引論:我們為您整理了1篇網絡信息安全論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
網絡信息安全論文:計算機網絡信息安全保密問題的研究
近年來網絡個人信息泄露事件頻發,給個人和社會都造成了不良影響。計算機網路信息安全保密不到位是產生這一問題的主要原因。要想保障網絡信息的安全,就必須認真分析產問題的原因,并據此采取針對性的解決措施。
1影響網絡信息安全保密的主要因素
信息網絡自身的脆弱性和信息安全技術發展的滯后性是產生網絡信息安全問題的根本原因。現階段,主要由以下幾種因素能夠對網絡信息安全保密造成影響。
1)黑客攻擊:
計算機網絡的較大威脅來自于黑客攻擊。黑客攻擊有兩種形式,包括非破壞性攻擊和破壞性攻擊。信息的完整性和有效性被某種方式選擇性的破壞是破壞性攻擊的特點,這種攻擊的目的在于破壞信息。在對網絡正常工作造成影響的情況下,通過破譯、竊取、截獲而獲得重要機密信息是非破壞性攻擊的特點。計算機網絡在受到這兩種攻擊時會產生極大的危害,進而造成機密信息被泄露。
2)人為因素:
網絡安全的威脅還來自于內部人員破壞網絡系統、更改網絡配置和記錄信息、內部非授權人員有意無意偷竊機密信息、用戶與別人共享網絡資源或將自己的賬號轉借他人、用戶選擇口令不慎、資源訪問控制設置不合理、操作員安全配置不當等人員因素。
3)計算機病毒:
具有自我復制能力,通過在計算機程序中擾亂功能或者毀壞數據影響計算機使用的計算機指令或程序代碼是計算機病毒。可執行性、破壞性、隱蔽性、潛伏性、傳染性是計算機病毒的重要特點,能夠隨著軟硬件的發展而不斷升級和變化。計算機病毒的變化能力、適應能力、破壞能力、傳播能力因信息網絡規模的日益擴大和計算機技術不斷發展而不斷得到強化,人們越來越難以防范計算機病毒,國家信息網絡安全因此而受到嚴重威脅。
4)預置陷阱:
預置一些可對系統運行造成干擾、破壞的程序或者竊取系統信息的“后門”于計算機系統的軟硬件中行為就是預置陷阱,硬件制造商或軟件公司編程人員為了自便而設置了這些“后門”,人們通常不會發覺。在需要的時候,硬件制造商或者軟件編程人員會通過“后門”進入系統而無需進行安全檢查,在沒有獲得授權的情況下對系統進行訪問或者實施對事先預置好的程序的激活操作,最終造成對系統運行的破壞。
5)電磁泄漏:
計算機技術的廣泛應用促進了信息的計算機系統存儲和信息的計算機網絡傳輸的實現。同其他電子系統一樣,計算機系統也會發生電磁泄漏問題。電磁輻射不同程度地存在于網絡端口、傳輸線路、打印機、鍵盤、顯示器、計算機主機等,原來的信息能夠被這些泄露的電測信息還原。實踐證明,如果計算機在沒有采取防范措施的情況下工作,其內容可以在一千米之內被普通計算機和截收裝置抄收,當前已經有很成熟的技術能夠竊取顯示其內容。
2網絡信息安全保護防范對策
高技術的網絡攻擊手段需要高技術的防范措施來制衡,網絡信息安全才能夠得到保障。根據現階段影響計算機網絡信息安全保密的內容,要使網絡信息的安全保密得到保障,就應當雞西幾個方面管理使用網絡。
1)嚴格行政管理、加強法律監督
及時,加強人員管理。人的管理和技術時計算機網絡信息安全保護的核心問題。因此,要實現計算機網絡信息安全的有效治理,就應當先對人的因素進行考慮。內部人員存在問題是國內外大量危害計算機網絡信息安全事件的根本原因,所以有必要對相關人員進行定期培訓和教育,提升他們的職業道德水平和思想品質。此外還應當對相關規章制度進行建立健全,提升對內部人員性的監督管理水平,從根本上對非法入侵和非法訪問進行預防。,還應提升計算機網絡信息技術人員的守法意識和職業能力,使他們在工作中能夠自覺規范自身的行為并且有效保障計算機網絡信息安全。第二,對安全管理體制進行健全。制度是機制的載體,機制的完善有賴于規章制度的高效運作。密鑰管理、訪問控制管理、運行管理、鑒別管理、資源管理是網絡信息安全管理機制的主要內容。進行每一項管理的過程中都應當實現制度的嚴格遵守。實踐中應當通過對在職人員安全意識的強化,使管理責任和目標得到明確。在工作中執行職責分工原則,使得各項有關安全制度得到有效貫徹。為有效實施計算機網絡信息安全管理,應當使各個層次的安全工作機制得到有效建立,進而為工作活動提供依據。第三,強化信息安全法規建設。為了和信息化發展相適應,責任部門應當從實際應用基礎和安全技術標準出發,對相關計算機網絡信息安全保密的法規、制度進行不斷完善,為計算機網絡信息安全管理提供依據。相關計算機網絡信息安全保密法規、制度應當具有穩定、嚴密、科學、宏觀的特點,對相關實體、用戶、信息主體的職責和權力以及安全保密檢查管理部門的職責和權力進行明確。應當設置科學制度對信息的使用、保管、形成過程進行規范,并確保其得到有效落實。對于危害計算機網絡信息技術保密安全的違規違法行為,相關法規和制度應當強化行為人的責任,加大處罰力度,提高責任人的違法違規成本。技術性強是計算機信息網絡安全保密的重要特點,因此需要制定和完善相關的技術法規。要保障計算機網絡信息的保密、及時、、完整,就必須對相關法律法規進行望山,嚴厲追究違法者的責任。
2)加強技術防范
及時,采用訪問控制策略。防止網絡資源被非法訪問和非法使用是訪問控制的主要任務。作為保障網絡安全重要的核心策略,它包括多項內容,具體有網絡終端及階段安全控制、網絡監測和鎖定控制策略、網絡服務器安全控制策略、屬性安全控制策略、目錄安全控制策略、操作權限控制策略、入網訪問控制策略。它的實現技術包括網絡簽證、基于目的的地址過濾管理、基于資源的集中式控制等。
第二,采用身份鑒別技術。驗明信息或用戶的身份是鑒別的目的,該技術是在識別實體身份的基礎上,對實體的訪問請求進行驗證或為信息達到和來自指定目的和源提供保障。信息的完整性能夠通過鑒別技術得到驗證,重演、非法訪問、冒充也可因此而得到避免。通信以鑒別對象雙方相互鑒別和消息源鑒別是為依據對鑒別技術做的分類;消息內容鑒別和用戶身份鑒別是以鑒別對象為依據對鑒別技術做的分類。實踐中有很多鑒別方法:通過鑒別碼對消息的完整性進行驗證;通過訪問控制機制、密鑰機制、通行字機制對用戶身份進行鑒別;通過單方數字簽名鑒別消息源、鑒別訪問身份、鑒別消息完整性;通過收發雙方數字簽名同時鑒別收發雙方身份和消息完整性。
第三,傳輸與存儲加密技術。線路加密和脫線加密是傳輸加密技術的兩種形式。從起點到終點數據始終以加密形式存在是脫線加密的特點,在該種形式下數據只有在到達終端后才會被解密,使加密系統的同步問題得到了有效避免。容易維護、容易實現、容易控制成本是脫線加密的特點。不考慮端口的信息安全,只對網絡線
路進行加密是線路加密的特點。密文存儲和存取控制是存儲機密技術的兩種分類,防止信息在存儲過程中泄密是它的主要目的。為防止客戶非法竊取數據信息或越權使用數據信息,而對用戶的資質和使用權限進行嚴格審查是存取控制的主要內容。而加密模塊、多層加密、算法轉換則是密文存儲的主要內容。 第四,密鑰管理技術。密鑰管理是計算機網絡數據信息加密的主要表現方式,黑客竊取信息的主要對象就是密鑰,磁盤、磁卡、存儲器是密鑰的媒介,對蜜月的更換、保存是管理密鑰的主要內容。非對稱密鑰和對稱密鑰是密鑰技術的兩種分類。數據解密和加密是一致的,在不泄露雙方密鑰的情況下,數據安全就不會受到威脅是對稱密鑰的特點,郵件加密現階段就是使用的這個技術,AES、DES是應用最多的對稱密鑰。數據的解密密鑰和加密密鑰不通用是非對稱性密鑰的特點,保密密鑰和公開密鑰是其兩種分類,在非對稱性密鑰中數據的穩定性和性得到了有效提升。
第五,采用數字簽名技術。篡改、冒充、偽造等安全問題能夠通過數字簽名機制提供的鑒別方法得到解決。一種數據交換協議被應用于數字簽名中,它要求兩個條件能夠被收發數據雙方滿足。兩個條件是:發送方所宣稱的身份能夠被接受方鑒別;自身發送過數據這一事實無法被發送方否認。對稱加密技術很少應用于數據簽名中,將整個明文被發送方加密變換得到的值作為簽名。接收者解密運算發送者的簽名時需借助公開密鑰,若結果為明文,則簽名有效,進而證明對方身份真實。
第六,采用反病毒技術。消除病毒、檢測病毒、預防病毒是反病毒技術的三種分類,內存中常駐反病毒程序能夠實現對系統的優先監控,進而對系統中是否存在病毒進行判斷和監視,實現對計算機系統中進入病毒的有效預防,使計算機系統免遭破壞。我們應當對病毒的嚴重性形成充分的重視,首先保障嚴格審查所有軟件,使用前必須經過相應的控制程序,其次加強對病毒軟件的應用,及時檢測系統中的應用軟件和工具軟件,避免各種病毒入侵到系統中。
第七,采用防火墻技術。將一組或一個系統用于兩個網絡之間的控制策略的強制實施就形成了防火墻。防火墻對網絡安全有效管理的實現有賴于網絡之間的信息交換、訪問的檢測和控制,防火墻的基本功能有:對非法用戶和不安全的服務進行過濾,對未授權的用戶訪問受保護網絡的行為進行控制;對特殊站點的訪問進行控制,保護受保護網的一部分主機的同時,允許外部網絡訪問另一部分的主機;對所有通過的訪問進行記錄,進而提供統計數據和預警審計功能。
3結束語
通過以上論述可知,計算機網絡信息安全保密是一項復雜而系統的工程,要是保障計算機網絡信息的安全,相關人員必須針對影響信息安全的各項因素進行分析并采取科學有效的預防措施。實踐中,相關人員應當充分認識計算機網絡信息安全保密的重要性,為保障信息安全而共同努力。
網絡信息安全論文:網絡信息安全的技術探討
有人說,信息安全就像茫茫宇宙中閃爍的星星一樣無序,看得見摸不著,具有混沌特征。過去兩個世紀來對工業技術的控制,代表了一個國家的軍事實力和經濟實力,今天,對信息技術的控制將是領導21世紀的關鍵。
隨著計算機技術的發展,在計算機上處理業務已由基于單機的數學運算、文件處理,基于簡單連結的內部網絡的內部業務處理、辦公自動化等發展到基于企業復雜的內部網、企業外部網、全球互聯網的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在信息處理能力提高的同時,系統的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時,基于網絡連接的安全問題也日益突出。本文主要從以下幾個方面進行探討。
1網絡的開放性帶來的安全問題
Internet的開放性以及其他方面因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現有的安全工具和機制的情況下,網絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結為以下幾點:?
(1)每一種安全機制都有一定的應用范圍和應用環境。防火墻是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為,防火墻是很難發覺和防范的。
(2)安全工具的使用受到人為因素的影響。一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者和普通用戶,不正當的設置就會產生不安全因素。而且安全工具也存在著自身的漏洞,不及時的更新很容易被別人利用漏洞成為攻擊的工具。
(3)系統的后門是傳統安全工具難于考慮到的地方。防火墻很難考慮到這類安全問題,多數情況下,這類入侵行為可以堂而皇之經過防火墻而很難被察覺;比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4.0以前一直存在,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而可以收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻是無法發覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,區別是入侵訪問在請求鏈接中多加了一個后綴。
(4)只要有程序,就可能存在BUG。甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用,而且這種攻擊通常不會產生日志,幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG,現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
(5)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統安全問題出現。然而安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時,其他的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
2網絡安全的防護力漏洞,導致黑客在網上任意暢行
根據Warroon Research的調查,1997年世界排名前一千的公司幾乎都曾被黑客闖入。
據美國FBI統計,美國每年因網絡安全造成的損失高達75億美元。
Ernst和Young報告,由于信息安全被竊或濫用,幾乎80%的大型企業遭受損失雅虎網站曾在黑客大規模的攻擊行動中,網絡被迫停止運行3小時,這令它損失了幾百萬美金的交易。而據統計在這整個行動中美國經濟共損失了十多億美金。由于業界人心惶惶,亞馬遜()、AOL、雅虎(Yahoo!)、eBay的股價均告下挫,以科技股為主的那斯達克指數(Nasdaq)、杜瓊斯工業平均指數因此雙雙下挫。看到這些令人震驚的事件,不禁讓人們發出疑問:“網絡還安全嗎?” ?
我國網站所受到黑客的攻擊,已經到了引起我們重視的程度了,以下事實雖然發生在過去,但是卻足以讓我們深思:?
1993年底,中科院高能所就發現有“黑客”侵入現象,某用戶的權限被升級為超級權限。當系統管理員跟蹤時,被其報復。1994年,美國一位14歲的小孩通過互聯網闖入中科院網絡中心和清華的主機,并向我方系統管理員提出警告。
2006年05月21日 黑客篡改超市收銀記錄侵占397萬余元。
2006年8月17日 17歲黑客發威,騰訊QQ網站被黑。
2006年9月21日 黑客搞亂了互聯網大會。 ?
2006年12月31日 中國工商銀行被黑。
這是web程序的漏洞,是由于程序員的疏乎所造成。這次僅僅是被人換成個“工行倒閉”,然后發給別人看,這算不了什么大不了的,也就是好玩而已。但是這個地方竟然可以嵌入html代碼,這可就太糟糕了。一旦可以用html代碼,就不是修改一點點文字,而是可以改變頁面的功能了。比如說,我們在另外一個站點放一個輸入用戶名密碼的對話框,然后用 iframe把這個頁面嵌入到工行的網站上,然后用“新年禮品”之類的方式騙別人輸入網上銀行的賬號密碼,有多少人會上當?其實問題很容易解決,一是,廣大公司能請一些精通安全編程的高級程序員來為自己量身打造web程序,二是請安全檢測公司對上線前的web程序進行安全檢測,以確保安全。
3網絡安全體系的探討
現階段為了保障網絡工作順通常用的方法如下:?
