網絡安全攻防精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全攻防主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全攻防范文
信息技術的飛速發展,帶動了互聯網的普及,而伴隨著互聯網開發性和便捷性的日漸凸顯,網絡安全問題也隨之產生,并且迅速成為社會發展中一個熱門話題,受到了越來越多的重視。自2010年Google公司受到黑客攻擊后,APT攻擊成為網絡安全防御的主要對象之一。文章對APT攻擊的概念和特點進行了討論,結合其攻擊原理研究了對于網絡安全防御的沖擊,并提出了切實可行的應對措施。
關鍵詞:
APT攻擊;網絡安全防御;沖擊;應對
前言
在科學技術迅猛發展的帶動下,網絡信息技術在人們的日常生活中得到了越發廣泛的應用,如網絡銀行、網上購物等,在潛移默化中改變著人們的生活方式。但是,網絡本身的開放性為一些不法分子提供的便利,一些比較敏感的數據信息可能會被其竊取和利用,給人們帶來損失。在這種情況下,網絡安全問題受到了人們的廣泛關注。
1APT攻擊的概念和特點
APT,全稱AdvancedPersistentThreat,高級持續性威脅,這是信息網絡背景下的一種新的攻擊方式,屬于特定類型攻擊,具有組織性、針對性、長期性的特性,其攻擊持續的時間甚至可以長達數年。之所以會持續如此之久,主要是由于其前兩個特性決定的,攻擊者有組織的對某個特定目標進行攻擊,不斷嘗試各種攻擊手段,在滲透到目標內部網絡后,會長期蟄伏,進行信息的收集。APT攻擊與常規的攻擊方式相比,在原理上更加高級,技術水平更高,在發動攻擊前,會針對被攻擊對象的目標系統和業務流程進行收集,對其信息系統和應用程序中存在的漏洞進行主動挖掘,然后利用漏洞組件攻擊網絡,開展攻擊行為[1]。APT攻擊具有幾個非常顯著的特點,一是潛伏性,在攻破網絡安全防御后,可能會在用戶環境中潛伏較長的時間,對信息進行持續收集,直到找出重要的數據。基本上APT攻擊的目標并非短期內獲利,而是希望將被控主機作為跳板,進行持續搜索,其實際應該算是一種“惡意商業間諜威脅”;二是持續性,APT攻擊的潛伏時間可以長達數年之久,在攻擊爆發前,管理人員很難察覺;三是指向性,即對于特定攻擊目標的鎖定,開展有計劃、組織的情報竊取行為。
2APT攻擊對于網絡安全防御的沖擊
相比較其他攻擊方式,APT攻擊對于網絡安全防御系統的沖擊是非常巨大的,一般的攻擊都可以被安全防御系統攔截,但是就目前統計分析結果,在許多單位,即使已經部署了完善的縱深安全防御體系,設置了針對單個安全威脅的安全設備,并且通過管理平臺,實現了對于各種安全設備的整合,安全防御體系覆蓋了事前、事中和事后的各個階段,想要完全抵御APT攻擊卻仍然是力有不逮。由此可見,APT攻擊對于網絡安全防御的影響和威脅不容忽視[2]。就APT攻擊的特點和原理進行分析,其攻擊方式一般包括幾種:一是社交欺騙,通過收集目標成員的興趣愛好、社會關系等,設下圈套,發送幾可亂真的社交信函等,誘騙目標人員訪問惡意網站或者下載病毒文件,實現攻擊代碼的有效滲透;二是漏洞供給,在各類軟禁系統和信息系統中,都必然會存在漏洞,APT攻擊為了能夠實現在目標網絡中的潛伏和隱蔽傳播,通常都是借助漏洞,提升供給代碼的權限,比較常見的包括火焰病毒、震網病毒、ZeroAccess等;三是情報分析,為了能夠更加準確的獲取目標對象的信息,保證攻擊效果,APT攻擊人員往往會利用社交網站、論壇、聊天室等,對目標對象的相關信息進行收集,設置針對性的攻擊計劃。APT攻擊對于信息安全的威脅是顯而易見的,需要相關部門高度重視,做出積極應對,強化APT攻擊防范,保護重要數據的安全。
3APT攻擊的有效應對
3.1強化安全意識
在防范APT攻擊的過程中,人員是核心也是關鍵,因此,在構建網絡安全防護體系的過程中,應該考慮人員因素,強化人員的安全防范意識。從APT攻擊的具體方式可知,在很多時候都是利用人的心理弱點,通過欺騙的方式進行攻擊滲透。對此,應該針對人員本身的缺陷進行彌補,通過相應的安全培訓,提升其安全保密意識和警惕性,確保人員能夠針對APT攻擊進行準確鑒別,加強對于自身的安全防護。對于信息系統運維管理人員而言,還應該強化對于安全保密制度及規范的執行力,杜絕違規行為。另外,應該提升安全管理工作的效率,盡可能減低安全管理給正常業務帶來的負面影響,引入先進的信息化技術,對管理模式進行改進和創新,提升安全管理工作的針對性和有效性。
3.2填補系統漏洞
在軟件系統的設計中,缺陷的存在難以避免,而不同的系統在實現互連互操作時,由于管理策略、配置等的不一致,同樣會產生關聯漏洞,影響系統的安全性。因此,從防范APT攻擊的角度分析,應該盡量對系統中存在的漏洞進行填補。一是應該強化對于項目的測試以及源代碼的分析,構建完善的源代碼測試分析機制,開發出相應的漏洞測試工具;二是應該盡量選擇具備自主知識產權的設備和系統,盡量避免漏洞和預置后門;三是對于一些通用的商業軟件,必須強化對惡意代碼和漏洞的動態監測,確保基礎設施以及關鍵性的應用服務系統自主開發[3]。
3.3落實身份認證
在網絡環境下,用戶之間的信息交互一般都需要進行身份認證,這個工作通常由本地計算環境中的相關程序完成,換言之,用戶身份的認證實際上是程序之間的相互認證,如果程序本身的真實性和完整性沒有得到驗證,則無法對作為程序運行載體的硬件設備進行驗證,從而導致漏洞的存在,攻擊者可能冒充用戶身份進行攻擊。針對這個問題,應該對現有的身份認證體系進行完善,構建以硬件可信根為基礎的軟硬件系統認證體系,保證用戶的真實可信,然后才能進行用戶之間的身份認證。
3.4構建防御機制
應該針對APT攻擊的特點,構建預應力安全防御機制,以安全策略為核心,結合可信計算技術以及高可信軟硬件技術,提升網絡系統對于攻擊的抵御能力,然后通過風險評估,分析系統中存在的不足,采取針對性的應對措施,提升安全風險管理能力。具體來講,一是應該將數據安全分析、漏洞分析、惡意代碼分析等進行整合,統一管理;二是應該構建生態環境庫,對各種信息進行記錄,為安全分析提供數據支撐;三是應該完善取證系統,為違規事件的分析和追查奠定良好的基礎[4]。
4結束語
總而言之,作為一種新的攻擊方式,APT攻擊對于網絡安全的威脅巨大,而且其本身的特性使得管理人員難以及時發現,一旦爆發,可能給被攻擊目標造成難以估量的損失。因此,應該加強對于APT攻擊的分析,采取切實有效的措施進行應對,盡可能保障網絡系統運行的穩定性和安全性。
作者:李杰 單位:九江職業大學
參考文獻
[1]陳偉,趙韶華.APT攻擊威脅網絡安全的全面解析與防御探討[J].信息化建設,2015(11):101.
[2]王宇,韓偉杰.APT攻擊特征分析與對策研究[J].保密科學技術,2013(12):32-43.
