发布时间:2023-02-09 14:38:56
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的信息安全议论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
1网络安全
在网络规划初期就要考虑到网络安全。我院网络采用星型拓扑结构,整个网络划分为外网与内网两部分,内、外网完全隔离,并配有防火墙。网络采用三层智能交换,根据部门、功能不同划分若干网段,既便于网络管理,又减少网络冲突,确保各VLAN数据的安全。网络综合布线时,每条线路都多冗余一至二条传输介质【1】。为每个汇聚点的交换机都安装UPS。关键部门有备用线路。
2服务器安全
服务器在信息系统安全运行中起着主导作用。为保证数据库不发生故障,我院信息系统服务器采用双机热备份磁盘阵列的模式。两个相对独立的应用在两台机器同时运行,当主服务器发生故障时,另一台服务器能在短时间内将故障服务器的应用接管过来,从而保证应用的持续性。
服务器由专人管理,定期更换操作口令,严禁任何人泄露操作口令。定期检查系统日志文件以及关键配置文件,建立安全事故的报告与响应制度并严格实施。同时建立完整的设备故障及处理记录。【2】
3容灾备份
无论信息系统设计、维护得多科学合理,故障的发生都是不可避免的,因此要考虑备份容灾方案。我院建有异地容灾机房,备有应急服务器及存储,通过远程镜像,将机房的数据以完全同步的方式复制到异地数据备份中心,对数据库实时地进行异地备份,保证数据与中心服务器的同步。当主机房双机服务器或阵列出现故障时,系统能顺利转移到应急服务器上运行,所有用户的使用方法保持不变,提高系统的安全性。
4客户端管理
客户端包含着用户能够直接接触到的信息、资源,也是访问信息系统的一个入口,对它的管理和使用不当也会造成信息的丢失或损坏【3】。对内网内所有客户端都不装软驱、光驱。在各客户端都安装桌面管理系统,不仅可对网络行为、各种操作进行实时监控,而且可以防止移动设备非法接入内部网络。通过虚拟桌面、进程的黑白名单,可以限制非法操作对系统的影响。桌面管理还提供设备资源登记及硬件设备(硬盘、CPU、内存等)变化报警、进行内部网络连接阻断等功能。
5病毒防护
随着网络技术和信息技术的发展,随之产生的病毒、木马等危害因素也是如新月异,对信息系统的造成很大的威胁,对此,信息系统必须做到以下防范措施:首先需要提高医院医护人员的计算机病毒防范意识。其次是安装高可靠性的正版杀毒软件以及防火墙,定期升级病毒库、定期扫描查杀。第三是加强网络客户端管理,采取内外网完全隔离、客户端卸除光驱、禁用移动设备等物理手段切断病毒传播途径,进行病毒防范。
6信息安全机制
(1)物理安全防范较为重视。从物理安全的五项指标来看,被调查的160家医院都非常注重防盗、防水、防雷、防尘、防静电及温湿度控制等物理环境安全防范,绝大部分医院对物理访问控制与物理监控(机房设备管理)也都很重视,分别达到93%与85%,但仅有1/4的医院注重设备检测,说明中国绝大部分医院设备或未做检测即投入运行,或缺乏定期进行安全评估、安全加固等保护,因而我国数字化医院还存在着一定的物理设备安全风险。
(2)系统安全威胁严重。系统安全四项指标中,采用了访问控制及备份与恢复措施的医院分别达到138家与147家,但实地调查显示非授权访问的情况还大量存在。进行系统日志审计的医院不足50家,说明我国医院系统日志还基本流于形式,缺乏深度安全审计,从而很难及时发现其中的安全隐患。进行系统开发与维护的医院也仅54家,原因主要在于目前许多医院由于受人员、设备、资金影响,或本身重视不够,导致其信息系统缺乏运营维护或维护不及时,因此其安全性和可靠性多数处于较差状态。
(3)网络通信安全较为脆弱。网络通信安全五项指标中,网络攻击防护与业务文档记录方面,医院相对比较重视,比例分别达到94%与84%,但实地调查发现其网络攻击防护还处于低水平状态。实行网络隔离与访问控制的医院仅占30%,大多数医院网络访问随意性大,医院网络可随意互访,信息流通和共享畅通无阻,这给医院信息安全带来极大的安全隐患。实行入侵检测的医院不到30%,说明中国数字化医院还处于被动防御阶段,远未达到主动防御水平,同时信息系统的纵深防护水平不高,由此导致数字化医院以计算机病毒、黑客攻击等为代表的安全事件频繁发生。实行密钥管理的医院则仅13%,说明医院网络密钥其实几乎还处于无人监管状态。
(4)人员安全隐患重重。人员安全四项指标调查结果都不容乐观,尤其是进行第三方合作合同的控制和管理的医院仅占10%,说明中国数字化医院在人员安全管理方面还远未重视,由此导致医院内部存在大量网络操作违规现象。如,网络操作人员随意将自己的登录账号转借他人,随意将一些存储介质接入信息系统,未经授权同时访问外网与内网,一些人员为了谋取个人私利,非法访问内部网络,窃取、伪造、篡改医疗数据等,这使得中国数字化医院信息安全事故频频发生。
(5)组织管理安全有待加强。组织管理安全四项指标中,160家医院都设置了安全管理组织机构,说明所有医院都很重视信息安全管理工作,但安全管理制度完整的医院仅114家,且多数在应急管理制度制定方面较为欠缺,而安全管理制度实施情况调查显示,只有40%的医院安全管理制度得到实施,这意味着60%的医院的安全管理制度形同虚设。在人力财力保障方面给予充分保障的医院不到50%,由于缺乏人力财力的保障,目前许多医院信息安全系统建设难以为继。综上所述,中国数字化医院还存在着极大的信息安全隐患。因此,数字化医院信息安全建设已迫在眉睫。
2动态网络安全模型的比较分析
面对复杂多样的信息安全风险以及日益严峻的信息安全局势,动态网络安全模型为中国数字化医院信息安全建设提供了理论基础。典型的动态网络安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等,这些安全模型各有特点,各有侧重,已广泛应用于多个领域的信息安全建设实践。环节。它强调在安全策略的指导下,综合采用防火墙、VPN等安全技术进行防护的同时,利用入侵检测系统等检测工具,发现系统的异常情况,以及可能的攻击行为,并通过关闭端口、中断连接、中断服务等响应措施将系统调整到一个比较安全的状态。其中,安全策略是核心,防护、检测和响应环节组成了一个完整、动态的安全循环,它们共同保证网络系统的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基础上增加恢复(Recovery)环节发展而来,由防护(Protection)、检测(Detection)、响应(Re-sponse)和恢复(Recovery)四个环节组成(见图2)。其核心思想是在安全策略的指导下,通过采取各种措施对需要保护的对象进行安全防护,并随时进行安全跟踪和检测以了解其安全状态,一旦发现其安全受到攻击或存在安全隐患,则马上采取响应措施,直至恢复安全保护对象的安全状态。与PPDR模型相比,PDRR模型更强调一种故障的自动恢复能力,即系统在被入侵后,能迅速采取相应措施将系统恢复到正常状态,从而保障系统的信息安全。因此,PDRR模型中的安全概念已经从信息安全扩展到了信息保障,信息保障内涵已超出传统的信息安全保密,是防护、检测、响应、恢复的有机结合。
