时间:2023-09-13 17:14:48
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇常用网络安全标准,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】策略;安全;无线网络
1.引言
无线网络与有线网络相比可以随时通过无线信号接入到无线网中,更加的快捷方便,而且不会受到网线接头的限制。客户端如3G手机和笔记本电脑等设备发展越来越快,因此在无线网络的使用上更加的广泛。而在目前无线网络发展越来越迅速的同时,网络安全隐患一直是一个值得关注的话题。
2.无线网络存在的安全问题
网络通信被窃听、无线网络被盗用、无线AP遭遇控制、遭遇无线钓鱼攻击是安全问题的四个表现层面。
网络通信被窃听:当用户进行网络操作时,会窃取大量的网络信息。网络上所传输的数据大多都是以明文的操作方式进行的,所以用户的网络通信信息完全可以通过数据流模式、分析数据流、监听和观察的方式被不法分子窃取。
无线网络被盗用:俗称的“蹭网”就是盗用无线网络现象。这种现象很严重的影响到了正常用户的使用。一是黑客在进行黑客行为时盗用了无线网对网络安全带来危害,同样会受到牵连的就是正常用户;二是正常用户因无线网被盗用就会加大网络入侵和攻击的可能性;三是上网服务费用按网络流量收费就会给正常用户带来经济损失;四是正常用户在访问网络时速度会减慢。
无线AP为他人控制:当无线网络被盗用之后,就可以直接操作无线网络接入点,即无线AP,可以随意的设置正常用户的管理界面。这样将对正常用户造成十分严重的后果:(1)图2所示是路由器中的上网口令和上网账号,可以很轻易的得到此路由器的信息;(2)盗用者可以随时断开网络连接,修改AP参数。
遭遇无线钓鱼攻击:接入无线“钓鱼”网络点时用户的网络安全问题就会受到攻击,这就是遭遇无线钓鱼攻击。用户接入到由攻击者所建立的无线网络接入点时,系统就会受到攻击、入侵和扫描,很多的计算机就会被控制,机密文件会被木马感染,盗取等安全问题。
3.无线网络安全的薄弱环节
造成无线网络安全问题的原因有很多种。其中最薄弱的环节包括用户安全意识淡薄、由无线网络所产生的直接经济利益、无线网络的工作方式。
3.1 无线网络用户安全意识淡薄
在调查中显示,很多使用无线路由器的人有40%的用户使用默认密码。而有30%的用户根本没有密码保护。因此很多网络都是敝开用的,任一无线终端都可以接入到网络中,从而就会给网络带来不安全的因素;无线网络被攻击的方式多样。研究无线网络的攻击已经十分的深入,方式也很多,因为这与用户的经济利益有直接的关系,表1就是各种攻击无线网的软件。所以在无线网络安全的防范工作上还没有进展。
无线网络工作方式。无线网络的薄弱环节有加密方式、SSID广播和信号传输方式。
(1)无线网络的加密方式
无线网络的加密方式有WPA2加密方式、WPA加密方式、WEP加密方式,这是根据加密技术的发展过程划分的。WEP加密方式可以在短时间内100%被破解,安全度较高的WPA2和WPA也有可能被破解。
(2)无线网络使用的SSID广播
自身的广播信息通过SSID广播传输给外界。因为SSID的广播靠自身的信号发出信息,所以周围的网卡都能搜索到也能看到网络信号。
(3)无线网络的信号传输方式
电磁波是无线网络传输信息的介质,它与有线网络传输信息的可监控性、可视性和固定性恰恰相反,它是不可视的并且向四周发散的网络介质。人为不能控制它所发散的区域和范围,所以这个网络信号可以让任何人都接收到。
3.2 入侵者破解无线网络的方法
如今网络技术越来越发达,所以对于破解WPA密码和WEP密码的流程和方法也有很多种方式。
(1)破解WEP加密的无线网络
破解原理:图1所示就是破解WEP加密无线网的流程。通过工具软件探寻无线网络,得到WEP数据包;数据包收集的足够多,就可以计算分析统计通信包里的密码碎片;最后组合排列密码,就可以获取正确的无线密码。
图1 破解WEP密码流程图
(2)破解WPA加密的无线网络
破解WPA密码要存在合法的客户端,所以过程比较复杂。破解原理:对合法客户端进行攻击,使其与无线AP的连接中断,重新获得无线AP和客户端的数据包,WPA的密码就在此数据包里,俗称“握手包”。不能直接得到WPA的密码,要经过试误并利用密码字典才能得到,图2所示就是破解WPA密码的流程图。
图2 破解WPA密码流程图
4.无线网络安全防范策略
为了使无线网络能够安全的使用下去,减少威胁和攻击,提升网络安全,就要有具体的安全措施,下面就是维护无线网络安全所采用的几种方法。
(1)接入限制策略
设置准许条件对非授权计算机访问主计算机进行阻止。这样的方法适合固定和数量较少的客户端。限制方式只要过滤无线路由器的MAC地址就可以。
(2)隐藏SSID广播策略
关闭SSID广播,隐藏它所发送的无线网络信息,使非授权计算机无法利用SSID查看。
(3)安全标准策略
WPA加密方式的安全程度要高于WEP标准,虽然其破解的可能性也存在但是要比其他方式更安全些,所以最安全的方式就是采用此方法。
(4)修改路由器密码策略
修改默认的路由器密码和用户名,以确保路由器的安全。“admin”是很多路由器所默认的密码和用户名,所以完全没有保障。
(5)降低无线AP功率策略
无线网络所辐射的范围和距离与AP发射功率有很大的关系。无线范围超过了正常的网络信号传输距离,那么就会产生盗用的现象。为了使非法访问的可能性降低,就要减少无线AP的功率。
(6)强壮密码策略
破解密码是盗用无线网络最常见最易破解的方式,所以在密码设置时一定要尽量的复杂字符数要尽量的多,以确保无线网络的安全。表2所示为使用EWSA软件破解不同密码需要的时间。
5.结束语
安全措施除了上面所提到的方法还有不接入陌生无线AP、定期修改密码、定期安全检查、防火墙和漏洞扫描等。
参加文献
[1]任伟.无线网络安全问题初探[J].信息网络安全,2012, 01:10-13.
[2]朱建明.无线网络安全方法与技术研究[D].西安电子科技大学,2004.
[3]郑宇.4G无线网络安全若干关键技术研究[D].西南交通大学,2006.
随着计算机技术应用的日益普及,人们发现计算机安全成了当务之急。需要解决的问题是确保信息系统中硬件、软件及正在处理、存储、传输信息的保密性、完整性和可用性。涉及的安全性有:完整性——操作系统的正确性和可靠性、硬件和软件的逻辑完整性,防止信息被未经授权的篡改;可用性——保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其它人为因素造成的系统拒绝服务或者为敌手所用却对授权者拒用。还有对计算机安全的威胁扩展到病毒、非法访问、脆弱口令、黑客等等。
1 目前常用的多种解决方案
(1)安全管理中心
建立一套集中管理的机制和设备,用来给各网络安全设备分发密钥,监控网络安全设备,收集网络安全设备的审计信息等;
(2)检测系统 检测是利用审计跟踪数据监视入侵活动;
(3)安全的操作系统 给系统中的关键服务器提供安全运行平台;
(4)安全数据库
确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等;
(5)容灾系统
容灾就是能够恢复数据在灾难发生前的系统状态。在相隔较远的异地,建立多套功能相同的系统,进行监视和功能切换。数据容灾是信息安全战略中非常重要的一个环节。
2 提出一整套系统安全解决方案
建立安全保障体系由安全手段、安全机制和安全环境三部分组成。系统安全手段包括系统手段和业务手段;安全机制包括系统机制、业务机制、环境机制;安全环境包括配套设备和机房环境。
3 系统安全保障建立
3.1 安全手段支撑
1)设备安全
服务器采用阵列盘或镜像盘技术;采用CLUSTER技术;采用双机或多机热备份容错系统;生产服务器和开发测试服务器分离;提供光盘备份库;保证24小时不间断运行;建立异地备用服务器。
工作站及终端具有防病毒功能;保证24小时不间断运行。
网络设备采用多传输媒介组成多路由制;结驳简单、可靠;保证24小时不间断运行。
2)支撑软件安全
操作系统:
符合C2级安全标准,提供完善的操作系统监控、报警和故障处理。
数据库系统:
符合C2级安全标准,提供完善的数据库监控、报警和故障处理。大型关系数据库有如下的安全机制以保证数据库的安全:
数据库级的安全性,对整个数据库起作用。
表级的安全性,只对相关的表起作用。
列级的安全性,只对相关的列起作用。
行级的安全性,只对相关的行起作用。
类级的安全性,只对使用的隐含的类起作用。
管理和使用用户权限的另一种方法是使用角色。在数据库环境中角色的概念相当于UNIX操作系统中的组的概念。在数据库系统中角色的目的是让DBA对数据库的权限进一步细化。
数据库系统的审计策略是数据库安全性的重要组成部分之一。大型关系数据库系统提供的审计机制符合Trusted Computer System Evaluation Criteria(CSC-STD-001-83)C2级标准及Trusted Database Interpretation(NCSC-TC-021)标准。对每一个选择出的用户的活动,大型关系数据库系统提供的审计功能将产生一条记录。这些记录将用于以下用途:
发现非法用户及可疑用户的行为并指出其执行的操作;
发现未授权的访问企图;
评价潜在的损害安全机制的因素;
假如有需要,为调查提供证据。
3)网络系统安全
