常用網絡安全標準
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇常用網絡安全標準范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
常用網絡安全標準范文第1篇
一、2015年工控安全漏洞與安全事件依然突出
通過對國家信息安全漏洞庫(CNNVD)的數據進行分析,2015年工控安全漏洞呈現以下幾個特點:
1.工控安全漏洞披露數量居高不下,總體呈遞增趨勢。受2010年“震網病毒”事件影響,工控信息安全迅速成為安全領域的焦點。國內外掀起針對工控安全漏洞的研究熱潮,因此自2010年以后工控漏洞披露數量激增,占全部數量的96%以上。隨著國內外對工控安全的研究逐漸深入,以及工控漏洞的公開披露開始逐漸制度化、規范化,近幾年漏洞披露數量趨于穩定。
2.工控核心硬件漏洞數量增長明顯。盡管在當前已披露的工控系統漏洞中軟件漏洞數量仍高居首位,但近幾年工控硬件漏洞數量增長明顯,所占比例有顯著提高。例如,2010年工控硬件漏洞占比不足10%,但是2015年其占比高達37.5%。其中,工控硬件包括可編程邏輯控制器(PLC)、遠程終端單元(RTU)、智能儀表設備(IED)及離散控制系統(DCS)等。
3.漏洞已覆蓋工控系統主要組件,主流工控廠商無一幸免。無論是國外工控廠商(如西門子、施耐德、羅克韋爾等)還是國內工控廠商(研華),其產品普遍存在安全漏洞,且許多漏洞很難修補。在2015年新披露的工控漏洞中,西門子、施耐德、羅克韋爾、霍尼韋爾產品的漏洞數量分列前四位。
二、工控信息安全標準需求強烈,標準制定工作正全面推進
盡管工控信息安全問題已得到世界各國普遍重視,但在工業生產環境中如何落實信息安全管理和技術卻沒有切實可行的方法,工控信息安全防護面臨著“無章可循”,工控信息安全標準已迫在眉睫。當前,無論是國外還是國內,工控信息安全標準的需求非常強烈,標準制定工作也如火如荼在開展,但工控系統的特殊性導致目前工控安全技術和管理仍處探索階段,目前絕大多數標準正處于草案或征求意見階段,而且在設計思路上存在較為明顯的差異,這充分反映了目前不同人員對工控信息安全標準認識的不同,因此工控信息安全標準的制定與落地任重道遠。
1.國外工控信息安全標準建設概況
IEC 62443(工業自動化控制系統信息安全)標準是當前國際最主要的工控信息安全標準,起始于2005年,但至今標準制定工作仍未結束,特別是在涉及到系統及產品的具體技術要求方面尚有一段時日。
此外,美國在工控信息安全標準方面也在不斷推進。其國家標準技術研究院NIST早在2010年了《工業控制系統安全指南》(NIST SP800-82),并2014年了修訂版2,對其控制和控制基線進行了調整,增加了專門針對工控系統的補充指南。在奧巴馬政府美國總統第13636號行政令《提高關鍵基礎設計網絡安全》后,NIST也隨即了《關鍵基礎設施網絡安全框架》,提出“識別保護檢測響應恢復”的總體框架。
2.國內工控信息安全標準建設概況
在國內,兩個標準化技術委員會都在制定工控信息安全標準工作,分別是:全國信息安全標準化技術委員會(SAC/TC260),以及全國工業過程測量與控制標準化技術委員會(SAC/TC 124)。
其中,由TC260委員會組織制定的《工業控制系統現場測控設備安全功能要求》和《工業控制系統安全控制應用指南》處于報批稿階段,《工業控制系統安全管理基本要求》、《工業控制系統安全檢查指南》、《工業控制系統風險影響等級劃分規范》、《工業控制系統安全防護技術要求和測試評價方法》和《安全可控信息系統(電力系統)安全指標體系》正在制定過程中,并且在2015年新啟動了《工業控制系統產品信息安全通用評估準則》、《工業控制系統漏洞檢測技術要求》、《工業控制系統網絡監測安全技術要求和測試評價方法》、《工業控制網絡安全隔離與信息交換系統安全技術要求》、《工業控制系統網絡審計產品安全技術要求》、《工業控制系統風險評估實施指南》等標準研制工作。
