时间:2022-05-07 09:19:08
引言:寻求写作上的突破?我们特意为您精选了1篇网络安全论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
1校园网网络中存在的问题
随着网络应用的深入,学院校园网络的安全问题也逐渐突出,大量的网络病毒攻击校园网络,比如网络钓鱼、僵尸网络等。主要的安全隐患有以下几种:
(1)计算机系统漏洞。目前,校园网中被广泛使用的网络操作系统主要是WINDOWS,存在各种各样的安全问题,服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。
(2)病毒的破坏。病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪,是影响校园网络安全的主要因素。
(3)来自网络外部的入侵、攻击等恶意破坏行为。校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
(4)校园网内部的攻击。
2Honeynet技术在校园网网络安全中的应用
根据学院实际情况和校园网总体设计需求,为了更好地防御校园网中的各类网络木马、病毒(僵尸网络、网络钓鱼等),部署了Honeynet系统,但由于整个校园内部网络威胁较为严重,各种病毒较为猖獗,校园网常被病毒感染,因此部署的Honeynet系统主要是监控校园网内部的网络攻击。为了更好地采集信息,充分发挥Honeynet系统在校园网安全防护中的主动防御功能,将Honeynet系统放到黑客容易访问到的地方。根据实际校园环境的要求,笔者部署一个带有不同操作系统的Honeynet,这个蜜网存在着各种各样的漏洞,以吸引攻击者进行有效的访问,从而获取访问信息的和其日志记录并加以深入分析和研究。通过使用虚拟软件(VMWare)和物理计算机建立一个混合虚拟Honeynet,从而减少了物理计算机的需要。宿主主机的二个网卡设置:一个是设置作为虚拟控制机,并通过虚拟网桥连接Honeywall,另一个设置连接校园内网路由器。这里把eth1的IP设为192.168.1.2,而把eth2的IP设为192.168.1.3,这样管理机和虚拟Honeypot就不在同一个网段上,保证了管理机的安全性。在本次Honeynet系统中所有主机都可以通过ssh或MYSQL连通”firewall”;所有主机都可以连接到Honeynet系统;Honeynet允许连接到任意主机;除次之外,所有的通信都被拦截,同时防火墙允许通过的数据均被记录。当完成对虚拟Honeynet系统的配置后,需要对其进行测试,看是否能够正常运行,首先测试虚拟机蜜罐和宿主主机之间的网络连接,包括(1)宿主主机和蜜罐上通过互相ping对方的IP地址测试网络连通性,经测试网络连通性正常。(2)在Honeynet网关上监听ICMPping包是否通过外网口和内网口。 通过测试后,说明虚拟机蜜罐和外部网络之间的网络连接(通过Honeynet网关eth0和eth1所构成的网桥)没有问题。对Honeynet网关的远程管理进行测试,需要使用SecureCRT软件,远程ssh连接Honeynet网关管理口,经过测试表示该虚拟Honeynet可用。
3结束语
通过部署校园Honeynet,防御校园网络的黑客攻击,深入了解攻击者对网络的攻击行为,了解其对网络攻击的方法、步骤以及产生的数据现象;从而获取攻击者的行为记录,分析黑客攻击强度和技术能力;通过记录分析,了解当前常见黑客攻击手法,有针对性的保护系统;为以后的教学和科研提供最原始的资料;对技术人员的安全水平有了进一步的提高,从根本上提高校园网网络防御能力。
作者:李巧君 李垒 单位:河南工业职业技术学院 计算机工程系
1电力信息网络安全的理论及安全风险分析
1.1电力信息网络安全的相关理论
随着社会的不断进步发展,我国的电力企业在新的阶段取得了瞩目的成就,国家的有关部门以及各级的电力企业对电力信息网络安全问题有着很高的重视度,故此在2002年国家经贸委制定了相关的电网和电厂计算机监控系统及调度数据网络安全防护规定。次年,将国家电力信息网络安全运行归入到电力安全生产的管理范畴,并将其纳入电力安全生产的体系。在网络的安全技术措施方面,电力信息部门在国家信息安全防护框架下,在2002年开始了电力系统信息安全示范工程,针对电力信息网络安全系统的建设已经是近些年的电力企业信息网络化建设的重点内容,诸多的电力企业在网络身份认证以及防病毒、攻击方面得到了加强,各电力单位也有了不同等级以及种类的信息网络安全体系。
1.2电力信息网络安全当前面临的风险分析
在电力信息网络安全所面临的安全风险可分为网络设备风险以及网络中信息风险两个层面。在电力信息网络安全并非是单点安全,它所指的是在整个电力企业的信息网络整体安全,这就涵盖着管理以及技术两方面。在电力信息网络安全的物理安全风险方面主要就是信息网络服务系统中的设备以及服务器和用户端计算机等这些设备,在物理安全风险方面主要有火灾以及雷电等,这些风险会使得电力信息网络突然中断或者系统发生瘫痪等。在网络安全风险方面主要有电力实时系统安全风险以及网络体系结构安全风险和网络通信协议安全风险。在电力信息网络安全系统的安全风险主要就是操作系统安全风险和数据库安全风险以及病毒危害风险、黑客入侵风险。应用安全风险方面就是身份认证和授权控制安全风险,信息传输完整性风险,信息传输机密性以及不可抵赖性风险。在管理上的安全风险主要就是责权不明以及管理的混乱,安全管理制度的不完善和操作性不强,网络管理员自身方面存在的问题以及缺乏对网络可控性和可审查性。
2当前我国电力信息网络安全现状及应对策略探究
2.1当前我国电力信息网络安全现状分析
从当前我国的电力信息网络安全现状情况来看,还存在着诸多的问题有待进一步的解决,首先就是电力企业的员工在信息网络安全意识方面还有待加强,最为突出的就是用户的安全意识有待加强,系统登陆口令比较的简单,有的甚至是将账号以及密码借给他人使用,对电力信息资源的共享以及管理不理性,这些方面对信息网络安全都有着比较大的威胁。另外,就是电力企业员工多网络长时间的占用,从而大量的消耗了网络资源,从而给电力信息网络安全的通信增加了负担,这对电力系统内部的网络通信效率有了很大的影响,有的由于对网页的浏览以及使用了优盘致使一些网络病毒在信息网络中大肆的传播,从而给电力信息网络安全带来了很大的威胁。再者就是缺乏统一的信息安全管理的规范,由于种种因素使得电力信息网络安全的管理规范还没有得到统一完善的建立。还有就是在和电力行业特点相适应的信息网络安全体系方面的建设还没有完善,在电力系统当中的信息网络已经渗透到了诸多的领域,在管理以及经营和生产等方面的应用已经是愈来愈多,但实际的安全技术和策略等应对措施比较的缺乏。还有就是信息网络硬件系统不牢固,这是比较普遍的问题,虽然互联网的硬件系统已经在安全性和稳定性方面都具备,但依然在一些方面还存在着脆弱性,硬件故障对信息的传输会造成不安全的威胁以及信息失真。
2.2针对我国电力信息网络安全现状的应对策略
在对电力信息网络安全的相关问题采取防范措施时,要能够从实际出发,首先要对电力企业人员在信息安全网络的意识上得到加强,对员工在信息网络的安全教育和培训方面进行强化,要能够让电力企业的员工通过教育培训对电力信息网络安全的重要性有充分的认识,要能够对相关的要求规定严格的遵守。另外,就是要创建电力信息网络安全体系的防护骨架,要能够将其和电力工业特色、企业电脑信息技术的实际得到有机的结合,从而来创建电力新提案权体系的防护骨架,还要能够根据信息业务的功能,把电力信息系统分成不同的层面,也就是信息网络安全自动化系统以及生产管理系统和电力信息管理系统,这样能够循序渐进有规律的对实际问题加以解决。再者就是对安全管理的强化,首先在网络的设备安全管理方面,网络设备的安全管理要能够将分区防御以及双网双机得以实现,进而再建立多层防御以及登记防御的体系,对信息网络的数据要做好检测和控制工作,并要能够对网络的访问加以严格控制,要进行实施入侵防护措施,在网络的访问权限进行设置。对网络的性能要进行及时的检测,从而使得网络的安全运行得以保证,在电力信息的传输过程中要进行加密处理,要保证信息的保密性,针对敏感性的数据信息要设置复杂的保密方式,防止非法的侦听和盗取信息数据。另外还可以通过防火墙的隔离措施进行对非法网络入侵问题进行防范,安装入侵检测系统以及服务器核心防护系统,对网络的安全性进行实时的监控,这样能够使得电力企业信息网络安全事故得以较低。为能够有效的将电力企业的生产控制区安全得以保障,通过在生产控制区以及外部网络汇接点上架设网络隔离设备,能够将生产控制区的安全得以有效的保障,网络隔离设备能够在不影响电力系统的状况下,把生产控制系统的数据单向发到与之相连的MIS网络或者是其它的业务系统当中,能够将一些网络入侵以及病毒的攻击等得以有效的隔离,这样就对电力企业的生产控制系统的安全运营有了保障。最后在信道安全方面进行采取相关的手段也能够对电力信息网络的安全起到保护作用,在跨广域网的安全措施方面可通过MPLSVPN将多种业务进行隔离,这样能够保证各种业务间的安全性和独立性,为能够使得各电力部门的网络正常的运行,将MPLS进行引入是最佳的解决方案,这样能够实现电力调度等生产控制业务在跨广域网时的安全防护。
3结语
总而言之,在对电力信息网络安全进行防范的过程中要针对具体的问题进行应对,处在当前的发展阶段,电力系统的正常运转对我国的经济发展以及人们的生活有着密切关系,所以在信息网络方面进行加强是保障电力系统正常运转的重要前提。在未来的电力企业的发展过程中,要能够将电力信息网络安全管理得到有效的加强,如此才能够创建稳定安全的网络化信息环境。
作者:益雯君 张振武 方方 单位:国网陕西省电力公司铜川供电公司
1医院信息化管理过程中暴露的各种网络安全隐患
以C/S为架构基础的医院信息系统网络,已经实现了对医院各个部门的广泛覆盖,大量联网的计算机在相同的时间段内同时运行,已经与患者在医院就诊的众多环节相联系,导致各类业务空前依赖网络。各大医院,依靠互联网实现了联接,并实现了和医保之间的联网,促进了医院网络越来越开放,这样就使得发生网络攻击、感染病毒的几率显著提高,要是网络信息系统出现故障,势必会使得医院上下的管理与医疗工作遭受影响,使患者、医院均蒙受无法估计的损失。医院信息化管理过程中,暴露的安全隐患大部分集中在系统安全、数据安全、网络安全三大方面。就系统安全来说,具体涉及操作系统安全与物理安全、还有应用程序安全;数据安全涉及数据防护的安全、数据本身的安全;在网络攻防手段与技术等显著发展的影响下,网络安全越来越复杂、多样,新旧安全威胁同时存在。通常而言,网络安全问题涉及四大方面,即技术、物理、应用服务、产品。受人为操作出现错误或失误、自然灾害、各类计算机攻击行为影响,造成的计算机网络无法正常运行,都属于物理方面;研发设计的信息产品有一定的缺陷存在,或者引进使用、日常维护信息技术,受某些非自主、非可控性影响,产生的安全隐患,都属于技术方面的;软件操作系统、硬件设备、应用程序中,被植入恶意代码或隐藏后门等带形成的安全威胁都属于产品方面的;网络终端与网络实现连接以后,面对的各种安全问题,像非法入侵、病毒感染,黑客攻击、违规操作、间谍软件等,导致主机遭遇劫持、系统网络中断、数据被破坏或直接、医疗信息被窃取泄露、病人账户隐私遭到盗窃等,均属于应用服务方面。
