互聯網技術的快速發展和廣泛應用對人類的生活和生產產生了越來越大的影響。企業信息網絡的建設加強了企業的競爭力,各大企業或單位都在通過網絡與用戶及其他相關行業系統進行溝通,提供電子商務、網上銀行等各種在線信息服務。同時也帶來了高科技下新的風險。計算機系統本身的不安全性、人為的攻擊和破壞、計算機安全管理體系的不完善,都潛伏著諸多安全隱患,嚴重的可能導致信息丟失或計算機系統癱瘓,造成巨大的經濟損失和惡劣的社會影響。因此,加強網絡系統安全體系的建設並保證其正常運行是極其重要的。
下面從本地安全、傳輸安全、管理安全三個角度分析企業的網絡信息安全及防範。
第壹,地方安全政策
1.本地安全
主要包括操作系統和軟件安全、數據存儲安全。
1.1操作系統和軟件安全
操作系統是計算機最重要的系統軟件,控制和管理計算機系統的軟硬件資源,是計算機的指揮中心。目前網絡系統常用的操作系統有Unix和Windows。這些制度已經有很多年了,可以說是相對安全嚴謹的制度,但也不是無懈可擊。通過電子郵件、特洛伊木馬和文件* * *傳播的混合病毒越來越嚴重,數以千計的計算機被感染。影響最大的“求職信”病毒,六個月感染率最高,“沖擊波”病毒也讓無數電腦用戶苦不堪言。
1.2數據存儲安全性
計算機網絡的多樣性、終端分布的不均勻性以及網絡的開放性和互聯性,使得接入網絡的計算機系統容易受到黑客、惡意軟件和非法授權的入侵和攻擊,信息系統中存儲的數據暴露無遺,嚴重威脅用戶信息資源的安全和保密。特別是電子商務的興起和網上銀行的開通,涉及到相關企業大量敏感數據的存儲和傳輸,其安全保密尤為重要。如何保護這些重要數據不被侵犯,提高計算機系統的安全性,是我們必須考慮和解決的問題。
2.地方安全戰略
2.1及時升級操作系統:由於操作系統存在安全漏洞,惡意攻擊者可以通過這些漏洞攻擊電腦,甚至傳播病毒,所以每個用戶都要及時更新升級安全補丁。
2.2及時安裝升級殺毒軟件:安裝殺毒軟件很有必要,也很實用。在企業內部署統壹的防病毒策略,集體防病毒,安裝防病毒軟件,進行全企業範圍的病毒檢查和防病毒,高效及時地應對病毒入侵。
2.3數據加密:每個操作系統和應用軟件都有自己的特點,如用戶權限、賬號和密碼設置、文件系統、* *訪問設置、文件加密等。用戶可以從多個角度改進系統設置。
(1)本地文件加密技術
本地文件加密技術的目的是防止存儲環節的數據丟失,可分為密文存儲和訪問控制。前者壹般通過加密轉換、附加密碼、加密模塊等方法實現,可以對網絡上傳播的文件進行加密和數字簽名,也可以對本地硬盤上的文件進行加密,防止非法訪問。後者是審查和限制用戶的資格和權利,以防止非法用戶訪問數據或合法用戶超越其權限訪問數據。該技術主要應用於NT系統和壹些網絡操作系統中,在這些系統中,不同工作組的用戶可以被賦予相應的權限,以保護重要數據不被非法訪問。
(2)數據完整性檢測技術
目的是驗證參與信息及相關數據內容的傳輸、訪問和處理的人員的身份,以滿足保密要求,壹般包括密碼、密鑰、身份、數據等項目的識別。通過比較和驗證對象輸入的特征值是否符合預設參數,系統實現數據的安全保護。這種認證技術主要應用在大型數據庫管理系統中,因為壹個公司的數據通常是公司的命脈,所以保護公司數據庫的安全非常重要。
二、傳輸安全防範策略
1.傳輸安全性
這裏指的是物理安全,比如線路安全,不僅要保證線路的正常連接,還要考慮是否被監控等安全方面。線路連接故障導致的網絡中斷也是經常發生,損失嚴重。但是,直接或間接攔截網絡上的特定數據包,並對其進行分析以獲取所需信息,還可以獲取壹些機密文件或商業機密信息,還可以非法獲取密碼,攔截和修改網絡上的特定數據包,破壞目標數據的完整性。這樣造成的損失是隱蔽的,性質更惡劣,所以在架設網絡的時候要考慮到這些方面。
2.傳輸安全預防策略
2.1抑制和防止電磁泄漏(TEMPEST技術)
這是傳輸安全策略的壹個主要問題。目前主要有兩種防護措施:壹種是傳導發射的防護,主要是在電源線和信號線中加入性能良好的濾波器,以降低傳輸阻抗和導線間的交叉耦合。另壹種是輻射防護,分為以下兩種:壹種是采取各種電磁屏蔽措施,如屏蔽設備和各種連接器,對機房的下水管道、暖氣管道、金屬門窗等進行屏蔽隔離;二是幹擾防護措施,即在計算機系統工作時,利用幹擾裝置產生壹種與計算機系統輻射有關的偽噪聲向空間輻射,以掩蓋計算機系統的工作頻率和信息特征。
2.2信息加密技術
目的是對傳輸中的數據流進行加密,以防止在通信線路上被竊聽、泄露、篡改和破壞。根據加密的通信級別,加密可以在三個不同的通信級別上實現,即鏈路加密(網絡層以下的加密)、節點加密和端到端加密(傳輸前的加密、網絡層以上的加密)。加密技術可以分為對稱加密和非對稱加密。