TC124委員會組織制定的工控信息安全標準工作也在如火如荼進行。2014年12月,TC124委員會了《工業控制系統信息安全》(GB/T 30976-2014),包括兩個部分內容:評估規范和驗收規范。另外,TC124委員會等同采用了IEC 62443中的部分標準,包括《工業通信網絡網絡和系統安全術語、概念和模型》(JB/T 11961-2014,等同采用IEC/TS 62443-1-1:2009)、《工業過程測量和控制安全網絡和系統安全》(JB/T 11960-2014,等同采用IEC PAS 62443-3:2008)、《工業通信網絡網絡和系統工業自動化和控制系統信息安全技術》(JB/T 11962-2014,等同采用IEC/TR 62443-3-1:2009),此外對IEC62443-2-1:2010標準轉標工作已經進入報批稿階段,并正在計劃對IEC 62443-3-3:2013進行轉標工作。除此之外,TC124委員會組織制定的集散控制系統(DCS)安全系列標準和可編程控制器(PLC)安全要求標準也已經進入征求意見稿后期階段。
由于不同行業的工業控制系統差異很大,因此我國部分行業已經制定或正在研究制定適合自身行業特點的工控信息安全標準。2014年,國家發改委了第14號令《電力監控系統安全防護規定》,取代原先的《電力二次系統安全防護規定》(電監會[2005]5號),以此作為電力監控系統信息安全防護的指導依據,同時原有配套的防護方案也進行了相應的更新。在城市軌道交通領域,上海申通地鐵集團有限公司2013年了《上海軌道交通信息安全技術架構》(滬地鐵信[2013]222號文),并在2015年以222號文為指導文件了企業標準《軌道交通信息安全技術建設指導意見》(2015,試行)。同時,北京市軌道交通設計研究院有限公司于2015年牽頭擬制國家標準草案《城市軌道交通工業控制系統信息安全要求》。在石油化工領域,2015年由石化盈科牽頭擬制《中石化工業控制系統信息安全要求》等。
三、工控安全防護技術正迅速發展并在局部開始試點,但離大規模部署和應用有一定差距
當前許多信息安全廠商和工控自動化廠商紛紛研究工業控制系統的信息安全防護技術并開發相應產品,近幾年出現了一系列諸如工控防火墻、工控異常監測系統、主機防護軟件等產品并在部分企業進行試點應用。比較有代表性的工控安全防護產品及特點如下:
1.工控防火墻 防火墻是目前網絡邊界上最常用的一種安全防護設備,主要功能包括訪問控制、地址轉換、應用、帶寬和流量控制等。相對于傳統的IT防火墻,工控防火墻不但需要對TCP/IP協議進行安全過濾,更需要對工控應用層協議進行深度解析和安全過濾,如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控應用層協議的深度檢測,包括控制指令識別、操作地址和操作參數提取等,才能真正阻止那些不安全的控制指令及數據。
2.工控安全監測系統我國現有工業控制系統網絡普遍呈現出“無縱深”、“無監測”、“無防護”特點,工控安全監測系統正是針對上述問題而快速發展起來的技術。它通過數據鏡像方式采集大量工控網絡數據并進行分析,最終發現各種網絡異常行為、黑客攻擊線索等。利用該系統,相關人員能夠了解工控網絡實時通信狀況,及時發現潛在的攻擊前兆、病毒傳播痕跡以及各類網絡異常情況,同時,由于該系統是以“旁路”方式接入工控網絡中,不會對生產運行造成不良影響,因此更容易在工控系統這種特殊環境下進行部署和推廣。
3.主機防護產品在工業生產過程中,人員能夠通過工程師站或操作員站對PLC、DCS控制器等設備進行控制,從而實現閥門關閉、執行過程改變等操作。這些工程師站、操作員站等主機系統就變得十分重要,一旦出現問題,比如感染計算機病毒等,就會對正常生產造成較大影響。近年來發生的由于工程師站或操作員站感染計算機病毒最終導致控制通信中斷從而影響生產的報道屢見不鮮。加強這些重要主機系統的安全防護,尤其是病毒防護至關重要。但是,傳統的基于殺毒軟件的防護機制在工控系統中面臨著很多挑戰,其中最嚴重的就是在工控網絡這樣一個封閉的網絡環境中,殺毒軟件無法在線升級。另外,殺毒軟件對未知病毒、變異病毒也無能為力。在此情況下,基于白名單的防護技術開始出現。由于工控系統在建設完成投入運行后,其系統將基本保持穩定不變,應用單一、規律性強,因而很容易獲得系統合法的“白名單”。通過這種方式就能夠發現由于感染病毒或者攻擊而產生的各種異常狀況。
