如何构建网络安全范文
时间:2024-01-03 17:50:48
导语:如何才能写好一篇如何构建网络安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:计算机 网络 安全
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)05-0182-01
1、威胁计算机网络安全的不和谐因素
计算机网络主要面临着以下两种威胁:(1)对计算机网络中信息安全的威胁;(2)对计算机网络中设备的威胁。影响计算机网络安全有诸多的因素,有些因素是无意为之,但亦有有意为之;有可能是客观造成,也有可能是主观造成;亦有可能是黑客入侵非法占有网络系统资源。总言而止,造成计算机网络安全的主要因素有:
人为操纵时无意识的失误,例如不适当的安全配置造成网络安全漏洞,用户缺乏安全维护意识,没有慎重的选择口令,将自己的账号任意借予他人使用或者与他人共享网络账号与资源等,都会在不经意中给网络带来安全隐患。
恶意人为对计算机网络进行攻击,计算机网路所面临的最大威胁正是这种人为的恶意攻击。计算机犯罪与敌手的攻击同样归属于这一类。此类攻击又主要分为两种手段:主动攻击与被动攻击。前者具有选择性的通过各种破坏性方式来破坏完整有效的信息;后者则是在不影响网络工作正常进行的背后进行操作,以窃取重要机密信息。以上两种攻击通常会带来极为恶劣的影响,严重危害到机密数据的安全。
网络软件的漏洞使黑客有可乘之机。任何软件都会存在着漏洞与缺陷,正因为有这些漏洞,黑客可以立即将其锁定为首选的进攻目标,因软件漏洞所引来的黑客入侵所造成的严重后果依然丽丽在目。另外,软件公司编程人员为了方便自己而开设的“后门”,一般被隐藏得很深,但是“后门”一旦被突破,所带来的恶劣后果将是无法估量的。
2、维护计算机网络安全的措施
2.1 物理安全措施
保护网络服务器,计算机系统,打印机等计算机的硬件设施和通信链路免受客观伤害和主观上的又一毁坏等是物理安全防护的主要目的;为了防止用户越权,对用户的身份和使用权限进行验证;为网络建议一个完善的安全管理制度,防止各种采用非法手段侵入计算机控制室以及窃取计算机资料等行为发生。
2.2 访问控制防护
网络安全的防范和保护的主要措施便是访问控制,确保网络资源不被非法占有以及非法访问是其主要任务。控制防护的主要任务是维护网络资源安全以及保护网络体统。要想其真正发挥保护作用必须结合各种安全防护互相配合,但是访问控制却是计算机网络安全维护的重要手段之一。
2.3 服务器的安全监控
网络可以使服务器在控制台进行一系列操作。用户则通过控制台来对模块进行卸载和装载夫人同时,也可以实行删除与安装软件的操作。为了防止非法删除用户重要资料信息和数据的破坏,可以通过U令设置来锁定服务台;对服务器的登陆设定时间限制,关闭的时间间隔以及对非法访问者的检测,以上两种都属于网络服务器的安全监控。
2.4 控制锁定与检测网络
网络管理员需要加强对网络监控的实施,服务器则需要将用户所访问的网络资源记录下来,若有访问非法网络,服务器则要自动以图文或声音等形式进行报警来引起网络管理的注意。若有非法行为者企图入侵网络,网络服务器要自行记录下网络被试图入侵的次数,若非法访问次数达到所设定的权限,那么该用户应该被自动锁定阻止其访问。
2.5 防火墙控制
在保护计算机网络安全的一系列措施中,防火墙是近期发展起来的一项技术性措施。防火墙是对网络黑客访问某机构的网络屏障进行阻止,也可以将其形象的称之为网络进出两个方向的控制室。通过相应网络监控系统在网络边界上的建立来隔离网络内部与外部从而防止黑客入侵。
2.6 对信息采用加密防护
加密信息是保护网内数据,口令,文件,控制信息,传输数据的重要手段。网络加密手段通常采用的方法,其方法可分为节点加密,链路加密,端点加密3种。节点加密的主要目的在于保护节点之间的传输线路;维护网络节点之间的链路安全是链路加密的主要手段;端点加墨的主要目的则是为了保护源端用户到目的端用户的信息数据。用户需呀根据网络的实际情况来对以上三种加密方式进行选择。网络安全最有效的技术之一便是密码技术。采用加密保护的网络不仅可以有效防止非授权用户的搭线窃听和入网,还可以在一定程度上遏制恶意软件。
计算机网络安全是一个系统的概念,防护、监控、恢复三项技术促进了完善的信息网络安全体系的集成,能有效的阻挡各种非法,恶意性的入侵,从而维护计算机信息数据的安全。下面引用著名计算机沈昌祥院士的一句话作为结束语,他指出“信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国在奋斗攀登的制高点。”
参考文献
[1]范围林.关于计算机网络安全问题的研究与探讨[J].科技风,2008.
[2]特南鲍姆.计算机网络[M].北京:清华大学出版社,2004.
[3]孙磊.入侵检测系统在计算机网络安全上的应用[J],应用能源技术,2009.
篇2
一、从网络用户增长看待网络安全的意义
据统计,截止2014年,我国网络用户总规模达到了6.49亿,互联网普及率达到了47.9%,相比2005年,十年间,普及率上涨了五倍。通过增长曲线可以看出,互联网技术和信息技术的发展带动了我国网络使用率的增长。同时移动互联网的使用量已经超过了传统互联网,使用人数达到了5.57亿,占据整体网络使用的85.8%,这说明随着互联网的使用场景的转变,带来了人们生活习惯的改变。碎片化的时间管理和信息获取已经逐渐成为了人们生活的常态。而通过每周上网时间的统计,可以发现平均周上网时长大约在26小时左右,也就是说互联网也成为了人们主要的娱乐方式和休闲方式。与此同时中国的网站数量达到了335万个,网络资源十分丰富。
正是由于规模大、使用人数多、普及率高和应用广泛,网络安全尤其引起广大网民的重视。在随着互联网经济的发展和移动支付的普及率增高之后,网络安全的意义就不再只停留于网络使用层面,更加上升到个人隐私和经济安全层面,一旦网络安全无法得到保障,其造成的后果不堪设想。因此,构建网络安全的意义和价值除了是时展的需要之外,更是現实的需要。在构建网络安全当中,需要时刻考虑网络安全的保密、完整、可控、可用、可审查的特性,通过技术手段,从根本上避免网络安全遭受侵害,从而使因网络安全威胁所造成的损失降到最低。
二、信息技术发展中网络安全受到的威胁和挑战
想要构建起网络安全的管理和维护,就首先需要了解信息技术发展的过程中容易对网络安全造成威胁和挑战的来源。
(一)互联网隐私泄露
在互联网使用的过程当中,因互联网使用过程中的缓存和历史记录,都会留下使用痕迹,而这些痕迹所带有的隐私内容可以被别有用心者通过系统装入的cookies进行窃取。例如互联网使用过程中用户通过航空公司的官网订购机票,其填写的密码和个人信息都会留下痕迹,如果没有及时进行处理,很有可能会被窃取,从而造成隐私的泄露。
(二)黑客恶意攻击
