网络信息安全论文范文精选
网络信息安全论文范文第1篇
目前,对信息异化概念有不同的说法,多是处于人的视角,认为信息异化是人类创造了信息,信息在生产、传播和利用等活动过程中有各种的阻碍,使得信息丧失其初衷,反客为主演变成外在的异化力量,反过来支配、统治和控制人的力量。其意针对的是人们创造的那部分信息,研究的是信息所拥有的社会属性,说到底是研究人造成的异化问题,只是使用了限定词的一个信息而已,疑似把“信息异化”当作“信息过程中人的异化”同一个归类。这样,使得异化的被动内涵被隐藏起来,结果造就了“信息对人的异化”方面的研究,疏忽对信息自然属性及“信息被异化”的研究,最后使信息异化研究具有片面性。笔者最后选择一个信息异化概念。“信息异化”是指信息在实践活动(包括信息的生产、制造,传播及接收等)过程中,在信息不自由的状态下变为异在于其本真活动结果的现象。关于信息安全,部分专家对信息安全的定义为:“一个国家的社会信息化状态不受外来的威胁与侵害;一个国家的信息技术体系不受外来的威胁与侵害。”这个定义,包含现有对信息安全的先进认识,又包含了更加广泛的信息安全领域,是目前较为全面且被认可的定义。信息安全本身包括的范围极大,其中包括如何防范企业商机泄露、防范未成年人对不良信息的浏览、个人信息的泄露损失等。所以网络信息安全体系的建立是保证信息安全的重要关键,其中包含计算机安全操作系统、各种的安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,只要一环出现漏洞便会产生危险危害。如今,网络安全技术杂乱零散且繁多,实现成本相应增加,对网络性能的影响逐渐增大。其复杂性使得它的臃肿的弊端慢慢显现出来,业界需要相应的创新的理念和战略去解决网络安全问题以及它的性能问题,在这种背景下可信网络开始出现在世人的眼中。现在大众可信网络有不同理解与观点,有的认为可信应该以认证为基础,有的认为是以现有安全技术的整合为基石;有的认为是网络的内容可信化,有的认为可信是网络是基于自身的可信,有的认为是网络上提供服务的可信等,虽说众说纷纭,但其目的是一致的:提升网络以及服务的安全性,使人类在信息社会中受益。可信网络可提升并改进网络的性能,减少因为不信任带来的监视、不信任等系统的成本,提高系统的整体性能。
二、可信网络国内外研究
(一)可信网络国外研究
在可信网络的研究中,Clark等学者在NewArch项目的研究中提出了“信任调节透明性”(trust-modulatedtransparency)原则,他们期望在现实社会的互相信任关系能够反映在网络上。基于双方用户的信任需求,网络可以提供一定范围的服务,如果双方彼此完全信任,则他们的交流将是透明化、没有约束的,如果不是则需要被检查甚至是被约束。美国高级研究计划局出的CHAT(compostablehigh-Assurancetrustworthysystems)项目研究了在指定条件下运行如何开发出可快速配置的高可信系统及网络来满足关键的需求,其中包含了安全性、可生存性、可靠性、性能和其他相关因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)项目研究了以策略为中心的入校检测模型,他们利用模型去提高网络系统的可信性。但因为网络有着复杂基于信息异化下的信息安全中可信网络分析研究柳世豫,郭东强摘要:互联网逐渐成为我们生活中不可或缺的同时,其弊端也开始出现。未来网络应该是可信的,这一观点已成为业界共性的特点,如何构建可信网络是需要研究的。因此TCG先进行较为简单的可信网络连接问题。它将可信计算机制延伸到网络的技术,在终端连入网络前,开始进行用户的身份认证;若用户认证通过,再进行终端平台的身份认证;若终端平台的身份认证也通过,最后进行终端平台的可信状态度量,若度量结果满足网络连入的安全策略,将允许终端连入网络,失败则将终端连入相应隔离区域,对它进行安全性补丁和升级。TNC是网络接入控制的一种实现方式,是相对主动的一种网络防御技术,它能够防御大部分的潜在攻击并且在他们攻击前就进行防御。2004年5月TCG成立了可信网络连接分组(trustednetworkconnectionsubgroup),主要负责研究及制定可信网络连接TNC(trustednetworkconnection)框架及相关的标准。2009年5月,TNC了TNC1.4版本的架构规范,实现以TNC架构为核心、多种组件之间交互接口为支撑的规范体系结构,实现了与Microsoft的网络访问保护(networkaccessprotection,NAP)之间的互操作,他们将相关规范起草到互联网工程任务组(internationalengineertaskforce,IETF)的网络访问控制(networkaccesscontrol,NAC)规范中。如今已有许多企业的产品使用TNC体系结构,如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。
(二)可信网络国内研究
我国也有学者进行了可信网络的研究。林闯等进行了可信网络概念研究以及建立相关模型,提出网络可信属性的定量计算方法。期望基于网络体系结构自身来改善信息安全的方式来解决网络脆弱性问题,通过保护网络信息中的完整性、可用性、秘密性和真实性来保护网络的安全性、可控性以及可生存性。利用在网络体系结构中的信任机制集成,使安全机制增强,在架构上对可信网络提出了相关设计原则。闵应骅认为能够提供可信服务的网络是可信网络,并且服务是可信赖和可验证的。这里的可信性包括健壮性、安全性、可维护性、可靠性、可测试性与可用性等。TNC进行设计过程中需要考虑架构的安全性,同时也要考虑其兼容性,在一定程度上配合现有技术,因此TNC在优点以外也有着局限性。TNC的突出优点是安全性和开放性。TNC架构是针对互操作的,向公众开放所有规范,用户能够无偿获得规范文档。此外,它使用了很多现有的标准规范,如EAP、802.1X等,使得TNC可以适应不同环境的需要,它没有与某个具体的产品进行绑定。TNC与NAC架构、NAP架构的互操作也说明了该架构的开放性。NC的扩展是传统网络接入控制技术用户身份认证的基础上增加的平台身份认证以及完整性验证。这使得连入网络的终端需要更高的要求,但同时提升了提供接入的网络安全性。虽然TNC具有上述的优点,但是它也有一定的局限性:
1.完整性的部分局限。TNC是以完整性为基础面对终端的可信验证。但这种可信验证只能保证软件的静态可信,动态可信的内容还处于研究中。因此TNC接入终端的可信还处于未完善的阶段。
2.可信评估的单向性。TNC的初衷是确保网络安全,在保护终端的安全上缺乏考虑。终端在接入网络之前,在提供自身的平台可信性证据的基础上,还需要对接入的网络进行可信性评估,否则不能确保从网络中获取的服务可信。
3.网络接入后的安全保护。TNC只在终端接入网络的过程中对终端进行了平台认证与完整性验证,在终端接入网络之后就不再对网络和终端进行保护。终端平台有可能在接入之后发生意外的转变,因此需要构建并加强接入后的控制机制。在TNC1.3架构中增加了安全信息动态共享,在一定程度上增强了动态控制功能。
4.安全协议支持。TNC架构中,多个实体需要进行信息交互,如TNCS与TNCC、TNCC与IMC、IMV与TNCS、IMC与IMV,都需要进行繁多的信息交互,但TNC架构并没有给出相对应的安全协议。
