時間:2023-03-16 15:40:56
導語:在網絡安全防范論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
關鍵詞:計算機網絡安全網絡技術
隨著Internet的飛速發展,網絡應用的擴大,網絡安全風險也變的非常嚴重和復雜。原先由單機安全事故引起的故障通過網絡傳給其他系統和主機,可造成大范圍的癱瘓,再加上安全機制的缺乏和防護意識不強,網絡風險日益加重。
一、網絡安全的威脅因素
歸納起來,針對網絡安全的威脅主要有:
1.軟件漏洞:每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地,一旦連接入網,將成為眾矢之的。
2.配置不當:安全配置不當造成安全漏洞,例如,防火墻軟件的配置不正確,那么它根本不起作用。對特定的網絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置,否則,安全隱患始終存在。
3.安全意識不強:用戶口令選擇不慎,或將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
4.病毒:目前數據安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等特點。因此,提高對病毒的防范刻不容緩。
5.黑客:對于計算機數據安全構成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統中的安全漏洞非法進入他人計算機系統,其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。
二、幾種常用的網絡安全技術
1.防火墻(FireWall)技術
防火墻技術是指網絡之間通過預定義的安全策略,對內外網通信強制實施訪問控制的安全應用措施。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。由于它簡單實用且透明度高,可以在不修改原有網絡應用系統的情況下,達到一定的安全要求,所以被廣泛使用。據預測近5年世界防火墻需求的年增長率將達到174%。
目前,市場上防火墻產品很多,一些廠商還把防火墻技術并入其硬件產品中,即在其硬件產品中采取功能更加先進的安全防范機制。可以預見防火墻技術作為一種簡單實用的網絡信息安全技術將得到進一步發展。然而,防火墻也并非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的,也就是說要保證網絡信息的安全還必須有其他一系列措施,例如對數據進行加密處理。需要說明的是防火墻只能抵御來自外部網絡的侵擾,而對企業內部網絡的安全卻無能為力。要保證企業內部網的安全,還需通過對內部網絡的有效控制和管理來實現。
2.數據加密技術
數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。
數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用,密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。
數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止電子欺騙,這對信息處理系統的安全起到極其重要的作用。
3.系統容災技術
一個完整的網絡安全體系,只有防范和檢測措施是不夠的,還必須具有災難容忍和系統恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失,一旦發生漏防漏檢事件,其后果將是災難性的。此外,天災****、不可抗力等所導致的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難,也能快速地恢復系統和數據,才能完整地保護網絡信息系統的安全。現階段主要有基于數據備份和基于系統容錯的系統容災技術。數據備份是數據保護的最后屏障,不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器,在兩者之間建立復制關系,一個放在本地,另一個放在異地。本地存儲器供本地備份系統使用,異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連,構成完整的數據容災系統,也能提供數據庫容災功能。
集群技術是一種系統級的系統容錯技術,通過對系統的整體冗余和容錯來解決系統任何部件失效而引起的系統死機和不可用問題。集群系統可以采用雙機熱備份、本地集群網絡和異地集群網絡等多種形式實現,分別提供不同的系統可用性和容災性。其中異地集群網絡的容災性是最好的。存儲、備份和容災技術的充分結合,構成的數據存儲系統,是數據技術發展的重要階段。隨著存儲網絡化時代的發展,傳統的功能單一的存儲器,將越來越讓位于一體化的多功能網絡存儲器。
4.漏洞掃描技術
漏洞掃描是自動檢測遠端或本地主機安全的技術,它查詢TCP/IP各種服務的端口,并記錄目標主機的響應,收集關于某些特定項目的有用信息。這項技術的具體實現就是安全掃描程序。掃描程序可以在很短的時間內查出現存的安全脆弱點。掃描程序開發者利用可得到的攻擊方法,并把它們集成到整個掃描中,掃描后以統計的格式輸出,便于參考和分析。
5.物理安全
為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。為保證網絡的正常運行,在物理安全方面應采取如下措施:①產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。②運行安全方面:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。③防電磁輻射方面:所有重要的設備都需安裝防電磁輻射產品,如輻射干擾機。④保安方面:主要是防盜、防火等,還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。
計算機網絡安全是個綜合性和復雜性的問題。面對網絡安全行業的飛速發展以及整個社會越來越快的信息化進程,各種新技術將會不斷出現和應用。
網絡安全孕育著無限的機遇和挑戰,作為一個熱門的研究領域和其擁有的重要戰略意義,相信未來網絡安全技術將會取得更加長足的發展。
參考文獻:
[1]李軍義.計算機網絡技術與應用[M].北方交通大學出版社,2006.7.
關鍵詞:個人計算機網絡安全研究
引言
網絡已經成為了人類所構建的最豐富多彩的虛擬世界,網絡的迅速發展,給我們的工作和學習生活帶來了巨大的改變。我們通過網絡獲得信息,共享資源。隨著網絡的延伸,安全問題受到人們越來越多的關注。在網絡日益復雜化,多樣化的今天,如何保護各類網絡和應用的安全,如何保護信息安全,成為了社會關注的重點。
一、網絡的開放性帶來的安全問題
Internet的開放性以及其他方面因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現有的安全工具和機制的情況下,網絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結為以下幾點:
1.1每一種安全機制都有一定的應用范圍和應用環境
防火墻是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為,防火墻是很難發覺和防范的。
1.2安全工具的使用受到人為因素的影響
一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者和普通用戶,不正當的設置就會產生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面,可以通過靜態掃描工具來檢測系統是否進行了合理的設置,但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較,針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。
1.3系統的后門是傳統安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數情況下,這類入侵行為可以堂而皇之經過防火墻而很難被察覺;比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4.0以前一直存在,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而可以收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻是無法發覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區別是入侵訪問在請求鏈接中多加了一個后綴。
1.4只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用,而且這種攻擊通常不會產生日志,幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG,現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
1.5黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統安全問題出現
然而安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時,其他的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
二、計算機網絡安全防范策略
計算機網絡安全是一個復雜的系統,國際上普遍認為,它不僅涉及到技術、設備、人員管理等范疇,還應該以法律規范作保證,只有各方面結合起來,相互彌補,不斷完善,才能有效地實現網絡信息安全。保障網絡信息系統的安全必須構建一個全方位、立體化的防御系統。這個防御體系應包括技術因素和非技術因素,其中技術防范措施主要包括:對計算機實行物理安全防范、防火墻技術、加密技術、密碼技術和數字簽名技術、完整性檢查、反病毒檢查技術、安全通信協議等等。非技術性因素則包括:管理方面的SSL安全措施、法律保護、政策引導等等。這里我們僅從主要技術的角度探討網絡信息安全的策略。
2.1防火墻技術
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施。它是一種將內部網絡和外部網絡分開的方法,實際上是一種隔離控制技術。用專業言來說,所謂防火墻就是一個或一組網絡設備計算機或路由器等。從理論上講,防火墻是由軟件和硬件兩部分組成。防火墻是在某個機構的內部網絡和不安全的外部網絡之間設置障礙,阻止對信息資源的非法訪問,也可以阻止保密信息從受保護的網絡上非法輸出。防火墻最有效的網絡安全措施之一。防火墻的是已成為實現安全策略的最有效工具之一,并被廣泛應用在Internet上。防火墻的基本實現技術主要有3種:包括過濾技術,應用層網關(服務)技術和狀態監視器技術。
2.2數據加密與用戶授權訪問控制技術
與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。:
2.3入侵檢測技術
入侵檢測系統(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統及網絡系統中收集信息,再通過這此信息分析入侵特征的網絡安全系統。IDS被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊;在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統的知識,添加入策略集中,增強系統的防范能力,避免系統再次受到同類型的入侵。入侵檢測技術的功能主要體現在以下方面:監視分析用戶及系統活動,查找非法用戶和合法用戶的越權操作;檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞;識別反映已知進攻的活動模式并向相關人士報警;對異常行為模式的統計分析;能夠實時地對檢測到的入侵行為進行反應;評估重要系統和數據文件的完整性;可以發現新的攻擊模式。
2.4防病毒技術
隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機信息系統構成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其它資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。
參考文獻:
[1]祁明.電子商務實用教程.北京:高等教育出版社.2000.
[2]蔡皖東.網絡與信息安全.西安:西北工業大學出版社.2004.
[3]李海泉.李健.計算機系統安全技術.北京.人民郵電出版社.2001.
