时间:2023-06-01 09:47:41
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全技术,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:“网格网格安全安全技术Globus
一、引言
网格(Grid)技术是近年来国际上信息技术领域的热门研究课题,是以互联网为基础的一门新兴技术。网格是高性能计算机、数据源、因特网三种技术的有机组合和发展,它把分布在各地的计算机连接起来,使用户分享网上资源,感觉如同个人使用一台超级计算机一样。从数量上说,网格的带宽更高,计算速度和数据处理速度更快,结构体系比现有的网络更能有效地利用信息资源。简而言之,网格是一种信息社会的网络基础设施,它将实现互联网上所有资源包括计算资源、存储资源、通信资源、软件资源、信息资源、知识资源等在内的互联互通。
网格技术的最大优点之一是有利于实现地理上广泛分布的各种计算资源和数据资源的共享,但这些共享必须建立在安全访问的基础上。由于网格技术的大规模、高速、分布、异构、动态、可扩展等特性,使得安全问题成为网格技术得到普遍使用的一大阻碍,并且随着网格逐渐从实验和科研阶段进入商业领域,解决网格环境中的安全问题已经成为当务之急。
二、网格安全的特殊性
Internet的安全保障主要提供两方面的安全服务:(1)访问控制服务,用来保护各种资源不被非授权使用;(2)通信安全服务,用来提供认证,数据保密与完整性,以及通信端的不可否认。但这两个安全服务不能完全解决网格系统的安全问题。网格系统必须具有抗拒各种非法攻击和入侵的能力,确保系统的正常高效运行和保证系统中的各个信息的安全。因此,网格系统的安全问题的覆盖面更广,解决方案也更加复杂。
一个网格系统的网格安全体系在考虑Internet安全问题之外,还必须考虑网格计算环境的如下特征:(1)网格计算环境中的用户数量很大,且是动态可变的;(2)网格计算环境中的资源数量很大,且是动态可变的;(3)网格计算环境中的计算过程可在其执行过程中动态请求,启动进程和申请、释放资源;(4)一个计算过程可由多个进程组成,进程间存在不同的通信机制,底层的通信连接在程序的执行过程中可动态地创建并执行;(5)资源可支持不同的认证和授权机制;(6)用户在不同的资源上可有不同的标识;(7)资源和用户属于多个组织。正是由于网格计算环境的特殊性,因此在设计网格安全机制时特别要考虑计算环境的动态主体特性,并要保证网格计算环境中不同主体之间的相互鉴别和各主体间通信的保密性和完整性。
三、网格环境中面临的安全问题
网格环境中所面临的安全性问题可以大致分为3类:现有技术和安全协议的集成及扩展;不同主机环境之间协同工作的能力;相互影响的主机环境之间的信任关系。
1.现有技术的集成及新技术的发展
不论是出于技术原因还是其他原因,期望某一种安全技术来解决所有网格计算的安全问题是不现实的。现有的安全架构不可能在一夜之间被取代。例如:网格环境中的每一个域可能有一个或多个用来存放用户账户的寄存器(如:LDAP目录),这些寄存器是不可能与其它组织或域共享的。同样,现有环境中被认为安全可靠的认证机制也会继续使用。因此,这些倾向于使用单一模式或机制的技术不大可能轻易被取代。
为了获得成功,网格安全体系结构需要过度到对现有安全体系结构和跨平台、跨主机模式的集成。这意味着该体系结构可由现有的安全机制来实现,同时,要有可扩展性和可集成性。
2.协同工作的能力
穿越多个域和主机环境的服务需要能够互相影响,协同工作。协同工作能力主要表现在下面几个层面:
(1)协议层:即消息传输过程中需要保证消息的完整性和保密性并对消息进行数字签名,这就需要安全的域间交换信息的机制,比如附加了WS-Security规范的SOAP/HTTP。
(2)策略层:为了进行安全的会话,参与协同工作的每一方必须能够详细说明它要求的任何策略比如隐私权策略,要求使用特定的加密算法(如tripleDES)等,同时这些策略也能容易地被其他方所理解。这样,各方才能尝试建立安全的通信信道和有关互相认证、信任关系的安全语义。
(3)身份鉴定层:在进行交互的过程中需要有在不同域间相互鉴别用户身份的机制。由于网格环境中交互的动态性,一种确定的身份不能被预先定义成跨越多个域。为了在安全环境中成功实现跨越多个域,必须要实现身份和信任的映射,这可以通过建立相应的身份服务来完成。
3.信任关系的建立
网格服务需要跨越多个安全域,这些域中的信任关系在点对点的跨越中起着重要的作用。每一种服务要将它的访问要求阐述清楚,这样,需要访问这些服务的实体就可以安全地访问。端点间的信任关系应该用策略来清楚地描述。信任的建立过程对每个会话来说或许是一次性的活动,也有可能对于每一次请求都要动态地进行评估。由于网格的动态特性,有些情况下不可能在应用程序执行前预先在这些域中建立信任关系。总之,网格环境中的信任关系非常复杂,它需要支持动态的、用户控制的配置和瞬间服务的管理。瞬间服务是用户为了执行特定请求任务而生成的,这些任务甚至包括用户代码的执行。
这3方面的安全性问题间的依赖关系如图1所示,每一个问题的解决通常依赖于另一问题的解决,比如不同虚拟组织间为了获得相互协作的联合信任就依赖于定义在虚拟组织内部的信任模型及服务集成标准。而定义一个信任模型又是相互协作的基础但同时又独立于协作的特性,同样,服务集成及扩展标准暗含了信任关系标准也和协作操作有关。
四、安全需求
网格系统及其应用可能需要任何或全部的标准安全功能,包括鉴别、访问控制、完整性、保密性和不可抵赖性。这里主要论述鉴别和访问控制问题,特别地我们希望解决:提供鉴别解决方案,允许用户完成计算的进程和这些进程所使用的资源彼此相互验证;在任何时候都尽可能地不改变访问控制机制。鉴别是安全策略的基础,使得各个局部安全策略被集成为一个全局框架结构。
要开发一个满足这些要求的安全体系结构,需要满足以下限制条件:
单一密钥,网格计算环境需要一种机制对密钥进行统一管理,以实现不同域之间的有效访问控制。
信用数据的保护,众多用户的私钥、口令等要确保万无一失。
与本地安全机制的互操作,不必改变每个本地资源的安全策略,就可借助跨域的安全服务器方便地访问各地资源。
可输出性,要求在不同国家的试验床上代码是可提供、可执行,也就是安全策略不应直接或间接要求过多的加密。
证书结构的一致性,为了不同域、不同类型用户之间的认证,统一规范的格式是必须的。
支持动态群组通信,网格计算中,时常会有临时的组队需求,目前的安全机制(即使是GSS-API)不具备这样的特点。
支持多种实现技术,安全策略应该不局限于特定的实现技术,应该对包括公钥、秘密钥等多种安全技术有包容性。
五、网格安全技术
目前,网格安全技术主要有:密码技术,安全传输技术,安全认证技术,访问控制技术和WebServer安全技术。密码技术是以保护信息传递的机密性、获得对所发出或接收信息在事后的不可抵赖,以及保障数据的完整性为目的。根据加密密钥类型的不同将密码技术分为两类:对称加密系统和非对称加密系统。安全传输技术主要有SSL/SSH,IPSEC/IPv6,S/MIME,这些技术保证了数据安全有效的传输。安全认证技术主要包括PKI和Kerberos,其中PKI(PublicKeyInfracture)技术是目前应用最广泛的网格安全技术,即公开密匙基础设施。它是用一个公钥(PublicKey)概念和技术来实施和提供安全服务的具有普适性的安全基础设施。而在PKI系统中,CA(CertificateAuthority)是一个域中的认证中心,是一个可信任的第三方机构。用户之间的通信和验证都依赖CA所颁发的证书。
访问控制技术主要有自主型访问控制(discretionaryaccesscontrol,DAC),强制型访问控制(mandatoryaccesscontrol,MAC),基于角色的访问控制(role-basedaccesscontrol,RBAC),防火墙等。WebService安全技术中,WebService由WSDL(WebServiceDescriptionLanguage)进行描述,处理由XML编码的SOAP信息。WS-Security为WebServices提供全面保证。
六、网格安全的一种具体解决方案
Globus是目前国际上最具影响的网格计算项目之一,它是由多个机构联合开发的项目,力图在科学计算领域和商业领域对各种应用进行广泛的、基础性的网格环境支持,实现更方便的信息共享和互操作。
