发布时间:2023-10-08 10:17:40
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络内容审计样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
在网络会计环境下,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以交流和共享。会计信息涉及交易关联方的各个方面,同时能访问会计信息的用户可能涉及整个网上用户。因此,为了防止信息的使用者恶意破坏和更改会计数据以及会计数据在传输过程中被截取和篡改,审计空间范围必须扩大到交易关联方以及网上有关信息用户。另外网络会计环境下,各业务部门执行的只是子系统中的一部分功能,任何一个工作站所提供的信息都是日常经济活动中不可缺少的组成部分,网络会计的支持还需要一些软硬件的配备。因此,要对计算机网络会计整个系统作出正确的评价,审计的范围将要扩大到服务器、工作站、传输介质、计算机网络会计软件等。
二、网络会计审计的内容
1.网络安全审计。网络安全审计是指,对被审计单位计算机网络系统的管理和防护、监控、恢复三种技术能力以及可能带来的经营风险等进行评估。在网络会计环境下,一方面提供了会计信息的共享性,提高了会计工作的效率;另一方面,电子形式的会计信息容易受到诸如网络故障、计算机病毒、黑客袭击和非法者的入侵等潜在威胁的影响。这些都会严重威胁会计信息和数据的安全。虽然一般的软件都采用了保障信息安全的措施,但是这些措施是否有效、合理,需要网络会计审计来检验鉴证,并作出监控反馈。
2.网络内部控制审计。在网络会计信息系统中,内部控制的重点、方式、内容和范围均发生了变化,使得网络审计不同于传统审计和计算机桌面审计,呈现出新的特点。网络内部控制审计可分为一般控制审计和应用控制审计。针对网络会计信息系统的特征,通过网络内部控制审计,以评价网络会计信息系统的内部控制是否健全、有效,提示内部控制的弱点。
3.应用程序审计。在对一个网络化会计信息系统进行符合性和实质性测试时,由于受到计算机网络程序复杂化和自动化的影响,往往不能仅仅检验数据本身,还须对网络程序的处理和控制进行审计。网络审计中对网络信息系统应用程序的审计目标体现在两个方面:第一,程序处理过程是否与有关的标准及法规相符;第二,考查网络系统程序对错误的检验和控制情况,如对输入网络信息系统中的数据正误的检验,会计证、账、表的试算平衡措施等。不进行相关应用程序审计将会给系统的运行留下隐患。
三、网络会计审计的工作方式
在网络环境下,几乎所有资产都由计算机实时动态管理,企业所有的会计资料和相关资料都存放于互联网上,网络高度的信息共享性、实时性和动态性以及网络信息系统自身强大的核对、检查和内部控制功能,使传统意义上的审计工作被大大简化。审计人员就可采用网络交谈和发电子邮件等方式进行查询和函证,也可进行检查、观察、计算和分析性复核,审计信息输出、审计信息存储和检查等都将充分利用互联网和企业内部网进行,实现了审计工作办公自动化。
四、网络会计审计应注意的问题
1.网络会计审计风险及相应安全控制
在网络环境下,一方面提供了会计信息的共享性,提高了会计工作的效率;另一方面,电子形式的会计信息容易受到诸如网络故障、计算机病毒、黑客袭击和非法者的入侵等潜在威胁的影响,存在诸多安全问题,安全性是必须考虑的核心问题。因此网络会计审计应把网络会计系统的安全审计作为重点。审计人员应在了解企业网络基本情况、安全控制目标、安全控制情况及潜在漏洞等基础上,对企业现存的安全控制措施进行测试。如是否有有效的口令控制,数据是否加密,职能权限的管理是否恰当,是否有持续的供电设备和有关备份设备,对计算机病毒的防范与控制措施是否得当等。
2.网络会计审计频率增大
在网络环境下,由于各个部门可以随时将本部门的数据输入并进行处理,因此数据更新速度快,如果审计人员不能跟上系统更新的频率,不能及时调查和获取一些中间结果,就很难作出审计判断。也就是说,网络会计的实时性促使审计工作也具有了“实时”的特点。
【关键词】计算机,网络,安全,防范
一、计算机网络安全的定义
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。
二、计算机网络不安全因素
1、每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,指的是一个由软件和硬件设备组合而成,在内部网和外部网之间,专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。
但防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN内部的攻击,若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。
2、操作系统存在的安全问题
操作系统是作为一个支撑软件,使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
1)操作系统结构体系的缺陷。
2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。
3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。
4)操作系统会提供一些远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行,如telnet。
5)操作系统的后门和漏洞。
