序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)���,特別為您篩選了11篇網(wǎng)絡(luò)安全與防范論文范文���。如果您需要更多原創(chuàng)資料���,歡迎隨時(shí)與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識(shí)�����!
篇1
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]張金輝���,王衛(wèi),侯磊.信息安全保障體系建設(shè)研究.計(jì)算機(jī)安全��,2012��,(8).
[2]肖志宏���,楊倩雯.美國(guó)聯(lián)邦政府采購(gòu)的信息安全保障機(jī)制及其啟示.北京電子科技學(xué)院學(xué)報(bào)�,2009��,(3).
[3]沈昌祥.構(gòu)建積極防御綜合防范的信息安全保障體系.金融電子化�,2010,(12).
[4]嚴(yán)國(guó)戈.中美軍事信息安全法律保障比較.信息安全與通信保密�,2007,(7).
[5]楊紹蘭.信息安全的保障體系.圖書館論壇,2005����,(2).
[6]侯安才,徐瑩.建設(shè)網(wǎng)絡(luò)信息安全保障體系的新思路.現(xiàn)代電子技術(shù)�����,2004�,(3).
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]王爽.探討如何加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全及防范[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2012(11).
[2]田文英.淺談?dòng)?jì)算機(jī)操作系統(tǒng)安全問(wèn)題[J].科技創(chuàng)新與應(yīng)用�����,2012(23).
[3]張曉光.試論計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患與解決對(duì)策[J].計(jì)算機(jī)光盤軟件與應(yīng)用����,2012(18).
[4]郭晶晶,牟勝梅��,史蓓蕾.關(guān)于某金融企業(yè)網(wǎng)絡(luò)安全應(yīng)用技術(shù)的探討[J].數(shù)字技術(shù)與應(yīng)用��,2013���,12(09):123-125.
[5]王擁軍���,李建清.淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)[J].信息安全與通信保密���,2013,11(07):153-171.
[6]胡經(jīng)珍.深入探討企業(yè)網(wǎng)絡(luò)安全管理中的常見問(wèn)題[J].計(jì)算機(jī)安全��,2013��,11(07):152-160.
[7]周連兵�����,張萬(wàn).淺議企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)[J].中國(guó)公共安全:學(xué)術(shù)版�����,2013�����,10(02):163-175.
網(wǎng)絡(luò)安全論文參考文獻(xiàn):
[1]古田月.一場(chǎng)在網(wǎng)絡(luò)戰(zhàn)場(chǎng)上的較量與爭(zhēng)奪[N].中國(guó)國(guó)防報(bào)��,2013-05-20(6).
[2]蘭亭.美國(guó)秘密監(jiān)視全球媒體[N].中國(guó)國(guó)防報(bào)����,2010-10-24(1).
[3]李志偉.法國(guó)網(wǎng)絡(luò)安全戰(zhàn)略正興起[N].人民日?qǐng)?bào),2013-01-01(3).
