局域网网络安全措施范文
时间:2023-09-12 17:19:35
导语:如何才能写好一篇局域网网络安全措施,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
局域网的使用需要将无线信道作为媒介,然后在此基础之上支持漫游、移动以及网络通信等,移动性、灵活性、扩展性以及便捷性比较明显。其在使用时优势主要体现在对无线电波的使用,但是在使用时,也会使局域网产生一定的安全问题,即入侵者不需要进入到内部的物理位置然后进行物理连接,只需要对内部网络进行攻击即可[1]。
1企业局域网网络在使用时面临的风险
局域网主要是使用无线介质对数据以及信息进行传输,在网络设备和终端之间并没有物理电缆,但是这在方便用户使用的情况下,也使入侵者在攻击时变得更加便利。无线信号在使用过程中,对门窗以及墙壁等都有一定覆盖能力,难以实现对范围的精确覆盖,由于在使用过程中不能将全部的信号接收范围以及接收设备定向,就会出现目标外泄,进而产生安全问题。企业局域网从本质上是为了使企业当中的信息不被泄露,使企业当中的数据保证其机密性、完整性和真实性[2]。但是就当前情况来讲,网络越来越开放,我们在享受网络带来便利的同时,也承担着相应的安全隐患,同时这些隐患也会带来一定威胁。而威胁产生的原因可能是人为,也有可能是不经意之间的失误,还有可能是由于软件当中存在的漏洞造成。当前在网络应用逐渐深入背景下,非法访问、安全威胁以及恶意攻击的可能性也在逐渐加大。而安全问题的产生主要体现在以下几个方面:(1)硬件问题硬件问题主要体现在设备上相对落后,它是计算机中使用的服务器,服务器难以跟上时代脚步,在这种情况下,软件安装和运行系统在使用时,才能充分满足时代需要。其中比较重要的是无线设备和防火墙。防火墙在使用时的劣势主要体现在难以对内部网络的入侵问题起到很好防范,很多企业的工作人员在选择使用无线路由器搭建无线网,在此过程中会产生比较大的安全风险。(2)软件问题软件和操作系统的使用都是经过调试以及编写,其在设计与结构上需要相应的人为因素参与,因此就难以避免或出现一些漏洞或者是缺陷,网络攻击以及病毒的产生也恰好是利用这一系列漏洞,进而使计算机遭受恶意程序的破坏,影响其正常工作[3]。网络系统是实现网络服务以及网络协议的重要载体,需要程序上的支持,而受到人为因素的影响,网络在使用过程中存在漏洞的概率也有所增加。(3)人为因素在企业当中,网络安全的实现,不仅涉及技术人员,也关系到每个人,网络资源在使用中存在的共享性,能够使人们在使用过程中实现信息之间的共享,也能使企业当中的工作人员加强对计算机的依赖程度,而这种情况的出现也带来了相应的安全隐患。
2企业局域网网络安全防范措施
(1)做好备份工作备份是企业工作中的重要内容,其中备份主要有三种形式,主要为差异备份、完全备份以及文件备份。完全备份在实施过程中需要花费大量时间,也是最为必要的一项内容,企业在运行过程中,需要间隔一定时间就进行完全备份,备份工作的实施有利于保证数据的完整性和安全性[4]。差异备份主要是指完全备份在结束之后,需要针对一些可能会出现变化的内容进行备份。而文件备份在使用频率上并不高。除此之外,企业还需要对重要数据进行备份。(2)防火墙的设置与安装防火墙的设置与安装,有利于实现对企业网络的细化管理,使网络彼此之间的访问受到限制,进而使网络信息的内部安全得到充分保证,同时通过设置防火墙,也能使外网与内网之间形成相应保护屏障,实现内网与外网的隔离,进而使网络安全得以保证。不仅如此,防火墙也能对计算机中传输的信息实施安全检测,为信息和数据在传输时的安全提供保证[5]。防火墙的使用能够实现对网络的分割管理,并且使计算机在使用时,其访问受到监测,将规则允许的数据放入到网络中,在这种情况下,黑客病毒对内部网络的访问能够得到较大阻止。也就是说防火墙是网络内部与外部之间的通道,只有通过防火墙,局域网才能得到连接,进而使企业当中的信息安全得到保障。(3)内部监管在进行内部监管时,可以从两方面进行,一方面为了降低硬件设施在损坏时对网络产生的影响,需要经常对其进行检查,检查的范围主要包括交换机、防火墙、主机、路由器以及光驱等,加强相应监管力度,同时需要对硬件进行备案与治理,这样才能实现对备份工作的强化。另一方面,需要注重网络管理以及网络控制的实施。(4)杀毒软件的安装杀毒软件能够起到较大的反病毒作用,实现对软件的安全防护,起到对网络的防御作用,在使用过程中,能够对电脑病毒进行清除,解决电脑中产生的恶意软件以及木马程序等。杀毒软件是计算机实现安全防范中不可或缺的一部分,其功能上主要体现在软件监控、自动升级、流量控制、主动防御、病毒查杀等几个方面,其中企业在安全防范中使用的主要功能是病毒查杀以及主动防御,并且会对网络进行不断升级,使病毒数据库得以更新,然后通过对数据的对比,对病毒进行有效的查杀与防护[6]。如果局域网的速度比较快,其在病毒的传播速度上也会更快,杀毒软件的安装,能够实现对病毒的多层次和全方位查杀,进而在最大程度上实现对病毒的控制。(5)保护IP地址IP地址能够最直接的显现出网络中的主机,对IP进行攻击,也是网络安全中最为常见的攻击方式,黑客能够从用户上网时产生的痕迹,对用户使用的IP进行跟踪。黑客在掌握IP之后,就会确定相应的攻击目标,然后对IP进行各种方式的攻击。在对于企业局域网来讲,为了实现对网络的安全防范,需要使用服务器,这样黑客在攻击时,只能发现服务器的IP,进而将真实的服务器地址隐藏,使主机的安全得到充分保证。因此企业在实际工作中,应该注重对IP地址的保护,防止出现信息泄露的问题,以免为企业带来不必要的损失。(6)防止交叉感染就企业来讲,局域网是一个比较封闭的内部网络,也就需要在使用过程中注意对外界设备的相关管理,尤其是对U盘的管理,U盘在使用时比较便捷,但是比较容易发生病毒感染,当U盘被病毒感染之后,就比较容易产生交叉感染。(7)及时修复漏洞局域网在使用过程中,需要及时修复系统当中的漏洞和补丁,尤其是一些危险性比较高的漏洞,计算机对病毒的侵害基本不设防。因此需要对系统当中产生的一些补丁及时进行更新,使漏洞得以最大限度减少,使计算机产生的安全隐患得以有效降低。
3结束语
总之,企业局域网安全防范措施的实施比较复杂,是一个系统工程,涉及企业的不同工作,这就需要企业做好对计算机在硬件和软件方面的配备,使工作人员在实际工作中形成一定的安全意识,运用合理方式,使局域网在使用时的安全得到充分保证,然后为企业提供更优质的服务。
参考文献:
[1]史晓娜.企业级无线局域网的网络安全防范措施研究[J].中国科技投资,2018(18):240.
