时间:2023-09-13 17:14:04
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇关于网络安全的论述,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:4G通信;无线网络;网络安全;通信安全;安全技术
前言
进入新世纪以来,我国已经逐渐进入信息化通信时代。该时期,数据交流越来越频繁,数据量也越来越大,在这种情况下,原有的有线通信技术已经越来越难以适应当前形势下的要求。和有线通信技术相比,无线网络在灵活性和便利性上有着独特的优势,因此更与当前时代的发展方向更为契合。近年来,无线网络通信终端已经逐渐普及到大众的日常生活中,人们在享受无线网通信带来的便利同时,无线网通信中的安全问题也暴露出来。据相关部门统计,我国有近七成的无线网存在着漏洞,有着极大的安全隐患。鉴于这种局面,要及时采取措施提升无线网络通信的安全。
14G通信技术
随着人们对通信业务需求量的不断增加,今天,拥有一台如同智能手机这样的无线网终端设备已经成为人们日常的“标配”,这种在量上的需求,也使得无线网络通讯成为现代乃至未来通信技术的趋势。我们将要论述的4G通信技术,全称是“第四代移动通信技术”,较过去的2G和3G网络,4G基本上取得了传输速度块、通信质量强、信号稳定等重要节点的突破。就目前来说,4G网络技术已经趋向成熟,其兼容性也较刚出世之时有了较大的改善,现在的4G网络可以较为轻易地实现大数据的快速传输,并且其频谱在扩展和,可以支持多种技术的接入。就人们的日常生活来说,4G让人们得以利用手机终端,流畅且清晰地享受网络上的音频和影像资源、和其他人用视频方式联系等等,可以说,4G网络的出现极大地提升了人们的生活质量。
2.1关于4G通信技术的无线网络安全威胁
尽管4G通信技术给我们的生活带来了诸多的便利,但其安全形势确实不容乐观的。就当前来看,在网络中存在着许多种攻击形式,如常见的木马病毒,专门盗取用户的个人信息;再者如针对网络协议(InternetProtocol)的攻击,将用户的IP强行更换,让用户在不知觉中浏览不安全的网页;更为严重的还有利用硬件设备自身的缺漏等病毒,破坏用户的文件信息,致使一些公司和企业遭受较大的信息损失等。可见,用户在遭到来自无线网络的攻击后,均会蒙受不同程度上的损失。就4G网络通信来说,其系统的构成主要有四个部分:(1)接收终端;(2)无线网接入网络;(3)核心网络;(4)承担IP的主干网络等,这几个部分都可能受到网络攻击,其安全状况十分严峻,所以亟待采取安全防范的手段。此外,由于无线网络的存在形式不依存于电缆之类的实体,故其信号很容易被不法分子获取和入侵。就以往的案例来看,当不法分子侵入无线网之后,常会进行该网络下的数据删除或删改,下载用户个人信息,在网络中嵌入病毒等恶劣行为。
2.2关于4G通信技术的无线网络安全通信策略
上面我们对目前无线网络存在的安全隐患进行了分析,可知当前的关于4G通信技术的无线网络安全威胁已经大大影响了人们的生活,相关部门需要立即采取措施加以防护。下面我们便对该问题展开论述。有关4G通信技术安全方面的探索处在初步阶段,在未来还需要进一步扩展,这其中进行安全通信考虑时,要注意首先确保通信的安全,其次提升通信的效率和兼容性,让更多的用户流畅地使用网络,提高网络的可扩展性,对此要着力以下几点:①确保用户终端承担的任务量较少,避免网络延迟;②减少处在TCP/IP的信息交互量;③向用户公开网络的安全手段;被访问网络的安全防护措施应对用户透明;④让用户可以自身对网络使用的安全措施有所调整;⑤合法用户可自行提升或修改其中业务的防护措施等。关于4G通信技术的无线网络安全通信策略要立足于其通信特点,以求从实际出发,具体的解决问题。对此,网络安全部门要首先建立起相关的安全通信机制,配合具体的通信要求和环境,制定相应的安全措施。如强化无线网登入时的管理,实行用户实名认证的措施,并且提升身份认证的签名安全度,以此减少用户信息被盗取的可能。此外,网络安全人员还要加强网络优化,通过精简网络传输中安全协议数据的信息量,降低这类安全协议被获取至破解的可能性。加强无线网信道的加密,如使用更为安全的WPA2接入(Wi-FiProtectedAccess,WPA)技术,以减少网络密码被破解的可能。同时,要加强无线网发射设备对终端地址过滤的能力,以避免非法分子进入网络,节约网络资源的使用。还要强化发射设备对数据的过滤能力,在设备运作时,可以减少威胁数据的流入,以避免病毒的攻击。最后,需要强调的是,除了在网络中采取的必要手段外,安全人员还需要强化硬件上的防护,阻止不法分子通过物理手段的攻击,避免设备端口被攻击的情况。
3结语
通过上文来看,随着电子通信技术的发展与普及,以4G通信技术为代表的无线网络通信已经深入人们的日常生活,给工作和娱乐提供了便利。但是4G网络中存在着大量的安全隐患,如果不及时采取安全措施,将会对用户的信息安全造成不小的破坏。对此,网络通信安全人员要重视这一问题,从多方面多角度加强安全防范,确保无线网络的安全。
参考文献:
[1]巫晓月.4G通信技术的网络安全问题及对策探讨[J].建筑工程技术与设计,2016(4).
[2]赵凯丽.4G通信技术的网络安全问题及对策探讨[J].数字技术与应用,2015(5):41-41.
[3]闫宁霄.4G移动通信技术的要点及发展趋势探究[J].中国新通信,2017(2):40-40.
1计算机网络安全存在的问题
1.1计算机网络本身的问题
每一个系统天生就存在或多或少的安全漏洞,计算机的系统本身或者所安装的应用软件中的部分都具有一些安全问题。常见的漏洞是TCP/IP协议的缺少经常被用作发起拒绝服务入侵或者攻击,消耗宽带、网络设备的CPU和内存是此入侵的目的。他们的入侵方式为发送许多的数据包给要攻击的服务器,从而消耗和占领一切的宽带网络用来攻击此服务器,然后服务器的正常服务无法进行处理,从而没有办法访问网络,很大程度的降低了网站的回应速度,最终导致服务器瘫痪。就个体的网络访问者来说,该攻击会导致计算机无法正常的运行。
1.2安全威胁来自内部网
相对于外部网的使用者,内部网的使用者所遭遇到安全威胁的程度更大。主要原因是内部网的用户绝大所数都缺乏安全意识。在内部网中,因为网络管理员和网络使用者的具有相似的权限,所以存在的安全隐患就是有人利用这些权限来攻击网络的安全,比如泄露操作的口令、存在磁盘上的机密文件被人利用、一些网络安全技术与应用文/童旭亮本文主要介绍了网络安全的定义,从各个方面叙述了目前的各式各样的基本原理关于网络安全技术与安全协议,还介绍了它的主要特点、发展情况等,并论述网络安全技术的综合应用。通过对我国计算机网络安全技术的剖析,并与实践中的网络应用,来预测我国计算机安全发展的情况。
1.3黑客的攻击手段在持续的更新
差不多在每一天不同的系统都会有安全问题的发生,但是所用的安全工具的更新速度太慢,在很多的时候只有用户自己参加才能发现以往不知道的安全漏洞,而且用户自己发现未知问题经常会很慢,且处理也很差。其次就是黑客的攻击手段在持续的更新,安全工具发现了问题,并且用尽全力的修复问题,黑客的新攻击手段又开始进行攻击,新的安全问题再次出现,形成黑客与安全工具之间的相互的追逐。
2计算机网络安全防范的具体措施
2.1防范网络病毒
在Internet的环境下,由于病毒传播扩散的快,单单是用单机的安全工具来防毒已经不够用来完全的查杀网络病毒,因此就必须要有在各个方面防止病毒的产品适用于局域网。一般较为常见的局域网有:学校、医院、企业、政府单位等,这些内部局域网要想保证安全,就需安装一个防病毒软件在服务器的操作系统平台上,还需要一款专门对内部局域网用户的防毒软件在各自桌面操作系统。在与网络连接时,要有网关防毒软件,以此来保障计算机上网时的安全。在内部局域网的用户要用电子邮件交流信息时,就需要一系列的防毒软件关于邮件服务平台,用该软件可以找出隐藏的病毒在邮件及其附件当中。因此为了保证计算机的网络安全,就需要给计算机安装一款全方位多角度的杀毒软件,设置对应的防毒软件根据计算机网络所有可能出现的病毒攻击点,并且不断更新防毒软件,加强防病毒的安全配置,即使升级计算机补丁,从这些方面来避免计算机遭受攻击。
2.2配置防火墙
在进行网络通讯时,可以应用防火墙来把握访问的尺度,数据进入自己的网络时必须是防火墙允许访问的人,那些没有经过防火墙允许的访问者和数据将不能进入,这样就可以在很大的范围内来防止黑客来攻击自己的网络,同时也可以阻止黑客来任意改写、移动或者删除计算机中重要的信息。在网络安全机制中,防火墙是一种使用范围广、保护计算机效果较好的机制,它可以阻止网络上病毒延伸到局域网中的其他用户。防护墙的服务器以及客户端的各种设置需要根据不同的网络属性以及用户的需求,只有这样才能更好的发挥防火墙在网络安全中的作用。
2.3采用入侵检测系统技术
为了保证系统的安全开发了一种技术,此技术能够快速的发现和通知给系统一些没有经过用户授权和异常的现象,能够检测出违背计算机网络安全行为。它的工作原理是入侵检测系统中利用审计记录,从而找出没有被系统授权的活动,从而建立起计算机网络自主的防御黑客攻击的完备体系。
2.4漏洞扫描系统
明白计算机网络中的安全问题以及容易被黑客攻击的漏洞,是解决计算机网络安全的主要手段。网路安全扫描工具可以帮助用户找出安全漏洞、对计算机的所遭受的风险进行预评、优化系统的配置,来解决系统的漏洞和消解可能出现危险。
3总结
计算机网络安全是一个相对的概念,它是安全策略与实际操作的配合,是系统的工程。要想使计算机网络安全,不是只依赖于杀毒软件、防火墙、入侵检测系统等一些计算机自主的措施,还需要培养人的计算机安全意识。我们需要不断的研发计算机网络安全的软件,为计算机建立一个良好的安全系统。只有这样才能使我们处于安全的计算机环境中,使计算更加为我们所用。
作者:童旭亮 单位:上海互联网应急中心
参考文献
[1]刘亦凡.学校网络安全技术应用与研究[J].信息系统工程,2017(1).