[4]李安平.防火墻的安全性分析.[J].計算機安全.2007年07期.
[5]閆宏生,王雪莉,楊軍.計算機網絡安全與防護IM].2007.
1 網絡安全技術發展特點
1.1保護的網絡層面不斷增多
過去的網絡安全如電報時代的通訊網絡安全更側重于數據傳輸過程中的安全,其固定的通信線路和通信用戶決定了防護網絡安全的手段也較為簡單,主要采用在通信線路兩端設置解密機的手段來維護網絡安全 。該方法具有成本高和擴展性低的特點,隨著一條物理線路可以同時承載多個信道,該方法不能適應日益變化的通信用戶的要求。因此,此時的網絡安全技術也開始向鏈接層保護方向發展。然而當網絡的使用規模逐漸擴大,網絡安全技術則更側重于網絡安全保護和對話層安全保護發展。如TLS協議的出現。由于網絡復雜的技術和管理缺失引起的威脅Et益增多,保護的網絡層面不斷增多已經成為網絡安全技術必須解決的重要內容。
1.2內涵不斷擴大
隨著網絡技術的快速發展,網絡使用范圍的不斷擴大,網絡安全技術的內涵也不斷擴大。如最早的網絡安全技術主要為加密、認證技術,后來擴展到網絡訪問控制、監聽監控、入侵檢測、漏洞掃描、查殺病毒、內容過濾、應急通信等領域。
1.3組成系統不斷擴大
最早的網絡安全技術為通信DUl解密算法,主要運用與通信線路和用戶固定的網絡安全。然而隨著網絡商業化進程的加快,網絡安全的組成系統已從過去簡單的數據傳輸安全發展為以認證和授權為主要內容的階段,并通過安全協議來實現。目前的網絡安全問題主要是由于IP網絡開放引起的。網絡安全技術針對這一問題產生的安全漏洞,采用防火墻和人侵檢測系統等進行防御。網絡安全技術的組成系統不斷擴大,并朝著防御的方向發展。
1.4從被動防御發展到主動防御
最早的網絡安全防御技術主要是被動防御,即對已發展的網絡安全攻擊方式,尋找能夠阻擋網絡攻擊的安全技術。隨著網絡承載的信息資產的價值越來越大,網絡攻擊的技術不斷發展和更新,被動防御已經逐漸被淘汰,目前的網絡安全技術主要是主動防御,即首先對正常的網絡行為建立模型,通過采用一定的網絡安全技術將所有網絡數據和正常模式進行匹配,防止受到可能的未知攻擊。
2 計算機安全隱患
2.1網絡攻擊計算機系統是個龐大的復雜的系統,系統開發者很難做到十分完美,因此,計算機系統大多存在著較為嚴重的安全隱患,十分容易收到安全侵襲。其中網絡攻擊方式主要有以下幾種 :
1)利用型攻擊。這種攻擊方法主要利用口令猜測,木馬程序或者緩存 溢出等方式發控制電腦系統。這種攻擊方式的解決相對比較容易,主要通過設置密碼的方式來及時更新瀏覽器,避免木馬病毒攻擊。
2)拒絕服務式攻擊。這種網絡攻擊主要是通過破壞計算機系統使計算機和網絡停止提供拂去,又稱為DOS(Daniel of Service)。其中危害最嚴重的拒絕式服務攻擊是分布式拒絕服務攻擊,它將多臺計算機聯合為一個攻擊目標,針對其發動拒絕服務式攻擊,其威力十分巨大。一般情況下,的DOS攻擊主要有互聯網帶寬攻擊及其連通性的攻擊。帶寬攻擊通過發送流量巨大的數據包,耗盡網絡流量,造成網絡數據無法傳輸。而連通性攻擊主要是通過阻止用戶連接寬帶而達到拒絕服務的攻擊。
3)信息收集型攻擊。這種攻擊方法主要以截取信息或植入非法信息為目的,在網絡攻擊中十分常見,且十分難以發現。主要有系統掃描,系統結構探測以及信息服務利用三種信息收集攻擊方式。系統掃描和系統結構探測攻擊的基本原理較為相似,前者主要采用一些遠程軟件對要攻擊系統進行檢測并查處系統漏洞從而攻擊。后者則是對攻擊對象的特點進行判斷確定適合的攻擊手段。利用信息服務主要是控制攻擊對象操作系統中信息服務功能保存的主信息,對主機進行攻擊。
4)虛假信息攻擊。虛假信息攻擊具有十分強的隱蔽性,最常見的主要有DNS攻擊和電子郵件攻擊。在DNS進行信息交換時不進行信息來源驗證,將虛假信息植入到要攻擊的計算機系統中,使自己的主機控制要攻擊的主機,這種虛假信息植入方式為DNS攻擊。而電子郵件攻擊則是由于部分用戶對郵件發送者的身份不進行驗證,打開攻擊者植入木馬程序的郵件,使電腦主機受到攻擊。
5)腳本與Activex跨站攻擊。這實質上是網頁攻擊,主要是利用網頁操作系統的漏洞,將JavaApplet、Javascript以及Activex等具有自動執行的程序代碼強行植入到網頁中,并修改用戶操作系統中的注冊表,來達到攻擊計算機網絡的目的。網頁攻擊的危害t分強大,可以對數據產生較大的破壞。網頁攻擊一方面通過IE瀏覽器將程序代碼植入,修改受攻擊的IE瀏覽器的主頁,強行訪問該網頁。另一方面,將程序代碼植入瀏覽器后不斷的對系統進行攻擊,當用戶點擊該網頁時,便會不斷的彈出同一個窗口,直至系統奔潰。
2.2計算機病毒攻擊
1)蠕蟲病毒。計算機蠕蟲病毒因能夠對用戶終端實施單獨攻擊而被重視,該病毒程序主要以掃描系統漏洞為途徑,一旦發現存在漏洞,就會自動編譯攻擊程序,被不斷復制和轉移,從而達到控制電腦主程序的目的,進而實施攻擊。我國爆發的蠕蟲病毒最著名的當屬“熊貓燒香病毒”,該病毒甚至一度引起整個國家網絡用戶的恐慌。由于蠕蟲病毒的潛伏性極強,任何程序都可能成為其傳播的丁具,而這個程序一旦為其他用戶所使用也會被感染。此外,蠕蟲病毒能夠根據不同的系統漏洞進行針對性變異,這使得市場上的一般殺毒軟件難以識別和掃殺,因此造成的危害也就更大。
2)腳本病毒。從專業的角度來講,腳本病毒也稱為VBS病毒。較之其他類型的計算機病毒,該病毒主要對互聯網用戶實施攻擊。用戶在瀏覽網頁時,可能會無意識激活依附在網頁中的病毒腳本,而這類腳本一旦被激動就會脫離IE的控制,從而使主機感染病毒。由于互聯網用戶的猛增,這類病毒的危害程度也不斷加深,而用戶一旦感染該類病毒,主機的內從空間就會被大量占用,進而導致系統運行不暢,甚至造成操作系統的癱瘓,更為嚴重的情況是格式化硬盤導致數據資料丟失。
3)木馬病毒。該病毒是目前計算機用戶普遍面臨的病毒程序,又名特洛伊木馬。該病毒的主要特點就是誘騙性極強,主要誘導用戶下載病毒程序,一旦進入主機就會尋找系統漏洞并迅速隱藏,進而竊取用戶關鍵信息。由于木馬病毒的隱蔽性極強,用戶一般很難及時發現,這為病毒攻擊主程序提供了足夠的時間,而用戶一旦不能控制主機程序,計算機信息就會被病毒竊取。
4)間諜病毒。該病毒是近年出現的一種攻擊性不太明確的病毒變種,主要影響計算機的正常網絡訪問,如主頁劫持等。在日常網頁訪問過程巾,我們會發現一些非法窗口會隨著主網頁程序彈出,通過這種方式來增加其訪問量。由于該病毒對用戶的實際應用影響不大,尚未引起足夠的重視,相應的針對性防范策略也比較缺失。
3 計算機安全防范技術
3.1防火墻技術防火墻技術是日前應用最為廣泛的計算機安全防范技術,主要包括包過濾防火墻和應用級防火墻兩類。1)包過濾防火墻。數據傳輸的路線先由路由器再到主機,包過濾防火墻就是對經過路南器傳輸至主機的數據包進行過濾分析,如果數據安全則將其傳遞至主機,如果發現存在安全隱患則進行攔截,并自動告知用戶。2)應用級防火墻。該類防火墻是安裝在服務器源頭的安全防范技術,主要是對外部進入服務器的數據包進行掃描,一旦發現存在惡意攻擊行為,那么內網服務器與服務器之問的信號傳輸被中斷,從而起到保護用戶的作用。
3.2加密技術該類技術是一類廣泛應用的計算機安全防范技術,通常包括對稱性加密技術和非對稱加密技術,其防范原理截然不同。前者又被稱為私鑰加密,其原理就是從已經破解的密匙中編譯設密密碼,如目前廣泛應用的DES加密標準;后者義被稱為公鑰加密,其原理就是將加密密鑰與解密密鑰相分離,如RAS算法、PKI技術以及DES與RAS混合技術等。兩類加密技術都可以較好地實現用戶網絡安全的防護。
