发布时间:2023-05-28 09:40:00
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络安全防护方法样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
网络既方便又灵活,很多家庭和企业都配置了无线网络,不少公共场所也可免费无线上网。伴随无线网络应用的增多,无线网络安全问题也日益凸显,无线网络被盗用的情况时有发生,而且最可怕的是无线网络加密也被破解。如何防范这些问题,应成为了大家关注的焦点。
1 主流的WPA/WPA2方式加密认证的无线网络的破解方法
下班后,打开笔记本搜了一下周围的无线网络,无线网络列表中有中国移动的CMCC,0,A,并且也有好几个信号比较强的私人无线路由器/AP信号,我要说大实话:山东潍坊的CMCC账号又黑又贵真心不想用!下面介绍用两种方法破解主流的WPA/WPA2方式加密认证的无线网络:
1.1 第一种破解WPA密码方法:抓包跑字典法
无线设备在接入到无线网络的时候需要首先进行密码认证,也就是说会把认证密钥发送给认证服务器,这里也就有个不安全因素存在,只要想办法在无线客户端接入网络的时候抓取到其带有安全密钥的数据包,虽说WPA里面使用的的AES算法是不可逆的!但是我们可以找一堆可能的密码组合(即:密码字典),将这些可能的密码通过对应的算法加密得到其加密后的密文,然后拿这些密文去跟我们抓取数据包中的认证密文进行对比(跑字典),对比结果如果相同,那么可想而知这个密码就是真正的密码……思路就是这样不多说啦,相信多数有点基础的朋友都能看懂!
下面以实例详细来说一下破解过程:
(1)在LINUX系统下打开程序FeedingBottle找到需要使用的无线网卡,选中点击【Next->】按钮。
(2)选择对应的加密方式WPA/WPA2,信道,扫描时间等,然后点击【Scan…】按钮开始扫描周边的无线网络。
(3)注意观察弹出窗口中Data项下面的数据,当你想抓包的那个SSID的DATA项有数据,你就可以手动点击Stop!停止啦,因为说明他下面已经有客户端啦,然后在Aps Information下面找到对应的SSID选中,在Clients Information下面就可以看到其客户端的信息,这里如果有多个客户端就选那个数据包多的-点击Next继续进行【下一步】。
(4)先点击【Start】按钮随便选一个密码字典,这主要是先开启mon抓包进程,然后多多点击客户端MAC边的Deauth按钮进行断开连接攻击,此攻击的作用毋庸置疑就是让客户端与无线路由器断开连接,然后客户端会主动进行重新认证连接,这时候我们就成功抓到带有密码的握手包啦。
(5)@时不建议再继续用里面自带的工具跑密码,因为跑字典太慢啦,还是用U盘把targetap_wpa-01.cap这个带有密钥的文件弄出来(LINUX使用U盘看下图),最后那条命令是关键,搞完文件之后记得先用umount命令卸载设备,然后才能拔出U盘 。
(6)在WINDOWS下做好密码字典,然后就可以用EWSA跑字典啦(EWSA需要设置好)。我跑了一个多小时就跑出了正确的密码――密码是8位纯数字的。
1.2 第二种破解WPA密码方法:枚举无线路由器的PIN码
这种方式是我在捉到对应SSID的密钥包后,试了各种密码字典(手机号,8位以内的数字,弱口令等)没有枚举出密码的情况下进行的,这种情况说明其设置的无线密码一定比较长或者复杂,有的无线路由器(AP)是支持并开启了WPS模式(WPS即:WiFi保护设置),用心的朋友可能会发现你的无线路由器上面会写着一个8位数PIN码,这个PIN码就是在开启了WPS的设备上无线网络客户端可以直接通过此对应PIN进行网络接入。一个8位数的PIN码,一个一个试最多也就试个99999999次!这对于计算机来说岂不是小意思……下面还是以实例来大体说一下破解过程吧:
1、首先扫描出对方SSID无线路由器(或者AP)的MAC地址(过程略)。
2、在带有reaver工具的LINUX系统下打开终端用几条命令就能开始PIN枚举:
(1)ifconfig wlan0 up:启动wlan0网卡。
(2)airmon-ng start wlan0:建立基于wlan0无线网卡的监控端口mon0,开启监视模式。
(3)reaver -I mon0 Cb:这里写无线路由器MAC地址;-a -S -vv -d 0:这里就是开始枚举破解PIN啦(后面的-d 0参数为加快速度,信号不好时可以去掉此参数,破解过程中可以按CTRL+C键中断操作,系统会自动保存进度等以后可以接着以前的进度继续破解)。我跑了三晚上,大约30个小时才得到的PIN码,得到PIN码后随即直接给出了WPA密码--12位数字、字母混合密码。
2 无线网络安全防护的问题
其实关于怎么做才能保障自己的无线网络不被别人蹭网、恶意接入,首先要明白无线网络没有绝对的安全!我下面只能说几点防护措施:
(1)无线连接密码越长越复杂就越难通过直接跑字典的方式获取密码
(2)在没有必要的情况下慎用WPS功能,因为你密码再复杂PIN码也是8位数字,可能通过直接破解PIN的方式破解无线网络
(3)如果非要开启无线路由器的WPS功能,请定期更改PIN码。
(4)必要时可以直接关闭SSID广播,SSID广播的关闭就意味着搜索不到对应路由器的无线网络SSID,客户端需要连接就只能通过手工输入要连接的SSID来进行接入网络。
(5)当然你也可以在路由器里设置只允许绑定的MAC进行网络接入。
(6)想做好的安全防护,先学会攻击原理(其实明白人从我上面的破解原理及方式就能总结出来防护措施)。
无线网络是发挥巨大便利性的同时,其安全问题也不容小觑,网络安全重在防护意识,只要大家常关注于此,运用好以上方法,就能大大提高你的网络安全性。
参考文献
[1]王双剑,丁辉.无线网络安全的机制及相关技术措施[J].科技传播,2012(03).
[2]宋玲.浅议无线网络的安全隐患与防范措施[J].科技信息,2012(04).
[3]田永民.基于无线网络WLAN安全机制分析[J].数字技术与应用,2011(05).
