引論:我們為您整理了13篇網絡安全風險防范范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
我國經濟的快速發展拉動了各行各業的發展,計算機網絡行業也不例外。由于網絡信息技術的飛速發展和快速普及,使得人們對計算機網絡的依賴性越來越強,計算機應用技術被應用在各個領域內。但是由于網絡環境的多樣性、復雜性和系統的脆弱性,導致了網絡安全存在著很大的威脅。因此,分析計算機網絡存在的安全風險,并據此提出保障和防范措施具有十分重要的意義。
2 計算機網絡安全的涵義
網絡安全的本質就是指網絡系統的軟件、硬件和網絡系統中的重要數據的安全,不會因為偶然的原因或者惡意的行為受到破壞、泄露和更改。凡是有關網絡信息的完整性、真實性、可用性、可控性和保密性的相關理論和技術,都是網絡安全所要研究的內容。
從網絡管理者和運營商的角度來講,就是對本地網絡信息的訪問、讀寫等操作進行控制和保護,以免出現非法存取、病毒、和網絡資源非法占用、控制等危害。從個人用戶的角度來講就,就是避免其他人或競爭對手利用冒充、篡改、竊聽、抵賴等各種不正當的行為損害自己的隱私和利益。有一些黑客很熱衷于發現整個網絡系統的漏洞,并且利用和傳播這些漏洞,給網絡服務的質量保障、數據安全以及可靠性能帶來安全隱患。所以,為了達到提高網絡安全防御等級的目的,必須要提供相應的防范措施和安全工具
3 計算機各種網絡風險分析
3.1 計算機病毒
在網絡系統中,往往存在一些計算機病毒,即人為的在計算機程序中植入用來破壞計算機各項功能,甚至用來銷毀數據,可以自我復制的一組程序代碼。它是網絡安全最大的敵人。計算機病毒有破壞性、觸發性、寄生性、傳染性、隱蔽性等顯著特點。按其破壞性特點又可以分為惡性病毒和良性病毒,計算機病毒可以破壞主板、硬盤、顯示器、光驅等。
在網絡系統中傳播計算機病毒后,會嚴重影響網絡的正常運轉,甚至會造成整個網絡系統的癱瘓。目前,計算機病毒的傳播手段一般都是通過網絡實現的,在整個網絡系統中,對一臺用戶計算機植入病毒,通過網絡迅速傳染到線路上的成千上萬的計算機用戶。所以,對計算機病毒的防范不能掉以輕心。
3.2 黑客入侵
黑客分為駭客和傳統的黑客。黑客是在沒有經過他人許可的情形下,通過自己特殊手段和技能登錄到他人的網絡服務器甚至是連接在網絡上的單個用戶的計算機,并且對其進行一些未經許可甚至是違法操作行為的人員。黑客對網絡的攻擊手段非常多,其中主要包括隱藏指令、獲取網站的控制權限、在Cookie中植入代碼、種植病毒和制造緩沖區溢出等。最為常用的手段是特洛伊木馬程序技術,在一些正常的程序中植入必要的操作代碼,該程序會在計算機啟動時喚醒,從而能夠控制用戶計算機。
3.3 系統漏洞
系統漏洞是程序員在編寫操作軟件或應用軟件時,邏輯設計上出現的缺陷或者錯誤。系統漏洞會被黑客或者不法分子利用,通過植入病毒、木馬來控制計算機或者竊取計算機中的重要信息和資料,甚至會破壞整個計算機系統,如果連接到網絡,通過網絡的傳播會嚴重危害到整個網絡系統的安全。
3.4 配置漏洞
配置漏洞又稱為物理漏洞,是指由于在網絡系統中使用大量的網絡設備,如交換機、服務器、路由器、防火墻和移動設備等,這些設備自身安全性直接關乎到整個系統和網絡的運轉。如路由器如果配置出錯,用戶就不能正常上網;服務器出錯會影響整個網絡信息的傳輸。
3.5 賬戶信息的泄漏
很多用戶缺乏關于電腦的安全意識和防范經驗,無法很好地保障自己的系統賬戶的隱私和安全。尤其在如今計算機的普及程度越來越高的大背景下,賬戶的數量也越來越多。大部分用戶由于缺乏安全意識,所以只是設置一些比較簡單和短小的口令,或者使用電腦的記憶功能將口令記住,導致了賬號密碼存在泄露或者被篡改的風險。
4 計算機網絡風險防范對策
4.1 采取物理安全措施
物理安全指的是通過物理隔離來實現網絡安全,而隔離的方法是將內部網絡間接連在Internet網絡上。主要目的是為了保護路由器、網絡服務器和工作站等硬件設備和通信,免于遭到人為、自然災害和竊聽攻擊。只有實現了內部網與公共網的物理隔離,才能保證內部的信息網絡不受黑客侵犯,保證其安全。同時,物理隔離也增強了網絡的可控性,便于管理員的內部管理。
4.2 實施病毒防范技術
在如今現代化的辦公環境里,幾乎每一個用戶都受到過計算機病毒的危害,只是程度各異。計算機病毒是一種可執行程序,不僅可以自我復制,很多病毒還具有破壞應用程序、格式化硬盤和刪除文件的能力。由于病毒在網絡環境中具有巨大的破壞力和威脅性,因此對計算機網絡環境病毒的防范成為了網絡信息安全建設的重中之重。病毒的爆發對于用戶的隱私和安全構成嚴重威脅,所以必須建立科學有效的病毒防護系統。常見的網絡病毒防范技術主要包括預防病毒、檢測病毒和網絡消毒這三種技術。
4.3 實施身份認證技術
身份認證指的是在計算機網絡應用中確認操作者身份。身份認證包括兩種:用戶和主機間的認證,主機和主機間的認證。用戶和主機之間的認證可以用如下的因素來實現:用戶所清楚的東西,比如設置的口令或者密碼;用戶所擁有的東西,比如智能卡;用戶所具有的生理特征,比如指紋和聲音。身份認證對于網絡安全的構建具有重要作用。
4.4 采用防火墻技術
防火墻技術是進行網絡安全設置的重要手段之一。其核心思想是在相對而言不太安全的網絡環境中構建出一個相對而言比較安全的子網環境。防火墻主要用于兩個網絡間訪問控制策略的執行,由于防火墻能阻止被保護的網絡和互聯網之間的信息存儲與傳遞。防火墻作為不同網絡以及網絡安全域間信息的進出口,能根據用戶所需的安全策略來控制進出網絡的信息流,并且防火墻本身也具有抗攻擊能力。現在的防火墻主要有三種類型:服務器型、包過濾型和全狀態包過濾型。
4.5 實施入侵檢測技術
入侵檢測技術是指能夠及時發現網絡系統中未經授權或者出現異常現象,并對此作出及時報告,為保證計算機網絡系統的安全而設計出的一種技術。這種技術可以檢測出網絡系統中違反安全策略的行為,可以保護自己免于受到黑客的攻擊,并且還能對網絡的內部攻擊與外部攻擊進行實時保護,在網絡系統受到破壞之前就加以攔截與入侵。
4.6 采用漏洞掃描技術
漏洞掃描指的是對電腦進行多方位的掃描,檢測出當前的網絡系統是否出現了漏洞,如果有則需要立即修復,否則電腦就會受到侵害,也給網絡黑客提供了可乘之機。因此漏洞掃描技術是保護網絡和電腦的必要安全措施,也要求用戶定時進行漏洞掃描,并對漏洞進行及時修復。
4.7 采取合理有效的管理措施
計算機的安全管理包括多個方面:建立安全的管理機構、加強和完善計算機的管理技術、加強計算機網絡的法律法規與執行力度和對用戶進行必要的安全教育。提高用戶的安全意識和道德觀念,加強計算機自身的安全管理對于防范和抵制黑客和病毒的干擾是具有重大意義的措施。
4.8 采用信息加密技術
隨著互聯網的發展和普及,QQ、MSN、E-mail等即時通訊工具和P2P工具都成了現代社會工作的必要工具。然后這些即時通信工具的使用容易造成信息的泄漏和文件的泄密,對個人和工作方面的隱私都具有威脅性。所以要采取信息加密技術,保障信息傳輸的安全。
4.9 保障數據安全和應用系統的安全
保障數據的安全主要包括三個方面:對重要數據進行備份、對重要數據進行恢復、文件刪除后進行粉碎處理,以防文件刪除后被恢復而導致泄密。而應用系統的安全則主要是指各種業務方面的應用軟件,在不同的單位之間存在很大的區別。這些系統一旦出現問題,容易導致系統的癱瘓。這樣可能會給黑客和病毒提供機會,導致信息的泄露,給工作單位帶來嚴重后果。因此確保應用系統的正常運行和信息數據的安全是安全管理的核心任務,可以通過三個措施來進行有效防范:一是登錄系統的授權控制;二是保障系統的安全運行;三是做好數據的備份。
5 結束語
計算機的安全管理是需要多方面的協調努力才能實現的一項重大工程。在計算機的網絡運行中,不僅需要運用最新的專業技術來阻止和防范各種各樣的病毒攻擊,還要建立一個高效的安全運行的管理模式。國家也可以通過立法和執法,建立相關的法律法規和嚴懲措施,來防范網絡信息安全存在的風險。信息網絡安全風險的防范并不僅僅是通過技術手段就可以完全做到的,還要通過對其具體存在的不確定危險因素精細化分析和研究,才能提出比較可行的方案措施,確保網絡安全。
參考文獻
[1] 朱亮.淺談計算機網絡安全風險及防范[J].計算機光盤軟件與應用,2012(11).
[2] 齊成才.淺談計算機網絡安全風險及防范[J].中國新技術新產品,2012(6).
[3] 張士波.網絡安全風險探析[J].中國科技縱橫,2011(14).
[4] 楊婷如.計算機網絡安全風險防范必要性淺析[J].科技信息,2011(10).
[5] 韓勁松.計算機網絡安全風險淺析[J].中國科技縱橫,2010(14).
[6] 楊濤,李樹仁,黨德鵬.計算機網絡風險防范模式研究[J].中國人口·資源與環境,2011(2).
[7] 姜偉.計算機網絡安全及風險防范措施分析[J].消費電子,2012(13).
[8] 范光遠,辛陽.防火墻審計方案的分析與設計[J].信息網絡安全,2012,(03):81-84.
