前言:我们精心挑选了数篇优质网络安全设计论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
一、消防信息化建设的主要内容
1.1消防信息化的范畴
消防信息化是利用先进可靠、实用有效的现代计算机、网络及通信技术对消防信息进行采集、储存、处理、分析和挖掘,以实现消防信息资源和基础设施高程度、高效率、高效益的共享与共用的过程。
消防信息化建设的范畴包括通信网络基础设施建设、信息系统建设及应用、安全保障体系建设、运行管理体系建设和标准规范体系建设等内容。
1.2通信网络基础设施建设
全国消防通信网络从逻辑上分为三级:一级网是从部消防局到各省(区、市)消防总队以及相关的消防科研机构和消防院校;二级网是各省(区、市)消防总队到市(地、州)消防支队;三级网是各市(地、州)消防支队到基层消防大队及中队。对北京、上海、天津、重庆等直辖市,二级网和三级网可合并考虑。每一级网络所在机关均应建设本级局域网。
1.3安全保障体系建设
安全保障体系是实现公安消防机构信息共享、快速反应和高效运行的重要保证。安全保障体系首先应保证网络的安全、可靠运行,在此基础上保证应用系统和业务的保密性、完整性和高度的可用性,同时为将来的应用提供可扩展的空间。安全保障体系建设的基本要求是:
(1)保障网络安全、可靠、持续运行,能够防止来自外部的恶意攻击和内部的恶意破坏;
(2)保障信息的完整性、机密性和信息访问的不可否认性,要求采取必要的信息加密、信息访问控制、访问权限认证等措施;
(3)提供容灾、容错等风险保障;
(4)在确保安全的条件下尽量为网络应用提供方便,实行全网统一的身份认证和基于角色的访问控制;
(5)建立完备的安全管理制度。
二、消防信息化建设中面临的网络安全问题
2.1计算机网络安全的定义
从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害;从其本质上来讲就是系统上的信息安全。
从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。
2.2网络系统的脆弱性
2.2.1操作系统安全的脆弱性
操作系统不安全,是计算机不安全的根本原因。主要表现在:
(1)操作系统结构体制本身的缺陷;
(2)操作系统支持在网络上传输文件、加载与安装程序,包括可执行文件;
(3)操作系统不安全的原因还在于创建进程,甚至可以在网络的结点上进行远程的创建和激活;
(4)操作系统提供网络文件系统(NFS)服务,NFS系统是一个基于RPC的网络文件系统,如果NFS设置存在重大问题,则几乎等于将系统管理权拱手交出;
(5)操作系统安排的无口令人口,是为系统开发人员提供的边界入口,但这些入口也可能被黑客利用;
(6)操作系统还有隐蔽的信道,存在潜在的危险。
2.2.2网络安全的脆弱性
由于Internet/Intmnet的出现,网络安全问题更加严重。可以说,使用TCP/IP协议的网络所提供的FTP、E-Mail、RPC和NFS都包含许多不安全的因素,存在许多漏洞。
同时,网络的普及使信息共享达到了一个新的层次,信息被暴露的机会大大增多。Intemet网络就是一个不设防的开放大系统,谁都可以通过未受保护的外部环境和线路访问系统内部,随时可能发生搭线窃听、远程监控、攻击破坏。
2.2.3数据库管理系统安全的脆弱性
当前,大量的信息存储在各种各样的数据库中,而这些数据库系统在安全方面的考虑却很少。而且,数据库管理系统安全必须与操作系统的安全相配套。
2.2.4防火墙的局限性
尽管利用防火墙可以保护安全网免受外部黑客的攻击,但它只能提高网络的安全性,不可能保证网络绝对安全。
2.3基于消防通信网络进行入侵的常用手段分析
由于消防工作的社会性,消防信息化建设很重要的一方面就是利用信息化手段强化为社会服务的功能,积极通过网络媒体为社会提供各类消防信息,如消防法律法规、消防知识等,促进消防工作社会化;在网上受理消防业务,公布依法行政的有关信息,为社会提供服务,增强群众对消防工作的满意度。在利用网络提高工作效率和简化日常工作流程的同时,也面临许多信息安全方面的问题,主要表现在:
2.3.1内部资料被窃取
现在消防机关上传下达的各种资料基本上都要先经过电脑录入并打印后再送发出去,电脑内一般都留有电子版的备份,若此电脑直接接入局域网或Intemet,就有可能受到来自内部或外部人员的威胁,其主要方式有:
(1)利用系统漏洞入侵,浏览、拷贝甚至删除重要文件。前段时间在安全界流行一个名为DCOMRPC的漏洞,其涉及范围非常之广,从WindowsNT4.0、Windows2000、WindowsXP到WindowsServer2003。由于MicrosoftRPC的DCOM(分布式组件对象模块)接口存在缓冲区溢出缺陷,如果攻击者成功利用了该漏洞,将会获得本地系统权限,并可以在系统上运行任何命令,如安装程序,查看或更改、删除数据或是建立系统管理员权限的帐户等。目前关于该漏洞的攻击代码已经涉及到的相应操作系统和版本已有48种之多,其危害性可见一斑;
(2)电脑操作人员安全意识差,系统配置疏忽大意,随意共享目录;系统用户使用空口令,或将系统帐号随意转借他人,都会导致重要内容被非法访问,甚至丢失系统控制权。
2.3.2Web服务被非法利用
据统计,目前全国各级公安消防部门在因特网上已建立近100个网站,提供消防法规、危险物品基础数据、产品质量信息、消防技术标准等重要信息,部分支队还对辖区内重点单位开辟网上受理业务服务,极大地提高了工作效率,但基于网页的入侵及欺诈行为也在威胁着网站数据的安全性及可信性。其主要表现在:
(1)Web页面欺诈
许多提供各种法律法规及相关专业数据查询的站点都提供了会员服务,这些会员一般需要缴纳一定的费用才能正式注册成为会员,站点允许通过信用卡在线付费的形式注册会员。攻击者可以通过一种被称为Man-In-the-Middle的方式得到会员注册中的敏感信息。
攻击者可通过攻击站点的外部路由器,使进出方的所有流量都经过他。在此过程中,攻击者扮演了一个人的角色,在通信的受害方和接收方之间传递信息。人是位于正在同心的两台计算机之间的一个系统,而且在大多数情况下,它能在每个系统之间建立单独的连接。在此过程中,攻击者记录下用户和服务器之间通信的所有流量,从中挑选自己感兴趣的或有价值的信息,对用户造成威胁。
(2)CGI欺骗
CGI(CommonGatewayInterface)即通用网关接口,许多Web页面允许用户输入信息,进行一定程度的交互。还有一些搜索引擎允许用户查找特定信息的站点,这些一般都通过执行CGI程序来完成。一些配置不当或本身存在漏洞的CGI程序,能被攻击者利用并执行一些系统命令,如创建具有管理员权限的用户,开启共享、系统服务,上传并运行木马等。在夺取系统管理权限后,攻击者还可在系统内安装嗅探器,记录用户敏感数据,或随意更改页面内容,对站点信息的真实性及可信性造成威胁。
(3)错误和疏漏
Web管理员、Web设计者、页面制作人员、Web操作员以及编程人员有时会无意中犯一些错误,导致一些安全问题,使得站点的稳定性下降、查询效率降低,严重的可导致系统崩溃、页面被篡改、降低站点的可信度。
2.3.3网络服务的潜在安全隐患
一切网络功能的实现,都基于相应的网络服务才能实现,如IIS服务、FTP服务、E-Mail服务等。但这些有着强大功能的服务,在一些有针对性的攻击面前,也显得十分脆弱。以下列举几种常见的攻击手段。
(1)分布式拒绝服务攻击
攻击者向系统或网络发送大量信息,使系统或网络不能响应。对任何连接到Intemet上并提供基于TCP的网络服务(如Web服务器、FrP服务器或邮件服务器)的系统都有可能成为被攻击的目标。大多数情况下,遭受攻击的服务很难接收进新的连接,系统可能会因此而耗尽内存、死机或产生其他问题。
(2)口令攻击
基于网络的办公过程中不免会有利用共享、FTP或网页形式来传送一些敏感文件,这些形式都可以通过设置密码的方式来提高文件的安全性,但多数八会使用一些诸如123、work、happy等基本数字或单词作为密码,或是用自己的生日、姓名作为口令,由于人们主观方面的原因,使得这些密码形同虚设,攻击者可通过词典、组合或暴力破解等手段得到用户密码,从而达到访问敏感信息的目的。
(3)路由攻击
攻击者可通过攻击路由器,更改路由设置,使得路由器不能正常转发用户请求,从而使得用户无法访问外网。或向路由器发送一些经过精心修改的数据包使得路由器停止响应,断开网络连接。
三、消防信息化建设中解决网络安全问题的对策
3.1规范管理流程
网络安全工作是信息化工作中的一个方面,信息化工作与规范化工作的根本目的一样,就是要提高工作效率,只不过改变了规范化的手段。因此,在实行信息化的过程中,管理有着比技术更重要的作用,只有优化管理过程、强化管理基础、细化管理流程、简化管理冗余环节、提高管理效率,才能在达到信息化目的的同时,完善网络安全建设。
3.2构建管理支持层
信息化是一项系统性工程,其实施自始至终需要单位最高层领导的重视和支持,包括对工作流程再造的支持、对协调各部门统一开展工作的支持、对软件普及和培训的支持。在实际工作中,应当建一个“信息化建设领导小组”,由各部门部长担任成员,下设具体办事部门,具体负责网络建设和信息安全工作,这是一种较理想的做法。但要真正发挥其作用,促使信息工作的顺利开展,不仅需要领导的重视,更重要的是需要负责人有能力充分协调与沟通各业务部门开展工作,更要与其他部门负责人有良好的协调配合关系。
3.3制定网络安全管理制度
加强计算机网络安全管理的法规建设,建立、健全各项管理制度是确保计算机网络安全必不可少的措施。如制定人员管理制度,加强人员审查;组织管理上,避免单独作业,操作与设计分离等。
3.4采取有效的安全技术措施
就当前消防信息化建设的程度来看,网络的应用主要体现在局域网服务、Web服务和数据库服务上。应当避免与Internet连接直接接入,而是配置一台安全的服务器,整个局域网通过这个上网,这样上网的终端在Internet上是没有真实IP的,能避免大多数的常规攻击。对基于Web服务的网上办公、电子政务,应当安装经公安部安全认证的网络防火墙,由专人负责,尽量少开无用的服务,对系统用户的数量和权限做严格限制,并可采用授权证书访问或IP限制访问,增强站点的安全性。在数据库方面,现消防部门主要应用Microsoft的Access,此数据库的网络功能主要基于ASP、PHP等动态网页平台来实现,通过SQL查询语句与页面进行交互,在保证系统不被侵入、数据库不能被直接下载的前提下,数据安全主要由页面查询语句的严密性来保证。除Access之外,应用较多的是Microsoft的SQLServer和Oracle,这两套数据库系统的网络功能很强大,其安全性首先需要一个专业的数据库操作员,对数据库进行正确的配置、限制数据库用户的数量、根据用户的职责范围设定权限、对敏感数据进行加密、定时备份数据库,保证数据的连续性和完整性。
