安全防护手段网络工程论文

2022-04-23

【摘要】随着经济的发展,通信服务在我们的日常生活中发挥了越来越重要的作用。本文分析了当前通信系统中存在的问题,本文从网络安全和信息安全防护两个角度提出了保障信息安全的几点建议。信息安全关系着人们的生活和国家的安全,必须从思想上加强信息安全重要性的认识、从技术上加强信息安全的防护。下面是小编整理的《安全防护手段网络工程论文(精选3篇)》相关资料,欢迎阅读!

安全防护手段网络工程论文 篇1:

浅谈网络安全保密技术

摘要:信息时代为我们的生活带来了便利的同时,计算机网络泄密也成为现代信息化条件下的一个重要隐患。因此,提高网络安全意识,了解网络安全防护的基本技术知识,对于各级单位做好网络安全,杜绝网络泄密事件的发生具有极其重要的意义。本文就分别从内网和外网的角度进行介绍。

关键词:网络;安全;内网;外网;技术

计算机网络泄密已成为现代信息化条件下的一个重要隐患。因此,提高网络安全意识,了解网络安全防护的基本技术知识,对于各级单位做好网络安全,杜绝网络泄密事件的发生具有极其重要的意义。

一、内网安全保密技术

内网安全,就是内部局域网的信息防泄密和终端安全管理。很多的涉密单位军工单位对信息防泄密的需求都是相当高的,他们为了防止内部机密信息的泄露,为了有效地避免由于泄密而带来的巨大损失,都在急切地寻找一个能够帮助他们很好的保证这些信息不被泄密出去的有力工具。随着社会的不断发展,信息化程度越来越高,各企事业单位和部门对网络和终端的依赖性很强。对于那些终端数量多、管理人员少的,就会力不从心疲于应付,常常会出现管理不得力的情况,这样对于整个单位和部门的正常工作都是很不利的,所以很需要一个能够帮助他们来统一管理单位和部门内部局域网的终端。

(一)内网的泄密途径

大多数安全事件的发生不是主要由外部攻击造成的,而是由内部原因造成的。内网的主要泄密途径包括以下几个方面:通过内网网络交换设备或者直连网线非法接入内网或者计算机终端,获取数据。利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其他主机甚至是某台网络服务器的重要数据。内部员工将只允许在局域网内部使用的数据,通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部。内部人员窃取管理员用户名和密码,非法进入单位重要的业务和应用服务器获取内部重要数据。

(二)网络安全管理技术

随着网络应用和规模的不断增加,网络管理工作越来越繁重,网络故障也频频出现:不了解网络运行状况,系统出现瓶颈;当系统出现故障后,不能及时发现、诊断;网络设备众多,配置管理非常复杂。因而,加强网络管理,以优化现有网络性能,保障网络安全是十分必要的。要加强对工作人员合法使用计算机的控制,要做好接入控制、用户集中管理、服务器资源授权和用户身份认证管理;能对服务器等重要站点实施强有力的保护措施,包括能隔离网络区域,能进行分级分域管理。必须做好网络监控和防泄密,对于泄密,必须做到能控制文件数据失窃、邮件泄密以及打印泄密,特别是打印泄密。

(三)安全评估技术

当前,网络安全已经不再是早期的一种或几种安全产品的堆砌所能解决的问题,而是一个动态的复杂过程,它贯穿于网络信息系统的整个生命周期。这一过程的首要环节就是安全评估。对信息系统和信息技术进行科学、客观、有效的安全评估是解决信息安全问题、保障信息安全的一个重要途径,是确保信息资源安全的有效手段之一,是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法。

按照信息安全评估的内容和目的,安全评估包括脆弱性评估、威胁评估、安全防护等级评估、网络攻击效能评估、信息对抗效能评估和信息安全风险管理。其中,"风险"概念揭示了信息系统安全的本质,它不但指明了信息安全问题的根源,也指出了信息安全解决方案的实质,即把残余风险控制在可接受的水平上。国外许多专家认为,信息安全风险管理是信息安全的基础工作和核心任务之一,是最有效的一种措施,是保证信息安全投资回报率优化的科学方法。因此,信息安全风险管理体现了信息安全的本质,是信息安全评估的核心。

