安全网络论文范文
时间:2023-03-30 14:34:26
导语:如何才能写好一篇安全网络论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
办公网络面临的内部安全威胁
正如我们所知道的那样,70%的安全威胁来自网络内部,其形式主要表现在以下几个方面。
内部办公人员安全意识淡漠
内部办公人员每天都专注于本身的工作,认为网络安全与己无关,因此在意识上、行为上忽略了安全的规则。为了方便,他们常常会选择易于记忆但同时也易于被猜测或被黑客工具破解的密码,不经查杀病毒就使用来历不明的软件,随便将内部办公网络的软硬件配置、拓扑结构告之外部无关人员,给黑客入侵留下隐患。
别有用心的内部人员故意破坏
办公室别有用心的内部人员会造成十分严重的破坏。防火墙、IDS检测系统等网络安全产品主要针对外部入侵进行防范,但面对内部人员的不安全行为却无法阻止。一些办公人员喜欢休息日在办公室内上网浏览网页,下载软件或玩网络游戏,但受到网络安全管理规定的限制,于是绕过防火墙的检测偷偷拨号上网,造成黑客可以通过这些拨号上网的计算机来攻入内部网络。而有些办公人员稍具网络知识,又对充当网络黑客感兴趣,于是私自修改系统或找到黑客工具在办公网络内运行,不知不觉中开启了后门或进行了网络破坏还浑然不觉。更为严重的是一些人员已经在准备跳槽或被施利收买,办公内部机密信息被其私自拷贝、复制后流失到外部。此外,还有那些被批评、解职、停职的内部人员,由于对内部办公网络比较熟悉,会借着各种机会(如找以前同事)进行报复,如使用病毒造成其传播感染,或删除一些重要的文件,甚至会与外部黑客相勾结,攻击、控制内部办公网络,使得系统无法正常工作,严重时造成系统瘫痪。
单位领导对办公网络安全没有足够重视
有些单位对办公网络存在着只用不管的现象,有的领导只关心网络有没有建起来,能否连得上,而对其安全没有概念,甚至对于网络基本情况,包括网络规模、网络结构、网络设备、网络出口等概不知情。对内部办公人员,公司平时很少进行安全技术培训和安全意识教育,没有建立相应的办公网络安全岗位和安全管理制度,对于黑客的攻击和内部违规操作则又存在侥幸心理,认为这些是非常遥远的事情。在硬件上,领导普遍认为只要安装了防火墙、IDS、IPS,设置了Honeypot就可以高枕无忧。而没有对新的安全技术和安全产品做及时升级更新,对网络资源没有进行细粒度安全级别的划分,使内部不同密级的网络资源处于同样的安全级别,一旦低级别的数据信息出现安全问题,将直接影响核心保密信息的安全和完整。
缺乏足够的计算机网络安全专业人才
由于计算机网络安全在国内起步较晚,许多单位缺乏专门的信息安全人才,使办公信息化的网络安全防护只能由一些网络公司代为进行,但这些网络安全公司必定不能接触许多高级机密的办公信息区域,因此依然存在许多信息安全漏洞和隐患。没有内部信息安全专业人员对系统实施抗攻击能力测试,单位则无法掌握自身办公信息网络的安全强度和达到的安全等级。同时,网络系统的漏洞扫描,操作系统的补丁安装和网络设备的软、硬件升级,对办公网内外数据流的监控和入侵检测,系统日志的周期审计和分析等经常性的安全维护和管理也难以得到及时的实行。
网络隔离技术(GAP)初探
GAP技术
GAP是指通过专用硬件使两个或两个以上的网络在不连通的情况下进行网络之间的安全数据传输和资源共享的技术。简而言之,就是在不连通的网络之间提供数据传输,但不允许这些网络间运行交互式协议。GAP一般包括三个部分:内网处理单元、外网处理单元、专用隔离交换单元。其内、外网处理单元各拥有一个网络接口及相应的IP地址,分别对应连接内网(网)和外网(互联网),专用隔离交换单元受硬件电路控制高速切换,在任一瞬间仅连接内网处理单元或外网处理单元之一。
GAP可以切断网络之间的TCP/IP连接,分解或重组TCP/IP数据包,进行安全审查,包括网络协议检查和内容确认等,在同一时间只和一边的网络连接,与之进行数据交换。
GAP的数据传递过程
内网处理单元内网用户的网络服务请求,将数据通过专用隔离硬件交换单元转移至外网处理单元,外网处理单元负责向外网服务器发出连接请求并取得网络数据,然后通过专用隔离交换单元将数据转移回内网处理单元,再由其返回给内网用户。
GAP具有的高安全性
GAP设备具有安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计和身份认证等安全功能。由于GAP断开链路层并切断所有的TCP连接,并对应用层的数据交换按安全策略进行安全检查,因此能够保证数据的安全性并防止未知病毒的感染破坏。
使用网络隔离技术(GAP)进行内部防护
我们知道,单台的计算机出现感染病毒或操作错误是难以避免的,而这种局部的问题较易解决并且带来的损失较小。但是,在办公信息化的条件下,如果这种错误在网络所允许的范围内无限制地扩大,则造成的损失和破坏就难以想象。因此,对办公内部网络的安全防范不是确保每一台网络内的计算机不发生安全问题,而是确保发生的安全问题只限于这一台计算机或这一小范围,控制其影响的区域。目前,对内网采取“多安全域划分”的技术较好地解决了这个问题,而GAP系统的一个典型的应用就是对内网的多个不同信任域的信息交换和访问进行控制。因此,使用GAP系统来实现办公内网的“多安全域划分”,是一个比较理想的方法。