GSI(GridSecurityInfrastructure,网格安全基础设施)是Globus的安全基础构件包,也是保证网格计算安全性的核心。GSI支持用户、资源、认证机构和协议的实现。
GSI的主要目标是要为多个网格系统和应用程序提供单点登录,提供可以在多个组织之间使用而不要求集中管理授权的安全技术,以及在同一网格中的多个不同元素之间提供安全的通信机制。
为了对协议和机制进行隔离(如图2),GSI采用GSS—API(GenericSecurityServiceApplicationProgramminginterface)作为其安全编程接口。GSS—API定义提供了通用的安全服务,支持各种安全机制和技术,还支持应用程序在源码级的可移植性,GSS—API主要面向主体之间的安全鉴别和安全通信操作,它提供的功能包括:获得证书、执行安全鉴别、签署消息和加密消息等。
GSS—API在安全传输和安全机制上是独立的,这体现在两个方面:
(1)传输独立性。GSS不依赖于特定的通信方法或通信库,而且某个GSS调用会产生一系列的标记并进行通信,目前可支持TCP、UDP等通信协议。
(2)机制独立性。GSS不依赖于特定的安全算法,如Kerberos、DES、RSA公钥密码。它是根据安全操作过程定义相应的函数,每个操作可通过不同的安全机制来实现。
GSS—API符合简单公钥机制SPKM(SimplepublicKeyMechanism)。而SPKM的密钥管理与X.509兼容。GSS—API支持在安全上下文建立过程中的安全授权数据通信,当然,它也支持其他的安全机制。为了保证对通信内容的保密性和高效性,可对通信内容进行加密,提供某种程度的服务并保证质量。
Globus项目的GSI是解决网格计算中安全问题的一个集成方案,已经成功应用于一个连接4个国家近20家机构的实验网。GSI的特点在于在保证网格计算安全性的同时,尽量方便用户和各种服务的交互。GSI还充分利用了现有的网络安全技术并对其中某些部分进行了扩充,使得GSI在网格计算环境下拥有一个一致的安全性界面,极大地方便了网格应用的开发和使用。
七、结束语
在网格环境中,安全问题比一般意义上的网络安全问题的覆盖面更广,解决方案也更加复杂,只有在实践中摸索出切实、可靠的安全策略,才能真正使网格这一新兴技术焕发蓬勃的生命力。
参考文献:
[1]FosterI,KesselmanC.TheGrid:BlueprintforaNewComputingInfrastructure[M].MorganKaufmannPublishers,Inc.,SanFrancisco,California,1999:205-236
[2]FosterI,KesselmanC,TueckeS.TheAnatomyoftheGrid:EnablingScalableVirtualOrgnization[J].InternationalJournalofSupercom-puterApplications,2001,15(6):200-222
[3]PearlmanL,WelchV,FosterI,etal.ACommunityAuthorizationServiceforGroupCollaboration[R].In:IEEE3rdInternationalWorkshoponPoliciesforDistributedSystemsandNetworks,2001
[4]TheGlobusProject
1 汽车主动安全技术的概念与发展历程
主动安全性是指汽车避免发生意外事故的能力,包括行驶安全性、环境安全性、感觉安全性和操作安全性。通过主动安全技术的应用,能够使汽车具有最佳的动态性能,能在碰撞事故发生前做出相应的紧急措施,提高车辆的制动能力和操纵稳定性,有效减少意外事故的发生。
自1898年有记载的第一例交通事故以来,人们不断致力于提高汽车行驶的安全性。但当时人们尚未形成主动安全的概念,而将主要精力放在提高汽车的被动安全性,即致力于提高汽车安全带、安全气囊、能量吸收式转向柱等设备的性能上。进入20世纪80年代以后,人们开始相信相对于在事故发生后设法降低事故伤害与财产损失,如果在事故前可以对车辆运动状态进行实时监测,并在必要时进行干涉或预警,具有更为深远的现实意义。在此契机下,汽车主动安全性迎来重要发展机遇。近些年,电子、计算机、自动化技术的快速发展更加助推了主动安全技术向前迈进。先进的电子、通信及信息技术在汽车上的应用催生了ABS、EBS、ACC等主动安全技术,使车辆更安全、更舒适、更智能化。
2 简要介绍典型主动安全技术
1.防抱死制动系统(ABS)
当汽车制动时,若将刹车完全踩死,车轮将发生抱死滑移,轮胎与地面的附着力急剧下降,车辆操纵稳定性受到严重影响。如果只是前轮抱死,后轮保持滚动,那么汽车将失去转向能力。如果只是后轮抱死,前轮保持滚动,即使受到不大的侧向干扰力,汽车也将产生侧滑现象。所以,我们不希望车轮直接抱死,而是想让车轮在制动时边滚边滑,于是就出现了防抱死制动系统。 通过安装在车轮上的传感器发出车轮将被抱死的信号,同时执行机构做出反应,减小制动力矩,经过一段时间,当车轮恢复滚动时,再增加制动力矩。如此循环往复,使汽车处于良好的制动状态,提高了车辆安全性。
2.轮胎压力监控预警系统(TPMS)
轮胎的使用状况直接影响汽车安全性,轻者导致爆胎,重者导致车辆失控,造成重大交通事故,所以,轮胎压力监控预警系统(TPMS)显得十分重要。TPMS包括间接型TPMS和直接型TPMS。间接型TPMS是通过轮速传感器来比较轮胎之间的转速差别,进而通过车轮转速的稳定性来判断车轮的胎压,以达到监测胎压的目的。间接型TPMS虽然价格低廉,但是使用效果不如直接型。直接型TPMS是利用安装在每一个轮胎里的压力传感器来直接测量轮胎的气压,利用无线发射器将压力信息从轮胎内部发送到中央接收器模块上的系统,可以对各轮胎气压数据进行显示。
3.自适应巡航控制系统(ACC)
自适应巡航控制系统是将自动巡航控制系统和车辆前向撞击报警系统有机地结合起来,既有自动巡航功能,又有防止前向撞击功能。该系统在车辆行驶过程中,安装在车辆前部的车距传感器持续扫描车辆前方道路,同时轮速传感器采集车速信号。当与前车之间的距离过小时,ACC控制单元可以通过与制动防抱死系统、发动机控制系统协调动作,使车轮适当制动,并使发动机的输出功率下降,以使车辆与前方车辆始终保持安全距离。
4.车道偏离预警和换道辅助系统
有不少交通事故的发生是由于汽车偏离正常行驶车道引起的,同时车道偏离也被看成车辆侧翻事故的主要原因。车道偏离预警系统采用摄像机监测车辆在车道中的横向位置,当系统识别车辆已经越过车道线行驶且驾驶人未开启转向灯时,向驾驶人发出预警信号。
车辆在变换车道时,因为驾驶员不清楚后面车辆的行驶状况,有可能发生碰撞事故。换道辅助系统利用雷达传感器监控后方和两侧的环境,通过转向灯信号状态对驾驶人换道意图进行识别,在判定驾驶人有换道意图的前提下,如果有危险存在,则对驾驶员进行紧急预警。
3 主动安全技术未来发展方向
1.车辆将更加智能化。
随着计算机、自动化技术的迅猛发展,21世纪必定是一个信息技术高度渗透的时代。近些年,车联网、智能交通的兴起使人们开始畅想智能驾驶的无限未来。可以预见,在不久的将来,通过科研人员的不断努力,车辆将会变得更智能,安全性也将大幅提高。
2.对驾驶员操作意图的识别将更加精确。
在发生危险前,若是过早的干预驾驶行为会影响驾驶员的驾驶体验,若是过晚的启动安全保护装置则会引起安全事故。所以,对驾驶员操作意图的精确识别,掌握合理的时机启动安全保护装置显得十分重要。
3.重视行人安全的主被动安全集成技术成为热点。
主动安全技术主要是从保护车辆安全的角度考虑,但是近些年,行人安全性问题也日益突出。目前,对行人的保护大多是被动安全保护,效果有所欠缺。根据相关研究人员的最新进展,从汽车主动避让行人的主动安全角度,结合目前已经成熟的被动安全技术,进行主被动安全集成是解决行人安全问题的有效途径。
参考文献
[1]彭金栓,徐磊,邵毅明. 汽车主动安全技术现状及发展趋势[J].公路与汽运,2014(1):1-4.
[2]宋晓琳,冯广刚,杨济匡.汽车主动避撞系统的发展现状及趋势[J].汽车工程,2008,30(4).
[3]姜立标. 现代汽车新技术[M].北京:北京大学出版社,2012.
