前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全及解决方法主题范文,仅供参考,欢迎阅读并收藏。
关键词:计算机网络;网络安全;安全性分析;安全策略;解决方法
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2009)15-3890-02
On the Computer Network Security Issues
SHI Yang
(Nanjing Communications Vocational Technology College,Nanjing 211188,China)
Abstract: Sets out to strengthen the security of computer networks, the importance of an analysis of computer network security, and security analysis of the proposed solution.
Key words: computer network; network security; safety analysis; security policy; resolvent
计算机网络的迅速发展,使它成为现今人类活动中不可或缺的一个重要组成部分。计算机网络具备分布广域性、体系结构开放性、资源共享性和信道共用性的特点,因此我们在享受网络服务带来的方便和便捷的同时,也必须面对由此引入的巨大安全保密风险。广泛应用的TCP/IP 协议是在可信环境下为网络互联专门设计的,加上黑客的攻击及病毒的干扰, 使得网络存在很多不安全因素,如口令猜测与破译、DDOS攻击、TCP端口盗用、ARP地址欺骗、邮件炸弹、业务否决、对域名系统和基础设施的破坏、利用WEB破坏数据库、病毒携带等。因此,针对计算机网络在实际运行过程中可能遇到的各种安全威胁, 必须采用防护、检测、响应、恢复等行之, 建立一个全方位并易于管理的安全体系,保障计算机有效的安全措施网络运行的安全、稳定、可靠。
1 计算机网络安全体系的结构
图1为计算机网络安全体系的结构图。
2 计算机网络安全体系的分析
2.1 网络层的安全性分析
网络层安全是网络中最重要的内容,涉及3个方面。
1) IP协议本身的安全性,IP协议本身没有加密使得非法盗窃信息成为可能。
2) 网管协议安全性,如SNMP协议的认证机制非常简单,并且使用未加保密的明码传输。
3) 网络交换传输设备的安全性,交换传输设备包括路由器、ATM和传输介质。由于Intemet普遍采用路由器的无连接存储转发技术,并且路由协议是动态更新的OSPF和RIP协议,更新装有这些协议的路由表,一旦某一个路由器或路由器相应线路发生故障或出现问题,将迅速波及与该路由器联系的网络区域。例如:2006年12月27日由于台湾地震影响,所有经过太平洋的海底光缆都受到不同程度的损坏,以至于内地访问国外的网站会特别慢,甚至会出现打不开的情况。
2.2 系统的安全性分析
在系统安全性问题中,主要考虑两个问题:
1) 病毒、木马对于网络的威胁。
病毒和木马一直是计算机系统安全最直接的威胁, 网络更是为病毒和木马提供了迅速传播的途径,它们很容易地通过服务器以软件下载、邮件接收等方式进入网络,然后对网络进行攻击, 造成很大的损失。
2) 系统的漏洞及“后门”, 操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。另外,编程人员为自便而在软件中留有“后门”,一旦“漏洞”及“后门”为外人所知,就会成为整个网络系统受攻击的首选目标和薄弱环节。大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。
2.3 应用程序的安全性分析
需要考虑的问题是:是否只有合法的用户才能够对特定的数据进行合法的操作。涉及两个方面的问题:一是应用程序对数据的合法权限,二是应用程序对用户的合法权限。例如在公司内部,上级部门的应用程序应该能够存取下级部门的数据,而下级部门的应用程序一般应该不允许存取上级部门的数据。同级部门的应用程序的存取权限也应有所限制,同一部门不同业务的应用程序也应该不允许访问对方的数据。这样可以避免数据的意外损坏,也是从安全方面的考虑。
2.4 数据的安全性分析
在系统信息安令领域,安全保护的根本对象应当是那些存储在磁盘系统上的有效数据,设置防火墙、使用密码、数据加密等做法都是有效的手段。有效数据存储的任何设备、系统,数据流通的任何线路、连接都是网络安全所要考虑到的,而对于数据的安全性所要考虑的问题是:机密数据是否还处于机密状态。
3 计算机网络安全体系的分析的解决方法
3.1 网络层的安全性的解决方法
1) 网络的物理安全性主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络层的安全性的前提,制定健全的安全管理制度,做好异地冗余备份,并且加强网络设备的更新与管理,加强路由协议的动态更新,建立多线的路由选择,如地震后中国电信、中国网通、中国联通等六大电信运营商已经达成协议,共同建立一条连接中美的首个兆兆级海底光缆系统――跨太平洋直达光缆系统(简称TPE),通过这些措施风险是可以避免的。
2) 网络层安全性的另一个核心问题在于网络是否受到控制,即:是不是任何一个IP地址来源的用户都能够进人网络。如果将整个网络比作车站,对于网络层的安全考虑就如同为车站设置检票员一样。检票员会仔细察看每一位进站人的车票和行李,一旦发现无票或危险的来访者,便会将其拒之站外。最主要的防护措施包括:防火墙、VPN ,其中,防火墙技术是网络安全采用最早也是目前使用最为广泛的技术,它将网络威胁阻挡在网络入口处,保证了内网的安全。而以 VPN为代表的加密认证技术则将非法用户拒之门外,并将发送的数据加密,避免在途中被监听、修改或破坏。通过网络通道对网络系统进行访问的时候,每一个用户都会拥有一个独立的IP地址。这一IP地址能够大致表明用户的来源所在地和来源系统。防火墙会通过对来源IP进行分析,便能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害,VPN为代表的加密认证技术通过解密判断来自这一IP的用户是否有权使用本网络的数据。一旦发现某些数据来自于不可信任的IP地址,系统便会自动将这些数据阻挡在系统之外。并且能够自动记录那些曾经造成过危害的IP地址,使得它们的数据将无法第二次造成危害。
3.2 系统安全性的解决方法
针对目前日益增多的计算机病毒和恶意代码,应采取的病毒防范策略如下:
1) 选择经公安部认证的病毒防治产品,如瑞星、金山毒霸、Norton 、McAfee 、卡巴斯基等。
2) 保证病毒库处与最新状态并定期进行查杀病毒和木马。
3) 制定严格的防病毒制度,不允许使用来历不明、未经杀毒的软件不阅读和下载的来历不明的网上邮件或文件,严格控制,阻断病毒的来源。