[2]马代军.企业级无线局域网的网络安全防范措施[J].电子制作,2014(12):140-140,141.
[3]郭思琪.试论加强企业单位局域网信息安全管理的策略[J].数字通信世界,2016(10):157.
[4]林松.电力行业计算机局域网络安全防范的重要性[J].低碳世界,2017(5):95-96.
[5]张禄远.企业局域网信息安全研究[J].科技视界,2015(4):97-98.
篇2
关键词:计算机;局域网;安全现状;对策
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)20-4687-02
Analysis of the Present Situation and Countermeasure of Computer LAN network
LIU Ji, LONG Bo
(Shenyang radio and TV University, Shenyang City, Liaoning 110003, China)
Abstract: The modern computer technology and facilities have developed rapidly, so is the computer local area network, but the computer local area network security situation is not optimistic, this paper mainly expounds the safety analysis of present situation and Countermeasure of computer local area network, and looking to the future, the future must be bright.
Key words: computer; network; security status; countermeasure
计算机在现代是一个很新兴的名词,自从有了有了计算机,人类就逐渐进入一个科技化、信息化的时代。特别是计算机网络的出现使地球变成了“地球村”,人们获取信息更加方便和快捷。就在这种方便快捷的工作、生活的信息化时代飞速发展的时候,也有一种威胁伴随而来,那就是网络的安全问题。这些安全问题设计的范围很广:个人信息资源安全问题、个人金融安全问题等等。为了更好更快解决这些存在的威胁,更好保护个人安全隐私,解决计算机局域网网络的安全十分重要,并且迫在眉睫。
1 计算机局域网的涵义
计算机局域网是指在某一特定区域内,所有计算机连接起来形成一个网络,有着相同的资源,分享大量数据。一般的范围几百平方米亦可达到几平方千米甚至更广。计算机局域网有着很多信息化功能,如文件共享、软件应用共享、电子邮件和信箱服务等等。局域网也可以是封闭的,有两台以上的计算机构成,实现局域网的各种功能。
现代社会局域网的数量不计其数,局域网各种计算机设备联系在一起,组成了一个信息通讯网络,可以通过局域通信网或者局域数据网络传输文件。一般存在于某一个学校,某一个大型工厂,一个机关部门,一个公司等等。
2 现代计算机局域网的网络安全现状
广域网的安全性一般表现在对于外部的危险,广域网对于外部的危险防御强大,所以很少受到危险。但是广域网内的安全隐患还是比较大的,广域网内的各种计算机存在一定的安全问题,不是绝对安全。一个计算机存在问题,往往在局域网内计算机都会受到伤害,因为这些问题会通过网络进入其他计算机,对其他计算机的数据、信息等产生巨大威胁。
2.1 局域网络制度缺乏
“无规矩不成方圆”,大多数人的心里基本没有什么计算机局域网安全的制度概念,是造成现代计算机局域网安全现状的一个重要因素。大多数的人对网络安全认识不够,对于使用网络中应该要注意的安全不够重视,这是计算机网络安全制度的缺失,并且没有计算机网络的具体管理制度。
2.2 缺乏相应的安全措施
大多数局域网是一种开放的网络,使用的群体范围很大,计算机的配置、资源类型等都各不相同,缺乏相应的管理措施,造成了局域网使用过程中的混乱。现代局域网缺乏一些相应而又具体的安全措施,适合所有的计算机,缺乏限制一定计算机配置的问题。虽然大部分计算机都有着自己的安全设施,例如计算机自带的防火墙功能、计算机中的安全软件等等,都是由于设置不够严谨,设置上存在的漏洞,往往会发生一些访问权限的越位问题,造成计算机内的信息和数据等损失和伤害。对于设置上存在的不足,也往往造成他人的乘机行为,进行乘机破坏或者滥用。
2.3 缺乏稳定的计算机局域网网络
计算机局域网的网络除了存在网络制度的缺乏和相应的安全措施,还存在由于计算机局域网络的缺失造成的稳定性不足的问题。计算机网络的稳定性影响着人们使用网络的心情,如果网络的稳定性的不足,就会给人们使用网络生活带了更多的不变。计算机局域网网络缺乏稳定性对于局域网安全也有着很大的威胁。
2.4 计算机的局域网的服务器缺乏完善的安全体系
计算机局域网的服务器是局域网内个台计算机联系的桥梁,各台计算机联系到这个服务器才能实现资源和信息的共享。这就导致如果资源变成一个电脑病毒,这个电脑病毒也是共享的,这其中的危险可想而知,将会导致局域网内的计算机都很感染病毒,造成整体系统的破坏。正因为计算机局域网服务器缺乏一个完善的安全体系,如果存在一个安全有效的安全体系,就不会存在这种危险。现代的局域网遍布各处,由此可知,局域网大多可以局域网外干扰,很难避免网内的危险。
3 计算机局域网网络安全的对策
在现代高速发展的信息时代,计算机局域网络存在着以上四个方面的不足和威胁,要想使人们更加安全地使用局域网,更加和谐地生活,维护计算机安全刻不容缓。要想使得局域网络更加普及,人们的学习、生活、工作更加方便,需要更加安全可靠的局域网络的出现。所以,计算机局域网网络的安全现今是一个不容忽视的问题,从对整个局域网系统的和谐到每一台网内的计算机的安全运行,都要求最快速去解决。所以,本人对于局域网及众多网络研究多年,提出以下三点建议,只要做到这三点,计算机局域网网络的安全就会大大增加,而且减少对人们使用网络时的安全方面烦恼。
3.1 增强计算机的防火墙功能,完善局域网IP的设置
局域网内计算机收到一定的威胁一部分就是由于局域网内的计算机的防火墙的功能不够强大,要想计算机少受伤害,增强防火墙的功能是首要做的事情,也是最简单可行的办法。增加防火墙的功能,设置安全有效的防火墙技术,就可以限制局域网网络内计算机网络的相互访问,就会避免外来人物非法使用,就可以抵抗外来的计算机病毒。
局域网的IP地址是网络内计算机连接的平台,也是计算机信息交流,数据交换的基础,自然也是病毒传播的媒介,完善局域网IP的设置,加强IP地址的固定设置,就在很大程度上解决了网络存在的一些漏洞。完善局域网IP的设置,就是可以出去那么多余的IP地址,留下最重要的IP地址以供使用就行。
3.2 加强局域网内病毒的防护
病毒听上去就是一个可怕的东西,它可以破坏局域网内的网络秩序,造成网络的紊乱,甚至造成网络瘫痪。局域网网络内的病毒防护机制、杀毒体系对每一台计算机都有好处。所以不管你是专业的电脑人员,还是用电脑工作人员,还是普通电脑使用者,都应该掌握一些基本的防病毒知识、杀毒技巧,这样一旦自己的计算机出现问题可以第一时间得到解决。
3.3 建立一个安全有效的网络检测设备
计算机局域网网络需要一个专业技能过硬的管理员的存在,计算机局域网网络需要一个安全有效的网络检测设备,有了这双层保护,局域网内发生一些不安全的事情的概率肯定会下降很大。计算机局域网网络应加强维护管理者的专业技能的培训工作,要加强时刻面临危险的紧迫感,这样就等于给计算机网络的安全等级提升了一大步。计算机局域网应设置一个网络检测设备,当网络出现危险时,可以第一时间进行提示或者发出警报,这样高技能的管理员就会在第一时间解决问题,这样在发生危险时,可以第一时间解决,大大降低网内计算机受到伤害。
4 结束语
现代计算机的发展迅速,人类已经不忍了信息化时代,但是信息时代在带给人们很多方便的同时也带来一些不容忽视的威胁。综上所述,计算机局域网网络的安全系数不够,安全现状不容乐观,需要引起足够的重视。计算机局域网网络是一个系统性的问题,不是一朝一夕可以解决,解决了一些问题也许会再次出现一种的新的问题。要想从根本上解决问题,需要从整体考虑,从大局出发,共同努力,共同维护、防御、解决网络安全问题。在对局域网络维护的同时,需要建立一个安全有效的网络防御体系,经过不断实践、不断开发,共同完善局域网网络安全体系。这不仅是推进计算机的网络技术发展,更是为未来更方便、更快速、更完善的信息化时代做出了一点绵薄之力。
参考文献:
[1] 汪海慧. 浅议网络安全问题及防范对策[J]. 信息技术, 2011(6).
