时间:2023-09-13 17:15:13
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全服务内容,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
在电子政务系统中,政府机关的公文往来、资料存储、服务提供都以电子化的形式来实现,但在提高办公效率、扩大政府服务内容的同时,也为某些居心不良者提供了通过技术手段窃取重要信息的可能。此外,电子政务系统是基于互联网平台的,从技术角度来说,互联网是存在许多不安全因素的全球性网络,打击跨国网络犯罪难度很大。因此,电子政务建设中的网络安全问题亟待解决,而建立包括网络安全政策法规、网络安全组织管理体系、网络安全标准规范、网络安全服务产业、网络安全产品体系和网络安全基础设施6个部分的电子政务网络安全体系成为可行之路。 法律做保障 管理增效率
在电子政务网络安全体系中,首先要健全网络安全的法律法规,强化电子政务信息安全的法制管理。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等.我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府管理的努力,更要国家立法机构的参与和支持。
第二个环节是建立健全网络安全组织管理制度,明确负责安全管理的主要领导、主管部门、技术支持部门等等。发达国家一般都建立有网络安全管理机构,美国安全委员会下设了国家保密政策委员会和信息系统安全保密委员会;英法等国家建立了国家网络安全委员会。在我国,安全职能涉及多个部门,虽然能各司其责,但在许多的具体实施过程中缺乏统一性。因此,建议组建国家网络安全委员会,组织和协调国家安全、公安、保密等职能部门,对国家网络安全政策统一步调、统筹规划。
标准为指导 服务产业做支持
电子政务网络安全标准规范包括内容健康性等级划分与标记、内容敏感性等级划分与标记、密码算法标准、密码模块标准、密钥管理标准、PKI/CA标准、PMI标准、信息系统安全评估和网络安全产品测评标准等方面的内容。目前,国家已经正式成立网络安全标准化委员会,开展电子政务安全相关标准的研制工作。
安全服务主要是通过各种技术手段实现技术层次的安全保护,主要技术包括主机监控、网络监控、身份验证、数字签名、访问控制、攻击监测、审计跟踪等。要想把安全服务做好,需要各个安全企业联合起来,取长补短,像构筑一个大坝一样尽可能地堵住每一个安全漏洞。网络安全是一个动态的过程,安全最理想化的状态是客户能买到合适的产品,能够合理地部署并进行规范的配制,并且和现有的IT系统无缝连接起来,这就需要靠各个厂商间彼此互相支持,为政府部门用户量身定制网络安全解决方案。
技术做推动 基础设施是前提
目前中国无论是关键技术、经营管理还是生产规模、服务观念,都不具备力量在短时间内使国产信息产品占领国内的信息安全产品主要市场。国家要集中人力、物力,制定相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保政府关键部门的信息系统的网络安全。在安全技术方面,应该加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段中国各级政府部门所选用的高端软硬件平台,基本上都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用國产化技术和国内公司的产品。
网络安全基础设施是一种为信息系统应用主体和网络安全执法主体提供网络安全公共服务和支撑的社会基础设施。中国目前网络安全基础设施的建设还处于初级阶段,应该尽快建立网络监控中心、安全产品评测中心、计算机病毒防治中心、关键网络系统灾难恢复中心、网络安全应急响应中心、电子交易安全证书授权中心、密钥监管中心等国家网络安全基础设施。
网络安全面临着攻击渠道多、潜伏周期长、防御规则配置复杂等问题,论文提出一种基于J2EE的网络安全防御系统.该系统采用原型化方法导出了系统逻辑业务功能,采用J2EE框架实现了一种界面式的网络安全防御系统,提高了网络安全管理的便捷性和交互性,保护网络安全性能.
关键词:
网络安全;J2EE;JavaBean;主动防御
随着云计算、大数据技术、网络通信技术的发展,计算机网络为电子商务、电子政务、金融银行、机械生产等提供通信传输服务.在为人们提供工作、生活和学习便利的同时,也带来了潜在的威胁[1].计算机网络已经成为黑客、木马和病毒攻击的主要对象.威胁随着计算机技术的提升,这些攻击能力更强,隐藏时间长、破坏范围广.为了保证网络安全运行,需要构建主动网络安全防御系统,动态配置网络安全防御策略.基于J2EE技术、J2EE、Tomcat服务器、MySQL数据库和Java程序设计技术实现了一个功能完善的网络安全防御系统,提高了网络安全管理策略配置的便捷性,进一步提升网络安全管理能力,保证信息化运营环境的安全性.
1网络安全管理面临的现状
网络运行过程中,由于许多网络用户非计算机专业人员,因此在操作管理系统、使用计算机时不规范.如果一台终端或服务器感染了计算机病毒、木马,在很短的时间内将扩散到其他终端和服务器中,感染其他终端系统,导致系统服务器无法正常使用[2].目前,网络安全管理面临着多样化、智能化的现状.随着网络黑客技术的快速普及,网络攻击和威胁不仅仅来源于黑客、病毒和木马,传播渠道不仅仅局限于计算机,随着移动互联网、光纤网络的兴起和应用,网络安全威胁通过Ipad、iPhone、三星S6、华为Mate7等智能终端进行传播,传播渠道更加多样化[3].随着移动计算、云计算和分布式计算技术的快速发展,网络黑客制作的木马和病毒隐藏周期更长,破坏的范围更加广泛,安全威胁日趋智能化,给政企单位信息化系统带来的安全威胁更加严重,非常容易导致网络安全数据资料丢失[4].
2网络安全防御系统功能分析
为了能够更好地导出系统逻辑业务功能,系统需求分析过程中详细地对网络安全管理的管理员、用户和防御人员进行调研和分析.使用原型化方法和结构化需求分析技术导出系统的逻辑业务功能,分别是系统配置管理功能、用户管理功能、安全策略管理功能、网络状态监控管理功能、网络运行日志管理功能、网络运行报表管理功能等六个部分.(1)网络安全管理系统配置管理功能分析通过对网络安全管理系统操作人员进行调研和分析,导出了系统配置管理功能的业务功能.系统配置管理功能主要包括七个关键功能:系统用户信息配置管理功能、网络模式配置、网络管理参数配置、网络管理对象配置、辅助工具配置、备份与恢复配置和系统注册与升级等.(2)用户管理功能分析用户管理功能主要包括人员、组织、机器等分析.主要功能包括三个方面:组织管理、自动分组和认证配置.组织管理功能可以对网络中的设备进行组织和管理,按照账号管理、机器管理等进行操作;自动分组可以根据用户搜索的设备的具体情况改善机器的搜索范围,添加到机器列表中,并且可以对其进行重新分组管理;认证配置可以根据终端机器的登录模式进行认证管理.(3)安全策略管理功能分析网络安全管理策略是网络安全防御的关键内容,需要根据网络安全防御的关键内容设置网络访问的黑白名单、应用封堵、流量封堵、行为审计、内容审计、策略分配等功能.(4)网络状态监控管理功能分析网络运行管理过程中,需要时刻的监控网络的运行管理状态,具体的网络运行管理的状态主要包括三个方面:系统运行状态、网络活动状态、流量监控状态.(5)网络运行日志管理功能分析网络运行管理过程中,网络运行日志管理可以分析网络运行操作的主要信息,日志管理主要包括以下几个方面:内容日志管理、报警日志管理、封堵日志管理、系统操作日志管理.(6)网络运行报表管理功能分析网络运行过程中,为了能够实现网络安全管理的统计分析,可以采用网络安全报表管理模式,以便能够统计分析接入到网络中的各种软硬件设备和系统的运行情况,网络运行报表管理主要包括两个方面的功能:统计报表和报表订阅.
3网络安全防御系统设计
3.1系统服务器设计网络安全防御系统部署与运行过程中,其采用B/S体系架构,是一个功能较为完善的分布式管理系统.因此,结合系统采用的架构,本文对系统服务器进行了设计,以便能够更好地部署相关的网络软硬件环境[5].网络拓扑结构部署的内容主要包括动态内容和静态内容两种模式,系统软硬件平台部署策略也分为两种,分别是静态系统部署和动态系统部署,如图2所示.