3.3訪問控制技術該技術主要是對用戶訪問網絡資源的權限進行設置,從杜絕非法用戶的惡意訪問。該技術主要包括自主訪問控制和強制訪問控制兩類。前者主要是要求用戶按照制定好的訪問序列瀏覽網絡資源,盡管用戶的操作行為被限定,但可以根據需要及時調整訪問控制策略;后者主要獨立于系統外運行,用戶既不能改變隨便改變被保護的對象的級別,也不能實施越級保護。顯然,該類技術存在的最大局限在于,對擁有訪問權限的用戶行為沒有約束力。
3.4虛擬專用網技術虛擬專用網技術是目前使用范圍較為廣泛的一種防御安全技術,一般也可將其稱為VPN技術。這種技術的特點是將加密數據通道從公共網絡中分離出來,使數據信息能夠得到有效的保護,主要有路由器包過濾技術和隧道技術 。路由器包過濾技術將網絡上流人流出的IP包采用路由器進行監視和防御,將可疑的數據隔離出來拒絕發送。
3.5 GAP隔離技術GAP隔離技術是一種網絡安全隔離技術,是以將各種可能進入用戶計算機網絡中的信息先進行隔離,通過驗證后才允許其進入為目的的一種網絡安全防護技術。具有支全性能高的特點,即即使網絡或計算機主機受到攻擊,也可以很快將網絡切斷,將風險降到最低,使計算機網絡不會受到持續性的攻擊。GAP隔離技術是與防火墻技術完全不同的安全隔離技術,它不像防火墻禁止數據交換,而是采用網閘允許最低限度的數據交換。這種技術的核心是GPA,具有強大的隔離功能,即當大量數據到達計算機主機時,GPA將所有數據進行檢測和控制,并對這些數據進行驗證,只有符合要求通過驗證的數據才能進入計算機系統中,沒有通過驗證的數據則存儲在隔離硬盤中等待用戶判斷。GAP隔離技術因其動態循環的防御方式適用范圍受到了一定的限制。
論文摘要:隨著網絡技術的飛速發展和廣泛應用,信息安全問題正日益突出顯現出來,受到越來越多的關注。文章介紹了網絡信息安全的現狀.探討了網絡信息安全的內涵,分析了網絡信息安全的主要威脅,最后給出了網絡信息安全的實現技術和防范措施.以保障計算機網絡的信息安全,從而充分發揮計算機網絡的作用。
論文關鍵詞:計算機,網絡安全,安全管理,密鑰安全技術
當今社會.網絡已經成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術的迅猛發展.網絡攻擊與防御技術也在循環遞升,原本網絡固有的優越性、開放性和互聯性變成了信息安全隱患的便利橋梁.網絡安全已變成越來越棘手的問題在此.筆者僅談一些關于網絡安全及網絡攻擊的相關知識和一些常用的安全防范技術。
1網絡信息安全的內涵
網絡安全從其本質上講就是網絡上的信息安全.指網絡系統硬件、軟件及其系統中數據的安全。網絡信息的傳輸、存儲、處理和使用都要求處于安全狀態可見.網絡安全至少應包括靜態安全和動態安全兩種靜態安全是指信息在沒有傳輸和處理的狀態下信息內容的秘密性、完整性和真實性:動態安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
2網絡信息安全的現狀
中國互聯網絡信息中心(CNNIC)的《第23次中國互聯網絡發展狀況統計報告》。報告顯示,截至2008年底,中國網民數達到2.98億.手機網民數超1億達1.137億。
Research艾瑞市場咨詢根據公安部公共信息網絡安全監察局統計數據顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現為“數據受損或丟失”18%.“系統使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%。
3安全防范重在管理
在網絡安全中.無論從采用的管理模型,還是技術控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理、制度的管理、機構的管理等.它的作用也是最關鍵的.是網絡安全防范中的靈魂。
在機構或部門中.各層次人員的責任感.對信息安全的認識、理解和重視程度,都與網絡安全息息相關所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應商、顧客或股東的參與和信息安全的專家建議在信息系統設計階段就將安全要求和控制一體化考慮進去.則成本會更低、效率會更高那么做好網絡信息安全管理.至少應從下面幾個方面人手.再結合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責分工如設立專職的系統管理員.進行定時強化培訓.對網絡運行情況進行定時檢測等。
2)有了明確的職責分工.還要保障制度的貫徹落實.要加強監督檢查建立嚴格的考核制度和獎懲機制是必要的。
③對網絡的管理要遵循國家的規章制度.維持網絡有條不紊地運行。
④應明確網絡信息的分類.按等級采取不同級別的安全保護。
4網絡信息系統的安全防御
4.1防火墻技術
根據CNCERT/CC調查顯示.在各類網絡安全技術使用中.防火墻的使用率最高達到76.5%。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。它通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況.以此來實現網絡的安全保護。
4.2認證技術
認證是防止主動攻擊的重要技術.它對開放環境中的各種消息系統的安全有重要作用.認證的主要目的有兩個:
①驗證信息的發送者是真正的主人
2)驗證信息的完整性,保證信息在傳送過程中未被竄改、重放或延遲等。
4.3信息加密技術
加密是實現信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結合使用.互補長短。
4.4數字水印技術
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網絡技術和信息技術的廣泛應用.信息隱藏技術的發展有了更加廣闊的應用前景。數字水印是信息隱藏技術的一個重要研究方向.它是通過一定的算法將一些標志性信息直接嵌到多媒體內容中.但不影響原內容的價值和使用.并且不能被人的感覺系統覺察或注意到。
4.5入侵檢測技術的應用
人侵檢測系統(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統及網絡系統中收集信息.再通過這此信息分析入侵特征的網絡安全系統IDS被認為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對系統發生危害前.檢測到入侵攻擊.并利用報警與防護系統驅逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關信息.作為防范系統的知識.添加入策略集中.增強系統的防范能力.避免系統再次受到同類型的入侵入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術.是一種用于檢測計算機網絡中違反安全策略行為的技術。
【關鍵詞】樓宇智能化 安全防范 解決方法
中圖分類號:X923文獻標識碼:A文章編號:
一、前言
