时间:2023-09-18 17:34:16
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全学习路径,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:计算机网络;安全问题;防范措施
随着计算机网络的普及,计算机网络极大程度地提高了信息服务的灵活性,而且对推动社会信息化进程也起了巨大的作用,但同时计算机网络也带来了众多的网络安全隐患,尤其是近几年科学技术的快速发展,计算机技术的更新,计算机病毒、黑客的入侵等问题不仅严重影响了网络的稳定运行,而且也对用户造成了极大的经济损失,所以加强研究分析计算机网络目前存在的安全问题,并有针对性地提出解决措施是目前亟待解决的问题。
一、目前计算机网络安全存在的问题
1.利用IP源路径实现破坏
由于IP源路径的不确定性,并且在源IP没有真实性的验证的情况下,使得计算机网路中的用户在向其他用户发送信息时,一些不法分子通过修改IP路径,将发送信息发送至非法分子指定的IP目标中,以此来非法获取一些用户信息。目前互联网采用端与端的设计形式,即使源端点利用伪造源IP地址发起网络攻击,中间网络也不能控制攻击流,所以这就很容易造成一些非法人员进行伪造源地址向目标地址发送大量的恶意攻击报文,从而导致目标系统无法稳定运行。
2.病毒侵入造成的计算机网络安全问题
计算机病毒指的是一些非法用户和程序员通过专业技术将计算机程序中植入一些代码或者是指令,以此来破坏和攻击计算机原有的一些数据、功能以及程序,使计算机不能正常运行。同时,计算机病毒还具有自我复制和自我繁殖的功能。一些加壳病毒还能隐藏到计算机程序当中来逃脱杀毒软件的搜索。所以,病毒是计算机网络安全的重大隐患之一。而黑客能够进入到计算机网络的原因是因为他们使用安全的、先进的工具,它们若是发现计算机没有防御能力便乘虚而入。所以,计算机安全工具的安装对病毒的侵入防御很重要。
3.网络软件自身的漏洞造成计算机网络安全问题
网络软件自身的缺陷和漏洞也是网络安全运行的最大隐患之一,这些漏洞和缺陷同时也是黑客攻击的首选目标。从以往发生的黑客攻击网络内部的事件我们不难看出,多数事件均是因为其自身安全措施不当引发。黑客通过利用网络软件漏洞,把恶意代码下载并安装到用户的机器上,使黑客对被黑机器实施远程控制,使受危害的机器成为botnet(僵尸网络)中的一个部分,所以我们对网络软件自身的缺陷和漏洞时要引起足够的重视。
二、计算机网络安全防范措施
1.实施计算机网络安全法律、法规
网络安全法律、法规作为网络信息防护的重要防线之一,如果庞大的网络系统没有统一的法律、法规进行保障,同样得不到有效的运行,网络也便成为无序的网络,也便没有网络之说。目前国家相关权力机关针对网路信息安全问题专门制订了一系列相关的法律、法规,以此来确保网络正常安全运行。
2.采用防火墙技术进行控制病毒入侵
防火墙技术是一种保护计算机网络安全的一种技术性措施,它是用来阻止非法用户访问网络的屏障。它负责的是两个网络之间执行控制策略的系统,对外部没有经过允许的用户限制访问,并且通过建立网络通信监控系统来负责隔离外部网络和内部网络,阻挡外部网络的侵入,并且防止没有经过授权用户的恶意攻击。防火墙主要的作用如下:首先能够保护脆弱系统服务,控制一些不法人员对系统的访问,然后是增强保密性,阻止不法人员攻击网络系统中的有用信息,防火墙还起到集中安全管理的作用,防火墙的安全规则可以运用到整个内部网络系统中,不需要对每台计算机都设置安全策略。此外,防火墙还可以记录网络利用数据及非法使用数据。在一些非法人员进入系统时可以根据防火墙判断和探测可能的攻击。
3.提高计算机网络软件设计以及防护人员的技术水平和素质
随着科学技术的快速发展,计算机网络技术更新换代的步伐加快。作为计算机网络软件设计人员,只有不断提高设计水平,不断加强学习新的科学技术和技术知识,提高自身的综合素质,才能提高计算机网络软件的安全性,并且计算机网络防护人员也应该加强对计算机网络专业防护人员的培训,保证计算机网络安全防护工作具有一个完善安全的防护群体,这样才能减少黑客以及不法分子的入侵,才能保证网络的安全。除此之外,国家也应该针对计算机网络安全存在的问题以及可能会出现的问题,及时进行研究,探讨出最新的解决措施和预防措施,从而可以有效避免黑客以及计算机病毒等对计算机网络造成威胁,降低计算机网络安全给人们造成的经济损失。
随着社会的进步,科学技术和计算机网络技术的快速发展,计算机网络给人们的生活和工作带来极大的便捷,但是计算机网络安全问题也给用户带来严重的影响,因此只有不断提高计算机网络用户的安全意识,不断提高计算机网络安全防范技术,提高计算机网络软件设计人员的技术水平和综合素质,才能消除计算机网路安全问题,从而建立计算机网络安全体系,促进和谐社会的发展。
参考文献:
[1]千一男.关于计算机网络安全风险的分析与防范对策的研究[J].电脑知识与技术,2011.
[2]洪彦飞.办公计算机网络安全现状及防范对策浅析[J].科学时代:上半月,2010.
随着社会的发展进步,我国科学技术水平在不断提高,计算机信息技术得到了飞速的发展进步并且在很多领域得到广泛的应用,以高校网络安全教育为例,高校网络由于使用人数过多,极容易受到网络黑客的攻击、病毒的侵袭等,需要计算机信息技术的应用来保证高校网络的安全性。本文主要分析我国高校网络安全中计算机信息技术的应用现状、应用意义以及具体应用路径等等。
【关键词】
计算机信息技术;高校网络安全;应用路径
一、引言
近年来,网络计算机技术在人们生活中占有越来越大的比例,人们的日常生活、工作、学习都离不开网络信息技术的支持,计算机信息技术得到越来越广泛的应用。计算机信息技术这一学科涉及到网络通信技术、计算机技术、网络安全技术等等多种技术。随着时代的发展,我国高校教学活动对网络的利用越来越频繁,网络成为高校教育的重要手段,高校网络有着一定的开放性,这就为高校网络安全带来一定的危险,我们要重视提高高校网络的安全性。计算机信息技术在网络安全性的维护中有着重要的作用,要想真正保证现代高校网络的安全性,就应该深层次探究计算机信息技术,这样才能符合当今社会的需求,促进高校做好网络安全防范措施,从而推动整个社会的信息化进程。
二、高校网络安全现状
目前,我国各高校对网络技术的使用越来越多,高校网络作为高校教育的重要手段,应该保护其安全性。随着高校网络系统的不断发展和应用范围不断拓宽,高校网络安全性受到越来越多方面因素的挑战,高校网络安全问题也逐渐成为高校发展中一项重要研究课题。
(一)病毒的侵染。近年来,我国高校网络安全性受到的主要威胁就是病毒的侵染,感染病毒后计算机系统将会受到特别大的影响。病毒主要是以网络下载、文件传输等方式感染计算机系统的,高校网络用户十分多,无法做到对每位用户的浏览记录、文件传输进行监管,一个人在使用计算机的过程中出现问题,就可能造成整个高校网络受到病毒的感染,影响高校网络资源的运行和相关数据信息的安全性。
(二)黑客的攻击。在高校网络安全影响因素中,黑客的攻击是最有技术含量的一种形式,黑客攻击高校网络往往都带有明确的目的,他们不仅仅是为了破坏高校网络系统中的教学资源,更可能是为了获得高校网络系统中的资源。由于高校网络系统中有极其丰富的教学资源,还包括学生、教师等许多人的个人隐私信息,这些资源都有着极高的经济价值,因此,高校网络也会经常遭遇黑客的攻击。
(三)网络不良信息的传播。网络在高校教育中的应用既有一定的优点,同时又存在着一定的危险,由于网络可以向学生们传播海量的信息,网络信息良莠不齐,学生可以通过查询网络信息提高自己的知识水平、拓宽自己的知识面,同时也可能从网络信息中学到坏的习惯。海量的网络信息中的不健康内容,将会直接影响到高校学生的身心健康发展。
三、计算机信息技术在高校网络安全中的应用现状
计算机信息技术涉及到信息的产生、传送、管理等多方面工作,它在计算机应用中占有重要的地位,因此其在高校网络安全中的应用也是极其重要的。我国高校网络安全中对计算机信息技术的应用还不够广泛,我们应该加强对此的重视程度,更深层次探究计算机网络技术,并且将其真正意义上落实于高校网络安全中。计算机信息技术在高校网络安全中的应用可以很好地抵制不良信息的攻击。但是,计算机信息技术在高校网络安全中的应用工作也有一定的难度,因为高校网络安全的影响因素是多方面的,而且有着多样性和不确定性,威胁高校网络安全性的因素也很难辨别出来,这就使得计算机信息技术无从入手。此外,威胁到高校网络安全性的因素也可能对计算机技术造成一定的影响,这就使得计算机信息技术的网络安全维护工作效果得不到保证。
四、计算机信息技术在高校网络安全中的应用
(一)维护高校网络安全的具体策略。由于计算机信息技术在维护高校网络安全工作中占有重要的地位,因此我们要加强对此的重视程度。计算机信息技术在高校网络安全中的应用可以从以下具体路径做起。1.提高安全防范意识。要想维护高校的网络安全,首先应从高校网络工作人员做起,提高相关工作人员的安全防范意识。让高校网络工作人员全面认识并了解计算机信息技术在网络安全维护中的重要性,并且从思想上树立对不良信息的抵制和防范意识。由于高校网络安全维护工作是一项有着繁杂工作量的工程,计算机信息技术的应用对工作人员来说很大程度上降低了工作量。总体来说,要想真正做到维护高校网络的安全,相关工作人员就必须顺应时代的发展需求,深层次探究高校网络安全的影响因素,并且做好相关防范措施,建立健全计算机信息技术管理体制,从而推动高校网络健康、安全发展。2.加大对计算机信息技术的管理力度。计算机信息技术在高校网络安全维护中的应用,一是应该建立相关管理体制,在设置制度时,应该综合考虑其完成性等实际状况。二是要加强对计算机信息技术的管理力度,保证计算机信息技术的安全性,才能更好地维护高校网络系统的安全。由于计算机信息技术充满了现代化因素,其在高校网络安全中的应用也有多种不良因素。
(二)计算机信息技术在高校网络安全中的具体应用。1.防火墙技术。防火墙技术可以将网络分为信任网络和非信任网络,这是高校网络安全维护中最早应用的计算机信息技术,它通过分辨网络来维护高校网络的安全性。对于非信任网络的访问,防火墙技术设置了一定的控制。防火墙往往被设置在高校网络和外界网络的接口处,防止外界网络非法数据的入侵,从而维护高校网络的安全。2.数据加密技术。数据加密技术主要是通过节点加密、链路加密等多种方式来维护高校网络的安全。所谓节点加密就是指在信息节点的地方进行加密工作,保证信息在传输过程中的安全性;链路加密就是指对高校信息传递过程中的接收处进行加密。3.数字签名认证技术。数字签名认证技术也是计算机信息技术在高校网络安全中的主要应用方式,它包括口令认证、数字认证这两种,其中口令认证的操作过程和方法都比较简单;数字认证则是高校信息传递过程通过加密技术确认信息传递者的身份,假如信息传递者的身份没有通过认证,那么高校网络就拒接信息,从而避免高校网络遭遇威胁。除了以上提到的应用方式,计算机信息技术在高校网络安全中的应用还有入侵检测技术、秘钥密码技术、杀毒软件技术等多种,这些技术的应用都是为了更好地维护高校网络安全,促进高校教育工作的顺利进行。
五、结语
网络作为现代高校教育中的重要教学手段,应该受到越来越多人的重视,由于高校网络安全受到很多方面因素的威胁,因此要加强对其安全性的维护。随着现代社会信息化进程的加速,计算机信息技术在高校网络安全维护中的应用越来越广泛,只有这样充分利用计算机信息技术,才能保证高校网络的安全性。
【参考文献】
[1]史姣丽.基于模拟攻击的高校网络安全风险评估研究[J].计算机工程与科学,2012,12
[2]姜德重.新时期高校网络安全问题分析与防范对策研究[J].现代交际,2015,5
[3]曹金静,王东盈,马叶革.计算机信息技术在高校网络安全中的应用研究[J].价值工程,2014,23
