时间:2023-09-14 17:43:58
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇构建网络安全体系,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:石油企业 计算机网络 安全隐患 对策
随着计算机网络技术的发展,关于其网络安全问题尤为突出。我国石油企业的现代化建设起步晚,企业计算机网络环境相对脆弱,网络安全容易受到多方面的因素影响。加之,在开放的互联网平台下,计算机网络的安全问题呈现出多渠道、多层次的特点。因此,净化网络运行环境,尤其是设置有效的登录控制,以及网络防火墙,是实现安全网络环境的基础。石油企业在现代化建设中,基于网络安全问题的解决尤为重要。
1、石油企业计算机网络中存在的安全隐患
1.1 网络攻环境下的病毒与黑客入侵
石油企业计算机网络的运行平台,基于开放的互联网环境。企业网络中的漏洞,都会成为网络攻击的对象。黑客入侵就是基于网络漏洞,对企业的网络环境造成威胁。同时企业的网络服务端以员工为主,所以网络环境相对复杂,关于网页的浏览或东西的下载,都存在病毒的入侵的隐患。并且,员工的网络安全意识比较淡薄,对于网络环境的潜在安全隐患缺乏重视,造成企业网络安全环境比较复杂,易受外界入侵源的攻击。
1.2 人为因素下的网络安全问题
人为因素下的网络安全问题,主要表现在网络管理端和用户端。员工作为主要的用户端,诸多不当的网络操作,都会带来安全隐患。同时,网络管理员在安全管理中,关于数据接入端和服务器的管理力度缺乏,造成网络数据管理上的不足。企业网络的网络平台都设有权限,管理员在权限的设计上存在漏洞,在病毒的入侵下,造成局部网络出现信息瘫痪的问题。
1.3 网络连接的不规范,尤其是各系统间的网络连接
石油企业在构建信息化的管理平台中,各管理系统的网络一体化,是平台构建的核心内容。企业在系统的连接中,缺乏网络风险的认识,信息系统与管理系统的连接,造成病毒对于管理网络的入侵,最终造成整个网络平台的瘫痪。同时,网络连接不规范,在构建安全的以太网环境中,存在诸多安全的操作,诸如一台computer构建两个以太网,在病毒的入侵防范上比较欠缺。
1.4 企业缺乏完善的网络安全管理
石油企业的信息平台构建,注重平台的形式,而对平台缺乏完善的后期维护,网络安全管理工作不到位,以至于受到多方面的因素影响。在安全管理中,管理人员对于网络漏洞和软件不能及时修补和升级。同时,对于用户端的下载和网页浏览,管理力度缺乏,用户端可以基于各网络站点,随意的东西下载,造成内部网络的安全隐患。而且,对于登陆的密码和账号,员工随意的共享或转借,造成网络运行中的各类隐患。
2、计算机网络安全隐患的应对措施
在石油企业的现代化进程中,计算机网络安全问题显得尤为突出。企业网络安全问题主要来源于管理、网络操作,以及网络安全体系等方面。因此,在对于安全隐患的防范中,强化网络安全管理,以构建完善的防范体系,营造安全的网络环境,加速企业信息平台的构建于完善。
2.1 强化网络安全管理
石油企业的计算机网络安全隐患,很大程度上源于安全管理不到位,尤其是网络权限的控制,是强化安全管理的重要内容。构建完善的权限控制系统,对用户端进行有效的约束,进而净化网络运行环境。
2.1.1 构建完善的权限控制系统
企业的计算机网络,在登录端采用权限控制的方式,对网络的使用进行保护。因而,企业网络在安全管理的进程中,强化控制系统的构建。系统主要针对密码验证、身份识别等内容,形成完善的控制系统。在网络的使用前,用户端需要进行身份的认证后,才能进行相关网络的使用。而且,对于身份认证失败的用户,可以将其列为黑名单,进行集中的安全管理,以针对性的防范该类用户的登陆。于此,在权限控制系统的构建中,要明确好登陆系统和控制系统,两系统同时进行网络的保护,以净化用户端的网络环境。
2.1.2 构建网络安全体系
企业网络安全环境的营造,在于安全体系的构建。基于网络防火墙的构建,强化外来网络威胁的阻止,以营造安全的网络环境。同时,基于复杂的用户端,企业网络环境相对薄落。于是,在安全体系的构建中,以多级防护体系为主,形成多层保护机制,强化网络安全管理的力度。对于网络的数据,做到封闭式的管理,关键的数据要进行加密处理,以防止信息的泄漏。
2.2 强化网络设备的管理
企业的网络设备是安全隐患预防的重要部分,尤其是对网络主机或服务器,是强化网络安全管理的重点。对于网络的相关设备,进行妥善的管理,网络的电缆线在铺设和管理中,要做到管理的封闭性,以防止外界物理辐射的影响,而造成信息传输的问题。同时,对于相关的网络软件,进行及时的升级或修补,以防止网络系统出现漏洞,这样可以避免各类潜在的安全隐患。
2.3 建立网络安全应急机制
在开放的互联网环境下,企业网路存在诸多的安全隐患。构建网络安全应急机制,对于企业的信息管理系统具有重要的意义。基于完善的安全应急机制,可以及时地对各类安全威胁进行处理,避免外来入侵源对于网络平台的深入攻击。同时,对于重要的数据信息,要进行加密或备份,以应对数据意外丢失的情况。在实际的网络安全管理中,关于网络运行环境的实时监控,是及时发现系统漏洞或外来入侵源的重要工作。
2.4 强化用户端的安全意识
随着互联网络技术的不断发展,企业网络的运行环境越来越复杂。企业用户端在网络的使用中,要强化其网络安全意识,规范相关的上网操作,诸如网页的浏览或数据的下载等活动,要在安全的环境下进行。同时,做好网络安全的宣传工作,强调网络犯罪的严重性,进而约束员工的网络活动。
3、结语
石油企业在现代化建设中,网络信息平台的构建十分关键。而基于开放的互联网环境,企业计算机网络存在诸多的安全隐患,严重制约着企业信息平台的构建。因而,强化企业网络安全管理,尤其是安全网络体系的构建,对于净化网络环境,防范网络威胁,具有重要的作用。
参考文献
[1]刘冬梅.企业计算机网络中存在的安全隐患和对策[J].新疆石油科技,2009(03).
关键词:网络安全体系;硬件防火墙;核心应用
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)09-0037-02
1 引言
二十一世纪的今天,伴随着日益发展计算机网络,是逐步加大的网络安全威胁。人们亦越发重视自身所在环境的网络安全体系结构的建设和发展。各种网络安全技术的提出和网络安全产品的出现也不断丰富着网络安全体系。那么作为网络安全产品中的重要组成部分,硬件防火墙能在网络安全体系中会体现出怎样的核心应用呢?
