如卡飯論壇,看雪安全論壇,黑吧安全網等都是比較著名的網路安全基地
B. 如何加強網路安全管理技術
導語:如何加強網路安全管理技術?隨著計算機網路技術的發展,網路信息安全管理問題不容忽視。在實際運行過程中,計算機網路信息安全是一個動態的過程,需要建立一個完善的網路安全防範體系,針對用戶不同需求,採用不同的防範措施,避免泄露用戶的隱私和信息。
如何加強網路安全管理技術
第一,要安裝防火牆,可以有效的防止內部網路遭到外部破壞。
防火牆的設置,可以有效防範外部入侵,可以有效的對數據進行監視,阻擋外來攻擊。雖然有了防火牆作為屏障,但是不能從根本上保障計算機內網的安全,因為很多的不安全因素也會來自內部非授權人員的非法訪問或者惡意竊取,因此,在計算機網路內部,還要做好身份鑒別和基本的許可權管理,做好文件的保密儲存,保證內部涉密信息的安全性。
第二,口令保護。
在計算機運行過程中,黑客可以破解用戶口令進入到用戶的計算機系統,因此,用戶要加強設置口令的保護,在實際使用過程中要定期更換密碼等。就目前而言,較為常用的是採用動態口令的方式,建立新的身份認證機制,大大提高用戶賬戶信息的安全性。動態口令主要通過一定的密碼演算法,從而實時的生成用戶登錄口令。因為登錄口令是與時間密切相關的,每次口令不一樣,而且一次生效,從而解決了口令的泄露問題,有效的保證用戶信息的安全性。
第三,數據加密。
隨著互聯網技術的迅速發展,電子商務廣泛應用,企業之間的數據和信息需要互聯網進行傳播,在進行傳輸過程中,可能出現數據竊取或者被篡改的威脅,因此,為了保證數據和信息的安全,要進行保密設置,採取加密措施,從而保證數據信息的機密性和完整性,防止被他人竊取和盜用,維護企業的根本利益。另外,在實際傳輸過程中,如果有的數據被篡改後,還可以採用校驗技術,恢復已經被篡改的內容。
第四,提高網路信息安全管理意識。
對企業而言,要向員工廣泛宣傳計算機網路信息安全知識,做好基本的計算機安全維護,普及一定的安全知識,了解簡單的威脅計算機安全的特性,認識到計算機網路信息安全的重要性,提高員工的警覺性;還要建立專業的網路信息安全管理應急小左,對計算機網路信息運行中遇到的問題要進行分析和預測,從而採取有效的措施,幫助企業網路運行安全。對個人而言,要設置較為復雜口令,提高使用計算機安全意識,保護個人的重要隱私和機密數據。個人用戶要及時升級殺毒軟體,有效防止病毒入侵,保證計算機運行安全。另外,為了防止突發事件,防止計算機數據丟失,個人用戶要對重要的數據進行復制備份,在計算機遇到攻擊癱瘓以後,保證數據資料不會丟失,避免受到不必要的損失。
如何加強網路安全管理技術
1.加強政府網站安全工作組織領導,提高責任意識
從哈爾濱市每年開展的政府網站績效考核工作可以看出,有相當數量部門領導沒有把政府網站建設和安全管理工作作為一項重要工作來抓,存在重建設輕管理的問題。借鑒全國其他省(市)的先進經驗,一是建議市政府將政府網站納入地方政府和部門績效考核體系,作為領導班子綜合考核評價的內容之一,作為領導幹部選拔任用的依據。二是要按照誰主管誰負責、誰運行誰負責的原則,強化管理和明確責任,確保政府網站安全管理工作落實到人,一層抓一層,做到網站管理不缺位,信息安全有保障。
2.建立健全政府網站安全管理制度,認真貫徹執行。
一是建立政府網站的安全管理制度體系,指導和制約網站安全建設和管理工作。網站出現相關問題時,工作人員要快速向網站相關負責人反映,以便及時得到處理;二是建立網站日常巡檢制度,指定人員每日檢查網站運行情況,及時發現並妥善解決存在的問題;三是建立具體負責人制度,對網站的網路管理、資料庫服務維護、信息處理等實行誰主管誰負責;四是建立節假日值班制度,做到信息及時更新,保證網站不間斷運行;建立日誌記錄備案制度,對網站日常工作要如實記錄,並作為技術管理檔案保存。
3.加強人才隊伍的培養,統籌建立哈爾濱市應急處理體系
一是加強政府網站安全管理培訓。通過參加信息安全、信息技術、信息管理等方面的培訓,進一步提高網站工作人員整體建設網站、管理網站的能力。二是強化技術支撐保障工作。成立哈爾濱市信息安全測評中心,為哈爾濱市黨政機關、企事業單位網站提供技術保障和技術支撐服務。三是建立政府網站專項應急預案,以保證政府網站在事故發生時得到快速、及時處理。四是建立信息安全檢查監督機制。依據已確立的技術法規、標准與制度,定期開展信息安全檢查工作,對檢查中發現的違規行為,按規定處罰相關責任人,對檢查中發現的安全問題和隱患,明確責任部門和責任人,限期整改。
4.統籌規劃政府網站群建設,實施集約化管理。
積極推進雲模式下政府網站群的集約化建設。一是按照哈爾濱市電子政務建設的總體要求,進行統籌規劃,統一網站運行載體,避免分散、重復建設,即:利用哈爾濱市信息中心平台的基礎環境作為哈爾濱市政府網站運行載體;由哈爾濱市信息中心平台的技術隊伍,承擔哈爾濱市政府網站的建設及日常運行的技術維護工作;對於缺乏建設、維護網站能力的單位或部門,不再建設獨立網站,由哈爾濱市信息中心平台代為承載其應向社會公眾提供的政府信息公開等政務公共服務功能。二是確立統一標准,完善政府信息公開和政務信息資源共享機制,規劃“中國哈爾濱”門戶網站群及內容管理系統建設,進一步整合各部門政府網站,按照統一規劃、分步實施的原則,建立統一的`站群管理平台,將哈爾濱市各政府機構網站整合到站群平台上運行,形成以市政府門戶網站為核心,以政府機構網站為群體的,資源共享、協調聯動的網站群體系,全面提高政府網站公共服務水平。三是加強網站群建設管理,強化安全保障,建立應急響應機制,依託由哈爾濱市信息中心平台現有技術、人才優勢,為哈爾濱市政府網站建設單位提供安全技術支持、信息技術培訓、網路安全風險評估等服務。
5.加大安全技術體系建設
技術防護是確保網站信息安全的有力措施,在技術防護上,主要做好以下幾方面工作。
一是要加強網路環境安全。
首先要安裝網站防火牆(WAF)、網站防篡改系統、網路防火牆和入侵檢測系統等,在傳統的網路防火牆基礎上,網站防火牆(WAF)從網路的應用層面提高網站安全防護能力,利用入侵檢測系統識別黑客非法入侵、惡意攻擊以及異常數據流量, 通過對網站防火牆(WAF)和網路防火牆進一步優化配置來阻斷黑客非法入侵、惡意攻擊。網站防篡改系統是網站最後一道防護屏障,一旦防護失效時,網站首頁或內容被篡改,防篡改系統可立即恢復網站被篡改的內容,不至於造成政治事件和影響,同時給網站管理人員短暫喘息時間,及時修改和完善網站安全配置文件,確保網站安全穩定運行。
二是加強網站平台安全管理。
在現有中心平台的基礎上,進一步優化完善網路結構、合理配置網路資源,配置下一代防火牆、病毒防護體系、網路安全檢測掃描設備和網路安全集中審計系統等設備,從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、安全保護等方面不斷完善哈爾濱市信息化中心平台的安全體系建設,確保在哈爾濱市信息中心平台基礎環境下,大數據平台、大工業體系信息化輔助決策平台和雲模式下政府網站群平台安全穩定建設運行。
三是加強網站代碼安全。
一個安全的網站,不但要有良好的網路環境,更要有高質量的應用系統,現時期由於網站代碼不嚴密、安全性差引起的網路安全事件屢見不鮮,這就要求網站技術開發人員在開發應用系統過程中,要養成良好的代碼編寫習慣,盡量不要使用來歷不明的代碼和插件,編寫程序時要嚴格過濾敏感的字元,並且在系統開發完成後,要有相應的代碼檢測機制和手段,及時更新漏洞補丁,從源頭上遏制網站掛馬、SQL注入和跨站點腳本攻擊等行為。要部署網頁防篡改系統,網頁防篡改系統具備實時阻斷非法修改和對非法修改的文件進行恢復的能力,在其他防護措施失效的情況下,能夠有效地解決網頁被篡改的問題,實現針對網站信息的保護。
四是加強數據安全。
要加強資料庫的安全,採用正版資料庫系統,通過網路安全域劃分,資料庫被隱藏在安全區域,同時通過安全加固服務對資料庫進行安全配置,並對資料庫的訪問許可權做最為嚴格的設定,最大限定保證資料庫安全;部署數據災備系統,對網站和關鍵應用系統數據進行定期備份,利用市政府大樓機房環境,將這些數據進行異地備份,確保關鍵數據安全,防止造成無法挽回的損失。
C. 什麼規定要採取防範危害網路安全行為的技術措施
