序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的網(wǎng)絡安全保障措施樣本��,期待這些樣本能夠為您提供豐富的參考和啟發(fā)��,請盡情閱讀。
第1篇
關(guān)鍵詞 網(wǎng)絡通信��;信息安全加密處理;身份驗證防護墻
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2014)04-0115-01
在網(wǎng)絡和計算機不斷出現(xiàn)技術(shù)創(chuàng)新和結(jié)構(gòu)進步的背景下,世界進入了信息化發(fā)展的時代,當前電子商務、協(xié)議數(shù)據(jù)通訊��、電子政務和電子金融等各種網(wǎng)絡類服務正在走向成熟,網(wǎng)絡通信正在發(fā)揮著方便人們生活��,加速生產(chǎn)和交換的作用��,在網(wǎng)絡中如何實現(xiàn)通信信息的安全就顯得尤為重要��。應該高度重視網(wǎng)絡通信信息的安全��,立足于對網(wǎng)絡通信信息安全的相關(guān)問題的實際分析與研究��,探尋出有利于網(wǎng)絡通信信息安全實現(xiàn)的措施和方法。
1 網(wǎng)絡通信信息安全的重要價值
網(wǎng)絡通信的方式靈活��,具有快速而開放的特點��,能夠滿足互聯(lián)時代人們生產(chǎn)和生活的各項需求,特別是在當前的社會條件下��,網(wǎng)絡通信信息更是實現(xiàn)了范圍的擴大��、交往的加深和作用的提高��。伴隨網(wǎng)絡通信的發(fā)展各類安全問題也隨之浮出水面��,網(wǎng)絡中不合理的結(jié)構(gòu)��、系統(tǒng)中嚴重的漏洞可能為黑客和病毒提供可以侵入網(wǎng)絡通信系統(tǒng)的機會��,不但嚴重影響網(wǎng)絡通信的系統(tǒng)��,并且會經(jīng)常的造成網(wǎng)絡通信信息安全問題的出現(xiàn)��,進而導致網(wǎng)絡通信信息出現(xiàn)錯誤��、刪除��,進而不能為社會��、用戶和個人提供安全的網(wǎng)絡通信信息��,影響了信息時代各方面對信息的強烈需求��。因此,社會和行業(yè)提出了實現(xiàn)網(wǎng)絡通信信息安全的目標��,并將網(wǎng)絡通信信息安全作為一項最根本的任務來進行不斷的改進��,并且還希望通過網(wǎng)絡通信信息安全來提高通信的質(zhì)量��,為網(wǎng)絡通信信息的交換實現(xiàn)保駕護航��,進而完成網(wǎng)絡通信技術(shù)方面人們生活��,加速企業(yè)生產(chǎn)和提高社會交換的總體目標��。
2 網(wǎng)絡通信信息安全問題的典型性問題
2.1 網(wǎng)絡通信信息結(jié)構(gòu)的安全問題
當前網(wǎng)絡通信主要立足于TCP/IP協(xié)議��,以此來實現(xiàn)網(wǎng)絡的數(shù)據(jù)交換��,而這一協(xié)議存在結(jié)構(gòu)上的問題��,由于這種通信形式屬于樹狀方式��,導致網(wǎng)絡連接間存在漏洞��,而這一漏洞會被黑客和病毒所利用��,進而實現(xiàn)了對通信網(wǎng)絡的攻擊��,不但容易造成網(wǎng)絡信息的竊聽��,而且會出現(xiàn)網(wǎng)絡信息丟失的問題��。
2.2 網(wǎng)絡通信軟件存在的安全問題
當前網(wǎng)絡通信的基礎性軟件和應用性軟件都有開放化和公開化的發(fā)展趨勢��,這會導致軟件系統(tǒng)的在源代碼方面容易被黑客和不法分子所利用��,他們可以通過對軟件和系統(tǒng)的攻擊達到不法的目的��,不但對網(wǎng)絡通信信息系統(tǒng)造成嚴重的影響��,而且還容易使網(wǎng)絡通信信息出現(xiàn)破壞和丟失��。
2.3 對惡意攻擊的被動性問題
應該看到��,對網(wǎng)絡通信信息網(wǎng)絡攻擊的方法眾多��,而相當多的攻擊屬于創(chuàng)新型攻擊��,為了實現(xiàn)網(wǎng)絡通信信息安全��,就必須從各方面加大網(wǎng)絡通信的防火墻系統(tǒng)建設��,通過查缺補漏來完善防火墻系統(tǒng)��,建立網(wǎng)絡通信信息安全維護工作體系,這樣才能夠?qū)羝鸬筋A防的作用��。但是不管如何對系統(tǒng)和結(jié)構(gòu)進行建設��,都不能改變對惡意攻擊被動防御的態(tài)勢��,在管理部門和主要人員沒有加強對防火墻系統(tǒng)建設重要性認識的背景下��,不法分子惡意攻擊的行為極容易引起更大的隱患和問題��。
3 實現(xiàn)網(wǎng)絡通信信息安全的主要措施
3.1 提高網(wǎng)絡通信系統(tǒng)對IP地址的保護能力
對IP地址的保護工作需要從以下幾個方面進行:對網(wǎng)絡交換機進行嚴格的控制��,整個信息傳遞的樹狀網(wǎng)絡結(jié)構(gòu)中��,交換機是TCP/IP結(jié)構(gòu)的第二層��,是信息傳遞的必經(jīng)之路��,能夠有效保護IP地址的安全��;對路由器進行隔離控制也是保護用戶IP地址的有效方法��,對前后的訪問地質(zhì)進行有效監(jiān)控��,預防IP地址受到攻擊��。
3.2 實現(xiàn)網(wǎng)絡通信信息的加密處理
目前網(wǎng)絡通信過程中所采用的信息加密技術(shù)有多種��,主要集中在密碼設立和信息加密兩個方面��,網(wǎng)絡維護工作者可以根據(jù)實際情況選擇合適的信息加密方式��。
3.3 完善網(wǎng)絡身份驗證系統(tǒng)
當前的網(wǎng)絡身份驗證方法主要是通過建立用戶人的姓名和設定自己的安全密碼來實現(xiàn)��,如果要進行網(wǎng)絡相關(guān)資源的運用��,需要同時具備前面所提到的兩者才能獲得使用權(quán)限��。目前的網(wǎng)絡資源運用中��,這種方法是比較流行的��。一般來說��,用戶名和密碼要進行分開保存��,以避免丟失或者遺忘��。但是��,當今社會的網(wǎng)絡身份驗證中,還有一個稱作一次性密碼的身份驗證方法��,這種驗證方法也有一定的作用��。比如��,它可以有效的防止個人數(shù)據(jù)被盜或被不法分子監(jiān)測��。但是��,這種網(wǎng)絡身份驗證法只能在一定的時間內(nèi)使用才能夠具有其安全性��,卻不能避免其用戶密碼被截留或者其它中間環(huán)節(jié)所攻擊��;不過��,我們也可以采取輔助的身份識別方法來提高網(wǎng)絡使用的安全性��,如密令牌等��,它是由系統(tǒng)的管理員進行發(fā)放��,具有唯一性和可靠性��,它可以和我們傳統(tǒng)的網(wǎng)絡驗證方法配合使用��。而不乏有一些較為新興的身份驗證的手段更需要我們關(guān)注��,比如我們可以結(jié)合生物檢測的手段��,例如��,指紋檢測系統(tǒng)��、掌紋檢測系統(tǒng)以及視網(wǎng)膜檢測系統(tǒng)等等��,它們因難于模仿和偽造��,具有較為更高的安全性��。
3.4 完善防火墻系統(tǒng)
防火墻系統(tǒng)是指設置在可信任的企業(yè)內(nèi)部網(wǎng)或網(wǎng)絡安全域之間的一系列部件的組合��。它能夠通過監(jiān)測��、限制��、更改穿越防火墻的數(shù)據(jù)流��,盡可能地對外部進行屏蔽網(wǎng)絡內(nèi)部的信息��、結(jié)構(gòu)和運行狀況��, 以此來進行實現(xiàn)網(wǎng)絡的安全防護。因此��,在邏輯上��,它可以是一個分離器��,一個限制器��,也可以是一個分析器��,能夠有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何網(wǎng)絡數(shù)據(jù)活動��,很好的保證了內(nèi)部網(wǎng)絡數(shù)據(jù)的安全��,進而來保護我們每個用戶個人信息��。但是��,在使用網(wǎng)絡防火墻的過程中一定要增加掃描病毒的各項插件��,這樣還能夠防治某些惡意病毒軟件的入侵��,如果安裝的掃描病毒插件還是不夠��,還應該創(chuàng)設起一個更好更為完善的防火墻系統(tǒng)��,每一次使用網(wǎng)絡時都應該對反病毒軟件進行不斷的數(shù)據(jù)更新,這樣才能很好的保障網(wǎng)絡通信安全中的信息安全��,防火墻系統(tǒng)既適合個人用戶使用��,也適合企業(yè)網(wǎng)絡使用��。
4 結(jié)束語
簡而言之��,當前政府��、教育��、企業(yè)��、生活對于網(wǎng)絡通信信息有著強烈地需要��,隨著經(jīng)濟和社會的發(fā)展這種趨勢只能是越來越強烈��,這就需要我們在提高網(wǎng)絡通信信息質(zhì)量和裙邊網(wǎng)絡通信信息安全等方面下功夫��。作為從業(yè)者應該將網(wǎng)絡通信信息安全問題進行分類��,有針對性地展開對各類問題的探索��,進而形成網(wǎng)絡通信信息安全的應對策略和方法��,促進安全而健康的通信信息網(wǎng)絡的構(gòu)建��。
參考文獻
[1]桑亞輝��,曹社香.網(wǎng)絡通信安全策略研究[J].軟件導刊��,2012(11).
[2]黃婷婷.網(wǎng)絡通信安全分析及其安全防護措施[J].科技傳播��,2012(15).
[3]吳飛.網(wǎng)絡信息安全面臨的問題及對策的思考[J].哈爾濱工程大學學報��,2011(03).