第2篇:網絡安全攻防范文
關鍵詞: 公安;邊防部隊;網絡信息;安全管理;問題;對策
網絡信息技術在經濟的激烈發展中變得日益先進化,設計到國家發展的各個領域,是國家經濟發展的重要力量,但是網絡信息技術作為一種無形的技術很容易受到威脅,在長期的使用中會出現一些不良的網絡信息、干擾網絡系統的病毒以及機密被竊取的現象。公安邊防部隊作為守衛國家安全的重要組織,在網絡信息的安全管理上更是要引起重視,要查找在安全管理中所存在的威脅因素,例如:信息傳遞以及網絡結構管理所面臨的問題;網絡設備的利用性不高;網絡體系中出現惡意的程序;網絡信息操作的安全性低。進而根據這些問題找出相應方案去除這些威脅,進而維護好國家的發展與居民的安定。
1 公安邊防部隊網絡信息安全管理面臨的問題
在公安邊防部隊的網絡信息使用中,由于一些威脅性因素的存在嚴重威懾著部隊對網絡信息的安全管理,下面筆者就和大家共同分析一下,在公安邊防部隊網絡信息安全管理中所面臨的為威脅性因素:
1.1 光纖通信網絡的安全隱患
在光纖通信網絡信息傳遞的過程中由于缺乏安全的管理,致主要是物理鏈路方面。使很多病毒以及惡意的軟件在中途植入,導致信息大量的丟失,一些不法的想竊取公安邊防部隊的機密的人員,使用一些高端的技術掃描公安邊防部隊網絡體系所存在的漏洞。進而找出突破口,竊取機密。由于在網絡結構的創建過程中,會用到很多的網絡設備,在這些網絡設備的使用中也會出現泄漏信息的狀況,究其原因,主要是由于公安邊防部隊在信息傳遞以及網絡結構的創建中缺乏安全的管理。
1.2 網絡設備的利用性不高
在網絡信息的使用中,由于設備的管理與監督力度不夠,最終致使設備被竊取;很多網絡設備被修理的次數非常的多,導致設備斷電等在使用中會出現很多故障以及意外,最終致使公安邊防部隊的信息以及機密被外泄;還有的情況是因為操作人員技術性能不強進而使用不當致使網絡設備破損;由于地區的局限性,所用的設備過于落后,不能夠跟得上信息技術的發展與變化,致使信息不靈通,網絡設備的利用性不高。
1.3 機房信息接入點的安全隱患,網絡體系中出現惡意的程序
網絡技術的日益發展使得網絡體系也逐漸的日益先進,但是與此同時,相應的竊取機密以及信息的不法科技也在快速的發展。很多肆意竊取公安邊防部隊信息機密的不法分子,通過高端的科學網絡技術,將惡意的程序例如:病毒、木馬等植入到網絡信息的各種軟件之中,公安邊防部隊的工作人員在使用的過程中,在毫不知情的情況下,系統就會出現安全威脅,進而信息就會被他人竊取。
1.4 網絡信息操作安全性能低,違規使用的安全隱患
在網絡信息的管理中由于相關管理人員缺乏有效的管理,致使網絡信息操作的安全性降低,信息被大量的盜取的現象頻頻上演,除此之外,由于網絡機器設備在使用中,由于各種原因,故障以及意外的高發性也致使網絡信息操作的安全性能降低;由于在公安邊防部隊目前所用的網絡信息體系中一些防范技術很少被使用,導致病毒以及木馬的入侵,所以最終致使網絡信息操作的安全性能降低,信息被盜取。
2 解決公安邊防部隊網絡信息安全管理問題的對策
2.1 強化網絡信息人才培養,完善網絡安全防護技術
要想提升公安邊防部隊網絡信息的安全管理首要措施一定是從相關的管理人員做起,提升相關的管理人員的綜合性修養,進而提升管理的有效性。在提升相關的管理人員的綜合性修養的過程中,公安邊防部隊要創建一套合理的、全面的管理制度。在目前的網絡信息管理中缺乏有效的制度,既使有也不符合當下網絡信息管理的要求。這樣使得網絡信息泄密的狀況有法規以及法律的約束。在管理的過程中,要多汲取先進的管理經驗,結合自身的問題,制度相應的管理制度,為了保證管理的高效性,可以制度相應的獎懲條例。進而在網絡信息的管理中,相關的工作要做好分工,責任要有明確的劃分,創建一定的責任體系,將公安邊防部隊的網絡信息管理責任規劃到專人身上,遏制信息泄露狀況的發生。對于一些不是公安邊防部隊的工作人員,要加強管理以及防范工作,可以錄指紋;簽訂協議等,以防不法人員渾水摸魚,偷盜機密。相關的管理人員還要對工作中所用到的手機、電腦以及相機等移動的存儲物體加強管理,要做好相應的使用登記。還要加強對相關管理人員的技能強化,保證其在工作中能夠有足夠的能力去應對相關的問題。
2.2 要進一步完善網絡安全保密工作
要想確保公安邊防部隊的網絡信息管理的安全性,一定要注重對網絡信息安全的防范工作,進而創建防范病毒以及各種威脅因素的檢測體系,保證網絡信息體系可以在全天中得到檢測,進而能夠有效的發現系統中所出現的漏洞,并做出相應的彌補和防范,找出問題的根源,將不法的竊取機密的科技以及人員一網打盡,為創建安全的網路信息體系提供可行的條件。要研制出相應的防火墻技能,進而提升對網絡信息體系的管理與監督。防火墻雖然對增強網絡信息安全方面的作用很重要,但是隨著盜竊機密的技術的快速發展,防火墻的保護功能在日漸衰退,所以要想建立保護網絡信息體系的防火墻一定要采用高端的科學技術,研發出高端技能的防火墻,進而能夠對網絡信息體系中的病毒、木馬以及惡意的軟件做出有效的控制,相關的管理人員要對文件以及機密的加密技術進行研究,使得加密技術能夠更加的合理化、先進化、安全化。所以要想促進公安邊防部隊網絡信息管理的安全化,要注重網絡信息安全的防范工作,進而促進邊防工作人員的信息技術的合理化、安全化。
2.3 要建立網絡安全防護機制,制定合理的網絡控制措施
公安邊防部隊可以號召國家的一些重點部門以及單位合理規劃自身所用的網絡信息體系,站在國家的角度,將所用的網絡信息體系融入國家的網絡信息建設的規劃中,進而擴大網絡控制的范圍,包括網絡安全風險評估、網絡安全應急演練等,增強網絡控制的力度。公安邊防部隊可以在網絡控制中發揮自身的主導作用,積極的協調、規劃好網絡信息系統管理的安全工作,并將其落實到位,號召各單位以及部門積極的配合好公安邊防部隊的網絡信息管理的安全工作,進而將有效的管理落到實處。隨著工作的信息化,很多部門在工作中都實現了網絡化的發展,公安邊防部隊在網絡化工作的過程中,要將報警技術植入到各網絡體系的使用中,進而通過報警提示來考核網絡信息體系的安全性,若出現問題報警體系就會有提示,然后工作人員可以及時的查找問題的所在位置,并做出相應的防范措施,進而消除病毒、木馬、惡意軟件等安全威脅。
3 總結
網絡信息技術在各個領域的廣泛應用帶動了我國的經濟發展,但是在長期的使用中也出現了各種威脅網絡信息安全的因素,尤其公安邊防部門這種威脅的威懾性非常的嚴重,它影響著國家的經濟發展以及居民生活的安定,所以一定要找出公安邊防部隊網絡信息安全管理面臨的問題,信息傳遞以及網絡結構缺乏安全管理的問題,網絡設備的利用性不高,網絡體系中出現惡意的程序,網絡信息操作安全性能低。針對這些問題,公安邊防部隊要提升相關管理人員的綜合化的修養,并注重網絡信息安全的防范工作,制定合理的網絡信息控制措施,為公安邊防部隊的工作人員提供一個穩定的守衛環境以及可靠的信息利用系統。
參考文獻:
[1]任志安、錢士俠,論公安機關在群體性治安事件中的法律定位[J].長白學刊,2011(03).
[2]郭會茹、孫靜靜,公安網絡信息安全及其防范措施的研究[J].赤峰學院學報(自然科學版),2011(09).
[3]鐘婧,群體性治安事件處置原則新探究[J].法制與社會,2010(21) .
[4]蘇偉,論社會轉型期公安工作中的媒體應對[J].吉林公安高等專科學校學報,2010(01).
[5]許發見,從“維基解密”事件看公安網絡安全管理重要性[J].信息網絡安全,2011(02).
[6]翁楊華,淺談公安信息網絡安全問題及解決對策[J].福建電腦,2010(04).