“多安全域划分”技术
“多安全域划分”技术就是根据内网的安全需求将内网中具有不同信任度(安全等级)网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制内网中不同信任度网络间的相互访问。这样,即使某个低安全级别区域出现了安全问题,其他安全域也不会受到影响。
利用网络隔离技术(GAP)实现办公内网的“多安全域划分”
首先,必须根据办公内网的实际情况将内网划分出不同的安全区域,根据需要赋予这些安全区域不同的安全级别。安全级别越高则相应的信任度越高,安全级别较低则相应的信任度较低,然后安全人员按照所划分的安全区域对GAP设备进行安装。系统管理员依照不同安全区域的信任度高低,设置GAP设备的连接方向。GAP设备的内网处理单元安装在高安全级别区域,GAP设备的外网处理单元安装在低信任度的安全区域,专用隔离硬件交换单元则布置在这两个安全区域之间。内网处理单元高安全级别区域(假设为A区域)用户的网络服务请求,外网处理单元负责从低安全级别区域(设为B区域)取得网络数据,专用隔离硬件则将B区域的网络数据转移至A区域,最终该网络数据返回给发出网络服务请求的A区域用户。这样,A区域内用户可通过GAP系统访问B区域内的服务器、邮件服务器、进行邮件及网页浏览等。同时,A区域内管理员可以进行A区域与B区域之间的批量数据传输、交互操作,而B区域的用户则无法访问A区域的资源。这种访问的不对称性符合不同安全区域信息交互的要求,实现信息只能从低安全级别区域流向高安全级别区域的“安全隔离与信息单向传输”。
这样,较易出现安全问题的低安全区(包括人员和设备)就不会对高安全区造成安全威胁,保证了核心信息的机密性和完整性。同时,由于在GAP外网单元上集成了入侵检测和防火墙模块,其本身也综合了访问控制、检测、内容过滤、病毒查杀,因此,GAP可限制指定格式的文件,采用专用映射协议实现系统内部的纯数据传输,限定了内网局部安全问题只能影响其所在的那个安全级别区域,控制了其扩散的范围。
“多安全域划分”的防护效果
由于GAP实现内网的信任度划分和安全区域设定,使办公内网的安全性极大提高,办公内网易出现的安全问题得到有效控制。
篇2
[论文摘要]随着计算机技术的发展,在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网的世界范围内的信息共享和业务处理功能。在信息处理能力提高的同时,基于网络连接的安全问题也日益突出,探讨了网络安全的现状及问题由来以及几种主要网络安全技术。
随着计算机网络的发展,其开放性,共享性,互连程度扩大,网络的重要性和对社会的影响也越来越大。而网络安全问题显得越来越重要了。国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”,上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
一、网络的开放性带来的安全问题
众所周知,Internet是开放的,而开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(一)每一种安全机制都有一定的应用范围和应用环境
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(二)安全工具的使用受到人为因素的影响
一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(三)系统的后门是传统安全工具难于考虑到的地方
防火墙很难考虑到这类安全问题,多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(四)只要有程序,就可能存在BUG
甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
(五)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现
然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
二、网络安全的主要技术
安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。
(一)认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。
(二)数据加密
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。
