網(wǎng)絡(luò)安全技術(shù)規(guī)范范文

時(shí)間:2023-12-15 17:35:32

導(dǎo)語:如何才能寫好一篇網(wǎng)絡(luò)安全技術(shù)規(guī)范,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

篇1

屆時(shí),大會(huì)還將繼續(xù)凸顯“我國電子認(rèn)證服務(wù)業(yè)發(fā)展現(xiàn)狀與重點(diǎn)”的介紹,并以“工業(yè)控制系統(tǒng)安全高峰論壇”為本屆大會(huì)的突出亮點(diǎn),集納各界經(jīng)典名篇、學(xué)術(shù)成果、研究課題、應(yīng)用經(jīng)驗(yàn),編輯出版《2013中國信息安全技術(shù)展望學(xué)術(shù)論文集》,其中優(yōu)秀論文將擇優(yōu)在《信息安全與技術(shù)》(國家級(jí)刊物)、《信息網(wǎng)絡(luò)安全》、《計(jì)算機(jī)安全》、《電腦編程技巧與維護(hù)》上刊登,并全文收錄于《中國學(xué)術(shù)期刊網(wǎng)絡(luò)出版總庫》及CNKI系列數(shù)據(jù)庫、《中文核心期刊(遴選)數(shù)據(jù)庫》、《中文科技期刊數(shù)據(jù)庫》和龍?jiān)雌诳W(wǎng)。

征文內(nèi)容如下:

1.計(jì)算機(jī)安全、下一代網(wǎng)絡(luò)安全技術(shù);

2.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理、密碼學(xué)、軟件安全;

3.信息系統(tǒng)等級(jí)安全保護(hù)、重要信息系統(tǒng)安全;

4.云計(jì)算與云安全、物聯(lián)網(wǎng)的安全;

5.移動(dòng)互聯(lián)網(wǎng)的安全信息安全保障體系、移動(dòng)計(jì)算平臺(tái)安全性研究;

6.信息內(nèi)容安全、通信安全、網(wǎng)絡(luò)攻防滲透測試技術(shù);

7.可信計(jì)算;

8.關(guān)鍵基礎(chǔ)設(shè)施安全;

9.系統(tǒng)與網(wǎng)絡(luò)協(xié)議安全分析;

10.系統(tǒng)架構(gòu)安全分析;

11.面向業(yè)務(wù)應(yīng)用的整體安全保護(hù)方案;

12.信息安全漏洞態(tài)勢研究;

13.新技術(shù)新應(yīng)用信息安全態(tài)勢研究;

14.Web應(yīng)用安全;

15.計(jì)算機(jī)系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)的實(shí)施與發(fā)展現(xiàn)狀;

16.國內(nèi)外電子認(rèn)證服務(wù)相關(guān)政策與標(biāo)準(zhǔn)研究;

17.電子認(rèn)證服務(wù)最新技術(shù)和產(chǎn)品;

18.電子認(rèn)證服務(wù)應(yīng)用創(chuàng)新;

19.電子認(rèn)證服務(wù)行業(yè)研究和熱點(diǎn)事件解析;

20.可靠電子簽名與數(shù)據(jù)電文的認(rèn)定程序/技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析;

21.數(shù)字證書交叉認(rèn)證技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析;

22.電子認(rèn)證服務(wù)與云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用融合的相關(guān)技術(shù)、標(biāo)準(zhǔn)規(guī)范和應(yīng)用發(fā)展情況;

23.工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn);

24.信息安全和功能安全標(biāo)準(zhǔn)化;

25.信息安全和功能安全集成技術(shù);

26.工業(yè)控制系統(tǒng)安全性的技術(shù)指標(biāo)與經(jīng)濟(jì)成本;

27.信息安全產(chǎn)品設(shè)計(jì)和系統(tǒng)集成;

28.工業(yè)控制系統(tǒng)安全的評(píng)估與認(rèn)證;

29.工業(yè)控制系統(tǒng)的信息安全解決方案;

30.工業(yè)自動(dòng)化安全面臨的風(fēng)險(xiǎn);

31.國外工業(yè)控制系統(tǒng)安全的做法;

32.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及其發(fā)展趨勢;

33.工業(yè)控制系統(tǒng)安全性的建議;

34.工控系統(tǒng)與信息系統(tǒng)對(duì)信息安全的不同需求;

35.工業(yè)控制系統(tǒng)的安全性與可用性之間的矛盾與平衡;

36.應(yīng)用行業(yè)工業(yè)控制系統(tǒng)的信息安全防護(hù)體系;

37.工業(yè)控制系統(tǒng)安全測評(píng)體系;

38.工業(yè)控制系統(tǒng)安全安全策略;

篇2

一、學(xué)校網(wǎng)絡(luò)與信息安全工作情況

本次檢查內(nèi)容主要包含網(wǎng)絡(luò)與信息系統(tǒng)安全的管理機(jī)構(gòu)、規(guī)章制度、設(shè)施設(shè)備、網(wǎng)站和信息運(yùn)行情況、人技防護(hù)、隊(duì)伍建設(shè)等5個(gè)方面,同時(shí)從物理安全差距、網(wǎng)絡(luò)安全差距、主機(jī)安全差距、應(yīng)用安全差距、數(shù)據(jù)安全及恢復(fù)差距等5個(gè)方面對(duì)主機(jī)房和14個(gè)信息系統(tǒng)、1個(gè)網(wǎng)站進(jìn)行等級(jí)保護(hù)安全技術(shù)差距分析,通過差距分析,明確各層次安全域相應(yīng)等級(jí)的安全差距,為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。

從檢查情況看,我校網(wǎng)絡(luò)與信息安全總體運(yùn)維情況良好,未出現(xiàn)任何一起重大網(wǎng)絡(luò)安全與信息安全事件(事故)。近幾年,學(xué)校領(lǐng)導(dǎo)重視學(xué)校網(wǎng)絡(luò)信息安全工作,始終把網(wǎng)絡(luò)信息安全作為信息化工作的重點(diǎn)內(nèi)容;網(wǎng)絡(luò)信息安全工作機(jī)構(gòu)健全、責(zé)任明確,日常管理維護(hù)工作比較規(guī)范;管理制度較為完善,技術(shù)防護(hù)措施得當(dāng),信息安全風(fēng)險(xiǎn)得到有效降低;比較重視信息系統(tǒng)(網(wǎng)站)系統(tǒng)管理員和網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn),應(yīng)急預(yù)案與應(yīng)急處置技術(shù)隊(duì)伍有落實(shí);加強(qiáng)對(duì)學(xué)生網(wǎng)絡(luò)宣傳引導(dǎo)教育,日常重視微信、微博、QQ群的管理,提倡爭當(dāng)“綠色網(wǎng)民”;工作經(jīng)費(fèi)有一定保障,網(wǎng)絡(luò)安全工作經(jīng)費(fèi)納入年度預(yù)算,在最近一年學(xué)校信息化經(jīng)費(fèi)投入中,網(wǎng)絡(luò)建設(shè)與設(shè)備購置費(fèi)用約占56、5%,數(shù)字資源與平臺(tái)開發(fā)費(fèi)用約占40、6%,培訓(xùn)費(fèi)用約占0、6%,運(yùn)行與維護(hù)費(fèi)用約占1、04%,研究及其他費(fèi)用約占1、23%,總計(jì)投入占學(xué)校同期教育總經(jīng)費(fèi)支出的比例約1、57%,基本保證了校園網(wǎng)信息系統(tǒng)(網(wǎng)站)持續(xù)安全穩(wěn)定運(yùn)行。

1、網(wǎng)絡(luò)信息安全組織管理

20xx年學(xué)校成立網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組,校主要領(lǐng)導(dǎo)擔(dān)任組長,網(wǎng)絡(luò)與信息安全工作辦公室設(shè)在黨委工作部,領(lǐng)導(dǎo)小組全面負(fù)責(zé)學(xué)校網(wǎng)絡(luò)信息安全工作,教育技術(shù)與信息中心作為校園網(wǎng)運(yùn)維部門承擔(dān)信息系統(tǒng)安全技術(shù)防護(hù)與技術(shù)保障工作,對(duì)全校網(wǎng)絡(luò)信息安全工作進(jìn)行安全管理和監(jiān)督責(zé)任。各部門承擔(dān)本單位信息系統(tǒng)和網(wǎng)站信息內(nèi)容的直接安全責(zé)任。20xx年,由于人動(dòng),及時(shí)調(diào)整網(wǎng)絡(luò)安全和信息安全領(lǐng)導(dǎo)小組成員名單,依照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,明確各部門負(fù)責(zé)人為部門網(wǎng)站的具體負(fù)責(zé)人,建立學(xué)校網(wǎng)絡(luò)信息員隊(duì)伍,同時(shí),還組建網(wǎng)絡(luò)文明志愿者隊(duì)伍,對(duì)網(wǎng)絡(luò)出現(xiàn)的熱點(diǎn)問題,及時(shí)跟蹤、跟帖、匯報(bào)。

2、信息系統(tǒng)(含網(wǎng)站)日常安全管理

學(xué)校建有“校園網(wǎng)絡(luò)系統(tǒng)安全管理(暫行)條例”、“學(xué)生上網(wǎng)管理辦法“、“校園網(wǎng)絡(luò)安全保密管理?xiàng)l例(試行)”、“校園網(wǎng)管理制度”、“網(wǎng)絡(luò)與信息安全處理預(yù)案”、“網(wǎng)上信息監(jiān)控制度”等系列規(guī)章制度。各系統(tǒng)(網(wǎng)站)使用單位基本能按要求,落實(shí)責(zé)任人,較好地履行網(wǎng)站信息上傳審簽制度、信息系統(tǒng)數(shù)據(jù)保密與防篡改制度。日常監(jiān)控對(duì)象包括主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用服務(wù)器等,其中網(wǎng)絡(luò)中的邊界防火墻、網(wǎng)絡(luò)核心交換機(jī)和路由器、學(xué)校站服務(wù)器均納入重點(diǎn)監(jiān)控。日常維護(hù)操作較規(guī)范,多數(shù)單位做到了杜絕弱口令并定期更改,嚴(yán)密防護(hù)個(gè)人電腦,定期備份數(shù)據(jù),定期查看安全日志等,隨時(shí)掌握系統(tǒng)(網(wǎng)站)狀態(tài),保證正常運(yùn)行。

3、信息系統(tǒng)(網(wǎng)站)技術(shù)防護(hù)

學(xué)校網(wǎng)絡(luò)信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件,20xx年為加強(qiáng)校園網(wǎng)絡(luò)安全管理,購置了“網(wǎng)頁防篡改、教師行為管理、負(fù)載均衡”等相關(guān)安全設(shè)備,20xx年二月中旬完成校園信息系統(tǒng)(含網(wǎng)站)等級(jí)保護(hù)的定級(jí)和備案,并上報(bào)xxx市網(wǎng)安支隊(duì)。同時(shí),按二級(jí)等保要求,約投資110萬元,完成“網(wǎng)絡(luò)入侵防御系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、運(yùn)維審計(jì)-堡壘機(jī)系統(tǒng)、服務(wù)及測評(píng)及機(jī)房改造(物理安全)”等網(wǎng)絡(luò)安全設(shè)備的采購工作,目前,方案已經(jīng)通過專家論證。

20xx年4月-6月及20xx年3月對(duì)網(wǎng)站系統(tǒng)進(jìn)行安全測評(píng),特別對(duì)系統(tǒng)層和應(yīng)用層漏洞掃描,發(fā)現(xiàn)(教務(wù)管理系統(tǒng)、教學(xué)資源庫)出現(xiàn)漏洞,及時(shí)整改,并將結(jié)果上報(bào)省教育廳、省網(wǎng)安大隊(duì)、xxx市網(wǎng)安支隊(duì)。同時(shí),對(duì)各防火墻軟件7個(gè)庫進(jìn)行升級(jí),對(duì)服務(wù)器操作系統(tǒng)存在的漏洞及時(shí)補(bǔ)丁和修復(fù),做好網(wǎng)站的備份工作等。

