序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了一篇網(wǎng)絡(luò)信息安全論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

網(wǎng)絡(luò)信息安全論文:關(guān)于科研網(wǎng)絡(luò)信息安全隱患及控制策略研究

論文摘要：利用網(wǎng)絡(luò)信息技術(shù)進行科研管理，加強了信息共享與協(xié)同工作，提高了科研工作的效率，但與此同時也存在一些安全隱患。介紹了科研網(wǎng)絡(luò)信息安全的概念和意義，分析了其存在的安全隱患的具體類型及原因，為保證科研網(wǎng)絡(luò)信息的安全，提出了加強網(wǎng)絡(luò)風險防范、防止科研信息被泄露、修改或非法竊取的相應(yīng)控制措施。

論文關(guān)鍵詞：科研網(wǎng)絡(luò)信息；安全隱患；控制策略

1引言

隨著計算機網(wǎng)絡(luò)技術(shù)的普及，利用網(wǎng)絡(luò)信息技術(shù)來改造傳統(tǒng)科研管理模式已經(jīng)成為一種歷史潮流。由于計算機網(wǎng)絡(luò)的互聯(lián)性和開放性，在提供信息和檢索信息的同時，也面臨著一些安全隱患，科研信息一旦泄露，會給科研項目的實施帶來致命的打擊。因此，加強網(wǎng)絡(luò)安全、防止信息泄露、修改和非法竊取已成為科研單位普及與應(yīng)用網(wǎng)絡(luò)迫切需要解決的問題，及時掌握和控制網(wǎng)絡(luò)信息安全隱患是十分必要的。

2科研網(wǎng)絡(luò)信息安全的概念和意義

2．1概念

科研網(wǎng)絡(luò)信息安全主要包括以下兩個方面的內(nèi)容：①科研數(shù)據(jù)的完整性，即科研數(shù)據(jù)不發(fā)生損壞或丟失，具有完全的可靠性和準確性。②信息系統(tǒng)的安全性，防止故意冒充、竊取和損壞數(shù)據(jù)。

2．2意義

根據(jù)信息安全自身的特點以及科研的實際情況。

網(wǎng)絡(luò)信息安全在科研單位的實施應(yīng)該以信息安全技術(shù)做支撐，通過流程、審查和教育等的全面協(xié)同機制，形成一個適合科研管理的完整的信息安全體系，并依靠其自身的持續(xù)改進能力，始終同步支持科研項目發(fā)展對網(wǎng)絡(luò)信息安全的要求。

3科研網(wǎng)絡(luò)信息存在的安全隱患

3．1網(wǎng)絡(luò)管理方面的問題

科研網(wǎng)絡(luò)的信息化，由于覆蓋面大、使用人員多以及涉密資料、信息系統(tǒng)管理存在漏洞．有關(guān)人員缺乏保密意識，往往不能保證工作文稿、科研資料、學術(shù)論文等在網(wǎng)絡(luò)上安全、正確、實時的傳輸和管理。

3．2外部威脅

網(wǎng)絡(luò)具有方便、快捷的特點。但也面臨著遭遇各種攻擊的風險。各種病毒通過網(wǎng)絡(luò)傳播，致使網(wǎng)絡(luò)性能下降，同時黑客也經(jīng)常利用網(wǎng)絡(luò)攻擊服務(wù)器，竊取、破壞一些重要的信息，給網(wǎng)絡(luò)系統(tǒng)帶來嚴重的損失。

4科研網(wǎng)絡(luò)信息安全的控制策略

4．1建立完善的網(wǎng)絡(luò)信息管理體系

4．1．1制定并網(wǎng)絡(luò)信息安全管理制度這是科研網(wǎng)絡(luò)信息安全工作的指導準則，信息安全體系的建立也要以此為基礎(chǔ)。

4．1．2建立網(wǎng)絡(luò)信息安全管理組織這為網(wǎng)絡(luò)信息安全體系的建立提供組織保障，也是網(wǎng)絡(luò)信息安全實施的一個重要環(huán)節(jié)，沒有一個強有力的管理體系，就不能保證信息安全按計劃推進。

4．1．3加強網(wǎng)絡(luò)信息保密審查工作堅持“誰公開、誰負責、誰審查”的原則，落實保密審查責任制，規(guī)范各科室、部門分工負責的保密審查制度，不斷完善和細化保密審查的工作制度、工作程序、工作規(guī)范和工作要求。

4．2開展充分的信息安全教育

工作人員信息安全意識的高低，是一個科研單位信息安全體系是否能夠最終成功實施的決定性因素，所以需要對員工進行充分的教育，提高其信息安全意識，保證信息安全實施的成效。

科研單位可以采取多種形式對工作人員開展信息安全教育，充分利用科研單位內(nèi)部的輿論宣傳手段，如觀看警示教育片、保密知識培訓、簽訂保密承諾書、保密專項檢查等，并將工作人員的信息安全教育納入績效考核體系。

4．3選擇合適的網(wǎng)絡(luò)信息安全管理技術(shù)

網(wǎng)絡(luò)信息安全管理技術(shù)作為信息安全體系的基礎(chǔ)，在信息安全管理中起到基石的作用。

4．3．1設(shè)置密碼保護設(shè)置密碼的作用就是安全保護，主要是為了保證信息免遭竊取、泄露、破壞和修改等，常采用數(shù)據(jù)備份、訪問控制、存取控制、用戶識別、數(shù)據(jù)加密等安全措施。

4．3．2設(shè)置防火墻防火墻在某種意義上可以說是一種訪問控制產(chǎn)品，它能強化安全策略，限制暴露用戶點，它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置屏障，防止網(wǎng)絡(luò)上的病毒、資源盜用等傳播到網(wǎng)絡(luò)內(nèi)部，阻止外界對內(nèi)部資源的非法訪問，防止內(nèi)部對外部的不安全訪問。

4．3．3病毒防范和堵住操作系統(tǒng)本身的安全漏洞為了防止感染和傳播病毒，計算機信息系統(tǒng)必須使用有安全專用產(chǎn)品銷售許可證的計算機病毒防治產(chǎn)品。同時任何操作系統(tǒng)也都存在著安全漏洞問題，只要計算機接人網(wǎng)絡(luò)，它就有可能受到被攻擊的威脅，還必須完成一個給系統(tǒng)“打補丁”的工作，修補程序中的漏洞，以提高系統(tǒng)的性能。防止病毒的攻擊。

4．3．4使用入侵檢測技術(shù)人侵檢測系統(tǒng)能夠主動檢查網(wǎng)絡(luò)的易受攻擊點和安全漏洞。并且通常能夠先于人工探測到危險行為，是一種積極的動態(tài)安全檢測防護技術(shù)，對防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動的實時保護。

4．4加強涉密網(wǎng)絡(luò)和移動存儲介質(zhì)的管理

科研管理系統(tǒng)安全是由多個層面組成的，在實際的操作過程中．也要嚴格遵守操作規(guī)程。嚴禁在外網(wǎng)上處理、存儲、傳輸涉及科研秘密信息和敏感信息，嚴禁涉密移動存儲介質(zhì)在內(nèi)外網(wǎng)上交叉使用，嚴格上網(wǎng)信息保密審查審批制度，嚴格執(zhí)行涉密計算機定點維修制度。

5結(jié)束語

為了確保科研網(wǎng)絡(luò)的信息安全，只有通過有效的管理和技術(shù)措施，使信息資源免遭威脅，或者將威脅帶來的損失降到最低限度，保證信息資源的保密性、真實性、完整性和可用性．才能提高信息安全的效果，最終有效地進行科研管理、降低信息泄露風險、確保各項科研工作的順利正常運行。

網(wǎng)絡(luò)信息安全論文:淺論計算機網(wǎng)絡(luò)信息安全技術(shù)

[論文關(guān)鍵詞]Web　Services　網(wǎng)絡(luò)完全　技術(shù)

[論文摘要]為了滿足日益增長的需求，人們提出了基于XML的Web服務(wù)。它的主要目標是在現(xiàn)有的各種異構(gòu)平臺的基礎(chǔ)上構(gòu)建一個通用的與平臺無關(guān)、語言無關(guān)的技術(shù)層，各種平臺上的應(yīng)用依靠這個技術(shù)層來實現(xiàn)彼此的連接和集成，Web Services的核心技術(shù)主要是XML技術(shù)、SOAP技術(shù)、WSDL及UDDI等。本文對此進行了探討。

1　XML技術(shù)

近年來，XML已成為數(shù)據(jù)表示和數(shù)據(jù)交換的一種新標準。其基本思想是數(shù)據(jù)的語義通過數(shù)據(jù)元素的標記來表達，數(shù)據(jù)元素之間關(guān)系通過簡單的嵌套和引用來表示。若所有web服務(wù)器和應(yīng)用程序?qū)⑺鼈兊臄?shù)據(jù)以XML編碼并到Internet，則信息可以很快地以一種簡單、可用的格式獲得，信息提供者之間也易于互操作。XML一推出就被廣泛地采用，并且得到越來越多的數(shù)據(jù)庫及軟件開發(fā)商的支持。總體講來，XML具有自描述性、獨立于平臺和應(yīng)用、半結(jié)構(gòu)化、機器可處理的、可擴展性和廣泛的支持等特點。因此，XML可被廣泛應(yīng)用于電子商務(wù)、不同數(shù)據(jù)源的集成、數(shù)據(jù)的多樣顯示等各個方面。XML描述了一個用來定義標記集的方法用于規(guī)定一個標記集，填入文本內(nèi)容后，這些標記和純文本一起構(gòu)成了一個XML文檔。一個良好的XML文檔必須滿足以下幾條規(guī)則：(1)有一致良好定義的結(jié)構(gòu)(2)屬性需用引號引起來：(3)空白區(qū)域不能忽略：(4)每個開始標簽必須要有一個與之對應(yīng)的結(jié)束標簽：(5)有且只有一個根元素包含其他所有的結(jié)點：(6)元素不能交叉重疊但可以包含：(7)注釋和處理指令不能出現(xiàn)在標簽中：(8)大小寫敏感：(9)關(guān)鍵詞“D0CTYPE”、“ELEMENT”、“ATTRIBUTE”和“ENTITY”要大寫。為了說明特定的語法規(guī)則，XMLDTD(DocumentTypeDefination)采用了一系列正則式。語法分析器(或稱解析器)將這些正則式與XML文件內(nèi)部的數(shù)據(jù)模式相匹配，以判別文件是否是有效。一個DTD描述了標記語言的語法和詞匯表，定義了文件的整體結(jié)構(gòu)以及文件的語法。在Internet中，一個最重要的問題是如何實現(xiàn)數(shù)據(jù)的交互，即客戶端和服務(wù)器端雙向數(shù)據(jù)交流。當前所面對的是一個物理上分散的、異源、異構(gòu)的數(shù)據(jù)環(huán)境，能方便地從這些數(shù)據(jù)中取得所需要的信息極為重要。XML滿足這一要求，它可以將各種類型的數(shù)據(jù)轉(zhuǎn)換成XML文檔，然后對XML文檔進行處理，之后，再將XML數(shù)據(jù)轉(zhuǎn)換為某種方式存儲的數(shù)據(jù)。XML的數(shù)據(jù)源多種多樣，但主要分為三種：第一種為本身是純文本的XML文檔、TXT文件、DAT文件等第二種來自于數(shù)據(jù)庫，如關(guān)系數(shù)據(jù)庫、對象數(shù)據(jù)庫等：第三種是其它的帶有一定格式的應(yīng)用數(shù)據(jù)，如郵件、圖表、清單等。針對不同的數(shù)據(jù)源可以采用不同的技術(shù)進行轉(zhuǎn)換。純文本文檔是最基本也是最簡單的，它將數(shù)據(jù)存儲于文本文件中，可以直接方便地讀取數(shù)據(jù)。另外，XML文檔也可以加上CSS、XSL等樣式信息在瀏覽器中顯示，或者通過DOM、SAX編程接口同其它應(yīng)用相關(guān)聯(lián)。第二種來源主要利用現(xiàn)有的比較成功的數(shù)據(jù)庫資源，是對第一種資源的擴展，可以利用數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)進行管理，并用服務(wù)器編程語言對數(shù)據(jù)進行動態(tài)存取，來實現(xiàn)各種動態(tài)應(yīng)用。第三種數(shù)據(jù)源的轉(zhuǎn)換可以利用微軟提出的基于OLEDB的解決方案，從數(shù)據(jù)源直接導出XML文檔。

2　SOAP技術(shù)

SOAP(simple ObjectAcCess PrOtOCO1，簡單對象訪問協(xié)議)是由Microsoft、IBM等共同提出的規(guī)范，目的是實現(xiàn)大量異構(gòu)程序和平臺之間的互操作，從而使存在的應(yīng)用程序能夠被用戶訪問。W3C的SOAP規(guī)范主要由SOAP封裝、SOAP編碼規(guī)則、SOAPRPC表示及SOAP綁定四方面的內(nèi)容組成：(1)SOAP封裝(SOAPEnvelop)：構(gòu)造了一個整體的SOAP消息表示框架，可用于表示消息的內(nèi)容是什么、誰發(fā)送的、誰應(yīng)當接收并處理它，以及處理操作是可選的還是必須的。信封包含了S0AP消息頭部(可選)和SOAP消息體(必須)。消息體部分總是用于最終接收的消息，頭部可以確定執(zhí)行中間處理的目標節(jié)點。附件、二進制數(shù)字及其他項目均可以附加到消息體上。(2)SOAP編碼規(guī)則(SOAPEncodingRules)：定義了一個數(shù)據(jù)編碼機制，通過這樣一個編碼機制來定義應(yīng)用程序中需要使用的數(shù)據(jù)類型，并可用于交換由這些應(yīng)用程序定義的數(shù)據(jù)類型所衍生的實例。(3)S0AP RPC表示(S0AP RPcRepresentation)：定義了一個用于表示遠程過程調(diào)用和響應(yīng)的約定與HTTP相似，RPC使用請求／響應(yīng)模型交換信息。使用SOAP調(diào)用遠程方法的主要工作就是構(gòu)造SOAP消息。SOAP請求消息代表方法調(diào)用，被發(fā)送給遠程服務(wù)器，5OAP響應(yīng)消息代表調(diào)用結(jié)果，返回給方法的調(diào)用者。(4)SOAP綁定(sOAPBinding)：定義了一個使用底層協(xié)議來完成在節(jié)點間交換SOAP消息的機制。SOAP消息的傳輸依靠底層的傳輸協(xié)議，與傳輸層的協(xié)議都能進行綁定。SOAP采用了已經(jīng)廣泛使用的兩個協(xié)議：HTTP和XML。HTTP用于實現(xiàn)SOAP的RPC風格的傳輸，而XML是它的編碼模式。SOAP通訊協(xié)議使用HTTP來發(fā)送x扎格式的消息。HTTP與RPC的協(xié)議很相似，它簡單、配置廣泛，并且對防火墻比其它協(xié)議更容易發(fā)揮作用。HTTP請求一般由Web服務(wù)器來處理，但越來越多的應(yīng)用服務(wù)器產(chǎn)品正在支持HTTP XML作為一個更好的網(wǎng)絡(luò)數(shù)據(jù)表達方式，SOAP把XML的使用代碼轉(zhuǎn)化為請求／響應(yīng)參數(shù)編碼模式，并用HTTP作傳輸。具體的講，一個SOAP方法可以簡單地看作遵循SOAP編碼規(guī)則的HTTP請求和響應(yīng)。一個SOAP終端則可以看作一個基于HTTP的URL，它用來識別方法調(diào)用的目標。SOAP不需要將具體的對象綁定到一個給定的終端，而是由具體實現(xiàn)程序來決定怎樣把對象終端標識符映像到服務(wù)器端的對象。

3　WSDL與UDDI技術(shù)

WSDL(WebServicesDescriptionLanguage，web服務(wù)描述語言)基于Ⅺ旺，將Web服務(wù)描述為一組對消息進行操作的服務(wù)訪問點它抽象描述了操作和消息，并綁定到一個具體的網(wǎng)絡(luò)協(xié)議和消息格式，定義了具體實施的服務(wù)訪問點。WSDL包含服務(wù)接口定義和服務(wù)實現(xiàn)定義，服務(wù)接口是Web服務(wù)的抽象定義，包括類型、消息和端口類型等。服務(wù)實現(xiàn)定義描述了服務(wù)提供者如何實現(xiàn)特定的服務(wù)接口，包括服務(wù)定義和端口定義幾乎所有在因特網(wǎng)上的Web服務(wù)都配有相關(guān)的WSDL文檔，其中列舉了該服務(wù)的功能，說明了服務(wù)在Web上的位置，并提供了使用它的命令。WSDL文檔定義了Web服務(wù)功能發(fā)送和接收的消息種類，并規(guī)定了調(diào)用程序必須提供給Web服務(wù)的數(shù)據(jù)，以便該服務(wù)能夠執(zhí)行其任務(wù)。WSDL文檔還提供了一些特定的技術(shù)信息，告訴應(yīng)用程序如何通過HTTP或其他通信協(xié)議與Web服務(wù)進行連接和通信。用戶想使用服務(wù)提供者所提供的服務(wù)，必須首先找到這個服務(wù)。UDDI(UniversalDescrip—ti012DiseoveryIntegration，統(tǒng)一描述發(fā)現(xiàn)集成)提供了一種、查找服務(wù)的方法，使得服務(wù)請求者可以在Internet巨大的信息空間中快速、方便地發(fā)現(xiàn)要調(diào)用的服務(wù)，并完成服務(wù)間的集成。UDDI是一個基于SOAP協(xié)議的、為Web服務(wù)提供信息注冊中心的實現(xiàn)標準。同時也包含一組提供Web服務(wù)注冊、發(fā)現(xiàn)和調(diào)用的訪問協(xié)議。UDDI通過XML格式的目錄條目將Web服務(wù)注冊在UDDI中心的公共注冊表內(nèi)供其它用戶查詢和使用。UDDI目錄條目包括三個部分：白頁、黃頁和綠頁。白頁提供一般信息，即Web服務(wù)的URL和提供者的名稱、地址、聯(lián)系方式等基本信息：黃頁提供基于標準分類法的相關(guān)產(chǎn)業(yè)、產(chǎn)品或提供服務(wù)類型以及地域等的分類信息：綠頁提供技術(shù)信息，它詳細介紹了訪問服務(wù)的接口，以便用戶能夠編寫應(yīng)用程序以使用Web服務(wù)，這是發(fā)現(xiàn)潛在Web服務(wù)的關(guān)鍵。同時，UDDI提供了基于XML的輕量級的數(shù)據(jù)描述和存儲方式，服務(wù)的定義是通過一個稱為類型模型的UDDI文檔來完成的。UDDI本身就是一個Web服務(wù)，它通過一組基于SOAP的UDDI的API函數(shù)進行訪問。其中查詢API用來查詢定位商業(yè)實體、服務(wù)、綁定等信息。API被用來在注冊中心或者取消服務(wù)。

網(wǎng)絡(luò)信息安全論文:淺析如何加強局域網(wǎng)絡(luò)信息安全的建設(shè)

論文關(guān)健詞:局域網(wǎng)絡(luò)　信息資源　數(shù)據(jù)加密

論文摘要:隨著網(wǎng)絡(luò)時代的迅速前進，信息安全的含義也在不斷的變化發(fā)展，單純的保密和靜態(tài)的保護已不能適應(yīng)當今的需要，文章就這一現(xiàn)狀給出了自己的定義和應(yīng)對策略。

信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計算機安全操作系統(tǒng)、各種安全協(xié)議、安全機制，直至安全系統(tǒng)，其中任何一個安全漏洞便可以威脅全局安全。信息安全服務(wù)至少應(yīng)該包括支持信息網(wǎng)絡(luò)安全服務(wù)的基本理論，以及基于新一代信息網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)安全服務(wù)體系結(jié)構(gòu)。

