发布时间:2023-10-09 17:41:52
绪论:一篇引人入胜的公司网络信息安全,需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文,供您参考和学习。
【关键词】
资源共享;网络安全;防护思路
引言
为加快推进长沙气象现代化建设,充分利用现代信息技术,逐步建成资源高效利用、数据充分共享、流程高度集约的长沙气象信息化体系,提升气象公共服务能力、扩大气象信息覆盖面,长沙市气象局研发、建设了市级气象资源共享公共平台,以实现政府、相关部门、公众、专业用户以及部门业务对气象资源信息共享。落实国家净化网络环境专项行动,确保气象资源共享公共平台网络信息的安全,无疑是平台研发、建设的重要内容。
1共享平台架构简介
为简化系统的开发、维护和方便使用,长沙市气象资源共享公共平台采用B/S模式,气象资源共享涵盖气象监测资料、天气预测预报信息、气象灾害预警信息、气象情报档案资料、气象业务管理、专业图形图像等内容。服务器端操作系统使用微软公司WINDOWS2012R2,网络信息服务环境为IIS7,主程序采用ASP编程,需要关联的数据库有Access、MYSQL、SQL、ORACLE等多种类型。
2网络安全威胁分析
2.1服务器安全威胁
(1)共享平台服务器操作系统采用WINDOWS2012R2,操作系统本身存在安全漏洞。(2)共享平台服务器服务环境采用IIS7,数据存储结构与存储方式存在不安全因素,容易获取数据库路径和数据库名。(3)共享平台服务器运行程序采用ASP编程,ASP编写的程序属非编译程序,ASP编写的应用程序源代码容易泄露。(4)共享平台数据库使用了Access数据库,Access数据库属于弱口令类型数据库,容易破解。
2.2客户端安全威胁
随着客户端功能的不断扩展,客户端所使用到的JavaAp-plet、ActiveX、Cookie等技术都存在不同的安全隐患,容易被黑客利用。而且可以利用漏洞下载数据库原始文件或对数据库注入,破解数据库密码,对数据库篡改。
2.3数据库安全威胁
2.3.1Access数据库的安全问题
(1)Access数据库的存储隐患。使用ASP编写的Access数据库应用程序,容易获得数据库的存储路径和数据库名,通过客户端可以非常容易下载数据库原始文件。(2)Access数据库的解密隐患。Access数据库加密机制相对简单,两次异或就恢复密码原值,很容易编制出解密程序,破解数据库。
2.3.2ASP编程语言的安全问题
(1)ASP应用程序源代码安全隐患。ASP应用程序属非编译性语言,源代码安全性不高,一旦黑客进入服务器,就会造成应用程序源代码泄露。(2)程序设计中的安全隐患。ASP应用程序都是利用表单实现与用户进行交互完成相应功能,应用程序路径和参数都会在客户端浏览器的地址栏显示,如果未采用安全措施,黑客就容易利用应用程序路径和参数、以及数据库产生的错误信息,绕过必要的验证,进入应用程序。
2.4数据传输安全威胁
B/S网络信息服务必须使用公网实现客户端和服务器之间通信。当B/S模式提供信息服务带来便利的同时,未经授权的用户在信息信传输时,可以拦截信息流,获取信息内容,进行修改,破坏信息内容的完整性。网络黑客利用B/S模式信息交互的特点,向服务器端发送大量请求、数据包,使服务器无法及时响应、阻塞通信信道,造成B/S服务系统网络响应速度缓慢、甚至瘫痪、中断服务。
3安全防护原则
3.1实用为主原则
针对长沙市气象资源共享公共平台架构思路,安全问题主要来源于服务器安全、边界安全、数据库安全、网络传输安全等方面,设计时予以充分考虑,针对安全隐患采用必要的安全措施,防患于未然。