(1)網絡病毒的防范。在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的多方位防病毒產品。內部局域網需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連,就 需要網關的防病毒軟件,加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以好使用多方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過多方位、多層次的防病毒系統的配置,通過定期或不定期的自動升級,使網絡免受病毒的侵襲。
(2)配置防火墻。利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,較大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。
。(3)采用入侵檢測系統。入侵檢測技術是為保障計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在校園網絡中采用入侵檢測技術,好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
(4)Web,Email,BBS的安全監測系統。在網絡的www服務器、Email服務器等中使用網絡安全監測系統,實時跟蹤、監視網絡,截獲Internet網上傳輸的內容,并將其還原成完整的www、Email、FTP、Telnet應用的內容,建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容,及時向上級安全網管中心報告,采取措施。
(5)漏洞掃描系統。解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況,僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不現實的。解決的方案是,尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡?安全掃描工具,利用優化系統配置和打補丁等各種方式較大可能地彌補近期的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
(6)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告信息。
(7)利用網絡監聽維護子網系統安全。對于網絡外部的入侵可以通過安裝防火墻來解決,但是對于網絡內部的侵襲則無能為力。在這種情況下,我們可以采用對各個子網做一個具有一定功能的審計文件,為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序。該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況,為系統中各個服務器的審計文件提供備份。
總之,網絡安全是一個系統的工程,不能僅僅依靠防火墻等單個的系統,而需要仔細考慮系統的安全需求,并將各種安全技術,如密碼技術等結合在一起,才能生成一個高效、通用、安全的網絡系統。
網絡信息安全論文:網絡環境下金融信息安全保障體系建設的研究
對于我國的現代銀行業來說,金融機構應該迅速建立健全相關部門,如科技信息部門應該具體負責本機構信息系統的統籌規劃、開發建設和日常維護等技術方面的工作;風險管理部門專門負責信息管理系統的風險管理規章制度以及向有關部門提供相關的監管信息;審計部門則負責建立信息系統審計制度,配備相關人員進行信息的風險審計。根據金融信息標準設立安全管理機構,并進一步制定管理制度、法規與安全細則,將規范、監督、管理和指導網絡金融信息系統的建設落到實處,從信息安全管理層面切實提高安全體系防范網絡風險和金融風險的級別。
(四)構筑信息安全服務后盾
數據的存儲是重要的網絡金融研究課題,而信息數據如何存儲才可保障網絡金融服務的連續性,保障在訪問和交易過程中不會間斷甚至終止,是作為網絡金融信息安全研究學者必須要思考的問題。一旦系統發生故障,可能會出現眾多問題,比如業務中斷、客戶流失,甚至資金鏈斷裂等,隨之而來的后果便是金融企業的競爭力下降。因此,金融信息系統中的數據存儲系統要求具有較高的性。所謂的應考慮到諸多方面,比如對各級系統和數據的保護。一套完整、有效的金融信息系統,應不受硬件、軟件或者應用程序故障所帶來的影響,如果數據中心由于某些原因無法正常工作時,應提前做好準備,由另一套備份的數據中心進行接管工作,繼續維持任務的執行,當主數據中心恢復正常后,工作再轉回主數據中心進行工作。
近年來,我國越來越重視對知識產權的保護,尤其是與銀行金融業相關的自主性知識產權,如正版軟件系統或者相關的硬件產品。應大力開發適合我國銀行業金融機構的具有自主知識產權的信息系統和金融產品,并通過建立產品的平臺化和服務的平臺化等措施保護研發成果,為網絡信息安全保障體系建立強大的服務后盾。
(五)培養金融信息安全專業人才
為了更快地適應信息化所帶來的沖擊,應盡快為金融行業培養出新型人才,把合適的人放到合適的崗位,是做好金融信息化安全工作的前提。目前,金融機構中很多的技術人員是純計算機專業出身,他們沒有系統學過金融方面知識,對金融行業知之甚少,在就業后有相當長的時間無法體現出自身價值。同時,由于金融機構的行業特點,金融信息系統的運行、維護、軟硬件及數據方面的監察與維護都需要由專職技術人員專人專責,在工作過程中需嚴格按照專業規程和授權進行規范操作、定期檢查和及時維護。現如今我國金融行業的信息安全保障人員很多是由金融從業者改行過來的,在信息技術方面往往無法真正達到要求,因而影響了我國金融信息化的進程。這些現狀阻礙了網絡金融信息安全保障體系的構建。為了滿足目前網絡金融行業的快速發展,培養當今社會急需的金融信息安全人才應掌握以下方面的知識內容:首先是金融與管理相關的基礎知識,如金融學基礎、會計學基礎等;其次是信息技術相關的知識,如計算機軟件、計算機網絡技術、數據庫和金融信息系統設計等;再就是金融方向的業務知識。對于我國的金融學府來說,盡快培養出金融和計算機信息技術的交叉復合型高端人才是迫在眉睫要解決的問題。
三、結語
致力于網絡金融信息安全保障體系的構建與完善,應充分認清我們面臨的金融風險和網絡風險,采取相應措施和有效手段進行有效抵御,以增強我國金融領域信息安全的防護能力,從而確保我國的金融行業在計算機網絡環境下長久、穩定地運行。
網絡信息安全論文:計算機網絡信息安全管理工作
[論文關鍵詞] 計算機信息 安全管理
[論文摘要] 在當今的計算機網絡時代,信息作為一種重要資產起著至關重要的作用。就目前而言,信息安全問題主要包括信息泄露和信息丟失,因此,對信息資產進行妥善管理和保護非常重要。
隨著信息技術的飛速發展,計算機已普遍應用到人們日常工作、生活的每一個領域,同時計算機網絡信息安全也受到前所未有的威脅。所謂計算機網絡信息安全是指利用網絡管理控制和技術措施,保障在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。計算機網絡網絡安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,使數據免于被破壞和丟失等。邏輯安全包括信息的完整性、保密性和可用性。
1計算機信息系統存在的安全隱患
1.1計算機信息輻射產生的信息泄露
計算機及其附屬電子設備在工作時能把寄生電磁信號或諧波輻射出去,產生電磁輻射。這些電磁信號若被接收下來,經過提取處理,就可恢復出原信息,造成信息泄密。利用網絡系統的電磁輻射獲取情報,比用其他方法獲取情報更為及時、、廣泛、連續且隱蔽。計算機信息輻射泄露,主要有兩種途徑:一是被處理的信息會通過計算機內部產生的電磁波向空中發射,稱為輻射發射;二是這種含有信息的電磁波經電源線、信號線、地線等導體傳送和輻射出去,稱為傳導發射。計算機電磁輻射尤其以帶陰極射線管的視頻顯示器最為嚴重,屏幕上顯示的信息,在很遠的地方用相應的設備,不需要復雜的分析技術就可以直接接收下來。
1.2計算機存儲介質產生的信息泄露
計算機存儲介質存儲的大量的信息,包括各種保密信息,實際上成為一種以信息形式出現的資產。計算機存儲介質在存儲、傳遞信息的過程中,很容易遭受到篡改、偽造、竊取、銷毀等不法行為的威脅。由于計算機存儲介質具有信息存儲量大、復制容易且不留痕跡的特點,泄密的隱患相當大。計算機存儲介質泄密主要有以下幾種方式:一是使用過程中的疏忽和不懂技術,存儲在介質中的秘密信息在聯網交換時被泄露或被竊取,或存儲的秘密信息在進行人工交換時泄密。二是U盤、光盤等外存儲介質很容易被復制。三是計算機出故障時,存有秘密信息的硬盤不經處理或無人監督就帶出修理,或修理時沒有懂技術的人員在場監督,而造成泄密。四是介質失竊,存有秘密信息的硬磁盤等介質被盜就會造成大量的信息外泄,其危害程度將是難以估量的。
1.3網絡產生的信息泄露
由于計算機網絡結構中的數據是共享的,主機與用戶之間、用戶與用戶之間通過線路聯絡,就存在許多泄密漏洞。一是計算機聯網后,傳輸線路大多由載波線路和微波線路組成,這就使計算機泄密的渠道和范圍大大增加。網絡越大,線路通道分支就越多,輸送信息的區域也越廣,截取信號的條件就越便利,竊密者只要在網絡中任意一條分支信道上或某一個節點、終端進行截取,就可以獲得整個網絡輸送的信息。二是黑客利用網絡安全中存在的問題進行網絡攻擊,通過進入聯網的信息系統進行竊密。三是在Internet上利用特洛伊木馬技術,對網絡進行控制。
1.4管理不善產生的信息泄露或丟失
一是無知泄密。由于不知道計算機的電磁波輻射會泄露秘密信息,計算機工作時未采取任何措施,因而給他人提供竊密的機會;或者不知道上Internet時,會造成存在本地機上的數據和文件被黑客竊走。二是違反規章制度泄密。如將一臺發生故障的計算機送修前對數據不處理,造成秘密數據被竊;或思想麻痹,疏于管理,造成數據丟失等。三是故意泄密。競爭對手常常采用非法手段籠絡工作人員,竊取信息系統的秘密。四是信息丟失。如未經授權的人員可以利用計算機輕而易舉地瀏覽其他部門文件和數據,從而使得機密數據被泄露。另外,數據大量集中存儲于介質中,一旦發生火災、水災、被盜之類的事件,就可能使全部數據丟失或者毀損;同時存儲介質對環境的要求較高,不僅要防水、防火,還要防塵、防磁,而且對溫度還有一定的要求,從而增加了數據的脆弱性。
2計算機信息安全管理的幾點對策
2.1加強信息安全管理
(1) 系統訪問設置密碼:要求計算機設置賬戶名和密碼,嚴禁將賬戶名和密碼告訴任何人,除非必要,盡可能使用普通用戶的身份進行操作,減少超級用戶口令泄密的危險性;同時定期更新口令,縮短口令使用的周期,使用盡可能長的口令,增加安全強度;口令錯誤時,應該限制登錄的次數。
(2) 日常病毒防護:定期更新防病毒/防木馬軟件;定期檢查并掃描系統,任何文件在未經掃描之前,均不允許打開。
(3) 可移動介質管理:好禁止使用可移動介質,如果需要使用可移動介質,必須討論可能的風險狀況。建立的管理方案,以便減少惡意程序進入網絡。
(4) 下載限制:在安全策略中應禁止下載任何軟件、文件,如確實需要,應在策略中注明要遞交一份由經理簽字的需求表,并確保在打開之前使用防病毒/防木馬工具來掃描。
(5) 加密處理:一些重要的數據必須制定相關的加密程序,并指定相關負責人。
(6) 系統備份:制定相關系統備份的操作規程、定期備份的時間以及相關負責人的職責。
2.2利用防火墻、防病毒技術進行安全隔離與保護
采用防火墻技術是最基本的安全措施,目的是要在內部、外部兩個網絡之間建立一個安全隔離帶,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制。同時,要加強計算機預防病毒技術的研發。計算機病毒預防是指在病毒尚未入侵或剛剛入侵時,就攔截、阻擊病毒的入侵或立即報警。隨著計算機技術的不斷發展,計算機病毒也變得越來越復雜和高級,對計算機網絡系統構成極大的威脅。防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。當然,網絡防病毒軟件本身必然需要增加額外的服務器系統資源消耗,此類軟件對網絡性能的影響還是較為明顯的,因此在使用過程中必須慎重選擇。
2.3對計算機信息系統進行定期維護
對信息系統進行定期維護,主要包括以下幾個方面:
(1) 系統應用程序維護。系統的業務處理過程是通過程序的運行而實現的,一旦程序發生問題或者業務發生變化,都必然引起程序的修改和調整,因此系統維護的主要活動是對系統應用程序進行維護。
(2) 數據和代碼維護。數據維護需要由專人來負責,主要負責數據庫安全性、完整性以及并發控制,定期生成數據字典文件以及其他數據管理文件,同時負責在硬件故障排除后,數據庫的恢復工作等。當用戶環境變化,原有的代碼已經不能繼續適應新的要求時,必須對代碼進行變更。
(3) 文檔維護。在進行應用系統、 數據、代碼及其他維護后,要及時根據維護后的變化,對相應文檔進行修改,保持與系統的一致性,為以后的維護工作打好基礎,同時要對所進行的維護內容進行記載,內容主要包括維護工作的內容、情況、時間、執行人員等。
(4) 硬件設備維護。硬件設備維護主要包括對網絡設備、服務器、計算機、打印機的日常管理和維護。維護工作也要由專人負責,要定期對各設備進行檢查、保養和查殺病毒工作,同時要設立設備故障登記表和設備檢修登記表,以方便設備維護工作。通過定期檢查,及時解決潛在故障隱患,從而保障各設備的性能都處于狀態。
綜上所述,隨著計算機技術的快速發展,現在的網絡系統越來越容易遭受攻擊,因此,我們要采用相應的安全對策,制定相應的防范策略來阻止這些攻擊,確保網絡信息系統的安全和穩定。
網絡信息安全論文:個人電腦網絡信息安全的研究
隨著互聯網技術的迅猛發展,網絡通信(如QQ及微信)、網絡購物、網絡銀行、網絡電影及網絡游戲等已成為人們現代化的生活方式,這些都是網絡信息技術帶給人們帶來的無限便利。但是,在網絡資源共享及通信的同時,網絡也伴隨各種風險,如黑客入襲、病毒泛濫、數據丟失、信息被盜等網絡安全問題的頻繁出現,這些非法行為嚴重威脅著個人電腦網絡信息的安全,也使電腦網絡系統運行緩慢,甚至出現系統崩潰等安全狀況。這些情況嚴重干擾了人們的正常生活,甚至給用戶造成重大經濟損失。本文結合多年電腦網絡通信和使用經驗,對個人電腦網絡信息安全與防范方面展開研究。
1個人電腦網絡信息安臨的威脅
電腦上網運行過程中面臨的威脅主要表現在以下幾個方面:
1.1個人電腦操作系統本身存在缺陷與漏洞。目前絕大多數個人電腦使用的Windows操作系統本身存在或多或少的漏洞,漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,黑客和病毒制造者利用漏洞讓病毒或木馬侵入他人電腦,從而在未被授權的情況下訪問或破壞系統。
1.2人為惡意攻擊。這是目前個人電腦網絡面臨的較大安全威脅,計算機犯罪就屬于人為的惡意攻擊。它以各種手段破壞個人電腦網絡信息的完整性及有效性;竊取、截獲、破譯,從而獲取個人電腦網絡的數據信息。對個人電腦網絡安全造成很大的威脅,并造成個人數據信息的外泄。
1.3人為主觀因素。個人電腦用戶對電腦網絡的安全配置不當,而造成的安全威脅,用戶的網絡安全意識不高,對用戶口令的設置不重視等。
1.4計算機病毒入侵。計算機病毒具隱蔽性和潛伏性,個人電腦一旦被病毒侵入,系統將長期遭到損傷、破壞。計算機病毒激發后會通過格式化、改寫、刪除、破壞設置等破壞計算機儲存數據。竊取用戶隱私信息(如銀行密碼、賬戶密碼),盜用用戶財產或利用被病毒控制的用戶計算機進行非法行為。
2個人電腦網絡信息安全性的有效防范措施
針對面臨的各種威脅,我們必須采取相對應的有效防范措施,以保障我們的個人電腦網絡信息安全。
2.1及時更新電腦操作系統。電腦操作系統要不定期地更新,而新的操作系統在之初往往存在著安全漏洞,這就要求用戶在使用網絡時對操作系統及時進行更新。系統漏洞就是指操作系統軟件在開發過程中出現的缺陷,新出現的漏洞多由網絡攻擊者發現,微軟為了完善操作系統,就會通過不定期地補丁的方式,對新發現的系統漏洞進行修補完善。漏洞修復補丁是為完善操作程序另外編制的小程序。為了保障電腦網絡安全,使個人電腦網絡處于相對安全的狀態,就必須對操作系統進行及時的更新。因微軟已經停止對WindowsXP提供補丁更新,建議用戶使用Windows7以上的版本,并及時更新操作系統。
2.2部署網絡防火墻。個人電腦網絡系統在安裝網絡防火墻的情況下,一般能過濾掉一些非法攻擊,降低病毒或非法者入侵的風險。除此之外,防火墻還具備關閉不常用端口、對特定端口流出的通信進行封鎖等功能。,防火墻技術還可以識別特殊網站的訪問,使計算機免遭不明攻擊的侵入。
2.3安裝殺毒軟件。網絡病毒是影響個人電腦網絡安全系統的重要因素,因此安裝殺毒軟件勢在必行。除了安裝正版的防毒殺毒軟件之外,用戶在進行網絡使用時還可以開啟殺毒軟件實時監控、定期更新、定時升級,堅持“防殺結合(防為主,殺為輔)、軟硬互補、標本兼治”的原則,使個人電腦網絡系統在安全、無毒的環境中得以快速運行。
2.4合理設置Administrator賬號。個人電腦裝上系統后,系統會自動新建一個叫administrator的管理計算機(域)的內置賬戶,是擁有計算機管理的較高權限,它的密碼默認是空,很多用戶習慣空密碼使用這個賬號登錄系統,這是電腦上網的大忌。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼。每一臺計算機至少需要一個帳戶擁有administrator(管理員)權限,但不一定非用“Administrator”這個名稱不可。所以,無論在那個Windows系統中,好創建另一個擁有全部權限的帳戶,然后停用Administrator帳戶或改名。用戶帳戶建議設置足夠復雜的密碼,應盡量設置為數字字母組合,密碼的長度不應小于6位,好在8位以上,避免使用純數字或常用英語單詞的組合。復雜的賬號密碼能夠增加窮舉破解軟件的破解密碼難度。
2.5合理使用文件共享與遠程桌面。建議平時停止系統默認打開的共享文件夾,關閉不使用的遠程連接端口。需要使用的必須有設置訪問權限控制,在安全環境下合理使用文件共享和啟用遠程桌面也是避免攻擊者侵入的有力措施。
2.6保護個人信息。個人電腦用戶要自覺養成良好的防盜習慣,各種賬號密碼千萬不要用文檔保存在電腦硬盤,登錄密碼、支付密碼以及證書密碼不應該設置相同,也不適宜選擇電話號碼、生日等容易猜中的數字作為密碼,密碼應該數字和字母混合,并且交易密碼與信用卡密碼應該定期進行更改。登錄網絡銀行系統交易過程遭遇的異常情況都需要格外重視,并及時查看已經發生的交易。用戶還應該定期查看網絡銀行辦理轉賬業務與支付業務的記錄,也可以采用短信定制帳戶變動通知,實時掌握帳戶的變動情況。
2.7防范釣魚網站。不少賬戶被盜的案例其實是因為訪問了釣魚網站。他們偽裝成正規的銀行頁面或是支付頁面,騙取你輸入的帳戶名和密碼,利用ARP欺騙,可以在用戶瀏覽網站時植入一段HTML代碼,使其自動跳轉到釣魚網站。避免被釣一方面需要對別人發來的網絡地址多留心,因為這個地址可能非常接近如淘寶、網上銀行的域名地址,打開的頁面也幾乎和真實的頁面一致,但是實際你進入的是一個偽裝的釣魚網站;另一方面,盡量選擇具有安全認證功能的瀏覽器,這些瀏覽器能夠自動提示你打開的頁面是否安全,避免進入釣魚網站。
2.8盡量避免瀏覽色情網站。眾所周知,色情網站一般都會掛上各種各樣的木馬,確實很危險。木馬傳播者通常是以色情視頻為誘餌,網民若想觀看則需安裝指定播放器,當下載這個播放器時便會將木馬下載器也一同下載到自己的電腦,在觀看視頻的過程中,一些遠程控制類木馬也被捆綁進播放器,用于竊取用戶的個人隱私信息,甚至于一些有價證券類的帳號密碼也被竊取。因此,個人電腦用戶要盡量避免瀏覽色情網站。
2.9選擇安全方式下載軟件。在互聯網中,通信與共享是計算機網絡的最基本應用,個人電腦用戶通常從網站下載各種應用軟件,但以欺騙手段窺探用戶隱私、竊取個人信息的各種惡意軟件及網絡釣魚活動嚴重威脅著網絡信息安全。這類軟件的制作者在對軟件反編譯后,進行重新封裝,在程序安裝時,隱藏在軟件中的木馬與不安全控件也會被裝入計算機,程序在運行時,用戶的信息隱私得不到保障,甚至網銀、賬號密碼等重要信息也會被竊取。下載文件的安全風險主要是木馬程序己被植入到文件中或是通過調用瀏覽器彈出網頁的方式,把用戶引入到含有木馬的危險網站。因此,個人電腦用戶應選擇正版軟件網站下載軟件,在完成下載任務后應先利用殺毒軟件對文件進行掃描,保障網絡下載安全。
2.10對個人電腦存放的重要數據定期進行備份。盡管網絡安全的防范措
施非常嚴密,也不能保障安全無憂,個人電腦在遭到攻擊癱瘓時,應用軟件程序和操作系統能夠重裝,而一些重要的數據卻無法恢復,因此應對個人電腦存放的重要數據進行定期備份。 2.11網絡支付配備U盾。目前的個人電腦的安全狀況在網絡支付的環境下已經不再值得信任,目前銀行都會配備U盾。為進一步確保客戶在支付領域的安全性,通用U盾設計了高級別、多層次的網絡交易安全防護技術,保障客戶資金安全,它內置微型智能卡處理器,采用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名,確保交易的保密性、真實性、完整性和不可否認性。它的較大特點就是同時配備有USB接口和音頻接口,同時保障客戶在電腦和手機支付上的雙重安全,相當于為這兩個支付渠道都裝上了一道防火墻。
個人電腦已離不開網絡,個人電腦網絡信息安全與防范應該引起我們的重視。本文簡要的分析了一些個人電腦網絡中的一些主要的信息安全問題以及安全防范措施,可以根據這些措施定期或不定期的對個人電腦做一些檢查,這樣才能保障安全、高效的運行。
網絡信息安全論文:論網絡環境下軍事信息安全策略
論文關鍵詞:軍事信息 信息安全 網絡環吮
論文摘要:在軍事活動中,軍事信息的交流行為越來越效繁,局城網,廣城網等技術也逐步成為了軍事活動中不可或缺的內容,信。息的劫持與反劫持等安全技術占據了一個舉足輕重的地位。本文擾為了保障我軍軍事秘密這個大前提,對網絡壞境下軍事信息安全加以闡述.