作者简介
周瑞华(1975年),女,硕士学位。现为山东省潍坊商业学校讲师。主要研究方向为计算机。
关键词:通信网络;安全维护;有效方法
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-02
随着社会科学技术的大力发展,通信网络也在不断发展壮大,在通信网络发展的同时也存在一些安全隐患,这就对通信网络安全维护提出了更高的要求。下面先分析了通信网络安全维护的意义。
一、通信网络安全维护的意义
计算机网络被人们应用到各行各业之中,人们通信的重要途径就是计算机网络。网络安全有两方面的内容,一是控制安全,二是信息安全。国际上把信息安全理解成信息的可用性、完整性、可靠性以及保密性;控制安全理解成授权控制、访问控制、身份认证以及不可否认性。通信网络的发展使人们沟通信息的方式发生改变,作为信息的重要载体,通信网络的信息化进程联系了人们多种的社会生活。这样一来,给人们带来了丰富的社会价值以及经济价值。通信网络发生安全事故就会导致人们的沟通中断,给人们带来不可估计的损失。
二、通信网络安全维护面临的问题
最近几年,通信网络出现的安全问题缓慢上升,通信网络不单单面临计算机网络常见的安全问题,也面临恶意获取收入的安全问题。比如说,WAP非法订购、恶意复杂SIM卡信息、非法定位等恶意的行为。下面简单介绍下通信网络出现的安全问题。
(一)手机代码恶意传播
现在的手机变得越来越智能化,手机智能化的同时也带来了恶意代码的疯狂传播,手机客户的信息安全受到影响。
(二)业务漏洞
网络的IP化、Wap的应用化、设备的IT化都使通信网络系统更加开放,这也使业务漏洞更加被黑客利用。通信网络业务攻击变得越来越突出,越来越趋向于经济利益的追逐上。
(三)开放性带来的威胁
三网融合、物联网、云计算使网络变得越来越具有开放性,终端的复杂性也使网络容易受到更多的威胁和安全攻击。系统的可靠性有着更大的风险。通信网络安全问题不断扩展,从计算机网络空间拓展到物理空间。
(四)通信企业员工素质不高
通信企业工作人员、SP、第三方支持人员等利用业务漏洞或者自己掌管的权限,来获取非法的经济利益。随着客户信息的不断增多,客户信息的流转也在不断增加,这就为SP利用职务之便,非法获取、篡改、伪造客户的信息提供了便利。
三、通信网络的安全维护方法
(一)建立防火墙防御技术
防火墙设计的理念是防止通信网络信息泄露,它通过既定的网络安全策略,对网内外通信实施强制性的访问控制,借此来保护通信网络安全。它对网络间传输的数据包进行安全检查,监视通信网络的运行状态。一个完整的防火墙保护体系可以很好的阻止威胁用户及其数据的程序,阻止黑客通过病毒程序访问自己的通信网络,防止不安全因素扩散到通信网络所在的局域网络。通过将通信网络用户的使用账户密码设置的高级些,,禁用或者删除无用的账号,不定期进行账号密码的修改都可以很好的防止病毒侵入。由于网络入侵者的实时性、动态性,所以在通信网络中防火墙软件要做到实时监控的要求。防火墙的实时监控技术通过过滤在调用前的所以程序,发现含有破坏网络安全的程序文件,并发出警报,对可疑程序进行查杀,将网络入侵者阻拦,采用多种技术查杀病毒使通信网络免受其害。
(二)通信网络的身份认证技术
通信网络的身份认证技术指做出基于身份的认证,使用于各种身份认证机制中。通信网络的身份认证技术可以使客户信息保持完整性、机密性、可控性以及不可否认性。
(三)通信网络的检测入侵技术
防火墙防御技术可以保护通信网络内部不受到外边网络攻击,但防火墙防御技术在通信网络内部非法活动监控方面还存在一些漏洞,检测入侵技术可以很好地填补这个漏洞,和防火墙相互配合,积极应对外部的攻击、内部的攻击以及操作失误带来的信息损坏。它在通信网络系统受到危害前拦截入侵,使通信网络信息的安全性得到有效提高。
(四)通信网络的加密技术
通信网络加密技术可以防止私有的、公用的信息被拦截、窃取,它是通信网络安全维护的关键内容。通过通信网络加密技术,使通信网络中IP传输包得到封装和加密,保持数据传输的完整性以及保密性。通信网络加密技术不单单可以处理公网上数据的安全问题,也可以处理远程用户进入内网的安全性问题。
(五)通信网络的扫描漏洞技术
随着通信网络变得越来越复杂化,通信网络管理员已经不能依靠技术和经验来扫描漏洞,这就需要我们采用通信网络扫描漏洞工具,通过打通信网络补丁、优化通信网络系统配置等方式,弥补通信网络已有的安全漏洞、消除通信网络的安全隐患。可以借助于黑客工具,对通信网络进行模拟性的攻击,使通信网络的漏洞暴露出来。
(六)通信网络的虚拟专用网技术
通信网络的虚拟专用网技术指在因特网下,成立一个安全的、临时的网络连接,将远程用户的信息、公司分支机构等在安全通道里连接起来,成为一个扩展的企业网络。这样一来,公司的主机不会发现公共网络的存在,所以的机器仿佛都处于同一个网络里。
关键词:网络信息 Wi-Fi网络安全 安全防护
中图分类号:TP915.6 文献标识码:A 文章编号:1007-9416(2012)05-0178-01
1、Wi-Fi网络存在安全风险