目前,许多学校的校园网都以WINDOWSNT做为系统平台,由IIS(InternetInformationServer)提供WEB等等服务。下面本人结合自己对WINDOWSNT网络管理的一点经验与体会,就技术方面谈谈自己对校园网安全的一些看法。
一、密码的安全
众所周知,用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题,是由于密码管理不严,使"入侵者"得以趁虚而入。因此密码口令的有效管理是非常基本的,也是非常重要的。
在密码的设置安全上,首先绝对杜绝不设口令的帐号存在,尤其是超级用户帐号。一些网络管理人员,为了图方便,认为服务服务器只由自己一个人管理使用,常常对系统不设置密码。这样,"入侵者"就能通过网络轻而易举的进入系统。笔者曾经就发现并进入多个这样的系统。另外,对于系统的一些权限,如果设置不当,对用户不进行密码验证,也可能为"入侵者"留下后门。比如,对WEB网页的修改权限设置,在WINDOWSNT4.0+IIS4.0版系统中,就常常将网站的修改权限设定为任何用户都能修改(可能是IIS默认安装造成的),这样,任何一个用户,通过互联网连上站点后,都可以对主页进行修改删除等操作。
其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出字符作为密码。笔者就猜过几个这样的站点,他们的共同特点就是利用自己名字的缩写或6位相同的数字进行密码设置。
密码的长度也是设置者所要考虑的一个问题。在WINDOWSNT系统中,有一个sam文件,它是windowsNT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果"入侵者"通过系统或网络的漏洞得到了这个文件,就能通过一定的程序(如L0phtCrack)对它进行解码分析。在用L0phtCrack破解时,如果使用"暴力破解"方式对所有字符组合进行破解,那么对于5位以下的密码它最多只要用十几分钟就完成,对于6位字符的密码它也只要用十几小时,但是对于7位或以上它至少耗时一个月左右,所以说,在密码设置时一定要有足够的长度。总之在密码设置上,最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外,适当的交叉使用大小写字母也是增加被破解难度的好办法。
二、系统的安全
最近流行于网络上的"红色代码"、"蓝色代码"及"尼姆达"病毒都利用系统的漏洞进行传播。从目前来看,各种系统或多或少都存在着各种的漏洞,系统漏洞的存在就成网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起"红色代码"、"蓝色代码"及"尼姆达"病毒的传播流行的Unicode解码漏洞,早在去年的10月就被发现,且没隔多久就有了解决方案和补丁,但是许多的网络管理员并没有知道及时的发现和补丁,以至于过了将近一年,还能扫描到许多机器存在该漏洞。
在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因些从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
在WINDOWSNT使用的IIS,是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,为了加大安全性,在安装配置时可以注意以下几个方面:
首先,不要将IIS安装在默认目录里(默认目录为C:\Inetpub),可以在其它逻辑盘中重新建一个目录,并在IIS管理器中将主目录指向新建的目录。
其次,IIS在安装后,会在目录中产生如scripts等默认虚拟目录,而该目录有执行程序的权限,这对系统的安全影响较大,许多漏洞的利用都是通过它进行的。因此,在安装后,应将所有不用的虚拟目录都删除掉。
第三,在安装IIS后,要对应用程序进行配置,在IIS管理器中删除必须之外的任何无用映射,只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重,尽量不要给可执行权限。
三、目录共享的安全
在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中,要充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。笔者曾搜索过外地机器的一个C类IP网段,发现共享的机器就有十几台,而且许多机器是将整个C盘、D盘进行共享,并且在共享时将属性设置为完全共享,且不进行密码保护,这样只要将其映射成一个网络硬盘,就能对上面的资料、文档进行查看、修改、删除。所以,为了防止资料的外泄,在设置共享时一定要设定访问密码。只有这样,才能保证共享目录资料的安全。
四、木马的防范
相信木马对于大多数人来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!木马,应该说是网络安全的大敌。并且在进行的各种入侵攻击行为中,木马都起到了开路先锋的作用。
木马感染通常是执行了一些带毒的程序,而驻留在你的计算机当中,在以后的计算机启动后,木马就在机器中打开一个服务,通过这个服务将你计算机的信息、资料向外传递,在各种木马中,较常见的是"冰河",笔者也曾用冰河扫描过网络上的计算机。发现每个C类IP网段中(个人用户),偶尔都会发现一、二个感染冰河的机器。由此可见,个人用户中感染木马的可能性还是比较高的。如果是服务器感染了木马,危害更是可怕。
1实践教学内容总体教学设计
网络安全协议这门课程涉及的重要知识点包括:网络安全协议的基本概念、TCP/IP协议簇的安全隐患、在不同协议层次上的安全协议的原理和实现、不同层次安全协议之间的比较、无线网络安全协议的原理和实现、安全协议的形式化分析基本方法等。网络安全协议无论从教学设计、验证,还是如何有效地应用来看都非常复杂。即使所采用的密码算法很强大,协议依然有可能受到攻击。网络上的重放攻击、中间人攻击能够绕过对密码算法的攻击,非常难以防范,此外,攻击者还有可能利用安全协议的消息格式进行“类型缺陷(typeflaw)”攻击。由于网络安全协议的复杂性,在实际教学过程中,若只是由老师空洞的进行讲解,大多数学生往往很难跟上讲课的进度,进而失去对此门课程的兴趣。目前常用的网络安全协议包括PPTP/L2TP、IPSec、SSL/TSL、HTTPS、SSH、SNMPv3、S/MIME、、PGP、Kerberos、PKI、无线网安全协议(IEEE802.11i,WTLS)等。让学生通过实践教学活动,理解并掌握安全协议的理论及应用,并在实践中增强自身的动手能力、创新能力是本课程的主要教学目标。本课程的实践教学将教学内容划分为4个阶段,认知阶段、体验阶段、应用阶段及总结提高阶段。通过这4个阶段,使学生由表及里、由浅入深、由学到用、由用到创,全面掌握各主要协议的原理、应用及教学设计;同时,通过对4个阶段的划分,更好地满足不同层次学生的需求,使学生学得更深、更透,用的更顺、更广,其创新思路也更易被激发和实现。
2SSL协议的实践教学实施
2.1认知阶段
本阶段的实践教学内容是通过利用Wireshark抓包分析工具软件,获取SSL/TSL协议通信流量,直观地观看SSL/TSL协议的结构、分析SSL/TSL协议的建立过程。在访问222.249.130.131时,采用Wireshark抓取的部分通信流量,如图1所示。第7~9条消息,完成TCP的连接。客户端首先在某端口向服务器端的443端口发出连接请求,完成三次握手。第10~12条消息,客户端首先发送Client-Hello等消息,请求建立SSL/TSL会话连接;然后,服务器端发送Server-Hello、证书等消息;接着客户端发送ClientKeyExchange、ChangeCipherSpec等消息。第13~15条消息,服务器端发出的响应和ChangeCipherSpec消息,以及客户端发出应答响应消息。至此表明连接已准备好,可以进行应用数据的传输。第16条消息是由客户端发出的与另外一个服务器端的连接请求消息,与所讨论内容无关。这种情形,在抓包分析时,经常会遇到,不必受此干扰。第17~18条消息,客户端和服务器端分别关闭连接。以后再进行SSL/TSL连接时,不必产生新的会话ID,也不必交换证书、预主密钥、密码规格(cipher-spec)等会话参数。每一条消息都可以进一步打开,观看更细节的内容。ClientHello消息的内容是对相应的二进制的内容的一个分析解释,如图2所示。其他消息的格式和内容也都可以清晰地呈现,在此不一一列举。通过对SSL/TSL流量的抓取分析,可以很直观地让学生掌握如下知识点:(1)SSL/TLS协议是建立在TCP连接之上的安全协议。(2)SSL/TSL连接和会话的概念,以及连接和会话的建立过程。(3)握手协议的执行过程,各消息的先后次序,及消息的格式和内容。(4)重要的消息参数及其作用,如sessionID、数字证书、加密组件(Ciphersuite)、加密预主密钥(Premaster)等。需要说明的是,上述内容没有涉及客户端发送的证书消息,只能通过证书完成客户端对服务器的认证,没有服务器对客户端的认证。事实上,SSL/TSL是可以通过数字证书进行双向认证的。
2.2体验阶段
经过认知阶段的理论与实践学习后,需要让学生了解和掌握SSL协议应用在哪里?如何应用?可以有效防范哪些安全威胁?本阶段的实践教学内容通过配置IIS服务器中的SSL/TSL,为Web服务器和浏览器之间建立一个安全的通信通道,使学生学习和掌握SSL在Web的应用中的配置和作用,从而对SSL协议的应用有一个直接的感受和体验。学生完成IIS服务器中的SSL/TLS配置,首先需要完成CA的安装与配置[3],用于数字证书的生成、发放和管理;然后,分别为IISWeb服务器和客户端申请、安装证书;最后在服务器上配置SSL,使客户端与服务器建立SSL/TSL连接,如图3所示。该阶段的实践教学,除加深学生对SSL/TSL的理解,还使他们学会了如何进行CA服务器的图3建立https协议的访问配置、Web服务器和客户端的证书的申请,以及CA服务器对证书的颁发、安装管理等。
