網絡安全技術規范范文
時間:2023-12-15 17:35:32
導語:如何才能寫好一篇網絡安全技術規范,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
屆時,大會還將繼續凸顯“我國電子認證服務業發展現狀與重點”的介紹,并以“工業控制系統安全高峰論壇”為本屆大會的突出亮點,集納各界經典名篇、學術成果、研究課題、應用經驗,編輯出版《2013中國信息安全技術展望學術論文集》,其中優秀論文將擇優在《信息安全與技術》(國家級刊物)、《信息網絡安全》、《計算機安全》、《電腦編程技巧與維護》上刊登,并全文收錄于《中國學術期刊網絡出版總庫》及CNKI系列數據庫、《中文核心期刊(遴選)數據庫》、《中文科技期刊數據庫》和龍源期刊網。
征文內容如下:
1.計算機安全、下一代網絡安全技術;
2.網絡安全與網絡管理、密碼學、軟件安全;
3.信息系統等級安全保護、重要信息系統安全;
4.云計算與云安全、物聯網的安全;
5.移動互聯網的安全信息安全保障體系、移動計算平臺安全性研究;
6.信息內容安全、通信安全、網絡攻防滲透測試技術;
7.可信計算;
8.關鍵基礎設施安全;
9.系統與網絡協議安全分析;
10.系統架構安全分析;
11.面向業務應用的整體安全保護方案;
12.信息安全漏洞態勢研究;
13.新技術新應用信息安全態勢研究;
14.Web應用安全;
15.計算機系統安全等級保護標準的實施與發展現狀;
16.國內外電子認證服務相關政策與標準研究;
17.電子認證服務最新技術和產品;
18.電子認證服務應用創新;
19.電子認證服務行業研究和熱點事件解析;
20.可靠電子簽名與數據電文的認定程序/技術規范/應用規范/應用案例分析;
21.數字證書交叉認證技術規范/應用規范/應用案例分析;
22.電子認證服務與云計算、物聯網、移動互聯網等新技術、新應用融合的相關技術、標準規范和應用發展情況;
23.工業控制系統信息安全標準;
24.信息安全和功能安全標準化;
25.信息安全和功能安全集成技術;
26.工業控制系統安全性的技術指標與經濟成本;
27.信息安全產品設計和系統集成;
28.工業控制系統安全的評估與認證;
29.工業控制系統的信息安全解決方案;
30.工業自動化安全面臨的風險;
31.國外工業控制系統安全的做法;
32.工業控制系統信息安全現狀及其發展趨勢;
33.工業控制系統安全性的建議;
34.工控系統與信息系統對信息安全的不同需求;
35.工業控制系統的安全性與可用性之間的矛盾與平衡;
36.應用行業工業控制系統的信息安全防護體系;
37.工業控制系統安全測評體系;
38.工業控制系統安全安全策略;
篇2
一、學校網絡與信息安全工作情況
本次檢查內容主要包含網絡與信息系統安全的管理機構、規章制度、設施設備、網站和信息運行情況、人技防護、隊伍建設等5個方面,同時從物理安全差距、網絡安全差距、主機安全差距、應用安全差距、數據安全及恢復差距等5個方面對主機房和14個信息系統、1個網站進行等級保護安全技術差距分析,通過差距分析,明確各層次安全域相應等級的安全差距,為下一步安全技術解決方案設計和安全管理建設提供依據。
從檢查情況看,我校網絡與信息安全總體運維情況良好,未出現任何一起重大網絡安全與信息安全事件(事故)。近幾年,學校領導重視學校網絡信息安全工作,始終把網絡信息安全作為信息化工作的重點內容;網絡信息安全工作機構健全、責任明確,日常管理維護工作比較規范;管理制度較為完善,技術防護措施得當,信息安全風險得到有效降低;比較重視信息系統(網站)系統管理員和網絡安全技術人員培訓,應急預案與應急處置技術隊伍有落實;加強對學生網絡宣傳引導教育,日常重視微信、微博、QQ群的管理,提倡爭當“綠色網民”;工作經費有一定保障,網絡安全工作經費納入年度預算,在最近一年學校信息化經費投入中,網絡建設與設備購置費用約占56、5%,數字資源與平臺開發費用約占40、6%,培訓費用約占0、6%,運行與維護費用約占1、04%,研究及其他費用約占1、23%,總計投入占學校同期教育總經費支出的比例約1、57%,基本保證了校園網信息系統(網站)持續安全穩定運行。
1、網絡信息安全組織管理
20xx年學校成立網絡與信息安全工作領導小組,校主要領導擔任組長,網絡與信息安全工作辦公室設在黨委工作部,領導小組全面負責學校網絡信息安全工作,教育技術與信息中心作為校園網運維部門承擔信息系統安全技術防護與技術保障工作,對全校網絡信息安全工作進行安全管理和監督責任。各部門承擔本單位信息系統和網站信息內容的直接安全責任。20xx年,由于人動,及時調整網絡安全和信息安全領導小組成員名單,依照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,明確各部門負責人為部門網站的具體負責人,建立學校網絡信息員隊伍,同時,還組建網絡文明志愿者隊伍,對網絡出現的熱點問題,及時跟蹤、跟帖、匯報。
2、信息系統(含網站)日常安全管理
學校建有“校園網絡系統安全管理(暫行)條例”、“學生上網管理辦法“、“校園網絡安全保密管理條例(試行)”、“校園網管理制度”、“網絡與信息安全處理預案”、“網上信息監控制度”等系列規章制度。各系統(網站)使用單位基本能按要求,落實責任人,較好地履行網站信息上傳審簽制度、信息系統數據保密與防篡改制度。日常監控對象包括主要網絡設備、安全設備、應用服務器等,其中網絡中的邊界防火墻、網絡核心交換機和路由器、學校站服務器均納入重點監控。日常維護操作較規范,多數單位做到了杜絕弱口令并定期更改,嚴密防護個人電腦,定期備份數據,定期查看安全日志等,隨時掌握系統(網站)狀態,保證正常運行。
3、信息系統(網站)技術防護
學校網絡信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件,20xx年為加強校園網絡安全管理,購置了“網頁防篡改、教師行為管理、負載均衡”等相關安全設備,20xx年二月中旬完成校園信息系統(含網站)等級保護的定級和備案,并上報xxx市網安支隊。同時,按二級等保要求,約投資110萬元,完成“網絡入侵防御系統、網絡安全審計系統、運維審計-堡壘機系統、服務及測評及機房改造(物理安全)”等網絡安全設備的采購工作,目前,方案已經通過專家論證。
