技术安全策略(精选十篇)
技术安全策略 篇1
关键词:化工园区,安全管理策略,土地规划,危险设施
随着经济的发展, 化工园区建设也与日俱增, 化工园区在促进园区所在地经济和化工发展的同时, 也带来了安全问题。化工园去集聚了大量的化工厂, 在生产、储存、经营、运输中都时刻伴随着易燃、易爆、有毒的危险化学物品。一旦化工园区发生爆炸、火灾、有毒化学物品泄露, 就会造成极其严重的危害, 而且化工园区化工厂与化工企业之间是个复杂完整的系统, 联系紧密, 在发生重大事故时, 就会形成连锁效应, 波及园区其他企业。本文就化工园区的安全问题进行了技术策略的探讨。
一、化工园区事故实例的危害分析
在化学工业发展过程中, 发生了许多危害严重的化工事故。在2006年3月31日中午12时左右, 位于上海金山化学工业园区的德国化工巨头巴斯夫在沪化工厂发生泄漏, 上海化学工业园区虽然及时疏散了人群, 但由于时间差, 仍有部分人受泄露影响住院, 泄露的原因为厂房内一个管道阀门出了问题, 致使生产过程中用于热媒介的盐泄漏, 产生黄色烟雾 (二氧化氮) 。2007年11月27日上午位于盐城市响水县陈家港化工园区"联化科技有限公司"发生一起严重爆炸事故, 该事故造成了超百人的人员伤亡, 数间厂房被毁, 而且毒气扩散影响周围居民身体健康。2004年4月15日, 重庆天原化工发生了氯气泄露爆炸事故, 造成9万多人死亡, 十几万人紧急疏散。主要原因是该工厂处于城市的中心地带, 人口稠密。由这些事故可以看出化工园区发生的重大事故, 其危害是十分严重的, 因此做好化工园区安全管理工作的意义是十分重大的。
二、化工园区安全管理技术与策略
1. 明确的指导思想
化工园区的安全管理, 要坚持科学发展观, 坚持安全发展的战略, 始终把安全放在第一位, 以预防为主, 及时处理为辅, 综合的对化工园区进行安全管理, 切实遵守相关的法律、法规。把握管理原则, 统一规划, 统一管理, 科学合理的安排化工园区的选址布局, 同时明确化工园区建设的责任, 切实做到安全生产, 协调发展。
2. 建立化工园区安全一体化管理体系
(1) 建立健全园区安全生产管理机构。
建立合法管理机构对化工园区进行统一管理, 明确管理机构的责任, 协调管理化工园区内企业之间的安全生产问题, 与企业共同肩负化工园区安全责任。要及时发现园区的内的安全隐患并及时处理, 出现事故要统一指挥化工园区的应急救援工作, 督促企业安全生产。
(2) 增强化工园区的风险意识。
定期聘请甲级的安全评测机构对化工园区整体进行科学的的安全风险评价工作, 及时发现安全隐患, 了解化工园区的安全等级, 并提出解除安全风险的方法与对策。化工园区安全管理机构要督促各企业树立整体安全意识, 同时提高风险意识, 防范风险意识, 防止企业安全生产事故引起的连锁效应。
(3) 构建一体化应急管理体系。
化工园区安全生产管理机构要未雨绸缪, 制定化工园区的应急救援措施与预案, 同时全面把握园区内企业的应急救援的相关信息, 督促企业及时完善更新企业应急预案, 并做好各企业应急预案的登记、审查的工作。同时要在化工园区制定应急物资储备保障制度, 建立科学的应急物资保障体系。
3. 建立健全化工园区安全生产监督体系
指导督促园区企业切实落实主体责任, 突出重点、强化监管。化工园区安全生产管理机构要加强对化工园区的监督管理, 时刻的对园区内各个企业进行安全监督, 深化排查化工园的安全隐患, 建立健全全民排查隐患制度, 定期组织园区内员工进行全面而严格隐患排查, 及时发现隐患, 及时处理隐患, 将隐患扼杀在摇篮里。同时要加强对危险化学品重大危险源的监控, 严格落实重大危险源辨识、评价、登记、申报以及备案等规定。结合园区产业结构、产业链特点、安全风险类型等实际情况, 逐步推进园区封闭化管理。
4. 化工园区安全规划
(1) 化工园区土地规划
化工园区的土地利用要进行统一合理的规划利用。全面的收集化工园区的所有的土地安全利用规划的相关资料, 并进行分析论证, 确定化工园区的土地选址与园区各个部分的应用类型, 合理安排生产用地、仓储用地、交通用地, 绿化用地、公共工程用地、垃圾废物处理、居住用地等各个部分的用地, 将危险源与周围的土地进行隔离, 确保周围的安全性, 切实做到整体规划的科学化、合法化、实际化。要对园区土地进行定量风险评估和经济效益分析, 确定园区土地利用的目标, 并及时的优化目标, 确定土地利用的约束条件。最后进行园区土地利用安全规划的民主决策。
(2) 化工园区危险设施整治
危险设施是引起化工园区事故的最大的威胁, 因此要及时对危险设施进行整治。可采用将危险设施搬离, 以安全的设施代替;用无害物质代替生产中的有害物质从而消除危险设施存在的风险。也可减少危害物质的使用量和存储量或全程监控危险物质的使用情况;优化生产环境, 避免易爆炸环境的形成, ;设置隔离区等方法来降低危险设施的风险。
结语
化工园的安全管理问题是关系化工业健康发展的重要因素。化工园区发生的重大事故对化工业和人们的生命都造成了极大地威胁, 因此要坚持“预防为主, 综合治理”的原则, 及时有效的处理好化工园区安全问题, 促进化工业的健康可持续发展, 促进经济的又好又快发展。
参考文献
[1]杨玉胜, 吴宗之, 任彦斌, 等.石油化学工业危险设施安全规划方法研究[C]//中国职业安全健康协会2007年学术年会论文集.重庆:中国职业安全建康协会, 2007.
[2]陈晓董, 师立晨, 刘骥, 等, 危险设施土地利用规划方法及其应用[J].中国安全生产科学技术, 2008.
[3]吴宗之, 关磊.重大危险源安全规划与监控是城市安全的重要保障[J].中国公共安全 (综合版) , 2005 (12) :122~125.
[4]刘芳.浅谈化工园区安全生产[J]精细化工中间体, 2007, 37: (6) 18-20.
气象信息网络安全策略与技术论文 篇2
一、防火墙技术
气象信息网络具有不稳定性、复杂性及多样性等特点,在信息传递过程中存在病毒入侵的风险,为了降低病毒干扰的风险问题,就要在气象信息网络上配置防火墙,通过局域网防火墙来对气象信息网络进行合理配置和有效管理。由于防火墙是不同网段信息传输的出入口,因此可以参考网络安全的相关措施来对用户的互联网历史记录进行监督,暴露用户点,为气象网络安全进行检验,从而实现对气象部门的网络安全提供保护[1]。气象局可以结合硬件防火墙,通过防火墙将互联网和气象局内部数字专网进行连接,充分发挥防火墙的管控功能。同时防火昂是对网络安全域间部件和不同网络的组合,为网络间信息和安全域信息的唯一入口,因此可以参照企业的.网络安全管理政策来控制流经网络信息流,其自身也具有较强的抗攻击能力。为实现网络安全,并为信息安全提供基本的服务,防火墙通过发送互联网信息工作方式,有效识别危险源和存在安全隐患的网络信息。
二、气象信息网络安全管理策略
为了确保气象信息网络安全保障体系的建设完善,就需要采用技术手段来记性呢信息网络安全保障体系构建,才能充分发挥保障体系的效能及作用,并将管理工作作为其重要突破口,管理人员在日常管理中应做到对安全产品的合理配置,并通过口令来对用户进行严格管理,确保系统安全,并做好系统内部各项数据资料的备份,一旦系统出现安全漏洞则应及时进行修复,避免系统内部重要数据得丢失[2]。除此之外,对使用者的终端运行构建保障机制,确保用户的终端运维功能做得到标准化与流程化运作。为了避免气象信息网络安全风险问题的发生,还要加强对风险管理,对于一些风险较小的因素可以不用采取专用安全措施来处理。对危险程度较低风险可以通过风险评估,并采取一定的措施来降低风险发生概率。而对于严重风险,如对气象信息网络造成严重攻击的则需要采用最高级别安全防护措施,消除风险,并降低风险的危险程度,确保气象信息网络系统安全[3]。
三、加强网络控制
为了确保气象信息系统安全,通过对网络访问控制的设置,防止非法入侵和访问网络系统。首先设置入网访问控制,对目录级别、网络权限及网络信息等进行严格控制;其次还要做好数据备份与恢复工作,如有突发事件的发生,为了避免对气象信息安全造成影响,在数据破坏时可以通过备份数据恢复;再次,还要通过信息加密技术来加强对气象信息网络系统的加密处理,信息加密技术是确保气象信息网络安全的重要手段,可以通过身份认证、数字签名、古典密码及单钥密码系统来进行信息加密,维护气象信息网络系统的安全[4]。最后,还要加强对气象信息安全检查,避免危险因素进入系统内部,并实现对内部网络进行实时监控,确保气象信息网络安全。
四、结语:
气象信息网络安全问题是气象行业在信息化发展中所面临的主要问题,也是学术界研究和讨论的重点。为了解决气象信息网络安全问题,就应该始终坚持科学的发展观,加强对技术安全管理的更新,构建完善的气象信息网络安全管理体系,确保气象信息网络系统运行的可靠性与安全性。
参考文献
[1]郑潮宇,陈骥,林忠.宁德市气象信息网络的现状及安全策略[J].数字技术与应用,2015(01):179.