【关键词】高校计算机网络,网络安全问题,对策分析
【中图分类号】G64 【文献标识码】A 【文章编号】1672-5158(2013)04-0116-01
一、绪论
1.1 研究的背景和意义
网络对当今社会的越来越重要。随着互联网在校园的普及,网络安全逐渐成为一个潜在的巨大问题,也向网络管理运行提出了更高的要求。随着互联网的迅速发展,计算机网络已成为高校科研、和教学所必不可少的重要设施。计算机网络通过网络技术以及计算机技术,从而实现高校内计算机局域网互连,并通过中国科学院计算机网络、中国和科研计算机网与国际互联网络互连,实现资源共享和对外交流。与此同时,计算机网络也存在安全问题,高校网络如果存在安全问题,从而停止运行、被恶意破坏或者中断服务,将对高校的各项工作造成严重的影响,其损失也是难以估计的。因此,充分的了解高校计算机网络存在的问题,并针对其提出解决措施,确保高校网络安全畅通,已成各高校所关注的重点问题。
1.2 计算机网络安全的概念
计算机网络安全就是指网络上的信息安全,即指网络系统的数据受到保护,不受到恶意或偶然的更改、泄露、破坏,网络服务不中断,系统可以连续可靠正常的运行。从广义的角度来说,凡是涉及到网络上信息的真实性、可用性、完整性、可控性以及保密性的相关理论和技术都是网络安全的研究领域。
二、高校计算机网络存在的安全问题
2.1 关于高校计算机网络安全的硬件方面的问题
高校计算机网络设备分布范围比较广泛,无法进行封闭式管理,尤其是室外设备,如电缆、电源、通信光缆等的管理维护方面。另外,就算是在室内,也常常发生设备损坏、破坏、被盗等情况,例如包含数据的主机、光碟、软盘等被盗,常常使得部分数据被泄露或丢失。事实上不管是哪一种设备出现问题,都导致高校的网络出现瘫痪可能,甚至影响到高校其他各项工作的正常开展。
2.2 关于高校计算机网络安全管理和使用方面的问题
网络系统的是否能正常运行离不开系统管理人员对网络系统的管理。很多高校对网络安全保护不够重视以及资金投入不足等问题,造成管理者心有余而力不足,在管理上无法跟上其他单位。另外,用户有时因个人操作失误也会对系统造成破坏。管理人员可以通过对用户的权限进行设置,限制某些用户的某些操作,从而避免用户的故意破坏。由于对计算机系统的管理不当,会造成设备损坏、信息泄露等。因此科学合理的管理是必须的。
三、高校计算机网络安全问题的对策及措施
3.1 高校计算机网络安全问题的对策
首先网络安全最大的威胁不是来自外部,而是内部人员对网络安全知识的缺乏,所以必须加强师生安全知识、安全意识及计算机网络安全的法制教育。定期组织师生参加网络安全方面知识的培划。
其次,网络安全管理需要制定一整套严格的安全政策,以管理手段为主,技术手段为辅。针对高校计算机网络的各个管理部门,对数据管理和系统流程的各个环节进行安全评估,确定使用的安全技术,设定安全应用等级,明确人员职责针对使用者,明确网络用户使用的规章制度。通过制定制度严格规范上网场所,集中监控、统一管理。统一验证上网用户身份,随时跟踪监控上网行为,及时保存上网日志,保证记录的法律性和准确性。对学生密集的机房加强源头控制,减少外来感染机会,控制和监视每台机器的下载文件,控制不良信息的传播与网络聊天,加强密码的管理。
3.2 高校计算机网络安全具体的措施
3.2.1 高校计算机网络安全技术上的安全防护措施
目前,网络安全技术防护措施主要包括:防火墙技术、身份验证、入侵检测技术、杀毒技术加密技术、访问控制等内容。主要说来是:(1)监控相关的信息交换,也就是按照一定的对互联网和专网进行监控,阻止某些网络间的通信;保证校内网不受到未经授权的访问者侵入。(2)vLAN技术即虚拟局域网技术,按照不同的安全级别以及不同的应用业务,将网络进行分断并隔离,实现访问的相互间控制,限制用户的非法访问。(3)选择合适的网络杀毒软件,对网络定期进行查毒、杀毒、网络修复。(4)入侵检测技术帮助系统对付网络攻击.扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。
3.2.2 高校计算机网络安全管理上的防护措施
首先是网络设备上的科学合理管理。比如将设备尽量进行集中管理,像主干交换机、各种服务器等;对各种通信线路尽量进行架空、穿线或者深埋,并做好相应的标记;对终端设备实行落实到人,进行严格管理,如工作站以及其他转接设备等。
其次是建立安全实时响应和应急恢复的整体防护。设备坏了可以换,但是数据一旦丢失或被破坏是很难被修复或恢复的,从而造成的损失也是无法估计和弥补的。因此,必须建立一套完整的数据备分和恢复措施。从而确保网络发生故障或瘫痪后数据丢失、不损坏。
最后是完善相关的法规,加强宣传教育,普及安全常识。计算机网络是一种新生事物。它的一些行为都是无章可循、无法可依的,从而导致计算机网络上的犯罪十分猖獗。目前国内外都相继出台了一些关于计算机网络安全的法律法规,各高校也制度了一些管理制度。与此同时还要进行大量的宣传,使计算机网络安全常识普及。
3.3 高校计算机网络安全应构建的相关系统
(1)网络在给大家带来方便的同时,也给病毒的传播提供了方便。集中式的网络病毒防杀系统不仅可以管理很多的联网计算机,对联网计算机进行统一的病毒清除;同时可以及时公告病毒防杀信息,自动更新和升级病毒库,具有科学的病毒预警机制;还可以为域外联网计算机提供在线杀毒功能;并可以提供电子邮件病毒网关或病毒引擎功能,与电子邮件系统集合,对病毒邮件进行过滤。可以说当前集中式病毒防杀系统是有效防杀校园网病毒的最有效措施之一。集中式网络病毒防杀系统,不仅具有病毒防杀范围广,病毒库更新及时、方便,而且具有防杀行动统一、彻底,系统稳定、可靠,用户参与少,整体投资效益高等优点。
(2)随着网络攻击和病毒技术的发展,防火墙已经不是网络安全的“万能产品”,但是作为防止网络攻击,特别是来自外网的攻击,防火墙功能仍然是目前其他产品无法替代的。防火墙技术是保证网络安全最早、也是最广泛使用的产品,曾经被认为是网络安全最有效的技术措施。当前的防火墙种类很多,可以按照防范技术分为:包过滤型、入侵检测型、应用程序型等。通过必要的防火墙设置,可以按照服务功能将校园网划分成多个安全区域和公共区域,并定制多种防范策略,保证网络应用服务的正常开展。
关键词:信息安全 通信融合 网络安全
信息技术的发展使网络世界变得复杂多样,为了能够有效的改善这种情况,我们在网络系统中设置多个安全设置,将信息进行融合,改变了单个安全设置防备不完善的性能,保障了系统的安全。
一、当代的我们为何要重视信息安全
1.由于微机本身的安全性能较低
微机产生于上世纪七十年代,当时的集成电路高度发展,最终形成了微机。微机在成熟后被称为个人计算机,针对于个人使用,而不是公用。微机的出现虽然在一定程度上降低了制造成本,但随着储存器隔离机制和程序的安全保护机制等一系列成熟的信息安全机制被去除,程序的执行不再被限制,系统的数据也可以随意被更改,病毒、木马等程序也就趁机猖獗起来。
2.随着信息技术的再度发展,最初的被称为个人计算机的微型计算机再次成为公用,但关于信息安全的系统已经去除,因此,现代计算机面对如此复杂的环境,抵御能力自然下降。
3.网络的迅猛发展,再次将计算机带入到了网络中,甚至已经成为了一个重要的组成部分。网络的连接使信息的传递突破了地域的界限,但缺乏安全体制的管理,网络信息世界已经危机四伏。一些网络协议的复杂性,导致了安全验证的过程十分复杂,其次,当前的网络协议都是一些较为简单的。不能完全保证信息的安全性和网络不被攻击。
二、信息通信的融合发展
最初的信息技术与通信技术是两个毫不相干的独立领域。随着时代的转变,技术的发展,通信技术为了使更多的人获取到信息通信增值服务,在技术层面上将通信技术逐渐从底层延伸到了应用层,总之,通信技术和信息技术两者之间在理论上的界限越来越模糊。但从目前的总体趋势来看,通信技术和信息技术的融合发展,是大势所趋。两种技术的融合可以基于宽带网络提供通信服务,如进行信息的采集和共享工作。
信息技术和通信技术的融合在当代形成了一个全新的技术领域。它为传统的行业在技术上带来了颠覆性的转变。突破了传统的软件产业与硬件产业独立发展的境况,逐渐将软件硬化、硬件软化了,以此来逐步节约成本和提升管理工作的效率。同时也使产品具有更高的稳定性,实现了信息从上层贯穿至底层的资源互动。
此外,我们在当代提出信息通信技术的融合是由于信息通信技术已经成为了推动社会发展的主动力,并迅速的带动了各国的经济增长。而在我国,信息通信融合这一概念最早被接受则是出现在电信运营商。他们将现代的信息技术通过计算机网络与通信融合成一个提供服务的平台,后来,这一平台就被称为融合通信。当前,我国已经正式将信息通信产业设立为推动我国经济繁荣的新兴产业。三个主要的通信服务运营商正在以不同的方式进行着信息通信的融合。信息通信融合发展,不仅对于我国的通信业务产生了影响,也对我们发展国家电力电网事业有了启发。我国在发展智能电网和智能电厂的创设方面多运用了这一融合性的思想,将会对智能电网事业起到支撑性的作用。
三、信息通信融合技术在网络安全中应用的必要性
信息融合技术已经成为国内外的研究热点,经过研究表明,发挥信息融合技术的自身优势,是保证网络安全的关键。
1.随着信息技术的不断发展,传统的设置防火墙已经不能解决来自互联网内部的网络安全问题了。网络安全设备的单一性再次暴露了无法应对多重网络攻击的特点。杀毒软件无法识别最新的病毒程序,检测系统无法及时的传递检测信息。而这时正需要对网络的安全性做出全面的分析。
2.高速运转中的各类信息急切的需要一个管理的平台。随着网络攻击的日益增多,我们在网络的配置中增添了许多的安全设备,但这些安全设备在运行的过程中难免会产生大量的信息,这为网络安全管理员对于安全性的分析设置了障碍。同时,过于复杂的管理过程也影响了网络系统之间的合作。
3.网络攻击手段的多样性催生了许多关于网络安全性的思考。现代的网络攻击手段,通常是分层次,分步骤的逐一进行攻击。因此,我们只有顺应变化,不断的提升网络安全防御能力,才能提升网络安全性,全面的分析和处理网络问题.
四、信息通信融合应用到网络安全中的可行性
网络攻击手段的不断复杂和安全技术的不断发展,促使了信息融合技术的应运而生,信息融合技术在网络安全方面起到了联动、预警、评估分析等作用。并且经过长时间的实践,我们发展融合技术应用到网络安全方面是可行的。
1.单个网络设备在防御方面通常具有不稳定性和一定的局限性。而信息融合技术则能够在一定程度上使网络的性能得到有效的提升,并能将运行中的网络状态准确的描述出来。
2.网络安全设备中融入了信息安全设备,将有利于提升网络安全设备的可信度,同时也提升了判断网络安全问题的正确性。
3.信息融合技术在处理网络安全中的不确定性问题方面做出了贡献,减少了我们对于网络安全问题上认知的模糊问题。
4.由于采用了信息融合技术,从而整体提升了网络对于信息的检测能力,通过网络多个安全设备的处理信息和对安全事件的综合处理结果,提升了对于网络中的有效且安全的信息的发现概率。
随着网络之间攻与守的角色不断转变,信息融合技术在网络安全中的重要意义也逐渐受到了来自国内外的关注。在国外的相关文献中曾指出,信息的融合可实现不同质的数据进行融合。若想要成功的反应一个网络系统的网络形态,就必须要进行数据信息的融合。此外,国外还有根据信息融合技术构建态势感知模型。通过态势感知构架我们得知,信息的融合能够及时的了解网络的安全动态,并对我们在进行有关的决策时提供帮助。
五、信息融合技术在网络安全的应用中仍需改善的地方
虽然信息融合技术在一定程度上为网络安全做出了贡献,也有许多技术应用到了网络安全的创建中,但纵观整体,仍有许多需要改进的地方。
1.信息融合的过程中,可以适当的选择多种方式相结合,避免由单一方式造成的误差以及理论性误差,提升结果的准确率。
2.信息融合技术目前只是针对某一种网络安全问题进行模型创立和解决问题,而没有涉及到整体的网络状况的研究。
3.应注重融合技术与网络安全系统的不断磨合,使其充分适应网络环境,降低由于主观因素带来的不适应性问题,从而全面的反应系统的安全问题。
总结:
信息通信融合技术的发展是一个长时间的复杂的工程,从维持到稳定再到发展也是一个漫长的过程,这其中也包含了对于网络、信息、系统等多方面的管理水平,以及对于操控计算机的专业人员的水平管理。也可以说,这其中的任何一个环节的疏漏都有可能导致融合技术无法发挥其正常的水平。在当前这个信息时代,信息的安全已经关系到国家的安全,因此,我们利用信息融合技术,切实的保障言网络系统和信息的安全能够在一定程度上提升我们的综合国力。但我们深知,信息融合技术的发展还不够完善,起步较晚,而且网络信息安全的保障工作也不在一朝一夕之间,更多的是需要我们根据实际情况,磨合信息融合技术,全面而有效的保障网络信息的安全。
参考文献:
[1] 金海敏, 许斌. 浅谈当前形式下电力信息通信技术[J]. 大科技,2011(20): 259260.