20xx年4月-6月及20xx年3月對網站系統進行安全測評,特別對系統層和應用層漏洞掃描,發現(教務管理系統、教學資源庫)出現漏洞,及時整改,并將結果上報省教育廳、省網安大隊、xxx市網安支隊。同時,對各防火墻軟件7個庫進行升級,對服務器操作系統存在的漏洞及時補丁和修復,做好網站的備份工作等。
4、網絡信息安全應急管理
20xx年學校制定了《xxx職業技術學校網絡與信息安全處理預案》、《xxx職業技術學校網絡安全和學生校內聚集事件應急處置預案》。教育技術與信息中心為應急技術支持單位,在重大節日及敏感時期,采用24小時值班制度,對網絡安全問題即知即改,確保網絡安全事件快速有效處置。
二、檢查發現的主要問題
對照《通知》中的具體檢查項目,我校在網絡與信息安全技術和安全管理建設上還存在一定的問題:
1、由于學校信息化建設尚處于起步階段,學院數據中心建設相對薄弱,未建成完善的數據中心共享體系,各應用系統的數據資源安全及災備均由相關使用部門獨自管理。同時,網絡安全保障平臺(校園網絡安全及信息安全等級保護)尚在建設中。
2、部分系統(網站)日常管理維護不夠規范,仍存在管理員弱口令、數據備份重視不夠、信息保密意識較差等問題;學校子網頁網管員為兼職,投入精力難以保證,而且未取得相應資格證書;由于經費問題,個別應用系統未能及時升級,容易發生安全事故。
3、目前尚未開展網絡安全預案演練,還未真正組建一支校內外聯合的網絡安全專家隊伍,未與社會企業簽訂應急支持協議和完成應急隊伍建設規劃。
三、整改措施
針對存在的問題,學校網絡與信息安全工作領導小組專門進行了研究部署。
1、全面開展信息系統等級保護工作。按照相關《通知》要求,20xx年8月底全面完成網絡安全保障平臺建設,根據系統在不同階段的需求、業務特性及應用重點,采用等級化與體系化相結合的安全體系設計方案,形成整體的等級化的安全保障體系,同時根據安全技術建設和安全管理建設,保障信息系統整體的安全。
2、完善網絡安全管理制度。根據等級保護要求,進行信息安全策略總綱設計、信息安全各項管理制度設計、信息安全技術規范設計等,保障信息系統整體安全。
篇3
關鍵詞:計算機信息管理技術;網絡安全;技術應用;研究分析
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2013) 20-0000-01
計算機信息管理技術在現代化的社會之中有著重要的應用,而應用的不斷增強也使得其重要性不斷提升,隨著科學技術的不斷發展以及信息化的趨勢不斷來臨,人們在針對計算機信息管理技術進行提升的同時,對于網絡安全也有了更多的關注和了解。主要的來講,計算機信息是一種在網絡之上借助一定的傳播媒介進行信息傳遞的管理技術,而廣大用戶的利益與網絡的安全可謂是有著緊密的聯系,網絡技術安全與計算機信息管理技術有著不可分割的關系。要想進一步的促進計算機信息管理技術的發展與改進,就必須要針對網絡安全技術進行全面的改進,并且對網絡安全技術的諸多層面進行深度的探討,根據特定的情況制定出有針對性的網絡安全防護措施和方案,提升應用的安全性,進而促進信息化技術的穩步發展。
一、計算機信息管理技術在網絡安全應用之中的問題分析
計算機管理技術在整個計算機應用技術當中占有非常重要的地位,所以針對其技術的安全性進行提升有著重要的意義。在應用的過程之中首先需要對網絡安全性進行必要的分析,找出存在的基本問題,并且逐步的落實網絡安全管理的技術規范,提升計算機信息管理技術的安全性。常見的諸如IP地址以及域名等等其中可能都包含有網絡攻擊,而針對其安全性進行提升,有助于有效的遏制惡劣信息的攻擊,保證網絡信息的安全。另外,計算機監測信息技術是安全性工作當中的一項重要手段,通過監測技術可以對計算機網絡運行之中的不確定性因素以及危險因素進行實時的監控,避免危險信息對網絡安全造成威脅。在日常的計算機信息管理過程當中也需要做好面對突發問題的準備,保證在相應的安全問題發生之時可以正確的、快速的、科學的應對。最后在針對計算機控制信息的范文過程當中還需要注重用戶信息的安全性把控,合理的控制信息的訪問,是保證信息以及相關資源安全性的首要環節。綜合上述的分析,對于計算機信息管理技術之中存在的諸多安全問題,還需要通過不懈的改善網絡運行的環境、提升安全保障性來對相應的問題進行解決。
二、計算機信息管理技術安全性提升的策略分析
針對計算機信息管理技術的安全性進行提升,首要的一點就是加強安全風險的防范意識以及防范的觀念。使得計算機信息管理的安全性技術深入到每一個工作細節之中,針對相關的技術人員進行安全風險防范意識觀念的培訓和教育,做到從源頭之上針對安全性問題進行控制和管理,控制信息和資源的訪問,抵制不良信息和不良因素對計算機網絡的攻擊,并且深入的認識到計算機信息管理技術工作當中安全性防范工作的重要性與必要性。但是,從整體上來講針對計算機信息管理技術的安全性進行管理和控制是一項緊迫并且艱巨的任務,由于計算機信息管理技術的安全性與內部所有用戶的利益都有著非常緊密的聯系,所以針對安全性技術的改進,還需要緊緊的跟隨時代和技術發展的步伐,全面的深化技術的改革,不斷的對新型技術手段進行分析與探索,做好風險防范的規劃與決策,進而推動計算機安全性技術的管理水平。
其次,還需要針對信息管理的技術進行必要的控制。控制技術是管理的核心和最基本的環節,要想使得整個計算機網絡之內的科學性和安全性得到提升,就需要考慮內部與外部的諸多影響因素,并且將信息的安全化管理體系建設完善。針對計算機信息管理技術之中相關的風險因素進行研究,保證在安全問題來臨之時可以進行科學化的防范和管理,明確網絡技術的分工,明確安全性技術管理的基本責任制度,確保所有的安全管理工作可以在有規劃和有組織的條件之下開展與進行。
最后,還需要不斷的加強信息管理技術模型的創新,最終建立起一個安全的、完善的管理技術模型。管理技術模型對于保證計算機信息管理技術的安全性有著積極的影響。在現階段的安全技術模型改造工作當中,已經取得了較好的成績,在下一階段的工作之中還需要在研究、探討以及以往經驗的工作基礎之上,全面的對計算機信息管理技術在網絡安全應用之中的管理方案進行規劃和協調,采取混合式的管理模式,加強網絡技術的安全性。
三、結束語
綜上所述,根據對計算機信息管理技術在網絡安全之中的應用進行全面的分析,從實際的角度出發論述了現代化的計算機信息管理技術的安全性增強措施與技術方案,旨在進一步的推動技術的創新,完善信息安全技術的管理手段。
參考文獻:
[1]傅彥銘,李蕊,陳攀.一種面向攻擊效果的網絡安全態勢評估方法[J].軟件,2012,10.