(四)安全审计技术

安全审计,是指对计算机系统安全方案中的功能提供持续的评估。安全审计系统,是指对信息网络中任一或所有安全相关事件进行记录、分析和再现的处理系统。它通过对一些重要的事件进行记录,从而在系统发现错误或受到攻击时能定位错误,并找到被攻击的原因。因而,安全审计是事故后调查取证的基础,当然也是对计算机系统保密的信心保证。安全审计的主要功能如下:记录关键事件,关于安全事件的界定由安全官员决定。对潜在的攻击者进行威慑或警告。为系统安全管理员提供有价值的系统使用日志,帮助系统管理员及时发现入侵行为和系统漏洞,使安全管理人员可以知道如何对系统安全进行加强和改进。为安全官员提供一组可供分析的管理数据,用于发现何处有违反安全方案的事件,并可根据实际情形调整安全策略。

二、外网安全保密技术

相对于内网安全的概念,传统意义上的网络安全更为人熟知和理解。事实上,传统的网络安全考虑的是防范外网对内网的攻击,即我们所说的外网安全。外网的安全模型假设内网都是安全可信的,则威胁都来自于网络外部,其途径主要通过内、外网的边界出口。所以,在外网的安全模型下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。

(一)防火墙技术

由于TCP / IP协议是在可信环境下为网络互联而设计的开放性协议,在设计过程中就缺乏安全措施的考虑,而防火墙就是用来保护内部用户网络,防止黑客利用TCP / IP本身的内在安全弱点攻击网络设备和用户计算机。到今天,防火墙技术已经非常成熟,防火墙也已成为网络内外网之间互连的标准安全隔离设备。防火墙实质上是用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。

防火墙通过有效、细致的访问控制规则来满足用户必要的通信和信息共享需求,屏蔽其他任何未经授权的网络访问,并能够监视网络运行状态。防火墙是一种综合性的技术,涉及计算机网络技术、密码技术、安全协议、安全操作系统等多方面的内容。防火墙的主要功能有:按照安全策略进行检查,并过滤进出网络的数据包;管理进出网络的访问行为;封堵被禁止的访问行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警等。

(二)虚拟专网技术

虚拟专用网(简称VPN)是近年来随着互联网的发展而迅速发展起来的一种技术。它不是真的专用网络,但却能够实现专用网络的功能,利用公共通信网络实现安全的保密数据通信。其原理是:需要进行机密数据传输的两个端点均连接在公共通信网上,当需要进行机密数据传输时,通过端点上的VPN设备在公共网上建立一条虚拟的专用通信通道,并且所有数据均经过加密后再在网上传输,这样就保证了机密数据的安全传输。通过VPN,授权的业务伙伴就可以在授权范围内使用单位内部的数据,实现数据的安全交换。虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用互联网公众数据网络的长途数据线路。专用网络,是指用户可以为自己制定一个最符合自己需求的网络。

实现VPN最关键的部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的。隧道是利用一种协议传输另外一种协议的技术,主要利用隧道协议来实现VPN功能。隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。IP隧道的实现机制主要涉及两个方面,其一是第二层与第三层隧道的问题。

(三)入侵检测技术

入侵检测技术的研究涉及到计算机、数据库、通信、网络等多方面的知识。一个有效的人侵检测系统,不仅能够正确地识别系统中的入侵行为,而且还要考虑到系统本身的安全以及如何适应网络环境发展的需要。所有这些都表明,入侵检测系统将是一个复杂的数据处理系统,所涉及到的问题域中的各种关系也比较复杂。按照传统的分类,入侵检测的分析方法主要由误用检测和异常检测组成。