第2篇
關(guān)鍵詞:云環(huán)境 移動視頻監(jiān)控系統(tǒng) 安全性 保障措施
中圖分類號:TP391.41��;TP277 文獻標識碼:A 文章編號:1007-9416(2014)05-0203-01
移動視頻監(jiān)控系統(tǒng)具有移動性��、實用性以及即時性等諸多優(yōu)勢[1]��,因而獲得了快速發(fā)展��。在云計算研究不斷深入的背景下��,基于云環(huán)境的移動視頻監(jiān)控系統(tǒng)應運而生��,且獲得了廣泛應用��。本文基于后臺��、網(wǎng)絡、前端的安全保障措施進行相關(guān)探討��,旨在促進該系統(tǒng)安全性能的提升��。
1 總體架構(gòu)
每一個網(wǎng)絡攝像機均可被視作一個云終端��。用戶經(jīng)由網(wǎng)絡訪問目標網(wǎng)絡攝像機以得到所需服務��。當發(fā)生異常時��,異常信息將會被捕捉和收集��,并提供給網(wǎng)絡��,后者制定針對性的補丁��,然后利用補丁以彌補網(wǎng)絡攝像機的不足(如圖1)��。
2 系統(tǒng)功能
(1)網(wǎng)絡攝像機將相關(guān)服務于網(wǎng)絡上��,用戶可基于自身需要經(jīng)由以找到對應的服務��。(2)用戶訪問網(wǎng)絡攝像機的過程中��,均會記錄其相關(guān)信息��,整理并輸送到云數(shù)據(jù)庫中保存起來��。當用戶再次訪問時��,系統(tǒng)將會以自動的方式優(yōu)先顯示用戶所需服務��。 (3)任意網(wǎng)絡攝像機均能夠滿足用戶的服務定制需求��。(4)某服務發(fā)生異常時��,將會接收到相關(guān)信息并予以數(shù)據(jù)分析��,然后對安全模塊進行更新��。(5)該系統(tǒng)的安全機制主要涉及三點[2]��,即后臺安全��、網(wǎng)絡安全��、前端安全��。
3 系統(tǒng)安全保障措施
3.1 后臺安全保障措施
(1)數(shù)據(jù)安全存儲與管理��。對于移動視頻監(jiān)控系統(tǒng)而言,數(shù)據(jù)存儲與管理是安全保障工作的核心所在��。對系統(tǒng)核心機密數(shù)據(jù)進行加密處理��,然后進行“云”傳輸或者對磁盤信息進行直接加密��,防止個別不法“云”服務商或者用戶截取和篡改信息��。然而加密有可能導致數(shù)據(jù)不完整��,提高數(shù)據(jù)的復雜性��,同時還會給用戶的索引及搜索操作帶來一定的難度��。所以��,有必要對系統(tǒng)中的數(shù)據(jù)信息予以分門別類��,有選擇和有目的地予以加密��,也可將相關(guān)數(shù)據(jù)存儲在私有“云”中��。(2)SaaS應用中相關(guān)信息存取安全問題��。SaaS(軟件即服務)屬于一種經(jīng)由因特網(wǎng)提供軟件及其服務的模式[3]��。用戶可通過網(wǎng)絡以達成集中存取信息的目的��,同時也在某種程度上弱化了自身對于信息的掌控能力��,存在一定的安全風險��?�;诒U嫌脩羯矸菪畔⒑腿罩緮?shù)據(jù)存取安全的考慮��,建議采用如下措施:1)為應對黑客單點攻擊問題��,可將數(shù)據(jù)服務器��、Web服務器��、應用服務器三者有機隔離開來��,提高惡意攻擊的難度��。2)數(shù)據(jù)服務器屬于重中之重��,應予以云備份��。當數(shù)據(jù)遭到破壞之后��,可借助備份予以修復,確保服務不會因為該類問題而中斷��。3)對系統(tǒng)絕密信息予以加密存儲��。當用戶需要讀取和調(diào)用該類數(shù)據(jù)時��,要求系統(tǒng)對用戶身份進行認證��,并對傳輸協(xié)議進行加密��。如此一來��,即便數(shù)據(jù)被竊取��,也很難正確讀取��。
3.2 網(wǎng)絡安全保障措施
在網(wǎng)絡安全方面��,需要重點研究的是視頻傳輸安全��。這一類安全威脅主要包括:1)被動攻擊:竊聽��、流量分析��。2)主動攻擊:數(shù)據(jù)篡改��、中間人攻擊��、主機欺騙��、重放攻擊��。
對于以上網(wǎng)絡安全威脅��,當前主要借助SSL及諸多加密算法��、消息摘要算法��、數(shù)字簽名等一系列措施的結(jié)合應用予以解決��。SSL層協(xié)議屬于應用層和TCP/IP的中間環(huán)節(jié)��,由上層協(xié)議傳輸?shù)皆搶拥男畔⒈患用?�,然后借助TCP/IP途徑傳送給目的主機��,由TCP/IP傳輸給SSL層后予以解密��,采用客戶端��、服務器雙向認證的做法��,對隱私或關(guān)鍵數(shù)據(jù)進行加密,同時借助數(shù)字簽名以確保數(shù)據(jù)具有足夠的完整性��,構(gòu)建一個高安全系數(shù)的通信通道��。最后基于如下方面提供安全服務:1)認證��,2)機密性3)完整性��。
3.3 前端安全保障措施
(1)身份認證��。身份認證是系統(tǒng)針對用戶身份進行核對的一個過程��,以判斷其是否具有訪問資格以及使用權(quán)限��。在身份認證機制中��,基于密碼的身份認證是最典型��、最常用的一種機制��。(2)授權(quán)��。所謂授權(quán)指的是��,用戶身份得到合法確認之后��,賦予該用戶相應的系統(tǒng)訪問權(quán)限��。授權(quán)同樣是一個典型的��、常用的安全機制��。通過授權(quán)能夠防范非法入侵者對關(guān)鍵信息進行破壞��,同時還能夠阻止合法用戶對非法信息進行訪問��,從而實現(xiàn)在更近的層次上有效保護信息安全��。 (3)審計��。所謂審計指的是��,將全部用戶的行為均有效記錄下來��,從而便于后期核查��。通過審計能夠讓用戶對自己做出的一系列行為負責��,不容其抵賴��。
4 結(jié)語
基于云環(huán)境的移動視頻監(jiān)控系統(tǒng)以其諸多優(yōu)勢獲得了廣泛應用��,然而其安全問題也不容忽視。只有基于后臺��、網(wǎng)絡��、前端等角度采取相應的安全保障措施��,才能降低安全風險��,保障其正常運行��。
參考文獻
[1]陳飛玲��,陳湘軍��,郁建橋等.移動視頻監(jiān)控系統(tǒng)設計[J].電子測量技術(shù)��,2014��,04:109-113.
第3篇
對CBTC系統(tǒng)車地無線通信安全構(gòu)成威脅的風險源主要分為無線干擾和惡意攻擊2類��。
1.1無線干擾目前��,對車地無線通信造成干擾的來源主要有:乘客信息系統(tǒng)��、商用無線網(wǎng)絡��、多徑效應等[2]��。
1)乘客信息系統(tǒng)(PassengerInformationSystem��,簡為PIS):是一個多媒體咨詢��、播控與管理的平臺��,可在多種顯示終端上顯示多種類型��、多信息源��、平行��、分區(qū)��、帶優(yōu)先級的信息��。其中��,既包括數(shù)據(jù)量小的文本信息��,也包括數(shù)據(jù)量大的媒體文件信息��。目前��,PIS主要采用IEEE802.11a/g/n標準的WLAN進行傳輸,并且和信號系統(tǒng)的WLAN使用了相同的頻段��,從而可能對CBTC系統(tǒng)的車地無線通信造成同頻干擾��。
2)商用無線網(wǎng)絡:3G網(wǎng)絡的普及使得人們可以隨時隨地自組WiFi無線網(wǎng)絡��。這些無線網(wǎng)絡的信道是可變的��,并很有可能會同城市軌道交通信號系統(tǒng)WLAN處于同一信道而造成干擾��。乘客自組的WiFi無線網(wǎng)絡的頻段如果與CBTC系統(tǒng)車地通信頻段相同��,就很容易造成無線干擾而影響信號系統(tǒng)的正常工作��。
3)多徑效應:無線信號是沿著直線傳播的��,但是在隧道和城市高樓林立的環(huán)境中��,信號會經(jīng)過建筑物的反射和衍射再到達接收端��。這樣��,接收端收到的信號就可能包括直線傳播的信號和經(jīng)過若干次反射和衍射后的信號��,這些信號因為傳播路徑的不一致而先后到達接收端,這就造成了多徑效應��。多徑效應的存在使得信號不穩(wěn)定并且可能會出現(xiàn)數(shù)據(jù)錯誤��,因而對車地通信安全造成影響��。
1.2安全攻擊黑客��、等對城市軌道交通的惡意攻擊��,不僅可能造成運營中斷��,甚至還可能通過發(fā)送錯誤指令等方式造成列車相撞或者遠程控制列車��。因此��,軌道交通CBTC系統(tǒng)必須對網(wǎng)絡安全攻擊進行防護��。網(wǎng)絡安全攻擊一般可以分為如下5種類型[1]��。
1)被動攻擊:包括流量分析��、對無防護通信進行監(jiān)視��、對弱加密的通信進行解碼��、驗證信息捕獲等��。被動攻擊可以在用戶不知情的情況下被攻擊者獲取信息或數(shù)據(jù)文件��。
2)主動攻擊:包括繞開或破壞安全防線��、植入惡意代碼��、竊取或修改信息等��。主動攻擊可以導致數(shù)據(jù)文件的泄露或傳播��,拒絕服務或數(shù)據(jù)修改��。
3)物理接入攻擊:未授權(quán)人員物理上接近網(wǎng)絡��、系統(tǒng)或設備��,目的是修改��、搜集或拒絕訪問信息��。物理上的接近可以是秘密的��,也可以是公開的��。
4)內(nèi)部人員攻擊:可分為惡意和非惡意的攻擊2種。惡意攻擊是指內(nèi)部人員有意地偷聽��、竊取或破壞信息��,欺詐性地使用信息或者拒絕其他授權(quán)用戶訪問信息��;非惡意攻擊通常是由于不小心��、缺乏相關(guān)知識等原因而繞開安全防護��。
5)分發(fā)攻擊:這是集中在軟��、硬件工廠或分發(fā)中對軟��、硬件做出惡意修改��。這種攻擊可能是向產(chǎn)品中引入惡意代碼��。例如��,為了在以后對信息或者系統(tǒng)功能進行未授權(quán)訪問所留的后門程序等��。
2城市軌道交通安全保障的研發(fā)目標與措施
2.1安全保障研發(fā)目標針對當前城市軌道交通存在的信息安全隱患��,以及城市軌道交通CBTC系統(tǒng)信息安全的新需求��,應結(jié)合既有CBTC系統(tǒng)��,開發(fā)適合當前城市軌道交通使用的CBTC系統(tǒng)數(shù)據(jù)加解密設備��、專用防火墻��、網(wǎng)絡攻擊檢測��、安全車地無線通信設備等��。應搭建信息安全管控平臺��,通過技術(shù)和管理手段相結(jié)合��,以有效避免城市軌道交通信息安全事故的發(fā)生。其核心技術(shù)的研發(fā)目標如下:
1)項目研發(fā)應具有實用性:相關(guān)技術(shù)的研究以城市軌道交通控制和調(diào)度系統(tǒng)應用為基礎,相關(guān)技術(shù)的應用不能影響信息的正常傳輸��。
2)保證控制與調(diào)度信息的安全性:應保證通信網(wǎng)絡中數(shù)據(jù)不受到非法監(jiān)聽、截獲及篡改,所研究的信息安全技術(shù)能夠保證傳輸數(shù)據(jù)的唯一性和真實性。
3)實現(xiàn)通信網(wǎng)絡的智能檢測:采用CS(客戶端—服務端)工作結(jié)構(gòu)��,全面實現(xiàn)對通信網(wǎng)絡工作狀態(tài)的監(jiān)控和對網(wǎng)絡攻擊的定位��;自動實現(xiàn)通信網(wǎng)絡健壯性的檢測��,并提供相關(guān)報警和日志記錄��。
4)建立身份認證管理機制:應實施客戶端身份認證管理和無線設備接入認證密鑰多樣化管理��。
2.2安全保障措施安全保障措施包括行政措施和技術(shù)措施��。行政措施包括制訂信息安全和網(wǎng)絡安全的管控措施��、對網(wǎng)絡設備的投標和使用加強審查和控制等��。以下列舉在實際應用中可使用的車地無線通信安全保障的技術(shù)措施��。
1)數(shù)據(jù)加解密設備��。車地無線通信運用的是基于SMS4密碼的加解密技術(shù)��。SMS4GM/T0002—2012《SM4分組密碼算法》是國家密碼管理局批準的��。該算法是一個分組算法��,分組長度為128bit��,密鑰長度為128bit��。加密算法與密鑰擴展算法都采用32輪非線性迭代結(jié)構(gòu)��。
2)無線接入認證管理機制��。該無線接入認證方式是疊加在既有控制系統(tǒng)的無線通信之上��,且對控制系統(tǒng)的無線傳輸性能無影響��。應接入認證密鑰的動態(tài)管理��,采用多種密鑰更新方式��。采用“工作站—服務器”模式��,可實現(xiàn)各子系統(tǒng)��、多條線路的接入認證管理��。
3)網(wǎng)絡攻擊檢測和報警��。針對軌道交通列車控制與調(diào)度系統(tǒng)的特點��,采用專用的網(wǎng)絡攻擊檢測和報警系統(tǒng)��,實現(xiàn)控制系統(tǒng)傳輸網(wǎng)絡邊界的自動識別��。
4)網(wǎng)絡隔離系統(tǒng)��。在保持內(nèi)外網(wǎng)絡有效隔離的基礎上��,實現(xiàn)兩網(wǎng)間安全、受控的數(shù)據(jù)交換��。主要為用戶提供了一種在物理隔離的內(nèi)外網(wǎng)之間(或高低密級網(wǎng)絡之間)安全地將外部信息(或低密級信息)通過以太網(wǎng)單向?qū)氲絻?nèi)部網(wǎng)絡(或高密級網(wǎng)絡)的解決方案��。
5)主機審計系統(tǒng)��。主要用于監(jiān)控和審計計算機的數(shù)據(jù)輸入/輸出接口��、設備以及被控端用戶的敏感行為��,從而加強軌道交通列車控制與調(diào)度指揮系統(tǒng)的管理��,以達到有效地預防失密��、泄密事件發(fā)生的目的��。本系統(tǒng)為鐵路機構(gòu)提供了方便��、準確��、快捷的終端用戶安全管理手段��。
6)主機加固技術(shù)��。主要是提供主機的安全配置等設置的檢查��,根據(jù)安全配置是否符合相應的安全要求��,提出供主機加固的建議��。
7)定義封閉系統(tǒng)��。封閉系統(tǒng)是不對大家都可以訪問的默認SSID(ServiceSetIdentifier��,服務網(wǎng)絡標識符)進行響應的系統(tǒng)��,也不會向客戶端廣播SSID��,即取消了SSID自動播放功能��。封閉系統(tǒng)可以防止其它WLAN設備搜索無線信號��,從而禁止非授權(quán)訪問��。
8)MAC地址過濾��。MAC(MediaAccessControl��,媒體訪問控制)地址僅標識1臺無線網(wǎng)絡設備��,不存在2塊具有相同MAC地址的網(wǎng)卡��。MAC地址過濾可以起到阻止非信任硬件訪問的作用。
9)WPA2加密和動態(tài)密鑰��。WPA2(WiFiProtectedAccess��,WiFi保護接入)中采用AES(AdvancedEncryptionStandard��,高級加密標準)加密��,其算法不能破解��,再結(jié)合動態(tài)密鑰��,保證了信息傳輸?shù)陌踩?�。WPA2的PSK(Pre-sharedKey��,預共享式保護訪問)認證中��,每臺車載無線設備都需要1個密鑰才能接入無線網(wǎng)絡��,且這個密鑰設置很復雜��,能確保信息安全��。
3結(jié)語
第4篇
信息安全時代��,大數(shù)據(jù)平臺承載了巨大數(shù)據(jù)資源��,必然成為黑客組織��、各類敵對勢力網(wǎng)絡攻擊的重要目標��。因此��,大數(shù)據(jù)時代的網(wǎng)絡安全問題��,將是所有大數(shù)據(jù)利用的前提條件��。與此同時��,我們也可以利用大數(shù)據(jù)技術(shù)來提升我國網(wǎng)絡安全技術(shù)水平��,在保障國家網(wǎng)絡空間安全方面發(fā)揮作用��。
大數(shù)據(jù)時代
網(wǎng)絡安全的主要威脅
大數(shù)據(jù)時代��,我國網(wǎng)絡安全面臨著多重安全威脅��。
首先��,網(wǎng)絡基礎設施及基礎軟硬件系統(tǒng)受制于人。大數(shù)據(jù)平臺依托于互聯(lián)網(wǎng)面向政府��、企業(yè)及廣大公眾提供服務��,但我國互聯(lián)網(wǎng)從基礎設施層面即已存在不可控因素��。
另外��,我國對大數(shù)據(jù)平臺的基礎軟硬件系統(tǒng)也未完全實現(xiàn)自主控制��。在能源��、金融��、電信等重要信息系統(tǒng)的核心軟硬件實施上��,服務器��、數(shù)據(jù)庫等相關(guān)產(chǎn)品皆由國外企業(yè)占據(jù)市場壟斷地位��。
其次��,網(wǎng)站及應用漏洞��、后門層出不窮��。據(jù)我國安全企業(yè)網(wǎng)站安全檢測服務統(tǒng)計,我國高達60%的網(wǎng)站存在安全漏洞和后門��?�?梢哉f��,網(wǎng)站及應用系統(tǒng)的漏洞是大數(shù)據(jù)平臺面臨的最大威脅之一��。而我國的各類大數(shù)據(jù)行業(yè)應用��,廣泛采用了各種第三方數(shù)據(jù)庫��、中間件��,但此類系統(tǒng)的安全狀況不容樂觀��,廣泛存在漏洞��。更為堪憂的是��,各類網(wǎng)站漏洞修復的情況難以令人滿意��。
第三��,系統(tǒng)問題之外��,網(wǎng)絡攻擊手段更加豐富��。其中��,終端惡意軟件��、惡意代碼是黑客或敵對勢力攻擊大數(shù)據(jù)平臺��、竊取數(shù)據(jù)的主要手段之一��。目前網(wǎng)絡攻擊越來越多地是從終端發(fā)起的��,終端滲透攻擊也已成為國家間網(wǎng)絡戰(zhàn)的主要方式��。另外��,針對大數(shù)據(jù)平臺的高級持續(xù)性威脅(簡稱APT)攻擊非常常見��。APT攻擊非常具有破壞性��,是未來網(wǎng)絡戰(zhàn)的主要手段��,也是對我國網(wǎng)絡空間安全危害最大的一種攻擊方式��。近年來��,具備國家和組織背景的APT攻擊日益增多,毫無疑問��,大數(shù)據(jù)平臺也將成為APT攻擊的主要目標��。
以大數(shù)據(jù)技術(shù)
對抗大數(shù)據(jù)平臺安全威脅
由上述分析可知��,針對大數(shù)據(jù)平臺這種重要目標的網(wǎng)絡攻擊��,其技術(shù)手段的先進性��、復雜度��、隱蔽性和持續(xù)性��,以及背后的支持力量��,都已超出了傳統(tǒng)網(wǎng)絡安全技術(shù)的應對能力��。全球網(wǎng)絡安全行業(yè)都在研究探討應對這種高級威脅的新型技術(shù)體系��,大數(shù)據(jù)技術(shù)成為其中重要的方面��。包括360公司在內(nèi)的互聯(lián)網(wǎng)安全企業(yè)��,已經(jīng)在利用大數(shù)據(jù)技術(shù)提供各種網(wǎng)絡安全服務��,為提升大數(shù)據(jù)平臺的安全保障��,增強國家網(wǎng)絡安全空間的安全防衛(wèi)能力提供有力的支持��。
利用大數(shù)據(jù)技術(shù)應對DNS安全威脅��,積極推動基礎軟硬件自主控制��。以DNS為例��,作為互聯(lián)網(wǎng)基礎設施��,我國首先應積極爭取獲得域名服務器的運營管理權(quán)��,構(gòu)筑完整的安全防范體系��。另外��,我們應該積極利用大數(shù)據(jù)技術(shù)��,研發(fā)高性能��、抗攻擊的安全DNS系統(tǒng)��。依托大數(shù)據(jù)技術(shù)建立DNS應急災備系統(tǒng)��,緩存全球DNS系統(tǒng)的各級數(shù)據(jù)。同時還可以利用DNS解析的大數(shù)據(jù)來分析網(wǎng)絡攻擊��。
盡管在國家推動和產(chǎn)業(yè)參與下��,我國在自主可控的基礎軟硬件產(chǎn)品的研發(fā)方面取得了一定成效��。但由于我國在該領(lǐng)域起步較晚��,在大數(shù)據(jù)時代��,以操作系統(tǒng)等基礎軟硬件的國產(chǎn)化和自主知識產(chǎn)權(quán)化��,仍然需要政府的推動��、企業(yè)的投入和科研院校的參與��,更有必要依托大數(shù)據(jù)技術(shù)實現(xiàn)研發(fā)數(shù)據(jù)的共享��。
利用大數(shù)據(jù)技術(shù)防護網(wǎng)站攻擊��,定位攻擊來源��。一方面��,開發(fā)并優(yōu)化網(wǎng)站衛(wèi)士服務��。我國安全公司已針對網(wǎng)站漏洞��、后門等威脅推出了相應的網(wǎng)站安全衛(wèi)士服務��,能夠利用大數(shù)據(jù)平臺資源��,幫助網(wǎng)站實現(xiàn)針對各類應用層入侵��、DDoS/CC流量型攻擊��、DNS攻擊的安全防護��,同時向網(wǎng)站提供加速��、緩存��、數(shù)據(jù)分析等功能��。同時通過對海量日志大數(shù)據(jù)的分析��,可以挖掘發(fā)現(xiàn)大量新的網(wǎng)站攻擊特征��、網(wǎng)站漏洞等��。另一方面��,通過對日志大數(shù)據(jù)進行分析,還能進一步幫助我們溯源定位網(wǎng)站攻擊的來源��、獲取黑客信息��,為公安部門提供有價值的線索��。
