網絡信息安全論文范文第1篇
目前,對信息異化概念有不同的說法,多是處于人的視角,認為信息異化是人類創造了信息,信息在生產、傳播和利用等活動過程中有各種的阻礙,使得信息喪失其初衷,反客為主演變成外在的異化力量,反過來支配、統治和控制人的力量。其意針對的是人們創造的那部分信息,研究的是信息所擁有的社會屬性,說到底是研究人造成的異化問題,只是使用了限定詞的一個信息而已,疑似把“信息異化”當作“信息過程中人的異化”同一個歸類。這樣,使得異化的被動內涵被隱藏起來,結果造就了“信息對人的異化”方面的研究,疏忽對信息自然屬性及“信息被異化”的研究,最后使信息異化研究具有片面性。筆者最后選擇一個信息異化概念。“信息異化”是指信息在實踐活動(包括信息的生產、制造,傳播及接收等)過程中,在信息不自由的狀態下變為異在于其本真活動結果的現象。關于信息安全,部分專家對信息安全的定義為:“一個國家的社會信息化狀態不受外來的威脅與侵害;一個國家的信息技術體系不受外來的威脅與侵害。”這個定義,包含現有對信息安全的先進認識,又包含了更加廣泛的信息安全領域,是目前較為全面且被認可的定義。信息安全本身包括的范圍極大,其中包括如何防范企業商機泄露、防范未成年人對不良信息的瀏覽、個人信息的泄露損失等。所以網絡信息安全體系的建立是保證信息安全的重要關鍵,其中包含計算機安全操作系統、各種的安全協議、安全機制(數字簽名、消息認證、數據加密等),直至安全系統,只要一環出現漏洞便會產生危險危害。如今,網絡安全技術雜亂零散且繁多,實現成本相應增加,對網絡性能的影響逐漸增大。其復雜性使得它的臃腫的弊端慢慢顯現出來,業界需要相應的創新的理念和戰略去解決網絡安全問題以及它的性能問題,在這種背景下可信網絡開始出現在世人的眼中。現在大眾可信網絡有不同理解與觀點,有的認為可信應該以認證為基礎,有的認為是以現有安全技術的整合為基石;有的認為是網絡的內容可信化,有的認為可信是網絡是基于自身的可信,有的認為是網絡上提供服務的可信等,雖說眾說紛紜,但其目的是一致的:提升網絡以及服務的安全性,使人類在信息社會中受益。可信網絡可提升并改進網絡的性能,減少因為不信任帶來的監視、不信任等系統的成本,提高系統的整體性能。
二、可信網絡國內外研究
(一)可信網絡國外研究
在可信網絡的研究中,Clark等學者在NewArch項目的研究中提出了“信任調節透明性”(trust-modulatedtransparency)原則,他們期望在現實社會的互相信任關系能夠反映在網絡上。基于雙方用戶的信任需求,網絡可以提供一定范圍的服務,如果雙方彼此完全信任,則他們的交流將是透明化、沒有約束的,如果不是則需要被檢查甚至是被約束。美國高級研究計劃局出的CHAT(compostablehigh-Assurancetrustworthysystems)項目研究了在指定條件下運行如何開發出可快速配置的高可信系統及網絡來滿足關鍵的需求,其中包含了安全性、可生存性、可靠性、性能和其他相關因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)項目研究了以策略為中心的入校檢測模型,他們利用模型去提高網絡系統的可信性。但因為網絡有著復雜基于信息異化下的信息安全中可信網絡分析研究柳世豫,郭東強摘要:互聯網逐漸成為我們生活中不可或缺的同時,其弊端也開始出現。未來網絡應該是可信的,這一觀點已成為業界共性的特點,如何構建可信網絡是需要研究的。因此TCG先進行較為簡單的可信網絡連接問題。它將可信計算機制延伸到網絡的技術,在終端連入網絡前,開始進行用戶的身份認證;若用戶認證通過,再進行終端平臺的身份認證;若終端平臺的身份認證也通過,最后進行終端平臺的可信狀態度量,若度量結果滿足網絡連入的安全策略,將允許終端連入網絡,失敗則將終端連入相應隔離區域,對它進行安全性補丁和升級。TNC是網絡接入控制的一種實現方式,是相對主動的一種網絡防御技術,它能夠防御大部分的潛在攻擊并且在他們攻擊前就進行防御。2004年5月TCG成立了可信網絡連接分組(trustednetworkconnectionsubgroup),主要負責研究及制定可信網絡連接TNC(trustednetworkconnection)框架及相關的標準。2009年5月,TNC了TNC1.4版本的架構規范,實現以TNC架構為核心、多種組件之間交互接口為支撐的規范體系結構,實現了與Microsoft的網絡訪問保護(networkaccessprotection,NAP)之間的互操作,他們將相關規范起草到互聯網工程任務組(internationalengineertaskforce,IETF)的網絡訪問控制(networkaccesscontrol,NAC)規范中。如今已有許多企業的產品使用TNC體系結構,如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。
