今天是:
首页 > 信息化建设 > 文章详情

信息安全讲座2016

时间:2016-12-14 10:38 来源:未知 作者:信息中心 点击:
 
信息安全讲座2016
 
 
目录
 
绪言... 4
第一章、计算机网络安全的现状... 5
1.1 信息安全意识薄弱... 5
1.2 信息安全管理上的欠缺... 5
1.3 各类漏洞众多... 5
1.4 恶意软件钓鱼网站泛滥... 7
1.5 黑客有组织大规模攻击... 8
1.6 西方国家监听窃密行为严重... 9
1.7 各类窃取隐私的行为泛滥... 10
第二章、计算机网络安全的发展趋势... 11
2.1 网络安全逐步得到重视 安全投入逐步加大... 11
2.2 安全技术面临越来越严重挑战,攻击手段更加灵活... 11
2.3 手机恶意代码日益泛滥... 12
2.4 软件漏洞是信息系统安全的重大隐患... 14
2.5 信息战威胁日益严重... 14
2.6 工业控制系统安全面临严峻挑战... 15
2.7涉及重要行业和政府部门的高危漏洞事件持续增多 修复进度未跟上步伐。    16
第三章,计算机安全问题的严重性... 18
3.1 网络及系统瘫痪造成工作上的延误... 18
3.2 工控系统安全修补刻不容缓... 18
3.3 企业机密及财务数据一旦被窃取将造成不可挽回的损失... 19
3.4 灾难性信息安全风险逐渐增大... 19
第四章、交通建设行业计算机网络安全的特点... 20
4.1 现场多在户外,信息采集整理不便... 20
4.2 基层人员流动性大,缺乏专业人员... 21
4.3 项目部定期转场,硬件设施保管不妥当... 21
第五章、交通建设行业计算机网络安全面临问题分析... 22
5.1 认识问题... 22
5.2 管理问题... 22
5.3 应用问题... 22
5.4 人员素质... 23
第六章、计算机网络安全策略与技术研究... 24
6.1 物理层面... 24
6.1.1 加强机房及网络硬件标准化建设... 24
6.1.2 重要设备进行物理备份,物理隔绝... 25
6.2 技术层面... 25
6.2.2 认证及访问控制技术... 26
6.2.3 防火墙技术... 27
6.2.4 入侵检测... 28
6.2.5 上网行为管理技术... 28
6.2.6 反病毒、木马检测、漏洞扫描及模拟攻击技术... 28
6.2.7 应用层安全协议... 29
第七章、交通建设行业计算机网络安全应对措施... 29
7.1 加强信息安全管理和教育... 30
7.2 建章立制,规范行为... 30
7.3 安全策略及审计... 30
7.4 建立健全风险识别和管理体系... 31
7.5 加强信息化队伍建设... 31
结语... 32
 

 
绪言
 
随着电脑办公自动化的普及,电子商务爆发式发展,数字化革命给所有领域带来巨大的改变。计算机网络已经成为这个信息化时代的基础支柱,我们的时代已经从互联网时代发展到了移动互联网时代,周围的一切正在起着翻天覆地的改变。传达室堆满的网购快递,方便快捷的网银支付,微博微信,网络打的,这些变化都深切影响到了每一个人,人们的生活方式已经悄然发生巨大改变。
 
在这信息化大潮中乘风破浪的也不乏交通建设企业的身影,尤其是中交集团,在近些年大力强化信息化队伍建设,不断开拓创新,利用各种技术手段,在企业管理、生产、决策等各领域都推出了先进的信息化管理手段。但同时,企业的管理者们也意识到网络安全的日益严重性。
 