6)尽管操作系统的漏洞可以通过版本的不断升级来克服,但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。
3、只要有程序,就可能存在BUG。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
4、黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
三、计算机网络安全的对策
现阶段为了保证网络工作顺通常用的方法如下:
1、网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
2、配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
3、采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。
4、Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
5、漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
6、IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
随着IT技术的飞速发展,企业对网络越来越依赖,企业的运营方式、组织形式、商品交易的支付手段等正快速走向数字化。当企业的商业化应用与互联网结合就形成了如今的电子商务形式。由于企业进行商品交易的活动是在互联网上运行的,其业务的平台或基础是建立在互联网上的网站,商业活动产生的数据需要通过互联网进行传输,企业电子商务网站为客户提供的商务服务、企业形象展示、品牌推介、产品交易、数据库内容及客户账号信息等数据均需要在相应网站上进行存储,网站运行在完全开放的网络上必然会出现安全问题,如病毒入侵、黑客攻击等,因此网络安全问题也成了企业商务活动十分关注的问题。
2企业电子商务网站网络安全风险
2.1黑客攻击
目前黑客对企业电子商务网站的攻击方式主要有拒绝服务攻击、网站后门攻击、恶意脚本攻击、跨站脚本攻击、网页篡改、信息炸弹、密码破解等。这些攻击的主要目的是获取网站服务器的控制权,窃取系统中的数据和密码,窃取用户资金,破坏企业电子商务网站系统。
2.2病毒入侵
目前全球已知病毒已近2亿种,新病毒或病毒变体每天都在发现,病毒造成的危害越来越大,病毒入侵造成的破坏已成为企业电子商务活动的重大威胁,目前主要的病毒危害有“木马病毒”、“网页病毒”、“蠕虫病毒”等。
2.3系统或软件漏洞
当系统或软件存在逻辑设计上的错误或设计者对安全的忽略时,系统或软件就会存在安全漏洞。在企业电子商务网站上系统或软件漏洞因各种原因是可能存在的,这对企业电子商务活动将造成非常大的危害,可能被不法分子恶意攻击,他们可能轻易进入网站服务器系统,随意修改和窃取用户信息。
2.4缺乏IT管理
企业对其电子商务网站或系统缺乏严格的管理,导致遭受攻击和破坏。
3企业电子商务网站网络安全需求
3.1网络互联和通信安全需求
提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段。
3.2服务器系统安全需求
对网络和主机设备实行主动的漏洞检测和安全评估,及时发现操作系统和数据库系统中存在的安全漏洞;对关键的服务器操作系统进行安全加固,通过严格的用户认证、访问控制和审计,防止黑客利用系统安全管理功能的不足进行非法访问,同时避免内部用户的滥用。
3.3应用系统安全需求
建立好CA认证系统,加强对关键应用系统的用户认证和管理;建立企业级网络防病毒措施,对病毒传播的所有可能的入口进行严格控制,尤其防范病毒通过互联网连接侵入内部网络。
3.4业务系统的安全需求
访问控调、数据安全、入侵检测、来自网络内部其他系统的破坏。
3.5安全管理需求
校园网络需要建立完善的安全管理制度,加强对工作人员的安全知识和安全操作培训。
4企业电子商务网站网络安全体系总体结构设计
4.1VPN网络子系统
VPN网络是在电信公司提供的城域网上实现的。企业电子商务网站网络采用独立的VLAN。为了保障各用户点不同的业务,可采用VLAN、MAC地址绑定、ACL访问控制列表来实现安全控制。采用IPSEC组建VPN虚拟专用网,IPSecVPN技术建立从网点路由器到中心路由器的VPN隧道,该VPN隧道里主要传输的是企业电子商务网站中心主业务系统的数据。VPN网络子系统实现各用户点到中心多业务数据的安全可靠传输。
4.2安全检测子系统
在网络的WWW服务器、Email服务器等各种服务器中使用网络安全检测子系统,实时跟踪、监视网络,截获互联网上传输的内容,并将其还原成完整的WWW、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网络中心报告,采取措施。利用专门的日志分析工具对保存在数据库中的访问日志进行统计并绘制统计图,可以对访问地址和流量进行分析,对于明显的攻击便可一目了然。
4.3防火墙子系统
防火墙是一种网络隔离控制技术,在企业电子商务网站网络上安装防火墙可将内部网络与外部网络进行隔离,同时对传输信息进行过滤。防火墙可按照网络管理者设定的过滤规则允许或限制内外网之间、计算机与网络之间的数据传输,只有经授权的通信才能通过防火墙。防火墙是企业电子商务网站整个安全系统的基础和基本防护措施,通过防火墙的部署,解决全网的安全基础问题。核心防火墙采用双机设备方式工作。4.4入侵检测子系统入侵监测子系统解决各个安全区域的“安全守卫”工作。在企业电子商务网站网络中采用入侵检测技术,最好采用混合入侵检测,从基于网络的入侵检测和基于主机的入侵检测两方面着手。