篇3
1.1非法破坏和访问
非法入侵者经常利用局域网系统中的安全漏洞窃取网络资源或者对网络发起攻击,非法入侵攻击局域网的主要方法有伪造、篡改、中断和截获等,严重影响了局域网数据通信的安全稳定性。
1.2管理欠缺
很多企业和公司的局域网都缺乏完善的安全管理机制,使得局域网的安全措施和安全体系难以发挥出真正的作用,很多网络技术人员和安全管理人员忽视局域网的安全管理,也没有掌握相关的网络安全知识,不能有效地管理和配置网络,在一些重要的业务活动中,局域网系统存在安全漏洞,造成重要信息资源的泄露。
1.3计算机病毒
计算机病毒是影响局域网安全稳定最主要的因素,计算机病毒病毒具有可触发性、破坏性、隐藏性、潜伏性、传染性和寄生性等特点,影响计算机的硬件和软件的正常使用,占据大量的网络带宽,有时甚至导致网络运行瘫痪,严重威胁着局域网的安全稳定运行。
2局域网安全管理及维护措施
2.1设置防火墙
防火墙技术是以计算机网络为平台,阻止非法入侵者或者网络黑客以非法手段获取内部信息数据或者访问内部网络的重要屏障,能够有效地过滤局域网网络中的危险因素。防火墙技术按照一定的安全标准实时检测网络系统中传输的数据包,一旦发现问题,会立即阻止传输数据进入网络,可以极大地提高局域网网络的安全性。另外,防火墙技术还可以实时记录和监控局域网网络中的多种操作,经过防火墙的监测都会留下记录信息,为局域网网络管理人员提供可靠的数据依据,当发现非法操作时,会立即发出报警信号,引起网络用户的注意。
2.2设置访问权限
在局域网网络中设计访问权限,严禁网络中的非法访问,有效地保护局域网网络系统安全。局域网网络管理人员可以对系统设置一定访问权限,网络用户只能在局域网网络的权限范围内访问文件、目录和数据信息,限制网络用户对系统的具体操作项目。
2.3防治计算机病毒
计算机病毒对局域网网络有着不可估量的破坏力,必须积极采取有效措施,防治计算机病毒的发作和感染,一方面在局域网网络的日常运行中,用户不仅要重视杀病毒,更好重视防治病毒,对待顽固的计算机病毒,管理人员和技术人员要积极地进行主动防御,软硬互补,以杀为辅,以防为主,防杀结合,加强对局域网的安全管理。另一方面在局域网用户的计算机上安装正版的杀毒软件,并且定期维护和升级杀毒软件,在日常使用中定期扫描计算机病毒,积极采用新手段、新技术,提高局域网的安全稳定性。
2.4数据传输管理
局域网为人们生活、工作和学习中信息资源共享、数据通信提供了极大地便利,与此同时,也给计算机病毒的传播和扩散提供了通道,在使用局域网进行网络通讯时,必须加强安全管理,提高安全意识,在局域网内部安装专门的数据传输软件,在局域网中营造一个安全的通信环境,例如在局域网计算机中进行粘贴或者复制操作,不能受到外界网络的影响,避免在数据通信和资源共享过程中感染计算机病毒。
2.5加强入侵检测防范
当前,局域网受到的攻击主要来源于网络内部,防火墙技术很难阻止来自于局域网系统内部的攻击,因此局域网要加强入侵检测防范,积极引进入侵检测系统(IDS),IDS可以对局域网系统内部的可疑操作及时做出反应,有效地组织网络内部的攻击行为,及时提醒网络管理人员。入侵检测系统,可以迅速识别和组织各种非法入侵行为,提高局域网的安全管理水平。
2.6局域网维护
局域网管理人员要定期对网络软件进行升级,对硬件设备进行维护、检查和清洁,确保局域网的正常运行。管理人员在日常工作工作中,要注意维护局域网内部和外部的电信线路和通讯线路,对于局域网外部的线路,管理人员要定期检测线路中各个结点和网线的连接情况,监测和分析网络流量,整理各个结点在线路中的标签工作,对于局域网内部的线路,管理人员要定期测试和检查电信线路的运行情况,一旦发生故障,及时进行解决,确保局域网的安全稳定运行。
3结束语
篇4
关键词:局域网;安全;管理
中图分类号:TP3文献标识码:A文章编号:1007-9599 (2010) 14-0000-01
The Corporate LAN Security Management Strategy
Li Lin
(Chenzhou Branch of China Railway,Chenzhou423000,China)
Abstract:With the development and application of information technology,highlights growing importance of network security,network security refers to the network hardware,software and data are protected in the system,not due to accidental or malicious reasons destruction,alteration,disclosure,the system of continuous and reliable,normal operation of the network service is not interrupted.This paper mainly introduces the LAN network management network security problems encountered,and for some malicious software,viruses,trojans and other security solutions and management strategies.
