序論:在您撰寫網絡信息安全論文時��,參考他人的優秀作品可以開闊視野�,小編為您整理的1篇范文��,希望這些建議能夠激發您的創作熱情����,引導您走向新的創作高度。
網絡信息安全論文:關于科研網絡信息安全隱患及控制策略研究
論文摘要:利用網絡信息技術進行科研管理�,加強了信息共享與協同工作�,提高了科研工作的效率���,但與此同時也存在一些安全隱患���。介紹了科研網絡信息安全的概念和意義,分析了其存在的安全隱患的具體類型及原因�,為保證科研網絡信息的安全����,提出了加強網絡風險防范、防止科研信息被泄露、修改或非法竊取的相應控制措施。
論文關鍵詞:科研網絡信息;安全隱患�;控制策略
1引言
隨著計算機網絡技術的普及���,利用網絡信息技術來改造傳統科研管理模式已經成為一種歷史潮流�����。由于計算機網絡的互聯性和開放性�,在提供信息和檢索信息的同時�����,也面臨著一些安全隱患�,科研信息一旦泄露,會給科研項目的實施帶來致命的打擊。因此��,加強網絡安全����、防止信息泄露���、修改和非法竊取已成為科研單位普及與應用網絡迫切需要解決的問題,及時掌握和控制網絡信息安全隱患是十分必要的。
2科研網絡信息安全的概念和意義
2.1概念
科研網絡信息安全主要包括以下兩個方面的內容:①科研數據的完整性,即科研數據不發生損壞或丟失,具有完全的可靠性和準確性。②信息系統的安全性�����,防止故意冒充�����、竊取和損壞數據�。
2.2意義
根據信息安全自身的特點以及科研的實際情況��。
網絡信息安全在科研單位的實施應該以信息安全技術做支撐���,通過流程���、審查和教育等的全面協同機制,形成一個適合科研管理的完整的信息安全體系���,并依靠其自身的持續改進能力,始終同步支持科研項目發展對網絡信息安全的要求�����。
3科研網絡信息存在的安全隱患
3.1網絡管理方面的問題
科研網絡的信息化����,由于覆蓋面大、使用人員多以及涉密資料�、信息系統管理存在漏洞.有關人員缺乏保密意識��,往往不能保證工作文稿��、科研資料��、學術論文等在網絡上安全�����、正確���、實時的傳輸和管理。
3.2外部威脅
網絡具有方便、快捷的特點����。但也面臨著遭遇各種攻擊的風險。各種病毒通過網絡傳播���,致使網絡性能下降��,同時黑客也經常利用網絡攻擊服務器���,竊取、破壞一些重要的信息,給網絡系統帶來嚴重的損失。
4科研網絡信息安全的控制策略
4.1建立完善的網絡信息管理體系
4.1.1制定并網絡信息安全管理制度這是科研網絡信息安全工作的指導準則�,信息安全體系的建立也要以此為基礎��。
4.1.2建立網絡信息安全管理組織這為網絡信息安全體系的建立提供組織保障�,也是網絡信息安全實施的一個重要環節��,沒有一個強有力的管理體系��,就不能保證信息安全按計劃推進。
4.1.3加強網絡信息保密審查工作堅持“誰公開、誰負責、誰審查”的原則�����,落實保密審查責任制����,規范各科室�����、部門分工負責的保密審查制度,不斷完善和細化保密審查的工作制度�、工作程序���、工作規范和工作要求����。
4.2開展充分的信息安全教育
工作人員信息安全意識的高低����,是一個科研單位信息安全體系是否能夠最終成功實施的決定性因素,所以需要對員工進行充分的教育,提高其信息安全意識�,保證信息安全實施的成效��。
科研單位可以采取多種形式對工作人員開展信息安全教育,充分利用科研單位內部的輿論宣傳手段�����,如觀看警示教育片、保密知識培訓��、簽訂保密承諾書���、保密專項檢查等�,并將工作人員的信息安全教育納入績效考核體系�。
4.3選擇合適的網絡信息安全管理技術
網絡信息安全管理技術作為信息安全體系的基礎��,在信息安全管理中起到基石的作用���。
4.3.1設置密碼保護設置密碼的作用就是安全保護,主要是為了保證信息免遭竊取����、泄露、破壞和修改等,常采用數據備份、訪問控制���、存取控制����、用戶識別、數據加密等安全措施。
4.3.2設置防火墻防火墻在某種意義上可以說是一種訪問控制產品,它能強化安全策略�,限制暴露用戶點��,它在內部網絡與不安全的外部網絡之間設置屏障,防止網絡上的病毒���、資源盜用等傳播到網絡內部���,阻止外界對內部資源的非法訪問��,防止內部對外部的不安全訪問。
4.3.3病毒防范和堵住操作系統本身的安全漏洞為了防止感染和傳播病毒����,計算機信息系統必須使用有安全專用產品銷售許可證的計算機病毒防治產品��。同時任何操作系統也都存在著安全漏洞問題�����,只要計算機接人網絡����,它就有可能受到被攻擊的威脅����,還必須完成一個給系統“打補丁”的工作����,修補程序中的漏洞,以提高系統的性能。防止病毒的攻擊�。
4.3.4使用入侵檢測技術人侵檢測系統能夠主動檢查網絡的易受攻擊點和安全漏洞。并且通常能夠先于人工探測到危險行為�����,是一種積極的動態安全檢測防護技術�,對防范網絡惡意攻擊及誤操作提供了主動的實時保護�����。
4.4加強涉密網絡和移動存儲介質的管理
科研管理系統安全是由多個層面組成的,在實際的操作過程中.也要嚴格遵守操作規程���。嚴禁在外網上處理、存儲����、傳輸涉及科研秘密信息和敏感信息,嚴禁涉密移動存儲介質在內外網上交叉使用�,嚴格上網信息保密審查審批制度���,嚴格執行涉密計算機定點維修制度����。
5結束語
為了確?�?蒲芯W絡的信息安全,只有通過有效的管理和技術措施�,使信息資源免遭威脅,或者將威脅帶來的損失降到最低限度,保證信息資源的保密性、真實性����、完整性和可用性.才能提高信息安全的效果�����,最終有效地進行科研管理���、降低信息泄露風險、確保各項科研工作的順利正常運行�����。
網絡信息安全論文:淺論計算機網絡信息安全技術
[論文關鍵詞]Web Services 網絡完全 技術
[論文摘要]為了滿足日益增長的需求,人們提出了基于XML的Web服務����。它的主要目標是在現有的各種異構平臺的基礎上構建一個通用的與平臺無關��、語言無關的技術層��,各種平臺上的應用依靠這個技術層來實現彼此的連接和集成��,Web Services的核心技術主要是XML技術、SOAP技術、WSDL及UDDI等�����。本文對此進行了探討���。
1 XML技術
近年來����,XML已成為數據表示和數據交換的一種新標準。其基本思想是數據的語義通過數據元素的標記來表達�����,數據元素之間關系通過簡單的嵌套和引用來表示�����。若所有web服務器和應用程序將它們的數據以XML編碼并到Internet����,則信息可以很快地以一種簡單���、可用的格式獲得�����,信息提供者之間也易于互操作。XML一推出就被廣泛地采用,并且得到越來越多的數據庫及軟件開發商的支持?����?傮w講來,XML具有自描述性、獨立于平臺和應用���、半結構化�����、機器可處理的�、可擴展性和廣泛的支持等特點����。因此�����,XML可被廣泛應用于電子商務、不同數據源的集成�、數據的多樣顯示等各個方面。XML描述了一個用來定義標記集的方法用于規定一個標記集�,填入文本內容后���,這些標記和純文本一起構成了一個XML文檔���。一個良好的XML文檔必須滿足以下幾條規則:(1)有一致良好定義的結構(2)屬性需用引號引起來:(3)空白區域不能忽略:(4)每個開始標簽必須要有一個與之對應的結束標簽:(5)有且只有一個根元素包含其他所有的結點:(6)元素不能交叉重疊但可以包含:(7)注釋和處理指令不能出現在標簽中:(8)大小寫敏感:(9)關鍵詞“D0CTYPE”����、“ELEMENT”��、“ATTRIBUTE”和“ENTITY”要大寫。為了說明特定的語法規則�,XMLDTD(DocumentTypeDefination)采用了一系列正則式���。語法分析器(或稱解析器)將這些正則式與XML文件內部的數據模式相匹配,以判別文件是否是有效。一個DTD描述了標記語言的語法和詞匯表,定義了文件的整體結構以及文件的語法��。在Internet中,一個最重要的問題是如何實現數據的交互,即客戶端和服務器端雙向數據交流��。當前所面對的是一個物理上分散的���、異源��、異構的數據環境,能方便地從這些數據中取得所需要的信息極為重要。XML滿足這一要求,它可以將各種類型的數據轉換成XML文檔����,然后對XML文檔進行處理,之后,再將XML數據轉換為某種方式存儲的數據�����。XML的數據源多種多樣��,但主要分為三種:第一種為本身是純文本的XML文檔��、TXT文件�����、DAT文件等第二種來自于數據庫���,如關系數據庫��、對象數據庫等:第三種是其它的帶有一定格式的應用數據��,如郵件、圖表�、清單等�����。針對不同的數據源可以采用不同的技術進行轉換。純文本文檔是最基本也是最簡單的,它將數據存儲于文本文件中,可以直接方便地讀取數據��。另外,XML文檔也可以加上CSS、XSL等樣式信息在瀏覽器中顯示���,或者通過DOM、SAX編程接口同其它應用相關聯��。第二種來源主要利用現有的比較成功的數據庫資源�,是對第一種資源的擴展���,可以利用數據庫管理系統對數據進行管理��,并用服務器編程語言對數據進行動態存取,來實現各種動態應用�����。第三種數據源的轉換可以利用微軟提出的基于OLEDB的解決方案,從數據源直接導出XML文檔���。
2 SOAP技術
SOAP(simple ObjectAcCess PrOtOCO1�����,簡單對象訪問協議)是由Microsoft、IBM等共同提出的規范����,目的是實現大量異構程序和平臺之間的互操作���,從而使存在的應用程序能夠被用戶訪問。W3C的SOAP規范主要由SOAP封裝��、SOAP編碼規則�、SOAPRPC表示及SOAP綁定四方面的內容組成:(1)SOAP封裝(SOAPEnvelop):構造了一個整體的SOAP消息表示框架,可用于表示消息的內容是什么���、誰發送的��、誰應當接收并處理它,以及處理操作是可選的還是必須的����。信封包含了S0AP消息頭部(可選)和SOAP消息體(必須)。消息體部分總是用于最終接收的消息���,頭部可以確定執行中間處理的目標節點。附件���、二進制數字及其他項目均可以附加到消息體上����。(2)SOAP編碼規則(SOAPEncodingRules):定義了一個數據編碼機制,通過這樣一個編碼機制來定義應用程序中需要使用的數據類型���,并可用于交換由這些應用程序定義的數據類型所衍生的實例��。(3)S0AP RPC表示(S0AP RPcRepresentation):定義了一個用于表示遠程過程調用和響應的約定與HTTP相似���,RPC使用請求/響應模型交換信息����。使用SOAP調用遠程方法的主要工作就是構造SOAP消息����。SOAP請求消息代表方法調用,被發送給遠程服務器,5OAP響應消息代表調用結果�����,返回給方法的調用者。(4)SOAP綁定(sOAPBinding):定義了一個使用底層協議來完成在節點間交換SOAP消息的機制����。SOAP消息的傳輸依靠底層的傳輸協議,與傳輸層的協議都能進行綁定��。SOAP采用了已經廣泛使用的兩個協議:HTTP和XML�。HTTP用于實現SOAP的RPC風格的傳輸���,而XML是它的編碼模式��。SOAP通訊協議使用HTTP來發送x扎格式的消息���。HTTP與RPC的協議很相似����,它簡單���、配置廣泛,并且對防火墻比其它協議更容易發揮作用��。HTTP請求一般由Web服務器來處理���,但越來越多的應用服務器產品正在支持HTTP XML作為一個更好的網絡數據表達方式����,SOAP把XML的使用代碼轉化為請求/響應參數編碼模式���,并用HTTP作傳輸。具體的講�����,一個SOAP方法可以簡單地看作遵循SOAP編碼規則的HTTP請求和響應��。一個SOAP終端則可以看作一個基于HTTP的URL����,它用來識別方法調用的目標����。SOAP不需要將具體的對象綁定到一個給定的終端��,而是由具體實現程序來決定怎樣把對象終端標識符映像到服務器端的對象�����。
3 WSDL與UDDI技術
WSDL(WebServicesDescriptionLanguage,web服務描述語言)基于Ⅺ旺,將Web服務描述為一組對消息進行操作的服務訪問點它抽象描述了操作和消息,并綁定到一個具體的網絡協議和消息格式�����,定義了具體實施的服務訪問點���。WSDL包含服務接口定義和服務實現定義�,服務接口是Web服務的抽象定義,包括類型��、消息和端口類型等���。服務實現定義描述了服務提供者如何實現特定的服務接口�����,包括服務定義和端口定義幾乎所有在因特網上的Web服務都配有相關的WSDL文檔�����,其中列舉了該服務的功能�����,說明了服務在Web上的位置,并提供了使用它的命令�。WSDL文檔定義了Web服務功能發送和接收的消息種類����,并規定了調用程序必須提供給Web服務的數據��,以便該服務能夠執行其任務�����。WSDL文檔還提供了一些特定的技術信息,告訴應用程序如何通過HTTP或其他通信協議與Web服務進行連接和通信。用戶想使用服務提供者所提供的服務�,必須首先找到這個服務。UDDI(UniversalDescrip—ti012DiseoveryIntegration�����,統一描述發現集成)提供了一種、查找服務的方法��,使得服務請求者可以在Internet巨大的信息空間中快速、方便地發現要調用的服務,并完成服務間的集成��。UDDI是一個基于SOAP協議的���、為Web服務提供信息注冊中心的實現標準�。同時也包含一組提供Web服務注冊�����、發現和調用的訪問協議。UDDI通過XML格式的目錄條目將Web服務注冊在UDDI中心的公共注冊表內供其它用戶查詢和使用�����。UDDI目錄條目包括三個部分:白頁����、黃頁和綠頁�。白頁提供一般信息���,即Web服務的URL和提供者的名稱、地址��、聯系方式等基本信息:黃頁提供基于標準分類法的相關產業�����、產品或提供服務類型以及地域等的分類信息:綠頁提供技術信息����,它詳細介紹了訪問服務的接口����,以便用戶能夠編寫應用程序以使用Web服務�,這是發現潛在Web服務的關鍵。同時�����,UDDI提供了基于XML的輕量級的數據描述和存儲方式�����,服務的定義是通過一個稱為類型模型的UDDI文檔來完成的��。UDDI本身就是一個Web服務����,它通過一組基于SOAP的UDDI的API函數進行訪問。其中查詢API用來查詢定位商業實體、服務�����、綁定等信息�����。API被用來在注冊中心或者取消服務�����。
網絡信息安全論文:淺析如何加強局域網絡信息安全的建設
論文關健詞:局域網絡 信息資源 數據加密
論文摘要:隨著網絡時代的迅速前進,信息安全的含義也在不斷的變化發展�,單純的保密和靜態的保護已不能適應當今的需要����,文章就這一現狀給出了自己的定義和應對策略。
信息作為一種資源���,它的普遍性、共享性�����、增值性��、可處理性和多效用性���,使其對于人類具有特別重要的意義。網絡環境下的信息安全體系是保證信息安全的關鍵�,包括計算機安全操作系統��、各種安全協議���、安全機制,直至安全系統,其中任何一個安全漏洞便可以威脅全局安全�。信息安全服務至少應該包括支持信息網絡安全服務的基本理論����,以及基于新一代信息網絡體系結構的網絡安全服務體系結構。
一、網絡信息安全的孟要性
網絡信息安全涉及到信息的機密性����、完整性、可用性����、可控性。它為數據處理系統而采取的技術的和管理的安全保護,保護計算機硬件、軟件��、數據不因偶然的或惡意的原因而遭到破壞����、更改、顯露。信息保障依賴于人和技術實現組織的任務運作,針對技術信息基礎設施的管理活動同樣依賴于這三個因素��,穩健的信息保障狀態意味著信息保障和政策、步驟�����、技術和機制在整個組織的信息基礎設施的所有層面上均能得到實施����。