2新形势背景下应对医院网络安全问题基本策略
医院网络安全会直接影响到医疗业务能否正常开展,构建一个能够稳定、安全运行的要想实现信息网络环境安全、稳定地运行,一定要把握安全策略、管理制度、技术手段三大方面之间的有效结合。
2.1安全策略
为了保障服务器能够高效、可靠、稳定地正常运行,实施双机热备、双机容错的处理方案非常有必要,关于非常重要的设备,对主机系统供电尽可能使用UPS,一方面有利于供电电压保持稳定,同时对于突发事件防控具有显著的作用;针对主干网络链路,网络架构设计,构建冗余模式非常必要,在主干网络某条线路出现故障的时候,通过冗余线路,依然可以正常传输网络的信息数据;同时要对业务内网和网络外网实施物理隔离,防止互联网同医疗业务网之间出现混搭,有效控制医疗业务数据利用互联网这个途径对外泄漏,防止外部网成为非法用户利用的工具,进入到医院信息系统或服务器,展开非法操作;为了防止医院的业务信息发生丢失或遭到破坏,非常有必要构建数据与系统备份容灾系统,这样即便存储设备或机房发生故障,也能保证信息系统运行较快恢复正常运行;在权限方面实行分级管理,防止发生越权访问的情况、防止数据被修改,针对数据库建立专项的审计日志,实时审计关键数据,能够实现跟踪预警。
2.2技术手段
网络安全问题日益多样化,而且越来越复杂,所以依靠技术手段对网络安全防范,也要注意防御措施的多层次性与多样性,对以往被动防护的局面转换,提高预防的主动性。因为医院在网络架构上实行外网与内网相隔离,内网上对在安全要求上,内网的要求相对而言更高,安装的杀毒软件最好为网络版,并成立管理控制中心,能够修复漏洞、对整个网络进行体检、修复危险项、查杀病毒等;将防火墙网关设立在外网和内网之间,对非法用户、不安全的服务予以过滤,能够及时探测、报警网络攻击行为等,对恶意入侵有效防控;还可以通过对专业的入侵检测系统部署,对防火墙存在的缺陷有效弥补,将众多关键点在网络中设置,利用检测安全日志、行为、审计数据或别的网络信息,对网络安全问题及时掌握,并做好应对;也可以对安全扫描技术,扫描网络中存在的不安全因素。
3结语
保障网络环境的安全性与稳定性是医院信息化管理的要求,因此必须重视从安全策略、管理制度,技术手段等角度,对医院信息系统安全全面加强。但是医院的网络安全实际上只是相对来说的,绝对的安全是不存在的,所以要立足于自身的实际特点,在实践过程中持续完善优化,这样才会保障网络安全防护体系行之有效,提升医院信息化管理效率。
作者:李冠宏 单位:徐州医学院附属第三医院
1电力系统信息网络安全的基本特征及实现要点分析
1.1信息网络安全的基本特征
(1)相对性。安全系统是相对的,换而言之便是没有绝对的安全系统;同时,操作系统和网络管理之间存在相对性,安全性基于系统的不同部件之间能够发生转移。(2)相关性。这里指的是配置的相关性。日常管理过程中,不一样的配置会产生全新的问题,一般的安全测评只能证明特定环境和特定配置的安全性,例如新设备的应用等。(3)时效性。主要体现为新的漏洞及攻击方式逐渐呈现,比如:NT4.0便从SP1逐渐发展至SP6;现在安全的系统在未来其安全性将会面临考验。(4)复杂性。对于信息安全来说,属于一项较为系统的工程,需融合技术手段及非技术手段,并且与安全管理、培训及教育密不可分,大致上分析便知其复杂性较高。(5)不确定性。指的是攻击的不确定性。如攻击时间的不确定性、攻击手段及目标的不确定性等。
1.2信息网络安全的实现要点
(1)需要对网络系统的硬软件及数据进行有效保护,对于系统遭到破坏、更改或泄露等情况需实现有效规避。(2)对于外部非法入侵行为需采取有效防止措施,同时加强内部人员的管理及教育,使内部人员的安全意识得到有效提高。(3)信息安全管理者需重视信息网络安全现状所存在的问题,例如行为管理的脆弱性,又如网络配置及技术的不完善性等。在认识到问题的基础上,制定有效的改善策略,进一步提高电力系统信息网络的安全性。
2电力系统信息网络安全架构策略探究
2.1防火墙技术
电力系统当中,为了防止病毒入侵,便需要防火墙技术的介入。目前具备的防火墙指的是设置在不同网络或网络安全域间的一系列部件的组合,它属于不同网络或者网络安全域间信息的唯一出入口,可以企业的安全政策为依据,进一步对出入网络的信息流实现有效控制,同时自身还具备比较强的攻击能力。另外,它还是提供信息安全服务的重要基础,也能够使信息网络更具安全性。近年来,防火墙技术已经广泛应用于局域网和Internet之间的隔离。
2.2NAT技术
应用NAT技术,能够让一个机构里的全部用户以有限的合法IP地址为途径,进一步对Internet进行访问,这样便使Internet上的合法IP地址得到了有效节省。另外,以地址转换为手段,还能够使内网上主机的真实IP地址实现隐藏,进而使网络的安全性得到有效提高。
2.3防病毒技术
利用防病毒产品,能够防止恶意程序的入侵,并起到抵御病毒的作用,进一步使网络当中的服务器及PC机获得了有效防护。防病毒产品具备功能强大的管理工具,能够对文件进行自动更新,让管理及服务作业更具合理性。另外,还可以使企业的防病毒安全机制更具完善性,具有优化系统性能及解决病毒攻击等优势,为电力系统信息网络的安全性提供了重要保障。
2.4网络加密技术
网络加密技术是指对原有的数据或明文文件通过某种特定算法进行有效处理,使其成为一段不可读的代码,然后只允许输入相应的密钥后才可显示出原来的内容,通过此途径为数据的安全性提供保障,同时使数据更具完整性及保密性。
2.5指纹认证技术
对于电力系统来说,其信息网络安全的身份认证显得极为重要。在现有的硬件防火墙的条件下,可以进一步应用最新的身份认证技术,即为指纹认证技术。基于电力信息网络管理过程中,把具有合法特质的用户指纹存入指纹数据库当中。使用指纹技术,便可以使认证的可靠性增强。主要原理是,把用户的密钥与用户指纹特征统一存储在密钥分配的KDC当中,用户在应用密钥时通过自动指纹识别确认身份后从KDC中获取。
2.6数据加密技术
防火墙及防病毒系统技术能够对电力系统起到保护作用,同时通过数据加密技术也能够对电力系统起到保护作用。数据加密技术是一种对网络传输数据的访问权进行限制的技术,在加密设备与密钥加密过程中会产生密文,把密文向原始明文还原的过程为解密,是基于加密处理的反向处理,但是对于解密者来说,需使用同样类型的加密设备及密钥,才能够进一步对密文进行有效解密。
3电力系统信息网络安全构架
通过防火墙、病毒网管及认证服务器,使非授权用户入侵网络的情况得到有效防止,进一步使网络系统的可用性得到有效体现。充分应用CA中心,能够对用户起到权限控制作用,并且在结合内容审计机制的基础上,能够对网络资源与信息实现有效控制。通过防毒管理中心,并利用漏洞扫描器,使系统内部安全得到有效保证,进一步保证了信息的完整性。通过VPN与加密系统,保证了信息不会泄露给没有获得授权的实体,进而使信息更具保密性。另外,利用入侵检测及日志服务器,能够为网络安全问题提供检测方面的有效依据,使信息实现可审查的特征,进一步充分保证了信息的可靠性及安全性。
4结束语
通过本课题的探究,认识到电力系统网络安全还存在一些较为明显的问题,如信息化建设步伐较为缓慢及病毒的侵害等。对于电力系统信息网络来说,它不仅是一项技术,而且还是一项较为复杂的系统工程。该项系统工程需要技术、管理及策略作为依据。在现代化背景下,信息网络安全仍有很大进步及改善的空间,因此做好电力系统信息网络安全研究工作便有着实质性的作用。对于电力系统工作人员来说,需要充分解决电力信息系统网络安全架构所遭遇的阻力及不利因素,进一步完善电力信息网络安全工作。
作者:方方 益雯君 张振武 单位:国网陕西省电力公司铜川供电公司
1校园网安全威胁因素
校园网作为因特网的重要组成部分,为教学提供了极大的方便。由于管理和使用等因素,校园网面临着严重的安全威胁。其中主要体现为水灾、雷击或者操作人员的操作不当而导致的硬件或者网络系损坏,另外黑客攻击是校园网系统的主要安全影响因素。近年来,随着网络技术的发达,木马安装程序也越来越精密,不但影响公共网络,也给校园网的安全带来极大的冲击。学生作为主要操作者,缺乏专业的技术,因此容易出现操作失误现象。另外,学生的好奇心会导致系IP被修改,或者进入不安全网页,导致计算机系统被病毒侵害。另外,校园网系统还面临着系统应用问题和管理风险。系统应用问题主要体现为操作系统安全隐患和数据库安全隐患。由于系统自身设计不完善,将导致操作系统存在致命的安全隐患,这需要检修人员和技术人员及时发现并对其进行处理,以免出现重大安全事故。计算机服务器终端安全风险将导致整个系统的安全系统下降,出现安全漏洞,影响计算机的使用寿命。从这一点上,确保操作系统的信息安全是管理者的重要任务。但在校园网管理上,由于受到高校制度和对网络教学或者计算机实践教学重视程度不够的影响,管理安全隐患十分明显。目前,校园网安全管理依然是人在管理,管理效率低下的主要原因在于管理人员的综合素质不高,管理制度不明确。要解决这一问题,就需要对校园网管理制度进行调整。
2校园网络安全防范设计方案
为了提高校园网的安全系数,应建立可靠的拓扑结构,其中包括备份链路、必要的网络防火墙以及VPN的构建。具体过程如下:
2.1利用备份链路优化校园网的容错能力
备份链路的使用可有效提高网络的容错能力,降低安全风险。主要应用于路由器同系统核心交换机之间,其作用在于对学生连接的外网进行检验和排查,控制非法连接,从而提高被访问网页的安全系数。在核心交换机之间同样可进行双链路连接和端口聚合技术,从而确保链路之间的备份,提高交换带宽。
2.2计算机防火墙的合理应用
计算机防火墙在校园网安全中起着决定性的作用。通过防火墙的建立,可拦截存在安全隐患的网页。操作人员可在防火墙上预设适当的安全规则ACL,对通过防火墙的数据信息进行检测,处理存在安全隐患的信息,禁止其通过,这一原理使得防火墙具有安装方便,效率高等特点。在计算机系统中,防火墙实际上是外网与内网之间连接的唯一出口,实现了二者之间的隔离,是一种典型的拓扑结构。根据校园网自身特点,可对这一拓扑进行调整,将防火墙放置于核心交换机与服务器群中间。其主要原因为:防止内部操作人员对计算机网络系统发起攻击;降低了黑客对网络的影响,同时实现对计算机网络系统的内部保护和外部保护,使流经防火墙的流量降低,实现其高效性。但是随着科技的发达,网络木马的类型逐渐增多,这要求防火墙技术也要不断的更新,以发挥其积极作用。将计算机防火墙同木马入侵检测紧密结合在一起,一旦入侵检测系统捕捉到某一恶性攻击,系统就会自动进行检测。而这一恶性攻击设置防火墙阻断,则入侵检测系统就会发给防火墙对应的动态阻断方案。这样能够确保防火墙完全按照检测系统所提供的动态策略来进行系统维护。