[4]梁兆喜. 汽车防抱死制动系统(ABS)知识[J]. 汽车维修, 2017.3:22-23
关键词:LTE-R;GSM-R;安全
1 LTE-R国内外研究状况
随后LTE的研究和商用,关于LTE-R的研究也在各国国家相继展开:2010年“发展LTE-R宽带移动通信系统”在中国铁路第七届世界高速铁路大会上被提出;2011年国家设立了“基于TD-LTE 的高速铁路宽带通信的关键技术研究与应用验证”的重大专项研究课题;旅客宽带无线接入系统的研究和实验相继在日本、欧洲和北美展开;我国铁路拥有150MHz、450MHz和900MHz等频率资源,考虑采用跨频段频率资源聚合的方式研究多载波LTE-R系统,实现高速铁路列车车地数据的安全高效传输。
北京交大轨道交通控制与安全国家重点实验室曾指出:未来铁路通信系统将成为公众铁路与铁路专用网络互补的一体化异构移动通信网络。铁路专用宽带移动通信系统LTE-R以高QoS、高移动性、高RAMS和高数据速率来满足列车控制数据的安全传输和安全监控,保证铁路通信系统的可靠性、有效性、可测性、可控性、安全性、保密性和可维护性等;未来铁路专用通信系统能够提供庞大的数据吞吐量,具有较高的通信效率,能够满足在铁路枢纽、并线区域等热点地区的各种业务需求。
2 GSM-R安全技术的分析及缺陷
GSM-R在接入层主要提供了保密和认证服务。保密服务目的是防止无线窃听,其中有用户身份保密性、认证密钥保密性、信令数据保密性和用户语音保密性。认证服务的目的是防止空中接口中的假冒攻击。通过研究GSM-R仍存在一些安全缺陷:
(1)GSM-R系统中的加密不是端到端的,加密功能没有延伸到核心网络,只是在无线信道的部分即MS和BTS之间的Um借口进行加密,从基站到基站之间的传输链路中用户信息和信令数据等均以名文的方式传输,这给攻击者特别是网络内部人员进行攻击提供了机会。而且,目前已有针对空中接口加密A5算法的破译攻击方法。
(2)GSM-R系统不能提供用户和网络之间的双向认证。这种单向认证不能抵抗中间人攻击和假基站攻击,用户的敏感信息可能会泄漏或用户无法正常地访问网络。
(3)GSM-R的加密算法A5已经被破译,并且加密密钥长度仅为64bit。
(4)假设用户归属域信任所有拜访域,并将用户机密信息发送给拜访域。
3 LTE-R系统的安全机制分析
国际铁路联盟(UIC)计划从2014年开始GSM-R向LTE-R演进。LTE-R采用新的网络结构为用户提供了高数据传输速率,低延时和最优分组接入技术以及比GSM-R更好的安全技术,改善了现有GSM-R的安全缺陷提升了铁路运输的安全。
LTE-R系统的安全架构分为四个区域,每个区域实现不同的安全目标。
(1)网络接入安全(I):负责用户安全接入业务,防止空中接口的攻击。包括以下几方面的功能。
a.用户身份保护:采用临时身份标识机制,保护用户的隐私。b.网络认证:保证用户所访问的网络是合法网络,即被HE授权了的网络。c.用户认证:保证只有合法的用户才能接入网络。d.空中数据/信令加密保护,信令的完整性保护。
(2)网络域安全(II):负责保护网络实体之间安全传递信令数据,保护有线网的安全。
(3)网络域安全(III):负责为终端提供安全保护,主要包括卡对用户的认证,只有合法的用户才能使用卡,只有合法的卡才能访问终端。
(4)应用域安全(IV):负责保护用户与应用服务器之间的通信安全,如对数据进行加密、完整性保护、双向认证等方式。
LTE-R的机密性是由UEA2实现的。UEA2是以SNOW 3G为核心的一个对称的同步串行加密方法。因为大多数控制信令信息时敏感的,应该进行完整性保护,新的完整性算法UIA2用输入信息和完整性密钥IK来计算32bit的消息认证码(MAC)。消息的长度大概在1到20000bit之间。UIA2算法是基于普通的哈希函数和GMAC机制来生成MAC。LTE-R身份认证与密钥协商是通过AuC和USIM卡中的共有密钥K来计算加密密钥CK和完整性密钥IK,然后对 CK和IK推演得到父密钥KASME,最后根据父密钥得到各层的子密钥,建立用户设备和网络的安全上下文。LTE-R AKA的认证过程使用Milenage算法以及五元组认证(KASME代替CK和IK)实现UE和网络双向认证。
通过分析对比LTE-R和GSM-R安全技术,LTE-R和GSM-R安全机制的对比如表1所示。可以看出,LTE-R在空中接口方面提供了更强大的安全保护,提供了更多的安全服务。
4 LTE-R安全缺陷的分析
虽然LTE-R有更好的安全机制作为整个系统的保障,但是LTE-R仍然会受到很多的攻击,这些攻击可能来自黑客、铁路局的职工,也可以是接入LTE-R系统的第三方等,所以LTE-R存在的一些安全隐患是我们以后研究的重点。
(1)IMSI存在泄漏的危险。从用户的隐私角度来看,IMSI不仅是用户的唯一标识而且提供了归属网络所属国家等更多的私密信息,因此应当加以机密性保护。如果明文传输IMSI,攻击者可以通过IMSI自动地追踪用户。针对这种攻击的防御方法就是保护IMSI,可以采用临时标识符机制或者利用公钥隐藏IMSI。
(2)跟踪UE:利用IMSI/TMSI和RNTI之间的联系,攻击者可以跟踪用户以前的行为。对分配临时标识符的过程进行机密性保护可以有效地抵抗这些攻击。
(3)强制切换到传统网络: LTE-R用户可能被攻击者强制切换到安全性较弱的传统网络。利用安全性较弱的网络可以攻击UE,获取UE的信息。
(4)LTE-R是的安全机制是基于私钥密码体制的,密钥管理困难,可扩展性差而且不能有效防止通信抵赖行为。
(5)不能提供端到端的信息安全服务,很难满足高速铁路特殊业务的安全需求。
参考文献
[1]钟章队,等.铁路GSM-R数字移动通信系统[M].北京:中国铁道出版社,2007.
[2]刘亚林,范平志.GSM-R网络安全性分析与对策[J].铁路通信信号工程技术,2004,12:144-149.
[3] Gao Tingting,SunBin.A High-speed Railway Mobile Communication System Based on LTE.ICEIE.2010,1:414-416.
[4]贾晓涛.铁路专网将直接升级LTE-R[J].通信产业报,2011.
关键词:校园网;网络安全;防范措施;
一、校园网络安全概述
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改或泄露,系统连续、可靠、正常地运行,网络服务不中断。网络安全和信息安全是网络信息安全的两个组成部分。网络安全主要指的是系统平台层面的安全范畴,包括硬件组成、操作系统、软件运行的环境、各种应用软件等。信息安全指的是数据通信过程中的安全保障,包括数据加密、过滤、备份等,常用的安全技术有防火墙、杀毒软件等。
随着计算机网络的迅速发展,校园网成为学校重要的基础设施,校园网也同样面临着越来越多的网络安全问题。但在高校网络建设的过程中,普遍存在着“重技术、轻安全”的倾向,随着网络规模的迅速发展,网络用户的快速增长,校园网从早先的教育试验网的转变成教育、科研和服务并重的带有运营性质的网络。校园网作为数字化信息的最重要传输载体,如何保证校园网络正常运行不受各种网络黑客的侵害,就成为各高校不可回避的一个紧迫问题,解决网络安全问题逐渐引起了各方面的重视。
二、校园网络存在的安全隐患
(一)系统漏洞威胁。校园网使用的系统软件由于自身存在的一些漏洞,尽管日常开展了漏洞补丁程序,但@些漏洞极易遭到病毒入侵或人为性的破坏。因每个校园网络管理系统和数据库不同,开发商针对软件安全的考虑程度也不一样,开发水平较高、较严密的系统,安全性能也相对较为周全,具备较为先进的防范手段,相对来说安全率就高,若系统自身存在着一些安全方面的隐患,安全问题自然就频出。
(二)计算机病毒。计算机存储介质或程序中由于多种原因潜伏着一些病毒,当条件满足后,这些病毒就会被激活破坏计算机指令或程序代码,使计算机程序紊乱。日常使用中,病毒可通过光盘、软盘、硬盘或网络进行传播,通过复制、传送文件,运行程序等操作,为病毒提供了快速的传播途径和有利条件。近些年来,校园网中发生的一些基于网络传播的恶性病毒,对网络的破坏较大,轻时可致系统崩溃,造成运行瘫痪,严重时所有文件、数据等全部被损毁、丢失等。
(三)外部入侵和内部攻击。校园网是开放性的,管理相对较为宽松,更易受到外部入侵攻击。黑客入侵网络系统主要破坏系统运行或窃取机密数据,校园网设备一旦受到黑客侵袭,会中断服务系统,或入侵Web或其他文件,删除服务器或存储数据等,导致系统瘫痪甚至完全陷入崩溃状态,黑客还会传输附带病毒的文件到网络设备中,间接破坏网络系统,黑客入侵是校园网中杀伤力最大的安全隐患,而且黑客通常还能将自己很好的隐蔽起来不易被发现。校园网最大的用户就是学生,少部分学生往往会将校园网作为攻击目标,运用这些攻击手段满足好奇心理,如第三方黑客攻击软件,APP欺骗,IP碎片攻击,WinNuke攻击等。校园网络是为教学教研、学生学习需要服务的,一旦崩溃影响极大,因此既要防范自身存在的漏洞、病毒、黑客等外部入侵,还要加强内部攻击,这是加强高校网络日常维护管理新课题。
三、校园网的安全防范技术及对策
(一)防火墙技术。所谓防火墙是由软件和硬件设备的组合体,是一种用来加强网络之间访问控制的网络隔离控制技术。它能将校园网与外网分开,有效地防止外网用户以非法手段进入内网、访问内网资源,防火墙能够强化安全策略,防止不良现象发生的“交通警察”,有效地记录因特网上的活动,限制暴露用户点,是网络安全策略的检查站。一旦防火墙被攻破,校园网网络系统的安全性将轻易被破坏。
(二)数据加密技术。在计算机网络系统中,与防火墙配合使用的安全技术还有文件加密技术,它是为提高信息系统及数据的安全性与保密性,防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。
在数据传输过程中,利用技术手段把数据进行加密传送,对信息进行重新组合,到达目的地后再进行解密。通过数据加密技术,可以有效防止未授权的用户访问,在一定程度上提高了数据传输的安全性,保证了数据传输的完整性。并通过采用隧道技术、加密技术、用户身份认证技术、访问控制技术,为网络安全提供了强有力的保障。