(二)可信網絡國內研究
我國也有學者進行了可信網絡的研究。林闖等進行了可信網絡概念研究以及建立相關模型,提出網絡可信屬性的定量計算方法。期望基于網絡體系結構自身來改善信息安全的方式來解決網絡脆弱性問題,通過保護網絡信息中的完整性、可用性、秘密性和真實性來保護網絡的安全性、可控性以及可生存性。利用在網絡體系結構中的信任機制集成,使安全機制增強,在架構上對可信網絡提出了相關設計原則。閔應驊認為能夠提供可信服務的網絡是可信網絡,并且服務是可信賴和可驗證的。這里的可信性包括健壯性、安全性、可維護性、可靠性、可測試性與可用性等。TNC進行設計過程中需要考慮架構的安全性,同時也要考慮其兼容性,在一定程度上配合現有技術,因此TNC在優點以外也有著局限性。TNC的突出優點是安全性和開放性。TNC架構是針對互操作的,向公眾開放所有規范,用戶能夠無償獲得規范文檔。此外,它使用了很多現有的標準規范,如EAP、802.1X等,使得TNC可以適應不同環境的需要,它沒有與某個具體的產品進行綁定。TNC與NAC架構、NAP架構的互操作也說明了該架構的開放性。NC的擴展是傳統網絡接入控制技術用戶身份認證的基礎上增加的平臺身份認證以及完整性驗證。這使得連入網絡的終端需要更高的要求,但同時提升了提供接入的網絡安全性。雖然TNC具有上述的優點,但是它也有一定的局限性:
1.完整性的部分局限。TNC是以完整性為基礎面對終端的可信驗證。但這種可信驗證只能保證軟件的靜態可信,動態可信的內容還處于研究中。因此TNC接入終端的可信還處于未完善的階段。
2.可信評估的單向性。TNC的初衷是確保網絡安全,在保護終端的安全上缺乏考慮。終端在接入網絡之前,在提供自身的平臺可信性證據的基礎上,還需要對接入的網絡進行可信性評估,否則不能確保從網絡中獲取的服務可信。
3.網絡接入后的安全保護。TNC只在終端接入網絡的過程中對終端進行了平臺認證與完整性驗證,在終端接入網絡之后就不再對網絡和終端進行保護。終端平臺有可能在接入之后發生意外的轉變,因此需要構建并加強接入后的控制機制。在TNC1.3架構中增加了安全信息動態共享,在一定程度上增強了動態控制功能。
4.安全協議支持。TNC架構中,多個實體需要進行信息交互,如TNCS與TNCC、TNCC與IMC、IMV與TNCS、IMC與IMV,都需要進行繁多的信息交互,但TNC架構并沒有給出相對應的安全協議。
5.范圍的局限性。TNC應用目前局限在企業內部網絡,難以提供多層次、分布式、電信級、跨網絡域的網絡訪問控制架構。在TNC1.4架構中增加了對跨網絡域認證的支持,以及對無TNC客戶端場景的支持,在一定程度上改善了應用的局限性。我國學者在研究分析TNC的優缺點的同時結合中國的實際情況,對TNC進行了一些改進,形成了中國的可信網絡連接架構。我國的可信網絡架構使用了集中管理、對等、三元、二層的結構模式。策略管理器作為可信的第三方,它可以集中管理訪問請求者和訪問控制器,網絡訪問控制層和可信平臺評估層執行以策略管理器為基礎的可信第三方的三元對等鑒別協議,實現訪問請求者和訪問控制器之間的雙向用戶身份認證和雙向平臺可信性評估。該架構采用國家自主知識產權的鑒別協議,將訪問控制器以及訪問請求者作為對等實體,通過策可信第三方的略管理器,簡化了身份管理、策略管理和證書管理機制,同時進行終端與網絡的雙向認證,提供了一種新思路。在國家“863”計劃項目的支持下,取得了如下成果:
(1)在對TNC在網絡訪問控制機制方面的局限性進行研究分析后,同時考慮可信網絡連接的基本要求,提出了一種融合網絡訪問控制機制、系統訪問控制機制和網絡安全機制的統一網絡訪問控制LTNAC模型,對BLP模型進行動態可信性擴展,建立了TE-BLP模型,期望把可信度與統一網絡訪問控制模型結合起來。
(2)通過研究獲得了一個完整的可信網絡連接原型系統。該系統支持多樣認證方式和基于完整性挑戰與完整性驗證協議的遠程證明,來實現系統平臺間雙向證明和以遠程證明為基礎的完整性度量器和驗證器,最后完成可信網絡連接的整體流程。
三、可信網絡模型分析
(一)網絡與用戶行為的可信模型
