常用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇常用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)范文,相信會為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
常用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)范文第1篇
一、2015年工控安全漏洞與安全事件依然突出
通過對國家信息安全漏洞庫(CNNVD)的數(shù)據(jù)進(jìn)行分析,2015年工控安全漏洞呈現(xiàn)以下幾個特點(diǎn):
1.工控安全漏洞披露數(shù)量居高不下,總體呈遞增趨勢。受2010年“震網(wǎng)病毒”事件影響,工控信息安全迅速成為安全領(lǐng)域的焦點(diǎn)。國內(nèi)外掀起針對工控安全漏洞的研究熱潮,因此自2010年以后工控漏洞披露數(shù)量激增,占全部數(shù)量的96%以上。隨著國內(nèi)外對工控安全的研究逐漸深入,以及工控漏洞的公開披露開始逐漸制度化、規(guī)范化,近幾年漏洞披露數(shù)量趨于穩(wěn)定。
2.工控核心硬件漏洞數(shù)量增長明顯。盡管在當(dāng)前已披露的工控系統(tǒng)漏洞中軟件漏洞數(shù)量仍高居首位,但近幾年工控硬件漏洞數(shù)量增長明顯,所占比例有顯著提高。例如,2010年工控硬件漏洞占比不足10%,但是2015年其占比高達(dá)37.5%。其中,工控硬件包括可編程邏輯控制器(PLC)、遠(yuǎn)程終端單元(RTU)、智能儀表設(shè)備(IED)及離散控制系統(tǒng)(DCS)等。
3.漏洞已覆蓋工控系統(tǒng)主要組件,主流工控廠商無一幸免。無論是國外工控廠商(如西門子、施耐德、羅克韋爾等)還是國內(nèi)工控廠商(研華),其產(chǎn)品普遍存在安全漏洞,且許多漏洞很難修補(bǔ)。在2015年新披露的工控漏洞中,西門子、施耐德、羅克韋爾、霍尼韋爾產(chǎn)品的漏洞數(shù)量分列前四位。
二、工控信息安全標(biāo)準(zhǔn)需求強(qiáng)烈,標(biāo)準(zhǔn)制定工作正全面推進(jìn)
盡管工控信息安全問題已得到世界各國普遍重視,但在工業(yè)生產(chǎn)環(huán)境中如何落實(shí)信息安全管理和技術(shù)卻沒有切實(shí)可行的方法,工控信息安全防護(hù)面臨著“無章可循”,工控信息安全標(biāo)準(zhǔn)已迫在眉睫。當(dāng)前,無論是國外還是國內(nèi),工控信息安全標(biāo)準(zhǔn)的需求非常強(qiáng)烈,標(biāo)準(zhǔn)制定工作也如火如荼在開展,但工控系統(tǒng)的特殊性導(dǎo)致目前工控安全技術(shù)和管理仍處探索階段,目前絕大多數(shù)標(biāo)準(zhǔn)正處于草案或征求意見階段,而且在設(shè)計思路上存在較為明顯的差異,這充分反映了目前不同人員對工控信息安全標(biāo)準(zhǔn)認(rèn)識的不同,因此工控信息安全標(biāo)準(zhǔn)的制定與落地任重道遠(yuǎn)。
1.國外工控信息安全標(biāo)準(zhǔn)建設(shè)概況
IEC 62443(工業(yè)自動化控制系統(tǒng)信息安全)標(biāo)準(zhǔn)是當(dāng)前國際最主要的工控信息安全標(biāo)準(zhǔn),起始于2005年,但至今標(biāo)準(zhǔn)制定工作仍未結(jié)束,特別是在涉及到系統(tǒng)及產(chǎn)品的具體技術(shù)要求方面尚有一段時日。
此外,美國在工控信息安全標(biāo)準(zhǔn)方面也在不斷推進(jìn)。其國家標(biāo)準(zhǔn)技術(shù)研究院NIST早在2010年了《工業(yè)控制系統(tǒng)安全指南》(NIST SP800-82),并2014年了修訂版2,對其控制和控制基線進(jìn)行了調(diào)整,增加了專門針對工控系統(tǒng)的補(bǔ)充指南。在奧巴馬政府美國總統(tǒng)第13636號行政令《提高關(guān)鍵基礎(chǔ)設(shè)計網(wǎng)絡(luò)安全》后,NIST也隨即了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》,提出“識別保護(hù)檢測響應(yīng)恢復(fù)”的總體框架。
2.國內(nèi)工控信息安全標(biāo)準(zhǔn)建設(shè)概況
在國內(nèi),兩個標(biāo)準(zhǔn)化技術(shù)委員會都在制定工控信息安全標(biāo)準(zhǔn)工作,分別是:全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260),以及全國工業(yè)過程測量與控制標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC 124)。
其中,由TC260委員會組織制定的《工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備安全功能要求》和《工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》處于報批稿階段,《工業(yè)控制系統(tǒng)安全管理基本要求》、《工業(yè)控制系統(tǒng)安全檢查指南》、《工業(yè)控制系統(tǒng)風(fēng)險影響等級劃分規(guī)范》、《工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求和測試評價方法》和《安全可控信息系統(tǒng)(電力系統(tǒng))安全指標(biāo)體系》正在制定過程中,并且在2015年新啟動了《工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準(zhǔn)則》、《工業(yè)控制系統(tǒng)漏洞檢測技術(shù)要求》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求和測試評價方法》、《工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安全技術(shù)要求》、《工業(yè)控制系統(tǒng)風(fēng)險評估實(shí)施指南》等標(biāo)準(zhǔn)研制工作。
