網絡安全意識的意義大全11篇
時間:2024-01-20 10:50:01緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇網絡安全意識的意義范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
“層出不窮的信息安全事件讓國家高度重視起信息安全的整體發展,所以就有了此次安全宣傳周這樣的活動。”擁有近20年信息技術管理、咨詢和審計工作經驗的畢馬威(中國)企業咨詢有限公司高級工程師蔣輝柏在科技日的網絡安全知識大講堂上說。
蔣輝柏還分享了這樣一個真實的案例:“2010年的黑帽大會,這是全球黑客界以及網絡安全界比較好的盛會。當時一個安全研究的人員,遠程操控會場上的ATM機,讓它遠程吐鈔,有一些鈔票從ATM里面出來。你通過信息安全的攻擊,完全可以掌控ATM機,當然技術層面會非常困難,但是從可能性上面來看,它是可能的。”
據蔣輝柏介紹,在一個叫做Wooyun的網站上還可以看到許多類似的網絡信息安全事件。“產生這些信息安全事件的原因有很多,比如攻擊者進行人為攻擊,對于這種攻擊除非專業的信息安全人士,不然很難防范;另外一種是系統故障。任何一個系統都是人生產的,包括我們的硬件系統和軟件系統都會產生系統的故障,因此系統故障會產生信息安全事件。”蔣輝柏說,“第三種是操作失誤導致的信息安全事件。”
“從攻擊者黑客的攻擊手段進行分析,他應用的手段大致有幾種:有一種就是信息收集,這種不是直接的手段,它是后續攻擊手段的基礎。進行攻擊的時候,會通過信息收集來看你這個網站有什么樣的內容,有沒有比較敏感的信息,能不能通過這個網站窺探信息系統內部的結構。”蔣輝柏說,“另外一種是暴力破解的手段,現在有很多這樣的工具,破解各種各樣的密碼。”對于這樣的攻擊,他建議大家在使用系統或網絡的時候要設置“強壯”一點的密碼。“要不然現在有很多專業工具可以對密碼破解,如果密碼不‘強壯’一點,很容易被人家破解。”
“第三種是利用協議的缺陷來達成攻擊的目的,事實上這種網絡攻擊也十分普遍。比如某個網站上有一些鏈接,你一點進去就會讓對方到數據庫里取數據,消耗服務器的資源就會很大;還有的鏈接一點,就有可能在緩存或某個文件夾里面把數據取出來。”蔣輝柏坦言,“目前,一些協議的缺陷我們還沒有辦法自己防范。”
中國工程院院士倪光南在接受科技日報記者專訪時表示:“隨著互聯網+的興起,經濟生活的方方面面都與網絡結合的越來越緊密。網絡已經滲透到老百姓日常生活的方方面面,因此大家要有保護好自己的網絡信息以及隱私的意識。”
對于網絡信息安全,倪光南強調,“不僅個人要防范,企業也要防范,國家更要防范”。他表示,我國保障網絡信息安全的能力在不斷提升,未來,關鍵的核心技術、重要的裝備,要逐步從依賴國外到自主創新。“畢竟使用別人的硬件和設備很難保障我們的信息安全,其中有可能有‘后門’和‘漏洞’。”他說,“通過‘后門’,對方可以竊取我們的信息;即便沒有后門,如果我們沒有掌握核心裝備,依然有可能被他人利用‘漏洞’攻擊、進行控制。”
篇(2)
當下的醫院管理已經將門診、住院等患者診治信息管理實現了數字化信息管理平臺操作,有效地提升了信息管理效率,達到了信息管理的高效、便捷化,為患者提供了更好的服務體驗,但是網絡管理中的安全問題也是時刻關注的問題。患者信息的泄露以及整個網絡系統的正常運行都需要依賴網絡安全管理,從而保證系統操作的有效性。需要充分關注醫院網絡管理中的安全問題,并提出行之有效的防控對策。
1 醫院網絡管理中的安全風險
當下的醫院網絡系統主要是通過人工編碼設置起來的虛擬信息傳輸系統,系統本身具有多種安全漏洞與風險。在信息網絡運用中,由于網絡信息系統操作缺乏專業維護人員、操作人員,從而導致系統本身在硬件、軟件設置上缺乏有效地維護,容易出現各種老化與系統陳舊等問題,進而導致整體系統抗安全風險能力下滑。信息網絡系統中對于光纜、電纜所具有的布局、防水、斷點與漏電、走向與質量有一定要求,同時對于系統服務器的品質也有較高要求。系統中的基礎技術、信息備份與數據庫管理都存在較大的危險性問題。醫院工作人員無法有效運用信息網絡技術,缺乏專業技術,同時信息平臺自身的軟件與硬件條件也缺乏抗風險能力,從而導致醫院網絡管理中潛藏著多種安全風險。
同時,醫院內部管理也會潛藏多種安全風險。工作人員大部分缺乏安全管理意識,在系統平臺的賬戶登錄中,缺乏對密碼的高級別設置。通常是簡單的密碼數字結構,甚至知曉密碼的人員較多,而工作人員情況較為混雜,對系統安全性構成了一定的隱患。缺乏對應的密保設置,基本維護情況較差。在賬戶登錄中缺乏對周圍環境的觀察,甚至在眾人面前輸入密碼,容易導致賬戶與密碼的泄露,甚至由此導致相關患者信息的流失。此外,由于大部分人員認為安全管理應該由專業的信息科工作人員負責,因此對于安全問題較為疏忽,認為信息科人員可以有效地處理多種安全隱患。但是實際上,信息科的安全維護工作人員在安全防護工作上更多地需要依賴所有員工做配合,并不是信息科人員自身可以全面處理。系統信息設備的更新與防護設置相對較多,缺乏高度的抗風險能力。甚至在醫院內部缺乏信息安全管理的制度、流程,缺乏對應安全管理體系,進而導致相關人員安全意識淡薄,工作缺乏有效配合。
此外,對于醫院網絡系統而言,外部的攻擊是直接構成系統安全的因素之一。醫院網絡系統與外部網絡相連,工作人員可以便捷地運用外網對內部系統做登錄操作,但是這種外部網可以登錄操作本身就存在更高的信息安全隱患,同時做好維護管理的成本與難度也更高。甚至通過外網操作造成內網系統癱瘓的可能性也較大存在,安全威脅較大,同時對于外部鏈接的管理上也缺乏強烈的安全管理意識。例如,在USB接入、WIFI管理與光驅使用中,都缺乏足夠重視。此外,對于外部侵入性操作,如黑客攻擊缺乏足夠的監督能力,甚至缺乏對應安全防護能力的應對。
2 基于網絡安全視角的醫院網絡管理方略
2.1 強化硬件管理
首先,需要從硬件層面注重網絡安全管理,要確定對應的安全管理制度,從網絡系統的機房、設備、工作間等硬件資源上要做好對應規范管理約束。尤其是醫院屬于開放性管理環境,需要做好相關設備接觸人員的管理,避免硬件資源過多地暴露在外界人員環境中,做好人員流動控制,避免外部人員接觸到硬件設備。同時要對醫院內部網線做好安全防護管理,避免惡意破壞,同時要做好施工人員管理,避免施工操作產生的誤傷。要做好警衛值班管理,24h的維護硬件設備安全,留意機房中的溫度、濕度、清潔度情況。如果有異常情況要及時作出反應。所有的設備需要配備對應的檔案管理信息卡,包括設備型號、名稱、配置、所屬科室、安裝程序、IP地址以及日常保養維修記錄德國。確保每臺設備有專人維護管理,做好責任制管理。
2.2 強化軟件管理
對網絡系統需要做好定時或者隨機性檢測,從而有效地修繕其中網絡漏洞,達到系統動態監視,有效地提升網絡對危險的防御能力。要做好服務器保護,避免重要信息的流失損毀。同時要做好服務器與局域網配置、安裝中的規劃,包括密碼更換、賬戶鎖定、磁盤分區格式、管理賬號更改、網絡用戶組規劃、共享設置等多種內容。做好各種管理權限的設置,確保軟件系統的安全性操作,做好各操作的實時有效監視,特別是需要有專業的安全顧問做系統攻擊情況的分析研究與防護對策管理。
2.3 完善監督機制
網絡安全有賴于良性的監督機制做保障。醫院網絡屬于相對繁復的系統工程,安全維護需要做好內部的監管,同時也要做好外部的攻擊防御,對內需要避免工作人員借此展開違法活動。特別是在綜合性醫院中,內部終端成百上千,進而對安全管理構成了一定壓力。需要落實好各項檢查工作,避免細節疏忽。做好監督小組管理,及時監控網絡運行情況,定時做好網絡維護情況報告。對所有終端設備做好時時監控管理,嚴格依照各項檢查制度做好實際監控工作的查實,對相關網絡操作行為做好有效的記錄觀察。
2.4 設置應急預案
網絡系統管理會面臨多種緊急情況,如外在的攻擊破壞,醫院內部的火災、地震,設備的故障等,都會威脅系統的正常運作。對于問題出現后所做的對應處理要設置好可執行的流程、步驟,讓操作人員明白如何及時作出反應。同時要將應急預案設置在多種最危險糟糕的情況下,從而有效地提升實際應對能力。
2.5 人才管理
要σ皆旱男畔⑾低徹芾砼潯缸ㄒ檔墓芾砣瞬牛或者聘請專業的第三方團隊做網絡維護。依據實際醫院情況做好安全防護設置,提升網絡環境的安全防御系數。同時要做好工作人員的教育,提升工作人員安全防護意識,讓其明白安全防護靠大家,并不是安全員能夠單方面做好全面防護處理就可以了。讓工作人員做好個人行為規范,將危險問題杜絕在源頭。要指導工作人員做好系統使用指導,提升工作人員的操作規范性,避免操作不當引發的系統故障。
3 結束語
醫院網絡安全管理是一個反復的工作,需要各方面工作人員配合,提供足夠的技術、人才、設備、資金,從而有效地保證整體安全防護的有效性,避免信息泄露與損毀,保證系統平臺的正常運轉。