2 网络安全体系简单构建例
一个完整的网络安全体系需要涉及符合国家相关标准规定的诸如物理设备、信息传递、操作系统等一系列的内容。本节主要透过一家小型制衣企业的网络安全体系简单构建过程来直观地体现硬件防火墙在网络安全体系的核心应用。
2.1实施对象概况和安全需求
? 汇聚层交换机,核心层交换机和路由器等均统一放置于生产办公综合大楼二楼网络中心处。
? 该制衣企业拥有电脑数量约为100台,还有3台网络打印机,一台web兼E-mail服务器,一台FTP服务器,一台文件服务器。会议室中还需要部署可以容纳20人左右的无线网络。
? 该企业在广域网连接方面,除了要实现因特网接入外,还要提供远程办公和跟合作伙伴、供应商的VPN连接。
? 内部客户端不能直接访问外网,需要通过企业主干网接入INTERNET(全球互联信息网)。供应部、营销部、技术部可以连接Internet。实现供应部与各供应商保持联络,能和接收相关原材料需求和供应信息,但不能访问特定娱乐新闻购物类网站;营销部可以跟各渠道商通过邮件时刻保持联系,在关注现有客户同时发现潜在客户,推广企业的产品,打开市场销路;技术部可以通过网络查找和了解跟本企业产品相关的其他产品或相关技术,为其他部门寻找和准备相对应的网络资源。
? 除以上部门外其他部门除有特殊情况外都不能连接Internet。并且不允许员工在正常工作时间玩基于网络的游戏和进行P2P和BT方式的下载行为。
2.2 利用硬件防火墙完善网络拓扑结构
基于上述的判断,软件防火墙和嵌入式防火墙明显在某些要求上无法完全胜任,这时候硬件防火墙在该网络安全体系核心应用中的优势就能明显体现出来了。
在该网络安全体系结构中硬件防火墙主要由神州数码DCFW-1800S-H-V2企业级硬件防火墙来进行承担。在功能上该型号防火墙采用64位高性能多核处理器技术,拥有包括TCP会话保持与报文重组、VPN、QoS流量管理的芯片级加速方案,并且提供独立的硬件DFA引擎,带有IPS入侵检测模组。辅以高达48Gbps的高速交换总线,以及新一代64位实时并行操作系统DCFOS,确保整个系统不仅在处理网络通讯,而且在处理应用安全防护时拥有充足的系统资源保障。全面优化的软硬件系统拥有高稳定性和高可靠性,其新一代网络安全架构能提供给用户最大化的可扩展能力,方便日后的升级。
在考虑到网络服务器群组的使用和防护要求,同时防止内部网络被入侵导致商业敏感信息泄露的情况发生。作为一个典型的解决方法之一就是利用硬件防火墙构建起在屏蔽子网防火墙体系结构中合并堡垒主机和内部路由器的扩展形式,如图1所示。
在该形式中,专门划分出一个周边网络“非军事区域(DMZ)”,来将对外提供服务的各种服务器放置其中(配置示例如图 2所示),使Internet侧用户访问服务器时不需要进入内部网络,而内部网络用户对服务器维护工作导致的信息传递也不会泄露到外部网络。外部路由器主要作用在于保护周边网络和内部网络,防火墙上则设置针对外网用户的访问过滤规则。例如限制外部用户只有访问DMZ区的和部分内部主机的权限。为了最大限度节约资金投入的同时提高硬件防火墙的利用率,而将原本用于隔离内网络和DMZ区、对内部用户访问DMZ区和外部网络权限进行控制的内部路由器省略,由硬件防火墙模拟及替代该部分功能。然后利用防火墙中的IPS模组对数据流进行再次检查和报警,防止有非法数据流通过硬件防火墙而没有被发现。为了避免外部路由器失效带来致命影响,还可以将硬件防火墙设定为定时复制对方过滤规则,实现一个联动和备用功能。简单来说外网、DMZ、内网三者主要实现下面三个效果:
? 外网可以访问DMZ,但不能直接访问内部网络。
? DMZ可访问外网,不能访问内网。
? 内网可以访问外网和DMZ。
作为堡垒主机的硬件防火墙除了可以向外部用户提供WWW、FTP、E-mail等应用服务外,还可以在接受外部用户的服务器资源请求同时向内部用户提供DNS、E-mail、FTP等服务,并提供内部网络用户访问外部资源的接口。
2.3搭建网络安全平台
经过防火墙体系结构选型和构建,以及对如何完善安全服务机制的初步探讨后,整个网络安全体系已经初见雏形。而作为网络安全体系中重要一环的网络安全平台,则可以将硬件防火墙设备与相关网络技术结合起来,利用其搭建一个以硬件防火墙为核心的可操作性强的网络安全平台。
2.3.1外部访问认证
由于存在合作伙伴、协力企业、在外出差员工等对企业网络资源访问需求的群体,企业必须为他们提供一种安全的远程连接访问方式。而硬件防火墙上技术成熟、使用广泛的,成本低廉的VPN虚拟专用网络技术则正好能满足企业的需求。
通常来说传统的通过特定VPN连接软件连接的第一代VPN实现方式上有基于数据链路层PPTP、L2TP的VPN实现方式与基于网络层的IPSec的VPN实现方式(如图3所示)。虽然创建基于PPTP和L2TP的VPN的方法较创建IPSec VPN方法要简单许多,但是随着时代的进步和网络安全威胁的日益增加,基于数据链路层的VPN连接已无法完全胜任时代的安全需求了。所以现在进行VPN配置时一般选择使用IPSec技术作为数据传输时安全保障。
从原理上说,IPSec通过使用基于HASH函数的消息摘要来确保数据传输的完整性,使用动态密钥来对数据进行传输加密。也刚正好符合完善网络安全机制的要求。
图3 传统VPN实现方式
在防火墙中创建基于IPSec的VPN时,一般要先创建好IKE(即Internet密钥交换协议)的第一阶段和第二阶段提议,然后继续创建VPN对端,并在接下来创建IPSEC隧道并制定基于隧道的安全策略,最后再创建源NAT策略。在实现过程中有以下几个要点:
? IPSec隧道建立的条件必须要一端触发才可。
? 基于隧道的策略要放在该方向策略的最上方。另外从本地到对端网段的源NAT策略应该放在源NAT策略中的最上方。
? 在IPSEC VPN隧道中关于ID的概念,这个ID是指本地加密子网和对端加密子网。
除上述模式外,硬件防火墙还能支持第二代VPN实现方式SCVPN,即基于传输层的SSL VPN。其优势在于相对IPSec VPN相比,配置和构建相对简单方便,穿透力强能以透明模式功能,而且SSL VPN客户端早已融入到各主流浏览器中。用户只需要通过浏览器登录并通过验证即可使用VPN功能,为用户省去繁琐的客户端携带和安装,大大增强便捷性。但是缺点也很明显,由于SSL 协议的限制,在硬件防火墙上使用SSL VPN性能发挥上远远不如IPSec VPN。
2.3.2内部访问验证
为了对内网用户进行具体的网络行为跟踪监督工作,分配内网用户访问权限。进行内部访问认证从而确认网络行为实施者就变得很有必要了。一般来说,进行网络内部访问认证需要配置Radius认证服务器、Active-Directory认证服务器和LDAP认证服务器中的一种,用来存储用户信息和提供用户验证功能,虽说每一种验证服务器的功能都非常强大,但是部署起来不但需为之投入额外资金和资源,而且配置相对繁琐和维护也相对不易,对于小型企业来说实施起来有一定困难。幸好得益于硬件防火墙强大的性能,我们也可以直接在硬件防火墙上配置本地认证,然后通过web浏览器为客户端进行认证登陆(如图4所示)。当然有条件的企业亦可以通过将硬件防火墙上的WEB访问验证方式跟Radius、Active-Directory、LDAP验证服务器无缝结合起来,减轻硬件防火墙的资源负担,增强整个内部访问验证的可靠性和高效性。
图4 内部WEB认证登陆页面 (下转第54页)
(上接第38页)
2.3.3网络层到应用层全面控制
硬件防火墙通过在网络层和传输层通过特定的规则、数据封包的属性来对数据进行检测和过滤,从而抵御非法数据的入侵和黑客的攻击,同时提供多种地址转换方式,这些都是硬件防火墙最传统也最常用的应用。
开启硬件防火墙在应用层上的附加功能以扩展硬件防火墙的安全保护范围,提升整个网络的安全指数。例如通过URL过滤可以屏蔽一些跟工作无关的新闻、娱乐、购物类网站以及恶意网址;通过网页内容过滤来屏蔽一些敏感的关键字;通过开启防病毒检测,从网络外部阻挡病毒木马的入侵;通过上网行为监督,来提高网络的使用效率;通过IM工具过滤来提升员工的工作效率。
3 结束语
随着计算机网络在人们生活的各个领域中广泛应用,以网络为目标的不法行为也日渐增多。为所属网络构建一个完整高效可操作性强的网络安全体系亦越来越重要。而这次通过构建基于实际案例和具体网络安全指标的网络安全体系例子则非常充分地体现了硬件防火墙在网络安全体系中的区域隔离、攻击防护、协议过滤、流量控制、用户认证、上网行为追踪记录与管理、VPN远程访问等核心应用。相信在很长的一段时间内如何有效地和实地利用硬件防火墙在应用上的优势将会是影响整个网络安全体系构建成败的关键因素。
参考文献:
[1] 谢希仁.计算机网络(第6版)[M].北京:电子工业出版社,2013.
[2] 王达.金牌网管师:网络工程方案规划和设计[M].北京:中国水利水电出版社,2010.
本论文最终建立了适应独立学院网络安全管理的体系模型及应用模式,为校园网络中所存在的严重安全问题提出一种思路及解决办法。
关键词:校园网 网络安全 管理体系
Abstract:The research in this thesis is based on the data from the campus network in Zhuhai Campus of Beijing Institute of Technology, which is abbreviated to ZC below. It is a total resolution to all sorts of problems in ZC during last 4 years. The safety management system is a theoretical summary to the total resolution, which is not a simple stacking technology, but the integration of the technology, such as ACL, firework, IDS, Traffic management, intrusion detection and vulnerability scanning. Network-wide security measures are designed from the client to export to the Internet, and safety precautions are applied to every aspect of the user data streams. In actual operation, the main security problems of the networks are controlled effectively, and the network is very stable.
eventually a system model and an application model are established adapting to the safety management for the campus network of colleges and universities. Solutions to the serious security issues of campus network are put forward.