網路安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公信息和存儲、傳輸、處理這些信息的網路資源及功能組件分等級實行安全保護,對網路中使用的安全技術和管理制度實行按等級管理,對網路中發生的信息安全事件分等級響應、處置。
一、互聯網服務提供者和聯網使用單位不得實施下列破壞互聯網安全保護技術措施的行為:
(一)擅自停止或者部分停止安全保護技術設施、技術手段運行;
(二)故意破壞安全保護技術設施;
(三)擅自刪除、篡改安全保護技術設施、技術手段運行程序和記錄;
(四)擅自改變安全保護技術措施的用途和范圍;
(五)其他故意破壞安全保護技術措施或者妨礙其功能正常發揮的行為。
二、提供互聯網信息服務的單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:
(一)在公共信息服務中發現、停止傳輸違法信息,並保留相關記錄;
(二)提供新聞、出版以及電子公告等服務的,能夠記錄並留存發布的信息內容及發布時間;
(三)開辦門戶網站、新聞網站、電子商務網站的,能夠防範網站、網頁被篡改,被篡改後能夠自動恢復;
(四)開辦電子公告服務的,具有用戶注冊信息和發布信息審計功能;
(五)開辦電子郵件和網上簡訊息服務的,能夠防範、清除以群發方式發送偽造、隱匿信息發送者真實標記的電子郵件或者簡訊息。
三、互聯網服務提供者和聯網使用單位應當落實以下互聯網安全保護技術措施:
(一)防範計算機病毒、網路入侵和攻擊破壞等危害網路安全事項或者行為的技術措施;
(二)重要資料庫和系統主要設備的冗災備份措施;
(三)記錄並留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名、系統維護日誌的技術措施;
(四)法律、法規和規章規定應當落實的其他安全保護技術措施。
法律依據:
《中華人民共和國網路安全法》
第二十一條
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
D. 什麼是計算機網路技術任務驅動式
摘要:計算機網路為人們帶來了極大的便利,同時也在經受著垃圾郵件、病毒和黑客的沖擊,因此計算機網路安全技術變得越來越重要。而建立和實施嚴密的網路安全策略和健全安全制度是真正實現網路安全的基礎。關鍵詞:計算機網路安全防禦措施1.1什麼是計算機網路安全?計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,數據的保密性、完整性及可使用性受到保護。計算機網路安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免於破壞、丟失等。邏輯安安全包括信息的完整性、保密性和可用性。計算機網路安全不僅包括組網的硬體、管理控制網路的軟體,也包括共享的資源,快捷的網路服務,所以定義網路安全應考慮涵蓋計算機網路所涉及的全部內容。參照ISO給出的計算機安全定義,認為計算機網路安全是指:「保護計算機網路系統中的硬體,軟體和數據資源,不因偶然或惡意的原因遭到破壞、更改、泄露,使網路系統連續可靠性地正常運行,網路服務正常有序。」從本質上講,網路安全就是網路上的信息的安全。計算機網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄漏,系統能連續可靠地正常運行,網路服務不被中斷。從廣義上看,凡是涉及網路上信息的保密性、完整性、可用性、真實性和可控制性的相關技術理論,都是網路安全研究的領域。從用戶角度來說,他們希望涉及個人隱私或商業機密的信息在網路上受到機密性、完整性和真實性的保護,同時希望保存在計算機系統上的信息不受用戶的非授權訪問和破壞。從網路運行和管理角度說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「陷門」、病毒、非法存取、拒絕訪問等威脅,制止和防禦網路黑客的攻擊。從社會教育的角度來說,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。1.2.1計算機病毒計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能精確地自我復制的一組計算機指令或者程序代碼。計算機病毒具有傳染性和破壞性,它是一段能夠起破壞作用的程序代碼,與所在的系統或網路環境相適應並與之配合起到破壞作用,是人為特製的通過非授權的方式入侵到別人計算機的程序,給計算機系統帶來某種故障或使其完全癱瘓。比如我們常見蠕蟲病毒就可以使我們的計算機運行速度越來越慢,慢到我們無法忍受的程度。計算機病毒本身具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。隨著計算機及網路技術的發展,計算機病毒的種類越來越多,擴散速度也不斷加快,破壞性也越來越大。1.2.2黑客和黑客軟體黑客是泛指採用各種非法手段入侵計算機進行非授權訪問的人員。他們往往會不請自來的光顧各種計算機系統,對已被入侵的計算機截取數據、竊取情報、篡改文件,甚至擾亂和破壞系統。黑客軟體是指一類專門用於通過網路對遠程的計算機設備進行攻擊,進而控制、盜取、破壞信息的程序,它不是病毒,但可任意傳播病毒。互聯網的發達,使黑客活動也變得越來越猖獗,例如所提到的5名杭州的「電腦高手」,利用「黑客」技術遠程竊取價值14萬余元的游戲幣。2009年5月23日,被重慶九龍坡區法院以盜竊罪一審判刑10年半,並處罰金5萬元。就是此類,黑客發展至今,已不再是單純為研究新科技,或對抗牟取暴利的狹義英雄,除有受不住金錢誘惑而入侵電腦盜取資料出售或勒索賺錢外,還有懷著政治動機和其他不可告人目的的行為。1.2.3系統及網路安全漏洞系統、協議及資料庫等的設計上存在的缺陷導致了各種各樣漏洞的產生,使網路門戶大開,也是造成網路不安全的主要因素。1.2.4用戶操作失誤及防範意識不強用戶防範意識不強,口令設置過於簡單,將自己的賬號隨意泄露以及瀏覽不熟悉的網頁、下載等,都會對網路帶來安全隱患。2常用網路安全技術2.1防火牆技術盡管近年來各種網路安全技術不斷涌現,但到目前為止防火牆仍是網路系統安全保護中最常用的技術。據公安部計算機信息安全產品質量監督檢驗中心對2000年所檢測的網路安全產品的統計,在數量方面,防火牆產品占第一位,其次為入侵檢測產品和網路安全掃描。防火牆系統是一種網路安全部件,它可以是硬體,也可以是軟體,也可能是硬體和軟體的結合,這種安全部件處於被保護網路和其它網路的邊界,接收進出被保護網路的數據流,並根據防火牆所配置的訪問控制策略進行過濾或作出其它操作,防火牆系統不僅能夠保護網路資源不受外部的侵入,而且還能夠攔截從被保護網路向外傳送有價值的信息。防火牆系統可以用於內部網路與Internet之間的隔離,也可用於內部網路不同網段的隔離,後者通常稱為Intranet防火牆。2.2入侵檢測系統網路入侵檢測技術也叫網路實時監控技術,它通過硬體或軟體對網路上的數據流進行實時檢查,並與系統中的入侵特徵資料庫進行比較,一旦發現有被攻擊的跡象,立刻根據用戶所定義的動作做出反應,如切斷網路連接,或通知防火牆系統對訪問控制策略進行調整,將入侵的數據包過濾掉等。2.3網路安全掃描技術網路安全掃描技術是為使系統管理員能夠及時了解系統中存在的安全漏洞,並採取相應防範措施,從而降低系統的安全風險而發展起來的一種安全技術。利用安全掃描技術,可以對區域網絡、Web站點、主機操作系統、系統服務以及防火牆系統的安全漏洞進行掃描,系統管理員可以了解在運行的網路系統中存在的不安全的網路服務,在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了竊聽程序,防火牆系統是否存在安全漏洞和配置錯誤。其它的網路安全技術還包括加密技術、身份認證、訪問控制技術、數據備份和災難恢復和VPN技術等等。3網路安全的保護手段3.1.技術保護手段網路信息系統遭到攻擊和侵人,與其自身的安全技術不過關有很大的關系。特別是我國網路安全信息系統建設還處在初級階段,安全系統有其自身的不完備性及脆弱性,給不法分子造成可乘之機。網路信息系統的設立以高科技為媒介,這使得信息環境的治理工作面臨著更加嚴峻的挑戰。根據實際情況,可採取以下技術手段:(1)網路安全訪問控制技術。