网络信息安全风险分析(精选11篇)
网络信息安全风险分析 篇1
1 引言
现代战争需要及时获取尽可能全局的敌我信息和环境信息, 准确识别目标, 得出战场态势并进行信息共享, 及时做出有利的战略决策或战术决策, 以立于不败之地。而水下战场环境涉及多维的作战空间和复杂的电磁环境, 面临各种威胁和攻击, 所以保证其通信网络的安全性和可靠性是首要问题。由于水下环境和水下通信网络的特殊性, 现有传统无线通信网络的安全技术不能直接移植应用到水下。因此, 研究水下无线通信网络的安全风险, 研究适用于水下无线通信网络的安全技术, 使水下无线通信网络能更好地、更安全地为构建一体化的水下信息预警探测网络、有效扩大信息优势、增加侦察和捕获目标的范围和效力提供重要支撑作用。
2 水下网络特点与隐患
利用水下通信网络进行预警探测主要是建立反潜监视网络和海洋环境监视网络, 包括水面舰艇、潜艇、水下UUV、浮标、海底声呐阵等。网络传感器节点主要装备有各类综合声呐、侦察声呐, 探测声呐、噪声测距声呐、磁感应量测等设备。对于这些节点, 当采用被动探测方式时, 在对目标稳定跟踪后可获得的目标信息主要是方位;采用侦察方式或用侦察节点则可获得目标方位、载频、脉冲宽度和重复周期等数据;通过噪声测距节点可获得目标距离和方位。出于安全、隐蔽的考虑, 舰艇 (特别是潜艇) 装备的声呐设备通常采用被动方式工作, 只能得到目标的方位信息。由于海水声传播特性极其复杂, 水下无线通信网络通常包括大量在水下分布的、能源受限的、自配置和自感知的传感器节点, 在诸多方面不同于传统网络系统。军用水下无线通信网络具有如下重要特性:
(1) 各种移动模式:尽管一些传感器以超音速移动, 其他的水下节点可能是固定的。
(2) 广泛的终端类型:范围广泛的设备, 如传感器、单声道收音机和计算机, 可能是军事水下通信网络的终端。
(3) 可变的通信距离:通信距离从几米到几千千米, 无线电波在海水中选择性衰减严重, 无法满足远距离传输的要求, 因此, 水下无线通信系统多采用声波作为传输载体, 但水声通信技术存在着难以克服的传输速率低、高延时、功耗大等缺陷。
(4) 可变的通信介质特征:各种媒介类型 (如有线、光纤、空气和海水) 可台会组合起来使用。
(5) 快速改变通信地点:被广泛的水下通信网络覆盖的区域可能需要清空, 同时在一次军事行动中, 同样的网络在不同的地区内几天之内能够安装好。
(6) 敌对和嘈杂的环境:在水下战场, 对方的通信设施是高优先级目标。此外上千的炸弹爆炸、车辆和故意干扰会产生噪声。
(7) 突发流量:通信流量常常是与时间和空间相关的。长时间的无线电静默可能在特定的地区突然被极其密集的报告和通信需求打破, 然而其他的地区保于静默。
(8) 各种安全限制:非涉密数据与涉密数据在同一个通信信道里传输。
3 安全设计考虑
在水下无线通信网络环境中, 设计实现一个完善的无线网络系统时, 首先要分析网络中存在的各种安全威胁, 针对这些威胁提炼必需的安全需求, 从而设计相应的安全方案, 需要考虑的因素包括以下几个方面。
(1) 无线传输信道。水下无线通信网络节点有严格的能量限制、低容量和微型传感器节点的小尺寸。在水下无线通信网络中, 能量最小化假设具有重大意义, 超过衰变、散射、阴影、反射、衍射、多径效应和衰落影响。总的来说, 在距离d内传输信号需要的最小输出功率与dn成比例, 其中2≤n <4。因此, 有着更多跳数和更短距离的路径比那些少跳数长距离的路径, 能效更高。
(2) 网络体制。在水下无线通信网络中, 一个中心点或一个关键节点的存在使得它们在敌对环境中更加脆弱。通过分析流量可能发现一个收集节点, 并且在这些关键节点中监视或阻止所有数据流量。在水下无线通信网络中, 节点间相互依靠来传送一个包。这种多跳自组织特性也带来了额外的弱点, 使它们易受攻击。当一个恶意节点使其他节点相信它是一个中继节点时, 它可以接收它们的包, 且不转发它们。
(3) 流量特性。在水下无线通信网络中, 数据流量通常是与时间和空间相关的。网络节点覆盖范围通常是重叠的, 因此当一个事件发生时, 它在同一个区域触发多个传感器。时间和空间的相关性表明, 对于某些区域和时间段来说过度使用, 对另一些区域和时间段来说未充分利用。这给通信协议和算法设计包括安全方案带来了额外的挑战。当数据流量是相关的, 对付流量分析攻击变得更具有挑战性。
(4) 服务质量。在水下无线通信网络中, 功率是首先要考虑的, 当然这取决于应用。当网络用于军事实时应用方面时, 延时也是一个重要的限制, 通常和功率限制相冲突。对于这术的网络, 带宽需求可能会高些。水下通信网络应用中, 延时和带宽问题是一个最重要的挑战。对于声纳水下介质, 传播延迟很长时间 (平均每100m为67ms) , 容量十分有限 (5~30kbit/s) 。
(5) 容错性。水下无线通信网络中的收集节点代表了故障的关键点。数据通过这些节点中继到外部系统, 若它们不存在, 网络将变得不相连。这在网络中尤其重要, 因为如果传感器收集的数据没有到达用户, 它们不会有任何用处, 而且传感器节点中的数据只能通过收集节点访问。因此, 它们可能成为拒绝服务攻击的重要目标, 容错性方案应该考虑到这一点。
(6) 操作环境。水下无线通信网络的设计是在恶劣和难以接近的地区无人值守运行的, 这给容错方案带来了额外的挑战。此外, 传感器网络可能在敌后的对抗性环境中。在这种情况下, 它们易受物理攻击, 且更容易篡改。
(7) 能效问题。功耗是影响水下无线通信网络协议设计的最重要因素之一, 这也需要安全方面的特殊处理。水下无线通信的安全方案必须在计算和网络需求方面都是低成本的。
(8) 可扩展性。水下无线通信网络设计方案需要高度可扩展, 这也影响到了安全协议。对于水下军事通信网络来说, 可扩展需求和功率限制一起阻碍了后部署密钥分配方案的适用性, 因此, 在这种应用中, 密钥应在节点部署之前先行部署。
(9) 硬件成本。水下无线通信网络节点的存储和计算能力有限, 因此, 有着更少存储和计算需求的安全方案更适合于水下军事通信网络。
4 认证与完整性设计
在一个安全的水下无线通信网络中, 节点由网络授权, 并且只有被授权的节点才被允许使用网络资源。建立这样一个网络的一般步骤包括自举、预认证、网络安全关联、认证、行为监控和安全关联撤销。在这几部分中, 认证是最重要的, 同时也是网络安全中最基本的一项服务。其它的基本安全服务例如机密性、完整性和不可抵赖性均取决于认证。秘密信息只有在节点进行互相验证和确认后才能进行交换。
4.1 认证问题
在水下无线通信网络中, 敌手很容易篡改数据, 并把一些消息注入数据, 这样接收者应该确保接收到的数据来自一个合法的发送方, 并且没有被篡改过。数据认证允许接收方验证数据真正是由声称的发送方发送的。这样, 接收方需要确保任何决策过程用到的数据来自正确的源节点。
在双方通信情况下, 发送方用秘密密钥计算消息内容的校验和, 产生一个消息认证码 ( MAC) 。数据认证能被接收方验证, 这个接收方拥有用于产生相同消息认证码 ( MAC) 的共享密钥和源消息。然而在水下多方通信中, 比如基站广播数据给一些节点时, 就不能使用对称的数据认证。这种情况下, 可采用非对称机制如定时高效流容忍损耗认证 (TESLA) 。在这种方法中, 首先发送方用密钥产生的消息认证码 (MAC) 广播一个消息, 这里的密钥稍后将公开。当节点收到消息时, 如果它还没收到发送方透露的密钥, 将首先缓存消息。当节点收到密钥以后, 它将用密钥和缓存的消息产生消息认证码 ( MAC) 来认证此消息。TESLA的缺点是认证的初始参数应该单播给每一个接收方, 这对拥有庞大数量节点的网络来说是低效的。因此将多级密钥链用于密钥分配中, 初始参数是预设的, 并广播给接收方, 而不是单播发送, 这样做增加了拥有大量节点网络的可扩展性, 同时可抵抗重放攻击和拒绝服务攻击。
4.2 完整性问题
数据完整性的含义是接收方收到的数据和发送方发出的数据是一样的。在水下无线通信网络中, 如果一个节点被敌手捕获, 敌手可能会修改数据或把一些错误的信息注入网络里。由于节点有限的资源和节点部署在恶劣的环境中, 通信数据会丢失或被损坏, 或数据的完整性可能会受到破坏。为了保护数据完整性, 最简单的办法是使用循环冗余校验 ( CRC) ;另一个方法是使用基于加密的完整性方法, 比如在认证时使用消息认证码MAC, 这会更加安全, 但也更复杂。
机密性可以阻止信息泄漏。然而, 为了扰乱通信, 敌手仍然可能会篡改数据。比如, 一个恶意节点可能会在一个包里添加片段或操纵包中的数据。这个新数据包会被发送给原接收方。由于恶劣的通信环境, 甚至都不需要出现恶意节点, 数据就会丢失或遭到破坏。因此, 数据完整性要确保任何接收到的数据在传输过程中不会被修改。
5 结语
水下通信网络的迅速部署、自组织和容错特性使其在军事C4ISR系统中有着非常广阔的应用前景。因此需要针对水下无线通信网的威胁提炼必需的安全保密需求, 从而设计相应的安全体系架构与安全方案, 通常包括用户接入控制设计、用户身份认证方案设计、密钥协商及密钥管理方案设计等, 以满足其安全保密需求。尤其是认证与完整性问题, 是水下通信网络安全需要解决的首要问题, 这也是今后开展研究工作的重点。
摘要:水下战场环境涉及多维的作战空间和复杂的电磁环境, 研究水下无线通信网络的安全风险, 是研究适用于海战场水下无线通信网络安全保密技术及体系的前提。本文根据水下通信网络的特点, 分析了水下无线通信网络的安全保密需求, 研究了水声网络信息安全保密设计考虑要素, 并对认证与完整性问题进行了探讨, 可为研究军用水声网络安全保密体系提供借鉴参考。
关键词:水声网络,安全保密,风险
参考文献
[1]吴学智, 靳煜, 何如龙.水声网络及其军事应用研究[J].电声技术, 2012 (08) .
