网络安全方案范文

时间:2023-04-06 00:44:34

导语:如何才能写好一篇网络安全方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全方案

篇1

关键词:企业网络;安全;病毒;物理

在现代企业的生存与发展过程中,企业网络安全威胁与企业网络安全防护是并行存在的。虽然企业网络安全技术与以往相比取得了突破性的进展,但过去企业网络处于一个封闭或者是半封闭的状态,只需简单的防护设备和防护方案即可保证其安全性。而当今大多数企业网络几乎处于全球互联的状态,这种时空的无限制性和准入的开放性间接增加了企业网络安全的影响因素,自然给企业网络安全带来了更多的威胁。因此,企业网络安全防护一个永无止境的过程,对其进行研究无论是对于网络安全技术的应用,还是对于企业的持续发展,都具有重要的意义。

1企业网络安全问题分析

基于企业网络的构成要素以及运行维护条件,目前企业网络典型的安全问题主要表现于以下几个方面。

1.1网络设备安全问题

企业网络系统服务器、网络交换机、个人电脑、备用电源等硬件设备,时常会发生安全问题,而这些设备一旦产生安全事故很有可能会泄露企业的机密信息,进而给企业带来不可估量经济损失。以某企业为例,该企业网络的服务器及相关网络设备的运行电力由UPS接12V的SOAK蓄电池组提供,该蓄电池组使用年限行、容量低,在长时间停电的情况下,很容易由于蓄电池的电量耗尽而导致整个企业网络的停运。当然,除了电源问题外,服务器、交换机也存在诸多安全隐患。

1.2服务器操作系统安全问题

随着企业规模的壮大以及企业业务的拓展,对企业网络服务器的安全需求也有所提高。目前诸多企业网络服务器采用的是WindowsXP或Windows7操作系统,由于这些操作系统存在安全漏洞,自然会降低服务器的安全防御指数。加上异常端口、未使用端口以及不规范的高权限账号管理等问题的存在,在不同程度上增加了服务器的安全威胁。

1.3访问控制问题

企业网络访问控制安全问题也是较为常见的,以某企业为例,该企业采用Websense管理软件来监控企业内部人员的上网行为,但未限制存在安全隐患的上网活动。同时对于内部上网终端及外来电脑未设置入网认证及无线网络访问节点安全检查,任何电脑都可在信号区内接入到无线网络。

2企业网络安全防护方案

基于上述企业网络普遍性的安全问题,可以针对性的提出以下综合性的安全防护方案来提高企业网络的整体安全性能。

2.1网络设备安全方案

企业网络相关设备的安全性能是保证整个企业网络安全的基本前提,为了提高网络设备的整体安全指数,可采取以下具体措施。首先,合适传输介质的选用。尽量选择抗干扰能力强、传输频带宽、传输误码率低的传输介质,例如屏蔽式双绞线、光纤等。其次是保证供电的安全可靠。企业网络相关主干设备对交流电源的生产质量、供电连续性、供电可靠性以及抗干扰性等指标提出了更高的要求,这就要求对企业网络的供电系统进行优化。以上述某企业网络系统电源供电不足问题为例,为了彻底解决传统电源供给不足问题,可以更换为大容量的蓄电池组,并安装固定式发电机组,进而保证在长时间停电状态下企业网络设备的可持续供电,避免因为断电而导致文件损坏及数据丢失等安全问题的发生。

2.2服务器系统安全方案

企业网络服务器系统的安全尤为重要,然而其安全问题的产生又是多方面因素所导致的,需要从多个层面来构建安全防护方案。

2.2.1操作系统漏洞安全

目前企业网络服务器操作系统以Windows为主,该系统漏洞的出现成为了诸多攻击者的重点对象,除了采取常规的更新Windows系统、安装系统补丁外,还应针对企业网络服务器及个人电脑的操作系统使用实际情况,实施专门的漏洞扫描和检测,并根据扫描结果做出科学、客观、全面的安全评估,如图1所示,将证书授权入侵检测系统部署在核心交换机的监控端口,并在不同网段安装由中央工作站控制的网络入侵检测,以此来检测和响应网络入侵威胁。图1漏洞扫描及检测系统

2.2.2Windows端口安全

在Windows系统中,端口是企业实现网络信息服务主要通道,一般一台服务器会绑定多个IP,而这些IP又通过多个端口来提高企业网络服务能力,这种多个端口的对外开放在一定程度反而增加了安全威胁因素。从目前各种服务器网络攻击的运行路径来看,大多数都要通过服务器TCP/UDP端口,可充分这一点来预防各种网络攻击,只需通过命令或端口管理软件来实现系统端口的控制管理即可。

2.2.3Internet信息服务安全

Internet信息服务是以TCP/IP为基础的,可通过诸多措施来提高Internet信息服务安全。(1)基于IP地址实现访问控制。通过对IIS配置,可实现对来访IP地址的检测,进而以访问权限的设置来阻止或允许某些特定计算机的访问站点。(2)在非系统分区上安装IIS服务器。若在系统分区上安装IIS,IIS就会具备非法访问属性,给非法用户侵入系统分区提供便利,因此,在非系统分区上安全IIS服务器较为科学。(3)NTFS文件系统的应用。NTFS文件系统具有文件及目录管理功能,服务器Windows2000的安全机制是基于NTFS文件系统的,因此Windows2000安装时选用NTFS文件系统,安全性能更高。(4)服务端口号的修改。虽然IIS网络服务默认端口的使用为访问提供了诸多便捷,但会降低安全性,更容易受到基于端口程序漏洞的服务器攻击,因此,通过修改部分服务器的网络服务端口可提高企业网络服务器的安全性。

2.3网络结构安全方案

2.3.1强化网络设备安全

强化企业网络设备的自身安全是保障企业网络安全的基础措施,具体包含以下措施。(1)网络设备运行安全。对各设备、各端口运行状态的实时监控能有效发现各种异常,进而预防各种安全威胁。一般可通过可视化管理软件的应用来实现上述目标,例如What’supGold能实现对企业网络设备状态的监控,而SolarWindsNetworkPerformancemonitor可实现对各个端口流量的实时监控。(2)网络设备登录安全。为了保证网络设备登录安全指数,对于企业网络中的核心设备应配置专用的localuser用户名,用户名级别设置的一级,该级别用户只具备读权限,一般用于console、远程telnet登录等需求。除此之外,还可设置一个单独的super密码,只有拥有super密码的管理员才有资格对核心交换机实施相关配置设置。(3)无线AP安全。一般在企业内部有多个无线AP设备,应采用较为成熟的加密技术设置一个较为复杂的高级秘钥,从而确保无线接入网的安全性。

2.3.2细分网络安全区域

目前,广播式局域的企业网络组网模式存在着一个严重缺陷就是当其中各个局域网存在ARP病毒时,未设置ARP本地绑定或未设置ARP防火墙的终端则无法有效访问系统,同时还可能泄露重要信息。为了解决这种问题,可对整个网络进行细分,即按某种规则如企业职能部门将企业网络终端设备划分为多个网段,在每个网段均有不同的vlan,从而保证安全性。

