構建網絡安全體系范文

時間:2023-09-18 17:59:42

導語:如何才能寫好一篇構建網絡安全體系,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

構建網絡安全體系

篇1

關鍵詞:網絡安全;防火墻;PKI技術

一、防火墻技術

包封過濾型:封包過濾型的控制方式會檢查所有進出防火墻的封包標頭內容,如對來源及目地IP、使用協定、TCP或UDP的Port等信息進行控制管理。現在的路由器、SwitchRouter以及某些操作系統已經具有用PacketFilter控制的能力。封包過濾型控制方式最大的好處是效率高,但卻有幾個嚴重缺點:管理復雜,無法對連線作完全的控制,規則設置的先后順序會嚴重影響結果,不易維護以及記錄功能少。

封包檢驗型:封包檢驗型的控制機制是通過一個檢驗模組對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版,目的是增加封包過濾型的安全性,增加控制“連線”的能力。但由于封包檢驗的主要檢查對象仍是個別的封包,不同的封包檢驗方式可能會產生極大的差異。其檢查的層面越廣將會越安全,但其相對效能也越低。

封包檢驗型防火墻在檢查不完全的情況下,可能會造成問題。被公布的有關Firewall-1的FastModeTCPFragment的安全弱點就是其中一例。這個為了增加效能的設計反而成了安全弱點。

應用層閘通道型:應用層閘通道型的防火墻采用將連線動作攔截,由一個特殊的程序來處理兩端間的連線的方式,并分析其連線內容是否符合應用協定的標準。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作,而不會被client端或server端欺騙,在管理上也不會像封包過濾型那么復雜。但必須針對每一種應用寫一個專屬的程序,或用一個一般用途的程序來處理大部分連線。這種運作方式是最安全的方式,但也是效能最低的一種方式。

防火墻是為保護安全性而設計的,安全應是其主要考慮。因此,與其一味地要求效能,不如去思考如何在不影響效能的情況下提供最大的安全保護。

二、加密技術

信息交換加密技術分為兩類:即對稱加密和非對稱加密。

1、對稱加密技術。在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那么他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES(數據加密標準)的一種變形,這種方法使用兩個獨立的56為密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。

2、非對稱加密/公開密鑰加密。在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。

三、PKI技術

PKI(PublieKeyInfrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。

1、認證機構。CA(CertificationAuthorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,能夠很好地和其他廠家的CA產品兼容。

2、注冊機構。RA(RegistrationAuthorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網絡化、安全的且易于操作的RA系統。

3、密鑰備份和恢復。為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關系到整個PKI系統強健性、安全性、可用性的重要因素。

4、證書管理與撤消系統。證書是用來證明證書持有者身份的電子介質,它是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命周期里是有效的。但是,有時也會出現一個已頒發證書不再有效的情況這就需要進行證書撤消,證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。

篇2

關鍵詞:3G網絡;網絡

中圖分類號:TP393文獻標識碼:A文章編號:1007-9599 (2011) 03-0000-01

Analysis of 3G Network Security System

Zhang Kewei

(Baoding Branch of China Tietong,Baoding071000,China)

Abstract:With the continuous progress of the times,the rapid development of 3G networks has become a sign of the times,and we are eager to solve the problems and concerns is the security of 3G networks.This article on the current status of 3G network security analysis,and the 3G network problems and loopholes to be discussed,thereby enhancing the safety factor of the network to ensure the safe use of the user.

Keywords:3G networks;Network

安全體系的不斷發展,網絡的不斷升級,3G網絡系統已趨于全球化。如今的信息傳輸不僅可以通過全開放的無線鏈路,也可以通過全球有線網絡進行傳輸信息。在多種信息服務于我們的同時,相應的網絡安全性就成為我們關注的焦點,網絡的安全性將會嚴重阻礙3G的未來發展空間。

一、3G第三代移動通信技術

3G第三代移動通信技術,指的是支持高速數據傳輸的蜂窩移動通訊技術。它可以在傳送聲音的時候同步傳送郵件等數據信息。其特點是提供數據業務的速度。3G的安全技術是建立在GSM網絡安全基礎上的,這一技術不但在安全功能上給予了大幅度提升,而且還克服了GSM的一些安全隱患,給用戶提供了更穩定的平臺,并受到用戶的極大歡迎,它將無線通信技術與因特網技術有機的融合在一起,并引入了因特網中的加密技術,給3G的業務拓展帶來了極大的發展空間。

二、3G的安全漏洞3G網絡的安全性雖然得到了大幅度的提升,但是隨著網絡技術的不斷革新,3G網絡的漏洞也相形見影

(一)通過非法手段獲取敏感數據以及保密信息 攻擊者通過偽裝成為合法的身份切入用戶網絡,在用戶不知情的情況下對用戶進行偵聽,獲取有價值信息,并進行非法活動,只是用戶經濟以及其他方面的損失。

(二)干擾網絡服務攻擊者通過非法手段獲取用戶的使用特權,獲取一些非授權信息,并通過非法手段對于網絡系統以及服務器進行干擾,濫用系統中的服務功能,已達到為其獲取利益的目的。

(三)服務的非法訪問這一攻擊主要包括兩個方面:一是攻擊者偽裝成網絡和用戶實體,非法竊入訪問系統服務器,盜用訪問權限,獲取非法服務。

三、3G安全技術分析

(一)2G網絡的接入都采用無線信道,因此極易受到攻擊,移動臺到無線網絡接入這一部分是移動通信系統的關鍵,在進入到3G系統時,對于接入控制的安全性給予了加強,同時有兼顧到了與GSM的兼容性。3G與GSM的相似之處在于,用戶接入網的安全依靠于USIM(物理和邏輯上均獨立的智能卡)設備。

(二)3GPP在發展的初期與移動通信系統第二代一樣,都對核心網的安全技術未定義。核心網的安全性隨著網絡的進步、發展在全球的普遍應用,越來越成為人們關注的焦點。在今后網絡發展的道路上,它也將會列入到3GPP標準化規定中。當前,3G核心網住處于一種向IP網過渡的一個時期,所以IP網所存在的一些問題核心網也必然會面對。因此,在3G網中因特網的安全技術也發揮了非常重要的作用。移動無線因特網為3GPP定義一個統一的結構。

(三)在3G系統中,保障應用層的安全性,除要提供傳統的話音通話業務外,3G發展的熱點將致力于電子商務、電子貿易、網絡服務等新型業務。業務圈的不斷擴大,使得3G的網絡安全性越來越成為人們關注的重點。可以通過SIM應用工具包來達到完成端到端的安全和數字化簽名認證。它也為SIM/USIM和網絡SIM應用工具提供商之間建立一條安全紐帶。

(四)代碼安全。與第二代移動通信系統相比較,第三代移動通信系統定義的標準化工具包可以用來實現各種服務(比如3GPP TS 23.057定義的MexE),而第二代移動通信系統就是固定標準化的服務模式。MExE的安全保護機制雖然是相對有限的,但是它可以提供下載手機終端的一系列的服務(比如下載新功能、新業務等)。

(五)個人無線網絡安全3G終端的硬件設備形式多樣,其中包括手機電話、PDA、電子錢包以及一些共享設備等,他們也可以通過設備自帶的藍牙技術組建局域網,允許各終端設備的自由加入和退出,因此,局域網內的安全也成為了我們值得關注的焦點。

四、3G系統中安全特性的優缺點

(一)相對于2G網絡系統而言,3G系統在以下幾個方面上有優于2G系統:雙向鑒權認證:是指MS與基站之間的互相認證,既防止了一些為基站的攻擊傷害,同時也可以及時避免了一些不良現象。為接入鏈路信令數據的完整性上提供了保護。增加了密鑰的長度,對算法也進行了改進。3GPP接入鏈路數據加密延伸至無線接入控制器RNS。為了使將來在新業務上提供安全保護措施,3G的安全機制還具有可拓展性,可以對自己的安全模式、級別等隨時查看具有安全可視性的功能。