[2]杨菊梅,李磊,张明,刘匀同.甘肃省气象信息网络的安全现状及防范措施[J].河北农业科学,2010,14(09):140-142+144.
[3]张翼,林镇国,陈晓敏.提高气象信息网络安全性的技术应用[J].广东气象,2008(05):50-51.
[4]王成国.青海省气象信息网络优化及安全策略研究[J].青海科技,2002(05):45-47.
★ 新媒体与信息网络专业简历
★ 计算机网络与高等教育行政管理论文
★ 高等教育教学改革
★ 性别在工作中的不平等
★ 高等教育政策法规心得体会
★ 高等教育管理体制论文
★ 《高等教育》阅读及答案
★ 高等教育导论心得范文
★ 成人高等教育自我鉴定
浅析防火墙的安全技术策略 篇3
摘要:本文针对目前防火墙在网络中的重要性,针对防火墙技术进行了简单的分析,论述了防火墙的安全策略设计。
关键词:网络 防火墙 安全策略
0 引言
网络技术的飞速发展,在给信息共享带来了翻天覆地的变化的同时,也带来了安全隐患,随之而来的问题就是如何保护网络的安全。防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。防火墙仍然起着最基本的预防作用,仍然是保护网络安全所必须的工具。
1 防火墙技术分析
防火墙是一种连接内网和外网(比如Internet) 的网关,提供对进入内部网络连接的访问控制能力。它能够根据预先定义的安全策略,允许合法连接进入内部网络,阻止非法连接,抵御黑客入侵,保护内部网的安全,防止机密数据的丢失。防火墙通常用于保护公司的内部网络,但也用于隔离不同部门之间的网络。防火墙在保护网络安全方面已经发挥出越来越重要的作用。
1.1 包过滤技术 包过滤防火墙是最早的防火墙技术。顾名思义,包过滤就是根据数据包头信息和过滤规则阻止或允许数据包通过防火墙。当数据包到达防火墙时,防火墙就检查数据包包头的源地址、目的地址、源端口、目的端口,及其协议类型。若是可信连接,就允许其通过;否则就丢弃。由于包过滤防火墙处于OSI 七层模型的网络层,它只检查数据包头信息,处理数据包的速度很快。但是由于这种防火墙没有检查应用层的数据,也没有跟踪连接状态,并且没有用户和应用的验证,因此存在安全漏洞。
1.2 应用代理技术 应用层代理防火墙也被称为应用层网关,这种防火墙的工作方式同包过滤防火墙的工作方式具有本质区别。代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序。应用层代理为一特定应用服务提供代理,它对应用协议进行解析并解释应用协议的命令。应用层代理防火墙的优点是能解释应用协议,支持用户认证,从而能对应用层的数据进行更细粒度的控制。缺点是效率低,不能支持大规模的并发连接,只适用于单一协议。
1.3 状态检测技术 状态检测防火墙也叫自适应防火墙又叫动态包过滤防火墙。1992年USC 信息科学院的Bobbradon 提出了动态包过滤防火墙,在此基础上1994年Check Point公司提出了状态检测防火墙,Check Point公司的FireWall-1 就是基于这种技术。后来Progressive System 公司又提出了自己的自适应防火墙,它们的Phoenix 防火墙也是基于此技术,状态检测防火墙在包过滤的同时,检查数据包之间的关联性,检查数据包中动态变化的状态码。它有一个检测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态的保存起来作为以后执行安全策略的参考,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密处理等处理动作。
1.4 自适应代理技术 自适应代理防火墙是由Network Associates 公司提出的,它整合了动态包过滤防火墙技术和应用代理技术,本质上也是状态检测防火墙。Network Associates公司的Gauntlet就是用这种技术。
自适应代理防火墙一般是通过应用层验证新的连接,这种防火墙同时具有代理防火墙和状态检测防火墙的特性。防火墙能够动态地产生和删除过滤规则。由于这种防火墙将后续的安全检查重定向到网络层,使用包过滤技术,因此对后续的数据包的应用层数据没有进行有效地检查。同样,由于使用了代理技术,而代理技术不能检测未知的攻击行为。
2 防火墙安全策略设计
2.1 创建安全策略 策略对防火墙来说是关键因素,有两种网络级的策略可以直接影响到防火墙系统的设计、安装和使用:
2.1.1 网络服务访问权限策略:一种较高级别的策略,用来定义允许的和明确拒绝的服务,包括提供这些服务的使用方法及策略的例外情况;
2.1.2 防火墙设计策略:一种较低级别策略,用来描述防火墙如何对网络服务访问权限策略中所定义的服务进行具体的限制访问和过滤。
安全策略是防火墙系统的重要组成部分和灵魂,而防火墙设备是它的忠实执行者和体现者,二者缺一不可。安全策略决定了受保护网络的安全性和易用性,一个成功的防火墙系统首先应有一个合理可行的安全策略,这样的安全策略能够在网络安全需求及用户易用性之间实现良好的平衡。如稍有不慎,就会拒绝用户的正常请求的合法服务或者给攻击者制造了可乘之机。
安全策略的制定受到多种因素的影响,对每一个具体的网络环境,应根据各自的具体情况制定不同的安全策略。总的来说有两种策略:没有被列为允许的服务都是禁止的策略和没有被列为禁止的服务都是允许的策略。前者拒绝一切未经许可的服务,防火墙封锁所有信息流,然后逐项使能每一种许可的服务。而后者允许一切没被禁止的服务,防火墙转发所有的信息,然后逐项删除所有被禁止的服务。
虽然针对具体的网络没有固定的安全策略,但在制定具体的安全策略时,是可以遵循一定的原则:①支持一条“禁止一切未明确允许的服务”或“允许一切未被禁止的服务”的规则。②在实现既定规则时不能漏掉任何一条。③只要适当修改规则,便可以适应新的服务和需求。④要在身份验证和透明性之间作出权衡。⑤在分组过滤时,可以针对某个具体的机器系统允许或禁止。⑥对于需要的各种服务,如FTP, Telnet, SMTP, HTTP等要加上相应的代理服务,考虑加入通用代理服务方便扩展。⑦对于拨号用户集中管理,并做好过滤和日志统计工作。
2.2 确定分组过滤规则安全策略创建后,防火墙作用的发挥最大的因素依赖于好的规则库,规则库是一组规则,当特定种类的通信量试图通过防火墙时,这组规则告诉防火墙要采取什么工作,如果简单的防火墙具有构造良好的规则,那么它就比虽然复杂但是规则不能阻止应当阻止的入侵企图的防火墙有效。所以要将规则库建立在安全策略的基础上,并不断对规则库进行简化,实现过滤优化。
防火墙逐一审查每一个数据包是否与其分组过滤规则相匹配,由规则确定包的取舍。分组过滤规则处理IP包头信息为基础,其中以IP源地址、IP目的地址、封装协议(UDP/TCP)、端口号等来制定检查规则。在确定规则时一般把最常用的规则放在最前面,而且大多时候Web服务是最主要的,从而它的流量也是最大的,所以应该对它的响应进行调整,尽量把它往前移动。
3 结束语
防火墙的安全技术策略是一项不断发展和完善的技术,国内外对防火墙技术策略的应用正处在不断的摸索中。本文对防火墙的安全技术及防火墙的应用策略进行剖析,防火墙的安全技术策略还需进一步发展,它必将成为信息安全领域研究计论的重点。
参考文献:
[1]韦巍,乐国友.组策略在网络安全中的应用[J].法制与经济.2006年08期.
[2]刘晓辉.网管从业宝典——交换机·路由器·防火墙.重庆大学出版社.