一、網(wǎng)絡(luò)信息安全的孟要性

網(wǎng)絡(luò)信息安全涉及到信息的機密性、完整性、可用性、可控性。它為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。信息保障依賴于人和技術(shù)實現(xiàn)組織的任務(wù)運作，針對技術(shù)信息基礎(chǔ)設(shè)施的管理活動同樣依賴于這三個因素，穩(wěn)健的信息保障狀態(tài)意味著信息保障和政策、步驟、技術(shù)和機制在整個組織的信息基礎(chǔ)設(shè)施的所有層面上均能得到實施。

目前，除有線通信外，短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應(yīng)用。與此同時，國外敵對勢力為了竊取我國的政治、軍事、經(jīng)濟、科學技術(shù)等方面的秘密信息，運用偵察臺、偵察船、衛(wèi)星等手段，形成固定與移動、遠距離與近距離、空中與地面相結(jié)合的立體偵察網(wǎng)，截取我通信傳輸中的信息。單一的保密措施己很難保證通信和信息的安全，必須綜合應(yīng)用各種保密措施。

二、局域網(wǎng)內(nèi)病毒防治問題

局域網(wǎng)病毒來源主要有以下幾種方式:①從網(wǎng)站下載的軟件帶有病毒:瀏覽網(wǎng)站的時候ActiveX控件帶來的病毒;②安裝程序附帶的流氓軟件:不明郵件帶來的病毒;③移動存儲設(shè)備存儲數(shù)據(jù)傳染病毒等等方式。使用者日常使用時應(yīng)盡量從正規(guī)網(wǎng)站下載軟件、少瀏覽不正當網(wǎng)站、不明郵件應(yīng)該盡量不打開等。處理方法主要有以下幾類。

首先:在網(wǎng)關(guān)上的網(wǎng)絡(luò)層時常進行病毒檢測和掃描，及時清除明顯的病毒封包，對病毒源客戶機進行阻塞與隔離，大規(guī)模爆發(fā)網(wǎng)絡(luò)病毒時也能夠有效的隔離病毒疫區(qū)。

其次:監(jiān)測每臺計算機的殺毒軟件安裝情況和病毒庫更新情況，以及操作系統(tǒng)或者其它應(yīng)用軟件的補丁安裝情況，若發(fā)現(xiàn)客戶機或者服務(wù)器存在嚴重的高危險性安全缺陷或者漏洞的話就應(yīng)該將其暫時斷開網(wǎng)絡(luò)，拒絕其接入單位網(wǎng)絡(luò)，直至缺陷或漏洞修復完畢，補丁安裝完畢后再將其接入網(wǎng)絡(luò)內(nèi)。

再次:使用U盤、移動硬盤等移動存儲設(shè)備傳遞各類數(shù)據(jù)，已經(jīng)成為各類病毒傳播的主要途徑之一。由于U盤和移動硬盤使用方便，很多計算機用戶都選擇使用它來進行數(shù)據(jù)文件的存儲和拷貝，無形中使得U盤和移動硬盤成為這些病毒和惡意木馬程序傳播的媒體，給計算機用戶的數(shù)據(jù)安全和系統(tǒng)的正常使用帶來很大危害。鑒于通過U盤和移動硬盤傳播的計算機病毒在互聯(lián)網(wǎng)絡(luò)上的傳播日趨增多，辦公網(wǎng)絡(luò)內(nèi)用戶可以按照以下幾點，正確安全地使用U盤和移動硬盤進行數(shù)據(jù)文件的存儲和拷貝。

最后:根據(jù)實際情況可進行數(shù)據(jù)加密，VPN系統(tǒng)VPN(虛擬專用網(wǎng))可以通過一個公用網(wǎng)絡(luò)(通常是互聯(lián)網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展，可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。它可用于不斷增長的移動用戶的全球互聯(lián)網(wǎng)接入，以實現(xiàn)安全連接;也可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

三、實現(xiàn)網(wǎng)絡(luò)信息安全的策略

明確等級保護措施。合理劃分安全域，確定各安全域的物理邊界和邏輯邊界，明確不同安全域之間的信任關(guān)系。在安全域的網(wǎng)絡(luò)邊界建立有效的訪問控制措施。通過安全區(qū)域最大限度地實施數(shù)據(jù)源隱藏，結(jié)構(gòu)化和縱深化區(qū)域防御，防止和抵御各種網(wǎng)絡(luò)攻擊，保證信息系統(tǒng)各個網(wǎng)絡(luò)系統(tǒng)的持續(xù)、穩(wěn)定、可靠運行。

1.系統(tǒng)安全策略

對操作系統(tǒng)、數(shù)據(jù)庫及服務(wù)系統(tǒng)進行漏洞修補和安全加固，對關(guān)鍵業(yè)務(wù)的服務(wù)器建立嚴格的審核機制。最大限度解決由操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、服務(wù)系統(tǒng)、網(wǎng)絡(luò)協(xié)議漏洞帶來的安全問題，解決黑客入侵、非法訪問、系統(tǒng)缺陷、病毒等安全隱患。

2安全管理策略

針對企業(yè)信息系統(tǒng)安全管理需求，在安全管理上需要在完善人員管理、資產(chǎn)管理、站點維護管理、災難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理等方面機制、制度的同時，與管理技術(shù)緊密結(jié)合，形成一套比較完備的企業(yè)信息系統(tǒng)安全管理保障體系。

3.縱深防御策略

入侵檢測系統(tǒng)在安全系統(tǒng)中，防火墻相當于網(wǎng)絡(luò)系統(tǒng)入口的門衛(wèi)，能按照我們設(shè)定的規(guī)則判斷他人是否可進入，把攻擊、惡意的數(shù)據(jù)包擋在門外，而入侵檢測系統(tǒng)則相當于攝像機，可以監(jiān)控網(wǎng)絡(luò)或者重要的主機，監(jiān)控入侵行為，尤其可以發(fā)現(xiàn)潛在攻擊特征，必要時可與防火墻聯(lián)動，及時阻斷入侵行為。當黑客試探攻擊時，大多采用一些己知的攻擊方法來試探。通過入侵檢測系統(tǒng)的“實時監(jiān)測”功能，發(fā)現(xiàn)黑客攻擊的企圖，對于網(wǎng)絡(luò)安全來說也是非常有意義的。也就是說，如果黑客攻破系統(tǒng)所需要的時間大于發(fā)現(xiàn)黑客攻擊并響應(yīng)的時間，則系統(tǒng)就是安全的。通過該系統(tǒng)可以快速定位來自網(wǎng)絡(luò)內(nèi)部和外部的攻擊行為以及網(wǎng)絡(luò)內(nèi)部的異常流量等。

網(wǎng)絡(luò)信息安全論文:簡析一種網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型的研究和應(yīng)用

論文關(guān)鍵詞：安全技術(shù)和機制；身份認證；訪問控制；數(shù)據(jù)加密

論文摘要：針對一般網(wǎng)絡(luò)應(yīng)用系統(tǒng)的特征，融合了數(shù)據(jù)加密、身份認證和訪問控制三種安全技術(shù)和機制，并充分考慮了系統(tǒng)安全性需求與可用性、成本之間的平衡，提出了一個以信息資源傳輸和存儲安全保護，身份認證安全管理和資源訪問安全控制為基本要素的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型，為加強中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全性提供了一個比較簡單可行的方案。

0引言

由于網(wǎng)絡(luò)環(huán)境的特殊性，每一個投人使用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)都不可避免地面臨安全的威脅，因此，必須采取相應(yīng)的安全措施。國內(nèi)在信息安全方面已做了很多相關(guān)研究，但大多是單獨考慮資源保護或身份認證等某一方面，而對如何構(gòu)建一個相對完善且通用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全解決方案研究不多。本文在ISO提出的安全服務(wù)框架下，融合了數(shù)據(jù)加密、身份認證和訪問控制三種安全技術(shù)和機制，并充分考慮了系統(tǒng)安全性需求與可用性、成本等特性之間的平衡，提出了一個以信息資源傳輸和存儲安全保護、身份認證安全管理和資源訪問安全控制為基本要素的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型，為加強中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全性提供了一個比較簡單可行的方案。

1網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型設(shè)計

1.1信息安全模型總體設(shè)想

本文提出的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型主要基于三個要素:信息資源傳輸和存儲安全保護，身份認證安全管理以及用戶對資源訪問的安全控制。整個信息安全模型如圖1所示。模型利用過濾器來區(qū)分敏感數(shù)據(jù)與非敏感數(shù)據(jù)，對于非敏感數(shù)據(jù)直接以明文形式進人信息資源層處理，而對敏感數(shù)據(jù)則采用加密傳輸通道進行傳輸，且需要經(jīng)過身份認證層與訪問控制層的控制后才能進人信息資源層。這樣的設(shè)計在保證了信息傳輸和存儲較高的安全性的同時，減少了身份認證層與訪問控制層的系統(tǒng)開銷，大大提高了系統(tǒng)的運行效率。而在信息資源層，則是通過備份機制、事務(wù)日志和使用常用加密算法對數(shù)據(jù)庫中數(shù)據(jù)進行處理，來保障信息傳輸和存儲的安全。

1.2身份認證層的設(shè)計

身份認證層主要包括兩部分:用戶身份認證和用戶注冊信息管理，采用了基于改進的挑戰(zhàn)/應(yīng)答式動態(tài)口令認證機制。

目前使用比較普遍的是挑戰(zhàn)/應(yīng)答式動態(tài)口令認證機制，每次認證時服務(wù)器端都給客戶端發(fā)送一個不同的“挑戰(zhàn)”字串，客戶端收到這個字串后，作出相應(yīng)的”應(yīng)答”。但是，標準的挑戰(zhàn)/應(yīng)答動態(tài)口令認證機制具有攻擊者截獲隨機數(shù)從而假冒服務(wù)器和用戶，以及口令以明文形式存放在數(shù)據(jù)庫中易受攻擊兩個缺點。在本模型采用的改進的挑戰(zhàn)/應(yīng)答式動態(tài)口令認證機制中，通過1.4節(jié)中論述的敏感數(shù)據(jù)加密通道對隨機數(shù)進行加密傳輸解決了上述第一個問題;通過在客戶端將用戶口令經(jīng)M DS算法散列運算并保存在服務(wù)器端數(shù)據(jù)庫解決了上述第二個問題，使得服務(wù)器在認證時只需要比對客戶端處理后傳來的加密字符串即可。方案的具體流程如下:

1)服務(wù)器端口令的保存當用戶在服務(wù)器端錄人注冊信息時，將用戶的密碼進行K次M DS散列運算放在數(shù)據(jù)庫中。

2)用戶請求登錄服務(wù)器端開始執(zhí)行口令驗證:當用戶請求登錄服務(wù)器時，Web服務(wù)器在送出登錄頁面的同時產(chǎn)生一個隨機數(shù)并將其通過敏感數(shù)據(jù)加密傳輸通道發(fā)給客戶端。

3)客戶端M DS口令的生成客戶端首先重復調(diào)用與服務(wù)器端同樣的MDS運算K次，得到與保存在服務(wù)器端數(shù)據(jù)庫中的口令一致的消息摘要。然后，將從服務(wù)器傳來的隨機數(shù)與該口令相加后再調(diào)用客戶端的M DS散列運算函數(shù)，將結(jié)果(M DS口令)通過敏感數(shù)據(jù)加密傳輸通道傳送給服務(wù)器。

4)服務(wù)器端對MDS口令的驗證服務(wù)器端收到客戶端傳來的用戶名和MDS口令后，通過查詢數(shù)據(jù)庫，將已存儲的經(jīng)過K次M DS散列運算的口令與隨機數(shù)相加后同樣進行M DS散列運算，并比較兩個結(jié)果是否相同，如相同則通過驗證，否則拒絕請求。整個用戶口令的生成和驗證過程如圖2所示。

1.3基于RBAC的訪問控制層的設(shè)計

訪問控制層主要包括兩部分:權(quán)限驗證與授權(quán)和資源限制訪問，采用了基于角色的訪問控制機制。在RBAC中引人角色的概念主要是為了分離用戶和訪間權(quán)限的直接聯(lián)系，根據(jù)組織中不同崗位及其職能，一個角色可以擁有多項權(quán)限，可以被賦予多個用戶;而一個權(quán)限也可以分配給多個角色。在這里，約束機制對角色和權(quán)限分配來說非常重要，本模型設(shè)計的約束機制主要包括以下幾方面:一是限制一個角色可以支持的最大用戶容量。如超級管理員這個角色對于應(yīng)用系統(tǒng)非常重要，只允許授權(quán)給一個用戶，該角色的用戶容量就是1。二是設(shè)置互斥角色。即不允許將互相排斥的角色授權(quán)給同一個用戶。如客戶類的角色和管理員類的角色是互斥的。三是設(shè)置互斥功能權(quán)限。即不允許將互相排斥的功能權(quán)限授權(quán)給同一個角色。如客戶類角色查看自己銀行賬戶余額信息的權(quán)限與修改自己賬戶余額的權(quán)限就是互斥的。

數(shù)據(jù)庫結(jié)構(gòu)設(shè)計是實現(xiàn)RBAC的重要環(huán)節(jié)，良好的數(shù)據(jù)庫結(jié)構(gòu)設(shè)計本身就可以表述RBAC的要求。具體設(shè)計如下:

1)用戶信息表(User_info)保存用戶基本信息。其字段有用戶ID ( User ID )、用戶名稱(Username )、密碼(Passw )、用戶類型( Kind )。定義表中的Kind數(shù)據(jù)項與Role表中Kind數(shù)據(jù)項具有相同的形式。將用戶進行分類后，當分配給用戶角色時可以指定用戶只能被分派到與其Kind屬性相同的角色，這樣就可以實現(xiàn)角色的互斥約束。

2)角色信息表(Role )、保存各個等級的角色定義信息。其字段有角色ID ( Role_ID )、角色名稱(Rolename )、角色種類( Kind)和角色描述(Role_ Desc ) o Kind數(shù)據(jù)項代表指定角色集合中的類別。

3)用戶/角色關(guān)系信息表(User_Role)保存用戶和角色的對應(yīng)關(guān)系，其字段有用戶ID和角色ID。當向User_Role表中添加數(shù)據(jù)即給用戶分配角色時，要求User_ info表中要分配角色的用戶數(shù)據(jù)元組中的Kind數(shù)據(jù)項與Role表中相應(yīng)角色的元組Kind數(shù)據(jù)項相同，以實現(xiàn)一定尺度上的角色互斥，避免用戶被賦予兩個不能同時擁有的角色類型。

4)權(quán)限信息表(Permission)保存系統(tǒng)中規(guī)定的對系統(tǒng)信息資源所有操作權(quán)限集合。其字段有權(quán)限ID ( Per_ID )，操作許可(Per)，資源ID( Pro_ID)和權(quán)限描述(Per Desc )。

5)角色/權(quán)限信息表(Role_ Per)保存各個角色應(yīng)擁有權(quán)限的集合。其字段有角色ID和權(quán)限ID。

6)系統(tǒng)信息資源秘密級別表(SecretLevel)保存規(guī)定的系統(tǒng)信息資源的秘密級別。其字段有資源ID，密級ID ( SecrLev_ID)和密級信息描述(Secr_Desc )。在客戶端和服務(wù)器端傳輸數(shù)據(jù)和存儲的過程中，通過查詢該表可以判斷哪些信息資源為敏感數(shù)據(jù)，從而決定對其實施相應(yīng)的安全技術(shù)和機制。

7)角色繼承關(guān)系表(Role_ Heir)存放表述各種角色之間繼承關(guān)系的信息。其字段有角色ID，被繼承角色ID ( H_Role_ID )。角色繼承關(guān)系可以是一對一，一對多或多對多的，通過遍歷整個角色繼承關(guān)系表，就可以知道所有的角色繼承關(guān)系。

8)權(quán)限互斤表(MutexPer)保存表述角色對應(yīng)權(quán)限互斥關(guān)系的信息，其字段有權(quán)限ID和互斥權(quán)限ID。

1.4敏感數(shù)據(jù)加密傳輸通道的設(shè)計

設(shè)計敏感數(shù)據(jù)加密傳輸通道的目的是保障敏感信息在傳輸過程中的保密性與完整性。針對中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的特點，在充分對比各種數(shù)據(jù)加密傳輸解決方案的基礎(chǔ)上，從成本和效果兩方面出發(fā)，我們選擇3DES加密算法對敏感數(shù)據(jù)進行加密。同時又結(jié)合了RSA算法對密鑰進行傳輸，從而解決了對稱加密算法缺乏非對稱加密算法}/}/公鑰的安全性這個問題。具體工作流程如下:

1)服務(wù)器端由RSA加密算法生成公鑰KSpub和私鑰KSpriv;

2)服務(wù)器端將公鑰KSpub傳送給客戶端;

3)客戶端接收公鑰KSpub，然后由3DES加密算法生成對稱密鑰Ksym，用KSpub加密Ksym ;

4)客戶端將加密后的Ksym傳送給服務(wù)器端;

5)服務(wù)器端用KSpriv解密得到Ksym ;

6)敏感數(shù)據(jù)加密傳輸通道建立成功，服務(wù)器端和客戶端以Ksym作為密鑰對敏感數(shù)據(jù)加/解密并傳輸。

1.5安全審計部分的設(shè)計

本模型中的安全審計記錄內(nèi)容包括三個方面:一是用戶信息，包括用戶名、用戶IP地址等;二是用戶行為信息，包括用戶訪問系統(tǒng)敏感資源的內(nèi)容、訪問系統(tǒng)資源的方式等;三是時間信息，包括用戶登錄和注銷的時間、特定行為發(fā)生的時間等。值得注意的是，安全審計跟蹤不僅要記錄一般用戶的行為，同時也要記錄系統(tǒng)管理員的行為。

2結(jié)束語

我們采用sis模式，在JZEE技術(shù)平臺上實現(xiàn)了本文設(shè)計的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型，在三種角色類型、九種不同權(quán)限的假設(shè)前提下，模擬了一個網(wǎng)上銀行公共服務(wù)系統(tǒng)的業(yè)務(wù)流程，并對其中的主要安全防線的效果進行了如字典攻擊等安全性測試，取得了較滿意的結(jié)果。

網(wǎng)絡(luò)信息安全論文:淺論計算機網(wǎng)絡(luò)信息安全技術(shù)

[論文關(guān)鍵詞]Web　Services　網(wǎng)絡(luò)完全　技術(shù)

[論文摘要]為了滿足日益增長的需求，人們提出了基于XML的Web服務(wù)。它的主要目標是在現(xiàn)有的各種異構(gòu)平臺的基礎(chǔ)上構(gòu)建一個通用的與平臺無關(guān)、語言無關(guān)的技術(shù)層，各種平臺上的應(yīng)用依靠這個技術(shù)層來實現(xiàn)彼此的連接和集成，Web Services的核心技術(shù)主要是XML技術(shù)、SOAP技術(shù)、WSDL及UDDI等。本文對此進行了探討。