3.2积极预防原则
对平台服务系统进行安全评估,权衡考虑各类安全措施的价值、以及实施保护所需成本,确定不安全事件发生几率,采用必要的软、硬产品,制定严格操作规范与制度,加强平台服务器日常监控与维护、以及系统安全漏洞的升级。
3.3及时补救原则
对平台服务器采取双机热备的运行模式,当安全攻击事件发生时,能够及时恢复系统的正常运行。安全攻击事件发生后,组织技术人员查找攻击事件原因,采取相应应对措施。
4防护措施
4.1合理配置平台服务器操作系统
4.1.1关停不必要的服务
在安装操作系统时,只选择安装必要的协议和服务,删除没有用到的网络协议,关停不必要的服务,如RPC、IP转发、FTP、SMTP等,对外只提供Web服务,保证系统更好地为WEB服务提供支持,简化管理,减轻操作系统负担。
4.1.2使用必要的辅助工具
启用系统账户日志和Web服务器日志记录功能,监视并记录访问企图,提高问题分析、以及原因查找的能力。
4.2合理配置平台服务器功能
4.2.1设置服务器访问权限
通过IP地址、子网域名等方式来控制访问权限,未经允许的IP地址、IP子网域的访问请求一律予以拒绝。
4.2.2通过用户名和口令限制
当远程用户访问平台服务器资源时,只有输入正确的用户名和口令才能获得相应的响应。
4.2.3用公用密钥加密方法
对文件的访问请求和以及文件本身进行加密,只有预计的权限用户才能读取文件内容和获得服务。
4.3服务器根目录的权限设置
对服务器根目录进行严格访问权限控制,包括日志文件、配置文件等敏感信息,未授权用户无法读取、修改、删除。服务器根目录下的CGI脚本程序设置为只有超级用户才具有执行权限;日志和配置文件设置只有超级用户才具有写、删除权限;服务器启停设置为只能由超级用户操作。
4.4服务器安全管理
制定严格的服务器日常管理、维护工作流程,加强管理人员安全知识培训,提高安全意识;制定严格的信息资源管理制度,加强操作人员业务操作培训,提高应用水平。及时对服务器漏洞更新,实时对日志文件审计,安装安全工具软件,加强服务器安全管理。
4.5数据库防范
4.5.1Access数据库防范
针对Access数据库采用修改文件扩展名的方式,将MDB改ASP,使用客户端误将数据库文件当做执行文件,避免恶意用户下载。采用虚拟目录的方式存放数据库文件,避免恶意查找到数据库存放的实际目录,达到保护Access数据库的目录。对访问数据库的用户密码采用不可返算的加密算法,无法破解出真正的密码。
4.5.2使用ODBC数据源保护数据库
在程序设计时,对MYSQL、SQL、ORACLE数据库访问时,使用ODBC数据源,恶意用户无法获得真正的数据库名,避免恶意用户查找数据库位置。
4.5.3利用Session对象进行注册验证
为防止未经注册的用户绕过注册界面直接进入应用系统,平台设计时采用Session对象进行注册验证,每次操作或访问信息资源时都必须先通过Session对象的操作权限检查,未通过检查的恶意用户无法进入系统访问资源和操作数据库。
4.5.4防数据库注入
防数据库注入的关键是对所有可能来自用户输入的数据进行严格的检查,对进入数据库的所有特殊字符进行转义处理,严格限制变量类型,并对数据库操作命令进行过滤,带有数据库操作命令的访问全部予以拦截。应用程序级的漏洞,仅依靠对服务器的基本设置做一些改动是不够的,必须提高应用程序开发人员安全意识,加强对应用源代码安全性的控制,在服务端正式处理请求时,对每个提交的参数进行合法性检查,并对所有应用程序采取容错机制,无法获知数据库访问错误,防止恶意用户利用数据库操作错误获取数据库基本信息,以从根本上解决注入问题。
