前言:我们精心挑选了数篇优质网络安全与维护论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
参考文献和论文是一个整体,是不可缺少的部分,作者在文中引用了前人的研究成果就应该标注出来,然后列在论文的结尾的地方。下面是千里马网站小编采编收集的关于计算机网络论文参考文献,希望小编整理的这些文献能给大家在写作当中有所帮助。
计算机网络论文参考文献:
[1]李磊.基于计算机网络病毒的主要特性及功能的分析与研究[J].山东工业技术,2016,(01):157.
[2]丁媛媛.计算机网络病毒防治技术及如何防范黑客攻击探讨[J].赤峰学院学报(自然科学版),2012,(08):41-42.
[3]罗婷婷.网络侵害行为分析[J].湖北民族学院学报(哲学社会科学版).2015(04).
[4]刘海燕,黄睿,黄轩.基于主题爬虫的漏洞库维护系统[J].计算机与现代化.2014(08).
[5] 谭浩强.C程序设计[M].4版.北京:清华大学出版社,2010.
[6] 未来教育.全国计算机等级考试模拟考场二级C[M].成都:电子科技大学出版社,2015.
[7] 教育部考试中心.全国计算机等级考试二级教程-C语言程序设计[M].北京:高等教育出版社,2002.
计算机网络论文参考文献:
[1]姚渝春,李杰,王成红.网络型病毒与计算机网络安全[J].重庆大学学报(自然科学版),2003,26(9).
[2]吉玲峰.网络型病毒与计算机网络安全[J].计算机光盘软件与应用,2013(5).
[3]许江兰.浅谈网络型病毒与计算机网络安全[J].计算机光盘软件与应用,2011(16).
[4]伍毅强医院计算机网络设备管理及维护策略研究[J].无线互联科技,2014,1:199.
[5]汪忠乐医院计算机网络安全管理工作的维护措施[J].无线互联科技,2015,07:55-56.
[6]张波.试论医院计算机网络设备的管理措施和维护策略[J].科技创新导报,2013,24:29.
计算机网络论文参考文献:
[1]李先宗.计算机网络安全防御技术探究[J].电脑知识与技术,2015(21):33-35.
[2]罗恒辉.计算机网络信息与防御技术的应用实践刍议[J].信息与电脑,2016(2):170-171.
[3]李军.基于信息时代的网络技术安全及网络防御分析[J].网络安全技术与应用,2016(1):17-18.
[4]吴晓旭.计算机网络安全的防御技术管窥[J].智能城市,2016(4):120-121.
[5]彭龙.企业计算机网络信息安全体系的构建研究[J].科技广场,2016(5):94-98.
[6]阮彦钧.计算机网络安全隐患及防御策略探讨[J].科技与创新,2016(16):91-92.
[7]姚宏林,韩伟杰,吴忠望.计算机信息网络安全防御特征研究[J].科技创新导报,2014(21):45-46.
论文(设计)题目:中学校园网络安全防护及对策初探---以昌吉市一中校园网络为例
1、选题来源及意义
1.1选题来源
随着信息时代的高速发展,以校园网络为平台的应用也越来越广泛,例如校园一卡通服务、办公自动化应用(OA)、教务管理、图书管理、电子邮件服务、校校通服务、网上学习等。然而在开放式网络环境下,校园网络的使用过程中面临着各种各样的安全隐患,一方面,由于使用校园网络最多的是学生和教师,学生对于网络这样的新鲜事物非常感兴趣,可能会下载一些黑客软件或带有病毒的软件,从而破坏校园网络系统,加之学生不懂得爱惜,对于暴露在外界的网络设备造成一定破坏,据统计,80%的校园网络的攻击都来自于校园网内部[1];另一方面,来自外部的网络用户对IP地址的盗用、黑客攻击、病毒攻击、系统漏洞、信息泄露等方面的隐患也会对校园网络造成破坏。综上所述,校园网络的安全问题既有内部因素,也有外部攻击。因此,如何在现有条件下,充分应用各种安全技术,有效的加强、巩固校园网络安全问题非常重要。通过笔者在昌吉市一中网络中心实习的经历,发现昌吉市一中校园网络原有方案只是简单地采用防火墙等有限措施来保护网络安全。防火墙是属于静态安全技术范畴的外围保护,需要人工实施和维护,不能主动跟踪入侵者。而管理员无法了解网络的漏洞和可能发生的攻击,严重的影响的正常的教学工作。因此针对中学校园网络安全的防护更不容轻视。[2-3]
1.2选题意义
校园网络的安全建设极其重要,源于校园网一方面为各个学校提供各种本地网络基础性应用,另一方面它也是沟通学校校园网络内部和外部网络的一座桥梁。校园网络应用遍及学校的各个角落,为师生提供了大量的数据资源,方便了师生网上教学、交流、专题讨论等活动,为教学和科研提供了很好的平台,因此存在安全隐患的校园网络对学校的教学、科研和办公管理都会造成严重的影响。根据学校的不同性质,保证网络稳定、安全和高效运行是校园网络建设的首要任务。因此做好校园网络安全的防护及相应对策至关重要,即本论文选题意义。[4]
2、国内外研究状况
2.1国外网络安全现状
由于笔者查阅文献资料的有限性,没有查到国外校园网络安全现状的资料,因此针对国外所采取的网络安全措施进行如下概述:
(1)法律法规的制定。近年来,世界各国纷纷意识到网络安全与信息安全的重要性,并制定相关的法律法规规范广大网络用户的行为。美国、俄罗斯、英国、日本、法国等其他许多国家都相继成立国家级信息安全机构,完善网络防护管理体制,采取国家行为强化信息安全建设。
(2)网络防护应急反应机制的建立。面对网络反恐、黑客、信息的泄露、网络入侵、计算机病毒及各类蠕虫木马病毒等一系列网络危机,世界各国通过建立网络防护应急反应机制。分别从防火墙技术、入侵检测系统、漏洞扫描、防查杀技术等传统的安全产品方面入手,防止各种安全风险,并加快网络安全关键技术的发展和更新.动态提升网络安全技术水平。
综上所述,网络安全的问题将随着技术的不断发展越来越受到重视。然而,网络技术不断发展的今天,网络安全问题只能相对防御,却无法真正的达到制止。[5-7]
2.2国内网络安全现状
由于我国在网络安全技术方面起步比其他信息发达国家晚,发展时间较短,技术不够纯熟,面对各种网络安全问题有些应接不暇,主要是由于自主的计算机网络核心技术和软件缺乏,信息安全的意识较为浅薄,不少事企单位没有建立相应的网络安全防范机制以及网络安全管理的人才严重缺乏,无法跟上网络的飞速发展。面对这一系列的问题,我国通过制定政策法规,如GB/T18336一2001(《信息技术安全性评估准则》)、GJB2646一96(《军用计算机安全评估准则》等来规范网络用户的使用,还通过技术方面的措施进行防护,如加密认证、数字签名、访问控制列表、数据完整性、业务流填充等措施进行网络安全的维护。然而通过技术措施进行网络维护的过程中,网络管理员对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,致使在管理、维护网络安全方面还有很大的漏洞。[5]国内网络安全整体的现状如上所述,通过大量文献的阅读,发现数据信息危害和网络设备危害是校园网络安全现在主要面临的两大问题,主要威胁有病毒的传播与攻击、黑客的入侵、信息的篡改等一系列安全隐患,通过采取加密认证、访问控制技术、防火墙、漏洞扫描等措施进行防护。[3]中学校园网络管理者如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个中学校园不可回避的问题,并且逐渐引起了各方面的重视。[8-10]
3、本选题的研究目标及内容创新点:
3.1研究目标:
本文在对当前校园网络面临的各类安全问题进行详细分析的基础上,深入、系统的探讨了目前常用的各种网络安全技术的功能以及优缺点,并以昌吉市一中等中学校园网络为研究对象,分别从中学校园网络的物理因素、技术因素、管理因素等角度分析威胁校园网络安全的因素,并结合昌吉市一中校园网络现有的条件,分别从设备管理、技术提供、管理人员意识等方面充分应用各种安全技术,有效加强、巩固校园网络安全,提出解决网络安全问题的策略及防范措施。从而综合利用各种网络安全技术保障本校的校园网络的安全、稳定、高效运行。
3.2内容创新点:
(1)通过对昌吉市一中的校园网络进行分析,并结合文献资料参考其他中学校园网络安全的问题,总结出中学校园网络安全存在常见的安全隐患,并制定出针对中学校园网络隐患所采取的防范措施。
(2)将制定出的网络安全防范措施运用于昌吉市一中校园网络,制定出真正合理的、恰当的、适合现有条件的网络安全防范措施,并对昌吉市一中的校园网络进行展望,使得校园网络可持续发展。
参考文献
[1]段海新.CERNET校园网安全问题分析与对策[J].中国教育网络,2005.03
[2]袁修春.校园网安全防范体系.[D].西北师范大学.计算机应用技术.2005,5
[3]钟平.校园网安全技术防范研究[D].广东.广东工业大学.2007,4:3
[4]蔡新春.校园网安全防范技术的研究与实现[D].软件工程2009,4
[5]董钰.基于校园网的网络安全体系结构研究与设计[D].山东.计算机软件与理论.2005,5:11-12
[6]王先国.校园网络安全系统的研究与设计.[D].南京.计算机技术.2009.12
[7]定吉安.常用网络安全技术在校园网中的应用研究[D].山东.计算机软件与理论.2011,4
[8]顾润龙.影响校园网络安全的主要因素及防范措施.[J].咸宁学院学报.2012,9(32):155-156
[9]张伯江.国外信息安全发展动向[J].信息安全动态,2002,8(7):36-38
[10]谭耀远.新世纪中国信息安全问题研究.[D].大连.大连海事大学.2011,6
一、采用的研究方法及手段(1、内容包括:选题的研究方法、手段及实验方案的可行性分析和已具备的实验条件等。2、撰写要求:宋体、小四号。)
1、文献研究法:查找文献资料时借助图书馆及网络,搜集、鉴别、整理文献。从前人的研究中得出对我们的研究有价值的观点与例证。本研究采用文献研究法的目的:
(1)查取大量校园网络安全问题常见的问题,结合昌吉市一中的校园网络现状进行分析。
(2)对国内外的网络安全防范措施进行分析,选择适合昌吉市一中校园网络安全所应对的策略。
2.访谈法:通过与昌吉市一中网络信息中心的教师交流探讨,以访谈的形式了解昌吉市一中校园网络的现状。
论文的框架结构(宋体、小四号)
第一章:绪论
第二章:影响中学校园网络安全的因素
第三章:常用的校园网络安全技术
第四章:校园网络安全建设
-----以昌吉市一中校园网络安全体系需求分析及设计
第五章:总结和展望。
论文写作的阶段计划(宋体、小四号)
第一阶段:20xx.10.1—20xx.11.20选定论文题目,学习论文写作方法及注意项;
第二阶段:20xx.11.20—20xx.12.25与孙老师见面,在孙教师的指导下,搜集材料阅读有关文献资料,按照开题报告的格式和要求完成《昌吉学院本科毕业论文(设计)开题报告》的撰写;
第三阶段:20xx.12.26—20xx.1.3写出开题报告,并与指导教师充分沟通,做好开题报告答辩准备;
第四阶段:20xx.1.5—20xx.1.13开题报告论证答辩;
第五阶段:20xx.1.17—20xx.3.25在指导教师指导下,开始毕业论文的写作,至3月25日完成初稿交指导教师;
第六阶段:20xx.3.25—20xx.3.31写出中期报告书,接受中期检查。并根据指导教师建议完成初稿的修改;
第七阶段:20xx.4.1—20xx.4.10根据指导教师建议完成二稿的修改;
第八阶段:20xx.4.11—20xx.4.20根据指导教师建议完成三稿的修改;
第九阶段:20xx.4.21—20xx.4.25完成初定稿,并复印3份交系毕业论文答辩小组;
关键词:电子阅览室,络安全,LAN,维护要点
高校电子阅览室作为读者可以检索和查询传统文献;也可以检索、浏览、复制和打印数字化的文献;还可以在Internet上查询、浏览。收发邮件、交流信息等;除此之外,还可以在电子阅览室里听音乐、看电影、网上聊天,达到休闲娱乐的目的和发挥图书馆服务的功能。论文大全,维护要点。目前,几乎所有高校都建设了电子阅览室,电子阅览室快捷方便的检索条件,提高了师生获取文献信息资源的效率,在教学和科研中,起到了举足轻重的作用。但电子阅览室的网络安全也成为网络管理人员需要解决的问题,本文以西铁职院临潼校区电子阅览室面临的网络安全问题,讨论了相关的解决办法和措施。
一、电子阅览室存在网络安全问题
我院电子阅览室在2008年建成,由60台计算机、若干普通交换机组成。为全院师生提供了光盘检索、超星数据库、万方数据库等学术论文检索与阅览。当时建设电子阅览时,由于各种原因,并没有把电子阅室设为一个独立网络,而是把它直接连到校园网里,这对电子阅览室的络安全带来了各种影响。目前,电子阅览室常见的网络安全问题有:
1.非法访问。非法访问是指对网络设备及信息资源进行非正常使或越权使用等,利用各种假冒或欺骗的手段获得合法用户的使用权限,达到占用合法用户资源的目的。
2.破坏数据的完整性,用非法手段,删除、修改、重发某些重要息,以干扰用用户的正常使用。
3.干扰系统的正常运行,随意破坏、改变正常运行的系统,减慢系统响应时间,为数据的访问带来不便。
4.病毒与恶意攻击,对服务器发送大量垃圾包,使网络陷入瘫痪,通过客户机传播病毒。恶意代码等。
5.随意安装、使用可移动的存储设备,利用移动存储介质优盘、光盘等间接与外网进行数据交换,导致病毒的传入或者敏感机密数据的传播、泄密。
6.安装、使用非法软件或黑客软件。某些教师或学生在计算机上安装使用非法、盗版软件,这无法保障计算机的正常运行,有的还装上黑客软件,有可能对电子阅览室的其它计算机构成重大的安全威胁,有导致整个电子阅览室崩溃的危险。
7.恶意或非恶意地更改TP地址。某些师生出于某种目的。在进行一些非法活动之前,将自己机器的IP地址或用户名更改成他人的IP地址或用户名.这不止影响了其它计算机的正常使用,也会导致网络设备运行异常或一些监控记录不准。无法对当事人进行追查和处罚.