篇2
2.1網絡系統存在缺陷
網絡系統最大的安全隱患,主要由網絡結構設備及網絡系統缺陷引起。一般,網絡結構多為集線型及星型等混合型,各結構節點處用到了交換機、集線器等不同的網絡設施。受自身技術限制,各網絡設備通常會給計算機網絡系統造成程度不一的安全風險。另外,網絡技術相對較為開放,且可實現資源共享,這就使網絡安全性成為其最大的攻擊弱點,加上計算機TCP/IP協議的不安全因素,導致網絡系統面臨數據截取及拒絕服務等安全風險。
2.2計算機病毒
計算機病毒,是執行性較強的程序代碼,它有著明顯的可傳染性、潛伏性及破壞性等特點。病毒能夠儲存、隱藏在計算機各類可執行程序及相關數據文件中,很難被察覺。出發后便能取得控制系統的基本權限。計算機病毒大多通過自動復制、傳送文件以及自動運行程序等方式實現傳播與觸發。計算機一旦觸發病毒,很可能影響整個系統的運行效率,嚴重時還將破壞甚至刪除系統文件,篡改并丟失數據,給系統帶來無法彌補的損失。
2.3黑客攻擊
黑客,主要指通過特殊途徑進入他人服務器,伺機非法操控、破壞他人網絡或竊取相關資料的人員。網絡信息系統存在某種缺陷,黑客往往會利用該缺陷來進入和攻擊系統。網絡攻擊手段有多種,大體表現為程序中植入木馬、網站控制權以及口令攻擊等等,特洛伊木馬程序技術,在黑客攻擊中最為常見。它在普通運行程序中植入操作代碼,并根據用戶的網絡系統來打開該程序,試圖控制他人電腦。
3計算機網絡安全防范策略
3.1及時安裝漏洞補丁程序
現階段,很多黑客與病毒利用軟件漏洞來入侵網絡用戶,如震蕩波病毒,運用Windows內LSASS存在的緩沖區漏洞來攻擊網絡用戶,攻擊波病毒通過RPC漏洞進行攻擊等。所以,為更好地處理漏洞程序引發的安全問題,我們就必須及時安裝COPS、tiger漏洞補丁程序或掃描軟件,并安裝360安全衛士及瑞星等系統防護軟件,全面掃描漏洞并加以補丁。此外,應安裝過濾型、監測型等防火墻,用以保護內部網絡互聯設備,并監控監視網絡運行,避免外部網絡用戶非法入侵和破壞網絡系統。
3.2合理運用各種常用技術
3.2.1文件加密技術
文件加密技術,即避免關鍵信息及相關數據被惡意竊取或破壞,提升信息系統及其數據保密性的防范手段。根據不同的用途,我們可將文件加密技術劃分為數據傳輸加密、數據存儲加密以及數據完整性鑒別三大類技術。(1)數據傳輸加密。通常用于加密傳輸中數據流,如有線路與端-端加密等。(2)數據存儲加密。該技術可分為密文存儲加密與存取控制加密兩類,均可減少存儲過程中的數據失密。(3)數據完整性鑒別。涉及口令、身份及密鑰等諸多方面,通過驗證數據內容、介入信息傳送及存取等,可保證數據的可靠性。
3.2.2入侵檢測技術
入侵檢測技術,將統計技術、網絡通信技術及密碼學等結合起來,可達到全面監控網絡與計算機系統之目標。作為主動性較強的防范技術,它可采集系統內及各網絡資源中的相關信息,并從中發現網絡侵入及攻擊行為,用以判斷網絡或計算機系統是否被濫用。一旦覺察到系統被惡意入侵,可提醒用戶采取相應的措施,以防范網絡風險。例如,記錄或自動報警,請求防火墻切斷網絡連接;或是判斷系統操作動作是否處于正常軌道等。
3.3認真執行安全管理制度
設計安全管理體制,這是保證計算機網絡安全的前提;與此同時,我們還必須認真培養安全管理意識強的網管隊伍,通過對用戶設置相應的資源使用權限及口令,來對用戶名與口令實行加密存儲或傳輸,并運用用戶使用記錄與分析等方式來維護系統安全。此外,應逐步強化計算機信息網絡安全的管理力度,重視安全技術建設,提升使用及管理人員的防范意識,在保證計算機網絡使用安全的基礎上,為廣大用戶謀利益。
篇3
目前,企業信息網主要有兩種安全漏洞:第一 ,用戶對移動介質的依賴和濫用,包括U盤、盜版操作系統光盤、影碟等未經殺毒就直接用在信息網內的計算機上;第二,在技術手段上,信息網自身沒有威脅檢測和過濾設備,無法發現包括電子郵件、OA系統、路由可達的網絡上存在的任何威脅。
各類威脅對信息網的入侵過程可以這樣來描述:出于工作需要和設備條件的限制,為了方便,很多用戶都使用U盤拷貝來自互聯網的形形文件,一旦U盤被病毒感染,病毒程序就會自我復制、自動傳播到讀取U盤的計算機上,其中的網絡病毒還能自動傳播到染毒計算機所在的網絡上,對于只部署了邊界防御能力的信息網,網內的威脅僅在網絡帶寬的限制下自由傳播,不僅影響網內個人計算機的運行性能,而且嚴重威脅染毒計算機的數據安全和染毒網絡的傳輸性能,甚至能夠盜取信息。
可見,企業信息網安全面臨的形勢已經十分嚴峻。
二、提高員工風險防范意識的意義
十余年來,由于發展業務、謀求生存空間的需要,一直比較注重業務系統的培訓,一直比較注重技術人才的引進和培養,一直比較注重鍛煉業績優、技能高的員工的管理能力,這些人才為企業的發展壯大做出了突出貢獻,然而信息安全如同普遍服務一般,也需要從企業的細枝末節做起。隨著業務不斷發展,業務種類日益細分、技能要求日益提高,各項工作都向“專、精”方向發展;政企分開,使企業完全暴露于市場競爭之中,為滿足市場需求,業務結構因地制宜、相時而變,各項業務的技能和知識含量不斷增加,風險防范越來越集中在企業信息安全上,缺乏信息安全防范意識勢必會影響服務的質量和信譽。
經過十余年建設的企業信息網,如今為企業發展提供著不可替代的支撐作用,而信息網的每位使用者,從網點到機關,從鄉鎮到城市,都既是這一成果的受益者,也是信息網安全的守護者,從這一點講,加強信息網安全管理是提高企業人才素質的一個重要方面。
三、加強員工的信息安全管理
加強員工的信息安全管理是實現信息網安全的根本,針對信息安全管理力量不足,網絡安全設備品種單一、數量稀少的問題,建議:
(一)各級領導干部要正確認識培養信息安全意識的長期性
信息網安全必須層層推進,各級領導干部是企業各項方針政策的決策者,掌握著企業的核心資源。只有充分認識企業信息安全的重要性,才能以身作則,為提高員工的信息安全防范意識提高支撐,才能保障信息安全落實到位。
加強信息安全必須與行業發展趨勢和業務流程相結合,明確信息安全防范的各個環節,在信息網用戶處理各項業務的同時滲透信息安全防范措施,使信息安全意識貫穿企業各項工作開展的各個環節中,在各級單位內部形成重發展、保安全的環境,建立信息安全防范機制及相應員工獎罰、監督檢查、日常培訓等方面的規章制度。各級領導必須對此項工作給予足夠的重視,杜絕弄虛作假,力求實事求是,以集團公司、省公司每月的信息網安全通報為準繩,有效督促信息安全防范工作的落實,不做表面文章。
(二)培養員工信息安全意識的舉措
堅持以人為本的管理理念,認真總結企業獨立運營十余年來,信息安全工作方面暴露的問題、發生的事件,用先進人物和事跡感人員工,用慘重的經濟代價喚醒員工,加強對新進和在職工作的員工的教育引導:
1.針對信息安全威脅的不斷變化,建立長效的培訓機制、宣傳機制。成立內部培訓師隊伍,是各省普遍采用的人力保障措施,不僅培訓普通員工,也要培訓專業技術人員。
2.針對廣大普通用戶技術能力不足的情況,建立長期有效的現場技術服務體系。信息化設備的使用已經遍及城鄉網點,信息安全的觸角卻還停留省市中心等樞紐環節,要切實推廣信息安全防范措施必須加大用戶終端的維護力度,一方面及時發現信息安全隱患,及時糾正用戶不規范的信息網使用習慣,另一方面,協助用戶解決信息安全防范遇到的障礙,保證用戶正常使用業務系統,每個月都對每一臺信息網PC提供至少一次現場技術服務,保證用戶設備的可用性,保證信息安全軟件安裝到位,保證業務和技術的共同進步。
(三)引進網絡安全設備,有效監控信息安全事件
篇4
(一)業務風險
網絡金融建立于網絡傳輸的高效、便捷的基礎之上,互聯網的金融服務因為其快捷的交易方式得到了迅速的發展。網絡去聯系交易方,有一定的虛擬性,從這個角度來看,這也加大了交易者身份的驗證難度,無法避免出現交易者身份證明的交易誤差,且信用評價不夠透明,進一步增大了網絡金融的使用風險。除此之外,還有一個重要問題是交易的信息風險,由于金融機構之間的信息不對稱、傳遞信息的滯后性以及網絡時代的信息污染,進一步對信息造成了影響。互聯網金融作用于虛擬網絡中,很多信息都是通過網上的數據進行的,比以往的傳統金融業務方式更具有便捷的方式,同時也會隨著用戶的激增,帶來大量的垃圾廣告,影響到互聯網金融企業的信息傳遞,最終帶來信息風險。
(二)管理風險
目前我國缺乏獨立自主的網絡信息安全技術,我國的互聯網金融企業所使用的配套硬件、軟件系統都是來源于發達國家,從本質上來看,我們缺乏對信息系統的了解程度和掌握程度,這就使得一些國外的不法分子很容易利用自身先進的技術侵入我國的金融系統當中。網絡安全當下是金融行業發展遇到的一個比較棘手的問題,在互聯網技術不斷引進國內的同時,我們還會受到網絡病毒的干擾,進而對網絡的使用造成一定程度的干擾。當下我過已經有了自主研發的原生態系統,但因為技術尚不成熟,存在著大量的漏洞和不穩定因素,這些都會威脅到使用的穩定性和安全性。所以,網絡金融在良好的發展勢頭下沒有成熟的技術支持,是當下其發展一個重要的問題。網絡金融建立于互聯網上,互聯網本身的安全性和用戶的操作規范有著較強的關聯性,具體的風險可能因為系統的不完善以及有關產品設計的缺漏等等,會對自身的運營造成威脅。
二、網絡金融安全的防范措施
(一)業務風險防范
任何事情在未到來前就要做好應對的準備,對于金融行業的風險防范更是如此。通常情況下,金融行業的事故之所以會發生,會造成大范圍的影響,都是因為應急措施不夠到位,在處理體系的設置上存在漏洞。所以,要想竭力避免有關的金融事故,就需要從根源降低業務處理的風險,建立健全系統處理機制,當下我國的業務風險防范主要從完善信用審核制度入手。近些年來,個人信用征信制度的投入使用使得我國的個人信用體系空白得到了彌補。在我國快速發展的金融行業,建立健全個人和企業的征信體系,更有助于促進網絡金融行業的發展。這可以進一步降低網絡金融的虛擬性問題,減少法律調節的障礙和成本。利用個人、企業的信用調查、認證、評級等服務,逐步實現征信的透明化,讓一些信用不好的企業和個人,在互聯網金融中難以立足,減少信用的使用風險。
(二)管理風險防范
隨著社會的不斷發展,金融行業的拓展規模越來越大,其管理的內容也越來越復雜。龐大的信息體系讓我們感到無所適從,從傳統的管理方式來看,一些管理方法和管理思路已經跟不上時代的發展。在大數據時代,海量的銀行交易數據,再加上產品的功能和系統是金融行業處理風險的重要掌控點,在辦理相關業務時,工作人員需要有謹慎的工作態度,避免出現工作的事物。企業方面也需要進一步提升功能和系統的穩定性、可靠性,配備上強有力的監控系統,使得整個互聯網金融可以得到正常的運行。金融軟件的開發設計上,需要工作人員進一步嚴格要求自己,企業管理者要嚴格控制工作人員的開發產品質量,從而使其更好地投入運營和使用當中。大數據時代的特征為金融工作帶來了諸多挑戰,電子數據的高度集合化,使得金融行業的傳統模式無法得到充分的發揮。由于金融工作的數量巨大,數字信息并不利于金融從業人員尋找重點,以此影響到金融從業人員的判斷。數據結構的多樣復雜性,使得數據內涵并不能再短時間內為金融工作者所理解和掌握,數據類型的多樣性,使得金融從業人員的非結構化采集能力、分析能力都有待提升。
