序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇網絡安全論文范文�。如果您需要更多原創資料���,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識�����!
篇1
1.基于IPv6的網絡建設
在全球互聯網高度發展的今天,由于網絡與通信的日益融合�,基于IPv4地址編碼方式已于2011年1月枯竭�。那么�,IPv6成為解決IPv4地址耗盡問題的最好解決方法網絡安全絡安全論文�,按照正常方式從IPv4向IPv6轉換成功的話����,全球所有的終端均可擁有一個IP地址����,從而可實現全球網絡的概念。
IPv6是下一版本的互聯網協議�����,也可以說是下一代互聯網的協議���,它的提出最初是因為隨著互聯網的迅速發展�����,IPv4定義的有限地址空間將耗盡,而地址空間的不足必將妨礙互聯網的進一步發展����。為了擴大地址空間����,通過IPv6以重新定義地址空間�����。IPv6采用128位地址長度�,幾乎可以不受限制地提供IP地址網絡安全絡安全論文�����,從而確保了端到端連接的可能性�����。
除了地址分配問題外��,IPv6雖然有整體吞吐量、高服務質量等優勢����,但在安全接入方面并不比IPv4更為顯著。IPv6并不意味著網絡就自然安全了�,雖然不使用地址翻譯��,但仍然會使用防火墻,.net本身并不會帶來安全的因素���。IPv6與IPv4面臨同樣的安全問題。
2. IPSec安全協議
2.1 IPSec安全協議的體系結構
在IPv6中,IPSec安全協議是一個協議套件,主要包括:認證頭(Authentication Header,AH)�����、封裝安全載荷(Encapsulating Security Payload,ESP)、Internet密鑰交換(Internet Key Exchange,IKE)等相關組件論文開題報告范文論文下載���。它提供的安全服務有:數據源身份驗證,無連接數據完整性檢查,數據內容的機密性保證,抗重播保護以及有限數據流機密性保證���。IPSec協議的體系結構如圖1所示����。
2.2IPSec認證頭AH協議
認證頭AH用于為IP提供數據完成性���、數據原始身份驗證和一些可選的、有限的抗重播服務���。AH定義了對數據所實施的安全保護的方法���、頭的位置�����、身份驗證的覆蓋范圍,以及輸入和輸出處理規則,但不對所用的身份驗證算法進行具體定義[。AH的格式如圖2所示��。認證頭AH有2種工作模式,即傳輸模式和隧道模式��。傳輸模式只對傳輸層數據和IP頭中的固定字段提供認證保護,主要適合于主機實現[3]�����。隧道模式則對整個IP數據提供認證保護���。
2.3 IPSec封裝安全載荷ESP協議
封裝安全載荷ESP為IP提供機密性���、數據源驗證、抗重播以及數據完整性等安全服務����。ESP的格式不是固定的,依據采用不同的加密算法而不同,但起始處必須是安全參數索引(SPI),用以定義加密算法及密鑰的生存周期等��。ESP格式如圖3所示。封裝安全載荷ESP有2種不同的加密工作模式,即傳輸模式和隧道模式��。傳輸模式ESP只對傳輸層數據單元加密,IPv6和各種擴展頭以及ESP中的SPI段用明文傳輸,該方式適用于主機到主機的加密�。隧道模式ESP對整個IP分組進行加密,該模式以新的包含有足夠路由信息的IP頭封裝,從而便于中間結點的識別,該方式適用于設置有防火墻或其他類型安全網關的結構體系�。
篇2
隨著互聯網的飛速發展�����,城市人民的生活基本進入信息化時代���,人們不管是網上購物����,還是在線聊天等,或多或少了一些個人信息���。甚至我國很大一部分的企業關鍵信息都存儲于網絡�,因此網絡是信息傳遞和存儲的載體���,它的正常運行有效地保證了用戶信息的安全��。網絡信息安全主要涵蓋網絡信息安全���、傳輸安全和內容安全三個方面�����,網絡數據傳播的渠道方式以及傳播的信息內容是否真實可靠。基于我國網絡安全基本情況��,所謂網絡安全,主要體現在從以下四個方面:網絡信息數據的完整性�、保密性以及共享數據的可控性和可用性���。每一個安全特征都需要每個網絡用戶自覺維護�����,才能實現�����。本文根據網絡安全要求及其特征�����,對目前網絡安全做了體現架構分析。根據用戶群體的不同將網絡劃分為五個層次��,分別為應用和保密基礎層��、應用群體��、用戶群體、系統群體以及網絡群體�����。目前���,本文所提的五層網絡安全體系在全球范圍內已經得到了公認����,并且也已經成功應用在網絡安全產品之中�����,五層網絡安全體系主要涵蓋五層,下面針對每層的安全性問題做簡要分析���。
1.1.1網絡層的安全性
網絡信息和傳輸是否能得到控制是網絡層安全性的核心問題,網絡用戶通過固定的IP地址進入網絡系統�����,而網絡則對此IP地址傳輸的數據進行檢查,查看信息內容是否安全����,安全則允許傳輸�,否則屏蔽�。目前網絡安全性提高方法主要由兩種:防火墻產品和VPN(虛擬專用網)����。
1.1.2系統的安全性
網絡系統中的安全性主要包括兩個方面:第一是非法黑客對網絡系統的入侵和破壞;第二是傳統病毒對網絡系統的入侵和破壞��。病毒是一種可復制性���、具有攻擊型可執行文件�����,這些病毒的源頭是非法程序員通過網絡散布的��、破壞正常文件的可執行文件;黑客是通過非法渠道進入網絡系統竊取他人資料�;這兩種方式都是破壞系統安全性的渠道���。
1.1.3用戶操作安全性
目前��,網絡數據主要分為兩種,一種是靜態數據��;一種是動態數據����;而用戶都是通過靜態數據進行校驗�,登錄系統����,但往往由于用戶操作失誤或遺失賬號密碼,導致系統出現漏洞��,給非法用戶提供了侵入系統接口����。
1.1.4應用程序的安全性
應用程序安全性主要涉及兩個方面的問題:一是應用程序對數據的合法權限����;二是應用程序對用戶的合法權限��。即合法用戶通過應用程序操作合法數據。
1.1.5數據的安全性
數據作為整個架構層次的核心部分���,其保存前�����、中和后都需要進行加密���,充分保證數據的安全性����,即使在數據被竊后�����。通過數據加密等措施,即使數據丟失�,也可以讓非法入侵者得到的是加密文件��,無法了解其信息內容����。上述的五層安全體系并非孤立分散�。他們是有機的結合體,通過互相的數據共享和聯通�,形成整個網絡體系架構����,以上便是本文所設計及介紹的五層網絡安全體系�����。
1.2安全技術分析
從上個世紀網絡盛行時,網絡安全就被世人所關注����,針對網絡漏洞和病毒�,科學家和研究者制定出各種協議和規則�,甚至研究出各種網絡安全技術���,下面就幾種成熟的網絡安全技術進行分別介紹��。
(1)防火墻技術。
防火墻作為一種網絡數據核查軟件�����,很好的杜絕了網絡用戶通過非法渠道獲取其他網絡用戶信息,它通過分包和IP地址并行校驗機制���,對外來數據進行一一檢查�,此種技術很好的保障了內部數據的安全性�����。目前���,防火墻技術主要是分組過濾和服務兩種類型����,它們的主要宗旨是保護外來非法數據對本地數據的入侵和破壞�����,防火墻技術是一種真正保證本地數據的有效工具,它通過固定的網絡協議對往來電子郵件進行過濾��,使進出數據都得到了很好的檢驗。
(2)應用網關�。
應用網關主要是針對網絡數據傳輸過程中的數據包進行過濾��,一般與防火墻技術組合使用,防火墻將數據包送至應用網關�,應用網關可以被用來處理電子郵件��,遠程登錄�,及文件傳輸��。
(3)虛擬私人網絡。
虛擬網絡主要是為一些用戶專門訪問而成立的技術��,因此可以在Internet上建立自己的虛擬私人網絡是一個安全的策略����。通過路由器�,虛擬鏈接就形成了�。這樣就可以由用戶建立一個專內網絡�,進行數據交換���,形成內部網絡。由此可見�����,通過這種手段來保護數據的安全。
(4)數據加密技術�。
為防止數據被外部非法用戶所竊取的另外一個重要技術就是數據加密技術����,它也是目前最為常用�,而且安全性和可靠性非常高,數據加密技術主要包括密鑰機制���、數據傳輸���、存儲和完整性等。數據傳輸加密技術��。數據存儲加密技術�����。數據完整性鑒別技術。密鑰管理技術����。
(5)智能卡技術��。
智能卡技術主要是對存儲數據的磁盤進行管理���,在存儲空間設置授權機制��,非授權數據和非授權的操作用戶都將無法與智能卡進行交互�����,這種方式充分保障了智能卡總的數據安全性,適合獨立和重要數據保護應用技術之一���。
2.數據加密
2.1數據加密技術
加密技術是保證某些信息只有目標接收人才能讀懂其含義的一種方法��。所有的加密技術都要使用算法�����,算法是一種復雜的數字規則��,被設計用來攪亂信息�,以防止第三者對信息的截獲�。密碼體制技術是研究通信安全保密的學科,它由密碼編碼學和密碼分析學兩部分組成���。密碼編碼學是研究對信息進行變換����,以保護信息在傳送過程中不被第三方竊取、解讀和利用的方法��,它涉及對數據的保護、控制和標識���。密碼分析學研究如何分析和破譯密碼�����,二者既相互對立,又相互促進�����。加密算法的抗攻擊能力可用加密強度來衡量�,加密強度由三個因素組成:算法強度���、密鑰的保密性�、密鑰長度����。加密技術是信息安全系統中常用的一種數據保護工具����,而這種加密技術可用在交易過程中使用�,加密體制無外乎分為兩種�����,一種是對稱加密,另一種是非對稱加密體制����。除了這兩種加密體制外�,還包括了哈希技術和數字簽名技術���。這些加密技術都在五層體系架構中發揮著重要的作用��。
(1)對稱加密/對稱密鑰加密/專用密鑰加密體制��。
如果使用對稱加密方式����,相同的密鑰被使用在信息加密和解密的過程中���,加密算法可以通過使用對稱加密方法將其簡化,每個貿易方都采用相同的加密算法并只交換共享的專用密鑰��,而不必彼此研究和交換專用的加密算法�����。
(2)非對稱加密/公開密鑰加密��。
非對稱加密和公開密鑰加密同屬一個意思。即在這種加密體制中���,密鑰被分解為一個加密密鑰和一個專用的解密密鑰���。非對稱加密算法中最著名的就是RSA算法���,它的優點是加密復雜度高,不易破解�,但他的缺點是運行速度慢���。因此在實際加密過程中基本不采用此種加密算法���。對應加密量大的應用��,公開密鑰加密算法通常用于對稱加密方法密鑰的加密����。
2.2密鑰安全分析
密鑰是數據加密技術中的核心算法點��,本文所討論的五層架構體系中所有的數據傳輸和存儲及訪問,都基于數據加密技術的支持�,隨著技術的發展,加密技術不斷完善���,但完成安全的數據通訊��,僅僅有加密和解密算法還是不夠的��,還需要有安全的密鑰分配協議的支持。在網絡數據傳輸過程中�����,采用公鑰密碼系統有較好的安全性�����,但加密解密的速度慢�,而私鑰雖然速度快,但不安全��,因此密鑰分配協議(簡稱KDP)是一種增強加密和解密的安全性。目前�����,世界存在的密鑰分配協議有兩種,一種是基于單一網絡的密鑰分配協議�;一種是基于網絡時鐘同步的網絡密鑰分配協議����;還有一種是基于層次的KDP��。但這三種協議由于種種原因(必要前提、不可修補等)而不能長時間應用與數據加密技術中����。