3基于动态网络安全模型的中国数字化医院信息安全体系构建
结合动态网络安全模型,并依据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239—2008)、《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070—2010)等标准规范,本文试构建一个以信息安全组织机构为核心,以信息安全策略、信息安全管理、信息安全技术为维度的数字化医院信息安全体系三维立体框架。即,在进行数字化医院信息安全建设时,我们应成立一个信息安全组织机构,并以此为中心,通过制定信息安全总体策略、加强信息安全管理,利用各项信息安全技术,并将其贯彻在预警、保护、检测、响应、恢复和反击6个环节中,针对不同的安全威胁,采用不同的安全措施,从而对系统物理设备、系统软件、数据信息等受保护对象进行全方位多层次保护。
(1)信息安全组织机构是数字化医院信息安全体系构成要素中最重要的因素,在信息安全体系中处于核心地位。它由决策机构、管理机构与执行机构三部分组成。其中,决策机构是医院信息安全工作的最高领导机构,负责对医院信息安全工作进行总体规划与宏观领导,其成员由医院主要领导及其他相关职能部门主要负责人组成。管理机构在决策机构的领导下,负责信息安全体系建设规划的制定,以及信息安全的日常管理工作,其成员主要来自于信息化工作部门,也包括行政、人事等部门相关人员参与。执行机构在管理机构的领导下,负责保证信息安全技术的有效运行及日常维护,其成员主要由信息化工作部门相关技术人员及其他相关职能部门的信息安全员组成。信息安全组织机构应对医院信息安全工作进行科学规划,经常进行不定期的信息安全检查、评估和应急安全演练。其中对那些严重危及医院信息安全的行为应进行重点管理和监督,明确信息安全责任制,从而保证信息安全各项工作的有效贯彻与落实。
(2)信息安全策略是数字化医院信息安全得以实现的基础。其具体制定应依据国家信息安全战略的方针政策、法律法规,遵循指导性、原则性、可行性、动态性等原则,按照医疗行业标准规范要求,并结合医院自身的具体情况来进行,由总体方针与分项策略两个层次组成,内容涵盖技术层、管理层等各个层面的安全策略,最终实现“进不来、拿不走、看不懂、改不了、逃不掉”的安全防御目的,即在访问控制机制方面做到“进不来”、授权机制方面做到“拿不走”、加密机制方面做到“看不懂”、数据完整性机制方面做到“改不了”、审计/监控/签名机制方面做到“逃不掉”。
(3)信息安全管理是数字化医院信息安全得以实现的保障。它包括人员管理、技术管理和操作管理等方面。当前中国数字化医院在信息安全管理中普遍存在的问题:在安全管理中对人的因素重视不够、缺乏懂得管理的信息安全技术人员、信息安全意识不强、员工接受的教育和培训不够、安全管理中被动应付的较多等。因此,数字化医院一方面应加强全员信息安全意识,加大信息安全人员的引进、教育与培训力度,提高信息安全管理水平;另一方面应制定具体的信息安全管理制度,以规范与约束相关人员行为,保证信息安全总体策略的贯彻与信息安全技术的实施。
(4)信息安全技术是数字化医院信息安全得以实现的关键。数字化医院信息安全建设涉及防火墙、防病毒、黑客追踪、日志分析、异地容灾、数据加密、安全加固和紧急响应等技术手段,它们贯穿于信息安全预警、保护、检测、响应、恢复与反击六个环节。数字化医院应切实加强这六个环节的技术力量,确保其信息安全得以实现,具体体现在:①预警。医院应通过部署系统监控平台,实现对路由器、交换机、服务器、存储、加密机等系统硬件、操作系统和数据库等系统软件以及各种应用软件的监控和预警,实现设备和应用监控预警;或采用入侵防御系统,分析各种安全报警、日志信息,结合使用网络运维管理系统,实现对各种安全威胁与安全事件的预警;并将这些不同层面的预警,统一到一套集中的监控预警平台或运维管理平台,实现统一展现和集中预警。②保护。主要包括物理安全、系统安全与网络通信安全等方面的安全保护。对于中心机房、交换机、工作站、服务器等物理设备的安全防护,主要注意防水、防雷、防静电以及双机热备等安全防护工作。系统安全主要包括操作系统与数据库系统等的安全防护。操作系统的主要风险在于系统漏洞和文件病毒等。为此,医院需运用防火墙技术控制和管理用户访问权限,并定期做好监视、审计和事件日志记录和分析。所有工作站应取消光驱软驱,屏蔽USB接口,同时为各个客户端安装杀毒软件,并及时更新,从源头上预防系统感染病毒。数据库安全涉及用户安全、数据保密与数据安全等。为此,需对数据库进行权限设置。对于关键数据,应进行加密存储。对于重要数据库应做好多种形式的备份工作,如本地备份与异地备份、全量备份与增量备份等,以保证数据万无一失。对于网络通信安全防护,医院网络应采用物理隔离的双网架构,如果内网确需开展对外的WWW等服务,应单独设置VLAN,结合防火墙设备,通过设置DMZ的方式实现与外界的安全相连。同时,医院应合理的设置网络使用权限,严格进行用户网络密码管理,防止越权操作。③检测。检测是从监视、分析、审计信息网络活动的角度,发现对于信息网络的攻击、破坏活动,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御。前述防护系统能阻止大部分入侵事件的发生,但是它不能阻止所有的入侵。因此安全策略的另一个重要屏障就是检测。常用工具是入侵检测系统(IDS)和漏洞扫描工具。利用入侵检测系统(IDS)对医院系统信息安全状况进行实时监控,并定期查看入侵检测系统生成的报警日志,可及时发现信息系统是否受到安全攻击。而通过漏洞扫描工具,可及时检测信息系统中关键设备是否存在各种安全漏洞,并针对漏洞扫描结果,对重要信息系统及时进行安全加固。④响应。主要包括审计跟踪、事件报警、事件处理等。医院应在信息系统中部署安全监控与审计设备以及带有自动响应机制的安全技术或设备,当系统受到安全攻击时能及时发出安全事故告警,并自动终止信息系统中发生的安全事件。