前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全保障措施主题范文,仅供参考,欢迎阅读并收藏。
关键词:信息安全;漏洞;后门;加密;安全意识
中图分类号:TP311.52
随着社会的发展及网络的普及,社会中各个单位越来越被网络所覆盖,各单位也不可抗拒的加入到了信息网络时代之中。越来越多的单位都逐步的组建了自己的局域网或无线,从而实现了其各种工作自动化和管理水平现代化。信息化的实现使各单位的工作效率得以极大的提高。因此,信息管理工作在现代的单位中发挥着越来越重要的作用。随着信息技术的广泛、深入的应用,各种先进的网络给单位办公和管理带来高效率的同时,也带来了新的信息安全隐患。尤其是高等院校更为突出,学校不再是一方净土,信息安全尤为重要,对它重视程度已经迫切到刻不容缓的地步。本文从防范和保障措施两方面阐述确保学校信息安全。
1 学校信息安全的现状
1.1 日常办公方面
各科室工作人员,由于工作繁忙或个人习惯不好,随意把上级或学校相关文件放在办公桌上,不自然让无关紧要的人员浏览,造成学校重要信息提前泄露或传出校外,给不怀好意的人利用。让竞争对手获取,会影响学校整体部署计划。还有学校公共信息也随意让人获取,比如:学校员工的通信录,被社会人员得到,单位员工经常收到各种推销广告的短信或电话。
1.2 校园网络方面
1.2.1 计算机网络软件方面尤其是操作系统缺陷
操作系统和应用软件是人编的程序,大量的漏洞和后门存在操作系统和软件中使得网络节点主机安全性无法保证。漏洞和后门给不怀好意的人有可乘之机。现在很多软件都是盗版的,因此没有售后服务,造成系统中的软件安全隐忧很严重。
1.2.1 计算机网络硬件方面
在一些地方高校尤其民办高校,在搭建校园网络时,一般本着好钢用在刀刃上的想法把钱花在最急于要解决的问题.致使对安全问题考虑不够周全,经费短缺。陈旧设备凑合着使用而不及时更新,或只对部分更新设备;由于人为的搬动致使各种存储设备损伤或者因为自然条件的限制致使其损坏而丢失、泄露数据或甚至导致局部乃至整个网络瘫痪。 由于一些学校在校园网的设备投入和人员投入上均不充足,为了弥补这些不足,通常会与网络运营服务商合作,而运营商通常以谋利为目的,难免会忽视网络安全维护方面的投入,致使校园网还基本处于一个较为开放的状态,更谈不上有效的安全预警手段和防范措施。
1.2.2 网络技术缺陷
计算机直接是靠协议进行交流,TCP/IP是现在网络搭建的基本协议,由于当初计算机专家在设计时对网络安全方面考虑较少,致使现在很多电脑爱好者发现其很多漏洞,利用这些漏洞进行网络攻击。另外网络之间连接不完整性,各个计算机直接交流时信息流基本不加密,利用通过其他途径得到工具轻松对电子邮件、口令和传输的文件进行窃听、篡改和伪造。另外随着无线网络的普及,学校里很多单位和部门利用智能手机上的Wi-Fi上网,安装里无线路由器,为了方便不加密或者简单的加密致使网络随意上,自然利用网络可以对办公用的计算机进行控制,从而达到窃取学校重要信息。
1.2.3 校园网络中用户信息安全意识淡薄
(1)作为校园网络用户群体在校师生用户,虽然个别人能做好自己的安全防范工作,但大多数用户没有信息安全意识。平常使用网络中,防范意识淡薄,U盘、移动硬盘手机、等存储介质无任何节制的使用。更有甚者管理人员也缺乏必要的安全防范意识,在配置和管理网络时不能安全的处理,管理内部用户群体上网问题难度较大,师生的非法访问行为无法规范和约束。网络管理、监控系统不足或者缺位,使得学校的网络管理混乱。
(2)网络使用者,习惯不好。学校网络中使用者大部分是师生,在利用网络交流是信息不加密或者加密简单致使黑客乘虚而入,另外用户不经常对自己的计算机和移动设备定期性的进行病毒扫描,且不经常扫描自己的计算机系统是否存在一些系统漏洞并安装补丁等。更有甚者,一些学生对计算机网络病毒的好奇心,把校园网其他用户的主机甚至是校园网控制中心的服务器作为实践对象,进行攻击,破坏校园网络安全,致使学校信息泄露。
2 学校信息安全防范及保障措施
2.1 建立信息安全管理和保密制度
信息内容更新全部由专人完成,工作人员必须具备素质高、业务水平好,有强烈的事业心和责任感;所有信息之前必须经分管领导审核;工作人员采集信息必须严格遵守国家的有关法律、法规和相关规定;用户信息由网站工作人员专人负责管理,并执行严格保密制度,未经允许不得向他人泄露;学校建立了健全的信息安全保密管理制度,实现信息安全保密责任制;切实负起确保网络与信息安全保密的责任;严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全;及时对网站信息进行监视,保存、清除和备份的制度;开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处;所有信息都及时做备份;加大宣传教育力度,增强用户网络安全意识,自觉遵守信息安全管理有关法律、法规,不泄密、不制作和传播有害信息。
2.2 校园网络信息安全方面
2.2.1 校园网络管理
加强校园网的管理,服务器由技术人员管理维护,每天负责看系统日志,随时解决可能出现的异常问题;服务器和其他计算机之间设置防火墙,并做好安全策略,拒绝外来的恶意攻击;关闭操作系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒;服务器平时处于锁定状态,并保管好登录密码;后台管理界面须设置超级用户名及密码,并绑定IP,以防他人登入。
网站内容更新全部由专门人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感;网络所有信息之前都经分管领导审核批准;工作人员采集信息将严格遵守国家的有关法律、法规和相关规定;用户信息由网站工作人员专人负责管理,并执行严格保密制度,未经允许不得向他人泄露;留言本加入了系统管理员后台管理的功能。
2.2.2 加强信息安全教育尤其是网络信息安全
利用不同途径进行信息安全教育,比如,公开讲座、版面展示、广播专栏、校报专栏和计算机基础公共课等等形势,提高师生信息安全意识。学校也可以定期培训,开启防火墙,定期对电脑进行病毒扫描,查收一些病毒、木马等扼杀其来源,定期开启更新功能,及时修补漏洞,提高自身网络防范技能。
2.2.3 加大网络信息安全维护的投入
由于很多学校投入校园网安全信息防护资金不够而导致一系列漏洞的产生,致使一些人利用漏洞侵入破坏校园网安全。因此应当指派专门的安全人员进行系统维护,充分利用现有资源,建设和完善网络信息安全预警机制,加强和提高网络管理人员的技术水平。根据学校网络的实际,合理的、适时的选择网络安全防护设备和技术投入
参考文献:
[1]张永杰.关于校园网络安全防范措施的思考[J].数字技术与应用,2010(2).