[4]吴尚.浅析高校网络安全存在的问题和对策[J].计算机光盘软件与应用,2014,21
[5]曹旭,刘运祥.加强高校网络安全建设构建文明平安校园[J].计算机光盘软件与应用,2014,9
关键词:路由协议;分类;原理;应用
1 什么是路由协议
路由协议(routing protocol)就是用来计算、维护路由信息的协议。路由协议常用一定的算法,以产生路由;并用一定的方法确定路由的有效性,来维护路由。那么何谓路由呢?路由是指网络信息从信源到信宿的路径。路由器提供了将异种网络互联起来的机制,实现将一个数据包从一个网络发送到另一个网络。路由指导IP数据包发送的路径信息。在互联网中路由选择使用路由器,路由器只是根据所收到的数据报头的目的地址选择一个合适的路径,将数据包传送到下一个路由器,整个路径的最后一个路由器负责将数据报送交目的主机。
2 路由分类
2.1 直连路由
直连路由是由链路层协议发现的。直连路由无须配置,在接口存在IP地址时,由路由进程自动生成,并以直连路由出现在路由表中。它的特点是开销小,配置简单,无需人工维护,但只能发现本接口所属网段的路由。
2.2 静态路由
由网管员手动配置而生成的路由称为静态路由。静态路由的缺点是无法自动根据网络拓扑变化而变化,当网络拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。出于安全方面可以考虑在小型网络采用此路由。静态路由无开销,配置简单,适合简单的拓扑结构的网络。静态路由的好处在于可以减少路由器之间的数据传输量,这对于带宽紧张、线路冗余度低的网络比较适合。使用静态路由的另外一个优点在于路由的保密性好,在默认情况下是私有的,即它不会传递给其他的路由器。
2.3 动态路由
动态路由协议自动发现和维护的路由称为动态路由。动态路由的优点是无需人工配置具体的路由表项,而由协议自动发现和计算。这样当网络拓扑结构复杂时,使用动态路由可以减少管理员的配置工作,且减少配置的错误。另外动态路由协议支持路由备份,如果原有路由链路故障导致路由表项失效,协议可以自动计算和使用另外的路径,无需人工维护。但是路由器更新路由表信息使用广播报文的方式,会占用一部分链路开销。因此动态路由更新不能太频繁。其次,在使用动态路由时,需要路由器之间频繁的交换各自的路由表,而通过对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。进而造成网络安全问题。
3 静态路由应用
根据如上配置我们应当注意两个点。第一:如RTA、RTD当目的地址和子网掩码都为0的时候,配置的是缺省静态路由,当路由查找失败,根据缺省路由进行数据包的转发。RTB、RTC配置的为静态路由。
第二:配置静态路由时,要注意进行双向配置,避免出现单程路由。因为Internet很多业务都是双向传输的,如HTTP。
4 动态路由协议
4.1 路由协议分类
根据作用的范围,路由协议可分为:
内部网关协议(Interrior Gateway Protocol,简称IGP):在一个自治系统内部运行,常见的IGP协议包括RIP、OSPF和IS-IS。
外部网关协议(Exterior Gateway Protocol,简称EGP):运行于不同自治系统之间,BGP是目前最常用的EGP。
根据使用的算法,路由协议可分为:
距离矢量协议(Distance-Vector):包括RIP和BGP。其中,BGP也被称为路径矢量协议(Path-Vector)。
链路状态协议(Link-State):包括OSPF和IS-IS。
4.2 路由协议工作原理
各种动态路由协议所共同的目的是计算与维护路由。通常,各种动态路由协议的工作过程大致相同,都包含以下几个阶段。
邻居发现
交换路由信息
计算路由
维护路由
5 路由协议性能参数
5.1 可伸缩性
可伸缩性是确定IP路由协议选择的最基本问题之一,即路由协议将如何有效地支持大型网络或可能增长的网络。路由协议的可伸缩性是由以下因素确定的,如它如何有效地处理路由更新以及它如何才能迅速地应对大型网络上的更改作出反应。
5.2 路由更新
IP路由协议的可伸缩性总是部分由处理路由更新的效率确定。距离矢量路由协议通过向网络中所有其他路由器定期广播它们的路由表来交换路由信息可以通过制定一些更新策略来提高距离矢量路由协议的更新速度,影响策略制定的因素有以下几个:
1)增量更新比定期交换更好;
2)多路广播比广播更好;
3)跳数越小越好。
5.3 路由协议的稳定性
路由协议的稳定性可在网络传输期间(如链接中断或其他形式的布局更替)进行测试。路由协议对布局更替作出反应,并通过网络传播有关更替的信息。在路由协议分发信息期间,路由器将排除不一致的信息。(即有一些路由器将知道更新而有一些将不知道)。这种不一致可能导致特定类型的路由问题,称为路由回路。
距离矢量路由协议对路由回路具有潜在的敏感性,因为它们不维护除路由表以外的有关网络布局的任何附加信息。链路状态路由协议维护网络上所有子网的数据库,并知道何种路由器附加到了子网上,因此,它不大可能在布局改变后立即按照错误信息动作。
距离矢量路由协议合并了下列功能以帮助避免路由回路:
1)定义最大量度
2)分割范围
3)路由中毒
4)停止运行计时器
5.4 收敛速度
网络收敛的定义是从网络拓扑改变到每个路由器确认该改变所消耗的时间。如果网络拓扑结构改变,如丢失或增加子网,在从第一个路由器开始更新路由信息起到全部路由器都更新了路由信息止,需要一定的时间。在依赖多种因素(路由协议本身的操作特性是最重要的因素)的网络上,收敛速度的变化很明显。收敛速度通常与路由器的错误检测机制、路由更新机制、路由运算法则以及传输介质有关。
5.5 路由量度
如果运行特定IP路由协议的路由器收到多个可到达目的站网络的公布路径,它将选择具有最佳量度的路径并将之放入路由表中。如果多条路径有最佳量度,则每个这种费用最低的路径放入路由表中,并且执行等量费用负担平衡。不同的路由协议使用不同的量度,即每个路由协议都可以按自己的方式决定到达目的站的最佳路径。
5.6 VLSM的支持
对于网络来说,若需要拥有除了足够的IP地址空间之外的条件,则可能需要使用VLSM。VLSM可有效地使用IP地址和子网空间。五类路由协议(如OSPF、RIP2版、EIGRP、IS-IS和BGP)支持VLSM,因为它们包括掩码和更新。而无类协议(如RIP1版和IGRP)不能支持VLSM。
6 常见路由协议比较
目前常见路由协议包括RIP-1/2、IGRP、OSPF、IS-IS、BGP等五种,现对其协议特点进行简单的比较。
RIP协议是最早的路由协议,基于距离矢量算法,属于内部网关协议;RIP采用广播(RIP-1)或组播(RIP-2)方式在邻居之间传送协议报文,传输层采用UDP(User Datagram Protocol)报文封装。RIP协议以到达目的地址所经过的路由器个数(跳数)为衡量路由好坏的度量值,最大跳数为15; RIP-2支持明文认证和MD5密文认证,并支持可变长子网掩码。RIP协议适用于基于IP的中小型网络。
IGRP是从RIP基础之上发展而来的。它比较RIP而言,主要有以下几点改进:
1)IGRP路由的跳数不再受16跳的限制,同时在路由更新上引入新的特性,使得IGRP协议适用于更大的网络;
2)引入了触发更新、路由保持、水平分割和毒性路由等机制,使得IGRP对网络变化有着较快的响应速度,并且在拓扑结构改变后仍然能够保持稳定;
3)在Metric值的范围和计算上有了很大的改进,使得路由的选择更加准确,同时使路由的选择可以适应不同的服务类型。
OSPF是目前应用最广泛的IGP协议。是为大中型网络提供分层次、可划分区域的路由协议。算法复杂,但能够保证无域内环路。OSPF采用IP来进行承载,所有的协议报文都由IP封装后进行传输,端口号89.由于IP是尽力而为的,不可靠、无连接的网络层协议。为了保证协议报文的传输的可靠性,OSPF采用确认机制。OSPF还支持验证,使网络安全性得到保证。
IS-IS是一种链路状态型的路由协议,采用的是SPF算法,支持路由分组管理与划分区域,同样可应用在大中型网络中,可扩展性好。IS-IS的运行直接基于链路层,其所有的协议报文通过链路层协议来承载。所以IS-IS也可以运行在无IP的网络中,如OSI网络。IS-IS同样设计了确认机制和报文验证来保证网络的可靠性、安全性。
BGP协议是唯一的EGP协议。目前最新的版本是BGP-4。BGP采用TCP来保证协议传输的可靠性,TCP端口是179.TCP,本身有三次握手机制,运行BGP的路由器首先建立可靠的TCP连接,然后通过TCP连接来交换BGP协议报文。鉴于此,BGP协议不需要自己设计可靠的传输机制,降低了协议报文的复杂度和开销。同样,BGP的安全性也有TCP来保证。
参考文献:
计算机网络已经普遍使用到经济、文化、科技、企业运营等方面,伴着世界经济一体化的进程,计算机网络使用到了国际中的各个行业、各个企业、甚至是各个家庭,它让人们的生活变得简捷,人们很难离开计算机网络。无论是国家的利益、国家安全的程度,还是有关社会稳定方面都跟计算机信息安全联系了起来。计算机网络信息安全与保护体系的构建与完善的有关技术愈来愈得到有关专家的重视,计算机网络信息安全与保护的意识也愈来愈高。由此可以看出,计算机网络的安全和保护非常值得人们对其进行系统的研究探讨。人们期盼计算机网络能够持久的进行值得信赖的运行,而不是随时可能都会遭到扰乱的运行。计算机一定要有一个稳定的工作状态,这要求它的网络的安全与保护得到科学合理的保证,笔者通过这个角度对计算机网络的安全和保护进行了分析。
1计算机网络安全的特征
计算机网络能够把各个地区相异的网络中由各种物理设备(如主机、路由器、交换机等)和介质(光缆、电缆、双绞线等)连接起来形成的网络实行相互连系,而成为一系列局域网和广域网的组合,进而能够构建为一种一致协调的、呈现给使用者的通信体系。计算机网络技术一直强调要提升数据资料的通用性和最大化的拓展能力,以此来保障计算机网络体系的稳定程度与运行效果。不过有关新技术的投入使用带来益处的同时亦引起来其它网络方面的问题,比如说,网络稳定本身自有的繁杂性与薄弱性在这个阶段越多的暴露了出来,其潜在的危险与被侵袭的可能性在很大程度上加大了。在如今信息快速传播的世界里,计算机网络能够完成资料信息的瞬时传递与集中运算,还能提升机器的可信性和能用程度,平衡承载的相互协调能力,所以计算机的网络和谐是非常值得人们探讨的。这要求有关工作人员更加努力地研究网络安全措施,进而保护网络中所有的信息安全,处理其面对的各种威胁。
2计算机网络面对的危险
因特网给人们的生活带来了便捷的沟通、交流等方式,在这同时存在着很多潜在的危险。我们一定要对这些危险有深刻的认识,这样才能更好地利用因特网。
2.1网络同享方式引起的危险
因特网中数据资料的同享功能是其出现的最初要求,同享为人们带来了莫大的方便,是人们的思想知识积累越来越多,互通有无。在同享的目的下,也出现了很多网络漏洞,其使网络攻击者找到了入侵供给网络的路径,使用因特网的同享性来侵入和搞坏用户的客户端计算机,这是网络共享方式产生危险的一种突出现象。
2.2网络对外开放性引起的危险
开放性为因特网的凸出特点中的一种,它为用户提供的是数据的可读性和易读性。当因特网使用者打算接受例如以政府职能、公益服务为主要宗旨的一些单位,办理各种活动的团队信息,或者是欲了解某个人的简介等方面时,都会用到这一功能。在这些信息里面,有很多的对外公开资料,也有较多的不愿公示的隐私资料。于是便有些以售卖公司、私人的数据资料为营生来牟取非法的利益,在这个过程中,很多重要敏锐的数据资料就在毫无察觉的情况下暴露了。
2.3计算机网络木马病毒带来的危险