可信是在傳統網絡安全的基礎上的拓展:安全是外在的表現形式,可信則是進行行為過程分析所得到的可度量的一種屬性。如何構建高效分析刻畫網絡和用戶行為的可信模型是理解和研究可信網絡的關鍵。這是目前網絡安全研究領域的一個新共識。構建網絡和用戶的可信模型的重要性體現于:它只準確而抽象地說明了系統的可信需求卻不涉及到其他相關實現細節,這使得我們能通過數學模型分析方法去發現系統在安全上的漏洞。可信模型同時也是系統進行研發的關鍵步驟,在美國國防部的“可信計算機系統的評價標準(TCSEC)”中,從B級階段就需要對全模型進行形式化描述和驗證,以及形式化的隱通道分析等。我們還需要可信模型的形式化描述、驗證和利用能夠提高網絡系統安全的可信度。最后,構建理論來說明網絡的脆弱性評估和用戶遭受攻擊行為描述等的可信評估,這是實現系統可信監測、預測和干預的前提,是可信網絡研究的理論所有基礎。完全安全的網絡系統目前還無法實現,因此網絡脆弱性評估的最終目的不是完全消除脆弱性,而是找到一個解決方案,讓系統管理員在“提供服務”和“保證安全”之間找到平衡,主動檢測在攻擊發生之前,如建立攻擊行為的設定描述,通過在用戶中區分隱藏的威脅,以可信評估為基礎上進行主機的接入控制。傳統檢測多為以規則為基礎的局部檢測,它很難進行整體檢測。但我們現有的脆弱性評估工具卻絕大多數都是傳統基于規則的檢測工具,頂多對單一的主機的多種服務進行簡陋的檢查,對多終端構建的網絡進行有效評估還只能依靠大量人力。以模型為基礎的模式為整個系統建立一個模型,通過模型可取得系統所有可能發生的行為和狀態,利用模型分析工具測試,對整個系統的可信性評估。圖2說明了可信性分析的元素。網絡行為的信任評估包括行為和身份的信任,而行為可信又建立在防護能力、信任推薦、行為記錄、服務能力等基礎之上。
(二)可信網絡的體系結構
互聯網因技術和理論的不足在建立時無法考量其安全周全,這是網絡脆弱性的一個重要產生因素。但是如今很多網絡安全設計卻常常忽略網絡體系的核心內容,大多是單一的防御、單一的信息安全和補丁補充機制,遵從“堵漏洞、作高墻、防外攻”的建設樣式,通過共享信息資源為中心把非法侵入者拒之門外,被動的達到防止外部攻擊的目的。在黑客技術日漸復雜多元的情況下,冗長的單一防御技術讓系統規模龐大,卻降低了網絡性能,甚至破壞了系統設計的開放性、簡單性的原則。因此這些被動防御的網絡安全是不可信的,所以從結構設計的角度減少系統脆弱性且提供系統的安全服務特別重要。盡管在開放式系統互連參考模型的擴展部分增加了有關安全體系結構的描述,但那只是不完善的概念性框架。網絡安全不再只是信息的可用性、機密性和完整性,服務的安全作為一個整體屬性被用戶所需求,因此研究人員在重新設計網絡體系時需考慮從整合多種安全技術并使其在多個層面上相互協同運作。傳統的補丁而補充到網絡系統上的安全機制已經因為單個安全技術或者安全產品的功能和性能使得它有著極大地局限性,它只能滿足單一的需求而不是整體需求,這使得安全系統無法防御多種類的不同攻擊,嚴重威脅這些防御設施功效的發揮。如入侵檢測不能對抗電腦病毒,防火墻對術馬攻擊也無法防范。因為如此,網絡安全研究的方向開始從被動防御轉向了主動防御,不再只是對信息的非法封堵,更需要從訪問源端就進行安全分析,盡量將不信任的訪問操作控制在源端達到攻擊前的防范。因此我們非常需要為網絡提供可信的體系結構,從被動轉向主動,單一轉向整體。可信網絡結構研究必須充分認識到網絡的復雜異構性,從系統的角度確保安全服務的一致性。新體系結構如圖3所示,監控信息(分發和監測)以及業務數據的傳輸通過相同的物理鏈路,控制信息路徑和數據路徑相互獨立,這樣監控信息路徑的管理不再只依賴于數據平面對路徑的配置管理,從而可以建立高可靠的控制路徑。其形成的強烈對比是對現有網絡的控制和管理信息的傳輸,必須依賴由協議事先成功設置的傳輸路徑。
(三)服務的可生存性
可生存性在特定領域中是一種資源調度問題,也就是通過合理地調度策略來進行服務關聯的冗余資源設計,通過實時監測機制來監視調控這些資源的性能、機密性、完整性等。但網絡系統的脆弱性、客觀存在的破壞行為和人為的失誤,在網絡系統基礎性作用逐漸增強的現實,確保網絡的可生存性就有著重要的現實意義。由于當時技術與理論的不足,使得網絡存在著脆弱性表現在設計、實現、運行管理的各個環節。網絡上的計算機需要提供某些服務才能與其他計算機相互通信,其脆弱性在復雜的系統中更加體現出來。除了人為疏忽的編程錯誤,其脆弱性還應該包含網絡節點的服務失誤和軟件的不當使用和網絡協議的缺陷。協議定義了網絡上計算機會話和通信的規則,若協議本身就有問題,無論實現該協議的方法多么完美,它都存在漏洞。安全服務是網絡系統的關鍵服務,它的某個部分失去效用就代表系統會更加危險,就會導致更多服務的失控甚至是系統自身癱瘓。因此必須將這些關鍵服務的失效控制在用戶許可的范圍內。可生存性的研究必須在獨立于具體破壞行為的可生存性的基本特征上進行理論拓展,提升系統的容錯率來減少系統脆弱性,將失控的系統控制在可接受范圍內,通過容侵設計使脆弱性被非法入侵者侵入時,盡可能減少破壞帶來的影響,替恢復的可能性創造機會。
