时间:2023-03-16 16:30:00
序论:在您撰写计算机安全论文时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
目前,医院计算机网络安全管理是网络研究者的一项重要课题,通常是指网络通信的安全、传输数据的安全两部分组成。医院计算机网络安全面临的威胁概括为几个方面。
(1)医院计算机网络病毒威胁。计算机病毒始终是计算机系统安全的一个无法根除的威胁,破坏操作系统和应用软件。尤其是在网络环境下,病毒传播速度快,辐射范围广,更加难以彻底根除,一旦病毒侵入计算机网络系统,就会导致网络利用率大幅下降,系统资源遭到严重破坏,也可能造成网络系统整个瘫痪。
(2)医院计算机网络应用程序漏洞。现今,网络上使用的应用软件或者是系统软件总是存在各种各样的技术漏洞,并不是非常完美和安全。这些漏洞正是“黑客”等利用各种技术进行攻击的薄弱部位。
(3)医院计算机网络管理漏洞。只有对网络上存储、传输的数据信息进行严格管理,才能确保网络安全。但是大部分的企业在管理方面都做得不够好,根本不重视网络信息的安全保护,也没有投入一定的物力、人力以及财力来加强网络安全的防护,导致管理上存在漏洞。
2构建计算机安全主动防御体系
2.1网络管理医院计算机网络安全主动防御模型中,网络管理具有重要的作用,其位于主动防御的核心层面。网络安全管理的对象是安全管理制度、用户和网络安全技术,尤其是对网络技术的管理,需要采取各种网络管理策略将网络安全防范技术集成在一起,成为一个有机的防御系统,提高网络的整体防御能力;对用户的管理可以与管理制度相互结合,制定网络安全管理制度,提高人们的网络安全意识,培训正确的网络安全操作。增强网络安全人员的法律意识,提高网络使用警觉性,确保网络运行于一个正常的状态。
2.2防御策略医院计算机网络安全防御策略可以根据网络安全的需求、网络规模的大小、网络应用设备配置的高低,采取不同的网络安全策略,其是一个网络的行为准则。本文的网络安全防御策略是一个融合各种网络安全防御技术的纵深策略,分别集成了网络预警、网络保护、网络检测、网络响应、网络阻止、网络恢复和网络反击等,确保网络安全达到最优化。
2.3防御技术目前,医院计算机网络主动防御体系采用的防御技术不仅仅是一种技术,其同时能够合理地运用传统的防病毒、防黑客技术,并其有机地结合起来,相互补充,在此基础上,使用入侵预测技术和入侵响应技术,主动式地发现网络存在的漏洞,防患于未然。
3网络安全主动防御体系架构
医院计算机网络安全主动防御体系架构是一种纵深的网络安全防御策略,其涵盖了网络安全管理、网络预防策略和网络预防技术三个层面,本文将从技术层面详细地阐述网络安全防御体系。本文将医院计算机网络安全主动防御体系分为预警、保护、检测、响应、恢复和反击六个层面,纵深型的防御体系架构能够将这几种技术融合起来,形成一个多层的纵深保护体系。
(1)网络预警。医院计算机网络预警可以根据经验知识,预测网络发生的攻击事件。漏洞预警可以根据操作系统厂商研究发现的系统存在的漏洞,预知网络可能发生的攻击行为;行为预警可以通过抓取网络黑客发生的各种网络攻击行为,分析其特征,预知网络攻击;攻击预警可以分析正在发生或者已经发生的攻击,判断网络可能存在的攻击行为;情报收集分析预警可以通过从网络获取的各种数据信息,判断是否可能发生网络攻击。
(2)网络保护。医院计算机网络保护是指可以采用增强操作系统安全性能、防火墙、虚拟专用网(VPN)、防病毒体系构建网络安全保护体系,以便能够保证网络数据传输的完整性、机密性、可用性、认证性等。
(3)网络检测。医院计算机网络检测在主动防御系统中具有非常重要的意义,网络检测可以有效地发现网络攻击,检测网络中是否存在非法的信息流,检测本地网络是否存在漏洞,以便有效地应对网络攻击。目前网络检测过程中采用的技术包括实时监控技术、网络入侵检测技术和网络安全扫描技术等。
(4)网络响应。医院计算机网络响应可以对网络安全事件或者攻击行为做出反应,及时保护系统,将安全事故对系统造成的危害降到最低,因此,网络检测到攻击之后,需要及时地将攻击阻断或者将攻击引诱到一个无用的主机上去,同时要定位网络攻击源位置,搜集网络攻击的行为数据或者特点,便于后期防止类似事件发生。比如检测到网络攻击之后,可以用网络监控系统或防火墙阻断网络攻击;可以使用网络僚机技术和网络攻击诱骗技术引诱网络攻击到其他位置。
(5)恢复。及时地恢复医院计算机网络系统,能够为用户提供正常的服务,也是降低网络攻击所造成的损失的有效方法之一。为了能够充分地保证网络受到攻击之后恢复系统,必须做好系统备份工作,常用的系统备份方法包括现场外备份、冷热备份和现场内备份。