计算机木马病毒指的是有自己的储存功能,善于潜藏到软件与资料文档里的不会让用户察觉,并且在开启后能得到计算机权限从而窃取计算机中资料的一段可在操作系统存储空间中浮动定位的加载执行程序。其特点是可传播、可潜藏、易启动和侵蚀性,它的入侵方式大部分是由拷贝、传递、启动软件等组成的。攻击路径一般是软硬件、光驱和因特网。一旦触发了病毒程序,可能会使电脑操作系统的运行速度变慢,更可能会损害文档,导致文档打不开或者删掉重要的资料,失去资料数据,导致系统崩溃电脑瘫痪。尤其是近些年来的病毒木马的外衣花样越来越多,这不仅是个老生常谈的话题,更将会一直并将持续对电脑网络产生安全威胁。它造成了因特网的各种损害,也使用户的生活受到了极其严重的影响。
2.4大量信息引起的危险
众多网络站点构建的初衷是把资料信息集中起来进行分类展览,供给浏览者查看与其沟通交流,但是在这个提取信息的过程中很可能由于对数据特征的把握不准确导致网络紊乱,这将会导致网络安全的不稳定。
3计算机网络信息安全与保护的措施
3.1开发新型防病毒软件
在保护网络安全不受病毒威胁的主要措施是给电脑安装抗病毒程序,如今电脑网络中的抗病毒程序主要以两个形式起作用,一个是单独计算机或者其它游戏平台就可以独立运行的抗病毒程序,另一个是通过控制中心管理全网的抗病毒程序。前者在因特网客户端中对电脑和跟电脑联接的远端数据进行浏览剖析,及时的找到和消灭病毒;后者则把重点放在因特网中,当遇到病毒侵入因特网的时候可以马上消灭病毒。两种形式的软件都可以对电脑的网络安全起到相当程度上的保护效果,不过其不是网络安全的绝对保证,越来越多的新型病毒使抗病毒产品无法可施,所以用户还需结合多种措施来保护网络安全。
3.2文件设密保与电子签章
对文件和文档等设置密码保护是一种比较常见的网络信息安全的保护措施,文件设密码和电子签章可以使网络安全的通信得到相对安全的环境。给资料采纳对原来为明文的文件或数据按某种算法进行处理的方式来实行因特网通信,避免让没有得到权限的使用者查看,进而达到因特网资料保护的目标。文件设密码和电子签章有三种类型,分别是资料传递、资料储存、资料完全性。其对网络安全起到的作用有使资料隐私安全保密、资料完全验证和资料准确无误校正。这项技术的实施是为了让因特网资料以另外的形式储存,让信息加了一件坚硬的盔甲,就算让攻击者得到也难以看穿里面具体的资料数据,由此对网络信息进行保护。
3.3对访问者的控制
对访问者加以筛选控制,可以减少因特网受到入侵的次数。其控制了网络询问的举动,在很大程度上使因特网免受了伤害。对访问者的控制措施的制订包含进网询问调控部分、网络管理分配部分、终端保护措施。因特网数据体系经过严格的询问调控程序后,拥有权限的装置和访问者被许可连入网络,由此来保护网络的信息安全。
3.4检查侵入者技术
检查攻击者的侵入网络的行为是一门很深奥的技术,在检查网络被攻击前必须要构建一个运行环境作为基础,当因特网里的某一个举动在不符合这个基础,那么就规定这个举动非正常用户所为而是一种入侵因特网的行为。这门检查网络是否被侵犯的技术是随着人们考虑网络安全性的程度加深而逐步产生和发展起来的,它希望能够构建一项即时性的、高效率的并且能够切实为网络安全服务的预防因特网受到破坏的一种氛围。规定原则用以挑选进入此网络范围的资料和文件,这些资料与文件的内容与所规定的原则相一致,那么其就会被放入到检查告示里,网络入侵行径检查告示预警侵入检查需要具备正当的保护措施,不然错误的预警会频繁出现。
4结束语
伴着信息时代的到来,网络信息技术和网络体系已然渗透到了人们的学习工作和生活当中。本文简介了计算机网络信息安全与保护的相关知识,以及各个方面网络信息中已存在的包括潜在的危险,并分析了有关信息安全和保护的措施手段。计算机网络带给人们生活的作用随着科技和经济水平的提高而愈来愈深,关切计算机网络的稳定和谐的环境,构建规整安全的因特网和信息体系显得愈来愈重要。这不仅需要相关网络安全的技术人员在计算机网络安全用品上的积极研发升级,更需要用户自身的网络安全和保护意识的加强。要为用户讲解在网络安全上的各种威胁,并使其具备查找威胁并解决威胁的能力。通过各方面的共同努力,来提升网络安全强度,建立稳定、安全的网络信息氛围。
引用:
[1]王磊.关于计算机网络信息安全及防护策略探究[J].电脑知识与技术,2014.
[2]黄丽民.计算机网络信息系统安全评价方法研究[D].山东大学,2005.
[3]张晓杰,姜同敏,王晓峰.提高计算机网络可靠性的方法研究[J].计算机工程与设计,2010.
[4]杨鹏,顾冠群.计算机网络的发展现状及网络体系结构涵义分析[J].计算机科学,2007.
[5]赵悦红,王栋,邹立坤.计算机网络安全防范技术浅析[J].煤炭技术,2013.
[6]莫笑丽,史清华.一种新型的主动安全管理[J].计算机工程与设计,2005.
人工智能即机器智能,即对人的意识、行为、思维信息过程等进行模拟,使及其具有人工智能功能,进而代替人完成危险性、复杂性或机械性突出的任务,提升工作的效率和质量,将人工智能应用于计算机网络技术中与人工智能自身的优势具有密切的关系。
1 人工智能应用于计算机网络技术中的可行性分析
首先,人工智能对不确定信息的处理效果较理想,可对系统资源呈现的局部或全局实时、变化状态进行掌握和跟踪,在对获取信息进行处理的基础上可以实现实时向用户提供有效的信息功能;其次,人工智能的协作能力较突出,在对有效资源整合基础上实现资源的合理共享和传输,将其应用于网络管理中,可有效的提升其工作的效率和效益;再次,人工智能凭借其学习能力和推理能力的优越性,有利于网络智能化护理中信息处理效率和质量的提升。另外,人工智能在记忆能力方面的优势,有利于信息库的建立,在推动网络管理水平提升方面作用突出;除此之外,人工智能在处理非线性问题、计算资源消耗等方面也具有优越性,所以将人工智能应用于计算机网络技术中具有可行性。
2 人工智能在计算机网络技术中的应用
2.1 人工智能在计算机网络安全管理技术中的应用分析
现阶段计算机网络安全管理技术主要表现在防火墙、入侵检测和反垃圾邮件系统三方面,所以在实践中尝试将人工智能应用于以上方面,智能防火墙主要应用智能化识别技术,利用统计、概率等计算方法将存在文献的信息数据识别并处理,使计算机网络管理技术原本的大量计算被舍去,网络安全管理的效率也大幅提升,不仅将有害信息及时的拦截和限制,而且安检效率也明显增加,使普通防火墙拒绝服务攻击的缺陷得到弥补,有效的遏制了高级入侵和病毒传播。而智能型反垃圾邮件系统其以威胁计算机网络安全的垃圾邮件作为防御的主要对象,其虽然具有开启式扫描和分类提供、危险预警等功能,但其保护的范围具有局限性。入侵检测是网络计算机安全管理的核心,对其应用人工智能具有显著的效果,通常情况下入侵检测需要通过数据采集、数据减少、行为分类、报告反映四个阶段完成,现阶段应用于入侵检测的人工智能主要包括以下几种:
2.1.1 规则产生式专家系统
此种人工智能现阶段在入侵检测方面应用最为广泛,其建立在专家经验性知识构建的数据库和推理机制的基础上,主要原理是计算机网络安全管理人员事先将已知的入侵特征编码成固定的规则,并将大量的规则构建成数据库,在安全管理的过程中专家系统可自动将审计记录和规则作为入侵检测的判断依据,实现入侵的及时发现,并判断入侵的种类和危害等,可见此项人工智能对提升入侵检测的效率和准确性具有积极的作用,但其建立在已知经验的基础上,检测的范围存在的一定的局限性。
2.1.2 人工神经网络
此项人工智能建立在人脑学习机能模拟的基础上,所以在容错性、学习能力等方面具有优越性,此项人工智能可以对存在畸变或噪声的输入模式有效的识别,在并行方式的推动下其入侵检测的效率较理想,所以在计算机网络安全管理技术中的应用相对较广泛。
2.1.3 数据挖掘技术
此技术的应用原理是通过审计程序对网络连接和主机会话的特征进行准确、全面的提取和描述,然后利用此项人工智能对准确捕捉入侵模式的规则或计算机网络正常活动轮廓规则等进行学习和记忆,进而在计算机网络中出现异常检测的情况下,进行有害入侵的准确识别,可见此项人工智能技术充分发挥了自身的记忆功能和学习功能,在提升入侵检测的针对性方面具有较好的效果。
2.1.4 人工免疫技术
人工免疫技术建立在人体免疫系统的基础上,其主要包括基因库、否定选择和克隆选择三种机制,其可以有效的弥补传统入侵检测在杀毒能力和未知病毒识别等方面的缺陷。例如,在基因库中可以实现基因片段重组、突变,使入侵检测系统对各类未知病毒也可以及时有效的识别,但现阶段基因库的有效建立仍存在现实困难;在否定选择的过程中,先在系统中随机产生一定的字符串,其次在否定选择算法的作用下将与自我匹配的字符串删除,如果其否定选择的正确则被视为合格的监测器,进而逐步完成检测入侵等,此项技术在计算机网络安全管理中的应用仍需要进一步的完善,但应用价值巨大。
2.1.5 自治AGENT技术
此项技术是人工智能向面向对象技术方面发展的成果,其通常被作为底层数据收集和分析的结构,在基于自治Agent的入侵检测系统框架中每台被监控的主机都可以视为IDS系统,此技术在学习能力、适应能力、自主能力、灵活性和兼容性等方面均较突出,所以此项技术不仅可以有效的检测入侵,而且可以对入侵的影响范围有效的控制,在应用的过程中对环境的依赖性较低,可推广应用。
2.1.6 数据融合技术
此项技术建立在人类不断对自身信息处理能力进行模仿的基础上,其原理是在数据组合的基础上获取更多的信息,实现资源协同,将其应用于计算机网络安全管理技术中,可以使过个传感器共同或联合发挥作用,使整个传感器系统的能行得到提升,进而将个体传感器入侵检测的范围局限性削弱,使入侵检测的全面性更加有保证,此项技术如果与其他人工智能结合应用,检测的效果会更加理想。
可见,人工智能在计算机网络安全管理技术中的应用,对提升计算机网络安全监测、防御能力具有积极的作用,使计算机网络传统安全管理技术不能识别未知风险、风险识别不全面、杀毒能力较弱等问题得到有效的解决,而且计算机网络安全管理的效率和准确性也更加有保证。
2.2 人工智能在计算机网络系统管理和评价技术中的应用分析
由于计算机网络自身具有动态性和瞬变性等特点,所以计算机网络系统管理的难度较大,将人工智能应用于计算机网络系统管理和评价方面对提升其管理的有效性、全面性和评价的客观性等具有积极的作用,现阶段应用于此方面的人工智能主要包括以下方面:
2.2.1 人工智能问题求解技术
此项技术是在给定条件下,可解决某类问题并在有限步骤内可以完成的算法,主要包括以状态图为基础的搜索技术、以谓词逻辑为基础的推理技术和以结构化知识表示为基础的求解技术,搜索技术主要针对状态空间、问题空间、博弈搜索进行,通常情况下相同的问题具有多个搜索技术,所以要提升搜索的效率需要对最优的搜索技术进行判断。其评价标准通常包括搜索空间和最优解两方面,为获取最优搜索,需要利用公式f*(n)=g*(n)+h*(n)进行评估,其中g*(n)代表从网络S节点到n节点的最短路径;h*(n)代表从网络n节点到g节点的最短路径。可见将人工智能问题求解技术应用于计算机网络系统管理和评价中,相比传统的计算方法可以缩减网络资源的浪费,提升网络资源的管理效率和质量,应积极推广应用。
2.2.2 专家知识库技术
专家知识库是专家系统的重要构成,其对专家系统的应用效果产生直接的影响,现阶段专家知识库主要包括基础原理理论和直接或间接获取经验积累的专门知识,通过将已知的计算机网络管理与评价经验进行编码、建库,使计算机网络管理决策获取专家经验支持,使相似或同种管理、评价问题等可以得到较好的完成,此项技术现阶段在计算机网络管理与评价方面得到较广泛的应用。
3 人工智能在计算机网络技术中的应用案例分析
3.1 人工智能在计算机网络安全管理技术中的应用案例分析
某档案馆为保证应用的计算机网络系统不会对存储的档案信息安全构成威胁,积极的将人工智能应用于计算机网络系统安全技术中,实践证明,通过应用智能防火墙和智能入侵检测系统,该档案馆的计算机网络安全性得到明显的提升,笔者针对该档案馆在此方面对人工智能的应用展开分析。