4、網(wǎng)絡(luò)信息安全應(yīng)急管理

20xx年學(xué)校制定了《xxx職業(yè)技術(shù)學(xué)校網(wǎng)絡(luò)與信息安全處理預(yù)案》、《xxx職業(yè)技術(shù)學(xué)校網(wǎng)絡(luò)安全和學(xué)生校內(nèi)聚集事件應(yīng)急處置預(yù)案》。教育技術(shù)與信息中心為應(yīng)急技術(shù)支持單位,在重大節(jié)日及敏感時(shí)期,采用24小時(shí)值班制度,對(duì)網(wǎng)絡(luò)安全問題即知即改,確保網(wǎng)絡(luò)安全事件快速有效處置。

二、檢查發(fā)現(xiàn)的主要問題

對(duì)照《通知》中的具體檢查項(xiàng)目,我校在網(wǎng)絡(luò)與信息安全技術(shù)和安全管理建設(shè)上還存在一定的問題:

1、由于學(xué)校信息化建設(shè)尚處于起步階段,學(xué)院數(shù)據(jù)中心建設(shè)相對(duì)薄弱,未建成完善的數(shù)據(jù)中心共享體系,各應(yīng)用系統(tǒng)的數(shù)據(jù)資源安全及災(zāi)備均由相關(guān)使用部門獨(dú)自管理。同時(shí),網(wǎng)絡(luò)安全保障平臺(tái)(校園網(wǎng)絡(luò)安全及信息安全等級(jí)保護(hù))尚在建設(shè)中。

2、部分系統(tǒng)(網(wǎng)站)日常管理維護(hù)不夠規(guī)范,仍存在管理員弱口令、數(shù)據(jù)備份重視不夠、信息保密意識(shí)較差等問題;學(xué)校子網(wǎng)頁網(wǎng)管員為兼職,投入精力難以保證,而且未取得相應(yīng)資格證書;由于經(jīng)費(fèi)問題,個(gè)別應(yīng)用系統(tǒng)未能及時(shí)升級(jí),容易發(fā)生安全事故。

3、目前尚未開展網(wǎng)絡(luò)安全預(yù)案演練,還未真正組建一支校內(nèi)外聯(lián)合的網(wǎng)絡(luò)安全專家隊(duì)伍,未與社會(huì)企業(yè)簽訂應(yīng)急支持協(xié)議和完成應(yīng)急隊(duì)伍建設(shè)規(guī)劃。

三、整改措施

針對(duì)存在的問題,學(xué)校網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組專門進(jìn)行了研究部署。

1、全面開展信息系統(tǒng)等級(jí)保護(hù)工作。按照相關(guān)《通知》要求,20xx年8月底全面完成網(wǎng)絡(luò)安全保障平臺(tái)建設(shè),根據(jù)系統(tǒng)在不同階段的需求、業(yè)務(wù)特性及應(yīng)用重點(diǎn),采用等級(jí)化與體系化相結(jié)合的安全體系設(shè)計(jì)方案,形成整體的等級(jí)化的安全保障體系,同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè),保障信息系統(tǒng)整體的安全。

2、完善網(wǎng)絡(luò)安全管理制度。根據(jù)等級(jí)保護(hù)要求,進(jìn)行信息安全策略總綱設(shè)計(jì)、信息安全各項(xiàng)管理制度設(shè)計(jì)、信息安全技術(shù)規(guī)范設(shè)計(jì)等,保障信息系統(tǒng)整體安全。

篇3

關(guān)鍵詞:計(jì)算機(jī)信息管理技術(shù);網(wǎng)絡(luò)安全;技術(shù)應(yīng)用;研究分析

中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2013) 20-0000-01

計(jì)算機(jī)信息管理技術(shù)在現(xiàn)代化的社會(huì)之中有著重要的應(yīng)用,而應(yīng)用的不斷增強(qiáng)也使得其重要性不斷提升,隨著科學(xué)技術(shù)的不斷發(fā)展以及信息化的趨勢不斷來臨,人們?cè)卺槍?duì)計(jì)算機(jī)信息管理技術(shù)進(jìn)行提升的同時(shí),對(duì)于網(wǎng)絡(luò)安全也有了更多的關(guān)注和了解。主要的來講,計(jì)算機(jī)信息是一種在網(wǎng)絡(luò)之上借助一定的傳播媒介進(jìn)行信息傳遞的管理技術(shù),而廣大用戶的利益與網(wǎng)絡(luò)的安全可謂是有著緊密的聯(lián)系,網(wǎng)絡(luò)技術(shù)安全與計(jì)算機(jī)信息管理技術(shù)有著不可分割的關(guān)系。要想進(jìn)一步的促進(jìn)計(jì)算機(jī)信息管理技術(shù)的發(fā)展與改進(jìn),就必須要針對(duì)網(wǎng)絡(luò)安全技術(shù)進(jìn)行全面的改進(jìn),并且對(duì)網(wǎng)絡(luò)安全技術(shù)的諸多層面進(jìn)行深度的探討,根據(jù)特定的情況制定出有針對(duì)性的網(wǎng)絡(luò)安全防護(hù)措施和方案,提升應(yīng)用的安全性,進(jìn)而促進(jìn)信息化技術(shù)的穩(wěn)步發(fā)展。

一、計(jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全應(yīng)用之中的問題分析

計(jì)算機(jī)管理技術(shù)在整個(gè)計(jì)算機(jī)應(yīng)用技術(shù)當(dāng)中占有非常重要的地位,所以針對(duì)其技術(shù)的安全性進(jìn)行提升有著重要的意義。在應(yīng)用的過程之中首先需要對(duì)網(wǎng)絡(luò)安全性進(jìn)行必要的分析,找出存在的基本問題,并且逐步的落實(shí)網(wǎng)絡(luò)安全管理的技術(shù)規(guī)范,提升計(jì)算機(jī)信息管理技術(shù)的安全性。常見的諸如IP地址以及域名等等其中可能都包含有網(wǎng)絡(luò)攻擊,而針對(duì)其安全性進(jìn)行提升,有助于有效的遏制惡劣信息的攻擊,保證網(wǎng)絡(luò)信息的安全。另外,計(jì)算機(jī)監(jiān)測信息技術(shù)是安全性工作當(dāng)中的一項(xiàng)重要手段,通過監(jiān)測技術(shù)可以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行之中的不確定性因素以及危險(xiǎn)因素進(jìn)行實(shí)時(shí)的監(jiān)控,避免危險(xiǎn)信息對(duì)網(wǎng)絡(luò)安全造成威脅。在日常的計(jì)算機(jī)信息管理過程當(dāng)中也需要做好面對(duì)突發(fā)問題的準(zhǔn)備,保證在相應(yīng)的安全問題發(fā)生之時(shí)可以正確的、快速的、科學(xué)的應(yīng)對(duì)。最后在針對(duì)計(jì)算機(jī)控制信息的范文過程當(dāng)中還需要注重用戶信息的安全性把控,合理的控制信息的訪問,是保證信息以及相關(guān)資源安全性的首要環(huán)節(jié)。綜合上述的分析,對(duì)于計(jì)算機(jī)信息管理技術(shù)之中存在的諸多安全問題,還需要通過不懈的改善網(wǎng)絡(luò)運(yùn)行的環(huán)境、提升安全保障性來對(duì)相應(yīng)的問題進(jìn)行解決。

二、計(jì)算機(jī)信息管理技術(shù)安全性提升的策略分析

針對(duì)計(jì)算機(jī)信息管理技術(shù)的安全性進(jìn)行提升,首要的一點(diǎn)就是加強(qiáng)安全風(fēng)險(xiǎn)的防范意識(shí)以及防范的觀念。使得計(jì)算機(jī)信息管理的安全性技術(shù)深入到每一個(gè)工作細(xì)節(jié)之中,針對(duì)相關(guān)的技術(shù)人員進(jìn)行安全風(fēng)險(xiǎn)防范意識(shí)觀念的培訓(xùn)和教育,做到從源頭之上針對(duì)安全性問題進(jìn)行控制和管理,控制信息和資源的訪問,抵制不良信息和不良因素對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊,并且深入的認(rèn)識(shí)到計(jì)算機(jī)信息管理技術(shù)工作當(dāng)中安全性防范工作的重要性與必要性。但是,從整體上來講針對(duì)計(jì)算機(jī)信息管理技術(shù)的安全性進(jìn)行管理和控制是一項(xiàng)緊迫并且艱巨的任務(wù),由于計(jì)算機(jī)信息管理技術(shù)的安全性與內(nèi)部所有用戶的利益都有著非常緊密的聯(lián)系,所以針對(duì)安全性技術(shù)的改進(jìn),還需要緊緊的跟隨時(shí)代和技術(shù)發(fā)展的步伐,全面的深化技術(shù)的改革,不斷的對(duì)新型技術(shù)手段進(jìn)行分析與探索,做好風(fēng)險(xiǎn)防范的規(guī)劃與決策,進(jìn)而推動(dòng)計(jì)算機(jī)安全性技術(shù)的管理水平。

其次,還需要針對(duì)信息管理的技術(shù)進(jìn)行必要的控制。控制技術(shù)是管理的核心和最基本的環(huán)節(jié),要想使得整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)之內(nèi)的科學(xué)性和安全性得到提升,就需要考慮內(nèi)部與外部的諸多影響因素,并且將信息的安全化管理體系建設(shè)完善。針對(duì)計(jì)算機(jī)信息管理技術(shù)之中相關(guān)的風(fēng)險(xiǎn)因素進(jìn)行研究,保證在安全問題來臨之時(shí)可以進(jìn)行科學(xué)化的防范和管理,明確網(wǎng)絡(luò)技術(shù)的分工,明確安全性技術(shù)管理的基本責(zé)任制度,確保所有的安全管理工作可以在有規(guī)劃和有組織的條件之下開展與進(jìn)行。

最后,還需要不斷的加強(qiáng)信息管理技術(shù)模型的創(chuàng)新,最終建立起一個(gè)安全的、完善的管理技術(shù)模型。管理技術(shù)模型對(duì)于保證計(jì)算機(jī)信息管理技術(shù)的安全性有著積極的影響。在現(xiàn)階段的安全技術(shù)模型改造工作當(dāng)中,已經(jīng)取得了較好的成績,在下一階段的工作之中還需要在研究、探討以及以往經(jīng)驗(yàn)的工作基礎(chǔ)之上,全面的對(duì)計(jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全應(yīng)用之中的管理方案進(jìn)行規(guī)劃和協(xié)調(diào),采取混合式的管理模式,加強(qiáng)網(wǎng)絡(luò)技術(shù)的安全性。

三、結(jié)束語

綜上所述,根據(jù)對(duì)計(jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全之中的應(yīng)用進(jìn)行全面的分析,從實(shí)際的角度出發(fā)論述了現(xiàn)代化的計(jì)算機(jī)信息管理技術(shù)的安全性增強(qiáng)措施與技術(shù)方案,旨在進(jìn)一步的推動(dòng)技術(shù)的創(chuàng)新,完善信息安全技術(shù)的管理手段。

參考文獻(xiàn):

[1]傅彥銘,李蕊,陳攀.一種面向攻擊效果的網(wǎng)絡(luò)安全態(tài)勢評(píng)估方法[J].軟件,2012,10.