2.3VPN的构建
VPN主要针对校园网络的外用,尤其是针对出差人员,要尽量控制其使用校内网络资源。如必须使用,则要构建VPN系统,即在构建动态的外部网络通往校园网的虚拟专用通道,也可建立多个校园网络区域之间的VPN系统连接,提高安全防护效率。
2.4网络层其他安全技术
网络层其他安全技术主要体现为:防网络病毒和防网络攻击。现在网络病毒对网络的冲击影响已经越来越大,如:非常猖狂的红色代码、冲击波等网络病毒,所以有必要对网络病毒继续有效的控制;而网络中针对交换机的攻击和必须经过交换机的攻击有如下几种:MAC攻击、DHCP攻击、ARP攻击、IP/MAC欺骗攻击、STP攻击、IP扫描攻击和网络设备管理安全。
3校园网的安全管理方案
计算机管理也是校园网安全的主要控制方案。在促进管理效率提高的过程中,主要可以采取VLAN技术、网络存储技术和交换机端口安全性能提高等方案,具体表现为以下几个方面:
3.1应用VLAN技术提升网络安全性能
VLAN技术是校园网安全管理中应用的主要技术,这一技术的应用有效的提高了计算机安全管理效率,优化了设备的性能。同时对系统的带宽和灵活性都具有促进作用。VLAN可以独立设计,也可以联动设计,具有灵活性,并且这一技术操作方便有利于资源的优化管理,只要设置必要的访问权限,便可实现其功能。
3.2利用网络存储技术,确保网络数据信息安全
校园网络数据信息安全一直是网络安全管理中的主要任务之一。除了技术层面的防火墙,还要求采用合理的存储技术,确保数据安全。这样,不但可以防止数据篡改,还要防止数据丢失。目前,主要的存储技术包括DAS、RAID和NAS等。
3.3配置交换机端口控制非法网络接入
交换机端口安全可从限制接入端口的最大连接数、IP地址与接入的MAC地址来实现安全配置。对学生由于好奇而修改IP地址的行为具有控制作用。其原理在于一旦出现不合理操作,将会触发和该设备连接的交换机端口产生一个违例并对其实施强制关闭。设置管理员权限,降低不合理操作。配置交换机端口可实现将非法接入的设备挡在最低层。
4总结
校园网在为教学提供方便的同时,其安全也值得重视。基于校园网安全防护的复杂性和科技的快速发展,其安全防范技术也逐渐增强。本文提出了校园网网络安全防范方案其中主要研究了计算机系统的防病毒处理。取得了一定的效果,但具有一定的问题需要解决。其中包括检测与防护之间的联动如何实现,防护策略如何更新等。校园网的安全防护对于计算机网络的整体安全具有十分重要的作用,实现这一系统安全是教学中的主要任务。虽然很多学校开始重视互联网的安全防护,构建了较为完善的防护制度,出台了具体的防护措施。但计算机黑客攻击时刻存在,并且病毒对计算机造成的毁坏越来越大,如何构建一套积极可行的校园网安全防护手段是学校计算机管理人员的主要任务。
作者:杨海亮 单位:青海警官职业学院
一、三网融合技术对网络安全工作的要求
三网融合是将互联网、电信网络和有线电视网络从原本分离的状态整合到一起,实现网络三合一。三种网络以多媒体子系统为核心,从网络、业务和终端三个角度进行网络架构。网络已经成为人类生活的一部分,三网融合,会使现实生活更为便捷,在三网融合技术的带动下,网络虚拟社会逐渐形成。三网融合对网络安全监管工作提出要求,技术的升级必然要求管理的创新。公安系统在维护社会秩序的同时还要重视网络社会的秩序管理,现实社会和虚拟社会的并行进步,各个警种在技术上交织共通,快速适应三网融合后的网络社会,尤其是虚拟网络社会,及时了解虚拟网络社会的管理规则,分析信息社会的发展态势,制定相应的管理制度。网络安全监管是公安系统的重要工作。随着三网融合技术的出现,公安机关更要通过更新监管理念,创新监管手段来解决三网融合带来的网络安全监管问题。网安部门要提前对工作人员网络培训和考核,要求全员能够应用网络技术对虚拟社会全方位监控和管理,明确网络法律和职权分工,网上和网下工作同步展开,形成网络安全工作的体制和机制,认清当前的社会融合趋势,各个警种之间协调工作,从组织上和技术上应对三网融合后的信息社会。
二、三网融合后网络安全监管工作重点
第一,从高处着手,全局着眼,建立新一代全国网络安全监管系统。网络不受行政规划界限,全国统一管理,跨区域、跨省市协调合作,全面实现全国性的网络安全监管。第二,以地级市为基本单位,明确机构职责,至上而下延伸管理工作。第三,以现代化和社会化的管理手段创新和完善网络安全管理制度,树立以人为本的监管理念。建立虚拟身份实名制的信息登记制度,一旦出现问题能够从现实身份着手调查和惩处。第四,在网络上应用现实社会的管理模式,实现显示身份和虚拟身份的对接,在虚拟网络上建立网络社区的警务室,以现实社会的标准来规范网络社会。处理好公安部门、政府部门和网络信息机构的关系,明确各自职能,在网络安全监管方面协调一致,形成规范化制度约束,实施社会化管理制度。动员社会各界力量参与网络安全监管工作中来,选取有责任感的社会成员在网络上担任监管角色,成立网络安全社区监管办公室,尤其大量培养青年管理人才对网络安全进行随时监督。三网融合后,网络力量会大于现实社会的动员力量,网络组织对于网络安全的重要性凸现出来,网络组织的成立起到保障国家安全,维护社会稳定的重要作用。三网融合后的网络必须由政府进行积极引导,任何影响力大的言论都不能淹没政府的声音,这就需要公安机关采取措施使网络不能脱离监管视野。一是做好网络安全监管基本工作,对网民摸底调查,各地基层的公安系统核对网民信息实名制,上报地方网民注册数量,以社区为单位统计网民个人信息。二是对群众开展网络安全教育,提高群众对网络毒害的警惕性,大力宣传社会主义核心价值观坚持爱国爱党,相信党和国家,抵制网络负面舆论,参与维护国家安全和社会稳定。对煽动群众不满情绪、歪曲党政事实、传播反动事件的人员严加管理,必要时按照登记的实名实施跟踪抓捕,在网络上宣传正能量,对敏感人群用正面思想加以引导。培养网络领袖引领时代新风,从技术上和管理上维护网络内容积极向上。三网融合后的安全监管的对象应该是人与人之间的行为。公安机关实行网络监管主要还是对人的网络行为进行监管,每个网络人都有其现实身份,网络监管针对的就是网民的现实身份。三网融合需要建立网络信任体系,网络信任体系所依靠的就是身份认证和身份识别。大多数网站都需要用真实身份注册,再用手机或邮箱验证确认身份。在网上经营开店都需要进行实名认证,这就是建立网络信任的通行证,但在大多数网络领域并没有实施网络实名认证,网络实名认证的普遍应用应该是现代网络体系的发展趋势。网络信任体系的建设符合社会化管理的基本要求,三网融合发展必然要求建立起网络信任,网上和网下两个社会需要信任机制来关联,网络信任体系能够反映网民的真实信息,从而约束网络行为,便于公安部门网络管理。
三、三网融合技术的现代应用
三网融合的技术先进在于简化线路,用一根网线代替过去每根线只连接一种网络。随着互联网的普及,每个家庭都需要接入网线,三网融合可以大量缩减接入的网线数量。网民的注册信息可以通过小区物业来提供。以居住小区为单位,可以使网民信息的真实性得到确认和保障,小区物业本身就有该小区居民的真实信息,通过物业与公安机关的数据库联网,减轻了公安机关统计信息数据的工作量,对人口摸底调查工作提供条件。政府放权进行社会治理,小区的警务室承担了保证小区安全的责任,网民的注册信息汇总于物业,经过警务室查审,信息准确度高,管理集中方便,可以开拓社会治理新局面。三网融合对网络防护技术提出了更高的要求。三网融合的实质是将语音业务、数据业务和视频业务的融合在一起。相应的,融合后的网络技术也要随着发生变化。以IP协议、IMS技术、IP/MPLS技术为核心的三网融合技术路线根据网络的不断发展及时调整,创新安全管理制度和管理技术,围绕三网融合技术架构,创新网络安全防御。首先是终端融合,将电视屏、电脑屏和手机屏三合一,三网融合突显了终端安全的重要性,终端安全影响着整个网络的安全。这样要求我们制定终端安全核心计划,给予终端标准的安全配置,将终端安全问题出现的可能性降低,一直以来,我国缺少终端安全配置标准,对终端设备对国外技术有很大依赖,在这一领域出现了很多安全问题,三网融合可以借鉴美国核心配置计划,研制出适合我国网络发展的终端核心配置计划,保证国家网络安全。公安机关在终端安全配置计划方面可以根据实际的网络安全监管情况制定我国的终端安全计划。第一是制定终端安全配置标准指南。按照我国的政策标准和用户的实际需求,从用户权限、网络密码、端口、服务等方面提出安全管理策略的指南,重点对操作系统和应用软件实施管理,制定出适合本国国情的安全配置策略。第二是协调信息技术相关单位研发终端安全配置标配工具,比如测试工具、应用程序兼容性、安全内容自动化协议检查工具等。三是进行标准的验证与试点,包括有效性测试、一致性测试和试点应用验证等。三网融合要求对视频内容加以监控,电视网络的融入决定了未来网络社会视频信息量的增大,针对视频网络发展趋势必须提早研发出视频信息监管技术,比如对视频信息的自动监控系统,对不良视频的过滤与屏蔽,监督视频异常等,公安部门利用视频监控技术对视频信息安全监控管理。我国要研发出信息网络屏障,对我国的重要信息加密,以防敌对势力盗取重要信息,或利用网络渠道传播暴力色情等违法内容。三网融合后的网络视频信息会逐年增长,视频信息监控成为当前网络技术的重点和难点。视频网络防御技术要基于视频和音频搜索,提取有害视频,做出一帧图像或一段视频按照有害视频的特征和描述匹配识别,提取约减,采取矢量分析,流媒体协议分析等,并对技术加以攻关,争取快速实现视频自动识别和自动屏蔽。应对当前无边界的网络发展趋势,建立集中的安全服务中心。高度整合计算和存储资源,打破物理边界,安全服务要重点放在整个云计算的安全防护上。当前的网络存储资源、计算资源等形态都为虚拟化做出了重要支撑,尝试建设以虚拟化为支撑的安全防护体系,以虚拟化技术为基础合理分配计算资源和存储资源,用虚拟化之间的逻辑隔离为云计算服务商提供按需服务,实现子站群之间的信息安全。
四、结语
在公有云和私有云内部分别建立安全中心,主要功能为防病毒和漏洞,在两种云之间建立信息交换的安全通道,利用云计算技术解决整合资源、提高效率的问题,促进网站群建设的发展。
作者:杨君普 单位:中共辽宁省委党校
1计算机网络安全的含义