篇2
一��、校園網(wǎng)絡(luò)安全概述
計(jì)算機(jī)網(wǎng)絡(luò)是信息社會(huì)的基礎(chǔ)����,己經(jīng)進(jìn)入社會(huì)的各個(gè)角落。經(jīng)濟(jì)����、文化、軍事��、教育和社會(huì)日常生活越來(lái)越多地依賴計(jì)算機(jī)網(wǎng)絡(luò)��。但是不容忽略的是網(wǎng)絡(luò)本身的開放性�、不設(shè)防和無(wú)法律約束等特點(diǎn),在給人們帶來(lái)巨大便利的同時(shí)�����,也帶來(lái)了一些問(wèn)題��,網(wǎng)絡(luò)安全就是其中最為顯著的問(wèn)題之一�����。計(jì)算機(jī)系統(tǒng)安全的定義主要指為數(shù)據(jù)處理系統(tǒng)建立和采用的安全保護(hù)技術(shù)。計(jì)算機(jī)系統(tǒng)安全主要涉及計(jì)算機(jī)硬件����、軟件和數(shù)據(jù)不被破壞、泄漏等����。由此,網(wǎng)絡(luò)安全主要涉及硬件��、軟件和系統(tǒng)數(shù)據(jù)的安全��。
近幾年�����,隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展���,全國(guó)各高校都普遍建立了校園網(wǎng)。校園網(wǎng)成為學(xué)校重要的基礎(chǔ)設(shè)施����。同時(shí),校園網(wǎng)也同樣面臨著越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題���。但在高校網(wǎng)絡(luò)建設(shè)的過(guò)程中���,普遍存在著“重技術(shù)�、輕安全”的傾向��,隨著網(wǎng)絡(luò)規(guī)模的迅速發(fā)展�,網(wǎng)絡(luò)用戶的快速增長(zhǎng),校園網(wǎng)從早先的教育試驗(yàn)網(wǎng)的轉(zhuǎn)變成教育��、科研和服務(wù)并重的帶有運(yùn)營(yíng)性質(zhì)的網(wǎng)絡(luò)����。校園網(wǎng)作為數(shù)字化信息的最重要傳輸載體,如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校不可回避的一個(gè)緊迫問(wèn)題���,解決網(wǎng)絡(luò)安全問(wèn)題逐漸引起了各方面的重視���。
從根本上說(shuō),校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全隱患都是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)���,而系統(tǒng)在使用����、管理過(guò)程中的失誤和疏漏更加劇了問(wèn)題的嚴(yán)重性。威脅校園網(wǎng)安全的因素主要包括:網(wǎng)絡(luò)協(xié)議漏洞造成的威脅��,操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞造成的威脅���,攻擊工具獲取容易���、使用簡(jiǎn)單,校園網(wǎng)用戶的安全意識(shí)不強(qiáng)���,計(jì)算機(jī)及網(wǎng)絡(luò)應(yīng)用水平有限等方面����。
關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)都已出臺(tái)��,學(xué)校網(wǎng)絡(luò)中心也制定了各自的管理制度�����,但是還存在著各種現(xiàn)實(shí)問(wèn)題���,宣傳教育的力度不夠,許多師生法律意識(shí)淡薄���。網(wǎng)上活躍的黑客交流活動(dòng)��,也為網(wǎng)絡(luò)破壞活動(dòng)奠定了技術(shù)基礎(chǔ)���。這是本論文討論的背景和亟待解決的問(wèn)題��。
二����、校園網(wǎng)的安全防范技術(shù)
校園網(wǎng)絡(luò)的安全是整體的����、動(dòng)態(tài)的,主要有網(wǎng)絡(luò)物理安全�����、系統(tǒng)安全�、網(wǎng)絡(luò)安全、應(yīng)用安全等多方面的內(nèi)容���,通過(guò)采用防火墻�、授權(quán)認(rèn)證���、數(shù)據(jù)加密�、入侵檢測(cè)等安全技術(shù)為手段,才有利于更有效地實(shí)現(xiàn)校園網(wǎng)絡(luò)安全��、穩(wěn)定運(yùn)行���。論文將對(duì)常用的校園網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究���。
首先是認(rèn)證技術(shù),認(rèn)證技術(shù)是網(wǎng)絡(luò)通信中建立安全通信信道的重要步驟��,是安全信息系統(tǒng)的“門禁”模塊�,是保證網(wǎng)絡(luò)信息安全的重要技術(shù)。認(rèn)證的主要目的是驗(yàn)證信息的完整性����,確認(rèn)被驗(yàn)證的信息在傳遞或存儲(chǔ)過(guò)程中沒(méi)有被篡改或重組,并驗(yàn)證信息發(fā)送者的真實(shí)性���,確認(rèn)他沒(méi)有被冒充��。認(rèn)證技術(shù)是防止黑客對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊的一種重要技術(shù)手段�,主要通過(guò)數(shù)字信封�、數(shù)字摘要、數(shù)字簽名����、智能卡和生物特征識(shí)別等技術(shù)來(lái)實(shí)現(xiàn)。