2.3可修補密鑰分配協議
本文基于數據加密技術和網絡安全的五層體系架構考慮����,設計一種可替補的密鑰分配協議方法,通過此協議����,增加數據加密密鑰的合理性和減小密鑰丟失的風險性�,提高網絡安全性能����。所謂密鑰可修補分配協議的重點在于當一個密鑰由于病毒��、黑客或用戶誤操作而導致的系統漏洞,因此系統就出現各種被惡意破壞的可能存在�,目前部分密鑰分配協議中采用新密鑰代替被泄露的密鑰,但也無法保證沒有了安全漏洞�。而本文所設計的密鑰分配協議不僅能取代泄露的密鑰,而且可使系統恢復至初始����,此種協議被稱為可替補協議����。
篇3
1)信息泄露���。信息泄露主要是指信息被泄露給規定機構意外的人員使用�。導致信息出現泄露的原因可能是信息訪問的過程中被竊聽或是對信息進行探測等��。
2)信息偽造。偽造主要是指不相關人員或機構對真實的信息進行偽造����,從而獲取合法用戶的使用權利�,使得信息的真實性遭到破壞�����。
3)信息篡改����。篡改主要是指不相關的人員或機構對系統內的資源進行篡改���,使得信息的完整以及真實性遭到損壞�。
4)參與者對所作的行為進行否認。這主要是指參與者否認自己的行為�,而從中獲取非法利益�。
5)非法訪問。這主要是指無權對信息進行訪問的人員對系統內的信息資源進行非法使用�����,從而使得信息可能被濫用��,而對金融網絡交易造成不利的影響。
2金融網絡安全服務的內容
通過以上對金融網絡存在的安全風險進行了分析��,并在分析的基礎上提出了一些在保障網絡金融安全體系中必須做到的,主要包括以下幾點:
1)實現機密性保護�。機密性主要是指對系統內的數據進行某種特定形式的轉換而保護真實的信息���。要實現機密性保護�����,一般情況下是采用密碼防控技術��,即對系統內的數據進行加密處理�����,對真實的信息進行隱藏��,并轉換為密文���。在這種情況下,即使外部使用者獲取到了數據也無法得到相關的信息���;此外還要對數據流進行保護�,做到對傳輸的數據源�、頻率等情況進行加密��,從而有效的避免外部使用者通過截取數據流而獲取信息內容。
2)對數據來源進行認證����。這主要是指根據傳輸過來的數據中所包含的的信息進行驗證��,從而確定所傳輸的數據是來自于發起方��。而對數據來源進行認證,最主要的目的就是確定所傳輸數據與發起方之間的不可破壞的聯系��。
3)對參與者的人身份進行認證。這主要是指保證參與者身份正確���,一般情況下����,對參與者的身份進行認證是在協商階段�����,一旦參與者的身份確認無誤����,系統中的應用程序就會賦予參與者相應的權利����,從而實現參與者的操作,而且對參與者的身份進行了認證科研作為以后系統訪問的控制提供設計依據�����。
4)確保數據的完整性與真實性��。保證數據的完整性與真實性主要就是指數據在傳輸的過程中沒有被攻擊者修改�����。在金融網絡交易中�����,這兩個方面主要用于對數據流的處理過程中,充分的保證數據在傳輸的過程中沒有被修改等����,從而確保收到的信息內容與發出時保持一致�,一旦發現數據不完整或不真實,則說明該數據不可進行使用�����。
5)不可否認��。這主要是為了有效的避免發收雙方對所傳輸的數據進行否認。在這種情況下��,當數據進行傳輸時�,必須對數據進行相應的處理,保證接收方所受到的信息是從特定的發送方所發出的���,同時��,當接收方對是、傳輸的數據進行接受后����,也應進行相應的處理并告知發送方信息已被接受����。
6)對訪問進行控制。訪問控制最主要的目標就是有效的防止外部使用者在未經授權的情況下對信息進行訪問�����,從而保證信息的保密��,同時進行訪問控制好可以有效的保證敏感信息在安全的環境中進行傳輸。對于金融網絡安全服務內容與安全風險的對應關系如下表所示:
3金融網絡的安全體系設計的防護原則
從計算機的特性上來講�,網絡安全包含了網絡中的所有層次�,所有對于金融網絡的安全防護只單一的從一個層次去進行安全的保護是遠遠不夠的��,所以必須從多個方面進行金融網絡安全的實施�����,根據對計算機的層次結構分析,金融網絡安全主要包括網絡安全�����、鏈路安全以及應用安全這三個部分���。網絡安全的原則就是將需要進行保護的網絡獨立出來,從而成為一個可以進行獨立管理以及控制的內部網絡系統���,而在此所以采用的就是防火墻來實現對內外部網絡的隔離與控制���,進而保證金融網絡的安全����。在這個方面�����,運用的技術設備主要是入侵檢測系統�,通過對網絡中的漏洞進行掃描并進行正確的分析�����,實現網絡的安全�����。鏈路安全主要是保證數據在傳輸過程中安全,在這個方面主要是通過對鏈路進行加密��,同時對參與者的身份進行驗證,有效的將內外部區域進性劃分����,從而保證數據在傳輸過程中的安全。而應用安全則是三者中最高層次�����,主要是采用密碼技術來對參與者的身份進行驗證,并同時進行訪問的控制�,保證數據的完整性��,安全性�。由于網絡的開發性以及資源的共享��,使得信息極易被竊取,篡改����,從而造成信息的的不安全,所以為了有效的保證信息的安全���,必須采取有效的技術策略����,進而充分的實現對金融網絡的安全防范���。
4金融網絡安全體系的設計
對于金融網絡安全體系的設計���,從技術層面上講,金融網絡安全體系中的組成部分主要有軟件系統���、網絡監控��、防火墻��、信息加密���,安全掃描等多個方面�����。而這些安全部分由于只能完成自己所要完成的功能,只有當所有的安全組件都有效的完成自己的任務����,才能構成一個完整的金融網絡安全系統����,而要真正實現安全保護這些構成組件缺一不可���。從這里也可以看出金融網絡安全是一個系統整體的工程��,要想真正的實現金融網絡交易的安全�,就必須保證所涉及的網絡設備以及這些組件的安全。對金融網絡安全體系進行設計研究�����,最主要的目的就是為了對金融網絡的整個交易過程進行全程保護,這就使得對于金融網絡安全的保護并不只是某些安全設備就可以獨立完成的���,必須充分的采用各種安全防范技術�����,設計出一個全方位、多層次的網絡安全體系���,在上面提出的安全防護原則的基礎上���,以及通過采用防火墻����、個人安全平臺等多種安全技術來金融網絡安全體系進行了設計�,金融網絡安全體系圖如下圖所示:在這個設計圖中�����,金融網絡安全體系所采用的安全設備主要有以下幾種:
1)防火墻����。在入口的地方進行防火墻的設置���,可以有效的控制外界對資源的訪問��,從而有效的實現內部網絡與外部網絡上的相隔離以及資源的訪問控制��,從而有效的保障系統內信息資源的安全性、完整性以及真實性�。
2)外部入侵檢測系統����。這種系統主要是及時的對違規信息進行識別并進行處理�����,它存在與任何存在數據風險的地方����,通過及時的截取網絡數據流,對入侵的數據進行識別�、記錄并破壞截取信息的代碼����,從而額準確的判斷出未經授權的信息訪問,一旦發現存在這類情況�,入侵檢測系統可以及時的根據系統內所設定的安全策略進行處理��,從而阻止未經授權者對信息的繼續訪問。
3)虛擬專用網。虛擬專用網可以在各網絡連接點之間建立一個安全加密隧道�,從而實現數據在傳輸的過程中不會被竊取或者篡改,從而及時���,準確的將信息傳達給所需用戶��,進而實現信息資源的共享。
4)個人安全平臺��。個人安全平臺主要是為了實現對系統內的資源以及計算機進行保護�����,而在一些關鍵的設備上設置個人安全平臺可以有效的實現對系統內資源信息的訪問����,從而有效的防止數據被竊取或者被篡改�����。對于這個金融網絡安全體系的設計與研究�,可以對金融網絡安全中存在的內外部風險同時進行有效的防范,從而最大程度上保障金融網絡的安全�。
篇4
(一)氣象技術的保障需求。當前�,隨著氣象業務的不斷發展,氣象應用系統越來越多�����,對網絡的依賴程度越來越強����,網絡安全早已擺在極其重要的位置��。尤其是近幾年來�,隨著全球氣候的普遍升溫,世界各個地方都面臨著干旱���、洪澇���、雨雪���、臺風等自然災害���,氣象技術的觀測��、預報功能是人們預防自然災害最有利的工具����,而病毒����、非法侵入系統等不法行為肯定會影響到氣象技術的發揮����,因此����,保障氣象網絡安全是必需的。要解決這一問題不可能依靠某種單一的安全技術��,必須針對氣象網絡的應用情況��,采用綜合的策略�,從物理環境����、網絡和網絡基礎設施����、網絡邊界、計算機系統和應用�����、安全管理等多方面構筑一個完整的安全體系����。
(二)氣象網站的安全需要���。全國各級氣象網站是公眾了解氣象政務��、天氣預報等信息的重要媒體�,通過這一媒介��,人們可以根據未來的氣象資料��,預先安排自己的生產生活。當前世界聯系日益緊密����,任何因素的波動都可能造成無法估量的損失,因此����,人們從氣象網站中及時獲取有價值的信息,對于他們來說�,是非常重要的。但由于互聯網的安全性較低�����,隨時都有可能遭到有意或無意的黑客攻擊或者病毒傳播。
二���、氣象網絡安全存在的問題
其實影響氣象網絡安全的因素有很多���,本文從以下幾個方面進行論述:
(一)氣象網絡管理缺陷���。由于全國各級氣象網絡系統在管理制度上普遍存在缺陷�����,有些基層站沒有專職計算機網絡管理人員����,再加上某些基層氣象職工計算機水平較低��,機房設備較差�����,對氣象網絡的安全極為不利�����。其不安全因素主要表現在:
(1)人為的非法操作。在某些基層氣象站閑雜人員擅自進入機房的現象時有發生��,甚至有人隨意使用外來光磁盤�。由于制度不到位,防范意識差�,隨意的光盤�、磁盤放入,有意無意將黑客裝入�����,給計算機網絡埋下不安全隱患����。
(2)管理制度不完善����。本應由管理員操作的部分管理工作,擅自交由其他非工作人員進行操作����,甚至告訴密碼���,致使其他人可以任意進行各種操作���,隨意打開數據庫,造成有意無意的數據丟失��,有的甚至在與Internet連接的情況下���,將數據庫暴露���,為黑客入侵創造條件��;有的人將密碼隨意泄露給別人��。
(3)相關工作人員的失職��。氣象部門工作人員的職責不到位,�����,在Internet上亂發信息,為修改文件破壞了硬件,對“垃圾文件”不及時清除�,造成數據庫不完整,資料不準確���。