Key Words:campus network、Network Security、management system
上述三个系统在应用中,基本搭建起学校的整个电子资源,其中校务管理系统最为重要,此系统一但瘫痪意味着学校将基本停止正常运行。然而随着互联网技术的发展,黑客的攻击手段日益先进。单一的技术手段无法保证系统的安全运行,只有在安全策略的指导下,建立互动的安全防范体系,才能最终保证网络的安全,保证系统稳定运行。
构建网络安全管理体系模型
一般而言,各学校目前普遍采用PDRR模型来构建安全防御体系。PDRR模型属于动态信息安全理论的模型,PDRR是4个英文单词的头字符:Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)。这四个部分构成了一个动态的信息安全周期,如图:
该模型更多的强调通过防火墙、IDS以及VPN等技术来解决校园网络中存在的安全问题,重点在于安全应用技术,同时没有形成体系和防御层次,并忽视了两个重要的安全因素,安全管理与大流量数据拥堵造成的网络安全问题。
为能够更加有效的保证网络及各类应用的安全运行,安全管理体系的设计应突出网络安全的整个流程,从用户的发起端到校园网络的INTERNET出口,在数据流传输的各个环节进行了分布式的安全防范,同时辅以入侵检测、漏洞扫描、流量管理的多种技术手段,加以监控并降低设备不必要的运行压力,保证网络系统稳定运行。在各个环节中,以策略为中心的安全模型可以更充分的发挥模型的各项功能。以安全策略为中心的轮形安全模型,可以从安全、监测、测试、调优、流控五个部分对我们的安全架构进行不断的完善,使其成为一个自防御体系,能够快速、有效、可靠、全面的发现各种系统遭受的攻击,并实现有效的防范,以确保系统的稳定运行。
在PDRR基础上,以安全策略为核心,以安全技术为支撑,以安全管理作为落实手段,建立了高效校园网络安全管理体系。
针对于上述的安全架构,在具体的应用中,安全体系架构包含二个模块:分别为校园互联网接入模块、校园园区网模块,二个安全构件组成信息系统的安全架构。这种结构划的设计,有利于在不同的网络功能模块之间更好的划分安全防范的重点,并具有良好的扩展型,允许在今后的网络安全规划中,以一种层次的关系来分发安全策略。
安全模块的设计特点
校园INTERNET接入模块
校园INTERNET接入模块主要是预防INTERNET攻击的第一道门户,是防范INTERNET上黑客攻击的最主要屏障。因此,它的设计思想是以最少的策略,实现最严格的限制与最少的漏洞,同时保证最快的转发速度。
校园园区网模块
校园园区网是内部网的核心,保护着包括内网用户、重要服务器的安全。园区网由一台防火墙、两台互为冗余的主干交换机、内部应用服务器与楼层交换机、IDS模块组成。在防火墙上根据用户、服务进行详细的分类,并针对每一个服务访问做到具体的策略应用,园区网上防火墙的安全配置要求对每个访问做到具体、全面、严格的限制,为每个用户都划分了访问的具体范围,它作为安全防护的中心。
安全架构的检测
完成基本架构的搭建,为了保证各项安全措施能够满足防御要求,采用了多种方式进行系统的模拟安全检测。
(1) 使用两种漏洞扫描软件对系统进行测试,SYMANTEC NETSTAT、及SSS软件进行比较安全测试;
(2) 在防火墙的不同位置,TRUST、UNTRUST、DMZ、DMZ1等区域对包括网络设备、主机系统进行了模拟攻击;
在一个完整的校园安全管理体系中,各个部分之间的分工清晰,相互协作,在具体应用中可以很好的应用在实际的管理模块上。这种方式将简单、高效的布置校园网络的安全,为校园网络的运行及信息化建设奠定良好的安全基础。
北京理工大学珠海学院校园网安全管理体系部署
北京理工大学珠海学院(以下简称珠海学院)自2004年建校以来,珠海学院已拥有在校生15000人,校园网络经历了6年的建设,信息点已达20000个,建成了内网骨干带宽为20G,珠海学院外网带宽600M,校内包括教务系统、网络教学平台、一卡通系统等各类应用已达40个,网络用户已达12500人左右。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
安全策略
珠海学院各应用服务器大部分采用WINDOWS 2003,部分采用WINDOWS 2008,数据库服务器采用LINUX操作系统,使用的应用软件主要包括:ORACLE、SQL SERVER、MY SQL、APACHE、IIS等,网络情况、应用环境十分复杂。针对上述问题,在建网初期,即制定了相应的安全管理近期与长期目标。安全体系的近期目标是实现完善的安全审计和取证机制,保证受到入侵后有证可查。鉴于大多数安全事件来自于管理员的误操作,审计在明确事故责任上也能发挥重大作用。长期目标是建立安全预警系统,能够抵御较高水平的黑客攻击。
分布式安全防范措施
分布式防范措施是从用户端到INTERNET出口之间进行层层设防,部署不同的安全技术和措施,从技术方面杜绝出现安全问题的举措。在珠海学院的网络上,我们采取了下列措施:
(1)限定网络用户的不同vlan。(2)实行802.1x的认证协议。(3)网络用户安全管理。(4)网络用户隔离。(5)网间设备数据传输安全。(6)交换机ip与用户ip分别管理。
(7)防止木马的管理方式。(8)设置应用的不同安全等级。(9)服务器的安全管理。
(10)VPN访问。(11)系统恢复。
漏洞扫描
珠海学院在漏洞扫描工具上采用的是俄罗斯Shadow Security Scanner软件,在安全扫描市场中享有速度最快,功效最好的盛名,其功能远远超过了其它众多的扫描分析工具。SSS 可以对很大范围内的系统漏洞进行安全、高效、可靠的安全检测,对系统全部扫面之后,SSS可以对收集的信息进行分析,发现系统设置中容易被攻击的地方和可能的错误,得出对发现问题的可能的解决方法。
在珠海学院的网络管理中,定期对各个主要的交换机、服务器进行安全扫描,以为下一步的安全管理提供依据。
入侵检测
珠海学院的入侵检测系统布置,分为两个层次,首先为NIDS,主要启用防火墙的IDS模块功能;
另外,启用HIDS功能及在服务器上安装个人防火墙设置,珠海学院采用的是MICROSOFT ISA2004。
为了检测有害的入侵者,ISA Server将网络通信以及日志项与熟知的攻击方法进行比较。如发现可疑的行为会触发一组预先设定的措施或者警报。这些措施包括终止链接、终止服务、电子邮件警报、记入日志、以及运行一个选定的程序。
流量管理
由于P2P技术的广泛应用,目前大多数网络用户都采用P2P技术的网络工具进行诸如下载、视频、听歌等服务,如迅雷、QQ直播、酷狗等,这些软件的优点是充分利用互联网络,为用户提供丰富的资源。应该说P2P技术的快速发展带动了互联网络的快速发展,让用户能够更加便捷的使用互联网上的资源。
但P2P技术对于网络管理与运营来说是一种严重的挑战,一方面P2P技术过于贪婪,最大化的利用网络带宽进行下载。在珠海学院建网初期,申请的100M互联网带宽在没有任何限制的情况下,仅有120多用户就占满了所有的下行带宽,对校园网络运营影响极大(带宽租用价格较贵)。而且下载的很多资源内包含有大量的木马、病毒程序,对网络的安全运行造成了极大的影响。在珠海学院校园网络运行初期,很多问题是围绕着带宽、速度产生的。P2P应用软件的广发使用对校园网络设备带来了极大的压力,根本无从保证校园网络的稳定运行和安全管理。
经过不断的摸索,珠海学院在控制P2P应用中重点采用了三种措施:
(1)限制用户的带宽:对于单个用户ip,通过防火墙对用户进行带宽管理,为每个用户保证一条相对固定的通道,而不去影响其它用户的上网;
(2)限制用户的连接数:每个服务都是通过TCP或者UDP进行的数据通信,通过防火墙对单个用户ip进行连接数的限制,从而限制诸如迅雷、p2p等贪婪占用通道的工具,以保证网络线路的通畅;
(3)限制或封闭P2P协议的总带宽:P2P协议之所以难以管理,主要是由于这种技术在使用过程中的服务端口可以随机的变化,管理者根本无法确定服务的端口号,也就无法通过传统的设备进行限制和禁止。但任何协议都有自己的特征码,我们通过技术手段对P2P协议的特征进行匹配从而控制这种协议的软件。但考虑到这种软件应用的广泛性,仅对这种软件限制总体流量而并不完全封闭。
安全管理
安全管理贯穿于安全防范体系的始终。实践一再告诉人们仅有安全技术防范,而无严格的安全管理体系相配套,是难以保障网络系统安全的。必须制定一系列安全管理制度,对安全技术和安全设施进行管理。实现安全管理必须遵循可操作、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。
2004年珠海学院校园网络建立后,我们形成了初步的安全管理制度,但在运行过程中,发现存在有很多的问题。校园网络建立初期,设立网管负责全校的校园网络管理、设立了系统管理员负责全校的应用服务器管理,但实际上虽然人员角色明确,但人员任务并不明确。比如,网管人员管理所有的网络设备,但具体的学生用户上网情况并不是十分了解,对存在的问题不是非常清晰。而作为系统管理员并不十分清楚服务器所安装的具体应用软件要求,往往是由应用管理人员对系统进行维护,但又经常忽视系统的安全性。
针对上述问题,我们制定了以业务为主导的管理模式,将校园网络分为两片,宿舍区网络、教学区网络,分别由专人进行管理,但网络路由统一由教学区管理,以保证网络的稳定、畅通性。而应用系统部分分为公共基础服务、校务管理系统、网络教学系统分别由三个专职人员负责维护、管理,并有一人总负责,检查、督促工作的完成情况。
这种管理方式让具体管理人员对于自身管理系统的问题十分清楚,从而保证了整个网络安全体系的动态性和有效性。
运行效果
经过对校园网络的一系列调整、改造,珠海学院的校园网络运行得到了极大的改善,我们从以下几个方面来评定:
网络基本流量对比
珠海学院学生用INTERNET线路共计有3条,2条200M电信带宽,1条100M网通带宽。三条线路分别连接在3台防火墙上,分别为3.1,3.10,4.1。下列图为对前2台防火墙的INTERNET接口进行的数据取样。
如图所示,每到高峰期时,200M带宽基本上已经全部占满,
用户网络运行稳定
珠海学院网络运行时间为8:00-24:00,其余时间断网,下表即位珠海学院上网用户的信息统计。如表所示,一天之中在中午与晚上分别为两个最高峰的运行值,用户在线率高,网络带宽消耗也相应提升。
网络运行稳定
珠海学院网络分为办公网络(教学楼部分)与学生网络(生活区部分),为了保障系统的安全,这两个部分之间的网络作了相应的策略控制,只能通过服务器进行数据交换。每天,网管对两部分网络进行监控各自的运行状态,以及时了解网络中可能出现的问题。
下图分别描述了位于教学区与生活区部分网络设备的运行状况。(测试工具为SolarWinds 2001 Enhanced Ping)
基本服务运行正常
通过对所有流经网络管理器的数据包进行监控,分析得到网络中各种协议的运行情况及流量状态。该监控囊括了网络上所有协议的定义,分作传统协议、P2P下载、网络电视、即时通信、流媒体、网络电话、网络游戏、股票交易、网络安全这些监控模块,直接体现了网络上各种协议的应用情况。
服务器系统运行稳定
通过对主要服务器的系统状态监控,了解CPU、内存、SWAP等的运行状态及各服务进程的运行状态,确定服务器的是否正常。
3 结语
校园网络作为校园信息系统的基础网络平台,网络的安全、稳定运行是保证各项业务平稳运行的基础保障,必须建立起一套可行的、有机的安全管理体系,根据学校的实际特点进行有效的部署。从北京理工大学珠海学院校园网络安全体系的建立中,我们积累了一些基础,并在此基础上,本文提出了在PDRR基础上,以安全策略为核心,以安全技术为支撑,以安全管理作为落实手段,建立了校园网络安全管理体系。
参考文献
康弗瑞.网络安全体系结构.北京:人民邮电出版社,2005年.15-21.