2.3应用阶段
通过前2个阶段的实验教学,很好地配合了SSL的理论教学,使学生对SSL/TSL协议有了更深的认识和体验。本阶段的实验教学内容,将通过利用OpenSSL,实现一个简单的SSL服务器端和客户端[4],使学生具备利用SSL/TLS协议进行通信的编程能力。OpenSSL是一个开放源代码的SSL协议实现,具有一个强大的支撑函数库,主要包括三大部分,密码算法库、SSL协议库和OpenSSL应用程序。OpenSSL提供了一系列的封装函数,可以方便实现服务器和客户端的SSL通信。该阶段的工作量较大,通常在教师指导下,由学生分组自行完成。(1)OpenSSL的编译安装。这一步骤涉及下载和安装多个软件,版本也各不相同。包括不同版本的Openssl、Perl、VC++等。一般建议学生采用自己熟悉的系统和开发平台,安装新版的OpenSSL。(2)VC++编译环境的设置。目前的参考资料大都基于VC++6.0,我们采用的是VisualC++2010开发环境。网上有许多现成的源代码,但一般很难编译、调试或执行通过。我们建议学生可以参考已有的源代码,但一定要通过自己的编译、调试、改正,得到满意的运行结果。(3)生成服务器和客户端数字证书。SSL可以通过数字证书实现服务器和客户端之间的双向或单向认证。我们建议学生利用OpenSSL的证书生成命令行工具,自行完成一遍。这一步骤若出现问题,将直接影响以后程序的顺利执行。(4)SSL/TLS编程。首先建议学生采用OpenSSL的BIO连接库,建立一个简单的服务器和客户端,仅能完成简单的TCP握手连接和通讯;然后,再加入SSL握手功能,实现一个真正意义上的简单的SSL服务器和客户端。SSL/TLS客户端和服务器端程序运行结果,分别如图4和图5所示。通过该阶段的实验教学,一方面使学生熟悉如何利用OpenSSL工具编程,实现基于SSL的安全通信;另一方面使学生了解和掌握OpenSSL在安全方面的广泛应用,最终使学生在毕业设计和未来工作中,有足够的能力提出和实现应用安全方面的解决方案。
2.4总结
提高阶段通过前3个阶段的实践教学内容,再结合课堂上的理论教学,学生对SSL/TSL协议的原理、实现和应用都有了较深的认识。由于有许多研究和实践活动受各种条件所限,不可能全部列入教学实践的内容,这个阶段的主要任务是让学生通过他人对SSL/TSL协议的研究和应用,了解SSL/TSL协议在实际应用中还存在哪些问题、如何进一步完善,其目的是训练学生具备通过别人的研究和实践活动进行高效学习的能力,同时也让学生了解一个看似成熟的协议,还存在一系列的问题,这些问题有的是协议本身存在的,有些是在实际应用中产生的。我们通过提出3方面问题,让学生去通过查阅相关资料,自己进行总结。①SSL/TSL协议的存在哪些不足?②将SSL/TSL协议与应用层和网络层的安会协议进行比较,有哪些优劣?③通过一个实际的SSL/TSL协议的应用案例,说明SSL/TSL在实际应用中还存在哪些局限,应如何进行解决?教师可向学生推荐几篇参考文献[5-6]同时鼓励学生自己查询更多有价值的文献。在此阶段,教师和学生不断进行交流和讨论,对学生提出的问题以及业内新出现的热点问题,教师要通过不断的学习和提高给学生一个满意的答案。例如2014曝出的Heartbleed漏洞,涉及OpenSSL的开源软件包,而该软件包被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用,所以漏洞影响范围广大。学生们对此漏洞非常有兴趣,作为教师要尽快查阅有关资料,了解此漏洞的产生的原因、有何危害、如何补救等。此漏洞虽然是OpenSSL的开源软件包程度存在的问题所导致的,与SSL/TSL协议本身无关,但是该漏洞的出现,提醒我们即使协议本身是安全的,在实现协议的过程中仍可能出现不安全的因素,导致安全漏洞的产生。
3实践教学效果评价
实践教学方案的教学设计是否可行和有效,需要在实际教学过程中进行检验。该实践教学方案是在多年教学基础上不断总结而教学设计的,并已在2013和2014年度的网络安全协议课程的教学中进行了实施。我们根据学生的反馈、表现以及实际教学效果,对方案的内容、难度以及方法也做了相应的调整。在方案实施过程中,教师要多与学生沟通,对所布置的作业认真检查,关注并统计学生是否有兴趣、是否努力,学生的技能是否得以改善,学生完成的情况、学生的满意度等各项指标。从对各项指标的统计来看,大部分学生对该实践教学方案比较认同,也取得了很好的效果,其中有几位学生还在毕业设计中选择了相关的毕测试。上述文档将整个测试过程显性化,实现了对缺陷解决过程的监控,有助于学生明确缺陷状态,评估所报缺陷的准确性,完善现有图式,促成自我反思与实践反馈。测试所涉及的文档和源码都将编号归档,统一存放于配置管理服务器,归档的文档被冻结,不允许修改。这些文件记录了缺陷的整个解决过程,为后期分析问题、完善解决方案、改进工作流程、反思教学设计提供了重要依据。
4结语
关键词:高校;无线;网络;设计;安全
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01
Wireless Network Design and Security Issues of China's Colleges and Universities
Chen Yiguo
(Zhejiang International Studies University,College of Information,Hangzhou310012,China)
Abstract:With information technology replacing the industrial,electronic and information technology has been extremely significant development,the traditional network cabling technology also entered into a continually wireless network to replace the development of the situation in which this paper to present our university wireless network design practice based on the application made to the university wireless LAN network design advantages of information and why, noting that China's colleges and universities wireless network security problems.
Keywords:Colleges and Universities;Wireless;Network;Design;
Security
一、我国高校无线网络设计中的组成要素
(一)无线网卡。在高校网络的设计当中,网络的布线控制是技术中最为复杂的一点,也正是为了解决这一问题,无线网卡应运而生,它是一种通过将操作系统与无线产品的接口来创建一个网络连接,主要用于短距离无线网络设备之间的通讯,我们将它以网络接口的不同类型来划分,主要可分为三类,如表1所示:
无线网卡 应用范围
PCMCIA卡 直接应用于终端设备
PCI+PCMCIA卡 主要应用于台式机器
USB适配器 以上两种类型皆可使用
表1:无线网卡分类及其应用范围
(二)无线AP。在无线网络的设计中,这是一项主要应用于无线交换机当中的核心技术,它借助于路由器的功能,能够实现我国高校无线网络中的internet共享,在使用中如果周围的环境中仍存在着其他的无线网络,应注意避免使用同样的频率段,防止冲突的发生。在进行连接时,应首先确保SSID号的设置保持与无线AP的一致性,保证能够顺利实现网络的接入,无线AP的效用半径通常取决于设备天线的置放方向与及增益情况。
(三)无线路由器。无线路由器,作为目前高校无线网络中的一个重要设备,主要是担当着两个或两个以上的局域网之间的数据传输的介质角色,能够完成网络传输中的网络层中继或第三层中继任务。
二、安全防范措施的设计
为了解决不断增长的无线上网需求与及电脑数量极其有线的矛盾,更好的将校园网络服务于全校师生,在经过了多方面全方位的分析之后,我们采用WLAN作为网络接入点对当前的网络进行重新改造,以SWL-900AP+为无线局域网桥连接器为主要接入设备,其中我们已经内置了TCP/IP的功能,这是一项可实现自动为使用用户自动分配IP地址的,可实现在网络覆盖范围内依据稳定的数据传输为用户提供更高的安全级别的网络。通常,由于实现无线通信的手段各式各样,无线上网技术也主要是以GPRS技术与3G网络为典型代表,直至目前为止,较广泛普及的是802.11b的无线网络标准,网络吞吐速率为54Mbps,同时,随着科技的发展也有了较快的提升。
在进行高校无线网络的设计时,不仅要考虑到WEP数据协议的加密问题以外,还应做好的工作有:(1)MAC地址的绑定,对非法用户的访问进行限制;(2)控制端口的访问,进行AP隔离;(3)创建一个临时用户群组,限制费制定用户的访问,图示1为高校网络设计方案。
图示1:高校网络设计方案
四、我国高校无线网络的设计完善措施
(一)要明确构建目标。在进行高校无线网络的设计时。明确构建的目标也就是要明确为什么要构建无线校园网络:
1.首先是由于传统有线网络布线工程量大,施工难度大、耗费时间较长等种种原因,使得无线网络的运用已不仅仅只是为了引进新技术的问题,而是从节约控制成本与及工程量的有效措施。2.其次是由于高校无线网络可实现教学的极大便捷性,促使教学资源的共享与整合利用,改变传统教学中的理念方法,分享更多的教学资源。3.另外,传统网络节点明显不足,无法满足高校众多师生的用网需求,炙手可热的网络接口成为目前的较大局限,有些学生自己购买了路由设备进行网络连接,错综复杂的网线布置加强了公寓管理的难度,进行无线网络的构建也是为了能够更好的解决这一问题。
(二)要结合有线网络进行方案的设计二十世纪开始。我国各高校均已陆续进行了有线局域网的架设工作,校园内的网络扩建进一步完善了我国高校的网络基础设施建设。已形成了相当的格局。而运用无线网络能够提供的服务类型多样,如WEB网络服务,FTP文件传输协议服务,Email邮件服务与及拨号服务服务等等。
五、小结