目前���,除有線通信外�����,短波、超短波、微波、衛星等無線電通信也正在越來越廣泛地應用。與此同時����,國外敵對勢力為了竊取我國的政治�����、軍事����、經濟����、科學技術等方面的秘密信息���,運用偵察臺�����、偵察船���、衛星等手段��,形成固定與移動、遠距離與近距離���、空中與地面相結合的立體偵察網���,截取我通信傳輸中的信息�����。單一的保密措施己很難保證通信和信息的安全,必須綜合應用各種保密措施。
二、局域網內病毒防治問題
局域網病毒來源主要有以下幾種方式:①從網站下載的軟件帶有病毒:瀏覽網站的時候ActiveX控件帶來的病毒;②安裝程序附帶的流氓軟件:不明郵件帶來的病毒;③移動存儲設備存儲數據傳染病毒等等方式�����。使用者日常使用時應盡量從正規網站下載軟件、少瀏覽不正當網站�、不明郵件應該盡量不打開等�。處理方法主要有以下幾類����。
首先:在網關上的網絡層時常進行病毒檢測和掃描���,及時清除明顯的病毒封包��,對病毒源客戶機進行阻塞與隔離,大規模爆發網絡病毒時也能夠有效的隔離病毒疫區�。
其次:監測每臺計算機的殺毒軟件安裝情況和病毒庫更新情況�����,以及操作系統或者其它應用軟件的補丁安裝情況����,若發現客戶機或者服務器存在嚴重的高危險性安全缺陷或者漏洞的話就應該將其暫時斷開網絡�,拒絕其接入單位網絡���,直至缺陷或漏洞修復完畢���,補丁安裝完畢后再將其接入網絡內��。
再次:使用U盤、移動硬盤等移動存儲設備傳遞各類數據�,已經成為各類病毒傳播的主要途徑之一��。由于U盤和移動硬盤使用方便�,很多計算機用戶都選擇使用它來進行數據文件的存儲和拷貝�,無形中使得U盤和移動硬盤成為這些病毒和惡意木馬程序傳播的媒體����,給計算機用戶的數據安全和系統的正常使用帶來很大危害。鑒于通過U盤和移動硬盤傳播的計算機病毒在互聯網絡上的傳播日趨增多,辦公網絡內用戶可以按照以下幾點�,正確安全地使用U盤和移動硬盤進行數據文件的存儲和拷貝。
最后:根據實際情況可進行數據加密��,VPN系統VPN(虛擬專用網)可以通過一個公用網絡(通常是互聯網)建立一個臨時的�、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道��。虛擬專用網是對企業內部網的擴展����,可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接�,并保證數據的安全傳輸。它可用于不斷增長的移動用戶的全球互聯網接入����,以實現安全連接;也可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網�����。
三����、實現網絡信息安全的策略
明確等級保護措施。合理劃分安全域����,確定各安全域的物理邊界和邏輯邊界����,明確不同安全域之間的信任關系�。在安全域的網絡邊界建立有效的訪問控制措施。通過安全區域最大限度地實施數據源隱藏�����,結構化和縱深化區域防御���,防止和抵御各種網絡攻擊,保證信息系統各個網絡系統的持續、穩定、可靠運行�。
1.系統安全策略
對操作系統����、數據庫及服務系統進行漏洞修補和安全加固����,對關鍵業務的服務器建立嚴格的審核機制。最大限度解決由操作系統、數據庫系統、服務系統�、網絡協議漏洞帶來的安全問題���,解決黑客入侵�����、非法訪問、系統缺陷����、病毒等安全隱患。
2安全管理策略
針對企業信息系統安全管理需求�,在安全管理上需要在完善人員管理��、資產管理����、站點維護管理��、災難管理����、應急響應���、安全服務�����、人才管理等方面機制、制度的同時,與管理技術緊密結合,形成一套比較完備的企業信息系統安全管理保障體系��。
3.縱深防御策略
入侵檢測系統在安全系統中���,防火墻相當于網絡系統入口的門衛�,能按照我們設定的規則判斷他人是否可進入,把攻擊����、惡意的數據包擋在門外����,而入侵檢測系統則相當于攝像機����,可以監控網絡或者重要的主機���,監控入侵行為�����,尤其可以發現潛在攻擊特征��,必要時可與防火墻聯動�����,及時阻斷入侵行為��。當黑客試探攻擊時,大多采用一些己知的攻擊方法來試探��。通過入侵檢測系統的“實時監測”功能��,發現黑客攻擊的企圖�,對于網絡安全來說也是非常有意義的�����。也就是說,如果黑客攻破系統所需要的時間大于發現黑客攻擊并響應的時間�����,則系統就是安全的��。通過該系統可以快速定位來自網絡內部和外部的攻擊行為以及網絡內部的異常流量等���。
網絡信息安全論文:簡析一種網絡應用系統信息安全模型的研究和應用
論文關鍵詞:安全技術和機制;身份認證���;訪問控制;數據加密
論文摘要:針對一般網絡應用系統的特征���,融合了數據加密、身份認證和訪問控制三種安全技術和機制,并充分考慮了系統安全性需求與可用性����、成本之間的平衡���,提出了一個以信息資源傳輸和存儲安全保護��,身份認證安全管理和資源訪問安全控制為基本要素的網絡應用系統信息安全模型����,為加強中小型企業網絡應用系統安全性提供了一個比較簡單可行的方案。
0引言
由于網絡環境的特殊性����,每一個投人使用的網絡應用系統都不可避免地面臨安全的威脅�����,因此�,必須采取相應的安全措施�����。國內在信息安全方面已做了很多相關研究,但大多是單獨考慮資源保護或身份認證等某一方面���,而對如何構建一個相對完善且通用的網絡應用系統信息安全解決方案研究不多�����。本文在ISO提出的安全服務框架下�����,融合了數據加密、身份認證和訪問控制三種安全技術和機制��,并充分考慮了系統安全性需求與可用性�����、成本等特性之間的平衡��,提出了一個以信息資源傳輸和存儲安全保護、身份認證安全管理和資源訪問安全控制為基本要素的網絡應用系統信息安全模型����,為加強中小型企業網絡應用系統安全性提供了一個比較簡單可行的方案。
1網絡應用系統信息安全模型設計
1.1信息安全模型總體設想
本文提出的網絡應用系統信息安全模型主要基于三個要素:信息資源傳輸和存儲安全保護�����,身份認證安全管理以及用戶對資源訪問的安全控制。整個信息安全模型如圖1所示���。模型利用過濾器來區分敏感數據與非敏感數據�,對于非敏感數據直接以明文形式進人信息資源層處理,而對敏感數據則采用加密傳輸通道進行傳輸,且需要經過身份認證層與訪問控制層的控制后才能進人信息資源層�。這樣的設計在保證了信息傳輸和存儲較高的安全性的同時�����,減少了身份認證層與訪問控制層的系統開銷,大大提高了系統的運行效率�。而在信息資源層�,則是通過備份機制��、事務日志和使用常用加密算法對數據庫中數據進行處理����,來保障信息傳輸和存儲的安全�����。
1.2身份認證層的設計
身份認證層主要包括兩部分:用戶身份認證和用戶注冊信息管理�����,采用了基于改進的挑戰/應答式動態口令認證機制。
目前使用比較普遍的是挑戰/應答式動態口令認證機制�,每次認證時服務器端都給客戶端發送一個不同的“挑戰”字串,客戶端收到這個字串后,作出相應的”應答”。但是�����,標準的挑戰/應答動態口令認證機制具有攻擊者截獲隨機數從而假冒服務器和用戶�����,以及口令以明文形式存放在數據庫中易受攻擊兩個缺點。在本模型采用的改進的挑戰/應答式動態口令認證機制中��,通過1.4節中論述的敏感數據加密通道對隨機數進行加密傳輸解決了上述第一個問題;通過在客戶端將用戶口令經M DS算法散列運算并保存在服務器端數據庫解決了上述第二個問題����,使得服務器在認證時只需要比對客戶端處理后傳來的加密字符串即可。方案的具體流程如下:
1)服務器端口令的保存當用戶在服務器端錄人注冊信息時,將用戶的密碼進行K次M DS散列運算放在數據庫中����。
2)用戶請求登錄服務器端開始執行口令驗證:當用戶請求登錄服務器時�,Web服務器在送出登錄頁面的同時產生一個隨機數并將其通過敏感數據加密傳輸通道發給客戶端�。
3)客戶端M DS口令的生成客戶端首先重復調用與服務器端同樣的MDS運算K次�����,得到與保存在服務器端數據庫中的口令一致的消息摘要。然后�����,將從服務器傳來的隨機數與該口令相加后再調用客戶端的M DS散列運算函數,將結果(M DS口令)通過敏感數據加密傳輸通道傳送給服務器。
4)服務器端對MDS口令的驗證服務器端收到客戶端傳來的用戶名和MDS口令后��,通過查詢數據庫����,將已存儲的經過K次M DS散列運算的口令與隨機數相加后同樣進行M DS散列運算�����,并比較兩個結果是否相同���,如相同則通過驗證�����,否則拒絕請求�����。整個用戶口令的生成和驗證過程如圖2所示。
1.3基于RBAC的訪問控制層的設計
訪問控制層主要包括兩部分:權限驗證與授權和資源限制訪問��,采用了基于角色的訪問控制機制。在RBAC中引人角色的概念主要是為了分離用戶和訪間權限的直接聯系,根據組織中不同崗位及其職能,一個角色可以擁有多項權限��,可以被賦予多個用戶;而一個權限也可以分配給多個角色����。在這里�����,約束機制對角色和權限分配來說非常重要���,本模型設計的約束機制主要包括以下幾方面:一是限制一個角色可以支持的最大用戶容量��。如超級管理員這個角色對于應用系統非常重要����,只允許授權給一個用戶,該角色的用戶容量就是1�。二是設置互斥角色����。即不允許將互相排斥的角色授權給同一個用戶����。如客戶類的角色和管理員類的角色是互斥的。三是設置互斥功能權限。即不允許將互相排斥的功能權限授權給同一個角色。如客戶類角色查看自己銀行賬戶余額信息的權限與修改自己賬戶余額的權限就是互斥的�。
數據庫結構設計是實現RBAC的重要環節����,良好的數據庫結構設計本身就可以表述RBAC的要求����。具體設計如下:
1)用戶信息表(User_info)保存用戶基本信息�。其字段有用戶ID ( User ID )、用戶名稱(Username )�、密碼(Passw )��、用戶類型( Kind )。定義表中的Kind數據項與Role表中Kind數據項具有相同的形式�����。將用戶進行分類后�����,當分配給用戶角色時可以指定用戶只能被分派到與其Kind屬性相同的角色���,這樣就可以實現角色的互斥約束。
2)角色信息表(Role )����、保存各個等級的角色定義信息�����。其字段有角色ID ( Role_ID )�、角色名稱(Rolename )��、角色種類( Kind)和角色描述(Role_ Desc ) o Kind數據項代表指定角色集合中的類別。
3)用戶/角色關系信息表(User_Role)保存用戶和角色的對應關系����,其字段有用戶ID和角色ID。當向User_Role表中添加數據即給用戶分配角色時��,要求User_ info表中要分配角色的用戶數據元組中的Kind數據項與Role表中相應角色的元組Kind數據項相同,以實現一定尺度上的角色互斥���,避免用戶被賦予兩個不能同時擁有的角色類型。
4)權限信息表(Permission)保存系統中規定的對系統信息資源所有操作權限集合��。其字段有權限ID ( Per_ID )�����,操作許可(Per)���,資源ID( Pro_ID)和權限描述(Per Desc )���。
5)角色/權限信息表(Role_ Per)保存各個角色應擁有權限的集合����。其字段有角色ID和權限ID���。
6)系統信息資源秘密級別表(SecretLevel)保存規定的系統信息資源的秘密級別�����。其字段有資源ID�����,密級ID ( SecrLev_ID)和密級信息描述(Secr_Desc )����。在客戶端和服務器端傳輸數據和存儲的過程中���,通過查詢該表可以判斷哪些信息資源為敏感數據,從而決定對其實施相應的安全技術和機制。
7)角色繼承關系表(Role_ Heir)存放表述各種角色之間繼承關系的信息�。其字段有角色ID�����,被繼承角色ID ( H_Role_ID )。角色繼承關系可以是一對一����,一對多或多對多的�����,通過遍歷整個角色繼承關系表�����,就可以知道所有的角色繼承關系�����。
8)權限互斤表(MutexPer)保存表述角色對應權限互斥關系的信息��,其字段有權限ID和互斥權限ID。
1.4敏感數據加密傳輸通道的設計
設計敏感數據加密傳輸通道的目的是保障敏感信息在傳輸過程中的保密性與完整性。針對中小型企業網絡應用系統的特點,在充分對比各種數據加密傳輸解決方案的基礎上,從成本和效果兩方面出發���,我們選擇3DES加密算法對敏感數據進行加密�����。同時又結合了RSA算法對密鑰進行傳輸�����,從而解決了對稱加密算法缺乏非對稱加密算法}/}/公鑰的安全性這個問題。具體工作流程如下:
1)服務器端由RSA加密算法生成公鑰KSpub和私鑰KSpriv;
2)服務器端將公鑰KSpub傳送給客戶端;
3)客戶端接收公鑰KSpub��,然后由3DES加密算法生成對稱密鑰Ksym����,用KSpub加密Ksym ;
4)客戶端將加密后的Ksym傳送給服務器端;
5)服務器端用KSpriv解密得到Ksym ;
6)敏感數據加密傳輸通道建立成功�,服務器端和客戶端以Ksym作為密鑰對敏感數據加/解密并傳輸�����。
1.5安全審計部分的設計
本模型中的安全審計記錄內容包括三個方面:一是用戶信息,包括用戶名���、用戶IP地址等;二是用戶行為信息��,包括用戶訪問系統敏感資源的內容、訪問系統資源的方式等;三是時間信息���,包括用戶登錄和注銷的時間�、特定行為發生的時間等����。值得注意的是����,安全審計跟蹤不僅要記錄一般用戶的行為��,同時也要記錄系統管理員的行為�����。
2結束語
我們采用sis模式�����,在JZEE技術平臺上實現了本文設計的網絡應用系統信息安全模型,在三種角色類型、九種不同權限的假設前提下�����,模擬了一個網上銀行公共服務系統的業務流程�,并對其中的主要安全防線的效果進行了如字典攻擊等安全性測試���,取得了較滿意的結果��。
網絡信息安全論文:淺論計算機網絡信息安全技術
[論文關鍵詞]Web Services 網絡完全 技術
[論文摘要]為了滿足日益增長的需求�����,人們提出了基于XML的Web服務。它的主要目標是在現有的各種異構平臺的基礎上構建一個通用的與平臺無關、語言無關的技術層�����,各種平臺上的應用依靠這個技術層來實現彼此的連接和集成,Web Services的核心技術主要是XML技術�、SOAP技術��、WSDL及UDDI等�。本文對此進行了探討����。
1 XML技術
近年來�,XML已成為數據表示和數據交換的一種新標準����。其基本思想是數據的語義通過數據元素的標記來表達��,數據元素之間關系通過簡單的嵌套和引用來表示����。若所有web服務器和應用程序將它們的數據以XML編碼并到Internet���,則信息可以很快地以一種簡單��、可用的格式獲得,信息提供者之間也易于互操作����。XML一推出就被廣泛地采用,并且得到越來越多的數據庫及軟件開發商的支持�?�?傮w講來���,XML具有自描述性��、獨立于平臺和應用�����、半結構化����、機器可處理的�、可擴展性和廣泛的支持等特點。因此�����,XML可被廣泛應用于電子商務�、不同數據源的集成�、數據的多樣顯示等各個方面����。XML描述了一個用來定義標記集的方法用于規定一個標記集,填入文本內容后��,這些標記和純文本一起構成了一個XML文檔����。一個良好的XML文檔必須滿足以下幾條規則:(1)有一致良好定義的結構(2)屬性需用引號引起來:(3)空白區域不能忽略:(4)每個開始標簽必須要有一個與之對應的結束標簽:(5)有且只有一個根元素包含其他所有的結點:(6)元素不能交叉重疊但可以包含:(7)注釋和處理指令不能出現在標簽中:(8)大小寫敏感:(9)關鍵詞“D0CTYPE”���、“ELEMENT”��、“ATTRIBUTE”和“ENTITY”要大寫����。為了說明特定的語法規則��,XMLDTD(DocumentTypeDefination)采用了一系列正則式�����。語法分析器(或稱解析器)將這些正則式與XML文件內部的數據模式相匹配�����,以判別文件是否是有效����。一個DTD描述了標記語言的語法和詞匯表����,定義了文件的整體結構以及文件的語法。在Internet中�����,一個最重要的問題是如何實現數據的交互�����,即客戶端和服務器端雙向數據交流。當前所面對的是一個物理上分散的、異源���、異構的數據環境�,能方便地從這些數據中取得所需要的信息極為重要���。XML滿足這一要求���,它可以將各種類型的數據轉換成XML文檔����,然后對XML文檔進行處理����,之后��,再將XML數據轉換為某種方式存儲的數據����。XML的數據源多種多樣����,但主要分為三種:第一種為本身是純文本的XML文檔�����、TXT文件、DAT文件等第二種來自于數據庫,如關系數據庫���、對象數據庫等:第三種是其它的帶有一定格式的應用數據�����,如郵件�����、圖表�����、清單等����。針對不同的數據源可以采用不同的技術進行轉換���。純文本文檔是最基本也是最簡單的�����,它將數據存儲于文本文件中�,可以直接方便地讀取數據����。另外��,XML文檔也可以加上CSS�����、XSL等樣式信息在瀏覽器中顯示����,或者通過DOM���、SAX編程接口同其它應用相關聯。第二種來源主要利用現有的比較成功的數據庫資源���,是對第一種資源的擴展,可以利用數據庫管理系統對數據進行管理,并用服務器編程語言對數據進行動態存取,來實現各種動態應用�。第三種數據源的轉換可以利用微軟提出的基于OLEDB的解決方案,從數據源直接導出XML文檔����。