3.1.1 智能防火墙
该档案馆长期以防火墙作为其网络安全管理的主要手段,但由于传统防火墙自身不可见加密的SSL流数据,不能对其迅速的拦截和解密,使此类对计算机网络的攻击难以通过防火墙实现防范,甚至任何应用程序在加密后均可以顺利的通过传统防火墙,使档案馆的网络安全一直受到严重的威胁,档案馆网络体系结构特点决定其对应用数据流的监控能力无法满足实际需要;而智能防火墙将统计、决策等智能算法应用于数据识别的过程中,对外来针对档案馆网络的访问进行有效的控制,使档案馆网络特征值更加明显,该档案室应用的智能防火墙将和过滤技术有机结合,不仅可以使传统防火墙在安全性方面的问题得到有效的解决,而且监控范围涵盖数据链路层至应用层全部,对TCP/IP协议层落实全面的安全控制,可见该档案馆的防火墙在应用人工智能后,客户端配置任务得到大幅度的缩减,而且数据加密、解密等均可以在防火墙拦截过程中实现,虚拟网VPN得到强有力的支持,在智能防火墙的作用下,档案馆内部信息对外完全隐藏,服务的作用更加突出,在服务与包过滤服务的功能相融合的作用下,使该档案馆计算机网络的安全性得到了明显的提升。
3.1.2 智能入侵检测系统
入侵检测技术属于积极的安全管理手段,是在危害发生前的有效预防,该档案馆在应用传统入侵检测技术时,通过对计算机内部的各类信息进行搜集,然后通过检测引擎对各类信息中是否存在入侵进行判断,进而针对检测的误用模式提出警告,控制台结合监测结果确定相应的控制措施,可见在该档案馆应用的传统入侵检测中检测的范围、有效性等均不能得到有效的保证,使档案馆的网络信息受到危害入侵的威胁。在该档案馆应用智能入侵检测系统后,其将规则产生式专家系统、基于神经网络的入侵检测、数据挖掘技术共同应用于入侵检测系统,使该档案馆的入侵检测系统不仅可以有效的检测出已知专家管理经验中涉及的威胁,并制定出有效的解决方案,而且利用人工智能在记忆、学习、适应性等方面的突出功能,使各类未知的病毒、危害等也可以得到有效的识别,而且使病毒危害的范围和程度得到有效的控制,结合该档案馆对人工智能的应用效果,类似的单位或组织也可以积极的应用,例如图书馆、会计师事务所等。
3.2 人工智能在计算机网络管理与评价技术中的应用案例分析
某图书馆在向数字化发展的过程中,计算机网络存储的信息不断增多,实施网络管理和评价的难度不断加大,为缩减图书馆计算机网络管理的任务量,提升网络管理和评价的质量,该图书馆积极应用人工智能相关技术,该图书馆应用的人工智能技术主要是专家知识库的建立和应用,其首先将国内外专家已知的图书馆管理和评价经验收集、整理、编码,建立规则库,在进行图书馆网络管理的过程中,专家知识库会通过对计算机网络的自动检索与专家知识库中的编码相匹配,为管理人员提供相对应的管理方案,并在管理人员同意的情况下完成网络管理与评价,这不仅减轻了图书馆网络管理人员的管理压力,而且在提升管理效率和质量方面也发挥着积极的作用。
4 结论
通过上述分析可以发现,现阶段人们已经认识到人工智能的优势,并在实践中有意识的将其应用于计算机网络技术中,这对优化计算机网络技术的性能具有积极的作用,所以应结合实际进一步的深化和优化,这是计算机网络技术深化发展的具体体现。
参考文献
[1]马越.探讨人工智能在计算机网络技术中的应用[J].计算机光盘软件与应用,2014,22:43-44.
[2]吴振宇.试析人工智能在计算机网络技术中的运用问题[J].网络安全技术与应用,2015,01:70+74.
[3]卢昌龙.人工智能及其在计算机网络技术中的运用[J].电子制作,2015,05:87-88.
[4]谭仕平.人工智能在计算机网络技术中的应用分析[J].硅谷,2013,18:11+4.
关键词:职业学校;网络安全;教育
调查数据显示,截至2013年年底,中国互联网的使用人数已经超过了6亿,并且以每年新增5000万左右人数的速度向上攀升,且调查发现处于10岁到29岁年龄段的群众几乎全部都在使用互联网。互联网为人们的日常生活、工作办公以及自主学习都带来了很多便捷,丰富的信息资源更加可以帮助学生认识外界的社会。但是凡事有利就有弊,网络上虽然有着丰富的信息资源,但是网络上的信息也鱼龙混杂。学生经常接触到不良的信息,对于思想发展并不够成熟的青少年学生容易造成巨大的危害。公安机关公布的数据显示,青少年犯罪者中有近八成的是受到网络不良信息诱惑的学生。他们在网络世界中受不良信息的蛊惑,沉迷于网络或游戏当中。这类沉迷网络的青少年十分容易进行抢劫、打架斗殴以及等犯罪行为。目前国内职业学校的办学规模以及招生数量都日渐提高,在职业学校内如何展开网络安全教育已经是一个十分重要的问题,指导青少年学生们的成长健康是职业学校义不容辞的责任。
一、国内青少年学生上网情况调查
笔者为了保证本篇文章的针对性,在青少年学生当中做了一个关于上网情况的调查。在上网地点的选项当中,90%的学生是在家上网;13%的学生是在网吧上网;4%的学生是在同学或者亲戚家上网;仅仅只有2%的学生是在学校机房上网。在处理不良信息方法的选项当中,30%的学生表示从来不关心,随它去;21%的学习表示担心但是并不知道怎么解决;48%的学生会下载绿色上网软件;还有2%的学生会恶作剧一般故意传播给其他人。根据调查数据显示,目前大部分青少年上网的时候依然存在许多的安全隐患。在上网地点的选择当中,在家上网以及在网吧上网的选择人数最多,而在家上网以及在网吧上网的时候缺乏家长的监管,极容易接触到不良信息。同时大部分的青少年学生上网主要在使用聊天软件或者玩网络游戏,真正在网络上自主学习的学生所占的比例较低。并且我们发现大部分的学生在面对不良信息的时候没有引起重视,只是任由不良信息传播而未告诉家长或老师。
二、目前国内职业学校网络安全教育情况
目前国内的职业学校在安全教育方面的情况分为两种:一种是高等专业人才教育方面的院校,大多数的院校将教育重点放在专业人才的培养方面,并没有开设网络安全专业,而就算有网络安全专业的院校也普遍教材内容老旧、教学方法过时并且缺乏专业教师;另一种便是在普及教育方面,仅仅有一部分院校在通识教育当中开设了公选课,而在大部分院校当中仅仅是在计算机文化基础课程当中捎带提起,只是十分简略地提到了一些网络安全意识的基础概念。以广东省的一个职业院校为例,该院校在计算机学院中并没有信息安全专业,而在应用数学学院当中有信息安全专业,但是每届仅仅只招生两个班,总共学生人数不过百人。该校在通识教育当中计算机学院开设有网络与信息安全以及信息安全风险评估的公选课,但是每个学期的选修人数也不过三百左右。而计算机学院中每个学生都必修的计算机文化基础课程中并未提及网络安全教育内容,学校也并没有在学生当中宣传网络安全意识的重要性。由此可见,国内大多数的职业学院对青少年网络安全意识教育并未引起重视。国内的职业院校对于青少年网络安全教育不够重视,青少年学生的网络安全意识不够成熟,极容易出现安全隐患,比如:青少年网络安全意识淡薄,缺少使用安全上网软件的意识,对安全防护措施不够重视;过于依赖安全上网软件,大多数青少年学生在安装了安全上网软件之后便完全失去安全意识,甚至觉得上网安全跟自己无关了,当安全事故发生时便完全不知道如何应对;对于个人信息的保护意识薄弱,对于某些网站需要填写身份证号、真实姓名、联系电话以及真实家庭住址这些私密信息的时候没有保护意识,极容易造成个人信息的泄露;青少年学生往往对他人的警惕性较低,极容易受到网友的欺骗;对网络安全没有责任心,青少年学生由于责任心不够成熟且比较单纯,经常不清楚自己在无心的时候已经造成了网络安全事故的发生,并且影响到了其他网民的用网安全;青少年学生对于网络安全的法律法规不够了解,有部分学生因为好奇心、好胜心、没有抵制住经济利诱或者纯粹是一种找乐子的心态而学习黑客知识或是钻研电脑病毒知识,对他人的电脑进行入侵或者破坏,常常并不知道自己已经犯法。
三、网络安全教育的重要性
目前,国内的大多数职业院校在网络课程教学当中仍然在重点研究教学策略以及教学内容的质量,向学生们灌输网络发展的重要性以及网络在全社会当中的作用,却并未向学生们强调网络不良信息的危害。许多的职业院校中的法律基础公开课以及计算机网络专业课没有将网络安全教育以及网络安全法律法规教育加入教学大纲当中,更加不存在相关课程的制订计划。国内的大多数青少年学生都未能及时接受系统的网络安全教育以及网络安全法律法规教育,网络安全意识薄弱,对于网络犯罪的定义以及网络犯罪的后果认知模糊。许多沉迷于网络的青少年学生由于自身的思想并未成熟,受到网络不良信息的影响,导致暴力、自私、孤僻甚至厌世的性格,还有的学生走上了犯罪的道路,由此可见网络的不良信息对于思想并为发展成熟的青少年学生来说危害巨大。在这个网络发展速度以及网络普及速度都越来越快的社会,在职业院校中开展网络安全教育是刻不容缓的,是保障青少年学生健康成长的重要教育任务。开设专门的网络安全教育课程以及网络安全法律法规课程,全面建立起青少年学生的网络安全意识,提升青少年学生的网络安全素质,是目前国内职业院校中最为重要的教育内容。只有在青少年学生中建立起明确的网络安全意识,加强对青少年学生的网络安全教育,才能够避免青少年学生受到网络不良信息的危害,才能够帮助青少年学生们健康成长。
四、开展网络安全教育的方法
1.网络安全法律法规知识教育
在网络世界当中最为显著的标签就是自由,但是网络世界中的自由与现实世界当中的自由一样需要有法律法规来进行约束。我国在互联网方面有着明确的法律规定,让互联网世界有法可依、有法必依。职业院校需要针对网络法律条例以及计算机法律基本知识对青少年学生进行系统的教育。教育内容应该以《刑法》《计算机软件保护条例》《中国公用计算机互联网国际联网管理办法》《计算机信息系统国际联网保密管理规定》以及《中华人民共和国计算机信息系统安全保护条例》这些国家规定的网络安全条例为基础展开。
2.青少年学生网络安全自律教育
青少年学生对于外界的诱惑力抵抗力较弱,尤其是在信息丰富的网络世界。他们的好奇心使得他们容易沉迷于网络世界,而青少年学生们的自我保护意识薄弱,网络安全素质较低,极容易受到网络不良信息的危害。首先职业院校网络中心的防火墙需要加强对校内微机房的信息安全管理,加强校园网络对外界网络隔离的可靠性。同时职业院校需要加强对青少年学生网络安全自律意识的教育,让青少年学生们清楚地认识到网络不良信息以及网络攻击的后果的严重性。除此之外要培养青少年学生们对网络攻击的防范技术,加强青少年学生们的防范意识,能够有效地避免他们受到网络不法分子的危害。
3.在教育当中多采用疏导的方法
青少年学生由于其自身的安全意识以及自律意识薄弱,容易沉迷于网络,若是没有及时发现并有效改善青少年学生的上网习惯,他们便容易走入歧途。家庭教育以及学校教育都极为重要,但是家庭教育以及学习教育的方法需要改善。大多数沉迷网络的青少年学生容易出现交友观以及性格的扭曲,需要通过疏导的方式让他们宣泄出内心压抑的情绪并指引他们去外面进行真实的人际交流,建立起正确的交友观以及世界观,帮助他们体验到现实中人际交往的乐趣,建立起他们的自信心。若是采取强硬的教育方式反而容易导致青少年学生们因为逃避和叛逆心理更加抗拒真实世界。
五、小结
综上所述,帮助青少年学生们建立起网络安全意识,健全学生们的素养教育,已经成为了目前职业学校极为重要的任务。在网络安全教育方面,西方发达国家对此极其重视,而国内对于网络安全教育的开展和重视程度都略微低于国外,职业院校学生们的网络安全意识都不够成熟。因而职业院校应该全面开展网络安全教育,重点培养青少年学生们的网络安全意识,让学生们避免受到网络不良信息的侵害,帮助学生们健康成长。
参考文献:
[1]张立敏,李玉堂,赵瑞兰等.北京市顺义区中学生健康危险行为现状调查[J].职业与健康,2011(10).