为了确保医院正常的医疗服务和就医秩序,提高医院应对突发事件的能力,医院还应成立信息安全应急响应小组,专门负责突发事件的处理,当医院信息系统出现故障时,能迅速做出响应,从而将各种损失和社会影响降到最低。其他事件处理则可通过咨询、培训和技术支持等得到妥善解决。⑤恢复。主要包括系统恢复和信息恢复两个方面。系统恢复可通过系统重装、系统升级、软件升级和打补丁等方式得以实现。信息恢复主要针对丢失数据的恢复。数据丢失可能来自于硬件故障、应用程序或数据库损坏、黑客攻击、病毒感染、自然灾害或人为错误。信息恢复跟数据备份工作密切相关,数据备份做得是否充分影响到信息恢复的程度。在信息恢复过程中要注意信息恢复的优先级别。直接影响日常生活和工作的信息必须先恢复,这样可提高信息恢复的效率。另外,恢复工作中如果涉及机密数据,需遵照机密系统的恢复要求。⑥反击。医院可采用入侵防御技术、黑客追踪技术、日志自动备份技术、安全审计技术、计算机在线调查取证分析系统和网络运维管理系统等手段,进行证据收集、追本溯源,实现医院网络安全系统遭遇不法侵害时对各种安全威胁源的反击。
4结束语
一、合作单位基本情况及合作背景
武汉汇通时代信息技术有限公司(以下简称汇通时代)成立于2000年,具备了为客户提供从方案咨询设计、工程实施、技术支持、维保服务、人员培训等全方位支持能力,本地化的快捷服务与强有力的技术团队的结合得到了客户广泛认可,多年来公司凭借专业的技术和良好的服务在政府、金融、大中型企业、院校、医疗、电力、电信、石油、石化等行业客户中赢得了良好的声誉。
公司拥有大量的网络、服务器、存储等高、中、低端备机,可为高端客户随时提供“灾备”、紧急救援、备件更换及维修等服务。同时公司还向客户提供IT系统评估和优化等高端现场咨询服务。在更高层面的IT管理系统上,公司可以提供自己研发的国际上技术领先的ROCS及CTS产品,可根据客户的需要提供全面的系统管理产品,帮助客户在应用和管理上更上一层楼。
在技术培训方面,公司的培训部能够提供全面的与网络建设和网络管理相关的全套培训,使得客户的业务水平与网络建设、网络使用、网络管理达到最好的匹配。
二、合作单位关键需求
1. 开拓网络安全产品市场的需求
目前,汇通时代要以提供一揽子的网络设备解决方案为其主要业务,同时辅以提供业务管理系统的业务。近年来,网络安全事故频发。其中不乏有一些大型的网站安全事故,如2011年的美国花旗银行被黑客侵入,21万北美地区银行卡用户的姓名、账户、电子邮箱等信息或遭泄露。WEB技术的广泛应用更将网络安全的问题推到风口浪尖。近年来,互联网渗透率持续提高,互联网商务化趋势明显,而信息安全形势的不断恶化使得企业对于信息安全的投入意愿加强,纷纷将网络和计算机安全提上日程,也使得行业发展面临前所未有的机遇。为此,汇通时代计划拓展已有的产品线,为客户提供与原有硬件设备可以无缝对接的协同安全系统产品线。
2.对新兴网络安全技术的跟踪需求
当前,正是由于企业正面临着比过去更复杂的安全威胁,除传统的黑客攻击、病毒传播之外,利用系统漏洞、兼具黑客和病毒特征的蠕虫,也越来越难以防范。传统的安全技术及产品通常只能防御单一威胁。因此,在单一的硬件平台下,集成多种安全防护手段的产品,逐渐受到广泛的重视。正是基于以上原因,在开展产品拓展计划之前,汇通时代希望能系统搜集国内国外已处于应用中的各类网络安全技术及其研究报告。同时,互联网的发展永远有着不可预知性。没有人能够预料互联网十年的发展。如云技术、统一通信技术、无边界网络的蓬勃发展, 都决定了本产品拓展计划必须保持对新兴技术的高度关注与持续跟踪。
三、解决方案及实施计划
1. 文献检索范围:
国内数据库及部分网上资源:
数据库名称 文档号 年限
中国学术会议论文数据库 CACP 1986-2013
中国重大科技成果数据库 ZDCG 1981-2013
中国学位论文数据库 CDDB 1989-2013
中国公司企业产品数据库 CECDB 2013年版
国家级新产品数据库 XCP 2013年版
中文科技期刊数据库 1989-2013
中国期刊全文数据库 CNKI 1979-2013
中国科技经济新闻数据库 1992-2013
中国专利数据库 1985-2013
国家科技成果网
科学引文索引 SCI 1999-2013
美国计算机学会(ACM)电子期刊及会议录
国研网专题数据库
中国企业产品库 INSPEC 1898-2013
2. 检索策略
(1)主题=(网络安全 OR 网络安全产品) AND 技术
(2)主题= 防火墙 OR 安全路由器 OR 虚拟专用网(VPN) OR 安全服务器 OR CA OR PKI OR 用户认证 OR 入侵检测(IDS) OR 安全操作系统 OR 安全数据库 OR 安全管理中心
四、项目预期成果
1.特色与创新之处
(1) 首次利用图书馆信息检索的专业优势,尝试为企业生产运营中的问题提供专业的解决思路与参考咨询;
(2) 综合利用各类数据库,涵盖国内著名数据库与国外知名相关数据库,提供综合性的检索结果,制定合理的检索式,确保检全率与检准率;
(3) 拓展了图书馆的工作范围与工作思路,引领图书馆工作开始走出去。
2.成果形式
咨询报告:《网络安全产品技术跟踪报告》
3.实施范围、受益对象
实施范围为国内外检索查新,受益对象为武汉汇通时代信息技术有限公司,助其解决拓展新产品线中的技术开发问题。
关键词: 云计算; 云安全; 信息安全; 等级保护测评; 局限性
中图分类号:TP309 文献标志码:A 文章编号:1006-8228(2016)11-35-03
Discussion on the testing and evaluating of cloud computing security level protection
Liu Xiaoli, Shen Xiaohui
(Zhejiang Provincial Testing Institute of Electronic & Information Products, Hangzhou, Zhejiang 310007, China)
Abstract: Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However, the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security, the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed, and the contents that cloud security should focus on are proposed.