5.范围的局限性。TNC应用目前局限在企业内部网络,难以提供多层次、分布式、电信级、跨网络域的网络访问控制架构。在TNC1.4架构中增加了对跨网络域认证的支持,以及对无TNC客户端场景的支持,在一定程度上改善了应用的局限性。我国学者在研究分析TNC的优缺点的同时结合中国的实际情况,对TNC进行了一些改进,形成了中国的可信网络连接架构。我国的可信网络架构使用了集中管理、对等、三元、二层的结构模式。策略管理器作为可信的第三方,它可以集中管理访问请求者和访问控制器,网络访问控制层和可信平台评估层执行以策略管理器为基础的可信第三方的三元对等鉴别协议,实现访问请求者和访问控制器之间的双向用户身份认证和双向平台可信性评估。该架构采用国家自主知识产权的鉴别协议,将访问控制器以及访问请求者作为对等实体,通过策可信第三方的略管理器,简化了身份管理、策略管理和证书管理机制,同时进行终端与网络的双向认证,提供了一种新思路。在国家“863”计划项目的支持下,取得了如下成果:
(1)在对TNC在网络访问控制机制方面的局限性进行研究分析后,同时考虑可信网络连接的基本要求,提出了一种融合网络访问控制机制、系统访问控制机制和网络安全机制的统一网络访问控制LTNAC模型,对BLP模型进行动态可信性扩展,建立了TE-BLP模型,期望把可信度与统一网络访问控制模型结合起来。
(2)通过研究获得了一个完整的可信网络连接原型系统。该系统支持多样认证方式和基于完整性挑战与完整性验证协议的远程证明,来实现系统平台间双向证明和以远程证明为基础的完整性度量器和验证器,最后完成可信网络连接的整体流程。
三、可信网络模型分析
(一)网络与用户行为的可信模型
可信是在传统网络安全的基础上的拓展:安全是外在的表现形式,可信则是进行行为过程分析所得到的可度量的一种属性。如何构建高效分析刻画网络和用户行为的可信模型是理解和研究可信网络的关键。这是目前网络安全研究领域的一个新共识。构建网络和用户的可信模型的重要性体现于:它只准确而抽象地说明了系统的可信需求却不涉及到其他相关实现细节,这使得我们能通过数学模型分析方法去发现系统在安全上的漏洞。可信模型同时也是系统进行研发的关键步骤,在美国国防部的“可信计算机系统的评价标准(TCSEC)”中,从B级阶段就需要对全模型进行形式化描述和验证,以及形式化的隐通道分析等。我们还需要可信模型的形式化描述、验证和利用能够提高网络系统安全的可信度。最后,构建理论来说明网络的脆弱性评估和用户遭受攻击行为描述等的可信评估,这是实现系统可信监测、预测和干预的前提,是可信网络研究的理论所有基础。完全安全的网络系统目前还无法实现,因此网络脆弱性评估的最终目的不是完全消除脆弱性,而是找到一个解决方案,让系统管理员在“提供服务”和“保证安全”之间找到平衡,主动检测在攻击发生之前,如建立攻击行为的设定描述,通过在用户中区分隐藏的威胁,以可信评估为基础上进行主机的接入控制。传统检测多为以规则为基础的局部检测,它很难进行整体检测。但我们现有的脆弱性评估工具却绝大多数都是传统基于规则的检测工具,顶多对单一的主机的多种服务进行简陋的检查,对多终端构建的网络进行有效评估还只能依靠大量人力。以模型为基础的模式为整个系统建立一个模型,通过模型可取得系统所有可能发生的行为和状态,利用模型分析工具测试,对整个系统的可信性评估。图2说明了可信性分析的元素。网络行为的信任评估包括行为和身份的信任,而行为可信又建立在防护能力、信任推荐、行为记录、服务能力等基础之上。
(二)可信网络的体系结构
互联网因技术和理论的不足在建立时无法考量其安全周全,这是网络脆弱性的一个重要产生因素。但是如今很多网络安全设计却常常忽略网络体系的核心内容,大多是单一的防御、单一的信息安全和补丁补充机制,遵从“堵漏洞、作高墙、防外攻”的建设样式,通过共享信息资源为中心把非法侵入者拒之门外,被动的达到防止外部攻击的目的。在黑客技术日渐复杂多元的情况下,冗长的单一防御技术让系统规模庞大,却降低了网络性能,甚至破坏了系统设计的开放性、简单性的原则。因此这些被动防御的网络安全是不可信的,所以从结构设计的角度减少系统脆弱性且提供系统的安全服务特别重要。尽管在开放式系统互连参考模型的扩展部分增加了有关安全体系结构的描述,但那只是不完善的概念性框架。网络安全不再只是信息的可用性、机密性和完整性,服务的安全作为一个整体属性被用户所需求,因此研究人员在重新设计网络体系时需考虑从整合多种安全技术并使其在多个层面上相互协同运作。传统的补丁而补充到网络系统上的安全机制已经因为单个安全技术或者安全产品的功能和性能使得它有着极大地局限性,它只能满足单一的需求而不是整体需求,这使得安全系统无法防御多种类的不同攻击,严重威胁这些防御设施功效的发挥。如入侵检测不能对抗电脑病毒,防火墙对术马攻击也无法防范。因为如此,网络安全研究的方向开始从被动防御转向了主动防御,不再只是对信息的非法封堵,更需要从访问源端就进行安全分析,尽量将不信任的访问操作控制在源端达到攻击前的防范。因此我们非常需要为网络提供可信的体系结构,从被动转向主动,单一转向整体。可信网络结构研究必须充分认识到网络的复杂异构性,从系统的角度确保安全服务的一致性。新体系结构如图3所示,监控信息(分发和监测)以及业务数据的传输通过相同的物理链路,控制信息路径和数据路径相互独立,这样监控信息路径的管理不再只依赖于数据平面对路径的配置管理,从而可以建立高可靠的控制路径。其形成的强烈对比是对现有网络的控制和管理信息的传输,必须依赖由协议事先成功设置的传输路径。
(三)服务的可生存性
可生存性在特定领域中是一种资源调度问题,也就是通过合理地调度策略来进行服务关联的冗余资源设计,通过实时监测机制来监视调控这些资源的性能、机密性、完整性等。但网络系统的脆弱性、客观存在的破坏行为和人为的失误,在网络系统基础性作用逐渐增强的现实,确保网络的可生存性就有着重要的现实意义。由于当时技术与理论的不足,使得网络存在着脆弱性表现在设计、实现、运行管理的各个环节。网络上的计算机需要提供某些服务才能与其他计算机相互通信,其脆弱性在复杂的系统中更加体现出来。除了人为疏忽的编程错误,其脆弱性还应该包含网络节点的服务失误和软件的不当使用和网络协议的缺陷。协议定义了网络上计算机会话和通信的规则,若协议本身就有问题,无论实现该协议的方法多么完美,它都存在漏洞。安全服务是网络系统的关键服务,它的某个部分失去效用就代表系统会更加危险,就会导致更多服务的失控甚至是系统自身瘫痪。因此必须将这些关键服务的失效控制在用户许可的范围内。可生存性的研究必须在独立于具体破坏行为的可生存性的基本特征上进行理论拓展,提升系统的容错率来减少系统脆弱性,将失控的系统控制在可接受范围内,通过容侵设计使脆弱性被非法入侵者侵入时,尽可能减少破坏带来的影响,替恢复的可能性创造机会。
(四)网络的可管理性