1軍事信息安全概述
軍事信息安全一般指軍事信息在采集、傳遞、存儲和應用等過程中的完整性、機密性、可用性,可控性和不可否認性。為防止自身的意外原因,實現軍事信息安全,起碼要做到的是:提出有效策略,建立健全信息管理體制,使用、安全的信息傳輸網絡來保障信息采集、傳遞、應用過程中信息的機密性,完整性、可利用性以及可控制性,信息安全狀態的確定性;信息的可恢復性等。
2網絡環境下軍事信息面臨的安全威脅
網絡軍事安全從其本質上來說是網絡計算機上的軍事信息安全,是指計算機系統的硬件、軟件、數據受到保護,不因偶然的或惡意的原因而遭到破壞、更改和顯露,在確保系統能連續正常運行的同時,保障計算機上的信息安全。如何更有效地保護重要的信息數據、提高計算機網絡系統的安全性已經成為所有計算機網絡應用必須考慮和必須解決的一個重要問題。軍事信息網絡安全威脅主要有以下幾點。
2.1計算機病毒
現代計算機病毒可以借助文件、郵件、網頁、局域網中的任何一種方式進行傳播,具有自動啟動功能,并且常潛人系統核心與內存,利用控制的計算機為平臺,對整個網絡里面的軍事信息進行大肆攻擊。病毒一旦發作,能沖擊內存、影響性能、修改數據或刪除文件,將使軍事信息受到損壞或者泄露。
2.2網絡攻擊
對于網絡的安全侵害主要來自于敵對勢力的竊取、纂改網絡上的特定信息和對網絡環境的蓄意破壞等幾種情況。目前來看各類攻擊給網絡使用或維護者造成的損失已越來越大了,有的損失甚至是致命的。一般來講,常見的網絡攻擊有如下幾種:
(1)竊取軍事秘密:這類攻擊主要是利用系統漏洞,使人侵者可以用偽裝的合法身份進入系統,獲取軍事秘密信息。
(2)軍事信息網絡控制:這類攻擊主要是依靠在目標網絡中植人黑客程序段,使系統中的軍事信息在不知不覺中落人指定入侵者的手中。
(3)欺騙性攻擊:它主要是利用網絡協議與生俱來的某些缺陷,入侵者進行某些偽裝后對網絡進行攻擊。主要欺騙性攻擊方式有:IP欺騙,ARP欺騙,Web欺騙、電子郵件欺騙、源路由欺騙,地址欺騙等。
(4)破壞信息傳輸完整性:信息在傳輸中可能被修改,通常用加密方法可阻止大部分的篡改攻擊。當加密和強身份標識、身份鑒別功能結合在一起時,截獲攻擊便難以實現。
(5)破壞防火墻:防火墻由軟件和硬件組成,目的是防止非法登錄訪問或病毒破壞,但是由于它本身在設計和實現上存在著缺陷。這就導致攻擊的產生,進而出現軍事信息的泄露。
(6)網絡偵聽:它是主機工作模式,是一種被動地接收某網段在物理通道上傳輸的所有信息,并借此來截獲該網絡上的各種軍事秘密信息的手段。
2.3人為因素造成的威脅
因為計算機網絡是一個巨大的人機系統,除了技術因素之外,還必須考慮到工作人員的安全保密因素。如國外的情報機構的滲透和攻擊,利用系統值班人員和掌握核心技術秘密的人員,對軍事信息進行竊取等攻擊;內部人員的失誤以及攻擊。網絡運用的全社會廣泛參與趨勢將導致控制權分散。由于人們利益、目標、價值的分歧,使軍事信息資源的保護和管理出現脫節和真空,從而使軍事信息安全問題變得廣泛而復雜。
3網絡環境下軍事信息安全的應對策略
3.1信息管理安全技術
軍事信息存儲安全最起碼的保障是軍事信息源的管理安全。隨著電子技術的快速發展,身份證、條形碼等數字密鑰的性能越來越高,為了驗證身份,集光學、傳感技術、超聲波掃描技術等一體的身份識別技術逐漸應用到軍事信息安全中來。
3.1.1指紋識別技術
自動指紋識別系統通過獲取指紋的數字圖像,并將其特征存儲于計算機數據庫中,當用戶登錄系統時,計算機便自動調用數據庫中的信息,與用戶信息進行比對,以此來保障用戶對軍事信息使用權的不可替代性。
3.1.2虹膜、角膜識別技術
虹膜識別系統是利用攝像機來采集虹膜的特征,角膜掃描則是利用低密度紅外線來采集角膜的特征,然后將采集來的信息與數據庫中的注冊者信息進行比對,借此來保障登錄的權限,進而起到保護軍事信息安全的作用。
3.2防火墻技術
防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合,它是不同網絡或網絡安全域之間信息的出入口,能根據使用者的安全政策控制出入網絡的信息流。根據防火墻所采用的技術和對數據的處理方式不同,我們可以將它分為三種基本類型:包過濾型,型和監測型。
3.3數據加密技術
數據加密是對軍信息內容進行某種方式的改變,從而使其他人在沒有密鑰的前提下不能對其進行正常閱讀,這一處理過程稱為“加密”。在計算機網絡中,加密可分為“通信加密”和“文件加密”,這些加密技術可用于維護數據庫的隱蔽性、完整性、反竊聽等安全防護工作,它的核心思想就是:既然網絡本身并不安全、,那么,就要對全部重要的信息都進行加密處理,密碼體制能將信息進行偽裝,使得任何未經授權者無法了解其真實內容。加密的過程,關鍵在于密鑰。
3.4數字簽名技術
數字簽名是通信雙方在網上交換信息用公鑰密碼防止偽造和欺騙的一種身份認證。在傳統密碼中,通信雙方用的密鑰是一樣的,既然如此,收信方可以偽造、修改密文,發信方也可以抵賴他發過該密文,若產生糾紛,將無法裁決誰是誰非。
由于公鑰密碼的每個用戶都有兩個密鑰,所以實際上有兩個算法,如用戶A,一個是加密算法EA,一個是解密算法DA。
若A要向B送去信息m,A可用A的保密的解密算法DA對m進行加密得DA(m),再用B的公開算法EB對DA(m)進行加密得:C=EB(DA(m)); B收到密文C后先用他自己掌握的解密算DDB對C進行解密得:DB(C)=DB(EB(DA(m)))=DA(m);再用A的公開算法EA對DA(m)進行解密得:EA(DA(m))二m,從而得到了明文m。由于C只有A才能產生,B無法偽造或修改C,所以A也不能抵賴,這樣就能達到簽名的目的。
4總結
要確保軍事信息網絡安全,技術是安全的主體,管理是安全的靈魂.當前最為緊要的是各級都要樹立信息網絡安全意識,從系統整體出發,進一步完善和落實好風險評估制度,建立起平時和戰時結合、技術和管理一體、 綜合完善的多層次、多級別、多手段的軍事安全信息網絡。
網絡信息安全論文:網絡信息安全技術及其應用的分析
一、計算機網絡信息所面臨的安全威脅分析
(一)網絡本身弱點
信息網絡具有開放性的顯著特點,既為網絡用戶提供了便捷高速的服務方式,也成為網絡信息需要面臨的一項安全威脅。同時,運用于信息網絡的相關通信協議,不具備較高的安全性能,極易讓用戶遭受欺騙攻擊、信息篡改、數據截取等安全問題。
(二)人為惡意攻擊
人為惡意攻擊是網絡信息中,用戶所面臨的較大安全威脅。人為惡意攻擊具有較強的針對性,是有目的地進行網絡信息數據完整性、有效性等方面的破壞,其攻擊方式較為隱蔽,包括對網路信息數據的竊取、破譯、篡改等,主要威脅到用戶的經濟利益。
(三)計算機病毒
計算機病毒存在隱蔽性、傳染性、破壞性等特點,往往隱藏或偽裝為正常程序,隨著計算機程序的啟動而被運行。計算機病毒通過破壞、竊聽等方式,實現對網絡信息的操作。相比于其他安全威脅而言,其整體威脅程度較大,輕則影響操作系統的運行效率,重則破壞用戶的整體系統數據,且難以被恢復,形成不可挽回的損失。
二、網絡信息技術安全現狀分析
目前,國內絕大部分企業、單位都已建立了相關的信息系統,實現了對各類豐富信息資源的充分利用。但隨著各行各業信息網絡系統的逐步成型,網絡信息所面臨的黑客、惡意軟件與其他攻擊等安全問題越來越多,雖已研發、改進了許多信息安全技術,用于網絡信息安全防護,但仍舊存在許多問題,究其原因,主要表現在以下三方面:
及時,未建立健全的安全技術保障體系。當前大部分企業、單位,在信息安全設備上投入較多資金,以確保網絡信息系統的安全。但是,沒有建立健全相應的技術保障體系,預期目標難以被實現。
第二,缺乏制度化與常規化的應急反應體系。現階段,許多行業領域內,在網絡信息技術安全方面,還未建立健全相應的應急反應系統,而對已有應急反應系統,沒有進行制度化、常規化改進。
第三,企業、單位的信息安全標準與制度滯后。在網絡信息安全的標準與制度建設方面,企業與單位都為進行及時的調整與改進。同時,用戶缺乏信息安全意識,網絡信息安全管理員為經歷科學、系統的安全技術培訓,安全管理水平不高。而用于信息安全的經費投入較少,難以達到信息安全標準與要求。
三、現行主要信息安全技術及應用分析
(一)通信協議安全
作為下一代互聯網通信協議,IPv6安全性較高,強制實施Internet安全協議IPSec,由認證協議、封裝安全載荷、Internet密鑰交換協議三部分組成,即AH、ESP、IKE。IPSec確保IPv6擁有較高的互操作能力與安全性能,讓IP層多種安全服務得到有效實現。
(二)密碼技術
確保網絡信息安全的核心與關鍵為信息安全技術中的密碼技術,其密碼體質包括單鑰、雙鑰、混合密碼三種。其中,單鑰為對稱密碼;雙鑰為不對稱密碼;混亂密碼為單雙鑰的混合實現。在網絡系統中,采用加密技術能避免使用特殊網絡拓撲結構,便于數據傳輸的同時,確保網絡路徑的安全,為網絡通信過程提供真正的保障。現階段,在網絡信息中,所采用的密碼技術主要為雙鑰與混合密碼。
1、公鑰密碼
為了加強公鑰密碼的安全性能,公鑰的長度均≥600bit。目前,基于Montgomery算法的RSA公鑰密碼,排出了已有的除法運算模式,通過乘法與模減運算的同時進行,大程度提升了運算速度,被廣泛使用。同時,部分廠商已成功研制出與IEEEPl363標準相符合的橢圓曲線公鑰密碼,并成功運用于電子政務中,具備較強的保密性與較高的運行速度。
2、Hash函數
關于SHA-0碰撞與SHA-1理論破解的提出,降低了SHA-1破解的計算量,在很大程度上影響了Hash函數安全現狀的評估及其今后設計。同時,由于MD5和SHA-1的破解,讓數字簽名的現有理論根基遭到質疑,給正在使用中的數字簽名方法帶來巨大威脅。
3、量子密碼
量子加密技術采用量子力學定律,讓用戶雙方產生私有隨機數字字符串,以代表數字字符串的單個量子序列傳遞信息,并通過比特值進行信息接收,確保通信不被竊聽。一旦竊聽現象發生,通信就會結束,并生成新的密鑰。
(三)防火墻技術
防護墻技術是一組軟硬件的有機組合,為控制內部與外部網絡訪問的有效手段,能確保內部網安全穩定運行。防火墻技術為用戶提供存取控制與信息保密服務,具有操作簡單、透明度高的優點,在保持原有網絡應用系統功能的基礎上,較大限度滿足用戶的網絡信息安全要求,受到用戶的廣泛推崇。防火墻技術的應用,讓外部與內部網絡必須通過防火墻實現相互通信。企業、單位在關于防火墻技術的應用上,需制定合理、科學的安全策略,在此基礎上設置防火墻,隔絕其它類型信息。目前,防火墻技術主要分為以下三類:
及時,包過濾技術(Packet filtering)。其技術主要作用于網絡層,結合不同數據包源IP地址、目的IP地址、TCP/UDP源端口號與目的端口號等進行區分、判斷,分析數據包是否符合安全策略,予以通行,其設計為過濾算法。
第二,(Proxy)服務技術。其技術主要作用于應用層,通過轉接外部網絡對內部網絡的申請服務,有效控制應用層服務。內部網絡無法接受外部網絡其它節點申請的直接請求,其接受的服務請求只能為模式。應用網關即為服務運行的主機,具備較強的數據流監控、過濾、記錄等相關功能。
第三,狀態監控(State Inspection)技術。其技術主要作用于網絡層,通過網絡層實現包過濾與網絡服務。現階段,較為可行的為虛擬機方式(即:Inspect Virtual Machine)。
防護墻技術作為網絡信息安全技術之一,操作簡單且實用性較強,被廣泛應用。但受其特點限制,缺乏對動態化與復雜化攻擊手段的主動響應,只能進行靜態安全防御,無法保障對所有外部攻擊都能進行有效阻擋。一些計算機水平較高的黑客便能翻過防火墻,達到攻擊目的。同時,防火墻無法阻擋內部攻擊。因此,為實現網絡安全,需進行數據的加密處理,加強內部網絡控制與管理。
網絡信息安全論文:日常網絡信息安全檢查與評估的程序開發
隨著信息化時代的到來,人們對信息的依賴越來越強,網絡信息安全問題就顯得非常重要. 為了更好地加強網絡信息安全,有效降低人員工作強度,適應網絡安全、穩定、、經濟運行的要求,研究開發一個適應日常網絡信息安全檢查和評估的程序十分重要.
1、網絡安全評估現狀
1. 1 傳統的評估方法
傳統網絡安全檢查和評估方法主要以人工的方式進行,評估的方法有下列幾種:
(1) 通過查看網管信息,了解網絡的連通性,獲取網絡流量、負荷等信息;(2) 通過登入網絡設備對網絡配置和動態性能參數進行查看,并人工確認信息的正確性;(3) 查看網絡日志發現網絡存在的隱患.
1. 2 存在的主要問題
傳統的網絡安全檢查和評估方法存在以下不足:(1) 檢查過程比較繁瑣,加大了工作人員的工作量,容易產生漏查、錯查等情況,達不到檢查的效果;(2) 對檢查人員技能要求較高,檢查人員需要具有較強的專業知識,熟悉設備的操作方法;(3) 需要反復輸入命令,造成時間的浪費,工作效率低下;(4) 無法對所檢查的信息進行整理和保存,不利于障礙的排除和后期的查看.
2、解決方案
本項目以網絡管理的實際工作為出發點,緊跟現代信息技術的步伐,利用 Java 技術,建立客戶端/服務器(C/S) 的界面,根據日常維護的具體要求,實現靜態數據分析、動態性能參數檢查等功能,并且針對不同網絡設備可以按要求自主設置檢查模板,同時具備導出相應分析報告的功能.
2. 1 設計思路
采用 Java + Swing 技術,開發客戶端操作界面,具備靜態數據分析和動態數據分析等功能的操作界面; 在總結、歸納大量的配置檢查規則的基礎上,設計多個規則模版,確保檢查的正確性.
2. 2 技術架構和原理分析
采用 Java 語言來開發系統軟件,使用 C /S 架構來搭建系統程序,可以方便操作人員使用.[7](1) 硬件結構 包括交換機、局域網內的 PC機客戶端. PC 機建議配置: CPU 為 P4 2. 6 GHz 及以上,內存為 512 M 及以上.(2) 應用軟件 Minitool; 編程語言為 Java和 xml.(3) 開發工具 myeclipse6. 5; 操作系統為Window s 2003.具體技術架構如圖 1 所示.
(1) 靜態分析 利用 I/O 工作流對已經生成的信息文件進行讀取,并利用已設定的分析規則對文件進行檢查,在程序中顯示檢查的具體內容和正確性,根據需要手動導出結果報告. 靜態分析流程如圖 2 所示.
(2) 動態分析 采用多線程連接終端設備,在程序中顯示設備的連接狀況和運行狀況,可以手動停止程序的運行,其中包括連接測試和分析兩個主要功能. 連接測試是指對每個設備進行連接,測試結束后制定目錄自動生成測試結果; 分析是指在測試完成后對每個設備的制定規則進行分析,并在結束后導出分析結果. 動態分析流程如圖3 所示.
(3) 制定規則 操作員可以在該功能中指定檢查項目名稱和檢查要求,并對每個檢查要求的具體操作規則進行添加,將其保存在已經創建好的 xml 文件中,也可指定 xml 文件對其內容進行增、刪、改、查;(4) 模板管理 利用可視化界面對保存在特定文件夾下面的配置文件進行創建和刪除的操作.3、 程序功能及界面簡介。
靜態分析是對已經導出為 txt 文件格式的設備信息進行分析,通過導入設備信息文件選擇相應的檢查模板,點擊開始按鈕即可自動檢測信息文件的安全程度,并動態地顯示在輸出框內,如圖 4 所示. 其右上角用儀表盤形象化地顯示了評估分數,目的是檢查現有設備的信息安全程度.通過圖 4 的導出按鈕可以將分析完成的結果導入 Excel 文件中,可方便查看打印或者保存,如圖 5 所示.動態分析是利用遠程登入方式(ssh 或者telnet) 對設備進行實時的連接和分析,輸入文件可以選擇事先預設好的遠程設備、用戶名密碼等信息的文件,輸出路徑可以選擇分析結果數據保存的位置,然后選擇連接模式和分析模板對設備進行動態分析,其目的是可以實時地連接遠程設備,并通過預設的條件對其進行安全評估.
針對某一個具體模板中各種檢查項的操作,則可以選中檢查項,按刪除檢查項按鈕進行刪除,也可以對具體檢查項內容進行設置,如設置項目名稱、要求等,并且可以選擇添加至某個模板. 對具體檢查項可以進行添加、重置、撤銷和更新操作: 添加是向檢查項中加入一則新的規則; 重置是對當前檢查項進行清除; 撤銷是消除添加的規則; 而更新是對修改完的檢查項進行更新,其目的是為了增、刪、改具體的檢查條目,并添加至相應的檢查模板.4、 系統比較。
傳統的安全評估方法: 大都是人工對設備進行信息安全評估; 檢查模板較少,只能進行少部分的信息檢查; 檢測內容不夠靈活,導致錯誤評估的出現.本系統在總結傳統的安全評估方法不足基礎上,進行完善和創新. 本系統主要對模板的設計和制定進行了多方面創新. 首先,可以對某一類的檢查進行歸納,例如設備 CPU 的運行狀況、溫度的高低等,都可以歸在同一類模板中,系統對創建的模板進行保存,便于下次直接調用. 其次,在傳統的軟件中,有些自動檢查內容不夠靈活,碰到特殊的情況,會檢測不到所需要的信息,甚至會錯誤地反饋信息. 例如要檢測端口信息,只要檢測其中打開的端口,而對于關閉的端口就不必檢測,這在一般的評估軟件中很難判斷哪些端口是關閉的. 本系統針對這些情況,對檢查的內容進行分步操作,利用 Java 字符串可拼接的特點對每條檢查內容進行分割,提取其中的關鍵字符串,并對其前后進行限制,使其成為一個基本的、的關鍵字符串. 這些由多個關鍵字步驟組成的完整的檢查項目可以大大地提高率,而且添加關鍵字組成的檢查條目可以靈活地確定所要檢查的內容,去除不必要的選項. ,本系統通過 C /S 界面的方式可以形象化地對各個模板及其檢查項目進行添加、刪除、修改等操作,并為每個檢查條目設定分值,以便在導出報告和靜態分析中更好地確定評估結果.本系統的特點如下:(1) 圖形化操作,方便簡單;(2) 采用多線程技術,可以同時交替進行多個流程,提高了流暢性;(3) 運用 xml 技術,對程序配置進行了保存,使操作更加簡便;(4) 使用 ssh 和 telnet 技術,實現了遠程登入;(5) 生成日志文件,方便系統異常查看;(6) 數據自動分析,減少了工作量,提高了維護的性和安全性.
3、結語
隨著信息技術的不斷發展,提高信息的安全性已經越來越受到人們的重視. 鑒于傳統的檢查方式無法滿足現在的需求,本文提出的基于程序的網絡安全檢查很好地彌補了傳統檢查方式的不足,相信在未來的一段時間內,這種對于信息安全檢查的軟件會發揮越來越重要的作用.