网络技术安全策略和方法 篇4
关键词:网络安全,安全管理,密码处理
经济的全球化,网络技术的应用和更新的日新月异,各种操作系统环境下,都面临着新的考验。UNIX/Linux操作系统为了在互联网环境和占据市场更大的份额,更安全和更快捷的满足于用户的需求,也都各自增加了安全机制。网络安全的问题越来越多的受到关注。要最大限度的保障网络内的信息与网络应用的安全,同时更方便,快捷地提供用户网络接入服务,需要全新技术和管理。
一、集中安全管理是根本
信息安全"四分技术、六分管理"。在现在的信息安全技术环境下,攻击成本越来越小,防御投入越来越大,网络的安全环境并未有所好转,反而有日益恶化之势。而网络整体安全的水平往往取决于最弱的一环,而不是最强的地方。在复杂的网络环境中,任何一个用户的疏漏、漏洞管理的疏漏,都会给网络安全带来较大的威胁。
在这种情况下,信息安全的集中管理是根本,并需要依靠全新的技术手段来实现。一般而言,网络建立集中管理的原则包括:基于风险管理,投入有的放矢;注重体系化采用系统方法,确保万无一失;注重策略和管理,建立文件管理体系等。在技术层面,可以采用集中管理,通过全网管理功能、增强型全网漏洞管理、强大的网络管理能力等方式,为大型网络实现集中安全管理提供了强大的平台。
二、专业服务为保障
信息安全越来越成为保障网络稳定运行的重要元素。信息安全产业经过多年的实践摸索,已经初具规模,在技术、产品主面取得了很大的成就,但随着网络面临的安全威胁不断变化,单纯地靠产品来解决各类信息安全问题已经不能满足用户的实际安全需求。人们已经意识到,从根本上解决目前网络所面临的信息安全难题,只靠技术和产品是不够的,服务将直接影响到解决各类安全问题的效果。因此,安全服务是一个完整安全体系中不可或缺的部分,安全服务、各种安全产品和技术的融合使用,才能真正地保障一个大型网络的动态和持续安全,所以,构建个性化安全服务已是众多企业级用户迫在眉睫的急切需求。企业为本身信息保密性的需要,企业需要组建自己的安全服务队伍。做到本网络安全的策略和薄弱环节,同时还要与国家和社会信息安全组织或企业、公司、学校有密切联系,并且随时随地监视着各自网络运行状态。
三、保障措施落实、加强安全审计
在网络安全中。整个网络的安全状态也是由其最薄弱的一个环节所决定的。在不少企业、公司和学校的IT制度中,可能都有详细的安全管理制度,如客户的主机必须设置密码;而且每隔一段时间要更改密码;密码要保持一定的复杂性;同时规定时间间隔对主机进行扫描。但是为什么最后的效果都不怎么明显。这主要是措施没有落实到位。操作者能够严格执行的少之又少,安全观念淡薄。对一些网络安全的问题认识不够,而通常认为通过其他的电脑来访问他们工作电脑中的资源是不可能的。因此就会放松这方面的警惕,认为在电脑中的资源是安全的。
在这种错误观念的影响下,他们很少会关注密码的重要性,有些甚至,几年下来都不会更改密码,这就给远程连接埋下了一个安全隐患。现在有不少的工具可以扫描企业、公司和单位内网络主机,并进行密码测试,若主机没有设置密码或密码设置的比较简单,那么经过扫描工具一扫,就会一览无余地显示在不法攻击者面前。因此,应该利用一些安全审计工具为保障这些措施落实。
例如:通过组策略,来强制实现密码的安全性。通过微软的组策略,可以强制实现密码的复杂性验证;可以拒绝使用空密码;可以强制让用户每隔一段时间更改密码等等。通过这些安全审计工具,就可以把一些纸面上的安全管理制度落实到实处。所以,虽然说企业员工、单位同仁间的相互信任是提升企业管理团队的一个重要因素,但是,在企业网络安全管理中,最好还是不要相信每一位网络操作者会自觉地去执行相关的安全制度,要通过一切可以通过的手段,强制落实这些安全法则。
四、防火墙,给主机配置一个安全大门
防火墙对于网络的安全具有非常大的作用,防火墙是设置在可信网络和不可信的外界之间的一道屏障,可以实施比较广泛的安全策略来控制信息流入可信网络,防止不可预料的潜在的入侵破坏;另一方面能够限制可信网络中的用户对外部网络的非授权访问。防火墙必须具备以下三种基本性质:
进出网络的双向通信信息必须通过防火墙。
只能允许经过本地安全策略授权的通信信息通过。
防火墙本身不能影响网络信息的流通。
多数企业、公司是通过远程对各个员工主机进行维护和监督。所以,提高远程连接的安全性就显得尤为重要,可行的做法就是通过防火墙,指定只有一人主机的MAC地址才可以连接到其它员工主机进行远程管理。其它任何一台主机都不行。通过这种方式,就限制了远程连接的身份,从而提高了远程连接的安全性。企业在有远程管理需要的情况下,要为此设置一些安全策略,而不是简单地凭着对员工的一种信任,就放任不管了。
五、网络操作人员的网络安全培训
安全是一个过程,它不仅汇集了硬件、软件,还包含着人员以及他们之间的相互关系。要保障信息安全工作的顺利进行,每个环节都必须落实到每个层次上,而从事具体操作的安全管理人员则是网络安全中最薄弱的一个环节,然而加固这个环节则是见效最快的。因此必须加强网络操作人员的管理,加强网络工作人员的安全培训,提高整个网络每一个网络操作者的安全防范意识,使得内部管理人员的整体素质得到提高。
六、Linux操作系统的安全措施
在目前中小企业网络服务器操作系统Linux操作系统应用越来越多。在Linux操作系统环境下,保护一台连接到网络的计算机的安全也是一项永无止境的挑战。大家都说,由于Linux操作系统了解的人少,它是比较安全的,但随着现代教育发展,计算机专业课程中都要求有Linux课程,而且越来越深入的研究,步入这个领域的人也就越来越多,现在谈Linux的安全也是有问题的。Linux是一种操作系统,一旦连接到网络上,安全就不是百分之百的了。
Linux操作系统中有一个叫密码环的,当登录到计算机上,并请求链接到网络 (或轻量级目录访问协议LDAP服务器之类) 后,必须输入你的密码环密码。由于操作比较烦琐,一些用户就禁用该功能,具体只要使用内容为空的密码并忽略警告信息。这样就可以传输未加密的信息 (可以包括密码的明文) 。该功能是对通过网络传输的密码进行加密的,可以防止泄密。
当运行在Linux的多用户环境下 (Linux默认) 时,应该要求每一位操作人员经常更新自己的密码。可以利用"sudo chage-l用户名"对指定用户密码是否到期的情况进行查看。
在Linux中,都默认运行着SELinux子系统。企业的每一位员工不要禁用SELinux子系统,它可以提供对应用访问进行控制的机制。如果某个应用程序不能正常运行时,可以调整SELinux子系统的安全策略,以满足应用程序正常运行的需要。
不要以根用户 (root) 身份登录,root用户身份权限级别较高,可以管理系统许多重要模块的处理。它的身份被黑客利用,系统的安全将遭到严重破坏。通常以普通用户身份登录,使用su命令可以临时进行相关设置。
要及时进行安全更新。Linux现行使用的版本也存在着安全漏洞的问题,它的更新是经常进行较小范围的更新。这些包含着安全补丁的更新,能够保证系统安全运行,而它的缺失可能导致灾难性的后果。
参考文献
[1]操作系统安全美国威凯普斯公司北京代表处
信息安全策略 篇5
是一个有效的信息安全项目的基础。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。例如,没有安全策略,系统管理员将不能安全的安装防火墙。策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。尽管信息安全策略是廉价的实施控制方式,但它们也是最难实施的。策略花费的仅仅是创建、批准、交流所用的时间和精力,以及员工把策略整合形成日常行为规范所用的时间和精力。即使是雇佣外部顾问来辅助制定策略,与其它控制方法(特别是技术控制)相比,其花费也是较小的。策略的制定需要达成下述目标:减少风险,遵从法律和规则,确保组织运作的连续性、信息完整性和机密性。
信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。组织为高层主管、董事会成员、战略伙伴以及员工提供了内部信息系统,对信息系统中信息特性的理解,能为策略制定提供有用的依据。应当重视对信息系统了解深刻的员工,所提出的组织当前信息的主要特性,具体包括:什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。
在制定一整套信息安全策略时,应当参考一份近期的风险评估或信息审计,以便清楚了解组织当前的信息安全需求。对曾出现的安全事件的总结,也是一份有价值的资料。也需要召开相关人员会议,比如首席信息官、物理安全主管、信息安全主管、内部审计主管和人力资源主管等。
为了确定哪些部分需要进一步注意,应收集组织当前所有相关的策略文件,例如计算机操作策略、应用系统开发策略、人力资源策略、物理安全策略。也可以参考国际标准、行业标准来获得指导。
资料收集阶段的工作非常重要,很多时候因为工作量和实施难度被简化操作。资料收集不全,调研不够充分会导致新建的信息安全策略无法与组织的真正需求一致。也无法确保策略中的要求与管理目标相一致。如果提出一套与组织文化明显不一致的策略,更是一件很尴尬的事情。
在制定策略之前,对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结构。信息安全策略应当与已有的信息系统结构相一致,并对其完全支持。这一点不是针对信息安全体系结构,而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定,以保障信息安全体系实施、运行。例如,互联网访问控制策略可使安全体系结构具体化,也有利于选择和实施恰当的防火墙产品。
