发布时间:2022-08-28 13:11:27
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络安全保障措施样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词 网络通信;信息安全加密处理;身份验证防护墙
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)04-0115-01
在网络和计算机不断出现技术创新和结构进步的背景下,世界进入了信息化发展的时代,当前电子商务、协议数据通讯、电子政务和电子金融等各种网络类服务正在走向成熟,网络通信正在发挥着方便人们生活,加速生产和交换的作用,在网络中如何实现通信信息的安全就显得尤为重要。应该高度重视网络通信信息的安全,立足于对网络通信信息安全的相关问题的实际分析与研究,探寻出有利于网络通信信息安全实现的措施和方法。
1 网络通信信息安全的重要价值
网络通信的方式灵活,具有快速而开放的特点,能够满足互联时代人们生产和生活的各项需求,特别是在当前的社会条件下,网络通信信息更是实现了范围的扩大、交往的加深和作用的提高。伴随网络通信的发展各类安全问题也随之浮出水面,网络中不合理的结构、系统中严重的漏洞可能为黑客和病毒提供可以侵入网络通信系统的机会,不但严重影响网络通信的系统,并且会经常的造成网络通信信息安全问题的出现,进而导致网络通信信息出现错误、删除,进而不能为社会、用户和个人提供安全的网络通信信息,影响了信息时代各方面对信息的强烈需求。因此,社会和行业提出了实现网络通信信息安全的目标,并将网络通信信息安全作为一项最根本的任务来进行不断的改进,并且还希望通过网络通信信息安全来提高通信的质量,为网络通信信息的交换实现保驾护航,进而完成网络通信技术方面人们生活,加速企业生产和提高社会交换的总体目标。
2 网络通信信息安全问题的典型性问题
2.1 网络通信信息结构的安全问题
当前网络通信主要立足于TCP/IP协议,以此来实现网络的数据交换,而这一协议存在结构上的问题,由于这种通信形式属于树状方式,导致网络连接间存在漏洞,而这一漏洞会被黑客和病毒所利用,进而实现了对通信网络的攻击,不但容易造成网络信息的窃听,而且会出现网络信息丢失的问题。
2.2 网络通信软件存在的安全问题
当前网络通信的基础性软件和应用性软件都有开放化和公开化的发展趋势,这会导致软件系统的在源代码方面容易被黑客和不法分子所利用,他们可以通过对软件和系统的攻击达到不法的目的,不但对网络通信信息系统造成严重的影响,而且还容易使网络通信信息出现破坏和丢失。
2.3 对恶意攻击的被动性问题
应该看到,对网络通信信息网络攻击的方法众多,而相当多的攻击属于创新型攻击,为了实现网络通信信息安全,就必须从各方面加大网络通信的防火墙系统建设,通过查缺补漏来完善防火墙系统,建立网络通信信息安全维护工作体系,这样才能够对攻击起到预防的作用。但是不管如何对系统和结构进行建设,都不能改变对恶意攻击被动防御的态势,在管理部门和主要人员没有加强对防火墙系统建设重要性认识的背景下,不法分子恶意攻击的行为极容易引起更大的隐患和问题。
3 实现网络通信信息安全的主要措施
3.1 提高网络通信系统对IP地址的保护能力
对IP地址的保护工作需要从以下几个方面进行:对网络交换机进行严格的控制,整个信息传递的树状网络结构中,交换机是TCP/IP结构的第二层,是信息传递的必经之路,能够有效保护IP地址的安全;对路由器进行隔离控制也是保护用户IP地址的有效方法,对前后的访问地质进行有效监控,预防IP地址受到攻击。
3.2 实现网络通信信息的加密处理
目前网络通信过程中所采用的信息加密技术有多种,主要集中在密码设立和信息加密两个方面,网络维护工作者可以根据实际情况选择合适的信息加密方式。
3.3 完善网络身份验证系统
当前的网络身份验证方法主要是通过建立用户人的姓名和设定自己的安全密码来实现,如果要进行网络相关资源的运用,需要同时具备前面所提到的两者才能获得使用权限。目前的网络资源运用中,这种方法是比较流行的。一般来说,用户名和密码要进行分开保存,以避免丢失或者遗忘。但是,当今社会的网络身份验证中,还有一个称作一次性密码的身份验证方法,这种验证方法也有一定的作用。比如,它可以有效的防止个人数据被盗或被不法分子监测。但是,这种网络身份验证法只能在一定的时间内使用才能够具有其安全性,却不能避免其用户密码被截留或者其它中间环节所攻击;不过,我们也可以采取辅助的身份识别方法来提高网络使用的安全性,如密令牌等,它是由系统的管理员进行发放,具有唯一性和可靠性,它可以和我们传统的网络验证方法配合使用。而不乏有一些较为新兴的身份验证的手段更需要我们关注,比如我们可以结合生物检测的手段,例如,指纹检测系统、掌纹检测系统以及视网膜检测系统等等,它们因难于模仿和伪造,具有较为更高的安全性。
3.4 完善防火墙系统
防火墙系统是指设置在可信任的企业内部网或网络安全域之间的一系列部件的组合。它能够通过监测、限制、更改穿越防火墙的数据流,尽可能地对外部进行屏蔽网络内部的信息、结构和运行状况, 以此来进行实现网络的安全防护。因此,在逻辑上,它可以是一个分离器,一个限制器,也可以是一个分析器,能够有效地监控内部网和Internet之间的任何网络数据活动,很好的保证了内部网络数据的安全,进而来保护我们每个用户个人信息。但是,在使用网络防火墙的过程中一定要增加扫描病毒的各项插件,这样还能够防治某些恶意病毒软件的入侵,如果安装的扫描病毒插件还是不够,还应该创设起一个更好更为完善的防火墙系统,每一次使用网络时都应该对反病毒软件进行不断的数据更新,这样才能很好的保障网络通信安全中的信息安全,防火墙系统既适合个人用户使用,也适合企业网络使用。
4 结束语
简而言之,当前政府、教育、企业、生活对于网络通信信息有着强烈地需要,随着经济和社会的发展这种趋势只能是越来越强烈,这就需要我们在提高网络通信信息质量和裙边网络通信信息安全等方面下功夫。作为从业者应该将网络通信信息安全问题进行分类,有针对性地展开对各类问题的探索,进而形成网络通信信息安全的应对策略和方法,促进安全而健康的通信信息网络的构建。
参考文献
[1]桑亚辉,曹社香.网络通信安全策略研究[J].软件导刊,2012(11).
[2]黄婷婷.网络通信安全分析及其安全防护措施[J].科技传播,2012(15).
[3]吴飞.网络信息安全面临的问题及对策的思考[J].哈尔滨工程大学学报,2011(03).
