时间:2022-11-12 02:08:45
序论:在您撰写通信网络安全论文时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
当今社会,通信网络的普及和演进让人们改变了信息沟通的方式,通信网络作为信息传递的一种主要载体,在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值,另一方面也意味着巨大的潜在危险--一旦通信网络出现安全事故,就有可能使成千上万人之间的沟通出现障碍,带来社会价值和经济价值的无法预料的损失。
2通信网络安全现状
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题。
计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。
计算机病毒的层出不穷及其大范围的恶意传播,对当今日愈发展的社会网络通信安全产生威胁。
现在企业单位各部门信息传输的的物理媒介,大部分是依靠普通通信线路来完成的,虽然也有一定的防护措施和技术,但还是容易被窃取。
通信系统大量使用的是商用软件,由于商用软件的源代码,源程序完全或部分公开化,使得这些软件存在安全问题。
3通信网络安全分析
针对计算机系统及网络固有的开放性等特点,加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。安全意识不强,操作技术不熟练,违反安全保密规定和操作规程,如果明密界限不清,密件明发,长期重复使用一种密钥,将导致密码被破译,如果下发口令及密码后没有及时收回,致使在口令和密码到期后仍能通过其进入网络系统,将造成系统管理的混乱和漏洞。为防止以上所列情况的发生,在网络管理和使用中,要大力加强管理人员的安全保密意识。
软硬件设施存在安全隐患。为了方便管理,部分软硬件系统在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在着许多不完善的或是未发现的漏洞(bug),加上商用软件源程序完全或部分公开化,使得在使用通信网络的过程中,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软硬件的漏洞直接侵入网络系统,破坏或窃取通信信息。
传输信道上的安全隐患。如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。
另外,在通信网建设和管理上,目前还普遍存在着计划性差。审批不严格,标准不统一,建设质量低,维护管理差,网络效率不高,人为因素干扰等问题。因此,网络安全性应引起我们的高度重视。
4通信网络安全维护措施及技术
当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。于是,保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露,保障系统连续可靠地运行,网络服务不中断,就成为通信网络安全的主要内容。
为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输我们可以运用到以下防卫措施:“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性,即便被截获也会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”,一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查,一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(VPN)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
漏洞扫描技术。面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
结束语
目前解决网络安全问题的大部分技术是存在的,但是随着社会的发展,人们对网络功能的要求愈加苛刻,这就决定了通信网络安全维护是一个长远持久的课题。我们必须适应社会,不断提高技术水平,以保证网络安全维护的顺利进行。
参考文献
[1]张咏梅.计算机通信网络安全概述.中国科技信息,2006.
[2]杨华.网络安全技术的研究与应用.计算机与网络,2008
[3]冯苗苗.网络安全技术的探讨.科技信息,2008.
[4]姜滨,于湛.通信网络安全与防护.甘肃科技,2006.
[5]艾抗,李建华,唐华.网络安全技术及应用.济南职业学院学报,2005.
[6]罗绵辉,郭鑫.通信网络安全的分层及关键技术.信息技术,2007.
[7]姜春祥.通信网络安全技术是关键.网络安全技术与应用,2005.