支持鉴别、接入控制、数据机密等一组安全功能;与其它系统的连接必须建立防火墙隔离;提供完整的网络监控、报警和故障处理。
组建的可以是企业的内部网。同时,各个系统的主机的连接都采用了前置机通讯的方式,前置机实际上起了一定的防火墙作用,增加了非法用户企图通过某台主机攻击网内其它主机的难度。其次,企业网在与外界主机相连时,都将采用国产的防火墙产品,将有效的防止外界非法用户对网内主机的入侵。
对于通过广域网连接上线的用户,可以通过路由器加密等手段保证数据在广域网(特别是公用数据交换网)传输时数据的保密性和完整性,但会占用一定网络带宽。如果远程用户是通过DDN专线连接,应该说数据传输过程是比较安全的。
对于局域网上的用户,最好的方法是将业务应用的子网和公网隔开,当然物理上完全断开不大可能,可以通过在总部局域网交换机上设置业务专用的虚拟子网VLAN。这样可利用现有设备,无需额外的资金投入。
4)应用系统安全
符合C2级安全标准,提供完善的问权限的识别和控制功能,提供多级密码口令保护措施。
应用系统的安全性建立在数据库管理系统的安全性之上,为保证系统的安全性,系统对操作员实行严格的分级权限管理,每一个操作员均拥有各自的工号(帐号)、登录密码和权限等级。特定的权限等级只能进入特定的功能模块进行授权操作。除对系统的查询操作外,任何一个对系统的“写”操作(如录入、修改、删除资料)均将在系统中留下完整的记录,包括该“写”操作发生的日期、时间、操作员工号以及对系统进行了何种操作,以备日后追查。为了保证密码的可靠性,对于操作员的密码,用户的密码,均以密文的方式在数据库中存放,这些密码只能修改而不能够直接读取。
3.2 系统数据安全
1)数据备份与恢复
系统数据可进行联机备份;
系统数据可进行联机恢复;
被恢复的数据必须保持其完整性和一致性;
提供完整的系统数据监控、报警和故障处理。
2)数据的传送与接受
保证系统数据的传送完整;
保证系统数据的传送机密;
提供完整的系统数据传送监控和报警处理。
3.3 安全环境支撑
1)配套设备安全
配套先进的、完善的供电系统和应急报警系统。
2)机房环境安全
机房要防火、防尘、防雷、防磁;
机房温度、湿度、电压应符合计算机环境要求;
机房要进行定期维护保养。
3.4 安全机制支撑
1)系统安全机制
系统应具备访问权限的识别和控制功能,提供多级密码口令或使用硬件钥匙等选择和保护措施;
系统应能提供操作日志记录功能,以便即时掌握运行状况;
系统应具备完善的检测功能,确保系统处理的准确性。系统每个环节的检测实行闭环管理,并建立与应用系统相对独立的检测系统,校验处理准确性;
建立校验结果和安全逻辑异常情况报警系统。
2)业务安全机制
建立严格的管理制度和开发、维护、运行管理机制;
应用鉴别权限与访问控制功能,对系统管理员、数据库管理员、数据管理员、操作员必须授予各种访问权限,包括人员身份、人员的密码、所属的地理位置及指令的控制,进行权限分割、责任分割;
要保证未授权的人员不能访问应用管理系统,在应用管理系统安全性受到破坏时必须产生告警;
保证只有授权的人员或系统可以访问某种功能,获取某种数据。
3)环境安全机制
建立严格的机房安全管理制度;
及时审查日志文件;
非工作人员不准入机房;
任何人不得将有关资料泄密、任意抄录。
4 结论
通过建立技术先进、管理完善、机制健全的系统安全体系,能有效保证企业系统安全运行、保守企业和用户的秘密、维护企业的合法权益:
(1)网络不间断、畅通地运行;
(2)应用系统高效、稳定地运行;
关键词:服务支持体系;安全动态模型
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 06-0000-02
在近些年,金盾工程进一步展开,各项信息网都得到了长足的发展,电子信息技术以计算机为应用基础,网络技术在各行各业中得到了越来越广泛的应用,信息量的传递速度与共享范围达到了前所未有的程度。
一、网络和信息安全存在的威胁因素
计算机网络的应用在日常生活中越来越普及,网络系统及其中的重要信息资源无时无刻不面临着来自四面八方的安全威胁,具体表现在如下几个方面。
首先,内部人员的错误操作以及违规使用
这一类的情况主要有:蓄意盗窃网络密码、越权进入系统、越权操作访问、人为蓄意破坏等。调查显示,对网络系统产生严重影响的行为一般来自于网络内部的错误操作和违规使用,所以每个网络管理者必须面对和思考的问题就是如何能有效地杜绝这一类的行为,在事后能够较为成功的进行定位并及时取证分析。
第二,外部威胁
来自于外部的非法入侵主要是指外部远程用户利用非法软件和系统,进入网络系统,并对相关信息数据进行盗窃、篡改甚至毁坏性掠夺,从而导致网络服务瘫痪乃至整个服务进程的中止。
第三,拒绝服务攻击
表现在对网络服务系统所进行的不间断干扰,有时表现为改变网络服务系统中正常进行的作业流程,或者是执行无关的程序,进而加重整个系统的运转负荷,导致系统响应速度减慢,严重影响正常用户的使用,调查显示,网络因受攻击而拒绝服务的趋势明显上升。
第四,网络病毒
在所有的网络威胁中,网络病毒无疑是最为臭名昭著的,它是最为常见、最重要、最难防范的威胁,它对各种局域网,甚至对整个互联网的安全所产生的威胁是随时存在的。
二、建立网络和信息安全动态策略
网络技术的普及,提高了工作效率,因此构建一个良好的网络环境十分必要,然而,伴随着计算机网络在各行各业中的广泛应用,相关的安全问题也不可避免地日渐突出,如果放任网络上各种安全问题滋生扩大,不仅会严重的降低生产效率和生活质量,还会给人民的生命和财产安全带来极其巨大的威胁和损害。
首先,网络安全主要分为四个主要层面:物理安全、文化安全、信息安全以及系统安全。
第一,物理安全即指包括了各种通讯线路以及设备、计算机主机等硬件设施在内的所有网络基础设施,例如:容错、容外部损伤、对干扰的抵抗等。
第二,系统安全。即是指代存在于网络通信中的基础协议,包含了操作系统以及应用系统在内的可用性,包括使用的合法性。例如,遇到网络阻塞时的防护措施、对非法入侵行为的防护以及防护计算机病毒的自我保护行为等等。其核心内容和技术为:身份认证、日志的审查统计、对所授权限的管理、检测系统漏洞并进行修补、对病毒以及其它各种形式的入侵行为的防护等。对入侵防护技术的概念则为:入侵防范、之后的检测以及响应和系统的恢复。
第三,信息安全是指在保证数据和信息的完整性、保密性以及有效性等特性能,在计算机网络中进行存储、处理和传输等各项过程中得到安全的监护和保护。基础行为包括对信息窃取行为的及时制止,防止恶意篡改信息以及冒名的发送伪造信息等,在所有的安全保障手段中,其最核心的技术则是密码技术。顾名思义,即是在密码技术的支持下,对数据加密、数字签名以及相关身份确认等诸如此类的行为得到完整地实现,所以我们可以看见在信息安全以及系统安全中间存在着极强的彼此相互依赖的关系。
三、建立网络与信息安全体系
为了在最大限度上保证全部网络信息合法用户的网络信息安全,应该建立网络与信息安全的一整套体系,其结构可以划分为呈若干层次,所涉及的环节较多,主要包括:网络安全中各种策略的建设性指导、网络安全标准的统一规范、网络安全全面防范的高端技术、网络安全管理全方位保障以及网络安全服务支持体系的建立等。这种安全体系的初衷是要建立一个可控的安全体系机构,管理人员在规范合理的指导下,得以拥有把握网络整体安全状况的权限,从而可以有效的对安全硬件设备以及先进的安全技术进行合理利用和全面管理,使得整个网络与信息的安全性可控得以实现。网络动态安全的实施则应该按步骤,分层次低进行。
首先,必须了解当前网络整体的安全状况,即进行安全风险的合理评估(主要指确定网络资产的安全威胁性和脆弱性,并进一步估算由此可能会造成的损失程度和影响的过程)在综合考虑提高网络安全性、评估风险以及制定对应的安全措施时,应该考虑要有一套较为完整及符合实际情况的风险分析方法(包括了对应的安全措施制定方法),网络安全评估的主要内容有如下两个方面,首先,在考虑了回避最为常见的威胁以及漏洞(包括网络管理部门在实施安全措施的控制之下仍然发生的破坏安全事件的发生概率)。
第二,当安全措施失效从而导致造成了业务的损失(包括到预计中财产信息被公开,还有信息不完整甚至不可用的全面影响)。这种风险评估所得出的结果应该作为制定网络安全策略时所必须参考的依据,在进行风险评估分析的基础上,进一步提出网络和信息安全的整体需求,以期能够确定网络所要达到的安全系数和级别,对进一步可能采取的安全措施进行总体计划,有针对性地发现并及时、彻底地解决网络中存在着的诸多问题和症状,在动态安全体系的正确指导下,制定出更为合理有效的安全措施,并进行较为严格的安全管理。
安全保护及实时监测。即是指选用相关的安全产品(包括前沿技术、能够执行的合适的安全制度)全面的安全管理规章制度的制定,明确安全实施与管理中全部流程,各个方面安全职责的切实确定,提高网络安全性。而安全保护过程中可以使用的手段包括:设置防火墙、对漏洞进行定期扫描及修补、对非法入侵的检测、对病毒的防护、备份与恢复、对信息进行多重加密、日志与审查统计以及动态口令等。
四、结语
总之,安全不是一朝一夕的事,所以当然不可能会有一个一劳永逸的解决方案。安全防护是一个动态的、不断在进行和改革以期逐步完善的过程。这就引出了网络安全的新概念——网络动态安全体系模型。
参考文献:
[1]康募建,姚京橙,林鹏.计算机网络动态适应安全系统[J].中国电脑,200l,13(2):73-75