[2]陈明.信息安全技术[M].清华大学出版社,2007(4)
关键词:供电企业;计算机网络系统;安全保障
在供电企业的发展过程中,应用计算机技术和网络技术不仅能提高供电企业的工作效率,还能保证供电的稳定和安全。在供电企业的各个环节中,都能够应用计算机技术和网络技术进行管理和操作。计算机技术应用在供电企业的过程中,网络安全是最重要的问题,应该保证供电企业的安全,如果其安全性得不到保障,不仅会影响到供电企业的正常工作,还会影响到广大人民群众的生活,甚至会影响到国民经济的发展,所以保证供电企业计算机网络安全势在必行。
一、供电企业计算机网络系统安全保障的必要性
1.保证供电工作能够正常运行。供电企业主要的工作就是对整个城市的供电进行管理和控制,在控制的过程中,就会应用到网络节点,由于供电企业的计算机网络具有网络节点多的特点,所以,在对其进行管理的时候很困难,如果供电企业计算机网络系统得不到安全保障,就需要对网络节点进行排查,面对如此之多的网络节点,查找起来是很困难的,也会影响正常的供电工作,所以,应该保障供电企业计算机网络系统的安全,保证供电工作能够正常的运行。
2.保证人们的正常生活。供电企业与其他的企业是不同的,它担负着用电安全的重要责任,如果普通企业的计算机网络系统安全得不到保障,那么只会给自身带来影响,但如果供电企业计算机网络系统得不到安全保障,则会影响整个城市的供电工作,还会给广大人民造成生活上的影响,对广大人民群众的正常生产生活造成严重的损失。因此,应该保障供电企业计算机网络系统的安全,保证人们的正常生活。
3.保证计算机网络系统稳定运行。就目前的计算机网络系统运行状况来看,有很多因素在影响其稳定性,面对计算机网络系统安全问题成为了主要的问题,应该全面考虑制约其稳定运行的因素,从宏观的角度分析问题、解决问题,保证计算机网络系统能够安全、稳定地运行。
二、影响供电企业计算机网络系统安全的因素
从现在的供电企业计算机网络系统运行情况分析,影响其网络系统安全的因素主要有两方面,一方面是供电企业自身的问题,另一方面是外部因素的影响。供电企业自身的问题主要表现在以下几方面:第一,计算机硬件和软件的问题。组成计算机网络系统的硬件有很多,电源和主板等原件的组成也很复杂,一旦出现问题就会影响到整个计算机网络系统的运行,比如储存的数据丢失或是信息接受的错误,都会对电力企业造成严重的损失。由于计算机硬件的运行是需要在软件的基础上进行的,如果软件出现问题,就会直接影响整个系统的安全。第二,管理不善而导致的问题。管理不善主要是机房的管理制度不完善,经常有非机房工作人员出入机房,进而给计算机系统造成严重的威胁。第三,供电企业的工作人员没有按照规范进行。这主要是工作人员不重视操作规范或是因为疏忽而造成的。
由于工作人员在计算机操作方面并没有很好的能力,但是又不得不使用计算机工作,所以,工作人员在工作的时候难免会造成网络设备的损坏,给计算机网络系统留下安全隐患,尤其是在传输数据的时候,极易造成数据的泄露和窃取的情况,这严重影响了供电企业的正常工作。外部因素对计算机网络系统安全的影响主要表现在以下两方面:第一,不可抗力的作用,也就是自然灾害。由于计算机线路的传输是在外面,所以在遇到暴雨或是雷电等自然灾害的时候,就会造成线路中断,那么系统的安全就得不到保障。第二,病毒的感染。出现这种问题的原因主要有两种,一种是由于工作人员的操作不当,另一种是黑客的故意操作,不管是以上哪种原因,都会影响到供电企业计算机网络系统的安全,从某种程度上说,出现这种情况的原因就是自身管理的问题,所以,要加强企业的自身管理。
三、供电企业计算机网络系统安全保障的措施
面对以上影响供电企业计算机网络系统安全保障的因素,应该从以下三个方面进行控制:
1.提高工作人员的综合素质。就目前的供电企业工作人员情况来看,电力知识非常稳固,但是对计算机并不能完全掌握,所以,需要对电力工作人员进行培训,加深他们对计算机的了解,同时,还要提升电力工作人员的安全意识,要对其反复强调,在操作计算机的时候,要注意各种风险,保证计算机网络系统得到安全保障。
2.加强供电企业的内部管理。建立健全的管理制度,完善管理手段,要从计算机网络安全的整体入手,制定管理规范,同时,还要设立专门的计算机网络系统安全管理部门,对计算机网络系统中的相关人员进行监测,充分保证其安全性。
3.强化技术改革。首先,要做好抵御外部攻击的准备,要在供电企业计算机网系统中安装防火墙,并通过IP伪装等技术保证网络的安全,还要安装入侵系统,来抵御外部的攻击,不仅如此,还要运用PacketFiltering技术或是技术来抵御黑客的入侵,因为PacketFiltering技是一项动态过滤技术,它主要是为TCL/IP协议数据进出的通道进行过滤,对其信息进行分析,并且通过防火墙对其进行检验当数据包出现问题的时候能够及时发现并阻止其运行,而技术则是意象非常稳定的监测系统,它能够清晰地监控和检查外界的数据,保证数据的安全。其次,做好计算机网络内部管理,要不定期地对计算机网络中的病毒和木马查杀,为了保证计算机网络系统能够正常运行,还要进行必要的身份设置,可以通过不同的身份口令,建立账号,并对这些账号定期核查,保证计算机网络系统的完全。另外,电力企业还应该对一些重要的数据进行多次备份,这样在出现问题的时候,才能将损失降到最低。
四、结语
综上所述,供电企业应该采取相关措施,保证计算机网络系统的运行,保证供电线路的稳定,并且积极研发新技术,进而促进国民经济的发展。
参考文献:
[1]曹凡.供电企业计算机网络系统的安全保障研究[J].电子制作,2015(3):154.
[2]李静力.供电企业信息安全薄弱环节与防范[C].//2011年全国电力企业信息化大会论文集.2011:323-325.
[3]刘志辉.浅谈供电企业计算机应用中的信息化建设[J].科学与财富,2013(12):80.
[4]罗谊,徐勇.浅析计算机于供电企业中的技术应用[J].民营科技,2012(9):115,112.
[5]段宏伟,何伟.供电企业计算机网络系统的安全保障[J].承德石油高等专科学校学报,2012,14(2):34-36.