(四)网络隔离技术

面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术一一网络隔离技术应运而生。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自身的优势。

(五)匿名通信技术

匿名通信系统能隐藏网络通信实体的网络地址、实体间的通信关系等隐私信息,使其不被对手观测。在匿名通信系统中,假定网络内主机之间的通信具有机密性,即网络外的任何主机都不能观察到在网络内信息流的任何信息。同样, 主机之间的通信也经过认证,即不存在欺骗行为,可通过链路级认证来保证。此外,还假定通信实体的具体物理位置信息在系统中保密,因为若能知道用户的物理位置,匿名通信也就失去了其意义。

(六)网络安全扫描技术

基于网络的漏洞扫描,就是通过网络远程检测目标主机TCP / I P不同端口的服务,记录目标主机给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息(如是否能用匿名登录,是否有可写的FTP目录,是否能用FEL-NET,HTIP是否是用root在运行)。

三、结束语

计算机网络安全防护不同于传统意义下的信息保密,它是一个庞大的系统工程,不仅涉及技术人员对产品的采购、使用、维护和保养,也需要各级领导机关制定严密的管理制度和措施作保障。但是,这些管理性的保障措施都是以技术手段为基础的。

[作者简介]刘录松(1976-),男,汉族,云南文山人,中共党员,云南交通职业技术学院教师(昆明),讲师,工程硕士,研究方向为软件工程、计算机应用和网络工程方向。余静(1977-),女,白族,云南大理人,出生日期:年10月7日,中共党员,云南交通职业技术学院教师(昆明),讲师,公共管理硕士,研究方向为公共管理、思想政治教育和社会学。

作者:刘录松 余静

安全防护手段网络工程论文 篇2:

通信组织运用中的信息安全与防护研究

【摘要】 随着经济的发展,通信服务在我们的日常生活中发挥了越来越重要的作用。本文分析了当前通信系统中存在的问题,本文从网络安全和信息安全防护两个角度提出了保障信息安全的几点建议。信息安全关系着人们的生活和国家的安全,必须从思想上加强信息安全重要性的认识、从技术上加强信息安全的防护。

【关键词】 信息安全 通信 防护

引言

隨着光纤宽带、移动电话、移动互联网的普及,通信服务在我们的日常生活中发挥了越来越重要的作用。伴随社会的信息化推进,通信技术也得到了快速发展。通信得到了社会的广泛认可。近年来,伴随着互联网技术在全球迅猛发展,信息化给人们提供了极大的便利,然而,同时我们也正受到日益严重的来自网络的安全威胁,比如黑客攻击、重要信息被盗等,网络安全事件频发,给人们的财产和精神带来很大损失。但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。

在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。

一、通信运用中加强信息安全和防护的必要性

1.1搞好信息安全防护是确保国家安全的重要前提

众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。

1.2我国信息安全面临的形势十分严峻

信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

二、通信中存在的信息安全问题

2.1信息网络安全意识有待加强

我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。

2.2信息网络安全核心技术贫乏

目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。

2.3信息网络安全防护体系不完善

防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。

2.4信息网络安全管理人才缺乏

高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。

三、通信组织运用中的网络安全防护

网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。

3.1数据备份

对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。

3.2防治病毒

保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。

3.3提高物理安全

物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。

3.4安装补丁软件

为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。

3.5构筑防火墙

构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。

四、加强通信运用中的信息安全与防护的几点建议

为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。

4.1要加强宣传教育,切实增强全民的国防信息安全意识

在全社会范围内普及信息安全知识,樹立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

4.2要建立完备的信息安全法律法规

信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。

4.3要加强信息管理

要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和发布国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。

4.4要加强信息安全技术开发,提高信息安全防护技术水平

没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。

4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节

首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。

4.6建立和完善计算机系统风险防范的管理制度

建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。

其次,应当设立信息安全管理的专门机构,并配备专业技术人才,选拔防范风险的技术骨干,开展对信息安全技术的研究,对系统弱点进行风险评估,及时采取补救措施。完善信息安全措施,并落实到信息安全管理中去。