4.移動介質管控技術在工控網絡中,由于工控系統故障進行維修,或者由于工藝生產邏輯變更導致的工程邏輯控制程序的變更,需要在上位機插入U盤等外來移動介質,這必然成為工控網絡的一個攻擊點。例如,伊朗“震網”病毒就是采用U盤擺渡方式,對上位機(即WinCC主機)進行了滲透攻擊,從而最終控制了西門子PLC,造成了伊朗核設施損壞的嚴重危害后果。針對上述情況,一些針對U盤管控的技術和原型產品開始出現,包括專用U盤安全防護工具、USB漏洞檢測工具等。
總之,針對工控系統安全防護需求及工控環境特點,許多防護技術和產品正在快速研發中,甚至在部分企業進行試點應用。但是,由于這些技術和產品在穩定性、可靠性等方面還未經嚴格考驗,能否適用于工業環境的高溫、高濕、粉塵情況還未可知,再加上工控系統作為生產系統,一旦出現故障將會造成不可估量的財產損失甚至人員傷亡,用戶不敢冒然部署安全防護設備,因此目前還沒有行業大規模使用上述防護技術和產品。
四、主要對策建議
針對2015年工控信息安全總體情況,提出以下對策建議:
1.進一步強化工控信息安全領導機構,充分發揮組織管理職能。
2.對工控新建系統和存量系統進行區別對待。對于工控新建系統而言,要將信息安全納入總體規劃中,從安全管理和安全技術兩方面著手提升新建系統的安全保障能力,對關鍵設備進行安全選型,在系統上線運行前進行風險評估和滲透測試,及時發現安全漏洞并進行修補,避免系統投入生產后無法“打補丁”的情況。對于大量存量系統而言,應在不影響生產運行的情況下,通過旁路安全監測、外邊界保護等方式,形成基本的工控安全狀況監測和取證分析能力,徹底扭轉現階段對工控網絡內部狀況一無所知、面對工控病毒攻擊束手無策的局面。
3.大力推進工控安全防護技術在實際應用中“落地”,鼓勵主要工控行業用戶進行試點應用,并對那些實踐證明已經成熟的技術和產品在全行業進行推廣。
4.建立工控關鍵設備的安全測評機制,防止設備存在高危漏洞甚至是“后門”等重大隱患。
常用網絡安全標準范文第2篇
關鍵詞:關鍵詞:數據庫 ;安全技術;策略
中圖分類號:TP309.2 文獻標識碼:A 文章編號:
1.數據庫及其安全
數據庫作為一個形式,是當前計算機存儲和操縱數據的最高形式,存儲和操作都是基于數據庫形式來表現。數據庫技術的發展,必定帶動這計算機數據庫安全技術的發展和升級。然而,數據庫系統的生命定義為數據庫安全技術,它是數據庫信息可用性、連續性和保密性的統一。縱觀數據庫的發展歷程,從網絡層次來看,數據庫在發展的三個階段中的任何時段,數據庫的安全問題一直是重中之重。
2.計算機數據庫安全技術
數據庫安全問題從數據庫誕生以來,一直存在,安全問題的暴露,對于數據庫安全技術的提升有著至關重要的影響。所謂數據庫安全技術,是將開放環境下開發的數據在讀取、共享過程中,通過相關訪問控制和訪問管理技術、安全審計、數據庫加密和其他方法來確保數據庫安全。此外,數據庫系統的應用對其安全性做了重大的努力,對于信息而言,數據庫系統是信息的集合體,是計算機信息系統的心臟,其安全性能問題不言而喻。
2.1 訪問控制和存取管理技術
計算機的應用主要是基于主體進程、客體聯系,加之用戶和數據之間的相互活動而形成,因此計算機的安全問題可以歸結于主體和客體之間訪問的合法性問題。所謂合法,系指在訪問數據、讀取程序、執行命令等各個過程均是經過主體-客體授權,非授權的訪問被拒絕。這樣既能保證數據的保密性,又能確保數據完整和可用性的統一。
2.2 安全審計
安全審計實際上是對方案的評估,具備連續性。其必須服務于審計管理員,為管理員提供管理數據,判斷違反安全方案的位置節點。審計功能可以自動將數據庫的全部操作進行記錄,對于攻擊檢測系統而言,它能按照審計功能記錄的數據來分析系統所遭受的攻擊,并分析其原因,自動檢測系統的安全漏洞。
2.3 數據庫加密
數據庫加密是數據庫安全技術中比較常見技術,旨在通過對數據庫的加密,來保證用戶客體的信息安全,最低程度降低損失。所謂加密,通常而言是將可明確辨別的數據信息轉換為不能識別的加密數據信息,非指定用戶不能識別相關數據,指定用戶可將加密信息通過相關程序進行解密而識別。數據庫加密系統實際上是加密和解密兩個過程的統一,即可辨數據信息轉換成非可變信息、算法、利用密鑰解密讀取數據等三個過程。