黑客是指一些利用网络技术在不暴露自己身份的情况下供给计算机或者服务器的人,他们具有非常高端的计算机技术,熟悉编程,能够搜集网络信息、同时探测到网络漏洞并将漏洞加以利用,通过模拟环境的建立进行模拟攻击。在面对网络犯罪尚缺乏针对性的反击和跟踪手段时,黑客们的隐蔽性非常强,同时也具有极高的“杀伤力”,同样对网络安全构成威胁。
(三)软件设计漏洞和恶意陷阱
随着发展,软件设计和软件系统的规模也在逐渐扩大,随着新的软件不断产生,系统当中的安全漏洞和软件设计漏洞对网络安全造成的威胁也就随之增大。在操作系统当中无论是Windows还是UNIX都或多或少地存在系统漏洞,而各类服务器、浏览器、桌面软件其中的安全隐患也时有发现。面对这些漏洞,一些钓鱼攻击可以通过各种渠道实现传播和对网络用户进行攻击。例如前不久发生的wannacry勒索病毒的爆发,就是利用网络渠道实现钓鱼攻击,致使全球20万台电脑遭受到严重损害。病毒利用对用户电脑的控制提出勒索赎金的要求,在未能收到赎金时,病毒便会将用户电脑所有文件进行删除。在网络安全影响的诸多因素当中,网络病毒对网络的侵害力度最大,影响也最为广泛。而想要终止病毒传播只能通过病毒制造者提供源代码来完成。
三、计算机信息管理技术在网络安全维护中存在的问题
在面对网络安全受到多方面的威胁时,计算机信息管理技术是维护网络安全的一道重要屏障。然而在现实情况当中,计算机信息管理技术却并没有发挥出其应该具有的效力。其主要原因很存在问题有以下几个方面。
(一)安全监测功能缺乏实效
计算机信息管理技术最主要的技术在于对外来信息的内容进行检测和安全分析,从而从源头防止恶意攻击对网络安全造成影响,同时通过有效检测手段可以做到实时发现网络应用的过程中存在不安定和隐患因素,及时采取补救措施加以解决。然而,随着网络环境的发展,环境当中不安全因素逐渐增多,同时变得更加复杂,计算机信息管理技术如果不能够进行及时更新,就会造成检测手段无法适应发展而相对落后,对某些突发状况、新型安全问题无法起到检测作用,从而无法完成检测的效用,无法从根源上防止网络安全遭受侵害,而通过检测来实现的网络安全维护也不再具有意义。
(二)无法对网络访问进行控制
在过往的计算机信息管理技术当中,除了对外来信息内容进行检测的手段之外,还有一种通过限制访问权限和访问量的方法来实现网络安全维护。这种“一刀切”的做法在现实运行过程当中并没有起到网络安全维护的效用,很多访问限制缺乏针对性,对正常访问造成不必要的麻烦和影响,而部分情况下设置失误除了增加访问程序的繁琐性之外,并没有对网络安全威胁起到限制作用,得不偿失。
(三)缺乏应变能力
计算机信息管理技术对于网络病毒的防范方法是通过病毒数据库的建立,再将疑似网络病毒的信息内容与已知病毒库数据中相似病毒进行比较,以此来判断信息内容的安全性。而数据库的建立则是对已知病毒源代码进行搜集。一旦病毒数据库的建立过程中存在缺乏实效、技术处理能力不足以及应变能力差等现象,在应用的过程中就无法完成病毒信息内容的比对,无法做到对网络安全进行维护。现阶段一般的计算机信息管理技术中管理方法还停留在一些常规性问题的处理,对突发问题尚缺乏完善的处理方案实施,是计算机信息管理技术应用于网络安全时存在的重大问题。
四、计算机信息管理实现网络安全维护的应用
面对在网络安全中计算机信息管理技术存在的诸多问题,笔者认为可以从以下几个方面进行处理。
(一)风险评估优先进行,加强网络管理
网络安全的维护实现需要计算机信息管理技术拥有完善的评估机制,通过机制运行,对网络安全问题分时段进行评估,充分实现在网络安全问题发生前、发生过程中、发生之后对其原因、传播途径、安全影响即处理效果等方面进行全面的评价和分析,从而实现网络管理的加强化。在今后的网络安全维护过程中,一旦出现了类似的安全问题,计算机风险评估系统可以率先启动,根据事例对比、造成危害和危害发展趋势分析,给出相应的处理手段和决策参考,同时对危险种类进行评级划分,做好报警,帮助管理者追蹤至威胁目标所在地。在平时,风险评估还能够对过往威胁处理的过程内容及时进行反馈,在保障网络运行的基础上做出根据实际情况的安全设施调整,防患于未然。
(二)网络犯罪审查和净网联盟建立
国家和各级政府需要认识到影响网络安全所带来的危害,并对恶意攻击网络的行为严肃对待。可以制定相关的法律法规,来明确网络危害责任,以及危害网络安全所要承担的后果;此外还可以在各个地区有组织地建立起诸如“反黑客联盟”、“网络安全公益联盟”、“反病毒联盟”等公益性的社团组织,用于宣传网络安全,防止网络侵害。面对社会公众,要开展积极的网络公益安全教育,使广大的网络用户树立起网络安全相关意识,并敦促他们在网络使用过程中时刻谨记网络安全的相关规则,不访问陌生网站、不打开陌生邮件等。在联盟中还应该开展恶意代码样本、恶意程序的传播链接内容的分享,利用联盟内或者联盟之间的交流共享,依靠互联网行业的自律体制和监督体制,推动防治、治理互联网病毒工作的发展,净化网络空间,维护公共互联网安全。
(三)加强技术研发水平
计算机信息管理技术的运行机制的建立和发展需要依托于科学技术研发和实践,面对日益复杂的网络环境,科技水平需要不断更新,研发方向需要面向最新情况和未来发展。一个依托于科技水平进步网络安全运行机制需要构建网络安全信息管理系统,创造完善的信息技术模型,从而实现网络系统的安全。在目前市场当中已经出现了专业企业和厂家在网络安全技术研发方面所生产的相应产品,并在保障网络安全方面得到了国家的认可。同时计算机信息管理技术最主要的面向在于信息控制,通过技术实现信息内容的区分和限定,是未来计算机信息管理技术应用于网络安全维护的主要发展道路。
(四)确立网络审计等相关制度
为了保障网络环境的纯净和安全,网络审计也需要加入到计算机信息管理技术当中。通过互联网使用者在网络使用过程中的使用信息记录,依照实际情况进行审查和管理,这对于网络管理者和使用者来说有着更高的要求。通过网络审计,可以对网络当中存在的潜在危险者和攻击者进行及时发现,并对网络安全问题进行追踪,查找出危险源,做到根本性的维护。此外,还应该加强网络入侵的检测系统构建和使用,将其作为计算机信息管理技术当中最为重要的技术之一进行研发和发展。通过系统检测和数据统计为网络安全问题提供可供参考的资料。
五、结论
综上所述,在网络使用频率和网络覆盖范围逐渐扩大的今天,网络安全所存在的隐患和威胁也始终困扰着网络使用者和网络工作者。面对多种多样的网络病毒、黑客入侵以及系统漏洞,如何利用计算机信息管理技术将危险和损失降到最低,是每一个网络工作者所必须面对的。随着科技的不断进步,计算机信息管理技术也将不断完善,通过技术手段可以实现网络安全的维护。
参考文献:
[1]杨曙光.计算机信息管理技术在网络安全中的应用[J].网络安全技术与应用,2015,(4).
[2]葛晓凡.计算机信息管理技术在网络安全中的应用[J].数字技术与应用,2015,(5).
[3]侯英杰.计算机信息管理技术在网络安全中的应用分析[J].中国新通信,2016,(1).
[4]赵志鹏.浅论计算机信息管理技术在网络安全中的应用[J].电子世界,2016,(7).
