网络安全风险预案范文
时间:2023-12-07 17:47:49
导语:如何才能写好一篇网络安全风险预案,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
关键词 计算机网络;安全风险;黑客;防范措施
中图分类号TP393 文献标识码A 文章编号 1674-6708(2012)72-0209-01
近十几年来,计算机技术的快速发展,推动了全社会的信息化进程,计算机的广泛应用,提高了各个行业的工作效率。但是,计算机互联网由于其开放性、互连性特征,易遭到黑客以及恶意软件的攻击,给计算机的使用者带来极大的损害。由于互联网存在诸多潜在的安全风险,使得计算机网络的安全问题面临着严峻的考验。因此,分析计算机网络存在的安全风险,探讨相应的防范措施,具有重要的现实意义。
计算机网络的安全风险,主要存在于以下六个方面:
1)计算机网络系统本身的安全风险。计算机系统的网络结构,普遍应用的是混合型结构,多种设备的结构混合为一体,而每种设备,都会不同程度的影响到网络的运行,对计算机网络系统形成潜在的安全风险。此外,由于开放性和共享性是网络技术的优点,但是,由于互联网的复杂性、交错性,其开放性、共享性的优点,同时也成了弱点,使得计算机系统容易遭受到黑客的攻击,造成了安全风险;2)计算机病毒。计算机病毒,指的是人为编制的一组计算机指令或代码,其进入计算机程序后,能够毁坏计算机的数据,破坏计算机的功能。随着近年来互联网规模的日益扩大,计算机病毒传播的主要手段,成为了网络传播,病毒能够在局域网内进行传播、扩大。计算机用户在上网时,正常的浏览网页、看新闻、下载图片及视频资料、收发电子邮件等,都有可能感染上计算机病毒。电脑一旦感染了病毒,电脑的程序和系统都会遭到严重的破坏,导致计算机无法正常工作;3)黑客攻击。黑客是指利用计算机的系统安全漏洞,对网络进行攻击破坏,或窃取资料的人。计算机网络系统本身的安全风险,给黑客带来了可乘之机,黑客通过密码探测,对计算机进行入侵、攻击,通过网络侦察,截获将电脑用户的信息,窃取用户资料,破译用户密码,得到电脑使用者的机密信息,给电脑使用者造成很大的损害;4)垃圾邮件。由于计算机用户的电子邮件地址具有公开性的特点,使得黑客可以把垃圾邮件强行发送到众多计算机用户的电子邮箱中,使用户面临可能感染计算机病毒的风险;5)网络软件漏洞。很多的网络软件存在安全漏洞,很大一部分的服务器,由于网络软件没有及时打上补丁,而成为了黑客攻击的对象,导致很严重的安全风险;6)网络管理力度不够。很多网络站点的防火墙配置,由于访问权限过大,这些权限一旦被黑客使用,就会使计算机面临被黑客攻击的风险,从而降低了网络系统的安全性。
2 计算机网络安全防范措施
1)设置访问控制。为了防范网络风险,通常采取的最主要的措施,就是设置访问控制。设置访问控制,可以保证计算机网络不被非法访问和使用,是保证计算机网络安全最重要的核心措施;2)运用计算机病毒防范技术。由于计算机病毒的破坏性很强,会对电脑造成严重的危害,所以计算机用户要在使用的电脑上,安装适合的杀毒软件,并经常升级杀毒软件。同时,计算机用户还要注意上网安全,对于感觉可疑的网页链接,不要轻易打开;对于感觉可疑的文件,不要轻易下载;3)运用防火墙技术。防火墙具有限制外界用户对内部网络访问、管理内部用户访问外界网络的作用。防火墙技术按照一定的安全策略,对网络中的链接方式进行检查,来判断网络之间的通信是否被允许,同时对网络运行的状态进行实时的监控。把所有安全软件配置在防火墙上,可以有效防止非法用户的入侵,极大地降低计算机网络的安全风险;4)安装杀毒软件。只需要几分钟的时间,就可以把杀毒软件安装到计算机的NT服务器上,还可下载到所有的目的机器上。好的杀毒软件能够自动提供最佳的网络病毒防御措施,计算机用户要选择合适的网络杀毒软件,对计算机网络定期进行查毒、杀毒、网络修复等。与此同时,用户要对杀毒软件及时进行升级换代,以确保其对病毒的杀伤力;5)运用信息加密技术。由于计算机网络具有复杂性、开放性的特点,同时计算机自身存在缺陷,当信息数据通过网络进行传输时,信息数据易被泄露,因此,信息加密技术就显得尤为重要。计算机网络数据加密在整个过程中,其进行传输的时候,都是以密文形式进行的,因此可使保障数据传输的安全,得到有效的保障;6)落实网络安全管理。网络安全的防范,除了应用先进的软件之外,还需要落实网络安全管理。网络管理员要加大网络监控力度,对网络安全状况进行准确的评估,针对计算机网络安全存在的风险,提出相应的整改意见,并制定应急预案,以防患于未然。同时,做好计算机设备的维护,营造优良的网络环境,确保计算机网络的安全。
总之,针对计算机网络存在的安全风险,加强计算机网络的安全防范措施,不但要采用先进的软件技术,而且要加强网络的安全管理,才能确保计算机网络的安全运行。
参考文献
[1]何莉,许林英,姚鹏海.计算机网络概论[M],2006(1).
[2]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011(9).