1.私匙加密。私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2.公匙加密。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
(三)防火墙技术
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。
防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
(四)入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(五)虚拟专用网(VPN)技术
VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密匙管理技术(KeyManagement)和使用者与设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
(六)其他网络安全技术
1.智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋与它一个口令或密码字,该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。
2.安全脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的安全漏洞,以改进系统对网络入侵的防御能力的一种安全技术。
3.网络数据存储、备份及容灾规划,它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。
4.IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
5.Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
篇3
1.1可用性
网络系统的可用性是指计算机网络系统要随时随地能够为用户服务,要保障合法用户能够访问到想要浏览的网络信息,不会出现拒绝合法用户的服务要求和非合法用户滥用的现象。计算机网络系统最重要的功能就是为合法用户提供多方面的、随时随地的网络服务。
1.2完整性
网络系统的完整性是指网络信息在传输过程中不能因为任何原因,发生网络信掺入、重放、伪造、修改、删除等破坏现象[1],影响网络信息的完整性。通过信息攻击、网络病毒、人为攻击、误码、设备故障等原因都会造成网络信息完整性的破坏。
1.3保密性
网络系统的保密性是指网络系统要保证用户信息不能发生泄露,主要体现在网络系统的可用性和可靠性,是网络系统安全的重要指标。保密性不同于完整性,完整性强调的是网络信息不能被破坏,保密性是指防止网络信息的发生泄露[2]。
1.4真实性
网络系统的真实性是指网络用户对网络系统操作的不可抵赖性,任何用户都不能抵赖或者否定曾经对网络系统的承诺和操作。
1.5可靠性
网络系统的可靠性是指系统的安全稳定运行,网络系统要在一定的时间和条件下稳定的完成网络用户指定的任务和功能,网络系统的可靠性是网络安全最基本的要求。
1.6可控性
网络系统的可控性是指网络系统可以控制和调整网络信息传播方式和传播内容的能力,为了保障国家和广大人民的利益,为正常的社会管理秩序,网络系统管理者有必要对网络信息进行适当的监督和控制,避免外地侵犯和社会犯罪,维护网络安全。
2网络安全技术在校园网中的应用
2.1防火墙
防火墙是指管理校园网和外界互联网之间用户访问权限的软件和硬件的组合设备[3],防火墙处于校园网和外界互联网之间的通道中,能够有效地阻断来自外界的病毒和非法访问,能够有效地提高校园网的网络安全。防火墙可以有效拦截来自外界的不安全的访问服务,同时还可以对防火墙进行设置,屏蔽有危害、不健康的网络网站,降低校园网的安全危害。另外防火墙还可以有效地监控用户对校园网的访问,记录用户的访问记录,保存到网络数据库中,可以快速统计校园网的使用情况,在分析用户访问记录如果发现用户的操作存在安全问题,防火墙可以及时发出报警信号,提醒用户的这个非法操作,防止校园网内部信息的泄露、另外,防火墙可以和NAT技术高效地结合起来,用于隐藏校园网的网络结构信息,提高校园网的安全系数,同时防火墙和NAT技术的高效结合很好地解决了校园网IP不足的情况,提高了校园网的运行效率。防火墙在校园网中的应用,完善了校园网内部的网络隔断,即使校园网发生安全问题,也可以在短时间内控制问题扩散的速度和范围。防火墙在校园网中发挥着重要的作用,能够有效地阻断来自外界互联网的安全侵害,但是防火墙不能阻止校园网内部的安全问题,不能拒绝和控制校园网内部的感染病毒。
2.2VPN技术