Key words: cloud computing; cloud security; information security; testing and evaluation of security level protection; limitations
0 引言
近年来,随着网络进入更加自由和灵活的Web2.0时代,云计算的概念风起云涌。美国国家标准与技术研究院(NIST)定义云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策,有计划地促进政府部门信息系统向云计算平台迁移。但是也应该看到,政府部门采用云计算服务也给其敏感数据和重要业务的安全带来了挑战。美国作为云计算服务应用的倡导者,一方面推出“云优先战略”,要求大量联邦政府信息系统迁移到“云端”,另一方面为确保安全,要求为联邦政府提供的云计算服务必须通过安全审查[1]。我国也先后出台了一系列云计算服务安全的国家标准,如GB/T 31167-2014《信息安全技术云计算服务安全指南》、GB/T 31168-2014 《信息安全技术 云计算服务安全能力要求》等。本文关注的是云计算安全,包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等[2]。
当前,等级保护测评的依据主要有GB/T 22239-
2008《信息安全技术 信息系统安全等级保护基本要求》、GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》和GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等。然而,这些标准应用于传统计算模式下的信息系统安全测评具有普适性,对于采用云计算服务模式下的信息系统却有一定的局限性。
本文结合实际云计算服务安全测评中的问题,首先讨论现行信息安全等级保护测评标准应用到云环境的一些局限性,其次对于云计算安全特别需要关注的测评项进行分析。
1 云计算安全
正如一件新鲜事物在带给我们好处的同时,也会带来问题一样,云计算的推广也遇到了诸多困难,其中安全问题已成为阻碍云计算推广的最大障碍。
云计算安全面临着七大风险,主要包括客户对数据和业务系统的控制能力减弱、客户与云服务商之间的责任难以界定、可能产生司法管辖权问题、数据所有权保障面临风险、数据保护更加困难、数据残留和容易产生对云服务商的过度依赖等。文献[3]提出了云计算安全测评框架,与传统信息系统安全测评相比,云计算安全测评应重点关注虚拟化安全、数据安全和应用安全等层面。
虚拟化作为云计算最重要的技术,其安全性直接关系到云环境的安全。虚拟化安全涉及虚拟化软件安全和虚拟化服务器安全,其中虚拟化服务器安全包括虚拟化服务器隔离、虚拟化服务器监控、虚拟化服务器迁移等。云计算的虚拟化安全问题主要集中在VM Hopping(一台虚拟机可能监控另一台虚拟机甚至会接入到宿主机)、VM Escape(VM Escape攻击获得Hypervisor的访问权限,从而对其他虚拟机进行攻击)/远程管理缺陷(Hypervisor通常由管理平台来为管理员管理虚拟机,而这些控制台可能会引起一些新的缺陷)、迁移攻击(可以将虚拟机从一台主机移动到另一台,也可以通过网络或USB复制虚拟机)等[4]。
数据实际存储位置往往不受客户控制,且数据存放在云平台上,数据的所有权难以界定,多租户共享计算资源,可能导致客户数据被授权访问、篡改等。另外当客户退出云服务时,客户数据是否被完全删除等是云计算模式下数据安全面临的主要问题。
在云计算中对于应用安全,特别需要注意的是Web应用的安全。云计算应用安全主要包括云用户身份管理、云访问控制、云安全审计、云安全加密、抗抵赖、软件代码安全等[3]。
2 云计算下等级保护测评的局限性
信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务。信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。与之对应的是涉及国家秘密的信息系统安全测评,就是通常所说的分级保护测评。
信息系统安全等级保护的基本要求包括技术要求和管理要求两大类。其中技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等五个层面;管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个层面。
传统的安全已不足以保护现代云计算工作负载。换言之,将现行的等级保护相关标准生搬硬套到云计算模式存在局限性,具体体现在以下方面。
⑴ 物理安全
传统模式的信息系统数据中心或者在本单位,或者托管在第三方机构,用户可以掌握自身数据和副本存储在设备和数据中心的具置。然而,由于云服务商的数据中心可能分布在不同的地区,甚至不同的国家,GB/T 31167-2014明确了存储、处理客户数据的数据中心和云计算基础设施不得设在境外。
⑵ 网络安全
网络安全主要包括结构安全、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、网络设备防护等测评项。网络边界是网络信息安全的第一道防线,因此在网络边界采取安全防护措施就显得尤为重要。但在云计算模式下,多个系统同时运行在同一个物理机上,突破了传统的网络边界。由此可见,网络边界的界定、安全域的划分成为了云计算模式下网络边界安全面临的新挑战[5]。
⑶ 主机安全
主机安全主要包括身份鉴别、访问控制、安全审计等测评项。但在云计算模式下,虚拟化技术能够实现在一台物理机上运行多台虚拟机。尽管虚拟机之间具有良好的隔离性,但在云计算平台,尤其是私有云和社区云中,虚拟机之间通常需要进行交互和通信,正是这种交互为攻击和恶意软件的传播提供了可能。因此,虚拟机之间的安全隔离、用户权限划分、数据残留、跨虚拟机的非授权访问是云计算环境下虚拟机安全需要重点关注的内容。
⑷ 应用安全
应用系统作为承载数据的主要载体,其安全性直接关系到信息系统的整体安全,因此对整个系统的安全保密性至关重要。然而,当前绝大多数单位的应用系统在设计开发过程中,仅仅考虑到应用需求、系统的性能及技术路线的选择等问题,缺少了应用系统自身的安全性。客户的应用托管在云计算平台,面临着安全与隐私双重风险,主要包括多租户环境下来自云计算服务商和其他用户的未授权访问、隐私保护、内容安全管理、用户认证和身份管理问题[6]。
⑸ 数据安全及备份恢复
在云计算模式下,客户的数据和业务迁移至云服务商的云平台中,数据的处理、存储均在“云端”完成,用户一端只具有较少的计算处理能力,数据的安全性依赖于云平台的安全。如何确保数据远程传输安全、数据集中存储安全以及多租户之间的数据隔离是云计算环境下迫切需要解决的问题。
3 云安全之等级保护测评
参照等级保护测评的要求,结合上述分析,云安全之等级保护测评应重点关注以下方面。
⑴ 数据中心物理与环境安全:用于业务运行和数据处理及存储的物理设备是否位于中国境内,从而避免产生司法管辖权的问题。
⑵ 虚拟网络安全边界访问控制:是否在虚拟网络边界部署访问控制设备,设置有效的访问控制规则,从而控制虚机间的互访。
⑶ 远程访问监控:是否能实时监视云服务远程连接,并在发现未授权访问时,及时采取恰当的防护措施。
⑷ 网络边界安全:是否采取了网络边界安全防护措施,如在整个云计算网络的边界部署安全防护设备等。
⑸ 虚拟机安全:虚拟机之间的是否安全隔离,当租户退出云服务时是否有数据残留,是否存在跨虚拟机的非授权访问等。
⑹ 接口安全:是否采取有效措施确保云计算服务对外接口的安全性。
⑺ 数据安全:多租户间的数据是否安全隔离,远程传输时是否有措施确保数据的完整性和保密性,租户业务或数据进行迁移时是否具有可移植性和互操作性。
4 结束语
云计算因其高效化、集约化和节约化的特点,受到越来越多党政机关、企事业单位的青睐,与此同时云计算带来的风险也是不容忽视的。本文结合云计算的特点分析了云计算模式下现行等级保护测评标准的一些局限性,并提出了云计算下等级保护测评需要特别关注的测评项,对云服务商、租户和测评机构提供借鉴。值得注意的是,租户在进行云迁移之前,首先应确定自身迁移业务的等级,其次是租用的云计算平台等级不能低于业务系统的等级。
参考文献(References):
[1] 尹丽波.美国云计算服务安全审查值得借鉴.中国日报网.