加大互聯網的支付風險防范控制力度,因為支付作為互聯網金融防范的重要環節,所以要進一步建立健全計算機的防火技術,建立網絡安全管理制度,優化企業的內部管理和專人管理。掌握核心的技術,更好地應用于電子信息產品的開發。
三、結束語
隨著經濟全球化的進一步發展,我國金融市場也在不斷踐行對外開放的政策,在網絡時代,金融的安全問題成為我們化解金融風險的重要問題。從一定程度上來說,網絡具有較強的破壞力,比以往的呆賬、爛賬的危害更大,一旦出現了不可控的風險,則對于金融行業的打擊是具有毀滅性的。所以,網絡時代,金融行業要更加重視自身的安全防范體系構建,只有將其控制在手中,才能夠更穩健地推進有關工作。
參考文獻:
篇5
一、網絡環境下會計信息系統安全風險分析
網絡環境下會計信息系統的安全風險主要有以下幾個方面:
(一)技術方面的風險
源自技術方面的安全風險,主要是指由于受目前硬件、軟件等技術水平的限制、計算機病毒防范技術等非人為因素而使得系統安全保護能力減弱的可能性。
1、系統安全運行的風險
網絡環境下會計信息系統安全可靠運行所依靠的基礎設施主要包括硬件、軟件、網絡和通信協議等。在硬件方面,計算機和網絡設施都存在自身功能失效的可能,也會同時受到零組件性能的限制,造成數據處理失效或信息泄露等,導致會計信息系統工作混亂或會計數據毀損。同時,軟件設計中因疏忽而留下安全漏洞,不必要的功能導致軟件過大過長造成軟件的安全脆弱,軟件不按系統的安全要求模塊化設計,軟件系統內部邏輯混亂,也會使系統的安全運行受到影響。在網絡和通信協議方面,網絡所依托的Internet/Intranet體系使用的是開放式TCP/IP協議,它以IP地址作為網絡節點的唯一標識,缺乏對通信雙方真實身份的鑒別機制,而在IP層也上缺乏對路由協議的安全認證機制,對路由信息缺乏鑒別與保護,這些安全漏洞嚴重威脅著會計數據的安全。
2、計算機病毒侵害的風險
計算機病毒的破壞性和傳播性強,不僅可以破壞系統的數據文件,嚴重的還能破壞硬件的正常運作,給會計信息系統的安全性帶來了極大的隱患。計算機病毒主要從存儲介質、Intranet和Internet侵入系統,而Internet目前已經成為計算機病毒最大的來源,無論是用戶瀏覽網頁,還是收發電子郵件、下載軟件,都很容易使計算機染上病毒。病毒往往會利用計算機操作系統的弱點進行傳播,提高系統的安全性是防范病毒的一個重要方面,但過于強調提高系統的安全性而花費過多時間用于病毒檢查,又會使系統失去可用性和實用性。病毒與反病毒將作為一種技術對抗長期存在。
(二)內部控制局限性的風險
1、授權控制下降
在手工會計系統中,經濟業務中的每個環節都可以設置內部一系列相互聯系的授權批準程序進行控制,而在計算機會計信息系統中,對財務人員的授權是通過密碼設置與上機權限分配來進行的,這使得原來繁瑣的授權程序完全依賴于財會人員所設置的密碼進行保護。如果密碼泄露或被非法獲取,將給整個系統的安全帶來重大風險。
2、崗位分工和監督不規范
隨著信息技術的發展,會計核算環境發生了很大的變化,手工會計系統中許多不相容的工作內容在計算機會計信息系統中可以自動合并完成。如果不能有效地定義和實施會計崗位的分工和相互監督,操作人員可能越權操作,通過對程序和數據文件非法改動,導致會計數據失真。
(三)會計人員職業道德缺乏的風險
企業內部會計人員職業道德缺乏給會計信息系統帶來的風險,除了因態度不端正工作疏忽或業務水平不足等非惡意破壞因素導致影響企業會計信息的正確處理之外,更主要更大的風險來自于會計人員蓄意的電腦犯罪與舞弊,主要方式有竄改數據、資料泄露、資料攔截、制作假賬挪移巨款、偷竊密碼越權操作等。雖然這些都能夠從加強管理、稽核或在技術上來防治,但是由于是內部人員蓄意破壞,叫人防不勝防,一旦發生,往往給企業帶來巨大損失。
二、網絡環境下會計信息系統安全風險防范
為了保證會計信息系統安全穩定運行,企業應該制定安全防范策略,將網絡環境下會計信息系統的風險降至最低。
(一)定期檢查與更新系統軟、硬件資源
依據企業財務會計工作目標選擇合適的軟件系統,采用安全性較好的數據庫管理系統和操作系統平臺,充分利用系統本身提供的安全措施對數據加以保護。及時下載軟件補丁并進行更新,監測軟件運行效果,出現問題及時反饋給軟件供應商或軟件開發部門,以便不斷完善軟件功能,提高軟件安全等級。
(二)采用網絡安全技術強化系統安全
1、建立完善的病毒防護體系
據統計,有80%的網絡病毒是通過系統安全漏洞進行傳播的,企業應該使用正版軟件,并經常升級安全補丁,以防范未然。操作系統的一些輔助服務,如FTP客戶端、Telnet和Web服務器等為攻擊者提供了方便,關閉或刪除系統中不需要的輔助服務,可以減少被攻擊的可能性。安裝防火墻軟件,將安全級別設為較高級別,這樣才能有效地防止網絡上的黑客攻擊,保障計算機系統的安全。
2、安全認證與數據加密
網絡交易能為企業帶來新的商機,但同時也增加了某些敏感或有價值的數據被濫用的風險。為了保證網絡中電子交易及支付的安全性和保密性,防范交易及支付過程中的欺詐行為,可以采用數字證書提供有關身份的權威性驗證。數據加密是目前計算機系統對信息進行保護的一種最可靠的辦法。它利用密碼技術對信息進行交換,實現信息隱蔽,從而保護信息的安全。
(三)完善系統內部控制
1、完善內部控制與管理制度
完善會計人員職能控制、崗位責任制度等內部控制與管理制度,明確分工規定每個崗位的職責與權限,對系統操作人員、維護人員、管理人員等不相容職務做到嚴格分離,互不兼任。對會計信息系統的操作權限進行明細化管理,對各種數據的讀取、修改等權限進行嚴格限制,根據不同崗位的用戶賦予相應的操作權限,拒絕非授權用戶的訪問。同時加強財務工作人員工作規范的教育,建立良好的安全習慣,使用復雜的密碼,要求保管好自己的密碼并經常修改密碼,防止他人盜用身份進入系統。
2、加強內部審計
引進定期的審核制度,不僅審核日常的會計數據和各類財會人員的職責履行情況,還應對內部控制體系進行系統的檢查。在網絡環境下,會計數據的處理分散于企業各部門,系統隨時面臨著來自于企業內、外部的安全威脅。企業要專門設置由內部審計人員、風險分析評估人員、系統維護人員組成的內部審計小組,運用軟件技術實時監控系統運行情況,隨時分析系統運行日志文件和各種安全檢測記錄,及時發現系統的安全漏洞,并采取相應的對策。
(四)加強財務人員的職業道德教育和培訓
加強財務人員職業道德教育,增強其使命感,教育會計人員嚴格遵守和執行國家制定的財會法規,按財務制度認真進行核算和管理。加強后續教育,促使會計人員不斷汲取新知識和提高自身素養,充分認識到會計人員職業道德的重要性,自覺抵制不正之風,忠實履行財務監督職能。
篇6
(二)自然或人為災害 災害包括火、水、地震、雷擊等。機房火災能使計算機、通信設備、軟件、數據徹底摧毀,造成不可估量的擬失。如果受到水浸,電纜和電器電子設備會因絕緣性能下降而燒毀。雷擊產生的強電流,是燒毀電子設備或器件的常見原因。
(三)企業內部其他部門 隨著企業信息化水平的提升,會計信息系統日益與企業管理信息系統的其他子系統緊密集成。除了會計人員,其他部門人員也可以通過內聯網Intranet接觸或進入會計信息系統,這為其他內部人員濫用、越權訪問提供了可能。
(四)異地分支機構 首先,總部和異地分支機構通過互聯網處理、傳遞、分發財務信息,信息容易遭受攻擊。其次,相比主機終端計算模式,C/S、B/S模式下服務器和客戶端數據一致性很難保證,需要更嚴格的數據核對、平衡檢查和沖正機制。此外,由于異地訪問入口的開放,若訪問控制失當,就容易發生遠程濫用和越權訪問,如數據非法下載、調閱,輸出。也有可能發生公網計算機假冒分支機構的客戶機,對企業的會計信息和中心數據庫的安全構成直接威脅。
(五)供應鏈上合作企業 來自供應鏈上下游企業的威脅包括套取企業產品報價,虛假的定單或交易請求;合作企業信息系統中的錯誤和安全事件通過網絡波及擴延;合作企業非法侵入企業內聯網,以剽竊財務數據和知識產權、破壞交易或系統正常運作。
(六)社會管理部門 網絡對會計最直接的影響體現在財務報告由紙面向網絡形式的迅速轉移,越來越多的企業通過政府指定網站或者自己的門戶站點,強制或自愿披露會計信息,以更好地滿足社會各方對企業會計信息的需求。會計信息系統和社會部門直接連通,引入了新的安全風險。
(七)外部公網的惡意攻擊 互聯網上的黑客攻擊愈演愈烈,已成為影響企業管理信息系統安全的主要因素之一。Internet上關于黑客技術、工具的網站數以千計,即使是非計算機專業人員,掌握黑客軟件、攻擊工具的使用方法也并非難事,這客觀上助長了黑客攻擊行為的泛濫。黑客攻擊往往針對系統的技術或管理漏洞發起,通過掃描、入侵、病毒或木馬、欺騙、服務中斷、竊聽、篡改、假冒、惡意抵賴等方式攻擊系統實體安全和信息安全。
網絡會計信息系統安全包含兩個部分,――是系統實體安全,即保護軟、硬件安全,保障系統各部件機能正常,保證系統正常運行。二是系統中信息和數據的安全,包括靜態存儲和動態傳輸的安全。因此,應采取以下技術措施強化系統的安全防護能力,提高網絡會計信息系統的安全性,
(一)容災技術 容災指計算機網絡系統在遭遇自然災害、戰爭、電力中斷、設備故障等不可抗拒的災難和意外時,仍能保證系統數據的完整性、可用性,系統能從災害的破壞中迅速恢復正常運行,從而保證企業關鍵業務的連續性。容災包括數據容災和應用容災兩個層級。前者通過設計并實施充分的數據備份方案來保證,如本地或異地保存的磁帶、磁盤、光盤冷備份,異地熱備份數據中心,活動互援備份。后者在數據容災的基礎上,異地建立一套完整的與本地生產系統相當的備份系統。當災難破壞主生產系統時,遠程備份系統迅速接管業務,提供不間斷的應用服務。容災系統的關鍵在于數據同步復制技術。
(二)容錯系統 容錯系統包含額外的硬件、軟件、電源部件或錯誤處理模塊作為系統的后援,防止因各種故障、錯誤導致系統運行中斷。如在系統里增設內存、CPU、磁盤存儲設備的冗余,通過特別設計的自檢查、診斷功能模塊,在系統硬件發生故障時,自動切換至備份硬件。常用的技術手段有磁盤鏡像、RAID、雙機熱備份、額外的通信設備和線路。
(三)網絡攻擊和惡意代碼防護 防止黑客攻擊首先要及時下載和安裝系統補丁,堵住操作系統、數據庫管理系統、網絡服務軟件的漏洞。其次要熟悉黑客攻擊的原理和一般過程,采取相應的防范措施,保護網絡安全。如關閉不需要的端口,關閉