3.2系统架构设计网络安全防御系统采用B/S架构.该架构包括三个层次:分布式表示层、业务功能处理层和数据功能处理层.其适应现代互联网的发展需求,用户仅仅需要在浏览器上安装一些插件或使用简单的浏览器就可以登录管理系统,并且向管理系统发出各种通信管理实时数据监控逻辑业务请求,以便能够进行及时的处理,完成互联网安全监控需求[6].(1)表示层:在基于B/S系统架构的网络安全防御系统中,表示层位于第一层,能够与用户进行直接接触,可以把用户的逻辑业务请求输入到系统中.表示层将用户的业务请求发送到业务功能处理层,之后再把业务功能处理层和数据功能处理层处理的结果反馈给用户,将信息显示在用户终端上,呈现予用户进行浏览.表示层是处于用户端,使用方能利用IE浏览页面来发送请求,而且能够接受到处理的结果.(2)业务功能处理层:业务功能处理层位于Web服务器上,主要功能是接收表示层所传送来的应用请求进行处理.并在业务逻辑的处理过程中,可以实时的检测到用户的逻辑业务请求,发现系统中存在的逻辑业务处理功能,实现系统的数据处理.比如可以解析出来系统相关的SQL处理语言,并且对系统的程序进行操作,反馈给表示层,并把请求处理的结果返回到客户端表示层.(3)数据功能处理层:数据库功能处理层位于数据库管理系统中.在B/S架构里,数据功能处理层主要是对逻辑层传送来的应用数据请求进行处理.数据库的操作引擎实现了此层数据处理的过程,具备庞大的数据操作的性能,可以对数据库进行查询、更新等操作.并且把数据操作的结果返回于系统逻辑层,进而返回给客户端的表示层,把操作的结果提供给用户浏览.
4网络安全防御系统实现
4.1J2EE框架实现本文采用B/S体系架构,使用Java程序设计技术,开发了一个功能完善的安全防御系统.J2EE框架实现如图3所示.J2EE框架主要包括三个层次:客户端表现层、业务逻辑层、数据库持久层.每一层采用关键类实现[7].数据库持久层主要包括四个关键类:UserDAO、BaseDAO、DraftDao和DepartmentDao等内容.BaseDAO主要是DAO接口的设计工作,DAO接口设计内容主要包括保存实体、删除实体、更新实体等关键内容,介入相关的用户ID查询功能,查询相关的所有的数据内容,并且实现数据显示的分页管理等操作.逻辑业务处理层由Spring和Struts框架进行实现.利用Struts控制系统的主要逻辑业务功能,使用Spring框架中固有的控制反转功能使代码最大化,并且保证接口的有效性.最为代表的就是Department类的功能实现,其采用Struts.xml进行具体的拦截配置.客户端表现层的功能就是展现给用户相关的界面.用户在一个系统中输入相关的逻辑业务请求,数据相关的数据,并且为用户提供一种交互式的操作界面,具体的数据库表现层主要由多个界面共同组成,用户登录界面执行交互式操作,在程序运行实现过程中,表现层的功能由JSP功能的form表单进行实现.
4.2网络安全防御系统功能实现网络安全防御系统主要包括六个功能,核心功能为黑白名单管理、应用封堵管理、策略分配管理等功能.黑白名单功能可以根据用户的需要在网络安全策略管理中添加目标IP用户、Mac用户或账号用户,使其可以无条件允许、禁止访问网络等活动,黑白名单功能运行截图如图4所示.应用封堵功能可以根据用户需求,设置网络安全应用封堵条件,运行截图如图5所示.策略分配管理功能可以根据用户的需求,对网络中增加的相关策略进行分配,并且在网络策略分配和使用之前均是无效的,策略分配管理运行截图如图6所示.
5结束语
网络安全防御系统采用三层B/S体系架构、J2EE框架实现,开发一个界面式的主动防御策略配置界面,提高了网络安全管理策略设置便捷性,并且能够实时地查询网络攻击威胁状况,及时地调整主动防御策略,保证网络正常可靠运行,具有重要的作用和意义.
参考文献:
[1]于妍,吕欣.网络安全防御系统的设计的问题和策略研究[J].网络安全技术与应用,2015(1):128-128.
[2]王峰.校园网网络安全防御系统分析与设计[J].信息安全与技术,2015(6):87-87.
[3]劳晓杰.网格环境下的校园网络安全防御系统设计与实现[J].网络安全技术与应用,2014(3):115-116.
[4]石旭.浅析网络监控安全管理系统的设计与实现[J].计算机光盘软件与应用,2013(10):144-145.
[5]王喜昌.计算机网络管理系统及其安全技术分析[J].计算机光盘软件与应用,2014(14):215-216.
[6]陶平.网络安全监控综合业务管理系统设计与实现[J].重庆理工大学学报(自然科学版),2013,27(5):82-85.
【关键词】校园网 网络安全 安全体系构建
校园网是开展教学工作实践的重要平台,是我国教育信息化平台构建的重要基地,保证校园网处于安全的运行状态,其实践意义重大。为此,积极从网络安全技术的角度,综合可能对于校园网安全构成为威胁,并且采取对应的措施进行改善,是当前校园网构建过程中需要思考的问题。
1 校园网络安全运行的基本需求分析
网络系统构建之前,首选需要弄清楚的就是网络安全运行需求,这是后期制定安全运行方案的基础和前提。一般情况下,校园网络安全需求主要涉及到以下几个方面内容:其一,在网络互联的基础上保证通讯处于安全状态,这是最基本的要求;其二,服务器系统安全检测,评估效能的发挥,能够对于不安全行为进行阻挡,以保证系统的安全运行;其三,应用系统的安全性需求,也就是说关键应用系统能够在认证管理下,形成防病毒体系,保证各个入口的安全连接;其四,业务系统的安全需求,避免网络内部其他系统对于业务系统造成危害;其五,健全的校园网络安全管理规章,保证校园网的安全运行。
2 校园网络安全总体设计思路
针对于校园网网络运行的基本需求,对于校园网络安全进行规划设计,并且在此基础上构建完善的校园安全体系结构,是保证校园网安全性的关键一步。在此过程中不仅仅需要满足上述的安全需求,还要对于可能出现的安全问题进行预警,以保证设计体系的合理性和科学性。具体来讲,其主要设计到以下内容:其一,以独立的VLAN,MAC地址绑定和ACL访问控制列表来进行VPN网络子系统的安全控制和管理,可以保证数据传输的安全等级达到最佳水平;其二,以网络安全检测子系统的构建,并在校园网中WWW服务器和Email服务器进行应用,在此基础上对于网络传输内容进行监督和管理,并且形成相应的数据库,避免非法内容进入校园网;其三,针对于安全需求,设置相应的安全防火墙,以双机设备方式去运行,实现防火墙子系统的构建;其三,基于控制中西和探测引擎技术构建入侵检测子系统体系,对于入侵行为进行监督和管理,并且将其屏蔽在网络安全范围之外;其四,全面升级网络系统的防毒系统,实现对于客户端PC机器的安全控制,形成统一的防毒服务器;其五,建立有效的漏洞扫描系统,实现自动修复和检查漏洞,保证补丁工作的全面开展;其六,针对于校园内部的侵袭行为,可以以建立内部子网审计功能的方式去实现内部网络运行质量的提高;其七,建立健全完善的校园网安全运行管理制度体系,为开展一切安全管理工作打下基础。
3 整体构建校园网络安全体系的实现途径
校园网络安全体系涉及到多方面的内容,一般情况下会将其归结为物理层,链路层,网络层,应用层等几个方面。
3.1 物理层安全体系实现途径
物理层的安全性能主要针对于线路的破坏,线路的窃听,物理通路的干扰等安全缺陷问题。对此,需要做好以下工作:其一,采用双网结构作为拓扑网络结构方式,内外网使用不同的服务器,实现不同信道的运行,使得信息处于不同的高度路上运转,不仅仅可以营造安全的运行状态,还可以使得系统运行压力降低;其二,以双网物理隔离的方式去实现内外网布线系统的构建,从根本上杜绝了黑客入侵的可能性,同时还合理设置,避免出现内外网同时使用的情况。
3.2 链路层安全体系实现途径
链路层安全体系构建是保证网络链路传送数据安全性为根本性目的,主要使用的技术手段有局域网和加密通讯手段。具体来讲,其一,在交换机配置端口安全选项中,尽量将CAM表进行淹没;其二,在中继端口实现VLAN ID的专业化设置,保证端口设置成为非中继模式;其三,进行MAC地址绑定设置,避免出现IP地址被盗用。
3.3 网络层安全体系实现途径
网络层安全体系构建,主要是保证网络时能给授予权限的客户使用,避免出现拦截或者监听的情况。为了实现这样的目标,应该从以下几个角度入手:其一,设置硬件防火墙,运行访问控制技术程序,一旦遇到安全问题,使得其处于隔离状态;其二,网络入侵检测系统IDS的使用,能够对于网络入侵行为进行监督,由此构建起来第二道安全闸门;其三,在路由交换设备上进行安全技术应用,如VPN技术,加密机制及时,审计和监控技术等,都是其重要内容。
3.4 应用层安全体系的实现途径
对于应用层来讲,其安全体系的构建需要做到以下几点:其一,建立网络病毒防火墙,避免内外病毒对于网络文件系统的破坏;其二,设置服务器,尽可能的保护自己的IP地址;其三,构建操作系统补丁自动分发系统,保证能够及时的进行安全漏洞的修复;其四,积极开展认证和授权管理工作,对于多重身份认证和用户角色授权进行审计,以保证系统的安全性。
4 结束语
整体构建校园网络安全体系,需要在校园网络安全需求的基础上,积极探析可能出现的安全漏洞,并且从这个角度出发,去开展系统结构设计,保证将安全理念纳入到设计方案中去,由此去保证校园网络处于安全的运行状态,这就是整体构建校园网络安全体系的是实现方法。
参考文献
[1]刘义全.浅谈校园网络的安全性[J].中国现代教育装备,2009(15).