2 SOAP技術
SOAP(simple ObjectAcCess PrOtOCO1,簡單對象訪問協議)是由Microsoft、IBM等共同提出的規范�,目的是實現大量異構程序和平臺之間的互操作����,從而使存在的應用程序能夠被用戶訪問�����。W3C的SOAP規范主要由SOAP封裝�����、SOAP編碼規則�、SOAPRPC表示及SOAP綁定四方面的內容組成:(1)SOAP封裝(SOAPEnvelop):構造了一個整體的SOAP消息表示框架,可用于表示消息的內容是什么���、誰發送的�����、誰應當接收并處理它�,以及處理操作是可選的還是必須的����。信封包含了S0AP消息頭部(可選)和SOAP消息體(必須)�����。消息體部分總是用于最終接收的消息����,頭部可以確定執行中間處理的目標節點��。附件、二進制數字及其他項目均可以附加到消息體上���。(2)SOAP編碼規則(SOAPEncodingRules):定義了一個數據編碼機制����,通過這樣一個編碼機制來定義應用程序中需要使用的數據類型����,并可用于交換由這些應用程序定義的數據類型所衍生的實例�。(3)S0AP RPC表示(S0AP RPcRepresentation):定義了一個用于表示遠程過程調用和響應的約定與HTTP相似�,RPC使用請求/響應模型交換信息��。使用SOAP調用遠程方法的主要工作就是構造SOAP消息�����。SOAP請求消息代表方法調用����,被發送給遠程服務器�,5OAP響應消息代表調用結果,返回給方法的調用者��。(4)SOAP綁定(sOAPBinding):定義了一個使用底層協議來完成在節點間交換SOAP消息的機制���。SOAP消息的傳輸依靠底層的傳輸協議��,與傳輸層的協議都能進行綁定。SOAP采用了已經廣泛使用的兩個協議:HTTP和XML����。HTTP用于實現SOAP的RPC風格的傳輸����,而XML是它的編碼模式。SOAP通訊協議使用HTTP來發送x扎格式的消息。HTTP與RPC的協議很相似���,它簡單��、配置廣泛�����,并且對防火墻比其它協議更容易發揮作用。HTTP請求一般由Web服務器來處理�����,但越來越多的應用服務器產品正在支持HTTP XML作為一個更好的網絡數據表達方式��,SOAP把XML的使用代碼轉化為請求/響應參數編碼模式����,并用HTTP作傳輸���。具體的講��,一個SOAP方法可以簡單地看作遵循SOAP編碼規則的HTTP請求和響應����。一個SOAP終端則可以看作一個基于HTTP的URL��,它用來識別方法調用的目標。SOAP不需要將具體的對象綁定到一個給定的終端,而是由具體實現程序來決定怎樣把對象終端標識符映像到服務器端的對象�。
3 WSDL與UDDI技術
WSDL(WebServicesDescriptionLanguage,web服務描述語言)基于Ⅺ旺�,將Web服務描述為一組對消息進行操作的服務訪問點它抽象描述了操作和消息,并綁定到一個具體的網絡協議和消息格式��,定義了具體實施的服務訪問點����。WSDL包含服務接口定義和服務實現定義���,服務接口是Web服務的抽象定義�,包括類型、消息和端口類型等�。服務實現定義描述了服務提供者如何實現特定的服務接口,包括服務定義和端口定義幾乎所有在因特網上的Web服務都配有相關的WSDL文檔����,其中列舉了該服務的功能�����,說明了服務在Web上的位置,并提供了使用它的命令�。WSDL文檔定義了Web服務功能發送和接收的消息種類,并規定了調用程序必須提供給Web服務的數據��,以便該服務能夠執行其任務�。WSDL文檔還提供了一些特定的技術信息,告訴應用程序如何通過HTTP或其他通信協議與Web服務進行連接和通信���。用戶想使用服務提供者所提供的服務��,必須首先找到這個服務。UDDI(UniversalDescrip—ti012DiseoveryIntegration,統一描述發現集成)提供了一種�����、查找服務的方法,使得服務請求者可以在Internet巨大的信息空間中快速��、方便地發現要調用的服務��,并完成服務間的集成�。UDDI是一個基于SOAP協議的、為Web服務提供信息注冊中心的實現標準����。同時也包含一組提供Web服務注冊、發現和調用的訪問協議。UDDI通過XML格式的目錄條目將Web服務注冊在UDDI中心的公共注冊表內供其它用戶查詢和使用�����。UDDI目錄條目包括三個部分:白頁、黃頁和綠頁�。白頁提供一般信息��,即Web服務的URL和提供者的名稱��、地址�、聯系方式等基本信息:黃頁提供基于標準分類法的相關產業��、產品或提供服務類型以及地域等的分類信息:綠頁提供技術信息,它詳細介紹了訪問服務的接口����,以便用戶能夠編寫應用程序以使用Web服務����,這是發現潛在Web服務的關鍵�����。同時�����,UDDI提供了基于XML的輕量級的數據描述和存儲方式,服務的定義是通過一個稱為類型模型的UDDI文檔來完成的�����。UDDI本身就是一個Web服務,它通過一組基于SOAP的UDDI的API函數進行訪問��。其中查詢API用來查詢定位商業實體��、服務、綁定等信息�。API被用來在注冊中心或者取消服務。
網絡信息安全論文:關于科研網絡信息安全隱患及控制策略研究
論文摘要:利用網絡信息技術進行科研管理����,加強了信息共享與協同工作�,提高了科研工作的效率,但與此同時也存在一些安全隱患。介紹了科研網絡信息安全的概念和意義,分析了其存在的安全隱患的具體類型及原因����,為保證科研網絡信息的安全�����,提出了加強網絡風險防范、防止科研信息被泄露����、修改或非法竊取的相應控制措施。
論文關鍵詞:科研網絡信息�;安全隱患����;控制策略
1引言
隨著計算機網絡技術的普及�,利用網絡信息技術來改造傳統科研管理模式已經成為一種歷史潮流���。由于計算機網絡的互聯性和開放性�,在提供信息和檢索信息的同時�,也面臨著一些安全隱患�����,科研信息一旦泄露,會給科研項目的實施帶來致命的打擊���。因此,加強網絡安全��、防止信息泄露���、修改和非法竊取已成為科研單位普及與應用網絡迫切需要解決的問題��,及時掌握和控制網絡信息安全隱患是十分必要的�。
2科研網絡信息安全的概念和意義
2.1概念
科研網絡信息安全主要包括以下兩個方面的內容:①科研數據的完整性����,即科研數據不發生損壞或丟失����,具有完全的可靠性和準確性�����。②信息系統的安全性,防止故意冒充�����、竊取和損壞數據����。
2.2意義
根據信息安全自身的特點以及科研的實際情況�����。
網絡信息安全在科研單位的實施應該以信息安全技術做支撐��,通過流程�����、審查和教育等的全面協同機制��,形成一個適合科研管理的完整的信息安全體系�����,并依靠其自身的持續改進能力�����,始終同步支持科研項目發展對網絡信息安全的要求����。
3科研網絡信息存在的安全隱患
3.1網絡管理方面的問題
科研網絡的信息化�����,由于覆蓋面大�、使用人員多以及涉密資料����、信息系統管理存在漏洞.有關人員缺乏保密意識�,往往不能保證工作文稿、科研資料���、學術論文等在網絡上安全���、正確、實時的傳輸和管理。
3.2外部威脅
網絡具有方便��、快捷的特點。但也面臨著遭遇各種攻擊的風險。各種病毒通過網絡傳播,致使網絡性能下降�,同時黑客也經常利用網絡攻擊服務器���,竊取�����、破壞一些重要的信息�,給網絡系統帶來嚴重的損失�����。
4科研網絡信息安全的控制策略
4.1建立完善的網絡信息管理體系
4.1.1制定并網絡信息安全管理制度這是科研網絡信息安全工作的指導準則�����,信息安全體系的建立也要以此為基礎�。
4.1.2建立網絡信息安全管理組織這為網絡信息安全體系的建立提供組織保障��,也是網絡信息安全實施的一個重要環節�,沒有一個強有力的管理體系���,就不能保證信息安全按計劃推進����。
4.1.3加強網絡信息保密審查工作堅持“誰公開����、誰負責、誰審查”的原則,落實保密審查責任制,規范各科室���、部門分工負責的保密審查制度��,不斷完善和細化保密審查的工作制度、工作程序���、工作規范和工作要求。
4.2開展充分的信息安全教育
工作人員信息安全意識的高低���,是一個科研單位信息安全體系是否能夠最終成功實施的決定性因素,所以需要對員工進行充分的教育,提高其信息安全意識�,保證信息安全實施的成效����。
科研單位可以采取多種形式對工作人員開展信息安全教育,充分利用科研單位內部的輿論宣傳手段,如觀看警示教育片���、保密知識培訓、簽訂保密承諾書���、保密專項檢查等�����,并將工作人員的信息安全教育納入績效考核體系���。
4.3選擇合適的網絡信息安全管理技術
網絡信息安全管理技術作為信息安全體系的基礎��,在信息安全管理中起到基石的作用�����。
4.3.1設置密碼保護設置密碼的作用就是安全保護,主要是為了保證信息免遭竊取����、泄露����、破壞和修改等����,常采用數據備份��、訪問控制、存取控制���、用戶識別��、數據加密等安全措施。
4.3.2設置防火墻防火墻在某種意義上可以說是一種訪問控制產品����,它能強化安全策略�,限制暴露用戶點����,它在內部網絡與不安全的外部網絡之間設置屏障,防止網絡上的病毒����、資源盜用等傳播到網絡內部��,阻止外界對內部資源的非法訪問�,防止內部對外部的不安全訪問��。
4.3.3病毒防范和堵住操作系統本身的安全漏洞為了防止感染和傳播病毒,計算機信息系統必須使用有安全專用產品銷售許可證的計算機病毒防治產品��。同時任何操作系統也都存在著安全漏洞問題��,只要計算機接人網絡����,它就有可能受到被攻擊的威脅,還必須完成一個給系統“打補丁”的工作,修補程序中的漏洞,以提高系統的性能。防止病毒的攻擊。
4.3.4使用入侵檢測技術人侵檢測系統能夠主動檢查網絡的易受攻擊點和安全漏洞����。并且通常能夠先于人工探測到危險行為����,是一種積極的動態安全檢測防護技術���,對防范網絡惡意攻擊及誤操作提供了主動的實時保護����。
4.4加強涉密網絡和移動存儲介質的管理
科研管理系統安全是由多個層面組成的,在實際的操作過程中.也要嚴格遵守操作規程。嚴禁在外網上處理��、存儲�����、傳輸涉及科研秘密信息和敏感信息����,嚴禁涉密移動存儲介質在內外網上交叉使用,嚴格上網信息保密審查審批制度����,嚴格執行涉密計算機定點維修制度����。
5結束語
為了確?���?蒲芯W絡的信息安全�,只有通過有效的管理和技術措施�,使信息資源免遭威脅,或者將威脅帶來的損失降到最低限度�,保證信息資源的保密性�、真實性�、完整性和可用性.才能提高信息安全的效果,最終有效地進行科研管理、降低信息泄露風險�����、確保各項科研工作的順利正常運行�����。
網絡信息安全論文:淺析如何加強局域網絡信息安全的建設
論文關健詞:局域網絡 信息資源 數據加密
論文摘要:隨著網絡時代的迅速前進��,信息安全的含義也在不斷的變化發展,單純的保密和靜態的保護已不能適應當今的需要����,文章就這一現狀給出了自己的定義和應對策略���。
信息作為一種資源�,它的普遍性���、共享性、增值性�����、可處理性和多效用性���,使其對于人類具有特別重要的意義����。網絡環境下的信息安全體系是保證信息安全的關鍵���,包括計算機安全操作系統�����、各種安全協議、安全機制����,直至安全系統��,其中任何一個安全漏洞便可以威脅全局安全。信息安全服務至少應該包括支持信息網絡安全服務的基本理論���,以及基于新一代信息網絡體系結構的網絡安全服務體系結構���。
一、網絡信息安全的孟要性
網絡信息安全涉及到信息的機密性����、完整性、可用性�、可控性����。它為數據處理系統而采取的技術的和管理的安全保護�,保護計算機硬件�����、軟件����、數據不因偶然的或惡意的原因而遭到破壞��、更改�����、顯露。信息保障依賴于人和技術實現組織的任務運作,針對技術信息基礎設施的管理活動同樣依賴于這三個因素���,穩健的信息保障狀態意味著信息保障和政策、步驟���、技術和機制在整個組織的信息基礎設施的所有層面上均能得到實施����。
目前,除有線通信外�,短波�����、超短波、微波���、衛星等無線電通信也正在越來越廣泛地應用。與此同時�,國外敵對勢力為了竊取我國的政治���、軍事、經濟、科學技術等方面的秘密信息,運用偵察臺��、偵察船、衛星等手段�,形成固定與移動��、遠距離與近距離�、空中與地面相結合的立體偵察網���,截取我通信傳輸中的信息。單一的保密措施己很難保證通信和信息的安全,必須綜合應用各種保密措施�����。
二、局域網內病毒防治問題
局域網病毒來源主要有以下幾種方式:①從網站下載的軟件帶有病毒:瀏覽網站的時候ActiveX控件帶來的病毒;②安裝程序附帶的流氓軟件:不明郵件帶來的病毒;③移動存儲設備存儲數據傳染病毒等等方式。使用者日常使用時應盡量從正規網站下載軟件���、少瀏覽不正當網站、不明郵件應該盡量不打開等��。處理方法主要有以下幾類�。
首先:在網關上的網絡層時常進行病毒檢測和掃描����,及時清除明顯的病毒封包����,對病毒源客戶機進行阻塞與隔離����,大規模爆發網絡病毒時也能夠有效的隔離病毒疫區���。
其次:監測每臺計算機的殺毒軟件安裝情況和病毒庫更新情況���,以及操作系統或者其它應用軟件的補丁安裝情況�,若發現客戶機或者服務器存在嚴重的高危險性安全缺陷或者漏洞的話就應該將其暫時斷開網絡,拒絕其接入單位網絡��,直至缺陷或漏洞修復完畢�����,補丁安裝完畢后再將其接入網絡內���。
再次:使用U盤、移動硬盤等移動存儲設備傳遞各類數據,已經成為各類病毒傳播的主要途徑之一�。由于U盤和移動硬盤使用方便���,很多計算機用戶都選擇使用它來進行數據文件的存儲和拷貝�����,無形中使得U盤和移動硬盤成為這些病毒和惡意木馬程序傳播的媒體,給計算機用戶的數據安全和系統的正常使用帶來很大危害。鑒于通過U盤和移動硬盤傳播的計算機病毒在互聯網絡上的傳播日趨增多,辦公網絡內用戶可以按照以下幾點���,正確安全地使用U盤和移動硬盤進行數據文件的存儲和拷貝。
最后:根據實際情況可進行數據加密�����,VPN系統VPN(虛擬專用網)可以通過一個公用網絡(通常是互聯網)建立一個臨時的�����、安全的連接��,是一條穿過混亂的公用網絡的安全����、穩定的隧道���。虛擬專用網是對企業內部網的擴展����,可以幫助遠程用戶�、公司分支機構���、商業伙伴及供應商同公司的內部網建立可信的安全連接��,并保證數據的安全傳輸。它可用于不斷增長的移動用戶的全球互聯網接入��,以實現安全連接;也可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網�����。
三、實現網絡信息安全的策略