Keywords:LAN;Security;Management
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。局域网的安全不仅仅是一项技术问题,而是市场竞争中的一个必要条件。确保局域网的网络安全已越来越重要,它是保证各项业务能正常运转的关键。
一、网络安全概述
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或者恶意的原因而遭到破坏、更改、泄露,系统要连续可靠正常的运行,网络服务不中断。总体上讲,网络安全的内容包括物理安全、系统安全、应用安全、信息安全、网络安全管理等几大方面。从技术角度上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控等多个安全组建组成。
网络安全要做到保护个人隐私;控制对网络资源的访问;保证商业秘密在网络上传输的保密性,完整性,真实性及不可抵赖性;控制不健康的内容或危害社会稳定的言论;避免秘密泄漏等。
二、局域网常见的安全问题
(一)缺乏安全意识
1.随意打开电子邮件。对于在局域网使用PC的用户,因为存在电脑使用水平的差异,所以网络安全意识也不尽相同,不少人在接收电子邮件时,不管是什么内容都打开看,邮件所带的附件也打开,所以容易中招。
2.随意下载和安装软件。互联网的发展给我们带来了十分丰富的共享资源,网络提供了很多的应用软件,但同时也给一些别有用心的人带来了机会,他们将病毒和木马程序嵌在一些应用软件中,下载者一旦安装软件,病毒和木马程序就悄悄的运行了,这样用户的电脑就被木马所控制了,危害可想而知。
3.系统弱口令。一些用户为了使用方便,不设置系统登陆口令或口令很简单,这样为病毒和木马控制系统提供可乘之机,一些病毒和木马,如熊猫烧香病毒在传染过程中,会自动列举你的系统管理员的密码,从而获得管理员的权限,破坏你的系统。
(二)漏洞问题
漏洞是造成局域网安全问题的重要隐患。绝大多数的黑客、木马、病毒是通过漏洞来突破网络安全防线的,因此防堵漏洞是提高系统及网络安全的关键之一。
当前的漏洞问题主要包括两个方面:一是软件系统的漏洞,如:操作系统的漏洞、IE的漏洞、微软办公产品OFFICE的漏洞,还有一些是应用软件、数据库系统(如SQL SERVER)存在漏洞。二是硬件方面的漏洞,如防火墙、路由器等网络产品的漏洞。
(三)网络共享
局域网的网络优势体现在共享网络资源,企业内部各个部门之间,甚至分支机构之间,经常会因工作需要而共享某些信息,由此引发了共享信息资源的安全问题。由于没有安全防范意识,对一些共享数据没有采取安全措施,没有设置权限和访问口令,这样为病毒入侵提供了突破口。
三、网络安全解决方法
(一)开发运用多维网络安全技术
网络安全技术中最重要、最基本的技术有三类:密码技术、安全技术和内核技术。上述技术在日常网络安全管理工作中主要应用在以下几方面:
1.建立网络防病毒体系。
2.应用防火墙、入侵检测、安全扫描等多项技术,提高网络的安全性。
3.做好网络系统备份与恢复,随时应对安全突发事件。
(二)采用综合安全策略和管理
网络安全建设素有“三分技术,七分管理”的说法。从这个角度上讲,计算机网络安全不仅是技术问题,更主要的是管理问题,技术是网络安全的保证,管理是网络安全的核心,技术只能起到增强网络安全防范能力的作用,只有管理到位,才能保障技术措施充分发挥作用。所以,我们首先就是要严格执行规章制度,加大网络安全管理工作的力度。具体措施主要有:严格控制计算机网络的接入范围,严禁单位敏感部门的计算机接入互联网;对上网用户资格进行认真、严格审核,确定其权限,防止用户越权操作,同时加强对广大终端用户网络安全保密知识的教育和学习;加强网络设施的安全防护,禁止无关人员进入机房重地和使用上网终端;对数据备份、系统定期检查、应急响应预案等做出明确的规定,使管理人员和用户在使用网络过程中能做到有规可循,并保证在特殊情况下能快速解决网络安全方面的问题。
四、结束语
网络安全是网络正常运行的保障,虽然有网络安全设备和网络杀毒软件护航,但网络安全问题依然会存在,网络产品的缺陷依然会有,因此,有网络安全设备的保障下还要做好安全管理,通过管理,及时发现问题,并采取相应的安全措施和策略,及时修补漏洞,同时也要提高用户的安全意识,从而提高整个网络的安全,为业务工作的正常运行提供有力的保障。
参考文献:
[1]张常有.网络安全体系结构[M].成都:电子科技大学出版社,2006,15
篇5
关键词:千兆以太网;层次化;网络拓扑;布线系统;网络安全;系统维护
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)06-10ppp-0c
School Computer LAN Design and Implementation of the Overall Plan
JIN Tao
(Computer Science College, Gansu Political Science and Law Institute, Lanzhou 730070,China)
Abstract: Along with the network gradually universal, developments of the campus network are the inevitable choice that schools turn to information the developments, the campus network system is a very huge but complicated system, it not only provides the basic operation terrace for modernized teaching , synthetical information administration and office automation etc. a series application, but also can provides various application the service, making information can on time, deliver accurately to the each system.
Key words: Billi Ethernet; Hierarchicalization; Network topology; Wiring system; network security; System maintenance
1 前言
当今世界,各种先进的科学技术飞速发展,给人们的生活带来了深远的影响。校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括校园网应用特点及需求分析、骨干的技术选型、设计方案、布线系统、网络安全,网络系统的维护等内容。基本的校园网具有以下的特点:
高速的局域网连接――校园网的核心为面向校园内部师生的网络,因此园区局域网是该系统的建设重点,由于参与网络应用的师生数量众多,而且信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项基本要求;
信息结构多样化――校园网应用分为电子教学(多媒体教室、电子图书馆等)、办公管理和远程通讯(远程教学、互联网接入)三大部分内容:电子教学包含大量多媒体信息,办公管理以数据库为主,远程通讯则多为WWW方式,因此数据成分复杂,不同类型数据对网络传输有不同的质量需求;
安全可靠――校园网中同样有大量关于教学和档案管理的重要数据,不论是被损坏、丢失还是被窃取,都将带来极大的损失; 操作方便,易于管理――校园网面向不同知识层次的教师、学生和办公人员,应用和管理应简便易行,界面友好,不宜太过专业化;
经济实用――学校对网络建设的投入有限,因此要求建成的网络应经济实用,具备很高的性能价格比。
2 校园网应用特点及需求分析
校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息、远程教学和协作工作的阶段,发展对学校教育现代化的建设提出了越来越高的要求。新的主干建设应能保护校园网的已有投资,要求与原有校园网实施最佳连接,并提供新校园网的管理方案与管理策略。 支持IP多目广播(Multicast)与服务质量(Qos)或服务类型(CoS),满足远程教育的需求。 支持虚拟网络(VLAN)。 网管软件应具备对接入层交换设备进行远程可操作的能力(如在网络中心对接入交换机进行针对端口IP过滤条件的远程设置)。校园网必须满足数字、语音、图形图象等多媒体信息,以及综合科研信息传输和处理需要的综合数字网,并能符合多种网络协议,体系结构符合国际标准或事实上的国际工业标准(如TCP/IP),同时能兼容已有的网络环境。因此性能需求如下:
(1)先进性-技术上的先进性将保证处理数据的高效率、系统工作的灵活性、网络的可靠性,技术上的先进性也使系统的扩充和维护变得十分简单。
(2)可靠性-网络骨干线路的冗余备份、网络核心设备的冗余备份和电源冗余备份等方面保证校园网的可靠性。
(3)开放性和可扩充性-主干网络设备的选型及其模块、插槽个数、管理软件 和网络整体结构,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的开放性和扩充性。