通過對特定網段和服務建立訪問控制體系,可以將絕大多數攻擊阻止在到達攻擊目標之前。可實施的安全措施有:防火牆、VPN設備、VLAN劃分、訪問控制列表、用戶授權管理、TCP同步攻擊攔截、路由欺騙防範、實時人侵檢測技術等。(2)身份認證技術該項技術廣泛用於廣域網、區域網、撥號網路等網路結構。用於網路設備和遠程用戶的身份認證,防止非授權使用網路資源。(3)加密通信技術該措施主要用於防止重要或敏感信息被泄密或篡改。該項技術的核心是加密演算法。其加密方法主要有:對稱型加密、不對稱型加密、不可逆加密等。(4)備份和恢復技術。對於網路關鍵資源如路由器交換機等做到雙機備份,以便出現故障時能及時恢復。(5)在系統和應用層面,包括計算機防病毒技術採用安全的操作系統(達BZ級)、應用系統的關鍵軟硬體及關鍵數據的備份等。防病毒技術和備份措施是通常採用的傳統安全技術,而安全的操作系統是一個新的發展趨勢。2.2.法律保護手段。為了用政策法律手段規范信息行為,節擊信息侵權和信息犯罪,維護網路安全,各國已紛紛制定了法律政策。1973年瑞士通過了世界上第一部保護計算機的法律;美國目前已有47個州制定了有關計算機法規,聯邦政府也頒布了《偽造存取手段及計算機詐騙與濫用法》和《聯邦計算機安全法》;1987年日本在刑法中增訂了懲罰計算機犯罪的若千條款,並規定了刑罰措施.此外,英、法、德、加等國也先後頒布了有關計算機犯罪的法規。1992年國際經濟合作與發展組織發表了關於信息系統的安全指南,各國遵循這一指南進行國內信息系統安全工作的調整。我國於1997年3月通過的新刑法首次規定了計算機犯罪,即破壞計算機信息系統罪,是指違反國家規定,對計算機信息系統功能和信息系統中儲存、處理、傳輸的數據和應用程序進行破壞,造成計算機信息系統不能正常運行,後果嚴重的行為。根據刑法第286條的規定,犯本罪的,處5年以下有期徒刑或者拘役;後果特別嚴重的,處5年以上有期徒刑。其他相關的法律、法規《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網路國際聯網管理暫行規定》、《中華人民共和國計算機信息網路國際聯網管理暫行規定》、《中華人民共和國計算機信息網路國際聯網管理暫行規定實施法》也先後相繼出台.這些法律法規的出台,為打擊計算機犯罪、網路犯罪,保護網路安全提供了法律依據。3.3.管理保護手段.從管理措施上下工夫確保網路安全也顯得格外重要。在這一點上,一方面,加強人員管理,建立一支高素質的網路管理隊伍,防止來自內部的攻擊、越權、誤用及泄密。主要指加強計算機及系統本身的安全管理,如機房、終端、網路控制室等重要場所的安全保衛,對重要區域或高度機密的部門應引進電子門鎖、自動監視系統、自動報警系統等設備。對工作人員進行識別驗證,保證只有授權的人員才能訪問計算機系統和數據。常用的方法是設置口令或密碼。系統操作人員、管理人員、稽查人員分別設置,相互制約,避免身兼數職的管理人員許可權過大。另一方面,通過一定的管理方法上的規章制度限制和約束不安分的計算機工作者,以防止計算機病毒及黑客程序的產生、傳播,以及通過對計算機操作人員的職業道德教育,使其充分認識到計算機病毒及黑客程序等對計算機用戶的危害,認識到傳播病毒、非法人侵等行為是不道德的甚至是違法的行為,使每一個計算機工作者都成為網路安全的衛士。在一定的程度上,好的管理方法的實施比用技術方法實現防護更為有效。要在思想上給予足夠的重視。要採取「預防為主,防治結合」的八字方針,從加強管理人手,制訂出切實可行的管理措施。3.4.倫理道德保護手段。倫理道德是人們以自身的評價標准而形成的規范體系。它不由任何機關制定,也不具有強制力,而受到內心准則、傳統習慣和社會輿論的作用,它存在於每個信息人的內心世界。因而倫理道德對網路安全的保護力量來自於信息人的內在驅動力,是自覺的、主動的,隨時隨地的,這種保護作用具有廣泛性和穩定性的特點。在倫理道德的范疇里,外在的強制力已微不足道,它強調自覺、良律,而無須外界的他律,這種發自內心的對網路安全的尊重比外界強制力保護網路安全無疑具有更深刻的現實性。正因為倫理道德能夠在個體的內心世界裡建立以「真、善、美」為准則的內在價值取向體系,能夠從自我意識的層次追求平等和正義,因而其在保護網路安全的領域能夠起到技術、法律和管理等保護手段所起不到的作用。4計算機網路安全的防範措施4.2安裝防火牆和殺毒軟體防火牆是內部網與外部網之間的「門戶」,對兩者之間的交流進行全面管理,以保障內部和外部之間安全通暢的信息交換。防火牆採用包過濾、電路網關、應用網關、網路地址轉化、病毒防火牆、郵件過濾等技術,使得外部網無法知曉內部網的情況,對用戶使用網路有嚴格的控制和詳細的記錄。個人計算機使用的防火牆主要是軟體防火牆,通常和殺毒軟體配套安裝。殺毒軟體主要用來殺毒防毒,但要注意,殺毒軟體必須及時升級,升級到最新版本,才能更有效的防毒。由於病毒在不斷更新,殺毒軟體也需要經常更新。殺毒軟體和防火牆的區別在於:殺毒軟體是醫生,用來查殺各種病毒。防火牆是門衛,可以防止黑客攻擊,阻止陌生人訪問計算機。安裝了殺毒軟體和防火牆要及時升級,並經常運行殺毒軟體殺毒,這樣才能防毒。4.3及時安裝漏洞補丁程序微軟對漏洞有明確定義:漏洞是可以在攻擊過程中利用的弱點,可以是軟體、硬體、程序缺點、功能設計或者配置不當等。美國威斯康星大學的Miller給出一份有關現今流行的操作系統和應用程序的研究報告,指出軟體中不可能沒有漏洞和缺陷。如今越來越多的病毒和黑客利用軟體漏洞攻擊網路用戶,比如有名的沖擊波病毒就是利用微軟的RPC漏洞進行傳播,震盪波病毒利用Windows的LSASS中存在的一個緩沖區溢出漏洞進行攻擊。當我們的系統程序中有漏洞時,就會造成極大的安全隱患。為了糾正這些漏洞,軟體廠商發布補丁程序。我們應及時安裝漏洞補丁程序,有效解決漏洞程序所帶來的安全問題。掃描漏洞可以使用專門的漏洞掃描器,比如COPS、tripewire、tiger等軟體,也可使用360安全衛士,瑞星卡卡等防護軟體掃描並下載漏洞補丁。4.4養成良好的上網習慣如果安裝了防護軟體並及時更新,並及時下載安裝漏洞補丁,計算機基本是安全的。但在很多情況下,網路的木馬和各種病毒是我們自己「請」進來的。所以,養成良好的上網習慣,可以在很大程度上防範病毒。4.4.1不要隨便瀏覽陌生網頁,隨便打開陌生郵件,防範「網路釣魚」。在訪問網站,特別是需要輸入帳號的時候要仔細確認網站的合法性。打開陌生郵件前,先進行殺毒。4.4.2使用聊天工具不要隨便打開陌生人發的文件,防範即時通訊病毒。除了不隨便打開陌生人發的文件和網址鏈接外,還應該關閉不需要的服務,如FTP客戶端、Telnet及Web服務等。4.4.3下載軟體要從著名網站下載,防範軟體捆綁木馬和間諜軟體。比較著名的下載站點如天空軟體、華軍軟體、多特軟體等提供的軟體是比較安全的。5結束語安全問題始終伴隨著計算機網路的發展,面對越來越快的信息化進步,各種新技術也不斷出現和應用,網路安全將會面臨更加嚴峻的挑戰,因此,關於計算機網路安全的問題,仍有大量的工作需要去研究、探索和開發。參考文獻[1]王福春.試擊網路安全及其防護[J].江西行政學院學報,2006.[2]方倩.淺論計算機網路安全[J].計算機與信息技術,網路天地[3]黃儉等.計算機網路安全技術.東南大學出版社,2001,(8)[4]楊彬.淺析計算機網路信息安全技術研究及發展趨勢[J].應用科技,2010[5]李勇..淺論計算機網路安全與防範[J].蚌埠黨校學報2009(1)[6]劉曉珍.計算機網路安全與防護[J].機械管理開發,2010(6).計算機信息管理畢業論文淺談信息管理與知識管理摘要:通過信息管理、知識管理概念的比較分析,論述了知識管理與信息管理的區別與聯系,闡述了知識管理在管理的對象、管理的方式和技術以及管理的目標上的拓展、改進和深化。最後得出結論:知識管理是信息管理適應知識經濟時代發展的必然結果,知識管理是信息科學發展中新的增長點。關鍵詞:信息管理;知識管理;比較研究l信息管理與知識管理的概念1.1信息管理的概念。『信息管理』,這個術語自20世紀70年代在國外提出以來,使用頻率越來越高。關於魏管理」的概念,國外也存在多種不同的解釋。