4) 对服务器及主机系统进行安全评估;要弥补这些漏洞,就需要使用专门的系统风险评估工具帮助系统管理员找出哪些指令是不应该安装的,哪些指令是应该缩小其用户使用权限的。在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。
5) 正确配置系统,减少病毒侵害事件,确保系统恢复以减少损失。在具体实施时,由于计算机网络用户数量庞大,如所有用户都购买网络杀毒软件则投资太大,可以优先对服务器进行网络防病毒保护,而对个人主机可用单机防病毒软件进行防护。另外,需调动各级系统管理员和用户的积极性,定期对操作系统进行打包、升级,及时发现感染病毒的主机,清除病毒。
在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。
3.3 应用系统安全性解决方法
计算机网络主要是通过各种应用系统来体现的,因此应用系统的安全可靠性就显得非常重要。应用系统的安全主要包括授权、认证和加密传输。由于涉及的应用系统非常多,总体上应掌握以下一些原则:
1) 应用系统之间或应用系统各模块之间的通信必须经过授权或认证,如对办公自动化(OA) 等系统传输数据必须进行加密。
2) 限制用户的权限,使用户无法获得系统管理员的口令,防止非法用户对系统进行破坏。对新用户开放满足要求的权限即可,不必开放所有权限。
3) 利用防火墙或TCPWRAPPER等限制应用服务可被访问的客户地址段,关闭不必要开放的端口,降低被攻击的可能性。
4) 经常留意用户从哪里登录主机系统,要检查其合法性。
5) 加强计算机网络信息中心各主机的安全管理,严禁用户以各种途径执行系统级指令,以避免黑客通过SNIFFER等工具软件侦听密码或其他信息。
6) 加强密码管理,提醒或强制应用系统中各人员定期修改密码,禁止使用安性不高的密码。
3.4 数据的安全性分析的解决方法
1) 在数据的保存过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证即使数据失窃,偷盗者(如网络黑客)也读不懂其中的内容。这是一种比较被动的安全手段,但往往能够收到最好的效果。
2) 在数据的传输过程中,机密的数据使用信息加密手段。目前市场上成熟的商业加密设备很多,如发给用户的电子口令卡、使用USB接口的USBKEY 这些较为简单实用,他不仅可以对指定的网络传输机密数据进行数字签名和身份认证,而且具有系统电子密码功能,可以作为操作系统登录的物理电子密码,从而将单因子认证机制升级为双因子认证机制,更大程度上确保了监控管理软件。
3) 传输中所用的加密算法根据不同情况选用公开密钥或私有密钥算法。为保证传输信息不被篡改,还可采用MD5等算法。如计算机网络内部的一些基于WWW的应用( 如OA系统),其加密协议可选用SSL SHTTP,或COOKIE机制及DES,MD5 算法。
4 结束语
上述的计算机网络安全体系中的四方面是相辅相成的,通过以上对它们的分析及解决方法基本上可以建立一套相对完整的网络安全系统。现有的安全技术包括数据加密技术、数字签名技术、防火墙技术只是提供了一种静态的防护措施 但这种措施又是必不可少的,它可以和入侵检测系统结合起来取长补短。总之网络安全是一个系统工程不能仅仅依靠防火墙等单个的系统而需要仔细考虑整个系统的安全需求,并将各种安全技术和管理手段结合在一起才能生成一个高效统一通用的网络安全体系。
参考文献:
[1] 王相林.组网技术与配置[M].北京:清华大学出版社,2007.
[2] 陈龙.安全防范系统工程[M].北京:清华大学出版社,1998.
[3] 秦超.网络与系统安全实用指南[M].北京:北京航空航天大学出版社,2002.
[4] 李海泉.计算机网络安全与加密技术[M].北京:科学出版社,2001.
[5] 赵小林.网络通信技术教程[M].北京:国防工业出版社,2003.
[6] 魏大新.Cisco网络技术教程 [M].北京:电子工业出版社,2004.
关键词:无线网络;安全隐患;防范;安全方案
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2012) 09-0000-02
随着智能手机以及各种便携式移动终端在校园内的逐渐普及,传统的有线校园网受布线以及空间的限制已经无法完全满足广大师生的需求。因此,搭建成本更低、灵活性、移动性更好的无线网络早已成为各大高校弥补有线网络不足的重要措施。借助开放性的电磁波传输,无线网络在信息传递的速度和质量上给校园带来了革命性的变化。但是,由于无线网络固有的开放性,又大大增加了网络管理人员管理无线网络的难度和增大了外部设备对校园网络的威胁。
一、校园无线网络的安全隐患
由于无线网络的信号难以控制,数据可能出现在预期之外的地方。这增加了网络被入侵的机率。同时因为无线网络依靠的是逻辑链路而不需要提供物理上的连接,所以任何在无线网络广播范围内并获得网络访问权的人都可以监听网络,并通过非法手段获得一些敏感的数据及信息。
类似其他领域的无线网络,校园无线网络也存在着以下几点安全隐患:
(一)不易管理
首先,由于无线网络开发的特殊性,管理人员很难对无线网络进行管理。其次,由于无线网络的便捷性,只要在无线广播范围内,任何地点都具有接入方便的特点,所以,通过布置防火墙等硬件措施并不适合于无线校园网。再者,无线网络协议一直以来都存在着缺憾。IEEE在802.11标准之后,虽然有针对性的提出了一些加密的方法来实现数据的保密性和完整性,但是WEP协议依旧存在着严重的缺陷,对于之后改进的802.11i,虽然大幅度的改善了网络的安全性,但是否还存在问题,任然需要时间来衡量。
(二)信息泄密
对于有线网络,由于其物理空间的界定,在传送数据包时,技术人员可以通过对物理网络的处理以提高传送的安全性。然而,由于无线网络采用无线通信的方式,所以传送的数据包更容易被截获,截获者甚至不需要将窃听设备连入网络便可进行截获,而任何截获数据包的人都对其进行破译、分析,从而导致信息的泄密。
(三)网络资源遭窃
网络资源遭窃就是一般所说的“蹭网”,一旦发生蹭网行为,则大量的网络带宽将会丧失,资源减少,将会影响到网络的性能及传输效率。
(四)存在地址欺骗的隐患
这是基于IEEE802.11协议所产生的问题,由于802.11协议对数据帧没有认证操作,网络中站点的MAC地址容易丢失,所以攻击者可以使用虚假地址的数据帧进行ARP攻击。更严重时,攻击者可以冒充AP进入网络,获得真实的认证信息。
(五)其他安全隐患
无线网络还存在着拒绝服务攻击、Web攻击、DNS欺骗、缓冲区攻击等安全隐患。
校园无线网作为无线网络具有以上的一些安全隐患,但同时校园无线网也存在着另外一些安全问题。
由于安全意识不强、校园无线网布置水平的参差不齐,校园无线网的安全性并不高。甚至,很多的无线接入点都没有考虑到无线接入的安全问题。无线网络接入的认证存在缺陷,MAC地址的认证、共享密钥的认证等基本认证方法并没有完全普及,只有少数高等院校配备了更高级的802.1x认证协议。同时,相比大型无线网络来说,一般校园无线网还需要一套更加统一、细致的安全体系!
