防范網絡安全的措施
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇防范網絡安全的措施范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
防范網絡安全的措施范文第1篇
關鍵詞:計算機;網絡安全;防火墻
中圖分類號:X9
文獻標識碼:A
文章編號:1672-3198(2012)04-0249-01
目前廣泛運用和比較成熟的網絡安全防范技術主要有:防火墻技術、數據加密技術、訪問控制、防御病毒技術、入侵檢測技術、數字簽名和鑒別手段等。以下就此幾項技術分別進行分析。
1防火墻技術
防火墻是為保護安全性而設計的,安全應是其主要考慮。防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是指位于計算機和它所連接的網絡之間的硬件或軟件,也可以位于兩個或多個網絡之間,比如局域網和互聯網之間,網絡之間的所有數據流都經過防火墻。防火墻可以控制不安全的服務,從而大大草原提高網絡安全性,并通過過濾不安全的服務來降低子網上主系統所冒的風險。防火墻可以對網絡之間的通訊進行掃描,關閉不安全的端口,阻止外來的DoS攻擊,封鎖特洛伊木馬等,以保證網絡和計算機的安全。
一般的防火墻都可以達到以下目的:一是可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;二是防止入侵者接近你的防御設施;三是限定用戶訪問特殊站點;四是為監視Internet安全,提供方便。
2數據加密技術
數據加密技術包括加密與解密技術。加密是網絡與信息安全保密的重要基礎。它是將原文用某種既定方式規則重排、修改,使其變為別人讀不懂的密文。目前,已成熟的加密方法有很多,如替換加密、移位加密、一次性密碼本加密、序列密碼等。目前主要存在兩種加密類型:私匙加密和公匙加密。
公匙加密和私匙加密系統的優點是保密分量不必共享,以便能安全地交換信息。私有部分永遠不向任何人公開,而且,它不可能由公用部分方便地計算出來。
3訪問控制技術
訪問控制是在保障授權用戶能獲取所需資源的同時拒絕非授權用戶的安全機制。訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。訪問控制決定了誰能夠訪問系統,能訪問系統的何種資源以及如何使用這些資源。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據。訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(例如用戶配置文件、資源配置文件和控制列表)、授權核查、日志和審計。它是維護網絡安全,保護網絡資源的主要手段,也是對付黑客的關鍵手段。
目前進行網絡訪問控制的方法主要有:MAC地址過濾}VLAN隔離、IEEE802.1Q身份驗證、基于IP地址的訪問控制列表和防火墻控制等。
4防御病毒技術
隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機信息系統構成極大的威脅。在病毒防范過程中普遍使用的防病毒軟件,從功能上可以分為單機防病毒軟件和網絡防病毒軟件。
很多病毒是通過傳輸介質傳播的,因此用戶一定要注意病毒的介質傳播。用戶要安裝正版的殺毒軟件和防火墻,并隨時升級為最新版本,還要及時更新Windows操作系統的安裝補丁。
5入侵檢測技術
入侵檢測技術(IDS)可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統。從技術上看入侵檢測系統產品基本上分三類:基于網絡的入侵檢測(NIDS)、基于主機的入侵檢測(HIDS)、分布式入侵檢測系統(DIDS)。
6身份認證技術
身份識別是指用戶向系統出示自己身份證明的過程。身份認證技術是在計算機網絡中確認操作者身份的過程而產生的解決方法。計算機網絡世界中一切信息包括用戶的身份信息都是用一組特定的數據來表示的,計算機只能識別用戶的數字身份,所有對用戶的授權也是針對用戶數字身份的授權。如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者,也就是說保證操作者的物理身份與數字身份相對應,身份認證技術就是為了解決這個問題。作為網絡安全防范的第一道關口,身份認證有著舉足輕重的作用。
目前采用的身分認證技術主要是數字簽名和鑒別。
7結束語
總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
參考文獻
[1]葛秀慧.計算機網絡安全治理[M].北京:清華大學出版社,2008.
