時間:2023-09-14 17:43:58
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇構建網絡安全體系,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:石油企業 計算機網絡 安全隱患 對策
隨著計算機網絡技術的發展,關于其網絡安全問題尤為突出。我國石油企業的現代化建設起步晚,企業計算機網絡環境相對脆弱,網絡安全容易受到多方面的因素影響。加之,在開放的互聯網平臺下,計算機網絡的安全問題呈現出多渠道、多層次的特點。因此,凈化網絡運行環境,尤其是設置有效的登錄控制,以及網絡防火墻,是實現安全網絡環境的基礎。石油企業在現代化建設中,基于網絡安全問題的解決尤為重要。
1、石油企業計算機網絡中存在的安全隱患
1.1 網絡攻環境下的病毒與黑客入侵
石油企業計算機網絡的運行平臺,基于開放的互聯網環境。企業網絡中的漏洞,都會成為網絡攻擊的對象。黑客入侵就是基于網絡漏洞,對企業的網絡環境造成威脅。同時企業的網絡服務端以員工為主,所以網絡環境相對復雜,關于網頁的瀏覽或東西的下載,都存在病毒的入侵的隱患。并且,員工的網絡安全意識比較淡薄,對于網絡環境的潛在安全隱患缺乏重視,造成企業網絡安全環境比較復雜,易受外界入侵源的攻擊。
1.2 人為因素下的網絡安全問題
人為因素下的網絡安全問題,主要表現在網絡管理端和用戶端。員工作為主要的用戶端,諸多不當的網絡操作,都會帶來安全隱患。同時,網絡管理員在安全管理中,關于數據接入端和服務器的管理力度缺乏,造成網絡數據管理上的不足。企業網絡的網絡平臺都設有權限,管理員在權限的設計上存在漏洞,在病毒的入侵下,造成局部網絡出現信息癱瘓的問題。
1.3 網絡連接的不規范,尤其是各系統間的網絡連接
石油企業在構建信息化的管理平臺中,各管理系統的網絡一體化,是平臺構建的核心內容。企業在系統的連接中,缺乏網絡風險的認識,信息系統與管理系統的連接,造成病毒對于管理網絡的入侵,最終造成整個網絡平臺的癱瘓。同時,網絡連接不規范,在構建安全的以太網環境中,存在諸多安全的操作,諸如一臺computer構建兩個以太網,在病毒的入侵防范上比較欠缺。
1.4 企業缺乏完善的網絡安全管理
石油企業的信息平臺構建,注重平臺的形式,而對平臺缺乏完善的后期維護,網絡安全管理工作不到位,以至于受到多方面的因素影響。在安全管理中,管理人員對于網絡漏洞和軟件不能及時修補和升級。同時,對于用戶端的下載和網頁瀏覽,管理力度缺乏,用戶端可以基于各網絡站點,隨意的東西下載,造成內部網絡的安全隱患。而且,對于登陸的密碼和賬號,員工隨意的共享或轉借,造成網絡運行中的各類隱患。
2、計算機網絡安全隱患的應對措施
在石油企業的現代化進程中,計算機網絡安全問題顯得尤為突出。企業網絡安全問題主要來源于管理、網絡操作,以及網絡安全體系等方面。因此,在對于安全隱患的防范中,強化網絡安全管理,以構建完善的防范體系,營造安全的網絡環境,加速企業信息平臺的構建于完善。
2.1 強化網絡安全管理
石油企業的計算機網絡安全隱患,很大程度上源于安全管理不到位,尤其是網絡權限的控制,是強化安全管理的重要內容。構建完善的權限控制系統,對用戶端進行有效的約束,進而凈化網絡運行環境。
2.1.1 構建完善的權限控制系統
企業的計算機網絡,在登錄端采用權限控制的方式,對網絡的使用進行保護。因而,企業網絡在安全管理的進程中,強化控制系統的構建。系統主要針對密碼驗證、身份識別等內容,形成完善的控制系統。在網絡的使用前,用戶端需要進行身份的認證后,才能進行相關網絡的使用。而且,對于身份認證失敗的用戶,可以將其列為黑名單,進行集中的安全管理,以針對性的防范該類用戶的登陸。于此,在權限控制系統的構建中,要明確好登陸系統和控制系統,兩系統同時進行網絡的保護,以凈化用戶端的網絡環境。
2.1.2 構建網絡安全體系
企業網絡安全環境的營造,在于安全體系的構建。基于網絡防火墻的構建,強化外來網絡威脅的阻止,以營造安全的網絡環境。同時,基于復雜的用戶端,企業網絡環境相對薄落。于是,在安全體系的構建中,以多級防護體系為主,形成多層保護機制,強化網絡安全管理的力度。對于網絡的數據,做到封閉式的管理,關鍵的數據要進行加密處理,以防止信息的泄漏。
2.2 強化網絡設備的管理
企業的網絡設備是安全隱患預防的重要部分,尤其是對網絡主機或服務器,是強化網絡安全管理的重點。對于網絡的相關設備,進行妥善的管理,網絡的電纜線在鋪設和管理中,要做到管理的封閉性,以防止外界物理輻射的影響,而造成信息傳輸的問題。同時,對于相關的網絡軟件,進行及時的升級或修補,以防止網絡系統出現漏洞,這樣可以避免各類潛在的安全隱患。
2.3 建立網絡安全應急機制
在開放的互聯網環境下,企業網路存在諸多的安全隱患。構建網絡安全應急機制,對于企業的信息管理系統具有重要的意義。基于完善的安全應急機制,可以及時地對各類安全威脅進行處理,避免外來入侵源對于網絡平臺的深入攻擊。同時,對于重要的數據信息,要進行加密或備份,以應對數據意外丟失的情況。在實際的網絡安全管理中,關于網絡運行環境的實時監控,是及時發現系統漏洞或外來入侵源的重要工作。
2.4 強化用戶端的安全意識
隨著互聯網絡技術的不斷發展,企業網絡的運行環境越來越復雜。企業用戶端在網絡的使用中,要強化其網絡安全意識,規范相關的上網操作,諸如網頁的瀏覽或數據的下載等活動,要在安全的環境下進行。同時,做好網絡安全的宣傳工作,強調網絡犯罪的嚴重性,進而約束員工的網絡活動。
3、結語
石油企業在現代化建設中,網絡信息平臺的構建十分關鍵。而基于開放的互聯網環境,企業計算機網絡存在諸多的安全隱患,嚴重制約著企業信息平臺的構建。因而,強化企業網絡安全管理,尤其是安全網絡體系的構建,對于凈化網絡環境,防范網絡威脅,具有重要的作用。
參考文獻
[1]劉冬梅.企業計算機網絡中存在的安全隱患和對策[J].新疆石油科技,2009(03).
關鍵詞:網絡安全體系;硬件防火墻;核心應用
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)09-0037-02
1 引言
二十一世紀的今天,伴隨著日益發展計算機網絡,是逐步加大的網絡安全威脅。人們亦越發重視自身所在環境的網絡安全體系結構的建設和發展。各種網絡安全技術的提出和網絡安全產品的出現也不斷豐富著網絡安全體系。那么作為網絡安全產品中的重要組成部分,硬件防火墻能在網絡安全體系中會體現出怎樣的核心應用呢?
2 網絡安全體系簡單構建例
一個完整的網絡安全體系需要涉及符合國家相關標準規定的諸如物理設備、信息傳遞、操作系統等一系列的內容。本節主要透過一家小型制衣企業的網絡安全體系簡單構建過程來直觀地體現硬件防火墻在網絡安全體系的核心應用。
2.1實施對象概況和安全需求
? 匯聚層交換機,核心層交換機和路由器等均統一放置于生產辦公綜合大樓二樓網絡中心處。
? 該制衣企業擁有電腦數量約為100臺,還有3臺網絡打印機,一臺web兼E-mail服務器,一臺FTP服務器,一臺文件服務器。會議室中還需要部署可以容納20人左右的無線網絡。
? 該企業在廣域網連接方面,除了要實現因特網接入外,還要提供遠程辦公和跟合作伙伴、供應商的VPN連接。
? 內部客戶端不能直接訪問外網,需要通過企業主干網接入INTERNET(全球互聯信息網)。供應部、營銷部、技術部可以連接Internet。實現供應部與各供應商保持聯絡,能和接收相關原材料需求和供應信息,但不能訪問特定娛樂新聞購物類網站;營銷部可以跟各渠道商通過郵件時刻保持聯系,在關注現有客戶同時發現潛在客戶,推廣企業的產品,打開市場銷路;技術部可以通過網絡查找和了解跟本企業產品相關的其他產品或相關技術,為其他部門尋找和準備相對應的網絡資源。
? 除以上部門外其他部門除有特殊情況外都不能連接Internet。并且不允許員工在正常工作時間玩基于網絡的游戲和進行P2P和BT方式的下載行為。
2.2 利用硬件防火墻完善網絡拓撲結構
基于上述的判斷,軟件防火墻和嵌入式防火墻明顯在某些要求上無法完全勝任,這時候硬件防火墻在該網絡安全體系核心應用中的優勢就能明顯體現出來了。
在該網絡安全體系結構中硬件防火墻主要由神州數碼DCFW-1800S-H-V2企業級硬件防火墻來進行承擔。在功能上該型號防火墻采用64位高性能多核處理器技術,擁有包括TCP會話保持與報文重組、VPN、QoS流量管理的芯片級加速方案,并且提供獨立的硬件DFA引擎,帶有IPS入侵檢測模組。輔以高達48Gbps的高速交換總線,以及新一代64位實時并行操作系統DCFOS,確保整個系統不僅在處理網絡通訊,而且在處理應用安全防護時擁有充足的系統資源保障。全面優化的軟硬件系統擁有高穩定性和高可靠性,其新一代網絡安全架構能提供給用戶最大化的可擴展能力,方便日后的升級。
在考慮到網絡服務器群組的使用和防護要求,同時防止內部網絡被入侵導致商業敏感信息泄露的情況發生。作為一個典型的解決方法之一就是利用硬件防火墻構建起在屏蔽子網防火墻體系結構中合并堡壘主機和內部路由器的擴展形式,如圖1所示。
在該形式中,專門劃分出一個周邊網絡“非軍事區域(DMZ)”,來將對外提供服務的各種服務器放置其中(配置示例如圖 2所示),使Internet側用戶訪問服務器時不需要進入內部網絡,而內部網絡用戶對服務器維護工作導致的信息傳遞也不會泄露到外部網絡。外部路由器主要作用在于保護周邊網絡和內部網絡,防火墻上則設置針對外網用戶的訪問過濾規則。例如限制外部用戶只有訪問DMZ區的和部分內部主機的權限。為了最大限度節約資金投入的同時提高硬件防火墻的利用率,而將原本用于隔離內網絡和DMZ區、對內部用戶訪問DMZ區和外部網絡權限進行控制的內部路由器省略,由硬件防火墻模擬及替代該部分功能。然后利用防火墻中的IPS模組對數據流進行再次檢查和報警,防止有非法數據流通過硬件防火墻而沒有被發現。為了避免外部路由器失效帶來致命影響,還可以將硬件防火墻設定為定時復制對方過濾規則,實現一個聯動和備用功能。簡單來說外網、DMZ、內網三者主要實現下面三個效果:
? 外網可以訪問DMZ,但不能直接訪問內部網絡。
? DMZ可訪問外網,不能訪問內網。
? 內網可以訪問外網和DMZ。