[2]陈瑞.中职校开展职业安全健康教育的路径探索——以南京市莫愁中等专业学校为例[J].江苏教育研究,2014(30).
【关键词】MPLS VPN IP 信息共享
一、网络现状与需求分析
县卫生网的现状主要依托合作医疗专网与所属医疗单位的连接,建立了县级医院―镇、街道卫生院--村、社区卫生室三级网络,随着医改信息化的深入,现在的网络无法满足城乡居民跨地域、跨机构、跨系统就医转诊实时结报的要求。在此背景下,我县决定建立以电子健康档案和电子病历二个医药卫生基础数据资源库为核心,连接所属医疗单位的卫生信息专网;实现区域内卫生信息互送共享,城乡居民医疗异地网络出院即时结报。根据现有的网络情况系统业务需求网络安全性与组网成本等因素,提出基于MPLS VPN技术构建卫生信息专网。
二、Mpls vpn 简介
MPLS是一种特殊的转发机制,兼有基于第二层交换的分组转发技术和第三层路由选择技术的优点,为进入网络中的ip数据包分配标记,并通过对标记的交换实现ip数据包的转发。Mpls vpn是指采用MPLS技术在骨干的宽带IP网络上构建客户IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起,为用户提供高质量的服务。网络拓扑图见图1。
VRF(Virtual Routing Forwarding),VPN路由转发表,也称VPN-instance(VPN实例)。是PE为直接相连的业务点建立并维护的一个专门实体,每个业务点在PE上都有自己的VPN-instance,每个VPN-instance包含到一个或多个与该PE直接相连的CE的路由和转发表,另外如果要实现同一VPN各个业务点间的互通,该VPN-instance还就应该包含连接在其他PE上的发出该VPN的业务点的路由信息。
MPLS-VPN优势
(一)网络的宽带以及可靠性:拥有足够的带宽和可靠的传输质量;
(二)安全性高:采用MPLS作为通道机制实现透明报文传输,MPLS的标签交换路径(LSP)具有与FR和ATM VC相类似的安全性;
(三)成本低:在组网增加节点时,只需增加远端设备,中心无需增加设备。
(四)扩展性强:从网络的带宽平滑升级到网络的新增接入节点都可以方便灵活的扩展。
三、基于MPLS VPN 构建县卫生信息专网
(一)网络结构
嘉善卫生信息专网租用县广电台政务云计算数据中心,搭建电子健康档案和电子病历两个医药卫生基础数据资源库,通过点对点裸光纤接入嘉兴卫生专网,出口为1G MPLS VPN专线,县卫生局及各级医疗单位通过广电城域网就近接入。网络拓扑图如图2。
(二)IP地址规划
IP地址的合理规划是网络建设的重要一环,规划的好坏关系到网络的性能、扩展、管理,统一的规划便于路由信息的汇聚,便于网络信息安全的有效控制,降低网络扩展的复杂性。
(三)路由设计
PE与CE之间采用静态路由,不同的PE、P之间采用bgp协议分发路由信息。CE将自己的网络通告给PE,PE从CE那里学习客户网络,把客户网络的路由信息放进给为用户配置的VPN实例jsws,通过MP-BGP将这些VRF路由信息通告给其他PE,并完成VPN实例的更新。
(四)网络安全防御控制
虽然卫生网接入的是省市卫生专网与内网,但不能忽视网络对数据资源库带来的安全隐患。不安全因素主要表现为未授权的网络访问与病毒黑客等攻击。针对上述情况在数据中心前端布置高性能防火墙系统,提供精细的网络控制,防止非法访问与攻击。嘉善卫生信息专网已开展应用,相关医疗单位机构陆续接入专网,基本实现了区域内卫生信息互送共享、城乡居民医疗异地就诊实时结报,为群众就医和享受医疗保障提供了更多的便利。
【关键词】 环路 生成树协议(STP) 访问控制列表(ACL) 网桥协议数据单元(BPDU)
引言
当前,整个社会已步入信息化时代,广大政府、企事业单位、各类组织团体越来越依赖于计算机网络开展自己的业务活动。但因单位内部对办公室内的网络环境管理不善,极易发生小交换机和无线路由器泛滥、网线乱接乱插的情况。尤其是在广大政府、事业单位的信息化网络应用环境中,普遍会有内网和外网的区分,各办公室的墙上有内、外网两套网络插口。外网用于连接访问互联网,内网则是内部的业务网络,要与互联网进行隔离。混乱的办公室网络环境中一但发生内、外两个网络间的桥接或环路则会比单一网络环境引发更为复杂的问题。一方面是环路会造成广播风暴,严重时会使整个网络陷入瘫痪;另一方面两网间的桥接会破坏内网与互联网隔离的要求,引发网络信息安全的隐患或事故。因此,政府部门除开展办公室网络使用环境的整治、加强管理力度以外,很迫切的需要一种简便易行的方法从技术的角度解决内、外网间的桥接或环路问题。
我们知道生成树协议(STP)是应用于以太网中的一种链路管理协议,它能够为网络提供路径冗余的同时有效防止环路的产生。本文的主要思路是研究一种在内、外网两个不同网络中合理利用STP技术,消除环路且避免两个网络间的互相桥接连通。而这就需要本文所讨论的另一项网络技术:访问控制列表(ACL)[1]。
一、内、外网间桥接或环路的分析
1.1故障实例
某政府单位的网络连接如图1所示。该单位有互联网(外网)和政务网(内网)两套网络,并分别拥有独立的网络设备和布线系统。主楼采用网线汇聚各楼层交换机,北楼和南楼采用楼间光缆实现和汇聚交换机的连接。在每个办公室里,墙壁上安装有双口信息插座,可提供办公室内的微机有选择的接入外网或内网。外网对每个楼层划分了VLAN及局域网地址段,内网因接入的微机较少未划分VLAN且整体为一个地址段。
某日该单位反映其位于主楼五楼的某办公室无法连接互联网。网络维护人员现场检查时很意外的发现,从互联网汇聚交换机上看该办公室微机的MAC地址竟然从北楼与汇聚交换机的接口上来,而北楼的交换机是通过楼间光缆连接到汇聚交换机的。维护人员将这台微机配置上北楼所属的IP地址段居然还能正常上网!再进一步追踪MAC地址来源甚至能确定到是从北楼接入层交换机一个具体接口上来的。毫无疑问主楼五楼办公室的网线肯定是接入到了五楼的交换机,不可能有网线连接到北楼的交换机上,但这种不合常理的情况是如何发生的呢?后来经过维护人员追踪MAC地址,核对端口与办公室的对应资料,以及到北楼现场查看,最后终于弄清楚了本次故障发生的蹊跷之处。故障发生时的网络连接情况如图2所示。
该故障发生时的奇怪现象主要两个因素共同导致:
1、北楼某办公室为图方便将墙壁上内、外网两个插口的网线接到同一台小交换机上,而后不管内网微机还是外网微机都统统连到了这台小交换机上。
2、主楼五楼反映故障的这间办公室是将墙壁上政务网插口接了小交换机,又把需要上互联网的微机(电脑A)接到小交换机上。
首先,电脑A由于实际接到了五楼政务网交换机上,当然使用五楼互联网IP地址是无法上网的,同时在五楼互联网接入交换机上也自然看不到该微机的MAC地址上来。但从电脑A连接网络的整个情况来看,它最终还是能接通到互联网汇聚交换机上来,这条路径是这样的:电脑A办公室小交换机墙壁政务网插口五楼政务网接入交换机政务网汇聚交换机北楼政务网接入交换机北楼办公室墙壁政务网插口北楼办公室小交换机北楼办公室墙壁互联网插口北楼互联网接入交换机楼间光缆主楼互联网汇聚交换机互联网。简单的说就是北楼某办公室的小交换机起到了桥接的作用,将内、外两个网合成了一个,不仅是引发了古怪的故障,更重要的是破坏了政务网(内网)要与互联网隔离的要求,造成了严重的网络信息安全隐患。另一方面我们看图2中电脑A所在办公室如果将墙壁互联网插口也与小交换机相连(网线A虚线所示),将会又在内、外网交换机之间增加一条桥接通道,从而在整个内、外网络上形成一个大的环路,而环路的形成无疑会给网络带来广播风暴、丢包甚至整个网络的瘫痪。
1.2桥接或环路发生的场景
由于缺乏网络接入的规范管理以及专业技术人员的指导,很多政府部门和企事业单位的办公室网络环境比较混乱,造成桥接和环路隐患的场景五花八门。稍做归纳大致有如图3所示的几种典型情况。简要描述如表1所列。
1.3桥接或环路引发的严重问题
由1.2节分析可知,两网间桥接或环路主要会引发两类问题:
1.环路造成广播风暴,拥塞网络。
如图4所示,网络上的主机在接入网络后会将自己的MAC地址广播出去,以太网交换机接收到该广播后会记录学习到的该主机MAC地址以及端口,并将该广播从其它端口转发出去。如果网络中存在环路,则转发出去的帧会在另一个端口被它自己收到,将会引发重新记录该MAC地址与学习到该MAC的端口对应信息,并再次将该数据帧进行转发。由此会引发一系列的连锁反应,一方面造成MAC地址表不稳定,无法确定一个MAC地址所对应的主机真实情况是连接在哪个端口,引起通信异常,造成丢包;另一方面连锁反应的广播包将会很快充斥整个网络,消耗设备CPU资源,并占用大量带宽,进而引起整个网络的拥塞,直至网络瘫痪[2]。
2.桥接造成内外网隔离失效,严重威胁信息安全
2001年1月1日,国家保密局颁布实施的《计算机信息系统国际互联网保密管理规定》中明确规定:“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。”[3]由此可见,内、外网隔离是有效保障网络信息安全的必要措施。同时据有关调查显示,网络安全攻击事件中有70%都是由于内部网络的安全隐患引发的。互联网的开放性意味着上网用机是最容易被黑客入侵或因中病毒、木马而成为黑客的肉鸡,如果内网与外网之间不能严格有效的隔离,这些已被攻破的微机就会成为黑客进一步攻击内部网络的跳板,有着极大的危害性。因为内、外网交换机间的意外桥接造成内、外网隔离失效,是无法依靠已投入巨资部署在网络边缘的安全设备、隔离设备等来弥补的。
1.4桥接或环路的一般处理手段
一般情况下,单一网络环境下出现的网络环路问题主要是1.2节中描述的(C)(E)(F)三类场景。大多数办公室内安装的小交换机为傻瓜交换机,不支持生成树协议的部署,通过对上层接入、汇聚交换机上启用STP协议可以解决(E)(F)两类场景的环路。(C)类环路场景(单端口环路)可以在接入交换机上启用单端口环路检测功能。
对于不能在上层设备启用STP的情况下就只有依靠人工来排查各类环路故障,人工排查的主要手段有:
1.查看端口指示灯状态,判断端口流量大小。
2.登录并查询交换机端口流量统计信息。
3.跟踪查询交换机学习MAC地址的来源端口
4.逐个拨插网络接头观察网络是否恢复
人工排查环路不仅仅是具有工作量大,耗时,在网络规模大时难以做到彻底等缺点。当在内、外网环境下仅有一处发生1.2节中所述(A)(B)(D)三类情况时,内、外网会被桥接成一个大网,但是又没有发生环路,所以此时仅仅是发生了网络安全的隐患问题,并没有发生影响网络性能或能造成拥塞的网络故障。这时人工排查甚至都不能意识到网络已发生了问题。