盡管學者們對信息管理的內涵、外延以及發展階段都有著種種不同的說法,但人們公認的信息管理概念可以總結如下:信息管理是個人、組織和社會為了有效地開發和利用信息資源,以現代信息技術為手段,對信息資源實施計劃、組織、指揮、控制和協調的社會活動。既概括了信息管理的三個要素:人員、技術、信息;又體現了信息管理的兩個方面:信息資源和信息活動;反映了管理活動的基本特徵:計劃、控制、協調等。通過對國內外文獻資料的廣泛查閱,發現人們對信息管理的理解表現在以下五種不同含義:信息內容管理,信息媒體管理,計算機信息管理,管理信息系統,信息產業或行業的隊伍管理。l.2知識管理的概念。關於知識管理的定義,在國內外眾{5{紛紜。在國外,奎達斯認為,知識管程,以滿足現在或將來出現的各種需要,確定和探索現有和獲得的知識資產,開發新的機會。巴斯認為,知識管理是指為了增強組織的效績而創造、獲取和使用知識的過程。丹利爾奧利里認為,就唇降組織收到的各種來源的信息轉化為知識,並將知識與人聯系起來的過程。馬斯認為,知識管理是—個系統的發現、選擇、組織、過濾和表述信息的過程,目的是改善雇員對待特定問題的理解。美國德爾集團創始人之一卡爾費拉保羅認為,知識管理就是運用。是為企業實現顯性知識和隱性知識共享提供的新途徑。而如何識別、獲取、開發、分解、儲存、傳遞知識,從而使每個員工在最大限度地貢獻出其積累的知識的同時,也能享用他人的知識,實現知識共享則是知識管理的目標。在國內,烏家培教授認為,知識管理是信息管理發展的新階層,它同信息管理以往各階段不一樣,要求把信息與信息、信息與活動、信息與人連結起來,在人際交流的互動過程中,通過信息與知識(除顯性知識外還包括隱性知識)的共享,運用群體的智能進行創新,以贏得競爭優勢。他指出。對於知識管理的研究,最寬的理解認為,知識管理就是知識時代的管理,最窄的理解則認為,知識管理只是對知識資產(或智力資本)的管理。2信息管理與知識管理的聯系信息管理是知識管理的基礎,知識管理是信息管理在深度和廣度上的進一步深化和發展。信息管理為知識管理提供了堅實的基礎,因為共享信息是其關鍵因素之一,因而如果—個組織不能進行有效的信息管理就不可能成功地進行知識管理。首先,知識管理需要信息管理理論與技術的支撐。知識管理的楊黽知識倉嘶,知識倉!是一個連續不斷的過程。在知識經濟時代,知識已成為一種基本的生產資料,但知識的創新離不開信息,而知識不能簡單地從所得數據進行歸納概括中產生,由知識與信息的互動性決定了信息資源演變成為知識資源的過程中,不可避免地需要運用信息管理理論與技術對信息資源進行感知、提取、識別、檢索、規劃、傳遞、開發、控制、處理、集成、存儲和利用,通過學習過程與價值認知使信息轉化為知識。信息管理理論和技術的發展為知識的採集與加工、交流與共享、應用與創新提供了得天獨厚的環境和條件,為知識管理項目的實施奠定了堅實的基礎。因此,知識管理與信息管理是相互依存的。其次,知識管理是對信息管理的揚棄。這主要表現在三個方面:一是傳統的信息管理以提供一次、二次文獻為主,而知識管理不再局限於利用片面的信息來滿足用戶的需求,而是對用戶的需求系統分析,向用戶提供全面、完善的解決方案,幫助用戶選擇有用的文獻,提高知識的獲取效率。二是傳統的信息管理僅局限於對信息的管理,而忽視對人的管理。其實在信息獲取的整個流中,人才是核心。知識管理認為對人的管理既可以提供廣泛的知識來源,又可以建立良好的組織方式用以促進知識的傳播,這適應了知識經濟時代的要求。三是姍識管理通過對知識的管理。拋棄了信息管理中被動處理信息資源的工作模式,它與知識交流、共享、創新和應用的全過程融合,使知識管理成為知識創新的核心能力。第三,知識管理是信息管理的延伸與發展。如果說售息管理使數據轉化為信息,並使信息為組織設定的目標服務,那麼知識管理則使信息轉化為知識,並用知識來提高特定組織的應變能力和創新能力。信息管理經歷了文獻管理、計算機管理、信息資源管理、競爭性情報管理,進而演進到知識管理。知識管理是信息管理發展的新階段,它同信息管理以往各階段不一樣,要求把信息與信息、信息與活動、信息與人聯結起來,在人際交流的互動過程中,通過信息與知識(除顯性知識外還包括隱性知識)的共享,運用群體的智慧進行創新,以贏得競爭優勢。3信息管理與知識管理的比較研究信息管理與知識管理的主要區別:3.1信息管理活動主要涉及到信息技術和信息資源兩個要素,而知識管理除信息技術和信息資源之外,還要管理人力資源。知識管理的目標就是運用信息技術、整合信息資源和人力資源,促進組織內知識資源的快速流動和共享。有效的控制顯性知識(信息資源)和隱性知識(人力資源)的互相轉化,實現知識創新。3.2從管理對象看,信息管理著重顯性知識(信息資源)的管理,而知識管理著重隱性知識(信息資源)的管理與開發。3.3信息管理的工作重心是解決社會信息流的有序化、易檢性和信息資源的整合問題。主要是通過對信息的收集、加工與處理,形成高度相關、比納與檢索和利用的信息資源。知識管理的工作重心是對信息進行分析、綜合和概括,把信息提升為對用戶決策有重大價值的知識資源,實現知識發現、知識創造和知識利用。3.4信息管理強調信息的加工、保存和服務;知識管理則以知識的共享、創新和利用為核心。傳統戲系管理比較偏重於信息、知識資源的收集、整理、分析、傳遞、利用,把顯性知識看作管理的唯一對象,忽略了知識包斷。知識管理把信息管理的平台,機械的方式變為動態的知識創新活動,從而把信息管理提高到—個更高的層次。4信息管理向知識管理的轉化知識管理是信息管理過程中的產物,也就是說知識管理是信息管理發展的—個新階段。概括地說,知識管理是隨著人們對資源認識的不斷深化和管理能力的不斷提高而產生和發展起來的,是人力資源管理和知識資源管理的高級化合物,代表了信息管理的發展方向。從信息管理到知識管理,大致經歷了三個階段:2O世紀40年代及40年代以前,被稱為文獻信息的管理階段,也被稱為傳統的手工方式的信息管理階段;20世紀50年代至80年代初,由於信息總量的迅速增加,信息涌流的嚴峻形勢使信息處理技術受到高度重視,信息系統和公自動化系統被廣泛應用,這是信息技術管理階段;20世紀8O年代至90年代中期,以信息資源和信息活動的各種要素為管理對象的這—時期,被稱為信息資源管理階段。自1995年以來,在現代怠息技術與網路技術的作用下,進入了知識管理階段,即信息管理的綜合集成階段,它標志著信息管理擴大到了知識管理的應用領域。從信息管理到知識管理的轉化是管理理論與實踐中「以人為本」的管理的進一步體現。人成為知識管理的對象,也是知識管理的目的。知識管理是信息管理適應經濟時代發展的必然結果和趨勢,是信息科學發展中新的增長點,是信息科學的實質、目標和任務的充分體現。實行知識管理,推進信息化建設,標志著人類社會開始進入全球經濟—體化的知識文明時代。
E. 《互聯網安全保護技術措施規定》答卷
《互聯網安全保護技術措施規定》已經2005年11月23日公安部部長辦公會議通過,二__五年十二月十三日中華人民共和國公安部令第 82 號發布,自2006年3月1日起施行。
一、關於網路安全防護
網路安全防護是一種網路安全技術,是指解決如何有效干預和控制、如何保證數據傳輸安全等問題的技術手段,主要包括物理安全分析技術、網路結構安全分析技術、系統安全分析技術、管理安全分析技術,以及其他安全服務和安全機制策略。
二、網路安全防護措施
全面分析網路系統設計的各個環節,是建立安全可靠的計算機網路工程的首要任務。要在認真研究的基礎上,下大力氣抓好網路運行質量的設計方案。為了消除該網路系統固有的安全風險,可以採取以下措施。1.網路分段技術的應用將從源頭上杜絕網路的安全隱患。由於區域網採用以交換機為中心、路由器為邊界的網路傳輸模式,加上基於中心交換機的訪問控制功能和三層交換功能,採用物理分段和邏輯分段兩種方法實現區域網的安全控制。目的是將非法用戶與敏感網路資源隔離,從而防止非法攔截,保證信息安全暢通。2.用交換集線器取代共享集線器將是消除隱患的另一種方法。3、加強設施管理,建立健全安全管理制度,防止非法用戶進入計算機控制室及各種違法行為;注意保護計算機系統、網路伺服器、列印機等硬體實體和通信線路免受自然災害、人為破壞和有線攻擊;驗證用戶的身份和訪問許可權,防止用戶越權操作,確保計算機網路系統的物理安全。4.加強訪問控制策略。訪問控制是網路安全防範和保護的主要策略,其主要任務是確保網路資源不被非法使用或訪問。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制是保證網路安全最重要的核心策略之一。
