下面是小编精心推荐的《网络安全策略研究论文(精选3篇)》的相关内容,希望能给你带来帮助!摘要:高校档案在高校建设中发挥重要的作用,具有较高的价值。随着网络信息技术以及数字校园建设的快速发展,高校档案逐步实现数字化与网络化,一方面给档案管理和利用提供了极大的便利;另一方面也加大了安全风险。本文针对当前高校数字档案信息系统安全现状,设计一套符合高校数字化建设的安全增强方案,保障高校数字档案信息系统的网络安全。
网络安全策略研究论文 篇1:
计算机网络安全策略研究探析
摘 要:随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势,但由于计算机网络联结形式的多样性,致使网络系统的硬件、软件及网络上传输的信息易遭受偶然的或恶意的攻击、破坏。人为的网络入侵和攻击行为使得网络安全面临新的挑战。因此,无论是局域网还是广域网,都存在着自然和人为等诸多因素的脆弱性和潜在威胁,这也使我们不得不将网络的安全措施提高到一个新的层次,以确保网络信息的保密性、完整性和可用性。
关键词:计算机网络;安全策略;保密性
一、网络系统结构设计合理与否是网络安全运行的关键
全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。应在认真研究的基础上下大气力抓好网络运行质量的设计方案。为解除这个网络系统固有的安全隐患,可采取以下措施。
1.网络分段技术的应用将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段两种方法来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通。
2.以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。
二、强化计算机管理是网络系统安全的保证
1.加强设施管理,建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作,确保计算机网络系统实体安全。
2.强化访问控制策略。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。各种安全策略必须相互配合才能真正起到保护作用,但访问控制是保证网络安全最重要的核心策略之一。
(1)访问控制策略:它提供了第一层访问控制。在这一层允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。入网访问控制可分三步实现:用户名的识别与验证;用户口令的识别验证;用户账号的检查。三步操作中只要有任何一步未过,用户将被拒之门外。网络管理员将对普通用户的账号使用、访问网络时间、方式进行管理,还能控制用户登录入网的站点以及限制用户入网的工作站数量。
(2)网络权限控制策略:它是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。共分三种类型:特殊用户(如系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。
(3)建立网络服务器安全设置:网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法访问设备等。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
(4)信息加密策略:信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有线路加密、端点加密和节点加密三种。线路加密的目的是保护网络节点之间的线路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输线路提供保护。用户可根据网络情况酌情选择上述加密方式。
(5)属性安全控制策略:当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删、执行修改、显示等。
(6)建立网络智能型日志系统:日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,所执行的所有操作,包括登錄失败操作,对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户所执行操作的机器IP地址、操作类型、操作对象及操作执行时间等,以备日后审计核查之用。
三、建立完善的备份及恢复机制
为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。
四、建立安全管理机构
安全管理机构的健全与否,直接关系到一个计算机系统的安全。其管理机构由安全、审计、系统分析、软硬件、通信、保安等有关人员组成。以上强有力的安全策略的结合,对于保障网络的安全性将变得十分重要。
参考文献:
[1]王新梁.基于网络信息安全技术管理的计算机应用问题[J].中小企业管理与科技(下),2015,24(9):100.
[2]张帆.浅议计算机信息管理在网络安全中的应用[J].信息与电脑,2015,23(6):41.
[3]段新基.基于网络信息安全技术管理的计算机应用[J].中国科技纵横,2015,10(13):42-43.