4.5网络防毒子系统
采用多层次的立体防护体系,对客户端计算机、服务器、网关等均安装相对应的防病毒系统。在网站中心部署一台防病毒服务器,设置集中控制系统。实现全网各个不同安全区域防病毒,做到统一升级,集中监控查杀病毒以及客户端PC机器的安全控制。采用“集中管控、层层防护、防杀结合”的策略。
4.6漏洞扫描子系统
解决网络安全问题,首先要清楚网络中存在什么安全隐患。漏洞扫描技术可自动扫描远端或本地主机的安全薄弱点,并将扫描得到的信息以统计方式输出,为网络管理员提供分析和参考。漏洞扫描还可以确认各种配置的正确性,避免网站遭受不必要的攻击。
4.7WSUS子系统
在内网配置一台WSUS服务器,用来做内网的升级服务器和控制台。在独立的外网的WSUS服务器升级后,导出升级数据,将数据文件通过存储介质导入内网的WSUS服务器上完成服务器的升级。
4.8监听维护子系统
对网络内部的侵袭,可采用为网络内部的各个子网做一个具有一定功能的审计文件,为管理人员分析内部网络的运作状态提供依据。
4.9管理制度子系统
为保证各项安全措施的实施并真正发挥作用,针对每个安全层次,分别制订相应的可实施的规章制度。
4.10备份恢复子系统
建立网络系统良好的备份和恢复机制,可在设备出现故障或是网络遭受攻击时,能尽快地恢复数据和系统服务。数据容灾系统使用两个存储器,一个放置在本地,另一个放置在异地,在两个存储器之间建立复制关系。异地存储器实时复制本地存储器的关键数据。
4.11数据加密技术
对内外网之间交互的信息采用加密技术。
5结论
论文摘要:为了更有效防止文件的非法访问和输入、输出。就需要一套合理有效的电子文档安全管理方案。以犯罪行为心里学为理论指导,以安全事件过程管理为主线,实现事前预防、事中控制、事后审计的安全管理。
现在大家谈论到信息安全,首先想到的就是病毒、黑客入侵,在媒体的宣传下,病毒、黑客已经成为危害信息安全的罪魁祸首。然而,对计算机系统造成重大破坏的往往不是病毒、黑客,而是组织内部人员有意或无意对信息的窥探或窃取。从技术上来讲,内部人员更易获取信息,因为内部人员可以很容易地辨识信息存储地,且无需拥有精深的it知识,只要会操作计算机,就可以轻易地获取自己想要得资料,相对而言,黑客从外部窃取资料就比较困难,首先,他们要突破防火墙等重重关卡,然后,还要辨别哪些是他们想要的信息。
fbi和csi对484家公司进行了网络安全专项调查,调查结果显示:超过85%的安全威胁来自单位内部,其中16%来自内部未授权的存取, 14%来自专利信息被窃取, 12%来自内部人员的欺骗,只有5%是来自黑客的攻击;在损失金额上,由内部人员泄密导致的损失高达60,565,000美元,是黑客所造成损失的16倍,病毒所造成损失的12倍。这组数据充分说明了内部人员泄密的严重危害,同时也提醒国内组织应加强网络内部安全建设。
1 电子文档泄密途径主要有以下几点
1)通过软盘驱动器、光盘驱动器、光盘刻录机、磁带驱动器等存储设备泄密;
2)通过com、lpt端口、调制解调器、usb存储设备、1394、红外线等通讯设备泄密;
3)通过邮件、ftp等互联网方式 泄密;
4)接入新的通讯或存储设备,如:硬盘;
5)通过添加打印机、使用网络打印机将资料打印后带出;
6)通过便携式电脑进入局域网窃取信息,带离单位;
7)随意将文件设成共享,导致不相关人员获取资料;
8)将自己的笔记本电脑带到单位,连上局域网,窃取资料。
此外,还有很多其他途径可以被别有用心的内部人员利用以窃取资料。
2 传统解决方案的弊端
传统方案一:“我们已经部署了防火墙或专网”
防火墙或专网可以防止外部人员非法访问,但不能防止内部人员有意或无意地通过邮件或者移动存储设备将敏感文件泄露。
传统方案二:“我们给文档设置了访问口令”
口令并不能从根本上解决问题:先口令可以随着文档一起传播;
其次即使设置了口令只能简单的区分用户是否可以访问该文档,而不能限制用户对该文档的操作权限(如复制、另存和打印等操作)。
传统方案三:“我们安装内网安全管理系统封住电脑usb接口、拆掉光驱、软驱、内网与外网断开、不允许上互连网络 ”
文档的原始作者泄密;文档在二次传播的过程中失、泄密。
3 电子文档安全有效控制方案
为了更有效防止文件的非法访问和输入、输出。就需要一套合理有效的电子文档安全管理方案。
以犯罪行为心里学为理论指导,以安全事件过程管理为主线,实现事前预防,事中控制,事后审计的安全管理。
3.1制定周详的事前预防策略
1) 控制信息传递途径,如通讯设备、存储设备;
2) 通过网络接入保护,限制外来电脑接入局域网;
3) 报警策略能够提示非法接入;
4) 互联网信息传递阻断策略能够阻断非法信息传递。
3.2 对泄密行为事中记录和控制,并及时启动控制和报警策略
1) 对泄密过程进行屏幕记录,方便现场查看,事后回放;
2) 详尽的电子文档操作痕迹记录,包括访问、创建、复制、改名、删除、打印等操作,便于信息泄密事后追查;
3) 集中审查终端共享,防止共享泄密行为。
3.3 详尽的日志信息,提高了事后追查的准确率
1) 进行电子文档操作及屏幕记录;
2) 对互联网信息传递进行记录,便于信息泄密事后追查;
3) 审计系统用户日志。
4 电子文档安全系统功能及技术阐述
1)禁用设备
程序功能:可按某台、某组或整个网络禁止使用哪些设备,包括:存储设备、通讯设备、打印设备、新加入的设备及其它属性。
管理作用:根据风险评估,制定事前预防策略,根据策略对相应的设备进行禁止,预防文件泄密。可以灵活的开启,不影响正常使用。
2)报警规则
程序功能:设置某个或某类文件的各种操作报警规则。