作為堡壘主機的硬件防火墻除了可以向外部用戶提供WWW、FTP、E-mail等應用服務外,還可以在接受外部用戶的服務器資源請求同時向內部用戶提供DNS、E-mail、FTP等服務,并提供內部網絡用戶訪問外部資源的接口。
2.3搭建網絡安全平臺
經過防火墻體系結構選型和構建,以及對如何完善安全服務機制的初步探討后,整個網絡安全體系已經初見雛形。而作為網絡安全體系中重要一環的網絡安全平臺,則可以將硬件防火墻設備與相關網絡技術結合起來,利用其搭建一個以硬件防火墻為核心的可操作性強的網絡安全平臺。
2.3.1外部訪問認證
由于存在合作伙伴、協力企業、在外出差員工等對企業網絡資源訪問需求的群體,企業必須為他們提供一種安全的遠程連接訪問方式。而硬件防火墻上技術成熟、使用廣泛的,成本低廉的VPN虛擬專用網絡技術則正好能滿足企業的需求。
通常來說傳統的通過特定VPN連接軟件連接的第一代VPN實現方式上有基于數據鏈路層PPTP、L2TP的VPN實現方式與基于網絡層的IPSec的VPN實現方式(如圖3所示)。雖然創建基于PPTP和L2TP的VPN的方法較創建IPSec VPN方法要簡單許多,但是隨著時代的進步和網絡安全威脅的日益增加,基于數據鏈路層的VPN連接已無法完全勝任時代的安全需求了。所以現在進行VPN配置時一般選擇使用IPSec技術作為數據傳輸時安全保障。
從原理上說,IPSec通過使用基于HASH函數的消息摘要來確保數據傳輸的完整性,使用動態密鑰來對數據進行傳輸加密。也剛正好符合完善網絡安全機制的要求。
圖3 傳統VPN實現方式
在防火墻中創建基于IPSec的VPN時,一般要先創建好IKE(即Internet密鑰交換協議)的第一階段和第二階段提議,然后繼續創建VPN對端,并在接下來創建IPSEC隧道并制定基于隧道的安全策略,最后再創建源NAT策略。在實現過程中有以下幾個要點:
? IPSec隧道建立的條件必須要一端觸發才可。
? 基于隧道的策略要放在該方向策略的最上方。另外從本地到對端網段的源NAT策略應該放在源NAT策略中的最上方。
? 在IPSEC VPN隧道中關于ID的概念,這個ID是指本地加密子網和對端加密子網。
除上述模式外,硬件防火墻還能支持第二代VPN實現方式SCVPN,即基于傳輸層的SSL VPN。其優勢在于相對IPSec VPN相比,配置和構建相對簡單方便,穿透力強能以透明模式功能,而且SSL VPN客戶端早已融入到各主流瀏覽器中。用戶只需要通過瀏覽器登錄并通過驗證即可使用VPN功能,為用戶省去繁瑣的客戶端攜帶和安裝,大大增強便捷性。但是缺點也很明顯,由于SSL 協議的限制,在硬件防火墻上使用SSL VPN性能發揮上遠遠不如IPSec VPN。
2.3.2內部訪問驗證
為了對內網用戶進行具體的網絡行為跟蹤監督工作,分配內網用戶訪問權限。進行內部訪問認證從而確認網絡行為實施者就變得很有必要了。一般來說,進行網絡內部訪問認證需要配置Radius認證服務器、Active-Directory認證服務器和LDAP認證服務器中的一種,用來存儲用戶信息和提供用戶驗證功能,雖說每一種驗證服務器的功能都非常強大,但是部署起來不但需為之投入額外資金和資源,而且配置相對繁瑣和維護也相對不易,對于小型企業來說實施起來有一定困難。幸好得益于硬件防火墻強大的性能,我們也可以直接在硬件防火墻上配置本地認證,然后通過web瀏覽器為客戶端進行認證登陸(如圖4所示)。當然有條件的企業亦可以通過將硬件防火墻上的WEB訪問驗證方式跟Radius、Active-Directory、LDAP驗證服務器無縫結合起來,減輕硬件防火墻的資源負擔,增強整個內部訪問驗證的可靠性和高效性。
圖4 內部WEB認證登陸頁面 (下轉第54頁)
(上接第38頁)
2.3.3網絡層到應用層全面控制
硬件防火墻通過在網絡層和傳輸層通過特定的規則、數據封包的屬性來對數據進行檢測和過濾,從而抵御非法數據的入侵和黑客的攻擊,同時提供多種地址轉換方式,這些都是硬件防火墻最傳統也最常用的應用。
開啟硬件防火墻在應用層上的附加功能以擴展硬件防火墻的安全保護范圍,提升整個網絡的安全指數。例如通過URL過濾可以屏蔽一些跟工作無關的新聞、娛樂、購物類網站以及惡意網址;通過網頁內容過濾來屏蔽一些敏感的關鍵字;通過開啟防病毒檢測,從網絡外部阻擋病毒木馬的入侵;通過上網行為監督,來提高網絡的使用效率;通過IM工具過濾來提升員工的工作效率。
3 結束語
隨著計算機網絡在人們生活的各個領域中廣泛應用,以網絡為目標的不法行為也日漸增多。為所屬網絡構建一個完整高效可操作性強的網絡安全體系亦越來越重要。而這次通過構建基于實際案例和具體網絡安全指標的網絡安全體系例子則非常充分地體現了硬件防火墻在網絡安全體系中的區域隔離、攻擊防護、協議過濾、流量控制、用戶認證、上網行為追蹤記錄與管理、VPN遠程訪問等核心應用。相信在很長的一段時間內如何有效地和實地利用硬件防火墻在應用上的優勢將會是影響整個網絡安全體系構建成敗的關鍵因素。
參考文獻:
[1] 謝希仁.計算機網絡(第6版)[M].北京:電子工業出版社,2013.
[2] 王達.金牌網管師:網絡工程方案規劃和設計[M].北京:中國水利水電出版社,2010.
本論文最終建立了適應獨立學院網絡安全管理的體系模型及應用模式,為校園網絡中所存在的嚴重安全問題提出一種思路及解決辦法。
關鍵詞:校園網 網絡安全 管理體系
Abstract:The research in this thesis is based on the data from the campus network in Zhuhai Campus of Beijing Institute of Technology, which is abbreviated to ZC below. It is a total resolution to all sorts of problems in ZC during last 4 years. The safety management system is a theoretical summary to the total resolution, which is not a simple stacking technology, but the integration of the technology, such as ACL, firework, IDS, Traffic management, intrusion detection and vulnerability scanning. Network-wide security measures are designed from the client to export to the Internet, and safety precautions are applied to every aspect of the user data streams. In actual operation, the main security problems of the networks are controlled effectively, and the network is very stable.
eventually a system model and an application model are established adapting to the safety management for the campus network of colleges and universities. Solutions to the serious security issues of campus network are put forward.
Key Words:campus network、Network Security、management system
上述三個系統在應用中,基本搭建起學校的整個電子資源,其中校務管理系統最為重要,此系統一但癱瘓意味著學校將基本停止正常運行。然而隨著互聯網技術的發展,黑客的攻擊手段日益先進。單一的技術手段無法保證系統的安全運行,只有在安全策略的指導下,建立互動的安全防范體系,才能最終保證網絡的安全,保證系統穩定運行。
構建網絡安全管理體系模型
一般而言,各學校目前普遍采用PDRR模型來構建安全防御體系。PDRR模型屬于動態信息安全理論的模型,PDRR是4個英文單詞的頭字符:Protection(防護)、Detection(檢測)、Response(響應)、Recovery(恢復)。這四個部分構成了一個動態的信息安全周期,如圖:
該模型更多的強調通過防火墻、IDS以及VPN等技術來解決校園網絡中存在的安全問題,重點在于安全應用技術,同時沒有形成體系和防御層次,并忽視了兩個重要的安全因素,安全管理與大流量數據擁堵造成的網絡安全問題。
為能夠更加有效的保證網絡及各類應用的安全運行,安全管理體系的設計應突出網絡安全的整個流程,從用戶的發起端到校園網絡的INTERNET出口,在數據流傳輸的各個環節進行了分布式的安全防范,同時輔以入侵檢測、漏洞掃描、流量管理的多種技術手段,加以監控并降低設備不必要的運行壓力,保證網絡系統穩定運行。在各個環節中,以策略為中心的安全模型可以更充分的發揮模型的各項功能。以安全策略為中心的輪形安全模型,可以從安全、監測、測試、調優、流控五個部分對我們的安全架構進行不斷的完善,使其成為一個自防御體系,能夠快速、有效、可靠、全面的發現各種系統遭受的攻擊,并實現有效的防范,以確保系統的穩定運行。
在PDRR基礎上,以安全策略為核心,以安全技術為支撐,以安全管理作為落實手段,建立了高效校園網絡安全管理體系。
針對于上述的安全架構,在具體的應用中,安全體系架構包含二個模塊:分別為校園互聯網接入模塊、校園園區網模塊,二個安全構件組成信息系統的安全架構。這種結構劃的設計,有利于在不同的網絡功能模塊之間更好的劃分安全防范的重點,并具有良好的擴展型,允許在今后的網絡安全規劃中,以一種層次的關系來分發安全策略。
安全模塊的設計特點
校園INTERNET接入模塊
校園INTERNET接入模塊主要是預防INTERNET攻擊的第一道門戶,是防范INTERNET上黑客攻擊的最主要屏障。因此,它的設計思想是以最少的策略,實現最嚴格的限制與最少的漏洞,同時保證最快的轉發速度。