[2]黄亚宁.校园网络安全隐患及其对策[J]. 学校党建与思想教育,2010(12).
[3]邓志华.校园网络安全浅析[J].教育信息化,2004(09).
[4]徐志超.校园网络存在的问题及解决方法[J].科技信息(科学教研),2007(20).
[5]岳雷.校园网络安全的守护神─Forefront[J].中国信息技术教育, 2010(09).
[6] 李耀麟,刘繁华.“校园网络安全”专题学习网站的建设[J].河西学院学报,2005(05).
关键词:云计算;网络安全;技术实现
中图分类号:TP309
现代社会发展中,计算机技术以及网络通信技术显然已经成为信息时代的重要标志。同时,与网络发展相伴而生的网络安全问题也备受关注。网络安全涉及到的范围较为广泛,主要包括网络软件、网络信息以及网络设备的安全问题。在云计算环境下,运用网络安全技术保障网络信息真实性、可用性、完整性以及机密性具有更重要的意义。
1 云计算环境下影响网络安全的因素
云计算的发展能够将计算内容分布在大量计算机所构成的资源平台当中,便于用户获取快捷的信息服务、存储以及计算等方面的服务。但由于受到现代网络环境的限制,云计算环境下影响网络安全的因素依旧存在。
1.1 网络信息安全策略缺乏。在用户运用网络访问相应网站的过程中,由于网站自身防火墙的配置不同,使得权限被无意识的扩大。这就导致被扩大之后的网络资源可能会受到不明人员的控制,对网络信息安全造成影响。
1.2 网络系统脆弱。网络系统的脆弱体现在以下几个方面:一是通信协议以及通信系统脆弱。例如E-mail、FTP、WWW等都存在相应的漏洞,成为黑客运用的潜在工具;二是计算机操作系统的脆弱性。计算机操作系统在一定程度上容易受到相应的攻击,并且攻击过后不会产生相应的痕迹,不影响网络用户对于数据的获取;三是数据库脆弱。数据库是存储信息的重要系统,决定着信息的保密性、有效性、可靠性以及完整性。但由于该系统存在的安全问题,造成用户信息被窃取或者破坏,严重影响信息安全。
1.3 网络环境复杂。计算机已经成为时展的重要组成部分,云计算环境下,计算机逐渐走向家庭,网络信息运用的主体在不断增加,使得潜在风险因素被扩大,存在诸多安全隐患。例如黑客入侵、病毒感染以及网络欺骗等[1]。
1.4 网络系统扩充性。由于网络系统在设计的初期,并未将安全因素作为首要考量的内容。其中硬件设计、网络扩充性、可靠性以及系统升级换代方面都存在相应问题,致使网络信息容易受到外界因素的影响。
2 云计算环境下的网络安全技术
2.1 智能防火墙技术。智能防火墙技术不同于传统的防火墙技术,放弃了对数据过滤规则的匹配,而主要采用对模糊数据库进行检索,通过人工智能技术动态的对规则进行模糊识别的一种新型防火墙技术手段。此种技术手段能够对网络行为特征值进行分析,将需要防护的内容进行计算,实现用户安全的使用网络信息。智能防火墙技术包含以下几种关键性技术手段:第一,入侵防御。当访问网络数据包进入到主机当中,一旦发生安全隐患,将会导致正常的信息受到影响,影响用户使用数据。运用智能防火墙能够对数据包安全进行防护,提升安全等级;第二,防欺骗技术。MAC地址一般会伪装成为IP进入网络当中,智能防火墙能够对MAC地址进行限制,避免由于该项因素对计算机信息造成的安全问题;第三,防扫描技术。扫描技术主要是指被入侵计算机各项信息通过扫描的方式进行信息拷贝,获取用户信息资料的一种手段。防火墙可防止黑客对数据包的扫描,维护信息安全[2]。
2.2 加密技术。加密技术是云计算环境下的重要网络安全技术,同时也是较为常用的信息安全技术手段。在云计算环境下,该项技术手段更是被广泛的应用在信息防护当中。加密技术主要是利用加密算法,将信息转换成为不能够直接被读取的数据,只有通过正确密钥才能够实现数据的获取与阅读。在云计算环境下,加密技术主要包括非对称加密与对称加密两种。在非对称加密方面主要应用的包括DES缓和技术、PKI技术等;在对称加密方面主要应用的加密技术为DES加密技术。
2.3 反病毒技术。随着计算机网络病毒的增加,为计算机网络信息安全带来了严重的潜在风险。因此,反病毒技术应运而生,在现代网络发展中防病毒技术方面主要存在两种。一方面,动态实时反病毒技术。该技术手段具备良好的防病毒效果,并且其中的防病毒技术的系统更加贴近底层资源,能够有效控制信息资源的完整性;另一方面,静态反病毒技术。该种技术手段主要是对网络技术手段进行实时监测,根据运行状况分析其中存在的病毒因素,达到保证信息安全的目的[3]。
3 基于云计算环境下网络安全技术实现途径
3.1 提升用户安全防范意识。提升用户在云计算环境下对于网络安全的防范意识,明确制定网络安全技术发展工程中的战略目标。首先,对于网络主体进行身份实名认证,将认证过程进行有效的强化,明确网络授权的主体内容,为用户身份提升网络安全的保障;其次,在进行网络安全技术应用的过程中,保证全面性、及时性,对网络信息方面的传播提升监控力度,实现网络数据的及时检查,分析其中存在的各项问题,避免产生不良影响;最后,对于未经过授权的用户,应该对身份以及相关数据内容进行积极整改,把控网络安全方面的具体流程。用户提升安全意识以及认证身份等双重保障,能够有效提升计算机网络安全。
3.2 加强对网络安全技术投入。加强对网络安全技术方面的投入力度,能够有效提升云计算环境下网络数据的安全性。在网络安全投入方面,主要包括网络应用程序与服务的研发、网络安全保护系统的设计以及数字签名认证技术的实施。在网络应用程序以及服务的研发方面,需要进行操作内容的积极探索,提升计算机网络安全的敏感度。例如对于计算机界面出现的陌生信息的防范,可以通过相关的杀毒、软件清理等防止其进入电脑,提升网络信息安全。同时,在网络安全技术结构方面需要进行不断优化,提升各项技术能力与水平,例如设计查找隐藏内部IP地址的运行程序等[4]。
3.3 不断完善与创新网络安全技术。网络安全技术手段是云计算环境下保护网络数据信息安全的关键性因素,在现代互联网时代不断发展中,努力寻求完善与创新网络安全技术的具体方法。关于云计算环境下网络安全的防护,现有的防护手段主要包括防火墙技术、加密技术、反病毒技术等方面的技术手段。但随着互联网技术的不断发展,新形势的侵入手段必将会呈现出多样化的状态,影响未来云计算的安全发展。因此,对于现有的网络安全技术,应该进行技术的探索与完善。并需要积极开发新型的网络安全技术手段,用以防范不同状况下产生的网络安全风险。
4 结束语
社会的发展步伐在不断加快,网络环境已经成为推动我国发展的关键性因素,同时也是现代化建设的重要体现。云计算环境下网络信息安全问题无处不在,并且涉及范围较广。因此,在云计算环境下,为防范网络安全问题的产生,需要提升用户防范意识、加强网络安全技术投入并不断完善与创新网络安全技术,提升云计算环境下网络安全性。
参考文献:
[1]宋焱宏.云计算环境下的网络安全技术[J].网络安全技术与应用,2014(08):178-179.
[2]韩帅.基于云计算的数据安全关键技术研究[D].电子科技大学,2012.
[3]毛黎华.云计算下网络安全技术实现的路径分析[J].网络安全技术与应用,2014(06):140-141.