[2]郎为民, 杨宗凯, 吴世忠, 谭运猛.一种基于无线传感器网络的密钥管理方案[J].计算机科学, 2005 (04) .
[3]熊飞, 吴浩波, 徐启建.一种传感器网络的分布式信任模型[J].无线电工程, 2009 (08) .
[4]荆琦, 唐礼勇, 陈钟.无线传感器网络中的信任管理[J].软件学报, 2008 (07) .
[5]杨光.水下无线通信网络安全关键技术研究[D].中国海洋大学博士论文.2012 (5) .
网络信息安全风险分析 篇2
关键词:网络会计电算化信息安全风险与防范
0.引言
我国的会计电算化工作起步较晚,直至上个世纪70年代末才开始。会计电算化在其发展中分别经历了尝试阶段、自发发展阶段以及有组织、有计划地稳步发展阶段。现如今,会计电算化已经发展成了会计软件发展阶段。在其发展过程中,会计电算化已经获得了长足的进步。在会计电算化发展与产生的过程中,会计理论与事物对其影响重大。会计电算化具备的准确高效以及及时等特点被会计人员所接受。会计电算化有效地将计算机技术和经济管理相互结合,进一步提高了会计记账与财务管理的现代化水平。在会计电算化不断发展的过程中,其中潜藏的问题也已经逐渐的显现出来。
1.网络会计电算化的概述
在企业会计核算业务量不断增加、业务种类繁多、会计信息资料分析和研究不断深入的过程中,会计电算化的处理方式已经越来越难以适应现今会计核算的要求[1]。另外,计算机网络技术发展领域不断拓宽,使得会计电算化系统出现了较多新的特征。在我国经济与社会各项技术不断发展的过程中,各种商务活动越来越依赖于虚拟的网络环境。网络经济对会计提出了更高的要求“它促使企业的电算化系统从核算型向管理型转变”并使会计电算化系统向网络化方向发展成为必然。
2.网络会计电算化信息安全风险
随着会计电算化的发展,会计电算化信息安全收到了极大的挑战。尤其是网络环境下,大量的会计信息受到各种各样的安全风险。网络会计电算化信息安全风险主要表现在以下几个方面。
2.1会计信息泄露
在信息技术快速发展的今天,利用高科技手段非法窃取商业机密,是企业会计信息安全主要风险的表现。在网络环境下,会计信息的传递与网络的进行,会计信息被泄露、篡改、截取已经成为了现今信息技术发展不可避免的问题。网络和可通过非法途径侵入网络用户的程序内,获取相应的信息。另外也有的黑客通过获取用户系统的密码、口令,窃取网络用户的商业机密,给企业带来严重的损失。
2.2电脑黑客的袭击
所谓的电脑黑客指的是非法侵入计算机用户。会计工作中的电脑黑客指的是竞争对手和专门窃取商业机密的组织。电脑黑客通过查卡、捕获、电子邮件轰炸以及消息轰炸等方式非法侵入企业的电脑网络,窃取或者是破坏用户的数据。电脑黑客的侵入,将直接给会计电算化信息的安全带来影响。
2.3会计软件存在缺陷
会计软件属于会计电算化的载体。在会计人员将相关的资料输入进计算机后,就在软件的支持下对会计信息进行加工处理,导致出现会计信息泄露。由此可见,会计软件的好坏将直接影响会计信息的可靠性、完整性、安全性以及真实性。有的企业所用的会计软件内部控制功能不够完善,存在严重的漏洞,使得数据存储、传递、输入与输出等方面存在风险[2]。即使有的企业对重要的会计数据进行加密处理,但是如果使用的数据库保密性不够高,就无法阻止电脑高手打开软件。这种情况特别是那些没有考虑信息使用人员的防范控制。企业的会计管理系统需要操作员密码访问,有的则存在混淆的情况。
2.4人为舞弊操作
有的会计电算化工作人员为达到窃取商业机密,非法转移资金等发发行为,协助竞争者获取或者破坏企业的会计数据,进而对企业的会计信息、数据进行非法删除、篡改,给企业造成严重的损失。
3.网络会计电算化信息安全防范措施
网络环境下,会计电算化信息的安全受到严重的挑战。针对以上网络会计电算化信息安全风险,应当采取有效地防范措施。
3.1确保会计信息输入的准确性
企业要想保证计算机信息的安全,就应当确保输入数据的正确性。为保证会计电算化输入数据的准确性,应当从以下几个方面着手。首先,对进入系统的数据设置相应的审批制度。其次,针对系统设置操作权限和口令密码。对一些重要的数据进行多级的密码控制[3]。再次,建立相应的输入操作日志,以便后期的检查和监督。最后,针对会计电算化软件进行相应的输入验证功能。在输入会计信息的过程中,操作员由于失误出现错误时,系统自动监测处错误,并拒绝错误信息的输入。
3.2建立健全网络快电算化内部控制系统
在网络会计电算化环境下,内部人员的恶意或者无意的行为既有可能造成会计信息不安全的情况。因此,为保证会计电算化信息的安全性,有必要建立健全内部控制系统。企业一方面可以实行用户权限对会计信心进行分级管理。根据会计电算化系统的业务需要,设立多个电脑操作岗位,明确各个岗位的职责和操作权限,促使每一个操作人员只能在自己的操作权限内进行工作,进一步保证会计电算化系统的正常工作,确保信息数据的安全性、可靠性与准确性。另一方面,及时更新内部控制制度。会计信息内部控制制度可随着会计核算方式的变化而发生改变。因此,内部控制制度的内容就应当有新的内容。手工控制与程序控制的相互结合,能够确保内部控制要求更为严格、更具规范性。
3.3家里数据保密备份,加强网络怀集电算化的保密性
保密控制能够保证会计电算化程序的、数据不被借用、非法使用以及滥用等情况。电算化系统具有一定的特殊性。为避免非法进入财务管理系统和修改企业数据库情况的发生,可设置保密程序进行控制,对保密文件进行储存控制。用户在进入系统时进行口令控制,以此来保证会计信息的安全性。会计信息的备份操作,主要是对企业相关会计信息的数据进行备用拷贝。对会计数据备用拷贝之后,系统一旦出现故障,就可使用备份恢复系统。通常情况下,备用拷贝是不是用的。企业进行良好的备份制度是保证会计信息的安全。
3.4强化会计电算化系统操作人员的安全信息防范意识
电脑操作是人为的,增强操作人员的安全意识是预防信息安全的前提条件[4]。因此,企业在对员工进行定期的计算机、通讯以及网络理论知识培训的过程中,还应注重培养会计人员的道德建设。操作人员在提高自身技术技能的同时,自觉遵守企业的各项规章制度,避免工作中不必要的意外事件发生。网络会计电算化操作人员安全信息防范意识的增强,不仅有助于企业信息的保密性,还有利于员工自身职业素质的提高。由此可见,强化会计电算化系统操作人员的安全意识具有重要的作用。
4.结语
总而言之,在信息技术与网络技术不断发展的过程中,会计电算化信息的安全受到一定的挑战。为保证企业各种新的安全,企业在完善各项基础建设的过程中,还应注重信息安全防范意识,加强会计信息的安全防护。
参考文献:
[1]杜峰.浅谈网络环境下会计电算化系统的不安全因素与安全对策[J].苏盐科技,2010,5(04):22-23.
[2]赵冬梅,贾亚丽,袁泉,张洪义,等.会计电算化数据安全问题与防范对策[J].河北职工医学院学报,2011,12(03):56-57.
[3]洪美英,许艳慧,洪舜英,等.会计电算化系统的信息安全风险及防范措施[J].统计与咨询,2011,9(12):89-90.