利用大數(shù)據(jù)技術(shù)防范終端惡意軟件和特種木馬��、檢測和防御APT攻擊��?�;诖髷?shù)據(jù)和云計算技術(shù)實現(xiàn)的云安全系統(tǒng)��,可以為防范終端特種木馬攻擊起到有力的支持��。目前我國的安全公司已經(jīng)在為有關(guān)部門提供支持��,利用其云安全系統(tǒng)的大數(shù)據(jù)資源��,幫助有關(guān)部門分析定位終端特種木馬的分布��、感染的目標終端��,以及分析同源的特種木馬��,為有關(guān)部門工作提供了有力的支持��。
為了對抗APT攻擊��,我們可以采用大數(shù)據(jù)分析技術(shù)研發(fā)APT攻擊檢測和防御產(chǎn)品��。此類產(chǎn)品可以在大時間窗口下對企業(yè)內(nèi)部網(wǎng)絡進行全流量鏡像偵聽��,對所有網(wǎng)絡訪問請求實現(xiàn)大數(shù)據(jù)存儲��,并對企業(yè)內(nèi)部網(wǎng)絡訪問行為進行建模��、關(guān)聯(lián)分析及可視化��,自動發(fā)現(xiàn)異常的網(wǎng)絡訪問請求行為��,溯源并定位APT攻擊過程��。
另外��,我國還應建立國家級APT防護聯(lián)動平臺��。當前��, 我國重要信息系統(tǒng)具有相互隔離、孤立的特點��,針對APT攻擊難以形成關(guān)聯(lián)協(xié)同��、綜合防御的效應��,容易被各個擊破��。因此��,在重要信息系統(tǒng)單位部署APT攻擊檢測產(chǎn)品的基礎上��,非常有必要建立國家級的APT防護聯(lián)動平臺��,匯聚不同政府部門��、重要信息系統(tǒng)中部署的APT防護產(chǎn)品所檢測的安全事件及攻擊行為數(shù)據(jù)��,對其進行大數(shù)據(jù)分析挖掘��,從而形成國家級針對APT攻擊的全面?zhèn)蓽y��、防護能力��。
大數(shù)據(jù)時代網(wǎng)絡安全的建議
鑒于大數(shù)據(jù)資源在國家安全方面的戰(zhàn)略價值��,除在基礎軟硬件設施建設��、網(wǎng)絡攻擊監(jiān)測��、防護等方面努力之外��,針對國內(nèi)大數(shù)據(jù)服務及大數(shù)據(jù)應用方面還有如下建議��。
對重要大數(shù)據(jù)應用或服務進行國家網(wǎng)絡安全審查��。對于涉及國計民生��、政府執(zhí)政的重要大數(shù)據(jù)應用或服務��,應納入國家網(wǎng)絡安全審查的范疇��,盡快制定明確的安全評估規(guī)范��,確保這些大數(shù)據(jù)平臺具備嚴格可靠的安全保障措施��。
合理約束敏感和重要部門對社交網(wǎng)絡工具的使用��。政府部門��、央企及重要信息系統(tǒng)單位��,應避免、限制使用社交網(wǎng)絡工具作為日常辦公的通信工具��,并做到辦公用移動終端和個人移動終端的隔離��,以防止國家重要和機密信息的泄露��。
敏感和重要部門應謹慎使用第三方云計算服務��。云計算服務是大數(shù)據(jù)的主要載體��,越來越多的政府部門��、企事業(yè)單位將電子政務��、企業(yè)業(yè)務系統(tǒng)建立在第三方云計算平臺上��。但由于安全意識不夠��、安全專業(yè)技術(shù)力量缺乏��、安全保障措施不到位��,第三方云計算平臺自身的安全性往往無法保證��。因此��,政府��、央企及重要信息系統(tǒng)單位��,應謹慎使用第三方云服務��,避免使用公共云服務��。同時國家應盡快出臺云服務安全評估檢測的相關(guān)規(guī)范和標準��。
嚴格監(jiān)管��、限制境外機構(gòu)實施數(shù)據(jù)的跨境流動��。對于境外機構(gòu)在國內(nèi)提供涉及大數(shù)據(jù)的應用或服務��,應對其進行更為嚴格的網(wǎng)絡安全審核��,確保其數(shù)據(jù)存儲于境內(nèi)的服務器��,嚴格限制數(shù)據(jù)的跨境流動��。
第5篇
隨著我國檔案信息化建設工作已日漸深入��,加強檔案信息安全保障體系的建設尤為重要��。檔案信息安全保障體系,簡單來講��,就是在檔案信息系統(tǒng)的整個生命周期內(nèi)��,從技術(shù)��、管理和標準法規(guī)等多方面��,以積極防御��、適度安全和動態(tài)保障為安全保護原則��,保障檔案信息安全的保密性��、完整性��、可用性��、真實性��、可核查性��、抗抵賴性和可控性屬性��,并保障系統(tǒng)安全的持續(xù)性的體系��。檔案信息安全保障體系建設,是目前檔案信息化建設中的重要工作��,全國上下都高度重視��,也在不斷探索有效的構(gòu)建方法��,并加以規(guī)范和推廣��。但是��,在檔案信息安全保障體系建設中還存在一些不容忽視的問題��。一是檔案信息化的有關(guān)法律��、法規(guī)和制度不夠健全��。目前��,我國在檔案信息化建設過程中還沒有專門的法律��、法規(guī)來對檔案信息化建設進行保護��,僅僅依靠通用的計算機法律��、法規(guī)來維護檔案信息化建設的安全��。這對那些刻意攻擊��、竊取��、毀壞檔案信息的破壞分子來說實在是微不足道��,一旦他們得逞��,勢必給我國的檔案事業(yè)發(fā)展造成不可估量的損失��。二是檔案信息化網(wǎng)絡建設中信息安全技術(shù)應用不夠全面��。我國的檔案信息化網(wǎng)絡建設目前處于內(nèi)網(wǎng)��、專網(wǎng)和外網(wǎng)同時使用階段��,隨著信息技術(shù)的不斷發(fā)展��,信息競爭��、黑客攻擊等人為惡意破壞因素的存在��,檔案信息化網(wǎng)絡建設中信息安全技術(shù)應用不夠全面��,使得檔案信息系統(tǒng)變得非常脆弱,易受來自各方面的攻擊��。三是各級檔案部門的安全管理體制不夠完善��。有資料表明��,大部分的計算機安全保密問題來自其系統(tǒng)內(nèi)部��,世界上70%信息被盜和泄密來自于內(nèi)部��,這主要是因為人員麻痹和安全管理體制不完善所造成的��。四是缺乏法律與制度支持��。檔案信息化安全保障體系建設并非是一個單純的技術(shù)層面的問題��,它還涉及到管理��、意識和國家法律等各個層面��,因此��,檔案信息安全其實是一個綜合性的問題��,各個環(huán)節(jié)緊密銜接在一起��。使用相關(guān)安全產(chǎn)品的同時��,應在組織與制度上采用相應措施加以完善��。因此��,需要從理論上進一步加強研究��,切實為檔案信息安全保障體系建設提供堅實的思想保障��,進一步健全檔案信息安全保障體系��。
二��、加強行政執(zhí)法��,為檔案安全保障體系提供法制保障
《檔案法》頒布實施以來��,使檔案事業(yè)有法可依��,并有力地促進了檔案事業(yè)的發(fā)展��。但是��,目前的檔案執(zhí)法還處于初級階段��,還存在著一些亟待解決的問題。有的檔案部門領(lǐng)導和工作人員缺乏對依法治檔��、依法行政重要性和必要性的認識��;一些單位重視業(yè)務指導��,忽視依法監(jiān)管��,在貫徹實施《檔案法》過程中��,還帶有主觀片面性和隨意性��,未獲得人們所期望達到的效果��。這就要求檔案行政管理部門進一步建立健全檔案執(zhí)法監(jiān)督制度��,強化執(zhí)法監(jiān)督職能��。一要從思想上入手��,鞏固提高依法治檔��、依法行政觀念��。檔案行政管理部門是代表各級政府主管本地檔案事業(yè)的部門��,也是《檔案法》所確定的檔案行政執(zhí)法主體和監(jiān)督機構(gòu)��,這也使得管理檔案事業(yè)有了法律的保障��。我們的各級檔案工作者特別是領(lǐng)導干部首先要帶頭認真學習檔案法律��、法規(guī)��,做到知法��、懂法��、守法��,并嚴格執(zhí)法��,帶頭依法辦事��、依法行政��?�!稒n案法》和《檔案法實施辦法》規(guī)定了檔案部門是行政執(zhí)法部門��,要履行法律法規(guī)賦予檔案部門的這一職能��,應強化執(zhí)法意識。二要從立法入手��,完善檔案法規(guī)體系��。在建立社會主義市場經(jīng)濟體制過程中��,真正做到執(zhí)法機構(gòu)依法行政��,全體公民自覺守法��,尚有待于法律體系的不斷完善��,而檔案執(zhí)法監(jiān)督必須有完善的監(jiān)督法律體系作為依據(jù)��,健全完善操作性強的法律規(guī)章和相關(guān)監(jiān)督條例��,強化制約功能��,是亟待解決的重要任務��,各級地方人大��、政府應依照《檔案法》結(jié)合本地區(qū)實際��,制定出配套性��、實用性��、可操作性較強的法規(guī)��、規(guī)章文件��,依法明確檔案執(zhí)法監(jiān)督的形式��、程序和手段��,從而能夠?qū)嵭锌茖W��、合理��、有效的監(jiān)督��,確保檔案工作方針和法律法規(guī)的得以貫徹實施��。三要從規(guī)范檔案行政執(zhí)法入手��,加強檔案監(jiān)督制約機制的建設��。在加強內(nèi)部監(jiān)督制約機制上��,將檔案工作列入本單位的目標管理責任制中��,考核指標主要由貫徹《檔案法》、檔案業(yè)務等方面組成��,定期對檔案工作進行檢查��,以引起部門的高度重視��,加大對檔案依法管理工作的監(jiān)督力度��,確保機關(guān)檔案的安全性��;在加強外部監(jiān)督制約機制上��,與外部檔案行政執(zhí)法檢查部門加強聯(lián)系��,通過行政執(zhí)法部門對檔案工作的指導和專業(yè)性的檢查��,對不規(guī)范或不符合要求的地方及時進行整改��,以促進機關(guān)檔案工作依法管理��。通過外部監(jiān)督��,強化機關(guān)檔案工作的法制建設��。
三��、加強制度建設��,為檔案安全保障體系提供機制保障