(二)與2G相比在密鑰的長度和算法的選定上還有鑒別機制和數據完整性檢驗等一系列的問題上3G要遠遠超越于2G。但依然存在著缺陷:公鑰密碼提職尚沒有建立,用戶簽名認證難以實現。然而隨著移動存儲器容量的不斷增大,無線帶寬增容,以及CUP處理能力也在不斷提升,這也迫使要建立無線公鑰設施。3G中密碼學的最新研究成果也并未得到發揮。而在密鑰產生機制和認證協議上也有一定的安全性問題。

五、結束語

3G系統的逐步發展,給信息革命帶來新的要求,隨之也有許多的弊端出現,因此,更好的建設3G網絡,需要我們認清目前3G網絡的現狀,以及存在問題,尋找更好的方法與手段予以解決。隨著網絡飛速的發展,3G在未來還有很大的發展空間,所以研究3G網絡系統的安全任重而道遠。

參考文獻:

篇3

關鍵詞:網絡安全體系;信息加密技術;防火墻技術

中圖分類號:TP309 文獻標識碼:A 文章編號:1672-7800(2013)005-0137-02

0、引言

互聯網的迅猛發展和廣泛應用推進了數據信息在全球范圍的共享,人們通過客戶端即可搜索和獲取所需信息,并通過計算機技術上傳。公共通信網絡具備豐富的傳輸和存儲功能,在為人們提供有效信息的同時也增添了信息泄露的風險,存在不法分子利用通信平臺來毀壞或竊聽相關信息,使得個人和隱秘信息遭遇泄露,造成財產或文化上的種種損失。政府、銀行等事業單位系統對數據安全的要求極高,一旦傳輸和存儲過程出現問題即會引發重大的信息泄露隱患,將客戶或部門信息置于危險的邊緣,所以構建敏感系統和部門的網絡安全體系至關重要。數據信息安全問題并不是阻止人們使用互聯網的原因,為了正確看待網絡的利與弊,需要在資源利用和效率提高上深入分析,進一步研發更科學、有效的安全系統。在網絡信息化過程中縮短服務端和用戶端之間的距離,使得全球用戶能夠隨時隨地獲取自己所需的資源和信息。網絡信息系統在早期建設過程中并未考慮用戶的身份和目的,所以埋下了一定的安全隱患,而現階段只有真正意識到問題的重要性并投入研究和設計才能解決用戶安全問題,不斷提高人們對互聯網技術的信心。

1、網絡安全特征與網絡安全體系結構

計算機網絡安全特征眾多,為用戶安全設置了多層保障。最基本的真實性、保密性是技術運用的基礎,除授權用戶外其他人不能接觸到相關信息??捎眯院涂煽啃允菍嵭斜C苄缘那疤?,可控性和不可否認性是為網絡使用的后續工作提供借鑒和屬性,七項網絡主要安全特征決定了其安全體系結構的好壞。

真實性要求使用網絡的用戶身份得到確認,網絡并不會單純相信用戶口頭或單方面的身份承認,因為要考慮到冒充和鑒別問題,所以真實性要重點致力于用戶實體身份的確定。完整性要求用戶在未授權的情況下不能修改、刪除、破壞網絡信息,進一步保證信息的安全性和正確性,這提高了網絡系統的警惕度,當出現人為攻擊、設備故障、誤碼等情況時能及時阻止和調整過來。對可靠性的定義更多是從規定范圍出發,指在一定條件或時間下實現某類功能達到的程度,網絡信息系統穩定運行和投入建設都需要極強的可靠性才能實現。被授權實體或用戶在擁有訪問需求時會選擇所需功能或模塊,可用性決定了用戶能否實現自身需求的機會,在安全性上也有所保障,滿足用戶在時間、實體等方面的要求。為了有效判斷實用性,一般對比工作時間和系統正常使用時間的差值,以便做出準確判斷。不可否認性是指用戶與用戶之間如果參與了信息交互活動,那么要對參與者信任并配合,保證彼此的真實統一性,不能對完成的操作或承諾做出否認,而為了防止一方用戶抵賴的事情發生,可以將所持證據和信息保存傳輸給終端,幫助解決糾葛,而現階段常用數字簽名技術來予以保護??煽匦灾攸c把握控制范圍,將不良內容或信息阻止在外,保證和控制公共網絡的清潔度、科學性。

計算機網絡安全體系結構側重功能的實現與服務的安排,使得安全機制和安全服務符合相關法律法規,同時能真正提供有效數據信息和維護用戶信息安全。系統安全元素是組成整個系統的根基之一,所以不但要保證各個元素的實現,還要聯系和維護好元素之間的關系。無論是國家公眾信息網還是企業內外聯網,都需要一個完善的安全機制來提供服務,安全機制和安全服務之間已經搭建起了穩定的橋梁,兩者相輔相成、相得益彰。安全服務能夠有效地處理數據及數據傳輸問題,要利用信息網絡來保證安全性。安全功能匯總起來即為安全服務,底層協議會保證安全服務的如序進行,對進入系統的信息實施屏蔽活動,讓安全體系穩定運行,而這個過程實現了五類安全服務,以數據保密、認證、訪問控制等服務為主。安全管理并不是單純從安全或管理角度出發,而是兩者的綜合體,實現安全的管理和管理的安全并重,為用戶提供分配密鑰參數及認證服務,針對有激活加密要求的客戶進行相關介紹和配合,而為了保證管理的安全,要從系統和信息兩方面出發,真正意義上打造可靠的計算機網絡安全體系結構。

2、網絡安全體系的三維結構

設計出合理的網絡安全體系框架才能實現用戶和終端需求的安全需求。網絡安全主要是指軟件或系統數據的安全問題,網絡安全結構的構建并不是從體系或功能上就能實現的,而需要從安全服務、實體單元、協議層次3個方面共同完成。圖1所示的計算機網絡安全體系三維結構模式很清晰地羅列出了三者及其分支項目的關系,以進一步鞏固安全體系。

(1)國際標準組織早期推出的一款安全體系結構模型就羅列了安全服務平面這一項,而安全服務一項在認證、抗抵賴的基礎上增加了可用性。應用環境會在用戶動態要求或市場變化中發生變化,而這種變化會直接導致安全服務需求的改變。但是考慮到安全服務之間的依賴性,所以完全獨立和依賴的情況都不可能出現,當出現特殊情況時不同安全服務之間會根據具體要求進行組合,保證最終提供的服務能滿足終端和用戶的雙層要求。

(2)網絡通訊協議為協議層次平面提供了分層基礎,分層的安全管理主要從物理層、網絡層、應用層等方面出發,形成環環相扣的聯系和服務。雖然提供的安全服務不同,可因為各項之間的依賴性而彼此存在著。

(3)實體安全單元管理從應用系統、計算機系統、計算機網絡三方面出發來設計和執行?;締卧姆謱訛榘踩夹g和系統運行提供了有效條件,使其成為三維結構中的基礎工程。

(4)安全管理包括安全服務和安全機制、協議層次三方面,但它并不處于正常通信的范圍內,而是一類為正常通信業務提供安全索引和保障的服務。執行安全機制或平面管理都需要依靠安全管理展開活動,保證整個網絡信息系統的有序運行。

計算機網絡安全體系三維結構模型依靠三個平面來形成穩固的結構。為了提供最科學、有效的用戶身份驗證服務,客戶會選擇隨意的3個坐標來表明自身身份,這項服務在初始進入網絡系統時就會出現,用戶直接輸入用戶名和用戶口令,驗證正確后就能順利進入下一個界面。網絡層會提供計算機系統有效的身份驗證服務,使得用戶端和服務端能形成良好的互動和契合,使得對IP地址的認證變得更加簡單便捷。對防火墻系統的應用通常會采取訪問控制模式,使得計算機網絡系統授權范圍安全可靠。

3、網絡安全體系構建

3.1 加強訪問控制策略

訪問控制是為用戶和終端做出的強制,旨在進一步防范不良信息的侵入,這種保護措施從源頭就掐斷了危險,防止非法訪問對網絡系統或用戶造成傷害。訪問控制的目的是為了構建起一層網絡系統安全屏障,被授權用戶擁有自己的賬號和口令,以此作為鑒別授權和非授權用戶之間區別的標志,網絡訪問權限將無訪問權的用戶排除在外,針對設備、目錄、文件都會設置不同的訪問空間,而并非全部開放給用戶。通過加強訪問控制策略來保護網絡資源,對互聯網的長期、穩定發展都是有益的,不斷從內部防御上尋找方法,形成有效的驗證和甄別功能。