综上所述,我国高校引用无线网络来解决校园网络中存在的一系列弊端,是现代化校园的一个明显的特征,在高校的无线网络建设中,仍然存在着必然存在的安全问题,严重阻碍了我国高校网络的无线化进程。合理的进行方案设计,不仅能够大大的加快我国科学教育与及信息化教育的进程速度,有效的控制非法用户的入侵,同时,也为我国高校的建设水平提高创建了前提条件,有着十分积极的意义。
参考文献:
[1]应海盛.无线局域网的安全隐患与对策思考[J].浙江海洋学院学报(自然科学版),2008,1
论文(设计)题目:中学校园网络安全防护及对策初探---以昌吉市一中校园网络为例
1、选题来源及意义
1.1选题来源
随着信息时代的高速发展,以校园网络为平台的应用也越来越广泛,例如校园一卡通服务、办公自动化应用(OA)、教务管理、图书管理、电子邮件服务、校校通服务、网上学习等。然而在开放式网络环境下,校园网络的使用过程中面临着各种各样的安全隐患,一方面,由于使用校园网络最多的是学生和教师,学生对于网络这样的新鲜事物非常感兴趣,可能会下载一些黑客软件或带有病毒的软件,从而破坏校园网络系统,加之学生不懂得爱惜,对于暴露在外界的网络设备造成一定破坏,据统计,80%的校园网络的攻击都来自于校园网内部[1];另一方面,来自外部的网络用户对IP地址的盗用、黑客攻击、病毒攻击、系统漏洞、信息泄露等方面的隐患也会对校园网络造成破坏。综上所述,校园网络的安全问题既有内部因素,也有外部攻击。因此,如何在现有条件下,充分应用各种安全技术,有效的加强、巩固校园网络安全问题非常重要。通过笔者在昌吉市一中网络中心实习的经历,发现昌吉市一中校园网络原有方案只是简单地采用防火墙等有限措施来保护网络安全。防火墙是属于静态安全技术范畴的外围保护,需要人工实施和维护,不能主动跟踪入侵者。而管理员无法了解网络的漏洞和可能发生的攻击,严重的影响的正常的教学工作。因此针对中学校园网络安全的防护更不容轻视。[2-3]
1.2选题意义
校园网络的安全建设极其重要,源于校园网一方面为各个学校提供各种本地网络基础性应用,另一方面它也是沟通学校校园网络内部和外部网络的一座桥梁。校园网络应用遍及学校的各个角落,为师生提供了大量的数据资源,方便了师生网上教学、交流、专题讨论等活动,为教学和科研提供了很好的平台,因此存在安全隐患的校园网络对学校的教学、科研和办公管理都会造成严重的影响。根据学校的不同性质,保证网络稳定、安全和高效运行是校园网络建设的首要任务。因此做好校园网络安全的防护及相应对策至关重要,即本论文选题意义。[4]
2、国内外研究状况
2.1国外网络安全现状
由于笔者查阅文献资料的有限性,没有查到国外校园网络安全现状的资料,因此针对国外所采取的网络安全措施进行如下概述:
(1)法律法规的制定。近年来,世界各国纷纷意识到网络安全与信息安全的重要性,并制定相关的法律法规规范广大网络用户的行为。美国、俄罗斯、英国、日本、法国等其他许多国家都相继成立国家级信息安全机构,完善网络防护管理体制,采取国家行为强化信息安全建设。
(2)网络防护应急反应机制的建立。面对网络反恐、黑客、信息的泄露、网络入侵、计算机病毒及各类蠕虫木马病毒等一系列网络危机,世界各国通过建立网络防护应急反应机制。分别从防火墙技术、入侵检测系统、漏洞扫描、防查杀技术等传统的安全产品方面入手,防止各种安全风险,并加快网络安全关键技术的发展和更新.动态提升网络安全技术水平。
综上所述,网络安全的问题将随着技术的不断发展越来越受到重视。然而,网络技术不断发展的今天,网络安全问题只能相对防御,却无法真正的达到制止。[5-7]
2.2国内网络安全现状
由于我国在网络安全技术方面起步比其他信息发达国家晚,发展时间较短,技术不够纯熟,面对各种网络安全问题有些应接不暇,主要是由于自主的计算机网络核心技术和软件缺乏,信息安全的意识较为浅薄,不少事企单位没有建立相应的网络安全防范机制以及网络安全管理的人才严重缺乏,无法跟上网络的飞速发展。面对这一系列的问题,我国通过制定政策法规,如GB/T18336一2001(《信息技术安全性评估准则》)、GJB2646一96(《军用计算机安全评估准则》等来规范网络用户的使用,还通过技术方面的措施进行防护,如加密认证、数字签名、访问控制列表、数据完整性、业务流填充等措施进行网络安全的维护。然而通过技术措施进行网络维护的过程中,网络管理员对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,致使在管理、维护网络安全方面还有很大的漏洞。[5]国内网络安全整体的现状如上所述,通过大量文献的阅读,发现数据信息危害和网络设备危害是校园网络安全现在主要面临的两大问题,主要威胁有病毒的传播与攻击、黑客的入侵、信息的篡改等一系列安全隐患,通过采取加密认证、访问控制技术、防火墙、漏洞扫描等措施进行防护。[3]中学校园网络管理者如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个中学校园不可回避的问题,并且逐渐引起了各方面的重视。[8-10]
3、本选题的研究目标及内容创新点:
3.1研究目标:
本文在对当前校园网络面临的各类安全问题进行详细分析的基础上,深入、系统的探讨了目前常用的各种网络安全技术的功能以及优缺点,并以昌吉市一中等中学校园网络为研究对象,分别从中学校园网络的物理因素、技术因素、管理因素等角度分析威胁校园网络安全的因素,并结合昌吉市一中校园网络现有的条件,分别从设备管理、技术提供、管理人员意识等方面充分应用各种安全技术,有效加强、巩固校园网络安全,提出解决网络安全问题的策略及防范措施。从而综合利用各种网络安全技术保障本校的校园网络的安全、稳定、高效运行。
3.2内容创新点:
(1)通过对昌吉市一中的校园网络进行分析,并结合文献资料参考其他中学校园网络安全的问题,总结出中学校园网络安全存在常见的安全隐患,并制定出针对中学校园网络隐患所采取的防范措施。
(2)将制定出的网络安全防范措施运用于昌吉市一中校园网络,制定出真正合理的、恰当的、适合现有条件的网络安全防范措施,并对昌吉市一中的校园网络进行展望,使得校园网络可持续发展。
参考文献
[1]段海新.CERNET校园网安全问题分析与对策[J].中国教育网络,2005.03
[2]袁修春.校园网安全防范体系.[D].西北师范大学.计算机应用技术.2005,5
[3]钟平.校园网安全技术防范研究[D].广东.广东工业大学.2007,4:3
[4]蔡新春.校园网安全防范技术的研究与实现[D].软件工程2009,4
[5]董钰.基于校园网的网络安全体系结构研究与设计[D].山东.计算机软件与理论.2005,5:11-12
[6]王先国.校园网络安全系统的研究与设计.[D].南京.计算机技术.2009.12
[7]定吉安.常用网络安全技术在校园网中的应用研究[D].山东.计算机软件与理论.2011,4
[8]顾润龙.影响校园网络安全的主要因素及防范措施.[J].咸宁学院学报.2012,9(32):155-156
[9]张伯江.国外信息安全发展动向[J].信息安全动态,2002,8(7):36-38
[10]谭耀远.新世纪中国信息安全问题研究.[D].大连.大连海事大学.2011,6
一、采用的研究方法及手段(1、内容包括:选题的研究方法、手段及实验方案的可行性分析和已具备的实验条件等。2、撰写要求:宋体、小四号。)
1、文献研究法:查找文献资料时借助图书馆及网络,搜集、鉴别、整理文献。从前人的研究中得出对我们的研究有价值的观点与例证。本研究采用文献研究法的目的:
(1)查取大量校园网络安全问题常见的问题,结合昌吉市一中的校园网络现状进行分析。
(2)对国内外的网络安全防范措施进行分析,选择适合昌吉市一中校园网络安全所应对的策略。
2.访谈法:通过与昌吉市一中网络信息中心的教师交流探讨,以访谈的形式了解昌吉市一中校园网络的现状。
论文的框架结构(宋体、小四号)
第一章:绪论
第二章:影响中学校园网络安全的因素
第三章:常用的校园网络安全技术
第四章:校园网络安全建设
-----以昌吉市一中校园网络安全体系需求分析及设计
第五章:总结和展望。
论文写作的阶段计划(宋体、小四号)
第一阶段:20xx.10.1—20xx.11.20选定论文题目,学习论文写作方法及注意项;
第二阶段:20xx.11.20—20xx.12.25与孙老师见面,在孙教师的指导下,搜集材料阅读有关文献资料,按照开题报告的格式和要求完成《昌吉学院本科毕业论文(设计)开题报告》的撰写;
第三阶段:20xx.12.26—20xx.1.3写出开题报告,并与指导教师充分沟通,做好开题报告答辩准备;
第四阶段:20xx.1.5—20xx.1.13开题报告论证答辩;
第五阶段:20xx.1.17—20xx.3.25在指导教师指导下,开始毕业论文的写作,至3月25日完成初稿交指导教师;
第六阶段:20xx.3.25—20xx.3.31写出中期报告书,接受中期检查。并根据指导教师建议完成初稿的修改;
第七阶段:20xx.4.1—20xx.4.10根据指导教师建议完成二稿的修改;
第八阶段:20xx.4.11—20xx.4.20根据指导教师建议完成三稿的修改;
第九阶段:20xx.4.21—20xx.4.25完成初定稿,并复印3份交系毕业论文答辩小组;
参考文献和论文是一个整体,是不可缺少的部分,作者在文中引用了前人的研究成果就应该标注出来,然后列在论文的结尾的地方。下面是千里马网站小编采编收集的关于计算机网络论文参考文献,希望小编整理的这些文献能给大家在写作当中有所帮助。
计算机网络论文参考文献:
[1]李磊.基于计算机网络病毒的主要特性及功能的分析与研究[J].山东工业技术,2016,(01):157.
[2]丁媛媛.计算机网络病毒防治技术及如何防范黑客攻击探讨[J].赤峰学院学报(自然科学版),2012,(08):41-42.
[3]罗婷婷.网络侵害行为分析[J].湖北民族学院学报(哲学社会科学版).2015(04).
[4]刘海燕,黄睿,黄轩.基于主题爬虫的漏洞库维护系统[J].计算机与现代化.2014(08).
[5] 谭浩强.C程序设计[M].4版.北京:清华大学出版社,2010.
[6] 未来教育.全国计算机等级考试模拟考场二级C[M].成都:电子科技大学出版社,2015.
[7] 教育部考试中心.全国计算机等级考试二级教程-C语言程序设计[M].北京:高等教育出版社,2002.
计算机网络论文参考文献:
[1]姚渝春,李杰,王成红.网络型病毒与计算机网络安全[J].重庆大学学报(自然科学版),2003,26(9).