2.3.3加强通问控制

针对企业各个部门对网络资源的需求,在通问控制时需要注意以下几点:对内服务器应根据提供的业务与对口部门互通;对内服务器需要与互联网隔离;体验区只能访问互联网,不能访问办公网。以上功能的实现,可在核心路由器和防火墙上共同配合完成。

作者:李常福 单位:郑州市中心医院

篇2

关键词 学籍管理;信息化;网络安全

中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)13-0153-01

学籍管理制度是一项基本的教育管理制度,学籍管理是学校和教育行政部门重要的日常工作。为规范中小学学生学籍管理,加快推进中小学学生学籍管理信息化工作,某省教育厅决定组织建设省级中小学学籍管理系统平台,实现义务教育阶段、高中教育阶段的学籍管理信息化、网络化和规范化,为教育规划、行政决策提供了科学的依据,并为省内其他教育业务管理系统提供所需的基础数据服务。

1 物理安全

我们认为,物理安全是系统安全的第一道关口,所以,我们采取严格的中心机房建设和管理规范,采取双回路UPS供电和严格的防火、防盗、防静电、防雷击等措施,对进入中心机房的人员进行严格管理。网络线路尽可能进桥架、管道,注意设备的安装环境,特别是室外设备的物理安全。

2 接入安全

为了保证内部网的安全,防止外部对内部网络的攻击,我们在网络边界部署一台华为USG 3030防火墙,USG 3030华为公司新一代网关型安全防护设备,基于华为专业的硬件平台以及强大的VRP软件平台,不仅具备优异的攻击防范处理能力,而且能够提供完善的虚拟专网(VPN)功能以及完备的地址转换(NAT)功能,实现基于安全区域的隔离和防护。我们在防火墙中制定了如下规则:允许外部网络访问我们DMZ区的WEB SERVER及 MAIL SERVER,但只能访问几个特定的端口,如80/tcp(http),25/tcp(smtp),110/tcp(pop3)等,允许内部网络访问DMZ区和外部网络;拒绝所有的外部IP地址对内部网络的访问,拒绝DMZ区对内部网络的访问;内部网络有限制的访问数据库服务器和文件服务器;为出差人员建立了安全、可靠的VPN通道,他们可以通过VPN方式接入到内部网络。这样,首先可以保证我们的学籍管理系统对外服务不受影响,同时可以保证我们内部系统的安全。

3 虚拟网络(VLAN)划分

内部网络的核心交换机采用一台华为S5328C-EI三层交换机。该交换机能够识别和处理四到七层的应用业务流,能根据不同的业务流进行不同的管理和控制。我们使用华为S5328C-EI三层交换机将内部网划分为10个VLAN,VLAN 1-VLAN 8分配给不同的科室和部门,VLAN9分配给信息中心,VLAN10分配给内部服务器组(数据库服务器和文件服务器),不同的VLAN之间通过三层交换机通讯,并根据实际需要设置不同的访问权限;通过合理划分VLAN,隔离了不同VLAN之间的广播包,提高了网络的性能,同时大大增强了内部网络的安全性

4 防病毒技术

为实现病毒的全面防范,我们部署了瑞星杀毒软件网络版 2008。首先,在信息中心建立一个一级系统中心,在科室和其他部门分别建立二级系统中心。上级中心统一发送查杀病毒命令、下达版本升级提示,并及时掌握全部系统中心的病毒分布情况等。另外,下级中心既可以在收到上级中心的命令后做出响应,也可以管理本级,并主动向上级中心发送请求和汇报信息。通过该系统,可实现反病毒的统一管理和分级管理。通过部署网络版反病毒软件,整个单位和省级数据中心的计算机受到病毒和恶意软件破坏的情况得到明显改善。

5 健全网络安全管理机制

网络安全问题不是单纯的技术问题,影响网络安全的因素有很多,但其中最重要的因素是人的因素。在省级数据中心建成之后,我们制订了网络安全管理办法,主要措施如下:多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核;任期有限原则,技术人员不定期轮岗;职责分离原则,非本岗人员不得掌握用户名、密码等关键信息;及时升级系统补丁,关闭不用的服务和端口;对重要的数据服务器,每日必须进行数据备份;管理员的密码必须达到一定的强度并且每周修改一次等等。

目前,省级数据中心网络系统运行良好,网络安全状况大大改善,网络系统的安全性有很大程度的提高。但还存在不少问题,比如说防止网络攻击方面,尽管使用了防火墙,但是,对内部网络的攻击防范力度有限,我们计划在下一步部署入侵检测系统,并与防火墙实现联动,进一步提高防范内外网攻击的能力。网络系统的安全是一项长期的工作,需要我们不断地学习新技术、不断地积累和借鉴经验,并及时付诸实施,才能确保省级数据中心网络系统的安全。

参考文献

[1]刘振华.B/S模式高职学生管理系统研究与设计[D].天津大学,2006.

篇3

近来较典型的是蠕虫与木马,比如说木马程序它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。近来就出现许多人的网络账户遭到木马程序盗取的案例。这些网络病毒使人民财产受到严重侵害,也严重威胁到我们的正常工作与生活。恶意的攻击和入侵所谓恶意的攻击和入侵可对信息的有效性和完整性进行有选择的破坏,也可在不影响网络正常工作的情况下,对网络进行数据监听,截获或捕捉传播在网络中的信息,这是计算机网络面临的主要威胁,引发网络安全的问题。

计算机网络受到威胁后果严重

1.国家安全将遭受到威胁

网络黑客攻击的目标常包括银行、政府及军事部门,窃取和修改信息。这会对社会和国家安全造成严重威胁,有可能带来无法挽回的损失。

2.损失巨大

很多网络是大型网络,像互联网是全球性网络,这些网络上连接着无数计算机及网络设备,如果攻击者攻击入侵连接在网络上的计算机和网络设备,会破坏成千上万台计算机,从而给用户造成巨大经济损失。

3.手段多样,手法隐蔽

网络攻击所需设备简单,所花时间短,某些过程只需一台连接Internet的PC即可完成。这个特征决定了攻击者的方式多样性和隐蔽性。比如网络攻击者既可以用监视网上数据来盗取他人的保密信息;可以通过截取他人的帐号和口令潜入他人的计算机系统;可以通过一些方法来绕过或破坏他人安装的防火墙等等。

网络安全防范技术

1.病毒的防范

计算机病毒变得越来越复杂,对计算机信息系统构成极大的威胁。在网络环境中对计算机病毒的防范是网络安全性建设中重要的一环。它的入侵检测技术包括基于主机和基于网络两种。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。对网络病毒的防范主要包括预防病毒、检测病毒和杀毒三种技术。网络版防病毒系统包括:(1)系统中心:系统中心实时记录计算机的病毒监控、检测和清除的信息,实现对整个防护系统的自动控制。(2)服务器端:服务器端为网络服务器操作系统应用而设计。(3)客户端:客户端对当前工作站上病毒监控、检测和清除,并在需要时向系统中心发送病毒监测报告。(4)管理控制台:管理控制台是为了网络管理员的应用而设计的,通过它可以集中管理网络上所有已安装的防病毒系统防护软件的计算机。