【关键词】 移动互联网 安全技术 现状
引言
移动互联网技术在当前的发展比较迅速,已经和人们的日常生产生活有着紧密联系,移动互联网技术在4G网络的实现下,使得移动终端的功能作用得到了发挥,对人工的移动终端产品和互联网的结合目标得到了实现。移动互联网的安全技术应用过程中,虽然对人们带来了很大方便,但是在安全性问题上一直是比较突出的问题,加强对移动互联网的安全问题解决也是有着难度的,尤其是面对当前的移动互联网发展阶段,通过安全技术的科学应用对互联网安全问题的解决就显得比较重要。
一、移动互联网的安全问题和关键问题分析
1.1移动互联网的安全问题分析
移动互联网的安全问题体现在多层面,其中在互联网的安全问题层面,主要就是在IP开放的架构形式应用下,由于移动互联网的业务丰富性,以及在多样化的接入类型影响下,在上网的终端智能化程度有了很大程度提升[1]。这样就为攻击者提供了有利条件,使得移动网络的攻击者比较容易获得网络拓扑,这样就会对用户的数据信息的传输造成损害,在数据信息的安全性层面的保障力度就会大大降低。
移动互联网安全问题当中的通信网安全也是比较重要的安全类型,主要就是在传统的移动通信网的终端类型单一性情况下,在网络层面相对比较封闭,这就使得智能化程序不是很高,在移动网络的安全上能得到一定的保障。在的那个钱的无线宽带时代到来之后,移动互联网技术得到了很大程度发展,一些终端类型也开始逐渐增多,在软件的漏洞上也比较容易暴露,这就对移动通信网的安全性大大降低,不能有效保障移动通信网络。
除此之外,移动互联网的安全问题还体现在新的安全问题层面,在互联网和移动通信进行结合后,这就对原有的网络安全环境的平衡状态打破了。通信网在安全性能上就有了降低,注重就是互联网的应用丰富性以及身份的可识别性和业务形式的独特性等,这就使得在对电子商务以及移动办公等层面的要求不断提高[2]。在移动互联网的环境下的终端发展安全性,面临着很大的挑战,对终端的芯片处理能力以及内存的功能性有着新的要求,这就比较容易出现恶意代码以及病毒的传播,在移动终端的安全上得不到有效保障,加上移动互联网的环境相对复杂化,这就在网络安全上面临着很大威胁。
1.2移动互联网的安全关键问题分析
从移动互联网的安全关键问题层面来看,涉及到诸多的层面,其中在终端安全机制上就是比较突出的。在终端安全机制层面要能有各个业务应用以及系统资源访问控制能力,在身份认证功能层面也要加以具备。在对业务安全机制层面也要充分重,在3GPP以及3GPP2都有着其相应的业务标准准则,其中有定位以及移动支付等业务安全准则,也有防止版权盗用等标准,在机制层面都要提供可利用技术手段。在网络安全机制层面也要能加强重视,其中在3G等层面都有着相应的安全机制。
虽然在3GPP以及OMA方面提供了相应安全机制,但受到技术因素影响,还都属于基础层面机制,在对移动互联网安全的完善保障层面还比较缺少能力[3]。这就需要结合移动互联网的实际安全问题内容,进行制定完善化的安全技术保障措施加以应用。
二、移动互联网安全隐患以及安全技术保障措施
2.1移动互联网安全隐患分析
移动互联网的安全隐患比较突出,随着社会的发展科技的进步,移动互联网的安全隐患类型也比较多。其中在篡改破坏山就表现的比较突出,一些不法分子对技术手段的应用,对互联网终端系统程序进行恶意修改,对互联网的安全进行破坏,这就对用户的移动互联网正常使用有着很大影响。比较突出的就是黑客以及木马软件对移动互联网系统的破坏,严重的对移动互联网系统造成崩溃。
移动互联网安全隐患中的敲诈欺骗以及窃密监听隐患比较突出,在黑客的攻击下,对移动互联网终端会造成破坏,在一些重要的信息资料上进行获取,并通过欺骗的形式对用户进行诱导,这就影响移动互联网的安全性[4]。还有就是窃密监听的隐患层面,主要就是在当前的而一些智能手机的电脑化发展中,对移动互联网应用中,终端安装上窃密监听的设备对用户的隐私资料进行窃取,以达到自己的不法目的。
移动互联网安全隐患当中的恶意吸费的隐患比较突出。在移动互联网的安全隐患发生所造成的破坏,主要是利益纠葛因素造成的。其中的恶意吸费也是对移动互联网安全破坏的重要因素。在以往的移动互联网恶意吸费主要是通过互联网终端进行秘密连接链接,这样用户在浏览设定的收费网站时候,就会对网站的点击率有效提高,从而实现盈利目的。还有的就是在黑客的这一因素影响下,在移动终端传送手机存储数据,在后台进行发送信息以及彩信等,这就在长期使用过程中,比较容易造成经济上的损失。
2.2移动互联网安全技术保障措施
为保障移动互联网安全技术的作用发挥,笔者结合实际对移动互联网安全技术的应用措施进行了探究,在这些方法的探究下,对实际的移动互联网安全技术的作用发挥就有着积极促进作用。
第一,加强移动互联网终端安全的保障。在移动互联网安全层面,要从多方面进行考虑,从移动互联网终端的安全层面要加强保障,避免外界对终端的入侵,在终端的安全可用性层面加强保证。在互联网终端安全防护层面的加强,能在防毒以及主机的安全层面得以有效保障,对网络的访问控制的作用发挥也比较有利[5]。在移动互联网的终端审计监控工作上要不断强化,移动终端的操作人员在规范性的操作上要充分重视。在实际的监控审计功能发挥上,涉及到的内容比较多,其中的WEB访问控制审计以及网络访问控制审计等,都是比较重要的诶荣。还要注重对移动互联网的终端接入控制以及文档的防密控制,只有在这些层面得到了充分重视,对移动互联网的终端安全性的保障水平就能有效提高。
第二,保障移动互联网运行安全性。在对移动互联网的安全保障措施实施中,在运行过程中的安全防护工作要加强实施。在对网络的内容监听以及安全事件预警方面要不断完善化,形成安全监控以及安全日志管理模式,对移动互联网的安全运行加强保障。从具体的措施实施上,就要充分重视移动互联网业务系统间的访问控制加强,将移动互联网业务以及安全规划的同步性要得以重视,在SDK以及业务上线要求的安全因素植入下,对移动互联网的安全保障就有着积极作用。再有就是对移动互联网的认证技术科学应用加强重视,避免用户对多个系统进行登录造成信息的泄露,然后就要注重对IP地址的溯源部署的科学化实施,对用户网络的接入实名制工作进行完善化实施。
第三,加强移动互联网业务安全保障。在移动互联网的应用过程中,在业务安全的保障工作层面要加强实施,移动互联网中的具体业务以及业务组件提供,都是通过多设备以及软件进行完成的,并涉及到诸多的内容,有用户的操作以及协议的交互等等。加上移动互联网业务的多样性以及设备的相关性比较低,这就在安全性层面有着很大影响,这就需要在认证服务层面不断加强,从移动互联网的业务层面着手实施安全措施,在对业务安全的级别以及等级访问和用户可信度等层面进行妥善实施[6]。在业务的安全级别方面通过静态模糊综合评判的方法应用,对业务的安全级别按照实际标准进行定级,针对性的进行管理,在动态化的业务安全管理实施下,对管理的质量就能有效保障。
第四,优化移动互联网的安全部署工作。在对移动互联网的安全进行保障的同时,要从实际出发,在安全部署工作上进行加强完善,在安全部署层面要能够从多方面着手,在互联网和接入网层面着手实施。在互联网层面对接入服务器以及交换机的内容会有所涉及,而在移动通信网方面就对终端设备以及端口控制等比较重视。这就需要在安全工作的部署中,氖导食龇,将移动互联网的自身安全以及终端运行的功能正常发挥得以保证,在多方面的技术应用下,发挥入侵检测技术以及防火墙技术的作用,对业务系统的部署数据加密防护功能发挥层面要不断加强,将移动互联网的信息安全性有效保障。
第五,加强移动互联网用户的安全意识提高。在对移动互联网安全保障方面,要注重用户自身的安全意识加强,运营商在对业务办理过程中,对移动互联网终端安全防护宣传工作要做到位,让用户对移动互联网的安全防范有更深的认识,从而在移动互联网的安全性方面能有效防御。用户也要在自身的互联网技术知识学习上不断加强,对一些基础性的安全保障防范方法能灵活运用,这对自身的信息数据的安全保护也有着积极作用发挥。
三、结语
综上所述,移动互联网安全技术的应用,要和实际安全问题情况相结合,多方面重视技术方法针对性实施。在新的时展背景下,移动互联网对人们的生产生活的作用愈来愈重要,在保障移动互联网的应用安全性层面,也要加强重视,从多方面加强安全技术的科学实施,只有如此才能有助于移动互联网的安全保障。
参 考 文 献
[1]蔡家辉.浅谈我国互联网信息安全与人权保护问题[J]. 网络安全技术与应用. 2016(11)
[2]何乐臻.计算机信息技术在互联网中的应用探析[J]. 中国管理信息化. 2016(23)
[3]宋光泽.浅析移动互联网信息安全威胁与应对策略[J]. 无线互联科技. 2016(22)
[4]王永建,杨建华,牛辉奇.面向移动互联网的智能终端安全监管平台研究[J]. 移动通信. 2016(21)
关键词:信息高速公路;校园网;安全保障
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2019) 11-0000-01
Multi-level Protection Study of Campus Security and Stability
Ma Jianshe
(Internet Center of Shanxi Datong University,Datong 037009,China)
Abstract:With the further development of network technology,network security issues triggered more and more prominent.This paper focuses on the campus during the operation should be noted that multi-level security measures.