伴随科技进步与时代的发展,21世纪已经成为了以信息化技术为主导的时代,它不仅为人们带来了先进的科学技术,也在很大程度上改变了人们的生存方式与生活形态,尤其是网络化管理被广泛应用在企业的管理过程中,更是在很大程度上促进了企业的发展和建设。但是,以计算机为基础的网络技术并不是万能的,它也会受到很大的安全威胁,因而应该对其信息网络安全技术方面的问题加以研究与探讨。
1企业信息网络安全管理中存在的问题
1.1病毒问题
在企业的信息网络安全管理过程中,由于企业的信息处在开放的网络环境中,则会因各种通信功能的开启,尤其是一些技术安全的漏洞等问题,加上信息的传播速度非常快,实时性更高,所以发生病毒侵害的可能性就较大。从攻击途径来看,通常会通过软盘的拷贝方式、网络中的文件传输方式以及硬件设备中的固化病毒程序等完成。其手段是突破原有的网络防御系统,其主要的核心力量在于技术。导致的结果是计算机无法运行,各种数据丢失,以及网络环境的破坏,给企业的信息网络安全管理造成极大的威胁。
1.2操作系统存在问题
不同的操作系统会提供不同的装机设置与桌面,由于各种杂烩的存在,缺乏统一管理,表面看是在一个系统下,但是由于兼容性的问题也有可能会出现一些安全漏洞,不便于企业采取有效的安全管理措施。再如当同时使用两款安全保卫软件的时候,往往会出现各自程序的互相攻击,而出现两者共同休眠的状态,并不给予计算机以保护,而且由于捆绑软件及下载问题的存在,大多数软件的携带下载往往将病毒带入,或者因为下载中的计算机系统默认程序等造成一系列的文件堆积等从而造成操作系统的速度减慢,出现卡机、死机、蓝屏、发热等现象,最终影响正常的计算机使用,使得企业的信息化办公受到严重的影响。另外,由于配置不当的问题,也会使其出现安全漏洞。在这方面可以看出,由于它在开始阶段会进行存取检查,但当每次数据传输过程中并不进行重复检查,只是改变一些传输的地址而已,这一点易于让人利用,因而给其系统带来严重威胁,从而造成企业的重要数据出现泄露。
2企业进行信息网络安全管理的防护策略
2.1对软件进行加密
企业在进行信息网络安全管理的过程中,可以通过采用以下几点措施,对软件进行加密,充分维护企业的网络安全,为企业的发展创造一个安全的信息环境。首先,企业的管理人员一方面应该建立安全的计算机网络系统;另一方面应该利用一些安全卫士之类的软件进行时时防护,如毒霸、360等都是比较成熟且免费应用的杀毒软件。其次,应该从制度上进行一定的制约,企业应当依据自身建设和发展的实际情况,制定出严格的保密措施,以及上网的制度和规范,对企业员工的上网行为加以规范,尽量减少威胁企业网络信息安全事故的发生。此外,企业还应该让信息部门做好机房、硬件、数据、软件、网络等各方面的安全维护与监测,为企业的发展营造出一个安全的环境。
2.2设置防火墙
企业在信息网络安全管理方面,最常用的防护策略就是设置防火墙,即通过加强网络间的访问限制或控制,来防止外部用户利用非正常手段进行的可能性网络技术攻击。这一特殊的网络互联设备,利用一定的程序设定来对各种软件进行扫描、检查、时时提醒并进行修复,从而保证网络环境的运行保持在良好状态。利用数据加密这一技术,可以有效地预防黑客的访问及恶意篡改代码信息或窃取一些数据信息或毁掉一些重要信息等,可以充分维护企业的数据安全,保护企业的商业秘密的安全性不受到威胁。
2.3对主机的防护
企业在建设和发展的过程中,很多的业务都是通过主机来进行运转和操作的,它肩负着重要数据的存储任务,因此若是企业的主机系统一旦发生故障,这无疑将会使企业面临重大经济财产损失。因而,对于主机系统进行重点防御保护对于企业而言是极为重要的。在实际的日常操作过程中,对于系统主机应当对相应的重点区域进行多次检测,对于可能存在的系统漏洞提高扫描的安全标准,以最严格的标准要求对企业的主机系统进行防御和维护工作,通过制定出相应的检测扫描制度,对主机系统进行定期扫描,同时在定期扫描的基础上还要增加不定期扫描从而从概率上一再降低主机系统发生故障的可能性,对于主机系统扫描过程中发现的漏洞问题,及时采取安装防护补丁和加固注册表的方式来加强主机的安全防御保护能力,避免安全故障的发生。
2.4做好数据的备份与恢复工作
积极采取有效的措施,对数据进行备份与恢复,对于数据完整性和安全性的保障具有积极的作用。一旦计算机受到病毒侵袭,计算机操作和管理人员,应建立有效的数据库,确保数据的完整性,这样就可以有效地提升网络通信的安全性,维护企业的网络信息安全。
本文将从加密技术概述谈起,从困扰计算机网络安全的现状中来分析常用的加密技术,并提出积极的建议来提升计算机网络数据的信息安全级别。
【关键词】加密技术 计算机网络 影响 安全性
网络安全问题已经成为现代计算机管理的关键问题,其危害不仅具有隐蔽性和潜在性,更重要的是对用户和信息所有者的影响日益严重。信息加密技术是从保障网络信息安全视角,对网络信息数据采用的主动防范的对策,以防范非法用户对用户数据的窃听或盗用。因此,作为现代信息安全管理的主要方法,对加密技术进行研究就显得尤为重要和迫切。
1 计算机加密技术概述
随着信息技术的飞速发展,数据加密技术更是受到空前的关注和重视。数据加密旨在通过特定的算法来对计算机系统中使用的数据进行有效转换,防范非法用户从数据中窃取获得有用信息,进而实现对计算机网络用户信息的保护。作为一项主动防范的信息技术,其主要特点是借助于特殊的计算机算法,将原有的明文信息转换为密文,使得黑客盗取数据后仍然无法进行查看和使用。由此可见,数据加密技术能够确保计算机网络系统的安全性,更好的保护和维护好信息所有者的权益。从数据加密原理和方法上,在对明文进行加密处理中,一方面可以从防范非法利用中增强数据的安全性,另一方面,高效的数据加密算法还可以对数据带来压缩,便于提升数据的传输效率。
2 当前数据加密技术的现状以及对网络安全的重要性
网络安全在我国还处于起步阶段,国外数据加密技术的引入不仅开拓了数据加密的视野,也为我国数据安全提供了新的发展思路。在探索与实践中,我国的数据加密技术也取得了一定的成果,如结合数据加密领域的特点及要求,在数据传输加密技术、数据存储加密技术、数据密钥加密管理、信息隐藏技术、非对称加密技术等领域也获得了快速应用。安全是数据加密的根本,为了实现对数据传输及数据使用中的安全标准,数据加密技术从安全理念上,加大对数据的加密与对外来入侵的检测,从而为数据的安全和完整创造条件。
3 当前常见数据加密技术分类及特点
加密技术的发展随着网络应用的推广而不断创新,其主要加密技术分类有以下几种:一是传输加密技术;二是存储加密技术;三是数据隐藏技术;四是密钥管理技术;五是确认加密技术;六是对称加密技术;七是非对称加密技术 。由此可见,对于加密和解密的密钥利用,因收发双方所使用的密钥不同,常常在应用中成为“公钥”和“私钥”,当然,在非对称加密技术中,“公钥”与“私钥”是相对而言的,这种技术能够从网络安全上实现对分布式系统数据的有效加密,但其计算量大,对系统要求较高。
4 提升加密技术在计算机网络安全中的应用策略
信息安全是计算机网络数据运行的前提,对于信息的加密处理,主要是从信息安全上,来确保信息的完整性和有效性。因此,在软件加密技术应用中,应该从以下几点给予着重应用:一是网络杀毒软件自身的加密,对于加密程序在应用过程中,一旦感染病毒将无法正常运行,因此要首先从杀毒软件的检测后,才能进行文件加密,因此在杀毒软件本身也是经过加密处理的。二是在电子商务应用中,特别是随着电子商务网络商店的日益发展,对于电子商务中的交易环节,特别是对金融交易过程的保护,必然提出更高的安全性要求。如对网页浏览者身份的鉴定,对用户信息及身份的验证,对相关数据资料的读取和应用等,都需要从加密技术中给予保护,防范盗用或侵犯。因此,在电子商务安全运行中,也需要结合加密技术来促进网络交易平台的安全,保护双方的权益。三是在企业局域网架构中的应用,作为企业局域网建设,对数据加密是确保企业信息系统安全的有效措施。如加密路由器技术,不仅可以实现对局域网内部数据的有效加密和保护,还能防范数据被传输出去后,即使到达非法用户也需要路由器来进行解密,从而增强了数据的安全控制性。四是在数据库技术中的应用,作为数据加密技术的典型应用,在数据库系统管理及应用中,加强对数据的保护就是对数据库信息访问权限的管理,利用加密技术一方面来加密数据库系统资源,另一方面即使数据库被盗也无法实现正确破译。五是在各类应用软件中的应用,从现代网络技术的发展进程来看,软件技术的发展发挥了积极的推动作用,而在软件使用中,由于软件的共享性和传播性,对于软件的使用也往往采用加密技术来保护软件用户的合法权益。因此,对软件实施加密技术处理,一方面可以从软件的安全性上来保护,另一方面从对用户的使用上加以规范,从而满足软件的合理、有效利用。
5 结语
加密技术是伴随信息化应用的发展而同比提升,对于信息加密技术的研究,一方面可以从加密技术的主动性上来提升防范能力,规避风险,另一方面可以从数据的保护和确保数据的完整性上,来更好的提升数据信息的利用率。在信息技术发展的今天,数据安全越来越受到广泛的重视,特别是电子商务系统平台建设,更需要从信息加密技术上来提升平台的稳健性和安全性,以防范非法用户的入侵和对重要数据的窃取。因此,从信息安全理念上,加大对信息加密技术的研究和探索,进一步提升网络防火墙、网络入侵检测技术,切实从数据安全上为系统的稳定运行提供积极、主动的技术保障。
参考文献
[1]杨建才.对计算机网络安全中应用信息加密技术的研究[J].计算机光盘软件与应用,2012(03).