3.2 信息加密技術

對網絡安全體系的構建不僅要從策略上加強,還需要開發出具有強大功能的信息加密技術,真正意義上做到對有效網絡資源的保護。為了解決非法用戶截取、刪除、修改、打亂網絡數據的問題,應該使用密碼、口令、文件的形式來設置屏障,而信息加密技術正是為了阻止傳輸過程中的不法行為,經常使用節點、端點、鏈路3種加密方式來提升網絡系統可靠性。信息數據的安全性尤為重要,所以從資源上進行保護是首要選擇。windows XP系統是微軟公司重點推出的一款產品,它在信息加密上的作用十分顯著,一旦出現非法截獲的情況,信息傳輸并未完全受到非法影響,此時解密規則會建立起相應的保護屏障,非法截獲者在無解密規則的前提下無法對傳輸的任何信息實施不良的措施,通過信息加密技術來保障計算機網絡安全無疑是一種科學、有效的方式。

3.3 病毒防范體系

為了解決系統漏洞問題,建立起相應的病毒防范系統很有必要,預防信息泄露、系統崩潰的情況出現。現階段網絡技術快速發展,病毒侵入的概率也越來越大,為研究和開發專門針對病毒的檢測軟件提供了巨大的空間。網絡系統中的病毒防范體系涉及多方面的工作,最基本的功能包括病毒的預防、清理和查殺,還需要定時或不定時地檢測和修補漏洞,降低和組織病毒入侵系統的概率。針對病毒庫的管理也不是單純檢測或修補可以完成的,還應該不斷更新換代,以便提高對新型病毒的防御能力,同時能快速地處理好頑固病毒,以免出現二次傳播的情況,構建病毒防范體系無疑對提高系統安全性有重要作用。

3.4 防火墻技術

防火墻是一類解決不同區域網絡保護問題的技術,通過屏蔽路由器、服務器來形成一道關卡,使得本地和外地網絡能抵抗非法訪問和控制。防火墻和包過濾防火墻最為常見,在企業網絡安全體系中應用廣泛,而雙穴防火墻較少使用。包過濾防火墻的優點在于能有效地對網絡信息流進行調配,缺點是不具備內容檢查功能。防火墻則具備了良好的內容檢查功能,因此將兩種防火墻技術結合起來能很好地保護企業計算機網絡系統。

3.5 建立安全實時防御和恢復系統

計算機系統附帶的檢測系統漏洞、查殺病毒功能并不能完全將所有病毒阻擋在外,目前病毒更新的速度極快,無疑增加了系統被病毒侵入的風險。網絡資源作為一個對多數用戶開放的空間,要完全做到保密是不切實際的,而為了提高網絡系統安全性,建立安全實時防御和恢復系統很有必要,使系統在意外遭受病毒侵害時能最快速、有效地恢復傳輸信息和數據,降低系統侵入損失程度。首先要建立安全反映機制,使得系統第一時間接收入侵部分信息,通過入侵檢測機制和安全檢測預警機制來構建預防系統,繼而發揮安全恢復機制的作用,保證信息恢復的速度和質量。

篇4

關鍵詞:銀行網絡 網絡安全 防火墻 安全體系

新世紀以現代信息技術為代表的高新技術迅猛發展,將徹底改變人類的生活方式,促使金融行業產生根本性的變革。特別是在我國加入世貿組織、金融業務全面開放后,國內外同行業的競爭將更加激烈。面對科技的不斷發展和金融的日益全球化,建立一個安全、高效的計算機網絡是當前亟待解決的重要課題。

1 銀行計算機網絡面臨的安全威脅

銀行計算機網絡系統的安全問題一般來說,計算機網絡安全包括物理安全和邏輯安全兩大部分[1]。物理安全指的是網絡系統設備及相關設施受到物理保護,免于被破壞、被丟失等。邏輯安全包括信息完整性、保密性和可用性。銀行網絡安全的威脅主要是來自于網絡傳送過程、網絡服務過程、企業內部病毒傳輸及軟件應用過程中的威脅[2]。

2 銀行網絡安全體系設計

為了構筑銀行網絡安全體系,將銀行網絡安全體系的構建分布到廣域網、局域網、外聯網等處,不同的功能區域設置不同的安全防范體系。

2.1 廣域網安全 廣域網部分網絡安全重點關注是網絡自身安全及數據傳送安全,廣域網的設計可靠性及安全性主要涉及的網絡協議層次及以下。解決網絡設備安全、組網安全及數據傳送安全是提高廣域網安全性的有效方式。①設備安全。主要通過路由器的ISPKeeper功能流量的檢測、分析及流量處理等方式來預防流量攻擊。②組網安全。通過OSPF+BGP的路由方案,BGP在自身功能的管理和控制上比較嚴格,使得數據重心和各一、二級網點局域網絡的路由到廣域網時嚴格受控。③數據傳送安全。通過IPSec技術進行數據加密,加密操作通常通過主機或網絡兩端來進行,中間網絡數據傳輸透明化。如有必要也可對個別線路進行IPSec加密。

2.2 局域網安全 銀行各網點局域網實現的功能較多,設計復雜,包括多個網絡模塊,網絡安全的構建大致涵蓋了核心交換區、服務器群、大前置機處理中心區等,針對各功能區特點使用與之對應的安全措施。①銀行網絡核心交換區。局域網的核心是銀行中心機房。局域網的路由處理、數據高速轉發和流量交換全部通過中心機房來完成,該部分的安全處理并不復雜,設備安全是重點。操作過程中,可以在核心交換設備上利用端口鏡像功能,把符合條件的流量鏡像到流量分析設備上,進行更高級別的網絡流量分析,如有安全隱患,可及時對網絡規劃進行調整。②銀行網絡服務器群。中心機房關系整個局域網的安全運行,此區域集中了很多服務器,應該嚴格控制用戶對該中心機房區域的訪問行為。如有需要,可將防火墻設在核心交換機與服務器換機之間。以服務器的功能特點為依據劃分為不同功能類別的VLAN,功能相同的服務器與同一VLAN連接,按要求對用戶的訪問行為嚴加控制。③處理中心區、開發環境區、測試環境區及監控中心區。這幾部分雖然各自的功能不同,但是安全設計的重點都是對接入用戶/主機的管理。在此類區域中,先以該區域內用戶/主機的功能和訪問權限為依據劃分VLAN,在終結VLAN的三層交換機上,利用ACL對各VLAN之間互訪以及VLAN訪問其它網絡資源的權限進行控制。

2.3 外聯網絡 該區域的安全設計重點是防范來自外部的攻擊。主要采用在機構/Internet接入路由器的后面設置防火墻的方式。部署防火墻時,基于安全因素的考慮,必須應遵循幾個基本原則:一是最小授權,只有必要的流量,才能被授權通過防火墻;二是高度容錯,即使防火墻出現問題,也不能降低內部系統的安全程度;三是深度防御,雖然系統已有防火墻的相關配置,內部網絡仍有必要采用獨立于防火墻的安全措施。

3 服務器安全及計算機病毒防治

3.1 服務器系統安全 為了確保服務器系統的安全使用性能,筆者建議使用安全掃描軟件,定期掃描比較重要的主機系統及網絡,從而找出網絡弱點以及策略配置方面的缺陷。根據掃描結果,及時更新操作系統補丁,進行病毒查殺,更新安全策略。

3.2 計算機病毒防治 蠕蟲病毒通過大量繁殖,以主機為點、通過網絡構成面的計算機自我復制機制對現有網絡展開了大規模的網絡流量攻擊,所以在網絡技術上防止蠕蟲病毒,可以從設備選擇及組網技術兩個方面進行考慮。為防止病毒攻擊引起的局域網絡癱瘓,很多情況下是與交換機的交換方式相關的,如很多中低端交換機甚至一些主流廠商早期的高端交換機都采用了流交換方式,當網絡感染蠕蟲病毒后,病毒不斷變化IP發起網絡流量攻擊,導致網絡中的流不斷更新,流數目迅速增長,超出交換機能處理的流數目,交換機轉而將報文交給CPU處理,由于交換機的CPU處理能力低,最終造成設備癱瘓。因此建議采用支持逐包轉發模式的交換機,尤其是在高端。

4 結束語

構建完全徹底的安全網絡只是一個神話,安全只是相對而言,安全保護是一個有始有終的過程,不斷的分析、計劃、實施和維護,以最具有成本——效益的方式降低風險,時刻提高警惕,保持系統穩固。

參考文獻:

[1]吳蓓,劉海光.銀行網絡安全管理體系構建路徑探討.電腦知識與技術,2010-07-25.