篇3
关键词:校园网络 网络安全 管理
高校校园网作为高校这个特殊环境中传递信息的媒介,是学校重要的教学、科研信息基础设施,它提供教学,科研,娱乐,教育管理,招生。随着校园网的逐步发展,网络应用的逐渐普及,校内部的网络越来越多的暴露给了外部世界。因此,在校园网络及其信息系统中如何设置自己的安全措施,使它安全、稳定、高效地运转,发挥其应有的作用,成为各校越来越重视的问题。
针对层出不穷的校园网络安全问题,高校内设办公机构和部门都购置了各种网络安全产品,如防火墙、入侵检测系统、漏洞扫描器、系统实时监控器、VPN网关、网络防病毒软件等。毋容置疑,这些产品分别在不同的侧面保护着网络系统。但是,从系统整体安全考虑,这些单一的网络安全产品都存在着不同的安全局限性。并且网络安全不仅有着众多的技术安全因素,更多的在网络安全的管理、部署和操作方面,因此,将技术和管理相结合,建立一个多层次的校园网安全防御体系,对于构建安全的校园网环境有着重大的意义。
保障高校校园网络安全应该从网络安全技术和安全策略方面去同步加强,安全策略是先导,先进的网络安全技术是根本。
网络信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。信息安全的实现要依靠先进的技术、严格的安全管理、法律约束和安全教育。本文从此三个方面去综合考虑、规划建设校园网络,构建了一个多层次的校园网安全主动防御体系模型。
一、依托网络安全技术构建网络安全堡垒
1.合理规划设计校园网络物理结构
校园网络是教学,科研,娱乐,教务管理、图书管管理等活动的基础设施。特别地,在科研、教务管理、图书馆管理等方面,对校园网络安全要求很高。对这些关键部门,构建相应的办公网络时,应该在物理上独立实施建设。与其他一些安全级别不同的部门在物理网络建设上应该尽量隔离,这样的物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。
计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。
正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.构建应用级网关、实时入侵检测(IDS)
应用级网关作为防火墙(Firewall)中的一个主要类型,它通过侦听网络内部客户的服务请求,检查并验证其合法性,若合法,它将作为一台客户机一样向真正的服务器发出请求并取回所需信息,最后再转发给客户。对于内部客户而言,应用级网关好像原始的公共服务器,对于公共服务器而言,服务器好像原始的客户一样,亦即应用级网关充当了双重身份,并将内部系统与外界完全隔离开来,外面只能看到服务器,而看不到任何内部资源。
IDS作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络受到危害之前进行拦截和响应。防火墙能够将一些预期的网络攻击阻挡于网络外面,而IDS还能对一些非预期的攻击进行识别并做出反应。将IDS与防火墙联动,能更有效地阻止攻击事件,把网络隐患降至较低程度。
3.建立多层次的病毒防护体系
这里的多层次病毒防护体系是指在Internet网关(具有垃圾邮件过滤功能)上安装基于Internet网关的反病毒软件;在服务器上安装基于服务器的反病毒软件;在校园网的每个台式机上安装台式机的反病毒软件。同时,还需要做好如下工作:定时对网络进行杀毒;对每台计算机都开启病毒监控;经常对服务器和客户机的杀毒软件进行升级。
二、加强和规范校园网络安全管理
1.加强黑客入侵检测与防范
校园网入侵者一般为校园网内部用户,有着窥探他人隐私的好奇性,攻入私人计算机。有的入侵者希望通过入侵学校数据库,以达到修改个人资料和学习成绩为目的。个别的电脑高手希望通过入侵,引起他人注意,以显示自己的能力,这样的人不会盗取别人的电脑资料,但会故意留下“足迹”,如进行破坏或是“留言”。
为了维护高校教务系统及图书馆管理系统安全,应该特别加强黑客入侵检测,并严格防范。主要可以采取以下几方面的措施:
(1)检测网络嗅探程序
网络嗅探是一种常用的收集网络数据包的方法,其基本原理是对经过网卡的数据包进行捕获和解码,从链路层协议开始进行解码分析,一直到应用层的协议,最后获取数据包中需要的内容,如账号、口令等。
当电脑系统被一些网络嗅探程序跟踪时,可能会出现网络通讯丢包率非常高或是网络带宽出现反常,这些情况是网络有嗅探器的可能反应。网络管理员就应该及时加以处理。通常,可以在关键的系统上部署检测嗅探器工具,例如AntiSniff工具,来自动检测网络嗅探程序。
(2)及时更新IIS漏洞
由于宽带的普及,给自己的计算机装上简单易学的IIS,搭建一个ftp或是web站点,已经不是什么难事。但是IIS层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对IIS的远程攻击防范措施:关注微软官方站点,及时安装IIS的漏洞补丁。
(3)选择性关闭IPC$共享、防止IPC$共享入侵
IPC$ (Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。2000/XP/2003在提供了IPC$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。个人用户如果无网络服务的可关闭IPC$共享,最好的方法是给自己的账户加上强口令,并不定期地更换。
2.加强校园网络中服务器安全规范
(1)制定缜密的服务器管理制度,对服务器的操作从程序上进行规范。确保安装正版操作系统和杀毒软件,及时更新,打上漏洞补丁。各种密码必须做到定期更换,经常对服务器进行漏洞扫描,确保安全。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
(2)建立定期备份制度,服务器可以采用RAID5(磁盘阵列)技术,或者是双机容错技术等等,确保系统能不间断运行。
(3)根据分配工作的不同,赋予操作人员不同级别的权限,同时建立完备的日志系统,做到出现问题能立马有迹可循。
3.建立校园网的统一认证系统
认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密和不可否认服务等。校园网与 Internet没有实施物理隔离。但是,对于运行内部管理信息系统的内网,建立其统一的身份认证系统仍然是非常必要的,以便对数字证书的生成、审批、发放、废止、查询等进行统一管理。
三、加强高校网络安全教育
要确保高校网络安全,除了依赖最新的网络安全技术去构建网络安全屏障外,还要加强高校网络安全教育。主要有以下几方面的措施:
1.对网络管理员定期进行专业培训
有些网络管理员专业知识和技能不够、责任心不强,部分网络管理员在工作之前没有受过系统的专业培训。所以,不能很好地胜任本职工作。
严格的管理是校园网安全的重要措施。事实上,很多学校都疏于这方面的管理,对网络安全保护不够重视。为了确保整个网络的安全有效运行,有必要制定出一套满足网络实际安全需要的、切实可行的安全管理制度。
2.在高校师生中普遍开展网络安全教育
高校中教师作为知识的引导传播者,在信息化教育不断发展的高校教育中,教师网络安全意识的提高,首先要从提高教师对网络安全的认识做起。教师应了解相关的网络安全法律、法规,如内容分级过滤制度等。教师应意识到无论是在学校还是家庭,都应加强网络安全和道德教育,积极、耐心的引导学生,使他们形成正确的态度和观念去面对网络。同时,给学生提供丰富、健康的网络资源,为学生营造良好的网络学习氛围,并教育学生在网上自觉遵守道德规范,维护自身和他人的合法权益。
四、总结
高校校园网络信息安全是我们非常关注但又难以彻底解决的问题。校园网络建设没有统一的标准和规范,目前也没专门的技术或产品能够完全解决网络的安全问题。我们只能根据最新的信息安全保障体系理念,采用安全策略分析、授权访问、认证技术、密码技术、防火墙技术、IPSec技术(IP Security)信息与网络安全最新的技术去构建校园网络的安全体系,另外,我们在思想上要认识到网络安全的重要性,在校园网络安全建设硬件方面不但要有资金投入,还要不断加强校园网络管理人员和校园网用户的网络安全知识教育培训,树立大家的网络安全防范意识。这样,就可以使网络安全事故发生的可能性降低到最小。我们相信,随着教育信息化的发展,校园网络安全也越来越受到大家的关注,校园网也会越来越安全。
参考文献:
[1]陈新建.校园网的安全现状和改进对策[J].网络安全技术与运用.
[2]刘建炜.基于网络层次结构安全的校园网络安全防护体系解决方案[J].教育探究,2010,(3).
[3]谢希仁.计算机网络[M].大连:大连理工大学出版社,2003.