管理作用:对泄密者添加泄密设备(如:闪存、移动硬盘等)实现及时报警,对相应的文件或某个类型文件的操作实现及时报警,为安全事件发生后进行及时管理提供帮助。
3)网络端口管理(接入保护)
程序功能:通过设置禁用139和445端口,控制共享端口。
管理作用:可根据需要灵活的设置外来计算机跟网内计算机的通讯方向。
4)网络共享
程序功能:可以及时查看和删除网络内任意计算机的网络共享文件夹。
管理作用:员工往往因为工作需要设置共享文件夹,却容易被别有用心的员工或外来计算机窃取。
5)文档操作
程序功能:可以详细的记录每个员工在本机及网络上操作过的文件,包括访问、创建、复制、移动、改名、删除、恢复以及文档打印等记录。
管理作用:让泄密行为的痕迹得到监控,为泄密行为的事中发现,事后追查提供了帮助,弥补了电子文档安全管理中的最薄弱环节。
6)锁定计算机
程序功能:可以锁定网络内任意计算机的键盘和鼠标操作。
管理作用:若发现网内计算机有非法操作,可及时控制,挽回损失。
7)邮件、ftp和msn监控
程序功能:记录通过pop和smtp协议收发的邮件正文内容及附件,如:outlook、foxmail等,可记录通过web方式、ftp收发的邮件、传输的文件目标去向及名称。
管理作用:实现互联网传递信息的安全管理,实现邮件备份管理,提高事后追查的便利性。
8)上网限制
程序功能:通过多种策略规范员工上网行为,比如:收发邮件、浏览网页、ftp、使用其它连接。若外发数据超过一定数值,可阻断此类行为。
管理作用:方便管理者对网络行为进行集中控制,避免通过互联网进行信息泄密。
参考文献:
[1] 綦科,谢东青.网络电子文档安全管理研究[j].计算机安全,2006(10).
[2] 祖峰,熊忠阳,冯永.信息系统权限管理新方法及实现[j].重庆大学学报:自然科学版,2003(11).
[3] 邹伟全.文档一体化理论依据新探[j].北京档案,2002(3).
目前,企业赖以生存的网络环境非常恶劣,APT攻击、病毒、钓鱼软件随时威胁着正常的网络秩序。但在云计算和移动互联网业务被委以重任的当下,各种网络终端和安全设备又产生出了令人震撼的日志数据,这使得日志管理与安全审计工作变得越来越复杂。在茫无边际的日志档案面前,要发现异常行为的源头,或是找出可以支撑决策数据依据,都会让企业IT人员付出极大的时间和人力成本。对此, WatchGuard 推出了Dimension云安全网络解决方案,利用多维视角和独有的可视化日志管控平台,帮助企业在大数据时代收集威胁情报,并拥有快速分析日志和挖掘数据的控制力。
WatchGuard中国区市场总监万熠表示:在安全方面,日志可以让你看到网络中正在发生的任何事情,并保护企业免受恶意软件困扰与APT攻击。同时,高价值的日志还能指导优化服务器和业务服务模式来提高运营效率,并解决法规遵从等一系列的问题。但在世界各地,用户层面的网络安全专家告诉我们,他们已经淹没在海量的日志数据里,要找出那些有价值的数据,将会消耗大量的人力和时间成本,在关键问题上也无法为他们的网络威胁防御和业务优化做出正确的决策支撑。据了解,Dimension云安全网络解决方案可以在不需要任何设备的前提下,帮助企业将日志分析延伸至公用云、私有云、混合云的任何一个角落,并通过多维度的安全报告和可视化的工具,在第一时间洞察网络变化并设置更为专业的安全策略。
在更高效和便捷的云操作环境,WatchGuard Dimension采用了可对不同层级人员提供独立日志报表的数据输出结构,而分层的树型操作方式更可以让各种关键流量一目了然。另外,基于全球威胁地图的展现层设计和超过70种数据集合的报告,都可以让深入网络内部探测的结果更加可视化,这包括动态的仪表盘、专业的指导意见、优秀客户的实践结果。万熠表示:“云计算和大数据带来了各种挑战和机会,而安全管理一样可借助有效的云计算和大数据分析技术,构建性价比更高海量日志管理系统。WatchGuard Dimension可立即实现把原始数据转化为可操作的决策,这正符合了用户需要在大数据面前掘金的需求。”
关键词:计算机网络系统配置要求;安全系统;施工过程;质量控制
中图分类号:TP393.1文献标识码:A文章编号:1007-9599 (2012) 03-0000-02
The Quality Control of Residential District Network and Information Security Systems
Li Junling
(Harbin University of Commercial,Harbin150028,China)
Abstract:The residential area network and information security systems are linked together through a variety of control devices,sensors and actuators to achieve real-time information exchange,management and control via the fieldbus,Ethernet or broadband access network.This paper describes the quality control of the living cell network and information security systems to protect the quality of the project,the purpose of improving service quality.