二、应对策略
针对电子阅览室以上所面临的网络安全问题,我们提出了如下的应对策略:
1.添置防火墙。防火墙是位于两个信任程度不同的网络之间的软件或硬件的结合,它使得内部网络和外部网络直接相隔离并控制网络互访,防止对重要信息资源的非法存取和访问,以保护内部网络的安全。我们购置了硬件防火墙,通过对防火墙的配置,将电子阅览室和校园网络隔离开来,使电子阅览室作为一个单独的内网,相对独立,自成体系。最大限度的保证了电子阅览室内部网络的安全。
2.用VLAN技术对网络进行划分。VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成一个网段,从而实现虚拟工作组的新兴技术。由于不同的VALN有着各自独立的广播域,而广播域只能在本地VLAN内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地将广播风暴所带来的危害拄制在最小的范围内。在交换机划分VLAN后,不同VIAN之间将不能直接通信。VLAN的通信必须通过三层交换设备(路由设备),我们可以通过路由访问列表和MAC地址分配等VLAN划分原则,控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN中。我们将电子阅览室划分为一个VLAN。论文大全,维护要点。师生共同使用,而减少了维护难度。
3.对设备、系统漏洞检测。定期对包括操作系统,数据库管理系统等系统软件进行系统漏洞扫描、端口扫描,对系统打补丁,关闭非必须开放的端口,对防火墙,路由器、交换机配置进行检测等,发现漏洞马上修正。
4.对数据进行备份。根据实际需要利用磁盘阵列异地数据备份。论文大全,维护要点。利用光盘刻录设备等系统和数据(如服务器操作系统、系统日志、各类应用系统和数据等)的定期备份。备份数据采取的策略一般是:对超星、万方等数据库,由于其数据量大,需要备份的时间长,可以考虑一次完全备份后存档;对于安装维护比较麻烦的服务器,可对系统进行备份,便于快速恢复;对于客户机等计算机,系统维护量大,我校采用方正硬盘保护系统进行日常维护,但在此同时一些顽固病毒仍无删除,就需要我们对一些特殊计算机进行处理。论文大全,维护要点。
5.常进行日志审核。日志是指操作系统的日志、应用程序的日志和防火墙的日志。论文大全,维护要点。对这些日志进行常规的日志备份和分析,如果有异常活动,能及时发现,从而作出补救措施,这是对网络安全监控的一个补充。论文大全,维护要点。
三、读者教育
引导和教育学生,增强他们的安全意识。在新生入学时,即对所有新生进行入馆教育.教导学生正确使用阅览室内电子设备,向学生说明发生火灾的各项必要的应急措施及安全逃生路线。严禁在图书馆内吸烟或违规使用电子设备。
四、结束语
电子阅览室的网络安全是一项复杂的工程,不可能只依靠一种措施来保证安全,必须把各种安全措施有机的结合起来,加之合理的运用,才能达到保障电子阅览室网络安全的目的。在采取安全防范措施的同时,还必须完善电子阅览室的管理规章制度,加强工作人员的网络安全意识,才能有效地实现电子阅览室安全、可靠、稳定地运行.
参考文献:
1、吴少华,局域同中的数据安全问题研究.中国民航飞行学院学报,2005.8.
2、茂,论高校图书馆电子阅览室的安全管理与充分利用.内蒙古科技与经济.2008.6.
3、国编著.网络安全原理与技术.北京:科学出版社。2003.
4、石勇.高校电子阅览室的安全工作探讨.农业网络信息。2009年第5期。
【关键词】计算机;网络安全;信息时代;信息安全
【中图分类号】TN915.08 【文献标识码】A 【文章编号】1672—5158(2012)08—0103-01
1 前言
计算机诞生之初功能较为单一,数据处理相对简单,而随着计算机网络技术的发展,计算机功能的多样化与信息处理的复杂程度显著提高。网络的出现,将过去时间与空间相对独立和分散的信息集成起来,构成庞大的数据信息资源系统,为人们提供更加便捷化的信息处理与使用方式,极大的推动了信息化时代的发展进程。然而,随之而来的是这些信息数据的安全问题,公开化的网络平台为非法入侵者提供了可乘之机,不但会对重要的信息资源造成损坏,同时也会给整个网络带来相当大的安全隐患。因此,计算机网络安全问题成为当今最为热门的焦点之一,随着网络技术的发展,安全防范措施也在不断更新。
2 影响计算机网络安全的因素分析
影响计算机网络安全的因素有很多,其中既包括人为因素,也包括技术因素,因此,在计算机网络安全受到威胁时,首先要确定导致网络威胁的因素来源,这样才能够有效的、有针对性的进行破解,从而维护计算机网络信息的完整性、秘密性与可用性。
2.1 人为操作失误导致的安全隐患
计算机用户都拥有各自不同的网络使用权限,由于用户安全意识不强经常会给不法分子可乘之机,在用户将密码泄露或密码设置过于简单的情况下,非法用户很容易侵入网络系统,对网络内的数据信息进行使用或篡改、删除、破坏等。因此,由于合法用户人为保护程度不够而导致的网络安全威胁,是计算机网络安全中常见的隐患之一。
2.2 人为的恶意攻击
人为的恶意攻击是目前最为常见同时也是威胁力最大的计算机网络安全隐患,病毒与黑客就是人为恶意攻击的体现。恶意攻击往往具有很强的针对性,因此破坏程度较大,不仅能够截获、窃取和破译重要信息,同时也能够对信息数据造成破坏性的影响,对其的可用性与完整性进行损坏(计算机/计算机网络论文。木马程序是人为恶意攻击的代表性手段之一,它可以伪装成系统程序或其他可执行文件来诱使用户启用,从而为恶意攻击者提供端口信息,为实施进一步攻击带来可能。由此可见,人为恶意攻击的存在使计算机用户很难防范,特别是一般用户遭到恶意攻击的几率要大大高于一些高端用户。
2.3 软件本身的漏洞
随着计算机应用软件多样化程度的不断提高,软件开发的复杂程度也不断提高,成千上万的代码构成的逻辑指令,再由繁杂的逻辑指令构建成能够实现用户需求的软件功能,其中程序漏洞的存在在所难免。黑客就是针对这些漏洞来对网络进行攻击的,软件的漏洞甚至可以造成致命的网络打击,黑客的攻击与软件的不断完善是一对长期伴生的矛盾,也成为了不可忽视的网络安全隐患。免费论文下载中心维护计算机网络安全的几点对策。
3.1 物理安全维护对策
计算机网络安全包括物理安全与逻辑安全,物理安全往往容易被人忽略,如果能够引起人们的关注,计算机网络物理安全还是能够得到有效保障的。首先,物理安全是针对物理介质层次而言的,明确物理安全范围的界定,对构建物理安全体系非常必要。自然灾害所导致的设备物理损坏或操作失误而导致的硬件设备损毁,都属于物理安全范畴。因此,在计算机设备的维护上,既要做到最大限度的防止自然灾害所带来的破坏,同时更要注意人为操作的规范性,避免因操作不当而对硬件存储设备中的数据造成损坏。
3.2 防火墙过滤措施
防火墙技术是网络之间的一道安全屏障,目前所使用的防火墙具有双层式结构,外部防火墙可以实现数据包过滤功能,内部防火墙是内部网络与外部网络连接的一条安全通道。防火墙位于计算机与外部网络之间,实现了限制外界用户对内部网络的访问,同时也将内部用户访问外部网络划分为不同权限。任何接入因特网的用户,开启防火墙进行数据包过滤与内部防护非常重要。
3.3 入侵检测技术
入侵检测技术是针对计算机系统安全而设计的检测程序,启动入侵检测程序可以及时发现并向管理员报告系统中存在的未经授权的入侵或异常状况。入侵检测系统不仅可以发出入侵警告,同时也可以及时做出应对反映,对入侵源进行及时的切断,从而最大限度的保护计算机系统安全,提高计算机的抗病毒入侵能力。
3.4 计算机漏洞扫描措施
应用软件的不断更新,功能复杂程度的不断提升与网络复杂性的日益增加,都增添了计算机漏洞的产生几率,依靠人为的漏洞查询显然不切实际,那么如何对计算机漏洞进行查找并改进,就成为了困扰软件开发者的一个核心问题。安装计算机漏洞扫描系统就可以及时查找与发现系统漏洞,并对该漏洞进行威胁等级评估,同时提出修改建议。利用这种扫描工具,可以通过及时安装补丁来完善软件程序,弥补系统漏洞,从而消除安全隐患。计算机漏洞扫描不仅保护了系统的完备性不受侵害,同时也促使软件开发者不断关注软件漏洞,并及时修正程序,是一种促使计算机系统不断完善的有效手段,也是维护网络安全的重要对策之一。
4、结语
构建全球化的信息网络平台已经成为了当今计算机网络发展的共识,实现这一目标的最根本支撑点,就是强大的网络安全保障,因此,针对各种安全隐患而采取的网络安全对策显得尤为重要,应当引起广大信息使用者的广泛关注。无论是在局域网还是因特网都同样存在信息数据的保护问题,在人为因素与技术因素的干扰下,如何实现信息数据的最大化安全成为计算机网络安全技术发展的根本出发点。计算机网络安全对策应当更加全方位的针对各种安全隐患,并充分考虑到各种威胁的特点来实施,这样才能够实现我们保护网络信息数据完整性、可用性与保密性的目标,随着网络安全技术的进步而不断继续完善,是我们今后将继续探讨的核心之一。
参考文献
关键词:网络安全;安全监控;网络维护
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 20-0000-01
Research and Application about Monitoring and Maintaining of Network Security
Xia Qing
(Jiangsu Yancheng Product Quality Supervise Inspection Institute,Yancheng224005,China)
Abstract:This thesis had studied the Internet network security monitoring and maintenance of technology,from network security,content unless,according to the principles of network security monitoring,network security system design,and detail the use of firewalls and network intrusion detection technology,the establishment of joint monitoring and maintenance of network security system within the network and the Internet to complete the interaction between the security monitoring.