[2] 陈军,薄明霞,王渭清.云安全研究进展及技术解决方案发展
趋势[J].技术广角,2011:50-54
[3] 潘小明,张向阳,沈锡镛,严丹.云计算信息安全测评框架研究[J].
计算机时代,2013.10:22-25
[4] 房晶,吴昊,白松林.云计算的虚拟化安全问题[J].电信科学,
2012.28(4):135-140
[5] 陈文捷,蔡立志.云环境中网络边界安全的等级保护研究[C].
第二届全国信息安全等级保护技术大会会议论文集,2013.
【关键词】 动态加解密 磁盘 数据防护
1 引言
随着信息技术的普及,数据信息资源的交换、共享、使用也变得越发容易,同时也加剧了数据存储保护的安全性问题。目前各类信息数据的存储载体已由纸质介质为主发展到了声、光、电、磁等多种形式共存,且由于信息化建设的快速发展,各种盗窃信息的手段防不胜防,这使得各资料和重要数据被窃取并通过各类途径传播的风险大幅提升。在当下信息泄露事件多发,网络安全形势复杂的情况下,进一步做好数据存储的安全保护工作,刻不容缓,势在必行。
2 现状分析
当今,由于计算机的普遍使用,磁盘自然作为存储各信息数据的首选载体。作为数据的直接载体,磁盘所面临的安全威胁更加严峻。于是,各企事业单位为了保护自身存储的数据安全,也引进了各种安全措施以防止数据泄露,如防火墙、入侵检测系统等安全产品,但采用这些安全措施只能保证不受非授权访问的侵扰,若有心者绕过启动认证流程或将该计算机上的磁盘挂到其它计算机上,即可轻易拷贝其中的数据,由此造成的后果不堪设想。
3 磁盘数据防护思路
因此有必要研究更为有效的磁盘数据防护方法,用以弥补一般计算机系统保密措施的缺陷(只是限制其他用户使用计算机,却无法从根本上防止存储在该计算机上的数据泄密的问题)。基于用户的行为习惯和磁盘数据的存取方式,本文提出一种本地磁盘数据防护方案,以便从数据源头上做好信息安全防护工作。
本方案采用先进的动态加解密技术,基于全盘物理扇区级和文件级的加密方法,结合拦截、获取、加解密、数据存取等机制。基本工作原理是:当用户向对磁盘数据发起读写请求时,启动认证机制,对请求操作进行拦截控制,基于用户名和密码双因子确认用户身份,并基于用户提交的验证物对磁盘数据进行实时加密和解密操作。本方案可保护磁盘中所有数据的存储和使用安全,避免因便携终端或移动设备丢失、存储设备报废和维修所带来的数据泄密风险。
4 与传统防护方法的区别
这种加密方式,表面看来跟传统的访问控制和静态加密手段相似,但其实不然。传统的访问控制只是通过身份授权方式,控制用户通过正规的启动方式进入系统,一旦用户通过其他方式引导系统启动或将磁盘挂靠到其它计算机上,便可轻易读取磁盘上的数据,对于数据的深层防护远远不足。
静态加密技术是指在加密期间,待加密的电子文件处于已存在但未使用状态,操作者通过输入密码、密钥证书或数字签名等方式,对电子文件进行加密。加密文件使用时,需要操作者通过输入密码或密钥证书或数字签名等解密信息,在得到明文后才能使用。该方法无法存在不能实时处理、在面对海量数据需加密时效率不高等缺点。而本文提及的动态加解密技术是在系统内核层自动实现,无需用户的干预,可以拦截到所有的数据读写请求操作,并基于用户提交的验证物,对磁盘进行全盘加解密。加密后的数据对于非法用户都是密文形式,其读取完全依赖于用户设置的密码,为了防止破解,系统不会在磁盘上存储用户的密码,它存储的只是算法运算后的散列值,根据现代密码学的理论可知,通过散列值无法逆推出用户密码。即使其他用户通过修改计算机启动流程,实现了不需输入密码即可继续执行的目的,但由于没有正确的密码,系统会用不正确的密码去解密磁盘数据,在这种情况下,“解密”后的数据只会更混乱(因为用不正确的密码去解密相当于用这个不正确的密码去加密)。
5 实例分析
接下来通过选取磁盘级加密方法,并以向磁盘写数据为例,描述此磁盘数据防护方案的具体工作方式。
计算机在安装该防护系统后,启动时,会加载操作系统程序,即向本地磁盘发出读请求,指向操作系统文件。此时拦截功能模块会拦截该读请求,并提示用户输入密码。输入密码后,获取功能模块将获取用户输入的密码作为验证物并提交给加解密功能模块。
然后,数据存取功能模块从本地磁盘读取未解密的操作系统文件,并交由加密解密模块功能解密。加密解密功能模块对获取模块提交的验证物作单向散列运算,得到散列值,并用该散列值以预设的加密解密策略对未解密的操作系统文件进行解密。若用户输入的密码与最初加密操作系统文件所用密码一致(即散列值一致),则可完整还原操作系统文件,进而成功加载操作系统,实现计算机正常开机;否则,由于密码不一致,还原的操作系统文件为乱码(或不可用),导致无法正常开机。
在计算机正常启动后,用户向磁盘发起写数据请求,同样,拦截功能模块会拦截该写请求,同时获取功能模块以正常启动计算机时用户提供的密码作为验证物提交给加解密模块,而加密解密模块必须对该验证物作单向散列运算,得到散列值,并用该散列值以预设的加密解密策略对需要写入磁盘的未加密文件进行加密。最后,数据存取功能模块向本地磁盘的指定位置写入经由加密解密功能模块加密后的文件,以备后续调用。而该加密数据只有当用户输入的密码正确的情况才能被解密成明文,否则,用户得到的只是被错误密码再次加密后的乱码。
综上,该磁盘级物理扇区加密方法确实更能保护全磁盘数据的读写安全。如果密钥长度达到16个字符以上时,在现有计算机运算速度的条件下,从理论上分析,要想解密被加密后的数据,所需的时间也是以百万年为计数单位。且通过拦截、获取验证码、加密解密、数据存取四个功能模块的系统安全设计,能从数据根源上保证数据安全,切断泄密风险。
6 结语
数据存储方式多样,泄密方式也千变万化。本文浅析了一种磁盘数据防护系统,提出了本地磁盘读写请求的拦截机制、全盘扇区加解密机制,在内核层实时动态对磁盘数据的读取进行加解密,能从数据源头上都提供更为有效的防护措施,使磁盘数据免受侵扰、破坏和外泄。但各单位还需加强身份鉴别、移动介质管理、安全审计、应用控制、检查监管、实时监控等安全防护措施,才能更进一步保证敏感信息和重要数据安全。
参考文献
[1]郑平泰.磁盘数据安全技术与编程实例[M].中国水利水电出版社,2007.