校園園區網模塊
校園園區網是內部網的核心,保護著包括內網用戶、重要服務器的安全。園區網由一臺防火墻、兩臺互為冗余的主干交換機、內部應用服務器與樓層交換機、IDS模塊組成。在防火墻上根據用戶、服務進行詳細的分類,并針對每一個服務訪問做到具體的策略應用,園區網上防火墻的安全配置要求對每個訪問做到具體、全面、嚴格的限制,為每個用戶都劃分了訪問的具體范圍,它作為安全防護的中心。
安全架構的檢測
完成基本架構的搭建,為了保證各項安全措施能夠滿足防御要求,采用了多種方式進行系統的模擬安全檢測。
(1) 使用兩種漏洞掃描軟件對系統進行測試,SYMANTEC NETSTAT、及SSS軟件進行比較安全測試;
(2) 在防火墻的不同位置,TRUST、UNTRUST、DMZ、DMZ1等區域對包括網絡設備、主機系統進行了模擬攻擊;
在一個完整的校園安全管理體系中,各個部分之間的分工清晰,相互協作,在具體應用中可以很好的應用在實際的管理模塊上。這種方式將簡單、高效的布置校園網絡的安全,為校園網絡的運行及信息化建設奠定良好的安全基礎。
北京理工大學珠海學院校園網安全管理體系部署
北京理工大學珠海學院(以下簡稱珠海學院)自2004年建校以來,珠海學院已擁有在校生15000人,校園網絡經歷了6年的建設,信息點已達20000個,建成了內網骨干帶寬為20G,珠海學院外網帶寬600M,校內包括教務系統、網絡教學平臺、一卡通系統等各類應用已達40個,網絡用戶已達12500人左右。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
安全策略
珠海學院各應用服務器大部分采用WINDOWS 2003,部分采用WINDOWS 2008,數據庫服務器采用LINUX操作系統,使用的應用軟件主要包括:ORACLE、SQL SERVER、MY SQL、APACHE、IIS等,網絡情況、應用環境十分復雜。針對上述問題,在建網初期,即制定了相應的安全管理近期與長期目標。安全體系的近期目標是實現完善的安全審計和取證機制,保證受到入侵后有證可查。鑒于大多數安全事件來自于管理員的誤操作,審計在明確事故責任上也能發揮重大作用。長期目標是建立安全預警系統,能夠抵御較高水平的黑客攻擊。
分布式安全防范措施
分布式防范措施是從用戶端到INTERNET出口之間進行層層設防,部署不同的安全技術和措施,從技術方面杜絕出現安全問題的舉措。在珠海學院的網絡上,我們采取了下列措施:
(1)限定網絡用戶的不同vlan。(2)實行802.1x的認證協議。(3)網絡用戶安全管理。(4)網絡用戶隔離。(5)網間設備數據傳輸安全。(6)交換機ip與用戶ip分別管理。
(7)防止木馬的管理方式。(8)設置應用的不同安全等級。(9)服務器的安全管理。
(10)VPN訪問。(11)系統恢復。
漏洞掃描
珠海學院在漏洞掃描工具上采用的是俄羅斯Shadow Security Scanner軟件,在安全掃描市場中享有速度最快,功效最好的盛名,其功能遠遠超過了其它眾多的掃描分析工具。SSS 可以對很大范圍內的系統漏洞進行安全、高效、可靠的安全檢測,對系統全部掃面之后,SSS可以對收集的信息進行分析,發現系統設置中容易被攻擊的地方和可能的錯誤,得出對發現問題的可能的解決方法。
在珠海學院的網絡管理中,定期對各個主要的交換機、服務器進行安全掃描,以為下一步的安全管理提供依據。
入侵檢測
珠海學院的入侵檢測系統布置,分為兩個層次,首先為NIDS,主要啟用防火墻的IDS模塊功能;
另外,啟用HIDS功能及在服務器上安裝個人防火墻設置,珠海學院采用的是MICROSOFT ISA2004。
為了檢測有害的入侵者,ISA Server將網絡通信以及日志項與熟知的攻擊方法進行比較。如發現可疑的行為會觸發一組預先設定的措施或者警報。這些措施包括終止鏈接、終止服務、電子郵件警報、記入日志、以及運行一個選定的程序。
流量管理
由于P2P技術的廣泛應用,目前大多數網絡用戶都采用P2P技術的網絡工具進行諸如下載、視頻、聽歌等服務,如迅雷、QQ直播、酷狗等,這些軟件的優點是充分利用互聯網絡,為用戶提供豐富的資源。應該說P2P技術的快速發展帶動了互聯網絡的快速發展,讓用戶能夠更加便捷的使用互聯網上的資源。
但P2P技術對于網絡管理與運營來說是一種嚴重的挑戰,一方面P2P技術過于貪婪,最大化的利用網絡帶寬進行下載。在珠海學院建網初期,申請的100M互聯網帶寬在沒有任何限制的情況下,僅有120多用戶就占滿了所有的下行帶寬,對校園網絡運營影響極大(帶寬租用價格較貴)。而且下載的很多資源內包含有大量的木馬、病毒程序,對網絡的安全運行造成了極大的影響。在珠海學院校園網絡運行初期,很多問題是圍繞著帶寬、速度產生的。P2P應用軟件的廣發使用對校園網絡設備帶來了極大的壓力,根本無從保證校園網絡的穩定運行和安全管理。
經過不斷的摸索,珠海學院在控制P2P應用中重點采用了三種措施:
(1)限制用戶的帶寬:對于單個用戶ip,通過防火墻對用戶進行帶寬管理,為每個用戶保證一條相對固定的通道,而不去影響其它用戶的上網;
(2)限制用戶的連接數:每個服務都是通過TCP或者UDP進行的數據通信,通過防火墻對單個用戶ip進行連接數的限制,從而限制諸如迅雷、p2p等貪婪占用通道的工具,以保證網絡線路的通暢;
(3)限制或封閉P2P協議的總帶寬:P2P協議之所以難以管理,主要是由于這種技術在使用過程中的服務端口可以隨機的變化,管理者根本無法確定服務的端口號,也就無法通過傳統的設備進行限制和禁止。但任何協議都有自己的特征碼,我們通過技術手段對P2P協議的特征進行匹配從而控制這種協議的軟件。但考慮到這種軟件應用的廣泛性,僅對這種軟件限制總體流量而并不完全封閉。
安全管理
安全管理貫穿于安全防范體系的始終。實踐一再告訴人們僅有安全技術防范,而無嚴格的安全管理體系相配套,是難以保障網絡系統安全的。必須制定一系列安全管理制度,對安全技術和安全設施進行管理。實現安全管理必須遵循可操作、全局性、動態性、管理與技術的有機結合、責權分明、分權制約及安全管理的制度化等原則。
2004年珠海學院校園網絡建立后,我們形成了初步的安全管理制度,但在運行過程中,發現存在有很多的問題。校園網絡建立初期,設立網管負責全校的校園網絡管理、設立了系統管理員負責全校的應用服務器管理,但實際上雖然人員角色明確,但人員任務并不明確。比如,網管人員管理所有的網絡設備,但具體的學生用戶上網情況并不是十分了解,對存在的問題不是非常清晰。而作為系統管理員并不十分清楚服務器所安裝的具體應用軟件要求,往往是由應用管理人員對系統進行維護,但又經常忽視系統的安全性。
針對上述問題,我們制定了以業務為主導的管理模式,將校園網絡分為兩片,宿舍區網絡、教學區網絡,分別由專人進行管理,但網絡路由統一由教學區管理,以保證網絡的穩定、暢通性。而應用系統部分分為公共基礎服務、校務管理系統、網絡教學系統分別由三個專職人員負責維護、管理,并有一人總負責,檢查、督促工作的完成情況。
這種管理方式讓具體管理人員對于自身管理系統的問題十分清楚,從而保證了整個網絡安全體系的動態性和有效性。
運行效果
經過對校園網絡的一系列調整、改造,珠海學院的校園網絡運行得到了極大的改善,我們從以下幾個方面來評定:
網絡基本流量對比
珠海學院學生用INTERNET線路共計有3條,2條200M電信帶寬,1條100M網通帶寬。三條線路分別連接在3臺防火墻上,分別為3.1,3.10,4.1。下列圖為對前2臺防火墻的INTERNET接口進行的數據取樣。
如圖所示,每到高峰期時,200M帶寬基本上已經全部占滿,
用戶網絡運行穩定
珠海學院網絡運行時間為8:00-24:00,其余時間斷網,下表即位珠海學院上網用戶的信息統計。如表所示,一天之中在中午與晚上分別為兩個最高峰的運行值,用戶在線率高,網絡帶寬消耗也相應提升。
網絡運行穩定
珠海學院網絡分為辦公網絡(教學樓部分)與學生網絡(生活區部分),為了保障系統的安全,這兩個部分之間的網絡作了相應的策略控制,只能通過服務器進行數據交換。每天,網管對兩部分網絡進行監控各自的運行狀態,以及時了解網絡中可能出現的問題。
下圖分別描述了位于教學區與生活區部分網絡設備的運行狀況。(測試工具為SolarWinds 2001 Enhanced Ping)
基本服務運行正常
通過對所有流經網絡管理器的數據包進行監控,分析得到網絡中各種協議的運行情況及流量狀態。該監控囊括了網絡上所有協議的定義,分作傳統協議、P2P下載、網絡電視、即時通信、流媒體、網絡電話、網絡游戲、股票交易、網絡安全這些監控模塊,直接體現了網絡上各種協議的應用情況。
服務器系統運行穩定
通過對主要服務器的系統狀態監控,了解CPU、內存、SWAP等的運行狀態及各服務進程的運行狀態,確定服務器的是否正常。
3 結語
校園網絡作為校園信息系統的基礎網絡平臺,網絡的安全、穩定運行是保證各項業務平穩運行的基礎保障,必須建立起一套可行的、有機的安全管理體系,根據學校的實際特點進行有效的部署。從北京理工大學珠海學院校園網絡安全體系的建立中,我們積累了一些基礎,并在此基礎上,本文提出了在PDRR基礎上,以安全策略為核心,以安全技術為支撐,以安全管理作為落實手段,建立了校園網絡安全管理體系。
參考文獻
康弗瑞.網絡安全體系結構.北京:人民郵電出版社,2005年.15-21.
戴英俠.計算機網絡安全.北京:清華大學出版社,2004年.89-131.
曾湘黔.防火墻與網絡安全-入侵檢測和VPNs.北京:清華大學出版社,2004年.
W.RICHARD STEVENS. TCP/IP詳解 卷1:協議 .機械工業出版社,2000年.
W..RICHARD STEVENS.TCP/IP詳解 卷2:實現TCP/IP .機械工業出版社,2000年.
W.RICHARD STEVENS. TCP/IP詳解卷三:TCP事務協議.機械工業出版社,2000年.
張小斌,嚴望佳.黑客分析與防范技術.北京:清華大學出版社,2003.82-91.
張仕斌,譚三等.網絡安全技術.北京:清華大學出版社,2004.87-121.
段鋼.加密與解密(第三版).電子工業出版社,2008.
曹元大,薛靜鋒,祝烈煌,閻慧.入侵檢測技術.人民郵電出版社,2007.