Keywords:Network security;Security monitoring;Network maintenance
一、网络安全概述
信息时代,计算机网络技术的发展和应用对人类生活方式的影响越来越大,Internet/Intranet技术广泛应用于社会的各个领域,基于计算机网络的安全问题己经成为非常严重的问题。确保网络安全己经是一件刻不容缓的大事,解决网络安全课题具有十分重要的理论意义和现实背景。本文针对网络安全监控与维护的需求,进行了深入的研究与开发,按照建立的网络安全应该是动态防护体系,是动态加静态的防御,提出了一个全方位、各个层次、多种防御手段的网络安全实现模型,构建了网络监控和维护的安全系统体系结构。
二、网络监控原理
网络安全监控系统能够分级建立监控系统和网络数据库,首先,需要使得网络内部的各级监控系统,对所管辖的网络区域内的计算机进行有效的监控,阻断“一机两用”的行为和想象;其次,要对辖区的下级监控系统的工作状态进行监控,能够对计算机之间的病毒入侵源进行分析和定位;同时还需要对网络区域内的设备和个人计算机进行数据的管理、统计和数据登记,全面地进行网络安全监控和维护。
三、网络安全监控措施
(一)防火墙设置
在Internet与内网之间安装防火墙,形成内外网之间的安全屏障[3]。其中WWW、MAIL、FTP、DNS对外服务器连接在安全,与内、外网间进行隔离。通过Internet进来的公众用户只能访问到对外公开的一些服务,既保护内网资源不被外部非授权用户非法访问或破坏。
(二)入侵检测系统配置
分布式入侵检测系统一般采用分布监视、集中管理的结构,在每个网段里放置基于网络的入侵检测引擎,同时对于重要的服务器,例如MAIL服务器、WEB服务器放置基于主机的入侵检测引擎。再通过远程管理功能在一台管理站点上实现统一的管理和监控。
分布式入侵检测系统的总体结构系统由三个主要组件组成:主管传感器、边界传感器、中央控制台[5]。这三层结构中的任一个结点均可对攻击以不同的方式进行响应。分布式入侵检测系统支持不同的链路,如TCP专用链路和TCP加密链路。主管传感器由控制台决定上报信息的存储、显示、管理,将汇总信息报告给控制台。边界传感器每个组有一个主管传感器,负责信息的收集、精简。如果网络连接通过公用网,则使用加密链路。
四、网络监控与维护应用
典型的网络安全监控应用,如VRV(Virus Removed Victory成功清除病毒)[6]网络防病毒体系,为网络每个层面提供防病毒保护,通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析,提供桌面应用、服务器系统、邮件系统、群件服务器、Internet网关级别的全面防毒保护。这种全方位、多层次的防毒系统配置,能使政府、企业网络免遭所有病毒的入侵和危害。
基于局域网、广域网多级管理:网络终端杀毒-局域网集中监控-广域网总部管理,在局域网中用VRV各防毒组件构架本地网防毒系统的基础上构建广域网总部控制系统:(1)监控本地、远程异地局域网病毒防御情况;(2)统计分析广域网病毒爆发种类、发生频度、易发生源等信息;(3)病毒信息汇总,进行病毒安全风险评估;(4)整体网络统一策略、统一升级、统一控制。
主动式病毒防护机制:企业安全防护策略是针对网络内部安全推出的最新解决方案。不用等到病毒码更新,就能主动防御。透过VRV防病毒管理中心管理整个病毒爆发周期。让企业在面临病毒爆发的威胁时,通过VRVAMC主动获得完整防毒策略,有效降低因为病毒疫情带来的人力损失及成本。防毒系统本身更能自动识别未知病毒,通过对文件和网络流量异常监视,提出报警。
五、结束语
本文通过分析了网络安全的现状与概况,提出建立网络安全监控与维护体系的重要性,在此基础上,利用网络安全监控和管理手段,首先建立的网络的防火墙配置,在防火墙配置的基础上,配置了网络入侵检测系统,利用这两项配置,完成网络内部与Internet之间的交互安全监控。论文最后分析了一个实际的VRV网络安全监控与维护系统,通过该系统的配置与应用,说明网络安全监控技术的具体实施,对网络安全具有一定研究价值。
参考文献:
[1]张杰.因特网安全及其防范措施[J].信息安全技术,2002,3:20-23
关键词:电子政务,信息安全,网络安全,安全模型,信息安全体系结构
一、电子政务安全体系概述 网络安全遵循“木桶原理”,即一个木桶的容积决定于它最短的一块木板,一个系统的安全强度等于它最薄弱环节的安全强度。因此,电子政务必须建立在一个完整的多层次的安全体系之上,任何环节的薄弱都将导致整个安全体系的崩溃。 同时,由于电子政务的特殊性,也要求电子政务安全环境中重要的加密/密钥交换算法等安全核心技术必须采用具有自主知识产权或原码开放的产品。
一个完整的电子政务安全体系可由四部分构成,即:基础安全设施、安全技术平台、容灾与恢复系统和安全管理,如图:
基础安全设施是一个为整个安全体系提供安全服务的基础性平台,为应用系统和网络系统提供包括数据完整性、真实性、可用性、不可抵赖性、机密性在内的安全服务。有了这一基础设施,整个电子政务的安全策略便有了实现的保证。这一平台的实现主要包括CA/PKI。
网络系统安全是一个组合现有安全产品和技术实现网络安全策略的平台。网络系统安全的优劣取决与安全策略的合理性,电子政务的网络安全策略是:划分网络安全域建立多层次的动态防御体系。
电子政务系统用户类型复杂,划分网络安全域将具有相似权限的用户划分成独立的管理域,管理域之间通过物理隔离与认证/加密技术实现有限可控的互连互通,有利于降低整个系统访问权限控制的复杂性,降低系统性风险。
基于多层次的防御体系在各个层次上部署相关的网络安全产品以增加攻击都侵入时所需花费的时间、成本和资源,从而有效地降低被攻击的危险,达到安全防护的目标。如访问控制可部署在网络层的接入路由器/VLAN交换机和应用层的身份认证系统两层之上。
网络信息安全具有动态性的特点:网络和应用程序的未知漏洞具有动态产生的特点;电子政务的应用也会动态变化、网络升级优化将导致系统配置动态更新。这些都要求我们的防御系统必须具有动态适应能力,包括建立入侵监测(IDS)系统,漏洞扫描系统和安全配置审计系统,并将它们与防火墙等设备结合成连动系统,以适应网络环境的变化。
灾难恢复系统在发生重大自然及人为灾难时能迅速恢复数据资料,保证系统的正常运行并保护了政务历史资料。电子政务的容灾与恢复系统应该采用磁带静态备份与磁盘同步备份相结合的方式。磁带静态方式用于离线保存历史记录,保证了历史信息的完整,而磁盘同步方式则用于灾难数据恢复,保护了当前系统的所有数据。
安全管理也是电子政务安全体系的重要组成部分。网络安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制定的制度包括:日常系统操作及维护制度、审计制度、文档管理制度、应急响应制度等。
二、电子政务安全体系的设计电子政务系统是一个复杂的多层次应用系统,根据不同的应用环境和安全要求一般可分为三个不同的网段:内网、专网、外网。免费论文。
内网包括内网的数据层、内网的业务层;内网数据层是政府信息的集中存储与处理的域,该域必须具有极其严格的安全控制策略,信息必须通过中间处理才能获得。内网的业务层是政府内部的电子办公环境,该区域内的信息只能在内部流动。
专网连接政府不同的部门和不同部门的上下级部门。它把部分需要各部门交换的信息进行交换。该区域负责将信息从一个内网传送到另一个内网区域,它不与外网域有任何信息交换。免费论文。
外网是政府部门的公共信息的场所,它实现政府与公众的互操作。该 域应与内网和专网隔离。
不同的网络连接示意图如下:
根据不同网络的不同安全需求,设计了如下一个电子政务的安全模型:
三、电子政务安全体系的部署
电子政务安全体系的部署应遵循确定安全需求、安全状态评估、安全策略制定(含管理制度)、安全方案设计、安全方案实施、安全制度培训的顺序进行。免费论文。前期的确定安全需求和安全状态评估是整个安全体系部署中最重要的两个步骤,它们是后续制定安全策略和方案设计的依据,决定了整个安全体系的可靠性。
全面的安全需求调查包括两个方面:系统安全的功能需求和安全置信度需求。系统安全的功能需求包括安全审计需求、安全连接需求、身份认证、信息机密需求、数据保护需求以及安全管理需求。安全置信度需求包括安全保护轮廓评估(PP)、安全目标(ST)评估、系统配置维护管理、用户手册规范、产品生命周期支持以及测试等内容。
安全状态评估通常采用五种方式来了解安全漏洞:1) 对现有安全策略和制度进行分析;2) 参照一些通用的安全基线来考察系统安全状态;3) 利用安全扫描工具来发现一些技术性的常见漏洞;4) 允许一些有经验的人在监管之下对特定的机密信息和区域做模拟入侵系统,以确定特定区域和信息的安全等级;5) 对该系统的安全管理人员和使用者进行访谈,以确定安全管理制度的执行情况和漏洞。
同时应注意的是,安全体系的部署并非一劳永逸的事情,随着系统安全状态的动态变化,应定期对系统进行安全评估和审计,搜寻潜在的安全漏洞并修正错误安全配置。
总之,电子政务的安全系统是个容复杂组织和先进IT技术于一体的复合体,必须从管理和技术两方面来加强安全性,以动态的眼光来管理安全,在严谨的安全需求分析和安全评估的基础上运用合理的安全技术来实现电子政务的整体安全。
·参考文献:
1. 电子政务总体设计与技术实现 《北京:电子工业出版社》 国家信息安全工程技术研究中心 2003
2.《国家信息化领导小组关于推进国家电子政务网络建设的意见》国信办 2006
3.电子政务安全解决方案要解决的主要问题 《信息安全与通信保密》 谭兴烈 2004
4.电子政务安全体系 《信息安全与通信保密》 邬贺铨 2003
随着网络的不断普及和电子商务的迅猛发展,电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活本论文由整理提供方式,越来越多的人们开始接受并喜爱网上购物,可是,电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现,其安全性也同样是其发展所不容忽视的关键问题,因此应当着重研究。
1校园电子商务概述
1.1校园电子商务的概念。
校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校本论文由整理提供园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。
1.2校园电子商务的特点。
相对于一般电子商务,校园电子商务具有客户群本论文由整理提供稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。
2校园电子商务的安全问题
2.1校园电子商务安全的内容。
校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。
2.2校园电子商务安全威胁。
校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非本论文由整理提供授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。
2.3校园电子商务安全的基本安全需求。
通过对校园电子商务安全威胁的分析,可以本论文由整理提供看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。
3校园电子商务安全解决方案
3.1校园电子商务安全体系结构。
校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系本论文由整理提供结构,如图所示:
上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和本论文由整理提供交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。
针对上述安全体系结构,具体的方案有:
(1)营造良好校园人文环境。加强大学生本论文由整理提供的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共
同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。
(2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。
(3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。
(4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而本论文由整理提供不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。
3.2校园网络安全对策。
保障校园网络安全的主要措施有:
(1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问本论文由整理提供,防止来自外部互联网对内部网络的破坏。
(2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。
(3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的本论文由整理提供安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。
3.3交易信息安全对策。
针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解本论文由整理提供决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。
(1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。
(2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务本论文由整理提供中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。
(3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。
3.4基于一卡通的校园电子商务。
目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:
(1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。超级秘书网
(2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。
4结束语
开展校园电子商务是推进校园信息化建设的重要内容,随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时,安全问题成为制约校园电子商务发展的障碍。因此,如何建立一个安全、便捷的校园电子商务应用环境,让师生能够方便可靠的进行校园在线交易和网上支本论文由整理提供付,是当前校园电子商务发展要着重研究的关键问题。
关键词:计算机网络,防护技术,研究
随着高新技术的不断发展,计算机网络已经成为我们生活中所不可缺少的概念,然而随之而来的问题----网络安全也毫无保留地呈现在我们的面前,不论是在军事中还是在日常的生活中,网络的安全问题都是我们所不得不考虑的,只有有了对网络攻防技术的深入了解,采用有效的网络防护技术,才能保证网络的安全、畅通,保护网络信息在存储和传输的过程中的保密性、完整性、可用性、真实性和可控性,才能使我们面对网络而不致盲从,真正发挥出网络的作用。
一、计算机网络防护技术构成
(一)被动防护技术
