构建网络安全体系范文

时间:2023-09-18 17:59:42

导语:如何才能写好一篇构建网络安全体系,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。

构建网络安全体系

篇1

关键词:网络安全;防火墙;PKI技术

一、防火墙技术

包封过滤型:封包过滤型的控制方式会检查所有进出防火墙的封包标头内容,如对来源及目地IP、使用协定、TCP或UDP的Port等信息进行控制管理。现在的路由器、SwitchRouter以及某些操作系统已经具有用PacketFilter控制的能力。封包过滤型控制方式最大的好处是效率高,但却有几个严重缺点:管理复杂,无法对连线作完全的控制,规则设置的先后顺序会严重影响结果,不易维护以及记录功能少。

封包检验型:封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版,目的是增加封包过滤型的安全性,增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包,不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全,但其相对效能也越低。

封包检验型防火墙在检查不完全的情况下,可能会造成问题。被公布的有关Firewall-1的FastModeTCPFragment的安全弱点就是其中一例。这个为了增加效能的设计反而成了安全弱点。

应用层闸通道型:应用层闸通道型的防火墙采用将连线动作拦截,由一个特殊的程序来处理两端间的连线的方式,并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作,而不会被client端或server端欺骗,在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的程序,或用一个一般用途的程序来处理大部分连线。这种运作方式是最安全的方式,但也是效能最低的一种方式。

防火墙是为保护安全性而设计的,安全应是其主要考虑。因此,与其一味地要求效能,不如去思考如何在不影响效能的情况下提供最大的安全保护。

二、加密技术

信息交换加密技术分为两类:即对称加密和非对称加密。

1、对称加密技术。在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。

2、非对称加密/公开密钥加密。在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

三、PKI技术

PKI(PublieKeyInfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。

1、认证机构。CA(CertificationAuthorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。

2、注册机构。RA(RegistrationAuthorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。

3、密钥备份和恢复。为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

4、证书管理与撤消系统。证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。

篇2

关键词:3G网络;网络

中图分类号:TP393文献标识码:A文章编号:1007-9599 (2011) 03-0000-01

Analysis of 3G Network Security System

Zhang Kewei

(Baoding Branch of China Tietong,Baoding071000,China)

Abstract:With the continuous progress of the times,the rapid development of 3G networks has become a sign of the times,and we are eager to solve the problems and concerns is the security of 3G networks.This article on the current status of 3G network security analysis,and the 3G network problems and loopholes to be discussed,thereby enhancing the safety factor of the network to ensure the safe use of the user.

Keywords:3G networks;Network

安全体系的不断发展,网络的不断升级,3G网络系统已趋于全球化。如今的信息传输不仅可以通过全开放的无线链路,也可以通过全球有线网络进行传输信息。在多种信息服务于我们的同时,相应的网络安全性就成为我们关注的焦点,网络的安全性将会严重阻碍3G的未来发展空间。

一、3G第三代移动通信技术

3G第三代移动通信技术,指的是支持高速数据传输的蜂窝移动通讯技术。它可以在传送声音的时候同步传送邮件等数据信息。其特点是提供数据业务的速度。3G的安全技术是建立在GSM网络安全基础上的,这一技术不但在安全功能上给予了大幅度提升,而且还克服了GSM的一些安全隐患,给用户提供了更稳定的平台,并受到用户的极大欢迎,它将无线通信技术与因特网技术有机的融合在一起,并引入了因特网中的加密技术,给3G的业务拓展带来了极大的发展空间。

二、3G的安全漏洞3G网络的安全性虽然得到了大幅度的提升,但是随着网络技术的不断革新,3G网络的漏洞也相形见影

(一)通过非法手段获取敏感数据以及保密信息 攻击者通过伪装成为合法的身份切入用户网络,在用户不知情的情况下对用户进行侦听,获取有价值信息,并进行非法活动,只是用户经济以及其他方面的损失。

(二)干扰网络服务攻击者通过非法手段获取用户的使用特权,获取一些非授权信息,并通过非法手段对于网络系统以及服务器进行干扰,滥用系统中的服务功能,已达到为其获取利益的目的。

(三)服务的非法访问这一攻击主要包括两个方面:一是攻击者伪装成网络和用户实体,非法窃入访问系统服务器,盗用访问权限,获取非法服务。

三、3G安全技术分析

(一)2G网络的接入都采用无线信道,因此极易受到攻击,移动台到无线网络接入这一部分是移动通信系统的关键,在进入到3G系统时,对于接入控制的安全性给予了加强,同时有兼顾到了与GSM的兼容性。3G与GSM的相似之处在于,用户接入网的安全依靠于USIM(物理和逻辑上均独立的智能卡)设备。

(二)3GPP在发展的初期与移动通信系统第二代一样,都对核心网的安全技术未定义。核心网的安全性随着网络的进步、发展在全球的普遍应用,越来越成为人们关注的焦点。在今后网络发展的道路上,它也将会列入到3GPP标准化规定中。当前,3G核心网住处于一种向IP网过渡的一个时期,所以IP网所存在的一些问题核心网也必然会面对。因此,在3G网中因特网的安全技术也发挥了非常重要的作用。移动无线因特网为3GPP定义一个统一的结构。

(三)在3G系统中,保障应用层的安全性,除要提供传统的话音通话业务外,3G发展的热点将致力于电子商务、电子贸易、网络服务等新型业务。业务圈的不断扩大,使得3G的网络安全性越来越成为人们关注的重点。可以通过SIM应用工具包来达到完成端到端的安全和数字化签名认证。它也为SIM/USIM和网络SIM应用工具提供商之间建立一条安全纽带。

(四)代码安全。与第二代移动通信系统相比较,第三代移动通信系统定义的标准化工具包可以用来实现各种服务(比如3GPP TS 23.057定义的MexE),而第二代移动通信系统就是固定标准化的服务模式。MExE的安全保护机制虽然是相对有限的,但是它可以提供下载手机终端的一系列的服务(比如下载新功能、新业务等)。

(五)个人无线网络安全3G终端的硬件设备形式多样,其中包括手机电话、PDA、电子钱包以及一些共享设备等,他们也可以通过设备自带的蓝牙技术组建局域网,允许各终端设备的自由加入和退出,因此,局域网内的安全也成为了我们值得关注的焦点。

四、3G系统中安全特性的优缺点

(一)相对于2G网络系统而言,3G系统在以下几个方面上有优于2G系统:双向鉴权认证:是指MS与基站之间的互相认证,既防止了一些为基站的攻击伤害,同时也可以及时避免了一些不良现象。为接入链路信令数据的完整性上提供了保护。增加了密钥的长度,对算法也进行了改进。3GPP接入链路数据加密延伸至无线接入控制器RNS。为了使将来在新业务上提供安全保护措施,3G的安全机制还具有可拓展性,可以对自己的安全模式、级别等随时查看具有安全可视性的功能。

(二)与2G相比在密钥的长度和算法的选定上还有鉴别机制和数据完整性检验等一系列的问题上3G要远远超越于2G。但依然存在着缺陷:公钥密码提职尚没有建立,用户签名认证难以实现。然而随着移动存储器容量的不断增大,无线带宽增容,以及CUP处理能力也在不断提升,这也迫使要建立无线公钥设施。3G中密码学的最新研究成果也并未得到发挥。而在密钥产生机制和认证协议上也有一定的安全性问题。

五、结束语

3G系统的逐步发展,给信息革命带来新的要求,随之也有许多的弊端出现,因此,更好的建设3G网络,需要我们认清目前3G网络的现状,以及存在问题,寻找更好的方法与手段予以解决。随着网络飞速的发展,3G在未来还有很大的发展空间,所以研究3G网络系统的安全任重而道远。