[4]刘伊玲.基于“云计算”环境下的网络安全策略初探[J].科技创新与应用,2012(27):138-140.
关键词:
随着计算机的发展和普及,越来越多的人意识到网络对于生产和生活的重要性,网络把分散在各处的众多的计算机联系在一起,组成一个局域网,在这个局域网中,计算机之间可以共享程序、文档、图片等各种资源;还可以通过网络使多台计算机共享同一硬件,与此同时我们也可以通过网络使用计算机发送和接收传真,方便快捷而且经济实惠。
一、计算机安全的定义
国际标准化组织(ISO)将"计算机安全"定义为:"为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而 遭到破坏、更改和泄漏"。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可以理解为我们常说的信息安全,是对于信息的保密性、 完整性和可用性的保护,而网络安全性的含义则是对于信息安全的一种引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
二、计算机网络安全的现状
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术所具有的复杂性和多样性,使得计算机的网络安全成为一个需要持续关注和提高的领域。现如今黑客的攻击方法已然超过了计算机病毒的种类,而且许多攻击对于计算机来说都是致命的。在Internet网络上,因其本身没有时空和地域的限制,所以每当有一种新的攻击手段产生,就能在一周内传遍全世界,它们利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。像蠕虫、后门、Rootkits、DOS和Sniffer是大家耳熟能详的几种黑客攻击手段。这些攻击手段都体现了它们惊人的威力,而且时至今日有愈演愈烈之势。与以前出现的攻击方法相比,这几类攻击手段的新变种,更加的智能化,攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets,黑客的攻击手法不断的升级翻新,对用户的信息安全防范能力不断的发起挑战。
三、影响计算机网络安全的主要因素
1、关于网络系统本身
目前使用较为广泛的操作系统均存在网络安全漏洞,如UNIX,MS NT 和Windows。然而黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。其内容具体包括以下几个方面:(1)稳定性和可扩充性方面,由于设计系统的不规范、不合理以及缺乏对于安全的考虑,因而使其受到影响;(2)网络硬件配置的不协调,首先是文件服务器。它是网络的中枢,其运行的稳定性、功能的完善性直接影响到网络系统的质量。网络应用的需求没有引起操作者足够的重视,设计和选型考虑不够周密,使网络功能发挥受阻,从而影响网络的可靠性、扩充性和升级换代。其次是网卡所用工作站选配不当,导致网络的不稳定;缺乏相关的安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,但是却忽视了这些权限有可能被其他人员滥用。
2、关于来自内部的网络用户
其实相对于网络安全的问题来说,其内部用户的安全威胁远大于外部网用户的安全威胁,由于使用者缺乏基本的安全意识,导致许多应用服务系统在访问控制及安全通信方面考虑欠佳,一旦系统设置错误,极容易造成损失。管理制度的不健全,网络管理、维护不在一个设计充分且安全的网络中,以及人为因素造成的安全漏洞无疑是整个网络安全的最大隐患。即使网络管理员或网络用户都拥有相应的权限 ,利用这些权限破坏网络安全的隐患也是存在的。例如操作口令的泄漏 ,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,其内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。
3、关于有效的手段监视、硬件设备的正确使用
黑客入侵防范体系的基础--完整准确的安全评估。它对现有或即将构建的整个网络的安全防护性可以作出科学、准确的分析评估,而且可以保障将要实施的安全策略技术上的可实现性、经济上的可行性以及组织上的可执行性。网络安全评估分析就是对整个网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全现状进行相对的评估、分析,对发现的问题提出建议,从而提高网络系统安全性能的一个过程。因此评估分析技术是一种相对行之有效的安全技术。
4、关于黑客的攻击
随着黑客的攻击手段不断更新,几乎每天都会有不同的系统安全问题出现。然而与之相反的是,安全工具的更新速度太慢,而且绝大多数情况下需要人为的参与进来才能发现以前未知的安全问题,使得它们对于新出现的安全问题总是反应不及。当安全工具刚发现并努力更正某方面的安全漏洞时,其他方面的安全问题又出现了。无法做到未雨绸缪,这是网络安全的致命弱点。
四、确保计算机网络安全的防范措施
到底如何才能使我们的网络百分之百的安全呢?答案是:不可能。之所以不可能是因为迄今为止还没有一种技术可以完全消除网络安全漏洞。网络的安全实际上只是实际的执行和理想中的安全策略之间的一个平衡。从广泛的网络安全意义范围来看,网络安全不仅仅是技术问题,更是一个管理问题,它包含管理机构、法律、技术、经济等方面。我们可以从提高网络安全技术和提升操作人员的素质入手,从以下几个方面进一步落实网络安全的可行性管理:
1、管理制度和法律法规建设。依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制、各种网络安全制度,加强网络安全教育和人员的培训。
2、严防网络病毒的传播。在当前网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,因此必须研发适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网,亟需一个针对各种桌面操作系统的防病毒软件和基于服务器操作系统平台的防病毒软件。如果在网络内部使 用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,来识别隐藏在电子邮件和附件中的病毒。如果计算机要与互联网相连,就需要网关的防病毒软件,从而加强上网计算机的安全。所以最好使用全方位的防病毒产品,针对互联网络中所有可能的病毒攻击点设置对应的防病毒软件,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。现在网络版杀毒软件比较多,如卡巴斯基、瑞星、诺顿、360等。
3、配置相对的硬件防火墙。我们可以利用硬件防火墙,在网络传输时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地防止黑客随意更改、移动甚至删除网络上的重要信息。硬件防火墙是一种行之有效且应用广泛的网络安全机制,根据不同网络的安装需求,做好防火墙内服务器及客户端的各种规则配置,更加有效的利用好防火墙。
4、采用入侵检测系统。入侵检测技术是为保证系统的安全而设计的一种用于检测计算机网络中违反安全策略行为的技术,是一种能够及时发现并报告系统中未授权或异常现象的技术。在入侵检测系统中利用审计记录,识别出任何不希望有的活动,从而达到限制这些活动,保护系统安全的目的。在学校、政府机关、企事业网络中采用入侵检测技术,最好采用混合入侵检测的方法。在网络中同时采用基于主机和基于网络的入侵检测系统,构架出一套完整立体的主动防御体系,同防火强进行联动设置。
5、Web,Email,BBS的安全监测系统。在网络的www、Email等服务器中使用网络安全监测系统,实时跟踪、监视网络, 截获互联网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet等应用内容 ,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,并采取措施整改。
6、IP盗用问题的解决方案。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问互联网时,路由器要检查发出这个IP广播包的工作站的 MAC是否与路由器上的MAC地址表相符,如果相符就放行,否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
7、数据备份。数据备份解决网络安全重要的一关,数据由于硬件故障、人为因素或破坏性病毒等原因造成数据丢失,数据备份则把损失减少到最少或者可以接受的范围之内,为计算机网络安全守好最重要的一关。
关键词:企业网 网络安全 安全体系 入侵检测 病毒防护
随着互联网技术的发展,在企业中运用计算机网络进行各项工作更加的深入和普及,通过企业网络向师生提供高效、优质、规范、透明和全方位的信息服务,冲破了人与人之间在时间和空间分隔的制约,越来越被更多的人们所接受和应用。然而由于企业网络自身的特点,使安全问题在企业网络的运行与管理中格外突出,研究构建、完善基于企业网的信息安全体系,对企业网安全问题的解决具有重要意义。
一、企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
二、企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
(一)企业网络安全系统设计目标
企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(二) 企业网防火墙的部署