(6)反击。医院计算机网络反击可以使用各种网络技术对攻击者进行攻击,迫使其停止攻击,攻击手段包括阻塞类攻击、探测类攻击、漏洞类攻击、控制类攻击、病毒类攻击和欺骗类攻击等行为,网络反击必须是在遵循国家的法律法规,不违反道德的范围内。
4结束语
由此可见计算机网络的脆弱性、潜在威胁的严重性,因此,计算机安全工作采取强有力的措施势在必行。一般而言,计算机安全包括两个方面,即物理安全和逻辑安全,物理安全指系统设备及相关硬件免于受到破坏、丢失等;而逻辑安全是指在一个网络环境里,保护数据的保密性、完整性及可使用性。
二、计算机存在的安全威胁
计算机安全威胁的因素概括分为三类:环境因素、操作因素、人为因素。
1、环境因素的威胁
环境因素指计算机所处的工作环境,日常工作中,环境因素对计算机的使用寿命、运行稳定及数据安全有着直接的影响,主要有以下方面。
①电源,要有持续稳定的电源电压,最好有UPS,防止突然断电造成硬件损毁或数据丢失。
②温度,计算机理想的工作温度是15℃~30℃,温度过高容易导致计算机死机或频繁重启等故障;温度过低对硬盘、光驱中的电机、读写磁头摆臂、散热风扇轴承等机械部件的影响很大,容易造成读写错误。
③湿度,计算机最佳的工作湿度是45%~60%。湿度过高,湿气附着于硬件表面,影响磁性材料读写错误,导致机器金属部件生锈损坏,甚至出现短路而烧毁某些部件;湿度过低、不仅容易产生静电,还很易吸附灰尘。
④静电,对计算机系统来说是最具破坏性,它可能使计算机某些硬件失灵,甚至击穿主板或其他板卡的元器件,造成永久性损坏。
⑤灰尘,灰尘会引起线路板短路、元器件漏电、接触不良、弄脏磁头等。
⑥电磁辐射,一方面包括外界电磁辐射对计算机本身的影响,造成计算机工作不稳定以及元器件损毁,另一方面是计算机本身的电磁泄露,会造成信息的泄露。
⑦震动,磁盘驱动器的读写磁头和存储磁盘在工作中的接触是非常精密的,震动会影响磁头、磁盘的读写错误,严重时会损坏磁头造成无法读写数据或使磁盘产生坏道造成数据直接丢失。
2、操作因素的威胁
操作因素是指计算机操作人员的操作方法及操作习惯,日常工作中,人为操作不当对计算机的损坏时有发生,所以养成良好的使用习惯是必须的:
①开机顺序:先外设(显示器、打印机、扫描仪等),后主机;关机顺序则相反,先主机,后外设。
②连续两次重新启动计算机时间间隔不应少于30秒。
③硬盘灯在闪动,表明硬盘正在读写数据,此时不能关机和移动机器,否则有可能造成硬盘的物理损坏。
④当系统显示移动存储设备拷贝数据完成时,不要马上取出移动存储设备,等指示灯熄灭后才可取出。虽然系统显示操作完成,但读写设备实际上还要工作1-5秒。
⑤重要资料、文件不要存放在系统(C)盘或桌面上,一旦系统崩溃或是染毒,系统(C)盘及桌面上的数据往往全部丢失。
⑥要装杀毒软件,并定期升级病毒库,以达到防毒杀毒的目的,同时开启防火墙。
⑦雷雨天气最好不要上网,雷电有可能通过电话线引入Modem,而将Modem损坏。
⑧不要用布、书等物覆盖显示器,避免显示器过热。
⑨不用劣质光盘,尽量少用光驱读光盘,可以把音频、视频拷到硬盘中去,以减少对激光头的损害。
3、人为因素的威胁
人为因素是指,一些不法分子直接潜入机房或间接利用计算机系统漏洞及网络漏洞而编制计算机病毒,盗用系统资源,非法获取资料、篡改系统数据、破坏硬件设备等。对于直接潜入机房的威胁我们可以通过加强安全防范等措施来实现。而这里主要讨论的是间接利用系统漏洞及网络漏洞而编制计算机病毒对计算机的威胁,此类威胁大多是通过计算机网络来实施的。计算机网络在带来便利的同时,也带来了各种各样的安全威胁。对设备的威胁:
①利用TCP/IP协议上的不安全因素,通过伪造数据包,指定源路由等方式,进行APR欺骗和IP欺骗攻击。
②病毒破坏。利用病毒占用带宽,堵塞网络,瘫痪服务器,造成系统崩溃或让服务器充斥大量垃圾信息,导致网络性能降低。
③其它网络攻击方式。包括破坏网络系统的可用性,使合法用户不能访问网络资源,拒绝服务甚至摧毁系统,破坏系统信息的完整性,还可能冒充主机欺骗合法用户,非法占用系统资源等。对信息的威胁:
①内部窃密和破坏,内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。
②截收信息,攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等,截获机密信息或通过对信息流和流向、通信频度和长度等参数的分析,推算出有价值的信息。
③非法访问,主要包括非法用户进入网络系统进行违法操作和合法用户以未授权的方式进行操作。