关键词:云环境 移动视频监控系统 安全性 保障措施
中图分类号:TP391.41;TP277 文献标识码:A 文章编号:1007-9416(2014)05-0203-01
移动视频监控系统具有移动性、实用性以及即时性等诸多优势[1],因而获得了快速发展。在云计算研究不断深入的背景下,基于云环境的移动视频监控系统应运而生,且获得了广泛应用。本文基于后台、网络、前端的安全保障措施进行相关探讨,旨在促进该系统安全性能的提升。
1 总体架构
每一个网络摄像机均可被视作一个云终端。用户经由网络访问目标网络摄像机以得到所需服务。当发生异常时,异常信息将会被捕捉和收集,并提供给网络,后者制定针对性的补丁,然后利用补丁以弥补网络摄像机的不足(如图1)。
2 系统功能
(1)网络摄像机将相关服务于网络上,用户可基于自身需要经由以找到对应的服务。(2)用户访问网络摄像机的过程中,均会记录其相关信息,整理并输送到云数据库中保存起来。当用户再次访问时,系统将会以自动的方式优先显示用户所需服务。 (3)任意网络摄像机均能够满足用户的服务定制需求。(4)某服务发生异常时,将会接收到相关信息并予以数据分析,然后对安全模块进行更新。(5)该系统的安全机制主要涉及三点[2],即后台安全、网络安全、前端安全。
3 系统安全保障措施
3.1 后台安全保障措施
(1)数据安全存储与管理。对于移动视频监控系统而言,数据存储与管理是安全保障工作的核心所在。对系统核心机密数据进行加密处理,然后进行“云”传输或者对磁盘信息进行直接加密,防止个别不法“云”服务商或者用户截取和篡改信息。然而加密有可能导致数据不完整,提高数据的复杂性,同时还会给用户的索引及搜索操作带来一定的难度。所以,有必要对系统中的数据信息予以分门别类,有选择和有目的地予以加密,也可将相关数据存储在私有“云”中。(2)SaaS应用中相关信息存取安全问题。SaaS(软件即服务)属于一种经由因特网提供软件及其服务的模式[3]。用户可通过网络以达成集中存取信息的目的,同时也在某种程度上弱化了自身对于信息的掌控能力,存在一定的安全风险。基于保障用户身份信息和日志数据存取安全的考虑,建议采用如下措施:1)为应对黑客单点攻击问题,可将数据服务器、Web服务器、应用服务器三者有机隔离开来,提高恶意攻击的难度。2)数据服务器属于重中之重,应予以云备份。当数据遭到破坏之后,可借助备份予以修复,确保服务不会因为该类问题而中断。3)对系统绝密信息予以加密存储。当用户需要读取和调用该类数据时,要求系统对用户身份进行认证,并对传输协议进行加密。如此一来,即便数据被窃取,也很难正确读取。
3.2 网络安全保障措施
在网络安全方面,需要重点研究的是视频传输安全。这一类安全威胁主要包括:1)被动攻击:窃听、流量分析。2)主动攻击:数据篡改、中间人攻击、主机欺骗、重放攻击。
对于以上网络安全威胁,当前主要借助SSL及诸多加密算法、消息摘要算法、数字签名等一系列措施的结合应用予以解决。SSL层协议属于应用层和TCP/IP的中间环节,由上层协议传输到该层的信息被加密,然后借助TCP/IP途径传送给目的主机,由TCP/IP传输给SSL层后予以解密,采用客户端、服务器双向认证的做法,对隐私或关键数据进行加密,同时借助数字签名以确保数据具有足够的完整性,构建一个高安全系数的通信通道。最后基于如下方面提供安全服务:1)认证,2)机密性3)完整性。
3.3 前端安全保障措施
(1)身份认证。身份认证是系统针对用户身份进行核对的一个过程,以判断其是否具有访问资格以及使用权限。在身份认证机制中,基于密码的身份认证是最典型、最常用的一种机制。(2)授权。所谓授权指的是,用户身份得到合法确认之后,赋予该用户相应的系统访问权限。授权同样是一个典型的、常用的安全机制。通过授权能够防范非法入侵者对关键信息进行破坏,同时还能够阻止合法用户对非法信息进行访问,从而实现在更近的层次上有效保护信息安全。 (3)审计。所谓审计指的是,将全部用户的行为均有效记录下来,从而便于后期核查。通过审计能够让用户对自己做出的一系列行为负责,不容其抵赖。
4 结语
基于云环境的移动视频监控系统以其诸多优势获得了广泛应用,然而其安全问题也不容忽视。只有基于后台、网络、前端等角度采取相应的安全保障措施,才能降低安全风险,保障其正常运行。
参考文献
[1]陈飞玲,陈湘军,郁建桥等.移动视频监控系统设计[J].电子测量技术,2014,04:109-113.
对CBTC系统车地无线通信安全构成威胁的风险源主要分为无线干扰和恶意攻击2类。
1.1无线干扰目前,对车地无线通信造成干扰的来源主要有:乘客信息系统、商用无线网络、多径效应等[2]。
1)乘客信息系统(PassengerInformationSystem,简为PIS):是一个多媒体咨询、播控与管理的平台,可在多种显示终端上显示多种类型、多信息源、平行、分区、带优先级的信息。其中,既包括数据量小的文本信息,也包括数据量大的媒体文件信息。目前,PIS主要采用IEEE802.11a/g/n标准的WLAN进行传输,并且和信号系统的WLAN使用了相同的频段,从而可能对CBTC系统的车地无线通信造成同频干扰。
2)商用无线网络:3G网络的普及使得人们可以随时随地自组WiFi无线网络。这些无线网络的信道是可变的,并很有可能会同城市轨道交通信号系统WLAN处于同一信道而造成干扰。乘客自组的WiFi无线网络的频段如果与CBTC系统车地通信频段相同,就很容易造成无线干扰而影响信号系统的正常工作。
3)多径效应:无线信号是沿着直线传播的,但是在隧道和城市高楼林立的环境中,信号会经过建筑物的反射和衍射再到达接收端。这样,接收端收到的信号就可能包括直线传播的信号和经过若干次反射和衍射后的信号,这些信号因为传播路径的不一致而先后到达接收端,这就造成了多径效应。多径效应的存在使得信号不稳定并且可能会出现数据错误,因而对车地通信安全造成影响。
1.2安全攻击黑客、等对城市轨道交通的恶意攻击,不仅可能造成运营中断,甚至还可能通过发送错误指令等方式造成列车相撞或者远程控制列车。因此,轨道交通CBTC系统必须对网络安全攻击进行防护。网络安全攻击一般可以分为如下5种类型[1]。
1)被动攻击:包括流量分析、对无防护通信进行监视、对弱加密的通信进行解码、验证信息捕获等。被动攻击可以在用户不知情的情况下被攻击者获取信息或数据文件。
2)主动攻击:包括绕开或破坏安全防线、植入恶意代码、窃取或修改信息等。主动攻击可以导致数据文件的泄露或传播,拒绝服务或数据修改。
3)物理接入攻击:未授权人员物理上接近网络、系统或设备,目的是修改、搜集或拒绝访问信息。物理上的接近可以是秘密的,也可以是公开的。
4)内部人员攻击:可分为恶意和非恶意的攻击2种。恶意攻击是指内部人员有意地偷听、窃取或破坏信息,欺诈性地使用信息或者拒绝其他授权用户访问信息;非恶意攻击通常是由于不小心、缺乏相关知识等原因而绕开安全防护。
5)分发攻击:这是集中在软、硬件工厂或分发中对软、硬件做出恶意修改。这种攻击可能是向产品中引入恶意代码。例如,为了在以后对信息或者系统功能进行未授权访问所留的后门程序等。
2城市轨道交通安全保障的研发目标与措施