如今,无线上网已经成为人们的日常生活中获得各类信息来源的主要方式之一,利用机场、快餐店、酒店等公共场合的Wi-Fi热点(HOT-POINT),或移动运营商提供的收费网卡,就可以即时随地完成网页浏览、MSN聊天、邮件收取、网上支付等事情,此外很多家庭都借助小巧的无线路由器架设起了自己的家庭Wi-Fi网络。虽然各种各样的无线网给用户提供了很大便利,使用户享受更多方便快捷的服务,但与之相伴也产生了这样那样的安全隐患。如:在一些机场、酒店、快餐店等免费提供Wi-Fi上网的场所就发生过黑客私架Wi-Fi网络,伪装成正规机构的无线网络,诱使用户连接,从而截获用户发送和接受的数据,最终盗取用户MSN、QQ、邮件密码、网银、网游等密码的事件,更有甚者造成商业机密丢失,为企业带来不可估量的损失。而一些家庭的Wi-Fi网络甚至连最基本的加密措施都没有,这样任何人都可以连接到此网络,通过简单的嗅探程序就可以截获各种私人信息。对于采用相对落后的WPA或WEP方式加密的Wi-Fi网络,通常都存在着加密强度和安全性不高,很容易被破解的问题。此外,网络密码设置也不合理甚至过于简单,容易被猜出;被人免费“蹭网”。曾经有信息安全公司的网络安全工程师表示,目前被广泛采用的热点(HOT-POINT,即Wi-Fi接入技术)无线接入技术存在先天技术漏洞,可以被人轻易地破解。其次,由于无线产品性能与质量参差不齐,导致无线发射装置和接收装置之间还存在着兼容性的问题,用户在启用应用安全协议之后可能出现无法连接无线网络,甚至出现电脑可以找到无线网络,但即使密码正确也无法连通等现象。而这种兼容性问题,短期内在Wi-Fi领域还难以解决。如果用户寄希望于通过杀毒厂商的防火墙来抵御外部攻击,只能是治标不治本。
2、常见的Wi-Fi网络攻击形式
Wi-Fi网络通信安全的威胁有两种常见形式:即被动形式和主动形式。被动形式是网络攻击者在接入无线网络后通过嗅探等方式搜集大量的Wi-Fi网络的通信数据,然后进行分析、破解,以达到窃取被攻击者的信息的目的。主动形式是网络攻击者通过被动形式的攻击后,分析出Wi-Fi网络中的传输协议及加密算法,并以相同的协议、算法修改甚至伪造Wi-Fi网络的信息,从而实现攻击者所要需要达到目的。要实现以上两种攻击模式并不需要多么高深的黑客技术,现在只要在各大搜索引擎上输入“Wi-Fi 破解工具”“Wi-Fi攻击工具”等关键词,很快便可以找到了各种各样的破解、攻击工具,网上甚至有详细的教程,教授如何利用这些工具包破解、分析无线网络,获取他人信息。
3、Wi-Fi网络安全防范要点
(1)用户尽量使用运营商提供的有标识Wi-Fi无线网络 将上网移动设备,设置为手动连接,只在自己需要的时候,才手动连接到安全的Wi-Fi环境中;警惕假冒Wi-Fi热点 对于个人接入Wi-Fi网络,要随时察觉恶意接入点;一定要确认好接入点渠道是否是正规,避免落入黑客设置的圈套造成损失;尽可能使用有密码保护的公共无线网络。尽量不要在公共Wi-Fi网络中使用网络银行、信用卡服务、登录网络游戏、电子邮箱、访问企业VPN等服务,因为一旦这些数据信息被截获,很可能给受害人带来不可估量的损失。
(2)提高无线网络接入设备的安全性。目前常见的Wi-Fi安全技术包括WEP、WPA以及WPA2,这些技术都企图通过加密手段,防止无线信号被“有心人”截取。我们可以采取以下实用的措施:1)关闭网络的SSID广播以提高网络连接的安全系数。因为开启SSID广播,更容易让黑客或攻击者猜中你的网络连接密码,更容易成为攻击目标;2)启用AES加密标准的WPA2对网络进行加密,因为启用AES加密标准的WPA2对网络进行加密的话,这种加密无法被破解。大大提高了网络的安全性。3)绑定计算机mac地址,开启无线路由器自带防火墙功能,最大可能的阻止其他用户的接入。4)采用较复杂的密码并定期更改密码,这样即使密码被破译,也能限制所影响的时间范围。密码设置尽量要没有规律性,一组密码最好以特殊符号、大小写字母、数字、特殊字符组成。
【关键词】网络安全;防范体系;必要性;问题;策略
【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158(2013)07-0128-01
进入信息时代,计算机及网络的应用更加广泛与普遍,随之而来的是影响网络安全的因素也在不断增加,诸如病毒传播、非法访问、数据丢失等事件屡见不鲜,网络安全问题已经成为当今社会所面临的共同挑战。为了更好地应对网络安全问题,有必要构建网络安全防护体系,采取有效策略检测、评估和修复安全隐患,为确保网络安全、维护用户利益作出积极的努力。
1 网络安全隐患及构建安全防护体系的必要性
网络,是指将各个孤立的工作站或计算机主机以物理链路连接的,以实现网络资源共享为目的的数据链路。当今时代,人类社会和科学技术迅速发展,以数字信息技术为支撑的网络技术在不断更新壮大,网络已经成为推动当前各个领域发展的重要平台。而随着网络应用的迅速普及,各种信息资源在公共通信网络上存储、传输,来自各方面的威胁也愈来愈多,甚至被非法窃听、截取、篡改或毁坏,从而造成不可估量的经济社会损失。因此,十分有必要构建网络安全防护体系,以适应当前形势的发展。大致来说,影响网络安全的因素主要来自以下几方面:第一,网络操作系统。操作系统是网络的核心,通过操作系统才能真正使用网络并使之发挥作用。但网络本身就是一个始终处于更新的技术,网络操作系统也不可能是完美的,也会不可避免地存在某些安全漏洞。而这些安全漏洞也正是造成网络安全问题的隐患。第二,软件、网络硬盘。硬件、软件系统是计算机及网络的物理形态,二者同样可能存在着一定的缺陷,而在实际的使用过程中,也可能会因操作不当而造成损伤,使数据在存储和共享的过程中受到破坏。第三,网络病毒。网络病毒是一组能够影响计算机使用的,并能够自我复制的计算机指令或程序代码。在网络系统中,计算机跨越时空限制被链接在一起,各种数据信息在这种资源共享和通信中由一处传播至另一处,而计算机病毒同样以通过这一方式进行广泛而迅速的传播。当前网络病毒的种类很多,其中比较常见的有木马、蠕虫等,它们对网络用户的信息安全造成了巨大的威胁。
2 构建网络安全防护体系的具体措施
针对所存在的网络安全威胁因素,十分有必要构建一个网络安全防护体系,以及时检测网络操作系统和计算机软硬件中所存在的隐患和漏洞,发现来自网络中的病毒及黑客攻击,维护网络安全及用户利益。当前,网络安全防护体系主要由防护体系、病毒检测及反应体系所构成。
2.1 防火墙
