當前網絡安全形勢范文
時間:2023-09-15 17:33:42
導語:如何才能寫好一篇當前網絡安全形勢,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:云計算 網絡安全 態勢評估 態勢預測
中圖分類號:TP309 文獻標識碼:A 文章編號:1007-9416(2016)05-0000-00
1 云計算網絡安全態勢評估
信息安全態勢評估領域的專家探討了整個使用云計算系統的實現過程,也就是課題中探究的云計算的整個網絡安全態勢評估,它是一種目前來看相對比較新型的這樣一個網絡安全技術,在同一時間或研究的焦點之一。多個技術的完美結合不僅可以監控具體的一個網絡操作,同時還能夠很好的完成預測未來這樣的一段時間內網絡的整個狀態情況,以及中途中可能會遭受攻擊的這些可能性等。本課題中探究了安全形勢評估能夠相對來說較好地幫助到我們的網絡管理員更快速并且還能夠更加準確的處理這些網絡安全的這樣一些問題。在課題探究我們的整個網絡信息安全有一個良好的發展可能性。對于在云計算網絡安全實際上是由數據挖掘技術以及探究具體風險評估和其他技術,更重要的是能夠研究人員編程的能力,是一個全面的學術。
2 云計算網絡安全態勢評估技術
2.1 網絡安全態勢評估
本課題重點探究安全態勢具體評估的實現,實際上就是通過收集一些原始的數據并完成這樣的一些預處理,并且能夠較好地去實現信息系統安全的整個事件,同時在某些安全事件出現的過程當中,需要使用這樣的一些數學模型或者是具體的一些處理的方法,并且在最后能夠得到一個概率值,同時還能夠外為網絡安全管理提供一定的參考。態勢感知層,也就是態勢評估的基礎模型。現在擁有了非常成熟的一個技術,同時還可以獲得足夠的這樣一些態勢數據的水平。同時還能夠通過已經收集到的這些數據,并且在當前的整個網絡狀態的所有這些信息。為了最后能夠完成整個評估工作,通常來說情境信息轉變成人們會更加容易理解的這樣一個形式,比如這個XML等等。二是形勢預測,能夠更具前后的一個網絡安全形勢,判斷安全形勢,并且最后完成預測未來早期響應策略和處理方法。最后說到的是第三層是一層評估作為我們整個評估模型的一個核心。
2.2 安全態勢值的計算
網絡安全態勢值是能夠最為清楚地代表網絡運行狀態和趨勢的大小值,并且對于更大的網絡操作是更加地不穩定,同時也是更加危險。在這一系列的這些全部數學統計之后,能夠在收集這些所有數據并完成之后的預處理后,能夠較好完成數據轉換為一組或幾組的這樣一個數據,以及可以得到具體的這樣態勢值。對于網絡安全能不能利用現在的這樣一整個安全形勢值處理情況下,并且能夠在利用已有的這樣一個安全形勢相比的這樣價值判斷;通常來說具體網絡受到的損害程度可能夠具體判斷其中的一個差異。本課題中網絡安全態勢值的大小與不同的網絡運行狀態和變化,例如說在網絡受到攻擊,受到不同類型的攻擊。在這些具體數據發生變化,可以判斷網絡安全管理網絡安全的情況,然后確定網絡是否受到威脅。
3云計算身份認證系統設計
3.1認證模型設計
本文在對身份認證數據采集完成之后,是能夠容易地看出身份認證技術在這其中起著關鍵作用。現在應用程序的云計算系統,通常來說我們的租戶是要先通過輸入用戶名還有具體密碼,由于大部分的這些租戶身份驗證的云服務提供商使用單點登錄,同時這些網絡攻擊者也就有機會能夠得到客戶留下的這些信息。我們要確保租戶信息本身的安全當他們登錄到云計算系統,在課題中是設計并實現了一個動態雙因素身份驗證。在使用此身份驗證系統,與傳統的雙因素身份驗證方法相比,在很大程度上提高了用戶認證的安全性,并且能夠有效地降低設備成本。
3.2 云計算服務設計
本課題探究的系統,用戶在訪問云計算服務,是能夠通過下載整個的認證程序中,通常來說我們的每個租戶是會有自己已經下載好的程序,同時還能夠實現互相之間的一個綁定。在我們的認證碼驗證之后,同時再加上自己的用戶名和密碼就會登錄到我們的這樣一個云計算服務。倘若說我們在獲取驗證碼后,及時性,驗證了失敗后一段時間后,當承租人登錄或登錄超時后,認證碼失敗,租戶可以得到一個新的身份驗證代碼再運行這個程序。在驗證的時候,我們想到的期間用了多少時間要做到這一點,一般來說在運行程序的整個過程中,每次運行時間會有所不同,所以以時間參考,是能夠實現生成動態認證碼。
4 結語
本課題中通過技術手段,預測未來發展方向和趨勢的一些東西,實際上在大多數行業具很高的研究價值。現在來說數據挖掘是最流行的技術之一,通過已有的大量似乎沒有任何關聯的一些數據中去挖掘出有用的一些信息,從而完成預測之后實際上會出現的一些情況,為了便于安排適當的行動。本課題探究的系統模型包括了網絡安全態勢要素提取、網絡安全態勢值的計算方法。課題中還探究如何根據最初的云模型映射算法的這樣一個缺陷,得到了一個新的映射算法,同時也驗證了改進算法的有效性。
參考文獻
[1] 張翔,胡昌振.基于支持向量機的網絡攻擊態勢預測技術研究[J].計算機工程,200733(11):10-12.
[2] 周俊杰.基于層次化的網絡信息系統可生存性定量分析研究[D].華東師范大學,2008.
篇2
關鍵詞:局域網;安全;防護措施
中圖分類號:TN8 文獻標識碼:A
1局域網安全形勢分析
隨著社會經濟的飛速發展,人們對生活質量的要求也越來越高。互聯網的迅速普及,使廣域網應用和局域網應用成為企事業發展中不可缺少的一部分。然而,在感受網絡所帶來的便利的同時,也面臨著各種各樣的進攻和威脅:機密泄漏、數據丟失、網絡濫用、身份冒用、非法入侵等等。目前在廣域網中已有了相對完善的安全防御體系,防火墻、防毒墻、IDS等重要的安全設施大致集中在機房或網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。但在局域網中,雖然有些企業也建立了相應的局域網絡安全系統,并制定了相應的網絡安全使用制度,但在實際使用中,并未起到較好的效果。由于用戶對操作系統安全使用策略的配置及各種技術選項意義不明確,各種安全工具得不到正確的使用,導致系統漏洞、違規軟件、病毒、惡意代碼入侵等現象層出不窮。針對來自網絡內部的計算機客戶端缺乏必要和有效的安全管理措施,導致未經授權的網絡設備或用戶就可能通過局域網的網絡設備自動進入網絡,形成極大的安全隱患。目前局域網的安全隱患正是來自網絡系統本身存在的安全弱點,而系統在使用和管理過程的疏漏則增加了安全問題的嚴重程度,局域網安全形勢十分嚴峻,不可忽視。
2局域網安全隱患分析
由于局域網的結構和采用的技術比較簡單,僅包括少數網絡設備,安全措施相對較少,這給病毒傳播提供了有效的通道,為數據信息的安全埋下了隱患。通常局域網的安全威脅有以下幾類:
2.1漏洞和黑客攻擊
由于局域網的主要功能就是資源共享,而正是由于共享資源的“數據開放性”,導致系統存在很多漏洞,黑客就是利用了這些系統漏洞對系統進行攻擊,對數據信息進行篡改和刪除。最常用的手段就是冒充一些真正的網站來騙取用戶的敏感數據,如用戶名、口令、賬號ID或信用卡詳細信息等。由于用戶缺乏數據備份和系統管理等方面的安全意識和安全手段,因此經常會造成數據丟失、信息泄漏等問題。
2.2病毒威脅
由于網絡用戶不及時安裝防病毒軟件和操作系統補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。病毒和惡意代碼攻擊電腦后,輕則使系統工作效率下降,重則造成系統死機或癱瘓,使部分文件或全部數據丟失,甚至造成計算機硬件設備的損壞,嚴重影響正常工作。
2.3 用戶安全意識不強
許多用戶使用移動存儲設備來進行數據傳遞,經常將外部數據不經過必要的安全檢查就通過移動存儲設備帶入內部局域網,同時將內部數據帶出局域網,這給木馬、蠕蟲等病毒的進入提供了方便,同時也增加了數據泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在內外網之間頻繁切換使用,許多用戶將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用,造成病毒的傳入和機密信息的泄露。