目前网络已成为一个复杂巨大的非线性系统,具有规模庞大、用户数量持续增加、业务种类繁多、协议体系复杂等特点。这已远超设计的初衷,这让网络管理难度加大。网络的可管理性是指在内外干扰的网络环境情况下,对用户行为和网络环境持续的监测、分析和决策,然后对设备、协议和机制的控制参数进行自适应优化配置,使网络的数据传输、用户服务和资源分配达到期望的目标。现有网络体系结构的基础上添加网络管理功能,它无法实现网络的有效管理,这是因为现有的网络体系与管理协议不兼容。可信网络必须是可管理的网络,网络的可管理性对于网络的其他本质属性,如安全性、普适性、鲁棒性等也都有着重要的支撑作用。“网络管理”是指对网络情况持续进行监测,优化网络设备配置并运行参数的过程,包括优化决策和网络扫描两个重要方面。研究管理性是通过改善网络体系中会导致可管理性不足的设计,达到网络可管理性,实现网络行为的可信姓,再解决网络本质问题如安全性、鲁棒性、普适性、QoS保障等,提供支撑,使网络的适应能力加强。
四、结论
综上所述,互联网有着复杂性和脆弱性等特征,当前孤立分散、单一性的防御、系统补充的网络安全系统己经无法应对具有隐蔽多样可传播特点的破坏行为,我们不可避免系统的脆弱性,可以说网络正面临重要的挑战。我国网络系统的可信网络研究从理论技术上来说还处于初级阶段,缺乏统一的标准,但是它己经明确成为国内外信息安全研究的新方向。随着大数据的到来,全球的头脑风暴让信息技术日新月异,新技术带来的不只有繁荣,同时也带来异化。昨日的技术已经无法适应今日的需求,从以往的例子中可以得知信息安全的灾难是广泛的、破坏性巨大、持续的,我们必须未雨绸缪并且不停地发展信息安全的技术与制度来阻止悲剧的发生。信息异化带来的信息安全问题是必不可免的,它是网络世界一个严峻的挑战,对于可信网络的未来我们可以从安全性、可控性、可生存性来创新发展,新的防御系统将通过冗余、异构、入侵检测、自动入侵响应、入侵容忍等多种技术手段提高系统抵抗攻击、识别攻击、修复系统及自适应的能力,从而达到我们所需的实用系统。可以通过下述研究方向来发展可信网络:
(一)网络系统区别于一般系统的基本属性
之一是复杂性,网络可信性研究需要通过宏观与微观上对网络系统结构属性的定性,定量刻画,深入探索网络系统可靠性的影响,这样才能为网络可信设计、改进、控制等提供支持。因此,以复杂网络为基础的可信网络会成为一个基础研究方向。
(二)网络系统区别于一般系统的第二个重要属性
是动态性,其包含网络系统历经时间的演化动态性和网络失去效用行为的级联动态性。如今,学术上对可信网络静态性研究较多,而动态性研究较少,这无疑是未来可信网络研究的一大方向。
(三)网络系统的范围与规模日渐庞大
网络信息安全论文范文第2篇
通过将内部网络间接连接到网络上就可以实现物理隔离,这就是物理安全防范措施。通过物理安全防范可以实现保护工作站、网络服务器以及路由器等硬件免受自然灾害以及人为因素的影响。唯有将公共网与内部网物理隔离开,才能够保证内部网络免受黑客等的入侵,在一定程度上保证安全,并且更有利于管理人员的控制、管理。
2防病毒技术
计算机病毒难以根除,具有强大的攻击性,可以破坏计算机中的应用程序,甚至可以删除文件、格式化硬盘,因此现阶段防范计算机病毒是保障信息网络安全的重点。通过多年的科学研究,现阶段已经有三种常见的病毒防范技术,分别是预防病毒、检测病毒和网络消毒。
3施行身份认证
通过确认操作者身份来保证网络安全的技术称之为身份认证技术。常见的身份认证有两种方式,分别是主机之间的认证、主机与用户间的认证。主机与用户之间的认证可以通过设置密码、用户生理特征、智能卡等多种方式进行设置。
4防火墙技术
防火墙技术是现阶段使用频率最高的安全防范技术。防火墙技术的技术核心就是通过构建一个比较安全的环境来尽量保证用户的网络安全。防火墙可以根据用户的个人需求来控制网络域间的信息安全,并且防火墙本身也具有一定的攻击能力。现阶段防火墙主要有三种,分别是:全状态包过滤型、包过滤型以及服务器型。
5采用入侵检测技术
用户采用入侵检测技术后,就可以及时检测到系统中的异常现象,并及时报告,继而达到保障网络安全的目的。漏洞扫描技术。通过对电脑进行全方位的检测,及时更新漏洞补丁,完成修复就可以减少黑客利用漏洞发动攻击的几率,继而达到保护用户网络的目的。
6合理的管理措施
通过多方面的安全管理措施,例如:完善计算机管理技术,建立管理机构,加强用户安全教育等方式来预防和控制病毒与黑客给用户带来的影响。使用信息加密技术。在网络中,每个用户都使用了大量的应用程序以便于工作、生活,因此为了保证个人、工作方面的隐私被泄露要采用信息加密技术来保障网络安全。
7结论
网络信息安全论文范文第3篇
1.1设计目标网络安全检测系统需要对网络中的用户计算机和网络访问行为进行审计,检测系统具有自动响应、自动分析功能。自动相应是指当系统发现有用户非法访问网络资源,系统将自动阻止,向管理员发出警示信息,并记录非法访问来源;自动分析是根据用户网络应用时应用的软件或者网址进行分析,通过建立黑名单功能将疑似威胁的程序或者方式过滤掉。此外,系统还具有审计数据自动生成、查询和系统维护功能等。
1.2网络安全检测系统架构网络安全检测系统架构采用分级式设计,架构图如。分级设计网络安全检测系统具有降低单点失效的风险,同时还可以降低服务器负荷,在系统的扩容性、容错性和处理速度上都具有更大的能力。
2系统功能设计
网络安全检测系统功能模块化设计将系统划分为用户身份管理功能模块、实时监控功能模块、软件管理模块、硬件管理模块、网络管理和文件管理。用户身份管理功能模块是实现对网络用户的身份识别和管理,根据用户等级控制使用权限;实时监控模块对在线主机进行管理,采用UDP方式在网络主机上的检测程序发送监控指令,检测程序对本地进行列表进行读取,实时向服务器反馈信息;软件管理模块是将已知有威胁的软件名称、参数等纳入管理数据库,当用户试图应用此软件时,检测系统会发出警告或者是拒绝应用;硬件管理模块对网络中的应用硬件进行登记,当硬件非法变更,系统将发出警告;网络管理模块将已知有威胁网络IP地址纳入管理数据库,当此IP访问网络系统时,检测系统会屏蔽此IP并发出警告;文件管理模块,对被控计算机上运行的文件进行实时审计,当用户应用的文件与系统数据库中非法文件记录匹配,则对该文件进行自动删除,或者提示用户文件存在风险。
3数据库设计
本文所设计的网络安全检测系统采用SQLServer作为数据库,数据库中建立主体表,其描述网络中被控主机的各项参数,譬如编号、名称、IP等;建立用户表,用户表中记录用户编号、用户名称、用户等级等;建立网络运行状态表,其保存网络运行状态结果、运行状态实际内容等,建立软件、硬件、信息表,表中包含软件的名称、版本信息、容量大小和硬件的配置信息等;建立软件、网址黑名单,对现已发现的对网络及主机具有威胁性的非法程序和IP地址进行记录。
4系统实现
4.1用户管理功能实现用户管理功能是提供网络中的用户注册、修改和删除,当用户登录时输出错误信息,则提示无此用户信息。当创建用户时,系统自动检测注册用户是否出现同名,如出现同名则提示更改,新用户加入网络应用后,网络安全检测系统会对该用户进行系统审核,并将其纳入监管对象。系统对网络中的用户进行监控,主要是对用户的硬件资源、软件资源、网络资源等进行管控,有效保护注册用户的网络应用安全。
4.2实时监控功能实现系统实时监控功能需要能够实时获取主机软硬件信息,对网络中用户的软件应用、网站访问、文件操作进行检测,并与数据库中的危险数据记录进行匹配,如发现危险则提出警告,或者直接屏蔽危险。
4.3网络主机及硬件信息监控功能实现网络主机及硬件信息监控是对网络中的被控计算机系统信息、硬件信息进行登记记录,当硬件设备发生变更或者网络主机系统发生变化,则安全检测系统会启动,告知网络管理人员,同时系统会对网络主机及硬件变更的安全性进行判定,如发现非法接入则进行警告并阻止连接网络。