明確等級保護措施����。合理劃分安全域����,確定各安全域的物理邊界和邏輯邊界,明確不同安全域之間的信任關系���。在安全域的網絡邊界建立有效的訪問控制措施����。通過安全區域最大限度地實施數據源隱藏,結構化和縱深化區域防御��,防止和抵御各種網絡攻擊����,保證信息系統各個網絡系統的持續、穩定、可靠運行。
1.系統安全策略
對操作系統���、數據庫及服務系統進行漏洞修補和安全加固���,對關鍵業務的服務器建立嚴格的審核機制���。最大限度解決由操作系統�����、數據庫系統��、服務系統�、網絡協議漏洞帶來的安全問題����,解決黑客入侵���、非法訪問�、系統缺陷、病毒等安全隱患����。
2安全管理策略
針對企業信息系統安全管理需求���,在安全管理上需要在完善人員管理、資產管理、站點維護管理����、災難管理、應急響應���、安全服務�、人才管理等方面機制、制度的同時�����,與管理技術緊密結合,形成一套比較完備的企業信息系統安全管理保障體系。
3.縱深防御策略
入侵檢測系統在安全系統中,防火墻相當于網絡系統入口的門衛���,能按照我們設定的規則判斷他人是否可進入���,把攻擊���、惡意的數據包擋在門外����,而入侵檢測系統則相當于攝像機��,可以監控網絡或者重要的主機��,監控入侵行為,尤其可以發現潛在攻擊特征���,必要時可與防火墻聯動�����,及時阻斷入侵行為�。當黑客試探攻擊時���,大多采用一些己知的攻擊方法來試探���。通過入侵檢測系統的“實時監測”功能��,發現黑客攻擊的企圖����,對于網絡安全來說也是非常有意義的。也就是說���,如果黑客攻破系統所需要的時間大于發現黑客攻擊并響應的時間����,則系統就是安全的��。通過該系統可以快速定位來自網絡內部和外部的攻擊行為以及網絡內部的異常流量等��。
網絡信息安全論文:簡析一種網絡應用系統信息安全模型的研究和應用
論文關鍵詞:安全技術和機制��;身份認證����;訪問控制;數據加密
論文摘要:針對一般網絡應用系統的特征,融合了數據加密�����、身份認證和訪問控制三種安全技術和機制���,并充分考慮了系統安全性需求與可用性、成本之間的平衡���,提出了一個以信息資源傳輸和存儲安全保護���,身份認證安全管理和資源訪問安全控制為基本要素的網絡應用系統信息安全模型,為加強中小型企業網絡應用系統安全性提供了一個比較簡單可行的方案。
0引言
由于網絡環境的特殊性���,每一個投人使用的網絡應用系統都不可避免地面臨安全的威脅�����,因此��,必須采取相應的安全措施。國內在信息安全方面已做了很多相關研究��,但大多是單獨考慮資源保護或身份認證等某一方面,而對如何構建一個相對完善且通用的網絡應用系統信息安全解決方案研究不多。本文在ISO提出的安全服務框架下��,融合了數據加密�、身份認證和訪問控制三種安全技術和機制����,并充分考慮了系統安全性需求與可用性�、成本等特性之間的平衡,提出了一個以信息資源傳輸和存儲安全保護���、身份認證安全管理和資源訪問安全控制為基本要素的網絡應用系統信息安全模型����,為加強中小型企業網絡應用系統安全性提供了一個比較簡單可行的方案�。
1網絡應用系統信息安全模型設計
1.1信息安全模型總體設想
本文提出的網絡應用系統信息安全模型主要基于三個要素:信息資源傳輸和存儲安全保護�,身份認證安全管理以及用戶對資源訪問的安全控制����。整個信息安全模型如圖1所示��。模型利用過濾器來區分敏感數據與非敏感數據,對于非敏感數據直接以明文形式進人信息資源層處理����,而對敏感數據則采用加密傳輸通道進行傳輸,且需要經過身份認證層與訪問控制層的控制后才能進人信息資源層。這樣的設計在保證了信息傳輸和存儲較高的安全性的同時,減少了身份認證層與訪問控制層的系統開銷,大大提高了系統的運行效率���。而在信息資源層�,則是通過備份機制���、事務日志和使用常用加密算法對數據庫中數據進行處理�,來保障信息傳輸和存儲的安全��。
1.2身份認證層的設計
身份認證層主要包括兩部分:用戶身份認證和用戶注冊信息管理�����,采用了基于改進的挑戰/應答式動態口令認證機制��。
目前使用比較普遍的是挑戰/應答式動態口令認證機制����,每次認證時服務器端都給客戶端發送一個不同的“挑戰”字串,客戶端收到這個字串后����,作出相應的”應答”。但是,標準的挑戰/應答動態口令認證機制具有攻擊者截獲隨機數從而假冒服務器和用戶,以及口令以明文形式存放在數據庫中易受攻擊兩個缺點。在本模型采用的改進的挑戰/應答式動態口令認證機制中��,通過1.4節中論述的敏感數據加密通道對隨機數進行加密傳輸解決了上述第一個問題;通過在客戶端將用戶口令經M DS算法散列運算并保存在服務器端數據庫解決了上述第二個問題�,使得服務器在認證時只需要比對客戶端處理后傳來的加密字符串即可��。方案的具體流程如下:
1)服務器端口令的保存當用戶在服務器端錄人注冊信息時���,將用戶的密碼進行K次M DS散列運算放在數據庫中��。
2)用戶請求登錄服務器端開始執行口令驗證:當用戶請求登錄服務器時,Web服務器在送出登錄頁面的同時產生一個隨機數并將其通過敏感數據加密傳輸通道發給客戶端�����。
3)客戶端M DS口令的生成客戶端首先重復調用與服務器端同樣的MDS運算K次�����,得到與保存在服務器端數據庫中的口令一致的消息摘要����。然后�����,將從服務器傳來的隨機數與該口令相加后再調用客戶端的M DS散列運算函數���,將結果(M DS口令)通過敏感數據加密傳輸通道傳送給服務器�����。
4)服務器端對MDS口令的驗證服務器端收到客戶端傳來的用戶名和MDS口令后�����,通過查詢數據庫����,將已存儲的經過K次M DS散列運算的口令與隨機數相加后同樣進行M DS散列運算���,并比較兩個結果是否相同����,如相同則通過驗證,否則拒絕請求�。整個用戶口令的生成和驗證過程如圖2所示��。
1.3基于RBAC的訪問控制層的設計
訪問控制層主要包括兩部分:權限驗證與授權和資源限制訪問�����,采用了基于角色的訪問控制機制����。在RBAC中引人角色的概念主要是為了分離用戶和訪間權限的直接聯系,根據組織中不同崗位及其職能����,一個角色可以擁有多項權限���,可以被賦予多個用戶;而一個權限也可以分配給多個角色。在這里,約束機制對角色和權限分配來說非常重要�,本模型設計的約束機制主要包括以下幾方面:一是限制一個角色可以支持的最大用戶容量���。如超級管理員這個角色對于應用系統非常重要,只允許授權給一個用戶,該角色的用戶容量就是1���。二是設置互斥角色。即不允許將互相排斥的角色授權給同一個用戶�����。如客戶類的角色和管理員類的角色是互斥的�����。三是設置互斥功能權限��。即不允許將互相排斥的功能權限授權給同一個角色��。如客戶類角色查看自己銀行賬戶余額信息的權限與修改自己賬戶余額的權限就是互斥的�����。
數據庫結構設計是實現RBAC的重要環節���,良好的數據庫結構設計本身就可以表述RBAC的要求。具體設計如下:
1)用戶信息表(User_info)保存用戶基本信息�����。其字段有用戶ID ( User ID )、用戶名稱(Username )�����、密碼(Passw )�、用戶類型( Kind )��。定義表中的Kind數據項與Role表中Kind數據項具有相同的形式�。將用戶進行分類后,當分配給用戶角色時可以指定用戶只能被分派到與其Kind屬性相同的角色�,這樣就可以實現角色的互斥約束����。
2)角色信息表(Role )���、保存各個等級的角色定義信息。其字段有角色ID ( Role_ID )、角色名稱(Rolename )��、角色種類( Kind)和角色描述(Role_ Desc ) o Kind數據項代表指定角色集合中的類別���。
3)用戶/角色關系信息表(User_Role)保存用戶和角色的對應關系��,其字段有用戶ID和角色ID���。當向User_Role表中添加數據即給用戶分配角色時���,要求User_ info表中要分配角色的用戶數據元組中的Kind數據項與Role表中相應角色的元組Kind數據項相同��,以實現一定尺度上的角色互斥,避免用戶被賦予兩個不能同時擁有的角色類型。
4)權限信息表(Permission)保存系統中規定的對系統信息資源所有操作權限集合����。其字段有權限ID ( Per_ID )����,操作許可(Per),資源ID( Pro_ID)和權限描述(Per Desc )。
5)角色/權限信息表(Role_ Per)保存各個角色應擁有權限的集合。其字段有角色ID和權限ID��。
6)系統信息資源秘密級別表(SecretLevel)保存規定的系統信息資源的秘密級別��。其字段有資源ID���,密級ID ( SecrLev_ID)和密級信息描述(Secr_Desc )���。在客戶端和服務器端傳輸數據和存儲的過程中����,通過查詢該表可以判斷哪些信息資源為敏感數據,從而決定對其實施相應的安全技術和機制���。
7)角色繼承關系表(Role_ Heir)存放表述各種角色之間繼承關系的信息�。其字段有角色ID�,被繼承角色ID ( H_Role_ID )���。角色繼承關系可以是一對一,一對多或多對多的,通過遍歷整個角色繼承關系表���,就可以知道所有的角色繼承關系���。
8)權限互斤表(MutexPer)保存表述角色對應權限互斥關系的信息,其字段有權限ID和互斥權限ID����。
1.4敏感數據加密傳輸通道的設計
設計敏感數據加密傳輸通道的目的是保障敏感信息在傳輸過程中的保密性與完整性���。針對中小型企業網絡應用系統的特點���,在充分對比各種數據加密傳輸解決方案的基礎上��,從成本和效果兩方面出發�����,我們選擇3DES加密算法對敏感數據進行加密��。同時又結合了RSA算法對密鑰進行傳輸,從而解決了對稱加密算法缺乏非對稱加密算法}/}/公鑰的安全性這個問題����。具體工作流程如下:
1)服務器端由RSA加密算法生成公鑰KSpub和私鑰KSpriv;
2)服務器端將公鑰KSpub傳送給客戶端;
3)客戶端接收公鑰KSpub��,然后由3DES加密算法生成對稱密鑰Ksym,用KSpub加密Ksym ;
4)客戶端將加密后的Ksym傳送給服務器端;
5)服務器端用KSpriv解密得到Ksym ;
6)敏感數據加密傳輸通道建立成功����,服務器端和客戶端以Ksym作為密鑰對敏感數據加/解密并傳輸�����。
1.5安全審計部分的設計
本模型中的安全審計記錄內容包括三個方面:一是用戶信息��,包括用戶名、用戶IP地址等;二是用戶行為信息�,包括用戶訪問系統敏感資源的內容��、訪問系統資源的方式等;三是時間信息�����,包括用戶登錄和注銷的時間、特定行為發生的時間等����。值得注意的是�����,安全審計跟蹤不僅要記錄一般用戶的行為��,同時也要記錄系統管理員的行為��。
2結束語
我們采用sis模式����,在JZEE技術平臺上實現了本文設計的網絡應用系統信息安全模型�,在三種角色類型�、九種不同權限的假設前提下�,模擬了一個網上銀行公共服務系統的業務流程���,并對其中的主要安全防線的效果進行了如字典攻擊等安全性測試,取得了較滿意的結果����。
網絡信息安全論文:地方財政網絡信息安全建設淺析
在新世紀的人類世界里�����,網絡已無處不在。越來越多的人網上辦公,網上購物�,網上交友,甚至在網上療傷治病�。越來越多的政府把財經���、交通����、軍事等 “命脈”的協調管理權交給了網絡����。網絡正在把世界各個國家和地區聯為一體����,形成一個信息上的“地球村”。在這個“村子”里���,“網絡為王”將不再是戲言�����。隨著地方財政信息化改革的不斷深入開展�����,地方財政網絡憑借其獨特的地位與魅力,已步成為這個信息化“村莊”里重要的一員。 馬克思曾經辯證地說過:“當人們對某種事物的依賴程度越高時,一旦這個事物遭到破壞或者攻擊��,對人們造成的損害就越大”。網絡作為一個復雜而龐大的高技術實體,其脆弱性也是與生俱來的:其薄弱環節可侵入、可破壞�、可干擾,難以抵擋來自外界的攻擊���。因此����,網絡在給人們的生活帶來方便與精彩的同時��,也給信息的安全帶來了許多潛在的隱患�����。地方財政是地方政治��、經濟運行的中樞神經,是地方經濟發展的有力保障���,作為網絡重要應用分支之一的地方財政網絡�����,也必將面臨同樣嚴重的信息安全問題�。
第一部分 從“金財工程”看“財政信息安全” 日前,國家信息化領導小組將“金財工程”列為國家電子政務主要業務系統之一�����,這標志著“金財工程”已正式全面啟動。“金財工程”(簡稱GFMIS)以覆蓋各級政府財政管理部門和財政資金使用部門的大型信息網絡為支撐,以細化的部門預算為基礎�����,以所有財政收支全部進入國庫單一賬戶為基本模式�����,以預算指標��、用款計劃�����、采購定單以及財政政策實施效果評價和宏觀經濟運行態勢跟蹤分析為預算執行主要控制機制,以出納環節高度集中并實現國庫現金有效調度為特征,體現了公共財政改革的要求���,而地方財政信息化建設是其必需的技術保證和支撐力量�。
GFMIS系統的敏感性使其信息價值倍增��,因此它更易受到敵對國家�、敵對國內組織��、敵對個人犯罪分子和黑客��、病毒等的攻擊,為了確保信息在存取、處理和傳輸過程中的機密性���、完整性、可靠性��, 2001年10月15日財政部制訂并出臺了《政府財政管理信息系統網絡建設管理暫行辦法》,建立起了由表及里、從內到外��、周密的信息安全保障體系����。 財政信息關系到國計民生、國家命脈��。財政信息的安全穩定是在進行財政信息化建設時所面臨的最嚴峻的挑戰�,財政信息安全建設是財政信息化改革的重中之重���。所以����,在財政信息化改革中���,我們首先要考慮的就是確保財政信息的安全�����,把保證財政信息安全作為一切工作的基礎���。
第二部分 地方財政網絡信息安全建設的有益探索 鶴壁市財政信息化建設起步早、改革力度大��,作為河南省財政信息化建設的試點單位����,多項工作走在了全省的前列,有些工作還處于全國地市財政改革的先進地位����。在財政信息化建設中�����,網絡建設是根本、是基礎�,而網絡信息安全一直都是網絡建設所關注的焦點�。全國財政系統建設“金財工程”以來���,局領導高度重視���,多次開會強調財政信息安全的重要意義�����,對財政信息的安全保護措施提出了高標準����、嚴要求�。鶴壁市財政局實行信息化改革以來����,已經和即將運行的軟件系統有國庫集中支付���、會計核算、部門預算���、預算外收支兩條線�����、預算審核網等等。為保證財政信息的安全,我們在防病毒���、防黑客、信息加密����、系統安全等方面安全措施的建設進行了有益的嘗試與探索����,積累了一定的經驗�。 由計算機以及網絡的自身特性所決定��,網絡安全又可以分為兩個方面的內容:硬件安全與軟件安全����。 硬件安全——信息安全的基石 硬件是計算機運行的基礎和最根本的保證�,沒有硬件,也就沒有信息系統�����!但是,在當今網絡的高速發展中��,大家往往忽視了硬件設備的更新��、升級與維護�����,要知道由于硬件的損毀而導致的信息不安全因素已經直接制約了網絡建設的發展���。 軟件安全——信息安全的保證 軟件是計算機應用的基礎和核心���,沒有軟件���,信息系統將無法運行�����!然而��,不容忽視的是由于軟件故障而對信息系統造成的破壞�����。病毒感染��、黑客攻擊�����、服務器停機、數據丟失等給單位和用戶造成了巨大的損失�。確保軟件的可靠性和安全性已經迫在眉睫。
沒有人否認軟件安全事關重大����,但一直未能很好解決的原因之一是:與硬件的直觀性相比���,地方財政信息化在軟件安全上的投入不容易被各單位認識到���。 我們在建設鶴壁市財政信息網的時候�,從根本出發,通盤考慮�����,在保證硬件設備質量的同時加強軟件系統地維護與升級���,取得了很好的效果����。當然��,限于地方財政的差異性與局限性,我們的想法可能還不成熟���、不完善��,我們希望能通過不斷的交流與探索����,將鶴壁市財政網絡信息安全建設推向一個新的高度�����。長路漫漫����,我們將一如既往地上下求索�!