防范網絡安全的措施范文第2篇
【關鍵詞】計算機;網絡安全;防范措施
文章編號:ISSN1006―656X(2013)06 -00094-01
隨著信息技術的飛速發展,以網絡方式獲取和傳播信息已成為現代信息社會的重要特征之一。網絡技術的成熟使得網絡連接更加容易,人們在享受網絡帶來的便利的同時,網絡的安全也日益受到威脅。安全的需求不斷向社會的各個領域擴展,人們需要保護信息,使其在存儲、處理或傳輸過程中不被非法訪問或刪改,以確保自己的利益不受損害。因此,網絡安全必須有足夠強的安全保護措施,確保網絡信息的安全、完整和可用。
一、影響計算機網絡安全的主要因素
(一)網絡系統在穩定性和可擴充性方面存在問題
由于設計的系統不規范、不合理以及缺乏安全性考慮,因而使其受到影響。
(二)網絡硬件的配置不協調
一是文件服務器。它是網絡的中樞,其運行穩定性、功能完善性直接影響網絡系統的質量。網絡應用的需求沒有引起足夠的重視,設計和選型考慮欠周密,從而使網絡功能發揮受阻,影響網絡的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網絡不穩定。
(三)缺乏安全策略
許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用。
(四)訪問控制配置的復雜性,容易導致配置錯誤,從而給他人以可乘之機。
(五)管理制度不健全,網絡管理、維護任其自然
二、計算機網絡中的安全缺陷及產生的原因
(一)TCP/IP的脆弱性
因特網的基石是TCP/IP協議。但不幸的是該協議對于網絡的安全性考慮得并不多。并且,由于TCP/IP協議是公布于眾的,如果人們對TCP/IP很熟悉,就可以利用它的安全缺陷來實施網絡攻擊。
(二)網絡結構的不安全性
因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當人們用一臺主機和另一局域網的主機進行通信時,通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發,如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機,他就可以劫持用戶的數據包。
(三)易被竊聽
由于因特網上大多數數據流都沒有加密,因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。
(四)缺乏安全意識
雖然網絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。如人們為了避開防火墻服務器的額外認證,進行直接的PPP連接從而避開了防火墻的保護。
三、計算機網絡安全的防范措施
(一)網絡系統結構設計要合理
全面分析網絡系統設計的每個環節是建立安全可靠的計算機網絡工程的首要任務。應在認真研究的基礎上下大氣力抓好網絡運行質量的設計方案。在總體設計時要注意以下幾個問題:由于局域網采用的是以廣播為技術基礎的以太網,任何兩個節點之間的通信數據包,不僅被兩個節點的網卡所接收,同時也被處在同一以太網上的任何一個節點的網卡所截取。因此,只要接入以太網上的任一節點進行偵聽,就可以捕獲發生在這個以太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息。為解除這個網絡系統固有的安全隱患,可采取以下措施:
(1)網絡分段技術的應用將從源頭上杜絕網絡的安全隱患問題。因為局域網采用以交換機為中心、以路由器為邊界的網絡傳輸格局,再加上基于中心交換機的訪問控制功能和三層交換功能 ,所以采取物理分段與邏輯分段兩種方法,來實現對局域網的安全控制,其目的就是將非法用戶與敏感的網絡資源相互隔離,從而防止非法偵聽,保證信息的安全暢通。
(2)以交換式集線器代替共享式集線器的方式將不失為解除隱患的又一方法。
(二)強化計算機管理
(1)加強設施管理,確保計算機網絡系統實體安全。并不定期的對運行環境條件(溫度、濕度、清潔度、三防措施、供電接頭、網線及設備)進行檢查、測試和維護。建立入網訪問功能模塊。入網訪問控制為網絡提供了第一層訪問控制。它允許哪些用戶可以登錄到網絡服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為3個過程:用戶名的識別與驗證;用戶口令的識別與驗證;用戶帳號的檢查。在3個過程中如果其中一個不能成立,系統就視為非法用戶,則不能訪問該網絡。
(2)強化訪問控制,力促計算機網絡系統運行正常。建立網絡的權限控制模塊。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。可以根據訪問權限將用戶分為3種類型:特殊用戶(系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;審計用戶,負責網絡的安全控制與資源使用情況的審計。