1　XML技術(shù)

近年來，XML已成為數(shù)據(jù)表示和數(shù)據(jù)交換的一種新標準。其基本思想是數(shù)據(jù)的語義通過數(shù)據(jù)元素的標記來表達，數(shù)據(jù)元素之間關(guān)系通過簡單的嵌套和引用來表示。若所有web服務(wù)器和應(yīng)用程序?qū)⑺鼈兊臄?shù)據(jù)以XML編碼并到Internet，則信息可以很快地以一種簡單、可用的格式獲得，信息提供者之間也易于互操作。XML一推出就被廣泛地采用，并且得到越來越多的數(shù)據(jù)庫及軟件開發(fā)商的支持。總體講來，XML具有自描述性、獨立于平臺和應(yīng)用、半結(jié)構(gòu)化、機器可處理的、可擴展性和廣泛的支持等特點。因此，XML可被廣泛應(yīng)用于電子商務(wù)、不同數(shù)據(jù)源的集成、數(shù)據(jù)的多樣顯示等各個方面。XML描述了一個用來定義標記集的方法用于規(guī)定一個標記集，填入文本內(nèi)容后，這些標記和純文本一起構(gòu)成了一個XML文檔。一個良好的XML文檔必須滿足以下幾條規(guī)則：(1)有一致良好定義的結(jié)構(gòu)(2)屬性需用引號引起來：(3)空白區(qū)域不能忽略：(4)每個開始標簽必須要有一個與之對應(yīng)的結(jié)束標簽：(5)有且只有一個根元素包含其他所有的結(jié)點：(6)元素不能交叉重疊但可以包含：(7)注釋和處理指令不能出現(xiàn)在標簽中：(8)大小寫敏感：(9)關(guān)鍵詞“D0CTYPE”、“ELEMENT”、“ATTRIBUTE”和“ENTITY”要大寫。為了說明特定的語法規(guī)則，XMLDTD(DocumentTypeDefination)采用了一系列正則式。語法分析器(或稱解析器)將這些正則式與XML文件內(nèi)部的數(shù)據(jù)模式相匹配，以判別文件是否是有效。一個DTD描述了標記語言的語法和詞匯表，定義了文件的整體結(jié)構(gòu)以及文件的語法。在Internet中，一個最重要的問題是如何實現(xiàn)數(shù)據(jù)的交互，即客戶端和服務(wù)器端雙向數(shù)據(jù)交流。當前所面對的是一個物理上分散的、異源、異構(gòu)的數(shù)據(jù)環(huán)境，能方便地從這些數(shù)據(jù)中取得所需要的信息極為重要。XML滿足這一要求，它可以將各種類型的數(shù)據(jù)轉(zhuǎn)換成XML文檔，然后對XML文檔進行處理，之后，再將XML數(shù)據(jù)轉(zhuǎn)換為某種方式存儲的數(shù)據(jù)。XML的數(shù)據(jù)源多種多樣，但主要分為三種：第一種為本身是純文本的XML文檔、TXT文件、DAT文件等第二種來自于數(shù)據(jù)庫，如關(guān)系數(shù)據(jù)庫、對象數(shù)據(jù)庫等：第三種是其它的帶有一定格式的應(yīng)用數(shù)據(jù)，如郵件、圖表、清單等。針對不同的數(shù)據(jù)源可以采用不同的技術(shù)進行轉(zhuǎn)換。純文本文檔是最基本也是最簡單的，它將數(shù)據(jù)存儲于文本文件中，可以直接方便地讀取數(shù)據(jù)。另外，XML文檔也可以加上CSS、XSL等樣式信息在瀏覽器中顯示，或者通過DOM、SAX編程接口同其它應(yīng)用相關(guān)聯(lián)。第二種來源主要利用現(xiàn)有的比較成功的數(shù)據(jù)庫資源，是對第一種資源的擴展，可以利用數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)進行管理，并用服務(wù)器編程語言對數(shù)據(jù)進行動態(tài)存取，來實現(xiàn)各種動態(tài)應(yīng)用。第三種數(shù)據(jù)源的轉(zhuǎn)換可以利用微軟提出的基于OLEDB的解決方案，從數(shù)據(jù)源直接導出XML文檔。

2　SOAP技術(shù)

SOAP(simple ObjectAcCess PrOtOCO1，簡單對象訪問協(xié)議)是由Microsoft、IBM等共同提出的規(guī)范，目的是實現(xiàn)大量異構(gòu)程序和平臺之間的互操作，從而使存在的應(yīng)用程序能夠被用戶訪問。W3C的SOAP規(guī)范主要由SOAP封裝、SOAP編碼規(guī)則、SOAPRPC表示及SOAP綁定四方面的內(nèi)容組成：(1)SOAP封裝(SOAPEnvelop)：構(gòu)造了一個整體的SOAP消息表示框架，可用于表示消息的內(nèi)容是什么、誰發(fā)送的、誰應(yīng)當接收并處理它，以及處理操作是可選的還是必須的。信封包含了S0AP消息頭部(可選)和SOAP消息體(必須)。消息體部分總是用于最終接收的消息，頭部可以確定執(zhí)行中間處理的目標節(jié)點。附件、二進制數(shù)字及其他項目均可以附加到消息體上。(2)SOAP編碼規(guī)則(SOAPEncodingRules)：定義了一個數(shù)據(jù)編碼機制，通過這樣一個編碼機制來定義應(yīng)用程序中需要使用的數(shù)據(jù)類型，并可用于交換由這些應(yīng)用程序定義的數(shù)據(jù)類型所衍生的實例。(3)S0AP RPC表示(S0AP RPcRepresentation)：定義了一個用于表示遠程過程調(diào)用和響應(yīng)的約定與HTTP相似，RPC使用請求／響應(yīng)模型交換信息。使用SOAP調(diào)用遠程方法的主要工作就是構(gòu)造SOAP消息。SOAP請求消息代表方法調(diào)用，被發(fā)送給遠程服務(wù)器，5OAP響應(yīng)消息代表調(diào)用結(jié)果，返回給方法的調(diào)用者。(4)SOAP綁定(sOAPBinding)：定義了一個使用底層協(xié)議來完成在節(jié)點間交換SOAP消息的機制。SOAP消息的傳輸依靠底層的傳輸協(xié)議，與傳輸層的協(xié)議都能進行綁定。SOAP采用了已經(jīng)廣泛使用的兩個協(xié)議：HTTP和XML。HTTP用于實現(xiàn)SOAP的RPC風格的傳輸，而XML是它的編碼模式。SOAP通訊協(xié)議使用HTTP來發(fā)送x扎格式的消息。HTTP與RPC的協(xié)議很相似，它簡單、配置廣泛，并且對防火墻比其它協(xié)議更容易發(fā)揮作用。HTTP請求一般由Web服務(wù)器來處理，但越來越多的應(yīng)用服務(wù)器產(chǎn)品正在支持HTTP XML作為一個更好的網(wǎng)絡(luò)數(shù)據(jù)表達方式，SOAP把XML的使用代碼轉(zhuǎn)化為請求／響應(yīng)參數(shù)編碼模式，并用HTTP作傳輸。具體的講，一個SOAP方法可以簡單地看作遵循SOAP編碼規(guī)則的HTTP請求和響應(yīng)。一個SOAP終端則可以看作一個基于HTTP的URL，它用來識別方法調(diào)用的目標。SOAP不需要將具體的對象綁定到一個給定的終端，而是由具體實現(xiàn)程序來決定怎樣把對象終端標識符映像到服務(wù)器端的對象。

3　WSDL與UDDI技術(shù)

WSDL(WebServicesDescriptionLanguage，web服務(wù)描述語言)基于Ⅺ旺，將Web服務(wù)描述為一組對消息進行操作的服務(wù)訪問點它抽象描述了操作和消息，并綁定到一個具體的網(wǎng)絡(luò)協(xié)議和消息格式，定義了具體實施的服務(wù)訪問點。WSDL包含服務(wù)接口定義和服務(wù)實現(xiàn)定義，服務(wù)接口是Web服務(wù)的抽象定義，包括類型、消息和端口類型等。服務(wù)實現(xiàn)定義描述了服務(wù)提供者如何實現(xiàn)特定的服務(wù)接口，包括服務(wù)定義和端口定義幾乎所有在因特網(wǎng)上的Web服務(wù)都配有相關(guān)的WSDL文檔，其中列舉了該服務(wù)的功能，說明了服務(wù)在Web上的位置，并提供了使用它的命令。WSDL文檔定義了Web服務(wù)功能發(fā)送和接收的消息種類，并規(guī)定了調(diào)用程序必須提供給Web服務(wù)的數(shù)據(jù)，以便該服務(wù)能夠執(zhí)行其任務(wù)。WSDL文檔還提供了一些特定的技術(shù)信息，告訴應(yīng)用程序如何通過HTTP或其他通信協(xié)議與Web服務(wù)進行連接和通信。用戶想使用服務(wù)提供者所提供的服務(wù)，必須首先找到這個服務(wù)。UDDI(UniversalDescrip—ti012DiseoveryIntegration，統(tǒng)一描述發(fā)現(xiàn)集成)提供了一種、查找服務(wù)的方法，使得服務(wù)請求者可以在Internet巨大的信息空間中快速、方便地發(fā)現(xiàn)要調(diào)用的服務(wù)，并完成服務(wù)間的集成。UDDI是一個基于SOAP協(xié)議的、為Web服務(wù)提供信息注冊中心的實現(xiàn)標準。同時也包含一組提供Web服務(wù)注冊、發(fā)現(xiàn)和調(diào)用的訪問協(xié)議。UDDI通過XML格式的目錄條目將Web服務(wù)注冊在UDDI中心的公共注冊表內(nèi)供其它用戶查詢和使用。UDDI目錄條目包括三個部分：白頁、黃頁和綠頁。白頁提供一般信息，即Web服務(wù)的URL和提供者的名稱、地址、聯(lián)系方式等基本信息：黃頁提供基于標準分類法的相關(guān)產(chǎn)業(yè)、產(chǎn)品或提供服務(wù)類型以及地域等的分類信息：綠頁提供技術(shù)信息，它詳細介紹了訪問服務(wù)的接口，以便用戶能夠編寫應(yīng)用程序以使用Web服務(wù)，這是發(fā)現(xiàn)潛在Web服務(wù)的關(guān)鍵。同時，UDDI提供了基于XML的輕量級的數(shù)據(jù)描述和存儲方式，服務(wù)的定義是通過一個稱為類型模型的UDDI文檔來完成的。UDDI本身就是一個Web服務(wù)，它通過一組基于SOAP的UDDI的API函數(shù)進行訪問。其中查詢API用來查詢定位商業(yè)實體、服務(wù)、綁定等信息。API被用來在注冊中心或者取消服務(wù)。

網(wǎng)絡(luò)信息安全論文:關(guān)于科研網(wǎng)絡(luò)信息安全隱患及控制策略研究

論文摘要：利用網(wǎng)絡(luò)信息技術(shù)進行科研管理，加強了信息共享與協(xié)同工作，提高了科研工作的效率，但與此同時也存在一些安全隱患。介紹了科研網(wǎng)絡(luò)信息安全的概念和意義，分析了其存在的安全隱患的具體類型及原因，為保證科研網(wǎng)絡(luò)信息的安全，提出了加強網(wǎng)絡(luò)風險防范、防止科研信息被泄露、修改或非法竊取的相應(yīng)控制措施。

論文關(guān)鍵詞：科研網(wǎng)絡(luò)信息；安全隱患；控制策略

1引言

隨著計算機網(wǎng)絡(luò)技術(shù)的普及，利用網(wǎng)絡(luò)信息技術(shù)來改造傳統(tǒng)科研管理模式已經(jīng)成為一種歷史潮流。由于計算機網(wǎng)絡(luò)的互聯(lián)性和開放性，在提供信息和檢索信息的同時，也面臨著一些安全隱患，科研信息一旦泄露，會給科研項目的實施帶來致命的打擊。因此，加強網(wǎng)絡(luò)安全、防止信息泄露、修改和非法竊取已成為科研單位普及與應(yīng)用網(wǎng)絡(luò)迫切需要解決的問題，及時掌握和控制網(wǎng)絡(luò)信息安全隱患是十分必要的。

2科研網(wǎng)絡(luò)信息安全的概念和意義

2．1概念

科研網(wǎng)絡(luò)信息安全主要包括以下兩個方面的內(nèi)容：①科研數(shù)據(jù)的完整性，即科研數(shù)據(jù)不發(fā)生損壞或丟失，具有完全的可靠性和準確性。②信息系統(tǒng)的安全性，防止故意冒充、竊取和損壞數(shù)據(jù)。

2．2意義

根據(jù)信息安全自身的特點以及科研的實際情況。

網(wǎng)絡(luò)信息安全在科研單位的實施應(yīng)該以信息安全技術(shù)做支撐，通過流程、審查和教育等的全面協(xié)同機制，形成一個適合科研管理的完整的信息安全體系，并依靠其自身的持續(xù)改進能力，始終同步支持科研項目發(fā)展對網(wǎng)絡(luò)信息安全的要求。

3科研網(wǎng)絡(luò)信息存在的安全隱患

3．1網(wǎng)絡(luò)管理方面的問題

科研網(wǎng)絡(luò)的信息化，由于覆蓋面大、使用人員多以及涉密資料、信息系統(tǒng)管理存在漏洞．有關(guān)人員缺乏保密意識，往往不能保證工作文稿、科研資料、學術(shù)論文等在網(wǎng)絡(luò)上安全、正確、實時的傳輸和管理。

3．2外部威脅

網(wǎng)絡(luò)具有方便、快捷的特點。但也面臨著遭遇各種攻擊的風險。各種病毒通過網(wǎng)絡(luò)傳播，致使網(wǎng)絡(luò)性能下降，同時黑客也經(jīng)常利用網(wǎng)絡(luò)攻擊服務(wù)器，竊取、破壞一些重要的信息，給網(wǎng)絡(luò)系統(tǒng)帶來嚴重的損失。

4科研網(wǎng)絡(luò)信息安全的控制策略

4．1建立完善的網(wǎng)絡(luò)信息管理體系

4．1．1制定并網(wǎng)絡(luò)信息安全管理制度這是科研網(wǎng)絡(luò)信息安全工作的指導準則，信息安全體系的建立也要以此為基礎(chǔ)。

4．1．2建立網(wǎng)絡(luò)信息安全管理組織這為網(wǎng)絡(luò)信息安全體系的建立提供組織保障，也是網(wǎng)絡(luò)信息安全實施的一個重要環(huán)節(jié)，沒有一個強有力的管理體系，就不能保證信息安全按計劃推進。

4．1．3加強網(wǎng)絡(luò)信息保密審查工作堅持“誰公開、誰負責、誰審查”的原則，落實保密審查責任制，規(guī)范各科室、部門分工負責的保密審查制度，不斷完善和細化保密審查的工作制度、工作程序、工作規(guī)范和工作要求。

4．2開展充分的信息安全教育

工作人員信息安全意識的高低，是一個科研單位信息安全體系是否能夠最終成功實施的決定性因素，所以需要對員工進行充分的教育，提高其信息安全意識，保證信息安全實施的成效。

科研單位可以采取多種形式對工作人員開展信息安全教育，充分利用科研單位內(nèi)部的輿論宣傳手段，如觀看警示教育片、保密知識培訓、簽訂保密承諾書、保密專項檢查等，并將工作人員的信息安全教育納入績效考核體系。

4．3選擇合適的網(wǎng)絡(luò)信息安全管理技術(shù)

網(wǎng)絡(luò)信息安全管理技術(shù)作為信息安全體系的基礎(chǔ)，在信息安全管理中起到基石的作用。

4．3．1設(shè)置密碼保護設(shè)置密碼的作用就是安全保護，主要是為了保證信息免遭竊取、泄露、破壞和修改等，常采用數(shù)據(jù)備份、訪問控制、存取控制、用戶識別、數(shù)據(jù)加密等安全措施。

4．3．2設(shè)置防火墻防火墻在某種意義上可以說是一種訪問控制產(chǎn)品，它能強化安全策略，限制暴露用戶點，它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置屏障，防止網(wǎng)絡(luò)上的病毒、資源盜用等傳播到網(wǎng)絡(luò)內(nèi)部，阻止外界對內(nèi)部資源的非法訪問，防止內(nèi)部對外部的不安全訪問。

4．3．3病毒防范和堵住操作系統(tǒng)本身的安全漏洞為了防止感染和傳播病毒，計算機信息系統(tǒng)必須使用有安全專用產(chǎn)品銷售許可證的計算機病毒防治產(chǎn)品。同時任何操作系統(tǒng)也都存在著安全漏洞問題，只要計算機接人網(wǎng)絡(luò)，它就有可能受到被攻擊的威脅，還必須完成一個給系統(tǒng)“打補丁”的工作，修補程序中的漏洞，以提高系統(tǒng)的性能。防止病毒的攻擊。

4．3．4使用入侵檢測技術(shù)人侵檢測系統(tǒng)能夠主動檢查網(wǎng)絡(luò)的易受攻擊點和安全漏洞。并且通常能夠先于人工探測到危險行為，是一種積極的動態(tài)安全檢測防護技術(shù)，對防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動的實時保護。

4．4加強涉密網(wǎng)絡(luò)和移動存儲介質(zhì)的管理

科研管理系統(tǒng)安全是由多個層面組成的，在實際的操作過程中．也要嚴格遵守操作規(guī)程。嚴禁在外網(wǎng)上處理、存儲、傳輸涉及科研秘密信息和敏感信息，嚴禁涉密移動存儲介質(zhì)在內(nèi)外網(wǎng)上交叉使用，嚴格上網(wǎng)信息保密審查審批制度，嚴格執(zhí)行涉密計算機定點維修制度。

5結(jié)束語

為了確保科研網(wǎng)絡(luò)的信息安全，只有通過有效的管理和技術(shù)措施，使信息資源免遭威脅，或者將威脅帶來的損失降到最低限度，保證信息資源的保密性、真實性、完整性和可用性．才能提高信息安全的效果，最終有效地進行科研管理、降低信息泄露風險、確保各項科研工作的順利正常運行。

網(wǎng)絡(luò)信息安全論文:淺析如何加強局域網(wǎng)絡(luò)信息安全的建設(shè)

論文關(guān)健詞:局域網(wǎng)絡(luò)　信息資源　數(shù)據(jù)加密

論文摘要:隨著網(wǎng)絡(luò)時代的迅速前進，信息安全的含義也在不斷的變化發(fā)展，單純的保密和靜態(tài)的保護已不能適應(yīng)當今的需要，文章就這一現(xiàn)狀給出了自己的定義和應(yīng)對策略。

信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計算機安全操作系統(tǒng)、各種安全協(xié)議、安全機制，直至安全系統(tǒng)，其中任何一個安全漏洞便可以威脅全局安全。信息安全服務(wù)至少應(yīng)該包括支持信息網(wǎng)絡(luò)安全服務(wù)的基本理論，以及基于新一代信息網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)安全服務(wù)體系結(jié)構(gòu)。

一、網(wǎng)絡(luò)信息安全的孟要性

網(wǎng)絡(luò)信息安全涉及到信息的機密性、完整性、可用性、可控性。它為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。信息保障依賴于人和技術(shù)實現(xiàn)組織的任務(wù)運作，針對技術(shù)信息基礎(chǔ)設(shè)施的管理活動同樣依賴于這三個因素，穩(wěn)健的信息保障狀態(tài)意味著信息保障和政策、步驟、技術(shù)和機制在整個組織的信息基礎(chǔ)設(shè)施的所有層面上均能得到實施。

目前，除有線通信外，短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應(yīng)用。與此同時，國外敵對勢力為了竊取我國的政治、軍事、經(jīng)濟、科學技術(shù)等方面的秘密信息，運用偵察臺、偵察船、衛(wèi)星等手段，形成固定與移動、遠距離與近距離、空中與地面相結(jié)合的立體偵察網(wǎng)，截取我通信傳輸中的信息。單一的保密措施己很難保證通信和信息的安全，必須綜合應(yīng)用各種保密措施。

二、局域網(wǎng)內(nèi)病毒防治問題

局域網(wǎng)病毒來源主要有以下幾種方式:①從網(wǎng)站下載的軟件帶有病毒:瀏覽網(wǎng)站的時候ActiveX控件帶來的病毒;②安裝程序附帶的流氓軟件:不明郵件帶來的病毒;③移動存儲設(shè)備存儲數(shù)據(jù)傳染病毒等等方式。使用者日常使用時應(yīng)盡量從正規(guī)網(wǎng)站下載軟件、少瀏覽不正當網(wǎng)站、不明郵件應(yīng)該盡量不打開等。處理方法主要有以下幾類。

首先:在網(wǎng)關(guān)上的網(wǎng)絡(luò)層時常進行病毒檢測和掃描，及時清除明顯的病毒封包，對病毒源客戶機進行阻塞與隔離，大規(guī)模爆發(fā)網(wǎng)絡(luò)病毒時也能夠有效的隔離病毒疫區(qū)。