[3]金晓倩.基于计算机防火墙安全屏障的网络防范技术[J].素质论坛,2009(11).
[4]王小芹.计算机网络安全的防范技术及策略[J].内蒙古科技与,2005(15).
篇2
1.1安全风险评估应用模型三阶段。
在电子政务系统设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
1.2安全风险分析的应用模型。
在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素。
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程。
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。识别并估价安全区域内的信息资产。识别与评价安全区域内的环境对资产的威胁。识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法。
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。
2结语
篇3
随着信息科技的高速发展,网络在越来越多地为人们生活提供便利的同时,也为企业节省了大量的人力和物力,但是企业在使用网络与外界交流时也同样承担着巨大的风险。本文介绍了医院网络中存在风险的原因、存在的风险及其对策。为医院在网络安全方面提供了一定的建议。
关键字:企业网络 医院网络 网络安全 网络体系 技术手段
Abstract:With the high-speed development of information science and technology, the network, offering the facility to people more and more, and also help the company to save a large number of manpower and material resources. But the trade company is undertaking the enormous risk while using the network to exchange with external world too. This text has introduced the reason of existing risk and countermeasure with the risk in enterprise's network. Have offered certain suggestion in online security for the trade company.
Keyword: Enterprise's network
Security of network
Network system
Technological means
前言:
随着信息技术的高速发展,互联网越来越被人们所重视,从农业到工业再到高科技产业各行各业都在使用互联网参与行业生存与竞争。企业对网络的依存度越来越高,网络在企业中所处的位置也越来越重要,系统中存储着维系企业生存与竞争的重要资产-------企业信息资源。但是,诸多因素威胁着计算机系统的正常运转。如,自然灾害、人员的误操作等,不仅会造成系统信息丢失甚至完全瘫痪,而且会给企业造成无法估量的损失。因此,企业必须有一套完整的安全管理措施,以确保整个计算机网络系统正常、高效、安全地运行。本文就影响医院计算机网络安全的因素、存在的安全隐患及其应对策略三个方面进行了做了论述。
一、医院网络安全存在的风险及其原因
1.自然因素:
1.1病毒攻击
因为医院网络同样也是连接在互联网上的一个网络,所以它不可避免的要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的,而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器,造成机器“罢工“并成为感染添另一方面会大量占用网络带宽,阻塞正常流量,形成拒绝服务攻击。我们清醒地知道,完全避免所有终端上的病毒是不可能的,但要尽量减少病毒爆发造成的损失和恢复时延是完全可能的。但是由于一些工作人员的疏忽,使得医院网络被病毒攻击的频率越来越高,所以病毒的攻击应该引起我们的关注。
1.2软件漏洞
任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下几个方面:
1.2.1、协议漏洞。例如,IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。
1.2.2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。
1.2.3、口令攻击。例如,U nix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令破译方法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。
2、人为因素:
2.1操作失误
操作员安全配置不当造成的安全漏洞,用户安全意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少.对网络安全己不构成主要威胁。
2.2恶意攻击
这是医院计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下.进行截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁,每年企业和网络运营商都要花费大量的人力和物力用于这方而的网络安全防范,因此防范人为的恶意攻击将是医院网络安全工作的重点。
二、构建安全的网络体系结构
1.设计网络安全体系的原则
1.1、体系的安全性:设计网络安全体系的最终目的是为保护信息与网络系统的安全所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。
1.2、系统的高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。网络系统的安全体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。
1.3、体系的可行性:设计网络安全体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只能是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。