2.1安全保障研发目标针对当前城市轨道交通存在的信息安全隐患,以及城市轨道交通CBTC系统信息安全的新需求,应结合既有CBTC系统,开发适合当前城市轨道交通使用的CBTC系统数据加解密设备、专用防火墙、网络攻击检测、安全车地无线通信设备等。应搭建信息安全管控平台,通过技术和管理手段相结合,以有效避免城市轨道交通信息安全事故的发生。其核心技术的研发目标如下:
1)项目研发应具有实用性:相关技术的研究以城市轨道交通控制和调度系统应用为基础,相关技术的应用不能影响信息的正常传输。
2)保证控制与调度信息的安全性:应保证通信网络中数据不受到非法监听、截获及篡改,所研究的信息安全技术能够保证传输数据的唯一性和真实性。
3)实现通信网络的智能检测:采用CS(客户端—服务端)工作结构,全面实现对通信网络工作状态的监控和对网络攻击的定位;自动实现通信网络健壮性的检测,并提供相关报警和日志记录。
4)建立身份认证管理机制:应实施客户端身份认证管理和无线设备接入认证密钥多样化管理。
2.2安全保障措施安全保障措施包括行政措施和技术措施。行政措施包括制订信息安全和网络安全的管控措施、对网络设备的投标和使用加强审查和控制等。以下列举在实际应用中可使用的车地无线通信安全保障的技术措施。
1)数据加解密设备。车地无线通信运用的是基于SMS4密码的加解密技术。SMS4GM/T0002—2012《SM4分组密码算法》是国家密码管理局批准的。该算法是一个分组算法,分组长度为128bit,密钥长度为128bit。加密算法与密钥扩展算法都采用32轮非线性迭代结构。
2)无线接入认证管理机制。该无线接入认证方式是叠加在既有控制系统的无线通信之上,且对控制系统的无线传输性能无影响。应接入认证密钥的动态管理,采用多种密钥更新方式。采用“工作站—服务器”模式,可实现各子系统、多条线路的接入认证管理。
3)网络攻击检测和报警。针对轨道交通列车控制与调度系统的特点,采用专用的网络攻击检测和报警系统,实现控制系统传输网络边界的自动识别。
4)网络隔离系统。在保持内外网络有效隔离的基础上,实现两网间安全、受控的数据交换。主要为用户提供了一种在物理隔离的内外网之间(或高低密级网络之间)安全地将外部信息(或低密级信息)通过以太网单向导入到内部网络(或高密级网络)的解决方案。
5)主机审计系统。主要用于监控和审计计算机的数据输入/输出接口、设备以及被控端用户的敏感行为,从而加强轨道交通列车控制与调度指挥系统的管理,以达到有效地预防失密、泄密事件发生的目的。本系统为铁路机构提供了方便、准确、快捷的终端用户安全管理手段。
6)主机加固技术。主要是提供主机的安全配置等设置的检查,根据安全配置是否符合相应的安全要求,提出供主机加固的建议。
7)定义封闭系统。封闭系统是不对大家都可以访问的默认SSID(ServiceSetIdentifier,服务网络标识符)进行响应的系统,也不会向客户端广播SSID,即取消了SSID自动播放功能。封闭系统可以防止其它WLAN设备搜索无线信号,从而禁止非授权访问。
8)MAC地址过滤。MAC(MediaAccessControl,媒体访问控制)地址仅标识1台无线网络设备,不存在2块具有相同MAC地址的网卡。MAC地址过滤可以起到阻止非信任硬件访问的作用。
9)WPA2加密和动态密钥。WPA2(WiFiProtectedAccess,WiFi保护接入)中采用AES(AdvancedEncryptionStandard,高级加密标准)加密,其算法不能破解,再结合动态密钥,保证了信息传输的安全性。WPA2的PSK(Pre-sharedKey,预共享式保护访问)认证中,每台车载无线设备都需要1个密钥才能接入无线网络,且这个密钥设置很复杂,能确保信息安全。
3结语
信息安全时代,大数据平台承载了巨大数据资源,必然成为黑客组织、各类敌对势力网络攻击的重要目标。因此,大数据时代的网络安全问题,将是所有大数据利用的前提条件。与此同时,我们也可以利用大数据技术来提升我国网络安全技术水平,在保障国家网络空间安全方面发挥作用。
大数据时代
网络安全的主要威胁
大数据时代,我国网络安全面临着多重安全威胁。
首先,网络基础设施及基础软硬件系统受制于人。大数据平台依托于互联网面向政府、企业及广大公众提供服务,但我国互联网从基础设施层面即已存在不可控因素。
另外,我国对大数据平台的基础软硬件系统也未完全实现自主控制。在能源、金融、电信等重要信息系统的核心软硬件实施上,服务器、数据库等相关产品皆由国外企业占据市场垄断地位。
其次,网站及应用漏洞、后门层出不穷。据我国安全企业网站安全检测服务统计,我国高达60%的网站存在安全漏洞和后门。可以说,网站及应用系统的漏洞是大数据平台面临的最大威胁之一。而我国的各类大数据行业应用,广泛采用了各种第三方数据库、中间件,但此类系统的安全状况不容乐观,广泛存在漏洞。更为堪忧的是,各类网站漏洞修复的情况难以令人满意。
第三,系统问题之外,网络攻击手段更加丰富。其中,终端恶意软件、恶意代码是黑客或敌对势力攻击大数据平台、窃取数据的主要手段之一。目前网络攻击越来越多地是从终端发起的,终端渗透攻击也已成为国家间网络战的主要方式。另外,针对大数据平台的高级持续性威胁(简称APT)攻击非常常见。APT攻击非常具有破坏性,是未来网络战的主要手段,也是对我国网络空间安全危害最大的一种攻击方式。近年来,具备国家和组织背景的APT攻击日益增多,毫无疑问,大数据平台也将成为APT攻击的主要目标。
以大数据技术
对抗大数据平台安全威胁
由上述分析可知,针对大数据平台这种重要目标的网络攻击,其技术手段的先进性、复杂度、隐蔽性和持续性,以及背后的支持力量,都已超出了传统网络安全技术的应对能力。全球网络安全行业都在研究探讨应对这种高级威胁的新型技术体系,大数据技术成为其中重要的方面。包括360公司在内的互联网安全企业,已经在利用大数据技术提供各种网络安全服务,为提升大数据平台的安全保障,增强国家网络安全空间的安全防卫能力提供有力的支持。
利用大数据技术应对DNS安全威胁,积极推动基础软硬件自主控制。以DNS为例,作为互联网基础设施,我国首先应积极争取获得域名服务器的运营管理权,构筑完整的安全防范体系。另外,我们应该积极利用大数据技术,研发高性能、抗攻击的安全DNS系统。依托大数据技术建立DNS应急灾备系统,缓存全球DNS系统的各级数据。同时还可以利用DNS解析的大数据来分析网络攻击。
尽管在国家推动和产业参与下,我国在自主可控的基础软硬件产品的研发方面取得了一定成效。但由于我国在该领域起步较晚,在大数据时代,以操作系统等基础软硬件的国产化和自主知识产权化,仍然需要政府的推动、企业的投入和科研院校的参与,更有必要依托大数据技术实现研发数据的共享。
利用大数据技术防护网站攻击,定位攻击来源。一方面,开发并优化网站卫士服务。我国安全公司已针对网站漏洞、后门等威胁推出了相应的网站安全卫士服务,能够利用大数据平台资源,帮助网站实现针对各类应用层入侵、DDoS/CC流量型攻击、DNS攻击的安全防护,同时向网站提供加速、缓存、数据分析等功能。同时通过对海量日志大数据的分析,可以挖掘发现大量新的网站攻击特征、网站漏洞等。另一方面,通过对日志大数据进行分析,还能进一步帮助我们溯源定位网站攻击的来源、获取黑客信息,为公安部门提供有价值的线索。