(四)網絡的可管理性
目前網絡已成為一個復雜巨大的非線性系統,具有規模龐大、用戶數量持續增加、業務種類繁多、協議體系復雜等特點。這已遠超設計的初衷,這讓網絡管理難度加大。網絡的可管理性是指在內外干擾的網絡環境情況下,對用戶行為和網絡環境持續的監測、分析和決策,然后對設備、協議和機制的控制參數進行自適應優化配置,使網絡的數據傳輸、用戶服務和資源分配達到期望的目標。現有網絡體系結構的基礎上添加網絡管理功能,它無法實現網絡的有效管理,這是因為現有的網絡體系與管理協議不兼容。可信網絡必須是可管理的網絡,網絡的可管理性對于網絡的其他本質屬性,如安全性、普適性、魯棒性等也都有著重要的支撐作用。“網絡管理”是指對網絡情況持續進行監測,優化網絡設備配置并運行參數的過程,包括優化決策和網絡掃描兩個重要方面。研究管理性是通過改善網絡體系中會導致可管理性不足的設計,達到網絡可管理性,實現網絡行為的可信姓,再解決網絡本質問題如安全性、魯棒性、普適性、QoS保障等,提供支撐,使網絡的適應能力加強。
四、結論
綜上所述,互聯網有著復雜性和脆弱性等特征,當前孤立分散、單一性的防御、系統補充的網絡安全系統己經無法應對具有隱蔽多樣可傳播特點的破壞行為,我們不可避免系統的脆弱性,可以說網絡正面臨重要的挑戰。我國網絡系統的可信網絡研究從理論技術上來說還處于初級階段,缺乏統一的標準,但是它己經明確成為國內外信息安全研究的新方向。隨著大數據的到來,全球的頭腦風暴讓信息技術日新月異,新技術帶來的不只有繁榮,同時也帶來異化。昨日的技術已經無法適應今日的需求,從以往的例子中可以得知信息安全的災難是廣泛的、破壞性巨大、持續的,我們必須未雨綢繆并且不停地發展信息安全的技術與制度來阻止悲劇的發生。信息異化帶來的信息安全問題是必不可免的,它是網絡世界一個嚴峻的挑戰,對于可信網絡的未來我們可以從安全性、可控性、可生存性來創新發展,新的防御系統將通過冗余、異構、入侵檢測、自動入侵響應、入侵容忍等多種技術手段提高系統抵抗攻擊、識別攻擊、修復系統及自適應的能力,從而達到我們所需的實用系統。可以通過下述研究方向來發展可信網絡:
(一)網絡系統區別于一般系統的基本屬性
之一是復雜性,網絡可信性研究需要通過宏觀與微觀上對網絡系統結構屬性的定性,定量刻畫,深入探索網絡系統可靠性的影響,這樣才能為網絡可信設計、改進、控制等提供支持。因此,以復雜網絡為基礎的可信網絡會成為一個基礎研究方向。
(二)網絡系統區別于一般系統的第二個重要屬性
是動態性,其包含網絡系統歷經時間的演化動態性和網絡失去效用行為的級聯動態性。如今,學術上對可信網絡靜態性研究較多,而動態性研究較少,這無疑是未來可信網絡研究的一大方向。
(三)網絡系統的范圍與規模日漸龐大
節點數量最多以百萬計算,在可信網絡研究中我們需要去解決復雜性問題計算,這是一個可信網絡研究需要解決的問題。如今重中之重是研究構建可靠地可信模型與相應的算法,而近似算法、仿真算法將成為主要解決途徑。
網絡信息安全論文范文第2篇
論文摘要:隨著網絡技術的飛速發展和廣泛應用,信息安全問題正日益突出顯現出來,受到越來越多的關注。文章介紹了網絡信息安全的現狀.探討了網絡信息安全的內涵,分析了網絡信息安全的主要威脅,最后給出了網絡信息安全的實現技術和防范措施.以保障計算機網絡的信息安全,從而充分發揮計算機網絡的作用。
論文關鍵詞:計算機,網絡安全,安全管理,密鑰安全技術
當今社會.網絡已經成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術的迅猛發展.網絡攻擊與防御技術也在循環遞升,原本網絡固有的優越性、開放性和互聯性變成了信息安全隱患的便利橋梁.網絡安全已變成越來越棘手的問題在此.筆者僅談一些關于網絡安全及網絡攻擊的相關知識和一些常用的安全防范技術。
1網絡信息安全的內涵
網絡安全從其本質上講就是網絡上的信息安全.指網絡系統硬件、軟件及其系統中數據的安全。網絡信息的傳輸、存儲、處理和使用都要求處于安全狀態可見.網絡安全至少應包括靜態安全和動態安全兩種靜態安全是指信息在沒有傳輸和處理的狀態下信息內容的秘密性、完整性和真實性:動態安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
2網絡信息安全的現狀
中國互聯網絡信息中心(CNNIC)的《第23次中國互聯網絡發展狀況統計報告》。報告顯示,截至2008年底,中國網民數達到2.98億.手機網民數超1億達1.137億。