网络信息安全风险分析 篇3
一承德广播电视台信息安全风险分析
1. 信息系统基本情况
承德广播电视台目前共有六套自办节目,其中三套广播节目,分别是新闻综合广播、交通文艺广播、旅游生活广播;三套电视节目,分别为新闻综合频道、公共生活频道和旅游文化频道。从21世纪初期开始,承德广播电视系统开始逐步推行广播电视数字化、网络化工作,到目前为止,广播电视台全台网建设已经初具规模,广播电视数字化程度达到了80%以上。广播电视文化体制改革以后,台内广播电视网络信息系统基本上分为三类,一类是以播出系统、制作系统、生产管理系统、媒资系统等为主要内容的广播电视制播网,也就是所谓的生产业务系统;第二类是以承德新闻网为代表的门户网站,也就是外网系统;第三类是与广播电视政务相关以及广播电视监测监控等为完成特定的业务功能而开发建设的专用业务系统,比如广播电视办公网、广播电视监测网、广播电视发射台站信号监听监测网等等。
2. 安全风险分析
第一,系统的结构规模带来的风险。随着广播电视事业的快速发展,广播电视网络规模不断扩大,功能模块业务系统不断增多,各个系统间互联互通,互相依存,一个业务系统关键节点的故障,可能导致与之有关的多个业务系统同时瘫痪,“点”的故障扩大到“面”的影响几率不断加大。
第二,网络攻击和病毒传播带来的风险。受经济利益驱动,网络攻击和病毒恶意传播已经形成具有组织严密化、行为趋利化、目标直接化的网络黑色产业链。广播电视是党和政府的喉舌,容易成为一些恶意破坏分子关注的对象,尤其是法轮功非法邪教组织更是把广播电视作为其攻击破坏的对象之一,防攻击、防破坏、防病毒、防篡改、防泄密、防瘫痪等方面的工作形势依然严峻。
第三,系统安全漏洞带来的风险。广播电视台大部分计算机目前使用的操作系统以及一些应用软件盗版软件居多,Windows XP停用后,大部分计算机并没有及时更换Windows 7系统,还有一些业务系统使用的应用软件因开发人员安全防范意识不强,软件编程不规范,软件的鲁棒性不强,这些都给系统本身带来了一定的安全漏洞,面临着恶意渗透的风险。
第四,硬件配置参差不齐带来的风险。系统的硬件配置缺乏科学统一的论证,仅以满足当前需求为主要目标,缺少前瞻性和与其他系统融合的兼容性。建设于不同时期、不同性能、安全策略不同的系统互联整体的安全防范能力受制于防范能力最差的系统。另外,一些设备存在超期服役现象,老化现象不同程度存在,系统内的核心设备,数据存储设备等还没有做到冗余备份,遇到突发事件部分环节瘫痪的风险较大。
第五,管理不够科学规范带来的风险。没有建设安全管理中心,不能集中管理系统中各个安全控制组件,不能对全系统实行集中的软硬件管理,包括统一的软件下发、终端硬件配置、补丁升级、病毒防护、安全审计、漏洞扫描等,不能实现跨系统的安全管理。网络安全维护管理工作处于起步阶段,经验不丰富,手段单一,尤其缺少专业的计算机网络维护人才,维护质量和水平较低。网络维护管理存在着随意性和宽松性,虽然成立了相应的网络安全管理部门,明确了责任和任务,但工作开展有限,信息安全事件的监测、发现、响应、报告等机制还需要不断完善,具体责任单位对网络安全管理,尤其是对终端平台的管理不严、不细,具体的一线人员缺少网络安全意识,存在着一些不良的网络使用习惯,给系统带来一定的安全隐患。
第六,安全评估和安全检测等手段滞后带来的风险。网络安全评估和安全检测还处于空白阶段,网络安全评估受条件和能力限制,地市级广播电视系统很难开展这项工作。安全检测一般只是在借助广播电视网络安全检查工作来组织实施,但是检测范围较小,手段单一,功能有限,只能对系统网络的运行情况做简单了解。二广播电视行业网络信息安全工作的基本要求1.我国广播电视行业网络信息安全的基本情况
二广播电视行业网络信息安全工作的基本要求
1.我国广播电视行业网络信息安全的基本情况
信息安全工作目前已经上升到国家安全层面。从2007年开始,公安部出台了一系列等级保护政策,标准规范和技术标准,明确了等级保护工作内容。广播电视行业信息安全工作起步较晚.2011年,国家广电总局下发了《广播电视播出相关信息系统安全等级保护定级指南》和《广播电视播出相关信息系统等级保护基本要求》,为广播电视行业网络信息安全定级和安全防护提供了基本参考,目前,总局正在进行网络安全测评标准,信息安全工作规范、信息安全事件应急协调机制等方面的制定工作。2.地市级广播电视网络信息安全系统保护对象的确定
2.地市级广播电视网络信息安全系统保护对象的确定
参照《广播电视播出相关信息系统安全等级保护定级指南》,为了体现重要部位重点保护、有效控制信息安全建设成本、优化信息安全资源配置的等级保护原则,将安全责任单位内信息较大的系统分为若干较小的,具有不同安全保护等级的定级对象,地市级广播电视系统定级对象分类见表1。
3. 地市级广播电视网络安全信息系统保护等级的确定
广播电视相关信息系统安全保护等级分为五级,地市级广播电视系统定级在第二级和第三级。第二级标准为信息系统受到破坏后,会对公民、法人和其他社会组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级标准为信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。按照广播电视信息网络保护对象分类,各级广播电视播出相信信息系统安全保护等级安好国家级、省级、省会城市、计划单列市和地市以以下来划分。如表2所示。
4. 地市级广播电视信息系统的安全保护能力
第二级安全保护能力:应能够防护系统免受来自拥有少量资源的威胁源发起的恶意攻击,一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护系统免受来自拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
三广播电视信息网络的安全防护策略
1. 安全策略的系统架构
安全策略是广播电视网络安全体系的核心,其重要任务是保证播出相关信息系统具备与其安全保护等级相适应的安全保护能力。安全策略的构成要素主要包括技术安全、物理安全、管理安全三个方面,三者是网络信息安全不可分割的重要组成部分。技术安全和物理安全是广播电视信息网络安全工作的具体实现过程,管理安全是把政策、规范、标准等融入到安全策略的设计和实施过程中,三者有机结合才能真正确保网络安全的稳定性和长期性。安全评估、安全检测是网络安全体系的基础,贯穿于网络安全体系的各个环节、各个阶段,通过预防、检测、响应、恢复四个环节的实施,体现安全体系的动态实现过程。安全策略的系统架构见图1。
2. 安全策略的主要内容
安全策略的设计和实施要充分考虑广播电视信息网络的逻辑分层,针对不同层次的特点制定相应的安全体系。以广播电视制播网为例,基本上分为物理层、内容层、交换层、应用层、管理层,针对这些层次从技术、物理、管理三个方面来制定和实施安全策略。
(1)物理安全
主要考虑网络核心设备所在机房在环境安全风险方面的技术对策。主要考虑机房选址、机房环境、电力供应、防火、防盗、防破坏、访问控制等方面:
●机房选择要符合《电子信息系统机房设计规范》有关规定,尽可能选择具有防震、防风、防雨能力的建筑。避免将机房设在建筑物的高层或地下室,以及用水设备的下层或隔壁,要远离产生粉尘、油烟、有害气体以及生产或储存具有腐蚀性、易燃、易爆物品的工厂、仓库、堆场等。
●机房的温湿度、防尘、防静电、电磁防护、接地、布线等要按照《电子计算机机房设计规范》(GB 50174-93)的有关规定执行。
●机房消防配置应符合《广播电视建筑设计防火规范》(GY 5067)的有关规定,选择具有耐火等级的建筑材料,同时要设置火灾自动消防系统,能自动检测火情、自动报警、自动灭火。
●机房的配电系统应保证两路外电和一路UPS供电。不具备两路外电条件应保证UPS供电的可靠性。
●机房出入口应设置电子门禁系统,外来人员出入要严格履行申请和审批手续。重点部位安装视频监控和红外报警系统。
(2)技术安全
首先是基础网络安全防范。重点要保证网络带宽的冗余空间和主要网络设备的冗余备份,满足业务高峰的需求,避免关键节点单点故障造成大面积故障。根据网络层次化建设网络纵深防护体系,将新闻制播系统、播出系统等播出直接相关系统位于纵深空间内部,任何情况不与互联网进行任何连接(见图2),根据信息系统功能、业务流程、服务对象等划分网络安全域,同一安全域内重要网段与其他网段之间采取可靠的技术隔离手段。
第二,边界安全防范。边界网络安全主要指对处于不同安全域的网络进行逻辑隔离及访问控制。可根据业务划分不同的安全域,通过不同安全域之间的边界防护,提高网络的整体安全性。根据业务特点,当前用于不同安全域网络之间安全隔离的方法一般有物理隔离、VLAN、防火墙、IPS等,综合比较各有优缺点,可采用移动存储介质、网闸、防火墙等多种安全技术组合应用,从而实现多层次、多方位、立体化的网络安全防御体系。
第三,终端安全防范。终端安全是网络安全体系结构的重要组成部分,如果有单台计算机终端感染病毒,就有可能感染其他终端和服务器,并且阻塞网络。终端安全防范主要采取用户行为管理,制定网络用户行为规范,同时从技术上采取一定的措施,禁用终端的USB接口和光驱、关闭不必要的服务和端口,禁止随意安装软件等。实施用户账号管理,对终端用户进行身份识别和鉴别,对用户账号进行统一管理、认证和授权。用户名和口令采取不同设置。
第四,软件系统安全防范。软件系统包括服务器操作系统、数据库等系统核心软件以及应用软件。安全是系统安全的重要部分。软件系统安全防范主要是尽可能选用安全性、可靠性、稳定性更高的操作系统软件,建立并切实执行操作系统、中间件和数据库等平台软件安全规范,定期对平台安全软件的安全性进行评估、检查和修正。建立安全补丁管理流程,对平台软件厂商公布的安全漏洞及时跟踪、分析,合理部署安全补丁策略。加强平台软件的用户权限管理,按照最小权限原则,减少遗留账号和权限过大的现象。在应用软件运行阶段,应通过升级对软件进行不断完善。在升级前进行模拟系统测试,确保不会带来新的问题。
第五,数据安全,它是指防止媒体文件、元数据、系统配置信息等数据的损坏、丢失或被盗用。数据安全包括数据保密性、完整性和可用性三方面。确保数据保密性主要采用权限管理办法,通过严格的身份认证和权限管理机制,限制用户只能访问允许范围内的文件和数据信息,执行允许范围内的操作。确保数据完整性主要采用数据备份办法,通过同/异介质冗余备份、实/延时数据备份、本/异地数据备份等安全控制策略,防止数据丢失。确保数据可用性采用存放数据的磁盘阵列采用RAID技术。及时进行备份校验,通过定期或不定期备份数据恢复试验,保证备份数据有效。
第六,安全审计。安全审计贯穿于技术防护策略的各个环节。主要包括对关键网络设备运行状况、用户行为等重要事件进行日志记录;对网络连接过程中网络边界处数据行文审计;对网络中重要服务器的操作系统和数据库审计;对系统中用户终端进行抽查审计;对用户使用行为包括登录、配置修改、核心业务操作、资源异常使用等方面进行审计。审计工作要做好审计记录,记录包括时间、行为类型、访问对象,事件描述、行为结果等内容。审计记录至少要保存90天.保存过程要避免受到未预期的删除、修改或覆盖等,同时要定期做好审计记录分析。