2.防火墙的配置

首先我们了解防火墙所处的位置决定了一些特点包括(1)所有的从外部到内部的通信都必须经过它(。2)只有有内部访问策略授权的通信才能被允许通过。(3)系统本身具有很强的高可靠性。所以防火墙是网络安全的屏障,配置防火墒是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是所有安全工具中最重要的一个组成部分。它在内部信任网络和其他任何非信任网络上提供了不同的规则进行判断和验证,确定是否允许该类型的信息通过。一个防火墙策略要符合4个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。也可对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时,也能提供网络使用情况的统计数据。当有网络入侵或攻击时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次,利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响,防止内部信息的外泄。

3.数据加密与用户授权访问控制技术

与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密包括传输过程中的数据加密和存储数据加密,对于传输加密,一般有硬件加密和软件加密两种方法实现。网络中的数据加密,要选择加密算法和密钥,可以将这些加密算法分为对称密钥算法和公钥密钥算法两种。对称密钥算法中,收发双方使用相同的密钥。比较著名的对称密钥算法有:美国的DES、欧洲的IDEA等。

4.应用入侵检测技术

入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。入侵检测系统的功能包括:监控和分析系统、用户的行为;评估系统文件与数据文件的完整性,检查系统漏洞;对系统的异常行为进行分析和识别,及时向网络管理人员报警;跟踪管理操作系统,识别无授仅用户活动。具体应用就是指对那些面向系统资源和网络资源的未经授权的行为进行识别和响应。入侵检测通过监控系统的使用情况,来检测系统用户的越权使用以及系统外部的人侵者利用系统的安全缺陷对系统进行入侵的企图。目前主要有两类入侵检测系统基于主机的和基于网络的。前者检查某台主机系统日志中记录的未经授权的可疑行为,并及时做出响应。后者是在连接过程中监视特定网段的数据流,查找每一数据包内隐藏的恶意入侵,并对发现的人侵做出及时的响应。

5.规范安全管理行为

单单在网络安全技术上提高也是不够的,因为网络人员也可能是造成网络安全的因素,所以安全管理行为的规范是必须的。一要内部有完善的安全管理规范,二要建立基于安全策略的搞笑网络管理平台。两方面统筹规划部署,达到提高整体安全性的效果。

篇4

[关键词]网络安全技术 公安网络 系统安全 维护方案

一、公安网络系统中存在的安全问题

1、公安系统存在问题的特征。1)系统安全问题具有动态性。随着信息技术的飞速发展,不同时期有不同的安全问题,安全问题不断地被解决,但也不断地出现新的安全问题。例如线路窃听劫持事件会因为加密协议层的使用而减少。安全问题具有动态性特点,造成系统安全问题不可能拥有一劳永逸的解决措施。2)系统安全问题来自于管理层、逻辑层和物理层,并不是单一的。管理层的安全主要包括安全政策及人员组织管理指标方面的内容。逻辑层的安全主要涉及到信息保密性,也就是在授权情况下,高密级信息向低密级的主体及客体传递,确保信息双方的完整性,信息不会被随意篡改,可以保证信息的一致性。一旦双方完成信息交易,任何一方均不可单方面否认这笔交易。物理层的安全涉及的内容是多个关键设备、信息存放地点等,如计算机主机、网络等,防止信息丢失和破坏。

2、公安网络系统中存在的安全问题。1)一机两用的现象比较普遍。部分公安值班人员在公安网络中接入自己的私人电脑,同时还包括一些无线上网设备等。外接上网设备通常安装了无线网卡,外界侵入公安网络的可能性增大,公安网络的安全隐患扩大。此外,公安系统中的计算机出现故障,需要检查维修时,没有事先格式化计算机,导致系统计算机中的资料泄露,甚至出现“一机两用”的情况,可以将病毒引入系统中引起信息泄露。

3、安全意识淡薄。公安网络中的计算机存在滥用的情况,非在编的基层人员在未经允许、教育培训的情况私自使用公安网络,从而出现信息泄露的情况,给网络带来严重的安全隐患。此外,公安部门人员缺乏安全意识,办公室计算机的保密性不强,安全等级不高,重要软件、文件等均没有进行必要的加密处理,很多人员可以随意访问公安网络,降低了公安网络中计算机及其信息的安全性。

二、网络安全技术与公安网络系统的维护方案

1、积极建设网络信息安全管理队伍。网络安全管理队伍对管理公安网络具有重要作用。为提升公安网络的安全性与稳定性,可以定期组织信息安全管理人员进行培训,强化技术教育与培训,增强网络安全管理人员的责任意识,改善管理效率,提升管理水平。

2、充分运用网络安全技术。1)防毒技术。随着病毒的传播速度、频率、范围的不断扩大,公安网络系统中也需要建立全方位、立体化的防御体系,运用全平台反病毒技术、自动解压缩技术与实时监视技术等完善病毒防御方案。为了实现系统低层和反病毒软件之间的相互配合,达到杀除病毒的目的,公安网络中的计算机应运用全平台反病毒技术。利用光盘、网络等媒介所传播的软件通常是以压缩状态存在的,反病毒软件要对系统内部所有的压缩文件进行解压缩,清除压缩包内的病毒,若不运用自动解压技术,存在于文件中的病毒会随意传播。

3、提高系统的可靠性。安网络系统中一般是以敏感性资料、社会安全资料为主,这些资料被泄漏或者损坏均会产生严重后果。为了提升信息资料的安全性,必须定期备份,同时还应增强系统的可靠性。此外,还应明确系统灾难的原因,如雷电、地震等环境因素,资源共享中,人为入侵等,针对可能出现的系统灾难,可以建立起对应的灾难备份系统。灾难恢复指的是计算机系统遭遇灾难之后,重组各种资源并恢复系统运行。

三、公安网络系统中的网络安全技术体系

篇5

关键词:校园网;网络安全;防范措施;防火墙;VLAN技术

校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。

一、校园网络安全现状分析

(一)网络安全设施配备不够

学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。

(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善

学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。

(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”

大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。

(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失

网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。

综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。

二、校园网络的主要防范措施

(一)服务器

学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。

(二)防火墙

防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。

(三)防治网络病毒

校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。

(四)口令加密和访问控制

校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。

(五)VLAN(虚拟局域网)技术

VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。

(六)系统备份和数据备份

虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。

(七)入侵检测系统(IntrusionDetectionSystem,IDS)

IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。

(八)增强网络安全意识、健全学校统一规范管理制度

根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。

三、结论

校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。

参考文献:

1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.

2、张公忠.现代网络技术教程[M].清华大学出版社,2004.