1.建立組織保障體系��。檔案安全保障體系建設需要有人來計劃��、設計和管理��,任何系統(tǒng)安全設施也不能完全由計算機系統(tǒng)獨立承擔系統(tǒng)安全保障的任務��。一方面��,各級檔案部門領(lǐng)導要高度重視��,并積極實施有關(guān)檔案系統(tǒng)安全方面的各項措施��;另一方面��,讓工作人員和用戶對網(wǎng)絡安全性要有深入地了解��,使他們積極地自覺地遵守各項信息系統(tǒng)安全制度和措施��,防患于未然��,就能降低檔案網(wǎng)絡信息系統(tǒng)的安全風險��。檔案信息以及檔案工作者頭腦中的包括直覺知識、閱歷��、情感等進行綜合��、概括��、提煉的知識��。檔案信息專家能夠充分使用認知��、自然��、情感和行為各個組成部分,在顯性信息服務向隱性知識服務轉(zhuǎn)變的過程中發(fā)揮重要作用��。所以,一個高水平的檔案館必須重視檔案信息專家的引進和培養(yǎng),必須注重發(fā)揮檔案信息專家的作用��。業(yè)務工作者也是掌握多項技能的復合型人才,要求機構(gòu)中的每位員工都把信息化和檔案業(yè)務作為同等重要的基礎性工作來開展��。2.建立制度保障體系��。建立有效的管理制度是保障檔案信息安全的關(guān)鍵��。規(guī)范檔案管理��、保障檔案信息安全的永久性措施應該是建立程序化��、制度化管理模式并嚴格執(zhí)行��、落實到位��。這同樣需要分別制定相應的政策與規(guī)范,并采取必要的措施強化落實,做到制度正確,落實見效��。要積極爭取上級有關(guān)部門的政策支持��,根據(jù)檔案部門的實際情況��,參考《中華人民共和國計算機信息系統(tǒng)安全保護條例》��、《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》��、《中華人民共和國檔案法》��、《中華人民共和國保密法》等法律��、法規(guī)��,制定出適合檔案部門的規(guī)章制度��,以此約束所有用戶��、系統(tǒng)管理員以及其他成員��,保證檔案信息系統(tǒng)安全��、可靠地正常運行��。由于網(wǎng)絡設備和系統(tǒng)軟件本身存在一定的缺陷��,再加上從事黑客的個人或組織技術(shù)在不斷升級��,所以,檔案信息系統(tǒng)沒有絕對的安全��,只有相對的安全��。檔案信息化安全保障體系是一個動態(tài)的概念��,面對檔案信息系統(tǒng)安全的諸多問題��,必須時刻警惕,運用多種手段��,不斷在技術(shù)上更新��,管理體制上完善��,人員素質(zhì)和管理理念上緊跟網(wǎng)絡發(fā)展的步伐��。只有時刻從檔案數(shù)據(jù)安全的方方面面出發(fā),點滴不漏��,常抓不懈��,才能建立起完善的檔案信息安全保障體系��,確保檔案信息系統(tǒng)的安全��,保證檔案信息化建設順利進行��。
四��、加強設施建設��,為檔案安全保障體系提供物質(zhì)保障
一是加強檔案庫房建設��。為了檔案工作的可持續(xù)發(fā)展��,我們必須做好檔案實體的保護工作��。因此��,在檔案庫房與門窗的設計��、防火材料��、消防系統(tǒng)��、庫房溫濕度��、技術(shù)與管理方面��,需要進一步加大投入��。庫房是保管檔案的場所��,檔案庫房多數(shù)是在機關(guān)辦公大樓上的��,客觀上不具備建檔案庫房的條件��。在這樣的情況下��,首先要考慮檔案庫房的承重問題��。一般作為檔案庫房��,鋼筋的密度要大,數(shù)量要多��,型號要粗��。預防火災對機關(guān)檔案實體安全來說是頭等大事��。隨著科學技術(shù)的發(fā)展��,建筑材料��、各種電器設備的種類日益增多��,檔案庫房引起火災的危險性可能性進一步增大��?�;馂氖钱斀駲n案部門的頭號災害��,為預防火災��,檔案庫房門口��,必須配備消防器材��,如手提滅器或手推移動滅火器等��。檔案庫房要做好防火防潮的處理��,保存的各種載體的檔案對溫濕度都有嚴格的要求��,在技術(shù)參數(shù)范圍內(nèi)��,檔案能夠長久的保存��。反之��,溫濕度過高過低��,都會影響檔案的壽命��。門窗要嚴格按國家檔案局要求安裝��。作為檔案實體安全的裝具��,我們?nèi)匀灰蟛捎每梢苿予F皮柜和不可移動密集架��,它具有防火��、防鼠功能��。檔案盒作為貼身裝具��,制作檔案盒的牛皮紙要做去酸處理,這樣做��,有利于檔案實體安全的保護��。二是加強檔案數(shù)字化建設��。在系統(tǒng)硬件設備方面��,要做到:第一��,內(nèi)外網(wǎng)隔離��。根據(jù)有關(guān)安全保密部門的網(wǎng)絡安全規(guī)定��,的計算機信息系統(tǒng)��,不得直接或間接與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)互相連接��,必須實行隔離��。因此��,對檔案部門的內(nèi)部網(wǎng)絡和國際互聯(lián)網(wǎng)��,要嚴格地進行隔離��,防止不宜公開的內(nèi)部檔案信息通過網(wǎng)絡連接泄露到外部公眾網(wǎng)��。第二��,將內(nèi)部網(wǎng)絡劃分成若干個安全級別不同的子網(wǎng)��,實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的隔離��。這樣��,就能防止某一個網(wǎng)段的安全問題在整個網(wǎng)絡傳播��,限制局部網(wǎng)絡安全問題對全局網(wǎng)絡安全造成的影響��。第三��,每個廠家的設備有它獨特的優(yōu)點也有它不可克服的致命弱點��,因此在選用檔案網(wǎng)絡設備時��,盡量選用不同廠家不同型號的設備��,做到優(yōu)勢互補��,封堵網(wǎng)絡漏洞��,增強系統(tǒng)的安全性能。
五��、加強技術(shù)建設��,為檔案安全保障體系提供安全保障
網(wǎng)絡��、計算機��、存儲器和信息系統(tǒng)是數(shù)字化檔案信息生存的基礎,也是引發(fā)安全問題的風險基地��。黑客攻擊��、病毒蔓延��、信息竊取��、技術(shù)落后��、制度不健全��、管理不規(guī)范��、措施不到位��、治理不及時是產(chǎn)生不安全因素的根源,其中有客觀的因素,也有主觀的原因��。因此,加強對客觀侵害行為的防范,對主管漏洞的治理,對安全事故的補救是保障網(wǎng)絡暢通��、系統(tǒng)穩(wěn)定��、數(shù)據(jù)安全的重要措施��。只有網(wǎng)絡和系統(tǒng)安全了,數(shù)字化檔案信息的安全才能得以保障��。建立技術(shù)保障體系是提高網(wǎng)絡和系統(tǒng)免疫力的重要措施��。1.保障網(wǎng)絡安全:防火墻和入侵檢測技術(shù)是常用的保障網(wǎng)絡安全的兩種手段,入侵檢測技術(shù)側(cè)重于監(jiān)測��、監(jiān)控和預警,而防火墻則在內(nèi)外網(wǎng)之間的訪問控制領(lǐng)域具有明顯的優(yōu)勢��、功能強大,效果明顯��。面對網(wǎng)絡攻擊手段復雜度的不斷提高及融合能力的逐漸加強,要在網(wǎng)絡層采取安全技術(shù)的應用和安全產(chǎn)品的聯(lián)動啟用措施,全面提高網(wǎng)絡的綜合防范能力��。2.保障系統(tǒng)安全:加強升級服務,做到無漏洞運行��。目前各操作系統(tǒng)的開發(fā)商已經(jīng)開通了專業(yè)通道,提供升級服務的補丁程序下載��、安裝和檢測服務,而且大多是免費的,因此,能否做到系統(tǒng)的無漏洞運行,關(guān)鍵在于人們是否使用正版軟件,增強了安全意識并做到及時升級,及時打補丁��,,保障每臺客戶端的無漏洞運行。3.保障檔案信息系統(tǒng)的安全:要做好系統(tǒng)用戶的安全管理,不給偷竊者以機會��。
目前,保障合法用戶的做法是采取強身份認證��、加密和防密碼偷竊等技術(shù)��,并保證內(nèi)部安全管理制度和措施的有效性實施與落實��。4.保障檔案數(shù)據(jù)的安全:實行隔離��、加密��、備份等措施��。安全管理的最終目的就是保障網(wǎng)絡上傳輸?shù)?�、系統(tǒng)中存儲的��、用戶訪問到的檔案數(shù)據(jù)和信息是真實��、完整和有效的,并保障系統(tǒng)操作者能夠方便地訪問自身權(quán)限范圍內(nèi)的數(shù)據(jù),杜絕無權(quán)用戶進入系統(tǒng),因此數(shù)據(jù)加密��、硬盤加密��、文件系統(tǒng)加密,增加系統(tǒng)存儲的復雜性等都成為保障數(shù)據(jù)安全的有效措施��。5.病毒防范:建立網(wǎng)絡化的病毒防范體系,實現(xiàn)病毒庫的同步升級幾乎有網(wǎng)絡和計算機存在的地方,病毒都會伴隨��。每臺計算機上都應安裝防病毒軟件系統(tǒng),并及時更新病毒庫,而對于網(wǎng)絡環(huán)境下的一個組織而言,病毒殺不盡的原因則是網(wǎng)絡上至少有一臺機器有病毒,并在網(wǎng)上擴散傳播,因此購買網(wǎng)絡版的防病毒軟件,建立網(wǎng)絡化的病毒防范體系,實現(xiàn)病毒庫的統(tǒng)一管理,同步升級,是防范病毒侵害數(shù)字化檔案信息的有效措施之一��。同時,加強對病毒知識的學習,提高機構(gòu)中每位員工的主動防范意識和警惕性也是非常重要的保障措施��。
第6篇
關(guān)鍵詞:網(wǎng)絡安全��;多源傳感器��;數(shù)據(jù)融合技術(shù)
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)26-0056-02
在網(wǎng)絡普及的今天��,網(wǎng)絡安全尤為重要��,現(xiàn)在市場上已經(jīng)出現(xiàn)了多種網(wǎng)絡安全保障系統(tǒng)和工具��,比如殺毒軟件��、防火墻��、入侵檢測工具等��,但是這些安全保障工具只能針對網(wǎng)絡安全的單一的問題進行防范��,無法從整體對網(wǎng)絡安全進行高效的保障��。而多源傳感數(shù)據(jù)融合技術(shù)可以將對信息進行綜合性的分析和處理,可以很好地解決單源傳感器所具有的局限性��。由此我們可以對網(wǎng)絡安全中多源傳感器數(shù)據(jù)融合技術(shù)進行深入的分析和研究��,為了更好的保障網(wǎng)絡的安全��,為網(wǎng)絡用戶提供了一個安全的網(wǎng)絡環(huán)境��。