[关键词]油田;网络信息;安全体系
doi:10.3969/j.issn.1673 - 0194.2016.06.043
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)06-00-01
近年来,中国的石油企业得到了飞速发展,石油企业的逐年增加,推动了经济的快速发展,但随着经济全球化步伐的加快,中国的石油企业也面临风险与挑战。尤其是在油田信息安全管理方面存在诸多问题。因此,加强网络信息安全建设、提高安全管理水平,成为石油企业的当务之急。
1 油田安全环保管理存在的问题
1.1 油田网络信息安全意识薄弱
大多数油田企业管理人员对安全环保不甚了解,造成网络信息安全管理不受重视。针对油田施工中存在的问题,虽然油田企业管理人员也会向施工单位提出,但是却“虎头蛇尾”,不关心问题解决的后来走向,如果施工单位实际上没有解决问题,就会造成很大的隐患。此外,一些企业缺乏对员工培训的重视,仅仅通过宣传教育向员工输送网络信息安全知识,员工对安全环保工作仍然一知半解,更不用说将网络信息安全管理意识应用于实际工作中。长久下去,员工的工作积极性与工作热情难以调动,工作效率与质量得不到提高,企业更加难以实现长久稳定的发展。
1.2 安全隐患众多
第一,一些油田企业为降低成本,不愿意更换设备,让设备处于长时间的超负荷运转中,造成使用寿命大大减少,这些都是安全隐患的组成因素;第二,油田开采中会产生较多的报废井,并且会随年限逐渐增多,对于长停井、位于环境敏感区的报废井等,油田企业缺乏重视,没有投入足够的资金进行治理或者没有封井,导致安全隐患的产生。另外,石油企业作为密集型企业,设备众多、种类复杂、更新换代快。在专用的设备和运输设备上,投入的资金比重较大。但是由于企业的特殊性,设备资金的投入是非常必要的。此外,设备具有维修难度大,维修成本高的特点,在石油设备的经济管理上,很难做到全面管理。油田安全隐患得不到解决,建设质量不佳,更加体现了网络信息安全体系建设的重要性。
2 改革油田网络信息安全体系的措施
2.1 建立专门的网络信息管理组织
对于石油企业网络信息安全体系的改革,首先,要改变以往的以部门为单位的建设组织,将任务更加细致地分配下去,落实到每一个人。对网络信息体系进行重新的定位划分,提高信息安全体系管理的效率与质量。其次,依据相关人员的能力与技术的特点,明确网络安全体系建设部门的责任,做到权责明确、权责对等。建立专门网络信息管理组织,在细微之处体现和谐发展观的理念,调动工作人员的积极性与热情,将石油开采、勘探、设备管理等方面工作完成得更加顺利、出色,促进中国石油企业不断进步与发展。
2.2 完善油田网络安全体制
油田网络安全体制包括设备采购管理制度、设备运行制度、设备维护制度、运作成本审查制度等,只有建立完善的石油企业网络信息安全体制,完善管理系统,才能在日常的油田勘探工作中,真正将网络信息安全体系建设落到实处。完善的油田网络安全体制可以提高石油企业的经济效益,提高中国石油企业管理水平,同时为中国石油企业的发展打下坚实基础。一个良好的石油网络安全体系,是石油企业长效发展的关键之处,更是推动中国石油发展事业的动力。
2.3 提高油田建设人员素质
建立专门的石油网络信息安全体系,完善设备管理制度,最终还要提高相关建设人员的自身素质。在油田网络信息安全体系建设的过程中,将任务落实到每一个人,提高其管理水平,才能保证设备管理工作的正常开展。要提高油田建设人员的素质,就要做好以下几点:首先,加强相关管理培训,一个合格的企业需要定期为员工进行相关的网络安全管理培训,在宣传与教育中,提高每个员工的实际操作能力;其次,建立奖励机制,对于一些表现出色的员工进行奖励,激发员工之间的竞争意识,提高石油网络安全建设人员工作的积极性与热情。
3 结 语
随着社会经济的变化与发展,石油企业更应重视油田网络信息安全体系的建设,在细微之处,将油田网络信息安全管理落实到实处。从一点一滴做起,践行“以人为本”的思想,以促进石油企业不断发展与进步。
主要参考文献
[1]刘锋.吐哈油田企业信息化模型与方法研究[D].北京:中国地质大学,2013.
[关键词]计算机;网络信息;安全;防护
0引言
现如今,网络与我们的生活密不可分,人们的工作、学习、娱乐都离不开信息网络系统。网络安全问题的重要性也随之增加,认清网络安全的影响因素,有效应对安全威胁十分必要。网络信息安全是一门综合性学科,通过对网络系统软硬件和数据的保护,将保障网络服务的连续性与可用性。
1信息网络的威胁因素
计算机网络信息安全的威胁因素错综复杂,无法依赖某一种方法对其进行彻底的防范,我们应利用各种防范手段,从软件供应厂商、网络维护人员以及用户等多方面考虑,建立起一个完备的计算机网络信息安全防护体系,保护网络信息安全以及用户的隐私安全,创造一个良好的网络环境。
1.1环境因素
信息网络的硬件系统处在一个自然环境中,极易受到外界因素的影响,高温、潮湿、电磁波、撞击等都会对计算机造成损害。这些因素会让计算机网络维护工作面对巨大的困难,这些不可抗力的因素需要从计算机自身出发进行预防工作的开展。
1.2人为因素
人为因素包括两个方面,用户的不当操作和外部人员的恶性攻击。一方面,用户自身对账户信息保存不当或密码设置过于简单,都会引起信息的泄露;另一方面,外部人员的恶性攻击,就是我们所说的黑客行为,他们利用网络漏洞进行非法侵入,这种侵入行为包括主动攻击和被动攻击,主动攻击会破坏网络系统,造成系统瘫痪,而被动攻击则是进行信息窃取,造成数据泄露。1.3病毒和间谍软件计算机病毒是一种具有潜伏性、传染性、破坏性和可触发性的可执行程序,不易被发现,但在触发后会破坏系统,造成数据丢失等恶性结果;间谍软件对系统的破坏性较小,但其对用户隐私危害极大,间谍软件的主要目的就是窃取用户信息。
2安全防范措施
计算机网络安全防范措施将决定着计算机网络能否正常应用,这对于整个计算机系统来说至关重要,因此,建立计算机网络维护的安全防范机制至关重要。面对复杂的网络安全威胁,我们需要采取有效地防范措施,保护用户隐私和系统的正常运行。
2.1强化账户密码安全
大多数网站都需要账户密码登录,用户首先应注意避免在非法网站上进行注册,以免泄露个人信息;另一方面,要注意密码的强化,避免使用身份证或其他证件的数字作为密码,密码应具有一定的复杂性,尽量使用数字和字母的组合,另外,要避免多个网站使用同一套用户名和密码,尤其是网银等涉及个人财产的账号。简易的账户密码会给黑客进行网络攻击提供条件,因此强化账户密码安全十分重要。
2.2安装杀毒软件
杀毒软件是我们使用最多也是最直接的网络防范工具,能够查杀病毒、木马等一切会对计算机造成危害的程序,需要注意的是,用户应及时升级杀毒软件,更新病毒库,以备准确查杀病毒。
2.3安装防火墙软件
防火墙是一种特殊的网络互联设备,能够有效加强网络间的访问控制,保护内部网络资源。常用的防火墙软件包括四种,一是型防火墙,也就是服务器,连接内部服务器与外部系统之间的通信。客户端的请求数据直接发送给服务器,由服务器将获取到的数据进行返回,以此保护内部服务器;二是地址转换型防火墙,通过地址转换,对外部网络隐藏内部服务器的连接情况,利用外部的临时IP保护内部网络;三是过滤型防火墙,利用分包传输技术,分析各包中的信息来源是否安全可信,及时阻断不安全的数据包;四是检测型防火墙,这是一种新型技术,能够通过实时主动的检测,及时发现非法入侵,并且能够同时防范内外部的不安全因素。防火墙软件通常与杀毒软件配合使用。
2.4更新漏洞补丁
美国威斯康星大学的一份报告中指出所有的软件中都存在一定的漏洞,当这些漏洞被黑客或者病毒利用时,就会造成极大的安全隐患。为此,软件厂商会及时相对应的补丁程序,用户应及时更新漏洞补丁,增强安全防范。
2.5入侵检测
入侵检测是一种利用网络通信技术、人工智能技术等进行监控的网络防范手段,包括统计分析法和签名分析法两种,统计分析法基于统计学,综合分析正常情况下的系统动作模式,以此为基准,判断系统的实时动作是否存在异常;签名分析法基于系统的已知漏洞进行安全防范,通过模板匹配,从已存在的攻击模式签名中发现问题。
2.6文件加密
文件加密技术在文件的存储、传输过程中保证数据的安全性,同时提供数据完整性的鉴别。在数据的传输过程中,一方面可在线路上采用不同密钥进行数据保密,另一方面也可对数据进行加密,在收信端进行解密,实现数据加密传输;数据存储方面也有两种加密方式,一种是通过加密模块、密法转换等对本地文件进行加密,另一种是存取控制,即对存取数据的用户权限加以控制。
2.7数字签名
数字签名能够准确辨别和检验电子文档,是保证数据完整性的有效手段,包括一般数字签名、基于非对称加密算法数字签名、基于对称加密算法数字签名、收信端不可抵赖的数字签名以及基于时间戳的数字签名。
主要参考文献
[1]王颖波.计算机信息安全技术及防护研究[J].计算机光盘软件与应用,2013(22):171-172.
【关键词】网络安全防护;安全威胁;数据加密
1.计算机网络安全威胁的类型
1.1物理安全威胁
在现实世界中,很多系统的硬件设备极有可能因为身份识别错误而被暴力破坏,而且一些存储有重要资料的硬件设备会被一些不法分子进行非法盗取,使得一些企业遭受严重的经济损失。
1.2系统安全漏洞威胁
一些系统在开发过程中,由于参数配置有误,或者编码不够规范的问题,导致出现了一些程序上的漏洞,这些漏洞将使得系统很容易被网络中的各类病毒所侵入进来,因此需要对系统定期扫描,并利用补丁来修补漏洞。
1.3身份识别的安全威胁
由于用户在登录系统的过程中,很有可能受到钓鱼插件的影响,再输入口令和密码错误的情况下导致口令被非法用户窃取,而且有时候用户在输入了正确的口令以后,因为验证算法本身设计得不合理使得身份识别错误,很多即使没有登录权限的用户也能登录到系统中来,形成了严重的威胁。
1.4木马病毒的安全威胁
随着计算机操作平台上的许多木马程序以及网络病毒的自身和蔓延,以及相当一部分系统都开放了外部网络的接口,这就使得很多计算机病毒得以乘虚而入,从而给依赖于操作平台的软件系统带来严重的威胁,而且由于病毒的潜伏期较长,具有较快的传染速度,一旦进入到系统中来,很可能带来极大的破坏。
2.计算机网络安全防范的相关技术
2.1入侵预防与检测技术
系统在网络层内置的入侵预防技术和检测技术,两者相辅相成,能够为系统提供对内防护,对外拦截的及时响应机制。这两项技术能够在既定周期内检测出各种非法入侵行为,并根据攻击点来分析入侵对象,一旦发现并确认出是由病毒入侵或者用户出现误操作时,其能够迅速调用后台预防和检测代码为系统带来安全可靠的实时保护。
入侵检测技术则主要侧重于通过同系统的网络防火墙实行联动保护,以此来使得系统中运行状态中所有不合理的情况都能被侦测到。但是,两者都会针对SQL强制注入,XSS攻击等恶意入侵脚本进行严密拦截,从而确保系统的服务器和数据库不会受到破坏。
2.2网络防火墙技术
网络防火墙,从其功能和实质上而言,主要是为系统内部网络和外部网络提供了一道虚拟的“墙壁”,以此来隔绝不同网络之间所存在的非法信息传输,存取等操作行为。而且网络防火墙的存在也使得网络连接的入口和出口被严格控制起来,根据系统的总体安全策略来抵抗和拦截外部攻击。从网络防火墙技术的类型来说,大体可以分为以下三类:
第一种,是包过滤防火墙技术。该技术能够按照既定的过滤规范及标准来检测网络传输层的数据包是否能够通过防火墙。
第二种是,技术,该技术所独有的中间检查站,会在保护网络和非保护网络之间运行,然后对位于两种网络的所有请求加以检验,然后经由服务器进一步完成合法性的检查工作,如果经检查确认合法则通过,并将请求发送到后台服务器中去,然后将服务器端响应的结果返回给用户。
第三种则是结合了前两种技术以后的第三代网络防火墙,此类防火墙兼具两种技术的优势,且很好的避开了各自的缺点。
2.3数据加密技术
作为保护系统网络安全的最佳技术,数据加密显然能够保证系统免收恶意软件的侵害和攻击,同时也能够防止非法用户的暴力侵入行为。目前数据加密的传输手段主要有三种形式:
1)链路加密。链路加密重点在于通过加密技术来控制系统物理层,然后完成对于数据链路的保护工作,而且由于使用链路加密并不需要考虑信源的因素,因而通信节点在数据发送方和接收方进行数据传输的过程中会发挥作用,将信息进行加解密操作,从而保证实现安全传输。
2)节点加密。此方法类似于上一种加密机制,通过在各信息节点设定密码加密模块,每一个被加密的明文都会在该模块中实现加解密操作,而未经加密的明文则意味不需要考虑节点机的原因不会遭受来自链路层的攻击。
3)端到端加密。这种加密手段侧重于端与端之间的加解密操作,所有的数据只要经由发送方到达发送端,都会实现加密操作,然后当其到达系统的接收端时,就会被解密。该做法不但减少了密码装置的设定,而且提升了加密性能。
当前比较流行的数据加密算法主要包括对称密钥加密算法、非对称密钥加密算法以及不可逆加密算法。前两种算法的唯一区别就在于是否使用相同的密钥进行加密,最后一种算法区别于前两者的地方就在于其不需要密钥就可以完成对数据的加密操作。
2.4网络安全扫描技术
网络安全扫描技术是网络安全领域的重要技术之一。安全扫描技术是检查系统中重要的数据、文件等,通过以下两种方法来检测发现可被黑客所利用的漏洞:(1)端口扫描法。通过端口扫描得知目标主机开启的端口以及端口上的网络服务,并与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有漏洞存在;(2)模拟黑客的攻击法。通过模拟攻击,测试安全漏洞。漏洞扫描实现的方法大概可分为:漏洞库的特征匹配方法,功能模块(插件)技术。
3.总结
计算机网络的安全问题随着因特网的发展日益重要,由于计算机网路的开放性,网路很容易受到各种攻击和破坏,无论在局域网还是广域网中,都存在自然和人为等诸多因素形成的潜在安全威胁。我们在使用网络的时候应该格外重要网络安全性问题,从自身做起,规范上网行为,不随意访问不明网站,建立网络使用规章制度,从而使整个网络逐步走向安全和稳定的良好环境。
参考文献:
[1] 王新峰. 计算机网络安全防范技术初探[J]. 网络安全技术与应用,2011,04:17-19.