戴英侠.计算机网络安全.北京:清华大学出版社,2004年.89-131.
曾湘黔.防火墙与网络安全-入侵检测和VPNs.北京:清华大学出版社,2004年.
W.RICHARD STEVENS. TCP/IP详解 卷1:协议 .机械工业出版社,2000年.
W..RICHARD STEVENS.TCP/IP详解 卷2:实现TCP/IP .机械工业出版社,2000年.
W.RICHARD STEVENS. TCP/IP详解卷三:TCP事务协议.机械工业出版社,2000年.
张小斌,严望佳.黑客分析与防范技术.北京:清华大学出版社,2003.82-91.
张仕斌,谭三等.网络安全技术.北京:清华大学出版社,2004.87-121.
段钢.加密与解密(第三版).电子工业出版社,2008.
曹元大,薛静锋,祝烈煌,阎慧.入侵检测技术.人民邮电出版社,2007.
1计算机网络安全技术的发展概述
因此,为解决计算机网络安全防护的问题,国内外诸多相关的研究机构展开了大量的探索与分析,在网络身份认证、数据资源加密、网络防火墙及安全管理等方面展开了深入的研究,推动了入侵检测技术的诞生。入侵技术推广早期,检测方法相对来说比较简单,功能并不完善,同时并不具备较强的适用性。并随着开发研究的不断深入与普及,入侵检测方法也处于不断完善的过程中,许多新型的攻击特征已被总结与归纳,入侵反应措施也趋向完善。在计算机网络安全技术中占据核心地位的安全防护技术便为密码技术,研发至今发展已有20余年,部分高强度的网络密钥管理技术与密码算法也在迅速涌现。开发重点同样也由传统的保密性转移至兼顾保密、可控与真实等方面。并配合用户的身份认证形成了数字化的网络签名技术。当前在保障计算机网络信息传递的安全性方面,密码技术有其重要的影响作用,而加密算法则是密码技术中的关键与核心。不同性质的网络密钥同样有其不同的密钥体制。其主要决定因素在于网络协议的安全性。此外,网络漏洞扫描同样也是计算机网络安全技术发展的产物,由于任何计算机均有其不同的安全漏洞,而选取人工测试的方法耗时较长,且效率较低、准确度不高,而网络漏洞扫描技术则能够实现漏洞扫描的全自动操作,同时预控安全危险,保护整个计算机系统网络,是安全防护系统中不可或缺的重要部分。
2防火墙技术与其系统构建措施分析
2.1防火墙技术的功能及其分类防火墙主要是计算机防范措施的总括,它能够隔离内外部网络,采取限制网络互访的方式达到保护内部网路的目的,是十分高效的网络安全防护措施。它能够隔绝计算机安全与风险区域的网络连接,同时能够对适时网络通信量进行监测,有效制止恶意网络资源的入侵与进攻,能够自动过滤非法用户与不安全的网络信息,隔离入侵者与防御设施,限制访问点权限,防止资源滥用。防火墙同样有其不同的类别,按照软件形式可将其划分为硬件防火墙与软件防火墙,而按照技术类型则可将其分为包过滤型防火墙与应用型防火墙。此外,按照结构类型、部署部位、使用性能同样也将其分为不同类型的防火墙。2.2防火墙的构建及其防护措施的制定网络防火墙的构建仅需遵守简单的六个步骤,即规划与制定安全计划与协议、建立网络安全体系、制作网络规则程序、落实网络规则集、调整控制准备、完善审计处理。当前较为成熟的防火墙体系架构为X86架构,将PCI与CPU总线作为通用接口,具备较优的可拓展性与灵活性,是大型企业防火墙开发的主要体系架构之一。而对于中小型企业来说,NP型架构的防火墙则为防护网络侵袭的最优选择。采取与之相匹配的软件开发系统,有其强大的网络编程能力。而对于对网络防护要求十分高的企业、单位或个人,则可采用ASIC架构的防火墙手段,它不仅具备强大的数据处理能力,同时有其独具优势的防火墙性能。网络防火墙安全措施则主要是由检测、防护及响应三个部分构成。在整个防火墙系统中,防御属于一级防护措施,而检测则是确立入侵的主要手段,响应则是做出系统反馈的控制要素。当前实现网络入侵检测与防火墙系统之间的互动一般有两种方案。第一,将网络入侵检测系统嵌入防火墙中。第二,则是通过开发网络接口的方式实现两者之间的互动。同样按照原始固定网络协议来进行信息互通,并实现网络安全事件的传输处理。一般第二种方式应用较为广泛,它具备较强的灵活性,同时不会影响两者的防护性能。在网络安全防护体系中,通过将入侵检测与防火墙技术相结合,能够有效提高检测速度,提高系统的适应能力与灵活性,为网络的有效防护奠定了良好的基础,大大提升了计算机系统的防御能力,保障了系统的安全性。
3结束语
综上所述,在网络技术迅猛发展的背景下,要保障信息数据的安全性,保障网络传输的稳定性,充分发挥其正面作用,必须以构建网络防火墙为重点,并配合数据加密、身份认证等安全措施,提高网络系统的抵御能力,防止恶意入侵,并提升网络系统的安全性,全面保障信息数据存储的稳定性。
作者:刘彪 单位:69230 部队
目前,信息化已经成为我国各类型企业尤其是中小型企业提高竞争力的有效武器。企业越来越依赖网络开展业务交易,进行内部资源共享和日常沟通。但随着开放程度的增加,存储在网络上的数据也开始暴露给外界,成为恶意攻击的目标。
为了确保只有合适的人才能进入网络,了解企业生产、经营的相关数据,使企业在生产经营中免受恶意攻击,建设企业网络安全已成为中小企业信息化建设的重要课题。
对于中小企业用户来说,信息安全将不再是一项IT技术问题,而已被赋予集成协作、管理策略等更丰富的内涵。对于广大中小企业来说,该如何构建适合自己的网络安全保障体系呢?