5结束语
网络信息安全论文范文第4篇
【关键词】通讯企业;信息网络;网络安全;控制通讯
企业信息网络比较复杂和繁琐,不仅包括受理人的资料,而且还有相关产品的详细资料以及企业内部员工的资料等,信息网络系统能否正常运行,直接关系到通讯企业发展的好与坏[1]。但是由于计算机网络和信息技术不断的发展,经常存在各种各样的要素威胁着系统的安全,从而损坏甚至丢失内部的重要信息,从而影响通信企业内部正常的运作,最终导致一系列损失[2]。因此,对于通信企业信息网络安全的控制刻不容缓,应该加大力度提高系统的安全性能。
1.信息网络安全概述
信息网络安全是指通过各种各样的网络技术手段,保证计算机在正常运行的过程中处于安全的状态,避免硬件及软件受到网络相关的危险因素的干扰与破坏,同时还可以阻止一些危险程序对整个系统进行攻击与破坏,从而将信息泄露和篡改等,最终保证信息网络在互联网的大环境中正常运行[3]。信息网络安全的维护主要是以信息与数据的完整性与可控性作为核心,并且能够通过用户的操作,实现基本的应用目的。在信息网络的安全维护中,主要包括两个方面。一是设备安全,包括计算机系统的稳定、硬件实体的安全以及软件的正常运行。二是信息安全,主要指的是数据的备份、数据库的安全性等。
2.通信企业信息网络面临的主要安全威胁
2.1人为的恶意攻击
目前信息网络所面临的最大的威胁和挑战就是认为的恶意攻击,人们采取各种各样的方式对于信息进行选择性的破坏和控制,从而造成机密信息的丢失和篡改。
2.2人为的无意失误
通讯企业通过对专门的管理人员进行管理与培训从而保证信息网络系统的正常运行,在日常管理和培训的过程中,会无意的使相应的措施处理不当,这是在所难免的,当工作人员因为自己的原因导致操作不当,会使信息网络系统出现或多或少的漏洞,还有可能造成设备的损坏,这些都是由于人为的无意失误造成的后果[4]。
2.3计算机病毒
由于计算机网络的复杂性及联系性,在工作过程中会尽可能的实现资源共享,因此所接收的结点会有很多。由于无法检测每个结点是否是安全的,因此极容易造成系统的病毒感染。而一旦信息网络受到病毒的感染后,病毒会在信息网络中以非常快的速度进行再生并且传染给其他系统,最终将波及整个网络,后果将不堪设想[5]。
3.通信企业做好信息网络工作的措施
3.1对内部网的访问保护
(1)用户身份认证。如果用户想要进入网络必须经过三个步骤即首先进行用户名进行验证,其次进行用户口令进行验证,最后依据用户帐号进入网络。在这三个步骤中最关键的操作就是用户口令,用户口令需要同时进行系统的加密从而保护网络的安全,并且还应控制同一个账户同时登陆多个计算机的这种现象[6]。(2)权限控制。管理员及用户在进入网络前需要履行某一个任务因此必须遵守所谓的权限原则,这种控制方法可以有效的防止一些非法的用户在一定时间内访问网络资源,从而从根本上阻断这条途径。在进行权限设置的过程中,一定要遵守一些原则,第一,一定要合理的设置网络权限,确保网络权限设置的准确性,不能因为所设置的权限从而影响了整个网络的正常工作,影响了工作的整体效率;第二应该增加一些先进的合理的加密操作技术来减少病毒的入侵,从而从一定程度上保证网络的正常运行,对网络信息数据使用系统性的加密来确保网络安全性和合理性,最终实现对计算机所有结点信息的实时保护。(3)加密技术。通过合理准确的数学函数转换的方法对系统以密文的形式代替明文的现象称之为数据加密,当数据加密后,只有特定的管理人员可以对其进行解密,在数据加密的过程中主要包含两大类:对称加密和不对称加密。
3.2对内外网间的访问保护
(1)安全扫描。互联网互动过程中,及时的对计算机安全卫士和杀毒软件等进行升级,以便及时的对流动数据包进行检测,以便及时有效的对网络中发现的木马和病毒采取有效的防护措施。(2)防火墙系统。防火墙作为计算机网络信息安全防护的第一道屏障,是一种加强网络之间访问控制,以此来决定网络之间传输信息的准确性、真实性及安全性,对于计算机的安全与正常运行具有重要的意义[7]。(3)入侵检测。计算机当中的病毒传播的速度较快且危害性极大,为此应该对网络系统进行病毒的预防及统一的、集中管理,采用防病毒技术及时有效的进行杀毒软件系统的升级,以便对网络互动中发现的木马或病毒程序采取及时的防护措施。
3.3网络物理隔离
在进行信息网络安全控制的过程中不能单一的采用一种安全控制对其保护,而应该根据网络的复杂性采取不同的安全策略加以控制,因此管理人员可以依据密保的等级的程度、各种功能的保护以及不同形式安全设施的水平等差异,通过网络分段隔离的方式提高通信企业信息网络安全。这样的形式及控制方法将以往的错综复杂的控制体系转变成为细化的安全控制体系,能够对于各种恶意的攻击和入侵所造成的危害降低到最小。我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离,在不同的时间运行,那么就可以得到两个完全物理隔离的系统[8]。
3.4安全审计及入侵检测技术
安全审计技术对于整个信息网络安全的控制起到了关键性作用,它可以针对不同的用户其入侵的方式、过程以及活动进行系统精密的记录,主要分为两个阶段即诱捕和反击。诱捕是一种特异安排出现的漏洞,可以在一定程度允许入侵者在一定时间内侵入,以便在今后能够获得更多的入侵证据及入侵的特征;当获得足够多的特征及证据的基础上开始进行反击,通过计算机精密的系统对用户的非法入侵的行为进行秘密跟踪并且在较快的时间里查询对方的身份以及来源,从而将系统与入侵者的连接切断,还可追踪定位并对攻击源进行反击。
3.5制定切实可行的网络安全管理策略
要想使通信企业信息网络安全正常运行其前提必须保证整个网络系统的安全,必须针对网络安全提出相应的安全策略,应该使信息网络使用起来安全方便,从而寻找最方便有效的安全措施。在工作的过程中管理人员一定要熟知对于开放性和安全性的具体要求,并且在工作过程中试图寻求两者的共同点和平衡点,当两者出现矛盾的时候应该考虑事情的实际情况有进行准确的取舍。对本网络拓扑结构和能够承受的安全风险进行评估,从网络安全技术方面为保证信息基础的安全性提供了一个支撑。
信息网络的发展需要计算机技术具有跟高的要求,特别是针对通信企业的信息网络安全的控制问题应该加以关注,这直接关系到整个企业的发展。信息网络工程是一个巨大而又复杂的动态的系统工程,需要从多角度进行思索与探讨从而进行综合性的分析,才能选择出更好地安全网络设备,并且对其进行有针对的系统的优化,从而提高管理人员及工作人员的业务水平,最终全面提高整个通讯企业信息网络安全。
作者:王春宝 于晓鹏 单位:吉林师范大学计算机学院
参考文献
[1]卢昱.网络控制论浅叙[J].装备指挥技术学院学报,2002,3(6):60-64.
[2]王雨田,控制论、信息论、系统科学与哲学[M].北京:中国人民大学出版社,1986.
[3]南湘浩,陈钟.网络安全技术概论[M].北京:国防工业出版社,2003.
[4]涂华.医院信息系统的网络安全与防范[J].中山大学学报论丛,2011,04(12).
[5]王芸《.电子商务法规》.高等教育出版社,2010年版.
[6]张新宝主编:《互联网上的侵权问题研究》,中国人民大学出版社,2003年版.