其主要采用一系列技术措施(如信息加密、身份认证、访问控制、防火墙等)对系统自身进行加固和防护,不让非法用户进入网络内部,从而达到保护网络信息安全的目的。这些措施一般是在网络建设和使用的过程中进行规划设置,并逐步完善。因其只能保护网络的入口,无法动态实时地检测发生在网络内部的破坏和攻击的行为,所以存在很大的局限性。
( 1 )信息保密技术
密码技术是网络安全最有效的技术之一, 信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。它通过信息的变换或编码,将敏感信息变成难以读懂的乱码型信息,以此来保护敏感信息的安全。在多数情况下,信息加密是保证信息机密性的惟一方法。信息加密的主要目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
网络加密常用的方法有:链路加密、端点加密和节点加密3种。密码体制主要有分组密码体制和序列密码体制。论文参考网。
( 2 ) 信息认证技术
认证技术是网络安全的一个重要方面,属于网络安全的第一道防线。其认证机制是接收者接收信息的同时还要验证信息是否来自合法的发送者,以及该信息是否被篡改过,计算机系统是基于收到的识别信息识别用户。认证涉及多个步骤:收集认证信息、安全地传输认证信息、确定使用计算机的人(就是发送认证信息的人)。其主要目的是用来防止非授权用户或进程侵入计算机系统,保护系统和数据的安全
其主要技术手段有:用户名/密码方式;智能卡认证方式;动态口令;USB Key认证;生物识别技术。
( 3 ) 访问控制技术
访问控制是保证网络安全最重要的核心策略之一,是一种基于主机的防护技术。访问控制技术通过控制与检查进出关键服务器中的访问,保护服务器中的关键数据,其利用用户身份认证功能,资源访问权限控制功能和审计功能来识别与确认访问系统的用户,决定用户对系统资源的访问权限,并记录系统资源被访问的时间和访问者信息。其主要目的是保证网络资源不被非法使用和访问。
其主要方式有:自主访问控制、强行访问控制和信息流控制。
( 4 ) 防火墙技术
防火墙是一种网络之间的访问控制机制,它的主要目的是保护内部网络免受来自外部网络非授权访问,保护内部网络的安全。
其主要机制是在受保护的内部网和不被信任的外部网络之间设立一个安全屏障,通过监测、限制、更改、抑制通过防火墙的数据流,尽可能地对外部网络屏蔽内部网络的信息和结构,防止外部网络的未授权访问,实现内部网与外部网的可控性隔离,保护内部网络的安全。
防火墙的分类主要有:数据包过滤型防火墙、应用层网关型防火墙和状态检测型防火墙。
(二)主动防护技术
主动防护技术主要采取技术的手段如入侵取证、网络陷阱、入侵检测、自动恢复等,能及时地发现网络攻击行为并及时地采取应对措施,如跟踪和反攻击、设置网络陷阱、切断网络连接或恢复系统正常工作。实现实时动态地监视网络状态,并采取保护措施,以提供对内、外部攻击和误操作的实时保护。
( 1 )入侵取证技术
入侵取证技术是指利用计算机软硬件技术,按照符合法律规范的方式,对计算机网络入侵、破坏、欺诈、攻击等犯罪行为进行识别、保存、分析和提交数字证据的过程。
入侵取证的主要目的是对网络或系统中发生的攻击过程及攻击行为进行记录和分析,并确保记录信息的真实性与完整性(以满足电子证据的要求),据此找出入侵者或入侵的机器,并解释入侵的过程,从而确定责任人,并在必要时,采取法律手段维护自己的利益。
入侵取证技术主要包括:网络入侵取证技术(网络入侵证据的识别、获取、保存、安全传输及分析和提交技术等)、现场取证技术(内存快照、现场保存、数据快速拷贝与分析技术等)、磁盘恢复取证技术、数据还原取证技术(对网上传输的信息内容,尤其是那些加密数据的获取与还原技术)、电子邮件调查取证技术及源代码取证技术等。
( 2 ) 网络陷阱技术
网络陷阱技术是一种欺骗技术,网络安全防御者根据网络系统中存在的安全弱点,采取适当技术,伪造虚假或设置不重要的信息资源,使入侵者相信网络系统中上述信息资源具有较高价值,并具有可攻击、窃取的安全防范漏洞,然后将入侵者引向这些资源。同时,还可获得攻击者手法和动机等相关信息。这些信息日后可用来强化现有的安全措施,例如防火墙规则和IDS配置等。
其主要目的是造成敌方的信息误导、紊乱和恐慌,从而使指挥决策能力丧失和军事效能降低。论文参考网。灵活的使用网络陷阱技术可以拖延攻击者,同时能给防御者提供足够的信息来了解敌人,将攻击造成的损失降至最低。
网络陷阱技术主要包括:伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。
( 3 ) 入侵检测技术
入侵检测的基本原理是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),对这些信息进行分析和判断,及时发现入侵和异常的信号,为做出响应赢得宝贵时间,必要时还可直接对攻击行为做出响应,将攻击行为带来的破坏和影响降至最低。它是一种主动的入侵发现机制,能够弥补防火墙和其他安全产品的不足,为网络安全提供实时的监控及对入侵采取相应的防护手段,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统已经被认为是维护网络安全的第二道闸门。
其主要目的是动态地检测网络系统中发生的攻击行为或异常行为,及时发现攻击或异常行为并进行阻断、记录、报警等响应,弥补被动防御的不足之处。
入侵检测技术主要包括:数据收集技术、攻击检测技术、响应技术。
( 4 ) 自动恢复技术
任何一个网络安全防护系统都无法确保万无一失,所以,在网络系统被入侵或破坏后,如何尽快恢复就显得非常关键了。这其中的一个关键技术就是自动恢复技术,他针对服务器上的关键文件和信息进行实时地一致性检查,一旦发现文件或信息的内容、属主、时间等被非法修改就及时报警,并在极短的时间内进行恢复。论文参考网。其性能的关键是资源占有量、正确性和实时性。
其主要目的是在计算机系统和数据受到攻击的时候,能够在极短的时间内恢复系统和数据,保障系统的正常运行和数据的安全。
自动恢复技术主要包括:备份技术、冗余技术、恢复技术、远程控制技术、文件扫描与一致性检查技术等。
二、计算机网络防护过程模型
针对日益严重的网络安全问题和愈来愈突出的安全需求,人们在研究防黑技术的同时,认识到网络安全防护不是一个静态过程,而是一个包含多个环节的动态过程,并相应地提出了反映网络安全防护支柱过程的P2DR模型,其过程模型如图1所示。
图1 P2DR模型体系结构图
其过程如下所述:
1.进行系统安全需求和安全风险分析,确定系统的安全目标,设计相应的安全策略。
2.应根据确定的安全策略,采用相应的网络安全技术如身份认证技术、访问控制、网络技术,选择符合安全标准和通过安全认证的安全技术和产品,构建系统的安全防线,把好系统的入口。
3.应建立一套网络案例实时检测系统,主动、及时地检测网络系统的安全漏洞、用户行为和网络状态;当网络出现漏洞、发现用户行为或网络状态异常时及时报警。
4.当出现报警时应及时分析原因,采取应急响应和处理,如断开网络连接,修复漏洞或被破坏的系统。
随着网络技术的不断发展,我们的生活中越来越离不开网络,然而网络安全问题也日趋严重,做好网络防护已经是我们所不得不做的事情,只有采取合理有效的网络防护手段才能保证我们网络的安全、保证信息的安全,使我们真正能够用好网络,使网络为我们的生活添光添彩。
论文关键词:数据库 存储 网络 安全
论文摘要:急救指挥中心所有的软件和用户数据都存储在服务器硬盘这个核心的数据仓库中,如何保证服务器数据的安全,并且保证服务器最大程度上的不间断运作对每个指挥中心来说都是一个关键问题。针对急救通讯指挥系统的安全保障问题,从数据物理安全、网络安全、应用系统安全、告警控制系统等方面论述了应采取的安全防范措施。对保障网络指挥中心数据安全具有重要意义。
1数据的物理安全方法
1.1RAID技术
对每台服务器的两块硬盘做RAID技术处理,把多块独立的硬盘(物理硬盘)按不同的方式组合起来形成一个硬盘组(逻辑硬盘),从而提供比单个硬盘更高的存储性能和提供数据备份技术。数据备份的功能是在用户数据一旦发生损坏后,利用备份信息可以使损坏数据得以恢复,从而保障了用户数据的安全性,而且数据备份是自动的。在用户看起来,组成的磁盘组就像是一个硬盘,用户可以对它进行分区,格式化等等。总体来说,RAID技术的两大特点是速度和安全。
1.2双机热备系统
从狭义上讲,双机热备特指基于active/standby模式的服务器热备。服务器数据包括数据库数据同时往两台或多台服务器写,或者使用一个共享的存储设备。在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时,另一台备份服务器会通过软件诊测(一般是通过心跳诊断)将standby机器激活,保证应用在短时间内完全恢复正常使用。双机热备的工作机制实际上是为整个网络系统的中心服务器提供了一种故障自动恢复能力。
2、网络安全保障体系
中心网络由局域网、外部网两大部分组成。因此,我们为了建立起强大、稳定、安全的网络,可从两大安全层次着手设计与管理:局域网安全和外部网安全,这两大层次结合起来才能构成完善的网络安全保障体系。
2.1应用系统安全
应用系统的安全主要是保护敏感数据数据不被未授权的用户访问。并制订出安全策略。包括身份认证服务;权限控制服务;信息保密服务;数据完整;完善的操作日志。这些服务互相关联、互相支持,共同为本系统提供整体安全保障体系。
2.2数据安全
数据的安全主要体现在两个方面,首先,是数据不会被非授权用户访问或更该,其次,数据在遭到破坏时的恢复。
3应用安全系统
资料永久保存,磁带回复时间无严格限制。数据存储:磁盘阵列+磁带库;Tier1=4TB HDD存放线上经常使用的数据;备份带库:3TB定时定期备份所有数据。
3.1采用磁带库
磁带库具有如下优点:更高的价值;简化IT;集成的解决方案;灵活的数据存储和转移;多种接口选择;AES256位嵌入式硬件加密和压缩功能;用户可自行维护和更换的组件;广泛的兼容性测试;久经考验的可靠性。 转贴于
3.2数据备份软件
3.2.1基于LAN备份方案
LAN是一种结构简单,易于实现的备份方案,广泛的存在于各中小企业中LAN方案在企业发展壮大过程中所发挥的作用一直被客户所认同。由于急救系统用户数据量的巨大,基于LAN备份的弊端较突出:此方案对LAN的依赖非常强;因为内部LAN为企业内部办公用网络,而LAN方案依赖现有网络进行备份恢复数据流的传输,所以必然会影响现有办公网络环境;基于LAN备份难于扩展,因为需要而添加存储设备将导致繁忙的办公网络更加繁忙;管理困难是LAN备份的又一难题,因为设备分散于网络各个环节,使管理员进行数据备份恢复及平时维护工作有一定难度。
3.2.2基于IPSAN的备份方案
基于IPSAN的备份方案,通过结合CBS备份管理软件,将使备份恢复工作简单而有效。
备份网络与办公网络有效隔离开,备份数据不通过办公网络传输,而是直接通过IPSAN交换机与存储设备进行连接。
系统具备良好的扩展性能,在现有基础上,客户能够添加各种存储设备(需支持ISCSI)。
根据客户需要,可以实现D2D2T功能。将数据首先备份于速度较快的磁盘阵列上,加快备份的速度。再将数据从磁盘阵列备份到磁带库。
通过CBS备份管理软件能够集中管理其中各种设备,制定备份策略,安排备份时间,实现无人值守作业,减轻管理员的工作量。下图为CBS备份框架。
备份服务器作为整个CBS备份架构的中心,实现管理功能。
4告警控制系统
通讯指挥系统出现故障时自动告警提示,确保系统安全运行。2M口通讯故障告警、网络通讯故障告警、终端网络断开告警、电话到达告警、定时放音、扩音、报时控制,也可自动循环播放、电源出现故障可自动向受理台告警。
警告系统整体性能:输入:8-32通道,8通道递增;电源输入:AC 180V-250V 50Hz;控制通道输入及输出:AC
5总结
随着数据管理与控制信息化综合系统的不断完善,对服务器数据的安全要求也越来越高,论文就如何保障急救指挥中心证服务器数据的安全,论文从数据物理安全、网络安全、应用系统安全、告警控制系统等方面论述了应采取的安全防范措施。对保障网络指挥中心数据安全具有指导性的作用。
参考文献
[1]何全胜,姚国祥.网络安全需求分析及安全策略研究.计算机工程,2000,(06).
关键词:安全审计系统,地址映射方法
1 背景及目的
近年来,随着网络应用的普及,几乎所有的政府机关、企事业单位都将接入了互联网。互联网让人们快速地了解世界各地的最新资讯,通过各种通讯手段准确迅捷地传递信息,在各种论坛、博客、空间畅所欲言,给单位和个人带来了极大的方便。
但是,伴随着人们对互联网的依赖网络安全论文,由于缺乏有效的网络管理手段新的风险也随之而来。主要表现在以下几个方面:一是内部计算机被外部人员非法侵入,窃取国家涉密信息和企业商业秘密;二是内部人员向外部泄漏国家涉密信息和企业商业秘密;三是工作人员利用办公计算机在互联网、传播违法信息。以上情形都可能给单位带来了不可估量的法律纠纷和经济损失,给单位和单位相关负责人造成极其严重的不良影响中国。此时网络安全日益得到人们的重视,安全审计系统也应运而生。它通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行审计。
目前的安全审计系统网络接入方式一般有两种方式:在互联网出口处利用TAP设备分流一路数据给安全审计系统,如图1所示;在局域网核心交换机上通过端口镜像方式将上网数据“复制”给安全审计系统,如图2所示。这两种方式都能获得完整的互联网上网信息,然后系统按照已设定的各项安全策略进行信息审计,及时反映结果。不过此类解决方式还是存在一定的局限性,因为这种数据的采集方式决定了它所截获的用户上行数据包的源IP/Port和下行数据包的目的IP/Port职能是局域网内网IP/Port,不能掌握该用户计算机在经过路由器或防火墙之后的公网IP/Port,在某些情况下如国家安全部门或公安机关对某些互联网违法犯罪的源头追查时跟踪到属于某单位的互联网接入地址,但在进一步确定相关具体实施人员时由于经过了NAT地址转换无法核实内部行为人,而此时安全审计系统也无能为力。
本方法的目的在于解决现有安全审计系统不能提供摘要增加很高的硬件软件成本网络安全论文,升级较为方便。
2 技术原理
安全审计系统本身没有参与NAT地址转换,它无法主动获得内外网地址映射关系,需要模拟发现实际映射关系。技术原理为:主动发送数据包探测NAT转换前后的地址映射关系,包括:映射关系探测的触发,探测数据包的构建,探测数据包的发送,经NAT转换后的探测数据包的截获与分析,最后建立地址映射关系并保存。
地址关系映射表是以源IP,源Port,目的地址为索引的映射关系表,并随时探测系统,在发现映射关系表中没有的或者已经过期的条目时,触发探测活动;截获经NAT转换后的探测数据包后,更新地址映射关系表并保存。
探测数据包IP报头中的源IP、目的IP与内网用户计算机实际发送数据包源IP、目的IP相同;探测数据包TCP/UDP头中的源Port、目的Port与内网用户计算机实际发送数据包源Port、目的Port相同;探测数据包Ethernet层的源MAC地址应为一个内部网络中不存在的MAC地址,以保证探测数据包不会对内部网络硬件设备的ARP地址表造成混乱;探测数据包IP报头中的TTL字段设置为安全审计系统发送探测数据包的物理接入点和探测数据包的截获物理接入点之间路由器数目基础上再加1网络安全论文,以保证探测数据包在进入因特网到达第一跳路由器即被丢弃,对因特网不造成任何负担。
3 技术实现
下面介绍技术实现方法的步骤:
(1)安全审计系统截获内外网交互的全部数据包,通过“匹配上行数据包X源MAC地址是否为Y”过滤上行数据包,Y为探测数据包Ethernet层的源MAC地址,例如10-10-10-10-10-10中国。匹配成功则不做任何处理继续处理下一个数据包,匹配失败则进入下一步骤.
