开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全防范论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
为了提高校园网的安全系数,应建立可靠的拓扑结构,其中包括备份链路、必要的网络防火墙以及VPN的构建。具体过程如下:
2.1利用备份链路优化校园网的容错能力
备份链路的使用可有效提高网络的容错能力,降低安全风险。主要应用于路由器同系统核心交换机之间,其作用在于对学生连接的外网进行检验和排查,控制非法连接,从而提高被访问网页的安全系数。在核心交换机之间同样可进行双链路连接和端口聚合技术,从而确保链路之间的备份,提高交换带宽。
2.2计算机防火墙的合理应用
计算机防火墙在校园网安全中起着决定性的作用。通过防火墙的建立,可拦截存在安全隐患的网页。操作人员可在防火墙上预设适当的安全规则ACL,对通过防火墙的数据信息进行检测,处理存在安全隐患的信息,禁止其通过,这一原理使得防火墙具有安装方便,效率高等特点。在计算机系统中,防火墙实际上是外网与内网之间连接的唯一出口,实现了二者之间的隔离,是一种典型的拓扑结构。根据校园网自身特点,可对这一拓扑进行调整,将防火墙放置于核心交换机与服务器群中间。其主要原因为:防止内部操作人员对计算机网络系统发起攻击;降低了黑客对网络的影响,同时实现对计算机网络系统的内部保护和外部保护,使流经防火墙的流量降低,实现其高效性。但是随着科技的发达,网络木马的类型逐渐增多,这要求防火墙技术也要不断的更新,以发挥其积极作用。将计算机防火墙同木马入侵检测紧密结合在一起,一旦入侵检测系统捕捉到某一恶性攻击,系统就会自动进行检测。而这一恶性攻击设置防火墙阻断,则入侵检测系统就会发给防火墙对应的动态阻断方案。这样能够确保防火墙完全按照检测系统所提供的动态策略来进行系统维护。
2.3VPN的构建
VPN主要针对校园网络的外用,尤其是针对出差人员,要尽量控制其使用校内网络资源。如必须使用,则要构建VPN系统,即在构建动态的外部网络通往校园网的虚拟专用通道,也可建立多个校园网络区域之间的VPN系统连接,提高安全防护效率。
2.4网络层其他安全技术
网络层其他安全技术主要体现为:防网络病毒和防网络攻击。现在网络病毒对网络的冲击影响已经越来越大,如:非常猖狂的红色代码、冲击波等网络病毒,所以有必要对网络病毒继续有效的控制;而网络中针对交换机的攻击和必须经过交换机的攻击有如下几种:MAC攻击、DHCP攻击、ARP攻击、IP/MAC欺骗攻击、STP攻击、IP扫描攻击和网络设备管理安全。
3校园网的安全管理方案
计算机管理也是校园网安全的主要控制方案。在促进管理效率提高的过程中,主要可以采取VLAN技术、网络存储技术和交换机端口安全性能提高等方案,具体表现为以下几个方面:
3.1应用VLAN技术提升网络安全性能
VLAN技术是校园网安全管理中应用的主要技术,这一技术的应用有效的提高了计算机安全管理效率,优化了设备的性能。同时对系统的带宽和灵活性都具有促进作用。VLAN可以独立设计,也可以联动设计,具有灵活性,并且这一技术操作方便有利于资源的优化管理,只要设置必要的访问权限,便可实现其功能。
3.2利用网络存储技术,确保网络数据信息安全
校园网络数据信息安全一直是网络安全管理中的主要任务之一。除了技术层面的防火墙,还要求采用合理的存储技术,确保数据安全。这样,不但可以防止数据篡改,还要防止数据丢失。目前,主要的存储技术包括DAS、RAID和NAS等。
3.3配置交换机端口控制非法网络接入
交换机端口安全可从限制接入端口的最大连接数、IP地址与接入的MAC地址来实现安全配置。对学生由于好奇而修改IP地址的行为具有控制作用。其原理在于一旦出现不合理操作,将会触发和该设备连接的交换机端口产生一个违例并对其实施强制关闭。设置管理员权限,降低不合理操作。配置交换机端口可实现将非法接入的设备挡在最低层。
4总结
随着信息产业的高速发展,众多企业都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。
关键字:信息系统信息安全身份认证安全检测
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一、目前信息系统技术安全的研究
1.企业信息安全现状分析
随着信息化进程的深入,企业信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。
对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低。
2.企业信息安全防范的任务
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:
从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。
二、计算机网络中信息系统的安全防范措施
(一)网络层安全措施
①防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
②入侵检测技术
IETF将一个入侵检测系统分为四个组件:事件产生器(EventGenerators);事件分析器(EventAnalyzers);响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID(IntrusionDetection):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(CSignature-Based),另一种基于异常情况(Abnormally-Based)。
(二)服务器端安全措施只有正确的安装和设置操作系统,才能使其在安全方面发挥应有的作用。下面以WIN2000SERVER为例。
①正确地分区和分配逻辑盘。
微软的IIS经常有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。本系统的配置是建立三个逻辑驱动器,C盘20G,用来装系统和重要的日志文件,D盘20G放IIS,E盘20G放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。因为,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
②正确
地选择安装顺序。
一般的人可能对安装顺序不太重视,认为只要安装好了,怎么装都可以的。很多时候正是因为管理员思想上的松懈才给不法分子以可乘之机。Win2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000SERVER之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装,尽管很麻烦,却很必要。
(三)安全配置
①端口::端口是计算机和外部网络相连的逻辑接口,从安全的角度来看,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性——TCP/IP——高级——选项——TCP/IP筛选中启用TCP/IP筛选,不过对于Win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口;这样对于需要开大量端口的用户就比较麻烦。
②IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,所以在本系统的WWW服务器采取下面的设置:
首先,把操作系统在C盘默认安装的Inetpub目录彻底删掉,在D盘建一个Inetpub在IIS管理器中将主目录指向D:\Inetpub。
其次,在IIS安装时默认的scripts等虚拟目录一概删除,这些都容易成为攻击的目标。我们虽然已经把Inetpub从系统盘挪出来了,但这样作也是完全必要的。如果需要什么权限的目录可以在需要的时候再建,需要什么权限开什么。特别注意写权限和执行程序的权限,没有绝对的必要千万不要给。
③应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指出的是ASP,ASP和其它确实需要用到的文件类型。我们不需要IIS提供的应用程序的映射,删除所有的映射,具体操作:在IIS管理器中右击主机一属性一WWW服务编辑一主目录配置一应用程序映射,然后就一个个删除这些映射。点击“确定”退出时要让虚拟站点继承刚才所设定的属性。
经过了Win2000Server的正确安装与正确配置,操作系统的漏洞得到了很好的预防,同时增加了补丁,这样子就大大增强了操作系统的安全性能。
虽然信息管理系统安全性措施目前已经比较成熟,但我们切不可马虎大意,只有不断学习新的网络安全知识、采取日新月异的网络安全措施,才能保证我们的网络安全防御真正金汤。
参考文献:
刘海平,朱仲英.一个基于ASP的在线会员管理信息系统.微型电脑应用.2002(10)
东软集团有限公司,NetEye防火墙使用指南3.0,1-3
贾晶,陈元,王丽娜编著,信息系统的安全与保密,第一版,1999.01,清华大学出版社
EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
杨兵.网络系统安全技术研究及其在宝钢设备采购管理系统中的应用:(学位论文).辽宁:东北大学,2002
刘广良.建设银行计算机网络信息系统安全管理策略研究:(学位论文).湖南:湖南大学.2001
关键词:长庆油田网络安全防范
0引言
1长庆油田网络管理存在的问题
长庆油田公司计算机主干网是以西安为网络核心,包括西安、泾渭、庆阳、银川、乌审旗、延安、靖边等7个二级汇聚节点以及咸阳等多个三级节点为架构的高速广域网络。网络庞大,存在的问题也很多,这对日常网络管理是一份挑战,由于管理的不完善,管理存在以下几个方面问题:
1.1出现问题才去解决问我们习惯人工战术,习惯凭经验办事。网络维护人员更像是消防员,哪里出现险情才去扑救。设备故障的出现主要依靠使用者报告的方式,网管人员非常被动,无法做到主动预防,无法在影响用户使用之前就预见故障并将其消除在萌芽状态。因此,这种维护模式已经很难保障网络的平稳运行,能否平稳影响网络安全与否。
2网络安全防范措施
计算机网络的安全性可以定义为保障网络服务的可用性和网络信息的完整性,为了有效保护网络安全,应做好防范措施,保证网络的稳定性,提高网络管理的效率。
2.1完善告警机制,防患于未然告警监控是一种手段,设备维护人员、网络分析人员需要通过告警信息去分析、判断设备出现的问题并尽可能的找出设备存在隐患,通过对一般告警的处理将严重告警发生的概率降下来。告警机制的完善一般从告警信息、告警通知方式两方面着手:
例如同样为出口防火墙,西安与银川的各项性能阀值的设置也不尽相同,西安的会话数达到25万,而银川的超过20万就发出同样的告警。再比如,西安电信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因为这个时候在线用户很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要发出告警信息。
通过以上两个方面,我们可以建成一个完善的故障告警系统,便于隐患的及时消除,提高了网络的稳定性。
说明:2009-10-11日17:05,庆阳、延安、靖边、银川四个区域的T1200-02的连接西安的2.5GPOS口,泾渭T1200-01连西安的2.5GPOS口,以及西峰、吴起连接庆阳汇聚交换机Z8905-02的千兆光口,以上接口同时发出中断告警。
因此,综合告警信息与全网拓扑图,当出现大规模告警的情况下能够非常高效地找出故障源,避免了一步步繁琐的人工排查,从而达到有效提高故障的解决效率,提高了网络的稳定性。
2.3全网资源管理的动态化
2.3.1通过对网管系统的二次开发,实现全网动态资源分析,他的最重要特点就是动态,系统通过PollingEngine从设备上自动提取资料数据,如设备硬件信息、网络运行数据、告警信息、发生事件等。定时动态更新,最大限度的保持与现网的一致性。
2.3.2通过一个集中的浏览器界面上就可以快速、充分地了解现有网络内各种动态和静态资源的状况,彻底转变了传统的网络依赖于文字表格甚至是依赖于维护人员的传统维护模式,变个人资料为共享资料。
2.4提高安全防范意识只要我们提高安全意识和责任观念,很多网络安全问题也是可以防范的。我们要注意养成良好的上网习惯,不随意打开来历不明的电子邮件及文件,不随便运行陌生人发送的程序;尽量避免下载和安装不知名的软件、游戏程序;不轻易执行附件中的EXE和COM等可执行程序;密码设置尽可能使用字母数字混排;及时下载安装系统补丁程序等。
总之,影响网络稳定的因素有很多,本文基于日常网络安全管理经验,从日常网络管理的角度,提出一些安全防范措施,以期提高网络稳定性。
参考文献
[1]石志国,计算机网络安全教程,北京:清华大学出版社,2008.
[2]张庆华,网络安全与黑客攻防宝典,北京:电子工业出版社,2007.
[论文摘要]随着高职院校数字校园建设的推进和信息系统的广泛应用,网络信息安全问题也随之不断涌现,这就要求我们必须对网络危险信号的入侵有所预测。本文建立了一套高效、通用、安全的高职院校数字化校园网络安全防控体系,确保高职院校数字化校园的网络安全。
1引言
随着高职院校数字校园建设的推进和信息系统的广泛应用,也产生了网络信息安全的问题。信息时代,信息可以企业或个人受益,一些不法分子也会盗取破坏信息来谋利。因此,当今计算机网络安全已经上升为焦点问题。
计算机网络安全包括组成网络系统的硬件、软件及在网络传输过程中信息的安全性,使其不遭受破坏。网络安全既有技术方面的问题,也有管理方面的问题。本文建立一个高效、通用、安全的高职数字化校园网络安全防控体系,进而提高工作效率,降低风险,减少不必要的损失。
2高职数字化校园网络安全防控体系
高职数字化校园网络安全防控体系需要具有前瞻性,从而加强计算机的网络安全性的防控。
2.1物理实体安全防控策略
物理实体安全策略目的是保护网络服务器、计算机、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击等。
(1)硬件环境。服务器机房的建设要严格按照国家统一标准进行建设。并将配电室、空调间、计算机机房等连接计算机系统的重要部门进行严格管理,同时配备防火、防水、防雷、防震、防盗、防磁等设备。