1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
③制定相关安全策略
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
⑦相关制度的完善
第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及数据备份与灾难恢复等。
在上述分析、比较基础上,我们利用现有的各种网络安全技术,结合企业网的特点,依据设计、构建的企业网络安全体系,成功构建了如图4-1的企业网络安全解决方案,对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。
图4-1 企业网络安全体系应用解决方案
关键词:云计算技术;网络安全;评估
1引言
笔者通过分析云计算技术在网络安全评估中的具体应用,确保网络安全评估工作的顺利进行。
2云计算技术基本介绍
所谓云计算技术,指的是借助互联网设备提供相关服务、创新使用及交付模式,以此来实现易拓展虚拟化资源的动态供应。云计算技术参与网络安全评估活动,即预测网络安全态势,根据预测结果调整网络操作行为,便于更好的应对网络攻击。对于网络管理员,能够在短时间内获取网络安全问题,探索网络安全处理对策,这对网络安全环境创设具有重要意义,以此来实现数据挖掘技术的有效应用[1]。
3网络安全评估常见问题
网络信息时代悄然而至,在这一时代背景,云计算技术推广遇到较多阻力,导致网络安全评估工作的效果得不到完善,笔者通过总结网络安全评估常见问题,为相关措施制定提供依据。
3.1数据存储方面的问题
用户借助网络下载数据资料,并将其存储于云端,这样不仅能够节省处理步骤,而且还能提高网络资源利用率,避免数据资料丢失。若云端设备完整性受到破坏,那么数据资料容易丢失,并影响用户决策。
3.2数据传输方面的问题
一般来讲,重要的数据资料存储于互联网数据中心,这类资料包括客户基本信息、未来发展规划及财务报表等内容,但这类数据在传输的过程中存在安全风险。首先,重要数据资料传输存在数据资料被窃取的风险。再者,云计算服务商可能成为数据资料外泄的主体。最后,非法用户通过数据访问进行数据窃取。
3.3数据审计方面的问题
云计算技术在网络安全评估活动中具体应用,不仅要提供相应的数据服务,而且做好风险预防和控制工作,确保数据资料高效利用,以此满足企业管理需要。如果企业所选云计算服务商,忽视客户利益及安全风险,那么合作风险会大大增加,最终影响网络安全评估效果,大大降低网络安全评估准确性。
4云计算技术为基础的网络安全评估措施
当前网络安全评估工作推进的必要性较强,为获取客观、准确的网络安全评估结果,应用云计算技术是极为必要的,下面笔者从三方面分析网络安全评估的有效措施。
4.1提高云计算系统设计合理性
一方面,合理设计认证模型。利用身份认证技术获取相关信息后,用户需要输入正确的账号和密码,来顺利完成身份认证。对于单点登录用户,往往会为网络攻击者留下重要信息,进而会降低网络用户验证的安全性。因此,设计动态身份认证系统,避免为网络攻击者提供可乘之机,大大提高用户认证的安全性,尽最大可能减少设备使用过程中的资金投入量。另一方面,优化云计算服务设计效果。用户在了解云计算服务的过程中,需要自行下载认证程序,并完成认证程序绑定,通过验证码输入的方式成功登录。需要注意的是,如果验证时间过长,导致登录超时,需要用户及时更换新的身份验证代码,这一过程即动态验证码生成的过程[2]。
4.2掌握网络安全态势评估方法
为确保网络安全态势评估工作具体落实,需对原始数据进行预处理,以便为信息系统安全性提供可靠的数据支持,队安全事件处理的过程中,通过数据模型建立的方式获取概率值及参考值。在对网络安全评估工作顺利推进的过程中,针对情境信息进行适当转换,以便为安全态势预测制定合理的处理方法。针对网络安全态势用数值来表示,根据数值大小分析网络操作的稳定性,预测网络风险,数据预处理过后对其有序组合,实现网络安全态势的客观判断,据此分析网络安全值,对比了解网络安全差异。在网络安全受到影响后,根据变化数据掌握网络安全的情况,并进行总结和记录。
4.3有序推进网络安全防御技术
第一,进行数据加密。应用数据加密技术保证网络数据安全性,以免网络数据信息的丢失,这对网络安全维护具有重要意义,数据加密技术的巧妙应用,为数据传输、数据转换提供安全保障,并尽可能降低数据丢失风险。云计算技术具有数据共享的服务优势,它允许数据资源高效共享,但前提是用户合法访问,从另一个角度来讲,非法访问操作的数据分享行为不被支持。在这一过程中,提高数据加密技术利用率,实现数据信息的及时隔离,避免个别数据丢失导致整体网络安全性受到威胁,进而使企业遭受严重的经济损失。第二,安全认证具体推进。安全认证方式多样,用户根据网络使用需要选择适合的验证方式,对于网络安全意识较差的用户,通过认证的方式完成安全认证。云技术服务商进行安全认证时,应结合认证方式,避免重要数据资料丢失。第三,无边界安全防护。以往数据安全防护模式较单一,但现在,新型数据安全防护模式具有多样化特点,应用云服务完成边界防护任务,能够提高数据信息整合效率,按照逻辑程序实现数据资料的隔离。在了解用户需求的基础上,针对数据资料进行合理分类,这不仅对独立安全系统建立有重要意义,而且有利于扩大安全范围,加快安全服务中心建设速度。
4.4运营商在网络安全评估中的表现
当前网络信息技术时展步伐逐渐加快,互联网行业在发展的过程中,掌握云安全问题的处理对策,同时,运营商探索转型的有效途径,为云计算技术应用提供广阔空间,具体措施为:针对网络安全风险客观评估,建立不同类型的云组织模式,同时,设置安全服务等级,使用户能够参照已有服务等级进行风险评估,在一定程度上能够减少评估资金的投入。数据加密技术集成处理,在此期间,建立健全云计算安全防御体系,完善云计算服务设施,同时,创新云计算安全技术手段,来保证用户信息的安全性,这对云计算系统稳定使用有重要意义;通过可信云建立的方式加强安全认证,在这此过程中,可借助新算法构建信任关系,并通过结合方法强化对云端信任度,不仅对用户信息安全性保证有重要意义而且能够避免数据信息泄露[3]。
5结语
综上所述,云计算技术在应用的过程中,网络安全防护方式应不断进行创新,对云计算技术大范围推广有重要意义。由于我国实践云计算技术的时间较短,现有云计算技术应用经验不足,进而网络安全评估工作只能片面推进,最终得到的评估结果缺乏真实性。当前网络信息时代不断发展,人们对网络安全防护工作提出了更高的要求,不仅要对网络安全评估方式不断创新,而且研究学者应探索云计算技术应用的最佳途径,建立健全网络安全评价标准,并提供用户用网满意度。笔者在理论内容的基础上,总结当前网络安全评估常见问题,提高云计算系统设计合理性、掌握网络安全态势评估方法、有序推进网络安全防御技术和了解运营商在网络安全评估中的表现等措施进行问题处理,这样不仅提高网络安全评估准确性和客观性,而且对网络安全系统独立发展具有重要意义。
参考文献
[1]魏斯超,张永萍.基于云计算技术的网络安全评估技术研究及应用[J].数字技术与应用,2016(5):211.
关键词:网络安全;网络化教学;一体化教学体系
作者简介:廉龙颖(1981-),女,辽宁庄河人,黑龙江科技学院计算机学院,讲师。(黑龙江 哈尔滨 150027)
基金项目:本文系黑龙江省高教学会“十二五”教研课题(课题编号:HGJXH C110918)、黑龙江科技学院青年才俊资助项目的研究成果。
中图分类号:G642.0 文献标识码:A 文章编号:1007-0079(2013)05-0092-02
网络化教学已成为各国教育改革和发展的重要趋势,它具有突破时空的限制和实现资源共享的基本特点,能够实现以学习者为主体的主动式学习和协作式学习。利用网络教学平台,搭建学习、实践、测试、交流、管理等教学环境,充分发挥学生的主动性、积极性、合作性和创造性。网络化教学正逐渐被教学群体广泛认同,在使用量的横向上和应用水平的纵向上,均潜在着不可估量的发展空间。
“网络安全”课程是计算机专业的主干课程。本课程几乎涉及网络应用技术的各个层面,如计算机系统安全、网络硬件安全、网络服务器安全、网络应用软件安全和网络数据安全,是学生从事网络管理工作应具备的核心能力之一。黑龙江科技学院“网络安全”课程由理论课和实验课两部分组成,理论课36学时,实验课12学时,共计48学时,学生仅仅依靠课堂上的学习,远远不能满足实际需求。因此,在“网络安全”课程教学中采用面对面教学与网络自学相结合的方式,尝试把“网络安全”课程教学从课堂延伸到课外,充分利用现代信息网络技术彰显网络安全教学的最大效益。
一、网络化教学研究过程
“网络安全”课程组将网络化教学应用于“网络安全”课程的过程如图1所示,分为四个阶段:研究、建设、实施、改进。“网络安全”课程网络化教学过程是一个循环的研究过程,通过教师对“网络安全”课程教学平台建设的研究,提出教学平台建设方案,并自主设计和开发“网络安全”教学平台,通过对网络化教学的具体实施,总结出这一教学方式存在的不足并进行进一步的改进。
二、“网络安全”课程教学平台建设研究
在“网络安全”课程网络化教学研究中,通过教学平台的建设,实现提供完善的教学功能和友好方便的教学服务,是网络化教学的重要基础。平台设计重点体现“网络安全”课程“三优三强”的人才培养模式,即优化教学方案、优化教学内容和优化教学方法,以及学生综合素质强、创新能力强、实践能力强的教学体系。教学平台以该课程的专题式教学资源作为设计思想,以课程理论内容和实验项目作为设计范例,目标是建立基于网络的“网络安全”课程学习平台,学生可以利用校园网或互联网进行理论知识的学习和实验内容的实践,不受课堂时间和空间的限制,在课堂教学内容的基础上进行选择性和扩展性学习,更好地理解和掌握网络安全知识。