1.4、体系的可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由企业来支持,要为此付出一定的代价和开销如果我们付出的代价比从安全体系中获得的利益还要多,那么我们就不该采用这个方案。所以,在设计网络安全体系时,必须考虑企业的业务特点和实际承受能力,没有必要按电信级、银行级标准来设计这四个原则,可以简单的归纳为:安全第一、保障性能、投入合理、考虑发展。
2、网络安全体系的建立
网络安全体系的定义:网络安全管理体系是一个在网络系统内结合安全
技术与安全管理,以实现系统多层次安全保证的应用体系。
网络系统完整的安全体系
系统物理安全性主要是指从物理上保证系统中各种硬件设备的安全可靠,确保应用系统正常运行。主要包括以下几个方面:
(1)防止非法用户破坏系统设备,干扰系统的正常运行。
(2)防止内部用户通过物理手段接近或窃取系统设备,非法取得其中的数据。
(3 )为系统关键设备的运行提供安全、适宜的物理空间,确保系统能够长期、稳定和高效的运行。例如:中心机房配置温控、除尘设备等。
网络安全性主要包括以下几个方面:
(1)限制非法用户通过网络远程访问和破坏系统数据,窃取传输线路中的数据。
(2)确保对网络设备的安全配置。对网络来说,首先要确保网络设备的安全配置,保证非授权用户不能访问任意一台计算机、路由器和防火墙。
(3)网络通讯线路安全可靠,抗干扰。屏蔽性能好,防止电磁泄露,减
少信号衰减。
(4)防止那些为网络通讯提供频繁服务的设备泄露电磁信号,可以在该设备上增加信号干扰器,对泄露的电磁信号进行干扰,以防他人顺利接收到泄露的电磁信号。
应用安全性主要是指利用通讯基础设施、应用系统和先进的应用安全控制技术,对应用系统中的数据进行安全保护,确保能够在数据库级、文档/记录级、段落级和字段级限制非法用户的访问。
另外,对存放重要数据的计算机(服务器、用户机)应使用安全等级较高的操作系统,利用操作系统的安全特性。
三、网络安全的技术实现
1、防火墙技术
在外部网络同内部网络之间应设置防火墙设备。通过防火墙过滤进出网络的数据,对进出网络的访问行为进行控制和阻断,封锁某些禁止的业务,记录通过防火墙的信息内容和活动。对网络攻击进行监测和告警。防火墙可分为包过滤型、检测型、型等,应根据不同的需要安装不同的防火墙。
2、划分并隔离不同安全域
根据不同的安全需求、威胁,划分不同的安全域。采用访问控制、权限控制的机制,控制不同的访问者对网络和设备的访问,防止内部访问者对无权访问区域的访问和误操作。
我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。在关键服务器区域内部,也同样需要按照安全级别的不同进行进一步安全隔离。
划分并隔离不同安全域要结合网络系统的安防与监控需要,与实际应用环境、工作业务流程和机构组织形式密切结合起来。
3、防范病毒和外部入侵
防病毒产品要定期更新升级,定期扫描。在不影响业务的前提下,关闭系统本身的弱点及漏洞并及时打上最新的安全补丁。防毒除了通常的工作站防毒外,email防毒和网关式防毒己经越来越成为消除病毒源的关键。还应使用扫描器软件主动扫描,进行安全性检查,找到漏洞并及时修补,以防黑客攻击。
医院网管可以在CISCO路由设备中,利用CISCO IOS操作系统的安全保护,设置用户口令及ENABLE 口令,解决网络层的安全问题,可以利用UNIX系统的安全机制,保证用户身份、用户授权和基于授权的系统的安全,:对各服务器操作系统和数据库设立访问权限,同时利用UNIX的安全文件,例如/etc/hosts. equiv文件等,限制远程登录主机,以防非法
用户使用TELNET、FTP等远程登录工具,进行非法入侵。
4、备份和恢复技术
备份是保证系统安全最基本、最常用的手段。采取数据的备份和恢复措施,有些重要数据还需要采取异地备份措施,防止灾难性事故的发生。
5、加密和认证技术
加密可保证信息传输的保密性、完整性、抗抵赖等,是一个非常传统,但又非常有效的技术。加密技术主要用于网络安全传输、公文安全传输、桌面安全防护、可视化数字签名等方面。
6、实时监测
采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络实时监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征。
7、 PKI技术
公开密钥基础设施(PKI )是通过使用公开密钥技术和数字证书来确保系统网络安全并负责验证数字证书持有者身份的一种体系。PKI 可以提供的服务包括:认证服务,保密(加密),完整,安全通信,安全时间戳,小可否认服务(抗抵赖服务),特权管理,密钥管理等。
四、结束语:
网络的安全与医院利益息息相关,一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,医院网络管理人员要掌握最先进的技术,把握住医院网络安全的大门。
五、参考文献
[1] 李国栋,刘克勤。Internet常用的网络安全技术。现代电力。2001. 11. 21
[2] 肖义等,PKI网络安全平台的研制与开发。2002. 1.23
篇4
关键词:铁路网络;信息;安全风险;管理措施
目前,我国已经进入信息网络技术普及的时代中,在信息技术应用越来越广泛、作用越来越强大的同时,铁路运输组织、服务、管理、建设等多方面的发展逐渐依赖于信息技术与网络技术,目前铁路生产与管理已经进入智能化、管控一体化的管理模式中,因此,信息与网络的安全性对铁路发展有着至关重要的影响。但是随着信息化越来越强烈,存在的风险越来越多,这对铁路发展无疑是一种严重的威胁,下面对控制网络与信息安全风险提出了几点参考建议。
一、信息安全管理体系结构
信息安全风险管理体系结构模型主要由技术、管理以及系统生命周期三大要素组成的三维模型。而信息安全是由信息安全技术与信息安全管理共同参与保护工作而实现的,信息安全技术的保护作用在于对信息安全保护采取的有效技术措施,而信息安全管理的作用主要在于对信息安全技术实施与运行过程中进行科学管理,促使信息安全技术发挥最大作用。随着信息安全风险越来越多,需要不断提高信息安全技术实施与运行能力,更重要的是加强信息安全管理,从政策、法律、技术、人员等方面进行全面管理,为保证信息安全采取有效的应对措施。
1、技术要素
在技术要素中主要含有环境、系统、网络、应用四个技术方面。铁路信息系统建设过程中,环境安全是保护信息系统安全的基础与屏障,对于机房环境安全要求非常严格,从机房建设过程开始就需要对机房地址、周边环境等方面进行考虑,特别是对防火、防雷击、防渗水、防鼠害等多种对机房安全有影响的因素全部考虑在内,同时还要加强对机房维护与管理等方面工作的考虑。值班人员管理、设备管理、电源管理、机房询问控制以及机房保密等方面中都会存在安全风险,因此需要对其采取相应的管理措施,来降低风险发生几率,保障信息安全。