3局域網安全控制分析
3.1人員網絡安全培訓
網絡安全是個系統,它是一個匯集了硬件、軟件、網絡、人員、協議等諸多元素的系統。從行業和組織的業務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環節落實到每個層次上。而進行這種具體操作的是人,人正是網絡安全中最薄弱的環節,然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理,注意管理方式和實現方法,從而加強工作人員的安全培訓,增強內部人員的安全防范意識,提高內部管理人員整體素質。對于局域網內部人員可以從以下幾方面進行培訓:
3.1.1加強安全意識培訓,讓每個工作人員明白數據信息安全的重要性,理解保證數據信息安全是所有計算機使用者共同的責任。
3.1.2加強安全知識培訓,使每個計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地數據,保證本地數據信息的安全可靠。
3.1.3加強網絡知識培訓,通過培訓掌握一定的網絡知識,能夠掌握IP地址的配置、數據的共享等網絡基本知識,樹立良好的計算機使用習慣。
3.2 局域網安全技術和防控措施
網絡安全管理是指保護網絡用戶資源與設備以及網絡管理系統本身不被未經授權的用戶訪問。目前網絡管理工作最重要的部分是客戶端安全,對網絡安全運行威脅最大的也是客戶端安全。只有解決網絡內部的安全問題,才可以排除網絡中最大的安全隱患,對于內部網絡終端安全管理主要從終端狀態、行為、事件三個方面進行防御。利用現有的安全管理軟件加強對以上三個方面的管理是當前解決局域網安全問題的關鍵所在。
3.2.1控制用戶訪問。入網訪問控制是保證網絡資源不被非法使用,是網絡安全防范和保護的主要策略,它為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制用戶入網的時間和在哪臺工作站入網。用戶被賦予一定的權限,網絡控制用戶可以訪問的目錄、文件和其他資源,指定用戶對這些文件、目錄、設備能夠執行的操作。啟用密碼策略,強制計算機用戶設置符合安全要求的密碼,包括設置口令鎖定服務器控制臺,以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據,提高系統安全行,對密碼不符合要求的計算機在多次警告后阻斷其連網。
篇3
關鍵詞:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式變革
l 引言
信息安全與網絡安全的概念正在與時俱進,它從早期的通信保密發展到關注信息的保密、完整、可用、可控和不可否認的信息安全,再到如今的信息保障和信息保障體系。單純的保密和靜態的保障模式都已經不能適應今天的需要。信息安全保障依賴人、操作和技術實現組織的業務運作,穩健的信息保障模式意味著信息保障和政策、步驟、技術與機制在整個組織的信息基礎設施的所有層面上均能得以實施。
近年以來,我國的信息安全形勢發生著影響深遠的變化,透過種種紛繁蕪雜的現象,可以發現一些規律和趨勢,一些未來信息安全保障模式變革初現端倪。
2 信息安全形勢及分析
據英國《簡氏戰略報告》和其它網絡組織對世界各國信息防護能力的評估,我國被列入防護能力最低的國家之一,排名大大低于美國、俄羅斯和以色列等信息安全強國,排在印度、韓國之后。我國已成為信息安全惡性事件的重災區,國內與網絡有關的各類違法行為以每年高于30%的速度遞增。根據國家互聯網應急響應中心的監測結果,目前我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入,其中銀行、金融和證券機構是黑客攻擊的重點。
在互聯網的催化下,計算機病毒領域正發生著深刻變革,病毒產業化經營的趨勢日益顯現。一條可怕的病毒產業鏈正悄然生成。
傳統的黑客尋找安全漏洞、編寫漏洞利用工具、傳播病毒、操控受害主機等環節都需要自己手工完成。然而,現在由于整個鏈條通過互聯網運作,從挖掘漏洞、漏洞利用、病毒傳播到受害主機的操控,已經形成了一個高效的流水線,不同的黑客可以選擇自己擅長的環節運作并牟取利潤,從而使得整個病毒產業的運作效率更高。黑客產業化經營產生了嚴重的負面影響:
首先,病毒產業鏈的形成意味著更高的生產效率。一些經驗豐富的黑客甚至可以編寫出自動化的處理程序對已有的病毒進行變形,從而生產出大量新種類的病毒。面對井噴式的病毒增長,當前的病毒防范技術存在以下三大局限:①新樣本巨量增加、單個樣本的生存期縮短,現有技術無法及時截獲新樣本。②即使能夠截獲,則每天高達數十萬的新樣本數量,也在嚴重考驗著對于樣本的分析、處理能力。③即使能夠分析處理,則如何能夠讓中斷在最短時間內獲取最新的病毒樣本庫,成為重要的問題。
其次,病毒產業鏈的形成意味著更多的未知漏洞被發現。在互聯網的協作模式下,黑客間通過共享技術和成果,漏洞挖掘能力大幅提升,速度遠遠超過了操作系統和軟件生產商的補丁速度。
再次,黑客通過租用更好的服務器、更大的帶寬,為漏洞利用和病毒傳播提供硬件上的便利;利用互聯網論壇、博客等,高級黑客雇傭“軟件民工”來編寫更強的驅動程序,加入病毒中加強對抗功能。大量軟件民工的加入,使得病毒產業鏈條更趨“正規化、專業化”,效率也進一步提高。
最后,黑客通過使用自動化的“肉雞”管理工具,達到控制海量的受害主機并且利用其作為繼續牟取商業利潤的目的。至此整個黑客產業內部形成了一個封閉的以黑客養黑客的“良性循環”圈。
3 漏洞挖捆與利用
病毒產業能有今天的局面,與其突破了漏洞挖掘的瓶頸息息相關。而漏洞挖掘也是我們尋找漏洞、彌補漏洞的有利工具,這是一柄雙刃劍。
3.1漏洞存在的必然性
首先,由于Internet中存在著大量早期的系統,包括低級設備、舊的系統等,擁有這些早期系統的組織沒有足夠的資源去維護、升級,從而保留了大量己知的未被修補的漏洞。其次,不斷升級中的系統和各種應用軟件,由于要盡快推向市場,往往沒有足夠的時間進行嚴格的測試,不可避免地存在大量安全隱患。再次,在軟件開發中,由于開發成本、開發周期、系統規模過分龐大等等原因,Bug的存在有其固有性,這些Bug往往是安全隱患的源頭。另外,過分龐大的網絡在連接、組織、管理等方面涉及到很多因素,不同的硬件平臺、不同的系統平臺、不同的應用服務交織在一起,在某種特定限制下安全的網絡,由于限制條件改變,也會漏洞百出。
3.2漏洞挖掘技術
漏洞挖掘技術并不單純的只使用一種方法,根據不同的應用有選擇地使用自下而上或者自上而下技術,發揮每種技術的優勢,才能達到更好的效果。下面是常用的漏洞挖掘方法:
(1)安全掃描技術。安全掃描也稱為脆弱性評估,其基本原理是采用模擬攻擊的方式對目標系統可能存在的已知安全漏洞進行逐項檢測。借助于安全掃描技術,人們可以發現主機和網絡系統存在的對外開放的端口、提供的服務、某些系統信息、錯誤的配置等,從而檢測出已知的安全漏洞,探查主機和網絡系統的入侵點。
(2)手工分析。針對開源軟件,手工分析一般是通過源碼閱讀工具,例如sourceinsight等,來提高源碼檢索和查詢的速度。簡單的分析一般都是先在系統中尋找strcpy0之類不安全的庫函數調用進行審查,進一步地審核安全庫函數和循環之類的使用。非開源軟件與開源軟件相比又有些不同,非開源軟件的主要局限性是由于只能在反匯編獲得的匯編代碼基礎上進行分析。在針對非開源軟件的漏洞分析中,反編引擎和調試器扮演了最蘑要的角色,如IDA Pro是目前性能較好的反匯編工具。
(3)靜態檢查。靜態檢查根據軟件類型分為兩類,針對開源軟件的靜態檢查和針對非開源軟件的靜態檢查。前者主要使用編譯技術在代碼掃描或者編譯期間確定相關的判斷信息,然后根據這些信息對特定的漏洞模型進行檢查。而后者主要是基于反匯編平臺IDAPro,使用自下而上的分析方法,對二進制文件中的庫函數調用,循環操作等做檢查,其側重點主要在于靜態的數據流回溯和對軟件的逆向工程。