參考文獻
篇(3)
隨著計算機信息化建設的飛速發展,計算機已普遍應用到日常工作、生活的每一個領域,比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是,計算機網絡安全也受到前所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。本文將對計算機信息網絡安全存在的問題進行深入剖析,并提出相應的安全防范措施。如何培養出創新人才是當今社會的新要求,也是教學研究的重要課題。
一、計算機網絡是培養學生創新能力的關鍵
學生學習,要有正確的學習動力和濃厚的學習興趣,這樣學習有主動性和積極性,只有產生了興趣,才會有動機,才能結出豐碩的成果,因此計算機網絡課程具有靈活性、實踐性、綜合設計性較強的課程,在教學中進行教學設計,注重激發學生創新思維,以培養學生的創新能力。
二、計算機網絡應注意哪些不安全因素
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網絡存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。人為因素是對計算機信息網絡安全威脅最大的因素。計算機網絡不安全因素主要表現在以下幾個方面:
1.計算機網絡的脆弱性
互聯網是對全世界都開放的網絡,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網絡安全提出了挑戰。在使用互聯網時應注意以下幾項不可靠的安全性。
(1))網絡的開放性,網絡的技術是全開放的,使得網絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網絡通信協議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊。
(2)網絡的國際性,意味著對網絡的攻擊不僅是來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客,所以,網絡的安全面臨著國際化的挑戰。
(3)網絡的自由性,大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息。
2.操作系統存在的安全問題
操作系統是一個支撐軟件,是計算機程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不可靠安全性,是計算機系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。
(1)操作系統結構體系的缺陷。操作系統本身有內存管理、cpu 管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是服務器系統立刻癱瘓。
(2)操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能,比如ftp,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰。像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那么用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、加載的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。所以,建議盡量少使用一些來歷不明,或者無法證明它的安全性的軟件。
(3)操作系統有守護進程的防護功能,它是系統的一些進程,總是在等待某些事件的出現。所謂的守護進程,就是監控病毒的監控軟件,當有病毒出現就會被捕捉到。但是有些進程是一些病毒,碰到特定的情況它就會把用戶的硬盤格式化,這些進程就是很危險的守護進程,平時它可能不起作用,可是在某些條件下發生后,它才發生作用。如果操作系統守護進程被人為地破壞掉就會出現這種不良的安全隱患。
(5))在課堂上,學生與教師相互交流時,操作系統提供遠程調用功能,所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序,可以提交程序給遠程的服務器執行,遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全問題。盡管操作系統的漏洞可以通過版本的不斷升級來克服,但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。當發現問題到升級這段時間,一個小小的漏洞就足以使你的整個網絡癱瘓掉。
計算機教學本來就是一個寓教于樂,上機實踐的活動過程,所以培養學生的興趣只是一個起點,如何保持學生的興趣,是個漫長過程。計算機教師如何影響學生,幫助學生分析其優勢和存在的問題,幫助他們循序漸進,逐步走向成功,并讓這種成功的感覺一直激勵他們,期間有著許多環節。因此教師應該充分發揮自身的作用,在處理課堂教學時,針對教材的特點,精心設計自己的教學過程,充分考慮每個教學環節,把知識性和趣味性融為一體,從而有效地調動學生學習的積極性。在組織每一課堂教學時,可設計來調節課堂氣氛,這種設置的時機沒有一定的模式,教師可視具體情況靈活確定。
參考文獻:
篇(4)
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)08-10ppp-0c
1 相關背景
隨著網絡應用的發展,網絡信息安全越來越成為人們關注的焦點,同時網絡安全技術也成為網絡技術研究的熱點領域之一。到目前為止,得到廣泛應用的網絡安全技術主要有防火墻(Firewall),IDS,IPS系統,蜜罐系統等,這些安全技術在網絡安全防護方面發揮著重要的作用。但是隨著網絡新應用的不斷發展,這些技術也受到越來越多的挑戰,出現了不少的問題,主要體現在以下三個方面:
(1)眾多異構環境下的安全設備每天產生大量的安全事件信息,海量的安全事件信息難以分析和處理。
(2)網絡安全應用的發展,一個組織內可能設置的各種安全設備之間無法信息共享,使得安全管理人員不能及時掌網絡的安全態勢。
(3)組織內的各種安全設備都針對某一部分的網絡安全威脅而設置,整個組織內各安全設備無法形成一個有效的,整合的安全防護功能。
針對以上問題,安全事件管理器技術作為一種新的網絡安全防護技術被提出來了,與其它的網絡安全防護技術相比,它更強調對整個組織網絡內的整體安全防護,側重于各安全設備之間的信息共享與信息關聯,從而提供更為強大的,更易于被安全人員使用的網絡安全保護功能。
2 安全事件管理器的概念與架構
2.1 安全事件管理器概念
安全事件管理器的概念主要側重于以下二個方面:
(1)整合性:現階段組織內部安裝的多種安全設備隨時產生大量的安全事件信息,安全事件管理器技術注重將這些安全事件信息通過各種方式整合在一起,形成統一的格式,有利于安全管理人員及時分析和掌握網絡安全動態。同時統一的、格式化的安全事件信息也為專用的,智能化的安全事件信息分析工具提供了很有價值的信息源。
(2)閉環性:現有的安全防護技術大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關注某一類安全事件信息,然后作出判斷和動作。隨著網絡入侵和攻擊方式的多樣化,這些技術會出現一些問題,主要有誤報,漏報等。這些問題的主要根源來自于以上技術只側重對某一類安全事件信息分析,不能與其它安全設備產生的信息進行關聯,從而造成誤判。安全事件管理器從這個角度出發,通過對組織內各安全設備產生的信息進行整合和關聯,實現對安全防護的閉環自反饋系統,達到對網絡安全態勢更準確的分析判斷結果。
從以上二個方面可以看出,安全事件管理器并沒有提供針對某類網絡安全威脅直接的防御和保護,它是通過整合,關聯來自不同設備的安全事件信息,實現對網絡安全狀況準確的分析和判斷,從而實現對網絡更有效的安全保護。
2.2 安全事件管理器的架構
安全事件管理器的架構主要如下圖所示。
圖1 安全事件事件管理系統結構與設置圖
從圖中可以看出安全事件管理主要由三個部分組成的:安全事件信息的數據庫:主要負責安全事件信息的收集、格式化和統一存儲;而安全事件分析服務器主要負責對安全事件信息進行智能化的分析,這部分是安全事件管理系統的核心部分,由它實現對海量安全事件信息的統計和關聯分析,形成多層次、多角度的閉環監控系統;安全事件管理器的終端部分主要負責圖形界面,用于用戶對安全事件管理器的設置和安全事件警報、查詢平臺。
