序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇常用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

1.1指導(dǎo)思想建立電力企業(yè)信息化技術(shù)標(biāo)準(zhǔn)體系的指導(dǎo)思想是:圍繞我國電力企業(yè)的具體需求，面向電力體制改革的大背景,促進(jìn)電力企業(yè)信息化水平的整體提高,提升信息化對電力企業(yè)業(yè)務(wù)發(fā)展的服務(wù)能力。

1.2總體目標(biāo)結(jié)合我國信息技術(shù)發(fā)展的戰(zhàn)略目標(biāo),以國家宏觀調(diào)控管理與自愿性相結(jié)合的電力企業(yè)信息技術(shù)應(yīng)用標(biāo)準(zhǔn)為主體，實現(xiàn)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)分工明確、協(xié)調(diào)發(fā)展。同時，電力企業(yè)應(yīng)積極參與標(biāo)準(zhǔn)制定及應(yīng)用，建設(shè)系統(tǒng)的、先進(jìn)的、以及適合我國國情和電力企業(yè)實際情況的結(jié)構(gòu)合理、能夠指導(dǎo)企業(yè)進(jìn)行信息化建設(shè)的信息技術(shù)標(biāo)準(zhǔn)體系。

1.3建設(shè)原則結(jié)合我國電力企業(yè)信息化建設(shè)現(xiàn)狀，為更好地建立電力企業(yè)信息技化術(shù)標(biāo)準(zhǔn)體系的順利進(jìn)行,在開展技術(shù)標(biāo)準(zhǔn)體系研究時,提出以下基本原則:

1.3.1系統(tǒng)全面編制信息化技術(shù)標(biāo)準(zhǔn)體系應(yīng)充分研究在一定時期內(nèi)企業(yè)信息技術(shù)、信息化建設(shè)中需要協(xié)調(diào)統(tǒng)一的一切事物和概念，形成層次恰當(dāng)、功能配套的體系結(jié)構(gòu)，形成相互關(guān)聯(lián)、相互制約、相互協(xié)調(diào)的配套系統(tǒng)。

1.3.2應(yīng)用實踐信息化技術(shù)標(biāo)準(zhǔn)體系應(yīng)適應(yīng)和滿足市場機(jī)制下企業(yè)組織生產(chǎn)、經(jīng)營管理的需要，必須與資源配置和環(huán)境條件相適應(yīng)，成為發(fā)展信息技術(shù)、進(jìn)行信息化建設(shè)的基礎(chǔ)措施，使其具有實用性和適用性。

1.3.3可擴(kuò)展電力企業(yè)信息化技術(shù)標(biāo)準(zhǔn)體系應(yīng)能隨著科學(xué)技術(shù)進(jìn)步、企業(yè)信息化建設(shè)和管理機(jī)制的變動而調(diào)整、發(fā)展、更新，應(yīng)具有預(yù)測性和可擴(kuò)充性，成為一個開放的體系。

1.3.4持續(xù)優(yōu)化電力企業(yè)信息化技術(shù)標(biāo)準(zhǔn)體系的建設(shè)，不僅要滿足當(dāng)前形勢下的業(yè)務(wù)要求，也要考慮信息技術(shù)不斷更新與發(fā)展的要求，持續(xù)開展對技術(shù)標(biāo)準(zhǔn)體系的優(yōu)化更新。

2技術(shù)標(biāo)準(zhǔn)體系建設(shè)內(nèi)容

2.1標(biāo)準(zhǔn)體系架構(gòu)根據(jù)《電力行業(yè)信息標(biāo)準(zhǔn)化體系》（DL/Z398-2010）,對信息化領(lǐng)域的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，已信息技術(shù)的發(fā)展進(jìn)行了梳理，構(gòu)建了電力企業(yè)信息化技術(shù)標(biāo)準(zhǔn)體系框架

2.2框架說明

2.2.1基礎(chǔ)綜合通用標(biāo)準(zhǔn)基礎(chǔ)綜合通用標(biāo)準(zhǔn)由體系與標(biāo)準(zhǔn)編制通則、術(shù)語標(biāo)準(zhǔn)、軟件工程基礎(chǔ)標(biāo)準(zhǔn)、通用基礎(chǔ)標(biāo)準(zhǔn)等三部分構(gòu)成。體系與標(biāo)準(zhǔn)編制通則主要收錄了國家、行業(yè)和企業(yè)對技術(shù)標(biāo)準(zhǔn)體系表及技術(shù)標(biāo)準(zhǔn)編制的相關(guān)要求和規(guī)范；術(shù)語標(biāo)準(zhǔn)主要收錄了各種常用的信息術(shù)語標(biāo)準(zhǔn)，如信息技術(shù)詞匯、條碼術(shù)語、計算機(jī)應(yīng)用詞匯等；軟件工程基礎(chǔ)標(biāo)準(zhǔn)收錄了軟件工程過程標(biāo)準(zhǔn)、軟件工程質(zhì)量標(biāo)準(zhǔn)、軟件工程技術(shù)、軟件工程工具與方法標(biāo)準(zhǔn)、軟件測試規(guī)范以及軟件開發(fā)的相關(guān)標(biāo)準(zhǔn)等；通用基礎(chǔ)標(biāo)準(zhǔn)主要收錄公司的信息項目規(guī)劃、設(shè)計、建設(shè)、驗收、評價、知識產(chǎn)權(quán)保護(hù)、信息規(guī)劃、設(shè)計、管控和安全等方面相關(guān)的基礎(chǔ)標(biāo)準(zhǔn)和規(guī)范。

2.2.2基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施標(biāo)準(zhǔn)主要由信息設(shè)備、硬件環(huán)境標(biāo)準(zhǔn)和數(shù)據(jù)通信網(wǎng)絡(luò)標(biāo)準(zhǔn)三部分構(gòu)成。信息設(shè)備主要收錄了服務(wù)器、存儲、信息網(wǎng)絡(luò)設(shè)備等相關(guān)標(biāo)準(zhǔn)；硬件環(huán)境標(biāo)準(zhǔn)主要收錄了綠色機(jī)房環(huán)境、災(zāi)備設(shè)施標(biāo)準(zhǔn)等，如機(jī)房內(nèi)外部環(huán)境等相關(guān)標(biāo)準(zhǔn)；數(shù)據(jù)通信網(wǎng)絡(luò)標(biāo)準(zhǔn)主要收錄了信息網(wǎng)絡(luò)方面的標(biāo)準(zhǔn)，如網(wǎng)絡(luò)體系結(jié)構(gòu)、網(wǎng)絡(luò)工程、網(wǎng)絡(luò)接口、網(wǎng)絡(luò)交換傳輸與接入、網(wǎng)絡(luò)管理以及下一代互聯(lián)網(wǎng)標(biāo)準(zhǔn)。

2.2.3信息資源信息資源標(biāo)準(zhǔn)由信息分類與編碼標(biāo)準(zhǔn)、電網(wǎng)信息模型標(biāo)準(zhǔn)、數(shù)據(jù)元與元數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)交換標(biāo)準(zhǔn)四部分構(gòu)成。信息分類與編碼標(biāo)準(zhǔn)主要收錄了信息分類與編碼通則和各類業(yè)務(wù)中使用的代碼標(biāo)準(zhǔn)；電網(wǎng)信息模型標(biāo)準(zhǔn)主要收錄了各種信息模型的標(biāo)準(zhǔn)，如：公共數(shù)據(jù)模型等；數(shù)據(jù)元與元數(shù)據(jù)標(biāo)準(zhǔn)主要收錄了數(shù)據(jù)元與元數(shù)據(jù)的相關(guān)標(biāo)準(zhǔn)；數(shù)據(jù)中心與數(shù)據(jù)交換標(biāo)準(zhǔn)主要收錄了數(shù)據(jù)中心與數(shù)據(jù)交換相關(guān)標(biāo)準(zhǔn)。

2.2.4信息應(yīng)用信息應(yīng)用標(biāo)準(zhǔn)由支撐服務(wù)標(biāo)準(zhǔn)、用戶交互標(biāo)準(zhǔn)、信息集成標(biāo)準(zhǔn)、業(yè)務(wù)應(yīng)用標(biāo)準(zhǔn)四部分構(gòu)成。支撐服務(wù)標(biāo)準(zhǔn)主要收錄了為信息應(yīng)用提供基礎(chǔ)支撐服務(wù)的標(biāo)準(zhǔn)，如信息表示和處理、資源定位、數(shù)據(jù)訪問標(biāo)準(zhǔn)、目錄服務(wù)、消息服務(wù)、事務(wù)處理、業(yè)務(wù)訪問、流程控制等；用戶交互標(biāo)準(zhǔn)主要收錄了移動智能設(shè)備與終端、對外網(wǎng)站群、內(nèi)部信息門戶、可視化展示相關(guān)的標(biāo)準(zhǔn)；服務(wù)集成標(biāo)準(zhǔn)主要收錄了公司一體化平臺和相關(guān)應(yīng)用集成的標(biāo)準(zhǔn)規(guī)范，如GIS空間信息服務(wù)平臺等；業(yè)務(wù)應(yīng)用標(biāo)準(zhǔn)主要收錄了與業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)相關(guān)的建設(shè)規(guī)范、技術(shù)規(guī)范。

.2.5信息安全信息安全標(biāo)準(zhǔn)由安全基礎(chǔ)標(biāo)準(zhǔn)、物理安全標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、系統(tǒng)安全標(biāo)準(zhǔn)、數(shù)據(jù)安全標(biāo)準(zhǔn)、安全運(yùn)行標(biāo)準(zhǔn)七部分組成。安全基礎(chǔ)標(biāo)準(zhǔn)主要收錄了與安全密切相關(guān)的基礎(chǔ)標(biāo)準(zhǔn)，例如安全的基本術(shù)語表示，安全模型，安全框架、可信平臺等；物理安全標(biāo)準(zhǔn)主要收錄了從物理角度闡述安全的保障標(biāo)準(zhǔn)，包括通信和信息系統(tǒng)實體安全的標(biāo)準(zhǔn)（如設(shè)備安全、機(jī)房的安全技術(shù)要求等）；網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要收錄了網(wǎng)絡(luò)安全防護(hù)優(yōu)化、內(nèi)外網(wǎng)安全隔離、互聯(lián)網(wǎng)出口安全、無線網(wǎng)絡(luò)安全防護(hù)與檢測技術(shù)、移動安全接入防護(hù)等相關(guān)標(biāo)準(zhǔn)；系統(tǒng)安全標(biāo)準(zhǔn)主要收錄了企業(yè)信息化系統(tǒng)建設(shè)應(yīng)遵守的相關(guān)技術(shù)標(biāo)準(zhǔn)，如操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全和病毒防范等方面的標(biāo)準(zhǔn)與規(guī)范；數(shù)據(jù)安全主要收錄了保密安全技術(shù)、文檔加密與推廣完善、數(shù)據(jù)備份與恢復(fù)等相關(guān)標(biāo)準(zhǔn)；安全運(yùn)行標(biāo)準(zhǔn)主要收錄了等級保護(hù)、風(fēng)險識別與評價控制、應(yīng)急與災(zāi)備等相關(guān)的標(biāo)準(zhǔn)及技術(shù)要求。

3總結(jié)

篇(2)

關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)安全;網(wǎng)絡(luò)防御體系;動態(tài)安全模型;系統(tǒng)檢測

中圖分類號:TP393.08文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2010) 07-0000-01

Related Issues of Enterprise Network in Defense Depth System

Lian Qiang

(Henan Sanmenxia Yellow River Pearl Group Co., Ltd.,Information Center,Sanmenxia472000,China)

Abstract:The enterprise information and enable the rapid development of e-commerce enterprise network security is increasingly evident.Based on the analysis of network security situation and the characteristics of corporate networks,network security in compliance with the basic principles and based on recognized standards,proposed a model based on dynamic enterprises and network security defense in depth system.