FTP匿名訪問、WEB服務器的文件夾瀏覽;在路由器前組織TCP攔截對付拒絕服務攻擊,嚴格程序數組邊界檢查防止緩沖區溢出攻擊,拋棄以IP地址為基礎的信任策略,不允許使用R類遠程調用命令,以防范IP欺騙。惡意代碼是一種具有破壞力的程序,它通常附著在另一段正常程序之上,隨同寄生程序一同被運行,通過盜竊、修改、刪除被染計算機的數據而威脅系統的安全。防范惡意代碼首先須修補系統漏洞,及時升級和打補丁。其次是安裝性能優良的殺毒和防黑軟件,定期升級病毒庫,定期整機掃描殺毒,此外,加強對網絡使用的控制以減少感染病毒的機會,如禁止訪問有安全風險的站點,不下載安裝未經認證的程序,不打開不明郵件的附件等。
(四)訪問控制 訪問控制通常有三層,一是入網訪問控制,對任一試圖進入系統的用戶進行基于賬號+口令的身份驗證,控制其是否有權接人,這是系統安全防護的第――道防線。保持該項控制有效的關鍵在于合理設置、保護用戶口令。密碼長度應大于6字符,字母、數字和其他字符混合使用,避免使用英文單詞、用戶個人信息(如姓名、生日、電活、身份證號碼等),強制定期更改密碼。啟用賬戶鎖定防止非法猜測口令,控制用戶訪問時間、站點、次數。特別地,要限制對口令文件的讀取訪問。二是權限訪問控制,為每一用戶分配合理、適當的訪問權限,明確界定用戶對包括目錄、文件和設備在內的系統資源擁有的權限,如讀、寫、建立、刪除、更改等。三是屬性訪問控制,面向系統資源設置屈性,進…步控制用戶對文件或設備等資源的訪問,使所有用戶皆不得超越屬性所指定的權限范圍操作資源。
(五)防火墻 防火墻是架構在本地網絡與外界網絡之間的通信控制設施,對雙向的訪問數據流實施逐一檢查,允許符合企業安全政策的訪問,攔截可能危害企業網絡安全的訪問,從而對企業內部網上敏感數據資源或服務加以保護。它能隔離外網安個風險,防止其向內蔓延,也能對內外網間的訪問、通信進行安個審計。實施防火墻可有效提升企業內部網絡的安全,應用時需對企業內網的主機、服務、資源進行詳盡的敏感度和保護必要性分析,正確劃分資源保護和開放的邊界,據此定義訪問控制表。
(六)密碼技術在財務信息發送網絡之前,使用密碼技術進行加密處理,將明文切換為雜亂無章的密文,接收方須經解密后才能閱讀到原始信息內容。加密和解密都在密鑰(――組秘密信息)的控制下方能正確完成。雖然網絡黑客或其他惡意攻擊者可以通過竊聽截獲數據報文,但由于沒有解密所需的密鑰,無法恢復明文而不能讀懂亂碼背后的真實信息。
(七)CA和數字證書驗證遠程通信方人員、主機的真實性,是網絡會計信息系統接受網上交易的一個先決條件、在網絡環境下,CA認證中心及數字證書為解決身份真實性問題提供了有效的技術機制。數字證書分為企業、個人、服務器、支付網關等類型,其上列示持有人的基本信息、CA統一分配的公信息。CA以數字證書為載體,授予用戶可合法使用的公、私鑰組,構筑起網絡交易安全的基礎。
篇7
Abstract:With the high-speed development of information science and technology, the network, offering the facility to people more and more, and also help the company to save a large number of manpower and material resources. But the trade company is undertaking the enormous risk while using the network to exchange with external world too. This text has introduced the reason of existing risk and countermeasure with the risk in enterprise's network. Have offered certain suggestion in online security for the trade company.
Keyword: Enterprise's network
Security of network
Network system
Technological means
前言:
隨著信息技術的高速發展,互聯網越來越被人們所重視,從農業到工業再到高科技產業各行各業都在使用互聯網參與行業生存與競爭。企業對網絡的依存度越來越高,網絡在企業中所處的位置也越來越重要,系統中存儲著維系企業生存與競爭的重要資產-------企業信息資源。但是,諸多因素威脅著計算機系統的正常運轉。如,自然災害、人員的誤操作等,不僅會造成系統信息丟失甚至完全癱瘓,而且會給企業造成無法估量的損失。因此,企業必須有一套完整的安全管理措施,以確保整個計算機網絡系統正常、高效、安全地運行。本文就影響醫院計算機網絡安全的因素、存在的安全隱患及其應對策略三個方面進行了做了論述。
一、醫院網絡安全存在的風險及其原因
1.自然因素:
1.1病毒攻擊
因為醫院網絡同樣也是連接在互聯網上的一個網絡,所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的,而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器,造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬,阻塞正常流量,形成拒絕服務攻擊。我們清醒地知道,完全避免所有終端上的病毒是不可能的,但要盡量減少病毒爆發造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽,使得醫院網絡被病毒攻擊的頻率越來越高,所以病毒的攻擊應該引起我們的關注。
1.2軟件漏洞
任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:
1.2.1、協議漏洞。例如,IMAP和POP3協議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄,從而獲得超級用戶的特權。
1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下,就接受任何長度的數據輸入,把溢出部分放在堆棧內,系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令,來造成系統不穩定狀態。
1.2.3、口令攻擊。例如,U nix系統軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統,都是容易被攻擊的。
2、人為因素:
2.1操作失誤
操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見,隨著網絡管理制度的建立和對使用人員的培訓,此種情況逐漸減少.對網絡安全己不構成主要威脅。
2.2惡意攻擊
這是醫院計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅,每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范,因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。
二、構建安全的網絡體系結構
1.設計網絡安全體系的原則
1.1、體系的安全性:設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性,必須保證體系的完備性和可擴展性。
1.2、系統的高效性:構建網絡安全體系的目的是能保證系統的正常運行,如果安全影響了系統的運行,那么就需要進行權衡了,必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件,它們也會占用網絡系統的一些資源。因此,在設計網絡安全體系時必須考慮系統資源的開銷,要求安全防護系統本身不能妨礙網絡系統的正常運轉。
1.3、體系的可行性:設計網絡安全體系不能純粹地從理論角度考慮,再完美的方案,如果不考慮實際因素,也只能是一些廢紙。設計網絡安全體系的目的是指導實施,如果實施的難度太大以至于無法實施,那么網絡安全體系本身也就沒有了實際價值。
1.4、體系的可承擔性:網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業來支持,要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多,那么我們就不該采用這個方案。所以,在設計網絡安全體系時,必須考慮企業的業務特點和實際承受能力,沒有必要按電信級、銀行級標準來設計這四個原則,可以簡單的歸納為:安全第一、保障性能、投入合理、考慮發展。
2、網絡安全體系的建立
網絡安全體系的定義:網絡安全管理體系是一個在網絡系統內結合安全
技術與安全管理,以實現系統多層次安全保證的應用體系。
網絡系統完整的安全體系
系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠,確保應用系統正常運行。主要包括以下幾個方面:
(1)防止非法用戶破壞系統設備,干擾系統的正常運行。
(2)防止內部用戶通過物理手段接近或竊取系統設備,非法取得其中的數據。
(3 )為系統關鍵設備的運行提供安全、適宜的物理空間,確保系統能夠長期、穩定和高效的運行。例如:中心機房配置溫控、除塵設備等。
網絡安全性主要包括以下幾個方面:
(1)限制非法用戶通過網絡遠程訪問和破壞系統數據,竊取傳輸線路中的數據。
(2)確保對網絡設備的安全配置。對網絡來說,首先要確保網絡設備的安全配置,保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。
(3)網絡通訊線路安全可靠,抗干擾。屏蔽性能好,防止電磁泄露,減
少信號衰減。
(4)防止那些為網絡通訊提供頻繁服務的設備泄露電磁信號,可以在該設備上增加信號干擾器,對泄露的電磁信號進行干擾,以防他人順利接收到泄露的電磁信號。
應用安全性主要是指利用通訊基礎設施、應用系統和先進的應用安全控制技術,對應用系統中的數據進行安全保護,確保能夠在數據庫級、文檔/記錄級、段落級和字段級限制非法用戶的訪問。
另外,對存放重要數據的計算機(服務器、用戶機)應使用安全等級較高的操作系統,利用操作系統的安全特性。
三、網絡安全的技術實現
1、防火墻技術