1計算機網絡安全技術的發展概述
因此,為解決計算機網絡安全防護的問題,國內外諸多相關的研究機構展開了大量的探索與分析,在網絡身份認證、數據資源加密、網絡防火墻及安全管理等方面展開了深入的研究,推動了入侵檢測技術的誕生。入侵技術推廣早期,檢測方法相對來說比較簡單,功能并不完善,同時并不具備較強的適用性。并隨著開發研究的不斷深入與普及,入侵檢測方法也處于不斷完善的過程中,許多新型的攻擊特征已被總結與歸納,入侵反應措施也趨向完善。在計算機網絡安全技術中占據核心地位的安全防護技術便為密碼技術,研發至今發展已有20余年,部分高強度的網絡密鑰管理技術與密碼算法也在迅速涌現。開發重點同樣也由傳統的保密性轉移至兼顧保密、可控與真實等方面。并配合用戶的身份認證形成了數字化的網絡簽名技術。當前在保障計算機網絡信息傳遞的安全性方面,密碼技術有其重要的影響作用,而加密算法則是密碼技術中的關鍵與核心。不同性質的網絡密鑰同樣有其不同的密鑰體制。其主要決定因素在于網絡協議的安全性。此外,網絡漏洞掃描同樣也是計算機網絡安全技術發展的產物,由于任何計算機均有其不同的安全漏洞,而選取人工測試的方法耗時較長,且效率較低、準確度不高,而網絡漏洞掃描技術則能夠實現漏洞掃描的全自動操作,同時預控安全危險,保護整個計算機系統網絡,是安全防護系統中不可或缺的重要部分。
2防火墻技術與其系統構建措施分析
2.1防火墻技術的功能及其分類防火墻主要是計算機防范措施的總括,它能夠隔離內外部網絡,采取限制網絡互訪的方式達到保護內部網路的目的,是十分高效的網絡安全防護措施。它能夠隔絕計算機安全與風險區域的網絡連接,同時能夠對適時網絡通信量進行監測,有效制止惡意網絡資源的入侵與進攻,能夠自動過濾非法用戶與不安全的網絡信息,隔離入侵者與防御設施,限制訪問點權限,防止資源濫用。防火墻同樣有其不同的類別,按照軟件形式可將其劃分為硬件防火墻與軟件防火墻,而按照技術類型則可將其分為包過濾型防火墻與應用型防火墻。此外,按照結構類型、部署部位、使用性能同樣也將其分為不同類型的防火墻。2.2防火墻的構建及其防護措施的制定網絡防火墻的構建僅需遵守簡單的六個步驟,即規劃與制定安全計劃與協議、建立網絡安全體系、制作網絡規則程序、落實網絡規則集、調整控制準備、完善審計處理。當前較為成熟的防火墻體系架構為X86架構,將PCI與CPU總線作為通用接口,具備較優的可拓展性與靈活性,是大型企業防火墻開發的主要體系架構之一。而對于中小型企業來說,NP型架構的防火墻則為防護網絡侵襲的最優選擇。采取與之相匹配的軟件開發系統,有其強大的網絡編程能力。而對于對網絡防護要求十分高的企業、單位或個人,則可采用ASIC架構的防火墻手段,它不僅具備強大的數據處理能力,同時有其獨具優勢的防火墻性能。網絡防火墻安全措施則主要是由檢測、防護及響應三個部分構成。在整個防火墻系統中,防御屬于一級防護措施,而檢測則是確立入侵的主要手段,響應則是做出系統反饋的控制要素。當前實現網絡入侵檢測與防火墻系統之間的互動一般有兩種方案。第一,將網絡入侵檢測系統嵌入防火墻中。第二,則是通過開發網絡接口的方式實現兩者之間的互動。同樣按照原始固定網絡協議來進行信息互通,并實現網絡安全事件的傳輸處理。一般第二種方式應用較為廣泛,它具備較強的靈活性,同時不會影響兩者的防護性能。在網絡安全防護體系中,通過將入侵檢測與防火墻技術相結合,能夠有效提高檢測速度,提高系統的適應能力與靈活性,為網絡的有效防護奠定了良好的基礎,大大提升了計算機系統的防御能力,保障了系統的安全性。
3結束語
綜上所述,在網絡技術迅猛發展的背景下,要保障信息數據的安全性,保障網絡傳輸的穩定性,充分發揮其正面作用,必須以構建網絡防火墻為重點,并配合數據加密、身份認證等安全措施,提高網絡系統的抵御能力,防止惡意入侵,并提升網絡系統的安全性,全面保障信息數據存儲的穩定性。
作者:劉彪 單位:69230 部隊
目前,信息化已經成為我國各類型企業尤其是中小型企業提高競爭力的有效武器。企業越來越依賴網絡開展業務交易,進行內部資源共享和日常溝通。但隨著開放程度的增加,存儲在網絡上的數據也開始暴露給外界,成為惡意攻擊的目標。
為了確保只有合適的人才能進入網絡,了解企業生產、經營的相關數據,使企業在生產經營中免受惡意攻擊,建設企業網絡安全已成為中小企業信息化建設的重要課題。
對于中小企業用戶來說,信息安全將不再是一項IT技術問題,而已被賦予集成協作、管理策略等更豐富的內涵。對于廣大中小企業來說,該如何構建適合自己的網絡安全保障體系呢?
企業安全環境分析
安全體系的構建是為了解決企業中所存在或可能存在的安全問題。因此在構建安全保障體系之前,我們應首先了解中小企業所面臨的安全問題有哪些。由于中小企業網絡系統特有的開放性,其所面臨的安全問題主要有以下幾個方面:
1.外網安全。外網安全問題主要包括黑客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等,這些已成為目前影響最為廣泛的安全威脅。
2.內網安全。最新調查顯示,在受調查的企業中,60%以上的員工利用網絡處理私人事務。對網絡的不正當使用,降低了企業生產率,消耗了企業網絡資源,同時還會引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密。
3.內部網絡之間、內外網絡之間的連接安全。隨著企業的發展壯大,如何在保證信息共享的情況下,防止重要信息的泄漏,已經成為企業必須考慮的問題。
網絡可用性分析
網絡可用性是指網絡信息可被授權實體訪問并按需求使用的特性。今天很多企業的經濟效益都與網絡的連續可用性、完整息相關。隨著越來越多的信息以數字化的格式出現,企業面臨著如何以相同或者更少的資源管理迅速增長的信息的挑戰。
Dos/DDos這樣的網絡攻擊是最常見的破壞網絡可用性的攻擊方式。通常,企業可通過部署防火墻、負載均衡設備來保證網絡可用性的安全。
系統可用性分析
中小企業網絡中的主機、數據庫、應用服務器系統的安全運行同樣十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡外部的非法訪問、惡意入侵和破壞。
系統可用性是指一個系統應確保一項服務或者資源總是可以被訪問到的。網絡可靠性可以增加系統的整體可用性,用戶必須考慮到當某些系統部件出錯時,如何保障系統的可用性。
我們可以在環境中設置冗余組件和錯誤恢復機制,這樣當某些組件的錯誤對系統的可靠性產生不良影響時,就可以通過使用系統冗余,讓整個系統的服務仍然可用。
數據機密性分析
對于中小企業網絡,保密數據的泄密將直接帶來企業商業利益的損失。網絡安全系統應保證機密信息在存儲與傳輸時的保密性。
從電子數據產生以來,對于數據保護的需求一直沒有發生變化:需要防止數據受到無意或者有意的破壞。最近發生的一系列事件使得數據保護和災難恢復問題成為人們關注的焦點。越來越多的企業意識到,如果他們的數據中心遭受重大損失,那么恢復數據將需要大量的精力和時間。數據保護解決方案是一系列技術和流程的組合。
訪問可控性分析
除了保證機密數據的安全,對關鍵網絡、系統和數據的訪問,也必須得到有效控制。這要求系統能夠可靠確認訪問者的身份,謹慎授權,并對任何訪問進行跟蹤記錄。
可以說,訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。在今天,訪問控制涉及的技術比較廣泛,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
網絡可管理性分析
可管理性既是觀察網絡可用性的一個窗口,也是提供可用性的一個工具。企業可以利用網絡管理來確定關鍵性的資源、流量類型與性能級別。網絡管理也可以被用來設定設備故障的類別。它可以提供顯示網絡狀態的復雜報告。企業還可以利用對網絡的管理來設定,在硬件性能下降時,系統自動采取應對行動的策略。
因此,企業在構建網絡安全系統時應包括審計和日志功能,可以對相關重要操作提供可靠而方便的管理和維護。
鏈接:UTM更能滿足中小企業的網絡安全需求
網絡安全系統通常是由防火墻、入侵檢測、漏洞掃描、安全審計、防病毒、流量監控等功能產品組成的。但由于安全產品來自不同的廠商,沒有統一的標準,因此安全產品之間無法進行信息交換,形成許多安全孤島和安全盲區。而企業用戶目前急需的是建立一個規范的安全管理平臺,對各種安全產品進行統一管理。
此外,面對各種新形式下的安全問題,傳統的安全設備已經顯得無能為力,例如針對Windows系統和Oracle/SQL Server等數據庫的攻擊。這些攻擊和入侵手段封裝在TCP/IP協議的有效載荷部分。傳統的防火墻由于只查TCP/IP協議包頭部分而不檢查數據包的內容,所以無法檢測出此類攻擊。基于網絡傳播的病毒、間諜軟件、垃圾郵件給互聯網用戶造成了巨大的損失,層出不窮的即時消息和P2P應用(例如QQ和BT下載)給企業帶來許多安全威脅并大大降低員工的工作效率。傳統的防火墻設備在面對這些復合型的安全威脅時,已經不能滿足客戶的安全需求。
于是,UTM產品應運而生,并且正在逐步得到市場的認可。UTM安全、管理方便的特點,是安全設備最大的優勢,而這往往也是中小企業對產品的主要需求。
關鍵詞:網絡安全;安全管理;安全技術;防火墻;機房
隨著計算機網絡的逐步普及,計算機的網絡安全已成為計算機網絡成長路上的焦點,氣象局機房計算機網絡所存儲、傳輸、處理的信息的重要性較高,可能會受到網絡上各種各樣不安全因素的侵擾,造成數據丟失、篡改、惡意增加、計算機系統無法正常工作乃至全面癱瘓的后果,嚴重破壞機房工作,造成經濟損失。因此,我們應該重視機房計算機網絡安全問題,通過各種計算機網絡安全技術,保護在通信網絡中傳輸交換和存儲的信息的完整性、機密性和真實性,及早做好防護措施,盡量減少損失。
一、機房計算機網絡安全管理
1、物理安全物理安全是保證計算機信息系統中各種設備安全的前提。物理安全是保護計算機網絡設備、設施等。避免遭到地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞。
(1)場地安全要求氣象信息中心機房是氣象局業務運行的心臟,對出入的內、外部人員應嚴格控制,限制非相關人員進入機房。在中心機房的設計上,要考慮減少無關人員進入機房的機會,在整座辦公樓中,中心機房最好不要建在比較潮濕的底層和易受侵入的頂層。
(2)防盜與防火機房應采取比其它部門更嚴密的防盜措施,除加固門窗外,可安裝視頻監視系統。防火方面,主要措施有安全隔離、安裝火災報警系統、裝備專用滅火器、滅火工具及輔助設備如應急燈等。要嚴格執行機房環境和設備維護的各項規章制度,加強對火災隱患部位的檢查,制定滅火應急計劃并對所屬人員進行培訓。
(3)電源與接地電源是計算機系統正常工作的重要因素。機房內的計算機系統都應接插在具有保護裝置的不間斷電源設備上,防止電源中斷、電壓瞬變、沖擊等異常狀況,避免因電造成的服務器損壞。
2、網絡安全管理網絡安全管理體系構建是以安全策略為核心,以安全技術作為支撐,以安全管理作為落實手段,完善安全體系賴以生存的大環境。其目標是確保計算機網絡的持續正常運行,并在計算機網絡系統運行出現異常現象時能及時響應和排除故障。
(1)建立嚴格制度。制訂網絡建設方案、機房管理制度、各類人員職責分工、安全保密規定、口令管理制度、網絡安全指南、用戶上網使用手冊、系統操作規程、應急響應方案、安全防護記錄一系列的制度用以保證網絡的核心部門高安全、高可靠地運作。