(三)网络入侵检测技术。入侵检测技术是防火墙的合理补充,它作为一种积极主动地安全防护技术,可起到防御网络攻击的作用,因而提高了网络系统的安全性和防御体系的完整性。入侵检测在不影响网络性能的情况下能对网络进行监测,能检测针对网络资源或计算机的恶意行为和企图,通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行处理,从而发现入侵行为并及时作出响应,包括切断网络连接、记录事件和报警等,进而提供对内部攻击、外部攻击和误操作的实时保护。
(四)网络安全扫描技术。网络安全扫描技术是检测远程或本地系统安全脆弱性的一种安全技术,通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。利用安全扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务,检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。
(五)镜像和备份技术。镜像技术是指两个设备同时运行完全一样的工作,如果其中一个设备发生故障,另一个设备还可以继续工作。为了提高完整性,需要采用镜像和备份技术。提高数据完整性最常用的措施是备份技术,对于需要保护的数据,在其他地方制作一个备份,如果原件丢失了,还能使用备份数据。
(六)防病毒技术。 计算机病毒技术发展速度甚至超越计算机技术的发展,严重威胁着计算机运行环境的安全。校园网病毒防范中常使用防病毒软件。按照功能,单机防病毒软件安装在单台PC上,以分析扫描方式对校园及校园网站链接的远程资源进行检测并查杀病毒;网络防病毒软件可对受到病毒入侵的网络进行检测或删除传染其他网络资源的病毒。所以,必须在校园网安装功能齐全的防病毒软件并加强日常维护管理,定期进行升级,为校园网提供最佳网络防病毒措施。
(七)加强网络的管理。网络管理员还需要建立与维护完整的网络用户数据库,严格对系统日志 进行管理。学校应建立起一套严格的网络安全管理制度,如:校园网由专人管理,网络管理员通过对所有用户设置资源使用权限和口令,对用户名和口令进行加密、存储、传输、提供完整的用户使用记录和分析等方式可以有效地保证校园网络文件服务器及网站服务器的安全。
参考文献
[1]陈梁.防火墙网络安全研究[J].电脑知识与技术,2015.07
(2011-12-2719:05:13)
标签:鏁欒偛
一、单项选择题
1、信息安全是信息网络的硬件、软件及系统中的(A.用户
B.管理制度
)受到保护,不因偶然或恶意的原因而受到破坏、更改或泄露。
D.设备
C.数据
)。
2、为了预防计算机病毒,应采取的正确措施是(A.每天都对计算机硬盘和软件进行格式化C.不同任何人交流3、DDoS攻击破坏了(A.可用性
)。B.保密性
)。
B.不用盗版软件和来历不明的软盘
D.不玩任何计算机游戏
C.完整性D.真实性
4、以下哪个不是数据恢复软件(A.FinalData
B.RecoverMyFilesC.EasyRecovery
)。
D.OfficePasswordRemove
5、Windowsserver 2003系统的安全日志如何设置(A.事件查看器
B.服务管理器
C.本地安全策略D.网络适配器里
6、数据备份常用的方式主要有:完全备份、增量备份和()。A.逻辑备份
B.按需备份
C.差分备份
D.物理备份
)对要发送的的信息进行数字签名。D.接收者的私钥
7、数字签名技术是公开密钥算法的一个典型的应用,在发送端,它是采用(A.发送者的公钥
B.发送者的私钥
C.接收者的公钥
8、数字签名技术,在接收端,采用(A.发送者的公钥9、(
)进行签名验证。
C.接收者的公钥
D.接收者的私钥
B.发送者的私钥
)不是防火墙的功能。
B.保护存储数据安全
D.记录通过防火墙的信息内容和活动
2003系统能设置为在几次无效登录后锁定帐号,这可以防止:(
C.IP欺骗
)。
D.缓存溢出攻击
)。
A.过滤进出网络的数据包C.封堵某些禁止的访问行为10、WindowsA.木马
NT
和Windows
B.暴力攻击
11、在以下认证方式中,最常用的认证方式是:(A.基于账户名/口令认证;C.基于PKI 认证
;
B.基于摘要算法认证;D.基于数据库认证
)。
C.TELNET
D.SSL
)
12、主要用于加密机制的协议是:(A.HTTP
B.FTP
13、当用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?(A.缓存溢出攻击
B.钓鱼攻击;
C.暗门攻击
D.DDOS攻击
14、“保护数据库,防止未经授权的或不合法的使用造成的数据泄露、更改破坏。”这是指数据的()
A.安全性B.完整性C.并发控制D.恢复
),
15、在数据库的安全性控制中,为了保护用户只能存取他有权存取的数据。在授权的定义中,数据对象的(授权子系统就越灵活。
A.范围越小
B.范围越大
C.约束越细致)类文件。
C..WPS
D..DBF
D.范围越适中
16、文件型病毒传染的对象主要是(
A..EXE和.WPS
17、入侵检测的基本方法是:(
B.COM和.EXE
)。
A.基于用户行为概率统计模型的方法C.基于专家系统的方法
B.基于神经网络的方法
D.以上都正确
)
D.信
18、在网络攻击的多种类型中,攻击者窃取到系统的访问权并盗用资源的攻击形式属于哪一种?(
A.拒绝服务
息篡改
19、下面哪个不是执行备份操作的用户(A.Administrators组的成员C.ServerOperators 组的成员20、下面哪个不是系统还原的方法(A.安全模式
)。
B.BackupOperators 组的成员D.PowerUsers 组的成员)。
C.自动系统恢复
D.普通模式
B.侵入攻击
C.信息盗窃
B.故障恢复控制台
21、数据库管理系统通常提供授权功能来控制不同用户访问数据的权限,这主要是为了实现数据库的()。A.可靠性
B.一致性
C.完整性
D.安全性)。
22、SQLServer 2005提供了4层安全防线,其中“SQLServer 通过登录账号设置来创建附加安全层。用户只有登录成功,才能与SQL Server 建立一次连接。”属于(A.操作系统的安全防线
C.SQLServer 数据库的安全防线式叫做(
)。
A.邮件病毒
B.邮件炸弹
)
C.病毒
)型的漏洞评估产品。B.主机型)
B.对签名后信件的内容是否又发生变化进行验证
D.权威性
C.网络型
D.以
D.蠕虫
C.特洛伊木马
D.逻辑炸弹
B.SQLServer 的运行安全防线
D.SQLServer 数据库对象的安全防线
23、电子邮件的发件利用某些特殊的电子邮件软件在短时间内不断重复地将电子邮件寄给同一个收件人,这种破坏方
24、网络攻击的有效载体是什么?(
A.黑客
B.网络
25、针对操作系统的漏洞作更深入的扫描,是(
A.数据库
上都不正确
26、有关数字签名的作用,哪一点不正确。(
A.唯一地确定签名人的身份
C.发信人无法对信件的内容进行抵赖
27、备份在(A.管理工具
)功能菜单下。
B.附件
C.系统工具
D.辅助工具
28、收藏夹的目录名称为(A.Favorites29、(签名数据库。
A.签名分析法
)。B.temp
C.Windows
D.MyDocuments
)分析法实际上是一个模板匹配操作,匹配的一方是系统设置情况和用户操作动作,一方是已知攻击的
B.统计分析法
C.数据完整性分析法
D.以上都正确
)。
30、若系统在运行过程中,由于某种硬件故障,使存储在外存上的数据部分损失或全部损失,这种情况称为(A.事务故障
B.系统故障
)。C.无线网)。
D.使用专线传输
C.介质故障
D.人为错误
31、为了防御网络监听,最常用的方法是:(A.采用物理传输(非网络)
B.信息加密
32、以下关于CA 认证中心说法正确的是:(A.CA认证是使用对称密钥机制的认证方法B.CA认证中心只负责签名,不负责证书的产生C
.CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份
D.CA认证中心不用保持中立,可以随便找一个用户来做为CA 认证中心33、以下关于对称密钥加密说法正确的是:(A.加密方和解密方可以使用不同的算法C.加密密钥和解密密钥必须是相同的
)。
B.加密密钥和解密密钥可以是不同的D.密钥的管理非常简单
)。
34、Web从Web 服务器方面和浏览器方面受到的威胁主要来自(A.浏览器和Web 服务器的通信方面存在漏洞C.服务器端脚本的安全漏洞35、审计管理指:(
)。
D.以上全是
B.Web服务器的安全漏洞
A.保证数据接收方收到的信息与发送方发送的信息完全一致B.防止因数据被截获而造成的泄密
C.对用户和程序使用资源的情况进行记录和审查D.保证信息使用者都可有得到相应授权的全部服务
36、当数据库损坏时,数据库管理员可通过何种方式恢复数据库(
A.事务日志文件
B.主数据文件
)。
D.联机帮助文件
C.DELETE语句)。
C.差分备份
37、下面哪一个不是常见的备份类型(A.完全备份
B.增量备份
)。
D.每周备份
38、注册表数据导出后的扩展名为(A.reg
B.dat
C.exe
)
B.信息传输安全
D.bat
39、信息风险主要指那些?(
A.信息存储安全
上都正确
C.信息访问安全D.以
40、对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表,对该连接的后续数据包,只要符合状态表,就可以通过。这种防火墙技术称为(
)。
10、Windows系统中,系统中的用户帐号可以由任意系统用户建立。用户帐号中包含着用户的名称与密码、用户所属的组、用户的权利和用户的权限等相关数据。(
)
1C 15A 24C 2B 3A 16B 17D 25B 26D 4D 5C 6C 7B 8A 9B 10B 11A 12D 13B 14A
18B 19D 20D 21D 22B 23B 27B 28A 29A 30C 31B 32C 33C 34D 35C 36A 37D
38A 39D 40B
二填空题
1信息安全
2物理安全技术、基础安全技术
3文件加密和文件解密都使用相同的密钥4、证书CA 5、数字签名
6标准访问权限和特别访问权限。7、漏洞扫描
8流量攻击和资源耗尽攻击。9、计算机病毒
10、数据库系统分为数据库和数据库管理系统11、端口
12、根据原始数据的来源IDS 可以分为:基于主机的入侵检测和基于网络的入侵检测。13、网页病毒
14、VPN (虚拟专用网)
1.1保障煤矿职工生命安全的必要措施