4.5.5访问权限限制
访问权限分二级授权机制。一级为用户登录授权,只有通过登录的用户才能访问平台;二级为资源使用授权,资源使用授权又分二层,一层为目录授权使用机制,二层为文档授权使用机制。未授权用户不能访问。
随着信息技术广泛推广应用以及互联网的普及,我国各行各业信息化程度普遍提升,互联网民不断增加,据中国互联网网络信息中心的报告,截至2013年12月,我国网民规模达到6.18亿,其中通过手机上网的网民占80%;手机用户超过12亿,国内域名总数1844万个,网站近400万家,全球十大互联网企业中我国有3家。2013年网络购物用户达到3亿,全国信息消费整体规模达到2.2万亿元人民币,同比增长超过28%,电子商务交易规模突破10万亿元人民币[1] ;我国已经成为名副其实的网络大国。
尽管多年来我国的网络安全工作不断取得进展,但由于我国在自主创新方面还相对落后,区域和城乡差异比较明显,特别是人均带宽与国际先进水平差距较大,国内互联网发展瓶颈仍然较为突出。同时,中国面临的网络安全方面的任务和挑战日益复杂和多元。中国是网络攻击和信息窃取的主要受害国。仅2013年11月,境外木马或僵尸程序控制境内服务器就接近90万个主机IP。侵犯个人隐私、损害公民合法权益等违法行为时有发生。
事实上,网络空间已经成为各国博弈的新领域,波及全球的网络安全重大事件时有发生。为有效应对新的挑战,今年2月我国成立了中央网络安全与信息化领导小组,在国家层面上强化统筹协调,明确提出了国家的信息安全观,即没有网络安全就没有国家安全,没有信息化就没有现代化。要有自己的技术,有过硬的技术; 要有丰富全面的信息服务,繁荣发展的网络文化;要有良好的信息基础设施,形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作。要与“两个一百年”奋斗目标同步推进,向着网络基础设施基本普及、自主创新能力增强、信息经济全面发展、网络安全保障有力的目标不断前进,在此基础上力争尽快把我国建设成为网络强国。
作者认为,建设网络强国,当务之急是深化认识,认清当前网络安全面临的严峻形势。
首先,网络空间已成为国家间较量的新战场。
随着网络空间成为继陆、海、空、天外的“第五空间”,网络空间成为现代国家致力角逐的重点。
一方面,美等发达国家纷纷加强网络军备,发展网络战力,争夺网络空间主动权,部分国家甚至研发先进网络武器,暗地支持网络攻击,对其他国家造成严重威胁。近年“震网”病毒攻击伊朗核电站致使伊朗核设施遭到破坏,以及“火焰”、“读取”等超级病毒出现,窃取敏感信息,波及世界大部分地区,都不是偶然的普通事件,而是有组织的国家谋划行为。
另一方面,由于当今世界国与国之间爆发物理战争可能性不大,国家间的冲突逐渐转变为网络空间的较量。近期的乌俄冲突、以及2007年爱沙尼亚-俄罗斯、2008年格鲁吉亚-俄罗斯冲突中,网络空间都成为重要冲突疆域,甚至成为争端的主要战场。
网络空间国家和利益竞争已呈强烈对抗态势,未来国际政治、经济、军事、外交竞争与冲突中,网络空间将更加容易成为恶意或敌对网络活动的载体。到2014年,已有40多个国家颁布了网络空间国家安全战略,仅美国就颁布了40多份与网络安全有关的文件。美国还在白宫设立“网络办公室”,并任命首席网络官,直接对总统负责。2014年2月,总统奥巴马又宣布启动美国《网络安全框架》。德国总理默克尔2月19日与法国总统奥朗德探讨建立欧洲独立互联网,拟从战略层面绕开美国以强化数据安全。欧盟三大领导机构明确,计划在2014年底通过欧洲数据保护改革方案。作为中国亚洲邻国,日本和印度也一直在积极行动。日本2013年6月出台《网络安全战略》,明确提出“网络安全立国”。印度2013年5月出台《国家网络安全策略》,目标是“安全可信的计算机环境”。因此,接轨国际,建设坚固可靠的国家网络安全体系,是中国必须作出的战略选择[2]。