第3篇:網絡安全攻防范文
在大型的企業網絡中不同的子網各有特點,對于網絡安全防護有不同的等級要求和側重點。因此,網絡安全域的“同構性簡化”思路就顯得非常適合安徽中煙網絡安全防護的需求,下面將具體介紹安徽中煙基于安全域的網絡安全防護體系建設思路。
網絡安全域是使網絡滿足等級保護要求的關鍵技術,每一個邏輯區域有相同的安全保護需求,具有相同的安全訪問控制和邊界控制策略,區域間具有相互信任關系,而且相同的網絡安全域共享同樣的安全防護手段。通過建設基于安全域的網絡安全防護體系,我們可以實現以下的目標:通過對系統進行分區域劃分和防護,構建起有效的縱深防護體系;明確各區域的防護重點,有效抵御潛在威脅,降低風險;保證系統的順暢運行,保證業務服務的持續、有效提供。
1安全域劃分
由于安徽中煙網絡在網絡的不同層次和區域所關注的角度不同,因此進行安全域劃分時,必須兼顧網絡的管理和業務屬性,既保證現有業務的正常運行,又要考慮劃分方案是否可行。在這樣的情況下,獨立應用任何一種安全域劃分方式都不能實現網絡安全域的合理劃分,需要多種方式綜合應用,互相取長補短,根據網絡承載的業務和企業的管理需求,有針對性地選擇合理的安全域劃分方式。
1.1安全域劃分原則
業務保障原則安全域劃分應結合煙草業務系統的現狀,建立持續保障機制,能夠更好的保障網絡上承載的業務。在保證安全的同時,還要保障業務的正常運行和運行效率。結構化原則安全域劃分的粒度可以從系統、設備到服務、進程、會話等不斷細化,在進行安全域劃分時應合理把握劃分粒度,只要利于使用、利于防護、利于管理即可,不可過繁或過簡。等級保護原則屬于同一安全域內的系統應互相信任,即保護需求相同。建立評估與監控機制,設計防護機制的強度和保護等級。要做到每個安全域的信息資產價值相近,具有相同或相近的安全等級、安全環境、安全策略等。生命周期原則安全域的劃分不應只考慮到靜態設計,還要考慮因需求、環境不斷變化而產生的安全域的變化,所以需考慮到工程化管理。
1.2安全域劃分方式
1.2.1安全域劃分模型根據安徽中煙網絡和業務現狀,安徽中煙提出了如下安全域劃分模型,將整個網絡劃分為互聯網接口區、內部網絡接口區,核心交換區,核心生產區四部分:核心生產區本區域僅和該業務系統其它安全子域直接互聯,不與任何外部網絡直接互聯。該業務系統中資產價值最高的設備位于本區域,如服務器群、數據庫以及重要存儲設備,外部不能通過互聯網直接訪問該區域內設備。內部互聯接口區本區域放置的設備和公司內部網絡,包括與國家局,商煙以及分支煙草連接的網絡。互聯網接口區本區域和互聯網直接連接,主要放置互聯網直接訪問的設備。該區域的設備具備實現互聯網與內部核心生產區數據的轉接作用。核心交換區負責連接核心生產區、內部互聯接口區和外部互聯接口區等安全域。
1.2.2安全域邊界整合1)整合原則邊界整合原則是主要依據分等級保護的原則和同類安全域合并。分等級防護是安全域方法的基本思想,這自然不必多說,同類安全域合并原則在落實時應以一下思想為指導:集中化:在具備條件的情況下,同一業務系統應歸并為一個大的安全域;次之,在每個機房的屬于同一數據業務系統的節點應歸并為一個大的安全域。跨系統整合:不同的數據業務系統之間的同類安全域應在保證域間互聯安全要求的情況下進行整合,以減小邊界和進行防護。最小化:應將與外部、內部互聯的接口數量最小化,以便于集中、重點防護。2)整合方法為了指導邊界整合,安徽中煙提出了兩種邊界整合方法、適用場景。這些邊界整合方法都側重于跨系統或同一系統不同節點間的邊界整合,側重于數據業務系統與互聯網、外部系統間的接口的整合。(1)單一傳輸出口的邊界整合此種整個方法適用于:具備傳輸條件和網絡容災能力,將現有數據業務系統和互聯網的傳輸接口整合至單一或幾個互備接口。(2)多個傳輸出口的邊界整合此種整個方法適用于:數據業務系統和互聯網之間有多個物理位置不同的接口,并且尚不具備傳輸條件整合各接口。
2安全防護策略
2.1安全防護原則
集中防護通過安全域劃分及邊界整合后,可以形成所謂的“大院”,減少了邊界,進而可以在安全域的邊界和內部部署防火墻、入侵檢測系統的網絡探頭、異常流量檢測和過濾設備、網絡安全管控平臺的采集設備、防病毒系統的客戶端等基礎安全技術防護手段,集中部署基礎安全服務設施,對不同業務系統、不同的安全子域進行防護,共享其提供的安全服務。分等級防護根據煙草行業信息安全等級保護要求,對不同的數據業務系統、不同的安全子域,按照其保護等級進行相應的防護。對于各系統共享的邊界按“就高不就低”的原則進行防護。縱深防護從外部網絡到核心生產域,以及沿用戶(或其他系統)訪問(或入侵)系統的數據流形成縱深的安全防護體系,對關鍵的信息資產進行有效保護。
2.2系統安全防護
為適應安全防護需求,統一、規范和提升網絡和業務的安全防護水平,安徽中煙制定了由安全域劃分和邊界整合、設備自身安全、基礎安全技術防護手段、安全運行管理平臺四層構成的安全技術防護體系架構。其中,安全域劃分和邊界整合是防護體系架構的基礎。
2.2.1設備自身安全功能和配置一旦確定了設備所在的安全域,就可以根據其落入的安全域防護策略對設備進行安全功能設置和策略部署。針對設備的安全配置,安徽中煙后期會制定《安徽中煙設備安全功能和配置系列規范》提供指導。
2.2.2基礎安全技術防護手段業務系統的安全防護應以安全域劃分和邊界整合為基礎,通過部署防火墻、入侵檢測、防病毒、異常流量檢測和過濾、網絡安全管控平臺等5類通用的基礎安全技術防護手段進行防護。在通用手段的基礎上,還可根據業務系統面臨的威脅種類和特點部署專用的基礎安全技術防護手段,如網頁防篡改、垃圾郵件過濾手段等。
防火墻部署防火墻要部署在各種互聯邊界之處:
–在互聯網接口區和互聯網的邊界必須部署防火墻;
–在核心交換區部署防火墻防護互聯網接口區、內部互聯接口區和核心生產區的邊界;
–在內部互聯接口區和內部網絡的邊界也需部署防火墻。考慮到內部互聯風險較互聯網低,內部互聯接口區防火墻可復用核心交換區部署的防火墻。另外,對于同一安全域內的不同安全子域,可采用路由或交換設備進行隔離和部署訪問控制策略,或者采用防火墻進行隔離并設置訪問控制策略。入侵檢測設備的部署應在互聯網接口區、內部互聯接口區必須部署入侵檢測探頭,并統一接受網管網集中部署的入侵檢測中央服務器的控制。在經濟許可或相應合理要求下,也可在核心交換區部署入侵檢測探頭,實現對系統間互訪的監控。防病毒系統的部署運行Windows操作系統的設備必須安裝防病毒客戶端,并統一接受網管網集中部署的防病毒中央控制服務器的統一管理。同時,為了提高可用性和便于防護,可在內部互聯接口區部署二級防病毒服務器。異常流量檢測和過濾可在數據業務系統互聯網接口子域的互聯網邊界防火墻外側部署異常流量檢測和過濾設備,防范和過濾來自互聯網的各類異常流量。
網絡安全管控平臺網絡安全管控平臺應部署在網管網側,但為了簡化邊界和便于防護,建議:
–在內部互聯接口區部署帳號口令采集設備以實現帳號同步等功能。
–在內部互聯接口區必須部署日志采集設備,采集業務系統各設備的操作日志。
2.2.3應用層安全防護數據業務系統應用安全防護主要是防范因業務流程、協議在設計或實現方面存在的漏洞而發生安全事件。其安全防護與系統架構、業務邏輯及其實現等系統自身的特點密切相關。安徽中煙通過參考IAARC模型,提出鑒別和認證、授權與訪問控制、內容安全、審計、代碼安全五個防護方面。