3 安全事件管理器核心技術
3.1 數據抽取與格式化技術
數據抽取與格式化技術是安全事件管理器的基礎,只要將來源不同的安全事件信息從不同平臺的設備中抽取出來,并加以格式化成為統一的數據格式,才可以實現對安全設備產生的安全事件信息進行整合、分析。而數據的抽取與格式化主要由兩方面組成,即數據源獲取數據,數據格式化統一描述。
從數據源獲取數據主要的途徑是通過對網絡中各安全設備的日志以及設備數據庫提供的接口來直接獲取數據,而獲取的數據都是各安全設備自定義的,所以要對數據要采用統一的描述方式進行整理和格式化,目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的,因為XML語言是一種與平臺無關的標記描述語言,采用文本方式,因而通過它可以實現對安全事件信息的統一格式的描述后,跨平臺實現對安全事件信息的共享與交互。
3.2 關聯分析技術與統計分析技術
關聯分析技術與統計分析技術是安全事件管理器的功能核心,安全事件管理器強調是多層次與多角度的對來源不同安全設備的監控信息進行分析,因此安全事件管理器的分析功能也由多種技術組成,其中主要的是關聯分析技術與統計分析技術。
關聯分析技術主要是根據攻擊者入侵網絡可能會同時在不同的安全設備上留下記錄信息,安全事件管理器通過分析不同的設備在短時間內記錄的信息,在時間上的順序和關聯可有可能準備地分析出結果。而統計分析技術則是在一段時間內對網絡中記錄的安全事件信息按屬性進行分類統計,當某類事件在一段時間內發生頻率異常,則認為網絡可能面臨著安全風險危險,這是一種基于統計知識的分析技術。與關聯分析技術不同的是,這種技術可以發現不為人知的安全攻擊方式,而關聯分析技術則是必須要事先確定關聯規則,也就是了解入侵攻擊的方式才可以實現準確的發現和分析效果。
4 安全事件管理器未來的發展趨勢
目前安全事件管理器的開發已經在軟件產業,特別是信息安全產業中成為了熱點,并形成一定的市場。國內外主要的一些在信息安全產業有影響的大公司如: IBM和思科公司都有相應的產品推出,在國內比較有影響是XFOCUS的OPENSTF系統。
從總體上看,隨著網絡入侵手段的復雜化以及網絡安全設備的多樣化,造成目前網絡防護中的木桶現象,即網絡安全很難形成全方面的、有效的整體防護,其中任何一個設備的失誤都可能會造成整個防護系統被突破。
從技術發展來看,信息的共享是網絡安全防護發展的必然趨勢,網絡安全事件管理器是采用安全事件信息共享的方式,將整個網絡的安全事件信息集中起來,進行分析,達到融合現有的各種安全防護技術,以及未來防護技術兼容的優勢,從而達到更準備和有效的分析與判斷效果。因此有理由相信,隨著安全事件管理器技術的進一步發展,尤其是安全事件信息分析技術的發展,安全事件管理器系統必然在未來的信息安全領域中占有重要的地位。
篇(5)
關鍵字:企業網絡 醫院網絡 網絡安全 網絡體系 技術手段
Abstract:With the high-speed development of information science and technology, the network, offering the facility to people more and more, and also help the company to save a large number of manpower and material resources. But the trade company is undertaking the enormous risk while using the network to exchange with external world too. This text has introduced the reason of existing risk and countermeasure with the risk in enterprise's network. Have offered certain suggestion in online security for the trade company.
Keyword: Enterprise's network
Security of network
Network system
Technological means
前言:
隨著信息技術的高速發展,互聯網越來越被人們所重視,從農業到工業再到高科技產業各行各業都在使用互聯網參與行業生存與競爭。企業對網絡的依存度越來越高,網絡在企業中所處的位置也越來越重要,系統中存儲著維系企業生存與競爭的重要資產-------企業信息資源。但是,諸多因素威脅著計算機系統的正常運轉。如,自然災害、人員的誤操作等,不僅會造成系統信息丟失甚至完全癱瘓,而且會給企業造成無法估量的損失。因此,企業必須有一套完整的安全管理措施,以確保整個計算機網絡系統正常、高效、安全地運行。本文就影響醫院計算機網絡安全的因素、存在的安全隱患及其應對策略三個方面進行了做了論述。
一、醫院網絡安全存在的風險及其原因
1.自然因素:
1.1病毒攻擊
因為醫院網絡同樣也是連接在互聯網上的一個網絡,所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的,而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器,造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬,阻塞正常流量,形成拒絕服務攻擊。我們清醒地知道,完全避免所有終端上的病毒是不可能的,但要盡量減少病毒爆發造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽,使得醫院網絡被病毒攻擊的頻率越來越高,所以病毒的攻擊應該引起我們的關注。
1.2軟件漏洞
任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:
1.2.1、協議漏洞。例如,IMAP和POP3協議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄,從而獲得超級用戶的特權。
1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下,就接受任何長度的數據輸入,把溢出部分放在堆棧內,系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令,來造成系統不穩定狀態。
1.2.3、口令攻擊。例如,U nix系統軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統,都是容易被攻擊的。
2、人為因素:
2.1操作失誤
操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見,隨著網絡管理制度的建立和對使用人員的培訓,此種情況逐漸減少.對網絡安全己不構成主要威脅。
2.2惡意攻擊
這是醫院計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅,每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范,因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。
二、構建安全的網絡體系結構
1.設計網絡安全體系的原則
1.1、體系的安全性:設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性,必須保證體系的完備性和可擴展性。
1.2、系統的高效性:構建網絡安全體系的目的是能保證系統的正常運行,如果安全影響了系統的運行,那么就需要進行權衡了,必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件,它們也會占用網絡系統的一些資源。因此,在設計網絡安全體系時必須考慮系統資源的開銷,要求安全防護系統本身不能妨礙網絡系統的正常運轉。
1.3、體系的可行性:設計網絡安全體系不能純粹地從理論角度考慮,再完美的方案,如果不考慮實際因素,也只能是一些廢紙。設計網絡安全體系的目的是指導實施,如果實施的難度太大以至于無法實施,那么網絡安全體系本身也就沒有了實際價值。