Keywords:Enterprise network security;Network defense systems;Dynamic security model;System testing

一、引言

網(wǎng)絡(luò)安全體系結(jié)構(gòu)是從系統(tǒng)的、整體的角度來考慮網(wǎng)絡(luò)安全問題。參照權(quán)威的信息安全標(biāo)準(zhǔn),圍繞企業(yè)網(wǎng)絡(luò)特點(diǎn),以先進(jìn)的網(wǎng)絡(luò)安全理論為指導(dǎo)的,是解決企業(yè)網(wǎng)絡(luò)安全體系問題的必不可少的手段[1,2]。本文正是基于這個思路,力爭站在一個統(tǒng)攬全局的層次上,摒棄企業(yè)網(wǎng)絡(luò)的實現(xiàn)細(xì)節(jié),抽象網(wǎng)絡(luò)安全需求,建立一個完善的企業(yè)網(wǎng)絡(luò)安全模型與體系。

二、企業(yè)網(wǎng)絡(luò)動態(tài)安全模型

針對一個具體的網(wǎng)絡(luò)系統(tǒng),網(wǎng)絡(luò)活動、網(wǎng)絡(luò)的系統(tǒng)管理甚至網(wǎng)絡(luò)體系結(jié)構(gòu)都可能是一個動態(tài)的、不斷變化的過程,所以,在考慮網(wǎng)絡(luò)的安全性時,應(yīng)從被監(jiān)控網(wǎng)絡(luò)或系統(tǒng)安全運(yùn)行的角度,根據(jù)實際情況對網(wǎng)絡(luò)(或系統(tǒng))實施系統(tǒng)的安全配置。也就是說,網(wǎng)絡(luò)安全應(yīng)是一個從網(wǎng)絡(luò)運(yùn)行的角度考慮其安全性的動態(tài)過程。

這里提出的可自適應(yīng)網(wǎng)絡(luò)安全模型P2DR就是這樣一個動態(tài)的安全模型。其中,安全策略用以描述系統(tǒng)的安全需求以及如何組織各種安全機(jī)制來實現(xiàn)系統(tǒng)的安全需求。從基于時間的角度及普遍意義上講,P2DR模型概括了信息網(wǎng)絡(luò)安全的各個方面。我們需要根據(jù)模型做出自己的定義和闡述,使其符合企業(yè)網(wǎng)絡(luò)安全防御體系的需要。

(1)

公式中Pt表示系統(tǒng)為了保護(hù)安全目標(biāo)而設(shè)置各種保護(hù)后的防護(hù)時間,也可認(rèn)為是黑客攻擊系統(tǒng)所花的時間。Dt表示從攻擊開始,系統(tǒng)能夠檢測到攻擊行為指導(dǎo)所花的時間。Rt為發(fā)現(xiàn)攻擊后,系統(tǒng)能做出足夠響應(yīng)將系統(tǒng)調(diào)整到正常狀態(tài)的時間。如果系統(tǒng)能滿足上述公式,即:防護(hù)時間Pt大于檢測時間Dt加上響應(yīng)時間Rt,

則認(rèn)為系統(tǒng)是安全的,因為它在攻擊造成危害前就對攻擊做出了響應(yīng)并做出了處理。

(2) ,if

公式中Et表示系統(tǒng)的暴露時間,假定系統(tǒng)的防護(hù)時間Pt為0,即系統(tǒng)突然遭到破壞,則希望系統(tǒng)能快速檢測到并迅速調(diào)整到正常狀態(tài),系統(tǒng)的檢測時間Dt和響應(yīng)時間置之和就是系統(tǒng)的暴露時間Et。該時間越小,系統(tǒng)安全性越好。由此,我們可以得出動態(tài)網(wǎng)絡(luò)安全的新概念:及時的檢測和響應(yīng)就是安全。

三、基P2DR模型的企業(yè)安全防御體系

根據(jù)前面敘述的P2DR動態(tài)網(wǎng)絡(luò)安全模型,針對企業(yè)的網(wǎng)絡(luò)系統(tǒng),我們可以在對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評估的基礎(chǔ)上制定具體的系統(tǒng)安全策略,借助現(xiàn)有各種網(wǎng)絡(luò)安全技術(shù)和工具,設(shè)立多道的安全防線來集成各種可靠的安全機(jī)制從而建立完善的多層安全防御體系,以求能夠有效地抵御來自系統(tǒng)內(nèi)外的入侵攻擊,達(dá)到企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的目的。

(一)以安全策略為中心

企業(yè)規(guī)程應(yīng)該簡明扼要。規(guī)程不應(yīng)包含技術(shù)實施的詳細(xì)內(nèi)容,因為這些內(nèi)容經(jīng)常更改。設(shè)計安全策略時應(yīng)認(rèn)真制訂計劃,以確保所有與安全有關(guān)的問題都得到充分重視。

(二)系統(tǒng)預(yù)警

預(yù)警是防患于未然,因此有效的預(yù)警措施對企業(yè)網(wǎng)絡(luò)安全十分重要。對安全漏洞的掃描是系統(tǒng)預(yù)警的重要方面。所謂漏洞掃描是指利用掃描程序(scanner)自動檢測遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)。在網(wǎng)絡(luò)管理員的手里,掃描程序可以使一些煩瑣的安全審計工作得以簡化。我們可以將常用的攻擊方法集成到漏洞掃描程序中,輸出統(tǒng)一格式的結(jié)果,這樣就可以對系統(tǒng)的抗攻擊能力有較為清楚的了解。

(三)系統(tǒng)防護(hù)

系繞防護(hù)包括系統(tǒng)論證、訪問控制、加密傳輸、數(shù)據(jù)完整性檢查等。防火墻作為一種傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品,其主要功能就是實施訪問控制策略。訪問控制策略規(guī)定了網(wǎng)絡(luò)不同部分允許的數(shù)據(jù)流向,還會制定哪些類型的傳輸是允許的,其它的傳輸都將被阻塞。加密傳輸也很重要。由于Internet上數(shù)據(jù)的時文傳輸,維修Internet造成了很大的顧慮。隨著全球經(jīng)濟(jì)一體化趨勢的發(fā)展,加密是網(wǎng)絡(luò)防御體系中日益重要的一塊,在Internet上構(gòu)筑虛擬專用網(wǎng)(VPN)是解決加密傳輸?shù)囊环N普遍實用的方法。

(四)系統(tǒng)檢測

檢測包括入侵檢測、網(wǎng)絡(luò)審計和病毒檢測,入侵檢測和網(wǎng)絡(luò)審計的功能有很大的重復(fù)性,它們可以互為補(bǔ)究。其數(shù)據(jù)源也可以一次采集,重復(fù)利用。入侵檢測作為一種動態(tài)的監(jiān)控、預(yù)防或抵御系統(tǒng)入侵行為的安全機(jī)制,是對傳統(tǒng)計算機(jī)機(jī)制的一種擴(kuò)充,它的開發(fā)應(yīng)用增大了網(wǎng)絡(luò)與系統(tǒng)安全的保護(hù)縱深,這是因為:現(xiàn)有的各種安全機(jī)制都有自己的局限性。

四、結(jié)語

本文描述了企業(yè)網(wǎng)絡(luò)的組成與特點(diǎn),指出了我國企業(yè)安全存在的問題。針對這些問題,說明了P2DR動態(tài)安全模型,并詳細(xì)闡述了基于P2DR模型的企業(yè)網(wǎng)絡(luò)安全防御體系,解釋了體系各部分的組成和功能。

參考文獻(xiàn):

篇(3)

1.1計算機(jī)自身因素。計算機(jī)及網(wǎng)絡(luò)的媒介就是計算機(jī)，但是計算機(jī)自身存在一些問題，給計算機(jī)安全埋下隱患，主要表現(xiàn)在以下三個方面。其一，計算機(jī)具有開放性特點(diǎn)，那么計算機(jī)在進(jìn)行信息儲存、處理、傳輸?shù)冗^程中，極容易受到不安全因素的干擾，從而導(dǎo)致信息泄密。其二，通信協(xié)議方面的問題。目前計算機(jī)通信協(xié)議上存在較多的漏洞，從而給那些網(wǎng)絡(luò)攻擊者以可乘之機(jī)，給計算機(jī)運(yùn)行埋下安全隱患。其三，計算機(jī)操作系統(tǒng)方面的問題。從計算機(jī)操作系統(tǒng)按安全情況來看，現(xiàn)狀還比較令人擔(dān)憂，存在訪問控制混亂、安全違規(guī)操作等方面的問題，這些都給計算機(jī)及網(wǎng)絡(luò)管理帶來嚴(yán)重的威脅。

1.2人為因素。影響計算機(jī)及網(wǎng)絡(luò)安全的因素，除了計算機(jī)自身的原因之外，還有一部分原因是人為因素造成的，主要表現(xiàn)在以下幾個方面。第一，計算機(jī)及網(wǎng)絡(luò)管理者缺乏安全意識，，很多人的網(wǎng)路信息安全意識比較薄弱，或者是根本沒有意識到信息網(wǎng)絡(luò)存在的威脅，存在僥幸心理，認(rèn)為沒有必須采取安全防護(hù)措施。第二，網(wǎng)絡(luò)黑客的惡意攻擊。社會上目前存在很多的黑客，他們運(yùn)用各種計算機(jī)病毒、技術(shù)手段等對計算機(jī)及網(wǎng)絡(luò)進(jìn)行攻擊，或是非法訪問、竊取、篡改計算機(jī)信息，或是造成網(wǎng)絡(luò)通信系統(tǒng)癱瘓等，這些都使得計算機(jī)及網(wǎng)絡(luò)的安全受到嚴(yán)重威脅。