網絡信息安全論文:信息安全防護下計算機網絡的論文
1.計算機網絡的信息安全防護策略
1.1網絡安全管理防范策略
法律和管理制度是維護網絡安全的最強有力的保障。建立完善的法律制度,頒布與保護計算機網絡信息安全相關的法律法規可以為打擊各種網絡犯罪提供有力的武器。而有效的管理是將法律訴諸于實際的手段,通過建立完善的計算機網絡信息安全的管理制度,制定相關的規章要求,對計算機使用人員、系統軟件、設備以及信息、介質等進行制度化的管理,將網絡行為規范化,將對營造網絡安全環境,保障網絡的安全運行起著至關重要的作用。在進行網絡安全管理時,應該任期有限原則、最小權限原則、職責分離原則和文秘站:多人負責制原則。具體的講,需要建立的管理制度包括安全漏洞檢測升級制度;信息登記、審查、清除、保存和備份制度;操作權限管理制度;安全責任制度;通報聯系制度;計算機機房和設備安全管理制度;用戶登記制度;網絡地址管理制度以及應急措施和預案、保密制度等。除了在法律與管理制度層面進行安全防范之外,還很有必要對計算機的使用人員進行宣傳教育,讓他們了解并掌握具體的修復網絡安全漏洞,規避安全風險的技能,并努力使新型安全技術得到應用和普及。另外要加強對計算機使用者在職業道德修養方面的教育,規范他們的職業行為,鼓勵他們積極勇敢的同利用計算機網絡進行破壞行為的犯罪行為作斗爭。
1.2網絡安全技術防護策略
1.2.1安裝殺毒軟件和主機防火墻殺毒軟件最初主要是對計算機病毒進行查殺,隨著殺毒軟件技術的更新與升級,如今的殺毒軟件還可以對特洛伊木馬和其他一些惡意程序進行預防。在正式開始使用計算機前,需要對其進行殺毒軟件的安裝,通過殺毒軟件對計算機的安全漏洞進行檢測、對存在的病毒進行掃描與清除,另外還有定期的及時對殺毒軟件自身進行更新和升級,以便能夠更早的發現問題,將安全隱患消滅在起始位置。而防火墻相當于一個過濾系統,像一堵墻一樣可以將網絡安全攻擊阻擋在安全范圍之外。它可以對進出網絡的信息流向進行控制,還可以為網絡提供一部分使用細節。在網路通訊過程中,防火墻會指向訪問控制尺度,可以通過的只有被防火墻同意訪問的數據或人,而那些帶有攻擊破壞性質的數據或人就會被拒絕通過。在計算機中安裝防火墻,可以在一定程度上降低由于網絡黑客或其他攻擊者的惡意來訪而造成的信息泄露、更改或刪除等風險的發生概率,并且還能利用防火墻對內網的不良行為進行屏蔽和過濾,可以使網絡環境得到凈化,保障網路信息的正常運行。
1.2.2隱藏IP地址如果IP地址泄露被黑客掌握的話,那么他們常常將攻擊的目標定位在IP地址上,展開對這個IP的惡意攻擊,例如Floop溢出攻擊和DoS攻擊,就是在黑客們通過對網絡探測技術尋求到主機的IP地址之后展開的惡性攻擊。因此將IP地址隱藏是規避安全風險,防止黑客入侵的一個重要舉措。隱藏IP地址最有效的做法是使用服務器,因為計算機用戶使用服務器的話,即使黑客利用網絡探測技術來探測主機的IP地址,他們探測到的也只是服務器的IP地址,對于用戶真正的IP地址是探測不到的,這樣一來就可以很有效的防止黑客的攻擊,保障用戶的上網安全。
1.2.3防止黑客入侵黑客的攻擊活動不僅僅只是對用戶的IP地址進行入侵,他們的攻擊活動幾乎無處不在,為防止網絡黑客的惡意入侵還需要做好一下幾點防范措施。及時,不要隨意對陌生郵件進行回復。有些網絡黑客會通過釣魚網站冒充別人的身份向計算機使用者發送一些看上去很正規的郵件,在郵件中會常常會要求用戶填寫用戶名、密碼等個人信息。由于有些計算機用戶自身的網路安全意識較為淡薄,對郵件發出者的身份深信不疑就會將個人信息輸入到郵件之中并進行回復,這樣一來網絡黑客就可以隨意進入這些計算機使用者的郵箱開展破壞性活動,因此對于陌生的郵件不要輕信和回復。第二,黑客入侵的另一個常用手段就是利用字典攻擊技術獲取Administrator帳戶的密碼,因此計算機用戶要注意將Administrator帳戶進行重新配置,可以選擇比較復雜的密碼對Administrator帳戶進行密碼保護,并且進行重命名,之后再創建一個新的普通權限的Administrator帳戶用來迷惑網絡黑客。這樣一來,網路黑客同樣不能確定哪個才是真正的擁有管理員權限的Administrator帳戶,從而減少他們的侵入破壞。
2.小結
計算機網絡已經成為如今人們生活、學習、工作中十分重要的組成部分,發揮著舉足輕重的作用,但是其自身存在的安全隱患會對人們甚至整個社會帶來較大的破壞,維護干凈安全的網絡環境是每個計算機工作者共同努力的方向。針對計算機網絡存在的信息安全問題進行具體的了解,制定切實有效的防范策略則是提高網絡信息安全性的關鍵所在。
網絡信息安全論文:網絡信息安全應急機制的理論基礎及法律保障
網絡技術的高速發展,使物理世界中涉及政治、軍事、經濟、文化、外交、安全關系和利益的全球化、多級化世界格局,映射到開放的網絡空間,由此形成的非傳統安全進一步加劇了網絡化社會的風險。然而,如何正確處理在網絡空間緊急狀態下安全與發展、政府與社會之間的關系,確定我國網絡信息安全應急機制的價值目標,建立網絡信息安全應急機制的法律保障體系,這些都是值得我們關注的問題。
1 網絡信息安全應急機制的理論基礎
1.1 憲政基礎 憲政是以良憲為基礎,民主為基石,法治為載體,人權實現為宗旨的一種政治理念、政治形態和政治過程,憲法至上是憲政最重要的標志,也是法治文明的核心和首要要求[1]。政府要在緊急狀態應急中發揮積極作用,必須具有憲政上的法律基礎。我國《憲法》第67條第20項規定了全國人大常委會行使決定全國或個別省、自治區、直轄市進入緊急狀態的權力;第80條規定了國家主席根據全國人大及其全國人大常委會的決定,有宣布進入緊急狀態的權力。這充分說明了緊急狀態下政府權力來源必須有法律依據。
在網絡信息安全應急方面,政府是應急的組織者和指揮者。對于涉及國家安全或經濟發展的網絡信息安全緊急事件,必須由政府統一協調指揮,控制事態的進一步惡化,盡快恢復網絡的正常運行和正常的社會生活秩序。首先,政府有控制一般網絡信息安全事件演變為緊急或者危機事件的職責。在早期的計算機發展過程中,“應急”是單位保障計算機連續運營的重要舉措。即使到現在,應急保障也是應用單位的工作重點。但是,在網絡成為國家信息基礎設施之后,網絡信息安全應急已經成為國家整體安全戰略的重要組成部分。互聯互通中網絡的一般性局部事件都可以快速演變為全局性的重大事件,使國家和社會處于危機狀態,政府對此負有快速應對的職責。其次,政府有能力控制緊急事件和盡快恢復正常的社會生活秩序。網絡緊急狀態的惡性發展,威脅著社會公共利益和國家安全。而采取的特殊對抗措施,必然要求儲備關鍵技術設備和人、財、物的事前準備。只有政府才能有這樣的實力,同時,政府掌握著大量的網絡安全信息,可在關鍵時刻啟動“可生存網絡”,保障國家基礎設施的連續運營。
1.2 社會連帶責任思想 社會連帶責任思想定位于社會存在為統一整體,認為人們在社會中存在相互作用、相互依存的社會連帶關系,表明了人們在社會中共同生活、共同生產的一種模式,這種模式更多的關注了人在社會中的合作與責任[2]。主張社會各方參與網絡信息安全應急活動,正是強調了應急保障中的這種合作、責任思想。
首先,網絡空間強化了社會成員之間的聯系、合作和責任。這是一種新型的網絡信息安全“文化觀”。這種“文化觀”認為,在各國政府和企業越來越來依賴于超越國界的計算機網絡時代,有必要在全球倡導和建立起一種“信息安全文化”,參與者應當履行網絡安全責任,提升網絡安全意識,及時對危害網絡信息安全的緊急事件作出反應,不定期地評估網絡和信息系統的安全風險。
其次,網絡安全威脅要求政府與社會成員之間合作。面對當前復雜多變的網絡信息安全形勢,政府應對緊急狀態需要有社會各方的積極參與。提倡社會力量參與網絡應急保障工作,是政府網絡信息安全應急管理的新思路。以指揮命令為特征的狹隘行政觀念,將被執政為民的現代行政理念所代替。按照社會連帶責任思想中的“合作”精神,沒有社會力量的參與配合,政府將難以在應急響應、檢測預警中起主導作用,無法履行其對網絡社會危機管理的職責。
美國《網絡空間安全國家戰略》指出,保護廣泛分布的網絡空間資源需要許多美國人的共同努力,僅僅依靠聯邦政府無法充分保護美國的網絡安全,應鼓勵所有的美國人保護好自己的網絡空間。聯邦政府歡迎公共和私人機構在提高網絡安全意識、人員培訓、激勵勞動力,改善技術、確定脆弱性并提高恢復能力、交換信息、計劃恢復運行等方面開展合作。
1.3 權利平衡理念 從公法和私法的關系看,公法之設乃是為了實現私法的目的。網絡信息安全應急立法必須考慮到政府緊急權力對公民、單位私權益保護的積極方面,又要防止應急部門在行使行政緊急權力時侵犯公民的私權利。解決沖突,尋求平衡,始終是對“法治文明”的積極追求。盡快恢復網絡秩序,穩定社會則是應對緊急狀態的較高目的。
為了保障公民的權利不因緊急狀態的發生而被政府隨意剝奪,許多國家憲法和國際人權文件都規定,即使是在緊急狀態時期,一些最基本的人權,如生命權、語言權、宗教信仰權等也不得被限制,更不得被剝奪,這些規定都是防止政府隨意濫用行政緊急權,而使公民失去不應當失去的權利[3]。如1976年1月3日生效的《公民及政治權利國際公約》、1953年9月3日生效的《歐洲人權公約》以及1969年11月22日在哥斯達黎加圣約翰城制定的《美洲人權公約》都規定在緊急狀態下不得剝奪公民的某些基本權利。這些基本權利包括:生命權、人道待遇權、不受奴役的自由、不受有追溯力的法律的約束等。《美國人權公約》還規定不得中止保障公民家庭的權利、姓名的權利、國籍的權利和參加政府的權利。1976年國際法協會組織小組委員會專門研究在緊急狀態下如何處理維護國家生存和保護公民權利的關系,經過6年的研究,起草了《國際法協會緊急狀態下人權準則巴黎低標準》,為各國制定和調整緊急狀態的法律提出了指導性的原則,通過規定實施緊急狀態和行使緊急權力的基本條件和應遵循的基本原則以及各種監督措施,以防止政府濫用緊急權力,低限度地保障公民的權利。
2 網絡信息安全應急機制的價值目標
所謂價值目標是指為了實現某種目的或達到某種社會效果而進行的價值取舍和價值選擇。它既反映了法律的根本目的,也是解釋、執行和研究法律的出發點和根本歸宿。在每一個歷史時期,“人們都使各種價值準則適應當時的法學任務,并使它符合一定時間和地點的社會理想”。[4]網絡信息安全應急機制的價值目標包括兩個方面:一是實現網絡安全、提高網絡緊急事件處理效率、促進國民經濟發展;二是確立以實現網絡安全為較高價值目標的價值層次配置。
2.1 安全價值 安全價值是網絡信息 安全應急機制的較高價值目標,也是信息安全保障的主要內容。隨著網絡信息技術的不斷發展,關鍵基礎設施越來越依賴于復雜的網絡空間,網絡空間是這些基礎設施的神經系統,是一個國家的控制系統。一旦網絡空間突發緊急事件,將威脅國家的整體安全,其后果不堪設想。信息技術革命帶來的經濟發展潛力也部分地被網絡安全風險所淹沒,網絡空間的脆弱性使得商事交易面臨著嚴重的危險。有資料顯示,金融業在災難停機2天內所受損失為日營業額的50%,如果兩個星期內無法恢復信息系統,75%的公司業務會被中止,43%的公司將再也無法開業[5]。
安全價值反映了人們應對網絡安全緊急狀態的積極態度,是人們在長期社會實踐中的經驗總結。首先,在認識到網絡脆弱性之后,人們不是拒絕、放棄網絡技術給人類所帶來的文明,而是積極地通過適當途徑對網絡技術中的風險加以認識和積極防御,并以此實現社會的“跨越式”發展。其次,在國民經濟和人類社會對網絡空間高度依賴之后,應對網絡緊急狀態就成為人類生存的基本需求。第三,網絡的國際化進一步加劇了網絡緊急狀態的突發性、復雜性和隱蔽性。網絡恐怖活動、敵對勢力集團的信息戰威脅等等,使人類社會面臨前所未有過的安全威脅,應急因而成為信息安全保障體系的重要組成部分。
2.2 經濟價值 網絡信息安全應急機制的本質在于對網絡緊急事件的快速響應,有效處理網絡緊急事件,將事件造成的危害降到低,同時保護人民的合法權益。必須指出的是,這里的效率價值主要是處理緊急事件的時間效率而非金錢效率,因為在網絡空間,因系統遭受攻擊等緊急事件造成的重要信息丟失是難以用金錢來衡量的。
網絡信息安全應急的效率價值首先表現在對緊急事件的快速響應方面。快速應對緊急事件必須建立有效的應急管理機構,保障政令暢通。其次,效率價值要求應急管理機構必須建立完善的預警檢測、通報機制,分析安全信息,告警信息和制訂預警預案,做到有備無患。同時,建立應急技術儲備的法律保障機制。應急本質是一種信息對抗,對抗就是控制緊急狀態的惡性發展,對抗就是防御網絡緊急事件的信息技術。因此,必須有先進的應急技術來提高緊急事件的預防和處理能力。第三,效率價值要求賦予應急響應組織行政緊急權力,以控制損失,盡快恢復網絡秩序。以盡快恢復秩序為目的對私權益進行的要干預是必要的。
2.3 發展價值 發展價值是應對網絡安全緊急狀態的約束價值,是人們應對緊急狀態這種非常態規則的限制思想,是正確認識發展與安全、效率之間關系的理性抉擇。首先,根據心理學理論,企業長期處于應急狀態,必然會影響發展,所以應急立法應當以“盡快結束緊急狀態”為其基本原則,設計制度、建立機制。其次,對應急過程中的行政緊急權力進行必要的限制,以防止行政緊急權力的濫用對重要領域企業的發展造成不利的影響。同時,建立合理的緊急狀態啟動程序和終止程序,這對于企業健康快速發展也至關重要。第三,對政府在緊急狀態下的征用、斷開、責令停產停業等措施對公司、企業造成的經濟損失,在緊急狀態結束后應該給予相應的賠償,以增加企業對政府的信任度,促進企業經濟發展。
網絡信息安全應急機制的價值目標是一個由安全價值、經濟價值和發展價值構成的有機體系。安全價值是核心,是首要目標,位于及時層次。網絡信息安全應急機制中安全價值的地位類似于法律制度中位階較高的法律價值,它指導和貫穿整個網絡信息安全應急的過程。在目標體系中,經濟價值是第二價值目標,位于第二層次;發展價值是第三價值目標,位于第三層次。經濟目標和發展目標必須服從于安全目標的要求,只能在保障安全的基礎上考慮應急的效率性和國民經濟的發展。
3 網絡信息安全應急機制的法律保障
從網絡信息安全應急機制的理論基礎出發,為實現網絡信息安全應急機制的安全價值目標,筆者認為,法律應從以下幾方面進行界定:
3.1 建立適合我國國情的網絡信息安全應急管理體系 應急管理體系是網絡信息安全應急保障的重要內容。應急管理體系是否合理直接關系到法律實施的效果。根據國務院27號文的總體精神,文章認為,我國網絡信息安全應急管理體系應為一元化的兩層結構。所謂一元化,是指國家應當建立應急協調機構,統一負責網絡信息安全應急管理工作。所謂兩層結構是指應當發揮行業和地方政府的優勢,加強應急管理。
a.國家應急協調機構及其職責。國家應急協調機構是我國網絡信息安全緊急狀態應急的較高決策機構[6]。在美國,主要由國土安全部負責開發國家網絡空間安全響應系統,對網絡攻擊進行分析,告警、處理部級重要事故,促進政府系統和私人部門基礎設施的持續運行。在我國,國家應急協調機構為信息產業部互聯網應急處理協調辦公室。國家應急協調機構應當履行以下主要職責:協調制定和貫徹國家信息安全應急法律法規政策;協調國家應急響應基礎設施建設;協調國家緊急狀態下應急技術的攻關和開發;授權、終止國家和區域性的緊急狀態命令。
b.行業應急管理部門及其職責。行業應急管理部門是指根據國家法律和行政規章授予的職權,建立行業內網絡應急管理的部門,如軍隊可以分兵種建立信息安全應急管理體系,國務院可以按照行政職權的不同分別建立網絡安全應急管理體系,中共中央和政協系統也可以建立各自應急管理體系。行業應急管理部門依法對管轄的國家關鍵基礎設施的緊急狀態進行管理。
行業應急管理部門的主要職責應當包括:貫徹落實國家關于網絡信息安全應急的政策和法律;實施行業應急響應基礎設施的規劃、建設;在行業內部建立應急預警和檢測體系,建立預警網絡平臺,加強與其他行業之間的合作;對行業內重要部門有關危害網絡安全的警告;組織協調行業應急響應工作。
c.地方政府應急管理部門及其職責。地方政府應急管理部門負責其轄區內的網絡信息安全應急管理工作。在美國,新墨西哥關鍵基礎設施保護委員會(NMCIAC)就是一個私人-公共部門的合作機構,它的建立最初是為了商業團體、工業、教育機構、聯邦調查局(FBI)、新墨西哥州政 府和其他聯邦、州和地方機構之間的信息交換,以確保對新墨西哥關鍵基礎設施的保護。NMCIAC致力于研究威脅、脆弱性和對策,還針對基礎設施攻擊、非法系統入侵以及可能影響NMCIAC成員組織和普通民眾的那些因素所采取的各種響應進行研究。
3.2 建立、快速的預警檢測機制 建立一套快速有效的網絡信息安全應急預警、檢測和通報機制,成為實際處理突發事件成功的關鍵。網絡信息安全應急的目的就是要預防網絡安全緊急事件的發生,或者是將緊急事件的危害降到低。建立常設的預警機構,及時地收集掌握各種情報信息,把握事件發生的規律和動態,才能對事件的性質、范圍、嚴重程度做出的判斷,最終才能打贏應急這場仗。
美國《網絡空間安全國家戰略》指出,在網絡信息安全應急響應檢測預警機制的建設上,將網絡告警與信息網從聯邦政府網絡檢測中心擴展到聯邦政府的網絡運行中心和私人部門的信息共享與分析中心,為政府部門和產業界提供了一個共享網絡告警信息的專用、安全通信網絡,以支持國土安全部在網絡空間危機管理中的協調。這種建立統一平臺、共享網絡告警信息的做法對我國有著非常重要的借鑒價值。
筆者認為,一個完善的預警檢測應包括以下幾個方面的內容:a.建立一個全國性的能夠對重大基礎設施攻擊發出預警的國家中心,各個部門還應該建立事前收集掌握各種緊急狀態信息的檢測判定和應急響應的日常機構。同時,建立自己的網絡監測平臺,連入CNCERT/CC的監測平臺,實現信息共享。b.各級政府、行業應急部門及其社會性的應急部門要制定預防網絡安全緊急事件的應急預案,針對不同的計算機信息系統,按照事件發生后的影響程度(時間長短、業務范圍、地域范圍等因素)制定不同的預案。要對應急預案進行測試和演練,不演練和改進,所有好的預案都等于零。c.建立統一的網絡安全緊急事件預防控制體系,及時地收集掌握各種深層次、前瞻性的情報信息,及時把握事件發生的規律和動態。d.對預警、檢測規定法律責任。
3.3 明確應急過程中的行政緊急權力的限制和法律救濟機制 為了應對緊急狀態,臨時剝奪某些公民、單位的私權益,是各國應急法的普遍實踐。行政緊急權力是一種必要的權利,但又是一種最為危險的權利,這些權利一旦濫用,社會就會出現新的混亂。關閉網絡、封堵部分網絡路由,征用關鍵通信設施、監控電子通信等等應急措施可能將引發行政緊急權力與私權益之間的沖突,稍有不慎就可能影響國家命運和人民的根本利益,必須將其納入法制的軌道。