TC124委員會組織制定的工控信息安全標(biāo)準(zhǔn)工作也在如火如荼進(jìn)行。2014年12月,TC124委員會了《工業(yè)控制系統(tǒng)信息安全》(GB/T 30976-2014),包括兩個部分內(nèi)容:評估規(guī)范和驗收規(guī)范。另外,TC124委員會等同采用了IEC 62443中的部分標(biāo)準(zhǔn),包括《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全術(shù)語、概念和模型》(JB/T 11961-2014,等同采用IEC/TS 62443-1-1:2009)、《工業(yè)過程測量和控制安全網(wǎng)絡(luò)和系統(tǒng)安全》(JB/T 11960-2014,等同采用IEC PAS 62443-3:2008)、《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)工業(yè)自動化和控制系統(tǒng)信息安全技術(shù)》(JB/T 11962-2014,等同采用IEC/TR 62443-3-1:2009),此外對IEC62443-2-1:2010標(biāo)準(zhǔn)轉(zhuǎn)標(biāo)工作已經(jīng)進(jìn)入報批稿階段,并正在計劃對IEC 62443-3-3:2013進(jìn)行轉(zhuǎn)標(biāo)工作。除此之外,TC124委員會組織制定的集散控制系統(tǒng)(DCS)安全系列標(biāo)準(zhǔn)和可編程控制器(PLC)安全要求標(biāo)準(zhǔn)也已經(jīng)進(jìn)入征求意見稿后期階段。
由于不同行業(yè)的工業(yè)控制系統(tǒng)差異很大,因此我國部分行業(yè)已經(jīng)制定或正在研究制定適合自身行業(yè)特點(diǎn)的工控信息安全標(biāo)準(zhǔn)。2014年,國家發(fā)改委了第14號令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》,取代原先的《電力二次系統(tǒng)安全防護(hù)規(guī)定》(電監(jiān)會[2005]5號),以此作為電力監(jiān)控系統(tǒng)信息安全防護(hù)的指導(dǎo)依據(jù),同時原有配套的防護(hù)方案也進(jìn)行了相應(yīng)的更新。在城市軌道交通領(lǐng)域,上海申通地鐵集團(tuán)有限公司2013年了《上海軌道交通信息安全技術(shù)架構(gòu)》(滬地鐵信[2013]222號文),并在2015年以222號文為指導(dǎo)文件了企業(yè)標(biāo)準(zhǔn)《軌道交通信息安全技術(shù)建設(shè)指導(dǎo)意見》(2015,試行)。同時,北京市軌道交通設(shè)計研究院有限公司于2015年牽頭擬制國家標(biāo)準(zhǔn)草案《城市軌道交通工業(yè)控制系統(tǒng)信息安全要求》。在石油化工領(lǐng)域,2015年由石化盈科牽頭擬制《中石化工業(yè)控制系統(tǒng)信息安全要求》等。
三、工控安全防護(hù)技術(shù)正迅速發(fā)展并在局部開始試點(diǎn),但離大規(guī)模部署和應(yīng)用有一定差距
當(dāng)前許多信息安全廠商和工控自動化廠商紛紛研究工業(yè)控制系統(tǒng)的信息安全防護(hù)技術(shù)并開發(fā)相應(yīng)產(chǎn)品,近幾年出現(xiàn)了一系列諸如工控防火墻、工控異常監(jiān)測系統(tǒng)、主機(jī)防護(hù)軟件等產(chǎn)品并在部分企業(yè)進(jìn)行試點(diǎn)應(yīng)用。比較有代表性的工控安全防護(hù)產(chǎn)品及特點(diǎn)如下:
1.工控防火墻 防火墻是目前網(wǎng)絡(luò)邊界上最常用的一種安全防護(hù)設(shè)備,主要功能包括訪問控制、地址轉(zhuǎn)換、應(yīng)用、帶寬和流量控制等。相對于傳統(tǒng)的IT防火墻,工控防火墻不但需要對TCP/IP協(xié)議進(jìn)行安全過濾,更需要對工控應(yīng)用層協(xié)議進(jìn)行深度解析和安全過濾,如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控應(yīng)用層協(xié)議的深度檢測,包括控制指令識別、操作地址和操作參數(shù)提取等,才能真正阻止那些不安全的控制指令及數(shù)據(jù)。
2.工控安全監(jiān)測系統(tǒng)我國現(xiàn)有工業(yè)控制系統(tǒng)網(wǎng)絡(luò)普遍呈現(xiàn)出“無縱深”、“無監(jiān)測”、“無防護(hù)”特點(diǎn),工控安全監(jiān)測系統(tǒng)正是針對上述問題而快速發(fā)展起來的技術(shù)。它通過數(shù)據(jù)鏡像方式采集大量工控網(wǎng)絡(luò)數(shù)據(jù)并進(jìn)行分析,最終發(fā)現(xiàn)各種網(wǎng)絡(luò)異常行為、黑客攻擊線索等。利用該系統(tǒng),相關(guān)人員能夠了解工控網(wǎng)絡(luò)實(shí)時通信狀況,及時發(fā)現(xiàn)潛在的攻擊前兆、病毒傳播痕跡以及各類網(wǎng)絡(luò)異常情況,同時,由于該系統(tǒng)是以“旁路”方式接入工控網(wǎng)絡(luò)中,不會對生產(chǎn)運(yùn)行造成不良影響,因此更容易在工控系統(tǒng)這種特殊環(huán)境下進(jìn)行部署和推廣。
3.主機(jī)防護(hù)產(chǎn)品在工業(yè)生產(chǎn)過程中,人員能夠通過工程師站或操作員站對PLC、DCS控制器等設(shè)備進(jìn)行控制,從而實(shí)現(xiàn)閥門關(guān)閉、執(zhí)行過程改變等操作。這些工程師站、操作員站等主機(jī)系統(tǒng)就變得十分重要,一旦出現(xiàn)問題,比如感染計算機(jī)病毒等,就會對正常生產(chǎn)造成較大影響。近年來發(fā)生的由于工程師站或操作員站感染計算機(jī)病毒最終導(dǎo)致控制通信中斷從而影響生產(chǎn)的報道屢見不鮮。加強(qiáng)這些重要主機(jī)系統(tǒng)的安全防護(hù),尤其是病毒防護(hù)至關(guān)重要。但是,傳統(tǒng)的基于殺毒軟件的防護(hù)機(jī)制在工控系統(tǒng)中面臨著很多挑戰(zhàn),其中最嚴(yán)重的就是在工控網(wǎng)絡(luò)這樣一個封閉的網(wǎng)絡(luò)環(huán)境中,殺毒軟件無法在線升級。另外,殺毒軟件對未知病毒、變異病毒也無能為力。在此情況下,基于白名單的防護(hù)技術(shù)開始出現(xiàn)。由于工控系統(tǒng)在建設(shè)完成投入運(yùn)行后,其系統(tǒng)將基本保持穩(wěn)定不變,應(yīng)用單一、規(guī)律性強(qiáng),因而很容易獲得系統(tǒng)合法的“白名單”。通過這種方式就能夠發(fā)現(xiàn)由于感染病毒或者攻擊而產(chǎn)生的各種異常狀況。
4.移動介質(zhì)管控技術(shù)在工控網(wǎng)絡(luò)中,由于工控系統(tǒng)故障進(jìn)行維修,或者由于工藝生產(chǎn)邏輯變更導(dǎo)致的工程邏輯控制程序的變更,需要在上位機(jī)插入U盤等外來移動介質(zhì),這必然成為工控網(wǎng)絡(luò)的一個攻擊點(diǎn)。例如,伊朗“震網(wǎng)”病毒就是采用U盤擺渡方式,對上位機(jī)(即WinCC主機(jī))進(jìn)行了滲透攻擊,從而最終控制了西門子PLC,造成了伊朗核設(shè)施損壞的嚴(yán)重危害后果。針對上述情況,一些針對U盤管控的技術(shù)和原型產(chǎn)品開始出現(xiàn),包括專用U盤安全防護(hù)工具、USB漏洞檢測工具等。