Research艾瑞市場咨詢根據公安部公共信息網絡安全監察局統計數據顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現為“數據受損或丟失”18%.“系統使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%。
3安全防范重在管理
在網絡安全中.無論從采用的管理模型,還是技術控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理、制度的管理、機構的管理等.它的作用也是最關鍵的.是網絡安全防范中的靈魂。
在機構或部門中.各層次人員的責任感.對信息安全的認識、理解和重視程度,都與網絡安全息息相關所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應商、顧客或股東的參與和信息安全的專家建議在信息系統設計階段就將安全要求和控制一體化考慮進去.則成本會更低、效率會更高那么做好網絡信息安全管理.至少應從下面幾個方面人手.再結合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責分工如設立專職的系統管理員.進行定時強化培訓.對網絡運行情況進行定時檢測等。
2)有了明確的職責分工.還要保障制度的貫徹落實.要加強監督檢查建立嚴格的考核制度和獎懲機制是必要的。
③對網絡的管理要遵循國家的規章制度.維持網絡有條不紊地運行。
④應明確網絡信息的分類.按等級采取不同級別的安全保護。
4網絡信息系統的安全防御
4.1防火墻技術
根據CNCERT/CC調查顯示.在各類網絡安全技術使用中.防火墻的使用率最高達到76.5%。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。它通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況.以此來實現網絡的安全保護。
4.2認證技術
認證是防止主動攻擊的重要技術.它對開放環境中的各種消息系統的安全有重要作用.認證的主要目的有兩個:
①驗證信息的發送者是真正的主人
2)驗證信息的完整性,保證信息在傳送過程中未被竄改、重放或延遲等。
4.3信息加密技術
加密是實現信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結合使用.互補長短。
4.4數字水印技術
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網絡技術和信息技術的廣泛應用.信息隱藏技術的發展有了更加廣闊的應用前景。數字水印是信息隱藏技術的一個重要研究方向.它是通過一定的算法將一些標志性信息直接嵌到多媒體內容中.但不影響原內容的價值和使用.并且不能被人的感覺系統覺察或注意到。
4.5入侵檢測技術的應用
人侵檢測系統(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統及網絡系統中收集信息.再通過這此信息分析入侵特征的網絡安全系統IDS被認為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對系統發生危害前.檢測到入侵攻擊.并利用報警與防護系統驅逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關信息.作為防范系統的知識.添加入策略集中.增強系統的防范能力.避免系統再次受到同類型的入侵入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術.是一種用于檢測計算機網絡中違反安全策略行為的技術。
5結語
網絡信息安全論文范文第3篇
油田企業的數據信息資源,對油田企業非常重要,一旦受到破壞,將會給油田企業帶來巨大的經濟損失。所以在油田網絡信息安全體系建設的過程中,需要將其安全性提升,加強外部安全建設。在預防為主的基礎上進行,對外部因素、病毒因素的影響,只有將系統的安全性提升,才可以杜絕此類影響的發生。在油田網絡信息安全體系建設中,建立防火墻,可以將體系的安全性提升,在網絡和油田網絡信息安全體系之間建立一個安全網關,保護體系不受非法入侵者侵入和攻擊。防火墻的建設,將體系的安全性、網絡的安全性提升,有效地阻止了體系的非法訪問,不允許外網訪問內網。在建設網絡防火墻的基礎,增加入侵檢測設置,對系統入侵進行控制。入侵檢測技術是防火墻的一種互補,可以提升油田網絡信息安全體系中信息管理的性能,保證信息的完整性,減少網絡威脅。
2加強內部建設