[2]董會敏.銀行網絡信息安全的實現.華東師范大學,2011-05-01.

[3]張明賢.當前銀行網絡安全的主要威脅及防范策略探析.科技與企業,2011-12-22.

篇5

[關鍵詞]網絡安全 管理流程 安全體系框架 安全防護策略

中圖分類號:TP 文獻標識碼:A 文章編號:1009-914X(2017)01-0394-01

企業在網絡安全方面的整體需求涵蓋基礎網絡、系統運行和信息內容安全、運行維護的多個方面,包括物理安全、網絡安全、主機安全、應用安全、網站安全、應急管理、數據安全及備份恢復等內容,這些方方面面的安全需求,也就要求企業要有一流的安全隊伍、合理的安全體系框架以及切實可行的安全防護策略。

一、強化安全隊伍建設和管理要求

企業要做好、做優網絡安全工作,首先要面臨的就是組織機構和人才隊伍建設問題,因此,專門的網絡安全組織機構對每個企業來講都是必不可少的。在此基礎上,企業要結合每季度或者每月的網絡安全演練、安全檢查等工作成果和反饋意見,持續加強網絡安全管理隊伍建設,細化安全管理員和系統管理員的安全責任,進一步明確具體的分工安排及責任人,形成清晰的權責體系。同時,在企業網絡自查工作部署上,也要形成正式的檢查結果反饋意見,并在網絡安全工作會議上明確檢查的形式、流程及相關的文件和工作記錄安排,做到分工明確、責任到人,做到規范化、流程化、痕跡化管理,形成規范的檢查過程和完整的工作記錄,從而完成管理流程和要求的塑造,為企業后續的網絡安全工作提供強勁、持久的源動力和執行力。

二、搭建科學合理的安全體系框架

一般來講,我國有不少企業的網絡安全架構是以策略為核心,以管理體系、技術體系和運維體系共同支撐的一個框架,其較為明顯的特點是:上下貫通、前后協同、分級分域、動態管理、積極預防。

上下貫通,就是要求企業整個網絡安全工作的引領與落實貫通一致,即企業整體的網絡安全方針和策略要在實際的工作中得到貫徹實施;前后協同,就是要求企業得網絡安全組織機構和人員,要積極總結實際的工作經驗和成果,結合企業當前的網絡安全態勢,最新的國際、國內安全形勢變化,每年對企業的網絡安全方針和策略進行不斷的修正,達到前后協同的效果。分級分域,就是要求企業要結合自身的網絡拓撲架構、各個業務系統及辦公系統的安全需求、企業存儲及使用的相關數據重要程度、各個系統及服務的使用人員等情況,明確劃分每個員工的系統權限、網絡權限,對使用人員進行分級管理,并對相關網絡及安全設備、服務器等進行分區域管理,針對不同區域的設備設定不同的安全級別。

動態管理,就是要求企業的整體安全策略和方針、每個階段的安全計劃和工作內容,都要緊密跟蹤自身的信息化發展變化情況,并要在國內突發或重大安全事件的引導下,適時調整、完善和創新安全管理模式和要求,持續提升、改進和強化技術防護手段,保證網絡安全水平與企業的信息化發展水平相適應,與國內的信息安全形勢相契合;積極預防就是要求企業在業務系統的開發全過程,包括可研分析、經濟效益分析、安全分析、系統規劃設計、開工實施、上線運行、維護保障等多個環節上要抱有主動的態度,采取積極的防護措施,不要等到問題發生了再去想對策、想辦法,要盡可能的提前評估潛在的安全隱患,并著手落實各種預防性措施,并運用多種監控工具和手段,定期感知企業的網絡安全狀態,提升網絡安全事故的預警能力和應急處置能力。

三、落實切實可行的安全防護策略

在安全策略方面,企業的安全防護策略制定思路可以概括為:依據國家網絡安全戰略的方針政策、法律法規、制度,按照相關行業標準規范要求,結合自身的安全環境和信息化發展戰略,契合最新的安全形勢和安全事件,從總體方針和分項策略兩個方面進行制定并完善網絡安全策略體系,并在后續的工作中,以總方針為指導,逐步建立覆蓋網絡安全各個環節的網絡安全分項策略,作為各項網絡安全工作的開展、建立目標和原則。

在網絡安全管理體系方面,企業要將上述安全策略、方針所涉及的相關細化目標、步驟、環節形成具體可行的企業管理制度,以制度的形勢固化下來,并強化對相關企業領導、安全機構管理人員、業務辦公人員的安全形勢和常識培訓,提高企業從上至下的安全防護能力和安全水平;在運維管理體系建設方面,企業要對每個運維操作進行實時化監控,在不借助第三方監控工具如堡壘機的條件下,要由專人進行監管,以防止運維操作帶來的安全隱患,同時,企業也要階段性的對各個網絡設備、業務系統、安全設備等進行安全評估,分析存在的安全漏洞或隱患,制定合理的解決措施,從而形成日常安全運維、定期安全評估、季度安全分析等流程化管理要求和思路。

在技術防護體系建設方面,企業可以參照PPDRR模型,通過“策略、防護、檢測、響應、恢復”這五個環節,不斷進行技術策略及體系的修正,從而搭建一套縱向關聯、橫向支撐的架構體系,完成對主機安全、終端安全、應用安全、網絡安全、物理安全等各個層面的覆蓋,實現技術體系的完整性和完備性。企業常用的技術防護體系建設可以從以下幾個方面考慮:

(1)區域邊界防護策略:企業可以考慮在各個區域的邊界、互聯網或者局域網出口部署下一代防火墻、入侵檢測與防御設備(如果條件合適,可以考慮選擇入侵防御設備)、上網行為管理、防病毒網關等網絡安全新技術和新設備,從而對互聯網出口或者重要區域邊界進行全面的防護,提高內網出入接口的安全保障水平。此外,針對有企業生產網的情況,要對生產網與內網進行物理隔離,并對接入生產網的各種終端設備進行防病毒查收、報備,防止影響生產安全的各種事件發生,保障企業的財產安全。

篇6

1.1網絡信息安全隱患

由于互聯網具有開放性特征,受不規范的資源共享行為、網絡自身漏洞等因素影響,其客觀存在一定的安全風險,常見問題包括網絡信息遭受非正常授權使用、資源共享無法精準控制共享范圍、無法有效管理U盤、移動硬盤等存儲設備以及網絡安全技術防護措施缺失等問題。

1.2網絡信息使用人員安全意識不足

雖然近幾年計算機技術得到了較為廣泛的應用,但部分操作人員仍不具備相應的網絡信息安全使用意識,從而導致各種類型的網絡安全問題,具體包括:忽略安全口令作用,對于必要的安全防護漠不關心;計算機未安裝軟件防火墻和相關殺毒軟件;系統補丁更新不及時等。

1.3網絡安全管理缺失

就目前企業網絡信息管理而言,普遍缺乏對于信息安全的規范化管理,多數企業不具備相應系統、完整、有效的安全管理制度及管理流程。并且,企業缺乏有效的實時網絡信息安全監控手段,對于網絡信息安全隱患,不能滿足及時發現和消除的管理要求。

1.4網絡惡意攻擊行為

現代社會逐漸趨向于向信息化方向發展,就企業網絡信息而言,普遍蘊含著巨大的商業價值和經濟價值。在經濟利益的誘導下,網絡上存在部分非法分子,使用惡意攻擊性軟件,竊取、損壞或篡改目標計算機信息,以獲取不正當的利益,這種惡意攻擊行為嚴重威脅著網絡信息的安全。并且隨著信息技術的發展,網絡攻擊逐漸從單一性向多樣性發展,相應增加了網絡信息安全保護的難度。

