)產(chǎn)生威脅。因此作為管理人員必須對新系統(tǒng)進行分析,特別是對其漏洞危險進行分析并提出相關措施。管理人員的設計和檢測能力差沒辦法設計好的系統(tǒng),也就沒辦法對系統(tǒng)中的數(shù)據(jù)進行有效的保護,因為系統(tǒng)不能抵御復雜的攻擊。建立和實施嚴密的安全制度與策略是真正實現(xiàn)網(wǎng)絡安全的基礎。

三、信息安全防范策略

保證數(shù)據(jù)或信息安全可以使用技術(shù),僅靠技術(shù)不能完全保證數(shù)據(jù)的安全,同時還需要嚴格的管理,制定相關法律,利用法律進行約束,還有對員工進行安全教育。采取恰當?shù)姆雷o措施也能有效保護信息的安全。

(一)從技術(shù)層面進行防護

1.數(shù)據(jù)加密。可以用加密技術(shù)對信息進行加密以保護信息,如用MD5等加密技術(shù),這樣攻擊不能輕易看到數(shù)據(jù),加密的作用就是讓數(shù)據(jù)隱藏,這樣更好的保護數(shù)據(jù)。MD5是一種散列函數(shù),主要是用來保護信息的完整性。在登錄認證中MD5運動得比較多,用戶在登錄系統(tǒng)或平臺時的用戶名和密碼等運動MD5加密,然后將加密后的結(jié)果存在相應的數(shù)據(jù)庫。其原理就是用戶登錄后平臺或系統(tǒng)會被MD5加密運算。如果運算得出的值與數(shù)據(jù)庫存在的值正確則可直接進入系統(tǒng)。這樣避免操具有管理權(quán)限的人員知道從而保證信息的安全。為加強數(shù)據(jù)的安全性,可以對MD5進行改進,比如可以運MD5進行兩次加密改進了單次加密的不安全性。總之加密可根據(jù)情況采用對稱加密和非對稱加密,更好的保護數(shù)據(jù)。

2.數(shù)字簽名,數(shù)字簽名主要是用來簽名和驗證。其運算主要運用了HASH函數(shù)從而更好的鑒別解決偽造、抵賴、冒充和篡改等問題。簽名技術(shù)可以有效的防止抵賴,在網(wǎng)絡中進行商務活動,即就是開展電子商務活動等,在活動中汲及到的數(shù)據(jù)是非常重要。大部分數(shù)據(jù)是商業(yè)機密,對買賣雙方來講非常重要。如果數(shù)據(jù)被篡改,對買賣雙方會產(chǎn)生巨大的損失。因此采用數(shù)字簽名可有效防止攻擊者的篡改而產(chǎn)生抵賴,同時也可以保證數(shù)據(jù)的安全和完整。

3.用戶身份認證就是對用戶身份進行驗證。用戶訪問服務器時,必須提供合法的身份證明,這樣服務器才給與相關的操作權(quán)限。用戶要存取等操作數(shù)據(jù)必須提供有效的標記,以方便服務器驗證。可以使用加密技術(shù)、人體等器官或生理特征進行認證,大部分可以用數(shù)字簽名技術(shù)進行認證。雙方互相認證,這樣可以保證數(shù)據(jù)的真實性。

篇(2)

操作系統(tǒng)多樣性讓網(wǎng)絡犯罪者擁有更多機會

2011年將是非主流操作系統(tǒng)、程序與瀏覽器的漏洞遭受更多攻擊的一年,而針對應用程序漏洞的攻擊也將大幅增長。云端計算和虛擬化雖然能為企業(yè)帶來大量的投資回報且節(jié)省成本,但也將服務器置于傳統(tǒng)的安全邊界之外,因此反而讓網(wǎng)絡犯罪者擁有更大的發(fā)揮空間,同時也會加重云端服務供應商的信息安全責任。

趨勢科技公司預測2011年將出現(xiàn)更多針對云端基礎架構(gòu)與虛擬化系統(tǒng)的概念驗證攻擊。此外,網(wǎng)絡犯罪者已發(fā)現(xiàn)終端桌面操作系統(tǒng)的同質(zhì)性已被逐漸打破,因此網(wǎng)絡犯罪者將轉(zhuǎn)攻擁有大量同質(zhì)性的云端,開始嘗試如何滲透云端。而有些比較版本較早但仍被廣泛使用的操作系統(tǒng)(如:Windows? 2000/Windows? XP SP2)存在諸多無法修補的漏洞。由此,針對這些漏洞的攻擊仍將持續(xù)增長。

社會工程學攻擊仍將肆虐

社會工程學仍將持續(xù)在威脅傳播方面扮演重要角色。趨勢科技公司認為,傳統(tǒng)網(wǎng)站遭到滲透的情況在2011年將會減少,取而代之的是,網(wǎng)絡犯罪者將發(fā)動一波又一波的惡意程序攻擊,利用精心設計的電子郵件來誘騙使用者點擊惡意鏈接,進而導致使用者感染惡意程序下載器。這些惡意程序下載器會隨機產(chǎn)生一些二進制惡意程序來躲避檢測,如Conficker和ZeuS-LICAT就是利用這種手法。

由于網(wǎng)絡上已經(jīng)出現(xiàn)一些連菜鳥都會使用的網(wǎng)絡犯罪工具,因此中小企業(yè)也開始成為網(wǎng)絡犯罪者的攻擊目標。在2010年,隨著地下犯罪工具使用率暴增,特定類型的企業(yè)組織很容易成為黑客的目標,例如:ZeuS在2010年就專門鎖定小型企業(yè)進行攻擊。預計未來,專門鎖定知名大型企業(yè)與關鍵基礎設施的攻擊,在數(shù)量與復雜度方面都將持續(xù)攀升。此外,2011年也很可能出現(xiàn)更多針對信息安全廠商品牌的攻擊行為,用以制造用戶的認知混淆與不安情緒。 趨勢科技對2011年以及未來網(wǎng)絡威脅的預測:

經(jīng)濟利益仍是一切攻擊行為的誘因,網(wǎng)絡犯罪不可能消失;

越來越多的惡意程序會在攻擊時盜用或使用合法的數(shù)字簽名以躲避檢測;