1移动通信发展历程
随着移动技术的发展,我国移动大致经历五个不同的发展阶段。第一个阶段是以模拟蜂窝通信技术,该技术主要是通过无线组网的方式,通过无线通道,实现终端和网络的连接。该技术主要盛行在上世界70-80年代;第二阶段是以美国CDMA等通信技术为代表的移动网络,盛行于80年代到21世纪之初。在该阶段开始出现漫游、呼叫转移等业务;第三阶段则主要为2G与3G的过渡阶段,同时也成为2.5G。第四阶段则主要是以现阶段的主流通信技术3G技术为代表,该技术其典型的特点在于在传输的效率上有着很大的提升。第五阶段则主要是4G技术,在3G的基础上形成以TD-LTE为代表的4G网络技术。
2移动通信传输网络面临的安全性风险
2.1网络自身的风险
在现代网络中,因为计算机软件或者是系统自身存在的漏洞,导致计算机病毒和木马能够轻易的植入到网络当中,从而导致计算机当中的一些隐私或秘密被非授权的用户访问,给用户带来很大的隐私泄露或者是财产的损失。同时,随着现代wifi等无线网络的发展,通过无线网络带来的非法的截取现象,更是给用户带来巨大的损失。在移动通信应用最为广泛的手机方面,也有很多的不发分子则利用手机的漏洞,或者是安装不法软件的方式,导致出现非法的访问和数据的篡改和删除。而面对应用最为广泛的3G网络通信技术,其不仅将面临IP网络问题,同时也面临IP技术问题。3G系统的IP其不仅包含着承载网络,同时也包含了业务网络。而IP的应用其不仅包括因特网、下载、邮件等应用,也有承载IP协议的移动通信系统控制信令和数据。未来针对3G网络运营商面对的主要的问题则是如何加强对3G网络的管理,并以此更好的保证3G网络系统在面临出现的不同安全问题,都要结合IP网络和其应用对其出现的问题进行总结,从而制定出更加好的管理措施。
2.2网络外在的风险
针对移动通信网络外在的风险包括很多,而网络诈骗是其中最为常见的影响用户安全的问题。随着人们对网络的熟知,电脑技术也开始成为当前人们应用的主流。但是,网络给人们带来方便的同时,却成为犯罪分子进行诈骗的工具,如现阶段出现的支付宝盗窃、网络电话诈骗等,都给人们对网络的应用蒙上了很深的阴影。同时,虚假购物网站、网上盗刷信誉同样让人们对网络出现不同的咒骂。因此,如何保障网络应用的安全,防止各种诈骗等问题的出现,也是移动通信安全性考虑的重点。
3移动通信传输网络安全采取的措施
造成移动通信网络安全的原因有很多,其主要包括以下的几种:第一,传输组网的结构以及设备不合理造成。通过大量的研究,移动通信在进行安装的时候,通常会出现一些长链型或者是星型,在这些错综复杂的网络结构当中,其安装古语复杂导致在网络的传输当中出现很大的混乱问题,从而严重影响了网络传输的效率。因此,在对移动网络进行建设的初期,一定要对网络的整体布局和网线的架构进行全面、合理的规划,从而避免在网络传输的过程中出现上述的问题,以此更好的保障网络传输的安全性,使得人们对网络的结构能够一目了然,提高其便利性和安全性。同时,在设备的选择方面,只顾及成本而忽视对设备质量的考虑,成为考虑设备使用的重要的因素。在对网络进行建设的过程中,尽量选择同样的生产设备,避免不同的设备出现的不相容等情况的发生,从而给网络安全带来影响。第二,环境因素造成的影响。移动通信设备遍布各地,从而使得不同地点都能使用移动网络。而在一些比较偏远的地区,因为气候的影响,给网络传输的效率带来很大的问题。同时在一些比较特殊的区域,存在不明的干扰信号,导致数据无法有效的传输。因此,对设备的保管必须选择正常的环境。第三,在通过外在的设备管理和组网结构后,还必须在统一的物理网络接入平台上构建各种基于业务的逻辑专网。因为在移动网络中,很多的安全对策还不能够有效的支撑其各种应用的核心业务。同时如果将安全措施都集中在流量的出口的地方,就会导致安全设备的性能出现很大的瓶颈。因此,针对这种情况,通常采用搭建统一的根绝业务逻辑专网。该网络设置的地点的IP流“特征五元组(源地址、源端口、目的地址、目的端口、协议)”的基础上,同时还可以将其设置在接入点名/用户接入标识/主叫号码的上面。通过采用这种GTP或GRE的方式来剂型的传输,一直要到业务网络间的网关被解封了才会传输到业务网络。从而通过这种网络,清晰的知道每个数据其流动的方向和具备的特征。完成不同层次清晰明了的虚拟网路业务。如果完成了这样的情况就还可以实现:专门的逻辑网络形成安全的防御系统;在不同的方向和业务上做好网络安全的预防措施;根据业务扩展的方便灵活度的能力,更好更快地计算出业务流量的量和集中区域。第四,在移动通信网络中加入“网络准入控制(NCA)”机制,从而实现对终端用户的认证。在移动通信网络当中,3G用户不仅是保护的对象,同时也是需要进行防范的对象。在面对数以千计的用户,如何做好保护,其实际是非常脆弱的。对此,为更好的保护3G网络,通常采用网络现在的方式,对终端用户的相关信息进行检测,包括软件版本等,以此提高终端预防病毒的能力,如通过对杀毒软件的在线升级。一旦发现其中有异常,则立即进行隔离。