(2)将上行数据包X的源IP、目的IP、源Port和目的Port作为四元组在安全审计系统中的映射关系表中查询,如查询已存在映射关系,重置该映射关系失效定时器,并回到步骤1中继续处理下一个数据包,否则进入下一步骤;
(3)安全审计系统构建探测数据包A,A中目的MAC地址与X中目的MAC地址相同,源MAC地址为步骤1中Y;A中源IP/Port,目的IP/Port与X中对应字段相同;A中应用层为X中源MAC地址、源IP/Port以及当前的日期时间信息;A中IP报头TTL字段设置为安全审计系统发送探测数据包的物理接入点和截获探测数据包物理接入点之间路由器的个数再加1。
(4)安全审计系统使用适当的发送机制将上述探测数据包A发送到内部网络。
(5)安全审计系统使用适当的数据包截获机制在外部网络中,以“TTL字段值为1”作为包过滤条件,接收A经过NAT转换后的数据包B。
(6)安全审计系统通过解析B网络安全论文,获取经NAT转换后的IP/Port以及应用层中NAT转换前的IP/Port和时间戳信息,即可获得内部用户计算机MAC、IP、Port与NAT转换后的外网IP、Port之间的地址映射关系及产生该关系的具体时间。
(7)安全审计系统将该条映射关系保存在系统内并为其设置合适的定时器,将该映射关系以及产生时间同时记录到长期存储介质。定期器过期后,安全审计系统在映射关系表中删除该条记录,同时将长期存储介质中该条映射关系设置为过期状态,并记录具体过期时间。
4 结论
本方法解决了当前安全审计系统存在的不足之处,提出一种获取内外网地址映射关系的方法,包括映射关系的发现和映射表的维护、保存方法,并能够避免对被审计网络和因特网产生不良影响,为进一步完善安全审计系统功能和加强网络安全提供了更好的保障。
参考文献
[1]W.RichardStevens. TCP/IP详解,卷1:协议.人民邮电出版社,2010.4
[2]吴功宜.计算机网络高级教程.清华大学出版社,2007.3
[3]宋西军.计算机网络安全技术.北京大学出版社,2009.8
[4]胡道元.计算机局域网.清华大学出版社,2001
[5]刘占全.网络管理与防火墙.人民邮电出版社,1999
论文关键词:计算机网络;网络安全;黑客;病毒;恶意软件
计算机网络从建立到现在已经深入到人们生活的方方面面,计算机网络技术在给人们提供巨大便利的同时,其安全保障问题也时常困扰着广大网络用户。事实上因网络不安全问题所导致的经济损失让人触目惊心。计算机网络威胁随着计算机网络技术的发展而不断发展,其危害性日益加大,对此我们必须时刻保持警惕,并认真做好相关保护防护工作。
一、影响计算机网络安全的因素
目前,电视大学校内计算机日益在增多,应用领域不断在扩大,管理体制确跟不上去,只重硬件建设,不重软件管理,随时有可能计算机出现问题,破坏网络。人们对计算机网络安全的认识不足,安全制度不健全。计算机网络安全的威胁主要来自外部网络和内部网络两个方面:
(一)外部网络威胁
主要是来自网络外部的黑客及病毒攻击。一些人出于各种目的,利用网络漏洞,入侵网络,想方设法要窃取一些重要信息,破坏有用数据,使网络安全受到一定威胁,干扰网络的安全运行。现在计算机大多数使用的是WINDOWS操作系统,系统中存在很多的安全漏洞,而且随着时间的推移,将会有更多漏洞被人发现并利用。没有及时修补漏洞,系统存在着大量漏洞,而且随着时间的推移,会越来越多,不及时处理就会构成隐患,随时可能被黑客攻击,使操作系统遭到破坏,数据丢失,无法正常工作。计算机病毒正是利用操作系统的这些漏洞进行传染,如果不及时补上这些漏洞,将对网络安全造成威胁。一台计算机感染上病毒就会向其它计算机上迅速传播,很快就会威胁到整个网络,小则影响到运行速度变慢,大则使整个网络堵塞,并且破坏系统软件,造成数据丢失,是影响计算机网络安全的主要因素。计算机病毒入侵(大量涌现的病毒在网上传播极快,给全球范围的网络安全带来了巨大灾难);网络黑客的恶意攻击;网上犯罪人员对网络的非法使用及破坏;自然灾害以及意外事故的损害等。破坏的方法主要有:利用TCP/IP直接破坏;利用操作系统间接登陆入侵;对用户计算机中的系统内置文件进行有目的的更改;利用路径可选实施欺骗;使用窃听装置或监视工具对所传播的信息进行非法检测和监听等。
(二)内部原因
1、计算机使用人员访问不健康网站。有些人出自好奇,去访问一些不健康网站,下载视频,大量浪费资源,加重了网络运行负担,导致一些病毒有机可入,严重影响网络正常运行,危害人们的身心健康,是网络安全一大隐患。
2、网络安全管理不到位。信息安全防范技术和管理制度的不健全,网络安全管理制度不健全。人们只注重硬件建设,设备虽然很多,但管理跟不上去,几年也不修改规章制度,跟不上广播电视大学网络发展的需要。
3、网络安全维护的人员过少。计算机网络在不断的增大,人员却不成正比增加,造成人单力薄,维护困难重重,时常顾东就顾不了西,只能找重点维护,网络安全得不到保证。没有及时安装和升级杀毒软件。计算机使用人员总存在侥幸心理,认为没有杀毒软件计算机运行速度会快,就是出现问题也有专人来维护,与已无关,忽视了安全。在有安装了杀毒软件也不及时升级,造成一些新病毒入侵,使网络安全无保障。
二、加强计算机网络安全保护的相关对策建议
计算机网络的安全问题是广播电视大学校管理中的一个重要部分,用户、管理、技术三方面都是不可少的,要把它们有机地结合起来,才能构成一个完善网络。不但要加强技术力量,更要加强管理措施,才能使网络安全有保障。一方面要加强网络监管,另一方面要加强技术措施,做好防火墙、杀毒软件的防护。为了提高校园网络的安全性,提出以下几点安全措施:
(一)对有关数据进行加密处理
数据加密是保护计算机网络数据安全的重要措施和方法之一。所谓的加密是指对需要保护的数据或信息资源进行加密处理,将信息由明文变为密文,在对数据进行应用的时候再将密文转化为明文,从而实现数据或资源本身的安全。数据加密包括数据链路层加密,传输层加密和应用层加密三个方面。数据加密是对数据或信息资源进行保护的有效手段。
(二)进行访问控制管理
访问控制是计算机网络保护的一种常见手段和方法,所谓访问控制是指授予不同的主体不同的访问权限。不同主体依据自身获得的相关权限进行相关数据或信息的处理,从而实现数据和相关信息资源的安全。口令是进行访问控制最简单最常见的一种形式。只要很好地对相关口令进行保护,非授权用户就难以越权使用相关信息资源。口令的设置一般应避免使用简单易猜的生日、电话号码等数字,而应应用英文字母、标点符号、汉语拼音、空格等及其组合,以增加口令的复杂性并借此提高口令的安全性,在进行不同的系统登陆时应设置和使用不同的登陆口令,且应对相关口令进行定期更改,以保证口令的安全性。网络管理人员要限定各级人员网络浏览权限,有效地制止访问不健康网站,下载无用视频文件,让网络高速运行,保证网络畅通。
(三)应用防火墙技术
防火墙技术是近年来发展较快的一种网络安全技术,它通过在网络边界建立相应的网络通信监控系统,以监测、限制、更改跨越防火墙的数据流,从而尽可能地对外部屏蔽网络内部的信息、结构和运行状况,从而达到保障计算机网络安全的目的。放火墙可以保护脆弱的网络、控制对系统的非法访问、增强网络信息的保密性、记录和统计网络利用数据以及非法使用数据并对非法网络入侵进行报警提示等。防火墙技术是计算机网络安全的一种基本保护手段,有利于保护网络资源的安全性。
(四)制定切实可行的网络安全管理制度
要让校内网络安全高效地运转,就要从实际出发,制定出一套切实可行的安全管理制度,让每个人都有安全意识。借助计算机网络的传播渠道,网络病毒正在以惊人的速度向网络用户传播,在网络传播渠道的支持下,计算机网络病毒的危害性、破坏性、高感染性和传播的隐蔽性正在迅速的增强。因而,计算机网络安全的一项重要内容就是及时查杀相关病毒,并对有关病毒的入侵进行及时有效的防范,以保证计算机系统的安全。因而保障计算机网络的安全就是要在计算机系统上安装可以定期进行更新的杀毒软件,坚持经常查杀毒的良好习惯,并对杀毒软件进行定期更新和维护。
(五)应用入侵检测技术
入侵检测技术又称为IDS,是近年出现的新型网络安全技术,目的是提供实时的入侵检测以及采取相应的防护手段。他是基于若干预警信号来检测针对主机和网络入侵事件的技术。一旦检测到网络被入侵之后,立即采取有效措施来阻断攻击,并追踪定位攻击源。入侵检测技术包括基于主机的入侵检测技术和基于网络的入侵检测技术。
(六)对计算机相关系统进行及时维护
本毕业设计(论文)、学位论文作者愿意遵守浙江科技学院 关于保留、使用学位论文的管理办法及规定,允许毕业设计(论文)、学位论文被查阅。本人授权 浙江科技学院 可以将毕业设计(论文)、学位论文的全部或部分内容编入有关数据库在校园网内传播,可以采用影印、缩印或扫描等复制手段保存、汇编毕业设计(论文)、学位论文。
(保密的学位论文在解密后适用本授权书)
论文作者签名: 导师签名:
签字日期: 年 月 日 签字日期: 年 月 日
内 容 摘 要
本文针对浙江广播电视集团网络,以及集团网络安全的建设、改造提出了相应的解决方案,并且从网络和网络安全两个主要方面进行了相关的阐述。首先,对在本方案中可能使用到的计算机网络、及网络安全的相关技术进行了阐述、分析和比较。然后,对集团中的计算机网络、以及网络安全的现状进行调查研究。其次,针对浙江广播电视集团的网络现状进行了详细的需求分析。最后,提出了一套针对浙江广播电视集团计算机网络、以及网络安全实际情况的网络、及网络安全的详细设计方案。实施本方案之后,有助于提高其计算机网络系统的可靠性、以及网络的安全性。
关键词:网络系统,数据安全,网络安全,局域网
ABSTRACT
The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.
