网络安全问题浅析(共8篇)
一、影响计算机网络安全的主要因素一)信息网络安全技术相比信息网络技术的发展相对滞后如今, 网络技术的快速的发展,其产品也快速的融入到我们的生活中,但就这些新一代产品的安全性来讲,还是延续着上一代的安全技术。这就会使得我们在使用这些产品的时,计算机网络就很容易遭受到攻击。
二)计算机操作系统的安全性对于目前的一些操作系统,如UNIX、MSNT、wIND0ws等,均存在着网络安全漏洞,这些漏洞很容易被 利用,进而攻击系统。
三)计算机网络实体硬件的安全性计算机实体硬件的问题主要是指在计算机硬件在工作当中,因各种原因而导致的硬盘、光缆、局域网遭受到物理性的损坏,进而造成计算机网络故障。
四)内部网用户的使用安全性结合实际,内部用户带来的安全威胁远远地大于外部网用户,究其主要原因是内部网用户可以无视网络系统的防火墙,一旦操作出现问题,防火墙无能为力, 因而就会带来安全隐患。
五)管理的安全性网络安全是技术与管理的结合,而网络安全是动态的,在这方面主要表现缺少专业的网络管理人员,缺乏全面的完善的管理制度。
二、加强计算机网络安全的对策网络安全与网络系统紧密相关,要解决计算机网络安全问题,就要抓住网络安全的主要方面,以保障其安全。
一)管理安全对策管理问题是计算机最核心的问题。人作为实现网络系统安全的主体,就必须先制定完善的网络管理制度,才能保证网络安全方案才能施行。此外,还需要加强人员的安全知识、意识培训,制定一些关于网络操作和系统维护章程,建立应急措施,同时还要加大自动化管理力度。
二)计算机系统的安全对策系统的漏洞就会给病毒可乘之机, 当今网络的快速发展,病毒的传播途径也多样化,而要保证计算机的安全运行,除了要增强病毒防护意识外,更要切实际的加强防护病毒工作,
一般来讲系统预防工作有:用户千万不要随意地相信一些带有欺骗性或诱惑性语言的电子邮件;安装一些容易感染的病毒防杀工具;要及时获得病毒知识,加强对计算机异常情况的观察,以防止病毒传播。对于这种可能造成较大损失的攻击强的病毒,用户最好是对系统进行备份。
三)计算机实体的物理防护对策对计算机网络安全体系而言,计算机的硬件和通信线路等一些实体设备也是主要保护的对象。通常情况下,技术人员可以采用电磁屏蔽技术以防电磁泄漏,再增置避雷设施以防雷电和工业电对网络系统的干扰,还要注意防火、防尘、防震、防静电等措施以保证计算机系统的设备正常工作。
四)网络控制对策网络控制策略是网络安全防范和保护的主要防护手段。
对网络设置访问权限。设置网络访问权限主要是针对网络非法操作带来的浅谈计算机知识在统计工作中的普及应用安全威胁。其主要任务是不让网络资源不被非法使用和非法访问。一般做法是加强入网控制,如通过对用户登录时进行用户名识别验证、对其口令进行识别验证以及对账号进行限制检查。此外规定用户和用户组的权限,如规定什么样的权限可以访问哪些资源、目录、文件。
加强网络防火墙的控制。防火墙技术是基本可以解决网络层安全性问题的。防火墙技术的主要机理是将内部网和网隔离,通过在网络边界上建立通信监控系统,再在两个网络之间规定一种访问尺度,以此来判断一些网络访问的安全性。目前防火墙技术主要有以下:
过滤防火墙:过滤防火墙主要是通过路由器来实现过滤,以此来阻挡外部网络的入侵;代理防火墙:代理防火墙主要由代理服务器和过滤路由器组成,再结合软件代理技术,建立一定数量的信息过滤数据,对满足过滤规则的数据允许通过,否则禁止通过,然后再通过过滤路由器与网络互连,将其筛选的数据传送至代理服务器;防火墙技术可以提供网络的安全性,但不能绝对的保证网络的安全,其本身也可能会遭到病毒的攻击,因此,不能光靠防火墙来解决网络安全问题,应当尽可能基于Windows Mobile平台网络防火墙的设计与实现多结合防火墙技术,在其它方面同样加大力度来实现网络安全。
上述主要讲述了网络安全解决方案是要综合管理方面,对计算机网络的软件和硬件进行实时保护,在网络层关键问题上对网络权限和防火墙进行控制,再应用数据加密技术来实现网络安全。
关键词:Internet,网络安全,防火墙,技术特征,入侵检测
Internet如今处于易受攻击的状况下,是由以下几点原因造成:
1) 早期的网络协议缺乏安全意识,这样就为在它们的基础上建立起来的Internet埋下了安全隐患。
2) 网络发展迅猛,其结果之一,是复杂应用的快速发展导致了以牺牲安全性能来换取功能性的不良趋势。
3) 缺乏训练有素而又有经验的网络管理人员来以安全的方式管理运营网络。
导致技术上的易受攻击性的原因可分类为:
1) 软件或协议实现中的弱点:实现这些协议的应用也许会是有缺陷的。而这些缺陷是可以通过更好的程序设计和应用加以避免的。
现在应用层出现的最常见的安全问题有:文件存取中的竞争状况;不对数据内容及规模进行检测;不对成功或失败的状况进行检测;不能适应或调节资源紧张和接近枯竭的状况;对操作环境检测不安全;对系统调用的不合理运用;对软件模块的复用并非初衷。
2) 系统及网络配置中的弱点:安全问题也许会是由主机或网络的不适当的配置而引起的。例如,有的主机没有开启某一项服务,可是用于这种服务的端口却被开放了。在网络层,防火墙往往被错误地配置,结果导致那些来自非信任关系主机的连接也可以被建立。
1 网络安全的概念及网络安全产品的特点
国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
网络安全产品有以下几大特点:
1) 网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;
2) 网络的安全机制与技术要不断地变化;
3) 随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
2 网络防火墙技术分类及其主要技术特征
2.1 防火墙的定义