[2]吉玲峰.网络型病毒与计算机网络安全[J].计算机光盘软件与应用,2013(5).
[3]许江兰.浅谈网络型病毒与计算机网络安全[J].计算机光盘软件与应用,2011(16).
[4]伍毅强医院计算机网络设备管理及维护策略研究[J].无线互联科技,2014,1:199.
[5]汪忠乐医院计算机网络安全管理工作的维护措施[J].无线互联科技,2015,07:55-56.
[6]张波.试论医院计算机网络设备的管理措施和维护策略[J].科技创新导报,2013,24:29.
计算机网络论文参考文献:
[1]李先宗.计算机网络安全防御技术探究[J].电脑知识与技术,2015(21):33-35.
[2]罗恒辉.计算机网络信息与防御技术的应用实践刍议[J].信息与电脑,2016(2):170-171.
[3]李军.基于信息时代的网络技术安全及网络防御分析[J].网络安全技术与应用,2016(1):17-18.
[4]吴晓旭.计算机网络安全的防御技术管窥[J].智能城市,2016(4):120-121.
[5]彭龙.企业计算机网络信息安全体系的构建研究[J].科技广场,2016(5):94-98.
[6]阮彦钧.计算机网络安全隐患及防御策略探讨[J].科技与创新,2016(16):91-92.
[7]姚宏林,韩伟杰,吴忠望.计算机信息网络安全防御特征研究[J].科技创新导报,2014(21):45-46.
关键词:电子政务,信息安全,网络安全,安全模型,信息安全体系结构
一、电子政务安全体系概述 网络安全遵循“木桶原理”,即一个木桶的容积决定于它最短的一块木板,一个系统的安全强度等于它最薄弱环节的安全强度。因此,电子政务必须建立在一个完整的多层次的安全体系之上,任何环节的薄弱都将导致整个安全体系的崩溃。 同时,由于电子政务的特殊性,也要求电子政务安全环境中重要的加密/密钥交换算法等安全核心技术必须采用具有自主知识产权或原码开放的产品。
一个完整的电子政务安全体系可由四部分构成,即:基础安全设施、安全技术平台、容灾与恢复系统和安全管理,如图:
基础安全设施是一个为整个安全体系提供安全服务的基础性平台,为应用系统和网络系统提供包括数据完整性、真实性、可用性、不可抵赖性、机密性在内的安全服务。有了这一基础设施,整个电子政务的安全策略便有了实现的保证。这一平台的实现主要包括CA/PKI。
网络系统安全是一个组合现有安全产品和技术实现网络安全策略的平台。网络系统安全的优劣取决与安全策略的合理性,电子政务的网络安全策略是:划分网络安全域建立多层次的动态防御体系。
电子政务系统用户类型复杂,划分网络安全域将具有相似权限的用户划分成独立的管理域,管理域之间通过物理隔离与认证/加密技术实现有限可控的互连互通,有利于降低整个系统访问权限控制的复杂性,降低系统性风险。
基于多层次的防御体系在各个层次上部署相关的网络安全产品以增加攻击都侵入时所需花费的时间、成本和资源,从而有效地降低被攻击的危险,达到安全防护的目标。如访问控制可部署在网络层的接入路由器/VLAN交换机和应用层的身份认证系统两层之上。
网络信息安全具有动态性的特点:网络和应用程序的未知漏洞具有动态产生的特点;电子政务的应用也会动态变化、网络升级优化将导致系统配置动态更新。这些都要求我们的防御系统必须具有动态适应能力,包括建立入侵监测(IDS)系统,漏洞扫描系统和安全配置审计系统,并将它们与防火墙等设备结合成连动系统,以适应网络环境的变化。
灾难恢复系统在发生重大自然及人为灾难时能迅速恢复数据资料,保证系统的正常运行并保护了政务历史资料。电子政务的容灾与恢复系统应该采用磁带静态备份与磁盘同步备份相结合的方式。磁带静态方式用于离线保存历史记录,保证了历史信息的完整,而磁盘同步方式则用于灾难数据恢复,保护了当前系统的所有数据。
安全管理也是电子政务安全体系的重要组成部分。网络安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制定的制度包括:日常系统操作及维护制度、审计制度、文档管理制度、应急响应制度等。
二、电子政务安全体系的设计电子政务系统是一个复杂的多层次应用系统,根据不同的应用环境和安全要求一般可分为三个不同的网段:内网、专网、外网。免费论文。
内网包括内网的数据层、内网的业务层;内网数据层是政府信息的集中存储与处理的域,该域必须具有极其严格的安全控制策略,信息必须通过中间处理才能获得。内网的业务层是政府内部的电子办公环境,该区域内的信息只能在内部流动。
专网连接政府不同的部门和不同部门的上下级部门。它把部分需要各部门交换的信息进行交换。该区域负责将信息从一个内网传送到另一个内网区域,它不与外网域有任何信息交换。免费论文。
外网是政府部门的公共信息的场所,它实现政府与公众的互操作。该 域应与内网和专网隔离。
不同的网络连接示意图如下:
根据不同网络的不同安全需求,设计了如下一个电子政务的安全模型:
三、电子政务安全体系的部署
电子政务安全体系的部署应遵循确定安全需求、安全状态评估、安全策略制定(含管理制度)、安全方案设计、安全方案实施、安全制度培训的顺序进行。免费论文。前期的确定安全需求和安全状态评估是整个安全体系部署中最重要的两个步骤,它们是后续制定安全策略和方案设计的依据,决定了整个安全体系的可靠性。
全面的安全需求调查包括两个方面:系统安全的功能需求和安全置信度需求。系统安全的功能需求包括安全审计需求、安全连接需求、身份认证、信息机密需求、数据保护需求以及安全管理需求。安全置信度需求包括安全保护轮廓评估(PP)、安全目标(ST)评估、系统配置维护管理、用户手册规范、产品生命周期支持以及测试等内容。
安全状态评估通常采用五种方式来了解安全漏洞:1) 对现有安全策略和制度进行分析;2) 参照一些通用的安全基线来考察系统安全状态;3) 利用安全扫描工具来发现一些技术性的常见漏洞;4) 允许一些有经验的人在监管之下对特定的机密信息和区域做模拟入侵系统,以确定特定区域和信息的安全等级;5) 对该系统的安全管理人员和使用者进行访谈,以确定安全管理制度的执行情况和漏洞。
同时应注意的是,安全体系的部署并非一劳永逸的事情,随着系统安全状态的动态变化,应定期对系统进行安全评估和审计,搜寻潜在的安全漏洞并修正错误安全配置。
总之,电子政务的安全系统是个容复杂组织和先进IT技术于一体的复合体,必须从管理和技术两方面来加强安全性,以动态的眼光来管理安全,在严谨的安全需求分析和安全评估的基础上运用合理的安全技术来实现电子政务的整体安全。
·参考文献:
1. 电子政务总体设计与技术实现 《北京:电子工业出版社》 国家信息安全工程技术研究中心 2003
2.《国家信息化领导小组关于推进国家电子政务网络建设的意见》国信办 2006
3.电子政务安全解决方案要解决的主要问题 《信息安全与通信保密》 谭兴烈 2004
4.电子政务安全体系 《信息安全与通信保密》 邬贺铨 2003
2:吉林省森工集团信息化发展前景与规划.
3: 吉林省林业设计院网络中心网络改造与发展规划.
4: 吉林省林业系统生态信息高速公路构建课题.
二、论文撰写与设计研究的目的:
吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.
由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.
没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".
1,论文(设计)研究的对象:
拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.
2,论文(设计)研究预期达到目标:
通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.
3,论文(设计)研究的内容:
一),主要问题:
设计解决网络地域规范与现有网络资源的利用和开发.
设计解决集中单位的网络统一部署.
设计解决多类型网络的接口部署.
设计解决分散网络用户的接入问题.
设计解决远程瘦用户网络分散点的性能价格合理化问题.
设计解决具有针对性的输入设备的自动化信息采集问题.
合理部署网络服务中心的网络平衡.
优化网络服务系统,营造合理的网络平台.
网络安全问题.
10,基本应用软件整合问题.
[nextpage]
二),论文(设计)包含的部分:
1,地理模型与网络模型的整合.
2,企业内部集中部门网络设计.
3,企业内部分散单元网络设计——总体分散.
4,企业内部分散单元网络设计——远程结点.
5,企业内部分散单元网络设计——移动结点.
6,企业网络窗口(企业外信息交流)设计.
7,企业网络中心,服务平台的设计.
8,企业网络基本应用软件结构设计.
9,企业网络特定终端接点设计.
10,企业网络整合设计.
5,论文(设计)的实验方法及理由:
由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.
6,论文(设计)实施安排表:
1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.
2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.
3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.
4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).
5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.
6.论文(设计)阶段第六周次:完成结题报告,形成论文.
三,论文(设计)实施工具及参考资料:
小型网络环境,模拟干扰环境,软件平台.
吴企渊《计算机网络》.
郑纪蛟《计算机网络》.
陈济彪 丹青 等 《计算机局域网与企业网》.
christian huitema 《因特网路由技术》.
[美]othmar kyas 《网络安全技术——风险分析,策略与防火墙》.
其他相关设备,软件的说明书.
1、论文(设计)的创新点:
努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.
题目可行性说明及预期成果:
1:长春广播电视大学毕业设计题目.
2:吉林省森工集团信息化发展前景与规划.
3: 吉林省林业设计院网络中心网络改造与发展规划.
4: 吉林省林业系统生态信息高速公路构建课题.
二、论文撰写与设计研究的目的:
吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.
由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.
没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".
1,论文(设计)研究的对象:
拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.
2,论文(设计)研究预期达到目标:
通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.
3,论文(设计)研究的内容:
一),主要问题:
设计解决网络地域规范与现有网络资源的利用和开发.
设计解决集中单位的网络统一部署.
设计解决多类型网络的接口部署.
设计解决分散网络用户的接入问题.
设计解决远程瘦用户网络分散点的性能价格合理化问题.
设计解决具有针对性的输入设备的自动化信息采集问题.
合理部署网络服务中心的网络平衡.
优化网络服务系统,营造合理的网络平台.
网络安全问题.
10,基本应用软件整合问题.