二.无线网络问题的传统解决方法
一般来说,无线网络安全问题的传统解决方法有以下几种,它们同时也适用于校园无线网络。
(一)MAC地址过滤
由于MAC地址的唯一性,MAC地址过滤方法成为了解决无线网络问题的常见方法。技术人员可以通过将合法的MAC地址下放到每一个AP中,或者存储在无线控制器中以实现MAC地址过滤的功能。
(二)隐藏SSID并禁止广播
SSID是指用来区分不同网络的标识符,是无线网络用来进行定位服务的一项功能。一台计算机只能和一个SSID网络连接并进行通信。SSID设置在无线接入点AP上。通常来说,为了使接入的终端能获知周围的无线网络,AP会广播SSID。然而,这将大大降低无线网络的安全性。为了提高网络的安全性,AP最好不进行广播,并将SSID映射成一串无规律的长字符串。这样,任何未被授权的移动终端即使通过自动扫描功能感知到无线网络的存在也无法接入。
(三)使用VPN技术
VPN(虚拟专用网络)技术是目前最安全的解决方案。它可以通过隧道和加密技术提高信息的安全性。
(四)数据加密
对传输数据的加密是提高安全性的必要条件。这样,即使在未授权的情况下,数据被截获,也能使损失降低到最小。
(五)其他方法
其他方法如:禁止动态主机配置协议、使用802.1x控制网络接入等都能起到很好的提高安全性的作用。
三、综合性的校园无线网络安全方案
校园无线网络相比一般无线网络来说,虽然具有一般性,但同时也有自己的特殊性。所以,要想提出一个综合性的校园无线网络安全方案,不但需要以上提到的各种无线网络安全技术,还需要做到以下几点:
(一)规划优先
在构建校园无线网络之前需要对设计方案及规划进行充分的考量,这包括网络环境的设计、设备的购买、AP的布置、服务器的管理和技术人员的培训等。对于天线的选用需谨慎,杆状全向天线覆盖范围过大,增大了入侵者入侵校园无线网的可能性。在不同的区域应布置不同类型的天线。而对于AP来说,在配置时,应在满足要求的前提下,尽量使发射功率最低,以降低入侵的可能性。
另外,对技术人员的培训也是至关重要的,技术人员水平的参差不齐会导致校园无线网布置漏洞的出现。对软、硬件技术人员应该分开培训,使其懂得网络的正常管理和故障维修。对工作人员来说,必须提高他们的安全意识和专业水平。
同时,在规划校园无线网络的时候,还要考虑到整个互联网大环境的影响。在设计阶段,可以借助建立小范围模型的方法,模拟可能出现的各种问题,攻击模型,观察所规划的网络的表现,从而得出设计漏洞,进行改进。建模的方法能节约成本,使设计更加完善,提高安全性。
(二)提高校园无线网身份认证的水平
由于校园无线网的特殊性,要想得到一套综合的安全方案,需要在身份认证时,对使用人群进行分类,不同的人群使用不同的认证方法。一般来说,可以分为以下几类:1.固定使用群。一般是指校园内的师生及一些固定的校内工作人员。这类人群需要经常性地接入校园无线网。对于这类人群,安全性要求较高,所以可以使用比较复杂,但是安全系数更高的802.1x进行认证。2.流动使用群。这类用户通常是临时的在校园内生活,他们可能是交流访问的学者或者是受邀而来的宾客,他们只需要在一个特定的时间段接入校园无线网,并非长久性的。所以,对于这类人群,安全性要求显得并没有那么高,可使用简单的Portal认证。
(三)更加统一的校园无线网标准的建立
为了更加方便、系统地管理校园无线网,需要建立更加健全、安全、完善的统一标准。这将避免由于各高校标准不一而带来的漏洞问题。而且,各高校最好能共享无线网络技术,定时进行互相交流与学习,从而避免校园无线网络技术的层次不齐所带来的影响。同时,还需建立更加完善的法律法规,对构成严重网络损害的入侵者进行相应的惩罚,这样才能达到事半功倍的效果。
四、结束语
无线网络技术给校园带来了便捷性,但同时也带来了许多的安全隐患。构建校园无线网络不但需要安全技术的不断改善、实现有线网和无线网的无缝连接,更需要一套更加综合、更加完善的解决方案。只有这样才能保证校园无线网络的安全性,才能真正达到服务校园的目的!
参考文献:
[1]郑东兴.浅谈无线网络安全防范措施分析及其在校园网络中的应用研究[J].职业技术,2012,01
[2]张洪.浅谈校园无线网络的安全现状与解决方案[J].职教研究,2011,02
[3]王双剑,丁辉.无线网络安全的机制及相关技术措施[J].科技传播,2012,06
[4]陈亮.无线网络安全防范措施探讨.信息与电脑(理论版)[J].2011,03
[5]宋玲.浅议无线网络的安全隐患与防范措施[J].科技信息,2012,10
[6]张丽.无线网络安全的思考[J].硅谷,2012,01
[7]任伟.无线网络安全问题初探[J].信息网络安全,2012,01
[8]吕明化.无线网络在校园网中的应用[J].魅力中国,2009,18
[9]张景文.校园无线网络安全技术分析[J].电脑知识与技术,2010,12
[10]刘宏.无线网络安全缺陷与应对策略分析[J].信息与电脑(理论版),2010,06
关键词:公安信息化 网络安全 分析
中图分类号:D631.1 文献标识码:A 文章编号:1674-098X(2016)09(a)-0003-02
由于工业信息技术与软件的使用日益普及,公安信息化网络安全问题也日渐增多,网络安全问题不是纯粹的技术问题,是技术与管理的综合,而是一项复杂的系统工程。公安信息化是实现公安工作现代化的必由之路。公安信息网络的安全保障工作直接关系到公安工作的效率和成果。对公安信息网络实行分等级保护是保障公安信息网络安全的一个很好的方法。
全国公安信息化建设工作开展以来,各地公安信息化建设取得了一定的成果。各地的公安信息化建设成果的表现也不尽相同。2013年,秦皇岛成为全国首批“智慧城市”试点城市。秦皇岛公安信息化的建设与“智慧城市”的建设相互促进。该文运用文献查阅法、对比分析法、系y分析法等方法,对公安信息化、公安信息化建设、“智慧城市”等相关理论进行阐述。明确公安信息化概念、标志、特征以及重要意义;明确公安信息化建设的内涵、影响因素、建设内容以及评价内容;明确“智慧城市”的内涵、特征、应用以及“智慧城市”与公安信息化建设的关系。在相概观念明确的基础上,从秦皇岛市公安信息化建设的规划布局、基础网络建设情况(包括通讯网络、平安城市监控点、智能交通设施的建设)、公安应用系统建设情况(一、二、三级平台建设情况、数据研判平台、交通综合指挥平台、便民服务平台建设情况)、应急保障体系建设情况、保障体系建设情况(领导、组织、人才、资金)、服务实战及成效方面(高清视频监控系统、智能交通)进行现状分析,发现秦皇岛公安信息化建设在基础网络、应用平台体系、技术力量、体制建设等方面的问题以及复杂的挑战。
1 计算机网络安全体系结构的组成
计算机网络安全体系结构是由硬件网络、通信软件以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。通过使用路由器、集线器、交换机、网线等设备,用户可以搭建自己所需要的通信网络。对于小范围的无线局域网而言,人们可以使用这些设备搭建用户需要的通信网络,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,这种防护措施可以作为一种通信协议保护,目前广泛采用WPA2加密协议实现协议加密,用户只有通过使用密匙才能对路由器进行访问,通常可以将驱动程序作为操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护,不能被更改、泄露和破坏,能够使整个网络持续稳定地运行,信息能够得已完整地传送,并得到很好保密。因此计算机网络安全涉及到网络硬件、通信协议、加密技术等领域。
2 信息安全管理
公安机关网络信息管理指的是公安机关工作人员通过规定的手段保证信息、数据、服务和通信的安全等。公安部门的安全管理系统是一个持续的过程,必须加以确定并不断审查。计算机网络安全系统作为公安机关的主要软件,并尽一切努力使公安机关网络信息更安全,同时提高公安系统工作人员的IT安全意识。网络安全解决方案和数据安全在公安领域也起到了至关重要的作用。加强信息的安全管理,防止各种信息的泄漏和窃取,有效打击各种形态的网络犯罪,已成为当前公安网络建设的重要课题。
3 数据安全
越来越多的设备连接到互联网,也受到常用办公操作系统的间接控制。如今网络入侵变得更有针对性,黑客只向配备关键安全功能的少数计算机发送恶意软件,通常是为了进行间谍活动。这意味着,病毒和特洛伊木马可以很长一段时间不被察觉,在被杀毒软件捕获之前已造成很大损害。因此,有效的数据保护措施必须提供全方位的深入保护。网络安全策略是网络安全计划的说明,目的是设计和构造网络的安全性,以防御来自内部和外部入侵者的行动计划及阻止网上泄密的行动计划。因此,建立网络的安全策略,应在建网定位的原则和信息安全级别选择的基础上制定。公安信息系统安全问题的解决依赖于技术和管理两方面,在采取技术措施保障网络安全的同时,还应建立健全网络信息系统安全管理体系,通过以上管理机制和技术措施的实施,提高网络安全性,降低网络安全事故的风险,保证网络长期平稳运行。
4 结语
社会信息化的发展给公共安全领域带来了机遇和挑战。敌对势力和不法分子利用信息技术的犯罪活动越来越多,公安机关在维护社会治安、打击违法犯罪活动中所涉及的业务信息量也在急剧地增加。在这种时代背景下,公安信息化建设显得十分重要。公安信息化建设非常有必要,并且具有深远意义。公安信息化是提高执法质量的必由之路,公安信息化有利于提高公安的工作水平,公安信息化有利于共享信息资源和情报,从而更好地打击犯罪。公安工作信息化的目标,就是通过大力推广应用现代电子信息技术,实现公安工作的信息共享、快速反应与高效运行。由此可见,众多的网络安全风险需要考虑,因此,公安部门必须采取统一的安全策略来保证网络的安全性。
参考文献
[1] 何姗.公安信息网络安全保障策略研究[J].信息安全与技术,2011(8):5-7.