總而言之,安全管理機構是否健全,直接關繫到計算機系統的安全。其管理機構由安全、審計、系統分析、軟硬體、通信、安全等相關人員組成。
F. 如何加強網路安全管理技術
一、建立健全網路和信息安全管理制度
各單位要按照網路與信息安全的有關法律、法規規定和工作要求,制定並組織實施本單位網路與信息安全管理規章制度。要明確網路與信息安全工作中的各種責任,規范計算機信息網路系統內部控制及管理制度,切實做好本單位網路與信息安全保障工作。
二、切實加強網路和信息安全管理
各單位要設立計算機信息網路系統應用管理領導小組,負責對計算機信息網路系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網路系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,並按照「誰主管誰負責,誰運行誰負責,誰使用誰負責」的原則,切實履行好信息安全保障職責。
三、嚴格執行計算機網路使用管理規定
各單位要提高計算機網路使用安全意識,嚴禁涉密計算機連接互聯網及其他公共信息網路,嚴禁在非涉密計算機上存儲、處理涉密信息,嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網路實行物理隔離,並強化身份鑒別、訪問控制、安全審計等技術防護措施,有效監控違規操作,嚴防違規下載涉密和敏感信息。通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發涉密和敏感信息。
四、加強網站、微信公眾平台信息發布審查監管
各單位通過門戶網站、微信公眾平台在互聯網上公開發布信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關規定,建立嚴格的審查制度。要對網站上發布的信息進行審核把關,審核內容包括:上網信息有無涉密問題;上網信息目前對外發布是否適宜;信息中的文字、數據、圖表、圖像是否准確等。未經本單位領導許可嚴禁以單位的名義在網上發布信息,嚴禁交流傳播涉密信息。堅持先審查、後公開,一事一審、全面審查。各單位網路信息發布審查工作要有領導分管、部門負責、專人實施。
嚴肅突發、敏感事(案)件的新聞報道紀律,對民族、宗教、軍事、環保、反腐、人權、計劃生育、嚴打活動、暴恐案件、自然災害,涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進行宣傳報道,如確需宣傳報道的,經縣領導同意,上報地區層層審核,經自治區黨委宣傳部審核同意後,方可按照宣傳內容做到統一口徑、統一發布,確保信息發布的時效性和嚴肅性。
五、組織開展網路和信息安全清理檢查
各單位要在近期集中開展一次網路安全清理自查工作。對辦公網路、門戶網站和微信公眾平台的安全威脅和風險進行認真分析,制定並組織實施本單位各種網路與信息安全工作計劃、工作方案,及時按照要求消除信息安全隱患。各單位要加大網路和信息安全監管檢查力度,及時發現問題、堵塞漏洞、消除隱患;要全面清查,嚴格把關,對自查中發現的問題要立即糾正,存在嚴重問題的單位要認真整改。
如何加強網路安全管理
1 制定網路安全管理方面的法律法規和政策
法律法規是一種重要的行為准則,是實現有序管理和社會公平正義的有效途徑。網路與我們的生活日益密不可分,網路環境的治理必須通過法治的方式來加以規范。世界很多國家都先後制定了網路安全管理法律法規,以期規范網路秩序和行為。國家工業和信息化部,針對我國網路通信安全問題,制訂了《通信網路安全防護管理辦法》。明確規定:網路通信機構和單位有責任對網路通信科學有效劃分,根據有可能會對網路單元遭受到的破壞程度,損害到經濟發展和社會制度建設、國家的安危和大眾利益的,有必要針對級別進行分級。電信管理部門可以針對級別劃分情況,組織相關人員進行審核評議。而執行機構,即網路通信單位要根據實際存在的問題對網路單元進行實質有效性分級。針對以上條款我們可以認識到,網路安全的保證前提必須有科學合理的管理制度和辦法。網路機系統相當於一棵大樹,樹的枝幹如果出現問題勢必影響到大樹的生長。下圖是網路域名管理分析系統示意圖。
可以看到,一級域名下面分為若干個支域名,這些支域名通過上一級域名與下一級緊密連接,並且將更低級的域名授予下級域名部門相關的權利。預防一級管理機構因為系統過於寬泛而造成管理的無的放矢。通過逐級管理下放許可權。維護網路安全的有限運轉,保證各個層類都可以在科學規范的網路系統下全面健康發展。
一些發達國家針對網路安全和運轉情況,實施了一系列管理規定,並通過法律來加強網路安全性能,這也說明了各個國家對於網路安全問題的重視。比方說加拿大出台了《消費者權利在電子商務中的規定》以及《網路保密安全法》等。亞洲某些國家也頒布過《電子郵件法》以及其他保護網路安全的法律。日本總務省還重點立法,在無線區域網方面做出了明確規定,嚴禁用戶自行接受破解網路數據和加密信息。還針對違反規定的人員制定了處罰條例措施。用法律武器保護加密信息的安全。十幾年前,日本就頒布了《個人情報法》,嚴禁網路暴力色情情況出現。在網路環境和網路網路安全問題上布防嚴謹,減小青少年犯罪問題的發生。
可以說網路安全的防護網首先就是保護網路信息安全的法律法規,網路安全問題已經成為迫在眉睫的緊要問題,每一個網路使用者都應該與計算機網路和睦相處,不利用網路做違法違規的事情,能夠做到做到自省、自警。
2 採用最先進的網路管理技術
工欲善其事,必先利其器。如果我們要保障安全穩定的網路環境,採用先進的技術的管理工具是必要的。在2011年中國最大軟體開發聯盟網站600萬用戶賬號密碼被盜,全國有名網友交流互動平台人人網500萬用戶賬號密碼被盜等多家網站出現這種網路安全慘案。最主要一個原因就是用戶資料庫依然採用老舊的明文管理方式沒有及時應用新的更加安全的管理用戶賬號方式,這點從CSDN網站用戶賬號被泄露的聲明:「CSDN網站早期使用過明文密碼,使用明文是因為和一個第三方chat程序整合驗證帶來的,後來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式,改成了加密密碼。 但部分老的明文密碼未被清理,2010年8月底,對賬號資料庫全部明文密碼進行了清理。2011年元旦我們升級改造了CSDN賬號管理功能,使用了強加密演算法,賬號資料庫從Windows Server上的SQL Server遷移到了Linux平台的MySQL資料庫,解決了CSDN賬號的各種安全性問題。」通過上面的案例,我們知道保障安全的網路應用避免災難性的損失,採用先進的網路管理與開發技術與平台是及其重要的。同時我們也要研究開發避免網路安全新方法新技術。必須達到人外有人,天外有天的境界,才能在網路安全這場保衛戰中獲得圓滿勝利。保證網路優化環境的正常運轉。
3 選擇優秀的網路管理工具
優良的網路管理工具是網路管理安全有效的根本。先進的網路管理工具能夠推動法律法規在網路管理上的真正實施,保障網路使用者的完全,並有效保證信息監管執行。
一個家庭裡面,父母和孩子離不開溝通,這就如同一個管道一樣,正面的負面都可以通過這個管道進行傳輸。網路系統也是這樣,孩子沉迷與網路的世界,在無良網站上觀看色情表演,以及玩游戲,這些都是需要藉助於網路技術和網路工具屏蔽掉的。還有些釣魚網站以及垃圾郵件和廣告,都需要藉助有效的網路信息系統的安全系統來進行處理。保障網路速度的流暢和安全。網路管理工具和軟體可以擔負起這樣的作用,現在就來看看幾款管理系統模型:
網路需求存在的差異,就對網路軟體系統提出了不同模式和版本的需求,網路使用的過程要求我們必須有一個穩定安全的網路信息系統。
網路環境的變化也給網路安全工具提出了不同的要求,要求通過有效劃分網路安全級別,網路介面必須能夠滿足不同人群的需要,尤其是網路客戶群和單一的網路客戶。在一個單位中,一般小的網路介面就能滿足公司內各個部門的需要,保障內部之間網路的流暢運行即是他們的需求,因此,如何選用一款優質的網路管理軟體和工具非常的有必要。
4 選拔合格的網路管理人員