(3)建立屬性安全服務模塊。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡屬性可以控制以下幾個方面的權限:向某個文件寫數據、拷貝一個文件、刪除目錄或文件的查看、執行、隱含、共享及系統屬性等,還可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改、顯示等。
(4)建立網絡服務器安全設置模塊。網絡服務器的安全控制包括設置口令鎖定服務器控制臺;設置服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔;安裝非法防問設備等。安裝非法防問裝置最有效的設施是安裝防火墻。它是一個用以阻止網絡中非法用戶訪問某個網絡的屏障,也是控制進、出兩個方向通信的門檻。目前的防火墻有2種類型:一是雙重宿主主機體系結構的防火墻;二是被屏蔽主機體系結構的防火墻。流行的軟件有:金山毒霸、KV3000+、瑞星、KILL、360等。
(5)建立檔案信息加密制度。保密性是計算機系統安全的一個重要方面,主要是利用密碼信息對加密數據進行處理,防止數據非法泄漏。利用計算機進行數據處理可大大提高工作效率,但在保密信息的收集、處理、使用、傳輸同時,也增加了泄密的可能性。因此對要傳輸的信息和存儲在各種介質上的數據按密級進行加密是行之有效的保護措施之一。
(6)建立網絡智能型日志系統。日志系統具有綜合性數據記錄功能和自動分類檢索能力。在該系統中,日志將記錄自某用戶登錄時起,到其退出系統時止,這所執行的所有操作,包括登錄失敗操作,對數據庫的操作及系統功能的使用。日志所記錄的內容有執行某操作的用戶執行操作機器的IP地址、操作類型、操作對象及操作執行時間等,以備日后審計核查之用。
(7)建立完善的備份及恢復機制。為了防止存儲設備的異常損壞,可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列,以RAID5的方式進行系統的時時熱備份。同時,建立強大的數據庫觸發器和恢復重要數據的操作以及更新任務,確保在任何情況下使重要數據均能最大限度地得到恢復。第八建立安全管理機構。安全管理機構的健全與否,直接關系到一個計算機系統的安全。其管理機構由安全、審計、系統分析、軟硬件、通信、保安等有關人員組成。
計算機網絡在全球范圍內得到了迅速發展,其應用幾乎包括了人類生活工作的全部領域,它在帶給我們前所未有的方便的同時,也給我們制造了大量的難題。計算機網絡的安全是一個綜合性的課題,涉及到技術、管理、使用和維護等多方面。為保證計算機網絡系統的安全,應混合使用多種安全防護策略,同時也會發展出越來越多的安全解決技術,從而使得網絡安全防范及管理水平不斷提高。
參考文獻:
防范網絡安全的措施范文第3篇
關鍵詞:計算機 網絡 安全 防范
中圖分類號:G623.58 文獻標識碼:A 文章編號:
正文:
1網絡安全概述
互聯網是開放式的,這使它更容易被攻擊,計算機網絡安全問題主要涉及兩個方面,一是攻擊計算機網絡中的硬件設備,導致系統癱瘓,甚至損壞;二是威脅信息數據,包括對其非法竊取、修改刪除等。網絡信息管理必須要考慮的安全問題主要包括如何保證信息訪問和的安全,有效的用戶權限控制,防止非法使用和攻擊,安全檢測及其恢復等。此外,沒有絕對意義上的網絡安全,所有安全管理的目的都是最大程度地減少計算機網絡資源的脆弱性,使得攻擊的代價遠遠高于可能得到的收益,從而向用戶和管理員提供不同程度的安全性和可用性。計算機網絡安全借助多種手段,保證網絡系統的正常運行,確保數據在網絡傳輸過程中的可用性、保密性和完整性,主要包括信息安全和硬件實體安全。
(1)網絡信息管理中的六個安全概念
與網絡信息有關的安全概念有:保密性、完整性和可用性;與使用者有關的安全概念有:認證、授權和抗抵賴。
保密性是指只有授權用戶才可以訪問數據信息,用于防止未授權用戶訪問或復制數據。通常是通過加密技術來實現保密性。
完整性是指信息不被非法修改、刪除、插入虛假信息,以及防止非法生成消息或重發,用于對抗破壞通信和重發的威脅。通常采用加密函數和散列函數來保證數據的完整性。
可用性是指合法用戶可以不受干擾地使用各種資源。一個具有可用性的網絡信息服務系統應當能夠在攻擊發生后及時正確地恢復。一般通過加強系統的管理和設計來提高可用性。
授權決定哪個用戶可以訪問特定的數據資源。授權決定了用戶的權限,用戶必須等到其身份被確認以后才可以進行被授權的操作。授權用來抵御系統入侵,訪問控制列表和策略標簽是常用機制。
認證和授權緊密相關,認證用來確認用戶的身份,用來對抗偽裝和欺騙等威脅。認證包括實體認證(確認用戶身份)和數據源認證(確認數據來自確定用戶)。
抗抵賴是指通信者不能在通信過程完成后否認對通信過程的參與。抗抵賴包括起源抗抵賴(保護接受方利益,證明發送方身份,發送時間和發送內容)和傳遞抗抵賴(保護發送方利益,證明接受方身份,接受時間和接受內容)。