篇4
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
篇5
現場工作人員詳細地向記者介紹了公司的情況:上海眾人網絡安全技術有限公司是專業從事網絡信息安全技術研發和產品生產的高新技術企業,是國家密碼管理局正式批準的商用密碼產品生產定點單位和銷售許可單位,已通過ISO9001質量管理體系和ISO27001信息安全管理體系認證。公司成立于2007年,主要技術和產品包括擁有完全自主知識產權的動態密碼身份認證系統、基于云的統一身份認證平臺、智慧城市公共區域安全網絡系統、可應用于移動互聯網的SOTP創新安全認證技術等,已廣泛應用于政府、軍事、金融、電信等涉及國家和民眾網絡信息安全的重要領域。
隨著互聯網和移動互聯網的快速發展,網絡安全已成為一個關乎社會信息、金融安全的重要課題。銀行卡被盜刷、第三方支付安全漏洞等網絡安全問題頻繁發生,越來越威脅到大眾的隱私權益和財產安全,被推向全民熱議的高峰。現場工作人員坦言,其實網絡信息安全都是屬于幕后的工作,絕大多數人并不了解信息安全企業在做什么,這也是企業選擇參加南博會的重要原因之一,希望借此讓更多民眾了解信息安全行業,呼吁民眾增強網絡信息安全的意識,防范可能存在的安全隱患。“從網絡信息安全行業角度而言,盈利已經不是眾人的終極目標,我們更看重的是對國家信息安全、對整個民族的使命感和責任感。因此,眾人科技始終堅持‘自主研發、自主設計、自主生產’的‘國產化’發展戰略,不斷進行科技儲備,致力于研發制造出更多有技術含量的安全產品。自主可控的技術和產品被更多人認可和使用,并能走出國門走向世界是眾人科技的目標和追求”。
目前,眾人科技已發展成為行業的標桿企業,是國內信息安全關鍵細分領域――身份認證領域的領航企業,申報國家專利過百項,核心技術填補了國內空白,已達到國際同類產品先進水平,是國產信息安全標準制定的積極參與者和推動者。
這些成績的取得絕非偶然,首先,眾人科技具備專業的多元化的研發團隊。眾人科技擁有的技術研發人員和技術支持人員的占比超過公司總人數的50%,80%以上的人員學歷都在大學本科以上。眾人科技擁有多個領域的專業化技術研發團隊,其中研發團隊的核心工作人員都是多年從事該領域、具有豐富實戰工作經驗的軟件設計、研發、測試人員。
其次,公司擁有完全的自主知識產權。眾人科技已申報國家專利過百項,包括發明專利、實用新型專利、外觀設計專利和商標專利。并且,目前眾人科技已具備與多個行業的合作基礎和豐富經驗,針對不同行業應用和場景的解決方案,包括政企、金融、電信、電商、第三方支付以及學校、醫院、鐵路等。隨著電子銀行、移動支付的發展需求,眾人科技還建立了與金融行業的長期合作,現已與中國工商銀行、中國建設銀行、中國民生銀行等多家大型銀行開展了深入的合作,為網銀業務提供了多樣化、個性化的系統解決方案,在支付領域積累了十分豐富的經驗。眾人科技與電信等運營商也有成功合作的項目,在方案制作、工程部署、運行維護方面奠定了扎實的技術和實施能力。同時,眾人科技還積極參與政府項目的建設,并嚴格按照政策要求研究開發相應的技術和產品,獲得了政府包括軍隊的高度認可。
篇6
【關鍵詞】等級保護;虛擬專網;VPN
1.引言
隨著因特網技術應用的普及,以及政府、企業和各部門及其分支結構網絡建設和安全互聯互通需求的不斷增長,VPN技術為企業提供了一種低成本的組網方式。同時,我國現行的“計算機安全等級保護”也為企業在建設信息系統時提供了安全整體設計思路和標準。如何充分利用VPN技術和相關產品,為企業提供符合安全等級保護要求、性價比高的網絡安全總體解決方案,是當前企業信息系統設計中面臨的挑戰。
2.信息安全管理體系發展軌跡
對于信息安全管理問題,在上世紀90年代初引起世界主要發達國家的注意,并投入大量的資金和人力進行分析和研究。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規范》,規定信息安全管理體系與控制要求和實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準,是一個全面信息安全管理體系評估的基礎和正式認證方案的根據。國際標準化組織(ISO)聯合國際電工委員會(IEC)分別于2000年和2005年將BS7799標準轉換為ISO/IEC 17799《信息安全管理體系 實施細則》和ISO/IEC 27001《信息安全管理體系 要求》,并向全世界推廣。中國國家標準化管理委員會(SAC)于1999年了GB/T 17859《計算機信息系統安全保護等級劃分準則》標準,把信息安全管理劃分為五個等級,分別針對不同組織性質和對社會、國家危害程度大小進行了不同等級的劃分,并提出了監管方法。2008年制訂并下發了與ISO/IEC 17799和ISO/IEC 27001相對應的GBT 22081-2008《信息安全管理體系 實用規則》和GBT 22080-2008《信息安全管理體系 要求》。
3.信息系統安全的等級
為加快推進信息安全等級保護,規范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,國家公安部、保密局、密碼管理局和國務院信息化工作辦公室等,于2007年聯合了《信息安全等級保護管理辦法》,就全國機構/企業的信息安全保護問題,進行了行政法規方面的規范,并組織和開展對全國重要信息系統安全等級保護定級工作。同時,制訂了《信息系統安全等級保護基本要求》、《信息系統安全等級保護實施指南》、《信息系統安全等級保護測評準則》和《信息系統安全等級保護定級指南》等相應技術規范(國家標準審批稿),來指導國內機構/企業進行信息安全保護。
在《信息系統安全等級保護基本要求》中,要求從網絡安全、主機安全、應用安全、數據安全及備份恢復、系統運維管理、安全管理機構等幾方面,按照身份鑒別、訪問控制、介質管理、密碼管理、通信和數據的完整、保密性以及數據備份與恢復等具體要求,對信息流進行不同等級的劃分,從而達到有效保護的目的。信息系統的安全保護等級分為五級:第一級為自主保護級,第二級指導保護級,第三級為監督保護級,第四級為強制保護級,第五級為專控保護級。
針對政府、企業常用的三級安全保護設計中,主要是以三級安全的密碼技術、系統安全技術及通信網絡安全技術為基礎的具有三級安全的信息安全機制和服務支持下,實現三級安全計算環境、三級安全通信網絡、三級安全區域邊界防護和三級安全管理中心的設計。
圖1 三級系統安全保護示意圖
圖2 VPN產品部署示意圖
4.VPN技術及其發展趨勢
VPN即虛擬專用網,是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。通常,VPN是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
VPN使用三個方面的技術保證了通信的安全性:隧道協議、身份驗證和數據加密。VPN通道的加密方式成為主要的技術要求,目前VPN技術主要包括IPSec VPN,非IPSec VPN(如PPTP,L2TP等),基于WEB的SSL VPN等。