三、人为因素威胁的应对措施
我们可以通过以下方式来防范和减少此类威胁的发生:
1、提高网络工作人员的素质
每一个网络使用者都必须要有安全观念和责任心,掌握正确的网络操作方法,避免人为事故的发生。此外,为了保障网络能够安全运行,一方面,对于传输线路应有露天保护措施或埋于地下,并要求远离各种辐射源,线缆铺设应当尽可能使用光纤,以减少各种辐射引起的电磁泄漏和对发送线路的干扰,并要定期检查连接情况,以检测是否有搭线窃听、非法外连或破坏行为;另一方面,我们还应制定完善的管理措施,建立严格的管理制度,完善法律、法规,提高人们对网络安全的认识,加大对计算机犯罪的法律制裁。
2、运用数据加密技术
数据加密是网络系统中一种常用的数据保护方式,也是网络安全最有效的技术之一,目的是为了防止网络数据的篡改、泄露和破坏,既可以对付恶意软件攻击,又可以防止非授权用户的访问。数据加密主要有四种方式:链路加密,即对网络中两个相邻节点之间传输的数据进行加密,传送到节点后解密,不同节点间用不同的密码,此种加密能够防止搭线窃听;端端加密,对进入网络的数据加密,然后待数据从网络传送出去以后再进行解密,此种方式更加可靠,且易于设计和实现;节点加密,与链路加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中,是对源节点到目标节点的链路提供保护;混合加密,混合加密是采用链路加密和端端加密相结合的混合加密方式,可以获得更高的安全。
3、加强计算机网络访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
4、使用防火墙技术
防火墙是解决网络安全问题最基本、最经济、最有效的措施之一,是建立在现代通信网络技术和信息技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是由软件和硬件设备组合而成,处于内部网络与外界网络通道之间,限制外界用户对内部网络访问以及管理内部用户访问外界网络的权限。当一个网络连接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。
5、防病毒技术
企业按照分级部署网络版杀毒及管理软件等终端计算机安全软件,做到每台计算机可管理可控制,并掌握整体终端计算机安全动态。通过桌面安全软件部署,保证病毒定义码和补丁更新,也可自动分发企业定制的安全策略,如安全基线设置、违规接入审计、系统补丁等,保证企业信息安全政策连贯执行,达到统一标准。
2运行环境安全
在终端计算机安全防护体系建设中,运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境,在网络环境中给终端计算机加几把锁,把握其方向轨迹和动态。
2.1IP地址固定
在网络中,IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法,技术上在网络设备里通过DHCPSnooping和A-CL列表,实现IP和MAC地址绑定。
2.2控制上互联网计算机
因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度,技术上实施是在IP地址固定的前提下,在网络设备通过访问控制列表ACL或者互联网出口安全设备里进行配置。
2.3部署准入设备
为保证网络安全,在网络边界或内部部署准入设备,设立终端计算机入网规则,如必须安装企业桌面安全软件和配置安全基线等等,通过进程检测合规后入网或可访问关键业务。
2.4部署内容审计系统
在互联网出口边界部署内容审计系统,在线对终端计算机访问互联网的行为进行2~7层的识别,可进行关键字的设置过滤、URL过滤,对于计算机的互联网行为做到可控制、可管理、可审计,以保证网络信息的安全。
2.5部署服务器
为保证终端计算机上网安全,一般建议在互联网出口设置服务器,用户通过服务器访问互联网。通过服务器访问互联网可以提高访问速度,方便对用户行为进行管理和审计,起到防火墙作用,保护局域网安全。
3安全管理
三分技术七分管理,是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中,技术操作都是通过管理来实施的,因此形成一套安全管理机制并始终贯彻运行,是十分重要的。
3.1建立终端计算机管理制度
建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施,如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度,通过建立健全这些制度,形成信息化考核机制,使得终端计算机安全工作有章可循。