隨著全球?qū)W(wǎng)絡犯罪認識的提升,未來將有更多地下犯罪組織合并或聯(lián)合行動;

信息安全廠商將再也無法在終端電腦上存儲威脅或病毒特征碼,因此某些廠商可能將面臨困境。為解決此問題,他們可能會刪除一些舊的特征碼來尋求解決方案,但這樣反而無法阻止舊的惡意程序發(fā)作;

篇(3)

信息安全自主可控的涵義是:信息安全領域的技術(shù)和產(chǎn)品,能自主的就要盡最大可能實現(xiàn)自主;不能自主的,必須保證它是可控可知的,即要對信息安全技術(shù)與產(chǎn)品的風險、隱患、漏洞、潛在問題做到“心中有底、手中有招、控制有道”。 目前,煙草行業(yè)的核心應用系統(tǒng)(如“一號工程”、卷煙營銷、專賣管理、財務管理系統(tǒng)、人力資源系統(tǒng)等)的軟、硬件設備幾乎全套采用了國外主流、成熟的產(chǎn)品技術(shù),從整體上來說,行業(yè)信息化核心應用基礎設施的選型、配置起點較高,但從另一方面講,信息安全系統(tǒng)的可控性、可知性、可預防性水平較低。不可否認,國內(nèi)當前的采購政策、市場環(huán)境、IT發(fā)展現(xiàn)狀等因素在一定程度上制約了自主知識產(chǎn)權(quán)的IT產(chǎn)品技術(shù)進入高端、核心設備的市場采購范圍,但這絕不僅僅是一個技術(shù)問題,還有更深層次的長遠戰(zhàn)略、規(guī)劃管理問題。

信息安全

自主可控的意義

在煙草行業(yè)大力推行信息安全自主可控,具有以下重要意義:

1. 可避免分發(fā)式安全威脅。

IT產(chǎn)品的整個生命周期包括研發(fā)、設計、制造、銷售、安裝、維護、升級等過程,如果有人在其中任何一個環(huán)節(jié)上植入惡意代碼、開通惡意后門、加入隱蔽指令等,都將給信息系統(tǒng)造成一定安全隱患,即IT產(chǎn)品的分發(fā)式安全威脅。非自主的IT產(chǎn)品存在分發(fā)式安全威脅的概率很大,這類威脅往往不易被用戶發(fā)覺,但卻可能給用戶造成重大的損失、破壞。對非自主的IT產(chǎn)品增強防范意識、加強控制管理、制訂風險應對措施,可以大大避免分發(fā)式安全威脅。

2. 可封堵信息安全“漏洞”。

國外的IT廠商通常不會向中國用戶提供核心技術(shù)和專利,因此國內(nèi)用戶很難對設備的整體可信性、可靠性、可控性進行全面檢測,分析判斷出設備中是否存在“后門”、“陷阱”、“漏洞”、“軟件炸彈”、“隱蔽指令”等安全威脅,一旦這些“漏洞”被利用,實施攻擊、入侵、修改、惡意破壞或者竊取機密數(shù)據(jù)信息,其后果不堪設想。據(jù)公安部有關資料顯示,近年來國內(nèi)大量網(wǎng)絡泄密案件、竊密案件、信息安全事件均與“漏洞”有關。實施信息安全系統(tǒng)自主可控,可以在一定程度上起到堵塞信息安全漏洞,防患于未然的效果。

3. 是行業(yè)信息化發(fā)展的長遠戰(zhàn)略需要。

煙草行業(yè)核心應用信息化硬件設施投資規(guī)模巨大,處于高位運行狀態(tài),很多企業(yè)基礎網(wǎng)絡平臺、服務系統(tǒng)平臺、應用平臺、安全支撐平臺基本上被國外產(chǎn)品壟斷,這些非自主IT產(chǎn)品本身封閉性強、操作復雜、技術(shù)資料短缺,國內(nèi)用戶很難定制二次研發(fā)或者組裝生產(chǎn)。煙草企業(yè)在高端IT產(chǎn)品采購上幾乎沒有可選擇的空間,對IBM、微軟、戴爾等IT巨頭的依賴程度過大,信息系統(tǒng)運行后每年僅硬件維修保養(yǎng)一項就產(chǎn)生高額的附加成本費用,這些都不利于煙草信息化的長遠發(fā)展。信息化的平穩(wěn)健康發(fā)展需要一個廣闊、開放、成熟、多元化的產(chǎn)品市場空間,在允許的情況下實施信息安全自主可控可以降低信息系統(tǒng)設備采購、開發(fā)、運維成本,滿足行業(yè)信息化發(fā)展的長遠戰(zhàn)略需要。

四項措施

實踐自主可控

“自主可控”從概念上分析,首先是“自主”,而后才能達到真正“可控”,“自主”是“可控”的必要條件。自主化不能簡單地理解成國產(chǎn)化,目前很多產(chǎn)品的國產(chǎn)化還是停留在對國外核心技術(shù)進行組裝式開發(fā)的基礎上,由于核心技術(shù)并不掌握在自己手中,因此這只能是一種準自主化或偽自主化,仍然存在一定的不可控因素、安全隱患。要實現(xiàn)信息安全系統(tǒng)的自主可控,就必須要求信息安全產(chǎn)品真正自主化。從狹義上講,使用國產(chǎn)自主化的軟硬件產(chǎn)品、技術(shù)和服務,是信息安全體系自主可控的基礎;從廣義上講,自主可控應該涵蓋信息化發(fā)展的全過程,各個環(huán)節(jié)都實現(xiàn)自主可控,這樣才能構(gòu)建完整的、自主可控的信息安全體系。具體來說,可以采取以下幾項措施:

1. 加強重視,應用系統(tǒng)建設與信息安全建設并重。

我們迫切需要緊跟形勢、轉(zhuǎn)變觀念、與時俱進,加強對信息安全的重視支持,應用系統(tǒng)建設與信息安全建設必須“兩手抓、兩手硬”,在信息化建設過程中,繼續(xù)堅持應用系統(tǒng)建設與信息安全建設同步規(guī)劃、同步實施、協(xié)調(diào)發(fā)展、均衡發(fā)展的原則,將信息系統(tǒng)安全體系建設融入到煙草信息化建設的全過程之中。