2、網絡安全隱患
2.1網絡結構和設備自身的安全隱患
網絡拓撲結構是涉及總線型和星型多種拓撲結構的混合型結構,其中節點不同,使用的網絡設施也不同,路由器、集線器和交換機等都屬于此。不同的拓撲結構都有相應的安全隱患,而各種設備因為自身技術有限,也存在著不同的安全威脅。
2.2 操作系統安全
操作系統通過計算機硬件直接為用戶提供編程接口,應用軟件要想可靠地運行并保證信息的保密性、完整性,必須以操作系統提供的軟件為基礎。同樣,網絡系統的安全性依賴于各主機系統的安全性。所以說,操作系統安全在很大程度上決定著計算機網絡的安全。
2.3 病毒和黑客
病毒經常通過計算機自身的資源進行復制傳播,破壞計算機的數據信息,致使其不能正常運轉。黑客主要是對網絡進行攻擊或者截取、盜竊甚至修改網絡數據信息。當前計算機網絡面臨的最大威脅就是病毒和黑客。
3、計算機網絡安全防護技術
3.1 加密技術
數據加密是指依據某種算法將原有的明文或數據轉換成加密的密文,并進行儲存和傳輸工作,接收者通過相應的密匙才能解密原文,實現數據的保密性。加密算法和密匙管理是加密技術的關鍵。加密算法一般有兩種:對稱加密算法以及非對稱加密算法。前者是指加密解密使用的密匙一致,后者是指加密解密使用的密匙不一樣,非對稱加密法的密匙不易破譯,安全性較高。
3.2 防火墻技術
防火墻技術運用廣泛,主要用于網絡訪問控制、阻止外部人員非法進入,能夠有效地對內網資源進行保護。防火墻對數據包中的源地址和目標地址以及源端口和目標端口等信息進行檢測,再與提前設置的訪問控制規則進行匹配,若成功,就允許數據包通過;若不成功,就丟棄數據包。狀態檢測防火墻(即深度包過濾防火墻)是當下市場上最常見的。防火墻一般只能防止外部,對內部網絡起不了作用。
3.3 入侵檢測技術
網絡入侵技術通過對操作系統、應用程序和網絡數據包等信息的收集,尋找可能出現的入侵行為,而后自動報警并將入侵的線路切斷,以阻止入侵行為。它是一種相對來說較主動的安全防護技術,只負責監聽數據信息,不對其進行過濾,因此不影響網絡的正常運行。
入侵檢測通常有兩種方法:誤用檢測和異常檢測。前者是基于模型的知識檢測,即在已知入侵模式的基礎上,對入侵行為進行檢測。響應速度快且誤警率較低,不過需要耗費大量的時間和工作,依照入侵的行為提前建立相應的數據模型。后者是針對計算機資源出現的非正常情況或用戶、系統的非正常行為進行入侵行為檢測,但全面掃描整個系統用戶的難度極大,因此誤警率較高。
入侵檢測系統也可分兩種:一是基于主機系統的入侵檢測系統,二是基于網絡的入侵檢測系統。前者監測的對象主要有:主機系統、當地用戶的系統日志和歷史審計數據。其檢測的準確性很高,但容易漏檢。后者是依據某特定的規則,從網絡中搜集相關的數據包,然后將其發送到入侵分析模塊并進行安全判斷,最后通知管理員。它具備良好的抗攻擊能力,并且能夠實時檢測相應,但在發現網絡數據包的異常方面,其數據加密相往往成了一種限制。
4、入侵檢測技術在計算機網絡安全維護中的應用
4.1 信息收集
數據是入侵檢測的首要因素,數據源可大致分為四類:一是系統和網絡日志文件;二是文件和目錄中不期望的改變;三是程序執行中不期望的行為;四是物理形式的入侵信息。在進行信息收集的過程中,需要部署至少一個 IDS 在每一個網段,由于網絡結構的不同,數據采集部分有不同的連接形式,如果網段連接用的是交換式的集線器,用戶可將IDS 系統連接到交換機核心芯片上用于調試的端口。然后將入侵檢測系統置于數據流關鍵入口和出口,獲取關鍵數據。同時,在收集系統內幾個關鍵點的信息時,除了擴大檢測范圍、實施網絡包截取設置,還應針對源于多個對象信息的不一致性做重點分析。可將入侵的異常數據孤立起來,待形成一個數據群后對其集中處理,所以,孤立挖掘是收集信息的重要途徑。
4.2 信息分析
可以借助模式匹配或者利用異常發現分析模式對收集到的數據進行分析,將發現的不利于安全的行為報給管理器。設計者需要熟悉各種網絡協議和系統漏洞,并制定相應的有效的策略,再分別建立濫用監測模型和異常檢測模型,最終把形成報警信息的分析結果發給控管中心。
4.3 信息響應
IDS 最根本的職責是對入侵行為要做出適當的反應。以分析數據為基礎,檢測本地各網段,查出在數據包中隱藏的惡意入侵,并作出及時的反應。其過程主要包括網絡引擎告警、發送數據給管理員、查看實時會話并通報其他控制臺;記錄現場;采取安全相應的行動等。
5結語
隨著網絡覆蓋規模在不斷擴大,我國的信息網絡安全由通信保密發展到如今的數據保護階段,正處于網絡信息安全研究的高峰期,目前常見的網絡安全解決方法主要是入侵檢測技術、防火墻技術和網絡防病毒技術等,但是網絡安全不單單是技術的問題,還是社會的問題,所以還應加強安全防范意識,加大這方面的宣傳教育,把安全隱患降到最低。
參考文獻:
[1]宋巖松,羅維.論如何做好計算機網絡安全維護[J].消費導刊,2010,34(8):198-200.