在外部網絡同內部網絡之間應設置防火墻設備。通過防火墻過濾進出網絡的數據,對進出網絡的訪問行為進行控制和阻斷,封鎖某些禁止的業務,記錄通過防火墻的信息內容和活動。對網絡攻擊進行監測和告警。防火墻可分為包過濾型、檢測型、型等,應根據不同的需要安裝不同的防火墻。
2、劃分并隔離不同安全域
根據不同的安全需求、威脅,劃分不同的安全域。采用訪問控制、權限控制的機制,控制不同的訪問者對網絡和設備的訪問,防止內部訪問者對無權訪問區域的訪問和誤操作。
我們可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。在關鍵服務器區域內部,也同樣需要按照安全級別的不同進行進一步安全隔離。
劃分并隔離不同安全域要結合網絡系統的安防與監控需要,與實際應用環境、工作業務流程和機構組織形式密切結合起來。
3、防范病毒和外部入侵
防病毒產品要定期更新升級,定期掃描。在不影響業務的前提下,關閉系統本身的弱點及漏洞并及時打上最新的安全補丁。防毒除了通常的工作站防毒外,email防毒和網關式防毒己經越來越成為消除病毒源的關鍵。還應使用掃描器軟件主動掃描,進行安全性檢查,找到漏洞并及時修補,以防黑客攻擊。
醫院網管可以在CISCO路由設備中,利用CISCO IOS操作系統的安全保護,設置用戶口令及ENABLE 口令,解決網絡層的安全問題,可以利用UNIX系統的安全機制,保證用戶身份、用戶授權和基于授權的系統的安全,:對各服務器操作系統和數據庫設立訪問權限,同時利用UNIX的安全文件,例如/etc/hosts. equiv文件等,限制遠程登錄主機,以防非法
用戶使用TELNET、FTP等遠程登錄工具,進行非法入侵。
4、備份和恢復技術
備份是保證系統安全最基本、最常用的手段。采取數據的備份和恢復措施,有些重要數據還需要采取異地備份措施,防止災難性事故的發生。
5、加密和認證技術
加密可保證信息傳輸的保密性、完整性、抗抵賴等,是一個非常傳統,但又非常有效的技術。加密技術主要用于網絡安全傳輸、公文安全傳輸、桌面安全防護、可視化數字簽名等方面。
6、實時監測
采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡實時監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征。
7、 PKI技術
公開密鑰基礎設施(PKI )是通過使用公開密鑰技術和數字證書來確保系統網絡安全并負責驗證數字證書持有者身份的一種體系。PKI 可以提供的服務包括:認證服務,保密(加密),完整,安全通信,安全時間戳,小可否認服務(抗抵賴服務),特權管理,密鑰管理等。
四、結束語:
網絡的安全與醫院利益息息相關,一個安全的網絡系統的保護不僅和系統管理員的系統安全知識有關,而且和領導的決策、工作環境中每個員工的安全操作等都有關系。網絡安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增,醫院網絡管理人員要掌握最先進的技術,把握住醫院網絡安全的大門。
五、參考文獻
[1] 李國棟,劉克勤。Internet常用的網絡安全技術。現代電力。2001. 11. 21
篇8
網上銀行(Internet Bank),是隨著互聯網的高速發展開始出現的銀行服務的新渠道,由商業銀行等金融機構通過互聯網向其客戶提供金融信息和金融交易等各種服務。網上銀行突破了傳統銀行的局限性,打破了傳統銀行業的經營模式和經營理念。網上銀行是指通過互聯網或其他共用信息網將客戶的電腦終端連接到銀行,將銀行的服務直接送到客戶家中或辦公室的服務系統,又稱網絡銀行和在線銀行。通過網絡,網上銀行能夠向客戶提供開戶、銷戶、查詢、對賬以及跨行轉賬、網上證券以及投資理財等服務項目,使客戶不受限于銀行地理環境、上班時間的限制,從而突破空間距離和物體媒介的限制。由于客戶在管理活期和定期存款以及信用卡和個人投資等業務時,足不出戶,這樣就大大方便了客戶與銀行之間的聯系。因此說,在網絡上,網上銀行是虛擬的銀行柜臺。網上銀行給人們的生活帶來了極大的便利與快捷,但是我們還沒有來得及去感受,就被不斷出現的黑客和“網銀大盜”將一切美好的愿望打碎。尤其近期頻繁發生的網銀錢財被盜的事件,更為網銀用戶的心頭蒙上了一層陰影。
2 網上銀行目前存在的風險
隨著網上銀行業務的發展,網絡銀行服務器暴露在互聯網上,因而它不可避免地會面臨來自互聯網上的各種安全風險,主要有以下幾種:
2.1 系統漏洞帶來的安全風險 系統漏洞往往會帶來不可預計以及不可控制的安全后果,如在2009年5月由于暴風影音軟件的一個微小漏洞導致多省發生大面積斷網事件。目前,多數在Unix操作系統上架設網銀系統,采用WebSphere等中間件和DB2等數據庫,也有一部分網銀采用了Windows系統。網銀業務賴以運轉的基礎軟件都會不可避免的且不時的出現一些系統漏洞,如果被互聯網的攻擊者利用,就會造成網銀賬號失竊或數據篡改。如果黑客利用OS系統漏洞入侵網銀系統,就會盜取客戶的身份證號碼、銀行賬號以及密碼等敏感信息,從而非法轉移網銀用戶的資金。
2.2 Web安全問題帶來的風險 由于網銀業務通常采用B/S架構,因此,網銀的引用安全與Web安全密切相關。根據知名Web安全與數據庫安全研究組織OWASP提供的報告顯示,SQL注入攻擊和跨站腳本攻擊是威脅Web業務最嚴重的兩種方式。SQL注入攻擊的原理是:程序員在編寫代碼的時候沒有對用戶輸入的數據進行合法性判斷,從而導致入侵者通過惡意的SQL命令執行,從而讀取數據以及修改權限。
2.3 數據庫安全問題帶來的風險 數據庫作為網銀系統的核心,前兩種安全風險最終也會危害數據庫的安全。但是針對網銀系統,濫用數據庫權限也會帶來安全問題,如違規越權操作以及惡意入侵等導致數據庫敏感信息失竊,并且事后無法有效追溯和審計。
2.4 DDoS攻擊帶來的安全風險 攻擊合法或非法利用互聯網上的大量其他機器是DDOS的本質,其對攻擊目標發起多對一的攻擊,并且隨著攻防對抗的發展,當前基于應用層的DDOS攻擊方式逐漸成為了DDOS的主流。DDOS攻擊的危害體現在網銀上,即攻擊報文占用網銀系統的服務器資源或寬帶資源,從而導致網銀業務無法正常運行。另外,利用超級網銀的“授權支付”欺詐是2013年年初截獲的新型高危騙術。騙子通過釣魚鏈接、交易失敗提示、客服聊天等組合,誘騙受害者進行“網銀授權支付”,授權騙子用另一個網銀賬戶對自己賬戶進行資金操作,短短幾分鐘內就能將受害者賬戶中的資金大量轉出,受害者損失高達數千甚至數萬元。
3 銀行信息系統安全分析及管理建議
客戶隱私、用戶權益、信息內容安全以及客戶可信接入銀行網等問題是目前銀行用戶關注的信息化安全問題,如:
全面整合銀行信息化安全建設,在此基礎上建立銀行信息安全保障、應急以及監管系統。銀行系統在考慮建設信息安全保障體系的同時,應當圍繞標準控制與管理中心的建設,以及數據與內容安全、邊界安全、信息基礎設施安全以及數字證書、業務行為監管和服務等方面進行安全建設。
以安全觀點再度審核銀行應用數據大集中的安全建設問題。同時對銀行的重點ISP、ICP的安全也應加以足夠的重視。
建立功能強大的網絡管理與標準化監管中心,這個中心要對數據管理、系統管理、網絡管理、安全管理、密鑰管理、內部人員行為監控、(agent)管理、網絡遠程服務監控和標準化執行實施統一監管。
銀行使用衛星通信的重要系統盡快實施多星、多轉發器備份、天地備份項目,為銀行系統通訊提供穩定可靠的環境。
同時銀行信息系統安全性總的原則應該是:制度防內,技術防外。所謂“制度防內”,是要建立嚴密的計算機管理規章制度、運行規程,形成內部各層人員、各職能部門、各應用系統的相互制約關系,杜絕內部作案的可能性,并建立良好的故障處理反應機制,保障銀行信息系統的安全正常運行。“技術防外”主要是指從技術手段上加強安全措施,防止外部黑客的入侵。我們在不影響銀行正常業務與應用的基礎上建立銀行的安全防護體系,從而滿足銀行網絡系統環境要求。經過對銀行系統的安全風險和安全需求分析,我們提出通過部署防火墻子系統、VPN子系統、入侵檢測子系統、服務器核心防護子系統、防病毒子系統、日志審計子系統、內網監控子系統、安全管理等子系統,并通過統一的平臺進行集中管理。
4 網銀安全風險防范措施
如何防范網銀安全風險,確保用戶資金安全無憂呢?有專家認為只有銀行、用戶攜手并進,各自采取各種防御的軟硬措施,網上銀行的黑手才能無處行竊,達到真正意義的“雙贏”局面,網上銀行的明天才會更美好:
4.1 銀行方面 ①及時升級自身信息系統。網上銀行交易系統的穩定與安全,是交易得以順利進行的基礎與保障,如果說銀行只有在出現問題以后才去彌補自身的不足,必將會被用戶所淘汰。所以,面對目前層出不窮的攻擊形式與無所不在的安全危機,只有積極、主動的不斷升級自身系統,才可以真正做到防患于未然。②加快發展網絡加密技術。銀行應盡快學習和借鑒美國等發達國家的先進技術和經驗,加快網絡加密技術的創新、開發和應用,包括亂碼加密處理、系統自動簽退技術、網絡使用記錄檢查評定技術、人體特征識別技術等。③加強公眾網上銀行安全教育。首先銀行可通過各種宣傳渠道向公眾明示本行正確的網上銀行官方網址和服務號碼;其次,在本行網站首頁顯著位置開設網上銀行安全教育專題;第三,在客戶申辦網銀時查實是本人,并做好風險提示,最好是印制并向客戶配發語言通俗,形象直觀的網上銀行安全宣傳折頁或手冊,讓客戶了然于心;第四,在網上銀行使用過程中應在電腦屏幕上向用戶醒目提示相關的安全注意事項等。
4.2 客戶方面 ①保護好網上銀行的信息。拿到銀行給的初始密碼,第一件事就應該是改掉這個密碼,并且定期修改電子銀行的登錄密碼和U盾密碼;在任何情況下,絕對不要將網銀用戶名、密碼和動態口令等網銀資料透露給他人。②做好交易記錄。對于網上銀行辦理的轉賬和支付等業務,客戶應當做好記錄并且定期查看“歷史交易明細”,定期將網銀業務的對賬單打印出來,如果發現賬務錯誤或交易異常,立即與銀行聯系以避免損失。③謹防釣魚網站。我們應當將正確的銀行網址收藏起來,盡量不要通過“超鏈接”進入銀行系統且進行操作。此外,為了防止一些不法分子惡意模擬銀行網站來騙取賬戶信息,客戶應當留意登錄的網址與法定的網址是否相符。④不要把所有銀行卡都綁定網銀。建議客戶只綁定一張或兩張儲蓄卡,且不要在卡里留太多的金額,這樣從根本上大大降低了風險存在的可能性。⑤健全軟件。為了防止黑客竊取個人賬戶信息,建議客戶在個人電腦上安裝防火墻程序并經常升級。此外,及時更新下載Windows操作系統的補丁程序以防止他人利用軟件漏洞進入計算機竊取資料。
參考文獻:
[1]張健.網上銀行安全防范工具可行性探析[J].武漢船舶職業技術學院學報,2008(04).
[2]陳朝暉.我國網上銀行發展之法律問題[J].石家莊經濟學院學報,2007(01).