2加強(qiáng)計算機(jī)及網(wǎng)絡(luò)安全防護(hù)的具體措施

計算機(jī)及網(wǎng)絡(luò)安全威脅會嚴(yán)重影響用戶的信息安全。因此，人們必須要采取有力的措施加以解決，具體來講，可以從以下幾個方面著手解決。

2.1提高人們的計算機(jī)及網(wǎng)絡(luò)安全意識。人們在使用計算機(jī)及網(wǎng)絡(luò)時，一定要提高認(rèn)識，意識到計算機(jī)及網(wǎng)絡(luò)中潛在的多種威脅，在平時的操作中提高警惕，養(yǎng)成良好的上網(wǎng)習(xí)慣。比如在平時使用計算機(jī)和網(wǎng)絡(luò)的過程中，不隨意打開來歷不明的郵件、不瀏覽不正規(guī)網(wǎng)站等；平時養(yǎng)成良好的病毒查殺習(xí)慣，防止某些計算機(jī)病毒利用漏洞來攻擊電腦，帶來不必要的麻煩。這里需要有關(guān)人員加強(qiáng)宣傳。比如在企業(yè)中，領(lǐng)導(dǎo)要加強(qiáng)員工的安全意識，舉辦信息安全技術(shù)培訓(xùn)，向大家介紹計算機(jī)及網(wǎng)絡(luò)安全的重要性，避免僥幸心理，確保信息安全。

2.2加強(qiáng)制度建設(shè)。對于目前社會上存在的惡意竊取用戶信息等行為，必須要進(jìn)一步加強(qiáng)制度建設(shè)，確保計算機(jī)及網(wǎng)絡(luò)信息安全。第一，國家需要加強(qiáng)法制建設(shè)，建立健全相關(guān)的法律制度，在此基礎(chǔ)上嚴(yán)厲打擊不法分子的行為，給其他人以威懾作用，使他們不敢以身試法。第二，在單位中，必須要加強(qiáng)制度建設(shè)，防止單位中的人惡意盜取單位信息。這就要求各單位根據(jù)其自身的特點(diǎn)，進(jìn)一步完善信息采集、保密管理等方面的制度，然后再建立健全身份識別、密碼加密等制度，規(guī)范信息安全標(biāo)準(zhǔn)，用單位中的各種制度來進(jìn)一步約束人們的“設(shè)網(wǎng)”行為。

2.3運(yùn)用多種技術(shù)手段。為了進(jìn)一步加強(qiáng)計算機(jī)及網(wǎng)絡(luò)管理和安全防護(hù)，必須要采取多種技術(shù)手段，確保信息安全，具體來講，可以充分運(yùn)用以下幾種計算機(jī)及網(wǎng)絡(luò)安全技術(shù)。（1）防火墻技術(shù)。防火墻技術(shù)是目前大家比較常用的一種計算機(jī)及網(wǎng)絡(luò)安全防護(hù)技術(shù)，它的實現(xiàn)手段非常靈活，既可以通過軟件來實現(xiàn)，又可以借助硬件來完成，還可以將硬件和軟件有機(jī)結(jié)合起來達(dá)到有效保護(hù)計算機(jī)及網(wǎng)絡(luò)安全的目的。這種技術(shù)一般位于被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的邊界，其防護(hù)過程如下：先接收被保護(hù)網(wǎng)絡(luò)的所有數(shù)據(jù)流，然后再根據(jù)防火墻所配置的訪問控制策略，對這些數(shù)據(jù)流進(jìn)行過濾，或者是采取其他措施，有效保護(hù)計算機(jī)及網(wǎng)絡(luò)安全。防火墻系統(tǒng)具有兩個方面的作用，一方面，它借助相關(guān)過濾手段，可以有效避免網(wǎng)絡(luò)資源受外部的侵入；另一方面，它還可以有效阻擋信息傳送，比如從被保護(hù)網(wǎng)絡(luò)向外傳送的具有一定價值的信息。就目前防火墻技術(shù)的實現(xiàn)方式來看，主要有應(yīng)用級網(wǎng)關(guān)、過濾防火墻這兩種不同的方式。（2）病毒防范技術(shù)。眾所周知，計算機(jī)病毒具有傳播快、隱蔽性強(qiáng)等特點(diǎn)，是計算機(jī)及網(wǎng)絡(luò)安全的重要問題。因此，人們必須要采用病毒防范技術(shù)，確保計算機(jī)及網(wǎng)絡(luò)安全。比如在計算機(jī)上安裝病毒查殺軟件，比如市場上比較受大家青睞的金山衛(wèi)士、卡巴斯基、360安全衛(wèi)士等多種安全軟件，定期檢查電腦安全，保障計算機(jī)及網(wǎng)絡(luò)安全。（3）網(wǎng)絡(luò)入侵檢測技術(shù)。計算機(jī)及網(wǎng)絡(luò)中存在很多的網(wǎng)絡(luò)入侵行為，造成計算機(jī)信息泄露。針對這種行為，人們就可以充分運(yùn)用網(wǎng)絡(luò)入侵檢測技術(shù)，有效保障計算機(jī)及網(wǎng)絡(luò)安全。這種技術(shù)一般又稱作網(wǎng)絡(luò)實時監(jiān)控技術(shù)，主要是通過相關(guān)軟件（或者硬件）對被保護(hù)的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實時檢查，然后將檢查的結(jié)果與系統(tǒng)中的入侵特征數(shù)據(jù)進(jìn)行比對，如果發(fā)現(xiàn)兩者的結(jié)果一致，則存在計算機(jī)及網(wǎng)絡(luò)被攻擊的跡象，這時候計算機(jī)就會參照用戶所定義的相關(guān)操作出反應(yīng)，比如馬上切斷網(wǎng)絡(luò)連接，防止計算機(jī)病毒的傳播；或者是直接通知安裝在計算機(jī)上的防火墻系統(tǒng)，調(diào)整計算機(jī)訪問控制策略，過濾掉那些被入侵的數(shù)據(jù)包等，從而有效保證計算機(jī)及網(wǎng)絡(luò)的安全。因此，人們可以通過采用網(wǎng)路入侵檢測技術(shù)，可以有效識別網(wǎng)絡(luò)上的入侵行為，然后采取相關(guān)措施加以解決。此外，人們還可以運(yùn)用數(shù)據(jù)加密技術(shù)、黑客誘騙技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)等，從而有效保障計算機(jī)及網(wǎng)絡(luò)安全。

3結(jié)束語

篇(4)

關(guān)鍵詞：網(wǎng)絡(luò)系統(tǒng)；安全測試；安全評估

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)13-3019-04

1 網(wǎng)絡(luò)安全評估技術(shù)簡介

當(dāng)前，隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展與應(yīng)用，人們對于網(wǎng)絡(luò)的安全性能越來越關(guān)注，網(wǎng)絡(luò)安全技術(shù)已從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻、防、測、控、管、評”等多方面的基礎(chǔ)理論和實施技術(shù)。信息安全是一個綜合、交叉學(xué)科領(lǐng)域，它要綜合利用數(shù)學(xué)、物理、通信和計算機(jī)諸多學(xué)科的長期知識積累和最新發(fā)展成果，進(jìn)行自主創(chuàng)新研究、加強(qiáng)頂層設(shè)計，提出系統(tǒng)的、完整的解決方案。

網(wǎng)絡(luò)信息系統(tǒng)安全評估的目的是為了讓決策者進(jìn)行風(fēng)險處置，即運(yùn)用綜合的策略來解決風(fēng)險。信息系統(tǒng)可根據(jù)安全評估結(jié)果來定義安全需求，最終采用適當(dāng)?shù)陌踩刂撇呗詠砉芾戆踩L(fēng)險。

安全評估的結(jié)果就是對信息保護(hù)系統(tǒng)的某種程度上的確信，開展網(wǎng)絡(luò)安全系統(tǒng)評估技術(shù)研究，可以對國防軍工制造業(yè)數(shù)字化網(wǎng)絡(luò)系統(tǒng)、國家電子政務(wù)信息系統(tǒng)、各類信息安全系統(tǒng)等的規(guī)劃、設(shè)計、建設(shè)、運(yùn)行等各階段進(jìn)行系統(tǒng)級的測試評估，找出網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)，發(fā)現(xiàn)并修正系統(tǒng)存在的弱點(diǎn)和漏洞，保證網(wǎng)絡(luò)系統(tǒng)的安全性，提出安全解決方案。

2 網(wǎng)絡(luò)安全評估理論體系和標(biāo)準(zhǔn)規(guī)范

2.1 網(wǎng)絡(luò)安全評估所要進(jìn)行的工作是：

通過對實際網(wǎng)絡(luò)的半實物仿真，進(jìn)行測試和安全評估技術(shù)的研究，參考國際相關(guān)技術(shù)標(biāo)準(zhǔn)，建立網(wǎng)絡(luò)安全評估模型，歸納安全評估指標(biāo)，研制可操作性強(qiáng)的信息系統(tǒng)安全評測準(zhǔn)則，并形成網(wǎng)絡(luò)信息安全的評估標(biāo)準(zhǔn)體系。

2.2 當(dāng)前在網(wǎng)絡(luò)技術(shù)上主要的、通用的、主流的信息安全評估標(biāo)準(zhǔn)規(guī)范

2.2.1 歐美等西方國家的通用安全標(biāo)準(zhǔn)準(zhǔn)則

1) 美國可信計算機(jī)安全評價標(biāo)準(zhǔn)（TCSEC）

2) 歐洲網(wǎng)絡(luò)安全評價標(biāo)準(zhǔn)（ITSEC）

3) 國際網(wǎng)絡(luò)安全通用準(zhǔn)則（CC）

2.2.2 我國制定的網(wǎng)絡(luò)系統(tǒng)安全評估標(biāo)準(zhǔn)準(zhǔn)則

1) 《國家信息技術(shù)安全性評估的通用準(zhǔn)則》GB/T 18336標(biāo)準(zhǔn)