從內到外,層層落實,動態管理,適應新的網絡需求,如網絡拓撲結構、網絡應用以及網絡安全技術的不斷發展,調整網絡的安全管理策略。
(2) 加強網絡技術的培訓。網絡安全是一門綜合性的技術,網絡管理人員必須不斷地學習新的網絡知識,掌握新的網絡產品的功能,了解網絡病毒、密碼攻擊、分組、IP欺騙、拒絕服務、端口攻擊等多樣化的攻擊手段,才能更好地管理好網絡。
(3) 加強用戶的安全意識。網絡安全最大的威脅是網絡用戶對網絡安全知識的缺乏,必須加強用戶的安全意識,引導用戶自覺安裝防病毒軟件,打補丁,自動更新操作系統,對不熟悉的軟件不要輕易安裝。
所以,安全管理貫穿整個安全防范體系,是安全防范體系的核心,代表了安全防范體系中人的因素。
安全管理更主要的是對安全技術和安全策略的管理。用戶的安全意識是信息系統是否安全的決定因素,除了在網絡中心部署先進的網絡結構和功能強大的安全工具外,從制度上、應用上和技術上加強網絡安全管理。構建網絡安全防護體系,是現代化機房的必然趨勢,圖1為一個完整的體系架構。
二、相關網絡安全技術
1、 防火墻技術網絡防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障,是最先受到人們重視的網絡安全技術,究竟應該在哪些地方部署防火墻是一個很重要的問題。
首先,應該安裝防火墻的位置是內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次,如果內部網絡規模較大,并且設置有虛擬局域網,則應該在防火墻之下設置網關級防毒。作為信息系統安全產品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。通常,防火墻的安全性問題對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說,防火墻的許多配置需要系統管理員手工修改,如果系統管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。
2、人侵檢測系統采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在人侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在外聯網絡中采用人侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
1、網絡安全現狀
計算機網絡的廣泛應用是當今信息社會的一場革命。電子商務和電子政務等網絡應用的發展和普及不僅給我們的生活帶來了很大的便利,而且正在創造著巨大的財富,以Internet為代表的全球性信息化浪潮日益深刻,信息網絡技術的應用正日益普及和廣泛,應用層次不斷深入,應用領域更是從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。
與此同時,計算機網絡也正面臨著日益劇增的安全威脅。廣為網絡用戶所知的黑客行為和攻擊活動正以每年10倍的速度增長,網頁被修改、非法進入主機、發送假冒電子郵件、進入銀行系統盜取和轉移資金、竊取信息等網絡攻擊事件此起彼伏。計算機病毒、特洛伊木馬、拒絕服務攻擊、電子商務入侵和盜竊等,都造成了各種危害,包括機密數據被篡改和竊取、網站頁面被修改或丑化、網絡癱瘓等。網絡與信息安全問題日益突出,已經成為影響國家安全、社會穩定和人民生活的大事,發展與現有網絡技術相對應的網絡安全技術,保障網絡安全、有序和有效的運行,是保證互聯網高效、有序應用的關鍵之一。
2、現有網絡安全技術
計算機網絡是基于網絡可識別的網絡協議基礎之上的各種網絡應用的完整組合,協議本身和應用都有可能存在問題,網絡安全問題包括網絡所使用的協議的設計問題,也包括協議和應用的軟件實現問題,當然還包括了人為的因素以及系統管理失誤等網絡安全問題,下表示意說明了這些方面的網絡安全問題。
問題類型問題點問題描述
協議設計安全問題被忽視制定協議之時,通常首先強調功能性,而安全性問題則是到最后一刻、甚或不列入考慮范圍。
其它基礎協議問題架構在其他不穏固基礎協議之上的協議,即使本身再完善也會有很多問題。
流程問題設計協議時,對各種可能出現的流程問題考慮不夠周全,導致發生狀況時,系統處理方式不當。
設計錯誤協議設計錯誤,導致系統服務容易失效或招受攻擊。
軟件設計設計錯誤協議規劃正確,但協議設計時發生錯誤,或設計人員對協議的認知錯誤,導致各種安全漏洞。
程序錯誤程序撰寫習慣不良導致很多安全漏洞,包含常見的未檢查資料長度內容、輸入資料容錯能力不足、未檢測可能發生的錯誤、應用環境的假設錯誤、引用不當模塊、未檢測資源不足等。
人員操作操作失誤操作規范嚴格且完善,但是操作人員未受過良好訓練、或未按手冊操作,導致各種安全漏洞和安全隱患。
系統維護默認值不安全軟件或操作系統的預設設置不科學,導致缺省設置下系統處于不安全的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。
未修補系統軟件和操作系統的各種補丁程序沒有及時修復。
內部安全問題對由信任系統和網絡發起的各種攻擊防范不夠。信任領域存在的不安全系統,成為不信任領域內系統攻擊信任領域的各種跳板。
針對上表所示的各種網絡安全問題,全世界的網絡安全廠商都試圖發展了各種安全技術來防范這些問題,這些技術包括訪問控制技術、識別和鑒別技術、密碼技術、完整性控制技術、審計和恢復技術、防火墻系統、計算機病毒防護、操作系統安全、數據庫系統安全和抗抵賴協議等,相繼陸續推出了包括防火墻、入侵檢測(IDS)、防病毒軟件、CA系統、加密算法等在內的各類網絡安全軟件,這些技術和安全系統(軟件)對網絡系統提供了一定的安全防范,一定程度上解決了網絡安全問題某一方面的問題。
3、現有網絡安全技術的缺陷
現有的各種網絡安全技術都是針對網絡安全問題的某一個或幾個方面來設計的,它只能相應地在一定程度上解決這一個或幾個方面的網絡安全問題,無法防范和解決其他的問題,更不可能提供對整個網絡的系統、有效的保護。如身份認證和訪問控制技術只能解決確認網絡用戶身份的問題,但卻無法防止確認的用戶之間傳遞的信息是否安全的問題,而計算機病毒防范技術只能防范計算機病毒對網絡和系統的危害,但卻無法識別和確認網絡上用戶的身份等等。
現有的各種網絡安全技術中,防火墻技術可以在一定程度上解決一些網絡安全問題。防火墻產品主要包括包過濾防火墻,狀態檢測包過濾防火墻和應用層防火墻,但是防火墻產品存在著局限性。其最大的局限性就是防火墻自身不能保證其準許放行的數據是否安全。同時,防火墻還存在著一些弱點:
一、不能防御來自內部的攻擊:來自內部的攻擊者是從網絡內部發起攻擊的,他們的攻擊行為不通過防火墻,而防火墻只是隔離內部網與因特網上的主機,監控內部網和因特網之間的通信,而對內部網上的情況不作檢查,因而對內部的攻擊無能為力;
二、不能防御繞過防火墻的攻擊行為:從根本上講,防火墻是一種被動的防御手段,只能守株待兔式地對通過它的數據報進行檢查,如果該數據由于某種原因沒有通過防火墻,則防火墻就不會采取任何的措施;
三、不能防御完全新的威脅:防火墻只能防御已知的威脅,但是人們發現可信賴的服務中存在新的侵襲方法,可信賴的服務就變成不可信賴的了;
四、防火墻不能防御數據驅動的攻擊:雖然防火墻掃描分析所有通過的信息,但是這種掃描分析多半是針對IP地址和端口號或者協議內容的,而非數據細節。這樣一來,基于數據驅動的攻擊,比如病毒,可以附在諸如電子郵件之類的東西上面進入你的系統中并發動攻擊。
入侵檢測技術也存在著局限性。其最大的局限性就是漏報和誤報嚴重,它不能稱之為一個可以信賴的安全工具,而只是一個參考工具。
在沒有更為有效的安全防范產品之前,更多的用戶都選擇并依賴于防火墻這樣的產品來保障自己的網絡安全,然而相對應的是,新的OS漏洞和網絡層攻擊層出不窮,攻破防火墻、攻擊計算機網絡的事件也越來越多,因此,開發一個更為完善的網絡安全防范系統來有效保護網絡系統,已經成為各網絡安全廠商和用戶的共同需求和目標。
4發展趨勢:
中國的網絡安全技術在近幾年得到快速的發展,這一方面得益于從中央到地方政府的廣泛重視,另一方面因為網絡安全問題日益突出,網絡安全企業不斷跟進最新安全技術,不斷推出滿足用戶需求、具有時代特色的安全產品,進一步促進了網絡安全技術的發展。
從技術層面來看,目前網絡安全產品在發展過程中面臨的主要問題是:以往人們主要關心系統與網絡基礎層面的防護問題,而現在人們更加關注應用層面的安全防護問題,安全防護已經從底層或簡單數據層面上升到了應用層面,這種應用防護問題已經深入到業務行為的相關性和信息內容的語義范疇,越來越多的安全技術已經與應用相結合。
4.1、現階段網絡安全技術的局限性
談及網絡安全技術,就必須提到網絡安全技術的三大主流—防火墻技術、入侵檢測技術以及防病毒技術。
任何一個用戶,在剛剛開始面對安全問題的時候,考慮的往往就是這“老三樣”。可以說,這三種網絡安全技術為整個網絡安全建設起到了功不可沒的作用,但是傳統的安全“老三樣”或者說是以其為主的安全產品正面臨著許多新的問題。首先,從用戶角度來看,雖然系統中安裝了防火墻,但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。
其次,未經大規模部署的入侵檢測單個產品在提前預警方面存在著先天的不足,且在精確定位和全局管理方面還有很大的空間。
再次,雖然很多用戶在單機、終端上都安裝了防病毒產品,但是內網的安全并不僅僅是防病毒的問題,還包括安全策略的執行、外來非法侵入、補丁管理以及合規管理等方面。
所以說,雖然“老三樣”已經立下了赫赫戰功,且仍然發揮著重要作用,但是用戶已漸漸感覺到其不足之處。其次,從網絡安全的整體技術框架來看,網絡安全技術同樣面臨著很大的問題,“老三樣”基本上還是針對數據、單個系統、軟硬件以及程序本身安全的保障。應用層面的安全,需要將側重點集中在信息語義范疇的“內容”和網絡虛擬世界的“行為”上。
4.2、技術發展趨勢分析
.防火墻技術發展趨勢
在混合攻擊肆虐的時代,單一功能的防火墻遠不能滿足業務的需要,而具備多種安全功能,基于應用協議層防御、低誤報率檢測、高可靠高性能平臺和統一組件化管理的技術,優勢將得到越來越多的體現,UTM(UnifiedThreatManagement,統一威脅管理)技術應運而生。
從概念的定義上看,UTM既提出了具體產品的形態,又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看,很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念;而從后半部分來看,UTM的概念還體現了經過多年發展之后,信息安全行業對安全管理的深刻理解以及對安全產品可用性、聯動能力的深入研究。
UTM的功能見圖1.由于UTM設備是串聯接入的安全設備,因此UTM設備本身必須具備良好的性能和高可靠性,同時,UTM在統一的產品管理平臺下,集防火墻、VPN、網關防病毒、IPS、拒絕服務攻擊等眾多產品功能于一體,實現了多種防御功能,因此,向UTM方向演進將是防火墻的發展趨勢。UTM設備應具備以下特點。