(4)動態檢查。動態檢查也稱為運行時檢查,基本的原理就是通過操作系統提供的資源監視接口和調試接口獲取運行時目標程序的運行狀態和運行數據。目前常用的動態檢查方法主要有環境錯誤注入法和數據流分析法。以上介紹的各種漏洞挖掘技術之間并不是完全獨立的,各種技術往往通過融合來互相彌補缺陷,從而構造功能強大的漏洞挖掘工具。
篇4
關鍵詞:計算機網絡;安全問題;安全防范技術
計算機網絡技術是社會現代化不斷發展的產物,全球各地通過網絡建立了計算機網絡系統,為社會、經濟發展構建了一個很好的信息交流和信息共享平臺,大大加快了社會信息的傳播速度。但是隨著計算機網絡技術的不斷發展和應用,計算機網絡安全隱患也越來越多,計算機網絡安全主要指的是硬件、軟件數據資源在網絡系統運行中并不會受到偶然、惡意的攻擊和破壞,進而泄露信息,對計算機網絡系統的安全、可靠、持續運行造成巨大影響。如何做好計算機網絡的安全防范技術工作應該作為計算機網絡技術發展的重要任務。
1. 計算機網絡安全隱患
1.1網頁瀏覽過程中的安全漏洞
隨著計算機技術的不斷發展,互聯網技術日益完善,計算機網絡技術已經融入了社會生產以及人們日常生活中,雖然計算機網絡技術為人們帶來了很大便利,但是也帶來了很多安全隱患。近年來,個人隱私信息泄露的情況越來越多,網民們在瀏覽網頁的過程中會存在一些惡意插件,這樣會對網民造成巨大的困擾。瀏覽網頁的過程引起的安全隱患是當前主要的網絡信息危害之一。瀏覽器WEB服務器的安全性是導致網頁瀏覽安全隱患的主要技術漏洞,大多數網民不了解網頁開發技術,技術信息不對稱的話都會給人們帶來很大的安全隱患。
1.2計算機病毒
自從產生計算機技術以來,就已經有計算機病毒,而且隨著計算機網絡安全技術的升級,計算機病毒也隨之升級。實際上,計算機病毒也就是一種特殊的程序它會破壞計算機內部數據,而且可以在使用者不知情的情況下竊取用戶的電腦數據。因此,計算機病毒具有傳播性、破壞性、隱蔽性以及復制性等特點,近年來我國國內陸陸續續發生了很多利用計算機病毒來達到自己的非法目的的一些計算機網絡安全泄露事件,比如幾年前的“熊貓燒香”病毒軟件曾經對計算機網絡安全造成了很大的沖擊。
1.3防火墻配置安全不足導致安全隱患
在某段時期內,防火墻技術是計算機網絡安全技術的重要標志,防火前的軟件安全性是抵御外部風險的第一道有效屏障,在很大程度上維護了計算機網絡的安全運行。然而當前防火墻技術安全性常常會受到挑戰,如果非法的入侵者采用一些非法手段攻破了防火墻,就可以隨意自由的進入個人計算機中刪除、破壞或者讀取里面的資料和文件,在這樣的形勢下,根本就不能談計算機網絡安全。因此,想要提高計算機網絡安全技術水平,一定要做好防火前配置的安全。
1.4木馬攻擊
木馬屬于一種特殊的后門程序,使用者不知情的狀況下,非法入侵者會采用各種先進的非法途徑鏈接到用戶的計算機或者登錄用戶的網絡服務,潛入到計算機的內部,沒有得到正式授權的情況下隨意處理計算機內部數據。由此可見,木馬程序作為一種非法入侵手段應該是計算機網絡安全技術的重要隱患之一。
2. 計算機網絡安全防范技術措施
從近幾年來計算機網絡安全事件來看,計算機網絡安全形勢越來越嚴峻,計算機網絡攻擊手段不斷升級,攻擊方式也日益復雜,計算機網絡安全防范工作應該是當前亟待解決的重要問題。以下是主要的幾種計算機網絡安全防范技術:
2.1計算機病毒防范技術
從當前計算機網絡安全形勢分析,計算機病毒對于計算機網絡安全的危害極大,特別是隨著互聯網技術的不斷發展和普及,加上人們的網絡生活日益豐富,為計算機病毒傳播提供了良好的客觀條件,因此非常有必要研究有效的計算機病毒防范技術。計算機病毒防范技術應該針對計算機病毒的隱蔽性、傳染性、復制性以及潛伏性等特征進行設計,為此不僅應該不斷開發新的殺毒軟件,用戶也應該養成定期殺毒的好習慣。用戶應該注意在下載、傳播各種軟件以及文件的過程中,首先應該檢查軟件以及文件的安全性,而且應該定期對各種存儲設備進行殺毒檢測,這樣才可以不斷提高計算機網絡安全的安全性、可靠性。
2.2入侵預防技術
想要做好計算機網絡安全防范工作,不僅應該采用有效的計算機病毒防范技術,同時應該采用有效的入侵防范技術,首先應該系統的整理、排查當前的計算機安全技術,準確找出入侵計算機的原因。同時,應該分析常見的漏洞以及入侵技術的特征開發一些針對性的軟件以及技術。防火墻技術應該是非常重要的計算機網絡防范技術,我們應該對計算機網絡防范技術進行進一步的深入研究。其次,用戶操作計算機的過程中,應該及時糾正自己做出的錯誤行為,這樣可有效提高計算機網絡的安全性。
2.3漏洞掃描技術
這種計算機網絡安全防范技術屬于一種計算機系統自我排查技術,主要包括Ping掃描、OS探測以及端口掃描等技術,但是這些掃描技術的主要功能以及工作目標并沒有很大差異,決定了這些掃描技術的工作原理也存在較大的差異。工作目標不同主要是為了確保能夠從不同的角度以及方面全面檢查整個計算機網絡安全,對威脅系統安全的技術進行流動指導。
2.4完善防火墻技術
在計算機網絡安全防范技術中,防火墻技術是一種重要的安全防范技術,也是所有計算機網絡安全策略的重要基礎,可以通過防火墻強制性的控制外部網絡以及內部網絡。防火墻技術主要包括網關技術、狀態檢測技術以及過濾技術等技術手段,過濾技術主要指的是通過網絡層過濾、篩選數據包,根據先前預定的過濾邏輯檢測每個通過數據的起源地址、適用端口以及目標地址有沒有通過,如果狀態檢測技術的鏈接出現失誤的情況下,會使整個運行操作暫停。目前,防火墻技術在企業局域網以及互聯網的交接地得到廣泛應用,不僅可以有效清除計算機網絡病毒,同時也可以有效保護用戶信息。我們應該在不斷實踐的過程中,不斷總結,使防火墻開發技術更加具有針對性、有效性。
2.5訪問控制技術以及身份認證技術
訪問控制技術以及身份認證技術是計算機網絡安全技術的主要組成部分,通過這兩種技術可以辨別、確認使用者的身份。目前,計算機應用中常常會應用到這兩種技術,操作權限設定不同的話,登陸口令也會有所不同,也就是說每一種操作權限設定應該對應相應的登陸口令,這樣可有效防止不法分子會通過一些重要的權限進行不正當的網絡攻擊。通常,登錄口令主要由數字、字母組成,用戶應該定期更改口令,而且應該對口令進行保密,這樣才可以正當維護計算機用戶的個人信息。在傳遞信息、接發郵件的過程中,用戶一定要注意不要泄露信息,如果黑客獲得用戶的重要信息,極易導致相應的網絡安全隱患。
綜上所述,計算機網絡安全防范技術會涉及到諸多范圍,關系到網絡安全管理制度、數據信息安全、計算機硬件、網絡資源以及軟件等多個方面,為了有效確保計算機網絡安全性,非常有必要建立一套完善的計算機網絡安全管理制度,不斷完善、升級各種計算機網絡安全防范技術,維護計算機網絡系統的安全、正常運行。
參考文獻
篇5
1我國當前通信網絡安全現狀
網絡具有開放性,給人們的信息傳遞開辟了一個嶄新的空間,極大的方便了人們進行信息共享和交流,為人類社會的發展和進步提供了巨大的動力。由于通信網絡具有開放性,這使得其安全形勢十分的嚴峻,各種安全問題層出不窮,極大的威脅了通信網絡運行的安全和穩定。當前各個企業主要使用通信線纜來完成信息的傳輸,缺乏嚴密的保護措施,這使得企業單位的數據和資料十分容易受到攻擊而被竊取。在通信系統中,主要依靠商業軟件來發揮其日常的功能,這些商業軟件的質量參差不齊,很多都存在著漏洞和后門,容易受到攻擊而發生安全問題。根據中國互聯網絡信息中心公布的數據來看,僅僅在2010年,我國超過一半以上的網民受到過網絡安全問題的困擾,全國網民為了應對安全問題而支付的相關服務費用高達153億人民幣。同時網絡安全問題造成大量的虛擬帳號被盜、網銀密碼泄露,造成巨大的經濟損失。由此可見我國的網絡安全問題十分的嚴峻。