1多源傳感器數(shù)據(jù)融合的基本原理
多源傳感器數(shù)據(jù)融合屬于一項人類同其他生物系統(tǒng)普遍具有的功能��。人類本能對身體的各項器官檢測來的信息同已經(jīng)驗證的知識融合的能力��,由此合理的估計周圍環(huán)境以及事件��。多源傳感器數(shù)據(jù)融合基本原理同人腦進行信息處理的流程是相似的��,合理地支配和運用多項傳感器以及由傳感器獲得各項信息��,根據(jù)一定的規(guī)則對其空間以及時間上的冗余以及互補加以綜合��,由此獲取被測對象的統(tǒng)一的描述��,使得這一系統(tǒng)獲得的較之構(gòu)成部分組成的系統(tǒng)具有更強的性能��。詳細地講��,多源傳感器融合基本原理如下:
1)多想類型不同的傳感器取得目標數(shù)據(jù);
2)提出輸出數(shù)據(jù)特點��,由此取得特征矢量��;
3)模式識別特征矢量��,對各個傳感器目標屬性說明工作��;
4)根據(jù)同一目標對各個傳感器的目標屬性說明信息予以分組��,也就是關(guān)聯(lián)��;
5)通過融合算法合成各個目標對應的傳感器數(shù)據(jù)��,獲得這一目標統(tǒng)一的描述和解釋��。
因為被測對象很多都是特點存在差異的非電量��,比如灰度��、色彩��、溫度等��,所以首先需要將轉(zhuǎn)化為電信號��,而多源傳感器的應用是為了進行信號檢測��。
2 多源傳感器數(shù)據(jù)融合特點
在各個系統(tǒng)中��,依靠單一的傳感器是難以實現(xiàn)對環(huán)境��、目標的識別以及控制目標��。如果對各個傳感器獲得的信息進行單獨的分析處理��,一方面會是信息處理工作量進一步增加��,另一方面業(yè)使傳感器信息間的聯(lián)系被割裂��,嚴重地浪費了信息資源[1]��。所以��,應當綜合多源傳感器進行處理��,這也就是數(shù)據(jù)融合��,由此可以獲得更加可靠��、穩(wěn)定的分析結(jié)論��,系統(tǒng)可以更加完美的完成相關(guān)操作任務?�?偟膩碚f��,多源傳感器數(shù)據(jù)融合具有以下幾項主要的特點:1)環(huán)境描述能力得到了增強��;2)系統(tǒng)的辨識以及運行能力得到了顯著提升��;3)系統(tǒng)自身的容錯能力以及可靠性均得以顯著提高��;4)觀測范圍得到了時間和空間上的拓展��;5)信息的可信度得以增強��,同時系統(tǒng)成本得以降低[2]��。
3網(wǎng)絡安全中多源傳感器數(shù)據(jù)融合技術(shù)應用現(xiàn)狀
在網(wǎng)絡安全保障過程中��,數(shù)據(jù)融合技術(shù)通常是在分布式入侵檢測系統(tǒng)(Ditributed Intrusion Detection System��,DIDS)以及網(wǎng)絡安全形態(tài)感知系統(tǒng)(NetworkSecurity Situa-tion Awareness��,NSSA)中使用【3】��。勢態(tài)感知最早出現(xiàn)在航天飛行人為因素的研究中��。在軍事戰(zhàn)場��、核反應控制��、空中交通管制等多個領(lǐng)域的同樣也存在非常廣泛的研究��。勢態(tài)感知指的是在特定時空條件下��,對環(huán)境因素的采集��、了解和對未來情況的預測【4】��。Bass T認為DIDS指的是在層次化模式下進行多源傳感器數(shù)據(jù)融合的問題��,同時引入JDL融合處理模型��,將勢態(tài)感知引進網(wǎng)絡安全中來��,進而設計出了在多源傳感器數(shù)據(jù)融合基礎上的網(wǎng)絡態(tài)勢感知系統(tǒng)模型框架��,這也叫做網(wǎng)絡安全勢態(tài)感知(NSSA)[5]��。
我國對于NSSA的研究相對較晚��,近幾年的研究取得了較為顯著的成就,是現(xiàn)階段網(wǎng)絡管理以及安全領(lǐng)域重要的研究課題��。NSSA和DIDS二者存在諸多的不同之處��,更多地反映在數(shù)據(jù)來源和系統(tǒng)功能存在差異��。DIDS是在網(wǎng)絡中部署入侵檢測Agent��,進而利用入侵檢測Agent來取得各項網(wǎng)絡信息��,同時采取綜合性分析��,由此對被監(jiān)控網(wǎng)絡進行有效的檢測��,查看其中是否存在任何攻擊行為��,從而確保網(wǎng)絡預計主體的安全��。而NSSA則是運用多項安全系統(tǒng)(殺毒軟件��、防火墻��、系統(tǒng)審計日志)等形成數(shù)據(jù)結(jié)果以及Netflow采集的網(wǎng)絡信息以及性能指標等數(shù)據(jù)��,進而計算出網(wǎng)絡當前的安全勢態(tài)��,并及時向網(wǎng)絡管理員傳遞網(wǎng)絡勢態(tài)同時提交相關(guān)數(shù)據(jù)等��,為確保網(wǎng)絡運行正常提供數(shù)據(jù)參考��,其中涉及DIDS的功能��。此外��,NSSA還具備可預測性以及可評價性��,現(xiàn)階段更多單位進一步加強對網(wǎng)絡安全勢態(tài)預警系統(tǒng)的研究��。
4 網(wǎng)絡安全中多源傳感器數(shù)據(jù)融合技術(shù)
4.1提高時間分辨率的多源數(shù)據(jù)融合技術(shù)
在時間基礎上的數(shù)據(jù)融合指的是針對單一或多項數(shù)據(jù)源獲得的數(shù)據(jù)實施融合��,在網(wǎng)絡安全保障中對應相關(guān)的網(wǎng)絡安全事件��。時間基礎上的數(shù)據(jù)融合必須預先針對需要檢測的攻擊及其意圖建模��,比如攻擊圖建模��;進而給模型中各個節(jié)點對應的攻擊事件進行賦值��。最后��,通過貝葉斯推理��、加權(quán)決策法等方法實施融合決策。貝葉斯推理主要的是概率論基礎上的貝葉斯訂立��,必須預先提出先驗和條件概率��。D-S證據(jù)理論用辨識框架表示的是構(gòu)成假設空間相關(guān)元素的集合��,其中各個元素對應的要求互相之間排斥��,同時在基礎上定義一個分配函數(shù)概念��。有框架中任何一個元素概念賦值��,由此可以獲得相應的信任函數(shù)(Bel)以及似真度函數(shù)(BPA)��,簡稱為PI��,通過Bel以及BPA可以獲得這一命題的信任度空間��。而后��,通過Dempster合成原則融合多項似真度函數(shù)��。
Liu Mixia通過D-S證據(jù)理論針對DARPA數(shù)據(jù)統(tǒng)一DDoS攻擊對應的5個環(huán)節(jié)信息實施融合決策��。其一��,定義一個辨識框架= {Normal��, Probe��, u2r(user to root)��,r2l(remote to local)��,DoS��, Uncertain}��;進而針對各個事件采用合適的BPA��,針對相關(guān)命題配置相應的概率值��,同時根據(jù)合成規(guī)則針對到來的事件采取融合決策��;最后取得各個命題對應的最終概率值��。伴隨事件的不斷來臨��,命題的不確定性也會漸漸降低��,判斷也會更加準確��,由此結(jié)合判斷結(jié)果獲得網(wǎng)絡安全勢態(tài)信息。
韋勇在D-S證據(jù)理論的指導下有效融合檢測和預知日志集合��,同時根據(jù)漏洞信息獲得攻擊成功支持力等信息��,最終通過加權(quán)決策法獲得節(jié)點勢態(tài)��。
4.2 拓展空間的多源數(shù)據(jù)融合技術(shù)
在空間基礎上的數(shù)據(jù)融合主要是指針對網(wǎng)絡中各個部位的傳感器形成的安全信息加以融合��。因為每個不同傳感器其相應的功能存在差異��,側(cè)重點也具有一定的差異��,所以在空間基礎上的數(shù)據(jù)融合可以將各個數(shù)據(jù)源的互補性以及冗余性進行很好的利用��,得到較之單一數(shù)據(jù)源更加可靠��、更加全面��、更加準確的信息��,由此進行更為正確的判斷��。在網(wǎng)絡中裝置的功能��、類型各異的Agent��,比如防火墻��、入侵檢測系統(tǒng)��、殺毒軟件等��,單獨進行數(shù)據(jù)收集以及分析活動��。而后不僅能夠運用集中式融合結(jié)構(gòu)��,將各個Agent采集的數(shù)據(jù)集中發(fā)送至數(shù)據(jù)融合中心加以融合��,同時也可以通過分布式融合結(jié)構(gòu)��,使Agent之間自行進行互通互信��,由此取得相應的數(shù)據(jù)同時采取融合決策��,對入侵行為進行判斷等��。
為了實現(xiàn)Agent之間的互通互信��,彼此之間進行信息的交流��,必須統(tǒng)一信息表達格式及其數(shù)據(jù)交換安全協(xié)議��。在此過程中,最為著名有公共入侵規(guī)范語言(Common Intrusion Specif-ication Language��,CISL)��,入侵檢測交互協(xié)議(Intrusion Detection Exchange Protocol��, IDXP) ��、入侵檢測消息交互格式(Intrusion DetecionMessage Exchange Format��, IDMEF)等��。
在空間基礎上的數(shù)據(jù)融合技術(shù)通常運用神經(jīng)網(wǎng)絡��、貝葉斯推理��、SVM��、D-S證據(jù)理論等計算方法��。SVM以及神經(jīng)網(wǎng)絡等融合算法需要預先從多源傳感器所形成的數(shù)據(jù)進行特征的提取��,同時構(gòu)成獨立的特征向量��,由此將其鍵入模式識別過程中分類識別��。
RST主要是指基于分類而建立的��,將分類看作在一定空間條件下的等價關(guān)系��,進而組成了對這一空間進行劃分��。其重要的思想在于通過已知的知識庫來對不確定或不精準的知識進行近似的刻畫��。
王慧強等人指出在多源傳感器數(shù)據(jù)融合基礎上構(gòu)建網(wǎng)絡勢態(tài)感知模型��,通過神經(jīng)網(wǎng)絡以及SVM等算法針對Snort以及Netflow傳感器形成的信息進行特征向量的提取��,之后采取特征降維��,進而實施融合分類��,最終通過分類結(jié)果得出相應的網(wǎng)絡安全勢態(tài)信息��。