其次,关键信息基础设施成为国家间博弈新领域。
在国家关键性基础设施方面,随着金融、能源、交通、通信等关键领域日益依赖网络和信息技术,其安全影响到国家安全、经济安全、人民生活及正常社会秩序。由于关键信息基础设施的战略地位,其已成为国家间开展博弈的新领域。一旦发生网络冲突,关键信息基础设施将成为首要被攻击目标,各国均予以高度重视,采取了各种措施应对。
一方面,根据斯诺登爆料美、英等国大规模实施监听计划,以窃取他国金融、能源等重点行业敏感信息。作为受害国,德国、巴西等国采取措施进行积极应对,其中德国提议建立“欧洲互联网”取代美国主导的互联网基础设施,巴西则计划铺设直通欧洲的海底光缆绕开美国。
另一方面,美、英、澳等西方大国以“威胁国家安全”为借口,积极开展各种安全审查,主要限制我国信息技术产品和服务在其重点领域的采用;与此同时,美等发达国家强化技术封锁和贸易壁垒,限制其高科技通信器材等技术产品出口。
我国关键领域不仅处于遭受美国监听的被动地位,更缺乏针对美等国家“安全审查”的应对措施,关键信息基础设施在国际博弈中严重处于不利位置。
第三,网络资源成为国家间争夺的新目标。
随着网络建设不断深入,网络资源逐渐成为国家间争夺和控制的新目标,围绕网络资源控制权和主导权的争夺十分激烈。当今世界,谁能掌控域名服务器、IP地址等互联网基础资源,谁就能占据网络空间主动权;谁能掌握更丰富更有价值的信息资源,谁就能获得更多利益。
美国一直牢牢掌控着国际互联网基础资源,虽然在国际压力下其声称交出互联网名称与数字地址分配机构(ICANN)的管理权,但实际上互联网的国际管理权仍然掌握在其手中。此外,美、英、澳等发达国家还加紧在大数据领域的布局,出台大数据计划或战略,着力发展大数据技术加强对数据资源的控制,获取经济、安全等方面的国家利益。而我国互联网基础资源比较薄弱,缺乏网络空间话语权和主动权,对信息的获取和处理能力也与发达国家存在较大差距。
可以预见,未来他国若与我国发生冲突,网络空间也极有可能成为主要战场。而我国在网络资源、基础设施防护、反制技术与管制等方面还存在诸多不足,使得我国在网络空间较量中处于弱势地位,可能影响到国家安全和社会稳定。
为应对严峻局面,2014年2月27日中央网络安全与信息化领导小组成立,统筹指导国家网络安全和信息化工作,强化了国家层面的网络安全顶层设计和总体协调,这是我国网络安全管理体制的重大进步,为我国将网络大国建设成网络强国提供了有力保障。
我们要在中央网络安全与信息化领导小组的统筹指导下,求真务实,抓住要害,有效应对挑战。对以下几个方面应予以特别注意:
一是全面构建国家网络安全防护体系。建立协调联动、相互配合、资源共享的网络安全防护机制,制定国家网络安全防护策略,明确各方网络安全防护职责。构建国家网络安全风险评估、监测预警、应急处置、灾难恢复体系,加强技术手段建设,提升抵御攻击的防护能力。
二是统筹协调加强关键信息基础设施安全。出台关键信息基础设施保护法规,将关键信息基础设施纳入国家战略资产,明确关键信息基础设施保护范围、各相关方责任,为相关工作开展提供法律依据。建立重要网络设备产品审查制度,针对党政机关、重点行业采购和使用的重要信息技术产品与服务开展网络安全审查,防范和减少安全风险隐患,提升关键领域网络安全。建立关键信息基础设施仿真环境和攻防测试、安全验证平台,加强关键信息基础设施漏洞、后门的发现检测和防范能力。