IPSec VPN是基于IPSec協議的VPN產品,由IPSec協議提供隧道安全保障,協議包括AH、ESP、ISAKMP等協議。其通過對數據加密、認證、完整性檢查來保證數據傳輸的可靠性、私有性和保密性。通過采用加密封裝技術,對所有網絡層上的數據進行加密透明保護。IPSec協議最適合于LAN到LAN之間的虛擬專用網構建。
SSL VPN是基于SSL協議的VPN產品。在企業中心部署SSL VPN設備,無需安裝客戶端軟件,授權用戶能夠從任何標準的WEB瀏覽器和互聯網安全地連接到企業網絡資源。SSL VPN產品最適合于遠程單機用戶與中心之間的虛擬網構建。
整個VPN通信過程可以簡化為以下4個步驟:
(1)客戶機向VPN服務器發出連接請求。
(2)VPN服務器響應請求并向客戶機發出身份認證的請求,客戶機與VPN服務器通過信息的交換確認對方的身份,這種身份確認是雙向的。
(3)VPN服務器與客戶機在確認身份的前提下開始協商安全隧道以及相應的安全參數,形成安全隧道。
(4)最后VPN服務器將在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密,然后通過VPN隧道技術進行封裝、加密、傳輸到目的內部網絡。
目前國外公開的相關VPN產品多數采用軟件加密的方式,加解密算法也多使用通用的3DES、RSA加解密算法,不符合國家密碼產品管理和應用的要求。《商用密碼管理條例》(中華人民共和國國務院第273號令,1999年10月7日)第四章第十四條規定:任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品,不得使用自行研制的或者境外生產的密碼產品。國家密碼管理局在2009年針對VPN產品下發了《IPSec VPN技術規范》和《SSL VPN技術規范》,明確要求了VPN產品的技術體系和算法要求。
5.VPN技術在等級保護中的應用
在三級防護四大方面的設計要求中,VPN技術可以說是在四大方面的設計要求中都有廣泛的應用:
在安全計算環境的設計要求中:首先在實現身份鑒別方面,在用戶訪問的中心,系統管理員都統一建立的有用戶的用戶組和用戶名,用戶會通過VPN的設備登錄訪問中心的應用系統,當身份得到鑒別通過時才可訪問應用系統;其次在數據的完整性保護和保密性保護上都能夠防止用戶的數據在傳輸過程中被惡意篡改和盜取。
在安全區域邊界的設計要求中:網絡邊界子系統的邊界控制與VPN功能一體化實現,在保證傳輸安全性的同時提高網絡數據包處理效率。
在安全通信網絡的設計要求中:網絡安全通信的子系統主要是為跨區域邊界的通信雙方建立安全的通道,通過IPSEC協議建立安全的VPN隧道傳輸數據。完成整個應用系統中邊界或部門服務器邊界的安全防護,為內部網絡與外部網絡的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機制。在客戶端和應用服務器進出的總路由前添加網絡VPN網關,通過IPSEC協議或者SSL協議建立VPN隧道為進出的數據提供加密傳輸,實現應用數據的加密通信。
在安全管理中心的設計要求中:系統管理中,VPN技術在主機資源和用戶管理能夠實現很好的保護,對用戶登錄、外設接口、網絡通信、文件操作及進程服務等方面進行監視機制,確保重要信息安全可控,滿足對主機的安全監管需要。
在信息系統安全等級保護設計中VPN產品的部署示意圖如圖2所示。
篇7
(一)起步階段
我國金融會計電子化工作最早起步于20世紀70年代末,在80年代初期得到了初步發展。這一時期,計算機開始在會計制表、儲蓄、對公核算業務方面得到初步應用,應用系統一般在DOS平臺上單機運行,系統的開發、硬件的選型均不統一,軟件系統的特點也只是模擬手工核算,其目的只是為了減少勞動強度和工作量,缺乏操作規范和管理規章制度。
(二)發展階段
到了20世紀80年代中后期,金融電子化工作得到各家銀行的重視,各銀行系統紛紛制訂本行的電子化發展規劃,人民銀行對整個金融業的發展規劃也做出了安排。在此期間,金融會計電子化的應用領域和規模迅速擴大,區域性乃至全國性的清算網絡開始建設。這一時期的另一特點是,一些銀行開始了微機應用由單機向網絡運行的過渡,如出現了城市通存通兌網絡、同城清算網絡,業務應用領域也從單項業務發展向綜合會計業務過渡,軟件開發和硬件選型在一定范圍內得到統一,操作規范和管理規章制度已經建立。人民銀行總行在這一時期牽頭制定了金融電子化發展規劃和遠期目標設想,1989年,人民銀行全國電子聯行清算網絡系統開始啟動,同年,財政部頒布實施了《會計核算軟件管理的幾項規定(試行)》,以規范會計軟件管理工作。
(三)規范再發展階段
進入20世紀90年代,金融會計電子化規范管理工作得到有關部門重視,各行在此基礎上逐漸建立起了本系統的全國異地電子聯行清算系統,如異地匯劃系統、信用卡清算系統等。在90年代后期,一些銀行在大中城市建立了集中清算中心,財政部也于1994年7月頒布實施了《會計電算化管理辦法》、《商品化會計核算軟件評審規則》和《會計核算軟件基本功能規范》。這一時期,會計電子化安全問題得到進一步的重視,網絡安全問題逐漸成為安全防范的主要研究課題。今后,伴隨電子商務的發展,金融會計電子化工作將向網絡化發展,網絡銀行、電話銀行出現,網絡安全成為金融會計電子化安全工作的重點,金融會計電子化的規章制度和法規應運而生,金融會計電子化的安全日益關系到銀行生存乃至整個社會的穩定。
二、我國金融會計電子化工作中的安全問題
回顧我國金融會計電子化的發展歷程,筆者認為目前我國金融會計電子化工作中主要存在以下安全問題。
(一)軟件設計、開發過程中技術安全措施少、安全級別低
現有的會計應用軟件系統在設計、開發階段,普遍存在系統需求中安全需求少、軟件設計重功能輕安全等問題。軟件設計選用語言和數據庫時沒有過多考慮安全性能因素,以至于軟件投入運行后暴露出諸多安全隱患,如數據庫呈開放狀態、易于打開、應用系統軟件存在安全漏洞等。這類現象在金融會計電子化起步、發展階段開發的系統中更為明顯,并且這些軟件系統在目前還未得到徹底的更新換版。
(二)硬件自身安全性能低
這主要是在硬件選型上安全性能因素考慮的比較少,而主要側重硬件功能和價格的考察。另外,這與在硬件選型上不統一,缺乏金融系統統一的硬件選型標準也有關系。硬件自身安全性能低造成的安全問題將直接影響會計應用系統軟件的正常運行。
(三)機房建設中存在安全隱患
盡管國家出臺了《中華人民共和國計算機房、站、場地安全要求》,但這一要求在一些小的機房、場地建設中注意的較少,尤其在一些縣支行機房建設中,安全要求沒有得到徹底落實,甚至有的地方沒有專用的計算機房和場地。此外,即使建立了專用計算機房,考慮到資金等因素,許多安全設施并未配置齊全,存在機房無避雷系統、不配備UPS系統、UPS損壞后不及時修理、機房管理不嚴密等問題。
(四)網絡安全問題突出