3.2提高计算机安全管理的力度和深度
在企业计算机安全管理管理中,管理人员首先要提高各级领导和员工网络安全重视程度,其次定期通过各种手段完成终端计算机安全检查工作,如通过桌面安全系统、审计系统检查计算机违规行为,根据规定实施处罚等,最后安全管理人员要主动识别和评估安全风险,制定和落实安全整改措施,确保终端计算机持续安全稳定运行。
3.3建设完整的计算机实名库
通过建设终端计算机实名库,掌握计算机管理动态,实现计算机资产管理,给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等,从而完成终端计算机实名库的建设。
3.4建立网络建设标准
通过网络建设标准的建立,保障终端计算机安全运行环境,也加强了桌面安全防护体系在网络体系建设中的作用。
3.5建设一支过硬的信息化队伍
在企业中,建立信息安全组织架构、明确组织责任、设置相应岗位,建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。
4结语
论文关键词:计算机煤矿信息技术
煤矿安全信息技术应是集分析、预防、监控、应急全方位、一体化的系统工程。尤其应注重预防和应急处理模块,转被动为主动,充分的将计算机管理与安全生产管理紧密融合,有效地管理控制煤矿安全工作,保障矿井的安全有效建设。
我国煤矿“十一五”安全生产规划中指出,我国目前的煤矿安全状况与部分发达国家有较大的距离,技术装备水平普遍不足,急待增强煤矿安全生产的技术支撑保障能力。大力建设煤矿安全生产的管理信息系统就是规划中的一个重要部分。煤炭企业的信息化有两个大模块构成:一是安全生产信息化;二是管理信息化。
近年来我国煤矿发生多起矿难,矿工安全急需得到切实有效的保障,这也是建设和谐社会的内在要求。与此相对的是,美、德等产煤大国安全事故却并不多见,究其原因,除严格的法律、监管制度约束以外,信息技术、自动化设备的大量应用是其实现安全生产的重要因素。从信息化出发,加强安全技术能力,也是我国煤矿实现安全的必由之路。我国已把“煤矿自动化安全生产监测监控和管理系统与标准体系研究”列为重大专项,已经组织研究开发及产业化,以推动我国煤矿行业信息技术的应用,为煤矿安全做好技术支撑。
1我国煤矿行业当前特点
我国煤矿地质构造比较复杂,自然灾害严重。煤矿事故主要还是由四大类构成:瓦斯事故、顶板事故、水害事故和运输事故,所占比例分别为36%、33.3%、9.9%和9.3%。据统计,仅国有重点煤矿中就有44.4%的矿井高瓦斯或煤与瓦斯突出,自然发火危险矿井占51.3%,煤尘有爆炸危险的矿井占87.4%,水文地质条件复杂或极复杂类型煤矿占25.04%。小煤矿中高瓦斯或煤与瓦斯突出矿井超过15%,具有煤尘爆炸危险矿井占91.35%,其中高达57.71%的矿井具有强爆炸性。总体来看,目前我国煤矿行业信息化水平还比较低,信息技术和安全投入都还不能满足实际需求。
2煤矿安全管理信息技术建设目标和原则
作为未来“数字煤矿”的一个子系统,安全管理信息系统是煤矿持续发展的基础,与矿井地理、生产、物流等子系统类似,其主要内容是安全信息的采集、信息的传输、信息的处理、信息的应用与集成。实时、准确、全面的安全信息管理和响应是煤矿安全管理的核心。煤矿安全管理信息系统应是集分析、预防、监控、应急全方位、一体化的系统工程。尤其应注重预防和应急处理模块,转被动为主动,利用通信、计算机、自动化等多项技术的紧密融合,有效地管理控制煤矿安全工作,保障矿井的安全有效建设;同时,系统设计要本着先进性、投资保护、开放性、可扩充性、可维护性的原则,根据目前业务实际,并充分考虑今后业务发展需要,针对企业实际情况具体实施。
3煤矿安全管理信息技术的主要构成
目前,各软件和系统集成商开发的系统千差万别,但从信息设施的种类来划分,可以分为检测、监控、通讯、信息管理四大部分。从市场主流来看,功能模块大同小异,整个系统可分为以下几个模块:
1)安全信息收集。安全信息收集主要是由安全岗(网)员在安全检查过程中对收集到的安全信息录入到计算机中。本模块主要包括安全信息录入、对安全隐患的处理意见、领导审批意见、对安全隐患处理落实情况和安全信息的综合查询等功能。
2)交接班管理。交接班信息管理模块用于安检人员处理交接班过程中的问题记录与移交。记录本班生产过程中发生的问题/隐患、“三违”人员、挂停止作业牌、伤亡事故、非伤亡事故及相关人员的信息,当班次交接时,浏览上班次发现未解决的问题和还没有检查到的检查控制点信息并确认,为本班次的跟班安检人员下井检查提供指导,以明确责任,为系统跟踪安全监控人员工作是否到位提供依据。