煤矿生产作业的环境往往十分恶劣,生产作业过程中很多因素都可能导致安全事故的发生,而煤矿安全事故一旦发生,常常会造成煤矿工作人员的伤亡,严重威胁着煤矿职工的生命安全,而引发煤矿安全事故的一个重要原因就是工作人员安全技术掌握存在不足,在煤矿生产作业过程中操作不符合安全生产规范,同时对于可能导致安全事故的隐患及征兆不能及时发现,并采取有效措施予以排除,事故发生时也很难实现有效的逃生自救。因此,要充分保障煤矿职工的生命安全,加强煤矿安全技术培训,提高煤矿职工的安全生产作业能力与水平,并确保其扎实掌握煤矿安全隐患辨识及事故逃生自救的知识与能力,具有着极大的必要性。
1.2促进煤矿企业长期稳定发展的必要条件
煤矿企业的发展一方面需要良好的效益来提供保障,另一方面则需要完善的管理来予以支持。从效益角度来讲,加强煤矿安全技术培训能够有效的提高煤矿职工安全生产的能力,减少煤矿生产安全事故的发生,从而提高煤矿生产的整体安全性,这就能够为煤矿企业生产效率的提升创造良好的条件,同时,煤矿企业生产安全性的提高也能够有效的提升企业的外部形象,并使企业更容易获得客户的信任,使企业能够在市场中占据更多的资源与发展空间,对于企业效益的提升具有着重要的意义。从管理角度来讲,企业加强安全技术培训,能够使企业职工更好的掌握煤矿安全生产的技术,提升职工安全生产作业的能力,并增强职工的安全意识,使员工能够更好的配合企业的安全生产管理工作,这也为企业管理效率的提升创造了有利的条件,促进企业管理工作的不断完善,这也为煤矿企业的长期稳定发展提供了必要的条件。
1.3社会主义和谐社会建设的必然要求
煤矿安全事故不仅威胁着煤矿职工的生命安全,以及给煤矿企业带来巨大的经济损失,其所带来的社会影响也是不容忽视的。一般煤矿安全事故发生之后,常常会给伤亡职工及家属带来巨大的痛苦,有些家庭还可能因为失去劳动力而面临着生存的危机,随之而来还有一系列其他的社会问题,而随着媒体报道及社会舆论关注度的提高,其所造成的社会影响力也将被放大,一些事故因处理不当还可能会导致社会公众对煤矿行业及政府监管部门失去信任,进而影响社会稳定。因此,加强煤矿安全技术培训,减少煤矿安全事故的发生,有效的减少此类事故所造成的不良社会影响,也是我国社会主义和谐社会建设的必然要求。
2加强煤矿安全技术培训的有效策略
2.1明确培训的目标及要求
煤矿安全技术培训不能够盲目进行,应该首先明确进行安全技术培训的目标以及具体的要求。一方面,要将全面有效的提高员工的安全生产技能,确保其在生产作业过程中的安全作为培训的基本目标,并以此为基础,制定严格而具有针对性的培训要求。另一方面,要避免安全技术培训走上形式化、过程化的错误路径,应结合安全技术培训的目标,以培训的失效作为检验培训效果的根本标准,合理制定和安排培训内容及课程,确保培训的内容覆盖煤矿职工在生产作业中的各个方面,包括危险源识别、安全生产规范、安全隐患排除、应急事故处理、逃生自救等方面的专业知识与技术,充分保障培训实效性。
2.2合理选择教学方法
就目前我国的煤矿行业来看,煤矿井下作业人员在年龄、文化层次、工作经验等方面都存在着很大的差异性,这也决定了不同职工在培训过程中的理解能力、接受能力不尽相同,因此,单一的培训教学方法是难以满足煤矿企业所有职工的实际需求的。这就要求煤矿企业及相关的培训机构在开展培训时,应针对不同职工层次及能力水平的差异,合理选择教学方法,可以根据工作性质的特征,以及学员能力水平的差异,对学员进行班组的划分,分别采取相应的教学方法,确保学员能够有效的理解和掌握教学内容,并能够有效的运用到实际的工作当中,提高其在生产作业中的安全性。同时,还应该将多种培训方式结合起来灵活运用,全面提高安全技术培训的效率,并在培训中更多结合以往事故的案例,提高学员的安全意识,并增强教学的说服力。
2.3强化师资队伍建设
要加强煤矿安全技术培训还需要强大的师资队伍来予以保障,一方面,要结合煤矿生产技术的发展趋势,加强针对新技术、新设备的安全生产技术培训,这就需要组建一支掌握新技术、新知识的安全技术培训教师队伍,针对新时期的煤矿安全生产的实际情况,开展高质量的安全技术培训,保障培训教学的实效性。另一方面,要着力加强煤矿安全技术培训师资队伍的创新能力,培养具有将强创新意识与能力的专业培训教师,通过他们创新意识与能力的发挥,使其在培训中能够积极创新教学方法与手段,不断提升教学的能力与水平,进而实现良好的培训效果。
2.4完善培训考核评估机制
关键词:Web网站;安全技术;数据库
现代社会已经进入信息时代,计算机以及网络信息技术的应用愈加广泛,Web网站更是在企业、高校等领域得到了普遍的应用,其中大部分的应用系统都在朝着因特网平台进行转移,网络信息技术为人们的工作生活都带来了很大的便利,但是其中存在的安全隐患也逐渐引起了人们的关注,网络安全问题也是网站建设中的重点问题,Web网站运营过程中需要重视对安全技术的应用与升级。
一、Web网站的安全现状分析
现代社会中计算机网络技术得到了快速的发展,尤其是因特网的推广以及Web站点的增加,使得信息交互和共享已经涉及到了全球范围。网络所具备的互联性与开放性在为社会发展带来便利的同时,网站运营中的安全问题也变的更加突出。相关的计算机犯罪方式正在不断变化,犯罪水平也在提高,网站具备的这种交互性特点是造成安全隐患的主要方面。比如在Web网站中比较受到人们喜爱的聊天室、E-mall等功能,就是出现安全问题的主要部分。当前,自动化的安全攻击工具广泛的存在与网络平台上,各种攻击技术也逐渐得到了普及。另外,还有病毒泛滥产生的很多潜在危害。这些方面的安全问题,表明网站的运行面对着非常大的挑战。可以将其中包含的安全问题进行分类,一种是服务器信息被破译造成的服务器被入侵;一种是浏览器具有强大的功能,在为用户提供便利的同时也为黑客的攻击带来了方便;另一种网站上的文件会遭到非法访问,严重的威胁着文件信息的机密性与完整性;最后一种就是Web服务器自身存在的程序漏洞会成为黑客主要的攻击对象。
二、操作系统平台的安全规则
在Web服务器的发展中安全漏洞是普遍存在的,作为开发商的微软并没有针对存在的安全问题提出具体的解决方案,只是陆续推出了一些补丁程序,所以,有必要对网站系统建立一套安全规则[1]。在安全规则的规范之下网站才可以在复杂的运行环境之中提供更加安全、可靠的信息服务,一方面,在Web网站的操作系统运行中,应该随时的关注微软新推出的安全公告以及最新的补丁程序,这样可以获得所需的信息对安全漏洞进行有效的填补。
另外,还可以利用NTFS系统,它具备FAT所没有的安全控制的作用,能够根据文件夹的区别去设置独立的访问权限,使得文件的安全性得到了很大的提升。还可以通过系统管理员的账号更名去加强安全管理,域用户管理器能够限制登陆过程中猜测口令的输入次数,但是不能限制系统管理员的登陆,因此其账号的更名可以防止管理员账号被一些非法用户攻击。
此外,在网站运行中安装有两个或多个操作系统的会增加被黑客攻击的机会,因此最好的办法就是只安装一个操作系统。对系统中不使用的协议或者服务进行关闭,减少其中存在的漏洞及被攻击的机会。对网络中产生的共享资源进行及时的删除,强化日志的审核环节,也可以通过防毒软件的使用实现系统安全性的升级。
三、Web服务器IIS的安全机制分析
IIS是目前使用最广泛的因特网服务器软件之一,其安全性是建立在操作系统安全机制之上的,配置IIS构建的Web站点的安全性除利用操作系统的安全性外还要使用IIS提供的安全机制[2]。IIS的应用过程中产生的匿名用户不会与其自身产生交互,也就是任何的用户都可以直接进行匿名访问,这种情况就为Web服务器的安全运作带来了较大的威胁,因此,需要对其具备的权限进行有效的控制,如果网站中不需要匿名访问这一功能,则可以直接取消其中的匿名服务功能。用户在输入自己的用户名以及口令的时候缺乏加密,都是以明文的形式进行信息传播的,所以很容易引起非法用户的监听或者对数据进行拦截,安全性能不高。而通过集成Windows验证的非法,使得浏览器具备的加密方式能够和IIS服务器直接交流,可以很好的防止信息被窃听,提高了系统的安全性认证水平。
四、Web数据库的安全性分析
1、Web网站的防火墙技术与用户身份认证技术
防火墙技术是一种访问控制技术,它是在内部网络与外部网络(公用网络)之间设立的一道防护栏,即在它们的界面上构造一个保护层[3]。可以有效的避免信息资源被非法访问,规定与之相关的任何连接都要经过这一保护层,通过检查之后进行连接。访问只有在被授权的情况下才可以突破这一保护层,可以为网络操作提供一个相对封闭的逻辑环境,使得内部网络获得了很好的保护,减少了非法入侵情况的出现。
通过身份认证技术的应用可以对用户是否合法进行确认,在Web网站中,如果有人想要访问被限制的内容,就可以通过这一技术对其身份进行识别,判断这一用户是否具有真正的Windows NT帐号的用户名与密码。然后利用后台运行的数据库,通过身份验证机制对用户的合法性进行再次确认。也可以将用户名、口令等信息进行整合后形成User用户表,对用户身份进行更有效的识别。
2、数据加密技术及监视跟踪、审计技术
加密技术是指将一个信息经过加密算法进行转换,利用附加密码、加密模块等方法使之变成无意义的密文,接受方可以将此密文通过解密算法等还原[4]。另外,在Web网站运行中要提升其安全性能,还可以通过监视跟踪的方法实现。大部分的应用程序具备的日志记录只是在事后起到监督作用,但在日志的分析过程中,还能将其应用在预防入侵方面,以此来提高网络应用的安全。在Web网站的应用系统之中,日志会将用户从登录到退出系统的这段时间中所进行的所有操作进行完整的记录,比如登录失败操作、对数据库的操作等等内容。所以,在这一过程中完善的日志记录功能是非常必要的。审计技术则主要是对网络信息的可查性提供保障。它属于安全技术类型,可以利用审计机制的设置提供和系统运行中出现的可疑现象有关的一些信息,为管理人员的分析提供依据,使其可以及时的找到隐患所在。
结束语:
网站运行的安全在整体的网站系统建设中占据着重要的位置,Web网站的安全化发展属于一个系统化的问题,其包含的内容比较广泛,安全技术的应用也需要根据网站的发展去进行更新,在Web网站建设中层层设防,有针对性的选择适合的安全技术,增强网站管理人员的安全防范意识,实现网络系统的安全性能,使得Web网站可以正常的运行,为人们输送安全性高的信息数据。
参考文献:
[1]汪颖,胡顺.Windows Server2003下Web服务器的安全技术探究[J]. 电脑知识与技术(学术交流),2007,13:80-81.