第二是密碼技術(shù)��,目前保障數(shù)據(jù)的安全主要采用現(xiàn)代密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)����,如數(shù)據(jù)保密、雙向身份認(rèn)證�。數(shù)據(jù)完整性等,由此密碼技術(shù)是保證信息的安全性的關(guān)鍵技術(shù)�����。密碼技術(shù)在古代就己經(jīng)得到相當(dāng)?shù)膽?yīng)用�,但僅限于外交和軍事等重要領(lǐng)域。隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展��,密碼技術(shù)發(fā)展成為集數(shù)學(xué)��、電子與通信��、計(jì)算機(jī)科學(xué)等學(xué)科于一身的交叉學(xué)科。密碼技術(shù)不僅能夠保證機(jī)密性信息的加密����,而且完成了數(shù)字簽名、系統(tǒng)安全等功能�����。所以���,使用密碼技術(shù)不僅可以保證信息的機(jī)密性�����,而且可以防止信息被篡改�、假冒和偽造?����,F(xiàn)在密碼技術(shù)主要是密碼學(xué)���。密碼學(xué)也是密碼技術(shù)的理論基礎(chǔ)��,主要包括密碼編碼學(xué)和密碼分析學(xué)�����。密碼編碼學(xué)主要研究如何對(duì)信息進(jìn)行編碼����,以此來(lái)隱藏�、偽裝信息,通過(guò)對(duì)給定的有意義的數(shù)據(jù)進(jìn)行可逆的數(shù)學(xué)變換��,將其變?yōu)楸砻嫔想s亂無(wú)章的數(shù)據(jù)�,而只有合法的接收者才能恢復(fù)原來(lái)的數(shù)據(jù),由此保證了數(shù)據(jù)安全����。密碼分析學(xué)是研究如何破譯經(jīng)過(guò)加密的消息并識(shí)別偽造消息?����?傊?��,密碼編碼技術(shù)和密碼分析技術(shù)相互支持��、密不可分����。
第三是防火墻技術(shù),防火墻是指放置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的系列部件的組合���。防火墻在不同網(wǎng)絡(luò)區(qū)域之間建立起控制數(shù)據(jù)交換的唯一通道�,通過(guò)允許或拒絕等手段實(shí)現(xiàn)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的控制��。防火墻本身也具有較強(qiáng)的抗攻擊能力����,能有效加強(qiáng)不同網(wǎng)絡(luò)區(qū)域之間的訪問(wèn)控制,是提供信息安全服務(wù)�,實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要的基礎(chǔ)設(shè)施。
第四是入侵檢測(cè)系統(tǒng)�。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)越來(lái)越高,防火墻技術(shù)己經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求�����。入侵檢測(cè)系統(tǒng)作為對(duì)防火墻及其有益的補(bǔ)充��,不僅能幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生�,也擴(kuò)展了系統(tǒng)管理員的安全管理能力,有效提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性�。
三��、結(jié)語(yǔ)
網(wǎng)絡(luò)技術(shù)迅速發(fā)展的同時(shí)���,也帶來(lái)了越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題,校園網(wǎng)安全防范的建設(shè)更是一項(xiàng)復(fù)雜的系統(tǒng)工程����,需要相關(guān)工作人員予以更多的重視���。論文在辨清網(wǎng)絡(luò)安全和校園網(wǎng)絡(luò)安全的定義的基礎(chǔ)上�����,從認(rèn)證技術(shù)���、密碼技術(shù)、防火墻����、入侵檢測(cè)系統(tǒng)、訪問(wèn)控制技術(shù)���、虛擬專用網(wǎng)六個(gè)方面分析了校園網(wǎng)安全防范技術(shù)��,這不僅是理論上的分析���,也為網(wǎng)絡(luò)安全實(shí)踐提供了一定的借鑒����。
參考文獻(xiàn):
[1]蔡新春.校園安全防范技術(shù)的研究與實(shí)現(xiàn)[J].合肥工業(yè)大學(xué)�,2009(04).
[2]謝慧琴.校園網(wǎng)安全防范技術(shù)研究[J].福建電腦,2009(09).
[3]卜銀俠.校園網(wǎng)安全防范技術(shù)體系[J].硅谷�,2011(24).