防范網絡安全的措施范文第4篇
關鍵詞:大數據;計算機;網絡安全;物聯網
近年來,隨著中國信息技術的不斷發展,大數據技術在各個行業領域得到廣泛應用,尤其在計算機行業體現出較高的價值,能夠促進計算機技術的不斷發展。然而,在大數據時代的發展背景下,計算機網絡安全存在諸多問題,比如網絡病毒的傳播、黑客攻擊、釣魚網站等,這些都影響到計算機網絡系統的運行安全,需要采取有效措施進行防范,使計算機網絡安全得到有效保障。通過對計算機網絡安全防范措施進行探究,有利于提出一些可靠的參考依據,促進計算機網絡安全工作的有效進行。由此可見,圍繞“大數據背景下計算機網絡安全防范措施”進行分析研究具備一定的價值。
1大數據概述
大數據,屬于IT行業的術語,指的是無法基于一定時間范圍當中,采取常規軟件工具進行捕捉、管理、處理的數據集合,需通過新的處理模式才能夠獲取更強決策力、洞察發現力,流程優化能力的海量、高增長率以及多樣化的信息資產。大數據的優勢特點突出,包括真實性、價值高、多樣性、速度快、量大等。值得注意的是,大數據的分析、處理、整理及利用,少不了計算機的支持。近年來,隨著工業4.0的到來,云計算行業、物聯網及“互聯網+”行業快速發展,大數據的應用價值得到有效體現,同時也帶來了明顯的計算機網絡安全問題。比如,在相關計算機管理人員及個人缺乏計算機網絡安全意識及技術知識的情況下,易出現網絡病毒傳播、不法分子入侵竊取重要信息數據等風險問題,嚴重影響了企業或個人的信息財產安全。由此可見,在認清大數據帶來的影響的基礎上,做好計算機網絡安全防范工作顯得尤為重要。
2大數據背景下計算機網絡安全問題分析
在高等教育中,“計算機科學與技術”是非常重要的專業課程之一,為了提升學生的學習效果。需結合新形勢下大數據的影響,了解目前計算機網絡存在的安全隱患問題。總結起來,具體的計算機網絡安全問題如下。
2.1網絡病毒的傳播
就目前計算機網絡技術的發展情況來看,網絡病毒依舊是影響計算機網絡安全的重要因素,如果是網絡病毒入侵到計算機網絡系統中,勢必會影響到計算機網絡系統的正常運行,給用戶帶來較大的損失。同時,網絡病毒體現出傳播速度快、傳播范圍大、危害程度高等特點,很難及時清除,給計算機網絡安全管理工作帶來較大挑戰[1]。
2.2黑客攻擊,用戶缺乏安全意識
隨著中國進入大數據時代,計算機網絡面臨著更加隱秘的網絡攻擊,很難對黑客攻擊事件進行有效偵查。同時,多樣化的信息技術能夠為黑客攻擊提供更多方法,使得計算機網絡安全面臨的風險逐漸增多。造成計算機網絡安全問題的原因較為復雜,需要充分考慮到用戶自身缺乏網絡安全意識產生的影響。如果計算機用戶的操作行為不當,很容易給黑客攻擊提供機會,導致計算機網絡安全受到威脅。
2.3釣魚網站不斷增多
雖然大數據平臺能夠為中國人民的日常生活帶來諸多便利,但是在數據廣泛應用、網絡頻繁開發的情況下,大量的釣魚網站出現在計算機用戶的網絡使用環境中,如果計算機用戶無法準確辨認這些網站的安全性,勢必會出現用戶信息被泄露等情況,導致計算機用戶的財產安全受到威脅。比如釣魚網站利用郵箱獲取用戶的銀行賬號、密碼及身份證信息等,導致計算機用戶面臨著較大的財產損失風險[2]。
3大數據背景下計算機網絡安全防范措施分析
綜上所述,人們對大數據背景下計算機網絡安全問題有了一定程度了解,而從提升計算機網絡安全角度考慮,有必要重視防范措施的實施。總結起來,具體安全防范措施如下。
3.1強化網絡防火墻技術
在進行計算機網絡安全管理工作時,需要重視對網絡防火墻技術的運用,利用這一技術來保護網絡終端設備及系統整體的運行安全。為適應大數據時代的發展,需要利用云計算技術對網絡防火墻技術進行升級優化,將云計算與智能識別技術結合起來,不斷提高網絡防火墻技術的安全防護效果。同時,需要重視對加密技術的運用,借助這一技術來提高網絡安全防范的性能,通過金山衛士、金山殺毒軟件、云安全技術等對各種流氓軟件的惡意干擾進行防治,從而保證計算機網絡系統的正常運行。總之,充分發揮云計算技術在軟件開發中的優勢,為計算機網絡安全提供更加可靠的病毒防御軟件和網絡安全檢測技術,能夠減弱計算機網絡的風險,實現良好的網絡安全防范效果[3]。
3.2加強反病毒技術開發