防火墙是用于网络级访问控制机制的设备。在大多数情况下防火墙用来阻止外来人员访问内部网络。防火墙设备通常是单独的计算机、路由器或防火墙固件。防火墙固件通常是运行定制或专用操作系统的专用硬件设备。
防火墙被设计为出入网络的控制点。它们评判收到的连接请求。防火墙根据预先定义的一套规则或“政策”来查看网络通信是否被允许,只有从授权主机到授权目的的连接请求才能被处理,其他的连接请求被丢弃。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关 (代理服务器) 以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
防火墙处于5层网络安全体系中的最底层, 属于网络层安全技术范畴。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看, 防火墙处于网络安全的最底层,负责网络间的安全认证与传输, 但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同, 我们可以将它分为四种基本类型:包过滤型、网络地址转换(NAT)、代理型和监测型。
2.2 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息, 如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包, 防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低, 在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址, 骗过包过滤型防火墙。
2.3 网络地址转换(NAT)
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
2.4 代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
2.5 监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上, 作为当前防火墙产品的主流趋势, 大多数代理服务器 (也称应用网关) 也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如, 它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
3 入侵检测的作用及其发展趋势
3.1 入侵检测系统的作用
入侵检测系统用于检测可能存在的入侵行为,通过计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。更重要的是,入侵检测系统检测并发现存在的网络攻击以及网络错误。安装在网络中的入侵检测系统就如同一个房间中安装的用于防止盗贼的防盗报警器,能发现网络中的非法入侵行为,并根据相应的情况发出警告或者报警。
入侵检测系统往往和防火墙同时配合使用,管理并控制进出网络的数据。这两种安全工具在网络中起到完全的作用,防火墙如同房前的警卫,保护房子的安全并阻止入侵者闯入屋子中。入侵检测系统则检测网络是否正受到入侵。
入侵检测系统是防御系统的最后一道防线。它可以检测到,从而可以帮助避免一些可穿越防火墙的入侵。
3.2 入侵检测的发展趋势
3.2.1 体系结构演变
入侵检测系统结构大致可分为主机型、网络型和分布型三种。主机型和网络型入侵检测系统是一种集中式系统,但是,随着网络系统的复杂化和大型化以及入侵行为所具有的协作性,入侵检测系统的体系结构有集中向分布式发展。不同IDS (intrusion detection system)之间通过共享信息,协同检测复杂的入侵行为如攻击策略识别。此外,现代网络技术的发展带来的新问题是,IDS需要进行海量计算,因而高性能检测算法及新的入侵检测体系也成为研究热点,高性能并行计算技术将用于入侵检测领域。
3.2.2 安全技术综合集成
IDS尽管能够识别并记录攻击,但不能及时阻止攻击,而且IDS的误报警造成与之联动的防火墙无从下手,要解决当前的实际网络安全需求,入侵检测系统将与漏洞检查系统、防火墙系统、应急响应系统等逐渐融合形成一个综合的信息安全保障系统。
3.2.3 标准化
标准化有利于不同类型IDS之间的数据融合及IDS与其它安全产品之间的互动。
4 网络安全的防范措施
加强内部网络管理人员以及使用人员的安全意识,采用计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
安全加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。
网络主机的操作系统安全和物理安全措施。
5 结束语
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。由于网络环境的不断改变,黑客攻击能力的不断提高,要真正能保护网络安全还有很多工作要做。
参考文献
[1]刘宏月, 马建峰, 范久伦.一种RBAC建议标准的分析与应用[J].信息安全与通讯保密, 2002 (4) .
[2]黄怡强, 等.浅谈软件开发需求分析阶段的主要任务[J].中山大学学报论丛, 2002 (01) .
[3]胡道元.计算机局域网[M].北京:清华大学出版社, 2001.
[4]朱理森, 张守连.计算机网络应用技术[M].北京:专利文献出版社, 2001.
关键词:无线网络;安全问题;对策
中图分类号:TN915.08
1 无线网络中存在的安全问题
无线网在现如今的时代无所不在,充斥着日常生活中的各个方面,给人们的生活和生产以及交流方式等都带来了极大的不同。正是由于其强大的关联性、共融行和相关性、开放性而使得它的影响波及大人们日常生活中的方方面面,给人们带来极大帮助的同时也无疑会带来一些安全方面的顾虑。为此,我们在不断应用无线网络的同时一定要加强安全防范意识,才能够保证自己的信息不被泄露和坏人利用[1]。