[nextpage]
二),论文(设计)包含的部分:
1,地理模型与网络模型的整合.
2,企业内部集中部门网络设计.
3,企业内部分散单元网络设计——总体分散.
4,企业内部分散单元网络设计——远程结点.
5,企业内部分散单元网络设计——移动结点.
6,企业网络窗口(企业外信息交流)设计.
7,企业网络中心,服务平台的设计.
8,企业网络基本应用软件结构设计.
9,企业网络特定终端接点设计.
10,企业网络整合设计.
5,论文(设计)的实验方法及理由:
由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.
6,论文(设计)实施安排表:
1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.
2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.
3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.
4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).
5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.
6.论文(设计)阶段第六周次:完成结题报告,形成论文.
三,论文(设计)实施工具及参考资料:
小型网络环境,模拟干扰环境,软件平台.
吴企渊《计算机网络》.
郑纪蛟《计算机网络》.
陈济彪 丹青 等 《计算机局域网与企业网》.
christian huitema 《因特网路由技术》.
[美]othmar kyas 《网络安全技术——风险分析,策略与防火墙》.
其他相关设备,软件的说明书.
1、论文(设计)的创新点:
努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.
题目可行性说明及预期成果:
2、可行性说明:
关键词:入侵诱骗技术;Honeypot;网络安全
中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 04-0000-02
Application of Intrusion&Deceit Technique in Network Security
Chen Yongxiang Li Junya
(Jiyuan Vocational&Technical College,Jiyuan454650,Chian)
Abstract:At present,Intrusion Deception technology is the development of network security in recent years, an important branch, the paper generated from the intrusion deception techniques to start a brief description of its development, while popular Honeypot conducted in-depth research, mainly related to the classification of Honeypot, Honeypot advantages and disadvantages, Honeypot design principles and methods, the final will be a simple Honeypot application to specific network.
Key words:Intrusion and deceit technology;Honeypot;Network Security
近年来计算机网络发展异常迅猛,各行各业对网络的依赖已越发严重。这一方面提高了信息的高速流动,但另一方面却带来了极大的隐患。由于网络的开放性、计算机系统设计的非安全性导致网络受到大量的攻击。如何提高网络的自我防护能力是目前研究的一个热点。论文通过引入入侵诱骗技术,设计了一个高效的网络防护系统。
一、入侵诱骗技术简介
通过多年的研究表明,网络安全存在的最大问题就是目前采用的被动防护方式,该方式只能被动的应对攻击,缺乏主动防护的功能。为应对这一问题,就提出了入侵诱骗技术。该技术是对被动防护的扩展,通过积极的进行入侵检测,并实时的将可疑目标引向自身,导致攻击失效,从而有效的保护目标。
上个世纪80年代末期由stoll首先提出该思想,到上世纪90年代初期由Bill Cheswish进一步丰富了该思想。他通过在空闲的端口上设置一些用于吸引入侵者的伪造服务来获取入侵者的信息,从而研究入侵者的规律。到1996年Fred Cohen 提出将防火墙技术应用于入侵诱骗技术中,实现消除入侵资源。为进一步吸引入侵目标,在研究中提出了引诱其攻击自身的特殊目标“Honeypot”。研究者通过对Honeypot中目标的观察,可清晰的了解入侵的方法以及自身系统的漏洞,从而提升系统的安全防护水平。
二、Honeypot的研究
在这个入侵诱骗技术中,Honeypot的设计是关键。按交互级别,可对Honeypot进行分类:低交互度Honeypot、中交互度Honeypot和高交互度Honeypot。低交互度Honeypot由于简单的设计和基本的功能,低交互度的honeypot通常是最容易安装、部署和维护的。在该系统中,由于没有真正的操作系统可供攻击者远程登录,操作系统所带来的复杂性被削弱了,所以它所带来的风险是最小的。但也让我们无法观察一个攻击者与系统交互信息的整个过程。它主要用于检测。通过中交互度Honeypot可以获得更多有用的信息,同时能做出响应,是仍然没有为攻击者提供一个可使用的操作系统。部署和维护中交互度的Honeypot是一个更为复杂的过程。高交互度Honeypot的主要特点是提供了一个真实的操作系统。该系统能够收集更多的信息、吸引更多的入侵行为。
当然Honeypot也存在着一些缺点:需要较多的时间和精力投入。Honeypot技术只能对针对其攻击行为进行监视和分析,其视野较为有限,不像入俊检侧系统能够通过旁路侦听等技术对整个网络进行监控。Honeypot技术不能直接防护有漏洞的信息系统。部署Honeypot会带来一定的安全风险。
构建一个有用的Honeypot是一个十分复杂的过程,主要涉及到Honeypot的伪装、采集信息、风险控制、数据分析。其中,Honeypot的伪装就是将一个Honeypot通过一定的措施构造成一个十分逼真的环境,以吸引入侵者。但Honeypot伪装的难度是既不能暴露太多的信息又不能让入侵者产生怀疑。最初采用的是伪造服务,目前主要采用通过修改的真实系统来充当。Honeypot的主要功能之一就是获取入侵者的信息,通常是采用网络sniffer或IDS来记录网络包从而达到记录信息的目的。虽然Honeypot可以获取入侵者的信息,并能有效的防护目标,但Honeypot也给系统带来了隐患,如何控制这些潜在的风险十分关键。Honeypot的最后一个过程就是对采用数据的分析。通过分析就能获得需要的相关入侵者规律的信息。
对于设计Honeypot,主要有三个步骤:首先,必须确定自己Honeypot的目标。因为Honeypot并不能完全代替传统的网络安全机制,它只是网络安全的补充,所以必须根据自己的目标定位Honeypot。通常Honeypot可定位于阻止入侵、检测入侵等多个方面。其次,必须确定自己Honeypot的设计原则。在这里不仅要确定Honeypot的级别还有确定平台的选择。目前,对用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能够更加广泛的收集入侵者的信息,获取需要的资料。在平台的选择上,目前我们选择的范围很有限,一般采用Linux系统。其原因主要是Linux的开源、广泛应用和卓越的性能。最后,就是对选定环境的安装和配置。
三、Honeypot在网络中的应用
为更清晰的研究Honeypot,将Honeypot应用于具体的网络中。在我们的研究中,选择了一个小规模的网络来实现。当设计完整个网络结构后,我们在网络出口部分配置了设计的Honeypot。在硬件方面增加了安装了snort的入侵检测系统、安装了Sebek的数据捕获端。并且都构建在Vmware上实现虚拟Honeypot。在实现中,主要安装并配置了Honeyd、snort和sebek.其Honeypot的结构图,见图1。
图1 Honeypot结构图
四、小结
论文从入侵诱骗技术入手系统的分析了该技术的发展历程,然后对入侵诱骗技术中的Honeypot进行了深入的研究,主要涉及到Honeypot的分类、设计原则、设计方法,最后,将一个简易的Honeypot应用于具体的网络环境中,并通过严格的测试,表明该系统是有效的。
参考文献
[1]蔡芝蔚.基于Honeypot的入侵诱骗系统研究[M].网络通讯与安全,1244~1245
[2]杨奕.基于入侵诱骗技术的网络安全研究与实现.[J].计算机应用学报,2004.3:230~232.
[3]周光宇,王果平.基于入侵诱骗技术的网络安全系统的研究[J].微计算机信息,2007.9
[4]夏磊,蒋建中,高志昊.入侵诱骗、入侵检测、入侵响应三位一体的网络安全新机制
[5]Bill Cheswick. An Evening with Berferd In Which a Cracker is Lured,Endured,and Studied.Proceedings of the Winter 1992 Usenix conference,1992
[6]Fred Cohen.A Mathematical Structureof Simple Defensive Network Deceptions[J],Computers and Security,2000.19
关键词:网络安全;网络攻击;安全管理
1. 引言
近年来随着网络技术的快速发展,计算机网络已经广泛应用于生产、生活的各个领域。在网络技术发展的同时网络安全也越来越重要了。越来越多的攻击实例告诉我们必须重视网络安全。由于网络具有开放性的特点,并且许多网络协议在设计之初就没有考虑到安全问题导致目前网络安全形势严峻。论文试图从我们日常工作、生活的细节入手,简要的介绍一些加强网络安全的有效措施,目的是提高网络的安全性,确保网络为我们高效、安全的服务。
2. 网络安全简介
网络安全是随着计算机网络发展产生的,它在整个计算机安全中占据重要的地位。近年来网络攻击的实例越来越多,究其主要原因可以归纳为:网络自身的安全缺陷、网络攻击技术的不断发展、安全管理方面的失误等方面。有些原因是我们无法克服或回避的,在此我们重点研究与我们生活密切相关的影响网络安全的因素。通过对众多案例的研究可以发现:操作系统平台的安全缺陷是导致网络安全失效的一个重要原因;用户在密码管理和设置上的失误是网络安全的常见因素;安全管理上的失误是网络安全的一个重要隐患;以及其他一些因素都对网络安全产生极大的影响。网络安全面临的主要有:病毒攻击;网络入侵;密码窃取以及远程控制等多个方面。面对严峻的网络安全形势我们在生活和工作中要如何克服或尽最大努力减小损失?这是一个十分重要的问题。我们必须认真研究,采取有效措施。
3. 在应用中需要采取的安全措施
面对严峻的网络安全形势,我们在应用中如何有效的加以克服,笔者试图从以下几个方面来论述。