近两年来,随着斯洛登披露的棱镜门事件,以及美国政府对世界各国政要监控的行为的败露,网络安全,信息战成为人们热议的话题。14年4月8号爆出的openssl漏洞心脏出血更如一颗重磅原子弹,在业界引起震惊。在近两年来,利用分布式拒绝服务攻击(以下简称“DDoS攻击”)和网页篡改获得经济利益现象普遍;个人信息泄露引发的精准网络诈骗和勒索事件增多;智能终端的漏洞风险增大;移动互联网恶意程序的传播渠道转移到网盘或广告平台等网站。
本论文对网络安全现状及存在的问题进行深入探讨,并结合交通建设行业特点,提出了对应的改进和防范措施。
第一章、计算机网络安全的现状
1.1 信息安全意识薄弱
企业对计算机网络安全管理意识的薄弱是网络安全受到威胁的深层原因,对网络安全问题造成的后果估计不足,对网络安全问题的习惯性忽视导致企业对计算机网络建设投入的人力、物力不足,埋下了网络安全的隐患。
1.2 信息安全管理上的欠缺
很多企业由于对网络安全缺乏了解,网络安全管理形同虚设,规章制度不健全,不落实。外行管外行现象严重,在安全管理上不知道该做哪些事,哪些事急需做。或者只是流于形式,有检查来了,编造一大堆文字性的东西,疲于应付。
1.3 各类漏洞众多
系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取您电脑中的重要资料和信息,甚至破坏整个系统。
国家信息安全漏洞库2013年全年收集并公开发布了7040个漏洞,其中高危漏洞1284个,危急漏洞462个,2014年新发现漏洞1925个,十年间总共公布漏洞55423个,黑客行业曾一直保有一个微软的严重的,极高威胁的“长老”漏洞(MS11-011)达19年!该漏洞从92年的win31开始就存在,一直延续至今,2011年被360公布后,微软公司为此专门发布全球公开信向360致谢。
其中4月8号公布的互联网心脏出血漏洞(Heartbleed)更是“灾难性”的严重漏洞。该漏洞能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据,由于SSL 技术是最为普及的网站加密技术,URL中使用 https打头的连接都采用了SSL加密技术。在线购物、网银等活动均采用SSL技术来防止窃密及避免中间人攻击。该漏洞的产生已经波及大量互联网公司,中国境内初步检测就有33303台服务器存在此漏洞,这3万台服务器中包括了银行网银,第三方支付,大型电子商务网站等重要网站。 
2015年,国家信息安全漏洞共享平台共收录安全漏洞8080个,较2014年减少11.8%。其中,高危漏洞收录数量高达2909个,较2014年增长21.5%;可诱发零日攻击的漏洞1207个,占14.9%。  
 