所以找到一种简便易行的,通过技术手段排查处理内、外两网桥接或环路的手段迫在眉睫。简便易行就是要求解决方案的着手点要从已有的成熟技术且现有的网络设备已然支持的特性开始,在这里我把目光放在了生成树协议和二层访问控制列表上。
二、技术手段解决内、外网间桥接或环路
2.1技术原理
2.1.1生成树协议(STP)
为了解决冗余链路引起的问题,生成树协议 STP ( Spanning Tree Protocol)应运而生。STP协议的基本思想十分简单,是将一个存在物理环路的交换网络变成一个没有环路的逻辑树型网络,达到逻辑上裁剪冗余环路,同时物理上实现链路备份和路径最优化的技术[4]。在网络中,运行了生成树协议的交换机会推举出一台根网桥,根网桥是LAN中的所有其它网桥需通过的最短路径抵达的网桥。LAN中,运行了生成树协议的交换机会计算自身通向根网桥的各条路径的开销。除根网桥以外的每台交换机都会保留具有最低开销的路径,并会切断所有其它路径。这样使得接入网络的计算机在与其它计算机通讯时,只有一条链路生效,既保障了网络的正常运行,又保障了冗余能力。
生成树协议通过交换网桥协议数据单元(BPDU)来协调工作。STP BPDU是一种二层报文,目的MAC是多播地址01 80 C2 00 00 00,所有支持STP协议的交换机都会接收并处理收到的BPDU报文。生成树协议工作时,交换机的每一个端口都会经历一系列的生成树状态,状态流程图如图5所示[1]。
2.1.2访问控制列表(ACL)
ACL(Access Control List,访问控制列表)主要用来实现数据流识别功能。各网络间的通信、内外网络的通信都是企事业单位的网络中必不可少的业务需求,但为了保证内网的安全性,需要通过安全策略来使非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的[5]。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。由ACL定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用。根据应用目的可以将ACL分为以下几种:
1.三层ACL,根据三层源IP地址设置规则。
2.高级ACL,根据数据包的源和目的IP地址信息、IP承载的协议类型、协议特性等设置规则。
3.二层ACL,根据源和目的的MAC地址、VLAN优先级、二层协议类型等设置规则。
4.用户自定义ACL,以数据包的头部为基准,指定特定位置截取的字符串与用户定义的字符串进行比较。
2.2解决方法研究
2.2.1解决方法思路
要利用生成树协议来达到剪裁冗余链路消除环路的目的就要在单位信息机房内、外网两个网络的二层汇聚交换机之间创建一个人为的连接,使其能够互通生成树的网桥协议数据单元(BPDU),但同时出于网络间隔离的需要,又不能让该连接完全提供两个不同网络间的信息通信。因此考虑借助二层访问控制列表来实现数据帧的过滤。由于STP BPDU是要进行目标MAC地址是01-80-C2-00-00-00的广播,所以确定可以通过对该目的MAC地址过滤的ACL允许BPDU传递,而通过对其它源和目的MAC地址是任意的数据帧进行阻断的ACL达到隔离通信的目的。
2.2.2实验环境搭建
为了验证2.2.1小节设想的解决思路,特采用最普通的二层交换机设备设计了一个实验方案,实验设备连接如图6所示。
2.2.3实验过程记录
表2 实验操作记录表
三、结论
通过对内、外网间桥接或环路的引发的故障实例分析,对各类桥接或环路发生的场景进行研究,提出了基于STP及ACL两项以太网交换机功能解决现实问题的思路,针对设想的思路组织了一套简单的实验方案进行验证。验证结果表明该解决方法可以较圆满的解决1.2节描述的(A)(B)(D)(E)(F)的桥接或环路场景。对于(C)类的场景,可以在接入交换机上配置单端口检测(loopback-detection)功能来解决。本文通过简便易行的技术手段解决内、外网间桥接和环路问题,极大的提高了网络的可靠性。并且在桥接或环路发生时,根据被STP协议置于非转发状态的端口,可以很容易的找到环路发生的位置并人工拆除引发环路的网线,但与采用该措施前相比,处理所需要的人工工作量已经大幅的减少了。
参 考 文 献
[1] Gary A. work Warrior-思科网络工程师必备手册[M].第2版:人民邮电出版社,2012:80-105
[2] 黄向农,罗必然.网络环路轻视不得[J].网管员世界,2006(1):99-101
[3] 张永锋.网络信息安全探讨与隔离技术的应用[J].中国新通信,2012(22):61-62
1攻击图相关知识
1.1攻击图的概念最早的攻击图由Cunningham等于1985年提出,攻击图是一种图形描述形式,当攻击者企图入侵计算机网络时,可表示能否从开始状态到达最终状态的一种流程。攻击者可以利用已经获取访问资格的为起点,目的在于作为下一次发起攻击,以使达到最终的攻击目标。一个完整的攻击图可以表示所有可能达到目的的操作序列。目前在攻击图方面的研究已初有成果,总体来讲,攻击图提供给我们这样的思路,从已知的方面去构造出一种模型,这种模型对现实网络中的一些要素进行简化或理想化,这样做就可以专注于网络安全中最重要或比较重要的环节,暂时不考虑不重要的因素,专注于考虑所研究的网络的安全性。攻击图应用范围很广,目前已应用于经济领域的方方面面,在计算机网络中,不仅用于对系统安全性的分析和入侵检测系统的设计,攻击图作为理论研究方面的图论方法,还可可以应用于很多方面,诸如任何只要包含多个节点的网络或系统都可以应用攻击图来建模并进行整体方面的研究,从而达到各自的目的。
1.2攻击图发展现状一个完整的攻击图方法最早由Kuang提出,这种方法扩展到了一种基于NetKuang的网络系统,这种系统已被用于分析网络配置的脆弱性。在上世纪末Swiler等提出了一种攻击图方法,这种方法以解决安全分析中把网络拓扑信息也考虑在内为目的。为了自动生成网络攻击图,同时一种基于模型检测器的网络图方法被Sheyner、Jha、Ritchey等人提出。虽然这种技术能够自动生成攻击图,但为了使获取的攻击场景最大化,模型的状态集中数目也可能最大化,可能的情况下最好能包含所有的状态,但这里又存在一个致命的问题,在大大规模网络中这往往是不可能的问题。基于这些存在问题,上述学者提出了很多办法:为了使所获取的攻击图更简单,学者Sheyner提出了二分决策图(BDD)模式以求对模型检测算法复杂性的最小值,Ammann提出了一种假设问题,即网络攻击的单调性,用来控制攻击图生成过程;TaoZhang等提出了另一种思路,即通过“分析主机链路关系攻击特征构建网络安全状态模型前向搜索、广度优先、深度限制来生成攻击路径的步骤来解决问题;MelissaDanforth提出了一种算法,这种算法可生成实现可测的攻击图,具体思想是通过抽象模型和聚类方法来降低原子攻击的数目和机器的数;KyleIngols出提出了一种算法,这种算法是基于多前置条件的网络攻击图生成方法;RonaldW.Ritchey提出了一种以主机为中心的算法,这种算法以网络主机为中心,不断扩展到各终端上,最终生成攻击图,这种算法解决了复杂性问题,适用于大型网络。随着网络规模的增大,基于网络攻击图技术的研究也越来越多,可以这样讲,近几年研究成果差不多近似线性增加。
1.3现有攻击图需解决的问题现有的网络攻击方法有很多,主要集中于攻击语言、攻击树、攻击网、状态转移图和攻击图等。现有攻击图生成方法中普遍采用漏洞扫描工具获得网络可达性信息,但是通过网络扫描获得可达信息存在以下不足之处,即信息健状性、信息及时性、信息的稳定性。具体表现在信息完整性的欠缺,一方面,通常只允许一部分主机或端口连接,因而它只能够发现当前执行扫描的主机隐藏的连接限制,无法得知其他主机存在的连接限制;另一方面,耗时长,网络扫描通常扫描大量甚至全部端口,开销很大,耗时很长,这就是传统防火最大的缺陷。如使用Nessus技术对跨网段的20台主机的扫描持续了6分10秒,可见若对于越来越大的网络规模,在大型的企业中跨多段的形势也成必然的情况下,扫描时间上将让人无法接受,甚至超出了无法忍受的状态;抗干扰能力差,大量的端口扫描占用了网络带宽,对正常流量产生干扰,可能影响正常的网络访问。
2攻击图算法建模过程
网络攻击事件的波姿(Büchi)模型描述在攻击图建模中,出现了很多有价值的成果,以文献为例,该文献网络攻击图与波姿模型有机的结合,一方面将把需要把网络攻击事件进行抽象为波姿模型,另一方面把网络攻击事件中发生变化的各种因素抽象为波姿自动机中的状态。从物理概念上,这些序列就是攻击者发动的一系列攻击步骤,是网络攻击事件系统可能的动作的子集,也就是说波姿自动机识别的语言是网络攻击事件系统的可能动作的子集。因此,从某种意义上讲这种波姿自动机是当前网络攻击事件所创建的波姿模型。基于上述描述,可以这样认为,某网络攻击事件的模型一般由侵略者状态、主机状态、转换条件三个因素构成:侵略者的状态,也即侵略者发起侵略和侵略过程中所在的主机;主机的状态,包括侵略者在该主机上获得的权限,主机上存在的漏洞情况以及当前能被利用的侵略方法等;转换条件,也即侵略者使用的侵略方法的前置条件和后置条件。
3总结
网络会计信息是任何一个单位的核心信息,对这些信息要加以层层防范,在网络信息管理系统中,采用攻击图人侵检测技术具有一定的价值。攻击图一般是采用有向图来表示的,学者们往往根据有向图中的点和边的具体意义来进行设计模型,攻击图所形成的攻击路径便很好的表示出了黑客可能的攻击,形成网络会计的整体安全防火墙,为会计信息提供预测防护。本文提出的算法基于攻击图的网络安全分析方法现在还不是很完善,针对分析方法中的攻击图的动生成算法还有待改进,主要表现为时间复杂度和空间复杂度均有待优化,这是下一步值得深入研究和学习的问题。
作者:饶正婵蒲天银田华单位:铜仁学院信息工程学院
档案信息化是指运用现代信息技术将传统的档案实物、文本,包括图片、文件、信函及声音资料等转化为相对应的数字信息,在档案管理活动中全面应用现代信息技术,对档案信息资源进行处置、管理和为社会提供服务,加速实现档案管理现代化的进程。实现档案管理低碳信息化的必要性主要体现在节约资源、降低能耗、减少污染等方面。在我国实行可持续发展战略中,“低碳”理念的培养关系着我国未来能否持续有效的发展。同样,在档案管理信息化建设中,我们应该同样重视低碳的作用。走低碳发展道路,既符合当前气候环境合作的要求,也符合当前经济社会可持续发展的路径。