第三部分 地方財政網絡信息安全建設現狀 縱觀我國當今網絡安全現狀,結合地方財政信息化建設的實際情況�,信息網絡尤其是財政信息網絡將面臨著來自各方面的挑戰:網絡病毒���、網絡黑客、信息竊密、個人單機安全��、WEB站點安全等等��,各種威脅無處不在�����,嚴重阻礙了財政信息化的建設進程����。
搞好地方財政網絡安全建設是關系到財政信息化改革成敗的大事����,目前的地方財政網絡信息安全建設還遠遠沒有達到規定要求,財政網絡在地方財政工作中還不能得到廣泛的應用���,究其原因,主要表現在以下幾個方面:
一�、思想觀念陳舊 安全意識薄弱 目前很多財政干部特別是領導干部還沒有從思想上認識到網絡安全對現有的財政信息系統的重要性�����。僅僅滿足于簡單的計算機操作���,沒有認識到信息網絡在給我們的工作帶來巨大方便的同時,正嚴重地威脅著我們財政數據信息的安全����。沒有把財政網絡信息安全建設當作一件至關重要的工作來抓,普遍存在著一種“網絡建成高枕無憂”的片面思想�,導致財政信息網絡安全建設進程的遲緩,從根本上制約了“金財工程”的建設步伐���。
二、網絡系統自身的不安全因素 網絡發展至今已有20多年的歷史�����,它一直在堅持不懈地向安全、穩定、高速的方向發展�����。世界上任何事物都是在挫折中求發展�,在發展中求進步��!網絡當然也不例外�����。在網絡不停的發展中��,安全性始終是網絡的第一要務。不論從硬件還是從軟件的發展看��,網絡安全經歷了太多的苦辣酸甜�,從最初四個接點的網絡雛形,發展到今天擁有上千萬臺終端計算機的INTERNET網絡���,從最初的近距離線路傳輸到形成全球性的無線網絡系統,網絡的安全問題一直困擾著網絡的設計者們。
隨著近幾年網絡的蓬勃發展,網絡安全尤其是地方財政網絡安全所面臨的挑戰也越來越復雜�����,可以總結為以下幾個方面:
1.網絡黑客攻擊 黑客是網絡的天敵��,根據我國財政信息化網絡建設的現狀�����,黑客攻擊又分為來自內部的隱性攻擊與來自外部的顯性攻擊��。 黑客主要是通過網絡操作系統的漏洞對網絡系統進行攻擊�,現今流行的網絡操作系統有NETWARE�����、WINDOWS NT���、UNIX等����,但是由于操作、功能等多種原因的影響,大部分的用戶把WINDOWS NT 作為網絡操作系統的首選?��;谶@種原因,WINDOWS NT 操作系統所受到的攻擊也就最多,相對而言�,她的系統安全性也就越脆弱。Windows NT網絡安全問題已成為日常網絡管理的中心問題�。
2.網絡病毒破壞 網絡病毒是一些惡意的代碼程序��,旨在破壞系統信息。隨著網絡技術的不斷發展���,病毒的破壞性也越來越嚴重�。例如���,瑞星公司最近剛剛截獲的一個名為“殺手13”病毒,就是一個極度危險的局域網病毒����,它在12月13日發作時��,可以刪除計算機c盤上所有文件�����!危害性可想而知。 網絡是病毒的主要傳播途徑�����,而計算機則是病毒的直接受害者。所以���,網絡防范病毒的根本就是計算機防病毒����。首先���,要有良好的計算機操作習慣����,只要從思想上高度重視�,對于那些不明郵件���、煽動性的文件,盡量不要執行�,定期升級殺毒軟件并查殺病毒��,網絡病毒的危害是完全可以降到最低的��。
3.信息傳輸中的隱患 信息傳輸過程中的信息損耗����、被竊取越來越威脅到財政信息的安全��。據不完全統計����,在去年的網絡安全事故中�,有37.5%發生在信息傳輸過程中。只需采用幾種簡單的竊密手段�,就可以直接破壞到數據的安全性�。 為了防止在通信傳輸過程中對信息的竊取和篡改��,可采用vpn加密、ids監控等安全手段,以保證網絡傳輸協議中網絡層的安全���。不斷進行系統安全加固處理,將財政安全隱患扼殺在傳輸過程中�����。
4.個人單機安全 不知道誰曾經說過這樣一句話:越是親密的朋友,就可能是越危險的敵人���。對于沒有安全意識的一臺聯入財政網絡的計算機,尤其是管理員的控制機�,如果在你疏忽大意的情況下泄漏密碼�����,一旦被別有用心之人所利用����,后果是不堪設想的。
三�����、缺乏嚴格的安全管理制度 全國財政信息化改革才剛剛起步��,有很多規章制度還不成熟,沒有嚴格安全管理機制�����,缺乏整體安全方案����,還沒有可以借鑒的經驗,機房、網絡的混亂管理造成了財政信息網絡安全的隱患��,一旦出現問題�����,造成的損失將是無可估量的��。
四��、專業的安全技術人員大量匱乏 現今財政系統由于多方面原因的制約��,缺少大量的專業安全技術人員,許多地方的財政網絡管理員都是 “半路出家”,沒有經過比較系統�����、專業的計算機網絡知識學習����,對一些常見的網絡故障還可以應付�,而對那些涉及到國家經濟命脈的“財政信息”安全卻知之甚少��,有的甚至一竅不通��,這種安全技術人員的現狀對地方財政網絡信息安全建設的全面鋪開��,形成了巨大的制約。
五、各方面防范措施不到位 財政信息網絡是復雜而龐大的�����。地方財政網需要承擔的任務有很多:web網站����、辦公自動化�����、各業務軟件的正常運行���、實現與上級的聯網��、保障各縣區網絡暢通等等����,這樣���,不可避免地要面對來自各個方面的攻擊�����。例如�����,web站點遭受的惡意代碼攻擊等。另外���,由于現今財政干部隊伍計算機普及以及熟練程度的限制,在計算機操作過程中往往會出現人為因素的無意損壞,這也對財政信息安全造成了威脅。
隨著財政信息化進程加快����,“金財工程”的全面建設完成���,網絡安全面臨的任務將會進一步加大��,如果我們不考慮來自方方面面的威脅��,我們將不能保證國家經濟命脈穩定�、安全地運行����。 第四部分 如何加強財政網絡信息安全 針對以上在財政信息化建設中出現的問題���,按照“金財工程”對地方財政網絡信息安全建設的具體規劃與要求,結合鶴壁市財政信息安全現狀與實際情況。我們認為在財政信息化建設中��,要真正做到“安全第一”�,必須要做到:
(一)��、轉變觀念 增強網絡安全憂患意識 現在,財政系統信息化建設剛剛開始�����,仍處于探索階段�,許多部門和個人的安全憂患還尚未形成���,對計算機網絡安全技術還未能給與足夠的重視���。對于這種情況�,僅僅依靠信息部門的努力還不夠,也要有領導和管理部門來搭臺�,然后由信息部門唱戲���。讓業務部門和應用人員從思想上認識到網絡安全的重要性���,然后才能在實際工作中處處注意安全防范���,對涉密的財政信息���,處理時真正做到“如臨深淵�,如履薄冰”����。建設安全的財政信息系統,必須有較多的人力��、物力、財力投入�,這就迫切需要財政工作人員轉變現有的工作方式����,確立 “財政信息 安全至上”的觀念����。 河南省省��、市兩級財政網絡建設尚未全部完成,和財政網絡建設比較發達的地區相比已經大大的落后了��。因此�,加快地方財政信息網絡建設必然成為今后財政改革和財政工作的重點�,而網絡信息完全必須成為首要考慮的因素�。 安全憂患意識加強了����,全體人員形成共識����,為財政信息系統的安全建設創造一個良好的環境和基礎,這樣開展工作才能取得良好的效果,這樣才能確保財政信息的萬無一失�����。
(二)、培植系統健壯性 提高系統自身防范能力 選擇安全性能良好的系統作為財政網絡的信息平臺,才能從根本上保證信息網絡的安全。及時升級��、更新操作與應用系統。選用網絡版的殺毒軟件�,通過控制中心對整個財政內部網絡進行監控�����,把病毒扼殺在搖籃中。購買了反病毒軟件�����、防火墻軟件,只是實現網絡安全的第一步�����,是否充分發揮了安全產品的作用,是否定期去升級最新病毒代碼,定期檢查網絡的每個終端配置是否正確�,運行是否正常等等,這些才是防范病毒�、黑客,保證網絡安全暢通的關鍵所在�����。 采取對用戶口令、指紋的識別等手段來識別合法的用戶。采用用戶身份認證機制�,確保對系統資源的合法使用。采用具有安全機制的數據庫系統和其它系統軟件���,加強對使用事件的審計記錄的管理���,以保證財政信息在網絡協議系統層的安全�。
(三)、建立嚴格的安全管理規章制度 “無規矩不成方圓”,嚴格的規章制度是各項工作順利完成的保障�。尤其是在對數據信息安全性要求嚴格的財政系統,沒有嚴格的管理規章制度,我們將寸步難行����。首先,要嚴格控制網絡的核心部位——機房,結合鶴壁財政改革的實際,我們實行了管理負責制����,提出了“誰管理誰負責”的機房管理機制����。對各個科室,要求每臺計算機必須有專人進行負責����,要求操作系統加密�����,設置層層口令權限�����,以確保財政信息無人為的安全隱患����。
(四)���、不遺余力地引進專業技術人才 一個專業網絡管理人員的職責是隨時對網絡進行維護����,防止病毒���、黑客程序以及各種惡意的入侵����,處理系統中出現的問題�����,保障局域網的正常運作及信息安全,工作量十分龐大。引進專業的技術人才�����,首要要保證質量,其次要保證數量�����。網管人員必須具備很強的專業素質�����,并能及時掌握信息安全的最新技術。許多地方財政網絡的網管人員自身的技術水平都達不到維護財政網絡安全的要求����,這樣就造成了投入了相當大的人力、物力和財力,但其網絡環境還是不能得到全面的防護���。 從高校�、研究所���,從各種渠道多方面挖掘人才,要不遺余力地引進專業技術人才���,充實到財政干部隊伍中來��,全面提高財政系統干部的素質�。真正落實“網絡安全以人為本”的方針,定期派他們到外地學習�、交流����,不斷充實自己,不斷提高自身的業務水平�����,讓他們為財政網絡信息安全建設發揮出自己最大的能量。
(五)、不斷深化學習 提高防范能力 努力提高全體干部職工的安全防范技能�����,不斷學習��、不斷進步,不但從思想上高度重視�,還有從技術上嚴格要求自己�。定期進行全體人員的安全技能培訓�����,使大家能掌握最新的網絡安全現狀����,應付最新的網絡安全威脅��。 鶴壁市作為全省的財政改革試點單位,對地方財政信息化改革進行了有益的探索�,積累了寶貴的經驗�。為全省乃至全國各地市即將進行的財政信息化改革提供了寶貴的借鑒經驗����。當然,我們在努力推進地方財政網絡信息安全建設取得階段性成果的同時���,工作中還出現了一些問題�����,存在一定的不足: 一是一些縣區對推進財政信息網絡安全建設工作的重要性和緊迫性認識不夠,有的甚至將財政網絡信息安全建設工作簡單地當作安裝殺毒軟件。二是各縣區進財政網絡信息安全建設工作進度不平衡�����,市級財政網絡信息安全建設已經邁出重要步伐,有的縣區還停留在簡單應用��、維護的水平上����。三是對財政網絡信息安全建設工作研究���、規劃�、協調�、規范不夠�����,或技術標準不統一��,或沒有處理好和業務科室的協調關系�,或存在一定程度的違規建設等問題��。這些問題雖然是在財政網絡信息安全建設工作取得很大進展的過程中出現的���,但也應引起我們的高度重視,并在下一步工作中切實加以研究解決�����。 隨著改革開放的不斷深入����,面對我國加入世界貿易組織的新形勢�����,新世紀的地方財政網絡信息安全建設任重而道遠�����。財政管理信息系統的重要性質使其信息價值倍增�����,但同時又是不法分子關注的目標。為了確保鶴壁市財政信息網絡的安全暢通����,必須緊密團結在黨中央的周圍,從思想上高度重視�����,工作中嚴密部署,全面貫徹同志“十六大”報告精神,實踐 “三個代表”重要思想���,解放思想��,實事求是,與時俱進��。將鶴壁市財政網絡信息安全建設在新世紀�����、新形勢下�,推向新的高度。真正成為全省乃至全國地市級財政信息網絡安全建設的排頭兵。
網絡信息安全論文:學校網絡與信息安全管理應急預案
為確保網絡正常使用�,充分發揮網絡在信息時代的作用,促進教育信息化健康發展,根據國務院《互聯網信息服務管理辦法》和有關規定,特制訂本預案���,妥善處理危害網絡與信息安全的突發事件�����,最大限度地遏制突發事件的影響和有害信息的擴散���。
一�、危害網絡與信息安全突發事件的應急響應
1.如在局域網內發現病毒、木馬����、黑客入侵等
網絡管理中心應立即切斷局域網與外部的網絡連接���。如有必要,斷開局內各電腦的連接�,防止外串和互串����。
2.突發事件發生在校園網內或具有外部ip地址的服務器上的�����,學校應立即切斷與外部的網絡連接���,如有必要����,斷開校內各節點的連接;突發事件發生在校外租用空間上的����,立即與出租商聯系�����,關閉租用空間���。
3.如在外部可訪問的網站�、郵件等服務器上發現有害信息或數據被篡改,要立即切斷服務器的網絡連接�����,使得外部不可訪問���。防止有害信息的擴散���。
4.采取相應的措施,徹底清除���。如發現有害信息,在保留有關記錄后及時刪除���,(情況嚴重的)報告市教育局和公安部門�。
5.在確保安全問題解決后�,方可恢復網絡(網站)的使用���。
二����、保障措施
1.加強領導�,健全機構,落實網絡與信息安全責任制。建立由主管領導負責的網絡與信息安全管理領導小組,并設立安全專管員。明確工作職責�,落實安全責任制;bbs、聊天室等交互性欄目要設有防范措施和專人管理。
2.局內網絡由網管中心統一管理維護,其他人不得私自拆修設備,擅接終端設備。