1.4 恶意软件钓鱼网站泛滥
2013年1-11月,国家互联网应急中心抽样监测发现,境外约有2.4万个木马或僵尸网络控制服务器控制了我国境内933万余台主机。2012年钓鱼网站数目22308个,其中仿冒银行的占54.8%。2013年1-11月,共监测发现针对我国境内网站的钓鱼页面27396个。钓鱼网站的主要目的是骗取用户的银行帐号、密码等网上交易所需信息。2013年1-11月,仅监测发现被黑客骗取的用户银行卡信息就达4.7万条。
2015年针对我国境内网站的仿冒页面数量达18万余个, 大量仿冒银行或基础电信企业积分兑换的仿冒网站链接由伪基站发送。2015年,国家互联网应急中心共处置各类网络安全事件近12.6万起,其中网页仿冒事件数量位居第一,达7.5万余起,同比增长近3.2倍。
网络搜索引擎是钓鱼网站的主传播途径,大量的钓鱼网站在搜索引擎发布虚假信息,引诱人们点击,从而被骗取帐号密码等隐私信息。
1.5 黑客有组织大规模攻击
相对于以往黑客行为的单枪匹马的行为方式来说,现在的黑客多以有组织形式发动规模化攻击,倾向于通过隐蔽的危害更大的后门程序,获得经济利益和窃取网站内存储的信息。
2012年被我国被篡改网站16388个,其中政府网站1802个,被植入后门的网站有52324个,其中政府网站3016个。
2013年1-11月,我国境内被篡改网站数量为21860个,其中政府网站有2191个,较去年分别增长了33%和22%;被暗中植入后门的网站有93917个,较去年月均增长79%,其中政府网站有2322个,较去年月均下降23%。网站安全尤其是网站中用户个人信息和数据的安全问题,仍然面临严重威胁。
2013年,中国发生的最典型的网络安全事件是黑客针对中国国家域名解析服务器发起的DDoS攻击事件,2013年8月25日凌晨,.CN域名出现大范围解析故障,经分析,.CN的根域名服务器被黑客进行DDoS攻击,造成大量以.cn和.com.cn结尾的域名无法访问。直到当日凌晨4点左右,CN根域名服务器的解析才有部分恢复。这是中国国家域名解析节点遭受到有史以来规模最大的拒绝服务攻击,导致大量网民上网延迟或中断,大量知名网站的域名解析受到影响。
2015年我国境内近2.5万个网站被篡改,其中被篡改政府网站有898个,
1.6 西方国家监听窃密行为严重
由斯洛登出逃引爆出的“棱镜门”事件象人们揭示了,美国国家安全局和联邦调查局从2007年起便开始在微软、谷歌、苹果、雅虎、Facebook、Skype、PalTalk、美国在线、YouTube等九家美国互联网公司中进行数据挖掘工作,从音视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。此项行动美国称之为“棱镜”计划,包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。其监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节。这项计划不仅仅局限于美国国内,而是涉及全球范围。
长期以来,美国对35个国家和地区领导人进行监听,其中就包括中国,最特别是对德国总理默克尔更是进行了持续10年的监听。
路透社2013年12月21日报道,NSA(美国国家安全局)向RSA(美国网络安全巨头)仅仅支付了1000万美元,就在其旗下Bsafe安全软件中植入后门。911之后,NSA逐渐将将包含DECC算法的suite B标准作为美国国防部的标准加密算法,并借北约各国C4ISR(指挥、控制、通信、计算机、情报及监视与侦察)规划的东风向各盟邦推广,目前已经是北约内的通用标准,该后门给北约组织中的各个国家带来巨大的安全危害。
2013年12月31日,据德国《明镜》周刊报道,美国国家安全局通过一个名为DROPOUTJEEP的项目,成功使间谍软件攻破了苹果公司的所有产品。根据曝光的文档显示,NSA向iOS设备植入间谍软件的成功率为100%。而这个名为DROPOUTJEEP的项目,可帮助美国国家安全局拦截短消息,获取联系人列表,使用基站数据定位手机,甚至激活手机的麦克风和摄像头。
这些都是已经揭发出来的监听窃密行为,而实际上监听窃密行为仍然一直在继续,尤其是各类网络设备,交换机,路由器,甚至连CPU都有可能被安插后门。国家信息安全漏洞库也多次验证并公布D-LINK Cisco Linksys、Netgear、Tenda 等多家厂商的路由器产品存在后门,可以被黑客利用。集团曾经转发过由国家保密局下发的严禁使用一款网络产品的紧急通知,国家政府采购中严禁采购国外网络产品,都是基于此原因。
1.7 各类窃取隐私的行为泛滥
2011年底CSDN、天涯社区近4000万用户信息泄露。
很多垄断性的软件公司,打着商业机密的名义,大规模窃取用户隐私。
2013年10月,中国多家连锁酒店的客人入住信息被泄露。黑客窃取了2000万条酒店开房记录。这个事件给普通民众造成了较大的困扰和安全风险。
大规模的盗取QQ账号、游戏账号已经成为产业化,2013年约有600余个中国网站用户信息数据库在互联网上公开售卖,其中确为真实信息的数据近1亿条。互联网用户的个人信息泄露情况非常严峻。
    2015年,发生多次网民苹果手机被锁遭敲诈勒索事件。据查,此类事件大多因用户个人隐私泄漏,攻击者利用用户账户密码等信息结合苹果手机的防遗失功能,对用户进行锁机勒索,勒索不成则远程删除用户手机数据,给用户带来了严重损失。
第二章、计算机网络安全的发展趋势
2.1 网络安全逐步得到重视 安全投入逐步加大
随着信息化的发展,个人、企业、政府部门对信息化依赖的程度不断增加,再加上安全事件的层出不穷,人们对网络安全的重视程度也越来越高,网络安全设备和软件成了企业和政府机关的必备设施,网络安全的市场具备了一定规模。
2.2 安全技术面临越来越严重挑战,攻击手段更加灵活
网络与我们生活的日益密切相关,信息交流的方式也越来越多样,各类大型系统的投入使用,各种业务、应用都转移到网络平台,系统越繁杂,功能越强,它的安全性就越难以管控,近些年来,一次次爆发的信息安全事件正一步步影响到更大的受众群体,一步步对个人或企业的利益产生更大的影响。
黑客的攻击手段也越来越多样,国际顶级黑客巴纳拜.杰克就曾攻破银行的取款机系统,让取款机自动吐钞,就在他打算在13年的7月31日世界黑客大会上展示如何远程破解心脏起搏器之前几天突然蹊跷的意外死亡。
近期新出现的一种攻击手段是利用免费无线WiFi热点来引诱他人上网,从而盗取他人电脑内的资料,包括网银的帐号密码等等。
2013 年利用伪基站进行欺诈的活动呈爆发趋势,2014年第一季度全国缴获“伪基站”设备2600余套,摧毁非法生产、销售、使用“伪基站”设备违法犯罪团伙314个,破获诈骗、非法经营等各类刑事案件3540起,抓获主要犯罪嫌疑人1530名。
2.3 手机恶意代码日益泛滥
近些年,随着移动互联网的兴起,智能手机已深入我们生活的每一个角落,随之同时产生的就是手机的信息安全问题,国家互联网应急中心专门对手机APP做了调查报告,2013年一季度较上一季度APP应用增加近24倍,17万个应用中恶意应用有2221个,整个2013年捕获到的移动平台恶意程序样本达70.3万个,传播次数达到1296万余次。
2015年,国家互联网应急中心通过自主捕获和厂商交换获得移动互联网恶意程序数量近148万个,较2014年增长55.3%,主要针对安卓平台。按恶意行为进行分类,排名前三位的恶意行为分别是恶意扣费类、流氓行为类和远程控制类,占比分别为23.6%、22.2%和15.1%。2015年发现移动互联网恶意程序下载链接30万余条,同比增长7.2%,涉及的传播源域名4万余个、IP地址近2万个,恶意程序传播次数达8384万余次,较2014年增长了9.8%。