收集完上面所提到的材料后,也就是调研阶段完成后,开始根据前期的调研资料制定信息安全策略文档初稿。初稿完成后,应当寻找直接相关人员对其进行小范围的评审。对反馈意见进行修改后,逐渐的扩大评审的范围。当所有的支持部门做出修改后,交由信息安全管理委员会评审。
信息安全策略的制定过程有很高的政策性和个性,反复的评审过程能够让策略更加清晰、简洁,更容易落地,为此在评审的过程中需要调动参与积极性,而不是抵触。
评审过程的最后一步一般由总经理、总裁、首席执行官签名。在人员合同中应当表明能予遵守并且这是继续雇佣的条件。也应当发放到内部服务器、网页以及一些宣传版面上的显眼位置,并附有高层管理者的签名,以表明信息安全策略文档
得到高层领导强有力的支持。如果让首席执行官签名不现实,由首席信息官签名也可以。要注意仅有信息安全部门主管或同级的部门主管签名,一般不足以表明高层管理者的同意和支持。虽然获得高层管理者的同意很难实施,但经验表明,高层的支持对策略的实施落地是非常重要的。
一般来说,在信息安全策略文件评审过程中,会得到组织内部各方多次评审和修订,其中最为重要的是信息安全管理委员会。信息安全委员会一般由信息部门人员组成,参与者一般包括以下部门的成员:信息安全、内部审计、物理安全、信息系统、人力资源、法律、财政和会计部。这样一个委员会本质上是监督信息安全部门的工作,负责筛选提炼已提交的策略,以便在整个组织内更好的实施落地。如果组织内还没有信息安全管理委员会,在制定信息安全策略的时候正是建立管理委员会的好时机,或由组织内已存在的同职能部门担任职责。
虽然制定了新的安全策略,还必须有一个适当的实施过程,如果这些策略不能得到实施,将起不到任何作用,不能得到执行的策略,可能比完全没有策略更糟糕,因为这样会教会员工作假和质疑组织内部执行力,这也可能麻痹管理者认为信息安全为题已经处理虽然现实是另外一回事。
管理层常以为员工行为当然以组织利益为重,这是一个欠考虑的想法。虽然策略不可能影响员工的个人价值观,但管理层可以运用策略给员工提供机会,引导他们和组织的利益一致。策略告诉员工组织对他们的期望是什么。
新策略发布前,应在内部信息技术部门或审计部门内讨论如果具体实施。新策略的执行可能会遇到多样化的问题。可以通过绩效评估和相应奖惩制度来保证策略的执行有效性。发现和惩罚违反策略的员工并不是目的。如果大量的人都不遵守,这就表明策略和相关的意识提升是无效的。在此情形下,需要寻找更有效的方式实施,或修改策略,以便更好的反映组织文化。
另有一些策略实施的建议:
在组织内部网站或一些媒体发布策略—新策略应发布在组织内部网站上,加入相关链接让用户能很快定位感兴趣的材料。
制定自我评估调查表—在新的策略实施时,制定评估表,填写实施情况,就能明确哪些部门没有遵守好、哪些地方需要额外加强控制。
制定遵守信息安全策略的员工协议表——应当编辑一个反映员工该如何遵守信息安全策略的法律协议表,或直接体现在员工合同中。
建立考察机制检查员工是否理解策略——调查员工是否理解安全策略文档中的重点。通过考试确定是否要增加培训和通告。
基础信息安全培训课程——培训课程通过录像或培训软件存档。不同策略对象可能要不同的培训课程。
技术安全策略 篇6
关键词:PKI;CA;非对称加密;对称加密
中图分类号:TP311文献标识码:A文章编号:1009-3044(2007)15-30633-03
Data Security Policy of Party-constructure Management Information System Based on PKI Technology
YU Zhi-min, CAI Qiu-rou
(Dept. of Computer Science and Engineering, Tongji University, Shanghai 200331, China)
Abstract:The structure of party-construct information system is discussed in this paper. In this system, the platform for data exchanging is the kernel. It is most important to ensure the data transferring safety, data integrity, no modification and not negation. So the system security solution based on PKI technology is brought forward and implemented.
Key words:PKI; CA; unsymmetrical encrypt; symmetrical encrypt
1 引言
随着改革的不断深入和上海经济的快速发展,如何运用科学手段对上海现有130万党员、6万多党组织进行有效管理,是新时期党建的重要课题,也是为适应新形势下社会经济结构的“多元化”变化对党建提出的新要求。基于Internet的党建信息系统的建立,旨在对全市的党员、党组织信息进行集中、统一的管理,及时、准确地掌握各种数据,为领导的决策提供充分依据,为全市的基层党建工作提供有力的技术支持。随着计算机技术的发展和互联网络的普及,信息系统的安全正在受到前所未有的挑战。黑客骚扰、病毒侵入、机密信息泄漏等等正成为许多信息部门需要面临的棘手问题。上海市党委组织部是重要管理部门,掌握着许多国民经济重要信息,因此它的信息安全建设在整个信息系统项目中具有非常重要的意义。
2 党建信息系统的业务要求
系统将建立统一集中的数据库,数据包含三大方面,即:党组织信息库、党员信息库、辖系单位信息库。
信息系统主要包括党员服务中心管理系统,部内服务系统,数据交换服务系统,应用服务系统,管理系统,党员服务系统等。其中的核心是数据交换平台。在系统中数据交换平台将负责公务网外各个组织之间以及组织和党员服务中心之间的数据交换,因此是一个非常重要的功能枢纽环节。当某一个公务网外的组织信息发生变化,则系统会自动将变动的数据打包,然后发送到数据交换平台;平台会按照预先设定好的消息队列,将该数据包发送到有接收权的组织(如党员服务中心、发送信息的组织的上级组织等),并通过数据交换平台将接收方接收到数据的确认信息反馈到发送信息的组织,完成整个数据交换的操作流程。
3 安全需求
前面已经提到,党组织、党员的信息是一些比较重要的数据,首先,要保证数据存储、操作安全;而且整个系统中有一部分是在Internet上运行的,因此安全问题就更加关键和重要。确保网上信息有效、安全地进行,从而使信息除发送方和接收方外,不被其他方知悉;保证传输过程中不被篡改;发送方确任接收方不是假冒的;发送方不能否认自己的发送行为,即非否认性。
4 解决方案及具体实现
4.1 系统的解决方案
近年来,通过电子身份认证来实现网上数据交换的安全性的技术被越来越广泛的使用。公钥基础设施(PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。利用PKI体系,可以综合应用数字摘要、数字证书、对称加密算法、数字签名、数字信封等加密技术,可以建立起安全程度极高的加解密和身份认证系统,基于上述因素,本系统在建设上充分运用现代网络信息技术及CA认证体系,建立以PKI技术为基础的信息管理数字身份认证系统,以确保网上数据传输的安全性和可靠性,保证系统的正常运行。
4.2 数据信息的安全实现
系统的核心就是数据的交换服务,负责与技监局、社保卡中心进行数据交换。党员服务中心将定期把管理的党组织所辖系的单位信息与技监局管理的单位信息数据进行比对,如信息不一致,则以技监局的数据为准,将单位信息数据导入,更新原有的单位数据;同样,党员服务中心也将定期把管理的党员个人基本信息与社保卡中心管理的人员信息数据进行比对,如信息不一致,则以社保卡中心的数据为准,将人员基本信息数据导入,更新原有的党员个人基本信息,并向社保卡中心提供描述人员党员属性的相关信息,如入党时间、所属党组织等。但是保证数据在传输中的安全、完整和不可篡改以及发送数据方的不可否认性尤为重要。
数据在数据库的访问是经过严格认证的,用户的密码是经过摘要处理后存入数据库,别人无法知悉。
数据在传输前经过加密处理,接受方接收到后进行解密处理来保证数据的安全,当密钥的安全和交换必须谨慎进行。我们知道对称加密速度很快,在不知道密钥的情况下,如果加密强度适中很难破译,但是密钥被截获将造成灾难性的后果。非对称加密不存在这个问题但速度比对称加密慢百倍以上。所以,采用对称加密的方法对数据进行加密,对称密钥随机、实时地生成,然后经非对称密钥加密后和加密的数据一起打包传输,这样就保证了传输数据被截获也不会泄漏。另外为了保证数据的完整性、正确性和发送方的不可抵赖性,对数据进行数字摘要处理,并对数字摘要进行数字签名,就保证了发送方的不可抵赖性,最后把上述信息一起打包传输,具体流程如图1所示。接受方收到后进行相应处理就可以还原数据,并可以确认发送者的身份,流程如图2所示。
图1 用户A发送流程图
具体实施如下:在进行对话之前有个握手过程,握手过程中所交换的信息如下。
(1)双方交换X.509 V3格式的身份证明文件。双方利用非对称加密技术(如RSA)验证对方的身份并得到对方的公钥;
证书的内容包括:证书序列号、证书使用DSA和SHA-1哈希算法签名、证书发行者的名字、证书主体的名字、证书的有效期、DSA 公钥及其参数、主体键标识扩展项、基本扩展项标识等组成。
图2 用户B接收流程图