a.嚴格界定緊急狀態的定義及其分級。為了防止政府隨意宣布進入緊急狀態,隨意啟動行政緊急權力,同時也為了防止政府在緊急狀態下的消極不作為,有必要通過法律界定緊急狀態的定義。一般認為,網絡信息安全緊急狀態是指由于自然災害、計算機系統本身故障、組織內部和外部人員違規(違法)操作、計算機病毒或蠕蟲及網絡惡意攻擊等因素引起的,對計算機信息系統的正常運行造成嚴重影響的危機狀態[7]。同時,根據緊急狀態涉及范圍的大小、影響程度的嚴重與否,對緊急狀態的啟動進行分級管理。
b.明確宣布進入緊急狀態的主體。緊急狀態是否形成危險以及危險的程度,不同人會有不同的認識和判斷,為了減少緊急狀態確認的隨意性,增加宣告的性和認同感,緊急狀態的宣布主體必須是法定的機關。
c.對行使行政緊急權力的具體程序進行嚴格的規定,不但要規定啟動行政緊急權的程序,而且還要規定撤銷緊急狀態的程序,以及發生與公民隱私權沖突情況下的處理程序。同時要確保對緊急事實和危險程度判斷的性,建立制約機制以防止權利的濫用。
d.建立首席信息安全官(CIO)制度,確保對私權益的尊重和保護。
e.確定私權保護的低標準。政府活動的底線就是尊重和保護基本人權,即使是在緊急狀態情況下,也不得隨意克減基本人權,否則就很容易放縱國家權利機關濫用行政緊急權利。
f.明確規定應急主管機關在緊急狀態下的職責和義務,防止瀆職和失職現象。為防止在關鍵時刻出現瀆職和失職情況,法律必須明確規定應急主管機關的具體職責,為瀆職和失職設定明確的法律后果,并建立有效的責任監督和追究機制。
在隱私權的保護方面,美國信息系統保護國家計劃V1.O要求,國家計劃中所有的提議要與現有的隱私期望一致,要求每年召開一次關于計算機安全、公民自由和公民權利的公-私討論會,以確保國家計劃的執行者始終關注公民的自由。政府檢查公民計算機或電子通信的任何舉動必須與現有法律如《電子通信隱私法案》相一致。
在緊急狀態得到控制后,應急計劃的啟動者應當終止緊急狀態的命令,恢復正常的社會秩序。結束緊急狀態意味著被暫時剝奪的私權益將得到恢復。網絡緊急狀態終止后,國家基礎設施運營部門應當向國家應急協調機構、行業和地方應急管理機構提交詳細的應急響應報告,行業和地方應急管理部門應當向國家應急協調機構提交應急管理工作的總結報告。對政府在緊急狀態下的征用、責令停產停業等措施對公司、企業或個人財產造成損失,在緊急狀態結束后應該給予相應的賠償,對補償的標準要予以明確的規定。要明確規定受害人獲得行政救濟和司法救濟的途徑。
法律救濟始終是各部門法律不可欠缺的重要環節。沒有救濟規定的法律是不完整的法律。如法國《緊急狀態法》就規定,凡依法受到緊急處置措施羈束的人,可以要求撤銷該措施。韓國《戒嚴法》也規定,從宣布“非常戒嚴”時起,戒嚴司令官掌管戒嚴區域內的一切行政和司法事務,在“非常戒嚴”地區,戒嚴司令官在不得已時,可在“非常地區”破壞或燒毀國民財產,但必須在事后對造成的損失進行適當的賠償。
3.4 建立應急技術儲備的法律保障 網絡信息安全應急需要裝備先進技術,這已是不爭的事實。應急本質是一種信息對抗。控制緊急狀態的惡性發展,對抗就是防御網絡恐怖突發事件的信息技術,因此,應急不能僅依靠管理,必須具有先進的應急技術。但是依賴進口,將無法擺脫應急受制于人的被動局面,國家必須化大力氣,扭轉被動局面,關鍵應急技術的自主研究是我們掌握網絡信息安全主動權的根本出路。美國信息系統保護國家計劃V1.O規定,在技術的研究、開發和人員的培訓方面,由科技政策辦公室(OSTP)來領導,并與各機構和私營部門合作來進行技術開發。
建立應急技術儲備的法律保障首先要明確國家對關鍵應急技術研究的責任,以及應急響應的經費保障問題;其次,要明確調動民間資本展開應急技術研究的范圍,以及國家、社會采購、征用的條件;第三,要明確應急技術市場化的管制方式和控制環節;第四,對必要引進的國外應急產品和服務的范圍和控制力度要有明確的法律規定;第五,國家要進行財政預算,對應急技術開發支持;第六,要在一定的限度內加強國際間的應急技術交流與合作。
網絡信息安全論文:計算機網絡信息安全問題以及防范策略
1計算機網絡應用
1.1網絡通信功能
利用計算機網絡的文件傳輸器可以進行信息的傳遞,或者是接收與發送電子郵件,聊天,以及網上通報等,進而實現雙方或者是多方的通信目的。計算機網絡通信的功能可以用在電子自動化或者辦公室的文件制作中,一定程度上可以提高工作效率以及實際的生產效率。
1.2資源共享
計算機的網絡系統能夠自動收集到不同區域不同時間的所有信息,并且進行統一的歸納與整理,列入同一文件中,并進行數據信息的綜合處理,最終把總結分析過的數據傳遞到計算機中,進而與其他人進行資源的共享,獲取相應的反饋信息。這一功能可以使信息通過計算機網絡系統來實現信息資源的共享,有效地減少了勞動的成本,進一步提高了人們的實際工作效率。
2網絡信息安全概念
計算機網絡信息安全,即利用相關的網絡管理技術,為計算機網絡環境中的信息與數據資料進行完整性以及安全性提供保障。網絡信息安全主要就是保障計算機內部軟件以及硬件的安全性,避免丟失或者泄露相關的數據信息資料,進而有效地保障計算機網絡程序的正常運行。其中,計算機網絡信息安全主要包括可控制性、保密性、可實用性與完整性。網絡信息的安全性除了與網民切身利益緊密相連,此外,對于我國社會的穩定以及國家主權、民族文化等問題都具有一定的現實意義。因此,在信息化發展速度的不斷加快,計算機網絡信息的安全問題也逐漸引起了大多數人的重視與關注。
3安全維護的必要性
(1)隨著全球化進程的不斷深入,科學技術的作用越來越明顯。同時,我國在加入世貿組織后,與國際的競爭不但加劇,而且在發達國家與發展中國家間,信息技術的水平存在明顯的差異。尤其是在計算機網絡技術和軟件等方面,仍然需要依賴國外資源,而這種方式對于我國的網絡資源具有一定的安全隱患與威脅。因此,我國的網絡信息技術需要不斷的研發與創新,進而確保國家與人民的利益不受侵犯。
(2)現階段,和諧社會的建立具有重要的意義,而計算機的網絡管理也是維護社會穩定發展的重要部分。所以,建立我國和諧的網絡體制,有利于確保網絡正常運行與暢通,對人們的財產安全具有一定的保障作用,并且也更有利于保障社會的有序發展。目前,手機已經成為人與人之間重要的交流工具,但是也有不少違法行為是以手機為輔助工具作案。因為大部分的互聯網與手機行業是聯合發展的,所以,在發生違法行為時具有較強的偽裝性,無法使他人進行真偽的辨認。此外,還存在利用手機短信詐騙的行為,這對于人們的財產以及人身的安全也具有嚴重的不利影響。
(3)因為計算機網絡技術在各個行業領域中都被廣泛的應用,并且大部分的企業與國家的部門對于計算機技術的依賴性也不斷增強,所以,計算機網絡的信息技術安全與否,都對其正常的運行具有重要的意義與影響。如果計算機網絡信息安全存在隱患,就會嚴重地制約生產工作的正常進行,同時也會給國家的經濟帶來嚴重的影響。
4安全問題分析
4.1自然災害
因為計算機的信息系統只是智能機器,所以很容易受自然災害的影響。現階段,在計算機使用的環境中大多數都沒有防水、防電磁漏、防震、防干擾與防火的措施,并且在接地系統的設計時也缺少的考慮,最終使得計算機系統在與自然災害或者是意外事故進行抵抗時能力薄弱。
4.2計算機網絡系統自身脆弱
計算機網絡具有明顯的開放性,所以,在安全問題的研究中就會成為計算機網絡安全的較大弱點。與此同時,計算機網絡需要依靠TCP/IP協議,所以安全程度也大大降低。在實際運行以上協議時,計算機的網絡系統就會出現拒絕服務、數據篡改或者是欺騙攻擊進而數據截取的問題。
4.3用戶操作問題
計算機的使用用戶自身的安全意識較差,就會在用戶口令的設置中降低安全度,并且還存在隨意泄露自身賬號的現象,這對于計算機網絡的安全性也同樣具有一定的威脅。
4.4黑客網絡攻擊
黑客的網絡攻擊行為是個人的故意破壞行為。當計算機的網絡環境處于不穩定的狀態或者需要完成某種目的時,黑客就會通過一些高級的計算機軟件進入到國家或者個別單位的網絡系統中,對計算機的網絡系統進行破壞或者是信息的盜取。破壞與攻擊的手段十分多樣,包括木馬病毒、注冊口令與監聽器等等。這種攻擊行為對國家的利益造成了嚴重的損害,同時也使得人們的財產安全受到威脅[6]。
4.5病毒侵入
計算機病毒屬于網絡程序,并且對計算機網絡信息的安全具有一定的威脅性。計算機網絡信息技術被廣泛應用,同時也增加了病毒的擴散范圍。在計算機網站中最常見的病毒就有十分多的種類,并且通過不同的方式進行破壞。可能使用者在打開網絡頁面的過程中會出現圖片,而在點擊圖片刪除鍵的過程中就會出現另一網頁,這就給病毒的入侵提供了契機。此外,還可以利用郵件或者是qq的形式實現病毒的侵入。計算機網絡病毒的實際破壞能力十分強大,并且具有超強的繁殖能力。在計算進中病毒之后,大部分的硬件文件就會丟失,甚至會使計算機的網絡系統癱瘓。因此,計算機病毒不僅破壞能力強,傳播的速度也十分迅速,這對人們的正常生活與工作產生了不利的影響。
4.6人為失誤
雖然大部分人已經在計算機系統中安裝了殺毒軟件以及相關軟件來對網絡進行維護,但是,人們的安全意識并不明顯,因此,在計算機出現漏洞或者是危機的情況下很容易被人們所忽視。并且大多數的網絡操作人員很容易忘記開機的維護功能,這樣就會使其產生間斷性的保護,最終使計算機的網絡病毒趁機進入,產生網絡的安全隱患。
5具體措施 5.1強化網民安全意識
在計算機網絡信息安全問題中,主要的影響因素就是人為,所以,需要對計算機網絡的操作人員進行安全意識的培養,并且具有重要的現實意義。對計算機網絡系統加強管理力度,并利用具體的法律來約束行為,也可以對網民進行相應的道德教育,對于不良的網絡信息進入進行嚴格的限制。與此同時,應不斷提高計算機網絡信息技術相關技術人員自身的網絡安全意識,并正確地引導其網絡行為,并且,網絡維護人員的個人專業技能也同樣需要強化,并不斷提高自身素質,對網絡行為進行規范。
5.2建立健全數據保密系統
編碼重排的方式很容易使密碼被破解,進而造成嚴重的經濟損失。對數據進行加密,可以使其他的工作人員無法看到詳細的數據信息,進而保障數據資源的安全性。目前為止,對數據加密的方法有兩種,分別是對稱數據加密與非對稱數據加密。對稱數據加密的技術就是保障兩個程序同時運行,也就是使用一個秘鑰來對編碼進行加密和解密,并且獲得相應的內容。利用高級嚴謹的加密程序可以保障數據信息不被外漏,還可以使全部的程序正常并且安全地運行與操作。
5.3安裝相應的殺毒軟件并強化網絡維護的技術
殺毒軟件可以通過自身自動升級、軟件管理、監控識別與修復漏洞等功能,對計算機網絡的安全狀況進行檢測,并對計算機中存在的問題進行及時的修復,對計算機的垃圾進行清除。但是,殺毒軟件與網絡的維護技術在目前還尚未成熟,仍然存在缺陷與不足,因此需要繼續完善與改進。
6結語
計算機網絡信息安全問題在目前階段需要進行及時的解決與處理,并且需要通過具體的措施與方式來完善網絡信息的安全問題,進而更好地保障計算機網絡信息的安全性。
網絡信息安全論文:網絡信息安全保障策略
[摘 要] 隨著互聯網技術以及信息技術的飛速發展,網絡安全技術已經影響到社會的政治、經濟、文化和軍事等各個領域,信息安全的隱蔽性、跨域性、快速變化性和爆發性給信息安全帶來了嚴峻的挑戰。 網絡的信息安全是構建任何一個網絡系統時必須重點關注的事情。本文簡要地分析了網絡中存在的幾種信息安全隱患,并針對信息安全隱患提出安全保障策略。
[關鍵詞] 計算機網絡; 信息安全; 保障策略; 防火墻; 預防措施
1網絡信息安全定義及研究意義
1.1網絡信息安全定義
網絡安全從本質上來講就是指網絡系統中流動和保存的數據,不受到偶然的或者惡意的破壞、泄露、更改,系統能連續正常工作,網絡服務不中斷。而從廣義上來說,凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網絡安全所要研究的領域。
1.2網絡信息安全研究意義
網絡信息安全保障手段的研究和應用,對于保障信息處理和傳輸系統的安全,避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的信息造成破壞和損失;保護信息的保密性、真實性和完整性,避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損于合法用戶的行為;保護國家的安全、利益和發展,避免非法、有害的信息傳播所造成的后果,能進行防止和控制,避免公用網絡上大量自由傳輸的信息失控等方面都有非常重大的意義。
2網絡信息安全現狀
2.1物理傳輸對網絡信息安全的威脅
網絡通信都要通過通信線路、調制解調器、網絡接口、終端、轉換器和處理機等物理部件,這些往往都是黑客、攻擊者的切入對象。主要有以下幾方面的入侵行為:
(1) 電磁泄露:無線網絡傳輸信號被捕獲,對于一些通用的加密算法,黑客和攻擊者已有一整套完備的破解方案,能夠較輕易地獲取傳輸內容。
(2) 非法終端:在現有終端上并接一個終端,或合法用戶從網上斷開時,非法用戶乘機接入并操縱該計算機通信接口,或由于某種原因使信息傳到非法終端。
(3) 非法監聽:不法分子通過通信設備的監聽功能對傳輸內容進行非法監聽或捕獲,由于是基于通信設備提供的正常功能,一般使用者很難察覺。
(4) 網絡攻擊:如arp風暴等小包攻擊交換機等通信設備,引起網絡擁塞或導致通信主機無法處理超量的請求,輕則網絡服務不可用,重則整個系統死機癱瘓。
2.2軟件對網絡信息安全的威脅
現代通信系統如atm、軟交換、ims、epon、pos終端、手機等都使用大量的軟件進行通信控制,因此軟件方面的入侵也相當普遍。
(1) 網絡軟件的漏洞或缺陷被利用。軟件漏洞分為兩種:一種是蓄意制造的漏洞,是系統設計者為日后控制系統或竊取信息而故意設計的漏洞;另一種是無意制造的漏洞,是系統設計者由于疏忽或其他技術原因而留下的漏洞。
(2) 軟件病毒入侵后打開后門,并不斷繁殖,然后擴散到網上的計算機來破壞系統。輕者使系統出錯,重者可使整個系統癱瘓或崩潰。
(3) 通信系統或軟件端口被暴露或未進行安全限制,導致黑客入侵,進而可以使用各種方式有選擇地破壞對方信息的有效性和完整性,或者在不影響網絡正常工作的情況下,進行截獲、竊取、破譯,以獲得對方重要的機密信息。
2.3工作人員的不安全因素
內部工作人員有意或無意的操作或多或少存在信息安全隱患。
(1) 保密觀念不強,關鍵信息或資產未設立密碼保護或密碼保護強度低;文檔的共享沒有經過必要的權限控制。
(2) 業務不熟練或缺少責任心,有意或無意中破壞網絡系統和設備的保密措施。
(3) 熟悉系統的工作人員故意改動軟件,或用非法手段訪問系統,或通過竊取他人的口令字和用戶標識碼來非法獲取信息。
(4) 利用系統的端口或傳輸介質竊取保密信息。
3網絡信息安全保障策略
針對以上信息安全隱患,可以采用一些技術手段,對攻擊者或不法分子的竊密、破壞行為進行被動或主動防御,避免不必要的損失。
3.1物理傳輸信息安全保障
(1) 減少電磁輻射。傳輸線路應有露天保護措施或埋于地下,并要求遠離各種輻射源,以減少由于電磁干擾引起的數據錯誤。對無線傳輸設備應使用高性的加密手段,并隱藏鏈接名。
(2) 采用數據加密技術,對傳輸內容使用加密算法將明文轉換成無意義的密文,防止非法用戶理解原始數據。數據加密技術是一種主動的信息安全防范措施,可大大加強數據的保密性。
(3) 使用可信路由、專用網或采用路由隱藏技術,將通信系統隱匿在網絡中,避免傳輸路徑暴露,成為網絡風暴、ddos等攻擊對象。
3.2軟件類信息安全保障
安裝必要的軟件,可以快速有效地定位網絡中病毒、蠕蟲等網絡安全威脅的切入點, 及時、地切斷安全事件發生點和網絡。
(1) 安裝可信軟件和操作系統補丁,定時對通信系統進行軟件升級,及時堵住系統漏洞避免被不法分子利用。
(2) 使用防火墻技術,控制不同網絡或網絡安全域之間信息的出入口,根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流。且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施,是目前保護網絡免遭黑客襲擊的有效手段。
(3) 使用殺毒軟件,及時升級殺毒軟件病毒庫。小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺,可以有效地清除病毒,扼殺木馬。
(4) 使用入侵檢測系統防止黑客入侵。一般分為基于網絡和基于主機兩種方式。基于網絡的入侵檢測系統,將檢測模塊駐留在被保護系統上,通過提取被保護系統的運行數據并進行入侵分析來實現入侵檢測的功能。基于主機的入侵檢測系統對通信系統進行實時監控,通過監視不正當的系統設置或系統設置的不正當更改實現入侵檢測功能。基于主機的入侵檢測系統具有檢測效率高,分析代價小,分析速度快的特點,能夠迅速并地定位入侵者,并可以結合操作系統和應用程序的行為特征對入侵進行進一步分析。但在數據提取的實時性、充分性、性方面,基于主機日志的入侵檢測系統不如基于網絡的入侵檢測系統。 另外還有分布式入侵檢測、應用層入侵檢測、智能的入侵檢測等信息安全保障手段可以使用。
3.2內部工作人員信息安全保障
(1) 加強安全意識和安全知識培訓,讓每個工作人員明白數據信息安全的重要性, 理解保障數據信息安全是所有系統使用者共同的責任。
(2) 加強局域網安全控制策略,使網絡按用戶權限進行隔離或授權訪問。它能控制以下幾個方面的權限: 防止用戶對目錄和文件的誤刪除,執行修改、查看目錄和文件,顯示向某個文件寫數據,拷貝、刪除目錄或文件,執行文件,隱含文件,共享,系統屬性等。控制哪些用戶能夠登錄到服務器并獲取網絡資源, 控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限, 網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源, 可以指定用戶對這些文件、目錄、設備能夠執行的操作,權限按照最小化原則進行分配。
(3) 利用桌面管理系統控制操作終端的系統配置、軟件合法性、病毒庫、防火墻等。若用戶使用的終端或系統沒有按照要求按照合法軟件,則限制用戶接入網絡。若用戶的系統、防火墻、防毒軟件未及時更新,則強制用戶進行更新操作。使用桌面管理系統可以較大化凈化網絡環境,避免操作人員的終端引入信息安全隱患。
(4) 啟用密碼策略, 強制計算機用戶設置符合安全要求的密碼, 包括設置口令鎖定服務器控制臺, 以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據, 提高系統安全性, 對密碼不符合要求的計算機在多次警告后阻斷其連網。
4結束語