(二)病毒侵入�。目前,氣象網絡安全面臨的最大危險就是病毒的侵入�����。當前網絡中����,各種各樣的病毒已經不計其數�����,并且日有更新����,每一個網絡隨時都有被攻擊的可能。計算機網絡病毒充分利用操作系統本身的各種安全漏洞和隱患����,并對搭建的氣象網關防護體系見縫插針,借助多種安全產品在安裝�����、配置����、更新���、管理過程中的時間差�,發起攻擊;有時黑客會有意釋放病毒來破壞數據���,而大部分病毒是在不經意之間被擴散出去的����。在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件��,也會讓氣象網絡染上病毒��。
三�、解決對策
(一)嚴格的安全管理制度。面對氣象信息網絡安全的脆弱性�,一方面要采用技術方面的策略外,另一方面還應重視管理方面的安全���,注重安全管理制度的加強�。針對安全管理的復雜度����,重要的是建立一套完整可行的安全政策,切實管理和實施這些政策�����。我們需要從以下幾個方面入手:
(1)首先加強人員的安全意識,定期進行網絡安全培訓����;其次,制定安全操作流程����,有明確、嚴格的安全管理制度�。再次,責權明確���,加強安全審計�����,詳細記錄網絡各種訪問行為����,進而從中發現非法的活動�����。
(2)構建安全管理平臺����。從技術上組成氣象安全管理子網,安裝集中統一的安全管理軟件�����,如病毒軟件管理系統�����,網絡設備管理系統����,以及網絡安全設備統管理軟件。定期對安全策略的合理性和有效性進行核實���,對于氣象網絡結構的變化��,應先進行安全風險評估����,適時修改安全策略���。
(二)防范各種非法軟件攻擊和入侵��。網絡的存在必然會帶來病毒攻擊和入侵發生�����。病毒的攻擊���,一方面來自外部��,由于應用系統本身的缺陷���,防火墻或路由器的錯誤配置,導致非法攻擊輕而易舉的進入網絡�,造成氣象業務中斷,數據的竊取和篡改等�;另一方面的攻擊來自于內部,內部員工的無意或者惡意的攻擊�����,也會給網絡的正常運行構成威脅��。
目前利用防火墻雖然可以阻止各種不安全訪問����,降低安全風險,但防火墻不是萬無一失的��,因此���,作為防火墻的必要補充的入侵檢測系統(IDS)��,是第二道安全閘門��,在全國各級氣象網絡的關鍵節點配置IDS��,可監視信息網絡系統的運行���,從中發現網絡中違反安全策略的行為和被攻擊的跡象,監控用戶的行為���,對所有的訪問跟蹤��,形成日志��,為系統的恢復和追查攻擊提供基本數據�。在各級建立IDS可以實時對關鍵服務器和數據進行監控�����,對入侵行為,違規操作進行預警與響應���,并通過與防火墻聯動有效阻止來自內部和透過防火墻的攻擊行為����。
(三)病毒防護策略���。對于網絡病毒的防范是氣象網絡的重要組成部分����。目前�,氣象網絡的覆蓋面廣,病毒的危害也越來越大�����,加之傳統的單機殺毒已無法滿足需求�,因此急需一個完善的病毒防護體系,負責病毒軟件的自動分發��、自動升級�����、集中配置和管理、統一事件和告警處理�、保證整個網絡內病毒防護體系的一致性和完整性���。
主要的防范措施是建設覆蓋全國各級氣象信息網絡病毒防護體系����,實現全網的統一升級���、查殺���、管理,防止病毒的交叉感染�。包括網關級病毒防護,針對通過Internet出口的流量�,進行病毒掃描,對郵件�、Web瀏覽、FTP下載進行病毒過濾�����,服務器病毒防護,桌面病毒防護��,對所有客戶端防病毒軟件進行統一管理等�。
參考文獻:
[1]張劍平等,《地理信息系統與MapInfo應用》.科學出版社.1999.
[2]黃翠仙���,廈門市氣象局網絡的VLAN設計[J].廣西氣象.2005(1).
篇5
當今社會����,通信網絡的普及和演進讓人們改變了信息溝通的方式�����,通信網絡作為信息傳遞的一種主要載體��,在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯����。這種關聯一方面帶來了巨大的社會價值和經濟價值,另一方面也意味著巨大的潛在危險--一旦通信網絡出現安全事故��,就有可能使成千上萬人之間的溝通出現障礙���,帶來社會價值和經濟價值的無法預料的損失�����。
2通信網絡安全現狀
互聯網與生俱有的開放性���、交互性和分散性特征使人類所憧憬的信息共享����、開放�、靈活和快速等需求得到滿足�。網絡環境為信息共享、信息交流�、信息服務創造了理想空間,網絡技術的迅速發展和廣泛應用�,為人類社會的進步提供了巨大推動力。然而�����,正是由于互聯網的上述特性�����,產生了許多安全問題���。
計算機系統及網絡固有的開放性��、易損性等特點使其受攻擊不可避免�����。
計算機病毒的層出不窮及其大范圍的惡意傳播���,對當今日愈發展的社會網絡通信安全產生威脅�����。
現在企業單位各部門信息傳輸的的物理媒介��,大部分是依靠普通通信線路來完成的���,雖然也有一定的防護措施和技術,但還是容易被竊取�。
通信系統大量使用的是商用軟件,由于商用軟件的源代碼����,源程序完全或部分公開化,使得這些軟件存在安全問題�。
3通信網絡安全分析
針對計算機系統及網絡固有的開放性等特點���,加強網絡管理人員的安全觀念和技術水平,將固有條件下存在的安全隱患降到最低�����。安全意識不強����,操作技術不熟練,違反安全保密規定和操作規程�����,如果明密界限不清����,密件明發�,長期重復使用一種密鑰,將導致密碼被破譯���,如果下發口令及密碼后沒有及時收回�,致使在口令和密碼到期后仍能通過其進入網絡系統�����,將造成系統管理的混亂和漏洞。為防止以上所列情況的發生�,在網絡管理和使用中,要大力加強管理人員的安全保密意識����。
軟硬件設施存在安全隱患。為了方便管理����,部分軟硬件系統在設計時留有遠程終端的登錄控制通道,同時在軟件設計時不可避免的也存在著許多不完善的或是未發現的漏洞(bug)�����,加上商用軟件源程序完全或部分公開化��,使得在使用通信網絡的過程中�����,如果沒有必要的安全等級鑒別和防護措施���,攻擊者可以利用上述軟硬件的漏洞直接侵入網絡系統����,破壞或竊取通信信息。
傳輸信道上的安全隱患��。如果傳輸信道沒有相應的電磁屏蔽措施����,那么在信息傳輸過程中將會向外產生電磁輻射,從而使得某些不法分子可以利用專門設備接收竊取機密信息���。
另外��,在通信網建設和管理上��,目前還普遍存在著計劃性差����。審批不嚴格���,標準不統一,建設質量低�����,維護管理差,網絡效率不高����,人為因素干擾等問題。因此����,網絡安全性應引起我們的高度重視。
4通信網絡安全維護措施及技術
當前通信網絡功能越來越強大�����,在日常生活中占據了越來越重要的地位�����,我們必須采用有效的措施���,把網絡風險降到最低限度�����。于是�,保護通信網絡中的硬件、軟件及其數據不受偶然或惡意原因而遭到破壞�����、更改��、泄露�,保障系統連續可靠地運行,網絡服務不中斷����,就成為通信網絡安全的主要內容。
為了實現對非法入侵的監測���、防偽�、審查和追蹤����,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽�����,從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性����,即便被截獲也會由于在不同協議層中加入了不同的加密機制,將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認���,以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”���,一般是通過數據檢查核對的方式達成的,數據檢查核對方式通常有兩種�����,一種是邊發送接收邊核對檢查���,一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞�����,同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息�。
為了實現實現上述的種種安全措施�����,必須有技術做保證�����,采用多種安全技術,構筑防御系統�����,主要有:
防火墻技術���。在網絡的對外接口采用防火墻技術�,在網絡層進行訪問控制���。通過鑒別���,限制,更改跨越防火墻的數據流�,來實現對網絡的安全保護,最大限度地阻止網絡中的黑客來訪問自己的網絡���,防止他們隨意更改�����、移動甚至刪除網絡上的重要信息�。防火墻是一種行之有效且應用廣泛的網絡安全機制�,防止Internet上的不安全因素蔓延到局域網內部,所以�,防火墻是網絡安全的重要一環。
入侵檢測技術���。防火墻保護內部網絡不受外部網絡的攻擊�,但它對內部網絡的一些非法活動的監控不夠完善�,IDS(入侵檢測系統)是防火墻的合理補充,它積極主動地提供了對內部攻擊�����、外部攻擊和誤操作的實時保護����,在網絡系統受到危害之前攔截和響應入侵,提高了信息安全性��。
網絡加密技術���。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取�����,是網絡安全的核心��。采用網絡加密技術�����,對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性����、完整性,它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題���。
身份認證技術��。提供基于身份的認證�����,在各種認證機制中可選擇使用�。通過身份認證技術可以保障信息的機密性��、完整性�����、不可否認性及可控性等功能特性。
虛擬專用網(VPN)技術����。通過一個公用網(一般是因特網)建立一個臨時的����、安全的連接,是一條穿過混亂的公用網絡的安全��、穩定的隧道�����。它通過安全的數據通道將遠程用戶���、公司分支機構��、公司業務伙伴等跟公司的內網連接起來��,構成一個擴展的公司企業網���。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中���。
漏洞掃描技術���。面對網絡的復雜性和不斷變化的情況��,僅依靠網絡管理員的技術和經驗尋找安全漏洞��、做出風險評估�����,顯然是不夠的�����,我們必須通過網絡安全掃描工具��,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患����。在要求安全程度不高的情況下�����,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞���。
結束語
目前解決網絡安全問題的大部分技術是存在的�����,但是隨著社會的發展��,人們對網絡功能的要求愈加苛刻���,這就決定了通信網絡安全維護是一個長遠持久的課題����。我們必須適應社會,不斷提高技術水平����,以保證網絡安全維護的順利進行。
參考文獻
[1]張詠梅.計算機通信網絡安全概述.中國科技信息�,2006.