3、刘清山.网络安全措施[M].电子工业出版社,2000.

4、谢希仁.计算机网络[M].大连理工大学出版社,2000.

5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).

6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.

篇6

关键词:计算机;网络安全;解决方案

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)05-1065-02

1概述

对计算机网络安全产生威胁的因素成千上万,因此针对这些因素来保护计算机网络安全的手段也是错综复杂。一般来讲,对计算机网络安全起保护作用的技术主要有入侵检测技术、防火墙技术、防病毒技术、加密技术、安全评估技术以及身份认证技术等。为了充分保障网络完全,就必须要结合网络的实际情况以及实际需要,将各种措施进行有效地整合以建立起一个完善的、立体的以及多层次的维护网络安全的防御体系。有一个全方位多面的网络完全解决方法才能从各个方面来保障计算机网络的各种安全问题。

在网络系统中,依据网络拓扑结构以及对各种风险进行的分析,通常采取以下措施来全方位地保障计算机网络完全:

1)身份鉴定:对具有合法身份的用户进行鉴定。

2)病毒防护:进行杀毒以防止病毒入侵。

3)安全审计:实时监控网络安全以及时发现网络上的异常动态,忠实地记录网络所发生的违规行为或是网络入侵行为以为日后提供证据。

4)信息加密:对信息进行加密以防止传输信息线路上的泄漏、窃听、破坏以及篡改。

5)入侵检测:通过利用各种方式来对计算机系统或是网络的信息数据进行收集由此来发现计算机系统或是网络中是否存在威胁安全的行为或是被攻击的痕迹。一旦发现异常情况的存在就回去自动地发出警报并提示采取相应的解决方式。与此同时,自动记录了受攻击的过程,为计算机系统或是网络的恢复以及追查来源提供依据。

6)访问控制:对操作用户的文件或是数据的权限进行控制或是限制,以避免其他用户越权访问。

7)安全保密管理措施:这是维护计算机网络安全的重要组成部分。及时对已经有较全面的安全保密措施,仍然需要充分的管理力度以防止出现安全隐患。

8)漏洞扫描:进行漏洞扫描来对计算机网络所存在的安全隐患进行全面地检查,协助管理员发现安全漏洞。

2计算机网络安全解决方案

2.1动态口令式身份认证方案

动态口令来进行身份认证具备动态性、随机性、不可逆性以及一次性的特点。这种方式不仅保留了原有静态式方法的方便性特点,同时也很好地对静态式口令方式的各种缺陷进行了弥补。动态口令方式在国际公开密码的算法基础上衍生动态口令,并经过几十次的非线性式的迭代运算完成了密钥与时间参数的充分混合与扩散。在这个基础上,利用解密流程以及先进的身份认证与密钥管理方法来从整体上保障计算机网络系统的安全。

2.1.1动态口令式系统的抗实物解剖力

动态口令方式采用了加密式的数据处理器,对企图利用结算法程序从网络中读出的行为能进行有效地防止,具备较高的抗实物解剖能力。除此之外,在初始化中随时生成的每个用户的密钥也是不相同的,密钥与口令生成有关的信息同时存储在动态RAM中。一旦有人对其进行分析处理,处理过程一旦掉电,密钥就会消失。就算有人破解了其中的程序也因不知道客户的密钥而无法计算出客户的实时口令。

2.1.2动态口令式的抗截获能力

在动态口令系统中,每个正确的口令都只能使用一次。因此客户不用担心口令会在认证期间被第三方知道。所以正确的口令一旦在认证服务器上被认证后就会在数据库中留下记录。

2.1.3系统的安全数据库加密与密钥管理

用户的信息以及用户密钥都存在安全数据库。安全数据库的信息一旦被泄漏,将会使得第三者有合法的身份进行操作,因此 这里的数据是要求绝对保密的。通常我们队安全数据库进行加密后在放在服务器上,不能以明码的形式出现。安全数据库的主密钥存储在计算机网络系统维护员的IC卡上,因此只有掌握了系统维护员IC卡的人才能对安全数据库的数据进行操作。。如果没有数据安全库的密钥,即使接触到了服务器,也不能获得用户的密钥。

2.1.4动态口令式的抗穷举攻击力

破解口令的常用的攻击手段是穷举攻击。穷举攻击手段能够大量地频繁地对每一个用户的口令进行反复的认证。正对这一攻击手段,动态口令身份认证系统在每个用户每个时段的认证结构都进行日志记录。一旦发现用户的认证信息多次验证失败时系统就会自动锁住该用户的认证行为。这样就能很好地防止穷举攻击的攻击可能性。

2.2信息加密方案

加密手段是维护网络安全的一个极其重要的手段。它的设计理念就是网络既然本身就是不安全的,那么就应该对所有重要的信息进行加密处理。对信息进行加密是为了达到保护网络内的文件、数据、口令以及控制信息的目的,以保证网络安全的全面性与完整性。

网络加密可以在应用级、链路级以及网络级等进行。对信息加密要通过各式各样的加密算法来进行。据初步统计,到目前为止,已开发出来的加密算有已经有几百种了。通常加密算法可以分为不对称即公钥密码算法与对称即私钥密码算法。

网络密码机是在VPN技术的基础上所出现的一种网络安全设施。VPN即虚拟专用网是指以公用网络作为传输媒体,通过验证网络流量以及加密的方式来保证公用网络上所传输的信息的安全性,保证私人信息不被篡改与窃取。网络密码机采用专门的的硬件来加密与保护局域网数据的安全性。所以具有极高的网络性能与安全强度。

2.3防火墙系统对访问的控制能力

目前最为广泛使用与流行的计算机网络安全技术是防火墙技术。它的中心思想是就算是在安全性较低的网络环境中也要构建出安全性相对较高的子网环境出来。防火墙技术用于执行两个网络中的访问控制,它能够对保护对象的网络与互联网或是其它网络之间的传递操作、信息存取进行限制。它是一种隔离式的控制技术,可以用作网络安全域或是不同网络之间的信息出入口,能依据企业的安全方法对进出网络的信息数据进行控制。防火墙本身就具有强大的抗攻击能力。

防火墙技术包括:服务器型、包过滤型以及全状态包过滤型。防火墙的使用范围非常灵活,可以在以太网上的任何部位进行分割,以构建出安全网络单位,也可以在单位的内网与外界的广域网从出口上进行划分,以保护单位内网,构建局部的安全网络范围。

利用防火墙设置安全策略来加强保护服务器,必要时还要启用防火墙的NAT功能来隐藏网络的拓扑结构,利用日志记录来监控非法访问。采用防火墙和入侵检测联合功能来形成动态的相适应的安全保护平台。

防火墙依据系统管理者的设置安全选项来保护内部网络,通过高效能的网络核心来进行访问控制,与此同时,提供信息过滤、网络地址转换、内容过滤、带宽管理、服务、用户身份认证、流量控制等功能。

3结束语

随着现代网络信息技术的不断普及以及在各个领域的广泛使用,计算机网络安全也成为了影响网络效能的重要因素。人们对计算机的使用程度也使得网络安全问题变得格外重要。面对目前所存在的大量网络安全问题,为了广大用户的隐私保护与安全着想。我们有必要加强对网络安全措施的研究。

参考文献:

[1]林廷劈.网络安全策略[J].三明高等专科学校学报,2002,15(4).