[2]朱闻亚.数据加密技术在计算机网络安全中的应用价值研究[J].制造业自动化, 2012(06).
[3]孙浩,韩金威.安全性防护技术对计算机网络的影响[J].数字技术与应用,2013(10).
关键词:计算机信息管理;网络安全;技术应用
当今时代,随着网络技术的飞速发展,人类正迈向一个以网络化、数字化技术革命为中心的新时代。人类在享受网络带给我们生活便利的同时,也面临着网络信息的安全问题,黑客攻击、网络木马、网络欺诈等均对网络系统安全带来重大威胁,甚至严重影响到国家和社会的安全稳定,做好网络安全工作,保护网络的健康,也具有及其重要的作用。
一、网络安全与网络信息管理安全的概述
(一)网络安全的本质
网络安全,是指包括网络硬件系统与软件系统的在内所有数据的安全。可分为动态安全与静态安全。即,信息的传输与处理过程中不被恶意篡改、窃取;信息在无数据传输、处理的情侣下信息内容的完整、保密。网络系统的安全涉及到技术和管理方面的问题,其安全一般包括了五个特征,分别是网络安全的机密性、完整性、可用性、可控性和可审查性,分别确保网络通信信息的安全性、合法用户对数据修改的授权、在受到网络攻击时可以为客户提供相应的服务、根据公司安全策略对信息流向及行为方式进行授权以及确保在出现网络安全问题后可以提供调查的依据和手段。
(二)网络信息管理的概述
网络信息管理,是指针对网络信息进行安全、健康的管理。这是由互联网具有其自身的开放性,导致的各种各样的复杂的网络安全问题造成的。网络安全问题包括:用户的个人信息、网络的信息资源等,加强网络信息管理已经到了亟待解决的局面。
二、计算机信息管理在网路安全应用中存在的问题
首先是计算机网络具有脆弱性,当前,市场上很多电脑的操作系统本身是有缺陷的,一旦被黑客利用,后果不堪设想。因为任何操作系统都是由许多的通用模块组成的,每个模块都是为了保证计算机的正常功能。就算是只有一个模块出现问题,黑客就会利用这个问题模块来进行袭击,直接造成电脑系统瘫痪。其次,共享计算机网络本身就具有缺陷性。如果通过计算机共享局域网传输的文件含有病毒时,就会损害计算机的操作系统,为网络带来潜在的威胁。
此外,还有些人为因素、自然因素与偶然因素。比如计算机网络信息技术操作人员自身的操作水平不高等。当前尽管网络已经深入家家户户,但大多数人都还是网络时代的新手,对网络安全的不重视度、自身的管理能力低,这些都极易造成网络安全问题。
网络诈骗就是一个屡见不鲜的例子,近几年,现在的诈骗形式多样,手段也多样。比如,一些中奖信息、让你核对身份各方面的信息或者陌生人盗用别人的qq、微信发起聊天,要求借钱等手段。这个时候,千万要冷静,与打电话或者发短信向其本人确定,切记要保护自己的私人信息,如本人的证件号码、密码等千万不可轻易相信网络中的任何中奖信息,切莫贪小便宜,没有天上掉馅饼的好事,一旦感觉受骗,一定要与记得报警。
三、计算机信息技术科学安全应用的应用在互联网中的建议与策略
(一)提高防范意识
计算机相关人员要从根本上树立其防范风险的意识,自觉提高职业素质和职业道德素养;使用计算机的时候,恶意消息不要轻易相信,有关涉及陌生人转账、钱财的问题,千万要多个心眼;突然冒出的网络视频不要点开;不明网址不要随意进入等。时时刻刻切记防止恶性文件进入系统,使系统瘫痪。只要人人从自身都开始提高防范意识,那么就在一定程度上使恶意信息阻断掉。此外要定期对网络进行安全扫描,检查是否有病毒等进行干扰系统,尽最大可能避免我们的电脑受到恶意攻击。
(二)优化网络信息安全管理体系
实现网络安全与网络信息安全管理体系的建立密不可分。有一个良好的网络信息安全管理体系是确保网络安全实施得当的前提。比如要设置一些防火墙、毒霸等软件、坚持定期扫描文件,每次开机都要检查一下电脑是否正常,及时查杀病毒。使得电脑在避免中毒的同时也能得到持续不断的优化。此外,还要不断增加在研发更优质软件的工作力度,鼓励各界技术工作人员积极研发,提高信息技术的水平,使网络安全风险上出现的任何问题与威胁都能解决与处理掉,不断提高我们技术人员在这个方面的能力,并且从不能丝毫有松懈。
特别要强调的是有关防火墙技术的发展趋势。任何系统的更新换代、升级都具有双面性,绝不可能做到绝对安全,也就是说,防火墙技术在不断的发展与升级的同时,恶意的攻击行为也是避免不了的。这就是说,维护计算机网络的安全工作是永无止境的,并且,对网络安全性需求也在不断提高。因此,防火墙未来的发展趋势要将中的放在研发对网络那些攻击行为能做到自动监控与自动报警;能自动分析电脑是否有疑似入侵行为,并作出报告;不断地提高过滤的深度,还可以开发出对病毒自动扫除的功能等。随着IP协议经历IPv4到IPv6的发展历程,防火墙技术一定会发生重大的变革,会与网络安全技术相结合,共同创建安全、合理、健康的计算机网络安全防护体系。以银行的网络安全案例为例,我国银行网络总体是一个银行内部业务系统,采取总行到省行及地市行的三级网络结构,总行网络为一级结点,省行网络中心为二级结点,各地市银行网络中心、各支行网络中心为三级结点,针对银行网络系统的安全风险分析,其防范需求则可以通过加密设备应用、安全检测实时检查网络的数据流,动态防范来自内外网络的恶意攻击,评估网络系统及操作系统的安全等级,分析并提出补救等。
(三)网络安全设计方案
网络安全方案设计主要是从网络安全工程角度进行编写,它是试图建立一个可控的安全体系管理人员在合理的安全规范指导下,掌握网络的整体安全状况,有效地对安全设计和安全技术进行利用和管理,使整个网络和信息的安全性处于可控状态。网络与信息的安全体系结构是划分为若干层面的多层次、多方面、立体的安全架构,体系涉及的各个环节包括网络安全策略指导、网络安全标准规范、网络安全防范技术、网络安全管理保障、网络安全服务支持体系等。关于网络安全体系的构建,国内大多数的网络安全公司都在沿用国际上的PDR和P2DR的网络安全理论模型。一份安全解决方案的框架,可以涉及6个方面,客户则根据实际需求取舍其中的某些方面。一是概要安全风险分析,能突出用户所在的行业,并结合业务特点、网络环境和应用系统等,有针对性地对政府行业、电力行业、金融行业等,体现他们的行业特点。二是根据实际安全风险分析,对网络的风险和威胁分析、系统的风险和威胁分析、应用的分析和威胁分析、对网络系统和应用的风险和威胁的具体和实际的详细分析。三是网络系统的安全原则,体现在动态性、唯一性、整体性、专业性和严密性。四是安全产品,包括防火墙、防病毒、身份认证、传输加密和入侵检测等五个方面,对安全产品的安全技术进行比较和分析。五是通过工具和技术相结合,对风险进行评估。六是安全服务,相较于不断更新的安全技术、安全风险和安全威胁,服务的作用现在已经变得越来越重要。网络拓朴安全可以帮助用户消除产生风险和威胁的根源。
(四)其他保护措施
使用电脑过程中谨记要注意信息的访问控制与信息的安全测试。目前,PKI(公开密钥体系)具有十分高效的安全性能,我们可以通过利用这种方法来实现有效的认证与加密工作。再比如,为了防止数据在传输中被恶意拦截、窃取还可通过加密传输的应用,比如,使用链路加密技术,即对加密网络链路的中继群路信号。不仅可以提高管理信息的保密性,还可以防止被攻击利用,使得入侵者不能进行流量的分析工作。通过运用链路与端与端都加密,这样,大大提高了密码被破译的难度。设计方案时,动态安全是一个越来越重要的概念,这也是网络安全方案与其他方案的最大^别。动态安全就是随着环境的变化和时间的推移,以动态的方式考虑以后或将面临的问题,做好项目升级及网络系统的升级有比较好的升级接口。
四、结语
这个时代就是属于计算机、数学信号,属于网络的新时代,网络的使用范围日后只能是更加开阔,涉及的领域也会越来越多。网络安全的问题也就成为当前亟待解决的问题,但不能因为存在风险就选择放弃网络。这是属于这个时代的产物。
正因为如此,加强网络安全的工作也就及其重要。需要我们相关的技术人员不断的研发软件来抵制恶意文件;需要政府部门全方面支持网络安全工作的进行;也需要人人自身开始提高防范意识,这样数据资源被泄露的几率就会大大降低,我们离安全、健康的网络体系也就指日可待了。
【参考文献】
[1]欧海斌.计算机信息管理在网络安全中的应用研究[J].移动信息,2016(06):185.
[2]戴莹.计算机信息管理在网络安全中的应用研究[J].电子制作,2014(2x):160.