3)安全规章制度。该模块是煤矿各种安全规章制度的汇总,供有关人员查询、学习和参考。煤矿安全规章制度,是煤矿安全生产的依据,是由一件件血的教训而写成的,它在煤矿安全生产过程中起到了重要作用。
4)防治病毒入侵、传播。大力学习计算机病毒防治知识,有效防止计算机病毒的传播。计算机病毒是由计算机语言编写的计算机程序指令。计算机病毒的发生可导致计算机系统崩溃、文件丢失、设备损坏。计算机病毒的传播方式主要有文件复制、接收发送邮件、下载文件等,计算机病毒的传播工具有磁盘、优盘、移动硬盘、光盘等。
5)安全综合报表管理。安全综合报表是安全信息的汇总,可以对煤矿安全情况进行综合分析,通过日报和月报的形式提交给各级领导审核,使各级领导能及时的了解总体安全情况,为领导分析和掌握安全管理状况提供了真实可靠的依据。
6)煤矿事故管理。正确地记录煤矿所发生的安全事故,并查明事故的原因,记录事故的综合分析和处理情况。真实地记录发生的安全事故,可接受事故教训,起到安全警示作用,并作为该部门安全情况评比的依据。
7)安全技术措施管理。本模块包括安全技术措施制定、安全技术措施审核和审批。从技术角度出发,对于煤矿各种类别的工程制定安全措施。审批后执行,记录措施的执行情况,并对安全措施进行月度的复审,确保安全措施的可行性。
8)安全标志管理。为了引起人们对不安全因素的注意,预防事故的发生,需要在各有关场合作出醒目标志,在矿内部安装的安全标志也是不容忽视的。安全标志是由安全色、几何图形和图形符号构成,用以表达特定的安全信息,安全标志分为禁止标志、警告标志、指令标志、提示标志四类,对安全标志要定期检查和维护。本模块记录全矿安全标志的安装地点、内容和使用情况,并备有安全标志的基本知识。
9)安全生产考评奖惩。为了加强职工的安全意识,对各部门和个人安全生产情况要定考评和奖惩。本模块是对各部门和个人奖惩情况的评比和记录,当某个部门连续评比不合格后,系统发出警告,并通知有关领导和部门,对该部门进行处罚。
1O)人员定位查询。可查询到某人员当前是否下井及在某一时间段的下井记录。此外,部分模块还可以和其他矿井信息技术结合使用。以上面介绍的人员状态查询模块为例,除可单独应用外,还可以和跟踪定位系统配合使用。在漳村矿,目前通讯技术和计算机技术为一体的煤矿人员定位系统,可在任何联网地方监控人井人员数量、身份和井下工作位置,是打击煤矿超能力生产,超人员人井的有效的高科技手段。在突况下,监控计算机上还可立即查询事故现场的人员位置分布情况、被困人员数量、为事故抢险提供科学依据。
4有待解决的问题
1)通过各类传感器所采集的数据信息,由计算机进行分析、处理,可以实现对井下瓦斯、通风、温度、湿度、顶板压力、罐笼升降位置等进行有效监控,有力的解决人工监测不及时、不到位、不准确、凭感觉的弊端,用准确的数据反映安全生产中的各种安全隐患因数,使得安全生产管理变得科学、可靠,使“预防为主”的安全生产方针真正落到实处。
2)信息共享和互通。目前煤矿安全信息系统在信息共享和互通互联方面还有很多不足,“信息孤岛”还大量存在。由于供应商众多,应用系统五花八门,设备也是型号多样,极不统一。监测系统、控制系统和管理系统还不能有效实现联动,满足实际需求,由于不能信息共享,信息的价值大打折扣,对集中管理、决策不能提供有效的支持。
借助网络技术,计算机与各种终端设备连接在一起,形成各种类型的网络系统,期间开放性的计算机网络系统,通过传输介质和物理网络设备组合而成,势必存在不同的安全威胁问题。
1.1操作系统安全
操作系统是一种支撑性软件,为其他应用软件的应用提供一个运行的环境,并具有多方面的管理功能,一旦操作软件在开发设计的时候存在漏洞的时候就会给网络安全留下隐患。操作系统是由多个管理模块组成的,每个模块都有自己的程序,因此也会存在缺陷问题;操作系统都会有后门程序以备程序来修改程序设计的不足,但正是后门程序可以绕过安全控制而获取对程序或系统的访问权的设计,从而给黑客的入侵攻击提供了入口;操作系统的远程调用功能,远程调用可以提交程序给远程服务器执行,如果中间通讯环节被黑客监控,就会出现网络安全问题。
1.2数据库安全
数据库相关软件开发时遗漏的弊端,影响数据库的自我防护水平,比如最高权限被随意使用、平台漏洞、审计记录不全、协议漏洞、验证不足、备份数据暴露等等。另外,数据库访问者经常出现的使用安全问题也会导致网络安全隐患,比如数据输入错误、有意蓄谋破坏数据库、绕过管理策略非法访问数据库、未经授权任意修改删除数据库信息。
1.3防火墙安全