网络信息安全论文范文第5篇
经过调研,大多数的高校针对非计算机专业信息安全教育仅限于两个方面,一是“计算机基础”课程中包含的计算机病毒及防范知识,这些教学内容过于简单和陈旧,难于应对当今复杂的信息安全形势;二是部分高年级同学选修的“网络信息安全”课程,该课程知识结构特点要求学生不仅要具备相当的计算机基础,而且还要具备较为深厚的数学功底。对非计算机专业的学习者而言,教学内容显得过于理论化和专业化,晦涩难懂,教学手段和方法单一,实际效果不佳。针对非计算机专业大二大三学生进行网络问卷调查,设计的问卷主要包括3个复选题:(A)您认为所学专业会涉及信息的泄露吗?(B)您知道发生网络信息安全事件类型有哪些?(病毒、蠕虫、木马、网络钓鱼、篡改网页、拒绝服务攻击、应用软件纵、未经授权的入侵、移动无线应用入侵、数据库受到威胁、系统漏洞、垃圾邮件)(C)您知道网络信息安全造成的后果有哪些?(硬件损坏、网络瘫痪、网络不正常、知识产权被盗、ERP等关键应用瘫痪、文件丢失或被破坏、身份被盗用、客户资料泄密、被欺诈或被勒索、公司资料下载泄密、其他),最后将问卷结果量化分析,结果令人堪忧,反映出高校在网络信息安全教育上的缺失。
2构建“三导一体”信息安全教学体系模型
网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科,对于非计算机专业信息安全教学而言,鉴于学习者的基础知识和就业岗位需要等差异,特别是受到专业侧重点和教学课时的约束,教学难度大。在分析非计算机专业在校生实际教学实际的基础上,尝试通过MOOC教学资源平台,构建“三导一体”网络信息安全教学模式,即以课堂教学为主体,以班级教育、知识(征文)竞赛、宣传活动(知识讲座、网络论坛等)为辅助的综合教育模式。
2.1课堂教学为主体
课堂教学是素质教育的主渠道,是高校非计算机专业“网络信息安全”教学的主体。在原有的网络信息安全教学内容基础上,适当增加计划课时,补充相关教学内容,在有限的机房实验时间内,精选案例和演示,完善上机实践环节,激发学生好奇心和求知欲,力求教学效果最优化。
2.2班级教育为指导
在日常班主任、辅导员的安全教育中融入网络商务犯罪和网络欺诈案例,从法律和道德层面去了解认识网络信息安全的重要性和必要性,指导日常相关言行。
2.3知识竞赛为引导
有计划地开展信息安全知识竞赛或征文比赛,教师收集网络信息安全知识形成若干难度适中的竞赛题库,在校园网络的MOOC平台中,充分调动学生积极性,起到以赛促学的目的。
2.4主题宣传为传导
校园内定期开展信息安全宣传活动,通过网站专题、讲座、展览和微信等形式,传递信息安全知识,创建信息安全的良好教学氛围。通过MOOC网站平台实现资源整合,教师、班主任(辅导员)、学生、社团相互协同配合,多方联动,形成合力,最终达到预期的教学效果。
3教学中存在问题与改革思路
“三导一体”信息安全教育体系模型确立后,将两个校区作为研究对象,开展了为期1学年的专项课题研究,通过SPSS工具的独立样本T检验,分别对两校区的期初和期末数据进行比对,得到的统计量表和独立样本检验表显示,两总体的均值存在显著差异,效果显著。针对研究工作中存在的问题和改革创新思路,摸索并总结出几个关键性的问题。
3.1教学定位
准确定位课堂教学,明确教学目标,有利于教师更好地把握教材、了解学生,有利于全面提升学生素质,不断提高学校教学质量。各行业对信息安全的要求各异,教学目标大致可以分为三个层次:信息安全技术开发应用、信息安全服务管理员和信息安全工程师、信息安全相关理论科学研究。对于非计算机专业信息安全教学,应明确定位在信息安全技术开发应用层面,即要求掌握信息安全的基础知识,在生活、学习和工作中可熟练地使用当前比较流行的软件,保护系统的基本网络安全,确保信息不被泄露,抵抗基本的攻击。围绕教学定位,根据不同专业实际情况,调整并完善非计算机专业整个教学计划。
3.2教材教案
教材与教案是巩固教学改革成果、提高教学质量、造就高素质人才的重要环节。针对非计算机专业的特殊性,教学内容方面尽可能贴近各专业实际,如财经类专业包含财经信息安全案例等,强化实际应用和操作实践,摈弃部分理论,如复杂的密码技术和算法等,结合实际,适时增加新的教学内容,如移动终端(手机、IPAD等)有关信息安全知识和防范技巧。由于信息安全涉及的理论、技术比较丰富,采用深入浅出的多媒体动画、视频课件帮助学生理解深奥、庞杂的信息安全概念,加深学习者对知识印象。
3.3师资培养
教师是完成教学工作的基本保证,一支好的教师队伍必须要有素质优良的学科带头人。从专业化的角度,应该对教师的教学方向有所分工,有所侧重;从教师的角度,教师本身应该主动接受新生事物,关注信息安全的发展,主动学习信息安全新技术。
3.4实验建设
单纯的理论教学很难激发学生的学习兴趣,学习效果也达不到预期目标。通过精心组织实验教学,让学生亲身体会网络信息安全攻防演练,比如数据篡改,口令窃取等等,并不断完善和规范信息安全实验教学体系。网络信息安全的实验环境往往带有一定的开放性、破坏性,网络机房采用了硬盘还原技术,或者采用VMWARE等虚拟机软件技术,通过在一台实体计算机上安装任意台的虚拟机,模拟真实网络服务环境,解决了网络信息安全教学备课、教学演示中对于特殊网络环境的要求问题。
3.5网络资源
“三导一体”教学体系离不开信息安全教学资源的支撑作用,将收集到的教学案例、软件工具、教学课件和动画、视频等相关教学资源进行整合,建立相关资源库,通过网络媒介,有助于师生全天候高效地获取资源,更好地实现互动式教学,弥补非计算机专业信息安全教学课时不足的缺憾。
3.6教学方式
充分调动非计算机专业学生积极主动学习网络信息安全的积极性。在授课过程中,结合课程特点,尝试采用探究式学习方法、问题驱动和任务驱动等教学方法,以具体问题为引导,使学生在解决问题过程中掌握和理解网络信息安全的基础理论和基本方法,引起同学们的兴趣,激发求知欲。在教学过程和实验器材的管理中让有兴趣的同学参与管理和教学过程,组建相关学生社团,也起到了良好的辅助效果。
4结语
网络信息安全论文范文第6篇
1.立法的目的是促进发展。
我们应当明确立法是为了更好地为发展提供规范依据和服务,是为了确保发展能够顺利进行。针对跟网络有联系的部分,我们可以将其归到传统的法律范围内,并尽量通过修订或完善传统法律来解决实际的问题。如果一些问题必须要通过制定新的法律才能解决,我们再实施新法律的制定也不迟。并且新法律必须具备良好的开放性,能够随时应对新问题的发生。
2.要重视适度干预手段的运用。
为了促使法律可以跟社会的现实需求相适应,我们应当积极改变那些落后的调整方式,将网络信息安全法律制度的完善重点转移到为建设并完善网络信息化服务,争取为网络信息的安全发展扫清障碍,从而通过规范发展来确保发展,并以确保发展来推动发展,构建良好的社会环境以促进我国网络信息化的健康发展,形成一个跟网络信息安全的实际需求高度符合的法治文化环境。
3.要充分考虑立法应当遵循的一些基本原则。
在立法的具体环节,我们不仅要考虑到消极性法律制定出来将造成的后果,还应当充分考虑积极性法律附带的法律后果。因此,我们不仅要制定出管理性质的法律制度,还要制定出能够促进网络信息产业及网络信息安全技术持续发展的法律制度,并涉及一些必要的、能够积极推动我国网络信息安全产业可持续发展的内容。
二、完善我国网络信息安全法律制度的具体措施
(一)及时更新我国网络信息的立法观念
当下,一些发展中国家及大多数发达国家正主动参与制定网络信息化的国际规则,尤其是电子商务的立法,这些国家的参与热情最高,欧盟、美国及日本正在想方设法将自己制定的立法草案发展成为全球网络信息立法的范本,其他国家也在加强对立法发言权的争取,于是国际电子商务规则的统一出台是我们指日可待的事情。从这一紧张且迫切的国际形势来看,中国在实施网络信息化立法时应当要适度超前我国实际的网络信息化发展进程,及时更新我国网络信息的立法观念,勇于吸取发达国家先进的立法经验,加快建设网络信息安全立法的速度,尽快将国内的网络信息化立法完善。与此同时,我国也应当积极争取在制定国际网络信息化规则时享有更多的发言权,切实将中国的利益维护好。
(二)加强研究我国网络信息的立法理论