VPN技术在校园网的应用,通过VPN设备将校内局域网和外部的互联网连接起来,可以提高校园网的数据安全。VPN服务器经过设置后,只有符合相应条件的用户经过连接VPN服务器才能获得访问特定网络信息的权限,拒绝校园网内用户的危险操作。VPN技术可以实现用户验证,通过验证校内网用户的身份,只有符合条件的授权用户才能连接到VPN服务器,进行相关访问。其次实现校园网数据加密,VPN技术可以将通过互联网通道传输的数据进行加密,只有经过授权的用户才能访问这些信息。再次实现校园网密钥管理,通过生成校园网和互联网的基本协议,提高校园网的可靠性。并且VPN技术在校园网中的应用不需要安装VPN的客户端设备,降低了校园网安全管理的成本。通过VPN技术,校园网络管理员可以对校园网内用户的操作进行实时监控,及时发现校园网络故障点,进行远程维护,提高校园网维护管理能力。
2.3入侵检测技术
入侵检测技术在校园网中的应用,可以检测校园网络中一些不安全的网络操作行为,一旦检测到网络系统中的一些异常现象和未授权的网络操作,就会发出网络报警信号。入侵检测技术可以自动分析校园网络的用户活动,检测出校园网中授权用户的非法使用和未授权用户的越权使用[4]。入侵检测技术还可以监控校园网络系统的配置情况,检测出系统安全漏洞,提醒校园网络管理人员及时进行维护。另外,入侵检测技术在识别网络攻击和网络威胁方面具有重要的作用,可以及时发出报警信号,并且拒绝和处理网络攻击入侵行为,结合发现的网络攻击模式,检测校园网系统结构是否存在安全漏洞,提高校园网的数据完整性,进行系统评估。
2.4访问控制技术
访问控制技术主要是用来控制校园网用户的非法访问和非法操作,用户想要进入校园网,首先要通过访问控制,经过验证识别用用户口令、户名、密码等,确定该用户是否具有访问校园网的权限,当用户进入校园网后,就会赋予用户访问操作权限,使校园网络资源不会被未授权用户非法使用和非法访问。
2.5网络数据恢复和备份技术
校园网中的网络数据恢复和备份技术,可以防止校园网信息数据丢失,保护校园网重要信息资源。网络数据恢复和备份技术可以实现集中式的网络信息资源管理,对整个校园网系统中的信息资源进行备份管理,可以极大地提高校园网管理员的工作效率,实现网络资源的统一管理,利用网络备份设备实时监控校园网络中的备份作业,结合校园网的运行情况,及时修改网络备份策略[5],提高系统备份效率。校园网管理员可以利用网络数据恢复和备份技术,定时对网络数据库中的数据进行备份,这是网络管理重要环节。校园网的备份系统可以在用户进行校园网访问时,建立在线网络索引,当用户需要恢复网络信息时,通过在线网络索引中的备份系统就可以自动恢复网络数据文件。网络数据恢复和备份技术实现了校园网络的归档管理,通过时间定期和项目管理对网络信息数据进行归档管理,在网络环境建立统一的数据备份和储存格式,使所有网络信息数据在统一格式中完成长时间的保存[6]。
2.6灾难恢复技术
校园网中的灾难恢复主要包括两类:个别数据文件的恢复和所有信息数据的恢复。当校园网中的个别数据文件恢复可以利用网络中备份系统完成个别受损数据文件的恢复,校园网络管理员可以浏览目录或者数据库,触动受损数据文件的恢复功能,系统会自动加载存储软件,恢复受损文件。所有信息数据的恢复主要应用在当发生意外灾难时导致整个校园网系统重组、系统升级、系统崩溃和信息数据丢失等情况。
3结语
篇4
关键词:网络安全防火墙加密技术PKI技术
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等,以下就此几项技术分别进行分析。
一、防火墙技术
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
二、数据加密技术
与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术
对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。
2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
三、PKI技术
PKI(PublieKeyInfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。
1.认证机构
CA(CertificationAuthorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。
2.注册机构
RA(RegistrationAuthorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
3.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.证书管理与撤消系统
证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
四、结束语
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。
参考文献:
篇5
关键词网络安全系统安全网络运行安全内部网络安全防火墙