4结语
2通信网络安全的定义及其重要性
可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
当今社会,通信网络的普及和演进让人们改变了信息沟通的方式,通信网络作为信息传递的一种主要载体,在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值,另一方面也意味着巨大的潜在危险--一旦通信网络出现安全事故,就有可能使成千上万人之间的沟通出现障碍,带来社会价值和经济价值的无法预料的损失。
3通信网络安全现状
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题。
计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。
计算机病毒的层出不穷及其大范围的恶意传播,对当今日愈发展的社会网络通信安全产生威胁。
现在企业单位各部门信息传输的的物理媒介,大部分是依靠普通通信线路来完成的,虽然也有一定的防护措施和技术,但还是容易被窃取。
通信系统大量使用的是商用软件,由于商用软件的源代码,源程序完全或部分公开化,使得这些软件存在安全问题。
4通信网络安全分析
针对计算机系统及网络固有的开放性等特点,加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。安全意识不强,操作技术不熟练,违反安全保密规定和操作规程,如果明密界限不清,密件明发,长期重复使用一种密钥,将导致密码被破译,如果下发口令及密码后没有及时收回,致使在口令和密码到期后仍能通过其进入网络系统,将造成系统管理的混乱和漏洞。为防止以上所列情况的发生,在网络管理和使用中,要大力加强管理人员的安全保密意识。
软硬件设施存在安全隐患。为了方便管理,部分软硬件系统在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在着许多不完善的或是未发现的漏洞(bug),加上商用软件源程序完全或部分公开化,使得在使用通信网络的过程中,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软硬件的漏洞直接侵入网络系统,破坏或窃取通信信息。
传输信道上的安全隐患。如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。
另外,在通信网建设和管理上,目前还普遍存在着计划性差。审批不严格,标准不统一,建设质量低,维护管理差,网络效率不高,人为因素干扰等问题。因此,网络安全性应引起我们的高度重视。
5通信网络安全维护措施及技术
当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。于是,保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露,保障系统连续可靠地运行,网络服务不中断,就成为通信网络安全的主要内容。
为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输我们可以运用到以下防卫措施:“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性,即便被截获也会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”,一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查,一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(VPN)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
漏洞扫描技术。面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
对于企业信息通信网络环境来说,容易出现问题是用户。很多企业用户,包括高级管理人员以及其他具有访问特权的人,每天都在网络中进行各种行为,没有安全意识中进行一些违规操作,从而企业网络安全出行问题。对此,最佳的防范措施应该是开展安全知识培训,规范用户行为,提高安全意识。
1.1网络用户的行为管理需要规范。