握手过程建立后,如图1所示用户A发送数据的过程为:
(1)用户A组织好业务数据包(明文);
(2)用户A使用私钥对数据包进行数字签名,并将签名块放到业务数据包后面;
数字签名的代码如下:
java.security.Signature signet
=.Signature.getInstance("DSA");
signet.initSign(priKey);
signet.update(information);
byte[] signedInf=signet.sign();
(3)使用双方约定好的对称密钥和加密算法加密数据(密文);
加密过程代码如下:
Cipher cipher = Cipher.getInstance("DES/ECB/PKCS5Padding");
cipher.init(Cipher.ENCRYPT_MODE, skey);
fileIn = new FileInputStream(fileName);
fileOut = new FileOutputStream(outFileName);
CipherOutputStream cipherOut = new CipherOutputStream(fileOut, cipher);
(4)以用户B的公开密钥加密对称密钥,代码如下:
javax.crypto.Cipher rsaCipher rsaCipher = Cipher.getInstance("RSA/ECB/PKCS1Padding");
rsaCipher.init(Cipher.ENCRYPT_MODE, pubRSAKey);
byte[] keyBytes = symmetricKey.getEncoded();
byte[] encodedKeyBytes = rsaCipher.doFinal(keyBytes);
(5)发送加密后的数据包。
通过SSL通讯还可以保证传输通道安全。
如图2所示用户B的接收处理过程为:
(1)接收加密的数据包;
接受数据报到数据包后触发数据处理程序。
(2)以用户B的私有密钥解密对称密钥;
javax.crypto.Cipher rsaCipher = Cipher.getInstance("RSA/ECB/PKCS1Padding");
rsaCipher.init(Cipher.DECRYPT_MODE, priKey);
if (common.Public_var.sKey != null) {
byte[] encodedKeyBytes= rsaCipher.doFinal(common.Public_var.sKey);
SecretKeySpec keySpec = new SecretKeySpec(encodedKeyBytes,"DESede");
SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DESede");
SecretKey desKey = keyFactory.generateSecret(keySpec);
(3)用对称密钥对加密的数据进行解密;
java.io.ObjectInputStream objIn
= new ObjectInputStream(
new FileInputStream(skeyFileName));
Key key = (Key)objIn.readObject();
Cipher cipher = Cipher.getInstance("DES/ECB/PKCS5Padding");
cipher.init(Cipher.DECRYPT_MODE, key);
fileIn = new FileInputStream(fileName);
fileOut = new FileOutputStream(outFileName);
CipherInputStream cipherIn
= new CipherInputStream(fileIn, cipher);
int theByte = 0;
int fileLength = 0;
while ((theByte = cipherIn.read()) != -1)
{fileOut.write(theByte);
fileLength++;}
(4)对明文用一次Hash算法,得到信息摘要;同时用用户A的公开签名密钥对数字签名进行解密,等到信息摘要;
Hash算法比较简单,采用MD5或SHA-1算法都可以获得较好的效果。
代码如下:
java.security.MessageDigest mesDigest = java.security.MessageDigest.getInstance("MD5");
mesDigest.update( message);
byte[] digest = mesDigest.digest();
(5)将两个信息摘要进行对比,如果一致说明数据是完整的,没有被篡改;反之表明数据被篡改过。
(6)数字签名的验证:根据A发送的数据包中的签名,B使用A的公钥进行验证,如果验证成功证明确实是A发送过来的,数据包可以长时间保存,对于防止今后的法律纠纷有重要作用。
如下所示:
java.security.Signature signCheck = java.security.Signature.getInstance("DSA");
signCheck.initVerify(pubKey);
signCheck.update(information);
if (signCheck.verify(signedInf)
根据以上数据传输过程,可以完全保证数据传输的保密性、完整性、身份认证和不可抵赖性。
为了保证系统的稳定性和可靠性,系统选用上海CA中心提供的数字认证系统,来对系统中的用户身份进行认证,并对数据进行加解密,保证系统的安全性。该系统已获得国家专利,通过国家权威部门的测评,是保密局推荐的政府采购安全产品。
5 结束语
本文探讨了党建信息系统采用的安全策略,描述了系统安全框架的软件结构,给出系统安全的解决方案。满足了系统的需求,保证了数据交换中数据的完整性、不可篡改性,发送方的不可抵赖性,较好的实现了系统的安全。在上海党建系统已基本运用成功,这些经验对于全国的推广有重要意义。
参考文献:
[1] Bruce Schneier,Applied Cryptography[M]. 机械工业出版社,2000.1.
[2] Bruce Eckel. Java编程思想[M]. 机械工业出版社,2001.5.
[3] 李明柱. PKI技术及应用开发指南. http://ibm.com/developerWorks/cn/.2002-6.
[4] MD5算法研究. http://www.5xsoft.com. 2002-5.
信息安全策略与防范技术探讨 篇7
迅速发展的Internet给人们的生活、工作带来了巨大的改变,网络应用的推广与深入使信息安全技术得到了空前的发展。在网络给人们带来巨大的便利的同时,也带来了许多不容忽视的问题,它为网络信息系统中的不法分子提供了更加广阔的平台,使得犯罪活动更加隐蔽、空间更加宽广、手段更加高明,给社会的安定与稳定带来了不良影响。它的安全问题及其对经济发展,国家安全和稳定的影响,正日益突出显现出来,受到了越来越多人的关注。
全球信息化进程的不断加速,国内外信息产业领域对信息安全的关注与日俱增,尤其在信息网络化如此普及的年代,信息安全与信息产业息息相关。如果一个国家不能保证网络信息在采集、存储、传输和认证等方面的安全,就不可能获得信息化的效率和效益,其社会经济生活也难以健康有序地进行,国家安全更无法保障。因此,网络与信息安全保护已成为迫切需要解决的问题。
2 信息安全现状及分析
报告显示,截至今年第一季度,我国互联网上网人数达到1.44亿,而黑客网站高达20多万个,即便每台计算机的使用率不到10%,每天有关安全的攻击次数也大得惊人[1]。国家计算机网络信息安全管理中心有关人士指出,网络与信息安全已成为我国互联网健康发展必须面对的严重问题。计算机犯罪对全球造成了前所未有的新威胁,我国自1986年深圳发生第一起计算机犯罪案件以来,计算机犯罪呈直线上升趋势,犯罪手段也日趋技术化、多样化,犯罪领域也不断扩展,许多传统犯罪形式在互联网上都能找到影子,而且其危害性已远远超过传统犯罪。
在网络日益普及的情况下,信息安全问题已经成为了必须解决的系统性问题,需要成系统、成体系地加以解决。在国家层面上,国信办2005年2号文,即《国家信息安全战略报告》提到了信息化建设怎么样去建立长效机制的问题。2006年5月,经过政治局常委讨论通过的《2006-2020年国家信息化发展战略》,将建设国家信息安全保障体系再次作为非常重要的战略提出来,文件中再次强调了安全保障体系建设的相关内容。
在此大环境下,在企业方面,很多企业的领导对安全问题重视,管理层也比较严格,防病毒、防火墙、入侵检测等常规的系统安全和防范机制也都采用了,但是深层隐患还是比较多、内控机制还是比较脆弱、高危漏洞还是在大量存在。在许多单位的计算机网络中,对信息安全域的划分和有效的控制还需要进一步探索,有的企业安全域划分很不合理,从而造成控制的机制不够科学;有的企业对自身系统的风险自评估能力很弱,灾难恢复的机制也并不到位。当前企业信息化发展很快,我们必须设法防范其中的一些隐患,因为它们不爆发则已,一旦爆发的话,就会影响到企业的生存和发展。
众多的不安全因素,都有可能给网络信息系统带来巨大的威胁,造成数据和信息的泄密和丢失,甚至是网络系统的瘫痪。信息安全威胁涉及到许多方面,目前信息安全所面临的主要潜在威胁有以下几个方面:信息泄密、信息篡改、传输非法信息流、网络资源的错误使用和非法使用网络资源[2]。