總之,針對工控系統(tǒng)安全防護(hù)需求及工控環(huán)境特點(diǎn),許多防護(hù)技術(shù)和產(chǎn)品正在快速研發(fā)中,甚至在部分企業(yè)進(jìn)行試點(diǎn)應(yīng)用。但是,由于這些技術(shù)和產(chǎn)品在穩(wěn)定性、可靠性等方面還未經(jīng)嚴(yán)格考驗,能否適用于工業(yè)環(huán)境的高溫、高濕、粉塵情況還未可知,再加上工控系統(tǒng)作為生產(chǎn)系統(tǒng),一旦出現(xiàn)故障將會造成不可估量的財產(chǎn)損失甚至人員傷亡,用戶不敢冒然部署安全防護(hù)設(shè)備,因此目前還沒有行業(yè)大規(guī)模使用上述防護(hù)技術(shù)和產(chǎn)品。
四、主要對策建議
針對2015年工控信息安全總體情況,提出以下對策建議:
1.進(jìn)一步強(qiáng)化工控信息安全領(lǐng)導(dǎo)機(jī)構(gòu),充分發(fā)揮組織管理職能。
2.對工控新建系統(tǒng)和存量系統(tǒng)進(jìn)行區(qū)別對待。對于工控新建系統(tǒng)而言,要將信息安全納入總體規(guī)劃中,從安全管理和安全技術(shù)兩方面著手提升新建系統(tǒng)的安全保障能力,對關(guān)鍵設(shè)備進(jìn)行安全選型,在系統(tǒng)上線運(yùn)行前進(jìn)行風(fēng)險評估和滲透測試,及時發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ),避免系統(tǒng)投入生產(chǎn)后無法“打補(bǔ)丁”的情況。對于大量存量系統(tǒng)而言,應(yīng)在不影響生產(chǎn)運(yùn)行的情況下,通過旁路安全監(jiān)測、外邊界保護(hù)等方式,形成基本的工控安全狀況監(jiān)測和取證分析能力,徹底扭轉(zhuǎn)現(xiàn)階段對工控網(wǎng)絡(luò)內(nèi)部狀況一無所知、面對工控病毒攻擊束手無策的局面。
3.大力推進(jìn)工控安全防護(hù)技術(shù)在實(shí)際應(yīng)用中“落地”,鼓勵主要工控行業(yè)用戶進(jìn)行試點(diǎn)應(yīng)用,并對那些實(shí)踐證明已經(jīng)成熟的技術(shù)和產(chǎn)品在全行業(yè)進(jìn)行推廣。
4.建立工控關(guān)鍵設(shè)備的安全測評機(jī)制,防止設(shè)備存在高危漏洞甚至是“后門”等重大隱患。
常用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)范文第2篇
關(guān)鍵詞:關(guān)鍵詞:數(shù)據(jù)庫 ;安全技術(shù);策略
中圖分類號:TP309.2 文獻(xiàn)標(biāo)識碼:A 文章編號:
1.數(shù)據(jù)庫及其安全
數(shù)據(jù)庫作為一個形式,是當(dāng)前計算機(jī)存儲和操縱數(shù)據(jù)的最高形式,存儲和操作都是基于數(shù)據(jù)庫形式來表現(xiàn)。數(shù)據(jù)庫技術(shù)的發(fā)展,必定帶動這計算機(jī)數(shù)據(jù)庫安全技術(shù)的發(fā)展和升級。然而,數(shù)據(jù)庫系統(tǒng)的生命定義為數(shù)據(jù)庫安全技術(shù),它是數(shù)據(jù)庫信息可用性、連續(xù)性和保密性的統(tǒng)一。縱觀數(shù)據(jù)庫的發(fā)展歷程,從網(wǎng)絡(luò)層次來看,數(shù)據(jù)庫在發(fā)展的三個階段中的任何時段,數(shù)據(jù)庫的安全問題一直是重中之重。
2.計算機(jī)數(shù)據(jù)庫安全技術(shù)
數(shù)據(jù)庫安全問題從數(shù)據(jù)庫誕生以來,一直存在,安全問題的暴露,對于數(shù)據(jù)庫安全技術(shù)的提升有著至關(guān)重要的影響。所謂數(shù)據(jù)庫安全技術(shù),是將開放環(huán)境下開發(fā)的數(shù)據(jù)在讀取、共享過程中,通過相關(guān)訪問控制和訪問管理技術(shù)、安全審計、數(shù)據(jù)庫加密和其他方法來確保數(shù)據(jù)庫安全。此外,數(shù)據(jù)庫系統(tǒng)的應(yīng)用對其安全性做了重大的努力,對于信息而言,數(shù)據(jù)庫系統(tǒng)是信息的集合體,是計算機(jī)信息系統(tǒng)的心臟,其安全性能問題不言而喻。
2.1 訪問控制和存取管理技術(shù)
計算機(jī)的應(yīng)用主要是基于主體進(jìn)程、客體聯(lián)系,加之用戶和數(shù)據(jù)之間的相互活動而形成,因此計算機(jī)的安全問題可以歸結(jié)于主體和客體之間訪問的合法性問題。所謂合法,系指在訪問數(shù)據(jù)、讀取程序、執(zhí)行命令等各個過程均是經(jīng)過主體-客體授權(quán),非授權(quán)的訪問被拒絕。這樣既能保證數(shù)據(jù)的保密性,又能確保數(shù)據(jù)完整和可用性的統(tǒng)一。
2.2 安全審計
安全審計實(shí)際上是對方案的評估,具備連續(xù)性。其必須服務(wù)于審計管理員,為管理員提供管理數(shù)據(jù),判斷違反安全方案的位置節(jié)點(diǎn)。審計功能可以自動將數(shù)據(jù)庫的全部操作進(jìn)行記錄,對于攻擊檢測系統(tǒng)而言,它能按照審計功能記錄的數(shù)據(jù)來分析系統(tǒng)所遭受的攻擊,并分析其原因,自動檢測系統(tǒng)的安全漏洞。
2.3 數(shù)據(jù)庫加密
數(shù)據(jù)庫加密是數(shù)據(jù)庫安全技術(shù)中比較常見技術(shù),旨在通過對數(shù)據(jù)庫的加密,來保證用戶客體的信息安全,最低程度降低損失。所謂加密,通常而言是將可明確辨別的數(shù)據(jù)信息轉(zhuǎn)換為不能識別的加密數(shù)據(jù)信息,非指定用戶不能識別相關(guān)數(shù)據(jù),指定用戶可將加密信息通過相關(guān)程序進(jìn)行解密而識別。數(shù)據(jù)庫加密系統(tǒng)實(shí)際上是加密和解密兩個過程的統(tǒng)一,即可辨數(shù)據(jù)信息轉(zhuǎn)換成非可變信息、算法、利用密鑰解密讀取數(shù)據(jù)等三個過程。
2.4 數(shù)據(jù)安全傳輸常用協(xié)議
數(shù)據(jù)庫安全不僅僅限于存儲的數(shù)據(jù),在數(shù)據(jù)傳輸過程中往往涉及到數(shù)據(jù)的安全和完整兩個方面,所以數(shù)據(jù)傳輸協(xié)議應(yīng)運(yùn)而生。
SSL(Secure socket layer)協(xié)議:此類協(xié)議旨在確定數(shù)據(jù)瀏覽者的身份,并且在瀏覽器用戶和服務(wù)器之間建立加密的服務(wù)標(biāo)準(zhǔn),其在瀏覽器和Web服務(wù)器程序中應(yīng)用十分廣泛,SSL協(xié)議需要用戶安裝相關(guān)的數(shù)字證書才能使用服務(wù)器的全部功能,這樣必然能保證數(shù)據(jù)安全和完整。