1.4、體系的可承擔性:網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業來支持,要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多,那么我們就不該采用這個方案。所以,在設計網絡安全體系時,必須考慮企業的業務特點和實際承受能力,沒有必要按電信級、銀行級標準來設計這四個原則,可以簡單的歸納為:安全第一、保障性能、投入合理、考慮發展。
2、網絡安全體系的建立
網絡安全體系的定義:網絡安全管理體系是一個在網絡系統內結合安全
技術與安全管理,以實現系統多層次安全保證的應用體系。
網絡系統完整的安全體系
系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠,確保應用系統正常運行。主要包括以下幾個方面:
(1)防止非法用戶破壞系統設備,干擾系統的正常運行。
(2)防止內部用戶通過物理手段接近或竊取系統設備,非法取得其中的數據。
(3 )為系統關鍵設備的運行提供安全、適宜的物理空間,確保系統能夠長期、穩定和高效的運行。例如:中心機房配置溫控、除塵設備等。
網絡安全性主要包括以下幾個方面:
(1)限制非法用戶通過網絡遠程訪問和破壞系統數據,竊取傳輸線路中的數據。
(2)確保對網絡設備的安全配置。對網絡來說,首先要確保網絡設備的安全配置,保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。
(3)網絡通訊線路安全可靠,抗干擾。屏蔽性能好,防止電磁泄露,減
少信號衰減。
(4)防止那些為網絡通訊提供頻繁服務的設備泄露電磁信號,可以在該設備上增加信號干擾器,對泄露的電磁信號進行干擾,以防他人順利接收到泄露的電磁信號。
應用安全性主要是指利用通訊基礎設施、應用系統和先進的應用安全控制技術,對應用系統中的數據進行安全保護,確保能夠在數據庫級、文檔/記錄級、段落級和字段級限制非法用戶的訪問。
另外,對存放重要數據的計算機(服務器、用戶機)應使用安全等級較高的操作系統,利用操作系統的安全特性。
三、網絡安全的技術實現
1、防火墻技術
在外部網絡同內部網絡之間應設置防火墻設備。通過防火墻過濾進出網絡的數據,對進出網絡的訪問行為進行控制和阻斷,封鎖某些禁止的業務,記錄通過防火墻的信息內容和活動。對網絡攻擊進行監測和告警。防火墻可分為包過濾型、檢測型、型等,應根據不同的需要安裝不同的防火墻。
2、劃分并隔離不同安全域
根據不同的安全需求、威脅,劃分不同的安全域。采用訪問控制、權限控制的機制,控制不同的訪問者對網絡和設備的訪問,防止內部訪問者對無權訪問區域的訪問和誤操作。
我們可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。在關鍵服務器區域內部,也同樣需要按照安全級別的不同進行進一步安全隔離。
劃分并隔離不同安全域要結合網絡系統的安防與監控需要,與實際應用環境、工作業務流程和機構組織形式密切結合起來。
3、防范病毒和外部入侵
防病毒產品要定期更新升級,定期掃描。在不影響業務的前提下,關閉系統本身的弱點及漏洞并及時打上最新的安全補丁。防毒除了通常的工作站防毒外,email防毒和網關式防毒己經越來越成為消除病毒源的關鍵。還應使用掃描器軟件主動掃描,進行安全性檢查,找到漏洞并及時修補,以防黑客攻擊。
醫院網管可以在CISCO路由設備中,利用CISCO IOS操作系統的安全保護,設置用戶口令及ENABLE 口令,解決網絡層的安全問題,可以利用UNIX系統的安全機制,保證用戶身份、用戶授權和基于授權的系統的安全,:對各服務器操作系統和數據庫設立訪問權限,同時利用UNIX的安全文件,例如/etc/hosts. equiv文件等,限制遠程登錄主機,以防非法
用戶使用TELNET、FTP等遠程登錄工具,進行非法入侵。
4、備份和恢復技術
備份是保證系統安全最基本、最常用的手段。采取數據的備份和恢復措施,有些重要數據還需要采取異地備份措施,防止災難性事故的發生。
5、加密和認證技術
加密可保證信息傳輸的保密性、完整性、抗抵賴等,是一個非常傳統,但又非常有效的技術。加密技術主要用于網絡安全傳輸、公文安全傳輸、桌面安全防護、可視化數字簽名等方面。
6、實時監測
采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡實時監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征。
7、 PKI技術
公開密鑰基礎設施(PKI )是通過使用公開密鑰技術和數字證書來確保系統網絡安全并負責驗證數字證書持有者身份的一種體系。PKI 可以提供的服務包括:認證服務,保密(加密),完整,安全通信,安全時間戳,小可否認服務(抗抵賴服務),特權管理,密鑰管理等。
四、結束語:
網絡的安全與醫院利益息息相關,一個安全的網絡系統的保護不僅和系統管理員的系統安全知識有關,而且和領導的決策、工作環境中每個員工的安全操作等都有關系。網絡安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增,醫院網絡管理人員要掌握最先進的技術,把握住醫院網絡安全的大門。
五、參考文獻
[1] 李國棟,劉克勤。Internet常用的網絡安全技術。現代電力。2001. 11. 21
篇(6)
中圖分類號:TP391.9
《計算機網絡安全管理》是一門理論性和實踐性很強的基礎課程,本課程在本院是面向高職學生開設的必選課,課程理論與實踐緊密結合,實用性強,目的在于使學生掌握計算機網絡安全的基礎知識、TCP/IP協議基礎,能對網絡入侵進行初步分析,掌握網絡入侵工具的分類、網絡安全的策略、防范措施及網絡設備安全知識,了解常用的一些密碼技術,如何利用現代教學軟件來體現網絡教學的實踐環節,在有效的時間展示網絡安全管理豐富的技術技能,作為現代教學需要利用好工具。本文就計算機網絡安全管理中的仿真逐一進行總結分析,采用思科Cisco模擬器6.0版本,運行操作系統Windows XP或Windows 2000。
情景一密碼設置和恢復:Cisco提供了5個口令可以來保護Cisco路由器,分別是:使能口令、使能加密口令、控制臺口令(Console)、遠程登陸口令(VTY)和輔助口令(AUX)。這里我們介紹前面4個口令設置:
1 使能口令
進入全局配置模式 Router#configure terminal
設置使能口令 Router(config)#enable password cisco //口令設置成功!
2 使能加密口令
進入全局配置模式 Router#configure terminal
設置使能加密口令 Router(config)#enable secret cisco
使能加密口令設置成功!
3 控制臺口令(Console)
進入全局配置模式 Router#configure terminal
進入console口配置模式 Router(config)#line console 0
進行console口密碼設置 Router(config-line)#password consolekey
使其口令生效 Router(config-line)#login //控制臺口令設置成功
4 遠程登陸口令(VTY)
進入全局配置模式 Router#configure terminal
進入console口配置模式 Router(config)#line vty 0 15
進行console口密碼設置 Router(config-line)#password vtykey
使其口令生效 Router(config-line)#login //遠程登陸設置成功
設置好密碼,網絡中就多了一道屏障,但當密碼丟失遺忘,要進行密碼恢復。如圖1所示。
步驟1:設置密碼
特意設置一個不容易記住的密碼,如Router(config-if)#enable password 2q3qeqew
重新登陸后如果遺忘輸入其他密碼,登陸將出現Bad secrets的錯誤提示(見下圖)
步驟2:路由器密碼恢復(破解原有密碼)
關閉路由器電源并重新開機,當控制臺出現啟動過程按下ctrl+break,進入rommon模式
首先改變配置寄存器的值為0x2142,這會使得路由器開機時不讀取NVRAM 中的配置文件,然后敲reset重啟路由器,退出setup 模式,敲no重新進入。如圖2所示。
Router#write //先將配置寫入內存
屏幕提示:Building configuration...
[OK] //配置文件保存成功
Router#copy startup-config running-config//把配置文件從NVRAM 中拷貝到RAM 中,在此基礎上修改密碼。-屏幕提示:Destination filename [running-config]?