(3)管理安全
管理安全要遵循“三分技术,七分管理”的原则,通过行之有效的管理手段和措施,不断提升网络信息安全管理水平,为确保网络信息提供有力的保障。网络安全管理主要包括常规管理、建设管理和维护管理三个方面:
●常规管理主要是指成立网络信息安全管理机构,专门负责网络信息安全工作。明确工作职责和任务,制定相应的规章制度、应急预案。组织开展网络信息安全检查,应急演练以及网络检修维护人员的培训与考核等工作,总结完善网络安全管理经验,推动网络安全工作规范化、科学化开展。
●网络建设管理。建设管理主要包括组织开展好网络建设工程的方案设计、论证审批、工程实施,测试验收、等级评估以及外包技术服务的安全管理等工作。
●系统维护管理。维护管理主要是指网络日程维护维修,具体包括机房环境维护、设备维护、系统漏洞扫描、病毒查杀、补丁升级、病毒可升级、安全审计、日志分析、口令密码管理、数据备份恢复、安全事件分析处置、召开安全例会等具体工作。
四结束语
网络信息安全是一项具有动态化、实时性的工作,涉及到的不确定因素较多,尤其是随着数字化网络化的深入推进以及新兴媒体的不断出现,广播电视网络信息安全工作将面临更加严峻的形势。广播电视行业在高度重视网络信息安全基础上,应当坚持人防、技防、物防紧密结合的工作思路,进一步加大高新技术的学习、研究和应用力度,吸收、引进、培养专业的网络维护人才,加大网络信息安全基础设施建设资金投入力度,建立更加科学的广播电视网络信息安全保障体系,为确保广播电视事业产业健康和谐发展提供信息安全保障。
摘要:本文介绍了当前广播电税信息网络安全工作的基本情况,分析了承德广播电视网络信息安全面临的风除,以致按照地市级广播也视系统定级对象分类所确定的保护等级及安全防护能力的具体要求所设计的安全防护策略。
关键词:网络信息安全,风险分析,安全策略
参考文献
[1]广播电视播出相关信息系统等价保护定级指南
[2]广播电视播出相关信息系统等级保护基本要求
网络信息安全风险分析 篇4
信息时代的来临,让越来越多人开始注意到对于信息的安全保护。信息安全即是指保证信息的真实性、完整性和安全性。在网络环境下想要保证信息安全,关键是要把信息安全体系的重要作用发挥好。网络安全体系包含着计算机安全操作系统、各种安全协议和安全机制,对于保障信息网络环境下的各类信息安全都有着重要影响。保障信息安全,有利于各项活动的顺利开展,对于人身、社会安全都起到一定的保障作用[2]。
1.2网络安全
随着网络技术的不断发展,人们的日常生活中已经不能离开网络技术的参与,而想要更好发挥网络技术的作用,就需要保障其安全。网络安全主要是指保护网络系统的各种硬件、软件以及其中系统内部的各种数据,保证这些系统和数据不会因为一些恶意软件的侵害而遭到破坏和泄露,达到确保网络服务连续不断地进行工作、网络系统正常可靠地运行的目标。网络安全是需要不断对其进行维护工作的,主要通过采取各种技术和保障措施,保证网络系统中信息数据的完整机密[3]。
1.3网络空间安全
信息安全风险评估综合分析 篇5
关键词:信息安全;风险评估;脆弱性;威胁
1.引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
2、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
网络信息安全具有如下6个特征:(1)保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法控制。
(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
网络信息安全的风险因素主要有以下6大类:(1)自然界因素,如地震、火灾、风灾、水灾、雷电等;(2)社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;(3)网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;(4)软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;(5)人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;(6)其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
3、安全风险评估方法
3.1定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估種类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
3.2安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
3.3多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
3.4敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
3.5评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
4、风险评估的过程
4.1前期准备阶段
主要任务是明确评估目标,确定评估所涉及的业务范围,签署相关合同及协议,接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。
4.2中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
4.3后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
5.风险评估的错误理解
(1)
不能把最终的系统风险评估报告认为是结果唯一。
(2)不能认为风险评估可以发现所有的安全问题。
(3)
不能认为风险评估可以一劳永逸的解决安全问题。
(4)不能认为风险评估就是漏洞扫描。
(5)不能认为风险评估就是IT部门的工作,与其它部门无关。
(6)
不能认为风险评估是对所有信息资产都进行评估。
6、结语
网络信息安全的风险与防范 篇6
1.1 网络信息安全的含义
网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因遭到破坏、更改、泄露, 数据能够连续、可靠、正常地运行, 网络服务不中断。
1.2 网络信息安全的现状
据统计, 截至2012年6月底, 我国网民数量已达到5.38亿, 互联网普及率已经达到39.9%, 其中手机网民规模达到3.88亿人, 超过电脑上网用户的3.86亿人, CN域名注册量达到398万个, 四项指标继续稳居世界排名第一, 显示出中国互联网的规模价值正在日益放大。如此高的网民数量增长势必带来更加迅猛的互联网安全问题, 根据金山网络发布的《2011-2012中国互联网安全研究报告》公布了2011年度影响最大的十大病毒, 如qq群蠕虫病毒、输入法盗号木马、淘宝客劫持木马等。据统计显示, 金山毒霸累计捕获新增病毒1230万个, 每天保护用户免于病毒攻击的次数约为500万次, 每天有4%-8%的电脑上会发现病毒。
2网络信息安全面临的主要风险
2.1 黑客的恶意攻击
“黑客” (Hack) 利用自己的技术专长专门攻击网站和计算机[1], 就目前网络技术的发展趋势来看, 攻击的方式主要采用病毒进行破坏, 对没有防火墙的网站和系统进行攻击和破坏, 这给网络的安全防护带来了严峻的挑战。
2.2 网络自身和管理存在欠缺
因特网赖以生存的TCP/IP协议缺乏相应的安全机制, 在安全防范、服务质量、带宽和方便性等方面存在滞后和不适应性[2]。
2.3 软件设计的漏洞或“后门”而产生的问题
我们常用的无论是Windows还是UNIX几乎都存在或多或少的安全漏洞[2]。如大名鼎鼎的“熊猫烧香”病毒, 就是黑客针对微软Windows操作系统安全漏洞设计的病毒, 它对社会造成的各种损失更是难以估计。
2.4 恶意网站设置的陷阱
网站恶意编制一些盗取他人信息的软件, 如现在非常流行的“木马”病毒。
2.5 用户网络内部工作人员的不良行为引起的安全问题
网络内部用户的误操作, 资源滥用也有可能对网络的安全造成巨大的威胁。各单位管理制度不严都容易引起一系列安全问题。
3保证网络信息应采取的主要安全防范
3.1 采取技术防护手段
(1) 信息加密技术
网络信息发展的关键问题安全性, 必须建立一套有效的信息加密技术、安全认证技术等内容的安全机制作为保证, 来实现电子信息数据的机密性、完整性, 防止信息被不良用心的人窃取, 甚至出现虚假信息[3]。
(2) 安装防病毒软件和防火墙
在主机上安装防病毒软件, 能对病毒进行定时或实时的病毒扫描及漏洞检测, 变被动清毒为主动截杀, 发现异常情况及时处理。
(3) 使用路由器和虚拟专用网技术
路由器采用了密码算法和解密专用芯片, 通过在主板上增加加密模件来实现路由信息和IP包的加密、数据完整性验证等功能[4]。
3.2 构建信息安全保密体系
(1) 信息安全保密的体系框架
以信息安全保密策略和机制为核心, 以信息安全保密服务为支持, 以标准规范、安全技术和组织管理体系为具体内容, 最终形成能够满足信息安全保密的能力[5]。
(2) 信息安全保密的服务支持体系
主要由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成。
(3) 信息安全保密的标准规范体系
主要由国家和军队相关安全技术标准构成。
(4) 信息安全保密的技术防范体系
主要由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成。目的是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性等性能, 进而保障信息及系统的安全, 提高信息系统和信息网络的抗攻击能力和安全可靠性[6]。
(5) 信息安全保密的管理保障体系
主要从技术管理、制度管理、资产管理和风险管理等方面, 加强安全保密管理的力度, 使管理成为信息安全保密工作的重中之重。
(6) 信息安全保密的工作能力体系
主要将技术、管理与标准规范结合起来, 以安全保密策略和服务为支持, 合力形成信息安全保密工作的能力体系。既是信息安全保密工作效益与效率的体现, 也能反映出当前信息安全保密工作是否到位[7]。
4结语
当前网络信息安全技术发展迅速, 但没有任一种解决方案可以防御所有危及网络信息安全的攻击, 这是“矛”与“盾”的问题, 需要不断跟踪新技术, 对所采用的网络信息安全防范技术进行升级完善, 以确保相关利益不受侵犯。
参考文献
[1]Stuart McClure等.黑客大曝光——网络安全机密与解决方案[M].北京:清华大学出版社, 2006:140.