2我國當前通信網絡安全的相關分析
根據工信部通信保障局公布的信息來看,當前我國的通信網絡安全不僅僅是造成個人用戶的損失,而且已經威脅到我國的通信基礎設施的建設。
2.1網絡管理人員缺乏安全意識
當前我國的通信網絡管理人員沒有樹立正確的安全觀念,總是以為網絡安全問題離自己很遠。除了安全意識不強之外,技術素養不高,在日常的操作和維護工作當中沒有嚴格的按照相應的操作規范來進行操作。例如采用明碼發送密件,沒有及時按照相關的規定對密鑰進行更換,導致同一密鑰長期使用,這增加了被破解的風險。在傳輸信道之上沒有做好相應的電磁屏蔽措施,這使得重要信息在傳遞的過程當中有可能被非法監聽,從而造成重要信息的泄露。
2.2軟硬件設施存在安全隱患
當前通信網絡系統中使用的很多軟件都是由第三方公司研發的商業軟件,這些軟件的質量經常存在很大的問題,在程序中往往有可能留有后門。特別是一些具有遠程登陸和控制功能的軟件,一旦存在漏洞和后門,那么就為不法分子侵入網絡打開了一條暢通無阻的通道,從而造成機密信息的泄露,對通信網絡的安全造成很大的影響。除此之外,隨著我國通信用戶數量的不斷的增加,為了使通信網絡在容量上能夠滿足用戶的使用要求,通信網絡的規模在不斷的擴大,然而在建設過程當中往往存在很多的問題,同時由于維護人員不足,大量的基礎設施的維護情況不容樂觀,這也在很大程度上增加了通信網絡的安全隱患。
3我國當前通信網絡安全的防護措施
當前通信網絡功能越來越強大,在日常生活中占據了越來越重要的地位,我們必須采用有效的措施,把網絡風險降到最低限度。為了實現對非法入侵的監測、防偽、審查和追蹤,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽,從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性,即便被截獲也會由于在不同協議層中加入了不同的加密機制,將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認,以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”,一般是通過數據檢查核對的方式達成的,數據檢查核對方式通常有兩種,一種是邊發送接收邊核對檢查,一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞,同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息。為了實現上述的種種安全措施,必須有技術做保證,采用多種安全技術,構筑防御系統,主要有:
3.1防火墻技術
在網絡的對外接口采用防火墻技術,在網絡層進行訪問控制。通過鑒別,限制,更改跨越防火墻的數據流,來實現對網絡的安全保護,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。
3.2入侵檢測技術
防火墻保護內部網絡不受外部網絡的攻擊,但它對內部網絡的一些非法活動的監控不夠完善,1DS(入侵檢測系統)是防火墻的合理補充,它積極主動地提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,提高了信息安全性。網絡加密技術。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取,是網絡安全的核心。采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性、完整性,它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。
3.3身份認證技術
提供基于身份的認證,在各種認證機制中可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。
3.4虛擬專用網(VPN)技術
通過一個公用網f一般是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等跟公司的內網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。
篇6
普華永道最新的全球信息安全狀況調查(簡稱調查)結果顯示,信息安全事故數量不斷增加,網絡安全仍然是關注的焦點。在中國,過去12個月中,平均每家受訪企業檢測到的信息安全事件從去年的241次上升到今年的1245次,增加了517%。
從全球來看,調查發現,在過去一年中各行業檢測到的信息安全事件平均數量為6853次。與去年同期相比,由這些網絡犯罪事件所導致的全球平均財產損失為255萬美元,下降了5%;而中國這一數字達到263萬美元,提高了10%。
普華永道中國網絡安全服務合伙人冼嘉樂表示:“這一年,中國各重要行業檢測到的安全事件都在增加,這也是全球普遍需要應對的狀況。當下,網絡攻擊來自各個方面與維度,其中消費與零售、科技等領域尤為嚴重。”
在中國,企業的客戶數據、內部信息和知識產權成為網絡攻擊主要鎖定的目標。其中,針對客戶數據的安全事件數量上升64%,遠高于35%的全球平均值。
物聯網應用安全正在成為一個新的關注點。然而,調查顯示,許多受訪者都還沒有為物聯網應用帶來的安全風險做好準備:目前只有約44%的中國企業擁有相應的安全策略。
值得注意的是,在所有檢測到的安全事件中,有50%歸因于企業現有和離任雇員等內部人員。此外,大量的內部攻擊來源尚不確定,未知內部人士參與的安全事件占42%。事實上,攜程網癱瘓就是其中的一個典型案例。
為了應對不斷升級的信息安全事件,企業也在多方嘗試以求改善。很多受訪的中國企業主動采用風險導向的信息安全框架(如信息安全管理體系ISO27001),強化外部合作,雇傭相關的高級管理人員(如首席隱私官),以提高信息安全并降低風險。
與此同時,企業在信息安全方面的投入顯著增加。其中,中國受訪者所在企業在信息安全方面的預算增加了16%,平均值達790萬美元,高于全球平均值510萬美元。
篇7
【關鍵詞】 大數據時代 網絡安全 數據信息
一、引言
隨著計算機技術、網絡技術的不斷更新發展,當今社會邁入大數據時代,我國在近年來也逐漸將大數據應用納入到國家發展戰略中,并利用大數據技術、網絡技術來輔助政府管理、促進商業發展、提升人們生活品質。大數據具有信息量大、信息主體多元、更新速度快和價值密度低等特點,通常指的是大量非結構化或半結構化的數據集。當前大數據已經滲透到各個行業中,并成為一種重要的數據資產與生產要素,各行業利用大數據技術來快速獲取、整合、處理各類數據,充分挖掘數據的潛在價值與新的利用價值。
二、大數據時代的網絡安全問題
當前的大數據時代,網絡安全與信息保護已經成為當前社會亟待解決的問題之一,現階段面臨的網絡安全問題具體表現在以下方面。
2.1數據遭破壞泄露問題嚴重
近年來網絡安全遭到破壞致使數據泄露的問題已成國際關注的重點,僅在2016年就出現了多起數據泄露問題,如Gmail、雅虎和Hotmail賬號遭泄露事件,美國最大有線電視公司時代華納的用戶郵件、密碼信息被黑客竊取事件,蘋果App Store被曝逾千應用存在漏洞或泄露用戶隱私事件等。這些數據泄露的事件充分說明網絡安全存在較大的漏洞,嚴重威脅海量用戶的數據安全。
2.2用戶網絡安全防范意識不足
人們在網絡上購物、傳送郵件、注冊登錄賬號時總會填寫各種數據信息,稍不注意就可能造成信息泄露。部分用戶在瀏覽網頁時也沒有足夠的甄別信息能力,很容易受到網絡攻擊或受到釣魚網站的欺騙等,并且由于用戶自身沒有專業的網絡安全防護技術,信息數據遭到破壞之后將會給自己的工作、生活帶來極大的不便。
2.3數據集中分布存在較大安全風險