篇4
关键词:计算机网络 安全漏洞 防范 措施
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)06-0190-01
由于计算机网络的发展以及随着出现的计算机网络问题,人们也越来越重视计算机网络安全问题,对于网络安全问题及防范措施的研究就成为必然趋势。计算机网络技术的普遍使用,人们在享受其带来的便利和快捷的同时,也逐渐认识到网络存在的安全问题,所以,研究计算机网络安全漏洞防范措施势在必行。
本文主要阐述目前计算机网络安全存在的漏洞问题,并且就如何对这些网络安全漏洞防范进行了探究分析,并且有针对性地提出了一些防范策略,在一定程度上保障了计算网络不受安全隐患的侵犯,保证了计算机网络环境的洁净与安全。
1、计算机网络存在的安全漏洞分析
1.1 IP地址的盗用
IP地址被盗用是一种比较普遍的现象,它影响了网络的正常运行,由于一般被盗的地址的权限都比较高,因而,也给用户造成了比较大的经济损失。盗用IP地址就是使用那些没有授权的地址,使用这些地址可以隐藏自己身份,也可以利用网络资源对网路进行破坏。就目前而言,盗用IP地址还是经常发生,不仅侵犯了网络使用人员的合法权益,而且也影响了网络安全,导致网络不能正常工作[1]。
1.2 存在较多的计算机病毒
人们进行人为的编制,用来破坏计算机网络安全的特殊程序代码,被称为计算机病毒,这些病毒可以将自己依附在其他程序代码上进行传播,人们对此难以察觉,在传播过程中,这些病毒能够自我复制,可以隐藏和潜伏,并且破坏数据和文件。目前,人们常常利用计算机病毒区侵害计算机网络,而且其具有比较大的危害性,由于在网路上比较流行的计算机病毒,不仅仅危害比较大,而且传播速度快,传播的方式也多种多样,善于伪装自己,要想彻底清除这些病毒非常困难,它们严重影响了计算机网络安全[2]。
1.3 网络协议的安全漏洞
TCP/IP协议的目标是要保证通讯畅通,保证正确的传输,并且通过来回确认来保证数据的完整性。但是对于源地址的鉴别,TCP/IP没有内在的控制机制来支持,也就是证实IP的来源,此为TCP/IP漏洞的根本所在。针对这个漏洞,网络黑客通过侦听的方式对数据进行截获,检查分析数据,进而推测出TCP的系列号,对传输路由进行修改,达到破坏数据的目的。
2、计算机网络安全的防范策略
2.1 身份认证技术
身份认证就是系统对用户身份证明的核查的过程,查明用户是否具有它所请求资源的存储使用权。其中身份识别比较重要,其就是对系统出示自己的身份证明的过程。一般情况下,身份认证包括身份认证和身份识别。由于目前黑客或者木马程序经常从网络上截获密码,用户关键信息被窃取的情况也随之增多,用户因此越来越觉得身份认证技术的重要性。身份认证技术可以解决用户的物理身份和数字身份的一致性问题,提供给其他安全技术权限管理的依据。在身份认证系统中,最主要的一点就是合法的身份是否容易被不法用户所冒充。一旦被其他用户所冒充,不但会对合法用户利益产生损害,还且会对与之有联系的用户受到牵连,乃至整个系统遭到破坏,由此可见,身份认证技术不仅仅是权限控制的基础,而且是它是这个信息安全系统的基础[3]。身份认证技术有以下几种:基于口令的认证技术、给予密钥的认证鉴别技术、基于智能卡和智能密码钥匙(USBKEY)的认证技术和基于生物特征识别的认证技术。
2.2 病毒的安全与防范技术
我们可以采用多层的病毒防卫体系来避免病毒入侵,也就是在每台PC机上安装单机版反病毒软件,在网关上安装基于服务器的反病毒软件。由于计算机病毒在网络中存储、传播、感染各不相同,而且传播形式也多种多样,所以在构建网路病毒防护系统时,要有针对性地采用全方位的企业防毒软件,采用防杀相结合的策略。
2.3 入侵检测技术
对网络入侵行为进行检测,即入侵检测,它是一种积极主动的安全防护技术,对内外攻击以及错误的操作都可以提供实时保护。该技术主要有误用检测技术和异常监测技术两种。
(1)误用检测技术。误用检测技术又称特征检测,它针对已知的入侵行为进行分析,并建立相应的特征模型,这样我们就可以把检测入侵行为转变成搜索特征模型匹配,若匹配特征模型,则就说明是攻击,若不匹配就说明不是。再者,这种技术检测的精确度高,但是对已知入侵的变种和一些未知的入侵,其检测精确度不高。因此,我们只要不断升级模型才可能保证系统检测能力的精确性和完备性。目前,对于大部分的商业化入侵检测系统中,大多数都是用这种误用检测技术来进行构建的[4]。
(2)异常检测技术。异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为,这种技术弥补了误用检测技术的不足,它能够检测到未知的入侵。例如向银行系统的服务器更改存钱信息,当服务器错误没有接收到新的数据,这时要发出异常事件使数据恢复为原来的数据,表示没存上。
3、结语
计算机网络不仅给人们带来了方便,而且也给人们带了隐患,若要想使计算机网络发挥出它应有的作用,我们就必须这些问题和漏洞采用相应的防范措施,由于引起计算机网路安全问题的原因不同,因此对此采取的防范策略也不同,因此,因此,防范策略的实施和运用也不要盲目,否则不仅没有缓解网络安全问题,反而使得网络安全问题更加严重,人们受到更大的危害。
参考文献
[1]耿仲华.浅谈计算机网络安全漏洞及对策[J].电脑知识与技术,2010,06(36):102-103.
[2]朱秀锋.浅谈计算机校园网络安全漏洞及防范措施[J].中国科教创新导刊,2011(20):182-183.
篇5
关键词:网络安全;工程化;实验教学
中图分类号:G642文献标识码:A文章编号:1009-3044(2012)17-4166-02
The Program of“NetWork Security”Experiment Teaching Engineering in the College
PEI Hao
(Changzhou Textile Garment Institute, Changzhou 213164, China)
Abstract: "Network Security" course is an indispensable professional courses of the Specialty of Computer Network . In this paper, It is presented that the Program of“NetWork Security”Experiment Teaching Engineering starting from the point of view of Engineering and Building secure enterprise network ,provide the direction of thinking for curriculum reform.
Key words: network security; engineering; experiment teaching
《网络安全》课程的主要目的是使学生能够以网络安全技术实际应用为主线,将安全理论、安全工具与安全实践三方面内容有机结合在一起,从而具备组建和管理较安全的企业级局域网的能力。理论教学以“必需、够用”为度,同时加强实践性教学环节,着重提升学生的解决网络安全问题的能力。教学的整个内容应该讲究知识性、系统性、条理性、连贯性,力求激发学生兴趣,注重提示各知识之间的内在联系,精心组织内容,做到由浅入深,由易到难,删繁就简,突出重点,循序渐进。
1《网络安全》课程工程化
1.1课程特点
当前许多高职高专都开设了计算机网络安全的相关课程。然而高职高专学生前导课程相对较少,预备知识相对缺少,很难理解教材中艰深的理论。反映在教材上,大部分还是以普通本科教育内容压缩的产物,教学过程偏理论、少实践。
经过近几年的摸索和总结,我们发现该门课程具有如下特点:
1)理论性较强,涉及的知识面较广,更新较快。
2)课程的预备知识要求较高,前导专业课程多。
3)实践性强,对实验环境的要求较高,很多实验要求在模拟的真实环境下进行。
4)由于要做多种攻防实验,因此实验具有一定的破坏性。
5)由于涉及到多个学科,知识缺乏系统性。
从以上特点可以看出,计算机网络安全课程是理论、原理和实践综合应用的一门课程,同时也决定了网络安全课程教学的具有相当大的难度。
高职高专院校的计算机网络安全课程的培养目标更应明确以就业为导向,培养具备高级网络安全技术的工程型人才。同时,高职高专学生前导课程相对较少,预备知识相对缺少,很难理解教材中艰深的理论。反映在教材上,教学过程偏理论、少实践,结合工程实践的教材更少。如何才能使得学生成为既能对网络安全理论原理有充分的了解,又具备高级的安全技术及较强学习能力的工程型人才呢?使用工程化的方法来改革和构建网络安全课程是不失为一种行之有效的方法。
1.2工程化改革
网络安全课程的工程化改革应以在相关教学理论指导下,以构建安全的企业网络贯穿教学主线,根据企业网络安全的实际需要不断扩展。通过工程化的实施,既能满足企业的实际需求,又能完成一系列完整的实验实训。同时,以形象化的教学方式完成理论知识的深度掌握,理论又反作用于实践,避免了枯燥无味的理论知识的学习过程,最终使得学生网络安全技术能力上有本质的提升。
2实验教学具体方案
2.1实验教学平台
网络安全课程的实验教学具有一定的特殊性。首先,实验所需的各项软件工具大多是黑客工具,收集与使用要加以管理。其次实验过程可能需要计算机的重复启动,而现有的实验教学环境大多装有保护卡、还原卡恢复计算机的设置,使得实验无法进行。最后,其实验内容具有一定的破坏性,可能会对互联网安全产生威胁。因此,既要看到实验的教学效果,还要能够避免产生对互联网安全的威胁,这也是对实验教学平台的基本要求。
因此,教学平台基于Internet仿真环境和虚拟机技术,在仿真环境中企业网计算机上安装虚拟机,运行Windows 2000或者Windows 2003操作系统,满足实验教学的要求。
2.2实验教学内容
从构建安全的企业网角度出发,网络安全管理员应该具备如下专业知识和能力:
(1)Windows系统安全基础知识
(2)个人计算机操作系统安全防护
(3)常用服务器系统安全防护(Web、FTP、DNS、DHCP服务器等)
(4)安全软件的使用(针对于使用人员)
(5)路由器防护(可见于《网络设备》课程)
(6)VPN防护(可见于《网络设备》课程)
以上各项要求中,部分内容应该已在前导课程中有所掌握,其余各项需在《网络安全》课程中予以培养。
因此,《网络安全技术》实验教学内容主要由基础知识、个人计算机攻防、服务器权限提取及Web的入侵与防范、安全软件防护四个模块组成,如表1所示。
表1实验教学内容
可以看出,实验教学内容的安排是从易到难,依据企业网组成的各个元素比如个人计算机使用安全、服务器安全配置、互联网接入设备安全及安全软件的安装与使用等,实现针对性的安全防护和管理。
3结束语
《网络安全》课程的教学存在相当大的难度,文中对《网络安全》工程化教学方式进行了探索,以生动有趣的攻防实验激发学生学习的兴趣和提高实践能力,与理论知识相互反复验证,最终能够掌握网络安全管理所需的各项知识。同时,网络安全实验教学也有一定的特殊性,既可以提升网络安全管理能力,也可能会用于非法活动,对互联网和社会造成危害。因此,在教授知识的同时,也要加强职业道德的培养。
参考文献:
[1]彭雅莉,于芳.计算机网络课程实验教学改革的探索[J].计算机教育,2011,2.