2. 加強政策引導,為信息安全設備的采購提供政策導向、標準體系。

煙草行業(yè)迫切需要在信息安全設備、產(chǎn)品、服務的選型上遵循以下原則:

(1)對于信息安全設備、產(chǎn)品、技術(shù)、服務的選型,能自主的應該自主,不能自主的必須實現(xiàn)可知、可控、可檢測;

(2)原則上使用國產(chǎn)設備,只有在無相應國產(chǎn)設備時方可使用已通過國家相關主管部門批準、指定、測評、鑒定、認證的國外設備,絕不使用未經(jīng)國家相關主管部門測評審核通過的設備;

(3)煙草企業(yè)必須和非自主的廠商(國產(chǎn)、非國產(chǎn))簽署明確的安全保密責任書。

3. 加強管理監(jiān)控,有效治理分發(fā)式安全威脅,提高可控性。

以管理舉措為主,配合使用技術(shù)手段加強對非自主化信息安全產(chǎn)品的監(jiān)控,有效治理、檢測、評估分發(fā)式安全威脅,提高可控性。檢測、治理分發(fā)式安全威脅的技術(shù)手段主要可分為以下幾類:

(1)對信息系統(tǒng)使用、運維過程中發(fā)現(xiàn)的漏洞要及時打好補丁,堵塞漏洞;

(2)“最小化配置”,即只啟用必需的進程、端口、服務、應用,其余的一律關閉;

(3)對信息安全產(chǎn)品定期做深度的安全檢測并作跟蹤記錄,不符合安全標準的產(chǎn)品堅決不使用,不能做到可控的產(chǎn)品不部署到核心關鍵應用場合;

(4)對于已經(jīng)在核心系統(tǒng)中使用的非自主產(chǎn)品,按要求進行及時加固和系統(tǒng)升級,對系統(tǒng)的運行進行嚴密的監(jiān)測,一旦發(fā)現(xiàn)異常行為應立即采取對策處置;

(5)“人本理論”,信息安全產(chǎn)品最終還是要為人所用,因此必須加強各級使用人員、維護人員、管理人員的教育培訓,通過實施配套嚴格的管理制度,提高信息安全防范意識,提升專業(yè)操作技能。

4. 加強自主研發(fā),提升信息化自主研發(fā)創(chuàng)新能力。

篇(4)

【關鍵詞】信息安全;數(shù)據(jù)庫;網(wǎng)絡應用;安全體系

1信息安全現(xiàn)狀

1.1目前醫(yī)院信息安全存在的問題根據(jù)衛(wèi)生部關于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的通知,三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)不得低于國家安全信息保護等級三級。據(jù)此我們對信息系統(tǒng)的各個方面進行了安全評估,發(fā)現(xiàn)主要有如下的問題:

(1)物理安全:機房管理混亂問題;機房場地效用不明確;機房人員訪問控制問題;

(2)網(wǎng)絡設備安全:訪問控制問題;網(wǎng)絡設備安全漏洞;設備配置安全;

(3)系統(tǒng)安全:補丁問題;運行服務問題;安全策略問題;訪問控制問題;默認共享問題;防病毒情況;

(4)數(shù)據(jù)安全:數(shù)據(jù)庫補丁問題;SQL數(shù)據(jù)庫默認賬號問題;SQL數(shù)據(jù)庫弱口令問題;SQL數(shù)據(jù)庫默認配置問題;(5)網(wǎng)絡區(qū)域安全:醫(yī)院內(nèi)網(wǎng)安全措施完善;醫(yī)院內(nèi)網(wǎng)的訪問控制問題;醫(yī)院內(nèi)外網(wǎng)互訪控制問題;

(6)安全管理:沒有建立安全管理組織;沒有制定總體的安全策略;沒有落實各個部門信息安全的責任人;缺少安全管理文檔。

1.2當前醫(yī)院信息安全存在的問題,主要表現(xiàn)在如下的幾個方面

(1)機房所處環(huán)境不合格,場地效用不明確,人員訪問控制不足,管理混亂。

(2)在辦公外網(wǎng)中,醫(yī)院建立了基本的安全體系,但是還需要進一步的完善,例如辦公外網(wǎng)總出口有單點故障的隱患、門戶網(wǎng)站有被撰改的隱患。

(3)在醫(yī)院內(nèi)網(wǎng)中,內(nèi)網(wǎng)與辦公外網(wǎng)之間沒有做訪問控制,存在蠕蟲病毒相互擴散的可能。

(4)沒有成立安全應急小組,雖然有相應的應急事件預案,但缺少安全預案的應急演練;缺少安全事件應急處理流程與規(guī)范,也沒有對安全事件的處理過程做記錄歸檔。

(5)沒有建立數(shù)據(jù)備份與恢復制度;缺少對備份的數(shù)據(jù)做恢復演練,保證備份數(shù)據(jù)的有效性和可用性,在出現(xiàn)數(shù)據(jù)故障的時候能夠及時的進行恢復操作。

2醫(yī)院信息安全總體規(guī)劃

2.1設計目標、依據(jù)及原則

2.1.1設計目標

信息系統(tǒng)是醫(yī)院日常工作的重要應用,存儲著重要的數(shù)據(jù)資源,是醫(yī)院正常運行必不可少的組成部分,所以必須從硬件設施、軟件系統(tǒng)、安全管理等方面,加強安全保障體系的建設,為醫(yī)院工作應用提供安全可靠的運行環(huán)境。

2.1.2設計依據(jù)

(1)《信息安全等級保護管理辦法》;

(2)《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則》;

(3)《衛(wèi)生部衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》;

(4)《電子計算機場地通用規(guī)范》。

2.1.3設計原則

醫(yī)院信息安全系統(tǒng)在整體設計過程中應遵循如下的原則:分級保護原則:以應用為主導,科學劃分網(wǎng)絡安全防護與業(yè)務安全保護的安全等級,并依據(jù)安全等級進行安全建設和管理,保證服務的有效性和快捷性。最小特權(quán)原則:整個系統(tǒng)中的任何主體和客體不應具有超出執(zhí)行任務所需權(quán)力以外的權(quán)力。標準化與一致性原則:醫(yī)院信息系統(tǒng)是一個龐大的系統(tǒng)工程,其安全保障體系的設計必須遵循一系列的標準,這樣才能確保各個分系統(tǒng)的一致性,使整個醫(yī)院信息系統(tǒng)安全地互聯(lián)互通、信息共享。多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層被攻破時,其他層仍可保護系統(tǒng)的安全。易操作性原則:安全措施需要人去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性;其次,措施的采用不能影響系統(tǒng)的正常運行。適應性及靈活性原則:安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化,要容易適應、容易修改和升級。