(1)網絡安全協議層防御。防火墻作為簡單的第二到第四層的防護,主要針對像IP、端口等靜態的信息進行防護和控制,但是真正的安全不能只停留在底層,我們需要構建一個更高、更強、更可靠的墻,除了傳統的訪問控制之外,還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用,實現七層協議的保護,而不僅限于第二到第四層。
(2)通過分類檢測技術降低誤報率。串聯接入的網關設備一旦誤報過高,將會對用戶帶來災難性的后果。IPS理念在20世紀90年代就已經被提出,但是目前全世界對IPS的部署非常有限,影響其部署的一個重要問題就是誤報率。分類檢測技術可以大幅度降低誤報率,針對不同的攻擊,采取不同的檢測技術,比如防拒絕服務攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規短信攻擊等,從而顯著降低誤報率。
(3)有高可靠性、高性能的硬件平臺支撐。
(4)一體化的統一管理。由于UTM設備集多種功能于一身,因此,它必須具有能夠統一控制和管理的平臺,使用戶能夠有效地管理。這樣,設備平臺可以實現標準化并具有可擴展性,用戶可在統一的平臺上進行組件管理,同時,一體化管理也能消除信息產品之間由于無法溝通而帶來的信息孤島,從而在應對各種各樣攻擊威脅的時候,能夠更好地保障用戶的網絡安全。
二網絡安全面臨的主要問題
1.網絡建設單位、管理人員和技術人員缺乏安全防范意識,從而就不可能采取主動的安全措施加以防范,完全處于被動挨打的位置。
2.組織和部門的有關人員對網絡的安全現狀不明確,不知道或不清楚網絡存在的安全隱患,從而失去了防御攻擊的先機。
3.組織和部門的計算機網絡安全防范沒有形成完整的、組織化的體系結構,其缺陷給攻擊者以可乘之機。
4.組織和部門的計算機網絡沒有建立完善的管理體系,從而導致安全體系和安全控制措施不能充分有效地發揮效能。業務活動中存在安全疏漏,造成不必要的信息泄露,給攻擊者以收集敏感信息的機會。
5.網絡安全管理人員和技術有員缺乏必要的專業安全知識,不能安全地配置和管理網絡,不能及時發現已經存在的和隨時可能出現的安全問題,對突發的安全事件不能作出積極、有序和有效的反應。
三網絡安全的解決辦法
實現網絡安全的過程是復雜的。這個復雜的過程需要嚴格有效的管理才能保證整個過程的有效性,才能保證安全控制措施有效地發揮其效能,從而確保實現預期的安全目標。因此,建立組織的安全管理體系是網絡安全的核心。我們要從系統工程的角度構建網絡的安全體系結構,把組織和部門的所有安全措施和過程通過管理的手段融合為一個有機的整體。安全體系結構由許多靜態的安全控制措施和動態的安全分析過程組成。
1.安全需求分析"知已知彼,百戰不殆"。只有明了自己的安全需求才能有針對性地構建適合于自己的安全體系結構,從而有效地保證網絡系統的安全。
2.安全風險管理安全風險管理是對安全需求分析結果中存在的安全威脅和業務安全需求進行風險評估,以組織和部門可以接受的投資,實現最大限度的安全。風險評估為制定組織和部門的安全策略和構架安全體系結構提供直接的依據。
3.制定安全策略根據組織和部門的安全需求和風險評估的結論,制定組織和部門的計算機網絡安全策略。
4.定期安全審核安全審核的首要任務是審核組織的安全策略是否被有效地和正確地執行。其次,由于網絡安全是一個動態的過程,組織和部門的計算機網絡的配置可能經常變化,因此組織和部門對安全的需求也會發生變化,組織的安全策略需要進行相應地調整。為了在發生變化時,安全策略和控制措施能夠及時反映這種變化,必須進行定期安全審核。
5.外部支持計算機網絡安全同必要的外部支持是分不開的。通過專業的安全服務機構的支持,將使網絡安全體系更加完善,并可以得到更新的安全資訊,為計算機網絡安全提供安全預警。
6.計算機網絡安全管理安全管理是計算機網絡安全的重要環節,也是計算機網絡安全體系結構的基礎性組成部分。通過恰當的管理活動,規范組織的各項業務活動,使網絡有序地進行,是獲取安全的重要條件。
論文摘要:電子商務是基于網絡盼新興商務模式,有效的網絡信息安全保障是電子商務健康發展的前提。本文著重分析了電子商務活動申存在的網絡信息安全問題,提出保障電子商務信息安全的技術對策、管理策略和構建網絡安全體系結構等措施,促進我國電子商務可持續發展。
隨著互聯網技術的蓬勃發展,基于網絡和多媒體技術的電子商務應運而生并迅速發展。所謂電子商務通常是指是在全球各地廣泛的商業貿易活動中,在因特網開放的網絡環境下,基于瀏覽器/服務器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網購物、商戶之間的網上交易和在線電子支付以及各種商務活動和相關的綜合眼務活動的一種新型的商業運營模式。信息技術和計算機網絡的迅猛發展使電子商務得到了極大的推廣,然而由于互聯網的開放性,網絡安全問題日益成為制約電予商務發展的一個關鍵性問題。
一、電子商務網絡信息安全存在的問題
電子商務的前提是信息的安全性保障,信息安全性的含義主要是信息的完整性、可用性、保密和可靠。因此電商務活動中的信息安全問題豐要體現在以下兩個方面:
1 網絡信息安全方面
(1)安全協議問題。目前安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
(3)防病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,在電子商務領域如何有效防范病毒也是一個十分緊迫的問題。
(4)服務器的安全問題。裝有大量與電子商務有關的軟件和商戶信息的系統服務器是電予商務的核心,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果會非常嚴重。
2.電子商務交易方面
(1)身份的不確定問題。由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
(2)交易的抵賴問題。電子商務的交易應該同傳統的交易一樣具有不可抵賴。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
二 電子商務中的網絡信息安全對策
1 電子商務網絡安全的技術對策
(1)應用數字簽名。數字簽名是用來保證信息傳輸過程中信皂的完整和提供信包發送者身份的認證,應用數字簽名可在電子商務中安全、方便地實現在線支付,而數據傳輸的安全性、完整,身份驗證機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決。
(2)配置防火墻。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能阻止網絡中的黑客來訪問你的網絡,防止他們更改、拷貝、毀壞你的重要信息。它能控制網絡內外的信息交流,提供接入控制和審查跟蹤,是一一種訪問控制機制。在邏輯,防火墻是一個分離器、限制器,能有效監控內部網和Intemet之間的任何活動,保證內部網絡的安全。
(3)應用加密技術。密鑰加密技術的密碼體制分為對稱密鑰體制和公用密鑰體制兩種。相應地,對數據加密的技術分為對稱加密和非對稱加密兩類。根據電子商務系統的特點,全面加密保護應包括對遠程通信過程中和網內通信過程中傳輸的數據實施加密保護。一般來說,應根據管理級別所對應的數據保密要求進行部分加密而非全程加密。
2、電子商務網絡安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統運行狀況保密、工作日記保密等各個方面。對各類保密都需要慎重考慮,根據輕重程度劃分好不同的保密級別,并制定出相應的保密措施。
(2)建立系統維護制度。該制度是電子商務網絡系統能否保持長期安全、穩定運行的基本保證,應由專職網絡管理技術人員承擔,為安全起見,其他任何人不得介入,主要做好硬件系統日常管理維護和軟件系統日常管理維護兩方面的工作。
(3)建立病毒防范制度。病毒在網絡環境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時升級防病毒軟件版本、及時通報病毒入侵信息等工作。此外,還可將剛絡系統中易感染病毒的文什屬性、權限加以限制,斷絕病毒入侵的渠道,從而達到預防的目的。
(4)建立數據備份和恢復的保障制度。作為一個成功的電子商務系統,應引對信息安全至少提供三個層而的安全保護措施:一是數據存操作系統內部或者盤陣中實現快照、鏡像;二是對數據庫及郵件服務器等重要數據做到在電子交易中心內的自動備份;三是對重要的數據做到通過廣域網專線等途徑做好數據的克隆備份,通過以上保護措施可為系統數據安全提供雙保險。
三 電子商務的網絡安全體系結構
電子商務的網絡信息安全不僅與技術有關,更與社會因素、法制環境等多方面因素有關。故應對電子商務的網絡安全體系結構劃分如下:1.電子商務系統硬件安全。主要是指保護電子商務系統所涉及計算機硬件的安全性,保證其可靠眭和為系統提供基礎性作用的安全機制。2.電子商務系統軟件安全。主要是指保證交易記錄及相關數據不被篡改、破壞與非法復制,系統軟件安全的目標是使系統中信息的處理和傳輸滿足整個系統安全策略需求。3.電子商務系統運行安全。主要指滿足系統能夠可靠、穩定、持續和正常的運行。4.電商務網絡安全的立法保障。結合我閣實際,借鑒國外先進網絡信息安全立法、執法經驗,完善現行的網絡安全法律體系。
【關鍵詞】網絡;數據;安全
2012年開始,某企業啟動了企業網絡安全優化工程。目的是為了實現在企業系統內,進行一體化管理,實現各分支網絡之間互聯互通。項目重點是建設好綜合數據網絡,實現所屬單位局域網及廠、站信息傳輸通道全面接入;形成該企業綜合業務處理廣域網絡。同時還將進一步建設專門的調度數據網絡,實現“專網專用”,從而確保生產安全有序的開展。該企業生產、辦公等各個領域當中,無論是企業內部管理還是各級機構間的遠程信息交互,都將建立在網絡基礎之上,而通過網絡進行交互的信息范圍也涵蓋了包括生產調度數據、財務人事數據、辦公管理數據等在內的諸多方面,在這樣的前提下,進一步完善企業網絡架構,全局性和系統性地構建網絡安全體系,使其為企業發展和信息化提供有力支持,已成為當前需要開展的首要工作之一。
1.網絡安全技術架構策略
網絡安全建設是一項系統工程,該企業網絡安全體系建設按照“統一規劃、統籌安排、統一標準、相互配套”的原則組織實施,采用先進的“平臺化”建設思想、模塊化安全隔離技術,避免重復投入、重復建設,充分考慮整體和局部的關系,堅持近期目標與遠期目標相結合。在該企業廣域網絡架構建設中,為了實現可管理的、可靠的、高性能網絡,采用層次化的方法,將網絡分為核心層、分布層和接入層3個層次,這種層次結構劃分方法也是目前國內外網絡建設中普遍采用的網絡拓撲結構。在這種結構下,3個層次的網絡設備各司其職又相互協同工作,從而有效保證了整個網絡的高可靠性、高性能、高安全性和靈活的擴展性。
2.局域網絡標準化
(1)中心交換區域
局域網的中心交換區域負責網絡核心層的高性能交換和傳輸功能,提供各項數據業務的交換,同時負責連接服務器區域、網絡管理區域、樓層區域、廣域網路由器和防火墻設備等,此外還要提供分布層的統一控制策略功能。具體到安全防護層面,可通過部署防火墻模塊、高性能網絡分析模塊、入侵探測系統模塊實現安全加固。
(2)核心數據服務器區域