网络行为的根本出发点,不仅仅是对设备进行保护,也不是对数据进行监控防范,而是规范企业员工在网络中的各种行为,也就是对人的管理。规范企业员工的网络行为需要通过技术设备和规章制度的结合来进行。网络中用户的各种不规范行为主要包括:正常使用互联网时访问到被人为恶意控制的网站或者网页。这些被控制的网站被黑客植入后门,方便攻击者窃取企业的各类内部数据或者控制其连接互联网的服务器。
1.2网络用户的安全意识需要加强。
各种安全设备的建立和安全技术的应用只是企业信息通信网络安全防护的一部分,关键是加强企业网络用户的安全意识,贯彻落实企业的安全制度。企业只依靠技术不可能完全解决自身的安全防护,因为技术在不断发展,设备在不断更新,黑客技术也在发展和更新。所以企业管理人员必须有安全意识,重视自己企业的安全措施。加强对员工的安全培训,使得全体人员提高安全意识,从根本杜绝安全隐患。
2企业信息通信网络的安全防护
信息通信网络安全防护工作,主要包括几个方面:安全组织、安全技术、安全运行体系。
2.1安全组织体系的构架
信息通信网络安全组织建设方面,需要建立决策、管理、协作三级组织架构,明确各层组织的职责分工和职能,对应合理的岗位,配备相应的人员,同时根据企业信息通信网络实际情况,建立起垂直和水平的沟通、协调机制。企业中有具体的人和组织来承担安全工作,即成立专业的信息通信网络安全部门,设置不同的岗位,明确对应的职责,并且赋予部门相应的权力和信任;安全部门组织专业人员制订出安全策略来指导和规范安全工作的开展,明确哪些可以做,哪些不能做,哪些如何做,做到何种程度等等。另外需要创造合理的外部环境来推动安全部门的工作,建立起一套快速有效的沟通协调机制,确保安全工作的高效推动。
2.2安全技术的应用
有了安全组织制订的安全目标和安全策略后,需要选择合适的安全技术来满足安全目标;这里主要分为信息通信网络系统的整体防护和个人终端的防护。
2.2.1信息通信网络系统的安全防护。
系统自身漏洞而导致的安全风险,经常是因为信息通信网络应用本身的漏洞使得网站被病毒入侵或者被植入控制程序,导致企业丢失数据。因此需要建立以下防范措施:(1)部署网络应用防火墙和网络应用安全扫描器,重要的网络应用通过各种安全认证或者许可才能进行使用,同时保证验证程序本身的安全性。(2)时刻对系统进行更新,对应用程序和系统软件进行补丁安装和升级。对于客户端漏洞有以下几种防范措施:(1)系统管理员要通过相应的认证软件拦截限制用户访问一些具有安全威胁的网页;(2)系统管理员要通过相关方案防止用户访问含有攻击和恶意软件的网站;(3)系统管理员要禁止用户从网上下载任何媒体播放文件;(4)系统管理员要通过部署相关软件禁止外网访问企业的邮件服务器;(5)禁止系统管理员在企业内部服务器上使用网页浏览器、电子邮件客户端、媒体播放器以及办公软件。从技术层面上而言,安全问题无处不在,单一的防火墙、防病毒软件、区域防御系统已经不能满足企业网的需要,为了应对网络中存在的多元、多层次的安全威胁,必须首先构建一个完备的安全体系,在体系架构下层层设防、步步为营,才能够将安全问题各个击破,实现全网安全。安全体系架构:由以太网交换机、路由器、防火墙、流量控制与行为审计系统、接入认证与强制管理平台等多种网络设备做技术支撑。从可信终端准入、资产管理、访问控制、入侵防御、远程访问、行为审计、全局安全管理等多方面,构成完善的防护体系,从而实现“可信、可控、可取证”的全网安全。其中以太网交换机、路由器、防火墙、流量控制与行为审计系统作为部署在网络各个层面的组件,接入认证与强制管理平台作为全网调度和策略分发的决策核心,通过安全联动,从内外两个安全域,三个维度构建自适应的安全体系。
2.2.2信息通信网络中个人应用的安全防护。
为了更好地加强企业信息通信网络安全,必须规范用户自己的安全行为,加强个人安全意识,建立自己的计算机安全系统,这就需要企业每个员工做到以下几方面的安全措施:(1)修改计算机管理员账户,为系统管理员和备份操作员创建特殊账户。用户要禁止所有具有管理员和备份特权的账户浏览Web,严禁设置缺省的Guest账户;(2)限制远程管理员访问NT平台;(3)在域控制器上,修改注册表设置;(4)严格限制域中Windows工作站上的管理员特权,严禁使用缺省值;(5)对于注册表严格限制,只能进行本地注册,不能远程访问;(6)限制打印操作员权限的人数;(7)合理配置FTP,确保服务器必须验证所有FTP申请。在确定了安全组织和安全技术后,必须通过规范的运作过程来实施安全工作,将安全组织和安全技术有机地结合起来,形成一个相互推动、相互联系地整体安全运行体系,最终实现企业信息通信网络的安全防护。
3结束语
1.1网络安全协议的安全性检测