[2] 杨光,李非非,杨洋. 浅析计算机网络安全防范措施[J]. 科技信息,2011,29:70+93.
计算机局域网网络在给生产生活带来便捷的同时,也暴露出十分严重的安全问题,这就使得人们对局域网网络的安全问题日益关注。文章总结了局域网网络中存在的安全问题,并有针对性地探究了一些对策。
关键词:
局域网;网络安全;现状问题;有效对策
局域网使人们的工作实现了信息化、电子化模式,并以其自身的广泛性、开放性特点被普遍应用,但是也正是这些优点,也大大降低了局域网的应用安全性。局域网的易扩散、网络开放、资源共享等特征,导致各种计算机信息在传输中以及发生丢失、遗漏、干扰等问题,甚至还会造成信息被破坏、被窃取等严重事件的发生。那么,如何有效解决局域网网络安全现状问题,是相关部门急需解决的问题。
1局域网网络中存在的安全问题
笔者在调查中发现,当前局域网网络在应用中还存在一些安全问题,不利于高效利用目标的实现。现将这些安全问题总结如下:(1)病毒入侵。计算机病毒的破坏性、潜伏性很强,这就使得局域网网络极易受到木马、病毒的侵害,局域网承担着连接网络的作用,如果未及时更新病毒或操作不当,就会让计算机植入病毒,从而在数据传输中就会在感染服务器后再传递到其他计算机中。虽然很多计算机都安装有防火墙,但仍旧无法避免局域网网络内部的攻击。计算机局域网网络内部攻击问题,通常可分为被动攻击及主动攻击。被动攻击是指病毒截取、窃取、破译重要信息,但网络仍可正常运行;主动攻击是指病毒选择性地破坏数据的有效性及完整性。(2)恶意软件入侵。恶意软件指的是那些计算机未明确提示、未经用户批准而强行安装并运行的软件。有些黑客通过恶意软件实现盗取用户信息数据的目的;有些恶意软件借助对电脑攻击或扫描,使计算机局域网网络服务器不能正常运行,这就极易造成计算机信息泄露,甚至可给企业带来严重的经济及名誉损失。(3)管理人员素质不高。当前,很多计算机局域网网络管理人员普遍缺乏专业知识,甚至有些管理人员是从其他岗位借调过来的兼职人员,他们对网络安全专业知识了解有限,在他们看来计算机局域网的安全管理只是对广域网的防护,对局域网网络内部的危险因素没有充分认识,并且尚不具备预防与解决局域网网络安全问题的意识与能力。在这种情况下,局域网网络安全管理成效就十分低下,从而导致在使用中频繁出现安全问题,制约了局域网网络积极作用的充分发挥。(4)尚未建立健全的安全管理制度。当前,虽然局域网安全问题频发并且给使用者带来了很多麻烦,甚至给企业带来了严重损失,但是还没有健全的安全管理制度对使用人员的行为及操作方法进行严格的规范,这就要导致越位访问问题十分突出,从而给不法分子带来了可乘之机。
2解决局域网网络安全问题的对策
依据上文总结的,当前计算机局域网网络中存在的一些安全问题,笔者在全面分析出现这些问题原因的基础上,有针对性地探究了一些对策。
2.1谨慎挑选应用软件
随着计算机技术的迅猛发展,与局域网相关的软件也丰富起来,比如游戏软件、杀毒软件、聊天软件等,而这些软件的安全性参差不齐,这就需要安装人员谨慎选择,因为有些软件中隐藏有病毒,一旦携带有病毒的软件被安装到计算机后,病毒随时会侵入计算机,从而就可较为容易地窃取、篡改或破坏计算机中的数据信息,进而大大降低数据信息的安全性,因此,在选择安装软件时,应始终持以谨慎态度,以保证局域网网络始终处于安全状态。另一方面,局域网中的所有计算机均需要安装有效的杀毒软件,以随时监控与查杀错误信息及外来病毒,还应及时更新病毒库、升级软件,并且还应安装先进的病毒入侵检测软件,借助系统的识别能力严格限制携带病毒软件的安装,从而构建其较为安全的局域网网络系统。
2.2科学建立网络系统
计算机局域网网络项目的主要任务是全面分析并合理设计网络系统,从而有效提高网络系统的科学性及安全性。为了解决数据在局域网中传输时被同一以太网中的节点截取而导致数据泄密事件的发生,安全管理人员应积极采取逻辑分段及物理分段两种形式来严重控制局域网安全问题,从而从根源上减少局域网网络问题的发生。在实际操作中,借助逻辑分段与物理分段可有效隔离敏感用户级非法用户,从而确保数据信息通常传输。另一方面,将传统的共享集线器更新为交换集线器,也可较好地解决因非法用户在以太网节点侦听时截取数据问题的发生,并且还可预防病毒入侵问题,从而不断提高局域网网络的安全等级。
2.3提高服务器安全等级
要想提高局域网网络安全等级,就需要重视对设备的管理,努力构建完善的安全管理制度,以有效预防非法用户恶意进入局域网进行非法操作。管理人员应积极采取措施对计算机系统、网络服务器、打印机等外部设备严加保护,经常性检查、测试、维护各种设备的运行环境,从而确保计算机局域网网络系统始终处于一个较为安全的工作环境中。另一方面,还应依照管理制度严重控制访问情况,以保证局域网服务器可正常运行。对访问情况的合理控制,是保证局域网网络资源远离被非法占用的有效途径,并且也是提高局域网网络安全等级的重要方法。通常情况下,常用的控制局域网访问问题的模块有权限控制、入网访问功能、信息加密等。保密性是提升局域网网络安全等级的有效形式,在储存信息与传输信息的同时,依照数据等保密等级采取与之相适应的加密措施,从而实现对传输数据的有效保护,进而切实提高数据信息的安全性。
2.4提高管理人员素质
局域网网络管理人员的素质高低直接影响了管理质量的高低。因此,在重视对管理人员素质的提升。在实际操作中应依据管理人员的实际情况为其制定合理的技能及专业知识培训方案,促使他们及时更新管理技术、提升管理能力。比如,可定期邀请局域网网络管理专家为管理人员开展专题讲座、搭建局域网网络管理经验分享平台等。从而使得管理人员充分认识局域网网络安全的重大作用,并不断提高自身的职责意识,一旦发现病毒,应借助自己的专业知识与业务能力恰当采取措施予以处理,并及时将相关情况汇报有关部门。只有这样,管理人员才能将安全管理意识渗透到每一个工作细节中,并且有能力为局域网网络安全运行保驾护航。
2.5完善安全管理制度
建立完善的计算机局域网网络安全管理制度,是提高安全管理工作的基础与前提。只有不断健全安全管理制度,才能使得安全管理人员在处理安全问题时有法可依、有章可循,才能为计算机局域网网络使用人员的安全操作提供帮助与指导。因此,计算机局域网网络安全管理部门应深入调查各种安全问题形成的原因及危害性,并有针对性地制定完善而全面的安全管理制度。制度内容不仅应涵盖对于局域网网络安全有关的计算机软件、硬件的管理与维护内容,而且还应涵盖安全操作章程、访问权限问题、软硬件安装及杀毒问题等。另一方面,计算机局域网网络安全管理制度中还应对各种不安全操作、非法操作行为进行惩处的措施,以此来约束危险操作及恶意操纵行为。只有这样,计算机局域网网络才能始终处于安全状态,才能充分发挥其优势作用,才能规范而健康地发展。
3结语
总之,局域网网络安全问题是制约局域网作用充分发挥的重要因素,因此管理人员应通过谨慎挑选应用软件、科学建立网络系统、提高服务器安全等级、提高自身管理素质等措施,确保局域网网络的正常、安全运行,从而促使局域网网络更充分发挥自身积极作用。
作者:张婷 周亚沛 单位:武警石家庄士官学校网络安全教研室 武警沈阳指挥学院教研部战斗模拟室
[参考文献]
[1]王坤晓.局域网网络安全存在的问题及对策探讨[J].网络安全技术与应用,2015(1):109,112.
[2]柳继,龙波.计算机局域网网络的安全现状及对策分析[J].电脑知识与技术,2014(20):4687-4688.
[3]张志国.计算机局域网网络安全问题以及相应对策探析[J].科技风,2014(15):197,199.
[4]李晓冉,邓敏清,范喜妮.关于局域网网络安全问题和措施的分析[J].电子技术与软件工程,2016(1):214.