[2]楊華.網絡安全技術的研究與應用.計算機與網絡,2008
[3]馮苗苗.網絡安全技術的探討.科技信息����,2008.
[4]姜濱,于湛.通信網絡安全與防護.甘肅科技,2006.
[5]艾抗��,李建華����,唐華.網絡安全技術及應用.濟南職業學院學報,2005.
[6]羅綿輝����,郭鑫.通信網絡安全的分層及關鍵技術.信息技術,2007.
篇6
國際標準化組織(ISO)將網絡安全[2]定義為:為數據處理系統建立相應的安全保護措施�����,保護運行在網絡系統中的硬件����、軟件以及系統中的數據不被黑客更改、破壞或者泄露����,從而保證了網絡服務不中斷,使得系統可靠安全地運行.上述網絡安全的定義包含兩方面內容:物理安全和邏輯安全.其中物理安全是指在構建網絡系統的時候����,保證物理線路能夠防雷、放火、防水�����、防盜等�,能夠保證物理線路連續的進行數據傳輸.而邏輯安全通常指的是傳輸在網絡上數據的信息安全,即對網絡上傳輸信息的保密性�����、可用性和完整性的保護.另一方面����,網絡安全性的涵義也可以理解成是信息安全的一種引申����,即網絡安全是對網絡信息的保密性、可用性和完整性提供相應的保護.概括的說�,可以將網絡安全定義為:為保證目前網絡中運行的系統、信息數據����、信道傳輸數據和信息內容的安全而采取相應的措施,從而保證網絡中信息傳輸�����、交換以及處理的保密性、可用性���、可控性�����、可審查性���、完整性.
1.2網絡安全基本特征
網絡安全應具有保密性、可用性�����、可控性�����、可審查性��、完整性等五個方面的特征.保密性:信息未經授權不泄露給任何用戶�����,而且信息的特性也具有保密性,其它非授權用戶�、實體或過程無法利用其特征.可用性:用戶經過授權后可按需使用,即授權用戶當需要該信息時能否正常存?���。W絡環境下常見的可用性的攻擊包括拒絕服務攻擊、破壞網絡或系統的正常運行等.可控性:對網絡中傳播的信息及其內容具有控制能力.可審查性:當網絡中出現安全問題時可提供相應的依據與手段�,便于追蹤攻擊源.完整性:用戶未經授權不能隨意改變數據的特性,即信息在保存或者傳輸的過程中擁有不被修改�����、破壞或丟失的特性��,保證了信息的完整性.
2校園網建設概述及其安全威脅
隨著互聯網的快速普及��,校園網建設已經成為學校的基礎建設之一���,教育信息化、數字化已經成為教育發展的主方向����,校園網已成為學校日常教學、辦公���、科研���、管理���、生活主要的工具和手段之一,并發揮著越來越重要的作用[3].另一方面��,隨著國家科教興國戰略的實施�����,政府加強了對學校的投資���,由此也加強了學校對校園網的建設.中國教育和科研計算機網(CER-NET)的成立��,標志著教育網的形成.CERNET主干網絡傳輸速率已達到2.5Gpbs����,總容量達40Gpbs�,它吸引超過1000所高校的鼎力加盟,覆蓋全國超過200個城市.目前����,大部分學校都已建成校園網�����,實現了校園網的整體覆蓋���,包括辦公樓、教學樓����、宿舍樓等.校園網同時與Internet對接,實現了校園辦公教學的信息化����、自動化.如圖1所示,為一個簡單的校園網組網模型.隨著CERNET的建設不斷提高��,校園網已經成為互聯網的重要組成部分之一�����,是學校信息化�����、數字化建設的基礎設施�,同時擔任著科研與教學的重要任務.然而,目前國內大多數學校都缺乏對校園網建設的綜合規劃�����、缺乏相應的網絡管理措施�����、以及對校園網絡的認識不足�����,這些都極大阻礙了校園網的發展.因此合理地對校園網絡升級�,是目前學校校園網工程的首要目標之一[4].同時,校園網作為學校數字化��、信息化的基礎設施����,安全問題不容忽視.在互聯網開放程度很高的今天,校園網往往最容易成為黑客攻擊的目標.威脅校園網安全的因素有很多�����,但主要的安全威脅有以下幾類.
2.1TCP/IP協議漏洞造成的威脅
現在互聯網上使用最多的協議就是TCP/IP協議了����,這幾乎是所有校園網采用的網絡傳輸協議.TCP/IP協議在設計之初�,就沒有考慮安全問題���,它只考慮如何把信息互相傳輸�����,因此存在很大的安全威脅.雖然國際標準化組織提出的OSI七層協議能夠很好的保證網絡安全���,但是由于TCP/IP協議的開放性和通用性幾乎占用了整個市場,使得OSI七層協議無法推廣.所以���,目前網絡黑客針對TCP/IP漏洞攻擊有很多�����,例如:數據竊聽�����、源地址欺騙��、ARP欺騙等等.
(1)數據竊聽(PacketSniff).TCP/IP協議從設計之初�����,就采取的是數據包明碼傳輸����,這種傳輸模式使得數據包很容易被竊聽����、修改和偽造.黑客可以利用一系列工具獲取網絡中正在傳輸的數據包,竊取用戶有利用價值的信息�,如用戶賬戶和密碼等信息.同時,黑客也能修改和偽造數據包����,讓用戶誤入釣魚網站或者竊取網上銀行信息,給用戶造成直接經濟損失.特別是在校園網中�����,數據包流通比較集中�����,一旦獲取了校園網服務器或管理員賬號信息,將會給校園網絡造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網絡安全中��,一個比較重要的安全問題就是源地址欺騙.這里的源地址����,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉發��,信息會發生變化�����,而且在實際的網絡系統中���,也有一定的限制����,改造欺騙難度比較大����,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機IP地址,騙取防火墻信任��,從而對校園網內部發起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個完整的IP數據包中�,通常只包含源地址和目的地址����,即路由器可以知道數據包從哪個主機發送出來�����,將要到達哪個主機.源路由是指數據包將會列出所要經過的路由��,路由器將會根據這些指定的路由將數據包送達相應的主機��,然后根據其反向路由進行應答��,從而實現主機之間的通信.而源路由選擇欺騙�����,則是攻擊者通過偽造主機源路由�,讓數據包經過該主機必經路由�����,使受攻擊主機出現錯誤判斷�����,將某些被保護的數據提供給了攻擊者.另一方面,由于路由器一般對接收到的路由信息是不經過檢驗的���,這樣就給攻擊者提供便利�����,攻擊者可以發送虛假數據包�����,改變某些重要數據包的傳遞路徑�����,使得數據在傳遞到正常主機前���,即可抓取分析,從而也達到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協議還無法證明網絡身份的真實有效性�����,因此黑客可以偽造他人合法身份入侵到網絡系統或者獲取密鑰信息��,從而達到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協議��,作用是將網絡中的IP地址轉換成MAC物理地址的協議.因為在局域網中,尤其是在校園網中��,使用最多的往往是MAC地址進行傳輸�,而不是IP地址進行傳輸,所以ARP協議能夠很快的讓局域網中的兩臺主機進行通信.而黑客只需在局域網中進行網絡監聽�����,獲取到一臺主機A的節點信息(IP地址和MAC地址)��,就能偽造A的數據包�����,與B進行通信�,獲取有用信息.另一方面�,黑客可以偽造一個不存在的MAC地址在局域網內傳播,形成廣播風暴��,這樣會造成網絡不通�,給局域網造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務攻擊����,攻擊者的目的是讓目標主機或網絡無法提供正常服務.因為TCP協議采用三次握手建立一次連接��,而任何一次握手失敗�����,則會重新發送.攻擊者正是利用這一個協議漏洞�,采取不斷建立連接��,然后丟棄該連接數據包�����,使得服務器處于等待狀態�����,如果攻擊者一直持續連接和丟棄的過程���,則服務器和網絡所有的資源會被完全消耗����,導致計算機或網絡無法正常工作��,從而達到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊����,即分布式拒絕服務攻擊�����,它是指攻擊者借助一系列工具或手段��,聯合多個計算機組成攻擊平臺����,對一個或數個目標發動DoS攻擊.最基本的DoS是利用合法的服務請求�,占用攻擊目標主機大量服務資源,使得正常用戶無法訪問.然而DoS服務需要占用大量帶寬���,單個計算機攻擊肯定無法達到攻擊者想要的目標.因此網絡黑客會抓取網絡“肉雞”,集合大量網絡帶寬�,組成龐大的攻擊平臺,可以在瞬間讓被攻擊目標處于癱瘓狀態.