Keywords:Computer network system configuration requirements;
Security system;Construction process;Quality control
一、引言
居住小区网络及信息服务安全系统的网络是以广域网、局域网和现场总线为物理集成平台的多功能管理与控制相结合的综合智能网。它的功能强大、结构复杂,应充分考虑现有技术的成熟程度和可升级性来确定居住小区的网络结构。
(一)居住小区计算机网络系统配置要求的质量控制
1.按国家城镇建设行业标准CJ/T×××―2001中的要求进行检查。居住区宽带接入网可采用FTTX,HFC和XDSL中任一种与其组合,或按设计要求采用其他类型的数据网络。
2.居住区宽带接入网应提供如下功能:①支持用户开户/销户,用户流量时间统计,用户流量控制等管理功能;②应提供安全的网络保障;③居住区宽带接入网应提供本地计费或远端拨号用户认证(RADIUS)的计费功能。
3.控制网中有关信息或基于IP协议传输的智能终端,应通过居住区宽带接入网集成到居住区物业管理中心计算机系统中,便于统一管理,资源共享。
(二)居住小区计算机网络提供信息服务的内容
居住小区计算机网络提供信息服务包括Internet网接入服务、娱乐、商业服务、教育、医疗保健、电子银行、家政服务、建立住户个人电子信箱和个人网页和资讯等内容
二、居住小区网络及信息服务安全系统质量控制要求
网络安全问题涉及网络和信息技术各个层面的持续过程,从HUB交换机、服务器到PC机,磁盘的存取,局域网上的信息互通以及Internet的驳接等各个环节,均会引起网络的安全,所以网络内的产品(包括硬件和软件)均应严格把关。
1.定购硬件和软件产品时,应遵循一定的指导方针,(如非盗版软件)确保安全。
2.任何网络内产品的采购必须经过审批。
3.对于所有的新系统和软件必须经过投资效益分析和风险分析。
4.网络安全系统的产品均应符合设计(或合同)要求的产品说明书、合格证或验证书。
三、居住小区网络及信息服务安全系施工过程质量控制要点
按照有关对网络安全系统的设计要求,在网络安装的各个环节进行监督指导。
1.防火墙的设置。应阻挡外部网络的非授权访问和窥探,控制内部用户的不合理流量,同时,它也能进一步屏蔽了内部网络的拓补细节,便于保护内部网络的安全。
2.服务器的装置。应保证局域网用户可以安全的访问Internet提供的各种服务而局域网无须承担任何风险。
3.网络中要有备份和容错。
4.操作系统必须符合美国国家计算机安全委员会的C2级安全性的要求。
5.对网络安全防御的其他手段,如IDS入侵检测系统,密罐和防盗铃,E-mail安全性,弱点扫描器,加密与网络防护等均应一一检查。
6.应检查“系统安全策略”内容是否符合实际要求。对于信息系统管理员还包括安全协定,E-mail系统维护协定和网络管理协定等,确保所有的系统管理人员能够及时报告问题和防止权力滥用。最好建议印成安全手册或于内部网上,使每个员工都能得到准确的信息。
7.网络宜建立应及事件反映处理小组,并制定灾难计划,尤其是提出保证系统恢复所需的硬件环境和有关人员。
8.应用系统安全性应满足以下要求:
(1)身份认证:严格管理用户帐号,要求用户必须使用满足安全要求的口令。
(2)访问控制:必须在身份认证的基础上根据用户及资源对象实施访问控制;用户能正确访问其获得授权的对象资源,同时不能访问未获得授权的资源时,判为合格。
9.操作系统安全性应满足以下要求:
(1)操作系统版本应使用经过实践检验的具有一定安全强度的操作系统。
(2)使用安全性较高的文件系统。
(3)严格管理操作系统的用户帐号,要求用户必须使用满足安全要求的口令。
10.信息安全系统质量验收要求:
(1)物理系统安全检察(规章制度、电磁泄漏等)。
(2)信息安全测试(模拟攻击测试、访问控制测试、安全隔离测试)。
(3)病毒系统测试(病毒样本传播测试)。
(4)入侵检测系统测试(模拟攻击测试)。
(5)操作系统检查(文件系统、帐号、服务、审计)。
(6)互联网行为管理系统(访问控制测试)。
(7)应用系统安全性检查(身份认证、访问控制、安全审计等)。
四、常见质量问题
1.无法保存拨号网络连接的密码。
2.发送的邮件有时会被退回来。
3.浏览中有时出现某些特定的错误提示。
4.主机故障。
[现象]PC1机在进行了一系列的网络配置之后,仍无法正常连入总部局域网。如图1网络结构所示。
图1网络结构
说明:某用户新购一台PC1,通过已有HUB连入总部局域网。
[原因分析]
检测线路,没有发现问题。然后,查主机的网络配置,有配错,该机的IP地址已被其他主机占用(如PC2),导致两机的地址冲突。
[解决方法]
重新配置一个空闲合法地址后,故障排除。
总之,此类故障可归纳为主机故障,可分为以下几类:
①主机的网络配置不当;②服务设置为当;③未使用合法的网络用户名及密码登录到局域网上;④共享主机硬盘不当。
解决的方法,目前只能是预防为主,并提高网络安全防范意识,尽量不让非法用户有可乘之机。
五、结束语
