论文部分内容阅读
【摘 要】随着信息技术的发展,计算机信息系统逐步成为整个国家机构运转的命脉和社会活动的支柱。计算机信息系统的任何破坏或故障,都将对用户以致整个社会产生巨大影响。研究计算机信息安全管理具有重大的、直接的现实意义。
【关键词】计算机;网络信息;安全管理
一、计算机及网络信息安全的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有:1、人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。2、人为的恶意攻击。这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。3、网络软件的漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。计算机网络的一个重要技术特征是其各项功能利用IT技术来处理完成的。计算机网络设备安全和网络信息安全实际上是密不可分的,两者相辅相成,缺一不可。计算机网络设备安全特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全。网络信息安全则紧紧围绕信息在互联网络上应用时产生的各种安全问题,在计算机网络设备安全的基础上,如何保障信息应用过程的顺利进行,即实现信息的保密性、完整性、可鉴别性、不可伪造性、和不可抵赖性。没有计算机网络设备安全作为基础,网络信息安全就犹如空中楼阁,无从谈起。没有信息安全保障,即使计算机网络本身再安全,仍然无法达到计算机网络信息应用的最终目的。
二、计算机及网络信息安全管理措施
1、常规措施
(1)实体安全措施。要采取一些保护计算机设备、设施(含网络、通信设备)以及其它媒体免受水灾、火灾、有害气体和其它环境事故(如电磁污染)破坏的措施、过程。这是整个信息系统安全运行的基本要素。(2)运行安全措施。为保障整个系统功能的安全实现,需要一套行之有效的安全措施,来保护信息处理过程的安全,其中包括:风险分析、审计跟踪,备份恢复、应急等。制定必要的、具有良好可操作性的规章制度,去进行制约,是非常必要和重要的,而且是非常紧迫的。形成一支自觉性高、遵纪守法的技术人员队伍,是计算机网络安全工作的又一重要环节。要强化计算机系统的安全管理,加强人员教育,来严格有效地制约用户对计算机的非法访问,防范非法用户的侵入。只有严格的管理,才能把各种危害遏止最低限度。(3)信息安全措施。数据是信息的基础,是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工,传递等数据流动的各个环节进行精心组织和严格控制,确保数据的准确性、完整性、及时性、安全性、适用性。制定良好的信息安全规章制度,是最有效的技术手段。而且不仅仅是数据,还应把技术资料、业务应用数据和应用软件包括进去。
2、防病毒措施
计算机病毒层出不穷,蔓延广,危害大,具有难以预知性、潜藏性和破坏性。(1)使用著名厂商的专门防、杀病毒程序可以减少病毒的危害;(2)适当地设置网络服务器上系统资源的访问权限和存取权限,可以在一定程度上防止病毒的攻击;(3)采用防治病毒硬件,如防病毒板卡或芯片,能有效地防止病毒对系统的侵入。
3、内部网络安全
由于局域网采用的是以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析。从而窃取关键信息。这就是局域网固有的安全隐患。为了解决这个问题,采取了以下措施:1)网络分段由于局域网采用以交换机为中心、路由器为边界的网络格局,又基于中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,这是一重要的措施。2)以交换式集线器代替共享式集线器由于部分网络最终用户的接入是通过集线器而不是交换机,而使用最广泛的集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听。如一种危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺加密功能,用户所键入的每一个字符(包括用户名、密码、关键配置等重要信息),都将被明文发送,这就是一个很大的安全隐患。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。3)VLAN(虚拟局域网)的划分。采取划分VLAN的方法,进一步可以克服以太网的广播问题。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于交换机端口的VLAN虽然稍欠灵活,但却比较成熟,在实际使用中较多,且效果显著。在集中式网络环境下,可以将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。
4、针对外网采取的安全措施
外网安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。(1)防火墙技术。防火墙是一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。同时防火墙还可以限定内外网通信主体和通信协议。目前防火墙有以下几种:l)包过滤防火墙;2)双宿主主机防火墙;3)屏蔽主机网关防火墙;4)屏蔽子网防火墙。(2)入侵检测技术。入侵检测是一种主动安全的保护技术,作为防火墙之后的第2道安全闸门,实时监视网络活动,并对数据进行分析,以检测发生和可能发生的攻击,并对网络行为进行审计。从而扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
三、结语
总之,计算机网络的发展,使信息共享广泛用于金融、贸易、商业、企业、教育等各个领域,增加了网络的实用性,同时由于信息在网络上存储、共享和传输会被非法窃听、截取、篡改或破坏而导致不可估量的损失,相应的不可避免带来了系统的脆弱性,使其面临严重的安全问题。因此,探索研究计算机信息安全问题有着重大的现实意义。
参考文献:
[1]刘宝旭,网络信息系统安全与管理。中国信息导报。2000,11.