目前,信息技术得到快速发展,各类网络安全协议不断应用于计算机通信中,对于信息传递和数据的传输具有重要意义。然而,在网络安全协议过程中,设计者未能全面了解和分析网络安全的需求,导致设计的网络安全协议在安全性分析中存在大量问题,直接导致一些网络安全协议刚推出便由于存在漏洞而无效。对于网络安全协议的安全性检测,通常情况下证明网络安全协议存在安全性漏洞比网络安全协议安全更加简单和方便。目前,对于网络安全协议安全性的检测主要是通过攻击手段测试来实现网络安全协议安全性风险。攻击性测试一般分为攻击网络安全协议加密算法、攻击算法和协议的加密技术以及攻击网络安全协议本身,以便发现网络安全协议存在的安全漏洞,及时对网络安全协议进行改进和优化,提升网络安全协议安全性。
1.2常见网络安全协议设计方式
在网络安全协议设计过程中,较为注重网络安全协议的复杂性设计和交织攻击抵御能力设计,在确保网络安全协议具备较高安全性的同时,保证网络安全协议具备一定的经济性。网络安全协议的复杂性主要目的是保障网络安全协议的安全,而网络安全协议的交织攻击抵抗力则是为了实现网络安全协议应用范围的扩展。在网络安全协议设计过程中,应当注重边界条件的设定,确保网络安全协议集复杂性、安全性、简单性以及经济性于一身。一方面,利用一次性随机数来替换时间戳。同步认证的形式是目前网络安全协议的设计运用较为广泛的方式,该认证形式要求各认证用户之间必须保持严格的同步时钟,在计算机网络环境良好的情况相对容易实现,然而当网络存在一定延迟时,难以实现个用户之间的同步认证。对此,在网络安全协议设计过程中可以合理运用异步认证方式,采用随机生成的验证数字或字母来取代时间戳,在实现有效由于网络条件引发的认证失败问题的同时,确保网络安全协议的安全性。另一方面,采用能够抵御常规攻击的设计方式。网络安全协议必须具备抵御常见明文攻击、混合攻击以及过期信息攻击等网络攻击的能力,防止网络击者从应答信息中获取密钥信息。同时,在设计网络安全协议过程中,也应当注重过期消息的处理机制的合理运用,避免网络攻击者利用过期信息或是对过期信息进行是该来实现攻击,提升网络安全协议的安全性。此外,在设计网络安全协议过程中,还应当确保网络安全协议实用性,保障网络安全协议能够在任何网络结构的任意协议层中使用。在网络通信中,不同网络结构的不同协议层在接受信息长度方面存在一定差异,对此,在设置网络安全协议秘钥消息时,必须确保密钥消息满足最短协议层的要求,将密码消息长度设置为一组报文的长度,在确保网络安全协议适用性的同时,提升网络安全协议的安全性。
2计算机网络安全协议在CTC中的应用
近年来,随着计算机通信技术、网络技术以及我国高速铁路的不断发展,推动了我国调度集中控系统(CentralizedTrafficControl,检测CTC系统)的不断发展,使得CTC系统广泛应用于高铁的指挥调度中。CTC系统是铁路运输指挥信息化自动化的基础和重要组成部分,采用了自动控制技术、计算机技术、网络通信技术等先进技术,同时采用智能化分散自律设计原则,是一种以列车运行调整计划控制为中心,兼顾列车与调车作业的高度自动化的调度指挥系统。同CTC系统的路由器与交换机之间装设了防火墙隔离设备,能够有效确保CTC系统中心局域网的安全。CTC系统的车站系统的局域网主干主要由两台高性能交换机或集线器构成,并在车站调度集中自律机LiRC、值班员工作站以及信号员工作站等设备上配备两个以太网口,以实现与高速网络通信。为实现车站系统与车站基层广域网之间的网络通信和高速数据传输,车站系统配备了两台路由器。车站基层广域网连接调度中心局域网通过双环、迂回的高速专用数字通道实现与各车站局域网的网络通信,其中,该数字通道的带宽超过2Mbps/s,且每个通道环的站数在8个以内,并采用每个环应交叉连接到局域网两台路由器的方式来确保其数据传输的可靠性。CTC系统在网络通信协议方面,采用TCP/IP协议,并在数据传输过程中运用CHAP身份验证技术和IPSEC安全保密技术,在有效实现数据高速传递的同时,确保的网络通信的安全。
3结语
随着信息产业的高速发展,众多企业都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。
关键字:信息系统信息安全身份认证安全检测
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一、目前信息系统技术安全的研究
1.企业信息安全现状分析
随着信息化进程的深入,企业信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。
2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%.