2.4 數據安全傳輸常用協議
數據庫安全不僅僅限于存儲的數據,在數據傳輸過程中往往涉及到數據的安全和完整兩個方面,所以數據傳輸協議應運而生。
SSL(Secure socket layer)協議:此類協議旨在確定數據瀏覽者的身份,并且在瀏覽器用戶和服務器之間建立加密的服務標準,其在瀏覽器和Web服務器程序中應用十分廣泛,SSL協議需要用戶安裝相關的數字證書才能使用服務器的全部功能,這樣必然能保證數據安全和完整。
IPSec(Internet Protocol Security)協議:此類協議是基于IETF定義的安全標準框架,其能加密和驗證網絡端。IPSec協議能定義可選網絡安全服務,其他功能必須根據自身安全策略來與此類服務進行匹配,在安全標準框架中建立詳細的安全解決策略,從本質上增加數據傳輸的保密性和可靠性。
HTTPS(Secure Hypertext Transfer Protoc01)協議:此類協議通常理解為安全超文本傳輸協議,它能內置于其瀏覽器中,其過程就是反復壓縮和解壓數據信息,返回網絡上進行數據的傳送。
3.數據庫系統安全防范策略
3.1 物理安全防護策略
所謂物理安全防護策略是指采取一系列的措施抵抗數據庫系統物理裝備的威脅,主要包括自然災害、電磁輻射以及惡劣工作環境等多個方面,從而確保數據庫內的重要數據資源盡可能的不被破壞,或者在受到破壞時能夠及時的恢復。物理安全防護策略因數據庫所屬網絡、所在系統以及所含信息的不同而不同,目前較常采用的策略包括抗干擾系統、隔離系統、電磁兼容環境、防輻射、防水、防火、防靜電以及數據的備份和恢復等。
3.2 網絡安全防護策略
隨著計算機技術的迅速發展,越來越多基于網絡的數據庫系統建立起來,為網絡用戶提供所需要的各類信息,網絡成為數據庫系統運行不可或缺的基本組成部分。一方面,數據庫用戶需要網絡進入,才可能獲得需要的信息;另一方面,數據庫的入侵也必定是經過網絡入侵來實現的,因此,就當前來說,數據庫系統的安全性在很大程度上取決于網絡的安全性,網絡安全是數據庫系統安全的有力保障。常用的網絡層面的安全防護措施包括防火墻技術、網絡防病毒技術、入侵技術以及管理安全防護策略。
(1)防火墻技術
當前,數據庫系統的網絡安全防護措施中應用最為廣泛的是防火墻技術,它是由軟件和硬件設備組成的、在內部網絡和外部網絡之間、專用網與公共網之間構建的一道保護屏障,以有力監控網絡的可信任性,有效攔截非法訪問,從而確保數據安全性。當前,大部分數據庫系統之前都建立有各種形式的防火墻作為一個安全網關,防止外部網絡的非法入侵,保護數據庫信息免受破壞。數據包過濾器、狀態分析和是最基本、最有效的防火墻技術,一般來講,不單獨使用其中一項,而是將三項技術綜合使用,從而達到最好的防護效果。
防火墻技術具有簡單實用、透明度高而且可以在不修改原有網絡應用系統的情況下達到一定安全要求的特點。但防火墻技術不是萬能的,其局限在于不能有效攔截網絡內部的非法操作。另外,防火墻技術智能化程度較低,一旦確定防火墻級別,寫入其內部的規則便已確定,對于某種信息是否攔截也已確定,無法實現動態識別和自動調整。再者,防火墻使用的濾波技術通常會大幅降低網絡性能。
(2) 網絡防病毒技術
病毒實際上就是針對復雜系統中的錯誤或漏洞,進行網絡攻擊來竊取、篡改信息,而復雜系統中的錯誤和漏洞往往難以規避,因此病毒對網絡安全造成巨大的影響。對于病毒的防范,至關重要。必須嚴格加強服務器和工作站的操作管理,對于工作站而言,無盤操作、網絡殺毒軟件、防火墻是常用的病毒防范策略。對于病毒,我們必須做到預防為主,多種防范技術相結合的手段,才能將病毒規避于無形。
(3)入侵檢測
所謂的網路入侵是指非指定授權用戶對計算機網絡數據進行篡改、復制、存貯等行為以及惡意破壞計算機網絡安全等行為。為了防止數據庫被破壞,針對網絡入侵,必須實施有效的入侵檢測。所謂入侵檢測是指監控安全日志及審計數據等計算機網絡系統中的關鍵點信息,并對信息進行歸納分析,進而檢測到對系統的闖入或闖入的企圖。入侵檢測是一項重要的安全監控技術,能夠有效地監督系統及用戶的行為、評估敏感系統和數據的完整性、識別攻擊行為、對異常行為進行統計、自動地收集和系統相關的補丁、進行審計跟蹤識別違反安全策略的行為、使用誘騙服務器記錄黑客行為等功能,使系統管理員可以較有效地監視、審計、評估自己的系統。