近几年来,电子商务的发展十分迅速,电子商务可以降低成本,增加贸易机会,简化贸易流通过程,提高生产力,改善物流和金流、商品流、信息流的环境与系统。虽然电子商务发展势头很强,但其贸易额所占整个贸易额的比例仍然很低。影响其发展的首要因素是安全问题,网上的交易是一种非面对面交易,因此“交易安全”在电子商务的发展中十分重要。可以说,没有安全就没有电子商务。本文简述了计算机信息网络在企业电子商务中的应用,并对电子商务的内部环境和外部环境进行了深入分析和探讨。
【关键词】
计算机;信息网络;电子商务;作用;机遇;应用;分析
1 计算机网络的安全技术
计算机安全特别是计算机网络安全技术越来越成为能够谋取较高经济效益并具有良好市场发展前景的高新技术及产业。自从计算机网络暴露出安全脆弱问题且受到攻击后,人们就一直在研究计算机网络安全技术,以求把安全漏洞和风险降低到力所能及的限度,因此出现了一批安全技术和产品。
1.1 安全内核技术
人们开始在操作系统的层次上考虑安全性。尝试把系统内核中可能引起安全问题的部分从内核中剔出去。使系统更安全。如So-laris操作系统把静态的口令放在一个隐含文件中,使系统更安全。
1.2 Kerberos系统的鉴别技术。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户。如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。Kerberos系统在分布式计算机环境中得到了广泛的应用,其特点是:安全性高、明性高、扩展性好。
1.3 防火墙技术
防火墙即在被保护网络和因特网之间,或在其他网络之间限制访问的一种部件或一系列部件。
防火墙技术是目前计算机网络中备受关注的安全技术。在目前的防火墙产品的设计与开发中,安全内核、系统、多级过滤、安全服务器和鉴别与加密是其关键所在。防火墙技术主要有数据包过滤、服务器、SOCKS协议、网络反病毒技术等方面组成,共同完成防火墙的功能效应。
2 计算机信息安全技术在电子商务中的应用
随着网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,但电子商务是以计算机网络为基础载体的,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,电子商务的安全性是影响其成败的一个关键因素。
2.1 电子商务含义
电子商务是利用计算机技术、网络技术和远程通信技术实现整个商务过程中的电子化、数字化和网络化。人们不再是面对面的、看着实实在在的货物、靠纸介质单据进行买卖交易,而是通过网络,通过网上琳琅满目的商品信息、完善的物流配送系统和方便安全的资金结算系统进行交易。
整个交易的过程可以分为三个阶段:第一个阶段是信息交流阶段;第二阶段是签定商品合同阶段;第三阶段是按照合同进行商品交接、资金结算阶段。
2.2 电子商务安全隐患
2.2.1 截获传输信息
攻击者可能通过公共电话网、互联网或在电磁波辐射范围内安装接收装置等方式。截取机密信息;或通过对信息长度、流量、流向和通信频度等参数进行分析。获得如用户账号、密码等有用信息。
2.2.2 伪造电子邮件
虚开网上商店。给用户发电子邮件,伪造大量用户的电子邮件,穷尽商家资源,使合法用户不能访问网络。使有严格时间要求的服务不能及时得到响应。
2.2.3 否认已有交易
者事后否认曾发送过某条信息或内容,接收者事后否认曾收到过某条信息或内容;购买者不承认下过订货单;商家不承认卖出过次品等。
2.3 电子商务交易中的一些计算机安全安全技术
针对以上问题现在广泛采用了身份识别技术数据加密技术、数字签名技术和放火墙技术。
2.3.1 身份识别技术
通过电子网络开展电子商务。身份识别问题是一个必须解决的同题。一方面,只有合法用户才可以使用网络资源,所以网络资源管理要求识别用户的身份;另一方面,传统的交易方式,交易双方可以面对面地谈判交涉。很容易识别对方的身份。通过电子网络交易方式。交易双方不见面,并且通过普通的电子传输信息很难确认对方的身份,因此,电子商务中的身份识别问题显得尤为突出。
2.3.2 数据加密技术
加密技术是电子商务中采取的主要安全措施。目前。加密技术分为两类,即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI的缩写,即公开密钥体系技术实施构建完整的加密/签名体系,更有效地解决上述难题,在充分利用互联网实现资源共享的前提下,从真正意义上确保了网上交易与信息传递的安全。
2.3.3 智能化防火墙技术
智能防火墙从技术特征上是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的方法消除了匹配检查所需要的海置计算,高效发现网络行为的特征值,直接进行访问控制。新型智能防火墙自身的安全性较传统的防火墙有很大的提高。在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面,与传统防火墙相比较有质的飞跃。
2.3.4 信息安全技术的应用
由于现有计算机系统之间的网络通信大多采用TCP/IP 协议, 服务器也多为Unix 或Windows 操作系统, 又由于TCP/IP 和Unix 都是以开放性著称的,这就给网络使用带来极大的安全隐患。目前普遍使用的身份认证方式是证书认证方式。具体操作过程是, 首先由第三方建立起由相关部门授权的认证体系, 负责对申请证书的网上用户发放有效的证书, 在网上的其他机构或个人需要对该用户进行身份确认时, 该用户出示其手中的证书给需要对其进行认证的一方认证, 认证方也可以到签发该证书的认证中心对该证书进行认证。每一个证书与一个密钥相对应。
3 中间件技术
电子商务将由Internet/Intranet 技术、传统IT 技术以及具体的业务处理所构成。为了更好的满足需要, 需要以Web 的底层技术为基础, 规划出一个整体的应用框架,并提供一个支持平台, 用于Internet 应用的开发、部署和管理, 并能籍此解决上述各种问题, 这就是中间件技术。电子商务应用服务器、通用业务网关、支付网关、通信平台和安全平台, 统一纳入电子商务中间件构架的范畴。
4 结束语
综上所述,计算机信息技术和互联网使得电子商务成为一种全新的商务模式, 它是由计算机信息技术来支撑。虽然有些技术已经发展到了成熟阶段,但仍然有许多刚发展起来的新技术, 甚至还有许多新技术不断涌现出来。随着技术的成熟和观念的转变,电子商务在未来必将成为主要的商务模式,为众多企业带来新的机遇。
【参考文献】
[1]张贤.电子商务安全问题[J].中国科技信息,2006年03期
[2]李玉海,桂学勤.电子商务安全问题及其解决方案[J].电子商务,2006年12期