利用短信,二维码就可以轻易传播恶性病毒和木马。大量仿冒的手机网上银行APP不断地被传播。
目前普遍使用的网银手机短信验证存在被手机木马拦截,从而盗取用户资金的极大风险。
身边朋友同事已发生多次手机自动群发短信,告知通讯录中所有联系人已经换为某某号码,然后再通过新号码进行诈骗。
2.4 软件漏洞是信息系统安全的重大隐患
黑客攻击一个最重要的手段就是利用系统的漏洞来破解系统,按漏洞风险类型分类,其中通用软硬件、信息泄露、权限绕过、SQL 注入、弱口令等类型较多为黑客利用,
2012年京东商城因为漏洞造成可以无限制充费,从而损失达2亿人民币,潜伏了19年的长老漏洞,2014年4月8号发现的心脏滴血漏洞,都对整个社会产生了巨大影响,
在国内,很多用户任然对漏洞的危害缺乏认识,长期不修补漏洞,甚至不知漏洞为何物。
2.5 信息战威胁日益严重
目前我国基础网络对国家级的有组织的网络攻击的防御能力仍然很薄弱,越来越多的有组织的高级持续性威胁浮出水面,13年8月25日的CN根域名服务器被攻击事件,是中国国家域名解析节点遭受到有史以来规模最大的拒绝服务攻击。13年3月20 日,美、韩军事演习期间,韩国多家广播电视台和银行等金融机构遭受历史上最大规模的恶意代码攻击,导致系统瘫痪,引发韩国社会一度混乱。
一度的蓝翔技校事件虽然是个笑料,但后来出名的位于上海浦东新区的61398部队也从侧面反映了国家级之间的信息战雷声隐隐。
 
2015年8月,我国顶级域名系统先后遭受2次大流量DDoS攻击,峰值流量超过10Gbit/s。2015年发生的多起针对重要域名系统的DDoS攻击均未对相关系统的域名解析服务造成严重影响,反映出我国重要域名系统普遍加强了安全防护措施,抗DDoS攻击能力显著提升。
2.6 工业控制系统安全面临严峻挑战
震网病毒(Stuxnet),是世界上首个以直接破坏现实世界中工业基础设施为目标的蠕虫病毒,被称为网络“超级武器”。震网病毒于2010年7月开始爆发,截至2010年9月底,包括中国、印度、俄罗斯在内的许多国家都发现了这个病毒。据统计,目前全球已有约45000个网络被该病毒感染,其中60%的受害主机位于伊朗境内,并已造成伊朗核电站推迟发电。
震网病毒是一种蠕虫病毒,利用Windows系统漏洞和移动存储介质传播,专门攻击西门子工业控制系统。
2015年12月,因遭到网络攻击,乌克兰境内近三分之一的地区发生断电事故。据分析,此次网络攻击利用了一款名为“黑暗力量”的恶意程序,获得了对发电系统的远程控制能力,导致电力系统长时间停电。
前面所说的世界顶级黑客对取款机的破解,对心脏起搏器的破解都是工控领域的噩梦。
每年召开的“黑帽子”大会展示了多项针对电网、化工厂、核电站、智能家居、汽车等控制系统智能设备的攻击或监控技术,同时出现大规模“冰箱僵尸网络”等针对智能家电的恶意攻击事件,表明针对工控领域中智能设备的攻击技术已取得突破。
2015年,国家信息安全漏洞共享平台(以下简称“CNVD”)共收录工控漏洞125个。
在不久的将来,随着智能工控的发展,工业控制领域的安全也越来越复杂严峻。
2.7涉及重要行业和政府部门的高危漏洞事件持续增多 修复进度未跟上步伐。
政府机构和重要信息系统的网络系统上承载了大量有价值的数据信息,广泛被漏洞挖掘者关注。2015年,国家互联网应急中心通报了涉及政府机构和重要信息系统部门的事件型漏洞近2.4万起,约是2014年的2.6倍,继续保持快速增长态势。
然而,部分通报漏洞未及时修补,为相关系统带来严重安全隐患。抽取2015年12月通报的安全漏洞事件进行修复验证,发现政府部门网站系统漏洞隔月修复率仅为52.7%,涉及网络基础设施的漏洞隔月修复率为81.3%,可见部分漏洞修复不及时。