作者简介:
张效敏(1981—),男,山西河津人,山西省太原市少年宫。
作者:张效敏
网络安全策略研究论文 篇2:
高校数字档案信息系统的网络安全策略研究
摘 要:高校档案在高校建设中发挥重要的作用,具有较高的价值。随着网络信息技术以及数字校园建设的快速发展,高校档案逐步实现数字化与网络化,一方面给档案管理和利用提供了极大的便利;另一方面也加大了安全风险。本文针对当前高校数字档案信息系统安全现状,设计一套符合高校数字化建设的安全增强方案,保障高校数字档案信息系统的网络安全。
关键词:高校档案 信息管理 网络安全
1 高校数字档案信息系统概述
1.1 基于B/S模式的應用系统结构
随着信息技术的快速发展,高校数字校园建设日趋完善,档案馆逐步实现了数字化管理,建立了新的管理信息系统。高校数字档案馆的信息管理系统多采用B/S模式为平台,具备互动界面友好、开发费用低、跨平台服务便捷、技术成熟等特点。基于B/S模式的系统采用三层结构:客户端浏览器—Web服务器—数据库服务器,后台数据库采用目前较为流行的SQL Server 2000作为网络数据库的平台,Web服务器的测试与运行采用IIS,客户端浏览器则采用IE浏览器。
1.2 数据库安全理论基础
当前数据库安全策略主要有:(1)数据备份与恢复策略,即定期对数据库进行数据备份,进而使数据库遭受破坏后能够及时恢复数据;(2)存储访问控制策略,即通过定义主体对客体访问规则集合,限制主体访问客体时必要权限;(3)最小特权策略,即主体执行授权任务时授予他完成任务所需最小特权;(4)安全管理策略,包括分布式控制与集中控制。
在对数据库进行安全管理时,现需要设定SQL Server的安全级别,SQL Server在工作时,用户需要身份验证与授权,并在权限允许下进行操作。在数据库安全管理的机制中,通过隔离控制技术,将用户与存取对象隔离控制,从而保证数据的完整性与安全性。对数据的保护还常用到密码技术,根据密钥类型不同,密码技术包括对称加密算法、不对称加密算法、不可逆加密算法、数字签名技术等。
2 数字档案系统数据库安全分析
2.1 安全需求与安全隐患
在高校数字档案信息管理系统中,基于B/S的数据库将Internet与数据库紧密结合起来,因此其主要安全影响因素有多用户多要求、数据库量大且文件多、数据更新频繁、分布式数据库引发的安全问题等。基于以上因素,在保证客户端服务器安全的前提下,数据库安全则集中在系统软件安全性上,因此需要满足以下几个方面的安全需求,即数据库的完整性、数据库的保密性、数据库的可用性以及数据库的可控性。
基于B/S模式的数字档案信息管理系统的安全隐患可分为三类:(1)物理安全隐患,包括各种外界因素引起的物理设备的故障,比如电源故障、设备不正常停机等;(2)系统安全隐患,比如:操作系统安全隐患、网络系统安全隐患等;(3)数据库安全隐患,比如非授权的恶意攻击、病毒或木马入侵等。
2.2 平台安全与数据库攻击
针对高校数字档案信息化管理系统的Windows NT平台,在安全方面突出“支持多种安全协议”的特点,提供一个普适性的安全框架,采用Kerberos Version 5.0身份验证协议,安全策略遵循适应性、动态性、简单性、系统性等原则。在平台安全上,突出特殊网络安全服务,访问控制可分为四类:(1)一般访问安全设置,包括访问控制强制性登陆、账户锁定、安全性标示符、用户口令管理;(2)文件与资源访问控制,包括NTFS文件系统、资源访问控制;(3)安全审计,审计对象包括安全日志审计、安全性事件审计、文件及目录审计等;(4)RSA安全性访问。常见的SQL Server数据库攻击有SQL injection供给以及MSSQL扩展存储后门等。