隨著人們生活水平的提高和居住環境的改善,相對應的對安全性要求就會水漲船高。智能樓宇安全防范技術就解決了人們的后顧之憂,極大的加強了樓宇的安全性能。不僅安全性提高,而且還一定程度上能夠減少在安全防范措施上的成本,包括人力物力財力等等,而且更靈活便捷。舉個例子,在整個安全防范技術應用中,通過報警控制主機集成專業的可視對講系統或家庭智能終端系統作用就可以看出來,這個系統通過同一的平臺,同時管理報警系統、監控系統和門禁系統,一旦發生報警,可自動聯動攝像機和門禁系統,進行圖像系統監控、記錄、門禁的開關動作。相關安保人員足不出戶,僅僅呆在監控室就能掌握整個安全情況。
二、智能樓宇安全防范技術在中國的發展與現狀
我國對智能建筑中的安全防范技術的探索與實踐始于上世紀九十年代初,在這時期里我國的智能建筑主要是一些涉外的酒店和特殊需要的工業建筑,才用的技術和設備主要是從國外引進的。雖然普及程度不高,但是人們的熱情卻不低,得到設計單位、產品供應商以及業內專家的積極響應,可以說他們是智能建筑的第一推動力。
我國智能化建筑初具規模,在我國房地產業不斷發展的背景下,樓宇智能化市場隨之迅速成長。樓宇智能化的概念已經越來越深入人心。上海金茂大廈、環球金融中心等應用樓宇智能化的建筑不斷出現,目前樓宇智能化在北京、上海、廣州、深圳等一線城市高檔住宅中應用普遍,成為高檔物業的新潮流。閉路電視監控、門禁管理、停車場管理、防盜防災報警系統等安全防范技術的常規化應用就是一個很好的體現。
三、智能樓宇的安全防范系統的主要內容
1家庭防盜報警系統。防盜報警系統就是在家庭中比較重要的地點區域布設各類傳感器,代替鋼筋防盜網,主要由保安中心管理主機、家庭報警器、傳感器和傳輸線纜組成。傳感器主要有紅外線探測器、熱感探測器、玻璃破碎探測器、窗磁、門磁等,另外還可以根據實際需要在不同的位置設置不同的傳感器,這樣不僅僅能夠有效地探測非法侵入者,還能夠避免業主牢籠中的感覺,可謂一舉兩得。家庭報警器與保安中心管理主機聯網,當出現非法闖入者時,家庭主機報警,管理主機會顯示報警地點和性質,保安中心可據此確定出警方案,及時制止犯罪。
2樓宇周界防越報警系統。樓宇周邊的環境安全狀況直接影響了樓宇的安全,因此,樓宇周界報警系統也是不可避免的。該系統由紅外線對射器、接收器、報警主機及傳輸線纜組成。一般是在小區的圍欄上,安裝戶外型紅外多光束智能探測器,組成社區周界不留死角的防非法跨越報警系統。與此同時,控制器采用智能化模糊控制技術,可以避免由于樹葉、雜物、風雨或飛鳥等小動物穿越圍欄所引起的誤報。
3閉路電視監視系統。智能樓宇的閉路電視監視系統是必不可缺的,該系統是指在重要的場所安裝攝像機以提供利用眼睛直接監視建筑內外情況的可能,這樣,保安人員在控制中心可以監視整個大樓內外的情況,保安人員僅僅只需在監控室,就可以掌握整個大樓的安全情況,大大加強了安全系數。
4、停車管理系統。地下停車場全部設計為固定車智能停車場,不允許臨時車進入車場。其固定車輛進出流程為:進場時在小區地面入口處讀卡,通過后再到地下停車場入口處讀卡,經認可后進入停車場停車;出場時則相反。確保固定車進出流暢,限制其他車輛的進入。根據小區車流量的情況,為了保障車輛的進出流暢,地面任一出入口設計為均可出入車輛。
5、非可視對話系統。本系統采用非可視對講系統與門禁系統相結合的技術,來實現對小區住宅樓單元出入口的安全防護。具體設置是在小區的每戶設有一個對講分機,通過門口機實現戶外人員與房主的通訊,通過管理員主機實現住戶、來訪者與管理員的三方通訊與管理。非可視對講子系統是智能綜合管理系統的一個有機組成部分,能和其他防范子系統一起有效地完成保安報警的任務,并提高樓宇品位和質量,真正達到智能住宅的標準。
四、安全防范技術的發展
在科學技術發展的今天,安全防范技術已經超重數字化、網絡化、智能化和規范化的方向發展。總的來說,是朝著一個更為科學合理的方向迅速發展。
1 數字化
二十一世紀是個技術飛躍發展的時代,數字化技術是幾乎所有技術所追求的。作為智能化的安全防范技術,未來發展的方向一定是朝著數字化前進的。數字化就是將許多復雜多變的信息轉變為可以度量的數字、數據,再以這些數字、數據建立起適當的數字化模型,把它們轉變為一系列二進制代碼,引入計算機內部,進行統一處理,這就是數字化的基本過程。但是目前的很多安全防范技術還是處在模擬數據階段,這是相對落后的技術。這對于安全設備的布線首先就是一項挑戰。此外,在音頻視頻的傳輸保存方面既不方面又不快捷,還不能做到數據壓縮,很是浪費資源。,雖然現在由許多廠家都宣傳自己利用了先進的音視頻技術,但還沒有完全應用于實際中,將來的發展必將對音視頻進行壓縮,以便進行分析、傳輸、存貯。在信號檢測處理單元部分,將更多地利用無線技術,減少布線,特別是一些新的技術將會應用在這個領域中。數字化也將為智能安全技術的應用打下基礎,為引進其它的先進設備提供保障。
2 網絡化
目前在每個安全防范系統中,都單獨建有自己的專用網絡,由于現在的安全防范技術中個別技術沒有得到很好的應用,安全防范系統的網絡化沒有真正的實現。安全防范系統實現網絡化后,人們可以利用Internet隨時隨地的了解自己的安全狀況,當有警情發生時,可以隨時知道并第一時間自動的通知到相關部門進行及時處理,減少損失。并向著IP的智能安防系統發展。
3 智能化
隨著各種相關技術的不斷發展,人們對安防系統提出了更高的要求,安防系統將進入注重智能化階段。在安防系統智能化后,可以實現自動數據處理,信息共享,系統聯動,自動診斷,并利用網絡化的優勢進行遠程控制、維護。先進的語音識別技術、圖像模糊處理技術將是安防系統智能化的具體表現。
4 規范化
目前,在安防系統中,各國都有自己的規范文件,但是對使用的技術卻沒有像電信一樣有著全世界統一的技術規范,因此可能會造成相互信息的通信、共享、管理造成一定的混亂。只有這樣才能建立更大的區域聯合安全防護網絡,最大程度的提高安全性。
六、結束語
隨著社會科技的進步,安防系統將面臨著激烈的挑戰。人們對樓宇智能化技術提出了更高的要求,這久迫使我們要適應信息時代的要求,充分利用各種新技術,不斷完善安全防范技術。智能樓宇的廣泛應用,使得我國的智能樓宇安全防范系統的設置技術越來越成熟,隨著智能樓宇的不斷發展以及我們施工的經驗的不斷豐富,我國的智能樓宇建設應用必能向上一個新的臺階,其安全防范系統的應用也會越來越高效。
參考文獻:
[1] 楊勇; 江楠.樓宇智能化技術的現狀與發展趨勢第二十五屆中國(天津)2011’IT、網絡、信息技術、電子、儀器儀表創新學術會議論文集[中國會議]2011-09-01
[2]宋詩波.LonWorks網絡安全防范技術及解決方案研究[學位論文] .重慶大學2007-04-01
[3]劉希清.安全防范技術與建筑智能化系統(下) [期刊論文].工程設計CAD與智能建筑2000-12-05
[4]王銘文.聯網型建筑安全防范系統的設計與實現[學位論文].重慶大學2007-03-01
【關鍵詞】校園網絡;網絡安全;防范體系
【中圖分類號】G40-057 【文獻標識碼】B 【論文編號】1009―8097(2011)11―0066-05
引言
隨著國內高校新一輪信息化建設的不斷深入,高校校園網規模越來越大,承載的應用系統越來越多,校園網絡的結構也變得越來越龐大和復雜。隨著人才培養、科學研究等各項工作對校園網的依賴性不斷增加,校園網及各類應用系統的服務質量也應不斷提高標準和要求,作為一個使用成熟技術和成熟設備的園區網絡,網絡安全是影響網絡服務質量的重要因素。