参考文献:

篇3

关键词:网络安全体系;信息加密技术;防火墙技术

中图分类号:TP309 文献标识码:A 文章编号:1672-7800(2013)005-0137-02

0、引言

互联网的迅猛发展和广泛应用推进了数据信息在全球范围的共享,人们通过客户端即可搜索和获取所需信息,并通过计算机技术上传。公共通信网络具备丰富的传输和存储功能,在为人们提供有效信息的同时也增添了信息泄露的风险,存在不法分子利用通信平台来毁坏或窃听相关信息,使得个人和隐秘信息遭遇泄露,造成财产或文化上的种种损失。政府、银行等事业单位系统对数据安全的要求极高,一旦传输和存储过程出现问题即会引发重大的信息泄露隐患,将客户或部门信息置于危险的边缘,所以构建敏感系统和部门的网络安全体系至关重要。数据信息安全问题并不是阻止人们使用互联网的原因,为了正确看待网络的利与弊,需要在资源利用和效率提高上深入分析,进一步研发更科学、有效的安全系统。在网络信息化过程中缩短服务端和用户端之间的距离,使得全球用户能够随时随地获取自己所需的资源和信息。网络信息系统在早期建设过程中并未考虑用户的身份和目的,所以埋下了一定的安全隐患,而现阶段只有真正意识到问题的重要性并投入研究和设计才能解决用户安全问题,不断提高人们对互联网技术的信心。

1、网络安全特征与网络安全体系结构

计算机网络安全特征众多,为用户安全设置了多层保障。最基本的真实性、保密性是技术运用的基础,除授权用户外其他人不能接触到相关信息。可用性和可靠性是实行保密性的前提,可控性和不可否认性是为网络使用的后续工作提供借鉴和属性,七项网络主要安全特征决定了其安全体系结构的好坏。

真实性要求使用网络的用户身份得到确认,网络并不会单纯相信用户口头或单方面的身份承认,因为要考虑到冒充和鉴别问题,所以真实性要重点致力于用户实体身份的确定。完整性要求用户在未授权的情况下不能修改、删除、破坏网络信息,进一步保证信息的安全性和正确性,这提高了网络系统的警惕度,当出现人为攻击、设备故障、误码等情况时能及时阻止和调整过来。对可靠性的定义更多是从规定范围出发,指在一定条件或时间下实现某类功能达到的程度,网络信息系统稳定运行和投入建设都需要极强的可靠性才能实现。被授权实体或用户在拥有访问需求时会选择所需功能或模块,可用性决定了用户能否实现自身需求的机会,在安全性上也有所保障,满足用户在时间、实体等方面的要求。为了有效判断实用性,一般对比工作时间和系统正常使用时间的差值,以便做出准确判断。不可否认性是指用户与用户之间如果参与了信息交互活动,那么要对参与者信任并配合,保证彼此的真实统一性,不能对完成的操作或承诺做出否认,而为了防止一方用户抵赖的事情发生,可以将所持证据和信息保存传输给终端,帮助解决纠葛,而现阶段常用数字签名技术来予以保护。可控性重点把握控制范围,将不良内容或信息阻止在外,保证和控制公共网络的清洁度、科学性。

计算机网络安全体系结构侧重功能的实现与服务的安排,使得安全机制和安全服务符合相关法律法规,同时能真正提供有效数据信息和维护用户信息安全。系统安全元素是组成整个系统的根基之一,所以不但要保证各个元素的实现,还要联系和维护好元素之间的关系。无论是国家公众信息网还是企业内外联网,都需要一个完善的安全机制来提供服务,安全机制和安全服务之间已经搭建起了稳定的桥梁,两者相辅相成、相得益彰。安全服务能够有效地处理数据及数据传输问题,要利用信息网络来保证安全性。安全功能汇总起来即为安全服务,底层协议会保证安全服务的如序进行,对进入系统的信息实施屏蔽活动,让安全体系稳定运行,而这个过程实现了五类安全服务,以数据保密、认证、访问控制等服务为主。安全管理并不是单纯从安全或管理角度出发,而是两者的综合体,实现安全的管理和管理的安全并重,为用户提供分配密钥参数及认证服务,针对有激活加密要求的客户进行相关介绍和配合,而为了保证管理的安全,要从系统和信息两方面出发,真正意义上打造可靠的计算机网络安全体系结构。

2、网络安全体系的三维结构

设计出合理的网络安全体系框架才能实现用户和终端需求的安全需求。网络安全主要是指软件或系统数据的安全问题,网络安全结构的构建并不是从体系或功能上就能实现的,而需要从安全服务、实体单元、协议层次3个方面共同完成。图1所示的计算机网络安全体系三维结构模式很清晰地罗列出了三者及其分支项目的关系,以进一步巩固安全体系。

(1)国际标准组织早期推出的一款安全体系结构模型就罗列了安全服务平面这一项,而安全服务一项在认证、抗抵赖的基础上增加了可用性。应用环境会在用户动态要求或市场变化中发生变化,而这种变化会直接导致安全服务需求的改变。但是考虑到安全服务之间的依赖性,所以完全独立和依赖的情况都不可能出现,当出现特殊情况时不同安全服务之间会根据具体要求进行组合,保证最终提供的服务能满足终端和用户的双层要求。

(2)网络通讯协议为协议层次平面提供了分层基础,分层的安全管理主要从物理层、网络层、应用层等方面出发,形成环环相扣的联系和服务。虽然提供的安全服务不同,可因为各项之间的依赖性而彼此存在着。

(3)实体安全单元管理从应用系统、计算机系统、计算机网络三方面出发来设计和执行。基本单元的分层为安全技术和系统运行提供了有效条件,使其成为三维结构中的基础工程。

(4)安全管理包括安全服务和安全机制、协议层次三方面,但它并不处于正常通信的范围内,而是一类为正常通信业务提供安全索引和保障的服务。执行安全机制或平面管理都需要依靠安全管理展开活动,保证整个网络信息系统的有序运行。

计算机网络安全体系三维结构模型依靠三个平面来形成稳固的结构。为了提供最科学、有效的用户身份验证服务,客户会选择随意的3个坐标来表明自身身份,这项服务在初始进入网络系统时就会出现,用户直接输入用户名和用户口令,验证正确后就能顺利进入下一个界面。网络层会提供计算机系统有效的身份验证服务,使得用户端和服务端能形成良好的互动和契合,使得对IP地址的认证变得更加简单便捷。对防火墙系统的应用通常会采取访问控制模式,使得计算机网络系统授权范围安全可靠。

3、网络安全体系构建

3.1 加强访问控制策略

访问控制是为用户和终端做出的强制,旨在进一步防范不良信息的侵入,这种保护措施从源头就掐断了危险,防止非法访问对网络系统或用户造成伤害。访问控制的目的是为了构建起一层网络系统安全屏障,被授权用户拥有自己的账号和口令,以此作为鉴别授权和非授权用户之间区别的标志,网络访问权限将无访问权的用户排除在外,针对设备、目录、文件都会设置不同的访问空间,而并非全部开放给用户。通过加强访问控制策略来保护网络资源,对互联网的长期、稳定发展都是有益的,不断从内部防御上寻找方法,形成有效的验证和甄别功能。