2、企業計算機網絡信息安全體系的構建

2.1劃分不同安全級別的安全域

劃分不同安全級別的安全域,建立安全邊界防護,設置不同的安全訪問控制策略,防止惡意攻擊和非法訪問。整個網絡的縱向通過防火墻來實現服務器安全域與終端設備安全域的劃分;在服務器與終端設備的安全域邊界部署防火墻、入侵檢測和防病毒墻等安全產品;通過防火墻,訪問用戶終端、被訪問的服務器及應用端口的控制、入侵檢測設備對訪問行為的檢測及網絡安全設備(如,防火墻、網絡設備)的聯動、防毒墻對傳輸中病毒過濾來加強服務器的保護,減少通過終端設備域給服務器域帶來的攻擊、病毒傳遞擴散等安全影響;整個網絡的橫向通過網絡設備的VLAN來實現服務器間和終端設備間不同安全級別的劃分,并通過網絡設備的ACL控制技術來實現不同級別的服務器安全域和不同級別終端設備安全域間的控制,降低不同安全域間的相互影響,保證各自安全域的安全。

2.2以企業計算機網絡中關鍵業務應用系統及重要數據保護為核心

加強用戶訪問服務器的合法性,統一合法用戶和規范授權訪問,確保重要信息不被非授權訪問,保證關鍵業務應用系統及重要數據的信息安全。應用系統及數據的運行安全,可將應用服務與數據庫分開部署,數據采取統一集中存儲,統一備份的方式;重要數據采取在線(通過應用系統自身的備份機制,定期進行數據備份)、近線(通過備份軟件工具定期對應用系統的數據庫進行備份)、離線(將備份出來的數據定期寫入磁帶庫中磁帶后進行磁帶取出存檔備份)的三級備份要求。關鍵業務應用系統需要建立應用系統的自身備份系統,定期開展備份數據恢復測試工作。同時,通過安全NAS等安全產品的部署應用,對關鍵及重要數據進行加密保存。

2.3建立信息安全管理制度,健全信息管理人員配置

2.3.1計算機設備管理制度。(1)計算機出現重大故障時,應及時向信息管理技術部門報告,不允許私自處理或找非本單位技術人員進行維修及操作;(2)業務部門的計算機開啟審核功能,由信息終端維護人員定期導出系統審核日志。

2.3.2信息系統管理制度。(1)信息系統管理及使用權限方案應根據崗位職責明確到人;(2)信息系統管理員負責各項應用系統的環境生成、維護,負責一般操作代碼的生成和維護,負責故障恢復等管理及維護;(3)涉及數據整理、故障恢復等操作,須有系統管理上級及相關業務部門授權;(4)系統管理員及一般操作人員調離崗位,應及時注銷其代碼并生成新的操作員代碼;(5)一般操作員不得使用他人帳戶進行業務操作。

2.3.3密碼與權限管理制度。(1)密碼設置應具有安全性、保密性,不能使用簡單的代碼和標記。密碼是保護系統和數據安全的控制代碼,也是保護用戶自身權益的控制代碼。密碼分設為用戶密碼和操作密碼,用戶密碼是登陸系統時所設的密碼,操作密碼是進入各應用系統的操作員密碼。系統應有檢驗密碼安全強度的設置;(2)密碼應設定定期修改設置,間隔時間不得超過一個月,如發現或懷疑密碼遺失或泄漏應立即聯系管理人員進行修改,并記錄用戶名、修改時間、修改人等內容;(3)服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統開發和維護的人員)設置和管理。

2.4嚴格控制傳播途徑

如果是在不使用網絡傳輸的情況下,一定要將傳播的途徑切斷,進而有效地避兔不明U盤或者是程序傳輸,能夠使網絡可疑的信息被嚴格控制在用戶系統之外。另外,這種方法也能夠避兔硬盤受到感染,確保計算機殺毒處理工作的有效性。

總之,從目前企業網絡信息安全中存在的問題入手,構建信息安全體系,具有十分重要的現實意義,需要引起我們的重視。

參考文獻:

[1]張文婷.淺談計算機網絡的信息安全體系結構[J].東方企業文化,2012,20:207.

[2]劉智能.淺談構建計算機網絡安全的管理體系[J].電腦知識與技術,2013,29:6517-6518.

[3]尉韜.計算機網絡信息安全和防護體系構建[J].數碼世界,2015,09:35-36.

篇7

【關鍵詞】動態自治 網絡安全管理

計算機技術的不斷更新帶動了網絡的發展壯大,如今社會各行各業都和網絡接軌,帶來了信息通訊的極大便利,也帶來了相當嚴重的安全隱患。利用計算機和網絡實施犯罪的行為不斷增多,給個人乃至集體都造成了重大的損失。在當前的網絡安全管理體系下,只能在某種程度上解決一些常見的網絡防御問題,對一些有針對性的問題甚至攻擊,還難以應對。本文所闡述的構建動態自治的網絡安全管理體系,是一種可以滿足了全網安全要求并且具有動態的可變化的特點的全新體系,可針對實際情況進行有效的應對,將網絡信息進行集中管理,保證能夠及時響應并處理安全管理事件。

1 動態自治網絡安全管理體系的定義

動態自治網絡安全管理體系的實質就是構建一種動態的,能夠靈活自主應對安全問題的網絡。它之所以具有動態性是因為當該體系接入網絡系統后,能夠自動變為整個網絡的一部分。它的安全管理系統是將處于同一個網絡管理系統管理下的所有安全設備和節點集合起來統一管理。制定一致的策略以保證所有設備都能夠遵循并實施。動態自治網絡只是一個相對的概念,它的動態性是相對于整個網絡來說的,而它的自治性體現在整個系統的設備和節點與網絡安全管理系統相互聯系并一起構成了一個可控的網絡。

2 構建動態自治的網絡安全管理的必要性

科學技術的高速發展帶動了計算機的普及應用和網絡的更新換代,人們的觀念也在隨之不斷變化。因此只是依靠一種單純的靜態網絡安全管理系統,已經無法滿足要求越來越苛刻的用戶們了。從主觀方面來說,人們需要一個更加完善的能夠進行自治的動態網絡安全管理體系,來幫助彌補操作系統的不足以及保護用戶的隱私信息。從客觀角度來說,目前的網絡技術和計算機技術所打下的基礎已經達到一定的程度,適合建立起一種動態自治的網絡安全管理構架。因此,動態自治的網絡安全管理體系應運而生。這種體系與過去的傳統網絡安全管理系統相比,具有處理問題更加靈活、收集信息更加全面、相對于主操作系統更加獨立的諸多特點。它還具有廣泛應用性,能夠很好地適用于多種不同類型的網絡;它的實用價值極高,對于不同用戶的各種要求都能達到最大限度的滿足;同時它的安全性更有保障,因為它并不是依靠某個單一的軟件或獨立系統去進行整個網絡的安全保障與日常維護。并且當網絡安全出現問題時,它會立刻聯合主操作電腦,共同實施防御策略。動態自治的網絡安全管理體系要比平常的普通網絡具有更多的優越性,比如它的動態性主動防御的能力;出現安全問題時,能夠快速的調動整個網絡的資源,表現出了非凡的聯動性和積極的防御性。動態自治的網絡安全管理體系還能對內部所得到的信息進行有針對性的分級分層次的保護,真正地實現了獨立自主的網絡安全體系,不再盲目依賴于任何一種單一的殺毒軟件或系統防御。這也是它為何更能滿足人們對于實現安全快速和綠色健康網絡的要求的原因。

3 影響網絡安全管理的因素

(1)一些未經過授權的非法訪問,有些甚至會冒充合法用戶來進行不正當的訪問。未經授權就是超越了自身權限,不正當地讀取網絡公共信息甚至是私人信息;冒充合法用戶則是利用欺騙的手段來獲取正當用戶的使用權限,進而非法侵害用戶自身及他人的權益,進而占用甚至搶奪更多的網絡資源,這是一種嚴重的違法行為。

(2)有目的有計劃地對一些數據進行刪改甚至破壞,有時會未經系統統一就進行流量分析。刪改和破壞數據是以蓄意破壞為目的,將所涉及到的信息進行隨意修改和刪除,會給用戶造成極大的損失;流量分析則是在未經系統授權或者同意的情況下,自行分析觀察網絡的信息流,從中篩取有用的信息,進而非法獲取利益。