企业安全环境分析
安全体系的构建是为了解决企业中所存在或可能存在的安全问题。因此在构建安全保障体系之前,我们应首先了解中小企业所面临的安全问题有哪些。由于中小企业网络系统特有的开放性,其所面临的安全问题主要有以下几个方面:
1.外网安全。外网安全问题主要包括黑客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等,这些已成为目前影响最为广泛的安全威胁。
2.内网安全。最新调查显示,在受调查的企业中,60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了企业生产率,消耗了企业网络资源,同时还会引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密。
3.内部网络之间、内外网络之间的连接安全。随着企业的发展壮大,如何在保证信息共享的情况下,防止重要信息的泄漏,已经成为企业必须考虑的问题。
网络可用性分析
网络可用性是指网络信息可被授权实体访问并按需求使用的特性。今天很多企业的经济效益都与网络的连续可用性、完整息相关。随着越来越多的信息以数字化的格式出现,企业面临着如何以相同或者更少的资源管理迅速增长的信息的挑战。
Dos/DDos这样的网络攻击是最常见的破坏网络可用性的攻击方式。通常,企业可通过部署防火墙、负载均衡设备来保证网络可用性的安全。
系统可用性分析
中小企业网络中的主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络外部的非法访问、恶意入侵和破坏。
系统可用性是指一个系统应确保一项服务或者资源总是可以被访问到的。网络可靠性可以增加系统的整体可用性,用户必须考虑到当某些系统部件出错时,如何保障系统的可用性。
我们可以在环境中设置冗余组件和错误恢复机制,这样当某些组件的错误对系统的可靠性产生不良影响时,就可以通过使用系统冗余,让整个系统的服务仍然可用。
数据机密性分析
对于中小企业网络,保密数据的泄密将直接带来企业商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。
从电子数据产生以来,对于数据保护的需求一直没有发生变化:需要防止数据受到无意或者有意的破坏。最近发生的一系列事件使得数据保护和灾难恢复问题成为人们关注的焦点。越来越多的企业意识到,如果他们的数据中心遭受重大损失,那么恢复数据将需要大量的精力和时间。数据保护解决方案是一系列技术和流程的组合。
访问可控性分析
除了保证机密数据的安全,对关键网络、系统和数据的访问,也必须得到有效控制。这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
可以说,访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。在今天,访问控制涉及的技术比较广泛,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
网络可管理性分析
可管理性既是观察网络可用性的一个窗口,也是提供可用性的一个工具。企业可以利用网络管理来确定关键性的资源、流量类型与性能级别。网络管理也可以被用来设定设备故障的类别。它可以提供显示网络状态的复杂报告。企业还可以利用对网络的管理来设定,在硬件性能下降时,系统自动采取应对行动的策略。
因此,企业在构建网络安全系统时应包括审计和日志功能,可以对相关重要操作提供可靠而方便的管理和维护。
链接:UTM更能满足中小企业的网络安全需求
网络安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等功能产品组成的。但由于安全产品来自不同的厂商,没有统一的标准,因此安全产品之间无法进行信息交换,形成许多安全孤岛和安全盲区。而企业用户目前急需的是建立一个规范的安全管理平台,对各种安全产品进行统一管理。
此外,面对各种新形式下的安全问题,传统的安全设备已经显得无能为力,例如针对Windows系统和Oracle/SQL Server等数据库的攻击。这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。基于网络传播的病毒、间谍软件、垃圾邮件给互联网用户造成了巨大的损失,层出不穷的即时消息和P2P应用(例如QQ和BT下载)给企业带来许多安全威胁并大大降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时,已经不能满足客户的安全需求。
于是,UTM产品应运而生,并且正在逐步得到市场的认可。UTM安全、管理方便的特点,是安全设备最大的优势,而这往往也是中小企业对产品的主要需求。
关键词:网络安全;安全管理;安全技术;防火墙;机房
随着计算机网络的逐步普及,计算机的网络安全已成为计算机网络成长路上的焦点,气象局机房计算机网络所存储、传输、处理的信息的重要性较高,可能会受到网络上各种各样不安全因素的侵扰,造成数据丢失、篡改、恶意增加、计算机系统无法正常工作乃至全面瘫痪的后果,严重破坏机房工作,造成经济损失。因此,我们应该重视机房计算机网络安全问题,通过各种计算机网络安全技术,保护在通信网络中传输交换和存储的信息的完整性、机密性和真实性,及早做好防护措施,尽量减少损失。
一、机房计算机网络安全管理
1、物理安全物理安全是保证计算机信息系统中各种设备安全的前提。物理安全是保护计算机网络设备、设施等。避免遭到地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。
(1)场地安全要求气象信息中心机房是气象局业务运行的心脏,对出入的内、外部人员应严格控制,限制非相关人员进入机房。在中心机房的设计上,要考虑减少无关人员进入机房的机会,在整座办公楼中,中心机房最好不要建在比较潮湿的底层和易受侵入的顶层。
(2)防盗与防火机房应采取比其它部门更严密的防盗措施,除加固门窗外,可安装视频监视系统。防火方面,主要措施有安全隔离、安装火灾报警系统、装备专用灭火器、灭火工具及辅助设备如应急灯等。要严格执行机房环境和设备维护的各项规章制度,加强对火灾隐患部位的检查,制定灭火应急计划并对所属人员进行培训。
(3)电源与接地电源是计算机系统正常工作的重要因素。机房内的计算机系统都应接插在具有保护装置的不间断电源设备上,防止电源中断、电压瞬变、冲击等异常状况,避免因电造成的服务器损坏。
2、网络安全管理网络安全管理体系构建是以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,完善安全体系赖以生存的大环境。其目标是确保计算机网络的持续正常运行,并在计算机网络系统运行出现异常现象时能及时响应和排除故障。
(1)建立严格制度。制订网络建设方案、机房管理制度、各类人员职责分工、安全保密规定、口令管理制度、网络安全指南、用户上网使用手册、系统操作规程、应急响应方案、安全防护记录一系列的制度用以保证网络的核心部门高安全、高可靠地运作。
从内到外,层层落实,动态管理,适应新的网络需求,如网络拓扑结构、网络应用以及网络安全技术的不断发展,调整网络的安全管理策略。
(2) 加强网络技术的培训。网络安全是一门综合性的技术,网络管理人员必须不断地学习新的网络知识,掌握新的网络产品的功能,了解网络病毒、密码攻击、分组、IP欺骗、拒绝服务、端口攻击等多样化的攻击手段,才能更好地管理好网络。
(3) 加强用户的安全意识。网络安全最大的威胁是网络用户对网络安全知识的缺乏,必须加强用户的安全意识,引导用户自觉安装防病毒软件,打补丁,自动更新操作系统,对不熟悉的软件不要轻易安装。
所以,安全管理贯穿整个安全防范体系,是安全防范体系的核心,代表了安全防范体系中人的因素。
安全管理更主要的是对安全技术和安全策略的管理。用户的安全意识是信息系统是否安全的决定因素,除了在网络中心部署先进的网络结构和功能强大的安全工具外,从制度上、应用上和技术上加强网络安全管理。构建网络安全防护体系,是现代化机房的必然趋势,图1为一个完整的体系架构。
二、相关网络安全技术
1、 防火墙技术网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,究竟应该在哪些地方部署防火墙是一个很重要的问题。
首先,应该安装防火墙的位置是内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果内部网络规模较大,并且设置有虚拟局域网,则应该在防火墙之下设置网关级防毒。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。通常,防火墙的安全性问题对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2、人侵检测系统采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在人侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在外联网络中采用人侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
1、网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2、现有网络安全技术
计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
问题类型问题点问题描述
协议设计安全问题被忽视制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误协议设计错误,导致系统服务容易失效或招受攻击。
软件设计设计错误协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作操作失误操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护默认值不安全软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统软件和操作系统的各种补丁程序没有及时修复。
内部安全问题对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。
3、现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:
一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;
二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;
三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;
四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。
4发展趋势:
中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
4.1、现阶段网络安全技术的局限性
谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。
任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
4.2、技术发展趋势分析
.防火墙技术发展趋势
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
UTM的功能见图1.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
二网络安全面临的主要问题
1.网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全措施加以防范,完全处于被动挨打的位置。