由于我國計算機網絡建設時間比較短,安全經驗不足,暴露出的網絡安全問題比較多。這主要表現在以下2個方面。1.網絡傳輸載體本身安全性能不穩定目前我國網絡傳輸載體主要分有線和微波2種,但從應用會計電子化網絡的實踐來看,這2種載體都或多或少地存在安全問題。比如電信部門提供的傳輸線路傳輸質量不高,所用電話線路由于多為明線易損壞;而微波載體由于通信發送、接收設備安全性能不高,一些外來自然因素影響了傳輸效果,甚至導致傳輸線路暫時中斷。2.投入使用的網絡軟件安全技術措施少,尤其是地方性局域網絡目前,由于對地方建設的清算和會計信息傳輸網絡的安全技術規范還不太明確,并且對于局域網絡安全建設的認證、驗收還沒有一個技術規范和認證體系,使得局域網絡建設缺少安全把關,使已建成的網絡在安全方面存在較多漏洞和隱患。
(五)應用系統操作和使用過程中存在安全問題
金融會計電子化工作在應用會計微機系統方面存在安全問題的主要原因是操作和管理人員安全意識淡薄,當然具體管理工作薄弱也是不可忽視的一點。
1.在操作人員方面,主要表現為操作密碼管理不嚴格,存在密碼口令使用周期過長、密碼泄密、操作用戶離崗不簽退應用系統、竊密等問題,這主要源于操作人員安全意識淡薄。
2.業務部門管理人員安全意識淡薄。對于一些安全管理制度檢查落實不到位,尤其對安全操作與方便業務處理兩者之間的關系處理不妥當。在管理中的突出表現是違背安全規定去設置和配備操作崗位與操作人員,出現違規操作、違規兼崗現象,對計算機房疏于管理。
3.系統管理人員安全職責履行不到位。系統管理員的兩項重要職責是保證自己操作的安全和會計應用系統運行的安全。目前,有些系統管理員對以上兩項職責履行不到位,存在重視自身操作安全,忽視對用戶操作安全進行檢查的現象;有些系統管理員疏于對計算機電源、硬件設備的定期安全檢查、檢修,對會計應用系統的操作和運行狀況不能做到定期檢查。
4.在具體安全管理方面,手段比較少,對軟、硬件的安全檢查更少。銀行會計部門每年都要進行安全檢查,但往往只是注重業務操作管理制度落實情況的檢查,很少聯合科技部門對會計應用系統軟硬件的安全狀況進行檢查。即使對業務操作安全方面進行檢查,由于只是對操作現場簡單地了解一下,很難發現日常工作中存在的一些安全問題。
(六)制度和法規建設滯后,直接降低了會計應用
系統的運行安全性能1993年,人民銀行宿州市中心支行就開始了推廣人民銀行總行組織開發的“中央銀行會計核算系統”應用工作。1996年,該核算系統已推廣到人民銀行系統內多數營業機構,而真正的管理辦法《中央銀行會計核算系統》直到1997年方出臺,這在當時為許多銀行管理此系統的安全造成了不便。另外,法律制度的滯后也使一些機構無所適從,例如,目前印鑒技術已發展到電子印鑒逐漸取代傳統印鑒階段,電子印鑒的安全系數不斷得到提高,但是現在的法律不認可電子印鑒;伴隨金融電子聯行的普及和異地匯劃網絡的建設,異地匯兌處理手續也發生了變化,《支付結算會計核算處理手續》中的一些環節已不適應電子化發展的形勢,但至今未做出改變,這使得一些電子聯行處理手續合理不合法。此外,即使有些銀行及時制定了有關的操作規程和管理辦法,但由于基層銀行沒有制定切實可行的安全實施細則,加之操作和管理人員安全意識的淡薄,現有制度沒有落實到位的情況還很多。
三、解決金融會計電子化安全問題的幾點建議
為防范和解決金融會計電子化工作中的安全問題,確保金融會計工作在電子化條件下安全、高效地開展,筆者特提出幾點建議。
(一)程序設計、開發階段加強系統安全技術措施的運用
首先,要求業務部門在謀劃系統業務需求時,要充分考慮到諸多安全因素,對系統安全提出明確、具體的業務需求,一改過去重功能、輕安全的做法;其次,在軟件系統設計開發階段,軟件編輯人員應選用安全性能高的數據庫、運用嚴密的編程語言開發軟件,盡量減少程序上的安全漏洞;再次,在硬件選型時,要盡量采用安全性能高、運行質量好的設備,減少硬件安全隱患;四是建議有關部門,盡快制訂出金融系統軟件開發規范和硬件選型標準,尤其要明確安全規范。
(二)會計計算機系統應用階段安全防范
1.建議各銀行對會計系統內計算機房建設情況進行一次安全大檢查,對于不符合《中華人民共和國計算機房、站、場地安全要求》的,責令立即進行整改。
2.各家銀行有必要對自家先投入使用的會計計算機系統進行一次自我分析,目的是發現和解決系統設計、開發階段遺留的安全隱患,并在此基礎上對舊版本軟件進行換版升級。
3.加強計算機安全教育,提高操作人員和管理人員的計算機安全意識。金融會計電子化的安全防范措施最基本的還是要發揮人的因素。因此,需要盡更大的努力去提高人們對計算機安全的認識,尤其對會計系統安全的認識,各級教育部門和業務管理部門在這方面應做更多的教育工作。
4.將金融會計網絡安全作為今后研究和防范的重點。目前,金融計算機網絡已走進我們身邊,無論是集中結算體系的運轉、電子聯行通匯還是新興的銀行卡清算系統、網上銀行和其他網上會計服務項目的開通,都離不開網絡,而金融會計電子化安全也逐漸以網絡的安全防范為重點,因為網絡的安全直接關系到整個金融業的穩定,關系到國家和社會經濟的安全。筆者認為,目前應將盡快制定出金融會計系統網絡建設規范列入會計網絡安全工作議事日程,并逐級成立管理機構,負責網絡工程項目的安全性能驗收和日常網絡安全工作,如定期的安全檢查、提出安全管理建議和修改網絡規范的建議等。
(三)加快金融會計電子化的制度和法規建設,改變制度和法規滯后于電子化發展的現狀
1.有關管理部門應認真分析目前金融會計電子化工作中存在的諸多法規問題,要在征求有關計算機專家意見,并認真分析借鑒國外金融會計電子化發展經驗的基礎上,對今后一定時期內可能出現的金融會計系統法規性問題做出預測,從而盡快制定出切實可行的金融會計計算機安全規范和有關法規。
篇8
關鍵詞:統計信息化;因素;措施
一、制約統計信息化建設的主要因素
近幾年,我國統計信息化建設步伐加快.目前已建成了從國家統計局到各省、區、市和重點城市統計局的骨干網絡,初步形成了運用計算機及網絡收集、傳輸、處理、儲存和統計資料的網絡環境和硬件條件。但是,由于受現行的統計體制、統計制度和方法的制約,現代信息技術的應用受到很大的制約。具體表現在:
1.數據采篡和傳輸受到體制的制約。經過“九五”統計信息工程建設,目前己具備了國家統計局通過網絡直接采集企業數據的條件。通過計算機網絡實施企業數據直報,將大大提高統計數據的采集速度,同時也有利于減少地方政府對統計調查的干擾。但是,這種采集數據的方式也受到現行統計體制的制約。企業直接為國家統計局報送調查表,省、市、縣三級也需要企業數據,因而國家統計同采集到的企業數據還要反饋給地方統計局,人為的增加了工作量;此外,許多地方在企業表上按自己需要又增加了一些指標,導致了各地的企業表指標和結構不一樣,給國家統計局進行計算機數據審核和處職帶來麻煩;另外,由于地方政府和地方統計各有各自的利益,實施企業直報也遇到了一定的阻力
2.數據處理受到報表方式的制約。運用計算機進行統汁數據處理、最大的優勢是基礎數據可按一定的標志進行任意的分組和加工,數據處理的對象應當是基層表。但是,目前各級政府都需要本地區的匯總數據,因而許多進度性統計報表采取逐級匯總的方式,報送的是綜合數據而不是基層數據,其結果越往上報指標及分組就越少,無法對調查數據按不同需要進行再分組相加工。