篇9
各類黑客的侵犯和破壞。存儲和工作在銀行計算機網絡系統中的信息、數據代表著資金的運動,還從反映出企業、國家的經濟運行情況。在如今經濟競爭激烈的情況下,銀行網絡系統非常容易遭到各類黑客攻擊。他們通過各種手段,對金融安全造成不同形式的破壞、利用。有的是竊取銀行信息,從事經濟方面的違法活動;有的是惡意對計算機系統的功能進行修改惡意破壞,還有的是詐騙和盜用資金;我國的金融電子商務工作屢屢遭受寒流,很大原因就是黑客的攻擊,如2000年金融CA認證中心試發證書的消息公布不到1小時,認證中心就遭到黑客的攻擊。現今網上黑客的攻擊活動正以每年10倍的速度增長,其可利用網上的任何漏洞和缺陷非法進入主機進行各種危害活動等。這方面的防范就顯得極為迫切和重要。
各類名目繁多的計算機病毒的威脅。計算機網絡病毒通過網絡進行擴散與傳染,傳播速度是單機的幾十倍,導致計算機系統癱瘓,程序和數據嚴重破壞則整臺機器、破壞力極大。在傳統金融中,安全風險可能只帶來局部損失,但在網絡金融中,安全風險會導致整個網絡的癱瘓,是一種系統性風險。
2、網絡金融業務風險
(1)網絡金融信用風險。在網絡金融服務中,網絡金融業務和服務機構都具有非常明顯的虛擬特點。網絡金融服務方式的虛擬性可以使交易、支付的雙方在不見面的情況下,就可通過網絡銀行發生交易,這對交易雙方的身份、真實性驗證有了很大的難度,這就增大了網絡信用風險,這些不僅包括技術層面的因素,還包含有制度層面的因素。這也是許多企業對此左右徘徊的問題。
(2)網絡支付和結算風險。因為網絡金融服務方式的虛擬性,金融機構的經營活動可在任何時間、任何地點,以任何方式向客戶提供服務。網絡金融的用戶可通過各自電腦就能可與在各地金融機構辦理各種金融業務。這樣一來一旦某個地區金融網絡發生故障,就會影響全國乃至全球金融網絡的正常運行和支付結算,造極大的經濟損失。20世紀80年代美國財政證券交易系統就出現了只能買入、不能賣出的情況,一夜就形成200多億美元的債務。我國也曾發生類似情況。
3、網絡金融制度風險
這些是由內部人員利用網絡實施金融犯罪導致,據資料顯示,在破獲的采用計算機技術進行金融犯罪的人員中,銀行內部人員達到近百分之八十。銀行內部人員可以方便地利用所授的權利,輕而易舉地對網絡中的數據進行修改、刪除等,轉移一些帳戶的資金。還有的是銀行內部人員在自己的授權范圍外,通過銀行的隱秘通道出入系統,不僅造成極壞的影響,而且還會成為黑客入侵系統的突破口危及整個系統的安全性和數據的安全性。
二.銀行計算機網絡系統的安全防范工作
從網絡金融是基于網絡信息技術,這些讓網絡金融在延續、融合傳統金融風險的同時,同時也更新、擴充了傳統金融風險的內涵和外延。這最先表現在網絡金融的技術支持系統的安全風險是網絡金融最為基礎性的風險,它不僅關系到網絡運行的安全問題,還關乎其它金融業務風險;其次,網絡金融還有有以往金融所沒有的特殊風險形式,如技術選擇風險;因此在現今網絡金融風險越來越嚴峻的情況下,網絡金融風險的安全監管防范和控制就需要新的創新方式,防患于未然,進行技防與制度相結合的金融防范方案。
1、計算機網絡系統技術防范
(1)加大力度發展先進的、具有自主知識產權的信息技術
當前我國在金融電子化系統操作與業務中使用的計算機軟、硬件系統大都由國外引進而來,而且電子信息技術相對落后,這就增大了我國網絡金融發展的安全風險和技術選擇風險。因此,應大力發展我國自身先進的信息技術,提高計算機系統的關鍵技術水平,提高關鍵設備的安全防御能力。如我國目前的加密技術、密鑰管理技術及數字簽名技術都落后于網絡金融發展的要求,在這方面更應加大力度,開發擁有自主知識產權的信息技術,這是防范和減少金融安全風險和技術選擇風險,提高網絡安全性能的根本性措施。
(2)、構造全面的計算機系統防御機制
一個金融網絡系統的安全,基本上要能保證其系統數據的保密性、完整性、可使用性及可審計性等。要達到以上要求,就應采用一些實質有效的防御機制:保證處于聯機狀態中的數據文件系統以及網絡中傳輸的保密信息不會非法地或被動地提供給非授權人員,系統資源能鑒別訪問用戶身份,保證授權用戶對系統資源的訪問和使用。其具體防御機制是:除了對計算機關鍵數據進高級別加密外,還要建立與之相配套的訪問控制體系,在系統安全域之間用安全保密設備(加密機、防火墻、保密網關等),通過存取矩陣來限制用戶使用方式,如只讀、只寫、可讀寫、可修改、可完全控制等。其次,構建全面的銀行計算機系統防御機制,就要保障銀行計算機系統信息的安全性、精確性、有效性,避免存儲在數據庫中以及在網絡中傳輸的數據遭受任何形式的插入、刪除、修改或重發,能保證合法用戶讀取、接收或使用的數據的真實性。其防御機制首先要安裝“防火墻”和計算機病毒防治措施,其次要建立良好的備份和恢復機制,形成多層防線。對主要硬軟件設備、數據、電源等都要有備份,而且能在短時間內恢復系統運行的能力,不會因系統的某些故障或誤操作而使資源丟失。
(3).采用先進的技術和產品要構造上述的防御機制,保證計算機網絡系統的安全性,
采用防御機制,具體實施少不了采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。
加密型網絡安全技術
它利用數據加密技術來保護網絡系統中的所有數據流,只有在指定的用戶或網絡設備前提下才能夠解開加密數據,在無要求環境的前提下從根本上保證網絡信息的完整性和可用性。此種需數據和用戶確認為基礎的安全保障技術是非常實用的,可成為網絡安全問題的最終的一體化解決途徑。
“防火墻”技術
“防火墻”是是電腦網絡之間的一種特殊裝置,主要用來接收數據,確認其來源及去處,檢查數據的格式及內容,并依照用戶的規則傳送或阻止數據,可按不同要求組成配置功能各異的防火墻。
漏洞掃描技術
漏洞掃描是自動檢測遠端或本地主機安全忽略點的技術,它通過執行某些腳本文件對系統進行攻擊并隨時記錄它的反應,以此發現其中的漏洞。它查詢TCP/IP端口,并記錄目標的響應,收集關于某些特定項目的有用信息,用來為審計收集初步的數據。
入侵檢測技術
入侵檢測可是針對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程的一種技術。它主要通過分析入侵過程的特征、條件以及事件間的關系,可描述入侵行為的跡象,這些跡象可對分析已經發生的入侵行為提供依據,也可對即將發生的入侵也有警戒作用。
它可檢測來自外部的入侵行為,與此同時也能檢測內部用戶的未授權活動,發現合法用戶濫用特權,提供追究入侵者法律責任的有效證據。
2、加強安全制度的建立和落實工作健全金融系統計算機安全管理體系
從金融系統內部組織機構和規章制度建設上防范和消除網絡金融安全風險,建立專職管理和專門從事防范計算機犯罪的技術隊伍,落實相應的專職組織機構。對現有的計算機安全制度進行全面清理,建立健全各項計算機安全管理和防范制度;完善業務的操作規程;加強要害崗位管理,健全內部制約機制。安全制度的建立一定要根據本單位的實際情況和所采用的技術條件,參照有關的法律法規和條例,制定出切實可行又比較全面的各類安全管理制度。
制度的建立落實和監督要落實到具體細節上。如系統管理員應定期及時審查系統日志和記錄。重要崗位人員調離時進行注銷,并隨即更換業務系統的口令和密鑰,移交相關全部技術資料。還有防病毒制度規定,規定嚴格使用國家批準的正版查毒殺毒軟件適時查毒殺毒。
篇10
1 計算機網絡安全的定義
網絡安全從其本質上講就是網絡上的信息安全,指網絡系統的硬件、軟件及數據受到保護。不遭受破壞、更改、泄露,系統可靠正常地運行,網絡服務不中斷。從用戶的角度講即個人信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段對自己的利益和隱私造成損害和侵犯。從網絡運營商和管理者的角度講即對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現病毒、非法存取、拒絕服務和網絡資源的非法占用和非法控制等威脅,制止和防御網絡“黑客”的攻擊。
2 影響計算機網絡安全的主要因素
2.1 信息泄密 主要表現為網絡上的信息被竊聽,這種僅竊聽而不破壞網絡中傳輸信息的網絡侵犯者被稱為消極侵犯者。
2.2 信息被篡改 積極侵犯者截取網上的信息包,并對之進行更改使之失效,或者故意添加一些有利于自已的信息,起到信息誤導的作用,其破壞作用最大。
2.3 傳輸非法信息流。只允許用戶同其他用戶進行特定類型的通信,但禁止其他類型的通信,如允許電子郵件傳輸而禁止文件傳送。
2.4 網絡資源的錯誤使用 如不合理的資源訪問控制,一些資源有可能被偶然或故意地破壞。
2.5 非法使用網絡資源 非法用戶登錄進入系統使用網絡資源,造成資源的消耗,損害了合法用戶的利益。
2.6 環境影響 自然環境和社會環境對計算機網絡都會產生極大的不良影響。如惡劣的天氣、災害、事故會對網絡造成損害和影響。
2.7 軟件漏洞 包括操作系統、數據庫及應用軟件、TCP/IP協議、網絡軟件和服務、密碼設置等的安全漏洞。這些漏洞一旦遭受電腦病毒攻擊,就會帶來災難性的后果。
2.8 人為安全因素 管理人員不按規定正確地使用,甚至人為泄露系統的關鍵信息,造成的安全后果是難以估量的。這主要表現在管理措施不完善,安全意識薄,管理人員的誤操作等。
4 計算機網絡安全的現狀
近年來隨著Internet的飛速發展,計算機網絡的資源共享進一步加強,隨之而來的信息安全問題日益突出。據美國FBI統計,美國每年網絡安全問題所造成的經濟損失高達75億美元,而全球平均每20 s就發生一起Internet計算機侵入事件。不法分子利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統,進行窺視、竊取、篡改數據,使得針對計算機信息系統的犯罪活動日益增多。
對計算機網絡安全構成的威脅可分為以下若干類型:黑客入侵、來自內部的攻擊、計算機病毒的侵入、秘密信息的泄漏和修改網絡的關鍵數據等。
5 醫療機構計算機網絡安全策略分析
5.1 加強醫療機構內部網絡管理人員以及使用人員的安全意識。醫療機構網絡管理員和終端操作員根據自己的職責權限,選擇不同的口令,對應用程序數據進行合法操作,防止用戶越權訪問數據和使用網絡資源。
5.2 優秀的殺毒軟件安裝、設置和管理,方便快捷,與醫療機構操作系統及其他安全措施緊密地結合在一起,成為醫療機構網絡安全管理的一部分,并且自動提供最佳的網絡病毒防御措施。
5.3 網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。但也有明顯不足:無法防范其他途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件。
5.4 入侵檢測系統(IDS)是一種主動的網絡安全防護措施,它從系統內部和各種網絡資源中主動采集信息,從中分析可能的網絡入侵或攻擊,發現入侵后,及時做出一些相對簡單的響應,包括記錄事件和報警等,并與防火墻進行協作,請求防火墻及時切斷相關的網絡連接。防火墻與入侵檢測系統(IDS)聯動,可以對網絡進行動靜結合的保護,對網絡行為進行細顆粒的檢查,并對網絡內外兩個部分都進行可靠管理(如圖1所示)。