(4)可管理性-网络管理基于SNMP,并支持RMON和RMON2,以及标准的 MIB。利用图形化的管理界面和简洁的操作方式,合理的网络规划策略,提供强大的网络管理功能。一体化的网络管理使网络日常的维护和操作变得直观,便捷和高效。
(5)安全性- 内部网络之间、内部网络与外部公共网之间的互联,利用VLAN/ ELAN 、防火墙等对访问进行控制,确保网络的安全。
(6)实用性-网络系统的设计在性能价格比方面充分体现系统的实用性,既要采用先进的技术,又能在经费允许
的条件下实现建网目标。
3 校园网骨干的技术选型
3.1 Gigabit Ethernet核心
(1)千兆以太网技术-以太网从100Mbps升级到1Gbps,融合了两种技术,即 IFFF802.3以太网和ANSIX3T11光纤通道。
(2)协议架构-千兆以太网是在利用了光纤通道的高速物理接口同时,又保留了IEEE 802.3以太网帧格式,具备对已安装介质的向后兼容性,并利用了全 /半双工载波侦听(CSMA/CD)传输机制。
3.2 传输介质与物理接口
(1)目前千兆以太网的传输介质包括两种标准:IEEE 802.3Z和IEEE 802.3AB。IEEE 802.3Z:1000BASELX(单模或多模)、1000BASTSX(多模)、1000BASE CX(屏蔽铜缆);IEEE 802.3AB 1000BASET(非屏蔽两绞线)。
(2)千兆以太网接口载体是由千兆接口转换器(GBIC)实现的。其中包括短波(SX),长波(LX),LH和铜缆(CX)物理接口。
3.3 服务类型(CoS)和服务质量(QoS)
(1)Gigabit Ethernet 除了提供高带宽以外,千兆以太网也支持以太网的服务类型和服务质量保证相关协议,如IEEE 802.1P,IEEE 802.1Q,IEEE 802.3X,IEEE 802.3AB和资源预留协议(RSVP)等关键协议。
5 布线系统 - 结构化综合布线系统的组成及设计
综合布线系统(PDS,Premises Distribution System)是一套开放式的布线系统,可以支持几乎所有的数据、话音设备及各种通信协议,同时,由于PDS充分考虑了通信技术的发展,设计时有足够的技术储备,能充分满足用户长期的需求,应用范围十分广泛。而且结构化综合布线系统具有高度的灵活性,各种设备位置的改变,局域网的变化,不需重新布线,只要在配线间作适当布线调整即可满足需求。结构化综合布线一般划分为六个子系统。
5.1 工作区子系统(Work Area)及其网络设计
工作区子系统由终端设备连接到信息插座的连线,以及信息插座所组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定,并预留适当数量的冗余。
5.2 水平子系统(Horizontal)及其网络设计
水平子系统主要是实现信息插座和管理子系统,即中间配线架(IDF)间的连接。水平子系统指定的拓扑结构为星形拓扑。水平干线的设计包括水平子系统的传输介质与部件集成。选择水平子系统的线缆,要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。
5.3 管理子系统(Administration)及其网络设计
管理子系统由交连、互连和输入/输出组成,实现配线管理,为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。
5.4 干线子系统(Backbone)及其网络设计
干线子系统指提供建筑物的主干电缆的路由,是实现主配线架与中间配线架,计算机、PBX、控制中心与各管理子系统间的连接。干线传输电缆的设计必须既满足当前的需要,又适应今后的发展。干线子系统布线走向应选择干线线缆最短、最安全和最经济的路由。干线子系统在系统设计施工时,应预留一定的线缆做冗余信道,这一点对于综合布线系统的可扩展性和可靠性来说是十分重要的。
5.5 设备间子系统(Equipment Room)及其网络设计
设备间子系统由设备室的电缆、连接器和相关支持硬件组成,把各种公用系统设备互连起来。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起,也可分别设置。在较大型的综合布线中,可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房,把与综合布线密切相关的硬件设备放置在设备间,计算机网络设备的机房放在离设备间不远的位置。
5.6 建筑群子系统(Campus Subsystem)及其网络设计
建筑群子系统是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段,也可采用微波通信、无线电通信的手段。
6 网络安全
6.1 网络安全需求
确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,校园网网络信息系统需要解决如下安全问题:
(1)局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现;
(2)在连接Internet时,如何在网络层实现安全性;
(3)应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵;
(4)如何实现广域网信息传输的安全保密性;
(5)加密系统如何布置,包括建立证书管理中心、应用系统集成加密等;
(6)如何实现远程访问的安全性;
(7)如何评价网络系统的整体安全性。
基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。
6.2 网络信息安全系统设计原则
(1)需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
(2)综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
(3)可用性原则:安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。
(4)分步实施原则:分级管理分步实施由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
7 网络系统的维护
现在校园网络维护的建设已成为现代教育机构的必然选择。从类型来看,校园网大都属于中小型系统,以园区局域网为主。但是它的网络结构和性能要求却有一定的特殊性,为此,相应的网络维护和网络测试方法应有一些特别的考虑。
7.1 校园网络管理工作的要求:
满足高速的局域网连接,校园网的核心为面向校园内部师生的网络,因此园区局域网是该系统的建设重点。由于参与网络应用的师生数量众多,而且信息中包含大量多媒体信息,故保持大容量、高速率的稳定数据传输是网络维护的一项基本要求。 网络维护要保障网络畅通可管理 从介质测试到网络性能测试,贯穿网络七层,能进行快速的故障定位,从局域网到广域网,实现全面的透视网络.所有测试是在不中断网络及网络设备运行的情况下进行,所有干线流量统计信息的获得,不依赖于任何现有的网络设备,这将大大减少测试设备对网络流量的影响,并减少网络负载; 可以通过协议分析软件远程遥控硬件数据采集器进行流量分析,从而实现真正意义上的集中管理; 把通常PC网卡过滤掉的超长桢、超短桢等统统捕获,而这些错误信息是网络人员发现问题、解决问题的关键,从而使得网络的各种故障隐患,被网络维护人员发现。
7.2 网络维护的测试内容
网络线缆测试 ,作为传输介质的电缆,我们可以把它比喻为网络的龙骨,它将网络设备连接在一起,所有通信信号都是通过电缆传输的,随着带宽需求的不断增加,电缆传输的可靠性变得越来越重要。而在实际应用中,由于电缆而造成的网络故障占到了70%。那么如何确保选购的电缆产品的质量是可靠的?如何保证网络布线工程是合格的?如何去发现和解决布线系统中存在的问题。电缆的检测不仅仅是电缆的通断、插头连接的好坏,而且应当包括很多电气指标,例如衰减、近端串扰等。而校园网络中多媒体辅助教学和多媒体教室的使用,更对RG6、RG59等这种CSTV/CCTV电缆的测试提出要求。网络整体性能分析,网络系统的复杂性对测试技术提出了更高的要求。广域网的监测,远程教育已经成为一种重要的教学手段,充分利用现代化信息技术,实现现代远程教育工程,可以在有效发挥现有各种教育资源的同时,为学习者提供不受时间、地点限制的学历教育和素质教育,同时使得学校的网络维护人员也对进行网络维护设备所需的广域网测试能力提出了要求。
8 总结
本设计从校园网的建设思想、目标、可以选用的网络技术以及对网络设备的介绍和选择等多方面的论述,使我们对校园网建设工程有了一个比较深入的了解,校园网络建设作为一项重要的系统工程,它的所用到的各种技术是多方面的,即有网络技术、工程施工技术,也有管理制度等各个方面的知识。网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我们去学习与研究,并能将其应用到实际的网络工程建设之中。
参考文献:
[1]王达.网管员必读[M].北京:电子工业出版社,2006.