1.选用安全的操作系统平台,并加强保护。操作系统是整个网络运行的基础,是确保安全的基础平台。一旦操作系统存在安全问题必然造成严重的损失。所以,在操作系统的选择上尽可能的选择高安全的操作系统,当然对于普通用户来讲也必须兼顾友好的交互性。目前主流的操作系统包括微软公司的Windos系列和UNIX、Linux等。就安全性来讲,UNIX、Linux具有很好的性能。这主要归功于它们的设计思想。以Linux为例,Linux主要特点可归纳为安全、高效。可见Linux在设计之初就将安全性考虑到了甚至被作为最重要的指标之一。所以选用这样的操作系统就能有效的提高安全性。同时由于目前的病毒主要是针对软公司的Windos系列设计的,在Linux平台下根本就不能运行,从这个角度来看Linux在病毒防护上具有很好的优势。笔者曾经应用Linux的这个特点清除过许多病毒,有效的挽救了许多重要资料。
如果用户由于操作的友好性方面选择了Windos系列,只要能采取积极有效的措施也能确保系统的高安全运行。Windos系列的一个主要缺点就是存在很多安全漏洞,并且大家对其比较熟悉,所以众多的病毒以及网络攻击都是针对它开发的。但是,只要我们采用积极地安全措施如安装好防护墙、杀毒软件以及实时打好补丁还是能安全运行的。在实际应用中,我们要求杀毒软件必须实时更新,并且如果出现病毒不能被查杀可以更换杀毒软件,确保系统的清洁、安全。并且在工作中要关注微软的补丁通告,及时安装补丁,确保安全。
2.提高安全意识,保护网络安全。在前文已经论述网络安全主要有:病毒攻击;网络入侵;密码窃取以及远程控制等多个方面。明白了这些,我们再来思考一下出现安全的原因或者是为什么别人会攻击你,目的是什么,无非有这些:让你的系统不能工作、窃取你的资料等等。那么我们在具体的工作应用中就必须采取相应的措施。一方面要安全上网。安全上网主要是指尽可能不上一些可能存在病毒的一些网站,同时关闭系统中的一些端口预防系统受到攻击。另一方面是提高警惕,确保关键信息的安全。不要在非安全的网络环境中输入一些重要的密码或存取关键文件。现在有许多“钓鱼”网站,以窃取用户的关键密码为目的。如有些网站模仿银行的网站,骗取用户的卡号和密码,从而盗窃用户的钱财。这样的实例实在是举不胜举。当然,在生活中也不要随意安装一些免费软件,某些不法分子在软件中隐藏一些“木马”,这样能随时窃取用户的关键信息,甚至控制用户的机器,进而做进一步的非法操作。总之,在日常网络操作中要提高警惕,确保关键信息的安全。
3.加强管理,确保信息安全。一个企业的网络安全十分重要,特别是像银行这样的金融企业尤为突出。通过对多个网络安全事件的剖析,我们可以看到安全管理对企业的网络安全具有十分重要的作用。一个攻击者想要有效的对像金融企业这样十分重视网络安全的对象,并非易事。那么他们通常会怎么做?他们一般是一方面扫描对象,目的是找出网络漏洞,另一方面是积极地收集对象员工的信息,通过跟踪他们就能获取一些十分有价值的信息,从而有效攻击对象。他们可以跟踪对象内部员工,从而让系统感染病毒,或套取员工密码直接进入系统。以及其它一些类似的手段。通过近年的案例可以看出,这是一种十分有限的方法。那么我们在实际的网络应用中,如何加强安全管理?一方面,加强安全意识教育,确保员工能时时注意安全。另一方面,必须制定一套严格的操作规范,确保安全。在安全教育上,要求在涉及到企业信息安全的事情上一定要规范操作,不能随意处理,防止信息泄露。在密码设置上,要求规范设置,防止被入侵者猜测到。甚至对某些关键的信息,采取生物特征识别方式,提高密码的高安全性。并要求定期更换密码,防止密码失窃。在安全规程的制定上,要根据企业的具体特点设置便于操作执行的有效规程,并要严格执行。对在执行中不规范的行为要严肃处理,维护规程的严肃性。
4.定期对系统进行安全“体检”。为了进一步的提高网络的安全性,确保关键信息的被有效保护,必须定期对系统进行安全“体检”。通过定期的“体检”和对安全日志的深入分析,找出系统潜在的风险并及时采取有效措施。通过安全日志的分析,研究者能够清晰的掌握整个系统的网络访问过程,并对异常访问做出有效的判断,甚至对 一些违规的操作做出及时的处理,目的就是预防潜在的威胁。例如通过对系统的安全体检可以找出一些入侵者前期的调查活动,从而及是的采取防范措施。近年来,通过对系统进行安全“体检”以及对安全日志的深入分析,已经极大的提高了系统的安全性,保证了网络的高效运行。
通过上面的研究,我们可以发现网络安全是一个十分重要又繁琐的事情,在日常的工作、生活中,我们要严格按照相关安全规程操作才能有效的保护网络,确保信息的高安全、高稳定运行。
4. 结论
随着计算机网络在我们日常生活的广泛应用,它已成为确保社会高效运行的重要部分。然而,由于网络自身的问题以及许多人为的因素导致目前计算机网络面临巨大的安全威胁。为了确保计算机网络的安全运行,我们必须采取有效的安全措施。论文从普通用户应用计算机网络的角度出发,系统的论述了提高计算机网络安全采取的有效措施。其中,选用高安全的操作系统是提高网络安全的基础;提高用户的安全意识是确保网络安全的重要措施;加强安全管理能从根本上杜绝内部信息的泄露,保证关键信息的安全;定期对系统进行安全“体检”,能消除潜在威胁,提高系统的安全。总之,只要我们在具体的网络应用中严格遵循安全规范就能有效保护信息,提高系统的安全。
参考文献:
1.邓崧,彭艳.用OCTAVE方法分析屯子政务系统的信息安全【J】.情报杂志,2006,25(1):75—77.
论文摘要:随着网络技术的飞速发展和广泛应用,信息安全问题正日益突出显现出来,受到越来越多的关注。文章介绍了网络信息安全的现状.探讨了网络信息安全的内涵,分析了网络信息安全的主要威胁,最后给出了网络信息安全的实现技术和防范措施.以保障计算机网络的信息安全,从而充分发挥计算机网络的作用。
论文关键词:计算机,网络安全,安全管理,密钥安全技术
当今社会.网络已经成为信息交流便利和开放的代名词.然而伴随计算机与通信技术的迅猛发展.网络攻击与防御技术也在循环递升,原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁.网络安全已变成越来越棘手的问题在此.笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。
1网络信息安全的内涵
网络安全从其本质上讲就是网络上的信息安全.指网络系统硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全状态可见.网络安全至少应包括静态安全和动态安全两种静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性:动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。
2网络信息安全的现状
中国互联网络信息中心(CNNIC)的《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,中国网民数达到2.98亿.手机网民数超1亿达1.137亿。
Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示.2006年中国(大陆)病毒造成的主要危害情况:“浏览器配置被修改”是用户提及率最高的选项.达20.9%.其次病毒造成的影响还表现为“数据受损或丢失”18%.“系统使用受限”16.1%.“密码被盗”13.1%.另外“受到病毒非法远程控制”提及率为6.1%“无影响”的只有4.2%。
3安全防范重在管理
在网络安全中.无论从采用的管理模型,还是技术控制,最重要的还是贯彻始终的安全管理管理是多方面的.有信息的管理、人员的管理、制度的管理、机构的管理等.它的作用也是最关键的.是网络安全防范中的灵魂。
在机构或部门中.各层次人员的责任感.对信息安全的认识、理解和重视程度,都与网络安全息息相关所以信息安全管理至少需要组织中的所有雇员的参与.此外还需要供应商、顾客或股东的参与和信息安全的专家建议在信息系统设计阶段就将安全要求和控制一体化考虑进去.则成本会更低、效率会更高那么做好网络信息安全管理.至少应从下面几个方面人手.再结合本部门的情况制定管理策略和措施:
①树立正确的安全意识.要求每个员工都要清楚自己的职责分工如设立专职的系统管理员.进行定时强化培训.对网络运行情况进行定时检测等。
2)有了明确的职责分工.还要保障制度的贯彻落实.要加强监督检查建立严格的考核制度和奖惩机制是必要的。
③对网络的管理要遵循国家的规章制度.维持网络有条不紊地运行。
④应明确网络信息的分类.按等级采取不同级别的安全保护。
4网络信息系统的安全防御
4.1防火墙技术
根据CNCERT/CC调查显示.在各类网络安全技术使用中.防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜.易安装.并可在线升级等特点防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况.以此来实现网络的安全保护。
4.2认证技术
认证是防止主动攻击的重要技术.它对开放环境中的各种消息系统的安全有重要作用.认证的主要目的有两个:
①验证信息的发送者是真正的主人
2)验证信息的完整性,保证信息在传送过程中未被窜改、重放或延迟等。
4.3信息加密技术
加密是实现信息存储和传输保密性的一种重要手段信息加密的方法有对称密钥加密和非对称密钥加密.两种方法各有所长.可以结合使用.互补长短。
4.4数字水印技术
信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中.然后通过公开信息的传输来传递机密信息对信息隐藏而吉.可能的监测者或非法拦截者则难以从公开信息中判断机密信息是否存在.难以截获机密信息.从而能保证机密信息的安全随着网络技术和信息技术的广泛应用.信息隐藏技术的发展有了更加广阔的应用前景。数字水印是信息隐藏技术的一个重要研究方向.它是通过一定的算法将一些标志性信息直接嵌到多媒体内容中.但不影响原内容的价值和使用.并且不能被人的感觉系统觉察或注意到。
4.5入侵检测技术的应用
人侵检测系统(IntrusionDetectionSystem简称IDS)是从多种计算机系统及网络系统中收集信息.再通过这此信息分析入侵特征的网络安全系统IDS被认为是防火墙之后的第二道安全闸门.它能使在入侵攻击对系统发生危害前.检测到入侵攻击.并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中.能减少入侵攻击所造成的损失:在被入侵攻击后.收集入侵攻击的相关信息.作为防范系统的知识.添加入策略集中.增强系统的防范能力.避免系统再次受到同类型的入侵入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术.是一种用于检测计算机网络中违反安全策略行为的技术。
关键词: 江苏电大张家港学院 网络改造 案例分析
江苏电大张家港学院是省电大直属二级学院,地处苏州市张家港市,教学规模涵盖五年全日制、三年全日制、业余成人开放及远程教育、社区教育。2008年9月在市政府大力支持下,并购一所学校作为我校的北校区,逐步形成一校两区,全日制、业余、社区三个教育主体均衡发展的基本模式。
江苏电大张家港学院本部设立在北校区,主要负责全日制非毕业班的教学工作,地处合兴镇镇中,南校区主要负责全日制毕业班、成人业余和社区教育的教学,地处张家港市市委所在地杨舍镇,地理条件优越,适合成人教育。
学院及其网络的现状如下表所述。
一、现有网络运行的限制因素
需要面对承载更多业务的迫切需求,如视频会议、IP电话、学院网一卡通、VoIP等对网络有较高要求或指定要求的应用的部署,不同的业务需要网络部署不同的应用功能,PtoP等应用程序往往需要更改网络流量模型、更改会话链接模型的情况,凡此种种的需求均给网络带来不稳定的因素。