網路管理如同一輛性能不錯的機車,但是只有技術操作精良的人才能承擔起讓它發揮良好作用的重任。先進的網路管理工具和技術,有些操作者不會用或者不擅長用,思維模式陳舊,這樣只會給網路安全帶來更多的負面效應,不能保證網路安全的穩定性,為安全運轉埋下隱患。
4.1 必須了解網路基礎知識。
總的來說,網路技術是一個計算機網路系統有效運轉的基礎。必須熟知網路計算機基礎知識,網路系統構架,網路維護和管理,內部區域網絡、有效防控網路病毒等基礎操作知識。另外,網路管理者要具備扎實的理論基礎知識和操作技能,在網路的設備、安全、管理以及實地開發應用中,要做到熟練掌握而沒有空白區域。計算機網路的維護運行,還需要網路管理人員有相應的職業資格證書,這也能夠說明管理者達到的水平。在網路需求和網路性能發揮等目標上實施有效管理。
4.2 熟悉網路安全管理條例
網路管理人員必須熟悉國家制定的相關的安全管理辦法,通過法律法規的武器來保護網路安全,作為他們工作的依據和標准,有必要也有能力為維護網路安全盡職盡責。
4.3 工作責任感要強
與普通管理崗位不同的是,網路安全問題可能隨時發生。這就給網路管理人員提出了更高更切實的要求。要具有敏銳的觀察力和快速做出決策的能力,能夠提出有效的應對辦法,把網路安全問題降到最低程度,所以網路管理人員的責任心必須要強。對於出現的問題,能在8小時以內解決,盡量不影響以後時間段的網路運轉。
G. 網路安全專業就業方向前景如何
21世紀是信息化時代,我們的生活越來越離不開網路,但是與此同時信息安全事件時有發生,網路安全越來越被重視。但是由於我國網路安全起步晚,所以現在網路安全工程師十分緊缺。
根據職友集的數據顯示,當前市場上需求量較大的幾類網路安全崗位,如安全運維、滲透測試、等保測評等,平均薪資水平都在10k左右。
網路安全工程師的工作還有以下幾個優點:
1、職業壽命長:網路工程師工作的重點在於對企業信息化建設和維護,其中包含技術及管理等方面的工作,工作相對穩定,隨著項目經驗的不斷增長和對行業背景的深入了解,會越老越吃香。
2、發展空間大:在企業內部,網路工程師基本處於「雙高」地位,即地位高、待遇高。就業面廣,一專多能,實踐經驗適用於各個領域。
3、增值潛力大:掌握企業核心網路架構、安全技術,具有不可替代的競爭優勢。職業價值隨著自身經驗的豐富以及項目運作的成熟,升值空間一路看漲。
H. 如何防範計算機網路攻擊
一、計算機網路攻擊的常見手法
互聯網發展至今,除了它表面的繁榮外,也出現了一些不良現象,其中黑客攻擊是最令廣大網民頭痛的事情,它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範措施。
(一)利用網路系統漏洞進行攻擊
許多網路系統都存在著這樣那樣的漏洞,這些漏洞有可能是系統本身所有的,如WindowsNT、UNIX等都有數量不等的漏洞,也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。
對於系統本身的漏洞,可以安裝軟體補丁;另外網管也需要仔細工作,盡量避免因疏忽而使他人有機可乘。
(二)通過電子郵件進行攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,還有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓,這一點和後面要講到的「拒絕服務攻擊(DDoS)比較相似。
對於遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟體來解決,其中常見的有SpamEater、Spamkiller等,Outlook等收信軟體同樣也能達到此目的。
(三)解密攻擊
在互聯網上,使用密碼是最常見並且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人,只要有密碼,系統就會認為你是經過授權的正常用戶,因此,取得密碼也是黑客進行攻擊的一重要手法。
取得密碼也還有好幾種方法,一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而黑客就能在兩端之間進行數據監聽。
但一般系統在傳送密碼時都進行了加密處理,即黑客所得到的數據中不會存在明文的密碼,這給黑客進行破解又提了一道難題。這種手法一般運用於區域網,一旦成功攻擊者將會得到很大的操作權益。
另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼,但這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。
為了防止受到這種攻擊的危害,用戶在進行密碼設置時一定要將其設置得復雜,也可使用多層密碼,或者變換思路使用中文密碼,並且不要以自己的生日和電話甚至用戶名作為密碼,因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息,如生日等,然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼,這樣使其被破解的可能性又下降了不少。
(四)後門軟體攻擊
後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。
這些後門軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好伺服器端程序的電腦,這些伺服器端程序都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時,後門軟體的伺服器端就安裝完成了,而且大部分後門軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。
當在網上下載數據時,一定要在其運行之前進行病毒掃描,並使用一定的反編譯軟體,查看來源數據是否有其他可疑的應用程序,從而杜絕這些後門軟體。
(五)拒絕服務攻擊
互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊(DDoS)的難度比較小,但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。
現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。
對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作,所以大家在上網時一定要安裝好防火牆軟體,同時也可以安裝一些可以隱藏IP地址的程序,怎樣能大大降低受到攻擊的可能性。
-----------------------------------------------------------------------------
二、計算機網路安全的防火牆技術
計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的,就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。
(一)防火牆的含義
所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要信息。
(二)防火牆的安全性分析
防火牆對網路的安全起到了一定的保護作用,但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究,作者對防火牆的安全性有如下幾點認識:
1.只有正確選用、合理配置防火牆,才能有效發揮其安全防護作用
防火牆作為網路安全的一種防護手段,有多種實現方式。建立合理的防護系統,配置有效的防火牆應遵循這樣四個基本步驟:
a.風險分析;
b.需求分析;
c.確立安全政策;
d.選擇准確的防護手段,並使之與安全政策保持一致。
然而,多數防火牆的設立沒有或很少進行充分的風險分析和需求分析,而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆,這樣的防火牆能否「防火」還是個問題。
2.應正確評估防火牆的失效狀態