2.组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐患,从而失去了防御攻击的先机。
3.组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击者以可乘之机。
4.组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5.网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络,不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。
三网络安全的解决办法
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
1.安全需求分析"知已知彼,百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。
2.安全风险管理安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。
3.制定安全策略根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4.定期安全审核安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。
5.外部支持计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。
6.计算机网络安全管理安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。
论文摘要:电子商务是基于网络盼新兴商务模式,有效的网络信息安全保障是电子商务健康发展的前提。本文着重分析了电子商务活动申存在的网络信息安全问题,提出保障电子商务信息安全的技术对策、管理策略和构建网络安全体系结构等措施,促进我国电子商务可持续发展。
随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网购物、商户之间的网上交易和在线电子支付以及各种商务活动和相关的综合眼务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推广,然而由于互联网的开放性,网络安全问题日益成为制约电予商务发展的一个关键性问题。
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全性的含义主要是信息的完整性、可用性、保密和可靠。因此电商务活动中的信息安全问题丰要体现在以下两个方面:
1 网络信息安全方面
(1)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电予商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2.电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二 电子商务中的网络信息安全对策
1 电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信皂的完整和提供信包发送者身份的认证,应用数字签名可在电子商务中安全、方便地实现在线支付,而数据传输的安全性、完整,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。
(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接入控制和审查跟踪,是一一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和Intemet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两种。相应地,对数据加密的技术分为对称加密和非对称加密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介入,主要做好硬件系统日常管理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒入侵信息等工作。此外,还可将刚络系统中易感染病毒的文什属性、权限加以限制,断绝病毒入侵的渠道,从而达到预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应引对信息安全至少提供三个层而的安全保护措施:一是数据存操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以上保护措施可为系统数据安全提供双保险。
三 电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠眭和为系统提供基础性作用的安全机制。2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。4.电商务网络安全的立法保障。结合我阁实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。
【关键词】网络;数据;安全
2012年开始,某企业启动了企业网络安全优化工程。目的是为了实现在企业系统内,进行一体化管理,实现各分支网络之间互联互通。项目重点是建设好综合数据网络,实现所属单位局域网及厂、站信息传输通道全面接入;形成该企业综合业务处理广域网络。同时还将进一步建设专门的调度数据网络,实现“专网专用”,从而确保生产安全有序的开展。该企业生产、办公等各个领域当中,无论是企业内部管理还是各级机构间的远程信息交互,都将建立在网络基础之上,而通过网络进行交互的信息范围也涵盖了包括生产调度数据、财务人事数据、办公管理数据等在内的诸多方面,在这样的前提下,进一步完善企业网络架构,全局性和系统性地构建网络安全体系,使其为企业发展和信息化提供有力支持,已成为当前需要开展的首要工作之一。
1.网络安全技术架构策略
网络安全建设是一项系统工程,该企业网络安全体系建设按照“统一规划、统筹安排、统一标准、相互配套”的原则组织实施,采用先进的“平台化”建设思想、模块化安全隔离技术,避免重复投入、重复建设,充分考虑整体和局部的关系,坚持近期目标与远期目标相结合。在该企业广域网络架构建设中,为了实现可管理的、可靠的、高性能网络,采用层次化的方法,将网络分为核心层、分布层和接入层3个层次,这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下,3个层次的网络设备各司其职又相互协同工作,从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。
2.局域网络标准化
(1)中心交换区域
局域网的中心交换区域负责网络核心层的高性能交换和传输功能,提供各项数据业务的交换,同时负责连接服务器区域、网络管理区域、楼层区域、广域网路由器和防火墙设备等,此外还要提供分布层的统一控制策略功能。具体到安全防护层面,可通过部署防火墙模块、高性能网络分析模块、入侵探测系统模块实现安全加固。
(2)核心数据服务器区域
因为数据大集中和存储中心已经势在必行,可建设专门的核心数据区域,并采用2立的具有安全控制能力的局域网交换机,通过千兆双链路和服务器群连接。在安全防护方面,可在通过防火墙模块实现不同等级安全区域划分的同时,部署DDOS攻击检测模块和保护模块,以保障关键业务系统和服务器的安全不受攻击。
(3)楼层区域
楼层交换区域的交换机既做接入层又做分布层,将直接连接用户终端设备,如PC机等,因此设备需要具有能够实现VLAN的合理划分和基本的VLAN隔离。
(4)合作伙伴和外包区域
提供合作伙伴的开发测试环境、与内部数据中心的安全连接及与Internet区域的连接通路。
(5)外联网区域
企业营销系统需要与银行等外联网连接,建议部署银行外联汇接交换机,通过2条千兆链路分别连接到核心交换机。并通过防火墙模块划分外联系统安全区域。
(6)网络和安全管理区域
为了对整个网络进行更加安全可靠的管理,可使用独立的安全区域来集中管理,通过防火墙或交换机模块来保护该区域,并赋予较高的安全级别,在边界进行严格安全控制。
3.统一互联网出口
对于该企业的广域网络,统一互联网络出口,减少企业广域网络与互联网络接口,能够有效减少来自外网的安全威胁,对统一出口接点的安全防护加固,能够集中实施安全策略。面对企业各个分支机构局域网络都与互联网络连接的局面,将会给企业广域网络安全带来更大的威胁。由于综合业务数据网络作为相对独立的一个大型企业网络,设置如此众多的互联网出口,一方面不利于互联网出口的安全管理,增加了安全威胁的几率;另一方面也势必增加互联网出口的租用费用,提高了运营成本。
由于该企业综合数据网的骨干带宽是622M,在综合数据网络上利用MPLS VPN开出一个“互联网VPN”,使各分支的互联网访问都通过这个VPN通道建立链接。通过统一互联网络出口,强化互联网接入区域安全控制,可防御来自Internet的安全威胁,DMZ区的安全防护得到进一步加强;通过提供安全可靠的VPN远程接入,互联网出口的负载均衡策略得到加强,对不同业务和不同用户组的访问服务策略控制,有效控制P2P等非工作流量对有限带宽的无限占用,能够对互联网访问的NAT记录进行保存和查询。
4.三层四区规划
提出“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略,并提出了“三层四区”安全防护体系的总体框架。基于这一设计规范,并结合该企业网络的实际情况,未来公司的网络区域可以划分为企业生产系统和企业管理信息系统,其中企业生产系统包括I区和II区的业务;企业管理信息系统包括III区和IV区的业务。I区到IV区的安全级别逐级降低,I区最高,IV区最低。
在上述区域划分的基础上,可在横向和纵向上采用下列技术方式实现不同安全区域间的隔离。
(1)纵向隔离
在未来调度数据网建成后,将安全区I和安全区II运行在独立的调度数据网上,安全区III和安全区IV运行在目前的综合数据网上,达到2网完全分开,实现物理隔离。在调度数据网中,采用MPLS VPN将安全区I和安全区II的连接分别分隔为实时子网和非实时子网,在综合数据网中,则采用MPLS VPN将互联网连接和安全区III及安全区IV的连接分开,分为管理信息子网和互联网子网。
(2)横向隔离
考虑到I区和II区对安全性的要求极高,对于I区和II区进行重点防护,采用物理隔离装置与其他区域隔离;而在I区和II区之间可采用防火墙隔离,配合分布式威胁防御机制,防范网络威胁;考虑到III区和IV区之间频繁的数据交换需求,III区和IV区之间视情况采用交换机防火墙模块进行隔离,并在区域内部署IDS等安全监控设备,在骨干网上不再分成2个不同的VPN;由于外部的威胁主要来自于Intern过出口,因此可在全省Internet出口集中的基础上,统一设置安全防护策略,通过防火墙与III区、IV区之间进行隔离。
5.综合数据网安全防护
综合业务数据网,主要承载了0A、95598、营销、财务等应用系统,同时也在进行SCADA/EMS等调度业务的接入试点。
采用网络安全监控响应中心为核心的分布式威胁防御技术,对全网的病毒攻击和病毒传播进行主动防护,通过关联网络和安全设备配置信息、NetFlow、应用日志和安全事件,从中心的控制台实时发现、跟踪、分析、防御、报告和存储整个企业网络中的安全事件和攻击。同时分布式威胁防御手段不但用于对综合数据骨干网进行安全防护,而且通过建立2级安全监控响应中心,对包括综合数据网、企业本部局域网、分支机构局域网在内的全网设备进行监控。
【关键词】计算机技术;通信行业;应用