3.2 信息加密技术

对网络安全体系的构建不仅要从策略上加强,还需要开发出具有强大功能的信息加密技术,真正意义上做到对有效网络资源的保护。为了解决非法用户截取、删除、修改、打乱网络数据的问题,应该使用密码、口令、文件的形式来设置屏障,而信息加密技术正是为了阻止传输过程中的不法行为,经常使用节点、端点、链路3种加密方式来提升网络系统可靠性。信息数据的安全性尤为重要,所以从资源上进行保护是首要选择。windows XP系统是微软公司重点推出的一款产品,它在信息加密上的作用十分显著,一旦出现非法截获的情况,信息传输并未完全受到非法影响,此时解密规则会建立起相应的保护屏障,非法截获者在无解密规则的前提下无法对传输的任何信息实施不良的措施,通过信息加密技术来保障计算机网络安全无疑是一种科学、有效的方式。

3.3 病毒防范体系

为了解决系统漏洞问题,建立起相应的病毒防范系统很有必要,预防信息泄露、系统崩溃的情况出现。现阶段网络技术快速发展,病毒侵入的概率也越来越大,为研究和开发专门针对病毒的检测软件提供了巨大的空间。网络系统中的病毒防范体系涉及多方面的工作,最基本的功能包括病毒的预防、清理和查杀,还需要定时或不定时地检测和修补漏洞,降低和组织病毒入侵系统的概率。针对病毒库的管理也不是单纯检测或修补可以完成的,还应该不断更新换代,以便提高对新型病毒的防御能力,同时能快速地处理好顽固病毒,以免出现二次传播的情况,构建病毒防范体系无疑对提高系统安全性有重要作用。

3.4 防火墙技术

防火墙是一类解决不同区域网络保护问题的技术,通过屏蔽路由器、服务器来形成一道关卡,使得本地和外地网络能抵抗非法访问和控制。防火墙和包过滤防火墙最为常见,在企业网络安全体系中应用广泛,而双穴防火墙较少使用。包过滤防火墙的优点在于能有效地对网络信息流进行调配,缺点是不具备内容检查功能。防火墙则具备了良好的内容检查功能,因此将两种防火墙技术结合起来能很好地保护企业计算机网络系统。

3.5 建立安全实时防御和恢复系统

计算机系统附带的检测系统漏洞、查杀病毒功能并不能完全将所有病毒阻挡在外,目前病毒更新的速度极快,无疑增加了系统被病毒侵入的风险。网络资源作为一个对多数用户开放的空间,要完全做到保密是不切实际的,而为了提高网络系统安全性,建立安全实时防御和恢复系统很有必要,使系统在意外遭受病毒侵害时能最快速、有效地恢复传输信息和数据,降低系统侵入损失程度。首先要建立安全反映机制,使得系统第一时间接收入侵部分信息,通过入侵检测机制和安全检测预警机制来构建预防系统,继而发挥安全恢复机制的作用,保证信息恢复的速度和质量。

篇4

关键词:银行网络 网络安全 防火墙 安全体系

新世纪以现代信息技术为代表的高新技术迅猛发展,将彻底改变人类的生活方式,促使金融行业产生根本性的变革。特别是在我国加入世贸组织、金融业务全面开放后,国内外同行业的竞争将更加激烈。面对科技的不断发展和金融的日益全球化,建立一个安全、高效的计算机网络是当前亟待解决的重要课题。

1 银行计算机网络面临的安全威胁

银行计算机网络系统的安全问题一般来说,计算机网络安全包括物理安全和逻辑安全两大部分[1]。物理安全指的是网络系统设备及相关设施受到物理保护,免于被破坏、被丢失等。逻辑安全包括信息完整性、保密性和可用性。银行网络安全的威胁主要是来自于网络传送过程、网络服务过程、企业内部病毒传输及软件应用过程中的威胁[2]。

2 银行网络安全体系设计

为了构筑银行网络安全体系,将银行网络安全体系的构建分布到广域网、局域网、外联网等处,不同的功能区域设置不同的安全防范体系。

2.1 广域网安全 广域网部分网络安全重点关注是网络自身安全及数据传送安全,广域网的设计可靠性及安全性主要涉及的网络协议层次及以下。解决网络设备安全、组网安全及数据传送安全是提高广域网安全性的有效方式。①设备安全。主要通过路由器的ISPKeeper功能流量的检测、分析及流量处理等方式来预防流量攻击。②组网安全。通过OSPF+BGP的路由方案,BGP在自身功能的管理和控制上比较严格,使得数据重心和各一、二级网点局域网络的路由到广域网时严格受控。③数据传送安全。通过IPSec技术进行数据加密,加密操作通常通过主机或网络两端来进行,中间网络数据传输透明化。如有必要也可对个别线路进行IPSec加密。

2.2 局域网安全 银行各网点局域网实现的功能较多,设计复杂,包括多个网络模块,网络安全的构建大致涵盖了核心交换区、服务器群、大前置机处理中心区等,针对各功能区特点使用与之对应的安全措施。①银行网络核心交换区。局域网的核心是银行中心机房。局域网的路由处理、数据高速转发和流量交换全部通过中心机房来完成,该部分的安全处理并不复杂,设备安全是重点。操作过程中,可以在核心交换设备上利用端口镜像功能,把符合条件的流量镜像到流量分析设备上,进行更高级别的网络流量分析,如有安全隐患,可及时对网络规划进行调整。②银行网络服务器群。中心机房关系整个局域网的安全运行,此区域集中了很多服务器,应该严格控制用户对该中心机房区域的访问行为。如有需要,可将防火墙设在核心交换机与服务器换机之间。以服务器的功能特点为依据划分为不同功能类别的VLAN,功能相同的服务器与同一VLAN连接,按要求对用户的访问行为严加控制。③处理中心区、开发环境区、测试环境区及监控中心区。这几部分虽然各自的功能不同,但是安全设计的重点都是对接入用户/主机的管理。在此类区域中,先以该区域内用户/主机的功能和访问权限为依据划分VLAN,在终结VLAN的三层交换机上,利用ACL对各VLAN之间互访以及VLAN访问其它网络资源的权限进行控制。

2.3 外联网络 该区域的安全设计重点是防范来自外部的攻击。主要采用在机构/Internet接入路由器的后面设置防火墙的方式。部署防火墙时,基于安全因素的考虑,必须应遵循几个基本原则:一是最小授权,只有必要的流量,才能被授权通过防火墙;二是高度容错,即使防火墙出现问题,也不能降低内部系统的安全程度;三是深度防御,虽然系统已有防火墙的相关配置,内部网络仍有必要采用独立于防火墙的安全措施。

3 服务器安全及计算机病毒防治

3.1 服务器系统安全 为了确保服务器系统的安全使用性能,笔者建议使用安全扫描软件,定期扫描比较重要的主机系统及网络,从而找出网络弱点以及策略配置方面的缺陷。根据扫描结果,及时更新操作系统补丁,进行病毒查杀,更新安全策略。

3.2 计算机病毒防治 蠕虫病毒通过大量繁殖,以主机为点、通过网络构成面的计算机自我复制机制对现有网络展开了大规模的网络流量攻击,所以在网络技术上防止蠕虫病毒,可以从设备选择及组网技术两个方面进行考虑。为防止病毒攻击引起的局域网络瘫痪,很多情况下是与交换机的交换方式相关的,如很多中低端交换机甚至一些主流厂商早期的高端交换机都采用了流交换方式,当网络感染蠕虫病毒后,病毒不断变化IP发起网络流量攻击,导致网络中的流不断更新,流数目迅速增长,超出交换机能处理的流数目,交换机转而将报文交给CPU处理,由于交换机的CPU处理能力低,最终造成设备瘫痪。因此建议采用支持逐包转发模式的交换机,尤其是在高端。

4 结束语

构建完全彻底的安全网络只是一个神话,安全只是相对而言,安全保护是一个有始有终的过程,不断的分析、计划、实施和维护,以最具有成本——效益的方式降低风险,时刻提高警惕,保持系统稳固。

参考文献:

[1]吴蓓,刘海光.银行网络安全管理体系构建路径探讨.电脑知识与技术,2010-07-25.