(8)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號����,形成一個TCP封包,對網絡中可信節點進行攻擊.而且最重要的是�����,黑客可能利用偽造的TCP封包發動SYN攻擊,讓服務器無法完成三次握手��,造成服務器開放大量等待端口�,影響正常網絡訪問,嚴重時����,可直接造成服務器死機,如果該服務器是WEB服務器或者DNS服務器�,那么可能導致網站主頁無法鏈接或者校園網內部用戶無法訪問外部網絡.
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協議是Internet控制報文協議,它屬于TCP/IP協議下的一個子協議�,用于在IP主機和路由器之間傳遞控制消息.其中控制消息是指網絡是否暢通、主機是否可連接��、路由是否可用等一系列消息��,它對數據傳輸有很重要的作用.而ICMP攻擊是指利用操作系統ICMP的尺寸大小不得超過64KB這一規定���,發動“PingofDeath”攻擊����,當主機ICMP數據包尺寸超過64KB時�,主機會發生內存分配錯誤,導致TCP/IP堆棧崩潰����,使得目標主機死機.雖然操作系統通過取消ICMP數據包大小限制來解決該漏洞���,但是向目標主機發動持續、大規模的ICMP攻擊��,會消耗主機CPU����、內存等資源,嚴重時也會導致目標主機癱瘓����,無法提供正常服務.
2.2漏洞威脅
軟件和操作系統是由程序員編寫的,而在開發的過程中�����,多多少少會存在各種各樣的漏洞問題�����,這些漏洞如果不能及時修復�����,將會對主機造成重大安全威脅.一旦該主機被攻破����,同時也會給該主機處在的局域網中的其它機器造成威脅,情況嚴重時�����,甚至會造成整個網絡癱瘓.近幾年來�����,無論是Windows操作系統��,還是Linux操作系統�����,的補丁數目一直持續增加.特別是Windows操作系統���,在校園網內擁有的用戶眾多�����,如果沒能及時修復各種漏洞�����,勢必會影響整個校園網安全.
2.3病毒���、木馬威脅
近些年來���,隨著互聯網的普及,網絡上各種各樣的開源軟件繁多�,有些開源軟件打著免費的旗號,暗留后門或者對操作系統植入木馬����,稍不注意,就會對整個系統造成重大影響.同時����,網絡上黑客也會主動攻擊,種植木馬���,抓取網絡肉雞�,作為自己攻擊的跳板��,對互聯網上其它的計算機造成嚴重威脅.
2.4初級黑客攻擊
校園網因為自身局限性�,其網絡管理水平無法與企業相比,因此很容易受到網絡上初級黑客的攻擊���,作為他們試手的目標.另外一方面����,互聯網出現的一系列黑客教程�����、黑客工具����,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡單���,這讓許多初級黑客也能在一段時間內對網絡造成嚴重的攻擊.且根據心理學研究分析��,很多普通攻擊者往往有炫耀心理��,即把校園網作為自己攻擊的目標�,以獲取所謂的成功感��,這讓校園網增加更多的威脅.
3目前校園網網絡建設中存在的主要安全問題
目前在校園網網絡建設中主要存在的安全問題分為人為因素導致的安全問題和非人為因素導致的安全問題.
3.1人為因素導致的網絡安全問題
3.1.1校園網用戶數量龐大
校園網內用戶量眾多且處在同一個局域網中,同時���,校園網內服務器數量也是別的局域網不能比擬的.用戶量加上數目可觀���、功能強大的服務器,這些條件也吸引著互聯網上眾多黑客的攻擊����,因此存在著很大的安全隱患.
3.1.2校園網用戶安全意識低
根據調查研究發現,校園網的用戶大部分都安全意識不強����,用戶計算機整體水平偏低,有一部分校園網用戶基本上不安裝殺毒軟件���,也沒能及時給系統打補丁�,系統處于“裸奔”狀態.這對于當今如此開放的互聯網����,將直接為黑客提供攻擊目標.而且校園網用戶極少學習相應的安全防范知識,在下載和使用軟件時���,基本上不考慮其風險性����,這些都將會給黑客制造攻擊機會,影響整個校園網安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權用戶����,它在一定程度上破壞了計算機系統的保密性.目前�,常見的信息泄密有:操作系統漏洞、流氓軟件�、網絡監聽、病毒����、木馬、業務流分析��、網絡釣魚��、電磁���、物理入侵���、射頻截獲、非法授權����、計算機后門程序.
3.1.4拒絕服務攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計算機停止提供服務�,讓合法的信息或資源訪問被拒絕或者嚴重推遲.常見的DoS攻擊有:SYNFlood��、IP欺騙�����、UDP洪水攻擊�、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統漏洞、病毒��、木馬����、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網絡濫用
由于授權的用戶因操作或行為不當��,導致網絡濫用�����,從而導致網絡安全威脅�,例如非法外聯、非法內聯����、設備濫用����、業務濫用�、移動風險等等.
3.2非人為因素導致的網絡安全問題
網絡安全除去人為因素外,很大一部分安全威脅來自安全工具和操作系統自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應用范圍和環境��,同時安全工具受到人為因素�、系統漏洞�、程序BUG的影響,這些因素反而給攻擊者帶來了一定的便利.對于操作系統而言����,沒有絕對安全的操作系統,無論是微軟的Windows系列操作系統����,還是開源的Linux操作系統,都有存在后門或漏洞的可能.世界上沒有絕對安全的操作系統���,因此在搭建校園網時��,要選擇安全性盡可能高的操作系統���,而且要隨時提供校園網用戶漏洞補丁下載��,以及殺毒軟件����,保證用戶系統安全性始終最高.由上所述���,我們可以說網絡安全問題絕大部分是由人為因素引起的.現在����,國家也制定了相應的法律來保護網絡安全�,打擊相應的網絡犯罪活動.但是校園網作為一個龐大的用戶群,如何防范這些網絡犯罪活動顯得尤為重要.我們不能等著整個網絡被攻擊導致癱瘓后再想著去防范����,而是要在攻擊之前做好準備工作,讓校園網在安全中運行.
4加強校園網網絡安全建設的對策和建議
加強校園網網絡安全建設主要從以下幾個方面來進行.
4.1應重視校園網網絡的安全搭建
在校園網工程的建設中�����,網絡系統的搭建是屬于弱電工程�����,它的耐壓值比較低.由此,在校園網工程的設計和建設中�����,一定要首先考慮人以及網絡中物理設備的防火�、防電以及防雷等安全問題;考慮網絡中布線系統與通信線路�����、照明線路���、動力線路、空氣對流管道以及暖氣管道之間的距離���;考慮網絡中物理電路的接地安全����;考慮建設合理的防雷系統���,保證建筑物�����、計算機以及其它物理設備的防雷[6].
4.2應加強校園網網絡的安全維護技術
從技術層面來說�,網絡安全主要是由防火墻系統、入侵檢測系統����、病毒監測系統等多個安全組件組成,單獨的一個組件是無法保證當前網絡信息安全的.最早的網絡安全技術是采用邊界閾值控制法���,即通過對網絡邊界的數據包進行監測�,符合規定的數據包可通過���,不符合規定的數據包就拋棄����,這種方式在一定程度上能阻止對網絡的入侵和攻擊�,但是不能有效防止網絡攻擊.目前,應用比較廣泛的網絡安全基本技術有:防火墻技術����、防病毒技術、數據加密技術等.防火墻[7]指的是一個由硬件和軟件混合組成的設備����,用于將內部網絡和外部網絡隔離起來��,建立一層安全保護屏障���,它是一種隔離控制技術.常見的防火墻有包過濾技術、技術����、狀態監測技術等.相對于防火墻來說,防病毒技術將是從計算機網絡內部進行防控����,主要預防病毒程序、后門程序��、網絡監聽等.目前采取比較多的防病毒手段是對系統進行監聽�,阻止不合規定進程.而且防病毒技術永遠是滯后性的���,即防病毒工具一直在病毒出現后才能組織.現在的防病毒技術和云平臺技術結合��,已經對病毒起到了一定的控制作用.相對前面兩種技術來說��,數據加密技術就比較靈活了.可以將用戶的信息經過加密后�����,再在網絡上傳輸�,及時數據被黑客截獲,沒有有效的密鑰����,數據對黑客來說也只是一堆無效數據而已.在開放的互聯網平臺,數據加密能夠有效的保證了用戶的隱私以及數據的安全[8].