489 bytes copied in 0.416 secs (1175 bytes/sec)
最后在進入配置模式,將密碼更改為自己熟悉的密碼,如cisco
Router(config)#enable password cisco //密碼將更換為最新的密碼cisco
Router(config)#config-register 0x2102 //將寄存器數值改回0x2102
Router(config-if)#interface FastEthernet0/0
Router(config-if)#no shutdown
Router #reload //保存配置,重啟路由器,保存前,需要把各個接口一一打開。
情景二VLAN隔離局域網:在企業內部,共享資源的同時有些部門數據禁止其他部門訪問,這時候除了設置密碼保護,關閉不需要的共享,還可以進行VLAN劃分局域網,來進行網絡安全管理。劃分VLAN之前,兩臺路由器可以相互訪問。如圖3所示。
Switch# vlan 2 name VLAN2
VLAN 2 added:
Name: VLAN2
Switch(vlan)#vlan 3 name VLAN3
VLAN 3 added:
Name: VLAN3//以上創建vlan,2是vlan的編號,范圍為1~1001
Switch(config)#int f0/1
Switch(config-if)#switch
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 2
Switch(config-if)#int f0/2
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 3
此時在ping測試,出現不通的符號,這樣就實現了利用vlan隔離的作用。如圖4所示。
以上可以看出在網絡教學過程中利用仿真軟件直觀生動,學生有興趣學,老師也方便指導。后續將不斷探索和實踐,使其在教學過程中充分發揮作用。
參考文獻:
[1]李杰陽.淺析計算機網絡實訓課題的設計及使用[J].科技信息,2011,20.
篇(7)
中圖分類號:TP393.08
隨著科學技術的迅速發展,網絡得到了較大的發展空間,由于傳統的有線網絡隨著網絡應用的不斷發展,難以適應現代化社會的需求,因此逐漸被無線網絡替代,在豐富了人們生活的同時也給人們帶來了更為便捷的服務。但是隨著無線網絡的發展,也將面臨著網絡安全問題。
1 無線網絡安全協議的形式化方法綜述
1.1 無線網絡安全協議
無線網絡的發展隨著社會經濟的迅速發展,得到了較大的發展空間,并且隨著無線網絡的不斷發展,針對于無線網絡的一個個新的標準和技術也在不斷的出現,在某一開放系統中由于主體數量比較大,而兩個互不相識的主體希望進行安全通信,那么,它們之間就必須要建立一個安全的通信渠道,而建立了安全通信渠道的兩個主體之間必須要運行某種安全協議,以此來完成雙方互相認證的功能,當然還應該建立秘鑰任務。而無線網絡安全協議也就是針對于無線網絡而言的安全信道,按照自己的功能可以將安全協議分為可以將其分為三類,首先是認證協議,這主要是提供給一個參與方關于其通信對方身份的一定確信度的一種方式,認證協議包含了實體認證協議、消息認證協議等其他協議,并且認證協議主要是用來防止假冒、否認等相關攻擊的。其次是認證及秘鑰交換協議,這主要是為了給身份已經被確認的參與方建立一個共享秘密,目前這種方式是網絡通信中最為普遍的一種安全協議。最后是秘鑰交換協議,這種協議是在參與協議的兩個實體之間,或者是多個實體之間建立的共享秘密,尤其是這些秘密可以作為對稱秘鑰,用于加密、消息認真以及實體認證等多種密碼學用途[1]。
1.2 安全協議的形式化方法
針對于安全協議形式化分析,我們可以將其分為計算機安全方法,以及計算機復雜性方法兩大類,而計算機安全方法,又可以稱之為基于符號理論的形式化方法,它主要是強調自動化機器的描述和分析,但是,由于這種方法存在不可預測性和復雜性,所以這種方法主要是由于攻擊者具有指數規模的可能操作集,會導致狀態爆炸的問題,計算機安全方法還可以進一步分類:模態邏輯方法、模型監測方法等。計算機復雜性方法,也可以稱之為證明安全方法,其主要思想是通過歸納推理,而計算機復雜性方法中應用較為廣泛的是CK模型和UC模型。
2 無線網絡的安全威脅和具無線網絡的具體表現
無線網絡的應用較大程度的擴大了無線網用戶的自由程度,并且無線網絡還具有安裝時間短,更改網絡結構方便靈活,靈活增加用戶等等其他的優點,而最為重要的是它還可以提供無線覆蓋范圍內的安全功能漫游服務等特點。但是,與此同時無線網絡也面臨著一些嚴峻地新的挑戰,而其中最為關鍵的環節就是無線網絡的安全性,而由于無線網絡主要是通過無線電波在空中進行數據傳輸的,在數據發射機覆蓋的區域內,基本上所有的無線用戶都能夠接收到這些數據,也就是說用戶只需要具有相同的接收頻率,那么用戶就能夠獲取所傳遞的相關信息。并且由于無線移動設備在存儲能力,以及計算能力等其他的方面都存在一定的局限性,也就導致在有線環境下,許多安全方案以及安全技術并不能夠直接的在無線環境中應用,比如:防火墻通過無線電波進行的網絡通信并不具備一定的相關作用,而任何人在特定的區域范圍內都能夠截獲或者是插入網絡數據,導致無線網絡面臨著一些安全威脅{2]。
而針對于安全威脅,我們可以將其分為故意威脅和偶然威脅這兩種形式,而故意威脅又可以進一步分為主動故意威脅和被動故意威脅,無線網絡安全威脅,主要表現在以下幾個方面。首先,攻擊者偽裝成為合法的用戶,通過無線接入非法訪問網絡資源,從而給無線網絡帶來安全威脅,這是最為普遍的一種威脅;其次是針對無線連接或者是無線設備實施的拒絕服務攻擊;第三是惡意實體可能得到合法用戶的隱私,然后對無線網絡進行非法入侵;第四,惡意用戶可能通過無線網絡,將其自動連接到自己想要攻擊的網絡上去,并采取相關方法實施對特定的網絡進行攻擊。此外還有很多種威脅,比如:手持設備容易丟失,從而泄露敏感信息。
3 無線網絡安全協議的形式化分析的具體方法
安全協議主要是采用密碼技術來保障通信各方之間安全交換信息的一個規則序列,其主要目的就是在通信各方之間提供認證或為新的會話分配會話密鑰,目前分析安全協議的形式化方法主要有三種,即:推理構造法,這種方法主要是基于知識和信念推理的模態邏輯,比如K3P邏輯等其他邏輯;再有就是攻擊構造法,這種方法從協議的初始狀態開始,對合法的主體和一個攻擊者所有可能執行的路徑進行全方面的搜索,以此來找到協議可能存在的問題;此外還有證明構造法,證明構造法集成了上述兩種方法的思想和技術。對于無線網絡安全協議的形式化分析方法,筆者認為,可以從以下三個方面進行分析。第一,基于邏輯證明的協議分析。BNA邏輯,這種方法最早用于認證和秘鑰交換協議的形式化方法,它的出現極大地激發了研究人員對于這一領域的廣泛興趣,BAN邏輯中的證明構造是非常簡潔的,并且它還比較容易完成,但是,應用BNA邏輯分析只是一個協議,從具體的協議到邏輯表達式的抽象過程都是比較困難的。BNA邏輯的語法中區分了主體、秘鑰以及時鮮值這三種密碼要素,并且BNA邏輯可以對WAI的認證模型進行有效的分析,但通過相關研究表明,WAI并不能夠有效地實現全部的認證以及秘鑰協商目標,這主要是由于WAI中存在著諸多的安全問題,比如:無法提供身份保護、缺乏私鑰驗證等,這就表明WAPI無法提供足夠級別的安全保護{3]。第二,攻擊類型以及安全密碼協議形式化的分析。在任何一個開放性的無線網絡環境中,網絡管理人員必須要全方位地考慮到對攻擊者存在,主要是由于攻擊者可能實施各種攻擊,對一些具有價值的文件和網絡系統進行破壞,要處理這種安全問題就必須要積極的采取一定的措施。認證協議主要是建立在密碼基礎上的,而它的主要目的就是為了能夠有效地證明所聲稱的某種屬性,認證協議的主要攻擊者判定是依靠有沒有授權,并且企圖獲益的攻擊者或共謀者。在一般情況下,進行分析認證協議的時,主要采用的是假設底層密碼算法比較完善的方式,并不考慮其可能存在的弱點,認證協議典型的攻擊主要有消息攻擊、中間人攻擊以及平行會話攻擊等其他形式。第三,基于CK模型的協議形式化分析。CK模型的協議形式化,其主要目標是通過模塊化的方法來設計和分析秘鑰交換協議,以此來簡化協議的設計和安全分析,首先必須要將秘鑰協商協議定義在理想的模型之中,之后再采用不可區分性來定義理想模型中的安全性,然后再通過相關方法將協議編譯成現實模型中的協議,CK模型采用了相關方法對WAPI的安全性進行了分析,并指出WAPI中存在的安全缺陷。
4 結束語
綜上所述,無線網絡給人們的生活和工作等方面帶來了較大的便利性,但是由于無線網絡具有開放性和無線終端的移動性等特點,導致在有限網絡環境下的一些安全方案無法直接應用。采用形式化分析方法能夠有效的研究出無線網絡的安全保障技術,從而促進我國網絡技術的發展。
參考文獻:
[1]任偉.無線網絡安全問題初探[J],信息網絡安全,2012(01).