[2]董会敏.银行网络信息安全的实现.华东师范大学,2011-05-01.

[3]张明贤.当前银行网络安全的主要威胁及防范策略探析.科技与企业,2011-12-22.

篇5

[关键词]网络安全 管理流程 安全体系框架 安全防护策略

中图分类号:TP 文献标识码:A 文章编号:1009-914X(2017)01-0394-01

企业在网络安全方面的整体需求涵盖基础网络、系统运行和信息内容安全、运行维护的多个方面,包括物理安全、网络安全、主机安全、应用安全、网站安全、应急管理、数据安全及备份恢复等内容,这些方方面面的安全需求,也就要求企业要有一流的安全队伍、合理的安全体系框架以及切实可行的安全防护策略。

一、强化安全队伍建设和管理要求

企业要做好、做优网络安全工作,首先要面临的就是组织机构和人才队伍建设问题,因此,专门的网络安全组织机构对每个企业来讲都是必不可少的。在此基础上,企业要结合每季度或者每月的网络安全演练、安全检查等工作成果和反馈意见,持续加强网络安全管理队伍建设,细化安全管理员和系统管理员的安全责任,进一步明确具体的分工安排及责任人,形成清晰的权责体系。同时,在企业网络自查工作部署上,也要形成正式的检查结果反馈意见,并在网络安全工作会议上明确检查的形式、流程及相关的文件和工作记录安排,做到分工明确、责任到人,做到规范化、流程化、痕迹化管理,形成规范的检查过程和完整的工作记录,从而完成管理流程和要求的塑造,为企业后续的网络安全工作提供强劲、持久的源动力和执行力。

二、搭建科学合理的安全体系框架

一般来讲,我国有不少企业的网络安全架构是以策略为核心,以管理体系、技术体系和运维体系共同支撑的一个框架,其较为明显的特点是:上下贯通、前后协同、分级分域、动态管理、积极预防。

上下贯通,就是要求企业整个网络安全工作的引领与落实贯通一致,即企业整体的网络安全方针和策略要在实际的工作中得到贯彻实施;前后协同,就是要求企业得网络安全组织机构和人员,要积极总结实际的工作经验和成果,结合企业当前的网络安全态势,最新的国际、国内安全形势变化,每年对企业的网络安全方针和策略进行不断的修正,达到前后协同的效果。分级分域,就是要求企业要结合自身的网络拓扑架构、各个业务系统及办公系统的安全需求、企业存储及使用的相关数据重要程度、各个系统及服务的使用人员等情况,明确划分每个员工的系统权限、网络权限,对使用人员进行分级管理,并对相关网络及安全设备、服务器等进行分区域管理,针对不同区域的设备设定不同的安全级别。

动态管理,就是要求企业的整体安全策略和方针、每个阶段的安全计划和工作内容,都要紧密跟踪自身的信息化发展变化情况,并要在国内突发或重大安全事件的引导下,适时调整、完善和创新安全管理模式和要求,持续提升、改进和强化技术防护手段,保证网络安全水平与企业的信息化发展水平相适应,与国内的信息安全形势相契合;积极预防就是要求企业在业务系统的开发全过程,包括可研分析、经济效益分析、安全分析、系统规划设计、开工实施、上线运行、维护保障等多个环节上要抱有主动的态度,采取积极的防护措施,不要等到问题发生了再去想对策、想办法,要尽可能的提前评估潜在的安全隐患,并着手落实各种预防性措施,并运用多种监控工具和手段,定期感知企业的网络安全状态,提升网络安全事故的预警能力和应急处置能力。

三、落实切实可行的安全防护策略

在安全策略方面,企业的安全防护策略制定思路可以概括为:依据国家网络安全战略的方针政策、法律法规、制度,按照相关行业标准规范要求,结合自身的安全环境和信息化发展战略,契合最新的安全形势和安全事件,从总体方针和分项策略两个方面进行制定并完善网络安全策略体系,并在后续的工作中,以总方针为指导,逐步建立覆盖网络安全各个环节的网络安全分项策略,作为各项网络安全工作的开展、建立目标和原则。

在网络安全管理体系方面,企业要将上述安全策略、方针所涉及的相关细化目标、步骤、环节形成具体可行的企业管理制度,以制度的形势固化下来,并强化对相关企业领导、安全机构管理人员、业务办公人员的安全形势和常识培训,提高企业从上至下的安全防护能力和安全水平;在运维管理体系建设方面,企业要对每个运维操作进行实时化监控,在不借助第三方监控工具如堡垒机的条件下,要由专人进行监管,以防止运维操作带来的安全隐患,同时,企业也要阶段性的对各个网络设备、业务系统、安全设备等进行安全评估,分析存在的安全漏洞或隐患,制定合理的解决措施,从而形成日常安全运维、定期安全评估、季度安全分析等流程化管理要求和思路。

在技术防护体系建设方面,企业可以参照PPDRR模型,通过“策略、防护、检测、响应、恢复”这五个环节,不断进行技术策略及体系的修正,从而搭建一套纵向关联、横向支撑的架构体系,完成对主机安全、终端安全、应用安全、网络安全、物理安全等各个层面的覆盖,实现技术体系的完整性和完备性。企业常用的技术防护体系建设可以从以下几个方面考虑:

(1)区域边界防护策略:企业可以考虑在各个区域的边界、互联网或者局域网出口部署下一代防火墙、入侵检测与防御设备(如果条件合适,可以考虑选择入侵防御设备)、上网行为管理、防病毒网关等网络安全新技术和新设备,从而对互联网出口或者重要区域边界进行全面的防护,提高内网出入接口的安全保障水平。此外,针对有企业生产网的情况,要对生产网与内网进行物理隔离,并对接入生产网的各种终端设备进行防病毒查收、报备,防止影响生产安全的各种事件发生,保障企业的财产安全。

篇6

1.1网络信息安全隐患

由于互联网具有开放性特征,受不规范的资源共享行为、网络自身漏洞等因素影响,其客观存在一定的安全风险,常见问题包括网络信息遭受非正常授权使用、资源共享无法精准控制共享范围、无法有效管理U盘、移动硬盘等存储设备以及网络安全技术防护措施缺失等问题。

1.2网络信息使用人员安全意识不足

虽然近几年计算机技术得到了较为广泛的应用,但部分操作人员仍不具备相应的网络信息安全使用意识,从而导致各种类型的网络安全问题,具体包括:忽略安全口令作用,对于必要的安全防护漠不关心;计算机未安装软件防火墙和相关杀毒软件;系统补丁更新不及时等。

1.3网络安全管理缺失

就目前企业网络信息管理而言,普遍缺乏对于信息安全的规范化管理,多数企业不具备相应系统、完整、有效的安全管理制度及管理流程。并且,企业缺乏有效的实时网络信息安全监控手段,对于网络信息安全隐患,不能满足及时发现和消除的管理要求。

1.4网络恶意攻击行为

现代社会逐渐趋向于向信息化方向发展,就企业网络信息而言,普遍蕴含着巨大的商业价值和经济价值。在经济利益的诱导下,网络上存在部分非法分子,使用恶意攻击性软件,窃取、损坏或篡改目标计算机信息,以获取不正当的利益,这种恶意攻击行为严重威胁着网络信息的安全。并且随着信息技术的发展,网络攻擊逐渐从单一性向多样性发展,相应增加了网络信息安全保护的难度。