[2]汤希才,管理信息系统的脆弱性及其安全问题。电脑开发与应用,2004.
[3]刘英,企业计算机网络信息系统的安全问题及对策,浙江电力,2001,4.
【关键词】计算机;网络信息;安全管理
一、计算机及网络信息安全的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有:1、人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。2、人为的恶意攻击。这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。3、网络软件的漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。计算机网络的一个重要技术特征是其各项功能利用IT技术来处理完成的。计算机网络设备安全和网络信息安全实际上是密不可分的,两者相辅相成,缺一不可。计算机网络设备安全特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全。网络信息安全则紧紧围绕信息在互联网络上应用时产生的各种安全问题,在计算机网络设备安全的基础上,如何保障信息应用过程的顺利进行,即实现信息的保密性、完整性、可鉴别性、不可伪造性、和不可抵赖性。没有计算机网络设备安全作为基础,网络信息安全就犹如空中楼阁,无从谈起。没有信息安全保障,即使计算机网络本身再安全,仍然无法达到计算机网络信息应用的最终目的。
二、计算机及网络信息安全管理措施
1、常规措施
(1)实体安全措施。要采取一些保护计算机设备、设施(含网络、通信设备)以及其它媒体免受水灾、火灾、有害气体和其它环境事故(如电磁污染)破坏的措施、过程。这是整个信息系统安全运行的基本要素。(2)运行安全措施。为保障整个系统功能的安全实现,需要一套行之有效的安全措施,来保护信息处理过程的安全,其中包括:风险分析、审计跟踪,备份恢复、应急等。制定必要的、具有良好可操作性的规章制度,去进行制约,是非常必要和重要的,而且是非常紧迫的。形成一支自觉性高、遵纪守法的技术人员队伍,是计算机网络安全工作的又一重要环节。要强化计算机系统的安全管理,加强人员教育,来严格有效地制约用户对计算机的非法访问,防范非法用户的侵入。只有严格的管理,才能把各种危害遏止最低限度。(3)信息安全措施。数据是信息的基础,是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工,传递等数据流动的各个环节进行精心组织和严格控制,确保数据的准确性、完整性、及时性、安全性、适用性。制定良好的信息安全规章制度,是最有效的技术手段。而且不仅仅是数据,还应把技术资料、业务应用数据和应用软件包括进去。
2、防病毒措施
计算机病毒层出不穷,蔓延广,危害大,具有难以预知性、潜藏性和破坏性。(1)使用著名厂商的专门防、杀病毒程序可以减少病毒的危害;(2)适当地设置网络服务器上系统资源的访问权限和存取权限,可以在一定程度上防止病毒的攻击;(3)采用防治病毒硬件,如防病毒板卡或芯片,能有效地防止病毒对系统的侵入。
3、内部网络安全
由于局域网采用的是以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析。从而窃取关键信息。这就是局域网固有的安全隐患。为了解决这个问题,采取了以下措施:1)网络分段由于局域网采用以交换机为中心、路由器为边界的网络格局,又基于中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,这是一重要的措施。2)以交换式集线器代替共享式集线器由于部分网络最终用户的接入是通过集线器而不是交换机,而使用最广泛的集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听。如一种危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺加密功能,用户所键入的每一个字符(包括用户名、密码、关键配置等重要信息),都将被明文发送,这就是一个很大的安全隐患。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。3)VLAN(虚拟局域网)的划分。采取划分VLAN的方法,进一步可以克服以太网的广播问题。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于交换机端口的VLAN虽然稍欠灵活,但却比较成熟,在实际使用中较多,且效果显著。在集中式网络环境下,可以将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。
4、针对外网采取的安全措施
外网安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。(1)防火墙技术。防火墙是一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。同时防火墙还可以限定内外网通信主体和通信协议。目前防火墙有以下几种:l)包过滤防火墙;2)双宿主主机防火墙;3)屏蔽主机网关防火墙;4)屏蔽子网防火墙。(2)入侵检测技术。入侵检测是一种主动安全的保护技术,作为防火墙之后的第2道安全闸门,实时监视网络活动,并对数据进行分析,以检测发生和可能发生的攻击,并对网络行为进行审计。从而扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
三、结语
总之,计算机网络的发展,使信息共享广泛用于金融、贸易、商业、企业、教育等各个领域,增加了网络的实用性,同时由于信息在网络上存储、共享和传输会被非法窃听、截取、篡改或破坏而导致不可估量的损失,相应的不可避免带来了系统的脆弱性,使其面临严重的安全问题。因此,探索研究计算机信息安全问题有着重大的现实意义。
参考文献:
[1]刘宝旭,网络信息系统安全与管理。中国信息导报。2000,11.
[2]汤希才,管理信息系统的脆弱性及其安全问题。电脑开发与应用,2004.
[3]刘英,企业计算机网络信息系统的安全问题及对策,浙江电力,2001,4.