(2)设备维护。建立维护日志管理系统。对计算机及网络设备定期检修、维护,并作好检修、维护日志记录。对突发安全事故处理有应急预案,对主要服务器及网络设备,需要指派专人负责,发生故障确保及时修复,力求所有设备处于最佳运行状态。
(3)安全管理制度。制定健全的安全管理体制,不断地加强计算机信息网络的安全规范化管理力度,强化使用人员和管理人员的安全防范意识,尽可能地把不安全的因素降到最低,从而使广大用户的利益得到保障。
2.2网络安全隔离防控策略
网络安全隔离防控策略具体如下:
(1)路由器。网络架构的第一层设备就是路由器,它也是黑客攻击的首要目标。所以,路由器必须设置一定的过滤规则,用以滤掉被屏蔽的1p地址及服务。
(2)防火墙。防火墙是用于限制被保护校园网内部网络与外部网络之间进行信息存取、传递操作,是防止“黑客”进入网络的防御体系。它所处的位置在内部网络与外部网络之间。它是根据连接网络的数据包来进行监控的,掌管系统的各端口,对其进行身份核实,限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。如分布式防火墙。
(3)ids(入侵监测系统)。它是安装在计算机网络的关键部位,负责监测网络上所有的包,用来实时监测网络和信息系统访问的异常行为。其目的就是捕捉危险或有恶意的动作.并及时发出警告信息。与防火墙的区别之处是按用户指定的规则对端口进行实时监测、扫描,及时发现入侵者,能识别防火墙通常不能识别的攻击,如来自企业内部的攻击。
(4)网闸。它是物理隔离与信息交换系统,运用物理隔离网络安全技术设计的安全隔离系统。当企业网内部的生产系统因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性时,物理隔离与信息交换系统能够对内部网络与不可信网络进行物理隔断,可以及时阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能。
(5)访问控制。它是网络安全防控的核心策略之一,其目的是保证网络资源不被非法使用和访问。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。传统的访问控制策略包括自主访问和强制访问,为考虑网络安全和传输流,目前采用的是基于对象和任务的访问控制。
2.3网络主机安全防控策略
网络主机的安全防控策略对保护数字化校园的网络安全至关重要,具体包括如下几个方面:
(1)操作系统的安全。网络主机操作系统的安全极为重要,首先要确保是正版的操作系统,并实时更新。然后要保证以下几个内容:操作系统的裁剪,不安装或删除不必要使用的系统组件;操作系统服务裁剪,关闭所有不使用的服务和端口,并清除不使用的磁盘文件;操作系统漏洞控制,在内网中建立操作系统漏洞管理服务器。
(2)数据库的备份与恢复。数据库的备份与恢复可以确保数据安全性和完整性,备份策略包括只备份数据库、备份数据库和事务日志、增量备份。做好数据的备份是解决数据安全问题的最直接与最有效措施之一,如双机热备份、异地备份。
(3)密码技术。它是信息安全核心技术,为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一。
(4)病毒防护。安装病毒防火墙、杀病毒软件,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。
(5)数字签名与认证。应用系统须利用ca提供的数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保证文件和数据的完整性以及防止源发送者抵赖。
(6)虚拟机技术及其虚拟网络环境。虚拟机是支持多操作系统并行在单个物理服务器上的一种系统,能够提供更加有效的底层硬件使用。虚拟机能在同一台电脑使用好几个os,不但方便,而且可安全隔离。
3结论
总之,高职院校数字化校园的发展及应用,方便了信息的共享、交流与获取的同时,网络安全的重要性也越显突出。本文构建了一套网络安全防控体系,全方位,多角度地实时防控,确保数字化校园的网络安全。安全管理制度是安全的基石,技术是安全的保障,执行是安全的防线,从而提高网络安全性,并不断增强全意识,完善安全技术,补充安全策略,加强安全教育和安全管理,从而提高防范风险的能力。
[1]熊晨潞.计算机网络安全与防范措施的认识[j].华章,2008(18).
[2]吴建军.2010年计算机网络安全前瞻[j].科技传媒,2010(9).
[3]苏姗娜.浅谈计算机网络安全[j].电工理工,2008(1).
关键词网络安全防火墙
中图分类号:TP391文献标识码:A
1网络安全技术
网络安全技术指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段。主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
网络安全技术分为:虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术以及应用系统的安全技术。
其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan,但是其安全漏洞相对更多,如IPsweep,teardrop,sync-flood,IPspoofing攻击等。
防火墙枝术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、型、以及检测型。
病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞,并采取相应防范措施,从而降低网络的安全风险而发展起来的一种安全技术。
认证和数字签名技术,其中的认证技术主要解决网络通讯过程中通讯双方的身份认可,而数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据,所以有一定的不安全性。
应用系统的安全技术主要有域名服务、WebServer应用安全、电子邮件系统安全和操作系统安全。
2防火墙介绍
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而是一种获取安全的形象说法,它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
3防火墙技术发展趋势
防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求:
远程办公的增长。全国主要城市先后受到SARS病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
内部网络“包厢化”(compartmentalizing)。人们通常认为处在防火墙保护下的内网是可信的,只有Internet是不可信的。由于黑客攻击技术和工具在Internet上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。
由于无线网络的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”,对每个“包厢”实施独立的安全策略。