[3]张全伙,李蓉蓉.计算机法律、职业道德与安全技术问题的若干思考[J].计算机工程与应用,1996年05期
[4]傅剑波,黄尚勇,丛庆.中小企业电子商务信用问题的解决途径[J].成都大学学报(社会科学版),2006年02期
[5]张昌利,鲍立威,姚志邦.电子商务系统移动POS机的开发与应用[A].过程系统工程2001年会论文集[C],2001年
[6]王天梅,孙宝文.企业电子商务系统的战略规划[A].2001年中国管理科学学术会议论文集[C],2001年
[7]王咸伟,李克东.计算机多媒体与网络技术教育应用
随着科技的不断发展,社会逐渐向信息化方向发展,信息技术也在越来越多的领域中得到应用,农业也不例外。目前,我国农业信息化主要体现在农业科技信息网络系统的设计和构建,这项举措对我国新农村农业的发展起到了很大的促进作用,并能够在很大程度上带动农村经济的发展,提高农民的生活水平。在此,本文将围绕农业科技信息网络系统设计与构建进行简单的探讨。
【关键词】农业信息化 发展现状 设计 构建
我国是一个农业大国,农业的发展对我国的经济的发展有着很大的影响。目前,随着科学技术水平的提高,信息技术已经被应用于农业领域。农业科技信息化,是改造传统农业重要途径,是发展现代农业推动力。但是农业信息化建设的过程中,却仍然存在一系列问题。由于农民的文化素质偏低,对于电脑操作以及网络技术方面的知识缺乏,使得很多科技信息得不到高效利用。此外,互联网本身存在的一些弊端,也在影响着农业信息化的发展,如何解决这些问题,更好进行农业科技信息网络系统设计与构建,是当下急需解决的一个问题。
1 农业科技信息网络系统设计与构建的意义和现状
1.1 设计与构建的意义
我国是一个农业大国,解决“三农”问题一直以来是我国面临的重大挑战。近来来,随着社会信息化和新农村建设,农业也在一定程度上得到了发展,特别是农业的信息化将会对农村农业的发展产生很大的影响。农业信息化,是指通过设计与构建农业科技信息网络系统,促进农业方面的信息交流,为农业发展提供先进的科技知识等。这样一来,可以有效加强农业科研和生产活动的信息沟通,使得农民们对科技支农产生更多的认识。同时,随着农业信息化的发展,农民们以后在家中便可以通过网络与技术人员进行交流,学习各种农业知识。总之,农业科技信息网络系统的设计与构建,对我国新农村农业发展以及全面建设小康社会具有重要意义。
1.2 设计与构建的现状
据相关数据表明,截至2005年,全国97%的地市级和80%以上的县级农业部门建立了农业信息服务机构,发展农村信息员22万人,建成涉农网站17000多个。近年来,这种趋势有增无减,各农业部门相继建立局域网等,为广大农民提供农业科技信息,农业信息化已经发展到如火如荼的地步。此外,随着我国电子办公系统的应用,农业电子政务、商务已在某些地区的农业部门进行试点。
2.构建的主要内容
农业科技信息网络系统设计与构建的主要内容包括局域网与广域网建设、数据库建设、电子管理系统建设、农业信息资源数字化和农业远程培训系统等几个方面。一是局域网和广域网的建设,首先各地的农业部门应该建立该地区的局域网,然后通过网络加强各地区的联系。二是数据库的建设,农业信息化需要有一定的数据资料作为基础,例如近年来的农业成果数据、农业的相关影像资料等。三是电子管理系统的建设,要保证农业信息系统的正常运行,需要有相关的管理部门进行网络管理、信息等工作。四是农业资源数字化,指对我国图书馆农业资资料、农业市场、农业相关法律以及农业生产等技术等方面的资源进行数字化处理。五是农业远程培训系统的建设,通过该系统农民可以与农业技术员、农科院校等部门进行远程联系,可以更加快捷的交流,并获得先进的农业科技知识。
3 农业科技信息网络系统设计与构建
3.1 网络系统结构的设计和构建
网络系统结构的设计和构建是一个很复杂的工程,涉及到设备的选择以及软件的应用等。首先,主干采用高交换量的快速以太网组网模式,网络中心交换机为三层交换机,由交换机、网桥、集线器、服务器、客户机组成星型拓扑结构。其次,系统应用Browser、Intranet、Client等技术,以满足快速处理信息的要求,并且系统应支持Internet直接连接,并满足WWW、Office等服务软件的运行。此外,通讯出口线路可使用宽带专线通过中国公用计算机换联网接入。
3.2 网站和网页的设计
农业科技信息网络系统的设计与构建,必然离不开网站和网页的设计。对用户来说,获取资源的直接途径便是进入网页进行浏览,所以在网站和网页的设计方面相关工作者应该结合用户的需求来进行。首先,网站需要有导航栏,顾名思义,导航栏的作用便是为用户指明方向,方面用户找到自己所需要的信息。例如导航栏可以分为法律法规、专家论坛、名优特产、农业在线等,每个方面可以再设立相应分支。其次,为了便于网站信息资源的管理和维护,对整个网站采用功能模块和数据库结构及数据库技术进行管理,授权用户通过计算机进行网络后台理,实现远程信息的实时添加、更新、删除、修改。此外,可以在网页的下方为用户提供一些和农业有关的网上链接,如联合国粮农组织的世界农业统计资料、中国农业科技信息网、国家统计局及国家专利局信息等,方便用户查阅。
3.3 网络信息资源的建设
网络信息资源需要相关农业部门与图书馆以及一些资源库等单位进行联系,建立丰富的资源库。例如中国农业文献数据库、中国科技论文与引文分析数据库、中国学术会议论文库、中国科技成果库、全国科技成果交易数据库、中国社科报刊篇名库等,用户可以通过网络,在这些数据库中找到自己需要的数据资源。此外,相关单位还应该开展数字图书馆基础建设,馆藏特色资源的网络化、数字化改造,建设馆藏图书和期刊目录数据库等,使农业科技信息资源的结构更趋合理,更好满足不同用户的需求。
3.4 相关安全措施
目前,我国已经逐渐步入信息化社会,但随之而来的一个问题便是信息安全问题。我国网络安全问题是一个严峻的问题,农业科技信息网络系统的安全也很可能受到威胁,因此必须采取相关安全措施进行保护。首先,这需要网站的构建者对系统进行深入研究,尽量减少系统的漏洞;其次,相关部门成立专门的小组进行网站的日常维护和审查工作;此外,还可以对用户进行权限设置,使用户只有在进行相关认证之后才可以获取信息资源。
4 结束语
农业科技信息网络系统的设计与构建,需要各地农业部门结合各地实际的情况进行。目前,我国很多地区在该方面已经取得了很大的发展,在一定程度上推动了我国农业现代化的发展,但是在发展的过程中仍然存在一些问题,这需要我们不断去改进。
参考文献
[1]杜青林.农业信息化是构建现代农业的绿色通道[J].人民论坛,2005(10).
[2]黄振文.农业信息系统的构建[J].农业图书情报学刊,2008(10).
[3]刘善文.基于网络的作物资源共享管理平台研究[J].福建农业学报,2009(4).