1.1 重传攻击
重传攻击指的是黑客等通过截取大量数据,并将其陈旧的信息再次重复输送给接收者,而导致宽带网的速度和流通等出现障碍,从而使得用户对新信息的接受能力降低。这种问题属于无线网经常遇到的安全性问题之一。与此同时,在网络环境改变的前提下,重复发的信息仍然会不间断发送,使得无线网络数据出现问题,严重的还会造成数据丢失等问题。网络用户的很多信息都存储在网络中,一旦這些数据被不法分子盗用或者用作其他违法乱纪的事情,就会对用户的隐私安全构成威胁,严重的还会发生篡改数据、恶意使用数据、频繁攻击服务器以致其瘫痪无法运行的现象。为此,我们在使用无线网的过程中,一定要重视安全问题,尤其是重传攻击现象,以确保网络的畅通和有效[2]。
1.2 信息篡改
信息篡改指的是黑客对截获的信息恶意增加、删除和修改,然后将其中一些非常重要的信息经过篡改后再发送给接收者。这种行为一旦发生,就会使得接收者接受到的信息和原本要传输的信息之间有较大的出入,如果接收者清新被篡改后的信息,将会给自身造成不必要的麻烦和损失,为此,必须加大对无线网络中信息安全性的有效监控和管理。此外,黑客除了篡改用户的信息之外,还会对用户的使用权限造成威胁,从而在用户再次使用一些权限的时候系统会提示出现故障,不仅给耽误了用户的时间,而且也给其造成不小的精神困扰,也会使得用户对无线网的安全性忧心忡忡[3]。
1.3 假冒攻击
假冒攻击的概念有两层含义:第一,黑客等利用虚拟网络设备来充当实体的,然后利用无线网络的技术漏洞和安全漏洞来访问无线网络,从而对其造成安全威胁。第二,目前我国的无线网络中关联的控制、通信和移动通信站之间缺乏实体设备的相互关联,所有的信息都是在无线网中进行流通,这就使得黑客一旦攻击和窃取了无线网中的相关信息,就会给用户的个人隐私安全问题带来严重的威胁,甚至还会篡改用户的信息和账户密码等,从而使其整个无线网络的运行处于瘫痪状态。
1.4 非法窃听
无线网络通信的信息发送和接收由于没有实体的通信通道,因此一旦黑客等不法分子利用一些较为先进的无线设备对其数据进行截获和窃取,就很容易造成非法窃听[4]。一般情况下,不法分子都会抓住无线局域网射频信号低、信号射程有限的弊端来采用高频远程的高端无线设备来对其无线网的信息进行拦截,从而达到非法窃听的目的,严重影响了互联网的安全性能。
2 无线网络安全保障机制
2.1 数据加密机制
数据加密机制是为了防止用户的信息和数据被盗用而采取的一种应对措施。无线网络用户通常会有公开和私密两个秘钥。要对数据解密,就必须使得公开和私密秘钥想匹配才能够达成。公开密钥,无线网络用户不受使用权限的限制,可以利用公开密钥加密信息。而私密密钥可以解密信息,以此来形成双重保障,防止数据被盗取和窃听。
2.2 身份认证机制
身份认证机制主要是对用户的真实有效身份信息进行核查和认证,然后赋予用户一定的网络使用权,使得能够轻松获得相关的信息。而且身份认证的程序算法并不繁复,对网络资源的耗费也非常低,非常适合在无限网中运用。
2.3 不可否认机制
数字签名技术在无线网中经常使用,主要是避免出现无线网用户的抵赖行为。它在无线网中的不可否认特征,使其有很多的有点:必须以网路通讯的数据方式来进行信息的传递和输送,其次,数字签名仅限于有私密密钥的用户。最后,数字签名一旦实现,就无法更改和修正。
3 无线网络安全问题防护对策
3.1 远程身份验证用户服务
远程身份验证由于其具备多重安全保护功效而为无线网用户所广泛采用。首先,用户身份校验。利用无线网的数据信息来对每一个访问无线网的用户进行用户名和密码的验证,只有完全匹配才能够登陆无线网络,实现数据的有效传输。其次,用户授权。它可以为用户信息访问提供多重便利,而且确保可以实现同时访问不同信息的功能。最后,日志记录。它可以记录无线网用户的身份信息、数据传输信息、链接时间和地址等等,从而确保了用户对无线网的安全使用,也使得无线网不易受到其他不法分子的攻击。
3.2 虚拟专用网络
虚拟专用网络常常使用在无线网络中。这主要是由于其具备虚拟性,且能够实现对网络的自动链接和加密,因此使得不法分子无法通过固定的转换器和路由器来进行网络数据的窃听和截取。首先,虚拟专用网络加密的是无线网中的每个节点;其次,它对无线网的信息加以不同层级的加密,以此来确保无线网的畅通和安全稳定。
3.3 防火墙系统
防火墙可以实现对不同无线网的隔离功效,有软硬件共同构成。防火墙的选用较为随意,只要能够起到对无线网络进行有效安全保护的作用,并不妨碍内外网之间的关联即可。防火墙的主要功能为允许、阻止。允许是对一些无毒的、系统认可的软件准许载入网络;阻止是对一些不知名的软件、恶意软件和非法分子等阻止其进入网络系统。一般而言,它具备两组过滤路由器,用来检测无线网的输入和输出信息。一般情况下,只有当检查符合条件的时候,才能够被许可载入网络,以此来提高了网络的安全性。
4 结束语
无线网络的最大优势在于网络设备和接口等都受到一定的安全保护和限制,以防止病毒和不法分子的入侵。目前来看,我国无线网已经深入到了千家万户,如何在高效利用互联网的同时来确保用户的信息数据安全,是当下互联网发展过程中所必须予以重视的问题。只有建立和健全有效的互联网安全运行和操作机制,才能够使人们更加放心和安全的使用无线网络,从而也给人们的日常生活带来更多的便捷。
参考文献:
[1]池水明,孙斌.无线网络安全风险及防范技术刍议[J].信息网络安全,2012(03).
[2]李靓.浅议无线网络安全及解决方案[J].科协论坛(下半月),2009(10).
[3]张双斌.浅谈无线局域网网络安全及其防范对策[J].计算机安全,2008(08).
[4]赵冬梅,郭荣华,赵佳.无线网络安全分析与解决方案[J].网络安全技术与应用,2006(08).