[2] 尹晓雷,于明,支秀玲.公安内部网络安全问题及解决方法[J].信息技术与信息化,2010(1):18-22.
[3] 王众.秦皇岛市公安信息化建设研究[D].燕山大学,2015.
【关键词】计算机网络技术;网络安全;现存问题;解决办法
【中图分类号】TP393.08
【文献标识码】A
【文章编号】1672—5158(2012)10-0112-01
一、计算机网络安全现存的主要问题
1、攻击操作系统开放的服务端口。该攻击主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制,造成地址空间错误的一种漏洞。例如利用软件系统中对某种特定类型的报文或请求没有处理,软件遇到该种类型的报文时运行出现异常,造成软件崩溃甚至系统崩溃。典型如OOB攻击,通过向Windows系统TCP端口139发送随机数来攻击操作系统,使中央处理器(CPU)始终处于繁忙状态。
2、攻击传输协议漏洞。该攻击主要利用一些传输协议在其制定过程中存在一些漏洞进行攻击,由于恶意请求资源而造成服务超载,使目标系统不能正常工作或者系统瘫痪。典型如通过TCP/IP协议里的“三次握手”漏洞而发动SYNFlood攻击。
3、通过伪装技术发动攻击。例如伪造IP地址、DNS解析地址或者路由条目,让受攻击服务器不能辨别请求或不能正常响应这些请求,导致缓冲区阻塞或死机现象;或者把局域网里的一台计算机的IP地址设置成与网关地址相同,导致网络数据包不能正常转发而形成网段瘫痪等现象。
4、通过木马病毒入侵攻击。作为基于远程控制的黑客工具之一,木马的特点是隐蔽性与非授权性,如果目标主机被成功植入,用户主机就会完全被黑客所控制,从而成为黑客的超级用户。通常木马程序被用来收集系统中的口令、账号和密码等重要信息,严重威胁用户的信息安全。
5、利用扫描或Sniffer(嗅探器)窥探信息。这里的扫描主要指针对系统漏洞而进行的系统和网络遍历搜寻的行为。因系统漏洞存在较多,通常恶意和隐蔽使用扫描手段也较多,通过探测他人主机的有用信息为做好进一步恶意攻击做好准备。嗅探器(sniffer)则指利用计算机网络接口将目的地为其它计算机报文进行截获的技术。通过网络嗅探器,可以被动地监听网络通信和进行数据分析,从而非法获得用户名和用户口令等重要信息,其被动性和非干扰性威胁网络安全,也使其相对隐蔽,一般网络信息泄密不易被用户发现。
二、计算机网络安全问题的解决办法
1、重要数据实施加密保护
为防止网络传输数据被人恶意窃听修改,应该对数据实施加密,让数据成为密文。这样没有密钥的数据即使被别人窃取,也无法将之还原为原数据,从而在一定程度上保证了数据安全。加密技术分对称加密和非对称加密两类。
对称加密。也叫私钥加密,即指信息发送方、接收方使用同一密钥实现加密和解密数据工作。其优点是加密和解密迅速,大数据量加密较为适合,缺点是密钥管理困难。一般通信双方如能确保专用密钥在密钥交换阶段不泄密,才可以通过这种加密方法对机密信息进行加密,然后随报文一起发送报文摘要或报文散列值,确保信息机密性和报文的完整性。
非对称加密。也叫公钥加密,即指通过一对密钥分别实现加密和解密操作,公开的即公钥,用户秘密保存的即私钥。具体信息交换过程为:由甲方生成一对密钥,将其中一把作为公钥公开给其它交易方,乙方得到该公钥后使用该密钥加密信息,然后再发送给甲方,甲方接收后再用保存的私钥对加密信息完成解密。
2、应用病毒防护技术
未知病毒查杀技术。该技术是虚拟执行技术以后的一项重大技术突破,实现了虚拟技术与人工智能技术的结合,能够准确查杀未知病毒。
智能引擎技术。该技术是特征码扫描法的发展,对其弊端进行了完善,实现了病毒库增大而病毒扫描速度不减慢的功能。
压缩智能还原技术。该技术可以在内存中还原压缩或打包文件,从而完全暴露出病毒。
病毒免疫技术。该技术作为反病毒专家的热点研究课题,其通过加强自主访问控制和设置磁盘禁写保护区完成了病毒免疫的基本构想。
嵌入式杀毒技术。该技术能够对病毒经常攻击的应用程序或者对象提供重点保护,通过操作系统或应用程序的内部接口来实现。能够对使用频度高、范围广的应用软件提供被动式防护。
3、运用入侵检测技术
该技术可以及时发现并报告系统中未授权或其它异常现象,主要对网络中违反安全策略的行为进行检测。应用入侵检测系统,能够在入侵攻击系统前就检测到即将发生的入侵攻击行为,同时利用报警与防护系统驱逐入侵攻击。入侵攻击时可减少入侵攻击所造成的损失。被入侵攻击后收集入侵击信息,作为防范系统的知识添加到入侵知识库,增强系统的防范能力。
4、虚拟专用网(VPN)技术。
虚拟专用网(VPN)技术是目前解决信息安全问题相对比较成功的技术课题,该技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
5、利用网络防火墙与防毒墙技术
防火墙作为一种隔离控制技术,其主要通过预定义安全策略实现对内外网通信强制实施的访问控制功能,有包过滤技术、状态检测技术和应用网关技术等常用技术。防火墙能够对网络数据流连接的合法性进行分析。然而,如果病毒数据流从允许连接的计算机上进行发送则毫无作用,其无法对合法数据包中是否存有病毒进行识别;为了解决防火墙的防毒缺陷产生了防毒墙。这种网络安全设备在网络入口处实现对网络传输病毒的过滤。通过签名技术防毒墙在网关处实施查毒,有效阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,网络管理人员还可以对网络安全策略进行定义分组,以过滤网络流量,同时阻止传输特定文件、文件类型扩展名、批量或单独的IP/MAC地址、即时通信信道,以及TCP/UDP端口和协议。
三、结语
除以上方法外,还有漏洞扫描技术、数据备份和溶灾技术等,因篇幅所限不在此详述。计算机网络应用安全因各种新技术和方法的出现而不断更新和复杂化,相关解决方法也将愈加先进。
参考文献
[1]鲍丰;浅析计算机网络安全问题和对策[J];考试周刊;2011年57期
[2]刘华金;浅谈网络安全[J];中国科技信息;2005年17期
[3]杨芳玲;高校网络安全防护教育缺失问题分析[J];航空计算技术;2005年02期
关键词 网络安全综合监控平台;安全策略;处理机制
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)13-0176-02
近几年,随着电子计算机技术的不断发展和应用,网络信息安全已经成为了国家安全和人们日常生活安全的重中之重,安全策略在网络环境安全中起着重要的作用,它的运用,改善了网络管理的灵活性和扩展性,是一种有前途的网络安全问题解决方案。网络安全综合监控平台的建立则可以对网络的安全设备和安全设备进行监控和管理,提升了用户网络的安全水平和可管理性,对维护网络安全有着重要的意义。