防火墙是网络安全防护体系的主体构成。它是指由软件和硬件两部分组成的,位于内外网之间、用户端与公共网之间的保护屏障。防火墙主要通过预先设定好的安全标准对网络间传输的各种数据信息进行安全检查,对网内外的资源共享和通信活动实施强制控制,以有效拦截病毒程序的访问,以此来保护计算机网络的安全。为了提高防火墙的各项功能,应尽量安装正规公司所发明的防火墙软件,并及时进行更新。
2.2 病毒检测
计算机病毒作为一种常见的侵害网络安全的数据代码,是对当前网络安全威胁最大的因素。病毒具有破坏性,复制性和传染性的典型特征,主要通过附着在其他程序代码上进行高速传播,对网络安全的危害性极大。因此,病毒检测系统是网络安全防护体系所必须具备的重要构成。网络用户可以通过病毒检测系统对计算机局部或整体进行查杀,当前的网络病毒检测技术主要有特征码技术、虚拟技术、主动防御技术,等等。
2.3 反应体系
反应体系是网络安全防护体系的关键构成。当网络用户借助防火墙和病毒检测系统发现网络安全隐患时,需要通过反应体系采取必要的应对举措。防护反应体系主要包括加密技术、密码更改、IP 隐藏技术以及病毒查杀。其中,加密技术是指经过加密钥匙及加密函数转换将一个信息转变为无法理解的、毫无意义的密文,以避免被非法入侵者获取;密码更改是网络用户所应具备的使用习惯,要定期或不定期对邮箱、网站注册的密码进行修改;IP隐藏技术是指通过动态IP、IP或者NAT等技术隐藏自己的计算机IP地址,避免其为网络黑客所抓取和根据IP地址发动攻击的技术手段。
3 对网络安全防护体系的全面评估
为了最大限度地降低各种因素对网络安全的威胁,应对所构建的网络安全防护体系进行科学全面的评估,并根据防护体系的使用功能、运行状况进行正确评价并及时改进和完善,为提高网络安全防护水平提供重要支持。
3.1 网络安全防护体系的评估方法
网络安全防护评估指标体系是一个由评估对象、评估标准所组成的标准系统。进行网络安全评估时,应尽量多地搜集网络安全的网元信息、流量信息、报警信息、漏洞信息和静态配置信息,并通过指数法、层次分析法对这些信息的数量和频度进行分析,得出有效的结论,以评估网络安全的等级和属性。
3.2 网络安全防护体系的评估内容
网络安全防护体系的评估内容主要包括物理构成、操作系统、网络系统、应用和安全管理等几方面,根据评估标准对网络安全的脆弱性、容灾性、威胁性和稳定性进行科学全面的衡量与评判:其中,脆弱性主要衡量包括操作系统、计算机软硬件、服务配置等网络载体的安全系数;容灾性主要衡量网络系统自身对安全事件的防范和承载的容纳度;威胁性主要衡量网络安全影响因素对网络安全态势的影响;稳定性是是指网络的流量、数据分布等信息的变化,这是决定网络系统配置的重要参考。
3.3 网络安全防护体系的评估反馈
在对网络安全防护体系进行科学、客观并具预见性的评估之后,应当出具专门的网络安全评估报告,使网络安全状况更加全面、深刻地展示出来,为网络安全管理人员寻找解决问题的方法、制定网络安全解决方案提供了有效的参考数据。
计算机网络安全特征主要表现在系统的保密性、真实性、完整性、可靠性、可控性等方面。随着网络信息技术的发展,计算机网络安全隐患日益增多,各种网络犯罪活动也愈加频繁,网络信息安全正面临着巨大的威胁和挑战。面对这一严峻的形势,网络安全管理者应当制定科学规范的网络安全解决方案,构建包括防火墙、病毒检测和反应体系在内的网络安全防护体系,对计算机及网络使用情况进行实时监控,并尽量使计算机软硬件及网络配置达到最优化和协调,最大限度地降低网络安全风险,发挥网络的巨大作用,维护网络用户的合法权益。
参考文献
[1] 张慧敏,钱亦萍,郑庆华,等.集成化网络安全监控平台的研究与实现[J].通信学报,2003,24(7)
[2] 陈秀真,郑庆华,管晓宏,林晨光.网络化系统安全态势评估的研究[J].西安交通大学学报,2004,38(4)
在大型的企业网络中不同的子网各有特点,对于网络安全防护有不同的等级要求和侧重点。因此,网络安全域的“同构性简化”思路就显得非常适合安徽中烟网络安全防护的需求,下面将具体介绍安徽中烟基于安全域的网络安全防护体系建设思路。
网络安全域是使网络满足等级保护要求的关键技术,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全防护手段。通过建设基于安全域的网络安全防护体系,我们可以实现以下的目标:通过对系统进行分区域划分和防护,构建起有效的纵深防护体系;明确各区域的防护重点,有效抵御潜在威胁,降低风险;保证系统的顺畅运行,保证业务服务的持续、有效提供。
1安全域划分
由于安徽中烟网络在网络的不同层次和区域所关注的角度不同,因此进行安全域划分时,必须兼顾网络的管理和业务属性,既保证现有业务的正常运行,又要考虑划分方案是否可行。在这样的情况下,独立应用任何一种安全域划分方式都不能实现网络安全域的合理划分,需要多种方式综合应用,互相取长补短,根据网络承载的业务和企业的管理需求,有针对性地选择合理的安全域划分方式。
1.1安全域划分原则
业务保障原则安全域划分应结合烟草业务系统的现状,建立持续保障机制,能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。结构化原则安全域划分的粒度可以从系统、设备到服务、进程、会话等不断细化,在进行安全域划分时应合理把握划分粒度,只要利于使用、利于防护、利于管理即可,不可过繁或过简。等级保护原则属于同一安全域内的系统应互相信任,即保护需求相同。建立评估与监控机制,设计防护机制的强度和保护等级。要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。生命周期原则安全域的划分不应只考虑到静态设计,还要考虑因需求、环境不断变化而产生的安全域的变化,所以需考虑到工程化管理。
1.2安全域划分方式