Keywords:Information superhighway;Campus network;Security
为了保障信息高速公路畅通、安全、稳定、高效运行,确保校园网这个活跃节点的安全稳定运行,是校园网这个大家族中每个成员都应尽的义务,因为校园网的安全稳定与Internet的安全稳定是局部与整体的关系。鉴于此,笔者就校园网的安全稳定运行方面的保障措施分三个层级浅谈自己的一点儿看法。
一、网络物理层级
校园网络物理核心设备是校园信息高速公路的基础,保证物理网络核心设备的安全稳定运行是校园网安全稳定运行的前提。笔者所在单位校园网络近期受到市电供应不稳定的影响,经常性的断电、断网,给广大校园网络用户带来很大不便。2011年9月份山西某高校承办某次全国性联考,考试期间突然发生供电系统爆炸,造成整个考试网点瘫痪,影响广大。虽然这些可能都是小概率事件,但笔者认为这更突显出在网络建设中保障物理网络安全稳定运行是不可或缺的,因为一旦物理网络发生安全稳定性问题,影响范围较广。可以通过以下方式尽可能确保物理网络的安全稳定运行:
(一)物理隔离核心设备。把核心设备安置在专人值守的专用机房,避免有意或无意的人为因素威胁到物理网络的安全。(二)配备高功率的在线式UPS系统。确保市电不稳定或停电时,网络核心设备能够正常运转,保证主干校园网络的稳定、流畅。(三)定期检修核心设备。专职的网络管理人员定期检查设备的运行状况,建立完备的设备维护日志,定期备份核心设备的配置文件和日志文件等重要资料。
二、网络技术层级
(一)创建防火墙隔离带。防火墙隔离带相当于设置在校园网与Internet信息高速公路之间的一个卡子,负责双向检测欲通过关卡的数据包,主要是核准数据包的身份、查看其来源地、目的地等相关的表面化信息,至于数据包内含信息不做过多追究,避免降低通过效率,造成塞车现象。经过防火墙的过滤,可以阻塞并记录未经授权的数据包,而只允许经过授权的数据包通过网络,既能保护校园网内易受攻击的网络资源,又能部分抑制来自校园网的攻击源扩散到Internet。
(二)设立数据包稽查员IDS。具有合法身份的数据包不一定产生合法行为(现实世界中经典案例:911的身份全部合法,但他们的行为却是灾难性的。),也就是说经过防火墙过滤的数据包也有可能存在潜在的危险行为。稽查员IDS主动采集数据包中的数据流并深入分析,查看是否携带危险的行为工具,一旦检测到可能的攻击行为时,立即切断攻击并协助防火墙修改相应的过滤准则,从而杜绝类似的攻击行为。
(三)基础设备健壮性保障。任何一种计算机系统、网络系统都可能存在安全漏洞,人工检测漏洞几乎是不可能的。漏洞扫描技术基于漏洞数据库,通过自动扫描的方式,对计算机系统、网络系统的安全脆弱性进行检测,从而发现漏洞,为用户打安全补丁提供决策。采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
(四)缉拿隐蔽的破坏分子病毒。病毒就是指通过某种手段潜伏在计算机或网络设备里,一旦条件满足就能够被激活,具有对计算机或者网络资源进行破坏的一组计算机指令或者程序代码。在整个网络内可能感染和传播病毒的地方部署相应的防病毒手段,同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程警报、集中管理、分布查杀等多种功能。
三、网络管理层级
(一)校园网安全稳定运行的管理规范。制定详细的网络安全监管制度,安排专业人员负责校园网的安全管理工作,并经常对管理人员进行升级式进修培训,使他们具有和网络发展同步的知识涵养,及时了解当前威胁网络安全的潜在行为,提高网络安全的警觉性。安全管理是保证网络安全稳定运行的基础,安全技术是配合安全管理的辅助措施。
(二)网络用户素质教育。Internet上大部分的安全问题是有意或无意的人为因素导致的,校园网的安全也不例外,只不过校园网中的绝大部分用户是已受或在受高等教育的人群,综合素质普遍较高,但不排除个别活跃分子制造网络混乱,总想破坏或者窥探别人的信息。所以,校园网络安全稳定问题关键在“人”,因为“人”才是信息高速公路真正的主宰者,不管是建设性的技术还是破坏性的技术都是人创造出来的,对使用信息高速公路的人群进行素质方面的教育是必不可少的。
可以从以下两个方面对校园网络用户进行针对性的素质教育:
1.网络安全基础知识教育。要让用户知道网络上哪些工具是安全可靠的,哪些工具是不安全的且具有一定破坏力。条件允许的情况下,还可以单独建立一个网络破坏性实验室,专门用于实验一些网络工具,向用户演示破坏性网络工具的威力,满足其好奇心,这样能够收到更好的正面教育效果。
2.文明使用网络的规范教育。现实生活中,我们受到一些文明规范的约束,所以我们拥有一个相对和谐稳定的生活环境。但是在虚拟的网络世界,人们普遍没有约束感,所以经常会发生网络攻击、谩骂、流言碎语等等严重污染网络环境甚至产生网络安全问题的现象。这就需要网络监管者对校园网络用户进行网络文明规范教育,教育用户自觉维护网络安全,不破坏网络秩序。
四、结束语
前文提到校园网的安全稳定与Internet的安全稳定是局部与整体的关系,也就是说信息高速公路上的一个节点安全稳定了,就会增加Internet的安全稳定性,相应的如果Internet安全稳定了,又能为校园网的安全稳定提供额外的保障。如果我们能够尽可能做到校园网分层级安全稳定,不仅可以实现保护我们自己的目标,还能为Internet的安全稳定运行做出一定贡献,届时校园网安全问题也许不再是个问题。
参考文献:
[1]沙桂兰,浅谈校园网络安全控制策略[J],电脑知识与技术,2007(03)
[2]刘运喜,新形势下高校校园网安全状况与德育对策[J],文史博览(理论)2011(02)
[3]李宁,校园网网络安全分析及对策研究[J],信息通信2011(04)
[4]蔡向阳,浅谈高校校园网的安全现状及其对策[J],电脑学习2010(06)
【关键词】 民航 空管 网络信息
进入到新的发展时代,网络信息技术在各个领域都得到了应用,促进了应用领域的发展。民航空管工作是比较关键的工作内容,对保障民航的安全性起到了关键作用,而将网络信息和民航空管工作相结合,就能有效提高空管的效率水平。通过从理论层面加强对民航空管网络信息安全可靠性保障的研究分析,为实际空管作业的顺利实施提供理论支持。
一、民航空管网络信息安全保障的重要性及现状分析
1.1民航空管网络信息安全保障的重要性分析
加强对民航空管的管理水平提高,是当前民航事业发展中的重要内容。民航空管的实际工作实施中,通过将网络信息技术应用其中,能有效促进管理水平提高,而保障网络信息的安全可靠性就是重要基础。通过先进网络信息技术的应用,在信息资源的共享目标方面能得以实现,可对信息资源进行优化配置[1]。民航空管中网络信息技术的应用是一把双刃剑,在信息的安全可靠性方面的保障,避免黑客的侵害等,是促M民航空管工作顺利进行的重要保障举措,这也是全面提高民航空管网络信息安全的重要战略实施内容。
1.2民航空管网络信息安全保障的现状分析