1 网络安全综合监控平台
在当前的网络安全建设发展中,网络安全综合监控平台主要分为两层,分别是基础服务层和Web服务层,其中基础服务层的功能是为用户提供后台服务,如安全策略、系统管理以及安全监控等服务,主要由逻辑处理接口模块、通信模块以及数据库的读写模块构成,用于设备的通信等服务(如图1)[1]。
图1 网络安全综合监控平台架构
2 安全策略的定义及相关策略分析
1)安全策略的定义。安全策略是针对信息的安全访问控制问题提出的,在整个系统安全中处于核心地位,所以,安全策略就是网络安全的指南,是一组规则的集合整体,通过对这些规则的使用达到对网络资源的访问进行控制和管理的目的,从另一个层面来说,安全策略是根据网络管理的安全需要和管理目标制定的,对系统选择进行持久性、说明性的规范。
2)安全策略的特征。
①策略的完整性构造。在安全策略的实施中,系统中的任何主客体、操作或功能的行为都有着相对应的系统事件,经过事件触发选择满足事件条件的安全策略,因此,信息安全中的每一个事件都存在相应的策略可供选择[2]。
定义1.S假如发生的任意事件I至少能触发一个策略p,则
V I∈C∈P∈P・P=(CRXA)
cd:CD,CS:CS,d:D,r:R,a:A,
e:E・(cd,CS)(d,r,a,e),
表示策略p是完整的
②策略的正确性验收。所谓策略的正确性就是对已执行的结果或预期进行风险评估的过程,这种风险上限ulimit和评估函数对策略的正确与否起着直接的影响。
定义2.如果对任意一个策略p的风险评估都在可接受的范围之内,则
P∈P P=(CRXA)・
riskAssess(P)≤U lim it,
称策略集p是正确的
综上,正确的安全策略,来自于对系统任务的正确理解以及有效地风险评估模型,基于每个策略角色都有不同的安全需求的现实,动态系统的安全观就需要对策略的正确性定进行验证,在网络安全综合监控平台建设过程中,绝对正确的策略和绝对安全的系统是不存在的,所以要加强系统运行过程中的控制风险措施和降低威胁措施。
③策略的一致性检测。一致性检测是网络安全综合监控平台建设的关键,将执行时避免冲突和策略规则定义作为其任务目标,时刻准备消除冲突,大型系统中的策略数量众多,会设置多名管理员进行编辑策略和修改策略,所以发生策略之间的相互冲突在所难免。要有相应不得冲突检测和解决方法,进而做好安全信息系统的保障工作。
3)策略的冲突消解。网络安全综合监控平台中,出现策略是在所难免的,对其最简单的解决方法就是通过概念策略的条件以及动作等属性,进而使其不再产生,但是这种方法也有其局限性,只能在制定策略时使用,将网络安全进行预先检测,对发生的冲突实施专门的消解方法,这个过程也是对策略的信任和协商过程,根据控制策略法则,主要有以下策略冲突消解原则[3]。
①“优先权”原则:就是策略执行优先权的方案,主要有,本地策略优先、新加策略优先、反向策略优先以及近策略优先和指定优先权值等。
②“多约束优先”原则,也就是选择约束条件比较多的策略原则。
③“匹配优先”原则。就是在冲突发生的时候,选用最匹配的应对策略。
④“仲裁”原则:即在增加附加条件后再确立策略。
⑤“优先权+匹配优先”原则,就是指按照优先级原则得不到策略的情况下,进而选择其中最匹配的策略原则。
4)基于规则引擎的策略处理机制。
①规则引擎与策略规则。在一个策略规则中,一般由一组条件和条件下执行的操作组成,在网络安全系统的应用中表现为一段业务逻辑,主要由系统安全分析人员以及管理者进行开发和变更,对于复杂的策略规则,则可以由面向用户的脚本或语言来进行定制。
经过对专家系统推理引擎的发展,进而制定规则引擎,并将这种组件嵌入到网络安全综合监控平台系统的应用程序中,从应用程序代码中分理出策略决策,依据指定的语义模块进行策略规则的编写,根据过滤条件判断是否与实时条件相匹配在上述基础上决定是否执行规则中的规则动作,进行相应的安全策略执行。
②基于规则引擎的策略处理。作为一种软件组件,规则引擎要经过与程序接口的方式进行控制和使用,规则引擎的借口包括以下API:引擎执行API、加载以及卸载API以及数据操作API等。
开发者一般利用规则编辑环境来编辑技术规则,继而进行事件监听跟踪和查看,编辑规则时,要注重检测策略规则的正确性、完整性以及一致性,规则编辑时要注意其应用对象应包括系统的IDS及访问者、Scanner等安全设备。作为企业管理者对系统安全进行相应策略规则管理层的一种工具,网络安全综合监控平台可以根据网络攻击事件的状况和安全需求的变化进行动态的策略规则管理。
网络安全综合监控平台可以通过数据图表或文件的形式存储于LDQP数据库或关系数据库中,进行企业安全的逻辑决策。规则引擎包括模式匹配器、规则冲突处理器以及工作区内存、队列、引擎执行,它的推理步骤如图2。
图2 规则引擎的推理步骤
第一步,将事件对象的实例放入工作区内存;第二步,比较示例数据与规则库中的规则,用Pattern Matcher进行,并将符合条件的规则导入工作区;第三步,将第二步中激活的规则按顺序放入Agenda;第四步,执行Agenda中的规则,将可能发生的规则冲突检测出来并进行消除,然后重复进行第三步和第四步到执行完毕 Agenda中的所有规则。
在引擎执行的过程中,要按照规则执行的优先顺序逐条执行,在这个过程中,可能会改变工作区的相应数据对象,会使得此队列中的一些规则执行实例会根据执行条件的改变而失效,致使从队列中撤销,当然,也可能会以为激活了不满足条件的规则而形成新的规则执行实例,这种过程是由工作区中的数据驱动所决定的。
5)使用规则引擎分析。网络安全综合监控平台的实施中,引擎策略的使用应遵循以下步骤:首先,创建实体类,包括三个成员变量,certificateState.times和action;其次建立策略规则,描述请求连接的身份状态是非非法,进行认证是否允许连接;再次,创建规则引擎对象,处理数据对象集合,对其成员变量赋值后,依据规则引擎中的相应方法,命令引擎执行,继而到处执行结构。
3 结束语
综上所述,要确保信息系统中安全策略的正确性、完整性以及一致性,进而建立网络安全综合监控平台,进行策略的建立和存储,并根据市场需求变化进行修正,使安全策略具有较高的健壮性和市场适应性,为用户的网络信息进行高质量的
维护。
参考文献
[1]乔钢柱.基于无线传感器网络的煤矿安全综合监控系统设计与关键技术研究[D].兰州理工大学,2012.