对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低。
2.企业信息安全防范的任务
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:
从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。
二、计算机网络中信息系统的安全防范措施
(一)网络层安全措施
①防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
②入侵检测技术
IETF将一个入侵检测系统分为四个组件:事件产生器(EventGenerators);事件分析器(EventAnalyzers);响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID(IntrusionDetection):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(CSignature-Based),另一种基于异常情况(Abnormally-Based)。
(二)服务器端安全措施只有正确的安装和设置操作系统,才能使其在安全方面发挥应有的作用。下面以WIN2000SERVER为例。
①正确地分区和分配逻辑盘。
微软的IIS经常有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。本系统的配置是建立三个逻辑驱动器,C盘20G,用来装系统和重要的日志文件,D盘20G放IIS,E盘20G放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。因为,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
②正确
地选择安装顺序。
一般的人可能对安装顺序不太重视,认为只要安装好了,怎么装都可以的。很多时候正是因为管理员思想上的松懈才给不法分子以可乘之机。Win2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000SERVER之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装,尽管很麻烦,却很必要。
(三)安全配置
①端口::端口是计算机和外部网络相连的逻辑接口,从安全的角度来看,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性——TCP/IP——高级——选项——TCP/IP筛选中启用TCP/IP筛选,不过对于Win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口;这样对于需要开大量端口的用户就比较麻烦。
②IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,所以在本系统的WWW服务器采取下面的设置:
首先,把操作系统在C盘默认安装的Inetpub目录彻底删掉,在D盘建一个Inetpub在IIS管理器中将主目录指向D:\Inetpub。
其次,在IIS安装时默认的scripts等虚拟目录一概删除,这些都容易成为攻击的目标。我们虽然已经把Inetpub从系统盘挪出来了,但这样作也是完全必要的。如果需要什么权限的目录可以在需要的时候再建,需要什么权限开什么。特别注意写权限和执行程序的权限,没有绝对的必要千万不要给。
③应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指出的是ASP,ASP和其它确实需要用到的文件类型。我们不需要IIS提供的应用程序的映射,删除所有的映射,具体操作:在IIS管理器中右击主机一属性一WWW服务编辑一主目录配置一应用程序映射,然后就一个个删除这些映射。点击“确定”退出时要让虚拟站点继承刚才所设定的属性。
经过了Win2000Server的正确安装与正确配置,操作系统的漏洞得到了很好的预防,同时增加了补丁,这样子就大大增强了操作系统的安全性能。
虽然信息管理系统安全性措施目前已经比较成熟,但我们切不可马虎大意,只有不断学习新的网络安全知识、采取日新月异的网络安全措施,才能保证我们的网络安全防御真正金汤。