[2]裴浩.基于工作过程的《网络集成技术》实验环境设计[J].电脑知识与技术,2009.6.
篇6
随着4G通信技术的不断发展和应用,对于新技术革新带来的网络信息安全威胁更加突出。运营商在面对更多的不确定因素及威胁时,如何从网络信息安全管控技术上来提升安全性水平,已经成为运营商提供良好服务质量的迫切难题。为此,文章将从主要安全威胁源展开探讨,并就安全防范策略进行研究。
关键词:
运营商;网络安全;威胁;防护策略
从3G到4G,随着运营商全业务运营模式的不断深入,对支撑网络运行的安全管控工程建设提出更高要求。特别是在应用系统及用户数的不断增加,网络规模不断扩大,面对越来越多的应用设备,其网络安全问题更加突出。2014年携程小米用户信息的泄露,再次聚焦网络信息安全隐患威胁,也使得运营商在管控网络安全及部署系统管理中,更需要从技术创新来满足运维需求。
1运营商面临的主要安全威胁
对于运营商来说,网络规模的扩大、网络用户数的骤升,加之网络分布的更加复杂,对整个网络系统的安全等级也提出更高要求。当前,运营商在加强网络信息安全防护工作中,需要从三个方面给予高度重视:一是来自网络系统升级改造而带来的新威胁。从传统的网络系统平台到今天的4G网络,IMS网络的商业化,对传统网络业务提出新的要求,特别是基于IP的全网业务的开展,无论是终端还是核心网络,都需要从IP化模式实现全面互联。在这个过程中,对于来自网络的威胁将更加分散。在传统运营商网络结构中,其威胁多来自于末端的攻击,而利用IGW网络出口DDoS技术,以及受端网络防护技术就可以实现防范目标,或者在关口通过部署防火墙,来降低来自末端的攻击。但对于未来全面IP化模式,各类网络安全威胁将使得运营商业务层面受到更大范围的攻击,如木马病毒、拒绝服务攻击等等,这些新威胁成为运营商IP技术防范的重点。二是智能化终端设备的增加带来新的隐患。从现代网络通信终端智能化程度来看,终端的安全性已经威胁到网络平台及业务的安全,特别是在不同接入模式、接入速度下,智能终端与相对集中的运营商全业务管理之间的关联度更加紧密,一旦智能化终端存在安全隐患,即将给通信网络平台带来致命威胁。如智能化终端利用对运营商业务系统的集中攻击可以导致运营商服务的中断。同时,作为智能终端本身,因软硬件架构缺乏安全性评测,在网络信息完整性验证上存在缺陷,也可能诱发篡改威胁。如在进行通信中对信息的窃听、篡改,这些安全漏洞也可能引发运营商网络的安全威胁。三是现有安全防护体系及架构存在不安全性风险,特别是云技术的引入,对于传统网络架构来说,在用户数、增值业务骤升过程中,对现有基础设施的不可预知性问题更加复杂。另外,在网络安全标准制定上,由于缺乏对现阶段安全威胁的全面评估,可能导致现有网络体系难以适应新领域、新业务的应用,而带来更多的运行处理故障等问题。
2构建运营商网络安全防护体系和对策
2.1构建网络安全防护统一管控体系
开展网络信息安全防范,要着力从现有运营商网络系统业务类型出发,根据不同功能来实现统一安全管控,促进不同应用系统及管理模式之间的数据安全交互。如对网络运维系统安全管理,对计费系统用户的认证与管理,对经营分析系统的授权与审计管理,对各操作系统数据存储的分散管控等,利用统一的安全管控功能模块来实现集中认证、统一用户管理。对于用户管理,可以实现增删修改,并根据用户岗位性质来明确其角色,利用授权方式来实现对不同角色、不同操作权限的分配和管理;在认证模块,可以通过数字认证、密码校验、动态认证及令牌等方式来进行;在权限管理中,对于用户的权限是通过角色来完成,针对不同用户,从设备用户、用户授权访问等方式来实现同步管理。
2.2引入虚拟化技术来实现集中部署
从网络信息安全管控平台来看,对于传统的管控方案,不能实现按需服务,反而增加了部署成本,降低了设备利用率。为此,通过引入虚拟化技术,部署高性能服务器来完成虚拟的应用服务器,满足不同客户端的访问;对于客户端不需要再部署维护客户端,而是从虚拟服务器维护管理中来实现,由此减少了不必要的维护服务,确保了集中维护的便利性和有效性。另外,针对运营商网络中的多数应用服务器,也可以采用集中部署方式来进行集中管理。
2.3引入RBAC角色访问控制模型
根据角色访问控制模型的构建,可以从安全管控上,利用已知信息来赋予相应的权限,便于正确、快速、有效的实现用户特定角色的授权。同时,在对RBAC模型进行应用中,需要就其权限赋值进行优化,如对层次结构的支持,对不同用户群组、不同用户存在多个岗位的角色优化,对岗位与部门之间的协同优化,对用户岗位与用户权限及其所属岗位角色的继承关系进行优化等等。
2.4融合多种认证方式来实现动态管控
根据不同系统应用需求,在进行认证管理上,可以结合用户登录平台来动态选择。如可以通过数字认证、WindowsKerberos认证、动态令牌等认证方式。当用户端采用插件方式登录时,可以动态配置key证书认证,也可以通过短信认证来发送相应的口令。由于运营商网络应用账户规模较大,在进行系统认证时,为了确保认证账户、密码的有效性、可靠性,通常需要客户端向应用服务器发送请求,请求成功后再向用户端发送认证密码。
2.5做好运营商网络安全维护管理
网络信息安全威胁是客观存在的,而做好网络安全的维护管理工作,从基本维护到安全防护,并从软硬件技术完善上来提升安全水平。如对网络中服务器、操作系统及网络设备进行定期检查和维护,对不同网络安全等级进行有序升级,增加网络硬件加固设备,做好日常网络维护工作。同时,对于安全维护岗位人员,做好网络硬件设备、网络访问控制权限的管理,并对相关的口令及密码进行定期更换,提升安全防护水平。另外,运营商在构建网络安全防护体系上,不仅要关注网络层面及应用层的安全,还要关注用户信息的安全,要将用户信息纳入安全管理重要任务中,切实从短信认证、用户实名制、用户地理信息等个人隐私保护中来保障信息的安全、可靠。
2.6做好网络安全建设与升级管理
随着网络通信新业务的不断发展,对于网络信息安全威胁更加复杂而多样,运营商要着力从新领域,制定有效的安全防护策略,从技术创新上来确保信息安全。一方面做好网络安全策略的优化,从网络业务规划与管理上,制定相应的安全标准,并对各类业务服务器进行全程监管,确保业务从一开始就纳入安全防护体系中;另一方面注重安全技术创新,特别是新的网络安全技术、防御机制的引入,从安全技术手段来实现网络系统的安全运行。
3结语
运营商网络安全防护工作任重道远,在推进配套体系建设上,要从安全维护的标准化、流程化,以及网络安全等级制度完善上,确保各项安全防护工作的有效性。另外,加强对各类网络安全应急预案建设,尤其是建立沟通全国的安全支撑体系,从统一管理、协同防护上来提升运营商的整体安全防护能力。
作者:王树平 东野圣尧 张宇红 单位:泰安联通公司
参考文献:
[1]吴静.关于通信系统风险的研究[J].数字通信,2014(3).