作为保护计算机网络安全的重要系统软件,防火墙能够阻挡来自外界的网络攻击,过滤掉一些网络病毒,但是部署了防火墙并不表示网络的绝对安全,防火墙只对来自外部网络的数据进行过滤,对局域网内部的破坏,防火墙是不起任何防范作用的。防火墙对外部数据的过滤是按照一定规则进行的,如果有网络攻击模式不在防火墙的过滤规则之内,防火墙也是不起作用的,特别是在当今网络安全漏洞百出的今天,更需要常常更新防火墙的安全策略。
2计算机网络系统安全软件开发建议
基于计算机网络系统的安全问题,为保护计算机网络用户和应用系统的安全,我们需要分别研讨入侵防护软件、数据库备份与容灾软件、病毒防护软件、虚拟局域网保护软件等。
2.1入侵防护软件
入侵防护软件设置于防火墙后面,主要功能是检查计算机网络运行时的系统状况,同时将运行状况等记录下来,检测当前的网络运行状况,尤其是网络的流量,可结合设定好的过滤规则来对网络上的流量或内容进行监控,出现异常情况时会发出预警信号,它还可以协助防火墙和路由器的工作。该软件的最大有点是当有病毒发生攻击之前就可以实时捕捉网络数据、检测可以数据,并及时发出预警信号,收集黑客入侵行为的信息,记录整个入侵事件的过程,而且还可以追踪到发生入侵行为的具置,从而增强系统的防护入侵能力。
2.2数据备份和容灾软件
数据备份和容灾软件,可以安全备份需保护数据的安全性,在国外已经被广泛应用,但是在国内却没有被得到重视。数据备份和容灾软件要求将RAID技术安装到操作系统,将主硬盘文件备份到从硬盘;移动介质和光盘备份,计算机内的数据会随着使用的时间发生意外损坏或破坏,采用移动介质和光盘可以将数据拷贝出来进行存储;磁盘阵列贮存法,可大大提高系统的安全性能和稳定性能。随着储存、备份和容灾软件的相互结合,将来会构成一体化的数据容灾备份储存系统,并进行数据加密。
2.3病毒防护软件
随着计算机网络被广泛的应用,网络病毒类型越来越多,由于计算机网络的连通性,一旦感染病毒则会呈现快速的传播速度,波及面也广,而且计算机病毒的传播途径也日趋多样化,因此,需要开发完善的病毒防护软件,防范计算机网络病毒。首先是分析病毒传播规律和危害性,开发相对应的杀毒软件,并在规定时间内扫描系统指定位置及更新病毒库;其次是安装防毒墙软件,传统的防火墙利用IP控制的方式,来禁止病毒和黑客的入侵,难以对实时监测网络系统情况,而防毒墙则可以在网络入口(即网关处)对病毒进行过滤,防止病毒扩散。最后是更各系统补丁,以提高系统的操作水平和应用能力,同时预防病毒利用系统漏洞入侵计算机。
2.4虚拟局域网软件
采用虚拟局域网软件,可以将不同需求的用户隔离开来,并划分到不同的VLAN,采用这种做法可以提高计算机网络的安全性。具体做法是从逻辑上将计算机网络分为一个个的子网,并将这些子网相互隔离,一旦发生入侵事故也不会导致网内上“广播风暴”的发生。结合子网的控制访问需求,将访问控制列表设置在各个子网中间,以形成对具体方向访问的允许条件、限制条件等,从而达到保护各个子网的目的。同时,把MAC地址和静态IP地址上网的计算机或相关设备进行绑定,这样就可以有效防止静态IP地址或是MAC地址被盗用的问题出现。
2.5服务器安全软件
服务器系统安全软件分为两种,一种是系统软件,另外一种为应用软件。计算机网络在配置服务器系统软件时要充分考虑到它的承受能力和安全功能性,承受能力是指安全设计、减少攻击面、编程;安全功能涵盖各种安全协议程序,并基于自身的使用需求,及时更新操作系统;服务器应用软件的应用,要求考虑软件在稳定性、可靠、安全等方面的性能,以避免带入病毒,并定期及时更新。
3结束语
安全威胁的因素概括分为三类:环境因素、操作因素、人为因素。
1、环境因素的威胁环境因素指计算机所处的工作环境,日常工作中,环境因素对计算机的使用寿命、运行稳定及数据安全有着直接的影响,主要有以下方面。①电源,要有持续稳定的电源电压,最好有UPS,防止突然断电造成硬件损毁或数据丢失。②温度,计算机理想的工作温度是15℃~30℃,温度过高容易导致计算机死机或频繁重启等故障;温度过低对硬盘、光驱中的电机、读写磁头摆臂、散热风扇轴承等机械部件的影响很大,容易造成读写错误。③湿度,计算机最佳的工作湿度是45%~60%。湿度过高,湿气附着于硬件表面,影响磁性材料读写错误,导致机器金属部件生锈损坏,甚至出现短路而烧毁某些部件;湿度过低、不仅容易产生静电,还很易吸附灰尘。④静电,对计算机系统来说是最具破坏性,它可能使计算机某些硬件失灵,甚至击穿主板或其他板卡的元器件,造成永久性损坏。⑤灰尘,灰尘会引起线路板短路、元器件漏电、接触不良、弄脏磁头等。⑥电磁辐射,一方面包括外界电磁辐射对计算机本身的影响,造成计算机工作不稳定以及元器件损毁,另一方面是计算机本身的电磁泄露,会造成信息的泄露。⑦震动,磁盘驱动器的读写磁头和存储磁盘在工作中的接触是非常精密的,震动会影响磁头、磁盘的读写错误,严重时会损坏磁头造成无法读写数据或使磁盘产生坏道造成数据直接丢失。