2、企业计算机网络信息安全体系的构建

2.1划分不同安全级别的安全域

划分不同安全级别的安全域,建立安全边界防护,设置不同的安全访问控制策略,防止恶意攻击和非法访问。整个网络的纵向通过防火墙来实现服务器安全域与终端设备安全域的划分;在服务器与终端设备的安全域边界部署防火墙、入侵检测和防病毒墙等安全产品;通过防火墙,访问用户终端、被访问的服务器及应用端口的控制、入侵检测设备对访问行为的检测及网络安全设备(如,防火墙、网络设备)的联动、防毒墙对传输中病毒过滤来加强服务器的保护,减少通过终端设备域给服务器域带来的攻击、病毒传递扩散等安全影响;整个网络的横向通过网络设备的VLAN来实现服务器间和终端设备间不同安全级别的划分,并通过网络设备的ACL控制技术来实现不同级别的服务器安全域和不同级别终端设备安全域间的控制,降低不同安全域间的相互影响,保证各自安全域的安全。

2.2以企业计算机网络中关键业务应用系统及重要数据保护为核心

加强用户访问服务器的合法性,统一合法用户和规范授权访问,确保重要信息不被非授权访问,保证关键业务应用系统及重要数据的信息安全。应用系统及数据的运行安全,可将应用服务与数据库分开部署,数据采取统一集中存储,统一备份的方式;重要数据采取在线(通过应用系统自身的备份机制,定期进行数据备份)、近线(通过备份软件工具定期对应用系统的数据库进行备份)、离线(将备份出来的数据定期写入磁带库中磁带后进行磁带取出存档备份)的三级备份要求。关键业务应用系统需要建立应用系统的自身备份系统,定期开展备份数据恢复测试工作。同时,通过安全NAS等安全产品的部署应用,对关键及重要数据进行加密保存。

2.3建立信息安全管理制度,健全信息管理人员配置

2.3.1计算机设备管理制度。(1)计算机出现重大故障时,应及时向信息管理技术部门报告,不允许私自处理或找非本单位技术人员进行维修及操作;(2)业务部门的计算机开启审核功能,由信息终端维护人员定期导出系统审核日志。

2.3.2信息系统管理制度。(1)信息系统管理及使用权限方案应根据岗位职责明确到人;(2)信息系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;(3)涉及数据整理、故障恢复等操作,须有系统管理上级及相关业务部门授权;(4)系统管理员及一般操作人员调离岗位,应及时注销其代码并生成新的操作员代码;(5)一般操作员不得使用他人帐户进行业务操作。

2.3.3密码与权限管理制度。(1)密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。系统应有检验密码安全强度的设置;(2)密码应设定定期修改设置,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即联系管理人员进行修改,并记录用户名、修改时间、修改人等内容;(3)服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理。

2.4严格控制传播途径

如果是在不使用网络传输的情况下,一定要将传播的途径切断,进而有效地避兔不明U盘或者是程序传输,能够使网络可疑的信息被严格控制在用户系统之外。另外,这种方法也能够避兔硬盘受到感染,确保计算机杀毒处理工作的有效性。

总之,从目前企业网络信息安全中存在的问题入手,构建信息安全体系,具有十分重要的现实意义,需要引起我们的重视。

参考文献:

[1]张文婷.浅谈计算机网络的信息安全体系结构[J].东方企业文化,2012,20:207.

[2]刘智能.浅谈构建计算机网络安全的管理体系[J].电脑知识与技术,2013,29:6517-6518.

[3]尉韬.计算机网络信息安全和防护体系构建[J].数码世界,2015,09:35-36.

篇7

【关键词】动态自治 网络安全管理

计算机技术的不断更新带动了网络的发展壮大,如今社会各行各业都和网络接轨,带来了信息通讯的极大便利,也带来了相当严重的安全隐患。利用计算机和网络实施犯罪的行为不断增多,给个人乃至集体都造成了重大的损失。在当前的网络安全管理体系下,只能在某种程度上解决一些常见的网络防御问题,对一些有针对性的问题甚至攻击,还难以应对。本文所阐述的构建动态自治的网络安全管理体系,是一种可以满足了全网安全要求并且具有动态的可变化的特点的全新体系,可针对实际情况进行有效的应对,将网络信息进行集中管理,保证能够及时响应并处理安全管理事件。

1 动态自治网络安全管理体系的定义

动态自治网络安全管理体系的实质就是构建一种动态的,能够灵活自主应对安全问题的网络。它之所以具有动态性是因为当该体系接入网络系统后,能够自动变为整个网络的一部分。它的安全管理系统是将处于同一个网络管理系统管理下的所有安全设备和节点集合起来统一管理。制定一致的策略以保证所有设备都能够遵循并实施。动态自治网络只是一个相对的概念,它的动态性是相对于整个网络来说的,而它的自治性体现在整个系统的设备和节点与网络安全管理系统相互联系并一起构成了一个可控的网络。

2 构建动态自治的网络安全管理的必要性

科学技术的高速发展带动了计算机的普及应用和网络的更新换代,人们的观念也在随之不断变化。因此只是依靠一种单纯的静态网络安全管理系统,已经无法满足要求越来越苛刻的用户们了。从主观方面来说,人们需要一个更加完善的能够进行自治的动态网络安全管理体系,来帮助弥补操作系统的不足以及保护用户的隐私信息。从客观角度来说,目前的网络技术和计算机技术所打下的基础已经达到一定的程度,适合建立起一种动态自治的网络安全管理构架。因此,动态自治的网络安全管理体系应运而生。这种体系与过去的传统网络安全管理系统相比,具有处理问题更加灵活、收集信息更加全面、相对于主操作系统更加独立的诸多特点。它还具有广泛应用性,能够很好地适用于多种不同类型的网络;它的实用价值极高,对于不同用户的各种要求都能达到最大限度的满足;同时它的安全性更有保障,因为它并不是依靠某个单一的软件或独立系统去进行整个网络的安全保障与日常维护。并且当网络安全出现问题时,它会立刻联合主操作电脑,共同实施防御策略。动态自治的网络安全管理体系要比平常的普通网络具有更多的优越性,比如它的动态性主动防御的能力;出现安全问题时,能够快速的调动整个网络的资源,表现出了非凡的联动性和积极的防御性。动态自治的网络安全管理体系还能对内部所得到的信息进行有针对性的分级分层次的保护,真正地实现了独立自主的网络安全体系,不再盲目依赖于任何一种单一的杀毒软件或系统防御。这也是它为何更能满足人们对于实现安全快速和绿色健康网络的要求的原因。

3 影响网络安全管理的因素

(1)一些未经过授权的非法访问,有些甚至会冒充合法用户来进行不正当的访问。未经授权就是超越了自身权限,不正当地读取网络公共信息甚至是私人信息;冒充合法用户则是利用欺骗的手段来获取正当用户的使用权限,进而非法侵害用户自身及他人的权益,进而占用甚至抢夺更多的网络资源,这是一种严重的违法行为。

(2)有目的有计划地对一些数据进行删改甚至破坏,有时会未经系统统一就进行流量分析。删改和破坏数据是以蓄意破坏为目的,将所涉及到的信息进行随意修改和删除,会给用户造成极大的损失;流量分析则是在未经系统授权或者同意的情况下,自行分析观察网络的信息流,从中筛取有用的信息,进而非法获取利益。

(3)网络接入遭到拒绝和病毒木马的恶意侵入。当用户拥有正常访问权,却在访问时未能获取应有的信息资源,一般被称为网络接入遭到拒绝,是用户自己被网络拒绝服务;而病毒木马的恶意侵入是由于黑客的蓄意破坏,人为植入病毒或者木马程序,导致用户的私人信息泄密甚至丢失,整个计算机系统也会因中毒而无法正常工作。