1.2.1安全域划分模型根据安徽中烟网络和业务现状,安徽中烟提出了如下安全域划分模型,将整个网络划分为互联网接口区、内部网络接口区,核心交换区,核心生产区四部分:核心生产区本区域仅和该业务系统其它安全子域直接互联,不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域,如服务器群、数据库以及重要存储设备,外部不能通过互联网直接访问该区域内设备。内部互联接口区本区域放置的设备和公司内部网络,包括与国家局,商烟以及分支烟草连接的网络。互联网接口区本区域和互联网直接连接,主要放置互联网直接访问的设备。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。核心交换区负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。
1.2.2安全域边界整合1)整合原则边界整合原则是主要依据分等级保护的原则和同类安全域合并。分等级防护是安全域方法的基本思想,这自然不必多说,同类安全域合并原则在落实时应以一下思想为指导:集中化:在具备条件的情况下,同一业务系统应归并为一个大的安全域;次之,在每个机房的属于同一数据业务系统的节点应归并为一个大的安全域。跨系统整合:不同的数据业务系统之间的同类安全域应在保证域间互联安全要求的情况下进行整合,以减小边界和进行防护。最小化:应将与外部、内部互联的接口数量最小化,以便于集中、重点防护。2)整合方法为了指导边界整合,安徽中烟提出了两种边界整合方法、适用场景。这些边界整合方法都侧重于跨系统或同一系统不同节点间的边界整合,侧重于数据业务系统与互联网、外部系统间的接口的整合。(1)单一传输出口的边界整合此种整个方法适用于:具备传输条件和网络容灾能力,将现有数据业务系统和互联网的传输接口整合至单一或几个互备接口。(2)多个传输出口的边界整合此种整个方法适用于:数据业务系统和互联网之间有多个物理位置不同的接口,并且尚不具备传输条件整合各接口。
2安全防护策略
2.1安全防护原则
集中防护通过安全域划分及边界整合后,可以形成所谓的“大院”,减少了边界,进而可以在安全域的边界和内部部署防火墙、入侵检测系统的网络探头、异常流量检测和过滤设备、网络安全管控平台的采集设备、防病毒系统的客户端等基础安全技术防护手段,集中部署基础安全服务设施,对不同业务系统、不同的安全子域进行防护,共享其提供的安全服务。分等级防护根据烟草行业信息安全等级保护要求,对不同的数据业务系统、不同的安全子域,按照其保护等级进行相应的防护。对于各系统共享的边界按“就高不就低”的原则进行防护。纵深防护从外部网络到核心生产域,以及沿用户(或其他系统)访问(或入侵)系统的数据流形成纵深的安全防护体系,对关键的信息资产进行有效保护。
2.2系统安全防护
为适应安全防护需求,统一、规范和提升网络和业务的安全防护水平,安徽中烟制定了由安全域划分和边界整合、设备自身安全、基础安全技术防护手段、安全运行管理平台四层构成的安全技术防护体系架构。其中,安全域划分和边界整合是防护体系架构的基础。
2.2.1设备自身安全功能和配置一旦确定了设备所在的安全域,就可以根据其落入的安全域防护策略对设备进行安全功能设置和策略部署。针对设备的安全配置,安徽中烟后期会制定《安徽中烟设备安全功能和配置系列规范》提供指导。
2.2.2基础安全技术防护手段业务系统的安全防护应以安全域划分和边界整合为基础,通过部署防火墙、入侵检测、防病毒、异常流量检测和过滤、网络安全管控平台等5类通用的基础安全技术防护手段进行防护。在通用手段的基础上,还可根据业务系统面临的威胁种类和特点部署专用的基础安全技术防护手段,如网页防篡改、垃圾邮件过滤手段等。
防火墙部署防火墙要部署在各种互联边界之处:
–在互联网接口区和互联网的边界必须部署防火墙;
–在核心交换区部署防火墙防护互联网接口区、内部互联接口区和核心生产区的边界;
–在内部互联接口区和内部网络的边界也需部署防火墙。考虑到内部互联风险较互联网低,内部互联接口区防火墙可复用核心交换区部署的防火墙。另外,对于同一安全域内的不同安全子域,可采用路由或交换设备进行隔离和部署访问控制策略,或者采用防火墙进行隔离并设置访问控制策略。入侵检测设备的部署应在互联网接口区、内部互联接口区必须部署入侵检测探头,并统一接受网管网集中部署的入侵检测中央服务器的控制。在经济许可或相应合理要求下,也可在核心交换区部署入侵检测探头,实现对系统间互访的监控。防病毒系统的部署运行Windows操作系统的设备必须安装防病毒客户端,并统一接受网管网集中部署的防病毒中央控制服务器的统一管理。同时,为了提高可用性和便于防护,可在内部互联接口区部署二级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备,防范和过滤来自互联网的各类异常流量。
网络安全管控平台网络安全管控平台应部署在网管网侧,但为了简化边界和便于防护,建议:
–在内部互联接口区部署帐号口令采集设备以实现帐号同步等功能。
–在内部互联接口区必须部署日志采集设备,采集业务系统各设备的操作日志。
2.2.3应用层安全防护数据业务系统应用安全防护主要是防范因业务流程、协议在设计或实现方面存在的漏洞而发生安全事件。其安全防护与系统架构、业务逻辑及其实现等系统自身的特点密切相关。安徽中烟通过参考IAARC模型,提出鉴别和认证、授权与访问控制、内容安全、审计、代码安全五个防护方面。
2.2.4安全域的管理除了实施必要的安全保障措施控制外,加强安全管理也是不可缺少的一个重要环节。安全域管理主要包括:从安全域边界的角度考虑,应提高维护、加强对边界的监控,对业务系统进行定期或不定期的风险评估及实施安全加固;从系统的角度考虑,应规范帐号口令的分配,对服务器应严格帐号口令管理,加强补丁的管理等;人员安全培训。
【关键词】电力系统 信息网络安全问题 防护措施
1 引言