篇(8)
前言:
隨著信息技術的高速發展,互聯網越來越被人們所重視,從農業到工業再到高科技產業各行各業都在使用互聯網參與行業生存與競爭。企業對網絡的依存度越來越高,網絡在企業中所處的位置也越來越重要,系統中存儲著維系企業生存與競爭的重要資產-------企業信息資源。但是,諸多因素威脅著計算機系統的正常運轉。如,自然災害、人員的誤操作等,不僅會造成系統信息丟失甚至完全癱瘓,而且會給企業造成無法估量的損失。因此,企業必須有一套完整的安全管理措施,以確保整個計算機網絡系統正常、高效、安全地運行。本文就影響醫院計算機網絡安全的因素、存在的安全隱患及其應對策略三個方面進行了做了論述。
一、醫院網絡安全存在的風險及其原因
1.自然因素:
1.1病毒攻擊
因為醫院網絡同樣也是連接在互聯網上的一個網絡,所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的,而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器,造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬,阻塞正常流量,形成拒絕服務攻擊。我們清醒地知道,完全避免所有終端上的病毒是不可能的,但要盡量減少病毒爆發造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽,使得醫院網絡被病毒攻擊的頻率越來越高,所以病毒的攻擊應該引起我們的關注。
1.2軟件漏洞
任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:
1.2.1、協議漏洞。例如,IMAP和POP3協議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄,從而獲得超級用戶的特權。
1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下,就接受任何長度的數據輸入,把溢出部分放在堆棧內,系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令,來造成系統不穩定狀態。
1.2.3、口令攻擊。例如,U nix系統軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統,都是容易被攻擊的。
2、人為因素:
2.1操作失誤
操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見,隨著網絡管理制度的建立和對使用人員的培訓,此種情況逐漸減少.對網絡安全己不構成主要威脅。
2.2惡意攻擊
這是醫院計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅,每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范,因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。
二、構建安全的網絡體系結構
1.設計網絡安全體系的原則
1.1、體系的安全性:設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性,必須保證體系的完備性和可擴展性。
1.2、系統的高效性:構建網絡安全體系的目的是能保證系統的正常運行,如果安全影響了系統的運行,那么就需要進行權衡了,必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件,它們也會占用網絡系統的一些資源。因此,在設計網絡安全體系時必須考慮系統資源的開銷,要求安全防護系統本身不能妨礙網絡系統的正常運轉。
1.3、體系的可行性:設計網絡安全體系不能純粹地從理論角度考慮,再完美的方案,如果不考慮實際因素,也只能是一些廢紙。設計網絡安全體系的目的是指導實施,如果實施的難度太大以至于無法實施,那么網絡安全體系本身也就沒有了實際價值。
1.4、體系的可承擔性:網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業來支持,要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多,那么我們就不該采用這個方案。所以,在設計網絡安全體系時,必須考慮企業的業務特點和實際承受能力,沒有必要按電信級、銀行級標準來設計這四個原則,可以簡單的歸納為:安全第一、保障性能、投入合理、考慮發展。
2、網絡安全體系的建立
網絡安全體系的定義:網絡安全管理體系是一個在網絡系統內結合安全
技術與安全管理,以實現系統多層次安全保證的應用體系。
網絡系統完整的安全體系
系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠,確保應用系統正常運行。主要包括以下幾個方面:
(1)防止非法用戶破壞系統設備,干擾系統的正常運行。
(2)防止內部用戶通過物理手段接近或竊取系統設備,非法取得其中的數據。
(3 )為系統關鍵設備的運行提供安全、適宜的物理空間,確保系統能夠長期、穩定和高效的運行。例如:中心機房配置溫控、除塵設備等。
網絡安全性主要包括以下幾個方面:
(1)限制非法用戶通過網絡遠程訪問和破壞系統數據,竊取傳輸線路中的數據。
(2)確保對網絡設備的安全配置。對網絡來說,首先要確保網絡設備的安全配置,保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。
篇(9)
人們在構建家庭網絡的過程中,總是忙于讓網絡盡快的運行起來。這是可以理解的。但如果忽視了網絡安全問題,后果是十分危險的。對于Wi-Fi網絡設備進行安全配置通常是耗時費力的,網絡用戶因此不能妥善處理。正是基于這種情況,我們依據網絡安全技術和組網經驗,提出如下十點建議,以提高家庭無線網絡安全。
1. 及時和定期地修改管理員口令和用戶名
幾乎所有的無線接入點和路由器都準許管理員使用特別的管理帳號來管理WiFi網絡。這個帳號可以讓管理員使用用戶名和口令訪問設備的配置文件。缺省的用戶名和口令是由制造商所設置的,用戶名通常就是簡單的admin或administrator,而口令通常是空白的,或者也只是一些簡單詞匯而已。
為了增強WiFi網絡的安全性,在構建網絡時,你應該立刻修改無線接入點或路由器的管理口令。黑客十分清楚流行的無線網絡設備的缺省口令,并經常把它們到網上。大部分設備不允許修改管理員的用戶名,但如果你的設備可以的話,那么強烈建議你也應該及時修改管理員用戶名。
為了保證家庭網絡以后的安全,建議你要定期修改管理員口令,至少每隔一到三個月修改一次,并且要作到所使用的口令復雜難猜。
2. 啟用WPA/WEP加密
所有WiFi設備都支持某種加密技術。加密技術對通過無線網絡傳送的信息進行加密編碼,這樣會使黑客難以破解。目前有幾種針對WiFi網絡的加密技術,自然地,你應該為你的WiFi網絡設備選擇最強的加密技術。然而,一旦選定了某種加密技術,你的WiFi網絡上的所有設備都必須使用相同的加密設置。因此,在進行加密設置時,你還需要考慮其獨特性。
3. 修改缺省的SSID網絡名
接入點或路由器都采用被稱做SSID的網絡名。論文參考。制造商所推出的產品通常帶有同樣的SSID集。例如,Linksys產品的網絡名通常是“Linksys”。盡管,了解SSID網絡名本身并不能使黑客闖入你的網絡,但這是闖入你的網絡第一步。更重要的是,當黑客發現你仍然采用缺省的SSID網絡名時,他們會認為你的網絡設置很簡單,這樣他們會更愿意攻擊你的網絡。因此,當你為自己的無線網絡進行配置時,必須立刻修改缺省的SSID網絡名。
4. 啟用MAC地址過濾
每一個WiFi網絡設備都有自己唯一的標識,稱做物理地址或MAC地址。接入點和路由器跟蹤記錄所有連接到網絡上的設備的MAC地址。許多網絡設備都為主人提供選項,供主人鍵入它們的MAC地址。網絡也只允許這樣的設備接入。這樣做是提高網絡安全的步驟之一,并不是萬全之策,黑客和他們的軟件可以輕易的編造MAC地址,所以我們建議采用MAC地址過濾技術來加強這一防范措施。