篇7
【关键词】信息网络 安全风险 防范措施
引言
随着信息网络的日趋复杂,安全风险日益突出。如何系统地分析信息网络所面临的安全威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的防范策略,将信息网络的安全风险控制在可接受的水平,是信息网络安全研究面临的重大挑战。本文将从风险管理的角度,对信息网络面临的安全风险进行分析,并提出相应的防范策略。
1 信息网络安全的定义
信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。伴随各个领域中计算机的广泛应用,通过计算机信息系统管理着政府部门和企事业单位的经济、政治、办公、商务等有关信息,通过计算机网络为承载的信息系统实现了前所未有的快速发展。所以,计算机信息系统变成了一些黑客、不法分子经常攻击目标,妄图窃取数据信息或者破坏信息系统。加强计算机信息系统的安全,也就变成了人们越来越高度关注的安全问题。
2当前存在的信息网络风险问题分析
2.1 计算机病毒
在网络系统中,往往存在一些计算机病毒,即人为的在计算机程序中植入用来破坏计算机各项功能,甚至用来销毁数据,可以自我复制的一组程序代码。它是网络安全最大的敌人。计算机病毒有破坏性、触发性、寄生性、传染性、隐蔽性等显著特点。按其破坏性特点又可以分为恶性病毒和良性病毒, 计算机病毒可以破坏主板、硬盘、显示器、光驱等。
2.2系统漏洞
系统漏洞是程序员在编写操作软件或应用软件时,逻辑设计上出现的缺陷或者错误。系统漏洞会被黑客或者不法分子利用,通过植入病毒、木马来控制计算机或者窃取计算机中的重要信息和资料,甚至会破坏整个计算机系统,如果连接到网络,通过网络的传播会严重危害到整个网络系统的安全。
2.3 黑客入侵
黑客分为骇客和传统的黑客。黑客是在没有经过他人许可的情形下,通过自己特殊手段和技能登录到他人的网络服务器甚至是连接在网络上的单个用户的计算机,并且对其进行一些未经许可甚至是违法操作行为的人员。黑客对网络的攻击手段非常多,其中主要包括隐藏指令、获取网站的控制权限、在Cookie 中植入代码、种植病毒和制造缓冲区溢出等。最为常用的手段是特洛伊木马程序技术,在一些正常的程序中植入必要的操作代码,该程序会在计算机启动时唤醒,从而能够控制用户计算机。
2.4个人信息泄露
互联网的发展并不意味着用户的隐私防范意识也在快速发展, 平时用中可能为了享受网上的某些服务, 而注册各种各样的账号, 而注册账号的过程中, 网站通常会要求用户填写一些个人信息, 而这些个人信息在网站后台的数据库中并不一定能够得到很好的保存, 这些个人信息很可能被泄露。另外, 很多用户为了方便好记将账户的密码用很简单的数字组合进行保存, 这样就进一步加剧了账号密码被盗取的风险。
3 信息网络风险防范对策
根据安全风险的类别及可能存在的安全事件,制订相应的安全风险防范策略。
3.1采取物理安全措施
物理安全指的是通过物理隔离来实现网络安全,而隔离的方法是将内部网络间接连在Internet 网络上。主要目的是为了保护路由器、网络服务器和工作站等硬件设备和通信,免于遭到人为、自然灾害和窃听攻击。只有实现了内部网与公共网的物理隔离,才能保证内部的信息网络不受黑客侵犯,保证其安全。同时,物理隔离也增强了网络的可控性,便于管理员的内部管理。
3.2病毒防范技术
在如今现代化的办公环境里,几乎每一个用户都受到过计算机病毒的危害,只是程度各异。计算机病毒是一种可执行程序,不仅可以自我复制,很多病毒还具有破坏应用程序、格式化硬盘和删除文件的能力。由于病毒在网络环境中具有巨大的破坏力和威胁性,因此对计算机网络环境病毒的防范成为了网络信息安全建设的重中之重。病毒的爆发对于用户的隐私和安全构成严重威胁,所以必须建立科学有效的病毒防护系统。常见的网络病毒防范技术主要包括预防病毒、检测病毒和网络消毒这三种技术。
3.3 构建有效的风险防范机制
信息网络安全管理以及风险防范除了在技术层面需要采取有效措施之外,在实际工作过程中,对于相关人员的管理以及制度的完善同样重要。应该加强对于单位内部人员网络安全知识的培训,防止因为内部人员的操作失误而给予外界人员的攻击机会。同时制定有效的风险防范管理制度并严格执行,最大程度上避免系统被攻击的可能性。
3.4身份认证技术
身份认证指的是在计算机网络应用中确认操作者身份。身份认证包括两种:用户和主机间的认证,主机和主机间的认证。用户和主机之间的认证可以用如下的因素来实现:用户所清楚的东西,比如设置的口令或者密码;用户所拥有的东西,比如智能卡;用户所具有的生理特征,比如指纹和声音。身份认证对于网络安全的构建具有重要作用。
4 结束语:
信息网络的安全风险是客观存在的,也是在不断地动态变化的。我们必须牢固树立安全风险的科学管理意识,运用适用的 方法和手段,针对信息网络面临的安全威胁及可能带来的安全隐患,系统地分析安全风险,并采取切实可行的防范策略,才能全面提高信息网络的安全保障能力,为用户提供安全可靠的信息服务。
参考文献
[1]李思伟,苏忠,赖建荣,周刚.信息网络的安全风险分析与防范策略[J].计算机安全,2010,06:36-37+42.
[2]伍卫民.信息网络的安全与防范策略[J].中国新通信,2012,17:81-82.
[3]蔡晓莲,李平.计算机网络安全威胁及防范策略的探讨[J].网络与信息,2009,06:30-31.
[4]栗晓禹,佐春之.信息网络的安全防范策略[J].辽宁教育行政学院学报,2009,07:168-169.