第三章,计算机安全问题的严重性
3.1 网络及系统瘫痪造成工作上的延误
现代企业核心的管理手段很多都是通过计算机网络来进行了,经营离不开计算机,管控离不开计算机,一旦计算机安全出现问题,轻则导致工作停顿,业务延误,重则造成系统瘫痪,重要数据丢失,机密数据失密。将造成不可挽回的损失。
3.2 工控系统安全修补刻不容缓
工控领域的网络安全问题人们甚至都未曾听说,然而据MACFEE出具的报告显示,全球工业因网络受攻击而遭受的损失达到5万亿美元。
所有采用计算机,嵌入式芯片的系统都存在安全威胁,包括电网生产调度,油气生产运输、石油化工、核设施、航空航天,城市轻轨,高速列车,水利枢纽,物流,给排水,医疗卫生等各类国家社会基础设施。
取款机疯狂吐钱,某国家政要的心脏起搏器被突然暂停,间谍进入大楼后同伙给其指引方向,远程控制各类电气设备,这些都已经不是科幻电影,而是真实发生的事件。对工控领域采取足够的安全措施刻不容缓。
3.3 企业机密及财务数据一旦被窃取将造成不可挽回的损失
在建设行业投标报价,财务数据都是很重要的数据,在市场竞争机制充分运作的将来,商业间谍将不再是国外才有的职业。对于财务数据,企业放在银行的钱如果一旦被不明原因提走,银行根本不会承担责任。本行业2012年曾经发生过某项目部财务主管挪用2000多万的事件,本地一大型三甲医院也曾发生过收费室收费员利用财务软件漏洞一年侵吞300多万的事件。
3.4 灾难性信息安全风险逐渐增大
随着信息系统的越来越庞杂,计算机系统应用到越来越多的环节,越来越多的业务也都通过计算机进行操作,灾难性风险的发生几率也在增加。
此次的OPENSSL系统的心脏滴血漏洞就是一个典型的例子,大量的网银、支付、电商纷纷沦陷。
2013 年6月,国内两家主流银行的信息系统先后出现全国性大面积故障,导致柜面、ATM、网银、电话语音系统等瘫痪,相关业务受到严重影响。
将来存在较大风险的还有手机木马,如果窃取手机短信的木马一旦扩散开来,那么人们经常使用的短信密码的网银用户也将面临极大风险。
 
 
 