3 高校数字档案信息系统的网络安全策略
3.1 物理安全与软件安全管理
高校数字档案信息管理系统的物理设备主要包括计算机、路由器、交换机以及各种网络服务器等,物理安全的策略则主要针对物理设备进行,包括环境安全管理与设备安全管理。环境安全策略通常包括恒温恒湿、防水防火、防雷防磁、防静电等。设备安全策略一方面制定完善的管理规章制度,确保安全管理的质量;另一方面则建立完善硬件防护体系,比如备用电源、安装防电磁辐射产品等。
软件安全管理包括操作系统安全管理、应用软件安全管理与数据库安全管理,操作系统安全管理策略包括对系统进行定期升级、合理配置,安装必要的补丁,以及特殊设置,比如标准操作系统安装,设定最高安全级别,禁止非授权操作,安装防病毒软件,保留日志等。对数据库进行合理的安全配置,设置合适的身份验证模式,给登陆设置一个合适的安全口令等。在软件的安全管理策略中,需特别注重浏览器的安全设置以及选择成熟安全的浏览器。
3.2 身份认证与访问控制
身份认证是安全系统防止非法用户侵入的第一道安全防线,是通过验证人或事的真实性、有效性来达到验证目的。身份认证通常采用“用户名+密码”的方式,但这种方式在当前网络环境下存在诸多问题,比如网络数据流窃听、认证信息截取/重放、字典攻击、穷举尝试等。针对高校数字档案信息管理系统的特点,在身份认证方面主要针对两类人员进行分类设计。对档案管理人员的身份认证,采用结合口令认证和数字签名认证两种方式对用户身份进行双重认证,加密算法采用RSA算法;对档案利用人员的身份认证采用Hash签名认证。
访问控制的目的是确保用户对档案数据库只能进行经过授权的有关操作,常用访问控制策略包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器的安全控制、网络监测和锁定控制、网络端口和节点的安全控制、防火墙控制等。针对高校数字档案信息系统而言,还可采用强制访问控制来实现基于角色的访问控制,以及利用SQL Server的隔离控制技术增强访问控制等。
3.3 档案信息数据库加密
对于高校数字档案信息系统而言,数据库是重要组成部分,数据库数据安全直接决定了系统安全水平,档案信息数据库加密的策略需要结合数字档案的自身特征进行。针对数字档案数据库,对其中的敏感数据进行单独加密处理,使数据库的备份内容成为密文。由于并非对所有数据库数据进行单独加密,只对关键字段加密,并且所有用户的口令均用不可逆算法MD5加密后存储。对密钥的管理方面,由于高校数字档案的使用者具有较大的不固定性特征,因此,可采取用户的口令对用户私钥进行加密保护,用户公钥对数据密钥进行加密保护,最终用数据密钥对数据进行加密保护,进而实现安全易用的密钥管理。
3.4 数据库的备份
对数据库进行数据备份也是保障数据库安全的重要策略,在SQL Server系统中备份方法主要包括完整备份、增量备份、事物日志备份、文件/文件组备份等。数据库的备份应注意定期备份,每次大量数据录入、修改、删除等工作之后及时备份,保存两份以上的备份数据,并定期检查备份文件。
参考文献
[1] 刘雁鸣.网络环境下高校数字档案的信息安全威胁与对策[J].安徽科技学院学报,2013,27(3):64-66.
[2] 高斌升.高等学校档案信息系统安全保护的对策及措施[J].中国管理信息化,2015,18(23):169-170.
[3] 林林.论数字档案馆安全保护技术体系的构建[J].档案学研究,2015(3):105-110.
[4] 田淑萍.基于B/S模式的数字化档案管理系统设计[J].无线互联科技,2017(23):54-55.