計算機軟件技術的發展使得計算機應用日益廣泛與深入,同時也使計算機系統的安全問題日益復雜和突出,各種各樣的威脅模式也不斷涌現。網絡信息安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,只有將各種方面的保障策略都結合起來,才能形成一個高效、通用、安全的網絡系統。
網絡信息安全論文:淺談基于供應鏈的網絡交易信息安全探討
論文關鍵詞:網絡交易 供應鏈 信息安全
論文摘要:網絡交易正隨著其交易額的迅猛增長,逐漸成為當前主流的商業模式。但是,網絡交易信息安全問題也日益嚴重。文章以供應鏈的視角,運用供應鏈管理思想,探討網絡交易信息安全問題。闡述了網絡交易中供應鏈特性以及供應鏈風險特征,以供應鏈為基礎,對網絡交易信息風險因素進行了歸納分析,并有針對性地提出相應對策。
一、 引言
隨著網絡信息技術的進步、互聯網的普及和人們消費理念的轉變,網絡交易作為一種當今迅猛崛起的商業模式越來越受人青睞與關注。根據中國互聯網絡信息中心公布的數據顯示,截至2010 年12月,中國互聯網用戶已經達到4.57億元,比2009年底增長7 330萬元,網絡普及率達到34.3%。同時,網絡交易額的增長率已達到數倍于傳統實體渠道的銷售額。以2010年手機與筆記本的銷售為例,傳統實體渠道銷售額分別增長15%和40%,而通過網絡交易的銷售額增長率則達到驚人的64.6%和193.8%。
與網絡交易快速發展產生鮮明對比的是,由于網絡交易對信息的高度依賴性,網絡交易信息安全問題越來越突出。據調查顯示,40%以上的消費者反映在線服務的保障不真實或不能兌現,有60%的消費者個人信息曾被商家或網站濫用,而更有70%以上的消費者在進行網絡交易活動時懷疑交易網站信息的真實性與合法性。
以上調查只是從消費者角度說明了網絡交易信息安全問題當前的嚴重性,但這只是問題的表象。畢竟,網絡交易活動中是圍繞產品和服務來進行的,只有同時存在供應方、制造方、分銷方、網上商家直至消費者等參與方,網絡交易行為才能真正實現。以往研究往往只針對上述某一方或幾方來討論網絡交易信息安全問題,顯然這只能解決部分問題。本文將從供應鏈的角度,運用供應鏈管理思想,探討網絡交易信息安全問題。
二、 網絡交易中供應鏈特性
網絡交易行為對供應鏈發展產生了深遠的影響。與以往傳統供應鏈相比,主要體現出以下新的特性。
1. 網絡信息平臺出現。網絡交易中的供應鏈與傳統供應鏈相比,除了由各成員企業構成的信息流交換系統外,還擁有專門應用于信息集成與共享的網絡交易供應鏈信息平臺。網絡交易供應鏈依托這一平臺的信息生成、處理、傳遞與接收,實現供應鏈各節點企業間的網絡交易決策行為。同時,通過這一平臺獲取與預測市場需求并做出積極響應,實現供應鏈穩定性與柔性的有機結合。
2. 網狀結構替代鏈狀結構。供應鏈結構的完整是其正常運營的保障。以往供應鏈是由供應方直至最終消費者的鏈狀結構,物流成為這種結構下的主要形式,供應鏈中任一成員單位的中斷,都可能對整個供應鏈結構產生破壞,影響整個供應鏈的運行。而基于網絡平臺信息發散性的網狀供應鏈結構,當某一成員出現中斷時,供應鏈能及時通過信息的協調作用,調整供應鏈結構,實現供應鏈結構的修復,保障供應鏈的正常運營。
3. 溝通與服務方式改變。網絡平臺的應用使供應方與需求方通過直接的信息交流建立溝通關系,消除了雙方的時間與空間距離,提高了響應速度與客戶滿意度。同時,以信息共享為基礎的生產與消費過程的協同,使得整個供應鏈更加開放、靈活和高效,為個性化的服務方式的實現提供了堅實的基礎。
4. 供應鏈成員共贏。供應鏈成員的共贏主要體現在供應鏈整體效率的提升。網絡平臺的應用,使成員單位的信息在網絡平臺實現共享,使零庫存、的銷售計劃與需求信息獲取成為可能,將整個網狀供應鏈真正地整合成一個整體,信息在網絡平臺中快速高效的流動,消除了整個供應鏈的多余消耗和運作,保障供應鏈整體效益的較大化,提高了總體競爭力,實現成員單位的共贏。同樣,通過網絡交易平臺,也為作為供應鏈終端的消費者提供了信息便利,節省了交易成本。
三、 網絡交易中供應鏈風險特征
1. 復雜性。首先,造成危機的原因是復雜的,既有供應鏈外部因素,也有供應鏈內部因素。其次,網絡交易平臺環境中供應鏈網絡結構的特性,造成鏈上成員不僅要面對單個成員企業的風險,還要面對成員企業之間的風險。再次,信息風險發生過程和產生后果也是復雜的,使得供應鏈成員難以評估風險并及時地做出決策。總體來看,網絡交易下的供應鏈風險的復雜性相對傳統供應鏈更高。
2. 虛擬性。網絡交易是以互聯網與信息技術為基礎的網絡平臺信息共享的形式存在,這使得供應鏈成員企業之間和供應鏈成員企業與消費者之間關系具有虛擬性的特征。基于網絡交易虛擬性特征,它所帶來的供應鏈風險同樣也具有虛擬性特征。網絡交易服務器流量限制,軟件設計的合理性以及網絡病毒的傳播等等潛在風險,都會給網絡交易中的供應鏈運營帶來虛擬性風險。
3. 傳播性。網絡交易平臺中供應鏈風險的傳播性特征,是由網絡平臺中供應鏈自身的網狀結構決定的。通過網狀結構供應鏈把從供應方、制造方、銷售方以及顧客有機的聯系起來,環環相連,互相依賴,彼此影響,每個成員的信息風險都會通過網狀結構傳播給其他供應鏈成員,影響到整個供應鏈的運作。在網絡交易平臺的環境下,這種影響的破壞性更加突出,傳播的速度也更加迅速而難以應對。
4. 易變性。供應鏈整體與成員績效的提高都離不開成員之間的合作互補,以提高競爭力,實現多贏。但是在市場理性的競爭規律下,供應鏈中的每個成員又是獨立核算的利益主體,彼此都以利益較大化為出發點。以此競爭規律,我們不難得出供應鏈成員企業的合作關系必將隨著整體利益與個體利益的博弈結果的變化而變化。同時,在網絡交易環境下的供應鏈內部和不同供應鏈之間,成員企業可能同時處于鏈內與鏈間的網狀結構之中,由于面對的環境和充當的角色不同與變化,其利益關系也隨之變化。因此,由于這些變化而帶來的不確定風險顯而易見。
四、 基于供應鏈的網絡交易信息風險因素
1. 供應鏈成員內部信息風險因素。
(1)信息不暢。信息在供應鏈中的高效流動才能保障供應鏈運營的高效。其前提是應保障信息在成員企業內部的高效有序流動,形成鏈內企業之間的高效有序的信息流,實現信息的及時交換。但是,供應鏈成員內部的種種不利因素如組織設置往往會制約其信息效率,引起內部信息不暢,更無法形成有效的鏈間信息流,給整個供應鏈的穩定運營帶來信息風險。
(2)信息虛假。網絡交易條件下的供應鏈是由信息連接的各節點企業組成的網狀動態組織。相比傳統供應鏈,由于成員內部信息的可視性差,其合作關系的不穩定性顯而易見。特別是在鏈內成員企業追逐各自利益較大化的情況下,都會存在隱瞞或虛報商業信息的情況。其中夸大需求信息以增加對供應鏈上游企業的議價能力的虛報需求信息情況尤為突出,這無形中擴大了整個供應鏈的牛鞭效應,使整個供應鏈失去有效協調,必然帶來信息風險。
2. 供應鏈成員間信息風險因素。
(1)逆向選擇。供應鏈成員之間主要為委托關系。鏈內企業的開展合作、共享信息等行為都是以供應商與制造商、制造商與銷售商之間形成一種合作協調和委托機制為基礎。然而,由于信息的不對稱性,委托關系往往引起逆向選擇風險。一般來說,方通常處于信息有利地位,它能通過信息不對稱性的加劇,獲得更多的利益但會降低供應鏈的整體利益。這種逆向選擇風險產生于信息不對稱,同時由于逆向選擇的存在也會擴大信息不對稱,加劇信息風險。
(2)信息共享。供應鏈中的信息交換均可視為信息共享行為。在網絡交易的虛擬化環境中,信息共享尤為重要。各成員企業往往通過建立將各自的信息數據平臺與整個供應鏈的信息共享數據平臺連接實現彼此的信息共享。但是,由于成員間信息數據平臺軟硬件的不匹配,數據集成和處理方式的差異,通常會造成數據生成、傳遞與處理的不確定性,使信息共享本應成為有利于降低供應鏈信息風險的環節變成了信息風險環節。其次,如果信息安全措施不到位,信息共享便會成為網絡交易信息泄漏的一個主要出口,可能會造成參與網絡交易的供應鏈參與方的巨大損失。
3. 技術設備信息風險因素。
(1)網絡安全。隨著人們消費觀念的改變,網絡交易的迅猛增長,而網絡安全問題也日益突出。基于供應鏈的網絡交易無論是從需求信息的收集反饋、供應商與制造商的訂貨協調,供應商與顧客的信息傳遞等方面的運營方式都對網絡安全提出了更高的要求。但是,網絡交易中網絡安全問題一直以來都是一個主要的隱患。系統安全漏洞、病毒、木馬、間諜軟件和安全機制缺失都嚴重破壞供應鏈信息的有效傳遞,成為網路交易供應鏈亟待解決的問題。
(2)信息處理。供應鏈運營中的信息量會隨著網絡交易量的增長而變得日益繁雜,對信息處理的技術水平要求也越來越高。信息的有效處理是信息有效傳遞和利用的前提。在信息處理過程中發生的信息不完整、失真等都可歸為信息處理風險。這類風險的原因主要由信息處理技術不當造成,報文形式、信息處理標準等問題都可能引起信息處理風險。
五、 基于供應鏈的網絡交易信息安全對策
1. 發揮供應鏈核心成員信息領導作用。供應鏈是由核心企業構成,圍繞核心企業運作的現代商業組織形式,網絡交易中的供應鏈也不例外,只是將更多的網絡信息技術加入其中。供應鏈核心企業在信息風險防控的作用很大程度反應在其對整個供應鏈信息規則的制定與監管執行方面。同時,核心企業可利用其供應鏈支配方的有利地位,獲取更多的供應鏈信息,并利用其強勢地位達到有效地信息監管的作用。另外,核心企業在信息真實性、信息標準、信息內容形式、信息處理方式、信息傳遞規則等方面都能起到其他成員無法取代的領導作用,從而有效防范信息風險。
2. 加強供應鏈成員企業信息控制。面對供應鏈成員企業自身利益較大化動機下的虛報信息,造成信息失真,給整個供應鏈帶來的信息風險。在信息收集環節,應加強對成員企業的控制監督,對其內部信息的真實性進行核查。并且,應制定供應鏈成員間的誠信與制約機制,對虛報、瞞報信息的行為給予制裁,避免由于供應鏈成員企業人為信息風險因素的存在。
3. 嚴格供應鏈成員選擇。供應鏈是由從原料采購到加工制造,產品運輸到分銷,直至最終客戶的空間與時間分布的網狀結構。構成成員素質直接制約了供應鏈的整體素質與競爭力,也直接影響到供應鏈的潛在信息風險。一般來說,構成成員企業素質越高,潛在風險信息越小。基于供應鏈的網絡交易信息風險也不例外,甚至成員素質對信息風險的影響會更高,因為網絡交易的信息不對稱性更強,更需要供應鏈成員的自律,沒有自身素質的保障,這種自律恐怕難以保障。解決成員企業素質問題,除了提高各自企業的能力素質外,供應鏈成員的選擇顯得尤為重要。不僅在選擇成員企業是要注重其競爭力,也要注重對其商譽、質量等方面的考慮。同時,制定有效的合作契約,有效控制成員企業的信息風險。
4. 增強供應鏈成員間信任。信息風險很大程度上產生于信息的不對稱性。為什么會存在信息不對稱,不難否定供應鏈成員企業間彼此的不信任是其主要原因。很難想象,兩個無話不說的知心朋友之間,會相互隱瞞,彼此欺騙。這種隱瞞欺騙其實就是信息不對稱現象,根源在于彼此不信任。大家都害怕對方獲得信息后會做出對自己不利的事情,損害自己的利益。在供應鏈整體利益較大化下的成員企業各自利益較大化,處理不好就很容易產生導致信息不對稱的不信任行為。那么,建立信任肯定不能憑空想象。首先,需要有兌現彼此間的保障的能力,保障保障的信息能夠按時按質實現;其次,應制定有效的契約,對信息不對稱行為進行制約。
5. 加強信息技術建設。供應鏈信息在成員企業內部和企業之間的高效流動與共享必須以信息技術為基礎。信息技術建設的一個主要目的是,將供應鏈成員企業內部和企業之間的與信息有關的軟硬件系統有效連接與整合到一個基于信息技術的信息共享平臺上來。這些需要整合的信息系統主要包括客戶關系管理系統、企業資源計劃系統和電子數據交換系統等。通過有效整合,建立高效順暢的信息流通途徑,保障供應鏈的整體運作效率,降低信息風險的可能性。
6. 推進信息標準化。供應鏈信息要達到高效的目的,信息共享是前提。信息怎么樣才能有效共享,信息本身、信息處理以及信息傳遞的標準化是解決信息有效共享,提高運作效率的根本保障。這就要求信息數據的格式、名稱、字段的規范,信息之間關系明確定義,信息處理遵循統一的程序,避免由于成員企業間信息差異造成的信息共享阻塞和中斷。
7. 提高網絡安全水平。供應鏈是基于信息網絡而存在的,網絡交易中的供應鏈對網絡的依賴就更加突出。網絡安全狀況直接制約著基于供應鏈的網絡交易的信息安全水平。網絡病毒是網絡安全的主要威脅。在網絡環境下,網絡病毒具有傳播快,影響廣,控制難度大的特點。這就要求從源頭來加以控制與管理。首先,主要由防毒軟件構成的網絡安全屏障應該具備,且能實時更新病毒數據庫。另外,對于威脅大、發生頻率高的主要網絡病毒,可有針對性的設計網絡安全策略。計算機操作系統和軟件也應注意實時更新。而備用網絡系統和軟件,在網絡威脅發生且一時難以控制的情況下,能保障供應鏈的正常運營和網絡交易的繼續。
網絡信息安全論文:研究計算機網絡信息安全及防護體系
研究計算機網絡信息安全及防護體系
近幾年來,計算機網絡技術飛速發展,社會也逐漸進入了信息化時代,網絡已經逐漸成為了人們生活中所不可或缺的部分。雖然網絡信息系統給人們的生活方式帶來了很多方便,但是在其被廣泛應用的同時,網絡信息安全也遭受到了前所未有的威脅,一些危險網絡信息安全的計算機病毒也開始在網上橫行。為了能夠從根本上避免這些病毒對計算機網絡信息安全帶來影響,加強計算機網絡信息的防護體系是必不可少的。
一、目前網絡中存在的安全威脅因素
計算機技術的不斷發展不僅給網絡信息的建設提供了充足的技術支持,而且也給計算機病毒的介入提供了平臺,導致越來越多的計算機病毒侵入到網絡系統信息的運行當中。計算機網絡信息安全本身具有機密性、完整性、可用性以及可控性等幾個特點,若在其使用的過程中遭受到病毒的影響,那么就會直接影響到信息本身的特點,導致信息泄露、完整性遭到破壞、拒絕服務以及非法使用等情況的發生。就我國目前網絡中所存在的安全威脅因素來看,主要包括以下幾種類型:
1.1 計算機病毒威脅本文由論文聯盟//收集整理
計算機病毒的產生是計算機技術飛速發展條件下的一個必然產生。所謂計算機病毒,主要是指通過一定的途徑傳播的,能夠對計算機功能和相關的數據造成破壞的一組計算機指令或程序代碼。這種程序具有很強的傳染性和破壞性,同時還有一定的自我復制能力。一旦侵入計算機程序中,便會快速將程序中的系統信息破壞,同時還會通過復制、傳送數據等多種操作在計算機程序中進行擴散。一般來說,生活中比較常見的傳播途徑主要包括移動硬盤、閃存盤、光盤已經網絡等。
1.2 拒絕服務攻擊
拒絕服務攻擊是黑客常用的一種攻擊手段,其主要是指利用一切辦法讓目標機器停止向用戶提供服務。能夠讓計算機向用戶停止服務的方法有很多,比如說對網絡帶寬進行消耗性攻擊等,但是這些都只是造成計算機拒絕服務的一小部分,通常來說,只要能夠給計算機程序帶來破壞,從而導致程序中某些服務被暫停的方法,都屬于拒絕服務攻擊。
1.3 黑客攻擊
黑客攻擊是計算機病毒中最常見的一種,也是計算機網絡所面臨的較大威脅。黑客攻擊具體來說又可以分為兩種:一種是網絡攻擊。主要是指以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網絡偵察,這種攻擊主要是指在不影響網絡正常工作的情況下,進行截取、竊取、破譯以獲得對方重要的機密信息。無論是哪一種攻擊,對計算機網絡所造成的危害都是不容小覷的。
1.4 軟件漏洞
在計算機運行所涉及的諸多程序、相關的操作系統以及各類的軟件等都是人為編寫和調試的,其本身的設計和結構避免不了的會出現一些問題,不可能是毫無缺陷和漏洞的。計算機病毒正是利用這些漏洞來對計算機的相關程序進行惡意破壞,導致其無法正常運行。在這種情況下,計算機大多處于相對來說比較危險的境地,一旦連接入互聯網,危險就悄然而至。
除了上述所提到的計算機病毒之外,特洛伊木馬、邏輯炸彈以及內部、外部泄密等也是日常生活中常見的計算機病毒,同樣也會給系統信息和數據帶來一定程度的破壞,影響計算機系統的正常使用。
二、計算機網絡信息安全的防護體系
為了能夠給計算機網絡信息創造一個良好的運行環境,構建網絡信息安全的防護體系是至關重要的一項工作,如果缺乏必要的防護體系,那么網絡信息勢必會遭到病毒的惡意攻擊,造成一場災難的發生。就我國目前對計算機網絡信息安全防護體系的構建現狀來看,主要可分為靜態被動防護策略和主動防護策略兩種類型。
2.1 靜態被動防護策略
我國目前靜態被動防護策略有很多種方式,其中對常用的就是加密和數字簽名。所謂加密防護策略,其主要目的就是為了防止信息被非授權人竊取,加密的方式有很多,目前采用最多的就是利用信息變化規則將可讀的信息轉化為不可讀的信息。采用加密這種方式來對計算機系統進行保護,不僅能夠有效地對抗截收、非法訪問等威脅。而且還能夠有效地對抗冒充、抵賴、重演等威脅。而所所謂的數字簽名,簡單的說,就是一種鑒別方法,主要的目的是為了解決偽造、抵賴、冒充和篡改等安全問題:
2.2 主動防護策略
雖然靜態被動防護策略能夠在一定程度上保護計算機的相關程序和信息不受病毒破壞,但是在實際操作過程中卻要耗費較大的人力。因此,建立一套具有主動性的防護體系是非常有必要的。目前,在對計算機程序的防護體系中,最常用的主動防護系統就是入侵檢測系統。這是一種基于主動策略的網絡安全系統,入侵檢測主要就是指對入侵行為的檢測,一旦在計算機程序中檢測出入侵行為,該系統就會對其采取相應的防護措施,從而達到對計算機網絡信息進行主動保護的目的,保障計算機的安全運行。
結語:
綜上所述,隨著我國計算機技術的不斷發展及廣泛應用,計算機網絡信息安全防護體系的構建也成為了相關部門高度重視的一項工作。為了能夠從根本上消除計算機病毒等因素給網絡信息安全所造成的影響,相關工作人員必須要在充分了解計算機網絡信息運行環境的基礎上,采取科學合理的方法構建相關的信息防護體系,從而實現從根本上對網絡信息進行保護,使其作用能夠更好的發揮出來。
網絡信息安全論文:淺析行政機關計算機網絡信息安全及策略
論文關鍵詞:行政機關 計算機網絡 信息安全
論文摘要:隨著計算機技術和信息網絡技術的發展,全球信息化已成為人類發展的趨勢。行政部門信息網絡的互聯,較大限度地實現了信息資源的共享和提高行政部門對企事業單位監管監察的工作效率。然而網絡易受惡意軟件、黑客等的非法攻擊。如何保障計算機信息網絡的安全,已成為備受關注的問題。
行政機關的計算機網絡系統通常是跨區域的intranet網絡,提供信息管理、資源共享、業務窗口等應用服務的平臺,網絡內部建立數據庫,為各部門的業務應用提供資源、管理,實現數據的采集、信息、流程審批以及網絡視頻會議等應用,極大提高了日常工作效率,成為行政機關辦公的重要工具,因此要求計算機網絡具有很高的可操作性、安全性和保密性。
1、開放式網絡互連及計算機網絡存在的不安全要素