2、操作因素的威胁操作因素是指计算机操作人员的操作方法及操作习惯,日常工作中,人为操作不当对计算机的损坏时有发生,所以养成良好的使用习惯是必须的:①开机顺序:先外设(显示器、打印机、扫描仪等),后主机;关机顺序则相反,先主机,后外设。②连续两次重新启动计算机时间间隔不应少于30秒。③硬盘灯在闪动,表明硬盘正在读写数据,此时不能关机和移动机器,否则有可能造成硬盘的物理损坏。④当系统显示移动存储设备拷贝数据完成时,不要马上取出移动存储设备,等指示灯熄灭后才可取出。虽然系统显示操作完成,但读写设备实际上还要工作1-5秒。⑤重要资料、文件不要存放在系统(C)盘或桌面上,一旦系统崩溃或是染毒,系统(C)盘及桌面上的数据往往全部丢失。⑥要装杀毒软件,并定期升级病毒库,以达到防毒杀毒的目的,同时开启防火墙。⑦雷雨天气最好不要上网,雷电有可能通过电话线引入Modem,而将Modem损坏。⑧不要用布、书等物覆盖显示器,避免显示器过热。⑨不用劣质光盘,尽量少用光驱读光盘,可以把音频、视频拷到硬盘中去,以减少对激光头的损害。
3、人为因素的威胁人为因素是指,一些不法分子直接潜入机房或间接利用计算机系统漏洞及网络漏洞而编制计算机病毒,盗用系统资源,非法获取资料、篡改系统数据、破坏硬件设备等。对于直接潜入机房的威胁我们可以通过加强安全防范等措施来实现。而这里主要讨论的是间接利用系统漏洞及网络漏洞而编制计算机病毒对计算机的威胁,此类威胁大多是通过计算机网络来实施的。计算机网络在带来便利的同时,也带来了各种各样的安全威胁。对设备的威胁:①利用TCP/IP协议上的不安全因素,通过伪造数据包,指定源路由等方式,进行APR欺骗和IP欺骗攻击。②病毒破坏。利用病毒占用带宽,堵塞网络,瘫痪服务器,造成系统崩溃或让服务器充斥大量垃圾信息,导致网络性能降低。③其它网络攻击方式。包括破坏网络系统的可用性,使合法用户不能访问网络资源,拒绝服务甚至摧毁系统,破坏系统信息的完整性,还可能冒充主机欺骗合法用户,非法占用系统资源等。对信息的威胁:①内部窃密和破坏,内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。②截收信息,攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等,截获机密信息或通过对信息流和流向、通信频度和长度等参数的分析,推算出有价值的信息。③非法访问,主要包括非法用户进入网络系统进行违法操作和合法用户以未授权的方式进行操作。
二、人为因素威胁的应对措施
我们可以通过以下方式来防范和减少此类威胁的发生:
1、提高网络工作人员的素质每一个网络使用者都必须要有安全观念和责任心,掌握正确的网络操作方法,避免人为事故的发生。此外,为了保障网络能够安全运行,一方面,对于传输线路应有露天保护措施或埋于地下,并要求远离各种辐射源,线缆铺设应当尽可能使用光纤,以减少各种辐射引起的电磁泄漏和对发送线路的干扰,并要定期检查连接情况,以检测是否有搭线窃听、非法外连或破坏行为;另一方面,我们还应制定完善的管理措施,建立严格的管理制度,完善法律、法规,提高人们对网络安全的认识,加大对计算机犯罪的法律制裁。
2、运用数据加密技术数据加密是网络系统中一种常用的数据保护方式,也是网络安全最有效的技术之一,目的是为了防止网络数据的篡改、泄露和破坏,既可以对付恶意软件攻击,又可以防止非授权用户的访问。数据加密主要有四种方式:链路加密,即对网络中两个相邻节点之间传输的数据进行加密,传送到节点后解密,不同节点间用不同的密码,此种加密能够防止搭线窃听;端端加密,对进入网络的数据加密,然后待数据从网络传送出去以后再进行解密,此种方式更加可靠,且易于设计和实现;节点加密,与链路加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中,是对源节点到目标节点的链路提供保护;混合加密,混合加密是采用链路加密和端端加密相结合的混合加密方式,可以获得更高的安全。
3、加强计算机网络访问控制访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