利用大数据技术防范终端恶意软件和特种木马、检测和防御APT攻击。基于大数据和云计算技术实现的云安全系统,可以为防范终端特种木马攻击起到有力的支持。目前我国的安全公司已经在为有关部门提供支持,利用其云安全系统的大数据资源,帮助有关部门分析定位终端特种木马的分布、感染的目标终端,以及分析同源的特种木马,为有关部门工作提供了有力的支持。
为了对抗APT攻击,我们可以采用大数据分析技术研发APT攻击检测和防御产品。此类产品可以在大时间窗口下对企业内部网络进行全流量镜像侦听,对所有网络访问请求实现大数据存储,并对企业内部网络访问行为进行建模、关联分析及可视化,自动发现异常的网络访问请求行为,溯源并定位APT攻击过程。
另外,我国还应建立国家级APT防护联动平台。当前, 我国重要信息系统具有相互隔离、孤立的特点,针对APT攻击难以形成关联协同、综合防御的效应,容易被各个击破。因此,在重要信息系统单位部署APT攻击检测产品的基础上,非常有必要建立国家级的APT防护联动平台,汇聚不同政府部门、重要信息系统中部署的APT防护产品所检测的安全事件及攻击行为数据,对其进行大数据分析挖掘,从而形成国家级针对APT攻击的全面侦测、防护能力。
大数据时代网络安全的建议
鉴于大数据资源在国家安全方面的战略价值,除在基础软硬件设施建设、网络攻击监测、防护等方面努力之外,针对国内大数据服务及大数据应用方面还有如下建议。
对重要大数据应用或服务进行国家网络安全审查。对于涉及国计民生、政府执政的重要大数据应用或服务,应纳入国家网络安全审查的范畴,尽快制定明确的安全评估规范,确保这些大数据平台具备严格可靠的安全保障措施。
合理约束敏感和重要部门对社交网络工具的使用。政府部门、央企及重要信息系统单位,应避免、限制使用社交网络工具作为日常办公的通信工具,并做到办公用移动终端和个人移动终端的隔离,以防止国家重要和机密信息的泄露。
敏感和重要部门应谨慎使用第三方云计算服务。云计算服务是大数据的主要载体,越来越多的政府部门、企事业单位将电子政务、企业业务系统建立在第三方云计算平台上。但由于安全意识不够、安全专业技术力量缺乏、安全保障措施不到位,第三方云计算平台自身的安全性往往无法保证。因此,政府、央企及重要信息系统单位,应谨慎使用第三方云服务,避免使用公共云服务。同时国家应尽快出台云服务安全评估检测的相关规范和标准。
严格监管、限制境外机构实施数据的跨境流动。对于境外机构在国内提供涉及大数据的应用或服务,应对其进行更为严格的网络安全审核,确保其数据存储于境内的服务器,严格限制数据的跨境流动。
随着我国档案信息化建设工作已日渐深入,加强档案信息安全保障体系的建设尤为重要。档案信息安全保障体系,简单来讲,就是在档案信息系统的整个生命周期内,从技术、管理和标准法规等多方面,以积极防御、适度安全和动态保障为安全保护原则,保障档案信息安全的保密性、完整性、可用性、真实性、可核查性、抗抵赖性和可控性属性,并保障系统安全的持续性的体系。档案信息安全保障体系建设,是目前档案信息化建设中的重要工作,全国上下都高度重视,也在不断探索有效的构建方法,并加以规范和推广。但是,在档案信息安全保障体系建设中还存在一些不容忽视的问题。一是档案信息化的有关法律、法规和制度不够健全。目前,我国在档案信息化建设过程中还没有专门的法律、法规来对档案信息化建设进行保护,仅仅依靠通用的计算机法律、法规来维护档案信息化建设的安全。这对那些刻意攻击、窃取、毁坏档案信息的破坏分子来说实在是微不足道,一旦他们得逞,势必给我国的档案事业发展造成不可估量的损失。二是档案信息化网络建设中信息安全技术应用不够全面。我国的档案信息化网络建设目前处于内网、专网和外网同时使用阶段,随着信息技术的不断发展,信息竞争、黑客攻击等人为恶意破坏因素的存在,档案信息化网络建设中信息安全技术应用不够全面,使得档案信息系统变得非常脆弱,易受来自各方面的攻击。三是各级档案部门的安全管理体制不够完善。有资料表明,大部分的计算机安全保密问题来自其系统内部,世界上70%信息被盗和泄密来自于内部,这主要是因为人员麻痹和安全管理体制不完善所造成的。四是缺乏法律与制度支持。档案信息化安全保障体系建设并非是一个单纯的技术层面的问题,它还涉及到管理、意识和国家法律等各个层面,因此,档案信息安全其实是一个综合性的问题,各个环节紧密衔接在一起。使用相关安全产品的同时,应在组织与制度上采用相应措施加以完善。因此,需要从理论上进一步加强研究,切实为档案信息安全保障体系建设提供坚实的思想保障,进一步健全档案信息安全保障体系。
二、加强行政执法,为档案安全保障体系提供法制保障
《档案法》颁布实施以来,使档案事业有法可依,并有力地促进了档案事业的发展。但是,目前的档案执法还处于初级阶段,还存在着一些亟待解决的问题。有的档案部门领导和工作人员缺乏对依法治档、依法行政重要性和必要性的认识;一些单位重视业务指导,忽视依法监管,在贯彻实施《档案法》过程中,还带有主观片面性和随意性,未获得人们所期望达到的效果。这就要求档案行政管理部门进一步建立健全档案执法监督制度,强化执法监督职能。一要从思想上入手,巩固提高依法治档、依法行政观念。档案行政管理部门是代表各级政府主管本地档案事业的部门,也是《档案法》所确定的档案行政执法主体和监督机构,这也使得管理档案事业有了法律的保障。我们的各级档案工作者特别是领导干部首先要带头认真学习档案法律、法规,做到知法、懂法、守法,并严格执法,带头依法办事、依法行政。《档案法》和《档案法实施办法》规定了档案部门是行政执法部门,要履行法律法规赋予档案部门的这一职能,应强化执法意识。二要从立法入手,完善档案法规体系。在建立社会主义市场经济体制过程中,真正做到执法机构依法行政,全体公民自觉守法,尚有待于法律体系的不断完善,而档案执法监督必须有完善的监督法律体系作为依据,健全完善操作性强的法律规章和相关监督条例,强化制约功能,是亟待解决的重要任务,各级地方人大、政府应依照《档案法》结合本地区实际,制定出配套性、实用性、可操作性较强的法规、规章文件,依法明确档案执法监督的形式、程序和手段,从而能够实行科学、合理、有效的监督,确保档案工作方针和法律法规的得以贯彻实施。三要从规范档案行政执法入手,加强档案监督制约机制的建设。在加强内部监督制约机制上,将档案工作列入本单位的目标管理责任制中,考核指标主要由贯彻《档案法》、档案业务等方面组成,定期对档案工作进行检查,以引起部门的高度重视,加大对档案依法管理工作的监督力度,确保机关档案的安全性;在加强外部监督制约机制上,与外部档案行政执法检查部门加强联系,通过行政执法部门对档案工作的指导和专业性的检查,对不规范或不符合要求的地方及时进行整改,以促进机关档案工作依法管理。通过外部监督,强化机关档案工作的法制建设。
三、加强制度建设,为档案安全保障体系提供机制保障