(3)網絡接入遭到拒絕和病毒木馬的惡意侵入。當用戶擁有正常訪問權,卻在訪問時未能獲取應有的信息資源,一般被稱為網絡接入遭到拒絕,是用戶自己被網絡拒絕服務;而病毒木馬的惡意侵入是由于黑客的蓄意破壞,人為植入病毒或者木馬程序,導致用戶的私人信息泄密甚至丟失,整個計算機系統也會因中毒而無法正常工作。

4 動態自治的網絡安全管理架構

(1)要從全網全局的宏觀角度出發考慮,對整個網絡的安全狀況進行詳細正確的分析評估,進而對現有的網絡資源進行有效地整合,這樣才能有針對性地實施網絡安全防御措施。同時通過制定相對應的響應策略以使網絡安全管理系統能夠自動地完成對網絡內一切設備資源的響應與安全問題的處理。

(2)要以高度的自治方式來保證網絡的自主性和開放性,真正實現網絡安全管理系統的自我完善。只有當網絡系統具有很高的安全性時,才能有效保證任何接入網絡的信息和資源都會受到切實的保護。

(3)對實施接入控制的策略進行詳細有效的分類管理,既要保證所構建的網絡安全管理體系具有自治性和動態性,又要實現全網絡的擴展管理,能夠保證最大限度地連接網絡內的一切設備資源,同時通過管理接入控制的方式來確保網絡安全的方法也為增加網絡安全管理體系的動態性提供了必要的幫助。

5 動態自治的網絡安全管理體系的基本模型

建立動態自治的網絡安全管理模型是為了保證所有接入網絡的設備和資源的安全性,用戶在接入網絡的過程中,其信息和資源能夠得到一定的安全保證。通過使用類似的系統模型,規避接入網絡的過程中可能帶來的風險,進一步確保整體網絡的安全可靠性。常見的網絡安全管理模型是一個動態的自治的網絡,它是多種不同的網絡產品的集合體,通過內部協議以相互協調,共同構成虛擬的網絡環境。盡管內部成分復雜,但也要對其自身的安全策略和安全分析進行統一管理。同時,從全局宏觀角度出發,為了使網絡內的相關設備能夠實現統一管理,統一配置,就要通過自治來使得網絡按照既定的策略進行工作。自治還包括網絡應急預案和緊急響應處理。經過以上的一系列的管理流程,對整個網絡內的資源設備進行統一配置,最終使網絡系統的安全性大大提高。然后在保證安全性的基礎上,對網絡內的安全設備和相關系統進行集中管理。這是為了在配置相關安全節點的參數時,能夠使資源的利用率達到最大,同時也有利于網絡自身的更新配置,以達到動態的管理模式。另外,網絡中的應急響應流程應該具有一致性,它主要是指網絡中的安全事故處理流程要與響應程序的流程一致,以保證處理問題的及時性和有效性。

動態自治的網絡安全管理體系模型還要滿足以下三個方面的要求:

(1)網絡體系要具備高度的擴展性,建立網絡架構以保證能對各種安全資源進行統一的管理。要及時了解市場上最新的安全技術和設備,在建立時為其保留相應的接口。這樣有利于網絡自身的更新配置,進一步保證網絡的實時性。

(2)網絡體系應具有高度的可控性,建立網絡架構不僅要對接入網絡內的所有設備進行統一配置,同時還要具有信息收集和資源優化的能力。對于網絡中安全設備在運行過程中產生的一系列的配置信息及安全信息等數據,要及時保存并進行分析。這樣也有利于用戶全面地掌握網絡體系的安全狀況。

(3)網絡體系應擁有良好的操作性,保證網絡在其應用的范圍內,實現相關設備的安全維護和配置的綜合管理。系統的動態自治安全管理模型可以分成狀態監控、系統管理、策略管理等三個部分。其中策略管理以及系統管理主要是作為系統的支持部分,狀態監控作為了應用系統的部分 。

6 總結

隨著科學技術的發展和計算機的普及,互聯網技術已經融入了千家萬戶。隨之產生的網絡安全和信息保護等問題越來越受到人們的重視。動態自治的網絡安全管理體系作為一種新的網絡安全管理技術,其動態自治的網絡安全管理方式能夠從全局角度出發,對整個網絡進行分析和評估,有效地管理網絡,將安全風險降低至最小,確保用戶的信息和數據能夠得到更好的保護。動態自治的網絡安全管理系統重點用于信息數據的處理,通過對動態控制機制的接入,安全策略重新的部署和響應,使系統有效地避免了更多的風險。

參考文獻

[1]吳多萬.動態自治的網絡安全管理架構論析[J].計算機光盤軟件與應用.2012,(6).

[2]胡琳.基于動態自治的網絡安全管理架構論析[J].煤炭技術.2013,(10).

[3]周毅超.動態自治的網絡安全管理構架論析[J].科學與財富.2011,(9).

[4]劉蘭.一種動態自治的網絡安全管理架構[J].廣東技術師范學院學報.2010,(3).

篇8

[關鍵詞]數據庫 中間層 應用層 三層架構

中圖分類號:X936 文獻標識碼:A 文章編號:1009-914X(2016)17-0299-01

筆者從事計算機十多年的教學,又參與了軟件Java與的開發及應用。在這里,我想針對網絡安全監察維護模式,由淺入深地談談應該如何建立良好的信息系統體系結構模式。

一、認識信息系統體系結構的重大意義

首先,我們必須清楚地認識到良好的信息系統體系結構對于網絡安全監察維護模式的意義重大。如果我們有一個良好的信息系統體系結構,我們完全可以抵御或者減少病毒入侵,如網頁掛馬等。

閱讀計算機之類的報刊、雜志,我們總有一些不解,什么是中間層,什么是接口,什么是修改參數,什么是模擬仿真,那么我以Java程序或程序為例進行闡述。

Java程序和程序,我認為是目前最好的系統程序,因為它們有一種很好的思想值得我們去學習,去采納。作為一名學者,不能只是一味地去學習、接納別人的東西,而是要理解事物的本質,所謂必定要透過事物的表象去看清里面的內涵,與實質,不能一味地去抄襲或者盜竊他人的原代碼之類的東西。這樣做,既無科學道德,也無太多的實際價值,同時也不能在專業術語、英文字母上徘徊不前,大道理小道理地講,又有什么用。

二、程序三層架構思想

Java程序和程序,基本的三層架構思想,這給我們的信息體系結構帶來不少的沖擊。數據結構體系的基本三層模式(圖1):

當然你可以在信息體系結構的基本三層的基礎上發展五六層、七八層都可以,但是我們要知道是上一層調用下一層的命令。應用層,就是我們常說的界面、窗口;數據庫層,就是我們大量信息儲存的地方;中間層,就是在應用層需要數據庫時,依靠中間層進行層層轉運,即應用層程序先調用中間層命令,由中間層程序再調用數據庫層里的文件信息。這里要注意的問題是,應用層是永遠不可能直接調用數據庫層的信息。同樣,箭頭永遠不可能反過來,也就是說數據庫層不可能去調用中間層或應用層的程序,他們是獨立、有序的。這樣就做到了信息體系結構的良性循環。所謂“君是君,臣是臣,哪里是主語,哪里是謂語”。

說到這里,有朋友會問,這與我們的“網絡安全監察維護”有什么聯系。試想,這樣一個有序的信息體系結構,如果在每一層都進行打包、封裝、加密,甚至工具式的異類化,直接調用,那么病毒怎么進得來,計算機的安全監察與維護技術工作不是變得更加容易!