1商务主要的信息安全要素
1.1有效性
有效性是指信息发送方发送给信息接收方的信息是未经外人加工、改变的信息。贸易数据都具有特定型性,是指贸易信息只有在特定的时刻和确定的地点才是有效的。电子商务改变了过去纸质的方式,以电子的形式传递信息,如何确保电子信息在传送过程中的未经加工是确保信息有效的前提。电子商务中信息的有效性对企业、个人、甚至国家的经济利益有着重大的影响,所以,要及时对网络故障、应用程序错误、系统软件错误或者计算机病毒引起的信息安全隐患进行防范,以确保数据的有效性。
1.2保密性
保密性是指贸易信息在存储或传递过程中未经他人窃取或泄露。传统的纸质贸易信息一般是通过邮寄的信件及其他可靠的传递渠道来互送商业贸易文件以确保信息的安全。现代电子网络是一个开放的传递平台,维护商业贸易信息显得更加重要,确保商业机密的保密性是电子商务全面推广应用的基本保障。所以,必须确保贸易信息在传递过程中的保密性,防止非法窃取及泄露。
1.3完整性
完整性是指电子贸易信息在传递的过程中没有没被修改、歪曲和重复,信息的接受者接收到的信息与信息发送方发送的信息完全相同。贸易信息的完整性会对贸易各方经济利润、营销策略和贸易合同产生巨大影响。确保贸易信息的完整性是电子商务实际应用的重要基础。所以,在信息传递过程中要防范信息被随意生成、修改和删除,防止信息的丢失与重复,同时信息的传递次序要保证统一。
1.4可靠性
电子商务信息直接关系到贸易双方的商业交易,在交易过程中如何确保进行交易的对方与交易所期望的贸易方是同一者,这就需要电子商务信息必须确保本身的可靠性。在传统的商业交易中,双放当事人可以通过手写签名或印章等形式确保双方的身份,但是电子商业贸易利用网络这一形式,无法采取传统的身份认定形式,就必须确保贸易信息的可靠性,从而为贸易双方进行商业交易奠定重要基础。
2电子商务安全的技术要求
2.1物理安全
要根据国家标准、信息安全等级、信息技术情况,制定切实可行、符合实际情况的的物理安全标准体系。本体系可以防范设备功能失常、电源事故、电磁泄漏等引起的信息失密等。
2.2网络安全
为了保证电子商务交易的安全可靠,电子商务平台须稳定可靠,能够全天候正常运行。系统在运行的任何中断,如病毒入侵、网络故障或硬件软件错误等都会对正在进行电子商务交易的双方造成重大损失,尤其是丢失或失密的贸易信息,将是不可恢复性的。
2.3商务安全
商务安全是指商务交易中的安全问题,商务安全的不同方面需要通过不同的网络安全技术和安全交易标准来确保实现。确保电子商务安全的技术主要有安全电子交易SET协议、在线支付协议、文件加密技术、数字签名技术等。
2.4系统安全
系统安全主要是指主机的操作系统和数据库系统的安全情况。对系统安全的防范和保护,要通过安全技术升级,加强安全保护设施的投资建设,提高系统的安全防护能力。
3目前我国电子商务存在的问题
就我国电子商务而言,我国的科学技术水平目前还处于较低层次,技术含量不高,资金投入又不足,在安全保密方面存在较大的隐患,网络安全性较低,主要表现在我国的网络信息易扰、欺骗等,再加上我国人民对于网络安全这方面的安全意识不高,网络安全处于十分薄弱的环境中。
3.1电子商务安全存在的隐患
(1)网络协议方面的安全问题。在电子商务中,交易双方在交易中是通过传送数据包的形式来交换数据,传送过程中,不法恶意攻击者会拦截数据包,甚至在一定程度上破坏,这使得接收方接收的信息是不正确的。
(2)用户信息的安全问题。用户和商家是在B/S结构的电子商务网站使用浏览器登录进行交易,在登陆浏览器时势必会使用电脑,有的用户在使用电脑时,如果计算机中存在木马,那么登陆者的信息存在泄露的危险,有的用户在不方便使用自己电脑的情况下使用公共计算机,有些不法分子会通过电脑技术窃取交易信息。
(3)商家商务网的安全问题。有些企业在制作自己的商务网站时由于技术不过硬,本身的商务网站就存在隐患,服务器安全性低,不法分子利用电脑技术攻击商务网站,窃取用户信息和交易信息。
3.2电子商务安全问题的具体表现
(1)交易信息被窃取、毁坏。电子商务交易在数据包的传送过程中,可能会被一些不法分子运用电脑技术非法篡改交易信息,使得交易信息失去真实性和可靠性。无论是在网络硬件还是软件方面,都存在导致传送过程中信息的误传的可能性。
(2)假冒身份问题。电子商务交易是通过浏览器登录进行交易,交易双方没有机会面对面洽谈,这就给了第三人一个假冒交易某一方破坏交易、骗取交易成果,甚至败坏交易某一方的声誉等的机会。
(3)交易抵赖问题。例如,在电子商务交易中,买家收到货之后,不确认收货。
(4)计算机病毒感染问题。电子商务交易势必会使用计算机,交易者在使用计算机时,存在选中有病毒的计算机的可能性,这样给商务交易带来了问题。另外,我国网上的蠕虫病毒等在网络流域的传播极易发生,传播过程中会产生巨大的攻击流量,会导致访问速度滞停的问题。
4电子商务安全防范技术
为确保电子商务贸易的有效进行,一方面要保证电子商务平台的运行可靠稳定,能够全天候持续不断地提供网络服务;另一方面,电子商务系统还必须不断更新和采用最新安全技术来保证电子商务的整个交易过程的安全,防止交易抵赖行为。在现实生活中,电子商务安全防范技术主要有以下几种:
4.1数据加密技术
数据加密技术分为常规密钥密码体系和公开密钥密码体系两大类。在交易双方可以保证密钥在交换阶段未曾发生丢失或泄露的情况下,通常采用常规密钥密码技术为机密信息加密。在公开密钥密码体系中,加密密钥是公开的信息,加密算法和解密算法也是公开的信息,而解密密钥是机密的。重要的公开密钥密码体系有:基于NP完全理论的Merkel-Hellman背包体系、基于数论中大数分解的RSA体系、基于编码理论的McEliece体系。以上两种加密体系各有优缺点:常规密钥密码体系的优点是加密速度快、效率高,主要用于大量数据的加密,但是常规密钥密码体系中密钥在传递过程中容易被窃取,对于大量密钥的管理存在缺陷;公开密钥体系在大范围密钥的安全方面很好的解决了常规密钥密码体系存在的问题,保密性能比常规密钥密码体系高,但是公开密钥密码体系项目复杂,加密速度较慢。实践中通常将常规密钥密码体系和公开密钥密码体系结合起来使用。
4.2防火墙技术
防火墙技术分为两类:服务技术和数据包过滤技术。其中,数据包过滤技术较为简单,也最常用,它通过检查接收到的每个数据包的头,来分析该数据包是否已经发送到目的地。防火墙技术通过对数据进行分析并有选择的过滤,从而有效地避免外来因素对数据包进行的破坏,保证网络的安全。实践中,也常常将数据包过滤防火墙与服务器结合使用,可以更加有效地保护网络安全。
4.3虚拟专网技术VPN
VPN具有适应性强、投资小、易管理等优点,通过使用信息加密技术、安全隧道技术、用户认证技术、访问控制技术等实现对网络信息的保护。VPN可以使商业伙伴、公司、供应商、远程用户的内部网之间建立可靠稳定的安全连接,确保贸易信息的安全传输,从而保证在公共的Internet或企业局域网之间安全进行电子交易。
4.4安全认证技术
安全认证技术包括以下几种:
(1)数字签名技术。数字签名技术可以确保原始报文的不可否认性以及鉴别,并且可以防止虚假签名。
(2)数字摘要技术。数字摘要技术通过验证网络传输的明文,鉴别其是否经过篡改,进而确保数据的有效性和完整性。
(3)数字凭证技术。数字凭证技术通过运用电子手段来鉴别用户身份以及管理用户对网络资源访问的权限。
(4)认证中心。认证中心专门负责审核网络用户的真实身份并提供相应的证明,且只管理每个用户的一个公开密钥,在一定程度上大大降低了密钥管理的复杂性。
(5)智能卡技术。智能卡具有存储数据和读写数据的能力,可以对数据进行简单地处理,能够对数据进行加密和解密,其特点是存储器部分具有外部不可读性,可以使用户身份鉴别更加安全。
5电子商务中的信息安全对策
5.1不断完善网络安全管理体系
我国应在现有网络安全管理部门之外建立一个具有权威的信息安全领导机构。该部门应宏观地、有效统一地协调各部门的职能,对市场网络信息安全现状进行及时的分析,制定科学的政策。对于使用计算机网络的单位及个人,必须严格遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》,建立完善的责任问责制度。
5.2大力培养网络安全专业人才
面对现代网络应用高速普及的情况,网络安全专业人才显得捉襟见肘,我国需要大量的网络安全人才维护网络的安全。我国应加大对培养网络安全人才的科研教育机构的投入力度,同时积极组织人才及组织与国外的相关部门进行技术经验交流,不断引进国外先进网络安全保护技术,并及时对我国专业人员进行技术培训。
5.3建立网络风险防范机制
现阶段我国的网络安全技术较滞后、相关法律法规不是很健全,网络安全面临很多威胁因素,这就要求电子贸易用户建立网络风险防范机制,为存在的安全因素建立补救措施。电子商务交易用户可以根据交易具体情况为标的物进行投保,通过这些措施,可在很大程度上减少网络安全事故造成的经济损失。
关键词:网络防火墙 通讯信息安全 维护
1、视频通讯安全的网络标准体系刍议
现代社会中人们对于通讯信息的要求已经不仅仅满足于信息文字的传输,而越来越多的选择视频通讯信息的交流方式。所以,基于IP系统的网络传输环境建立的视频通信网,被各种企事业单位广泛的采用,这种通信网的使用优势不仅在于可以大大的降低通讯成本,还可以简化操作和控制流程,有利于相关部门的监督和管理工作的执行,所以,是目前最普遍的一种通讯网形式。
另外,基于IP系统的通信网是严格按照国际上的相关标准制定的饿,符合国际运行安全标准的通信网。实践证明现行的IP通信网的安全防护系统已经较为成熟。
2、网络防火墙设置应用与视频通讯信息安全的维护