但目前各高校的校園網“重建設,輕管理”的現象仍然十分普遍。在社會信息化發展的大潮中,各高校都已清楚地認識到校園網在學校各項工作中的基礎地位,因此在校園網硬軟件系統建設上進行了大量的投入,而正是硬件和軟件系統的大規模快速增長,使得對網絡的管理難以跟上建設的步伐,而網絡管理是軟性的工作,是不能夠通過統計報表看得出問題或成績的,因此網絡管理工作很難引起學校領導的重視。但在實際工作中,相對滯后的網絡管理會導致網絡安全問題的頻頻發生,反言之,網絡安全防范也是網絡管理的重要內容。
本文根據目前高校校園網絡存在的安全隱患來分析其成因,并在實際工作經驗的基礎上提出構建一套基于分層控制的“IAAPNS”網絡安全防范體系,自底向上、由內到外、從技術到管理層面排查高校校園網絡中潛在的安全威脅并給出防護建議。
一 高校校園網絡的安全隱患及成因
目前高校校園網絡的主干網都是基于TCP/IP協議的以太網,與其他類型的Intranet網絡相比有其自身的特點,相應的安全隱患也就有其特定的成因。目前國內高校校園網絡普遍存在的安全隱患和漏洞主要來自以下幾個方面:
1 校園面積廣闊,網絡基礎設施管理困難
經過兼并和擴張,高校的校區面積動輒上千畝、幾千畝,許多高校還有地域上獨立的新老校區,作為樓宇間連線的光纖布線遍布校區各處,而且往往跟其他強電或弱電線纜共用走線溝槽。對這些光纖的管理要涉及基建、后勤等多個部門,需要協調的工作也很繁雜,如果缺少一個明確的安全管理體系,就不容易分清工作界限,在出現突發故障后往往互相推諉,導致難以在短時間內恢復網絡暢通。
另外一方面,校園內樓宇繁多,樓字里每幾層都會有樓層網絡設備間放置匯聚層或接入層網絡設備,這些設備間的數量眾多,但往往安全防范措施簡易,門鎖形同虛設,甚至有些設備間連門都沒有,極易出現人為破壞或私拉亂接網線的情況,嚴重影響網絡的運行安全。除此以外,雷擊等外界原因也容易造成對網絡設備的破壞。
2 網絡設備種類繁多,不利于統一管理
校園網的建設一般是分批建設,不同批次、不同層次的網絡設備使用的規格、品牌往往不盡相同,而這些網絡設備的管理軟件大多都是基于私有MIB庫進行開發,這就造成了很難有一套統一的全網管理軟件。病毒或黑客對網絡設備進行攻擊時,就很難在第一時間發現和應對,常常是在設備癱瘓之后才意識到出現了問題、進行緊急恢復。
3 網絡終端數量眾多,安全措施薄弱
一般高校的學生人數都是以萬計,教師以干計,密集的用戶群意味著網絡終端的數量巨大,絕大多數網絡終端以計算機為主,隨著無線的普及,智能手機和平板電腦也成為重要的網絡終端設備。數量眾多的用戶使用計算機或手機的技術水平差異很大,尤其是文科專業的師生對計算機的使用掌握得并不熟練,未裝防火墻和殺毒軟件的計算機比比皆是。而高校校園網只要一處出現漏洞,整個網絡就無安全可言。近年來智能手機上也出現了不少的病毒和木馬程序,智能手機的系統安全問題正變得日益嚴重。
4 系統軟件本身并不安全
在目前的校園網環境中,個人終端裝機占有率最高的仍然是Windows操作系統,由于使用面廣,研究其漏洞的人也就更多,不少黑客都是利用其系統漏洞侵入用戶的計算機,再以這些被控制的計算機作為跳板,攻擊整個網絡。
與個人計算機相比,服務器操作系統漏洞更具有災難性。服務器的操作系統種類較多,除Windows之外還有Linux、Solaris等Unix系列的操作系統,而高校網絡管理人才隊伍中,對此類操作系統熟悉的人員比例不高,包括打補丁、差錯、優化在內的各種操作系統管理手段很難周全到位。除了操作系統本身,其上所運行的各類服務軟件(如IIS、Tomc~等)也存在安全漏洞問題,需要管理人員投入大量的精力進行研究和學習。
5 應用系統的安全漏洞
由于建設成本的考慮,高校的網絡應用系統提供商的層次差異很大,有些就是自行組織教師或學生進行開發,缺少軟件開發過程中各個層次的安全規劃設計與實現,使得應用系統層面的漏洞層出不窮,這些漏洞很容易成為黑客攻擊最直接的目標。還有些高校在建立Web網站時使用了開源程序,這類系統的漏洞更是容易被利用,甚至不懂黑客原理的用戶經過幾分鐘的學習便可以掌握攻擊方法。
二 高校校園網絡的安全防范體系
由此可見,形成高校校園網絡安全隱患的原因是多層次的,也是相互關聯的,但目前各高校的網絡管理部門往往采用的是“頭痛醫頭、腳痛醫腳”的“救火式”解決辦法,只從某個方面或某個層次來應對。網絡管理人員每天都在疲于解決各種突發性的網絡安全事故,但問題還是與日俱增,網絡服務質量和用戶滿意度仍然處于較低的水平,這種“費力不討好”的現象迫使我們去思考更好的解決方案。
為此,針對目前高校校園網絡的安全現狀和威脅,結合實際工作經驗,我們運用系統論的分析方法,提出構建一套名為“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security,網絡安全集成關聯架構策略,同時也是體系中六個層次的英語詞組首字母組合)的網絡安全防范體系,為高校校園網絡安全提供一套完整的解決方案,以求由點到面、由“標”到“本”地系統地解決校園網絡的安全問題。該體系從六個層次和角度來闡述網絡安全的內容,并分析每個層次可能存在的隱患以及相應的應對策略,其中自底向上的五個層次分別是物理安全、網絡安全、系統安全、應用安全和信息安全,管理安全則融合、穿插于這五個層次之中。整個安全體系的示意圖如圖l所示。
該體系將現行的高校校園網絡安全性劃分為5個橫向層次和1個縱向層次,在5個橫向層次中,最底層的物理安全是基礎,網絡安全是關鍵,系統安全、應用安全、信息安全是重點,管理安全是保障。下面分別對六個層次的內容、隱患來源以及應對措施進行詳細闡述。
1 物理安全(Physical Security)
物理安全,主要工作是防止物理通路的損壞、竊聽和對物理通路的攻擊(干擾等)。保證高校校園網絡和信息系統各種設備的物理安全是網絡整體安全的前提,通常包括環境安全(系統所在環境的安全保護)、設備安全和媒體安全三個部分。抗干擾、防竊聽是物理安全措施制定的重點。目前,物理實體的安全管理已有大量標準和規范,如GB9361-88《計算機場地安全要求》、GFB2887-88《計算機場地技術條件》、GB50173-93《電子計算機機房設計規范》等。
這一層次的安全威脅主要包括自然威脅和人為破壞等方面。自然威脅可能來自于各種自然災害、惡劣的場地環境、電磁輻射和干擾、網絡設備的自然老化等。這些無目的離散事件有時會直接或間接地威脅網絡的安全,影響信息的存儲和交換。人為破壞則主要來自于高校校園網周邊內外的人為性的損壞,這些損壞有時是主觀故意的(如學生發泄對網絡服務質量的不滿而對網絡設備或線路進行故意損壞),有時是客觀意外的(如園區周邊建筑施工導致挖斷網絡線路)。
面對以上威脅,為保證網絡的正常運行,在物理安全層次上應重點考慮兩個方面:
(1)校園網規劃、設計、建設時將物理安全作為重點工作對待,適當提高安全標準,為網絡設備或線路搭建防護設施、建立安全控制區域,盡量降低自然威脅可能帶來的風險。
(2)加強巡查,將重點網絡設備或線路所在地定為安全巡邏必到點,定期安排保衛人員在巡邏時查看網絡設備或線路的外觀和運行狀態(如各種狀態指示燈是否正常等),降低人為破壞的幾率。
2 網絡安全(Network Security)