[2]符凤平.Web网站安全技术分析[J].计算机系统应用,2008,12:162-165+131.
【关键词】 计算机 网络安全
近些年来计算机网络应用范围越来越广泛,网络安全的影响因素也逐渐增加,主要来自人员的操作、系统的漏洞、病毒的存在以及防火墙设计等方面的因素,影响计算机的信息不被保密和完整;对此合理的利用防火墙、加密技术、密钥技术以及生物识别技术等,从而更好的保证网络技术以及计算机系统的正常应用,保证社会群众的财产利益不受侵犯。
一、计算机安全的标准
计算机网络安全的标准主要是指信息的完整性,尤其是在利用计算机网络技术,进行信息传输时,传输的速度、质量以及完整都应该不被延迟和破坏;其次是信息必须是可用的,同时用户在使用信息时,必须是进过授权且保密的;而用户在使用信息时,该信息都是由授权机构及时进行操控的。最后当计算机网络技术安全的情况下,会为网络事故提供一系列的依据;对此计算机网络信息安全是非常有必要的。
二、影响计算机网络安全的因素
1、操作系统。随着网络技术不断的研发,以及技术应用的领域不断扩大,对于系统操作的安全却忽视,导致计算机网络技术存在一系列的安全隐患和系统漏洞,从而直接影响计算机信息的安全。但是随着人们安全意识的增加,也相继的设计出了防火墙等安全程序,但是由于影响操作系统的安全因素有很多,一但安全防护程序自身存在漏洞,导致其不能发挥很好的安全防护作用。
2、病毒。网络病毒主要是指在计算机程序中,编制特殊的指令;这个指令不仅会破坏计算机系统中的数据库,同时也可以对信息资源进行复制。而目前长常见的指令,主要是指一系列的非法入侵的代码,通过计算机系统的漏洞进行攻击,但是这些病毒常常是隐蔽不被发现,且传播快速快破坏程度大,一旦结合黑客技术,对于计算机会起到控制和破坏的作用。
3、操作问题。虽然计算机已经成为了人手必备的上网工具,但是对于计算机技术灵活操作的用户却非常得少,一旦用户的失误操作,会造成很大的安全威胁;加上用户对于防护技术应用的意识缺乏,导致计算机很容易受到病毒或是木马的侵害,直接威胁用户的个人信息以及生命财产的安全。
三、计算机网络安全技术
1、防火墙技术。防火墙是置于外部与内部网络之间的网络安全体系,防火墙的安装,可以有效的检查数据包,并根据自身检查的结果,有效的提醒用户及时的进行过滤和清理,给自身的计算机系统加以保护。
2、加密技术。加密技术的研发,对电子商务以及网络信息交易提供了有效的保证;而加密技术主要包括对称与非对称两种,其中对称加密技术,主要是指基于口令,将加密与解密运算提供想相同的密钥;而非对称加密技术,也是以口令为基础,但是加密与解密预算所使用的密钥不同,同时解密密钥也只有当事人自己知道,而其他人是不知道的。
3、智能卡技术。挂技术与密钥技术相似,同时也是基于密钥方式的一种按群操作程序;该用户的智能卡被赋予了指定的口令之后,当用户使用该只能卡时,输入的口令与网络服务器上的密码相同,从而用户在利用网络技术时,对以用户的信息起到很好的保护作用。但是此技术的应用也具有一定的局限性,因为数据加密技术并不能适合于所有的服务器,或是操作得系统使用。
4、生物识别技术。其生物识别技术,起初是机械密钥的使用发展,然后是数字密钥的应用和发展,最后经过优化发展到了生物识别技术,它是利用人体独特的身体特征,在利用网络系统操作时,对于其进行身份验证;尤其是指纹识别、声音识别等身体特征验证,是有效的通过外设,获得身体体征的数字图像,然后再输入到计算机系统中,当用户进行系统操作时,就会对于信息以及数据库等起到很好的保护作用。随着科学技术不断的发展,我国生物识别技术,已经从指纹发展到了视网膜、骨架等身份识别技术,从而更好的保证信息的完整性、保密性以及安全性。
总结:综上所述,通过对于计算机安全技术的分析,发现对于计算机网络技术的防护,主要是对于病毒、木马、漏洞以及黑客技术的预防,对此结合计算机网络完全的标准,合理的利用防火墙技术、加密技术、智能卡技术、生物识别技术,与此同时,最主要的还是要有效的提升计算机用户的网络安全防护意识,通过灵活的应用网络安全防护技术,正确操作计算机系统是非常必要的,从而更好的保证自身的财产利益不受到侵害。
参 考 文 献
[1]杨晨.信息时代下计算机网络安全技术初探[J].网络安全技术与应用,2014,01:108-109.
[关键词] 电子商务 加密技术 数字签名
一、引言
随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。电子商务安全问题是电子商务发展中的一个主要障碍。电子商务安全技术的应用为建立一个安全、便捷的电子商务应用环境,对商家和客户的信息提供足够的保护,起着关键性的作用。
二、电子商务面临的安全问题
1.信息的截获和窃取
由于未采用加密措施,信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
2.篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
3.信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.交易抵赖
交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;购买者做了订单不承认;商家卖出的商品因价格差而不承认原有的交易等。
5.恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、电子商务安全技术
1.密码技术
密码技术是信息安全的核心技术。对信息安全的需求大部分可以通过密码技术来实现。密码技术包括加密、签名认证和密钥管理技术等。
(1)加密技术。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。加密技术通常分为两大类:“对称式”和“非对称式”。加密技术是保证电子商务安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。
(2)数字签名。在电子商务安全系统中,数字签名技术占有重要的地位。在电子商务安全服务中的源鉴别、完整、不可否认服务中,都要用到数字签名技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。目前,数字签名一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。数字签名技术将具有广阔的应用前景,它将直接影响电子商务的发展。
(3)密钥管理技术。密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。其中分配和存储是最棘手的问题。密钥管理不仅影响系统的安全性,而且涉及系统的可靠性、有效性和经济性。在用密码技术保护的现代信息系统的安全性主要取决于对密钥的保护。密钥管理技术主要包括:对称密钥管理;公开密钥管理,第三方托管技术。
2.网络安全技术
(1)防火墙技术。防火墙可以根据网络安全水平和可信任关系将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制;可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户与数据包隔断,达到保护高安全等级的子网、防止墙外黑客的攻击、限制入侵蔓延等目的。防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。目前的防火墙主要有两种类型。其一是包过滤型防火墙,其二是应用级防火墙。
(2)虚拟专用网VPN技术。虚拟专用网VPN是一种特殊的网络,它采用一种叫做“通道”或“数据封装”的系统,用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。这种通道是Internet上的一种专用通道,可保证数据在外部网上的企业之间安全地传输。在VPN中,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。VPN实现的关键技术是隧道技术、加密技术和QoS(服务质量)技术。
(3)入侵检测技术。入侵检测技术是防火墙技术的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。其最重要的价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,通过从各个角度对这些事件进行分析归类,可以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。入侵检测的主要方法有:静态配置分析,异常性检测方法、基于行为的检测方法及几种方法的组合。
(4)安全交易协议。除了各种安全控制技术之外,电子商务的运行还需要一套完整的安全交易协议。不同交易协议的复杂性、开销、安全性各不同。同时,不同的应用环境对协议目标的要求也不尽相同。目前,比较成熟的协议有安全套接层协议(SSL)和安全电子交易协议(SET)。
三、小结
用于保护电子商务的安全控制技术很多,并非把这些技术简单地组合就可以得到安全。但是通过合理应用安全控制技术,并进行有机结合,就可从技术上实现系统、有效的电子商务安全。
参考文献:
[1]张立克:电子商务及其安全保障技术[J].水利电力机械,2007,29(2):69~74
[2]祝凌曦:电子商务安全[D].北京:清华大学出版社,2006
[关键词]防火墙;安全威胁;数据包过滤;地址翻译