4 动态自治的网络安全管理架构

(1)要从全网全局的宏观角度出发考虑,对整个网络的安全状况进行详细正确的分析评估,进而对现有的网络资源进行有效地整合,这样才能有针对性地实施网络安全防御措施。同时通过制定相对应的响应策略以使网络安全管理系统能够自动地完成对网络内一切设备资源的响应与安全问题的处理。

(2)要以高度的自治方式来保证网络的自主性和开放性,真正实现网络安全管理系统的自我完善。只有当网络系统具有很高的安全性时,才能有效保证任何接入网络的信息和资源都会受到切实的保护。

(3)对实施接入控制的策略进行详细有效的分类管理,既要保证所构建的网络安全管理体系具有自治性和动态性,又要实现全网络的扩展管理,能够保证最大限度地连接网络内的一切设备资源,同时通过管理接入控制的方式来确保网络安全的方法也为增加网络安全管理体系的动态性提供了必要的帮助。

5 动态自治的网络安全管理体系的基本模型

建立动态自治的网络安全管理模型是为了保证所有接入网络的设备和资源的安全性,用户在接入网络的过程中,其信息和资源能够得到一定的安全保证。通过使用类似的系统模型,规避接入网络的过程中可能带来的风险,进一步确保整体网络的安全可靠性。常见的网络安全管理模型是一个动态的自治的网络,它是多种不同的网络产品的集合体,通过内部协议以相互协调,共同构成虚拟的网络环境。尽管内部成分复杂,但也要对其自身的安全策略和安全分析进行统一管理。同时,从全局宏观角度出发,为了使网络内的相关设备能够实现统一管理,统一配置,就要通过自治来使得网络按照既定的策略进行工作。自治还包括网络应急预案和紧急响应处理。经过以上的一系列的管理流程,对整个网络内的资源设备进行统一配置,最终使网络系统的安全性大大提高。然后在保证安全性的基础上,对网络内的安全设备和相关系统进行集中管理。这是为了在配置相关安全节点的参数时,能够使资源的利用率达到最大,同时也有利于网络自身的更新配置,以达到动态的管理模式。另外,网络中的应急响应流程应该具有一致性,它主要是指网络中的安全事故处理流程要与响应程序的流程一致,以保证处理问题的及时性和有效性。

动态自治的网络安全管理体系模型还要满足以下三个方面的要求:

(1)网络体系要具备高度的扩展性,建立网络架构以保证能对各种安全资源进行统一的管理。要及时了解市场上最新的安全技术和设备,在建立时为其保留相应的接口。这样有利于网络自身的更新配置,进一步保证网络的实时性。

(2)网络体系应具有高度的可控性,建立网络架构不仅要对接入网络内的所有设备进行统一配置,同时还要具有信息收集和资源优化的能力。对于网络中安全设备在运行过程中产生的一系列的配置信息及安全信息等数据,要及时保存并进行分析。这样也有利于用户全面地掌握网络体系的安全状况。

(3)网络体系应拥有良好的操作性,保证网络在其应用的范围内,实现相关设备的安全维护和配置的综合管理。系统的动态自治安全管理模型可以分成状态监控、系统管理、策略管理等三个部分。其中策略管理以及系统管理主要是作为系统的支持部分,状态监控作为了应用系统的部分 。

6 总结

随着科学技术的发展和计算机的普及,互联网技术已经融入了千家万户。随之产生的网络安全和信息保护等问题越来越受到人们的重视。动态自治的网络安全管理体系作为一种新的网络安全管理技术,其动态自治的网络安全管理方式能够从全局角度出发,对整个网络进行分析和评估,有效地管理网络,将安全风险降低至最小,确保用户的信息和数据能够得到更好的保护。动态自治的网络安全管理系统重点用于信息数据的处理,通过对动态控制机制的接入,安全策略重新的部署和响应,使系统有效地避免了更多的风险。

参考文献

[1]吴多万.动态自治的网络安全管理架构论析[J].计算机光盘软件与应用.2012,(6).

[2]胡琳.基于动态自治的网络安全管理架构论析[J].煤炭技术.2013,(10).

[3]周毅超.动态自治的网络安全管理构架论析[J].科学与财富.2011,(9).

[4]刘兰.一种动态自治的网络安全管理架构[J].广东技术师范学院学报.2010,(3).

篇8

[关键词]数据库 中间层 应用层 三层架构

中图分类号:X936 文献标识码:A 文章编号:1009-914X(2016)17-0299-01

笔者从事计算机十多年的教学,又参与了软件Java与的开发及应用。在这里,我想针对网络安全监察维护模式,由浅入深地谈谈应该如何建立良好的信息系统体系结构模式。

一、认识信息系统体系结构的重大意义

首先,我们必须清楚地认识到良好的信息系统体系结构对于网络安全监察维护模式的意义重大。如果我们有一个良好的信息系统体系结构,我们完全可以抵御或者减少病毒入侵,如网页挂马等。

阅读计算机之类的报刊、杂志,我们总有一些不解,什么是中间层,什么是接口,什么是修改参数,什么是模拟仿真,那么我以Java程序或程序为例进行阐述。

Java程序和程序,我认为是目前最好的系统程序,因为它们有一种很好的思想值得我们去学习,去采纳。作为一名学者,不能只是一味地去学习、接纳别人的东西,而是要理解事物的本质,所谓必定要透过事物的表象去看清里面的内涵,与实质,不能一味地去抄袭或者盗窃他人的原代码之类的东西。这样做,既无科学道德,也无太多的实际价值,同时也不能在专业术语、英文字母上徘徊不前,大道理小道理地讲,又有什么用。

二、程序三层架构思想

Java程序和程序,基本的三层架构思想,这给我们的信息体系结构带来不少的冲击。数据结构体系的基本三层模式(图1):

当然你可以在信息体系结构的基本三层的基础上发展五六层、七八层都可以,但是我们要知道是上一层调用下一层的命令。应用层,就是我们常说的界面、窗口;数据库层,就是我们大量信息储存的地方;中间层,就是在应用层需要数据库时,依靠中间层进行层层转运,即应用层程序先调用中间层命令,由中间层程序再调用数据库层里的文件信息。这里要注意的问题是,应用层是永远不可能直接调用数据库层的信息。同样,箭头永远不可能反过来,也就是说数据库层不可能去调用中间层或应用层的程序,他们是独立、有序的。这样就做到了信息体系结构的良性循环。所谓“君是君,臣是臣,哪里是主语,哪里是谓语”。

说到这里,有朋友会问,这与我们的“网络安全监察维护”有什么联系。试想,这样一个有序的信息体系结构,如果在每一层都进行打包、封装、加密,甚至工具式的异类化,直接调用,那么病毒怎么进得来,计算机的安全监察与维护技术工作不是变得更加容易!