接著,便存在層與層之間的通信連接問題,這就是我們常閱讀報刊雜志上所看見的專業術語“接口”。有讀者會問“接口”是個什么層。這里我們首先要清楚地認識到,各層之間的聯系,其實就在于各層文件名的命名及其附加參數,還有上一層可以插入下一層的文件名及其附加參數。文件名在本層中,既是一個程序文件的標志,同時對上一層來說,是調用下一層的命令,也就是說上一層只要輸入下一層的文件名及其實參,就可以調用下一層的文件。文件名及其附加參數在本層中是一個功能塊或者稱為過程調用和形參,在調用層則為命令和實參,只有符合條件的參數才可以配合命令去調用下一層的功能塊。如此反復,我們便可以在界面上看到了不斷更新的數據、動態的網頁。不符合條件的實參是不可以配合命令去調用下一層的功能塊。舉個淺顯的例子說下,如果下一層的程序塊的內容是10除以多少,條件是有限制的,如不能為0或其他字母,如果輸入0或者其他字母,那么程序會馬上終止,進入退出狀態,不再運行。我們再看下仿真軟件,理論上只要修改參數,就知道故障就在哪里,然后通過模擬故障去排除故障,如仿真戰機、空中大戰、仿真系統維修軟件等,它們的故障就是實參輸入不合條件,出現故障,導致局部程序無法運行,上一層功能塊只有調用其他的功能塊才能解決故障問題,使模擬仿真安然進行。仿真軟件的設計,使現實事物并不需要出現,也不要去實驗,如空中大戰,達到理想的訓練效果,又節省了人、材、機,同時又避免了環境污染和資源浪費。但是仿真系統與現實社會還是有一定距離,還是有必要去和現實數據進行吻合。我們可以應用這種理論進行網絡安全監察維護的仿真檢測。

中間層是一個封裝的程序,如果需要執行多個命令,就封裝多個中間層。各層只要有必要,可以從這個項目中分離開,進入另外一個項目,只要提供一個接口。

程序的工具性異類化。為什么稱為程序的工具性異類化?程序包或功能塊經過一系列的代碼轉換命令,完全變成了一個工具,直接拿來用即可,你無須知道它的源代碼,更確切地說,你根本不知道,也許永遠不知道它的源代碼 ,你只是利用這個工具去做你想去做的事情,現代計算機中稱工具的專業名稱為“對象”。所以工具性程序與普通程序完全不同,有些需要轉換代碼后才能調用,有些只是通過實參配合命令進行調用,不符合要求的實參根本無法進行調用。那么有人會問,能不能破譯“對象”的源代碼?所謂“解鈴還須系鈴人”,破譯源代碼除了“系鈴人”之外,別無他人。那么有人會說木馬病毒可以破譯,我個人認為,木馬病毒只是侵入,無法破譯并獲得源代碼?,F代軟件加密技術非常強,里三圈外三圈,攔了個水泄不通,木馬技術最多也只是個別侵入與替換與復制,除非知道程序的破譯方法,一般不可以破譯并獲得源代碼的。

在項目做好后,經過系統軟件生成器平臺轉化成獨立代碼,直接運行在計算機操作系統中。

這里有兩個問題仍需解決,第一個問題是系統軟件生成器平臺是如何將程序打包并工具化的,第二個問題是不同版本的系統軟件之間是如何兼容的。

當我們還常常夸C語言、C++語言源代碼開放,功能如何之強大時,其實,我們在程序應用上還是未能解決根本問題。信息系統結構的未來發展趨向,就是進行程序的快速打包封裝,快速便捷地進行功能調用,快速地組裝并且達到新的適用功能,而并不是程序的源代碼如何地強大。軟件業的發展必須將程序進行工具性的“異類化”,成為程序的新品種,直接拿過來用即可,我們并不需要其內部的源代碼是什么。除此之外,我們要清楚地認識到,有些操作系統具有兼容其他語言的能力,以致我們的系統軟件能輕而易舉地應用到某些操作系統上。

我們常說要自動化,不僅指硬件的自動化,更是要指軟件的自動化。軟件要自動化,必須要有獨立、有序、反應敏捷的信息體系結構,加上調用封裝好的工具性軟件,優良的獨立接口軟件,達到與各種系統軟件平臺的兼容,同時也使計算安全監察維護技術工作變得相當簡單。哪一部分出了問題,我們就維護哪一部分,并不需要從頭至尾個個檢查。這樣,有利于減少工作量,提高工作效率。

三、結語

寫到這里,我希望廣大軟件開發的工作者門,開發出更好的、有利于國人的軟件產品,從根本上解決我們計算機網絡安全監察與維護的技術工作問題。

參考文獻

[1] 尚宇峰.網絡可靠性研究[J].2006.12-16

篇9

關鍵字:企業網絡   醫院網絡   網絡安全   網絡體系  技術手段

前言:

隨著信息技術的高速發展,互聯網越來越被人們所重視,從農業到工業再到高科技產業各行各業都在使用互聯網參與行業生存與競爭。企業對網絡的依存度越來越高,網絡在企業中所處的位置也越來越重要,系統中存儲著維系企業生存與競爭的重要資產-------企業信息資源。但是,諸多因素威脅著計算機系統的正常運轉。如,自然災害、人員的誤操作等,不僅會造成系統信息丟失甚至完全癱瘓,而且會給企業造成無法估量的損失。因此,企業必須有一套完整的安全管理措施,以確保整個計算機網絡系統正常、高效、安全地運行。本文就影響醫院計算機網絡安全的因素、存在的安全隱患及其應對策略三個方面進行了做了論述。

 

一、醫院網絡安全存在的風險及其原因

1.自然因素:

1.1病毒攻擊

   因為醫院網絡同樣也是連接在互聯網上的一個網絡,所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的,而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器,造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬,阻塞正常流量,形成拒絕服務攻擊。我們清醒地知道,完全避免所有終端上的病毒是不可能的,但要盡量減少病毒爆發造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽,使得醫院網絡被病毒攻擊的頻率越來越高,所以病毒的攻擊應該引起我們的關注。

1.2軟件漏洞

任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:

1.2.1、協議漏洞。例如,IMAP和POP3協議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄,從而獲得超級用戶的特權。

1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下,就接受任何長度的數據輸入,把溢出部分放在堆棧內,系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令,來造成系統不穩定狀態。

1.2.3、口令攻擊。例如,U nix系統軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統,都是容易被攻擊的。

 

2、人為因素:

2.1操作失誤

操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見,隨著網絡管理制度的建立和對使用人員的培訓,此種情況逐漸減少.對網絡安全己不構成主要威脅。   

2.2惡意攻擊

這是醫院計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅,每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范,因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。

二、構建安全的網絡體系結構

1.設計網絡安全體系的原則

     1.1、體系的安全性:設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性,必須保證體系的完備性和可擴展性。

     1.2、系統的高效性:構建網絡安全體系的目的是能保證系統的正常運行,如果安全影響了系統的運行,那么就需要進行權衡了,必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件,它們也會占用網絡系統的一些資源。因此,在設計網絡安全體系時必須考慮系統資源的開銷,要求安全防護系統本身不能妨礙網絡系統的正常運轉。

   1.3、體系的可行性:設計網絡安全體系不能純粹地從理論角度考慮,再完美的方案,如果不考慮實際因素,也只能是一些廢紙。設計網絡安全體系的目的是指導實施,如果實施的難度太大以至于無法實施,那么網絡安全體系本身也就沒有了實際價值。

1.4、體系的可承擔性:網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業來支持,要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多,那么我們就不該采用這個方案。所以,在設計網絡安全體系時,必須考慮企業的業務特點和實際承受能力,沒有必要按電信級、銀行級標準來設計這四個原則,可以簡單的歸納為:安全第一、保障性能、投入合理、考慮發展。

2、網絡安全體系的建立

    網絡安全體系的定義:網絡安全管理體系是一個在網絡系統內結合安全

技術與安全管理,以實現系統多層次安全保證的應用體系。

網絡系統完整的安全體系

系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠,確保應用系統正常運行。主要包括以下幾個方面:

    (1)防止非法用戶破壞系統設備,干擾系統的正常運行。

    (2)防止內部用戶通過物理手段接近或竊取系統設備,非法取得其中的數據。

 (3 )為系統關鍵設備的運行提供安全、適宜的物理空間,確保系統能夠長期、穩定和高效的運行。例如:中心機房配置溫控、除塵設備等。

    網絡安全性主要包括以下幾個方面:

    (1)限制非法用戶通過網絡遠程訪問和破壞系統數據,竊取傳輸線路中的數據。

    (2)確保對網絡設備的安全配置。對網絡來說,首先要確保網絡設備的安全配置,保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。

    (3)網絡通訊線路安全可靠,抗干擾。屏蔽性能好,防止電磁泄露,減

篇10

關鍵詞:高職;網絡安全技術;課程改革

中圖分類號:TP3文獻標識碼:A文章編號:1009-3044(2010)18-5009-02

'Network Security Technology' in Higher Vocational Curriculum Reform Shallow

YANG Xing, YANG Li-sha, CHEN Ming, LIU Tao

(1.Department of information engineering, Hunan Industry Polytechnic, Changsha 410208, China)

Abstract: The computer network technology training in network engineering technology, network management, website construction technology, capable of network planning and design, network construction, network management and maintenance, website construction and so on the work of higher technology applied talents. The technology is developing rapidly, but the curriculum content renewal speed, so urgently needed reforms relatively slow. This is the computer network professional core courses of the network security technology "the curriculum reform is explored.