民航空管网络信息技术的应用中,在安全保障方面还有待进一步加强,其中网络安全问题是比较突出的。民航空管系统中的一些信息维护和管理是通过远程来实现的,网络信息的失窃以及篡改的问题在当前还时有发生。空管网络信息化中对数据的传输是比较重要的环节,在这一过程中的网络信息安全问题就比较突出,造成了空管系统的内部存在着很大的信息安全威胁。民航空管网络信息安全保障工作实施中,比较缺少完善化的管理体系,如果是单一化的通过安全技术对网络信息安全性加以保障,对管理体系的完善性支持作用就很难有效发挥。除此之外,民航空管中网络信息安全管理中在操作系统层面还存在着诸多问题有待解决,主要是操作系统的结构体系缺陷比较突出,这就比较容易受到攻击从而造成操作系统的瘫痪[2]。对于这些层面的安全问题就要加强重视,采取多样化的方法加以实施,如此才能真正有助于民航空管的网络信息化目标实现。
二、民航空管网络信息安全保障的措施探究
民航空管网络信息安全的保障,需要从多方面着手实施,在技术层面就要对合法的用户实施认证,这样就能有效避免非法用户获得对公司信息系统的访问,通过身份认证以及数字签名等方法都是比较有效的。另外要加强防病毒技术的实施,这一技术应用对恶意程序的识别就比较有效,在病毒预防技术以及消除技术的应用下,就能有助于网络系统的安全保障。如对病毒消除技术的应用,就是在某一病毒出现后实施的,有着良好的杀毒功能。加强完善安全技术体系的设计。对安全技术体系设计前,就需要在安全管理体系方面系统性的加以设计,这就涵盖着安全策略以及组织体系等方面的内容,设计中要重点对监控体系和有着支撑性的基础设施进行设计,如在入侵检测以及防火墙等系统的设计方面体现出完善性,只有通过安全系统的完善化设计,才能真正有助于保障网络信息的安全。保障民航空管网络信息安全工作中,在对安全扫描技术的应用方面需要加强[3]。安全扫描技术是对网络系统安全进行直接性保障的应用技术,在当前的安全扫描技术的种类上一般分为计算机网络监测,进行主动性的设计校本文件,避免网络受到攻击。还有就是主机对系统实施的检测,在检测对象方面主要是系统当中不合适的口令以及设置,这对网络系信息系统的安全保障也能起到积极作用。通过有效手段来保障民航空管网络信息的安全性,主要可通过结合民航空管的信息安全现状构建完善的安全信息管理体系,要定期的对空管网络信息工作人员进行培训,增强工作人员的责任心,这是对保障空管网络信息系统安全的重要举措。另外就是能加强民航空管计算机信息安全技术的监控,创新应用网络信息安全技术,最大化的降低网络信息安全管理风险[4]。同时也要注重对技术人员以及管理人才的引进,在空管网络信息的安全宣传工作方面进一步加强,构建完善的安全管理责任制度。只有在这些层面得到了加强,才能有助于民航空管网络系统的安全。
结语:综上所述,民航空管工作的顺利实施是保障民航安全的基础,在具体的工作实施中,随着网络信息技术的广泛应用,也对实际空管工作的效率得到了很大程度提高,而加强网络信息的安全保障工作就显得格外重要。本文通过从多方面对民航空管网络信息可靠性的研究分析,对解决实际问题就有着积极意义。
参 考 文 献
[1] 陈瑛,肖银莹,闫振强. 安全管理实用工具软件的研发[J]. 通讯世界. 2015(06)
[2] 钱娟华. 空管信息网络安全与维护探讨[J]. 硅谷. 2014(15)
关键词:电子政务 信息安全
0 引言
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1 电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1 基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2 数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2 电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题, 通常是将基于公钥证书(PKC)的PKI(Public Key Infrastructure)与基于属性证书(AC)的PMI(Privilege Management Infrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限, 许多用户也可能有相同的权限集, 这些权限都必须写入属性证书的属性中, 这样就增加了属性证书的复杂性和存储空间, 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP 目录服务器等实体组成,在该模型中:
2.1 终端用户:向验证服务器发送请求和证书, 并与服务器双向验证。
2.2 验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3 应用服务器: 与资源数据库连接, 根据验证通过的用户请求,对资源数据库的数据进行处理, 并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4 LDAP目录服务器:该模型中采用两个LDAP目录服务器, 一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3 电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2 采用全面的风险评估办法 风险评估具有不同的方法。在ISO/IEC TR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NIST SP800-30、AS/NZS 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4 结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
【关键词】保障措施;网络通信技术;网络信息;安全;现状
对于当前网络通信成为人们传输信息数据的主要途径和方式,这主要是由于网络通信自身所具有的开放、快速、灵活等方面的优势以及其先进性所导致的。但是由于网络技术的系统和结构等方面存在的漏洞为病毒或黑客入侵网络通信系统提供了可行性和可能性,如果病毒或黑客成功的侵入了网络通信系统中,就会在一定程度上对网络通信正常运行造成一定的影响,严重的话甚至会对网络中的信息数据造成删除、错误等情况,严重阻碍着人们对网络通信的有效应用。
1目前网络通信信息安全现状
1.1在网络通信结构方面
由于网络通信自身不合理的结构,在很大程度上留下了严重的安全隐患,这也是造成其存在问题的首要原因。互联强通信技术的基础和前提是网间网技术,用户通过在网上按照相关的TCP协议或者是IP协议来注册网上账号,这样再通过网络远程授权之后,就能够实现网络通信。但是由于网络的结构是呈现出树状型的,这样在应用网络通信工程的过程中,如果黑客采取相应手段来攻击的话,就能够通过这一结构与用户的信息相连接,进而对各种用户信息实现窃取。
1.2在网络通信软件安全隐患方面
用户在应用网络通信的过程中,由于其自身所具有的漏洞,为了完成部分操作,就需要在网络中下载相关的补丁或者是采用其他形式的软件方式来满足这一需求,这也是为了与计算机终端系统操作的要求相符合,但是对于这些补丁软件以及相关的下载软件来说,一旦应用的话,就很可能会导致自身的信心处于公开化的状态。如果不法分子利用这一方面漏洞的话,也能够在一定程度上影响人们的网络通信安全,严重的话甚至会对整个网络系统都造成一定的影响,威胁着系统安全。
1.3在人为网络系统攻击方面