关键词:实验室;内部网络;局域网;信息安全;管理办法
基于整个互联网基础与结构进行分析,可以发现,局域网是互联网结构中的一个非常重要的部分。其分布范围非常广泛,而且所承载的任务也非常重。特别是在当今的学校、企业、公司等各种单位中,对于局域网的应用可谓是遍布于每一个角落。通过设立局域网,可以使其在应用的过程中用户在访问互联网的时候变得更加方便快捷,而且还可以实现资源的互通与共享,以此来带动整体的工作效率提升以及信息高速传递。但是,由于当前在互联网环境中病毒、木马等有害程序肆意横行,所以导致整个互联网环境变得乌烟瘴气。为有效抵制类似软件对互联网的侵害,务必要对其进行管理与控制。在该环境中,局域网的信息安全问题也日愈突出,特别是在针对各类实验室的内部局域网的信息安全方面,其面临的考验与遇到的威胁日益加大。因此,对实验室内部局域网信息安全问题进行有效的管理与解决,是当前实验室内部局域网研究与发展过程中需要直接面对的一个问题,同时也是一个需要对其进行深入思考与分析的问题。针对于此,伴随着互联网大量的信息传递,以及局域网的使用范围不断地扩大,其在安全方面的可靠度以及在自由度方面的管控也越来越困难。为确保实验室内部的数据信息绝对安全,保证实验室内部局域网不被外来病毒侵害,对其进行研究的是一个迫在眉睫的工作。
1造成安全缺陷的原因分析
在当前,我国所使用的绝大多数局域网网络通信协议都是TCP/IP协议,这一协议与Internet是相同的。所以,也比较符合当前各种黑客软件以及病毒系统的攻击范畴。自从局域网得到了大力的发展与推广之后,黑客对网络系统的攻击从互联网结构逐渐转向了局域网结构。旨在通过更简单的办法,利用更快的速度,突破更弱的防线,获得更大的利益。就如实验室的内部局域网当中,黑客对其进行攻击的时候会利用信息包展开分析与探索,通过对数据的分析与匹配之后,便会使广域传播的各种数据和信息完全暴露于透明空间中,从而方便黑客对其进行破坏与攻击。结合当前我国的实验室内部局域网的使用现状以及安全状况展开思考,可以发现,其在安全防护方面,以及网络系统的防御方面具有很多漏洞。
1.1TCP/IP较为脆弱
首先是TCP/IP。TCP/IP是互联网协议实现的基础,也是维持整个因特网协议的整体结构。但是,值得关注的是,当前的TCP/IP在设计过程中,对于网络的安全性能考虑的并不是非常到位,甚至可以用“没有考虑安全性能”来对其定义。而且,在当今的网络全球化普及的环境中,TCP/IP协议是面向全世界人群开放的,也是没有任何保密意义可言的。因此,但凡是了解过TCP/IP协议的人,都会对其作出一个较为全面的分析与掌握,并且可以快速发现其中的问题,找到其中的安全防范漏洞,并且可以根据其弱点直接制作相关攻击软件与木马程序对其实施网络破坏和侵袭。这就是TCP/IP协议脆弱的主要原因,也是当今TCP/IP协议越发展越没有安全保障的一大要素。而在实验室内部局域网的应用中,能否对TCP/IP协议进行安全问题上的管理与优化,直接关系到了实验室相关内容研究的进度以及质量,甚至会与科研成果以及科研事故产生紧密的联系。
1.2网络结构不健全
其次是网络结构的不健全与不安全性。在互联网的架构与应用和实现过程中,其所使用的是一种“网间网”的技术措施。换言之,“网间网”就是通过多个,甚至是无数个小型的局域网对其进行连接与架构,从而像一张不断扩大、不断编织的渔网一样,将全世界的网络用户笼罩在其中,并且为所有的用户提供相应的服务。在这一巨大网络的构建中,有着数不清的主机和客户服务端。在这一背景下,如果众多主机中的一台主机需要与另一台主机进行联络和互通的时候,就必须要利用局域网的桥梁实现通信关系的建立。在此,便可以发现,在网络黑客利用一台主机对另一台主机进行攻击的时候,且攻击的主机处于数据流传输路径时,此时的网络黑客便可以轻而易举的对被攻击的主机进行肆意的修改与数据调换。所以,在实验室内部局域网的安全问题管理过程中,还需要对网络结构做出相应的分析与思考,并且要探索该通过怎样的方法才能有效提高网络结构的安全性与实际应用价值,以及通过怎样的方法来体现网络结构的健全性和可靠程度。
1.3易被破坏被窃听
在实验室内部局域网的正常工作过程中,很少有主动加密的网络。一般使用者都认为,基于互联网的大平台有着信息加密与安全防护功能,所以在实验室的内部局域网上没有必要再设计加密项目。在此需要提出,这一认知是完全错误的,而且会严重的妨碍到实验室内部局域网的安全性与可靠性,甚至会导致实验室的内部实验数据得到泄露与丢失。为确保这一情况不会发生,务必要对当前的实验室内部局域网作出全面的分析与判断,以此了解其安全性的高低,以及防护措施的严密程度。若其安全性与防护措施无法达到既定的要求与标准,一定要想办法对其进行提升,以确保实验数据的安全,以及实验室内部局域网络的可靠程度。因为当前的互联网信息传输过程中,很多数据在传输时都是自动传输的,而且是没有任何加密措施的,所以如果有人蓄意对其进行破坏,只需要利用电子邮件以及一些其他的木马程序和口令便可完成。实现对其进行监控、盗取、破坏以及窃听等。如果该安全问题发生在实验室的内部局域网中,那么后期的损失是无法估量的,而且前期所研究数据安全也无法得到有效的保障。
1.4缺少必要的防范
随着互联网技术的不断发展与壮大,以及当前的网络安全问题日益严峻,很多人对于实验室内部局域网络的安全性以及可靠性也逐渐的重视了起来,并且提出了很多看法与意见,力求对其进行高效的管理与控制,从而确保在后期的局域网应用过程中尽量避免被网络黑客以及网络木马攻击与破坏的概率。但是,因为当前很多设计人员缺乏必要的网络安全认知,以及缺少相关的理论和实践能力。所以在对实验室内部局域网的安全性和可靠性进行重新设计与提升的过程中都无法实现高效率与高质量的目标达成。反而会因为设计不周以及管理不当出现意料之外的问题。这不仅会影响到实验室的工作开展,甚至会破坏实验室已有的研究成果与数据信息。另外,还有部分实验室内部局域网中,其安全系统以及安全防护功能形同虚设,在面对一般等级的网络病毒攻击时,就会表现出无法应对的状态。归根结底,造成这一问题的原因在于人为因素。比如,很多人在设计和管理的过程中,为了躲避防火墙服务器对其进行额外的认证与监管,会对PPP进行直接的连接,这就会导致防火墙的原有功能失效,而且会导致内部资源的流失。
2安全技术的应用方法
在当今信息技术与互联网科技飞速发展的背景下,网络安全与信息安全是其中的重中之重。在实验室内部局域网的应用与安全管理方面,其安全技术必须要有一个较为完善的机制,并且需要在该安全机制上进行特点的体现以及系统保密性的强化。只有在这一基础上,才能够有效实现实验室内部局域网的静态防护和可用性提升。特别是在当今的互联网普及阶段中,以信息保障技术框架为主所建立起来的标准模式为广大用户提供了一个可视化的信息安全结构,在该结构中,可以反映信息安全的保障措施与方法技术,从而有效避免了单一的防护措施和检测过程。利用该方法,能够大大提升实验室内部局域网的信息安全性,确保其在防护过程、检测过程以及响应过程和恢复过程中能够实现高效的统一与衔接。
2.1典型信息安全管理技术的分析
(1)关于环境安全、媒体安全以及设备安全的物理安全技术。(2)关于操作系统安全、数据库安全以及数据系统安全的整体系统安全技术。(3)关于网络隔离、VPN、访问控制、扫描评估以及入侵检测的网络安全技术。(4)关于Web访问安全、电子邮件安全以及内容过滤和应用系统安全的应用安全技术。(5)关于硬件安全、软件安全、硬件与软件加密安全、身份认证安全以及数据信息CIA特性的数据加密技术。(6)关于口令认证、证书认证以及SSO认证的认证授权技术。(7)关于访问控制列表以及防火墙的访问控制技术。(8)关于日志审计、入侵检测以及辨析取证的审计跟踪技术。(9)关于单机防病毒系统发展,以及整体防病毒体系的防病毒系统建设技术。(10)关于业务连续性技术和数据备份的问题回复与备份技术。以此作为典型信息安全管理技术的分析,可发现,在不同应用范围的局域网中,其发生问题的实际情况也不尽相同。因此,我们务必要强化实验室内部局域网的信息安全技术,并且要对其进行防护措施的提升,以此为其提供可靠地运行环境与运行空间。
2.2可采取的信息安全防护措施
在此,可以结合大型局域网对其进行分析与研究。如:(1)规划网络。在面对一些较为重要的基础服务器,以及较为特殊的用户和设置不同的网段时,可以对其进行安全策略的分析与匹配,以此来有效控制访问权限的问题。(2)需要对局域网的漏洞进行定期检测,同时需要对其进行全盘扫描,在生成数据信息之后,需要将之进行深入的分析,以此明确安全防护的状态与等级,该数据信息可作为一种实验室内部局域网安全问题管理工作开展实施的有效参考凭据。(3)可以通过构建WSUS服务器对其进行网络的升级,从而提升实验室内部局域网的实用性,同时还需要对网络安全进行即时监控,并根据问题快速开发相关补丁作出漏洞和问题的修复处理,保证把问题扼杀在萌芽之中。(4)可以利用无线网络构建安全认证机制,以此来确保无线网络的正常接入与认证服务管理。(5)需要对局域网进行服务器的装配,并且需要将其置于用户的网络当中,以此作为探针进行应用。该方法可有效确保对网络应用状况的实时了解与分析,并且还可以反应网络的故障问题和关键点。(6)可设计专门用于UPN的网络设备,以此来管理内部服务器以及控制远程端口。使其达到统一白的认证标准与要求。这样可以提高管理的效率,降低问题发生的概率。(7)需要对被采集的流量数据进行分析,从而全面了解实验室内部局域网的控制状况与不良信息。(8)需要构建安全门户,以确保网络信息的安全与正常宣传。(9)需要建立损坏恢复与备份系统,为实验室各种数据资料提供高效的保存空间。(10)需要明确防火墙的重要性,体现对防火墙部署的边界意识。
3安全的管理
解决网络及信息系统的安全问题不能只局限于技术,更重要的还在于管理。安全技术只是信息安全控制的手段,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持,否则安全技术只能趋于僵化和失败。只有将有效的安全管理从始至终贯彻落实于安全建设的过程中,信息安全的长期性和稳定性才能有所保证。现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的。理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。我们常说,信息安全是三分技术七分管理,可见管理对于信息安全的重要性。信息安全管理作为组织完整的管理体系中一个重要的环节,构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动。
关键词:安全防护;计算机技术;有效措施;研究分析
中图分类号:TP309
当前的科学技术发展可谓是日新月异,经济的迅猛发展也全面的带动了各个行业的技术提升,我国当前的经济、军事、政治等领域的工作,也都处于不断前进的局面之中。其中,计算机的信息安全,作为各行各业的工作重点,正在被更多的人重视,而通过网络技术的推广,通过信息安全防护技术的运用,可以进一步的增强计算机的安全性。对于计算机的用户而言,要想加强计算机的数据安全,就应当形成良好的保护习惯,尤其需要对恶意的软件进行防护,避免自己的重要资料被盗取。当前常用的安全防护技术有防火墙技术、数据加密技术以及病毒防护引擎等。
1 计算机信息安全防护主要措施
正如上文所分析到的,要想保证用户在计算机之中的资料和信息得到应有的安全保障,就应当采取恰当的、妥善的安全防护技术。防火墙技术、数据加密处理技术以及病毒防护技术等,是当前最为常用且有效的防护手段。
1.1 数据加密安全防护技术
针对计算机的数据进行加密,相当关键,密码文字可以实现一定的保护性,同时,通过密码文字的保护,就算自己计算机之中的数据被窃取,依然可以通过备份的方式,使得数据文件得到还原。但是需要注意的是针对计算机数据资料的保护并不是只能够通过密码,要想实现对计算机数据文件的全方位保护,还应当使用加密的密钥。当前最为常用且有效的方式是DES计算法,通过相关技术的使用,采用非对称加密的方式,将密钥设置成为不同的数值,使得每一个计算机用户的文件以及资料数据均可以得到有效的防护,每一个对应的用户均可以有两个完全不同的密钥,所以,当计算机遭受攻击之时,其密钥的设置可以使得整个数据文件多了一层保护,通过非对称的设置形式,使得计算机的数据受到双重保护,所以,相关技术应当得到进一步的推广使用。
1.2 病毒引擎安全防护技术
除了上述分析的数据加密防护技术之外,当前计算机信息常用的安全防护措施还有病毒的防护引擎。病毒是对计算机威胁相当大的一种安全隐患,尤其对于计算机的网络安全来讲,如果对病毒的防护不到位,则会导致相当大的安全隐患。首先,需要采用智能防护引擎,这样可以实现对各个不同病毒的特征码扫描,进一步的增强防护水准,另外,还可以将病毒的扫描进行一定的改进及整合,使得数据库的安全性得到增强,解决存在的安全问题。其次,还应当对未知的病毒进行检查,采用有效的病毒检测及防护技术,全面突破传统病毒扫描技术的缺陷及限制,采用各种高新技术相互结合的形式,实现对未知病毒的检查与搜索,加强计算机对于病毒的免疫。其中,需要注意的是,针对病毒的防护,主要应当以加强数据保护区的防护以及磁盘的防护为主,全面增强计算机对于病毒的免疫能力,使得整个防护的过程实现高度整合的局面。在病毒攻击之时,则进行快速且彻底的查杀,对于电脑起到极佳的保护作用。但是,由于相关操作和端口等,可能会受到病毒防护的影响,所以不少措施当前的应用还是相当被动的。主要常用的病毒防护软件有NetAnt以及Outlook等。最后,对病毒进行智能压缩还原,也是今后研究的重点方向,将相关压缩文件信息进行打包处理,进一步的还原其中的资料,增强病毒处理的完整性,进而可以在扫描过程之中准确彻底的将病毒找出。