在加強外部安全建設之后,油田網絡安全信息體系的建設,想要保證信息管理的安全性,保證信息的完整性,還需要加強系統的內部建設。從當前油田網絡信息安全體系建設現狀進行分析,加強內部建設,可以從設置系統訪問權限、對網絡病毒進行防治、加強網絡信息安全體系的管理等方面入手。保證油田網絡信息安全體系以及信息安全的有效手段之一,就是設置系統的訪問權限,采用虛擬網絡技術對油田企業的數據信息安全進行保護。其次是加強病毒防治技術的應用,提高網絡信息體系的安全。病毒在網絡中的傳播途徑和傳播方法有多種,為了提升油田網絡信息安全體系的安全,提升信息管理質量,需要堅持層層設防、集中控制、以防為主防治結合的原則,進行系統安全性的建設。最后加強系統的安全管理,如果網絡安全管理缺乏,系統在工作的過程中,也會對數據信息的安全產生一定的威脅,為此需要在油田網絡信息安全體系運用中,加強網絡安全管理,提高系統的病毒防治有效性。
3結語
信息化建設的快速發展,帶動了我國經濟的發展,尤其是油田企業信息化的建設,為其信息管理工作提供了保障。在油田網絡安全體系建設和管理中,網絡信息的安全受到多種因素的影響,為了提升信息管理質量,保證信息安全關系體系的安全和正常運行,在其建設的過程中,需要加強內部建設和外部建設,將影響信息安全和信息管理的因素消除,提高系統的安全性,為油田信息數據的安全管理提升保障。
網絡信息安全論文范文第4篇
1.1設計目標網絡安全檢測系統需要對網絡中的用戶計算機和網絡訪問行為進行審計,檢測系統具有自動響應、自動分析功能。自動相應是指當系統發現有用戶非法訪問網絡資源,系統將自動阻止,向管理員發出警示信息,并記錄非法訪問來源;自動分析是根據用戶網絡應用時應用的軟件或者網址進行分析,通過建立黑名單功能將疑似威脅的程序或者方式過濾掉。此外,系統還具有審計數據自動生成、查詢和系統維護功能等。
1.2網絡安全檢測系統架構網絡安全檢測系統架構采用分級式設計,架構圖如。分級設計網絡安全檢測系統具有降低單點失效的風險,同時還可以降低服務器負荷,在系統的擴容性、容錯性和處理速度上都具有更大的能力。
2系統功能設計
網絡安全檢測系統功能模塊化設計將系統劃分為用戶身份管理功能模塊、實時監控功能模塊、軟件管理模塊、硬件管理模塊、網絡管理和文件管理。用戶身份管理功能模塊是實現對網絡用戶的身份識別和管理,根據用戶等級控制使用權限;實時監控模塊對在線主機進行管理,采用UDP方式在網絡主機上的檢測程序發送監控指令,檢測程序對本地進行列表進行讀取,實時向服務器反饋信息;軟件管理模塊是將已知有威脅的軟件名稱、參數等納入管理數據庫,當用戶試圖應用此軟件時,檢測系統會發出警告或者是拒絕應用;硬件管理模塊對網絡中的應用硬件進行登記,當硬件非法變更,系統將發出警告;網絡管理模塊將已知有威脅網絡IP地址納入管理數據庫,當此IP訪問網絡系統時,檢測系統會屏蔽此IP并發出警告;文件管理模塊,對被控計算機上運行的文件進行實時審計,當用戶應用的文件與系統數據庫中非法文件記錄匹配,則對該文件進行自動刪除,或者提示用戶文件存在風險。
3數據庫設計
本文所設計的網絡安全檢測系統采用SQLServer作為數據庫,數據庫中建立主體表,其描述網絡中被控主機的各項參數,譬如編號、名稱、IP等;建立用戶表,用戶表中記錄用戶編號、用戶名稱、用戶等級等;建立網絡運行狀態表,其保存網絡運行狀態結果、運行狀態實際內容等,建立軟件、硬件、信息表,表中包含軟件的名稱、版本信息、容量大小和硬件的配置信息等;建立軟件、網址黑名單,對現已發現的對網絡及主機具有威脅性的非法程序和IP地址進行記錄。
4系統實現
4.1用戶管理功能實現用戶管理功能是提供網絡中的用戶注冊、修改和刪除,當用戶登錄時輸出錯誤信息,則提示無此用戶信息。當創建用戶時,系統自動檢測注冊用戶是否出現同名,如出現同名則提示更改,新用戶加入網絡應用后,網絡安全檢測系統會對該用戶進行系統審核,并將其納入監管對象。系統對網絡中的用戶進行監控,主要是對用戶的硬件資源、軟件資源、網絡資源等進行管控,有效保護注冊用戶的網絡應用安全。
4.2實時監控功能實現系統實時監控功能需要能夠實時獲取主機軟硬件信息,對網絡中用戶的軟件應用、網站訪問、文件操作進行檢測,并與數據庫中的危險數據記錄進行匹配,如發現危險則提出警告,或者直接屏蔽危險。
4.3網絡主機及硬件信息監控功能實現網絡主機及硬件信息監控是對網絡中的被控計算機系統信息、硬件信息進行登記記錄,當硬件設備發生變更或者網絡主機系統發生變化,則安全檢測系統會啟動,告知網絡管理人員,同時系統會對網絡主機及硬件變更的安全性進行判定,如發現非法接入則進行警告并阻止連接網絡。
5結束語