如果把用户输入到一个网页,将其插入到MySQL数据库,有机会离开了发生安全问题被称为SQL注入敞开,这一课将教如何帮助防止这种情况的发生,并帮助保护脚本和MySQL语句。
注入通常发生在处理一个用户输入,如他们的名字,而不是一个名字,他们给一个会在不知不觉中你的数据库上运行的MySQL语句。
永远不要信任用户提供的数据,只能验证后处理这些数据,作为一项规则,这是通过模式匹配。在下面的例子中,用户名被限制为字母数字字符加下划线的长度在8到20个字符之间 - 根据需要修改这些规则。
if (preg_match(“/^w{8,20}$/”, $_GET[‘username‘], $matches)){ $result = mysql_query(“SELECT * FROM users WHERE username=$matches[0]”);} else { echo “username not accepted”;}
为了说明这个问题,认为这是摘要:
// supposed input$name = “Qadir‘; DELETE FROM users;”;mysql_query(“SELECT * FROM users WHERE name=‘{$name}‘”);
函数调用应该是从用户表中的名称列的名称相匹配用户指定的检索记录,
在正常情况下,名称只包含字母数字字符或空间,如字符串髂骨。但在这里,给$name通过附加一个全新的查询,调用数据库变成灾难:注入DELETE查询删除用户的所有记录。
幸运的是,如果使用MySQL,在mysql_query函数不会允许查询堆叠,或在一个单一的函数调用执行多个查询。如果尝试到堆放查询则调用失败。
其他PHP数据库扩展,如SQLite和PostgreSQL则愉快地进行堆查询,执行在一个字符串中的所有的查询,并创建一个严重的安全问题。
防止SQL注入:
可以处理所有的转义字符巧妙的脚本语言,比如Perl和PHP。 PHP的MySQL扩展提供的函数mysql_real_escape_string()输入到MySQL的特殊字符进行转义。
if (get_magic_quotes_gpc()) { $name = stripslashes($name);}$name = mysql_real_escape_string($name);mysql_query(“SELECT * FROM users WHERE name=‘{$name}‘”);
LIKE困境:
为了解决的LIKE问题,一个自定义的转义机制必须用户提供的%和_字符转换成文字。使用addcslashes()函数,让可以指定一个字符范围转义。
最近一段时间,食品安全问题引起大众的广泛关注。于3.15爆出的河南瘦肉精事件闹得沸沸扬扬,添加瘦肉精喂出来的猪不仅颜色光亮,而且可以增加猪的瘦肉率。实际上瘦肉精是一种肾上腺类神经兴奋剂,如果一次摄入量过大,就会产生异常生理反应的中毒现象,作为兽药或禽畜饲料添加剂,则属于违禁品。与瘦肉精相似的还有牛肉膏,近期在安徽查获一种名为“牛肉膏”的添加剂,经过腌制,可让猪肉在90分钟内迅速变身“牛肉”,猪肉冒充牛肉,可以节省大量成本,而食用者在外观上也几乎分辨不出来,据悉,牛肉膏中其实是复合添加剂,用量应有限制,吃多了则可能致癌。随着染色馒头、含亚硝酸盐的牛奶、50种毒食品等等恶性事件接连不断地被曝光,报纸、杂志和网络上也涌现出大量纰漏和探讨食品安全问题的文章,国民越来越为食品安全而担忧。
放眼世界,国外就没有类似的恶性食品安全事件吗?有,但相对国内来说是极少的。美国、日本还有很多欧洲的发达国家,它们采用了何种措施保证食品的安全?商家如何避免食品出现安全隐患?政府和相关部门花了什么心思在食品安全上呢?下面,我们从国内外对待食品安全问题的区别来谈一谈国内食品安全的解决方法。
一、食品安全标准方面
国内外对食品安全的衡量标准是不同的。近年来接连出现一些跨国公司的产品在海外被发现存在安全隐患,但跨国公司随后都声明其在华产品“安全”、符合中国标准。例如,来自瑞典研究机构的数据表示,雀巢等品牌生产的部分婴儿食品含有砷、铅等毒重金属,存在安全隐患。中国疾病预防控制中心随后通报,这些品牌在华产品检出的砷、铅等重金属,均未超出中国标准。数据显示,多年以来我国食品出口合格率均保持在99.8%以上,而内销食品在“多年整顿”的背景下,合格率却只有90%左右。虽然只有九个百分点的差距,但却暴露出食品安全标准“内外有别”的尴尬。
另外,部分食品标准三十年不变。中国消费者协会律师团团长邱宝昌表示:“有些标准长期‘原地踏步’,甚至二三十年不变,不但给一些造假企业钻空子提供了可能,也影响到人民群众的切身利益甚至国家形象。”我国的标准化法1989年开始实施,形势早已发生变化,标准化法修订工作开展近十年,目前新法仍未出台。《标准化法实施条例》已有明确关于标准复审周期的规定,标准复审周期一般不超过五年。出现食品安全标准标龄长,甚至二三十年不变的情况,标准已不成为标准。
二、监管法律和处罚力度方面
不同西方发达国家所采取的措施是严格的。以巴西为例,巴西“食品监督部门、相关法案多”,负责食品监督的部门和机构国家卫生监督局、农业部、社会发展和消除饥饿部等机构。此外,民间还有完善体制的消费者维权基金会和消费者保护研究院等。巴西有关食品安全的法案很多,也很具体。从2005年开始,巴西又强制执行食品营养成分标签规定,要求食品标签必须包括热量值、蛋白质、碳水化合物、脂肪、纤维含量、钠含量等信息,以保障公众健康。同时“重罚造假企业、起诉企业法人”,生产未达标产品的企业将受到处罚。如果是重犯,企业都将被处以与首次发现时数额相同的罚款,同时还要接受停产30天检查、没收不合格产品、收回已投放市场产品等一系列处罚。如再被查出,案件将直接进入司法程序,企业法人将以食品造假罪被起诉。