4结论
[1]周良洪.信息网络安全概论[M].群众出版社,2009:89-100.
[2]邵波.计算机安全技术及应用[M].电子工业出版社,2010:11-100.
[3]庞南.信息安全管理教程[M].中国人民公安大学出版社,2011:45-78.
论文摘要:网络安全建设是确保高职院校图书馆正常提供各种数字化服务的重要工作,也是构建高职院校安全稳定数字图书馆的重要组成部分。本文作者基于高职院校数字图书馆网络安全影响因素分析,结合网络安全管理工作的实际,提出了高职院校数字图书馆的网络安全管理策略。
一、前言
二、高职院校数字图书馆的网络安全概述
网络安全涉及的保护对象为网络系统中的硬件、软件及系统中的数据。因此,高职院校数字图书馆网络安全管理也可以概括为对维护高职院校数字图书馆这一网络系统中的硬件、软件及数据的正常安全运行的一系列管理工作内容。
三、高职院校数字图书馆的网络安全影响因素
当下,大部分高职院校搭建网络时选择采用树型加星型的混合型拓扑结构,采用以太网标准,用五类或超五类双绞线进行综合布线,将宽带或专线接入网络中的路由器,从而与外网相联,最终实现信息交换,同时在多校区院校多数采用光纤进行中长距离连接。而高职院校数字图书馆依建在学院的计算机大网络系统中,成为其一部分,因此大网络的安全管理对数字图书馆的安全存在着不可忽视的影响。除此之外,还有以下几点涉及数字图书馆日常管理中的影响因素。
(一)计算机技术应用的影响因素
黑客、木马、病毒这类危害网络安全的计算机技术发展迅速,相应的各类防病毒技术也日新月异,计算机技术应用层次成为影响网络安全的重要影响因素。
1.硬件技术因素。部分高职院校计算机网络受旧有规划、经费限制等原因制约,以致网络设备老旧换代缓慢,致使网络运行稳定性、兼容性差。
2.软件技术因素。大量的计算机病毒和木马在互联网上传播,而其中的大部分病毒和木马都是利用了用户计算机上的各种软件系统的漏洞进行传播与扩散。越来越多的通讯及共享软件技术在系统普通用户中推广应用,加速了形式多样的安全漏洞的出现。在新的软件技术推广应用过程中,往往忽略了对其安全管理的培训。
(二)人员配备因素
虽然随着图书馆信息化的进一步深入,不少高职院校图书馆采取了一系列措施来解决网络安全人才配备的问题,如引进计算机专业人才、增加现有工作人员的网络安全技术培训等。但这些只是初步改善了网络安全管理人才上的数量配置问题,而事实上由于人员所拥有的经验、专业系统性等方面因素也存在着差异,最终影响网络安全管理效果。同时各级管理人员及基层操作人员在安全水平与意识上也存在着一定的差异,往往造成上下理解不同,操作无法规范化,致使网络安全方面的措施很难达到预期的成效。
四、高职院校数字图书馆的网络安全管理策略
(一)建立和落实网络安全管理制度
作为加强高职院校数字图书馆网络安全管理的重要措施,必须提高全馆对网络安全管理规范化重要性的认识,从而建立健全网络安全管理规章制度。网络安全管理制度主要可从以下几方面建立。
1.建立网络硬件维护、使用及维修制度。
定期做好网络安全管理系统硬件设备的维护和保养是加强数字图书馆网络安全管理在硬件技术方面的重要措施。在日常工作体系中,针对中心机房、服务器、中心交换机、二级交换机和hub等网络中的关键设备的维护和保养,建立周期性的检查、维护制度,明确各类设备的管理与使用责任分工至具体管理人员,建立维修文档跟踪机制,确保网络安全管理系统运转顺畅。
在周期性的维护工作期间,要重视设备所处环境的卫生状况。良好的外部环境在一定程度上影响着这些硬件设备的使用寿命及效果。因此,要保持环境的通风低温、电源常通电压稳定,减少设备的意外断电情况。定期进行环境清洁,尽可能保持密闭,避免过多的灰尘堆积。根据天气的变化,对设备进行防潮防燥工作。
为数字图书馆系统配备相应的备份、系统恢复硬件设备,这些设备属于保证网络安全系统正常运行的核心。设备更新时,对整体设备的配置及时进行调整,以做到新旧结合合理,并达到物尽其用。
对于受客观条件限制而必须设置在外部环境下使用的设备要进行定期的检查,发现物理损坏要及时维修更替。
2.建立软件维护及使用制度。
操作系统软件作为支撑软件是用户和计算机的接口,控制网络用户对网络系统的访问及数据的存取,但无论是windowsnt还是unix或linux都存在着后门,为病毒侵入和黑客攻击留下了可乘之机[1]。每周应固定对服务器及操作机器进行杀毒、病毒库升级及系统升级工作,及时填补安全漏洞。
应用软件作为满足用户应用需求而提供的那部分软件,拓宽了操作系统的应用领域。但同时在使用过程中,也增加了因其不完善性造成的网络安全漏洞,因此在应用软件使用及选择上应进行规范控制,特别是针对基层计算机的应用软件安装管理上。在满足业务需要的同时应适当规范使用范围,例如:对于p2p软件,应限制在少数业务计算机中使用。对于前台检索机的ie浏览器应设置严格的上网分级审查级别,避免读者在使用时误入不良网站而引起病毒及木马感染,从而影响整个数字图书馆系统的网络安全。
除对以上三类软件建立日常维护制度外,同时把周期性的系统备份及数据备份列入软件维护制度中。例如:对数字资源服务器的整体操作环境和重要的数据库系统进行备份,以避免在出现重大网络安全事故导致数字图书馆系统数据出现丢失时,无法尽快恢复或重建系统数据。
3.建立突况处理机制。
数字图书馆系统较常发生的突况分为:一是自然灾害,指天灾引起的网络与系统的损坏;二是事故灾难,指电力中断、设备故障引起的网络与系统的损坏;三是人为破坏,指人为破坏网络设备设施,黑客攻击等引起的系统无法正常运行。
网络安全突发事件虽然有不可预见性,但在长期的实践过程中,也可摸索出一般的发生规律。而针对其建立的处理机制,就是立足对规律的总结,做好事前的预防及事后的补救工作。例如:在特殊气候来临前,设备的提前转移,环境的检查加固;在系统无法正常运行时,起用备用系统的处理流程,等等。
4.制定网络安全管理人员操作手册。
在加强网络安全管理专业队伍的建设中,除了选派配备责任心强、网络应用技术熟练的人员担任管理职务外,并要建立一套有明确指引的网络安全管理人员操作手册,以保证管理人员在处理各项网络安全事务时,有根可寻、有源可溯,以避免因失误操作引起进一步的安全问题。
(二)加强各级用户的网络安全培训
为达到最佳效果,各类培训应根据人员特质来设定。专职专岗的管理人员多参与校外最新专业技能的培训课程;部门工作人员的培训内容以日常操作规范、防病毒及系统优化等内容为主。而普通读者在每年的新生教育中,融入上网守则、计算机的信息安全保护和病毒防范等知识的培训。
五、结语
随着数字图书馆的快速发展,严防黑客入侵、努力保障网络安全,不但是高职院校图书馆信息化发展的基本需求,而且对全院的整体数字信息化发展起着重要的作用,所以各级领导与工作人员应该对网络安全问题给予高度的重视。通过实施有效的高职院校数字图书馆的网络安全管理策略能有效减少数字图书馆系统受网络安全隐患的困扰。但要构建和维护一个长期稳定的数字图书馆运行网络环境和更好地为读者提供优质服务,并不是几个人或短期行为就能解决的事,更需要建立加强安全教育和培训,增强安全防范的意识,采取安全防范技术措施,提高网络安全水平和防范能力,降低各种不安全因素的长效工作机制。
[1]孟庆昌,朱欣源.操作系统.北京:电子工业出版社,2009.