當前許多銀行、大型公司內都儲存有大量的數據,數據的大量匯集也就意味著受到攻擊的可能性更大,一些黑客會將這些數據集群的機構作為攻擊的首要目標,以盜取數據謀的巨額財富,而這些機構在數據的儲存、安全防護等方面的能力卻較為有限,一旦網絡遭到破壞將會造成較大的損失。
三、如何強化大數據時代的網絡安全
在當前的大數據時代,網絡安全問題成為當前社會備受關注的問題,一旦網絡安全出現問題,大量的數據與保密信息將會被泄露、篡改,對人們的工作、生活帶來極大的影響,嚴重者甚至會影響到社會安定。因此,解決大數據時代的網絡安全問題迫在眉睫。
3.1提升網絡安全防護技術水平
首先,保障網絡安全可以從控制訪問權限與加密數據量方面著手,一方面對用戶訪問網絡資源的權限進行嚴格的認證和控制,防止黑客侵入,也就是對網絡資源設置密碼、口令或者其他不可識別的標識和符號來增強訪問權限的認證和控制。另一方面,通過加密算法和密鑰將數據明文轉變為密文,對網絡資源、網絡數據進行隔離加固保護。其次,云計算等技術的發展給大數據時代的網絡安全帶來了必要的安全技術基礎,對云平臺的安全防護可以對大數據安全體系中的計算環境與存儲環境安全起到有效的支撐。此外,我國對于新型數據加密與身份認證技術、Web用與數據庫安全技術以及基礎安全技術的自主研發,盡快實現對關鍵裝備、核心領域與人才的自主自控,也是保障數據安全的主要措施。
3.2健全網絡數據安全規范
目前我國關于網絡安全、數據安全等方面的規范還不夠健全,對此,國家應不斷完善相關的法律法規,對數據的獲取、使用、應用等責任和權利進行明確的法律界定,提升網絡數據安全問題的法制治理能力。另外,國家應盡快出臺金融、電信、個人健康、消費互聯網領域內的行業法律法規,明確數據的采集、保存、使用主體與各自職責。
國家應對擁有大量個人數據的企業、銀行、網絡平臺等做出法律約束,規定他們必須向監管部門申報用戶數據保存內容、方式以及采取的保護措施。同時國家網絡安監管部門應周期性對集中大量數據的機構地進行審查和監督,一旦發生數據泄露事件,這些機構必須承擔法律責任并接受懲罰。
3.3提升公民的網絡安全意識
網絡安全問題的解決需要政府、企業、網絡安全部門以及公民的一致努力,特別是要提升公民的個人數據安全意識,明確數據安全防護的必要性與數據使用規范,加強對虛假信息、釣魚網站的甄別能力,定期對計算機系統進行殺毒等,都能在一定程度上加強網絡的安全性。
四、結語
網絡已經成為人們工作、生活中的必不可少的工具,當前網絡安全形勢嚴峻,大數據時代下數據安全管理的挑戰與難度成倍升級,加強應對網絡安全、數據安全挑戰勢在必行。
參 考 文 獻
篇8
【關鍵詞】 美國;可信身份;戰略意圖;啟示
0 引言
2011年4月15日,美國了《網絡空間可信身份國家戰略》(NSTIC),計劃用10年左右的時間,構建一個網絡身份生態體系,推動個人和組織在網絡上使用安全、高效、易用的身份解決方案。國內有觀點認為,NSTIC戰略是美國加強網絡管控的新動向,標志著美國從“網絡自由”向“網絡管控”的重要轉變。筆者認為,從NSTIC戰略的出臺背景、主要目標和內容來看,NSTIC并不是立足于加強網絡管控,其核心目的是通過建立身份管理提高網絡空間安全水平,以繁榮網絡經濟,鞏固美國全球經濟霸權地位。
1 NSTIC的出臺背景
NSTIC是對2009年的《網絡空間安全評估》(以下簡稱《安全評估》)的響應。2009年5月,奧巴馬政府了《安全評估》,突出強調了網絡空間的戰略地位,指出美國當前網絡安全形勢嚴峻,必須建立身份管理,如果不能提高身份認證水平,不能識別和確知網絡行動主體,將無法提高網絡空間的安全性。為此,報告明確:要建立基于網絡安全的身份管理。NSTIC的推出是對該報告的響應。
1.1 美國網絡安全形勢嚴峻,網絡身份管理重要性日益凸顯
美國是高度依賴信息網絡的國家,整個社會運轉已經與網絡密不可分。隨著網絡成為國家依賴生存的神經單元,美國網絡空間安全形勢日益嚴峻。據2009年美國國土安全部的報告稱,2005年共有4095起針對美國政府和私營部門的網絡攻擊,但2008年這一數字已增長至7.2萬起,這些攻擊使關鍵基礎設施和敏感信息保護面臨威脅,給美國造成巨大損失。美國政府日益認識到一個可以確認網絡主體身份的網絡空間越來越重要,但目前,美國網絡欺詐、身份盜用等相關問題非常突出,使得一些服務難以在線提供。據統計,2010年美國有810萬人遭受身份盜用或網絡欺詐,造成370億美元損失;美國金融機構每周會遭受16次網絡釣魚攻擊,每年造成240-940萬美元損失。
1.2 HSPD-12實施效果明顯,有必要將網絡身份管理從聯邦政府推廣至整個網絡空間
2004 年8 月,美國出臺了國土安全總統令第12 號(HSPD-12),為政府部門管理聯邦雇員與合同制雇員提供了一套新型身份管理標準策略。該總統令有79個政府部門參與執行,2009年政府還出臺了聯邦身份、憑證與接入管理路線圖與實施指南等相關政策和措施。
該政策實施效果明顯,在保障網絡安全方面發揮很大作用,以國防部為例,實施強身份認證后網絡攻擊數量降低了46%以上。在聯邦政府之外,很多商業企業也在網絡身份管理方面做努力,如OpenID 身份管理平臺、微軟的Windows CardSpace 等,Facebook也正在展開“1賬號N用途”服務,任何擁有Facebook賬號的人可以通過Facebook賬戶登錄其他網站。隨著美國經濟運作、商業活動越來越依賴龐大而復雜的網絡,美國政府認識到有必要將身份管理推廣到包括私人部門在內整個網絡空間。
1.3 歐盟、韓國等國家和地區加快在信息網絡中引入和部署身份管理
歐盟在戰略層面、技術層面為網絡身份管理的大范圍部署與推廣作了充足的準備。歐盟從2002開始的FP6計劃,相繼開展了FIDIS、Traser、Stork等與身份管理相關的研究,包括電子政務、信息網絡與未來網絡中如何引入并部署身份管理,包括關鍵技術、架構、平臺、應用場景等。歐盟的eIDM一攬子研究計劃在2010年實現整個歐盟范圍內電子身份(eID)的啟用,歐盟成員國公民持有電子身份,即可在歐盟內的任一國家享受相應的求職、醫療、保險等一系列社會。韓國推行“I-PIN”認證多年,授權幾家“身份服務提供商”建立身份驗證平臺,給網絡用戶發I-PIN,并以此注冊所有實名業務。
2 NSTIC的主要內容
與歐盟國家發放電子身份證(eID)不同,NSTIC不是要擁有或者尋求建立國家性的在線身份,而是指在通過政府推動和產業界努力,建立一個以用戶為中心的身份生態體系。
2.1 NSTIC核心內容包括指導原則、前景構想、身份生態體系構成、任務目標和行動實施
NSTIC明確身份生態體系必須遵循四個原則。一是身份解決方案應當是增強隱私的并且由公眾自愿應用;二是身份解決方案應當是安全、可擴展的;三是身份解決方案應當是互操作的;四是身份解決方案應當是高效且易于應用的。這四個指導原則是任務目標和行動實施的基礎。
NSTIC前景構想反映了一種以用戶為中心的身份生態體系。NSTIC提出的構想是:個人和組織可利用安全、高效、易用和具備互操作的身份解決方案,在一種信心提高、隱私增強、選擇增多和創新活躍的環境下獲得在線服務。該構想反映了一種以用戶為中心的身份生態體系,適用于個人、企業、非盈利組織、宣傳團體、協會和各級政府。
NSTIC提出身份生態體系由參與者、策略、流程和相關技術構成。參與者主要包括個人、非個人實體、身份提供者、屬性提供者、依賴方等。個人或非個人實體(如組織、軟件、硬件和服務等)是在線交易或使用在線業務的主體,他們從身份提供者獲得身份證書,從屬性提供者獲得相關屬性聲明,并將身份證書和屬性聲明直接展示給依賴方,以從事在線交易或使用在線業務。身份生態體系的策略基礎是身份生態體系框架,該框架為體系的所有參與者提供一套基礎標準和政策,這些基礎標準和政策提供了最低的安全保障,同時也說明更高級別安全保障的詳細細節,以確保參與者能獲得足夠的保護。
