网络信息安全及防范探究
摘要:随着全球信息化步伐的加快和信息产业的飞速进步与发展,在享受便利的同时,也面临着众多和巨大的风险。本文着重介绍了信息系统所面临的技术安全隐患,并针对安全与防范提出了行之有效的解决方案。
关键词:信息系统;安全隐患;信息安全;防范措施;安全检测
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2017)10-0210-02
1 引言
目前,网络信息安全的地位空前提高,大家都充分认识了信息技术安全工作的重要性。从国际格局看,全球化进入深度调整期,互联网成为世界主要大国的国家战略重点和优先发展方向。从技术和产业革命看,信息革命持续演进,信息技术已经成为全球技术创新竞争的新高地。加强网络信处安全工作已迫在眉睫,信息化进程大大加快,但网络安全工作的步伐相对滞后。网络安全事件一旦发生,传播之快,影响之大也是少有的,已成为信息化发展的“瓶颈”问题,必须引起高度重视。
2 网络信息安全现状及发展趋势
2017年6月1日,《中华人民共和国网络安全法》正式实施,将网络安全的重要性以立法的形式予以明确,对落实各项网络安全工作提出了更高的要求。如何保障各个信息系统安全稳定运行和大量基础数据的安全,是一项非常重要的工作,也是一项涉及国家政策落实和广大人民群众切身利益的重要工作。
2017年5月,名为“永恒之蓝”的勒索病毒席卷全球。据监测,我国至少有29372个机构遭到这一蠕虫病毒攻击,保守估计超过30万台终端和服务器受到感染,覆盖了全国几乎所有地区。
“永恒之蓝”事件是继“冲击波”病毒发生以来非常严重网络安全攻击事件。傳播速度之快,后果之严重,防范之难,均为历史罕见。鉴于此次事件所显示的网络武器民用化、民间攻击武器化趋势,以后类似的网络攻击很可能会常态化。
信息系统受到的主要威胁有:敏感数据泄露篡改、合法权限滥用、帐号复用盗用、SQL注入、非法拖库、非法运维、非法扫描探测、网络系统攻击、数据库漏洞、木马非法外连、0day/nday漏洞等等。
数据泄漏和篡改的主要原因有:未充分认识、未整体规划,多工种各自为战不能协同、缺乏有效内控合规防护措施,缺乏全局追溯取证能力。
从数据泄漏人员角度分析,监管单位或合作伙伴占比5%,内部人员泄漏占55%,黑客盗取占40%。
3 网络信息安全的防范
3.1 建立网络信息安全管理制度
(1)建立网络信息安全组织架构。在管理策略上,建立网络信息安全组织架构,建立信息安全规章制度和应急预案,落实安全责任制。在技术策略上,建立技术人员使用标准文档、指南文档和工作流程。在用户策略上,建立用户操作手册和指导文档,进行安全意识培训。
(2)加强网络安全体系架构建设。梳理网络安全体系架构的整体布局,将对外提供服务的信息系统和服务器进行统一部署和统一防护,建立全面完备的网络架构。
(3)完善信息网络安全防护平台和监管平台建设。按照不同安全等级要求,采用分区域分层的安全防护建设原则,完善信息网络安全防护平台的建设。建设冗余网络设施、实现服务器容灾备份,增强安全防护能力建设。建设安全监管平台,实现对信息系统和网络中发生的异常安全事件进行统一安全监控。
(4)落实信息系统安全等级保护工作。按照有关文件要求,严格落实信息系统安全等级保护工作。网络和信息系统全部进行定级备案,逐步完成等级保护测评工作。
(5)建设主动安全巡检机制。对重要信息系统要进行定期安全检测,对安全隐患早发现早处置。
3.2 完善网络信息安全技术手段
3.2.1 web防火墙
Web防火墙可以通过对http请求的检测分析,为Web应用提供实时防护的安全产品。Web防火墙(WAF)是Web Application Firewall的缩写,能够有效防黑客利用应用程序漏洞入侵渗透。
Web防火墙(WAF)的主要功能:可拦截常见的web漏洞攻击,例如SQL注入攻击 、XSS跨站攻击、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。
Web防火墙(WAF)可提供0Day/NDay漏洞防护。当发现有未公开的0Day漏洞,或者刚公开但未修复的NDay漏洞被利用时,Web防火墙(WAF)可以在发现漏洞到用户修复漏洞这段空档期对漏洞增加虚拟补丁,抵挡黑客的攻击,防护网站安全。
3.2.2 防篡改
防篡改技术能够对信息系统的页面进行防篡改保护,被篡改后能够自动恢复。保护信息系统内容安全,防止文件被恶意篡改,保障发布信息的正确性、完整性、权威性。
网页防篡改系统由三个相互独立的子系统构成,分别是监控端(Monitor)、发布端(Publisher)和管理平台(Manager)。
监控端(Monitor)部署安装在服务器上,用于监控网站文件是否被篡改,该监控程序会阻止对所保护文件的任意篡改行为。当有恶意行为发生时,及时向管理平台上报告警事件。
发布端(Publisher)部署安装在发布服务器上,当发布端内容更新维护时,依据发布策略,向指定的服务器进行自动的文件同步和更新;
管理平台(Manager)是可通过浏览器访问的web应用,为用户提供方便、快捷的操作界面,主要功能用于管理信息系统和服务器、向服务器下发策略、展示告警件。