正如我们所知道的,一般的网络应用程序都是要受到其所依托的网络运营环境的制约,不论是基于H.323标准体系的视频通讯,还是基于SIP的标准体系。从长远规划来看,这样的情况一方面会影响到视频产品选型以及系统结构的方案,另一方面还会对网络环境自身的更新换代产生类似的副作用。纵观这些影响因素,基于网络环境传输条件本身,怎么样才能更好地解决“防火墙”设置应用问题从而改善其对视频通讯系统的影响是所有的视频通讯用户、视频通讯设备建设单位、视频生产商甚至网络厂商必须直接面对的一个重要问题。比如通过对协议中对“握手”的定义,我们可以发现,H.323和SIP有两种体系的标准。而同时保证视频通讯过程和网络安全的“防火墙”、NAT等机制存在的则是无法回避的矛盾。
那么我们所知道的关于常用的 “防火墙”,其安全性能的工作原理主要是利用屏蔽掉外部数据对受保护的网络通讯中计算机的数据链接,而仅仅依靠开放少数指定的地址和通信端口,来确保Internet服务器等工作设备的正常使用。
我们通过调查分析得出,现在各企事业单位、国家各机关网络通信安全情况,均处于平衡饱和状态,这些单位和机关在保护措施的选择上通常是“防火墙”和NAT同时并用,即在被保护的网络中单独设置一个DMZ区域供Internet及E-ma il等服务器共享,把在办公室内使用的计算机统一起来放在一个网络当中,即受保护的位置,那么内网之外的数据如果想要被内网接收就需要设置一个转换设备才能达到,然而这样保护起来则使位于内网的A要与位于外网的B实现某种信息共享,或者视频传输就存在一定的困难,因此就需要研发出一种新型的通讯设备来联络内外网的互通关系。我们能想象的到常用的网络通讯数据传输通讯在这样的网络结构模式下,一般进行内外网的互访是没有任何的障碍的,但是对于特殊的、非常规的网络应用来说,基于H.323体系或者SIP体系的视频音频通讯设备进行互通的数据集,也就是我们所说的“握手”时,提出交换数据申请的一方在数据传输过程中会把自己的IP地址包含在内,但是这个IP地址是处于非公开状态的、含有隐私意义的私人有效地址,这样一来就会遭到所设置的网络防护墙的安全隔离,一旦在指定时间内不能及时的作出回应,另一接受数据的端口就视为对方拒绝回应。所以仅仅依靠开放端口进行补救两端的信息传递、互通数据,对于有严格合法性、“同源性”检查的H.323网络信息通讯系统来说是很困难的。即:视频音频数据能从一端传送到另一端,但对于处于接收端位置的网络系统来说,却很难做出回应。此类现象在实际的视音频网络通讯过程是经常出现的状况。
那么如何既能很好地传递相互间的信息,又能保证视频音频通讯安全呢?关于这点,网络设备商和运行商都做了很多有益的探索,成效也是有目共睹的,他们的做法比较一致,即通过更新系统标准或者建立与原系统标准相兼容的防火墙设备,尽量在广大的用户中推广新的防火墙替代品,或者是加强研发团队的不断升级、更新换代从而拥有更多、更丰富的功能。
3、相关措施进行了探讨
3.1 采取网络VPN开放设置
该方法一般说来是采取视频音频设备的自身升级换代为主要手段,基本不改变所使用网络的基础设备的改造,在降低成本这方面十分有利。这样操作的方法主要是直接将视频设备放置在DMZ区或直接放置在外网,然而这种方法是以基本丧失对视频产品进行网络安全保护为重要代价,另外和内网之间本来的“绝缘”没有取消,就很难在桌面上实现对音频视频的应用。所以这种办法目前比较适合在有较好的安全保障的专网使用,或在VPN的内部使用。
3.2 选用支持NAT的视频产品
由于H.323产品在应用过程中会显示用户的基本信息,所以必须对其信息进行加密,然后再经过NAT的转换,被邀请端的设备难以给予有效的应答,因而部分H.323产品通过在呼叫过程中,将用有效的NAT映射地址取代本地私有地址来完成呼叫应答,这样就解决了地址解析问题。如VTEL公司的VISTA系列产品,不但可以支持NAT的地址解析,还可以指定NAT端口,这样做更有利于网络设置。这种方案对单一NAT机制十分有效,如ADSL等PPPOE网络环境下,可以在不附加其他网络或H.323设备的基础上解决问题。
3.3 服务器
计算机网络的安全评价是计算机操作和运行过程中的一个重要的环节。影响计算机网络安全的因素有很多,例如硬件、软件设备、计算机程序、操作方式、网络环境等。传统的计算机网络安全评价是一个线性评价的过程,不能对各种影响因素进行综合的评价,在评价的精度上也不高。神经网络是在传统评价方式上进行优化的一种评价手段,采用了更为合理的评价标准,然后通过专家打分的方式确定各个影响因素在评价指标中所占到的比重,最后得出计算机网络的安全评价。
关键词:
神经网络;计算机;网络安全评价;应用
伴随着网络技术的发展,计算机网络安全的影响因素也在不断增加,病毒、系统漏洞、黑客入侵等多种安全隐患对计算机的功能和操作都能产生了极大的影响。这些影响因素之间还会相互影响,形成错综复杂的非线性关系,给网络系统安全性的定量评价带来了极大的难度。计算机网络安全的传统评价方式采用的是线性评价的模式,在操作上较为复杂,且精度不高,已经无法在实际应用中发挥有效的作用。另一种专家评价方式则带有较强的主观性,且对专家自身的专业素质和工作经验有着较高的要求,评价的结果往往难以验证。神经网络是近几年发展起来的新型评价方式,它是由许多神经元组成的,能够对网络的安全性进行非线性的评价,并完成对网络的简单维护和控制,与传统评价方式相比,神经网络在评价精度和效率上都有较大的提高。
1神经网络的特点及发展
神经网络的提出是在上个世纪中期。生物学家和物理学家首次尝试将两个学科的研究结合起来,形成了神经网络模型。这种模型是以人脑的神经网络为模板,模拟了人脑处理信息和传递信息的过程。通过数学学科对网络的结构、神经元的组成等进行研究,以及生物学对神经元的功能、作用原理等进行研究,成功模拟出了神经网络模型。这一模型的提出为神经网络在计算机安全评价方面的应用奠定了基础。上个世纪中后期,计算机领域的专家将神经网络的模型应用到了计算机网络安全的研究上,并在原始模型的基础上,增加了模型的感知功能,并与计算机技术进行了结合,在工程学领域进行了应用。神经网络模型在计算机网络上的应用能够实现对声波的检测和识别,并且确定目标物的精确位置。这促进了神经网络技术的进一步发展。上个世纪末,计算机专家又提出了一种新的映射网络模型,利用映射中的拓扑结构,对计算机的功能进行了模拟。1982年,生物学家对神经网络的性质进行了更深层的研究,从而发现神经网络是一种非线性的结构,由此神经网络为计算机网络安全的评价提供了一条新的思路。
2计算机网络安全评价体系概述
计算机网络安全是现在人们关注的重点问题之一,所谓的计算机网络安全就是指通过合理的措施确保计算机中的数据信息的安全性和可靠性。计算机网络安全包括两部分的内容,第一部分是逻辑安全,所谓的逻辑安全是指保证计算机中存储的数据信息的完整性和安全性;第二部分是物理安全,所谓的物理安全是指要对计算机的硬件设施进行检查,保证计算机的硬件设施、系统处于安全运行状态,避免出现计算机硬件设施运行异常的情况。但需要注意的是计算机网络安全不仅仅包括上述这些内容,随着网络技术的不断发展,计算机网络安全还应包括网络信息共享的安全性。通过上述的分析不难发现,计算机网络安全具有下述几个特征。第一,计算机网络安全具有一定的保密性,计算机网络中传输的数据信息有很大一部分是需要保密的,因此为了保证网络传输信息的安全,必须要加强计算机网络安全建设;第二,计算机网络安全具有一定的完整性,计算机中无论是存储的数据还是传输的数据都应保证其完整性,这样才能满足相应的使用要求;第三,计算机网络安全应具有一定的可控性,计算机网络安全性应是处于可以控制的范围内,如果不能满足这一要求,则会影响计算机网络的使用效果。近年来,随着科学技术的不断发展,计算机网络安全面临的挑战愈加严峻,在这种情况下,必须要加强对计算机网络安全的重视。计算机网络安全评价是实现网络安全保护的重要环节之一,只有对网络中存在的安全隐患进行有效的评估和检测,才能有针对性地制定解决方案,从而实现网络的安全稳定运行。随着评价方式的不断丰富和评价标准的不断完善,逐渐形成了一个完整的网络安全评价体系。网络安全评价体系的建立需要遵循一些基本的原则。首先是准确性原则,建立计算机网络安全评价体系的根本目的就是要有效识别网络中的安全隐患,确保网络环境的安全可靠,评价的准确性直接影响了网络安全维护的质量。其次是独立性,要对网络安全进行评价必须要有一定的安全标准,这就需要设置一系列的评价指标,各个指标之间都应当是相互独立的,不应当在内容上产生重叠,防止指标之间的相互影响。第三是简洁性原则,在确保评价准确的基础上,要使评价的过程尽量的简化,这样才能提高评价的效率。第四是完善性原则,完善性就是要求指标应当包含对网络安全性各个方面的评价,能够从整体上反映出整个系统的运行状态。最后是可行性原则,在选择评价指标时应当考虑到指标能否在实际中进行操作和执行,因此,指标的设定应当尽量与实际操作结合起来。
3网络安全体系的设定
根据网络安全的状况可以将计算机的网络安全分为四个等级,分别是安全、有风险、有危险、非常危险。不同的安全等级可以采用不同的颜色进行标注。例如十分危险可以用红色进行标注,表明网络中存在极大的漏洞,需要立即进行处理。有危险可以用橙色进行标注,说明网络中存在安全隐患,需要对网络进行检查,并进行一定的杀毒处理。有风险可以用黄色进行标注,说明网络的运行的过程中出现了风险项,需要对网络进行一定的检测和调试,及时排除网络中的风险项。安全可以用绿色来表示,说明网络安全状况良好,可以进行放心的使用。用颜色来表示不同的安全状态是一种十分直观的表示方式,能够方便用户在最短的时间内确认网络的运行状况。
4各评价指标的取值及标准化问题
计算机网络安全评价由于各个指标所评价的因素不同,因此在指标的取值和标准上也有所不同。评价的方式主要有两种,分别是定性评价和定量评价。这两种评价方式的侧重点有所不同,因此将两项评价指标结合起来能够更全面反映网络的安全状况。定量指标在进行取值时应当根据实际情况进行选取,不能对所有的定量指标采取一样的评价指标。在进行标准化处理时则要将取值的范围限定在0-1之间。对定性标准而言,采用专家打分的方式是较好的取值方式,不同的系统也要根据实际情况进行不同的等级评价。定性指标也应当进行一定的标准化处理。
5借助神经网络建立计算机网络安全评价的必要性