由于計算機網絡中存在著眾多的體系結構,體系結構的差異性,使得網絡產品出現了嚴重的兼容性問題,國際標準化組織iso制定了開放系統互聯(osi)模型,把網絡通信分為7個層次,使得不同結構的網絡體系在相應的層次上得到互聯。下面就根據網絡系統結構,對網絡的不安全因素分層次討論并構造網絡安全策略。
(1)物理層的安全要素:這一層的安全要素包括通信線路、網絡設備、網絡環境設施的安全性等。包括網絡傳輸線路、設備之間的聯接是否尊從物理層協議標準,通信線路是否,硬件和軟件設施是否有抗干擾的能力,網絡設備的運行環境(溫度、濕度、空氣清潔度等),電源的安全性(ups備用電源)等。
(2)網絡層的安全要素:該層安全要素表現在網絡傳輸的安全性。包括網絡層的數據傳輸的保密性和完整性、資源訪問控制機制、身份認證功能、層訪問的安全性、路由系統的安全性、域名解析系統的安全性以及入侵檢測應用的安全性和硬件設備防病毒能力等。
(3)系統層的安全要素:系統層是建立在硬件之上軟環境,它的安全要素主要是體現在網絡中各服務器、用戶端操作系統的安全性,取決于操作系統自身的漏洞和不足以及用戶身份認證,訪問控制機制的安全性、操作系統的安全配置和來自于系統層的病毒攻擊防范手段。
(4)應用層的安全要素:應用層的安全要素主要考慮網絡數據庫和信息應用軟件的安全性,包括網絡信息應用平臺、網絡信息系統、電子郵件系統、web服務器,以及來自于病毒軟件的威脅。
(5)管理層的安全要素:網絡安全管理包括網絡設備的技術和安全管理、機構人員的安全組織培訓、安全管理規范和制度等。
2、網絡安全策略模型及多維的網絡安全體系
行政機關的網絡安全需要建立一個多維的安全策略模型,要從技術、管理和人員三位一體多方位綜合考慮。
技術:是指當今現有使用的設備設施產品、服務支持和工具手段,是網絡信息安全實現的基礎。
管理:是組織、策略和流程。行政機關信息網絡的安全建設關鍵取決于組織人員的判斷、決策和執行力,是安全成敗的必要措施。
人員:是信息網絡安全建設的決定性因素,不論是安全技術還是安全管理,人員是最終的操作者。人員的知識結構、業務水平是安全行為執行的關鍵。
基于網絡信息安全是一個不斷發現問題進而響應改進的循環系統,我們構造網絡安全策略模型為:防護-->檢測-->響應-->恢復-->改善-->防護。
運用這個安全體系我們解決網絡中的不安全要素,即在物理安全、網絡安全、系統安全、應用安全和管理安全等多個層次利用技術、組織和人員策略對設備信息進行防護、檢測、響應、恢復和改善。
(1)物理安全:采用環境隔離門禁系統、消防系統、溫濕度控制系統、物理設備保護裝置(防雷設備)等,設置監控中心、感應探測裝置,設置自動響應裝置,事故發生時,一方面防護裝置自動響應,另一方面人員發現處理,修復或更換設備的軟、硬件,必要時授權更新設備或設施。
(2)網絡安全:采用防火墻、服務器、訪問控制列表、掃描器、防病毒軟件等進行安全保護,采用網絡三層交換機通過劃分vlan,把網絡中不同的服務需求劃分成網段,采用入侵檢測系統(ids)對掃描、檢測節點所在網段的主機及子網掃描,根據制定的安全策略分析并做出響應,通過修改策略的方式不斷完善網絡的安全。
(3)系統安全:采用性能穩定的多用戶網絡操作系統linux作為服務器的基礎環境,使用身份認證、權限控制進行保護,用登陸控制、審計日志、文件簽名等方式檢測系統的安全性,進行接入控制審計響應,通過對系統升級、打補丁方式恢復系統的安全性,可以通過更新權限來改善用戶對系統操作的安全性。
(4)應用安全:采用身份認證、權限控制、組件訪問權限和加密的辦法進行保護,用文件、程序的散列簽名、應用程序日志等方式檢測應用程序的安全性,通過事件響應通知用戶,采用備份數據的辦法恢復數據,通過更新權限完善應用系統的安全性。
(5)管理安全:通過建立安全管理規章制度、標準、安全組織和人力資源,對違規作業進行統計,制定緊急響應預案,進行安全流程的變更和組織調整,加強人員技能培訓,修訂安全制度。
3、行政機關人員安全的重要性
行政機關網絡信息的安全,人員占據重要的地位,網絡安全的各要素中都涉及人員的參與,因此對人員的安全管理是行政機關網絡信息安全的重點。
首先組織領導要高度重視網絡信息的安全性,建立周密的安全制度(包括網絡機房安全制度、計算機操作員技術規范等),提高從業人員的素質和業務水平,防范人為因素造成的損失。
其次是組織員工進行信息安全培訓教育,提高安全意識。對專業技術人員做深入的安全管理和安全技術培訓。
再次是網絡技術人員要定期對設備巡檢維護,及時修改和更新與實際相應的安全策略(防火墻、入侵檢測系統、防病毒軟件等)。
是安全管理人員定期檢查員工的網絡信息方面的安全問題。
4、結語
行政機關網絡安全從其本質上講就是保障網絡上的信息安全,網絡安全是一個多方位的系統工程,需要我們不斷地在實踐和工作中發現問題和解決,仔細考慮系統的安全需求,將各種安全技術,人員安全意識級水平、安全管理等結合在一起,建立一個安全的信息網絡系統為行政機關工作服務。
網絡信息安全論文:簡析一種網絡應用系統信息安全模型的研究和應用
論文關鍵詞:安全技術和機制;身份認證;訪問控制;數據加密
論文摘要:針對一般網絡應用系統的特征,融合了數據加密、身份認證和訪問控制三種安全技術和機制,并充分考慮了系統安全性需求與可用性、成本之間的平衡,提出了一個以信息資源傳輸和存儲安全保護,身份認證安全管理和資源訪問安全控制為基本要素的網絡應用系統信息安全模型,為加強中小型企業網絡應用系統安全性提供了一個比較簡單可行的方案。
0引言
由于網絡環境的特殊性,每一個投人使用的網絡應用系統都不可避免地面臨安全的威脅,因此,必須采取相應的安全措施。國內在信息安全方面已做了很多相關研究,但大多是單獨考慮資源保護或身份認證等某一方面,而對如何構建一個相對完善且通用的網絡應用系統信息安全解決方案研究不多。本文在iso提出的安全服務框架下,融合了數據加密、身份認證和訪問控制三種安全技術和機制,并充分考慮了系統安全性需求與可用性、成本等特性之間的平衡,提出了一個以信息資源傳輸和存儲安全保護、身份認證安全管理和資源訪問安全控制為基本要素的網絡應用系統信息安全模型,為加強中小型企業網絡應用系統安全性提供了一個比較簡單可行的方案。
1網絡應用系統信息安全模型設計
1.1信息安全模型總體設想
本文提出的網絡應用系統信息安全模型主要基于三個要素:信息資源傳輸和存儲安全保護,身份認證安全管理以及用戶對資源訪問的安全控制。整個信息安全模型如圖1所示。模型利用過濾器來區分敏感數據與非敏感數據,對于非敏感數據直接以明文形式進人信息資源層處理,而對敏感數據則采用加密傳輸通道進行傳輸,且需要經過身份認證層與訪問控制層的控制后才能進人信息資源層。這樣的設計在保障了信息傳輸和存儲較高的安全性的同時,減少了身份認證層與訪問控制層的系統開銷,大大提高了系統的運行效率。而在信息資源層,則是通過備份機制、事務日志和使用常用加密算法對數據庫中數據進行處理,來保障信息傳輸和存儲的安全。
1.2身份認證層的設計
身份認證層主要包括兩部分:用戶身份認證和用戶注冊信息管理,采用了基于改進的挑戰/應答式動態口令認證機制。
目前使用比較普遍的是挑戰/應答式動態口令認證機制,每次認證時服務器端都給客戶端發送一個不同的“挑戰”字串,客戶端收到這個字串后,作出相應的”應答”。但是,標準的挑戰/應答動態口令認證機制具有攻擊者截獲隨機數從而假冒服務器和用戶,以及口令以明文形式存放在數據庫中易受攻擊兩個缺點。在本模型采用的改進的挑戰/應答式動態口令認證機制中,通過1.4節中論述的敏感數據加密通道對隨機數進行加密傳輸解決了上述及時個問題;通過在客戶端將用戶口令經m ds算法散列運算并保存在服務器端數據庫解決了上述第二個問題,使得服務器在認證時只需要比對客戶端處理后傳來的加密字符串即可。方案的具體流程如下:
1)服務器端口令的保存當用戶在服務器端錄人注冊信息時,將用戶的密碼進行k次m ds散列運算放在數據庫中。
2)用戶請求登錄服務器端開始執行口令驗證:當用戶請求登錄服務器時,web服務器在送出登錄頁面的同時產生一個隨機數并將其通過敏感數據加密傳輸通道發給客戶端。
3)客戶端m ds口令的生成客戶端首先重復調用與服務器端同樣的mds運算k次,得到與保存在服務器端數據庫中的口令一致的消息摘要。然后,將從服務器傳來的隨機數與該口令相加后再調用客戶端的m ds散列運算函數,將結果(m ds口令)通過敏感數據加密傳輸通道傳送給服務器。
4)服務器端對mds口令的驗證服務器端收到客戶端傳來的用戶名和mds口令后,通過查詢數據庫,將已存儲的經過k次m ds散列運算的口令與隨機數相加后同樣進行m ds散列運算,并比較兩個結果是否相同,如相同則通過驗證,否則拒絕請求。整個用戶口令的生成和驗證過程如圖2所示。
1.3基于rbac的訪問控制層的設計
訪問控制層主要包括兩部分:權限驗證與授權和資源限制訪問,采用了基于角色的訪問控制機制。在rbac中引人角色的概念主要是為了分離用戶和訪間權限的直接聯系,根據組織中不同崗位及其職能,一個角色可以擁有多項權限,可以被賦予多個用戶;而一個權限也可以分配給多個角色。在這里,約束機制對角色和權限分配來說非常重要,本模型設計的約束機制主要包括以下幾方面:一是限制一個角色可以支持的較大用戶容量。如超級管理員這個角色對于應用系統非常重要,只允許授權給一個用戶,該角色的用戶容量就是1。二是設置互斥角色。即不允許將互相排斥的角色授權給同一個用戶。如客戶類的角色和管理員類的角色是互斥的。三是設置互斥功能權限。即不允許將互相排斥的功能權限授權給同一個角色。如客戶類角色查看自己銀行賬戶余額信息的權限與修改自己賬戶余額的權限就是互斥的。
數據庫結構設計是實現rbac的重要環節,良好的數據庫結構設計本身就可以表述rbac的要求。具體設計如下:
1)用戶信息表(user_info)保存用戶基本信息。其字段有用戶id ( user id )、用戶名稱(username )、密碼(passw )、用戶類型( kind )。定義表中的kind數據項與role表中kind數據項具有相同的形式。將用戶進行分類后,當分配給用戶角色時可以指定用戶只能被分派到與其kind屬性相同的角色,這樣就可以實現角色的互斥約束。
2)角色信息表(role )、保存各個等級的角色定義信息。其字段有角色id ( role_id )、角色名稱(rolename )、角色種類( kind)和角色描述(role_ desc ) o kind數據項代表指定角色集合中的類別。
3)用戶/角色關系信息表(user_role)保存用戶和角色的對應關系,其字段有用戶id和角色id。當向user_role表中添加數據即給用戶分配角色時,要求user_ info表中要分配角色的用戶數據元組中的kind數據項與role表中相應角色的元組kind數據項相同,以實現一定尺度上的角色互斥,避免用戶被賦予兩個不能同時擁有的角色類型。
4)權限信息表(permission)保存系統中規定的對系統信息資源所有操作權限集合。其字段有權限id ( per_id ),操作許可(per),資源id( pro_id)和權限描述(per desc )。
5)角色/權限信息表(role_ per)保存各個角色應擁有權限的集合。其字段有角色id和權限id。
6)系統信息資源秘密級別表(secretlevel)保存規定的系統信息資源的秘密級別。其字段有資源id,密級id ( secrlev_id)和密級信息描述(secr_desc )。在客戶端和服務器端傳輸數據和存儲的過程中,通過查詢該表可以判斷哪些信息資源為敏感數據,從而決定對其實施相應的安全技術和機制。
7)角色繼承關系表(role_ heir)存放表述各種角色之間繼承關系的信息。其字段有角色id,被繼承角色id ( h_role_id )。角色繼承關系可以是一對一,一對多或多對多的,通過遍歷整個角色繼承關系表,就可以知道所有的角色繼承關系。
8)權限互斤表(mutexper)保存表述角色對應權限互斥關系的信息,其字段有權限id和互斥權限id。
1.4敏感數據加密傳輸通道的設計
設計敏感數據加密傳輸通道的目的是保障敏感信息在傳輸過程中的保密性與完整性。針對中小型企業網絡應用系統的特點,在充分對比各種數據加密傳輸解決方案的基礎上,從成本和效果兩方面出發,我們選擇3des加密算法對敏感數據進行加密。同時又結合了rsa算法對密鑰進行傳輸,從而解決了對稱加密算法缺乏非對稱加密算法}/}/公鑰的安全性這個問題。具體工作流程如下:
1)服務器端由rsa加密算法生成公鑰kspub和私鑰kspriv;
2)服務器端將公鑰kspub傳送給客戶端;
3)客戶端接收公鑰kspub,然后由3des加密算法生成對稱密鑰ksym,用kspub加密ksym ;
4)客戶端將加密后的ksym傳送給服務器端;
5)服務器端用kspriv解密得到ksym ;
6)敏感數據加密傳輸通道建立成功,服務器端和客戶端以ksym作為密鑰對敏感數據加/解密并傳輸。
1.5安全審計部分的設計
本模型中的安全審計記錄內容包括三個方面:一是用戶信息,包括用戶名、用戶ip地址等;二是用戶行為信息,包括用戶訪問系統敏感資源的內容、訪問系統資源的方式等;三是時間信息,包括用戶登錄和注銷的時間、特定行為發生的時間等。值得注意的是,安全審計跟蹤不僅要記錄一般用戶的行為,同時也要記錄系統管理員的行為。
2結束語
我們采用sis模式,在jzee技術平臺上實現了本文設計的網絡應用系統信息安全模型,在三種角色類型、九種不同權限的假設前提下,模擬了一個網上銀行公共服務系統的業務流程,并對其中的主要安全防線的效果進行了如字典攻擊等安全性測試,取得了較滿意的結果。
網絡信息安全論文:網絡信息安全應急機制的理論基礎及法律保障
網絡技術的高速發展,使物理世界中涉及政治、軍事、經濟、文化、外交、安全關系和利益的全球化、多級化世界格局,映射到開放的網絡空間,由此形成的非傳統安全進一步加劇了網絡化社會的風險。然而,如何正確處理在網絡空間緊急狀態下安全與發展、政府與社會之間的關系,確定我國網絡信息安全應急機制的價值目標,建立網絡信息安全應急機制的法律保障體系,這些都是值得我們關注的問題。
1 網絡信息安全應急機制的理論基礎
1.1 憲政基礎 憲政是以良憲為基礎,民主為基石,法治為載體,人權實現為宗旨的一種政治理念、政治形態和政治過程,憲法至上是憲政最重要的標志,也是法治文明的核心和首要要求[1]。政府要在緊急狀態應急中發揮積極作用,必須具有憲政上的法律基礎。我國《憲法》第67條第20項規定了全國人大常委會行使決定全國或個別省、自治區、直轄市進入緊急狀態的權力;第80條規定了國家主席根據全國人大及其全國人大常委會的決定,有宣布進入緊急狀態的權力。這充分說明了緊急狀態下政府權力來源必須有法律依據。
在網絡信息安全應急方面,政府是應急的組織者和指揮者。對于涉及國家安全或經濟發展的網絡信息安全緊急事件,必須由政府統一協調指揮,控制事態的進一步惡化,盡快恢復網絡的正常運行和正常的社會生活秩序。首先,政府有控制一般網絡信息安全事件演變為緊急或者危機事件的職責。在早期的計算機發展過程中,“應急”是單位保障計算機連續運營的重要舉措。即使到現在,應急保障也是應用單位的工作重點。但是,在網絡成為國家信息基礎設施之后,網絡信息安全應急已經成為國家整體安全戰略的重要組成部分。互聯互通中網絡的一般性局部事件都可以快速演變為全局性的重大事件,使國家和社會處于危機狀態,政府對此負有快速應對的職責。其次,政府有能力控制緊急事件和盡快恢復正常的社會生活秩序。網絡緊急狀態的惡性發展,威脅著社會公共利益和國家安全。而采取的特殊對抗措施,必然要求儲備關鍵技術設備和人、財、物的事前準備。只有政府才能有這樣的實力,同時,政府掌握著大量的網絡安全信息,可在關鍵時刻啟動“可生存網絡”,保障國家基礎設施的連續運營。
1.2 社會連帶責任思想 社會連帶責任思想定位于社會存在為統一整體,認為人們在社會中存在相互作用、相互依存的社會連帶關系,表明了人們在社會中共同生活、共同生產的一種模式,這種模式更多的關注了人在社會中的合作與責任[2]。主張社會各方參與網絡信息安全應急活動,正是強調了應急保障中的這種合作、責任思想。
首先,網絡空間強化了社會成員之間的聯系、合作和責任。這是一種新型的網絡信息安全“文化觀”。這種“文化觀”認為,在各國政府和企業越來越來依賴于超越國界的計算機網絡時代,有必要在全球倡導和建立起一種“信息安全文化”,參與者應當履行網絡安全責任,提升網絡安全意識,及時對危害網絡信息安全的緊急事件作出反應,不定期地評估網絡和信息系統的安全風險。
其次,網絡安全威脅要求政府與社會成員之間合作。面對當前復雜多變的網絡信息安全形勢,政府應對緊急狀態需要有社會各方的積極參與。提倡社會力量參與網絡應急保障工作,是政府網絡信息安全應急管理的新思路。以指揮命令為特征的狹隘行政觀念,將被執政為民的現代行政理念所代替。按照社會連帶責任思想中的“合作”精神,沒有社會力量的參與配合,政府將難以在應急響應、檢測預警中起主導作用,無法履行其對網絡社會危機管理的職責。
美國《網絡空間安全國家戰略》指出,保護廣泛分布的網絡空間資源需要許多美國人的共同努力,僅僅依靠聯邦政府無法充分保護美國的網絡安全,應鼓勵所有的美國人保護好自己的網絡空間。聯邦政府歡迎公共和私人機構在提高網絡安全意識、人員培訓、激勵勞動力,改善技術、確定脆弱性并提高恢復能力、交換信息、計劃恢復運行等方面開展合作。
1.3 權利平衡理念 從公法和私法的關系看,公法之設乃是為了實現私法的目的。網絡信息安全應急立法必須考慮到政府緊急權力對公民、單位私權益保護的積極方面,又要防止應急部門在行使行政緊急權力時侵犯公民的私權利。解決沖突,尋求平衡,始終是對“法治文明”的積極追求。盡快恢復網絡秩序,穩定社會則是應對緊急狀態的較高目的。
為了保障公民的權利不因緊急狀態的發生而被政府隨意剝奪,許多國家憲法和國際人權文件都規定,即使是在緊急狀態時期,一些最基本的人權,如生命權、語言權、宗教信仰權等也不得被限制,更不得被剝奪,這些規定都是防止政府隨意濫用行政緊急權,而使公民失去不應當失去的權利[3]。如1976年1月3日生效的《公民及政治權利國際公約》、1953年9月3日生效的《歐洲人權公約》以及1969年11月22日在哥斯達黎加圣約翰城制定的《美洲人權公約》都規定在緊急狀態下不得剝奪公民的某些基本權利。這些基本權利包括:生命權、人道待遇權、不受奴役的自由、不受有追溯力的法律的約束等。《美國人權公約》還規定不得中止保障公民家庭的權利、姓名的權利、國籍的權利和參加政府的權利。1976年國際法協會組織小組委員會專門研究在緊急狀態下如何處理維護國家生存和保護公民權利的關系,經過6年的研究,起草了《國際法協會緊急狀態下人權準則巴黎低標準》,為各國制定和調整緊急狀態的法律提出了指導性的原則,通過規定實施緊急狀態和行使緊急權力的基本條件和應遵循的基本原則以及各種監督措施,以防止政府濫用緊急權力,低限度地保障公民的權利。