4.3應建立科學的校園網網絡管理人員崗位職責
計算機網絡安全絕大部分是人為因素引起的.因此在校園網搭建過程中�����,關于對計算機系統管理員的培訓及管理�����,是校園網網絡安全中最重要的一部分.一個不合理的操作�����,很有可能讓整個網絡系統癱瘓���,因此必須建立健全管理規范�,明確管理員責任和權利.同時����,要記錄管理員操作信息����,當發現不合規定的記錄時����,可以及時分析,如果發現黑客入侵�,則及時采取必要措施杜絕黑客進一步入侵,必要時需向當地公安機關報案����,減少學校損失.另外一方面,建立健全的管理制度以及嚴格的管理模式���,可以保證校園網的正常�、安全運行.總而言之�,網絡安全涉及的領域很多,是一個綜合性的問題.只有合理的運用相關技術以及人員培訓�����,才能盡最大可能的把安全威脅降到最低.
篇7
論文關鍵詞:科研網絡信息�����;安全隱患�;控制策略
1引言
隨著計算機網絡技術的普及,利用網絡信息技術來改造傳統科研管理模式已經成為一種歷史潮流�。由于計算機網絡的互聯性和開放性,在提供信息和檢索信息的同時���,也面臨著一些安全隱患���,科研信息一旦泄露,會給科研項目的實施帶來致命的打擊��。因此����,加強網絡安全、防止信息泄露����、修改和非法竊取已成為科研單位普及與應用網絡迫切需要解決的問題,及時掌握和控制網絡信息安全隱患是十分必要的��。
2科研網絡信息安全的概念和意義
2.1概念
科研網絡信息安全主要包括以下兩個方面的內容:①科研數據的完整性�����,即科研數據不發生損壞或丟失,具有完全的可靠性和準確性���。②信息系統的安全性�����,防止故意冒充����、竊取和損壞數據�。
2.2意義
根據信息安全自身的特點以及科研的實際情況。
網絡信息安全在科研單位的實施應該以信息安全技術做支撐����,通過流程、審查和教育等的全面協同機制����,形成一個適合科研管理的完整的信息安全體系,并依靠其自身的持續改進能力����,始終同步支持科研項目發展對網絡信息安全的要求。
3科研網絡信息存在的安全隱患
3.1網絡管理方面的問題
科研網絡的信息化���,由于覆蓋面大�����、使用人員多以及資料��、信息系統管理存在漏洞.有關人員缺乏保密意識�����,往往不能保證工作文稿�、科研資料�����、學術論文等在網絡上安全��、正確���、實時的傳輸和管理����。
3.2外部威脅
網絡具有方便、快捷的特點���。但也面臨著遭遇各種攻擊的風險��。各種病毒通過網絡傳播���,致使網絡性能下降,同時黑客也經常利用網絡攻擊服務器�,竊取、破壞一些重要的信息�,給網絡系統帶來嚴重的損失。
4科研網絡信息安全的控制策略
4.1建立完善的網絡信息管理體系
4.1.1制定并網絡信息安全管理制度這是科研網絡信息安全工作的指導準則�,信息安全體系的建立也要以此為基礎。
4.1.2建立網絡信息安全管理組織這為網絡信息安全體系的建立提供組織保障���,也是網絡信息安全實施的一個重要環節���,沒有一個強有力的管理體系,就不能保證信息安全按計劃推進�����。
4.1.3加強網絡信息保密審查工作堅持“誰公開、誰負責����、誰審查”的原則,落實保密審查責任制�,規范各科室���、部門分工負責的保密審查制度���,不斷完善和細化保密審查的工作制度、工作程序����、工作規范和工作要求。
4.2開展充分的信息安全教育
工作人員信息安全意識的高低���,是一個科研單位信息安全體系是否能夠最終成功實施的決定性因素�����,所以需要對員工進行充分的教育�����,提高其信息安全意識�,保證信息安全實施的成效。
科研單位可以采取多種形式對工作人員開展信息安全教育����,充分利用科研單位內部的輿論宣傳手段,如觀看警示教育片����、保密知識培訓、簽訂保密承諾書��、保密專項檢查等�,并將工作人員的信息安全教育納入績效考核體系。
4.3選擇合適的網絡信息安全管理技術
網絡信息安全管理技術作為信息安全體系的基礎����,在信息安全管理中起到基石的作用。
4.3.1設置密碼保護設置密碼的作用就是安全保護�����,主要是為了保證信息免遭竊取����、泄露�、破壞和修改等����,常采用數據備份、訪問控制�、存取控制、用戶識別�����、數據加密等安全措施���。
4.3.2設置防火墻防火墻在某種意義上可以說是一種訪問控制產品,它能強化安全策略�,限制暴露用戶點,它在內部網絡與不安全的外部網絡之間設置屏障���,防止網絡上的病毒�、資源盜用等傳播到網絡內部���,阻止外界對內部資源的非法訪問��,防止內部對外部的不安全訪問�����。
4.3.3病毒防范和堵住操作系統本身的安全漏洞為了防止感染和傳播病毒���,計算機信息系統必須使用有安全專用產品銷售許可證的計算機病毒防治產品���。同時任何操作系統也都存在著安全漏洞問題,只要計算機接人網絡����,它就有可能受到被攻擊的威脅,還必須完成一個給系統“打補丁”的工作����,修補程序中的漏洞,以提高系統的性能�。防止病毒的攻擊。
4.3.4使用入侵檢測技術人侵檢測系統能夠主動檢查網絡的易受攻擊點和安全漏洞����。并且通常能夠先于人工探測到危險行為,是一種積極的動態安全檢測防護技術����,對防范網絡惡意攻擊及誤操作提供了主動的實時保護�����。
4.4加強網絡和移動存儲介質的管理
篇8
網絡系統的可用性是指計算機網絡系統要隨時隨地能夠為用戶服務�,要保障合法用戶能夠訪問到想要瀏覽的網絡信息�,不會出現拒絕合法用戶的服務要求和非合法用戶濫用的現象。計算機網絡系統最重要的功能就是為合法用戶提供多方面的����、隨時隨地的網絡服務。
1.2完整性
網絡系統的完整性是指網絡信息在傳輸過程中不能因為任何原因����,發生網絡信摻入���、重放����、偽造�����、修改����、刪除等破壞現象[1]�����,影響網絡信息的完整性����。通過信息攻擊�、網絡病毒、人為攻擊�、誤碼、設備故障等原因都會造成網絡信息完整性的破壞�����。
1.3保密性
網絡系統的保密性是指網絡系統要保證用戶信息不能發生泄露����,主要體現在網絡系統的可用性和可靠性,是網絡系統安全的重要指標���。保密性不同于完整性����,完整性強調的是網絡信息不能被破壞,保密性是指防止網絡信息的發生泄露[2]��。
1.4真實性
網絡系統的真實性是指網絡用戶對網絡系統操作的不可抵賴性�����,任何用戶都不能抵賴或者否定曾經對網絡系統的承諾和操作�。
1.5可靠性
網絡系統的可靠性是指系統的安全穩定運行,網絡系統要在一定的時間和條件下穩定的完成網絡用戶指定的任務和功能��,網絡系統的可靠性是網絡安全最基本的要求�。
1.6可控性
網絡系統的可控性是指網絡系統可以控制和調整網絡信息傳播方式和傳播內容的能力,為了保障國家和廣大人民的利益�����,為正常的社會管理秩序�����,網絡系統管理者有必要對網絡信息進行適當的監督和控制�,避免外地侵犯和社會犯罪���,維護網絡安全�����。
2網絡安全技術在校園網中的應用
2.1防火墻
防火墻是指管理校園網和外界互聯網之間用戶訪問權限的軟件和硬件的組合設備[3]�,防火墻處于校園網和外界互聯網之間的通道中,能夠有效地阻斷來自外界的病毒和非法訪問��,能夠有效地提高校園網的網絡安全�。防火墻可以有效攔截來自外界的不安全的訪問服務,同時還可以對防火墻進行設置�,屏蔽有危害、不健康的網絡網站��,降低校園網的安全危害�。另外防火墻還可以有效地監控用戶對校園網的訪問,記錄用戶的訪問記錄�����,保存到網絡數據庫中��,可以快速統計校園網的使用情況�����,在分析用戶訪問記錄如果發現用戶的操作存在安全問題���,防火墻可以及時發出報警信號���,提醒用戶的這個非法操作�����,防止校園網內部信息的泄露��、另外��,防火墻可以和NAT技術高效地結合起來����,用于隱藏校園網的網絡結構信息���,提高校園網的安全系數�����,同時防火墻和NAT技術的高效結合很好地解決了校園網IP不足的情況���,提高了校園網的運行效率���。防火墻在校園網中的應用����,完善了校園網內部的網絡隔斷,即使校園網發生安全問題�,也可以在短時間內控制問題擴散的速度和范圍。防火墻在校園網中發揮著重要的作用�,能夠有效地阻斷來自外界互聯網的安全侵害,但是防火墻不能阻止校園網內部的安全問題�����,不能拒絕和控制校園網內部的感染病毒�。
2.2VPN技術
VPN技術在校園網的應用,通過VPN設備將校內局域網和外部的互聯網連接起來�,可以提高校園網的數據安全。VPN服務器經過設置后����,只有符合相應條件的用戶經過連接VPN服務器才能獲得訪問特定網絡信息的權限,拒絕校園網內用戶的危險操作����。VPN技術可以實現用戶驗證,通過驗證校內網用戶的身份,只有符合條件的授權用戶才能連接到VPN服務器��,進行相關訪問���。其次實現校園網數據加密��,VPN技術可以將通過互聯網通道傳輸的數據進行加密�����,只有經過授權的用戶才能訪問這些信息��。再次實現校園網密鑰管理��,通過生成校園網和互聯網的基本協議�����,提高校園網的可靠性��。并且VPN技術在校園網中的應用不需要安裝VPN的客戶端設備���,降低了校園網安全管理的成本。通過VPN技術��,校園網絡管理員可以對校園網內用戶的操作進行實時監控,及時發現校園網絡故障點����,進行遠程維護����,提高校園網維護管理能力。