1.建立组织保障体系。档案安全保障体系建设需要有人来计划、设计和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级档案部门领导要高度重视,并积极实施有关档案系统安全方面的各项措施;另一方面,让工作人员和用户对网络安全性要有深入地了解,使他们积极地自觉地遵守各项信息系统安全制度和措施,防患于未然,就能降低档案网络信息系统的安全风险。档案信息以及档案工作者头脑中的包括直觉知识、阅历、情感等进行综合、概括、提炼的知识。档案信息专家能够充分使用认知、自然、情感和行为各个组成部分,在显性信息服务向隐性知识服务转变的过程中发挥重要作用。所以,一个高水平的档案馆必须重视档案信息专家的引进和培养,必须注重发挥档案信息专家的作用。业务工作者也是掌握多项技能的复合型人才,要求机构中的每位员工都把信息化和档案业务作为同等重要的基础性工作来开展。2.建立制度保障体系。建立有效的管理制度是保障档案信息安全的关键。规范档案管理、保障档案信息安全的永久性措施应该是建立程序化、制度化管理模式并严格执行、落实到位。这同样需要分别制定相应的政策与规范,并采取必要的措施强化落实,做到制度正确,落实见效。要积极争取上级有关部门的政策支持,根据档案部门的实际情况,参考《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国档案法》、《中华人民共和国保密法》等法律、法规,制定出适合档案部门的规章制度,以此约束所有用户、系统管理员以及其他成员,保证档案信息系统安全、可靠地正常运行。由于网络设备和系统软件本身存在一定的缺陷,再加上从事黑客的个人或组织技术在不断升级,所以,档案信息系统没有绝对的安全,只有相对的安全。档案信息化安全保障体系是一个动态的概念,面对档案信息系统安全的诸多问题,必须时刻警惕,运用多种手段,不断在技术上更新,管理体制上完善,人员素质和管理理念上紧跟网络发展的步伐。只有时刻从档案数据安全的方方面面出发,点滴不漏,常抓不懈,才能建立起完善的档案信息安全保障体系,确保档案信息系统的安全,保证档案信息化建设顺利进行。
四、加强设施建设,为档案安全保障体系提供物质保障
一是加强档案库房建设。为了档案工作的可持续发展,我们必须做好档案实体的保护工作。因此,在档案库房与门窗的设计、防火材料、消防系统、库房温湿度、技术与管理方面,需要进一步加大投入。库房是保管档案的场所,档案库房多数是在机关办公大楼上的,客观上不具备建档案库房的条件。在这样的情况下,首先要考虑档案库房的承重问题。一般作为档案库房,钢筋的密度要大,数量要多,型号要粗。预防火灾对机关档案实体安全来说是头等大事。随着科学技术的发展,建筑材料、各种电器设备的种类日益增多,档案库房引起火灾的危险性可能性进一步增大。火灾是当今档案部门的头号灾害,为预防火灾,档案库房门口,必须配备消防器材,如手提灭器或手推移动灭火器等。档案库房要做好防火防潮的处理,保存的各种载体的档案对温湿度都有严格的要求,在技术参数范围内,档案能够长久的保存。反之,温湿度过高过低,都会影响档案的寿命。门窗要严格按国家档案局要求安装。作为档案实体安全的装具,我们仍然要求采用可移动铁皮柜和不可移动密集架,它具有防火、防鼠功能。档案盒作为贴身装具,制作档案盒的牛皮纸要做去酸处理,这样做,有利于档案实体安全的保护。二是加强档案数字化建设。在系统硬件设备方面,要做到:第一,内外网隔离。根据有关安全保密部门的网络安全规定,的计算机信息系统,不得直接或间接与国际互联网或其它公共信息网互相连接,必须实行隔离。因此,对档案部门的内部网络和国际互联网,要严格地进行隔离,防止不宜公开的内部档案信息通过网络连接泄露到外部公众网。第二,将内部网络划分成若干个安全级别不同的子网,实现内部一个网段与另一个网段的隔离。这样,就能防止某一个网段的安全问题在整个网络传播,限制局部网络安全问题对全局网络安全造成的影响。第三,每个厂家的设备有它独特的优点也有它不可克服的致命弱点,因此在选用档案网络设备时,尽量选用不同厂家不同型号的设备,做到优势互补,封堵网络漏洞,增强系统的安全性能。
五、加强技术建设,为档案安全保障体系提供安全保障
网络、计算机、存储器和信息系统是数字化档案信息生存的基础,也是引发安全问题的风险基地。黑客攻击、病毒蔓延、信息窃取、技术落后、制度不健全、管理不规范、措施不到位、治理不及时是产生不安全因素的根源,其中有客观的因素,也有主观的原因。因此,加强对客观侵害行为的防范,对主管漏洞的治理,对安全事故的补救是保障网络畅通、系统稳定、数据安全的重要措施。只有网络和系统安全了,数字化档案信息的安全才能得以保障。建立技术保障体系是提高网络和系统免疫力的重要措施。1.保障网络安全:防火墙和入侵检测技术是常用的保障网络安全的两种手段,入侵检测技术侧重于监测、监控和预警,而防火墙则在内外网之间的访问控制领域具有明显的优势、功能强大,效果明显。面对网络攻击手段复杂度的不断提高及融合能力的逐渐加强,要在网络层采取安全技术的应用和安全产品的联动启用措施,全面提高网络的综合防范能力。2.保障系统安全:加强升级服务,做到无漏洞运行。目前各操作系统的开发商已经开通了专业通道,提供升级服务的补丁程序下载、安装和检测服务,而且大多是免费的,因此,能否做到系统的无漏洞运行,关键在于人们是否使用正版软件,增强了安全意识并做到及时升级,及时打补丁,,保障每台客户端的无漏洞运行。3.保障档案信息系统的安全:要做好系统用户的安全管理,不给偷窃者以机会。
目前,保障合法用户的做法是采取强身份认证、加密和防密码偷窃等技术,并保证内部安全管理制度和措施的有效性实施与落实。4.保障档案数据的安全:实行隔离、加密、备份等措施。安全管理的最终目的就是保障网络上传输的、系统中存储的、用户访问到的档案数据和信息是真实、完整和有效的,并保障系统操作者能够方便地访问自身权限范围内的数据,杜绝无权用户进入系统,因此数据加密、硬盘加密、文件系统加密,增加系统存储的复杂性等都成为保障数据安全的有效措施。5.病毒防范:建立网络化的病毒防范体系,实现病毒库的同步升级几乎有网络和计算机存在的地方,病毒都会伴随。每台计算机上都应安装防病毒软件系统,并及时更新病毒库,而对于网络环境下的一个组织而言,病毒杀不尽的原因则是网络上至少有一台机器有病毒,并在网上扩散传播,因此购买网络版的防病毒软件,建立网络化的病毒防范体系,实现病毒库的统一管理,同步升级,是防范病毒侵害数字化档案信息的有效措施之一。同时,加强对病毒知识的学习,提高机构中每位员工的主动防范意识和警惕性也是非常重要的保障措施。
关键词:网络安全;多源传感器;数据融合技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)26-0056-02
在网络普及的今天,网络安全尤为重要,现在市场上已经出现了多种网络安全保障系统和工具,比如杀毒软件、防火墙、入侵检测工具等,但是这些安全保障工具只能针对网络安全的单一的问题进行防范,无法从整体对网络安全进行高效的保障。而多源传感数据融合技术可以将对信息进行综合性的分析和处理,可以很好地解决单源传感器所具有的局限性。由此我们可以对网络安全中多源传感器数据融合技术进行深入的分析和研究,为了更好的保障网络的安全,为网络用户提供了一个安全的网络环境。
1多源传感器数据融合的基本原理