評價防火牆性能如何,及能否起到安全防護作用,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡,而且要看到一旦防火牆被攻破,它的狀態如何? 按級別來分,它應有這樣四種狀態:
a.未受傷害能夠繼續正常工作;
b.關閉並重新啟動,同時恢復到正常工作狀態;
c.關閉並禁止所有的數據通行;
d. 關閉並允許所有的數據通行。
前兩種狀態比較理想,而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證,無法確定其失效狀態等級,因此網路必然存在安全隱患。
3.防火牆必須進行動態維護
防火牆安裝和投入使用後,並非萬事大吉。要想充分發揮它的安全防護作用,必須對它進行跟蹤和維護,要與商家保持密切的聯系,時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞,就會盡快發布補救(Patch) 產品,此時應盡快確認真偽(防止特洛伊木馬等病毒),並對防火牆軟體進行更新。
4.目前很難對防火牆進行測試驗證
防火牆能否起到防護作用,最根本、最有效的證明方法是對其進行測試,甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大,主要原因是:
a.防火牆性能測試目前還是一種很新的技術,尚無正式出版刊物,可用的工具和軟體更是寥寥無幾。據了解目前只有美國ISS公司提供有防火牆性能測試的工具軟體。
b.防火牆測試技術尚不先進,與防火牆設計並非完全吻合,使得測試工作難以達到既定的效果。
c.選擇「誰」進行公正的測試也是一個問題。
可見,防火牆的性能測試決不是一件簡單的事情,但這種測試又相當必要,進而提出這樣一個問題:不進行測試,何以證明防火牆安全?
5.非法攻擊防火牆的基本「招數」
a. IP地址欺騙攻擊。許多防火牆軟體無法識別數據包到底來自哪個網路介面,因此攻擊者無需表明進攻數據包的真正來源,只需偽裝IP地址,取得目標的信任,使其認為來自網路內部即可。IP地址欺騙攻擊正是基於這類防火牆對IP地址缺乏識別和驗證的機制而得成的。
b.破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能,處於失效狀態。
c.防火牆也可能被內部攻擊。因為安裝了防火牆後,隨意訪問被嚴格禁止了, 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息,個別人會對防火牆不滿進而可能攻擊它、破壞它,期望回到從前的狀態。這里,攻擊的目標常常是防火牆或防火牆運行的操作系統,因此不僅涉及網路安全,還涉及主機安全問題。
----------------------------------------------------------------------------
(三)防火牆的基本類型
實現防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、應用級網關、電路級網關和規則檢查防火牆。
1.網路級防火牆
一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的網路級防火牆可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。
如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
下面是某一網路級防火牆的訪問控制規則:
(1)允許網路123.1.0使用FTP(21口)訪問主機 ;
(2)允許IP地址為 和 的用戶Telnet (23口)到主機 上;
(3)允許任何地址的E-mail(25口)進入主機 ;
(4)允許任何WWW數據(80口)通過;
(5)不允許其他數據包進入。
網路級防火牆簡潔、速度快、費用低,並且對用戶透明,但是對網路的保護很有限,因為它只檢查地址和埠,對網路更高協議層的信息無理解能力。
2.規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣, 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。
當然它也象應用級網關一樣, 可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合公司網路的安全規則。規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機/服務機模式來分析應用層的數據, 它允許受信任的客戶機和不受信任的主機建立直接連接。
規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層數據,這些演算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
目前在市場上流行的防火牆大多屬於規則檢查防火牆,因為該防火牆對於用戶透明,在OSI最高層上加密數據,不需要你去修改客戶端的程序,也不需對每個需要在防火牆上運行的服務額外增加一個代理。
如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。
從趨勢上看,未來的防火牆將位於網路級防火牆和應用級防火牆之間,也就是說,網路級防火牆將變得更加能夠識別通過的信息,而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統,可保護數據以加密方式通過,使所有組織可以放心地在節點間傳送數據。
(四)防火牆的配置
防火牆配置有三種:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間,這個Dual-omedGateway又稱為bastionhost。
這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力,而它往往是受「黑客」攻擊的首選目標,它自己一旦被攻破,整個網路也就暴露了。
Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost,並且只接受來自Bastionhost的數據作為出去的數據。
這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網路就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。 在公共網路和私有網路之間構成了一個隔離網,稱之為」停火區」(DMZ,即DemilitarizedZone),Bastionhost放置在」停火區」內。這種結構安全性好,只有當兩個安全單元被破壞後,網路才被暴露,但是成本也很昂貴。
----------------------------------------------------------------------------
(四)防火牆的安全措施
各種防火牆的安全性能不盡相同。這里僅介紹一些一般防火牆的常用安全措施:
1.防電子欺騙術
防電子欺騙術功能是保證數據包的IP地址與網關介面相符,防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別,並向網路管理員報警。
2.網路地址轉移
地址轉移是對Internet隱藏內部地址,防止內部地址公開。這一功能可以克服IP定址方式的諸多限制,完善內部定址模式。把未注冊IP地址映射成合法地址,就可以對Internet進行訪問。
3.開放式結構設計
開放式結構設計使得防火牆與相關應用程序和外部用戶資料庫的連接相當容易,典型的應用程序連接如財務軟體包、病毒掃描、登錄分析等。
4.路由器安全管理程序
它為Bay和Cisco的路由器提供集中管理和訪問列表控制。
(六)傳統防火牆的五大不足
1.無法檢測加密的Web流量
如果你正在部署一個光鍵的門戶網站,希望所有的網路層和應用層的漏洞都被屏蔽在應用程序之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的數據是不可見的,防火牆無法迅速截獲SSL數據流並對其解密,因此無法阻止應用程序的攻擊,甚至有些網路防火牆,根本就不提供數據解密的功能。