发展到今天,已经有相当一部分国人在从事我国网络信息化的理论研究工作,取得了显著的研究成果,为完善我国网络信息安全的法律制度奠定了必要的理论依据。然而,这些研究工作并不具备必要的组织及协调,在力度和深度上都远远不够,至今也没有得出实际的法律草案,根本无法跟立法的需求相符。为了配合法律制度的完善,我们需要更加系统、更加深入地研究立法理论。具体地,我们要做好两个主要的工作:其一,建议我国的一些相关部门在全国范围内成立专门的学术研讨会,针对网络信息安全的法律政策进行研究,掀起我国研究立法理论的热潮,积极推动网络信息立法的实现。其二,积极研究国外的网络信息立法,借鉴其中较先进的法律体系及经验,同时要处理好网络信息安全立法跟其他法律之间的关系。
(三)积极移植国外先进的网络信息法规
跟中国相比,西方一些发达国家更早进行网络信息立法的研究和实践,并已经制定出很多保护网络信息安全的法律制度,个别发达国家甚至已经构建了完善的网络信息安全法律体系。所以,我们应提高对国外新的信息立法的关注度,争取把握好他们发展网络信息立法的趋势。但是,对于国外已经完善的网络信息安全法律,我们并不能照搬,而是要以中国的实际国情为基础,勇于借鉴它们先进的立法成果,致力于使我们制定出的法律制度跟中国的特色社会主义市场经济规律相符,从而真正提高我国网络信息安全法律制度的完善速度,提升我们的立法质量。
(四)完善网络信息法制建设的反馈机制
在制定并完善我国网络信息安全法律制度的全过程中,我们坚决不能忽视反馈。反馈能够确保我们顺利实施网络信息安全法律制度,并为网络信息安全法律制度建设的进一步完善提供积极的参考依据。然而长时间以来,我国并没有建立健全网络信息安全立法的反馈渠道,从提出需求、编制条文到执行法规、监督法规,几乎都是立法领域的主管机构在负责,这种管理方式自上而下,将法规的执行者摆在了被动的地位上,没有跟法规的制定者建立起良好的信息沟通关系,对网络信息安全法律制度的可行性、科学性等有极大的消极影响。所以,我们应当建立起通畅的网络信息立法反馈渠道,构建完善的安全法律制度反馈机制,进一步明确各执法部门的反馈职能,全面收集运行网络信息安全法律制度的相关信息,确保我国的网络信息安全立法是科学的、现实的,促使法律制度在运行时能够达到一个良好的动态平衡状态。
(五)健全我国网络信息安全的法律体系
网络信息化最重要的保障就是网络信息安全的基本法,因此我们应当尽快制定出这一基本法,加快健全我国网络信息安全的法律制度体系。中国至今仍不具备网络信息安全的基本法,这对建设及完善我国的网络信息安全法律制度有很大的制约作用。随着网络信息化在中国的快速发展,社会发展及国民经济当中信息网络占据的地位越来越重要,其作用也愈加关键,一旦网络瘫痪、数据丢失,人民的财产安全及社会的稳定都将遭受无可估量的巨大损失。也就是说加强保障我国网络信息的安全已经发展成为最重要的网络信息化工作之一。目前,网络安全事故造成的经济影响及社会影响正在逐渐加大,一旦事故发生,受到影响的将是数以千百万计的国人,我们将要遭受的经济损失将是几百上千亿。因此,我们更要进一步健全我国网络信息安全的法律体系,切实维护信息网络的数据安全、物理安全,将安全责任落实到人头,加强对安全管理的改革,通过法律制度的完善来严厉打击利用信息网络及针对信息网络实施的刑事犯罪。
(六)网络信息安全法律制度的执行重点
完善我国网络信息安全法律制度的执行重点应当体现在管理体制、网络信任、信息保护、等级保护、研发网络信息安全技术、应急处理、人才培养、监控体系以及应用推广网络信息安全标准、信息安全意识等各个方面。在实践这一系列重点措施的过程中,我们应特别加强对网络信息安全法律制度效率的提高。在信息网络技术迅猛发展的今天,网络信息安全法律制度拥有的积极作用不仅仅是滞后和适应,还应当充分体现为技术发展的前瞻性及主动规范性。网络信息安全的法律制度必须是能够促进网络信息技术发展进步的,于是我们务必要提升网络信息安全法律制度的效率,在法律制度的创设阶段要科学借鉴主流的技术中立思想,重视法律对特殊技术要求的符合程度,超前为发展技术和完善技术留下一定的空间,提高网络信息安全法律制度的社会适应性。在具体的执行过程中,我们应当加强研究国外先进的立法模式,取其精华、去其糟粕,借鉴其中有益自身发展的成分,有效解决法律制度跟技术之间存在的矛盾,积极鼓励创新技术,大力开发自主知识产权,完善我国网络信息安全的技术指标体系,提高法律制度的规范效率。换言之,在完善我国网络信息安全法律制度时,我们不仅要遵循现有的法律体系,也要敢于跳出现行的立法理念,只要是跟现行的法律体系内容不符,我们就要将其突破;我们反对动辄立法,因为一些法律条文我们完全可以自行解释、执行。在创制网络信息安全法律时,我们不仅要重视制定管理性质的规范,也要颁布实施能够促进网络信息产业可持续发展的法律法规,并积极引导从业单位自律;积极防止对网络信息传播有害的管理机制的出现,进一步完善保障网络信息安全的法规体系,建立起通过网络信息弘扬我国优秀文化的激励机制。在执行网络信息安全法律制度时,我们不仅要完善其行政执法体制,还应当加强建立起一支专业的人才队伍,由具备专业的网络信息知识、拥有快速的安全反应能力的人员组成,以进一步明确职责,健全我们的执法机构,力求真正做到依法管理、依法行政、依法决策;加强完善我国网络信息领域的司法公工作,力求通过司法的途径切实维护好公民的合法权益,促使国家的经济安全和政治安全得到保障,进而大力推动我国网络信息有序、健康、安全地发展下去。
三、结语
网络信息安全论文范文第7篇
在对我国网络领域的安全进行界定的过程中,应根据其自身所具备的特点来进行区别于实体空间的判断。当前,我国的网络领域安全范围通常会与实体的领土范围相结合。故要树立起明确的网络信息安全观念,就必须先对我国的网络领域安全进行界定。我国的网络领域安全界定从形态上来进行区分可以分为有形、无形以及其他三个部分。这里所提到的有形部分主要指的是我国网络领域的基础设施。而一个国家的网络领域基础设施应该是这个国家首先进行安全范围内维护的部分,其中的安全程度应该处于能够对在任何区域和任何形式下发出的网络攻击进行防范。网络领域中的无形部分主要是通过世界各国之间所制定签署的国际协议而划分出的分配给某一个国家专属的计算机互联网领域。相对来讲,网络领域中的无形部分在进行安全构建时对安全程度的要求也比较高,其中的安全职责范围应该处于能够对本国家以外任何国家所发起的网络恶意侵犯行为以及在网络中进行的违法活动进行有效打击和屏蔽,其所管辖的范围具体包括国家金融网络信息系统、国家通信网络信息系统以及国家公民网络信息系统等。当然以上所提到的网络信息系统也都属于国家信息系统的一部分。在对国家计算机互联网络信息系统安全进行保护的过程中,应将其分成两种类型,一种是关乎于国民生计和社会经济发展,另一种是关乎于网络空间的稳定。
2我国信息安全中存在的问题
2.1信息安全制度有待优化
根据最新的信息显示,目前我国所颁布的有关信息安全发展的法律条例以及政府制度的文件有很多,其中包括《网络信息安全不同等级保护措施》、《计算机互联网络信息安全保护级别划分标准》、《国家安全法》、《互联网络商务信息密码安全保护条例》以及《互联网络信息电子签名法》等。虽然在这些法律条例以及政府文件中都对计算机互联网络信息的安全出台了相应的保护措施和发展方向,但从整体来看,大部分的条例内容都只是对关于网络信息安全的相关内容进行了涉猎,这些涉猎内容较为分散,而且没有统一的有关整个网络信息安全产业的概述和规划。在我国近期所颁布的《“十二五”网络信息安全产业发展规划》以及《我国新兴产业战略性“十二五”发展规划》中也只是对网络信息的相关产业发展战略进行了简单的规划,规划内容并不够明确,而有关区域性的信息安全产业发展战略更是没有及时提出。
2.2威胁我国网络信息安全构建的因素
对威胁因素的界定是一个国家安全观念的主要体现,而不同国家对于威胁因素的界定并不相同。每个国家对于威胁本国家安全的因素进行判断的标准决定了这个国家在构建安全防范体系时的侧重点以及分配比例。而对于我国来讲,能够对我国计算机互联网络信息安全产生威胁的因素主要可以归结为以下几个方面。
2.1.1首先,是从经济的视角分析网络信息安全威胁
由于我国的计算机互联网络信息安全基础设施建设较晚,故使得我国整体网络信息系统的技术都处于较为落后的状态,对于外界的违法入侵和信息盗窃行为的抵抗能力也较弱。而这样的局面不但会使我国的网络信息安全受到威胁,更会在一定程度上给我国的社会经济发展造成损失,有时甚至会破坏我国的社会稳定和团结。与此同时我国在进行网络信息安全基础设施构建的过程中,对网络黑客的攻击防范意识和防范能力也都比较落后,这样的状况经常会给不法分子创造窃取信息的机会。
2.1.2其次,是我国政治的视角分析网络信息安全威胁