2) 公安部《信息網(wǎng)絡(luò)安全等級管理辦法》

3) BMZ1-2000《信息系統(tǒng)分級保護(hù)技術(shù)要求》

4) 《GJB 2646-96軍用計算機(jī)安全評估準(zhǔn)則》

5) 《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》等

3 安全評估過程模型

目前比較通用的對網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全評估的流程主要包括信息系統(tǒng)的資產(chǎn)（需保護(hù)的目標(biāo)）識別、威脅識別、脆弱性識別、安全措施分析、安全事件影響分析以及綜合風(fēng)險判定等。

對測評流程基本邏輯模型的構(gòu)想如圖1所示。

在這個測試評估模型中，主要包括6方面的內(nèi)容：

1) 系統(tǒng)分析：對信息系統(tǒng)的安全需求進(jìn)行分析；

2) 識別關(guān)鍵資產(chǎn)：根據(jù)系統(tǒng)分析的結(jié)果識別出系統(tǒng)的重要資產(chǎn)；

3) 識別威脅：識別出系統(tǒng)主要的安全威脅以及威脅的途徑和方式；

4) 識別脆弱性：識別出系統(tǒng)在技術(shù)上的缺陷、漏洞、薄弱環(huán)節(jié)等；

5) 分析影響：分析安全事件對系統(tǒng)可能造成的影響；

6) 風(fēng)險評估：綜合關(guān)鍵資產(chǎn)、威脅因素、脆弱性及控制措施，綜合事件影響，評估系統(tǒng)面臨的風(fēng)險。

4 網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢評估

安全態(tài)勢評估是進(jìn)行網(wǎng)絡(luò)系統(tǒng)級安全評估的重要環(huán)節(jié)，合理的安全態(tài)勢評估方法可以有效地評定威脅級別不同的安全事件。對系統(tǒng)安全進(jìn)行評估通常與攻擊給網(wǎng)絡(luò)帶來的損失是相對應(yīng)的，造成的損失越大，說明攻擊越嚴(yán)重、網(wǎng)絡(luò)安全狀況越差。通過攻擊的損失可以評估攻擊的嚴(yán)重程度，從而評估網(wǎng)絡(luò)安全狀況。

結(jié)合網(wǎng)絡(luò)資產(chǎn)安全價值進(jìn)行評估的具體算法如下：

設(shè)SERG為待評估安全事件關(guān)聯(lián)圖：

定義

IF(threatTa){AddSERGTToHighigh ImpactSetAndReport}

其中，SERG表示安全事件關(guān)聯(lián)，SERGStatei表示攻擊者獲取的直接資源列表；ASV(a)表示對應(yīng)資產(chǎn)a的資產(chǎn)安全價值；Ta表示可以接受的威脅閥值；HighImpactSet表示高風(fēng)險事件集合。

常用的對一個網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全態(tài)勢評估的算法有如下幾種。

4.1 專家評估法（Delphi法）

專家法也稱專家征詢法（Delphi法），其基本步驟如下：

1) 選擇專家：這是很重要的一步，選的好與不好將直接影響到結(jié)果的準(zhǔn)確性，一般情況下，應(yīng)有網(wǎng)絡(luò)安全領(lǐng)域中既有實際工作經(jīng)驗又有較深理論修養(yǎng)的專家10人以上參與評估，專家數(shù)目太少時則影響此方法的準(zhǔn)確性；

2) 確定出與網(wǎng)絡(luò)系統(tǒng)安全相關(guān)的m個被評估指標(biāo)，將這些指標(biāo)以及統(tǒng)一的權(quán)數(shù)確定規(guī)則發(fā)給選定的各位專家，由他們各自獨(dú)立地給出自己所認(rèn)為的對每一個指標(biāo)的安全態(tài)勢評價（Xi）以及每一個評價指標(biāo)在網(wǎng)絡(luò)系統(tǒng)整體安全態(tài)勢評估中所占有的比重權(quán)值（Wi）；

3) 回收專家們的評估結(jié)果并計算各安全態(tài)勢指標(biāo)及指標(biāo)權(quán)數(shù)的均值和標(biāo)準(zhǔn)差：

計算估計值和平均估計值的偏差

4) 將計算結(jié)果及補(bǔ)充材料返還給各位專家，要求所有的專家在新的基礎(chǔ)上重新確定各指標(biāo)安全態(tài)勢及所占有的安全評價權(quán)重；

5) 重復(fù)上面兩步，直至各指標(biāo)權(quán)數(shù)與其均值的離差不超過預(yù)先給定的標(biāo)準(zhǔn)為止，也就是各專家的意見基本趨于一致，以此時對該指標(biāo)的安全評價作為系統(tǒng)最終安全評價，并以此時各指標(biāo)權(quán)數(shù)的均值作為該指標(biāo)的權(quán)數(shù)。

歸納起來，專家法評估的核心思想就是采用匿名的方式，收集和征詢該領(lǐng)域?qū)＜覀兊囊庖姡瑢⑵浯饛?fù)作統(tǒng)計分析，再將分析結(jié)果反饋給領(lǐng)域?qū)＜遥瑫r進(jìn)一步就同一問題再次征詢專家意見，如此反復(fù)多輪，使專家們的意見逐漸集中到某個有限的范圍內(nèi)，然后將此結(jié)果用中位數(shù)和四分位數(shù)來表示。對各個征詢意見做統(tǒng)計分析和綜合歸納時，如果發(fā)現(xiàn)專家的評價意見離散度太大，很難取得一致意見時，可以再進(jìn)行幾輪征詢，然后再按照上述方法進(jìn)行統(tǒng)計分析，直至取得較為一致的意見為止。該方法適用于各種評價指標(biāo)之間相互獨(dú)立的場合，各指標(biāo)對綜合評價值的貢獻(xiàn)彼此沒有什么影響。若評價指標(biāo)之間不互相獨(dú)立，專家們比較分析的結(jié)果必然導(dǎo)致信息的重復(fù)，就難以得到符合客觀實際的綜合評價值。

4.2 基于“熵”的網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢評估

網(wǎng)絡(luò)安全性能評價指標(biāo)選取后，用一定的方法對其進(jìn)行量化，即可得到對網(wǎng)絡(luò)系統(tǒng)的安全性度量，而可把網(wǎng)絡(luò)系統(tǒng)受攻擊前后的安全性差值作為攻擊效果的一個測度。考慮到進(jìn)行網(wǎng)絡(luò)攻擊效果評估時，我們關(guān)心的只是網(wǎng)絡(luò)系統(tǒng)遭受攻擊前后安全性能的變化，借鑒信息論中“熵”的概念，可以提出評價網(wǎng)絡(luò)性能的“網(wǎng)絡(luò)熵”理論。“網(wǎng)絡(luò)熵”是對網(wǎng)絡(luò)安全性能的一種描述，“網(wǎng)絡(luò)熵”值越小，表明該網(wǎng)絡(luò)系統(tǒng)的安全性越好。對于網(wǎng)絡(luò)系統(tǒng)的某一項性能指標(biāo)來說，其熵值可以定義為：

Hi=-log2Vi

式中：Vi指網(wǎng)絡(luò)第i項指標(biāo)的歸一化參數(shù)。

網(wǎng)絡(luò)信息系統(tǒng)受到攻擊后，其安全功能下降，系統(tǒng)穩(wěn)定性變差，這些變化必然在某些網(wǎng)絡(luò)性能指標(biāo)上有所體現(xiàn)，相應(yīng)的網(wǎng)絡(luò)熵值也應(yīng)該有所變化。因此，可以用攻擊前后網(wǎng)絡(luò)熵值的變化量對攻擊效果進(jìn)行描述。

網(wǎng)絡(luò)熵的計算應(yīng)該綜合考慮影響網(wǎng)絡(luò)安全性能的各項指標(biāo)，其值為各單項指標(biāo)熵的加權(quán)和：

式中：n-影響網(wǎng)絡(luò)性能的指標(biāo)個數(shù)；

?Ai-第i項指標(biāo)的權(quán)重；

Hi第i項指標(biāo)的網(wǎng)絡(luò)熵。

在如何設(shè)定各網(wǎng)絡(luò)單項指標(biāo)的權(quán)重以逼真地反映其對整個網(wǎng)絡(luò)熵的貢獻(xiàn)時，設(shè)定的普遍通用的原則是根據(jù)網(wǎng)絡(luò)防護(hù)的目的和網(wǎng)絡(luò)服務(wù)的類型確定?Ai的值，在實際應(yīng)用中，?Ai值可以通過對各項指標(biāo)建立判斷矩陣，采用層次分析法逐層計算得出。一般而言，對網(wǎng)絡(luò)熵的設(shè)定時主要考慮以下三項指標(biāo)的網(wǎng)絡(luò)熵：

1) 網(wǎng)絡(luò)吞吐量：單位時間內(nèi)網(wǎng)絡(luò)結(jié)點(diǎn)之間成功傳送的無差錯的數(shù)據(jù)量；

2) 網(wǎng)絡(luò)響應(yīng)時間：網(wǎng)絡(luò)服務(wù)請求和響應(yīng)該請求之間的時間間隔；

3) 網(wǎng)絡(luò)延遲抖動：指平均延遲變化的時間量。

設(shè)網(wǎng)絡(luò)攻擊發(fā)生前，系統(tǒng)各指標(biāo)的網(wǎng)絡(luò)熵為H攻擊發(fā)生后，系統(tǒng)各指標(biāo)的網(wǎng)絡(luò)熵為 ,則網(wǎng)絡(luò)攻擊的效果可以表示為：

EH=H'-H

則有：

利用上式，僅需測得攻擊前后網(wǎng)絡(luò)的各項性能指標(biāo)參數(shù)（Vi,Vi'），并設(shè)定好各指標(biāo)的權(quán)重（?Ai），即可計算出網(wǎng)絡(luò)系統(tǒng)性能的損失，評估網(wǎng)絡(luò)系統(tǒng)受攻擊后的結(jié)果。EH是對網(wǎng)絡(luò)攻擊效果的定量描述，其值越大，表明網(wǎng)絡(luò)遭受攻擊后安全性能下降的越厲害，也就是說網(wǎng)絡(luò)安全性能越差。

國際標(biāo)準(zhǔn)中較為通用的根據(jù)EH值對網(wǎng)絡(luò)安全性能進(jìn)行評估的參考標(biāo)準(zhǔn)值如表1所示。

4.3模糊綜合評判法

模糊綜合評判法也是常用的一種對網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢進(jìn)行綜合評判的方法，它是根據(jù)模糊數(shù)學(xué)的基本理論，先選定被評估網(wǎng)絡(luò)系統(tǒng)的各評估指標(biāo)域，而后利用模糊關(guān)系合成原理，通過構(gòu)造等級模糊子集把反映被評事物的模糊指標(biāo)進(jìn)行量化（即確定隸屬度），然后利用模糊變換原理對各指標(biāo)進(jìn)行綜合。