所谓的计算机网络安全,是将计算机及其设备实施置于一个网络系统中,通过利用现代网络管理技术和控制方法确保计算机内数据信息不受到病毒、黑客等危险因素的威胁,使计算机网络能正常运转。综合来说,计算机网络安全一般都包括两个方面,分为物理安全和逻辑安全。物理安全指的是计算机的硬件设备设施不发生相关的破坏和丢失现象。而逻辑安全指的是计算机信息的完整不受到破坏,避免受到不安全因素的影响。针对计算机网络安全的具体分类,采取科学的措施保证计算机网络系统中数据信息的安全,实现计算机网络的正常有序进行。
2计算机网络安全的影响因素
2.1计算机网络硬件的配置不科学
文件服务器作为计算机网络的的传输中心,是决定计算机系统稳定性的关键因素。在实际的计算机网络运营中,服务器并没有同计算机网络的运行需求相配合,在结构设计等方面未形成完备的计划,影响了计算机网络性能的延展性,使文件服务器功能的发挥上大打折扣。
2.2欠缺健全的管理制度
计算机的管理是规范计算机正常运行的重要制度保证,但是很多计算机网络应用系统的管理力度不够,缺乏对计算机管理的有效控制,影响计算机的正常秩序。
2.3计算机安全意识不足
在计算机系统内会有无数的节点,各个节点都有可能导致计算机数据泄露。加之防火墙配置上并未对访问权限有严格的规范,使得计算机的访问权限的访问范围不段扩大,容易被不法分子滥用窃取计算机内的重要数据信息。
3确保计算机网络安全的应对措施
3.1制定合理的网络系统结构
计算机网络安全需要依靠合理的网络系统设计,网络系统的结构是影响计算机网络安全的重要因素。所以应该形成完备的计算机网络系统结构,在不断地运行中积极寻找更好的计算机网络运行的规划设计。但同时要重点注意局域网的运行,因为局域网的技术应用是以广播为媒介的网络,系统中的任何两点会形成基础的通信数据,被存在于这两点的网卡所接收,当然数据的传输过程中还有可能受到系统内任意一点网卡的干扰,截取相关信息。可见,计算机网络的不安全因素随时存在,只要将相关的窃听装置安装于任何一点便可盗取相关数据信息,严重威胁着计算机网络的安全运行。
3.2强化对计算机网络的系统管理
如何有效对计算机网络的不安全因素进行控制,需要加强对其的管理控制。通过建立健全安全管理体制,切实提高计算机网络的安全管理水平。坚决杜绝计算机的非法用户接触计算机或者进入计算机控制室恶意破坏计算机的行为。在硬件设备的保护上,要重点打击破坏计算机的非法行为,尤其是要特别注意计算机网络服务器、打印机、路由器等设备设施上。同时要保证计算机室内的运行环境符合计算机运行的要求条件,例如室内温度、湿度、清洁情况、插座电源等要定期检查,确保能正常工作。
3.3安装计算机杀毒软件
时代的不断发展,促使计算机病毒也在不断地更新,一旦发生计算机网络病毒就会导致计算机网络系统的全部瘫痪,给计算机造成无法挽回的后果。而杀毒软件可以说是计算机病毒的克星,可以有效地防止计算机病毒的侵袭,保护计算机系统不受到病毒的威胁。所以在计算机网络的安全防护中要运用好杀毒软件的作用,在计算机内安装杀毒软件,进行系统定期的病毒查杀。但是很多计算机用户对计算机病毒的认识不够,认为计算机病毒只需要注重感染后的及时杀毒便可以,殊不知病毒最重要的是要“防”。在病毒发生之后,被动进行计算机病毒的查杀的行为只能暂时消灭病毒,而不能从根本上进行查杀,具有一定的局限性。另外,计算机病毒的特性促使其变化多样,所以一定要安装计算机病毒杀毒软件,及时发现计算内潜在的病毒并进行彻底的消除。同时,要定期对计算机进行全面杀毒,确保计算机的软件和硬件设备能正常工作。
3.4实施防火墙
近几年来,防火墙的应用越来越受到人们的关注。是近几年发展起来的一种保护计算机网络安全措施,可以有效地控制信息进出,是保护信息安全最基本的安全防护措施之一。防火墙可以真正组织非法用户入侵计算机系统,在逐步提高安全性的同时将有害的信息进行过滤,提高安全等级。防火墙的工作原理很简单,将所有的密码、口令信息都记录在防火墙上,另外对计算机系统的访问都要经过防火墙的审核。如果发现有不当的地方应该及时指出并同工作人员进行沟通解决。
3.5实施数据加密保护
数据加密是在计算机病毒防护中运营比较灵活的策略,在开放性的网络里应用最为广泛,最主要的作用是保护计算机内的数据信息,例如文件、数字等信息免遭病毒的破坏。在使用计算机时,一定要特别注意密码的保护功能,针对不同的需求进行不同密码的设置。在设置密码时要遵循一定的原则:首先尽量不要使用同一个密码,避免因一个密码的丢失而造成所有隐私的泄露。其次,在设置密码时最大程度加大密码设置的繁琐程度,包含数字、字母、标点符合等多种形式,加大破解密码的难度。最后一定不要在登录时点击记住密码功能,这样会给不法分子趁机盗取重要信息造成可乘之机,导致严重的后果发生。
3.6严格控制网络权限
并不是所有的人都可以无限制的进行计算机系统的使用,只允许一部分人有访问和使用计算机网络的权限。这样可以极大地加强计算机系统的保密性,设置重重障碍阻止不法之徒闯入计算机网络系统当中,破坏计算机的正常运行。只有具有规定权限的人员才可以被允许有计算机网络访问的权限。在进行访问时,最先有相应的用户名和密码,只有输入正确服务器才会显示下一步的访问操作,申请访问的人员在经过计算机的审查后方可进入计算机应用系统中。在这过程中,如果反复使用密码但均错误的时候,则被视为非法入侵,随之会有警报进行预警,计算机系统会迅速调整运作程序,阻止不利因素的破坏。
4结语
综上所述,计算机网络安全的内容是复杂的,包含技术、设备、安全等多个方面,很容易受到来自外界不利因素的影响。计算机网络信息系统是将安全操作技术、防火墙技术、密码保护措施以及访问权限设置等多种技术综合运用的系统,在不断地改进管理和技术的基础之上更好地进行网络安全防护。并且要依据国家法律法规的相关规定,对计算机网络安全技术进行规范和管理,为实现计算机网络的安全奠定坚实的基础。
作者:何炎 强立新 单位:陕西广电网络传媒集团股份有限公司榆林分公司
1现阶段存在的计算机网络安全问题
计算机网络安全问题主要是指通过采取相关措施来保障计算机以及计算机信息资源和网络资源不受自然和人为等其他有害因素的威胁、影响以及危害,其中主要涉及计算机软硬件以及系统中所存放的资料数据的安全性,保证不受偶然因素以及恶意破坏的影响。与此同时计算机网络安全的定义也不是固定不变的,随着计算机使用者角度的不断变化,计算机网络安全的定义也随之变化。计算机网络信息安全问题不仅不利于计算机网络的进步与发展,同时也为我国计算机网络安全提出了新的挑战。通常情况下,计算机网络信息的公开性以及计算网络信息安全之间是存在很大矛盾的,两者很难共处。网络信息的公开性拓宽了信息的共享渠道,给众多网民带来了更丰富的娱乐以及生活方式,但同时也给网络信息安全问题带来更大的压力,很多的网络安全问题是无法避免的。通常情况下,导致信息网络安全的因素既包括客观因素也包括主观认识不足的因素。计算机网络系统自身存在的缺陷、漏洞以及计算机使用者技术等问题都有可能引起计算机网络安全问题。
1.1计算机自身存在的病毒问题
在计算机编程以及程序中,所插入的能够破坏计算机功能和数据的计算机指令或者是程序代码,它主要是影响计算机正常使用并且具有自我复制功能。计算机病毒一般都具有破坏力大、传播性强以及潜伏期长的特点。一旦计算机遭受了病毒的侵害,就会带来难以弥补的损失。蠕虫病毒以及宏病毒是目前较为常见的计算机病毒。
1.2计算机黑客的非法攻击
在计算机网络信息访问中,往往会存在一些计算机黑客利用计算机系统中存在的不足以及自身所具备的一些计算机技巧对计算机信息进行一些非授权的网络访问。这种互联网入侵通常情况下主要是为了获取一些数据库资料以及对资源信息进行篡改。除此之外计算机黑客也可以通过破坏计算机的系统平台来破坏系统所具备的功能。
1.3计算机自然威胁
随着使用时间的增长,计算机的某些功能也会出现一定的损坏,这就会阻碍一些正常的计算机网络浏览。除此之外计算机网络也会受到计算机所处环境、光纤老化以及自然灾害等客观上存在的威胁,如果达到一定程度这些问题也有可能会诱发安全事故。
1.4计算机使用者非主观威胁
计算机使用过程中,由于使用者的不当操作也会给计算机网络安全带来一定的威胁。有些网民因为对于网络安全防范意识的缺乏,无法采取正确的网络安全防范措施,就会在计算机指令输入时出现偏差。
2计算机网络安全防范措施
2.1计算机自身管理使用
2.1.1计算机中安装网络防护软件
为了从源头上进行计算机网络安全的防范,需要在计算机中进行网络防护软件的安装,只有这样才能够有效的实现计算机的安全防护。在计算机中安装优质的网络防护软件,不仅能够随时的将一些不经常使用的信息端口关闭,同时对于木马病毒的侵入以及网络黑客的攻击起到一定的防范作用。
2.1.2计算机使用过程中及时进行补丁下载
在计算机使用过程中,需要及时的进行相应的补丁下载。如果在网络使用中,不及时的下载一些相应的补丁,就会大大的提高系统的被入侵的可能性。通过对计算机网络相应补丁的及时下载,不仅能够有效的弥补计算机网络使用系统中存在的不足,也能够有效的规避网络安全隐患。在计算机使用中可以安装一些专门的漏洞扫描器,例如tiger、COPS等软件,同时也可以应用一些计算机防护软件,以便能够及时的进行计算机软件扫描以及漏洞补丁的下载。
2.1.3及时进行计算机数据资料备份
计算机使用过程中,对于计算机中的数据信息及时的进行备份在一定程度上也能够降低计算机网络安全问题所造成的损失。在计算机使用过程中,及时的将一些重要信息进行复制或者是有效的数据转移则被称为计算机数据库备份。通过数据库的备份,当数据出现损坏时,用户可以通过数据内容的拷贝来重新获得数据信息。数据备份不仅是一种简单的规避风险的措施,同时也是有效解决计算机网络安全隐患的措施。
2.1.4应用计算机加密技术
通过较为专业的计算机手段对一些重要的文件进行加密便是通常所说的加密技术。计算机加密技术主要包括文件加密技术以及签名加密技术。采用计算机加密技术是有效进行规避计算机网络安全威胁的重要举措。用户签名加密技术以及文件加密技术按照加密技术功能的不同可以划分为数据传输、存储以及完整性的三种鉴别。在整个加密文件中用户签名技术是非常关键的,在使用中用户可以通过签名技术来进行电子文档的验证以及辨认,同时通过此技术的应用能够有效保证文件的不可侵犯性以及完整性。
2.2计算机个人管理
通过对计算机个人管理来实现计算机网络安全的防护主要是是指:通过计算机使用者进行自我约束将有效降低计算机网络安全的威胁;另外是指通过对他人进行有效的约束来降低计算机网路完全的威胁。计算机网络信息安全与整个社会的安全与进步是有很大关联的,保证了计算机网络信息安全也意味着实现整个社会的安全防护。
2.2.1加大教育投入,培养计算机网络人才
加大教育投入,培养计算机网络人才是非常有必要的。人才以及技术是计算机使用的关键,通过计算机专业人才的培养不仅能够保障和谐的网络环境,同时也能够对一些不法的计算机信息盗用者起到一种震慑作用。