2.2.4安全域的管理除了實施必要的安全保障措施控制外,加強安全管理也是不可缺少的一個重要環節。安全域管理主要包括:從安全域邊界的角度考慮,應提高維護、加強對邊界的監控,對業務系統進行定期或不定期的風險評估及實施安全加固;從系統的角度考慮,應規范帳號口令的分配,對服務器應嚴格帳號口令管理,加強補丁的管理等;人員安全培訓。
第4篇:網絡安全攻防范文
關鍵詞:計算機網絡;工程;安全問題;解決策略
引言
21世紀是知識普及化的時代,也屬于信息時代,計算機網絡發揮著舉足輕重的作用。在計算技網絡運行中,信息快速、有效地傳遞,用戶可以足不出戶完成一系列的工作,但這離不開數據信息共享,也為惡意侵犯提供了渠道,導致計算機網絡運行的風險,必須多角度、多層次分析計算機網絡工程存在的安全問題,采取有效的措施加以解決,確保計算機網絡運行更加安全、穩定,提高網絡安全系數。
1計算機網絡工程安全問題
1.1計算機操作系統問題、資源共享問題
在計算機內部,操作系統是其關鍵性部位,關乎計算機的安全、穩定運行,而計算機網絡安全與操作系統是否穩定運行緊密相連。一旦計算機操作系統出現問題,計算機網絡將存在較大的安全隱患。當下,微軟公司的windows系列應用非常廣泛,但正版系統相當貴,很多都采用的是盜版系統,由于這些系統大都缺乏安全配置,極易出現安全隱患,導致計算機操作系統在運行中出現各種問題,比如,端口設置問題、系統賬戶管理問題,影響系統的安全、穩定運行。資源共享猶如一把雙刃劍,在給計算機用戶帶來各類資源,提供便利的同時,也帶來了安全隱患。就資源共享來說,是借助開放的形式,獲取各方面的資源、數據信息,給各類安全殺手提供了重要的傳播途徑,比如,木馬、病毒[1],也就是說,在信息資源共享的條件下,用戶隱私設置相當低,惡意入侵者可以輕松進入計算機用戶的系統中,惡意破壞計算機系統,尤其是計算機服務器,導致計算機網絡存在較大的安全隱患。由于資源共享還體現在計算機硬軟件、終端等方面,惡意入侵者極有可能會借助終端,破壞用戶計算機的硬軟件等,導致相關信息數據無法正常傳輸。
1.2借助TCP/IP網絡協議進行破壞
就計算機系統來說,其安全、穩定運行離不開網絡協議的協調運行。在計算機網絡技術發展浪潮中,TCP/IP協議的應用非常廣泛。在設計過程中,設計者并沒有全方位考慮計算機網絡的開放性、互聯性,尤其是安全性,將其設置為可信的網絡環境,導致協議本身不具有安全性,網絡服務存在安全隱患,為入侵者攻擊提供了便利。不法分子可以借助服務器,獲取所需的各類重要網絡資源,甚至篡改用戶計算機系統的信息數據,導致傳輸的信息數據不準確,比如,盜用IP地址、截取連接[2]。
1.3計算機病毒問題
就計算機病毒而言,和生物病毒有著某些相同的特性,寄生在文件中,借助自我復制,傳染給其他各類文件,但很難被發現。計算機用戶在接受來源不明郵件,瀏覽某些不合法網頁等過程中,極易讓計算機病毒入侵到電腦中。進入用戶電腦后,病毒會在自我復制的基礎上,傳染給其他的文件,共同破壞計算機網絡。如果用戶沒有及時利用殺毒軟件將其清理,將會造成嚴重的影響,甚至導致計算機系統癱瘓。計算機病毒屬于高計算機水平人員編寫的一系列代碼程序,隨著編程者技術水平日漸提高,計算機病毒也在不斷更新、升級。
2解決策略
2.1構建合理的防御體系
針對計算機網絡安全工程存在的問題,構建科學、合理的防御體系至關重要。(1)合理設置防火墻,避免網絡黑客來訪。就防火墻來說,是指軟硬件設備組合而成,在內、外部網絡,專用于公共網絡間界面上構造的一種保護屏障,屬于網絡訪問控制設備,在Internet、Intranet間構建起重要的安全網關,即SecurityGate-way[3],更好地保護計算機的內部網,有效防止非法用戶的入侵,避免黑客訪問計算機內部網絡,提高計算機內部網絡的安全性。(2)入侵檢測。用戶可以巧妙利用入侵檢測,準確識別不希望出現的活動,進行合理化的限制,確保計算機網絡運行安全,可以采用混合入侵檢測,同時采用建立在網絡、主機基礎上的入侵檢測系統,構建立體化的主動防御體系,保護計算機網絡。(3)安全掃描。在設置防火墻、入侵檢測基礎上,用戶需要定期對計算機進行安全掃描,明確計算機系統運行中存在的安全漏洞、安全問題,及時排除存在的安全隱患,修復漏洞,避免惡意攻擊者入侵。(4)優化利用加密技術,其操作系統安全級別為C1、C2,能夠準確識別用戶及其注冊,進行合理化的控制,其大型數據庫管理系統采用的是WindowsNT、Unix[4],對計算機系統中的敏感數據進行必要的加密,避免病毒、黑客利用計算機漏洞,破壞數據庫,提高傳輸的信息數據準確率,使計算機系統運行更加安全、穩定。
2.2加強病毒防范,修復漏洞
隨著計算機網絡技術不斷發展,網絡安全問題不斷出現,計算機病毒也日漸復雜化,可以偽裝成文件、網址等,誘騙計算機用戶點擊,肆意傳播病毒,其查殺難度也非常大。對于這方面來說,計算機用戶必須具備較強的病毒防范意識,多角度加強病毒防范,定期升級殺毒軟件,盡可能不要查看各類可疑的網頁、郵件等,從根源上有效降低計算機病毒入侵風險。當下,就我國而言,KILL、KV300都是比較成熟的防病毒軟件[5],用戶可以借助防毒卡,動態監測計算機,看其是否存在病毒,而防病毒芯片,具有存取控制、防護病毒的雙重作用,能夠有效防范計算機病毒。此外,在計算機系統出現問題后,用戶要及時修復其中的漏洞,日常使用中要定期使用專業的殺毒軟件掃描,看其是否存在漏洞,及時進行必要的修復,避免病毒、黑客的入侵,提高計算機網絡安全性。
2.3利用訪問控制,注重儲存備份
在解決計算機網絡安全問題中,用戶可以借助訪問控制,即利用認證系統、訪問控制網關的形式,合理限制計算機網絡各方面信息資源。具體來說,在利用各類計算機網絡信息資源時,用戶必須通過身份認證,可以確保用戶所使用的資源更加準確、有效。應當及時采取可行的措施解決存在的問題,科學規劃計算機網絡具體使用流量,根據實際情況,優化調整、控制計算機網絡資源,使其得到更好的應用。在此基礎上,還可以合理調節具有ACL功能的連接點,將過濾、權限的訪問控制落到實處,借助IP地址,有效限制用戶,借助管理員口令,定期進行合理化的修改,防止計算機網絡在運行中受到各種威脅。計算機用戶要定期儲存備份重要的計算機數據,這樣即使計算機系統崩潰,也能有效恢復重要的信息數據,提高各類數據信息利用率。
3結語
總而言之,計算機網絡安全是一項系統、復雜的任務,難度較大,必須綜合考慮各方面主客觀因素,構建合理化的防御體系,加強病毒防范,定期備份計算機數據等,避免病毒、黑客入侵,確保計算機網絡處于安全、穩定運行中,更好地發揮計算機網絡的作用。
參考文獻:
[1]錢相州.計算機網絡工程安全問題與解決策略探析[J].通訊世界,2016.
[2]戴榮.計算機網絡工程安全問題與解決策略探析[J].電子技術與軟件工程,2016.
[3]侯瑞.芻議計算機網絡的安全問題與應對策略[J].計算機光盤軟件與應用,2012.
[4]王慕將.計算機網絡安全的突出問題及解決策略[J].計算機光盤軟件與應用,2013.