3 信息安全策略及防范技术
3.1 安全策略
网络所带来的诸多不安全因素,使得网络使用者不得不采取相应的对策来对重要的信息内容进行安全保护。为了堵塞安全漏洞和提供安全的通信服务,必须运用一定的策略来对网络进行安全建设,这已为广大网络开发商和网络用户所共识[3]。现今信息安全策略主要有以下几种:
1)身份验证和访问控制
身份验证和访问控制策略,包括决定什么权限的用户能够访问什么安全级别的信息,以及作出这一判断的一组规则和应用于该规则的验证机制[4]。通常的验证机制有:口令、令牌/智能卡(通常具有微处理器),或者生物特征(如:指纹,虹膜等)。另外,公共密钥基础设施(PKI)也能够充当身份验证的角色。PKI以数字证书和数字签名技术为基础。因而能够确定信息发送者的身份,至少能够确认信息在传输的过程中是否被篡改。
2)安全传输
网络安全协议和标准(如:SSL,SET,IPSEC等)是保证信息安全传输的一个重要手段。这些协议和标准使得通过网络传输的数据更加难以非法解析,从而使攻击者难以对截获的消息作有效的分析[5]。另外,作为传统的安全技术,数据加密在安全传输中也有着举足轻重地位,利用上述协议实现的数据传输通常是以加密的形式进行的。数据加密技术最有效的方式就是使通过网络传输的数据对于攻击者来说是不可读的。加密算法通常分为两类:对称密钥算法和非对称密钥算法。所谓对称密钥算法就是加密解密都使用相同的密钥,非对称密钥算法就是加密解密使用不同的密钥。非常著名的PGP公钥加密以及RSA加密方法都是非对称加密算法。
3)网络入侵检测和保护
虚拟专用网(VPN),防火墙(Firewall)和入侵检测系统(TDS)也是最常用的网络安全措施。VPN允许在不同地方的用户通过公共网络设施共享安全的网络连接:防火墙是内网和外网的隔离带,它能够检测私有网络的出入数据。防火墙能够阻止入侵者进入内网,同时也能修改从内网发送的数据;TDS通常包括两个部分:监视和报告工具,它能够发现潜在的入侵者及其使用的入侵手段。这些信息又可以用作修补系统漏洞,增强网络安全的参考。
4)内容过滤和隐私保护
杀毒软件是普遍使用和广为人知的内容过滤类型软件。这种类型的软件能够扫描每一封电子邮件及所带的附件。因为这些邮件或附件中可能带有恶意的脚本或程序,并用以接管计算机中正常运行的软件从而达到窃取数据或破坏计算机的目的。一些软件还能够检查邮件中的字符信息,并删除其中可疑的字符串和图片信息,甚至整个邮件。还有其它一些类型的内容过滤软件,例如垃圾邮件过滤器。这类软件能够过滤某些可疑邮件,并把他们转发或退还给邮件发送者。许多公司、教育机构或者家庭都安装了URL过滤器,用以禁止网页浏览器访问一些被认为不安全或者不适合的网站。
3.2 身份认证技术
身份认证在网络安全中占据十分重要的位置。身份认证是安全系统中的第一道防线,如图1所示,用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统实时或非实时地是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”,即用户的身份。可见身份认证技术是安全系统中的基础设施,是最基本的安全服务,其它的安全服务都依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
3.3 数据加密技术
加密是实现信息存储和传输保密性的一种重要手段。信息加密的方法有对称密钥加密和非对称密钥加密,两种方法各有所长,可以结合使用,互补长短。对称密钥加密,加密解密速度快、算法易实现、安全性好,缺点是密钥长度短、密码空间小、“穷举”方式进攻的代价小。非对称密钥加密,容易实现密钥管理,便于数字签名,缺点是算法较复杂,加密解密花费时间长。加密技术中的另一重要的问题是密钥管理,主要考虑密钥设置协议、密钥分配、密钥保护、密钥产生及进入等方面的问题。
3.4 防火墙技术
众所周知,防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间,或者与其它网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙的安全技术包括包过滤技术、网络地址转换———NAT(Network Address Translator)技术等。
3.5 入侵检测技术
入侵检测系统(Intrusion Detection System简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
4 结束语
信息安全是一项长期性的复杂的系统工程,不是单一的产品和技术可以完全解决的。这是因为信息安全包含多个层面,既有层次上的划分,也有防范目标上的差别。信息系统的安全单靠某一个设备、某一项技术是不能彻底解决的,因此需要系统性地解决问题,需要通过贯穿整个信息安全系统生命周期的安全服务来解决信息系统的安全问题。要提升信息安全的水平,制定适当完备的信息安全策略是前提,高水平的信息安全技术是保证。
参考文献
[1]刘晓华.网络信息安全及其防范技术探讨[J].科技广场,2007(5):98-100.
[2]周国强,陆炜,曾庆凯.信息安全评估模型的研究与实现[J].计算机应用与软件,2007,24(11):5-8.
[3]李雪梅,王健敏.工业系统信息安全管理体系的构建[J].微计算机信息,2007(3):63-64.
[4]周功业,易佳,陈进才.基于角色访问控制的对象存储安全认证机制[J].计算机工程与设计,2007,28(24):5847-5849.
技术安全策略 篇8
一、计算机网络的安全策略
物理安全策略。物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度, 防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
访问控制策略。访问控制是网络安全防范和保护的主要策略, 它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用, 但访问控制可以说是保证网络安全最重要的核心策略之一。
信息加密策略。信息加密的目的是保护网内的数据、文件、口令和控制信息, 保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形色色的加密算法来具体实施, 它以很小的代价提供很大的安全保护。在多数情况下, 信息加密是保证信息机密性的唯一方法。据不完全统计, 到目前为止, 已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类, 可以将这些加密算法分为常规密码算法和公钥密码算法。
网络安全管理策略。在网络安全中, 除了采用上述技术措施之外, 加强网络的安全管理, 制定有关规章制度, 对于确保网络的安全、可靠地运行, 将起到十分有效的作用。
二、常用的网络安全技术
由于网络所带来的诸多不安全因素, 使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今, 快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯, 网络安全的基本技术主要包括网络加密技术、防火墙技术、网络地址转换技术、操作系统安全内核技术、身份验证技术、网络防病毒技术。
网络加密技术。网络信息加密的目的是保护网内的数据、文件、口令和控制信息, 保护网上传输的数据。网络加密常用的方法有链路加密, 端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。
信息加密过程是由形形色色的加密算法来具体实施的, 它以很小的代价提供很牢靠的安全保护。在多数情况下, 信息加密是保证信息机密性的唯一方法。据不完全统计, 到目前为止, 已经公开发表的各种加密算法多达数百种。如果按照收发双方的密钥是否相同来分类, 可以将这些加密算法分为常规密码算法和公钥密码算法。在实际应用中, 人们通常将常规密码和公钥密码结合在一起使用, 比如:利用DES或者IDEA来加密信息, 而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类, 可以将加密算法分为序列密码算法和分组密码算法, 前者每次只加密一个比特而后者则先将信息序列分组, 每次处理一个组。
网络加密技术是网络安全最有效的技术之一。一个加密网络, 不但可以防止非授权用户的搭线窃听和入网, 而且也是对付恶意软件 (或病毒) 的有效方法之一。
防火墙技术。防火墙是用一个或一组网络设备, 在两个或多个网络间加强访问控制, 以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为:防火墙=过滤器+安全策略 (+网关) , 它是一种非常有效的网络安全技术。在Internet上, 通过它来隔离风险区域与安全区域的连接, 但不妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据, 从而完成仅让安全、核准的信息进入, 同时又抵制对企业构成威胁的数据进入的任务。
网络地址转换技术。网络地址转换器也称为地址共享器或地址映射器, 设计它的初衷是为了解决IP地址不足, 现多用于网络安全。内部主机向外部主机连接时, 使用同一个IP地址;相反地, 外部主机要向内部主机连接时, 必须通过网关映射到内部主机上。它使外部网络看不到内部网络, 从而隐藏内部网络, 达到保密作用, 使系统的安全性提高, 并且节约从ISP得到的外部IP地址。