網絡安全主要包括鏈路安全、傳輸安全和網絡訪問安全三個部分。鏈路安全需要保證通過網絡鏈路傳送的數據不被竊聽,主要針對共用信道的傳輸安全;傳輸安全需要保證信息的完整性、機密性、不可抵賴性和可用性等;網絡訪問安全需要保證網絡架構、網絡訪問控制、漏洞掃描、網絡監控與入侵檢測等。
這一層次的安全威脅主要包括:
(1)通信鏈路上的竊聽、篡改、重放、流量分析等攻擊。
(2)網絡架構設計問題、錯誤的路由配置、網絡設備與主機的漏洞、病毒等。
相應地應對措施主要有:
(1)在局域網內可以采用劃分VLAN(虛擬局域網)來對物理和邏輯網段進行有效的分割和隔離,消除不同安全級別邏輯網段間的竊聽可能;若是遠程網,可以采用鏈路加密等手段。
(2)加強網絡邊界的訪問控制。對于有明顯安全等級差別的網絡區域盡量增加防火墻設備進行隔離。如在校園內網、服務器區域之間設置防火墻;校園網出口處、與Intemet之間設置防火墻。
(3)在交換機上啟用DHCP-Snooping技術,使任何接入校園網的計算機只能動態獲得IP地址,同時杜絕未經批準建立的網站通過私自手工設置靜態IP地址來架設服務器。
(4)使用IDS(入侵檢測系統)。入侵檢測系統是近年出現的新型網絡安全技術,目的是提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊,其次它能夠阻止攻擊者的入侵。當檢測到有網絡攻擊或入侵時,可以實時發出報警,并詳細保存相關證據,以便用于追查或系統恢復。
(5)對網絡安全進行定期檢測,以實現安全的持續性。可以利用漏洞掃描類的工具軟件定期對系統進行掃描,根據掃描結果進行安全性評估,通過評估報告指出系統存在的安全漏洞,組織專家討論后給出補救措施和安全策略。
(6)建立網絡防病毒系統。在校園網中部署網絡版的防病毒系統,統一管理服務器和各類網絡終端的防毒軟件,定時自動升級與維護,以保護全網不被病毒侵害。通過對網絡中的病毒掃描集中控制,建立各種定時任務,統一集中觸發,然后由各被管理機器運行,同時可對日志文件的各種格式進行控制。在管理服務器上建立了集中的病毒分發報告、各被管機器的病毒掃描報告、所安裝軟件的版本等報告,所有病毒掃描狀態信息都可由控制臺得到。
3 系統安全(System Security)
系統安全即運行在網絡上的服務器、交換機、路由器、客戶端主機等具有完整網絡操作系統的設備的操作系統的安全。這一層次的安全威脅主要來自因操作系統本身的設計缺陷被攻擊者利用從而引發的后果。對于高校校園網絡而言,半數以上的攻擊往往屬于這一層次。這一層次的主要應對措施主要有:
(1)更新操作系統、安裝補丁程序。任何操作系統都有漏洞,因此,系統管理員的主要工作內容之一就是監控運行在網絡上的各類設備的狀態,發現異常應當及時解決、排除故障。對于交換機、路由器等設備而言,主要是更新操作系統的版本,這一類設備主要用于數據交換,因此其內置固化的操作系統往往功能簡單、體積很小,廠商的常規做法是新版本的系統,因此只需直接刷新即可。對于服務器、客戶端主機等設備,因其主要是用于數據處理,操作系統功能復雜、體積龐大,廠商通常是一些補丁程序來進行更新,因此直接安裝即可。
(2)優化系統。現代操作系統往往是多功能、多模塊、多組件的,可能一項系統設置可能會影響多個功能,也可能多個選項來共同作用于一個功能。因此,對操作系統進行優化是一項非常必要的工作,甚至個別系統的個別選項如果不加以優化可能會被攻擊者利用,從而產生威脅。實際當中包括關閉不需要的服務和端口并建立監測日志等。
(3)實行“最小授權”原則,分配正確和合適的權限。僅僅保持系統的版本最新、并做了優化是不夠的,試想如果網絡上的設備被設置了“123456”這樣的密碼,而且使用這個密碼登錄后還是最高權限的系統用戶帳號,那么整套網絡和信息系統的危險可想而知。實行“最小授權”原則(網絡中的帳號設置、服務配置、主機間信任關系配置等為網絡正常運行所需的最小限度),關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統的危險大大降低。例如,根據需要設置帳號和權限,并為帳號設置強密碼策略是必須完成的工作,如至少應該在8位以上,而且不要設置成容易猜測的密碼,并強制用戶每個月更改一次密碼等等。
(4)及時查殺服務器系統中的病毒、木馬和后門程序。
4 應用安全(Application Security)
應用安全主要是針對網絡中提供的各種功能和服務而提出的,例如Web服務:E-Mail服務、數據庫服務、各種業務系統、各種信息系統等等。應用安全的威脅主要有:應用系統缺陷、非法入侵等。這一層次的主要應對措施有:
(1)及時升級和更新各應用軟件和信息系統,降低因軟件設計缺陷引起的風險。若應用軟件或業務系統是高校自行開發,系統的使用部門(往往是業務部門)應聯系開發人員及時跟進,發現漏洞及時修補。
(2)對應用軟件和信息系統實行身份認證和安全審計。
與系統安全類似,應用軟件和信息系統也應對使用者進行分類、分配權限、認證身份并審計各種操作。例如可以按照需要在高校校園網內部建立基于PKI的身份認證體系(有條件還可以建立基于PMI的授權管理體系),實現增強型身份認證,并為實現內容完整性和不可抵賴性提供支持。在身份認證機制上還可以考慮采用IC卡、USB-Key、一次性口令、指紋識別器、虹膜識別器等輔助硬件實現雙因子或多因子的身份認證功能。同時,還應特別注意對移動用戶撥入的身份認證和授權訪問控制。
5 信息安全(Information Security)
信息安全注重的是網絡上各類數據、信息的內容安全。這一層次可能的威脅和相應的應對措施有:
(1)植入惡意代碼或其他有害信息。一部分攻擊者經常采用的攻擊方法是掃描網段找到有漏洞的主機,接著使用黑客軟件或攻擊程序進行刺探,在獲得系統權限后將惡意代碼植入到在該主機上運行的各應用軟件或信息系統中,待其他用戶正常使用時發作,或修改頁面的內容造成不良影響。針對這種情況,可以部署網頁防篡改系統,減少Web站點的內容被惡意更改植入惡意代碼或其他有害信息。
(2)垃圾郵件和病毒的傳播。目前,電子郵件已經成為垃圾信息和病毒的主要傳播途徑之一,采用垃圾郵件網關并部署電子郵件反病毒模塊能夠在一定程度上減輕危害,缺點是垃圾郵件識別模塊和反病毒模塊需要經常性升級,在查殺和攔截上有一定的滯后性。
(3)負面輿論導向。高校歷來是思想碰撞的場所,網絡作為新興載體己經發揮著越來越大的作用,因此,輿情監督和正面輿論導向將逐漸成為高校信息安全的重點工作內容。除了采取技術手段進行監督管理外,高校的信息化管理部門還應與宣傳部門一道培養輿論導向的專業人員或學生,主動將信息安全的風險降到最低。
6 管理安全(Administration Security)
目前,部分高校的網絡管理人員及其用戶的安全意識總的來說較為淡薄,且大多數高校的網絡管理制度不完善、管理技術落后、管理機構不健全。上述因素不僅使得校園網絡性能下降、運行成本提高,而且還會造成大量非正常訪問,導致整個網絡資源浪費,帶來極大的安全隱患,使得網絡受到攻擊的概率大幅提高。
管理安全是整個防范體系的主線和基礎,貫穿于整個體系的始終。如果僅有安全技術方面的防范,而無配套的安全管理體系,也難以保障網絡安全的。必須制訂相應的安全管理制度,對安全技術的實施落實到具體的執行者和執行程度。