2.3入侵檢測技術
入侵檢測技術在校園網中的應用�����,可以檢測校園網絡中一些不安全的網絡操作行為����,一旦檢測到網絡系統中的一些異常現象和未授權的網絡操作�����,就會發出網絡報警信號��。入侵檢測技術可以自動分析校園網絡的用戶活動����,檢測出校園網中授權用戶的非法使用和未授權用戶的越權使用[4]�。入侵檢測技術還可以監控校園網絡系統的配置情況��,檢測出系統安全漏洞�,提醒校園網絡管理人員及時進行維護。另外����,入侵檢測技術在識別網絡攻擊和網絡威脅方面具有重要的作用,可以及時發出報警信號�����,并且拒絕和處理網絡攻擊入侵行為�,結合發現的網絡攻擊模式,檢測校園網系統結構是否存在安全漏洞��,提高校園網的數據完整性��,進行系統評估�����。
2.4訪問控制技術
訪問控制技術主要是用來控制校園網用戶的非法訪問和非法操作�,用戶想要進入校園網,首先要通過訪問控制����,經過驗證識別用用戶口令����、戶名����、密碼等���,確定該用戶是否具有訪問校園網的權限����,當用戶進入校園網后����,就會賦予用戶訪問操作權限,使校園網絡資源不會被未授權用戶非法使用和非法訪問����。
2.5網絡數據恢復和備份技術
校園網中的網絡數據恢復和備份技術,可以防止校園網信息數據丟失�,保護校園網重要信息資源。網絡數據恢復和備份技術可以實現集中式的網絡信息資源管理�����,對整個校園網系統中的信息資源進行備份管理,可以極大地提高校園網管理員的工作效率�,實現網絡資源的統一管理,利用網絡備份設備實時監控校園網絡中的備份作業�,結合校園網的運行情況,及時修改網絡備份策略[5]���,提高系統備份效率���。校園網管理員可以利用網絡數據恢復和備份技術,定時對網絡數據庫中的數據進行備份���,這是網絡管理重要環節��。校園網的備份系統可以在用戶進行校園網訪問時��,建立在線網絡索引���,當用戶需要恢復網絡信息時,通過在線網絡索引中的備份系統就可以自動恢復網絡數據文件�����。網絡數據恢復和備份技術實現了校園網絡的歸檔管理,通過時間定期和項目管理對網絡信息數據進行歸檔管理����,在網絡環境建立統一的數據備份和儲存格式,使所有網絡信息數據在統一格式中完成長時間的保存[6]��。
2.6災難恢復技術
校園網中的災難恢復主要包括兩類:個別數據文件的恢復和所有信息數據的恢復����。當校園網中的個別數據文件恢復可以利用網絡中備份系統完成個別受損數據文件的恢復,校園網絡管理員可以瀏覽目錄或者數據庫���,觸動受損數據文件的恢復功能,系統會自動加載存儲軟件�,恢復受損文件。所有信息數據的恢復主要應用在當發生意外災難時導致整個校園網系統重組��、系統升級�����、系統崩潰和信息數據丟失等情況����。
篇9
1.1操作系統安全
操作系統是一種支撐性軟件��,為其他應用軟件的應用提供一個運行的環境���,并具有多方面的管理功能,一旦操作軟件在開發設計的時候存在漏洞的時候就會給網絡安全留下隱患���。操作系統是由多個管理模塊組成的���,每個模塊都有自己的程序,因此也會存在缺陷問題�;操作系統都會有后門程序以備程序來修改程序設計的不足,但正是后門程序可以繞過安全控制而獲取對程序或系統的訪問權的設計����,從而給黑客的入侵攻擊提供了入口;操作系統的遠程調用功能�����,遠程調用可以提交程序給遠程服務器執行�,如果中間通訊環節被黑客監控,就會出現網絡安全問題��。
1.2數據庫安全
數據庫相關軟件開發時遺漏的弊端,影響數據庫的自我防護水平��,比如最高權限被隨意使用���、平臺漏洞�、審計記錄不全���、協議漏洞���、驗證不足、備份數據暴露等等�����。另外�����,數據庫訪問者經常出現的使用安全問題也會導致網絡安全隱患�,比如數據輸入錯誤�����、有意蓄謀破壞數據庫��、繞過管理策略非法訪問數據庫、未經授權任意修改刪除數據庫信息���。
1.3防火墻安全
作為保護計算機網絡安全的重要系統軟件���,防火墻能夠阻擋來自外界的網絡攻擊,過濾掉一些網絡病毒���,但是部署了防火墻并不表示網絡的絕對安全�����,防火墻只對來自外部網絡的數據進行過濾����,對局域網內部的破壞�,防火墻是不起任何防范作用的。防火墻對外部數據的過濾是按照一定規則進行的�,如果有網絡攻擊模式不在防火墻的過濾規則之內,防火墻也是不起作用的�����,特別是在當今網絡安全漏洞百出的今天,更需要常常更新防火墻的安全策略��。
2計算機網絡系統安全軟件開發建議
基于計算機網絡系統的安全問題��,為保護計算機網絡用戶和應用系統的安全�,我們需要分別研討入侵防護軟件、數據庫備份與容災軟件��、病毒防護軟件���、虛擬局域網保護軟件等����。
2.1入侵防護軟件
入侵防護軟件設置于防火墻后面�,主要功能是檢查計算機網絡運行時的系統狀況,同時將運行狀況等記錄下來��,檢測當前的網絡運行狀況�,尤其是網絡的流量,可結合設定好的過濾規則來對網絡上的流量或內容進行監控��,出現異常情況時會發出預警信號�����,它還可以協助防火墻和路由器的工作�。該軟件的最大有點是當有病毒發生攻擊之前就可以實時捕捉網絡數據、檢測可以數據���,并及時發出預警信號���,收集黑客入侵行為的信息,記錄整個入侵事件的過程��,而且還可以追蹤到發生入侵行為的具置����,從而增強系統的防護入侵能力。
2.2數據備份和容災軟件
數據備份和容災軟件����,可以安全備份需保護數據的安全性,在國外已經被廣泛應用���,但是在國內卻沒有被得到重視��。數據備份和容災軟件要求將RAID技術安裝到操作系統���,將主硬盤文件備份到從硬盤�����;移動介質和光盤備份���,計算機內的數據會隨著使用的時間發生意外損壞或破壞,采用移動介質和光盤可以將數據拷貝出來進行存儲����;磁盤陣列貯存法,可大大提高系統的安全性能和穩定性能���。隨著儲存����、備份和容災軟件的相互結合�����,將來會構成一體化的數據容災備份儲存系統�����,并進行數據加密�。
2.3病毒防護軟件
隨著計算機網絡被廣泛的應用,網絡病毒類型越來越多��,由于計算機網絡的連通性����,一旦感染病毒則會呈現快速的傳播速度,波及面也廣��,而且計算機病毒的傳播途徑也日趨多樣化�����,因此��,需要開發完善的病毒防護軟件�����,防范計算機網絡病毒��。首先是分析病毒傳播規律和危害性�����,開發相對應的殺毒軟件����,并在規定時間內掃描系統指定位置及更新病毒庫���;其次是安裝防毒墻軟件,傳統的防火墻利用IP控制的方式��,來禁止病毒和黑客的入侵�����,難以對實時監測網絡系統情況��,而防毒墻則可以在網絡入口(即網關處)對病毒進行過濾�����,防止病毒擴散���。最后是更各系統補丁�,以提高系統的操作水平和應用能力����,同時預防病毒利用系統漏洞入侵計算機。
2.4虛擬局域網軟件
采用虛擬局域網軟件�,可以將不同需求的用戶隔離開來�,并劃分到不同的VLAN�,采用這種做法可以提高計算機網絡的安全性。具體做法是從邏輯上將計算機網絡分為一個個的子網��,并將這些子網相互隔離���,一旦發生入侵事故也不會導致網內上“廣播風暴”的發生。結合子網的控制訪問需求����,將訪問控制列表設置在各個子網中間,以形成對具體方向訪問的允許條件����、限制條件等,從而達到保護各個子網的目的�����。同時�����,把MAC地址和靜態IP地址上網的計算機或相關設備進行綁定��,這樣就可以有效防止靜態IP地址或是MAC地址被盜用的問題出現。
2.5服務器安全軟件
服務器系統安全軟件分為兩種�,一種是系統軟件,另外一種為應用軟件�。計算機網絡在配置服務器系統軟件時要充分考慮到它的承受能力和安全功能性,承受能力是指安全設計����、減少攻擊面、編程��;安全功能涵蓋各種安全協議程序����,并基于自身的使用需求,及時更新操作系統�;服務器應用軟件的應用,要求考慮軟件在穩定性����、可靠、安全等方面的性能����,以避免帶入病毒,并定期及時更新。
篇10
2計算機網絡安全的影響因素
2.1計算機網絡硬件的配置不科學
文件服務器作為計算機網絡的的傳輸中心�����,是決定計算機系統穩定性的關鍵因素�����。在實際的計算機網絡運營中����,服務器并沒有同計算機網絡的運行需求相配合��,在結構設計等方面未形成完備的計劃��,影響了計算機網絡性能的延展性��,使文件服務器功能的發揮上大打折扣����。
2.2欠缺健全的管理制度
計算機的管理是規范計算機正常運行的重要制度保證,但是很多計算機網絡應用系統的管理力度不夠�,缺乏對計算機管理的有效控制,影響計算機的正常秩序�����。
2.3計算機安全意識不足
在計算機系統內會有無數的節點,各個節點都有可能導致計算機數據泄露�。加之防火墻配置上并未對訪問權限有嚴格的規范,使得計算機的訪問權限的訪問范圍不段擴大�����,容易被不法分子濫用竊取計算機內的重要數據信息���。
3確保計算機網絡安全的應對措施
3.1制定合理的網絡系統結構