篇4

關(guān)鍵詞信息安全;PKI;CA;VPN

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺(tái)將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對(duì)這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時(shí)刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中,以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺(tái),通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計(jì)算機(jī)在同一網(wǎng)段,通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個(gè)環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目,基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析

通過對(duì)我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:

(1)經(jīng)營管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對(duì)數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對(duì)現(xiàn)有的信息安全體系的分析,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:

(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的,主要工作集中于網(wǎng)絡(luò)安全,對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對(duì)外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對(duì)信息安全造成威脅,并且可以各種更加方便的手段對(duì)信息安全造成威脅,比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級(jí)。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性,擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮,既注重技術(shù)的實(shí)現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動(dòng),都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí),優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí),對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性,尋求安全、風(fēng)險(xiǎn)、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費(fèi)用開支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終,如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對(duì)的,需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡,通過對(duì)某公司信息化和信息安全現(xiàn)狀的分析,對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計(jì)算機(jī)專業(yè)公司接觸,初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施,基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):

身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證,而最上一級(jí)的組織(根證書)之間相互認(rèn)證,整個(gè)信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對(duì)企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時(shí),由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等,因此,對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體,是針對(duì)客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章,或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?;赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程,也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù),提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí),加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過本方案的實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。

篇5

現(xiàn)場工作人員詳細(xì)地向記者介紹了公司的情況:上海眾人網(wǎng)絡(luò)安全技術(shù)有限公司是專業(yè)從事網(wǎng)絡(luò)信息安全技術(shù)研發(fā)和產(chǎn)品生產(chǎn)的高新技術(shù)企業(yè),是國家密碼管理局正式批準(zhǔn)的商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位和銷售許可單位,已通過ISO9001質(zhì)量管理體系和ISO27001信息安全管理體系認(rèn)證。公司成立于2007年,主要技術(shù)和產(chǎn)品包括擁有完全自主知識(shí)產(chǎn)權(quán)的動(dòng)態(tài)密碼身份認(rèn)證系統(tǒng)、基于云的統(tǒng)一身份認(rèn)證平臺(tái)、智慧城市公共區(qū)域安全網(wǎng)絡(luò)系統(tǒng)、可應(yīng)用于移動(dòng)互聯(lián)網(wǎng)的SOTP創(chuàng)新安全認(rèn)證技術(shù)等,已廣泛應(yīng)用于政府、軍事、金融、電信等涉及國家和民眾網(wǎng)絡(luò)信息安全的重要領(lǐng)域。

隨著互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)安全已成為一個(gè)關(guān)乎社會(huì)信息、金融安全的重要課題。銀行卡被盜刷、第三方支付安全漏洞等網(wǎng)絡(luò)安全問題頻繁發(fā)生,越來越威脅到大眾的隱私權(quán)益和財(cái)產(chǎn)安全,被推向全民熱議的高峰?,F(xiàn)場工作人員坦言,其實(shí)網(wǎng)絡(luò)信息安全都是屬于幕后的工作,絕大多數(shù)人并不了解信息安全企業(yè)在做什么,這也是企業(yè)選擇參加南博會(huì)的重要原因之一,希望借此讓更多民眾了解信息安全行業(yè),呼吁民眾增強(qiáng)網(wǎng)絡(luò)信息安全的意識(shí),防范可能存在的安全隱患?!皬木W(wǎng)絡(luò)信息安全行業(yè)角度而言,盈利已經(jīng)不是眾人的終極目標(biāo),我們更看重的是對(duì)國家信息安全、對(duì)整個(gè)民族的使命感和責(zé)任感。因此,眾人科技始終堅(jiān)持‘自主研發(fā)、自主設(shè)計(jì)、自主生產(chǎn)’的‘國產(chǎn)化’發(fā)展戰(zhàn)略,不斷進(jìn)行科技儲(chǔ)備,致力于研發(fā)制造出更多有技術(shù)含量的安全產(chǎn)品。自主可控的技術(shù)和產(chǎn)品被更多人認(rèn)可和使用,并能走出國門走向世界是眾人科技的目標(biāo)和追求”。

目前,眾人科技已發(fā)展成為行業(yè)的標(biāo)桿企業(yè),是國內(nèi)信息安全關(guān)鍵細(xì)分領(lǐng)域――身份認(rèn)證領(lǐng)域的領(lǐng)航企業(yè),申報(bào)國家專利過百項(xiàng),核心技術(shù)填補(bǔ)了國內(nèi)空白,已達(dá)到國際同類產(chǎn)品先進(jìn)水平,是國產(chǎn)信息安全標(biāo)準(zhǔn)制定的積極參與者和推動(dòng)者。

這些成績的取得絕非偶然,首先,眾人科技具備專業(yè)的多元化的研發(fā)團(tuán)隊(duì)。眾人科技擁有的技術(shù)研發(fā)人員和技術(shù)支持人員的占比超過公司總?cè)藬?shù)的50%,80%以上的人員學(xué)歷都在大學(xué)本科以上。眾人科技擁有多個(gè)領(lǐng)域的專業(yè)化技術(shù)研發(fā)團(tuán)隊(duì),其中研發(fā)團(tuán)隊(duì)的核心工作人員都是多年從事該領(lǐng)域、具有豐富實(shí)戰(zhàn)工作經(jīng)驗(yàn)的軟件設(shè)計(jì)、研發(fā)、測試人員。

其次,公司擁有完全的自主知識(shí)產(chǎn)權(quán)。眾人科技已申報(bào)國家專利過百項(xiàng),包括發(fā)明專利、實(shí)用新型專利、外觀設(shè)計(jì)專利和商標(biāo)專利。并且,目前眾人科技已具備與多個(gè)行業(yè)的合作基礎(chǔ)和豐富經(jīng)驗(yàn),針對(duì)不同行業(yè)應(yīng)用和場景的解決方案,包括政企、金融、電信、電商、第三方支付以及學(xué)校、醫(yī)院、鐵路等。隨著電子銀行、移動(dòng)支付的發(fā)展需求,眾人科技還建立了與金融行業(yè)的長期合作,現(xiàn)已與中國工商銀行、中國建設(shè)銀行、中國民生銀行等多家大型銀行開展了深入的合作,為網(wǎng)銀業(yè)務(wù)提供了多樣化、個(gè)性化的系統(tǒng)解決方案,在支付領(lǐng)域積累了十分豐富的經(jīng)驗(yàn)。眾人科技與電信等運(yùn)營商也有成功合作的項(xiàng)目,在方案制作、工程部署、運(yùn)行維護(hù)方面奠定了扎實(shí)的技術(shù)和實(shí)施能力。同時(shí),眾人科技還積極參與政府項(xiàng)目的建設(shè),并嚴(yán)格按照政策要求研究開發(fā)相應(yīng)的技術(shù)和產(chǎn)品,獲得了政府包括軍隊(duì)的高度認(rèn)可。

篇6

【關(guān)鍵詞】等級(jí)保護(hù);虛擬專網(wǎng);VPN

1.引言

隨著因特網(wǎng)技術(shù)應(yīng)用的普及,以及政府、企業(yè)和各部門及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長,VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時(shí),我國現(xiàn)行的“計(jì)算機(jī)安全等級(jí)保護(hù)”也為企業(yè)在建設(shè)信息系統(tǒng)時(shí)提供了安全整體設(shè)計(jì)思路和標(biāo)準(zhǔn)。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品,為企業(yè)提供符合安全等級(jí)保護(hù)要求、性價(jià)比高的網(wǎng)絡(luò)安全總體解決方案,是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計(jì)中面臨的挑戰(zhàn)。

2.信息安全管理體系發(fā)展軌跡

對(duì)于信息安全管理問題,在上世紀(jì)90年代初引起世界主要發(fā)達(dá)國家的注意,并投入大量的資金和人力進(jìn)行分析和研究。英國分別于1995年和1998年出版BS7799標(biāo)準(zhǔn)的第一部分《信息安全管理實(shí)施細(xì)則》和第二部分《信息安全管理體系規(guī)范》,規(guī)定信息安全管理體系與控制要求和實(shí)施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn),是一個(gè)全面信息安全管理體系評(píng)估的基礎(chǔ)和正式認(rèn)證方案的根據(jù)。國際標(biāo)準(zhǔn)化組織(ISO)聯(lián)合國際電工委員會(huì)(IEC)分別于2000年和2005年將BS7799標(biāo)準(zhǔn)轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實(shí)施細(xì)則》和ISO/IEC 27001《信息安全管理體系 要求》,并向全世界推廣。中國國家標(biāo)準(zhǔn)化管理委員會(huì)(SAC)于1999年了GB/T 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》標(biāo)準(zhǔn),把信息安全管理劃分為五個(gè)等級(jí),分別針對(duì)不同組織性質(zhì)和對(duì)社會(huì)、國家危害程度大小進(jìn)行了不同等級(jí)的劃分,并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC 27001相對(duì)應(yīng)的GBT 22081-2008《信息安全管理體系 實(shí)用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。

3.信息系統(tǒng)安全的等級(jí)

為加快推進(jìn)信息安全等級(jí)保護(hù),規(guī)范信息安全等級(jí)保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),國家公安部、保密局、密碼管理局和國務(wù)院信息化工作辦公室等,于2007年聯(lián)合了《信息安全等級(jí)保護(hù)管理辦法》,就全國機(jī)構(gòu)/企業(yè)的信息安全保護(hù)問題,進(jìn)行了行政法規(guī)方面的規(guī)范,并組織和開展對(duì)全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。同時(shí),制訂了《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)準(zhǔn)則》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等相應(yīng)技術(shù)規(guī)范(國家標(biāo)準(zhǔn)審批稿),來指導(dǎo)國內(nèi)機(jī)構(gòu)/企業(yè)進(jìn)行信息安全保護(hù)。

在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中,要求從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)等幾方面,按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整、保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求,對(duì)信息流進(jìn)行不同等級(jí)的劃分,從而達(dá)到有效保護(hù)的目的。信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí):第一級(jí)為自主保護(hù)級(jí),第二級(jí)指導(dǎo)保護(hù)級(jí),第三級(jí)為監(jiān)督保護(hù)級(jí),第四級(jí)為強(qiáng)制保護(hù)級(jí),第五級(jí)為??乇Wo(hù)級(jí)。

針對(duì)政府、企業(yè)常用的三級(jí)安全保護(hù)設(shè)計(jì)中,主要是以三級(jí)安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級(jí)安全的信息安全機(jī)制和服務(wù)支持下,實(shí)現(xiàn)三級(jí)安全計(jì)算環(huán)境、三級(jí)安全通信網(wǎng)絡(luò)、三級(jí)安全區(qū)域邊界防護(hù)和三級(jí)安全管理中心的設(shè)計(jì)。

圖1 三級(jí)系統(tǒng)安全保護(hù)示意圖

圖2 VPN產(chǎn)品部署示意圖

4.VPN技術(shù)及其發(fā)展趨勢

VPN即虛擬專用網(wǎng),是通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常,VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

VPN使用三個(gè)方面的技術(shù)保證了通信的安全性:隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。VPN通道的加密方式成為主要的技術(shù)要求,目前VPN技術(shù)主要包括IPSec VPN,非IPSec VPN(如PPTP,L2TP等),基于WEB的SSL VPN等。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品,由IPSec協(xié)議提供隧道安全保障,協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅C苄?。通過采用加密封裝技術(shù),對(duì)所有網(wǎng)絡(luò)層上的數(shù)據(jù)進(jìn)行加密透明保護(hù)。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。

SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備,無需安裝客戶端軟件,授權(quán)用戶能夠從任何標(biāo)準(zhǔn)的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。SSL VPN產(chǎn)品最適合于遠(yuǎn)程單機(jī)用戶與中心之間的虛擬網(wǎng)構(gòu)建。

整個(gè)VPN通信過程可以簡化為以下4個(gè)步驟:

(1)客戶機(jī)向VPN服務(wù)器發(fā)出連接請(qǐng)求。

(2)VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份認(rèn)證的請(qǐng)求,客戶機(jī)與VPN服務(wù)器通過信息的交換確認(rèn)對(duì)方的身份,這種身份確認(rèn)是雙向的。

(3)VPN服務(wù)器與客戶機(jī)在確認(rèn)身份的前提下開始協(xié)商安全隧道以及相應(yīng)的安全參數(shù),形成安全隧道。

(4)最后VPN服務(wù)器將在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對(duì)數(shù)據(jù)進(jìn)行加密,然后通過VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