[2]马进.加载隐私保护的网络安全综合管理关键技术研究[D].上海交通大学,2012.
[关键词] 医院管理;信息化;医院现代化
[中图分类号]R19 [文献标识码]B [文章编号]1673-7210(2007)10(a)-126-02
随着信息科学技术的发展和医疗水平的提高,医院信息化水平成为现代化医院的标志之一[1]。但在医院信息化过程中还有很多需要解决的问题。
1 信息化建设快速增加的投入与医院收入发展缓慢的问题
需要投入的原因,一方面是现代科技发展一日千里,医院信息化建设要吸取先进的科技成果,进行更新换代的投入;另一方面是政策的调整、医院业务发展也要求不断对医院信息系统进行调整。但信息化建设现在并不能用一个简单的公式把建设投入与医院收入挂钩,因为医院的收入受到很多方面的制约,比如医疗水平、服务水平、管理水平、地区因素等。计算机只是一种工具,要提高效率、节约成本、提高管理水平,就要在设计科学的工作流程,处理好科室与科室间的协同工作问题等。很多收益比较差的医院,由于信息系统只是简单的配合现有的管理模式来建立,在前期投入大笔资金建设基础网络后,并没有明显的收入增加,使工作人员、管理人员认为信息化只投入无产出,甚至由于某些岗位增加了工作量,造成对信息化建设的抵触心理,而不愿意继续投入。
建议的解决的方法:首先要改变上层管理者的认识,信息化进程是必须的,问题只是进程的快慢,程度高低;其次应提高信息管理在医院管理的地位,从医院发展初步规划时就开始考虑信息化需要完成哪些任务,不追求短时间内完成很多大项目,而是分阶段的从医院的发展水平出发,为信息化的发展设定短期和长期目标,然后再根据发展的目标,结合医院的财政、信息化情况,多方面考虑投入后的可能效益及实施项目的迫切性,选择能实际帮助医院解决目前问题,能带来实效的项目,逐步提高信息水平。
2 信息在医院工作中重要性不断提高与信息管理在医院管理中地位较低的问题
随着医院信息化建设的不断发展,病人的信息贯穿整个信息系统,各业务项目之间数据交换频繁[2],病人入院、吃药、结算、检查都需要通过信息系统操作,甚至病人吃饭也可能要持有IC卡进行扣费。信息的流动、规划、建设关系到医院运作是否流畅、有效,如果信息系统故障会严重影响医院的正常工作,降低服务水平,给病人带来很多不便。
要保证信息流的合理设置,最主要的是管理制度、工作流程的调整、以及医院发展目标的设定和实现方法。现在医院IT部门[3]只是作为一个维护系统的部门,在新业务流程的方案确定后再来要求信息系统配合方案进行程序上的修改,信息系统只能被动的适应医院的变化,制约了信息化提高医院标准化水平、提高效率、规范医院管理的作用。
建议的解决方法:信息部门要直接参与到整个医院管理过程中,无论是建设一栋楼、增加一个科室、调整一个部门的业务流程,还是制定一个新的医疗管理制度,都要从信息管理的角度出发进行考虑,通过信息系统协助完成,或设计信息系统可以接受的设置,保证项目实施后能顺利地形成有效合理的信息流,进一步使医院流程合理化、标准化。
3 网络开放性、共享性与网络安全管理的问题
随着使用者水平提高,网络的开放性、互连性、共享性程度的提高,我们面临更多更频繁的病毒发作、黑客攻击、网络崩溃。针对整个网络设计的网络安全方案,必须以牺牲一定程度的网络开放性、共享性为代价。比如医院网络需要连入网络,但连接外网的计算机是否允许接入内网,是否允许使用U盘等存储介质导入导出数据,以及制定怎样的网络访问方案等的问题困扰着管理人员。禁止可以很大限度地提高安全性,但却又限制了医院网络的可用性。
建议的解决方法:对科室内部的计算机采取严格的上网管理办法,整理出比较全面的可访问安全网站的名单,定义只可访问该部分网站,必须安装防病毒软件、防火墙等网络安全设备,限制下载文件,限制U盘的使用,要求如必须使用U盘就需要首先进行查杀病毒,以保证科室计算机尽可能少地发生安全问题。然后,开设上网中心,同样必须安装防病毒软件、防火墙等,在有专门人员的监管下,对上网中心的计算机可相对减少限制,如只设置不可访问的网站名单,允许使用U盘进行导入导出,允许下载文件。
4 复杂的用户要求与系统管理的困难
随着信息系统的发展,用户要求会越来越复杂化,导致程序复杂度上升,而且容易出现问题。有些要求,不仅涉及本部门的程序修改,还要求对整个系统进行再设计,需要修改多个相关部门的程序,要求系统维护人员在实施程序修改前就要充分考虑各种问题,如实施的可能性、实施的难度、对其他系统的影响、对数据和操作的影响。
建议的解决方法:①在接到用户修改要求后,先充分了解用户的意图,要达到的效果;②分析用户要求是否合理,是否符合法律与管理制度的要求,是否有效益等等因素;③确定要进行修改后,要从整个系统出发考虑修改带来的影响,考虑是否可实现;④尽量用简单的方法实现修改,注重测试修改结果;⑤留下清楚地修改说明、操作说明等文档,做好用户培训、管理员培训,为以后的系统管理打好基础。
[参考文献]
[1]王鲁,尹爱群,刘炜,等.信息化建设在医院管理中的作用和地位[J].医疗设备信息,2006,21(9):63-65.
[2]赵欢,王幼丽.医院信息化建设管理的几点经验[J].医学信息,2004,17(1):33-34.