Siaterlis在D-S證據(jù)理論的指導下設計檢測DoS攻擊模型��,需要預先定義辨識框架��,通過Snort插件取得報文輸入與輸出之間的比重��、通過Cisco對應的Netflow以及SNMP協(xié)議采集網(wǎng)絡流量信息��,而后針對取得的兩種信息采用合適的BPA,然后對兩個BPA實施融合��,由此獲得最終的融合決策數(shù)據(jù)��。這一模型促進對DoS攻擊檢測效率的顯著提升��,使其報誤率大大降低��。
Zhuo Ying等人將JDL數(shù)據(jù)融合模型以及Endsley態(tài)勢感知模型進行有機結(jié)合��,集中了數(shù)據(jù)融合挖掘技術(shù)��,通過RST科學的評估網(wǎng)絡安全勢態(tài)��。
5 結(jié)束語
綜上��,數(shù)據(jù)融合并非獨立的技術(shù)��,而是一項跨多學科的綜合性方法��,同時處在持續(xù)變化發(fā)展當中��。伴隨相關(guān)研究的進一步深入��,該技術(shù)取得了很多的發(fā)展。較之單一傳感器的信息處理��,多源傳感器數(shù)據(jù)融合技術(shù)具有非常顯著的優(yōu)勢��,突破了以往單一傳感器信息處理造成的局限��。而該技術(shù)應用于網(wǎng)絡安全防護中��,可以有效提升網(wǎng)絡安全保障體系的安全系數(shù)��,使得各項安全系統(tǒng)和工具實現(xiàn)有機融合��,從整體上確保網(wǎng)絡的安全��,更好地保護了網(wǎng)絡用戶的利益��。
參考文獻:
[1] 胡傳奇��,王檄��,侯家槐.多傳感器圖像融合技術(shù)及其進展[J].測繪與空間地理信息��,2010(2):159-162.
[2] 林加潤��,殷建平��,程杰仁��,等.網(wǎng)絡安全中多源傳感器數(shù)據(jù)融合技術(shù)研究[J].計算機工程與科學��,2010(6):30-33.
[3] 黃漫國��,樊尚春��,鄭德智��,等.多傳感器數(shù)據(jù)融合技術(shù)研究進展[J].傳感器與微系統(tǒng)��,2010(3):5-8+12.
第7篇
關(guān)鍵詞 應急響應��;保障措施��;網(wǎng)絡安全��;安全事件
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2014)15-0196-01
迄今為止��,網(wǎng)絡信息安全問題不斷變更��,給社會的發(fā)展帶來了嚴重的影響��,在經(jīng)歷了通訊安全��、計算機安全、網(wǎng)絡安全和內(nèi)容安全四個過程后��,重要網(wǎng)絡基礎設施及信息的保護已經(jīng)受到國家的高度關(guān)注��,并成為國家安全戰(zhàn)略的重要組成部分��,目前��,網(wǎng)絡信息安全問題備受人們關(guān)注��,面對網(wǎng)絡和系統(tǒng)日趨復雜��,解決網(wǎng)絡安全事件成為應急響應體系建設的重點工作��。
1 應急響應的基本內(nèi)容
當前��,應急響應主要包括應急響應��、信息安全事件和應急響應體系的總體架構(gòu)三個方面的內(nèi)容��。
1)應急響應是指一個組織在各種安全事件發(fā)生前后所采取的準備工作及相應的緊急措施��,應急響應主要是為了保護網(wǎng)絡基礎設施的安全性��,降低網(wǎng)絡的脆弱性和縮短網(wǎng)絡攻擊事件發(fā)生后對相關(guān)信息的破壞時間和恢復時間��。
2)信息安全事件��,即信息系統(tǒng)��、服務或網(wǎng)絡的某種不安全狀態(tài)��。而信息安全事件就是導致信息資產(chǎn)丟失或損壞的一種信息安全事故��,且其損壞的發(fā)生具有一定的特殊性��。當然��,信息安全事件的發(fā)生也具有因果性��、必然性��、偶然性��、規(guī)律性等特點��,因此也就是說信息安全事件的發(fā)生是可以通過相應的措施進行相關(guān)事件的預防��,而應急響應則是事件發(fā)生后減少損失的一個重要手段��。
3)應急響應體系的總體架構(gòu)��,而應急響應體系由兩個中心和兩個組組合而成。而兩個中心只要是指信息共享與分析中心和應急響應中心��,其兩個組則由應急管理組和專業(yè)應急組組成��。其中��,作為處于系統(tǒng)最高層的應急響應指揮協(xié)調(diào)中心��,主要負責協(xié)調(diào)體系��、維護信息共享與分析中心平臺��、管理協(xié)調(diào)各個應急響應組��,并且也是系統(tǒng)聯(lián)動的控制中心��。而信息共享主要負責與組織進行信息共享和交換��,它是整個架構(gòu)的核心��。應急響應中心包含了整個體系的核心任務��,即信息安全事件的分類��、預案管理及應急響應等��。作為整個體系和聯(lián)動運作的總協(xié)調(diào)機構(gòu)應急管理組��,其主要包括:技術(shù)研發(fā)與策略制定組和專家咨詢組等��。專業(yè)應急組直接對安全事件實施響應的聯(lián)動措施��。
2 應急響應體系的層次結(jié)構(gòu)
對與應急響應體系的層次結(jié)構(gòu)��,主要是針對在具體的應急響應工作中��,相關(guān)應急響應體系的層次結(jié)構(gòu)對安全事件的處理��,以此體現(xiàn)層次結(jié)構(gòu)在應急響應體系中的作用��,對此,基于動態(tài)對等網(wǎng)層次結(jié)構(gòu)中的網(wǎng)絡預警模型展開相應的研究。這里主要以DPOH模型為例��,這種DPOH模型廣泛分布于受保護網(wǎng)絡中,由自治節(jié)點構(gòu)建而成的層次化對等覆蓋網(wǎng)體系��。DPOH模型主要是提供底層的分布式協(xié)作和數(shù)據(jù)共享框架��,從而使得各類異構(gòu)防護設施能夠接入到一個自適應的全局安全防護體系中��,因此具有跨安全域的數(shù)據(jù)共享和相應的對等協(xié)作能力��,為此,可以有效地執(zhí)行協(xié)同檢測和防護任務��。
DPOH模型主要是為了保護規(guī)模較大的網(wǎng)絡環(huán)境的安全而構(gòu)建的��,其重點是對惡意代碼實施協(xié)同檢測和防護而構(gòu)建的��。其包括層次化對等結(jié)構(gòu)��、數(shù)據(jù)分布式共享和動態(tài)自適應協(xié)作等
特點��。
其層次化對等結(jié)構(gòu)具有魯棒性��、可拓展性和可管理性優(yōu)點��。在DPOH模型中具有控制中心��、任務協(xié)調(diào)中心和安全三類核心節(jié)點角色��,然而三種角色又有各自不同的權(quán)限��,自上而下形成控制中心群體和任務組兩層對等覆蓋網(wǎng)體系��,使得層次化和對等有機結(jié)合在一起��。
而對于數(shù)據(jù)分布式共享��,DPOH模型將NIDS��、防火墻安全網(wǎng)關(guān)等設施通過協(xié)議注冊到相關(guān)的安全節(jié)點��,將異構(gòu)報警源生成的報警數(shù)據(jù)通過XML技術(shù)進行一致化處理��,然后再由DHT分布式消息共享機制發(fā)到整個網(wǎng)絡安全防護體系中��。對此��,DPOH模型還可以整合各類異構(gòu)網(wǎng)絡安全防護設施的數(shù)據(jù)資源��,從而實現(xiàn)了安全報警消息的分析式存儲和查詢機制��,并對分布式網(wǎng)絡入侵和攻擊行為進行關(guān)聯(lián)分析和協(xié)調(diào)檢測��,從而明確入侵意圖��,為深層次信息提供了基本的支撐��。
針對動態(tài)適應協(xié)作��,DPOH模型提供了其機制的底層支持��,主要體現(xiàn)在以下兩點��。
1)預警模型可以完全擺脫節(jié)點物理拓撲的約束對網(wǎng)絡安全資源進行調(diào)整分配。
2)當安全節(jié)點處于模型底層��,并由控制中心根據(jù)所需資源��,然后動態(tài)地組織任務組覆蓋網(wǎng)��,在任務組只占必要的資源的同時實現(xiàn)多任務并行處理��。
3 應急響應體系的聯(lián)動
應急響應體系的聯(lián)動包含技術(shù)防御層的聯(lián)動��、組織保障層的聯(lián)動��、響應實施層的聯(lián)動和以事件為中心的層間聯(lián)動��。對此��,應急響應體系的聯(lián)動主要體現(xiàn)于各層內(nèi)實體和層間實體的聯(lián)動��,若沒有實體間的聯(lián)動��,其功能就無法進行發(fā)揮��。所以��,實體間的聯(lián)動是十分重要的��。而層級結(jié)構(gòu)圖越園��,表明其實體間的聯(lián)系就越緊密��,其活躍度就更高��。由外而內(nèi)��,區(qū)域逐漸變小��,而其功能越來越復雜��,各層間的聯(lián)動活躍度也就越高��。
對于無大規(guī)模的網(wǎng)絡攻擊或者網(wǎng)絡戰(zhàn)爭的發(fā)生��,其聯(lián)動是最少的��。在技術(shù)防御層中的六個實體間的聯(lián)動是通過彼此間的因果關(guān)系傳遞的��,而組織保障層中的四個實體間的聯(lián)動在同種形式下是十分緊密的��,其信息的傳遞可通過雙向傳遞或者點與點直接傳遞��,對于響應實施層內(nèi)的六個功能在通常情況下實體聯(lián)動可表現(xiàn)為一體。
4 結(jié)束語
在目前網(wǎng)絡飛速的發(fā)展中��,由于各種因素的影響所造成的網(wǎng)絡漏洞較多��,網(wǎng)絡信息安全事件的發(fā)生給人們��,尤其是事業(yè)單位造成了很大的困擾��,而應急響應防御體系中的一道重要的防線��,是網(wǎng)絡信息安全的可靠保障��。急響應體系的建立其工程十分復雜��,應該為此加強安全措施的聯(lián)動��,并全面了解層次結(jié)構(gòu)��,才能解決主要的問題��,才能進一步完善應急響應體系��。保證各類信息的安全��。
參考文獻
[1]王瑞剛.網(wǎng)絡與信息安全事件應急響應體系層次結(jié)構(gòu)與聯(lián)動研究[J].計算機應用與軟件��,2011��,28(10):117-119.