5. 關閉SSID網絡名廣播
在WiFi網絡中,無線接入點和路由器每隔一定時間廣播自己的網絡名字(SSID)。論文參考。這是針對商業和移動熱點而設計的功能,因為它們通常在服務區內外游動。而在家庭中,經常是不需要游動的,所以關閉網絡名字廣播這項功能是明智之舉,大多數WiFi接入點也允許這樣做,這會減少黑客利用此特點闖入家庭網絡的可能性。
6. 關閉自動連接到開放的WiFi網絡的功能
大多數計算機都存在這樣一個設置,該設置可以自動地把你的計算機連接到一個開放的WiFi網絡上(:如:免費的無線熱點或鄰居的路由器),而不通知你本人。選擇關閉這項功能, 可以防止你的計算機無意中將自己的重要信息泄露給他人,避免你的計算機安全處于危險中。
7. 為網絡設備指定靜態IP地址
大多數構建家庭網絡的人都傾向于采用動態IP地址。動態主機配置協議(DHCP)的確容易設置。但網絡黑客也很容易利用這種方便,他們會很容易從你的網絡DHCP文件中獲取有效的IP地址。所以我們建議關閉接入點和路由器上的DHCP文件,同時設置固定的地址范圍,然后為每個連接設備配置相應的IP地址。采用保密的地址范圍可以防止互連網對計算機的直接接入。
8.在每個計算機和路由器上啟動防火墻
現代的網絡路由器都包含內置的防火墻功能,同時也存在關閉防火強的選項。必須保證你的路由器防火墻處于啟用狀態。如果想進一步增加保護性,建議在每個連接到路由器的計算機上安裝并運行各自的防火墻軟件。
9.為路由器和接入點選擇安全的地方擺放
WiFi無線網絡的信號通常可以傳播到戶外,如果在戶外仍具有一定的強度,就完全可能出現信號泄露的問題。信號傳播的越遠,就越容易被外人偵測和利用。WiFi網絡的信號強度通常可以達到附近的街區和住宅,所以在構建無線家庭網絡時,為接入點和路由器找到一個合適的擺放位子可以有效地減弱戶外的信號強度。為了使信號泄露最小化,我們建議盡量將這些設備放置在房屋的中心位子,不要靠近窗戶和門等房屋周邊。
10.在網絡不用期間,關閉網絡
無疑關閉網絡可以保證黑客無法闖入。如果頻繁的關閉網絡不現實的話,至少在外出旅行或長時間離線時要這樣做。盡管這樣做會對計算機硬盤造成一定的損害,但對于寬帶MODEM和路由器而言那是次要的。如果你擁有一個只在有線連接上使用的無線路由器,那么你也可以只關閉寬帶路由器上的WiFi網絡,而不必把整個網絡斷電。論文參考。
綜上,我們針對WiFi無線網絡的安全問題提供了十點建議,這些建議對于已經擁有或準備構建家庭無線網絡的人們無疑是有幫助和裨益的,對于保障家庭網絡的安全會起到十分重要的作用。
[參考文獻]
1.寬帶無線接入技術及應用:WiMAX與WiFi 唐雄燕電子工業出版社 (2006-05出版)
篇(10)
【關鍵詞】醫院信息化管理 網絡安全 策略
隨著現代信息技術的發展,大量新興的醫療信息系統如LIS、PACS、PEIS等,已經廣泛應用、部署于科研院所與醫療機構。醫患雙方在信息化技術的積極作用下切實得到了許多好處,但是與此同時卻頻繁發生網絡安全事件,像Struts漏洞、數據泄露、APT攻擊等,但是關于這類事件卻沒有獲得足夠的重視。所以醫院實施信息化管理,必須針對網絡安全方面暴露的隱患,出臺有效的防控策略,提高網絡環境的安全性,提高網絡管理的秩序性與規范性,在網絡安全管理方面加大力度,如此,才能保障穩步開展醫院信息化管理。
1 醫院信息化管理過程中暴露的各種網絡安全隱患
以C/S為架構基礎的醫院信息系統網絡,已經實現了對醫院各個部門的廣泛覆蓋,大量聯網的計算機在相同的時間段內同時運行,已經與患者在醫院就診的眾多環節相聯系,導致各類業務空前依賴網絡。各大醫院,依靠互聯網實現了聯接,并實現了和醫保之間的聯網,促進了醫院網絡越來越開放,這樣就使得發生網絡攻擊、感染病毒的幾率顯著提高,要是網絡信息系統出現故障,勢必會使得醫院上下的管理與醫療工作遭受影響,使患者、醫院均蒙受無法估計的損失。
醫院信息化管理過程中,暴露的安全隱患大部分集中在系統安全、數據安全、網絡安全三大方面。就系統安全來說,具體涉及操作系統安全與物理安全、還有應用程序安全;數據安全涉及數據防護的安全、數據本身的安全;在網絡攻防手段與技術等顯著發展的影響下,網絡安全越來越復雜、多樣,新舊安全威脅同時存在。通常而言,網絡安全問題涉及四大方面,即技術、物理、應用服務、產品。受人為操作出現錯誤或失誤、自然災害、各類計算機攻擊行為影響,造成的計算機網絡無法正常運行,都屬于物理方面;研發設計的信息產品有一定的缺陷存在,或者引進使用、日常維護信息技術,受某些非自主、非可控性影響,產生的安全隱患,都屬于技術方面的;軟件操作系統、硬件設備、應用程序中,被植入惡意代碼或隱藏后門等帶形成的安全威脅都屬于產品方面的;網絡終端與網絡實現連接以后,面對的各種安全問題,像非法入侵、病毒感染,黑客攻擊、違規操作、間諜軟件等,導致主機遭遇劫持、系統網絡中斷、數據被破壞或直接、醫療信息被竊取泄露、病人賬戶隱私遭到盜竊等,均屬于應用服務方面。
2 新形勢背景下應對醫院網絡安全問題基本策略
醫院網絡安全會直接影響到醫療業務能否正常開展,構建一個能夠穩定、安全運行的要想實現信息網絡環境安全、穩定地運行,一定要把握安全策略、管理制度、技術手段三大方面之間的有效結合。
2.1 管理制度
完善、健全的規章管理制度是醫院網絡系統得以正常運行的保障。使用方法與管理制度的制定,要立足于實際,確保其科學合理,像操作使用醫療信息系統制度、維護運行醫院網絡制度、存儲備份醫療資源數據制度等,此外,還要對人員的信息安全意識不斷提高,使得醫院網絡安全管理有據可依,有章可循。
2.2 安全策略
醫院一定要從實際出發,出善的安全管理策略,為信息網絡系統高效、正常、安全地運行創造可靠的保障。為了保障服務器能夠高效、可靠、穩定地正常運行,實施雙機熱備、雙機容錯的處理方案非常有必要,關于非常重要的設備,對主機系統供電盡可能使用UPS,一方面有利于供電電壓保持穩定,同時對于突發事件防控具有顯著的作用;針對主干網絡鏈路,網絡架構設計,構建冗余模式非常必要,在主干網絡某條線路出現故障的時候,通過冗余線路,依然可以正常傳輸網絡的信息數據;同時要對業務內網和網絡外網實施物理隔離,防止互聯網同醫療業務網之間出現混搭,有效控制醫療業務數據利用互聯網這個途徑對外泄漏,防止外部網成為非法用戶利用的工具,進入到醫院信息系統或服務器,展開非法操作;為了防止醫院的業務信息發生丟失或遭到破壞,非常有必要構建數據與系統備份容災系統,這樣即便存儲設備或機房發生故障,也能保證信息系統運行較快恢復正常運行;在權限方面實行分級管理,防止發生越權訪問的情況、防止數據被修改,針對數據庫建立專項的審計日志,實時審計關鍵數據,能夠實現跟蹤預警。
2.3 技術手段
網絡安全問題日益多樣化,而且越來越復雜,所以依靠技術手段對網絡安全防范,也要注意防御措施的多層次性與多樣性,對以往被動防護的局面轉換,提高預防的主動性。因為醫院在網絡架構上實行外網與內網相隔離,內網上對在安全要求上,內網的要求相對而言更高,安裝的殺毒軟件最好為網絡版,并成立管理控制中心,能夠修復漏洞、對整個網絡進行體檢、修復危險項、查殺病毒等;將防火墻網關設立在外網和內網之間,對非法用戶、不安全的服務予以過濾,能夠及時探測、報警網絡攻擊行為等,對惡意入侵有效防控;還可以通過對專業的入侵檢測系統部署,對防火墻存在的缺陷有效彌補,將眾多關鍵點在網絡中設置,利用檢測安全日志、行為、審計數據或別的網絡信息,對網絡安全問題及時掌握,并做好應對;也可以對安全掃描技術,掃描網絡中存在的不安全因素。
3 結語
保障網絡環境的安全性與穩定性是醫院信息化管理的要求,因此必須重視從安全策略、管理制度,技術手段等角度,對醫院信息系統安全全面加強。但是醫院的網絡安全實際上只是相對來說的,絕對的安全是不存在的,所以要立足于自身的實際特點,在實踐過程中持續完善優化,這樣才會保障網絡安全防護體系行之有效,提升醫院信息化管理效率。
參考文獻
[1]戰鵬飛.醫院信息化管理探究[D].大連海事大學,2011.