KEYWORDS:network system,data security, network security,LAN
目 录
第一章 引言 1
第一节 选题背景与意义 1
第二节 集团网络安全发展与现状 1
第三节 网络安全相关技术介绍 2
第二章 集团网络安全系统概况及风险分析 4
第一节 集团网络机房环境 4
第二节 网络应用数据备份 4
第三节 网络安全弱点分析 5
第四节 网络安全风险分析 6
第三章 集团网络安全需求与安全目标 7
第一节 网络安全需求分析 7
第二节 网络安全目标 7
第四章 集团网络安全解决方案设计 9
第一节 网络监控管理系统 9
第二节 电子邮件安全解决方案 9
第三节 远程数据传输的加密 10
第四节 服务器的安全防护 11
第五节 计算机病毒防护的加强 14
第六节 网络攻击及防护演示效果图 15
第五章 结束语 17
参考文献 18
致 谢 19
第一章 引言
第一节 选题背景与意义
随着互联网的普及度越来越高,全世界的计算机都能通过互联网连接到一起。各种网上活动的日益频繁,使得网络安全问题日益突出,信息安全成为了一个重要的课题。各种各样的网络攻击层出不穷,如何防止网络攻击,保障各项业务的顺利进行,为广大用户提供一个安全的网络环境变得尤为重要。
本论文针对浙江广播电视集团的计算机网络、以及网络安全的实际解决方案。在实施了本方案之后,有助于提高集团计算机网络系统的可靠性、以及网络的安全性。认真分析网络面临的威胁,计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础之上,再采用先进的技术和产品,构造全方位的防御机制,使系统在最理想的状态下运行。
第二节 集团网络安全发展与现状
图1-1网络拓扑图
浙江广播电视集团作为省级广电传媒集团,现有计算机网络于2002年10月建成,在集团的运作和管理中发挥着重要的作用。近年来随着集团业务的发展,网络应用的不断深入,应用领域较以前传统的、小型的业务系统逐渐向大型、关键业务系统方向扩展。大部分子系统已接入网络,远程数据传输、集团资料共享、动态数据查询、流媒体数据业务、集团网站运营等都在该网络上传输,整个网络的用户规模是原计算机网络规模的数十倍。随着网络规模的不断扩大、接入点数量的增多、内部网络中存在的安全隐患问题就会愈加突出,安全日益成为影响网络效能的重要问题,而互联网所具有的开放性、国际性和自由性在增加应用自由度的同时,对自身网络的安全性提出了更高的要求。虽然广电集团前期的网络建设有一定的安全措施,但因为网络复杂性的逐步提高,网络中存在隐患的可能性以及由此产生的危害性也大大提高,因此在网络系统的进一步建设过程中,及时查清网络隐患的必要性就体现了出来。
第三节 网络安全相关技术介绍
要保证计算机网络系统的安全性,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。
一、防火墙技术
为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可已被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可监测、限制、更改跨越防火墙的数据流,确认其来源及去处, 检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:数据包过滤、监测型、服务器等几大类型。
二、数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之 一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
三、认证技术
认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接收者的身份。认证的主要目的有两个:第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被窜改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。
四、虚拟专用网络(VPN)技术
虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
VPN技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。
VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
五、计算机病毒的防范
首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:
(一)较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、 UNIX和Netware系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查毒、杀毒范围广、能力强的特点。
(二)完善的升级服务。与其它软件相比,防病毒软件更需要不断地更新升级,以查杀层出不穷的计算机病毒。
第二章 集团网络安全系统概况及风险分析
第一节 集团网络机房环境
目前,浙江广播电视集团计算机网络绝大多数的设备都是安放在新大楼13楼机房内的,只有楼层交换机是分布在各楼层的设备机柜中。根据本文的现场勘察和了解,目前大多数信息机房在机房的装修、温度和湿度控制、消防、照明、防静电、防雷等方面已经作了很多的考虑,主要有如下方面:
一、网络机房都作了可靠的防雷措施,建设有防雷接地网,其接地电阻小于1欧姆;大楼顶部建设有避雷针。
二、所有从网络机房大楼外接入网络机房的数据信号,全部采用光纤接入。
三、网络机房内大多配备UPS电源系统。
四、机房内铺设防静电地板、吊顶,对墙面进行了无尘处理。
五、安装机房防盗监控系统。
六、配备机房消防系统和应急照明系统。
七、所有楼层交换机的供电都是由机房内 UPS 通过专用的线路直接供电,与楼层内的其它电源系统没有任何连接。
第二节 网络应用数据备份
在广电集团的计算机网络中大多己经有功能数据备份与恢复系统,它是一套基于磁带介质的备份与恢复系统,有2套文件备份的License和1套Oracle数据库备份的License,进行服务器的文件备份和Oracle数据库的实时备份和恢复。
浙江广电集团网络中已经有了以下几个网络安全方面的考虑:
一、病毒防护
网络中使用了诺顿病毒防护系统,该病毒防御系统是基于网络的病毒防护系统,在网络内能够远程的安装网络客户端的病毒防护软件,进行病毒特征库的自动更新,集中控制和管理。但是,网络中的病毒防护系统没有集中控制和管理的控制台,不能实时了解网络中防病毒客户端程序的安装情况、病毒感染和爆发的情况。
二、外网接入安全防护
网络目前大多没有单独的外网接入点,没有自己的外网接入安全防护,使用统一的出口和安全策略。
三、入侵检测系统
在集团总部局域网与其他网络连接处采用的一套入侵检测系统具体部署如图2-1
图2-1 广电集团入侵检测系统示意图
第三节 网络安全弱点分析
浙江广电集团网络系统安全弱点主要包括:
一、硬件弱点: 硬件隐患存在于服务器、终瑞、路由器、交换机和安全设备等设备中,一旦发生硬件的安全问题,将给主机和网络系统的可靠性、可控性、可用性和安全性等造成严重损害。
二、操作系统弱点: 由于操作系统自身的漏洞和缺陷可能构成安全隐患。操作系统是计算机应用程序执行的基本平台,一旦操作系统被渗透,就能够破坏所有安全措施。靠打补丁开发的操作系统不能够从根本上解决安全问题,动态连接给厂商提供开发空间的同时为黑客开启了方便之门。
三、数据库系统弱点: 由于数据库系统本身的漏洞和缺陷可能构成的安全隐患。
四、网络系统弱点: TCP/IP协议本身的开放性导致网络存在安全隐患。如:TCP/IP 数据通信协议集本身就存在着安全缺点,如:大多数底层协议采用广播方式,网上任何设备均可能窃听到情报; 协议规程中缺乏可靠的对通信双方身份认证手段,无法确定信息包地址真伪导致身份“假冒”可能;由于TCP 连接建立时服务器初始序号的可推测性,使得黑客可以由“后门”进入系统漏洞。
五、通用软件系统弱点:如Web服务器等常用应用软件本身可能存在的安全弱点。
六、业务系统弱点: 节目视频业务系统等本身的“Bug”或缺陷可能构成弱点。
七、安全设计的弱点: 安全设计不周全可能构成系统防护的弱点,由于安全漏洞的动态性和安全威胁的增长性要求以及安全需求本身的限制,安全体系设计要求具有良好的可扩展性和动态自适应性。
八、管理弱点: 工具不多,技术水平不高,意识淡薄,人员不到位。
第四节 网络安全风险分析
网络本身所固有的结构复杂、高度开放、边界脆弱和管理困难等特点,增加了广电集团网络系统的安全风险。
由于网络自身的开放性和广电集团网络系统的特殊性使网络系统存在很大的安全风险性,主要有:
一、人为因素:
未经授权访问重要信息
恶意破坏重要数据
数据窃取、数据篡改
利用网络设计和协议漏洞进行网络攻击
假冒、伪造、欺骗、敲诈、勒索
内部人员恶意泄露重要的信息
管理员失职
二、自然因素:
设备的老化
火灾、水灾 (包括供水故障)
爆炸、烟雾、灰尘
通风
供电中断
电磁辐射、静电
以上都可能引起设备的失效、损坏,造成线路拥塞和系统瘫痪等。
第三章 集团网络安全需求与安全目标
第一节 网络安全需求分析
为了确保广电集团网络系统的安全,其安全需求可以从安全管理层面、物理安全层面、系统安全层面、网络安全层面、应用安全层面等方面来分析。
从安全管理要求来分析,要考虑政策、法规、制度、管理权限和级别划分、安全培训等,特别要考虑基层人员计算机水平不高,系统设计和培训等方面要周密考虑,制定切实有效的管理制度和运行维护机制。
从物理安全要求来分析,要根据浙江广电集团实际情况,确定各物理实体的安全级别,建立相应的安全防护机制。
从系统安全需求来分析,需要解决操作系统安全、数据库系统安全、TCP/IP 等协议的安全、系统缺陷、病毒防范等问题。
从网络安全需求来分析,要考虑系统扫描、入侵检测、设备监控和安全审计等,要防范黑客入侵、身份冒充、非法访问。要保证信息在公共传输通道上的机密性,拨号线路的保密性和身份鉴别。
从应用安全和信息安全需求来分析,要解决重要终端用户数据的加密、数据的完整性、数据的访问控制和授权以及数据承载终端设备 (各种计算机、笔记本电脑、无线WAP终端及其它终端设备) 以及其中运行的操作系统的安全可靠。
因此,广电集团网络系统安全要重点做好以下几方面的工作,同时也是本安全方案的设计需要解决的问题:
一、解决内部外部系统间的入侵检测、信息过滤 (防止有害信息的传播)、网络隔离问题;
二、解决内部外部黑客针对网络基础设施、主机系统和应用服务的各种攻击所造成的网络或系统不可用、信息泄密、数据篡改 等所带来的问题;
三、解决重要信息的备份和系统的病毒防范等问题;
四、建立系统安全运行所匹配的管理制度和各种规范条例;
五、建立健全浙江广电集团网络系统安全培训制度及程序等方面的问题;
六、解决浙江广电集团和其它相关单位部门网络信息交流带来的安全问题。
第二节 网络安全目标
计算机网络的安全问题与单台计算机的安全在实际中存在着非常大的差别。网络不是分装在一个机箱内,存在着传输系统的地域分布问题。这些传输通信系统可以是有线的,也可以是无线的。这类传输可以在中途被截获,存在着“中间攻击”的问题。从攻击的手段来看,攻击种类和机制非常多。访问控制和鉴别也比单台计算机困难,网络安全要特别重视防截获,防泄露和信息加密的实施。
目前所采用的网络防护方法也就是在进入计算机操作系统控制中的网络访问和网络协议上实施的。
网络防护的基本服务: 网络访问控制(MAC)、鉴别、数据保密性、数据完整性、行为的完整性、抗抵赖性、可用性等。
网络安全的目的是保护在网络系统中存储、传输和处理的信息的安全,概括为确保信息的完整性、保密性、可用性和不可抵赖性。
信息的保密性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的查看;
信息的完整性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的改变;
信息的可用性和可靠性指的是在计算机网络系统中存储、传输和处理的信息为授权用户提供及时、方便、有效的服务;
信息的不可抵赖性指的是内部人员对信息的操作不可抵赖。
为了更加完整的执行上述网络信息安全的思想,防止来自集团内部局域网上的攻击,又由于浙江广电集团网络连接关系复杂、网络设备多,使用租用的国内的通信线路,存在着传输线搭接窃听或辐射接收窃听等环节。因此要做到以下几个要求:
1) 防止计算机病毒的蔓延
集团网络众多的用户,可能由于内部管理上疏忽,装入未经杀毒处理的软
件或是从因特网上下载了带病毒的文件。还可能来自外部黑客释放病毒、逻辑炸弹的攻击等,这些都对计算机网络系统安全构成严重威胁。病毒广泛地传播,将造成网络软硬件设备的损害以至于整个网络系统瘫痪。
2) 加强网络安全的动态防护
网络黑客攻击手段、计算机病毒等都处于不断的发展和变化中,使用目前的安全保密技术和产品是难以构造一种绝对安全、无缝隙和一劳永逸的网络系统的。因此,安全的网络系统必须具有网络安全漏洞的检测和监控功能。通过安全检测、监控手段,及时发现网络安全漏洞和各种恶意的攻击手段,及时提供修补系统漏洞的建议并阻断来自内外的非法使用和攻击。
3) 保障集团内部业务系统的安全稳定
由于涉及省台与各地方台的视频传输,不可避免的会遇上各种各样的问题,因此,在网络层对业务的安全要保障得力,并且要确认信息传输的安全稳定。
第四章 集团网络安全解决方案设计
第一节 网络监控管理系统
由于浙江广电集团的网络建设已有很多年的时间了,其很多网络设备都自带了监控及管理软件或工具,但是这些工具在问题发生之后很难解决问题。而网络监控管理系统的实时映射、网络瓶颈通知和设备失败通知却可以帮助用户快速隔离问题,并且在员工抱怨之前解决问题。
这里对推荐的美国 CA 公司的网络监控管理系统 (Unicenter Network & System Management)所能够达到的功能简单地说明一下:通过 TCP/IP 协议,不需要专门的培训,用户就可以配置该网络监控管理系统,启动网络监视管理功能后,能够监控的网络设备包括工作站、服务器、主机、网桥、路由器、集线器、打印机等在内的几乎所有网络元件。当用户决定使用该网络监控管理系统软件时,首先可以通过该软件的网络探查功能,能够全面查看用户网络的底层构件,确认整个网络的体系结构,并以一种可描述可管理的模式定位所有的网络设备,并将这些设备存储起来,迅速绘出网络结构图,同时启动设备的监控,而这些过程都是自动生成的,非常简单易用,可操作性强,这对于网络设备非常多、而专业网络管理人员较少的企业来说就显得非常重要。
在这个过程中,首先通过该网络监控管理系统 24X7 的全时设备轮询网络监视功能,迅速识别网络元件的任何问题,当监测到问题时,可以不同的颜色显示出来,并以通过手机、e-mail、声音警报通知管理人员,同时根据各网络元件相互之间的依赖关系,自动关闭与 有问题网络元件之后的所有网络元件的连接,减少冗余数据数量,避免冗余通知。此外,还能对网络元件的潜在问题、网页的正确性、可用性、网络的性能以及系统资源进行有效的监控管理。