[2]刘远生.计算机网络安全[M].北京:清华大学出版社,2006.

[3]仇剑锋,蔡自兴.信息网络安全设计策略[J].中国科技,2003,16(8).

篇7

关键词:网络安全评估;漏洞扫描;系统脆弱性;TCP/IP

中图分类号:TP393.08

安全检测和评估技术是计算机网络系统信息安全保障体系的重要组成部分,是网络系统安全防御的前提和基础条件。它既可以在攻击者对网络系统形成真正的危害之前确定网络系统内部存在的安全隐患,提供切实可行的安全性增强策略,也可以在攻击者对网络系统进行实际的攻击行为之后实施追踪,快速定位影响系统安全性的主机漏洞,并提供补丁进行修补,从而保证了网络系统的安全特性。脆弱性评估作为安全检测和评估技术的重要一环,是在网络系统攻击事件发生之前发现系统脆弱性和薄弱环节的有效手段,同时也是降低网络系统风险等级的有效途径[1-2]。对网络系统中的计算机以及由若干主机组成的计算机网络系统定期进行脆弱性评估对于保障系统安全非常重要,已经成为信息、安全领域的迫切需求。

目前,国内外的许多研究机构都在进行计算机网络系统脆弱性评估技术的相关研究,并已经提出了多种评估模型,开发了多个评估系统[3-4]。但是,这些模型或系统或多或少存在着一些不足,或者考虑的因素不够全面,或者缺乏对结果信息的深度分析,或者可操作性不强,使得其对于提高网络系统安全等级的指导意义不够明确。

网络安全性评估一般从信息的机密性、完整性和可用性等方面来衡量。实际应用中,这些内容并不是一成不变的,不同的组织可能会侧重于不同安全属性的需求,例如,军队和政府机构比较侧重于机密性,银行部门更侧重于完整性,学校和普通的企业更侧重于可用性。从涉及的范围看,信息系统的安全度量包括技术性安全度量、组织性安全度量、操作性安全度量以及物理安全性度量[5-6]。

1 系统漏洞分析

1.1 漏洞机理

漏洞使硬件或软件在面临攻击时表现出某种脆弱性,使攻击者可以利用这个缺陷在系统未授权的情况下访问系统或者破坏系统的正常使用。这些缺陷所能影响到的网络范围是很大的,其中包括路由器、客户和服务器程序、操作系统、防火墙等,对系统的安全稳定带来严重威胁。

漏洞产生的因素主要有以下四个[7-8]:

(1)网络系统包括网络设备、防火墙和计算机等,其操作系统或系统软件都可能存在各种设计缺陷。在不同的设备中,不同的系统和不同的设置都会存在不同的安全漏洞,这是漏洞的主要根源;

(2)种类繁多、不断发展中的网络应用程序为网络系统增添了许多安全隐患;

(3)由于历史的原因,Internet的发展是建立在相互信任的互联机制上, IPv4是Internet中所使用的互连网层(InternetLayer)协议,该协议面临着信息认证、完整性控制、保密和拒认等诸多安全方面的问题,TCP/IP协议族固有的安全缺陷为网络攻击打开了方便之门,由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。如TCP/IP协议允许系统权限用户构造原始IP数据包,可以制造许多RFC未定义的网络状态,进行网络欺骗、拒绝服务(DOS)、数据侦听等攻击;

(4)缺少必要的安全防范、管理不当也是产生安全漏洞的一个重要原因。

1.2 典型漏洞探测策略

这类漏洞扫描软件对于每个漏洞都有一个相应的探测程序,以插件形式来调用实施对目标系统的扫描。用户一般可以根据需要扫描的漏洞来调度相应的探测程序,如通过参数配置选择漏洞的类别,由程序调用该类的所有漏洞探测程序实施探测。软件实施的探测方法如图1所示。

探测的具体方法是:由用户进行参数配置,根据需要选定要扫描的漏洞类别集{类别A,类别B,......,类别X},然后由软件调用逐个类别所含的每个漏洞探测插件{插件SX1,插件SX2,......,插件SXn}进行探测。

系统的性能主要决定于漏洞库的完整性和漏洞探测插件程序的编写质量。这种方法的好处是能保证漏洞探测的完整性,漏洞探测程序不受目标系统开放端口信息的影响,只要是所选取的漏洞扫描插件,都会被执行一遍,即使应用程序或系统更改了默认定义的端口,漏洞扫描软件仍然可以根据漏洞特征代码对其进行探测,可以逐个识别目标系统隐藏的网络服务。

不过,这种设计方法忽视漏洞与目标系统信息的联系,在某种程度上降低了探测的准确性和扫描效率。如果探测程序的探测程度不够深,目标系统运行了端口定义为21的某种网络应用服务,探测软件可能误以为是FTP类的服务,判定目标系统具有匿名FTP服务的某些脆弱性,就发生漏洞误报。另外忽略目标系统的整体信息,也会导致漏洞报告的不准确,例如用Nessus软件扫描一个操作系统类型为Windows2003的目标机器,得到下面的漏洞警告:

2 系统的设计与实现

本文设计的安全评估系统是基于C-S模式的体系结构,其体系结构如图2所示,该体系结构主要由客户端和服务器端组成,其中客户端主要由扫描配置模块、评估模块、扫描结果数据库模块与结果输出模块等组成,服务器端则主要由扫描引擎、漏洞库、规则库、结果库与插件库等组成。这种模式由客户端的扫描配置模块进行扫描配置,将扫描请求文件发送到服务器端,服务器端的扫描引擎根据扫描配置文件调用相应的插件对目标网络进行扫描,将从目标网络返回的结果与漏洞库中的信息进行匹配以确定是否存在相应漏洞,然后将扫描结果返回给客户端,客户端由评估模块对返回的扫描结果进行分析,完成对被扫描网络的安全评估工作,最后由结果输出模块对扫描结果进行处理。

3 结束语

随着互联网的迅速发展,政治、经济、社会、文化等各方面都越来越依赖于网络。而利用安全脆弱性危害网络安全的攻击事件每年以几何级数在增长,随着经济的发展,危害事件造成的损失也越来越大。因此无论是网络服务商、网络管理部门,还是网络应用部门,都将网络安全和系统安全放在非常重要的地位上,对此提出更高、更迫切的需求。

深入研究和开发网络安全评估系统,可以大大推进网络安全科研工作,拓展安全检测的新研究方向,具有极大的社会、经济效益。系统可以采用灵活多样的方式提供服务,如出售软件系统、远程检测、定制开发、系统安全维护、安全方案设计等,商业前景十分诱人。

本文系统地研究了网络安全评估系统,阐明了相关的关键技术和系统设计的技术方案,针对提高漏洞分析的准确性、漏洞探测的全面性和系统的高效性,提出了可行的技术策略,并加强隐藏信息服务的分析,提高了系统的适应能力,并利用实验室的局域网资源,进行了网络安全评估的模拟实验,取得了较理想的效果,为深入开发网络安全评估系统奠定了基础。

参考文献:

[1]National Institute of Standards and Technology.SPecial Publications,Risk Management Guide for Information Technology Systems[M].July,2002:4-6.