五、结论

通信在生活中有着广泛的应用,涉及到人们生活的方方面面。它构建安全的通信系统是进行通信组织运用中信息安全防护的前提。通信系统网络安全防护体系应以一个良好的安全策略为起点,建立在安全的网络中,保障通信系统的安全,维护信息安全。

作者:张世伟 郝威

安全防护手段网络工程论文 篇3:

浅析企业财务网络安全与防护

摘要:随着计算机技术和通信技术的发展,实现企业财务网络化已是我国现代企业财务建设的当务之急。在信息战不断深入的今天,文章围绕如何实现企业财务网络的安全与防护,着重分析了网络所面临的威胁、防护方法以及安全管理策略,并就防护方法、人才培养和安全管理策略方面提出了相关的建议。

关键词:企业财务;网络安全;防护

企业财务部门是最早使用微机办公的部门之一,在加强信息化建设的同时,以指挥自动化网为平台的企业财务网络化建设也取得了长足的发展,且各局域网之间留有相应的接口,起到了很好的示范作用。

随着现代企业纵横配套的光纤线路的建成,企业内部已经基本上实现了数字化通信,企业财务系统的网络框架已经基本显现。但各相关单位企业财务信息化建设进度不一,相关的网络协议标准不一致,防护水平不高,绝大部分设备还没有更新,其技术水平还不能适应更高的要求,一些关键部位的设计构造,如网络拓朴构型,通信协议标准的制定等,与抵抗信息化打击的要求相差甚远。

为了确保企业财务信息系统畅通和财务保障的精确、及时、高效,就要尽快把企业财务网络安全纳入到信息网络的综合防护中来。

一、企业财务网络安全所面临的主要威胁

一般来讲,网络面临的威胁主要可分两大类:一是对网络中软件、协议以及所传输信息的威胁,即“软”威胁;二是对网络中基站、终端、传输媒介等网络实体的威胁,即“硬”威胁。从形式上表现为:计算机犯罪、人为行为、“黑客”行为、信息泄露、电子谍报、电子干扰、病毒攻击、火力打击、意外事故、网络软件与协议中的缺陷等,都是威胁网络安全的重要因素。

另外,从技术的因素考虑,影响网络安全的因素还存在着技术与非技术的两种情况。

技术因素,即网络系统自身存在的不安全因素。如网络协议中存在的漏洞;应用软件(财务软件等)在开发设计时,聘请的编程人员可在软件中设置非外人所知的程序入口(即“后门”),必要时可通过此处访问用户,盗取文件;网络通信平台中主机设备、线路、光缆发射电磁声光信号而泄密;在数据传输过程中,各接口的不可靠性,造成信息丢失等。

非技术因素,即人为的管理因素造成的网络漏洞。如保密观念不强,在与互联网相连的主机上处理密级材料,并将其存入硬盘中;忽视口令管理和用户访问权限的设置,虽给计算机上了“锁”,却“锁”而不严,谁都能打开;在大部分企业内部,办公主机既连单位的局域网,又接地方的互联网,出现一机多用的现象等。要实现网络的安全就必须想办法在一定程度上克服以上所述的种种威胁与隐患,通过技术策略和安全策略两方面的努力,来确保网络系统的安全。