2.2.2强化计算机使用者的安全防护意识,加强内部管理
计算机网络安全防范中七分靠管理三分靠技术,提高网络技术管理能有效的降低网络安全问题隐患,是非常有必要的。在计算机使用过程中首先使用者应该对于网络安全有正确的认识,只有网络安全防护意识提高了才能够在使用进行网络使用中多加注意。除此之外在计算机使用中应该进行密码的设置,计算机所有的相连设备以及主机都应该设置密码,同时密码也应该够长,不容易被破解,密码也需要进行定期的更换。因此在计算机使用中需要采取有效的计算机人员管理办法,只有不断增强计算机人员的安全防护意识,才能有效降低网络安全事故的发生。
3结语
计算机网络安全事故的发生存在其固有的客观性,在计算机使用中树立较好的计算机网络安全意识,能够有效降低计算机网络安全事故的发生。在计算机的使用过程中,通过采用多种有效的计算机网络安全防范措施,将在一定程度上增强计算机网络使用的安全指数。
作者:强立新 何炎 单位:陕西广电网络传媒集团股份有限公司榆林分公司
1网络安全态势感知的由来
网络安全态势感知是针对网络安全隐患提出的新型技术,其研究历史也是由来已久。20世纪90年代,网络安全态势感知是由Bass等网络信息专家首次提出,通过为了深入研究这项技术,借鉴了空中交通监管态势感知,并其中的理论知识和相关技术运用到网络网络安全态势安全态势感知体系中,并为其发展创造了良好的开端。进入到21世纪初期,网络安全态势感知引入了SILK系统,其作用规模性的监测对网路安全态势感知。同时,很多网络信息计算方面的专家对以后网络安全的发展方向作出了预测,使网络安全隐患处在了一个可控的范围内。根据目前我国网络安全实际情况,关于网络安全态势感知体系正做着积极地研究,但其实际应用的普及度还亟待提高。
2网络安全态势感知体系结构
(1)体系主要技术
网络安全态势感知对网络安全信息的管理有着很好的效果,其效果的实现是结合了多种网络网信息安全技术,比如防火墙、杀毒软件、入侵检测系统等技术,其作用主要表现在对网络安全的实时检测和快速预警。通过实时检测,网络安全态势感知可以对正在运行的网路安全情况进行相应的评估,同时也可以预测网络以后一定时间的变化趋势。
(2)体系组成部分
网络安全态势感知体系可以划分成四个部分。第一部分是特征提取,该层的主要作用是通过防火墙、入侵检测系统、防病毒、流控、日志审计等系统整理并删选网络系统中众多的数据信息,然后从中提取系统所需要的网络安全态势信息;第二部分是安全评估,该部分属于网络安全态势感知体系的核心部分,其作用是分析第一部分所提出的信息,然后结合体系中其他网络安全技术(防火墙、入侵检测系统等)评估网络信息安全的运行状况,给出评估模型、漏洞扫描和威胁评估;第三个部分就是态势感知,这一部分的作用是识别网络安全评估的信息和信息源,然后明确双方之间存在的联系,同时根据评估的结果形成安全态势图,借此来确定网络安全受威胁的程度,并直观反映出网络安全实时状况和发展趋势的可能性;最后一部分是预警系统,这个部分是结合安全态势图,对网络运行中可能受到的安全威胁进行快速的预警,方便安全管理人员可以及时的检查网络安全的运行状况,然后通过针对性的处理措施解决网络安全隐患。
3网络安全态势感知关键技术
(1)数据挖掘技术
随着网络信息技术的成熟,网络中的信息量也在不断增多,同时又需要对这些数据进行快速的分析。针对这种问题,数据挖掘技术就应运而生,其目的是在大量的安全态势信息中找出有价值且能使用的数据模式,以便检测不确定的攻击因素和自动创建检测模型。数据挖掘广义上理解就是挖掘网络中众多的信息,但挖掘出来的信息是人们所需要的,而按照专业人士的解释,数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的,但又有潜在有用的并且最终可理解的信息和知识的非平凡过程。其中提出的信息和知识由可以转换为概念、模式、规则、规律等形式。在知识的发现中数据挖掘是非常重要的环节,目前这项技术开始逐渐进入到网络安全领域,并与入侵检测系统进行了结合,其中运用的分析方法主要包含4种,即关联分析、聚类分析、分类分析以及序列模式分析。关联分析的作用是挖掘各种数据存在的某种联系,就是通过给定的数据,挖掘出支持度和可信度分别大于用户给定的最小支持度和最小可信的关联规则。序列模式分析与关联分析类似,但其分析更多的是数据之间的前后联系,即使通过给定的数据,找出最大序列,而这个序列必须是用户指定,且属于最小支持度。分类分析对集中的数据进行分析和归类,并根据数据的类别分别设置不同的分析模型,然后再分类其它数据库的数据或者信息记录,一般用的比较多的模型主要包括神经网络模型、贝叶斯分类模型和决策树模型。聚类分析与分类分析都是属于数据的分类,但两者的区别在于前者不需要对类进行提前定义,其分类是不确定的。具体细分下来聚类分析法又包括以密度为基础的分类、模糊聚类、动态聚类。关联分析与序列分析大多用在模式的发展以及特征的构建,分类分析与聚类分析大多用在模型构建完成之后的检测环节。现阶段,虽然数据挖掘已应用到网络安全领域,也具备较好的发展趋势,但使用过程中还是有一些问题需要解决。比如,获得数据挖掘需要的数据途径较少,数据挖掘的信息量过大,效率较低,费时又费力,难以实现实时性。
(2)信息融合技术
信息融合技术也叫做数据融合技术,或者是多传感器数据融合,它是处理多源数据信息的重要工具和方法,其作用的原理是将各种数据源的数据结合在一起然后再进行形式化的描述。就信息论而言,相比于单源的数据信息,多源数据信息在提供信息量具有更好的优势。信息融合的概念在很早以前就提出,而由于近些年高级处理技术和高效处理硬件的应用,信息的实时融和逐渐成为网络信息技术领域研究的新趋势,其研究的重点就是对海量的多源信息的处理。正是基于这种研究,信息融合技术的理论研究以及实际应用取得显著的效果。就信息融合的标准而言,美国数据融合专家组成立之初就进行了相应的工作,且创建了数据融合过程的通用模型,也就是JDL模型,该模型是目前数据融合领域常用的概念模型。这个模型主要有四个关于数据融合处理的过程,即目标提取、态势提取、威胁提取和过程提取。这些过程在划分上并不是根据事件的处理流程,每个过程也并没有规定的处理顺序,实际应用的时候,这些过程通常是处于并行处理的状态。目标提取就是利用各种观测设备,将不同的观测数据进行收集,然后把这些数据联合在一起作为描述目标的信息,进而形成目标趋势,同时显示该目标的各种属性,如类型、位置和状态等。态势提取就是根据感知态势图的结果将目标进行联系,进而形成态势评估,或者将目标评估进行联系。威胁提取就是根据态势评估的结果,将有可能存在威胁的建立威胁评估,或者将这些结果与已有的威胁进行联系。过程提取就是明确怎样增强上述信息融合过程的评估能力,以及怎样利用传感器的控制获得最重要的数据,最后得出最大限度提高网络安全评估的能力。
(3)信息可视化技术
信息可视化技术就是利用计算机的图像处理技术,把数据信息变为图像信息,使其能够以图形或者图像的方式显示在屏幕上,同时利用交互式技术实现网络信息的处理。在计算技术不断发展的条件下,信息可视化的的研究也得到了不断的开拓。目前信息可视化研究的领域不再局限于科学计算数据的研究,工程数据以及测量数据同样也实现了信息的可视化。利用信息可视化技术,可以有效地得知隐藏在数据信息中的规律,使网路信息的处理能获得可靠的依据。就计算机安全而言,目前网络安全设备在显示处理信息结果上,只是通过简单的文字描述或者图表形式,而其中的关键信息常常很难被提取出来。网络安全态势感知体系的主要作用就是通过融合和分类多源信息数据,使网络安全里人员在进行决策和采取措施时能及时和找准切入点。这就需要将态势感知最后得出的结果用可视化的形式显示计算机系统中,充分发挥人类视觉中感知和处理图像的优势,从而保证网络的安全状态能得到有效地监控以及预测。故而,作为网络安全态势感知体系的关键技术,可视化技术的发展以及实际应用有了显著的效果,对于网络安全态势感知中的攻击威胁和流量信息发挥重要的作用。同时,可视化技术的主要作用就是将态势感知的结果以人们便于认识的形式呈现出来,那么就需要考虑到态势信息的及时性和直观性,最后显示的形式不能太过复杂。此外,未来网络安全态势感知体系中可视化技术,还需要解决怎样把具有攻击威胁的信息与网络流量信息进行一定的联系,且为了加强显示信息的时效性和规模性,还需要制定相关的标准,保证安全态势的显示能规范统一。
4金税工程网络安全态势感知模型实例分析
对金税工程网络安全需求为牵引,通过数据挖掘深入感知IT资源(采集的要素信息),构建出金税工程网络安全态势感知模型。模型分解可分解为要素信息采集、事件归一化、事件预处理、态势评估、业务评估、预警与响应、流程处理、用户接口(态势可视化)、历史数据分析九个部分。
(1)要素信息采集:
信息采集对象包括资产、拓扑、弱点、性能、事件、日志等。
(2)事件归一化:
对采集上来的各种要素信息进行事件标准化、归一化、并对原始事件的属性进行扩展。
(3)事件预处理:
也是对采集上来的各种要素信息进行事件标准化和归一化处理。事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块。
(4)态势评估:
包括关联分析、态势分析、态势评价,核心是事件关联分析。关联分析就是要使用采用数据融合(Da⁃taFusion)技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图,借助态势可视化为管理员提供辅助决策信息,同时为更高阶段的业务评估提供输入。
(5)业务评估:
包括业务风险评估和业务影响评估,还包括业务合规审计。业务风险评估主要采用面向业务的风险评估方法,通过业务的价值、弱点和威胁情况得到量的出业务风险数值;业务影响评估主要分析业务的实际流程,获知业务中断带来的实际影响,从而找到业务对风险的承受程度。
(6)预警与响应:
态势评估和业务评估的结果都可以送入预警与响应模块,一方面借助态势可视化进行预警展示,另一方面,送入流程处理模块进行流程化响应与安全风险运维。
(7)流程处理:
主要是指按照运维流程进行风险管理的过程。安全管理体系中,该功能是由独立的运维管理系统担当。
(8)用户接口(态势可视化):
实现安全态势的可视化、交互分析、追踪、下钻、统计、分布、趋势,等等,是用户与系统的交互接口。态势感知系统的运行需要用户的主动参与,而不是一个自治系统。
(9)历史数据分析:
这部分实际上不属于态势感知的范畴。我们已经提到,态势感知是一个动态准实时系统,他偏重于对信息的实时分析和预测。在安全管理系统中,除了具备态势感知能力,还具备历史数据挖掘能力。
5结束语
网络安全隐患是阻碍网络正常运行的重要因素,如何才能减少安全隐患危害性,关键是加强对网络信息的管理和分析。网络安全态势感知技术中的数据挖掘技术和信息融合技术可以有效地管理信息,且利用可视化技术可以方便管理人员发现信息中的规律,可以及时的预防和采取针对性处理网络中安全隐患问题。