论文摘要:安全问题是目前发生在我国高校的常见重要问题,实施安全教育对于在校学生尤其重要。国内研究者对此已进行了大量的研究和探讨,本文根据大量文献资料,从安全教育的定义、内容、存在的问题、对策四方面对已有研究进行了总结,探寻已有研究所取得的成果并分析已有研究中存在的问题,在此基础上,预测高校安全教育研究的发展趋势。
一、关于安全教育定义的研究
一般说来,关于高校安全教育有着统一规范的定义,所以关于安全教育的定义研究是非常少的。如古月娟、白海琦认为“大学生的安全教育是指高校管理者和教育者以党和国家的有关政策与法律为依据,以全面提高大学生的综合素质为目标,以大学生在校期间以及步入社会面临的安全问题为主要内容,以已涉及大学生的安全问题为典型案例,对学生进行法律知识、安全防范知识、学校安全管理制度和心理健康知识教育,使在校大学生系统地掌握安全知识和防范能力。”这一点黄维平、韦帮得也是认同的。而王能武认为“高校安全教育是指高等学校为维护大学生的人身、财产安全和身心健康,提高大学生的安全防范意识和自我保护技能,从学校实际情况出发,根据国家法律法规的规定,制定各种安全教育与管理的规章制度,并对大学生进行国家法律法规、学校安全规章和纪律、安全知识与防范技能的教育与管理活动。”总的说来,高校安全教育定义研究侧重点不同,但这些研究主要认为高效安全教育是指主要针对在校大学生,为了确保在校大学生生活环境、心理环境等的安全而运用一些教育方法而实行的教育措施。
二、关于安全教育内容的研究
关于安全教育的内容的提法很多,很多研究者将安全教育内容分成不同的点,主要有以下几种分类方法:
(一)高校安全教育内容分为三点
古月娟、白海琦在提出新时期大学生安全教育的内容主要为:大学生心理健康教育,大学生网络安全教育,大学生文化安全教育。即认为大学生安全教育主要包括网络安全、心理健康安全和文化安全。
(二)高校安全教育内容分为四点
张玉华、袁成龙提及高校安全教育的内容主要为:“国家安全教育、网络安全教育、心理安全教育和自我保护教育”相比狭隘的高校安全教育,张玉华、袁成龙已拓宽了安全教育的内容,也把国家安全教育放在了重要位置,体现了对国家安全的重视,也有利于培养大学生爱国意识。另外,孙光辉也将新时期大学生安全教育的内容分为四点:“社会注意荣辱观教育、法律法规和校规校纪教育、安全防范知识和技能教育、心理健康教育。”随着现代社会科技发达,交通事业的进步,交通事故也越来越多,交通安全教育与消防安全教育也越来越重要所以关于这方面的研究也是非常必要的。
(三)高校安全教育内容分为五点
姬学民认为大学生安全教育的主要内容为:“基础知识教育即有关安全的基础知识的教育、安全防范和自我保护的教育、进行遵纪守法的教育、国家安全教育和心理健康教育。”法纪法规是为规范人们的行为,打击不法分子制定的。教育大学生学法、知法、懂得依法办事。作为一名大学生应该通过法纪法规学习,知道哪些事能做,哪些事不能做。加强对大学生的法律教育有利于大学生运用法律武器保护自己,所以安全教育中应该包含对大学生法律知识的教育。
(四)高校安全教育内容分为六点
李晓明认为:“自我保护能力的教育、心理安全教育、网络安全和道德教育、消防安全教育、交通安全教育、规章制度教育。”各高校近几年都非常重视制度建设,制定了一系列规章制度。这些规章制度在维护学生的合法权益,保障学生的安全方面发挥了积极的作用。但总有学生违反了这些规章制度,从而造成了一些安全问题,因此,对学生的规章制度教育是非常重要的。杨绪霞,薛刚认为,高等安全教育包括国家安全教育、人身财产安全防范教育、网络安全教育、消防安全教育、交通安全教育和心理安全教育。二者都将安全教育的内容划分的更细更全面。
三、关于目前高校安全教育存在的问题的研究
袁健认为目前高校安全教育存在的问题包括:对大学生安全教育的重视程度不够,安全教育的内容不够,学生安全教育形式单一且缺乏创新。大学生安全教育运行机制不完善且没有形成制度化和规范化。内容不够全面且教育形式单一,导致了高校安全教育的一系列问题。张玉华、袁成龙也认为,目前大学生安全教育存在的主要问题为:大学生安全教育运行机制不完善,大学生安全教育的实施只是走过场,大学生安全教育内容不够完整。谭汝媚认为当前高校对安全教育重视不够,体制不健全,大学生心理健康问题严重,大学生减灾和避灾自救能力相对匮乏,网络安全问题突出。宋江浩认为当前大学生安全教育存在的主要问题有:网络化发展趋势给高校学生安全教育带来问题,大学生网络安全意识相对薄弱;高校后勤社会化管理给高校学生安全教育带来问题,校园外来人口增多,校园住宿条件等都会影响高校学生安全教育;国家教育改革发展给高校学生安全教育带来问题,校外人员参观、访问等也给高校安全教育带来问题;高校扩招给高校学生安全教育带来的问题,在校生人数众多,层次多样,使得校园也更加复杂,安全教育的问题也就更多;交通安全、性安全等也影响校园安全问题。王能武对上述观点也是认同的。
研究者罗列了很多高校安全教育中存在的问题,其中目前高校对于安全教育的重视不够是导致一些安全事故发生的重要原因,高校只有在对安全教育有了足够重视的情况下才能搞好安全教育;另外,研究者也看到了由于社会问题而引发的一些新问题如心理健康教育、网络安全教育、性安全教育等,有利于高校从新的角度去认识安全教育中存在的问题。
四、关于高校安全教育对策研究
高菲提出高校安全教育的对策为:加强大学生安全教育,提高大学生的安全意识;加强大学生心理健康教育,培养大学生健康的心理;加强大学生法制教育,增强大学生法制意识;加强大学生的责任意识。袁健认为切实提高对大学生安全教育工作重要性的认识;大学生安全教育必须步入规范化和制度化的轨道;建立健全大学生安全教育运行机制;采用多种途径开展大学生安全教育。张玉华、袁成龙认为提高大学生对安全教育的认识;加强大学生对安全教育的组织领导;建立大学生安全教育运行机制;做好大学生安全教育的“三进”工作即安全教育进宿舍进课堂进校园网络。
研究者对于高校安全教育建议主要针对安全教育中存在的问题的提出,宏观方面与微观方面都有涉及,但是具体可行性意见却不够。以后的研究可能会针对时展所出现的安全教育的新问题,进行非安全教育定义,而是安全教育存在的问题及安全教育措施的研究,而且这些研究也会越来越重视其实用性。
参考文献:
当今,互联网病毒、木马横行。校园网作为互联网的一部分,其服务的对象主要是教师和学生,对于中职学校来说,学生好奇心强、动手能力较强,他们在学习过程中喜欢对校园网进行研究甚至是破坏,校园网络安全受到了威胁,可谓是内忧外患。论文分析了中职校园网安全方面存在的问题,提出了管理的具体措施和策略。
【关键词】
校园网;安全;措施;策略
近年随着中职学校的快速发展,信息化建设在不断推进,校园网的规模上在扩大,应用在增加,服务师生的能力在增强,我们通过校园网办公更便捷,教学资源更丰富,教学效果更好。但我们清醒地看到校园网络安全也存在很多问题:校园网络拥塞引起的网络崩溃;网络规划不科学,存在Bug;无线网络开放,教室信息点开放,病毒泛滥;校园网建设中,安全性、可扩展性的需求较为明显。
2校园网络安全方面存在的问题
2.1病毒和木马入侵
中职学校的网络资源价值不高,但是安全防护技术低下,已经成为初级黑客实习训练的重要场所。校园网络奇慢,打开网页慢,播放流媒体文件慢。ARP攻击使网络遭受到了ARP入侵,攻击者通过IP地址与MAC地址绑定,在校园网中产生大量的通信量,使校园网络阻塞,或者达到断开其他用户连接,增加被攻击者带宽的目的。
2.2APP攻击
Android软件开发的技术已经开始发酵,目前手机的应用越来越丰富,开发能力和水平越来越高,甚至APP开发和网络应用越来越紧密。开发能够控制网络设备的APP应用已经很常见了,这样就给校园WLAN带来了很大压力。学生的好奇心使然,通过某些APP控制学校的网络设备,向网络发送大量垃圾文件,就会形成APP攻击,导致校园网络出现拥塞。
2.3开放信息点
2.4校园网拥塞
中职学校财力薄弱,为了节约成本,通常采取监控与网络使用公共传输介质,公用同一网段,不建立独立监控网络。另外,近些年中职校的网络教学设备不断增多,多媒体一体机大量投入使用,获取校内教学资源和互联网教学资源占用大量带宽。目前,师生使用手机数量已达每人一部,同时通过APP获取互联网多媒体资源和流媒体业务,导致校园网络带宽不足,网络处理能力不够,产生网络拥塞现象。校园网络崩溃。