4、使用防火墙技术防火墙是解决网络安全问题最基本、最经济、最有效的措施之一,是建立在现代通信网络技术和信息技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是由软件和硬件设备组合而成,处于内部网络与外界网络通道之间,限制外界用户对内部网络访问以及管理内部用户访问外界网络的权限。当一个网络连接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。
5、防病毒技术防病毒技术是通过一定的技术手段防止病毒对系统的传染和破坏,阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的读写操作,包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防采用特征(静态)判定技术,对未知病毒的预防采用行为规则(动态)判定技术,采用对病毒的规则进行分类处理,然后在程序运作中但凡有类似的规则出现则认定为计算机病毒。杀毒软件预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。比如防病毒卡,主要功能是对磁盘进行写保护,监视计算机和驱动器之间产生的信号,以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。
尽管云平台较传统的计算机平台相比表现出了极大的优势但是在安全方面依然暴露了一定的问题:
(1)存储安全。在相关研究中显示部分供应商对于云平台的数据纯纯安全表现了一定的担忧。云储存主要分为两个部分组成即虚拟储存以及共享储存。对于共享储存而言存在着一定的数据丢失风险,而对于虚拟储存而言数据处理权限以及数据备份则存在着缺陷。
(2)用户管理权限。在任何条件下用户管理权限都是计算机使用安全的基本保障。用户借助云平台来完成自己的操作就需要在云客户端上登录信息,在取得权限以后才能进行相关操作。而云平台储存了大量的信息,同时也给恶意软件提供了温床,那么黑客可能就可以获取使用权限,这也就带来了极大的安全隐患。
(3)数据安全。表面上云平台数据并无太大问题,但是依然存在着一些潜在患,例如在进行数据传递过程中可能会受到黑客的攻击,同时这些数据也有可能受到恶意篡改。
(4)虚拟机安全。与传统计算机平台不同的是云计算平台需要借助于虚拟机才能够进行正常工作,虚拟机为云平台带来了极高的处理效率,但事实上虚拟机之间的供给和安全级别依然存在着缺陷,这就有可能造成部分恶意软件附着于虚拟机当中甚至对整个云平台工作产生影响[2]。
二、提升云计算背景下计算机安全程度的有效对策
2.1加强相关法律监管。作为信息时代下的新产物云平台目前还缺少相应的法律监管规程或者说相关的法律体系还不够健全,为了让云平台的安全性得到保证应该尽快加强云平台法律建设,将云计算服务的安全管理列入法律章程从而形成规范化、统一化的管理。另外借助于法律机制也可以加强云平台的实际监管效应为云平台运行提供一个良好的基础环境。
2.2提升技术监控水准。对云计算技术以及相关业务进行彻底的分析并根据分析情况构建出有效的技术监控体系。正是由于云计算普及面的加大使得互联网业务开发的门槛得到了降低,同时也给信息传递渠道提供了新的构建方向。对于以上情况就必须通过针对性的监控技术来保证云计算服务以及相关渠道的安全,通过开发审计系统、定位系统等来构建信息反馈通道为云平台提供一个良好、可靠、稳定的网络信息环境。
2.3加强云计算安全管理制度建设。在云计算安全管理制度建设过程中首先要确定安全等级并将云计算服务的类别分清楚,例如有私人云服务、家庭云服务、企业级云服务以及政府级云服务等。根据不同的安全等级来设定相关的防护标准以及对应的安全管理制度从而促进云平台安全性的进一步提升。为了让制度得到充分落实国家应该给予云平台建设高度重视,加大云计算业务自主研发力度从而减少对国外技术的依赖,构建出具有自主产权的技术核心,这对于云平台安全建设将有着极大的促进作用。
2.4对云计算服务进行准确定位。云计算业务的种类繁多,因此需要对其中的各种业务进行准确的定位,这样才能够形成一个统一化的管理体系从而促进云平台的和谐发展。
2.5从技术层面上对云平台安全进行优化。采取数据加密、隔离等措施来对云储存进行保护同时采取第三方实名监管制度来保证信息的真实性。对于虚拟机可以使用在虚拟机的基础设施之中运行的虚拟网关安全,对相关安全测策略进行针对性定义,同时加强流量监视。服务方面则要求构建出完整的服务水平协议并让用户能够完全了解协议内容,让用户可以对风险进行预见性判断。另外利用单独加密技术来对重要数据文件进行加密,然后再将其共享于云网络,加大网络信息安全审计的力度来保证数据信息安全[3]。
三、结语