3.3 管理安全防護策略
計算機的安全通常都是由人來控制,任何數據的維護以及數據庫系統和計算機網絡的安全運行,都是由人這個主體來完成,加強計算機網絡安全教育以及對操作管理人員進行與時俱進的培訓和管理,才能最終解決計算機安全的問題的。
4.結語
數據庫技術的發展日新月異,而對數據庫的攻擊方式也五花八門,要求我們數據庫系統的管理和維護方式必須具備多樣性、可持續性。綜上所述,確保數據庫安全,必須分析影響數據庫安全的各個因素,引進最新的安全技術成果,升級安全防范軟件,相信數據庫安全問題在今后會得到有效的控制和解決。
參考文獻:
常用網絡安全標準范文第3篇
如今的信息化時代,計算機網絡已經成為人們工作、學習和生活中一種不可缺少的重要工具,當前很多高校都構建了自己的校園局域網,為廣大師生的學習和工作提供了很多的便利,與此同時由于計算機網絡的開放性,校園網經常遭受多種安全威脅,嚴重影響了校園網的安全穩定運行。因此在校園網中要積極利用網絡安全技術,提高校園網的安全性。本文分析了校園網的安全目標,闡述了網絡安全技術在校園網中的應用。
【關鍵詞】網絡安全技術 校園網 應用
近年來,計算機網絡技術被廣泛的應用在高校校園中,校園網快速發展,同時校園網的安全問題也受到了人們關注的焦點。由于校園網的網絡用戶包含職工、教師、學生等多個人群,并且不同使用者對于校園網的使用也不同,如網絡辦公、瀏覽網頁、信息處理等,校園網的安全問題非常突出。為了提高校園網的安全穩定性,必須積極的在校園網中應用網絡安全技術,加強校園網網絡安全管理,使校園網為廣大師生提供更多的便利。
1 校園網的安全目標
1.1 可控性
校園網的可控性是指校園網可以調節和控制傳播信息內容和方式的能力,為了保障廣大師生和國家的利益,維護良好的社會秩序,校園網管理者必須適當的控制和監督在校園網平臺上傳播的相關信息,避免社會犯罪和外界侵犯,保障校園網的安全穩定性。
1.2 可靠性
校園網的可靠性是校園網最基本的安全目標之一,校園網的可靠性是指校園網安全、穩定的運行,快速完成校園網用戶指定的相應功能和具體任務。
1.3 真實性
校園網的真實性是指校園網用戶不能否定或者抵賴對校園網系統的任何操作和承諾。任何用戶對于校園網的操作都具有真實性。
1.4 保密性
校園網的保密性是指校園網必須確保用戶信息的安全性,不能出現信息泄露,提高校園網的可靠性和可用性。校園網的保密性要求校園網管理系統必須做好用戶信息保存和處理工作,任何人不得泄露網絡用戶的個人信息。
1.5 完整性
校園網的完整性是指各種信息資源在校園網的傳輸過程中,不能發生信息資源刪除、修改、偽造、篡改等破壞行為,確保信息資源的完整性。校園網在日常運行過程中,很容易受到設備故障、誤碼、惡意攻擊、網絡病毒等因素的影響,導致校園網信息資源被破壞,嚴重影響校園網的安全穩定運行。
2 網絡安全技術在校園網中的應用
2.1 防火墻技術
在校園網中安裝防火墻,以校園局域網為平臺,按照一定的計算機網絡系統中的相關安全標準,實時檢測校園網中傳輸的數據包,如果發現數據包的來源地質存在安全風險,會立即攔截傳輸數據進入網絡,并且快速阻止非法入侵者或者網絡黑客以非法手段獲取內部信息數據或者訪問內部網絡,能夠有效地過濾校園網中的危險因素,有效地提高了校園網的安全性。另外,防火墻技術還可以實時記錄和監控校園網的多種操作,校園網用戶在校園網的操作內容都會經過防火墻的監測,并且留下相關的記錄信息,一旦發現校園網出現非法操作,會立即發出報警信號,引起校園網管理人員和用戶的注意。
2.2 訪問控制列表技術(ACL)
在校園網中應用ACL技術,可以對校園網中的協議、MAC地址、端口、IP地址等進行過濾,有效地抵擋人為惡意攻擊和病毒攻擊。可以利用ACL技術的訪問控制拓展列表和訪問控制標準列表來定義規則,只允許校園網中的MAC和IP訪問系統操作和數據庫[2],校園網系統數據庫只提供給開放部分的端口,屏蔽不常使用和病毒經常出入的端口,只允許合法的網絡用戶進行數據交流,將一切非法的主機抵擋在校園網之外。
2.3 數據加密技術