进入21世纪以来,通信技术的数字化以及计算机技术的网络化,都使得两个技术之间在多层次、多领域应用上呈现出相互渗透与融合的趋势,并促使了整个人类社会的通信方式出现了巨大的变革。一方面,计算机所具有的强大的数据处理能力、传输能力与存储能力,使得其成为了公共通信系统中的核心设备;另一方面,基于计算机网络所构筑的现代通信网络,也使得各种通信数据之间的传递与共享变得空前的便捷,使通信双方即使相隔万里,也能方便的利用电话、语音、视频等方式进行通话,打破了传统通信业务(如电报、信件等)中时间与内容的限制。
1计算机技术在通信行业中的应用特点
1.1信息传输的抗干扰性强
以计算机数据编码技术为核心的数字通信,其信号传输采用的是数字脉冲信号,可以有效保证数据接收端不会因外界信号干扰、噪声干扰,出现错判行为的发生,保证了数据信息的准确传递与接收,因此具备了很强的抗干扰性,可实现高质量、远距离的通信。
1.2可满足各类通信业务
基于计算机强大的信息处理能力,通信系统中的各类数据信息,如电话信息、图像信息、电报信息、视频信息等,均被统一转化为二进制的数字脉冲信号进行传输,然后再由接收端的计算机系统进行数据的转换处理与输出,这都使得现代化的通信系统能满足更多用户对不同类型通信业务的需求。
1.3提高通信业务的保密性
基于计算机技术的信息处理功能,在通信信息的传递过程中,可以对数字脉冲信号进行相应的处理,如信息存储、信息加密、信息转发、信息纠错等功能。尤其是现代通信业务中,用户对通信的保密性普遍有着较高的要求。而基于计算机技术的应用,可以确保通信数据实现复杂、长周期的信号加密,从而使得通信数据不容易被窃取或破坏,保证了通信业务的高度保密性。
2计算机技术在通信行业中的应用策略
2.1采用先进设备,提高通信数据的交换与处理效率
近年来,计算机技术已被广泛应用于通信领域的各个方面,例如在数字电话、数字传真和数字电视等通信业务中,各种计算机终端设备都大量增加。而这些数字通信业务,都需要大量的信息交换与处理,迫切需要采用更加先进的计算机设备进行通信数据的处理和传输,以提高数据处理的效率。而计算机先进设备的应用,关键是做好大型程控交换机的选择与应用,这是因为:2.1.1为满足大量通信数据的信息交换的需求通信数据的信息交换是由计算机控制的,这类终端计算机设备也普遍被称为程序控制交换机,它是计算机通过软件控制着交换机的硬件,使设备接通两个用户之间的链路,以实现两用户间的通信数据传输。在大型程控交换机中,计算机除了接通链路外,还要完成很多其他的丁作,如计费、统计(统计网络运行参数、流量等多项运行数据)、诊断(如硬件或软件发生故障需及时诊断原因并报告给维护台)和执行维护操作台发出的各种指令等。可以说,一台大型程控交换机,就是大量硬件系统和软件系统的复合计算机系统。2.1.2因为大型程控交换机普遍包含了多个数据库以移动通信系统中的归属位置寄存器(HLR)为例,其实际上就是实时数据库,通常要求一个HLR可容纳30万~300万个用户的数据,而每个用户的数据量约有2KB,其中包括号码、资费、业务授权、漫游地址等数据,而且其中的部分数据是不断更新的,如用户的漫游地址数据,就是通过7号信令网不断将HLR中各用户的数据进行改写。因此,要求通信系统中选择的大型程控交换机,应包含多个数据库,以更好的满足通信业务对数据信息存储、处理与更新的要求。2.1.3因为程控交换机对操作系统有着较高的要求大型程控交换机,普遍要求操作系统应具有实时、快速的特点,这是因为通信系统设计规范中要求程控交换机从用户拨完电话号码到接通有最长时间限制,如果测试超过该时间限制,则产品不合格,不能入网。因此,这都需要选择与应用技术先进、成熟的操作系统,以满足大型程控交换机的需求。
2.2构建安全体系,保障通信网络的安全
各类通信业务的运营服务,是依托于互联网所开展的。尽管近年来我国互联网技术已较为发达,但病毒、木马程序、黑客攻击对系统安全的威胁仍然存在。一旦通信系统出现故障或漏洞,都可能导致通信信息被窃取,或者用户的敏感信息被泄露。因此,还必须积极应用多种计算机安全技术,构建网络安全体系,以切实保障通信网络的安全。2.2.1采用多种安全监控与隔离技术如采用防火墙技术以实现通信网络内网、外网之间的安全隔离;采用病毒防护技术以避免通信数据受到人为破坏或修改;采用入侵检测技术,以加强对系统漏洞的检测,加强对入侵危险的及时发现与报告;采用虚拟网络技术,使通信网络能被分割成各子网段,以实现访问控制,并有效避免受到外界攻击。2.2.2采用数据加密与识别技术通信网络安全问题出现的根本原因,是源于各种外来入侵病毒、技术的威胁。因此,为保障通信系统的运营安全,还应采用多种数据加密与识别技术,并与安全监控技术相配合,以构建出全面、可行的安全架构方案。例如,通过综合采用数据包标识技术、数据存储安全技术、数据加密技术等等,从而为通信网络的运营构建出一个全方位的可信、可控的安全防护体系。
3结论
现代化的通信业务,不仅是计算机技术与通信技术的有机结合,也是在通信标准协议的框架下,对各类信息传输系统、信息处理系统的有机结合。笔者提出了采用先进设备、构建安全体系这两种策略,以期能更好的促进计算机技术在我国通信行业中的更好应用,在提高通信数据交换与处理效率的同时,也能切实保障数据传输的安全。
参考文献
[1]潘凌丹.新形势下网络技术在电力信息通信中的应用[J].通信信息,2014(07):259-260.
[2]郝兴伟.计算机网络技术及应用[M].北京:高等教育出版社,2005:12-18.
关键词:事业单位;应用平台;构建
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)09-0089-02
Abstract: With the advancement of science and technology, the computer network has been popular and promotion, to carry out the work are inseparable from the network. Institutions use of computer networks, can better management, thus timely and accurate access to the information they need, has become an important task to build institutions of its application platform. Therefore, this paper analyzes the necessity of building a network platform for institutions, proposed several measures to build a network platform based on these reasons.
Key words: institution; application; platform
在事业单位构建计算机应用平台就是构建一个帮助办公的电子平台。这意味着事业单位使用现代信息技术进行他们的管理和服务工作,对单位的结构和职能进行调整,优化工作流程,突破时间及空间等条件的限制,让事业单位的运行流程变得简洁,便利,高效率以及公正。作为一个不盈利的服务型单位,充分利用网络的便利性为公众履行服务的职能,传达更多的信息,提高内部管理的效率和安全性。
1 建设计算机网络平台的必要性
1.1 传达信息的重要条件
事业单位是有着一定的服务职能的单位,参加了国家的公共服务工作,单位需要进行的信息传播活动较为频繁。虽然事业单位不需要考虑经济效益,却要注意其工作效率。在信息化的社会,事业单位的信息传达工作离不开一个可靠高效的网络平台。在活动的开展过程中,需要的信息较多也较为琐碎,种类也十分丰富,同样的,需要传达给公众的信息也较为琐碎且种类较多。因此建设事业单位的计算机网络平台十分必要,有了这个平台,事业单位的工作人员可以及时地获得信息,了解公众的情况和具体需求,然后可以根据这些信息 ,采取相应的措施来解决问题[1]。
1.2 进行创新的重要条件
事业单位和社会的联系相当紧密,应当随着社会的发展而发展。当今社会 ,科学技术的发展速度十分快,技术在不断地发生更替。创新对于事业单位的意义重大,关系着事业单位的生存发展,离开了创新,事业单位就不能有进步。既然要创新 ,首先就必须知道措施到底新不新 ,网络平台就能为事业单位提供了足够准确的信息。 网络有着互通性,构建一个单位的网络平台,将它与世界的网络联系起来,就能得到最全面的情报。
1.3 开拓视野的重要条件
在开展一些没有开展的活动时,事业单位必须借鉴其他单位的先进经验和共同教训。在某些活动的内容设计中 ,事业单位需要对某些内容的进行全面的考查。在以前 ,经常出现的情况是事业单位指派大批人员 ,规模大 ,四处奔波 ,损失大量的人力和财力,进行实地的调查和研究。但是在有网络平台 ,有多媒体技术的情况下 ,事业单位只需派出少量的人员 ,设立工作站在要经过调查的场地上,在一段时间后把将现场情况发送给单位 ,也一样能够达到派人进行实地考察的成效 ,还同时完好地存储了这些具体资料 ,为日后使用做好准备,有事半功倍的效果[2]。
2 如何构建网络应用平台
2.1 建立自动化平台
计算机网络应用平台首先要关注的部分就是办公的自动化,通过这个平台,各部门要能够实现文档的传送,信息的交流使用,利用视频开会等要求。这就要求紧密结合事业单位的工作内容,利用先进的网络技术,建立一个便利,可靠,实用的办公平台。这个平台要包括进事业单位日常的相关工作操作,设置针对性的指令,为单位的工作提供极高的便捷性。还要有自动处理工作的程序,比如完成指定档案的传送,完成对公众进行通知的发送,进行相似信息的归纳整理等等之类,用现代化的工作条件来实现自动化的办公,从而达到提高工作效率的目标。
2.2 建设安全的网络平台
事业单位的信息要求一定的保密性,因此,建设网络平台还必须达到一定的的信息安全标准,要建设起一个有完善的安全保障体系的网络平台。首先对于这个安全体系进行全面的分析,做好针对本事业单位情况的安全规划,再设置防火墙,搭建信息过滤系统;其次要正确对待发展与安全两者的联系,把握好成本和收入的平衡,在注意好网络平台的安全的同时,保证该平台的开放性,给予事业单位足够的发展空间[3]。
2.3 引入活动管理体系
要在网络平台中重点引入管理的内容。事业单位的参与人员较多 ,单位开展活动的分布面广,地点较多 ,活动的规模大小不一 ,进行活动的时间长短不确定。因为事业单位开展活动具有多样性和随机的特点,进行管理工作时就相对繁杂。有了网络平台 ,事业单位能够对所需资料挨个地进行记录、分析,然后保存在单位内部平台内。再者,管理人员通过网络平台进行信息的提取和加工 ,让需要的数据变得更加简单易懂,有利于指导接下来的工作和帮助活动的开展。对于人员的管理,也会更有条理和计划,每个步骤该由哪个工作人员来执行变得十分简单明了,从而保证活动的顺利进行。
2.4 建设长效的网络平台
事业单位要建设一个实用的网络平台,这个实用不仅指的是可操作性,还指网络平台在很长的时间内都能满足事业单位的需要。在选用相关的设备时,要在条件允许下,尽量选择先进的稳定的设备,不要选择过时已久的设备。选择搭建的技术时,要采用最先进的最贴合实际技术,扩宽网络平台的应用范围。还要做好网络平台的监督和修复工作,延长网络系统的使用期限。及时对网络平台中的信息数据进行补充和修改,保持网络平台的先进性以及发展空间,为之后的运行做好充足的准备,从而适应新的工作需要。
3 结束语
21世纪是一个信息化的时代,判断一个国家的现代化程度的重要标准之一就是信息技术水平的高低。纵观全国各地,推进事业单位的现代办公水平已经成了一个不可避免的趋势搭建简洁高效的网络平台有利于事业单位更好地开展服务工作,提高单位人员的工作效率。事业单位要整合现有网络,构建一个合理高效的计算机网络应用平台,调整单位的组织结构,依靠网络开展各项工作,保证各项活动的顺利进行,从而促进社会文明和谐发展[3]。
参考文献:
[1] 霍红萍, 彭晓光. 网络安全管理平台设计与应用[J]. 信息通信, 2013(6).