為確保身份生態體系的建立,NSTIC明確了四項任務和目標。一是制定身份生態體系框架,細分任務包括建立隱私增強保護機制、建立基于風險模型的身份鑒別和認證標準、界定參與者的責任并建立問責機制、建立指導小組對制定標準和認證流程進行管理;二是建立和實施身份生態體系,細分任務包括發揮私人部門、聯邦政府以及國家、地方、司法、國土等政府部門的作用,建立和實施身份生態體系互操作基礎設施;三是增強用戶參與身份生態體系的信心和意愿;四是確保身份生態體系的長期成功和可持續性。
NSTIC明確了身份生態體系實施各方職責和進度計劃。實施身份生態體系需要政府部門和私人部門的共同努力,NSTIC明確私人企業負責具體建立和實施身份生態體系,聯邦政府負責指引和保障,NPO負責制定實施路線圖等。同時,NSTIC明確在3-5年內身份生態體系的技術、標準初步具備實施條件;10年內身份生態體系基本建成。
2.2 NSTIC主張以用戶為中心、以私營機構為主導的身份生態系統,用戶隱私可以獲得更強的保護
NSTIC明確身份生態系統是自愿參與的。用戶是否參與身份生態系統是自愿的,政府不會強迫用戶必須獲得屬于身份生態系統的憑證,機構也不會強迫要求用戶提供屬于身份生態系統的憑證作為唯一的交互工具。用戶可以自由選擇滿足依賴方要求的最低風險的身份生態系統憑證,或者使用由信任方提供的非身份生態系統機制的服務。
NSTIC將增強對用戶個人隱私的保護。
一是NSTIC將建立加強隱私保護的機制,建立清晰的隱私保護規則和指南,不僅將明確服務提供商和依賴方共享信息的問題,而且還將明確他們什么情況下可以收集用戶信息、可以收集用戶哪類信息、這些信息如何被管理和使用等。
二是NSTIC鼓勵采用隱私增強的技術,用戶在應用中僅向服務機構提供必要的信息,而不必泄露其他不必要的信息。NSTIC允許用戶以匿名、假名方式使用相關服務,不必泄露自己的真實姓名等信息。
三是根據白宮網絡安全負責人霍華德?施密特《NSTIC和隱私》文章的介紹,隱私增強技術還可以讓用戶使用不同的身份標識登錄不同的網站,從而沒有任何人可以建立集中的數據庫,通過身份憑證跟蹤用戶的網上行為。
NSTIC主張私營機構主導身份生態系統的建立。NSTIC明確,參與身份生態系統的主體將以私營機構為主,幾乎所有的身份提供商、屬性提供商和評估認可機構都將屬于私營機構,政府在其中的角色主要是支持私營機構建立身份生態系統,并成為身份解決方案的先行者,實施身份生態系統提供服務,政府一般不會直接控制用戶身份信息,在不必要的情況下也不會要求私營機構提供用戶身份等信息。
3 NSTIC的戰略意圖
隨著全球經濟社會發展對信息網絡依賴性增強,一個可以確認身份的網絡空間越來越重要,身份管理成為確保網絡空間繁榮和健康發展的重要因素。NSTIC是在美國網絡安全戰略發生重大轉變背景下提出的,是美國網絡安全戰略的重要構成。作為美國首個網絡空間身份管理戰略,其戰略意圖主要有兩個。
3.1 積極應對網絡安全威脅,增強網絡防御并建立網絡威懾
奧巴馬總統上臺后,開始全面謀求制網權,在加強網絡防御的同時,實施網絡威懾,旨在遏制日益增長的網絡攻擊,保護美國關鍵基礎設施安全。網絡安全與身份管理關系不言而喻,身份管理對網絡防御極其關鍵,要想積極防御必須先了解網絡上有哪些主體;而網絡威懾重在影響對手,必須識別和確知最有能力的網絡行動者,這需要通過身份管理進行歸因判斷。NSTIC的出臺,極大推進了對個人、組織以及相關基礎設施的識別能力,通過身份管理建立了網絡空間的信任,從而增強網絡防御并建立網絡威懾。
3.2 繁榮網絡經濟,鞏固美國全球經濟霸權地位
奧巴馬政府上臺后,將網絡創新視為重振經濟的引擎,在政府的推動下,美國網絡技術發展進入新一輪,云計算、智慧地球、物聯網、移動互聯網等均引領世界潮流。隨著美國經濟越來越依賴網絡,網絡環境面臨的信任威脅越來越突出,各項在線業務發展受到阻礙,可信網絡環境非常重要。NSTIC的推出,旨在通過在網絡空間部署身份管理,推進在線業務安全、便利、高效開展,增進網絡信任,促進更多業務在網上開展和服務創新,從而繁榮網絡經濟,占領未來全球經濟的制高點,進一步維護美國全球經濟霸權地位。
由上可見,NSTIC并不是以加強網絡管控為目的的。盡管如此,提出將建立和維護可信數字身份,構建網絡身份生態系統,這一愿景的實現,必然會增強美國對網絡空間的掌控。
(1)身份生態系統的成功實現,將使身份管理推向政府服務、社會服務等大量在線業務,這必然有利于美國對網上身份、行為的更好掌控。NSTIC主張的身份生態系統,依賴于大量在線業務的參與。當政府、社會等多種服務成為該系統的參與者,用戶為使用各種服務將不得不采用相關身份解決方案。目前已經有Yahoo、PayPal、Google、Equifax、AOL、VeriSign等科技廠商宣布支持NSTIC實施。用戶信息掌握在作為服務提供商的私營機構手中,不排除在必要情況下會被提供給美國國家機構,根據美國《愛國法》、《國土安全法》等法律,服務提供商有義務向美國政府提供用戶的有關信息。這必然加強美國對網上身份、行為的掌控。
(2)NSTIC提出將推動身份生態系統的最終國際化,美國一旦主導國際身份管理策略標準的制定,必然將增強其對網絡空間的掌控。
NSTIC提出,將推動身份生態系統的國際化,實現身份生態系統的國際互操作,事實上是要將其身份管理的策略和標準推向國際。美國很早就開始身份管理技術的研發,國家標準協會、國家標準技術研究所成立了標準組并了相關標準,目前在全球身份管理標準化工作中,美國是研究工作的主導力量。由于身份管理涉及到技術、社會、法律、國家政策等多方面,關系到對不同國家的法律法規、國家利益和安全,各國都希望發揮自己在此領域的主導作用。美國在網絡空間有著巨大優勢,從芯片到操作系統,從根服務器到域名管理,美國對網絡空間的掌控已經遠遠超出其他任何國家,形成了壟斷性優勢。美國推動身份生態系統的國際化,必將進一步加強美國在網絡空間的影響力,確保其對網絡空間的掌控。
4 對我國的幾點啟示
身份管理關系到未來網絡空間的繁榮和健康發展,我國必須充分發揮在此領域的主導作用。
4.1 盡快制定我國網絡空間可信身份國家政策
隨著我國經濟社會活動對網絡依賴性增強,各行業對網絡空間可信身份都提出了需求,如網上購物、網上銀行、網上社保等,身份管理成為確保網絡空間繁榮和健康發展的關鍵。未來身份管理將更加重要,美國、歐盟等都在加強身份管理技術研發和部署,已經形成較強的技術優勢;對我國而言,如果不及時加以部署和研發,將很可能喪失在未來網絡中的話語權。為此,必須將可信身份上升到國家戰略高度,出臺相關政策措施,整合各類資源,建立政府主導、市場主體的推動機制,促進網絡空間身份管理的發展。
4.2 支持網絡空間身份管理技術研發和應用示范
目前美歐在身份管理技術和產品研發方面具有優勢,我國在此方面還處于跟隨階段,缺乏相關的實施和嘗試。鑒于身份管理的基礎性和重要性,建議政府通過科技支撐計劃等,支持研究機構、企業等開展相關技術研究和產品研發,支持建設應用示范系統,著力推進在電子政務、電子商務等方面的應用示范,探討解決不同身份管理系統之間互聯互通問題,在技術成熟時可以建立國家性身份管理平臺,確保關系國家民生的關鍵身份信息把握在國家而不是國外企業手中。
4.3 積極參與國際標準制定,掌握話語權
身份管理關系到未來網絡架構,美國、歐盟等發達國家都在爭奪技術、標準方面話語權,目前有大量組織也在對身份管理標準進行研究,如自由聯盟、OpenID、OASIS、W3C、ITU-T、ETSI、3GPP、ATIS和IETF等,但還沒有形成統一標準。建議我國統籌協調研究、產業等各方面資源,有計劃開展身份管理系列標準研究工作,同時組織國內力量積極向國際組織提交議案,爭取設立由我國主導的研究議題,增強我國在身份管理標準化工作中的話語權與主導權。
參考文獻
[1] The White House,National Strategy for Trusted Identities in Cyberspace,http://whitehouse.gov,2011.4.15.