“网络安全”教学平台主要实现在线课程、教学信息、师生交互等功能,也可以看作是一个由教师、学生、教学资源与教学环境四者之间持续相互作用的在线学习管理系统。网络教学平台的主要特征是:教学个性化、实践网络化、学习自主化、活动协作化和管理自动化。如图2所示,“网络安全”教学平台分别构建了课程学习平台、实验强化平台、练习自测平台、互动交流平台以及管理监控平台,实现了课程内容的在线自学、实验内容的小组协作、练习测试的自我考核、学生教师的双向交流以及对教学质量的有效监控的功能。
三、网络化教学实施过程研究
网络化教学不能理解为只是一种网络教学平台建设,更不能只是把教科书等教学资源搬到网络上,而应该是在网络教学平台建设基础之上,在现代教育理论指导下,充分利用网络化教学对现行教学体系进行全方位改造,从而大大提高“网络安全”课程教学的质量和效果。研究如何将面对面教学与网络教学进行有机结合,真正提高“网络安全”课程的教学质量,提高学生解决网络安全问题的能力,是“网络安全”课程网络化教学改革的核心内容。
1.建立一体化教学体系
为更好地将面对面教学与网络教学有机结合,本校采用“课堂教学精讲、网络教学精练”的方式构建“网络安全”课程一体化教学体系。
课堂教学包括理论课教学和实验课教学两部分,在课堂教学中,教师要对教学内容进行全方位筛选,选择“网络安全”重点知识设计成教学专题,并且为每一个教学专题设计一个实践演示项目,例如计算机病毒专题、Unicode漏洞专题、SQL注入攻击专题等,利用有限的课堂教学时间对这些专题内容进行精讲。
网络教学包括理论自学、实践自练和练习自测三部分。在理论自学部分,自学内容不仅包括课堂教学内容,还适当地选择课堂教学中没有涉及的网络安全知识,例如无线网络安全、数字签名等,这些教学内容作为对课堂教学内容的补充,由网络教学来承载。在实践自练部分,练习内容由课堂演示项目和实验课项目两部分组成,学生可以利用教学平台对这些实验项目进行多次强化练习。在练习自测部分,练习和自测内容都选自网络安全工程师认证考试试题库,学生通过练习和自测,不仅可以巩固和复习课程内容,同时可以为将来参加网络安全工程师认证考试打下坚实的基础。
2.改革教学方式
全面实施网络教学,需要更新教学理念。对传统教学方式进行改革,鼓励学生利用网络教学平台主动学习、自主学习。在传统面对面教学中,教师是课堂的主体,学生只能被动地接受知识,但学生与学生之间是存在个体差异的,不能保证每名学生都可以在课堂上理解和掌握所有教学内容。但在网络教学中,学生将成为课堂的主体,学生的学习会更加自由和轻松。课堂教学内容掌握较好的学生,可以选择更深一些的网络安全知识来进行网络自学;而对课堂内容还没有完全掌握的学生,可以选择课堂内容来进行网络复习。
3.改革考核方式
在考核方式上,本校摒弃了“期末一张试卷决定学生成绩”的考核方式,不再把教师的单方评价奉为标准,而是提倡学生进行互评和自评。具体考核方式是:教师对学生成绩评定占40%,小组同学间的互评成绩占30%,学生对自己网络自学成绩评定占30%。考核方式的改革,可以多角度全面客观地考查学生对网络安全知识的掌握程度,同时有利于培养学生的自主学习和协作学习的能力,使其养成良好的主体意识,最终激发其自主学习动机。[1]
4.改革交流互动方式
网络教学应该以交流互动为核心,构建充分发挥学生为主体的教与学的网络学习环境。传统课堂的交流互动包括课堂提问、课上讨论以及课后答疑等方式,这些互动方式存在教条化、模式化的缺点,而网络教学可以大大拓宽交流互动途径。网络教学中的互动不仅仅局限于“学生和教师”、“教师和教师”以及“学生和学生”之间进行的在线交流和互动,还包括学生与教学资源、教师与教学环境等方面的互动。教师可以根据学生的反馈情况调整教学行为,学生可以下载或上传教学资源,这些互动方式可以真正实现师生之间的交流,从而提高学生的学习兴趣和主体意识。
四、存在的问题及改进措施
本校通过对“网络安全”课程网络化教学的具体实施,发现网络化教学存在学生网络自学情况差异较大、个别学生参与积极性不高的问题。通过管理监控平台的数据统计,74%的学生能够保证网络自学课时,而且能够经常在线与教师和同学进行交流;19%的学生网络自学课时较少;7%的学生从来没有登录过网络自学平台。因此,本校在下一步“网络安全”课程网络化教学研究中,采用调查问卷的形式来调查学生不参与网络自学的原因,根据了解的情况,安排教师采用个别化辅导形式,鼓励和推进网络教学,确保每位学生都能够亲身体验网络化学习。
五、总结
本校利用校园网开展“网络安全”课程网络教学,丰富并补充了传统的面对面教学形式,为学生营造了多维交互的在线学习环境。实践证明,基于网络教学平台的“网络安全”课程网络化教学可以非常明显地提升学生学习的动机和兴趣,增强学生小组协作学习的自主能力,并在一定程度上弥补课堂教学的遗漏和不足,使“网络安全”课程教学更加系统,更加完善。[2]在此研究基础上,还需要进一步分析网络化教学在“网络安全”课程教学中的应用效果,探讨如何充分发挥网络化教学的特点和优势,通过网络化教学在教育中的应用体现和提升其价值。
参考文献:
[1]黄磊,杨九民,李文昊.基于免费网络服务的高校混合式学习模式构建——以“现代教育技术”课程为例[J].电化教育研究,2011,(8):
关键词计算机;网络安全;技术;应用
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)12-0077-01
近年来,随着科技和互联网技术的飞速发展,计算机在人们的日常工作和生活中的应用范围快速扩大,已经渗透到人们工作和生活的各个领域,日常办公、金融、贸易、购物等很多行为都基本实现了网络化。但同时,由于计算机的开放性,计算机病毒层出不穷,网络黑客的猖獗活动,让人防不胜防,网络安全受到全所未有的威胁。因此,认清计算机网络的脆弱性,发现网络安全的潜在威胁,并采取有效的保障计算机网络安全的技术,对于保障现代社会人们工作和生活的正常进行显得十分重要。
1计算机网络安全的重要性
当今社会,随着科学技术和互联网技术的飞速发展,计算机在各行各业中的普及,从根本上改变了人类的工作和生活方式,极大的提高了人们的工作效率,丰富了人们的业余休闲娱乐,提升了人们的物质和精神生活品质。但是不容忽视的是,网络在带给我们的生活极大方便的同时,也面临着诸多网络安全问题,例如黑客的攻击、网络数据信息遭窃密、病毒的攻击、木马挂马以及陷门等,网络黑客活动日益猖獗,他们攻击用户的网络服务器进行非法入侵,不但窃取用户计算机的机密信息,而且还篡改数据库内容,更有甚者导致用户的计算机网络系统瘫痪,对人们的工作和生活造成了严重的危害。事前的预防比事后的弥补更重要,为了有效预防计算机网络安全问题,计算机用户要加强安全上网的意识,推广使用最新的有效的网络安全技术,以全方位地应对各种不同的威胁,修复计算机安全漏洞,防患于未然,以确保计算机网络信息的安全性和保密性。
2计算机网络安全技术及其应用
1)升级操作系统补丁。由于操作系统自身的复杂性,为了适应网络的需求,要及时对操作系统进行升级,更新,不但服务器和工作站等需要操作系统升级,各种网络设备也都需要及时升级,并打上最新的系统补丁,以预防网络恶意工具的入侵,修复漏洞不给黑客可乘之机,确保网络的安全。
2)防火墙技术。目前防止网络安全问题的措施,主要是靠防火墙技术来完成。作为网络安全的屏障,防火墙是实现网络安全最基本的办法,也是一种最为有效的安全措施。防火墙对不安全的服务进行过滤排除,能极大地提高网络的安全性,从而降低安全风险。
3)虚拟专用网络(VPN)技术。虚拟专用网络VPN技术,其主要提供在公网上安全的双向通讯,其通过采用透明的加密方案的办法,保证计算机数据的完整性,并提高数据的保密性。对于分布在不同地方的专用网络,在计算机公共网络上,虚拟专用网络系统可以使其实现安全保密的通信。它由于采用复杂的算法,使在网络上传输的数据和信息得到加密,从而避免数据被窃听。
4)访问控制安全。网络的访问控制安全,主要表现在口令、访问权限和安全监视几方面。访问权限主要体现在用户对网络资源的可用程度上。网络监视主要是监视整个计算机网络在不同时间的运行情况,对整个计算机网络进行动态监视,发现问题及时处理,从而确保网络的访问控制安全。网络监视的作用在于,可以使网络上的安全问题迅速被发现,并得到及时解决,从而实现访问控制的安全。
5)数据加密技术。数据加密技术包括对称加密和非对称加密。对称加密技术是一种比较常规的技术,以口令为基础。目前,对称加密方式中,数据加密标准DES的应用比较广泛,在银行业中得到了成功的应用,其主要应用于银行的电子资金转账领域。非对称加密方式,信息交换领域应用的比较多,例如身份认证和数字签名等。
6)服务器。使用服务器,是为了加快网速,使用户可以快速打开浏览的网站。由于服务器都有缓冲的功能,一些网站与IP地址的对应,关系可以得到保留。服务器的优点在于,其由于把内网的机器隐藏起来,不但可以防止网络黑客对计算机网络的直接攻击,而且还可以实现节省公网IP的作用。
7)PKI技术。PKI技术主要利用公开密钥体系,对计算机网络的信息进行认证,并对计算机网络信息进行加密。PKI技术由于将网络数据的安全性和高效性集于一体,所以它的安全程度较高,目前在电子商务,电子政务以及电子事务领域,其成为了密码技术的首要选择,使电子商务中传递的数据信息的的保密性和完整性等安全问题得到解决,极大的保护客户的资料安全。
8)安装防病毒软件。病毒扫描通过对机器中的所有文件和邮件内容,以及带有exe的可执行文件进行扫描。为保障计算机网络安全,用户要对全网的机器安装杀毒软件,并保持最新的病毒库,并定期清除隔离病毒的文件夹。
综上所述,对于计算机网络的安全问题,我们要应提高安全上网的意识,推广使用多种最新的网络安全技术,全方位地应对各种不同的威胁,做到防患于未然,从而最大限度的保障计算机网络的安全。
参考文献
[1]乜国雷.浅谈计算机网络安全及其对策[J].硅谷,2009.