計算機網絡安全需要依靠合理的網絡系統設計���,網絡系統的結構是影響計算機網絡安全的重要因素。所以應該形成完備的計算機網絡系統結構����,在不斷地運行中積極尋找更好的計算機網絡運行的規劃設計。但同時要重點注意局域網的運行�����,因為局域網的技術應用是以廣播為媒介的網絡���,系統中的任何兩點會形成基礎的通信數據����,被存在于這兩點的網卡所接收,當然數據的傳輸過程中還有可能受到系統內任意一點網卡的干擾��,截取相關信息��?�?梢?��,計算機網絡的不安全因素隨時存在���,只要將相關的竊聽裝置安裝于任何一點便可盜取相關數據信息��,嚴重威脅著計算機網絡的安全運行�����。
3.2強化對計算機網絡的系統管理
如何有效對計算機網絡的不安全因素進行控制���,需要加強對其的管理控制�����。通過建立健全安全管理體制����,切實提高計算機網絡的安全管理水平。堅決杜絕計算機的非法用戶接觸計算機或者進入計算機控制室惡意破壞計算機的行為����。在硬件設備的保護上,要重點打擊破壞計算機的非法行為��,尤其是要特別注意計算機網絡服務器�����、打印機�、路由器等設備設施上。同時要保證計算機室內的運行環境符合計算機運行的要求條件�����,例如室內溫度���、濕度�����、清潔情況��、插座電源等要定期檢查����,確保能正常工作。
3.3安裝計算機殺毒軟件
時代的不斷發展�,促使計算機病毒也在不斷地更新,一旦發生計算機網絡病毒就會導致計算機網絡系統的全部癱瘓����,給計算機造成無法挽回的后果。而殺毒軟件可以說是計算機病毒的克星���,可以有效地防止計算機病毒的侵襲����,保護計算機系統不受到病毒的威脅�����。所以在計算機網絡的安全防護中要運用好殺毒軟件的作用���,在計算機內安裝殺毒軟件�,進行系統定期的病毒查殺���。但是很多計算機用戶對計算機病毒的認識不夠�����,認為計算機病毒只需要注重感染后的及時殺毒便可以�,殊不知病毒最重要的是要“防”���。在病毒發生之后�,被動進行計算機病毒的查殺的行為只能暫時消滅病毒��,而不能從根本上進行查殺�����,具有一定的局限性����。另外,計算機病毒的特性促使其變化多樣�,所以一定要安裝計算機病毒殺毒軟件,及時發現計算內潛在的病毒并進行徹底的消除���。同時���,要定期對計算機進行全面殺毒����,確保計算機的軟件和硬件設備能正常工作����。
3.4實施防火墻
近幾年來,防火墻的應用越來越受到人們的關注����。是近幾年發展起來的一種保護計算機網絡安全措施,可以有效地控制信息進出�,是保護信息安全最基本的安全防護措施之一。防火墻可以真正組織非法用戶入侵計算機系統���,在逐步提高安全性的同時將有害的信息進行過濾��,提高安全等級。防火墻的工作原理很簡單�,將所有的密碼、口令信息都記錄在防火墻上�����,另外對計算機系統的訪問都要經過防火墻的審核。如果發現有不當的地方應該及時指出并同工作人員進行溝通解決�����。
3.5實施數據加密保護
數據加密是在計算機病毒防護中運營比較靈活的策略����,在開放性的網絡里應用最為廣泛,最主要的作用是保護計算機內的數據信息����,例如文件、數字等信息免遭病毒的破壞�����。在使用計算機時�����,一定要特別注意密碼的保護功能�����,針對不同的需求進行不同密碼的設置。在設置密碼時要遵循一定的原則:首先盡量不要使用同一個密碼���,避免因一個密碼的丟失而造成所有隱私的泄露��。其次���,在設置密碼時最大程度加大密碼設置的繁瑣程度,包含數字��、字母�、標點符合等多種形式,加大破解密碼的難度�����。最后一定不要在登錄時點擊記住密碼功能��,這樣會給不法分子趁機盜取重要信息造成可乘之機��,導致嚴重的后果發生���。
3.6嚴格控制網絡權限
并不是所有的人都可以無限制的進行計算機系統的使用��,只允許一部分人有訪問和使用計算機網絡的權限�。這樣可以極大地加強計算機系統的保密性���,設置重重障礙阻止不法之徒闖入計算機網絡系統當中���,破壞計算機的正常運行。只有具有規定權限的人員才可以被允許有計算機網絡訪問的權限�。在進行訪問時,最先有相應的用戶名和密碼��,只有輸入正確服務器才會顯示下一步的訪問操作���,申請訪問的人員在經過計算機的審查后方可進入計算機應用系統中��。在這過程中����,如果反復使用密碼但均錯誤的時候�,則被視為非法入侵,隨之會有警報進行預警�,計算機系統會迅速調整運作程序,阻止不利因素的破壞�����。
篇11
在醫院發展過程中,有時會側重于硬件設施及應用層面的投入����,對計算機網絡安全管理問題重視不夠。計算機網絡安全管理制度體系的不健全���,操作規程及職責的不明確����,也會導致在醫院信息管理系統運行中出現網絡安全問題��。
2使用者自身信息安全意識不強
由于醫務工作者自身因素����,并沒有經過網絡安全理論知識與技術的專業培訓,網絡安全意識相對較薄弱�����。在醫院局域網內�,工作站計算機未配置光驅并禁止USB端口,極個別員工將自己的光驅連接到計算機上��,安裝并傳輸一些未經檢測并可能攜帶病毒的文件。網絡中其他客戶端計算機可以通過網絡共享下載使用該文件�,從而導致計算機網絡安全事件的發生。與此同時���,使用人員存在一定的僥幸依賴心理,認為出現問題也有專人來解決與維護����,忽視計算機網絡安全問題,使得對網絡的監管��、檢查��、維護困難重重�����。
3計算機病毒的威脅日益嚴重
隨著網絡資源的不斷發展而來的是日漸繁多的網絡病毒���,隨著計算機病毒的不斷擴散��,對醫院計算機網絡安全工作的進行帶來很大的阻擾�����。由于對網絡安全管理及維護的投入較小��,網絡安全管理技術的相對滯后等原因�����,導致無法對新型病毒采取相應的有效的預防及應對措施���,結果輕者導致占用存儲空間��,影響系統效率�,重者破壞數據完整性���,甚至導致整個系統癱瘓��。
二加強計算機網絡安全保護的相關建議
1完善計算機網絡安全管理制度
網絡安全管理依賴于安全有效的技術措施的同時����,也需要有嚴格的制度保障其實現����。在日常工作中需要不斷建立及完善網絡安全管理制度、操作規程及職責��,明確計算機網絡管理員及操作人員的工作規范及職責,各工作站的操作規范��,建立合適的獎懲機制����,做到計算機網絡安全制度化管理,認真做好落實和監督工作����。
2保障做好崗前培訓工作
專業技術人員需制定詳細的崗前培訓工作計劃����,對醫務工作人員進行規范化培訓,使其能明確掌握計算機軟硬件基礎知識及操作技能����、醫療工作中的操作規范及流程,了解計算機網絡安全知識�。培訓人員可以由各科室進行推薦,先組織較年輕�����,接受力�、理解力較強的工作人員先進行培訓����,以起到示范帶教作用���,之后再分批次對各科室人員進行整體培訓�,以達到各部門全科室普及的效果��。隨著醫院規模的不斷發展和擴大�,醫院網絡功能應用的不斷增加,人員的不斷變化�����,對操作人員的培訓是一個需要長期堅持不間斷的過程��,需要專業技術人員提前規劃����,落實工作。
3計算機網絡硬件管理
對于醫院計算機網絡而言�,服務器的安全在網絡安全中處于最核心地位。因此���,應當遵循對于機房環境建設的國家規范�����,建立良好的機房環境����,同時也應有嚴格保障的UPS電源,避免因斷電而造成的數據丟失����。同時也應對網絡各組成硬件,如網線���、路由器����、集線器����、交換機等連接設備制定詳細的日常維護計劃�����,并做好工作日志記錄�,做好值班記錄�,做到維護管理程序化��、規范化�����,保障醫院網絡的正常運轉���。
4提高網絡安全軟件技術水平
若從資金的角度考慮�����,在未能投入大量網絡安全硬件輔助設備的前提下��,加強網絡安全軟件的技術水平不失為一種行之有效的手段��?���?梢圆扇〉拇胧┯校杭訌姺阑饓刂?����。防火墻技術是防范外部網絡攻擊的有效途徑��,在日常工作中,加強防火墻控制�����,提高醫院計算機網絡網絡防火墻的技術水平����,是避免外部非法入侵的有效手段。但因其不能防范來自網絡內部的攻擊���,作為輔助手段����,可以適當采用入侵檢測手段����,加強對系統運行安全的監控��。防毒墻(網絡版)的使用���。防毒墻(網絡版)可以對文件系統進行實時掃描�,以保護終端客戶機和網絡服務器不受病毒/惡意軟件��、間諜軟件/灰色軟件等威脅攻擊的危害,而基于Web的管理控制臺可以輕松的在每臺終端機和服務器上設置協同的安全策略和部署自動更新�����。
5網絡隔離措施
在有條件的情況下����,可以采取將內網與外網獨立設置的策略,從物理層面上將醫院內部網絡與外部網絡進行隔離�����,避免來自外部網絡的攻擊�,同時對連接外網的計算機進行嚴格控制,以保障醫療信息的安全���。內網可通過交換機劃分VLAN將整個網絡分為若干不同的廣播域�,實現網絡中不同網段的物理隔離�,防止影響一個網段的問題對整個網絡造成影響。
6訪問控制
訪問控制是網絡安全防范和保護的最主要策略����,要嚴格控制工作站子系統使用人員的授權,在保障日常工作正常運行的前提下,盡量減少其授權����。對于工作中確實需要授予特權的情況下,盡量控制授權人數����,如科主任和護士長,便于管理�,有利于出現問題時查找責任。同時做好用戶登錄口令管理��,杜絕共有��、共知用戶口令的現象����,確保發生問題時可以順利查找責任人。
7數據庫備份與恢復
為防止因意外而導致的信息丟失和網絡癱瘓��,數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作�。