[2]楊欣.醫院信息化管理的相關問題研究[D].遼寧師范大學,2012.
[3]記者張意軒.網絡安全面臨巨大挑戰[R].人民日報海外版,2011.
作者簡介
篇(11)
1、常見的無線網絡安全措施
無線網絡受到安全威脅,主要是因為“接入關”這個環節沒有處理好,因此以下從兩方面著手來直接保障企業網線網絡的安全性。
1.1 MAC地址過濾
MAC地址過濾作為一種常見的有線網絡安全防范措施,憑借其操作手法和有線網絡操作交換機一致的特性,經過無線控制器將指定的無線網卡MAC地址下發至每個AP中,或者在AP交換機端實行設置,或者直接存儲于無線控制器中。
1.2 隱藏SSID
所謂SSID,即指用來區分不同網絡的標識符,其類似于網絡中的VLAN,計算機僅可和一個SSID網絡連接并通信,因此SSID就被定為區別不同網絡服務的標識。SSID最多由32個字符構成,當無線終端接入無線網絡時須要有效的SIID,經匹配SSID后方可接入。通常無線AP會廣播SSID,從而接入終端通過掃描即可獲知附近存在的無線網絡資源。比如windows XP系統自帶掃描功能,檢索附近的無線網絡資源、羅列出SSID信息。然而,為了網絡安全最好設置AP不廣播SSID,同時將其名字設置成難以猜解的長字符串。通過這種手段便于隱藏SSID,避免接入端利用掃描功能獲取到該無線網絡名稱,即使知道其存在也是難以通過輸入其全稱來接入此網絡的。
2、無線網絡安全措施的選擇
網絡的安全性和便捷性永遠是相互矛盾的關系,安全性高的網絡一定在使用前或使用中較為繁瑣,然而,科技的進步就是為了便捷我們的生活,因此,在對無線網絡進行設置時,需要兼顧安全性和便捷性這兩個主要方面,使其均衡地發展使用。
接入無線AP時選取WAP加密模式的方法,此外,SSID即使被隱藏,也會被攻擊者利用相關軟件探測到,所以無需進行隱藏SSID,增強接入便捷性,在接入時實行一次性輸入密碼完成設置任務。
與此同時,采用強制Portal+802.1X的認證方式,兩種方法的融合可以有效確保無線網絡的安全。來訪用戶更關注的是使用時的便捷性,對其安全性沒有過高要求。強制Portal認證方式免除安裝額外的客戶端軟件,用戶通過瀏覽器認證后即可獲取網絡資源。這種便捷的方法,其不足之處就是安全性較低。倘若花費一定資金用來購置無線網絡入侵檢測設備展開主動性防御,是可以在一定程度上保障無線網絡安全性的。
其實,網絡安全技術是人類發明的,并依靠人的使用而發揮作用,所以網絡使用者是安全防線的最后一關,加強網絡使用者的安全意識,是保障無線網絡安全的根本。
3、校園無線網絡的應用
(1)在校園網絡建設中,無線網絡作為一種流程趨勢正在普及開來,同時其用戶也在日益增多。當前在校園網絡不同環境下,主要用戶分為以下幾類人群,第一類為固定用戶群,包括機關辦公、機房電腦、教學樓、試驗室等眾多使用者;第二類是活動用戶群,主要包括教師的個人電腦和學生的自用電腦;第三類為臨時用戶群,特指在學術交流會時所使用電腦上網的群體。經過劃分出三類用戶群,便于無線網絡在接入Internet網絡時采取相應的安全策略,以保障整個校園無線網絡的安全性。
(2)校園無線網絡的安全措施除了進行WEP數據加密協議外,更要結合不同用戶群特點,制定相應的安全防范措施。對于固定用戶群可以實行綁定MAC地址,限制非法用戶的訪問,網絡信息中心通過統一分配IP地址來配置MAC地址,進行這種過濾策略保障無線網絡的安全運行;針對活動用戶群實行端口訪問控制,即連接工作站STA和訪問點AP,再利用802.1x認證AP服務,一旦認證許可,AP便為STA開通了邏輯端口,不然接入被禁止執行。802.1x需要工作站安裝802.1x的客戶端軟件,并在訪問點內置802.1x的認證,再作為Radius的客戶端把用戶的認證信息轉發至Radius服務器。802.1x不僅控制端口的訪問,還為用戶提供了認證系統及其計費功能。
AP隔離措施近似于有線網絡的VLAN,對無線客戶端進行全面隔離,僅可訪問AP所連接的固定網絡,進而增強接入Internet網絡的安全性;最后一類臨時用戶群,可以通過設置密碼限制訪問,無密碼者無法接入無線網絡,利用此手段保障授權用戶安全穩定的使用無線網絡,避免他人肆意進入無線網絡發生干擾,尤其適合于會議等臨時性場所的使用。
4、結語
建設校園無線網絡,可以為校園學習生活帶來極大的便捷性,但與此同時,其中也潛在著安全隱患,無線網絡技術需要不斷研究、完善,方可保證校園無線網絡的安全性、可靠性,實現校園的現代化網絡建設。
無線網絡中的威脅無處不在,不法分子利用網絡技術手段可以竊取校園中傳輸的重要數據,截取或篡改教學數據,嚴重威脅著學校中重要資料的安全性。只有結合上述相應手段,才能有效控制非法用戶侵入校園無線網絡,維持校園無線網絡的純凈度,實現健康資源的共享。其實,無線網絡的安全防范措施還有很多,須要在科學技術的發展進步中,不斷分析,進行完善,以共同打造美好的校園網絡學習生活為目標。
參考文獻
[1]孔雪蓮.淺談無線局域網中的安全及黑客防范[J].電腦知識與技術(學術交流),2007(13).