作者:陈娜 单位:兰州工业学院
一、校园网络安全方面存在的问题
(一)中小学学生网络安全防范意识薄弱,不良信息肆意传播
中小学学校网络的主要用户是在校学生,他们对网络安全不够重视,法律意识也不是很强。对网络新技术充满好奇。在好奇心的驱使,在网络中随意浏览网页和访问陌生网络地址,致使电脑受到病毒、木马有害程序的攻击而导致数据丢失、机器瘫痪,还会传播一些不良的文化,影响到学生的学习和生活。
(二)校园网网络病毒广泛存在
校园网与internet相连且速度快和规模大,在享受internet方便快捷的同时,也面临着来自internet攻击的风险。网络病毒的危害性是极大的,其传播速度快,波及范围广,造成的危害都是很大的。病毒侵入某一网络以后,根据其设定的程序,有效地收集相关有价值的信息,然后通过自动探测网内的其它计算机的漏洞,进行攻击。
(三)校园网管理存在问题
很多学校的网络管理员的都具有一定的专业水平,基本可以胜任本职工作,但是可能是学校对网络安全不是很重视,或者因为个人某些方面的原因,造成工作热情不高、责任心不强,所以很少花心思去维护网络、维护硬件。同时学校对学生的网络规范使用教育也缺乏足够的宣传力度,还有的学校缺乏必要的网络信息监控措施,允许学生通过校园网直接访问互联网,导致一些学生无意的接触到大量的非法网站,不但造成数据和信息的丢失,而且严重影响了学生的身心健康,同时也对建立和谐校园产生不良影响。
(四)校园网管理技术较为单一
当前,很多的中小学校都只是依靠单一的技术或者独立的安全产品来保证校园网络的安全。随着网络安全风险的逐步提高,当校园网络受到安全隐患时,这些较为独立的安全产品一般会各自为战,使得原有的安全防范措施不能够发挥应有的作用,这很难满足目前中小学校校园网对于安全的需求。
(五)校园网维护存在问题
维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有较系统的投入。
二、如何加强校园网络安全管理
(一)加强学生的网络安全教育和管理
中小学学校要对学生进行网络规范教育,使学生充分认识到网络的利与弊,同时学校也应加强对学生的法制教育,增强学生的法律意识,进而减少网络犯罪行为。中小学学校应加强校园文化建设,正确的指导学生多从事一些有益身心的社会活动,避免学生迷恋于虚拟的网络,迷失了自我。只有这样,才能净化网络环境,培养学生的自律意识,使网络在学校的教育工作上,发挥其积极作用。使网络更好的服务于教育,服务于信息科技的发展,服务于社会的前进。
(二)制定可行的校园网络安全管理制度
为了确保整个校园网络的安全有效运行,制定出可行的校园网络安全管理制度。
1)建立一个信息安全管理机构,制定统管全局的网络信息安全规定;
2)制定激励制度,增强网管人员的责任心并激发网管人员的工作热情;
3)加强网管人员的专业技能培训工作,从技术上提升他们对网络攻击的应对能力;
4)学校其它专业也应安排网络安全基本知识的教育,普及非计算机专业师生信息安全知识的教育;
5)加大网络安全建设的资金投入。
(三)对学生实施上网行为管理
在教学开放网络的同时,使用网络行为管理软件(例:海蜘蛛软路由)进行管理。如设定网页关键词过滤;过滤具有不良信息的网站;控制学生所上的网站。做到不允许的网站不能访问,一旦学生访问不允许访问的网站时,强制跳到预定的网站。真正达到允许上的网学生能上网,不允许上的网学生不能上网。
(四)实现域用户身份认证的过程
在校园网提供更高层次服务时,对于用户身份的认证及其服务权限的管理需求也在不断提高。以前较为独立的系统很难达到身份认证的需求,因此需要一个完备的系统,对整个校园网用户进行身份的认证和管理。配备网关认证流控设备,要求所有的内网用户假如想要访问外网都需要进行用户认证。对非法接入的用户和设备应该严厉打击。这种办法不但可以确保网络的安全性,同时还能够很好的提升网络带宽的利用率,极大的提高了效率。
三、结语
中小学校校园网络的安全管理问题是一个较为复杂的系统工程,需要全员动员,全方位进行管理。只有如此才能有效地防范网络的不良影响,才能使校园网络真正服务于教育,使中小学生在网络的世界中得到更有益的知识。
作者:钱凯超 单位:绍兴市上虞区职业教育中心
1入侵预防技术
1.1将入侵预防技术同入侵检测技术进行对比
以往用到的入侵检测产品,一般情况下都是在网络陷入瘫痪之后才对攻击的存在性进行研究。然而为了能够让大家尽早恢复正常工作的状态,网管员一般都会让自己的精力完全集中在修复网络上,从而就会没有时间对影响网络的攻击类型进行研究。除此之外,因为配置了入侵产品和防火墙之间的联动,就很容易因为入侵检测的一些误动作导致防火墙出现误动作,最终会对整个网络造成影响。所以说,入侵检测技术难以发挥主动防范的功能,那么就应该引进入侵预防技术。和入侵检测产品相比较而言,入侵预防技术具有的不同之处是:入侵预防的重点内容在于预防,预防可以渗透到应用层,并且能够识别并拦截XSS、SQL注入、后门、木马以及缓冲区溢出等。入侵预防技术能够积极主动地对服务器和桌面系统加以保护,有效地防范基于特征扫描技术而难以被发现的网络攻击的破坏。
1.2入侵预防技术包含的原理
入侵预防技术能够自动定义正当行为和可疑行为,这样的话,只要有企图做出超出预期范围的行为举动,入侵预防技术就能够抢先一步将这些不当的系统行为加以消除。一些拥有高度化结构的入侵预防系统还可以预先将规则设定出来,对邮件服务器、Web服务器加以保护。以防护重心和预防理念的角度而言,建议入侵预防置于服务器之前、防火墙之后。
2防范病毒的技术
将病毒具备的众多特点加以归纳主要表现为:较强的攻击隐藏性、加强的繁殖能力、广泛的传染途径、较长的潜伏时间、较大的破坏能力同时还具有很强的针对性等。这些病毒主要的注入技术包括:数据控制链攻击方式、后门攻击方式、“固化”式方式以及无线电方式等,对这些病毒进行防范的技术主要有:第一,有效管理病毒客户端。第二,有效控制邮件传播。第三,有效地过滤来自磁介质的一些有害信息。第四,将多层次以及多级别的防病毒系统建立起来,从而实现全面对病毒进行防护。建议经常在电脑上或者是服务器上对病毒库进行升级,并且进行定期查杀。
3防火墙技术
要使网络安全问题得以解决,防火墙技术是一种主要的手段。一般情况下,防火墙是被安装于内网和外网的节点上的,主要的作用在于逻辑隔离内网和外网。这种网络设备能够有效地加强网络之间的访问控制,它可以防止外部网络信息对内部网络信息进行非法授权用户访问。防火墙能够对流经它的一些网络通信数据进行扫描,在扫描的过程中就能够有效地过滤一些攻击,关闭一些不使用的端口能够禁止特定端口的流出通信,并对木马进行封锁,能够禁止一些来自特殊网站的访问,能够禁止非法闯入者的入侵,还可以将网络使用滥用的情况记录下来并加以统计。但是,防火墙技术也是存在着局限性的,一般来说,它只能对外部攻击进行防范,不能对来自网络内部的病毒侵犯以及木马攻击进行防范。在进行实际工作的时候,网管员应该把这种技术同其他安全技术配合起来进行使用,这样能够在更大程度上加强网络的安全性。因为,防火墙的位置是在内外网之间,因此,只要有问题出现,就会对通讯造成严重的影响。建议防火墙技术设置冗余,避免整个网络受到单点故障的影响。
4漏洞扫描技术
漏洞扫描技术的主要功能在于对系统中的重要文件和数据进行检查。主要有两种方法能够将可以被黑客利用的漏洞检测出来。第一种方法是端口扫描法。这种方法是利用对端口进行扫描得知目标主机的开启端口还有位于端口上的网络服务,并将其同网络漏洞扫描系统所提供的漏洞库加以匹配,这样一来,就能够查看出漏洞是否存在。第二种方法是对黑客的攻击方法进行模拟。利用对黑客攻击进行模拟的这种方法,测试安全漏洞。实现漏洞扫描的主要方法大致包括功能模块技术以及漏洞库的特征匹配方法。建议依照专家的指导不断的修正并扩充系统配置特征规则库,除了要依照某种标准对漏洞库进行设计之外,还需要使漏洞库当中的信息具有简易性、有效性以及完整性等特点,这样一来,即便是用户自己也可以很轻易地添加漏洞库的配置,进而做到及时更新漏洞库。
5结语
计算机网络安全技术是一种能够持续发展的综合性技术,它所涉及的范围是比较广泛的,比如数据信息安全、计算机网络系统的软件安全还有计算机网络系统当中的硬件安全等。然而,在当前的信息产业和通信产业都获得快速发展的大背景下,对于计算机网络安全技术方面的应用和研究也应该做到与时俱进,坚持不懈地对更加优化的计算机网络安全防范技术加以研究和探讨,并且有效地将其应用于网络系统运行当中,避免使用计算机网络存在的安全风险。实现信息交流的安全性以及资源的共享性,促使计算机网络系统能够更好地服务于人们的日常生活和工作。
作者:刘军 单位:中石化天津分公司信息档案管理中心
1“云计算”内含及其特点
云计算是一种基于分布式计算、网格计算、并行计算为基础的计算模型,其目的是以共享为构架并通过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,然后经由多部服务器所组成的庞大系统经搜寻、计算分析之后再将最终的处理结果回传给使用者.云计算可以使得每个用户感觉联网的计算机是一个分时系统,用户可以根据需求访问计算机以及存储系统,它具有以下特点:(1)对用户终端的设备要求较低且使用方便和快捷;(2)课提供强大的计算功能和存储功能;(3)网络数据共享可以在不同设备之间实现.
2“云计算”环境中的计算机网络安全的重要的意义及其特征
在当今这个网络时代,可以说,“云计算”是无处不在的,因而,其安全性成为使用者和管理者最为关心的问题之一.下面就谈一谈“云计算”环境中的计算机网络安全的重要的意义及其特征问题.“云计算”环境中的计算机网络安全的意义如下:
(1)“云计算”环境中的计算机网络安全可以为使用者或是用户提供最为可靠和最为安全的数据存储中心,使得用户可以不再为数据的丢失以及病毒入侵等应用性问题而烦恼.这是因为,“云计算”环境中的计算机网络安全可以保证数据得到安全性保存和备份,通过计算机局域网络和广域网络相结合的方式来构建安全的数据中心,实现多机互联备份和异地备份等多种方式来保证用户数据的安全性和可操作性.随着“云计算”环境中的计算机网络安全性的提高,“云计算”的不断推广和应用可以使得用户的数据存储在“云”中,避免诸如电脑遗失或是维修甚至是被盗后数据被窃取的风险,只要有了授权就可以随时随地进行访问和使用的便捷性和可靠性.
(2)“云计算”环境中的计算机网络安全性可以使得数据使用者或是用户在共享中的安全性也得到了保证,因为计算机“云计算”上的各种加密技术和措施可以保证用户信息和数据是以加密状态进行传输和接受的,然后以较为严格的认证和管理权限进行监控的,用户可以在使用时通过其他保护措施再次进行加密操作.