第5篇:網絡安全攻防范文
【關鍵詞】網絡工程 安全防護技術 探討
隨著計算機應用領域的不斷增加,計算機對人們正常工作、學習以及生活的影響越來越大。計算機網絡工程的安全會對信息安全和財產安全產生直接影響,因此,需要對網絡工程安全防護技術的研究加以重視,通過有效網絡工程安全防護技術的使用為人們提供更加安全的網絡環境。
1 網絡工程中主要的安全隱患
網絡工程中主要的安全隱患包括以下幾種:
1.1 計算機病毒對網絡工程的入侵
計算機病句具有傳染性、可復制性以及破壞性等特點。計算機病毒對網絡工程的入侵,是通過編程者將相關程序代碼或破壞性指令對計算機系統的植入實現的。病毒會對計算機的運行產生阻礙,進而對其他用戶的信息安全產生威脅。與網絡工程中的其他安全隱患相比,計算機病毒的破壞力更強,當計算機病毒被植入計算機系統時,用戶很難察覺出來。木馬病毒在計算機系統中的傳播以網絡為途徑,當木馬病毒感染到其他程序之后,會對計算機資源產生破壞作用,進而造成一定的經濟損失。
1.2 黑客對網絡工程的威脅攻擊
黑客通過計算機系統中的安全漏洞,對網絡工程進行攻擊,進而導致網絡發生故障,達到竊取用戶信息的目的。黑客對網絡工程的攻擊主要包括以下兩種:
(1)網絡工程的非破壞性攻擊,這種攻擊是指,對計算機系統的正常運行進行破壞,在這種攻擊操作中,黑客不以竊取用戶信息為目的。
(2)網絡工程的破壞性攻擊,這種攻擊是指,通過計算機系統的破壞,達到竊取用戶信息的目的。
1.3 計算機系統自身的風險
計算機系統自身的風險是影響網絡工程安全的主要因素之一。在網絡工程中,由于用戶無法自行改動計算機系統的管理密碼,這種現象降低了用戶的安全防范意識,因此,計算機系統中的風險常常會對干預用戶的正常操作行為。
1.4 垃圾郵件對網絡工程安全的影響
郵件具有無法拒絕的特點。因此,不法分子通過郵件內容的設置,影響用戶信息的安全。垃圾郵件數量增加的顯著影響是增加了網絡的負載,進而對網絡工程的工作安全性和工作效率產生不良影響。隨著網絡來源的不斷消耗,垃圾郵件的增加使得系統運行效率發生顯著降低。
1.5 IP地址盜用對網絡工程安全的影響
近年來,IP地址被盜用現象出現的頻率越來越高。在網絡工程安全中,IP地址的盜用影響網絡工程安全的主要因素之一。當用戶的IP地址被盜用之后,用戶無法正常連接和訪問網絡。IP地址盜用現象屬于侵犯用戶權益的一種表現,這種現象對用戶的工作和生活造成了不良影響。
2 網絡工程安全防護技術
網絡工程安全防護技術主要包含以下幾種:
2.1 網絡工程防火墻技術
網絡工程防火墻技術是一種網絡屏障,它可以對外部的不安全因素進行有效阻擋。通過防護墻技術的應用,可以對未經授權的外部網絡用戶的訪問進行有效阻止。防火墻技術可以通過對未使用端口的關閉操作和攻擊的有效過濾,對網絡通信安全進行有效保障。就防火墻技術在網絡工程中的應用而言,存在一定的缺陷,這種技術無法對網絡IP地址的真偽進行有效辨別。防火墻無法進行實時更新,當網絡工程中出現新的威脅時,防火墻技術無法及時對這種威脅進行處理,這種現象降低了網絡工程的安全性。
2.2 網絡工程密碼技術
密碼技術可以從一定程度上保障網絡工程的安全。密碼技術建立在不斷發展的密碼學的基礎上。密碼技術的作用是對信息的機密性和訪問進行有效控制。密碼技術的應用同樣存在一定的缺陷,這種缺陷表現在兩方面:
(1)當網絡工程所使用的密碼泄露之后,信息的盜取過程需要的技術水平較低。
(2)網絡工程中被加密的信息可能被黑客或其他具有較高網絡操作水平的人破解。
2.3 網絡工程入侵檢測技術
入侵檢測技術可以對計算機網絡中違反安全策略的行為進行有效監測,進而保證網絡工程的安全。與其他技術相比,入侵檢測技術具有一定的主動性特點,網絡工程入侵檢測技術可以將計算機網絡中的惡意信息識別出來,并在瀕危回應之前對其進行有效攔截。將入侵檢測技術植入到網絡工程中,可以實現內部攻擊、外部攻擊以及誤操作的實時保護,更好地網絡工程提供安全服務。
3 保證網絡工程安全的有效措施
保護網絡工程安全的有效措施主要包括以下幾種:
3.1 對網絡風險進行有效防范
對網絡風險進行有效防范是提升網絡工程安全的主要途徑之一。對此,可以采用數據加密技術保證用戶信息的安全。為了保證數據加密技術應用的有效性,應該提升用戶對數據加密技術的理解。
3.2 對垃圾郵件進行有效防范
防范垃圾郵件的措施包括以下幾種:
(1)忽視來自陌生人的郵件。能夠對用戶信息安全產生威脅的垃圾郵件通常來自陌生人,因此,要忽視來自陌生人的郵件。
(2)要對用戶防范垃圾郵件的意識和力度進行加強。
3.3 對IP地址盜用進行有效防范
IP地址盜用的防范措施包括以下幾種:
(1)運用路由器對IP進行有效隔離。
(2)運用服務器與防火墻技術結合的方式,對IP地址盜用進行有效防范。其中,服務器的作用是實現用戶對計算機外部網絡的訪問;防火墻技術的目的則是對計算機內部網絡和計算機外部網絡進行有效隔離。
(3)運用交換機對IP地址盜用進行有效控制。
4 結論
隨著計算機普及程度的增加,網絡工程的安全問題受到了越來越多人的重視。網絡工程安全防范技術主要包括入侵檢測技術、密碼技術以及防火墻技術。網絡工程中的安全隱患較多,可以通過對網絡風險、垃圾郵件以及IP地址盜用等安全隱患的防范措施的應用,保障網絡工程的安全。
參考文獻
[1]畢妍.關于網絡工程中的安全防護技術的思考[J].電腦知識與技術,2013,21:4790-4791+4814.
[2]胡磊.基于對網絡工程安全防護技術的探究[J].電子制作,2015,09:157-158.
[3]陳健,唐彥儒.關于網絡工程中的安全防護技術的思考[J].價值工程,2015,15:244-245.
[4]王志雄.網絡工程中的安全防護技術[J].計算機光盤軟件與應用,2015,03:188-189.
[5]張全.有關網絡工程中的安全防護技術的探討[J].電子技術與軟件工程,2016,05:210.
作者單位
第6篇:網絡安全攻防范文
隨著我國經濟的不斷發展,信息化已經深入到我國各個領域。而網絡信息技術的使用,改變了傳統的信息交流方式,給人們的工作與生活帶來了極大的便捷,其重要性不斷提高。尤其是近年來,信息技術已經深入到經濟發展的各個部分,從而使得兩者的關系十分微妙,然而,網絡使用中,其具有的開放性、互聯性、共享性等特點,使得網絡工程存在一些安全隱患,威脅著整個網絡環境的安全。網絡安全防護作為對網絡工程隱患的防范措施,其有助于網絡安全的保障。
1 當前的網絡安全防護技術
目前,互聯網已經成為人們日常生活與工作的一個重要組成部分,從信息的獲取與使用來說,它是一種手段;而從技術的層面來說,它是一種成就;從社會整體發展來說,它是一種進步。然而,世界上沒有絕對完美的事,由于其技術的發展性,所以,在這個技術的使用中,還存在一定的不足。為了彌補這個不足,網絡安全防護技術不斷的更新與完善,希望能夠為我國網絡技術的使用安全提供一定的保障。
經常性使用電腦的人們都知道,為了保護電腦的使用安全,通常都需要安裝一定的保護技術,例如:防火墻、殺毒軟件、加密設置等等,這些實際上都是屬于網絡安全防護技術。不同的技術所針對的隱患不同。然而,這些技術與網絡發展同步,其會隨著網絡的不斷發展而喪失其實用性,因此,需要不斷的更新與完善。
2 網絡工程中存在的安全問題
2.1 黑客的攻擊
黑客攻擊是網絡工程安全存在的主要問題之一。尤其是近幾年,人們使用網絡進行交易的頻率增高,一些犯罪分子發現了可趁之機,利用自身對于網絡的了解與操作能力,對網絡進行攻擊破壞或者竊取他人資料,從而達到自身的某些利益。
2.2 計算機病毒入侵
通常來說,計算機病毒具有破壞性、復制性與傳染性。一旦感染了某個軟件或者文件,就會擴散到電腦之中,從而使得人們的信息保存與使用存在極大的威脅。通常,計算機病毒都是人為創造的,人們為了達到某種目的,將指令或者程序代碼植入計算機之中,對計算機資源進行破壞。
2.3 IP地址被盜用
IP地址被盜用屬于網絡工程安全發展的一個瓶頸。被盜用IP地址的用戶其計算機不能正常使用網絡,一些犯罪分子甚至還會利用被盜IP地址來進行權限操作,從而迷惑一些用戶的正常使用。
2.4 垃圾郵件泛濫
當前,網絡已經成為一個信息傳播的平臺,一些企業為了達到信息宣傳的目的,在違背他人使用意愿的前提下,發送一些郵件到用戶手中,而用戶無法通過常規的方式來阻止這些郵件的發送。或者是一些軟件會附帶網頁的進入,一旦用戶安裝或者點擊,就會自動彈出,阻礙著用戶的正常使用。
2.5 計算機系統風險
由于網絡具有的復雜性,我國當前還沒有對應的法律可以制約網上的一些行為,為計算機使用提供一個相對干凈的環境。
3 網絡工程中的安全防護技術分析
3.1 加強防火墻設置,有效規避信息
防火墻技術是最直接的防治黑客的方式。防火墻的存在,可以將計算機與連接網絡的軟件假設一個防護墻,從而有效地將局域網與外部網的地址分隔開來。計算機所收到或者發送的信息,都要經過該防護墻,能夠有效地過濾一些攻擊,從而避免黑客的入侵,增加內部網絡運用的安全性。
3.2 加強病毒的防護措施
加強病毒的防護措施,是加強網絡工程安全防護技術的重要組成部分。病毒的防護可以有效地檢測出病毒的存在,并且將其立即隔離,然后進行處理。目前,發明了很多病毒檢測與病毒查殺的軟件,例如360殺毒、金山殺毒、瑞星殺毒等,這些軟件雖然不能完全的檢測出所有的病毒,但是,對一般用戶而言,其相對常見的病毒都可以檢測出來,并且采取對應的措施進行消滅。而且,在處理之前,還會對相應的信息進行備份,防治病毒造成的信息丟失。
3.3 網絡風險意識的提高
網絡技術的深入使得其用戶量增加,然而,用戶通常都只具備基本操作能力,而沒有專業的操作技術。很多隱藏性風險,用戶都不知道,對于電腦其認知相對片面,面對該種狀況,筆者認為需要,加強網絡風險意識的傳播,從而提高用戶的整體素質。很多病毒都是利用用戶的無知,從而引導用戶自行下載某個文件,然后侵入電腦之中,如果用戶具備風險知識,就可以有效地規避該現象。
3.4 拒絕垃圾郵件的收取
垃圾郵件通常是批量發送,也就是同時達到多個用戶的手中,其影響相對較廣。這往往是因為用戶自身的安全意識過低,隨意的泄露了自身的信息。拒絕垃圾郵件,可以從保護自身隱私著手,在對應的郵箱設置中,加入郵件過濾等措施。
4 結束語
隨著網絡信息技術的不斷使用,其覆蓋面積越來越廣,但是,由于其本身的特性,使得其整個運用中,可能會出現一些安全問題。這些安全問題,會隨著技術的發展不斷的完善,但也會隨著技術的發展不斷突出,嚴重制約著我國社會與經濟的長期穩定,因此,需要人們在應用中,不斷的加強網絡工程安全防護力度,從而降低安全事故出現的可能。
參考文獻
[1]畢妍.關于網絡工程中的安全防護技術的思考[J].電腦知識與技術,2013,v.921:4790-4791+4814.