隨著現代信息技術的不斷發展,一旦計算機網絡安全受到病毒的入侵,將直接影響到計算機用戶的信息安全及財產安全,這就需要利用反病毒技術來解決這一問題,確保計算機網絡安全能不受影響。首先,可以將反病毒技術使用到客戶端中,借助反病毒技術對病毒入侵進行實時監控,并及時對病毒入侵的信息進行警報,使計算機網絡安全防范的及時性和有效性得到保障。例如在計算機網絡系統的運行過程中,可以利用反病毒技術對僵尸病毒、木馬病毒等進行防范。目前云計算對各種反病毒技術的應用和發展起到了積極作用,能夠提高計算機系統的病毒防御能力,有效提升計算機網絡安全。
3.3增強網絡安全防范意識
計算機用戶的操作行為對計算機網絡安全有著較大的影響,所以要加強對計算機用戶網絡安全防范意識的培養,使其能夠熟悉掌握計算機應用技能,對計算機系統進行正確操作。在進行計算機系統的操作過程中,用戶必須要充分認識到病毒感染、惡意攻擊軟件等網絡不法行為造成的損失,以及需要承擔的法律責任。通過社區、網絡等各種渠道進行網絡安全法律宣傳,使群眾能夠正確使用計算機網絡技術,為保護網絡安全提供更多的支持。作為計算機網絡安全管理的主體,需要從關鍵技術和基礎設備方面進行網絡安全防范,構建合理的網絡安全管理制度,對網絡系統的安全運行進行有效管理。同時,需要充分發揮相關部門對網絡安全的監管作用,對網絡安全違法人員進行從重處罰,從而發揮法律法規的警示作用,使人們努力維護網絡環境,促進計算機網絡的安全運行[4]。
3.4完善網絡安全法律制度
以往中國對計算機網絡安全的重視度不足,導致網絡安全法律制度的建設較為滯后,難以適應大數據時代的發展要求,這就需要對網絡安全法律制度進行完善,充分發揮法律制度的約束及引導作用。首先,相關部門需要提高對計算機網絡安全防范的重視程度,充分了解計算機網絡安全問題的重點內容,將其作為網絡安全防范的關鍵部分,對網絡用戶的安全意識進行強化,從根本上減少網絡安全問題的發生。其次,需要加強網絡警察隊伍的建設,將網絡警察的監督作用充分發揮出來,及時對計算機網絡安全的影響因素及相關行為進行排查,將各項監督管理工作落到實處,不斷提高網絡安全防范工作的水平。最后,需要充分了解計算機網絡安全防范工作的情況,以便能夠對其進行針對性的優化,制訂出科學合理的防范措施,使計算機網絡安全防范的合理性、有效性得以提升。
3.5加強網絡安全管理
一方面,在企業中,對于計算機管理工作人員來說,需做好計算機軟硬件設備的維護及管理,使計算機網絡的安全性能得到有效提升;另一方面,對于個人用戶來說,在應用計算機過程中需充分重視網絡安全,了解大數據對計算機網絡帶來的影響,做好網絡數據加密,規范計算機操作,使由于不規范操作導致信息泄露的問題得到有效避免[5]。此外,在網絡安全管理工作開展過程中,為了使不法分子入侵盜竊信息數據的現象得到有效預防控制,有必要合理地使用上述安全檢查技術,加強對計算機網絡的保護,進一步提升計算機網絡的安全性。
防范網絡安全的措施范文第5篇
隨著信息科技的高速發展,網絡在越來越多地為人們生活提供便利的同時,也為企業節省了大量的人力和物力,但是企業在使用網絡與外界交流時也同樣承擔著巨大的風險。本文介紹了醫院網絡中存在風險的原因、存在的風險及其對策。為醫院在網絡安全方面提供了一定的建議。
關鍵字:企業網絡 醫院網絡 網絡安全 網絡體系 技術手段
Abstract:With the high-speed development of information science and technology, the network, offering the facility to people more and more, and also help the company to save a large number of manpower and material resources. But the trade company is undertaking the enormous risk while using the network to exchange with external world too. This text has introduced the reason of existing risk and countermeasure with the risk in enterprise's network. Have offered certain suggestion in online security for the trade company.