纵观国外的食品安全措施,离不开监管和惩罚二词。而中国的问题在于,第一,分段监管有盲区,经常曝光一件事后,每个部门都“踢皮球”,谁都不会站出来担责任,一方面有道德心欠缺,另一方面就是分段的监管有漏洞,部门协作性不强,责任并不明确,导致最终消费者讨公道时无从追究责任。第二,惩罚力度不严格,尽管食品安全法规定:“生产不符合食品安全标准的食品或者销售明知是不符合食品安全生产标准的食品,消费者除要求赔偿损失外,还可以向生产者或者销售者要求支付价款十倍的赔偿金。”,但在现实操作中,违法成本低,维权成本高,处罚目的难以体现。同时买卖双方维权意识都不强,大多数食品销售没有票据,使得举证鉴定很难,索赔难以真正实现。而违法经营者违法成本低,受损害的消费者维权成本高,客观上导致了食品安全事件层出不穷。
三、思想道德方面
国外对食品安全是十分看重的,如果有人危害了公众的健康,那就是严重社会道德缺失的表现,良心会受到很大的谴责。2006年,德国警方在慕尼黑一家肉品批发公司的冷冻库内搜出了120吨过期腐肉,其中一部分已经超过保质期达4年之久。过去人满为患的土耳其烤肉店成了“恐怖地带”,就连多数的守法土耳其人开的店铺和房屋都被极端分子纵火焚毁。其结果是涉嫌贩卖腐肉的食品公司老板、74岁的乔治-卡尔-布鲁纳在家中上吊自杀。他没有留下任何遗书,而他公司的仓库里还有约60吨腐肉和40吨腐败蔬菜。德国警方高级官员威尔弗林甚至怀疑,在德国有一个专门向土耳其烤肉店供应腐肉的“烤肉黑帮”,主流的《图片报》则认为,布鲁纳是因为不能忍受连日来的舆论压力而自杀的,而《明镜》周刊的评论则更为直接:腐肉奸商与其说是自杀,还不如说是被食品监督环境判处了死刑,在当今社会,失信就意味着身败名裂。在日本、韩国和美国等国家,都先后发生类似事件。中国人常说:民以食为天,食品无疑是事关国计民生的最基本的保障,可是从近来“食品案”中可以看到的不仅是国人诚信在缺失,社会道德也同样在滑坡并已到了极致,可以说已触底,从某种意义上讲,这些“案例”要比一个国家的环境、人口、犯罪、就业等社会问题更要严重的多,甚至都可以说要比那些外来侵略更具有威胁性。
四、改进措施
总结以上分析,我国在食品安全方面需要做到的改进如下:
1、鉴于国内食品安全标准过低、标准缺失的客观事实,需要制定食品安全标准的部门,真正认识到我国标准与国际标准的差距,认识到食品安全标准低下、缺失对食品安全监管的制约,并尽早修订食品安全标准,使我国食品安全监管有法可依。标准的制定过程也需要“去掉企业的声音”,由国家层面组织有公信力的业界专家等参与,过程要公开透明。提高标准,既是对人民群众的生命健康负责,也是我国参与世界经济分工的需要。
2、有效、可靠的食品安全法规体系对于公共政策具有非常重要的作用。问题在于如何设计一种消费者信任的,可确保食品安全供应的体系,从而避免采取既妨碍行业的竞争,又对消费者毫无益处的严酷的措施。通过上述比较,可以很明显地看出,以法律规范私立部门的责任以及严格惩罚措施是这两种体系的特征。尽管很难说哪种机构环境在传递安全食品方面最为有效和最具效力,国家对食品安全管理体系的相对有效性必须有进一步的改变和完善。
3、食品企业的老板应该像温家宝说的那样,血管里要流淌着道德的血液。并不是要求商家都要以死谢罪,起码要做到除了事故站出来承认并且及时采取补救措施、召回问题产品,甚至是在最初就设想到出事的这一天,不去做违法乱纪的事情,把民众身体健康放在第一位。食品生产的确是个良心活。无论现代化的流水线,还是传统的小作坊,生产过程都可谓“天知地知良心知”,而消费者只能“眼不见为净”。因此,一个社会如果道德滑坡,食品安全往往是重灾区;反过来讲,提升食品安全指数,道德重建是重要一步。
所以,道德对于市场经济的意义,无需多言。“法律是道德的底线”,只有标准的严格制定、监管法律和惩罚措施站稳了阵脚,道德才不至于在利益面前无限后退。事实上,许多食品安全事件的发生,或是因为制度的不健全不完善,或是因为执法者的失守推诿,或是由于问责的过于温柔,各个方面都有原因。要想这类事件不再发生,这也正如中央领导一再强调的,要不断完善法律法规,让道德败坏者受到法律的严惩和社会的唾弃。
参考文献
一、当代青少年网络伦理道德现状
当代青少年网络伦理道德问题的现状主要表现在一下三个方面:
第一,民族意识淡化。网络上的负面信息影响了青少年对民族信仰、道德标准和价值观念的选择。西方国家凭借信息高科技优势,借助网络传播自己的价值观和文化理念,许多青少年就是因受网络负面信息的影响而对共产主义社会产生了抵触心理,想象西方发达国家才是真正自由的天堂,完全淡化了民族意识,把爱国情结和民族自豪感完全抛之脑后,盲目轻信网络上的一些悖论,传播和制造一些对民族文化和民族价值观有严重冲击力的反动言论。网络负面信息的污染,严重影响青少年是非判断和行为选择的能力。
第二,人际关系冷漠。网络是一个矛盾体,“人与机”交流的日益频繁带来1了“人与人”交往的冷漠。沉迷于网络的青少年把大部分时间都耗费在“网游”上,终日与虚拟网络打交道,不愿意和同学交流,与他人的社会交往也被削弱,使家庭成员之间、邻居之间、同学朋友之间的交流减少,感情日益淡薄,造成青少年人际关系淡化,人际交往能力下降。
第三,网络暴力倾向。青少年正处于身心发育期,世界观、人生观、价值观尚未形成,道德思想尚未成熟,明辨是非能力很薄弱,难以划清言论自由与侵权的界限,极易受到网络不良信息的影响,容易参与到网络暴力中。他们在无拘无束的网络空间里,按照自己偏听偏信的简单思维和逻辑,以自我快乐和个性满足为原则,以“正义舆论力量”自居,以“网络通缉令”、“人肉搜索”、“语言暴力”等形式对他人进行攻击。由于参与的网民数量众多,声势浩大,很容易给当事人的生活造成负面影响,并带来严重的心理创伤。如“高跟鞋虐猫”事件、“铜须门”事件以及“史上最毒后妈”事件等。