Key words: higher vocational; network security; curriculum reform

隨著網絡的普及,網絡用戶數量的急劇上升,網絡安全問題也日益嚴重。計算機網絡專業學生在具備組網、建網、管網等能力的同時,也必須具備一定的構建網絡安全體系能力。高職教育由于其特有的目的性――偏重實踐動手能力,無法照搬本科的教育體系,因此,作為本專業核心課程《網絡安全技術》,進行課程改革必須符合高職教育的特點。

1 課程改革的背景和意義

1.1 教改前課程存在的不足

本課程為計算機網絡技術專業核心課程,旨在培養學生構建安全的網絡防范體系的能力。目前,該課程存在以下幾點不足:

1)課程內容陳舊

網絡安全技術日新月異,而課程內容的更新速度相對緩慢。一方面是網絡安全技術不斷加速的變革性;另一方面是課程體系及教學內容的相對穩定性,從而導致網絡安全方面的許多新技術、新知識不能很快出現在教科書上,教學內容的陳舊使培養出來的學生落后于時代的發展,體現不出高等教育先進性,與社會對人才的需求不相適應。

2)教學方式單調

計算機網絡技術是當今發展變化最快的技術之一,目前,《網絡安全技術》課程的理論授課雖全部在多媒體機房進行,但現在的教學還是處在“演示”的初級階段,大多時候,仍然是被動的聽、看;另外,該課程主要是講授網絡安全體系的構建以及具體的攻擊、防范方法,操作性強,然而由于教學信息量較大,在教學的過程中學生能進行基本功能的操作,但學生普遍反映課堂上會操作,下課后就將很多操作方法忘了,教學效果并不是很理想。

3)學生計算機知識水平參差不齊

由于自身因素、客觀因素等多方面的影響,學生的計算機基礎知識水平參差不齊,給教師的課堂教學增加了一定的難度。理論課就形成了好的不想聽、差的聽不懂的局面,嚴重影響教學效果和教學質量。上機輔導時,基礎差的學生開機都有問題,需要教師進行輔導,由于人數過多,教師照顧不到所有的學生,這樣,基礎好的學生把上機課變成了他們專門的上網時間、游戲時間。

1.2 課程改革的意義

上述問題在高職院校中帶有普遍性,對實現高職教育目標有重大影響,因此,進行高職《網絡安全技術》課程改革是十分必要和緊迫的,也是一項艱巨而有意義的創新課題。若能成功地完成該項課題,不但可以解決長期困擾高職《網絡安全技術》教學的若干難題,也可為高職院校課程的改革提供可借鑒的經驗。

2 課程改革的目標

高職教育應 “以就業為導向,培養高等計算機應用型專業人才為根本任務”,畢業生應具有“基礎理論知識適度、技術應用能力強、知識面較寬”等特點,結合高職教育和高職學生的特點,《網絡安全技術》課程的培養目標,應是動手能力強的網絡維護者和網絡安全實現者。

3 課程改革的措施

3.1 根據TCP/IP參考模型來制訂教學內容。

網絡隱患的出現歸根結底就是因為網絡結構本身的安全問題,將網絡隱患進行細化,會發現這些隱患都可以劃歸為TCP/IP參考模型各層的安全問題,比如線路安全屬于網絡接口層的安全問題,IP地址欺騙屬于網絡層的安全問題,認證和加密屬于應用層的安全問題等等,因此,可以針對各層的安全隱患來制訂教學內容。

3.2 以項目為單位組織教學,注重學生能力培養

根據本課程的教學目標,緊密結合網絡管理員職業資格證書技能考核要求,確定課程的教學內容,在此基礎上形成項目,并對項目進行分解,使基本知識點和技能要素直接切入到項目和工作任務的各個環節中,課程內容呈技能遞進方式。以項目為單位組織教學,讓學生在技能訓練過程中加深對專業知識、技能的理解和應用,培養學生的綜合職業能力,滿足學生職業生涯發展的需要。

3.3 改革考核方式,建立了形成性評價體系

改革傳統考核方式,注重過程評價,著重考查學生在項目任務中表現出來的職業能力和職業素養。將學生的職業素養、工作責任心、團隊協作、學習態度、職業能力和工作績效等納入評價范圍,建立科學可行的評價體系,對學生職業素養的養成和職業能力訓練方面進行全面評價,充分發揮評價的導向功能。

3.4 注重學生自主學習能力培養

教學過程中,注重“六階段”教學法,讓學生在教師的指導下,有目的、有計劃、大膽地、主動地去學習,在學習過程中,老師根據學習內容和學生實際,適時地給學生指導點撥,啟發誘導,充分調動學生學習的積極、主動性與創造性,讓學生在學習中積極思考,主動探究,發現問題,分析問題和解決問題,使學生在學習過程中構建新知,提高能力。課后作業,教師布置一些具有探索性課題,讓學生自主查閱資料,收集所需的知識與信息,提出自己解決問題方案。例如,安全風險分析教學課后作業要求學生調查學校及周圍街區網絡安全情況,若發現存在不安全現象,提出整改方案。

3.5 改革教學方法

1)注重“六階段”教學法

教學過程中,采用依據基于工作過程的課程開發理論所揭示的“資訊、決策、計劃、實施、檢查、評價”六階段法組織教學。

資訊階段――多個學生為一個小組,教師以任務單形式下達教學單元的任務,并提出具體要求。每個小組成員在教師指導下查閱相關資料,收集工作任務所需的知識與信息并提出自己的見解,并學會與小組成員、教師的溝通與交流。

決策階段――以小組討論的方式對每個學員的方案進行論證,在教師的指導和幫助下確定一個實施性的方案。在這一過程中學員相互啟發,相互學習,個人的知識欠缺將通過共同討論、集思廣益來彌補,同時也鍛煉學員解決問題和創造性思維能力。

計劃階段――針對實施方案,教師指導學員制定設計體系的工作計劃。包括:安全策略的制定、安全措施的執行等。

實施階段――小組成員針對工作計劃實施操作。教師重點指導學生完成實施準備工作,并對學生的實施操作進行全方位的監控,確保實施過程的用電安全并關注學生團隊合作、成本節約等意識。

檢查階段――學生對照上述階段進行自查,找到存在的問題并提出改進措施等。

評價階段――采用形成性評價方式進行考核。

2)技能考證獎勵法

將網絡管理員考核標準融入課程教學內容與評價體系,使專業課程的教學過程和技能培訓過程相互融合,課程考核與技能鑒定相結合,實行學生參與技能鑒定可取代對應課程考核的制度。課余時間開放實訓室,拓展第二課堂活動,促進學生主動學習專業有關知識,加深學生對知識的理解和掌握,提高學生的學習興趣,培養學生實踐技能和創新能力。

3.6 引入企業文化

校內實訓,模擬企業真實的工作氛圍,每個學生就像企業中的員工,組成工作小組,設立組長,教師充當部門經理,負責分配工作任務,并要求學生按企業工作流程要求,在整個實訓過程中嚴格把關,實行層層審核負責制,培養學生的工作責任心、獨立工作能力和良好的職業素質,工作結束后要清場并填寫工作報告(實訓報告),使學生在學校就體會崗位的工作情境。

通過本課程的學習,使學生掌握基于TCP/IP體系協議的安全體系構建等方面的知識,具備安全策略制定的能力,養成良好的團隊合作等習慣。

參考文獻:

[1] 時代教育技術學專業課程體系研究(一)[M].現代教育技術,2004.

[2] 盧紅學,高職課程體系改革的目標與思路[M].職教論壇,2005.