IPSec(Internet Protocol Security)協(xié)議:此類協(xié)議是基于IETF定義的安全標(biāo)準(zhǔn)框架,其能加密和驗證網(wǎng)絡(luò)端。IPSec協(xié)議能定義可選網(wǎng)絡(luò)安全服務(wù),其他功能必須根據(jù)自身安全策略來與此類服務(wù)進(jìn)行匹配,在安全標(biāo)準(zhǔn)框架中建立詳細(xì)的安全解決策略,從本質(zhì)上增加數(shù)據(jù)傳輸?shù)谋C苄院涂煽啃浴?/p>
HTTPS(Secure Hypertext Transfer Protoc01)協(xié)議:此類協(xié)議通常理解為安全超文本傳輸協(xié)議,它能內(nèi)置于其瀏覽器中,其過程就是反復(fù)壓縮和解壓數(shù)據(jù)信息,返回網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)的傳送。
3.數(shù)據(jù)庫系統(tǒng)安全防范策略
3.1 物理安全防護(hù)策略
所謂物理安全防護(hù)策略是指采取一系列的措施抵抗數(shù)據(jù)庫系統(tǒng)物理裝備的威脅,主要包括自然災(zāi)害、電磁輻射以及惡劣工作環(huán)境等多個方面,從而確保數(shù)據(jù)庫內(nèi)的重要數(shù)據(jù)資源盡可能的不被破壞,或者在受到破壞時能夠及時的恢復(fù)。物理安全防護(hù)策略因數(shù)據(jù)庫所屬網(wǎng)絡(luò)、所在系統(tǒng)以及所含信息的不同而不同,目前較常采用的策略包括抗干擾系統(tǒng)、隔離系統(tǒng)、電磁兼容環(huán)境、防輻射、防水、防火、防靜電以及數(shù)據(jù)的備份和恢復(fù)等。
3.2 網(wǎng)絡(luò)安全防護(hù)策略
隨著計算機(jī)技術(shù)的迅速發(fā)展,越來越多基于網(wǎng)絡(luò)的數(shù)據(jù)庫系統(tǒng)建立起來,為網(wǎng)絡(luò)用戶提供所需要的各類信息,網(wǎng)絡(luò)成為數(shù)據(jù)庫系統(tǒng)運(yùn)行不可或缺的基本組成部分。一方面,數(shù)據(jù)庫用戶需要網(wǎng)絡(luò)進(jìn)入,才可能獲得需要的信息;另一方面,數(shù)據(jù)庫的入侵也必定是經(jīng)過網(wǎng)絡(luò)入侵來實(shí)現(xiàn)的,因此,就當(dāng)前來說,數(shù)據(jù)庫系統(tǒng)的安全性在很大程度上取決于網(wǎng)絡(luò)的安全性,網(wǎng)絡(luò)安全是數(shù)據(jù)庫系統(tǒng)安全的有力保障。常用的網(wǎng)絡(luò)層面的安全防護(hù)措施包括防火墻技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、入侵技術(shù)以及管理安全防護(hù)策略。
(1)防火墻技術(shù)
當(dāng)前,數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)措施中應(yīng)用最為廣泛的是防火墻技術(shù),它是由軟件和硬件設(shè)備組成的、在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間、專用網(wǎng)與公共網(wǎng)之間構(gòu)建的一道保護(hù)屏障,以有力監(jiān)控網(wǎng)絡(luò)的可信任性,有效攔截非法訪問,從而確保數(shù)據(jù)安全性。當(dāng)前,大部分?jǐn)?shù)據(jù)庫系統(tǒng)之前都建立有各種形式的防火墻作為一個安全網(wǎng)關(guān),防止外部網(wǎng)絡(luò)的非法入侵,保護(hù)數(shù)據(jù)庫信息免受破壞。數(shù)據(jù)包過濾器、狀態(tài)分析和是最基本、最有效的防火墻技術(shù),一般來講,不單獨(dú)使用其中一項,而是將三項技術(shù)綜合使用,從而達(dá)到最好的防護(hù)效果。
防火墻技術(shù)具有簡單實(shí)用、透明度高而且可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定安全要求的特點(diǎn)。但防火墻技術(shù)不是萬能的,其局限在于不能有效攔截網(wǎng)絡(luò)內(nèi)部的非法操作。另外,防火墻技術(shù)智能化程度較低,一旦確定防火墻級別,寫入其內(nèi)部的規(guī)則便已確定,對于某種信息是否攔截也已確定,無法實(shí)現(xiàn)動態(tài)識別和自動調(diào)整。再者,防火墻使用的濾波技術(shù)通常會大幅降低網(wǎng)絡(luò)性能。
(2) 網(wǎng)絡(luò)防病毒技術(shù)
病毒實(shí)際上就是針對復(fù)雜系統(tǒng)中的錯誤或漏洞,進(jìn)行網(wǎng)絡(luò)攻擊來竊取、篡改信息,而復(fù)雜系統(tǒng)中的錯誤和漏洞往往難以規(guī)避,因此病毒對網(wǎng)絡(luò)安全造成巨大的影響。對于病毒的防范,至關(guān)重要。必須嚴(yán)格加強(qiáng)服務(wù)器和工作站的操作管理,對于工作站而言,無盤操作、網(wǎng)絡(luò)殺毒軟件、防火墻是常用的病毒防范策略。對于病毒,我們必須做到預(yù)防為主,多種防范技術(shù)相結(jié)合的手段,才能將病毒規(guī)避于無形。
(3)入侵檢測
所謂的網(wǎng)路入侵是指非指定授權(quán)用戶對計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行篡改、復(fù)制、存貯等行為以及惡意破壞計算機(jī)網(wǎng)絡(luò)安全等行為。為了防止數(shù)據(jù)庫被破壞,針對網(wǎng)絡(luò)入侵,必須實(shí)施有效的入侵檢測。所謂入侵檢測是指監(jiān)控安全日志及審計數(shù)據(jù)等計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(diǎn)信息,并對信息進(jìn)行歸納分析,進(jìn)而檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測是一項重要的安全監(jiān)控技術(shù),能夠有效地監(jiān)督系統(tǒng)及用戶的行為、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計、自動地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計跟蹤識別違反安全策略的行為、使用誘騙服務(wù)器記錄黑客行為等功能,使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。
3.3 管理安全防護(hù)策略
計算機(jī)的安全通常都是由人來控制,任何數(shù)據(jù)的維護(hù)以及數(shù)據(jù)庫系統(tǒng)和計算機(jī)網(wǎng)絡(luò)的安全運(yùn)行,都是由人這個主體來完成,加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全教育以及對操作管理人員進(jìn)行與時俱進(jìn)的培訓(xùn)和管理,才能最終解決計算機(jī)安全的問題的。