[2]王茹.安全信息管理(SIM)風險管理的研究與實現(xiàn)[D].北京郵電大學��,2010.
[3]胡文龍.蜜網(wǎng)的數(shù)據(jù)融合與關(guān)聯(lián)分析的研究與實現(xiàn)[D].北京郵電大學��,2009.
第8篇
關(guān)鍵詞:電子商務��;安全問題��;策略探析
當前經(jīng)濟一體化發(fā)展形勢下��,電子商務��,作為在網(wǎng)絡技術(shù)環(huán)境中��,通過運用信息技術(shù)進行在線商品交易��、金融資本交易及其商務活動的過程��,成為推動當前經(jīng)濟貿(mào)易快捷化運行的重要模式��。由于電子信息資源市場的開放性和共享性��,商業(yè)信息的安全問題成為當前電子商務運行的重要弊端��。本文從加強電子商務安全性能的角度出發(fā),對電子商務中的各種安全防范技術(shù)進行了分析��。
1.電子商務的內(nèi)涵特征分析
電子商務��,是在經(jīng)濟全球化發(fā)展趨勢下��,隨著計算機信息通訊技術(shù)的普及和推廣��,以開放的計算機網(wǎng)絡環(huán)境為基礎��,以電子信息技術(shù)為手段��,以各種商業(yè)貿(mào)易活動為核心��,基于信息技術(shù)的應用方式��,在法律范圍內(nèi)由從事商務活動的交易雙方在不謀面的情況下進行的各種商貿(mào)活動��,實現(xiàn)網(wǎng)上在線交易購物和電子支付等各種商務活動��、金融活動以及相關(guān)綜合服務活動的一種新型商業(yè)運營模式��。
2.電子商務的安全性能分析
電子商務的安全性能表現(xiàn)在安全隱患安全要素以及安全需求等幾個方面:
2.1 安全威脅
電子商務交易過程中��,往往存在相關(guān)商務信息數(shù)據(jù)在使用過程中被非法竊取��、篡改或假冒等安全隱患現(xiàn)象,既破壞了商務信息的完整性��,網(wǎng)絡非法攻擊者通過假冒合法用戶或者模擬虛假信息來實施詐騙行為��,也降低了電子商務信息的精確度和誠信度��,對電子商務造成非常嚴重的不良后果��。
2.2 安全要素
構(gòu)成電子商務的安全要素主要包括相關(guān)信息的真實有效性��,完整保密性��、信息的可鑒別性及不可抵賴性��。保障電子貿(mào)易信息的有效性和真實性是開展電子商務的前提��。商業(yè)性信息保密是電子商務全面推廣應用的重要保障��。電子商務方式下,通過在交易信息的傳輸過程中為參與交易的個人��、企業(yè)或國家提供可靠標識��,保障了商業(yè)信息的完整性和統(tǒng)一性��。
2.3 安全需求
電子商務交易過程具有信息的保密性��、完整性和不可否認性等安全需求��。電子商務運行過程中��,要求相關(guān)商務信息具有嚴格的保密性能, 相關(guān)信息數(shù)據(jù)在存儲或傳輸過程中未經(jīng)授權(quán)保持不被修改��、不被破壞和丟失的特性��,不得泄露給其它非授權(quán)性用戶使用��。電子商務信息的不可否認性避免了交易發(fā)生后的某方否認自己的商務行為的特性��。
3.當前采用的主要電子商務安全技術(shù)
當前電子商務運行過程中通常采用的安全技術(shù)主要包括加密技術(shù)和安全認證技術(shù):
3.1 加密技術(shù)
加密技術(shù)是電子商務采取的主要安全措施��,是保障相關(guān)信息保密性��、完整性的核心��。按照密鑰的不同��,加密技術(shù)主要有對稱型密鑰體制和非對稱型密鑰體制��。
① 對稱型密碼體制
相關(guān)信息的發(fā)送方和接收方都必須使用相同的密鑰對消息進行加密和解密運算��。對稱加密算法最大的優(yōu)勢就是開銷小��、加密速度快,被廣泛應用于對大量數(shù)據(jù)文件進行加密��。
② 非對稱型密鑰體制
具有公開密鑰和私有密鑰兩種密鑰��。公開密鑰用于對機密信息加密��,私有密鑰用于對機密信息解密��。實際應用中通常將兩種加密技術(shù)結(jié)合起來��,先采用公鑰密碼傳送加密密鑰��,再用私鑰密碼加密傳輸信息��,從而確保信息的安全傳輸��。
3.2 安全認證技術(shù)
目前電子商務交易中僅有加密技術(shù)不足以保證交易安全��,身份認證技術(shù)是保證電子商務安全的另一重要技術(shù)��,包括數(shù)字簽名技術(shù)��、數(shù)字證書技術(shù)等手段��。
①數(shù)字簽名技術(shù)
數(shù)字簽名技術(shù)是進行身份認證的技術(shù)��,它是運用數(shù)字摘要技術(shù)��,為防止他人對傳輸?shù)男畔⑦M行篡改或破壞��,保證信息的真實性和完整性��,以及保證信息發(fā)送者對發(fā)送信息的不可抵賴性而采用的在數(shù)字化文檔上進行數(shù)字簽名的安全保障手段��。目前的數(shù)字簽名是公用密鑰加密技術(shù)的另一類應用��。主要有RSA簽名��、DSS簽名和Hash簽名三種簽名方法��。
②數(shù)字證書技術(shù)
數(shù)字證書是公共密鑰體制中的密鑰管理媒介��,并將公鑰和實體身份信息綁定在一起��,并包含認證機構(gòu)的數(shù)字簽名��,通常由具有權(quán)威性��、可信任性的第三方認證機構(gòu)進行頒發(fā)��。數(shù)字證書技術(shù)是一種能夠有效管理公鑰分發(fā)��,保障公鑰以及與公鑰有關(guān)的實體身份信息真實性的安全保障措施。數(shù)字證書在電子商務中用于公鑰的分發(fā)��、傳遞��、證明電子商務實體身份與公鑰相匹配��。
4.加強電子商務安全性能的策略
當前��,隨著市場經(jīng)濟的開放性復雜化發(fā)展��,加強電子商務安全運行的重要策略如下:
4.1應用電子商務安全保障技術(shù)
靈活運用加密技術(shù)��,通過數(shù)字簽名和數(shù)字證書來實現(xiàn)的身份認證是實現(xiàn)網(wǎng)絡安全的重要措施��。在電子商務WEB服務器和客戶端瀏覽器之間建立安全鏈接��,能保證信息數(shù)據(jù)在傳輸過程中的安全性��。防火墻能夠有效地監(jiān)視網(wǎng)絡的通信信息��,并記憶通信狀態(tài)��,它的應用可以有效的減少黑客的入侵及攻擊��,保障網(wǎng)絡節(jié)點的安全��,優(yōu)化網(wǎng)絡系統(tǒng)環(huán)境��,為電子商務運作提供了安全平臺��。
4.2完善電子商務安全配套措施
電子商務的安全配套措施主要在于針對關(guān)鍵性安全保障技術(shù)進行創(chuàng)新突破��,提高運作效率��,根據(jù)實際需求積極開發(fā)大型商務網(wǎng)站��,發(fā)展與之相配套的物流公司��,盡快對電子商務的有關(guān)細則進行立法��,建立嚴格的內(nèi)部安全機制��。完善網(wǎng)絡安全維護日志��,記錄與安全性相關(guān)的信息及事件便于跟蹤查詢��,對重要數(shù)據(jù)信息要及時進行備份并針對相關(guān)數(shù)據(jù)信息和數(shù)據(jù)庫進行加密保護��。
4.3建立電子商務安全運行體系
針對電子商務網(wǎng)站��,要及時進行科學合理的安全綜合性能評估,及時發(fā)現(xiàn)并解決安全隱患��。綜合采用包括防火墻技術(shù)��、病毒檢測技術(shù)��、數(shù)字加密技術(shù)��、數(shù)字簽名技術(shù)��、安全認證技術(shù)等多種安全保障技術(shù)防護��,完善安全防護運行體系并確保系統(tǒng)信息數(shù)據(jù)的安全與保密��。健全電子商務法律法規(guī)��,嚴厲打擊電子商務領(lǐng)域違法犯罪行為��,為保證電子商務活動創(chuàng)建和諧的商業(yè)運行環(huán)境��。