 
第四章、交通建设行业计算机网络安全的特点
由于建设型企业一线工地多处于偏远地区,现场施工环节多在户外,且流动性极大。因此制约了建筑型企业的信息化发展的总体水平。建筑型企业在信息安全方面的特点主要有:
4.1 现场多在户外,信息采集整理不便
作为建设型企业,一线工地多处于偏远地区,且工作面分散,虽然现今的通讯手段已足够保障这类地区的网络通讯,但信息化应用总体程度不高,工作过程可以通过监控系统查阅,但混凝土浇注量,钢模架架设数量,铁轨铺设数量等等工作信息采集欠发达,很多仍需手工录入,毕竟手工录入的数据仍然存在一定的随意性,且项目工作人员经常疲于在不同的系统中填报同类数据数次,业主的一套,集团的一套,行业部门的一套,等等。这是建设型企业信息化发展征程上亟待解决的问题。
4.2 基层人员流动性大,缺乏专业人员
基层一直缺乏信息化专业人员,往往是刚培训好一个又被调走。致使基层信息化工作的连续性稳定性得不到保障。
很多人员虽然可以操作本专业的应用软件,但对电脑的使用维护仍不熟悉,不会杀毒,更不会排除电脑故障。
往往项目上上了一套先进的设备,但缺乏持续的专人维护,使用一段时间后都七零八落,曾经某公司为六个重点项目部配置了网络监控系统,过了几个月,集团需要调阅,一查看,只有一个还在使用,其余的不是雷击损害,就是雷击损害修复后不会安装。
4.3 项目部定期转场,硬件设施保管不妥当
项目部是一个临时性的场所,一个项目主体工作结束后,人员大部分都会流动到其他项目部,但重要昂贵的硬件设备,网络设备往往不能妥善拆除保管以便用于到其他项目,同样,作为项目过程中的关于信息安全的文档资料,知识累积也都不能很好的传承和延续。
第五章、交通建设行业计算机网络安全面临问题分析
5.1 认识问题
交通建设行业作为一个传统行业,近几年信息化建设方面虽然有了突飞猛进的发展,但是相对于银行、医院等行业来说,信息化程度相对较低,信息化的应用很多还是只停留在起步状态。
企业的管理者很多都是从工程建设领域成长起来的,很多人对信息化理解不够,对信息安全更是缺少了解,没有深刻的认识。对信息安全的重视程度还滞后于其他行业,对信息安全的投入也还远远不足。
5.2 管理问题
信息化管理机构及职责定位不明确、没有统一的信息资源规划及信息化战略规划。信息化有序推进的环境和信息资源共享与交换的机制没有形成,普遍存在“信息孤岛”。
由于管理机构结构层次较多,总部对地方的管控仍然较为薄弱,正在通过信息化这个工具来整合集团的各业务口管理,形成纵向深入。但由于效果还不明显,各级各部门的信息安全机制未能充分建立,整个集团对各级地方的信息安全管理还缺乏一个统一的成熟的体系。
5.3 应用问题
目前建设性行业很多应用都是自行组织力量开发的,或者是独自购买的,在软件的成熟性,通用性、推广性上存在欠缺,软件的设计也缺乏统一的测试和监管,这些应用的安全缺乏保障。
再者,本行业的信息化还处于一个起步阶段,信息系统的应用面还不够广泛,应用的深度还不够,多是停留在日常数据靠手动录入的的层面,现场施工和管理之间的信息化衔接还处于摸索阶段,很多企业存在施工归施工,到电脑前录入数据又是一回事,既不统一,也重复劳动。信息的真实性,及时性得不到保证。
 
5.4 人员素质
交通建设行业的企业起步都比较早,企业在职员工中部分员工岁数较大,对信息产品接受能力参差不齐,即使是年轻员工,也很少有复合型人才,很多是对于本专业领域很在行,但对信息化了解的不够全面。
很多人对个人电脑不注意防范,甚至没装杀毒软件,经常出现账号被盗或电脑染毒情况,个人电脑的安全防护缺乏,必然也将导致整个系统的问题,很多应用系统往往都只注意到防范外界攻击,但对内部的攻击防御措施不够。一个局域网内因为个别人员电脑染毒,从而轻易破坏内部服务器或设施,这种情况屡见不鲜。