在校園網中應用數據加密技術,防止非法入侵者篡改和查看校園網中的重要信息和文件。應用數據加密技術對校園網中的信息數據進行加密,主動抵御校園網可能出現的安全隱患,提高校園網的安全性。數據加密技術可以將校園網中的數據信息進行置換或者移位變換,由網絡密鑰來控制數據信息的解密。通常情況下,數據加密技術擁有公開密鑰和私用密鑰兩種加密技術,私用密鑰加密技術利用同一個密鑰解密和加密數據信息,只有校園網授權用戶才知道這個密鑰,授權用戶利用這個私用密鑰對數據信息進行解密。數據加密技術的公開密鑰加密擁有私鑰和公鑰兩個密鑰,可以同時進行解密和加密,如果校園網用戶使用私鑰對網絡數據進行加密,擁有公鑰的網絡用戶可以完成解密,如果校園網用戶使用公鑰對網絡數據進行加密,只有擁有私鑰的用戶可以進行解密,公鑰在校園網中是公開的,任何網絡用戶都可以使用公鑰對數據信息加密,然后將數據信息發送給擁有私鑰的用戶,只有合法用戶才擁有私鑰。
2.4 IDS技術
IDS(Intrusion Detection System)技術是一種非常重要的入侵檢測系統,在校園網中應用IDS技術,可以實時監測校園網系統中信息的通信情況,當監測到異常的訪問行為或者數據傳輸時,IDS可以自動采取主動防護措施或者發出報警信號。當前,入侵檢測系統主要通過誤用檢測和異常檢測這兩種檢測方法,檢測校園網中的入侵行為。
2.5 身份認證技術
由于校園網的用戶類型較多,為了確保校園網的安全穩定性,對于任何進入校園網系統的用戶都必須進行身份認證,因此可以在校園網中應用身份認證技術,這種數字化的PKI體制的身份認證技術和傳統的使用口令及用戶名認證技術相比,其安全性能更高。用戶登陸校園網之后,在訪問校園網信息資源時,需要使用會話和證書信息,通過這些來驗證用戶的真實身份,有效地阻止非法入侵者假冒合法用戶的行為。另外,這種數字化的PKI體制的身份認證技術還可以有效地提高校園網的校園一卡通登錄、電子郵件、權限管理和控制以及日志管理和審計等方面的信息安全。
3 結束語
校園網對廣大師生的生活、學習和工作有著非常重要的影響,只有不斷提高校園網的安全性,人們才能更加放心地使用校園網系統,因此要積極應用多種網絡安全技術,推動校園網的安全、穩定運行,為廣大師生提供更多的服務。
參考文獻
[1]丁吉安.常用網絡安全技術在校園網中的應用研究[D].山東大學,2011.
[2]姚汝,肖堯.網絡安全技術在校園網中的應用研究[J].網絡安全技術與應用,2014,01:115+165.
[3]謝暉輝.網絡安全技術在校園網中的應用[J].電腦知識與技術,2011,09:2087-2088.
常用網絡安全標準范文第4篇
關鍵詞:信息安全 防火墻 CGI ARP
目前,電子政務的發展方興未艾,已經進入了符合Internet/Intranet技術標準的平臺應用階段。在這一階段,電子政務系統不僅在技術上有了很大進步,而且應用范圍已從部門內部、部門之間擴展到行業/系統內部,乃至跨部委跨系統。這樣的一個龐大系統,不僅要考慮其可靠性、開放性、可維護性和可管理性,更應考慮其安全性。沒有安全性,這個系統就失去了存在的意義,而且隨著技術的發展,安全問題已經成為電子政務的核心問題,它將伴隨著電子政務的發展而發展。
在安全性方面,除了要制定嚴密的入網、使用制度外,更應該從技術上保障系統的安全。通過多年網絡管理、維護的實踐,并借鑒網絡戰的相關戰法,筆者總結了幾點安全性措施,以供同行參考。
一、查漏強網法
查漏強網法,是指要經常或定期對己方網絡進行網絡安全漏洞檢測和修補,提高己方網絡抵御黑客攻擊的能力。
網管應該時刻牢記:在完成一個網絡補丁的同時,可能又產生新的漏洞。這些漏洞即使我們不去研究,黑客也會去研究的,我們應該把研究網絡安全漏洞看成是建立網絡防御體系的關鍵所在;要盡量減少漏洞發現與漏洞修補之間的“時間差”。這個“時間差”越小,黑客能利用我方網絡安全漏洞的機會就越少,反之我方網絡面臨的安全威脅越大。
通過多起泄密案例分析,堡壘往往是從內部攻破的。因此,網管也應抓好硬件、軟件和人員的管理。一個好的規章制度其隱性的作用往往勝過好的防火墻。