1.3 防火墙安全防护技术
最后,防火墙技术也是当前计算机信息安全防护的主要方式之一。通过防火墙技术的使用,可以使得网络的安全性进一步增强,实现高效且准确的网络过滤,对于病毒的扫描而言,还应当充分的实现网络数据验证,实现数据包的正常使用,采用端口检查以及地址的使用,充分体现出防火墙技术的相关优势,在通常的情况之下,采用防火墙技术,可以根据相关的合法性依据来进一步判定连接是否处于正常状态,所以,在计算机之中的病毒也就逐步出现了不同的内容,而使用防火墙技术则可以增强病毒数据的流露,使得扫描可以更加顺畅的进行,在很大程度上组织了BOT以及WORM等的入侵。通过适当的签名和网络引导,使得病毒的检查和扫描工作可以更加顺畅的进行,通过上述管理方式的应用,还可以使得计算机网络的流量稳定性得到增强,将报文以及不同的文件数据进行重新的整合及处理,这样可以更加方便快捷的解决相关网络文件安全问题。另外,检查本地文件的安全性也可以为计算机网络的防范起到较好作用,通过对非正常文件以及数据的检查,可以实现对网络漏洞的扫描,进而起到较好的防范效应。通过对相关端口的扫描机处理,以便更好的提升网络服务安全性,进一步的增强信息含量,提升网络漏洞的处理质量,对存在的问题进行排查。应用各种手段实现对攻击的模拟,实现对病毒数据的相互匹配,增强网络的安全性。
一般来说,开放的网络中,安全的防护是必须的,对于网络之中的黑客攻击,也引起高度重视,所以仅仅采用局部性的处理方式,难以取得较好的效果,还应当进一步的实现开放式的防护,实现高效的病毒处理及扫描,对此,防火墙只能对非法访问通信进行过滤,而入侵检测系统只能被用来识别特定的恶意攻击行为,需要采取针对性的对策部署以便于能够增强系统稳定性,使得网络的环境进一步得到优化。综合上述的分析,当前计算机网络安全防护过程之中,还需要加强技术的分析与研究,逐步的改善网络环境,更好的促进网络效益的发挥,加强防护技术的应用水准,保证整个计算机网络可以处于长期稳定健康的发展局面。防火墙技术、数据加密处理技术以及病毒防护技术等,是当前最为常用且有效的防护手段,在实践中还需加强应用,加强对技术的分析与探讨。
2 结束语
综上所述,根据对当前计算机安全防护技术进行综合性的研究,从实际角度出发论述了相关技术重点及难点,同时对实践工作当中可能出现的问题和需要重点改进的部位进行了综合性的研究,对主要的防护措施及防护方案进行了探析,旨在不断促进计算机安全防护水准的提高,为今后的技术完善奠定基础。
参考文献:
[1]陈峰.信息安全计算机安全防护技术的研究现状及发展[J].中国人民公安大学学报(自然科学版),2009(02).
[2]周熙.军用计算机安全与计算机安全防护技术病毒防范探析[J].现代军事,1996(01).
[3]王辉.关于政府财政部门计算机安全防护技术信息安全问题的思考[J].中国科技信息,2008(23).
[4]文华.分析计算机网络存在的危险因素及防范措施[J].黑龙江科技信息,2010(32).
关键词:计算机;网路维护;重要性;安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)30-0034-03
随着经济与科技的高速发展,使人们逐渐步入信息化社会,计算机成为人们生活中必不可少的应用工具。计算机的应用与普及为人们的生活带来了极大的便利,但同时基于计算机网络本身的复杂性和开放性,其网络安全问题成为应用过程中的重要问题,因此加强计算机网络维护至关重要。下面本文将以计算机网络维护的必要性为切入点,对如何进一步加强计算机网络维护进行详细分析,以促进计算机网络应用更加安全、高效。
1 计算机网络维护工作必要性分析
计算机网络维护工作的有效开展是保障计算机应用安全的基础工作,通过计算机网络维护能够实现系统设备运行保护。计算机运行过程中主要包括硬件维护与软件维护两部分内容,只有保证硬件与软件两个部分维护工作到位,才能保证其正常工作运行。换句话说只有保证硬件和软件两个部分维护工作到位,才能保证计算机运行系统不受病毒侵害,避免出现运行故障。
同时,在计算机网络维护工作中能够对计算机信息使用安全有所保证。保障用户的安全是计算机网络运行与维护的关键任务,计算机应用与网络运行中具有较高的开放性,这就使计算机用户的个人信息安全受到威胁。由于计算机运行会涉及用户的个人信息,所以若计算机运行网络出现不安全因素,将直接影响信息应用安全性,给计算机用户带来不可估量的损失。因此,在计算机网络运行中加强网络维护十分必要,提高系统整体运行安全性,增强系统安全性设置。例如在网络应用中加强网络登录密码设置,加强风险控制,限制陌生账号登录等等。
2 加强计算机网络维护工作的主要措施
2.1 加强网络维护技术方法分析
为有效强化计算机网络维护,要对计算机软件进行规范化管理。软件系统的安全与计算机网络维护之间有着本质联系,直接对计算机网络运行安全有着应县。专业的计算机网络维护技术人员要加强对软件系统安全处理,例如充分利用网络防火墙技术增强网络安全系数,应用高科技检测系统,实现安全保障体系构建,通过两者配合共同发挥出安全保障作用,提高计算机网络安全综合性能。
同时对计算机网络安全控制要进行相关权限设置,只有通过识别口令方可进行网络访问。技术人员对计算机进行权限设置,保证计算机网络应用与岗位要求适应,独具出现无关人员进行网络登录和入侵,从源头上最大限度降低网络安全风险。在进行权限与口令设置的过程中要注重其安全系数,并对口令进行定期检查与更新,保障其安全性。另外,对计算机网络维护技术的应用要注重检测与杀毒工作的进行。计算机若受到病毒侵袭影响,其相关资源与程序就会受到病毒影响,病毒借助其自身特性依附于网络介质上对计算机系统进行入侵破坏。所以针对网络病毒开展预防工作,定期对计算机网络进行检测和杀毒,提高病毒的灭杀效率十分重要。
2.2 构建计算机网络维护管理体制
实现计算机网络维护管理体制是加强计算机安全维护的基础工作,也是保障网络维护的规范的关键任务。在系统与规范的管理体制下一方面能够进一步规范技术人员维护工作,认清工作职责,另一方面也能够增强性系统维护可靠性,提高计算机网络维护整体效率。计算机网络维护工作是一项系统性工作,为提高系统维护效率,加强维护档案管理十分必要。通过计算机维护档案的构建,能够明确计算机网络维护状况,对常见的以及典型维护故障进行记录,这对后续计算机网络维护工作有着参考作用,一旦出现相关故障技术人员能够迅速判断出故障类型,并作出有效用对手段,最短时间内解决该故障问题,降低用户损失,提高安全性。
另外通过构建计算机网络维护管理体系,能够提高维护工作人员的整体工作效率,对计算机网络运行系统充分了解,在掌握基础维护知识的同时进一步把握网络运行情况。只有不断提高对网络环境运行情况熟悉度,才能提高对网络故障根源查找的速度,实现最快处理。换言之加强专业技术人员对网络运行情况的熟悉,能够最大限度将问题控制在萌芽期,这对保障计算机网络运行整体安全维护有着重要意义。
2.3 改善计算机网络维护环境及效率
要想实现对计算机网络环境的有效维护,需要针对故障问题进行有效分类,通常情况下,应当结合故障属性将故障进行不同类别的划分,当前主要可以分为两个方面,逻辑故障类型与物理故障类型。
物理故障类型主要是指计算机当中出现线路与硬件设备问题情况。此外,电路插线板以及电磁干扰等也可以归类在物理故障范围当中。逻辑故障则主要是指因为配置发生错误,造成计算机当中相关参数设置无法进行有效匹配形成的故障问题。例如,路由器端口参数错误设置、掩码其设引发的网络逻辑故障。
类型划分过程中,也可以根据故障对象差异完成,例如计算机网络故障可以具体划分为路由器故障、主机故障以及线路故障类型。计算机故障当中路由器产生故障情况几率较高,这是因为路由器对于整个网络当中进行中转设置,线路故障问题一般会表现在线路不畅方面,主机发生故障情况则多由于配置参数出现错误造成。例如IP地址不存在,也就会造成主机不能够得到正确连接。通过借助于科学方式,对计算机当中程序以及方案进行维护。故障发生之后,首先需要对故障所属类型进行初步判断,同时对故障现象给予详细记录,并进一步对故障产生原因进行排查,缩小故障可能发生范围,并判断确定故障发生部位。其次,需要对发生故障的主要部分采取隔离的方式,并对故障部分进行调整或者是更换,通过这种方式消除可能存在的故障,并最终恢复网络运转。
2.4 加强维护人员综合素质培养
现代社会环境当中计算机网络技术应用与发展进一步加快,相关技术人员维护工作能力与技术性都应当进一步提升,并需要不断学习,真正做到技术水平与计算机网络之间的同步发展,只有这样才能够达到与计算机网络之间的有效维护。为此,在进行操作过程中,还应当针对计算机维护操作人员进行必要的培训,通过定期或者是不定期方式,加强技术人员的专业能力。计算机网络属于实时运行过程中的一种动态网络形式,其中信息内容瞬息万变,计算机相关技术维护工作开展不仅需要拥有扎实的理论基础,还应当具有针对问题的分析能力,针对可能存在的问题,需要快速找到问题症结所在,并采取有效措施加以解决。除此之外,也需要故障进行详细记录,目的是为了再次发生问题的情况能够快速及时解决故障问题。计算机网络用户为计算机网络主体在网络维护工作中除了工作人员呀提高维护技术和维护意识,同时计算机用户也要增强网络应用安全意识,正确安全应用计算机网络,保证计算机维护效果达到最佳。
强化计算机网络维护管理人员的责任意识的培养是提高综合素质培养的重要内容,网络维护中诸多安全隐患都是由于工作人员责任意识不强,缺乏规范操作造成。因此提高网络维护人员业务员素质的同时,强化责任教育,使维护管理人员能够严格按照规范进行性操作,保障工作效率。同时也要相应提高网络维护管理人员的准入门槛,加强考核评比,提升维护管理人员综合效率及维护工作成效。
通过对网络维护与管理人员专业素养的培养,能够有效提高计算机网络维护工作效能。网络维护相关工作人员积极对常见的网络故障进行记录,并对其危害和影响进行记载,同时对设备维护管理进行文档备份,建立网络维护日志,为系统今后运行管理提供有利参考,对障碍的排除打下扎实基础。计算机网络维护管理人员要对当下计算机软件系统与硬件系统应用进行分类把握与管理,提高行业认知深度,同时增强自身风险意识,科学设置防御体系,实现系统稳定和安全保护。
3 计算机网路维护工作的思考总结
3.1 有效提升计算机当中网络环境质量需要从多方面着手
第一,需要对网络配置进行水平提升,加强在网络存储配置信息、应用软件安装、网络拓扑等多个重要方面加以管理,并能够实现计算机网络当中的有效运行。第二,针对故障采取有效措施进行管理。在网络当中故障发生频率较高,因此需要对故障进行有效的预防,并采取定期检测与杀毒等工作。同时,还需要对配置完成升级,确保网络系统有效运行。第三,需要进一步提升计算机网络性能管理水平。通常情况下,可以运用ping命令完成性能检测,当然,检测技术需要充分结合数据当中不同类型指标完成对现有问题的一种确认,并通过这种方式确定与排除故障,提升系统实际运行速度。第四,加强对计算机网络运行的安全性水平。针对计算机网络环境当中可能存在的风险进行评估与针对性控制,并通过应用生命周期管理、动态灵活管理、系统化挂历等多种类型方式,通过这种方式能够有效提升网络安全性水平,加强对系统机密性、高效性以及整体性水平。
3.2 加强计算机网络维护的资金、技术与人才投入
针对计算机进行网络维护能够有效确保工作环境的安全稳定,因此,应当得到重视。在整个网络环境当中加强对成本方面投资,对网络维护具有重要意义。一些企业当中会加强自身人才队伍建设,通过这种方式实行对计算机网络方面的维护。一些能力较低的企业则更加需要加强对网络进行必要的维护,一方面可以通过聘任专业的队伍实现维护,当前企业当中,较多情况是企业忽略对计算机网络方面的维护,投入有限。当出现问题情况下,势必会在成十分严重的负面影响。针对计算机网络运行当中的资金与人才投入能够更好实现网络安全。
3.3 加强计算机网络技术安全高效开发
在对计算机实现维护的同时,需要把握住其中重点内容,也就是对计算机网络安全方面的维护。只有在十分健全的安全技术开发当中才能够有效确保计算机网络安全。当前,人们主要使用的防护墙、智能卡以及金山毒霸与360等均属与安全系统较高的软件类型。在应用到计算机网络安全性文虎的过程中,能够有效防止病毒入侵,并可以加强计算机方面的运行检测能力。通过及时检测,可以快速准确的发现故障问题。一旦确定问题部分,就可以在第一时间进行预警与反馈,并采取自动处理,确保系统在运行的过程中,始终处在安全状态当中。为此,实现对计算机网络安全性技术应用的开发与应用,对计算机网络技术的发展都具有重要价值。
总之,在进行计算机网络安全性维护时,加强对稳定性以及安全性等方面的研究与设计都具有重要意义,相关管理人员需要结合实际情况,利用有效措施进行维护与管理,并能够切实加强对系统安全性方面的操作性水平提升。
4 结束语
综上所述,人们的生产生活已离不开计算机的高效应用,由于计算机的开放性造成较多的计算机安全问题,给人们带来了严重的经济财产损失,因此加强计算机网络维护,保证网络安全成为计算机管理工作中至关重要的构成部分。在计算机网络维护工作中要加强技术应用,只有在专业的技术人员有效操控下,才能保证计算机运行安全。在今后的维护工作中要不断引进先进理念和先进技术,加强网络知识应用,提高计算机网络维护效果,保障计算机应用安全。
参考文献:
[1] 吴凯声. 21世纪电信网络运行质量管理的创新[C]//亚太质量组织(AsiaPacificQualityOrganization). 第八届亚太质量组织(APQO)会议论文集. 亚太质量组织(AsiaPacificQualityOrganization), 2002: 11.