第四,网瘾诱发青少年犯罪。网络成瘾指个体反复过度使用网络导致的一种精神行为障碍,表现为对使用网络产生强烈欲望,突然停止或减少使用时出现烦躁、注意力不集中、睡眠障碍等。青少年网络成瘾主要表现在计算机网络游戏成瘾、网络色情成瘾、网络交友成瘾、网络信息收集成瘾、网络交易成瘾等。由于网络社会具有虚拟性、开放性、多元性等特征,青少年社会阅历浅,实践经验不足,辨别是非能力较弱,长期沉浸在自由行为的时空中,容易受到网络不良信息的诱导,从而实施违法犯罪行为。因而,青少年一切失德、败坏、违法的网络行为越来越严重。目前青少年在网络上涉及的网络犯罪行为主要有网络剽窃侵权、网络诈骗、制造、传播计算机病毒、黑客等。
二、当代青少年出现网络伦理道德问题的原因
寻找当代青少年网络伦理道德问题产生的根源,是解决该问题的基本前提。网络道德问题多种多样,十分复杂,其形成的原因也是多方面的。
第一,社会处于转型期,价值观念多元化。如前所述,现实社会是网络社会运行与生存的外部环境,网络伦理道德问题是社会伦理道德问题的延伸。当代中国处于社会转型期,社会阶层的分化和利益关系的.多样化,必然导致人们的价值观念和价值取向的多元化。人们由高度政治化、道德化的价值取向转变为以经济为基础的功利、实用倾向,原有的道德价值体系受到冲击,青少年没有植根于心底的价值观,因而出现了道德滑坡、信仰危机、诚信缺失、功利主义等现象。这些现实社会中的道德问题没有解决,到了网上也不会自行化解,甚至会更为严重。这是青年网络伦理道德问题产生的主要原因。
第二,互联网的虚拟化,缺少共同的规范。在现实空间中,人们的社会交往、活动方式受制于各种客观条件,一定程度上容易规范和控制。网络空间不同于现实空间。由于因特网没有中心、没有国界、不受任何组织机构的控制,加上网络运行的数字化、虚拟化等特点,使得人们的交往以字符为中介,因而非常自由,也难以控制,人与人之间的直接接触减少,在不能有效自律的情况下,可以做出许多现实中不敢做或者不可能做的事情,表现出与现实社会生活中伦理道德规范不相符合的状况。
第三,青少年自律意识薄弱,缺少正确引导。青少年需要面对各种挑战和压力。出于心理调节的需要,他们势必要寻找一种心理宣泄的途径。互联网络以其虚拟性、自发性、无伤性、交互性、隐匿性和开放性等特点,成为青少年宣泄和放松的重要场所。由于网络道德不像现实社会中的道德那样要靠社会舆论、传统习惯、内心信念三者同时来维系,而只能靠个人的内心信念来维系,加之青少年的网络自律意识淡薄,学校和社会对青少年的网络行为也缺少引导,因而容易出现网络道德伦理问题。
三、青少年网络伦理道德问题的应对措施
重视道德教育是中华民族的优秀传统,伦理道德作为一种对人精神、灵魂的内在的支撑力,对人的行为有着无可替代的导向作用。目前许多网络问题的出现与青少年有着密切的联系,同时由于青少年具有可塑性强的特点,因此,加强青少年网络伦理道德构建,意义深远,势在必行。 第一,确立网络伦理构建的指导思想。要坚持以马克思主义为指导,科学运用马克思主义伦理学,以社会主义核心价值体系基础,以社会主义道德观为指导思想,立足我国国情,汲取世界各国的先进经验。在我国社会主义制度下,社会主义道德观是以为人民服务为核心,以集体主义为原则的道德体系,是被实践证明了的正确的道德观,它贯穿于社会主义建设的各个领域,是对我们的基本道德要求。网络道德虽然有其独特特征,但网络道德建设始终应以社会主义基本道德为基础且不能脱离这一主题。社会主义道德是我国网络伦理道德建设的重要伦理思想,然而互联网是超地域、无国界的,因此,我们在网络伦理建设上,应该汲取世界各国的先进经验。
第二,优化社会网络环境。青少年网络道德的形成与社会网络环境的熏陶是息息相关的。因此,加强青少年网络道德教育首先就必须净化社会网络环境,营造健康向上的网络环境。其次,完善网络道德规范体系,加强网络立法。完善的网络法制制度,是青少年网络道德教育有序进行的根本保障。青少年缺少法律的保护意识,他们的个人隐私、人身安全、心理健康容易成为网络犯罪的侵害对象。因此,加强网络立法工作,建立健全网络监管制度,对预防青少年网络犯罪都有着重要的作用。网络立法应该适应网络虚拟社会的管理需要,与时俱进,让青少年在网络行为中有法可依,有法必依。弘扬社会主义主流网络文化,抵御不良网络文化的侵袭。最后,充分发挥网络媒体这一先进平台的作用,构建网络文明建设,制造和传播具有民族性、创新性、先进性、知识性、娱乐性的信息,丰富网络道德信息资源,抵制网络低俗、媚俗和庸俗以及国外反动言论和不良信息的散播,坚决取缔网络传播暴力、色情等不健康内容或者进行反动宣传的网站。
第三,建立“三位一体”的教育体系,充分发挥各自的优势,全面提高青少年网络伦理道德素质。坚持学校、家庭、社会教育相结合,通过三者之间的良性互动,发挥合力作用。学校是青少年的集中之地,是进行学习的主要场所,学校教育具有广泛性和权威性,学校教育形式具有规范性,学生集中,便于组织,教育内容便于统一,教育的时间便于集中安排。而家庭对其子女的网络道德的教育同样是直接的、有效的,家长应主动承担起对子女进行网络道德教育的责任。政府各部门、民间社会团体、网络管理机构等社会机关应当积极宣扬和倡导网络道德原则和行为准则,积极组织教育活动的实施,还应该进行及时的监督和检查。总之,学校、家庭、社会应当有机结合,形成一个齐抓共管的局面。国家应加强对网站监督和管理,为青少年网络道德的培养创造一个良好的外界环境。
伦理道德作为一种人类灵魂和精神的内在支撑力,对青少年的道德教育有着无可替代的积极导向作用。加强网络伦理道德建设有利于青少年的健康成长,将对网络文化的健康发展产生深远的影响。(作者单位:西北民族大学马克思主义学院)
注释:
①《第22次中国互联网络发展状况统计报告》,7月24日.
②马克思,恩格斯.马克思恩格斯选集:第21 卷[M].北京:人民出版社,1995.中国互联网信息中心(CNNIC).
参考文献:
[1]罗国杰.马克思主义伦理学[M].北京:人民出版社,1988.
[2]卢风,肖巍.应用伦理学导论[M].北京:当代中国出版社,2002.
[3]曾长秋,万雪飞.青少年上网与网络文明建设[M].长沙:湖南人民出版社,2009.