关键词:网络安全;无线网络;云平台
DOI:10.16640/ki.37-1222/t.2015.24.108
无线局域网是一种利用无线电波、红外线、激光灯无线技术实现主机等终端设备灵活接入以太网的技术,是互联网技术和通讯技术结合的产物。无线网络已经悄悄走进各大高校并投入使用,校园网络安全是伴随着无线校园网络使用的产物。因此如何保证网络安全的问题也随之提上日程。
无线网络是建立在传统的有线网络和无线设备的基础上用来扩展网络的传输方式,无线网络一般分为三大类WLAN、WWAN、WPN,这些网络的共同点都是利用电磁波接收和发送网络传输数据。无线网络在快捷方便的同时也带来了安全问题,由于无线网络并不是通过某种介质来传递信息,因此获取到数据的方式可以通过能够获取电磁波的设备,这就为入侵者提供了开发的环境,因此安全问题在无线网络中显得尤其重要。
高校是新技术和高科技体验的前沿,由于使用者是学生特点是数量大、知识程度相对高、对新的事物好奇等特点,使得被网络攻击的频率增加,在校园无线网络的建设和运营时充分考虑到从使用用户的特点出发的安全因素和策略,以保障校园无线网络安全、可靠、稳定的运行,真正的方便广大教师和学生的工作、学习和生活。
1 高校无线网络安全存在的问题
1.1 网络管理的问题
高校无线网络最大的用户就是学生,建设无线网络的目的是方便老师和学生使用智能手机、笔记本电脑等设备随时访问网络进行学习、工作和交流,但是由此对于学习也带来了负面问题,在课堂上很多同学使用智能手机上网看电影、听音乐、购物,使课堂变成了游乐场所,学生变成“低头一族”,在宿舍很多同学使用笔记本电脑看电影、打游戏等,而且不注意作息时间严重的影响了自己和他人休息,违反了学校的规定,另外有的学生由于社会阅历浅、冲动,利用网络发表个人的不满和负面情绪影响和谐和团结。
1.2 用户窃听
高校无线网络处于一个开放环境,很容易通过无线电波截取网络数据包,并进行分析获得用户名、密码、账号等个人信息。
1.3 设备安全性
构建无线校园网络的主要设备有AP、交换机、路由器,天气或者人为原因都可能对设备造成损失,因此设备的安装位置和备份显得尤为重要。另外不法分子也可能使用增加基站的方式入侵网络,带来网路安全隐患。利用平台技术管理和分析设备使用情况可以提高网络安全级别。
1.4 DoS攻击
无线校园网络和有线校园网一样都会受到病毒攻击,在无线网络中攻击的目标一般是AP,当黑客一旦发现AP的IP地址就会发起DoS攻击,造成无线网络下AP瘫痪。
针对以上问题在解决高校无线网络的安全问题上采取在不同层次采取不同的安全策略,提出以下几种方法:
(1)访问控制。主要使用的技术有MAC物理地址过滤,SSID服务区标识匹配。
MAC地址即网卡的ID号,每个网卡都一个全世界唯一的ID号,是一个12位的16进制号码,其中前4位是网卡厂家的代码,是世界标准化组织统一分配的,后面是网卡代码。MAC地址过滤是在路由器中有一个过滤表,凡是表中登记的网卡,就可以通过路由器上网(或禁止上网)。在登录校园无线网时如果某个网卡的ID号码没有在路由器中登记,就不能连上,如果有登记记录既可以使用校园无线网络。这就是MAC地址过滤,在路由器设置中有这样一项。这一策略在一定程度上防止网络被盗用,用让用户体验到移动上网的优势。另外也可以在不同的地方比如教室、会议室、食堂等固定的区域对上网进行设置。
SSID (service set identifier)也就是“服务区标识符匹配”、“业务组标识符”的简称,最多可以有32个字符,通俗的说,它就可以比作有线局域网中的“工作组”标识一样或是无线客户端与无线路由器之间的一道口令一样,只有在完全相同的前提下才能让无线网卡访问无线路由器,在校园无线网络中就可以将校园网划分为多个WLAN,按照用户的身份进行管理,这也是保证校园网络安全的有效措施。
(2)身份验证。目前网络比较流行的验证方式是Portal验证,这种验证方式操作简单,通过搜索运营商的AP,打开用户的浏览器会直接弹出登录页面,输入用户名和密码后即可使用无线网络,但直接使用Portal会给用户带来安全风险,因此现在主流的使用采取portal加web方式,这种验证方式主要利用了安全性较强的CHAP式加密认证。
(3)监控与跟踪。传统的网络采用ACL技术动态分配网址,缺点是对用户不能实现精确的跟踪。校园应用要求识别并将网络行为更加详细地进行记录,以满足网络安全和审查需要。既能够针对每用户、每设备的应用识别和跟踪记录,也可以监控某些关键业务的性能。BYOD(Bring Your Own Device)方案提供了基于用户的状态防火墙,能够识别每个用户在每个设备上各种会话状态。
无线网络技术积极推动了教学效果、方便了教师和学生学习和生活,这也是无线技术走进校园的重要原因,为了更加有效的利用无线网络技术,无线网络的安全问题显得尤为重要,首先从技术上探索无线网络的安全问题,另外无线校园网络安全是一个长期的、系统工程,在实现过程中仅仅依靠先进的设备和技术不能完全解决问题,还需要合理的设计、维护和运营以及各个阶段的无缝式配合来保证校园无线网络安全、无障碍的运行。
参考文献:
[1]尧有平.校园无线网络安全威胁与安全策略研究[J].轻工科技,2013.
[2]李文.高校网络安全现存问题及解决对策[J].无线互联科技,2013.
[摘 要]随着网络信息技术和计算机技术的发展,我国众多的企业开始进行信息化建设,以提高企业运营管理的质量和水平。基于此,本文主要对我国企业在信息化建设中存在的网络安全管理问题、解决的方法进行论述,以提高企业信息化的建设。
[关键词]企业;信息化建设;网络安全管理
doi:10.3969/j.issn.1673 - 0194.2017.10.040
[中图分类号]F270.7 [文献标识码]A [文章编号]1673-0194(2017)10-00-01
0 引 言
在互联网时代,企业应用网络信息技术和计算机技术,逐步建立了网络信息化平台,以对海量信息数据进行有效收集,为企业的运行和发展提供有效依据。但是企业在信息化建设中还存在一些问题,其中一个严重的问题就是,企业信息数据容易遭受到网络攻击或窃取,即网络安全问题。这些问题的存在,非常不利于企业的信息化建设,不利于企业的进一步发展。因此,相关人员需要对企业在信息化建设中存在的网络安全管理问题以及解决方法进行研究和分析,以全面提高企业信息化建设的质量和水平,更好地推进企业的进步与发展。
1 企业在信息化建设中存在的网络安全管理问题
1.1 外部因素
时代的发展和社会的进步使网络信息安全问题日益严重。例如,企业在进行市场竞争时,需要获得大量准确的信息并保证其安全,但一些不法分子应用网络攻击和非法链接等方式@取企业内部大量信息,并将此类信息在市场中出售牟利,这种情况的出现加剧了企业网络信息安全问题的程度。
1.2 内部因素
企业在信息化的建设过程中,没有对自身的网络信息安全问题给予足够的重视,因此,没有采用高质量的信息安全管理模式,进行有效的网络信息防护,使网络黑客应用网络病毒和信息窃取手段,轻易获取企业内部的各种信息数据。同时,企业内部工作人员也没有受过良好的网络信息安全培训,在应用中存在操作不规范等问题,导致企业的信息安全受到严重威胁。
2 提高企业网络安全管理水平的方法
2.1 加强企业信息化系统的管理