系统主要是由硬件、软件以及数据组成,加强系统安全,首先要确保硬件安全、软件安全以及数据安全,一旦发生安全风险,就会使数据遭到破坏、更改、泄露等风险出现,因此,需要加强对其安全保护,保证数据安全、促使系统正常运行。网络是数据传输、分析、处理等方面的重要渠道,要对网络安全加以重视,网络安全是可以保证信息安全的基础,因此,需要对其加强管理,要从结构、访问、审计、设备、代码、病毒等方面进行全面加强防范措施。应用系统是实现信息权限管理的重要技术,具有赋予、变更、撤销等重要信息应用功能,因此,加强应用系统安全管理有一定的必要性。首先要完善专用用户登录识别功能;其次要提高访问控制功能;再次需要对重要信息进行加密保管;还要保证数据完整性,加强密码技术功能应用;最后要对资源进行合理控制,限制使用额度。
2、管理要素
信息安全风险管理效果与铁路内部组织结构、管理制度以及人员管理有着直接的关系,没有完善的组织结构,相应的管理制度,会使内部管理混乱,进而发生信息安全管理不得当,同时技术人员的技术水平以及个人素质等因素都会造成信息泄露、丢失等风险存在。因此,必须建立完善的组织结构,铁路信息系统的安全要在组织结构方面得到安全保证。铁路信息安全管理应建立由上级领导层、中级管理层、下级执行层三个层面的管理组织机构,并制定完善的管理制度,落实到实际工作中,加强技术人员的培训,以提高技术人员专业水平以及综合素质为目的,优化整个信息安全管理部门,促使铁路信息安全风险管理得到保证。
3、系统生命周期要素分析
设计阶段的安全风险管理过程应对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据。应详细评估设计方案中对系统可能面临威胁的描述,将使用的具体设备、软件等资产及其安全功能需求列表。基于设计阶段的资产列表、安全措施,实施阶段应对规划阶段的安全威胁进行进一步细分,同时评估安全措施的实现程度,从而确定安全措施能否抵御现有威胁、脆弱性的影响。运行维护阶段的风险评估应采取定期和非定期两种方式;当组织的业务流程、系统状况发生重大变更时,也应进行风险评估。
二、采取措施建议
在信息系统规划、设计阶段,应对信息系统的安全需求进行分析,同步规划、设计信息系统的安全等级和保护措施,建立安全环境,从源头上保障信息安全。对已定级的信息系统,应严格按照等保要求进行区域划分、边界防护、访问控制、安全审计及安全管理。构建一个全路信息系统可视化管理平台,对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局监控,提高对系统中安全问题及其隐患的发现、分析和防范能力。建立全路统一的身份认证与授权机制,对各信息系统的用户进行统一管理,确保信息在产生、存储、传输、处理过程中的保密性、完整性、抗抵赖性和可用性。
铁路网络与信息安全风险管理,不仅仅是从加强技术或者管理任意一方面就可以实现的,而是需要对信息技术与安全管理相结合,共同完善信息安全风险管理。加强对信息技术内部结构的保护,从硬件、软件、数据、加密手段、权限管理手段等多方面进行安全防护,控制系统安全风险发生,同时还需要加强信息外部管理,从建设、人员、操作、管理等方面进行管理,保证铁路网络与信息安全,降低风险发生,为铁路发展提供信息安全保障。
参考文献:
篇5
关键词:网络安全;系统;攻击
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)18-4324-02
网络安全是网络正常运行的前提。网络安全不仅是单点的安全,还是整个信息网络的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。
目前,造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性,导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞,成为被攻击的目标。
1 网络模拟攻击的过程
1.1 信息的收集
信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。攻击者会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息:
1) TraceRoute程序能够用获得到达目标主机所要经过的网络数和路由器数。
2) SNMP协议用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。
3) DNS服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。
4) Whois协议的服务信息能提供所有有关的DNS域和相关的管理参数。
5) Ping实用程序可以用来确定一个指定的主机的位置或网线是否连通。
1.2 系统安全弱点的探测
在收集到一些准备要攻击目标的信息后,攻击者会探测目标网络上的每台主机,来寻求系统内部的安全漏洞,主要探测的方式有如下两种:
1) 慢速扫描
由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描。针对这一漏洞,完全可以通过使用扫描速度慢一些的扫描软件逃避侦测。
2) 体系结构探测
攻击者利用一些特殊的数据包传送给目标主机,使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的,\客利用这种特征把得到的结果与准备好的数据库中的资料相对照,从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。
1.3 拒绝服务攻击
拒绝服务攻击是攻击者加载过多的服务将对方资源全部占用,使得其没有多余资源供其他用户无法使用。SYN Flood就是典型的拒绝服务攻击。
SYN Flood常常是源IP地址欺骗攻击的前奏,每当我们进行一次标准的TCP连接,就会经历一个“三次握手”的过程。而SYN Flood只实现“三次握手”的前两个步骤,当服务方收到请求方的SYN并回送SYN-ACK确认报文后,请求方由于采用源地址欺骗等手段,致使服务方得不到ACK回应。这样,服务方会在一定时间内处于等待接收请求方ACK报文的状态,一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器的系统可用资源、网络可用带宽急剧下降,将无法向其它用户提供正常的网络服务。
1.4 协议欺骗攻击