建立一个高效、安全、舒适的住宅小区,必须有一套完整的高品质住宅小区网络及信息服务安全布线系统,按照用户的需求报告,本着一切从用户出发的原则,根据多年来的丰富施工经验,作出可靠性高及实用的技术配置方案,保障居住小区网络及信息服务安全系统工程质量,提高网络及信息服务安全系统的服务质量。
参考文献:
[1]Chris Brenton,Cameron Hunt.网络安全积极防御从入门到精通冯树奇[M].金燕.北京:电子工业出版社,2001
[2]刘国林.综合布线[M].上海:同济大学出版社,1999
[3]杨志.建筑智能化系统及工程应用[M].北京:化学工业出版社,2002
[4]沈士良.智能建筑工程质量控制手册[M].上海:同济大学出版社,2002
[5]中国建设监理协会.建筑工程质量控制[M].北京:中国建筑工业出版社,2003
[6]中国建设执业网.建筑物理与建筑设备[M].北京:中国建筑工业出版社,2006
[7]彭祖林.网络系统集成工程项目投标与施工[M].北京:国防工业出版社,2004
[8]姜湘山.高层建筑设备安装工程指南[M].北京:机械工业出版社,2005
关键词:校园网络;信息安全;防范策略
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6631-02
1 概述
网络信息安全是指保护信息财产,防止信息被非授权地访问、使用、泄露、分解、修改和毁坏,以求保证信息的保密性、完整性、可用性和可追责性,使信息保障能正确实施、信息系统能如意运行、信息服务能满足要求。随着计算机技术和通信技术的发展,认清信息系统的脆弱性和潜在威胁,采取必要的安全策略,对于保障信息系统的安全性将十分重要。同时进行信息系统安全防范,不断追踪新技术的应用情况,及时升级、完善自身的防御措施[1-2]。
1.1 网络安全的基本组成
从内容上看,网络安全大致包括四个方面:
1) 网络实体安全:如计算机的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的安装及配置等。
2) 软件安全:如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等。
3) 网络中的数据安全:如保护网络信息的数据安全,不被非法存取,保护其完整、一致等。
4) 网络安全管理:如运行时突发事件的安全处理等,包括采取计算机安全技术,建立安全管理制度,开展安全审计,进行风险分析等内容。
1.2 网络信息安全的目标
1) 完整性:完整性是指信息未经授权不能被修改、不被破坏、不人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
2) 可用性:可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息。
3) 可控性:可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
4) 保密性:保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。
5) 可审查性:在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
2 校园网安全管理的特点及常见威胁[3-4]
2.1 校园网安全管理的特点
校园网是学校发展的重要基础设施,它不仅为学校提供各种本地网络应用,同时也是沟通学校校园网内外部网络的桥梁。笔者根据自身校园情况,认为当前校园网有以下特点:
1) 操作方便,易于管理:校园网接入复杂而且面积较大,网络维护需要方便快捷,设备网管性强,从而方便网络故障的快速排除。
2) 认证计费:校园网对学生上网必须进行有效的控制和计费策略,以提高网络的利用率。
3) 安全可靠:校园网中同样有大量关于档案管理和教学的重要数据,如果被破坏或窃取,对学校都将是一个很大的损失;
4) 校园信息结构出现多样化:校园网应用分为办公管理、电子教学和远程通讯等三大内容。数据类型复杂,不同类型数据对网络传输有不同的质量需求;
5) 高速的局域网连接:由于校园网的核心是面向自身校园师生的网络,因此局域网是建设重点。网络信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项重要要求。
2.2 校园网络信息的主要威胁
网络病毒是校园网络信息的最主要威胁,它除了具有可传播性、可执行性、稳蔽性、破坏性等计算机病毒的共性外,还具有一些新的特点:
1) 感染速度快:只要有一台工作站中病毒,几分钟内就可能将网上的数百台计算机全部感染。
2) 扩散面广:病毒在网络中扩散速度快、扩散范围大,不仅能迅速感染局域网内的所有计算机,还能通过网络将病毒在一瞬间传播到千里之外。
3) 传播形式复杂多样、难于彻底清除:单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除,而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染,甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。