4.結(jié)語
數(shù)據(jù)庫技術(shù)的發(fā)展日新月異,而對數(shù)據(jù)庫的攻擊方式也五花八門,要求我們數(shù)據(jù)庫系統(tǒng)的管理和維護(hù)方式必須具備多樣性、可持續(xù)性。綜上所述,確保數(shù)據(jù)庫安全,必須分析影響數(shù)據(jù)庫安全的各個因素,引進(jìn)最新的安全技術(shù)成果,升級安全防范軟件,相信數(shù)據(jù)庫安全問題在今后會得到有效的控制和解決。
參考文獻(xiàn):
常用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)范文第3篇
如今的信息化時代,計算機(jī)網(wǎng)絡(luò)已經(jīng)成為人們工作、學(xué)習(xí)和生活中一種不可缺少的重要工具,當(dāng)前很多高校都構(gòu)建了自己的校園局域網(wǎng),為廣大師生的學(xué)習(xí)和工作提供了很多的便利,與此同時由于計算機(jī)網(wǎng)絡(luò)的開放性,校園網(wǎng)經(jīng)常遭受多種安全威脅,嚴(yán)重影響了校園網(wǎng)的安全穩(wěn)定運(yùn)行。因此在校園網(wǎng)中要積極利用網(wǎng)絡(luò)安全技術(shù),提高校園網(wǎng)的安全性。本文分析了校園網(wǎng)的安全目標(biāo),闡述了網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用。
【關(guān)鍵詞】網(wǎng)絡(luò)安全技術(shù) 校園網(wǎng) 應(yīng)用
近年來,計算機(jī)網(wǎng)絡(luò)技術(shù)被廣泛的應(yīng)用在高校校園中,校園網(wǎng)快速發(fā)展,同時校園網(wǎng)的安全問題也受到了人們關(guān)注的焦點(diǎn)。由于校園網(wǎng)的網(wǎng)絡(luò)用戶包含職工、教師、學(xué)生等多個人群,并且不同使用者對于校園網(wǎng)的使用也不同,如網(wǎng)絡(luò)辦公、瀏覽網(wǎng)頁、信息處理等,校園網(wǎng)的安全問題非常突出。為了提高校園網(wǎng)的安全穩(wěn)定性,必須積極的在校園網(wǎng)中應(yīng)用網(wǎng)絡(luò)安全技術(shù),加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全管理,使校園網(wǎng)為廣大師生提供更多的便利。
1 校園網(wǎng)的安全目標(biāo)
1.1 可控性
校園網(wǎng)的可控性是指校園網(wǎng)可以調(diào)節(jié)和控制傳播信息內(nèi)容和方式的能力,為了保障廣大師生和國家的利益,維護(hù)良好的社會秩序,校園網(wǎng)管理者必須適當(dāng)?shù)目刂坪捅O(jiān)督在校園網(wǎng)平臺上傳播的相關(guān)信息,避免社會犯罪和外界侵犯,保障校園網(wǎng)的安全穩(wěn)定性。
1.2 可靠性
校園網(wǎng)的可靠性是校園網(wǎng)最基本的安全目標(biāo)之一,校園網(wǎng)的可靠性是指校園網(wǎng)安全、穩(wěn)定的運(yùn)行,快速完成校園網(wǎng)用戶指定的相應(yīng)功能和具體任務(wù)。
1.3 真實(shí)性
校園網(wǎng)的真實(shí)性是指校園網(wǎng)用戶不能否定或者抵賴對校園網(wǎng)系統(tǒng)的任何操作和承諾。任何用戶對于校園網(wǎng)的操作都具有真實(shí)性。
1.4 保密性
校園網(wǎng)的保密性是指校園網(wǎng)必須確保用戶信息的安全性,不能出現(xiàn)信息泄露,提高校園網(wǎng)的可靠性和可用性。校園網(wǎng)的保密性要求校園網(wǎng)管理系統(tǒng)必須做好用戶信息保存和處理工作,任何人不得泄露網(wǎng)絡(luò)用戶的個人信息。
1.5 完整性
校園網(wǎng)的完整性是指各種信息資源在校園網(wǎng)的傳輸過程中,不能發(fā)生信息資源刪除、修改、偽造、篡改等破壞行為,確保信息資源的完整性。校園網(wǎng)在日常運(yùn)行過程中,很容易受到設(shè)備故障、誤碼、惡意攻擊、網(wǎng)絡(luò)病毒等因素的影響,導(dǎo)致校園網(wǎng)信息資源被破壞,嚴(yán)重影響校園網(wǎng)的安全穩(wěn)定運(yùn)行。
2 網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用
2.1 防火墻技術(shù)
在校園網(wǎng)中安裝防火墻,以校園局域網(wǎng)為平臺,按照一定的計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的相關(guān)安全標(biāo)準(zhǔn),實(shí)時檢測校園網(wǎng)中傳輸?shù)臄?shù)據(jù)包,如果發(fā)現(xiàn)數(shù)據(jù)包的來源地質(zhì)存在安全風(fēng)險,會立即攔截傳輸數(shù)據(jù)進(jìn)入網(wǎng)絡(luò),并且快速阻止非法入侵者或者網(wǎng)絡(luò)黑客以非法手段獲取內(nèi)部信息數(shù)據(jù)或者訪問內(nèi)部網(wǎng)絡(luò),能夠有效地過濾校園網(wǎng)中的危險因素,有效地提高了校園網(wǎng)的安全性。另外,防火墻技術(shù)還可以實(shí)時記錄和監(jiān)控校園網(wǎng)的多種操作,校園網(wǎng)用戶在校園網(wǎng)的操作內(nèi)容都會經(jīng)過防火墻的監(jiān)測,并且留下相關(guān)的記錄信息,一旦發(fā)現(xiàn)校園網(wǎng)出現(xiàn)非法操作,會立即發(fā)出報警信號,引起校園網(wǎng)管理人員和用戶的注意。
2.2 訪問控制列表技術(shù)(ACL)
在校園網(wǎng)中應(yīng)用ACL技術(shù),可以對校園網(wǎng)中的協(xié)議、MAC地址、端口、IP地址等進(jìn)行過濾,有效地抵擋人為惡意攻擊和病毒攻擊。可以利用ACL技術(shù)的訪問控制拓展列表和訪問控制標(biāo)準(zhǔn)列表來定義規(guī)則,只允許校園網(wǎng)中的MAC和IP訪問系統(tǒng)操作和數(shù)據(jù)庫[2],校園網(wǎng)系統(tǒng)數(shù)據(jù)庫只提供給開放部分的端口,屏蔽不常使用和病毒經(jīng)常出入的端口,只允許合法的網(wǎng)絡(luò)用戶進(jìn)行數(shù)據(jù)交流,將一切非法的主機(jī)抵擋在校園網(wǎng)之外。
2.3 數(shù)據(jù)加密技術(shù)