参考文献:
刘海平,朱仲英.一个基于ASP的在线会员管理信息系统.微型电脑应用.2002(10)
东软集团有限公司,NetEye防火墙使用指南3.0,1-3
贾晶,陈元,王丽娜编著,信息系统的安全与保密,第一版,1999.01,清华大学出版社
EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
杨兵.网络系统安全技术研究及其在宝钢设备采购管理系统中的应用:(学位论文).辽宁:东北大学,2002
刘广良.建设银行计算机网络信息系统安全管理策略研究:(学位论文).湖南:湖南大学.2001
1.1网络通信结构不合理网络通信自身结构的不合理是造成当前我国网络通信信息安全隐患的首要原因。互联网通信技术是以网间网技术为主要依托的,用户需要通过自身固定的IP协议或TCP协议在网上注册账号,从而在获得网络的远程授权后开展网络通信。由于网络结构是树状型,用户在使用网络通信功能时可能被黑客攻击从而通过树状连接网络窃取用户的通信信息。
1.2网络通信软件存在安全隐患由于客户在使用网络通信软件时需要通过下载补丁等方式让软件能够符合计算机终端操作系统的要求,而这些被广泛应用并下载的软件程序可能由于补丁程序等的引入而成为公开化的信息,这种公开化的软件信息一旦被不法分子利用则会给人们的网络通信带来严重影响,这种影响甚至会波及整个计算机网络系统,造成整个网络的通信安全隐患。
1.3人为的网络系统攻击在利益的驱使下,部分不法分子企图通过不合法的网络系统攻击方式对网络通信进行人为的攻击从而获取大量的网络资源。这些“黑客”的攻击不仅出现在商业管理终端等能够获取大量经济利益的领域,甚至还可能出现在个人的计算机中获取个体用户的信息,给用户的信息安全造成重大隐患。应该客观认识的是,我国网络通信在人们生活水平不断提升及通信方式变革的背景下发展速度一日千里,但是作为保障的信息安全维护工作却与网络通信的发展现状存在较大差距。再加上网络通信管理部门对于网络通信信息安全认识不足、网络通信管理制度不健全等问题也加剧了网络通信信息安全隐患,甚至给整个互联网通信系统带来安全隐患,给不法分子以利用的机会。正是基于当前我国网络通信中信息安全的严峻现状及在这一过程中所出现问题的原因,笔者认为,不断加强网络通信技术革新与网络通信制度建设,充分保障网络通信信息安全是时展的必然要求。
2保障网络通信信息安全的途径
2.1充分保障用户IP地址由于黑客对用户网络通信的侵入与攻击大都是以获取用户IP地址为目的的,因此,充分保障用户的IP地址安全是保护用户网络通信安全的重要途径。用户在使用互联网时也要特别注意对自身IP地址的保护,通过对网络交换机的严格控制,切断用户IP地址通过交换机信息树状网络结构传递被透露的路径;通过对路由器进行有效的隔离控制,经常关注路由器中的访问地址,对非法访问进行有效切断。
2.2完善信息传递与储存的秘密性信息传递与信息储存的两个过程是当前给网络通信信息安全造成隐患的两个主要途径,在网络信息的存储与传递过程中,黑客可能会对信息进行监听、盗用、恶意篡改、拦截等活动以达到其不可告人目的的需求。这就要求用户在使用网络通信技术时要对网络信息的传递与储存环节尽量进行加密处理,保证密码的多元化与复杂性能够有效甚至从根本上解决信息在传递与储存环节被黑客攻击利用的威胁。当前在网络通信过程中用户可以选择自身合适的加密方式对自身的信息进行加密处理,而网络维护工作者也要根据实际情况加强对信息的加密设置。
2.3完善用户身份验证对用户的身份进行有效的验证是保障网络通信信息安全的另一条重要途径。在进行网络通信之前对用户身份进行严格验证,确保是本人操作从而对用户的私人信息进行充分有效的保护。当前,用户的身份验证主要是通过用户名与密码的“一对一”配对实现的,只有二者配对成功才能获得通信权限,这种传统的验证方法能够满意一般的通信安全需求,但是在网络通信技术发展速度不断加快的背景下,传统的身份验证方法需要新的变化,诸如借助安全令牌、指纹检测、视网膜检测等具有较高安全性的方法进一步提升网络通信信息安全水平。此外,在保障网络通信信息安全的过程中还可以通过完善防火墙设置,增强对数据源及访问地址恶意更改的监测与控制,从源头上屏蔽来自外部网络对用户个人信息的窃取以及对计算机的攻击。加强对杀毒软件的学习与使用,定期对电脑进行安全监测,从而确保用户自身的信息安全。
3结语