3.統計數據庫建設受到統計制度的制約。由于目前各專業執行的標準不完全一致,如產業分類、產品分類、職業分類、城鄉分類等標準不一樣,制約著建立統一、共用的統計指標及標準庫,也給建設統一的統計數據庫帶來困難。改革開放以來,我國的統計制度變化較大,各年度之間的統計指標途徑、統計范圍和統計標準上有差別,因此,建立歷史統計數據庫,需要銨統一的口徑重新整理歷史數據,工作難度大,數據庫建設進展緩慢。目前已建成的歷史統計數據庫,由于指標范圍、口徑和標準不一,不好使用,大多數成了“死庫”。大量的歷史統計數據以紙介質為載體散存在各地、各專業,一些歷史數據已經丟失,其損失是不可挽回的。
二、措施
1.加強統計信息系統的安全教育及制度建設。要樹立全員安全意識。大力加強信息安全的法制建設和宣傳活動,努力增強廣大群眾的信息安全知識和安全防范意識,自覺遵守信息安全管理的各項規定。嚴肅打擊各種計算機信息犯罪活動,為各種信息網絡的安全運行建立起良好的社會秩序,努力構建一個健康、良好、合作及和諧的統計信息系統運行的社會環境。
隨著國家統計系統對網絡調查安全工作的重視,國家統計局和各地統計部門都結合自身情況制定了一系列的統計信息系統應急保障預案,相應的規章制度建設、標準制訂、技術保障措施等都得到了一定程度的完善。當前,尤其是要加快制定《統計信息系統信息安全管理規定》,從信息安全的組織保證、人員管理、運行環境和操作使用、管理服務等多層面建設統計信息系統的安全防范運行新機制。
在指導思想方面,應該將《統計法》的貫徹落實、統計制度及方法的改革與發展、網絡安全技術的普及與發展相結合,從制度和技術等方面保障統計信息系統的安全運行。要以風險管理思想為指導,以保障安全運行為中心,始終牢固樹立安全防范意識。切實加強信息安全保障工作的組織領導,落實信息安全責任制。要積極開展不同形式的信息安全培訓,提高網絡統計報表系統管理和使用人員的信息化安全業務素質。
篇9
[關鍵詞]電子商務;網絡隱私權;信息安全技術;安全協議;P2P技術;安全對策
隨著電子商務技術的發展,網絡交易安全成為了電子商務發展的核心和關鍵問題。在利益驅使下,有些商家在網絡應用者不知情或不情愿的情況下,采取各種技術手段取得和利用其信息,侵犯了上網者的隱私權。對網絡隱私權的有效保護,成為電子商務順利發展的重要市場環境條件。
一、網絡隱私權侵權現象
1.個人的侵權行為。個人未經授權在網絡上宣揚、公開、傳播或轉讓他人、自己和他人之間的隱私;個人未經授權而進入他人計算機系統收集、獲得信息或騷擾他人;未經授權截取、復制他人正在傳遞的電子信息;未經授權打開他人的電子郵箱或進入私人網上信息領域收集、竊取他人信息資料。
2.商業組織的侵權行為。專門從事網上調查業務的商業組織進行窺探業務,非法獲取他人信息,利用他人隱私。大量網站為廣告商濫發垃圾郵件。利用收集用戶個人信息資料,建立用戶信息資料庫,并將用戶的個人信息資料轉讓、出賣給其他公司以謀利,或是用于其他商業目的。根據紐約時報報道,、Toysmart和等網站,都曾將客戶姓名、住址、電子郵件甚至信用卡號碼等統計分析結果標價出售,以換取更多的資金。
3.部分軟硬件設備供應商的蓄意侵權行為。某些軟件和硬件生產商在自己銷售的產品中做下手腳,專門從事收集消費者的個人信息的行為。例如,某公司就曾經在其生產的某代處理器內設置“安全序號”,每個使用該處理器的計算機能在網絡中被識別,生產廠商可以輕易地收到用戶接、發的信息,并跟蹤計算機用戶活動,大量復制、存儲用戶信息。
4.網絡提供商的侵權行為
(1)互聯網服務提供商(ISPInternetServiceProvider)的侵權行為:①ISP具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私權。例:ISP把其客戶的郵件轉移或關閉,造成客戶郵件丟失、個人隱私、商業秘密泄露。②ISP對他人在網站上發表侵權信息應承擔責任。
(2)互聯網內容提供商(ICPInternetContentProvider)的侵權行為。ICP是通過建立網站向廣大用戶提供信息,如果ICP發現明顯的公開宣揚他人隱私的言論,采取放縱的態度任其擴散,ICP構成侵害用戶隱私權,應當承擔過錯責任。
5.網絡所有者或管理者的監視及竊聽。對于局域網內的電腦使用者,某些網絡的所有者或管理者會通過網絡中心監視使用者的活動,竊聽個人信息,尤其是監控使用人的電子郵件,這種行為嚴重地侵犯了用戶的隱私權。
二、網絡隱私權問題產生的原因
網絡隱私權遭受侵犯主要是由于互聯網固有的結構特性和電子商務發展導致的利益驅動這兩個方面的原因。
1.互聯網的開放性。從網絡本身來看,網絡是一個自由、開放的世界,它使全球連成一個整體,它一方面使得搜集個人隱私極為方便,另一方面也為非法散布隱私提供了一個大平臺。由于互聯網成員的多樣和位置的分散,其安全性并不好。互聯網上的信息傳送是通過路由器來傳送的,而用戶是不可能知道是通過哪些路由進行的,這樣,有些人或組織就可以通過對某個關鍵節點的掃描跟蹤來竊取用戶信息。也就是說從技術層面上截取用戶信息的可能性是顯然存在的。
2.網絡小甜餅cookie。某些Web站點會在用戶的硬盤上用文本文件存儲一些信息,這些文件被稱為Cookie,包含的信息與用戶和用戶的愛好有關。現在的許多網站在每個訪客進入網站時將cookie放入訪客電腦,不僅能知道用戶在網站上買了些什么,還能掌握該用戶在網站上看過哪些內容,總共逗留了多長時間等,以便了解網站的流量和頁面瀏覽數量。另外,網絡廣告商也經常用cookie來統計廣告條幅的點擊率和點擊量,從而分析訪客的上網習慣,并由此調整廣告策略。一些廣告公司還進一步將所收集到的這類信息與用戶在其他許多網站的瀏覽活動聯系起來。這顯然侵犯了他人的隱私。
3.網絡服務提供商(ISP)在網絡隱私權保護中的責任。ISP對電子商務中隱私權保護的責任,包括:在用戶申請或開始使用服務時告知使用因特網可能帶來的對個人權利的危害;告知用戶可以合法使用的降低風險的技術方法;采取適當的步驟和技術保護個人的權利,特別是保證數據的統一性和秘密性,以及網絡和基于網絡提供的服務的物理和邏輯上的安全;告知用戶匿名訪問因特網及參加一些活動的權利;不為促銷目的而使用數據,除非得到用戶的許可;對適當使用數據負有責任,必須向用戶明確個人權利保護措施;在用戶開始使用服務或訪問ISP站點時告知其所采集、處理、存儲的信息內容、方式、目的和使用期限;在網上公布數據應謹慎。
目前,網上的許多服務都是免費的,如免費電子郵箱、免費下載軟件、免費登錄為用戶或會員以接收一些信息以及一些免費的咨詢服務等,然而人們發現在接受這些免費服務時,必經的一道程序就是登錄個人的一些資料,如姓名、地址、工作、興趣愛好等,服務提供商會聲稱這是為了方便管理,但是,也存在著服務商將這些信息挪作他用甚至出賣的可能。
三、安全技術對網絡隱私權保護
1.電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于安全技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、系統安全監測報警技術等。