多源传感器数据融合属于一项人类同其他生物系统普遍具有的功能。人类本能对身体的各项器官检测来的信息同已经验证的知识融合的能力,由此合理的估计周围环境以及事件。多源传感器数据融合基本原理同人脑进行信息处理的流程是相似的,合理地支配和运用多项传感器以及由传感器获得各项信息,根据一定的规则对其空间以及时间上的冗余以及互补加以综合,由此获取被测对象的统一的描述,使得这一系统获得的较之构成部分组成的系统具有更强的性能。详细地讲,多源传感器融合基本原理如下:
1)多想类型不同的传感器取得目标数据;
2)提出输出数据特点,由此取得特征矢量;
3)模式识别特征矢量,对各个传感器目标属性说明工作;
4)根据同一目标对各个传感器的目标属性说明信息予以分组,也就是关联;
5)通过融合算法合成各个目标对应的传感器数据,获得这一目标统一的描述和解释。
因为被测对象很多都是特点存在差异的非电量,比如灰度、色彩、温度等,所以首先需要将转化为电信号,而多源传感器的应用是为了进行信号检测。
2 多源传感器数据融合特点
在各个系统中,依靠单一的传感器是难以实现对环境、目标的识别以及控制目标。如果对各个传感器获得的信息进行单独的分析处理,一方面会是信息处理工作量进一步增加,另一方面业使传感器信息间的联系被割裂,严重地浪费了信息资源[1]。所以,应当综合多源传感器进行处理,这也就是数据融合,由此可以获得更加可靠、稳定的分析结论,系统可以更加完美的完成相关操作任务。总的来说,多源传感器数据融合具有以下几项主要的特点:1)环境描述能力得到了增强;2)系统的辨识以及运行能力得到了显著提升;3)系统自身的容错能力以及可靠性均得以显著提高;4)观测范围得到了时间和空间上的拓展;5)信息的可信度得以增强,同时系统成本得以降低[2]。
3网络安全中多源传感器数据融合技术应用现状
在网络安全保障过程中,数据融合技术通常是在分布式入侵检测系统(Ditributed Intrusion Detection System,DIDS)以及网络安全形态感知系统(NetworkSecurity Situa-tion Awareness,NSSA)中使用【3】。势态感知最早出现在航天飞行人为因素的研究中。在军事战场、核反应控制、空中交通管制等多个领域的同样也存在非常广泛的研究。势态感知指的是在特定时空条件下,对环境因素的采集、了解和对未来情况的预测【4】。Bass T认为DIDS指的是在层次化模式下进行多源传感器数据融合的问题,同时引入JDL融合处理模型,将势态感知引进网络安全中来,进而设计出了在多源传感器数据融合基础上的网络态势感知系统模型框架,这也叫做网络安全势态感知(NSSA)[5]。
我国对于NSSA的研究相对较晚,近几年的研究取得了较为显著的成就,是现阶段网络管理以及安全领域重要的研究课题。NSSA和DIDS二者存在诸多的不同之处,更多地反映在数据来源和系统功能存在差异。DIDS是在网络中部署入侵检测Agent,进而利用入侵检测Agent来取得各项网络信息,同时采取综合性分析,由此对被监控网络进行有效的检测,查看其中是否存在任何攻击行为,从而确保网络预计主体的安全。而NSSA则是运用多项安全系统(杀毒软件、防火墙、系统审计日志)等形成数据结果以及Netflow采集的网络信息以及性能指标等数据,进而计算出网络当前的安全势态,并及时向网络管理员传递网络势态同时提交相关数据等,为确保网络运行正常提供数据参考,其中涉及DIDS的功能。此外,NSSA还具备可预测性以及可评价性,现阶段更多单位进一步加强对网络安全势态预警系统的研究。
4 网络安全中多源传感器数据融合技术
4.1提高时间分辨率的多源数据融合技术
在时间基础上的数据融合指的是针对单一或多项数据源获得的数据实施融合,在网络安全保障中对应相关的网络安全事件。时间基础上的数据融合必须预先针对需要检测的攻击及其意图建模,比如攻击图建模;进而给模型中各个节点对应的攻击事件进行赋值。最后,通过贝叶斯推理、加权决策法等方法实施融合决策。贝叶斯推理主要的是概率论基础上的贝叶斯订立,必须预先提出先验和条件概率。D-S证据理论用辨识框架表示的是构成假设空间相关元素的集合,其中各个元素对应的要求互相之间排斥,同时在基础上定义一个分配函数概念。有框架中任何一个元素概念赋值,由此可以获得相应的信任函数(Bel)以及似真度函数(BPA),简称为PI,通过Bel以及BPA可以获得这一命题的信任度空间。而后,通过Dempster合成原则融合多项似真度函数。
Liu Mixia通过D-S证据理论针对DARPA数据统一DDoS攻击对应的5个环节信息实施融合决策。其一,定义一个辨识框架= {Normal, Probe, u2r(user to root),r2l(remote to local),DoS, Uncertain};进而针对各个事件采用合适的BPA,针对相关命题配置相应的概率值,同时根据合成规则针对到来的事件采取融合决策;最后取得各个命题对应的最终概率值。伴随事件的不断来临,命题的不确定性也会渐渐降低,判断也会更加准确,由此结合判断结果获得网络安全势态信息。
韦勇在D-S证据理论的指导下有效融合检测和预知日志集合,同时根据漏洞信息获得攻击成功支持力等信息,最终通过加权决策法获得节点势态。
4.2 拓展空间的多源数据融合技术
在空间基础上的数据融合主要是指针对网络中各个部位的传感器形成的安全信息加以融合。因为每个不同传感器其相应的功能存在差异,侧重点也具有一定的差异,所以在空间基础上的数据融合可以将各个数据源的互补性以及冗余性进行很好的利用,得到较之单一数据源更加可靠、更加全面、更加准确的信息,由此进行更为正确的判断。在网络中装置的功能、类型各异的Agent,比如防火墙、入侵检测系统、杀毒软件等,单独进行数据收集以及分析活动。而后不仅能够运用集中式融合结构,将各个Agent采集的数据集中发送至数据融合中心加以融合,同时也可以通过分布式融合结构,使Agent之间自行进行互通互信,由此取得相应的数据同时采取融合决策,对入侵行为进行判断等。
为了实现Agent之间的互通互信,彼此之间进行信息的交流,必须统一信息表达格式及其数据交换安全协议。在此过程中,最为著名有公共入侵规范语言(Common Intrusion Specif-ication Language,CISL),入侵检测交互协议(Intrusion Detection Exchange Protocol, IDXP) 、入侵检测消息交互格式(Intrusion DetecionMessage Exchange Format, IDMEF)等。
在空间基础上的数据融合技术通常运用神经网络、贝叶斯推理、SVM、D-S证据理论等计算方法。SVM以及神经网络等融合算法需要预先从多源传感器所形成的数据进行特征的提取,同时构成独立的特征向量,由此将其键入模式识别过程中分类识别。
RST主要是指基于分类而建立的,将分类看作在一定空间条件下的等价关系,进而组成了对这一空间进行划分。其重要的思想在于通过已知的知识库来对不确定或不精准的知识进行近似的刻画。