目前國外公開的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式,加解密算法也多使用通用的3DES、RSA加解密算法,不符合國家密碼產(chǎn)品管理和應(yīng)用的要求?!渡逃妹艽a管理?xiàng)l例》(中華人民共和國國務(wù)院第273號(hào)令,1999年10月7日)第四章第十四條規(guī)定:任何單位或者個(gè)人只能使用經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品,不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國家密碼管理局在2009年針對(duì)VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》,明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。

5.VPN技術(shù)在等級(jí)保護(hù)中的應(yīng)用

在三級(jí)防護(hù)四大方面的設(shè)計(jì)要求中,VPN技術(shù)可以說是在四大方面的設(shè)計(jì)要求中都有廣泛的應(yīng)用:

在安全計(jì)算環(huán)境的設(shè)計(jì)要求中:首先在實(shí)現(xiàn)身份鑒別方面,在用戶訪問的中心,系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名,用戶會(huì)通過VPN的設(shè)備登錄訪問中心的應(yīng)用系統(tǒng),當(dāng)身份得到鑒別通過時(shí)才可訪問應(yīng)用系統(tǒng);其次在數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。

在安全區(qū)域邊界的設(shè)計(jì)要求中:網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實(shí)現(xiàn),在保證傳輸安全性的同時(shí)提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。

在安全通信網(wǎng)絡(luò)的設(shè)計(jì)要求中:網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道,通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個(gè)應(yīng)用系統(tǒng)中邊界或部門服務(wù)器邊界的安全防護(hù),為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機(jī)制。在客戶端和應(yīng)用服務(wù)器進(jìn)出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān),通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進(jìn)出的數(shù)據(jù)提供加密傳輸,實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。

在安全管理中心的設(shè)計(jì)要求中:系統(tǒng)管理中,VPN技術(shù)在主機(jī)資源和用戶管理能夠?qū)崿F(xiàn)很好的保護(hù),對(duì)用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進(jìn)程服務(wù)等方面進(jìn)行監(jiān)視機(jī)制,確保重要信息安全可控,滿足對(duì)主機(jī)的安全監(jiān)管需要。

在信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)中VPN產(chǎn)品的部署示意圖如圖2所示。

篇7

(一)起步階段

我國金融會(huì)計(jì)電子化工作最早起步于20世紀(jì)70年代末,在80年代初期得到了初步發(fā)展。這一時(shí)期,計(jì)算機(jī)開始在會(huì)計(jì)制表、儲(chǔ)蓄、對(duì)公核算業(yè)務(wù)方面得到初步應(yīng)用,應(yīng)用系統(tǒng)一般在DOS平臺(tái)上單機(jī)運(yùn)行,系統(tǒng)的開發(fā)、硬件的選型均不統(tǒng)一,軟件系統(tǒng)的特點(diǎn)也只是模擬手工核算,其目的只是為了減少勞動(dòng)強(qiáng)度和工作量,缺乏操作規(guī)范和管理規(guī)章制度。

(二)發(fā)展階段

到了20世紀(jì)80年代中后期,金融電子化工作得到各家銀行的重視,各銀行系統(tǒng)紛紛制訂本行的電子化發(fā)展規(guī)劃,人民銀行對(duì)整個(gè)金融業(yè)的發(fā)展規(guī)劃也做出了安排。在此期間,金融會(huì)計(jì)電子化的應(yīng)用領(lǐng)域和規(guī)模迅速擴(kuò)大,區(qū)域性乃至全國性的清算網(wǎng)絡(luò)開始建設(shè)。這一時(shí)期的另一特點(diǎn)是,一些銀行開始了微機(jī)應(yīng)用由單機(jī)向網(wǎng)絡(luò)運(yùn)行的過渡,如出現(xiàn)了城市通存通兌網(wǎng)絡(luò)、同城清算網(wǎng)絡(luò),業(yè)務(wù)應(yīng)用領(lǐng)域也從單項(xiàng)業(yè)務(wù)發(fā)展向綜合會(huì)計(jì)業(yè)務(wù)過渡,軟件開發(fā)和硬件選型在一定范圍內(nèi)得到統(tǒng)一,操作規(guī)范和管理規(guī)章制度已經(jīng)建立。人民銀行總行在這一時(shí)期牽頭制定了金融電子化發(fā)展規(guī)劃和遠(yuǎn)期目標(biāo)設(shè)想,1989年,人民銀行全國電子聯(lián)行清算網(wǎng)絡(luò)系統(tǒng)開始啟動(dòng),同年,財(cái)政部頒布實(shí)施了《會(huì)計(jì)核算軟件管理的幾項(xiàng)規(guī)定(試行)》,以規(guī)范會(huì)計(jì)軟件管理工作。

(三)規(guī)范再發(fā)展階段

進(jìn)入20世紀(jì)90年代,金融會(huì)計(jì)電子化規(guī)范管理工作得到有關(guān)部門重視,各行在此基礎(chǔ)上逐漸建立起了本系統(tǒng)的全國異地電子聯(lián)行清算系統(tǒng),如異地匯劃系統(tǒng)、信用卡清算系統(tǒng)等。在90年代后期,一些銀行在大中城市建立了集中清算中心,財(cái)政部也于1994年7月頒布實(shí)施了《會(huì)計(jì)電算化管理辦法》、《商品化會(huì)計(jì)核算軟件評(píng)審規(guī)則》和《會(huì)計(jì)核算軟件基本功能規(guī)范》。這一時(shí)期,會(huì)計(jì)電子化安全問題得到進(jìn)一步的重視,網(wǎng)絡(luò)安全問題逐漸成為安全防范的主要研究課題。今后,伴隨電子商務(wù)的發(fā)展,金融會(huì)計(jì)電子化工作將向網(wǎng)絡(luò)化發(fā)展,網(wǎng)絡(luò)銀行、電話銀行出現(xiàn),網(wǎng)絡(luò)安全成為金融會(huì)計(jì)電子化安全工作的重點(diǎn),金融會(huì)計(jì)電子化的規(guī)章制度和法規(guī)應(yīng)運(yùn)而生,金融會(huì)計(jì)電子化的安全日益關(guān)系到銀行生存乃至整個(gè)社會(huì)的穩(wěn)定。

二、我國金融會(huì)計(jì)電子化工作中的安全問題

回顧我國金融會(huì)計(jì)電子化的發(fā)展歷程,筆者認(rèn)為目前我國金融會(huì)計(jì)電子化工作中主要存在以下安全問題。

(一)軟件設(shè)計(jì)、開發(fā)過程中技術(shù)安全措施少、安全級(jí)別低

現(xiàn)有的會(huì)計(jì)應(yīng)用軟件系統(tǒng)在設(shè)計(jì)、開發(fā)階段,普遍存在系統(tǒng)需求中安全需求少、軟件設(shè)計(jì)重功能輕安全等問題。軟件設(shè)計(jì)選用語言和數(shù)據(jù)庫時(shí)沒有過多考慮安全性能因素,以至于軟件投入運(yùn)行后暴露出諸多安全隱患,如數(shù)據(jù)庫呈開放狀態(tài)、易于打開、應(yīng)用系統(tǒng)軟件存在安全漏洞等。這類現(xiàn)象在金融會(huì)計(jì)電子化起步、發(fā)展階段開發(fā)的系統(tǒng)中更為明顯,并且這些軟件系統(tǒng)在目前還未得到徹底的更新?lián)Q版。

(二)硬件自身安全性能低

這主要是在硬件選型上安全性能因素考慮的比較少,而主要側(cè)重硬件功能和價(jià)格的考察。另外,這與在硬件選型上不統(tǒng)一,缺乏金融系統(tǒng)統(tǒng)一的硬件選型標(biāo)準(zhǔn)也有關(guān)系。硬件自身安全性能低造成的安全問題將直接影響會(huì)計(jì)應(yīng)用系統(tǒng)軟件的正常運(yùn)行。

(三)機(jī)房建設(shè)中存在安全隱患

盡管國家出臺(tái)了《中華人民共和國計(jì)算機(jī)房、站、場地安全要求》,但這一要求在一些小的機(jī)房、場地建設(shè)中注意的較少,尤其在一些縣支行機(jī)房建設(shè)中,安全要求沒有得到徹底落實(shí),甚至有的地方?jīng)]有專用的計(jì)算機(jī)房和場地。此外,即使建立了專用計(jì)算機(jī)房,考慮到資金等因素,許多安全設(shè)施并未配置齊全,存在機(jī)房無避雷系統(tǒng)、不配備UPS系統(tǒng)、UPS損壞后不及時(shí)修理、機(jī)房管理不嚴(yán)密等問題。

(四)網(wǎng)絡(luò)安全問題突出

由于我國計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)時(shí)間比較短,安全經(jīng)驗(yàn)不足,暴露出的網(wǎng)絡(luò)安全問題比較多。這主要表現(xiàn)在以下2個(gè)方面。1.網(wǎng)絡(luò)傳輸載體本身安全性能不穩(wěn)定目前我國網(wǎng)絡(luò)傳輸載體主要分有線和微波2種,但從應(yīng)用會(huì)計(jì)電子化網(wǎng)絡(luò)的實(shí)踐來看,這2種載體都或多或少地存在安全問題。比如電信部門提供的傳輸線路傳輸質(zhì)量不高,所用電話線路由于多為明線易損壞;而微波載體由于通信發(fā)送、接收設(shè)備安全性能不高,一些外來自然因素影響了傳輸效果,甚至導(dǎo)致傳輸線路暫時(shí)中斷。2.投入使用的網(wǎng)絡(luò)軟件安全技術(shù)措施少,尤其是地方性局域網(wǎng)絡(luò)目前,由于對(duì)地方建設(shè)的清算和會(huì)計(jì)信息傳輸網(wǎng)絡(luò)的安全技術(shù)規(guī)范還不太明確,并且對(duì)于局域網(wǎng)絡(luò)安全建設(shè)的認(rèn)證、驗(yàn)收還沒有一個(gè)技術(shù)規(guī)范和認(rèn)證體系,使得局域網(wǎng)絡(luò)建設(shè)缺少安全把關(guān),使已建成的網(wǎng)絡(luò)在安全方面存在較多漏洞和隱患。

(五)應(yīng)用系統(tǒng)操作和使用過程中存在安全問題

金融會(huì)計(jì)電子化工作在應(yīng)用會(huì)計(jì)微機(jī)系統(tǒng)方面存在安全問題的主要原因是操作和管理人員安全意識(shí)淡薄,當(dāng)然具體管理工作薄弱也是不可忽視的一點(diǎn)。

1.在操作人員方面,主要表現(xiàn)為操作密碼管理不嚴(yán)格,存在密碼口令使用周期過長、密碼泄密、操作用戶離崗不簽退應(yīng)用系統(tǒng)、竊密等問題,這主要源于操作人員安全意識(shí)淡薄。

2.業(yè)務(wù)部門管理人員安全意識(shí)淡薄。對(duì)于一些安全管理制度檢查落實(shí)不到位,尤其對(duì)安全操作與方便業(yè)務(wù)處理兩者之間的關(guān)系處理不妥當(dāng)。在管理中的突出表現(xiàn)是違背安全規(guī)定去設(shè)置和配備操作崗位與操作人員,出現(xiàn)違規(guī)操作、違規(guī)兼崗現(xiàn)象,對(duì)計(jì)算機(jī)房疏于管理。

3.系統(tǒng)管理人員安全職責(zé)履行不到位。系統(tǒng)管理員的兩項(xiàng)重要職責(zé)是保證自己操作的安全和會(huì)計(jì)應(yīng)用系統(tǒng)運(yùn)行的安全。目前,有些系統(tǒng)管理員對(duì)以上兩項(xiàng)職責(zé)履行不到位,存在重視自身操作安全,忽視對(duì)用戶操作安全進(jìn)行檢查的現(xiàn)象;有些系統(tǒng)管理員疏于對(duì)計(jì)算機(jī)電源、硬件設(shè)備的定期安全檢查、檢修,對(duì)會(huì)計(jì)應(yīng)用系統(tǒng)的操作和運(yùn)行狀況不能做到定期檢查。