有效地保障电力企业的安全和保障电力信息网络安全,对于推动我国国民经济稳定发展具有非常重要的作用。随着社会信息化技术的迅速发展,信息化系统已经在电力企业中受到广泛应用,实现了信息化网络管理。但由于信息网络中存在的问题,导致电力信息网络安全时有发生,有必要对此进行分析,并且采取安全保护措施,确保电力信息网络安全和电力企业的稳定发展。
2 电力系统信息网络存在的安全问题
2.1 网络病毒
电力系统信息网络安全中,最常见的安全隐患就是网络病毒。隐蔽性、可复制性、传播速度快等都是网络病毒的特点。网络病毒对电力系统信息网络破坏非常严重。假如感染上了网络病毒,轻则是对电力信息系统的正常运行受到阻碍,使数据丢失、信息不能及时共享;严重则会导致电力信息系统瘫痪,整个电力系统的功能将会因此受到影响而不能正常发挥作用。除此之外,电力设备还可能因此遭到网络病毒的破坏,造成不可估量的损失。
2.2 黑客攻击
在电力系统信息网络运行的过程之中,网络安全问题也会因为受到黑客的攻击而出现,导致电力系统信息网络安全出现故障,甚至会造成大范围的电力故障发生,具有非常大的危害力,这也是电力系统信息网络存在的主要隐患。电力企业涉及到很多电力信息量,假如被黑客攻击获取机密信息,则会对电力系统的正常运行和经济效益造成极大的损失。黑客对电力系统信息网络的攻击方式比较多,比如利用数字控制系统(DCS)对电力企业的基层系统进行控制,造成基层系统瘫痪。此外,黑客也可以利用某个系统对其他系统进行控制和破坏,对电力系统造成非常恶劣的影响。
2.3 脆弱的身份认证
电力行业中计算机应用系统大部分是基于商用软硬件系统设计和开发,而基本上都是使用口令为用户身份认证的鉴别模式,而这种模式最容易被黑客攻破。部分应用系统还使用自己的用户鉴别方式,用数据库或者文件将口令、用户名和一些安全控制信息用明文的方式记录。当今,这种脆弱的安全控制措施已经不再适用。
2.4 内部恶意操作
电力信息系统安全漏洞还存在内部人员恶意操作导致。恶意操作就是指蓄意破坏。信息系统在运行过程之中需要人进行监督和控制,加入人的因素存在主管恶意,则会使网络信息系统出现问题。电力系统安全管理的制度上规范可能比较健全,但是只能防范人的控制,一旦出现人为因素,大灾难将会降临到电力信息系统上。
2.5 信息网络安全意识淡薄
在电力信心网络的建设以及运营过程之中,安全防护和安全监督工作都需要信息网络安全意识高的专业人员从事。随着信息化程度的不断提高和信息防护技术的不断更新,电力信息网络的安全等级也逐渐提高。但是,不能否认的是,实际的安全防护技术和电力企业信息网络安全防护需求仍然存在很大差异。一方面是由于电力企业本身信息化技术比较低导致出现安全问题;另一方面则是超高的安全防护技术带来高昂的成本,电力企业的效益降低,导致电力企业的实施与应用受到影响。更加重要的是目前的电力信息网络安全整体维护工作水平不高,同时网路安全人员的安全防护意识缺乏,出现违规操作、不按照规范进行操作等现象发生而出现问题。
2.6 信息网络安全制度缺失
随着电力信息化程度的不断深入,要加强信息网络安全制度的规范,不断创设完整的信息网络安全防护制度显得非常重要,这样才能够确实提高电力企业信息网络安全,保障企业经济效益。当时目前而言,在电力信息网络运行的过程之中仍然缺乏统一的规范安全防护制度和监督制度,很大程度上对电力系统信息网络安全造成危害,影响电力信息化水平提高。同时,在电力系统信息网络运行,由于缺乏科学的安全管理制度,很容易在运行过程之中出现大漏洞和缺陷。
3 电力系统信息网络安全防护的具体措施
3.1 提高对安全性的认识
第一,电力企业要加强对电力系统信息网络安全的认识,要将网络信息安全防护体系完善建立,采用分层、分区的管理方法,其中将区城管理分为生产管理区、非控制生产区、实时控制区和管理信息区,并且隔离区城之间的网络物理隔离设备。第二,加强人员素质管理,通过网络安全培训和技能训练,将网络管理工作人员的素质和能力提高。最后,对信息网络体系的密码、技术、数据管理要加强,切实将电力系统信息网络安全系数提高。
3.2 做好信息网络系统的维护与支持工作
在现实电力系统信息网络安全防护中可以采取以下几种安全技术:第一,防火墙技术。网络与网络安全领域的连接入口是防火墙,因此防火墙可以对危害信息进行有效的抵御和及时查询出危险信息,保证电力系统信息网络的安全。因此,在日常工作中要对防火墙的访问设置相应的权限,对非授权连接进行强力防护。第二,漏洞缺陷检查技术。漏洞缺陷检查技术就是对电力系统的信息网络设备进行检测,根据检查情况对设备检测风险进行评估。假如存在安全问题,则要及时采取防护措施进行修复,这样才能够有效避免安全问题发生。第三,数据加密技术。所谓的加密技术,就是对网络传输数据的访问权进行限制,也可以对原始数据进行加密变成密文的技术。数据加密技术主要是防止恶意客户对机密数据文件进行查看、破坏和泄露,有效保证电力系统鑫鑫网络安全,确保能够正常稳定地运行。
3.3 构建科学完善的安全防护体系
在信息化网络的运营过程之中,科学地完善防护体系是提升和优化网络安全的重要措施和根本保障。完善的防护体系能够在具体的管理中对信息化网络出现的问题及时检查,有条不紊地针对加强安全防护,将电力系统信息化网络安全级别提升。技术人应该充分结合电力企业的实际特点和计算机网络安全有关问题规建信息网络的安全防护体系,切忌技术盲目建设,要科学准确地建设信息化安全防护体系。与此同时,在建设防护体系过程之中,考虑到电力信息网络的功能和板块非常多,因此需要技术人员从整体把握安全防护体系,要遵循全面科学原则建设信息网络安全防护体系,使电力系统信息网络的各个功能的安全等级不断提升,能够有效地提升电力系统信息网络的安全效益和质量。
3.4 建立完善的电力系统信息网络监控中心