王慧强等人指出在多源传感器数据融合基础上构建网络势态感知模型,通过神经网络以及SVM等算法针对Snort以及Netflow传感器形成的信息进行特征向量的提取,之后采取特征降维,进而实施融合分类,最终通过分类结果得出相应的网络安全势态信息。
Siaterlis在D-S证据理论的指导下设计检测DoS攻击模型,需要预先定义辨识框架,通过Snort插件取得报文输入与输出之间的比重、通过Cisco对应的Netflow以及SNMP协议采集网络流量信息,而后针对取得的两种信息采用合适的BPA,然后对两个BPA实施融合,由此获得最终的融合决策数据。这一模型促进对DoS攻击检测效率的显著提升,使其报误率大大降低。
Zhuo Ying等人将JDL数据融合模型以及Endsley态势感知模型进行有机结合,集中了数据融合挖掘技术,通过RST科学的评估网络安全势态。
5 结束语
综上,数据融合并非独立的技术,而是一项跨多学科的综合性方法,同时处在持续变化发展当中。伴随相关研究的进一步深入,该技术取得了很多的发展。较之单一传感器的信息处理,多源传感器数据融合技术具有非常显著的优势,突破了以往单一传感器信息处理造成的局限。而该技术应用于网络安全防护中,可以有效提升网络安全保障体系的安全系数,使得各项安全系统和工具实现有机融合,从整体上确保网络的安全,更好地保护了网络用户的利益。
参考文献:
[1] 胡传奇,王檄,侯家槐.多传感器图像融合技术及其进展[J].测绘与空间地理信息,2010(2):159-162.
[2] 林加润,殷建平,程杰仁,等.网络安全中多源传感器数据融合技术研究[J].计算机工程与科学,2010(6):30-33.
[3] 黄漫国,樊尚春,郑德智,等.多传感器数据融合技术研究进展[J].传感器与微系统,2010(3):5-8+12.
关键词 应急响应;保障措施;网络安全;安全事件
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)15-0196-01
迄今为止,网络信息安全问题不断变更,给社会的发展带来了严重的影响,在经历了通讯安全、计算机安全、网络安全和内容安全四个过程后,重要网络基础设施及信息的保护已经受到国家的高度关注,并成为国家安全战略的重要组成部分,目前,网络信息安全问题备受人们关注,面对网络和系统日趋复杂,解决网络安全事件成为应急响应体系建设的重点工作。
1 应急响应的基本内容
当前,应急响应主要包括应急响应、信息安全事件和应急响应体系的总体架构三个方面的内容。
1)应急响应是指一个组织在各种安全事件发生前后所采取的准备工作及相应的紧急措施,应急响应主要是为了保护网络基础设施的安全性,降低网络的脆弱性和缩短网络攻击事件发生后对相关信息的破坏时间和恢复时间。
2)信息安全事件,即信息系统、服务或网络的某种不安全状态。而信息安全事件就是导致信息资产丢失或损坏的一种信息安全事故,且其损坏的发生具有一定的特殊性。当然,信息安全事件的发生也具有因果性、必然性、偶然性、规律性等特点,因此也就是说信息安全事件的发生是可以通过相应的措施进行相关事件的预防,而应急响应则是事件发生后减少损失的一个重要手段。
3)应急响应体系的总体架构,而应急响应体系由两个中心和两个组组合而成。而两个中心只要是指信息共享与分析中心和应急响应中心,其两个组则由应急管理组和专业应急组组成。其中,作为处于系统最高层的应急响应指挥协调中心,主要负责协调体系、维护信息共享与分析中心平台、管理协调各个应急响应组,并且也是系统联动的控制中心。而信息共享主要负责与组织进行信息共享和交换,它是整个架构的核心。应急响应中心包含了整个体系的核心任务,即信息安全事件的分类、预案管理及应急响应等。作为整个体系和联动运作的总协调机构应急管理组,其主要包括:技术研发与策略制定组和专家咨询组等。专业应急组直接对安全事件实施响应的联动措施。
2 应急响应体系的层次结构
对与应急响应体系的层次结构,主要是针对在具体的应急响应工作中,相关应急响应体系的层次结构对安全事件的处理,以此体现层次结构在应急响应体系中的作用,对此,基于动态对等网层次结构中的网络预警模型展开相应的研究。这里主要以DPOH模型为例,这种DPOH模型广泛分布于受保护网络中,由自治节点构建而成的层次化对等覆盖网体系。DPOH模型主要是提供底层的分布式协作和数据共享框架,从而使得各类异构防护设施能够接入到一个自适应的全局安全防护体系中,因此具有跨安全域的数据共享和相应的对等协作能力,为此,可以有效地执行协同检测和防护任务。
DPOH模型主要是为了保护规模较大的网络环境的安全而构建的,其重点是对恶意代码实施协同检测和防护而构建的。其包括层次化对等结构、数据分布式共享和动态自适应协作等
特点。
其层次化对等结构具有鲁棒性、可拓展性和可管理性优点。在DPOH模型中具有控制中心、任务协调中心和安全三类核心节点角色,然而三种角色又有各自不同的权限,自上而下形成控制中心群体和任务组两层对等覆盖网体系,使得层次化和对等有机结合在一起。
而对于数据分布式共享,DPOH模型将NIDS、防火墙安全网关等设施通过协议注册到相关的安全节点,将异构报警源生成的报警数据通过XML技术进行一致化处理,然后再由DHT分布式消息共享机制发到整个网络安全防护体系中。对此,DPOH模型还可以整合各类异构网络安全防护设施的数据资源,从而实现了安全报警消息的分析式存储和查询机制,并对分布式网络入侵和攻击行为进行关联分析和协调检测,从而明确入侵意图,为深层次信息提供了基本的支撑。
针对动态适应协作,DPOH模型提供了其机制的底层支持,主要体现在以下两点。
1)预警模型可以完全摆脱节点物理拓扑的约束对网络安全资源进行调整分配。
2)当安全节点处于模型底层,并由控制中心根据所需资源,然后动态地组织任务组覆盖网,在任务组只占必要的资源的同时实现多任务并行处理。
3 应急响应体系的联动
应急响应体系的联动包含技术防御层的联动、组织保障层的联动、响应实施层的联动和以事件为中心的层间联动。对此,应急响应体系的联动主要体现于各层内实体和层间实体的联动,若没有实体间的联动,其功能就无法进行发挥。所以,实体间的联动是十分重要的。而层级结构图越园,表明其实体间的联系就越紧密,其活跃度就更高。由外而内,区域逐渐变小,而其功能越来越复杂,各层间的联动活跃度也就越高。
对于无大规模的网络攻击或者网络战争的发生,其联动是最少的。在技术防御层中的六个实体间的联动是通过彼此间的因果关系传递的,而组织保障层中的四个实体间的联动在同种形式下是十分紧密的,其信息的传递可通过双向传递或者点与点直接传递,对于响应实施层内的六个功能在通常情况下实体联动可表现为一体。
4 结束语
在目前网络飞速的发展中,由于各种因素的影响所造成的网络漏洞较多,网络信息安全事件的发生给人们,尤其是事业单位造成了很大的困扰,而应急响应防御体系中的一道重要的防线,是网络信息安全的可靠保障。急响应体系的建立其工程十分复杂,应该为此加强安全措施的联动,并全面了解层次结构,才能解决主要的问题,才能进一步完善应急响应体系。保证各类信息的安全。
参考文献
[1]王瑞刚.网络与信息安全事件应急响应体系层次结构与联动研究[J].计算机应用与软件,2011,28(10):117-119.