其次:監(jiān)測每臺計算機的殺毒軟件安裝情況和病毒庫更新情況，以及操作系統(tǒng)或者其它應(yīng)用軟件的補丁安裝情況，若發(fā)現(xiàn)客戶機或者服務(wù)器存在嚴重的高危險性安全缺陷或者漏洞的話就應(yīng)該將其暫時斷開網(wǎng)絡(luò)，拒絕其接入單位網(wǎng)絡(luò)，直至缺陷或漏洞修復完畢，補丁安裝完畢后再將其接入網(wǎng)絡(luò)內(nèi)。

再次:使用U盤、移動硬盤等移動存儲設(shè)備傳遞各類數(shù)據(jù)，已經(jīng)成為各類病毒傳播的主要途徑之一。由于U盤和移動硬盤使用方便，很多計算機用戶都選擇使用它來進行數(shù)據(jù)文件的存儲和拷貝，無形中使得U盤和移動硬盤成為這些病毒和惡意木馬程序傳播的媒體，給計算機用戶的數(shù)據(jù)安全和系統(tǒng)的正常使用帶來很大危害。鑒于通過U盤和移動硬盤傳播的計算機病毒在互聯(lián)網(wǎng)絡(luò)上的傳播日趨增多，辦公網(wǎng)絡(luò)內(nèi)用戶可以按照以下幾點，正確安全地使用U盤和移動硬盤進行數(shù)據(jù)文件的存儲和拷貝。

最后:根據(jù)實際情況可進行數(shù)據(jù)加密，VPN系統(tǒng)VPN(虛擬專用網(wǎng))可以通過一個公用網(wǎng)絡(luò)(通常是互聯(lián)網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展，可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。它可用于不斷增長的移動用戶的全球互聯(lián)網(wǎng)接入，以實現(xiàn)安全連接;也可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

三、實現(xiàn)網(wǎng)絡(luò)信息安全的策略

明確等級保護措施。合理劃分安全域，確定各安全域的物理邊界和邏輯邊界，明確不同安全域之間的信任關(guān)系。在安全域的網(wǎng)絡(luò)邊界建立有效的訪問控制措施。通過安全區(qū)域最大限度地實施數(shù)據(jù)源隱藏，結(jié)構(gòu)化和縱深化區(qū)域防御，防止和抵御各種網(wǎng)絡(luò)攻擊，保證信息系統(tǒng)各個網(wǎng)絡(luò)系統(tǒng)的持續(xù)、穩(wěn)定、可靠運行。

1.系統(tǒng)安全策略

對操作系統(tǒng)、數(shù)據(jù)庫及服務(wù)系統(tǒng)進行漏洞修補和安全加固，對關(guān)鍵業(yè)務(wù)的服務(wù)器建立嚴格的審核機制。最大限度解決由操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、服務(wù)系統(tǒng)、網(wǎng)絡(luò)協(xié)議漏洞帶來的安全問題，解決黑客入侵、非法訪問、系統(tǒng)缺陷、病毒等安全隱患。

2安全管理策略

針對企業(yè)信息系統(tǒng)安全管理需求，在安全管理上需要在完善人員管理、資產(chǎn)管理、站點維護管理、災難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理等方面機制、制度的同時，與管理技術(shù)緊密結(jié)合，形成一套比較完備的企業(yè)信息系統(tǒng)安全管理保障體系。

3.縱深防御策略

入侵檢測系統(tǒng)在安全系統(tǒng)中，防火墻相當于網(wǎng)絡(luò)系統(tǒng)入口的門衛(wèi)，能按照我們設(shè)定的規(guī)則判斷他人是否可進入，把攻擊、惡意的數(shù)據(jù)包擋在門外，而入侵檢測系統(tǒng)則相當于攝像機，可以監(jiān)控網(wǎng)絡(luò)或者重要的主機，監(jiān)控入侵行為，尤其可以發(fā)現(xiàn)潛在攻擊特征，必要時可與防火墻聯(lián)動，及時阻斷入侵行為。當黑客試探攻擊時，大多采用一些己知的攻擊方法來試探。通過入侵檢測系統(tǒng)的“實時監(jiān)測”功能，發(fā)現(xiàn)黑客攻擊的企圖，對于網(wǎng)絡(luò)安全來說也是非常有意義的。也就是說，如果黑客攻破系統(tǒng)所需要的時間大于發(fā)現(xiàn)黑客攻擊并響應(yīng)的時間，則系統(tǒng)就是安全的。通過該系統(tǒng)可以快速定位來自網(wǎng)絡(luò)內(nèi)部和外部的攻擊行為以及網(wǎng)絡(luò)內(nèi)部的異常流量等。

網(wǎng)絡(luò)信息安全論文:簡析一種網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型的研究和應(yīng)用

論文關(guān)鍵詞：安全技術(shù)和機制；身份認證；訪問控制；數(shù)據(jù)加密

論文摘要：針對一般網(wǎng)絡(luò)應(yīng)用系統(tǒng)的特征，融合了數(shù)據(jù)加密、身份認證和訪問控制三種安全技術(shù)和機制，并充分考慮了系統(tǒng)安全性需求與可用性、成本之間的平衡，提出了一個以信息資源傳輸和存儲安全保護，身份認證安全管理和資源訪問安全控制為基本要素的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型，為加強中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全性提供了一個比較簡單可行的方案。

0引言

由于網(wǎng)絡(luò)環(huán)境的特殊性，每一個投人使用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)都不可避免地面臨安全的威脅，因此，必須采取相應(yīng)的安全措施。國內(nèi)在信息安全方面已做了很多相關(guān)研究，但大多是單獨考慮資源保護或身份認證等某一方面，而對如何構(gòu)建一個相對完善且通用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全解決方案研究不多。本文在ISO提出的安全服務(wù)框架下，融合了數(shù)據(jù)加密、身份認證和訪問控制三種安全技術(shù)和機制，并充分考慮了系統(tǒng)安全性需求與可用性、成本等特性之間的平衡，提出了一個以信息資源傳輸和存儲安全保護、身份認證安全管理和資源訪問安全控制為基本要素的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型，為加強中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全性提供了一個比較簡單可行的方案。

1網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型設(shè)計

1.1信息安全模型總體設(shè)想

本文提出的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型主要基于三個要素:信息資源傳輸和存儲安全保護，身份認證安全管理以及用戶對資源訪問的安全控制。整個信息安全模型如圖1所示。模型利用過濾器來區(qū)分敏感數(shù)據(jù)與非敏感數(shù)據(jù)，對于非敏感數(shù)據(jù)直接以明文形式進人信息資源層處理，而對敏感數(shù)據(jù)則采用加密傳輸通道進行傳輸，且需要經(jīng)過身份認證層與訪問控制層的控制后才能進人信息資源層。這樣的設(shè)計在保證了信息傳輸和存儲較高的安全性的同時，減少了身份認證層與訪問控制層的系統(tǒng)開銷，大大提高了系統(tǒng)的運行效率。而在信息資源層，則是通過備份機制、事務(wù)日志和使用常用加密算法對數(shù)據(jù)庫中數(shù)據(jù)進行處理，來保障信息傳輸和存儲的安全。

1.2身份認證層的設(shè)計

身份認證層主要包括兩部分:用戶身份認證和用戶注冊信息管理，采用了基于改進的挑戰(zhàn)/應(yīng)答式動態(tài)口令認證機制。

目前使用比較普遍的是挑戰(zhàn)/應(yīng)答式動態(tài)口令認證機制，每次認證時服務(wù)器端都給客戶端發(fā)送一個不同的“挑戰(zhàn)”字串，客戶端收到這個字串后，作出相應(yīng)的”應(yīng)答”。但是，標準的挑戰(zhàn)/應(yīng)答動態(tài)口令認證機制具有攻擊者截獲隨機數(shù)從而假冒服務(wù)器和用戶，以及口令以明文形式存放在數(shù)據(jù)庫中易受攻擊兩個缺點。在本模型采用的改進的挑戰(zhàn)/應(yīng)答式動態(tài)口令認證機制中，通過1.4節(jié)中論述的敏感數(shù)據(jù)加密通道對隨機數(shù)進行加密傳輸解決了上述第一個問題;通過在客戶端將用戶口令經(jīng)M DS算法散列運算并保存在服務(wù)器端數(shù)據(jù)庫解決了上述第二個問題，使得服務(wù)器在認證時只需要比對客戶端處理后傳來的加密字符串即可。方案的具體流程如下:

1)服務(wù)器端口令的保存當用戶在服務(wù)器端錄人注冊信息時，將用戶的密碼進行K次M DS散列運算放在數(shù)據(jù)庫中。

2)用戶請求登錄服務(wù)器端開始執(zhí)行口令驗證:當用戶請求登錄服務(wù)器時，Web服務(wù)器在送出登錄頁面的同時產(chǎn)生一個隨機數(shù)并將其通過敏感數(shù)據(jù)加密傳輸通道發(fā)給客戶端。

3)客戶端M DS口令的生成客戶端首先重復調(diào)用與服務(wù)器端同樣的MDS運算K次，得到與保存在服務(wù)器端數(shù)據(jù)庫中的口令一致的消息摘要。然后，將從服務(wù)器傳來的隨機數(shù)與該口令相加后再調(diào)用客戶端的M DS散列運算函數(shù)，將結(jié)果(M DS口令)通過敏感數(shù)據(jù)加密傳輸通道傳送給服務(wù)器。

4)服務(wù)器端對MDS口令的驗證服務(wù)器端收到客戶端傳來的用戶名和MDS口令后，通過查詢數(shù)據(jù)庫，將已存儲的經(jīng)過K次M DS散列運算的口令與隨機數(shù)相加后同樣進行M DS散列運算，并比較兩個結(jié)果是否相同，如相同則通過驗證，否則拒絕請求。整個用戶口令的生成和驗證過程如圖2所示。

1.3基于RBAC的訪問控制層的設(shè)計

訪問控制層主要包括兩部分:權(quán)限驗證與授權(quán)和資源限制訪問，采用了基于角色的訪問控制機制。在RBAC中引人角色的概念主要是為了分離用戶和訪間權(quán)限的直接聯(lián)系，根據(jù)組織中不同崗位及其職能，一個角色可以擁有多項權(quán)限，可以被賦予多個用戶;而一個權(quán)限也可以分配給多個角色。在這里，約束機制對角色和權(quán)限分配來說非常重要，本模型設(shè)計的約束機制主要包括以下幾方面:一是限制一個角色可以支持的最大用戶容量。如超級管理員這個角色對于應(yīng)用系統(tǒng)非常重要，只允許授權(quán)給一個用戶，該角色的用戶容量就是1。二是設(shè)置互斥角色。即不允許將互相排斥的角色授權(quán)給同一個用戶。如客戶類的角色和管理員類的角色是互斥的。三是設(shè)置互斥功能權(quán)限。即不允許將互相排斥的功能權(quán)限授權(quán)給同一個角色。如客戶類角色查看自己銀行賬戶余額信息的權(quán)限與修改自己賬戶余額的權(quán)限就是互斥的。

數(shù)據(jù)庫結(jié)構(gòu)設(shè)計是實現(xiàn)RBAC的重要環(huán)節(jié)，良好的數(shù)據(jù)庫結(jié)構(gòu)設(shè)計本身就可以表述RBAC的要求。具體設(shè)計如下:

1)用戶信息表(User_info)保存用戶基本信息。其字段有用戶ID ( User ID )、用戶名稱(Username )、密碼(Passw )、用戶類型( Kind )。定義表中的Kind數(shù)據(jù)項與Role表中Kind數(shù)據(jù)項具有相同的形式。將用戶進行分類后，當分配給用戶角色時可以指定用戶只能被分派到與其Kind屬性相同的角色，這樣就可以實現(xiàn)角色的互斥約束。

2)角色信息表(Role )、保存各個等級的角色定義信息。其字段有角色ID ( Role_ID )、角色名稱(Rolename )、角色種類( Kind)和角色描述(Role_ Desc ) o Kind數(shù)據(jù)項代表指定角色集合中的類別。

3)用戶/角色關(guān)系信息表(User_Role)保存用戶和角色的對應(yīng)關(guān)系，其字段有用戶ID和角色ID。當向User_Role表中添加數(shù)據(jù)即給用戶分配角色時，要求User_ info表中要分配角色的用戶數(shù)據(jù)元組中的Kind數(shù)據(jù)項與Role表中相應(yīng)角色的元組Kind數(shù)據(jù)項相同，以實現(xiàn)一定尺度上的角色互斥，避免用戶被賦予兩個不能同時擁有的角色類型。

4)權(quán)限信息表(Permission)保存系統(tǒng)中規(guī)定的對系統(tǒng)信息資源所有操作權(quán)限集合。其字段有權(quán)限ID ( Per_ID )，操作許可(Per)，資源ID( Pro_ID)和權(quán)限描述(Per Desc )。

5)角色/權(quán)限信息表(Role_ Per)保存各個角色應(yīng)擁有權(quán)限的集合。其字段有角色ID和權(quán)限ID。

6)系統(tǒng)信息資源秘密級別表(SecretLevel)保存規(guī)定的系統(tǒng)信息資源的秘密級別。其字段有資源ID，密級ID ( SecrLev_ID)和密級信息描述(Secr_Desc )。在客戶端和服務(wù)器端傳輸數(shù)據(jù)和存儲的過程中，通過查詢該表可以判斷哪些信息資源為敏感數(shù)據(jù)，從而決定對其實施相應(yīng)的安全技術(shù)和機制。

7)角色繼承關(guān)系表(Role_ Heir)存放表述各種角色之間繼承關(guān)系的信息。其字段有角色ID，被繼承角色ID ( H_Role_ID )。角色繼承關(guān)系可以是一對一，一對多或多對多的，通過遍歷整個角色繼承關(guān)系表，就可以知道所有的角色繼承關(guān)系。

8)權(quán)限互斤表(MutexPer)保存表述角色對應(yīng)權(quán)限互斥關(guān)系的信息，其字段有權(quán)限ID和互斥權(quán)限ID。

1.4敏感數(shù)據(jù)加密傳輸通道的設(shè)計

設(shè)計敏感數(shù)據(jù)加密傳輸通道的目的是保障敏感信息在傳輸過程中的保密性與完整性。針對中小型企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的特點，在充分對比各種數(shù)據(jù)加密傳輸解決方案的基礎(chǔ)上，從成本和效果兩方面出發(fā)，我們選擇3DES加密算法對敏感數(shù)據(jù)進行加密。同時又結(jié)合了RSA算法對密鑰進行傳輸，從而解決了對稱加密算法缺乏非對稱加密算法}/}/公鑰的安全性這個問題。具體工作流程如下:

1)服務(wù)器端由RSA加密算法生成公鑰KSpub和私鑰KSpriv;

2)服務(wù)器端將公鑰KSpub傳送給客戶端;

3)客戶端接收公鑰KSpub，然后由3DES加密算法生成對稱密鑰Ksym，用KSpub加密Ksym ;

4)客戶端將加密后的Ksym傳送給服務(wù)器端;

5)服務(wù)器端用KSpriv解密得到Ksym ;

6)敏感數(shù)據(jù)加密傳輸通道建立成功，服務(wù)器端和客戶端以Ksym作為密鑰對敏感數(shù)據(jù)加/解密并傳輸。

1.5安全審計部分的設(shè)計

本模型中的安全審計記錄內(nèi)容包括三個方面:一是用戶信息，包括用戶名、用戶IP地址等;二是用戶行為信息，包括用戶訪問系統(tǒng)敏感資源的內(nèi)容、訪問系統(tǒng)資源的方式等;三是時間信息，包括用戶登錄和注銷的時間、特定行為發(fā)生的時間等。值得注意的是，安全審計跟蹤不僅要記錄一般用戶的行為，同時也要記錄系統(tǒng)管理員的行為。

2結(jié)束語

我們采用sis模式，在JZEE技術(shù)平臺上實現(xiàn)了本文設(shè)計的網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型，在三種角色類型、九種不同權(quán)限的假設(shè)前提下，模擬了一個網(wǎng)上銀行公共服務(wù)系統(tǒng)的業(yè)務(wù)流程，并對其中的主要安全防線的效果進行了如字典攻擊等安全性測試，取得了較滿意的結(jié)果。

網(wǎng)絡(luò)信息安全論文:地方財政網(wǎng)絡(luò)信息安全建設(shè)淺析

在新世紀的人類世界里，網(wǎng)絡(luò)已無處不在。越來越多的人網(wǎng)上辦公，網(wǎng)上購物，網(wǎng)上交友，甚至在網(wǎng)上療傷治病。越來越多的政府把財經(jīng)、交通、軍事等 “命脈”的協(xié)調(diào)管理權(quán)交給了網(wǎng)絡(luò)。網(wǎng)絡(luò)正在把世界各個國家和地區(qū)聯(lián)為一體，形成一個信息上的“地球村”。在這個“村子”里，“網(wǎng)絡(luò)為王”將不再是戲言。隨著地方財政信息化改革的不斷深入開展，地方財政網(wǎng)絡(luò)憑借其獨特的地位與魅力，已步成為這個信息化“村莊”里重要的一員。 馬克思曾經(jīng)辯證地說過：“當人們對某種事物的依賴程度越高時，一旦這個事物遭到破壞或者攻擊，對人們造成的損害就越大”。網(wǎng)絡(luò)作為一個復雜而龐大的高技術(shù)實體，其脆弱性也是與生俱來的：其薄弱環(huán)節(jié)可侵入、可破壞、可干擾，難以抵擋來自外界的攻擊。因此，網(wǎng)絡(luò)在給人們的生活帶來方便與精彩的同時，也給信息的安全帶來了許多潛在的隱患。地方財政是地方政治、經(jīng)濟運行的中樞神經(jīng)，是地方經(jīng)濟發(fā)展的有力保障，作為網(wǎng)絡(luò)重要應(yīng)用分支之一的地方財政網(wǎng)絡(luò)，也必將面臨同樣嚴重的信息安全問題。

第一部分 從“金財工程”看“財政信息安全” 日前，國家信息化領(lǐng)導小組將“金財工程”列為國家電子政務(wù)主要業(yè)務(wù)系統(tǒng)之一，這標志著“金財工程”已正式全面啟動。“金財工程”（簡稱GFMIS）以覆蓋各級政府財政管理部門和財政資金使用部門的大型信息網(wǎng)絡(luò)為支撐，以細化的部門預算為基礎(chǔ)，以所有財政收支全部進入國庫單一賬戶為基本模式，以預算指標、用款計劃、采購定單以及財政政策實施效果評價和宏觀經(jīng)濟運行態(tài)勢跟蹤分析為預算執(zhí)行主要控制機制，以出納環(huán)節(jié)高度集中并實現(xiàn)國庫現(xiàn)金有效調(diào)度為特征，體現(xiàn)了公共財政改革的要求，而地方財政信息化建設(shè)是其必需的技術(shù)保證和支撐力量。

GFMIS系統(tǒng)的敏感性使其信息價值倍增，因此它更易受到敵對國家、敵對國內(nèi)組織、敵對個人犯罪分子和黑客、病毒等的攻擊,為了確保信息在存取、處理和傳輸過程中的機密性、完整性、可靠性， 2001年10月15日財政部制訂并出臺了《政府財政管理信息系統(tǒng)網(wǎng)絡(luò)建設(shè)管理暫行辦法》，建立起了由表及里、從內(nèi)到外、周密的信息安全保障體系。 財政信息關(guān)系到國計民生、國家命脈。財政信息的安全穩(wěn)定是在進行財政信息化建設(shè)時所面臨的最嚴峻的挑戰(zhàn)，財政信息安全建設(shè)是財政信息化改革的重中之重。所以，在財政信息化改革中，我們首先要考慮的就是確保財政信息的安全，把保證財政信息安全作為一切工作的基礎(chǔ)。