况屡见不鲜用系统来说有不同的侧重点,
第六章、计算机网络安全策略与技术研究
6.1 物理层面
6.1.1 加强机房及网络硬件标准化建设
根据企业或项目部具体情况,建立满足一定要求的机房,具备一定的安防条件,如温湿控制、防火、防静电、防雷击、门禁、防浪涌等功能。机房是网络的核心,机房的安全关乎到整个网络。国际、国内都对机房建设设计了规范的标准,企业对应相应的规模采取相应的标准,项目部也应该参照相应的规模采取一定的标准。
网络硬件标准化主要包括综合布线、网络设备选购等。关系着网络的稳定、安全,效率。
重要的规范标准有:国际GB50174—93《电子计算机房设计规范》
国家标准《电子计算机机房施工及验收规范》(SJ/T30003-93)
国家标准《综合布线系统工程设计规范》(GB50311-2007)
中华人民共和国公共安全行业标准GA/T75-94《安全防范工程程序与要求》
美国标准ANSI/EIA/TIA 568A/B:《商务建筑电信布线标准》
6.1.2 重要设备进行物理备份,物理隔绝
    重要的数据不但要备份,而且要进行多份物理备份,甚至还要进行异地的容灾备份。一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失, 一旦发生漏防漏检事件, 其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求采取一定的物理措施,即使发生系统灾难,也能快速地恢复系统和数据,
    重要的系统或组件,该进行物理隔绝的就要进行物理隔绝,比如公安部门的内网就严格执行了与互联网的物理隔绝,美国军事部门从很早起就对内部网络与互联网进行了物理隔绝。各类加密狗,用于短信密码的网银用户的手机,口令牌等,不用的时候该物理隔绝必须物理隔绝。重要部门对U盘,移动硬盘、网络接入要严格管制。
6.2 技术层面
6.2.1 信息加密技术
信息加密技术涉及到信息论、计算机科学和加密学等多方面知识。其核心技术是密码技术,密码技术主要分为对称加密和非对称加密技术,目前主要的加密技术有:
DES 美国NSA制定的加密算法
三重DES 改进的DES算法,K1加密--K2解密--K1加密
IDEA 128位密钥8轮迭代,已成为全球通用的加密标准
AES 支持128,192,256三种长度密钥
流加密算法 有RC2-RC6系列算法。其中RC4最为常用
公钥加密算法 用公钥加密,私钥解密,可以实现数字签名
RSA算法 该算法的安全性是基于大素数分解的困难性而设计的。
6.2.2 认证及访问控制技术
身份认证一般是通过数字签名的方法来识别通信对方的身份,防止假冒和抵赖。
报文摘要是用来检查报文是否被篡改,常见的算法主要有MD5和SHA.
数字证书是各类终端和用户在网上进行信息交流或商务活动的身份证明。由专门的CA(证书发放中心)来建立。
访问控制的主要功能包括:保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后,还需要对越权操作进行监控。因此,访问控制的内容包括认证、控制策略实现和安全审计。
访问控制是和身份认证严密结合在一起的,同时还在做的是安全策略的制定,权限的划分,角色的划分。
同时还有一套针对网络行为的访问控制,这一般是和路由器或防火墙结合在一起进行的,访问控制列表(ACL)是应用在路由器接口的指令列表,用于路由器利用源地址、目的地址、端口号、协议等特定指示条件对数据包进行拒绝或允许抉择。从而对各类网络访问进行控制。
6.2.3 防火墙技术
防火墙技术是设置在被保护网络和外界之间的一道屏障,是通过计算机硬件和软件的组合来建立起一个安全网关,从而保护内部网络免受非法用户的入侵,它可以通过鉴别、限制,更改跨越防火墙的数据流,来保证通信网络的安全。在Internet 上,通过它来隔离风险区域与安全区域的连接,但不防碍相互区域间的正常访问。
防火墙通常将网络划分为非安全区,安全区和DMZ中立区。将WEB服务器,邮件服务器等一些必须公开的服务放置于DMZ区,既可以适当保证安全,又不至于外界无法访问。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、应用级网关型、代理型和复合型。
6.2.4 入侵检测
入侵检测系统(IDS)作为防火墙后面的第二道防护系统,通过从网络中的关键点手机信息并对其分析,从中发现违反安全策略的行为和遭到入侵的迹象,并自动做出响应。
IDS按所针对部位或部署方式分主要有三种类型:
1)主机入侵检测系统
2)网络入侵检测系统
3)分布式入侵检测系统
6.2.5 上网行为管理技术
前面的防火墙主要是对外的,而上网行为管理则是对内的管理,主要起到对内部用户进行网页访问过滤、网络应用控制、带宽流量管理、信息内容审计、上网行为分析记录等功能
上网行为管理国内目前主流品牌是深信服科技,由于价格较为昂贵,作为建设性企业,往往只能应用在公司级上,而作为基层的项目级很少购置,通常可以选择一些其他的相对低廉的产品用来替代。
6.2.6 反病毒、木马检测、漏洞扫描及模拟攻击技术
病毒防护技术是应用的最早最广泛的安全技术之一,发展至今,市场上该类产品的市场争夺白热化,功能也越来越全面,主流的安全厂商的产品都综合了病毒查杀、木马检测,漏洞扫描、安全检测等多项功能。