随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。
作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。
网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
一、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。
以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。
参考文献
1.局域网组建与维护DIY.人民邮电出版社,2003.05
篇6
尤其是当以下问题发生时,使得网络在遭受安全攻击时,显得非常脆弱:上层应用的安全收到Internet底层TCP/IP网络协议安全性的影响,如果底层TCMP网络协议受到攻击,那么上层应用也会存在安全隐患;黑客技术和解密工具在网络上无序传播,而给一些不法分子利用这些技术来攻击网络;软件的更新周期较长,而极有可能使得操作系统和应用程序出现新的的攻击漏洞;网络管理中的法律法规不健全,各种条款的严谨性不足,而给管理工作带来不便,对于法规的执行力度不足,缺乏切实可行的措施。
2对企业办公网络安全造成威胁的因素
对办公网络的信息安全实施有效的保护有着非常重要的意义,但同时也存在着一定的难度。由于网络技术自身存在很多不足,如系统安全性保障不足。没有安全性的实践等,而使得办公网络不堪一击。除了自然灾害会给办公网络埋下巨大的安全隐患外,还有计算机犯罪、黑客攻击等因素也是影响网络信息安全的不稳定因素。
2.1自然灾害造成的威胁
从本质上来说,企业办公网络的信息系统就是一台机器,根本不具备抵御自然灾害、温度、湿度等环节因素影响的能力,再加上防护措施的欠缺,必然会加大自然灾害和环境对办公网络信息的威胁。最常见的就是断电而造成的影响,会使得正处于运行状态中的设备受到损害或者导致数据丢失等情况的发生。
2.2网络软件漏洞造成的威胁
一般来说,网络软件自身就存在着一些不可避免的漏洞,而给黑客攻击提供了便利,黑客会利用这些软件漏洞对网络实施攻击,在常见的案例中,网络安全受到攻击的主要原因就是由于网络软件不完善。还有一些软件编程人员,为了自身使用方便而设置“后门”,一旦这些“后门”被不法分子找到,将会造成不可预料的后果。
2.3黑客造成的威胁
办公网络信息安全遭受黑客攻击的案例数不胜数,这些黑客利用各种计算机工具,对自己所掌握的系统和网络缺陷下手,从而盗取、窃听重要信息,或者攻击系统中的重要信息,甚至篡改办公网络中的部分信息,而造成办公网络瘫痪,给企业造成严重的损失。
2.4计算机病毒造成的威胁
计算机病毒会以极快的速度蔓延,而且波及的范围也非常广,一旦爆发计算机病毒将会造成不可估计的损失。计算机病毒无影无形,以依附于其他程序的形式存在,随着程序的运行进一步侵入系统,并迅速扩散。一旦办公网络被病毒入侵,会降低工作效率,甚至导致系统死机,数据丢失等严重情况的发生。
3如何加强办公网络中的网络安全
3.1数据加密
数据加密技术指的是通过加密钥匙和加密函数转化,将信息处理成为无意义的密文。而接收方再通过解密钥匙和解密函数,将密文还原成为明文。加密技术是网络安全技术的基石。加密的原理就是改变数据的表现形式,而目的就是确保密文只能被特定的人所解读。一个加密网络,不仅可以实现对非授权用户的搭线窃听和入网的阻拦,而且还能有效的防止恶意软件的入侵。一般的数据加密可以在通信的三个层次来实现,分别是链路加密、节点加密和端到端加密。
3.2建立网络管理平台
现阶段,随着网络系统的不断扩大,越来越多的技术也应用到网络安全当中,常见的技术主要有防火墙、入侵检测、防病毒软件等。但不足的就是这些系统都处于独立地工作状态,要保证网络安全以及网络资源能够被充分利用,应当为其提供一个经济安全、可靠高效、功能完善的网络管理平台来实现对这些网络安全设备的综合管理,使其能够充分发挥应有的功能。
3.3设置防火墙
篇7
(一)管理中存在的主要不足
1、安全防范理念不强。在网络安全管理中,很多油田的防范意识很被动,缺少主动发现问题和预防风险的精神,往往发生了安全问题或明确的故障后,才造解决措施或是请示报告。事后解决会浪费成本,也影响油田网络的稳定运行,管理不到位。
2、不能对科学宏观地分析油田整体网络的运行。我国油田企业的网络安全管理所采用的方式是到网络设备近端检查,或利用远程登录的方法到相关设备上进行查看。该种方式在一定程度上浪费了工作人员的大量精力和宝贵时间,并且对于设备运行的历史数据不能进行持续的检测和保存,无法为工作人员提供可靠的真实的相关数据。这些都直接影响油田企业网络性能以及网络运行质量的提高。
3、缺少应急启动机制。油田网络发生故障在所难免,这也是应该预料的范围,关键是网络安全管理人员要及时找到网络安全故障的原因以及应对办法。通常的油田网络安全工作靠管理者的能力,缺乏一整套规范的应急机制。如果管理人员本身经验不足、技术不够,不能技术找到应对办法,就会给油田造成更大的损失。
