网络安全与经济安全范文

时间:2023-10-07 17:25:09

导语:如何才能写好一篇网络安全与经济安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全与经济安全

篇1

关键词:网络;档案;信息安全;对策

中图分类号:TP368.6 文献标识码:A文章编号:1007-9599 (2011) 05-0000-01

File Information Security Measures under Network Environment

Jiang Rui

(Liaoning Broadcasting TV Transmission and Emission Center,Shenyang110016,China)

Abstract:The thesis analyzes the risks in face of archives information safety and the factors which threatens the archives information safety in the network environment and research on methods which can guarantee the archives information safety in the viewpoints of network environemnt build-up and the application of safety technology.

Keywords:Network;File;Information safety;Strategy

目前,随着各类档案信息网站的不断建成,档案信息资源面临的风险也越来越大。以辽宁省为例,14个省辖市中已经有11个市建立了档案信息网站,还有1个市的网站正在建设中。同时,经济发展相对较好的县(市、区),像大连市的所有区(市、县)也建立了档案信息网站。这些网站在给人们带来便利的同时,也给档案信息安全造成了一定的威胁。

一、网络环境下档案信息安全所面临的严峻形势

首先,由于我国还没有制定统一的档案信息管理网站的建设规划,各地就自行建设其网站,这就造成了各地档案信息网站的条块分割,互不相连,档案网站的综合防护能力较弱。其次,网站建设是一个系统且复杂的工作,由于经费、技术、人才等现实原因造成了不少档案网站在最初建设时只注重形式上的完成,而忽略了系统的安全,或多或少留下了一些漏洞,不安分的黑客留下了攻击的后门。再次,档案信息系统的安全保护措施在系统初建阶段一般相对安全,但随着软硬件设施升级调整、网络环境变化、系统数据量的增大、信息安全要求调整等,档案信息的安全状况也会发生变化。

二、网络环境下保证档案信息安全的对策

(一)打造档案信息安全的网络软环境

档案信息安全是一个系统的课题,只有各相关环节紧密地衔接在一起,才能够保证档案信息的安全。一方面,各级领导要高度重视档案信息安全工作,制定出切实可行的规章制度并严格落实执行。如针对计算机、网络、机房、数据交换、网站管理、保密管理、防病毒、维护等方面,加强制度建设,搞好科学规范的管理,保证系统的正常运行。

(二)打造档案信息安全的硬件环境

档案信息管理网站的硬件环境是指由档案信息网络中的各种物理设备及基础设施组成的环境。从硬件环境的角度来看,地震、水灾、火灾等自然灾害,电源故障,设备被盗、被毁,电磁干扰,线路截获等其他因素,时刻威胁着档案信息系统的安全。只有制定严格的网络安全管理制度,并且加强网络设备和机房报警装置的管理,这些风险才可能避免。具体应采取如下的措施。

第一,严格落实有关规定,实行内外网分离。不得将计算机及网络接入互联网及其他公共信息网络。对于保存有不宜公开的档案信息的内部网络,坚决不允许接入国际互联网,以防止不该公开的档案信息通过互联网泄露出去。

第二,选择有效的防攻击安全设施。档案信息管理系统要选用质量好、信誉度高的硬件产品,同时,要根据网络的具体类型和要求选择合适的网络配置方式。防火墙是硬件的重中之重。选择防火墙时,一要选择品牌好的产品。防火墙属高科技产品,生产这样的设备不仅需要强大的资金作后盾,而且在技术实力上也需要有强大的保障。质量好的防火墙能够有效地控制通信,能够为不同级别、不同需求的用户提供不同的控制策略。二要选择安全性高的产品。防火墙本身就是一个用于安全防护的设备,其自身的安全性也显得非常重要。防火墙的安全性能取决于防火墙是否采用安全的操作系统和是否采用专用的硬件平台。另外,防火墙除了应包含先进的鉴别措施外,还应采用尽可能多的先进技术,如包过滤、加密、可信的信息、身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术。这些都是防火墙安全系统所必须考虑的问题。

(三)基于现有技术制定可靠的系统安全和应用策略

第一,选择正确的网络配置技术。目前最有效的防攻击的网络安全技术是多子网网关技术。就是将内部网络划分成若干个安全级别不同的子网,实现内部一个网段与另一个网段的物理隔离。这样,就能防止某一个网段的安全问题影响到整个网络的安全。另外,还可采用IP地址绑定技术,就是将所有的MAC地址与客户端IP地址进行绑定。这样,既可以防止IP地址被冒用,又大大地方便了日常网络的IP地址管理,减少无关人员随意变更网络设置所造成的危险。

第二,安全为先,打造档案信息网络的防毒体系。防毒体系的搭建需要通过相应的防毒软件来实现。防毒软件又有单机版和网络版之分。从全局考虑,应选择网络版,因为网络版在遇到网络类的蠕虫病毒、ARP欺骗病毒等传播能力强的病毒时有较强的查杀能力,而单机版就相形见绌了。同时,网络版在可管理性、统一查杀、推送安装、任务更新等方面都有着相当大的优势。另外,在选择防毒软件时,还要考虑到网络中的可管理节点数、资源占用情况、客户端与服务器的统一性等问题。最后,还要认真地研究软件的配置方式,以做到正确配置。

第三,档案信息数据是档案信息安全的核心。综合运用文档加密、身份认证、数字证书、动态口令等技术手段,保障档案信息数据的安全。同时,也要做好档案信息数据的日常备份工作,以防档案信息网络遭受攻击后能够迅速地恢复数据,保证网络的正常运行。

篇2

【关键词】局域网 计算机网络 安全技术 应用管理

【中图分类号】TP393 【文献标识码】A 【文章编号】2095-3089(2013)02-0142-01

(一)前言

如今计算机是每家每户的必备的电子产品,也是因为计算机的进入市场,促进现在文化、技术多元化的原因所在。但是因为计算机网络的大量广泛的应用,相应的在网络安全问题上也存在越来越多的问题,因为网络具有开放性、共享性、边界不确定性和路径的不确定性加上系统的复杂等等原因导致网络安全得不到保障,问题也越来越多,网络很容易受到外界的攻击,对很多重要的数据信息的保密性得不到保障。

(二)计算机网络安全的基本概念

对于计算机网络安全国际标准化组织(ISO)作了这样的定义,计算机网络安全是为了保护数据处理系统而采取的技术和管理的安全措施,保护计算机的硬件、软件以及数据不会因为偶然或者是故意的原因而遭到破坏,被更改或者是泄露。计算机网络主要是由终端的计算机和通信网络两个部分组成,有了作为终端的计算机为前提下,通信网络是网络里面各个计算机之间传输数据和提供交换的必要的手段和方式。计算机网络最重要的资源就是它向用户提供各种服务和提供各类的信息。所谓计算机的安全主要是指各种技术的还有管理上的安全措施,保证网络服务、网络信息的可用性以及完整性。从两个方面上看,一方面要保证网络系统的安全,另一方面还要保证网络的信息上的安全。一个完善的安全的计算机网络应该具有可靠、可用、保密、完整这四个重要的特点。