第二部分 地方財政網(wǎng)絡(luò)信息安全建設(shè)的有益探索 鶴壁市財政信息化建設(shè)起步早、改革力度大，作為河南省財政信息化建設(shè)的試點單位，多項工作走在了全省的前列，有些工作還處于全國地市財政改革的先進地位。在財政信息化建設(shè)中，網(wǎng)絡(luò)建設(shè)是根本、是基礎(chǔ)，而網(wǎng)絡(luò)信息安全一直都是網(wǎng)絡(luò)建設(shè)所關(guān)注的焦點。全國財政系統(tǒng)建設(shè)“金財工程”以來，局領(lǐng)導高度重視，多次開會強調(diào)財政信息安全的重要意義，對財政信息的安全保護措施提出了高標準、嚴要求。鶴壁市財政局實行信息化改革以來，已經(jīng)和即將運行的軟件系統(tǒng)有國庫集中支付、會計核算、部門預算、預算外收支兩條線、預算審核網(wǎng)等等。為保證財政信息的安全，我們在防病毒、防黑客、信息加密、系統(tǒng)安全等方面安全措施的建設(shè)進行了有益的嘗試與探索，積累了一定的經(jīng)驗。 由計算機以及網(wǎng)絡(luò)的自身特性所決定，網(wǎng)絡(luò)安全又可以分為兩個方面的內(nèi)容：硬件安全與軟件安全。 硬件安全——信息安全的基石 硬件是計算機運行的基礎(chǔ)和最根本的保證，沒有硬件，也就沒有信息系統(tǒng)！但是，在當今網(wǎng)絡(luò)的高速發(fā)展中，大家往往忽視了硬件設(shè)備的更新、升級與維護，要知道由于硬件的損毀而導致的信息不安全因素已經(jīng)直接制約了網(wǎng)絡(luò)建設(shè)的發(fā)展。 軟件安全——信息安全的保證 軟件是計算機應(yīng)用的基礎(chǔ)和核心，沒有軟件，信息系統(tǒng)將無法運行！然而，不容忽視的是由于軟件故障而對信息系統(tǒng)造成的破壞。病毒感染、黑客攻擊、服務(wù)器停機、數(shù)據(jù)丟失等給單位和用戶造成了巨大的損失。確保軟件的可靠性和安全性已經(jīng)迫在眉睫。

沒有人否認軟件安全事關(guān)重大，但一直未能很好解決的原因之一是:與硬件的直觀性相比，地方財政信息化在軟件安全上的投入不容易被各單位認識到。 我們在建設(shè)鶴壁市財政信息網(wǎng)的時候，從根本出發(fā)，通盤考慮，在保證硬件設(shè)備質(zhì)量的同時加強軟件系統(tǒng)地維護與升級，取得了很好的效果。當然，限于地方財政的差異性與局限性，我們的想法可能還不成熟、不完善，我們希望能通過不斷的交流與探索，將鶴壁市財政網(wǎng)絡(luò)信息安全建設(shè)推向一個新的高度。長路漫漫，我們將一如既往地上下求索！

第三部分 地方財政網(wǎng)絡(luò)信息安全建設(shè)現(xiàn)狀 縱觀我國當今網(wǎng)絡(luò)安全現(xiàn)狀，結(jié)合地方財政信息化建設(shè)的實際情況，信息網(wǎng)絡(luò)尤其是財政信息網(wǎng)絡(luò)將面臨著來自各方面的挑戰(zhàn)：網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客、信息竊密、個人單機安全、WEB站點安全等等，各種威脅無處不在，嚴重阻礙了財政信息化的建設(shè)進程。

搞好地方財政網(wǎng)絡(luò)安全建設(shè)是關(guān)系到財政信息化改革成敗的大事，目前的地方財政網(wǎng)絡(luò)信息安全建設(shè)還遠遠沒有達到規(guī)定要求，財政網(wǎng)絡(luò)在地方財政工作中還不能得到廣泛的應(yīng)用，究其原因，主要表現(xiàn)在以下幾個方面：

一、思想觀念陳舊 安全意識薄弱 目前很多財政干部特別是領(lǐng)導干部還沒有從思想上認識到網(wǎng)絡(luò)安全對現(xiàn)有的財政信息系統(tǒng)的重要性。僅僅滿足于簡單的計算機操作，沒有認識到信息網(wǎng)絡(luò)在給我們的工作帶來巨大方便的同時，正嚴重地威脅著我們財政數(shù)據(jù)信息的安全。沒有把財政網(wǎng)絡(luò)信息安全建設(shè)當作一件至關(guān)重要的工作來抓，普遍存在著一種“網(wǎng)絡(luò)建成高枕無憂”的片面思想，導致財政信息網(wǎng)絡(luò)安全建設(shè)進程的遲緩，從根本上制約了“金財工程”的建設(shè)步伐。

二、網(wǎng)絡(luò)系統(tǒng)自身的不安全因素 網(wǎng)絡(luò)發(fā)展至今已有20多年的歷史，它一直在堅持不懈地向安全、穩(wěn)定、高速的方向發(fā)展。世界上任何事物都是在挫折中求發(fā)展，在發(fā)展中求進步！網(wǎng)絡(luò)當然也不例外。在網(wǎng)絡(luò)不停的發(fā)展中，安全性始終是網(wǎng)絡(luò)的第一要務(wù)。不論從硬件還是從軟件的發(fā)展看，網(wǎng)絡(luò)安全經(jīng)歷了太多的苦辣酸甜，從最初四個接點的網(wǎng)絡(luò)雛形，發(fā)展到今天擁有上千萬臺終端計算機的INTERNET網(wǎng)絡(luò)，從最初的近距離線路傳輸?shù)叫纬扇蛐缘臒o線網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)的安全問題一直困擾著網(wǎng)絡(luò)的設(shè)計者們。

隨著近幾年網(wǎng)絡(luò)的蓬勃發(fā)展，網(wǎng)絡(luò)安全尤其是地方財政網(wǎng)絡(luò)安全所面臨的挑戰(zhàn)也越來越復雜，可以總結(jié)為以下幾個方面：

1.網(wǎng)絡(luò)黑客攻擊 黑客是網(wǎng)絡(luò)的天敵，根據(jù)我國財政信息化網(wǎng)絡(luò)建設(shè)的現(xiàn)狀，黑客攻擊又分為來自內(nèi)部的隱性攻擊與來自外部的顯性攻擊。 黑客主要是通過網(wǎng)絡(luò)操作系統(tǒng)的漏洞對網(wǎng)絡(luò)系統(tǒng)進行攻擊，現(xiàn)今流行的網(wǎng)絡(luò)操作系統(tǒng)有NETWARE、WINDOWS NT、UNIX等，但是由于操作、功能等多種原因的影響，大部分的用戶把WINDOWS NT 作為網(wǎng)絡(luò)操作系統(tǒng)的首選。基于這種原因，WINDOWS NT 操作系統(tǒng)所受到的攻擊也就最多，相對而言，她的系統(tǒng)安全性也就越脆弱。Windows NT網(wǎng)絡(luò)安全問題已成為日常網(wǎng)絡(luò)管理的中心問題。

2.網(wǎng)絡(luò)病毒破壞 網(wǎng)絡(luò)病毒是一些惡意的代碼程序，旨在破壞系統(tǒng)信息。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，病毒的破壞性也越來越嚴重。例如，瑞星公司最近剛剛截獲的一個名為“殺手13”病毒，就是一個極度危險的局域網(wǎng)病毒，它在12月13日發(fā)作時，可以刪除計算機c盤上所有文件！危害性可想而知。 網(wǎng)絡(luò)是病毒的主要傳播途徑，而計算機則是病毒的直接受害者。所以，網(wǎng)絡(luò)防范病毒的根本就是計算機防病毒。首先，要有良好的計算機操作習慣，只要從思想上高度重視，對于那些不明郵件、煽動性的文件，盡量不要執(zhí)行，定期升級殺毒軟件并查殺病毒，網(wǎng)絡(luò)病毒的危害是完全可以降到最低的。

3.信息傳輸中的隱患 信息傳輸過程中的信息損耗、被竊取越來越威脅到財政信息的安全。據(jù)不完全統(tǒng)計，在去年的網(wǎng)絡(luò)安全事故中，有37.5%發(fā)生在信息傳輸過程中。只需采用幾種簡單的竊密手段，就可以直接破壞到數(shù)據(jù)的安全性。 為了防止在通信傳輸過程中對信息的竊取和篡改，可采用vpn加密、ids監(jiān)控等安全手段，以保證網(wǎng)絡(luò)傳輸協(xié)議中網(wǎng)絡(luò)層的安全。不斷進行系統(tǒng)安全加固處理，將財政安全隱患扼殺在傳輸過程中。

4.個人單機安全 不知道誰曾經(jīng)說過這樣一句話：越是親密的朋友，就可能是越危險的敵人。對于沒有安全意識的一臺聯(lián)入財政網(wǎng)絡(luò)的計算機，尤其是管理員的控制機，如果在你疏忽大意的情況下泄漏密碼，一旦被別有用心之人所利用，后果是不堪設(shè)想的。

三、缺乏嚴格的安全管理制度 全國財政信息化改革才剛剛起步，有很多規(guī)章制度還不成熟，沒有嚴格安全管理機制，缺乏整體安全方案，還沒有可以借鑒的經(jīng)驗，機房、網(wǎng)絡(luò)的混亂管理造成了財政信息網(wǎng)絡(luò)安全的隱患，一旦出現(xiàn)問題，造成的損失將是無可估量的。

四、專業(yè)的安全技術(shù)人員大量匱乏 現(xiàn)今財政系統(tǒng)由于多方面原因的制約，缺少大量的專業(yè)安全技術(shù)人員，許多地方的財政網(wǎng)絡(luò)管理員都是 “半路出家”，沒有經(jīng)過比較系統(tǒng)、專業(yè)的計算機網(wǎng)絡(luò)知識學習，對一些常見的網(wǎng)絡(luò)故障還可以應(yīng)付，而對那些涉及到國家經(jīng)濟命脈的“財政信息”安全卻知之甚少，有的甚至一竅不通，這種安全技術(shù)人員的現(xiàn)狀對地方財政網(wǎng)絡(luò)信息安全建設(shè)的全面鋪開，形成了巨大的制約。

五、各方面防范措施不到位 財政信息網(wǎng)絡(luò)是復雜而龐大的。地方財政網(wǎng)需要承擔的任務(wù)有很多：web網(wǎng)站、辦公自動化、各業(yè)務(wù)軟件的正常運行、實現(xiàn)與上級的聯(lián)網(wǎng)、保障各縣區(qū)網(wǎng)絡(luò)暢通等等，這樣，不可避免地要面對來自各個方面的攻擊。例如，web站點遭受的惡意代碼攻擊等。另外，由于現(xiàn)今財政干部隊伍計算機普及以及熟練程度的限制，在計算機操作過程中往往會出現(xiàn)人為因素的無意損壞，這也對財政信息安全造成了威脅。

隨著財政信息化進程加快，“金財工程”的全面建設(shè)完成，網(wǎng)絡(luò)安全面臨的任務(wù)將會進一步加大，如果我們不考慮來自方方面面的威脅，我們將不能保證國家經(jīng)濟命脈穩(wěn)定、安全地運行。 第四部分 如何加強財政網(wǎng)絡(luò)信息安全 針對以上在財政信息化建設(shè)中出現(xiàn)的問題，按照“金財工程”對地方財政網(wǎng)絡(luò)信息安全建設(shè)的具體規(guī)劃與要求，結(jié)合鶴壁市財政信息安全現(xiàn)狀與實際情況。我們認為在財政信息化建設(shè)中，要真正做到“安全第一”，必須要做到：

（一）、轉(zhuǎn)變觀念 增強網(wǎng)絡(luò)安全憂患意識 現(xiàn)在，財政系統(tǒng)信息化建設(shè)剛剛開始，仍處于探索階段，許多部門和個人的安全憂患還尚未形成，對計算機網(wǎng)絡(luò)安全技術(shù)還未能給與足夠的重視。對于這種情況，僅僅依靠信息部門的努力還不夠，也要有領(lǐng)導和管理部門來搭臺，然后由信息部門唱戲。讓業(yè)務(wù)部門和應(yīng)用人員從思想上認識到網(wǎng)絡(luò)安全的重要性，然后才能在實際工作中處處注意安全防范，對涉密的財政信息，處理時真正做到“如臨深淵，如履薄冰”。建設(shè)安全的財政信息系統(tǒng)，必須有較多的人力、物力、財力投入，這就迫切需要財政工作人員轉(zhuǎn)變現(xiàn)有的工作方式，確立 “財政信息 安全至上”的觀念。 河南省省、市兩級財政網(wǎng)絡(luò)建設(shè)尚未全部完成，和財政網(wǎng)絡(luò)建設(shè)比較發(fā)達的地區(qū)相比已經(jīng)大大的落后了。因此，加快地方財政信息網(wǎng)絡(luò)建設(shè)必然成為今后財政改革和財政工作的重點，而網(wǎng)絡(luò)信息完全必須成為首要考慮的因素。 安全憂患意識加強了，全體人員形成共識，為財政信息系統(tǒng)的安全建設(shè)創(chuàng)造一個良好的環(huán)境和基礎(chǔ)，這樣開展工作才能取得良好的效果，這樣才能確保財政信息的萬無一失。

（二）、培植系統(tǒng)健壯性 提高系統(tǒng)自身防范能力 選擇安全性能良好的系統(tǒng)作為財政網(wǎng)絡(luò)的信息平臺，才能從根本上保證信息網(wǎng)絡(luò)的安全。及時升級、更新操作與應(yīng)用系統(tǒng)。選用網(wǎng)絡(luò)版的殺毒軟件，通過控制中心對整個財政內(nèi)部網(wǎng)絡(luò)進行監(jiān)控，把病毒扼殺在搖籃中。購買了反病毒軟件、防火墻軟件，只是實現(xiàn)網(wǎng)絡(luò)安全的第一步，是否充分發(fā)揮了安全產(chǎn)品的作用，是否定期去升級最新病毒代碼，定期檢查網(wǎng)絡(luò)的每個終端配置是否正確，運行是否正常等等，這些才是防范病毒、黑客，保證網(wǎng)絡(luò)安全暢通的關(guān)鍵所在。 采取對用戶口令、指紋的識別等手段來識別合法的用戶。采用用戶身份認證機制，確保對系統(tǒng)資源的合法使用。采用具有安全機制的數(shù)據(jù)庫系統(tǒng)和其它系統(tǒng)軟件，加強對使用事件的審計記錄的管理，以保證財政信息在網(wǎng)絡(luò)協(xié)議系統(tǒng)層的安全。

（三）、建立嚴格的安全管理規(guī)章制度 “無規(guī)矩不成方圓”，嚴格的規(guī)章制度是各項工作順利完成的保障。尤其是在對數(shù)據(jù)信息安全性要求嚴格的財政系統(tǒng)，沒有嚴格的管理規(guī)章制度，我們將寸步難行。首先，要嚴格控制網(wǎng)絡(luò)的核心部位——機房，結(jié)合鶴壁財政改革的實際，我們實行了管理負責制，提出了“誰管理誰負責”的機房管理機制。對各個科室，要求每臺計算機必須有專人進行負責，要求操作系統(tǒng)加密，設(shè)置層層口令權(quán)限，以確保財政信息無人為的安全隱患。

（四）、不遺余力地引進專業(yè)技術(shù)人才 一個專業(yè)網(wǎng)絡(luò)管理人員的職責是隨時對網(wǎng)絡(luò)進行維護，防止病毒、黑客程序以及各種惡意的入侵，處理系統(tǒng)中出現(xiàn)的問題，保障局域網(wǎng)的正常運作及信息安全，工作量十分龐大。引進專業(yè)的技術(shù)人才，首要要保證質(zhì)量，其次要保證數(shù)量。網(wǎng)管人員必須具備很強的專業(yè)素質(zhì)，并能及時掌握信息安全的最新技術(shù)。許多地方財政網(wǎng)絡(luò)的網(wǎng)管人員自身的技術(shù)水平都達不到維護財政網(wǎng)絡(luò)安全的要求，這樣就造成了投入了相當大的人力、物力和財力，但其網(wǎng)絡(luò)環(huán)境還是不能得到全面的防護。 從高校、研究所，從各種渠道多方面挖掘人才，要不遺余力地引進專業(yè)技術(shù)人才，充實到財政干部隊伍中來，全面提高財政系統(tǒng)干部的素質(zhì)。真正落實“網(wǎng)絡(luò)安全以人為本”的方針，定期派他們到外地學習、交流，不斷充實自己，不斷提高自身的業(yè)務(wù)水平，讓他們?yōu)樨斦W(wǎng)絡(luò)信息安全建設(shè)發(fā)揮出自己最大的能量。

（五）、不斷深化學習 提高防范能力 努力提高全體干部職工的安全防范技能，不斷學習、不斷進步，不但從思想上高度重視，還有從技術(shù)上嚴格要求自己。定期進行全體人員的安全技能培訓，使大家能掌握最新的網(wǎng)絡(luò)安全現(xiàn)狀，應(yīng)付最新的網(wǎng)絡(luò)安全威脅。 鶴壁市作為全省的財政改革試點單位，對地方財政信息化改革進行了有益的探索，積累了寶貴的經(jīng)驗。為全省乃至全國各地市即將進行的財政信息化改革提供了寶貴的借鑒經(jīng)驗。當然，我們在努力推進地方財政網(wǎng)絡(luò)信息安全建設(shè)取得階段性成果的同時，工作中還出現(xiàn)了一些問題，存在一定的不足： 一是一些縣區(qū)對推進財政信息網(wǎng)絡(luò)安全建設(shè)工作的重要性和緊迫性認識不夠，有的甚至將財政網(wǎng)絡(luò)信息安全建設(shè)工作簡單地當作安裝殺毒軟件。二是各縣區(qū)進財政網(wǎng)絡(luò)信息安全建設(shè)工作進度不平衡，市級財政網(wǎng)絡(luò)信息安全建設(shè)已經(jīng)邁出重要步伐，有的縣區(qū)還停留在簡單應(yīng)用、維護的水平上。三是對財政網(wǎng)絡(luò)信息安全建設(shè)工作研究、規(guī)劃、協(xié)調(diào)、規(guī)范不夠，或技術(shù)標準不統(tǒng)一，或沒有處理好和業(yè)務(wù)科室的協(xié)調(diào)關(guān)系，或存在一定程度的違規(guī)建設(shè)等問題。這些問題雖然是在財政網(wǎng)絡(luò)信息安全建設(shè)工作取得很大進展的過程中出現(xiàn)的，但也應(yīng)引起我們的高度重視，并在下一步工作中切實加以研究解決。 隨著改革開放的不斷深入，面對我國加入世界貿(mào)易組織的新形勢，新世紀的地方財政網(wǎng)絡(luò)信息安全建設(shè)任重而道遠。財政管理信息系統(tǒng)的重要性質(zhì)使其信息價值倍增，但同時又是不法分子關(guān)注的目標。為了確保鶴壁市財政信息網(wǎng)絡(luò)的安全暢通，必須緊密團結(jié)在黨中央的周圍，從思想上高度重視，工作中嚴密部署，全面貫徹同志“十六大”報告精神，實踐 “三個代表”重要思想，解放思想，實事求是，與時俱進。將鶴壁市財政網(wǎng)絡(luò)信息安全建設(shè)在新世紀、新形勢下，推向新的高度。真正成為全省乃至全國地市級財政信息網(wǎng)絡(luò)安全建設(shè)的排頭兵。

網(wǎng)絡(luò)信息安全論文:學校網(wǎng)絡(luò)與信息安全管理應(yīng)急預案

為確保網(wǎng)絡(luò)正常使用，充分發(fā)揮網(wǎng)絡(luò)在信息時代的作用，促進教育信息化健康發(fā)展，根據(jù)國務(wù)院《互聯(lián)網(wǎng)信息服務(wù)管理辦法》和有關(guān)規(guī)定，特制訂本預案，妥善處理危害網(wǎng)絡(luò)與信息安全的突發(fā)事件，最大限度地遏制突發(fā)事件的影響和有害信息的擴散。

一、危害網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急響應(yīng)