接着,便存在层与层之间的通信连接问题,这就是我们常阅读报刊杂志上所看见的专业术语“接口”。有读者会问“接口”是个什么层。这里我们首先要清楚地认识到,各层之间的联系,其实就在于各层文件名的命名及其附加参数,还有上一层可以插入下一层的文件名及其附加参数。文件名在本层中,既是一个程序文件的标志,同时对上一层来说,是调用下一层的命令,也就是说上一层只要输入下一层的文件名及其实参,就可以调用下一层的文件。文件名及其附加参数在本层中是一个功能块或者称为过程调用和形参,在调用层则为命令和实参,只有符合条件的参数才可以配合命令去调用下一层的功能块。如此反复,我们便可以在界面上看到了不断更新的数据、动态的网页。不符合条件的实参是不可以配合命令去调用下一层的功能块。举个浅显的例子说下,如果下一层的程序块的内容是10除以多少,条件是有限制的,如不能为0或其他字母,如果输入0或者其他字母,那么程序会马上终止,进入退出状态,不再运行。我们再看下仿真软件,理论上只要修改参数,就知道故障就在哪里,然后通过模拟故障去排除故障,如仿真战机、空中大战、仿真系统维修软件等,它们的故障就是实参输入不合条件,出现故障,导致局部程序无法运行,上一层功能块只有调用其他的功能块才能解决故障问题,使模拟仿真安然进行。仿真软件的设计,使现实事物并不需要出现,也不要去实验,如空中大战,达到理想的训练效果,又节省了人、材、机,同时又避免了环境污染和资源浪费。但是仿真系统与现实社会还是有一定距离,还是有必要去和现实数据进行吻合。我们可以应用这种理论进行网络安全监察维护的仿真检测。

中间层是一个封装的程序,如果需要执行多个命令,就封装多个中间层。各层只要有必要,可以从这个项目中分离开,进入另外一个项目,只要提供一个接口。

程序的工具性异类化。为什么称为程序的工具性异类化?程序包或功能块经过一系列的代码转换命令,完全变成了一个工具,直接拿来用即可,你无须知道它的源代码,更确切地说,你根本不知道,也许永远不知道它的源代码 ,你只是利用这个工具去做你想去做的事情,现代计算机中称工具的专业名称为“对象”。所以工具性程序与普通程序完全不同,有些需要转换代码后才能调用,有些只是通过实参配合命令进行调用,不符合要求的实参根本无法进行调用。那么有人会问,能不能破译“对象”的源代码?所谓“解铃还须系铃人”,破译源代码除了“系铃人”之外,别无他人。那么有人会说木马病毒可以破译,我个人认为,木马病毒只是侵入,无法破译并获得源代码。现代软件加密技术非常强,里三圈外三圈,拦了个水泄不通,木马技术最多也只是个别侵入与替换与复制,除非知道程序的破译方法,一般不可以破译并获得源代码的。

在项目做好后,经过系统软件生成器平台转化成独立代码,直接运行在计算机操作系统中。

这里有两个问题仍需解决,第一个问题是系统软件生成器平台是如何将程序打包并工具化的,第二个问题是不同版本的系统软件之间是如何兼容的。

当我们还常常夸C语言、C++语言源代码开放,功能如何之强大时,其实,我们在程序应用上还是未能解决根本问题。信息系统结构的未来发展趋向,就是进行程序的快速打包封装,快速便捷地进行功能调用,快速地组装并且达到新的适用功能,而并不是程序的源代码如何地强大。软件业的发展必须将程序进行工具性的“异类化”,成为程序的新品种,直接拿过来用即可,我们并不需要其内部的源代码是什么。除此之外,我们要清楚地认识到,有些操作系统具有兼容其他语言的能力,以致我们的系统软件能轻而易举地应用到某些操作系统上。

我们常说要自动化,不仅指硬件的自动化,更是要指软件的自动化。软件要自动化,必须要有独立、有序、反应敏捷的信息体系结构,加上调用封装好的工具性软件,优良的独立接口软件,达到与各种系统软件平台的兼容,同时也使计算安全监察维护技术工作变得相当简单。哪一部分出了问题,我们就维护哪一部分,并不需要从头至尾个个检查。这样,有利于减少工作量,提高工作效率。

三、结语

写到这里,我希望广大软件开发的工作者门,开发出更好的、有利于国人的软件产品,从根本上解决我们计算机网络安全监察与维护的技术工作问题。

参考文献

[1] 尚宇峰.网络可靠性研究[J].2006.12-16

篇9

关键字:企业网络   医院网络   网络安全   网络体系  技术手段

前言:

随着信息技术的高速发展,互联网越来越被人们所重视,从农业到工业再到高科技产业各行各业都在使用互联网参与行业生存与竞争。企业对网络的依存度越来越高,网络在企业中所处的位置也越来越重要,系统中存储着维系企业生存与竞争的重要资产-------企业信息资源。但是,诸多因素威胁着计算机系统的正常运转。如,自然灾害、人员的误操作等,不仅会造成系统信息丢失甚至完全瘫痪,而且会给企业造成无法估量的损失。因此,企业必须有一套完整的安全管理措施,以确保整个计算机网络系统正常、高效、安全地运行。本文就影响医院计算机网络安全的因素、存在的安全隐患及其应对策略三个方面进行了做了论述。

 

一、医院网络安全存在的风险及其原因

1.自然因素:

1.1病毒攻击

   因为医院网络同样也是连接在互联网上的一个网络,所以它不可避免的要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的,而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器,造成机器“罢工“并成为感染添另一方面会大量占用网络带宽,阻塞正常流量,形成拒绝服务攻击。我们清醒地知道,完全避免所有终端上的病毒是不可能的,但要尽量减少病毒爆发造成的损失和恢复时延是完全可能的。但是由于一些工作人员的疏忽,使得医院网络被病毒攻击的频率越来越高,所以病毒的攻击应该引起我们的关注。

1.2软件漏洞

任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下几个方面:

1.2.1、协议漏洞。例如,IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。

1.2.2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。

1.2.3、口令攻击。例如,U nix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令破译方法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。

 

2、人为因素:

2.1操作失误

操作员安全配置不当造成的安全漏洞,用户安全意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少.对网络安全己不构成主要威胁。   

2.2恶意攻击

这是医院计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下.进行截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁,每年企业和网络运营商都要花费大量的人力和物力用于这方而的网络安全防范,因此防范人为的恶意攻击将是医院网络安全工作的重点。

二、构建安全的网络体系结构

1.设计网络安全体系的原则

     1.1、体系的安全性:设计网络安全体系的最终目的是为保护信息与网络系统的安全所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。

     1.2、系统的高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。网络系统的安全体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。

   1.3、体系的可行性:设计网络安全体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只能是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。

1.4、体系的可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由企业来支持,要为此付出一定的代价和开销如果我们付出的代价比从安全体系中获得的利益还要多,那么我们就不该采用这个方案。所以,在设计网络安全体系时,必须考虑企业的业务特点和实际承受能力,没有必要按电信级、银行级标准来设计这四个原则,可以简单的归纳为:安全第一、保障性能、投入合理、考虑发展。

2、网络安全体系的建立

    网络安全体系的定义:网络安全管理体系是一个在网络系统内结合安全

技术与安全管理,以实现系统多层次安全保证的应用体系。

网络系统完整的安全体系

系统物理安全性主要是指从物理上保证系统中各种硬件设备的安全可靠,确保应用系统正常运行。主要包括以下几个方面:

    (1)防止非法用户破坏系统设备,干扰系统的正常运行。

    (2)防止内部用户通过物理手段接近或窃取系统设备,非法取得其中的数据。

 (3 )为系统关键设备的运行提供安全、适宜的物理空间,确保系统能够长期、稳定和高效的运行。例如:中心机房配置温控、除尘设备等。

    网络安全性主要包括以下几个方面:

    (1)限制非法用户通过网络远程访问和破坏系统数据,窃取传输线路中的数据。

    (2)确保对网络设备的安全配置。对网络来说,首先要确保网络设备的安全配置,保证非授权用户不能访问任意一台计算机、路由器和防火墙。

    (3)网络通讯线路安全可靠,抗干扰。屏蔽性能好,防止电磁泄露,减

篇10

关键词:高职;网络安全技术;课程改革

中图分类号:TP3文献标识码:A文章编号:1009-3044(2010)18-5009-02

'Network Security Technology' in Higher Vocational Curriculum Reform Shallow

YANG Xing, YANG Li-sha, CHEN Ming, LIU Tao

(1.Department of information engineering, Hunan Industry Polytechnic, Changsha 410208, China)

Abstract: The computer network technology training in network engineering technology, network management, website construction technology, capable of network planning and design, network construction, network management and maintenance, website construction and so on the work of higher technology applied talents. The technology is developing rapidly, but the curriculum content renewal speed, so urgently needed reforms relatively slow. This is the computer network professional core courses of the network security technology "the curriculum reform is explored.