(三)计算机网络安全技术简介

计算机网络安全技术有三种PKI技术、数据加密技术、防火墙技术,其中PKI技术主要是作用在网络进行的电子事务、电子政务和电子商务等这方面的活动中,然而PKI技术实际上就是指的是公钥技术在理论的构建下提供的安全服务的基础性设施,所以在电子方面的活动中极其需要用PKI技术对信任关系进行验证,PKI技术队电子商务中的存取控制,数据的完整、机密、真实性都有一定的保障,对客户资料的安全提供必要的保护。其次就是数据的加密技术,它和其他的技术相比要更加的灵活。在开放的网络环境中更加的适用,因为它在动态的信息保护方面应用比较广泛,在动态信息数据的攻击方面一般是分为两种,即被动和主动性攻击,在被动攻击中很难进行有效的检测,只能加强技术进行避免,这个技术的实现就是对数据进行加密。这种加密的方式也是分为两种,一种是对称性的加密另一种是非对称的加密方式,第一种对称性的加密方式是根据口令为基础进行的常规性技术,加密和解密的密码都是一样的,只需要知道其中一个,另一个也就知道了。第二种的非对称的加密方式能够帮助互通信息的双方在没有进行密钥的交换下通过对安全通信来建立起的,它主要是用于数字签名和身份认证上等这一系列的信息交换领域当中。最后是防火墙的技术,防火墙是网络安全中最不可缺少的屏障,防火墙的配置是网络安全最基本、最有效和最经济的一个安全防护措施,当网络连接上互联网的时候,系统的安全除了系统本身的健壮性以及计算机的一系列病毒进行防护之外,还应该对一些非法入侵的用户进行严格的防护,对一切安全问题作好提前准备。这类型的防范主要就是要借助于防火墙的技术进行完善。

(四)局域网的安全对策

在局域网中存在有五种安全威胁,即物理安全、逻辑安全、局域网内部的安全、系统安全、应用程序上的安全。这五种安全威胁对数据的保密性、完整性、可靠性都有一定程度上的破坏。针对这五种安全威胁作出的局域网的安全对策:

在物理安全中无疑是保护计算机的网络设备、设施和相关的一些媒体不被自然环境事故或者是人为操作不当,计算机犯罪等行为破坏,物理安全即是要保护环境的安全和设备的安全,在系统所处的环境要进行区域和灾难性的保护,在设备安全上要进行防盗、防电磁信息辐射、线路截获、电磁干扰等保护措施。

在逻辑安全中需要注意对操作系统的安全控制以及防范。尽量使用一些安全性能比较高的网络操作系统并且配置一些必要的安全设备,关闭不经常使用但是却存在一定安全隐患的应用程序,对能够保存用户信息和口令的关键性文件对访问上采取使用权限上的严格控制,对口令字的充分加强,增加其口令的复杂性,给操作系统及时进行补丁安装,对系统的内部调用不可对外公开。对系统的安全进行及时扫描,对里面的安全漏洞及时升级和重新配置。

建立严格的管理制度,进行有效的隔离和访问上的控制,对管理权限和口令保密上采取分级的管理。对内部的自动化的网络依据不同用户的安全级别进行不同的虚拟子网的划分,没有专门的配置的状况下,不同的子网之间不能进行交叉式访问,对虚拟子网的有效划分可以实现初步的在访问上的控制。

配备合适的防火墙,防火墙技术是局域网和外部网络之间的安全屏障,是通过在局域网和外部网络的接口,局域网中、网管中心和各分支上单位进行防火墙的安装,保证其不受外部网络的入侵。对防火墙的选择上要注意防火墙的安全性、可扩充性。

保证其通信保密,网络的利用无非就是信息的传输,因为在传输的过程中没有具体固定的路径,在节点上很难进行查证,很容易发现拦截、读取、破坏以及篡改的现象,对于传输上的安全我们可以采取两种加密方式:通信链路层的加密和网络层加密。

在局域网中网络安全对策中除了之前所介绍,还包括有入侵的检测,漏洞扫描,病毒防护和安全管理等,都是对局域网网络安全有一定保护作用的措施。

(五)结束语

计算机网络的安全不仅仅是指技术上的问题,还有管理上的问题,网络的安全技术主要是实现网络系统安全的一个工具,没有绝对性的保障,所以要解决网络系统的安全问题就必须制定出一套综合性的解决方案,最好是将各个措施充分结合起来,加强技术手段进行防御。

参考文献:

[1]精英科技.企业级网络建设实物.中国电力出版社.2010.

篇3

关键词:网络环境;计算机信息;安全防护;措施

计算机技术被广泛的应用于各个领域,甚至于很多的企事业单位组建了自己的局域网,同时也伴有互联网,实现了两者之间的互联。互联网系统覆盖的范围较广、覆盖面较大,因此内部局域网会面临着严重的安全威胁,网络节点也随时会被黑客攻击。在网络环境下,办公系统的服务器和其他主机上的信息都可能会泄密,如果内部网络中的计算机受到了攻击,可能会被其他病毒感染,这样便会影响到其他的主机信息安全。网络环境的开放性、分散性等特点,为信息的交流共享创造了理想空间,与之相关的网络技术取得了更快发展,为社会进步与发展增添了活力。

1 网络环境下计算机信息安全面临的威胁

(一)缺乏安全意识

计算机技术最大的优势就是实现资源的共享,同时在端口开放的条件下实现文件的传输,相对于网络环境中的其他用户信息是透明的。某些机关、企业对服务器的保护意识不足,根据相关的统计分析,存在80%的公共网站没有采取任何的防护措施,还有些企业网站在受到恶意攻击之后,并没有引起足够的重视,殊不知企业内部的重要文件早已泄密,引发经济上的重大损失。

(二)网络技术影响

计算机信息就是以互联网为重要依托,构建起一个无行政管理的世界性网络,在没有监护措施与防护措施的前提下,安全性能相对较差,因此网络犯罪具有跨区域、跨国界等特点,会给行政执法带来巨大困难,如网络木马、黑客病毒、信息间谍等成为威胁计算机信息安全的重要因素。

(三)存储潜在风险

计算机信息需要利用多种硬件介质加以存储,但是介质属于电子类产品,经过长时间的存放,往往会出现无法读取的情况。这种问题的产生主要是受到介质寿命的影响,由于硬件载体不可能永久可用,也会受到环境、磁场等影响,很容易出现变质情况,证明存储设备拥有一定的使用年限。伴随着科学技术的发展,网络环境下的信息载体技术也发生了改变,当更换读取设备时,存取的文件将无法正常读取出来。

(四)人为因素影响

新世纪面临新挑战,其中涉及到信息的竞争、人才的竞争,主要原因是对网络安全的重视程度不足,同时缺乏技术型人才的培养。很多企业中,网络维护人员并不是专业技术型人才,因此只关注对网站信息的定时更新,如配置的网络设备仍然存在着诸多漏洞,极易被非法人员利用。

2 网络环境下计算机信息安全防护措施

(一)建立健全网络管理制度

企事业单位应该建立健全网络管理制度,并且将计算机信息安全视为头等大事,在法律法规基础上,根据企业的实际情况,将计算机信息的安全工作责任具体到个人。安全维护人员需要制定可行性保障,强化对全体人员的信息安全维护意识,同时加强监管监控,对运行网络的安全施以全方位管理,针对其中的薄弱环节采取适当的改进措施,不断完善企业的信息保护规章制度,对企业内部员工的账号及密码实行合理监管,若存在非法登录情况,应该及时进行维护,特别是管理人员及重要部门人员的口令与密码,特定时间内加以更换。