二、企业财务网络安全的防护

(一)企业财务网络安全的技术防护

1、采用安全传输技术进行防护。企业财务网络的传输介质由光纤线缆、金属线缆和通信卫星等构成,对传输的信息以光信号、电信号和电磁信号的形式进行传递,基于传输介质的特性和所传输信息的特征,对企业财务网络中所传送的信息可采用加密技术、业务流填充技术和干扰与屏蔽技术来进行防护。首先,加密技术可采用先进的密码体制及成熟的加密系统等,对所传信息予以加密保护。如用量子密码体制可对光纤中所传输的光信号以光量子的形式进行加密,采用此技术不仅可以防止窃听,而且通信双方还可以及时发现有人在进行窃听,进而结束通信,再生成新的密钥进行传输。这改变了以往信息被窃听而不易被发现的局面,这一技术还可以在网络中运用于卫星通信,但不适用于金属线缆通信。其次,业务流填充技术可以在网络中连续发送随机序列码流,使网络中不论忙时或闲时信息流变化都不大。从而防止网络窃听者通过对网络中信息流流向和流量的分析来获取敏感信息。再次,通过干扰和屏蔽技术来抑制金属线缆通信、卫星通信中电磁信号的外泄,利用反相抵消技术和特殊调制方法来减弱和隐蔽信息流,采用扩频、跳频技术,干扰敌方的电磁窥探。

2、采用网络防御技术进行防护。所谓网络防御就是要构筑网络系统的“铜墙铁壁”。(1)对基站及终端的主机设置各层次的账号、口令,利用地址识别技术、包过滤技术、网络地址转换——NAT技术、代理技术等构建第一道防线——防火墙,即在内部网络和外部网络之间建立相应的网络通信监控系统,来阻止“黑客”、病毒等对内部网络的攻击。(2)采用相关软件的底层接口技术、扫描技术、算法优化技术等对那些透过第一道防线的“黑客”,病毒等进行及时的堵截封杀,防止其在网络中蔓延。如:应用程序底层接口技术,是为了在查杀那些针对某一类应用软件而设计的病毒时,能够从应用程序底层的接口深度地开展查毒、杀毒。(3)利用访问控制技术可以防止来自于网络内部的威胁,既防止合法用户非法操作,对隐蔽在系统内部的潜在威胁也有一定的御防作用,如利用强制访问控制技术可以抵抗特洛伊木马的攻击。

3、采用入侵检测技术进行防护。入侵检测是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略。如网络入侵检测系统可以判断出应用层的入侵事件,这样就极大地提高了判断“黑客”攻击行为的准确程度;利用扫描功能对系统软件、应用软件以及硬件进行缺陷、漏洞以及隐蔽程序(陷阱门)进行检测,使管理人员能及时发现并对其进行修补。并可以对非法用户的入侵进行识别和处理,可以作为网络系统的最后一道安全防线。同时它还能提供扫描、安全审计、监视等多种功能,不仅能检测来自外部的入侵行为,也能检测内部用户的非法越权操作。

(二)对企业财务网络中网络实体的防护

1、对网络实体要尽量国产化。网络实体是指网络中各类设备(包括节点机设备、通信设备、终端设备、存储设备、电源系统等)以及为此服务的其他硬件设备的总称。对于生产通信设备、存储设备和电源系统中所涉及到的产品技术,我国已经达到甚至超过了世界先进水平,因此这些设备已基本上实现了国产化,然而终端设备、节点机设备在某种程度上还依赖于进口。目前,我军各级各类网络计算机都是民用产品,其机内核心芯片基本为进口产品,倘若对方在出口我国的计算机产品中隐藏“逻辑炸弹”或预留“陷阱门”,后果将不堪设想。据悉,奔腾III处理器,就留有窥视用户信息的后门,对此要保持高度的警惕性。2000年深圳桑达公司与清华大学合作研制成功了集互联、路由、管理、带宽优化、防火墙等功能于一体的SED—R系列路由器,缓解了此类设备依赖于进口的局面。