有些人为了获得更多的利益,往往会通过不合法的方式来攻击网络系统,在攻击的过程中,可以获得相应的用户信息数据资源。对于这中非法攻击来说,目前已经不仅仅局限于商业管理终端方面了,甚至如今对于一些个人的计算机来说,也有可以会受到黑客攻击,这就会严重威胁着用户的信息安全。对于这一方面的转变来说,人们应该对此有更加客观的认识,随着人们生活质量和水平不断得到提高,网络通信方式已经成为了当前人们传递信息的主流方式,但是与之相应的信息安全维护工作却没有得到相应的发展,这样就必要会造成安全隐患的出现。另外对于部分网络通信管理部门来说,没有足够的认识和重视网络通信信息安全问题,而且在相关的管理制度方面也存在着一些不合理、不健全的问题,这些方面都会在很大程度上增加网络通信安全风险程度,甚至在整个系统中都会造成严重的安全隐患,这也在一定程度上为不法分子提供机会和途径。对于当前我国网络通信安全存在的各种问题,以及相关问题出现的原因,注重网络通信技术改革和加强建设网络通信制度是十分必要的,这也是适应时展。维护网络通信信息安全的重要方面。
2保障网络通信信息安全的有效措施和重要途径
2.1加强对用户IP地址的保护
对于网络通信攻击和入侵来说,黑客应用最多的就是借助用户的IP地址,以此来获取用户的通信信息和数据,因此加强保障用户的IP地址,维护其安全,是实现用户网络通信安全的主要方式和途径。用户自身在应用互联网的过程中,也需要加强保护自身的IP地址,注重严格的控制网络交换机,这主要是由于网络交换机是用户网络通信信息数据被泄露的主要路径,通过对其中的树状网络结构严格的控制,就能够有效的防止不法分子的攻击和入侵。除此之外,还能够对计算机路由器实现隔离控制,在日常的生活中加强对路由器中访问地址的关注,一旦发现非法访问的话,一定要及时的有效切断,这样才能够避免对自身的信息数据造成泄漏。
2.2加强完善信息数据储存和传递秘密性
信息在储存和传递的过程中,是安全隐患存在的主要途径,在储存和传递信息数据的过程中,不法分子能够实现拦截、恶意篡改、盗用、监听等非法操作,以此来得到自身需求。因此用户的信息数据储存和传递的过程中需要进一步的完善其秘密性,最好对这两个环节都进行加密处理,同时确保密码的复杂性和多元化,这样能够在很大程度上增加黑客入侵和攻击的难度,减少安全威胁。用户在应用网络通信的时候,能够使用适当的保密方式来实现对自身信息数据的加密处理,同时网络维护工作者也应该注重对信息加密功能的设置。
2.3进一步促进用户身份验证的完善
为了更好保障网络通信信息安全,其中最重要的,也是最基础的就是注重对用户身份的验证。在应用网络通信之前,需要对用户的身份进行严格的验证,一定要确保是本人操作,这样就能够有效的保障用户的个人信息数据安全。目前在计算机系统中用户身份严重主要应用的是“用户名+密码”的方式,通信权限的获得是两者之间相互匹配,但是这种验证方法比较传统,已经难以适应当前快速发展的社会大环境,比如可以使用视网膜检测、指纹检测、安全令牌等多种先进的验证方式,这对网络通信安全的提高具有重要的意义和作用。
参考文献
[1]董希泉,林利,张小军,任鹏.主动防御技术在通信网络安全保障工程中的应用研究[J].信息安全与技术,2016(01):80-84.
[2]雷一鑫,陈晨,韩松.网络通信中信息安全的保障措施研究[J].通讯世界,2016(08):125.
[3]王继业,郭经红,曹军威,高灵超,胡紫巍,周静,明阳阳,方正伟.能源互联网信息通信关键技术综述[J].智能电网,2015(06):473-485.
[4]张茁,周明.谈网络通信中信息安全的保障措施[J].中国新通信,2014(06):54.
【 关键词 】 高考招生网络;安全风险分析;网络安全技术
Analysis on Security Mechanism of College Entrance Examination Enrollment Network
Huang Xiang-nong Wang Hai-yuan Xu Yu
(Network and Information Technology Center of Sun Yat-sen University GuangdongGuangzhou 510275)
【 Abstract 】 The practice of college entrance examination enrollment online admission can upgrade its quality and efficiency , but those many security weaknesses and threats existing in campus network will affect the security of online admission. By understanding the security risks that components of the network may face and applying network security technology, security threats can be especially reduced, and smooth college entrance examination enrollment online admission can be ensured.
【 Keywords 】 college entrance examination enrollment network; security risk analysis; network security technology
1 引言
我国利用互联网技术,实行高考招生网上录取工作,大大提高了工作质量和效率,有效地保证录取工作的公平公正,取得了非常满意的效果。然而,互联网中存在各种各样的安全弱点和安全威胁,将会影响到网上录取的安全性。一直以来,上级主管部门非常重视网络信息安全管理,不断改进网上招生系统,规范网上录取流程,指导各高校严格执行。
网上招生系统采用分布式C/S架构,由各省级招办的网上招生系统服务器、安装在学校的网上招生系统客户端,以及相关网络构成,如图1所示。
为了实行一年一度的网上录取工作,学校的高考招生网络一般为临时搭建。以中山大学为例,网上招生录取场地分为省内、省外场地两个地方,分别借用能接入校园网的院系计算机房,安装上全国版的网上招生系统客户端,以此构建高考招生网络,并上报该网地址段和对系统进行安全性设置。
网上招生系统服务器设置必要的访问控制规则,只允许学校高考招生网络及相关网络访问。而且,从客户端登录到网上招生系统后,就在客户端与服务器之间建立VPN加密隧道,保证网上录取数据在端到端传输过程中的机密性和完整性。可以认为该系统的校园网以外部分有足够的安全性,本文着重讨论基于校园网的高考招生网络的安全保障措施。
2 安全风险分析
从图1可知,学校高考招生网络由主机、接入交换机、汇聚交换机、骨干交换机、核心路由器和边界路由器等组件构成,相关组件的安全风险分析如下。
1) 主机:作为网上招生系统客户端,与省级招生办服务器通信、进行数据交换,完成网上录取工作。因为这些主机必须与各省级招办互联互通,需要接入外网,若主机系统存在安全漏洞,随时会被利用,如果不加以限制地与外网通信,容易成为网络入侵攻击的目标。另外招生录取现场工作人员多而杂,U盘的使用,系统的误操作,感染病毒、木马等等,都有可能构成安全威胁。