1.如在局域網(wǎng)內(nèi)發(fā)現(xiàn)病毒、木馬、黑客入侵等

網(wǎng)絡(luò)管理中心應(yīng)立即切斷局域網(wǎng)與外部的網(wǎng)絡(luò)連接。如有必要，斷開局內(nèi)各電腦的連接，防止外串和互串。

2.突發(fā)事件發(fā)生在校園網(wǎng)內(nèi)或具有外部ip地址的服務(wù)器上的，學校應(yīng)立即切斷與外部的網(wǎng)絡(luò)連接，如有必要，斷開校內(nèi)各節(jié)點的連接；突發(fā)事件發(fā)生在校外租用空間上的，立即與出租商聯(lián)系，關(guān)閉租用空間。

3.如在外部可訪問的網(wǎng)站、郵件等服務(wù)器上發(fā)現(xiàn)有害信息或數(shù)據(jù)被篡改，要立即切斷服務(wù)器的網(wǎng)絡(luò)連接，使得外部不可訪問。防止有害信息的擴散。

4.采取相應(yīng)的措施，徹底清除。如發(fā)現(xiàn)有害信息，在保留有關(guān)記錄后及時刪除，（情況嚴重的）報告市教育局和公安部門。

5.在確保安全問題解決后，方可恢復網(wǎng)絡(luò)（網(wǎng)站）的使用。

二、保障措施

1.加強領(lǐng)導，健全機構(gòu)，落實網(wǎng)絡(luò)與信息安全責任制。建立由主管領(lǐng)導負責的網(wǎng)絡(luò)與信息安全管理領(lǐng)導小組，并設(shè)立安全專管員。明確工作職責，落實安全責任制；bbs、聊天室等交互性欄目要設(shè)有防范措施和專人管理。

2.局內(nèi)網(wǎng)絡(luò)由網(wǎng)管中心統(tǒng)一管理維護，其他人不得私自拆修設(shè)備，擅接終端設(shè)備。

3.加強安全教育，增強安全意識，樹立網(wǎng)絡(luò)與信息安全人人有責的觀念。安全意識淡薄是造成網(wǎng)絡(luò)安全事件的主要原因，各校要加強對教師、學生的網(wǎng)絡(luò)安全教育，增強網(wǎng)絡(luò)安全意識，將網(wǎng)絡(luò)安全意識與政治意識、責任意識、保密意識聯(lián)系起來。特別要指導學生提高他們識別有害信息的能力，引導他們正健康用網(wǎng)。

4.不得關(guān)閉或取消防火墻。保管好防火墻系統(tǒng)管理密碼。每臺電腦安裝殺毒軟件，并及時更新病毒代碼。

網(wǎng)絡(luò)信息安全論文:淺析虛擬機技術(shù)在網(wǎng)絡(luò)信息安全教學中的應(yīng)用

論文關(guān)鍵詞:網(wǎng)絡(luò)信息安全　虛擬機技術(shù)　安全教學

論文摘要:當前很多院校都開設(shè)了有關(guān)網(wǎng)絡(luò)信息安全的課程，然而由于部分院校還沒有來得及建立相關(guān)的專業(yè)實驗室，而正常的教學工作用機又不允許安裝實驗演示需要的環(huán)境和軟件，只能進行單純的理論教學，因此很難激發(fā)學生的學習興趣，學習效果也達不到預期目標。筆者經(jīng)過一段時間的摸索，通過采用虛擬機技術(shù)，在一臺實體的計算機上，安裝任意臺的虛擬機，模擬真實網(wǎng)絡(luò)服務(wù)環(huán)境，解決了網(wǎng)絡(luò)信息安全教學備課、教學演示中對于特殊網(wǎng)絡(luò)環(huán)境的要求問題。

1虛擬機技術(shù)的簡介

所謂虛擬機，顧名思義就是虛擬出來的計算機。虛擬機技術(shù)也就是利用虛擬機軟件可以在一臺實體計算機上虛擬出來若干臺計算機一種技術(shù)。這些虛擬出來的計算機和真實的實體計算機幾乎完全一樣，每臺虛擬機可以運行單獨的操作系統(tǒng)而互不干擾，而且可以隨意修改虛擬機的系統(tǒng)設(shè)置，而不用擔心對實體計算機造成損失。

采用虛擬機技術(shù)一方面可以解決一般院校課堂教學沒有網(wǎng)絡(luò)環(huán)境的問題，另一方面也可以解決一些帶有破壞性的實驗演示所需要的特殊環(huán)境要求的問題。

2利用虛擬機技術(shù)構(gòu)建實驗演示環(huán)境

在木馬的功能與危害實驗、網(wǎng)絡(luò)攻擊典型手段等演示中需要在一臺實體機(為了方便備課和教學可以采用筆記本電腦)上同時啟動多臺虛擬機，對實體機的系統(tǒng)資源占用量大，在操作中也經(jīng)常需要重新啟動虛擬機，考慮到virtual pc在資源占用和簡單易用上的優(yōu)勢，所以，在本課程的實驗演示中虛擬機軟件選用了virtual pc。

virtual pc虛擬機軟件的安裝和設(shè)置不是很復雜，但是在構(gòu)建具體的實驗演示環(huán)境時還要注意以下幾點事項。

1)虛擬機數(shù)量的選擇問題。為了節(jié)約資源，提高系統(tǒng)運行速度，一般建立2個虛擬機就能滿足實驗演示的需要了。

2)旎擬機操作系統(tǒng)安裝的問題。如果建立了2個虛擬機，一般一個安裝windows 2000 server操作系統(tǒng)，另一個安裝windowsxp操作系統(tǒng)，安裝過程和操作與實體機上的操作一致。在安裝操作系統(tǒng)時要注意版本的選擇，因為我們的目的是要演示木馬的功能和危害還有網(wǎng)絡(luò)攻擊手段，因此虛擬機的操作系統(tǒng)還不能全部打上補丁和安裝殺病毒軟件。

3)實體機的網(wǎng)絡(luò)配置問題。virtual pc是通過在現(xiàn)有網(wǎng)卡上綁定virtual pc emulated switch服務(wù)實現(xiàn)網(wǎng)絡(luò)共享的。對于win-dows2000或windows xp等操作系統(tǒng)，如果實體機在課堂教學時網(wǎng)線沒插或沒有網(wǎng)卡的時候，要安裝microsoft的loopback軟網(wǎng)卡，才能實現(xiàn)網(wǎng)絡(luò)共享。在virtual pc的global setting里，當有網(wǎng)卡并插好網(wǎng)線的時候，將virtual switch設(shè)成現(xiàn)實的網(wǎng)卡;當沒有網(wǎng)卡或網(wǎng)線沒插的時候，將virtual switch設(shè)成ms loopback軟網(wǎng)卡，即可實現(xiàn)網(wǎng)絡(luò)共享。

4)實體機的硬盤空間問題。在一個硬盤分區(qū)中，為每臺虛擬機的映像文件預留足夠的硬盤空間。windows2000 server的虛擬機映像文件約占2.4gb , windows xp的虛擬機映像文件約占1.sgb。如果啟用硬盤undo功能，所需硬盤空間還要增加一倍。

5)實體機的內(nèi)存大小的問題。由于在實驗演示時要同時啟動2個以上的虛擬機的數(shù)量，所以，要盡量擴大實體機內(nèi)存的大小。建議實體機系統(tǒng)的內(nèi)存最少也要達到igo。

3虛擬機環(huán)境應(yīng)用于網(wǎng)絡(luò)信息安全課堂實驗演示

在網(wǎng)絡(luò)信息安全課程教學中，虛擬機環(huán)境主要應(yīng)用于網(wǎng)絡(luò)典型攻擊手段和木馬的功能與危害實驗演示，在實際演示時，可以將這兩部分有機的結(jié)合起來，使學生對于網(wǎng)絡(luò)漏洞泄密隱患有更加真切的體會。本文設(shè)計的演示內(nèi)容是利用rpc漏洞攻擊和灰鴿子木馬的功能與危害，具體實驗演示設(shè)計如下:

網(wǎng)絡(luò)信息安全論文:論校園網(wǎng)信息安全與網(wǎng)絡(luò)管理

[論文關(guān)鍵詞]校園網(wǎng) 信息安全網(wǎng)絡(luò)管理

[論文摘要】由校園網(wǎng)運行和信息安全問題，提出加強校園網(wǎng)管理，提高教師和學生信息安全意識。并對具體的網(wǎng)絡(luò)管理實施方法和信息安全保護措施進行探究和實踐。

一、引言

隨著校園網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，學院在教學、管理、科研以及對外信息交流等多方面對校園網(wǎng)的依賴性日漸增強，以網(wǎng)絡(luò)的方式來獲取信息、存儲信息和交流信息成為學院教師和學生使用信息的重要手段之一。然而，就目前的網(wǎng)絡(luò)運行狀況來看，校園網(wǎng)信息安全問題日益突出，網(wǎng)絡(luò)的穩(wěn)定性依然較差，因此，加強校園網(wǎng)的管理，確保校園網(wǎng)安全、穩(wěn)定、高效地運行，使之發(fā)揮其應(yīng)有的作用已成為當前校園網(wǎng)應(yīng)用中一個亟待解決的課題。

二、校園網(wǎng)信息安全的研究思路

校園網(wǎng)是一個直接連接互聯(lián)網(wǎng)的開放式網(wǎng)絡(luò)，校園網(wǎng)用戶的層次差異較大，校園網(wǎng)的信息安全與用戶的安全意識和技能緊密相關(guān)，校園網(wǎng)的校園網(wǎng)的信息安全從總體結(jié)構(gòu)上可分為，校園網(wǎng)主干網(wǎng)設(shè)備和應(yīng)用的安全和校園網(wǎng)用戶的安全應(yīng)用兩個部分。對具體的信息安全問題的研究，能有效的解決校園網(wǎng)中的信息安全隱患，從而確保校園網(wǎng)安全，穩(wěn)定、高效地運行。

(一)校園網(wǎng)邊界安全

校園網(wǎng)邊界安全就是確保校園網(wǎng)與外界網(wǎng)絡(luò)的信息交換安全，既能保證校園網(wǎng)與互聯(lián)網(wǎng)進行正常的信息通訊，又能有效地阻止來自網(wǎng)絡(luò)的惡意攻擊，如端口掃描、非授權(quán)訪問行為、病毒、不良網(wǎng)站等。

(二)系統(tǒng)漏洞的修補

校園網(wǎng)的網(wǎng)絡(luò)運行環(huán)境較為復雜性是一個由多用戶、多系統(tǒng)、多協(xié)議、多應(yīng)用的網(wǎng)絡(luò)，校園網(wǎng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件都存在難以避免的安全漏洞。不及時修補這些安全漏洞，就會給病毒、木馬和黑客的入侵提供方便。

(三)校園網(wǎng)計算機與存儲設(shè)備的安全

校園網(wǎng)計算機和存儲設(shè)備中存儲了大量的信息，如學生檔案，教學課件、考試題庫、學生作業(yè)、網(wǎng)站數(shù)據(jù)、辦公文件等。由于設(shè)備配置、應(yīng)用和管理上的問題存在較大的信息安全隱患。如設(shè)備無分級管理、使用公共帳戶和密碼、操作人員無信息安全常識等。

(四)校園網(wǎng)計算機病毒控制

計算機病毒是校園網(wǎng)安全隱患之一。必須做到有效控制。選擇適合的殺毒手段和相應(yīng)軟件可以對服務(wù)器、接入計算機、網(wǎng)關(guān)等所有計算機設(shè)備進行保護，殺毒軟件可以對郵件、ftp文件、網(wǎng)頁、u盤、光盤等所有可能帶來病毒的信息源進行監(jiān)控、查殺和攔截。計算機病毒控制要防殺結(jié)合以防為主。

(五)校園網(wǎng)維護管理

校園網(wǎng)的硬件環(huán)境建設(shè)完畢后，一項重要的工作就是做好校園網(wǎng)的維護工作。校園網(wǎng)的安全運維需要有一個校園網(wǎng)安全運營中心，通過強化安全管理工作，對校園網(wǎng)不同教學場所設(shè)備、不同計算機系統(tǒng)中的安全事件進行監(jiān)控，匯總和關(guān)聯(lián)分析，提供可視化校園網(wǎng)安全狀況展示。針對不同類型安全事件提供緊急應(yīng)對措施。實現(xiàn)校園網(wǎng)絡(luò)集中安全管控，保護校園網(wǎng)絡(luò)數(shù)字資產(chǎn)安全。

三、確保校園網(wǎng)信息安全的具體蕾理措施

(一)優(yōu)化結(jié)構(gòu)，合理配置，加強監(jiān)管

使用硬件放火墻，防火墻可在校園網(wǎng)與外界網(wǎng)絡(luò)之間建立一道安全屏障，是目前非常有效的網(wǎng)絡(luò)安全模型，它提供了一整套的安全控制策略，包括訪問控制、數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)等功能。使用放火墻可以將外界網(wǎng)絡(luò)(風險區(qū))與校園網(wǎng)(安全區(qū))的連接進行邏輯隔離，在安全策略的控制下進行內(nèi)外網(wǎng)的信息交換，有效地限制外網(wǎng)對內(nèi)網(wǎng)的非法訪問、惡意攻擊和入侵。

安裝入侵檢測系統(tǒng)，入侵檢測系統(tǒng)是放火墻的合理補充，能夠在放火墻的內(nèi)部檢測非法行為，具有識別攻擊和入侵手段，監(jiān)控網(wǎng)絡(luò)異常通信，分析漏洞和后門等功能。

使用vlan技術(shù)優(yōu)化內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，增強了網(wǎng)絡(luò)的靈活性，有效的控制了網(wǎng)絡(luò)風暴，并將不同區(qū)域和應(yīng)用劃分為不同的網(wǎng)段進行隔離來控制相互間的訪問，達到限制用戶非法訪問的目的。

使用靜態(tài)i p配置。檢測網(wǎng)絡(luò)中i p應(yīng)用狀況，并將i p+mac地址進行綁定，防止特殊ip地址被盜用。對計算機特別是服務(wù)器的訪問必須進行安全身份認證，非認證用戶無法進行訪問。

使用網(wǎng)絡(luò)管理軟件，掃描和繪制網(wǎng)絡(luò)拓撲結(jié)構(gòu)，顯示路由器與子網(wǎng)、交換機與交換機、交換機與主機之間的連接關(guān)系，顯示交換機各端口、使用情況和流量信息，定期對客戶端流量、分支網(wǎng)絡(luò)帶寬流量進行分析，并進行數(shù)據(jù)包規(guī)則檢測，防止非法入侵、非法濫用網(wǎng)絡(luò)資源。加強接入管理，保證可信設(shè)備接入。對新增設(shè)備、移動設(shè)備和移動式存儲工具要做到先檢測后接入，做好網(wǎng)絡(luò)設(shè)備的物理信息的登記管理，如設(shè)備的名稱、設(shè)備樓層房間號、使用部門、使用人、聯(lián)系電話等。做到遇故障能及時準確地定位和排查。

(二)提高認識，規(guī)范行為，強化應(yīng)用

網(wǎng)絡(luò)安全涉及到法律、道德、知識、管理、技術(shù)、策略等多方面的因素，是一個有機的結(jié)合體。因此，在做好技術(shù)防護和網(wǎng)絡(luò)管理的同時，要把樹立信息安全意識提高到一個新的高度。并從環(huán)境、自身、產(chǎn)品和意識等方面出發(fā)，逐個解決存在的問題，把可能的危險排除在發(fā)生之前。對于校園網(wǎng)用戶來說，要進一步提高網(wǎng)絡(luò)信息安全意識，加強關(guān)于計算機信息安法律知識的學習，自覺規(guī)范操作行為，同時掌握一些有關(guān)信息安全技術(shù)和技能。來強化我們的應(yīng)用能力。具體可從以下幾個方面入手。

建議在系統(tǒng)安裝時選擇最小化，而多數(shù)用戶采用默認安裝，實際上不少系統(tǒng)功能模塊不是必需的，要保證系統(tǒng)安全，需遵循最小化原則，可減少安全隱患。

及時對系統(tǒng)進行漏洞掃描、安裝補丁程序。為提高補丁程序的下載速度，可在校園網(wǎng)中部署微軟自動更新服務(wù)器來提供客戶端補丁自動分發(fā)。在安裝補丁程序前一定要仔細閱讀安裝說明書，做好數(shù)據(jù)備份等預防工作，以免導致系統(tǒng)無法啟動或破壞等情況。

操作系統(tǒng)安裝完成后，要對系統(tǒng)的安全策略進行必要的設(shè)置。如登錄用戶名和密碼。用戶權(quán)限的分配，共享目錄的開放與否、磁盤空間的限制、注冊表的安全配置、瀏覽器的安全等級等，使用系統(tǒng)默認的配置安全性較差。

使用個人防火墻，個人防火墻足抵御各類網(wǎng)絡(luò)攻擊最有效的手段之一，它能夠在一定程度上保護操作系統(tǒng)信息不對外泄漏，也能監(jiān)控個人電腦正在進行的網(wǎng)絡(luò)連接，把有害的數(shù)據(jù)拒絕于門外。

使用反病毒軟件，目前互聯(lián)網(wǎng)上的病毒非常猖獗，達幾萬種之多，傳播途徑也相當廣泛。可通過u盤、光盤、電子郵件和利用系統(tǒng)漏洞進行主動病毒傳播等，這就需要在用戶計算機上安裝防病毒軟件來控制病毒的傳播。在單機版的防病毒軟件使用中，必須要定期或及時升級防病毒軟件和病毒碼特征庫。

(三)注意數(shù)據(jù)備份，提高網(wǎng)絡(luò)和系統(tǒng)容災能力

在做好網(wǎng)絡(luò)安全管理工作的同時，也應(yīng)考慮系統(tǒng)在不可避免的因素下出現(xiàn)故障。必須定期做好重要設(shè)備和重要數(shù)據(jù)的備份工作，以便在出現(xiàn)故障時能即使進行硬件更換和軟件恢復等措施。存儲重要數(shù)據(jù)和運行重要軟件的設(shè)備應(yīng)有硬件備份。軟件恢復包括系統(tǒng)恢復和文件恢復。系統(tǒng)恢復就是當操作系統(tǒng)和應(yīng)用軟件不能正常啟動和使用，可利用修復軟件對其進行修復，最快捷的法是使用克隆技術(shù)對系統(tǒng)進行全盤備份，可在系統(tǒng)損壞時快速恢復。從而以最快的速度是系統(tǒng)正常工作。恢復則是當存儲介質(zhì)上的應(yīng)用文件損壞時，用修復軟件對其進行修復。要采用多種手段保存數(shù)據(jù)文件，重要數(shù)據(jù)要多做幾個備份來確保數(shù)據(jù)文件的安全。

四、結(jié)柬語

校園網(wǎng)網(wǎng)絡(luò)信息安全問題具有綜合性、復雜性和動態(tài)性的特點，它不僅僅是網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)管理的應(yīng)用和提高，更需要廣大用戶樹立信息安全意識，自覺的遵守各項管理規(guī)章和制度，只有這樣才能實現(xiàn)我們所期望的目標。

網(wǎng)絡(luò)信息安全論文:網(wǎng)絡(luò)信息安全狀況與可信計算

摘要:隨著互聯(lián)網(wǎng)的迅速發(fā)展和廣泛應(yīng)用,在給人類帶來巨大財富和便捷的同時,也帶來了非常嚴峻的網(wǎng)絡(luò)信息安全問題。對網(wǎng)絡(luò)信息安全的威脅主要表現(xiàn)在:非授權(quán)訪問,冒充合法用戶,破壞數(shù)據(jù)完整性,干擾系統(tǒng)正常運行,利用網(wǎng)絡(luò)傳播病毒木馬,線路監(jiān)聽等方面。本文在分析網(wǎng)絡(luò)信息安全狀況的基礎(chǔ)上,闡述了由漏洞引發(fā)的信息安全問題,并介紹了網(wǎng)絡(luò)信息安全技術(shù)的未來研究方向。