在查漏方面,CGI腳本是主頁安全漏洞的主要來源,推薦過濾“& ;` " ” | * ? ~ ^ ( ) [ ] { } $ # ”等特殊字符;在設計CGI腳本時,其對輸入數據的長度有嚴格限制;使用C編寫CGI程序時,一定要使用安全的函數;實現功能時制定安全合理的策略,CGI程序還應具有檢查異常情況的功能,在檢查出陌生數據后CGI應能及時處理這些情況。在保護FTP服務器時,設置站點為不可視和設置用戶登陸頻率行之有效。
二、監測反黑法
監測反黑法,是指在己方網絡運行過程中,動態監視網絡運行狀態和用戶行為,當發現異常情況和黑客攻擊行為時,及時報警并采取應對措施,對付黑客的攻擊。
一名好的網絡安全人員,應該從兩個不同的角度對網絡進行安全評估:第一,從黑客角度進行思考,尋找現有的網絡漏洞,對網絡資源加以保護;第二,從安全管理者的角度進行思考,尋找既可保障安全又不影響網絡運行效率的最佳途徑。
計算機網絡防御不是采用安全措施就萬事大吉的靜態過程,而是一個包括網絡防護、監測、響應、恢復等四個環節的連續、反復的動態過程。具體實施有:第一,要選擇符合安全標準和通過安全認證的網絡安全技術手段和設備,如選擇安全級別較高的網絡操作系統、數據庫系統、服務器、路由器和防火墻等,構建一個全方位、多層次、立體化的動態防護體系,構建網絡防御的第一道防線。第二,要采用網絡入侵檢測216系統及時發現黑客攻擊行為,及時報警。第三,當發生報警時應及時分析原因,采用應急響應和處置措施,斷開網絡連接、堵塞漏洞、跟蹤攻擊或進行反攻,及時把敵人入侵的手段、特點向上級報告和向友鄰單位通報。第四,要及時對網絡系統的軟件和數據進行備份;當網絡系統遭到破壞時,應能夠及時對軟件和數據進行恢復。
對于目前危害很大的ARP病毒攻擊,可以使用以下的方法進行防御:
使用可防御ARP攻擊的三層交換機,綁定端口-MAC-IP,限制ARP流量,及時發現并自動阻斷ARP攻擊端口,合理劃分VLAN,徹底阻止盜用IP、MAC地址,杜絕ARP的攻擊。
對于經常爆發病毒的網絡,進行Internet訪問控制,限制用戶對網絡的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端,如果能夠加強用戶上網的訪問控制,就能極大地減少該問題的發生。
在發生ARP攻擊時,及時找到病毒攻擊源頭,并收集病毒信息,使用TrendLabs軟件進行分析,TrendLabs將以最快的速度提供病毒碼文件,從而可以進行ARP病毒的防御。
三、筑墻護網法
筑墻護網法,是指通過身份認證、訪問控制、數據加密和防火墻等手段在網絡邊界和網絡內部主機上構建一道一道的防火墻,以防止黑客進行網絡滲透或入侵,竊取情報。
網絡防火墻是一種保護計算機網絡系統安全的技術性措施,它是將計算機內部網絡和外部網絡分開的方法,實際上是一種隔離技術,它可以阻止網絡中的黑客來攻擊和破壞內部網絡。目前網絡防火墻主要有以下四種類型:包過濾防火墻、防火墻、雙穴主機防火墻和檢測型防火墻。不同類型的防火墻,其效果是不同的。需要注意的是,監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品。雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在使用中的防火墻產品仍然以型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。
四、以攻協防法
以攻協防法,即在防御中抓住有利的戰機對黑客計算機網絡系統實施攻擊,以積極的攻勢行動保護己方計算機網絡系統安全的方法。這種方法在網絡戰中經常使用。
進攻就是最好的防御。人不犯我,我不犯人。目前網絡泄密已經給我們各行各業造成了巨大的損失,對敵對勢力進行必要的教訓是應該的。通過對黑客實施計算機網絡偵察,了解黑客對我實施計算機網絡進攻的組織和實施方案,以及黑客計算機網絡系統的相關信息,一方面便于我方采取得當的隱蔽對策實施防護,另一方面可以通過了解的情報,對黑客計算機網絡系統實施反擊,從而達到保護我方計算機網絡系統的目的。
網絡環境的復雜性、多變性,以及信息系統的脆弱性,決定了網絡安全威脅的客觀存在。我國日益開放并融入世界,但加強安全監管和建立保護屏障不可或缺。目前我國政府、相關部門和有識之士都把網絡監管提到新的高度,例如上海市負責信息安全工作的部門就提出了采用非對稱戰略構建上海信息安全防御體系,其核心是在技術處于弱勢的情況下,用強化管理體系來提高網絡安全整體水平。我們衷心希望在不久的將來,我國信息安全工作能跟隨信息化的逐步深入,上一個新臺階。