4.在具體安全管理方面,手段比較少,對(duì)軟、硬件的安全檢查更少。銀行會(huì)計(jì)部門每年都要進(jìn)行安全檢查,但往往只是注重業(yè)務(wù)操作管理制度落實(shí)情況的檢查,很少聯(lián)合科技部門對(duì)會(huì)計(jì)應(yīng)用系統(tǒng)軟硬件的安全狀況進(jìn)行檢查。即使對(duì)業(yè)務(wù)操作安全方面進(jìn)行檢查,由于只是對(duì)操作現(xiàn)場簡單地了解一下,很難發(fā)現(xiàn)日常工作中存在的一些安全問題。

(六)制度和法規(guī)建設(shè)滯后,直接降低了會(huì)計(jì)應(yīng)用

系統(tǒng)的運(yùn)行安全性能1993年,人民銀行宿州市中心支行就開始了推廣人民銀行總行組織開發(fā)的“中央銀行會(huì)計(jì)核算系統(tǒng)”應(yīng)用工作。1996年,該核算系統(tǒng)已推廣到人民銀行系統(tǒng)內(nèi)多數(shù)營業(yè)機(jī)構(gòu),而真正的管理辦法《中央銀行會(huì)計(jì)核算系統(tǒng)》直到1997年方出臺(tái),這在當(dāng)時(shí)為許多銀行管理此系統(tǒng)的安全造成了不便。另外,法律制度的滯后也使一些機(jī)構(gòu)無所適從,例如,目前印鑒技術(shù)已發(fā)展到電子印鑒逐漸取代傳統(tǒng)印鑒階段,電子印鑒的安全系數(shù)不斷得到提高,但是現(xiàn)在的法律不認(rèn)可電子印鑒;伴隨金融電子聯(lián)行的普及和異地匯劃網(wǎng)絡(luò)的建設(shè),異地匯兌處理手續(xù)也發(fā)生了變化,《支付結(jié)算會(huì)計(jì)核算處理手續(xù)》中的一些環(huán)節(jié)已不適應(yīng)電子化發(fā)展的形勢,但至今未做出改變,這使得一些電子聯(lián)行處理手續(xù)合理不合法。此外,即使有些銀行及時(shí)制定了有關(guān)的操作規(guī)程和管理辦法,但由于基層銀行沒有制定切實(shí)可行的安全實(shí)施細(xì)則,加之操作和管理人員安全意識(shí)的淡薄,現(xiàn)有制度沒有落實(shí)到位的情況還很多。

三、解決金融會(huì)計(jì)電子化安全問題的幾點(diǎn)建議

為防范和解決金融會(huì)計(jì)電子化工作中的安全問題,確保金融會(huì)計(jì)工作在電子化條件下安全、高效地開展,筆者特提出幾點(diǎn)建議。

(一)程序設(shè)計(jì)、開發(fā)階段加強(qiáng)系統(tǒng)安全技術(shù)措施的運(yùn)用

首先,要求業(yè)務(wù)部門在謀劃系統(tǒng)業(yè)務(wù)需求時(shí),要充分考慮到諸多安全因素,對(duì)系統(tǒng)安全提出明確、具體的業(yè)務(wù)需求,一改過去重功能、輕安全的做法;其次,在軟件系統(tǒng)設(shè)計(jì)開發(fā)階段,軟件編輯人員應(yīng)選用安全性能高的數(shù)據(jù)庫、運(yùn)用嚴(yán)密的編程語言開發(fā)軟件,盡量減少程序上的安全漏洞;再次,在硬件選型時(shí),要盡量采用安全性能高、運(yùn)行質(zhì)量好的設(shè)備,減少硬件安全隱患;四是建議有關(guān)部門,盡快制訂出金融系統(tǒng)軟件開發(fā)規(guī)范和硬件選型標(biāo)準(zhǔn),尤其要明確安全規(guī)范。

(二)會(huì)計(jì)計(jì)算機(jī)系統(tǒng)應(yīng)用階段安全防范

1.建議各銀行對(duì)會(huì)計(jì)系統(tǒng)內(nèi)計(jì)算機(jī)房建設(shè)情況進(jìn)行一次安全大檢查,對(duì)于不符合《中華人民共和國計(jì)算機(jī)房、站、場地安全要求》的,責(zé)令立即進(jìn)行整改。

2.各家銀行有必要對(duì)自家先投入使用的會(huì)計(jì)計(jì)算機(jī)系統(tǒng)進(jìn)行一次自我分析,目的是發(fā)現(xiàn)和解決系統(tǒng)設(shè)計(jì)、開發(fā)階段遺留的安全隱患,并在此基礎(chǔ)上對(duì)舊版本軟件進(jìn)行換版升級(jí)。

3.加強(qiáng)計(jì)算機(jī)安全教育,提高操作人員和管理人員的計(jì)算機(jī)安全意識(shí)。金融會(huì)計(jì)電子化的安全防范措施最基本的還是要發(fā)揮人的因素。因此,需要盡更大的努力去提高人們對(duì)計(jì)算機(jī)安全的認(rèn)識(shí),尤其對(duì)會(huì)計(jì)系統(tǒng)安全的認(rèn)識(shí),各級(jí)教育部門和業(yè)務(wù)管理部門在這方面應(yīng)做更多的教育工作。

4.將金融會(huì)計(jì)網(wǎng)絡(luò)安全作為今后研究和防范的重點(diǎn)。目前,金融計(jì)算機(jī)網(wǎng)絡(luò)已走進(jìn)我們身邊,無論是集中結(jié)算體系的運(yùn)轉(zhuǎn)、電子聯(lián)行通匯還是新興的銀行卡清算系統(tǒng)、網(wǎng)上銀行和其他網(wǎng)上會(huì)計(jì)服務(wù)項(xiàng)目的開通,都離不開網(wǎng)絡(luò),而金融會(huì)計(jì)電子化安全也逐漸以網(wǎng)絡(luò)的安全防范為重點(diǎn),因?yàn)榫W(wǎng)絡(luò)的安全直接關(guān)系到整個(gè)金融業(yè)的穩(wěn)定,關(guān)系到國家和社會(huì)經(jīng)濟(jì)的安全。筆者認(rèn)為,目前應(yīng)將盡快制定出金融會(huì)計(jì)系統(tǒng)網(wǎng)絡(luò)建設(shè)規(guī)范列入會(huì)計(jì)網(wǎng)絡(luò)安全工作議事日程,并逐級(jí)成立管理機(jī)構(gòu),負(fù)責(zé)網(wǎng)絡(luò)工程項(xiàng)目的安全性能驗(yàn)收和日常網(wǎng)絡(luò)安全工作,如定期的安全檢查、提出安全管理建議和修改網(wǎng)絡(luò)規(guī)范的建議等。

(三)加快金融會(huì)計(jì)電子化的制度和法規(guī)建設(shè),改變制度和法規(guī)滯后于電子化發(fā)展的現(xiàn)狀

1.有關(guān)管理部門應(yīng)認(rèn)真分析目前金融會(huì)計(jì)電子化工作中存在的諸多法規(guī)問題,要在征求有關(guān)計(jì)算機(jī)專家意見,并認(rèn)真分析借鑒國外金融會(huì)計(jì)電子化發(fā)展經(jīng)驗(yàn)的基礎(chǔ)上,對(duì)今后一定時(shí)期內(nèi)可能出現(xiàn)的金融會(huì)計(jì)系統(tǒng)法規(guī)性問題做出預(yù)測,從而盡快制定出切實(shí)可行的金融會(huì)計(jì)計(jì)算機(jī)安全規(guī)范和有關(guān)法規(guī)。

篇8

關(guān)鍵詞:統(tǒng)計(jì)信息化;因素;措施

一、制約統(tǒng)計(jì)信息化建設(shè)的主要因素

近幾年,我國統(tǒng)計(jì)信息化建設(shè)步伐加快.目前已建成了從國家統(tǒng)計(jì)局到各省、區(qū)、市和重點(diǎn)城市統(tǒng)計(jì)局的骨干網(wǎng)絡(luò),初步形成了運(yùn)用計(jì)算機(jī)及網(wǎng)絡(luò)收集、傳輸、處理、儲(chǔ)存和統(tǒng)計(jì)資料的網(wǎng)絡(luò)環(huán)境和硬件條件。但是,由于受現(xiàn)行的統(tǒng)計(jì)體制、統(tǒng)計(jì)制度和方法的制約,現(xiàn)代信息技術(shù)的應(yīng)用受到很大的制約。具體表現(xiàn)在:

1.數(shù)據(jù)采篡和傳輸受到體制的制約。經(jīng)過“九五”統(tǒng)計(jì)信息工程建設(shè),目前己具備了國家統(tǒng)計(jì)局通過網(wǎng)絡(luò)直接采集企業(yè)數(shù)據(jù)的條件。通過計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施企業(yè)數(shù)據(jù)直報(bào),將大大提高統(tǒng)計(jì)數(shù)據(jù)的采集速度,同時(shí)也有利于減少地方政府對(duì)統(tǒng)計(jì)調(diào)查的干擾。但是,這種采集數(shù)據(jù)的方式也受到現(xiàn)行統(tǒng)計(jì)體制的制約。企業(yè)直接為國家統(tǒng)計(jì)局報(bào)送調(diào)查表,省、市、縣三級(jí)也需要企業(yè)數(shù)據(jù),因而國家統(tǒng)計(jì)同采集到的企業(yè)數(shù)據(jù)還要反饋給地方統(tǒng)計(jì)局,人為的增加了工作量;此外,許多地方在企業(yè)表上按自己需要又增加了一些指標(biāo),導(dǎo)致了各地的企業(yè)表指標(biāo)和結(jié)構(gòu)不一樣,給國家統(tǒng)計(jì)局進(jìn)行計(jì)算機(jī)數(shù)據(jù)審核和處職帶來麻煩;另外,由于地方政府和地方統(tǒng)計(jì)各有各自的利益,實(shí)施企業(yè)直報(bào)也遇到了一定的阻力

2.數(shù)據(jù)處理受到報(bào)表方式的制約。運(yùn)用計(jì)算機(jī)進(jìn)行統(tǒng)汁數(shù)據(jù)處理、最大的優(yōu)勢是基礎(chǔ)數(shù)據(jù)可按一定的標(biāo)志進(jìn)行任意的分組和加工,數(shù)據(jù)處理的對(duì)象應(yīng)當(dāng)是基層表。但是,目前各級(jí)政府都需要本地區(qū)的匯總數(shù)據(jù),因而許多進(jìn)度性統(tǒng)計(jì)報(bào)表采取逐級(jí)匯總的方式,報(bào)送的是綜合數(shù)據(jù)而不是基層數(shù)據(jù),其結(jié)果越往上報(bào)指標(biāo)及分組就越少,無法對(duì)調(diào)查數(shù)據(jù)按不同需要進(jìn)行再分組相加工。

3.統(tǒng)計(jì)數(shù)據(jù)庫建設(shè)受到統(tǒng)計(jì)制度的制約。由于目前各專業(yè)執(zhí)行的標(biāo)準(zhǔn)不完全一致,如產(chǎn)業(yè)分類、產(chǎn)品分類、職業(yè)分類、城鄉(xiāng)分類等標(biāo)準(zhǔn)不一樣,制約著建立統(tǒng)一、共用的統(tǒng)計(jì)指標(biāo)及標(biāo)準(zhǔn)庫,也給建設(shè)統(tǒng)一的統(tǒng)計(jì)數(shù)據(jù)庫帶來困難。改革開放以來,我國的統(tǒng)計(jì)制度變化較大,各年度之間的統(tǒng)計(jì)指標(biāo)途徑、統(tǒng)計(jì)范圍和統(tǒng)計(jì)標(biāo)準(zhǔn)上有差別,因此,建立歷史統(tǒng)計(jì)數(shù)據(jù)庫,需要銨統(tǒng)一的口徑重新整理歷史數(shù)據(jù),工作難度大,數(shù)據(jù)庫建設(shè)進(jìn)展緩慢。目前已建成的歷史統(tǒng)計(jì)數(shù)據(jù)庫,由于指標(biāo)范圍、口徑和標(biāo)準(zhǔn)不一,不好使用,大多數(shù)成了“死庫”。大量的歷史統(tǒng)計(jì)數(shù)據(jù)以紙介質(zhì)為載體散存在各地、各專業(yè),一些歷史數(shù)據(jù)已經(jīng)丟失,其損失是不可挽回的。