網絡安全工作可以說是一項群體性的工作,網絡用戶的安全意識是網絡安全的決定因素,對校園網絡用戶安全意識的教育是安全防范體系中至關重要的環節,是形成高校校園網絡安全體系的基礎。尤其是在病毒泛濫的大環境下,需要通過定期培訓、及時通過各種手段病毒預警通知、監督和促使用戶盡快打補丁等方法,達到增強師生用戶的安全意識,提高必要的安全防范技能的目的。
以上便是我們提出的網絡安全防護體系的六個層次,除管理安全層次外,其余五層與TCP/IP協議的層次類似,上一層的安全是建立在其下一層的安全基礎之上,下一層的安全是上一層安全的重要保障,層次之間環環相扣,不留安全死角。
本體系中的六個層次也基本涵蓋了高校網絡管理工作的方方面面,將網絡安全工作的思路分層次清晰化,具有極強的實用價值和指導作用。
三 應用效果
重慶理工大學從2001年開始大規模建設校園網絡,2003年開始建設數字化校園系統。校園網按照核心層、匯聚層和接入層三個層次進行規劃設計,共有各類網絡設備600多臺,接入信息點18000個,活躍用戶大約2萬人,各類服務器40多臺,安裝有Windows、Linux和Solaris等操作系統,數據庫以Oracle和SQL Server為主。數字化校園系統覆蓋辦公、教務、學工、人事、財務、后勤等各個方面的工作,共計有各類系統模塊80余個。在大規模的硬件和軟件系統建設前期,缺乏對網絡安全的系統認識,在遭遇網絡安全事故時,常常只能采取臨時性的應對措施。隨著網絡和系統規模的不斷擴大,網絡安全已經成為影響網絡服務質量的重要根源,網絡信息中心的員工幾乎天天都在疲于應對各類突發性的網絡安全事件。
學校從2008年開始總結網絡安全工作的經驗與教訓,運用系統工程的分析方法,從整體和系統的角度提出網絡安全防范方案,形成了“IAAPNS”網絡安全防范體系,并應用到校園網的建設與維護工作中,經過三年多的運行,學校校園網絡安全工作進得了明顯的成績(如圖2所示):
對網絡設備攻擊(包括病毒)而導致網絡故障的次數由2008年的334次降到2010年的65次,2011年上半年為19次;利用操作系統漏洞(包括Web服務器漏洞)攻擊成功次數由2008年的46次降到2010年的6次,2011年上半年為2次;利用應用軟件的安全漏洞攻擊成功次數由2008年的125次降到2010年的43次,2011年上半年為15次。
隨著網絡安全防范工作的加強,網絡服務質量明顯提升,如圖3所示,用戶滿意度從2008年61%提升到2010年的73%,2011年上半年為78%。
論文關鍵詞:數據庫 存儲 網絡 安全
論文摘要:急救指揮中心所有的軟件和用戶數據都存儲在服務器硬盤這個核心的數據倉庫中,如何保證服務器數據的安全,并且保證服務器最大程度上的不間斷運作對每個指揮中心來說都是一個關鍵問題。針對急救通訊指揮系統的安全保障問題,從數據物理安全、網絡安全、應用系統安全、告警控制系統等方面論述了應采取的安全防范措施。對保障網絡指揮中心數據安全具有重要意義。
1數據的物理安全方法
1.1RAID技術
對每臺服務器的兩塊硬盤做RAID技術處理,把多塊獨立的硬盤(物理硬盤)按不同的方式組合起來形成一個硬盤組(邏輯硬盤),從而提供比單個硬盤更高的存儲性能和提供數據備份技術。數據備份的功能是在用戶數據一旦發生損壞后,利用備份信息可以使損壞數據得以恢復,從而保障了用戶數據的安全性,而且數據備份是自動的。在用戶看起來,組成的磁盤組就像是一個硬盤,用戶可以對它進行分區,格式化等等。總體來說,RAID技術的兩大特點是速度和安全。
1.2雙機熱備系統
從狹義上講,雙機熱備特指基于active/standby模式的服務器熱備。服務器數據包括數據庫數據同時往兩臺或多臺服務器寫,或者使用一個共享的存儲設備。在同一時間內只有一臺服務器運行。當其中運行著的一臺服務器出現故障無法啟動時,另一臺備份服務器會通過軟件診測(一般是通過心跳診斷)將standby機器激活,保證應用在短時間內完全恢復正常使用。雙機熱備的工作機制實際上是為整個網絡系統的中心服務器提供了一種故障自動恢復能力。
2、網絡安全保障體系
中心網絡由局域網、外部網兩大部分組成。因此,我們為了建立起強大、穩定、安全的網絡,可從兩大安全層次著手設計與管理:局域網安全和外部網安全,這兩大層次結合起來才能構成完善的網絡安全保障體系。
2.1應用系統安全
應用系統的安全主要是保護敏感數據數據不被未授權的用戶訪問。并制訂出安全策略。包括身份認證服務;權限控制服務;信息保密服務;數據完整;完善的操作日志。這些服務互相關聯、互相支持,共同為本系統提供整體安全保障體系。
2.2數據安全
數據的安全主要體現在兩個方面,首先,是數據不會被非授權用戶訪問或更該,其次,數據在遭到破壞時的恢復。
3應用安全系統
資料永久保存,磁帶回復時間無嚴格限制。數據存儲:磁盤陣列+磁帶庫;Tier1=4TB HDD存放線上經常使用的數據;備份帶庫:3TB定時定期備份所有數據。
3.1采用磁帶庫
磁帶庫具有如下優點:更高的價值;簡化IT;集成的解決方案;靈活的數據存儲和轉移;多種接口選擇;AES256位嵌入式硬件加密和壓縮功能;用戶可自行維護和更換的組件;廣泛的兼容性測試;久經考驗的可靠性。 轉貼于
3.2數據備份軟件
3.2.1基于LAN備份方案
LAN是一種結構簡單,易于實現的備份方案,廣泛的存在于各中小企業中LAN方案在企業發展壯大過程中所發揮的作用一直被客戶所認同。由于急救系統用戶數據量的巨大,基于LAN備份的弊端較突出:此方案對LAN的依賴非常強;因為內部LAN為企業內部辦公用網絡,而LAN方案依賴現有網絡進行備份恢復數據流的傳輸,所以必然會影響現有辦公網絡環境;基于LAN備份難于擴展,因為需要而添加存儲設備將導致繁忙的辦公網絡更加繁忙;管理困難是LAN備份的又一難題,因為設備分散于網絡各個環節,使管理員進行數據備份恢復及平時維護工作有一定難度。
3.2.2基于IPSAN的備份方案
基于IPSAN的備份方案,通過結合CBS備份管理軟件,將使備份恢復工作簡單而有效。
備份網絡與辦公網絡有效隔離開,備份數據不通過辦公網絡傳輸,而是直接通過IPSAN交換機與存儲設備進行連接。
系統具備良好的擴展性能,在現有基礎上,客戶能夠添加各種存儲設備(需支持ISCSI)。
根據客戶需要,可以實現D2D2T功能。將數據首先備份于速度較快的磁盤陣列上,加快備份的速度。再將數據從磁盤陣列備份到磁帶庫。
通過CBS備份管理軟件能夠集中管理其中各種設備,制定備份策略,安排備份時間,實現無人值守作業,減輕管理員的工作量。下圖為CBS備份框架。
備份服務器作為整個CBS備份架構的中心,實現管理功能。
4告警控制系統
通訊指揮系統出現故障時自動告警提示,確保系統安全運行。2M口通訊故障告警、網絡通訊故障告警、終端網絡斷開告警、電話到達告警、定時放音、擴音、報時控制,也可自動循環播放、電源出現故障可自動向受理臺告警。
警告系統整體性能:輸入:8-32通道,8通道遞增;電源輸入:AC 180V-250V 50Hz;控制通道輸入及輸出:AC
5總結
隨著數據管理與控制信息化綜合系統的不斷完善,對服務器數據的安全要求也越來越高,論文就如何保障急救指揮中心證服務器數據的安全,論文從數據物理安全、網絡安全、應用系統安全、告警控制系統等方面論述了應采取的安全防范措施。對保障網絡指揮中心數據安全具有指導性的作用。
參考文獻
[1]何全勝,姚國祥.網絡安全需求分析及安全策略研究.計算機工程,2000,(06).