[2]陳健,唐彥儒.關于網絡工程中的安全防護技術的思考[J].價值工程,2015,v.34;No.38315:244-245.
[3]王志雄.網絡工程中的安全防護技術[J].計算機光盤軟件與應用,2015,v.18;No.25803:188-189.
第7篇:網絡安全攻防范文
關鍵詞:隱患;網絡安全
中圖分類號:D631.6 文獻標識碼:A文章編號:1007-9599 (2012) 06-0000-02
消防部隊信息化日益發展,網絡系統同時也遭受越來越多的安全威脅。有無意破壞,有惡意攻擊,有硬件受損,也有軟件受損。當龐大的網絡系統陷于癱瘓狀態,將會導致部隊日常運作無法正常開展。如何建立一個安全網絡是網絡管理者充分關注的問題。
一、當前消防部隊主要存在的網絡安全威脅
目前,消防機構和外界企業聯系越來越密切,公安網、互聯網頻繁交互使用,消防信息網絡實際工作中主要面臨下面幾種威脅:
(一)網絡病毒。網絡病毒是人為的特制程序,具有自我復制能力、感染性、潛伏性、特定的觸發性和很大的破壞性。當病毒取得控制權之后,會主動尋找感染目標,使自身廣為流傳。
(二)惡意網絡行為。惡意網絡行為包括兩個方面:一是惡意攻擊行為,如拒絕服務攻擊,旨在消耗服務器資源,影響服務器的正常運作;二是惡意入侵行為,這種行為會導致服務器敏感信息泄露,入侵者可以肆意破壞服務器。
(三)網絡安全協議漏洞。開放分布和互連網絡存在的不安全因素主要是因為協議的開放性。TCP/IP協議不提供安全保證,非法入侵者通過通信層漏洞、操作系統的漏洞、應用層漏洞可以冒充合法用戶進行破壞,篡改信息,竊取報文內容。
(四)人為違規操作。人為誤操作主要有錯誤接插網線,導致一機兩網事件;保密存儲介質接入安裝有竊密軟件的計算機或遺失介質;外修或報廢導致信息泄露。
(五)操作系統安全問題。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。另外操作系統可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這便提供了在遠端服務器上安裝“間諜”軟件的條件。操作系統的后門、漏洞、無口令的入口,也是信息安全的一大隱患。
(六)防火墻的脆弱性。防火墻保護網絡免受一類攻擊的威脅,但是卻不能防止LAN內部的攻擊,若是內部的人和外部的人聯合起來,即使防火墻再強,也是沒有優勢的。隨著技術的發展,還有一些破解的方法也使得防火墻造成一定隱患。
二、網絡安全問題主要成因
(一)網絡安全意識不強。許多官兵缺乏對高科技狀態下竊密手段先進性的認識,對新形勢下信息安全的表現形式認識不足。有的單位用處理信息的計算機上互聯網,導致失秘泄密事件的發生。有的單位因工作需要調整內部計算機,原先用作處理內部文件的計算機未經信通部門檢查就用來當外網機使用,造成“一機兩用”等。
(二)硬件安全不過關。在網絡設備采購時,由于對信息技術設備的認知不同,往往只注重設備的價格和規格,而忽視對硬件保密性能的選擇,造成設備本身存在保密技術上的漏洞。因為保密設備的配置要求高,費用較高,所以一些單位出于經費方面考慮多放棄了對內部網設置安全性的配置。
(三)網絡管理不到位。一些單位規章制度不健全,或雖有制度,但制度流于形式,執行不力。有的單位對計算機和網絡的保密管理不嚴,缺乏嚴格的監督檢查,對防止外部“黑客”侵入和內部網絡信息安全工作重視和管理不夠。
三、做好網絡安全工作的對策
全國消防三級通信網絡應用平臺主要提供信息、文件傳輸、電子郵件、視頻流數據等服務。使用TCP/IP協議所提供的FTP、E-MAIL、RPC和NFS都包含許多不安全的因素。網絡的普及,使信息共享達到了一個新的層次,信息被暴露的機會大大增多。按照網絡實際應用中出現故障的原因和現象,參考網絡的結構層次,我們可以把網絡安全工作的對象分為物理層安全、系統層安全、網絡層安全和應用層安全,不同層次反映不同的安全問題,采取不同的防范重點。
(一)在技術上砌好“防火墻”。計算機網絡安全技術主要有實時掃描技術、實時監測技術、防火墻、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術。
1.網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和訪問,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
2.數據庫的備份與恢復。數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。有三種主要備份策略:備份數據庫、備份數據庫和事務日志、增量備份。
3.應用密碼技術。應用密碼技術是信息安全核心技術,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。加強密碼的管理,存取網絡上的任何數據皆須通過密碼登錄。同時設置復雜的計算機bios密碼、開機密碼和屏保密碼。
4.切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理,不使用來歷不明的U 盤和程序,不隨意下載網絡可疑信息。
5.提高網絡反病毒技術能力。通過安裝病毒防火墻,進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監測,在工作站上采用防病毒卡,加強網絡目錄和文件訪問權限的設置。在網絡中,限制只能由服務器才允許執行的文件。
6.研發并完善高安全的操作系統。研發具有高安全的操作系統,設置系統自動升級系統補丁,不給病毒得以滋生的溫床才能更安全。
(二)落實責任,抓好網絡安全管理。公安部有關部門相繼出臺一系列工作要求和規范,如嚴格移動存儲設備管理等。但在執行過程中卻停留于形式,不能嚴格照章辦事。因此提升制度執行力至關重要。在嚴格執行制度的同時,還應明確目標,落實責任,嚴格落實“誰主管、誰負責”、“誰使用、誰負責”的管理責任制,使官兵形成自覺維護網絡信息安全的意識。一是建立嚴格的網絡安全管理制度。嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低安全漏洞。通過制度規范協調網絡安全的組織、制度建設、安全規劃、應急計劃,筑起網絡安全的第一道防線。二是充分發揮技術人員和普通用戶的主觀能動性。在目前管理制度尚需不斷完善的情況下,要充分發揮人的主觀能動性。技術人員要充分運用各類工具軟件進網絡運行情況進行監控;普通用戶要注重養成良好的使用操作習慣,不交叉使用移動存儲設備,保護好自己計算機的信息安全。三是合理開放其它類型的網絡應用。目前,有些單位建立了警營網吧,給官兵提供良好的學習娛樂平臺,這種情況下就必須把互聯網的網絡安全工作納入安全工作范圍,采取多種方法,規范和引導官兵進行互聯網的應用,合理開放所需的應用功能,有效控制不合理的功能應用。
(三)完善硬件條件,確保物理安全。保證計算機網絡系統的安全、可靠,還必須保證系統實體有個安全的物理環境條件。確保軟硬件設備安全性,必須預備一定的備用設備,并定期備份重要網絡設備設置。對待報廢的各類存儲類配件,一定要進行消磁處理,確保信息安全。一是計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。二是選擇計算機房場地,要有嚴格的防盜、防火、防潮、防靜電、防塵、防高溫、防泄密等措施,并且有單獨的電源供電系統,要考慮外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,并避免設在建筑物高層和用水設備的下層或隔壁。物理環境的安全性還包括通信線路的安全、物理設備的安全、機房的安全等。在內網、外網共存的環境中,可以使用不同顏色的網線、網口標記、網口吊牌來標記區分不同的網絡,如藍色的公安網專用,黃色的互聯網專用,紅色的網專用。