[2]王茹.安全信息管理(SIM)风险管理的研究与实现[D].北京邮电大学,2010.
[3]胡文龙.蜜网的数据融合与关联分析的研究与实现[D].北京邮电大学,2009.
关键词:电子商务;安全问题;策略探析
当前经济一体化发展形势下,电子商务,作为在网络技术环境中,通过运用信息技术进行在线商品交易、金融资本交易及其商务活动的过程,成为推动当前经济贸易快捷化运行的重要模式。由于电子信息资源市场的开放性和共享性,商业信息的安全问题成为当前电子商务运行的重要弊端。本文从加强电子商务安全性能的角度出发,对电子商务中的各种安全防范技术进行了分析。
1.电子商务的内涵特征分析
电子商务,是在经济全球化发展趋势下,随着计算机信息通讯技术的普及和推广,以开放的计算机网络环境为基础,以电子信息技术为手段,以各种商业贸易活动为核心,基于信息技术的应用方式,在法律范围内由从事商务活动的交易双方在不谋面的情况下进行的各种商贸活动,实现网上在线交易购物和电子支付等各种商务活动、金融活动以及相关综合服务活动的一种新型商业运营模式。
2.电子商务的安全性能分析
电子商务的安全性能表现在安全隐患安全要素以及安全需求等几个方面:
2.1 安全威胁
电子商务交易过程中,往往存在相关商务信息数据在使用过程中被非法窃取、篡改或假冒等安全隐患现象,既破坏了商务信息的完整性,网络非法攻击者通过假冒合法用户或者模拟虚假信息来实施诈骗行为,也降低了电子商务信息的精确度和诚信度,对电子商务造成非常严重的不良后果。
2.2 安全要素
构成电子商务的安全要素主要包括相关信息的真实有效性,完整保密性、信息的可鉴别性及不可抵赖性。保障电子贸易信息的有效性和真实性是开展电子商务的前提。商业性信息保密是电子商务全面推广应用的重要保障。电子商务方式下,通过在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠标识,保障了商业信息的完整性和统一性。
2.3 安全需求
电子商务交易过程具有信息的保密性、完整性和不可否认性等安全需求。电子商务运行过程中,要求相关商务信息具有严格的保密性能, 相关信息数据在存储或传输过程中未经授权保持不被修改、不被破坏和丢失的特性,不得泄露给其它非授权性用户使用。电子商务信息的不可否认性避免了交易发生后的某方否认自己的商务行为的特性。
3.当前采用的主要电子商务安全技术
当前电子商务运行过程中通常采用的安全技术主要包括加密技术和安全认证技术:
3.1 加密技术
加密技术是电子商务采取的主要安全措施,是保障相关信息保密性、完整性的核心。按照密钥的不同,加密技术主要有对称型密钥体制和非对称型密钥体制。
① 对称型密码体制
相关信息的发送方和接收方都必须使用相同的密钥对消息进行加密和解密运算。对称加密算法最大的优势就是开销小、加密速度快,被广泛应用于对大量数据文件进行加密。
② 非对称型密钥体制
具有公开密钥和私有密钥两种密钥。公开密钥用于对机密信息加密,私有密钥用于对机密信息解密。实际应用中通常将两种加密技术结合起来,先采用公钥密码传送加密密钥,再用私钥密码加密传输信息,从而确保信息的安全传输。
3.2 安全认证技术
目前电子商务交易中仅有加密技术不足以保证交易安全,身份认证技术是保证电子商务安全的另一重要技术,包括数字签名技术、数字证书技术等手段。
①数字签名技术
数字签名技术是进行身份认证的技术,它是运用数字摘要技术,为防止他人对传输的信息进行篡改或破坏,保证信息的真实性和完整性,以及保证信息发送者对发送信息的不可抵赖性而采用的在数字化文档上进行数字签名的安全保障手段。目前的数字签名是公用密钥加密技术的另一类应用。主要有RSA签名、DSS签名和Hash签名三种签名方法。
②数字证书技术
数字证书是公共密钥体制中的密钥管理媒介,并将公钥和实体身份信息绑定在一起,并包含认证机构的数字签名,通常由具有权威性、可信任性的第三方认证机构进行颁发。数字证书技术是一种能够有效管理公钥分发,保障公钥以及与公钥有关的实体身份信息真实性的安全保障措施。数字证书在电子商务中用于公钥的分发、传递、证明电子商务实体身份与公钥相匹配。
4.加强电子商务安全性能的策略
当前,随着市场经济的开放性复杂化发展,加强电子商务安全运行的重要策略如下:
4.1应用电子商务安全保障技术
灵活运用加密技术,通过数字签名和数字证书来实现的身份认证是实现网络安全的重要措施。在电子商务WEB服务器和客户端浏览器之间建立安全链接,能保证信息数据在传输过程中的安全性。防火墙能够有效地监视网络的通信信息,并记忆通信状态,它的应用可以有效的减少黑客的入侵及攻击,保障网络节点的安全,优化网络系统环境,为电子商务运作提供了安全平台。
4.2完善电子商务安全配套措施
电子商务的安全配套措施主要在于针对关键性安全保障技术进行创新突破,提高运作效率,根据实际需求积极开发大型商务网站,发展与之相配套的物流公司,尽快对电子商务的有关细则进行立法,建立严格的内部安全机制。完善网络安全维护日志,记录与安全性相关的信息及事件便于跟踪查询,对重要数据信息要及时进行备份并针对相关数据信息和数据库进行加密保护。
4.3建立电子商务安全运行体系
针对电子商务网站,要及时进行科学合理的安全综合性能评估,及时发现并解决安全隐患。综合采用包括防火墙技术、病毒检测技术、数字加密技术、数字签名技术、安全认证技术等多种安全保障技术防护,完善安全防护运行体系并确保系统信息数据的安全与保密。健全电子商务法律法规,严厉打击电子商务领域违法犯罪行为,为保证电子商务活动创建和谐的商业运行环境。