5.5 數據加密技術是對原來為明文的文件或數據按某種算法進行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應的密鑰之后才能顯示出本來內容,通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。該過程的逆過程為解密,即將該編碼信息轉化為其原來數據的過程[1]。完善的對稱加密和非對稱加密技術仍是21世紀的主流。
圖1
6 結束語
總之,醫療機構網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括醫療機構信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的[2,3]。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以通過醫療機構網絡安全問題的淺析,可以說,安全產業將來也是一個隨著新技術發展而不斷發展的產業。
參 考 文 獻
篇11
1.自然因素:
1.1病毒攻擊
因為醫院網絡同樣也是連接在互聯網上的一個網絡,所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的,而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器,造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬,阻塞正常流量,形成拒絕服務攻擊。我們清醒地知道,完全避免所有終端上的病毒是不可能的,但要盡量減少病毒爆發造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽,使得醫院網絡被病毒攻擊的頻率越來越高,所以病毒的攻擊應該引起我們的關注。
1.2軟件漏洞
任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:
1.2.1、協議漏洞。例如,IMAP和POP3協議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄,從而獲得超級用戶的特權。
1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下,就接受任何長度的數據輸入,把溢出部分放在堆棧內,系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令,來造成系統不穩定狀態。
1.2.3、口令攻擊。例如,Unix系統軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統,都是容易被攻擊的。
2、人為因素:
2.1操作失誤
操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見,隨著網絡管理制度的建立和對使用人員的培訓,此種情況逐漸減少.對網絡安全己不構成主要威脅。
2.2惡意攻擊
這是醫院計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅,每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范,因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。
二、構建安全的網絡體系結構
1.設計網絡安全體系的原則
1.1、體系的安全性:設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性,必須保證體系的完備性和可擴展性。
1.2、系統的高效性:構建網絡安全體系的目的是能保證系統的正常運行,如果安全影響了系統的運行,那么就需要進行權衡了,必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件,它們也會占用網絡系統的一些資源。因此,在設計網絡安全體系時必須考慮系統資源的開銷,要求安全防護系統本身不能妨礙網絡系統的正常運轉。
1.3、體系的可行性:設計網絡安全體系不能純粹地從理論角度考慮,再完美的方案,如果不考慮實際因素,也只能是一些廢紙。設計網絡安全體系的目的是指導實施,如果實施的難度太大以至于無法實施,那么網絡安全體系本身也就沒有了實際價值。
1.4、體系的可承擔性:網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業來支持,要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多,那么我們就不該采用這個方案。所以,在設計網絡安全體系時,必須考慮企業的業務特點和實際承受能力,沒有必要按電信級、銀行級標準來設計這四個原則,可以簡單的歸納為:安全第一、保障性能、投入合理、考慮發展。
2、網絡安全體系的建立
網絡安全體系的定義:網絡安全管理體系是一個在網絡系統內結合安全技術與安全管理,以實現系統多層次安全保證的應用體系。網絡系統完整的安全體系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠,確保應用系統正常運行。主要包括以下幾個方面:
(1)防止非法用戶破壞系統設備,干擾系統的正常運行。
(2)防止內部用戶通過物理手段接近或竊取系統設備,非法取得其中的數據。
(3)為系統關鍵設備的運行提供安全、適宜的物理空間,確保系統能夠長期、穩定和高效的運行。例如:中心機房配置溫控、除塵設備等。
網絡安全性主要包括以下幾個方面:
(1)限制非法用戶通過網絡遠程訪問和破壞系統數據,竊取傳輸線路中的數據。
(2)確保對網絡設備的安全配置。對網絡來說,首先要確保網絡設備的安全配置,保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。
(3)網絡通訊線路安全可靠,抗干擾。屏蔽性能好,防止電磁泄露,減
少信號衰減。
(4)防止那些為網絡通訊提供頻繁服務的設備泄露電磁信號,可以在該設備上增加信號干擾器,對泄露的電磁信號進行干擾,以防他人順利接收到泄露的電磁信號。
應用安全性主要是指利用通訊基礎設施、應用系統和先進的應用安全控制技術,對應用系統中的數據進行安全保護,確保能夠在數據庫級、文檔/記錄級、段落級和字段級限制非法用戶的訪問。
另外,對存放重要數據的計算機(服務器、用戶機)應使用安全等級較高的操作系統,利用操作系統的安全特性。
三、網絡安全的技術實現
1、防火墻技術
在外部網絡同內部網絡之間應設置防火墻設備。通過防火墻過濾進出網絡的數據,對進出網絡的訪問行為進行控制和阻斷,封鎖某些禁止的業務,記錄通過防火墻的信息內容和活動。對網絡攻擊進行監測和告警。防火墻可分為包過濾型、檢測型、型等,應根據不同的需要安裝不同的防火墻。
2、劃分并隔離不同安全域
根據不同的安全需求、威脅,劃分不同的安全域。采用訪問控制、權限控制的機制,控制不同的訪問者對網絡和設備的訪問,防止內部訪問者對無權訪問區域的訪問和誤操作。
我們可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。在關鍵服務器區域內部,也同樣需要按照安全級別的不同進行進一步安全隔離。
劃分并隔離不同安全域要結合網絡系統的安防與監控需要,與實際應用環境、工作業務流程和機構組織形式密切結合起來。
3、防范病毒和外部入侵
防病毒產品要定期更新升級,定期掃描。在不影響業務的前提下,關閉系統本身的弱點及漏洞并及時打上最新的安全補丁。防毒除了通常的工作站防毒外,email防毒和網關式防毒己經越來越成為消除病毒源的關鍵。還應使用掃描器軟件主動掃描,進行安全性檢查,找到漏洞并及時修補,以防黑客攻擊。
醫院網管可以在CISCO路由設備中,利用CISCOIOS操作系統的安全保護,設置用戶口令及ENABLE口令,解決網絡層的安全問題,可以利用UNIX系統的安全機制,保證用戶身份、用戶授權和基于授權的系統的安全,:對各服務器操作系統和數據庫設立訪問權限,同時利用UNIX的安全文件,例如/etc/hosts.equiv文件等,限制遠程登錄主機,以防非法用戶使用TELNET、FTP等遠程登錄工具,進行非法入侵。
4、備份和恢復技術
備份是保證系統安全最基本、最常用的手段。采取數據的備份和恢復措施,有些重要數據還需要采取異地備份措施,防止災難性事故的發生。
5、加密和認證技術
加密可保證信息傳輸的保密性、完整性、抗抵賴等,是一個非常傳統,但又非常有效的技術。加密技術主要用于網絡安全傳輸、公文安全傳輸、桌面安全防護、可視化數字簽名等方面。
6、實時監測
采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡實時監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征。
7、PKI技術
篇12
1 計算機網絡安全
計算機網絡安全就是計算機網絡信息的安全。計算機網絡安全的內容包括管理與技術兩個方面。計算機安全管理包括計算機硬件軟件的維護和網絡系統的安全性維護,確保硬軟件的數據和信息不被破壞,保障計算機網絡系統中的數據信息不被隨意更改和泄露。而計算機網絡安全技術主要是指對外部非法用戶的攻擊進行防范,確保計算機網絡使其不被偶然和惡意攻擊破壞,保證計算機網絡安全有序的運行。計算機網絡安全管理和網絡安全技術相結合,構建計算機網絡安全體系,保證計算機網絡系統能夠連續正常的運行。
2 計算機網絡安全風險分析
1)計算機網絡安全問題主要集中在兩個方面,一是信息數據安全問題,包括信息數據被非法修改、竊取、刪除和非法使用。二是計算機網絡設備安全問題,包括設備不能正常運行、設備損壞、網絡癱瘓。
2)計算機網絡安全風險的特點主要表現在三方面。一是突發性和擴散性。計算機網絡攻擊經常是沒有征兆的,而且其造成的影響會迅速擴散到互聯網上的各個用戶,給整個計算機系統造成破壞。二是潛伏性和隱蔽性。計算機網絡攻擊造成破壞前,都會潛伏在程序里,如果計算機用戶沒有及時發現,攻擊就會在滿足條件時發起。另外由于計算機用戶疏于防范,也會為具有隱蔽性的計算機攻擊提供可乘之機。三是危害性和破壞性。計算機網絡遭受到攻擊都會給計算機網絡系統造成嚴重的破壞后果,造成計算機網絡癱瘓,給計算機用戶帶來損失,嚴重的會對社會和國家安全構成威脅。
3)造成計算機網絡安全風險的因素
(1)計算機網絡系統本身的安全隱患
網絡系統的安全隱患重要包括網絡結構設備和網絡系統自身缺陷。普遍應用的網絡結構是集線型,星型等多種結構為一體的混合型結構。每個結構的節點處采用不同的網絡設施,包括路由器、交換機、集線器等。每種設備受自身技術的制約都會在不同程度上給計算機網絡系統帶來安全隱患。另外網絡系統本身具有缺陷,網絡技術的優點是開放性和資源共享性。全球性復雜交錯的互聯網絡,其優點也成了容易遭受個攻擊的弱點,而且計算機網絡協議自身也存在不安全因素,例如出現欺騙攻擊,拒絕服務,數據截取和數據篡改等問題。
(2)計算機病毒安全風險