[4]尹学才.网络道德问题与网络伦理建构[D].河南大学.2009.
[5]姚佳.网络的发展给社会带来的伦理道德问题[J].2008,(2).
1. 网络环境下的信息安全隐患
只要有程序, 就可能存在安全漏洞, 网络环境下的系统存在的安全漏洞往往给黑客可趁之机, 他们往往会非法占用资源, 通过盗用用户信息达到不必交纳任何费用就可以漫游于信息网络中, 给用户带来经济损失。然而更有些不法之徒利用漏洞篡改毁坏数据并非法修改页面, 做非法链接然后将病毒植入下载包中, 最终会使得服务器彻底奔溃。我国目前约有76.3%的用户使用Windows, 而WIN95和WIN98就曾经存在着将用户信息发送到微软网站的后门系统, 约有0.4%的用户安装Linux操作系统, Linux操作系统是一个源代码完全公开的系统, 它的安全性也是相对而言, 于是才会产生中间件这种安全隔离模块。如何保障我国网络及信息安全, 在使用中大部分用户的操作系统对于安全漏洞的封堵形式就是“打补丁”, 然而打补丁只是治标不治本, 无法从根本上解决问题。要真正的获得信息网络安全的可控权, 那就是需要自主, 进行国产化。国产化并不仅要技术水平与国外水平相当, 更重要的是符合我国国情, 符合我国信息化安全的各项法律法规所规定的权限。
2. 管理漏洞带来的安全隐患
对于一个系统而言, 网络安全不仅仅是技术问题, 也是管理问题。在病毒和漏洞出现前期, 应该及时进行各种查杀并及时打补丁, 但在实际操作中, 少数管理员由于信息安全意识落后, 往往会忽略这些安全问题, 放任病毒流窜于网络中, 并不能主动维护系统安全;还有部分单位行政管理要求的权限与信息化系统管理权限不匹配, 导致系统管理员权限过大, 而管理员本身可能行政级别较低, 他获得的过大权限往往是因为他有责任使系统运行正常;还有个别系统管理员忧患防范意识薄弱, 一个管理员账户多人使用、管理密码从不更换等情况屡见不鲜, 由于这种情况的发生, 往往无法确认网络上管理人员的身份, 这样常常会发生对所收、发信息的事后抵赖并通过管理员账户篡改系统信息, 所以通过这些有管理漏洞的系统收到的信息, 其可信性将会大大降低。试想, 假如在一场招投标的过程中, 有人通过管理员账户修改了网站的招标公告信息, 那么后果将会不堪设想。管理漏洞的发生, 说明在有先进技术支持的前提下, 同时也要建立健全各项规章制度, 建立有效的管理监督机制。
3. 如何进一步加强网络安全与规范网络环境
网络安全问题究其本质也就是信息安全。一个网络系统为了保障其自身的安全必须采取一定的网络安全防范措施。几年前, 我国网络建设的软件和硬件产品基本上依赖于从国外进口。但是目前我国自主开发研究的网络安全产品也陆续面市。选择网络安全产品是保障整个网络安全的第一道防线, 也就是技术防线。现在国内市场中安全产品种类繁多、功能齐全, 其中防火墙可以全面、有效地保护网络不受侵害。根据调研, 目前我国国产防火墙约有131个产品, 防火墙的功能早已从简单的封包过滤向多元化发展, 其功能已涵盖应用代理、防病毒、实时监控、VPN、入侵检测、安全审计、集封包过滤等多种功能, 这和国外的同一类型产品技术水平差距已经逐步缩小。其次我们可以规划完善整个网络信息安全体系。在一个完整的安全体系中, 密码是保障技术中的核心, 不同于美国, 我国对现有技术平台缺陷和后门程序的担心, 正自主从密码算法、加密芯片等关键技术上进行全面的开发研究, 并力争尽快提出自己的PKI国家标准体系。
在这项技术成熟之前, 如何解决密码安全问题, 现在实际应用中最常见的有硬件加密锁, 也就是俗称的加密狗, 其目的是通过对软件与数据的保护防止知识产权被非法使用。其优点是保持原版软件的稳定性, 杜绝了解密不彻底的现象, 缺点就是是不支持软件的升级。诸如此类的网络安全产品还有很多这里就不加累述了。除了密码这个核心, 我们还需要安全协议这座桥梁, 通过它我们对实体之间可以安全地分配密钥。有了核心和桥梁, 安全芯片就是整个安全体系中的关键部件。以上的安全体系我们都可以通过各类技术手段来解决, 然而我们还缺失很重要的一环, 就是安全体系的保障, 那便是我们的第二道重要防线:监督管理。
诸多信息网络安全问题的背后, 往往是对信息安全的忽视和侥幸心理, 所以我们要完善各项规章制度, 加强系统管理人员职业素质和人员安全管理, 加强业务连续性管理, 规范技术操作行为, 一旦系统受到破坏, 要尽快实施灾难恢复机制, 恢复系统正常运行。灾难恢复机制主要包含数据备份、风险分析、网络事件安全监测、攻击预警、阻断攻击、事件监测, 同时要通过高科技工具, 进行痕迹跟踪, 提供犯罪分子的犯罪线索以及犯罪依据。2001年国家信息安全办公室与公安部共同进行了我国首次计算机病毒疫情网上调查工作。通过调查表明:我国计算机病毒的感染率高达73%, 重复感染三次以上的用户比例达到59%, 感染病毒后, 遭受病毒破坏的比例达到43%。通过调查结果来看, 我国目前病毒主要的传播途径还是盗版光盘等存贮介质, 但是通过网络传播的比例在迅猛增加, 为了进一步加强我国对病毒的防治能力, 国家计算机网络与信息安全管理中心和公安部决定在我们病毒防治产品检验中心的基础之上, 建立国家计算机病毒应急处理中心。与此同时, 我们还要加快软件正版化进程, 建立长效机制, 规范正版软件采购与安装, 防止盗版软件的安全漏洞和隐蔽信道等不安全的因素对信息网络系统的侵害, 从根本上清除盗版光碟、软件这些病毒常见载体。除此以外, 我们还应该加强加快法制建设力度, 规范网络环境也是我国目前解决信息网络安全的重要手段之一。
目前, 我国出台的信息安全保密的国家法律有6条, 信息安全保密的行政法规和规章已约有18条, 各级行政区也有相应的法律法规出台, 这些法律法规的出台会有效的打击网络安全犯罪, 净化网络环境的同时, 对于计算机犯罪这种新型犯罪类型提供了法律依据。
信息网络安全问题并不仅仅是技术问题, 而是技术和监管的结合体。我们在保障安全产品性能的同时, 可提高市场准入门槛, 完善各项标准和规范, 从而进一步提高信息网络安全。
摘要:随着全球信息化发展, 信息安全问题日益突出, 本文对于如何加强网络安全与规范网络环境进行了简要分析。
关键词:网络安全,信息安全
参考文献
[1]杨义先.网络信息安全与保密[M].北京:北京邮电大学出版社, 1999
[2]刘宝旭, 许榕生.网络安全关键技术[J].信息网络安全, 2005, (7) .