[中图分类号]G642 [文献标识码]A [文章编号]1671-5918(2016)08-0125-02
doi:10.3969/j.issn.1671-5918.2016.08.058[本刊网址]http://
一、概述
经济基础决定上层建筑,日益提升的国民经济使得人们迫切希望在基础设施建设和精神文明建设方面得到更高的发展。科学技术水平的不断提高,使得计算机成为了千家万户必不可少的基础设备,而与之对应的互联网络的应用也随之广泛。当前我国社会已经步入了信息时代,数字化、网络化、信息化的处理方式已经是当前的主要潮流,也必然是日后各行各业快速发展所依赖的必需设施,互联网络的开放性、共享性等基本特性都为人们的日常生产生活带来了极大的便利,让人们时时刻刻享受着更加优质的生活。然而,互联网络的快速发展也为其自身的安全性埋下了隐患,其自身的开发特性和共享特性,不仅方便了广大的合法网民来享受网络的便利服务,同时也为网络恶意攻击者提供了可乘之机。网络恶意攻击者利用网络中存在的安全漏洞,根据自己特定的意图非法获取网络中的资源,以达到自己恶意的攻击目的,为社会的安定团结以及企业的经济发展都带来了很大的威胁和挑战,如何有效地拒绝恶意攻击者的攻击链,有效地相应网民的合法请求,是当前互联网络亟须解决的难题。防火墙安全技术就是针对网络非法访问请求的问题而兴起的网络安全技术,是提升当前互联网络安全等级、保护私密数据信息和网络设备资源的有效手段,对于有效地防御网络恶意攻击起到了决定性作用。
二、网络面临的安全威胁
其实我们的互联网络是非常脆弱的,它无时无刻不在受到各种各样的威胁。整体看来,互联网络受到的安全威胁主要分为两类。第一类是包括地震、山洪、海啸等自然灾害或者火灾等人为的意外事故外部安全威胁,另一类则是网络内部的恶意攻击、木马病毒感染、数据泄露或损坏、网络黑客非法入侵等各种内在的网络威胁。相对于第一类来说,第二类安全威胁更加难以预防和抵御,也为整个互联网络的安全应用带来了极大的挑战。
就一般的网络攻击而言,形式各种各样,但是总体看来主要包括以下几个方面:(1)网络窃听,即方法记录网络其他用户的传输数据、私密文件、键盘敲击记录等;(2)网络欺骗,即通过各种方法手段来篡改或改变合法资源,最终实现获取关键数据信息的社会工程学攻击手段;(3)拒绝服务攻击,主要是利用软件中或者网络协议中存在的安全漏洞,通过资源耗尽的方式或者其他欺骗手段,使正常服务的设备不能对合法的请求进行相应的攻击手段;(4)数据攻击,主要包括利用程序或者系统中的安全漏洞实现SQL注入、XSS攻击、缓冲区溢出攻击等各种攻击形式。
而这些网络攻击的具体实现,则是通过各种技术或者工具来实现。网络窃听或欺骗,大都使用木马或其他恶意代码片段,通过植入正常合法的程序或者系统中运行,最终为网络攻击者提供了攻击后门或者将系统的接口或基本信息反弹到恶意攻击者的电脑上,然后通过执行攻击代码或者指令实现对网络设备的控制或者实现对内部核心数据的窃取等攻击目的。拒绝服务攻击即为DoS攻击或DDoS攻击,一般实现手段是借助一些第三方的攻击工具,是提供正常服务的服务器不能在响应合法用户的合法请求。有的是利用分布式的攻击电脑向目标机器发送大量类似合法的请求,从而将服务器的资源耗尽,进而拒绝合法用户的请求,有的则是利用服务器自身软件或者协议的软件漏洞,发送特殊的TCP或IP数据包,使服务器停滞或者死机,进而不能提供正常的服务。除此之外,针对网络的工具手段五花八门,攻击方法和形式也多种多样,这些网络攻击手段都时时刻刻威胁着互联网络用户和网络数据的安全。
三、防火墙的关键技术
理想的互联网络,首先是安全的,也就是说在整个应用过程中,互联网络能够提供不间断的网络服务,同时能够保障互联网络传输的数据信息的完整性、保密性、真实性等,如果想要实现这些特性,则是需要从计算机科学、密码学、信息安全技术、应用数据技术等诸多领域人手,来开展互联网络安全可靠的实施工作。而防火墙安全技术则是其中应用最为广泛的安全技术之一。
防火墙技术是一种隔离技术,也是一种边界安全技术,即通过关键的技术手段将存在安全威胁的网络攻击隔离在外,将自己私有的局域网络或者私密的数据保护起来的一种技术手段。随着科学技术的发展,防火墙技术也多种多样,针对不同的网络、服务器、网络设备或者其他隔离目的,可以采用不同的防火墙技术来实现。
(一)数据包过滤技术
数据包过滤技术是指对互联网中在路由跳转的数据包进行有效筛选过滤的一种技术。我们知道,不同局域网络是通过广域网连接起来的,这就有了内网和外网的区别,而防火墙就是搭建在内网与外网之间,实现网络隔离的技术。如果外网的数据想要进入内网,或者内网的数据想要进入外网,就必须先要经过防火墙过滤,如果发送的数据包不符合某项数据包过滤的规则,那么该数据包就是一个可疑的数据包,路由器将拒绝数据传送,从而有效地实现了内网与外网之间的隔离。
此时的数据包过滤防火墙,其实就是一个带有数据包过滤功能的路由器,在网络搭建时,对路由器进行过滤规则配置,如添加可以TP等,当有符合规则的数据包发送过来,防火墙就会采用相应的措施。此时的防火墙,会对所有的内网到外网和外网到内网的数据包进行逐一过滤,以判断其与过滤规则的匹配程度,所以对于数据包过滤防火墙而言,规则设置是非常重要的。值得注意的事,在网络安全的数据包过滤规则设定时,可以采用白名单策略或者采用黑名单策略的方式来设置,这可以根据网络安全需求以及安全等级要求来选择。白名单策略是允许通过策略,这个策略要相对严格很多,也就是说,在指定的规则里面,只有符合要求的才允许通过,防火墙会继续发送该数据包,只要不在白名单规则内的数据包,防火墙一律丢弃你。而黑名单策略则是拒绝通过策略,这个策略要宽松很多,也就是说,在指定的规则里面,只要符合黑名单规则里面的数据包,防火墙一律丢弃,只要不符合的数据包,防火墙一律允许通过。由于不在规则内的数据包类型非常多,所以黑名单允许通过的数据包要远远大于白名单允许通过的数据包。
(二)技术
技术是指在使用服务器的方式,将需要把保护的网络资源隔离开来,来自外网的访问请求,首先需要发送到服务器,服务器经过相应的处理后再转发给网络系统或资源。技术实现了内网与外网的有效隔离,即使是外网有恶意攻击者来攻击保护资源,也需要首先经过服务器,而服务器自身的身份认证技术、详细日志记录功能以及日志内容审计功能等,都是对内网资源有效的保护。特别的,技术的实现,是通过服务器作为来操作的,那么该防火墙的设备性能是非常优越的,可以在服务器上设置非常强大的安全规则和审计,从而有效地保障内网与外网之间的隔离,使内网资源得到有效保护。
(三)IP地址翻译技术
在互联网络中,每一个计算机的唯一标识就是IP地址,即每个计算机想要访问公网资源,必须具有独立IP地址。然而IPv4地址资源已经用完这已经是一个现实,在公网上面,已经没有闲置的IPv4供其他局域网的用户使用,这就给当前互联网络的规模扩充带来了极大的限制。当然,现在IPv6协议的出现基本上解决了IP资源枯竭的问题,然而防火墙IP地址翻译技术也在一定程度上,缓解了IPv4资源枯竭带来的问题。
一般的,一个局域网只会从公网上分配若干个IP地址资源,根据这些IP资源,来确定该局域网在互联网络中的唯一性。而局域网络内部,则是使用自己的网关和掩码,这样一来,局域网内的计算机在某个特定的IPv4网段内部,数据急剧增加。然后TCP/IP协议是实现互联网络中两个计算机的进程之间的数据传输,也是通过IP来识别的,在不同局域网络中的计算机的识别,则是通过IP地址翻译技术来实现的。
四、防火墙安全方案部署
针对防火墙的部署,是实现安全边界的部署,主要是在想保护和隔离的资源边界部署防火墙。一般的,防火墙的部署主要在三个区域,第一个区域在外网与内网的交界处设置防火墙,这样从外网到内网的数据以及从内网到外网的数据传输都会被防火墙的安全规则过滤,并且按照相应的策略进行处理,进而实现网络恶意攻击的有效隔离;第二层防火墙一般部署在局域网中的服务器与局域网络之间,实现系统服务器与局域网络的隔离,服务器提供的服务为专门的服务器,防火墙可以实现对局域网访问用户的身份认证以及相关操作和访问的日志记录,并且对访问日志进行安全审计以主动抵御网络安全攻击;第三层是在数据库服务器与应用服务器之间设置防火墙,很多局域网系统的核心价值是企业的数据信息,在应用服务器与数据库服务器之间设置防火墙可以有效地加强整个应用系统对数据访问的控制,如果是非授权访问或恶意操作,防火墙都会将该请求丢弃掉而拒绝发送,从而有效地保障核心数据的安全。
关键词:计算机网络;网络安全;安全技术
1个人计算机网络安全
1.1个人计算机在网络中所遭受攻击与入侵手法的分析
(1)安全漏洞。
许多系统都有这样那样的安全漏洞。其中一些是操作系统或应用软件本身具有的,如TCP/IP协议的缺陷常被用于发动拒绝服务入侵或攻击。这种攻击的目的通常是消耗带宽或消耗网络设备的CPU和内存。入侵者通过向目标服务器发送大量的数据包,并几乎占取和消耗该服务器所有的网络带宽,从而使其无法对正常的服务请求进行处理,导致网站无法进入,网站响应速度大大降低或服务器瘫痪。对个人上网用户而言,可能遭到大量数据包的入侵使其无法进行正常操作。
(2)电子邮件入侵方式。
电子邮件是Internet上运用得十分广泛的一种通讯方式,入侵者往往会使用一些邮件炸弹或CGI程序向目标邮箱发送大量内容重复、无用的垃圾邮件,从而使目标邮箱被塞满而无法使用。
(3)防范特洛伊木马程序。