[2] 何薇. 关于医院计算机网络安全管理工作的维护策略分析[J]. 企业改革与管理, 2014(14): 23.
[3] 王珠珠, 刘雍潜, 李龙,等. 《信息技术的应用与普及对教育的影响与对策研究》专题研究报告[C]//教育技术: 信息化阶段新发展的研究. 2007: 110.
[4] 郭威, 曾涛, 刘伟霞. 计算机网络技术与安全管理维护的研究[J]. 信息通信, 2014(10): 164.
[5] 顾晓军. 基于医院局域网中计算机网络维护的研究[J]. 数字技术与应用, 2014(10): 164.
[6] 宋国际, 兰继明, 李东燕. 关于计算机网络维护工作的若干思考[J]. 电子制作,2015(3):155.
关键词:网络入侵;入侵检测系统;信息安全
中图分类号:TP311 文献标识码:A文章编号:1009-3044(2009)35-9947-05
Network Safety Technology Research
ZHENG Xiao-xia
(The Basis of Teaching and Research, Dezhou Vocational and Technical College, Dezhou 253000, China)
Abstract: With the rapid development of networks, network information security problems are exposed. In this paper, the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis, the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.
Key words: network intrusion; intrusion detection systems; information security
1 前言
1.1 因特网的发展及其安全问题
随着计算机网络应用的广泛深入,网络安全问题变得日益复杂和突出。网络的资源共享、信息交换和分布处理提供了良好的环境,使得网络深入到社会生活的各个方面,逐步成为国家和政府机构运转的命脉和社会生活的支柱。这一方面提高了工作效率,另一方面却由于自身的复杂性和脆弱性,使其受到威胁和攻击的可能性大大增加。众所周知,因特网是世界上最大的计算机网络,它连接了全球不计其数的网络与电脑。同时因特网也是世界上最开放的系统,任何地方的电脑,只要遵守共同的协议即可加入其中。因特网的特点就是覆盖的地理范围广,资源共享程度高。由于因特网网络协议的开放性,系统的通用性,无政府的管理状态,使得因特网在极大地传播信息的同时,也面临着不可预测的威胁和攻击。网络技术越发展,对网络进攻的手段就越巧妙,越多样性。一方面由于计算机网络的开放性和信息共享促进了网络的飞速发展,另一方面也正是这种开放性以及计算机本身安全的脆弱性,导致了网络安全方面的诸多漏洞。可以说,网络安全问题将始终伴随着因特网的发展而存在。所以,网络的安全性同网络的性能、可靠性和可用性一起,成为组建、运行网络不可忽视的问题。
1.2 我国网络安全现状及其相关法律与制度
1.2.1 我国网络安全现状
2007年“熊猫烧香”病毒的制作者成功抓获并被判刑,说明了政府高度重视网络安全问题。目前,国家依据信息化建设的实际情况,制订了一系列法律文件和行政法规、规章,为我国信息化建设的发展与管理起到了有利的促进和规范作用,为依法规范和保护我国信息化建设健康有序发展提供了有利的法律依据。
1.2.2 我国网络安全相关法律与原则
2003年中办下发的《关于加强信息安全保障工作的意见》是目前我国信息安全保障方面的一个纲领性文件。
我国网络信息安全立法的原则
1)国家利益原则。当今天信息已成为社会发展的重要战略资源,信息安全成为维护国家安全和社会稳定的一个焦点。信息安全首先要体现国家利益原则。
2)一致性原则。要与在我国现行法律和国际法框架下制定的法律法规相一致,避免重复立法和分散立法,增强立法的协调性,避免立法的盲目性、随意性和相互冲突。
3)发展的原则。信息安全立法既要考虑规范行为,又要考虑促进我国国民经济和社会信息化的发展。
4)可操作性原则。要对现实有针对性,对实践有指导性。
5)优先原则。急需的先立法、先实施,如信息安全等级保护、信息安全风险评估、网络信任、信息安全监控、信息安全应急处理等方面要加紧立法。
2 网络安全协议
2.1 网络安全协议对维护网络安全的作用
Internet的开放式信息交换方式使其网络安全具有脆弱性,而实现网络安全的关键是保证整个网络系统的安全性。目前几乎网络的各个层次都指定了安全协议和具备了相应的安全技术,网络安全协议可很好的保护信息在网络中传播。在安全领域,一种“安全协议”被定义为“一种控制计算机间数据传输的安全过程。
2.1.1 第二层隧道协议(L2TP)
第2层隧道协议(L2TP)是点对点隧道协议(PPTP)的一个扩展,L2TP数据包在用户数据报协议(UDP)端口1701进行交换。ISP使用L2TP来建立VPN解决方案,使用该方案,用户可以在载波网络中更多地利用VPN的优点。由于L2TP符合国际标准,因此不同开发商所开发的L2TP设备的协同能力大大增强。L2TP VPN已经成为提供商使用的产品。在装有Cisco的网络中,端到端的服务质量(QoS)可以通过QoS技术的使用来保证IPSec负责数据加密,它同样也是一种国际标准。IPSec对每个数据包的数据进行初始认证、数据完整性检测、数据回放保护以及数据的机密性保护。从设计上来看,L2TP支持多协议传输环境,它能够使用任何路由协议进行传输,包括IP、IPX以及AppleTalk。同时,L2TP也支持任何广域网传送技术,包括帧中继、ATM、X.25或SONET,它还能够支持各种局域网媒质,如以太网、快带以太网、令牌环以及FDDI。L2TP使用因特网及其网络连接以使得终端能够颁布在各个不同的地理位置上。L2TP的最大安全之处在于它使用了IPSec,IPSec可以为连接提供机密性、数据包的认,以及保护控制信息和数据包不被重新发送。
2.1.2 IPSec的技术优势:
为数据的安全传输提供了身份验证、完整性、机密性等措施,另外它的查验和安全与它的密钥管理系统相连。因此,如果未来的密钥管理系统发生变化时,IPSec的安全机制不需要进行修改。当IPSec用于VPN网关时,就可以建立虚拟专用网。在VPN网关的连内部网的一端是一个受保护的内部网络,另一端则是不安全的外部公共网络。两个这样的VPN网关建立起一个安全通道,数据就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一条VPN。在这个VPN中,每一个具有IPSec的VPN网关都是一个网络聚合点,试图对VPN进行通信分析将会失败。
目的是VPN的所有通信都经过网关上的SA来定义加密或认证的算法和密钥等参数,即从VPN的一个网关出来的数据包只要符合安全策略,就会用相应的SA来加密或认证(加上AH或ESP报头)。整个安全传输过程由IKE控制,密钥自动生成,所有的加密和解密可由两端的网关,对保护子网内的用户而言整个过程都是透明的。
2.2 安全Shell(SSH)
安全Shell或者SSJ常用于远程登录系统,和过去使用的Telnet具有相同的目的。然而Telnet和SSH的最大区别是:SSH大大加强了其连接的安全性。SSH是一个应用程序,它为不可靠的、存在潜在危险的网络(如因特网)上的两台主机提供了一个加密的通信路径。因此,SSH防止了用户口令及其他敏感数据以明文方式在网络中传输。SSH解决了在因特网中最重要的安全问题:黑客窃取或破解口令的问题。
SSH拒绝数据IP欺骗攻击,保证能够是哪台主机发送了该数据。加密数据包,用以防止其他中间主机截取明文口令及其他数据。IP源路由选择,可以防止某台主机伪装它的上IP数据包来源于另一台可信主机。避免数据包传送路径上控制其他装置的人处理数据。SSH给安全领域带来一个很有趣的功能:即使用隧道的SSH技术转发某些数据包。FTP协议和X Windows协议都采用了这一功能。这中转发功能使SSH能够利用其他一些协议来控制主机终端与SSH连接的操作。你可能认为通过SSH连接的隧道将是一个很不错的VPN选择,但事实并非如此。一种更好的解决方案就是通过VPN连接的SSH隧道技术,因为这是一种很安全的连接发。总之,SSH是一个比较浒、用于加密网络TCP会话的工具,它最常用于远程登录以及增加网络的安全性。
3 网络安全技术
3.1 使用网络安全技术的意义
随着计算机网络技术的突飞猛进,网络安全的问题已经日益突出地摆在各类用户的面前。据统计资料表明,目前在互联网上大约有将近20%以上的用户曾经受过黑客的困扰。尽管黑客如此猖獗,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户,特别是企业级用户没有安装防火墙便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙引发的。
3.2 防火墙
防火墙(Firewall )技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。它是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。
3.2.1 防火墙的种类
第一:从防火墙产品形态分类,防火墙可分为3种类型:
1)软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说,这台计算机就是整个网络的网关,俗称“个人防火墙”。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络软件版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
2)硬件防火墙
硬件防火墙是指“所谓的硬件防火墙。之所以加上”所谓“二字是针对芯片级防火墙说的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构,也就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的UNIX、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网、外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见的四端防火墙一般将第4个端口作为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
3)芯片级防火墙
芯片级防火墙基于专门的硬件平台及专用的操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
第二:从防火墙所采用的技术不同,可分为包过滤型、型和监测型三大类型。
1)包过滤型
是防火墙的初级产品,其技术依据是网络中的他包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。优点是:简单实用,实现成本较低,在应用环境简单的情况下能够以较小的代价在一定程度上保证系统的安全。缺点是:只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
2)型
“型”防火墙也可以称为服务器,它的安全性要高于包过滤型产品,并已经开始实行向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。监测型
3)监测型
“监测型”防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙对各层的数据进行主动、实时的监测,在对这些数据加以分析的基础上,临测型防火墙有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探器,这些探测器安置在各种应用服务器和其他网络系统的节点之中,不仅检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用
第三:从网络体系结构来进行分类,可以将防火墙分为以下4种类型:
1)网络级防火墙
一般是基于源地址和目的地址、应用或协议,以及每个IP包的端口来做出通过与否的判断。网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2)应用级网关
也称“型”防火墙,它检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的软件,使用时工作量大,效率不如网络级防火墙。
3)电路级网关
用来监近代受信任的客户机或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能:网络地址转换功能,将所有内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一睦缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
4)规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查闻讯火墙大OSI网络层上通过IP地址和端口号,过滤进出的数据包。可以在OSI应用层下检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与旅游区在用层有关的,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级在过滤数据包上更有效。
第四:从防火墙的应用部署位置来分,可将防火墙分为3种类型
1)边界防火墙