因為數據大集中和存儲中心已經勢在必行,可建設專門的核心數據區域,并采用2立的具有安全控制能力的局域網交換機,通過千兆雙鏈路和服務器群連接。在安全防護方面,可在通過防火墻模塊實現不同等級安全區域劃分的同時,部署DDOS攻擊檢測模塊和保護模塊,以保障關鍵業務系統和服務器的安全不受攻擊。
(3)樓層區域
樓層交換區域的交換機既做接入層又做分布層,將直接連接用戶終端設備,如PC機等,因此設備需要具有能夠實現VLAN的合理劃分和基本的VLAN隔離。
(4)合作伙伴和外包區域
提供合作伙伴的開發測試環境、與內部數據中心的安全連接及與Internet區域的連接通路。
(5)外聯網區域
企業營銷系統需要與銀行等外聯網連接,建議部署銀行外聯匯接交換機,通過2條千兆鏈路分別連接到核心交換機。并通過防火墻模塊劃分外聯系統安全區域。
(6)網絡和安全管理區域
為了對整個網絡進行更加安全可靠的管理,可使用獨立的安全區域來集中管理,通過防火墻或交換機模塊來保護該區域,并賦予較高的安全級別,在邊界進行嚴格安全控制。
3.統一互聯網出口
對于該企業的廣域網絡,統一互聯網絡出口,減少企業廣域網絡與互聯網絡接口,能夠有效減少來自外網的安全威脅,對統一出口接點的安全防護加固,能夠集中實施安全策略。面對企業各個分支機構局域網絡都與互聯網絡連接的局面,將會給企業廣域網絡安全帶來更大的威脅。由于綜合業務數據網絡作為相對獨立的一個大型企業網絡,設置如此眾多的互聯網出口,一方面不利于互聯網出口的安全管理,增加了安全威脅的幾率;另一方面也勢必增加互聯網出口的租用費用,提高了運營成本。
由于該企業綜合數據網的骨干帶寬是622M,在綜合數據網絡上利用MPLS VPN開出一個“互聯網VPN”,使各分支的互聯網訪問都通過這個VPN通道建立鏈接。通過統一互聯網絡出口,強化互聯網接入區域安全控制,可防御來自Internet的安全威脅,DMZ區的安全防護得到進一步加強;通過提供安全可靠的VPN遠程接入,互聯網出口的負載均衡策略得到加強,對不同業務和不同用戶組的訪問服務策略控制,有效控制P2P等非工作流量對有限帶寬的無限占用,能夠對互聯網訪問的NAT記錄進行保存和查詢。
4.三層四區規劃
提出“安全分區、網絡專用、橫向隔離、縱向認證”的總體防護策略,并提出了“三層四區”安全防護體系的總體框架。基于這一設計規范,并結合該企業網絡的實際情況,未來公司的網絡區域可以劃分為企業生產系統和企業管理信息系統,其中企業生產系統包括I區和II區的業務;企業管理信息系統包括III區和IV區的業務。I區到IV區的安全級別逐級降低,I區最高,IV區最低。
在上述區域劃分的基礎上,可在橫向和縱向上采用下列技術方式實現不同安全區域間的隔離。
(1)縱向隔離
在未來調度數據網建成后,將安全區I和安全區II運行在獨立的調度數據網上,安全區III和安全區IV運行在目前的綜合數據網上,達到2網完全分開,實現物理隔離。在調度數據網中,采用MPLS VPN將安全區I和安全區II的連接分別分隔為實時子網和非實時子網,在綜合數據網中,則采用MPLS VPN將互聯網連接和安全區III及安全區IV的連接分開,分為管理信息子網和互聯網子網。
(2)橫向隔離
考慮到I區和II區對安全性的要求極高,對于I區和II區進行重點防護,采用物理隔離裝置與其他區域隔離;而在I區和II區之間可采用防火墻隔離,配合分布式威脅防御機制,防范網絡威脅;考慮到III區和IV區之間頻繁的數據交換需求,III區和IV區之間視情況采用交換機防火墻模塊進行隔離,并在區域內部署IDS等安全監控設備,在骨干網上不再分成2個不同的VPN;由于外部的威脅主要來自于Intern過出口,因此可在全省Internet出口集中的基礎上,統一設置安全防護策略,通過防火墻與III區、IV區之間進行隔離。
5.綜合數據網安全防護
綜合業務數據網,主要承載了0A、95598、營銷、財務等應用系統,同時也在進行SCADA/EMS等調度業務的接入試點。
采用網絡安全監控響應中心為核心的分布式威脅防御技術,對全網的病毒攻擊和病毒傳播進行主動防護,通過關聯網絡和安全設備配置信息、NetFlow、應用日志和安全事件,從中心的控制臺實時發現、跟蹤、分析、防御、報告和存儲整個企業網絡中的安全事件和攻擊。同時分布式威脅防御手段不但用于對綜合數據骨干網進行安全防護,而且通過建立2級安全監控響應中心,對包括綜合數據網、企業本部局域網、分支機構局域網在內的全網設備進行監控。
【關鍵詞】計算機技術;通信行業;應用
進入21世紀以來,通信技術的數字化以及計算機技術的網絡化,都使得兩個技術之間在多層次、多領域應用上呈現出相互滲透與融合的趨勢,并促使了整個人類社會的通信方式出現了巨大的變革。一方面,計算機所具有的強大的數據處理能力、傳輸能力與存儲能力,使得其成為了公共通信系統中的核心設備;另一方面,基于計算機網絡所構筑的現代通信網絡,也使得各種通信數據之間的傳遞與共享變得空前的便捷,使通信雙方即使相隔萬里,也能方便的利用電話、語音、視頻等方式進行通話,打破了傳統通信業務(如電報、信件等)中時間與內容的限制。
1計算機技術在通信行業中的應用特點
1.1信息傳輸的抗干擾性強
以計算機數據編碼技術為核心的數字通信,其信號傳輸采用的是數字脈沖信號,可以有效保證數據接收端不會因外界信號干擾、噪聲干擾,出現錯判行為的發生,保證了數據信息的準確傳遞與接收,因此具備了很強的抗干擾性,可實現高質量、遠距離的通信。
1.2可滿足各類通信業務
基于計算機強大的信息處理能力,通信系統中的各類數據信息,如電話信息、圖像信息、電報信息、視頻信息等,均被統一轉化為二進制的數字脈沖信號進行傳輸,然后再由接收端的計算機系統進行數據的轉換處理與輸出,這都使得現代化的通信系統能滿足更多用戶對不同類型通信業務的需求。
1.3提高通信業務的保密性
基于計算機技術的信息處理功能,在通信信息的傳遞過程中,可以對數字脈沖信號進行相應的處理,如信息存儲、信息加密、信息轉發、信息糾錯等功能。尤其是現代通信業務中,用戶對通信的保密性普遍有著較高的要求。而基于計算機技術的應用,可以確保通信數據實現復雜、長周期的信號加密,從而使得通信數據不容易被竊取或破壞,保證了通信業務的高度保密性。
2計算機技術在通信行業中的應用策略
2.1采用先進設備,提高通信數據的交換與處理效率
近年來,計算機技術已被廣泛應用于通信領域的各個方面,例如在數字電話、數字傳真和數字電視等通信業務中,各種計算機終端設備都大量增加。而這些數字通信業務,都需要大量的信息交換與處理,迫切需要采用更加先進的計算機設備進行通信數據的處理和傳輸,以提高數據處理的效率。而計算機先進設備的應用,關鍵是做好大型程控交換機的選擇與應用,這是因為:2.1.1為滿足大量通信數據的信息交換的需求通信數據的信息交換是由計算機控制的,這類終端計算機設備也普遍被稱為程序控制交換機,它是計算機通過軟件控制著交換機的硬件,使設備接通兩個用戶之間的鏈路,以實現兩用戶間的通信數據傳輸。在大型程控交換機中,計算機除了接通鏈路外,還要完成很多其他的丁作,如計費、統計(統計網絡運行參數、流量等多項運行數據)、診斷(如硬件或軟件發生故障需及時診斷原因并報告給維護臺)和執行維護操作臺發出的各種指令等。可以說,一臺大型程控交換機,就是大量硬件系統和軟件系統的復合計算機系統。2.1.2因為大型程控交換機普遍包含了多個數據庫以移動通信系統中的歸屬位置寄存器(HLR)為例,其實際上就是實時數據庫,通常要求一個HLR可容納30萬~300萬個用戶的數據,而每個用戶的數據量約有2KB,其中包括號碼、資費、業務授權、漫游地址等數據,而且其中的部分數據是不斷更新的,如用戶的漫游地址數據,就是通過7號信令網不斷將HLR中各用戶的數據進行改寫。因此,要求通信系統中選擇的大型程控交換機,應包含多個數據庫,以更好的滿足通信業務對數據信息存儲、處理與更新的要求。2.1.3因為程控交換機對操作系統有著較高的要求大型程控交換機,普遍要求操作系統應具有實時、快速的特點,這是因為通信系統設計規范中要求程控交換機從用戶撥完電話號碼到接通有最長時間限制,如果測試超過該時間限制,則產品不合格,不能入網。因此,這都需要選擇與應用技術先進、成熟的操作系統,以滿足大型程控交換機的需求。
2.2構建安全體系,保障通信網絡的安全
各類通信業務的運營服務,是依托于互聯網所開展的。盡管近年來我國互聯網技術已較為發達,但病毒、木馬程序、黑客攻擊對系統安全的威脅仍然存在。一旦通信系統出現故障或漏洞,都可能導致通信信息被竊取,或者用戶的敏感信息被泄露。因此,還必須積極應用多種計算機安全技術,構建網絡安全體系,以切實保障通信網絡的安全。2.2.1采用多種安全監控與隔離技術如采用防火墻技術以實現通信網絡內網、外網之間的安全隔離;采用病毒防護技術以避免通信數據受到人為破壞或修改;采用入侵檢測技術,以加強對系統漏洞的檢測,加強對入侵危險的及時發現與報告;采用虛擬網絡技術,使通信網絡能被分割成各子網段,以實現訪問控制,并有效避免受到外界攻擊。2.2.2采用數據加密與識別技術通信網絡安全問題出現的根本原因,是源于各種外來入侵病毒、技術的威脅。因此,為保障通信系統的運營安全,還應采用多種數據加密與識別技術,并與安全監控技術相配合,以構建出全面、可行的安全架構方案。例如,通過綜合采用數據包標識技術、數據存儲安全技術、數據加密技術等等,從而為通信網絡的運營構建出一個全方位的可信、可控的安全防護體系。
3結論
現代化的通信業務,不僅是計算機技術與通信技術的有機結合,也是在通信標準協議的框架下,對各類信息傳輸系統、信息處理系統的有機結合。筆者提出了采用先進設備、構建安全體系這兩種策略,以期能更好的促進計算機技術在我國通信行業中的更好應用,在提高通信數據交換與處理效率的同時,也能切實保障數據傳輸的安全。
參考文獻
[1]潘凌丹.新形勢下網絡技術在電力信息通信中的應用[J].通信信息,2014(07):259-260.
[2]郝興偉.計算機網絡技術及應用[M].北京:高等教育出版社,2005:12-18.
關鍵詞:事業單位;應用平臺;構建
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)09-0089-02
Abstract: With the advancement of science and technology, the computer network has been popular and promotion, to carry out the work are inseparable from the network. Institutions use of computer networks, can better management, thus timely and accurate access to the information they need, has become an important task to build institutions of its application platform. Therefore, this paper analyzes the necessity of building a network platform for institutions, proposed several measures to build a network platform based on these reasons.