[2] Howard A. Schmidt,The National Strategy for Trusted Identities in Cyberspace and Your Privacy,whitehouse.gov,2011.4.26
[3] Howard A. Schmidt,Advancing the National Strategy for Trusted Identities in Cyberspace: Government as Early Adopter,whitehouse.gov,2011.10.14
[4] 魏亮.身份管理策略思考.電信網技術,2009年第3期,36-39.
[5] 陳劍勇,吳桂華.身份管理技術及其發展趨勢.電信科學,2009年第2期,35-41.
[6] 王功明,關勇等.可信網絡框架及研究.計算機工程與設計,2007年3月,第28卷,第5期,1016-1018.
作者簡介:
篇9
[關鍵詞]智能油田;信息安全;綜合審計;關聯分析
doi:10.3969/j.issn.1673-0194.2020.22.028
[中圖分類號]TP393.08;F239.4[文獻標識碼]A[文章編號]1673-0194(2020)22-00-02
1智能油田信息安全風險
在數字化轉型發展背景下,智能油田建設與應用進程逐漸加快,網絡與信息系統的基礎性、全局性作用不斷增強,而保證核心數據資產的安全對油田業務的高質量發展至關重要。當前國內外網絡安全形勢嚴峻,境內外惡意分子以及被政治、經濟利益裹挾的黑客組織,對能源行業加劇進行網絡滲透,攻擊關鍵信息基礎設施、竊取商業機密等敏感信息,對油田信息安全構成了極大的外部威脅。此外,內部員工違規訪問不良網站內容,使智能系統面臨著嚴重法律風險,加上員工有意識或無意識的網絡泄密事件與系統運維人員違規操作事件頻發,嚴重威脅了智能油田發展。目前,我國油田信息安全建設思路已經從防外為主,逐步轉為以內外兼顧的策略,信息安全審計成為縱深安全防御延伸和安全體系建設的重要環節。為遵循國家網絡強國戰略、達到網絡安全合規要求,有效避免黑客攻擊、網絡泄密、違規上網、數據竊取等安全風險,我國急需建立智能油田信息安全綜合審計平臺,實現信息內容實時檢查、網絡行為全面監測、安全事件追溯取證,為油田高質量發展保駕護航。
2信息安全綜合審計關鍵技術
信息安全綜合審計是企業內控管理、安全風險治理不可或缺的保障措施,主要指對網絡運行過程中與安全有關的活動、數據、日志以及人員行為等關鍵要素進行識別、記錄及分析,發現并評估安全風險。針對智能油田業務需求場景,重點解決3項技術難題:一是如何基于縱深防御理論通過大數據、云計算等技術,對油田不同防御層級的日志、流量等信息進行關聯分析建模,有效預防黑客隱蔽型攻擊;二是如何通過建立面向油田具體業務場景的敏感信息指紋庫、安全策略庫、行為特征庫,構建覆蓋敏感文件信息處理、存儲、外發等關鍵環節的縱深防護與事件溯源取證機制;三是如何通過深度網絡業務流量識別與數據建模分析技術,建立面向油田具體業務場景的員工上網行為監管審計機制,實現對員工違規網絡行為的全面管控。
2.1多源異構網絡日志信息統一標準化方法與關聯分析模型
設計多源異構網絡日志信息格式標準化方法,利用基于大數據處理的日志過濾與關聯分析建模技術,整合網絡泄密、違規上網、黑客攻擊等網絡風險事件日志信息,建立油田信息安全風險關聯分析模型。
2.2信息安全審計敏感信息指紋庫、行為特征庫、審計策略庫
結合油田具體業務需求場景,運用數據分類分級與指紋識別技術、深度業務流量識別與建模方法,建立滿足國家合規要求及油田特有應用場景需求的敏感信息指紋庫、網絡行為特征庫及安全審計策略庫。
2.3數據防泄露與敏感信息內容檢查機制
基于操作系統底層驅動過濾的數據通道防護技術、基于智能語義分析的敏感信息內容審計技術,實現對員工通過云盤、郵件、即時通信、移動介質等方式外發涉密信息的實時檢測與控制,徹底解決員工有意識或無意識地違規存儲、處理、外發涉密信息問題。
3智能油田信息安全綜合審計平臺建設及應用
信息安全綜合審計平臺是一個綜合利用云計算、大數據、人工智能、數據指紋、異構數據采集等技術,實現網絡行為監控、信息內容審計、數據庫操作審計、網絡異常流量監測預警的審計溯源系統,在滿足網絡合規性要求的同時,為信息安全管理與系統運維人員提供了網絡安全監測、事件追溯取證的基本手段,提升了油田對敏感數據的監測預警和傳輸阻斷能力,防止了敏感信息泄露,增強了對外部黑客隱蔽性網絡攻擊行為與內部運維人員違規業務操作的防御能力。其中,圖1是智能油田信息安全綜合審計平臺總體架構。
基于信息安全綜合審計關鍵技術研究與集成創新,相關單位研發建立了智能油田信息安全綜合審計平臺,以縱深防御理論為指導,通過網絡層面的行為和流量審計、信息系統層面日志和數據庫審計、終端層面的信息內容審計等,實現對網絡風險事件的事前防范、事中告警、事后追溯,形成上網行為全面管控、網絡保密實時防護、網絡攻擊深度發現的主動治理新模式。貫穿數據信息的產生、存儲、傳輸、應用全生命周期的關鍵過程,自主建立油田敏感信息指紋庫,構建基于涉密違規存儲遠程檢查、終端違規外發自動阻斷、網絡敏感信息識別告警功能的數據安全縱深防護與事件追溯取證機制,為網絡保密主動治理提供技術手段。通過設計跨平臺、多協議網絡信息采集接口機制與多源異構日志標準化數據模型,結合云計算與大數據處理技術,建立適應油田海量非結構化日志信息的存儲云中心,且基于深度學習算法建立關聯模型,通過日志信息縱向聚合與橫向關聯實現網絡行為與信息內容全面審計。
為保障智能油田核心數據安全與網絡系統運行安全,將平臺成功應用于油田網絡安全保障與網絡攻防實戰演練、網絡保密治理與數據安全保護、員工上網行為管理與審計、IT基礎設施運維操作審計等,有效提升智能油田精細化管理水平。通過平臺網絡安全審計功能,將網絡層面防火墻、入侵檢測、高級威脅檢測、蜜罐入侵誘捕、Web應用防火墻、流量溯源分析、漏洞掃描等網絡安全監測防護設備提供的黑客網絡攻擊行為日志信息,應用系統層面服務器操作系統、中間件、數據庫等產生的系統日志信息以及終端計算機層面產生的病毒防護、主機漏洞、基線配置等日志信息進行集中統一標準化處理,通過提取關鍵要素信息進行關聯建模分析,實現對黑客隱蔽性網絡攻擊行為的深度發現與事件追蹤溯源,為油田網絡安全日常防御保障提供監測分析技術手段,為油田網絡攻防對抗實戰演習統一決策指揮提供平臺支撐。通過信息安全綜合審計平臺的信息內容審計功能,實現對內部員工通過電子郵件、即時通信、網絡云盤、網站上傳等方式外發敏感數據信息的實時監測,結合平臺數據防泄露功能,實現對員工辦公終端計算機違規存儲、處理、外發敏感數據信息文件行為的實時告警提示與阻斷控制,同時針對油田不同業務場景,制定開發科研、生產、經營、管理等不同業務敏感數據信息審計策略,實現對內部員工有意識或無意識網絡泄密行為的事前告警提示、事中監測阻斷、事后追溯取證,為網絡保密治理提供有效的技術手段,保障智能油田核心數據安全。通過信息安全綜合審計平臺的上網行為審計功能,實現對油田內部員工上網行為的有效管理,對員工通過油田網絡進行網站訪問、網絡應用等行為進行實時監測審計,防止員工因訪問不良網站給企業帶來的法律風險,同時避免因訪問惡意網站給企業帶來木馬病毒等網絡安全風險,滿足網絡安全管理合規要求。利用信息安全綜合審計平臺提供的運維操作行為審計功能,對運維管理人員的操作日志進行集中監測分析,整合利用日志數據價值,實現對網絡設備、安全設備、服務器、數據庫等信息基礎設施運維操作活動的實時監控、記錄及告警,有效規避運維操作過程中產生的網絡安全風險。