为了能够提高电力系统信息安全,一定要建立一个综合。统一的信息安全监控中心。为了能够将各项信息有机整合,监控中心可以在各信息网管中心建立,这样即使出现任何影响信息安全问题的情况都能够及时解决。通过监控系统所提供的信息可以对可能出现的异常或故障及时进行预防,防患于未然,保障系统不会发生异常或故障。
3.5 加强网络设备的管理和维护
在电力企业信息网络安全管理中,网络设备起着至关重要的作用。由于网络设备一直处于消耗状态和存在一定的周期和寿命,因此电力企业的安全管理人员要对这些设备进行定期检查和维护,对电力设备及时进行更新更换,从源头上强化信息安全。对于电力企业而言,要及时更新网络技术、更新系统和技术,要做数据备份;对于终端密码及时更换,设置难以破解的密码,以免被窃取。
4 结语
为了电力系统安全运行和对社会可靠供电就必须保证电力信息安全,一旦电力系统信息网络安全遭到破坏将会给电力系统的生产敬意和管理造成巨大损失;因此要通过加强网络安全管理和充分利用先进的网络技术,构建电力系统信息安全防范体系,确保电力系统信息网络能够高效稳定运行。
参考文献:
【关键词】计算机网络 安全问题 防范措施 分析
随着计算机不断融入人们的生活以及工作,人们对于计算机网络的依附力越来越大,但人们在享受计算机带来方便与快捷的同时也受到安全问题的影响,这些隐藏问题不仅制约着计算机技术的发展,也对社会活动带来了不良影响,所以计算机网络的安全防护是实现社会稳定发展所要解决的重点问题之一。但是计算机本身具备较强的技术性,因此其安全防护工作也具备较高难度,尤其对信息技术工作者的要求更高,不仅需要人员具备较强的计算机专业知识,还需要树立终身学习的观念,伴随计算机技术的不断发展及时的革新管理理念,只有这样才能实现对于计算机网络全方位、全时段的安全防护。对此,本文主要做了以下研究。
一、计算机网络安全的特点
计算机信息技术发展本身呈现多样化的发展趋势,因此安全防护工作必须具备全面性,在网络环境的设计以及开发中,必须做好事先、事中、事后的全面防护,健全安全体系才能够最大程度保障网络运行的安全。
首先,计算机网络安全具有多元化的特点。体现在安全风险和安全问题的内容和种类具有多样化,因此当前的安全防护工作中必须以多技术多模式来面对网络安全多元化这一特点。
其次,计算机网络安全具有复杂化特点。尤其是计算机网络的不断发展使得网络连接渠道越来越多,同时影响系统安全的因素也不断增多,最终使网络的安全隐患隐藏在各个部分,所以只有不断的发现问题,解决问题,累积网络安全防护经验,才能够应对各种各样的风险类型。
最后,计算机网络安全具有体系化特点。体现在网络安全制度、安全技术的体系化,在当前形式下只有健全网络安全体系,并且安全防护措施应该根据计算机网络技术的变化而变化,只有这样才能够保证安全防护手段具有先进性,能够发挥出最大的安全防护效果。
二、计算机网络安全中存在的问题
首先,不管是何种操作系统,或多或少都会有安全漏洞,就算及时的发现问题,也需要耗费大量的人力、物力来修复,正是因为这些操作系统的漏洞难以发现或不易修补才给了不法分子可乘之机,其利用远端计算机对存在漏洞的计算机进行扫描,发现漏洞之后实现对计算机的控制,最终使计算机内部资料被篡改或盗取。
其次,网络安全也会受到物理层的较大影响。物理安全威胁包含:自然客观因素对网络的破坏、电磁辐射、密码以及口令被盗取、误删或格式化磁盘、断电、死机。以上问题均属于物理通道被破坏、网线中断等情况。同时物理攻击防范难度较大,因为攻击者并不是利用远端计算机进行破坏,而是直接接触计算机。
然后,病毒、木马对于计算机正常运行带来巨大的阻碍,根据其传播途径可以分为互联网病毒以及局域网病毒,互联网病毒以网络为载体,下载为传播方式;局域网病毒则会使处于局域网内部所有的计算机都染上病毒,最终导致局域网崩溃。
最后,当前互联网的主要协议是TCP/IP,其具有较多优势,例如较强的扩展性和简单性等,但是此协议不会对接入计算机进行权限限制以及安全检测,这是网络协议安全缺陷的主要表现。除此之外还有源地址认证、路由协议、网络控制机制等问题。
三、提高计算机网络安全防范水平的有效措施
首先应该完善计算机网络的安全机制,从法律层面确立计算机网络安全防范的必要性,应该不断完善我国当前有关计算机网络的法律法规,明确指出计算机操作中应该遵循的原则,保护合法用户的权益,严厉打击通过网络散布病毒、盗取他人信息的不法分子。
其次,对于网络安全来说,因为物理层面出现问题导致的安全隐患的现象较多,因此有必要加强物理层的安全防范,这要求强化机房的安全管理力度,硬件设备是计算技术必不可少的载体,在建设机房时候应避免环境因素对计算机造成的影响,包括遮阳、避光等,做好机房的消防工作,必要时可以安设空调调节机房温度,并且使用UPS稳压电源,做好物理层防范的每个细节工作。
最后需要加强用户的安全意识。很多的情况下系统出现安全隐患都是因为用户操作不当。因此要培养良好的上网习惯,包括定期更新杀毒软件、修复系统漏洞、不浏览异常网页、不下载浏览陌生邮件等,同时妥善设置系统管理账号以及密码,并且密码要具有一定的复杂程度,避免过于简单被破解,计算机当中的各项密码不可相同。总的来说只有用户提高安全防范意识,那么很大一部分的网络安全事故就不会发生。
综上所述,伴随网络信息时代的到来,人们在从事社会活动时已经无法离开互联网,那么就应该树立正确的网络安全观念,了解到信息被盗取或遗失造成的后果,从自身做起不断学习计算机知识,养成良好的上网习惯。而技术人员应该从加强管理、优化技术结构的方面来不断为用户提供稳定可靠的上网服务,使计算机网络的经济效益和社会效益得到最大化实现。
参考文献:
[1]周德贤.计算机网络安全的管理与技术探讨[J].消费电子,2013(20).
[2]蔡景装.浅析计算机网络安全以及技术防范措施[J].消费电子,2013(20).
[3]周跃,鄢斌,谷会涛,赵进.计算机网络安全威胁分析及防护体系架构研究[J].计算机安全,2013(12).