(1)對稱加密技術
在對稱加密技術中,相同的密鑰(通常稱為“會話密鑰”)用於加密和解密信息。這種加密方式可以簡化加密過程,信息交換雙方不需要相互研究和交換特殊的加密算法。
(2)非對稱加密技術
在非對稱加密系統中,密鑰被分解成壹對(即公鑰和私鑰)。公鑰用於加密,私鑰用於解密。私鑰只能由生成該密鑰的交換機掌握。公鑰可以廣泛發布,但它只對應生成密鑰的交換者。非對稱加密可以在不預先交換密鑰的情況下建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。
2.3信息完整性識別技術
對於動態傳輸的信息,許多協議主要通過接收錯誤、重傳和丟棄後續數據包來確保信息完整性。然而,黑客攻擊可以改變數據包的內容,因此應采取有效措施來控制完整性。數據完整性識別技術主要包括消息認證、校驗和以及消息完整性編碼。
2.4拒絕防禦技術
包括來源和目的雙方的證明,常用的方法是數字簽名,采用壹定的數據交換協議,使雙方滿足兩個條件:接收方能夠識別發送方所聲稱的身份,發送方在未來不能否認自己發送數據的事實。
2.5防火墻技術
“防火墻”是壹個比喻性的說法。實際上,它是計算機硬件和軟件的結合,在因特網和內部網之間建立壹個安全網關,從而保護內部網免受非法用戶的侵害。實際上是把互聯網和內網分開的壹道屏障。
在實現方式上,防火墻分為硬件防火墻和軟件防火墻。壹般來說,硬件防火墻就是硬件防火墻,通過硬件和軟件的結合,達到隔離內外網的目的。效果不錯,但是價格比較貴。軟件防火墻是通過純軟件來實現的,非常便宜,但是這種防火墻只能通過壹定的規則來達到限制壹些非法用戶訪問內網的目的。
2.6簡單無線網絡安全
從表面上看,無線網絡可以說是壹個完全開放的網絡,所以常規網絡的安全措施並不壹定適用於無線網絡。因此,我們應用有線等效保密(WEP)、藍牙技術和WAP 2.0(無線應用協議)來解決無線網絡的安全問題。
IEEE802.11標準中的WEP(有線等效保密)協議是IEEE802.11b協議中最基本的無線安全加密措施,主要用途包括提供訪問控制,防止未授權用戶訪問網絡;加密數據,防止數據被攻擊者竊聽;防止數據在中間被攻擊者惡意修改或偽造。
藍牙技術面向移動設備之間的小範圍連接,本質上是壹種替代線纜的技術。藍牙系統采用認證和加密技術來保證移動設備之間數據傳輸的安全性和通信單元的安全性。
WAP協議定義了移動通信終端連接到互聯網的標準方式。WAP2.0采用了WTLS和WIM(無線身份模塊技術),這使得它在支持匿名訪問、客戶端認證和服務器認證、安全會話控制和數字簽名等各種安全措施時,能夠提供完善有效的端到端安全機制。WAP是相對安全的無線保真。
第三,安全策略的管理
除了采取上述安全技術措施外,加強網絡的安全管理,制定相關的規章制度,對保證網絡的安全可靠運行將起到非常有效的作用。
最堅固的堡壘總是先從內部攻破。無論網絡多麽安全,不管是有意還是無意,內部人員都會把這些巨額投資變成泡沫,比如隨意泄露內部信息,不註意保護自己的賬戶安全。因此,很多公司的關鍵部門都采取了嚴格的措施,將內網與外網進行物理隔離,普通員工根本無法登錄外網;此外,壹些公司使用保存員工的在線記錄或電子郵件,這也是壹種安全措施,但目前存在爭議,會被認為有侵犯隱私的嫌疑。
解決問題的有效途徑是建立嚴格的管理制度,確定安全管理的層次和範圍;制定相關網絡運行和使用規定及機房管理制度;制定網絡系統的維護制度和應急措施。具體包括建立業務部門計算機系統使用和管理規定、部門負責人和業務操作人員計算機密碼管理規定;禁止公開和公開密碼;建立和完善備份系統;在信息管理中,多人負責、任期有限、職責分離等原則。應該執行,制定的規章制度要有專人執行,從根本上消除內部安全隱患。同時,要註意加強對員工的思想教育和安全意識教育,從而增強道德和法制觀念教育,提高員工素質,提高員工的安全意識和能力。
結束語
計算機網絡日益成為不可或缺的信息交流手段,滲透到社會生活和生產的各個領域,網絡信息安全防範成為壹個突出問題。因此,認清網絡的脆弱性和潛在威脅,以嚴格的保密政策、清晰的安全策略和高素質的網絡管理人員,保證信息的完整性和正確性,以及網絡的完好和實時的安全性,是非常重要的。網絡安全是壹項復雜的系統工程,不僅需要技術的發展,還需要人工的安全管理。只有兩方面緊密結合,才能達到良好的安全效果,為網絡提供強大的安全服務。
詳見本網站:/ml/itsj/200506-1.htm。