这是最为传统的那种,它们位于内、外部网络的边蜀,所起的作用是对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。
2)个人防火墙
安装于单台主机中,防护的也只是单台主机。这类防火墙应于广大的个人用户,价格最便宜,性能也最差。
3)混合式防火墙
也可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
3.2.2 防火墙中的关键技术
在实现防火墙的众多技术中,如下技术是其实现的关键技术:
3.2.2.1 包过滤技术
包过滤技术是在网络中适当的位置上对数据包实施有选择的过滤。采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据所检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。
优点:采用包过滤技术的包过滤防火墙具有明显的优点,
1)一个过滤由器协助防护整个网络
2)数据包过滤对用户透明
3)包过滤路由器速度快、效率高
缺点:通常它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。配置烦琐也是包过滤防火墙的一个缺点。没有一定的经验,是不可能将过滤规则配置得完美的。
3.2.2.2 应用技术
技术是针对每一个特定应用服务的控制。它作用于应用层。其具有状态性的特点,能提供部分与传输有关的状态,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它节点的直接请求。提供服务的可以是一台双宿网关,也可以是一台保垒主机。
3.2.2.3 状态检查技术
状态检查技术也称为应用层网关技术,是一种在网络层实现防火墙功能的技术。它是在应用层实现防火墙的功能,针对每一个特定应用进行检验。服务不允许直接与真正的服务通信,而是与服务器通信(用户的默认网关指向服务器)。各个应用在用户和服务之间处理所有的通信。
优点:1)易于配置。2)能生成各项记录。3)能灵活、完全地控制进出信息。4)能过滤数据内容。
缺点:1)速度比路由器慢。2)对用户不透明。3)对于每项服务,可能要求不同的服务器。4)服务通常要求对客户或过程进行限制。5)服务受协议弱点的限制。6)不能改进底层协义的安全性。
3.2.2.4 地址转换技术
地址转换技术是将一个IP地址用另一个IP地址代替。它主要应用于两个方面,其一是网络管理员希望隐藏内部网的IP地址。其二是内部网的IP地址是无效的。在此情况下,外部网不能访问内部网,而内部网之间主机可以互助访问。
3.2.2.5 内容检查技术
内容检查技术提供对高层服务协议数据的监控,以确保数据流的安全。它是一个利用智能方式来分析数据,使系统免受信息内容安全威胁的软件组合。
3.3 网络入侵检测
随着网络技术的发展,网络环境变得越来越复杂,网络攻击方式的不断翻新。网络系统的安全管理,是一个非常复检录烦琐的事情。入侵检测技术和漏洞扫描技术通过从目标系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,甚至实时地对攻击做了反应。入侵检测系统和入侵保护系统是防火墙极其有益的补充,它能对非法入侵行为进行全面的临测和防护。在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。入侵检测技术被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供针对内部攻击、外部攻击和误操作的实时防护,大大提高了网络的安全性。
3.3.1 入侵检测系统技术
入侵检测系统技术可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制,以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。
3.3.2 入侵检测系统
入侵检测系统的核心就是通过对系统数据的分析,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。将入侵检测的软件与硬件进行组合便是入侵检测系统。与其他安全产品不同的是入侵检测系统需要更多的智能必须可以对得到的数据进行分析,并得出有用的结果,一个合格的入侵检测系统能大大地简化管理员的工作,保证网络安全的运行。其实,入侵检测系统是一个曲型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口,无须转发任何流量,而只需要在网络上被动地、无声无息地收集它所关心的报文即可。
3.4 虚拟专用网(VPN)
VPN是目前解决信息安全问题的一个最新、最成功的技术之一。所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网络指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公有网络中建立专用的数据通信网络的技术。在虚拟专用网络中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”,通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
一个典型VPN的组成部分如图1所示。
图1各个组件作用如下:VPN服务器:接受来自VPN客户机的连接请求。VPN客户机:可以是终端计算机也可以是路由器。隧道:数据传输通道,在其中传输的数据必须经过封装。VPN连接:在VPN连接中,数据必须经过加密。隧道协议:封装数据、管理隧道的通信标准。传输数据:经过封装、加密后在隧道上传输的数据。公共网络:如Internet,也可以是其他共享网络。
3.5 访问控制的概念
访部控制是通过一个参考监视器,在每一次用户对系统目标进行访问时,都由它来调节,包括限制合法用户的行为。访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。所有的操作系统都支持访问控制。
访问控制的两个重要过程:1)通过鉴别(authentication)来检验主体的合法身份:2)通过授权(authorization)来限制用户对资源的访问级别。访问包括读取数据,更改数据,运行程序,发起连接等。访问控制所要控制的行为有以下几类:1)读取数据;2)运行可执行文件;3)发起网络连接等。
3.5.1 访问控制应用类型
根据应用环境的不同,访问控制主要有以下三种:1)网络访问控制;2)主机、操作系统访问控制;3)应用程序访问控制。由于本文讨论的主要为网络中的访问控制。所以主机、操作系统的访问控制
及应用程序的访问控制在这里就不做讨论。网络访问控制机制应用在网络安全环境中,主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据,这就是传统的网络防火墙。此外,加密的方法也常被用来提供实现访问控制。
3.5.2 强制访问控制(MAC)
强制访问控制与自主访问控制因实现的基本理念不同,访问控制可分为强制访问控制(Mandatory accesscontrol)和自主访问控制(Discretionary access control)。用来保护系统确定的对象,对此对象用户不能进行更改。也就是说,系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。在强制访问控制系统中,所有主体(用户,进程)和客体(文件,数据)都被分配了安全标签,安全标签标识一个安全等级。主体(用户,进程)被分配一个安全等级,客体(文件,数据)也被分配一个安全等级。访问控制执行时对主体和客体的安全级别进行比较。
用一个例子来说明强制访问控制规则的应用,如WEB服务以“秘密”的安全级别运行。例如WEB服务器被攻击,攻击者在目标系统中以“秘密”的安全级别进行操作,他将不能访问系统中安全级为“机密”及“高密”的数据。
4 网络安全策略
4.1 网络安全系统策略
从根本意义上讲,绝对安全的网络是不可能有的。只要使用,就或多或少地存在安全问题。我们在探讨安全问题的时候,实际上是指一定程度的网络安全。一般说来,网络的安全性通常是以网络的开放性、便利性和灵活性为代价的。计算机网络信息安全是一个复杂的系统工程,国际上普遍认为:它不仅涉及到技术、设备、人员管理等范畴,还应该依法律规范作保证,只有各方面结合起来,相互弥补,不断完善,才能有效地实现网络信息安全。这里仅从技术的角度探讨网络信息安全的对策。
4.2 网络安全系统策略的制定
4.2.1 物理安全策略
物理安全的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;防止用户越权操作;确保网络设备有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个主要问题。
4.2.2 数据链层路安全策略
数据链路层的网络安全需要保证通过网络链路传送的数据不被窃听,主要采用划分VLAN(虚拟局域网)、加密通信(远程网)等手段。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。
4.2.3 网络层安全策略
网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免拦截或监听。用于解决网络层安全性问题的主要有防火墙和VPN(虚拟专用网)。防火墙是在网络边界上通过建立起恶报相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。
4.2.4 遵循“最小授权”策略
“最小授权”原则指网络中帐号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险性大大降低。
4.2.5 建立并严格执行规章制度的策略
在网络安全中,除了采用技术措施之外,制定有关规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。一般来说,安全与方便通常是互相矛盾的。一旦安全管理与其它管理服务存在冲突的时候,网络安全往往会作出让步,或许正是由于一个细微的让步,最终导致了整个系统的崩溃。因此,严格执行安全管理制度是网络可靠运行的重要保障。
5 结论
当前,如何确保计算机网络的安全性是任何一个网络的设计者和管理者都极为关心的热点。由于因特网协议的开放性,使得计算机网络的接入变得十分容易。正是在这样得背景下,能够威胁到计算机网络安全的因素就非常多。因此,人们研究和开发了各种安全技术和手段,努力构建一种可靠的计算机网络安全系统。这种安全系统的构建实际上就是针对己经出现的各种威胁(或者是能够预见的潜在威胁),采用相应的安全策略与安全技术解除这些威胁对网络的破坏的过程。当然,随着计算机网络的扩大,威胁网络安全因素的变化使得这个过程是一个动态的过程。计算机网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。所以任何计算机网络安全体系一定不是可以一劳永逸地防范任何攻击的完美系统,人们力图建立的只能是一个动态的网络安全防护系统。它是一个动态加静态的防御,本文首先从多个角度研究了计算机网络的安全性,针对各种不同的威胁与攻击研究了解决它们的相应安全技术与安全协议。接下来,在一般意义下制定计算机网络安全系统设计的策略与原则,提出了计算机网络安全的实现模型。计算机网络安全取决于安全技术与网络管理两大方面。从技术角度来讲,计算机网络安全又取决于网络设备的硬件与软件两个方面,网络设备的软件和硬件互相配合才能较好地实现网络安全。但是,由于网络安全作为网络对其上的信息提供的一种增值服务,人们往往发现软件的处理速度成为网络的瓶颈,因此,将网络安全的密码算法和安全协议用硬件实现,实现快速的安全处理仍然将是网络安全发展的一个主要方向。另一方面,在安全技术不断发展的同时,全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。除了网络安全技术,还要强调网络安全策略和管理手段的重要性。只有做到这些的综合,才能确保网络安全。本文尽管对计算机网络安全进行了较深入的研究。但是,计算机网络安全的问题是一个永久的课题,它将随着计算机技术、计算机网络的发展而一直存在、一直发展。计算机网络的威胁与计算机网络的安全防护的关系就象是“矛”和“盾”的关系一样,没有无坚不摧的矛、也没有无法攻破的盾。从理论上讲这种做法的正确的,但在具体的折中方法上就有大量的研究及实验工作可做。由于本文作者水平有限以及时间有限等的原因,本文的折中是有进一步研究和改进的必要的。总之,计算机网络安全技术是个永无止境的研究课题。
参考文献:
[1] Stallings W.网络安全要素一应用与标准[M].北京:人民邮电出版社,2000.
[2] 张小斌,严望佳.黑客分析与防范技术[M].北京:清华大学出版社,1999.
[3] 余建斌,黑客的攻击手段及用户对策[M].北京:人民邮电出版社,1998.
[4] 彭杰.计算机网络安全问题的探讨[M].现代电子技术,2002.
[5] 郝玉洁,.网络安全与防火墙技术[J].电子科技大学学报社科版,2002,4(1).
[6] 陈朝阳,潘雪增,平铃娣.新型防火墙的设计和实现[J].计算机工程,2002(11).
[7] 刘美兰,姚京松.入侵检测预警系统及其性能设计[C]//卿斯汉,冯登国.信息和通信安全CCICS'99:第1届中国信息和通信安全学术会议论文集.北京:科学出版社,2000.
[8] 陈晓苏,林军,肖道举.基于多的协同分布式入侵检测系统模型[J].华中科技大学学报:自然科学版,2002,30(2).
[9] 王惠芳.虚拟专用网的设计及安全性分析[J].计算机工程,2001(6).