[2]Peltier T R.Information Security Risk Analysis[J].Taylor & Francis,Inc.April,2005:23-35.

[3]邢栩嘉,林闯,蒋屹新.计算机系统脆弱性评估研究[J].计算机学报,2004(0l):4-6.

[4]Common Criteria for Information Technology Security Evaluation.September,2006:28-32.

[5]Steven N,Michael J. MultiPle Coordinated Views for Network Attaek Graphs[J],Workshop on Visualization for ComPuter Security,October 26,Minneapolis,MN,USA,2005:IEEE:99-106.

[6]汪渊,蒋凡,陈国梁.基于图论的网络安全分析方法研究与应用[J],小型微型计算机系统,2003(10):1865-1869.

[7]MCNAB C.王景新译.网络安全评估[M].北京:中国电力出版社,2005:21-22.

[8]OURSTON D, MATZNER S,STUMP W. Applications of Hidden Markov Models to Detecting Multi-stage Network Attacks[C].Proceedings of the 36th Hawaii International Conference on System Sciences(HICSS),Applied Research Laboratories University of Texas at Austin,2003:26-28.

篇8

关键词:电子印章;PKI;数字水印;身份认证

中图分类号:TP319 文献标识码:A 文章编号:16727800(2013)002008902

0 引言

随着网络的迅速发展,电子公文得到了越来越广泛的使用。但是电子公文的易备份性使得电子公文在传输中的安全性、合法性、有效性得不到有力保证。因此如何保证文件的安全性、规范性是电子公文在传输中的一个重要问题。针对电子公文在网络中传输的特点,本文提出了一种基于网络的电子印章服务平台架构,该架构可以将签章后的电子公文通过网络安全快捷地传送给接收方。

1 电子印章服务平台

电子印章服务平台逻辑上主要分为:印章服务器/权限中心、印章制作中心、公文流转中心3部分。其总体结构描述如图1所示。

印章服务器/权限设置中心:主要负责与后台数据库通信,管理各个客户端用户的权限授予,接受并执行客户端发送的请求,并将用户操作记录形成日志。

印章制作中心:主要负责印章的制作、检索、查看、撤销工作,是进行公文流转的前期工作。

公文流转中心:是电子印章系统的核心部分,该中心嵌入到Word、Excel等应用软件中,主要负责文档审阅、签章、签名认证、打印控制、文档作废等工作。

2 关键技术

2.1 PKI技术

PKI(Public Key Infrastructure),即公钥基础设施。它是通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。PKI主要由认证机构CA中心、证书及相关业务受理审核中心、密钥管理中心、证书库等部分组成。其中CA中心是PKI系统的核心,是数字证书的签发机构。它通过对实体身份信息和相应公钥数据的数字签名,来捆绑该实体的公钥和身份,以证明各实体在网上身份的真实性。

电子印章服务平台就是利用PKI技术建立的一项提供安全签章服务的设施平台。PKI技术是电子印章服务平台信息安全的核心技术。

2.2 数字签名技术

数字签名就是信息发送方用自己的私钥对传输文档中提取的数字摘要进行加密操作并传给接收方,接收方用发送方的公钥解开数据后,就可以确定消息来自于谁。数字签名可以用来保证网络信息在传输过程中的完整性、信息发送方的身份不可抵赖性和可认证性,可以解决否认、伪造、篡改、冒充等问题,是保证网络中传输数据没有被非法篡改的重要手段。

2.3 数字水印技术

数字水印技术是一种信息隐藏技术。它是通过一定的算法将一些标志性信息直接嵌入多媒体内容中,而不影响原内容的价值和使用,并且不能被人的知觉系统感知。目前大多数水印制作方案都采用密码学中的加密体系来加强,在水印嵌入、提取时采用一种密钥。嵌入多媒体作品中的数字水印应当满足安全性、隐蔽性、稳健性、水印容量足够大这几个方面的要求。

2.4 USB KEY技术

USB KEY技术以智能卡技术为基础,在硬件设备中内置单片机或者智能卡芯片,具备一定存储空间,可以存储用户的私钥以及数字证书,利用USB KEY内置的公钥算法可以实现对用户身份的认证。

3 平台安全性设计

3.1 安全需求

(1)电子印章加密硬件的安全性。作为存储数字证书和用户私钥的智能密码钥匙(USB KEY),其自身的安全性是非常重要的。智能密码钥匙的安全性主要由两方面决定:一方面是加密算法的自身强度,一方面是密钥的保密强度和质量。

(2)电子印章服务平台自身的安全性。电子印章服务平台中电子印章制作、公文流转等过程都涉及到用户身份的认证、印章制作、印章存储、传输、使用权限的控制等一系列安全问题。这些问题如果解决不好,都会使系统的安全性无法得到保障。

3.2 解决方案

电子印章的安全方案设计主要体现在用户登录认证、印章制作、文档签章、签章文档的验证、公文流转等应用流程中。

(1)基于用户身份的访问控制。用户必须通过持有获得第三方认证机构签发数字证书的USB KEY并提供正确的PIN码才能够登录系统。用户在第一次登录前还必须获得管理员的授权,该部分在服务器/权限中心完成。管理员可以对用户进行制章、持章、日志审核、公文流转设置4个角色的授权。

(2)基于数字证书和数字水印的制章签名。为了保证电子印章的真实性、不可复制、不可删除性,将印章信息以双水印形式嵌入印章图片中。第一层水印信息包括印章ID、制章者证书、持章者证书。使用制章者私钥加密,利用DCT算法在频域中实现。主要用于验证印章的真实性和有效性。第二层水印信息包括印章制作单位、印章有效期等需要公开的信息,无需加密。利用LSB算法直接嵌入印章图片中。方便用户查看印章基本信息。

(3)基于数字证书和数字水印的签章文档签名及验证。签章时,将电子公文的数据进行散列运算后利用印章持有者私钥签名,将签名后的信息以水印形式嵌入电子印章图片,和原电子公文整合到一起形成一个新的签章文档,实现印章和文档的一对一关系。

验证签名时,对签章文档的印章进行拆分。将签章时嵌入的水印即电子公文的数字签名信息提取出来,并用印章持有者公钥解密,得到结果M1。同时对被签名的原始数据做散列运算,得到结果M2,将两结果进行比较,若一致表示文档信息真实可靠。其签名验证过程如图2所示。

4 结语

本文提出的基于网络的电子印章服务平台集成了PKI技术、数字签名技术、数字水印技术、USB KEY技术。与以前的安全方案比较有以下改进:一是运用了多层数字水印技术。利用电子印章对文档进行多重保护,将文档数字签名以水印形式嵌入印章图片中,真正实现印章与电子公文一一对应的关系,从而保证了电子公文的真实性、可靠性和不可篡改性;二是利用PKI进行身份认证和数字签名,为电子公文进行网络流转提供了有效保障,从而提高电子公文在网络流转过程中的安全性和可靠性。

参考文献:

\[1\] 宁子岚.基于数字签名和数字水印技术的电子印章系统\[D\].长沙:长沙理工大学,2007.

\[2\] 许盛伟,李彦兵.一种基于PKI的电子印章系统安全应用方案\[J\].计算机应用软件,2008(10).

\[3\] 宁子岚,向元平.基于PKI和数字水印的电子签章系统\[J\].计算机时代,2009(12).