关键词:大数据;计算机网络;安全防护
计算机网络是现代化社会的标志性产物,其便捷性和高效性推动了社会、经济和文化的综合发展。为了促使计算机网络能够持续为人类社会提供支持,就必须要保证相对稳定的安全防护工作。
1大数据时代的特征
在大数据时代,依托计算机强大的存储功能、运算功能和输出功能,可以大量的接收、存储、运算及输送各类复杂的数据信息。而且,计算机具有超强的运算能力,相对于传统的数据信息处理实现了真正的高速。除此之外,大数据时代不仅涵盖了文字、图片、语音等其他传统已经实现的数据传播能力,还能够将此类功能进行有效结合,并生成人们主观意愿中的数据模式,实现了人人可以开发设计独特的信息模式。在这些有利特征的作用下,大数据时代必然能够将数据的价值无限开发,为人类社会的发展提供巨大推动作用。[1]
2大数据时代计算机网络安全防护重要性
当代社会已全面处于大数据时代,在享受大数据所提供的便捷同时,人们已经悄然对大数据形成依赖,因此也愈加重视计算机网络安全。计算机网络技术的发展和应用趋于成熟,但是随着各种功能的不断开发,仍然有漏洞或者不足持续出现,人在使用计算机网络技术的过程中必须要严格重视相应的安全防护。计算机网络安全防护既包括硬件方面,也包括软件方面,还包括运行环境方面,三者相辅相成是不可分割的整体,只有全面对计算机网络进行防护,才能从实际意义上保证其安全性,进而不为人们的正常使用造成负面影响。[2]
3大数据时代计算机网络安全问题
计算机网络运行至今,核心的安全问题在于黑客利用系统的漏洞对计算机或网络展开攻击,当然也存在其他因外界环境如地震、台风、洪水等自然灾害对计算机网络安全形成威胁。黑客的攻击主要通过软件而展开,干扰计算机或者网络的正常使用,从而篡改及窃取其中的重要数据信息。[3]计算机网络安全问题可分为四类,主要包括:
3.1拒绝服务攻击
以蠕虫病毒为例,在正常服务过程中,遭遇蠕虫病毒的服务器会在一段时间内接收病毒所发送的大量的数据,从而导致网络忙碌无法回应正常的服务请求,最终导致网站卡顿甚至瘫痪。
3.2解密攻击
解密攻击是以破解密码的方式非法打开并盗取计算机用户的信息。黑客运用解密软件对其他用户密码展开针对性或者广泛破解,一旦成功便可以将窃取的信息进行预定的操作,或者将其出售给被害者的竞争对手,也或者是以盗取的信息作为要挟进行勒索等。
3.3流氓软件
通过隐藏、捆绑的方式安装于用户的计算机中,反复弹出广告窗口影响用户的正常使用,并将用户信息进行窃取、收集并发送个流氓软件开发者,不仅对用户的体验中造成严重干扰,还会对用户信息的安全形成威胁。
3.4木马病毒
木马病毒也是计算机网络安全中影响最大的一个因素。包括2006年的“熊猫烧香”和2017年的“勒索病毒”等,极具隐蔽性和传播性,计算机在不经意间中毒后便会系统紊乱或者瘫痪,一方面病毒能够窃取用户的信息致使用户安全形成隐患,另一方面还会直接对用户进行勒索,否则便不予恢复,直接影响着计算机用户的合法使用权。
4大数据时代计算机网络安全防护策略
基于以上的计算机网络安全问题特征,大数据时代的防护策略必须要具有持续性和针对性:
4.1强化访问权限
访问权限是终端联系主机的合法凭证,也是常用的正规路径,在访问的过程中主机路由器会对来访者进行常规安检,并根据结果同意安全来访者并拒绝存在威胁的来访者。为了进一步保证计算机网络的安全,访问权限在进行软件控制的同时还可以采取硬件操作的方式,根据对方的口令以及授权信息决定能否放行。在双重保护的拥护下,构建了系统的访问流程,不仅能够防止恶意访问入内,还可以对时间段的访问数量和访问频次进行合理控制,成为计算机网络的安全门户环节。
4.2提升防火墙性能
防火墙是计算机网络安全中的核心守卫者,能够成功过滤并阻断来自外网的攻击或者入侵,从而保证内网安全的使用环境,将存有各类信息的内网与潜在威胁外网进行有效隔离,仅允许正常操作下的数据信息进行网内外的传播。防火墙不仅能够拒绝不明信息或者指定网站的访问,还可以实现使用端口甚至目标计算机的关闭。另外,利用物理隔离技术中介质仅有的读写功能,能够显著控制黑客代码的植入或者信息的窃取,即便存在黑客现场手动操作的可能,但是由于大量拖延了时间,防火墙能够及时做出关闭端口或者计算机的反应,使黑客从根本上无法实现操控内网计算机的可能。另外,防火墙的功能还具有识别风险、控制风险、分析风险和反馈风险等,将风险拒之门外保证内网计算机网络安全。随着防火墙性能的不断提升,黑客入侵内网的难度必将越来越大,直至无法实现。
4.3持续优化加密防御技术
计算机网络的安全包括系统完全和信息数据的安全,两者都离不开加密防御技术的支持。网络是开放式的,因此一些不法分子便借助这一便利条件制造可乘之机,控制、篡改或者窃取他人的数据信息,为自己谋取非法利益。在加密技术的作用下,可以讲相关信息转化文毫无关联的乱码,使用者拥有加密权限可以随时进行相互转换,而盗用者却无法将其翻译为有用的数据信息。可以说加密防御技术是计算机网络安全的“最后一道防线”,在安全防护中的地位至关重要,需要持续的进行优化和升级。
5结语
总而言之,在进行计算机网络安全防护工作中,要持之以恒,坚持不懈的进行完善;也要自成系统,综合考虑各方面的影响因素,务必面面俱到、不留死角;更要借鉴科学,无论是科学的技术还是科学的方法都是此项工作的基础。在计算机网络技术的发展中,安全防护工作必然要同步进行,从基础、技术、管理等多个层面保障大数据时代的稳健发展。
参考文献
[1]赵海涛,赵毅.大数据时代计算机信息安全防范措施[J].电子技术与软件工程,2019(05):200.