网络的安全性和稳定性还需要不断地提高标准,因为攻击事件主要是病毒感染、黑客入侵、蠕虫和木马、垃圾邮件侵扰、拒绝服务攻击等,其引起的安全事故时有发生。攻击的来源有外部也有内部,并且随着时间的推移,由内部因素引发的安全事故数量正不断增多,尤其是由青年学生集中的高校特别突出,而布置的杀毒软件、IDS等防护手段难以全面兼顾,局部的安全事故往往会影响到网络的整体安全。
二、改造方案模型设计
本方案考虑用思科SAFE蓝图使用的体系结构来定义学院网的模型,该模型使网络内的功能界线更加清晰,这个模型中存在三个功能区:学院园区、学院边界和服务供应商边界,每个功能区包括多个网络模块,网络模块又包括多个层面。
模型设计时参照的几个要点,可以提高模型设计的层次:
(1)访问层使用两层交换机,分布层和核心层使用三层交换机。
(2)VLAN不应该跨园区网,因为这会降低网络收敛的速度。
(3)对于较大的学院网络,需要有单独的分布层,这样便于扩大网络规模。
(4)核心层需要冗余链路,当然也建议在核心层到分布层、分布层到接入层之间设计冗余链路。
综合需求分析,我们将使用适当层次结构的学院复合网络模型。模型含有学院园区、学院边界和服务供应商边界三个功能区。每个功能区还可以进一步划分为多个模块,如下图所示。每个模块包括核心、分布和接入功能。
远程用户和南北校区将在互联网上使用VPN进行通信,因此在该模型中没有提供WAN或中继/ATM模块。以下将提供北校区、南校区和远程用户提供相应的冗余设计模型,然后会对用户设备及服务器进行描述。
三、学院网的拓扑结构
现教中心子网、图书馆子网、宿舍区子网和核心交换机之间采用三层路由方式。其他汇聚层交换机与核心交换机之间采用VLAN Trunk方式。
该设备选型方式完全可以满足2000台计算机的高速接入,并可实现对每台交换机和每个端口的管理和监控,实现VLAN划分、身份认证、组播、服务质量等各种网络应用,实现数据的无堵塞传输。
今后如果想要提高网络的稳定性,可以采用模型设计中的样式实现与所有汇聚层交换机的双链路连接,并借助HSRP技术实现路由冗余。
四、IP地址和VLAN的规划
IP地址的合理规划是网络设计中的重要一环,计算机网络必须对IP地址进行统一规划并得到实施。IP地址的规划,直接影响路由协议算法的效率、网络的性能、网络的扩展、网络的管理,也直接影响网络应用的进一步发展。
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由类聚,减少路由中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时遵循以下原则:
(1)唯一性:一个网络中不能有两个主机采用相同的IP地址。
(2)简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项。
(3)连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩短路由表,提高路由算法的效率。
(4)可扩展性:地址分配在每一层上都要留有余地,在网络规模扩展时能保证地址的连续性。
(5)灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分的利用地址空间。
(6)当网络以私有地址分配接入时,网络应采用地址转换功能(NAT),过滤掉私网地址。
下表表述了VLAN和IP地址分配。
五、结语
张家港学院网络系统改造方案中运用设计流程规范,择取需求分析和方案设计两个部分来进行阐述,详细描写了分析和设计阶段的工作,运用思科的SFAE概念来规范网络,使得设计成型的网络具备更好的规范性和扩展性,同时在网络中思科配套设备的广泛使用,使得整个系统在SAFE概念下高度集成,充分发挥思科设备的整体协调性。
SAFE蓝图的安全理念主要体现在三点:其一,真正能够确保网络安全的不是一个个单点的产品,而是一个完整的安全体系。这个体系的实施建立在对网络的深入的模块化分析基础之上,通过弄清网络中各个模块的薄弱环节,然后再有针对性地采用深度防御的战略。其二,模块化的分析方法可以使网络结构和安全部署一目了然,可以避免在网络安全方面的重复建设和遗漏空白。同时这种模块化的分析方法还可以保证网络的可扩展性。其三,安全性是过程而不是产品。由于网络处于一个不断变化的过程中,因此网络安全也是一个动态的、循环提升的过程,这就决定网络安全策略的制定和实施必将是一个持续的、动态的过程,而不是单纯地“将防火墙放在这儿,将入侵检测系统放在那儿”。
参考文献:
[1]仲炜.高校数字化校园网络系统设计与规划.中国海洋大学硕士论文,2006.
[2]张海涛.移动自组织网络(MANET)路由协议研究与改进.北京邮电大学硕士论文,2006.
[3]胡敏.探询校园网新药.中国计算机用户,2009.
[4]疏志年.校园网网络安全体系研究.南京理工大学硕士论文,2010.
【关键词】计算机网络;信息安全;防火墙;安全技术
随着计算机互联网技术的飞速发展,网络信息化在给人们带来种种物质和文化享受的同时,我们也正受到日益严重的来自网络的安全威胁。尽管我们已经广泛地使用各种复杂的安全技术,但是,仍然有很多黑客的非法入侵,对社会造成了严重的危害。针对各种来自网络的安全威胁,怎样才能确保网络信息的安全性。本文通过对网络安全存在的威胁进行分析,总结出威胁网络安全的几种典型表现形式,进而归纳出常用的网络安全的防范措施。
一、计算机网络安全存在的隐患
众所周知,Internet是开放的,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
1.每一种安全机制都有一定的应用范围和应用
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
2.安全工具的使用往往受到人为因素的影响
一个安全工具能不能实现效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。比如操作员安全配置不当造成系统存在安全漏洞,用户安全意识不强,口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。
3.系统的后门和木马程序
从最早计算机被入侵开始,黑客们就已经发展了“后门”技术,利用后门技术,他们可以再次进入系统。后门的功能主要有:使管理员无法阻止;种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少的时间。木马,又称特洛伊木马,是一类特殊的后门程序,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
4.只要有程序,就可能存在BUG
任何一款软件都或多或少存在漏洞,甚至连安全工具本身也可能存在安全的漏洞。这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。
二、计算机网络安全的防护策略
尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全:
1.防火墙技术
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
2.数据加密
采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。主要存在两种主要的加密类型:私匙加密和公匙加密。
3.虚拟专用网(VPN)技术
虚拟专用网(VPN)技术利用现有的不安全的公共网络建立安全方便的企业专业通信网络,使数据通过安全的“加密管道”在公共网络中,是目前解决信息安全问题的一个最新、最成功的技术课题之一。在公共网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。VPN有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。由于VPN技术可扩展性强,建立方便,具有高度的安全性,简化了网络技术和管理,使费用降到最低,因而,逐渐成为通用的技术。
4.入侵检测系统
入侵检测技术是为保证系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测中违反安全策略行为的技术。它是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。本论文从多方面描述了网络安全的防护策略,比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
参考文献:
[1]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003
参考文献是说论文在写作过程当中引用的文献资料,是有准确的收藏地点的文本和档案等,论文中引用的顺序用阿拉伯数字加方括号依次书写在论文的末尾。下面是学术参考网的小编整理的关于信息化论文参考文献,供大家阅读借鉴。
信息化论文参考文献:
[1]边志新.管理会计信息化探讨[J].经济研究导刊,2012
[2]康世瀛,刘淑蓉.信息化时代现代管理会计的发展的若干重要问题[J].华东经济管理,2001
[3]彭炳华,信息化在管理会计中的作用.当代经济,2015(6).
[4]李红光,信息化环境下的管理会计探讨.管理观察,2012(7):p.213-214
[5]张继德,刘向芸.我国管理会计信息化发展存在的问题与对策[J].会计之友旬刊,2014,
[6]毕克新,等.制造业企业信息化与工艺创新互动关系影响因素研究[J].中国软科学,2012(10).
[7]赵迪.浅析信息时代设计的特点[J].吉林工程技术师范学院学报,2013(04).
信息化论文参考文献:
[1]陈娅娜,鞠颂东.敏捷供应链下库存管理的财务影响[J].物流科技,2008.5.
[2]张琪.基于供应链管理的会计信息系统的设想[J].会计之友(下旬刊),2008.4.
[3]曹军.论供应链管理下新会计信息系统的构建[J].天津财经大学学报,2007.10.
[4]周学广等.信息安全学.北京:机械工业出版社,2003.3
[5](美)MandyAndress著.杨涛等译.计算机安全原理.北京:机械工业出版社,2002.1
[6]曹天杰等编著.计算机系统安全.北京:高等教育出版社,2003.9
[7]刘衍衍等编著.计算机安全技术.吉林:吉林科技技术出版社.1997.8
[8](美)BruceSchneier著,吴世忠等译.应用密码学-协议、算法与C语言源程序.北京:机械工业出版社,2000.1
[9]赖溪松等著.计算机密码学及其应用.北京:国防工业出版社.2001.7
[10]陈鲁生.现代密码学.北京:科学出版社.2002.7
[11]王衍波等.应用密码学.北京:机械工业出版社,2003.8
信息化论文参考文献:
[1]石志国等编著.计算机网络安全教程.北京:清华大学出版社,2004.2
[2]周海刚,肖军模.一种基于移动的入侵检测系统框架,电子科技大学学报.第32卷第6期2003年12月
[3]刘洪斐,王灏,王换招.一个分布式入侵检测系统模型的设计,微机发展.第13卷,第1期,2003年1月.
[4]张然等.入侵检测技术研究综述.小型微型计算机系统.第24卷第7期2003年7月
[5]吕志军,黄皓.高速网络下的分布式实时入侵检测系统,计算机研究与发展.第41卷第4期2004年4月
[6]韩海东,王超,李群.入侵检测系统实例剖析北京:清华大学出版社2002年5月
[7]熊华,郭世泽.网络安全——取证与蜜罐北京:人民邮电出版社2003年7月
[8]陈健,张亚平,李艳.基于流量分析的入侵检测系统研究.天津理工学院学报,2008。