[2]魏仕民等.信息安全概论[M].北京:高等教育出版社, 2005:40-41
[3]吴汉平.信息战与信息安全[M].北京:电子工业出版社, 2003:120.
[4]戴红等.算机网络安全[M].北京:电子工业出版社, 2004:158-159.
[5]孙锐等.信息安全原理及应用[M].北京:清华大学出版社, 2003:45-46.
[6]秦立军.信息安全保密列谈[M].北京:金城出版社, 2002:125.
网络信息安全协议风险评估研究 篇7
当前计算机网络广泛使用的是TCP/IP协议族, 此协议设计的前提是网络是可信的, 网络服务添加的前提是网络是可达的。在这种情况下开发出来的网络协议本身就没有考虑其安全性, 而且协议也是软件, 它也不可避免的会有通常软件所固有的漏洞缺陷。因此协议存在脆弱性是必然的。信息的重要性是众所周知的, 而信息的传输是依靠协议来实现的, 所以对协议的攻击与防范成为信息战中作战双方关注的重点。协议风险评估也就成为网络信息安全风险评估的关键。
二、协议风险分析
协议的不安全及对协议的不正确处理是目前安全漏洞经常出现的问题, 此外, 在网络攻击中攻击者往往把攻击的重点放在对网络协议的攻击上, 因此, 网络风险分析的的主要任务是协议风险的分析。进行协议风险分析时我们首先要理顺协议风险要素之间的关系。
网络安全的任务就是要保障网络的基本功能, 实现各种安全需求。网络安全需求主要体现在协议安全需求, 协议安全服务对协议提出了安全需求。为满足协议安全需求, 就必须对协议的攻击采取有效防范措施。协议脆弱性暴露了协议的风险, 协议风险的存在导致了协议的安全需求。对网络协议攻击又引发了协议威胁、增加了协议风险, 从而导至了新的安全需求。对协议攻击采取有效防范措施能降低协议风险, 满足协议安全需求, 实现协议安全服务。任何防范措施都是针对某种或某些风险来操作的, 它不可能是全方位的, 而且在达到防范目的的同时还会引发新的安全风险。因此风险是绝对的, 通常所说的没有风险的安全是相对的, 这种相对是指风险被控制在其风险可以被接收的范围之内的情形。在进行协议风险分析后, 网络安全中与协议安全相关地各项因素之间的关系如图1。
三、网络协议风险综合计算模型——多种方法加权计算
风险计算的结果将直接影响到风险管理策略的制定。因此, 在进行网络协议风险分析后, 根据网络协议本身特性及风险评估理论, 选取恰当的风险计算方法是非常重要的。本文在风险计算方法的选取时, 采用多种风险计算方法加权综合的策略。它是多种风险分析方法的组合, 每种方法分别设定权值。权值的确定是根据该方法对评估结果影响的重要程度由专家给出, 或通过经验获得。基于上述思想, 在对网络协议进行风险评估时根据网络协议的特点我们主要采用技术评估方法来实现。基于网络协议的风险评估示计算如图2。
四、协议风险评估流程
按照风险评估原理和方法, 在对风险进行详细分析后, 选取适当的方法进行风险计算, 最后得出风险评估结果。对协议风险评估可以按照图3所示模型进行。
五、总结
为了规避风险, 网络安全管理人员必须制定合适的安全策略, 风险评估的目的就是为安全策略的制定提供依据。本文所提出的协议风险评估, 为网络管理人员更好地制定安全策略提供了强有力的支持。
摘要:本文依据风险评估的理论与方法对网络协议引发的风险进行了详细的分析, 在此基础上提出了多种评估手段相结合的综合风险计算方法。大大提高了风险评估结果的准确性, 为网络安全策略的制定提供有力依据。
关键词:协议风险分析,协议风险计算
参考文献
[1]Bedford T, Cooke R. Probabilistic Risk Analysis[M]. Cambridge University Press, 2001
[2]PeltierT R .I nformationS ecurityR iskA nalysis[M].A uerbachP ublishtions, 2001
[3]郭仲伟:风险分析与决策[M].机械工业出版社, 1992
网络财务信息安全风险及防范 篇8
网络财务是信息技术在财务领域的具体应用, 其信息安全风险来源于信息技术的一般风险和财务数据的特定风险, 主要表现在以下几个方面:
1、硬件系统风险。
任何计算机软件都必须通过硬件来运行, 硬件是软件的承载体。硬件系统发生故障时, 将会导致网络系统瘫痪, 软件无法运行, 业务处理停滞, 给网络财务使用者造成很大损失。如果硬件中的存储系统发生严重损坏, 所有数据将会面临全部丢失的风险, 给财务工作带来灾难性后果。
2、软件系统风险。
网络财务软件的正常运行, 除需要硬件系统保障外, 还需要操作系统、中间件和数据库等软件的支撑, 这些软件系统是否存在漏洞, 技术上是否成熟, 运行是否稳定, 直接影响财务信息安全程度和网络财务软件运行效率。
3、数据存储风险。
在网络财务环境下, 财务信息存储介质发生变化, 由纸质转化为磁介质, 所有财务数据以电子格式存储于服务器端, 财务数据更易容丢失、被盗和损坏。此外, 随着网络财务软件的应用, 财务数据量不断增多, 存储设备还面临着容量不够的风险。
4、信息传递风险。
网络财务运行过程中, 财务信息需要借助计算机网络在客户端和服务器端之间不断地进行数据传递和交换, 并且这种数据传递和交换都是以广播的形式进行发布。理论上, 任何联网计算机都有可能获取网络资源, 窃听网络信息, 这就大大增加了财务信息被截取、泄露、篡改的风险。
5、病毒破坏风险。
随着网络迅速发展, 计算机病毒的破坏能力不断提高, 破坏范围不断扩大, 并且呈现出了传播速度快、自我复制强、难以防范的特点, 给财务信息安全造成了极大的威胁。
6、非法入侵风险。
在网络环境中, 任何联网计算机在理论上都是可以被访问到的, 除非它们在物理上断开链接。一些人可能出于各种目的, 利用黑客程序, 破坏网络系统, 进行黑客攻击。而且, 黑客攻击比病毒破坏更具目的性和破坏性。
7、人员责任风险。
计算机管理制度不健全, 管理人员技术不精或者责任心不强;防范措施不严格, 对网络系统未进行必要的安全配置和管理, 对网络信息缺乏严密的监控;财务系统用户不注意口令保护, 口令密码设置简单或长期不更改, 致使别有用心的入侵者轻易冒充合法用户进入系统, 窃取、篡改、破坏数据。
二、网络财务信息安全风险防范措施
网络财务信息安全风险防范是一项系统工程, 需要财务和信息部门密切配合, 通力协作, 采取防范措施, 增强系统抵御风险的能力, 确保网络财务信息安全。
1、强化网络安全意识。
加强网络信息安全重要性宣传和教育, 使全体员工尤其是财务和信息部门人员在思想上时刻树立网络安全意识, 深刻认识网络安全对于财务工作的极端重要性, 自觉维护良好的网络安全环境, 抵制一切影响网络安全的行为。
2、加强网络安全技术防范。
网络安全技术防范是指综合运用防火墙、数据加密、数字签名和安全协议等专业技术对整个财务网络系统采取全方位的安全防范措施, 建立多层次的网络安全体系, 提高网络安全防护等级, 提供全面的网络信息安全保护。加强网络安全技术防范, 要保障资金投入, 确保网络安全防范设备及时安装到位;要注重培养网络安全技术专业人才, 不断提高网络安全技术人员的业务能力和工作水平。
3、加强财务数据管理。
定期对财务数据进行异地备份, 指定专人负责保管备份介质, 未经审批不得对备份数据进行恢复操作。严格限定财务数据共享范围和权限, 只允许其他系统在限定的范围内对财务数据库进行只读操作, 不得赋予改写权限。严格数据录入审核, 防止错误数据进入财务系统。妥善保管操作系统、数据库和财务软件等各类密码, 增强密码设置安全程度, 不定期进行更改, 防止别人盗用密码进行非法操作。
4、加强财务信息化安全制度建设。
建立健全和有效落实财务信息化安全制度是保障财务软件正常运行、财务数据安全完整的关键。这些制度包括财务系统软硬件管理和维护制度、系统管理人员和操作人员岗位责任制度、文档资料保管和使用制度、计算机病毒防范制度、操作权限分配规定、计算机和网络安全事故应急预案等, 通过财务信息化安全制度建设, 尽可能减少由于内部人员道德风险、系统资源风险、计算机病毒风险和意外风险造成的危害, 确保网络财务系统安全运行。
5、加强对计算机病毒和黑客的防范。
通常情况下, 网络财务系统运行于单位内网之中。防范计算机病毒和黑客的最有效方法就是实行内外网严格分离制度, 内外网之间进行物理隔离, 使得外网计算机不能登录到内网。此外, 在内网中的所有计算机都要安装杀毒软件, 定期更新病毒库, 及时查杀计算机病毒。加强网络安全监控, 及时发现网络中的异常情况, 果断进行处理, 净化网络环境。建立访问列表, 严格限定联网计算机对财务服务器的访问控制。
6、加强身份认证和权限控制。
建立更为科学的CA数字认证体系, 采用数字证书方式进行登录, 确保系统数据的完整性、保密性和行为的不可否认性, 杜绝数据在传送过程中可能出现的非法访问、非法篡改、假冒伪造等安全问题。严格进行权限分配和控制, 根据实际工作需要, 合理确定财务人员和管理人员操作权限。严格授权操作管理, 未经批准, 不相关人员不得接触财务软硬件系统, 确保财务系统和数据信息的安全。
参考文献
[1]刘峰成.网络财务信息安全问题.合作经济与科技, 2007.3.