[2]张公忠.现代网络技术教程[M].北京:电子工业出版社,2000.
[3]谭珂,全惠民.局域网组建与管理实手册[M].北京:中国青年出版社,2003.
[4]刘正勇.校园网系统集成技术与应用[M].北京:清华大学出版社,2002.
[5]刘育楠,马军.局域网安全与服务器设置[M].北京:清华大学出版社,2004.
[6]黎连业.网络工程和综合布线工程师手册[M].北京:清华大学出版社,2003.
[7]李馥娟.局域网经典案例教程[M].北京:清华大学出版社,2002.
篇6
关键词:局域网网络 安全维护 病毒防范
由于局域网有很大的一部分是属于资源共享的,而资源共享又具有数据开放性的特点,在给用户进行数据交换提供了便利的同时,也导致了数据信息容易被修改和删除,经常采用冒充是合法用户的办法来骗取合法用户的机密数据,数据安全性较低,同时由于用户缺乏对数据备份等数据安全方面的知识和手段,因此使得数据信息丢失现象不断发生。
一、针对局域网的安全分析,对局域网的安全控制管理可以从以下几个方面进行
(一)利用桌面管理系统控制用户入网。
入网访问控制是保证网络资源不被非法使用,是网络安全防范和保护的主要策略。它可以控制用户登录到服务器获取网络资源,可以控制用户入网的时间,可以控制用户访问的目录、文件和其它资源,强制用户设置符合安全要求的密码和口令,防止非法用户修改和删除重要信息或破坏系统数据,来保护网络系统的安全运行。
(二)拒绝恶意代码。
恶意网页成了宽带的最大威胁之一,以前使用拨号上网,因为打开网页的速度慢,在完全打开网页前关闭恶意网页还有避免中招的可能性,现在宽带的速度这么快,所以就很容易被恶意网页攻击。一般恶意网页都是因为加入了编写的恶意代码才使其具有了破坏力的,这些恶意代码就相当于一些小的程序,只要打开该网页就会被运行,要避免被恶意网页的攻击,只要禁止这些恶意代码的运行就可以了,有很多的黑客就是通过使用者访问网页的时候进来的,因此我们要把IE的安全性调高一点,并经常删除一些Cookies和脱机文件,还有就是禁用那些Active的控件。
(三)关闭或删除系统中不需要的服务。
默认情况下,操作系统会安装一些辅助服务,这些服务对大多数的用户是没有什么用处的,但为攻击者提供了方便,把那些不需要的服务关闭掉,就能大大降低被攻击的可能性。还要关闭Guest帐号等。
(四)使用安全的口令和密码。
要尽量使用大小写字母和数字以及特殊符号混合的密码,但是自己一定要记住,我们也看到过很多这样的网管,他们的密码设置的的确是很复杂也安全,但是经常自己都记不住,每次都要翻看记录本很是麻烦,所以最好是设置一个即复杂也安全又便于记忆的密码。另外最好不要使用空口令或者是带空格的口令,这样的口令是很容易被一些黑客识破的。许多的网络病毒都是通过破解用户密码的手段对网络系统进行攻击的,因此使用安全的口令密码,将会大大提高计算机网络的安全系数。
(五)出入网访问控制以确保内外网访问过程的可控和合法。
入网访问控制为网络访问提供了第一层访问控制,它控制那些用户能够进入网络服务器获取网络资源,也就是网络服务器只对那些可信的站点开放,对于非被信任的站点,服务器一律拒绝服务。出网访问控制主要对内部人员的外部网络访问过程进行控制,确保其访问可信服务站点,由于很多未认证的站点虽可以提供很多网络服务,但其自身携带病毒或木马的几率也很高,由于内部人员访问外部网络的不慎,很容易造成机器感染病毒或被植入木马,这样就相当于给外来人侵开了一扇不为人知的大门。
二、局域网内病毒防范机制
(一)利用口令设置资源系统的访问权限。
很多计算机系统常用口令来控制对系统资源的访问。这是防病毒进程中最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。在选择口令应往意,必须选择超过6个字符并且由字母和数字共同组成的口令;操作员应定期变一次口令;不得写下口令或在电子邮件中传送口令。通常简单的口令就能取得很好的控制效果,因为系统本身不会把口令泄露出去。但在网络系统中,由于认证信息要通过网递,口令很容易被攻击者从网络传输线路上窃取,所以网络环境中,使用口令控制并不是很安全的方法。
(二)选择易于安装和管理的网络杀毒软件。
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其他安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。
(三)在网关设防隔离查杀病毒。
篇7
关键词:网络安全,网络管理,多级安全
1 引言网络技术,特别是Internet的兴起,正在从根本上改变传统的信息技术(IT)产业,随着网络技术和Internet的普及,信息交流变得更加快捷和便利,然而这也给信息保密和安全提出了更高的要求。近年来,研究人员在信息加密,如公开密钥、对称加密算法,网络访问控制,如防火墙,以及计算机系统安全管理、网络安全管理等方面做了许多研究工作,并取得了很多究成果。
本论文主要针对网络安全,从实现网络信息安全的技术角度展开探讨,以期找到能够实现网络信息安全的构建方案或者技术应用,并和广大同行分享。
2 网络安全风险分析影响局域网网络安全的因素很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来,主要有六个方面构成对网络的威胁:
(1) 人为失误:一些无意的行为,如:丢失口令、非法操作、资源访问控制不合理、管理员安全配置不当以及疏忽大意允许不应进入网络的人上网等,都会对网络系统造成极大的破坏。
(2) 病毒感染:从“蠕虫”病毒开始到CIH、爱虫病毒,病毒一直是计算机系统安全最直接的威胁,网络更是为病毒提供了迅速传播的途径,病毒很容易地通过服务器以软件下载、邮件接收等方式进入网络,然后对网络进行攻击,造成很大的损失。
(3) 来自网络外部的攻击:这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。
(4) 来自网络内部的攻击:在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后,查看机密信息,修改信息内容及破坏应用系统的运行。
(5) 系统的漏洞及“后门”:操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。科技论文。另外,编程人员为自便而在软件中留有“后门”,一旦“漏洞”及“后门”为外人所知,就会成为整个网络系统受攻击的首选目标和薄弱环节。大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。
3 网络安全技术管理探讨3.1 传统网络安全技术目前国内外维护网络安全的机制主要有以下几类:
Ø访问控制机制;
Ø身份鉴别;
Ø加密机制;
Ø病毒防护。
针对以上机制的网络安全技术措施主要有:
(1) 防火墙技术
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它用来控制内部网和外部网的访问。
(2) 基于主机的安全措施
通常利用主机操作系统提供的访问权限,对主机资源进行保护,这种安全措施往往只局限于主机本身的安全,而不能对整个网络提供安全保证。
(3) 加密技术