二、措施

1.加強(qiáng)統(tǒng)計(jì)信息系統(tǒng)的安全教育及制度建設(shè)。要樹立全員安全意識(shí)。大力加強(qiáng)信息安全的法制建設(shè)和宣傳活動(dòng),努力增強(qiáng)廣大群眾的信息安全知識(shí)和安全防范意識(shí),自覺遵守信息安全管理的各項(xiàng)規(guī)定。嚴(yán)肅打擊各種計(jì)算機(jī)信息犯罪活動(dòng),為各種信息網(wǎng)絡(luò)的安全運(yùn)行建立起良好的社會(huì)秩序,努力構(gòu)建一個(gè)健康、良好、合作及和諧的統(tǒng)計(jì)信息系統(tǒng)運(yùn)行的社會(huì)環(huán)境。

隨著國家統(tǒng)計(jì)系統(tǒng)對(duì)網(wǎng)絡(luò)調(diào)查安全工作的重視,國家統(tǒng)計(jì)局和各地統(tǒng)計(jì)部門都結(jié)合自身情況制定了一系列的統(tǒng)計(jì)信息系統(tǒng)應(yīng)急保障預(yù)案,相應(yīng)的規(guī)章制度建設(shè)、標(biāo)準(zhǔn)制訂、技術(shù)保障措施等都得到了一定程度的完善。當(dāng)前,尤其是要加快制定《統(tǒng)計(jì)信息系統(tǒng)信息安全管理規(guī)定》,從信息安全的組織保證、人員管理、運(yùn)行環(huán)境和操作使用、管理服務(wù)等多層面建設(shè)統(tǒng)計(jì)信息系統(tǒng)的安全防范運(yùn)行新機(jī)制。

在指導(dǎo)思想方面,應(yīng)該將《統(tǒng)計(jì)法》的貫徹落實(shí)、統(tǒng)計(jì)制度及方法的改革與發(fā)展、網(wǎng)絡(luò)安全技術(shù)的普及與發(fā)展相結(jié)合,從制度和技術(shù)等方面保障統(tǒng)計(jì)信息系統(tǒng)的安全運(yùn)行。要以風(fēng)險(xiǎn)管理思想為指導(dǎo),以保障安全運(yùn)行為中心,始終牢固樹立安全防范意識(shí)。切實(shí)加強(qiáng)信息安全保障工作的組織領(lǐng)導(dǎo),落實(shí)信息安全責(zé)任制。要積極開展不同形式的信息安全培訓(xùn),提高網(wǎng)絡(luò)統(tǒng)計(jì)報(bào)表系統(tǒng)管理和使用人員的信息化安全業(yè)務(wù)素質(zhì)。

篇9

[關(guān)鍵詞]電子商務(wù);網(wǎng)絡(luò)隱私權(quán);信息安全技術(shù);安全協(xié)議;P2P技術(shù);安全對(duì)策

隨著電子商務(wù)技術(shù)的發(fā)展,網(wǎng)絡(luò)交易安全成為了電子商務(wù)發(fā)展的核心和關(guān)鍵問題。在利益驅(qū)使下,有些商家在網(wǎng)絡(luò)應(yīng)用者不知情或不情愿的情況下,采取各種技術(shù)手段取得和利用其信息,侵犯了上網(wǎng)者的隱私權(quán)。對(duì)網(wǎng)絡(luò)隱私權(quán)的有效保護(hù),成為電子商務(wù)順利發(fā)展的重要市場環(huán)境條件。

一、網(wǎng)絡(luò)隱私權(quán)侵權(quán)現(xiàn)象

1.個(gè)人的侵權(quán)行為。個(gè)人未經(jīng)授權(quán)在網(wǎng)絡(luò)上宣揚(yáng)、公開、傳播或轉(zhuǎn)讓他人、自己和他人之間的隱私;個(gè)人未經(jīng)授權(quán)而進(jìn)入他人計(jì)算機(jī)系統(tǒng)收集、獲得信息或騷擾他人;未經(jīng)授權(quán)截取、復(fù)制他人正在傳遞的電子信息;未經(jīng)授權(quán)打開他人的電子郵箱或進(jìn)入私人網(wǎng)上信息領(lǐng)域收集、竊取他人信息資料。

2.商業(yè)組織的侵權(quán)行為。專門從事網(wǎng)上調(diào)查業(yè)務(wù)的商業(yè)組織進(jìn)行窺探業(yè)務(wù),非法獲取他人信息,利用他人隱私。大量網(wǎng)站為廣告商濫發(fā)垃圾郵件。利用收集用戶個(gè)人信息資料,建立用戶信息資料庫,并將用戶的個(gè)人信息資料轉(zhuǎn)讓、出賣給其他公司以謀利,或是用于其他商業(yè)目的。根據(jù)紐約時(shí)報(bào)報(bào)道,、Toysmart和等網(wǎng)站,都曾將客戶姓名、住址、電子郵件甚至信用卡號(hào)碼等統(tǒng)計(jì)分析結(jié)果標(biāo)價(jià)出售,以換取更多的資金。

3.部分軟硬件設(shè)備供應(yīng)商的蓄意侵權(quán)行為。某些軟件和硬件生產(chǎn)商在自己銷售的產(chǎn)品中做下手腳,專門從事收集消費(fèi)者的個(gè)人信息的行為。例如,某公司就曾經(jīng)在其生產(chǎn)的某代處理器內(nèi)設(shè)置“安全序號(hào)”,每個(gè)使用該處理器的計(jì)算機(jī)能在網(wǎng)絡(luò)中被識(shí)別,生產(chǎn)廠商可以輕易地收到用戶接、發(fā)的信息,并跟蹤計(jì)算機(jī)用戶活動(dòng),大量復(fù)制、存儲(chǔ)用戶信息。

4.網(wǎng)絡(luò)提供商的侵權(quán)行為

(1)互聯(lián)網(wǎng)服務(wù)提供商(ISPInternetServiceProvider)的侵權(quán)行為:①ISP具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私權(quán)。例:ISP把其客戶的郵件轉(zhuǎn)移或關(guān)閉,造成客戶郵件丟失、個(gè)人隱私、商業(yè)秘密泄露。②ISP對(duì)他人在網(wǎng)站上發(fā)表侵權(quán)信息應(yīng)承擔(dān)責(zé)任。

(2)互聯(lián)網(wǎng)內(nèi)容提供商(ICPInternetContentProvider)的侵權(quán)行為。ICP是通過建立網(wǎng)站向廣大用戶提供信息,如果ICP發(fā)現(xiàn)明顯的公開宣揚(yáng)他人隱私的言論,采取放縱的態(tài)度任其擴(kuò)散,ICP構(gòu)成侵害用戶隱私權(quán),應(yīng)當(dāng)承擔(dān)過錯(cuò)責(zé)任。

5.網(wǎng)絡(luò)所有者或管理者的監(jiān)視及竊聽。對(duì)于局域網(wǎng)內(nèi)的電腦使用者,某些網(wǎng)絡(luò)的所有者或管理者會(huì)通過網(wǎng)絡(luò)中心監(jiān)視使用者的活動(dòng),竊聽個(gè)人信息,尤其是監(jiān)控使用人的電子郵件,這種行為嚴(yán)重地侵犯了用戶的隱私權(quán)。

二、網(wǎng)絡(luò)隱私權(quán)問題產(chǎn)生的原因

網(wǎng)絡(luò)隱私權(quán)遭受侵犯主要是由于互聯(lián)網(wǎng)固有的結(jié)構(gòu)特性和電子商務(wù)發(fā)展導(dǎo)致的利益驅(qū)動(dòng)這兩個(gè)方面的原因。

1.互聯(lián)網(wǎng)的開放性。從網(wǎng)絡(luò)本身來看,網(wǎng)絡(luò)是一個(gè)自由、開放的世界,它使全球連成一個(gè)整體,它一方面使得搜集個(gè)人隱私極為方便,另一方面也為非法散布隱私提供了一個(gè)大平臺(tái)。由于互聯(lián)網(wǎng)成員的多樣和位置的分散,其安全性并不好?;ヂ?lián)網(wǎng)上的信息傳送是通過路由器來傳送的,而用戶是不可能知道是通過哪些路由進(jìn)行的,這樣,有些人或組織就可以通過對(duì)某個(gè)關(guān)鍵節(jié)點(diǎn)的掃描跟蹤來竊取用戶信息。也就是說從技術(shù)層面上截取用戶信息的可能性是顯然存在的。

2.網(wǎng)絡(luò)小甜餅cookie。某些Web站點(diǎn)會(huì)在用戶的硬盤上用文本文件存儲(chǔ)一些信息,這些文件被稱為Cookie,包含的信息與用戶和用戶的愛好有關(guān)。現(xiàn)在的許多網(wǎng)站在每個(gè)訪客進(jìn)入網(wǎng)站時(shí)將cookie放入訪客電腦,不僅能知道用戶在網(wǎng)站上買了些什么,還能掌握該用戶在網(wǎng)站上看過哪些內(nèi)容,總共逗留了多長時(shí)間等,以便了解網(wǎng)站的流量和頁面瀏覽數(shù)量。另外,網(wǎng)絡(luò)廣告商也經(jīng)常用cookie來統(tǒng)計(jì)廣告條幅的點(diǎn)擊率和點(diǎn)擊量,從而分析訪客的上網(wǎng)習(xí)慣,并由此調(diào)整廣告策略。一些廣告公司還進(jìn)一步將所收集到的這類信息與用戶在其他許多網(wǎng)站的瀏覽活動(dòng)聯(lián)系起來。這顯然侵犯了他人的隱私。

3.網(wǎng)絡(luò)服務(wù)提供商(ISP)在網(wǎng)絡(luò)隱私權(quán)保護(hù)中的責(zé)任。ISP對(duì)電子商務(wù)中隱私權(quán)保護(hù)的責(zé)任,包括:在用戶申請(qǐng)或開始使用服務(wù)時(shí)告知使用因特網(wǎng)可能帶來的對(duì)個(gè)人權(quán)利的危害;告知用戶可以合法使用的降低風(fēng)險(xiǎn)的技術(shù)方法;采取適當(dāng)?shù)牟襟E和技術(shù)保護(hù)個(gè)人的權(quán)利,特別是保證數(shù)據(jù)的統(tǒng)一性和秘密性,以及網(wǎng)絡(luò)和基于網(wǎng)絡(luò)提供的服務(wù)的物理和邏輯上的安全;告知用戶匿名訪問因特網(wǎng)及參加一些活動(dòng)的權(quán)利;不為促銷目的而使用數(shù)據(jù),除非得到用戶的許可;對(duì)適當(dāng)使用數(shù)據(jù)負(fù)有責(zé)任,必須向用戶明確個(gè)人權(quán)利保護(hù)措施;在用戶開始使用服務(wù)或訪問ISP站點(diǎn)時(shí)告知其所采集、處理、存儲(chǔ)的信息內(nèi)容、方式、目的和使用期限;在網(wǎng)上公布數(shù)據(jù)應(yīng)謹(jǐn)慎。