Key words: higher vocational; network security; curriculum reform

随着网络的普及,网络用户数量的急剧上升,网络安全问题也日益严重。计算机网络专业学生在具备组网、建网、管网等能力的同时,也必须具备一定的构建网络安全体系能力。高职教育由于其特有的目的性――偏重实践动手能力,无法照搬本科的教育体系,因此,作为本专业核心课程《网络安全技术》,进行课程改革必须符合高职教育的特点。

1 课程改革的背景和意义

1.1 教改前课程存在的不足

本课程为计算机网络技术专业核心课程,旨在培养学生构建安全的网络防范体系的能力。目前,该课程存在以下几点不足:

1)课程内容陈旧

网络安全技术日新月异,而课程内容的更新速度相对缓慢。一方面是网络安全技术不断加速的变革性;另一方面是课程体系及教学内容的相对稳定性,从而导致网络安全方面的许多新技术、新知识不能很快出现在教科书上,教学内容的陈旧使培养出来的学生落后于时代的发展,体现不出高等教育先进性,与社会对人才的需求不相适应。

2)教学方式单调

计算机网络技术是当今发展变化最快的技术之一,目前,《网络安全技术》课程的理论授课虽全部在多媒体机房进行,但现在的教学还是处在“演示”的初级阶段,大多时候,仍然是被动的听、看;另外,该课程主要是讲授网络安全体系的构建以及具体的攻击、防范方法,操作性强,然而由于教学信息量较大,在教学的过程中学生能进行基本功能的操作,但学生普遍反映课堂上会操作,下课后就将很多操作方法忘了,教学效果并不是很理想。

3)学生计算机知识水平参差不齐

由于自身因素、客观因素等多方面的影响,学生的计算机基础知识水平参差不齐,给教师的课堂教学增加了一定的难度。理论课就形成了好的不想听、差的听不懂的局面,严重影响教学效果和教学质量。上机辅导时,基础差的学生开机都有问题,需要教师进行辅导,由于人数过多,教师照顾不到所有的学生,这样,基础好的学生把上机课变成了他们专门的上网时间、游戏时间。

1.2 课程改革的意义

上述问题在高职院校中带有普遍性,对实现高职教育目标有重大影响,因此,进行高职《网络安全技术》课程改革是十分必要和紧迫的,也是一项艰巨而有意义的创新课题。若能成功地完成该项课题,不但可以解决长期困扰高职《网络安全技术》教学的若干难题,也可为高职院校课程的改革提供可借鉴的经验。

2 课程改革的目标

高职教育应 “以就业为导向,培养高等计算机应用型专业人才为根本任务”,毕业生应具有“基础理论知识适度、技术应用能力强、知识面较宽”等特点,结合高职教育和高职学生的特点,《网络安全技术》课程的培养目标,应是动手能力强的网络维护者和网络安全实现者。

3 课程改革的措施

3.1 根据TCP/IP参考模型来制订教学内容。

网络隐患的出现归根结底就是因为网络结构本身的安全问题,将网络隐患进行细化,会发现这些隐患都可以划归为TCP/IP参考模型各层的安全问题,比如线路安全属于网络接口层的安全问题,IP地址欺骗属于网络层的安全问题,认证和加密属于应用层的安全问题等等,因此,可以针对各层的安全隐患来制订教学内容。

3.2 以项目为单位组织教学,注重学生能力培养

根据本课程的教学目标,紧密结合网络管理员职业资格证书技能考核要求,确定课程的教学内容,在此基础上形成项目,并对项目进行分解,使基本知识点和技能要素直接切入到项目和工作任务的各个环节中,课程内容呈技能递进方式。以项目为单位组织教学,让学生在技能训练过程中加深对专业知识、技能的理解和应用,培养学生的综合职业能力,满足学生职业生涯发展的需要。

3.3 改革考核方式,建立了形成性评价体系

改革传统考核方式,注重过程评价,着重考查学生在项目任务中表现出来的职业能力和职业素养。将学生的职业素养、工作责任心、团队协作、学习态度、职业能力和工作绩效等纳入评价范围,建立科学可行的评价体系,对学生职业素养的养成和职业能力训练方面进行全面评价,充分发挥评价的导向功能。

3.4 注重学生自主学习能力培养

教学过程中,注重“六阶段”教学法,让学生在教师的指导下,有目的、有计划、大胆地、主动地去学习,在学习过程中,老师根据学习内容和学生实际,适时地给学生指导点拨,启发诱导,充分调动学生学习的积极、主动性与创造性,让学生在学习中积极思考,主动探究,发现问题,分析问题和解决问题,使学生在学习过程中构建新知,提高能力。课后作业,教师布置一些具有探索性课题,让学生自主查阅资料,收集所需的知识与信息,提出自己解决问题方案。例如,安全风险分析教学课后作业要求学生调查学校及周围街区网络安全情况,若发现存在不安全现象,提出整改方案。

3.5 改革教学方法

1)注重“六阶段”教学法

教学过程中,采用依据基于工作过程的课程开发理论所揭示的“资讯、决策、计划、实施、检查、评价”六阶段法组织教学。

资讯阶段――多个学生为一个小组,教师以任务单形式下达教学单元的任务,并提出具体要求。每个小组成员在教师指导下查阅相关资料,收集工作任务所需的知识与信息并提出自己的见解,并学会与小组成员、教师的沟通与交流。

决策阶段――以小组讨论的方式对每个学员的方案进行论证,在教师的指导和帮助下确定一个实施性的方案。在这一过程中学员相互启发,相互学习,个人的知识欠缺将通过共同讨论、集思广益来弥补,同时也锻炼学员解决问题和创造性思维能力。

计划阶段――针对实施方案,教师指导学员制定设计体系的工作计划。包括:安全策略的制定、安全措施的执行等。

实施阶段――小组成员针对工作计划实施操作。教师重点指导学生完成实施准备工作,并对学生的实施操作进行全方位的监控,确保实施过程的用电安全并关注学生团队合作、成本节约等意识。

检查阶段――学生对照上述阶段进行自查,找到存在的问题并提出改进措施等。

评价阶段――采用形成性评价方式进行考核。

2)技能考证奖励法

将网络管理员考核标准融入课程教学内容与评价体系,使专业课程的教学过程和技能培训过程相互融合,课程考核与技能鉴定相结合,实行学生参与技能鉴定可取代对应课程考核的制度。课余时间开放实训室,拓展第二课堂活动,促进学生主动学习专业有关知识,加深学生对知识的理解和掌握,提高学生的学习兴趣,培养学生实践技能和创新能力。

3.6 引入企业文化

校内实训,模拟企业真实的工作氛围,每个学生就像企业中的员工,组成工作小组,设立组长,教师充当部门经理,负责分配工作任务,并要求学生按企业工作流程要求,在整个实训过程中严格把关,实行层层审核负责制,培养学生的工作责任心、独立工作能力和良好的职业素质,工作结束后要清场并填写工作报告(实训报告),使学生在学校就体会岗位的工作情境。

通过本课程的学习,使学生掌握基于TCP/IP体系协议的安全体系构建等方面的知识,具备安全策略制定的能力,养成良好的团队合作等习惯。

参考文献:

[1] 时代教育技术学专业课程体系研究(一)[M].现代教育技术,2004.

[2] 卢红学,高职课程体系改革的目标与思路[M].职教论坛,2005.