3.加強安全教育�,增強安全意識,樹立網絡與信息安全人人有責的觀念。安全意識淡薄是造成網絡安全事件的主要原因�����,各校要加強對教師�����、學生的網絡安全教育,增強網絡安全意識,將網絡安全意識與政治意識���、責任意識����、保密意識聯系起來���。特別要指導學生提高他們識別有害信息的能力�����,引導他們正健康用網�。
4.不得關閉或取消防火墻�����。保管好防火墻系統管理密碼�����。每臺電腦安裝殺毒軟件���,并及時更新病毒代碼���。
網絡信息安全論文:淺析虛擬機技術在網絡信息安全教學中的應用
論文關鍵詞:網絡信息安全 虛擬機技術 安全教學
論文摘要:當前很多院校都開設了有關網絡信息安全的課程���,然而由于部分院校還沒有來得及建立相關的專業實驗室���,而正常的教學工作用機又不允許安裝實驗演示需要的環境和軟件����,只能進行單純的理論教學���,因此很難激發學生的學習興趣,學習效果也達不到預期目標。筆者經過一段時間的摸索����,通過采用虛擬機技術,在一臺實體的計算機上,安裝任意臺的虛擬機,模擬真實網絡服務環境,解決了網絡信息安全教學備課、教學演示中對于特殊網絡環境的要求問題。
1虛擬機技術的簡介
所謂虛擬機,顧名思義就是虛擬出來的計算機��。虛擬機技術也就是利用虛擬機軟件可以在一臺實體計算機上虛擬出來若干臺計算機一種技術�。這些虛擬出來的計算機和真實的實體計算機幾乎完全一樣���,每臺虛擬機可以運行單獨的操作系統而互不干擾�,而且可以隨意修改虛擬機的系統設置�,而不用擔心對實體計算機造成損失。
采用虛擬機技術一方面可以解決一般院校課堂教學沒有網絡環境的問題�����,另一方面也可以解決一些帶有破壞性的實驗演示所需要的特殊環境要求的問題。
2利用虛擬機技術構建實驗演示環境
在木馬的功能與危害實驗、網絡攻擊典型手段等演示中需要在一臺實體機(為了方便備課和教學可以采用筆記本電腦)上同時啟動多臺虛擬機���,對實體機的系統資源占用量大�,在操作中也經常需要重新啟動虛擬機�����,考慮到virtual pc在資源占用和簡單易用上的優勢,所以�����,在本課程的實驗演示中虛擬機軟件選用了virtual pc��。
virtual pc虛擬機軟件的安裝和設置不是很復雜�����,但是在構建具體的實驗演示環境時還要注意以下幾點事項�����。
1)虛擬機數量的選擇問題�。為了節約資源�,提高系統運行速度,一般建立2個虛擬機就能滿足實驗演示的需要了。
2)旎擬機操作系統安裝的問題。如果建立了2個虛擬機,一般一個安裝windows 2000 server操作系統,另一個安裝windowsxp操作系統���,安裝過程和操作與實體機上的操作一致�����。在安裝操作系統時要注意版本的選擇�����,因為我們的目的是要演示木馬的功能和危害還有網絡攻擊手段,因此虛擬機的操作系統還不能全部打上補丁和安裝殺病毒軟件��。
3)實體機的網絡配置問題。virtual pc是通過在現有網卡上綁定virtual pc emulated switch服務實現網絡共享的。對于win-dows2000或windows xp等操作系統�����,如果實體機在課堂教學時網線沒插或沒有網卡的時候,要安裝microsoft的loopback軟網卡��,才能實現網絡共享。在virtual pc的global setting里,當有網卡并插好網線的時候�,將virtual switch設成現實的網卡;當沒有網卡或網線沒插的時候,將virtual switch設成ms loopback軟網卡���,即可實現網絡共享�。
4)實體機的硬盤空間問題�����。在一個硬盤分區中�,為每臺虛擬機的映像文件預留足夠的硬盤空間�。windows2000 server的虛擬機映像文件約占2.4gb , windows xp的虛擬機映像文件約占1.sgb。如果啟用硬盤undo功能���,所需硬盤空間還要增加一倍。
5)實體機的內存大小的問題�����。由于在實驗演示時要同時啟動2個以上的虛擬機的數量����,所以���,要盡量擴大實體機內存的大小��。建議實體機系統的內存最少也要達到igo�。
3虛擬機環境應用于網絡信息安全課堂實驗演示
在網絡信息安全課程教學中,虛擬機環境主要應用于網絡典型攻擊手段和木馬的功能與危害實驗演示,在實際演示時,可以將這兩部分有機的結合起來��,使學生對于網絡漏洞泄密隱患有更加真切的體會。本文設計的演示內容是利用rpc漏洞攻擊和灰鴿子木馬的功能與危害,具體實驗演示設計如下:
網絡信息安全論文:論校園網信息安全與網絡管理
[論文關鍵詞]校園網 信息安全網絡管理
[論文摘要】由校園網運行和信息安全問題,提出加強校園網管理����,提高教師和學生信息安全意識�����。并對具體的網絡管理實施方法和信息安全保護措施進行探究和實踐���。
一、引言
隨著校園網絡建設的不斷發展��,學院在教學、管理�、科研以及對外信息交流等多方面對校園網的依賴性日漸增強���,以網絡的方式來獲取信息����、存儲信息和交流信息成為學院教師和學生使用信息的重要手段之一。然而�����,就目前的網絡運行狀況來看����,校園網信息安全問題日益突出��,網絡的穩定性依然較差����,因此,加強校園網的管理,確保校園網安全���、穩定、高效地運行,使之發揮其應有的作用已成為當前校園網應用中一個亟待解決的課題����。
二�����、校園網信息安全的研究思路
校園網是一個直接連接互聯網的開放式網絡�����,校園網用戶的層次差異較大����,校園網的信息安全與用戶的安全意識和技能緊密相關��,校園網的校園網的信息安全從總體結構上可分為,校園網主干網設備和應用的安全和校園網用戶的安全應用兩個部分�����。對具體的信息安全問題的研究,能有效的解決校園網中的信息安全隱患,從而確保校園網安全�,穩定��、高效地運行�。
(一)校園網邊界安全
校園網邊界安全就是確保校園網與外界網絡的信息交換安全��,既能保證校園網與互聯網進行正常的信息通訊����,又能有效地阻止來自網絡的惡意攻擊,如端口掃描、非授權訪問行為����、病毒���、不良網站等。
(二)系統漏洞的修補
校園網的網絡運行環境較為復雜性是一個由多用戶、多系統�����、多協議���、多應用的網絡���,校園網中的網絡設備、操作系統�����、數據庫、應用軟件都存在難以避免的安全漏洞。不及時修補這些安全漏洞���,就會給病毒、木馬和黑客的入侵提供方便。
(三)校園網計算機與存儲設備的安全
校園網計算機和存儲設備中存儲了大量的信息��,如學生檔案����,教學課件、考試題庫、學生作業、網站數據�����、辦公文件等�����。由于設備配置、應用和管理上的問題存在較大的信息安全隱患��。如設備無分級管理����、使用公共帳戶和密碼���、操作人員無信息安全常識等�����。
(四)校園網計算機病毒控制
計算機病毒是校園網安全隱患之一��。必須做到有效控制��。選擇適合的殺毒手段和相應軟件可以對服務器�����、接入計算機���、網關等所有計算機設備進行保護���,殺毒軟件可以對郵件、ftp文件、網頁���、u盤、光盤等所有可能帶來病毒的信息源進行監控�����、查殺和攔截����。計算機病毒控制要防殺結合以防為主��。
(五)校園網維護管理
校園網的硬件環境建設完畢后��,一項重要的工作就是做好校園網的維護工作。校園網的安全運維需要有一個校園網安全運營中心,通過強化安全管理工作���,對校園網不同教學場所設備�、不同計算機系統中的安全事件進行監控���,匯總和關聯分析����,提供可視化校園網安全狀況展示���。針對不同類型安全事件提供緊急應對措施����。實現校園網絡集中安全管控����,保護校園網絡數字資產安全����。
三�、確保校園網信息安全的具體蕾理措施
(一)優化結構,合理配置�,加強監管
使用硬件放火墻���,防火墻可在校園網與外界網絡之間建立一道安全屏障,是目前非常有效的網絡安全模型���,它提供了一整套的安全控制策略,包括訪問控制����、數據包過濾和應用網關等功能����。使用放火墻可以將外界網絡(風險區)與校園網(安全區)的連接進行邏輯隔離,在安全策略的控制下進行內外網的信息交換,有效地限制外網對內網的非法訪問���、惡意攻擊和入侵。
安裝入侵檢測系統,入侵檢測系統是放火墻的合理補充�,能夠在放火墻的內部檢測非法行為����,具有識別攻擊和入侵手段���,監控網絡異常通信�,分析漏洞和后門等功能�。
使用vlan技術優化內部網絡結構��,增強了網絡的靈活性����,有效的控制了網絡風暴�����,并將不同區域和應用劃分為不同的網段進行隔離來控制相互間的訪問,達到限制用戶非法訪問的目的。
使用靜態i p配置����。檢測網絡中i p應用狀況,并將i p+mac地址進行綁定,防止特殊ip地址被盜用���。對計算機特別是服務器的訪問必須進行安全身份認證,非認證用戶無法進行訪問��。
使用網絡管理軟件��,掃描和繪制網絡拓撲結構,顯示路由器與子網����、交換機與交換機�、交換機與主機之間的連接關系���,顯示交換機各端口、使用情況和流量信息,定期對客戶端流量���、分支網絡帶寬流量進行分析�,并進行數據包規則檢測�,防止非法入侵��、非法濫用網絡資源���。加強接入管理����,保證可信設備接入�����。對新增設備�、移動設備和移動式存儲工具要做到先檢測后接入�����,做好網絡設備的物理信息的登記管理,如設備的名稱���、設備樓層房間號��、使用部門�、使用人、聯系電話等。做到遇故障能及時準確地定位和排查。
(二)提高認識����,規范行為����,強化應用
網絡安全涉及到法律�����、道德���、知識、管理���、技術、策略等多方面的因素����,是一個有機的結合體。因此��,在做好技術防護和網絡管理的同時����,要把樹立信息安全意識提高到一個新的高度�����。并從環境、自身�、產品和意識等方面出發���,逐個解決存在的問題����,把可能的危險排除在發生之前��。對于校園網用戶來說,要進一步提高網絡信息安全意識�����,加強關于計算機信息安法律知識的學習,自覺規范操作行為��,同時掌握一些有關信息安全技術和技能。來強化我們的應用能力。具體可從以下幾個方面入手��。
建議在系統安裝時選擇最小化����,而多數用戶采用默認安裝����,實際上不少系統功能模塊不是必需的���,要保證系統安全����,需遵循最小化原則���,可減少安全隱患。
及時對系統進行漏洞掃描�����、安裝補丁程序���。為提高補丁程序的下載速度�,可在校園網中部署微軟自動更新服務器來提供客戶端補丁自動分發�����。在安裝補丁程序前一定要仔細閱讀安裝說明書�����,做好數據備份等預防工作,以免導致系統無法啟動或破壞等情況����。
操作系統安裝完成后����,要對系統的安全策略進行必要的設置��。如登錄用戶名和密碼���。用戶權限的分配�����,共享目錄的開放與否����、磁盤空間的限制�����、注冊表的安全配置�����、瀏覽器的安全等級等��,使用系統默認的配置安全性較差��。
使用個人防火墻��,個人防火墻足抵御各類網絡攻擊最有效的手段之一�,它能夠在一定程度上保護操作系統信息不對外泄漏��,也能監控個人電腦正在進行的網絡連接�����,把有害的數據拒絕于門外����。
使用反病毒軟件,目前互聯網上的病毒非常猖獗����,達幾萬種之多,傳播途徑也相當廣泛??赏ㄟ^u盤�、光盤�����、電子郵件和利用系統漏洞進行主動病毒傳播等,這就需要在用戶計算機上安裝防病毒軟件來控制病毒的傳播。在單機版的防病毒軟件使用中�����,必須要定期或及時升級防病毒軟件和病毒碼特征庫��。
(三)注意數據備份����,提高網絡和系統容災能力
在做好網絡安全管理工作的同時��,也應考慮系統在不可避免的因素下出現故障�。必須定期做好重要設備和重要數據的備份工作�,以便在出現故障時能即使進行硬件更換和軟件恢復等措施。存儲重要數據和運行重要軟件的設備應有硬件備份。軟件恢復包括系統恢復和文件恢復���。系統恢復就是當操作系統和應用軟件不能正常啟動和使用�,可利用修復軟件對其進行修復����,最快捷的法是使用克隆技術對系統進行全盤備份,可在系統損壞時快速恢復�����。從而以最快的速度是系統正常工作��。恢復則是當存儲介質上的應用文件損壞時,用修復軟件對其進行修復�����。要采用多種手段保存數據文件��,重要數據要多做幾個備份來確保數據文件的安全��。
四���、結柬語
校園網網絡信息安全問題具有綜合性、復雜性和動態性的特點,它不僅僅是網絡技術和網絡管理的應用和提高���,更需要廣大用戶樹立信息安全意識�����,自覺的遵守各項管理規章和制度����,只有這樣才能實現我們所期望的目標。
網絡信息安全論文:網絡信息安全狀況與可信計算
摘要:隨著互聯網的迅速發展和廣泛應用,在給人類帶來巨大財富和便捷的同時,也帶來了非常嚴峻的網絡信息安全問題。對網絡信息安全的威脅主要表現在:非授權訪問,冒充合法用戶,破壞數據完整性,干擾系統正常運行,利用網絡傳播病毒木馬,線路監聽等方面��。本文在分析網絡信息安全狀況的基礎上,闡述了由漏洞引發的信息安全問題,并介紹了網絡信息安全技術的未來研究方向���。
關鍵詞:網絡信息安全狀況;漏洞;網絡信息安全技術;可信計算
網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全,即硬件平臺�、操作系統、應用軟件;運行服務安全,即保證服務的連續性、高效率;信息安全則是指對信息的精確性�����、真實性、機密性�、完整性、可用性和效用性的保護�。網絡信息安全是網絡賴以生存的根基,只有安全得到保障,網絡才能充分發揮自身的價值���。