目前計算機病毒已經成為威脅計算機網絡安全的關鍵因素。計算機病毒是人為編制的,進入計算機程序中的能夠毀壞數據,破壞計算機功能的一組計算機指令或代碼。根據其破壞程度把計算機病毒劃分為優良性病毒與惡性病毒,計算機病毒顯著的特點是具有傳染性、寄生性、隱蔽性、觸發性、破壞性等。而且病毒能夠自我復制。在計算機網絡系統中普遍的傳播方式是通過光盤,U盤等存儲設備進行的,但是隨著計算機網絡的規模的擴大,網絡傳播成為病毒傳播的主要手段,計算機使用者上網瀏覽網頁,收發Email,下載資料等都可能感染計算機病毒,而且病毒能夠在局域網內傳播。計算機病毒對計算機程序和系統造成嚴重的破壞,使網絡無法正常運行。例如2007年1月的熊貓燒香病毒,就是通過下載檔案傳染的,在局域網迅速傳播,極短的時間內就能傳播給數千臺計算機,致使“熊貓燒香”病毒的感染范圍非常廣,包含了金融、稅務、能源等企業和政府機構,給國家造成的經濟損失,可見病毒的危害性巨大。
4)計算機網絡安全風險中的人為因素
(1)計算機網絡安全中的人為因素主要包括計算機使用者的操縱失誤和人為的惡意攻擊。計算機使用者的計算機技術水平良莠不齊,有些人員缺少安全防范意識,在應用過程里出現操作失誤和錯誤,也會給計算機安全帶來風險。另外,人為的惡意攻擊是計算機網絡安全的最大威脅。而人為惡意攻擊又分為主動攻擊和被動攻擊兩種。主動攻擊是指采用各種方式有選擇的破壞信息完整性和有效性。而被動攻擊是使攻擊者在不影響網絡正常工作的情況下,進行對信息的篡改,截取,竊取機密信息的活動。人為攻擊會給造成重要數據的泄漏,給計算機網絡帶來極大的破壞。
(2)人為攻擊里最為常見的是黑客攻擊。黑客最早源自英文hacker,是指利用系統安全漏洞對網絡進行攻擊破壞或竊取資料的人。由于網絡信息系統構建的脆弱性和不完備性,黑客通常會利用計算機網絡系統自身存在的安全隱患和漏洞,進行密碼探測并完成系統入侵的攻擊。黑客攻擊的手段主要包括:口令的攻擊、網絡監聽、盜取、緩沖區溢出攻擊、過載攻擊、隱藏指令、程序嵌入木馬攻擊、取得網站控制權、網頁篡改偽裝欺騙攻擊、電子郵件破壞攻擊和種植病毒等。給計算機用戶帶來極大危害。
5)計算機系統安全漏洞
計算機系統安全是指計算機操作系統的安全。而目前應用的DOS、WINDOWS(2000、XP、VISTA.WIN7)、UNIX、LINUX等操作系統,都存在一定的安全隱患。而系統漏洞產生的原因是應用軟件或操作系統軟件在邏輯設計上的缺陷或在編寫時產生錯誤。而系統漏洞本身不會對網絡系統造成危害,但是由于系統漏洞存在,會被不法分子和黑客利用,例如在計算機中植入木馬,其具有隱藏性的和自發性,是惡意行為的程序,雖不會直接對電腦產生危害,但是可以被黑客控制。黑客還能利用系統安全漏洞,使計算機感染病毒,破壞計算機及其系統造成數據信息丟失等。嚴重危害計算機網絡系統的安全。
6)計算機網絡完全技術有待提升
計算機網絡提供大量的數據信息傳輸,而且又具有開放性,共享性和廣泛性。所以數據信息的安全也面臨著巨大的挑戰。目前網絡數據信息的傳輸處理過程中安全性與保密性技術還不是十分完善,這也為網絡系統中進行的數據信息的傳輸和處理帶來極大的隱患。
3 計算機網絡安全防范對策
針對計算機網絡安全存在的風險分析,要加強計算機網絡的安全防范,除了采用的網絡安全技術和防范措施,還要加強網絡管理的措施,制定法律、法規增強計算機安全保護的執行力度,確保計算機網絡安全工作的確實有效。關于計算機網絡安全方法對策主要從以下幾個方面探討。
1)增強計算機網絡安全管理
(1)提高安全意識,建立專業的管理隊伍
對于計算機個人用戶而言,要不斷加強網絡安全意識的培養,對應用程序進行合法的操作,依據職責權利選擇不同的口令,杜絕其他的用戶越權訪問網絡資源。要重視對計算機病毒的防范,及時更新殺毒軟件和安裝補丁。而對于計算機網絡管理人員要求更高些,增強安全意識的同時加強職業道德和工作責任心的培養,還要不斷提升管理人員的專業技能,增強對網絡的監察和評估。
(2)落實網絡安全管理的各項工作
網絡安全維護除了應用先進的軟件防御需要把網絡管理的各項工作落到實處,加大網絡評估和監控力度,對網絡運行全過程進行監控,針對網絡安全存在的風險提出修改意見,完善網絡安全運行管理機制,營造優良的網絡環境,做好設備維護工作,制定應急預案,確保計算機網絡安全工作的科學性和時效性。
2)計算機網絡安全技術防范措施
(1)防火墻技術
防火墻指的是一個由軟件和硬件設備組合而成,在內部網和外部網之間,專用網與公共網之間的界面上構造的保護屏障。能夠限制外部用戶內部訪問,以及管理內部用戶訪問外界網絡。有效的控制信息輸入輸出是否符合安全規則,對包含不安全的信息數據進行過濾,防止內網數據和資源的外泄,強化計算機網絡的安全策略,是保障計算機網絡安全的基礎技術。
(2)計算機病毒防范技術
由于計算機病毒的破壞性和危害性很大,所以防毒工作是計算機網絡安全管理的重要部分,除了設置防火墻,還要在計算機上安裝正版的殺毒防毒軟件,并且及時的升級殺毒軟件,更新病毒庫,定期對磁盤進行安全掃描,同時計算機使用者還要主要上網安全,不打開不正常的網頁鏈接和下載可疑文件。
(3)信息加密技術
當信息數據技術通過網絡傳輸時,由于計算機網絡的復雜性和自身缺陷,容易造成信息數據泄露,所以要應用信息加密技術,保障信息數據傳輸的安全。計算機網絡數據加密主要有三個層次,鏈路加密、節點加密和端到端加密。而且在整個過程中都是以密文形式進行傳輸的,有效地保障了數據傳輸的安全。
(4)漏洞掃描和修復技術
由于計算機系統自身存在漏洞,為了不給黑客和不法分子帶來可乘之機,就要定期的對計算機網絡系統進行漏洞掃描,下載安全補丁,及時修復系統漏洞。
(5)系統備份和還原技術
數據的備份工作也是計算機網絡安全的內容之一,常用的Ghost工具,可以進行數據的備份和還原,但系統出現故障時,利用ghost,減少信息數據的損失。保障計算機系統的恢復使用。
4 總結
21世紀是網絡技術飛速發展的時代,隨著全球數字化和信息化的進程不斷加快,網絡的資源共享和開放性所帶來的安全隱患需要引起重視,為了增強信息的安全保障能力,有效的維護國家安全、社會穩定和公共利益,需要制定科學的計算機網絡防范體系,降低計算機網絡安全風險,提高計算機網絡安全技術,為營造安全的網絡環境和構建和諧社會提供技術支持和理論基礎。
參考文獻
[1] 金曉倩.基于計算機防火墻安全屏障的網絡防范技術[J].素質教育論壇,2009(11).
[2] 趙紅言,許柯,趙緒民.計算機網絡安全及防范技術[J].陜西師范大學學報,2007(9).
[3] 王小芹.計算機網絡安全的防范技術及策略[J].內蒙古科技與經濟,2005(15).
篇13
一、現階段計算機網絡發展的現狀
計算機網絡技術的使用和范圍越來越受到人們的重視,簡而言之,我們的生活已經離不開使用計算機網絡進行相關的輔助。主要在傳遞信息的作用方面,計算機網絡可以在很大的空間范圍內對數據終端的信號進行連續輻射并保持時刻接受的狀態,不同的信號接收端的信號通過有線或無線的方式接收。使用這種方法的計算機網絡項目將覆蓋整個城市的線路信號,使得信號傳輸到每個家庭,它可以被用來服務企業和社會網絡,也可以是個人對社會的了解一種重要渠道。由于計算機網絡技術的不斷發展和使用,讓整個世界范圍內的距離不再遙遠,使聯系雙方的距離不斷被拉近,所有的信息實現了更快的分享,給使用計算機網絡的用戶帶來很多方便和好處
二、使用計算機網絡過程中出現的安全風險
在技術人員在合理的使用計算機網絡相關技術的同時,我們要對計算機網絡的基礎設施進行研究,對于基礎設施的建設往往是制約網絡發展,造成網絡信息安全泄露的重要區域。在日常的有線網絡的線路鋪設當中,會在線路網絡中會出現很多的問題。這些問題如果得不到合理的解決,會對計算機網絡帶來巨大的安全風險。只有不斷的加強網絡信息安全,才能使計算機網絡技術更好的服務于大眾。
(1) 計算機網絡運行中信號傳輸出現的問題
計算機信息網絡工程已經奠定了技術方面的集成,對于信號的分布也相對的縝密,在線路安排上也是非常密集,信號之間的密集度也很高,信號的數量在不斷的增多,但信號不穩定的現象始終沒有得到合理的解決。在電子信息信號傳輸過程中會遇到許多障礙,但也有在這里的客觀因素包括主觀原因。最早在電子信息技術的建設中,對成本的考慮,減少運輸信號使用的接收站的建設,而不是考慮到電纜的實際距離,在許多惡劣的天氣里,氣候變化將會對信號的傳遞帶來很大的影響。在極端天氣,如在高溫和低溫天氣,電纜將由不同的溫度測試而受到不同的影響,電纜外部的保護層易受到嚴重的損害,導致電纜的內部不均勻的加熱,從而出現電纜不均勻的變形,這種現象會使得信號在傳輸中出現偏離原設計能力和數據傳輸失穩的狀況。
(2) 計算機信息網絡工程在很多裝置、技術上的落后
在有些計算機信息網絡通訊工程建設中出現了一家獨大的現象,在很多的建設中出現了壟斷的狀況。這就讓電子信息網絡技術在沒有得到合理競爭的情況下沒有好的發展勢頭。具體表現為安裝的設備陳舊,無法應付當下人們對電子信息網絡技術的要求。在信息的保存上也會出現很大的漏洞,對于用戶的信息,壟斷行業的信息管理庫很難做到完全的保證信息的安全,在計算機后臺極易出現信息軟件的漏洞,計算機后臺也會受到黑客的襲擊。
(3) 計算機網絡通訊中用戶信息得不到安全保護
計算機網絡的運行完全暴露在外界中,不可能達到絕對的安全,時下,人們對安全系統的保護意識不斷地提高,對于計算機網絡安全的技術發展有著很大的影響.在人們對網絡關注的同時,加強計算機中的信息安全力度刻不容緩.不容樂觀的是,普通用戶在使用計算機的同時,獲取網絡上的資源,也同時會將自身的信息資源泄露。在網絡信息的建設中,缺少信息安全的監管,沒有合理的安全監管手段,沒有獨立的監督第三方,對于信息安全沒有出臺相關的保護條例。
三、計算機網絡安全風險的防范
在計算機網絡安全中存在一種安全狀態下的攻擊模式,通過偽造IP地址和MAC地址以實現ARP的欺騙,病毒會一直發送攻擊信號以截斷設備間信號的傳輸,并向目標發送自己偽造的地址,導致網絡中斷或中間人的攻擊。
這種攻擊主要是存在于局域網絡中,當局域網中有一個人感染了ARP木馬病毒,那么感染此ARP木馬病毒的系統就會試圖通過這種手段截獲所在網絡內其它計算機的相關資料及通信信息,并造成此網絡系統的通訊故障。
(1)處于同一網段的ARP欺騙
現在有一臺想非法入侵他人電腦的電腦B,它想入侵電腦A,但是A裝有防火墻,不能直接入侵,但是通過對電腦A進行監測,得知主機A對主機C是信任的,并且C必須持有telnet才能進入主機A。由此得知,要想使自己讓主機A取得信任,那么就應該讓主機A認為自己就是主機C,有人會想到將自己的IP地址改成與主機C相同,但僅僅這樣做是行不通的,這樣的做法只能使IP沖突,不能再使設備正常工作。所以要想取得主機A的信任就要先把主機C屏蔽,然后再更改自己的IP地址,這樣就巧妙的避免了IP沖突。
(2)不同網段的ARP欺騙
對于不同網段的設備要想非法入侵目標設備,則可以冒充目標設備的主機,直接進入目標設備以竊取目標設備的內部資料。
四、結束語
計算機網絡的建立已經受到了人們的高度關注,在不斷的使用和完善計算機網絡中,對于安全的事項也尤其關注,它不僅和認為的生活息息相關,還是社會發展的重要使用方法,在科學的進步過程中也要不斷的完善計算機網絡的技術,讓生成的重要結論不會在計算機這樣的工具中出現安全的風險,時刻保持計算機網絡的安全穩定。計算機網絡遇到的一些安全風險亟待解決,就如文中提到防范ARP攻擊這項技術建設中也出現了很多的問題,就這些問題我們也提出一些建議和應對方法,無論如何目的只有一個就是不斷的完善網絡計算機網絡技術,讓這項技術對企業提供有益的幫助,在不斷的加強和改善計算機網絡的整體性,保證其安全性和穩定性,使得計算機網絡工程建設中深入挖掘更多資源,為人民群眾提供更多的實惠。
參考文獻