Keyword: Enterprise's network
Security of network
Network system
Technological means
前言:
隨著信息技術的高速發展,互聯網越來越被人們所重視,從農業到工業再到高科技產業各行各業都在使用互聯網參與行業生存與競爭。企業對網絡的依存度越來越高,網絡在企業中所處的位置也越來越重要,系統中存儲著維系企業生存與競爭的重要資產-------企業信息資源。但是,諸多因素威脅著計算機系統的正常運轉。如,自然災害、人員的誤操作等,不僅會造成系統信息丟失甚至完全癱瘓,而且會給企業造成無法估量的損失。因此,企業必須有一套完整的安全管理措施,以確保整個計算機網絡系統正常、高效、安全地運行。本文就影響醫院計算機網絡安全的因素、存在的安全隱患及其應對策略三個方面進行了做了論述。
一、醫院網絡安全存在的風險及其原因
1.自然因素:
1.1病毒攻擊
因為醫院網絡同樣也是連接在互聯網上的一個網絡,所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的,而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器,造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬,阻塞正常流量,形成拒絕服務攻擊。我們清醒地知道,完全避免所有終端上的病毒是不可能的,但要盡量減少病毒爆發造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽,使得醫院網絡被病毒攻擊的頻率越來越高,所以病毒的攻擊應該引起我們的關注。
1.2軟件漏洞
任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:
1.2.1、協議漏洞。例如,IMAP和POP3協議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄,從而獲得超級用戶的特權。
1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下,就接受任何長度的數據輸入,把溢出部分放在堆棧內,系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令,來造成系統不穩定狀態。
1.2.3、口令攻擊。例如,U nix系統軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統,都是容易被攻擊的。
2、人為因素:
2.1操作失誤
操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見,隨著網絡管理制度的建立和對使用人員的培訓,此種情況逐漸減少.對網絡安全己不構成主要威脅。
2.2惡意攻擊
這是醫院計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅,每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范,因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。
二、構建安全的網絡體系結構
1.設計網絡安全體系的原則
1.1、體系的安全性:設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性,必須保證體系的完備性和可擴展性。
1.2、系統的高效性:構建網絡安全體系的目的是能保證系統的正常運行,如果安全影響了系統的運行,那么就需要進行權衡了,必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件,它們也會占用網絡系統的一些資源。因此,在設計網絡安全體系時必須考慮系統資源的開銷,要求安全防護系統本身不能妨礙網絡系統的正常運轉。
1.3、體系的可行性:設計網絡安全體系不能純粹地從理論角度考慮,再完美的方案,如果不考慮實際因素,也只能是一些廢紙。設計網絡安全體系的目的是指導實施,如果實施的難度太大以至于無法實施,那么網絡安全體系本身也就沒有了實際價值。
1.4、體系的可承擔性:網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業來支持,要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多,那么我們就不該采用這個方案。所以,在設計網絡安全體系時,必須考慮企業的業務特點和實際承受能力,沒有必要按電信級、銀行級標準來設計這四個原則,可以簡單的歸納為:安全第一、保障性能、投入合理、考慮發展。
2、網絡安全體系的建立