4) 破坏性大:网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则导致网络崩溃,服务器信息被破坏。
5) 潜在危险性大。校园网络一旦感染了病毒,即使病毒已被清除,其潜在的危险也是巨大的,大部分的网络在病毒被清除后一个月内会再次感染。
6) 黑客攻击手段与病毒破坏技术相结合。病毒开始利用操作系统以及包括IE、outlook 、ICQ等常用网络软件的安全漏洞,进人机器内部进行远程控制,造成数据外泄及系统破坏。
3 网络安全的防范[5-7]
1) 网络病毒的防范:在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的防病毒产品:一个由服务器端统一控制管理客户端的全方位、多层次的防病毒软件。针对网络中所有可能的病毒攻击点设置对应的防病毒策略,并通过定期或不定期的升级,使网络免受病毒的侵袭。
2) 防火墙技术:防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。防火墙技术是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制进、出一个网络的权限,在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计,防止外部网络用户以非法手段通过外部网络进入内部网络,访问、干扰和破坏内部网络资源。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间的任何活动,保证了内部网络的安全。在局域网网络出口设置防火墙,并对防火墙制定安全策略,对一些不安全的端口和协议进行限制,使所有的服务器、工作站及网络设备都在防火墙的保护之下,同时配置一台日志服务器记录、保存防火墙日志,详细记录了进、出网络的活动,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源。
3) 入侵检测系统:入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。入侵检测属于动态的安全技术,它能帮助系统主动应对网络攻击,扩展了系统管理员的安全管理能力,同时也提高了校园网信息安全基础结构的完整性。入侵检测系统能在不影响校园网络性能的情况下能对校园网络进行监测,从而实现对内部攻击、外部攻击和误操作的实时保护。
4) 身份认证:身份认证是任何一个安全的计算机所必需的组成部分。身份认证必须做到准确无误地将对方辨认出来,同时还应该提供双向的认证,即互相证明自己的身份,网络环境下的身份认证比较复杂,因为验证身份的双方都是通过网络而不是直接接触的,传统的指纹等手段已无法使用,同时大量的黑客随时随地都可能尝试向网络渗透,截获合法用户口令并冒名顶替,以合法身份入网,所以目前通常采用的是基于对称密钥加密或公开密钥加密的方法,以及采用高科技手段的密码技术进行身份验证。
5) 漏洞扫描系统:面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络 安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
6) 访问控制技术:访问控制根据用户的身份赋予其相应的权限,即按事先确定的规则决定主体对客体的访问是否合法,当一主体试图非法使用一个未经授权使用的客体时,该机制将拒绝这一企图,其主要通过注册口令、用户分组控制、文件权限控制三个层次完成。此外,审计、日志、入侵侦察及报警等对保护网络安全起一定的辅助作用,只有将上述各项技术很好地配合起来,才能为网络建立一道安全的屏障。
7) IP盗用问题的解决:在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
8) 利用网络监听维护子网系统安全:对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
4 结束语
本文所提到的校园网络安全防范只是加强安全性的建议,并不是做到这些就可以保证万无一失。认清信息系统的脆弱性和潜在威胁,采取必要的安全策略,对于保障信息系统的安全性将十分重要,只有当网络中的使用者学会如何安全的使用网络资源时,才能最终保证整个网络的安全。总之,网络安全是一个综合性的课题,只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为校园网络提供强大的安全服务。
参考文献:
[1] 李卫.计算机网络安全与管理[M].北京:清华大学出版社,2004.
[2] 李俊宇.信息安全技术基础[M].北京:冶金工业出版社.2004.
[3] 哈利,贾建勋,译.计算机病毒揭秘[M].北京:人民邮电出版社,2002.
[4] 程胜利,谈冉,熊文龙,等.计算机病毒及其防治技术[M].北京:清华大学出版社,2004.
[5] 宁章.计算机及网络安全与防护基础[M].北京:北京航空航天大学出版社,1999.