2.2總體信息安全規(guī)劃方案

2.2.1基礎保障體系

建設信息安全基礎保障體系,是一項復雜的、綜合的系統(tǒng)工程,是堅持積極防御、綜合防范方針的具體體現(xiàn)。目前醫(yī)院基礎保障體系已經(jīng)初具規(guī)模,但是還存在個別問題,需要進一步的完善。

2.2.2監(jiān)控審計體系

監(jiān)控審計體系設計的實現(xiàn),能完成對醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控。通過此體系監(jiān)控到的數(shù)據(jù)能對醫(yī)院內(nèi)部網(wǎng)絡的使用率、數(shù)據(jù)流量、應用提供比例、安全事件記錄、網(wǎng)絡設備的動作情況、網(wǎng)絡內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡整體風險情況等有較全面的了解。

2.2.3應急響應體系

應急響應體系的主要功能是采取足夠的主動措施解決各類安全事件。安全事件可以被許多不同的事件觸發(fā)并破壞單個系統(tǒng)或整個網(wǎng)絡的可用性,完整性、數(shù)據(jù)的保密性。引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應該就地解決,以避免加重整個醫(yī)院信息網(wǎng)絡的安全風險。

2.2.4災難備份與恢復體系

為了保證醫(yī)院信息系統(tǒng)的正常運行,抵抗包括地震、火災、水災等自然災難,以及戰(zhàn)爭、網(wǎng)絡攻擊、設備系統(tǒng)故障和人為破壞等無法預料的突發(fā)事件造成的損害,應該建立一個災難備份與恢復體系。在這個體系里主要包括下面三個部分:政務內(nèi)網(wǎng)線路的冗余備份、主機服務器的系統(tǒng)備份與恢復、數(shù)據(jù)庫系統(tǒng)的備份與恢復。

3結(jié)論

通過對醫(yī)院的信息安全風險評估,我們發(fā)現(xiàn)了大量關于物理安全、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)等等方面的漏洞。為了達到對安全風險的長期有效的管理,我們進行了具有體系性和原則性并能夠符合醫(yī)院實際需求的規(guī)劃。

參考文獻

[1]王立,史明磊.醫(yī)院信息系統(tǒng)的建設與維護[J].醫(yī)學信息,2007,20(3).

[2]王洪萍,程濤.醫(yī)院信息系統(tǒng)安全技術(shù)分析[J].醫(yī)院管理雜志,2011,18(11).

[3]尚邦治.醫(yī)院信息系統(tǒng)安全問題[J].醫(yī)療設備信息,2004,19(9).

篇(5)

隨著信息化的高速發(fā)展,為企業(yè)及社會帶來了顯而易見的效益:提高的工作效率、減少的紙張浪費、快捷方便的通訊等等。但信息化也是一柄"雙刃劍",尤其是在企業(yè)管理、商業(yè)保密等工作中,還存在著令人堪憂的隱患:

一是物理安全風險。物理安全風險包括計算機系統(tǒng)的設備、設施和信息面臨因自然災害、環(huán)境事故(如斷電)、人為物理操作失誤以及不法分子進行違法犯罪等風險。

二是數(shù)據(jù)安全風險。數(shù)據(jù)安全風險包括競爭性業(yè)務的經(jīng)營和管理數(shù)據(jù)泄漏,數(shù)據(jù)被人為惡意篡改或破壞等。

三是網(wǎng)絡安全風險。網(wǎng)絡安全風險包括病毒造成網(wǎng)絡癱瘓與擁塞、內(nèi)部或外部人為惡意破壞造成網(wǎng)絡設備癱瘓、來自互聯(lián)網(wǎng)黑客的入侵威脅等。

二、保證企業(yè)信息安全的基本對策

2.1正確認識企業(yè)信息安全問題。

企業(yè)的信息安全問題,絕不僅僅是一個僅靠防火墻、密碼等等技術(shù)就能解決的問題,它還與人們的職業(yè)道德、社會道德以及企業(yè)管理等問題密切相關。因此,在維護企業(yè)信息安全時,我們必須站在宏觀的角度對問題進行考慮。在過去看來,一個企業(yè)信息的安全問題,是領導層或者IT單個部門的事情,但是憑少數(shù)人或部門的工作,對于保障公司的信息不被泄漏,防護信息存儲不被破壞、攻擊和偷盜是很難的事。筆者認為,意識指導行動,信息安全問題首先要解決的是員工的思想認識問題,只有企業(yè)的每一個人都認識到信息安全的重要性,才能在工作中自覺地維護信息安全。因為在任何一個體系中,人都是最活躍、最具有影響力和決定意義的因素,因此對于企業(yè)的信息安全問題而言,企業(yè)內(nèi)部員工才是保護信息安全的最可靠、最有效的重大保障。此外,還可以加強引進信息安全技術(shù)人才以及信息安全管理人才,并在日常工作中,加強對隊伍專業(yè)知識以及工作技能的培訓,從而為企業(yè)建設一支強有力的信息安全保衛(wèi)隊伍。其次信息管理部門要全面作好專業(yè)技術(shù)支持與防范工作,根據(jù)業(yè)務的需求采取適當?shù)谋Wo措施,實施專業(yè)應用系統(tǒng)。例如,保護企業(yè)信息安全的技術(shù)可以采用主動反擊、網(wǎng)絡入侵陷阱、密碼、取證、防火墻、安全服務、防病毒、可信服務、PKI服務、身份識別、備份恢復、網(wǎng)絡隔離等等保護產(chǎn)品以及保護技術(shù),通過確保信息安全的最大化,來實現(xiàn)企業(yè)生產(chǎn)經(jīng)營持續(xù)發(fā)展以及經(jīng)濟效益的最大化。此外,還可以在工作的過程中,進一步優(yōu)化企業(yè)信息安全管理,并進行管理監(jiān)控以及安全風險評估,分析入侵防范、服務器架構(gòu)等等關鍵問題,以全面性、多角度的掌控,確保企業(yè)信息系統(tǒng)的安全性、穩(wěn)定性,因為信息安全問題不具有靜態(tài)性,信息管理始終處在一個不停變動的動態(tài)性過程,因此即使我們不可能確保信息的絕對安全,也必須做到相對安全,從而最大限度的降低企業(yè)風險。