2、对网络实体进行合理的配置。网络实体的配置可分为实体与实体之间的配置和实体与软件之间的配置。对这两种配置要把握科学、安全和效率最大化的原则。首先,实体与实体之间的配置,就是对实体进行科学的组合以及实体的空间配置是否安全。如在电磁泄漏严重的显示器、金属线缆等周围加装一些射频信号干扰器,可以有效地阻止信息泄漏,防止敌方的电磁窥探;数据加密设备DEE(Data Encryption Equipment)可以与Modem安装在一起构成密码调制解调器,防止信息被非法截获;为了保障内部网络的安全,可以用过滤式路由器和堡垒主机对内部网络进行隔离。实体的空间配置可采用地面疏散及地下隐藏等手段,防止敌方的火力摧毁。其次,实体与软件之间的配置。该种配置主要从方便操作,易于管理,安全可靠的角度出发。根据实体的性能,选择最佳的软件(首选国产软件),由于各种软件都存在着一定的漏洞与缺陷,因此在慎重选择各种软件的同时,结合它们自身的优缺点,对实体和软件,以优补缺进行科学合理的配置,层层安装,层层设“卡”。并对操作系统及相关软件进行定期升级。

3、对网络实体的综合防护。实现由过去单纯的防护向伪装、设障、拦截、干扰、欺骗等综合防护转变,实现被动防护与主动防护相结合,完成企业财务网络安全防护的新跨越,对网络实体的配置地域实行区域屏蔽,防止敌方报文嗅探(网络窃听)。以“骗、打、藏”来提高实体的生存能力,即运用电子欺骗、伪装欺骗;实施信息对抗、火力对抗;采取疏散配置、工程防护。采用一切先进技术手段,完善防护措施和配套建设。在提高企业财务网络安全系数,使其经得起“软硬武器”杀伤破坏的同时,增强防护预警能力。

(三)建立企业财务网络安全防护的专业力量

集中专业人才,组建企业财务网络防护分队和计算机应急反应分队。以研究对付来自网络的计算机病毒攻击或“黑客”入侵等的对策,特召既熟悉专门业务,又精通计算机网络技术,具有丰富网络工程建设经验的工程技术人员、管理人员。切实做到让网络人才来管网用网。

国家人事部公布的2003年我国人才市场招聘与求职专业的情况中了解到,计算机专业的招聘数量为14.8万人,但求职人数为39.6万人,是招聘人数的2.7倍,这表明我国计算机人才市场充满活力,同时也可以在网络界和各大院校内广纳“贤才”,“以牙还牙”用“黑客”对付“黑客”,从而确保企业内部网络系统的安全。

(四)企业财务网络的安全管理策略

1、制定和完善相应的政策法规和标准规范。安全的基石是严格的法规、细致的章程制度和相应的手段。财务部应该成立相应的信息网络管理与安全中心,负责制定财务信息、基础设施(含安全保密部分)建设、使用和全寿命管理的政策和程序,建立信息网络安全标准认证和质量检测机制,指导后勤财务信息化建设的实施,保证企业财务网络持续、快速、安全地正常运转。

2、采用先进的技术。首先,先进的安全技术是财务信息安全的根本保障,企业财务网络对自身面临的威胁进行风险评估,决定其需要的安全服务种类,从而选择相应的安全机制,然后集成先进的安全技术,形成全方位的安全系统。其次,加强防护技术的研究,使防护手段由单一性向多样性转变。同时抓紧研究和发展主动防护技术,使其在理论和实践上有进一步的突破和创新,从理论上提高企业财务网络系统的防护能力。

3、实施有效的管理。(1)依赖于各级领导,要明确任务,深化原则,树立依法保护网络和信息安全的思想。逐渐完善适应企业财务特点的信息网络安全法规和条令条例。同时各级网络监测中心,安全认证中心等部门要充分履行自身的安全监察职能。从而建立层次分明,布局合理,结构完善的企业财务网络化安全法规体系。(2)加强企业财务工作人员的管理。近年来企业内部发生的信息安全事件,绝大部分是由于内部管理不善造成的,所以对人员的管理也要制度化,科学化。例如:采用“多人制职责分离”的方法;开展网络安全业务座谈会,宣传信息安全知识,深化网络安全意识,从而增强企业财务工作人员保护网络安全的责任感。

(作者单位:总后华北军用物资采购局)

作者:张国杰