当网络监控管理系统识别网络失效时,在向相关人员发送警报及通知时,该软件还可启动一个程序来定位网络失效。因此,当状况被隔离之后,一个特定的应用程序或者脚本程序就会被执行,或许是重启这个服务或许是重启计算机。这个进程是自动的,因此当相关人员收到设备失效的通知时,相应的措施已经采取了,管理人员不用回到办公室,因为当管理人员在收到通知时已经知道问题己经解决了。
在这一系列监控与管理过程中,网络监控管理系统都能自动生成监控及管理日志,并对系统的使用情况与趋势形成报告,以便用户形成较为完善的系统化管理,提升工作效率。
第二节 电子邮件安全解决方案
解决电子邮件安全问题,我们需要从三个方面来考虑如何应对:
1) 对带病毒邮件、垃圾邮件等恶意邮件的过滤和封堵;
2) 对进出邮件系统的所有邮件进行备份,用于监控和备查;
3) 对敏感的邮件内容进行加密传输,防备在传递路径上的恶意窥伺。
对集团来讲,现实的方法是结合现有的成熟技术,组合出一个在经济上和技术上合理的解决方案,同时要保证长期的维保成本。邮件系统的安全解决方案包括如下三个部分:
1、电子邮件安全网关技术方案
通过邮件安全网关的部署,在病毒程序、垃圾邮件等不良信息进入集团邮件系统之前,便对其进行遏制、阻截,从而保证集团电子邮件系统的安全稳定运行,节省邮件系统存储空间,避免机密的泄漏。
在邮件网关硬件系统上整合邮件反病毒引擎,对进入集团邮件系统的电子邮件进行病毒检测,采取邮件隔离、删除以及清除病毒等操作,减少病毒对邮件服务器的攻击。应根据互联网最新病毒发展趋势,定时升级邮件网关病毒库。
2、邮件备份系统技术方案
在集团现有邮件系统的基础上,实现对指定时间内(如最近一年)所有收发邮件的备份,并且管理员根据邮件信息摘要(例如:发件人、收件人、主题、日期、附件名称等)进行检索和查看邮件全部内容。
3、邮件加密系统技术方案
保护重要电子邮件不被泄密,防止内部人员未经许可将重要电子文档以邮件的方式泄密,防止电子邮件被截取而引起的泄密。保证工作效率,在尽量不改变使用者收发邮件操作习惯的基础上,保证电子邮件正常畅通使用。
考虑到文件安全扩展的需求,除电子邮件之外,信息泄密还有多种途径。在保护邮件安全的基础上,要考虑到日后系统的扩展性。
邮件安全管理系统综合动态加解密技术、访问权限控制技术、使用权限控制技术、期限控制技术、身份认证技术、操作日志管理技术、硬件绑定技术等多种技术对电子邮件进行保护。
第三节 远程数据传输的加密
建立基于SSL VPN技术加密访问系统,使得从Internet到内部网络的访问使用SSL VPN数据加密通道,保证数据在传输过程中保密性。
目前能够提供 SSL VPN 加密产品的厂家很多,但是本文认为在SSL VPN技术的先进性、加密传输的速率、以及厂家的技术服务等方面,Juniper的Netscreen SA 1000具有相对的优势,是其它厂家无法比的。
Juniper 网络公司SSL VPN产品家族的Netscreen-SA 1000系列,使企业可以部署经济高效的远程接入、外联网及内联网安全性。用户可从任何标准 Web浏览器接入企业网络和应用。NetScreen-SA 1000系列使用SSL作为安全接入传输机制,SSL是所有标准Web浏览器中使用的安全协议。使用SSL使客户无需部署客户端软件、无需更改内部服务器,也无需进行成本高昂的长期维护。NetScreen-SA 1000产品提供先进的合作伙伴喀户外联网特性,以控制用户或用户组的网络访问,无需更改基础设施、无需部署DMZ 、也无需软件。这项功能还允许公司安全接入企业内联网,使管理员可以根据不同员工、承包商和访问者所需的资源来限制他们的接入权限。
NetScreen-SA 1000系列解决方案的主要特性与优势如下:
一、端到端分层安全性
端点客户端、设备、数据和服务器的分层安全性控制,Juniper网络公司 Endpoint Defense Initiative(端点防御计划),用于提供最高的端点安全性可以根据用户组或角色、网络、设备及会话属性来规定基于用户身份的接入降低总拥有成本。不需要部署客户端软件或更改服务器,几乎不需要长期维护。从单一平台安全地远程接入内联网和外联网安全的外联网接入,无需构建 DMZ、无需加固服务器、无需复制资源、或无需增加部署来添加应用或用户简化
二、可管理性
(一)集中管理选项提供统一管理
(二)用户自助服务功能,可降低技术支持服务窗口的支持成本
(三)细粒度的审计和日志记录
(四)3 种不同的接入方法,允许管理员根据具体目的来设置接入权限
(五)基于角色分配管理任务
三、高可用性
群集对部署选项,可为整个LAN和WAN提供高可用性。
第四节 服务器的安全防护
一、业务服务器的安全防护
(一)防火墙的安装
这里将在Catalyst 4506交换机与服务器群的交换机之间安装一台高性能的防火墙,并根据服务器群中的每台服务器的应用系统的情况,在该防火墙上进行一对一的安全策略配置的工作。
(二)入侵检测系统的安装
这里将在服务器群的交换机上配置一个侦听端口,将流经该交换机所有端口的数据包都复制一份传送到侦听端口上;再把入侵检测系统连接到该侦听端口,接收该端口输出的所有数据包,并对这些数据包进行入侵分析、判断和记录。本文将负责完成入侵检测安装配置工作。
二、涉及到的设备选择
(一)防火墙的选择
防火墙的类型主要有:数据包过滤、监测型、服务器等几大类型。
1)包过滤型
包过滤型防火墙是防火墙的较初级产品,其技术基于网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。如图4-1所示:
图4-1包过滤型防火 墙的工作原理
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2)型
型防火墙也能够被称为服务器,它的安全性要高过包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到集团内部网络系统。如图4-2所示
图4-2型防火墙的工作原理
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。它的缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
本文将选用业界性能较好的、可靠性较高的Juniper 的NetScreen 5200防火墙,该防火墙的技术参数如表4-1
表 4-1 NetScreen 5200 防火墙技术参数表
物性/功能 NetScreen-5200
接口数 2个XFE 1OGigE,或8个Mini-GBIC, 或2个Mini-GBIC+24 10/100
最大吞吐量 1OG 防火墙
5G 3DES/AFS VPN
最多会话数 1,000,000
最多VPN 隧道数 30,000
最多策略数 4000,000
最多虚拟系统数 5
最多虚拟LAN 数 4000
最多安全区域数 默认设置为16个,最多增加1000个
最多虚拟路由器数 默认设置为3个,最多增加500个
支持的高可用性模式 主用/备用
支持的路由协议 OSPF, BGP, RIRV1/V2
深层检测 是
集成/重新定向,Web过滤 是/否
(二)入侵检测系统的选择
这里选用国内拥有领先安全技术水平的天融信千兆级入侵检测系统NGIDS-UF。其主要的技术指标如表4-2
表4-2 NGIDS-UF 入侵检测系统技术指标表
型号 NGIDS-UF
类别 千兆IDS
规格 2U 机架式
网络接口 1个10/100Base-TX: 2个千兆光纤
2wh 10/100/1000Base-TX
串口 1个RS-232C
第五节 计算机病毒防护的加强
一、在原有的病毒防护系统增加集中管理控制台
新增一台服务器,在上面安装一套诺顿的病毒防护的集中管理控制台。这里将安装该服务器系统和诺顿的集中管理控制的软件系统。
二、增加网络病毒防火墙
在每个楼层交换机的上联端接入一台网络病毒防火墙,对局域网内的病毒进行区域控制:在二级单位广域网入口处安装一台网络病毒防火墙,保障二级单位的广域网线路不会受到病毒数据包的影响。
涉及到的设备选择:
(一)诺顿的防病毒集中管理控制台
只有选用诺顿的集中管理控制软件才能控制和管理诺顿的网络防病毒系统的客户端软件。
(二)网络病毒防火墙
目前有趋势相关的硬件产品出售,并且该产品还能够与诺顿的网络防病毒客户端软件进行联动。所以本文选择部署趋势的NVW1200网路病毒防火墙。该网络病毒防火墙的主要功能如下:
1.执行免的安全策略
网络病毒墙对非兼容设备进行隔离修正,以确保所有设备在进入网络前都安装有最新的防病毒及关键的操作系统补丁。执行免的安全策略可减少管理负荷,并可同时降低被合作伙伴或VPN用户的非兼容设备感染的风险。
2.漏洞隔离
网络病毒墙根据Trend Micro的漏洞评估功能,隔离网络蠕虫可利用的潜在环节,使管理者有选择地隔离薄弱(未安装不定程序)的网络段或设施,避免病毒的爆发。网络病毒墙提供漏洞评估服务,并将该功能作为一个可选项。
3.灵活的、集中式管理
网络病毒墙包括趋势科技企业安全管控中心、及一个集中式、基于网络的管理控制台,它根据主机安装永久的需要实施安全更新部署。该服务可以自动部署、或点击管理控制台的选项进行手工部署。
4.网络扫描及侦测
网络病毒墙通过扫描网络流量查找蠕虫及漏洞利用,并基于趋势实验室提供的最新病毒码来自动清除感染的网络数据包。另外,网络病毒墙利用趋势科技先进的启发式技术对您的网络实施监控,并提供威胁的早期预警。
5.网络病毒爆发监控
网络病毒墙通过实时监控网络流量或可疑活动来提供早期的威胁预警。并在中心控制台上发出病毒爆发通知,立即提示管理者蠕虫攻击目标、受感染的主机、或具体的受攻击的漏洞。
6.网络病毒爆发防御
网络病毒墙部署了Trend Micro病毒爆发防御服务,通过阻绝任何蠕虫传播组合,包括8地址或地址范围、端口及协议、即时通讯渠道、文件类型扩展名、及文件传递。
7.自动清除损害
网络病毒墙通过隔离感染的网络段、主机、或客户,进行清除及修正,阻止了再次感染。凭借自动、免清除蠕虫(木马)痕迹、及系统文件配置(system.ini)修复功能,Trend Micro的清除损害服务可以防止再次感染,降低清除成本。
第六节 网络攻击及防护演示效果图
图4-3网络攻击及防护演示效果图
针对浙江广电集团的网络结构,当出现如下各类情况时解决方案如图4-3所示:
1、 漏洞扫描-识别攻击行为
2、 上传病毒/木马-修复系统漏洞
3、 启用后台服务监听-防病毒软件
4、 远程控制服务器-防火墙入侵检测
5、 攻击业务系统-防火墙、双机容错
6、 破坏系统数据-备份、灾难恢复
7、 客户端中毒-防病毒软件
第五章 结束语
计算机网络的可靠性和安全性是在不断地变化的,不同的时期或者阶段对网络的可靠性和安全性方面的要求是不一样的。在网络的建设之初,集团网络关心最多的是网络的连通性,只需要网络能够传送数据即可,对于网络数据的延迟lunwen .1 kejian .com 一以及网络短时间的中断都没有过多的要求:当网络中存在着涉及到集团的关键性应用系统时,就对网络数据的延迟时间、以及网络的中断时间上就有了很高的要求,在一般情况下,为了保障集团应用系统的连续运行,集团网络系统是不允许发生网络中断的。因此,本文在方案的设计中就已经考虑到要符合目前的、以 及将来的网络应用系统的需要,同时本文设计的网络系统的可靠性和安全性可以根据集团网络业务系统的需要进行相关的调整,满足变化之后的网络业务系统的要求。
本方案是一个针对浙江广电集团目前计算机网络现状的网络、及网络安全的解决方案,在随后的分期分批的项目实施过程中,由于集团网络环境、以及网络应用系统的变化,会在细节上根据实际情况进行相应的调整,如:安装设备数量、设备安装具体地点等,只要在总的布局、要求以及标准上保持不变,实施之后就能够达到本方案的设计要求。同时,本方案在设计、以及设备的选型上,己经做了今后扩展的考虑。
本方案并没有解决浙江广电集团计算机网络、以及网络安全方面的所有问题,随着计算机网络、及网络安全的技术不断地发展,以及集团网络应用系统不断地新增,集团业务系统也会对集团的计算机网络系统的结构和网络安全方面提出更高的要求,实现后满足集团实际的需要。
【参考文献】
[1] 张国清.CCNP BSCI详解.北京:电子工业出版社,2006.
[2] 拉斯特.网络安全基础[M].北京:中国邮电出版社,2006.
[3] 常晓波.CISCO网络安全.北京:清华大学出版社,2004.
[4] 王达.网管员必读——网络安全.电子工业出版社. 2007.
[5] 《非常掌上宝系列》编委会.数据备份恢复与系统重装一条龙.北京:科学出版社,2005.
[6] 张公忠.现代网络技术教程北京:电子工业出版社,2004.
[7] 飞科研发中心.电脑防毒防黑急救.北京:电子工业出版社,2002
[8] 黄志晖.计算机网络管理与维护全攻略.西安:西安电子科技大学出版社,2004.
[9] 欧阳江林.计算机网络实训教程,北京:电子工业出版社,2004.
[10] 金纯.IEEE802.11无线局域网北京:电子工业出版社,2004
[11] 施裕琴.网络安全的入侵检测系统及发展研究.集团经济研究2006,(27):25-26.
[12] 董凯虹.网络监控管理系统的功能.计算机世界周刊.2006.(4):50-51
[13] 胡越明.Internet技术及其实现.北京:高等教育出版社,2005.
[14] 陈雪著.Windows XP的完善.上海理工大学出版社,2005.8
[15] 麦肯兰勃.网络安全评估.北京:中国电力出版社,2006.
[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.
[17] W Stallings , Cryptography And Network Security: Principles and Practice, 2006.
[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.
[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.
致 谢
在论文完成之际,谨向所有给予我指导、关心、支持和帮助的老师、领导、同学和亲人致以崇高的敬意和深深的感谢!
首先感谢导师顾忠伟老师一直以来对我的学习、工作和生活所给予的无私关心、悉心指导和严格要求。尤其在论文的完成阶段,得到顾老师的耐心指导和严格把关。顾老师严谨的治学态度、求实的工作作风、平易近人的处世风范都深深影响了我。在此谨向顾老师表示最衷心的感谢和最诚挚的敬意!
感谢浙江广电集团科技管理部计算机科的同事,他们结合自己多年的计算机系统与网络安全的相关经验,给我提出了很多宝贵的建lunwen .1 kejian .com 一和对我实习中的帮助。在论文完成之际,在此特向各位同事表示深深的谢意!
在论文的材料收集期间,得到了负责集团网络工作的蒋老师的大力支持,他根据自己多年实际工作的经验,为我的论文写作、改进工作提出了许多有价值的宝贵建议,在此对蒋老师表示感谢!
感谢经济管理学院的各位老师、同学在学习工作等诸方面的支持和帮助,这一切使我在学习期间深受教益。
最后,深深地感谢我的家人旦他们在生活和学业上给了我无私的关怀,为了支持我的学业,付出了莫大牺牲。惟乞此文能够回报这些无比的关心和厚爱!