(二)合理维护备份文件安全

计算机硬件与网络若是遭遇了安全威胁,或发生不可抵抗的损坏时,其内部的所有文件也随之出现损坏情况,由此可见备份文件十分重要。文件的备份需要采取全方位、多层次的措施,注重软件及硬件的相互结合。硬件备份能够让系统逐渐恢复运行,软件备份可以保证重要的信息及时恢复,在对系统进行全方位多级防护的过程中,确保网络环境下计算机信息的安全可靠。

(三)病毒引擎防护措施

结合当前的网络环境分析,计算机信息安全防护情况不容乐观,因此需要采取病毒引擎防护措施,为计算机信息提供安全保障。智能化安全防护引擎可以实现对不同病毒特征码的准确扫描,同时也能实行靶向控制。利用智能化病毒引擎防护,能够对未知病毒进行严格的检查,采取针对性举措防护病毒,突破传统病毒扫描技术的限制,把高新技术手段及措施有机结合到一起,通过对存在病毒的系统防护,可以增强计算机信息对病毒的免疫力。当病毒攻击计算机时,智能化病毒引擎防护可以准确快速的进行查杀,虽然能够起到良好的病毒防护效果,但是很多时候此项举措还是显得较为被动,现阶段,实践中常用的病毒软件有Outlook、Net Ant等。

(四)安装系统漏洞补丁程序

在计算机系统设计的过程中,为了计算机信息的安全,需要软件开发商补丁程度,从而及时纠正漏洞问题。伴随着计算机系统的应用,需要定时更新网络补丁程序,同时对其进行安装,为网络系统的实际运行创造优质的安全环境。如COPS软件的应用,就是专门用来扫描漏洞的设备。

3 结语

在科学技术飞速发展的今天,计算机信息安全风险逐渐增大,从实践过程分析,需要综合各方努力,为计算机信息安全提供可靠保障。在当前的时代背景下,网络成为了一种特色标志,象征着时代的进步与发展,计算机信息安全防护工作的重要性日益体现出来,与之相关的安全维护难度也随之增大。现阶段的技术条件下,计算机信息安全防护问题只能在避免的过程中不断强化具体措施,但是却无法根除,只能结合技术优选组合,保障计算机信息的安全。

参考文献

[1]陆俊,侯雅莉. 浅析计算机信息安全防护措施[J]. 赤峰学院学报(自然科学版),2016,(12):10-12.

[2]张康荣. 计算机网络信息安全及其防护对策分析[J]. 网络安全技术与应用,2015,(02):92+94.

[3]张嘉. 网络环境下计算机信息安全防护措施[J]. 计算机光盘软件与应用,2014,(03):189+191.

[4]朱亮. 计算机网络信息管理及其安全防护策略[J]. 电脑知识与技术,2012,(18):4389-4390+4395.

篇4

关键词: 武警;局域网;比较;安全技术

中图分类号:TN919 文献标识码:A 文章编号:1671-7597(2012)0310095-01

武警部队近年来信息化发展迅速,三级网络已经建成,极大提高了部队工作效率。随之而来的是安全保密形势越来越严峻,主要是涉及到与公安警务网互联、与地方民政部门数据交换、与协同作战等的保密问题。为此,笔者对网络隔离下几种数据交换技术进行了比较研究。

1 网络隔离的原因

1)的网络与低密级的网络互联是不安全的,尤其来自不可控制网络上的入侵与攻击是无法定位管理的。互联网是世界级的网络,也是安全上难以控制的网络,又要连通提供公共业务服务,又要防护各种攻击与病毒。要有隔离,还要数据交换是各企业、政府等网络建设的首先面对的问。

2)安全防护技术永远落后于攻击技术,先有了矛,可以刺伤敌人,才有了盾,可以防护被敌人刺伤。攻击技术不断变化升级,门槛降低、漏洞出现周期变短、病毒传播技术成了木马的运载工具,而防护技术好象总是打不完的补丁,目前互联网上的“黑客”已经产业化,有些象网络上的“黑社会”,虽然有时也做些杀富济贫的“义举”,但为了生存,不断专研新型攻击技术也是必然的。在一种新型的攻击出现后,防护技术要迟后一段时间才有应对的办法,这也是网络安全界的目前现状。

因此网络隔离就是先把网络与非安全区域划开,当然最好的方式就是在城市周围挖的护城河,然后再建几个可以控制的“吊桥”,保持与城外的互通。数据交换技术的发展就是研究“桥”上的防护技术。

关于隔离与数据交换,总结起来有下面几种安全策略:

修桥策略:业务协议直接通过,数据不重组,对速度影响小,安全性弱;

防火墙FW:网络层的过滤;

多重安全网关:从网络层到应用层的过滤,多重关卡策略;

渡船策略:业务协议不直接通过,数据要重组,安全性好;

网闸:协议落地,安全检测依赖于现有的安全技术;

交换网络:建立交换缓冲区,采用防护、监控与审计多方位的安全防护;

人工策略:不做物理连接,人工用移动介质交换数据,安全性最好。[1]

2 数据交换技术

2.1 防火墙

防火墙是最常用的网络隔离手段,主要是通过网络的路由控制,也就是访问控制列表(ACL)技术,网络是一种包交换技术,数据包是通过路由交换到达目的地的,所以控制了路由,就能控制通讯的线路,控制了数据包的流向,早期的网络安全控制方面基本上是防火墙。国内影响较大的厂商有天融信、启明星辰、联想网御等。

但是,防火墙有一个很显著的缺点:就是防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法。对于安全要求初级的隔离是可以的,但对于需要深层次的网络隔离就显得不足了。

值得一提的是防火墙中的NAT技术,地址翻译可以隐藏内网的IP地址,很多人把它当作一种安全的防护,认为没有路由就是足够安全的。地址翻译其实是服务器技术的一种,不让业务访问直接通过是在安全上前进了一步,但目前应用层的绕过NAT技术很普遍,隐藏地址只是相对的。目前很多攻击技术是针对防火墙的,尤其防火墙对于应用层没有控制,方便了木马的进入,进入到内网的木马看到的是内网地址,直接报告给外网的攻击者,NAT的安全作用就不大了。

2.2 多重安全网关(也称新一代防火墙)[2]

防火墙是在“桥”上架设的一道关卡,只能做到类似“护照”的检查,多重安全网关的方法就是架设多道关卡,有检查行李的、有检查人的。多重安全网关也有一个统一的名字:UTM(统一威胁管理)。设计成一个设备,还是多个设备只是设备本身处理能力的不同,重要的是进行从网络层到应用层的全面检查。国内推出UTM的厂家很多,如天融信、启明星辰等。

多重安全网关的检查分几个层次:

FW:网络层的ACL;

IPS:防入侵行为;

Av:防病毒入侵;

可扩充功能:自身防DOS攻击、内容过滤、流量整形。

防火墙与多重安全网关都是“架桥”的策略,主要是采用安全检查的方式,对应用的协议不做更改,所以速度快,流量大,可以过“汽车”业务,从客户应用上来看,没有不同。

2.3 网闸[3]

网闸的设计是“+摆渡”。不在河上架桥,可以设摆渡船,摆渡船不直接连接两岸,安全性当然要比桥好,即使是攻击,也不可能一下就进入,在船上总要受到管理者的各种控制。另外,网闸的功能有,这个不只是协议,而是数据的“拆卸”,把数据还原成原始的面貌,拆除各种通讯协议添加的“包头包尾”,很多攻击是通过对数据的拆装来隐藏自己的,没有了这些“通讯外衣”,攻击者就很难藏身了。

网闸的安全理念是[4]:

网络隔离-“过河用船不用桥”:用“摆渡方式”来隔离网络。

协议隔离-“禁止采用集装箱运输”:通讯协议落地,用专用协议或存储等方式阻断通讯协议的连接,用方式支持上层业务。

按国家安全要求是需要网络与非网络互联的时候,要采用网闸隔离,若非网络与互联网连通时,采用单向网闸,若非网络与互联网不连通时,采用双向网闸。

2.4 交换网络[5]

交换网络的模型来源于银行系统的Clark-Wilson模型,主要是通过业务与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个数据交换区域,负责业务数据交换(单向或双向)。交换网络的两端可以采用多重网关,也可以采用网闸。在交换网络内部采用监控、审计等安全技术,整体上形成一个立体的交换网安全防护体系。

交换网络的核心也是业务,客户业务要经过接入缓冲区的申请,到业务缓冲区的业务,才能进入生产网络。

网闸与交换网络技术都是采用渡船策略,延长数据通讯“里程”,增加安全保障措施。

3 数据交换技术的比较

不同的业务网络根据自己的安全需求,选择不同的数据交换技术,主要是看数据交换的量大小、实时性要求、业务服务方式的要求。

参考文献:

[1]周碧英,浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18-19.

[2]潘号良,面向基础设施的网络安全措施探讨[J].软件导刊,2008(3):74-75.

[3]刘爱国、李志梅,电子商务中的网络安全管理[J].商场现代化,2007(499):76-77.

篇5

1计算机网络安全问题

计算机网络安全问题主要表现在计算机遭受恶意病毒攻击、IP地址被非法盗用、计算机被非法访问以及操作系统或者应用软件本身的安全漏洞等。

1.1计算机病毒和恶意程序的存在

计算机病毒是本质是一种常见的侵害网络安全的一种代码,这种代码具有语言无关性(C、C++或者其他语言编写的计算机程序)。其主要通过附着在其他程序代码上进行传播,传播速度较快,并且可以进行自我复制和隐藏,危害性较大。随着网络的发展,计算机病毒不可能被杀毒软件彻底的清除,我们只能做好防治工作。就现实来看,导致网络存在安全隐患,主要表现在以下两个方面:

(1)人为因素。病毒来源于人,因为人是计算机病毒的编写者,当然,人也是计算机病毒的防护者,很多计算机病毒的传播都是由于人为的安全意识淡薄所致,等到网络安全受到威胁时才进行技术防护,采取被动式的网络安全防护策略,这种方式不能进行有效的网络安全防护。

(2)技术问题。计算机病毒防护是一门学问,做计算机安全维护问题的工作人员,首先需要了解病毒(要求高的地方,需要能写病毒),只有了解了病毒才能防止,而了解病毒就需要我们去学习计算机技术,计算机原理,甚至是操作系统的计算机专业技术。

1.2非法访问网络

对于一个企业而言,其网络结构一般可分为内网和外网结构。一般外网是企业的门户网站,或者商务交流平台,其到达内网需要通过多层数据访问。而网络受到攻击,可以分为来自企业内部的内网攻击以及来自企业外部的外网攻击。对于企业级的非法访问网络,主要目的就是下载用户商务数据其过程主要为搜集信息作为企业数据目标选择,实施网络访问攻击,下载需要的企业数据[1]。

1.3操作系统安全问题

随着信息技术的发展,操作系统存在安全隐患因素越来越低,但是不可否认,其还是存在一定的安全风险。

第一,操作系统支持的文件中隐含不安全因素。操作系统是传送所有类型文件的一个通道平台,为不安全因素的隐藏提供了有利条件。在绝大多的安装程序中都会包含可执行文件,这些可执行文件容易出现漏洞,这主要是因为这些文件基本上都是人为编程实现的二进制代码,了解了程序逻辑结构后,完全可以在可执行文件中,添加必要的可执行病毒代码段,而这些漏洞会导致整个系统瘫痪。一般而言,系统安全问题很容易在程序安装和加载中产生,因此,为了确保网络安全性,在程序安装和加载时需谨慎。

第二,守护进程的好与坏。一般而言,在系统引导装入时守护进程被启动,在系统关闭时守护进程被终止。守护进程有好有坏,如防病毒软件就说明守护进程是好的,但是进程本身就是一种病毒,其也具有一定的危害性。

第三,远程调用。进行远程调用的程序基本上都存在于大型服务器中,虽然远程调用这项功能,操作系统本身就有,但是在远程调用过程中,非法者也能够进行非法活动,进而给操作系统带了威胁。第四,操作系统的漏洞。漏洞无时无刻存在于操作系统中,一般解决这些漏洞的方式就是对软件进行升级,但是如果此时你的操作系统已经升级到最高级别,还有漏洞存在,那么操作系统就会因为这个漏洞的存在而崩溃。

2计算机网络安全防范策略

2.1计算机病毒安全防范策略

针对目前多种形式的计算机病毒,如果仅仅采取一种方法对其进行防范,那么无法保证网络安全性,因此需要配合一些全方位的防病毒产品来彻底清除计算机病毒[2]。如,在清除内网计算机病毒时,需要的防病毒软件必须具有服务器操作系统平台的功能以及必须具有针对性(主要针对各种桌面操作系统);在清除外网的计算机病毒时,需要防病毒软件的支持以及确保联网所有计算机的安全。另外,提高网络安全意识非常重要,不用盗版软件,病毒在盗版软件的传播速度非常快;下载资料时必须先进行病毒扫描,在无病毒的环境下进行下载等等,这些都是防范计算机病毒的有效管理策略。

2.2身份认证技术

身份认证顾名思义就是对访问网络的合法用户进行鉴别,确保合法用户能够正常使用网络,防止非法用户攻击网络,总之保证网络的安全性。随着用户密码被非法用户截获案件越来越多。合法用户的相关信息被窃的事件也越来越多,合法用户的安全受到越来越多的威胁,用户已经充分认识到身份认证的重要性[3]。

合法用户一般都具有两种身份,一种是物理身份和数字身份,身份认证就是对这两种身份是否一致进行鉴别。身份认证系统最重要的技术指标就是看合法用户被他人冒充的难易度。合法用户身份如果被非法用户所冒充,那么将会直接损害合法用户利益,并且会对整个系统造成威胁。由此可见,身份认证不仅是权限管理的基础,而且它更是网络安全的一种基础策略。

2.3入侵检测技术

入侵检测是检测非法入侵网络的行为,这些非法行为都会威胁到网络安全。入侵检测技术一般属于事前措施,将威胁网络安全的非法行为扼杀在摇篮中,这种网络安全技术属于一种主动策略。一般而言,误用检测技术和异常监测技术是入侵检测所采用的技术。

(1)误用检测技术。这种技术的前提条件是假设所有的入侵行为都能认为是一种特征,分析已知的入侵行为,根据分析结果构建相应特征模型,此时对入侵行为的检测就转换成搜索与之匹配的特征模型,结果匹配,即表示是非法行为。误用检测技术在对已知入侵检测方面准确性较高,但是对于一些未知入侵检测效率不高;

(2)异常检测技术。这种技术的前提条件就是假设所有的入侵行为与正常活动不同,对正常用户活动进行分析,根据分析结果构建相应的模型,统计与正常用户活动不同的数量,如果此行为与统计出来的规律不符,则证明是入侵行为。对于误用检测技术不能检测到未知入侵这一不足之处,通常采用异常检测技术来进行补充。由此可见,误用检测技术与异常检测技术是目前入侵检测的两种主要技术。入侵检测在构建模型时有一种通用入侵检测模型,如图1所示。另外,除了上述两种技术支持外,入侵检测还需要入侵检测系统的支持。入侵检测系统是以一种安全设备的形式来进行入侵检测,它主要通过发出警报等形式来检测网络,它是一种积极主动的安全防护设备。