(3)虽然“云计算”环境中的计算机网络安全性要求高,但是,它对于使用者的用户端设备要求较低,这就使得其可以具有更加亲民的便捷性和使用率,在用户接入计算机网络后就可以实现“云计算”数据在不同设备之间的传输和共享,十分便捷和迅速.
(4)“云计算”环境中的计算机网络安全可以通过大量的网状客户端对网络中软件的行为进行时时监视和检测,一旦发现有木马或是恶意程序的威胁时就会将此信息送往Server端进行自动分析并及时进行处理操作,从而避免下一个使用者或是客户端的感染操作,保证了计算机信息数据传输中的安全性.而“云计算”环境中的计算机网络安全是有如下特征:
(1)具有较高的保密性,即:在未经过用户的授权使用情况下,信息和数据等是不能实现共享的.
(2)具有较好的完整性,即:在未经过用户的授权使用情况下,信息和数据是不能随意被改变、破坏或是删除的.
(3)具有较高的可操控性,即:在未经过用户的授权使用情况下,信息和数据是不会被利用和处理以及传播的.
(4)具有较高的信息审核性,即:当网络安全出现问题时,授权用户可以采取必要的手段加以核查和控制,维护信息和数据的安全性.总之,“云计算”环境中的计算机网络安全可以保证实现计算机硬件、软件数据信息不会因为意外或者和人为故意而遭到破坏、更改和泄漏的危险,并以特定的技术加以数据系统的保密性、完整性和利用性的各种安全保护.
3“云计算”环境中的计算机网络安全现状分析
3.1“云计算”环境中的计算机网络安全在技术层面存在着问题
对于一般用户来说,所有存储在云中的数据会在由于技术方面的因素而发生服务中断时无法获取和处理,不能进行操作,甚至是束手无策.并且由于技术层面的原因,其安全性会由于“云计算”在目前状况下是网络开放性和可见性的原因而存在大量的安全性问题,对于一些虚假地址和虚假标识是无法识别和甄别的.
3.2“云计算”环境中的计算机网络安全在安全性方面存在着问题
“云计算”还没有实现在计算机网络安全方面的完全保密性,其完整性和可操作性都存在着不可确定性,很多黑客都将“云计算”当成了攻击对象.此外,很多驻留在用户PC机上的病毒软件也会时不时发起恶意攻击,这也是导致“云计算”环境中的计算机网络安全在安全性方面存在着问题的重要原因之一.
3.3“云计算”环境中的计算机网络安全在相关的法律法规等政策保障方面也存在着问题
目前,在我国的计算机网络安全管理中,立法机关还没有针对其进行相关的法律法规等的监管、保护和制裁措施.可见,这种法律上的保护缺失也是造成当前“云计算”环境中的计算机网络安全的因素之一,这也是我国网络存在的弊端,立法机关应该尽早出台相关的法律法规来限制这些网络威胁行为的猖獗和肆虐.基于以上的原因,必须要加强“云计算”环境中的计算机网络安全措施.
4加强“云计算”环境中的计算机网络安全的措施
4.1提高“云计算”环境中的计算机网络安全的防范意识,并要切实地加强这种防范意识的实际落实
加强“云计算”环境中的计算机网络安全要从系统的身份认证开始,这是保障网络安全的门户和基础,也是防范第三方不明用户或是黑客侵袭的第一道防线.并且要提高“云计算”环境中的计算机网络安全的防范意识还要落实到实处,将计算机网络信息和数据的完整性和机密性、一致性给与高度保护,防止非授权的访问和传播使用,严加监控,以免造成不必要的影响和危害,严格把关“云计算”环境中的计算机网络安全信息安全的操控.其实,只要用户具有最起码或是最基本的安全常识和一些简单的基本电脑安全操作习惯,“云计算”环境中的计算机网络安全的落实就可以得到提高.例如,用户要尽量避免在公共的电脑或是网络使用系统中进行数据操作和信息使用,或是避免“云计算”数据存储时总是使用同一密码等,这些都是最为基本的“云计算”安全下增强安全意识的手段.此外,用户还要进行数据的经常性备份和整理,避免在今后的使用中出现诸如“云计算”服务遭受攻击时而出现的数据丢失而无法恢复的问题.
4.2加强“云计算”环境中的计算机网络安全技术的研发和应用,提高“云计算”环境中的计算机网络安全威胁的应对手段和能力
例如,对于计算机本身来说,用户一定要注意防火墙和其它保护屏障的使用,而这种保护措施要尽快更新,可以引用一些诸如鉴别授权机制、多级虚拟专业防护墙等,使得其技术结构保证计算机网络在使用时的安全性和高效率性,确保了“云计算”环境中的计算机网络安全的保证.又如,可以采用数字签名技术而后认证等手段来保证“云计算”环境中的计算机网络安全,使得其实际应用中具有了较高的安全性和可靠性.可以说,只有在“云计算”环境中的计算机网络安全问题得到切实的保障之后,安全、健康和科学的计算机网络使用环境才会被营造,这样才会促进我国“云计算”环境中的计算机网络事业的良性发展和壮大,为广大的“云”用户更好地服务.因此,要加强“云计算”环境中的计算机网络安全技术的研发和应用,提高“云计算”环境中的计算机网络安全威胁的应对手段和能力.
4.3加强“云计算”环境中的计算机网络安全在应用程序和服务器中的安全问题
加强“云计算”环境中的计算机网络安全的过程中,对于陌生信息和数据的防范和拦截是阻止外来不安全信息和数据侵入的一个有效方式,它可以在安装具体防护程序之时就给与保护.“云计算”计算机网络安全中问题中的服务器可以起到一种缓冲性作用,它可以对于内网进行隐藏,使得公网IP得到节省,并对访问网站的查看具有监控行和操控性,也是一种提高“云计算”环境中的计算机网络安全性的有效手段.此外,对于“云计算”服务商来说,采用分权分级管理不失为一个很好的所示.这样做的目的是可以有效防止客户的数据和程序被“偷窥”或是肆意篡改,而分级控制和流程化管理的方法可以使得每一级的管理都有被监督和被检测的保证,使得这个“云运算”数据至少会有两级人员来管理.第一级是普通的运维人员,他们的职责就是负责日常的运维工作,但是,他们无法得到用户的数据信息;第二级是核心权限人员,虽然他们可接触到到用户数据信息,但是他们会受到严格的运维流程的严格控制,从而也不能随意使用、篡改和删除用户的信息.可见,这就会加大提高“云计算”环境中的计算机网络安全性.
4.4要加强“云计算”环境中的计算机网络安全的数据安全性和保密性
要保证数据的安全性和保密性可以从以下几个方面进行努力:(1)采用加密技术,这是完成“云计算”环境中的计算机网络安全的数据安全性和保密性的最为基础和有效的方式之一.为此,使用者或是用户可以在把文件等数据性资源保存到计算机网络之前进行加密措施,例如,可以使用pgp、truecrypt、hushmail等加密程序来辅助完成.(2)可以通过使用诸如vontu、websense和vericept等过滤器来使得那些离开了用户网络的数据可以得到时时监控,对于其中的敏感性数据给与有效拦截或是阻止.在一个使用群体内,例如在一个公司内,还可以以数位排列的方式来控制不用用户在数据使用和共享等中的使用权限和程度,保证了数据操作和使用的安全性要求.(3)进行云服务提供商的选择,尽量选择那些信誉度较高的提供商.一般来说,信誉度较高的提供商会在云数据提供和贡献中有着更好的保障措施,它们有着自己的专门技术和技术人员,可以以自己的品牌为保障,数据泄露的情况会相对较少,降低了用户使用“云计算”数据时的风险性.
5结束语
在网络技术高度发达和使用的信息时代,“云计算”环境中的计算机网络安全的问题是每一个处于这个时代的人所面对的重要问题,它会在人们的学习、工作和生活中时时出现.而使用者们或是用户们务必要重视这个问题的存在和应对,在提高自身计算机网络安全技术意识的基础上,努力在技术层面得到提高;在提高自身网络安全知识结构的同时,也要努力在所能使用的安全保障措施中学会实际应用,从而为打击黑客等破坏网络安全的不良行为做出自身的一份贡献之力.可以说,只有在“云计算”环境中的计算机网络安全问题得到切实的保障之后,安全、健康和科学的计算机网络使用环境才会被营造,这样才会促进我国“云计算”环境中的计算机网络事业的良性发展和壮大,为广大的“云”用户更好地服务.