【論文摘要】:電子銀行的 發展 已經是各個國家不可回避的問題。文章分析了在我國發展電子銀行的原因和制約條件,并指出我國要克服各種障礙,促進電子銀行的發展。
電子銀行的發展已經是各個國家不可回避的問題。
一、發展電子銀行的原因
1. 經濟 社會的發展要求一種新的支付體系與其相適應
市場經濟的運行機制要求資源得到有效的配置,亞當斯密的看不見的手理論告訴我們,經濟領域一旦出現資源的不合理運用就會出現帕累托改進的空間。調劑資金余缺是銀行的基本職能,隨著金融市場的發展、各種金融衍生工具的出現,必將會出現規模更大的資金流,運用傳統的貨幣支付體系將會產生各種資源的浪費,所以經濟金融市場的順利運行要求電子銀行這一新的支付體系來滿足更大的資金支付和轉移。
2. 科學 技術的進步為電子銀行的發展提供了可能性
進入21世紀,在全球范圍內,以電腦為核心的信息技術有了飛速發展。這就帶動了網絡經濟的發展,同時也為金融也提供了新的服務領域和服務方式。無論是國際金融發展的趨勢還是國內的金融市場開放方向,其趨勢都將是以信息技術為依托,更加全面、高效的金融服務平臺,科學技術的進步正是為這一新的發展趨勢提供了可能,各種基礎金融服務結合快速發展的信息技術將會使以銀行業為代表的金融服務迅速發展到一個更高的層次。
3. 國際金融發展的趨勢是金融服務網絡化,這一趨勢促使
2. 城市 網絡 基礎設施比較落后
這里說的基礎設施是指 發展 電子 銀行必須的網絡軟件和硬件設施。
3. 網絡安全是個大問題
論文摘要:安全問題是目前發生在我國高校的常見重要問題,實施安全教育對于在校學生尤其重要。國內研究者對此已進行了大量的研究和探討, 本文根據大量文獻資料,從安全教育的定義、內容、存在的問題、對策四方面對已有研究進行了總結,探尋已有研究所取得的成果并分析已有研究中存在的問題,在此基礎上,預測高校安全教育研究的發展趨勢。
一、關于安全教育定義的研究
一般說來,關于高校安全教育有著統一規范的定義,所以關于安全教育的定義研究是非常少的。如古月娟、白海琦認為 “大學生的安全教育是指高校管理者和教育者以黨和國家的有關政策與法律為依據,以全面提高大學生的綜合素質為目標,以大學生在校期間以及步入社會面臨的安全問題為主要內容,以已涉及大學生的安全問題為典型案例,對學生進行法律知識、安全防范知識、學校安全管理制度和心理健康知識教育,使在校大學生系統地掌握安全知識和防范能力。”這一點黃維平、韋幫得也是認同的。而王能武認為“高校安全教育是指高等學校為維護大學生的人身、財產安全和身心健康,提高大學生的安全防范意識和自我保護技能,從學校實際情況出發,根據國家法律法規的規定,制定各種安全教育與管理的規章制度,并對大學生進行國家法律法規、學校安全規章和紀律、安全知識與防范技能的教育與管理活動。”總的說來,高校安全教育定義研究側重點不同,但這些研究主要認為高效安全教育是指主要針對在校大學生,為了確保在校大學生生活環境、心理環境等的安全而運用一些教育方法而實行的教育措施。
二、關于安全教育內容的研究
關于安全教育的內容的提法很多,很多研究者將安全教育內容分成不同的點,主要有以下幾種分類方法:
(一)高校安全教育內容分為三點
古月娟、白海琦在提出新時期大學生安全教育的內容主要為:大學生心理健康教育,大學生網絡安全教育,大學生文化安全教育。即認為大學生安全教育主要包括網絡安全、心理健康安全和文化安全。
(二)高校安全教育內容分為四點
張玉華、袁成龍提及高校安全教育的內容主要為:“國家安全教育、網絡安全教育、心理安全教育和自我保護教育”相比狹隘的高校安全教育,張玉華、袁成龍已拓寬了安全教育的內容,也把國家安全教育放在了重要位置,體現了對國家安全的重視,也有利于培養大學生愛國意識。另外,孫光輝也將新時期大學生安全教育的內容分為四點:“社會注意榮辱觀教育、法律法規和校規校紀教育、安全防范知識和技能教育、心理健康教育。”隨著現代社會科技發達,交通事業的進步,交通事故也越來越多,交通安全教育與消防安全教育也越來越重要所以關于這方面的研究也是非常必要的。
(三)高校安全教育內容分為五點
姬學民認為大學生安全教育的主要內容為:“基礎知識教育即有關安全的基礎知識的教育、安全防范和自我保護的教育、進行遵紀守法的教育、國家安全教育和心理健康教育。”法紀法規是為規范人們的行為,打擊不法分子制定的。教育大學生學法、知法、懂得依法辦事。作為一名大學生應該通過法紀法規學習,知道哪些事能做,哪些事不能做。加強對大學生的法律教育有利于大學生運用法律武器保護自己,所以安全教育中應該包含對大學生法律知識的教育。
(四)高校安全教育內容分為六點
李曉明認為:“自我保護能力的教育、心理安全教育、網絡安全和道德教育、消防安全教育、交通安全教育、規章制度教育。”各高校近幾年都非常重視制度建設,制定了一系列規章制度。這些規章制度在維護學生的合法權益,保障學生的安全方面發揮了積極的作用。但總有學生違反了這些 規章制度,從而造成了一些安全問題,因此,對學生的規章制度教育是非常重要的。楊緒霞,薛剛認為,高等安全教育包括國家安全教育、人身財產安全防范教育、網絡安全教育、消防安全教育、交通安全教育和心理安全教育。二者都將安全教育的內容劃分的更細更全面。 三、關于目前高校安全教育存在的問題的研究
袁健認為目前高校安全教育存在的問題包括:對大學生安全教育的重視程度不夠,安全教育的內容不夠,學生安全教育形式單一且缺乏創新。大學生安全教育運行機制不完善且沒有形成制度化和規范化。內容不夠全面且教育形式單一,導致了高校安全教育的一系列問題。張玉華、袁成龍也認為,目前大學生安全教育存在的主要問題為:大學生安全教育運行機制不完善,大學生安全教育的實施只是走過場,大學生安全教育內容不夠完整。譚汝媚認為當前高校對安全教育重視不夠,體制不健全,大學生心理健康問題嚴重,大學生減災和避災自救能力相對匱乏,網絡安全問題突出。宋江浩認為當前大學生安全教育存在的主要問題有:網絡化發展趨勢給高校學生安全教育帶來問題,大學生網絡安全意識相對薄弱;高校后勤社會化管理給高校學生安全教育帶來問題,校園外來人口增多,校園住宿條件等都會影響高校學生安全教育;國家教育改革發展給高校學生安全教育帶來問題,校外人員參觀、訪問等也給高校安全教育帶來問題;高校擴招給高校學生安全教育帶來的問題,在校生人數眾多,層次多樣,使得校園也更加復雜,安全教育的問題也就更多;交通安全、性安全等也影響校園安全問題。王能武對上述觀點也是認同的。
研究者羅列了很多高校安全教育中存在的問題,其中目前高校對于安全教育的重視不夠是導致一些安全事故發生的重要原因,高校只有在對安全教育有了足夠重視的情況下才能搞好安全教育;另外,研究者也看到了由于社會問題而引發的一些新問題如心理健康教育、網絡安全教育、性安全教育等,有利于高校從新的角度去認識安全教育中存在的問題。
四、關于高校安全教育對策研究
高菲提出高校安全教育的對策為:加強大學生安全教育,提高大學生的安全意識;加強大學生心理健康教育,培養大學生健康的心理;加強大學生法制教育,增強大學生法制意識;加強大學生的責任意識。袁健認為切實提高對大學生安全教育工作重要性的認識;大學生安全教育必須步入規范化和制度化的軌道;建立健全大學生安全教育運行機制;采用多種途徑開展大學生安全教育。張玉華、袁成龍認為提高大學生對安全教育的認識;加強大學生對安全教育的組織領導;建立大學生安全教育運行機制;做好大學生安全教育的“三進”工作即安全教育進宿舍進課堂進校園網絡。
譚汝媚認為高校黨政領導應給予足夠重視,加大安全投入,努力營造濃厚的校園安全文化氛圍;將安全教育納入高校課程教學計劃;加強心理健康檔案建設和建立、健全學校心理咨詢機構并充分發揮其作用;加強網絡知識安全教育。宋江浩認為加強對學生的網絡完全教育;加強對學生宿舍的安全管理;加強對高校學生的消防安全教育;加強對高校學生防盜竊、防詐騙安全教育;加強對學生的交通安全教育。王能武認為:動員各方面力量,切實提高大學生安全教育工作重要性的認識;建立、健全高校安全教育法律法規,為高校安全教育提供制度保障;安全教育應突出重點,注重教育效果;把安全教育納入教學計劃,編寫安全教育教材,開設系統的安全教育課程。姬學民認為把安全教育納入教學計劃,使之規范化、制度化;以案說法,有針對地教育;突出重點,有區別地教育。陶娟提出:首先要高度重視,齊抓共管。切實提高對大學生安全教育工作重要性的認識;調動一切積極因素,形成齊抓共管局面。其次,精編教材,規范教學。精編安全教育教材,將安全教育納入正規的教學管理中,利用已有的教學體系,強化安全教育。再次,突出重點,提高實效。抓好安全教育工作隊伍的建設如專業保衛隊伍,輔導員隊伍,學生骨干隊伍;轉好重點學生、重點時期和重點場所的安全教育。接著,創新形式,寓教于樂;關注心理,愛護學生;健全制度,落實責任。李曉明認為:加強宣傳教育,營造平安氛圍;突出重點,務求實效;安排學時,開設課程;明確內容,選編教材;設立心理咨詢室,加強心理輔導。
研究者對于高校安全教育建議主要針對安全教育中存在的問題的提出,宏觀方面與微觀方面都有涉及,但是具體可行性意見卻不夠。以后的研究可能會針對時展所出現的安全教育的新問題,進行非安全教育定義,而是安全教育存在的問題及安全教育措施的研究,而且這些研究也會越來越重視其實用性。
參考文獻