摘 要 随着我国的信息科技的迅速发展和在交通行业的广泛应用,对交通事业产生了重大的影响。因此,只有不断推动交通管理的信息化建设,借助和使用现代信息技术,我国交通行业才能适应交通建设、生产和管理等各个环节发展需求,更好服务公众。
关键词 交通管理 信息化 建设
随着我国经济的快速发展,全国很多城市都在加大投入建立相应的管理系统和设施来改善城市的交通状况,以高等科学技术为基础的交通信息化建设对一个地区经济的发展影响越来越大,因此,我们必须加强交通管理的信息化建设,为城市道路基础建设提供更多的信息服务,以全面提升整个交通行业的管理水平。
一、我国交通管理信息化建设的现状分析
我国从上世纪80年代开始进行,交通管理信息化建设已经有十年的发展历程,经历了由无到有、从小到大、从单项业务到关联集成的发展过程,建立起了一套比较完整、高效的体系。从发展状况来看,当前的交通管理信息系统应用规模不断扩大,应用水平不断提高,信息系统正处在从满足基本业务需求到追求深化应用、资源整合和信息共享的过渡转变期,但在过渡转变期内,交通信息管理化建设也存在一些问题:
(一)缺乏对信息化建设的统一认识
错误的把信息化建设简单理解为网络技术的改进,将信息化当作是信息技术部门的工作,与己无关。这些错误认识直接导致了信息系统建设水平处于一般事务处理和简单信息管理的阶段,呈现出信息孤立、资源不能共享、信息化建设综合优势得不到有效发挥的局面。不注重思想与理念的转变,对信息技术过分的依赖,认为高科技无所不能,花巨资构建网络系统,能够解决工作中的所有问题,因而在信息化建设过程中,忽视业务基础和规范化管理工作,把平时工作简单得搬上计算机平台后,不愿在业务基础建设方面多下大力气,最终,影响了交通信息化的建设。
(二)交通管理信息化建设中缺乏对高素质人才队伍的建设
从本质上讲交通管理信息化建设就是信息化人才的培养,人才队伍的建设是交通信息化建设成败的关键。交通管理信息化的实施和推进需要既懂交通管理业务,又熟悉信息技术和管理的复合型人才,目前各级交通管理部门非常缺少这种的人才。从信息化应用的实际看,专业人才缺乏已成为制约我国信息化发展的最重要因素。
(三)交通管理信息化建设中投入资金短缺、比例失调
信息化建没绝不是像建一个网络那么简单,它是一个繁琐的系统工程,投资量大,涉及面广,应用环节多,其研发投入大,周期长,产出低,而目前资金的短缺严重影响了交通管理信息化建设。而且在实践中,交通管理信息化投入结构也很不合理,交通信息化投入主要花有三个部分:硬件费、软件费和培训推广实施费,其合理比例大概是1:2:3。但根据对我国多个省区的调研发现,目前各地用于硬件的投入远远超其它两者,硬件费用占总投入的平均比例的百分之八九十,然而用于软件费和培训推广实施费的投入相对偏低。
(四)信息安全体系建设不健全
信息安全系统是为了保障业务系统安全稳定运行而配套的一个专门系统,它与所支撑的业务系统是紧密相连的,但是又有其自己的独立性。目前,交通管理业务系统建设已经比较完善,但配套信息安全体系建设还是存在缺陷。主要表现:1、系统应用和管理人员安全意识薄弱,不能够适应严峻的信息安全形势。2、安全备份建设滞后,应急反应机制不完备,安全事件得不到有效及时得处理。3、系统应用安全技术措施薄弱,安全隐患明显。四是现有的安全防范措施缺乏系统规划。总体上还没有掌握信息安全防范的主动权。
二、加强我国交通管理信息化建设的应对措施
(一)在交通管理信息化建设过程中要转变观念、提高认识
交通管理的目标是建立现代化的管理,而对现代信息运用则是现代化的重要体现,管理观念的科学化则是现代化的重要基础、只有管理观念的科学化才能有效促进管理手段的改进.在交通管理信息化建设过程中要保持先进性与实用性一致的原则,则需要做到信息技术不能脱离客观实际去片面的追求高精尖或系统的大而全等,应结合实际情况.使之与其相匹配。
(二)打造一支高素质的人才队伍,为交通信息化建设提供人才保证
要加大交通管理信息化建设的专门人才的培养力度,特别注意培养既懂运输管理业务、又懂信息技术的复合型人才。同时,有计划地通过各种渠道,引进―批高水平的信息技术专门人才,井建立相应的人才激励考核机制。总之,加强信息技术人才队伍建设,是交通管理信息化建设的一项长期任务。
(三)构建信息安全体系,加强信息安全风险管理
目前,信息化正在深入渗透融合到交通管理业务的各个环节.错误得操作或恶意得攻击都会使系统瘫痪,业务得不到及时得办理。信息安全体系建设是一个循序渐进、逐渐改善的复杂过程和庞大的系统工程,目前交管信息系统的安全管理处于规范建设的起步阶段,今后我国还要尽快出台有关法律法规,从整体上对信息安全体系的内容进行明确规定,有计划得分阶段实施,以提高防范信息安全风险的水平,有效识别并防范安全威胁和风险,确保信息系统安全稳定运行,为交通管理信息业务的持续发展提供保障。
三、河南省的高速公路管理和信息建设
河南境内主要高速公路通车总里程4841公里,全省18个省辖市中有17个省辖市形成了高速公路的十字交叉,全省109个县(市)中有99个通达高速公路,通达率92%,其中45个县有两条高速通过。全省高速公路已基本形成了以郑州为中心的1个半小时中原城市群经济圈,3小时可达全省任何一个省辖市,6小时可达周边6省任何一个省会城市。目前全省高速公路在建里程596公里,到年底在建里程达到1000公里以上,到2010年通车总里程突破5000公里。河南省高速公路利用有限的资源迅速在中原崛起。
河南省高速公路信息管理中心是包括:联网收费、全省监控和通信业务的信息处理和数据管理的中心,是省公路信息网的最重要的一部分,其中收费业务的结算涉及到省、路公司的经营收支,高速公路内部局域网的数据传输、对外与INTERNET网络的相连、与银行系统的连接,正因为这样,因此这些均要求网络安全、可靠,同时对本中心的网络系统建设的可靠性、实用性、可用性尤其是对网络安全也提出了很高的要求。
河南省高速公路信息管理中心网络拓扑采用星型放射结构。系统具有高可靠性,省中心将省收费中心、一区拆账中心、监控中心统一管理,这样也很好的避免了资源的浪费,最大程度的有效合理的利用设备,网络交换机和路由器采用合用方式高速公路信息网络的安全性取决于出色的系统集成、网络安全和网管技术,强大的安全服务力量和卓有成效的安全管理制度,但其中安全管理是最关键的。河南省信息管理中心和联网收费网络,在网络安全方面做了细致工作。目前,网络中存在的病毒已经不计其数,并且日有更新,由于工作需要,内部网络必然与外网连接,病毒也随时准备毁坏数据、致瘫网络,影响正常的网络运行是其次,也可能给企业带来巨大的损失。也因此我们要及时的备份用户的信息,快速及时的更新病毒库,系统升级,更全面的保护我省的交通信息管理网络。
合理有效的管理是信息技术网络安全十分重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
在公路信息与管理中更要建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案。因此,最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了当前交通信息管理中的首要任务。一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络的安全建设是交通信息建设过程中重要的一环。
四、结语
现代交通管理的信息化建设虽然有了很大的进步,达到了前所未的高度,但在建设过程中由于受信息化意识、软硬件条件、人员素质等多方面因素制约 导致在信息化建设过程中出现了一系列问题并严重阻碍了交通管理信息化建设的发展,因此,在交通管理信息化建设的过程中,我们应结合实际情况制定相应措施加以解决。
参考文献:
[1]林达铭.信息化是实现交通新的跨越式发展的必由之路.交通世界.2004(7).