在当前世界各国之间和平共处的大环境下,西方的一些发达国家,尤其是美国以及与其进行联盟的国家,经常会打着网络信息自由的幌子,来对我国的政治领域进行意识形态方面的渗透和宣传,其中甚至包括散布虚假社会信息、反对我国当前执政党的合法性以及纵容反对我国政权等行为。
2.1.3最后,是我国军事的视角分析网络信息安全威胁
从世界范围来看,各国之间的军事抗争行为越来越依赖于信息化的互联网络,在对国家国防进行构建的领域中,已经进入到了一个全新的作战领域,其中主要强调的是将传统战场中的事物进行网络信息领域的融入,并对其中的实施进行相应的控制。当前,美国在这一方面已经制定出了比较完善的网络战役规则,而我国在这方面的涉猎还处于初级阶段。而且,据近期联合国载军研究所的调查数据显示,全球已经有45个国家建立起了网络信息战部队,相当于全球国家总数的五分之二以上。
3解决我国信息安全中存在问题的对策
(1)第一个方面是建立一个安全可操控的网络信息安全保障体系,继而促进我国网络空间安全的保障能力。
(2)第二个方面时加强对我国网络信息的安全管理和防范。
(3)第三个方面是推动我国网络信息建设的健康稳定发展,借以维护我国的社会经济的可持续增长。与此同时,我国信息安全战略实现路径应该从以下几点进行着手。
首先,应对国家互联网络空间在进行安全设计时的内容加以重视。在将信息安全战略理论进行实现时,应组建起一只以我国国家互联网络信息人员为中心的信息安全小组,并从国家政策以及我国当前网络安全中存在的设计漏洞的角度出发,进行新的网络信息安全系统构建。国家的信息安全构建部门还应建立起优化的管理制度,并完善管理体系。其次,应建立起完善的攻防兼备的计算机换联网信息安全体系。想要实现信息安全战略的规划,就必须对网络空间的主动权进行掌控,并建立起可攻可守的安全防护体系。最后,应将我国的信息安全法律体系进行完善。一个国家的网络信息安全法律体系的是否完善会在很大程度上左右这个国家信息的安全发展。我国的相关法律部门应充分借鉴外国发达国家的信息安全法律制度构建经验,并有效结合我国国情进行制定,继而使得我国的信息安全战略在实现过程中能够受到现行的法律保护。
4结论
网络信息安全论文范文第8篇
作为通过远程连接的方式实现网络资源的共享是大部分用户均会使用到的,不管这样的连接方式是利用何种方式进行连接,都难以避开负载路由器以及交换机的系统网络,这是这样,这些设备存在着某些漏洞极容易成为黑客的攻击的突破口。从路由器与交换机存在漏洞致因看,路由与交换的过程就是于网络中对数据包进行移动。在这个转移的过程中,它们常常被认为是作为某种单一化的传递设备而存在,那么这就需要注意,假如某个黑客窃取到主导路由器或者是交换机的相关权限之后,则会引发损失惨重的破坏。纵观路由与交换市场,拥有最多市场占有率的是思科公司,并且被网络领域人员视为重要的行业标准,也正因为该公司的产品普及应用程度较高,所以更加容易受到黑客攻击的目标。比如,在某些操作系统中,设置有相应的用于思科设备完整工具,主要是方便管理员对漏洞进行定期的检查,然而这些工具也被攻击者注意到并利用工具相关功能查找出设备的漏洞所在,就像密码漏洞主要利用JohntheRipper进行攻击。所以针对这类型的漏洞防护最基本的防护方法是开展定期的审计活动,为避免这种攻击,充分使用平台带有相应的多样化的检查工具,并在需要时进行定期更新,并保障设备出厂的默认密码已经得到彻底清除;而针对BGP漏洞的防护,最理想的办法是于ISP级别层面处理和解决相关的问题,假如是网络层面,最理想的办法是对携带数据包入站的路由给予严密的监视,并时刻搜索内在发生的所有异常现象。
2交换机常见的攻击类型
2.1MAC表洪水攻击
交换机基本运行形势为:当帧经过交换机的过程会记下MAC源地址,该地址同帧经过的端口存在某种联系,此后向该地址发送的信息流只会经过该端口,这样有助于节约带宽资源。通常情况下,MAC地址主要储存于能够追踪和查询的CAM中,以方便快捷查找。假如黑客通过往CAM传输大量的数据包,则会促使交换机往不同的连接方向输送大量的数据流,最终导致该交换机处在防止服务攻击环节时因过度负载而崩溃.
2.2ARP攻击
这是在会话劫持攻击环节频发的手段之一,它是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认其物理地址的应答,这样的数据包才能被传送出去。黑客可通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,ARP欺骗过程如图1所示。
2.3VTP攻击
以VTP角度看,探究的是交换机被视为VTP客户端或者是VTP服务器时的情况。当用户对某个在VTP服务器模式下工作的交换机的配置实施操作时,VTP上所配置的版本号均会增多1,当用户观察到所配置的版本号明显高于当前的版本号时,则可判断和VTP服务器实现同步。当黑客想要入侵用户的电脑时,那他就可以利用VTP为自己服务。黑客只要成功与交换机进行连接,然后再本台计算机与其构建一条有效的中继通道,然后就能够利用VTP。当黑客将VTP信息发送至配置的版本号较高且高于目前的VTP服务器,那么就会致使全部的交换机同黑客那台计算机实现同步,最终将全部除非默认的VLAN移出VLAN数据库的范围。
3安全防范VLAN攻击的对策
3.1保障TRUNK接口的稳定与安全
通常情况下,交换机所有的端口大致呈现出Access状态以及Turnk状态这两种,前者是指用户接入设备时必备的端口状态,后置是指在跨交换时一致性的VLAN-ID两者间的通讯。对Turnk进行配置时,能够避免开展任何的命令式操作行为,也同样能够实现于跨交换状态下一致性的VLAN-ID两者间的通讯。正是设备接口的配置处于自适应的自然状态,为各项攻击的发生埋下隐患,可通过如下的方式防止安全隐患的发生。首先,把交换机设备上全部的接口状态认为设置成Access状态,这样设置的目的是为了防止黑客将自己设备的接口设置成Desibarle状态后,不管以怎样的方式进行协商其最终结果均是Accese状态,致使黑客难以将交换机设备上的空闲接口作为攻击突破口,并欺骗为Turnk端口以实现在局域网的攻击。其次是把交换机设备上全部的接口状态认为设置成Turnk状态。不管黑客企图通过设置什么样的端口状态进行攻击,这边的接口状态始终为Turnk状态,这样有助于显著提高设备的可控性。最后对Turnk端口中关于能够允许进出的VLAN命令进行有效配置,对出入Turnk端口的VLAN报文给予有效控制。只有经过允许的系类VLAN报文才能出入Turnk端口,这样就能够有效抑制黑客企图通过发送错误报文而进行攻击,保障数据传送的安全性。
3.2保障VTP协议的有效性与安全性
VTP(VLANTrunkProtocol,VLAN干道协议)是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议,它主要用于管理在同一个域的网络范围内VLANs的建立、删除以及重命名。在一台VTPServer上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机,这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTPServer保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。处于VTP模式下,黑客容易通过VTP实现初步入侵和攻击,并通过获取相应的权限,以随意更改入侵的局域网络内部架构,导致网络阻塞和混乱。所以对VTP协议进行操作时,仅保存一台设置为VTP的服务器模式,其余为VTP的客户端模式。最后基于保障VTP域的稳定与安全的目的,应将VTP域全部的交换机设置为相同的密码,以保证只有符合密码相同的情况才能正常运作VTP,保障网络的安全。
4结语
网络信息安全论文范文第9篇
随着信息产业的高速发展,众多企业都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。
关键字:信息系统信息安全身份认证安全检测
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一、目前信息系统技术安全的研究
1.企业信息安全现状分析
随着信息化进程的深入,企业信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。
2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%.