[2]郭立晖,姚琦.计算机网络安全与防范探讨[J].现代商贸工业,2008.
[3]冯.计算机网络安全技术研究[J].福建电脑,2008.
[4]曲大海.浅谈计算机网络安全技术的应用[J].硅谷,2008.
[5]网络管理经验总结十二招[J].计算机与网络,2011.
[6]陆珊.浅谈校园网络的安全管理[J].科技信息,2010.
[7]李治国.校园网络系统安全维护技巧分析[J].计算机光盘软件与应用,2013.
[8]王长宁.如何加强计算机校园网络安全[J].黑龙江科技信息,2009.
关键词:石油企业 计算机网络 安全隐患 对策
随着计算机网络技术的发展,关于其网络安全问题尤为突出。我国石油企业的现代化建设起步晚,企业计算机网络环境相对脆弱,网络安全容易受到多方面的因素影响。加之,在开放的互联网平台下,计算机网络的安全问题呈现出多渠道、多层次的特点。因此,净化网络运行环境,尤其是设置有效的登录控制,以及网络防火墙,是实现安全网络环境的基础。石油企业在现代化建设中,基于网络安全问题的解决尤为重要。
1、石油企业计算机网络中存在的安全隐患
1.1 网络攻环境下的病毒与黑客入侵
石油企业计算机网络的运行平台,基于开放的互联网环境。企业网络中的漏洞,都会成为网络攻击的对象。黑客入侵就是基于网络漏洞,对企业的网络环境造成威胁。同时企业的网络服务端以员工为主,所以网络环境相对复杂,关于网页的浏览或东西的下载,都存在病毒的入侵的隐患。并且,员工的网络安全意识比较淡薄,对于网络环境的潜在安全隐患缺乏重视,造成企业网络安全环境比较复杂,易受外界入侵源的攻击。
1.2 人为因素下的网络安全问题
人为因素下的网络安全问题,主要表现在网络管理端和用户端。员工作为主要的用户端,诸多不当的网络操作,都会带来安全隐患。同时,网络管理员在安全管理中,关于数据接入端和服务器的管理力度缺乏,造成网络数据管理上的不足。企业网络的网络平台都设有权限,管理员在权限的设计上存在漏洞,在病毒的入侵下,造成局部网络出现信息瘫痪的问题。
1.3 网络连接的不规范,尤其是各系统间的网络连接
石油企业在构建信息化的管理平台中,各管理系统的网络一体化,是平台构建的核心内容。企业在系统的连接中,缺乏网络风险的认识,信息系统与管理系统的连接,造成病毒对于管理网络的入侵,最终造成整个网络平台的瘫痪。同时,网络连接不规范,在构建安全的以太网环境中,存在诸多安全的操作,诸如一台computer构建两个以太网,在病毒的入侵防范上比较欠缺。
1.4 企业缺乏完善的网络安全管理
石油企业的信息平台构建,注重平台的形式,而对平台缺乏完善的后期维护,网络安全管理工作不到位,以至于受到多方面的因素影响。在安全管理中,管理人员对于网络漏洞和软件不能及时修补和升级。同时,对于用户端的下载和网页浏览,管理力度缺乏,用户端可以基于各网络站点,随意的东西下载,造成内部网络的安全隐患。而且,对于登陆的密码和账号,员工随意的共享或转借,造成网络运行中的各类隐患。
2、计算机网络安全隐患的应对措施
在石油企业的现代化进程中,计算机网络安全问题显得尤为突出。企业网络安全问题主要来源于管理、网络操作,以及网络安全体系等方面。因此,在对于安全隐患的防范中,强化网络安全管理,以构建完善的防范体系,营造安全的网络环境,加速企业信息平台的构建于完善。
2.1 强化网络安全管理
石油企业的计算机网络安全隐患,很大程度上源于安全管理不到位,尤其是网络权限的控制,是强化安全管理的重要内容。构建完善的权限控制系统,对用户端进行有效的约束,进而净化网络运行环境。
2.1.1 构建完善的权限控制系统
企业的计算机网络,在登录端采用权限控制的方式,对网络的使用进行保护。因而,企业网络在安全管理的进程中,强化控制系统的构建。系统主要针对密码验证、身份识别等内容,形成完善的控制系统。在网络的使用前,用户端需要进行身份的认证后,才能进行相关网络的使用。而且,对于身份认证失败的用户,可以将其列为黑名单,进行集中的安全管理,以针对性的防范该类用户的登陆。于此,在权限控制系统的构建中,要明确好登陆系统和控制系统,两系统同时进行网络的保护,以净化用户端的网络环境。
2.1.2 构建网络安全体系
企业网络安全环境的营造,在于安全体系的构建。基于网络防火墙的构建,强化外来网络威胁的阻止,以营造安全的网络环境。同时,基于复杂的用户端,企业网络环境相对薄落。于是,在安全体系的构建中,以多级防护体系为主,形成多层保护机制,强化网络安全管理的力度。对于网络的数据,做到封闭式的管理,关键的数据要进行加密处理,以防止信息的泄漏。
2.2 强化网络设备的管理
企业的网络设备是安全隐患预防的重要部分,尤其是对网络主机或服务器,是强化网络安全管理的重点。对于网络的相关设备,进行妥善的管理,网络的电缆线在铺设和管理中,要做到管理的封闭性,以防止外界物理辐射的影响,而造成信息传输的问题。同时,对于相关的网络软件,进行及时的升级或修补,以防止网络系统出现漏洞,这样可以避免各类潜在的安全隐患。
2.3 建立网络安全应急机制
在开放的互联网环境下,企业网路存在诸多的安全隐患。构建网络安全应急机制,对于企业的信息管理系统具有重要的意义。基于完善的安全应急机制,可以及时地对各类安全威胁进行处理,避免外来入侵源对于网络平台的深入攻击。同时,对于重要的数据信息,要进行加密或备份,以应对数据意外丢失的情况。在实际的网络安全管理中,关于网络运行环境的实时监控,是及时发现系统漏洞或外来入侵源的重要工作。
2.4 强化用户端的安全意识
随着互联网络技术的不断发展,企业网络的运行环境越来越复杂。企业用户端在网络的使用中,要强化其网络安全意识,规范相关的上网操作,诸如网页的浏览或数据的下载等活动,要在安全的环境下进行。同时,做好网络安全的宣传工作,强调网络犯罪的严重性,进而约束员工的网络活动。
3、结语
石油企业在现代化建设中,网络信息平台的构建十分关键。而基于开放的互联网环境,企业计算机网络存在诸多的安全隐患,严重制约着企业信息平台的构建。因而,强化企业网络安全管理,尤其是安全网络体系的构建,对于净化网络环境,防范网络威胁,具有重要的作用。
参考文献
[1]刘冬梅.企业计算机网络中存在的安全隐患和对策[J].新疆石油科技,2009(03).