在校園網(wǎng)中應(yīng)用數(shù)據(jù)加密技術(shù),防止非法入侵者篡改和查看校園網(wǎng)中的重要信息和文件。應(yīng)用數(shù)據(jù)加密技術(shù)對校園網(wǎng)中的信息數(shù)據(jù)進(jìn)行加密,主動抵御校園網(wǎng)可能出現(xiàn)的安全隱患,提高校園網(wǎng)的安全性。數(shù)據(jù)加密技術(shù)可以將校園網(wǎng)中的數(shù)據(jù)信息進(jìn)行置換或者移位變換,由網(wǎng)絡(luò)密鑰來控制數(shù)據(jù)信息的解密。通常情況下,數(shù)據(jù)加密技術(shù)擁有公開密鑰和私用密鑰兩種加密技術(shù),私用密鑰加密技術(shù)利用同一個密鑰解密和加密數(shù)據(jù)信息,只有校園網(wǎng)授權(quán)用戶才知道這個密鑰,授權(quán)用戶利用這個私用密鑰對數(shù)據(jù)信息進(jìn)行解密。數(shù)據(jù)加密技術(shù)的公開密鑰加密擁有私鑰和公鑰兩個密鑰,可以同時進(jìn)行解密和加密,如果校園網(wǎng)用戶使用私鑰對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密,擁有公鑰的網(wǎng)絡(luò)用戶可以完成解密,如果校園網(wǎng)用戶使用公鑰對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密,只有擁有私鑰的用戶可以進(jìn)行解密,公鑰在校園網(wǎng)中是公開的,任何網(wǎng)絡(luò)用戶都可以使用公鑰對數(shù)據(jù)信息加密,然后將數(shù)據(jù)信息發(fā)送給擁有私鑰的用戶,只有合法用戶才擁有私鑰。
2.4 IDS技術(shù)
IDS(Intrusion Detection System)技術(shù)是一種非常重要的入侵檢測系統(tǒng),在校園網(wǎng)中應(yīng)用IDS技術(shù),可以實(shí)時監(jiān)測校園網(wǎng)系統(tǒng)中信息的通信情況,當(dāng)監(jiān)測到異常的訪問行為或者數(shù)據(jù)傳輸時,IDS可以自動采取主動防護(hù)措施或者發(fā)出報警信號。當(dāng)前,入侵檢測系統(tǒng)主要通過誤用檢測和異常檢測這兩種檢測方法,檢測校園網(wǎng)中的入侵行為。
2.5 身份認(rèn)證技術(shù)
由于校園網(wǎng)的用戶類型較多,為了確保校園網(wǎng)的安全穩(wěn)定性,對于任何進(jìn)入校園網(wǎng)系統(tǒng)的用戶都必須進(jìn)行身份認(rèn)證,因此可以在校園網(wǎng)中應(yīng)用身份認(rèn)證技術(shù),這種數(shù)字化的PKI體制的身份認(rèn)證技術(shù)和傳統(tǒng)的使用口令及用戶名認(rèn)證技術(shù)相比,其安全性能更高。用戶登陸校園網(wǎng)之后,在訪問校園網(wǎng)信息資源時,需要使用會話和證書信息,通過這些來驗證用戶的真實(shí)身份,有效地阻止非法入侵者假冒合法用戶的行為。另外,這種數(shù)字化的PKI體制的身份認(rèn)證技術(shù)還可以有效地提高校園網(wǎng)的校園一卡通登錄、電子郵件、權(quán)限管理和控制以及日志管理和審計等方面的信息安全。
3 結(jié)束語
校園網(wǎng)對廣大師生的生活、學(xué)習(xí)和工作有著非常重要的影響,只有不斷提高校園網(wǎng)的安全性,人們才能更加放心地使用校園網(wǎng)系統(tǒng),因此要積極應(yīng)用多種網(wǎng)絡(luò)安全技術(shù),推動校園網(wǎng)的安全、穩(wěn)定運(yùn)行,為廣大師生提供更多的服務(wù)。
參考文獻(xiàn)
[1]丁吉安.常用網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用研究[D].山東大學(xué),2011.
[2]姚汝,肖堯.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,01:115+165.
[3]謝暉輝.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用[J].電腦知識與技術(shù),2011,09:2087-2088.
常用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)范文第4篇
關(guān)鍵詞:信息安全 防火墻 CGI ARP
目前,電子政務(wù)的發(fā)展方興未艾,已經(jīng)進(jìn)入了符合Internet/Intranet技術(shù)標(biāo)準(zhǔn)的平臺應(yīng)用階段。在這一階段,電子政務(wù)系統(tǒng)不僅在技術(shù)上有了很大進(jìn)步,而且應(yīng)用范圍已從部門內(nèi)部、部門之間擴(kuò)展到行業(yè)/系統(tǒng)內(nèi)部,乃至跨部委跨系統(tǒng)。這樣的一個龐大系統(tǒng),不僅要考慮其可靠性、開放性、可維護(hù)性和可管理性,更應(yīng)考慮其安全性。沒有安全性,這個系統(tǒng)就失去了存在的意義,而且隨著技術(shù)的發(fā)展,安全問題已經(jīng)成為電子政務(wù)的核心問題,它將伴隨著電子政務(wù)的發(fā)展而發(fā)展。
在安全性方面,除了要制定嚴(yán)密的入網(wǎng)、使用制度外,更應(yīng)該從技術(shù)上保障系統(tǒng)的安全。通過多年網(wǎng)絡(luò)管理、維護(hù)的實(shí)踐,并借鑒網(wǎng)絡(luò)戰(zhàn)的相關(guān)戰(zhàn)法,筆者總結(jié)了幾點(diǎn)安全性措施,以供同行參考。
一、查漏強(qiáng)網(wǎng)法
查漏強(qiáng)網(wǎng)法,是指要經(jīng)常或定期對己方網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全漏洞檢測和修補(bǔ),提高己方網(wǎng)絡(luò)抵御黑客攻擊的能力。
網(wǎng)管應(yīng)該時刻牢記:在完成一個網(wǎng)絡(luò)補(bǔ)丁的同時,可能又產(chǎn)生新的漏洞。這些漏洞即使我們不去研究,黑客也會去研究的,我們應(yīng)該把研究網(wǎng)絡(luò)安全漏洞看成是建立網(wǎng)絡(luò)防御體系的關(guān)鍵所在;要盡量減少漏洞發(fā)現(xiàn)與漏洞修補(bǔ)之間的“時間差”。這個“時間差”越小,黑客能利用我方網(wǎng)絡(luò)安全漏洞的機(jī)會就越少,反之我方網(wǎng)絡(luò)面臨的安全威脅越大。
通過多起泄密案例分析,堡壘往往是從內(nèi)部攻破的。因此,網(wǎng)管也應(yīng)抓好硬件、軟件和人員的管理。一個好的規(guī)章制度其隱性的作用往往勝過好的防火墻。
在查漏方面,CGI腳本是主頁安全漏洞的主要來源,推薦過濾“& ;` " ” | * ? ~ ^ ( ) [ ] { } $ # ”等特殊字符;在設(shè)計CGI腳本時,其對輸入數(shù)據(jù)的長度有嚴(yán)格限制;使用C編寫CGI程序時,一定要使用安全的函數(shù);實(shí)現(xiàn)功能時制定安全合理的策略,CGI程序還應(yīng)具有檢查異常情況的功能,在檢查出陌生數(shù)據(jù)后CGI應(yīng)能及時處理這些情況。在保護(hù)FTP服務(wù)器時,設(shè)置站點(diǎn)為不可視和設(shè)置用戶登陸頻率行之有效。