(二)影响安全的主要因素
1、网络安全系统自身的漏洞。信息系统受技术的影响,在组建过程中存在一些不足,病毒就有可能趁虚而入,破坏重要信息。各种病毒随着防护手段的升级而升级,当防范不利时会使安全体系破坏或崩溃。
2、电脑黑客的非法入侵。油田网络了运行的过程中,也会遇到黑客的侵袭。黑客对电脑客户端和数据库的入侵方式有多种。如前期的ping扫描、端口扫描、sniffer,以及后门程序(植入木马)、信息炸弹、拒绝服务(DOoS))、IP欺骗、UDP攻击等,导致计算机、网络过载或账号密码、机密资料丢失。
3、人为因素的隐患。油田信息管理的有关人员,将网络安全体系中信息安全密码泄露,将重要信息遗失、更改、窃取,造成安全系统无法正常运转。有的企业员工安全意识淡薄,使用U盘、光盘等存储介质往往未经杀毒,将个人数据中的病毒、木马等感染到单位内网中,造成整个网络安全数据等被破坏。针对上述影响油田网络安全的主要因素及网络安全管理中的漏洞,为保证油田网络的安全,目前多数油田已经对网络安全预警机制产生了高度重视,具体措施如下。
二、油田网络安全管理和防护建设
(一)健全单位的网络安全管理制度
单位应该规范对计算机和相关设备的备案制度,明文指定IP地址,进行MAC绑定认证,严禁使用人更改分配的固定IP地址;在设备硬件管理上执行严格的安全规章制度,如不得私自拆卸安装硬盘、更换网卡等配件,不许随意在原有线路上添加更换交换机、路由设备,不得将私人储存设备与办公电脑及服务器连接,禁止无关人员进入机房等。
(二)加强全体员工的安全防范理念
网络安全事故的事先防范是完全可能也更有意义,对此油田管理人员应对企业员工尤其是网络管理人员及维护人员进行责任感和防范理念的教育。企业员工在单位上网时要养成良好的使用习惯。不随意打开不明邮件,不登陆可疑网站,不在网上私自上传油田内部资料,定期李景瑜大庆油田矿区事业部信息中心对计算机杀毒和修复。员工要注意内网用户登录安全,密码设置最好采用符号和字母、数字综合的方式,同时要取消各系统密码保存选项,做到一登陆一舒密。对共享文件夹等资源进行权限设置,规定只有指定账号、特定机器才能访问共享资料,对重要文件及文件夹要及时取消删除、修改权限同时做好数据备份。
(三)提高网络安全防护技术水平
1、加强内部网站业务系统访问限制管理。对内部信息系统和外部互联网实行物理隔离,需要同时上内网和外网的科室,购置双网隔离计算机,内外网5秒钟无间断切换;同时,对内部局域网中的医疗网络系统和办公网络系统进行物理分割,封闭医疗网络系统中所有对外的接口;保证存有重要数据的子系统只能使用内网而不能使用外网。软件方面的信息系统安全技术主要包括:选择符合系统安全要求的操作系统并及时更新。客户端安装远程监控软件,帮助系统管理员实时监控和记录系统各个终端的运行情况,防止非法用户侵入系统。
2、提高数据备份技术水平。网络安全管理就是要保障数据、数据库的完整和网络的稳定运行。数据及数据库时时刻刻都在进行变动,在数据的上传下载、数据修改和网络交换过程中都可能造成丢失、破坏。我们要做的就是要尽量避免出现此类情况,或是在最快时间内恢复,使数据的丢失最少。但是,最妥善的方法是做好数据备份,当面对系统硬件故障、人为操作失误或是黑客的攻击时,依然能切实保证数据的完整性。
3、完善统一的防毒体系。网络安全离不开应用体系结构的严密,当用户通过网络访问应用和数据库服务器时,能够保证服务器的安全,不能让用户直接访问,还要控制用户的访问。要同时保护好服务器、交换机、工作站等硬件系统,给网络设备的运营创造良好的工作环境。建立统一的防病毒网络,服务器系统安装服务器端,用户安装杀毒软件客户端等,从而实现远程控制、统一报警、共同升级、杀毒及病毒记录等多种功能的统一。网络病毒库更新后,服务器自动检索服务商站点进行下载,之后将更新包共享至用户电脑,保证了内网病毒库的及时更新,尤其可将数字化生产指挥系统无外网终端纳入了防毒体系,消减隐患。而且通过管理员控制台,管理员可以在网络中的任意一台计算机上对整个网络进行集中控制管理,清楚的掌握全网的安全状况,提升处理效率,有效保障网络系统安全。
(四)加强对网络管理和防护人员的培训
篇8
1.1对供应商的影响
降低成本,提高效率一直是航空公司经理们所要考虑的问题。在传统情况下,当公司需要进行采购的时候组织采购部门会填写请购单,这个请购单会交付给供应商。表格交付后,确认产品信息确认后付款。采购过程非常耗时。在网络没有出现的年代,寻找要购买的商品通常需要一个半天的时间,而电子采购只需要20分钟。(Chaffey,2002)可以说企业机构从电子采购中获益很多。
1.2对分销商的影响