(1)防火墻技術。防火墻(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。
(2)加密技術。數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數據加密原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。
(3)數字簽名技術。數字簽名(Digital??Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整、不可否認服務中都要用到數字簽名技術。
(4)數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳(DigitaTime-stamp)的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。
2.電子商務信息安全協議
(1)安全套接層協議(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年設計開發的,主要用于提高應用程序之間的數據的安全系數。SSL的整個概念可以被總結為:一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協議,該協議向基于TCP/IP的客戶、服務器應用程序提供了客戶端與服務的鑒別、數據完整性及信息機密性等安全措施。中國
(2)安全電子交易公告(SecureElectronicTransactions,SET)。SET是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統規范。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。SET已成為全球網絡的工業標準。
(3)安全超文本傳輸協議(S-HTTP)。依靠密鑰的加密,保證Web站點間的交換信息傳輸的安全性。SHTTP對HT-TP的安全性進行了擴充,增加了報文的安全性,是基于SSL技術上發展的。該協議向互聯網的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。
(4)安全交易技術協議(STT)。STT將認證與解密在瀏覽器中分離開,以提高安全控制能力。
(5)UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。
3.P2P技術與網絡信息安全。P2P(Peer-to-Peer,即對等網絡)是近年來廣受IT業界關注的一個概念。P2P是一種分布式網絡,最根本的思想,同時它與C/S最顯著的區別在于網絡中的節點(peer)既可以獲取其它節點的資源或服務,同時,又是資源或服務的提供者,即兼具Client和Server的雙重身份。一般P2P網絡中每一個節點所擁有的權利和義務都是對等的,包括通訊、服務和資源消費。
(1)隱私安全性
①目前的Internet通用協議不支持隱藏通信端地址的功能。攻擊者可以監控用戶的流量特征,獲得IP地址。甚至可以使用一些跟蹤軟件直接從IP地址追蹤到個人用戶。SSL之類的加密機制能夠防止其他人獲得通信的內容,但是這些機制并不能隱藏是誰發送了這些信息。而在P2P中,系統要求每個匿名用戶同時也是服務器,為其他用戶提供匿名服務。由于信息的傳輸分散在各節點之間進行而無需經過某個集中環節,用戶的隱私信息被竊聽和泄漏的可能性大大縮小。P2P系統的另一個特點是攻擊者不易找到明確的攻擊目標,在一個大規模的環境中,任何一次通信都可能包含許多潛在的用戶。
②目前解決Internet隱私問題主要采用中繼轉發的技術方法,從而將通信的參與者隱藏在眾多的網絡實體之中。而在P2P中,所有參與者都可以提供中繼轉發的功能,因而大大提高了匿名通訊的靈活性和可靠性,能夠為用戶提供更好的隱私保護。
(2)對等誠信
為使得P2P技術在更多的電子商務中發揮作用,必須考慮到網絡節點之間的信任問題。實際上,對等誠信由于具有靈活性、針對性并且不需要復雜的集中管理,可能是未來各種網絡加強信任管理的必然選擇。
對等誠信的一個關鍵是量化節點的信譽度。或者說需要建立一個基于P2P的信譽度模型。信譽度模型通過預測網絡的狀態來提高分布式系統的可靠性。一個比較成功的信譽度應用例子是在線拍賣系統eBay。在eBay的信譽度模型中,買賣雙方在每次交易以后可以相互提升信譽度,一名用戶的總的信譽度為過去6個月中這些信譽度的總和。eBay依靠一個中心來管理和存儲信譽度。同樣,在一個分布式系統中,對等點也可以在每次交易以后相互提升信譽度,就象在eBay中一樣。例如,對等點i每次從j下載文件時,它的信譽度就提升(+1)或降低(-1)。如果被下載的文件是不可信的,或是被篡改過的,或者下載被中斷等,則對等點i會把本次交易的信譽度記為負值(-1)。就象在eBay中一樣,我們可以把局部信譽度定義為對等點i從對等點j下載文件的所有交易的信譽度之和。
每個對等點i可以存貯它自身與對等點j的滿意的交易數,以及不滿意的交易數,則可定義為:
Sij=sat(i,j)-unsat(i,j)
四、電子商務中的隱私安全對策
1.加強網絡隱私安全管理。我國網絡隱私安全管理除現有的部門分工外,要建立一個具有高度權威的信息安全領導機構,才能有效地統一、協調各部門的職能,研究未來趨勢,制定宏觀政策,實施重大決定。
2.加快網絡隱私安全專業人才的培養。在人才培養中,要注重加強與國外的經驗技術交流,及時掌握國際上最先進的安全防范手段和技術措施,確保在較高層次上處于主動。
3.開展網絡隱私安全立法和執法。加快立法進程,健全法律體系。結合我國實際,吸取和借鑒國外網絡信息安全立法的先進經驗,對現行法律體系進行修改與補充,使法律體系更加科學和完善。
4.抓緊網絡隱私安全基礎設施建設。國民經濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現。為此,需要建立中國的公開密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。
5.建立網絡風險防范機制。在網絡建設與經營中,因為安全技術滯后、道德規范蒼白、法律疲軟等原因,往往會使電子商務陷于困境,這就必須建立網絡風險防范機制。建議網絡經營者可以在保險標的范圍內允許標保的財產進行標保,并在出險后進行理賠。
6.強化網絡技術創新,重點研究關鍵芯片與內核編程技術和安全基礎理論。統一組織進行信息安全關鍵技術攻關,以創新的思想,超越固有的約束,構筑具有中國特色的信息安全體系。
7.注重網絡建設的規范化。沒有統一的技術規范,局部性的網絡就不能互連、互通、互動,沒有技術規范也難以形成網絡安全產業規模。目前,國際上出現許多關于網絡隱私安全的技術規范、技術標準,目的就是要在統一的網絡環境中保證隱私信息的絕對安全。我們應從這種趨勢中得到啟示,在同國際接軌的同時,拿出既符合國情又順應國際潮流的技術規范。
參考文獻:
[1]屈云波.電子商務[M].北京:企業管理出版社,1999.