作者:何永峰 单位:集宁师范学院
一、加强电厂MIS系统的网络安全设计的意义
促进电力行业发展的需要,就要保障电力行业的良好发展,必须要确保其信息安全。但是,就目前情况来看,威胁电厂MIS系统的网络安全的因素还比较多,从而使电力行业产生了网络安全问题。具体来讲,主要包括以下三个方面。第一,技术方面,在电厂MIS系统中,其TCP/IP协议自身存在一些安全漏洞,再加上计算机的硬软件配置不够灵活,从而导致其产生网络安全问题;第二,人为因素。人们的网络安全意识淡薄,在电厂MIS系统中为了采取有效的安全防护措施,给不法分子对电厂信息的窃听、拦截等埋下安全隐患。第三,网络病毒。网络病毒具有传播快、破坏性强、繁殖力高等方面的特点,往往很难将其根除。因此,为了有效促进电力行业的良好发展,必须要加强电厂MIS系统的网络安全设计,确保其信息安全。
二、电厂MIS系统的网络安全设计
(一)电厂MIS系统的网络安全设计原则
为了有效提高电厂MIS系统的网络安全设计质量,为其后期发展提供重要的安全保障。在设计的过程中,应遵循以下几个方面的原则。第一,整体性。即在电厂MIS系统的网络安全设计中,拥有一套科学、完整的安全体系,主要包括应急体系、安全技术体系以及安全管理体系,从而有效保障其网络安全。第二,动态化。世界是处于不断变化中,信息技术的发展更是日新月异,所以电厂MIS系统总是处于不断发展中,最终得以不断更新和完善。因此,在设计的过程中,不能拘泥于当下,而是坚持一种动态发展的理念,最大程度上引进多种变量因素,确保电厂MIS系统的网络安全具有良好的适应性。第三,层次性。在电厂MIS系统的网络安全设计中,还应根据不同的需要,设置不同层次的安全等级,比如谱密、秘密、机密、绝密等,不仅满足信息保护的要求,而且还实现保密资源的有效利用。第四,可控性。在设计的过程中,为了有效避免安全技术被不法分子用在不正当的地方,必须要对安全技术进行控制。
(二)电厂MIS系统的网络安全设计的入手点
在电厂MIS系统的网络安全设计中,可以从以下三个方面入手。第一,数据的安全性。电厂拥有大量的数据,要想保障其网络安全,必须要保障其数据安全。具体来讲,可以通过数据备份、数据库的安全设计等手段加以解决。第二,使用防火墙。利用相关的防火墙技术,有效抵御外网系统的不法分子入侵电厂MIS系统,保护内网资源的安全。第三,确保单向连接。换而言之,在电厂MIS系统中,它与SIS系统的连接要保持单向连接,并且在防火墙、路由器等方面,都要设置成单向传输的方式。
(三)电厂MIS系统的网络安全的设计方案
在电厂MIS系统的网络安全设计中,可以根据电厂的实际情况,选择合适的解决方案,具体的方案有以下三种。胡晓博河南理工大学计算机科学与技术学院河南焦作454150
1、完全隔离法
所谓完全隔离法,指的是确保MIS系统内的所有计算机不能有上网功能,如果某些业务确实需要上网处理,则将其从MIS系统中划去。这样一来,有上网功能的计算机就不可以进入电厂MIS系统;而那些可以进入电厂MIS系统的计算机则不具备上网功能。使用这种方法来提高电厂MIS系统的网络安全性,有利有弊。一方面,其安全性能非常高,可以有效抵御网络病毒、TCP/IP网络协议漏洞等方面的攻击。另一方面,这种方法大大降低了计算机的利用率,不利于相关工作人员的使用;此外,其成本也比较高,因为对于那些既要进入电厂MIS系统,同时又要上网的工作人员来讲,则需要使用两种网络系统和两套网线,所以就耗费了大量的成本。
2、将防火墙技术与各种防病毒软件有机结合
随着防火墙技术的不断发展与进步,它在保障网络安全方面发挥着重要的作用。它可以对网络通信的访问进行强制监管,有效保护电厂MIS系统内部网络的安全,从而避免其遭受来自外部网络的各种攻击,比如一些不法分子非法使用、盗取、修改电厂MIS系统内部网络的各种资源。但是,就目前病毒情况来看,其更新变化的速度非常快,对于某些新的网络病毒,防火墙的隔离作用不明显。因此,需要借助相关的防病毒软件(比如卡巴、诺顿、金山卫士等)的作用,进一步抵御各种网络病毒的攻击。通常情况下,这种方法比较适合运用于中小型电厂的MIS系统中。
3、将网闸与各种防病毒软件有机结合
网闸是一种基于硬件层的读写功能交换,是一种类似电子开关的防火墙。将其运用于电厂MIS系统的网络安全设计中,不允许任何有网络连接存在于内外网主模块之间,从而有效实现了内外网之间的隔离。比如相关工作人员需要上网时,需授权用户并进行安全监测,只有监测过关后才可以进行上网,从而有效阻止外网系统对电厂MIS系统的入侵;如果工作人员不需要使用上网,它就直接等同于将内网断开Internet连接。与此同时,电厂MIS系统还借助相关防病毒软件的作用,通过其升级,不断更新其病毒库,最大程度上拦截各种网络病毒的攻击。一般情况下,一些大中型电厂MIS系统运用这种方法,因为大中型电厂对网络安全的要求一般比较高。
三、结束语
综上所述,加强电厂MIS系统的网络安全设计,既是电厂适应社会发展的需要,同时也是促进电力行业发展的需要。因此,电厂应根据自身的实际特点(比如网络安全成本、电厂规模、安全需要等),选择合适的方法,满足电厂信息安全的需要,拖动我国电力行业的健康、稳定发展。
作者:胡晓博 单位:河南理工大学计算机科学与技术学院
一、校园网络安全威胁现状分析
1.1校园网络应用协议和软件存在固有的安全缺陷
随着校园信息化水平的快速提高,教务管理、学籍管理、成绩管理、宿舍管理、网络大学等信息化产品层出不穷,独立的软件集成在一起,各自软件开发的语言不通,导致校园网络自身存在很大的缺陷,降低了校园网安全性能。
1.2入侵手段越来越智能
目前,校园网用户计算机专业技术水平不同,导致用户使用网络的过程中,携带的病毒、木马种类越来越多,并且随着黑客的手段越来越高,病毒、木马区域智能化,潜伏周期更长,更具隐蔽性,破坏性也越来越大。
1.3校园网络管理制度不健全,管理模式简单
网络应用发展迅速,网络管理制度不健全,管理模式较为单一,也同样导致学校的校园网用户安全意识淡薄,导致许多接入校园网络的终端存在很多病毒和木马,并且非常容易被黑客利用,攻击整个网络。
二、网络安全主动防御系统
2.1主动防御系统模型
目前,网络安全主动防御模型包括三个方面,分别是管理、策略和技术,可以大幅度提高网络的入侵防御、响应能力。
(1)管理。
校园网管理具有重要的作用,其位于安全模型的核心层次。网络用户管理可以通过制定相关的网络安全防范制度、网络使用政策等,通过学习、培训,提高网络用户的安全意识,增强网络用户的警觉性。
(2)策略。
校园网安全防御策略能够将相关的网络技术有机整合,优化组合在一起,根据网络用户的规模、网络的覆盖范围、网络的用途等,制定不同等级的安全策略,实现网络安全运行的行为准则。
(3)技术。
校园网防御技术是实现网络安全的基础,校园网主动防御技术包括六种,分别是网络预警、保护、检测、响应、恢复、反击等,能够及时有效地发现网络中存在的安全威胁,采取保护措施。
2.2主动防御技术
校园网主动防御技术可以有效地检测已经发生的、潜在发生的安全威胁,采取保护、响应和反击措施,阻止网络安全威胁破坏网络,保证网络安全运行。
(1)预警。
校园网预警技术可以预测网络可能发生的攻击行为,及时发出警告。网络应包括漏洞预警、行为预警、攻击趋势预警、情报收集分析预警等多种技术。
(2)保护。
校园网安全保护是指采用静态保护措施,保证网络信息的完整性、机密性,通常采用防火墙、虚拟专用网等具体技术实现。
(3)检测。
校园网采用入侵检测技术、网络安全扫描技术、网络实时监控技术等及时检测网络中是否存在非法的数据流,本地网络是否存在安全漏洞,目的是发现网络中潜在的攻击行为,有效地阻止网络攻击。
(4)响应。
校园网主动响应技术能够及时判断攻击源位置,搜集网络攻击数据,阻断网络攻击。响应需要将多种技术进行整合,比如使用网络监控系统、防火墙等阻断网络攻击;可以采用网络僚机技术或网络攻击诱骗技术,将网络攻击引导到一个无用的主机上去,避免网络攻击造成网络瘫痪,无法使用。
(5)恢复。
校园网攻击发生后,可以及时采用恢复技术,使网络服务器等系统提供正常的服务,降低校园网网络攻击造成的损害。
(6)反击。
校园网反击可以采用的具体措施包括病毒类攻击、欺骗类攻击、控制类攻击、漏洞类攻击、阻塞类攻击、探测类攻击等,这些攻击手段可以有效地阻止网络攻击行为继续发生,但是反击需要遵循网络安全管理法规等。
三、结束语
校园网主动安全是一个动态的、复杂的网络安全防御系统,可以融合现代数据挖掘技术、入侵检测技术、预警响应技术等,建立一个全方位、多层次、多维度的深层防御系统,以保证计算机网络正常运行,为用户提供良好的网络服务。
作者:丁宝英 单位:中国铝业贵州高级技工学校
1网络黑客
单纯FTP服务器型漏洞可以靠打上相应补丁进行防范,但通常FTP服务与其他服务共处一台服务器,一旦别的服务漏洞遭到攻击,就会造成所有服务的攻破。应用程序型漏洞来源于第三方应用程序自身,一方面应慎重安装应用软件,另一方面要安装安全软件并及时查毒。Web服务器型漏洞是黑客利用的重点,它主要包括跨站脚本执行漏洞、SQL注入漏洞、缓冲区溢出漏洞、拒绝服务漏洞、CGI源代码泄漏漏洞等,而数据库服务器也多出现缓冲区溢出漏洞。信息部门的网管要清楚了解本部门网站服务器和数据库服务器的配置,如它们的组合是ASP+SQLServer,还是PHP+MySQL,每种脚本语言及数据库的主要命令怎样应用。如果由网络公司代为搭建服务器,应向公司的工程师详细咨询并索要服务器的使用说明文档。对自身服务器漏洞的查询可以依靠软硬件的漏洞扫描工具来完成。对网络机房设备的安全维护应当建立健全的管理机制,如制定安全管理制度,制度条例以条文形式张贴于机房室内;制定网管人员每日巡查制度并撰写巡检报告;建立网络漏洞定期扫描和评估制度;为每名网管和服务器管理人员分配对应的管理权限,原则上只允许一名系统管理员权限存在;按照国家实验室认可标准和信息安全等级保护管理办法等相关要求定期组织单位内部自查和对下属单位监督检查;组织网管人员定期培训。上述管理方法同样适用于网络安全部门对社会各信息单位开展等级保护检查工作,在检查各个单位的服务器时可根据各单位的配置经验按照配置类型进行分组,遵照典型案例的特点去验证同组情况,在同组配置中寻找特例。
2恶性病毒
ARP病毒、DDoS攻击情况屡见于单位的内网,经常造成网络瘫痪及数据丢失,基于此采取相应的应对防范措施尤为重要。如建立每台内网内机器的IP-MAC列表,用专用软件每天定时巡检其对应性;建立每台工作用机的硬件及操作系统的配置档案并存储入库;设立硬件防火墙,定期检查机房内主干网用路由器、交换机、防火墙的日志信息并导出保存;每台工作用机由使用者负责维护,严格落实安全软件的安装和升级制度;每台联网机器制作并保存系统的备份,网管建立并保存服务器的备份;网管制作和保存单位内部设备拓扑图,一旦内网有感染病毒的机器再现,能及时将该机器或其所属子网隔离出内网;可在条件允许的情况下,将内网用3层交换机设置VLAN以区分出办公、实验、涉密等不同使用领域;与单位网络的ISP签订协议,定期更换单位的公网IP,以规避有针对性的来自外网的DDoS、ARP攻击。
3手机无线上网
随着智能手机的广泛使用和无线宽带技术的发展,网络使用人群已由传统的PC向移动终端过渡。对无线信号属性的掌握和移动终端的合理应用成为应注意的主要问题。如主流无线路由器等无线设备的常见型号及配置,信号穿透能力及散布范围,设备对不同方向的信号衰减程度,不同型号设备的抗干扰性;关注和跟踪蓝牙的无线传输和发射技术;对获得的目标手机的基站定位参数进行解读和正确拆分,并以此为根据在手机基站定位软件上定位目标手机的实际地点。
4网络音视频文件传输
面对流通于网络和存储于单位服务器上的大量音视频文件,对其进行有效分析和管理是保护自身信息安全和有效利用信息资源的重要工作。除了依靠专业技术开发对音视频文件的获取、压缩和存储的处理手段外,还可致力于开发对音视频文件的分析和判别技术,尤其是集成频率提取技术、人面识别技术、连续相似视频合并及非焦点淡化技术的综合处理模式。
5电子数据鉴定
全国大部分地区已经建立了电子数据鉴定实验室,这对涉及电子数据、信息司法裁定具有重大意义。而作为信息单位,在具备对电子数据的分析、恢复、获取等专业技术的同时,应加强对本单位重要数据的保护及管理。涉及重要数据分析、保管的部门人员应加强对电子数据鉴定领域的国家、行业标准及技术规范的学习。有条件的单位应专门设立独立部门和人员从事电子数据的提取、固定与恢复,数据的分析与鉴定,信息系统分析与鉴定等工作。对于重要信息数据的操作及保存要结合本单位工作特点制定专门的操作规范和流程。
6信息保密意识和机制
信息部门在日常工作中要处理大量来自各个领域的数据,这些数据分为外部和内部,其中相当一部分被列为涉密数据,关系着本部门的经济利益、未来发展甚至全社会的安全与稳定。因此信息部门在工作中应进一步增强保密意识,涉密文件应注明密级、保密期限、发放范围和数量;要对形成重要数据、文件过程中的中间材料、介质妥善保管;无需保管的,统一销毁;接收涉密数据、文件时要及时清点并对存储介质登记造册;涉密数据载体及文件应锁存于密码柜或档案柜中;此外,从事涉密数据业务的员工要经过保密知识培训,提高保密意识。
作者:王琚 张伟 单位:国家计算机病毒应急处理中心 天津市公安局公共信息网络安全监察总队案件支队