本文對網絡安全檢測系統進行了設計介紹,明確設計目標和設計架構,對系統各功能模塊進行設計說明,分別對用戶管理功能、實時監控功能、網絡主機及硬件信息監控功能的實現進行論述,完成基本的網絡安全檢測功能,滿足網絡安全檢測需要。
網絡信息安全論文范文第5篇
[關鍵詞]校園網安全分析解決方案
一、校園網絡安全隱患綜合分析
1.物理層的安全問題
校園網需要各種設備的支持,而這些設備分布在各種不同的地方,管理困難。其中任何環節上的失誤都有可能引起校園網的癱瘓,如室外通信光纜、電纜等,分布范圍廣,不能封閉式管理;室內設備也可能發生被盜、損壞等情況。
物理層的安全問題是指由于網絡設備的放置不合適或者防范措施不得力,使得網絡設備,光纜和雙絞線等遭受意外事故或人為破壞,造成校園網不能正常運行。物理安全是制訂校園網安全解決方案時首先應考慮的問題。
2.系統和應用軟件存在的漏洞威脅
在校園網中使用的操作系統和應用軟件千差萬別,這些威脅,而且網絡用戶濫用某些共享軟件也會導致計算機可能成為黑客攻擊校園網的后門。
3.計算機病毒入侵和黑客攻擊
計算機病毒是校園網安全最大的威脅因素,有著巨大的破壞性。尤其是通過計算機網絡傳播的病毒,其傳播速度快、影響大、殺毒難等都不是單機病毒所能相比的。校園網在接入Internet后,便面臨著內部和外部黑客雙重攻擊的危險,尤以內部攻擊為主。由于內部用戶對網絡的結構和應用模式都比較了解,特別是在校學生,學校不能有效的規范和約束學生的上網行為,學生會經常的監聽或掃描學校網絡,因此來自內部的安全威脅更難應付。
4.內部用戶濫用網絡資源
校園網內部用戶對校園網資源的濫用,有的校園網用戶利用校園網資源提供視頻、音頻、軟件等資源下載,占用了大量的網絡帶寬。特別是近幾年興起的BT、電騾等的泛濫使用占用了大量的網絡帶寬,給正常的校園網應用帶來了極大的威脅。
二、采取安全控制策略
1.硬件安全策略
硬件安全是網絡安全最重要的部分,要保證校園網絡正常,首先要保證硬件能夠正常使用。通常情況下可采取的措施主要有:減少自然災害(如火災、水災、地震等)對計算機硬件及軟件資源的破壞,減少外界環境(如溫度、濕度、灰塵、供電系統、外界強電磁干擾等)對網絡信息系統運行可靠性造成的不良影響。
2.訪問控制策略
訪問控制方面的策略任務是保證網絡資源不被非法使用或訪問。包括入侵監測控制策略、服務器訪問控制策略、防火墻控制策略等多個方面的內容。
(1)防火墻控制策略
防火墻控制策略維護網絡安全最重要的手段。防火墻是具有網絡安全功能的路由器,對網絡提供的服務和訪問定義,并實現更大的安全策略。它通常用來保護內部網絡不受來自外部的非法或非授權侵入的邏輯裝置。
(2)入侵監測控制策略
入侵監測控制策略就是使用入侵監測系統對網絡進行監測。入侵檢測系統(IntrusionDetectionSystems)專業上講就是依照一定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。
(3)服務器訪問控制策略
服務器和路由器這樣的網絡基礎設備,避免非法入侵的有效方法是去掉不必要的網絡訪問,在所需要的網絡訪問周圍建立訪問控制。另外對用戶和賬戶進行必要的權限設置。一是要限制數據庫管理員用戶的數量和給用戶授予其所需要的最小權限。二是取消默認賬戶不需要的權限選擇合適的賬戶連接到數據庫。
3.病毒防護策略
病毒主要由數據破壞和刪除、后門攻擊、拒絕服務、垃圾郵件傳播幾種方式的對網絡進行傳播和破壞,照成線路堵塞和數據丟失損毀。那么建立統一的整體網絡病毒防范體系是對校園網絡整體有效防護的解決辦法。
4.不良信息的防護策略
Internet上存在大量的不良信息,校園網絡因為Internet連接,學生有可能無意中接觸這些信息而在校園網上傳播,造成惡劣的影響。可以安裝非法信息過濾系統,設置非法IP過濾和非法字段過濾有效屏蔽Internet上的不良信息。
5.建立安全評估策略
校園網絡安全不能僅僅依靠防火墻和其他網絡安全技術,而需要仔細考慮系統的安全需求,建立相應的管理制度,并將各種安全技術與管理手段結合在一起,才能生成一個高效、通用、安全的校園網絡系統。使用安全評估工具是進行安全評估的一種手段,可以對各方面進行檢測和反饋信息收集,進而制定策略。
三、結束語
高校校園網絡的安全性越來越受到重視,網絡環境的復雜性、多變性,以及信息系統的脆弱性,決定了高校校園的網絡不能僅僅依靠防火墻,而涉及到管理和技術等方方面面。需要仔細考慮系統的安全需求,建立相應的管理制度,并將各種安全技術與管理手段結合在一起,才能生成一個高效、通用、安全的校園網絡系統。
參考文獻:
[1]KurousJF,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.