然而,隨著互聯網的迅速發展和廣泛應用,計算機病毒�、木馬數量也在呈現爆炸式增長。據金山毒霸“云安全”中心監測數據顯示,2008年,金山毒霸共截獲新增病毒、木馬13 899 717個,與2007年相比增長48倍,全國共有69 738 785臺計算機感染病毒,與07年相比增長了40%。在新增的病毒�����、木馬中,新增木馬數達7 801 911個,占全年新增病毒��、木馬總數的56.13%;黑客后門類占全年新增病毒���、木馬總數的21.97%;而網頁腳本所占比例從去年的0.8%躍升至5.96%,成為增長速度最快的一類病毒。該中心統計數據還顯示,90%的病毒依附網頁感染用戶,這說明,人類在盡情享受網絡信息帶來的巨大財富和便捷的同時,也被日益嚴峻的網絡信息安全問題所困擾�����。
1病毒木馬數量呈幾何級數增長,互聯網進入木馬病毒經濟時代
造成病毒木馬數量呈幾何級數增長的原因,經濟利益的驅使首當其沖,木馬比病毒危害更大,因為病毒或許只是開發者為了滿足自己的某種心理,而木馬背后卻隱藏著巨大的經濟利益,木馬病毒不再安于破壞系統,銷毀數據,而是更加關注財產和隱私�����。電子商務便成為了攻擊熱點,針對網絡銀行的攻擊也更加明顯,木馬病毒緊盯在線交易環節,從虛擬價值盜竊轉向直接金融犯罪�。
財富的誘惑,使得黑客襲擊不再是一種個人興趣,而是越來越多的變成一種有組織的、利益驅使的職業犯罪����。其主要方式有:網上教授病毒、木馬制作技術和各種網絡攻擊技術;網上交換、販賣和出租病毒��、木馬�����、僵尸網絡;網上定制病毒、木馬;網上盜號(游戲賬號、銀行賬號���、qq號等)、賣號;網上詐騙���、敲詐;通過網絡交易平臺洗錢獲利等���。攻擊者需要的技術水平逐漸降低、手段更加靈活,聯合攻擊急劇增多。木馬病毒�����、病毒木馬編寫者、專業盜號人員��、銷售渠道、專業玩家已經形成完整的灰色產業鏈�。
借助互聯網的普及,木馬病毒進入了經濟時代��。艾瑞的一項調查顯示,央視“3?15”晚會曝光木馬通過“肉雞”盜取用戶錢財后,超過八成潛在用戶選擇推遲使用網上銀行和網上支付等相關服務�����。木馬產業鏈背后的巨大經濟利益,加上傳統殺毒軟件的不作為��、銀行對安全的不重視����、刑法的漏洞等都是病毒木馬日益猖獗的根源。
另一方面,病毒木馬的機械化生產加速了新變種的產生,大量出現的系統及第三方應用程序漏洞為病毒木馬傳播提供了更廣泛的途徑��。病毒制造的模塊化�、專業化,以及病毒“運營”模式的互聯網化已成為當前中國計算機病毒發展的三大顯著特征�����。
2由漏洞引發的網絡信息安全問題
漏洞也叫脆弱性(vulnerability),是計算機系統在硬件、軟件���、協議的具體實現或系統安全策略設計和規劃時存在的缺陷和不足,從而使攻擊者能夠在未被合法授權的情況下,訪問系統資源或者破壞系統的完整性與穩定性���。漏洞除了系統(硬件����、軟件)本身固有的缺陷之外,還包括用戶的不正當配置�、管理��、制度上的風險,或者其它非技術性因素造成的系統的不安全性����。
2.1漏洞的特征
2.1.1漏洞的時間局限性
任何系統自之日起,系統存在的漏洞會不斷地暴露出來。雖然這些漏洞會不斷被系統供應商的補丁軟件所修補,或者在新版系統中得以糾正�����。但是,在糾正了舊版漏洞的同時,也會引入一些新的漏洞和錯誤�。隨著時間的推移,舊的漏洞會消失,但新的漏洞也將不斷出現,所以漏洞問題也會長期存在�����。因此,只能針對目標系統的系統版本�����、其上運行的軟件版本,以及服務運行設置等實際環境,來具體談論其中可能存在的漏洞及其可行的解決辦法����。
2.1.2漏洞的廣泛性
漏洞會影響到很大范圍的軟、硬件設備,包括操作系統本身及其支撐軟件平臺���、網絡客戶和服務器軟件、網絡路由器和安全防火墻等�。
2.1.3漏洞的隱蔽性
安全漏洞是在對安全協議的具體實現中發生的錯誤,是意外出現的非正常情況�。在實際應用的系統中,都會不同程度地存在各種潛在安全性錯誤,安全漏洞問題是獨立于系統本身的理論安全級別而存在的����。
2.1.4漏洞的被發現性
系統本身并不會發現漏洞,而是由用戶在實際使用����、或由安全人員和黑客在研究中發現的。攻擊者往往是安全漏洞的發現者和使用者�。由于攻擊的存在,才使存在漏洞的可能會被發現,從某種意義上講,是攻擊者使系統變得越來越安全。
2.2漏洞的生命周期
漏洞生命周期,是指漏洞從客觀存在到被發現���、利用,到大規模危害和逐漸消失的周期�。漏洞所造成的安全問題具備一定的時效性,每一個漏洞都存在一個和產品類似的生命周期概念。只有對漏洞生命周期進行研究并且分析出一定的規律,才能達到真正解決漏洞危害的目的。隨著系統漏洞����、軟件漏洞�����、網絡漏洞發現加快,攻擊爆發時間變短,在所有新攻擊方法中,64%的攻擊針對一年之內發現的漏洞,最短的大規模攻擊距相應漏洞被公布的時間僅僅28天。
2.3漏洞的攻擊手段
黑客入侵的一般過程:首先,攻擊者隨機或者有針對性地利用掃描器去發現互聯網上那些有漏洞的機器����。然后,選擇作為攻擊目標利用系統漏洞����、各種攻擊手段發現突破口,獲取超級用戶權限�、提升用戶權限。最后,放置后門程序,擦除入侵痕跡,清理日志,新建賬號,獲取或修改信息、網絡監聽(sniffer)��、攻擊其他主機或者進行其他非法活動�。漏洞威脅網絡信息安全的主要方式有:
2.3.1ip欺騙技術
突破防火墻系統最常用的方法是ip地址欺騙,它同時也是其它一系列攻擊方法的基礎。即使主機系統本身沒有任何漏洞,仍然可以使用這種手段來達到攻擊的目的,這種欺騙純屬技術性的,一般都是利用tcp/ip協議本身存在的一些缺陷����。攻擊者利用偽造的ip發送地址產生虛假的數據分組,喬裝成來自內部站點的分組過濾器,系統發現發送的地址在其定義的范圍之內,就將該分組按內部通信對待并讓其通過,這種類型的攻擊是比較危險的�����。
2.3.2拒絕服務攻擊(ddos)
當黑客占領了一臺控制機,除了留后門擦除入侵痕跡基本工作之外,他會把ddos攻擊用的程序下載,然后操作控制機占領更多的攻擊機器���。開始發動攻擊時,黑客先登錄到做為控制臺的傀儡機,向所有的攻擊機發出命令。這時候攻擊機中的ddos攻擊程序就會響應控制臺的命令,一起向受害主機以高速度發送大量的數據包,導致受害主機死機或是無法響應正常的請求�����。有經驗的攻擊者還會在攻擊的同時用各種工具來監視攻擊的效果,隨時進行調整。由于黑客不直接控制攻擊傀儡機,這就導致了ddos攻擊往往難以追查。
2.3.3利用緩沖區溢出攻擊
緩沖區溢出攻擊是互聯網上最普通,也是危害最大的一種網絡攻擊手段�。緩沖區溢出攻擊是一種利用目標程序的漏洞,通過往目標程序的緩沖區寫入超過其長度的內容,造成緩沖區的溢出,破壞程序的堆棧,使程序轉而執行指定代碼,從而獲取權限或進行攻擊。
2.3.4特洛伊木馬
木馬實質上只是一個網絡客戶/服務程序,是一種基于遠程控制的黑客工具,不需要服務端用戶的允許就能獲得系統的使用權。木馬程序體積比較小,執行時不會占用太多的資源,很難停止它的運行,并且不會在系統中顯示出來,而且在每次系統的啟動中都能自動運行���。木馬程序一次執行后會自動更換文件名���、自動復制到其他的文件夾中,實現服務端用戶無法顯示執行的動作,讓人難以察覺,一旦被木馬控制,你的電腦將毫無秘密可言�����。
2.3.5數據庫系統的攻擊
通過非授權訪問數據庫信息��、惡意破壞��、修改數據庫、攻擊其它通過網絡訪問數據庫的用戶�����、對數據庫不正確的訪問導致數據庫數據錯誤等方式對數據庫進行攻擊。主要手法有:口令漏洞攻擊��、sql server擴展存儲過程攻擊、sql注入(sql injection)�、竊取備份等。
2.3.6網頁掛馬
通過獲取系統權限���、利用應用系統漏洞,對腳本程序發帖和提交信息的過濾不嚴格,從而可以將一些html或者腳本代碼段作為文本提交,但是卻能被作為腳本解析或者通過arp欺騙,不改動任何目標主機的頁面或者是配置,在網絡傳輸的過程中直接插入掛馬的語句,利用被黑網站的流量將自己的網頁木馬進行傳播,以達到無人察覺的目的。常見方式有:框架掛馬����、js文件掛馬��、js變形加密����、body掛馬����、css掛馬、隱蔽掛馬���、java掛馬��、圖片偽裝��、偽裝調用、高級欺騙等�����。
2.3.7無線網絡�、移動手機成為新的安全重災區
在無線網絡中被傳輸的信息沒有加密或者加密很弱,很容易被竊取�、修改和插入,存在較嚴重的安全漏洞�����。隨著3g時代的到來,智能手機和移動互聯網越來越為普及,一部強大的智能手機的功能,并不遜于一部小型電腦。隨著手機的處理能力日益強大,互聯網連接帶寬越來越高,手機病毒開始泛濫,病毒所帶來的危害也會越來越大���。手機病毒利用普通短信、彩信、上網瀏覽�����、下載軟件與鈴聲等方式傳播,還將攻擊范圍擴大到移動網關���、wap服務器或其它的網絡設備。
2.3.8內部網絡并不代表安全
隨著經濟的快速發展和企業對網絡應用依賴程度的逐步提升,內部網絡已經成為企業改善經營和管理的重要技術支撐���。企業內部網絡系統與外界的聯系越來越緊密,而且數據的價值也越來越高,內部網絡不安全已經成為影響企業進一步發展的重要威脅����。常見的安全威脅有:內外勾結�。內部人員向外泄露重要機密信息,外部人員攻擊系統監聽����、篡改信息,內部人員越權訪問資源,內部人員誤操作或者惡意破壞系統等�。
有關部門的調查數據顯示,2004-2006年,內部攻擊的比例在8%左右,2007年這個比例是5%,而到了2008年已經上升到23%����。企業內部網絡安全問題十分突出,存在較為嚴重的隱患,成為制約企業網發展與應用的重要因素。
3可信計算概述
在it產業迅速發展�、互聯網廣泛應用和滲透的今天,各種各樣的威脅模式也不斷涌現����。信息領域犯罪的隱蔽性�、跨域性、快速變化性和爆發性給信息安全帶來了嚴峻的挑戰�����。面對信息化領域中計算核心的脆弱性,如體系結構的不健全��、行為可信度差�����、認證力度弱等,信息安全的防護正在由邊界防控向源頭與信任鏈的防控轉移,這正是可信計算出臺的背景�。
可信計算(trusted computing,tc)是指在pc硬件平臺引入安全芯片架構,通過其提供的安全特性來提高終端系統的安全性,從而在根本上實現了對各種不安全因素的主動防御����。簡單地說,可信計算的核心就是建立一種信任機制,用戶信任計算機,計算機信任用戶,用戶在操作計算機時需要證明自己的身份,計算機在為用戶服務時也要驗證用戶的身份����。這樣的一種理念來自于我們所處的社會。我們的社會之所以能夠正常運行,就得益于人與人之間的信任機制,如:商人與合作伙伴之間的信任;學生與教師之間的信任;夫妻之間的信任等等����。只有人與人之間建立了信任關系,社會才能和諧地正常運轉����。可信計算充分吸收了這種理念,并將其運用到計算機世界當中��。
由于信息安全風險評估不足,導致安全事件不斷發生�����。因此,現在的大部分信息安全產品以及采取的安全措施都不是從根本上解決問題,都是在修補漏洞,效果可想而知�?�?尚庞嬎銊t是從本源上解決信息安全問題,就是要發放“通行證”�。并且,“通行證”可以從技術上保證不會被復制,可以隨時驗證真實性。可信計算因此成為信息安全的主要發展趨勢之一,也是it產業發展的主要方向�����。
3.1可信平臺模塊
把可信作為一種期望,在這種期望下設備按照特定的目的以特定的方式運轉����。并以平臺形式制訂出了一系列完整的規范,包括個人電腦�、服務器����、移動電話�、通信網絡���、軟件等等。這些規范所定義的可信平臺模塊(trusted platform module,tpm)通常以硬件的形式被嵌入到各種計算終端,在整個計算設施中建立起一個驗證體系,通過確保每個終端的安全性,提升整個計算體系的安全性����。從廣義的角度上,可信計算平臺為網絡用戶提供了一個更為寬廣的安全環境,它從安全體系的角度來描述安全問題,確保用戶的安全執行環境,突破被動防御漏洞打補丁方式��?�?尚牌脚_模塊實現目的包括兩個層面的內容:一方面,保護指定的數據存儲區,防止敵手實施特定類型的物理訪問。另一方面,賦予所有在計算平臺上執行的代碼,
以證明它在一個未被篡改環境中運行的能力��。
3.2可信計算的關鍵技術
與社會關系所不同的是,建立信任的具體途徑,社會之中的信任是通過親情�、友情���、愛情等紐帶建立起來的,但是在計算機世界里,一切信息都以比特串的形式存在,建立可信計算信任機制,就必須使用以密碼技術為核心的關鍵技術�?�?尚庞嬎惆ㄒ韵?個關鍵技術概念:
3.2.1endorsement key 簽注密鑰
簽注密鑰是一個2048位的rsa公共和私有密鑰對,它在芯片出廠時隨機生成并且不能改變����。這個私有密鑰永遠在芯片里,而公共密鑰用來認證及加密發送到該芯片的敏感數據。
3.2.2secure input and output 安全輸入輸出
安全輸入輸出是指電腦用戶和他們認為與之交互的軟件間受保護的路徑��。當前,電腦系統上惡意軟件有許多方式來攔截用戶和軟件進程間傳送的數據�。例如鍵盤監聽和截屏。
3.2.3memory curtaining 儲存器屏蔽
儲存器屏蔽拓展了一般的儲存保護技術,提供了完全獨立的儲存區域�����。例如,包含密鑰的位置���。即使操作系統自身也沒有被屏蔽儲存的完全訪問權限,所以入侵者即便控制了操作系統信息也是安全的。
3.2.4sealed storage 密封儲存