二、低碳信息化的三大原则
应开展档案管理信息化低碳制度的可行性研究,在档案信息化管理相关制度修订中,增加低碳排放的有关规定,使电子文件的归档、档案数字化、数字化档案的保管、传递、利用等工作都能实现有序、标准和规范,为推动低碳信息化做保障。
三、低碳信息化的实现路径
建设高校档案管理领域的低碳信息化,实现档案管理的可持续发展,要从不断改进档案管理现有的软、硬件环境入手,改进档案管理模式,实现建设效益化、管理低碳化、归档自动化、馆藏数字化、利用网络化。(一)建设的效益化。在档案信息化建设过程中,要从节约成本、提高效益等方面来考虑最优化路径的设计,系统评估、比较研究,达到事半功倍的目的。如在软硬件设备等的投入方面,要建立合理的资金投入预决算制度,加强各项经费管理,使每一分钱都发挥其最大效益,以有限的投入达到产出最好的服务效果和最大的利用者满意度。(二)管理的低碳化。引入先进、科学的管理理念,提倡“低碳管理”的理念和模式,提高档案管理的效益和水平,降低档案收集、整理、查阅、利用等日常档案管理流程中不必要的能耗。例如,档案查阅是档案管理工作的一项重要内容,查阅工作的难易取决于档案管理系统的合理布局。而改善布局的有效方法就是加强对查阅资料的统计分析,利用这些统计数据,重新设计档案利用的流向方式和分类布局。(三)归档的自动化。目前许多高校都在大力推进办公文件自动流转归档系统的建设,这较好地满足了不断增加的电子文件的管理和利用需求。但高校要归档的材料不只局限于文书性材料,还有大量的教学、科研、财会、出版等专门性材料,使得归档自动化的难度大大提高。应通过对电子文件归档管理办法与技术手段的研究,探讨高校OA系统与教学、科研、财务等业务系统信息的有效集成和共享在文件收集归档环节的应用,逐步实现归档工作的自动化,从源头上解决传统归档工作需要耗费大量人力、物力,成本高、效率低的问题。(四)馆藏的数字化。随着国内信息化工作的稳步推进,高校档案界对档案数字化尤其重视,但在此过程中,或多或少地存在着各种资源浪费,这种浪费大多是可以避免的。因此,在馆藏数字化方面,重点是要更新观念意识,采取积极的管理手段和技术措施,实施低碳、经济、高效的数字化。一方面,应通过归档鉴定、筛选等环节,对档案进行数字化的必要性研究,制定科学合理的数字化范围,确定需要数字化的档案材料;另一方面,通过对数字手段的规范研究,在数字化过程中采用无损、经济、高效的数字化及存储方案,将馆藏纸质档案转换成数字影像文档,实现“以文本为检索对象,以原稿图像为检索结果”的全文检索,这样既可以降低数字化过程中的资源消耗,提高资源利用率,同时也可以很好地保存纸质档案原件。(五)利用的网络化。档案信息的网络利用高度依赖于先进的技术手段,因此其重点和难点在于信息技术的突破。例如技术标准的统一、身份信息的网络认证、电子签章的有效验证、传输利用过程的信息保密、网络系统的安全保障等问题,这些都是开展网络化迫切解决的问题。通过对电子文件、电子公文查阅利用办法与技术手段的研究,改变传统档案利用方式;应用档案门户网站、档案信息化应用系统等平台,实现档案的在线网络利用,降低打印、复印纸张的频率。通过对档案信息资源与公共信息资源数据库的关系研究,构建起高校档案共享及远程利用系统,实现各高校之间档案信息的共享和传输,优化信息资源配置,以达到查阅利用高效化、低碳化的目的。
四、低碳信息化的保障措施
为保障低碳信息化的有效实施,就需要妥善解决观念、技术条件、安全保障等诸多方面的问题:
(一)观念意识创新。低碳视角下的档案信息化建设,不仅需要档案人员主动学习新的信息技术,熟练运用科技手段完成归档管理与服务利用工作,还需要档案人员将低碳意识融入到日常工作中,在开展信息化工作时切实做到低碳、高效。这就需要档案人员及时更新观念意识,本着低碳、高效的工作思路,科学、规范、创造性地开展档案信息化工作,做节能减排的有心人。
(二)信息化平台建设。在档案信息化应用平台建设方面,可循序渐进、分步骤、分阶段实施。早期可依托数据提取和系统对接等手段,集成和共享高校内部各业务系统信息,并建立起功能完善的档案门户网站及档案网络系统。中期以办公自动化建设为契机,开发集办公、流转、归档为一体的办公文件自动流转归档系统。后期则在突破技术瓶颈的情况下,建立起以网络利用为目标的档案信息资源数据库,如智能数字档案馆。
关键词:高职院校 安全保卫 突出问题 防范对策
中图分类号:G647 文献标识码:A 文章编号:1674-098X(2016)10(b)-0077-02
随着高等教育大众化进程的推进,高职院校的校园面积不断扩大,赋予了自主招生的权力以后,导致学生人数逐年剧增,学生的素质层次与本科院校相比更显出参差不齐,从而使高职院校安全保卫工作中发生的新情况和新问题也层出不穷。因此,新时期如何加强高职院校安全防范工作,健全科学的高职院校安全保卫工作机制和安全教育制度,已成为当下高职院校安全保卫工作的重中之重。文章通过分析当前高职院校普遍存在的安全问题,并结合笔者学院安保工作的实际情况,从技防建设、网络安全建设、安保队伍建设等方面剖析了高职院校普遍存在的安全问题,在此基础上阐述了具有针对性的解决方法。
1 当前高职院校安全工作问题分析
1.1 技防建设存在一定滞后
随着科学技术的发展与应用逐步深入,尤其是信息技术的发展,当前的违法手段也日益变得多样化,而高职院校的安保条件由于种种原因,在技防建设方面已经落后于现状,防范手段严重滞后。
首先是技防单元之间缺乏联动性。完整的技防体系涉及到学校安防的各大模块,然而当前不少高职院校的技防体系缺乏整体性,系统之间难以实现良好的对接和联动。
其次是技防设备性能落后,难以满足当前安全管理的需求。不少高职院校在部署校园安全管理系统时,并未进行整体的构建设计,这样很容易导致技防系统技术性能落后,监控点难以覆盖足够的区域等现象发生,技防系统的性能也难以满足不断发展的安全监控要求。
1.2 面临网络“微时代”的安全问题
随着互联网、电信业的迅猛发展,“微时代”众多的网络新媒体对大学生思想、生活、学习的影响是把“双刃剑”,它在为大学生便捷、及时地获取知识信息、了解社会、交结朋友带来机遇的同时,也使得当今高校的安全管理工作面临着前所未有的挑战。目前“微时代”给高校安全带来的危险主要有:(1)各种敌对势力通过“微时代”对广大青年学生进行着、反政府思想意识的传播和渗透;(2)在“微时代”里犯罪分子利用电话、短信、网络等方式进行虚假信息诈骗十分猖獗,而大学作为电信网络最集中的地方,大学生也是受害最严重的群体;(3)在高等教育发展过程中涉及到学生切身利益问题以及学生非正常死亡等一些突发事件的网络舆情,通过微信、微博、QQ等新媒体往往会起到“推波助澜”的作用,一旦控制不好,就会非常危险。
1.3 消防安全管理水平不高
高职院校当前正处于蓬勃发展期,与外界接触范围广,联系较为密切,情况较为复杂,主要精力集中在设施建设、教学科研等方面,对消防工作重视不够,人、财、物投入严重不足。同时学校消防安全管理人员专业化水平不高、师生员工的消防安全意识淡薄、学生违规违章用电、实验室化学品及危险品储存不当等问题,给高校消防安全带来了极大隐患。
1.4 院校领导对安全保卫工作重视不够
就大多数高职院校而言,学校领导对安全保卫工作重视不够,对学校安全工作存在着“说起来重要,做起来次要,忙起来不要”的思想。主要表现在安全保卫工作经费投入不足,工作人员年龄偏大、学历偏低、技能不足等。
2 高职院校安全管理工作创新路径
2.1 以队伍建设为抓手,提升安全管理能力
做好安全管理工作,关键在人,故要重点抓好保卫人员、保安人员、学工人员及学生干部。要充分利用高校的优势,通过在职培训、人才引进等途径,加强安全管理队伍建设,建立一支懂业务、善创新、会操作、严律己的高素质队伍,逐步使安全管理人员由“体力型”“劳力型”向“智能型”“智力型”转变。为了提升学院安保能力,笔者学院在加强安全管理队伍建设过程中,不断对专兼职安全管理人员进行教育和培训,重点专门招聘一名公安专业毕业的大学生,有力带动了学院保卫队伍能力建设。
2.2 以“三防”建设为基础,构建立体化安防体系
高校安全管理防控体系主要由人防、物防、技防三方面组成,建立高校的校园安全管理防控体系必须构建以校园“110”指挥中心为枢纽,实现人防、物防、技防的有机结合。该院根据平安校园建设要求,在加强人防、物防的基础上,加大对技防设施的投入力度,积极实施和推进科技创安工程,逐步建立起中央监控室及重点要害部位的安全技术防范体系,全面提升安全防范措施的科技含量。近两年重点建设了防盗报警系统、视频监控系统、消防报警系统及门禁道闸系统等,有力提高了该院危机管理能力和突发事件处理的快速反应能力。
2.3 加强情报信息,健全信息预警机制
情报信息工作不H是安全保卫工作的基础,更是校园稳定的生命线,因此平时一定要做到信息灵敏、反应迅速、上报及时,要做到广开信息来源,拓宽信息渠道,增强信息意识。在实际工作中要将工作重心下移到各二级院系,与有关老师、辅导员建立良好的人际关系,与宣传部、学工处、团委要加强交流沟通,只有这样才能为拓宽信息渠道奠定良好的基础。该院从2006年就成立了一支由学工干部、二级院系辅导员和学生骨干组成的信息员队伍,建立了上下贯通、横向沟通的二级信息员网络,形成了交错通畅的信息网络。
2.4 加强网络安全教育,建立网络安全监管机制
当前大学生几乎人人涉足网络,虽然他们有驾驭网络的技能,但对维护网络安全的法律法规知之甚少,网络安全防范意识淡薄。因此,要想学生正确利用网络资源,合理规划大学生涯,必须从学生内因上加强网络安全教育,让大学生自觉树立责任意识。目前高职院校安全教育工作基本上是由班主任和辅导员承担,但由于他们还肩负着大量繁杂的日常事务工作,导致安全教育工作出现空当,因此学校应根据自身条件,通过专兼聘等形式,建立一支具有较高水平的网络安全教育队伍。
为了净化校园网络环境,还应建立校园网络监管机制。一是成立网络舆情监管组织。组织宣传部、学工处、团委、信息中心和各院系负责学生工作的干部以及学生骨干,加强网络舆情审查和排查,构筑校园网络“防火墙”;二是健全网络管理制度。加强网络管理制度建设,是实现校园网络安全发展和创新的根本保证,只有不断完善网络管理规章制度,才能使网络安全工作高效有序开展。
总之,随着社会的发展,高职院校必将会出现新的问题和矛盾,只要能够认真对待和分析这些问题产生的原因,寻找科学合理的解决办法,任何问题和矛盾都可迎刃而解。
参考文献
[1] 张永州.进一步做好新形势下的高职院校保卫工作[M]//王文湛.学校安全工作指南.北京:光明日报出版社,2005.