篇6

网络会计信息系统的安全风险,是指由于人为或非人为的因素使会计信息系统保护安全的能力减弱,从而产生系统的信息失真、失窃,使单位的财产遭受损失,系统的硬件,软件无法正常运行等。具体表现在以下几个方面:一是重要会计信息被篡改。开放性的网络会计环境下,存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象,但仍不能排除电子凭证、电子账簿可能被恶意修改的可能。由于缺乏有效的确认标识,信息接受方有理由怀疑所获取财务数据的真实性。同样,作为信息发送方,也会存在传递的信息未被接受方正确识别并下载。另外,会计信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,同时,病毒也会影响信息的安全性和真实性。二是重要的财会数据泄密。财务数据属重大机密,在网络传递过程中,有可能被非法截取,从而造成不可估量的损失。同时,目前大多数会计软件对更改的会计事项没有提供完整的、真正意义上的痕迹记录。这样就使得会计做假、造假和经济违法犯罪变得更加隐蔽,给会计、审计监督工作和防范违法犯罪增加了技术难度。三是计算机硬件受到损害。网络会计主要依靠自动数据处理功能,而这种功能又很集中,自然或人为的微小差错和干扰,都会造成严重后果:然因素。如灰尘、老鼠等对计算机硬件造成损坏,严重的会造成系统故障;理因素。安全管理不力,使得计算机被盗,或光盘、磁盘等磁介质载体丢失,造成信息泄露等。四是会计信息系统的生命周期缩短。在会计信息系统的开发过程中,软件供应商与会计人员之间在业务技术存在差异,沟通比较困难,在开发时不能完全了解企业的用途和目的,致使会计信息系统软件在实际应用的过程中不能很好的处理和解决企业的现实情况,容易出现差错。此外,会计信息系统提供的一些操作与现行的企业会计制度相悖,会不同程度地使会计信息系统的生命周期逐渐缩短。

二、网络环境下会计信息系统安全体系构建的基本思路

通过对网络环境下会计信息系统面临的风险分析,可知建立科学的会计信息系统安全体系的重要性。同时,会计信息系统和其他类型的管理信息系统相比,具有自身的特点,其中最重要的特点是系统对安全性与可靠性的要求是比较高的。因此,在会计信息系统安全体系构建的过程当中,必须遵循正确和合理的工作原则,明确实际工作和实施的主要思路。一是加强会计系统与企业其他系统的密切联系。相关性是系统的一个重要属性。网络会计信息系统不是与企业其它管理信息系统独立的子系统,而是融入企业内联网与其它业务及管理信息系统高度融合的产物。保证网络会计信息系统安全实质上也包含了对企业整个信息系统服务质量的要求。因此,安全系统的建设与维护应当与网络会计信息系统及企业内联网络的建设和维护保持一致,遵循系统工程的方法,应用系统工程建设和维护网络会计信息系统及企业管理信息系统的安全系统。二是注意应用各相关学科知识。综合性是系统的另一个重要属性。网络会计信息系统信息安全保障问题的解决既不能只依靠纯粹的技术,也不能靠简单的安全产品的堆砌,他要依赖于复杂的系统工程,采用工程的概念、原理、技术和方法,来研究、开发、实施与维护信息系统安全。此外,在会计信息系统安全体系的设计过程中,也可以有针对性地运用信息系统开发、计算机网络、信息系统安全工程等相关基本理论。

三、网络环境下会计信息系统安全体系的建设过程

一是网络会计信息系统的安全系统就是该网络信息系统的信息安全服务系统,它由安全控制系统、安全控制管理系统和安全控制认证系统组成。信息系统的安全系统是信息系统安全技术型保障,这些技术保障是根据信息系统的具体安全需求建立的。安全系统的建设、维护和应用都应建立在信息系统环境中。目前,信息安全理论界普遍提倡采用信息系统安全工程过程(ISSE)来进行信息系统安全系统的建设、维护和应用。二是信息系统安全工程过程(ISSE)主要告知人们如何根据系统工程的原则构建安全信息系统的方法、步骤与任务。包括进行信息安全需求分析、定义系统功能、进行系统设计、获得系统实现以及ISSE过程的同步进行。ISSE强调系统工程要与被建设的系统特性紧密结合,其工程环节要与系统的生命周期保持同步。网络会计信息系统同一般的信息系统一样都是有生命周期的,该周期包括了系统规划、设计、建设、验收、运行、改造和报废等,其信息安全服务系统的生命周期也是如此。所以,本文对网络会计信息安全系统设计的思路是:根据ISSE的描述,将网络会计信息安全系统的建设纳入到工程过程,该过程包含6个工程环节:安全需求分析、安全系统设计、安全系统集成、安全系统认任务。如图1所示:

四、网络环境下会计信息系统安全模型设计

篇7

关键词:聚类分析;网络文化安全预警;文化算法

中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 14-0000-02

Internet Culture Security Warning Model on Cultural Algorithms

Chen Ting

(University of Science&Technology Beijing,Beijing100083,China)

Abstract:In this paper the early-warning model based on the Cultural Algorithms of the cyber-cultural evolution process is designed and proposed.Simulation results show that the approach produces more competitive result at relatively computational cost compared with some other better constraint-handling algorithms.

Keywords:Cluster analysis;Internet culture security warning;Cultural algorithms

一、文化算法

通过聚类分析与文化算法的结合,完成文化安全“粒子”数据的聚类分析。该方法可以很好的提高速度和准确率。文化算法是演化算法的一种,算法的灵感来自于文化进化论的研究者对文化进化过程的描述。模仿这个过程,得到的新的方法。

文化算法设计原则包括以下三个部分:

(一)种群空间设计:种群空间设计主要是对研究对象的确定。之后即就是研究对象的表示。种群空间的对象可以是简单的个体信息,同时也可以是关系信息。根据具体问题分析而定。相对于信念空间的抽象化信息的表示和演化的模型,简单的说,种群空间就是对实物,具体存在信息的表示和演化模型。种群空间个体的表示种群空间个体在不同应用过程中表示方法不同。常见的是通过一系列属性编码表示个体。其中有二进制表示、实值表示等。

(二)信念空间(believe space):不同的符号化表示方法能够用于描述信念空间。包括语义网、逻辑和集合论等。可以说,信念空间一定是对实体的抽象。信念空间的表示方法:文化算法同PSO算法的不同是由于CA算法在问题求解过程中利用了五种基本的知识类型,而不仅仅是利用一个或两个简单的本地间传输的值(two locally transmitted value)。在认知科学(cognitive science)领域研究证明,上述五种知识类型都在不同的动物种群中找到证据,并且认为人类社会的知识系统至少有这五种类型知识。这五种知识包括:形势知识(Situational Knowledge)、标准化知识(Normative Knowledge)、领域知识(Domain Knowledge)、历史知识(History Knowledge)、地形知识(Topographic Knowledge)

(三)信念空间的演化和更新。对于不同的表示方法会进行不同的演化。基于模式的形式表示知识的话,其演化过程主要是指不同的Schemata完成:模式分离(Segmentation)过程,如图1.1所示:

图1.1:Schemata分离演化过程图

基于粒子群优化的文化算法基本步骤如下:1.初始化一群随机粒子(随机解)。2.每次迭代中,粒子通过跟踪两个极值更新自己:(1)-粒子本身找到的历史最好解(个体极值点pbest);(2)-整个种群目前找到的最好解(全局极值点gbest)。3.需要计算粒子的适应值,以判断粒子位置距最优点的距离。4每次迭代中,根据适应度值更新pbest和gbest。5迭代中止条件:设置最大迭代次数或全局最优位置满足预定最小适应阈值。

假设有相互竞争的N个粒子;第 个主体的综合生态位宽度

粒子 的生态位置: ,将 代入适应函数

求适应值;

粒子 速度:

粒子 个体极值点位置:

种群的全局极值点位置:

粒子 的第m维速度和位置更新公式:

c1,c2―学习因子,经验值取c1=c2=2,调节学习最大步长

r1,r2―两个随机数,取值范围(0,1),以增加搜索随机性

w―惯性因子,非负数,调节对解空间的搜索范围。

二、基于文化算法的预警模型设计

(一)总体设计。该模型分为以下三个部分,前台访问模块,用于对外接口,模型主体包括:警情分析模块,基本的统计查询模块,内容规则添加与查询,用于计算信息生态位的最优解。最后一部分数据库。

如图2.1所示:

图2.1:网络文化安全预警模型结构图

(二)信息人个体的统计模块。信息人个体统计模块的任务是完成对单个个体信息人的基础数据的统计,这个统计是为了计算单个个体生态位宽度,信息生态位宽度是指信息人在不同的信息生态维度上对多个信息环境因子适应、占有和利用的范围与数量。信息生态位宽度表示信息人具有信息功能和利用信息资源多样化的程度,也反映了信息人对信息资源的利用能力和竞争水平。

该模块主要是利用基本的统计分析方法,按照信息人个体进行统计。并对其每个个体计算信息人生态位宽度。生态位维度的值用 表示:

式中, ; ; ; 表示第 个维度中第j个分指标的值; 表示该指数在该层次中的权重。

式子, ; 为第n个主体在第 个维度上的值。

(三)分类处理模块设计。由于网络文化的分类标准还没有相关研究成果,对其进行聚类分析是必要的。输入数据为经过基础统计分析计算得到的一个个体信息人的所有数据:分为三个大的部分:个体占用时间度、个体占用空间度、个体占用资源维度。个体占用时间度包括个体数据的时间总跨度,个体占用空间度包括即个体所在版面的个数,个体占用资源维度包括个体所发贴的总和。

设待聚类分析的对象全体为 其中 为 维模式向量,聚类分析就是要找到 的一个划分 ,满足:

,其中 ,且,并且使得类之间的误差平方和 最小。其中 表示第 类中样本 与第 类的聚类中心 之间的欧式距离,即 。

信念空间的更新函数 ,

信念空间 的 函数:文中仅取当前最优个体 来更新信仰空间中的形势知识

其中,

本文中,规划化知识的更新规则如下:

其中第t代变量的下限 和上限 所对应的适应值。

影响函数设计:

使用规范知识调整变量变化步长,形式知识调整其变化方向。定义如下:

其中 为服从正态分布的随机数, 为信仰空间中变量 可调整区间的长度, 为步长收缩因子,这是对文献算法的改进。这里 , 。

步骤1、初始化的种群空间:是从所有样本中随机抽取K个样本作为聚类中心。并进行编码,这样就产生了一个一个个体。重复以上步骤p次,产生种群空间为P的初始种群空间;

步骤2、通过适应度函数 ,对种群空间中的个体进行评价;

步骤3、根据样本集和初始种群空间中的候选集,按照信念空间结构,生成初始信仰空间;

步骤4、根据影响函数计算,对种群空间中的每个父个体进行变异,生成P个相应子个体;

步骤5、对于由于子个体和父个体共同生成的规模为2p的种群空间中的每个个体,从该种群空间中随机选取c个个体与它进行比较。如果该个体优于其它,则称该个体取得一次胜利,并记录胜利的次数;

步骤6、选择前P个具有最多胜利次数的个体作为下一代父个体;

步骤7、设定接受函数 ,并按照更新函数,更新该信仰空间;

步骤8、不满足终止条件,则重复步骤4),反之,则结束。

三、总结

本文依据文化算法的设计策略,应用粒子群优化文化算法,设计完成了基于文化算法的预警模型,本文重点为互联网信息提供一种估算预警值模型以便于对互联网文化的审查。本文提出了一种预警模式,为以后的进一步实现打下为了基础。

参考文献:

[1]周平红,张峰.从网络文化安全的视角谈青少年媒介素养教育[J].教育技术导刊,2007,3:10-11

[2]贺善侃.网络时代:社会发展的新纪元[M].上海:上海辞书出版社,2004

[3]张长全.中国金融开放与发展中的安全预警问题研究[M].北京:经济科学出版社,2008

篇8

关键词 信息化;医院;网络安全;病毒传播

中图分类号:TP316 文献标识码:A 文章编号:1671-7597(2013)20-0157-01

现代化医院运营的必备技术支撑环境和基础设施,是医院信息系统,简称HIS。医院只有具备良好的信息管理、信息处理系统,才能实现高效的现代化管理。网络管理的安全、高效,是医院网络信息保持较高保密性、可用性、完整性,大规模信息系统的安全运作,医院各项工作的高效运转的根本性保障。

1 医院当前的信息系统管理存在的不安全因素

1.1 恶劣天气带来的安全隐患

在实际的信息系统管理中,创建的自然环境危害因素主要有:周围环境中存在的电磁辐射、不稳定的静电、雷击、供电电源以及不相适宜的温度和湿度等。尽管计算机技术发展迅速,然而其工作也深受温度的影响,在环境温度太低或者太高的情况下,网络系统无法开展正常的工作。湿度也是影响计算机能否正常工作的重要因素,过干的环境下,很容易产生较大电压的静电,损害计算机中的电子器件;过湿的环境下,会降低电路的绝缘能力,损害用于存储信息的媒体。在处于雷电的天气下,网络系统中的主交换机,可能遭受彻底的损坏。

1.2 黑客病毒等攻击的人为安全隐患

无意识失误的人为因素和恶意攻击的人为因素,是威胁信息系统网络安全的两种主要因素。影响计算机网络系统安全的人为因素是多方面的,因此,信息系统网络管理者应高度重视各种人为威胁因素。人为因素对医院信息系统的危害,重则彻底摧毁整个医院信息系统,网络系统会因此而处于瘫痪状态;轻者直接影响网络系统数据的准确性,或是出错、或者丢失、或者外泄。一般情况下,主要有用户口令选择不慎、用户安全意识较差、操作员安全配置不当、程序设计错误、内部医院人员操作失误等人为的无意失误行为。

人为因素的恶意攻击,主要体现在“黑客”、间谍、计算机犯罪分子的破坏。随着计算机科学技术的飞速发展,滋生了不少电脑高手、能手,如“黑客”、网络间谍等,他们往往蓄意碰坏网络系统,非法复制软件,窃取网络信息,是网络系统的人为恶意攻击威胁因素。当前,人为的恶意攻击,是计算机网络面临的最大威胁,造成的损失也是不可估量的。