1) 源IP地址欺骗攻击
许多应用程序都认为若数据包沿着路由到达目的地,并且应答包也可回到源地,那么源IP地址一定是有效的,而这却可以被源IP地址欺骗攻击所利用。
假设同一网段有A和B两台主机,A给B赋予了某些特权。另一网段的C主机为了获得和B一样的特权,而对A采取了欺骗攻击。首先,C会代替B给A发送一个请求,然后A给B发送一个应答。但是,这时的B正遭到C实施的拒绝服务攻击,导致服务失效。为了完成通信的“三次握手”,C还需要回复A的应答。由于不在一个网段,C只能利用TCP顺序号估算法来预测应答包。如果猜对了,它就成功获得了特权。
2) 源路由欺骗攻击
通常,信息包从起点到终点所走的路,是由位于此两点间的路由器决定的。源路由可使发送者将此信息包要经过的路径写进数据里,使信息包循着一个对方不可预料的路径到达目的主机。
假设主机A享有主机B的某些特权,主机C想冒充主机A从主机B获得某些服务。首先,攻击者修改距离C最近的路由器,使得到达此路由器且包含目的地址的数据包,以主机C所在的网络为目的地。然后,攻击者利用IP欺骗向主机B发送源路由数据包。当B回送数据包时,就传送到被更改过的路由器。这就可以假冒一个主机的名义,通过一个特殊的路径来获得某些被保护数据。
2 网络安全风险概要分析
2.1 对网络结构的分析
网络拓扑结构设计直接影响到网络系统的安全性。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。假如在外部和内部网络进行通信时,网络系统中办公系统及员工主机上都有信息,假如内部网络的一台电脑被攻击或者被病毒感染,内部网络的安全就会受到威胁,同时也影响在同一网络上的许多其他系统。影响所及,还可能涉及法律、金融等安全敏感领域。
因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时,改变基于地址的信任策略,不允许r类远程调用命令的使用。使用加密方法,对网内相互传递的信息包进行加密处理,以屏蔽来自外网的各种欺骗性的攻击。
2.2 对操作系统的分析
所谓系统的安全,是指整个网络操作系统和网络硬件平台是否可靠且值得信任。操作系统要做到绝对安全,就目前来讲是很难达到的。无论是微软的Windows NT还是任何商用的UNIX操作系统,其开发厂商必然有其后门。因此,我们应该从不同的方面需求对网络作详尽的分析,以选择安全性尽可能高的操作系统。
不单要选用尽可能可靠的操作系统和硬件平台,而且还要对操作系统进行安全配置,必须加强登录过程的认证(特别是在登录服务器主机之前的认证),确保用户的合法性。另外,还应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
2.3 对应用的分析
应用系统的安全跟具体的应用有关,它涉及面广。由于应用系统的安全是动态的、不断变化的,这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等应用的安全。以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有Sendmail、Netscape Messaging Server、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。
根据模拟攻击下,通过系统检测工具日志,对模拟攻击做出分析,发现系统中存在的漏洞。修补隐藏的漏洞,提高系统的安全性。
2.4 管理的安全分析
管理是网络安全重要的部分,责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时,例如:内部人员的违规操作等,就会无法进行实时的检测、监控、报告与预警。同时,当事故发生后,更无法提供黑客攻击行为的追踪线索及破案依据。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合,保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络。
3 网络安全的实际风险分析
通过模拟攻击,进行网络安全分析存在很多的局限性。在实际中,随着网络发展和编程技术的进步,黑客的各种攻击手法也是层出不穷,很难做到一定时期内的不变。基于现今网络攻击最常用的手段和特点,本文总结出网络安全中存在的威胁,主要表现在以下几个方面:
3.1 非授权访问
指黑客,对网络设备及信息资源进行非正常使用或越权使用。给用户造成的损失表现为:商业机密泄露、用户个人资料被复制,以及账户资金被盗等,同时,也会给该用户带来进一步的安全风险。
3.2 冒充合法用户
主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到非法占用或访问合法用户资源的目的。通常,它是非法访问的前沿工作。
3.3 破坏数据的完整性
指使用非法手段,删除、修改、重发某些重要信息,直接干扰了用户的正常使用,严重的话,还会破坏整个网络系统的正常工作,造成的损失无法估量。
3.4 干扰系统正常运行
指改变系统的正常运行方法,减慢系统的响应时间等手段。通常情况下,黑客都是在非法访问后,在目标主机上种植木马程序来完成的,用以干扰目标主机安全防护软件的正常工作,或是纯粹的恶作剧。
3.5 病毒与恶意攻击
指通过网络传播病毒或恶意Java、XActive等。这种方法是现今互联网上最常用攻击手段,攻击者通过在网页上设置木马程序,或是发病毒邮件等,把恶意代码程序植入其他主机系统内,以达到非法访问、窃取数据等目的。
3.6 线路窃听
指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。该安全隐患,主要是网络结构设置上的漏洞和安全管理不到位造成的。窃听利用的主要媒介是路由器或网关。由于网络化的普及,一些企业和机构网络设计只侧重于简洁性,网络节点使用无线路由,同时常不做任何加密设置,从而给不法分子造就了可乘之机。
4 结论
针对攻击的网络安全分析,除了对网络设计、操作系统、应用软件,以及相关管理重点关注外,还应该注意计算机的使用规范、防火墙软件和硬件设置等问题。良好的操作习惯,应该尽可能地减少计算机的无用负载,远离那些可能存在危险的资源(例如:免费资源网站,以及来历不明的邮件等),保持系统正常的运行状态,从而减少和黑客接触面,降低系统资源受侵害的几率。
参考文献:
[1] 吕慧颖,曹元大,时萃霞.基于网络攻击模拟的网络安全风险分析方法[J].北京理工大学报,2008(4).
[2] 谢丽果.计算机网络安全风险分析与解决方案[J].现代经济信息,2010(3).
[3] 张永正.网络安全风险分析与需求分析[J].电脑知识与技术,2009(6).