總之,做好消防部隊網絡信息安全工作是一項長期性、艱巨性的工作,這對于部隊管理工作的整體發展顯得尤為重要。因此,我們要從實際出發,繼續堅持“專網專用”、“專機專用”的原則,牢固樹立常抓不懈的思想,不斷提高廣大官兵的網絡信息安全意識,全面落實各項管理制度,健全長效管理機制,杜絕各類安全隱患,防止違規事件、案件發生,確保網絡運行平臺時刻安全、暢通,為部隊充分履行各項職能提供強有力的安全保障。
參考文獻:
[1]謝希仁.計算機網絡
[2]石志國,薛為民,尹浩.計算機網絡安全教程
[3]馬秀峰.計算機網絡技術基礎與應用
第8篇:網絡安全攻防范文
關鍵詞:水泥廠工控;網絡安全;防護建設
近年來,水泥企業信息化和智能化建設發展迅速,抓住了智能制造發展的制高點,信息化是水泥企業信息化建設的必由之路,對企業管理,企業生產和節能降耗都產生了很大的效果。但是對于網絡的運行控制和安全保障已成為水泥廠發展中的智能制造問題。為實現企業的轉型,我公司介紹了建設和網絡安全管理的方法和經驗。
1運行控制與網絡安全建設背景
1.1信息化建設
在信息化建設初期,我公司的網絡安全還不完善,在信息化和智能化建設方面,沒有考慮網絡管理和安全問題。但在施工過程中,網絡安全越來越重要,在實施過程中發現了以下問題:比如OPC協議是目前以信息為基礎的通信方式,是實現建筑信息智能傳輸的重要通信方式,當前正在解決信息隔離問題。公司能源管理系統數據和DCS系統監控數據應通過OPC通信進行隔離和控制,方便員工使用。在出差過程中快速監控直流生產和生產畫面,為了監控數據和曲線,我公司采用智能集成工廠,并在手機上安裝移動工廠應用程序。在保證網絡安全的前提下,我們可以對公司生產的圖像進行監控,但是如何管理數據通過網絡在手機上移動,基于前面應用實現的方便性,沒有必要的安全設施,生產系統的安全是否得到保證。目前,智能物流廣泛應用于水泥行業,銷售系統和生產統計等其他系統以及數據通信量最大的系統具有最高的安全性。生產原材料多個生產和辦公系統缺乏主機管理和控制軟件及防病毒,導致控制自動化系統各設備的USB接口,缺乏有效的移動媒體控制狀態。系統維護工程師必須定期復制數據,操作人員也可以秘密使用USB接口,存在較大的網絡風險。因為發生網絡安全事件會導致整個工廠系統癱瘓、服務器崩潰和數據損失等嚴重后果。我公司從2020年開始實施網絡升級改造,優化和提高了管理網絡和生產網絡的安全性[1-3]。
1.2信息安全保護發展
新的應用沒有等級保護標準,缺乏完整的風險評估和安全監測系統,因此很難適應互聯網信息安全保護的要求,為了適應新技術和新的應用發展,滿足各種系統等級保護的需求威海工業控制領域的云計算,信息系統等方面提供了重要保證,以重要保證為基礎,目前工業控制系統網絡安全保護還不夠,工業控制系統網絡安全保護的必要性分析工業控制系統需要使用的許多控制系統,包括,產業生產中監控系統,數據采集系統和分布式控制系統,如PLC等應用廣泛,與人們的生產和生活密切相關,本文分析了他面臨的威脅。
1.3工業控制系統網絡安全事件分析
2019年出現的第一個控制系統,打破離心分離器運行的產業控制器,建立了一個全新的腳本技術和適應大規模應用的完美安全保護體系。祝賀很重要。2018年,黑客利用工業惡性軟件攻擊烏克蘭的一個變電站,導致基輔等地區的供電中斷,使用軟件自動運行,導致機器控制系統無法正常運行因此,電力網和其他基礎設施的安全受到了嚴重的威脅。例如,2017年有100多個地區受到威脅軟件感染的影響,中國的石油和交通受到影響,造成嚴重后果。
1.4工業控制系統網絡應用
目前這些系統由于需求不足,各種業務系統存在潛在的安全隱患,比如遠程訪問保護要求,大多數工業控制和生產網絡的遠程維護都是由供應商提供的。渠道使用存在入侵風險。還有網絡監控和審核要求,目前行業使用的各種監控軟件和審計軟件和基礎設施還不完善,難以對數據進行有效的控制其次是操作系統漏洞管理需求;工業生產控制系統對網絡的要求很高,這就給系統漏洞升級帶來了難題,一旦出現安全漏洞,就會威脅到系統運行的安全;惡意代碼風險防范要求,在工控系統應用中實際發生惡意代碼時,存在著安裝殺毒軟件和安全隱患等安全防護缺失等重大風險。在分析網絡安全需求的基礎上,分析了網絡安全對人身安全財產安全的影響,為保證網絡安全運行所采取相應的措施,建立工業控制系統的網絡安全保護策略,實施安全管理體系。根據安全防護工作要求設置專門的部門和人員,由安全管理人員和安全管理人員負責,組織網絡安全委員會或領導小組。掌握具體工作,要求做好網絡安全防護工作,并根據需要制定相應的管理制度和方法,實現崗位職責和資源的有效分工。配置足夠的人力資源,確保網絡安全工作的順利進行,加強與安全供應商和企業的溝通,確保安全,及時掌握事態發展,定期進行安全檢查。首先做好檢查記錄,編制安全檢查報告,確保各項工作順利完成,其次,建立安全管理機構,配備網絡安全管理人員;安全管理體系能否有效啟動,與組織機構組成、人員配置、工作要求、人力資源配置、協調指導密切相關。對實施網絡安全管理等任務,建立有效的安全防護組織體系。加強安全施工管理,在安全施工管理方面,以信息系統的整個生命周期為中心實施安全管理措施,系統審核和控制安全等級等關鍵環節,加強安全運輸和層次管理,結合網絡安全威脅和風險的原因和特點,實施安全評價和安全強化,對機艙環境、漏洞和網絡、實施設施安全運行維護管理等安全管理,有效變更備份及修復管理和各種安全事件。
1.5安全技術系統建設
安全通信網絡設計技術體系和安全通信網絡設計的重點是網絡結構。利用關鍵網絡設備和電腦設備,以不必要的結構劃分安全區域,實現安全隔離。通信傳輸。使用密碼確保通信的完整性和機密性。可以信賴的驗證。對于產業控制和網絡安全建設的總體規劃,應該保護事務網絡和管理網絡的界限,并且在劃分網絡層次結構的同時,根據各信息系統的功能,將與管理系統有密切關系的系統劃分為控制層,將系統數據并連接外部網絡時系統分為電源管理系統等生產管理層,軟件系統與管理系統的數據交流較少,企業管理中其他企業管理軟件,如智能物流系統的數據交換較多的軟件系統,在網絡邊界處配置入侵防御和防火墻安全產品,實時分析鏈接的傳輸數據,阻斷鏈接隱藏的威脅。
1.6邊界網絡屏障設置
警戒保護并在相關控制系統中讀取的所有數據通過網絡屏障確保系統的安全。我公司擁有兩個DCS系統,一個是加工品水泥生產線的DCS系統,另一個是起到外部控制作用的DCS系統,公司的兩個工業控制系統的外部數據傳輸鏈接的出口端增加了產業防火墻。所有的管理系統都要通過防火墻來通訊外部數據。進行管理防止系統中未授權的程序和未知存儲介質的運行,白色命名單系統由非系統管理者隨意使用USB接口或隨意復制或安裝各種軟件,對生產主機進行安全管理、提高設備運行能力,確保各生產業務系統的安全運行。對于安全區域邊界設計內容包括警戒保護和入侵預防等,惡意代碼和安全審計。對于正在運行的工業無線網絡,無線AP或無線路由器由上述端口控制,例如在訪問防火墻端口時,以工業防火墻為邊界進行邏輯隔離,實現網絡區域的有效隔離。從實施網絡安全保護的角度分析了安全計算環境,安全計算環境的設計主要內容如下,首先是安全監控,由于工業控制系統的運行環境越來越復雜,新技術和新設備的廣泛應用,對環境保護計算具有重要意義。利用數據庫協議的分析和控制技術,可以達到阻塞危險命令、控制訪問行為等目的。保護數據庫運行安全。由安全管理中心建立的安全管理中心具有以下功能,基于工控系統安全管理平臺,對登錄人員進行動態認證。并且組織安全管理人員和監理人員的授權,實行統一調配管理,其次,還要進行安全監督管理;確認相應人員的身份并監督其工作,如工作日志和門禁等進行安全管理,最后通過集中管理和數據和信息的收集和分析,了解系統運行的安全狀態,并采取設施安全防護措施。