1.3 医院计算机软件管理漏洞

计算机协议、硬件以及软件等系统安全策略、实现形式上存在的缺陷,即网络软件漏洞。通过这些网络软件漏洞,无需获得管理员的授权,恶意攻击者便可以直接访问并攻击医院网络信息系统。尽管计算机科学技术的发展,已到了一定的高度,然而目前仍然没有一款百分之百完美无缺的网络软件,甚至有不少商业软件在应用之初,便存在大量的漏洞。黑客的攻击行为,重点突破口便是这些漏洞和缺陷,也正是由于这些漏洞的存在,才会发生一系列黑客攻入网络系统内部区的案件。除此之外,部分软件工作的程序设计人员,在设计编程的过程中,为了方便管理,往往会设计不为人知的软件“后门”,假若这些软件“后门”被不法分子获知,将会直接威胁到软件的安全。

2 信息环境下做好医院信息安全的保障对策及建议

2.1 注重保护计算机硬件设施

做好计算机的物理安全工作,能够很好的预防自然灾害、人为破坏、搭线攻击等因素,确保计算机系统、网络服务器、扫描仪等硬件设施、通信链路。物理安全策略,是构建一个良好的电磁兼容计算机工作环境的重要措施。借助于一些技术手段,最大限度的减少自然环境因素对计算机的危害。比如在机房屋顶和交换设备网点安装避雷针、接地装置等防雷措施,以减少雷电对网络系统的危害;在干燥或潮湿的地方购置加湿或者去湿的设备,根据机房面积安装相适宜的空调,控制网络环境的湿度和温度;安装标准地线、铺设活动抗静电地板,减少静电对计算机网络系统的危害。

2.2 通过数据加密技术保护网络系统

为了保护数据、口令、文件和控制信息的安全性,常采用数据加密的计算机网络安全主动防御策略。数据加密技术的运用,不仅能够有效的保障信息的机密性,还能够有效的保护数据的网上传输。在加密的情况下,只有获得授权,用户才能访问、使用存储、传输的数据。在维护网络系统安全的过程中,常采用链路加密、节点加密、“端—端加密”等网络加密方法,保护网络数据信息不被未获得访问权限的侵入者识别、使用、破坏。网络加密中的链路加密法,主要是用来保护网络各节点之间的链路信息;节点加密法,主要是用来保护源节点和目的节点之间的传输链路;“端—端加密”法,主要是用来保护“源端用户”和“目的端用户”之间的数据。用户,可以根据具体需求,而选择不同的网络加密方式。运用RSA算法和DES算法等加密算法,实施对信息的加密,能够以最小的代价保护网络数据的安全。

2.3 完善医院网络防火墙的安全管控

防火墙,包括一切预防、抵御外界侵犯,保护网络信息系统安全的各种应对、防范措施。防火墙,实际上是一项访问控制技术,在内外部网络之间设置一道隔离墙,控制两个或多个网络之间的访问,以保护内部网络中的机密数据不被篡改或偷窃,监测流入内部网络的所有信息和流出内部网络的而所有信息。防火墙,不仅有效的屏蔽了需要屏蔽的信息,“阻止”了该阻止的信息,同时也能够允许信息的流通。防火墙的隔离设备,是一组能够提供网络安全的硬件、软件系统。

2.4 从规章制度上来完善网络信息安全

医院必须正确认识并认真对待医院信息管理系统网络安全问题。采用上述技术措施保障网络安全,还不够完整。因此,医院应在内部构建完整的网络安全管理规章制度。网络安全管理策略具体包括应急措施和数据质量分析评价制度、管理人员登记制度、管理员网络操作使用规程、网络技术管理规则和人员培训制度等。

3 结束语

医院医疗业务的正常开展,有赖于正常运行的信息系统,而医院信息系统安全管理工作也是一项长期、艰苦的工作。为此,医院网络管理人员应认真学习、细心搜集,不断更新知识、累计经验,全方位、多角度的考察网络安全漏洞,力争准确把控乃至消灭各种网络不安全因素,确保医院信息系统的安全、健康、持续运行。

参考文献

[1]王强.医院网络安全现状研究[J].医学信息(中旬刊),2010(05).

[2]张震江.医院网络安全现状分析及研究[J].计算机系统应用,2006(07).

[3]姚征.医院网络建设的一些误区分析[J].科技资讯,2007(29).

篇9

【关键词】员工安全等级;粗糙集理论;人工神经网络

1.引言

电力行业是国民经济的基础产业,它直接关系到经济发展和社会稳定。然而,电力企业员工在生产过程中,由于知识、能力与经验的不足或者心理因素等原因,为了追求某些利益,从而导致人身事故、电网事故、设备事故和火灾事故等人因事故[1]。据统计60%-70%电力生产事故是由人的失误造成的,所以减少人因失误是有效控制电力生产事故发生的关键[2-3]。

目前专门针对电力企业生产中人因失误的研究成果还不是很丰富,对电力企业生产中人的不安全行只分析了其对电力系统的影响,提出了防范不安全行为的措施,并没有对不安全行为的严重程度进行划分。另外,一些地区已经开始着手进行了员工等级的鉴定工作,但标准和方法不一致且过于简单造成了结果的不具有可比性,并且存在着评价周期长、缺乏准确性等诸多弊端。所以,需要构建统一的电力企业员工安全等级评价模型。

2.电力企业员工安全等级评价模型的设计

电力企业中现行的管理经验和方法缺乏系统性和前瞻性,管理还比较粗放,特别是员工的习惯性违章仍屡禁不止,为了从根本上提高电力企业员工的安全意识,减少人因事故的发生,本文在充分研究电企中人因失误问题的基础上,基于粗糙集与BP神经网络设计了电力企业员工安全等级评价模型,模型框架如图1所示。

评价前,首先要确定宽泛的评价属性集,然后收集数据,界定属性值语义,并对每个属性界定属性值,最后构建出属性约简决策表。构建员工属性决策表是进行员工安全等级评价的首要问题,决策表是一类特殊而重要的知识表达系统,多数决策问题都可以用决策表形式来表达。

评价中,将粗糙集作为人工神经网络的前置系统,以减少神经网络的复杂性。

评价后,为了进一步检验评价模型的性能,评价结束后要对评价结果进行仿真分析。利用相关函数对网络进行仿真,并计算输出结果和目标输出之间的误差,从而作为网络训练结果优劣的判别依据。

3.评价核心要素的提取方法

在评价过程中,为了解决人工神经网络当输入的信息空间维数较大时,网络结构复杂和训练时间长的问题,所以在这里使用粗糙集作为神经网络的前置系统[4]。

3.2 属性约简算法

粗糙集的属性约简就是指在保持原始决策表条件属性和决策属性之间的依赖关系不发生变化的前提下删除冗余的属性和属性值[5]。粗糙集的属性约简算法有很多种,本文使用的是基于区分矩阵的约简算法。算法具体如下:

(1)计算区分矩阵,将区分矩阵的核赋给约简后的集合;

(2)找出不含和指标的指标组合;

(3)将不包含和指标的指标集表示为合取范式;

(4)将合取范式转换为析取范式的形式;

(5)根据需要选择合理的指标组合。

4.BP神经网络的实现

6.结论

笔者在综合分析国内外相关研究基础上,提出了电力企业员工安全等级的概念,并基于粗糙集与人工神经网络设计了电力企业生产中员工安全等级评价模型,模型将粗糙集作为神经网络的前置系统,用以缩减神经网络学习时的训练样本,可达到简化神经网络结构、提高评价模型工作效率的目的,同时BP神经网络能够有效减少噪声对粗糙集评价过程的影响。最后,通过实例对模型进行应用,仿真结果说明,该网络能够较好地对电力企业员工安全等级进行评估。

参考文献

[1]袁周.电力生产事故人因分析与预防简明问答[M].北京:中国电力出版社,2007.