特洛伊木马程序是一种黑客软件程序,它可以直接侵入计算机系统的服务器端和用户端。一旦用户打开附有该程序的邮件或从网上直接下载的程序后,它们就会像古特洛伊人在敌人城外留下藏满士兵的木马一样留在用户计算机中,当用户连接Internet时,此程序会自动向入侵者报告用户主机的IP地址及预先设定的端口。网络入侵者在获取这些信息后,就可任意修改用户主机的参数设定、复制文件、窥视硬盘中的内容信息等,从而达到控制目的。
1.2对网络攻击与入侵进行防御的方法
(1)把Guest账号禁用。
打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。
(2)禁止建立空连接。
具体方法是打开注册表“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可,
(3)删除不必要的协议。
鼠标右击“网络邻居”,选择“属性”,卸载不必要的协议,其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级
TCP/IP设置”对话框,选择“WIN”标签,选择“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。
(4)保障电子邮件的使用安全。
①选择安全可靠的邮件服务。
目前,Internet上提供的Email账户大都是免费账户,这些免费的服务不提供任何有效的安全保障,有的免费邮件服务器常会导致邮件受损。因此最好选择收费邮件账户。
②确保邮件账号的安全防范。
首先要保护好邮箱的密码。不要使用保存密码功能以图省事,入网账号与口令应重点保护。设置的口令不要太简单,最好采用8位数。
③对重要邮件信息加密处理。
可使用某些工具如A-LOCK,在发送邮件之前对内容进行加密,对方收到加密信件后必须采用A-LOCK解密后方可阅读,可防止邮件被他人截获而泄密。
(5)防范特洛伊木马程序常用的方法。
①预防特洛伊木马程序。
在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。尽量避免下载可疑软件,对于网上某些可疑的,诱惑性动机比较明显的软件或信息,一般不要下载,以防染上“木马”程序。
②禁止不明程序运行。
在“开始”“运行”中msconfig,在“启动”选项中查看有没有可疑项目,去掉前面的勾。
2网络安全技术在商业领域中的研究及应用
2.1防火墙技术
防火墙技术和数据加密传输技术将继续沿用并发展,多方位的扫描监控、对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全,五者综合应用。在产品及功能上,将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议,建立专用网(VPN);推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。
2.2生物识别技术
随着21世纪的来临,一种更加便捷、先进的信息安全技术将全球带进了电子商务时代,它就是集光学、传感技术、超声波扫描和计算机技术于一身的第三代身份验证技术——生物识别技术。
生物识别技术是依靠人体的身体特征来进行身份验证的一种解决方案,由于人体特征具有不可复制的特性,这一技术的安全系数较传统意义上的身份验证机制有很大的提高。人体的生物特征包括指纹、声音、面孔、视网膜、掌纹、骨架等,而其中指纹凭借其无可比拟的唯一性、稳定性、再生性倍受关注。
2.3加密及数字签名技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。
不对称加密,即“公开密钥密码体制”,其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道,分别称为“公开密钥”和“秘密密钥”。
目前,广为采用的一种对称加密方式是数据加密标准(DES)。在电脑网络系统中使用的数字签名技术将是未来最通用的个人安全防范技术,其中采用公开密钥算法的数字签名会进一步受到网络建设者的亲睐。这种数字签名的实现过程非常简单:①发送者用其秘密密钥对邮件进行加密,建立了一个“数字签名”,然后通过公开的通信途径将签名和邮件一起发给接收者,接收者在收到邮件后使用发送者的另一个密匙——公开密钥对签名进行解密,如果计算的结果相同他就通过了验证。数字签名能够实现对原始邮件不可抵赖性的鉴别。②多种类型的专用数字签名方案也将在电子货币、电子商业和其他的网络安全通信中得到应用。
参考文献
[1]熊桂喜,王小虎译.计算机网络(第3版)[M].
[2]王钊,蒋哲远,胡敏.电子商务[M].
【关键词】远程教育;安全技术;信息加密
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2012)11-0082-01
一、网络安全
网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。如何保证网络是安全的呢,从以下四个方面进行详细说明:
1、信息加密技术
数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。
链路加密是传输数据仅在物理层前的数据链路层进行加密,不考虑信源和信宿,它用于保护通信节点间的数据,接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。
与链路加密类似的节点加密方法,是在节点处采用一个与节点机相连的密码装置,密文在该装置中被解密并被重新加密,明文不通过节点机,避免了链路加密节点处易受攻击的缺点。
端到端加密是为数据从一端到另一端提供的加密方式。数据在发送端被加密,在接收端解密,中间节点处不以明文的形式出现。端到端加密是在应用层完成的。在端到端加密中,除报头外的的报文均以密文的形式贯穿于全部传输过程,只是在发送端和接收端才有加、解密设备,而在中间任何节点报文均不解密,因此,不需要有密码设备,同链路加密相比,可减少密码设备的数量。另一方面,信息是由报头和报文组成的,报文为要传送的信息,报头为路由选择信息,由于网络传输中要涉及到路由选择,在链路加密时,报文和报头两者均须加密。而在端到端加密时,由于通道上的每一个中间节点虽不对报文解密,但为将报文传送到目的地,必须检查路由选择信息,因此,只能加密报文,而不能对报头加密。这样就容易被某些通信分析发觉,而从中获取某些敏感信息。
二、网络安全策略
(1)建防火墙技术
防火墙技术是目前业已普遍采用的重要网络安全技术,它不仅能够在网络人口处检查网络通讯,并且根据客户设定的安全规则在保护内部网络安全的前提下,保障内外网络通讯,而且能够在在网络出口处有效隔离内部网络与外部网络,能使所有来自外部网络的访问请求都要通过防火墙的检查。因此,构建防火墙,能有效提高内部网络的安全。
(2保证机房及网络环境的物理安全
对于容易受外界因素(雷电、电磁辐射、电压波动等)损坏的设备,可从如下几个方面加强实体安全保护:一是采取良好的屏蔽及避雷措施,防止雷电和工业射电干扰;二是采用稳压电源和不间断电源UPS,防止电压波动或突然断电引起设备损坏或数据丢失;三是安装报警器、各种监视系统及安全门锁等防止设备被盗;四是按计算机安全场地要求采取防火、防水、防尘、防震、防静电等技术措施,采取电磁屏蔽及良好接地等手段,使系统中的设备既不因外界或其他设备的电磁干扰而影响其正常工作,也不因其自身的电磁辐射影响周围其他设备的正常工作;五是采用新技术(如TEMPEST技术)防止电磁泄漏,需采取设计低辐射的设备和电磁屏蔽等措施防止电磁泄漏。
(3)运用入侵检测技术防止内外网攻击
入侵检测系统也是一种应用成熟的网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,它不仅能够对付来自内外网络的攻击,而且能够缩短黑客入侵的时间。
(4)划分VLAN,并做到IP和MAC地址绑定
在校园网中,连接的用户群体非常复杂。学校网络管理部门尽量把不同的区域划分为不同的内部网段(VLAN),把学生机房和服务器区、教师办公室、学生宿舍、图书馆、家属区等独立开来。同时,为了防止校园网中IP地址盗用和IP地址冲突,可以在交换机或其他网络设备上捆绑IP和MAC地址,使每个IP地址对应一个MAC地址,如果在硬件上无法实现捆绑,还可以用专用的工具软件来实现。
(5)病毒防护系统策略:由于病毒的种类和传播媒介每天都在不断翻新,现在的病毒更多地通过网络共享文件,电子邮件及Intemet/Intranet进行扩散。我们对该大学远程教育系统在网络中配备病毒防护系统,进行全网的防毒、杀毒,并为由此提出了—套完整的防病毒解决方案。通过采用整体防病毒解决方案大大简化网管人员的工作,降低了该校总拥有成本(TCO)。
(6)页面保护系统策略:我们建议使用页面保护系统,这样可以随时对主页系统进行监控,当发现主页被非法篡改后,会马上产生响应,自动把主页恢复正常。此策略配置范围覆盖省、各市局域网,产品采用天融信公司NG FW防火墙的webguard页面恢复模块。本系统主要xCweb服务器页面进行安全保护,即将需要进行保护的页面进行备份及校验,并定时检查校验和,一旦发现页面文件被非法修改,则及时报告管理员恢复页面或进行自动恢复,以免造成较大影响
(7)安全评估系统策略:采用安全评估系统,用专业公司做出的相应软件,对系统进行扫描并提出合理性评估意见、报告以及解决办法,并定期对网络系统进行安全性分析,及时发现并修正动态运行的网络系统中存在的弱点和漏洞,有效地防止了黑客攻击。该策略扫描分析能力强大,能给用户建议保证系统安全的安全策略,最大限度地保证用户信息系统的安全。