企业需要在信息化建设中加强对信息化系统的管理质量和水平,提升企业网络安全管理的效率。具体来讲,首先,企业需要树立起网络安全管理的意识,对工作中存在的网络安全问题及时处理,建立完备的网络安全管理平台,对企业运行发展中的重要信息数据进行集中性保存。其次,定期对企业员工开展网络安全培训工作,提升员工信息化系统规范操作的能力,对重要信息进行加密处理,并做好多重备份工作。最后,企业员工应定期使用网络安全软件对操作环境进行检查,有效处理和抵御各类网络病毒的攻击和入侵。
2.2 应用有效的数据信息加密技术
企业需要应用有效的数据加密技术,提升网络信息管理质量和水平,保障网络信息的安全,更好的开展企业信息化建设工作,为企业的进步和发展打好基础。第一,企业需要有效的应用链路加密、节点加密、端对端加密等多种技术,提高企业网络信息加密的强度,为重要的业务数据和信息做好保护。第二,企业需要在应用网络信息数据加密技术的同时,对重要数据信息进行切实有效的存储,使其具有完整性,为提升企业数据信息安全水平打好基础。
2.3 部署高质量的安全防护软件
企业需要合理应用各类的防护软件,提升自身网络信息安全的强度。例如现在已经普遍应用的360安全卫士、腾讯电脑管家、金山毒霸等,合理应用可以提高企业整个网络信息安全管理的质量,同时对外部的非法链接进行有效抵制,对网络病毒攻击和入侵进行有效预防。
2.4 设置必要的安全管理权限
企业需要依据自身的需求,建立严密、分层的安全管理权限系统,对登录到系统中的用户进行严格的管理权限设定。通过这种方式,使操作系统或应用系统的用户,需要掌握不同的权限密码才能进行不同权限的操作、进行数据信息的获得,然后进行这些数据信息的应用。
2.5 配置防火墙和访问控制模式
企业在信息化建设中需建立高效的防火墙系统,设置专业化访问控制模式,提升网络信息安全能力,有效抵御各种网络风险,保障企业的内部网络安全。
2.6 信息隐藏模式的有效应用
企业可以有效应用信息隐藏技术,提高网络信息安全质量和水平,保障信息及数据安全。例如,采用高效的编码修改方法进行数据嵌入,如矩阵编码,其可减少修改幅度;扩频嵌入,其使编码更加专业化、高级化、复杂化,很难进行破译,降低密文信号的能量,使其不易被检测到,增强信息的安全性和保密性。这些模式有利于企业对各种网络攻击进行有效抵御,保障企业信息化建设的稳定性和安全性,实现企业应有的经济效益和社会价值。
3 结 语
对企业信息化建设中网络安全管理问题进行分析,有利于企业应用各种有效的方法,提高企业网络安全管理的质量和水平,保障企业网络和信息管理的安全性,最终为企业实现良好的信息化建设做出重要贡献。
主要参考文献
[1]程华.对企业信息化建设中的网络安全管理问题探讨[J].民营科技,2016(1).
[2]李永湘.企业信息化建设中的网络安全问题研究[J].科技资讯,2016(8).
关键词:网络安全;实验教学;教学设计;教学手段
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)31-0107-03
1 引言
网络安全课程本身原理部分晦涩难以理解,实验部分涉及技术众多,涵盖多个专业课程的知识点,因此也是一门与其他学科交叉性极强的实践性课程。根据学科特点和岗位能力培养目标,从基本学情出发,研究设计了符合教学目标和学生认知特点的教学方案,有效完成了教学任务,提高了学生的学习能力
2 教学基本情况分析
网络的便捷带给用户很多网络使用效率的困扰,包括带宽拥塞、关键应用的服务质量QoS无法保障、病毒请求消耗带宽、网络攻击导致服务中断等问题。上网行为管理作为网络安全管理的重要内容,能够实施内容审计、行为监控与行为管理,同时可以动态灵活控制网络速率和流量带宽,很好地满足各行业网络安全管理的需要。
同时,上网行为管理也是计算机技术专业的“网络安全与运维”典型工作任务中的一个技术技能训练单元。在专业职业岗位需求分析的基础上确定了本实训单元的技术技能训练要求。课程内容根据《网络安全与防护》课程标准中制定,同时参考了神州数码网络安全岗位认证系列教材的相关内容。我们依据技术技能人才培养方案,立足地区网络安全管理人才需求,结合学院现有设备优势,将实训的内容设计为上网行为管理的基本概念、常用设备及架构、校园网络上网行为管理的规划与实施、上网行为管理的日常运维与分析四个部分[2]。
教学对象是高职高专二年级学生,已经具备计算机网络基础知识、路由与交换、局域网组建等相关知识和技术技能。但尚未达到网络安全运维的实践能力要求,隐形知识也有待显化。从往届生的学习情况来看,课后对知识的复习巩固性练习积极性不高。尤其是对动手配置的内容,很多同学只能按照教材按部就班地进行,不善于思考,只限于对配置操作的记忆。因此结合技术技能人才培养要求,我们以职业技能训练和岗位能力培养为教学组织原则,结合案例分析、实际操作、模拟现场、课后实践等多种方式进行实践内容教学,充分利用实训室现有网络设备和各类信息化教学平台和手段,突出“以学生为主体”和“学做合一”的特点,完成本次教学任务。
基于以上分析,教学目标确定为三方面。首先是知识目标。要求学生掌握上网行为管理的基本概念,熟悉上网行为管理常用设备,了解此类设备的关键技术,熟悉上网行为管理常用架构。二是技能目标,学生能够规划校园网络上网行为管理方案,能够实施上网行为管理方案,能够对常见设备进行运维管理及分析。三是素养目标方面,希望学生具备安全操作意识,有用良好合作协调能力、自我学习能力和创新和应变能力[3]。
3 教学设计
3.1 课前活动
为了培养学生的自我学习和自我管理能力,同时利用网络教学平台突破空间限制,扩展师生互动范围,提升学生个性化和差异化的学习体验。教师会在课前上传课前任务书、学习资源、考核标准到超星网络教学平台,并通过该平台预学习任务;同时,通过超星移动APP、QQ群、微信预习通知;教师收到学生的课前测验结果后,及时批改测验结果,了解不同学生的认知基础的差异,灵活调整课堂教学策略,适当调整教学方法。学生收到预习通知后查看任务书;针对本单元中用到的各类硬件设备,提前调研其性能及技术参数;同时学生可以利用实验室的环境设备进行安全的探索操作;完成课前预习报告后学生提交到超星网络教学平台并在平台上独立完成课前评价表的填写。
3.2 课堂活动
课堂教学部分,教师首先创设教学情境,设计出三个教学活动,引导学生分组讨论,完成实验环境的搭建,从而引出本单元学习内容;然后教师利用奥易课堂教学软件下发任务书,并做出简要说明。在学生完成过程中针对个别学生的提问做差异化指导,通过奥易教学软件统一监控。最后教师引导学生总结归纳本单元课堂教学的主要内容和实验思路、故障分析解决思路。
与此同时学生要完成一下工作。首先针对创设情境,分组讨论、展开头脑风暴并总结表述讨论结果,复习已有知识技能,独立完成实验环境的搭建;其次结合下发的任务书,组员间讨论分析项目的需求,检查项目实施的环境及准备工作是否完整。然后讨论制定项目计划,确定项目实施的方案;第三观看教学视频,独立完成9个任务的实施和验证;第四针对拓展任务,分组讨论,分析问题,提出解决方案,给出实施计划,确定实施方案;第五划分不同角色,组员间协作完成拓展任务的实施和验证;拓展任务结束后,其中一组简要汇报任务的完成情况,由师生对其共同点评;接下来学生结合教师给出的新的网络场景,分析总结出常见上网行为管理时有可能出现的网络问题,以及常见的分析和解决方法;最后独立完成课堂评价表的填写。
3.3 课后活动