面向网络的加密技术是指通信协议加密,它是在通信过程中对包中的数据进行加密,包括完整性检测、数字签名等,这些安全协议大多采用了诸如RAS公钥密码算法、DES分组密码、MD系列Hash函数及其它一些序列密码算法实现信息安全功能,用于防止黑客对信息进行伪造、冒充和篡改,从而保证网络的连通性和可用性不受损害。
(4) 其它安全措施
包括鉴别技术、数字签名技术、入侵检测技术、审计监控、防病毒技术、备份和恢复技术等。鉴别技术是指只有经过网络系统授权和登记的合法用户才能进入网络。审计监控是指随时监视用户在网络中的活动,记录用户对敏感的数据资源的访问,以便随时调查和分析是否遭到黑客的攻击。这些都是保障网络安全的重要手段。
3.2 构建多级网络安全管理多级安全作为一项计算机安全技术,在军事和商业上有广泛的需求。科技论文。“多级”包括数据、进程和人员的安全等级和分类,在用户访问数据时依据这些等级和分类进行不同的处理。人员和信息的安全标识一般由两部分组成,一部分是用“密级”表示数据分类具有等级性,例如绝密、秘密、机密和无密级;另一部分是用“类别”表示信息类别的不同,“类别”并不需要等级关系。在具体的网络安全实现上,可以从以下几个方面来构建多级网络安全管理:
(1) 可信终端
可信终端是指经过系统软硬件认证通过、被系统允许接入到系统的终端设备。网络安全架构中的终端具有一个最高安全等级和一个当前安全等级,最高安全等级表示可以使用该终端的用户的最高安全等级,当前安全等级表示当前使用该终端用户的安全等级。
(2) 多级安全服务器
多级安全服务器上需要部署具有强制访问控制能力的操作系统,该操作系统能够为不同安全等级的用户提供访问控制功能。该操作系统必须具备很高的可信性,一般而言要具备TCSEC标准下B1以上的评级。
(3) 单安全等级服务器和访问控制网关
单安全等级服务器本身并不能为多个安全等级的用户提供访问,但结合访问控制网关就可以为多安全等级用户提供访问服务。对于本网的用户,访问控制网关旁路许可访问,而对于外网的用户则必须经过访问控制网关的裁决。访问控制网关的作用主要是识别用户安全等级,控制用户和服务器之间的信息流。科技论文。如果用户的安全等级高于单级服务器安全等级,则只允许信息从服务器流向用户;如果用户的安全等级等于服务器安全等级,则允许用户和服务器间信息的双向流动;如果用户的安全等级低于服务器安全等级,则只允许信息从用户流向服务器。
(4) VPN网关
VPN网关主要用来保护跨网传输数据的保密安全,用来抵御来自外部的攻击。VPN网关还被用来扩展网络。应用外接硬件加密设备连接网络的方式,如果有n个网络相互连接,那么就必须使用n×(n-1)个硬件加密设备,而每增加一个网络,就需要增加2n个设备,这对于网络的扩展很不利。引入VPN网关后,n个网络只需要n个VPN网关,每增加一个网络,也只需要增加一个VPN网关。
4 结语在网络技术十分发达的今天,任何一台计算机都不可能孤立于网络之外,因此对于网络中的信息的安全防范就显得十分重要。针对现在网络规模越来越大的今天,网络由于信息传输应用范围的不断扩大,其信息安全性日益凸显,本论文正是在这样的背景下,重点对网络的信息安全管理系统展开了分析讨论,相信通过不断发展的网络硬件安全技术和软件加密技术,再加上政府对信息安全的重视,计算机网络的信息安全是完全可以实现的。
参考文献:
[1] 胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.
[2] 黄国言.WEB方式下基于SNMP的网络管理软件的设计和实现[J].计算机应用与软件,2003,20(9):92-94.
[3] 李木金,王光兴.一种被用于网络管理的性能分析模型和实现[J].软件学报,2000,22(12): 251-255.
篇8
【关键词】银行网络安全分层
一、引言
由于目前网络的应用的自由性、广泛性以及黑客的“流行”,银行面临着各种安全威胁。一旦信息泄露或者信息混乱,将给银行自身信誉、社会稳定、国家安全带来巨大影响。
二、物理层的安全风险分析
网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路不可以使用,而造成网络的不可以使用,它是整个网络安全的前提。如:(1)设备被盗。(2)被毁坏链路老化或被有意或者无意的破坏。(3)因电子辐射造成信息泄露。(4)设备意外故障、停电。(5)地震、火灾、水灾等自然灾害。
因此,银行专网在网络安全考虑时,首先要考虑物理安全。除此之外,由于银行专用网络涉及业务网核心与管理网核心两个不同的密级,因此在方案中我们将利用“物理隔离”技术,将两个网络从物理上隔断而保证逻辑上连通实现所谓的“信息摆渡”。
三、网络层安全风险分析
3.1数据传输风险分析
由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网网络内部也存在着内部攻击行为,其中包括登录通行字和一些敏感信息,可能被侵袭者搭线窃取和篡改,造成泄密。如果没有专门的软件或硬件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式的“攻击”是相对比较容易成功的,只要使用现在可以很容易得到的“包检测”软件即可。
3.2网络边界风险分析
(1)银行中间业务系统安全。银行各项中间业务的蓬勃发展,各种各样的银行业务悄然出现,如工资、代收电费、代收水费等等;银行的服务手段也从传统的柜台发展到ATM、自助终端、电话银行等自助式的服务方式,最后发展到完全通过网络进行资金的结算。同时,为方便客户和中心管理,银行都建立了中间业务平台系统,而中间业务网络环境的复杂性和开放性正成为中间业务网络潜在威胁的最大来源。(2)INTERNET出口的安全。入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网的重要信息。入侵者通过发送大量PING数据包对内部网中重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。(3)管理系统和业务系统之间的访问控制需求。内部网中办公系统与银行业务系统之间如果没有采用相应一些访问控制,也可能造成内部重要信息泄漏或非法攻击。如果银行办公系统与业务系统没有采取相应安全措施,同样是内部网用户的个别员工可能访问到他本不该访问的信息。还可能通过可以访问的条件制造一些其它不安全因素(伪造、篡改数据等)。或者在别的用户关机后,盗用其IP进行非法操作,来隐瞒身份。
四、系统层的安全
系统级的安全风险分析主要针对银行专用网络采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。银行专用网络通常采用的操作系统(主要为UNIX)本身在安全方面有一定考虑,但服务器、数据库的安全级别较低,存在一些安全隐患。
五、应用层安全风险分析
银行专用网络应用系统中主要存在以下安全风险:业务网和办公网之间的非法访问;中间业务的安全;用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;由于银行专用网络对外提供网上银行WWW服务,因此存在外部网非法用户对服务器攻击,包括:与INTERNET连接带来的安全隐患、身份认证漏洞、高速局域网服务器群安全。
六、表示层安全风险分析
最安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现。同时,必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
篇9