2.2建立健全信息安全管理制度。

信息安全不僅是技術(shù)問題,更主要是管理問題。任何技術(shù)措施只能起到增強信息安全防范能力的作用,俗話說“三分技術(shù),七分管理”,只有良好的管理工作才能使保障技術(shù)措施得到充分發(fā)揮,是能否對信息網(wǎng)絡實施有效信息安全保障的關鍵。現(xiàn)在中國石油股份有限公司內(nèi)控體系中涉及信息內(nèi)部控制的《信息系統(tǒng)總體控制辦法》(以下簡稱“GCC”)就很好的涵蓋了信息安全的各個方面,包括了機房管理、服務器管理、網(wǎng)絡管理和系統(tǒng)管理等。因此在實際的工作中,我們可以通過“三步驟”來實現(xiàn)企業(yè)信息的安全管理制度的健全化、完善化。第一,結(jié)合企業(yè)自身的實際,分析企業(yè)存在的問題以及預期的目標,制定具有科學性、合理性、實效性、可行性的信息安全管理制度,使保護信息安全工作做到有法可依,有章可循。第二,建立信息安全管理機構(gòu),明晰信息安全管理負責人的職務和責任,并建立相應的考核機制和激勵機制,以督促、鼓勵相關負責人的工作,提高信息管理工作質(zhì)量。第三,真正貫徹管理措施,加強制度的執(zhí)行力度,只有這樣,才能從根本上實現(xiàn)管理工作以及工作目標,最終提高企業(yè)的信息安全管理水平。

三、加強企業(yè)信息安全保障的幾點措施

如何有效地解決企業(yè)信息安全的專業(yè)性管理與技術(shù)性防范,筆者認為可從以下幾個方面著手。

3.1實行嚴格的網(wǎng)絡管理。企業(yè)網(wǎng)與互聯(lián)網(wǎng)的物理隔離、防火墻設置以及端口限制,與互聯(lián)網(wǎng)相比安全性較高,但在日常運行管理中我們?nèi)匀幻媾R網(wǎng)絡鏈路維護、違規(guī)使用網(wǎng)絡事件等問題,具體而言:一是在IP資源管理方面,采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這樣,就不會出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡的情況;二是在網(wǎng)絡流量監(jiān)測方面,使用網(wǎng)絡監(jiān)測軟件查看數(shù)據(jù)、視頻、語音等各種應用的利用帶寬,防止頻繁進行大文件的傳輸,甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。三是加強服務器管理。常見應用服務器安裝的操作系統(tǒng)多為WindowsServer,可利用其自帶的安全管理功能進行設置,包括服務器安全審核、組策略實施、服務器的備份策略以及系統(tǒng)補丁更新等。

3.2加強客戶端監(jiān)管。對大多數(shù)單位的網(wǎng)管來說,客戶端的管理都是他們最頭痛的問題。只有得力的措施才能解決這個問題,這里推薦以下方法:

(1)將客戶端都加入到域中,使客戶端強制性納入管理員集中管理的范圍。

(2)只給用戶以普通域用戶的身份登錄到域,這樣就可以限制他們在本地計算機上安裝有安全隱患軟件的權(quán)利。

(3)實現(xiàn)客戶端操作系統(tǒng)補丁程序的自動安裝。

(4)利用企業(yè)IT部門的工作職能,設置熱線幫助和技術(shù)支持人員,統(tǒng)一管理局域網(wǎng)內(nèi)各客戶端問題。

3.3堅持進行數(shù)據(jù)備份。由于應用系統(tǒng)的加入,各種數(shù)據(jù)庫日趨增長,如何確保數(shù)據(jù)在發(fā)生故障或災難性事件情況下不丟失,是當前面臨的一個難題。從成本及易操作性考慮,這里推薦以下兩種數(shù)據(jù)備份方法:一種是用硬盤進行數(shù)據(jù)備份;另一種是采用本地磁盤陣列來分別實現(xiàn)各服務器的本地硬盤數(shù)據(jù)冗余。

篇(6)

在16天的雅典奧運會比賽中,記錄顯示有超過500萬起信息技術(shù)安全報警信息,其中嚴重警報425起、危急警報20起。而在都靈冬奧會的17天比賽期間,共統(tǒng)計到52,855,848起安全報警,嚴重警報達185個。

與往屆相比,2008年北京奧運會新增了很多需求,比如眾多遠距離場館的網(wǎng)絡聯(lián)通、參會人數(shù)的眾多等等。那么,如何保證比賽網(wǎng)絡的高可用性和實時性?如何保證賽事成績等機密信息不被篡改?如何保證系統(tǒng)設備持續(xù)運行不宕機?這一切成了各界人士關注奧運的焦點。為此記者采訪了北京2008奧運會信息安全負責人來針對這些問題做一一解答。

多層保護齊上陣

從硬件系統(tǒng)的服務器、工作站等網(wǎng)絡設備,到軟件系統(tǒng)如操作系統(tǒng)的版本、補丁、BIOS設置(軟驅(qū)、光驅(qū)、USB的控制等)、注冊表設置,比賽網(wǎng)的所有系統(tǒng)都采用標準定制和統(tǒng)一模式,以此保證更大程度的可控性。除非特殊需要,電腦上的軟驅(qū)、光驅(qū)和USB都是禁用的,數(shù)據(jù)僅通過FTP服務器在比賽網(wǎng)和管理網(wǎng)間進行傳輸。

軟件部分采取的措施起到了加固操作系統(tǒng)的作用,如: 屏蔽普通用戶安裝軟件的權(quán)限; 及時更新并統(tǒng)一管理全部的補丁; 關掉不需要的進程和全部熱鍵。保障安全的一個原則就是通過操作系統(tǒng)統(tǒng)一的認證平臺確保提供給用戶組最小的訪問權(quán)限,即僅授予該用戶組在能夠完成工作的前提下最小的權(quán)限。

