本篇文章是由《通信技術(shù)》發(fā)表的一篇電子通信論文,雜志1967年創(chuàng)刊,是國(guó)內(nèi)創(chuàng)辦時(shí)間長(zhǎng)、影響大的計(jì)算機(jī)專(zhuān)業(yè)媒體,2004版中文核心期刊。主要報(bào)道信源處理、傳輸、業(yè)務(wù)與系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)通信、信息安全等方面的先進(jìn)技術(shù)、理論研究成果和最新動(dòng)態(tài)。
摘要:網(wǎng)絡(luò)信息的安全與否直接影響到人們的工作和生活,還影響到社會(huì)的政治、經(jīng)濟(jì)、文化和軍事等各個(gè)領(lǐng)域。網(wǎng)絡(luò)信息安全離不開(kāi)安全三要素:人、技術(shù)和管理。本文著重對(duì)網(wǎng)絡(luò)信息安全存在的問(wèn)題,安全三要素在安全保障中的作用及安全防范策略等進(jìn)行了分析和探討。
關(guān)鍵詞:安全三要素 計(jì)算機(jī)網(wǎng)絡(luò) 信息安全 防范策略 保障作用
在信息技術(shù)飛速發(fā)展的今天,黑客技術(shù)和計(jì)算機(jī)病毒也在不斷隨之變化,其隱蔽性、跨域性、快速變化性和爆發(fā)性使網(wǎng)絡(luò)信息安全受到了全所未有的威脅。在這種攻與防的信息對(duì)抗中人、技術(shù)和管理都是不可或缺的重要環(huán)節(jié)。
一、網(wǎng)絡(luò)信息安全的問(wèn)題在哪里?
(一)技術(shù)層面的問(wèn)題
1.網(wǎng)絡(luò)通信線路和設(shè)備的缺陷
(1)電磁泄露:攻擊者利用電磁泄露,捕獲無(wú)線網(wǎng)絡(luò)傳輸信號(hào),破譯后能較輕易地獲取傳輸內(nèi)容。
(2)設(shè)備監(jiān)聽(tīng):不法分子通過(guò)對(duì)通信設(shè)備的監(jiān)聽(tīng),非法監(jiān)聽(tīng)或捕獲傳輸信息。
(3)終端接入:攻擊者在合法終端上并接非法終端,利用合法用戶(hù)身份操縱該計(jì)算機(jī)通信接口,使信息傳到非法終端。
(4)網(wǎng)絡(luò)攻擊。
2.軟件存在漏洞和后門(mén)
(1)網(wǎng)絡(luò)軟件的漏洞被利用。
(2)軟件病毒入侵。
(3)軟件端口未進(jìn)行安全限制。
(二)人員層面的問(wèn)題
1.系統(tǒng)使用人員保密觀念不強(qiáng),關(guān)鍵信息沒(méi)進(jìn)行加密處理,密碼保護(hù)強(qiáng)度低;文檔的共享沒(méi)有經(jīng)過(guò)必要的權(quán)限控制。
2.技術(shù)人員因?yàn)闃I(yè)務(wù)不熟練或缺少責(zé)任心,有意或無(wú)意中破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備的保密措施。
3.專(zhuān)業(yè)人員利用工作之便,用非法手段訪問(wèn)系統(tǒng),非法獲取信息。
4.不法人員利用系統(tǒng)的端口或者傳輸?shù)慕橘|(zhì),采用監(jiān)聽(tīng)、捕獲、破譯等手段竊取保密信息。
(三)管理層面的問(wèn)題
1.安全管理制度不健全。缺乏完善的制度管理體系,管理人員對(duì)網(wǎng)絡(luò)信息安全重視不夠。
2.監(jiān)督機(jī)制不完善。技術(shù)人員有章不循,對(duì)安全麻痹大意,缺乏有效地監(jiān)督。
3.教育培訓(xùn)不到位。對(duì)使用者缺乏安全知識(shí)教育,對(duì)技術(shù)人員缺乏專(zhuān)業(yè)技術(shù)培訓(xùn)。
二.網(wǎng)絡(luò)信息安全的防范策略
(一)技術(shù)層面的防范策略
1.網(wǎng)絡(luò)的基礎(chǔ)設(shè)施安全防范策略
(1)減少電磁輻射。傳輸線路做露天保護(hù)或埋于地下,無(wú)線傳輸應(yīng)使用高可靠性的加密手段,并隱藏鏈接名。
(2)使用防火墻技術(shù),控制不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,保護(hù)網(wǎng)絡(luò)免遭黑客襲擊。
(3)使用可信路由、專(zhuān)用網(wǎng)或采用路由隱藏技術(shù)。