篇8
关键词 网络运行安全;安全指标;安全指数;多维属性
中图分类号TP39 文献标识码A 文章编号 1674-6708(2014)114-0225-02
随着信息技术的发展和互联网技术的普及,网络作为国家信息建设的基础设施已经成为社会发展和人们生活的必需品。计算机网络信息的普及为人们的生活带来了极大的便利,成为社会发展的重要信息资源。网络信息为社会发展发挥有利作用的同时,各种恶意的攻击也随之而来,网络运行安全问题成为了信息领域越来重视的问题。如何对网络运行的安全状况进行及时有效的感知、检测、评估、保护成为广大学者研究的重点课题。网络运行安全指数是网络运行安全反映的重要指标,也是网络安全运行监测、安全评估、发展态势研究的重要依据,对网络安全预测和防护具有重要的指导意义。
1 网络运行安全指数的基本概念
根据多年来对网络运行安全的深入研究以及对实践经验的总结,以社会统计学为基础,我们首先对网络运行安全指标、网络运行安全指数和网络异常性指数进行定义。
1)网络运行安全指标。网络运行安全指标是指在安全态势下运行的网络信息系统所反映出的数据特征的概念和数量,其可以对运行中的网络系统的安全状况和安全发展态势进行反映和度量,简称为指标;
2)网络运行安全指数。网络运行安全指数是指在安全态势下运行的网络信息系统所反映出的数据特征变化程度,这是一个相对的数值,用以对运行中德网络系统安全状态的变化量进行反映和度量,简称为指数;
3)网络异常性指数。网络异常性指数是对网络系统在运行过程中因受到安全攻击或者安全威胁而导致的网络数据特征发生异常变化的一种程度反映。此类指数对安全威胁导致的数据异常和网络弱点的利用程度进行度量和反映,从而判断网络异常的程度。
2 信息的多维属性
2.1 信息的分类
复杂网络通常节点规模巨大,而且边的链接关系非常复杂,这是复杂网络结构的典型特点。如果把界面信息看作为一个复杂网络系统,其主要由三种表现形式:1)信息实体,也就是处于信息系统节点处的元数据,它不仅具有实体属性,同时还具有关联属性。所谓实体属性也就是数据信息的具体表现形式,而关联属性则是指网络信息中信息实体所处的层级和位置之间的关系;2)信息关联,也就是两个以上(包括两个)的信息实体之间的关联,信息实体之间的关联属性通过信息结构表现出来;3)信息整体,其作为一个整体,是信息实体和信息关联的集中表现,其也可以看作是一个高级的信息实体,具有同信息实体一样的属性。
2.2 信息的属性
根据上一节信息表现形式的介绍,可以将信息的属性分为相应的三种属性:1)实体属性,也就指信息个体存在的基本条件,包括:信息名称、信息状态、信息数值等;2)关联属性,是指各个信息实体之间关系的描述和体现,如:层次关系、对比关系、影响关系等属性;3)时间属性,是指在某一时间段内信息实体状态的变化。
2.3 信息多维属性的映射
根据信息的属性特点,我们可以将信息编码的映射进行可视化的划分,通常可分为图形映射和结构映射两种映射关系,如下图1所示,信息实体属性可利用图形元素进行图形映射的显性呈现,关联属性和时间属性可利用结构信息元素进行结构隐形呈现。
图1 信息多维属性的映射关系
3 多维属性分类模型
3.1 通用模型分析
对于网络运行系统来说,所有指数都能够用ICM模型进行分类描述。从ICM模型可以看出,对指数进行分类实际上就是指数到属性集合的映射关系,也或者是指数到属性向量空间的映射过程。对于一个指数类来说,其所包含的指数数量同指数表达清晰度呈正比例关系,指数越少,表达越清晰,相应的对指数间的关联的分析和研究就越容易。同样,描述指数分类越详细,对其本质特征的反映越清楚,越容易对指数所表达的意义所理解。在实际应用中,要使模型的描述更加清晰深刻,可通过对分类属性及其关联值进行增加来实现。因此,要使模型更加准确可靠,就要对分类映射集合更加准确、清晰、简单的进行定义。可以说,要进行ICM模型的构建,最基本的工作就是对分类属性进行准确的选取,对其属性值、分类映射加以确定,这是模型建立的核心内容。
3.2 多维属性分类模型
在ICM模型的基础上,根据指数多维分类属性,我们可建立多维属性分类模型,可将模型定义如下:
多维属性分类模型ICM,其中I为指数集合,也就是指数名称、计算公式、含义简单描述三个元素的笛卡尔乘积;A为分类属性集合;为分类映射集合。在模型的分类属性向量空间,一个向量代表一个指数类别,具体描述如下图2所示:
4 结论
多维属性分类模型对指数特性及其之间的关系的研究具有重要的作用,通过模型的分类描述,使人们能够更加深入细致对指数特性进行了解,对指数之间的关系进行比较和分析,从而对网络异常有所感知。通过模型,使人们从多种维度对不同需求有针对性的进行分层次指数体系的构建,这对于构建网络安全预测和防护体系的构建是非常重要的。另外,基于模型,不断的对分类属性进行完善,随着应用需求的增加添加新的指数分类,对于不断发展的网络系统来说意义重大。
参考文献
篇9
随着我国通信业和信息化的发展,通信网络作为传递信息的一种重要载体为大家所熟知。在全球信息化进程中,通信网络的普及和演进也潜移默化地改变着企业的信息沟通方式。因此,通信网络在企业发展中起到至关重要的作用,而电力企业作为我国经济发展的领跑者,通信网络技术的发展也势在必行。但是,电力企业在发展的过程中也面临着巨大的潜在危险—企业信息安全问题。通信网络安全是指最大限度地减少数据和资源被攻击的可能性。对于电力企业来说,这些数据和资源是企业的命脉,通信网络一旦发生中断、瘫痪或拥塞,或者数据信息丢失、泄露或被非法篡改,将对企业和社会的经济生活造成严重影响。因此,通信网络的信息安全是电力企业发展的重中之重,如何做到通信网络与信息安全有效的结合、共同发展是我们需要考虑的问题。
二、通信网络与信息安全息息相关
电力企业信息安全与通信网路的安全息息相关,也是国家信息安全的重要组成部分。在电力工业信息化进程中,通信网络承担着三种角色:
1.信息通信网络公共平台提供者,对不同性质的计算机应用系统可以提供不同的网络服务质量和优先等级。
2.与业务管理有关的计算机应用系统的建设、管理和使用者,其中的计算机应用系统包括通信监控与网管系统、网络规划与企业管理系统和客户服务系统等。
3.与通信技术相关的信息资源的开发、维护和使用者。
因此,通信网络承载着电力企业生产、运行、管理、经营业务系统,内联着电力调度数据网络,对外与Internet连接,它的安全是电力企业信息安全的第一道技术防线,电力企业信息安全直接关系着电力企业的运行与管理,也直接或间接地影响着电力生产控制系统的安全。电网企业应全面开展绿色通信网络安全防护体系建设,统筹部署等级保护、风险评估和灾难备份工作;着力提升通信网络安全保障水平和应对突发事件的能力;要通过通信网络与信息安全管理能力的增强,更好地为电网企业的发展提供有力的技术支撑,为促进社会和谐与稳定做出积极的贡献。
三、新形势下的绿色电力通信网络
目前,大部分企业部门间依靠普通的网络来完成信息传输,虽然也具有一定的防护措施和技术,但还是容易被窃取信息。这是由以下三个方面原因共同决定的:
1.计算机系统及网络固有的开放性、共享性等特点;
2.通信系统大量使用商用软件,其源代码、源程序完全或部分公开化,使企业存在安全问题;
3.计算机病毒的层出不穷及其大范围的恶意传播。
这三方面原因都对当今企业和社会网络通信安全产生不可估量的威胁。由于当今通信网络功能越来越强大,我们采取何种有效措施,最大限度地化解这种潜在危险,把网络风险降到最低限度是电力企业需要面对的重大问题。
在电力企业发展的新形势下,构建绿色通信网络成为解决电力企业信息安全的重要手段。绿色通信网络构建主要包括,一方面要建立健全企业的安全机制,强化安全管理;另一方面,技术创新也是当务之急。
在技术层方面,首先是建立一个层次化的安全管控体系。为了从技术上提高通信网络的安全性,电力企业应整合现有资源,提高企业通信网络的预防水平、网络的修复能力和备份能力。具体内容包括:网络安全漏洞的自动发现与治愈、全网联动的事件监控和分析、网络安全配置的集中化和管控、安全态势的综合分析以及高效运作网络安全管理等方面。这是一个涉及体系架构设计、资源配置和局部解决方案在内的系统解决方案,需要建立相应的安全技术体系;其次是对电力企业的IP承载网进行安全的设计和优化,然后通过安全管理中心的建设来完善绿色通信网络的安全能力。