二、監(jiān)測反黑法
監(jiān)測反黑法,是指在己方網(wǎng)絡(luò)運(yùn)行過程中,動態(tài)監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)和用戶行為,當(dāng)發(fā)現(xiàn)異常情況和黑客攻擊行為時,及時報警并采取應(yīng)對措施,對付黑客的攻擊。
一名好的網(wǎng)絡(luò)安全人員,應(yīng)該從兩個不同的角度對網(wǎng)絡(luò)進(jìn)行安全評估:第一,從黑客角度進(jìn)行思考,尋找現(xiàn)有的網(wǎng)絡(luò)漏洞,對網(wǎng)絡(luò)資源加以保護(hù);第二,從安全管理者的角度進(jìn)行思考,尋找既可保障安全又不影響網(wǎng)絡(luò)運(yùn)行效率的最佳途徑。
計算機(jī)網(wǎng)絡(luò)防御不是采用安全措施就萬事大吉的靜態(tài)過程,而是一個包括網(wǎng)絡(luò)防護(hù)、監(jiān)測、響應(yīng)、恢復(fù)等四個環(huán)節(jié)的連續(xù)、反復(fù)的動態(tài)過程。具體實(shí)施有:第一,要選擇符合安全標(biāo)準(zhǔn)和通過安全認(rèn)證的網(wǎng)絡(luò)安全技術(shù)手段和設(shè)備,如選擇安全級別較高的網(wǎng)絡(luò)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、服務(wù)器、路由器和防火墻等,構(gòu)建一個全方位、多層次、立體化的動態(tài)防護(hù)體系,構(gòu)建網(wǎng)絡(luò)防御的第一道防線。第二,要采用網(wǎng)絡(luò)入侵檢測216系統(tǒng)及時發(fā)現(xiàn)黑客攻擊行為,及時報警。第三,當(dāng)發(fā)生報警時應(yīng)及時分析原因,采用應(yīng)急響應(yīng)和處置措施,斷開網(wǎng)絡(luò)連接、堵塞漏洞、跟蹤攻擊或進(jìn)行反攻,及時把敵人入侵的手段、特點(diǎn)向上級報告和向友鄰單位通報。第四,要及時對網(wǎng)絡(luò)系統(tǒng)的軟件和數(shù)據(jù)進(jìn)行備份;當(dāng)網(wǎng)絡(luò)系統(tǒng)遭到破壞時,應(yīng)能夠及時對軟件和數(shù)據(jù)進(jìn)行恢復(fù)。
對于目前危害很大的ARP病毒攻擊,可以使用以下的方法進(jìn)行防御:
使用可防御ARP攻擊的三層交換機(jī),綁定端口-MAC-IP,限制ARP流量,及時發(fā)現(xiàn)并自動阻斷ARP攻擊端口,合理劃分VLAN,徹底阻止盜用IP、MAC地址,杜絕ARP的攻擊。
對于經(jīng)常爆發(fā)病毒的網(wǎng)絡(luò),進(jìn)行Internet訪問控制,限制用戶對網(wǎng)絡(luò)的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端,如果能夠加強(qiáng)用戶上網(wǎng)的訪問控制,就能極大地減少該問題的發(fā)生。
在發(fā)生ARP攻擊時,及時找到病毒攻擊源頭,并收集病毒信息,使用TrendLabs軟件進(jìn)行分析,TrendLabs將以最快的速度提供病毒碼文件,從而可以進(jìn)行ARP病毒的防御。
三、筑墻護(hù)網(wǎng)法
筑墻護(hù)網(wǎng)法,是指通過身份認(rèn)證、訪問控制、數(shù)據(jù)加密和防火墻等手段在網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)內(nèi)部主機(jī)上構(gòu)建一道一道的防火墻,以防止黑客進(jìn)行網(wǎng)絡(luò)滲透或入侵,竊取情報。
網(wǎng)絡(luò)防火墻是一種保護(hù)計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的技術(shù)性措施,它是將計算機(jī)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開的方法,實(shí)際上是一種隔離技術(shù),它可以阻止網(wǎng)絡(luò)中的黑客來攻擊和破壞內(nèi)部網(wǎng)絡(luò)。目前網(wǎng)絡(luò)防火墻主要有以下四種類型:包過濾防火墻、防火墻、雙穴主機(jī)防火墻和檢測型防火墻。不同類型的防火墻,其效果是不同的。需要注意的是,監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動、實(shí)時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品。雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在使用中的防火墻產(chǎn)品仍然以型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。
四、以攻協(xié)防法
以攻協(xié)防法,即在防御中抓住有利的戰(zhàn)機(jī)對黑客計算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)施攻擊,以積極的攻勢行動保護(hù)己方計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的方法。這種方法在網(wǎng)絡(luò)戰(zhàn)中經(jīng)常使用。
進(jìn)攻就是最好的防御。人不犯我,我不犯人。目前網(wǎng)絡(luò)泄密已經(jīng)給我們各行各業(yè)造成了巨大的損失,對敵對勢力進(jìn)行必要的教訓(xùn)是應(yīng)該的。通過對黑客實(shí)施計算機(jī)網(wǎng)絡(luò)偵察,了解黑客對我實(shí)施計算機(jī)網(wǎng)絡(luò)進(jìn)攻的組織和實(shí)施方案,以及黑客計算機(jī)網(wǎng)絡(luò)系統(tǒng)的相關(guān)信息,一方面便于我方采取得當(dāng)?shù)碾[蔽對策實(shí)施防護(hù),另一方面可以通過了解的情報,對黑客計算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)施反擊,從而達(dá)到保護(hù)我方計算機(jī)網(wǎng)絡(luò)系統(tǒng)的目的。
網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性,以及信息系統(tǒng)的脆弱性,決定了網(wǎng)絡(luò)安全威脅的客觀存在。我國日益開放并融入世界,但加強(qiáng)安全監(jiān)管和建立保護(hù)屏障不可或缺。目前我國政府、相關(guān)部門和有識之士都把網(wǎng)絡(luò)監(jiān)管提到新的高度,例如上海市負(fù)責(zé)信息安全工作的部門就提出了采用非對稱戰(zhàn)略構(gòu)建上海信息安全防御體系,其核心是在技術(shù)處于弱勢的情況下,用強(qiáng)化管理體系來提高網(wǎng)絡(luò)安全整體水平。我們衷心希望在不久的將來,我國信息安全工作能跟隨信息化的逐步深入,上一個新臺階。