关键词:计算机网络安全;防火墙技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)28-0063-02
计算机技术使人们的生活变得更为便利,在一定程度上也改变了人们工作上的方式和结构,在日常生活以及工作之中都对人们产生了极大的影响。如何保障计算机网络的安全性能也是使计算机技术更好地应用于社会中的关键部分,通过本文对计算机网络安全性能以及应对计算机网络不安全成分的防火墙技术地进一步说明和研究,从而为解决计算机技术中存在的问题创造了条件。
1计算机网络安全
所谓计算机网络安全,是指计算机处在开放的网络环境下,需要对计算机的各个部分进行保护,以保证其自身内容不会因某种原因遭到破坏、更改或者泄露,从而使计算机网络系统可以连续、正常、可靠地运行下去。计算机网络安全的内容涵盖了计算机网络所涉及额全部内容,其中包括计算机网络系统中的硬件、软件以及数据信息等等方面,它所要保护的是与计算机技术有关的一切安全问题。
计算机网络安全具有以下几点特征:
1) 保密性:计算机中的信息不可泄露给非授权的用户、实体或过程;
2) 完整性:数据未经过授权不可改变其存在的特性。即信息的储存和使用的过程中不可被人任意修改、破坏或缺失;
3) 可用性:被授权的实体可以享受使用的权利。即用户可在有需要时提取信息数据;
4) 可控性:信息的传播和内容具有一定的控制性;
5) 可审查性:可对出现的安全问题提供一定的依据和手段。
计算机网络安全问题的发生源于网络的开放性、国际性和自由性的特征。互联网是一个开放性的网络环境,网络技术是全开放的,那么网络可能面临的问题也会存在于各个方面,既包括来自网络通信协议的攻击,也有可能来自计算机软件、漏洞的出现。网络具有跨越时间和空间的特性,网络上的用户可以来自于全国各地,甚至世界的每一个角落,所以计算机也有可能会受到互联网上其他国家黑客的干扰和侵害,计算机网络面临着国际上的挑战。互联网是一个高度自由的平台,用户在网络上没有过多的限制和约束,可以自由上网,或接受必要的信息数据,用户具有随意性,有时的信息会带有攻击性的特点,情节严重的话容易造成社会局势的不稳定,对计算机技术带来不好的影响。
影响计算机网络安全的因素来自多个方面,具体包括网络自身、外界因素以及安全评估技术三个方面:
1) 网络自身:网络打破了对人们时间和地域上的局限,方便了人们的交流和沟通,不过,网络自身却存在开放性和虚拟性的特点。开放性会导致用户的信息出现优劣不等的局面,使人真假难以辨认。另外,虚拟性的网络环境难以被人们所控制,容易受到一些不法分子的侵入,最终导致计算机网络受到损害,许多网络操作系统存在漏洞,没有得到及时地处理和解决,更新速度较慢,无法适应网络地飞速发展。
2) 外界因素:网络上经常会出现不同类型的病毒,不易引起人们的察觉,一旦病毒侵入计算机就会对系统内部造成不同程度地损害,轻者会系统出现速度较慢的情况,严重的话计算机会出现死机的现象,无法正常运转。另外,网路黑客会利用自身高超的计算机技术侵入他人电脑,获取对方私密信息,损害计算机系统设备,网络上的一些软件也会带入黑客的病毒,一旦安装到电脑山就会被黑客损害,影响计算机的安全性能。
3) 安全评估技术:进一步加大计算机网络安全的保护力度就必须实施一套完善的安全评估技术。安全评估技术可对计算机进行实时的保护,一旦发现病毒入侵就会及时制止,避免对计算机的损害,从而大大降低了计算机可能被攻击的情况。但现今我国的安全评估技术还不够完善,处在一个相对落后的局势之下,没有为计算机制造一个良好的网络环境。
2防火墙技术
2.1防火墙的功能
防火墙是一种隔离技术,主要依靠软件和硬件在内部网络环境和外部网络环境之间形成相对的保护屏障,为计算机网络阻断可能产生的不安全因素。防火墙在用户同意的情况下可进入到计算机之中,反之则会将其阻挡在外。
防火墙技术具备强大的警报功能,当外部用户需要进入计算机之中,防火墙会发出警报,提醒用户,并寻求用户进行自我判断是否允许外部用户的进入。只要存在于网络环境之中的用户,防火墙可进行一定的查询,并将查到的信息向用户显示出来。用户可根据自身的需要对防火墙进行设置,阻断不允许用户关于计算机的一切行动。
防火墙可以对数据流量进行查看,以及阅读数据信息上传下载的速度如何,从而使用户可对自身的使用情况有一定掌握。计算机内部情况可通过防火墙技术进行必要的查看,也可以进行启动和关闭的程序。系统内部的日志功能就是指防火墙技术对计算机内部系统的安全情况以及每日流量使用情况的总结。
2.2防火墙技术在计算机网络安全中的应用
防火墙技术是对计算机网络进行有效防护的措施之一,同时也是计算机网络得以安全正常运行的关键所在,通过防火墙技术的使用人们可以在一个相对安全的网络环境下使用计算机技术,从而为人们自身的信息数据提供了保障。
2.2.1服务器的应用
服务器可通过开放性的系统互联网会话层对网络系统扮演着者的角色,从而实现信息资源得以共享的功能。服务器在网络系统中具有中转的作用,进一步增强了对网络系统地有效控制,提升了用户自身密码、账号的安全程度,具有一定的防护作用。不过,服务器相对来说对网络运行的质量具有较高的要求,且编程复杂,需要处在一个比较稳定的环境之下才能发挥其真正的价值。
2.2.2过滤技术的使用
防火墙技术可以对信息进行选择,根据数据信息是否具备原先存在的安全注册表,从此来判断所传输的信息是否安全,防火墙技术具有过滤的功能和特点。这种过滤技术既可以使用在计算机的主机上面,同时也可以应用在路由器上,既可以是开放性的,也可以是封闭性的,用户可以根据计算机网络存在的实际情况予以选择,并提供一定的服务设备。不过,这种过滤技术容易受到端口的限制而无法实现对全网的保护,兼容能力较低。
2.2.3复合技术的应用
复合技术是指服务器功能和过滤技术二者的结合,是一种更为稳定、安全的计算机网络安全防护设备。复合技术为二者的有机结合,可以对计算机网络出现的漏洞进行有效地解决,当计算机受到侵害的时候,可以采取多方面的保护方式,提高计算机自身的安全预测和监督能力。
复合技术的防护措施主要包括以下几点:
1) 进行安全认证,提高计算机网络的安全程度;
2) 增强用户的感知能力,出现问题时进行及时报警,保障用户信息安全;
3) 提高计算机网络的交互功能,增强计算机网络的保护能力,进一步提升防护价值。
3 结束语
综上所述,计算机网络在如今社会的使用量十分庞大,且还在处于不断扩大的局势,解决计算机网络安全已经刻不容缓。为提高计算机网络的安全性能,必须加大创新能力,开发出更为先进的防护设备,不断更新防火墙技术的内部系统,从而促进我国计算机网络地进一步发展,提高我国科学技术的水平和质量,增强我国的综合国力。
参考文献:
[1] 张瑞.计算机网络安全及防火墙技术分析[J].电脑知识与技术,2012(24).