Key words: institution; application; platform
在事業單位構建計算機應用平臺就是構建一個幫助辦公的電子平臺。這意味著事業單位使用現代信息技術進行他們的管理和服務工作,對單位的結構和職能進行調整,優化工作流程,突破時間及空間等條件的限制,讓事業單位的運行流程變得簡潔,便利,高效率以及公正。作為一個不盈利的服務型單位,充分利用網絡的便利性為公眾履行服務的職能,傳達更多的信息,提高內部管理的效率和安全性。
1 建設計算機網絡平臺的必要性
1.1 傳達信息的重要條件
事業單位是有著一定的服務職能的單位,參加了國家的公共服務工作,單位需要進行的信息傳播活動較為頻繁。雖然事業單位不需要考慮經濟效益,卻要注意其工作效率。在信息化的社會,事業單位的信息傳達工作離不開一個可靠高效的網絡平臺。在活動的開展過程中,需要的信息較多也較為瑣碎,種類也十分豐富,同樣的,需要傳達給公眾的信息也較為瑣碎且種類較多。因此建設事業單位的計算機網絡平臺十分必要,有了這個平臺,事業單位的工作人員可以及時地獲得信息,了解公眾的情況和具體需求,然后可以根據這些信息 ,采取相應的措施來解決問題[1]。
1.2 進行創新的重要條件
事業單位和社會的聯系相當緊密,應當隨著社會的發展而發展。當今社會 ,科學技術的發展速度十分快,技術在不斷地發生更替。創新對于事業單位的意義重大,關系著事業單位的生存發展,離開了創新,事業單位就不能有進步。既然要創新 ,首先就必須知道措施到底新不新 ,網絡平臺就能為事業單位提供了足夠準確的信息。 網絡有著互通性,構建一個單位的網絡平臺,將它與世界的網絡聯系起來,就能得到最全面的情報。
1.3 開拓視野的重要條件
在開展一些沒有開展的活動時,事業單位必須借鑒其他單位的先進經驗和共同教訓。在某些活動的內容設計中 ,事業單位需要對某些內容的進行全面的考查。在以前 ,經常出現的情況是事業單位指派大批人員 ,規模大 ,四處奔波 ,損失大量的人力和財力,進行實地的調查和研究。但是在有網絡平臺 ,有多媒體技術的情況下 ,事業單位只需派出少量的人員 ,設立工作站在要經過調查的場地上,在一段時間后把將現場情況發送給單位 ,也一樣能夠達到派人進行實地考察的成效 ,還同時完好地存儲了這些具體資料 ,為日后使用做好準備,有事半功倍的效果[2]。
2 如何構建網絡應用平臺
2.1 建立自動化平臺
計算機網絡應用平臺首先要關注的部分就是辦公的自動化,通過這個平臺,各部門要能夠實現文檔的傳送,信息的交流使用,利用視頻開會等要求。這就要求緊密結合事業單位的工作內容,利用先進的網絡技術,建立一個便利,可靠,實用的辦公平臺。這個平臺要包括進事業單位日常的相關工作操作,設置針對性的指令,為單位的工作提供極高的便捷性。還要有自動處理工作的程序,比如完成指定檔案的傳送,完成對公眾進行通知的發送,進行相似信息的歸納整理等等之類,用現代化的工作條件來實現自動化的辦公,從而達到提高工作效率的目標。
2.2 建設安全的網絡平臺
事業單位的信息要求一定的保密性,因此,建設網絡平臺還必須達到一定的的信息安全標準,要建設起一個有完善的安全保障體系的網絡平臺。首先對于這個安全體系進行全面的分析,做好針對本事業單位情況的安全規劃,再設置防火墻,搭建信息過濾系統;其次要正確對待發展與安全兩者的聯系,把握好成本和收入的平衡,在注意好網絡平臺的安全的同時,保證該平臺的開放性,給予事業單位足夠的發展空間[3]。
2.3 引入活動管理體系
要在網絡平臺中重點引入管理的內容。事業單位的參與人員較多 ,單位開展活動的分布面廣,地點較多 ,活動的規模大小不一 ,進行活動的時間長短不確定。因為事業單位開展活動具有多樣性和隨機的特點,進行管理工作時就相對繁雜。有了網絡平臺 ,事業單位能夠對所需資料挨個地進行記錄、分析,然后保存在單位內部平臺內。再者,管理人員通過網絡平臺進行信息的提取和加工 ,讓需要的數據變得更加簡單易懂,有利于指導接下來的工作和幫助活動的開展。對于人員的管理,也會更有條理和計劃,每個步驟該由哪個工作人員來執行變得十分簡單明了,從而保證活動的順利進行。
2.4 建設長效的網絡平臺
事業單位要建設一個實用的網絡平臺,這個實用不僅指的是可操作性,還指網絡平臺在很長的時間內都能滿足事業單位的需要。在選用相關的設備時,要在條件允許下,盡量選擇先進的穩定的設備,不要選擇過時已久的設備。選擇搭建的技術時,要采用最先進的最貼合實際技術,擴寬網絡平臺的應用范圍。還要做好網絡平臺的監督和修復工作,延長網絡系統的使用期限。及時對網絡平臺中的信息數據進行補充和修改,保持網絡平臺的先進性以及發展空間,為之后的運行做好充足的準備,從而適應新的工作需要。
3 結束語
21世紀是一個信息化的時代,判斷一個國家的現代化程度的重要標準之一就是信息技術水平的高低。縱觀全國各地,推進事業單位的現代辦公水平已經成了一個不可避免的趨勢搭建簡潔高效的網絡平臺有利于事業單位更好地開展服務工作,提高單位人員的工作效率。事業單位要整合現有網絡,構建一個合理高效的計算機網絡應用平臺,調整單位的組織結構,依靠網絡開展各項工作,保證各項活動的順利進行,從而促進社會文明和諧發展[3]。
參考文獻:
[1] 霍紅萍, 彭曉光. 網絡安全管理平臺設計與應用[J]. 信息通信, 2013(6).
摘 要 隨著我國的信息科技的迅速發展和在交通行業的廣泛應用,對交通事業產生了重大的影響。因此,只有不斷推動交通管理的信息化建設,借助和使用現代信息技術,我國交通行業才能適應交通建設、生產和管理等各個環節發展需求,更好服務公眾。
關鍵詞 交通管理 信息化 建設
隨著我國經濟的快速發展,全國很多城市都在加大投入建立相應的管理系統和設施來改善城市的交通狀況,以高等科學技術為基礎的交通信息化建設對一個地區經濟的發展影響越來越大,因此,我們必須加強交通管理的信息化建設,為城市道路基礎建設提供更多的信息服務,以全面提升整個交通行業的管理水平。
一、我國交通管理信息化建設的現狀分析
我國從上世紀80年代開始進行,交通管理信息化建設已經有十年的發展歷程,經歷了由無到有、從小到大、從單項業務到關聯集成的發展過程,建立起了一套比較完整、高效的體系。從發展狀況來看,當前的交通管理信息系統應用規模不斷擴大,應用水平不斷提高,信息系統正處在從滿足基本業務需求到追求深化應用、資源整合和信息共享的過渡轉變期,但在過渡轉變期內,交通信息管理化建設也存在一些問題:
(一)缺乏對信息化建設的統一認識
錯誤的把信息化建設簡單理解為網絡技術的改進,將信息化當作是信息技術部門的工作,與己無關。這些錯誤認識直接導致了信息系統建設水平處于一般事務處理和簡單信息管理的階段,呈現出信息孤立、資源不能共享、信息化建設綜合優勢得不到有效發揮的局面。不注重思想與理念的轉變,對信息技術過分的依賴,認為高科技無所不能,花巨資構建網絡系統,能夠解決工作中的所有問題,因而在信息化建設過程中,忽視業務基礎和規范化管理工作,把平時工作簡單得搬上計算機平臺后,不愿在業務基礎建設方面多下大力氣,最終,影響了交通信息化的建設。
(二)交通管理信息化建設中缺乏對高素質人才隊伍的建設
從本質上講交通管理信息化建設就是信息化人才的培養,人才隊伍的建設是交通信息化建設成敗的關鍵。交通管理信息化的實施和推進需要既懂交通管理業務,又熟悉信息技術和管理的復合型人才,目前各級交通管理部門非常缺少這種的人才。從信息化應用的實際看,專業人才缺乏已成為制約我國信息化發展的最重要因素。
(三)交通管理信息化建設中投入資金短缺、比例失調
信息化建沒絕不是像建一個網絡那么簡單,它是一個繁瑣的系統工程,投資量大,涉及面廣,應用環節多,其研發投入大,周期長,產出低,而目前資金的短缺嚴重影響了交通管理信息化建設。而且在實踐中,交通管理信息化投入結構也很不合理,交通信息化投入主要花有三個部分:硬件費、軟件費和培訓推廣實施費,其合理比例大概是1:2:3。但根據對我國多個省區的調研發現,目前各地用于硬件的投入遠遠超其它兩者,硬件費用占總投入的平均比例的百分之八九十,然而用于軟件費和培訓推廣實施費的投入相對偏低。
(四)信息安全體系建設不健全
信息安全系統是為了保障業務系統安全穩定運行而配套的一個專門系統,它與所支撐的業務系統是緊密相連的,但是又有其自己的獨立性。目前,交通管理業務系統建設已經比較完善,但配套信息安全體系建設還是存在缺陷。主要表現:1、系統應用和管理人員安全意識薄弱,不能夠適應嚴峻的信息安全形勢。2、安全備份建設滯后,應急反應機制不完備,安全事件得不到有效及時得處理。3、系統應用安全技術措施薄弱,安全隱患明顯。四是現有的安全防范措施缺乏系統規劃。總體上還沒有掌握信息安全防范的主動權。
二、加強我國交通管理信息化建設的應對措施
(一)在交通管理信息化建設過程中要轉變觀念、提高認識
交通管理的目標是建立現代化的管理,而對現代信息運用則是現代化的重要體現,管理觀念的科學化則是現代化的重要基礎、只有管理觀念的科學化才能有效促進管理手段的改進.在交通管理信息化建設過程中要保持先進性與實用性一致的原則,則需要做到信息技術不能脫離客觀實際去片面的追求高精尖或系統的大而全等,應結合實際情況.使之與其相匹配。
(二)打造一支高素質的人才隊伍,為交通信息化建設提供人才保證
要加大交通管理信息化建設的專門人才的培養力度,特別注意培養既懂運輸管理業務、又懂信息技術的復合型人才。同時,有計劃地通過各種渠道,引進―批高水平的信息技術專門人才,井建立相應的人才激勵考核機制。總之,加強信息技術人才隊伍建設,是交通管理信息化建設的一項長期任務。
(三)構建信息安全體系,加強信息安全風險管理
目前,信息化正在深入滲透融合到交通管理業務的各個環節.錯誤得操作或惡意得攻擊都會使系統癱瘓,業務得不到及時得辦理。信息安全體系建設是一個循序漸進、逐漸改善的復雜過程和龐大的系統工程,目前交管信息系統的安全管理處于規范建設的起步階段,今后我國還要盡快出臺有關法律法規,從整體上對信息安全體系的內容進行明確規定,有計劃得分階段實施,以提高防范信息安全風險的水平,有效識別并防范安全威脅和風險,確保信息系統安全穩定運行,為交通管理信息業務的持續發展提供保障。
三、河南省的高速公路管理和信息建設
河南境內主要高速公路通車總里程4841公里,全省18個省轄市中有17個省轄市形成了高速公路的十字交叉,全省109個縣(市)中有99個通達高速公路,通達率92%,其中45個縣有兩條高速通過。全省高速公路已基本形成了以鄭州為中心的1個半小時中原城市群經濟圈,3小時可達全省任何一個省轄市,6小時可達周邊6省任何一個省會城市。目前全省高速公路在建里程596公里,到年底在建里程達到1000公里以上,到2010年通車總里程突破5000公里。河南省高速公路利用有限的資源迅速在中原崛起。
河南省高速公路信息管理中心是包括:聯網收費、全省監控和通信業務的信息處理和數據管理的中心,是省公路信息網的最重要的一部分,其中收費業務的結算涉及到省、路公司的經營收支,高速公路內部局域網的數據傳輸、對外與INTERNET網絡的相連、與銀行系統的連接,正因為這樣,因此這些均要求網絡安全、可靠,同時對本中心的網絡系統建設的可靠性、實用性、可用性尤其是對網絡安全也提出了很高的要求。
河南省高速公路信息管理中心網絡拓撲采用星型放射結構。系統具有高可靠性,省中心將省收費中心、一區拆賬中心、監控中心統一管理,這樣也很好的避免了資源的浪費,最大程度的有效合理的利用設備,網絡交換機和路由器采用合用方式高速公路信息網絡的安全性取決于出色的系統集成、網絡安全和網管技術,強大的安全服務力量和卓有成效的安全管理制度,但其中安全管理是最關鍵的。河南省信息管理中心和聯網收費網絡,在網絡安全方面做了細致工作。目前,網絡中存在的病毒已經不計其數,并且日有更新,由于工作需要,內部網絡必然與外網連接,病毒也隨時準備毀壞數據、致癱網絡,影響正常的網絡運行是其次,也可能給企業帶來巨大的損失。也因此我們要及時的備份用戶的信息,快速及時的更新病毒庫,系統升級,更全面的保護我省的交通信息管理網絡。
合理有效的管理是信息技術網絡安全十分重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
在公路信息與管理中更要建立全新網絡安全機制,必須深刻理解網絡并能提供直接的解決方案。因此,最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網絡的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了當前交通信息管理中的首要任務。一旦上述的安全隱患成為事實,所造成的對整個網絡的損失都是難以估計的。因此,網絡的安全建設是交通信息建設過程中重要的一環。
四、結語
現代交通管理的信息化建設雖然有了很大的進步,達到了前所未的高度,但在建設過程中由于受信息化意識、軟硬件條件、人員素質等多方面因素制約 導致在信息化建設過程中出現了一系列問題并嚴重阻礙了交通管理信息化建設的發展,因此,在交通管理信息化建設的過程中,我們應結合實際情況制定相應措施加以解決。
參考文獻:
[1]林達銘.信息化是實現交通新的跨越式發展的必由之路.交通世界.2004(7).