2014年4月份,针对XP系统即将退役的问题,国内某第三方机构邀请200余名黑客进行了一次著名的“XP挑战赛”模拟攻击测试。此次测试能如此引人关注从侧面体现出了中国信息安全领域发展的蓬勃生机。
6.2.7 应用层安全协议
在计算机网络的应用层有几个比较重要的安全协议:
1)SSL    SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。安全套接层协议,是国际上最早用的,已成工业标准。另外常见的HTTPS协议是以安全为目标的HTTP通道,其实就是HTTP下加入SSL层,HTTPS的安全基础是SSL。这次OPENSSL漏洞就是此协议出现的漏洞。
2)SET    SET叫安全电子交易协议,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。因它的对象包括消费者、商家、发卡银行、收单银行、支付网关、认证中心,所以对消费者与商家同样有利。它越来越得到众人认同,将会成为未来电子商务的规范。
第七章、交通建设行业计算机网络安全应对措施
    前面着重介绍了网络安全方面所采取的有关物理措施、技术措施,这一章主要结合交通建设行业从管理角度讨论有关应对措施。
7.1 加强信息安全管理和教育
针对各级机构,从总部到分部,再到基层项目部,建立相应规模的安全管理机构、不断完善和加强对信息系统的管理能力。
加大信息安全宣传教育,加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。  
     利用各种机会对各级用户进行计算机安全方面培训和考核,包括各类法规,信息安全的现状,危害性等。明确计算机用户和系统管理人员应履行的权利和义务。
7.2 建章立制,规范行为
健全各类管理制度,制定各级职能部门的职责,划分落实好各岗位具体的职责。制定详细的奖惩措施。
规范各级各类人员上网行为,定期分析公布,逐步杜绝不健康,不安全的网络行为。
定期举行有关计算机操作和安全知识的劳动竞赛,奖励优秀者,带动员工安全使用电脑氛围。
7.3 安全策略及审计
    完善重点网络设备、各类服务器的安全策略配置,定期分析和记录审计报告,定期检测核心设备的安全状况,审查并记录各类运行日志,定期备份重要数据。
7.4 建立健全风险识别和管理体系
随着网络应用的类别日益增多。复杂程度越来越高,与企业的核心利益日渐紧密结合,网络与信息安全正在上升为大家普遍关注的核心焦点之一。
加强信息系统的风险管理能力,运用先进的风险管理工具对各类行为、设备、系统、应用进行定性定量的风险评估和识别,从而减少、减轻信息安全事件对企业造成的危害。
7.5 加强信息化队伍建设
长期以来,由于信息部门在建设性企业属于非主流队伍,专业人员少,业务繁杂,业务量大,缺乏晋升空间,转行情况普遍,导致信息化建设的连续性和稳定性得不到保障。
如何提高信息化水平,加强信息化队伍建设,主要有以下几点建议:
  1. 以全员信息化为目标,开展多层次培训,建立一只后备力量充足的兼职信息员队伍。
兼职队伍既要扩大规模,又要提升水平,在项目上,普遍的做法都是在综合办公室中选取一位员工作为兼职的信息员。这种做法容易因为人员流动而造成信息化工作中断,又或因为一个人兼的职务太多,缺乏责任感,而无暇顾及信息化,再或者换了新人又会对业务不熟而很多工作开展不开。
以全员信息化为目标,加强对所有人的信息化技能的培训和要求,定期考核,为达标人员建立人才库,需要的时候从库中抽取最具能力的人员,而不限定部门,这样在不增加人员的情况下,改善信息兼职队伍现状,为提升信息化发展水平做出推动。
  1. 稳定、提升现有信息化专业队伍
       合理用人,适当激励,提供职业发展空间等长效机制来稳定信息化队伍。
       引进市场培训、专业认证机制来提升现有队伍的能力水平。国家对计算机专业人才的资格认证都打破了常规的年限限制,更何况企业更要不拘一格,大胆启用和引进具备专业特长的技术人才。
 
 
 
结语
随着信息化的高速发展,在信息安全领域绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证。
需要通过管理人员,专业人员,直接用户等各群体来共同努力,运用一切可以运用的技术手段、管理方法,去控制和减少危害,才能尽可能的把不安全因素降到最低。
要不断的加强安全管理力度,不断的宣传和培训,强化所有用户的信息安全意识,不断的提高安全防范水平,才能使计算机网络安全得到更进一步的保障。
 
2016-12-6
 
 
 
 
 
 
 
 
 
参考文献:
 
[1] 国家互联网应急中心:《2012年中国互联网网络安全报告》
[2] 国家互联网应急中心:《2013年中国互联网网络安全报告》
[3] 国家信息安全漏洞库:http://www.cnnvd.org.cn/
[4] 中国国家互联网应急中心副处长李佳:《2013年中国互联网网络安全态势以及个人信息保护现状》
[5] 国家互联网应急中心:《2015年我国互联网网络安全态势综述》
 
 
 
撰稿人:杨雪松
联系电话:0553-8356837   13966028260
邮箱:yxs01@mail.wh-eh.com    442965388@qq.com