作者:张雁翔
网络安全策略研究论文 篇3:
检察机关统一业务应用系统的网络安全策略研究
【摘要】随着检察机关工作模式由传统的纸张方式到信息化方式的转变,检察业务中的电子文书面临被篡改的危险,可信计算技术可以有效解决这一问题。将可信计算技术应用于检察业务系统中,能够提高工作效率,并有效保障检察业务文档的安全性。
【关键词】网络安全策略;检察机关;统一业务应用系统;可信计算
1.绪论
目前信息化技术在各个行业都得到了广泛的应用,检察机关也不例外。检察机关借助计算机和网络技术,积极推进检察业务的信息化,促使检察业务由传统的纸张办公方式向网络统一业务应用系统转变。与此同时,信息安全问题成为检察机关统一业务应用系统中面临的重要问题。
检察机关的统一业务应用系统在管理上还存在一定的安全滞后性,还停留在物理隔离、基本防毒等基本的安全保护阶段。因此,网络安全问题已经成为检察机关统一业务应用系统亟待解决的问题,加强对检察机关统一业务应用系统的网络安全策略研究已经成为一件刻不容缓的事情。
2.检察业务的安全体系
自从最高检提出“科技强检”的口号后,各级检察机关开始逐渐推进检察机关科技信息系统的建设,从最开始的文件处理、信息共享,到目前的综合业务办公系统,最终建成了网络技术为基础、检察业务为核心、网络安全为保障的检察机关统一业务应用系统。经过两年来的建设和应用,检察机关的统一业务应用系统取得了很大的成效,与此同时也存在一定的问题[1]:(1)检察信息化还缺乏深入的研究,其管理体制和工作机制还不是很完善;(2)检察机关的相应设备升级滞后,给统一业务应用系统带来一定的网络安全隐患;(3)网络安全策略规划匮乏,缺少统一的网络安全管理策略。
新形势下检察机关办案工作机制要求公诉、侦查监督以及办案等检察业务必须借助信息化技术,所以在推进检察机关业务的信息化进程中有必要建立良好的检察机关应用系统网络安全体系。检察机关网络安全体系包括管理体系和技术体系两大部分:管理体系主要包括检察机关网络安全机制建设,技术体系指的是从网络技术和业务系统的层面构建安全系统。
技术体系可以从技术上为检察机关的统一业务应用系统提供安全保障,其安全防范体系主要包括四层次的安全:物理层、系统层、网络层以及应用层。物理层安全可以保障硬件设备免受恶意的人為损害;对于检察机关内部的涉密网络而言,应该断开其物理设备与互联网的连接,从物理上进行安全防护。系统层安全关注的是操作系统安全,不仅要正确配置操作系统本身的安全级别和安全策略,而且还应该注意操作系统内部是否存在漏洞和病毒。网络层安全是检察机关业务系统最应注意的,业务数据在网络中传输时需要考虑诸多因素,包括数据传输的保密性和完整性、病毒防护、漏洞扫描等。
管理体系是构建安全的检察机关统一业务应用系统的核心,网络安全问题不仅仅是技术问题,同时也是管理问题。管理体系在构建安全的检察机关业务系统中主要包括[2]:(1)明确安全组织架构,建立完善的网络安全管理制度;否则权责不明、混乱的安全管理制度很可能会产生网络安全隐患。(2)提高检察人员的安全防护意识,加强网络管理人员的安全防范意识和网络安全技术。(3)制定应急灾难恢复机制,当发生网络安全事件时,尽快而又有效地恢复检察业务数据,尽可能减少损失。
3.可信计算技术
综合考虑检察机关信息化过程中存在的问题,以及构建检察业务安全体系的需求,可以考虑使用可信计算技术。
可信指的是计算机网络中的一个实体在实现其目标时,其行为总是和预期相同。实体指的是业务应用系统上的服务或应用,可信计算平台上的实体总是可以被本地或远程的实体所信任:对使用者的信任表现在用户身份认证上,对应用程序的可信表现在其运行的合法性上。建设一个可信平台的基本思路是:从物理安全上建立一个可以认为是绝对安全的信任根,然后以此为出发点建立一条信任链,在这条信任链上从信任根到物理硬件,再到操作系统和上层应用,每一级别都在认证后信任下一级别,这样的一种信任关系可以扩展到整个平台环境,这被称为信任的传递机制。