[2]卞继红.网络财务的安全隐患及其治理.财会研究, 2011.9.
试论网络信息安全风险与应对策略 篇9
由于计算机信息固有的开放性强、资源庞大、易于复制等特性, 使得计算机涉密信息失泄密的渠道和风险大大增加, 传统的保密方式和观念无法适应计算机网络信息安全保密的要求。内部网计算机信息失泄密风险表现在以下几个方面。
1.1 物理安全的风险
网络物理安全是整个网络安全的前提。物理安全的风险主要有:设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅。这种电磁辐射既有计算机在信息处理过程中内部产生的电磁波向空中发射。电磁辐射所包含的数据信息, 可借助仪器设备在一定范围内接收。目前国际高灵敏度专用接收设备可在一公里外接收并还原计算机的辐射信息。这种通过接收计算机电磁辐射信息的做法是国外情报部门窃密的重要手段之一。
1.2 黑客入侵风险
黑客通常采用破译密码、放置“木马”程序、和利用系统缺陷等方法攻击网络系统。尽管内部网做到了与互联网的物理隔离, 但在现实操作过程中普遍存在的用移动存储设备在互联网与内部网之间转传文件行为, 等于间接地把互联网与内部网联接在了一起, 为黑客侵入内部网大开方便之门。
1.3 计算机病毒威胁
计算机病毒是一段附着在其它程序上的可以实现自我繁殖的程序代码, 可以通过多种方式植入计算机中, 通过Internet网植入病毒更容易。病毒运行后可能损坏文件、使系统瘫痪, 造成各种难以预料的后果。由于在网络环境下, 计算机病毒具有不可估量的威胁性和破坏力, 因此计算机病毒的防范是网络安全性建设中重要的一环。网络中一旦有一台主机受病毒感染, 则病毒程序就完全有可能在极短的时间内迅速扩散, 传播到网络上的所有主机, 可能造成信息泄漏、文件丢失、死机等。
1.4 剩磁效应风险
对于内部计算机广大普通用户, 通常认为把涉密信息从计算机里执行删除操作就不存在失泄密问题了, 然而事实远非如此。一方面, 在大多数的操作系统中, 删除文件只是删除文件名, 而原文件还原封不动地保留在存储介质中;另一方面, 存储介质中的信息被删除后, 仍会留下可读痕迹;即使已多次格式化的磁介质仍会有剩磁, 这些残留信息可通过专门设备被还原。只要是写到了磁盘上的文件, 就几乎无法将其真正删除得无影无踪, 除非把该磁盘进行物理粉碎。
1.5 系统及软件漏洞的风险
目前的操作系统或应用系统, 厂商在其开发的操作系统、应用软件或网络协议中嵌入后门程序, 以绕开监控防护为自己进出大开方便之门是一种较为普遍的现象, 而且系统、软件通常不可避免地存在安全漏洞。攻击者往往利用系统、软件的漏洞侵入信息系统破坏和窃取信息。但是从实际应用上, 系统的安全程度跟系统的安全配置及系统的应用面有很大关系, 操作系统如果没有采用相应的安全配置, 则会漏洞百出, 掌握一般攻击技术的人都可能入侵得手。如果进行安全配置, 比如填补安全漏洞, 关闭一些不常用的服务, 禁止开放一些不常用而又比较敏感的端口等, 那么入侵者要成功进入内部网是不容易的, 这需要相当高的技术水平及相当长的时间。
1.6 网络通讯风险
网络协议存在安全隐患, 网络协议也都由美国等国家开发或制定标准, 其安全机制也存在先天不足, 协议还具有许多安全漏洞, 为攻击者提供了方便, 如地址欺骗等。计算机用户在利用网络传输信息过程中, 窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取, 就可以获得整个网络输送的信息。此外, 由于发达国家利用对计算机核心技术的垄断, 我国大部分计算机无论是从中央处理器到内存, 还是从路由器到交换机, 无论是软件还是硬件, 绝大多数依赖进口, 这些都给计算机信息安全带来严重的挑战。因此, 几乎可以说, 只要是在计算机上处理的信息都存在失泄密风险和安全隐患。
1.7 “一机两用”风险
“一机两用”是指同一台计算机既联接内部网, 又联接互联网或其它网络。如果办理内部业务的计算机同时与国际互联网或其他网相连, 这就给黑客的进入和国际互联网上病毒的传播建立了通道。特别是涉密计算机发生“一机两用”就会造成泄密事件。如果某一终端用户在没有安全防范措施下“一机两用”, 就给某些不法网络高手带来攻入的机会, 造成泄密或者更为严重的网络案件。随着3G手机等先进通讯工具的普及, 由于管理教育不到位, 一些人员无意间将具有自动连接互联网功能的手机通过USB接口插入内部网计算机充电, 一不小心就会造成“一机两用”, 给内部网信息安全带来很大隐患。
2 加强内部网计算机信息安全管理的工作对策
2.1 安装防病毒软件和防火墙
在内部网上推出能适时更新的可靠杀毒软件, 供基层各台计算机下载安装, 能对病毒进行定时或实时的病毒扫描及漏洞检测, 变被动清毒为主动截杀, 既能查杀未知病毒, 又可对文件、邮件、内存、网页进行全面实时监控, 发现异常情况及时处理。防火墙是一种位于两个 (或多个) 网络之间, 通过执行访问控制策略来保护网络安全的设备, 它在内部网和外部网间建立起一个安全网关, 是内、外部网络通信的唯一途径, 能够根据制定的访问规则对流经它的信息进行监控和审查, 过滤数据包, 决定是否转发到目的地, 从而保护内部网络不受外界的非法访问和攻击。同时, 防火墙可以进行时间安全规则变化策略, 通过设置IP地址与MAC地址绑定, 防止目的IP地址欺骗。更重要的是, 防火墙不但将大量的恶意攻击直接阻挡在外面, 同时也屏蔽来自网络内部的不良行为, 让其不能把某些保密的信息散播到外部的公共网络上去。
2.2 采用先进合理的身份认证和信息加密技术
身份认证与鉴别是信息安全中的第一道防线, 身份认证可以确保用户身份的真实、合法和唯一性。用户在访问安全系统之前, 首先经过身份认证系统识别身份, 然后访问监控设备, 根据用户的身份和授权数据库, 决定用户是否能够访问某个资源。内部PKI/PMI认证访问 (数字证书) 技术等采取对数据的不可逆算法, 即使数据在传输过程中被截取, 没有私人密钥也不能解开, 确保信息数据的安全。另对日常系统登录的用户口令采取加密解密技术, 口令设置在允许范围内口令应尽可能长一些, 且要定期改口令, 在不同的系统中要使用不同的口令。
2.3 严格用户名和密码管理
用户名与密码管理是内部计算机信息安全管理的重要环节。严格用户名与密码的管理与使用, 对于保障内部网的信息和数据库安全至关重要。在实践工作中, 可实行以下举措:一是对于所有存储内部涉密信息的计算机明确提出必须设立密码保护;二是对于登录、浏览内部网的用户严格规定必须使用数字证书, 对没有数字证书的, 予以技术上的限制;三是对数字证书密码管理提出要求, 对使用原始密码和弱密码以及长期使用同一密码的同样予以技术上的限制;四是数字证书实行相对集中保管, 不得将数字证书带出办公场所, 不得转借等。
2.4 强化思想教育、加强制度落实是网络安全管理工作的基础
搞好内部网络安全管理工作, 首要的是做好人的工作。全体人员要认真学习上级先后下发的有关法规文件和安全教材, 更新通信安全保密观念, 增强网络安全保密意识, 增长网络安全保密知识, 提高网络保密素质, 改善网络安全保密环境。还可以通过举办信息安全技术培训、组织专家到基层宣讲网络信息安全保密知识、举办网上信息战知识竞赛等一系列活动。只有通过教育培训, 使大家对计算机信息安全风险有比较充分的了解, 才能减少认识上的盲区, 自觉地增强防止计算机信息失泄密的意识, 工作中严格按规范要求操作, 积极主动地规避失泄密风险, 防止失泄密问题的发生。
2.5 重视网络信息安全技术人才的培养
加强计算机信息安全管理人员的培训, 使网络管理人员熟练通过计算机网络实施正确的监管和对信息进行有效的安全管理, 保证内部网的安全运行和信息安全。加强操作人员和管理人员的安全培训, 主要是在平时训练过程中提高能力, 通过不间断的培训, 提高保密观念和责任心, 加强业务、技术的培训, 提高操作技能;对内部涉密人员更要加强人事管理, 定期组织思想教育和安全业务培训, 不断提高人员的思想素质、技术素质和职业道德。基层单位要成立专门的计算机信息安全管理队伍, 负责定期开展检查和维护, 及时发现和解决计算机应用过程中的各种问题。积极鼓励大家研究内部计算机网络攻防战的特点规律, 探索竭力阻止网络入侵, 保护内部网络系统安全的手段。
参考文献
[1]李卓玲.网络安全技术.西安电子科技大学出版社, 2004.