对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低。
2.企业信息安全防范的任务
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:
从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。
二、计算机网络中信息系统的安全防范措施
(一)网络层安全措施
①防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
②入侵检测技术
IETF将一个入侵检测系统分为四个组件:事件产生器(EventGenerators);事件分析器(EventAnalyzers);响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID(IntrusionDetection):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(CSignature-Based),另一种基于异常情况(Abnormally-Based)。
(二)服务器端安全措施只有正确的安装和设置操作系统,才能使其在安全方面发挥应有的作用。下面以WIN2000SERVER为例。
①正确地分区和分配逻辑盘。
微软的IIS经常有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。本系统的配置是建立三个逻辑驱动器,C盘20G,用来装系统和重要的日志文件,D盘20G放IIS,E盘20G放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。因为,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
②正确
地选择安装顺序。
一般的人可能对安装顺序不太重视,认为只要安装好了,怎么装都可以的。很多时候正是因为管理员思想上的松懈才给不法分子以可乘之机。Win2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000SERVER之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装,尽管很麻烦,却很必要。
(三)安全配置
①端口::端口是计算机和外部网络相连的逻辑接口,从安全的角度来看,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性——TCP/IP——高级——选项——TCP/IP筛选中启用TCP/IP筛选,不过对于Win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口;这样对于需要开大量端口的用户就比较麻烦。
②IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,所以在本系统的WWW服务器采取下面的设置:
首先,把操作系统在C盘默认安装的Inetpub目录彻底删掉,在D盘建一个Inetpub在IIS管理器中将主目录指向D:\Inetpub。
其次,在IIS安装时默认的scripts等虚拟目录一概删除,这些都容易成为攻击的目标。我们虽然已经把Inetpub从系统盘挪出来了,但这样作也是完全必要的。如果需要什么权限的目录可以在需要的时候再建,需要什么权限开什么。特别注意写权限和执行程序的权限,没有绝对的必要千万不要给。
③应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指出的是ASP,ASP和其它确实需要用到的文件类型。我们不需要IIS提供的应用程序的映射,删除所有的映射,具体操作:在IIS管理器中右击主机一属性一WWW服务编辑一主目录配置一应用程序映射,然后就一个个删除这些映射。点击“确定”退出时要让虚拟站点继承刚才所设定的属性。
经过了Win2000Server的正确安装与正确配置,操作系统的漏洞得到了很好的预防,同时增加了补丁,这样子就大大增强了操作系统的安全性能。
虽然信息管理系统安全性措施目前已经比较成熟,但我们切不可马虎大意,只有不断学习新的网络安全知识、采取日新月异的网络安全措施,才能保证我们的网络安全防御真正金汤。
参考文献:
刘海平,朱仲英.一个基于ASP的在线会员管理信息系统.微型电脑应用.2002(10)
东软集团有限公司,NetEye防火墙使用指南3.0,1-3
贾晶,陈元,王丽娜编著,信息系统的安全与保密,第一版,1999.01,清华大学出版社
EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
杨兵.网络系统安全技术研究及其在宝钢设备采购管理系统中的应用:(学位论文).辽宁:东北大学,2002
刘广良.建设银行计算机网络信息系统安全管理策略研究:(学位论文).湖南:湖南大学.2001
网络信息安全论文范文第10篇
论文摘要:随着网络技术的飞速发展和广泛应用,信息安全问题正日益突出显现出来,受到越来越多的关注。文章介绍了网络信息安全的现状.探讨了网络信息安全的内涵,分析了网络信息安全的主要威胁,最后给出了网络信息安全的实现技术和防范措施.以保障计算机网络的信息安全,从而充分发挥计算机网络的作用。
论文关键词:计算机,网络安全,安全管理,密钥安全技术
当今社会.网络已经成为信息交流便利和开放的代名词.然而伴随计算机与通信技术的迅猛发展.网络攻击与防御技术也在循环递升,原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁.网络安全已变成越来越棘手的问题在此.笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。
1网络信息安全的内涵
网络安全从其本质上讲就是网络上的信息安全.指网络系统硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全状态可见.网络安全至少应包括静态安全和动态安全两种静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性:动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。
2网络信息安全的现状
中国互联网络信息中心(CNNIC)的《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,中国网民数达到2.98亿.手机网民数超1亿达1.137亿。
Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示.2006年中国(大陆)病毒造成的主要危害情况:“浏览器配置被修改”是用户提及率最高的选项.达20.9%.其次病毒造成的影响还表现为“数据受损或丢失”18%.“系统使用受限”16.1%.“密码被盗”13.1%.另外“受到病毒非法远程控制”提及率为6.1%“无影响”的只有4.2%。
3安全防范重在管理
在网络安全中.无论从采用的管理模型,还是技术控制,最重要的还是贯彻始终的安全管理管理是多方面的.有信息的管理、人员的管理、制度的管理、机构的管理等.它的作用也是最关键的.是网络安全防范中的灵魂。
在机构或部门中.各层次人员的责任感.对信息安全的认识、理解和重视程度,都与网络安全息息相关所以信息安全管理至少需要组织中的所有雇员的参与.此外还需要供应商、顾客或股东的参与和信息安全的专家建议在信息系统设计阶段就将安全要求和控制一体化考虑进去.则成本会更低、效率会更高那么做好网络信息安全管理.至少应从下面几个方面人手.再结合本部门的情况制定管理策略和措施:
①树立正确的安全意识.要求每个员工都要清楚自己的职责分工如设立专职的系统管理员.进行定时强化培训.对网络运行情况进行定时检测等。
2)有了明确的职责分工.还要保障制度的贯彻落实.要加强监督检查建立严格的考核制度和奖惩机制是必要的。
③对网络的管理要遵循国家的规章制度.维持网络有条不紊地运行。
④应明确网络信息的分类.按等级采取不同级别的安全保护。
4网络信息系统的安全防御
4.1防火墙技术
根据CNCERT/CC调查显示.在各类网络安全技术使用中.防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜.易安装.并可在线升级等特点防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况.以此来实现网络的安全保护。
4.2认证技术
认证是防止主动攻击的重要技术.它对开放环境中的各种消息系统的安全有重要作用.认证的主要目的有两个:
①验证信息的发送者是真正的主人
2)验证信息的完整性,保证信息在传送过程中未被窜改、重放或延迟等。
4.3信息加密技术
加密是实现信息存储和传输保密性的一种重要手段信息加密的方法有对称密钥加密和非对称密钥加密.两种方法各有所长.可以结合使用.互补长短。
4.4数字水印技术
信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中.然后通过公开信息的传输来传递机密信息对信息隐藏而吉.可能的监测者或非法拦截者则难以从公开信息中判断机密信息是否存在.难以截获机密信息.从而能保证机密信息的安全随着网络技术和信息技术的广泛应用.信息隐藏技术的发展有了更加广阔的应用前景。数字水印是信息隐藏技术的一个重要研究方向.它是通过一定的算法将一些标志性信息直接嵌到多媒体内容中.但不影响原内容的价值和使用.并且不能被人的感觉系统觉察或注意到。
4.5入侵检测技术的应用
人侵检测系统(IntrusionDetectionSystem简称IDS)是从多种计算机系统及网络系统中收集信息.再通过这此信息分析入侵特征的网络安全系统IDS被认为是防火墙之后的第二道安全闸门.它能使在入侵攻击对系统发生危害前.检测到入侵攻击.并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中.能减少入侵攻击所造成的损失:在被入侵攻击后.收集入侵攻击的相关信息.作为防范系统的知识.添加入策略集中.增强系统的防范能力.避免系统再次受到同类型的入侵入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术.是一种用于检测计算机网络中违反安全策略行为的技术。