2網絡運行控制及具體實施
根據上述總體安全策略的要求,我們的辦公網絡和管理網絡被劃分為VLAN,VLAN將辦公網絡和管理網絡隔離開來,我們還建造了辦公室和機械宿舍,建筑細節如下,公司所使用的防火墻是可以將新的入侵防御系統與網絡病毒過濾和殺滅相結合。根據實際管理和控制原則,各子網在網絡區域內組織地址區域,避免廣播風造成公司網絡整體癱瘓,并確定網絡故障點。從網絡層面分為辦公網絡和工業控制網絡,在兩個網絡隔離邊界上設置網關,在網絡隔離的基礎上實現數據交換。公司從管理網讀取DCS系統數據,并增加雙向控制體系。我們公司有兩套DCS系統,一個是水泥生產線的DCS系統,另一個是為了余熱發電的DCS系統。在配套系統中增加Moxa工業基地的交換機,對工業行為進行審查,通過鏡像流動對整個網絡進行流量審計和檢查,建立專用作業控制運輸管理區并通過產業防火墻隔離,設置主機白名單和漏洞掃描,確保網絡安全和安全,除上述建設內容外,我公司將根據融合管理體系建立公司的機械住宅和網絡布局完善是實現網絡化和工業控制的必要手段,具體情況如下:公司已經建立了標準控制網絡,并且要求機房獨立連接接地網,在靜電地板下用10毫米寬的銅箔設置屏蔽網格,確保整個機房連接良好,設置傳感器系統,安裝恒溫系統和自動滅火系統,建立完整的同環檢測平臺,確保機房不斷供電和火災警報,公司的兩個機房采用遠程自動備份系統和自動備份服務器系統和軟件數據,并可在網絡空間發生災難后迅速恢復,設置網絡管理軟件。主要是網絡掃描,遠程監控和警報管理。微信警告,支持網絡管理多個資產許可證,便于網絡管理,公司客房內多種通信專用線和聯合線的雙軌連接,確保公司網絡實時正常運行,防止專用線路故障導致整個公司網絡的癱瘓[4-5]。
3結束語
近年來,水泥企業信息化和智能化建設發展迅速,各企業紛紛實施信息化建設競爭,抓住了智能制造發展的制高點,信息化是水泥企業信息化建設的必由之路,對企業管理,企業生產和節能降耗都產生了很大的效果。但是對于網絡的運行控制和安全保障已成為水泥廠發展中的智能制造問題。企業在改造后,公司網絡系統運行穩定,網絡不會出現由于間斷而影響業務和生產,也不會發生系統或服務器中毒事件,各信息系統運行穩定。防火墻和防火墻形成的保護體系運行穩定,預防外部多次的網絡入侵攻擊和病毒。企業的網絡系統結構具有良好的擴展性和安全性,在企業實施不同的信息化項目時,可以更加便利鮮明地將新系統配置在網絡結構中,提高系統的線上效率和穩定運行。
參考文獻
[1]楊永恩,張國恒.水泥廠工控及網絡安全防護建設[J].水泥工程,2019(03):56-59.
[2]金世堯,劉俊.工業互聯網在局域網中的安全問題剖析[J].科技風,2021(13):95-96.
[3]李杺恬,郭翔宇,寧黃江,李世斌.區塊鏈技術在工業互聯網中的應用及網絡安全風險分析[J].工業技術創新,2021,08(02):37-42.
[4]樊佩茹,李俊,王沖華,張雪瑩,郝志強.工業互聯網供應鏈安全發展路徑研究[J].中國工程科學,2021,23(02):56-64.
第9篇:網絡安全攻防范文
關鍵詞:影響危害;防御手段;總結
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2012)0510030—02
ARP攻擊:ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。ARP攻擊主要是存在于局域網網絡中,局域網中若有一臺計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息,并因此造成網內其它計算機的通信故障。
1 ARP攻擊對計算機網絡安全的影響危害
1)隨著全球發展信息化的脈搏,我國社會發展也朝著信息化、網絡化、數字化的方向邁進。人類將通信技術與計算技術進行有機結合,取得了計算機網絡信息化的初步建立,通過人們近幾十年對計算機網絡的應用、完善、加強,如今計算機網絡在先進的設備支持下取得了進一步完善的成果。在對計算機網絡應用的過程中,人們發現這種通訊和資源共享的技術,提高了人們社會生活中的工作效率,由此計算機網絡在全球范圍內普及開來。
2)當人們對計算機網絡的青睞程度與日劇增的時候,網絡信息安全成了我們不得不面對的問題。ARP攻擊,就是威脅計算機網絡安全的“兇手”之一,它常常盜竊IP地址,造成計算機功能和計算機網絡侵害。在過去的ARP攻擊的案例中,企業由于ARP攻擊,造成直接經濟損失的案例不勝枚舉。
3)要保障計算機網絡的安全、穩定、高效,我們就要對ARP攻擊進行技術上的防范,但是要保證技術防范措施的科學合理、有效,這就要求我們要對ARP攻擊本身有著系統詳細的了解。
①計算機網絡中,兩臺計算機的信息傳輸,實際上是一種包含開始標志和結束標志以及信息內容和要信息發送路徑(MAC)的幀傳輸。
②ARP攻擊,就是針對ARP協議進行轉換,將原有的協議內容偽造成第二層MAC地址。通過偽造IP地址和MAC實現ARP欺騙,并發送大量的ARP通信信息,將通信網絡阻塞。從而達到對計算機網絡進行攻擊的目的。
4)因為ARP攻擊,對計算機網絡安全的威脅極大,所以人們XffARP攻擊都極為重視,也一直在摸索這防御ARP攻擊的有效途徑,但是傳統的防御手段對ARP攻擊卻束手無策者主要因為以下幾點原因:
(見右表)
2 計算機網絡防御ARP攻擊的防御手段
進一步加強計算機網絡的安全性,提高計算機網絡抵御ARP攻擊的能力,成了我們計算機網絡發展亟待解決的問題。強化計算機網絡的防御能力,降低ARP對計算機網絡的損害,要求我們應該在以下幾點進行注意:
2.1 加強正確判斷計算機網絡是否受ARP攻擊的能力
及時、有效、正確的判斷出局域網絡內部,是否存在ARP攻擊,是降低ARP對網絡攻擊的有效途徑。加強對局域網絡內是否存在ARP攻擊,要求我們要定時對局域網進行檢測,要求計算機網絡管理員,一旦發現網絡狀態異樣,就必須進入MS-DOS,驗查局域網內的所有IP地址中的MAC地址中的內容。通過比對找出局域網內部受到攻擊的計算機,并將其鎖定。
2.2 加強對ARP攻擊的防御能力
2.2.1 對ARP攻擊的初級防御
1)一般情況下,我們針對ARP攻擊可以采取重新啟動計算機的方法,使ARP的攻擊環境失去,降低ARP的攻擊能力。
2)當發現ARP攻擊,我們也可以采用復位網絡設備的方法,降低ARP的攻擊能力。
3)當發現ARP攻擊,我們也可以采用禁止計算機的網卡設備運行,降低ARP攻擊的能力。
雖然以上方法,都可以起到減低ARP攻擊,對計算機網絡的侵害程度。但是以上三種方法均不能消除ARP攻擊,給計算機網絡帶來的故障。
2.2.2 對ARP攻擊的高級防御
1)保護計算及網絡不受ARP威脅的雙向綁定地址方式。通過上文的敘述,我們可以了解,ARP攻擊目的的實現,是以偽造IP地址和MAC地址實現的,所以只要我們將網絡信任關系的建立從傳統的IP基礎,或者是MAC基礎,進行統一實現IP地址和MAC地址的雙向綁定,實現計算機網絡的真正無懈可擊。
2)注冊表中設置禁止TCMP重定向報文和響應ICMP路由通告報文。
2.3 加強防火墻對ARP的攻擊能力
防火墻技術,是計算機網絡抵御外來侵害的主要手段。針對ARP攻擊對計算機網絡的傷害,我們可以針對ARP攻擊,設計出專門針對ARP攻擊的防火墻技術。ARP放火墻技術,主要完成的是核實網關地址的合法性的任務,將合法的網關MAC接入,不合法的一律禁止接入,這樣就在源頭上切斷了ARP攻擊的傳播。
3 總結