[2]马京源,李哲,何宏明,钟定珠.电气误操作事故人因因素分析与控制[J].中国电力,2010(5):72-76.

[3]林杰.安全行为科学理论在电力生产中的应用研究[D].贵州:贵州大学硕士论文,2006.

篇10

中图分类号:TN711 文献标识码:A文章编号:41-1413(2012)01-0000-01

摘 要:网络带给人们的便利之一就是信息资源共享,然而,与之俱来的是来自各方的网络安全问题。网络安全预警系统针对大规模的网络进行预警,但传统的系统存在对未知的攻击缺乏有效的检测方法、对安全问题的检测通常处于被动阶段.本文主要介绍NAT技术的特点及网络安全预警系统中穿越防火墙/NAT技术的实现方法,使网络信息传递更安全、更快速、更准确。

关键词:网络安全预警NAT防火墙/NAT的穿越

0 网络安全预警系统

0.1 功能及体系结构

网络安全预警系统主要具有评估不同攻击者造成的信息战威胁、提供信息战攻击的指示和报警、预测攻击者的行为路径等功能。

目前的网络安全预警系统通常采用多层式结构,以入侵检测系统作为中心,对受保护的网络进行安全预警。该类系统通常由嗅探器模块、安全管理中心、远程管理系统服务器、远程终端管理器组成。嗅探器模块按一定策略检测网络流量,对非法的流量进行记录以便审计,并按照安全策略进行响应;安全管理中心管理嗅探器运行,并生成及加载嗅探器需要的安全策略,接受嗅探器的检测信息,生成审计结果;远程管理系统服务器负责监听控制信息,接收控制信息传递给安全管理中心,为实现远程管理实现条件;远程终端管理器为用户提供远程管理界面。

0.2 局限性

但是随着目前网络安全形势的日渐严峻,传统的网络安全预警系统逐渐显示出以下几方面的不足:

(1)目前的网络安全预警系统主要以入侵检测系统的检测结果作为预警信息的主要来源。由于入侵检测系统检测的被动性,使得预警自身就存在被动性,无法积极对受保护的网络实施预警。另外对于所保护系统产生威胁的根源―受保护系统自身的漏洞重视不够,从而当面对新的攻击时往往束手无策,处于极度被动的局面。

(2)新的攻击手段层出不穷,而作为中心的入侵检测系统在新的攻击面前显得力不从心。虽然目前也出现了一些启发式的检测方法,但是由于误报率或者漏报率比较高,在实际使用时也不太理想。

(3)预警信息传送的时效性。目前令人可喜的是用户己经注意到了安全问题,所以采用了一些安全部件如防火墙、入侵检测系统等对网络进行保护,但是同时也为预警信息的传送带了问题,即如何穿越防火墙/NAT进行信息的实时、有效传送就是一个关键的问题。

(4)传统的网络预警系统中着重在预警,相应的响应很少或者没有。

1 NAT技术

1.1 概念

NAT,即Networ Address Translation,可译为网络地址转换或网络地址翻译。它是一个IETF标准,允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备。同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet地址和私有IP地址的使用。

1.2 分类

1.2.1 静态NAT(Static NAT)

即静态转换静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问,并使该设备在外部用户看来变得“不透明”。

1.2.2 动态地址NAT(Pooled NAT)

即动态转换动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对并不是一一对应的,而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。每个地址的租用时间都有限制。这样,当ISP提供的合法IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。

1.2.3 网络地址端口转换NAPT(Port-Level NAT)

即端口多路复用通过使用端口多路复用,可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,来自不同内部主机的流量用不同的随机端口进行标示,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。

1.3 常用穿越技术

由于NAT的种类不同,所以具体对于NAT的穿越技术也有所不同。目前比较典型的穿越技术是协议隧道传输和反弹木马穿透。前者,采用直接从外网往内网连接的方式,利用防火墙通常允许通过的协议(如HTTP协议),将数据包按协议进行封装,从而实现从外网向内网进行数据传输,但是如果数据在通过防火墙时经过了NAT转换,就会失效;后者是采用由内向外的连接方式,通常防火墙会允许由内向外的连接通过,但是没有真正解决防火墙的穿越问题,无法解决对于由外向内的对实时性要求较高的数据传输,并且对于应用型防火墙,穿越时也比较困难。

2 网络安全预警系统中防火墙/NAT的穿越

2.1 应用型防火墙检测及信息注册模块

本模块主要用于验证发送方和接收方的报文是否能通过自身所在网络的防火墙,尤其是穿越应用服务器的注册相关信息,并获取必要的信息。

当发送方或接收方存在应用型防火墙时,可由发送方或接收方连接服务器,从而建立映射关系。由于发送方或接收方采用TCP连接方式连接服务器,所以映射关系可以一直保持。所以当服务器与主机连接时只需要知道相应的服务器地址、端口即可,而这些信息又可以从全局预警中心的注册信息中获得,从而解决了穿越应用型防火墙的问题。

2.2 阵雨NAT及包过滤、状态检测型防火墙检测模块

本模块主要用于检测接收方所在网络是否存在NAT以及是否存在类型为包过滤和状态检测类型的防火墙。在NAT检测报文中包含接收方的IP地址和端口,当到达发送方或者全局预警中心时,通过检查NAT检测报文的来源IP及端口,再比较报文中的IP地址和端口,若相同,则未经过NAT,否则经过了NAT。单从访问控制来说,包过滤和状态检测类型的防火墙可能会阻止由外网到内网的连接,但是,它不会改变连接的目的地址以及端口,所以通过向指定测试端口发送连接请求可看出是否有此类型的防火墙阻隔。

2.3 NAT映射维持模块

本模块主要根据NAT及包过滤、状态检测型防火墙检测模块的检测结果,反映出不同的映射维持。

当接收方所在网络存在NAT时,经过映射维持,使得在接收方所在网络的NAT处始终保持了一条接收方外网地址与内网地址的映射关系,从而使得发送方只要根据接收方的外网地址和端口即可与接收方直接通信,从而解决了外网与内网直接通信的问题。

当接收方所在的网络不存在NAT,但存在状态检测、包过滤类型的防火墙时,由于不断发送的NAT维持报文的存在,相应地在防火墙处开放了相应的端口,使得发送方可以从外到内通过此端口进行信息传送。

2.4 信息传送模块

防火墙的问题。对于一般类型的包过滤、状态检测防火墙,因为通信内容已封装成HTTPS协议的格式,所以对于从防火墙内部向外部的连接可穿越此类型的防火墙。对于从防火墙外部到内部的连接, NAT映射维持模块中NAT映射报文的存在也巧妙的解决了信息传送的问题。

3 结束语

本文采用HTTPS封装实际传输数据,可以使得数据安全传送,保证了信息可以穿越防火墙/NAT进行。但也存在着增加硬件额外开销、NAT映射相对维持报文较频繁等缺点,这些有待在进一步的研究中予以解决。

参考文献:

[1]肖枫涛.网络安全主动预警系统关键技术研究与实现 [D].长沙:国防科学技术大学.2009.

[2]张险峰等.网络安全分布式预警体系结构研究[J].计算机应用.2011.05.