对航空业来讲,分销是指航空公司如何把机票分配给消费者。在网络没有盛行的年代,旅行社是重要的购买机票的渠道。而现在购买机票方式的变化是显而易见的。许多航空公司设立了官方网站来吸引消费者购票。Law和Leung(2000)认为网络能够在不通过旅行社和电脑预订系统(ComputerReservationSystems,CRS)直接与消费者沟通,从而降低了机票的分销费用。EasyJet航空公司就是通过各种方式来降低不必要成本的典型,比如通过网络售票。2001年9月75%的人上网买票,这可以看作是一种脱媒方式。随着网络的普及,几乎所有的航空公司都建立自己的网站,同时网络订机票的中介也应运而生,这就意味着航空公司之间的竞争越发激烈,尤其对那些以价格为导向的消费者来说,他们更倾向于价格更便宜的机票。以2012年4月22日从伦敦到巴塞罗那的机票为例,大英航空的最低票价为196英镑,而Easyjet的票价只有62.99英镑,可见Easyjet在降低成本上所做的努力。可以看出,网络在降低了航空业分销渠道成本的同时,也加大了行业内部之间的竞争。
1.3对客户关系的影响
如上所述,航空业属于服务业范畴,因而公司与消费者的关系是至关重要的。Chaffey(2002)认为客户关系主要有两个部分,即客户获取(customeracquisition)和客户维系(customerretention),其中获取一个客户要比维系一个客户成本更高。因而公司希望与已获得的客户保持长期而良好的关系,而网络让维持这种关系变得更加容易。荷兰皇家航空公司(KLM)的网络客户关系管理团队(CRMteam)会根据客户在网上订票后所留下的cookies(小型文本本件)来判定客户的消费习惯,从而为客户提供更加个性化的信息,比如给他们发送专门为他们定制的邮件。他们也为常旅客(frequentflyers)提供专属的服务,并称之为常旅客计划会员(frequentflyerprogrammem-bership)。其次,对消费者来说,网络的产生让消费者能够随时随地查询相关信息,比如网上值机系统(onlinecheck-insystem)能够节省消费者的时间同时也能降低公司人力成本。航空公司通过电子商务(网络,手机等)可以更好与消费者维持良好的关系。廉价航空公司EasyJet通过使用RightNow公司的客户关系管理软件使该公司运行成本降低了75万英镑。
2电子商务在未来发展中的隐患
2.1网络安全问题
对消费者来说网络安全是他们进行网上购物的顾虑之一,这种顾虑不仅仅存在于航空业之中,其中就包括网上转账安全。2011年美国社交网络脸书(Facebook)的大规模用户信息泄露事件让网络安全问题处在了风口浪尖上。网络诈骗及其他网络问题的出现让消费者们对网上转账产生了疑虑。据统计,仅2008年美国航空业损失费用达到14亿美元,占了当年世界航空业总产值的百分之1.3。Cunningham等(2004)认为“对于基于网络和传统的航空预订服务来说,对风险的感知是系统的模式”这就意味着尽管航空公司不断强调他们采用多么现实的网络安全技术,消费者始终会对网上支付有一定的顾虑。其次,消费者也担心在网上注册账号会导致更多的个人信息被泄露。美国廉价航空公司捷蓝(JetBlue)航空在顾客信息保护上面下了很大功夫,公司信息技术副总裁ToddThompson认为“网络能够提升他们为顾客提供优质服务的能力,但不幸的是,电子通信总是会被转发、打印或复制,因此完全的保密是几乎不可能完成的”。捷蓝航空计划为WindowsServerTM2003和微软办公系统使用微软公司的权限管理服务MicrosoftRWindowsRRightsManagementSer-vices(RMS),这种信息保护技术是建立在文件级别上了,内部信息的交流会降低信息被他人误读,从而提高了消费者信息的安全性。但根据Krishnamurthy(P.5)的研究,通过旅行网站所泄露的个人信息占据所有网站之首,旅行网站的直接泄露指数(directleakageindex)为9,而像购物网站和新闻网站分别只有3和5。由此可以看出,航空业在未来发展电子商务方面还存在着潜在的风险。而且提高升级网络系统容易,但是改变人们对网络隐患的担忧却不是那么容易。
2.2硬件问题
Phaladsingh(2006)认为“个人电脑的普及率”是影响电子商务发展的阻碍之一,这就意味着不管网络技术有多发达,如果人们买不起电脑和其他数码设备,电子商务就很难发挥其作用。对于航空业来说同样是如此,网上值机、网上购票等服务只有在有电脑设备的时候才会体现出其优越性。显而易见,发达国家更容易接触到电子产品也更容易享受到电子产品带来的便捷体验。2004年在美国每1000人中有763个人拥有电脑,而在一些欠发达国家每1000人中平均只有1到2个人拥有电脑,非洲国家尼日尔每1000人中只有0.1716人使用电脑,这个数量在增加,但不可否认的是在发展中国家尤其是一些欠发达国家电子商务并不能产生很好的效果。
3结论
篇9
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
一、校园网络安全现状分析
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.