作者簡介:
常用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)范文第5篇
隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展和師生對各種數(shù)據(jù)需要和交流的不斷增長,各高職院都已經(jīng)建立了自己的網(wǎng)絡(luò)。伴隨著網(wǎng)絡(luò)用戶和數(shù)據(jù)信息量的迅速增長以及網(wǎng)絡(luò)環(huán)境和管理復(fù)雜等原因,校園網(wǎng)不但要防止來自外部的黑客入侵,還需要防止來自內(nèi)部的惡意破壞。即要保證信息的開放與安全性,又要保證教學(xué)財務(wù)等信息的完整和保密性。所以,校園網(wǎng)絡(luò)的安全是至關(guān)重要的。
2網(wǎng)絡(luò)安全防護(hù)措施
(1)internet的不安全性。①網(wǎng)絡(luò)互聯(lián)技術(shù)是全開放的,使得網(wǎng)絡(luò)面臨的破壞和攻擊來自各方面。②網(wǎng)絡(luò)的國際性意味著網(wǎng)絡(luò)的攻擊不僅來自本地網(wǎng)絡(luò)的用戶,而且可以來自互聯(lián)網(wǎng)上的任何一臺機(jī)器。③網(wǎng)絡(luò)的自由性意味著最初網(wǎng)絡(luò)對用戶的使用并沒有提供任何的技術(shù)約束,用戶可以自由地訪問網(wǎng)絡(luò)和信息。(2)操作系統(tǒng)的不安全性。操作系統(tǒng)安全是整個校園網(wǎng)絡(luò)安全的基礎(chǔ)。首先,操作系統(tǒng)的體系結(jié)構(gòu)使得其程序鏈接是動態(tài)的,很容易遭到黑客的攻擊和利用,人們在上傳和下載文件時也容易產(chǎn)生計算機(jī)病毒。其次,操作系統(tǒng)可以創(chuàng)建進(jìn)程并支持進(jìn)程的遠(yuǎn)程創(chuàng)建與激活,這使得一些黑客或間諜軟件能夠很輕易地進(jìn)入用戶的計算機(jī)。(3)數(shù)據(jù)庫的不安全性。資源共享和數(shù)據(jù)通信是計算機(jī)網(wǎng)絡(luò)的主要功能,如今數(shù)據(jù)庫系統(tǒng)需要面對更多的安全威脅。數(shù)據(jù)庫的安全就是為了確保數(shù)據(jù)的安全可靠和信息完整。阻止用戶對數(shù)據(jù)的故意破壞和非法存取。數(shù)據(jù)的不安全性主要有以下兩個方面:①非授權(quán)用戶對數(shù)據(jù)庫的訪問。②授權(quán)用戶對數(shù)據(jù)庫的非法訪問。文件服務(wù)器是運(yùn)行網(wǎng)絡(luò)操作系統(tǒng)的核心設(shè)備,它的基本功能就是向服務(wù)器提供文件和數(shù)據(jù)存儲。簡化了網(wǎng)絡(luò)數(shù)據(jù)的管理、改善了系統(tǒng)的性能、提高了數(shù)據(jù)的可用性、降低了運(yùn)營成本。此外文件服務(wù)器還具有分時系統(tǒng)管理的全部功能,能夠?qū)θW(wǎng)統(tǒng)一管理,提供網(wǎng)絡(luò)用戶訪問文件、目錄的并必控制和安全保密措施。因此文件服務(wù)器的損壞會造成整個網(wǎng)絡(luò)的癱瘓。所以對文件服務(wù)器的管理至關(guān)重要。文件服務(wù)器的管理存在兩個大問題,一是不能正確精確授權(quán),導(dǎo)致文件管理混亂;二是不能有效對文件實(shí)施審核,缺乏了一套對文件管理的審核方案。防火墻指的是一個軟件和硬件設(shè)備組合而成、在各種網(wǎng)絡(luò)之間的界面上構(gòu)造的保護(hù)屏障。它是一種網(wǎng)絡(luò)安全部件,可以是硬件,也可以是軟件,也可能是硬件和軟件的結(jié)合,這種安全部件處于被保護(hù)網(wǎng)絡(luò)和其它網(wǎng)絡(luò)的邊界,接收進(jìn)出被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流,并根據(jù)防火墻所配置的訪問控制策略進(jìn)行過濾或做出其它操作。是隔離內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的第一道安全防御系統(tǒng),最大限度地阻止了網(wǎng)絡(luò)中黑客的來訪。是網(wǎng)絡(luò)安全最主要和最基本的基礎(chǔ)設(shè)施。如果沒有防火墻,整個網(wǎng)絡(luò)的安全將被網(wǎng)絡(luò)中最脆弱的部分所制約。在設(shè)計和選用防火墻方面,不管采用原始設(shè)計還是使用現(xiàn)成的防火墻,對于管理員來說,首先得根據(jù)安全級別確定防火墻的安全標(biāo)準(zhǔn)。其次,設(shè)計或選用防火墻必須與網(wǎng)絡(luò)接口匹配,要盡量防止所能想到的威脅。防火墻可以是軟件或硬件模塊,并能集成于網(wǎng)橋、網(wǎng)關(guān)、路由器等設(shè)備之中。為了安全起見,建議在防火墻網(wǎng)絡(luò)中,對內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器進(jìn)行分開放置。網(wǎng)絡(luò)操作系統(tǒng)在安裝時要先拔下網(wǎng)線。這樣可以阻止黑客和病毒利用網(wǎng)絡(luò)接口攻擊操作系統(tǒng)。安裝殺毒軟件。為操作系統(tǒng)用戶設(shè)置密碼并禁止使用Guest用戶。為操作系統(tǒng)安裝用來修正操作系統(tǒng)漏洞的補(bǔ)丁。預(yù)防優(yōu)盤病毒指用戶向系統(tǒng)提供自己的身份證明,最常的方法是提供用戶名和密碼。身份鑒別強(qiáng)調(diào)一致性驗證,因此必須保證標(biāo)識的唯一性。鑒別是用于檢驗用戶身份的合法性的檢驗。(4)數(shù)據(jù)庫加密。常用的數(shù)據(jù)加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)兩種。此外為了制止非授權(quán)用戶對數(shù)據(jù)庫的訪問,也為了約束授權(quán)用戶對數(shù)據(jù)庫訪問的范圍和方式,DBMS必須具備用戶帳號口令和用戶身份識別的保護(hù)機(jī)制。DBMS依靠帳號和口令的一致來識別用戶身份的合法性。全體用戶的帳號口令儲存在某個系統(tǒng)文件中,DBMS采用安全技術(shù)保護(hù)該文件,以免遭到破壞。DBA根據(jù)用戶的實(shí)際需要授予適當(dāng)?shù)臄?shù)據(jù)庫使用權(quán)。給驅(qū)動器加密讓服務(wù)器遠(yuǎn)離網(wǎng)絡(luò)安裝防病毒軟件并定期殺毒刪除不必要的軟件、停止不必要的服務(wù),不給黑客留下攻擊的機(jī)會。使用最少的特權(quán)執(zhí)行管理任務(wù)。給服務(wù)器更新最新最全的補(bǔ)丁。
3結(jié)語