【关键词】项目化教学;计算机网络技术;项目设计;应用
一、项目化教学法的含义
项目教学法是师生通过共同实施一个完整的项目工作而进行的教学活动。即以项目为载体,以工作任务为中心,行为导向为方法,以能力培养为目标,旨在将课堂教学与工作情境完美地结合起来,让学生融入更有意义的工作任务中,通过任务的完成,让学生自主学习、自我提高,实现知识的积累、能力的提高和素质的培养。其目的在于加强课程内容与工作之间的相关性,整合理论与实践,提高学生技能培养的效率。
二、《计算机网络技术》课程教学目标
本课程的教学目标是使学生掌握计算机网络基础理论及网络组建技术,掌握目前应用最广泛的TCP/IP协议的基本知识,会组建小型局域网,会安装、配置常用的网络服务,能为各种常用的网络服务提供技术支持,能管理小型网络,对在网络运行过程中出现的故障进行排除和解决,能保证网络安全稳定的运行。要想实现这一教学目标,必须深化改革,采用有效的教学方法——项目化教学,让学生在项目学习中具备局域网组网与管理的能力。
三、《计算机网络技术》课程采用项目教学法的必要性
(1)目前在计算机网络技术课程教学中存在理论和实践相脱节的现象。教学内容理论性太强,一般教师在讲授计算机网络课程时更多的是采用传统教育管理和教学模式。首先,对计算机网络的概念、发展、硬件组成等内容进行介绍;其次,介绍OSI七层模型、TCP/IP 协议、各种网络的功能;最后,介绍网络的应用与网络安全的防范等知识。这种传统的教学模式看起来教师已经把计算机网络知识全部传授给了学生,但对于学生来说如何管理和维护一个网络仍无从下手,学生对计算机网络的认识只停留在书本上。(2)教学手段和方法单一,教学效果不好。教师在讲授计算机网络课程的过程中,最容易犯的毛病就是“满堂灌”。内容理论性强,相对枯燥,学生看不到又摸不着,很快会对计算机网络从感兴趣到失去兴趣,这会直接导致学生上课走神、不听课、教学互动差,达不到教学效果。针对平时教学中存在的问题,我们进行教学改革,改革教学手段和教学方法,把项目教学法引入网络技术课堂中,可大大地激发学生的学习热情,使理论学习与岗位实践需求统一起来。
四、项目教学法在《计算机网络技术》课程中的实践应用
(1)项目设计。项目教学法是师生通过共同实施一个完整的项目工作而进行的教学活动。首先要设计典型、实用的项目。按照教学内容的需求,结合网络真实的市场需求及学校的实际情况,选取现实的对象、材料为项目,项目既要包含基本的教学知识点,又能调动学生解决问题的积极性,还便于学生对知识的迁移和融会贯通。如组建一个小型局域网络这一项目,主要是培养学生组建网络、管理网络的能力,要求学生通过项目实训熟悉网络工程的实施流程和方案设计方法,完成小型家庭办公网络的构建。根据这一过程,可将其分成7个子项目:小型局域网的需求分析及可行性论证;小型局域网网络规划;组网设备及预算;网络施工(虚拟网络环境/架设部分网络);接入Internet;网络安全与管理;签合同及技术文档。(2)项目实训内容。为实现各个子项目,我们将每个子项目划分为若干个任务。如小型局域网需求分析及可行性论证需掌握网络的基本理论知识,网络系统组成、网络分类、传输介质、网络通信协议、网络操作系统及网络安全等知识,此项目要求学生根据客户需求,灵活运用网络知识设计网络方案。小型局域网网络规划包括使用Visio软件绘制网络拓扑图、思科模拟器(Packet Tracer)的安装及使用、根据实际需要布线。组网设备及预算包括双绞线的制作、光纤熔接。网络施工(虚拟网络环境/架设部分网络)包括Virtual PC安装、服务器端及客户机端操作系统安装、双机互联、多机互联、IP设置及划分、交换机的基本配置及级联、划分VLAN、使用路由器的基本配置、网络资源共享。架设网络服务包括Active Directory安装与配置、DNS安装与配置、DHCP安装与配置、WWW服务器的安装与配置、FTP服务器的安装与配置、邮件服务器的安装与配置六个任务。接入Internet包括常用的局域网接入Internet方法:ADSL接入方式、“光纤+LAN”的因特网接入、无线接入方式(组建Ad-hoc模式网络、组建Infrastructure模式网络)。局域网共享Internet连接(文件共享和打印机共享),还会涉及网络命令及网络故障诊断实训内容。网络安全与管理包括系统自带的安全管理工具、计算机网络安全措施两个任务。这方面的实训主要有:使用抓包工具软件分析网络数据、交换机的端口镜像、端口和MAC 地址的绑定、服务配置、网络带宽的监控维护等。签合同及技术文档,让学生了解合同的使用方法及注意事项。(3)项目实施。一是创设教学情境。项目教学法主要是以项目引领,任务驱动贯穿整个教学。教师要创设与教学内容相关的教学情境,引出项目后应适时以恰当的形式告之学生具体而明确的学习目标和任务,分析出教材中的重点、难点,提炼出教材中的要点,精心编写一些典型的。把理论讲解和技能训练统一安排,把老师活动和学生活动统一安排,把教学过程和自主学习统一安排。二是改革教学手段和教学方法。《计算机网络技术》是一门理论性和实践性都很强的课程,要使项目教学法成效显著,必须重视网络实训环境的建设,有相应的硬件设备和软件配置,保证大部分项目实训能够实现。对于某些不能实现的子项目要安装模拟软件、建立虚拟实验室和参观校园网络建设来达到目的。还要将多种现代化教学手段引入课堂。教学方法多样化,如类比教学方法,把网络中一些枯燥、抽象的计的概念用实际生活中人们熟悉的事物与理论进行类比,帮助学生直观、形象地理解和掌握计算机网络理论知识,使抽象、神秘的问题变得通俗易懂。(4)项目评价。学生学习的效果直接由完成项目的情况来衡量,先是对学生参与的学习成果进行评价。各单项任务的完成情况,这些项目任务能体现本门课程的知识和技能。如绘制实训室网络拓扑图;双绞线制作;双机互连的完成情况。然后教师再根据学生参与项目教学的态度和创造性,解决实践中问题的能力,评判学生的自学能力与解决问题的能力。完成任务过程中的态度、表现,还从另一个侧面反映学生的综合素质,只要项目任务设计适当,考核方式合适,就能很好地调动学生自主学习的积极性,较好地实现课程的教学目标。可包括教师评价、学习小组评价和自评三部分。除了对学生的学习项目完成情况进行评价外,教师还应在教学项目完成后及时进行总结反思,对项目教学过程中出现的问题及考核过程中出现的问题进行细致分析和研究,及时完善项目内容及考核方法,为下次教学积累经验。
五、结语
《计算机网络技术》课程是内容多,范围广,知识更新快,且理论性和实践性都很强。作为教师,我们必须紧贴网络实际情况,设计典型实用的项目,从真实的网络应用入手讲解网络的组建、应用、管理和维护,提高学生分析问题、动手能力和解决实际问题的能力。只要把项目教学法用好用活,学生就会感到学这门课程是非常有用的,会积极地投入到项目学习中去,更好地实现既定的教学目标。
参 考 文 献
篇10
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
一、校园网络安全现状分析
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。
(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。
(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.
- 上一篇:会计核算的谨慎性原则
- 下一篇:市场风险管理措施