三是大力提升信息技术产业水平。加大网络核心技术研发投入,实现关键核心技术重大突破,积极有序推进关键信息技术产品和设备的国产化替代,扶持壮大有实力、有规模、有自主知识产权的国内企业,加强技术创新,争取开创我国信息技术产业的新局面。
在网络安全领域,我们面临的是一场艰苦的斗争。我们需要在中央网络安全与信息化领导小组的统一领导下,从大局着眼,抓住关键环节,从技术、产业、政策、体制等多个方面采取有力措施建设网络强国。
关键词:
网络安全;公安信息建设;公安工作
0引言
网络日益发展,公安机关建设的公安网在各种打击违法犯罪中起到了重要的作用,这是“科技强警”“向科技要警力”口号的一个具体落实。[1]公安机关将信息化运用于“网络追逃”“网络打拐”等侦查破案中,并成为了基本的侦察手段,公安网的迅速发展有利于不断促进社会的稳定、打击预防犯罪并维护良好的社会治安。我国公安机关对公安内网的建设投入了很多的人力物力,因为一旦公安内网出现安全问题,就会导致大量的内部工作信息和保密数据被泄露,后果无法想象。从基层各级基本单位到公安部都存在着同样的风险,常常出现的问题有“一机两用”等。目前摆在公安机关面前的问题是如何运用更加先进的技术对公安内网的大量信息和数据进行良好的保护。
1公安网安全问题分析
1.1概述
公安信息网一般分为内网和外网。内网的用途一般是用来进行日常的办公、办案以及违法处理;外网是用在民警搜集、检索信息和材料所需要使用的网。外网所遭受的攻击和破坏主要是来自于病毒和木马的攻击,这往往能够通过防火墙等一系列措施进行安全保护。内网的攻击来源与外网是不同的,主要来自于内部,并且比外网更容易遭到破坏的同时防范的难度也会更高。为了防止外网的入侵,在公安网的设计之初就将内网和外网的物理层断开,阻断外网对内网进行入侵,同时也为内网加装了防火墙和入侵检测设备,但是这些所起到的作用并不十分显著。[2]
1.2时常受到攻击的原因
(1)随着信息化网络技术的不断发展,我国公安机关的网络建设逐渐优化,网上办案系统的运用达到一个新的层次。办公自动化系统、网上执法办案系统、道路交通违法信息处理系统等大规模系统的使用和普及,对内部网络的通畅要求越来越高。这是网络常常遭到攻击的原因之一。
(2)公安系统内部网络仍然具有一定的安全风险。网络在使用的过程中常常会产生漏洞但是由于系统较多而没有及时的进行修补,这给黑客的攻击提供了便利和降低入侵的难度。随着黑客技术不断快速发展,对黑客的技术水平和要求也越来越低,因此从事黑客的难度也会越来越低。外网时常面临着黑客攻击的风险,内部所面临的威胁也不少,公安内网大量的工作信息和数据也有被窃取的可能性,所以黑客对于公安网具有很强的破坏性和威胁性。湖南湘潭市公安局发生的工作人员使用黑客手段窃取内部网络的信息和公安网的服务器密码便是一个很好证明,也为公安机关敲响了警钟。
(3)部分攻击来自于内网。数据保护在目前的公安网受到重视的程度不高,给一些不法之徒提供了破坏或者是盗窃的便利。保护不力主要体现在以下几个方面:用户直接对数据库和服务器进行操作,这导致了入侵者常常对关键数据进行破坏或者是窃取;民警进行数据处理时忽视了数据加密,使数据处于一种公开状态;公安机关在设计之初对用户进行了权限等级的排序,加大了管理难度,这也会导致更高权限的用户被出现越权操作的情况;还有一种越权操作的情况是民警经常使用别人的账户的情况。数据库管理的不严格、不严密导致了数据容易处于透明状态、文件有时具有的共享属性以及用户使用的不严谨都导致了内部网络经常遭到了破坏。