目前,網(wǎng)上的許多服務(wù)都是免費(fèi)的,如免費(fèi)電子郵箱、免費(fèi)下載軟件、免費(fèi)登錄為用戶或會(huì)員以接收一些信息以及一些免費(fèi)的咨詢服務(wù)等,然而人們發(fā)現(xiàn)在接受這些免費(fèi)服務(wù)時(shí),必經(jīng)的一道程序就是登錄個(gè)人的一些資料,如姓名、地址、工作、興趣愛好等,服務(wù)提供商會(huì)聲稱這是為了方便管理,但是,也存在著服務(wù)商將這些信息挪作他用甚至出賣的可能。

三、安全技術(shù)對(duì)網(wǎng)絡(luò)隱私權(quán)保護(hù)

1.電子商務(wù)中的信息安全技術(shù)

電子商務(wù)的信息安全在很大程度上依賴于安全技術(shù)的完善,這些技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、軟件保護(hù)技術(shù)、病毒檢測及清除技術(shù)、內(nèi)容分類識(shí)別和過濾技術(shù)、系統(tǒng)安全監(jiān)測報(bào)警技術(shù)等。

(1)防火墻技術(shù)。防火墻(Firewall)是近年來發(fā)展的最重要的安全技術(shù),它的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)(被保護(hù)網(wǎng)絡(luò))。

(2)加密技術(shù)。數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動(dòng)安全防范策略。數(shù)據(jù)加密原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。

(3)數(shù)字簽名技術(shù)。數(shù)字簽名(Digital??Signature)技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中,數(shù)字簽名技術(shù)有著特別重要的地位,在電子商務(wù)安全服務(wù)中的源鑒別、完整、不可否認(rèn)服務(wù)中都要用到數(shù)字簽名技術(shù)。

(4)數(shù)字時(shí)間戳技術(shù)。在電子商務(wù)交易的文件中,時(shí)間是十分重要的信息,是證明文件有效性的主要內(nèi)容。在簽名時(shí)加上一個(gè)時(shí)間標(biāo)記,即有數(shù)字時(shí)間戳(DigitaTime-stamp)的數(shù)字簽名方案:驗(yàn)證簽名的人或以確認(rèn)簽名是來自該小組,卻不知道是小組中的哪一個(gè)人簽署的。指定批準(zhǔn)人簽名的真實(shí)性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗(yàn)證簽名。

2.電子商務(wù)信息安全協(xié)議

(1)安全套接層協(xié)議(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年設(shè)計(jì)開發(fā)的,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL的整個(gè)概念可以被總結(jié)為:一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶、服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。中國

(2)安全電子交易公告(SecureElectronicTransactions,SET)。SET是為在線交易設(shè)立的一個(gè)開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對(duì)客戶信用卡認(rèn)證的前提下,又增加了對(duì)商家身份的認(rèn)證。SET已成為全球網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn)。

(3)安全超文本傳輸協(xié)議(S-HTTP)。依靠密鑰的加密,保證Web站點(diǎn)間的交換信息傳輸?shù)陌踩?。SHTTP對(duì)HT-TP的安全性進(jìn)行了擴(kuò)充,增加了報(bào)文的安全性,是基于SSL技術(shù)上發(fā)展的。該協(xié)議向互聯(lián)網(wǎng)的應(yīng)用提供完整性、可鑒別性、不可抵賴性及機(jī)密性等安全措施。

(4)安全交易技術(shù)協(xié)議(STT)。STT將認(rèn)證與解密在瀏覽器中分離開,以提高安全控制能力。

(5)UN/EDIFACT標(biāo)準(zhǔn)。UN/EDIFACT報(bào)文是唯一的國際通用的電子商務(wù)標(biāo)準(zhǔn)。

3.P2P技術(shù)與網(wǎng)絡(luò)信息安全。P2P(Peer-to-Peer,即對(duì)等網(wǎng)絡(luò))是近年來廣受IT業(yè)界關(guān)注的一個(gè)概念。P2P是一種分布式網(wǎng)絡(luò),最根本的思想,同時(shí)它與C/S最顯著的區(qū)別在于網(wǎng)絡(luò)中的節(jié)點(diǎn)(peer)既可以獲取其它節(jié)點(diǎn)的資源或服務(wù),同時(shí),又是資源或服務(wù)的提供者,即兼具Client和Server的雙重身份。一般P2P網(wǎng)絡(luò)中每一個(gè)節(jié)點(diǎn)所擁有的權(quán)利和義務(wù)都是對(duì)等的,包括通訊、服務(wù)和資源消費(fèi)。

(1)隱私安全性

①目前的Internet通用協(xié)議不支持隱藏通信端地址的功能。攻擊者可以監(jiān)控用戶的流量特征,獲得IP地址。甚至可以使用一些跟蹤軟件直接從IP地址追蹤到個(gè)人用戶。SSL之類的加密機(jī)制能夠防止其他人獲得通信的內(nèi)容,但是這些機(jī)制并不能隱藏是誰發(fā)送了這些信息。而在P2P中,系統(tǒng)要求每個(gè)匿名用戶同時(shí)也是服務(wù)器,為其他用戶提供匿名服務(wù)。由于信息的傳輸分散在各節(jié)點(diǎn)之間進(jìn)行而無需經(jīng)過某個(gè)集中環(huán)節(jié),用戶的隱私信息被竊聽和泄漏的可能性大大縮小。P2P系統(tǒng)的另一個(gè)特點(diǎn)是攻擊者不易找到明確的攻擊目標(biāo),在一個(gè)大規(guī)模的環(huán)境中,任何一次通信都可能包含許多潛在的用戶。

②目前解決Internet隱私問題主要采用中繼轉(zhuǎn)發(fā)的技術(shù)方法,從而將通信的參與者隱藏在眾多的網(wǎng)絡(luò)實(shí)體之中。而在P2P中,所有參與者都可以提供中繼轉(zhuǎn)發(fā)的功能,因而大大提高了匿名通訊的靈活性和可靠性,能夠?yàn)橛脩籼峁└玫碾[私保護(hù)。

(2)對(duì)等誠信

為使得P2P技術(shù)在更多的電子商務(wù)中發(fā)揮作用,必須考慮到網(wǎng)絡(luò)節(jié)點(diǎn)之間的信任問題。實(shí)際上,對(duì)等誠信由于具有靈活性、針對(duì)性并且不需要復(fù)雜的集中管理,可能是未來各種網(wǎng)絡(luò)加強(qiáng)信任管理的必然選擇。

對(duì)等誠信的一個(gè)關(guān)鍵是量化節(jié)點(diǎn)的信譽(yù)度。或者說需要建立一個(gè)基于P2P的信譽(yù)度模型。信譽(yù)度模型通過預(yù)測網(wǎng)絡(luò)的狀態(tài)來提高分布式系統(tǒng)的可靠性。一個(gè)比較成功的信譽(yù)度應(yīng)用例子是在線拍賣系統(tǒng)eBay。在eBay的信譽(yù)度模型中,買賣雙方在每次交易以后可以相互提升信譽(yù)度,一名用戶的總的信譽(yù)度為過去6個(gè)月中這些信譽(yù)度的總和。eBay依靠一個(gè)中心來管理和存儲(chǔ)信譽(yù)度。同樣,在一個(gè)分布式系統(tǒng)中,對(duì)等點(diǎn)也可以在每次交易以后相互提升信譽(yù)度,就象在eBay中一樣。例如,對(duì)等點(diǎn)i每次從j下載文件時(shí),它的信譽(yù)度就提升(+1)或降低(-1)。如果被下載的文件是不可信的,或是被篡改過的,或者下載被中斷等,則對(duì)等點(diǎn)i會(huì)把本次交易的信譽(yù)度記為負(fù)值(-1)。就象在eBay中一樣,我們可以把局部信譽(yù)度定義為對(duì)等點(diǎn)i從對(duì)等點(diǎn)j下載文件的所有交易的信譽(yù)度之和。

每個(gè)對(duì)等點(diǎn)i可以存貯它自身與對(duì)等點(diǎn)j的滿意的交易數(shù),以及不滿意的交易數(shù),則可定義為:

Sij=sat(i,j)-unsat(i,j)

四、電子商務(wù)中的隱私安全對(duì)策

1.加強(qiáng)網(wǎng)絡(luò)隱私安全管理。我國網(wǎng)絡(luò)隱私安全管理除現(xiàn)有的部門分工外,要建立一個(gè)具有高度權(quán)威的信息安全領(lǐng)導(dǎo)機(jī)構(gòu),才能有效地統(tǒng)一、協(xié)調(diào)各部門的職能,研究未來趨勢,制定宏觀政策,實(shí)施重大決定。

2.加快網(wǎng)絡(luò)隱私安全專業(yè)人才的培養(yǎng)。在人才培養(yǎng)中,要注重加強(qiáng)與國外的經(jīng)驗(yàn)技術(shù)交流,及時(shí)掌握國際上最先進(jìn)的安全防范手段和技術(shù)措施,確保在較高層次上處于主動(dòng)。

3.開展網(wǎng)絡(luò)隱私安全立法和執(zhí)法。加快立法進(jìn)程,健全法律體系。結(jié)合我國實(shí)際,吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn),對(duì)現(xiàn)行法律體系進(jìn)行修改與補(bǔ)充,使法律體系更加科學(xué)和完善。

4.抓緊網(wǎng)絡(luò)隱私安全基礎(chǔ)設(shè)施建設(shè)。國民經(jīng)濟(jì)要害部門的基礎(chǔ)設(shè)施要通過建設(shè)一系列的信息安全基礎(chǔ)設(shè)施來實(shí)現(xiàn)。為此,需要建立中國的公開密鑰基礎(chǔ)設(shè)施、信息安全產(chǎn)品檢測評(píng)估基礎(chǔ)設(shè)施、應(yīng)急響應(yīng)處理基礎(chǔ)設(shè)施等。

5.建立網(wǎng)絡(luò)風(fēng)險(xiǎn)防范機(jī)制。在網(wǎng)絡(luò)建設(shè)與經(jīng)營中,因?yàn)榘踩夹g(shù)滯后、道德規(guī)范蒼白、法律疲軟等原因,往往會(huì)使電子商務(wù)陷于困境,這就必須建立網(wǎng)絡(luò)風(fēng)險(xiǎn)防范機(jī)制。建議網(wǎng)絡(luò)經(jīng)營者可以在保險(xiǎn)標(biāo)的范圍內(nèi)允許標(biāo)保的財(cái)產(chǎn)進(jìn)行標(biāo)保,并在出險(xiǎn)后進(jìn)行理賠。

6.強(qiáng)化網(wǎng)絡(luò)技術(shù)創(chuàng)新,重點(diǎn)研究關(guān)鍵芯片與內(nèi)核編程技術(shù)和安全基礎(chǔ)理論。統(tǒng)一組織進(jìn)行信息安全關(guān)鍵技術(shù)攻關(guān),以創(chuàng)新的思想,超越固有的約束,構(gòu)筑具有中國特色的信息安全體系。

7.注重網(wǎng)絡(luò)建設(shè)的規(guī)范化。沒有統(tǒng)一的技術(shù)規(guī)范,局部性的網(wǎng)絡(luò)就不能互連、互通、互動(dòng),沒有技術(shù)規(guī)范也難以形成網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模。目前,國際上出現(xiàn)許多關(guān)于網(wǎng)絡(luò)隱私安全的技術(shù)規(guī)范、技術(shù)標(biāo)準(zhǔn),目的就是要在統(tǒng)一的網(wǎng)絡(luò)環(huán)境中保證隱私信息的絕對(duì)安全。我們應(yīng)從這種趨勢中得到啟示,在同國際接軌的同時(shí),拿出既符合國情又順應(yīng)國際潮流的技術(shù)規(guī)范。

參考文獻(xiàn):

[1]屈云波.電子商務(wù)[M].北京:企業(yè)管理出版社,1999.

[2]趙立平.電子商務(wù)概論[M].上海:復(fù)旦大學(xué)出版社,2000.

[3]趙戰(zhàn)生.我國信息安全及其技術(shù)研究[J].中國信息導(dǎo)報(bào),1999,(8).