论文关键词:政府类网站,信息安全,信息公开
政务类网站是政府及其组成部门凭借其自身特有的信息资源优势,通过网站的形式整合其所有资源,以用户为中心,服务为导向,并以信息公开为基础、在线办事和互动交流为主要业务特征,为民众提供及时、便捷、高效、易用的信息服务的平台。
当前,在我国深化改革、扩大开放、不断完善社会主义市场经济体制以及高科技迅猛发展的新形势下,信息安全工作面临着极大挑战。目前政府类网站可能所受到的攻击包括黑客入侵,内部信息泄漏,不良信息的进入内网等方式。因此采取的网络安全措施应一方面要保证政府业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全。信息安全的需求归结起来为以下几点:
1.信息的不被篡改:网站是信息的载体。政府类网站是展示政府部门形象,公布政府新出台的政策措施,实现政府与社会之间资讯互通的平台。可靠的网络安全体系能保证网站的信息安全,防止其被非法篡改,造成恶劣的社会影响和国际影响。
2.业务系统的可用性:运行政府网站的各主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏;
3.数据机密性:对于政府内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
4.访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
5.网络操作的可管理性:对于网络安全系统应具备审记和日志功能,对相关重要操作提供可靠而方便的可管理和维护功能。
针对政务累网站的安全需求,我们设计了三个安全框架:
1、基本型安全框架
运维代价分析:基本型的安全框架减少了大量的设备投入,无形中增加了很多人工成本。其安全防护能力只能满足基本需要。数据备份恢复只能采用了人工的方式,从而使得应急响应时间过长。整个体系的容灾能力较差。
基本型安全框架设计:具备了基本的安全防护体系,安全防护完全依赖部署在网络边界的防火墙,没有网络防御纵深,只能防御一般的攻击,缺乏全方位的防御手段,也没有部署远程备份系统,系统容灾能力很差。该框架设计较适合缺乏建设资金投入的小型网站。
2、完整型安全框架
运维代价分析:完整型的安全框架是一个趋于完善的安全体系,数据备份实现了自动化,减少了部分人工值守工作环节,具有较好的容灾能力。完整型的安全框架需要一定的前期资金及设备投入,增加了部分系统维护成本,能满足中型网站的安全需求
完整型安全框架设计:具备了较完整的安全防护体系,防御攻击能力相比基本型增强了很多,部署了入侵预警、检测和防范系统,部署了全网的病毒防范、远程数据备份和网站防篡改系统,具备一定层次的网络防御纵深,部分服务器采用了冗余配置,具有较强的容灾能力。该框架设计较适合中型网站,从运维代价分析也是较合理的。
3、完善型安全框架
运维代价分析:完善型的安全框架是一个相对完善的安全体系,数据备份实现了自动化,减少了大部分人工值守工作环节,具有完备的容灾能力。完善型的安全框架在系统建设前期就要投入大量的资金及设备,后期的系统维护也需要一定的维护成本投入,能满足大型网站的安全需求。
完善安全框架设计:具备了完整的安全防护功能的,能全方位、多层次的实现系统安全保障和完整的数据及设备容灾。该安全框架建立了全网络的入侵预警、检测和防范体系,建立了全方位病毒防范和网站防篡改体系,对重要应用系统的数据、关键的网络设备和网站系统的进行了冗余备份。完善型框架设计同框架设计比较,除了对核心网络设备进行冗余部署外,最大的区别是部署了异地容灾系统。
参考文献
【关键词】计算机信息管理技术 网络安全 应用与影响
引言:计算机信息管理技术是在科学技术的发展以及现实生活需求这两种因素的共同推动下产生的。这一技术的出现,顺应了时展潮流的需要,对国民经济的发展有一定的推动作用。但是在计算机信息管理技术的发展过程中,计算机信息管理技术的网络安全问题也成为了我们需要解决的一个实际问题。为了解决这些问题,我们需要对计算机信息管理技术在网络安全中的应用进行探究。
1.计算机信息管理技术在网络安全中的应用现状
从目前信息技术的发展来看,计算机信息管理技术主要通过信息传播来促进各个领域之间的交流。这一技术在网络安全中的应用与每个计算机用户的切身利益都有一定的关系。因此,计算机信息管理技术的发展对中国社会的信息化发展有着重要的意义。但是在具体操作的过程中,在计算机安全性检测领域还存在着一些问题,计算机信息管理技术中的一项重要工作就是对网络信息的安全性进行检测,一些不确定因素的存在会对计算机信息管理技术的这一功能的发挥带来不利的影响,此外,计算机信息管理技术如果管理不善,也会影响这一技术对信息访问的控制。控制信息访问是从源头上控制信息资源的一种体现,控制信息访问对保障广大网络用户的信息安全具有较为重要的作用,对信息访问缺乏控制,就等于是在无形之中增加了信息泄密的概率。因此计算机信息管理技术在网络安全中的应用还要经历一个不断完善的过程。
2.计算机信息管理技术在网络安全问题中应用的具体措施
2.1注重对操作系统的安全维护
计算机操作系统是计算机信息管理技术运行过程中不可缺少的部分。在具体的操作过程,计算机操作系统是对计算机信息管理技术的运转有着重要作用的系统,也是最容易出现漏洞最容易引发网络安全问题的系统。因此,计算机信息管理技术在网络安全问题中的应用过程中要对操作系统的安全维护进行重点关注。在具体应用的过程中,我们可以通过建立安全防护系统的方式来对计算机操作系统的安全维护加以保障,通过建立安全防护系统,我们可以及时发现一些网络操作系统中存在的安全漏洞。在对这些安全漏洞进行修复以后建立一个完整的安全防护系统,我们也可以通过网络入侵检测,防火墙等方式对一些安全隐患进行排查,
2.2对相关管理制度进行完善
完善的管理制度也是促进计算机管理技术网络安全运行的重要因素。它对计算机信息管理技术的发展也有一定的促进作用,因此,把计算机信息管理技术运用到网络安全问题之中以后,我们也要对相关的管理制度加以完善。在日产管理过程中,我们可以对人才管理制度加以完善,我们可以加大对计算机信息管理技术人才的培养力度。通过对专门人才的培养,为计算机信息管理技术的发展提供人才支持。在完善网络安全管理制度的过程中没我们也可以采取成立安全管理小组的模式对网络软硬件设施进行安全检查。信息安全管理小组的设立对信息管理技术的安全运行也会具有一定的促进作用。
2.3数据加密技术的运用
数据传输加密主要包括以下两种形式,第一种方式是线路加密。线路加密主要指的是人们针对所要保密的信息,根据其传输线路的不同,采用不同的安全秘钥对信息进行安全防护的措施。由于线路加密主要侧重的是对数据线路安全的保障,因而它对信息的信源和信宿没有一种重返的考虑。数据加密的第二种方式是端对端加密的形式,端对端加密是信息通过特定加密软件进行传输的一种体现。在使用端对端加密形式进行信息传输的过程中,信息的发送者需要在自己的发送端口运用加密技术对信息进行加密处理,再将信息进入数据包封装以后进行发送。信息接收者在疏导信息以后,通过对应的解密软件对信息进行解密处理。使用端对端加密技术,可以有效遏制存储环节产生的数据泄密问题,因此,数据加密技术对网络安全的保障也具有一定的促进作用。
3.计算机信息管理技术在网络安全中的影响
3.1为网络信息传递提供了一定的安全保障
计算机信息管理技术在网络安全中的运用,对计算机防火墙技术的发展也会有一定的促进作用。在这一技术模式之下,网络防火墙可以加强对网络之间的访问状况的控制,可以更好的对其他用户通过非正常渠道对网络资源的内部访问行为加以控制,这就对网络信息的传递提供了一定的安全保障。
3.2对计算机工作人员安全意识的提升也有一定的促进作用
网络安全问题的存在与人们网络安全防范意识的缺失有着直接的关系。通过计算机信息管理技术在网络安全中的运用,计算机操作人员为了能够在日常工作中做好安全防护工作,就会对计算机信息管理技术的网络安全问题进行重点关注,这样,人们的安全防范意识会得到一定程度的提高。
结论:计算机信息管理技术在网络安全中的应用顺应了网络信息迅速发展的趋势,对维护网络安全具有重要的促进作用。在维护网络信息安全的过程中,我们需要对各种网络安全防护措施中的优点进行总结,还要在实际操作的过程中对这些优点加以应用,以便更好地为网络信息的传播提供安全保障。
参考文献:
[1]崔小龙.论网络安全中计算机信息管理技术的应用[J].计 算机光盘软件与应用,2014,20:181-182.
关键词:疾病预防控制中心;网络安全管理;设计原则;维护
引言
疾病预防控制中心的信息管理系统中计算机网络技术得到了广泛的应用,为医院庞大的管理工作带来了很多方便,但同时也存在着一些隐患。一旦网络瘫痪、系统数据丢失就会影响医院的正常医疗工作的运转,系统的安全性和稳定性就会受到严重的影响,进而直接影响到医院和病人的切身利益。因此,对于医院系统来讲,网络管理的安全问题相当重要。要做到能够安全管理和维护,确保信息系统能够安全、稳定、正常地运行,防止不法分子利用网络和计算机犯罪、避免数据丢失和损坏。
1、网络安全体系的设计原则
要确保疾病控制中心的网络能够进行安全的管理和维护,就应该对网络安全体系进行有效的设计,在进行设计的时候要做到“注重安全、操作性强、投入合理、性能良好、高效运作”,并遵循以下几点原则:
1.1 安全性
对于疾控部门、突发公共卫生事件应急中心来讲网络的安全和稳定性更显得尤为重要,进行局域网络的安全体系设计主要是为了对网络系统的安全进行有效的保护,课件安全性成为设计的首要目标。而体系安全性的保证,必须以保证体系的完备性和体系的可扩展性为前提。
1.2 可行性
“千里之行始于足下”,单纯从理论的角度来考虑网络安全体系的设计而非考虑实际操纵因素只能是空谈。网络安全体系的设计使为了更好地指导实施,如果实施的难度过大或者无法实施,那么安全体系本身就没有任何意义,因此,必须要坚持可行性的原则。
1.3 可承担性
网络安全体系的设计和实施以及后期的维护、培训等方面都需要有一定的技术和经济的支持。在操作的过程中要考虑到成本和利益的关系,如果付出的成本比从安全体系中得到的利益更多,那么这个体系就不能算是合理的方案。因此,在进行疾病预防控制中心网络安全体系设计的时候应该充分考虑到本单位的特点以及实际的承担能力来进行。
1.4 高效性
网络安全体系建立的目的是保证系统能够正常运行,如果安全体系的建立影响了系统的正常运行,那么就必须在安全和性能之间进行合适的权衡。网络安全体系所包含的软件和硬件都会不同程度地占用网络系统的部分资源。因此,在网络安全体系设计的时候要充分考虑到系统资源的问题,注重系统设计的高效性,避免系统本身对网络系统正常运转的妨碍。
2、网络安全体系的管理与维护
疾病预防控制中心的安全威胁可能来自于外部,也有可能来自于内部。因此,在进行网络系统安全策略的设计时,既要在局域网边界采取一定的安全防范措施来抵御外部的侵袭和攻击,又要对内部网络设备的安全访问进行控制,避免局域网内部因操作错误而造成对局域网破坏。进行网络安全体系的构建与维护要从以下方面入手:
2.1 物理安全策略
物理安全策略制定的目的是保护局域网中的网络服务器、计算机系统、物理链路等基础的设施避免受到人为破坏、自然灾害或搭线攻击,并能够建立起完善的安全管理的制度,确保网络系统能够在良好的电磁兼容的环境下工作。同时,也能够有效地防止计算机控制室的非法操作和偷窃破坏活动。
2.2 访问控制策略
访问控制策略是为了保证网络的资源不被一些非法用户访问和使用,它是局域网安全防护的主要策略,是网络安全得以保证的核心策略之一。它包括网络的权限控制、网络访问控制、文件属性控制、目录安全控制、服务器访问控制、网络监测控制、网络锁定控制、安全基础设施控制、端口及节点安全控制等。对于疾病预防控制中心的网络安全而言,应做好网络服务器访问控制、网络访问控制以及网络的监测和锁定控制三个方面。
2.2.1网络服务器访问控制
对于疾病预防控制中心而言,网络服务器访问的控制主要目的是控制用户对系统服务器的非法访问,防止网络服务器上的数据被随意修改、破坏或删除。服务器访问控制时,应制定相应的合理管理措施,防止非法用户对服务器的控制台进行直接操作;限制服务器的登录时间;尽量减少服务器上所安装的应用软件的数量;禁止服务器上一些不必要的服务软件运行;对服务器上进行的各种操作实行记录制,并定期进行审查,以便及时发现问题;同时,要对服务器的数据及时进行备份等。
2.2.2网络访问控制
网络访问控制是网络系统管理的重要环节之一。主要通过相应的技术手段对网络用户的身份进行识别和权限的分配,责权分明,既能有效地阻止非法用户的非法访问,又能减少网络病毒和恶意软件及代码的危害。在网络访问控制中,可以通过防火墙进行控制。将防火墙置于不同信任度的网络中并对网络的通信进行相应的控制,强制实施安全策略起到安全保护的作用,防止重要资源的访问和存取。防火墙通常位于外部的Internet网络、内部使用网络和其服务器DMZ区之间,当数据包通过时,数据包的信息即与防火墙的规则表进行相应的匹配,如果有相匹配的规则就直接按规则来执行,如果没有匹配的规则就使用默认规则来执行。另外,还可以通过访问控制列表来达到网络访问控制的目的。访问控制列表(ACL)是一组包含了允许(permit)、拒绝(deny)语句的有序语句集,它将数据包的源端口、目的端口、源地址、目的地址、MAC地址等信息同访问控制列表中的语句来进行匹配,根据匹配的结果决定数据包是否通过,以实现数据包的过滤。
2.2.3 网络病毒的防治
在网络中,病毒具有很多的传播途径及较大的破坏能力。它可通过电子邮件、局域网、网页脚本、操作系统漏洞等进行传播。病毒不仅对单台计算机的软件和硬件资源造成危害,而且有可能造成局域网甚至整个网络的瘫痪,这样会造成不可预测和估量的损失和危害。要实现网络病毒的防治单靠计算机上的杀毒软件是不能根除和实现的,必须安装相应的网络版杀毒软件进行智能升级、远程安装与操作、集中管理、远程报警、查杀病毒等功能。同时,要对加强管理,提高工作人员及使用人员的防毒意识和系统保护的意识和知识。
3、结论
随着社会的进步和发展,信息安 全从以前的保密、保护到如今的保障阶段,不断地满足人们对安全性能的需求。安全方案和安全体系也从原来的静态向动态、被动想主动的防御和防护发展,要保证疾病预防控制中心核心系统的稳定高效运行,管理人员必须对系统进行有效的管理和维护,以保证系统的正常运行,促进医疗事业的高效发展。