2) 接入交换机:一个较大的计算机房需要使用几台交换机提供足够的端口来连接主机,实现网络接入。由相关交换机构成的VLAN是一个广播域,遇到人为的或恶意程序产生的广播风暴或二层欺骗攻击等,会影响到该广播域上的主机。
3) 楼栋汇聚交换机:作为VLAN网关,配置有访问控制功能,但也有可能受到网关ARP欺骗攻击、源地址欺骗攻击以及广播风暴攻击等,导致主机连网异常。
4) 骨干三层交换机(路由器):用作区域汇聚交换机、校区骨干交换机、核心路由器和边界路由器等设备,主要用来提供网络互联和访问控制功能,与校园网所有网段相关,流经的流量类型复杂,尽管这些设备性能较高,已做好自身的管理访问,具有较高的抗攻击能力,但仍会面临各种DoS攻击,可能会造成骨干网络运行性能降低。而且,学校招生网络骨干部分涉及到的设备越多,故障率也就会越大。
3 安全保障实施
针对基于普通校园网构建的高考招生网络存在的安全风险,可按如图2所示,为网上招生系统建设专网。这样做的目的是,减少该专网接触校园网内部恶意流量的机会,便于加强对外部网络的访问控制力度,只允许由该专网主动发起的业务流量通过,过滤业务无关的网络流量,相关安全保障措施按如下所述加以实施。
3.1 物理安全
按照高考录取的业务要求,招生场地分为省内、省外录取现场。需要配备保安、系统和网络管理人员在现场值守,全程参与现场安全保障工作。加强招生场地保安,维护招生秩序,防止无关人员进入,减少主机数据被更改或系统被暴力性破坏等的可能性。
3.2 VLAN划分与用途
为了满足招生录取环境的安全性,同时又能保持与外界联系,可以将招生专网分为内、外网两部分,内网又分为省内和省外。内网只与网上招生系统服务器通信,外网则用于访问互联网,内、外网间的主机被逻辑隔离,互不连通。先安装内网主机,根据需要,后加装外网主机。该专网共划分3个业务和1个网管VLAN。主机的IPv4地址采用静态配置模式,IPv6地址采用无状态自动配置模式。在两个录取场地各安装一台打印服务器,连接于招生内网,可为内、外网服务。通过网管VLAN监视现场主机和传输网络的运行状况。
3.3 网络互联与路由规划
高考招生专网汇聚层采用三层交换机,以路由类型接口与核心层连接,隔离专网与校园网之间的广播流量;采用进行过VLAN修剪的trunk接口与接入层相连,接入层分为两级,主交换机通过光纤直连汇聚层,下接若干台桌面交换机。
该专网采用静态路由方案,在汇聚层只需配置默认路由指向核心层,在作为核心层的边界路由器上,配置源地址为信任网络(各省级招办服务器、招生相关网络,以及提供DNS、系统补丁、病毒库升级等服务的校园网数据中心)到目的网络为招生专网的静态路由,使来自非信任网络的流量不会转发到招生专网,又可实现招生网络访问外部信任网络。目前校园网主要采用OSPF路由方案,对于在校园网骨干中与招生专网相关的静态路由,需禁止重分布到OSPF进程中,并设置路由黑洞来终结非信任网络访问招生专网的流量。
招生外网访问互联网时,需通过校园网的SSL-VPN设备来实现,使该招生专网不会暴露在非信任网络中。
3.4 三层访问控制
招生网络对外不必提供服务,只会主动发起访问请求。在汇聚层与核心层的互联接口上配置访问控制规则时,只需考虑在接口的入方向应用基于源地址和目的地址的扩展ACL,让由招生网络主动发起请求的访问可信网络的TCP回应包进入,还要注意放行特定UDP包和其他协议包(由省级招办的信息技术部门提供),禁止外部网络对招生专网主动访问,尽量减少网络被入侵的机会。在边界路由器与汇聚交换机互联接口的入方向,只接受来自招生专网的合法流量,过滤非法流量对校园网的影响。
在指定主机和网络范围条件下,采用SSH方式来远程管理设备,确保远程安全管理。
3.5 二层接入控制
为了控制招生现场主机发出的数据包是与业务相关的而且是合法的,以此提高接入层的安全性,除了做好物理安全防范,还要进行接入层端口级别上的控制,例如,禁用闲置端口,设置防环功能,广播风暴抑制功能,还要确认主机入网许可等。所谓主机入网许可是通过对接入交换机进行特殊配置实现的,在交换机上对IPv4接入主机的MAC地址、IPv4地址、所属VLAN和连接端口实行绑定,生成静态的DHCP侦听表,然后基于该表启用防ARP欺骗功能和防源IP地址欺骗功能;类似地,对IPv6接入采用SAVI技术来实现。
在招生录取现场中的招生内网主机分为组长机和组员机,组长机负责对所有数据加工和汇总处理,以及向网上招生系统提交录取结果,而组员机主要负责预录取工作。对于省内录取而言,组长机可以控制组员机的显示内容,并向组员机分发登录客户端的用户名和密码,各院系的录取人员只能看到填报本院系志愿的学生数据。组员机有访问组长机的需求,但组员机之间没有必要相互访问。为了防止这些用来连接主机的端口被不合理使用,可采用私有VLAN技术和ACL技术。在接入交换机上启用私有VLAN功能,每个端口属于一个VLAN,隔离端口之间的所有流量,使处于相同子网的主机不能互访,只能经网关与外界通信;再利用ACL使处于不同VLAN的主机也不能互访。注意,组长机要能与组员机通信,且都要使用打印机,连接组长机和打印机的端口不能应用私有VLAN。
3.6 主机安全配置
由于招生录取工作人员是从全校各个院系、部门临时抽调而来的,人多手杂,直接接触、操作主机,有较大的安全隐患,因此对主机进行统一安全配置,可以避免人为引入的病毒、木马,防止网络蠕虫病毒对整个招生专网的攻击影响,也可防止录取数据外泄。
主机安全配置的主要原则是最小化配置原则,根据招生应用软件的需求,配备统一的操作系统,并更新到最新版本,为登录用户名设置强密码。还要清理操作系统自带的服务,禁用不需要的服务,禁用自动播放功能,防止移动存储介质插入自动感染病毒、木马。启用主机防火墙,拒绝网络上的其它主机对本机端口的访问。安装统一的网络版防病毒软件,并通过校内防病毒服务器更新最新的软件版本及病毒库。由于统一的网络版防病毒软件有安全监控中心,可以实时监控主机的病毒感染情况,有利于病毒主机的快速定位及相关处理。
一般招生工作人员使用的主机都连接在招生内网,不能访问与招生无关的站点,从而减少了工作人员随意上网造成的病毒感染及信息泄露的风险。
4 结束语
为了配合国家实施高校招生阳光工程,确保高校招生公平公正,学校高考招生专网必须严格配置、严格管理,从物理安全、网络安全和主机安全等多个维度,结合多种网络技术,提高招生专网的网络安全性能;采用独立网络、VLAN技术、接入控制、路由控制等技术措施加以保障,并通过管理制度、宣传教育、培训及安全监测手段对招生工作人员使用专网及主机进行配套的管理,最大限度减少安全漏洞和隐患,防止网络与信息安全事件的发生,切实维护良好招生秩序,保证学校的网上录取数据的机密性、完整性和可用性。
参考文献
[1] 姜钢. 强化信息安全管理 确保普通高校招生工作顺利进行[J]. 中国高教研究, 2005,(10):5-6.
[2] 陈可. 高校网上录取群集系统网络数据安全防护[J]. 黄冈职业技术学院学报, 2007,(04):32-34.
[3] 杜马. 网上录取与网络安全[J]. 中国考试, 2005,(12):40-42.
[4] [美] Yusuf Bhaiji著;罗进文,王喆,张媛等译. 网络安全技术与解决方案[M]. 北京: 人民邮电出版社, 2009年3月.
[5] 福建星网锐捷网络有限公司. RG-S2600E系列交换机RGOSV10.4(3)版本配置手册[EB/OL]. [2011-8-10]. http://.cn.