(4)網(wǎng)絡(luò)訪問(wèn)控制。訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的核心策略之一。包括入網(wǎng)、權(quán)限、目錄級(jí)以及屬性等多種控制手段。
2.軟件類(lèi)信息安全防范策略
(1)安裝可信軟件和操作系統(tǒng)補(bǔ)丁,定時(shí)升級(jí),及時(shí)堵漏。
(2)應(yīng)用數(shù)據(jù)加密技術(shù)。將明文轉(zhuǎn)換成密文,防止非法用戶(hù)理解原始數(shù)據(jù)。
(3)提高網(wǎng)絡(luò)反病毒技術(shù)能力。使用殺毒軟件并及時(shí)升級(jí)病毒庫(kù)。對(duì)移動(dòng)存儲(chǔ)設(shè)備事前掃描和查殺。對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行掃描和監(jiān)測(cè),加強(qiáng)訪問(wèn)權(quán)限的設(shè)置。在網(wǎng)絡(luò)中,限制只能由服務(wù)器才允許執(zhí)行的文件。
(4)使用入侵檢測(cè)系統(tǒng)防止黑客入侵。一般分為基于網(wǎng)絡(luò)和基于主機(jī)兩種方式。還可以使用分布式、應(yīng)用層、智能的入侵檢測(cè)等手段。
(5)數(shù)據(jù)庫(kù)的備份與恢復(fù)。
(二)人員層面的防范策略
1.對(duì)人員進(jìn)行安全教育。加強(qiáng)對(duì)計(jì)算機(jī)用戶(hù)的安全教育、防止計(jì)算機(jī)犯罪。
2.提高網(wǎng)絡(luò)終端用戶(hù)的安全意識(shí)。提醒用戶(hù)不使用來(lái)歷不明的U盤(pán)和程序,不隨意下載網(wǎng)絡(luò)可疑信息。
3.對(duì)人員進(jìn)行法制教育。包括計(jì)算機(jī)安全法、計(jì)算機(jī)犯罪法、保密法、數(shù)據(jù)保護(hù)法等。
4.加強(qiáng)技術(shù)人員的安全知識(shí)培訓(xùn)。
(三)管理層面的防范策略
1.建立安全管理制度。對(duì)重要部門(mén)和信息,嚴(yán)格做好開(kāi)機(jī)查毒,及時(shí)備份數(shù)據(jù)。
2.建立網(wǎng)絡(luò)信息綜合管理規(guī)章制度。包括人員管理、運(yùn)維管理、控制管理、資料管理、機(jī)房管理、專(zhuān)機(jī)專(zhuān)用和嚴(yán)格分工等管理制度。
3.建立安全培訓(xùn)制度。使安全培訓(xùn)制度化、經(jīng)常化,不斷強(qiáng)化技術(shù)人員和使用者的安全意識(shí)。
三、安全三要素的保障作用更重要
在保證網(wǎng)絡(luò)信息安全的過(guò)程中,技術(shù)是核心、人員是關(guān)鍵、管理是保障,我們必須做到管理和技術(shù)并重,技術(shù)和措施結(jié)合,充分發(fā)揮人的作用,在法律和安全標(biāo)準(zhǔn)的約束下,才能確保網(wǎng)絡(luò)信息的安全。
(一) 技術(shù)的核心作用
不管是加密技術(shù)、反病毒技術(shù)、入侵檢測(cè)技術(shù)、防火墻技術(shù)、安全掃描技術(shù),還是數(shù)據(jù)的備份和恢復(fù)技術(shù)、硬件設(shè)施的防護(hù)技術(shù)等,都是我們做好網(wǎng)絡(luò)信息安全防護(hù)的核心要素,技術(shù)支撐為我們建立一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系起到了核心的作用。
(二)人員的關(guān)鍵作用
人也是安全的一部分。人的作用是不可低估的,不管是使用者,還是程序開(kāi)發(fā)人員、技術(shù)維護(hù)人員,還是網(wǎng)絡(luò)黑客,都是我們構(gòu)建網(wǎng)絡(luò)安全環(huán)境的關(guān)鍵因素,成也在人,敗也在人。
(三)管理的保障作用
管理是不可缺失的,不論是技術(shù)上的管理,還是對(duì)人的管理,不論是技術(shù)規(guī)則,還是管理制度,都是網(wǎng)絡(luò)信息安全的保障。很多安全漏洞都來(lái)源于管理的疏忽或者安全培訓(xùn)的缺失。
論文指導(dǎo) >
SCI期刊推薦 >
論文常見(jiàn)問(wèn)題 >
SCI常見(jiàn)問(wèn)題 >