[2]趙立平.電子商務概論[M].上海:復旦大學出版社,2000.
[3]趙戰生.我國信息安全及其技術研究[J].中國信息導報,1999,(8).
篇10
關鍵詞:計算機網絡; 危險因素; 安全策略
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2009)14-3678-02
網絡安全從其本質上來講就是網絡上的信息安全。它涉及的領域相當廣泛。這是因為目前的公用通信網絡中存在著各種各樣的安全漏洞和威脅。從廣義來說,凡是涉及到網絡信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網絡安全所要研究的領域。計算機網絡安全的含義就是通過各種密碼技術和信息安全技術,保護在通信網絡中傳輸、交換和存儲信息的機密性、完整性和真實性,并對信息的傳播及內容有控制能力。網絡安全的結構層次包括物理安全、安全控制和安全服務。
1 計算機網絡的危險因素
1.1 威脅網絡安全的主要因素
計算機網絡安全受到的威脅包括:
1)“黑客”的攻擊:利用UNIX系統提供的Telnet Daemon、FTPd、Remote Exee Daemon等默認賬戶進行攻擊;利用UNIX系統提供的Finger、RuserS收集的信息進行攻擊;利用FTP、NFS、Rlogin等進行攻擊;
2)計算機病毒和拒絕服務攻擊;
3)威脅的類型:非授權訪問。這主要的是指對網絡設備以及信息資源進行非正常使用或超越權限使用;假冒合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權,以達到占用合法用戶資源的目的;數據完整性受破壞;干擾系統的正常運行,改變系統正常運行的方向,以及延時系統的響應時間;病毒;通信線路被竊聽等;
4)操作系統的脆弱性。
操作系統支持的程序動態連接與數據動態交換是現代系統集成和系統擴展的必備功能,而動態連接、I/O程序與系統服務、打補丁升級可被黑客利用,滋生病毒。操作系統可能創建進程,即使在網絡的節點上同樣也可以進行遠程進程的創建與激活,且該進程有繼續創建進程的權力,加上操作系統支持在網絡上傳輸文件,在網絡上能加載程序,二者結合起來就可以在遠端服務器上安裝“間諜”軟件,常以打補丁的方式“打”入合法用戶(尤其是在特權用戶)以躲避監測。守護進程Daemon具有操作系統核心層軟件同等權力,會被黑客利用。網絡操作系統提供的遠程過程調用(RPC)服務以及它所安排的無口令入口也是黑客的通道。
不管是什么樣的網絡系統都離不開人的管理,但大多數網絡系統缺少安全管理員,特別是高素質的網絡管理員。此外,缺少網絡安全管理的技術規范,缺少定期的安全測試與檢查,更缺少安全監控。令人擔憂的是許多網絡系統已使用多年,但網絡管理員與用戶的注冊、口令等還是處于默認狀態。
1.2 來自外部各種威脅
物理威脅:物理安全是指用以保護計算機硬件和存儲介質的裝置與工作程序,常見的物理威脅有偷竊、廢物搜尋和間諜活動。
網絡威脅:網絡威脅常見的有:電子竊聽、撥號入網、假冒。
身份鑒別:身份識別普遍存在于計算機系統中,最簡單的形式是口令,但是口令是脆弱的鑒別手段,黑客可以設法破解口令,如安排口令圈套(模仿登錄界面)套取口令;用密碼字典或其他工具軟件來破解口令,或者破壞口令算法(使用超長的字符串)。
編制程序:主要是病毒、蠕蟲、特洛伊木馬、宏病毒等通過不同的方式進入用戶的系統。
系統漏洞:主要是后門backdoor(如VMS操作系統、一些BIOS的萬能密碼)和源代碼漏洞。
2 計算機網絡的安全策略
2.1 物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊:驗證用戶的身份和使用權限,防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。抵制和防止電磁泄露是物理安全策略的一個主要問題。目前主要防護措施有兩類,一類是對傳導輻射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉禍合。另一類是對輻射的防護,這類防護措施又可分為以下的兩種:一是采用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。
2.2 訪問控制策略
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和異常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一。
1)入網訪問控制
入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的默認限制檢查。
對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網絡之外。用戶名和口令驗證有效之后,再進一步履行用戶賬號的默認限制用戶入網的工作站數量。當用戶對交費網絡的訪問“交費”用盡時,網絡還應能對用戶的賬號加以限制,用戶此時應無法進入網絡訪問資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則是認為是非法用戶的入侵,應給出報警信息。
2)網絡的權限控制
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限,以控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽(IRM)可作為其兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器,可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類:特殊用戶(即系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。
3)目錄級安全控制
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有8種:系統管理員權限(SuPervisor)、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(FileSean)、存取控制權限(AeeeSSControl)。用戶對文件或目標的有效權限取決于三個因素:用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡系統管理員應當為用戶指定適當的訪問權限,這些訪問權限控制著用戶對服務器的訪問。8種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務器資源的訪問,從而加強網絡和服務器的安全性。
4)網絡服務器安全控制
網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
2.3 防火墻控制
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的入侵。目前的防火墻主要有以下三種類型:
1)包過濾防火墻:包過濾防火墻設置在網絡層,可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表,信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的工P地址、傳輸協議類型(TCP、UDP、工CMP等)、協議源端口號、協議目的端口號、連接請示方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時,則允許數據包通過,否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內部的訪問,也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包,無法實施對應用級協議的處理,也無法處理UDP、RPC或動態的協議。
2)防火墻:防火墻又稱應用層網關級防火墻,它由服務器和過濾路由器組成,是目前較流行的一種防火墻。它將過濾路由器和軟件技術結合在一起。過濾路由器負責網絡互聯,并對數據進行嚴格選擇,然后將篩選過的數據傳送給服務器。服務器起到外部網絡申請訪問內部網絡的中間轉接作用,其功能類似于一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時,服務器接受申請,然后它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網絡轉發這項請求。防火墻無法快速支持一些新出現的業務(如多媒體)。
3)雙穴主機防火墻:該防火墻是用主機來執行安全控制功能。一臺雙穴主機配有多個網卡,分別連接不同的網絡。雙穴主機從一個網絡收集數據,并且有選擇地把它發送到另一個網絡上。網絡服務由雙穴主機上的服務來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據,從而保護了內部網絡不被非法訪問。
參考文獻:
[1] 彭靜,章軍祥,田萍芳. 計算機網絡化管理與安全設計[J].計算機與數字工程, 2007,(5) .
[2] 王道乾. 校園網絡安全策略分析[J].科技資訊, 2006,(31) .