在管理层方面,针对计算机系统及网络固有的开放性、易损性等特点,我们应加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。在通信网络管理和使用中,要大力加强管理人员的安全保密意识。在管理层面上主要包括安全组织的建设和人员的保障,各种安全策略制度和流程的配套建设,以及完善安全评估、应急响应等安全保障机制。其中在应急响应方面,需要建立健全信息安全应急处理的协调机制,进一步完善各类突发事件的应急预案,健全应急指挥体系,落实应急队伍和保障条件。尤其是高度重视基础信息网络,包括电信网络和重要信息系统的应急处理工作和备份建设,充分做到了事件有预案、处置有流程、应急有措施,最大限度地化解信息安全风险。
四、绿色通信网络规划助力电力企业信息化安全
规划绿色通信网络是电力企业通信建设的基础和安全保障,具有十分重要的作用。绿色电力通信网络的规划除了要遵从电力系统的有关规定之外,还必须遵循通信专业规划的技术方法。因此,绿色通信网络应该包括传送网络层和业务网络层等,而电力企业中绿色通信网络的规划和构建大致包括以下三个步骤:
第一步:业务网络规划。业务网络规划主要是对提供不同信息服务的,包括数据网、计算机网和移动通信网等类型丰富的网络进行规划,它与具体的业务有关。在电力企业中,业务网络规划尤为重要,而如何构建绿色移动通信网络也是企业发展的重中之重。电力企业在原有业务系统的基础上,构建网络安全体系,通过宣传和培训等手段,对网络管理人员进行安全操作和管理知识的培训,提高各业务系统的安全意识,使各业务系统能够正常稳定的运行。
第二步:传送网络规划。传送网络规划是为业务网络提供支撑的涵盖交换机、服务器、数据传输的无线和移动网络等进行规划。在“十二五”规划中强调了电力企业信息系统的安全管理和网络安全传输问题,其中电力企业信息系统的网络安全更是被提上日程,如何更好的规范和规划传输网络层是我们研究的重点问题之一。按照信息系统网络数据传输过程中安全性和保密性的要求,完善监控设施做到实时监控,并确保管理人员不将保密文件传到外网,不能利用内网机器上外网进行查资料等操作,确保信息系统在数据传输过程中的安全性。
第三步:基础设施规划。基础设施规划主要是对信息系统中计算机、服务器等硬件基础设施进行规划管理,而这部分是保障信息系统正常运行的基础。在电力企业中,服务器的承载量是相当大的,在信息传输的过程中数据的提取和录入也是呈倍增长的,只有实时监控路由器的异常情况,定期更新路由器设备,完善基础设施,才能保证整个系统和网络的稳定性。
绿色通信网络规划中还需要考虑网络综合化与安全防护、灾难预防等问题,在满足通信网络规划中多需求的前提下,采取灾难预防措施,做好企业信息安全防护,保障电力企业绿色通信网络的顺利构建,实现绿色电网企业的发展要求。
篇10
关键词:综合布线;智能布线系统
在构建新的网络系统时,网络安全是广大用户的首要考虑因素。一般情况下,用户都愿意投入巨资来购买高级的防火墙和软件。然而,绝大多数的用户却对网络基础设施即布线系统的安全知之甚少。事实上,大量的调查数据显示,许许多多的网络安全事故来自网络内部。
综合布线是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输通道。通过它可使话音设备、数据设备,交换设备及各种控制设备与信息管理系统连接起来,同时也使这些设备与外部通信网络相连的综合布线。它还包括建筑物外部网络或电信线路的连接点与应用系统设备之间的所有线缆及相关的连接部件。综合布线由不同系列和规格的部件组成,其中包括:传输介质、相关连接硬件(如配线架、连接器、插座、插头、适配器)以及电气保护设备等。这些部件可用来构建各种子系统,它们都有各自的具体用途,不仅易于实施,而且能随需求的变化而平稳升级。
随着垒球计算机技术、现代通信技术的迅速发展,人们对信息的需求也是越来越强烈。这就导致具有楼宇管理自动化(BA,Building Automation)、通信自动化(cA,Commumcation Automation)、办公自动化(OA,Office Automation)等功能的智能建筑在世界范围蓬勃兴起。而综合布线系统正是智能建筑内部各系统之间、内部系统与外界进行信息交换的硬件基础。楼宇综合布线系统(PDS)是现代化大楼内部的“信息高速公路”,是信息高速公路在现代大楼内的延伸。
今天,智能建筑的写字楼、大厦、大学校园、政府部门甚至住宅小区中的绝大多数语音、数据、图像的传输,在其物理层结构上都是基于结构化布线系统的基础架构上。我们知道,在ISO/OSI协议中,物理层是网络系统的基础,所有网络通讯依靠物理层的线缆来将语音、数据传到目的地。
随着结构化布线工程的普及和布线灵活性的不断提高,用户变更网络连接或跳接的频率也在提高,而布线系统是影响网络故障的重要原因,椐调查60—70%的网络故障是由于跳线的不明确,导致整个网络的不可靠或瘫痪,网管人员已不可能再根据工程竣工图或网络拓扑图来进行网络维护工作。那么,如何能通过有效的办法实现网络布线的实时管理,使网管人员有一个清晰的网络维护工作界面呢?这就需要有布线管理。物理层布线管理能实时监视布线的连接状态和设备的物理位置,同时有任何更改的时候,能准确的更新布线文档数据。这样做的好处是连续提供可靠、安垒的连接,防止任何无计划的、无授权的更改,降低整个网络系统的事故时间、运行和维护费用,最终能有效的管理整个网络资源,提高布线管理效率。
目前,结构化布线设计一般采用国际标准的结构化布线系统,将语音、数据的配线统一在一套布线系统中。系统设计一般按六个子系统进行设计:
1、工作区子系统:由终端设备连接到信息插座的连接线缆(3 m左右)所组成。
2、水平配线子系统:各楼层弱电井兼作楼层设备间,由设备间至工作区信息插座采用6类4对8芯uTP双绞线,配线电缆长度不超过90米。
3、垂直干线子系统:传输数据的垂直干线采用6芯多模光纤,并采用6类4对8芯UTP双绞线作为备份;传输语音的垂直干线采用5类非屏蔽大对数铜缆。垂直干线沿弱电竖井桥架敷设。
4、设备间子系统:各楼层弱电间作设备间,设置接入层网络交换机、配线架等连接器件。
5、管理子系统:计算机网络中心、电话总机房,是整个大楼的网络、电话交接中心。
6、建筑群子系统:将建筑物中的线缆延伸到建筑物群的另一些建筑物中的通信设备和网络设备上。
这样设计思路简洁,施工简单,施工费用降低,充分适应通讯和计算机网络的发展,为今后办公自动化打下坚实的线路基础。
但随着技术的发展,人们不仅仅满足布线,施工等的方便,对维护、管理也提出了要求。
布线系统与管理系统通过智能配线架有机的连接起来,使得网络管理和布线系统管理同步,但目前该系统并未大面积推广,其功能,技术并不尽人如意,一个大楼采用智能布线系统将比一般的布线贵50%左右。一般的业主、建设方不愿在此投资。而目前最先进的布线应是在智能布线管理的基础上有自动跳线技术,它是智能布线的发展方向。目前,主要有美国DynaTrax系统。用户只需移动鼠标,就可以进行布线的移动、增加、改变。可在现有的各种网络上运行,并支持现在网络将来的升级。
目前,智能布线系统正受到越来越多的用户关注。然而,也有许多用户对于智能布线系统持观望态度。这些用户虽然看到了智能布线系统能方便管理布线设施,但却不能理解智能布线系统能为他们的网络安全带来多少积极的作用。下面我们就来谈一下智能布线系统的好处。
一 智能布线系统能对网络设备的使用情况进行实时监控。确保网络资产安全。
在没有安装智能布线系统时,用户一般使用单独的数据库来记录他们所拥有的网络设备,如有多少台手提电脑,台式电脑和服务器等。但是,这些数据库只能对用户的网络设备进行静态的管理,而不能了解在某一特定时间有多少网络设备是连接到网络上的或是如何连接在网络上的。也就是说,用户对于他们的网络资产并不能做到了如指掌。如果用户安装了智能布线系统,如美国西蒙公司的MaplT智能布线系统,则他们便能利用该智能布线系统的管理功能实时监控每一个信息端口的连接情况及所连接的网络设备,从而能大大提高其网络资产的安全。
二 智能布线系统能及时警示针对布线的非法操作.降低网络非法入侵的危害。
当有外人进入电信间并从配线架上拔掉一根跳线时,传统的布线系统用户只能在收到网络不通的报告后才会来到电信间进行相应的检查,同时也很难发现是谁拔掉了跳线。而在安装了美国西蒙公司的MapI T智能布线系统后,由于该智能布线系统能支持监控摄像装置并在发生非法网络入侵时能做到:
1、自动拍摄非法入侵者及其操作;
2、自动发送短信或警报来告知网络管理人员相关的网络侵害。
三、智能布线系统能对网络使用情况进行完整的存档记录。