操作系统安全内核技术。除了在传统网络安全技术上着手, 人们开始在操作系统的层次上考虑网络安全性, 尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去, 从而使系统更安全。操作系统平台的安全措施包括:采用安全性较高的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞等。
身份验证技术。身份验证是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节, 人们常把这两项工作统称为身份验证 (或身份鉴别) 。它的安全机制在于首先对发出请求的用户进行身份验证, 确认其是否是合法的用户, 如是合法的用户, 再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲, 其身份验证是建立在对称加密的基础上的。
网络防病毒技术。在网络环境下, 计算机病毒具有不可估量的威胁性和破坏力。如果不重视计算机网络防病毒, 那可能给社会造成灾难性的后果, 因此计算机病毒的防范也是网络安全技术中重要的一环。
技术安全策略 篇9
关键词:Oracle数据库,数据库安全策略,数据库加密,数据库审计
0 引言
目前,越来越多的现象证明,数据库系统的建设和安全性已经随着我国信息化建设进程而持续得到了国家重要机关、军队和银行等事业单位的关注。数据库系统在日常生活中与人们的衣食住行息息相关,同样也成为商业协作领域新的发展方向。如今,Oracle数据库是世界上使用最广泛的数据库管理系统。作为一个关系数据库它是一个完备关系的产品;作为一个通用的数据库系统,具有完整的数据管理功能;作为一个分布式数据库,Oracle数据库以能够处理超大规模数据和用户。而部署在多平台上的Oracle数据库可以被联合起来作为单个逻辑分布的数据库。
尽管如此,Oracle数据库在安全性方面仍然存在着诸多不足。例如,Oracle数据库安全的很多故障都是与RDBMS中的缓冲区溢出或者应用服务器有关。此外,PL/SQL中的隐患也是RDBMS的弊端,网络攻击者一旦利用PL/SQL的注入问题就会完全控制数据库服务器。本文在定义数据库安全概念的基础上,阐述了威胁数据库安全的常见方式,并且提出了保证数据库系统安全的相关技术。
1 数据库系统安全的定义
数据库系统的安全是指保证数据库系统内容的完整性、保密性、一致性和可用性。其中,完整性是防止非法的数据进入基表中,管理者或者开发人员可以定义完整性规则,限制数据表中的数据。数据库的完整性保证了数据库中数据的正确性、有效性和相容性,防止错误数据进入数据库造成了无效的操作。比如说一个人不可以有两个身份证号码,表现月份的只可用1到12之间的整数。数据库完整性非常重要,因为数据是否具备完整性关系关系到是否真实反映现实世界;保密性是指数据库信息不能被非授权人员的获取;一致性指的是每个用户能看到一致的数据;可用性指的是数据库信息不会因人为的或自然原因而对授权用户不开放。
2 威胁Oracle数据库常见方式
Oracle是关系型数据库管理系统,功能比较强大,性能卓越,在当今大型数据库管理系统中占有重要地位。在正常情况下,Oracle数据库会保证数据的安全稳定,为用户提供正确的数据,但目前Oracle数据库系统也面临着诸多的安全威胁,例如滥用超出其工作职能的数据库访问权限,滥用合法权限从事非法目的,攻击数据库TNS Listener和调度器,攻击身份验证过程,SQL注入隐患,数据库审计记录不足,数据库通信协议的漏洞,以及计算机硬件的故障,这些问题都会影响到Oracle数据库系统的操作和数据的正确性,甚至破坏数据库,使数据库中部分数据部分或全丢失,整个系统将处于瘫痪状态。从而如何保证Oracle数据库的安全就成为整个系统安全的重要组成部分。
3 数据库系统安全策略
本文围绕如何保护Oracle数据库系统安全而展开研究,提出了几种数据库安全策略。主要包括数据库的视图、数据库的加密技术、数据库审计功能、存取控制机制、数据库的备份和恢复等。
3.1 数据库的视图
视图经常被用来对数据设置行级保密和列级保密。视图是像表一样由列组成,其查询方式与表相同,区别是视图中没有数据。视图中的列可以在一张表或者多张表中取得,但是视图不使用物理存储位置来存储数据。视图是从一个或多个实际表中取得的,这些表的数据存放在数据库中。那些用于产生视图的表称为基表。Oracle数据库里存在很多基表,通过视图用户只能查询和修改可以看到的数据,但是数据库中其他的数据既看不到也取不到。数据库可以授权命令可以让用户对数据库的检索限制到特定的数据库对象上,但不能授权到数据库特定行和列上。通过视图,用户可以被限制在数据的不同子集上。另外,为不同的用户定义不同的视图,可以限制用户的访问范围。在实际应用中通常将视图机制和授权机制结合起来使用,首先用视图机制屏蔽一部分保密数据,然后在视图上进一步授权,通过授权把重要机密数据对无权访问这些数据的用户隐藏起来。
3.2 数据库的加密技术
Oracle提供了很多安全机制来保护数据库中数据的安全,其中数据库加密技术是应用最广、成本最低廉而相对最可靠的方法。数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。例如可使用透明数据加密方式来确保数据的完整性。该机制存在的优势就是无须改变应用程序代码便可操作。下面介绍两种加密方式:数据库列加密和表空间的加密。两种方式开始前,均要配置TNS_ADMIN环境变量。当登录到Oracle用户时,要指向包含本地sqlnet.ora文件的目录。如:export TNS_ADMIN=/var/opt/oracle。若sqlnet.ora不存在于此位置,则必须创建。否则为ENCRYPTION_WALLET_LOCATION参数值添加新条目。设实例命名为DD1,则参数值类似:
开始使用透明数据加密时,要打开钱夹。执行:ALTER SYSTEM SET WALLET OPEN AUTHENTICATEDBY“PASSWORD”;
(1)若对一个已存在的列加密,比如对CUSTOMERS表中CUSTOMER_PHONE列加密如下:ALTER TABLE CUSTOMERS MODIFY(CUSTOMER_PHONE ENCRYPT NO SALT);
对于已存在的表,Oracle数据库动态加密已经存在的行。默认情况下,在对明文加密之前,透明数据加密向明文添加“盐粒”,则加密更加难以破解。若计划对加密的列创建索引,则必须使用NO SALT。创建表时,可单独指定ENCRYPT选项。如下表所示。
也可通过ALTER TABLE命令添加的新列:ALTERTABLE CUSTOMERS ADD(STREET_ADDRESS ENCRYPTNO SALT);
要对列解密,可在ALTER TABLE命令中使用DECRYPT指令:ALTER TABLE CUSTOMERS MODIFY(CUSTOMER_PHONE DECRYPT);
(2)对表空间加密:首先要配置好TNS_ADMIN环境变量(原理同上)。然后使用SYS用户连接数据库,执行:ALTER SYSTEM SET ENCRYPTION KEY AUTHENTICATED BY“PASSWORD”;为透明数据创建主加密密钥时,也为表空间创建加密的主加密密钥。创建新的表空间加密密钥后,准备打开钱夹(操作指令同上)。
示例:采用高级加密标准(AES)加密一个表空间,密钥长度为256位:
在ENCR_TABLESPACE表空间创建的新表都被加密。对整个表空间进行加密后,表空间中创建的任何对象都被加密。且指定的表空间的数据无论是存储在数据文件、撤销日志或临时表空间中,都是以加密格式存储在磁盘上。透明数据加密要求使用钱夹来实施安全性,因此打开数据库副本的任何人都需要知道数据库、钱夹、以及钱夹的密码。如今,现在的电子商务系统中数据库存储了大量个人财务信息,已经成为黑客、犯罪分子和不良雇员的觊觎目标。传统的网络安全虽然很重要,但并不能防止每一次的攻击。数据加密技术及其复杂算法能够大大提高核心数据的安全性。
3.3 数据库审计功能
审计也是Oracle系统的一种安全机制。常见的审计技术主要分四类:基于代理的审计技术、基于网络监听的审计技术、基于日志的审计技术以及基于网关的审计技术。Oracle数据库系统提供对其内部所发生的活动进行审计的功能。它可以自动记录Oracle系统被使用的情况信息。也就是Oracle系统对任何用户所做的登录、操作数据库对象活动进行自动登记,这些事件信息存于审计跟踪中以便将来使DBA在事后可以进行监督和检查。如图1所示。
常见的类型有:登陆审计、数据库审计、对象审计等。登陆审计就是对任何请求连接到Oracle数据库实例的用户进行登记。如:SQL>audit session;对数据活动进行审计就是对涉及到数据库对象操作的活动都被审计,如连接Oracle、创建表、表空间、数据库角色等活动。如:SQL>audit execute any procedure whenever successful;对象审计就是用户对数据库表进行查询入,更新,删除数据等操作。如:SQL>audit insert on table_01;审计信息自动记录在SYS下的AUD$表中,我们可以定期查询该表来发现可能存在的安全问题。
默认情况下,为保证数据库系统的性能和空间,通常不启用审计功能,若要启用,DBA用户要设置参数AUDIT_TRAIL=TRUE。执行:ALTER SYSTEM SET AUDIT_TRAIL=DB,EXTENDED SCOPE=SPFILE;然后再重启数据库服务器。