模糊綜合評判法一般按以下程序進(jìn)行：

1) 確定評價對象的因素論域U

U={u1,u2,…,un}

也就是首先確定被評估網(wǎng)絡(luò)系統(tǒng)的n個網(wǎng)絡(luò)安全領(lǐng)域的評價指標(biāo)。

這一步主要是確定評價指標(biāo)體系，解決從哪些方面和用哪些因素來評價客觀對象的問題。

2) 確定評語等級論域V

V={v1,v2,…,vm}

也就是對確定的各個評價指標(biāo)的等級評定程度，即等級集合，每一個等級可對應(yīng)一個模糊子集。正是由于這一論域的確定，才使得模糊綜合評價得到一個模糊評判向量，被評價對象對評語等級隸屬度的信息通過這個模糊向量表示出來，體現(xiàn)出評判的模糊性。

從技術(shù)處理的角度來看，評語等級數(shù)m通常取3≤m≤7，若m過大會超過人的語義能力，不易判斷對象的等級歸屬；若m過小又可能不符合模糊綜合評判的質(zhì)量要求，故其取值以適中為宜。 取奇數(shù)的情況較多，因為這樣可以有一個中間等級，便于判斷被評事物的等級歸屬，具體等級可以依據(jù)評價內(nèi)容用適當(dāng)?shù)恼Z言描述，比如評價數(shù)據(jù)管理制度，可取V={號，較好，一般，較差，差}；評價防黑客入侵設(shè)施，可取V={強(qiáng)，中，弱}等。

3) 進(jìn)行單因素評價，建立模糊關(guān)系矩陣R

在構(gòu)造了等級模糊子集后，就要逐個對各被評價指標(biāo)ui確定其對各等級模糊子集vi的隸屬程度。這樣，可得到一個ui與vi間的模糊關(guān)系數(shù)據(jù)矩陣：

R=|r21r22…r2m|

式中：

rij表示U中因素ui對應(yīng)V中等級vi的隸屬關(guān)系，即因素ui隸屬于vi的等級程度。

4) 確定評判因素的模糊權(quán)向量集

一般說來，所確定的網(wǎng)絡(luò)安全的n個評價指標(biāo)對于網(wǎng)絡(luò)整體的安全態(tài)勢評估作用是不同的，各方面因素的表現(xiàn)在整體中所占的比重是不同的。

因此，定義了一個所謂模糊權(quán)向量集A的概念，該要素權(quán)向量集就是反映被評價指標(biāo)的各因素相對于整體評價指標(biāo)的重要程度。權(quán)向量的確定與其他評估方法相同，可采用層次分析等方法獲得。權(quán)向量集A可表示為：

A=(a1,a2,…,an)

并滿足如下關(guān)系：

5) 將A與R合成，得到被評估網(wǎng)絡(luò)系統(tǒng)的模糊綜合評判向量B

B=A?R

B=A?R= (a1,a2,…,an) |r21r22…r2m|

式中：

rij表示的是模糊關(guān)系數(shù)據(jù)矩陣R經(jīng)過與模糊權(quán)向量集A矩陣運(yùn)算后，得到的修正關(guān)系向量。

這樣做的意義在于使用模糊權(quán)向量集A矩陣來對關(guān)系隸屬矩陣R進(jìn)行修正，使得到的綜合評判向量更為客觀準(zhǔn)確。

6) 對模糊綜合評判結(jié)果B的歸一化處理

根據(jù)上一步的計算，得到了對網(wǎng)絡(luò)各安全評價指標(biāo)的評判結(jié)果向量集B=(b1,b2,…,bn)

由于對每個評價指標(biāo)的評判結(jié)果都是一個模糊向量，不便于各評價指標(biāo)間的排序評優(yōu)，因而還需要進(jìn)一步的分析處理。

對模糊綜合評判結(jié)果向量 進(jìn)行歸一化處理：

bj'=bj/n

從而得到各安全評價指標(biāo)的歸一化向量，從而對各歸一化向量進(jìn)行相應(yīng)。

5 結(jié)束語

本論文首先介紹了網(wǎng)絡(luò)安全評估技術(shù)的基本知識，然后對安全評估模型進(jìn)行了分析計算，闡述了網(wǎng)絡(luò)安全技術(shù)措施的有效性；最后對網(wǎng)絡(luò)安全態(tài)勢的評估給出了具體的算法和公式。通過本文的技術(shù)研究，基本上對網(wǎng)絡(luò)信息系統(tǒng)的安全評估技術(shù)有了初步的了解，下一步還將對安全評估的風(fēng)險、安全評估中相關(guān)聯(lián)的各項因素進(jìn)行研究。

參考文獻(xiàn)：

[1] 逮昭義.計算機(jī)通信網(wǎng)信息量理論[M].北京:電子工業(yè)出版社,1997:57-58.

[2] 張義榮.計算機(jī)網(wǎng)絡(luò)攻擊效果評估技術(shù)研究[J].國防科技大學(xué)學(xué)報,2002(5).

篇(5)

【關(guān)鍵詞】網(wǎng)絡(luò)數(shù)據(jù)分析 計算機(jī)網(wǎng)絡(luò)系統(tǒng) 系統(tǒng)開發(fā)

1 基于網(wǎng)絡(luò)數(shù)據(jù)分析的計算機(jī)網(wǎng)絡(luò)系統(tǒng)開發(fā)重要內(nèi)容

1.1 網(wǎng)絡(luò)系統(tǒng)安全性的保障

在開發(fā)過程中，要將安全性放在首要位置，觀察所進(jìn)行的開發(fā)任務(wù)是否符合現(xiàn)階段計算機(jī)軟件的使用需求，并根據(jù)網(wǎng)絡(luò)中比較常見的病毒類型來對系統(tǒng)軟件進(jìn)行加密，這樣能夠最大限度的降低使用威脅。軟件加密可以理解為開發(fā)過程中的重點(diǎn)內(nèi)容，關(guān)系到系統(tǒng)是否能夠在規(guī)定的標(biāo)準(zhǔn)內(nèi)達(dá)到使用安全標(biāo)準(zhǔn)，隨著系統(tǒng)使用時間的增加，很容易出現(xiàn)漏洞現(xiàn)象，此時所進(jìn)行的開發(fā)也要從軟件的更新方面來進(jìn)行，這樣在使用過程中即使遇到嚴(yán)重的安全性下降問題，也能夠通過后期的使用更新來得到解決。由此可見，在設(shè)計期間科學(xué)的利用網(wǎng)絡(luò)數(shù)據(jù)分析能夠使計算機(jī)網(wǎng)絡(luò)系統(tǒng)開發(fā)到達(dá)更理想的效果，這也是現(xiàn)階段開發(fā)技術(shù)中重點(diǎn)提升的部分功能，需要技術(shù)人員加強(qiáng)創(chuàng)新研究。

1.2 網(wǎng)絡(luò)數(shù)據(jù)分析在系統(tǒng)開發(fā)中的體現(xiàn)

運(yùn)動網(wǎng)絡(luò)數(shù)據(jù)分析能夠在短時間內(nèi)促進(jìn)軟件開發(fā)任務(wù)更好的進(jìn)行，同時這也是開發(fā)期間需要重點(diǎn)研究的內(nèi)容，針對傳統(tǒng)方法中所遇到的問題，在新型數(shù)據(jù)庫運(yùn)用時要作為重點(diǎn)解決的內(nèi)容。開發(fā)過程中如何運(yùn)用數(shù)據(jù)庫，其中包含了大量的數(shù)據(jù)分析內(nèi)容，并且能夠隨著使用過程中效果的不斷提升，來促進(jìn)管理計劃在其中更好的落實。軟件投入使用后對于病毒的檢測是自動進(jìn)行的，這樣能夠避免出現(xiàn)使用安全性下降的嚴(yán)重問題，同時也能夠確保使用期間操作人員更好的向系統(tǒng)發(fā)出指令，以免造成嚴(yán)重的安全不達(dá)標(biāo)現(xiàn)象。對網(wǎng)絡(luò)系統(tǒng)進(jìn)行加密處理，能夠確保其中的軟件得到更好的使用，并保護(hù)重要的數(shù)據(jù)信息不會丟失。

2 基于網(wǎng)絡(luò)數(shù)據(jù)分析的計算機(jī)網(wǎng)絡(luò)系統(tǒng)開發(fā)建議

2.1 進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)備份

在開發(fā)過程中，很容易出現(xiàn)不穩(wěn)定的現(xiàn)象，造成嚴(yán)重的數(shù)據(jù)信息丟失，針對這一問題，在開發(fā)過程中，需要針對爭議性比較大的部分?jǐn)?shù)據(jù)來進(jìn)行備份處理，將其保存在網(wǎng)絡(luò)存儲盤中，這樣即使開發(fā)期間軟件存儲系統(tǒng)出現(xiàn)問題，也能夠快速的通過網(wǎng)絡(luò)備份來對數(shù)據(jù)進(jìn)行還原處理，確保開發(fā)任務(wù)可以繼續(xù)順利進(jìn)行。在開發(fā)期間，所遇到的問題都能夠通過數(shù)據(jù)分析的合理運(yùn)用來得到快速解決，這也是計算機(jī)網(wǎng)絡(luò)軟件開發(fā)過程中技術(shù)先進(jìn)性的具體體現(xiàn)。在此環(huán)境下，技術(shù)人員應(yīng)當(dāng)針對經(jīng)驗來進(jìn)行相互交流，在短時間內(nèi)快速進(jìn)步，并達(dá)到理想的使用安全性標(biāo)準(zhǔn)，這樣后續(xù)的設(shè)計任務(wù)也能夠順利進(jìn)行，幫助提升軟件使用過程中的創(chuàng)新性，能夠在網(wǎng)絡(luò)環(huán)境中快速的完成數(shù)據(jù)補(bǔ)充與內(nèi)容更新。