[6] 潘莹,梁京章,王世辉. 基于SAVI的IPv6校园网源地址验证方案及其实现[J]. 广西大学学报(自然科学版), 2011,(S1):185-189.
当前,计算机网络技术逐渐普及,全球信息化已变成人类发展的主要趋势。人们在生活及工作中愈发对其依赖,可是由于计算机网络具备开放性、多样性及互联性等特征,所以会造成私有信息及重要数据损坏的状况,从而令网络安全问题愈发严重,也被当前信息社会的各个行业所关注。
1计算机网络安全技术定义
对于计算机管理而言,计算机网络安全技术指的是数据处理系统使用的有关安全保障措施及系统处理方案,是通过这一方法确保计算机内的软硬件安全及数据安全,确保主要数据文件不会被恶意、偶然性攻击,确保数据不会产生泄漏问题。因此,计算机网络安全技术从本质而言尤为关键,其对保障计算机内部数据的稳定性、保密性、可用性具有较大的意义,以确保数据不会被损坏。可是,因为计算机用户身份不同,对一般客户来讲,通常是指个人隐私信息等安全传输于网络当中,可是针对网络供应商而言,其对网络安全技术的需求除确保基本用户安全信息乃至数据正常传输以外,还需对不同类别的突发状况及不良影响对网络安全产生的影响进行预防控制。
2主要病毒介绍
蠕虫病毒大多透过计算机网络系统漏洞进行传播,大批蠕虫病毒会将计算机系统传输通道堵塞,并且蠕虫病毒只要被激发,感染病毒的计算机则会通过网络向网络内的其他计算机传播携带病毒的电子邮件,逐步对网络内的其他计算机系统进行感染。木马病毒作为计算机网络内最普遍的病毒方式,其能够透过计算机网络系统漏洞或通信网络通道侵入用户计算机的网络系统当中,向外部网络传输计算机网络系统内主要的内容或信息,这一病毒的隐藏性较强,为计算机网络安全运转造成较大困扰。ARP病毒通过计算机网络传输通道,仿造或改变ARP数据包,影响计算机网络的安全稳定通信,对计算机网络数据的正常运用造成损坏。后门病毒具备特有的共性,则为通过计算机通信网络为具有安全问题的系统软件打开通道,严重危害到计算机网络的安全性,只要系统用具有病毒的系统软件,则会令计算机网络系统处于彻底瘫痪状态。
3计算机网络安全威胁的特征
3.1突发性与扩散性
计算机网络损坏一般并无预知性,并且影响力会快速蔓延。不论作为个体还是群体,计算机网络攻击均会由于网络的互联性而构成扩散的损坏力,其影响规模如不被控制则会呈现无限性扩散。
3.2隐蔽性与潜伏性
计算机网络攻击恰恰因为具有隐蔽性,且过程所需时间较短,令使用者无法预防。计算机攻击引发的效应需要一些时间,攻击通常需要潜伏于计算机程序当中,直至程序符合攻击效应引发的条件,被攻击对象才会发觉问题所在。
3.3破坏性与危害性
网络攻击通常仅对计算机系统引发严重的危害,令计算机处在瘫痪状态。并且只要攻击成功,则会为计算机用户造成严重的经济损失,还会危害到社会及国家的安全。
4计算机网络安全技术的影响因素
4.1物理安全技术的因素
(1)人为因素人为因素作为物理安全技术因素中最直观的因素也是最易预防的一个因素。人为因素分成两个部分:人为不重视因素损坏及不法分子破坏。人为不重视因素指的是人们在工作当中关于密码设定太过简易或针对重要资源通常不急于保护。比如计算机开机不设置密码。在机房工作人员、线路、主机等工作中懒惰或不作为使得网络维护不够及时,而令网络处在停工状态或较长时间处于瘫痪状态。不法分子的破坏因素则为不法分子被利益所驱使而罔顾法纪、不受道德束缚,而对传输网络电缆形成盗窃行为。并且由于被商业目的及其他目的所影响而窃取信息的表现。(2)自然因素自然界中具有许多自然现象,比如雷电、辐射等问题,会对露天状况中的各类传输线路形成不必要的影响,以此对网络传输的稳定性造成影响。
4.2人为逻辑安全因素
人为逻辑安全因素指的是透过不同编程软件的黑客入侵、非法授权访问、电脑漏洞、病毒及IP盗用等针对计算机形成的破坏及盗窃数据及信息。
5计算机网络安全技术的防护措施
5.1创建防火墙
防火墙经过连接网络数据包对计算机采取监控,防火墙好比门卫,对所有系统的门进行管理,对于不明身份的人员想要进入系统,防火墙则会立刻进行阻拦,并对其身份进行检验,只有获得用户许可后,防火墙才能将此程序传输的所有数据包进行放行。通常而言,用户对于一些并不了解的文件,应当及时阻拦,并透过搜索或防火墙提示对其性质进行确认。当前,适用范围最为普遍的网络安全方式则为防火墙,其可以有效避免网络中的不安全因素蔓延至局域网中(如图1所示)。
5.2建立备份及恢复功能
连接给定的属性及网络服务器,则为属性安全控制,对比权限设定更为深入的给予网络安全保障。网络属性不但可以对删除、共享、拷贝、执行、数据等进行控制,还可以对关键的目录及文件进行保护,以免有人故意修改、删除、执行目录及文件。透过备份系统,可以良好规避存储设施的异常损坏。庞大的数据库触发器及恢复主要数据,可以较大范围确保关键数据的恢复。
5.3提升病毒防杀技术
针对计算机网络的损坏性而言,网络病毒具备强大的破坏力,所以,对网络病毒的防范尤为重要。在生活当中,对网络病毒防范主要的是杀毒。实则不然,想要避免病毒的侵入,则需做好预防病毒入侵。假如计算机已经感染病毒后再对病毒进行确诊,通过杀毒的方式,则属于亡羊补牢,事后弥补的方式并不能真正将计算机的安全问题给予解决。因此,对计算机网络病毒最关键在防,其次为杀,用户可将一款正版杀毒软件安装于计算机当中,随时监督计算机病毒状态,并且还需及时升级杀毒软件病毒库,由于病毒随时变化,所以只有将病毒库及时更新,才可以确保追查到新病毒。只要发现计算机中具有潜在病毒,则需立刻清除。
5.4提高安全意识及安全管理
为确保计算机网络安全,必须提升计算机网络用户对安全预防的概念,并且强化计算机安全管理。为提高用户的安全意识,可以透过分析安全实例提醒用户,可以指派相应宣传人员讲解安全重要性,通过对案例中个人计算机所受攻击的原因进行探讨,以此提高计算机用户的防范意识,确保用户安全意识创建完善。可以从设置访问密码及权限入手,令计算机用户知晓,不论作为计算机开机还是打开计算机内的文件,均应当通过密码进行访问,并且确保自己设定的密码不会过于简单,但自己却容易记住,尽可能使用繁琐、较长的密码。访问权限设定主要是IP地址、路由器权限两方面,只有具有信任度的IP地址才可获取访问权限,对于陌生及违法IP请求,必须拒绝访问,如此才可确保计算机不受损害。设定路由器时,计算机用户可以通过自身意愿设定权限,或直接让管理员为固定计算机设定授权,如此才可以有效确保计算机网络的使用安全。
6结束语