網絡安全體系的定義:網絡安全管理體系是一個在網絡系統內結合安全
技術與安全管理,以實現系統多層次安全保證的應用體系。
網絡系統完整的安全體系
系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠,確保應用系統正常運行。主要包括以下幾個方面:
(1)防止非法用戶破壞系統設備,干擾系統的正常運行。
(2)防止內部用戶通過物理手段接近或竊取系統設備,非法取得其中的數據。
(3 )為系統關鍵設備的運行提供安全、適宜的物理空間,確保系統能夠長期、穩定和高效的運行。例如:中心機房配置溫控、除塵設備等。
網絡安全性主要包括以下幾個方面:
(1)限制非法用戶通過網絡遠程訪問和破壞系統數據,竊取傳輸線路中的數據。
(2)確保對網絡設備的安全配置。對網絡來說,首先要確保網絡設備的安全配置,保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。
(3)網絡通訊線路安全可靠,抗干擾。屏蔽性能好,防止電磁泄露,減
少信號衰減。
(4)防止那些為網絡通訊提供頻繁服務的設備泄露電磁信號,可以在該設備上增加信號干擾器,對泄露的電磁信號進行干擾,以防他人順利接收到泄露的電磁信號。
應用安全性主要是指利用通訊基礎設施、應用系統和先進的應用安全控制技術,對應用系統中的數據進行安全保護,確保能夠在數據庫級、文檔/記錄級、段落級和字段級限制非法用戶的訪問。
另外,對存放重要數據的計算機(服務器、用戶機)應使用安全等級較高的操作系統,利用操作系統的安全特性。
三、網絡安全的技術實現
1、防火墻技術
在外部網絡同內部網絡之間應設置防火墻設備。通過防火墻過濾進出網絡的數據,對進出網絡的訪問行為進行控制和阻斷,封鎖某些禁止的業務,記錄通過防火墻的信息內容和活動。對網絡攻擊進行監測和告警。防火墻可分為包過濾型、檢測型、型等,應根據不同的需要安裝不同的防火墻。
2、劃分并隔離不同安全域
根據不同的安全需求、威脅,劃分不同的安全域。采用訪問控制、權限控制的機制,控制不同的訪問者對網絡和設備的訪問,防止內部訪問者對無權訪問區域的訪問和誤操作。
我們可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。在關鍵服務器區域內部,也同樣需要按照安全級別的不同進行進一步安全隔離。
劃分并隔離不同安全域要結合網絡系統的安防與監控需要,與實際應用環境、工作業務流程和機構組織形式密切結合起來。
3、防范病毒和外部入侵
防病毒產品要定期更新升級,定期掃描。在不影響業務的前提下,關閉系統本身的弱點及漏洞并及時打上最新的安全補丁。防毒除了通常的工作站防毒外,email防毒和網關式防毒己經越來越成為消除病毒源的關鍵。還應使用掃描器軟件主動掃描,進行安全性檢查,找到漏洞并及時修補,以防黑客攻擊。
醫院網管可以在CISCO路由設備中,利用CISCO IOS操作系統的安全保護,設置用戶口令及ENABLE 口令,解決網絡層的安全問題,可以利用UNIX系統的安全機制,保證用戶身份、用戶授權和基于授權的系統的安全,:對各服務器操作系統和數據庫設立訪問權限,同時利用UNIX的安全文件,例如/etc/hosts. equiv文件等,限制遠程登錄主機,以防非法
用戶使用TELNET、FTP等遠程登錄工具,進行非法入侵。
4、備份和恢復技術
備份是保證系統安全最基本、最常用的手段。采取數據的備份和恢復措施,有些重要數據還需要采取異地備份措施,防止災難性事故的發生。
5、加密和認證技術
加密可保證信息傳輸的保密性、完整性、抗抵賴等,是一個非常傳統,但又非常有效的技術。加密技術主要用于網絡安全傳輸、公文安全傳輸、桌面安全防護、可視化數字簽名等方面。
6、實時監測
采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡實時監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征。
7、 PKI技術
公開密鑰基礎設施(PKI )是通過使用公開密鑰技術和數字證書來確保系統網絡安全并負責驗證數字證書持有者身份的一種體系。PKI 可以提供的服務包括:認證服務,保密(加密),完整,安全通信,安全時間戳,小可否認服務(抗抵賴服務),特權管理,密鑰管理等。
四、結束語:
網絡的安全與醫院利益息息相關,一個安全的網絡系統的保護不僅和系統管理員的系統安全知識有關,而且和領導的決策、工作環境中每個員工的安全操作等都有關系。網絡安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增,醫院網絡管理人員要掌握最先進的技術,把握住醫院網絡安全的大門。
五、參考文獻
[1] 李國棟,劉克勤。Internet常用的網絡安全技術。現代電力。2001. 11. 21
[2] 肖義等,PKI網絡安全平臺的研制與開發。2002. 1.23