篇10
1.1主观因素
(1)从使用网络的人来看,网络使用者的安全防范意识不尽相同,有的人非常重视网络安全,有的人甚至不知道什么是网络安全,网络安全意识薄弱。
(2)从黑客的角度来分析,黑客对于网络安全的威胁是目前最大的。黑客通常是利用技术将带有病毒的游戏、网页、多媒体等放入软件终端,电脑使用者不留意就会点开这些资源,黑客就会监控电脑的一切活动,会偷取计算机上的用户名、账户、密码等个人隐私数据,或者占用系统资源,严重的情况下会导致系统崩溃,企业相关的资料都会消失,损害企业的经济、财产,并为网络安全带来威胁。
1.2客观因素
石油企业应用网络办公都已经形成了企业独立的网络系统,但还是受到网络安全的威胁,主要是由于影响石油企业网络安全的自然原因主要是操作系统和软件的漏洞。随着科技的发展,网络操作系统和应用软件总在不断地更新,而且其更新比较慢,这就为黑客的入侵提供了缝隙。
2、石油企业网络安全的防护技术措施
随着石油企业网络安全问题的频繁出现,网络使用者必须重视网络安全问题,必须对网络安全采取有效的防护技术和措施,为企业提供安全的网络管理平台。
2.1石油企业建立健全企业规章制度
为了确保企业网络安全,必须建立完善的安全系统,了解网络安全的重要性。对于网络安全事故的发生,应采取处罚制度,并进行记录,一旦出现重大网络安全事故,可以做到有证据可依。
2.2石油企业应对网络数据采取加密技术
石油企业内一些重要的文件必须对其进行加密后再放到外部网络中,并结合防火墙技术,才能进一步提高石油企业网络信息系统内部数据的保密性和安全性,防止数据被非法人员偷盗,损害企业的利益。
2.3石油企业应加强员工网络安全知识的培训
员工作为石油企业网络的使用者,梳理员工网络安全意识变得尤为重要,只有让员工认识到网络安全的危害和意义才能从根本上防止主观因素网络安全问题的发生。石油企业应加强对员工网络安全信息的培训工作,提高员工的网络安全意识,保证企业网络安全的使用。
2.4石油企业应加强系统平台与漏洞的处理
网络管理员可以利用系统漏洞的扫描技术来提前获取网络应用过程中的漏洞,并通过漏洞处理技术快速恢复系统漏洞。
3、关于石油企业网络安全中其它防护技术
在石油企业网络安全防护技术方案中,还应该应用以下几个防护技术:访问控制技术、入侵行为检测技术、异常流量分析与处理技术、终端安全防护与管理技术、身份认证与管理技术。
3.1访问控制技术
企业可以根据企业本身的安全需求、安全级别的不同,在网络的交界处和内部划分出不同的区域,在这些区域中安装防火墙设备进行访问控制。通过防火墙设备对数据包进行过滤、对于有问题的数据进行分析,防止外部未被授权的用户入侵企业网络。单向数据输出的安全区域,防火墙设备应对外区域的访问请求进行阻止;对于需要进行双向数据交互的区域,必须按照制源地址、目的地址、服务、协议、端口内容进行精确的匹配,避免网络安全问题的出现。
3.2入侵行为检测技术
入侵检测就是在石油企业网络的关键位置安装检测软件,对入侵行为进行检测与分析。入侵检测技术可以对整个企业网络进行检测,对产生警告的信息进行记录并处理。
3.3异常流量分析与处理技术
为了保障供应服务的稳定性,避免拒绝服务攻击行为导致业务系统可用性的丧失,需要通过深度包检测。当发现网络流量有问题时,就会将恶意数据删除,保留原有的正常数据,这样就保证了有权限的用户进行正常访问。
3.4终端安全防护与管理技术
企业整体信息安全水平取决于安全防护最薄弱的环节。在石油企业中,企业比较重视网络及应用系统的保护,忽视了对终端计算机的全面防护与管理措施的保护。这些就需要企业利用安全防护管理技术在内部终端计算机进行统一安全防护和安全管理,保证信息的安全。
4、结语