2 網絡信息安全應急機制的價值目標
所謂價值目標是指為了實現某種目的或達到某種社會效果而進行的價值取舍和價值選擇。它既反映了法律的根本目的,也是解釋、執行和研究法律的出發點和根本歸宿。在每一個歷史時期,“人們都使各種價值準則適應當時的法學任務,并使它符合一定時間和地點的社會理想”。[4]網絡信息安全應急機制的價值目標包括兩個方面:一是實現網絡安全、提高網絡緊急事件處理效率、促進國民經濟發展;二是確立以實現網絡安全為較高價值目標的價值層次配置。
2.1 安全價值 安全價值是網絡信息安全應急機制的較高價值目標,也是信息安全保障的主要內容。隨著網絡信息技術的不斷發展,關鍵基礎設施越來越依賴于復雜的網絡空間,網絡空間是這些基礎設施的神經系統,是一個國家的控制系統。一旦網絡空間突發緊急事件,將威脅國家的整體安全,其后果不堪設想。信息技術革命帶來的經濟發展潛力也部分地被網絡安全風險所淹沒,網絡空間的脆弱性使得商事交易面臨著嚴重的危險。有資料顯示,金融業在災難停機2天內所受損失為日營業額的50%,如果兩個星期內無法恢復信息系統,75%的公司業務會被中止,43%的公司將再也無法開業[5]。
安全價值反映了人們應對網絡安全緊急狀態的積極態度,是人們在長期社會實踐中的經驗總結。首先,在認識到網絡脆弱性之后,人們不是拒絕、放棄網絡技術給人類所帶來的文明,而是積極地通過適當途徑對網絡技術中的風險加以認識和積極防御,并以此實現社會的“跨越式”發展。其次,在國民經濟和人類社會對網絡空間高度依賴之后,應對網絡緊急狀態就成為人類生存的基本需求。第三,網絡的國際化進一步加劇了網絡緊急狀態的突發性、復雜性和隱蔽性。網絡恐怖活動、敵對勢力集團的信息戰威脅等等,使人類社會面臨前所未有過的安全威脅,應急因而成為信息安全保障體系的重要組成部分。
2.2 經濟價值 網絡信息安全應急機制的本質在于對網絡緊急事件的快速響應,有效處理網絡緊急事件,將事件造成的危害降到低,同時保護人民的合法權益。必須指出的是,這里的效率價值主要是處理緊急事件的時間效率而非金錢效率,因為在網絡空間,因系統遭受攻擊等緊急事件造成的重要信息丟失是難以用金錢來衡量的。
網絡信息安全應急的效率價值首先表現在對緊急事件的快速響應方面。快速應對緊急事件必須建立有效的應急管理機構,保障政令暢通。其次,效率價值要求應急管理機構必須建立完善的預警檢測、通報機制,分析安全信息,告警信息和制訂預警預案,做到有備無患。同時,建立應急技術儲備的法律保障機制。應急本質是一種信息對抗,對抗就是控制緊急狀態的惡性發展,對抗就是防御網絡緊急事件的信息技術。因此,必須有先進的應急技術來提高緊急事件的預防和處理能力。第三,效率價值要求賦予應急響應組織行政緊急權力,以控制損失,盡快恢復網絡秩序。以盡快恢復秩序為目的對私權益進行的要干預是必要的。
2.3 發展價值 發展價值是應對網絡安全緊急狀態的約束價值,是人們應對緊急狀態這種非常態規則的限制思想,是正確認識發展與安全、效率之間關系的理性抉擇。首先,根據心理學理論,企業長期處于應急狀態,必然會影響發展,所以應急立法應當以“盡快結束緊急狀態”為其基本原則,設計制度、建立機制。其次,對應急過程中的行政緊急權力進行必要的限制,以防止行政緊急權力的濫用對重要領域企業的發展造成不利的影響。同時,建立合理的緊急狀態啟動程序和終止程序,這對于企業健康快速發展也至關重要。第三,對政府在緊急狀態下的征用、斷開、責令停產停業等措施對公司、企業造成的經濟損失,在緊急狀態結束后應該給予相應的賠償,以增加企業對政府的信任度,促進企業經濟發展。
網絡信息安全應急機制的價值目標是一個由安全價值、經濟價值和發展價值構成的有機體系。安全價值是核心,是首要目標,位于及時層次。網絡信息安全應急機制中安全價值的地位類似于法律制度中位階較高的法律價值,它指導和貫穿整個網絡信息安全應急的過程。在目標體系中,經濟價值是第二價值目標,位于第二層次;發展價值是第三價值目標,位于第三層次。經濟目標和發展目標必須服從于安全目標的要求,只能在保障安全的基礎上考慮應急的效率性和國民經濟的發展。
3 網絡信息安全應急機制的法律保障
從網絡信息安全應急機制的理論基礎出發,為實現網絡信息安全應急機制的安全價值目標,筆者認為,法律應從以下幾方面進行界定:
3.1 建立適合我國國情的網絡信息安全應急管理體系 應急管理體系是網絡信息安全應急保障的重要內容。應急管理體系是否合理直接關系到法律實施的效果。根據國務院27號文的總體精神,文章認為,我國網絡信息安全應急管理體系應為一元化的兩層結構。所謂一元化,是指國家應當建立應急協調機構,統一負責網絡信息安全應急管理工作。所謂兩層結構是指應當發揮行業和地方政府的優勢,加強應急管理。
a.國家應急協調機構及其職責。國家應急協調機構是我國網絡信息安全緊急狀態應急的較高決策機構[6]。在美國,主要由國土安全部負責開發國家網絡空間安全響應系統,對網絡攻擊進行分析,告警、處理部級重要事故,促進政府系統和私人部門基礎設施的持續運行。在我國,國家應急協調機構為信息產業部互聯網應急處理協調辦公室。國家應急協調機構應當履行以下主要職責:協調制定和貫徹國家信息安全應急法律法規政策;協調國家應急響應基礎設施建設;協調國家緊急狀態下應急技術的攻關和開發;授權、終止國家和區域性的緊急狀態命令。
b.行業應急管理部門及其職責。行業應急管理部門是指根據國家法律和行政規章授予的職權,建立行業內網絡應急管理的部門,如軍隊可以分兵種建立信息安全應急管理體系,國務院可以按照行政職權的不同分別建立網絡安全應急管理體系,中共中央和政協系統也可以建立各自應急管理體系。行業應急管理部門依法對管轄的國家關鍵基礎設施的緊急狀態進行管理。
行業應急管理部門的主要職責應當包括:貫徹落實國家關于網絡信息安全應急的政策和法律;實施行業應急響應基礎設施的規劃、建設;在行業內部建立應急預警和檢測體系,建立預警網絡平臺,加強與其他行業之間的合作;對行業內重要部門有關危害網絡安全的警告;組織協調行業應急響應工作。
c.地方政府應急管理部門及其職責。地方政府應急管理部門負責其轄區內的網絡信息安全應急管理工作。在美國,新墨西哥關鍵基礎設施保護委員會(nmciac)就是一個私人-公共部門的合作機構,它的建立最初是為了商業團體、工業、教育機構、聯邦調查局(fbi)、新墨西哥州政府和其他聯邦、州和地方機構之間的信息交換,以確保對新墨西哥關鍵基礎設施的保護。nmciac致力于研究威脅、脆弱性和對策,還針對基礎設施攻擊、非法系統入侵以及可能影響nmciac成員組織和普通民眾的那些因素所采取的各種響應進行研究。
3.2 建立、快速的預警檢測機制 建立一套快速有效的網絡信息安全應急預警、檢測和通報機制,成為實際處理突發事件成功的關鍵。網絡信息安全應急的目的就是要預防網絡安全緊急事件的發生,或者是將緊急事件的危害降到低。建立常設的預警機構,及時地收集掌握各種情報信息,把握事件發生的規律和動態,才能對事件的性質、范圍、嚴重程度做出的判斷,最終才能打贏應急這場仗。
美國《網絡空間安全國家戰略》指出,在網絡信息安全應急響應檢測預警機制的建設上,將網絡告警與信息網從聯邦政府網絡檢測中心擴展到聯邦政府的網絡運行中心和私人部門的信息共享與分析中心,為政府部門和產業界提供了一個共享網絡告警信息的專用、安全通信網絡,以支持國土安全部在網絡空間危機管理中的協調。這種建立統一平臺、共享網絡告警信息的做法對我國有著非常重要的借鑒價值。
筆者認為,一個完善的預警檢測應包括以下幾個方面的內容:a.建立一個全國性的能夠對重大基礎設施攻擊發出預警的國家中心,各個部門還應該建立事前收集掌握各種緊急狀態信息的檢測判定和應急響應的日常機構。同時,建立自己的網絡監測平臺,連入cncert/cc的監測平臺,實現信息共享。b.各級政府、行業應急部門及其社會性的應急部門要制定預防網絡安全緊急事件的應急預案,針對不同的計算機信息系統,按照事件發生后的影響程度(時間長短、業務范圍、地域范圍等因素)制定不同的預案。要對應急預案進行測試和演練,不演練和改進,所有好的預案都等于零。c.建立統一的網絡安全緊急事件預防控制體系,及時地收集掌握各種深層次、前瞻性的情報信息,及時把握事件發生的規律和動態。d.對預警、檢測規定法律責任。
3.3 明確應急過程中的行政緊急權力的限制和法律救濟機制 為了應對緊急狀態,臨時剝奪某些公民、單位的私權益,是各國應急法的普遍實踐。行政緊急權力是一種必要的權利,但又是一種最為危險的權利,這些權利一旦濫用,社會就會出現新的混亂。關閉網絡、封堵部分網絡路由,征用關鍵通信設施、監控電子通信等等應急措施可能將引發行政緊急權力與私權益之間的沖突,稍有不慎就可能影響國家命運和人民的根本利益,必須將其納入法制的軌道。
a.嚴格界定緊急狀態的定義及其分級。為了防止政府隨意宣布進入緊急狀態,隨意啟動行政緊急權力,同時也為了防止政府在緊急狀態下的消極不作為,有必要通過法律界定緊急狀態的定義。一般認為,網絡信息安全緊急狀態是指由于自然災害、計算機系統本身故障、組織內部和外部人員違規(違法)操作、計算機病毒或蠕蟲及網絡惡意攻擊等因素引起的,對計算機信息系統的正常運行造成嚴重影響的危機狀態[7]。同時,根據緊急狀態涉及范圍的大小、影響程度的嚴重與否,對緊急狀態的啟動進行分級管理。
b.明確宣布進入緊急狀態的主體。緊急狀態是否形成危險以及危險的程度,不同人會有不同的認識和判斷,為了減少緊急狀態確認的隨意性,增加宣告的性和認同感,緊急狀態的宣布主體必須是法定的機關。
c.對行使行政緊急權力的具體程序進行嚴格的規定,不但要規定啟動行政緊急權的程序,而且還要規定撤銷緊急狀態的程序,以及發生與公民隱私權沖突情況下的處理程序。同時要確保對緊急事實和危險程度判斷的性,建立制約機制以防止權利的濫用。
d.建立首席信息安全官(cio)制度,確保對私權益的尊重和保護。
e.確定私權保護的低標準。政府活動的底線就是尊重和保護基本人權,即使是在緊急狀態情況下,也不得隨意克減基本人權,否則就很容易放縱國家權利機關濫用行政緊急權利。
f.明確規定應急主管機關在緊急狀態下的職責和義務,防止瀆職和失職現象。為防止在關鍵時刻出現瀆職和失職情況,法律必須明確規定應急主管機關的具體職責,為瀆職和失職設定明確的法律后果,并建立有效的責任監督和追究機制。
在隱私權的保護方面,美國信息系統保護國家計劃v1.o要求,國家計劃中所有的提議要與現有的隱私期望一致,要求每年召開一次關于計算機安全、公民自由和公民權利的公-私討論會,以確保國家計劃的執行者始終關注公民的自由。政府檢查公民計算機或電子通信的任何舉動必須與現有法律如《電子通信隱私法案》相一致。
在緊急狀態得到控制后,應急計劃的啟動者應當終止緊急狀態的命令,恢復正常的社會秩序。結束緊急狀態意味著被暫時剝奪的私權益將得到恢復。網絡緊急狀態終止后,國家基礎設施運營部門應當向國家應急協調機構、行業和地方應急管理機構提交詳細的應急響應報告,行業和地方應急管理部門應當向國家應急協調機構提交應急管理工作的總結報告。對政府在緊急狀態下的征用、責令停產停業等措施對公司、企業或個人財產造成損失,在緊急狀態結束后應該給予相應的賠償,對補償的標準要予以明確的規定。要明確規定受害人獲得行政救濟和司法救濟的途徑。
法律救濟始終是各部門法律不可欠缺的重要環節。沒有救濟規定的法律是不完整的法律。如法國《緊急狀態法》就規定,凡依法受到緊急處置措施羈束的人,可以要求撤銷該措施。韓國《戒嚴法》也規定,從宣布“非常戒嚴”時起,戒嚴司令官掌管戒嚴區域內的一切行政和司法事務,在“非常戒嚴”地區,戒嚴司令官在不得已時,可在“非常地區”破壞或燒毀國民財產,但必須在事后對造成的損失進行適當的賠償。
3.4 建立應急技術儲備的法律保障 網絡信息安全應急需要裝備先進技術,這已是不爭的事實。應急本質是一種信息對抗。控制緊急狀態的惡性發展,對抗就是防御網絡恐怖突發事件的信息技術,因此,應急不能僅依靠管理,必須具有先進的應急技術。但是依賴進口,將無法擺脫應急受制于人的被動局面,國家必須化大力氣,扭轉被動局面,關鍵應急技術的自主研究是我們掌握網絡信息安全主動權的根本出路。美國信息系統保護國家計劃v1.o規定,在技術的研究、開發和人員的培訓方面,由科技政策辦公室(ostp)來領導,并與各機構和私營部門合作來進行技術開發。
建立應急技術儲備的法律保障首先要明確國家對關鍵應急技術研究的責任,以及應急響應的經費保障問題;其次,要明確調動民間資本展開應急技術研究的范圍,以及國家、社會采購、征用的條件;第三,要明確應急技術市場化的管制方式和控制環節;第四,對必要引進的國外應急產品和服務的范圍和控制力度要有明確的法律規定;第五,國家要進行財政預算,對應急技術開發支持;第六,要在一定的限度內加強國際間的應急技術交流與合作。
網絡信息安全論文:民航空管網絡信息安全對策分析
摘 要 民航空管網絡信息安全是國家信息安全工作的重點行業,但由于網絡技術的開放性,民航空管網絡信息系統被攻擊,導致重要信息泄露和破壞的事件屢見不鮮。綜合分析,造成民航空管網絡信息的不安全因素有很多,包括對計算機系統的攻擊、對傳輸線路的攻擊、對網絡通信協議的攻擊等。本文指出了民航空管網絡信息的重要性,分析了民航空管網絡信息面臨的安全隱患,并從技術層面和管理層面兩方面,給出了提高民航空管網絡信息安全的對策。
關鍵詞 民航空管;網絡信息;安全隱患;安全對策
1 民航空管網絡信息安全的重要性
隨著民航空管工作對網絡信息技術依賴的不斷增強,民航空管網絡信息安全已經成了保障民航安全的重要組成部分。網絡信息系統的共享性和開放性在給民航空管工作帶來方便的同時,也給病毒和黑客提供了可乘之機。民航空管核心業務的計算機網絡信息服務一旦遭到破壞,整個民航機場和航空公司都不能正常運營。如果民航空管核心業務遭到竊取或篡改,很可能給飛機的飛行帶來極大的安全隱患,甚至出現非常嚴重的后果。所以,保障民航空管網絡信息安全,確保民航空管網絡信息系統連續、、正常的運行,才能保障民航航班安全正常飛行。
2 民航空管網絡信息安全狀況分析
民航空管網絡信息安全不但涉及到航空運輸的效率,還關系著航空運輸的安全。目前,我國空管網絡信息系統的供應商大多是歐美大型廠商,空管網絡信息系統間的互聯均要通過運營商的專線來實現。這些空管網絡信息系統沒有使用相應的加密技術,根本無法防范和阻擋黑客的竊取和破壞,這使民航空管網絡信息安臨著很大的安全隱患。再加上漏洞攻擊技術的成熟和病毒的不斷更新,非授權訪問、數據完整性遭到破壞、信息泄露或丟失等民航空管網絡信息系統入侵事件頻繁發生,民航空管網絡信息面臨著前所未有的威脅。
3 民航空管網絡信息存在的安全隱患
3.1 操作系統的安全問題
針對操作系統的攻擊很多,有的空管計算機操作系統本身結構體系就存在一定的缺陷,黑客往往利用操作系統這些不完善的地方,對系統進行攻擊使系統癱瘓。在進行文件傳輸時,網絡安裝程序所帶的可執行文件也存在一些不安全因素,如果在傳送文件或加載程序的過程中,在某個地方出現漏洞,系統也可能會崩潰。在進行一些遠程創建和調用時,中間的通信環節可能會被監控甚至被破壞,會造成網絡信息的泄露和丟失。另外空管計算機操作系統的后門也是黑客領用的對象,通過后門程序進入可以很容易地避開安全控制,也是網絡信息安全的重大隱患。
3.2 網絡的安全問題
近年來,復雜的網絡結構和網絡應用成了網絡信息安全管理中的重大挑戰。因為有的空管網絡系統必須依賴電信運營商的網絡基礎設施,有的重要網絡信息還需要電信網絡進行遠程管理和維護,所以通過電信的基礎網絡設施很容易竊聽和篡改空管網絡信息。在空管網絡系統內部,由于業務要求利用互聯網進行的資料傳輸和信息交流的需求越來越多,再加上空管網絡系統建設時重功能輕安全的情況,技術人員的網絡安全知識和能力有限,空管網絡系統內部的網絡安全問題也不容忽視。
4 在技術層面上民航空管網絡信息安全對策
4.1 防病毒技術
防病毒技術是識別惡意程序,消除病毒對計算機影響的一種技術,可以分為預防、檢測、清除三種。病毒預防技術主要指系統監控技術、讀寫控制技術、磁盤引導區保護技術以及加密可執行程序技術等。利用病毒預防技術可以有效防止病毒入侵,保護網絡信息安全。病毒檢測技術可以根據病毒的關鍵字、病毒的特征程序內容和病毒的傳染方式等對病毒進行檢測,確認網絡信息是否感染病毒,并根據檢測結果作出不同的處理。病毒清除技術是在感染病毒后進行的操作,具有殺毒的功能。
4.2 入侵檢測技術
入侵檢測技術作為一種積極的安全防護技術已經成了網絡信息安全研究的一個熱點。入侵檢測技術可以分為特征檢測和異常檢測,它能夠對內部入侵、外部入侵和誤操作進行實時防護,并時時報告其發現的系統異常情況,并在網絡信息受到破壞之前就對入侵進行相應的攔截,保障網絡信息的安全。
4.3 安全掃描技術
安全掃描技術作為一種主動的防范措施
可以有效清除網絡信息的不安全因素,做到防患于未然。安全掃描技術可以分為對主機對系統的主動檢查和對網絡的主動檢測兩種。對系統的檢查可以掃描出系統中不合適的設置、口令和另外一些不符合安全規則的問題,網絡的檢測則可以發展網絡信息系統中的一些漏洞。
4.4 數據加密與用戶授權訪問控制技術
數據加密和用戶授權訪問控制技術是保護網絡信息安全的重要手段。數據加密主要用于保護動態信息,用戶授權訪問用于保護靜態信息。通過對據進行加密,可以使信息變得混亂,沒有被授權的人根本無法讀懂。通過用戶授權訪問,可以將沒有被授權的人無法進行訪問。數據加密和用戶授權訪問控制技術可以互相結合,靈活運用,以便給網絡信息提供更好的安全保障。
5 在管理層面上民航空管網絡信息安全對策
5.1 建立健全規章制度
健全的規章制度是保障民航空管網絡信息的安全的基礎。制定并民航空管信息安全規定,對民航空管網絡信息系統的建設、運行、管理和維護做出相應的要求,完善民航空管網絡信息安全規章制度,才能增強民航空管工作人員的責任心,從根本上預防民航網絡信息安全事件的發生。
5.2 加強信息安全技術監管
網絡技術發展迅速,更新快,民航空管工作人員要不斷研究網絡信息安全問題,提高網絡信息安全管理的技術和方法,逐步減小民航空管網絡信息面臨的風險。在網絡信息安全技術領域多借鑒國外發達國家的經驗,搭建自己的網絡信息安全技術平臺,從根本上解決網絡信息安全問題。
5.3 建立高素質人才隊伍
人才的稀缺,尤其是高端網絡信息安全技術人才稀缺,一直是制約民航空管網絡信息安全發展的突出問題之一。所以,定期進行專業人才技術培訓,增強民航空管網絡信息安全技術人員的法制觀念和責任意識,提高其專業技能和綜合素質,培養其觀察能力和分解決問題的能力,才能有效保障民航空管的網絡信息安全。