作者簡介:
常用網絡安全標準范文第5篇
隨著互聯網絡的發展和師生對各種數據需要和交流的不斷增長,各高職院都已經建立了自己的網絡。伴隨著網絡用戶和數據信息量的迅速增長以及網絡環境和管理復雜等原因,校園網不但要防止來自外部的黑客入侵,還需要防止來自內部的惡意破壞。即要保證信息的開放與安全性,又要保證教學財務等信息的完整和保密性。所以,校園網絡的安全是至關重要的。
2網絡安全防護措施
(1)internet的不安全性。①網絡互聯技術是全開放的,使得網絡面臨的破壞和攻擊來自各方面。②網絡的國際性意味著網絡的攻擊不僅來自本地網絡的用戶,而且可以來自互聯網上的任何一臺機器。③網絡的自由性意味著最初網絡對用戶的使用并沒有提供任何的技術約束,用戶可以自由地訪問網絡和信息。(2)操作系統的不安全性。操作系統安全是整個校園網絡安全的基礎。首先,操作系統的體系結構使得其程序鏈接是動態的,很容易遭到黑客的攻擊和利用,人們在上傳和下載文件時也容易產生計算機病毒。其次,操作系統可以創建進程并支持進程的遠程創建與激活,這使得一些黑客或間諜軟件能夠很輕易地進入用戶的計算機。(3)數據庫的不安全性。資源共享和數據通信是計算機網絡的主要功能,如今數據庫系統需要面對更多的安全威脅。數據庫的安全就是為了確保數據的安全可靠和信息完整。阻止用戶對數據的故意破壞和非法存取。數據的不安全性主要有以下兩個方面:①非授權用戶對數據庫的訪問。②授權用戶對數據庫的非法訪問。文件服務器是運行網絡操作系統的核心設備,它的基本功能就是向服務器提供文件和數據存儲。簡化了網絡數據的管理、改善了系統的性能、提高了數據的可用性、降低了運營成本。此外文件服務器還具有分時系統管理的全部功能,能夠對全網統一管理,提供網絡用戶訪問文件、目錄的并必控制和安全保密措施。因此文件服務器的損壞會造成整個網絡的癱瘓。所以對文件服務器的管理至關重要。文件服務器的管理存在兩個大問題,一是不能正確精確授權,導致文件管理混亂;二是不能有效對文件實施審核,缺乏了一套對文件管理的審核方案。防火墻指的是一個軟件和硬件設備組合而成、在各種網絡之間的界面上構造的保護屏障。它是一種網絡安全部件,可以是硬件,也可以是軟件,也可能是硬件和軟件的結合,這種安全部件處于被保護網絡和其它網絡的邊界,接收進出被保護網絡的數據流,并根據防火墻所配置的訪問控制策略進行過濾或做出其它操作。是隔離內部網絡與外界網絡的第一道安全防御系統,最大限度地阻止了網絡中黑客的來訪。是網絡安全最主要和最基本的基礎設施。如果沒有防火墻,整個網絡的安全將被網絡中最脆弱的部分所制約。在設計和選用防火墻方面,不管采用原始設計還是使用現成的防火墻,對于管理員來說,首先得根據安全級別確定防火墻的安全標準。其次,設計或選用防火墻必須與網絡接口匹配,要盡量防止所能想到的威脅。防火墻可以是軟件或硬件模塊,并能集成于網橋、網關、路由器等設備之中。為了安全起見,建議在防火墻網絡中,對內部DNS服務器和外部DNS服務器進行分開放置。網絡操作系統在安裝時要先拔下網線。這樣可以阻止黑客和病毒利用網絡接口攻擊操作系統。安裝殺毒軟件。為操作系統用戶設置密碼并禁止使用Guest用戶。為操作系統安裝用來修正操作系統漏洞的補丁。預防優盤病毒指用戶向系統提供自己的身份證明,最常的方法是提供用戶名和密碼。身份鑒別強調一致性驗證,因此必須保證標識的唯一性。鑒別是用于檢驗用戶身份的合法性的檢驗。(4)數據庫加密。常用的數據加密技術有對稱加密技術和非對稱加密技術兩種。此外為了制止非授權用戶對數據庫的訪問,也為了約束授權用戶對數據庫訪問的范圍和方式,DBMS必須具備用戶帳號口令和用戶身份識別的保護機制。DBMS依靠帳號和口令的一致來識別用戶身份的合法性。全體用戶的帳號口令儲存在某個系統文件中,DBMS采用安全技術保護該文件,以免遭到破壞。DBA根據用戶的實際需要授予適當的數據庫使用權。給驅動器加密讓服務器遠離網絡安裝防病毒軟件并定期殺毒刪除不必要的軟件、停止不必要的服務,不給黑客留下攻擊的機會。使用最少的特權執行管理任務。給服務器更新最新最全的補丁。
3結語