2.2 提升軟件的使用兼容性

設(shè)計時兼容性的保障也是十分重要的，在這樣的環(huán)境下，開展開發(fā)任務(wù)需要通過框架結(jié)構(gòu)測試來觀察是否能夠適應(yīng)使用環(huán)境。在設(shè)計初期，如果發(fā)現(xiàn)兼容性不達(dá)標(biāo)的問題，可以通過對后續(xù)軟件設(shè)計框架的調(diào)整來達(dá)到理想的使用狀態(tài)，同時這也是設(shè)計期間需要重點(diǎn)注意的內(nèi)容，關(guān)系到系統(tǒng)的運(yùn)行使用的安全性，對于一些比較常見的安全性不足問題，在設(shè)計時會重點(diǎn)的優(yōu)化解決。以免造成嚴(yán)重的安全性下降問題。設(shè)計期間要合理運(yùn)用網(wǎng)絡(luò)數(shù)據(jù)分析功能，對軟件的數(shù)據(jù)組成進(jìn)行科學(xué)分析，并篩選出其中比較重要的部分?jǐn)?shù)據(jù)進(jìn)行備份處理，以備使用。

2.3 虛擬局域網(wǎng)的應(yīng)用

運(yùn)用虛擬局域網(wǎng)，能夠在短時間內(nèi)擴(kuò)大軟件的存儲功能，并幫助更好的提升使用過程中的軟件穩(wěn)定性。運(yùn)行期間，系統(tǒng)能夠在網(wǎng)絡(luò)平臺中自動的搜索更新數(shù)據(jù)庫，并在網(wǎng)絡(luò)允許的情況下自動完成更新任務(wù)，通過這種方法來幫助降低使用過程中的網(wǎng)絡(luò)安全性影響，并且在存儲功能與數(shù)據(jù)分析功能上都會有很明顯的進(jìn)步，這也是傳統(tǒng)方法中難以解決的，在這樣的環(huán)境中，網(wǎng)絡(luò)數(shù)據(jù)功能的實現(xiàn)會通過虛擬局域網(wǎng)部分。這種方法更方便對軟件的安全性進(jìn)行檢測，發(fā)現(xiàn)問題也能在局部范圍內(nèi)解決，不容易造成嚴(yán)重的安全性下降問題。設(shè)計技術(shù)的合理選擇直接關(guān)系到后續(xù)軟件是否能夠正常使用，并且在功能上也存在很多的不合理現(xiàn)象，針對傳統(tǒng)方法中存在的各類問題，能夠更好的解決，并促進(jìn)使用效果得到更多的發(fā)揮，解決網(wǎng)絡(luò)環(huán)境中所受到的安全威脅。明確重點(diǎn)的技術(shù)方法之后，在設(shè)計過程中需要科學(xué)的落實應(yīng)用，高效完成網(wǎng)絡(luò)系統(tǒng)的開發(fā)與設(shè)計任務(wù)。

3 結(jié)語

計算機(jī)網(wǎng)絡(luò)系統(tǒng)開發(fā)是一個長期且復(fù)雜的任務(wù)，即使現(xiàn)在的網(wǎng)絡(luò)技術(shù)已經(jīng)日漸成熟、網(wǎng)絡(luò)安全防范體系也日趨完善，但是網(wǎng)絡(luò)安全問題是相對存在的。因此，在實際計算機(jī)應(yīng)用管理中，只能根據(jù)網(wǎng)絡(luò)寬帶的特點(diǎn)和具體的應(yīng)用需求去找到平衡網(wǎng)絡(luò)安全和網(wǎng)絡(luò)性能，以此為指導(dǎo)思想來配置網(wǎng)絡(luò)安全軟件。

參考文獻(xiàn)

[1]劉勇.“計算機(jī)網(wǎng)絡(luò)實驗課程”仿真系統(tǒng)平臺的研究與設(shè)計[D].蘭州：蘭州理工大學(xué)，2013（03）.

[2]楊麗坤.計算機(jī)網(wǎng)絡(luò)辦公自動化系統(tǒng)開發(fā)技術(shù)研究[J].電子技術(shù)與軟件工程，2014（02）.

作者簡介

田海宇（1978-），男，現(xiàn)為黑龍江職業(yè)學(xué)院 信息工程學(xué)院講師。研究方向為計算機(jī)網(wǎng)絡(luò)。

篇(6)

關(guān)鍵詞 內(nèi)部網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

1 引言

目前，在我國的各個行業(yè)系統(tǒng)中，無論是涉及科學(xué)研究的大型研究所，還是擁有自主知識產(chǎn)權(quán)的發(fā)展中企業(yè)，都有大量的技術(shù)和業(yè)務(wù)機(jī)密存儲在計算機(jī)和網(wǎng)絡(luò)中，如何有效地保護(hù)這些機(jī)密數(shù)據(jù)信息，已引起各單位的巨大關(guān)注！

防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護(hù)手段，我們通常認(rèn)為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網(wǎng)絡(luò)，一套僅用于內(nèi)部員工辦公和資源共享，稱之為內(nèi)部網(wǎng)絡(luò)；另一套用于連接互聯(lián)網(wǎng)檢索資料，稱之為外部網(wǎng)絡(luò)，同時使內(nèi)外網(wǎng)物理斷開；另外采用防火墻、入侵檢測設(shè)備等。但是，各種計算機(jī)網(wǎng)絡(luò)、存儲數(shù)據(jù)遭受的攻擊和破壞，80%是內(nèi)部人員所為！(ComputerWorld，Jan-uary 2002)。來自內(nèi)部的數(shù)據(jù)失竊和破壞，遠(yuǎn)遠(yuǎn)高于外部黑客的攻擊！事實上，來自內(nèi)部的攻擊更易奏效！

2 內(nèi)部網(wǎng)絡(luò)更易受到攻擊

為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢?主要原因如下：

(1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分，基于Web的應(yīng)用在內(nèi)部網(wǎng)正日益普及，典型的應(yīng)用如財務(wù)系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等，這些大規(guī)模系統(tǒng)應(yīng)用密切依賴于內(nèi)部網(wǎng)絡(luò)的暢通。

(2)在對Internet嚴(yán)防死守和物理隔離的措施下，對網(wǎng)絡(luò)的破壞，大多數(shù)來自網(wǎng)絡(luò)內(nèi)部的安全空隙。另外也因為目前針對內(nèi)部網(wǎng)絡(luò)安全的重視程度不夠，系統(tǒng)的安裝有大量的漏洞沒有去打上補(bǔ)丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺，自然有更多的系統(tǒng)漏洞。

(3)黑客工具在Internet上很容易獲得，這些工具對Internet及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性。這是內(nèi)部人員(包括對計算機(jī)技術(shù)不熟悉的人)能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。

(4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。

(5)為了簡單和易用，在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的，這為別有用心者提供了竊取機(jī)密數(shù)據(jù)的可能性。

(6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對數(shù)據(jù)庫、直接對服務(wù)器進(jìn)行操作，利用內(nèi)網(wǎng)速度快的特性，對關(guān)鍵數(shù)據(jù)進(jìn)行竊取或者破壞。

(7)眾多的使用者所有不同的權(quán)限，管理更困難，系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對使用者的管理也不是很嚴(yán)格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。

(8)信息不僅僅限于服務(wù)器，同時也分布于各個工作計算機(jī)中，目前對個人硬盤上的信息缺乏有效的控制和監(jiān)督管理辦法。

(9)由于人們對口令的不重視，弱口令很容易產(chǎn)生，很多人用諸如生日、姓名等作為口令，在內(nèi)網(wǎng)中，黑客的口令破解程序更易奏效。

3 內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀

目前很多企事業(yè)單位都加快了企業(yè)信息化的進(jìn)程，在網(wǎng)絡(luò)平臺上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，并按照國家有關(guān)規(guī)定實行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離；在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的應(yīng)用如財務(wù)系統(tǒng)、PDM系統(tǒng)甚至到計算機(jī)集成制造(CIMS)或企業(yè)資源計劃(ERP)，逐步實現(xiàn)企業(yè)信息的高度集成，構(gòu)成完善的企事業(yè)問題解決鏈。

在網(wǎng)絡(luò)安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對安全的認(rèn)識，或是根據(jù)國家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定，購置部分網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡(luò)上，然而這些產(chǎn)品主要是針對外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對性強(qiáng)，但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、信息分散的特點(diǎn)，各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴(yán)密的、相互協(xié)同工作的安全體系。同時在安全性和費(fèi)用問題上形成一個相互對立的局面，如何在其中尋找到一個平衡點(diǎn)，也是眾多企業(yè)中普遍存在的焦點(diǎn)問題。

4 保護(hù)內(nèi)部網(wǎng)絡(luò)的安全

內(nèi)部網(wǎng)絡(luò)的安全威脅所造成的損失是顯而易見的，如何保護(hù)內(nèi)部網(wǎng)絡(luò)，使遭受的損失減少到最低限度是目前網(wǎng)絡(luò)安全研究人員不斷探索的目標(biāo)。筆者根據(jù)多年的網(wǎng)絡(luò)系統(tǒng)集成經(jīng)驗，形成自己對網(wǎng)絡(luò)安全的理解，闡述如下。

4.1 內(nèi)部網(wǎng)絡(luò)的安全體系

筆者認(rèn)為比較完整的內(nèi)部網(wǎng)絡(luò)的安全體系包括安全產(chǎn)品、安全技術(shù)和策略、安全管理以及安全制度等多個方面，整個體系為分層結(jié)構(gòu)，分為水平層面上的安全產(chǎn)品、安全技術(shù)和策略、安全管理，其在使用模式上是支配與被支配的關(guān)系。在垂直層面上為安全制度，從上至下地規(guī)定各個水平層面上的安全行為。

4.2 安全產(chǎn)品

安全產(chǎn)品是各種安全策略和安全制度的執(zhí)行載體。雖然有了安全制度，但在心理上既不能把制度理想化，也不能把人理想化，因此還必須有好的安全工具把安全管理的措施具體化。

目前市場上的網(wǎng)絡(luò)安全產(chǎn)品林林總總，功能也千差萬別，通常一個廠家的產(chǎn)品只在某個方面占據(jù)領(lǐng)先的地位，各個廠家的安全產(chǎn)品在遵守安全標(biāo)準(zhǔn)的同時，會利用廠家聯(lián)盟內(nèi)部的協(xié)議提供附加的功能。這些附加功能的實現(xiàn)是建立在全面使用同一廠家聯(lián)盟的產(chǎn)品基礎(chǔ)之上的。那么在選擇產(chǎn)品的時候會面臨這樣一個問題，即是選擇所需要的每個方面的頂尖產(chǎn)品呢，還是同一廠家聯(lián)盟的產(chǎn)品?筆者認(rèn)為選擇每個方面的頂尖產(chǎn)品在價格上會居高不下，而且在性能上并不能達(dá)到l+1等于2甚至大于2的效果。這是因為這些產(chǎn)品不存在內(nèi)部之間的協(xié)同工作，不能形成聯(lián)動的、動態(tài)的安全保護(hù)層，一方面使得這些網(wǎng)絡(luò)安全產(chǎn)品本身所具有的強(qiáng)大功效遠(yuǎn)沒有得到充分的發(fā)揮，另一方面，這些安全產(chǎn)品在技術(shù)實現(xiàn)上，有許多重復(fù)工作，這也影響了應(yīng)用的效率。因此網(wǎng)絡(luò)安全產(chǎn)品的選擇應(yīng)該是建立在相關(guān)安全產(chǎn)品能夠相互通信并協(xié)同工作的基礎(chǔ)上，即實現(xiàn)防火墻、IDS、病毒防護(hù)系統(tǒng)、信息審計系統(tǒng)等的互通與聯(lián)動，以實現(xiàn)最大程度和最快效果的安全保證。目前在國內(nèi)外都存在這樣的網(wǎng)絡(luò)安全聯(lián)盟實現(xiàn)產(chǎn)品之間的互聯(lián)互動，達(dá)到動態(tài)反應(yīng)的安全效果。