為了保障比賽網(wǎng)的高可用性,所有的網(wǎng)絡設備(包括路由器、交換機等)、網(wǎng)絡鏈路(包括電信運營商的鏈路設備),甚至數(shù)據(jù)中心都是雙重備份的。這樣,一旦某個系統(tǒng)出現(xiàn)故障,就會馬上轉(zhuǎn)到另一個系統(tǒng)中運行,從而確保全網(wǎng)沒有一個地方會造成單點故障而影響整個網(wǎng)絡。

隔離網(wǎng)絡風險小

除了對系統(tǒng)、硬件、軟件采取措施外,為了保證網(wǎng)絡高安全性,比賽網(wǎng)絡采用與互聯(lián)網(wǎng)沒有聯(lián)系的獨立網(wǎng)絡以減少來自互聯(lián)網(wǎng)的攻擊。但是由于比賽網(wǎng)與合作伙伴等外界聯(lián)系的需要,系統(tǒng)集成過程中采用專門劃分的雙層認證DMZ(非軍事區(qū))進行網(wǎng)絡邊界管理,對每個對外連接的節(jié)點進行嚴格的流量控制,并且所有對外鏈接都要經(jīng)過多重隔離。

據(jù)介紹,雙層DMZ中的第一層是在所有管理網(wǎng)、官方網(wǎng)的合作伙伴之間,如負責記分系統(tǒng)的OMEGA、負責電視廣播的北京奧林匹克廣播公司以及門戶網(wǎng)站搜狐等,第一層DMZ用來隔離較為可信的合作伙伴; 第二層DMZ則用來連接如國外的參賽報名系統(tǒng)、氣象信息匯報的氣象臺等不很可靠的互聯(lián)網(wǎng)連接。數(shù)據(jù)傳輸過程中的數(shù)據(jù)流向也是嚴格控制的,通常僅允許比賽網(wǎng)數(shù)據(jù)外傳,而從外向內(nèi)的傳輸則幾乎不被允許。

在網(wǎng)絡系統(tǒng)接入方面也采取了嚴格的準入制度。每一個網(wǎng)絡端口只允許特定的設備在通過嚴格的安全檢測后接入,一旦發(fā)現(xiàn)非法網(wǎng)絡接入企圖,網(wǎng)絡監(jiān)控系統(tǒng)便會立刻通知場館IT管理人員進行檢查。

網(wǎng)絡流量的分段是保障網(wǎng)絡安全的另一個重要手段。比賽網(wǎng)中不同的應用系統(tǒng),如IDS、CIS、OVR、GMS等都運行于完全相隔的獨立虛擬網(wǎng)段(VLAN)中,由于跨越VLAN的流量會受到嚴格的訪問控制列表(ACL)的限制,任何非正常的跨越VLAN的流量都會觸動安全報警系統(tǒng)。這就保證了當一個系統(tǒng)受到攻擊時,其他系統(tǒng)都不會受到任何影響。

特別的安全等級制度

源訊及其合作伙伴為奧運專門開發(fā)的安全信息管理系統(tǒng)可謂是比賽網(wǎng)安全保障的核心所在,它是比賽網(wǎng)業(yè)務系統(tǒng)底層服務形態(tài)的支持系統(tǒng),管理所有比賽網(wǎng)點發(fā)送的報警信息,保障奧運比賽網(wǎng)的信息安全。

篇(7)

【關鍵詞】信息安全; 威脅;防御策略;防火墻

1 計算機信息網(wǎng)絡安全概述

所謂計算機信息網(wǎng)絡安全,是指根據(jù)計算機通信網(wǎng)絡特性,通過相應的安全技術(shù)和措施,對計算機通信網(wǎng)絡的硬件、操作系統(tǒng)、應用軟件和數(shù)據(jù)等加以保護,防止遭到破壞或竊取,其實質(zhì)就是要保護計算機通訊系統(tǒng)和通信網(wǎng)絡中的各種信息資源免受各種類型的威脅、干擾和破壞。計算機通信網(wǎng)絡的安全是指揮、控制信息安全的重要保證。

根據(jù)國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心的權(quán)威統(tǒng)計,通過分布式密網(wǎng)捕獲的新的漏洞攻擊惡意代碼數(shù)量平均每天112次,每天捕獲最多的次數(shù)高達4369次。因此,隨著網(wǎng)絡一體化和互聯(lián)互通,我們必須加強計算機通信網(wǎng)絡安全防范意思,提高防范手段。

2 計算機信息安全常見的威脅

以上這些因素都可能是計算機信息資源遭到毀滅性的破壞。像一些自然因素我們是不可避免的,也是無法預測的;但是像一些人為攻擊的、破壞的我們是可以防御的、避免的。因此,我們必須重視各種因素對計算機信息安全的影響,確保計算機信息資源萬無一失。

3 計算機信息的安全的防御策略

根據(jù)計算機網(wǎng)絡系統(tǒng)的網(wǎng)絡結(jié)構(gòu)和目前一般應用情況,我們采取可兩種措施:一是,采用漏洞掃描技術(shù),對重要網(wǎng)絡設備進行風險評估,保證網(wǎng)絡系統(tǒng)盡量在最優(yōu)的狀態(tài)下運行;二是,采用各種計算機網(wǎng)絡安全技術(shù),構(gòu)筑防御系統(tǒng),主要有:防火墻技術(shù)、VPN技術(shù)、網(wǎng)絡加密技術(shù)、身份認證技術(shù)、網(wǎng)絡的實時監(jiān)測。

3.1 漏洞掃描技術(shù)

漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞:在端口掃描后得到目標主機開啟的端口以及端口上的網(wǎng)絡服務,將這些相關信息與網(wǎng)絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標主機系統(tǒng)進行攻擊的安全漏洞掃描,如測試弱口令等,若模擬攻擊成功,則表明目標主機系統(tǒng)存在安全漏洞。

3.2 防火墻技術(shù)

防火墻是網(wǎng)絡安全的屏障,一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境更安全,信息的安全就得到了保障。使用防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。