与传统的算法相比,神经网络算法有着明显的优势,例如,有较强的学习能力,能够进行自我调解,精确度较高等。
5.1较强的适应性神经网络具有良好的环境适应能力,当其处于输入或输出的状态时,可以进行自我调节从而提高计算的精度,并对计算的过程进行反馈。
5.2容错性神经网络与传统算法相比,最大的优势在于它对噪音和不完善的信息具有较高的敏感度,这是由于神经网络的每一个节点对应着网络中的一个特征,当某一个节点中输入的信息出现问题时,神经网络能够立即作出反应。
5.3可在线应用神经网络运行的核心环节在训练过程,因此在这一个阶段会耗费较长的时间。一旦神经网络完成这一个阶段的工作后,就能快速的获得计算结果,从而提高了安全评价的效率,能够在在线系统的应用中获得良好的效果。
6计算机网络安全评价模型的设计
6.1输入层输入层的神经元节点数量应当根据计算机网络安全评价指标的数量来确定。例如,当计算机安全评价模型中含有20个指标时,输入层的神经元指标也必须为20个。
6.2隐含层绝大多数神经网络的隐含层属于单向隐含层。隐含层节点的数量直接决定着神经网络的性能。当隐含层的数量过多时会导致神经网络的结构过于复杂,信息传输的速率较低。当隐含层的节点数量较少时,神经网络的容错能力会减弱。因此,隐含层节点的数量必须进行合理地选择。根据实际操作的经验,通常隐含层的节点数量为5个时能够起到较好的评价作用。
6.3输出层输出层的节点数量通常为2个,可以通过不同的组合方式来表示不同等级的网络安全状态。例如,(1,1)表示安全,(1,0)表示存在风险,(0,1)表示存在危险,(0,0)表示非常危险。
7计算机网络评价的具体步骤
计算机网络评价的具体过程分为两个步骤:首先是构建计算机网络安全评价体系,其次是使用粒子群优化的方法对BP神经系统进行优化,改善BP神经网络自身的缺陷,提高其性能。BP神经网络的优化方法有以下几点:对BP神经网络的目标量、函数等进行初始化;对粒子的初始速度、初始位置、动量参数等进行设置和调整;通过粒子群的集中来完善BP神经网络的功能,对网络的适应度作出评价;对每个神经元进行历史适应度与当前适应度的对比,若当前的适应度是历史最高时,就应当及时保存,并将此作为评价的标准;计算每个粒子的惯性;当粒子的位置和运动速率产生变化时,记录粒子群之间的适应度误差,并做好相应的记录;对系统适应度的误差进行统计。
8计算机网络安全评价的原理
计算机的安全评价原理是依据相关的评价标准,先确定评价的范围和内容,再根据网络的实际运行状况和安全状态,对网络中可能出现安全隐患的区域进行预测,并采取制定的标准进行评价,最终得到网络安全等级。在这一过程中,合理地选择计算机网络的评价因素、建立正确的评价模型是关键的环节。计算机网络是一个非线性的结构,安全漏洞的出现具有突发性和多变性。而神经网络具有非线性的评价功能,用它来进行计算机网络的安全等级评价是一种科学性较高的评价模式,能够有效地提高评价的精度。
8.1计算机网络安全评价指标体选择计算机是一个十分复杂的体系,影响其安全等级的因素有很多,要确保安全评价的准确性就要建立起一个完善、合理的评价体系。计算机网络安全评价指标的选择应当从管理安全、物理安全、逻辑安全等几个方面进行考虑,并采用专家系统对安全评价标准的选择进行调整和确定,确定各个指标在最终的评价体系中所占的比重。
8.2计算机网络安全指标的归一化处理由于各个指标之间的评价方式有所不同,因此不同的指标之间是无法进行直接的比较的。为了便于进行指标之间的比较,并加快神经网络的收敛速率,需要对指标进行归一化处理。定性指标可以通过专家打分的方式进行归一处理,定量指标则需要经过一定的公式计算进行归一化处理。
8.3BP神经网络算法BP神经网络是当前最常用的一种神经网络模型。它采用的是梯度下降的算法,可以对误差进行反向计算,从而对网络的阈值进行不断的调整,减少计算的误差。BP神经网络具有强大的非线性逼近能力,计算方法较为简单,但是也有一定的缺陷,例如容易陷入局部极值,从而防止了有效的收敛,此外,BP神经网络还有全局能力不强的缺点,由于BP神经网络采用的是反向传播的下降算法,所以收敛速度极慢。
9神经网络系统在计算机网络安全中的应用
计算机网络具有传递数据、分享信息的功能,当前已经在众多领域进行了应用,包括商务、贸易、信息管理等。而网络黑客则利用了计算机网络的安全漏洞,对系统进行攻击和入侵,并窃取了客户重要的个人信息和商业信息,给用户造成了极大的经济损失,并对整个社会造成恶劣影响。神经网络系统在计算机信息传递的过程中起到了过滤非法信息的作用。在网络世界中,信息的传递是双向的,而在神经网络的模式下,信息的输入和输出都要经过神经网络的过滤作用。神经网络的三个组成部分,输入层、输出层、隐含层都对信息有过滤的作用,经过三层的过滤作用,信息的安全性有了更好的保障。在这三层中,隐含层起到了关键性的作用。输入的信息都要先经过隐含层,在经过隐含层的处理后,再通过输出层传出。在信息传输的过程中,若发现信息存在异常,可以输送回上一层进行信息的重新核对,信息重新进行上述的处理过程,直到确认信息无误后才会输出。神经网络系统的应用极大地提高了网络的安全性,从而为人们提供了一个良好的网络环境。尽管神经网络系统有上述的这些优点,但也存在一定的缺陷。虽然神经网络的灵活性和适应性较强,但对缺失信息的反应不如传统算法灵敏。在神经网络中,一个节点只能反映一个网络问题,一旦一个节点发生问题后,整个神经网络都会作出相应的反应。神经网络具有较好的延展性,可以容纳多种类型的样本数据。神经网络还具有较好的学习适应能力,可以归纳总结运行过程中的运算规律,自动调节信息输入输出的形式,从而减少数据的误差。神经网络还能在有线网络中进行应用,因此可以进行大范围的推广。大量的节点共同组成了神经网络,相邻的节点之间都是相互连接的,从而确保了信息传递的效率。神经系统能够自动的调节节点之间的关联,具有一定的智能化操作功能,还可以对问题进行简单的分析。神经系统的结构较为复杂,在处理信息的过程中可以产生多种不同的组合类型,并从这些组合中优选出最佳的组合方式。但这种结构也会导致在信息处理的过程中一些细小的问题容易被忽视,在一定程度上影响信息处理的精度。一些复杂的数据采用神经网络的处理方法速率会十分的缓慢。在输入信息不断增加的过程中,计算机内部的存储压力会显著上升,进一步影响信息的处理速度。神经网络与人工智能的功能还是存在一定的差距的,在性能和结构上还有进一步完善的空间。
10结束语
神经网络是将生物学与数学进行结合的典范,将两个学科的优势充分的利用起来。神经网络在计算机网络安全评价中能够起到良好的效果,可以在未来进行进一步的推广应用。
参考文献:
[1]李忠武,陈丽清.计算机网络安全评价中神经网络的应用研究[J].现代电子技术,2014(9):11-13.
[2]郑刚.计算机网络安全评价中神经网络的应用研究[J].网络安全技术与应用,2014(7):33-36.
论文关键词:高师计算机专业;信息安全;法律法规课程
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.
网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.
1现有的计算机专业课程特点
根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.
1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等.
1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.
1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.
2高师计算机专业学生开设信息安全法律法规的必要性和可行性
2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.
高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.
2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.
根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.
3信息安全技术课程特点
信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:
(1)每学期都对知识内容进行更新.
(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等.
(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.
(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.
4涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.
4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.
4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.
4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.
5高师信息安全技术课程中的法律法规内容教学目标
对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.
而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.
6高师信息安全技术法律法规课程设置探讨
根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与中国不同的司法程序.