密封存儲通過把私有信息和使用的軟硬件平臺配置信息捆綁在一起來保護私有信息�����。意味著該數據只能在相同的軟硬件組合環境下讀取���。例如,某個用戶在他們的電腦上保存一首歌曲,而他們的電腦沒有播放這首歌的許可證,他們就不能播放這首歌��。
3.2.5remote attestation 遠程認證
遠程認證準許用戶電腦上的改變被授權方感知�����。例如,軟件公司可以避免用戶干擾他們的軟件以規避技術保護措施��。它通過讓硬件生成當前軟件的證明書。隨后電腦將這個證明書傳送給遠程被授權方來顯示該軟件公司的軟件尚未被干擾����。
3.3可信計算的應用現狀
在國際上,可信計算架構技術發展很快,一些國家(如美國、日本等)在政府采購中強制性規定要采購可信計算機��。中國的可信計算還屬于起步階段,但正在向更高水平發展����。據了解,現在市場上已經銷售了數十萬帶有可信計算芯片的電腦,這些電腦已經廣泛應用于包括政府�、金融��、公共事業、教育���、郵電、制造,以及廣大中�、小企業在內的各行各業中��。而且,不少政府部門已經認可產品,并將帶有可信計算芯片的產品采購寫入標書。但是,無論是國內還是國外,可信技術從應用角度講都還僅僅處于起步階段��。可信計算還停留在終端(客戶端)領域,還要進一步向服務器端(兩端要互相認證),中間件����、數據庫,網絡等領域發展,建立可信計算平臺和信任鏈。當前,可信計算的應用領域主要有:數字版權管理���、身份盜用保護�����、防止在線游戲防作弊、保護系統不受病毒和間諜軟件危害�、保護生物識別身份驗證數據���、核查遠程網格計算的計算結果等。應用環境的局限性也是可信計算產業發展的一大障礙,目前的應用還處于很有限的環境中,應用的廣泛性還得依靠人們對于可信計算�����、網絡信息安全在認識和意識上的提高。
網絡信息安全論文:網絡隔離技術研究-對于信息安全管理角度探討
論文摘要:本文探討網絡隔離的相關技術����,從網絡隔離的概念,說明網絡隔離技術的發展沿革與網絡隔離技術的作法���,進而探討實體隔離網閘的技術原理��,并從相關信息安全標準所建議之實務規范��,匯整與網絡存取相關的管理控制措施�。
論文關鍵詞:網絡隔離����;信息安全�����;管理
一、網絡隔離的觀念
當內部網絡與因特網連接后��,就陸續出現了很多的網絡安全問題�����,在沒有解決網絡安全問題之前�����,一般來說最簡單的作法是先將網路完全斷開���,使得內部網絡與因特網不能直接進行網絡聯機�����,以防止網絡的入侵攻擊���。因此對網絡隔離的普遍認知,是指在兩個網絡之間,實體線路互不連通�����,互相斷開�����。但是沒有網絡聯機就沒有隔離的必要��,因此網絡隔離的技術是在需要數據交換及資源共享的情況下出現�。不需要數據交換的網絡隔離容易實現,只要將網絡完全斷開,互不聯機即可達成�。但在需要數據交換的網絡隔離卻不容易實現���。在本研究所探討的網絡隔離技術����,是指需要數據交換的網絡隔離技術��。
事實上在大多數的政府機關或企業的內部網絡�����,仍然需要與外部網絡(或是因特網)進行信息交換�。實施網絡斷開的實體隔離,雖然切斷兩個網絡之間的直接數據交換��,但是在單機最安全的情況下�,也可能存在著復制數據時遭受病毒感染與破壞的風險。
二��、網絡安全管理
(一)網絡控制措施
在「10.6.1網絡控制措施控件中���,說明應采用的控制措施,對于網絡應該要適當的加以管理與控制�,使其不會受到安全的威脅�,并且維護網絡上所使用的系統與應用程序的安全(包括傳輸中的資訊)��。
建議組織應采用適當的作法�����,以維護網絡聯機安全�����。網絡管理者應該建立計算機網絡系統的安全控管機制���,以確保網絡傳輸數據的安全,保護網絡連線作業,防止未經授權的系統存取����。特別需列入考慮的項目如下:
1����、盡可能將網絡和計算機作業的權責區隔�,以降低組織設備遭未經授權的修改或誤用之機會����;2、建立遠程設備(包括使用者區域的設備)的管理責任和程序,例如管制遠程登入設備��,以避免未經授權的使用;3�����、建立安全的加密機制控制措施,保護透過公眾網絡或無線網絡所傳送數據的機密性與完整性�����,并保護聯機的系統與應用程序,以維持網絡服務和所聯機計算機的正常運作��;4�、實施適當的錄像存錄與監視�,以取得相關事件紀錄�����;5�、密切協調計算機及網絡管理作業�,以確保網絡安全措施可在跨部門的基礎架構上運作��。
(二)網絡服務的安全
1��、組織應賦予管理者稽核的權力�����,透過定期的稽核,監督管理負責網絡服務的廠商;2����、組織應確認負責網絡服務的廠商,有實作特殊的服務所必需的安全措施�����,例如該項服務的安全特性、服務的安全等級和管理方法��。歸納“網絡控制措施”及“網絡服務的安全”的控制措施�,建議組織在網絡安全的控管措施�����,主要以采用防火墻、入侵偵測系統等控制措施����,及運用網絡服務安全性的技術��,例如認證�����、加密及網絡聯機控制技術等����,以建立安全的網絡環境與網絡聯機的安全���。
三、網絡隔離技術與應配合之控制措施
(一)采用完全實體隔離的管理措施
1�、安全區域作業程序。組織需根據存取政策訂定安全區域的標準作業程序���,以便相關人員能夠據以確實執行����,避免人為疏忽造成數據泄漏���。標準作業程序應制作成文件讓需要的所有使用者都可以取得。對于每一位使用者�����,都需要清楚的定義存取政策�,這個政策必須依照組織的要求�,設定允許存取的權限�����,一般的原則為僅提供使用者必要的權限���,盡可能減少不必要的權限。并應區分職務與責任的范圍���,以降低遭受未經授權或故意的進入安全區域之機會;2�����、資料存取稽核��。數據存取的記錄�����,包括成功及不成功之登入系統之紀錄���、存取資料之紀錄及使用的系統紀錄等�。在完全實體隔離的作業下相關的稽核記錄���,需要實施人工的稽核作業,特別是登入錯誤時的紀錄��,需要逐筆的稽核作業���。并不定期稽核數據存取作業是否符合組織的存取政策與標準作業程序�����,并且需要特別稽核下列事項:(1)對于被授權的特權使用者,其存取紀錄應定期稽核�����;(2)對于特權存取事件,應檢查是否被冒用的情形發生����。
(二)網絡存取控制措施
在實體隔離的政策要求下����,將內部網絡與外部網絡隔離為兩個互不相連的網絡��,數據交換時透過數據交換人員定時,或是不定時根據使用者的申請���,至數據交換作業區域之專屬設備,以人工執行數據交換作業�����。因為內部網絡與外部網絡間采用網絡線路的實體隔離作業��,主要的網絡存取控制措施則著重在作業區域的管理控制措施�。
為確保數據交換作業區域的數據存取安全����,除將內部網絡與外部網絡隔離為兩個互不相連的網絡外�,對數據交換作業區域的專屬設備�����,需實施不同于外部網絡及內部網絡的存取安全政策,確保網絡安全環境�����,以降低可能的安全風險��。例如:內部網絡處理機敏性數據���、外部網絡處理一般辦公環境數據及數據交換作業區域的安全環境。機敏性數據建置于內部網絡的專屬數據庫或檔案區內��,機敏性信息系統亦僅限于內部網絡運用�����,員工必須在內部網絡的計算機進行信息處理作業。另為防止機敏性數據的外泄��,在內部網絡的終端計算機需要禁止使用下列設備�����,包含磁盤片�����、光盤片��、隨身碟或行動碟等可攜式儲存媒體�����。
為防止因特網的直接存取數據交換作業區域的專屬計算機�����,應依照組織的存取政策,采用邏輯隔離技術����,將不同等級的作業分隔在不同的網段����,例如:將數據交換作業與一般信息作業的網段區隔�����,藉由適當的封包過濾機制�����,防止未經授權的網絡流量互相流通,同時可管制數據的存取��,避免數據被誤用之機會��。而且需要建置入侵偵測系統,偵測組織內網絡封包的進出�,以便提早發現可能的入侵行為。
網絡信息安全論文:淺談電子商務網絡信息安全的應對措施
隨著電子商務的迅速發展��,其“瓶頸”問題如網絡信息安全也日趨顯示出來。然而����,由于網絡技術本身的缺陷�����,使得網絡社會的脆弱性大大增加,一旦計算機網絡受到攻擊不能正常運行時�,整個社會就會陷入危機。那么�,對于“瓶頸”問題應如何應對�����?
一、電子商務中的信息安全技術
電子商務的信息安全在很大程度上取決于技術的完善��,這些技術包括訪問控制�、防火墻技術�����、身份認證與權限管理���、入侵檢測�、防病毒等等���。
1.防火墻技術。防火墻是最重要的安全技術����,它的主要功能是加強網絡之間的訪問控制,是一個安全策略的檢查站,對網絡攻擊進行檢測和警告���。
2.加密技術。它的主要任務是研究計算機系統和通信網絡內信息的保護方法�����,以實現系統內信息的安全、保密����、真實和完整����。
3.數字簽名技術�����。數字簽名技術是將摘要用發送者的私鑰加密��,與原文一起傳送給接收者。在電子商務安全保密系統中���,數字簽名技術有著特別重要的地位����,在電子商務安全服務中的源鑒別��、完整性服務、不可否認服務中都要用到數字簽名技術����。
4.數字時間戳技術���。在電子商務交易的文件中����,時間是十分重要的信息�,是證明文件有效性的主要內容�。
二���、電子商務網絡信息安全的應對措施
網絡信息安全關系到我們每個人的切身利益,研發出真正安全可靠的網絡信息安全產品對保障國家的信息安全���、金融安全甚至國家安全都具有十分重要的意義。有人說“三分技術�����,七分管理”反映了網絡信息安全技術的兩個方面:一是技術問題��,二是管理問題。那么�����,未來網絡信息安全就應從政府、網絡軟件企業�����、核心用戶、資本�、技術�、人才等各個方面入手。
1.提高對網絡信息安全重要性的認識��。信息技術的發展�,使網絡逐漸滲透到社會的各個領域��,在未來的軍事和經濟競爭與對抗中�����,因網絡的崩潰而促成全部或局部的失敗�����,絕非不可能�。我們在思想上要把信息資源共享與信息安全防護有機統一起來���,樹立維護信息安全就是保生存����、促發展的觀念�。
2.加強網絡安全管理。我國網絡安全管理除現有的部門分工外����,要建立一個具有高度權威的信息安全領導機構����。對于計算機網絡使用單位�����,要嚴格執行《中華人民共和國計算機信息系統安全保護條例》與《計算機信息網絡安全保護管理辦法》,建立本單位����、本部門����、本系統的組織領導管理機構,明確領導及工作人員責任����,制定管理崗位責任制及有關措施��,嚴格內部安全管理機制��。
3.加快網絡安全專業人才的培養。我國需要大批信息安全人才來適應新的網絡安全保護形勢��。高素質的人才只有在高水平的研究教育環境中才能迅速成長���,只有在高素質的隊伍保障中才能不斷提高。應該加大對有良好基礎的科研教育基地的支持和投入���,多出人才��,多出成果��。在人才培養中�,要注重加強與國外的經驗技術交流���,及時掌握國際上最先進的安全防范手段和技術措施,確保在較高層次上處于主動�����。要加強對內部人員的網絡安全培訓�����,防止堡壘從內部攻破。
4.開展網絡安全立法和執法。一是要加快立法進程�,健全法律體系;二是要執法必嚴����,違法必糾����。要建立有利于信息安全案件訴訟與公����、檢��、法機關辦案的制度��,提高執法的效率和質量。
5.把好網絡建設立項關��。我國網絡建設立項時的安全評估工作沒有得到應有的重視��,這為網絡安全問題埋下了伏筆�。在對網絡的開放性��、適應性�、成熟性�����、先進性��、靈活性���、易操作性��、可擴充性綜合把關的同時,在立項時更應注重對網絡可靠性�、安全性的評估,力爭將安全隱患杜絕于立項�、決策階段。
6.抓緊網絡安全基礎設施建設。一個網絡信息系統�,只要其芯片�����、中央處理器等計算機的核心部件以及所使用的軟件是別人設計生產的�,就沒有安全可言,這正是我國網絡信息安全致命的弱點�。
7.建立網絡風險防范機制�。在網絡建設與經營中����,因為安全技術滯后��、道德規范蒼白���、法律疲軟等原因,往往會使網絡經營陷于困境����,這就必須建立網絡風險防范機制����。
8.強化網絡技術創新���。如果在基礎硬件�、芯片方面不能自主,將嚴重影響我們對信息安全的監控�����。為了建立起我國自主的信息安全技術體系����,利用好國內外兩個資源����,需要以我為主,統一組織進行信息安全關鍵技術攻關����,以創新的思想����,超越固有的約束�����,構筑具有中國特色的信息安全體系�。特別要重點研究關鍵芯片與內核編程技術和安全基礎理論��。
9.注重網絡建設的規范化���。沒有統一的技術規范��,局部性的網絡就不能互連�、互通����、互動�,沒有技術規范也難以形成網絡安全產業規模。
10.促進網絡安全產業的發展�����。扶持具有中國特色的信息安全產業的發展是振興民族信息產業的一個切入點,也是維護網絡安全的必要對策����。
11.建設網絡安全研究基地��。應該把我國現有的從事信息安全研究�����、應用的人才很好地組織起來�����,為他們創造更優良的工作學習環境,調動他們在信息安全創新中的積極性����。
12.政府部門�、網絡軟件企業、核心用戶與技術相結合���。長期以來,網絡信息安全技術發達的歐美國家在網絡信息安全技術及產品的出口上一直設置種種障礙,因此�,在中國銷售的產品及其安全級別相當低,根本不能真正保證安全����。核心用戶積極投入到網絡信息安全體系當中�,可以決定整個網絡安全市場的容量和發展的方向�。