防火墻一般是指用來在兩個或多個網(wǎng)絡間加強訪問控制的一個或一組網(wǎng)絡設備。從邏輯上來看,防火墻是分離器、限制器和分析器;從物理上來看,各個防火墻的物理實現(xiàn)方式可以多種多樣,但是歸根結(jié)底他們都是一組硬件設備(路由器、主機)和軟件的組合體;從本質(zhì)上來看,防火墻是一種保護裝置,它用來保護網(wǎng)絡數(shù)據(jù)、資源和合法用戶的聲譽;從技術(shù)上來看,防火墻是一種訪問控制技術(shù),它在某個機構(gòu)的網(wǎng)絡與不安全的網(wǎng)絡之間設置障礙,阻止對網(wǎng)絡信息資源的非法訪問。

3.3 計算機網(wǎng)絡的加密技術(shù)(ipse)

采用網(wǎng)絡加密技術(shù),對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝,實現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾浴K梢越鉀Q網(wǎng)絡在公網(wǎng)的數(shù)據(jù)傳輸安全性問題,也可以解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。IP層是TCP/IP網(wǎng)絡中最關鍵的一層,IP作為網(wǎng)絡層協(xié)議,其安全機制可以對其上層的各種應用服務提供透明的覆蓋安全保護。IP安全是整個TCP/IP 安全的基礎,是網(wǎng)絡安全的核心。ipse 提供的安全功能或服務主要包括:訪問控制、無連接完整性、數(shù)據(jù)起源認證、抗重放攻擊、機密性、有限的數(shù)據(jù)流機密性。

3.4 身份認證

身份認證的作用是阻止非法實體的不良訪問。有多種方法可以認證一個實體的合法性,密碼技術(shù)是最常用的,但由于在實際系統(tǒng)中有許多用戶采用很容易被猜測的單詞或短語作為密碼,使得該方法經(jīng)常失效。其他認證方法包括對人體生理特征的識別、智能卡等。隨著模式識別技術(shù)的發(fā)展,身份識別技術(shù)與數(shù)字簽名等技術(shù)結(jié)合,使得對于用戶身份的認證和識別更趨完善。

3.5 入侵檢測技術(shù)

入侵檢測技術(shù)是對入侵行為的檢測,他通過收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、其他網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵的信息,檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊,外部攻擊和誤操作的實時保護,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。

3.6 虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)(Virtual private Network,VPN) 是一門網(wǎng)絡技術(shù),提供一種通過公用網(wǎng)絡安全地對企業(yè)內(nèi)部專用網(wǎng)絡進行遠程訪問的連接方式;是通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立起一個臨時的、安全的連接,是一條穿過不安全的公用網(wǎng)絡的安全、穩(wěn)定的隧道。

下面,我們主要談一下防火墻在網(wǎng)絡信息安全中的應用。

4 防火墻防御策略

4.1 防火墻的基本概念

所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(如Internet)分開的方法,它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡通信時執(zhí)行的一種訪問控制手段,它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡,同時將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡,防止他們更改、復制和毀壞你的重要信息。

4.2 防火墻的功能

1)過濾掉不安全服務和非法用戶。

2)控制對特殊站點的訪問。

3)提供監(jiān)視Internet安全和預警的方便端點。

4.3 防火墻的優(yōu)點

1)防火墻能強化安全策略

因為Internet上每天都有上百萬人在那里收集信息、交換信息,不可避免地會出現(xiàn)個別品德不良的人,或違反規(guī)則的人,防火墻是為了防止不良現(xiàn)象發(fā)生的"交通警察",它執(zhí)行站點的安全策略,僅僅容許"認可的"和符合規(guī)則的請求通過。

2)防火墻能有效地記錄Internet上的活動

因為所有進出信息都必須通過防火墻,所以防火墻非常適用收集關于系統(tǒng)和網(wǎng)絡使用和誤用的信息。作為訪問的唯一點,防火墻能在被保護的網(wǎng)絡和外部網(wǎng)絡之間進行記錄。

3)防火墻限制暴露用戶點

防火墻能夠用來隔開網(wǎng)絡中一個網(wǎng)段與另一個網(wǎng)段。這樣,能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播。

4)防火墻是一個安全策略的檢查站

所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外。

4.4 防火墻的不足

1)防火墻不能防范不經(jīng)由防火墻的攻擊。例如,如果允許從受保護網(wǎng)內(nèi)部不受限制的向外撥號,一些用戶可以形成與Internet的直接的連接,從而繞過防火墻,造成一個潛在的后門攻擊渠道。

2)防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機上裝反病毒軟件。

3)防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。當有些表面看來無害的數(shù)據(jù)被郵寄或復制到Internet主機上并被執(zhí)行而發(fā)起攻擊時,就會發(fā)生數(shù)據(jù)驅(qū)動攻擊。

4.5 防火墻的類型

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡地址轉(zhuǎn)換―NAT、型和狀態(tài)監(jiān)測型。

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡中的分包傳輸技術(shù),工作在網(wǎng)絡層。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。但包過濾防火墻的缺點有三:一是,非法訪問一旦突破防火墻,即可對主機上的軟件和配置漏洞進行攻擊;二是,數(shù)據(jù)包的源地址、目的地址以及IP 的端口號都在數(shù)據(jù)包的頭部,很有可能被竊聽或假冒;三是,無法執(zhí)行某些安全策略。

網(wǎng)絡地址轉(zhuǎn)化―NAT。 “你不能攻擊你看不見的東西”是網(wǎng)絡地址轉(zhuǎn)換的理論基礎。網(wǎng)絡地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。當數(shù)據(jù)包流經(jīng)網(wǎng)絡時,NAT將從發(fā)送端的數(shù)據(jù)包中移去專用的IP地址,并用一個偽IP地址代替。NAT軟件保留專用IP地址和偽IP地址的一張地址映射表。當一個數(shù)據(jù)包返回到NAT系統(tǒng),這一過程將被逆轉(zhuǎn)。當符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。如果黑客在網(wǎng)上捕獲到這個數(shù)據(jù)包,他們也不能確定發(fā)送端的真實IP地址,從而無法攻擊內(nèi)部網(wǎng)絡中的計算機。NAT技術(shù)也存在一些缺點,例如,木馬程序可以通過NAT進行外部連接,穿透防火墻。