篇10

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò); 危險(xiǎn)因素; 安全策略

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2009)14-3678-02

網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。它涉及的領(lǐng)域相當(dāng)廣泛。這是因?yàn)槟壳暗墓猛ㄐ啪W(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義來說,凡是涉及到網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。計(jì)算機(jī)網(wǎng)絡(luò)安全的含義就是通過各種密碼技術(shù)和信息安全技術(shù),保護(hù)在通信網(wǎng)絡(luò)中傳輸、交換和存儲(chǔ)信息的機(jī)密性、完整性和真實(shí)性,并對(duì)信息的傳播及內(nèi)容有控制能力。網(wǎng)絡(luò)安全的結(jié)構(gòu)層次包括物理安全、安全控制和安全服務(wù)。

1 計(jì)算機(jī)網(wǎng)絡(luò)的危險(xiǎn)因素

1.1 威脅網(wǎng)絡(luò)安全的主要因素

計(jì)算機(jī)網(wǎng)絡(luò)安全受到的威脅包括:

1)“黑客”的攻擊:利用UNIX系統(tǒng)提供的Telnet Daemon、FTPd、Remote Exee Daemon等默認(rèn)賬戶進(jìn)行攻擊;利用UNIX系統(tǒng)提供的Finger、RuserS收集的信息進(jìn)行攻擊;利用FTP、NFS、Rlogin等進(jìn)行攻擊;

2)計(jì)算機(jī)病毒和拒絕服務(wù)攻擊;

3)威脅的類型:非授權(quán)訪問。這主要的是指對(duì)網(wǎng)絡(luò)設(shè)備以及信息資源進(jìn)行非正常使用或超越權(quán)限使用;假冒合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán),以達(dá)到占用合法用戶資源的目的;數(shù)據(jù)完整性受破壞;干擾系統(tǒng)的正常運(yùn)行,改變系統(tǒng)正常運(yùn)行的方向,以及延時(shí)系統(tǒng)的響應(yīng)時(shí)間;病毒;通信線路被竊聽等;

4)操作系統(tǒng)的脆弱性。

操作系統(tǒng)支持的程序動(dòng)態(tài)連接與數(shù)據(jù)動(dòng)態(tài)交換是現(xiàn)代系統(tǒng)集成和系統(tǒng)擴(kuò)展的必備功能,而動(dòng)態(tài)連接、I/O程序與系統(tǒng)服務(wù)、打補(bǔ)丁升級(jí)可被黑客利用,滋生病毒。操作系統(tǒng)可能創(chuàng)建進(jìn)程,即使在網(wǎng)絡(luò)的節(jié)點(diǎn)上同樣也可以進(jìn)行遠(yuǎn)程進(jìn)程的創(chuàng)建與激活,且該進(jìn)程有繼續(xù)創(chuàng)建進(jìn)程的權(quán)力,加上操作系統(tǒng)支持在網(wǎng)絡(luò)上傳輸文件,在網(wǎng)絡(luò)上能加載程序,二者結(jié)合起來就可以在遠(yuǎn)端服務(wù)器上安裝“間諜”軟件,常以打補(bǔ)丁的方式“打”入合法用戶(尤其是在特權(quán)用戶)以躲避監(jiān)測。守護(hù)進(jìn)程Daemon具有操作系統(tǒng)核心層軟件同等權(quán)力,會(huì)被黑客利用。網(wǎng)絡(luò)操作系統(tǒng)提供的遠(yuǎn)程過程調(diào)用(RPC)服務(wù)以及它所安排的無口令入口也是黑客的通道。

不管是什么樣的網(wǎng)絡(luò)系統(tǒng)都離不開人的管理,但大多數(shù)網(wǎng)絡(luò)系統(tǒng)缺少安全管理員,特別是高素質(zhì)的網(wǎng)絡(luò)管理員。此外,缺少網(wǎng)絡(luò)安全管理的技術(shù)規(guī)范,缺少定期的安全測試與檢查,更缺少安全監(jiān)控。令人擔(dān)憂的是許多網(wǎng)絡(luò)系統(tǒng)已使用多年,但網(wǎng)絡(luò)管理員與用戶的注冊(cè)、口令等還是處于默認(rèn)狀態(tài)。

1.2 來自外部各種威脅

物理威脅:物理安全是指用以保護(hù)計(jì)算機(jī)硬件和存儲(chǔ)介質(zhì)的裝置與工作程序,常見的物理威脅有偷竊、廢物搜尋和間諜活動(dòng)。

網(wǎng)絡(luò)威脅:網(wǎng)絡(luò)威脅常見的有:電子竊聽、撥號(hào)入網(wǎng)、假冒。

身份鑒別:身份識(shí)別普遍存在于計(jì)算機(jī)系統(tǒng)中,最簡單的形式是口令,但是口令是脆弱的鑒別手段,黑客可以設(shè)法破解口令,如安排口令圈套(模仿登錄界面)套取口令;用密碼字典或其他工具軟件來破解口令,或者破壞口令算法(使用超長的字符串)。

編制程序:主要是病毒、蠕蟲、特洛伊木馬、宏病毒等通過不同的方式進(jìn)入用戶的系統(tǒng)。

系統(tǒng)漏洞:主要是后門backdoor(如VMS操作系統(tǒng)、一些BIOS的萬能密碼)和源代碼漏洞。

2 計(jì)算機(jī)網(wǎng)絡(luò)的安全策略

2.1 物理安全策略

物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊:驗(yàn)證用戶的身份和使用權(quán)限,防止用戶越權(quán)操作;確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。抵制和防止電磁泄露是物理安全策略的一個(gè)主要問題。目前主要防護(hù)措施有兩類,一類是對(duì)傳導(dǎo)輻射的防護(hù),主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器,減小傳輸阻抗和導(dǎo)線間的交叉禍合。另一類是對(duì)輻射的防護(hù),這類防護(hù)措施又可分為以下的兩種:一是采用各種電磁屏蔽措施,如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽,同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離;二是干擾的防護(hù)措施,即在計(jì)算機(jī)系統(tǒng)工作的同時(shí),利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。

2.2 訪問控制策略

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和異常訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護(hù)作用,但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

1)入網(wǎng)訪問控制

入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個(gè)步驟:用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的默認(rèn)限制檢查。

對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線。用戶注冊(cè)時(shí)首先輸入用戶名和口令,服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。如果驗(yàn)證合法,才繼續(xù)驗(yàn)證用戶輸入的口令,否則,用戶將被拒之網(wǎng)絡(luò)之外。用戶名和口令驗(yàn)證有效之后,再進(jìn)一步履行用戶賬號(hào)的默認(rèn)限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對(duì)交費(fèi)網(wǎng)絡(luò)的訪問“交費(fèi)”用盡時(shí),網(wǎng)絡(luò)還應(yīng)能對(duì)用戶的賬號(hào)加以限制,用戶此時(shí)應(yīng)無法進(jìn)入網(wǎng)絡(luò)訪問資源。網(wǎng)絡(luò)應(yīng)對(duì)所有用戶的訪問進(jìn)行審計(jì)。如果多次輸入口令不正確,則是認(rèn)為是非法用戶的入侵,應(yīng)給出報(bào)警信息。

2)網(wǎng)絡(luò)的權(quán)限控制

網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限,以控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源,可以指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽(IRM)可作為其兩種實(shí)現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過濾器,可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類:特殊用戶(即系統(tǒng)管理員);一般用戶,系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限;審計(jì)用戶,負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個(gè)訪問控制表來描述。

3)目錄級(jí)安全控制

網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效,用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問權(quán)限一般有8種:系統(tǒng)管理員權(quán)限(SuPervisor)、讀權(quán)限(Read)、寫權(quán)限(Write)、創(chuàng)建權(quán)限(Create)、刪除權(quán)限(Erase)、修改權(quán)限(Modify)、文件查找權(quán)限(FileSean)、存取控制權(quán)限(AeeeSSControl)。用戶對(duì)文件或目標(biāo)的有效權(quán)限取決于三個(gè)因素:用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限,這些訪問權(quán)限控制著用戶對(duì)服務(wù)器的訪問。8種訪問權(quán)限的有效組合可以讓用戶有效地完成工作,同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問,從而加強(qiáng)網(wǎng)絡(luò)和服務(wù)器的安全性。

4)網(wǎng)絡(luò)服務(wù)器安全控制

網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái),以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);可以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問者檢測和關(guān)閉的時(shí)間間隔。

2.3 防火墻控制

防火墻是近期發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障,也可稱之為控制進(jìn)/出兩個(gè)方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的入侵。目前的防火墻主要有以下三種類型:

1)包過濾防火墻:包過濾防火墻設(shè)置在網(wǎng)絡(luò)層,可以在路由器上實(shí)現(xiàn)包過濾。首先應(yīng)建立一定數(shù)量的信息過濾表,信息過濾表是以其收到的數(shù)據(jù)包頭信息為基礎(chǔ)而建成的。信息包頭含有數(shù)據(jù)包源IP地址、目的工P地址、傳輸協(xié)議類型(TCP、UDP、工CMP等)、協(xié)議源端口號(hào)、協(xié)議目的端口號(hào)、連接請(qǐng)示方向、ICMP報(bào)文類型等。當(dāng)一個(gè)數(shù)據(jù)包滿足過濾表中的規(guī)則時(shí),則允許數(shù)據(jù)包通過,否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對(duì)內(nèi)部的訪問,也可以用來禁止訪問某些服務(wù)類型。但包過濾技術(shù)不能識(shí)別有危險(xiǎn)的信息包,無法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議的處理,也無法處理UDP、RPC或動(dòng)態(tài)的協(xié)議。

2)防火墻:防火墻又稱應(yīng)用層網(wǎng)關(guān)級(jí)防火墻,它由服務(wù)器和過濾路由器組成,是目前較流行的一種防火墻。它將過濾路由器和軟件技術(shù)結(jié)合在一起。過濾路由器負(fù)責(zé)網(wǎng)絡(luò)互聯(lián),并對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格選擇,然后將篩選過的數(shù)據(jù)傳送給服務(wù)器。服務(wù)器起到外部網(wǎng)絡(luò)申請(qǐng)?jiān)L問內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用,其功能類似于一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)器,它主要控制哪些用戶能訪問哪些服務(wù)類型。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)某種網(wǎng)絡(luò)服務(wù)時(shí),服務(wù)器接受申請(qǐng),然后它根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)的對(duì)象、服務(wù)者申請(qǐng)的時(shí)間、申請(qǐng)者的域名范圍等來決定是否接受此項(xiàng)服務(wù),如果接受,它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項(xiàng)請(qǐng)求。防火墻無法快速支持一些新出現(xiàn)的業(yè)務(wù)(如多媒體)。

3)雙穴主機(jī)防火墻:該防火墻是用主機(jī)來執(zhí)行安全控制功能。一臺(tái)雙穴主機(jī)配有多個(gè)網(wǎng)卡,分別連接不同的網(wǎng)絡(luò)。雙穴主機(jī)從一個(gè)網(wǎng)絡(luò)收集數(shù)據(jù),并且有選擇地把它發(fā)送到另一個(gè)網(wǎng)絡(luò)上。網(wǎng)絡(luò)服務(wù)由雙穴主機(jī)上的服務(wù)來提供。內(nèi)部網(wǎng)和外部網(wǎng)的用戶可通過雙穴主機(jī)的共享數(shù)據(jù)區(qū)傳遞數(shù)據(jù),從而保護(hù)了內(nèi)部網(wǎng)絡(luò)不被非法訪問。

參考文獻(xiàn):

[1] 彭靜,章軍祥,田萍芳. 計(jì)算機(jī)網(wǎng)絡(luò)化管理與安全設(shè)計(jì)[J].計(jì)算機(jī)與數(shù)字工程, 2007,(5) .

[2] 王道乾. 校園網(wǎng)絡(luò)安全策略分析[J].科技資訊, 2006,(31) .