关键词:应急移动 Ad Hoc网络 入侵检测
中图分类号:TP393.08 文献标识码:A 文章编号:1672-3791(2017)04(b)-0004-02
应急移动Ad Hoc网络,能够在战场、救灾等环境中,提供稳定的应急通信,利用Ad Hoc网络的点对点服务,促使应急移动通信网络,在任意节点之间,构建多跳的通信路径。随着应急移动Ad Hoc网络的应用,安全保护成为网络应用中的一项重要内容,全面落实入侵检测方法,改善应急移动Ad Hoc网络的运行环境,进而提高入侵检测方法在应急移动Ad Hoc网络中的服务水平。
1 应急移动Ad Hoc网络的安全防御目标
应急移动Ad Hoc网络运行中,要求入侵检测技术具备安全防御的目标。针对入侵检测技术,规划应急移动Ad Hoc网络中的安全防御目标[1]。首先是可用性目标,当入侵检测技术识别出应急移动Ad Hoc网络内的攻击行为时,此项技术应该处于可随意性的状态,根据网络提供各类型的防御服务;然后是完整性目标,入侵检测技术在应急移动Ad Hoc网络中,提供完整的检测方法,避免网络中的任何一个节点,受到攻击干扰,加强应急移动Ad Hoc网络入侵检测的控制力度;最后是安全目标,入侵检测技术保障应急移动Ad Hoc网络,可以达到安全的标准,维护应急移动Ad Hoc网络的安全性。
2 应急移动Ad Hoc网络的入侵检测技术
2.1 入侵检测技术分析
应急移动Ad Hoc网络中,应该具备入侵检测的条件[2]。入侵检测能够把控应急移动Ad Hoc网络中的恶意攻击行为,主动识别应急移动Ad Hoc网络中正在入侵或已经入侵的攻击行为,一旦发现网络中有入侵行为,就会提供准确的攻击方法,实时保护应急移动Ad Hoc网络,能够在网络的内部、外部实行攻击保护。入侵检测技术弥补了网络防火墙的不足,具有实时保护的特征,完善了应急移动Ad Hoc网络的运行环境。
2.2 入侵检测技术类型
应急移动Ad Hoc网络中,入侵检测技术类型的划分,存有两种依据。第一种是按照应急移动Ad Hoc网络审计数据的来源划分,其可将入侵检测技术分为主机和网络两个部分:基于主机的入侵检测,是指入侵检测技术,审计应急移动Ad Hoc网络主机中的相关文件,通过检查主机文件,判断移动应急Ad Hoc网络的运行是否安全;基于网络的入侵检测,专门检测应急移动Ad Hoc网络中的数据流,根据网络中的数据流量,分析网络是否发生攻击,此时,入侵检测技术保护的是整个应急移动Ad Hoc网络。
第二种技术分类方法,是按照检测方法规划的,表现为三类:误用检测,将已经存在的攻击,记录到数据库内,入侵检测在应急移动Ad Hoc网络中,获取的现行数据,与数据库对比,经过匹配后启动入侵检测方案;异常检测,规范应急移动Ad Hoc网络的安全行为,入侵检测根据安全行为标准实行检测与监督,分析网络运行实际与规范的差异,判断是否有入侵行为;混合检测,综合误用检测与异常检测,提高入侵检测技术的实施效率,避免应急移动Ad Hoc网络中出现遗漏的攻击,全面保护应急移动Ad Hoc网络。
2.3 入侵检测系统结构
应急移动Ad Hoc网络中的入侵检测技术,其系统结构有三类,分别是:(1)单节点式,应急移动Ad Hoc网络的各个节点,都配置了入侵检测技术,在每个节点,都实行独立的检测,节点之间不存在相互协作或相互影响的问题,简化了系统结构;(2)分布协作式,入侵检测在应急移动Ad Hoc网络中,设计了,用在本地检测上,节点处的入侵检测,参与全部的网络入侵检测,在协作条件下,落实入侵检测技术;(3)层次式,其为分布式协作的延伸,更适用于应急移动Ad Hoc网络,除了节点以外,入侵检测系统在簇头节点处,既监视节点安全,又监视应急移动Ad Hoc网络的全局安全。
3 入侵检测在应急移动Ad Hoc网络中的案例
该文以某应急移动Ad Hoc网络为研究对象,探讨入侵检测技术的实际应用。该案例中,入侵检测技术的应用,更为3个阶段,分析为以下几点。
3.1 攻击
应急移动Ad Hoc网络运行的过程中,入侵检测技术发现了黑洞攻击,在网络的节点处,发生了黑洞攻击,以便入侵应急移动Ad Hoc网络[3]。入侵检测时,黑洞攻击在网络节点上,更改了序列号,向网络中的节点,同时发送攻击文件,在攻陷应急移动Ad Hoc网络时,吸收网络中的数据,形成数据黑洞,导致网络中丢失大量的数据。
3.2 预处理
该案例中,入侵检测技术发现了黑洞攻击,采取了预处理技术,根据网络协议中的流量特征,经过比较后发现了黑洞攻击,处理了4个有攻击特征的节点。应急移动Ad Hoc网络,记录了安全状态下,节点的数据流量状态,入侵检测技术评估4个被攻击节点周围的临近节点,经过比对后,及时发现存在黑洞攻击的节点。
3.3 检测技术
入侵检测技术在该网络内,识别攻击的能力强,防御的速度快,体现出了高效防御的特征[4]。入侵检测技术的应用,提供了多样化的防御方法,实时、全面的保护应急移动Ad Hoc网络的安全性,促使其在使用中,保持高效的状态。
4 结语
入侵检测技术在应急移动Ad Hoc网络中,根据网络运行的安全防御目标,积极落实各项技术的应用,必要时构建安全评价指标系统,专门用于评估入侵检测技术的实践价值,以便满足应急移动Ad Hoc网络的安全需求。入侵检测技术具备全面性的特征,根据应急移动Ad Hoc网络的实际情况,采取主动防御的措施,完善应急移动网络的通信环境。
参考文献
[1] 高春晓.移Ad Hoc网络入侵检测技术研究[D].南昌大学,2010.
[2] 李星星.移动Ad Hoc网络入侵检测系统的研究[D].中南大学,2009.