[2]龚俭, 陆展.计算机网络安全导论.东南大学出版社, 2000.
[3]叶丹.网络安全实用技术.清华大学出版社, 2002.
[4]刘渊.因特网防火墙技术.机械工业出版社, 1998.
网络信息安全的统计分析 篇10
关键词:网络信息 安全 统计分析
中图分类号:C812 文献标识码: A 文章编号:1006-5954(2013)06-60-04
一、网络信息的特点和重要性
网络信息是以数字化形式记录的,以多媒体形式表达的,存储在网络计算机磁介质、光介质以及各类通讯介质上,并通过计算机网络通讯方式进行信息内容传递的集合。网络信息包括因特网信息资源和没有接入因特网的信息资源。
(一) 特点
关于网络信息的特点有很多讨论,主要可以概括为信息量巨大,增长速度快,内容领域丰富,形式多样,发布成本低,共享传播速度快等。网络信息资源与书籍、报纸、广播、电视等传统媒体上的信息资源很不相同。用于规范纸质图书出版的法律很难照搬到网络信息发布的管理上。基于网络信息资源的特殊性,我们急需一套针对其特点设计的,保护网络信息安全的保障制度。
(二)重要性
1.个人工作生活
网络信息已成为我们日常工作和生活中必不可少的一部分。一旦网络信息安全出现漏洞,我们将面临隐私被曝光,著作权乃至财产被侵犯的威胁。随着网络信息技术的发展,科技、文化和社会生活领域也发生了深刻变化。网络的开放性、传播的交互性和技术的渗透性影响着人们学习、工作、生活的各个方面。
2.国家和社会发展
根据中国互联网络信息中心发布的第30次“中国互联网络发展状况统计报告”,截至2012年6月底,中国网民数量达到5.38亿。我国是拥有互联网人数最多的国家。如果网络信息安全漏洞得不到控制,中国将面临更大的威胁。反华势力可能利用网络进行不良信息的大规模传播,国人也可能利用网络进行经济诈骗、贩卖毒品、传播病毒,干扰网络正常秩序,使中国的社会稳定和长期发展受到制约。
3.国际网络信息安全
互联网使各国之间的关系更加紧密,中国的网络信息安全也影响着世界各国的信息安全以及中国和各国之间关系的进展。占世界五分之一人口的中国通过网络发布着政治、经济等不同领域的信息,一旦这些信息遭到篡改,可能引发大范围的政治动荡。此外,随着中国经济的发展,中国在国际贸易上的地位逐渐上升,中国的网络信息安全问题不仅仅会影响中国经济的发展,还可能对其他国家的经济造成难以挽回的损失。
二、我国网络安全现状
我国网络信息安全目前受到多重因素的威胁,存在着多种不同的安全问题,且没有一个有力的安全保障体系。可以说,我国网络安全现状并不乐观。
(一)威胁因素
1.不良信息
网络不良信息包括危害国家安全、社会安定,扰乱公共秩序,侵犯他人合法权益,破坏文化传统、伦理道德,有伤风化,影响青少年健康等方面的信息。网络也可能带来巨大的文化冲击。
由于网络信息的多媒体传播特性和极快的传播速度,这些信息很难被及时发现和删除,会对自我抑制能力较差的人群尤其是青少年等造成非常不利的影响,可能会诱使他们走向犯罪道路,给社会带来不安定因素。
2.计算机病毒
病毒利用网页、电子邮件等形式飞速传播,窃取、破坏用户资料,恶意篡改网页上发布的公共信息,可能造成真实信息的丢失和虚假信息的盛行,为社会生活带来不便,甚至危害公共安全。
3.网络黑客
黑客大多是计算机网络技术的爱好者,他们利用自己的技术和智慧,非法闯入某个特定的计算机网络,然后为了显示自己的能力,获得心理上的满足而破坏信息以及网页的显示。
即使黑客们最初的目的只是显示自己,没有恶意,但他们的行为也是非常危险的,他们严重侵害了网络信息安全,应该受到限制和谴责。他们侵入计算机系统截取、篡改数据,窃取有价值的信息,甚至进行大规模的系统破坏,给互联网用户造成严重的经济损失。
4.网络技术
我国的网络信息技术严重依赖于国外,信息化建设过程中缺乏自主技术支撑,也是造成我国网络信息安全问题的因素之一。中国目前的CPU芯片、操作系统和数据库、网关软件大多依赖进口。由于我国独立研发技术的缺乏,我国网络很容易遭到干扰、监视、窃听等危害,使我国的网络信息安全处于危险和容易受制于人的境地。
信息安全专家、中国科学院高能物理研究所研究员许榕生曾一针见血地指出:“我们的网络发展很快,但安全状况如何?现在有很多人投很多钱去建网络,实际上并不清楚它只有一半根基,建的是没有防范的网。有的网络顾问公司建了很多网,市场布好,但建的是裸网,没有保护,就像房产公司盖了很多楼,门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品,这些因素使我国计算机网络的安全性能大大降低,被认为是易窥视和易打击的“玻璃网”。
(二)网络信息威胁的根源
1.我国网络信息技术薄弱
我国网络信息产业缺乏对核心技术的掌握,此方面的优秀人才外流现象严重。从硬件芯片、操作系统、网络协议到很多安全产品都直接来自国外,这使得我们的网络信息安全难免受制于人。根据美国的国防政策,向中国出口的信息安全产品必须是美国能够充分破解的。例如,美国向中国出口的信息产品,加密强度非常低,一般只有40位或者56位。而40位的加密只需几分钟就可破解,56 位的加密用奔腾机花上几个小时也可以破译,并且美国的很多密码厂商都实施了所谓的密钥重获机制,即保留了一个进入密码数据的后门。这种技术上被人控制的局面可能带来灾难性的后果。1991年海湾战争中,美国成功地将带有计算机病毒的微机芯片装入伊拉克从法国购买的用于防空系统的新型打印机中,并且在空袭前以遥控手段激活了病毒,从而达到了使伊拉克防空军事指挥中心计算机失灵的目的。
nlc202309031529
我国当前面临的网络信息安全的严峻形势很大程度上源于我国没有自主知识产权的网络信息技术。技术和知识的落后必然会让我们受制于人。要打破这种不利局面,从根本上还是要进行新技术的研发,一旦获得了外国难以破解的网络信息技术,我国的网络信息安全水平就会上升到更令人满意的阶段。
2.网民安全意识欠缺
网络信息安全意识的欠缺在我国是一个非常普遍的现象,从政府到企业,从普通用户到以网络为生的程序员,人们对网络信息的安全程度有过高的评价,且忽视了一旦网络信息安全出现问题会带来的巨大损失。我国网民网络信息安全意识的缺乏主要表现为对网络安全的重要性的认识和对互联网可能遭受的潜在威胁的了解两个方面。网络在我们的工作和生活中的重要性已经被广泛接受,但网络信息安全隐患,作为几乎与网络同时代出现的副产品,其重要性却常常遭到忽视。由于对互联网可能遭受潜在威胁的了解比较欠缺,即使网民们认识到了网络信息安全的重要性也很难进行有针对性的预防。
3.法律体系不完善
我国网络信息安全相关法律的欠缺包括管理上的混乱和立法上的问题。电信的ChinaNet 由电信部门管理;Cernet由教育部立项建设并管理;中科院的网络也自成一家。由于商业和行政上的原因,各个ISP在管理上相对封闭。缺乏统一的管理和协调,使得我国的网络安全水平极端不平衡,大量资金重复投入,大量基础设施重复建设,而网络安全管理人员却只能各自为战。管理人员的混乱使得网络信息安全面临严峻挑战。
由于网络信息与传统媒体上发布的信息很不相同,需要有特殊针对性的法律对其进行保护,我国目前此领域法律的发展还很不成熟。我国对于保护计算机系统和网络安全的法规主要有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国电信条例》和《计算机信息网络国际联网安全保护管理办法》等。这些法律本身还存在跟不上网络发展的问题,且彼此之间的协调和互补还有待完善。
三、问卷调查
(一)调查目的
本调查问卷旨在了解目前中国互联网用户的网络信息安全意识和行为。包括其对网络安全问题的了解程度,日常所采取的保护自己的网络信息的行为,以及对网络信息安全的重视情况等。借助此问卷的结果,笔者将更切实地分析中国网络信息威胁的成因,并提出应对措施。
(二)问卷设计
本问卷分为5部分共14题。前两题为被调查者基本信息。第3~5题为关于网络信息安全意识的调查。第6~8题为针对网络信息安全防范知识的调查。第9~11题为维护网络信息安全行为的调查。第12~14题为对国内网络信息安全现状的认识。
为方便统计,本问卷除基本信息题外全部采用5个量度的李斯特量表。由于时间有限,笔者仅对每部分总体情况进行分析,不针对某一题目特殊讨论。
(三)发放情况
本问卷共发放两次,获得有效问卷57份。第一次为小范围内的试填,采用纸质问卷的形式,发放5份,全部回收且合格。第二次通过网络形式发放,共60人参与,剔除漏填或其他形式的无效问卷后,获得有效问卷52份。
由于时间和其他资源有限,本次问卷的发放范围仅为在校大学生。由于大学生为互联网的主要使用者群体之一,且其涉及的网络信息安全问题比较广泛,本次问卷调查的结果有一定参考价值。
(四)结果分析
1.分析方法
笔者将57份答卷以每题为单位进行数量统计,并为3~14题的每个选项赋予1~5分不等的分值,将每个部分的总分相加,并计算57份问卷的平均数,以此推测网络信息安全的意识、知识、行为以及网络安全现状的情况。