篇6
关键词:网络安全 常见风险 应对策略
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)12-0000-00
计算机的广泛普及与应用将人类推到到了一个全新的互联网时代,尤其是计算机网络的普及[1],全面开放的网络时代,人们也越来越重视起网络的安全。
1 网络安全的风险因素
1.1使用的软件存在安全漏洞
每一款软件的开发都会随着产生一个版本的操作系统,然而并没有一个软件是百分之百完美无缺没有安全漏洞的,目前发生过的极大多数的计算机网络安全事件全部都与软件漏洞有联系,生活中的专业黑客群体利用计算机系统编程中微小错误,进行一切他们像做到的事情,缓冲区溢出是生活中最普通常见的一种软件漏洞, 也是一种相对比较复杂的错误。软件系统的开发工作的人员经常会提前分配出一定量的临时的内存空间,我们称之为一个缓冲区,用来保存一些特殊的信息,但是,如果代码并没有仔细认真的将把要储存的信息大小同保存它的空间大小进行对比和检查,那么这个存储信息的空间就会存在被覆盖的可能,专业熟练的黑客输入精心组织过的数据就能轻而易举的导致系统程序的丢失以及系统整个的瘫痪。
1.2黑客
随着互联网时代的到来,越来越多的网络用户开始依赖计算机网络为其提供便利的生活服务,完成日常生活的工作,计算机网络上的黑客攻击事件也随之不断发生,黑客造成破坏的影响与越来越大,由于黑客攻击技术的不断进步,黑客可以比较容易的利用分布式攻击工具就能够轻而易举的发动拒绝服务的攻击,然后筛选潜在的受害者,从而达到破坏整个安全系统。黑客攻击的技术前提就是软件以及系统的安全漏洞,黑客利用这些漏洞引发一系列的网络安全问题,因为内部操作系统存在漏洞的不安全软件每年都会被发掘,这时就需要网络安全管理员运用最新的技术手段就行软件漏洞的修复,然而黑客往往在商家修复漏洞前找到漏洞并发起攻击,进行非法的侵入,盗取重要的私人信息,造成整个社会的经济损失。
1.3计算机病毒
计算机病毒是一种在人为或者非人为的情况下产生的,在网络用户不知情或者不允许的前提下,自我复制或者运行的计算机程序,计算机病毒往往会影响受感受计算机的正常运行,病毒通常会自动利用电子邮件进行传播,利用某一个对象为漏洞,将病毒自动复制并群发给计算机中存储的名单成员,计算机感染上病毒后,感染程度轻的计算机会出现工作效率下降,严重的会造成计算机系统死机或则毁坏的情况,计算机中的部分或则全部数据丢失,甚至会造成计算机主板部件的损坏。
2 风险处理方法
2.1防火墙技术
防火墙技术是指计算机网络与网络之间的通过预定义的安全方法[3]。对于内网与外网的通信进行强制性的开展访问限制的安全应用举措,它对两个或者多个网络之间的信息传输按照一定的安全程序来进行检测,用以决定网络之间的信息传输是否被允许,并同时监控网络的实时运行状态,依据外部环境的不同,防火墙对流经它的网络通信也进行仔细的扫描,这样不仅可过滤多一定数量的攻击,还可以计算机用户在使用网络时被攻击,防火墙不仅可以关闭人们币使用的计算机端口,还能够禁止特定的计算机端口流出私人信息。当计算机用户终端发生一系列可疑的举动时,防火墙还可以适时的报警,并提供出用户的计算机网络是否受到监测和攻击的详细信息。
2.2信息数据的加密
信息数据加密就是将计算机中数据通过加密技术转变成表面上毫无章法可言的乱码数据,只要当事人本人才能恢复其数据的原来真是的面目,而这些乱码对于非法盗窃的使用者来说,转化后的数据也只是一些毫无联系的数据,工作人员称这些原始的数据为明文,将经过加密保护的数据称为密文,把明文转化成密文的过程称为加密,而把密文转化成明文的过程称为解密[4],就算用户的信息被盗用,非法的使用者得到的也只是一对茅屋联系以及逻辑性的乱码而言。
2.3定期检测系统是否安全
计算机网络时常被黑客入侵归根结底还是由于计算机网络用户缺少一套完整的切实有效的预防管理计算机的系统,只有比非法入侵者更快更早的发现漏洞并及时修复漏洞,才能池底的避免再次受到非法入侵者的攻击,定期进行漏洞扫描,及时发现计算机的漏洞问题所在,并立刻进行安全修复并长期维护,就可以真正从根本上保护计算机网络的信息安全。
3结语
总而言之,计算机网络安全问题成了互联网时代最重要的话题,只有网络安全人们才可以放心大胆的进行一系列的商业活动,才可以推动整个时代的发展和进步。
参考文献
[1]于治新.企业网络安全风险分析及可靠性设计与实现[J].吉林大学,2013.
[2]冯妍.网络安全风险评估系统的研究与设计[J].西北大学,2012.