3.3 流量清洗
拒绝服务攻击(DoS, Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起,同时由于攻击方法简单、影响较大、难以追查等特点,又使得分布式拒绝服务攻击(DDoS,Distributed Denial of Service)得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为DDoS攻击提供了所需的带宽和主机,形成了规模巨大的攻击和网络流量,对被攻击网络造成了极大的危害。
通常情况下,网络中的数据包利用TCP/IP协议传输,信息系统接受到的这些数据包遵循正常的协议规范,是无害的,但是如果出现过多的异常数据包,就会造成信息系统使用的网络设备或者服务器负担过重;或者有些数据包利用了某些协议的天然缺陷,人为的将不完整或畸形的数据包传送给信息系统,就会造成网络设备或服务器无法正常处理业务,迅速消耗了系统资源,造成拒绝服务,这就是DDoS的工作原理。DDoS攻击之所以难以防范,就在于攻击流和正常流混合在一起,很难有效地分辨出攻击流。
4 结语
综上所述,网络信息安全防范不仅是一项复杂而又繁琐的任务,同时还具有很重要的现实意义,必须要引起有关部门的高度重视。在实际工作中要严格按照相关标准进行规范性的操作,建立完善的安全管理制度和具体的防范技术,以此来保障网络信息系统的安全运行。
参考文献
[1]王新峰.计算机网络安全防范技术初探[J].网络安全技术与应用,2011:72.
[2]谭瑛.计算机网络的安全威胁及其防御机制研究.电脑知识与技术,2009:35.
[3]STEVENS WRichard,TCP/IP详解[M].机械工业出版社,2000:80.
[4]Douglas Jacobson,网络安全基础——网络攻防、协议与安全.电子工业出版社出版,2016:135.
[5]Saadat Malik,网络安全原理与实践.人民邮电出版社出版时间,2013:98.
热门文章:
- 述职报告幼儿园范文【优秀范文】2024-03-28
- 2023沉迷网络的危害作文6篇(全文完整)2024-03-28
- 学校执行校长在高一新生军训闭营仪式上讲话2024-03-27
- 2023年度“维度”写作提纲30例-52024-03-27
- 2023年市直部门(单位)主要负责人学习班辅导报告:审视、谋划和推动高质量发展2024-03-27
- 领导干部测评改进提升方案【精选推荐】2024-03-27
- 2023年度市总工会关于产业工人队伍建设情况汇报材料2024-03-27
- 2023年县涉法涉诉信访突出问题专项整治工作表态发言(完整文档)2024-03-27
- 2023年市民政局教育情况阶段性总结2024-03-27
- 2023年度交流发言:坚定信念守住底线(完整)2024-03-27
相关文章:
- 网络信息安全学习心得体会4篇2022-05-21
- 电力系统信息安全应用分析2022-11-03
- 社会实际探究性教学在化学中的运用2022-10-19
- 高校后勤管理工作的现状及问题探究2022-10-21
- 基层医院传染病防治管理工作探究2022-10-24
- 探究管理会计在企业成本控制中的作用2022-10-24
- 新形势下小组合作学习探究6篇2022-06-06
- 构建高校实验室安全管理体系的探究2022-10-21
- 基于减少学习疲劳的教学效果提高方法探究2022-10-23
- 新形势下小组合作学习探究学习心得体会微博6篇2022-06-19
- 《新形势下小组合作学习探究》学习心得6篇2022-06-24
- 新形势下小组合作学习探究心得4篇2022-06-26
- 2022年防范廉政风险(全文)2022-07-11
- 防范电信诈骗工作方案10篇2022-09-26
- 计算机信息系统安全及防范策略2022-11-03
- 空分设备运行中的危险因素及其防范措施2022-11-13
- 防范债务风险工作情况汇报5篇2022-11-18
- 防范办工作计划2023-04-19
- 防治电信诈骗工作实施方案 (范例推荐)2023-07-03
- 事故隐患防范措施6篇(完整)2023-11-13
- 2022网络安全第一课个人心得体会4篇2022-05-24
- 网络安全在行动个人心得体会4篇(2022年)2022-05-26
- 2022共建网络安全共享网络文****得体会感悟3篇(完整)2022-05-26
- 学校网络安全工作总结最新优秀范本四篇2022-05-30
- 2022年网络安全宣传活动心得体会2022-05-31
- 2022年校园网络安全心得体会合集(完整文档)2022-06-01
- 2022年网络安全攻防实战心得体会4篇范本(完整文档)2022-06-02
- XXX乡通讯网络建设情况调研报告2022-07-28
- 在全市国资委系统网络安全与信息化工作会议上的讲话【优秀范文】2022-08-05
- 网络安全主题班会教案5篇2022-08-24