2.网络信息安全意识
被调查者安全意识题目的总分为10.26(总分为15,下同),比较令人满意。其中“我认为网络信息安全关系到我的日常生活”一项平均得分最高,达到4.33(分项分为5,下同),可见网络用户明确意识到网络信息安全的重要性,日常生活很大程度依赖于网络信息。“我认为网络信息犯罪可能就发生在我身边”一项平均得分中等,被调查者普遍认为网络信息犯罪有一定可能发生在他们身边。而“我会关注关于网络信息的犯罪新闻”一项平均得分仅有2.47。虽然被调查者已意识到网络信息安全的重要性,但对相关的新闻兴趣不大。
3.网络信息安全防范知识
被调查者关于网络信息安全防范知识掌握情况的总分仅有7.4,虽然他们的网络信息安全防范意识较高,但对其相关知识的储备很不乐观。这会导致虽然网络用户很重视网络信息的安全,却不知道如何采取正确的行为进行自我保护。其中,“我了解国内现行的网络信息安全保护法律”一项平均得分最低,仅为1.54,这可能是由于我国目前的网络信息安全保护的法律体系尚不健全所致。对法律知识的缺乏会导致网络用户在自身网络信息安全受到侵犯时不知道如何依法诉讼,使他们陷入被动的状态,难以维护自己的权益。“我知道破坏网络信息安全的常见手段”一项平均得分为1.95,同样很不乐观,由于网络用户不知道常见的破坏网络信息安全的手段,他们很难进行有针对性的预防措施。调查显示,网络用户对于不良信息的辨别能力较强,“我能识别并拒绝使用包含不良信息的网站”一项的平均分为3.91,大部分被调查者有能力抵制不良信息的侵害。
4.网络信息安全防范行为
被调查者网络信息安全防范行为的总得分为9.91,成绩一般。其中最令人满意的是“我会对重要文件进行备份”一项,大部分被调查者会对重要文件进行备份,这会降低当网络信息受到不法分子篡改或删除时造成的损失。然而,“我为不同的网络账户设置不同的、复杂的密码”一项平均分仅为1.67,可见虽然用户的网络信息安全防范意识不错,但在行为上没有采取足够的自我防范措施。“我的电脑装有安全可靠的杀毒软件”一项平均得分为3.93,大部分被调查者拥有可信的杀毒软件,这使用户对网络病毒的抵抗能力增强,有助于保护用户的网络信息安全。
nlc202309031529
5.网络信息安全现状
被调查者对目前自身的网络信息安全现状并不乐观。此部分总分为11.11。其中最大的威胁是垃圾邮件,“我经常收到垃圾邮件”一项平均得分为4.60,大部分被调查者经常收到垃圾邮件。来自病毒的威胁同样令人担忧,“我经常受到电脑病毒的影响”一项的平均分为4.18,虽然上面的题目说明大部分被调查者拥有可信的杀毒软件,但病毒问题依旧经常影响互联网用户,可见病毒问题的严峻性。“我经常在即时通讯软件上接收到诈骗信息”一题平均分为2.33,说明目前即时通讯软件的安全性较好。
四、总结
随着全球信息化的发展,人们对网络信息的依赖性越来越强,我国也不例外。在中国,网络信息的重要性主要体现在人们的日常工作生活、国家的长远发展以及国际关系的稳定三个方面。网络信息由于其信息量巨大、传播速度快等特点会引发很多在传统媒体上发布信息时不具有的问题,包括计算机病毒、网络黑客、不良信息以及被国外技术控制等。在我国,这些问题尤其严重,其主要根源是我国的网络信息技术薄弱,依赖外国进口;我国网民的安全意识欠缺以及我国网络信息安全的法律体系不够完善。
我国与网络信息安全相关的法律法规体系刚刚建立,能够对网络信息安全的保护起到一定作用,但一个成熟有序的法律体系尚未完全建立。同时可以借鉴国外的信息安全法律法规,积极参与全球互联网的信息安全工作,共同构建一个全球范围内的网络信息安全保障法律体系。
在本次问卷调查中,笔者发现,我国网络用户的网络信息安全意识并不薄弱,遗憾的是,他们对于网络信息安全防范的知识非常缺乏,且没有行之有效的保护自己的信息安全的措施。我国当前的网络信息安全情况也很不乐观。因此,我国亟需在建立一个有效的网络信息安全法律体系的同时,也要大力增强对网络安全知识的宣传,帮助网络用户保护自己的信息安全。
参考文献
[1]余镇、华强,作为一门学科的网络信息传播[J],情报资料工作,2006年第3期。
[2]项向荣,我国网民数量5.38亿连续四年全球第一[N],钱江晚报,2012年11月2日。
[3]郭小刚,网络信息安全问题分析[N],计算机与网络,2001年1月12日。
[4]秦志光、张凤荔,计算机病毒原理与防范[M],北京:人民邮电出版社,2007。
[5]郭力争、周二强,我国网络安全现状研究[J],内江科技,2009年第10期。
[6]蒋华,我国网络安全现状分析与对策[J],科技进步与对策,2001年第12期。
编辑:覃智勇 / 邮箱:qzy@bjstats.gov.cn
网络信息安全风险分析 篇11
关键词:信息网络,风险防范,体系,措施,策略
一、信息网络安全风险防范模式
风险防范措施管理人员通过利用风险防范的方法可以降低风险等级。风险防范最常见的措施有下列六种, 分别是:
1.1风险假设。风险假设就是将潜在的风险安全控制起来, 将其安全等级降低至可以接受的范围内。
1.2风险规避。在未识别出风险时, 消除其原因或者后果。而一旦识别出风险也可以通过放弃系统部分功能或者关闭系统的方式来实现规避风险。
1.3风险限制。限制风险主要靠安全控制来实现。由于系统始终存在漏洞, 因此需要安全控制来削弱由系统弱点、漏洞而产生的不利影响。
1.4风险计划。在风险出现前, 提前规划出一套风险削减方案, 对安全控制进行优先排序、实现和维护。
1.5研究和了解。通过加强对系统缺陷以及漏洞的研究, 来提前修正, 以此来削弱风险带来的影响。
1.6风险转移。通过其他方式来弥补损失, 以达到转移风险的目的, 最常见的就是购买保险。
想要完全解决所有的风险是无法实现的, 因此我们要将风险按照可能造成的影响严重程度进行划分, 以便于根据不同危险程度采取不同安全产品来进行防范。
二、风险防范策略
2.1加强物理安全防护等级。通过将内部网络间接连接到网络上就可以实现物理隔离, 这就是物理安全防范措施。通过物理安全防范可以实现保护工作站、网络服务器以及路由器等硬件免受自然灾害以及人为因素的影响。唯有将公共网与内部网物理隔离开, 才能够保证内部网络免受黑客等的入侵, 在一定程度上保证安全, 并且更有利于管理人员的控制、管理。
2.2防病毒技术。计算机病毒难以根除, 具有强大的攻击性, 可以破坏计算机中的应用程序, 甚至可以删除文件、格式化硬盘, 因此现阶段防范计算机病毒是保障信息网络安全的重点。通过多年的科学研究, 现阶段已经有三种常见的病毒防范技术, 分别是预防病毒、检测病毒和网络消毒。
2.3施行身份认证。通过确认操作者身份来保证网络安全的技术称之为身份认证技术。常见的身份认证有两种方式, 分别是主机之间的认证、主机与用户间的认证。主机与用户之间的认证可以通过设置密码、用户生理特征、智能卡等多种方式进行设置。
2.4防火墙技术。防火墙技术是现阶段使用频率最高的安全防范技术。防火墙技术的技术核心就是通过构建一个比较安全的环境来尽量保证用户的网络安全。防火墙可以根据用户的个人需求来控制网络域间的信息安全, 并且防火墙本身也具有一定的攻击能力。现阶段防火墙主要有三种, 分别是:全状态包过滤型、包过滤型以及代理服务器型。
2.5采用入侵检测技术。用户采用入侵检测技术后, 就可以及时检测到系统中的异常现象, 并及时报告, 继而达到保障网络安全的目的。
2.6漏洞扫描技术。通过对电脑进行全方位的检测, 及时更新漏洞补丁, 完成修复就可以减少黑客利用漏洞发动攻击的几率, 继而达到保护用户网络的目的。
2.7合理的管理措施。通过多方面的安全管理措施, 例如:完善计算机管理技术, 建立管理机构, 加强用户安全教育等方式来预防和控制病毒与黑客给用户带来的影响。
2.8使用信息加密技术。在网络中, 每个用户都使用了大量的应用程序以便于工作、生活, 因此为了保证个人、工作方面的隐私被泄露要采用信息加密技术来保障网络安全。
二、结论
信息网络安全是我们当前需要多方面共同协作才能达到的一个目标, 为了保障信息网络的安全, 我们不仅仅需要开发新型防控技术, 更需要的是建立一套行之有效的信息网络安全风险防范模式, 通过防范模式的建立, 同时采用多种手段来保障信息网络的安全。此外, 国家也需要建立、健全相关法律法规, 通过采取严格的惩罚措施, 来保障网络安全。
参考文献
[1]李志国.简析计算机网络安全风险防范的必要性[J].中国科技纵横, 2012, 8.
【网络信息安全风险分析】推荐阅读:
医院信息网络的风险05-12
信息网络安全07-13
网络和信息安全08-05
电力网络信息安全08-09
网络信息安全105-14
信息安全技术网络安全07-06
网络信息安全保障策略06-01
网络信息安全问题综述07-23
网络防护技术信息安全08-11
网络信息安全与防护09-05