篇10
【 關鍵詞 】 網絡;信息安全;密碼學;加密
1 引言
隨著信息技術的不斷發展,信息已成為重要的戰略資源,在現代社會的進程中發揮著舉足輕重的作用。但在信息快速發展的同時,信息安全問題也日益彰顯,特別是在國計民生的社會領域,網絡所存在的安全問題已日益突出,如病毒感染、黑客攻擊等,對社會經濟發展、人們生產生活造成較大影響。對于信息安全技術,其主要涉及計算機、密碼知識、網絡架構和安全技術等。旨在通過采取有效的安全策略,實現網絡信息的安全可靠的保護。
當前,網絡安全領域的相關技術。
(1)防火墻技術。防火墻作為安全網關,構建在Internet與內部網絡之間,實現對內網的有效控制。其實,防火墻系統主要的防護機制是決定外界可以訪問哪些內部資源,反過來,內部人員可以訪問哪些外界資源。也就是說,防火墻通過對相關信息的過濾、授權,實現對網絡的安全保護。
(2)入侵檢測技術。該技術作為一種主動防御技術,主要針對用戶系統行為的監視、系統漏洞的設計,及系統數據完整性評估等功能,也就是說,入侵檢測系統可以有效地實現對系統監視、審計、評估等工作,實現了對網絡系統的主動保護。
(4)加密技術。加密技術是最傳統也是最有效的保護措施之一,主要針對信息加密。加密技術的特征非常突出,主要利用現代數據加密技術,實現對網絡系統的安全保護。并且,加密數據的翻譯,只有指定的用戶、網絡設備方可執行。
對于數據加密技術而言,其是網絡安全的核心,承擔著高安全性密碼算法的尋找,以實現信息資源的加密。本文就針對網絡安全中,兩種典型加密算法進行研究。
2 相關理論
3 典型的密碼體制
3.1 對稱密碼體制
在對稱加密算法中,DES和AES算法使用廣泛,具有典型的代表性,以下就這兩種對稱算法進行論述。
3.1.1 DES算法
DES算法采用了56位的密鑰長度,并具有64位分組長度。對于該法,其主要將64位輸入明文,并在一系列的運算處理下,得到64位的密文進行輸出。在對密碼解密時,采用同一密鑰。其實,左右兩邊是在相互交換的機制下進行預輸出。并且最后預輸出的IP與相互作用,進而產生出密文(64位),在實際中,我們可以清楚地知道56位密鑰的使用情況。密鑰在相關置換作用之后,在循環和置換等操作下,獲得一系列的子密鑰。同時,在每次迭代置換的過程中,使用相同函數,且密鑰的循環作用,使得子密鑰之間是不相同的。
3.1.2 AES算法
對于AES算法,其具有高效加密和解密的突出優點。因為密鑰的長度是128或192位,這樣就可以在計算機的作用下,實現高速的處理。同時,該密碼算法具有良好的安全性,在短時間內很難對其進行破譯。
在AES算法中,以128位加密算法輸入和輸出。在輸入分組中,是以字節為單位的矩陣來表示,且矩陣中的字節需要按照相關的規定進行排列,如從上之下,從左到右的方式排列。該分組復制到State數組后,在對進行加密或解密的過程中,都會對數組進行改變,直到State復制至輸出矩陣。在對128位的密鑰描述時,采用以字節為單位的矩陣。
3.2 非對稱密碼機制
3.2.1 非對稱密碼機制
在1976年,Hellman和Diffie首先引入非對稱密碼機制。在使用非對稱密碼機制時,用戶需要選定以對密鑰:一個密鑰是可以公布的;另一個密鑰則需要用戶保密。所以,該密碼體制又稱之為公鑰體制。其實,對于密碼史而言,公鑰體制的出現就是重要的里程碑。在公鑰體制中,最著名的有AIGamal算法、McEliece密碼和RSA系統等內容。
3.2.2 RSA算法
在非對稱加密算法中,RSA比較具有代表性。就當前的公鑰密碼算法來看,RSA是最成功的公鑰密碼算法之一。該算法的安全機制主要依托于計算機復雜性理論和數論中的相關素數求算。在至今的數學領域,仍未多項式時間內破解RSA的最佳方案。
3.3 其他典型密碼機制
目前,傳統密碼機制以逐漸完善,并廣泛適用于網絡安全構建中。對于傳統密碼,均只有計算安全性和一次一密的特性。也就是說,網絡攻擊者的計算功能無限強大,理論是可以對該些密碼系統進行破譯。隨著信息技術的不斷發展,新興智能計算的涌現,對傳統密碼的破譯提供了更加有效的新途徑。同時,諸多的職能生物算法已用于傳統密碼的破譯,并取得了實際效果,這就對加密技術提出了更高的要求。
在面對傳統密碼技術日益暴露出缺陷時,DNA加密計算法出現在人們視線。目前,DNA加密技術已成為密碼學的前言領域,是新時期的密碼。對于DNA密碼而言,其具有突出的特點,特別是以DNA為信息的載體,依托于現代生物技術為工具,很大程度上利用了DNA的相關有點。這樣一來,可以有效的實現加密、認證等一系列密碼學功能。其中,其主要包括DNA隱寫、DNA加密和認證等三個方面。從DNA密碼的本質來看,其實是數學密碼的有益補充,對于夯固網絡信息安全保護具有重要的現實意義。
3.4 算法分析
對于對稱密碼體制而言,其可以用于加解的密鑰是相同的或是從加密密鑰中推解而出。其中,典型的AES和DES算法的密鑰長度均較短,密鑰的可靠性較弱,以至于安全性能較低。但是,算法簡單、加密速度快,計算開銷小。要想構建更安全的網絡安全體系,需要以安全方式進行密鑰交換。
對于非對稱密碼體制而言,其可以用于加密的公鑰,但與私鑰是不相同的。此外,相比較于傳統密鑰,公鑰和私鑰的長度較長,在安全性能上交優越。對保密信息進行多人形式下的傳輸,所需的密鑰組和數量相對較小。但是,加密算法相對比較復雜,計算的工作量較大。所以,私有密鑰加密比公開密鑰加密在解密時的速度要快。
4 結束語
在網絡信息時代,網絡技術的不斷發展,也突顯出日益嚴重的網絡安全問題。在網絡安全技術中,主要通過相關的加密技術,對信息資源進行安全保護。
其實,網絡安全是相對的,也就是說,安全性越高其實現就越復雜。面對快速發展的計算機網絡技術,新的網絡安全問題也不斷闖入人們的視野。同時,一些新的密碼體制也不斷的研發,構建起網絡安全的防護墻。所以,審視計算機網絡技術的發展,網絡安全形勢依舊非常嚴峻,促使我們不斷地創新技術,迎接新的網絡安全問題。
參考文獻
[1] 丁素英.密碼算法在網絡安全中的應用[J].濰坊學院學報,2008(03).
[2] Zhao G. Advances in modern information security and chaotic secure communication application research [J].Progress in Physics,2012(06).
[3] Malo K o .Application of cryptography technology in network information security [J].Technology Square,2011(09).
[4] 薛冰.密碼學在網絡信息安全中的應用[J].福建電腦,2009(09).
[5] 周溢輝.RSA算法在信息安全中的應用分析[J].科技信息(科技教研),2008(08).
[6] 滕萍.云計算技術發展分析及其應用研究[J].信息網絡安全,2012,(11):89-91.
[7] 傅慧.動態包過濾防火墻規則優化研究[J].信息網絡安全,2012,(12):12-14.