关键词:多媒体教学;计算机系统;安全保护;远程教育;技术研究
计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备的安全,运行环境的安全,保障信息的安全.保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。也就是说。我们应在计算机硬件、软件及运行环境等网络的各个环节上,考虑来自网络系统内部和外部两方面的因素,从管理和技术上着手,制订比较完善的网络系统安全保护策略。
一、网络安全现状
据统计,我国现有企业的网络安全现状是不容乐观的,其主要表现在以下几个方面:信息和网络的安全防护能力差;网络安全人才缺乏;企业员工对网络的安全保密意识淡薄,企业领导对网络安全方面不够重视等。一部分企业认为添加了各种安全产品之后,该网络就已经安全了,企业领导基本上就是只注重直接的经济利益回报的投资项目,对网络安全这个看不见实际回馈的资金投入大部分都采取不积极的态度,其中起主导作用的因素还有就是企业缺少专门的技术人员和专业指导,导致我国目前企业的网络安全建设普遍处于不容乐观的状况。
二、网络安全常见威胁
(一)计算机病毒
计算机病毒指在计算机程序中插入的破坏计算机功能和数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有寄生性、传染性、隐蔽性等特点。常见的破坏性比较强的病毒经常表现为:蓝屏、机卡、CPU、自动重启使用率高、打不开杀毒软件等,并且在短时间内传播从而导致大量的计算机系统瘫痪,对企业或者个人造成重大的经济损失。
(二)非授权访问
指利用编写和调试计算机程序侵入到他方内部网或专用网,获得非法或未授权的网络或文件访问的行为。如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
(三)木马程序和后门
木马程序和后门是一种可以通过远程控制别人计算机的程序,具有隐蔽性和非授权性的特点。企业的某台计算机被安装了木马程序或后门后,该程序可能会窃取用户信息,包括用户输入的各种密码,并将这些信息发送出去,或者使得黑客可以通过网络远程操控这台计算机,窃取计算机中的用户信息和文件,更为严重的是通过该台计算机操控整个企业的网络系统,使整个网络系统都暴露在黑客间谍的眼前。
三、网络的安全策略
(一)更改系统管理员的账户名
应将系统管理员的账户名由原先的Administrator改为一个无意义的字符串,这样要叠录的非法用户不但要猜准口令。还必须猜出用户名,这种更名功能在域用户管理器的User Properties对话框中并没有设置,用它的User-*-Rename菜单选项就可以实现这一功能。如果用的是NT4.0。可以用Resource Kit中提供的工具封锁联机系统管理员账号,这种封锁仅仅对由网络过来的非法叠录起作用。
(二)关闭不必要的向内TCP/IP端口
非法用户进入系统并得到管理员权限之后。首先要做的,必定设法恢复管理员刻意废止的TCP/IP上的NetBIOS装订,管理员应该使用路由器作为另一道防线。即提供web和FTP之类公共服务的NT服务器,这种情况下,只须保留两条路由器到服务器的向内路径:端日80的H1vrP和端日2l的FTP。
(三)防火墙配置
防火墙是在2个网络间实现访问控制的1个或1组软件或硬件系统,它是外部网络与内部网络之间的第1道安全屏障。本建设方案主要采用硬件防火墙,其主要功能就是屏蔽和允许指定的数据通讯,而这个功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性,该控制策略的具体内容由企业的安全管理员和系统管理员共同来制定。
制定的防火墙安全策略主要有:所有从内到外和从外到内的数据包都必须经过防火墙;只有被安全策略允许的数据包才能通过防火墙;服务器本身不能直接访问互联网;防火墙本身要有预防入侵的功能;默认禁止所有服务,除非是必须的服务才允许。而其他一些应用系统需要开放特殊的端口由系统管理员来执行。
(四)VLAN 的划分
VLAN 是为解决以太网的广播问题和安全性而提出的一种协议。它在以太网的基础上增加了VLAN 头,用VLAN ID 把用户划分为更小的工作组,限制不同VLAN 之间的用户不能直接互访,每个VLAN 就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。VLAN 之间的访问需要通过应用系统的授权来进行数据交互。为保护敏感资源和控制广播风暴,在3 层路由交换机的集中式网络环境下,将网络中的所有客户主机和服务器系统分别集中到不同的VLAN 里,在每个VLAN 里不允许任何用户设置IP、用户主机和服务器之间相互PING,不允许用户主机对服务器的数据进行编辑,只允许数据访问,从而较好地保护敏感的主机资源和服务器系统的数据。采用3层交换机,通过VLAN 划分,来实现同一部门在同一个VLAN 中,这样既方便同部门的数据交换,又限制了不同部门之间用户的直接访问。
(五)身份认证
身份认证是提高网络安全的主要措施之一。其主要目的是证实被认证对象是否属实,常被用于通信双方相互确认身份,以保证通信的安全。常用的网络身份认证技术有:静态密码、USB Key 和动态口令、智能卡牌等。其中,最常见的使用是用户名加静态密码的方式。而在本方案中主要采用USB Key的方式。基于USB Key 的身份认证方式采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾,利用USB Key内置的密码算法实现对用户身份的认证。USB Key身份认证系统主要有2种应用模式:一是基于冲击、响应的认证模式;二是基于PKI 体系的认证模式。
(六)制订网络系统的应急计划
为了将由意外事故引起的网络系统损害降低到最小程度,企业应制订应急计划。以防意外事故使网络系统遭受破坏,该应急计划应包括紧急行动方案及软、硬件系统恢复方案等,绝对的安全是没有的,安全标准的追求是以资金和方便为代价的。我们应随时根据网络系统的运行环境而采用相应的安全保护策略。通过对计算机网络系统安全问题的充分认识,以及行政、技术和物质手段的保证。网络系统就能够有足够的安全性来对付各种不安全问题。
【关键词】跨区域 企业 组网模式
1 前言
所谓跨区域企业,是指企业分支机构分布在不同地理位置的企业。目前,常见的跨区域企业的组网模式有专线、VPN和 VPDN三种。专线组网模式通过租用运营商企业专线实现跨区域企业不同分支机构的互联,具有安全性高、可靠性高的特点。VPN模式又叫虚拟专用网络,是利用加密技术在公用网络上建立企业专用网络的技术,具有成本低、安全性适中的优点。VPDN简称虚拟专用拨号网,是基于拨号用户的虚拟专用拨号网业务,具有安全性高、部署灵活的优点。下面分别就专线组网、VPN组网和VPDN组网模式进行探讨。
2 专线
专线方式通过租用运营商专线的方式连接跨区域企业的不同分支机构。所谓专线是指,运营商通过传输设备为企业搭建一条专享的通讯链路。企业所有的数据均在独立的、私密的通路上进行传输。该种方式能为企业提供带宽稳定、可靠和安全的数据通路。但具有建设周期长、成本高昂和部署不灵活的缺点。专线按类型可以划分为ADSL专线、DDN专线、FR专线、SDH专线、ATM专线和MSTP专线。目前ADSL专线、DDN专线和FR专线已逐步退出了历史舞台,当下比较常用的专线接入方式是ATM专线、SDH专线和MSTP专线。ATM是面向连接的通信方式,在通信前先在收与发终端间建立一条连接,通信时报文不断地在该连接上传送,具有传输时延小、可靠性高的优点。SDH又称同步数字体系,是一种将复接、线路传输及交换功能融为一体、并由统一网管系统操作的综合信息传送网络。MSTP是基于SDH 的多业务传送平台,是基于SDH 平台实现以太网业务的接入、处理和传送。MSTP线路具有带宽灵活配置的优点,运营商可以在三个工作日内完成带宽提速操作。
3 IPSec VPN
VPN又称虚拟专用网络,是利用加密技术在公网上建立专用网络的技术,具有成本低,易于使用的优点。VPN广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来,组成一个大的局域网。具体做法为,在企业总部和各分支机构部署VPN设备,各个VPN设备之间通过互联网建立连接关系,基于IPSEC协议建立总部和各个分支机构之间的安全隧道。所有企业总部和分支机构之间的数据,均通过安全隧道进行传输。即使数据被公网上的黑客获取,也无法获取和篡改数据,有效地保证了数据的安全性和完整。IPSec是由IETF 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务,具有不可否认性、反重播性、数据完整性和数据可靠性等安全特性。IPSec由两类协议组成:AH协议和ESP协议。AH常用MD5和SH1来保证数据完整性,用DES、3DES和AES来保证数据安全性。在企业组网实践中,可以根据安全性需求进行选用。
4 VPDN
VPDN又称为虚拟专用拨号网,是基于拨号用户的虚拟专用拨号网业务。VPDN采用专用的网络安全和通信协议,可以使企业总部和分支机构之间通过虚拟的安全通道进行连接。根据运营商实现方式的不同,VPDN可以分为L2TP模式和GRE模式。其中GRE模式中,地址分配和认证由运营商完成。这种方式极大简化了企业运维成本,但安全性和灵活性稍差。L2TP模式下,地址分配和接入认证在企业侧完成。对企业而言,具有很好地安全性和灵活性。下面以L2TP模式为例,介绍跨区域企业VPDN组网实践。在L2TP模式下,企业一般在总部部署LNS和防火墙,在各分支机构部署3G/4G路由器,运营商侧部署LAC设备。运营商侧的LAC设备与企业总部的LNS建立L2TP安全隧道,对企业分支机构至总部的数据进行加密。分支机构与总部进行通讯时,首先会触发3G/4G路由器进行拨号,3G/4G路由器会通过PAP协议传输用户认证信息到企业总部的LNS服务器,LNS服务器再通过企业总部的安全设备进行身份认证。身份认证通过后,企业分支机构与总部之间就建立起了一条安全数据通路。
以上分别介绍了专线、VPN和VPDN三种常见的跨区域企业组网模式。在安全性上,专线模式最高、其次VPDN模式、VPN模式最差;再灵活性上,VPDN最高、其次VPN、专线模式最差;在可靠性上,专线模式最优、VPN模式次之、VPDN最差;在运营成本上,专线模式最高、VPDN次之、VPN最低。在跨区域企业组网实践中,网络架构师应该根据企业成本承受能力、技术力量,以及安全性、可靠性的具体需求,选择适应的一种或几种组网模式。一般来说,实时性和安全性要求较高的企业,应该选用专线组网模式;实时性要求不高、要求有一定部署灵活性企业应该选用VPN组网模式;安全性要求较高、实时性要求不高的企业选择VPDN方式较为适宜。
参考文献
[1]陈霜霜.计算机网络安全的研究与探讨[J].科技信息,2011.