2.5技术力量不足
中等职业学校网络拓扑混乱,缺少科学规划。缺少专业的网络管理、网络设计人员,现有技术人员技术能力急需提升。然而,学校网络的规模在日益扩大,网络的应用(业务)在不断丰富,网络结构越来越复杂,技术力量不足的问题也尤为凸显。
3校园网安全管理的措施和策略
3.1网内主机
主机备份。网内重要主机、服务器恢复注册表,不使用共享文件夹。对存放重要资源的主机服务器、应用服务器,要对系统和注册表等信息进行备份。当遭受攻击、瘫痪后可以快速恢复系统和注册表,使系统正常工作。禁止网内使用文件夹共享的方式传送问文件,此方式极容易被工具软件检测到,并利用共享机会向主机埋下病毒或木马。清理僵尸节点。僵尸节点不但节点本身有病毒,反应慢,而且会感染相邻节点,具有传播特性。对网络节点进行排查,清理带有大量病毒的主机节点,关闭没有重要业务的计算机和服务器。
3.2网络本身
3.3策略
提高网络安全意识。不断培训师生的信息技术知识,加强信息安全方面的教育,建立网络安全防范机制,定期和随机检查关键主机的网络连接,病毒防御状态等情况。定期检查校内网络线路连接状况,禁止私自连线。关键网络节点、设备要进行监控。总之,要树立网络安全防范的思想,强化安全意识。建立高水平的管理团队。通过聘请、培训等方式组建和培养一批网络管理、网络设计能力强,网络知识扎实,业务水平高的队伍,通过开展网络对抗赛等活动对网络管理员进行强化训练。建立网络监管机制。在学校建立网络安全管理制度。网络管理是三分技术七分管理。建立管理员负责制度,鼓励网络管理员进行有针对性的培训;建立奖励制度,奖励在学校网络安全方面解决了实际问题的管理员。总之,不但要在网络布局上,网络设备上进行技术监管,还要在使用者的行为上进行监管,更要形成制度。
4结束语
校园网安全的提升,不要盲目扩大校园网络规模,应该科学规划学校的网络,建立技术过硬的管理团队,提升管理者和使用者的素质,采取有效的具体防范措施,使用恰当的网络技术。
作者:张猛单位:辽宁省北票市职教中心
关键词:计算机网络,防护技术,研究
随着高新技术的不断发展,计算机网络已经成为我们生活中所不可缺少的概念,然而随之而来的问题----网络安全也毫无保留地呈现在我们的面前,不论是在军事中还是在日常的生活中,网络的安全问题都是我们所不得不考虑的,只有有了对网络攻防技术的深入了解,采用有效的网络防护技术,才能保证网络的安全、畅通,保护网络信息在存储和传输的过程中的保密性、完整性、可用性、真实性和可控性,才能使我们面对网络而不致盲从,真正发挥出网络的作用。
一、计算机网络防护技术构成
(一)被动防护技术
其主要采用一系列技术措施(如信息加密、身份认证、访问控制、防火墙等)对系统自身进行加固和防护,不让非法用户进入网络内部,从而达到保护网络信息安全的目的。这些措施一般是在网络建设和使用的过程中进行规划设置,并逐步完善。因其只能保护网络的入口,无法动态实时地检测发生在网络内部的破坏和攻击的行为,所以存在很大的局限性。
(1)信息保密技术
密码技术是网络安全最有效的技术之一,信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。它通过信息的变换或编码,将敏感信息变成难以读懂的乱码型信息,以此来保护敏感信息的安全。在多数情况下,信息加密是保证信息机密性的惟一方法。信息加密的主要目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
网络加密常用的方法有:链路加密、端点加密和节点加密3种。密码体制主要有分组密码体制和序列密码体制。论文参考网。
(2)信息认证技术
其主要技术手段有:用户名/密码方式;智能卡认证方式;动态口令;USBKey认证;生物识别技术。
(3)访问控制技术
其主要方式有:自主访问控制、强行访问控制和信息流控制。
(4)防火墙技术
防火墙的分类主要有:数据包过滤型防火墙、应用层网关型防火墙和状态检测型防火墙。
(二)主动防护技术
主动防护技术主要采取技术的手段如入侵取证、网络陷阱、入侵检测、自动恢复等,能及时地发现网络攻击行为并及时地采取应对措施,如跟踪和反攻击、设置网络陷阱、切断网络连接或恢复系统正常工作。实现实时动态地监视网络状态,并采取保护措施,以提供对内、外部攻击和误操作的实时保护。
(1)入侵取证技术
入侵取证技术是指利用计算机软硬件技术,按照符合法律规范的方式,对计算机网络入侵、破坏、欺诈、攻击等犯罪行为进行识别、保存、分析和提交数字证据的过程。
入侵取证的主要目的是对网络或系统中发生的攻击过程及攻击行为进行记录和分析,并确保记录信息的真实性与完整性(以满足电子证据的要求),据此找出入侵者或入侵的机器,并解释入侵的过程,从而确定责任人,并在必要时,采取法律手段维护自己的利益。
入侵取证技术主要包括:网络入侵取证技术(网络入侵证据的识别、获取、保存、安全传输及分析和提交技术等)、现场取证技术(内存快照、现场保存、数据快速拷贝与分析技术等)、磁盘恢复取证技术、数据还原取证技术(对网上传输的信息内容,尤其是那些加密数据的获取与还原技术)、电子邮件调查取证技术及源代码取证技术等。
(2)网络陷阱技术
其主要目的是造成敌方的信息误导、紊乱和恐慌,从而使指挥决策能力丧失和军事效能降低。论文参考网。灵活的使用网络陷阱技术可以拖延攻击者,同时能给防御者提供足够的信息来了解敌人,将攻击造成的损失降至最低。
(3)入侵检测技术
其主要目的是动态地检测网络系统中发生的攻击行为或异常行为,及时发现攻击或异常行为并进行阻断、记录、报警等响应,弥补被动防御的不足之处。
入侵检测技术主要包括:数据收集技术、攻击检测技术、响应技术。
(4)自动恢复技术
自动恢复技术主要包括:备份技术、冗余技术、恢复技术、远程控制技术、文件扫描与一致性检查技术等。
二、计算机网络防护过程模型
针对日益严重的网络安全问题和愈来愈突出的安全需求,人们在研究防黑技术的同时,认识到网络安全防护不是一个静态过程,而是一个包含多个环节的动态过程,并相应地提出了反映网络安全防护支柱过程的P2DR模型,其过程模型如图1所示。
图1P2DR模型体系结构图
其过程如下所述:
1.进行系统安全需求和安全风险分析,确定系统的安全目标,设计相应的安全策略。
2.应根据确定的安全策略,采用相应的网络安全技术如身份认证技术、访问控制、网络技术,选择符合安全标准和通过安全认证的安全技术和产品,构建系统的安全防线,把好系统的入口。
3.应建立一套网络案例实时检测系统,主动、及时地检测网络系统的安全漏洞、用户行为和网络状态;当网络出现漏洞、发现用户行为或网络状态异常时及时报警。
4.当出现报警时应及时分析原因,采取应急响应和处理,如断开网络连接,修复漏洞或被破坏的系统。
随着网络技术的不断发展,我们的生活中越来越离不开网络,然而网络安全问题也日趋严重,做好网络防护已经是我们所不得不做的事情,只有采取合理有效的网络防护手段才能保证我们网络的安全、保证信息的安全,使我们真正能够用好网络,使网络为我们的生活添光添彩。
[论文摘要]电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙主要是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
二、电子商务安全防范措施
网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。
1.防火墙技术
2.vpn技术
3.数字签名技术
为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。
三、电子商务的安全认证体系
随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。
四、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
[1]劳帼龄.电子商务的安全技术[m].北京:中国水利水电出版社,2005.