2安全措施
通过前文的原因分析,受到攻击后的内网造成的严重后果是显而易见的。如何对内网进行安全建设,加强网络保护,尽量减少因为遭受攻击而导致的后果是目前我国的公安系统必须要重视的一个重点。通过笔者自身的基层实习,对公安机关有以下几个建议:
(1)完整公安网络体系的建设。公安机关必须摒弃过去混乱的网络管理和使用模式,进行至上而下的完整体系建设。配备装置良好的安全防护工具是首先要做到的,并对从上公安部到下的基层民警都需要进行统一建设。在选择安全防护产品是要注意售后服务系统的完善,重点在保密和防护各方面都需要有良好的性能。在有了优秀的安全防护工具之后,需要有一批高水平的专业技术人才进行日常系统建设和维护,建设一支具有高水平的网络安全维护队伍有利于提高公安系统整体的水平和素质。
(2)对网络安全的重要性向广大民警大力宣传,提高广大民警的计算机安全保护意识。宣传不仅要在公安部进行,更要在各个基层公安机关进行不同方式的宣传,主要方式有全体民警会议等。宣传主要分为三个方面:一是提高广大民警对计算机网络安全保密工作的重要性;二是操作公安网计算机安全保密的重要性;三是增强民警计算机网络安全信息保密的重要性,概括来说即为网络安全、操作安全、信息安全三个主要方面。公安机关所使用的计算机必须要设置难度较大的密码,无密码设置给黑客攻击提供了一定的便利;进行数据备份,避免因为电脑的故障或者是黑客的入侵导致数据破坏导致数据丢失;公安机关定期对电脑计算机网络进行检修或是出现故障需要外界人员对电脑进行接触时,要有专人在场进行监督,避免数据被窃取,并在接触之后离开之前将设备取回。
(3)加强公安机关内网的安全管理建设。在安全管理方面,公安机关要尽快的形成一套完整的管理方法,将安全管理建设落实到制度中去,将每个人的责任界定清楚避免出现责任不明确相互推诿的情况。公安机关内的计算机的用户和权限都要进行明确的划分,民警签订每台机子的网络安全责任书,避免出现“一机两用”的情况。因为这种情况可能造成计算机感染病毒,其中的数据遭到窃取或是破坏。这很有可能导致公安机关内部网络信息泄露。提高民警网络安全保护意识的同时要严格的执行各项安全保护制度,“八条纪律”和“四个严禁”要严格遵守,违者将会受到严厉的处罚,若是造成了数据破坏或是泄露的情况,将会追究相关的法律责任。《公安网络安全考核准则》中规定了各个单位都要有网络安全主管领导和网络安全管理员对本单位的网络安全进行实时监控和管理。
(4)提高网络安全技术的水平和层次。入侵检测、攻击防范、数据修复是网络安全策略的三个重点。内部安全防范的技术水平已经达到一个较高的水准,因此应在对防范人的方面提高重视程度。只有及时的发现入侵者,才能更好的解决问题,不多走弯路。入侵检测工作的同时我们要注意对黑客攻击进行防范。数据传输的过程是比较容易遭到黑客窃取的时间点,因此在进行数据传输时要采取相应的加密措施。安全的密匙分发制度能够防止用户对业务的否认和抵赖,同时数据遭窃后被破解的可能性也会降低,提高了数据传输时的安全性。要时刻注意数据备份,当网络被黑客入侵,关键数据被破坏时能够及时使用备份,减少对公安机关正常工作带来的影响。
3结束语
公安系统网络安全建设是一项长期建设的过程。公安机关首先要真正认识到建设的重要性并对其加以重视并采取相应的措施进行建设才能推动网络安全建设的不断发展。笔者作为公安机关计算机教育的从业人员,对信息安全的重要性有一个明确的认识。前文所提到的只是想为公安机关敲响一个警钟,希望有关部门能够重视起来并进行沟通建设,努力推动网络安全技术的不断革新与发展。
作者:赵冉 单位:山东省昌邑市公安局