2、普通應用程序加密後,也能輕易躲過防火牆的檢測
網路防火牆無法看到的,不僅僅是SSL加密的數據。對於應用程序加密的數據,同樣也不可見。在如今大多數網路防火牆中,依賴的是靜態的特徵庫,與入侵監測系統(IDS,Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時,防火牆才能識別和截獲攻擊數據。
但如今,採用常見的編碼技術,就能夠地將惡意代碼和其他攻擊命令隱藏起來,轉換成某種形式,既能欺騙前端的網路安全系統,又能夠在後台伺服器中執行。這種加密後的攻擊代碼,只要與防火牆規則庫中的規則不一樣,就能夠躲過網路防火牆,成功避開特徵匹配。
3、對於Web應用程序,防範能力不足
網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設置與加強狀態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。
近年來,實際應用過程中,HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商,均已轉移到基於Web的體系結構,安全防護的目標,不再只是重要的業務數據。網路防火牆的防護范圍,發生了變化。
對於常規的企業區域網的防範,通用的網路防火牆仍佔有很高的市場份額,繼續發揮重要作用,但對於新近出現的上層協議,如XML和SOAP等應用的防範,網路防火牆就顯得有些力不從心。
由於體系結構的原因,即使是最先進的網路防火牆,在防範Web應用程序時,由於無法全面控制網路、應用程序和數據流,也無法截獲應用層的攻擊。由於對於整體的應用數據流,缺乏完整的、基於會話(Session)級別的監控能力,因此很難預防新的未知的攻擊。
4、應用防護特性,只適用於簡單情況
目前的數據中心伺服器,時常會發生變動,比如:
★ 定期需要部署新的應用程序;
★ 經常需要增加或更新軟體模塊;
★ QA們經常會發現代碼中的bug,已部署的系統需要定期打補丁。
在這樣動態復雜的環境中,安全專家們需要採用靈活的、粗粒度的方法,實施有效的防護策略。
雖然一些先進的網路防火牆供應商,提出了應用防護的特性,但只適用於簡單的環境中。細看就會發現,對於實際的企業應用來說,這些特徵存在著局限性。在多數情況下,彈性概念(proof-of-concept)的特徵無法應用於現實生活中的數據中心上。
比如,有些防火牆供應商,曾經聲稱能夠阻止緩存溢出:當黑客在瀏覽器的URL中輸入太長數據,試圖使後台服務崩潰或使試圖非法訪問的時候,網路防火牆能夠檢測並制止這種情況。
細看就會發現,這些供應商採用對80埠數據流中,針對URL長度進行控制的方法,來實現這個功能的。
如果使用這個規則,將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁,確實需要涉及到很長的URL時,就要屏蔽該規則。
網路防火牆的體系結構,決定了網路防火牆是針對網路埠和網路層進行操作的,因此很難對應用層進行防護,除非是一些很簡單的應用程序。
5、無法擴展帶深度檢測功能
基於狀態檢測的網路防火牆,如果希望只擴展深度檢測(deep inspection)功能,而沒有相應增加網路性能,這是不行的。
真正的針對所有網路和應用程序流量的深度檢測功能,需要空前的處理能力,來完成大量的計算任務,包括以下幾個方面:
★ SSL加密/解密功能;
★ 完全的雙向有效負載檢測;
★ 確保所有合法流量的正常化;
★ 廣泛的協議性能;
這些任務,在基於標准PC硬體上,是無法高效運行的,雖然一些網路防火牆供應商採用的是基於ASIC的平台,但進一步研究,就能發現:舊的基於網路的ASIC平台對於新的深度檢測功能是無法支持的。
三、結束語
由於互聯網路的開放性和通信協議的安全缺陷,以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點,網上傳輸的數據信息很容易泄露和被破壞,網路受到的安全攻擊非常嚴重,因此建立有效的網。
I. 互聯網安全保護技術措施規定
第一條為加強和規范互聯網安全技術防範工作,保障互聯網網路安全和信息安全,促進互聯網健康、有序發展,維護國家安全、社會秩序和公共利益,根據《計算機信息網路國際聯網安全保護管理辦法》,制定本規定。第二條本規定所稱互聯網安全保護技術措施,是指保障互聯網網路安全和信息安全、防範違法犯罪的技術設施和技術方法。第三條互聯網服務提供者、聯網使用單位負責落實互聯網安全保護技術措施,並保障互聯網安全保護技術措施功能的正常發揮。第四條互聯網服務提供者、聯網使用單位應當建立相應的管理制度。未經用戶同意不得公開、泄露用戶注冊信息,但法律、法規另有規定的除外。
互聯網服務提供者、聯網使用單位應當依法使用互聯網安全保護技術措施,不得利用互聯網安全保護技術措施侵犯用戶的通信自由和通信秘密。第五條公安機關公共信息網路安全監察部門負責對互聯網安全保護技術措施的落實情況依法實施監督管理。第六條互聯網安全保護技術措施應當符合國家標准。沒有國家標準的,應當符合公共安全行業技術標准。第七條互聯網服務提供者和聯網使用單位應當落實以下互聯網安全保護技術措施:
(一)防範計算機病毒、網路入侵和攻擊破壞等危害網路安全事項或者行為的技術措施;
(二)重要資料庫和系統主要設備的冗災備份措施;
(三)記錄並留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名、系統維護日誌的技術措施;
(四)法律、法規和規章規定應當落實的其他安全保護技術措施。第八條提供互聯網接入服務的單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:
(一)記錄並留存用戶注冊信息;
(二)使用內部網路地址與互聯網網路地址轉換方式為用戶提供接入服務的,能夠記錄並留存用戶使用的互聯網網路地址和內部網路地址對應關系;
(三)記錄、跟蹤網路運行狀態,監測、記錄網路安全事件等安全審計功能。第九條提供互聯網信息服務的單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:
(一)在公共信息服務中發現、停止傳輸違法信息,並保留相關記錄;
(二)提供新聞、出版以及電子公告等服務的,能夠記錄並留存發布的信息內容及發布時間;
(三)開辦門戶網站、新聞網站、電子商務網站的,能夠防範網站、網頁被篡改,被篡改後能夠自動恢復;
(四)開辦電子公告服務的,具有用戶注冊信息和發布信息審計功能;
(五)開辦電子郵件和網上簡訊息服務的,能夠防範、清除以群發方式發送偽造、隱匿信息發送者真實標記的電子郵件或者簡訊息。第十條提供互聯網數據中心服務的單位和聯網使用單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:
(一)記錄並留存用戶注冊信息;
(二)在公共信息服務中發現、停止傳輸違法信息,並保留相關記錄;
(三)聯網使用單位使用內部網路地址與互聯網網路地址轉換方式向用戶提供接入服務的,能夠記錄並留存用戶使用的互聯網網路地址和內部網路地址對應關系。第十一條提供互聯網上網服務的單位,除落實本規定第七條規定的互聯網安全保護技術措施外,還應當安裝並運行互聯網公共上網服務場所安全管理系統。第十二條互聯網服務提供者依照本規定採取的互聯網安全保護技術措施應當具有符合公共安全行業技術標準的聯網介面。第十三條互聯網服務提供者和聯網使用單位依照本規定落實的記錄留存技術措施,應當具有至少保存六十天記錄備份的功能。第十四條互聯網服務提供者和聯網使用單位不得實施下列破壞互聯網安全保護技術措施的行為:
(一)擅自停止或者部分停止安全保護技術設施、技術手段運行;
(二)故意破壞安全保護技術設施;
(三)擅自刪除、篡改安全保護技術設施、技術手段運行程序和記錄;
(四)擅自改變安全保護技術措施的用途和范圍;
(五)其他故意破壞安全保護技術措施或者妨礙其功能正常發揮的行為。第十五條違反本規定第七條至第十四條規定的,由公安機關依照《計算機信息網路國際聯網安全保護管理辦法》第二十一條的規定予以處罰。