關(guān)鍵詞:網(wǎng)絡(luò)信息安全狀況;漏洞;網(wǎng)絡(luò)信息安全技術(shù);可信計算

網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全,即硬件平臺、操作系統(tǒng)、應(yīng)用軟件;運行服務(wù)安全,即保證服務(wù)的連續(xù)性、高效率;信息安全則是指對信息的精確性、真實性、機密性、完整性、可用性和效用性的保護。網(wǎng)絡(luò)信息安全是網(wǎng)絡(luò)賴以生存的根基,只有安全得到保障,網(wǎng)絡(luò)才能充分發(fā)揮自身的價值。

然而,隨著互聯(lián)網(wǎng)的迅速發(fā)展和廣泛應(yīng)用,計算機病毒、木馬數(shù)量也在呈現(xiàn)爆炸式增長。據(jù)金山毒霸“云安全”中心監(jiān)測數(shù)據(jù)顯示,2008年,金山毒霸共截獲新增病毒、木馬13 899 717個,與2007年相比增長48倍,全國共有69 738 785臺計算機感染病毒,與07年相比增長了40%。在新增的病毒、木馬中,新增木馬數(shù)達7 801 911個,占全年新增病毒、木馬總數(shù)的56.13%;黑客后門類占全年新增病毒、木馬總數(shù)的21.97%;而網(wǎng)頁腳本所占比例從去年的0.8%躍升至5.96%,成為增長速度最快的一類病毒。該中心統(tǒng)計數(shù)據(jù)還顯示,90%的病毒依附網(wǎng)頁感染用戶,這說明,人類在盡情享受網(wǎng)絡(luò)信息帶來的巨大財富和便捷的同時,也被日益嚴峻的網(wǎng)絡(luò)信息安全問題所困擾。

1病毒木馬數(shù)量呈幾何級數(shù)增長,互聯(lián)網(wǎng)進入木馬病毒經(jīng)濟時代

造成病毒木馬數(shù)量呈幾何級數(shù)增長的原因,經(jīng)濟利益的驅(qū)使首當其沖,木馬比病毒危害更大,因為病毒或許只是開發(fā)者為了滿足自己的某種心理,而木馬背后卻隱藏著巨大的經(jīng)濟利益,木馬病毒不再安于破壞系統(tǒng),銷毀數(shù)據(jù),而是更加關(guān)注財產(chǎn)和隱私。電子商務(wù)便成為了攻擊熱點,針對網(wǎng)絡(luò)銀行的攻擊也更加明顯,木馬病毒緊盯在線交易環(huán)節(jié),從虛擬價值盜竊轉(zhuǎn)向直接金融犯罪。

財富的誘惑,使得黑客襲擊不再是一種個人興趣,而是越來越多的變成一種有組織的、利益驅(qū)使的職業(yè)犯罪。其主要方式有:網(wǎng)上教授病毒、木馬制作技術(shù)和各種網(wǎng)絡(luò)攻擊技術(shù);網(wǎng)上交換、販賣和出租病毒、木馬、僵尸網(wǎng)絡(luò);網(wǎng)上定制病毒、木馬;網(wǎng)上盜號(游戲賬號、銀行賬號、qq號等)、賣號;網(wǎng)上詐騙、敲詐;通過網(wǎng)絡(luò)交易平臺洗錢獲利等。攻擊者需要的技術(shù)水平逐漸降低、手段更加靈活,聯(lián)合攻擊急劇增多。木馬病毒、病毒木馬編寫者、專業(yè)盜號人員、銷售渠道、專業(yè)玩家已經(jīng)形成完整的灰色產(chǎn)業(yè)鏈。

借助互聯(lián)網(wǎng)的普及,木馬病毒進入了經(jīng)濟時代。艾瑞的一項調(diào)查顯示,央視“3?15”晚會曝光木馬通過“肉雞”盜取用戶錢財后,超過八成潛在用戶選擇推遲使用網(wǎng)上銀行和網(wǎng)上支付等相關(guān)服務(wù)。木馬產(chǎn)業(yè)鏈背后的巨大經(jīng)濟利益,加上傳統(tǒng)殺毒軟件的不作為、銀行對安全的不重視、刑法的漏洞等都是病毒木馬日益猖獗的根源。

另一方面,病毒木馬的機械化生產(chǎn)加速了新變種的產(chǎn)生,大量出現(xiàn)的系統(tǒng)及第三方應(yīng)用程序漏洞為病毒木馬傳播提供了更廣泛的途徑。病毒制造的模塊化、專業(yè)化,以及病毒“運營”模式的互聯(lián)網(wǎng)化已成為當前中國計算機病毒發(fā)展的三大顯著特征。

2由漏洞引發(fā)的網(wǎng)絡(luò)信息安全問題

漏洞也叫脆弱性(vulnerability),是計算機系統(tǒng)在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略設(shè)計和規(guī)劃時存在的缺陷和不足,從而使攻擊者能夠在未被合法授權(quán)的情況下,訪問系統(tǒng)資源或者破壞系統(tǒng)的完整性與穩(wěn)定性。漏洞除了系統(tǒng)(硬件、軟件)本身固有的缺陷之外,還包括用戶的不正當配置、管理、制度上的風險,或者其它非技術(shù)性因素造成的系統(tǒng)的不安全性。

2.1漏洞的特征

2.1.1漏洞的時間局限性

任何系統(tǒng)自之日起,系統(tǒng)存在的漏洞會不斷地暴露出來。雖然這些漏洞會不斷被系統(tǒng)供應(yīng)商的補丁軟件所修補,或者在新版系統(tǒng)中得以糾正。但是,在糾正了舊版漏洞的同時,也會引入一些新的漏洞和錯誤。隨著時間的推移,舊的漏洞會消失,但新的漏洞也將不斷出現(xiàn),所以漏洞問題也會長期存在。因此,只能針對目標系統(tǒng)的系統(tǒng)版本、其上運行的軟件版本,以及服務(wù)運行設(shè)置等實際環(huán)境,來具體談?wù)撈渲锌赡艽嬖诘穆┒醇捌淇尚械慕鉀Q辦法。

2.1.2漏洞的廣泛性

漏洞會影響到很大范圍的軟、硬件設(shè)備,包括操作系統(tǒng)本身及其支撐軟件平臺、網(wǎng)絡(luò)客戶和服務(wù)器軟件、網(wǎng)絡(luò)路由器和安全防火墻等。

2.1.3漏洞的隱蔽性

安全漏洞是在對安全協(xié)議的具體實現(xiàn)中發(fā)生的錯誤,是意外出現(xiàn)的非正常情況。在實際應(yīng)用的系統(tǒng)中,都會不同程度地存在各種潛在安全性錯誤,安全漏洞問題是獨立于系統(tǒng)本身的理論安全級別而存在的。

2.1.4漏洞的被發(fā)現(xiàn)性

系統(tǒng)本身并不會發(fā)現(xiàn)漏洞,而是由用戶在實際使用、或由安全人員和黑客在研究中發(fā)現(xiàn)的。攻擊者往往是安全漏洞的發(fā)現(xiàn)者和使用者。由于攻擊的存在,才使存在漏洞的可能會被發(fā)現(xiàn),從某種意義上講,是攻擊者使系統(tǒng)變得越來越安全。

2.2漏洞的生命周期

漏洞生命周期,是指漏洞從客觀存在到被發(fā)現(xiàn)、利用,到大規(guī)模危害和逐漸消失的周期。漏洞所造成的安全問題具備一定的時效性,每一個漏洞都存在一個和產(chǎn)品類似的生命周期概念。只有對漏洞生命周期進行研究并且分析出一定的規(guī)律,才能達到真正解決漏洞危害的目的。隨著系統(tǒng)漏洞、軟件漏洞、網(wǎng)絡(luò)漏洞發(fā)現(xiàn)加快,攻擊爆發(fā)時間變短,在所有新攻擊方法中,64%的攻擊針對一年之內(nèi)發(fā)現(xiàn)的漏洞,最短的大規(guī)模攻擊距相應(yīng)漏洞被公布的時間僅僅28天。

2.3漏洞的攻擊手段

黑客入侵的一般過程:首先,攻擊者隨機或者有針對性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機器。然后,選擇作為攻擊目標利用系統(tǒng)漏洞、各種攻擊手段發(fā)現(xiàn)突破口,獲取超級用戶權(quán)限、提升用戶權(quán)限。最后,放置后門程序,擦除入侵痕跡,清理日志,新建賬號,獲取或修改信息、網(wǎng)絡(luò)監(jiān)聽(sniffer)、攻擊其他主機或者進行其他非法活動。漏洞威脅網(wǎng)絡(luò)信息安全的主要方式有:

2.3.1ip欺騙技術(shù)

突破防火墻系統(tǒng)最常用的方法是ip地址欺騙,它同時也是其它一系列攻擊方法的基礎(chǔ)。即使主機系統(tǒng)本身沒有任何漏洞,仍然可以使用這種手段來達到攻擊的目的,這種欺騙純屬技術(shù)性的,一般都是利用tcp/ip協(xié)議本身存在的一些缺陷。攻擊者利用偽造的ip發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組,喬裝成來自內(nèi)部站點的分組過濾器,系統(tǒng)發(fā)現(xiàn)發(fā)送的地址在其定義的范圍之內(nèi),就將該分組按內(nèi)部通信對待并讓其通過,這種類型的攻擊是比較危險的。

2.3.2拒絕服務(wù)攻擊(ddos)

當黑客占領(lǐng)了一臺控制機,除了留后門擦除入侵痕跡基本工作之外,他會把ddos攻擊用的程序下載,然后操作控制機占領(lǐng)更多的攻擊機器。開始發(fā)動攻擊時,黑客先登錄到做為控制臺的傀儡機,向所有的攻擊機發(fā)出命令。這時候攻擊機中的ddos攻擊程序就會響應(yīng)控制臺的命令,一起向受害主機以高速度發(fā)送大量的數(shù)據(jù)包,導致受害主機死機或是無法響應(yīng)正常的請求。有經(jīng)驗的攻擊者還會在攻擊的同時用各種工具來監(jiān)視攻擊的效果,隨時進行調(diào)整。由于黑客不直接控制攻擊傀儡機,這就導致了ddos攻擊往往難以追查。

2.3.3利用緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊是互聯(lián)網(wǎng)上最普通,也是危害最大的一種網(wǎng)絡(luò)攻擊手段。緩沖區(qū)溢出攻擊是一種利用目標程序的漏洞,通過往目標程序的緩沖區(qū)寫入超過其長度的內(nèi)容,造成緩沖區(qū)的溢出,破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行指定代碼,從而獲取權(quán)限或進行攻擊。

2.3.4特洛伊木馬

木馬實質(zhì)上只是一個網(wǎng)絡(luò)客戶/服務(wù)程序,是一種基于遠程控制的黑客工具,不需要服務(wù)端用戶的允許就能獲得系統(tǒng)的使用權(quán)。木馬程序體積比較小,執(zhí)行時不會占用太多的資源,很難停止它的運行,并且不會在系統(tǒng)中顯示出來,而且在每次系統(tǒng)的啟動中都能自動運行。木馬程序一次執(zhí)行后會自動更換文件名、自動復制到其他的文件夾中,實現(xiàn)服務(wù)端用戶無法顯示執(zhí)行的動作,讓人難以察覺,一旦被木馬控制,你的電腦將毫無秘密可言。

2.3.5數(shù)據(jù)庫系統(tǒng)的攻擊

通過非授權(quán)訪問數(shù)據(jù)庫信息、惡意破壞、修改數(shù)據(jù)庫、攻擊其它通過網(wǎng)絡(luò)訪問數(shù)據(jù)庫的用戶、對數(shù)據(jù)庫不正確的訪問導致數(shù)據(jù)庫數(shù)據(jù)錯誤等方式對數(shù)據(jù)庫進行攻擊。主要手法有:口令漏洞攻擊、sql server擴展存儲過程攻擊、sql注入(sql injection)、竊取備份等。

2.3.6網(wǎng)頁掛馬

通過獲取系統(tǒng)權(quán)限、利用應(yīng)用系統(tǒng)漏洞,對腳本程序發(fā)帖和提交信息的過濾不嚴格,從而可以將一些html或者腳本代碼段作為文本提交,但是卻能被作為腳本解析或者通過arp欺騙,不改動任何目標主機的頁面或者是配置,在網(wǎng)絡(luò)傳輸?shù)倪^程中直接插入掛馬的語句,利用被黑網(wǎng)站的流量將自己的網(wǎng)頁木馬進行傳播,以達到無人察覺的目的。常見方式有:框架掛馬、js文件掛馬、js變形加密、body掛馬、css掛馬、隱蔽掛馬、java掛馬、圖片偽裝、偽裝調(diào)用、高級欺騙等。

2.3.7無線網(wǎng)絡(luò)、移動手機成為新的安全重災區(qū)

在無線網(wǎng)絡(luò)中被傳輸?shù)男畔]有加密或者加密很弱,很容易被竊取、修改和插入,存在較嚴重的安全漏洞。隨著3g時代的到來,智能手機和移動互聯(lián)網(wǎng)越來越為普及,一部強大的智能手機的功能,并不遜于一部小型電腦。隨著手機的處理能力日益強大,互聯(lián)網(wǎng)連接帶寬越來越高,手機病毒開始泛濫,病毒所帶來的危害也會越來越大。手機病毒利用普通短信、彩信、上網(wǎng)瀏覽、下載軟件與鈴聲等方式傳播,還將攻擊范圍擴大到移動網(wǎng)關(guān)、wap服務(wù)器或其它的網(wǎng)絡(luò)設(shè)備。

2.3.8內(nèi)部網(wǎng)絡(luò)并不代表安全

隨著經(jīng)濟的快速發(fā)展和企業(yè)對網(wǎng)絡(luò)應(yīng)用依賴程度的逐步提升,內(nèi)部網(wǎng)絡(luò)已經(jīng)成為企業(yè)改善經(jīng)營和管理的重要技術(shù)支撐。企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)與外界的聯(lián)系越來越緊密,而且數(shù)據(jù)的價值也越來越高,內(nèi)部網(wǎng)絡(luò)不安全已經(jīng)成為影響企業(yè)進一步發(fā)展的重要威脅。常見的安全威脅有:內(nèi)外勾結(jié)。內(nèi)部人員向外泄露重要機密信息,外部人員攻擊系統(tǒng)監(jiān)聽、篡改信息,內(nèi)部人員越權(quán)訪問資源,內(nèi)部人員誤操作或者惡意破壞系統(tǒng)等。

有關(guān)部門的調(diào)查數(shù)據(jù)顯示,2004-2006年,內(nèi)部攻擊的比例在8%左右,2007年這個比例是5%,而到了2008年已經(jīng)上升到23%。企業(yè)內(nèi)部網(wǎng)絡(luò)安全問題十分突出,存在較為嚴重的隱患,成為制約企業(yè)網(wǎng)發(fā)展與應(yīng)用的重要因素。

3可信計算概述

在it產(chǎn)業(yè)迅速發(fā)展、互聯(lián)網(wǎng)廣泛應(yīng)用和滲透的今天,各種各樣的威脅模式也不斷涌現(xiàn)。信息領(lǐng)域犯罪的隱蔽性、跨域性、快速變化性和爆發(fā)性給信息安全帶來了嚴峻的挑戰(zhàn)。面對信息化領(lǐng)域中計算核心的脆弱性,如體系結(jié)構(gòu)的不健全、行為可信度差、認證力度弱等,信息安全的防護正在由邊界防控向源頭與信任鏈的防控轉(zhuǎn)移,這正是可信計算出臺的背景。

可信計算(trusted computing,tc)是指在pc硬件平臺引入安全芯片架構(gòu),通過其提供的安全特性來提高終端系統(tǒng)的安全性,從而在根本上實現(xiàn)了對各種不安全因素的主動防御。簡單地說,可信計算的核心就是建立一種信任機制,用戶信任計算機,計算機信任用戶,用戶在操作計算機時需要證明自己的身份,計算機在為用戶服務(wù)時也要驗證用戶的身份。這樣的一種理念來自于我們所處的社會。我們的社會之所以能夠正常運行,就得益于人與人之間的信任機制,如:商人與合作伙伴之間的信任;學生與教師之間的信任;夫妻之間的信任等等。只有人與人之間建立了信任關(guān)系,社會才能和諧地正常運轉(zhuǎn)。可信計算充分吸收了這種理念,并將其運用到計算機世界當中。

由于信息安全風險評估不足,導致安全事件不斷發(fā)生。因此,現(xiàn)在的大部分信息安全產(chǎn)品以及采取的安全措施都不是從根本上解決問題,都是在修補漏洞,效果可想而知。可信計算則是從本源上解決信息安全問題,就是要發(fā)放“通行證”。并且,“通行證”可以從技術(shù)上保證不會被復制,可以隨時驗證真實性。可信計算因此成為信息安全的主要發(fā)展趨勢之一,也是it產(chǎn)業(yè)發(fā)展的主要方向。

3.1可信平臺模塊

把可信作為一種期望,在這種期望下設(shè)備按照特定的目的以特定的方式運轉(zhuǎn)。并以平臺形式制訂出了一系列完整的規(guī)范,包括個人電腦、服務(wù)器、移動電話、通信網(wǎng)絡(luò)、軟件等等。這些規(guī)范所定義的可信平臺模塊(trusted platform module,tpm)通常以硬件的形式被嵌入到各種計算終端,在整個計算設(shè)施中建立起一個驗證體系,通過確保每個終端的安全性,提升整個計算體系的安全性。從廣義的角度上,可信計算平臺為網(wǎng)絡(luò)用戶提供了一個更為寬廣的安全環(huán)境,它從安全體系的角度來描述安全問題,確保用戶的安全執(zhí)行環(huán)境,突破被動防御漏洞打補丁方式。可信平臺模塊實現(xiàn)目的包括兩個層面的內(nèi)容:一方面,保護指定的數(shù)據(jù)存儲區(qū),防止敵手實施特定類型的物理訪問。另一方面,賦予所有在計算平臺上執(zhí)行的代碼,

以證明它在一個未被篡改環(huán)境中運行的能力。

3.2可信計算的關(guān)鍵技術(shù)

與社會關(guān)系所不同的是,建立信任的具體途徑,社會之中的信任是通過親情、友情、愛情等紐帶建立起來的,但是在計算機世界里,一切信息都以比特串的形式存在,建立可信計算信任機制,就必須使用以密碼技術(shù)為核心的關(guān)鍵技術(shù)。可信計算包括以下5個關(guān)鍵技術(shù)概念:

3.2.1endorsement key 簽注密鑰

簽注密鑰是一個2048位的rsa公共和私有密鑰對,它在芯片出廠時隨機生成并且不能改變。這個私有密鑰永遠在芯片里,而公共密鑰用來認證及加密發(fā)送到該芯片的敏感數(shù)據(jù)。

3.2.2secure input and output 安全輸入輸出

安全輸入輸出是指電腦用戶和他們認為與之交互的軟件間受保護的路徑。當前,電腦系統(tǒng)上惡意軟件有許多方式來攔截用戶和軟件進程間傳送的數(shù)據(jù)。例如鍵盤監(jiān)聽和截屏。

3.2.3memory curtaining 儲存器屏蔽

儲存器屏蔽拓展了一般的儲存保護技術(shù),提供了完全獨立的儲存區(qū)域。例如,包含密鑰的位置。即使操作系統(tǒng)自身也沒有被屏蔽儲存的完全訪問權(quán)限,所以入侵者即便控制了操作系統(tǒng)信息也是安全的。

3.2.4sealed storage 密封儲存

密封存儲通過把私有信息和使用的軟硬件平臺配置信息捆綁在一起來保護私有信息。意味著該數(shù)據(jù)只能在相同的軟硬件組合環(huán)境下讀取。例如,某個用戶在他們的電腦上保存一首歌曲,而他們的電腦沒有播放這首歌的許可證,他們就不能播放這首歌。