Abstract: The quality of experiment is directly related to teaching quality of courses. This paper studies the experiment teaching of network security technology, and gives several measures in detail on experimental environments and experimental contents. The practice proves that these methods are effective to improve the comprehension of course and cultivate the ability of practice of students.
关键词:网络安全技术;虚拟机;实验内容
Key words: network security technology;virtual machine;experimental contents
中图分类号:G43文献标识码:A文章编号:1006-4311(2010)36-0314-02
0引言
随着计算机与互联网的发展,网络安全威胁问题成为每个公司或个人所必须面临的问题,因此,计算机相关专业学生对网络安全理论与技术的掌握变得逐渐重要起来[1]。目前,许多高校的计算机相关专业已经开设了网络安全技术课程。网络安全技术是一门以计算机技术为核心,涉及操作系统,网络技术、密码技术、通信技术等多种学科的综合性学科,由此可见,网络安全技术是一门实践性很强的课程,但在实验教学中普遍存在实验内容单一,而且涉及面窄等问题,对此,在网络安全技术实验教学研究中,结合在实验室搭建针对实验教学的软环境,以网络安全攻防体系为主线设计项目式、攻防式实验项目,突出实验课在该门课程中的地位和作用,从而,更好的帮助学生理解、掌握网络安全知识,培养学生运用网络安全攻防技术的能力[2]。
1实验软环境配置
在实验软环境配置上,主要考虑两方面的因素,第一,某些实验室计算机不具备联网的条件;第二,网络安全实验具有攻击性和破坏性。为了在现有的实验室条件下,能够使学生独立完成实验的操作,我们引入虚拟机技术--使用VMware虚拟机软件来构建所需要的教学和实验环境。虚拟机技术,就是用软件模拟现实的计算机系统的技术。利用这种技术,可以在现有真实机操作系统上建立若干个同构造或异构造的虚拟计算机系统,每个虚拟机由一组虚拟化设备构成,其中每个虚拟机都有对应的虚拟硬件,同时可以随时在真实机和虚拟机之间进行切换[3]。采用这种虚拟机的方式,可以在一台计算机上,实现真实机与虚拟机操作系统间构建一个小型网络环境,从而使虚拟机成为网络安全实验的攻击对象。
1.1 虚拟机技术虚拟机是运行在操作系统上的一个应用程序,该程序“模拟”了标准计算机的环境。在使用上,虚拟机同样需要分区、格式化、安装操作系统以及安装应用程序和软件,就像一台真正的计算机一样,提供这个应用程序的“窗口”就是虚拟机的显示器[4]。在虚拟机环境下,可以将虚拟出来的若干台“计算机”联成一个网络,这为网络安全技术实验教学提供了一个良好的实验环境。
1.2 虚拟操作系统的选择安装虚拟机软件VMware后,为了使所有的网络安全攻击实验都可以成功完成,在虚拟机上选择安装没有打过任何补丁的Windows 2000 Advanced Server操作系统[5]。
1.3 真实机与虚拟机之间的网络连通在真实机上安装Microsoft Loopback Adapter,并且将真实机与虚拟机的IP地址设置在同一网段(参考设置如表1所示),这样可实现真实机与虚拟机通过回环网卡进行通信。
2项目式、攻防式实验教学内容
网络安全技术实验主要包括组网基础实验、路由器配置实验、网络扫描与欺骗实验、网站攻击实验、密码算法实验等,由于网络安全技术课程注重对学生动手实践能力的培养,在实验内容设置上,可以将本门课程中的基本原理和方法与基本实验内容进行有机融合,设置项目式实验教学内容,学生通过完成实验项目,可以完全掌握与网络安全相关的所有基本原理与技术,同时,在实验项目的设计上选择一些综合运用各类安全技术的对抗性实验,这样,即可以激发学生的兴趣,又能提高学生灵活运用所学知识来解决实际问题的能力。实验项目设置如表2所示。
在实验过程中,将学生分为若干个实验组,每个实验组又分为进攻和防守两个项目组,防守项目组选定需要保护的主机及操作系统、网络参数等,并分析该系统的安全性,扫描系统存在的各种安全问题,然后制定相应的安全防御措施,选定安全工具软件进行防护。进攻项目组模拟黑客攻击,利用学习过的网络安全技术,如扫描、监听、缓冲区溢出攻击、拒绝服务攻击等方法,在规定时间内对防守项目组的主机进行攻击。通过这种攻防大战的方式,避免学生按照规定步骤进行模式化的实验,使学生可以灵活运用各种网络安全技术,真正达到实验教学的目的。通过设置这种项目式、攻防式实验教学内容,使学生真正体会到网络安全的重要性,从抽象的概念上升到形象上的认识。
3仿真实验项目
通过搭建的实验教学环境,可以模拟仿真各种不同类型的网络安全实验项目,下面以跳板隐藏IP实验项目为例进行说明,该实验项目是在真实机上访问网站,网站的作用是显示来访者的IP,显示的IP是192.168.8.112,然后利用虚拟机作为跳板机,真实机经过跳板机再访问网站,实验结果显示的IP是192.168.8.212。
3.1 搭建虚拟机跳板将软件sksockserver种到虚拟机上,同时安装并启动该服务,在真实机上执行以下命令。
C:\net use \\192.168.8.212\ipc$ a /user:a (建立IPC连接)
C:\>dir
C:\>copy sksockserver.exe \\192.168.8.212\c$
C:\>sksockserver -install
C:\> net start skserver
3.2 设置真实机在真实机上运行Snake(SkServerGUI.exe)软件的GUI版本。选择主菜单“配置”下的菜单项“经过的SKServer”,在出现的对话框中设置的顺序,第一级是192.168.8.212,端口是1813端口。 接下来配置可以访问该的客户端,选择主菜单“配置”下的菜单项“客户端”,这里只允许本地访问该服务,所以将IP地址设置为127.0.0.1(本机的回环地址),子网掩码设置为“255.255.255.255”,并将复选框“允许”选中――增加――OK。选择菜单栏“命令”下的菜单项“开始”,启动该跳板。
3.3 实验结果分析在完成了上述真实机和虚拟机配置过程后,我们对隐藏IP后的网络进行了测试,测试结果表明通过跳板技术可以实现IP地址隐藏。
在真实机上访问网站,测试结果如图1所示。
经过跳板技术后,在真实机上访问网站,测试结果如图2所示。
4结束语
根据网络安全技术的发展趋势与社会对网络安全人才的要求,笔者认真总结了该课程的教学经验,制定了网络安全技术的实验教学方案。在实验教学中采用项目式教学内容,着重培养学生的动手实践能力,并且使其能反应网络安全行业对人才的需求和学科的最新进展。实践表明,这种以培养学生动手实践能力为主的实验教学方法具有很大的参考价值。
参考文献:
[1]程红蓉,周世杰.信息安全专业实验教学初探[J].实验科学与技术,2008,(5):86-93.
[2]王海晖,谭云松.高等院校信息安全专业人才培养模式的研究[J].现代教育科学:高教研究,2006,(3):143-145.
[3]梁诚,李琼.VMware虚拟机技术在计算机实践教学中的应用[J].电脑开发与应用,2007,(8):34-35.
1、网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2、现有网络安全技术
计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
问题类型问题点问题描述
协议设计安全问题被忽视制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误协议设计错误,导致系统服务容易失效或招受攻击。
软件设计设计错误协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作操作失误操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护默认值不安全软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统软件和操作系统的各种补丁程序没有及时修复。
内部安全问题对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。
3、现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。
4发展趋势:
中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
4.1、现阶段网络安全技术的局限性
谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。
任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。
首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
4.2、技术发展趋势分析
.防火墙技术发展趋势
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
UTM的功能见图1.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
二网络安全面临的主要问题
1.网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全措施加以防范,完全处于被动挨打的位置。
2.组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐患,从而失去了防御攻击的先机。
3.组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击者以可乘之机。
4.组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5.网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络,不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。
三网络安全的解决办法
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
1.安全需求分析"知已知彼,百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。
2.安全风险管理安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。
3.制定安全策略根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4.定期安全审核安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。
5.外部支持计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。
6.计算机网络安全管理安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。