型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產(chǎn)品, 它分為應用層網(wǎng)關和電路層網(wǎng)關。服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務器,服務器再根據(jù)這一請求向服務器索取數(shù)據(jù), 然后再由服務器將數(shù)據(jù)傳輸給客戶機。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達到隱藏內(nèi)部結(jié)構(gòu)的作用,這種防火墻是網(wǎng)絡專家公的最安全的防火墻。缺點是速度相對較慢。

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。它是由Check Point 軟件技術(shù)有限公司率先提出的,也稱為動態(tài)包過濾防火墻。總的來說,具有:高安全性,高效性,可伸縮性和易擴展性。實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)服務器也集成了包過濾技術(shù),這兩種技術(shù)的混合顯然比單獨使用具有更大的優(yōu)勢。總的來說,網(wǎng)絡的安全性通常是以網(wǎng)絡服務的開放性和靈活性為代價的,防火墻只是整個網(wǎng)絡安全防護體系的一部分,而且防火墻并非萬無一失。除了使用了防火墻后技術(shù),我們還使用了其他技術(shù)來加強安全保護,數(shù)據(jù)加密技術(shù)是保障信息安全的基石。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來重新組織數(shù)據(jù),使得除了合法受者外,任何其他人想要恢復原先的“消息”是非常困難的。目前最常用的加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密技術(shù)是指同時運用一個密鑰進行加密和解密,非對稱加密技術(shù)就是加密和解密所用的密鑰不一樣。

4.6 防火墻的配置

1)雙宿堡壘主機防火墻

一個雙宿主機是一種防火墻,擁有兩個聯(lián)接到不同網(wǎng)絡上的網(wǎng)絡接口。例如,一個網(wǎng)絡接口聯(lián)到外部的不可信任的網(wǎng)絡上,另一個網(wǎng)絡接口聯(lián)接到內(nèi)部的可信任的網(wǎng)絡上。這種防火墻的最大特點是IP層的通信是被阻止的,兩個網(wǎng)絡之間的通信可通過應用層數(shù)據(jù)共享或應用層服務來完成。一般情況下,人們采用服務的方法,因為這種方法為用戶提供了更為方便的訪問手段。

2)屏蔽主機防火墻

這種防火墻強迫所有的外部主機與一個堡壘主機相聯(lián)接,而不讓它們直接與內(nèi)部主機相連。為了實現(xiàn)這個目的,專門設置了一個過濾路由器,通過它,把所有外部到內(nèi)部的聯(lián)接都路由到了堡壘主機上。下圖顯示了屏蔽主機防火墻的結(jié)構(gòu)。

3)屏蔽主機防火墻

在這種體系結(jié)構(gòu)中,堡壘主機位于內(nèi)部網(wǎng)絡,屏蔽路由器聯(lián)接Internet和內(nèi)部網(wǎng),它是防火墻的第一道防線。屏蔽路由器需要進行適當?shù)呐渲茫顾械耐獠柯?lián)接被路由到堡壘主機上。并不是所有服務的入站聯(lián)接都會被路由到堡壘主機上,屏蔽路由器可以根據(jù)安全策略允許或禁止某種服務的入站聯(lián)接(外部到內(nèi)部的主動聯(lián)接)。

對于出站聯(lián)接(內(nèi)部網(wǎng)絡到外部不可信網(wǎng)絡的主動聯(lián)接),可以采用不同的策略。對于一些服務,如Telnet,可以允許它直接通過屏蔽路由器聯(lián)接到外部網(wǎng)而不通過堡壘主機;其他服務,如WWW和SMTP等,必須經(jīng)過堡壘主機才能聯(lián)接到Internet,并在堡壘主機上運行該服務的服務器。怎樣安排這些服務取決于安全策略。

5 結(jié)束語

隨著信息技術(shù)的發(fā)展,影響通信網(wǎng)絡安全的各種因素也會不斷強化,因此計算機網(wǎng)絡的安全問題也越來越受到人們的重視,以上我們簡要的分析了計算機網(wǎng)絡存在的幾種安全隱患,以及一般采取的幾種安全防范策略,主要討論了防火墻在網(wǎng)絡信息安全中所起到的作用。總的來說,網(wǎng)絡安全不僅僅是技術(shù)問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術(shù)方案和相關的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡系統(tǒng),隨著計算機網(wǎng)絡技術(shù)的進一步發(fā)展,網(wǎng)絡安全防護技術(shù)也必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。

【參考文獻】

[1]田園.網(wǎng)絡安全教程[M].人民郵電出版社,2009.

主站蜘蛛池模板: 色妞ww精品视频7777| 韩日美无码精品无码| 伴郎粗大的内捧猛烈进出视频观看| 99久久99久久久精品齐齐| 久久精品国产精品国产精品污| 成人精品一区二区三区中文字幕| 久久人人妻人人爽人人爽| 精品少妇人妻av免费久久久| 久久99国产精品久久99| 97日日碰曰曰摸日日澡| 久久人人爽人人爽人人片av高清| 在线看片人成视频免费无遮挡| 爆乳美女脱内衣18禁裸露网站| 国产在线精品欧美日韩电影| 精人妻无码一区二区三区| 99久久人人爽亚洲精品美女| 中文字幕在线免费看线人| 国产三级a三级三级| 日本免费a级毛一片| 大胆gogo高清在线观看| 国产精品人成在线播放新网站| 久久久精品456亚洲影院| 国产精品免费福利久久| 狠狠亚洲婷婷综合色香五月排名 | 免费看片a级毛片免费看| 亚洲日韩一区精品射精| 天天做天天爱夜夜爽毛片毛片| 日本丰满bbwbbw| 内射少妇36p九色| 亚洲国产精品无码成人片久久| 国产亚洲精品自在久久| 双乳被一左一右吃着动态图| 成人做爰www免费看视频韩国| 国产精品久线在线观看| 麻豆专媒体一区二区| 日本三级片在线观看| 精品人妻系列无码人妻漫画| 国产成人精品日本亚洲11| 把少妇弄高潮了www| 国产精品va在线观看无码| 国产成人人综合亚洲欧美丁香花|