篇9

关键词:信息安全,安全政策,安全体系,安全设施

中图分类号:TN915.08文献标识码: A 文章编号:

武汉职业技术学院是国家教育部批准独立设置、湖北省人民政府主办、湖北省教育厅直属的全日制普通高等学校。学校坐拥“武汉·中国光谷”的中心地利,抢占了高职教育发展的战略高地,开创了区域化、国际化、现代化高职办学的成功范例。学校整体办学条件、办学实力、办学水平跃居湖北省高职院校前列,成为湖北高职教育的著名品牌、中部高职教育的改革先锋,并作为国家重点示范性院校在全国高职教育领域产生了重要影响。

1. 武汉职业技术学院电子政务系统网络系统现状

高校电子政务系统的应用和主要服务对象是老师与学生,师生拥有电脑的比例以及使用电脑的频率比较大,上网浏览存在安全隐患的网站,接收陌生文件等网络应用会导致校园网内病毒泛滥;观看网络视频,严重占据网络速度与流量,甚至阻塞网络运行;同时师生人数较多,每个用户对网络安全的认识也不尽相同。经过调查、分析、研究,该校电子政务系统存在以下的安全隐患:

1. 校园网直接与因特网相连,校园网内、外部网络攻击情况严重;

2. 用户数量大,使用频率高:该校大部分教学工作、科研工作及日常行政办公等都是以网络为应用平台。如果在节点没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失与损坏、网络被攻击、系统瘫痪等严重后果;

3. 缺乏统一管理:前期的网络建设投资很大,随着学校的逐步发展以及校园环境的变迁,使得网络统一管理的问题越发突出;

4. 网管中心负荷量大:大部分的网络管理工作都是由网络中心来完成的,由于人员少,校园网络的维护与运营、使用网络的规章制度以及相关费用的收取等等工作进行比较缓慢。

所以,一个科学的网络安全系统对校园网的正常运行起着至关重要的作用。

2. 武汉职业技术学院电子政务系统安全实施

2.1 防火墙的实施

根据武汉职业技术学院的具体校园网网络背景,防火墙设备选用两台千兆防火墙:EX-520。选用的防火墙产品具有2个千兆光纤端口,2个百兆端口。

对于防火墙的部署,是基于以下几点来考虑和设计的:

1、两个千兆光纤端口分别接:DMZ区(DMZ区一般是对外提供WWW、DNS、Email、FTP、BBS等服务的特殊小型网络);武汉职业技术学院内部校园网。

2、一个百兆网口,用于连接整个校园网或者电子政务系统的上级信息网。剩余的其他端口,可根据具体网络应用需要连接其他网段或局域网子网。

3、防火墙设备的安全策略配置与实施:

解决网络边界点安全,保护内部网络;根据IP地址、协议类型、端口等实现数据包过滤功能以及地址转换;

保证内部安全服务器网络(DMZ区)的安全;

实现IP与MAC地址绑定,避免出现IP地址欺骗或者乱用网络资源;

开启黑白名单功能,实现URL过滤,过滤不健康网站;

具有自身保护能力,可防范对防火墙的常见攻击;

启动入侵检测及告警功能;

学生访问不良信息网站后的日志记录,做到有据可查;

多种应用协议的支持。

防火墙部署示意图

2.2 网络分段技术在学院网络安全方案中的应用

为了确保不同部门、不同职权等级的人员相对的信息安全,将网络划分为若干个子网是很有必要的,它是对内部局域网采取的重要安全措施。

网络分段的目的就是将非法用户与敏感的网络资源相互隔离,网络分段可分为物理分段与逻辑分段两种方式,也可以综合应用物理分段与逻辑分段两种方法来实现对局域网的安全控制。

1. 以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(通常成为单播数据包)还是会被同一台集线器上的其他用户所侦听。

因此,应该以交换式集线器代替共享式集线器,使单播数据包(Unicast Packet)仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包。但是一般情况下广播包和多播包内的关键信息,要远远少于单播包。

2. 虚拟网VLAN的划分

虚拟局域网技术(VLAN)将地理位置不同的、同属一个单位的几个局域网划分成一个虚拟网段,以便单位内部的数据共享和管理。

校园的主干部分(及核心层与汇聚层之间)运行动态路由协议,每个汇聚层交换机作为第三层设备将会成为广播流量的边界,从而也中断了VLAN跨过主干网络,可以说每个汇聚点都是一个VLAN管理的域,不同的VLAN 管理域之间的VLAN从命名上或VLAN ID号的分配上都没有任何关系。而在每个VTP域中,VLAN1专门用于交换机之间控制面板流量的传输,而不承载用户数据,也不作为管理VLAN,并在Trunk上清除了VLAN1的用户流量以减小VLAN1生成树的直径。

篇10

关键词: 公安;边防部队;网络信息;安全管理;问题;对策

网络信息技术在经济的激烈发展中变得日益先进化,设计到国家发展的各个领域,是国家经济发展的重要力量,但是网络信息技术作为一种无形的技术很容易受到威胁,在长期的使用中会出现一些不良的网络信息、干扰网络系统的病毒以及机密被窃取的现象。公安边防部队作为守卫国家安全的重要组织,在网络信息的安全管理上更是要引起重视,要查找在安全管理中所存在的威胁因素,例如:信息传递以及网络结构管理所面临的问题;网络设备的利用性不高;网络体系中出现恶意的程序;网络信息操作的安全性低。进而根据这些问题找出相应方案去除这些威胁,进而维护好国家的发展与居民的安定。

1 公安边防部队网络信息安全管理面临的问题

在公安边防部队的网络信息使用中,由于一些威胁性因素的存在严重威慑着部队对网络信息的安全管理,下面笔者就和大家共同分析一下,在公安边防部队网络信息安全管理中所面临的为威胁性因素:

1.1 光纤通信网络的安全隐患

在光纤通信网络信息传递的过程中由于缺乏安全的管理,致主要是物理链路方面。使很多病毒以及恶意的软件在中途植入,导致信息大量的丢失,一些不法的想窃取公安边防部队的机密的人员,使用一些高端的技术扫描公安边防部队网络体系所存在的漏洞。进而找出突破口,窃取机密。由于在网络结构的创建过程中,会用到很多的网络设备,在这些网络设备的使用中也会出现泄漏信息的状况,究其原因,主要是由于公安边防部队在信息传递以及网络结构的创建中缺乏安全的管理。

1.2 网络设备的利用性不高

在网络信息的使用中,由于设备的管理与监督力度不够,最终致使设备被窃取;很多网络设备被修理的次数非常的多,导致设备断电等在使用中会出现很多故障以及意外,最终致使公安边防部队的信息以及机密被外泄;还有的情况是因为操作人员技术性能不强进而使用不当致使网络设备破损;由于地区的局限性,所用的设备过于落后,不能够跟得上信息技术的发展与变化,致使信息不灵通,网络设备的利用性不高。

1.3 机房信息接入点的安全隐患,网络体系中出现恶意的程序

网络技术的日益发展使得网络体系也逐渐的日益先进,但是与此同时,相应的窃取机密以及信息的不法科技也在快速的发展。很多肆意窃取公安边防部队信息机密的不法分子,通过高端的科学网络技术,将恶意的程序例如:病毒、木马等植入到网络信息的各种软件之中,公安边防部队的工作人员在使用的过程中,在毫不知情的情况下,系统就会出现安全威胁,进而信息就会被他人窃取。

1.4 网络信息操作安全性能低,违规使用的安全隐患

在网络信息的管理中由于相关管理人员缺乏有效的管理,致使网络信息操作的安全性降低,信息被大量的盗取的现象频频上演,除此之外,由于网络机器设备在使用中,由于各种原因,故障以及意外的高发性也致使网络信息操作的安全性能降低;由于在公安边防部队目前所用的网络信息体系中一些防范技术很少被使用,导致病毒以及木马的入侵,所以最终致使网络信息操作的安全性能降低,信息被盗取。

2 解决公安边防部队网络信息安全管理问题的对策

2.1 强化网络信息人才培养,完善网络安全防护技术

要想提升公安边防部队网络信息的安全管理首要措施一定是从相关的管理人员做起,提升相关的管理人员的综合性修养,进而提升管理的有效性。在提升相关的管理人员的综合性修养的过程中,公安边防部队要创建一套合理的、全面的管理制度。在目前的网络信息管理中缺乏有效的制度,既使有也不符合当下网络信息管理的要求。这样使得网络信息泄密的状况有法规以及法律的约束。在管理的过程中,要多汲取先进的管理经验,结合自身的问题,制度相应的管理制度,为了保证管理的高效性,可以制度相应的奖惩条例。进而在网络信息的管理中,相关的工作要做好分工,责任要有明确的划分,创建一定的责任体系,将公安边防部队的网络信息管理责任规划到专人身上,遏制信息泄露状况的发生。对于一些不是公安边防部队的工作人员,要加强管理以及防范工作,可以录指纹;签订协议等,以防不法人员浑水摸鱼,偷盗机密。相关的管理人员还要对工作中所用到的手机、电脑以及相机等移动的存储物体加强管理,要做好相应的使用登记。还要加强对相关管理人员的技能强化,保证其在工作中能够有足够的能力去应对相关的问题。

2.2 要进一步完善网络安全保密工作

要想确保公安边防部队的网络信息管理的安全性,一定要注重对网络信息安全的防范工作,进而创建防范病毒以及各种威胁因素的检测体系,保证网络信息体系可以在全天中得到检测,进而能够有效的发现系统中所出现的漏洞,并做出相应的弥补和防范,找出问题的根源,将不法的窃取机密的科技以及人员一网打尽,为创建安全的网路信息体系提供可行的条件。要研制出相应的防火墙技能,进而提升对网络信息体系的管理与监督。防火墙虽然对增强网络信息安全方面的作用很重要,但是随着盗窃机密的技术的快速发展,防火墙的保护功能在日渐衰退,所以要想建立保护网络信息体系的防火墙一定要采用高端的科学技术,研发出高端技能的防火墙,进而能够对网络信息体系中的病毒、木马以及恶意的软件做出有效的控制,相关的管理人员要对文件以及机密的加密技术进行研究,使得加密技术能够更加的合理化、先进化、安全化。所以要想促进公安边防部队网络信息管理的安全化,要注重网络信息安全的防范工作,进而促进边防工作人员的信息技术的合理化、安全化。

2.3 要建立网络安全防护机制,制定合理的网络控制措施

公安边防部队可以号召国家的一些重点部门以及单位合理规划自身所用的网络信息体系,站在国家的角度,将所用的网络信息体系融入国家的网络信息建设的规划中,进而扩大网络控制的范围,包括网络安全风险评估、网络安全应急演练等,增强网络控制的力度。公安边防部队可以在网络控制中发挥自身的主导作用,积极的协调、规划好网络信息系统管理的安全工作,并将其落实到位,号召各单位以及部门积极的配合好公安边防部队的网络信息管理的安全工作,进而将有效的管理落到实处。随着工作的信息化,很多部门在工作中都实现了网络化的发展,公安边防部队在网络化工作的过程中,要将报警技术植入到各网络体系的使用中,进而通过报警提示来考核网络信息体系的安全性,若出现问题报警体系就会有提示,然后工作人员可以及时的查找问题的所在位置,并做出相应的防范措施,进而消除病毒、木马、恶意软件等安全威胁。

3 总结

网络信息技术在各个领域的广泛应用带动了我国的经济发展,但是在长期的使用中也出现了各种威胁网络信息安全的因素,尤其公安边防部门这种威胁的威慑性非常的严重,它影响着国家的经济发展以及居民生活的安定,所以一定要找出公安边防部队网络信息安全管理面临的问题,信息传递以及网络结构缺乏安全管理的问题,网络设备的利用性不高,网络体系中出现恶意的程序,网络信息操作安全性能低。针对这些问题,公安边防部队要提升相关管理人员的综合化的修养,并注重网络信息安全的防范工作,制定合理的网络信息控制措施,为公安边防部队的工作人员提供一个稳定的守卫环境以及可靠的信息利用系统。

参考文献:

[1]任志安、钱士侠,论公安机关在群体性治安事件中的法律定位[J].长白学刊,2011(03).

[2]郭会茹、孙静静,公安网络信息安全及其防范措施的研究[J].赤峰学院学报(自然科学版),2011(09).

[3]钟婧,群体性治安事件处置原则新探究[J].法制与社会,2010(21) .

[4]苏伟,论社会转型期公安工作中的媒体应对[J].吉林公安高等专科学校学报,2010(01).

[5]许发见,从“维基解密”事件看公安网络安全管理重要性[J].信息网络安全,2011(02).

[6]翁杨华,浅谈公安信息网络安全问题及解决对策[J].福建电脑,2010(04).