[3]彭彩红, 罗庆云.计算机网络安全分析与防范技术[J].南华大学学报 (自然科学版) , 2005, (2) .
【关键词】网络安全 信息网络 入侵检测 数据备份
网络的发展使信息的获取,传递,处理和利用更加迅速高效,虽然计算机网络给人们带来了巨大的便利,但互联网是一个面向大众的开放系统,对信息的保密和系统的安全考虑得并不完备,存在着安全隐患,安全形勢也日趋严峻,因而解决网络安全问题刻不容缓,本文通过对网络安全存在的威胁进行分析,总结出对威胁网络安全的几种典型表现形式,从而归纳出常用的网络安全的防范措施。
一、网络安全风险分析
1.网络结构的安全风险分析
企业网络与外网有互连,基于网络系统的范围大、涵盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息,假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
2.操作系统的安全风险分析
所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。从安全角度考虑,其表现为装了很多用不着的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。
3.应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的,应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
4.管理的安全分析
管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解;把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险;内部不满的员工有的可能造成极大的安全风险。
二、计算机网络安全存在的威胁
1.常见的计算机网络安全威胁
主要包括:信息泄露、完整性破坏、拒绝服务、网络滥用。信息泄露:它是指信息被透漏给非授权的实体,常见的能够导致信息泄露的威胁有: 网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵犯、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼;完整性破坏:可以通过漏洞利用、物理侵犯、授权侵犯、病毒,木马,漏洞来等方式实现;拒绝服务攻击:对信息或资源可以合法的访问却被非法的拒绝或者推迟与时间密切相关的操作;网络滥用:合法的用户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。
2.常见的计算机网络安全威胁的表现形式
主要有:窃听、重传、伪造、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒。
三、网络安全解决方案
1.网络结构的安全
网络结构布局的合理与否,也影响着网络的安全性对银行系统业务网,办公网,与外单位互联的接口网络之间必须按各自的应用范围,安全保密程度进行合理分布,以免局部安全性较低的网络系统造成的威胁,传播到整个网络系统,所以必须从两个方面入手,一是加强访问控制:在内部局网内可以通过交换机划分VLAN功能来实现;或是通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制,也可以配备应用层的访问控制软件系统,针对局域网具体的应用进行更细致的访问控制。二是作好安全检测工作:在局域网络的共享网络设备上配备入侵检测系统,实时分析进出网络数据流,对网络违规事件跟踪,实时报警,阻断连接并做日志。
2.操作系统的安全
对操作系统必须进行安全配置,打上最新的补丁,还要利用相应的扫描软件对其进行安全性扫描评估,检测其存在的安全漏洞,分析系统的安全性提出补救措施,管理人员应用时必须加强身份认证机制及认证强度尽量采用安全性较高的网络操作系统并进行必要的安全配置,关闭一些起不常用却存在安全隐患的应用,对一些关键文件使用权限进行严格限制,加强口令字的使用,及时给系统打补丁,系统内部的相互调用不对外公开。
3.应用的安全
确保计算机网络应用的安全,主要从以下几个方面做好安全防范工作:①配备防病毒系统,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护;②做好数据备份工作,最安全的,最保险的方法是对重要数据信息进行安全备份,如果遇到系统受损时,可以利用灾难恢复系统进行快速恢复;③对数据进行加密传输,保护数据在传输过程中不被泄露,保证用户数据的机密性,数据加密的方法有从链路层加密,网络层加密及应用层加密;④进行信息鉴别,为了保证数据的完整性,就必须采用信息鉴别技术,VPN设备便能实现这样的功能,数据源身份认证也是信息鉴别的一种手段,它可以确认信息的来源的可靠性,结合传输加密技术,我们可以选择VPN设备,实现保护数据的机密性,完整性,真实性,可靠性。
4.管理的安全
安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高,行为的约束只能通过严格的管理体制,并利用法律手段来实现,因而这些必须在电信部门系统内根据自身的应用与安全需求,制定安全管理制度并严格按执行。
四、计算机网络安全的防护措施
防护措施有防火墙:目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。
访问控制:对用户访问网络资源的权限进行严格的认证和控制。
数据加密:对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。
病毒的防护:在企业培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。
许多网络安全事件的发生都与缺乏安全防范意识有关,所以,我们要有网络安全防范意识并建立起相应的安全机制(比如:加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、信息流填充机制、路由控制机制、公正机制等)就可以使网络安全得到保障。
参考文献:
[1]文东,陈天凯。计算机毕业设计基础与项目实训。北京:科海电子出版社,2009
[2]IBON.Marshield网络安全技术白皮书[p].艾邦公司,2002
【网络安全问题浅析】推荐阅读:
对网络安全问题的思考07-10
中学生德育工作及学生安全问题浅析09-10
浅析大专院校体育教学中的安全问题06-17
浅析网络时代信息传播06-26
浅析智能光网络技术及发展06-10
市县国土资源管理网络化浅析05-24
网络反腐问题研究05-26
网络道德与网络安全07-21
浅析电力工程施工安全管理06-17
网络安全安全责任书06-26