嘉兴烟草的网络经过十多年的建设,硬件上逐步完善,主干线路上的路由器、交换机等设备全部采用双机热备,广域网的线路带宽达到了16M+16M+2M+2M四条线路热备,城域网采用裸光纤通信,配送中心、专卖指挥中心等关键场所采用1000M通信,满足了当前视频与数据通信的需要,其网络结构见图。
近几年,国外企业网出现的安全事故数不胜数,但在国内仍旧有很多企业没有意识到企业网安全的重要性。因此,我们在积极建设企业网的同时,应该借鉴国外企业网建设和管理的经验,在网络安全上多考虑一些,消除企业网中可能出现的危险和漏洞,使花费不少财力、人力和时间建立起来的网络真正达到预想的效果。
嘉兴烟草网络的接入和使用情况,主要可分为三部分: 互联网接入(包括内网访问外网,外网访问内网服务器,VPN用户通过SSL VPN设备访问公司内部网络); 烟草专网的接入(包括上联省局的线路和下联县公司的线路); 银联网络接入(包括工行、农行、信用合作社等三家)。
整个公司的局域网可以划分为三个主要的区域: 互联网区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括: 财务子网、领导子网、办公子网、市场部子网、服务器子网等。在不同的区域,不同的部门,可以采取不同的安全策略防止来自网络的危害,保证网络正常、高效地使用。因此,制定安全规范非常重要,本文提出的是根据实践经验所总结的安全措施。
规范互联网接入
外网接入是影响网络安全的主要因素,嘉兴烟草采用全地区统一外网接入方式。在目前无法实行内外网物理隔离的条件下,采用防火墙进行隔离,需要在防火墙上做严格的配置。防火墙规则是安全策略的技术基础,规则设计应遵循以下思路和原则:
建立规则文件。明确每条规则的作用,不在规则内的流量应予以阻止。建立规则文件非常重要,因为网络的重大错误往往是防火墙配置的错误造成的。
网络地址转换要谨慎。地址转换配置(NAT)分为源地址转换和目的地址转换。在源地址转换的配置中,需要配置源地址到伪装源地址(转换后的源地址)的转换规则,要为源地址设置一个伪装的合法地址。在源地址转换时,使内部子网的地址能利用一个伪装的合法地址达到访问外部网的目的,这样就省去了占用多个合法IP的资源; 在目的地址转换的配置中,需要配置目标地址到真实目标地址之间的转换规则。在目的地址转换时,系统必须把目标地址和端口转换成真实的内部子网或DMZ区的地址,端口才能进行数据传送,这样系统可以指定某一子网或DMZ区的IP地址和相关端口接收外部网的数据。
路由设置必须合理。防火墙一般提供静态路由,这是由网络管理员在启动网络路由功能之前预先建立起一个路由映射表。要访问某一子网的用户必须经过路由表中配置的网关地址,才能到达该子网。有时,不但要防止来自外部的黑客攻击,还要防止来自内网盗用他人的主机IP进行非法活动。采用内部网段的IP地址与网卡MAC地址绑定的方式,可防止内部主机盗用其他主机的IP进行未授权的活动,该设置具体可以在每个县的核心交换机上做,并且可有效地防止Arp攻击。
规则力求简单。一个简单的规则集是建立一个安全防火墙的关键所在。应尽量保持规则集简洁和简短,因为规则越多,就越可能犯错误。一个好的规则最好不超过30条,规则少还意味着只分析少数的规则,这样,防火墙的CPU周期就短,效率可大大提高。当要遵从很多规则时,就要认真检查整个安全体系结构,而不仅是防火墙的。
规则次序很关键。同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。一些防火墙具有自动给规则排序的特性,很多防火墙以顺序方式检查信息包。一般来说,应该将较特殊的规则放在前,较普通的规则放在后,这样可防止防火墙配置错误。
注意更改控制。恰当地组织好规则之后,写上注释并经常更新它们。注释可以帮助管理员明白哪条规则做什么。对规则理解得越透彻,错误配置的可能性就越小。特别是在规则较多时,建议当规则被修改时,把规则更改者的名字、变更的日期和时间、变更的原因加入注释中,这可以帮助管理员跟踪谁修改了哪条规则以及修改的原因。
做好审计工作。在安全审计中,经常能看到某个防火墙由于某个规则配置的错误而将机构暴露在巨大的危险之中。因此,不仅要对防火墙的操作进行审计,还要对审计内容本身进行审计。同时审计中要有明确的权限,充分保证审计内容的完全性。
路由安全为重
在网络的接入过程中,路由器是网络系统的主要设备,也是网络安全的前沿关口。如果路由器连自身的安全都无法保障,整个网络也就毫无安全可言。因此在网络安全管理上,必须对路由器进行合理规划、配置,采取必要的安全保护措施,避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。
下面是一些加强路由器安全的具体措施,用以阻止对路由器的攻击,并防范网络信息被窃取。
增加认证功能,提高网络安全性。路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,烟草专网用的是Ospf协议。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可能使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式,就会鉴别路由信息的收发方。有两种鉴别方式,其中“纯文本方式”安全性低,建议使用“MD5方式”。
物理安全防范。路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复流程”后,就可以完全控制路由器,这就要求对进入机房的人员进行严格的审核。
保护路由器口令。在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文也仍存在被破解的可能。一旦密码泄漏,网络也就毫无安全可言,所以应当特别注意口令的保护工作。
管理HTTP服务。HTTP服务提供Web管理接口。“no ip http server”可以停止HTTP服务。如果必须使用HTTP,一定要使用访问列表“ip http access-class”命令,严格过滤允许的IP地址,同时用“ip http authentication ”命令设定授权限制。
抵御spoofing(欺骗)类攻击。使用访问控制列表,过滤掉所有目标地址为网络广播地址和宣称来自内部网络,而实际上却是来自外部的数据包。在路由器端口配置:ip access-group list in number 访问控制列表如下:
access-list number deny icmp any any redirect
access-list number deny ip 127.0.0.0 0.255.255.255 any
access-list number deny ip 224.0.0.0 31.255.255.255 any
access-list number deny ip host 0.0.0.0 any(注: 上述四行命令将过滤BOOTP/DHCP 应用中的部分数据包,在类似环境中使用时要有充分的认识。)
防止包嗅探。黑客经常将嗅探软件安装在已经侵入的网络上的计算机内,监视网络数据流,从而盗窃密码,包括SNMP通信密码,也包括路由器的登录和特权密码。网络管理员在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持加密协议,请使用SSH或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
校验数据流路径的合法性。使用RPF (Reverse Path Forwarding,反相路径转发)校验,由于攻击者地址是违法的,所以攻击包被丢弃,从而达到抵御spoofing攻击的目的。RPF反相路径转发的配置命令为: ip verify unicast rpf。注意: 首先要支持 CEF(Cisco Express Forwarding,快速转发)。
防止SYN攻击。目前,一些路由器的软件平台可以开启TCP拦截功能,防止SYN攻击,工作模式分拦截和监视两种,默认情况是拦截模式。(拦截模式: 路由器响应到达的SYN请求,并且代替服务器发送一个SYN-ACK报文,然后等待客户机ACK,如果收到ACK,再将原来的SYN报文发送到服务器; 监视模式: 路由器允许SYN请求直接到达服务器,如果这个会话在30秒内没有建立起来,路由器就会发送一个RST,以清除这个连接。)首先,配置访问列表,以备开启需要保护的IP地址: access list [1-199] [deny|permit] tcp any destination destination-wildcard。然后,开启TCP拦截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch。
使用安全的SNMP管理方案。SNMP广泛应用在路由器的监控、配置方面。SNMP Version 1在穿越公网的管理应用方面,安全性低,不适合使用。利用访问列表仅仅允许来自特定工作站的SNMP访问可以提升SNMP服务的安全性能。配置命令:snmp-server community (xxxxx RW xx xx是访问控制列表号)SNMP Version 2使用MD5数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。
设备备份系统。根据用户的网络情况,应注意骨干交换机、路由器等核心网络设备的备份。备份设备可以在段时间内替代网络中实际使用的设备,一旦核心设备出现故障,使用备件替换以减少网络故障时间。在交换机的配置上,应该给所有接入网络的IP设备进行IP和MAC的绑定,以防Arp病毒对整个网络造成影响,影响业务系统的正常运行。
链接一
规范其他设备接入
除了上述网络设备之外,与网络接入的其他相关设备也是响影安全的因素,任何一处的安全薄弱点被恶意攻击者利用的话,都有可能导致整个安全体系的崩溃,这就是安全的“木桶原理“。
服务器安全管理
1. 防病毒软件病毒库定期升级。
2. 服务器定期扫描、加固。
3. 防火墙日志备份、分析。
4. 入侵检测等安全设备日志备份。
5. 服务器日志备份。
6. 为了防止同一网段有服务器中病毒后发动Arp攻击,并影响其他服务器上应用的正常使用,应该在核心交换上做IP与MAC的绑定。
7. 对服务器进行安全设置。服务器使用NTFS文件系统、关闭默认共享、修改共享权限、对系统管理员账号改名处理、禁用TCP/IP 上的NetBIOS、防范拒绝服务攻击、IIS的安全配置等都非常重要。
管理好员工电脑接入
员工个人电脑是网络中接入数量最多的设备,我们在实践中进行如下管理办法:
1. 在主交换机上划分不同的VLAN网段。对关键应用,如呼叫中心、仓储管理、分拣等工作场所使用单独的网段,并禁止上外网,确保网络病毒不在这些关键网段中爆发。
2. 在主交换机上采用IP与MAC绑定技术。可以有效防止个人非法修改IP地址,阻止Arp等网络病毒的传播。
3. 采用Power IDS网络审计监控、网路岗等软件,对个人电脑进行安全监控。
4. 禁止3G等无线网卡在个人工作电脑上使用。以防止外网接入无法控制。
网络安全不单是指网络设备的安全,也是指与网络有关的所有设备与行为综合形成的结果。它们共同形成了木桶的安全效应。嘉兴烟草的网络建设遵循国家局、省局制定的网络规范,几年来达到了安全运行无事故,保证了信息系统的正常使用。
链接二
关闭非安全服务的指令
关闭察看路由器诊断的信息。关闭命令如下: no service tcp-small-servers no service udp-small-servers。
关闭查看路由器当前的用户列表。关闭命令为: no service finger。
关闭CDP服务。在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。