[2]赵泉.网络安全与电子商务[m].北京:清华大学出版社,2005.
论文关键词:网络安全技术;防范;教学模式
学习网络安全技术不仅是为了让学生掌握网络安全的理论知识,增强学生的网络安全意识,提高学生的法律意识和职业素养,更重要的是树立他们正确的人生观和价值观,把他们培养成为高技能的应用型网络人才。
一、网络安全的探析
网络安全是指网络系统的硬件、软件和数据受到保护,不因偶然的或恶意的原因遭到破坏、更改和泄露,确保网络系统正常的工作,网络服务不中断,确保网络系统中流动和保存的数据具有可用性、完整性和保密性。网络的安全在技术上应综合考虑到防火墙技术、入侵检测技术、漏洞扫描技术等多个要素。不断提高防范病毒的措施,提高系统抵抗黑客入侵的能力,还要提高数据传输过程中的保密性,避免遭受非法窃取。因此,对网络安全问题的研究总是围绕着信息系统进行的,主要包括以下几个方面:
(二)网络安全不仅仅是对外网,而对内网的安全防护也是不可忽视的。据统计,来自内部的攻击呈现着极具上升的趋势。这是因为内网用户对网络结构和应用系统更加熟悉。以高校的校园网为例,网络用户人数众多,而学生的好奇心和渴望攻击成功的心理,使得他们把校园网当作网络攻击的试验场地,且其中不乏计算机应用高手(特别是计算机专业的学生),防火墙对其无法监控,这种来自内部不安全因素对网络的破坏力往往更大。2008年7月的旧金山的网络系统内部的侵害事件,2008年6月深圳“泄密门”等网络内部的安全事件向我们警示着内网安全防范的重要性。
(三)网络中硬件设备的安全可靠性问题。对计算机网络而言网络硬件设备在其中起到了重要的作用。比如:路由器,交换机,以及为网络用户提供多种应用服务的服务器等,这些设备的可用性、可靠性,以及设备自身的高安全保护能力都是网络安全中应该加以研究和认真对待的问题。
二、通过教学研究,提高学生对网络安全体系的管理与防范
由于网络技术水平和人为因素,以及计算机硬件的“缺陷”和软件的“漏洞”的原因,让我们所依赖的网络异常脆弱。在教学过程中,我们必须加强对网络安全体系管理与防范意识的传授,才能提高学生的管理和防范能力,常用的方法如下:
(二)入侵检测是指对入侵行为的发觉。它通过对网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现是否有被攻击的迹象。如果把防火墙比作是网络门卫的话,入侵检测系统就是网络中不间断的摄像机。在网络中部署入侵检测系统可以有效地监控网络中的恶意攻击行为。
(三)网络病毒的防范。对于单独的计算机而言,可以使用单机版杀毒软件来应对病毒的问题,由于其各自为政,在应对网络中的计算机群时,则无法应对网络病毒的防杀要求,且在升级方面也很难做到协调一致。要有效地防范网络病毒,应从两方面着手:一是加强网络安全意识,有效控制和管理内网与外网之间的数据交换;二是选择使用网络版杀毒软件,定期更新病毒库,定时查杀病毒,对来历不明的文件在运行前进行查杀。保障网络系统时刻处于最佳的防病毒状态。
(四)对于网络中的email,web,ftp等典型的应用服务的监控。在这些服务器中应当采用,应用层的内容监控,对于其中的传输的内容加以分析,并对其中的不安全因素加以及时发现与处理,比如可以利用垃圾邮件处理系统对email的服务加以实施的监控,该系统能发现其中的不安全的因素,以及垃圾内容并能自动的进行处理,从而可以杜绝掉绝大部分来自邮件的病毒与攻击。
(五)主动发现系统漏洞是减少网络攻击的一个重要手段。在网络中单靠网络管理人员人为的去发现并修复漏洞显然是不够的。因此主动的分析网络中的重点安全区域,掌握其主要的安全薄弱环节,利用漏洞扫描系统主动的去发现漏洞是十分总要的一个手段。同时在网络中配以系统补丁自动更新系统,对于网络中有类似安全隐患的主机主动的为其打上系统补丁。事实证明上述两种机制的结合可以有效地减少因为系统漏洞所带来的问题。
(六)ip地址盗用与基于mac地址攻击的解决,这个可以在三层交换机或路由器中总将ip和mac地址进行绑定,对于进出网络设备的数据包进行检查,如果ip地址与mac地址相匹配则放行,否则将该数据包丢弃。
三、通过教学改革,把学生培养成高技能应用型的网络人才
网络安全技术是非常复杂,非常庞大的,对初学者来说,如果直接照本宣科,学生肯定会觉得网络安全技术太多太深,从而产生畏学情绪。为了提高学生的学习兴趣,让他们更好地掌握网络安全技术的知识,就要培养学生的创新能力,就必须改革教学方法,经过几年的教学实践证明,以下几种教学方法能弥补传统教学中的不足。
(一)案例教学法
案例教学法是指在教师的指导下,根据教学目的的要求,通过教学案例,将学习者引入到教学实践的情景中,教会他们分析问题和解决问题的方法,进而提高他们分析问题和解决问题的能力,从而培养他们的职业能力。我们在教学实践中深深感受到,在计算机网络安全技术教学中,引入案例教学,将抽象的、枯燥的网络安全的理论知识和精湛的、深邃的网络安全技术涵寓于具体的案例中,打破传统理论教学中教师要么照本宣科,要么泛泛而谈,以至于学生学起来枯燥无味,用起来糊里糊涂的局面,变复杂为简单,变被动为主动的学习过程,调动了学生的学习积极性,培养了学生的职业能力。在具体案例中,将古城墙的功能和作用与防火墙比较;选择学生接触最多的校园网作为典型的案例,向学生系统地讲授网络安全体系结构、安全策略的制定、安全技术的应用、安全工具的部署,以及安全服务防范体系的建立等理论,从而降低网络安全的复杂度,使学生对网络安全体系有比较全面、透彻的理解。
(二)多媒体教学法
(三)实践教学
根据高职院校学生的岗位能力和培养目标,实践教学是职业技术教育的中重之重。运用学校提供的网络实验室和网络设备,为学生搭建良好的计算机网络学习平台,突出实用性,做到“专机专用”。例如,将3台计算机搭建一个小型局域网,安装微软网络监视器,使用网络监视器来嗅探ftp会话,解释捕获的数据,确定使用的用户名和口令。从抽象的概念上升到理性的认识,使学生真正体会到网络安全的重要性。为了使学生全面了解计算机网络,可带领学生到电信公司或网络公司进行参观学习和实训,培养学生的岗位技能和工程意识。