4.3 網(wǎng)絡(luò)安全技術(shù)和策略

內(nèi)部網(wǎng)絡(luò)的安全具體來說包括攻擊檢測、攻擊防范、攻擊后的恢復(fù)這三個大方向，那么安全技術(shù)和策略的實現(xiàn)也應(yīng)從這三個方面來考慮。

積極主動的安全策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內(nèi)部入侵者)層面。內(nèi)部安全漏洞在于人，而不是技術(shù)。因此，應(yīng)重點(diǎn)由發(fā)現(xiàn)問題并填補(bǔ)漏洞迅速轉(zhuǎn)向查出誰是破壞者、采取彌補(bǔ)措施并消除事件再發(fā)的可能性。如果不知道破壞者是誰，就無法解決問題。真正的安全策略的最佳工具應(yīng)包括實時審查目錄和服務(wù)器的功能，具體包括：不斷地自動監(jiān)視目錄，檢查用戶權(quán)限和用戶組帳戶有無變更；警惕地監(jiān)視服務(wù)器，檢查有無可疑的文件活動。無論未授權(quán)用戶企圖訪問敏感信息還是員工使用下載的工具蓄意破壞，真正的安全管理工具會通知相應(yīng)管理員，并自動采取預(yù)定行動。

在積極查詢的同時，也應(yīng)該采用必要的攻擊防范手段。網(wǎng)絡(luò)中使用的一些應(yīng)用層協(xié)議，如HTTP、Telnet，其中的用戶名和密碼的傳遞采用的是明文傳遞的方式，極易被竊聽和獲取。因此對于數(shù)據(jù)的安全保護(hù)，理想的辦法是在內(nèi)部網(wǎng)絡(luò)中采用基于密碼技術(shù)的數(shù)字身份認(rèn)證和高強(qiáng)度的加密數(shù)據(jù)傳輸技術(shù)，同時采用安全的密鑰分發(fā)技術(shù)，這樣既防止用戶對業(yè)務(wù)的否認(rèn)和抵賴，同時又防止數(shù)據(jù)遭到竊聽后被破解，保證了數(shù)據(jù)在網(wǎng)上傳輸?shù)目煽啃浴９艉蠡謴?fù)首先是數(shù)據(jù)的安全存儲和備份，在發(fā)現(xiàn)遭受攻擊后可以利用備份的數(shù)據(jù)快速的恢復(fù)；針對WWW服務(wù)器網(wǎng)頁安全問題，實施對Web文件內(nèi)容的實時監(jiān)控，一旦發(fā)現(xiàn)被非法篡改，可及時報警并自動恢復(fù)，同時形成監(jiān)控和恢復(fù)日志，并提供友好的用戶界面以便用戶查看、使用，有效地保證了Web文件的完整性和真實性。

4.4 安全管理

安全管理主要是指安全管理人員。有了好的安全工具和策略，還必須有好的安全管理人員來有效的使用工具和實現(xiàn)策略。經(jīng)過培訓(xùn)的安全管理員能夠隨時掌握網(wǎng)絡(luò)安全的最新動態(tài)，實時監(jiān)控網(wǎng)絡(luò)上的用戶行為，保障網(wǎng)絡(luò)設(shè)備自身和網(wǎng)上信息的安全，并對可能存在的網(wǎng)絡(luò)威脅有一定的預(yù)見能力和采取相應(yīng)的應(yīng)對措施，同時對已經(jīng)發(fā)生的網(wǎng)絡(luò)破壞行為在最短的時間內(nèi)做出響應(yīng)，使企業(yè)的損失減少到最低限度。

企業(yè)領(lǐng)導(dǎo)在認(rèn)識到網(wǎng)絡(luò)安全的重要性的同時，應(yīng)當(dāng)投入相當(dāng)?shù)慕?jīng)費(fèi)用于網(wǎng)絡(luò)安全管理人員的培訓(xùn)，或者聘請安全服務(wù)提供商來維護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

4.5 網(wǎng)絡(luò)安全制度

網(wǎng)絡(luò)安全的威脅來自人對網(wǎng)絡(luò)的使用，因此好的網(wǎng)絡(luò)安全管理首先是對人的約束，企業(yè)并不缺乏對人的管理辦法，但在網(wǎng)絡(luò)安全方面常常忽視對網(wǎng)絡(luò)使用者的控制。要從網(wǎng)絡(luò)安全的角度來實施對人的管理，企業(yè)的領(lǐng)導(dǎo)必須首先認(rèn)識到網(wǎng)絡(luò)安全的重要性，惟有領(lǐng)導(dǎo)重視了，員工才會普遍重視，在此基礎(chǔ)上制定相應(yīng)的政策法規(guī)，使網(wǎng)絡(luò)安全的相關(guān)問題做到有法可依、有據(jù)可查、有功必獎、有過必懲，最大限度地提高員工的安全意識和安全技能，并在一定程度上造成對蓄意破壞分子的心理震懾。

目前許多企業(yè)已認(rèn)識到網(wǎng)絡(luò)安全的重要性，已采取了一些措施并購買了相應(yīng)的設(shè)備，但在網(wǎng)絡(luò)安全法規(guī)上還沒有清醒的認(rèn)識，或者是沒有較為系統(tǒng)和完善的制度，這樣在企業(yè)上下往往會造成對網(wǎng)絡(luò)安全的忽視，給不法分子以可乘之機(jī)。國際上，以ISO17799/BSI7799為基礎(chǔ)的信息安全管理體系已經(jīng)確立，并已被廣泛采用，企業(yè)可以此為標(biāo)準(zhǔn)開展安全制度的建立工作。具體應(yīng)當(dāng)明確企業(yè)領(lǐng)導(dǎo)、安全管理員、財物人員、采購人員、銷售人員和其它辦公人員等各自的安全職責(zé)。安全組織應(yīng)當(dāng)有企業(yè)高層掛帥，由專職的安全管理員負(fù)責(zé)安全設(shè)備的管理與維護(hù)，監(jiān)督其它人員設(shè)備安全配置的執(zhí)行情況。單位還應(yīng)形成定期的安全評審機(jī)制。只有通過以上手段加強(qiáng)安全管理，才能保證由安全產(chǎn)品和安全技術(shù)組成的安全防護(hù)體系能夠被有效地使用。

篇(7)

關(guān)鍵詞：電子政務(wù)；開放源碼；安全

中圖分類號：TP309文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)22-750-02

Application of Open Source in the Security of Electronic Government

ZHAO Zhen-yong1, ZONG Chang-rong2

(1. Department of Information Technology, Changzhou Textile Garment Institute, Changzhou 213164, China; 2. Hydrology and Water Resource Worthy Measured by the Bureau of Yancheng, Yancheng 224000, China)

Abstract: With starting of electronic government, more and more people focus on the security of electronic government. While the internet brings us the convenience and the government department strengthens infrastructure of electronic government, the government department consider the security problem fully. For the sake of existing monopoly software group manage the secure software, and for the short of funds, the open-source project seems to be a feasible method to solve the problem. In this paper, according to the quality of open-source including free of charge, code-transparency and flexibility of application programs, I proposed an integrated low-cost and high-security experimental plan.

Key words: electronic government; open source; security

1 引言

電子政務(wù)關(guān)系到國家安全和政府工作的正常運(yùn)轉(zhuǎn)，積極采用安全技術(shù)、認(rèn)真研究防范措施、預(yù)防病毒感染和黑客入侵等安全問題，是電子政務(wù)建設(shè)中的關(guān)鍵。隨著互聯(lián)網(wǎng)的高速發(fā)展，電子政務(wù)策略被各國政府廣泛使用和不斷擴(kuò)充完善。然而它的興起，也對網(wǎng)絡(luò)安全提出了更高的要求，重視安全問題對于電子政務(wù)的重要性是不言而喻的。電子政務(wù)是一個將政府工作標(biāo)準(zhǔn)化、政府工作服務(wù)化、政府工作信息化、政府工作網(wǎng)絡(luò)化、政府工作公開化的系統(tǒng)工程。電子政務(wù)提供科學(xué)決策、監(jiān)管控制、大眾服務(wù)的功能，信息安全是其成功的保證。解決好信息共享與保密 性的關(guān)系、開放性與保護(hù)隱私的關(guān)系、互聯(lián)性與局部隔離的關(guān)系，是實現(xiàn)安全電子政務(wù)的前提。

由以上要求可見，政府有必要更新舊有的軟硬件系統(tǒng)。從經(jīng)濟(jì)的角度來看，這就意味著一個長期持續(xù)的資本投入。因此，成本低廉的開放源碼[1,3]來實現(xiàn)其軟件部分成為一個行之有效的方法，而現(xiàn)在面臨的問題就是：開放源碼軟件能在多大程度上替換或是完全取代專利軟件，文章由此問題，提出了使用開放源碼來解決電子政務(wù)[2]安全的一個高安全低成本方案。

2 面臨的問題及其技術(shù)分析

2.1 電子政務(wù)的安全問題

2.1.1 網(wǎng)絡(luò)安全[4]域的劃分和控制問題

顯然，安全與開放是矛盾的，這個在電子政務(wù)的應(yīng)用中也同樣存在且顯得尤為重要。電子政務(wù)中的信息涉及到國家秘密、國家安全，因此它需要絕對的安全。同時電子政務(wù)現(xiàn)在很重要的發(fā)展方向，一是要為社會提供行政監(jiān)管的渠道，二是要為社會提供公共服務(wù)。如社保醫(yī)保、大量的公眾咨詢、投訴等等，它同時又需要一定程度的開放。因此如何合理地劃分安全域就顯得非常重要。如一些單位采用VPN形式進(jìn)行某些業(yè)務(wù)操作，但是操作中的部分?jǐn)?shù)據(jù)又想通過Web方式給公眾瀏覽，這時就存在網(wǎng)絡(luò)拓?fù)渲蠾eb應(yīng)該擺在什么位置、業(yè)務(wù)數(shù)據(jù)中心庫應(yīng)該擺在什么位置、如何利用防火墻等網(wǎng)絡(luò)安全設(shè)備合理劃分這些域等等問題。