[2]張武軍,李雪安.高校校園網安全整體解決方式研究[J].電子科技,2006,(3):64-67.
[3],王紀鳳,尚玉蓮,等.防火墻與入侵監測系統在高校校園網中的應用[J].泰山醫學院學報,2007,(11):906-907.
[4]饒正嬋.高校校園網絡安全研究[J].福建電腦,2005,(11):49-53.
網絡信息安全論文范文第6篇
關鍵詞:網絡信息安全
計算機具有驚人的存貯功能,使它成為信息保管、管理的重要工具。但是存貯在內存貯器的秘密信息可通過電磁輻射或聯網交換被泄露或被竊取,而大量使用磁盤、磁帶、光盤的外存貯器很容易被非法篡改或復制。由于磁盤經消磁十余次后,仍有辦法恢復原來記錄的信息,存有秘密信息的磁盤被重新使用時,很可能被非法利用磁盤剩磁提取原記錄的信息。計算機出故障時,存有秘密信息的硬盤不經處理或無人監督就帶出修理,也能造成泄密。如何在保證網絡信息暢通的同時,實現信息的保密,我認為應從以下幾個方面做起:
1建立完善的網絡保管制度
1.1建立嚴格的機房管理制度,禁止無關人員隨便進出機房,網絡系統的中心控制室更應該有嚴格的出人制度。同時機房選址要可靠,重要部門的機房要有必要的保安措施。
1.2規定分級使用權限。首先,對計算機中心和計算機數據劃分密級,采取不同的管理措施,秘密信息不能在公開的計算機中心處理,密級高的數據不能在密級低的機中心處理;其次,根據使用者的不同情況,規定不同使用級別,低級別的機房不能進行高級別的操作;在系統開發中,系統分析員、程序員和操作員應職責分離,使知悉全局的人盡可能少。
1.3加強對媒體的管理。錄有秘密文件的媒體,應按照等密級文件進行管理,對其復制、打印、借閱、存放、銷毀等均應遵守有關規定。同一片軟盤中不要棍錄秘密文件和公開文件,如果同時錄有不同密級的文件,應按密級最高的管理。還應對操作過程中臨時存放過秘密文件的磁盤以及調試運行中打印的廢紙作好妥善處理。
2從技術上保證網絡檔案信息的安全
2.1使用低輻射計算機設備。這是防止計算機輻射泄密的根本措施,這些設備在設計和生產時,已對可能產生信息輻射的元器件、集成電路、連接線和等采取了防輻射措施,把設備的信息輻射抑制到最低限度。
2.2屏蔽。根據輻射量的大小和客觀環境,對計算機機房或主機內部件加以屏蔽,檢測合格后,再開機上作。將計算機和輔助設備用金周屏蔽籠(法拉第籠)封閉起來,并將全局屏蔽籠接地,能有效地防止計算機和輔助設備的電磁波輻射。不具備上述條件的,可將計算機輻射信號的區域控制起來,不許外部人員接近。
2.3干擾。根據電子對抗原理,采用一定的技術措施,利用干擾器產生噪聲與if調:機設備產生的信息輻射一起向外輻射。對計算機的輻射信號進行一于擾,增加接收還原解讀的難度,保護計算機輻射的秘密信息。不具備上述條件的,也可將處理重要信息的計算機放在中間,四周置放處理一般信息的計算機。這種方法可降低輻射信息被接收還原的可能性。
2.4對聯網泄密的技術防范措施:一是身份鑒別。計算機對用戶的識別,主要是核查用戶輸人的口令,網內合法用戶使用資源信息也有使用權限問題,因此,對口令的使用要嚴格管理。二是監視報警。對網絡內合法用戶工作情況作詳細記錄,對非法用戶,計算機將其闖人網絡的嘗試次數、時間。電話號碼等記錄下來,并發出報警,依此追尋非法用戶的下落。三是加密。將信息加密后存貯在計算機里,并注上特殊調用口令。
3加強對工作人員的管理教育
3.1要牢固樹立網絡信息工作人員保密觀念。網絡信息工作人員要不斷加強自身學習,了解新形勢,適應新變化。充分認識到新時期保密問題的重要性、緊迫性,不斷增強保守國家秘密的意識。
本文鏈接:http://m.9978217.cn/v-141-2695.html網絡信息安全論文范文10篇
相關文章:
小學生一年級自我介紹09-24
形容春天的句子03-26
大班畢業典禮特色活動方案02-28
拔河比賽活動總結01-13
大學節能宣傳周活動計劃12-14
國際減災日活動開展情況匯報10-25
新課標培訓心得體會11-23
教師學習培訓邀請函10-05
店長崗位競聘書09-12
小學生我的夢想演講稿09-06
蛇年元旦賀詞01-07
論語讀后感3000字01-07
實踐活動作文12-05
伯牙絕弦擴寫作文500字12-05
柳州二職校有什么專業01-15
大學科研項目有哪些12-30
幼兒園中班教師安全防溺水教案06-30
羅布泊閱讀答案12-07