3.2.5remote attestation 遠程認證

遠程認證準許用戶電腦上的改變被授權(quán)方感知。例如,軟件公司可以避免用戶干擾他們的軟件以規(guī)避技術(shù)保護措施。它通過讓硬件生成當前軟件的證明書。隨后電腦將這個證明書傳送給遠程被授權(quán)方來顯示該軟件公司的軟件尚未被干擾。

3.3可信計算的應(yīng)用現(xiàn)狀

在國際上,可信計算架構(gòu)技術(shù)發(fā)展很快,一些國家(如美國、日本等)在政府采購中強制性規(guī)定要采購可信計算機。中國的可信計算還屬于起步階段,但正在向更高水平發(fā)展。據(jù)了解,現(xiàn)在市場上已經(jīng)銷售了數(shù)十萬帶有可信計算芯片的電腦,這些電腦已經(jīng)廣泛應(yīng)用于包括政府、金融、公共事業(yè)、教育、郵電、制造,以及廣大中、小企業(yè)在內(nèi)的各行各業(yè)中。而且,不少政府部門已經(jīng)認可產(chǎn)品,并將帶有可信計算芯片的產(chǎn)品采購寫入標書。但是,無論是國內(nèi)還是國外,可信技術(shù)從應(yīng)用角度講都還僅僅處于起步階段。可信計算還停留在終端(客戶端)領(lǐng)域,還要進一步向服務(wù)器端(兩端要互相認證),中間件、數(shù)據(jù)庫,網(wǎng)絡(luò)等領(lǐng)域發(fā)展,建立可信計算平臺和信任鏈。當前,可信計算的應(yīng)用領(lǐng)域主要有:數(shù)字版權(quán)管理、身份盜用保護、防止在線游戲防作弊、保護系統(tǒng)不受病毒和間諜軟件危害、保護生物識別身份驗證數(shù)據(jù)、核查遠程網(wǎng)格計算的計算結(jié)果等。應(yīng)用環(huán)境的局限性也是可信計算產(chǎn)業(yè)發(fā)展的一大障礙,目前的應(yīng)用還處于很有限的環(huán)境中,應(yīng)用的廣泛性還得依靠人們對于可信計算、網(wǎng)絡(luò)信息安全在認識和意識上的提高。

網(wǎng)絡(luò)信息安全論文:網(wǎng)絡(luò)隔離技術(shù)研究-對于信息安全管理角度探討

論文摘要：本文探討網(wǎng)絡(luò)隔離的相關(guān)技術(shù)，從網(wǎng)絡(luò)隔離的概念，說明網(wǎng)絡(luò)隔離技術(shù)的發(fā)展沿革與網(wǎng)絡(luò)隔離技術(shù)的作法，進而探討實體隔離網(wǎng)閘的技術(shù)原理，并從相關(guān)信息安全標準所建議之實務(wù)規(guī)范，匯整與網(wǎng)絡(luò)存取相關(guān)的管理控制措施。

論文關(guān)鍵詞：網(wǎng)絡(luò)隔離；信息安全；管理

一、網(wǎng)絡(luò)隔離的觀念

當內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)連接后，就陸續(xù)出現(xiàn)了很多的網(wǎng)絡(luò)安全問題，在沒有解決網(wǎng)絡(luò)安全問題之前，一般來說最簡單的作法是先將網(wǎng)路完全斷開，使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)不能直接進行網(wǎng)絡(luò)聯(lián)機，以防止網(wǎng)絡(luò)的入侵攻擊。因此對網(wǎng)絡(luò)隔離的普遍認知，是指在兩個網(wǎng)絡(luò)之間，實體線路互不連通，互相斷開。但是沒有網(wǎng)絡(luò)聯(lián)機就沒有隔離的必要，因此網(wǎng)絡(luò)隔離的技術(shù)是在需要數(shù)據(jù)交換及資源共享的情況下出現(xiàn)。不需要數(shù)據(jù)交換的網(wǎng)絡(luò)隔離容易實現(xiàn)，只要將網(wǎng)絡(luò)完全斷開，互不聯(lián)機即可達成。但在需要數(shù)據(jù)交換的網(wǎng)絡(luò)隔離卻不容易實現(xiàn)。在本研究所探討的網(wǎng)絡(luò)隔離技術(shù)，是指需要數(shù)據(jù)交換的網(wǎng)絡(luò)隔離技術(shù)。

事實上在大多數(shù)的政府機關(guān)或企業(yè)的內(nèi)部網(wǎng)絡(luò)，仍然需要與外部網(wǎng)絡(luò)（或是因特網(wǎng)）進行信息交換。實施網(wǎng)絡(luò)斷開的實體隔離，雖然切斷兩個網(wǎng)絡(luò)之間的直接數(shù)據(jù)交換，但是在單機最安全的情況下，也可能存在著復制數(shù)據(jù)時遭受病毒感染與破壞的風險。

二、網(wǎng)絡(luò)安全管理

（一）網(wǎng)絡(luò)控制措施

在「10.6.1網(wǎng)絡(luò)控制措施控件中，說明應(yīng)采用的控制措施，對于網(wǎng)絡(luò)應(yīng)該要適當?shù)募右怨芾砼c控制，使其不會受到安全的威脅，并且維護網(wǎng)絡(luò)上所使用的系統(tǒng)與應(yīng)用程序的安全（包括傳輸中的資訊）。

建議組織應(yīng)采用適當?shù)淖鞣ǎ跃S護網(wǎng)絡(luò)聯(lián)機安全。網(wǎng)絡(luò)管理者應(yīng)該建立計算機網(wǎng)絡(luò)系統(tǒng)的安全控管機制，以確保網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全，保護網(wǎng)絡(luò)連線作業(yè)，防止未經(jīng)授權(quán)的系統(tǒng)存取。特別需列入考慮的項目如下：

1、盡可能將網(wǎng)絡(luò)和計算機作業(yè)的權(quán)責區(qū)隔，以降低組織設(shè)備遭未經(jīng)授權(quán)的修改或誤用之機會；2、建立遠程設(shè)備（包括使用者區(qū)域的設(shè)備）的管理責任和程序，例如管制遠程登入設(shè)備，以避免未經(jīng)授權(quán)的使用；3、建立安全的加密機制控制措施，保護透過公眾網(wǎng)絡(luò)或無線網(wǎng)絡(luò)所傳送數(shù)據(jù)的機密性與完整性，并保護聯(lián)機的系統(tǒng)與應(yīng)用程序，以維持網(wǎng)絡(luò)服務(wù)和所聯(lián)機計算機的正常運作；4、實施適當?shù)匿浵翊驿浥c監(jiān)視，以取得相關(guān)事件紀錄；5、密切協(xié)調(diào)計算機及網(wǎng)絡(luò)管理作業(yè)，以確保網(wǎng)絡(luò)安全措施可在跨部門的基礎(chǔ)架構(gòu)上運作。

（二）網(wǎng)絡(luò)服務(wù)的安全

1、組織應(yīng)賦予管理者稽核的權(quán)力，透過定期的稽核，監(jiān)督管理負責網(wǎng)絡(luò)服務(wù)的廠商；2、組織應(yīng)確認負責網(wǎng)絡(luò)服務(wù)的廠商，有實作特殊的服務(wù)所必需的安全措施，例如該項服務(wù)的安全特性、服務(wù)的安全等級和管理方法。歸納“網(wǎng)絡(luò)控制措施”及“網(wǎng)絡(luò)服務(wù)的安全”的控制措施，建議組織在網(wǎng)絡(luò)安全的控管措施，主要以采用防火墻、入侵偵測系統(tǒng)等控制措施，及運用網(wǎng)絡(luò)服務(wù)安全性的技術(shù)，例如認證、加密及網(wǎng)絡(luò)聯(lián)機控制技術(shù)等，以建立安全的網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)聯(lián)機的安全。

三、網(wǎng)絡(luò)隔離技術(shù)與應(yīng)配合之控制措施

（一）采用完全實體隔離的管理措施

1、安全區(qū)域作業(yè)程序。組織需根據(jù)存取政策訂定安全區(qū)域的標準作業(yè)程序，以便相關(guān)人員能夠據(jù)以確實執(zhí)行，避免人為疏忽造成數(shù)據(jù)泄漏。標準作業(yè)程序應(yīng)制作成文件讓需要的所有使用者都可以取得。對于每一位使用者，都需要清楚的定義存取政策，這個政策必須依照組織的要求，設(shè)定允許存取的權(quán)限，一般的原則為僅提供使用者必要的權(quán)限，盡可能減少不必要的權(quán)限。并應(yīng)區(qū)分職務(wù)與責任的范圍，以降低遭受未經(jīng)授權(quán)或故意的進入安全區(qū)域之機會；2、資料存取稽核。數(shù)據(jù)存取的記錄，包括成功及不成功之登入系統(tǒng)之紀錄、存取資料之紀錄及使用的系統(tǒng)紀錄等。在完全實體隔離的作業(yè)下相關(guān)的稽核記錄，需要實施人工的稽核作業(yè)，特別是登入錯誤時的紀錄，需要逐筆的稽核作業(yè)。并不定期稽核數(shù)據(jù)存取作業(yè)是否符合組織的存取政策與標準作業(yè)程序，并且需要特別稽核下列事項：（1）對于被授權(quán)的特權(quán)使用者，其存取紀錄應(yīng)定期稽核；（2）對于特權(quán)存取事件，應(yīng)檢查是否被冒用的情形發(fā)生。

（二）網(wǎng)絡(luò)存取控制措施

在實體隔離的政策要求下，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離為兩個互不相連的網(wǎng)絡(luò)，數(shù)據(jù)交換時透過數(shù)據(jù)交換人員定時，或是不定時根據(jù)使用者的申請，至數(shù)據(jù)交換作業(yè)區(qū)域之專屬設(shè)備，以人工執(zhí)行數(shù)據(jù)交換作業(yè)。因為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間采用網(wǎng)絡(luò)線路的實體隔離作業(yè)，主要的網(wǎng)絡(luò)存取控制措施則著重在作業(yè)區(qū)域的管理控制措施。

為確保數(shù)據(jù)交換作業(yè)區(qū)域的數(shù)據(jù)存取安全，除將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離為兩個互不相連的網(wǎng)絡(luò)外，對數(shù)據(jù)交換作業(yè)區(qū)域的專屬設(shè)備，需實施不同于外部網(wǎng)絡(luò)及內(nèi)部網(wǎng)絡(luò)的存取安全政策，確保網(wǎng)絡(luò)安全環(huán)境，以降低可能的安全風險。例如：內(nèi)部網(wǎng)絡(luò)處理機敏性數(shù)據(jù)、外部網(wǎng)絡(luò)處理一般辦公環(huán)境數(shù)據(jù)及數(shù)據(jù)交換作業(yè)區(qū)域的安全環(huán)境。機敏性數(shù)據(jù)建置于內(nèi)部網(wǎng)絡(luò)的專屬數(shù)據(jù)庫或檔案區(qū)內(nèi)，機敏性信息系統(tǒng)亦僅限于內(nèi)部網(wǎng)絡(luò)運用，員工必須在內(nèi)部網(wǎng)絡(luò)的計算機進行信息處理作業(yè)。另為防止機敏性數(shù)據(jù)的外泄，在內(nèi)部網(wǎng)絡(luò)的終端計算機需要禁止使用下列設(shè)備，包含磁盤片、光盤片、隨身碟或行動碟等可攜式儲存媒體。

為防止因特網(wǎng)的直接存取數(shù)據(jù)交換作業(yè)區(qū)域的專屬計算機，應(yīng)依照組織的存取政策，采用邏輯隔離技術(shù)，將不同等級的作業(yè)分隔在不同的網(wǎng)段，例如：將數(shù)據(jù)交換作業(yè)與一般信息作業(yè)的網(wǎng)段區(qū)隔，藉由適當?shù)姆獍^濾機制，防止未經(jīng)授權(quán)的網(wǎng)絡(luò)流量互相流通，同時可管制數(shù)據(jù)的存取，避免數(shù)據(jù)被誤用之機會。而且需要建置入侵偵測系統(tǒng)，偵測組織內(nèi)網(wǎng)絡(luò)封包的進出，以便提早發(fā)現(xiàn)可能的入侵行為。

網(wǎng)絡(luò)信息安全論文:淺談電子商務(wù)網(wǎng)絡(luò)信息安全的應(yīng)對措施

隨著電子商務(wù)的迅速發(fā)展，其“瓶頸”問題如網(wǎng)絡(luò)信息安全也日趨顯示出來。然而，由于網(wǎng)絡(luò)技術(shù)本身的缺陷，使得網(wǎng)絡(luò)社會的脆弱性大大增加，一旦計算機網(wǎng)絡(luò)受到攻擊不能正常運行時，整個社會就會陷入危機。那么，對于“瓶頸”問題應(yīng)如何應(yīng)對？

一、電子商務(wù)中的信息安全技術(shù)

電子商務(wù)的信息安全在很大程度上取決于技術(shù)的完善，這些技術(shù)包括訪問控制、防火墻技術(shù)、身份認證與權(quán)限管理、入侵檢測、防病毒等等。

1.防火墻技術(shù)。防火墻是最重要的安全技術(shù)，它的主要功能是加強網(wǎng)絡(luò)之間的訪問控制，是一個安全策略的檢查站，對網(wǎng)絡(luò)攻擊進行檢測和警告。

2.加密技術(shù)。它的主要任務(wù)是研究計算機系統(tǒng)和通信網(wǎng)絡(luò)內(nèi)信息的保護方法，以實現(xiàn)系統(tǒng)內(nèi)信息的安全、保密、真實和完整。

3.數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。在電子商務(wù)安全保密系統(tǒng)中，數(shù)字簽名技術(shù)有著特別重要的地位，在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認服務(wù)中都要用到數(shù)字簽名技術(shù)。

4.數(shù)字時間戳技術(shù)。在電子商務(wù)交易的文件中，時間是十分重要的信息，是證明文件有效性的主要內(nèi)容。

二、電子商務(wù)網(wǎng)絡(luò)信息安全的應(yīng)對措施

網(wǎng)絡(luò)信息安全關(guān)系到我們每個人的切身利益，研發(fā)出真正安全可靠的網(wǎng)絡(luò)信息安全產(chǎn)品對保障國家的信息安全、金融安全甚至國家安全都具有十分重要的意義。有人說“三分技術(shù)，七分管理”反映了網(wǎng)絡(luò)信息安全技術(shù)的兩個方面：一是技術(shù)問題，二是管理問題。那么，未來網(wǎng)絡(luò)信息安全就應(yīng)從政府、網(wǎng)絡(luò)軟件企業(yè)、核心用戶、資本、技術(shù)、人才等各個方面入手。

1.提高對網(wǎng)絡(luò)信息安全重要性的認識。信息技術(shù)的發(fā)展，使網(wǎng)絡(luò)逐漸滲透到社會的各個領(lǐng)域，在未來的軍事和經(jīng)濟競爭與對抗中，因網(wǎng)絡(luò)的崩潰而促成全部或局部的失敗，絕非不可能。我們在思想上要把信息資源共享與信息安全防護有機統(tǒng)一起來，樹立維護信息安全就是保生存、促發(fā)展的觀念。

2.加強網(wǎng)絡(luò)安全管理。我國網(wǎng)絡(luò)安全管理除現(xiàn)有的部門分工外，要建立一個具有高度權(quán)威的信息安全領(lǐng)導機構(gòu)。對于計算機網(wǎng)絡(luò)使用單位，要嚴格執(zhí)行《中華人民共和國計算機信息系統(tǒng)安全保護條例》與《計算機信息網(wǎng)絡(luò)安全保護管理辦法》，建立本單位、本部門、本系統(tǒng)的組織領(lǐng)導管理機構(gòu)，明確領(lǐng)導及工作人員責任，制定管理崗位責任制及有關(guān)措施，嚴格內(nèi)部安全管理機制。

3.加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)。我國需要大批信息安全人才來適應(yīng)新的網(wǎng)絡(luò)安全保護形勢。高素質(zhì)的人才只有在高水平的研究教育環(huán)境中才能迅速成長，只有在高素質(zhì)的隊伍保障中才能不斷提高。應(yīng)該加大對有良好基礎(chǔ)的科研教育基地的支持和投入，多出人才，多出成果。在人才培養(yǎng)中，要注重加強與國外的經(jīng)驗技術(shù)交流，及時掌握國際上最先進的安全防范手段和技術(shù)措施，確保在較高層次上處于主動。要加強對內(nèi)部人員的網(wǎng)絡(luò)安全培訓，防止堡壘從內(nèi)部攻破。

4.開展網(wǎng)絡(luò)安全立法和執(zhí)法。一是要加快立法進程，健全法律體系；二是要執(zhí)法必嚴，違法必糾。要建立有利于信息安全案件訴訟與公、檢、法機關(guān)辦案的制度，提高執(zhí)法的效率和質(zhì)量。

5.把好網(wǎng)絡(luò)建設(shè)立項關(guān)。我國網(wǎng)絡(luò)建設(shè)立項時的安全評估工作沒有得到應(yīng)有的重視，這為網(wǎng)絡(luò)安全問題埋下了伏筆。在對網(wǎng)絡(luò)的開放性、適應(yīng)性、成熟性、先進性、靈活性、易操作性、可擴充性綜合把關(guān)的同時，在立項時更應(yīng)注重對網(wǎng)絡(luò)可靠性、安全性的評估，力爭將安全隱患杜絕于立項、決策階段。

6.抓緊網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)。一個網(wǎng)絡(luò)信息系統(tǒng)，只要其芯片、中央處理器等計算機的核心部件以及所使用的軟件是別人設(shè)計生產(chǎn)的，就沒有安全可言,這正是我國網(wǎng)絡(luò)信息安全致命的弱點。

7.建立網(wǎng)絡(luò)風險防范機制。在網(wǎng)絡(luò)建設(shè)與經(jīng)營中，因為安全技術(shù)滯后、道德規(guī)范蒼白、法律疲軟等原因，往往會使網(wǎng)絡(luò)經(jīng)營陷于困境，這就必須建立網(wǎng)絡(luò)風險防范機制。

8.強化網(wǎng)絡(luò)技術(shù)創(chuàng)新。如果在基礎(chǔ)硬件、芯片方面不能自主，將嚴重影響我們對信息安全的監(jiān)控。為了建立起我國自主的信息安全技術(shù)體系，利用好國內(nèi)外兩個資源，需要以我為主，統(tǒng)一組織進行信息安全關(guān)鍵技術(shù)攻關(guān)，以創(chuàng)新的思想，超越固有的約束，構(gòu)筑具有中國特色的信息安全體系。特別要重點研究關(guān)鍵芯片與內(nèi)核編程技術(shù)和安全基礎(chǔ)理論。

9.注重網(wǎng)絡(luò)建設(shè)的規(guī)范化。沒有統(tǒng)一的技術(shù)規(guī)范，局部性的網(wǎng)絡(luò)就不能互連、互通、互動，沒有技術(shù)規(guī)范也難以形成網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模。

10.促進網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展。扶持具有中國特色的信息安全產(chǎn)業(yè)的發(fā)展是振興民族信息產(chǎn)業(yè)的一個切入點，也是維護網(wǎng)絡(luò)安全的必要對策。

11.建設(shè)網(wǎng)絡(luò)安全研究基地。應(yīng)該把我國現(xiàn)有的從事信息安全研究、應(yīng)用的人才很好地組織起來，為他們創(chuàng)造更優(yōu)良的工作學習環(huán)境，調(diào)動他們在信息安全創(chuàng)新中的積極性。

12.政府部門、網(wǎng)絡(luò)軟件企業(yè)、核心用戶與技術(shù)相結(jié)合。長期以來，網(wǎng)絡(luò)信息安全技術(shù)發(fā)達的歐美國家在網(wǎng)絡(luò)信息安全技術(shù)及產(chǎn)品的出口上一直設(shè)置種種障礙，因此，在中國銷售的產(chǎn)品及其安全級別相當?shù)停静荒苷嬲ＷC安全。核心用戶積極投入到網(wǎng)絡(luò)信息安全體系當中，可以決定整個網(wǎng)絡(luò)安全市場的容量和發(fā)展的方向。