一般而言,可信计算平台都具备如下功能[3]:数据保护、身份证明以及完整性的策略、存储和报告。数据保护功能通过建立业务平台的屏蔽保护区域,实现敏感数据的访问授权,从而控制外部实体对这些敏感数据的访问。身份证明包括TPM(Trusted Platform Module)可信性证明、系统身份证明以及系统可信状态证明三个层次:TPM可信性证明是TPM对其已知的数据提供证据的过程。这个过程通过使用AIK对TPM内部的明确数据进行数字签名来实现;系统身份证明是指提供证据证明业务系统是可以被信任的,即被证明的系统的完整性测量过程是可信的;完整性测量的过程是:对影响平台完整性(可信度)的平台部件进行测量,获得测量值,并将测量值的信息摘要记入PCR。测量的开始点称为可信测量根,静态的可信测量根开始于对机器的起始状态进行的测量,如上电自检状态,动态的可信测量根是以一个不被信任的状态变为可信状态的测量作为起始点。
可信的业务平台应该具备远程完整性报告功能,业务系统本地在验证远程终端发送来的电子文档时,一般只能判断此文档的可信性,而无法判断具体是哪一个远程实体或远程终端发送来,这样可能会导致中间人伪造攻击。具备远程完整性报告功能的业务应用系统可以加强远程认证,对实现业务应用系统的网络安全有重要的防护作用。
4.可信计算技术在检察机关业务系统的应用
可信计算技术在检察机关中具有广泛的应用前景,通过辨别并确认使用统一业务应用系统的人员的身份,可信计算技术可以为检察机关统一业务应用系统提供高强度的安全保护功能。概括而言,可信计算技术在检察机关业务系统中的应用可以包括如下方面[4]:(1)日常电子公文处理。检察机关统一业务应用系统的一个主要功能就是处理日常电子文档,其中有很多不可随意更改的具有司法权威的法律性文件。可信计算技术可以用于防止网络上的其他人员随意对这些文件进行修改,确认这些电子公文的发送方,防止被篡改或伪造。(2)建立不同机关间业务联系的共享机制。检察机关和公安机关、法院等单位存在经常性的业务联系,可信计算技术适用于各种平台下的电子文档传输和存储,而且可以形成一个跨部门、跨平台的统一安全标准,有利于公检法机关间的横向联系。(3)可靠的信息源。检察机关有些业务需要对公众公开,而所有可以在网络上公开的检察机关业务信息需要有一个可靠的信息来源,以免不可靠信息对公众产生误导。可信计算技术可以认证检务公开信息,以进行检查业务的信息依赖保护。
一般而言,将可信计算技术应用于基层检察机关统一业务应用系统时,需要达到如下目的:首先,统一业务应用系统要能够确认各个环节的文档变化内容,从而保证电子业务公文的完整性、防篡改性以及防抵赖性;同时还应该能够保证一份电子公文可以允许多人进行签名。其次,统一业务应用系统中的每个使用人员都应该有一个权威机构颁发的数字证书,以确保没有虚假身份信息的存在。最后,统一业务应用系统还应该集中管理电子签章,并保证所有电子签字行为都可以保存日志信息。
设计可信计算需要实现的网络安全策略功能应该包括:电子公文经过电子签章后,任何对其进行的修改都应认为要么是无效的,要么要将修改体现在电子签章上;可信计算要能够被追踪可查,一变进行签名核对;每次签名在何时由谁发出,由谁鉴定核对以及签名被谁销毁都应该可以全程跟踪。结合上述分析可知,一个可信的业务应用系统必须能够确保信息传输、处理以及存储的机密性、真实性、完整性,并体现传输内容的可信、主体行为和身份的可信,如图1所示:
图1 可信统一业务应用系统
检察机关统一业务应用系统中使用了具备上述功能的可信计算技术后,可以有效对业务系统用户的行为进行确认,不仅实现身份认证及数据加密传输的功能,而且可以保证网络行为的不可否认性,可以为今后检察机关信息安全体系的建设提供一定的经验参考,确保已经投入运行的统一业务应用系统能够安全、稳定运行。
参考文献
[1]杨剑川.检察机关统一业务应用系统信息化建设的思考[J].中国检察官.2014(09):5-7.
[2]张庆.检察机关网络舆情信息预警系统的设计与实现[D].天津:天津大学,2012.
[3]赵进延.全国检察机关网络安全总体设计[D].成都:四川大学,2013.
[4]姚远.检察机关电子取证系统的设计与实现[D].西安:西安电子科技大学,2010.
作者简介:杨鑫炜(1979—),男,研究方向:信息技术安全。
作者:杨鑫炜 邢雪丽