随着计算机科学技术和网络技术的飞速发展,网络体系日渐强大,对社会发展起到了重要的作用。由于计算机网络具有互通性、独立性和广泛性的特点,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁,黑客攻击、病毒扩散、网络犯罪的数量迅速增长,网络的安全问题日趋严峻。因此,如何提高网络安全,确保网络安全有效运行,已成为目前迫切需要解决的问题。
1计算机网络安全的重要性分析
网络安全是一门涉及计算机科学、网络技术、通讯技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。在信息化飞速发展的今天,计算机网络得到了广泛应用,但计算机用户上网的数据也遭到了不同程度的攻击和破坏。在我国,每年针对银行、证券等金融领域的计算机系统的安全题目所造成的经济损失金额已高达数亿元,针对其他行业的网络安全威胁也时有发生。可见,无论是有意的攻击,还是无意的误操纵,其产生的安全问题都将会给计算机用户带来不可估量的损失。所以计算机网络必须有足够强的安全措施,以确保网络信息的保密性,完整性和可用性。
2网络安全现状及面临的威胁
2.1网络安全现状
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断。我国网络安全现状不容乐观,主要有:信息和网络的安全防护能力差;网络安全人才短缺;全社会的信息安全意识淡薄。
2.2计算机网络安全面临的威胁
网络安全威胁既有信息威胁又有设备威胁,包括以下:一是人不经意的失误。二是恶意的人为攻击。三是网络软件的漏洞和“后门”。基本上每款软件多少都会存在漏洞,大多网络入侵事件都是由于没有完善的安全防范措施,系统漏洞修补不及时等给黑客以攻击目标。
黑客入侵通常扮演者以下角色:一是政治工具;二是战争的应用;三是入侵金融、商业系统,盗取商业信息;四是侵入他人的系统,获取他人个人隐私,便于进行敲诈、勒索或损害他人的名誉.通过上述事件可以看出,网络安全影响着国家的政治、军事、经济及文化的发展,同时也影响国际局势的变化和发展。
3计算机网络受攻击的主要形式
计算机网络被攻击,主要有六种形式:一是企业内部员工有意无意的窃密和网络系统的破坏;二是截收重要信息;三是非法访问;四是利用TCP/IP协议上的某些不安全因素;五是病毒破坏;六是其它类型的网络攻击方式。
4加强计算机网络安全的防范对策
4.1加强内部监管力度
加强内部针对计算机网络的监管力度,主要分为两个方面:一是硬件设备监管加强硬件设施的监管力度,做好硬件设备的备案、治理,包括主机、光缆、交换机、路由器,甚至光盘、软盘等硬件设施,可以有效预防因硬件设施的破坏对计算机和网络造成的损害;二是局域网的监控网络监视的执行者通称为“网管”,主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全题目,如定位网络故障点,捉住IP盗用者,控制网络访问范围等。
4.2配置防火墙
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受人们重视的网络安全技术。防火墙产品最难评估的是防火墙的安全性能,即防火墙是否能够有效地阻挡外部进侵。这一点同防火墙自身的安全性一样,普通用户通常无法判定,即使安装好了防火墙,假如没有实际的外部进侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
4.3网络病毒的防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,因此,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,定期或不定期地自动升级,最大程度上使网络免受病毒的侵袭。对于已感染病毒的计算机采取更换病毒防护软件,断网等技术措施,及时安装针对性的杀毒软件清理病毒,以保证系统的正常运行。
4.4系统漏洞修补
Windows操纵系统自以后,基本每月微软都会安全更新和重要更新的补丁,已经的补丁修补了很多高风险的漏洞,一台未及时更新补丁的计算机在一定程度上可以说是基本不设防的,因此建立补丁治理系统并分发补丁是非常重要的安全措施,可以对系统软件进行修补从而最大限度减少漏洞,降低了病毒利用漏洞的可能,减少安全隐患。
4.5使用进侵检测系统
4.6加强网络安全教育和管理
结合机房对员工进行、硬件、软件和网络数据等安全问题教育,加强对员工进行业务和技能方面的培训,提高他的安全意识;避免发生人为事故,传输线路的过程中,要保证传输线路安全,要设置露天保护措施或埋于地下,和辐射源保持一定的距离,尽量减少各种辐射导致的数据错误;应当尽可能使用光纤铺设线缆,减少辐射引起的干扰,定期检查连接情况,检查是否非法外连或破坏行为。总之,网络安全是一个系统化的工程,不能单独的依靠防火墙等单个系统,而需要仔细且全面的考虑系统的安全需求,并将各种安全技术结合在一起,才能天生一个高效、通用、安全的网络系统。
结语
计算机技术和网络技术的飞速发展和广泛应用,开创了计算机应用的新局面,对社会发展起到了重要的作用。与此同时,其互通性和广泛性的特点也导致了网络环境下的计算机系统存在诸多安全问题,并且愈演愈烈。为了解决这些安全问题,我们必须加强计算机的安全防护,提高网络安全,以保障网络安全有效运行,更好的为社会和人民服务。
[1]楚狂等.网络安全与防火墙技术[M].北京:人民邮电出版社,2000.
[2]张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2003.
[3]香方桂.软件加密解密技术及应用[M].长沙:中南工业大学出版社,2004.