2.1.2 電子政務(wù)的信任體系問題

電子政務(wù)要做到比較完善的安全保障體系，第三方認(rèn)證是必不可少的。只有通過一定級別的第三方認(rèn)證，才能說建立了一套完善的信任體系。

2.1.3 數(shù)字簽名（簽發(fā)）問題

在電子政務(wù)中，要真正實行無紙化辦公，很重要的一點(diǎn)是實現(xiàn)電子公文的流轉(zhuǎn)，而在這之中，數(shù)字簽名（簽發(fā)）問題又是重中之重。原因在于這是使公文有效的必要條件。一旦在這個環(huán)節(jié)上出了問題，可能就會出現(xiàn)很多假文件、錯文件，嚴(yán)重的將直接影響政府部門的正常運(yùn)作。但是，從目前的情況看，數(shù)字簽名系統(tǒng)不但在實際操作中存在能不能接受的問題，而且系統(tǒng)本身也都不是很完善。

2.2 PKI的基本架構(gòu)及常用的安全協(xié)議

PKI[4]技術(shù)的產(chǎn)生解決了電子安全依賴于一些基本的處理或服務(wù)來構(gòu)造能夠跨網(wǎng)絡(luò)傳送信息和服務(wù)的安全的解決方案。這些服務(wù)包括：鑒定；認(rèn)證；授權(quán)；完整性；機(jī)密性和不可否認(rèn)性。一個完整的PKI系統(tǒng)應(yīng)包括：認(rèn)證機(jī)構(gòu)CA-證書的簽發(fā)機(jī)構(gòu)，它是PKI的核心，是PKI應(yīng)用中權(quán)威的、可信任的、公正的第三方機(jī)構(gòu)。

從定義上來講，PKI是一個用非對稱密碼算法原理和技術(shù)來實現(xiàn)并提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施。它所遵循的公鑰加密技術(shù)為電子政務(wù)的順利開展提供了一套完整的安全基礎(chǔ)平臺。用戶利用PKI平臺提供的安全服務(wù)進(jìn)行安全通信。PKI這種遵循標(biāo)準(zhǔn)的密鑰管理平臺，能夠為所有在網(wǎng)絡(luò)上的應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理。

為了讓電子政務(wù)當(dāng)事人之間能夠彼此順利的進(jìn)行加解密，這些加解密技術(shù)都有一定的通訊安全協(xié)議規(guī)范，基于需求不同，目前市場上存在有好幾種不同的通訊安全協(xié)議，較常用的則有IPSec與SSL。

2.2.1 IPSec（IP-level security）

所謂IPSec是利用在IP層中進(jìn)行資料的加解密及認(rèn)證的通訊安全協(xié)議，其工作方式是在包封的TCP與IP數(shù)據(jù)包之間加入一個IPSec的報文，提供認(rèn)證與加解密資料。

2.2.2 SSL（Secure Socket Layer）

SSL是由網(wǎng)景公司提出的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，能與所有的互聯(lián)網(wǎng)上的工具配合，主要是在應(yīng)用層與TCP中間進(jìn)行加解密與認(rèn)證操作。SSL協(xié)議是由用戶端與認(rèn)證服務(wù)器端經(jīng)過幾道認(rèn)證程序后，用公開密鑰的方法產(chǎn)生私鑰，然后建立SSL連接，進(jìn)行秘密通訊，是目前運(yùn)用最為廣泛的安全協(xié)議。

3 電子政務(wù)安全網(wǎng)絡(luò)構(gòu)建的開放源碼解決方案

3.1 通用策略

欲保障電子政務(wù)自身網(wǎng)絡(luò)的安全，大致可遵循以下幾個策略[4,8]，循環(huán)執(zhí)行，以保證達(dá)到預(yù)期目標(biāo)：

3.1.1 物理安全策略

通過正確設(shè)定設(shè)備及網(wǎng)絡(luò)來保障實體的安全，包括網(wǎng)絡(luò)物理隔離和放火墻的建立。

3.1.2 數(shù)據(jù)加密及身份認(rèn)證策略

數(shù)據(jù)加密過程由各種加密算法來實現(xiàn)，它是以很小的代價提供較大安全保護(hù)的一種方法；而身份認(rèn)證進(jìn)一步鞏固了這種方法的效果，只有合法身份的用戶才能與系統(tǒng)或其他用戶建立連接，從而限制了危險發(fā)生的范圍。

3.1.3 偵測策略

記錄下影響系統(tǒng)安全的訪問和訪問企圖留下的線索，以便事后分析和追查。其目標(biāo)是檢測和判定對系統(tǒng)的惡意攻擊和誤操作，對用戶的非法活動起到威懾作用，為系統(tǒng)安全提供進(jìn)一步的安全可靠性。

3.1.4 回應(yīng)策略

采用入侵檢測的方法，當(dāng)發(fā)生內(nèi)部攻擊、外部攻擊和誤操作時能進(jìn)行實時識別和響應(yīng)，有效檢測、審計、評估網(wǎng)絡(luò)系統(tǒng)。

3.1.5 完善策略

根據(jù)偵測與回應(yīng)分析的結(jié)果，實施安全的策略和程序的修正，并更新安全防護(hù)工具或網(wǎng)絡(luò)結(jié)構(gòu)設(shè)定來改善漏洞。

3.2 輔助解決方案

除了以上介紹的通用的安全策略外，接下來，作者將按電子政務(wù)上可能用到的一些協(xié)議及工具：SSL、認(rèn)證機(jī)構(gòu)（CA）、入侵檢測系統(tǒng)（IDS）及防火墻，來分述其開放源碼的解決方案。

3.2.1 SSL

其主要是在應(yīng)用層與TCP層中間進(jìn)行加解密與認(rèn)證的操作。常用的開放源碼是OpenSSL項目，該程序可從中獲得。該項目是以Eric A.Young 及Tim J.Hudsion的SSLeay程序庫為基礎(chǔ)。OpenSSL項目的目的是希望通過協(xié)同合作來發(fā)展鞏固商業(yè)級、全功能的開源碼工具套件。

3.2.2 認(rèn)證機(jī)構(gòu)（CA）

OpenCA[5,6]是一個開放源碼項目，旨在建立一個功能強(qiáng)大的、健壯的CA系統(tǒng)，實現(xiàn)確認(rèn)使用者身份、確保數(shù)字簽名的真實性和傳輸安全及不可否認(rèn)等功能，常用的開放源碼是OpenCA PKI 項目，該程序可從其官方網(wǎng)站 獲得。OpenCA由Perl作為CGI腳本開發(fā)，配置使用了多個開放源碼項目：OpenSSL, OpenLDAP, Apache Project 和Apache Mod_SSL。OpenCA項目目前正在進(jìn)行以下兩項主要工作：研究及改良安全架構(gòu)以確保CA能在最佳的模型下運(yùn)行；發(fā)展易于安裝及管理的CA系統(tǒng)。

3.2.3 入侵檢測系統(tǒng)（IDS）

入侵檢測主要用來偵測網(wǎng)絡(luò)上的IP數(shù)據(jù)包，當(dāng)有包符合入侵攻擊的特征時，將會使用各種方式提出各種方式的警告，而不是用來阻擋入侵者。其用途則是根據(jù)發(fā)現(xiàn)黑客在網(wǎng)絡(luò)上的行蹤、統(tǒng)計網(wǎng)絡(luò)的危險行為以及評估網(wǎng)絡(luò)被黑客攻陷的程度。IDS常用的開放源碼是Snort項目，該程序可從 獲得。Snort屬于勿用檢測模式（Misuesed Detection Model），提供實時分析網(wǎng)絡(luò)流量、比較報文內(nèi)容、檢測各種的網(wǎng)絡(luò)攻擊及探測，例如，緩沖溢出（buffer overflow）、秘密探測（stealth probe）、CGI攻擊、OS辯識等[7,8]。

3.2.4 防火墻

主要用來限制外部使用者對內(nèi)部網(wǎng)站的存取和接入，常見的開放源碼是IPChains項目，該程序已經(jīng)封裝在多個Linux的發(fā)行版本中，也可以通過/ipchains獲得。它是報文過濾式的防火墻，可以將每一個取得的報文按照管理員的設(shè)定規(guī)則去進(jìn)行過濾，看是否允許或拒絕報文傳送。

另一種常見的具有服務(wù)器式的防火墻功能的開源碼項目則是T.Rex，該程序可從獲得。它是一套將多種開放源碼產(chǎn)品融合到一起的一個高度整合型的企業(yè)安全套件。它具有應(yīng)用程序服務(wù)、提供高度安全及應(yīng)用程序的存取控制，并提供相關(guān)的API以便自身進(jìn)行擴(kuò)展。

4 結(jié)束語

電子政務(wù)的高度安全是直接到影響系統(tǒng)在規(guī)定時間內(nèi)低成本正常運(yùn)作和間接影響公眾對政府信心的先決條件。綜上所述，開放源碼方案在其中可以充分發(fā)揮其作用，開放源代碼項目由于其低成本、透明性及可靠性越來越多的受到人們的重視，特別是在網(wǎng)絡(luò)安全解決方案中。這不僅因為它能顯著降低用戶成本，還由于它良好的口碑，較高的安全性。雖然開放本身就對安全隱私有著本質(zhì)上的沖突，不過只要相關(guān)計劃保障充分，源代碼閱讀的人數(shù)足夠多，任何程序的疏漏就能很快反映出來，被迅速修正或加強(qiáng)，這樣反而比非開放式的黑盒子程序要安全。

參考文獻(xiàn)：

[1] .

[2] Crabone, G., and Stoddard, D., Open Source Enterprise Solutions: Developing an E-Business Strategy, John Wiley & Sons, 2001.

[3] Raymond, E. S., The Cathedral and the Bazaar, Revised Edition, O'Reilly, 2001.

[4] 傅莉. 計算機(jī)網(wǎng)絡(luò)安全的十大策略[J]. 現(xiàn)代通信,2004,(3):24-25.

[5] Xenitellis, S., "The Open-source PKI Book" OpenCA Team, 2000.

[6] .