3.4 存取控制机制
Oracle数据库的安全其中最重要的一点是确保只授权给有资格的用户访问数据库的权限,同时令未被授权的用户无法接近数据,这主要通过数据库系统的存储控制技术来实现。存储控制机制主要包括两方面:
a.定义用户权限,用户被授予的系统权限或者对象权限都被记录在Oracle数据字典里。了解某个用户被授予哪些系统权限或者对象权限是确保应用系统安全的重要工作。而DBMS的功能是保证这些决定的执行,因此DBMS需要提供适当的语言来定义用户权限,这些定义经编译后存放在数据字典中,被称为安全规则或者授权规则。
b.合法权限检查。每当用户向系统发出存储数据库的请求后,DBMS查找数据字典,根据安全规则进行合法权限的检查,若用户的操作请求超出了合法权限,系统则拒绝该操作。
当前的大型的数据库管理系统一般都支持自主存储控制以及强制存储控制两种方式。自主存储控制是指用户对于不同的数据库对象有不同的存储权限,不同的用户对于同一数据库对象也有不同的存储权限,拥有某一权限的用户还可以把相应的权限转授给其他用户。强制存储控制是指每一个数据库对象被标有一定密级,每一个用户也会被授予一定级别的许可证,对于任意数据库对象,只有拥有合法许可证的用户才可以访问。通过数据库系统的存储控制技术这种方式来管理Oracle数据库也能很强的增加数据库的安全性。
3.5 数据库的备份与恢复
当使用Oracle数据库时,如果遇到计算机系统的故障,包括操作系统的崩溃、磁盘故障、电源故障、软件故障以及误操作等这些都可能使数据库遭到破坏。因此数据库管理系统的备份和恢复机制就是保证在数据库系统出故障时,能够将数据库系统还原到正常状态。下面主要讲述Oracle数据库的三种标准的备份恢复方法。(1)逻辑备份与恢复;(2)物理备份;(3)通过RMAN进行增量物理文件系统备份;
逻辑备份是利用工具程序EXEDP或EXP将数据库部分或者全部对象的结构及数据导出,并存储到OS文件中的过程。逻辑恢复是指当数据库中对象被意外删除或者截断之后,使用工具程序IMPDP或IMP将逻辑备份文件中的对象结构及数据导入到数据库。物理备份包括脱机备份和联机备份。
脱机备份发生在数据库正常关闭的情况下,对数据库中常用的每个文件进行了备份。脱机备份必须拷贝的文件包括所有数据文件、所有控制文件、以及所有联机重做日志。这种备份方式只需拷贝文件,容易归档,能使数据库高度安全。联机备份则是对以ARCHIVELOG模式运行的任何数据库进行联机备份,并将归档联机重做日志,创建数据库内所有事务的一个完整日志。打开数据库时,将会备份以下文件包括所有数据文件、所有归档重做日志文件以及一个控制文件。
通过RMAN进行增量物理文件系统备份则大大改善了备份的性能。传统的备份方式需要备份该表空间的所有数据文件,而使用Recovery Manager,只需要备份自上次备份以来变化了的数据库块。RMAN备份是使用RMAN备份命令备份数据库物理文件到备份集中。在创建备份集时,不用备份空闲数据块,并可以采用压缩程度很高的压缩备份,能很好的节约空间。其中,恢复管理器的最有效的备份方式是映像拷贝方式,可以用恢复管理器的COPY命令来创建映像拷贝。并且映像拷贝只能写入磁盘,常见COPY运行命令如图2所示:
COPY命令可以创建一个文件的映像文件,输出文件也写入磁盘,也可以复制文件和存档的重做日志或者控制文件。并且在COPY操作中,Oracle服务器进程同时为每个块做校验检查。
4 结束语
本文开始定义了数据库安全的概念,在分析了影响Oracle数据库安全性方式之后,提出了几种重要的能够保证数据库安全的策略。这些策略能够增强Oracle数据库安全性,并且很大的程度上降低对数据库系统的威胁。下一步的工作主要研究继续利用技术手段和细化操作步骤来进一步维护Oracle数据库安全。
参考文献
[1]Steven Feuerstein&Bill Pribyl,Oracle PL/SQL程序设计(第5版),2011.7
[2]David Litchfield,Oracle数据库攻防之道,2011.11
[3]Nick Galbreath,Internet和数据库加密,2003.1
[4]谷长勇,ORACLE11g(第2版)权威指南,2011.9
[5]Rick Greenwald,Robert Stackowiak&Jonathan Stern,Oracle精髓,2009.1
[6]Thomas,Oracle9i&10g编程艺术深入数据库体系结构,2006.10
信息系统的安全策略及相关技术分析 篇10
关键词:信息系统,安全策略
1 信息系统安全概述
信息的安全成为了一个日益重要的课题, 这是因为用户在使用网络进行信息传递的时候, 都会具有一些隐私等内容, 如果信息系统并不安全的话, 那么用户的隐私就会受到各种各样的威胁[1]。信息系统是一种基于计算机以及网络的管理系统, 它能够将信息按照特定的规律进行重组并且存储起来。信息系统的安全问题是计算机信息技术、数据库管理与网络通信构成的整个系统在设计、制造及信息传递过程中, 因自身存在的漏洞和外来入侵产生的一系列危及系统安全运行的问题。
2 信息系统安全的影响因素
影响信息系统的安全性能的因素有许多, 最主要的除了应用的计算机系统的硬件安全级别普遍比较低 (我国的计算机普遍在C2级或C2级以下) , 计算机安全管理水平不高等因素外, 还由于信息系统的软硬件不同程度地存在着安全隐患, 其系统安全存在固有的脆弱性, 主要表现在硬件设置、软件设计、网络架构与协议、数据库建设与存储、用户使用管理等多种层次上。以下就影响安全的几个主要因素作些分析:
2.1 硬件环境
主要包括系统的安装环境与硬件设备的安全, 信息系统的主机房应有合适的工作温度 (18℃~28℃) 和相对温度 (40%~70%) , 有稳定的供电系统 (电压在210V~230V) 、可靠的不间断电源 (UPS) 及接地系统 (直流接地、交流接地和防雷接地) , 以保证系统安全连续地运行, 并能滤除各种瞬变和噪声, 硬件设备涉及到计算机的硬件材料与制造工艺、集成电路与总线设计、电磁辐射与信号屏蔽、线路截获与抗干扰、设备安置与连接等方面, 这些方面存在的隐患可能直接影响到数据存储的使用寿命和信息传输过程的保密性, 有的可造成信息系统不可恢复的物理损毁, 同时硬件设计制造方面的缺陷还局限了软件的设计与管理应用开发等方面, 使整个系统出现基础性的安全隐患[2]。
2.2 应用软件
计算机的信息系统安全应该具有很高的安全性能。影响软件系统的因素有软件、系统等多个方面。操作系统是计算机软件系统最重要的支撑基础, 它控制和管理计算机所有硬件和软件资源, 是计算机操作的核心, 在服务器上选用安全的操作系统, 对信息系统的安全有着很重要的作用。目前我国大部分PC机安装的Windows操作系统, 由于其源代码不公开, 用户无法发现其设计过程中“有意”无意存在的漏洞。
2.3 网络应用
计算机网络安全涉及的因素很多, 诸如网络布线设计、电缆连接、HUB集线系统及网卡等, 采取可靠的综合布线系统、设计合理的电缆通信冗余容错能力及完善网络管理检测系统等措施, 可有效避免网络故障, 提高网络运行的安全性能。
网络方面的安全应从信息网内部和所处因特网环境两个方面来考虑, 内网的安全可从用户权限控制、身份识别、加密认证、漏洞评估及状态监控机制等方面采取对策, 外网环境的安全性可从网络架构与协议、入侵检测、访问控制、邮件通信、防火墙技术及病毒防范等方面来构建对策。
3 信息系统安全系统解决策略
3.1 数据加密 (Data Encryption)
信息系统中最重要的策略就是数据加密, 它能够有效地隔离用户之间的数据, 能够阻止用户的敏感数据丢失等。其加密算法主要可以分为三类:不对称加密、不可逆加密以及对称型加密三种。我们在实际应用的过程中, 可以根据用户和实际情况使用不同的方法进行加密。同时在实际应用的过程中, 我们可以使用多重其他手段辅助进行数据加密。
3.2 防火墙 (Firewall) 技术
防火墙是一种广泛应用的安全技术, 在互联网等方面具有十分重要的应用。我们现在使用的计算机, 在进行网络连接的过程中几乎都会用到防火墙。它是一道保护本地计算机免受外部网络恶意攻击的屏障, 能够有效防止用户信息泄露以及计算机受到网络攻击。
3.3 入侵检测系统 (IDS)
除了上面所提到的防火墙技术, 还有一种比较主动的信息系统的安全处理技术, 那就是入侵检测系统。它能够识别防火墙识别不到的安全威胁, 能够防止黑客等恶意使用网络资源或者盗取用户信息等[3]。
3.4 虚拟专用网技术 (VPN)
本文所提到的虚拟专用网技术, 主要原理是将公共的网络里转换成为专用的网络。要传递的数据能够在“虚拟”出来的隧道里面进行传输, 这样用户的重要隐私数据就能够得到有效地保护。同时在传递数据的过程中, 为了保证其安全性, 应该对数据的访问权限等进行验证。
3.5 病毒防范技术
由于计算机病毒的种类较多且繁衍迅速, 在网络和各类系统中广泛传播, 一旦遭受病毒感染将导致计算机乃至整个系统瘫痪, 造成不堪设想的后果。防控已知病毒、检测未知病毒及中毒后的及时挽救, 都离不开性能较好的防病毒软件, 要及时更新扫描引擎及病毒代码库, 采用实时监控及集中扫描相结合的手段, 设置计算机的网络Active X控件及插件选项等等。
参考文献
[1]王东波.数字环境下图书馆的网络安全隐患及防范[J].图书馆学研究, 2003, (3) .
[2]王晋东.信息系统安全技术策略研究[J].计算机应用研究, 2001, (5) .