篇7
按照文件要求,市委网信办对照工作职责,认真排查梳理了我市网络安全风险点,逐项建立完善工作机制,现汇报如下:
1.网络安全风险研判工作:制定了《网络安全事件应急预案》,明确了由于人为原因、软硬件缺陷或故障、自然灾害等对网络和信息系统或其数据造成危害引发负面影响的事件的分析和处理。
2.网络安全风险决策评估机制:成立了网络安全和信息化领导小组,对全市网络安全工作统筹指挥。制定了《网络安全和信息化委员会工作规则》,明确网络安全工作职责和工作制度。
3.网络安全风险防控协同机制:组建了网络安全专家小组,努力应对新形势下网络安全错综复杂的局面,提高网络安全保障水平。实施网络安全事件应急处置联席会制度,对全市网络安全事件的进行预防和应急处理。
4. 网络安全风险防控责任机制:下发了《贯彻落实<党委(党组)网络安全工作责任制实施办法>责任分工方案》,明确责任主体和责任分工,提高网络风险防范防控意识和能力。
篇8
一、高度重视,迅速贯彻落实
通过召开专题会议、发送微信通知,及时将上级的文件精神传达给每位干部职工,让全体党员干部充分认识到做好当前网络信息安全保障工作的重要性和必要性,并作为当前的一件头等大事来抓,确保网络安全。
二、强化管理,明确责任
为进一步完善网络信息安全管理机制,严格按照“谁主管谁负责、属地管理”的原则,明确了第一责任人和直接责任人,加强对本单位的内部办公网及其它信息网站的监督管理,防范黑客的入侵。严禁传播、下载、发表一切不利于党和国家的信息资料,坚决制止违纪违规行为发生,确保网络信息安全。按照上级要求,迅速成立了网络安全工作小组,负责网络安全应急工作,组织单位有关方面做好应急处置工作,组织开展局域网络安全信息的汇集、研判,及时向县网信办报告。当发生重大网络安全事件时,能及时做好应急响应相关工作。由办公室负责本区域网络安全事件的监测预警和应急处置工作,分管副局长为网络安全工作小组的副组长,负责办公室。建立了本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好网络信息安全保障职责。
三、信息报告与应急支持
1.积极响应上级领导的有关要求,实时观测本区域网络安全信息,努力做到有效应对网络安全事件,一旦发生重大安全网络事件及时向县网信办报送网络安全事件和风险信息,并及时上报相关部门,积极配合协同做好应急准备工作或处置。
2.积极建立健全本系统、本部门、本行业重大网络安全事件应急响应机制。应急处置时,需要其他部门、行业或技术支撑队伍支持的,一定及时报请县网信办协调,同时配合其他部门尽快解决。
四、细化措施,排除隐患。
办公室将对对全局的网络设备、计算机进行一次细致的排查。检查安装桌面终端安全管理系统和杀毒软件,确保桌面终端安全管理系统注册率和360杀毒软件覆盖率达百分之百。对于在检查中发现的问题或可能存在的安全隐患、安全漏洞和薄弱环节,立即进行整改。进一步完善相关应急预案,落实应急保障条件。杜绝出现违规“自选动作”,遇重大突发敏感事件,一律按统一部署进行报道。各科室要严把网上宣传报道导向关,严格规范稿源,不得违规自采,不得违规转裁稿件,不得擅自篡改标题。严格网上新闻报道审校制度,防止出现低级错误,同时加大了对新闻跟帖的管理,组织本单位网评员积极跟帖。
五、应急值守
1.单位网络安全应急负责人、联系人要保持网络畅通,及时接收风险提示、预警信息和任务要求,并按要求报告相关情况。负责人、联系人名单或联系方式有调整的,及时函告县网信办。
2.值班期间,实行每日“零报告”制度,每日下午17:00前,报送当天本部门网络安全运行情况、受攻击情况和事件情况,一旦发生网络安全事件,立即启动应急预案,迅速应对,有效处置,并按规定程序及时报告有关情况。
六、工作要求
篇9
本报讯 7月4日,2013年中国计算机网络安全年会在内蒙古呼和浩特市召开,工业和信息化部总工程师张峰出席会议并致辞。
张峰指出,我国互联网持续快速发展,融入到经济社会的方方面面,成为推动国民经济和社会发展、改变人民群众生活方式的关键行业和重要领域,同时我国网络安全的现状不容乐观。一是在公共互联网环境方面,黑客攻击的趋利性特征日益明显,不法分子以通信网络、信息系统以及用户信息和财产为目标,利用黑客技术发起网络攻击牟取非法利益,逐步形成组织严密、分工明确的互联网地下产业。二是移动互联网、物联网、云计算、微博客等新技术新业务不断涌现,在带来新的经济增长点的同时,也带来更加复杂的网络安全问题。三是随着信息技术在铁路、银行、电力等重要行业的广泛应用,以及核设施、航空航天、先进制造等重要领域工业化与信息化深度融合,这些行业或领域的系统数据和运行安全也面临着严重威胁。
张峰简要回顾了近年来工业和信息化部在维护网络安全方面开展的工作,并对信息通信行业进一步做好网络安全工作提出五点要求。一是加强网络安全工作联动,深化跨部门跨行业协调配合,完善部门之间、政企之间的联动机制,真正建立起运转灵活、反应迅速的工作机制和流程。二是要求基础电信企业和广大互联网企业认真开展安全评测和风险评估,不断完善网络安全应急预案,加强应急演练,加强对移动互联网应用商店、增值电信业务经营者的网络安全管理,继续开展针对各类安全威胁的清理和处置,净化公共互联网网络环境。三是加大科研投入,提高应对网络安全新风险的能力,加大对网络安全防御体系的研究,形成网络空间威胁监测、全局感知、预警防护、应急处置、协同联动等核心能力,提升国家网络空间安全保障的技术能力。四是加强网络安全国际交流与合作,增进与其他国家间维护网络安全的战略互信,扩大网络安全领域的互利合作,拓展互联网治理的交流协作机制,建立政府、研究机构、行业组织以及企业之间多层次、多渠道的交流机制,共同维护全球网络空间安全。五是希望相关企业、安全厂商和社会组织等共同努力,加强网络安全宣传教育,促进全社会网络安全防范意识与知识水平提高。(周寿英)
篇10
1.1网络安全的需求
对于使用网络的业务人员来说,良好的网络应该包括这样几个方面:①通过简单配置甚至无配置即可使用;②通过网络可以获取更多的信息,使用更多的应用;③不用担心病毒、木马、数据泄露、数据丢失、断网等故障。而对于网络的管理维护人员来说,他们更加关注:①易于操作、维护,能够实现集中操作、自动操作;②系统结构具有足够的弹性,方便进行扩容或者升级;③可以快速地分析解决故障,并对原因进行分析、追溯;④对病毒、木马、各种网络攻击行为具有良好的抵抗力。
1.2网络安全策略
基于以上的分析,一套完整可行的网络安全策略应该包括这样几个方面:①利用软硬件应对病毒、木马、网络攻击、断网、断电、火灾等设备故障和环境故障;②建立统一的管理平台,对各种网络设备进行集中管理、自动扫描,实现可视化操作、提供各种故障警报、攻击警报,提高故障响应速度;③在不同功能的网络设备间建立有效隔离,避免彼此之间直接进行数据交换。各种服务的前后台建立隔离措施,控制非法访问;④加强合法用户的权限认证、口令认证,对网上服务请求内容进行控制;⑤加强对各种访问的审计工作,详细记录对网络、服务器的访问行为,形成完整的系统日志;⑥强化系统备份,实现系统快速恢复。
2网络系统安全风险分析及应对
网络安全通常包括以下五个方面:①物理硬件安全;②结构安全;③系统平台安全;④应用安全;⑤管理安全。
2.1物理硬件安全风险分析及应对
保证设备的物理安全是系统安全的前提,即保护设备免遭地震、水灾、火灾等环境事故、突发状况导致设备破坏等问题。它主要包括三个方面:①环境安全:对系统所在环境的安全保护(参见GB50173-93《电子计算机机房设计规范》、GB9361-88《计算站场地安全要求》);②设备安全:主要包括设备的防盗、防毁、防电磁信息辐射、防线路截获、抗电磁干扰及电源保护等;③数据安全:包括数据的安全及数据存储设备本身的安全。应对物理安全风险的基本思路就是“冗余”。随着网络机房等级的提升,对设备部件、设备乃至设备机房进行冗余设计,并通过技术手段实现数据同步、自动倒换,以规避物理安全风险。
2.2网络结构的安全风险分析及应对
网络结构的安全涉及到拓扑结构、路由状况。随着网络设备的增多,网络的复杂度是呈几何级数增长的。良好的网络拓扑结构、路由设计可以保证维护人员快速、准确的对各种故障进行定位、响应、处理,缩小网络故障对公司业务的影响,同时提供足够的弹性以容纳新设备的使用。从某种意义上来说,网络结构的安全风险是不可逆的。必须在网络设计阶段就进行考虑以规避风险。具体来说,包括这样几个方面:①专用网和通用网分开,例如监控网络和办公网络的分离;②将网络设备分为“内网接入”“核心交换”“数据交换”“外网接入”等不同的类别,彼此间均通过核心交换进行互联,禁止直接数据交换;③对服务器的使用尽量实现前台访问响应和后台数据库服务、内网应用和外网应用的分离;④在网络中使用防火墙进行安全控制,使用上网行为管理设备对网络使用人、业务、时间等进行控制。
2.3系统平台的安全风险分析及应对
这里所说的系统并不仅仅指通常意义上的用于服务器、计算机等终端的Linux、Windows等操作系统,还包括各种交换机和移动端设备内的操作系统(Android、IOS等)。其中的风险主要在于这类大型软件普遍存在的系统漏洞、系统后门。虽然这类风险也无法避免,但是我们可以通过建立统一网络管理软件平台,利用网络安全评估风险软件对网络安全进行定期自动扫描,确认网络状况,通过权限认证、访问日志审计、定期备份等管理手段来应对各种网络故障,提高系统的安全性。网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞。这类软件至少应具备以下功能:①网络监控、分析和自动响应;②漏洞分析和响应;③配置分析和响应;④远程连接设备。
2.4应用的安全风险分析及应对
应用系统的安全跟具体的应用有关。这导致应用的安全风险是动态的、不断变化的,通常涉及机密信息泄露、未经授权的访问、破坏信息完整性和可用性等安全问题。虽然面对多种的应用进行单独的安全控制是不可能的,不过通过对系统平台的安全设置,可以对应用的安全风险进行控制,降低其破坏性。这从另一个方面说明了网络系统安全风险控制的必要性。
2.5管理的安全风险分析及应对
任何软硬件都是需要人使用及管理,由此推知“管理是网络安全中最重要的部分”。必须建立各种管理制度来规范对网络的使用、管理。需要建立诸如《机房出入管理制度》《系统维护制度》《设备操作规程》《故障应急处理预案》《用户授权实施细则》《口令字及账号管理规范》《权限管理制度》等管理制度。在制度建立时,需要注意遵循“多人负责原则”“任期有限原则”“职责分离原则”。
3结语