[4]陶甲寅.校園網(wǎng)安全與防范技術(shù)[J].電腦知識(shí)與技術(shù),2007(01).
[5]袁修春.校園網(wǎng)安全防范體系[D].蘭州:西北師范大學(xué)��,2005.
篇3
論文關(guān)鍵詞:計(jì)算機(jī)�,網(wǎng)絡(luò)安全,安全管理���,密鑰安全技術(shù)
當(dāng)今社會(huì).網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞.然而伴隨計(jì)算機(jī)與通信技術(shù)的迅猛發(fā)展.網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升��,原本網(wǎng)絡(luò)固有的優(yōu)越性���、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁.網(wǎng)絡(luò)安全已變成越來(lái)越棘手的問(wèn)題在此.筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識(shí)和一些常用的安全防范技術(shù)。
1網(wǎng)絡(luò)信息安全的內(nèi)涵
網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全.指網(wǎng)絡(luò)系統(tǒng)硬件���、軟件及其系統(tǒng)中數(shù)據(jù)的安全�����。網(wǎng)絡(luò)信息的傳輸�����、存儲(chǔ)����、處理和使用都要求處于安全狀態(tài)可見.網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動(dòng)態(tài)安全兩種靜態(tài)安全是指信息在沒(méi)有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實(shí)性:動(dòng)態(tài)安全是指信息在傳輸過(guò)程中不被篡改���、竊取、遺失和破壞��。
2網(wǎng)絡(luò)信息安全的現(xiàn)狀
中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第23次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》����。報(bào)告顯示,截至2008年底�����,中國(guó)網(wǎng)民數(shù)達(dá)到2.98億.手機(jī)網(wǎng)民數(shù)超1億達(dá)1.137億�。
Research艾瑞市場(chǎng)咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計(jì)數(shù)據(jù)顯示.2006年中國(guó)(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項(xiàng).達(dá)20.9%.其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%.“系統(tǒng)使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠(yuǎn)程控制”提及率為6.1%“無(wú)影響”的只有4.2%���。
3安全防范重在管理
在網(wǎng)絡(luò)安全中.無(wú)論從采用的管理模型,還是技術(shù)控制����,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理����、制度的管理、機(jī)構(gòu)的管理等.它的作用也是最關(guān)鍵的.是網(wǎng)絡(luò)安全防范中的靈魂�。
在機(jī)構(gòu)或部門中.各層次人員的責(zé)任感.對(duì)信息安全的認(rèn)識(shí)、理解和重視程度���,都與網(wǎng)絡(luò)安全息息相關(guān)所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應(yīng)商�、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮進(jìn)去.則成本會(huì)更低��、效率會(huì)更高那么做好網(wǎng)絡(luò)信息安全管理.至少應(yīng)從下面幾個(gè)方面人手.再結(jié)合本部門的情況制定管理策略和措施:
①樹立正確的安全意識(shí).要求每個(gè)員工都要清楚自己的職責(zé)分工如設(shè)立專職的系統(tǒng)管理員.進(jìn)行定時(shí)強(qiáng)化培訓(xùn).對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行定時(shí)檢測(cè)等�����。
2)有了明確的職責(zé)分工.還要保障制度的貫徹落實(shí).要加強(qiáng)監(jiān)督檢查建立嚴(yán)格的考核制度和獎(jiǎng)懲機(jī)制是必要的����。
③對(duì)網(wǎng)絡(luò)的管理要遵循國(guó)家的規(guī)章制度.維持網(wǎng)絡(luò)有條不紊地運(yùn)行��。
④應(yīng)明確網(wǎng)絡(luò)信息的分類.按等級(jí)采取不同級(jí)別的安全保護(hù)��。
4網(wǎng)絡(luò)信息系統(tǒng)的安全防御
4.1防火墻技術(shù)
根據(jù)CNCERT/CC調(diào)查顯示.在各類網(wǎng)絡(luò)安全技術(shù)使用中.防火墻的使用率最高達(dá)到76.5%����。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜.易安裝.并可在線升級(jí)等特點(diǎn)防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障��,以防止發(fā)生不可預(yù)測(cè)的�����、潛在破壞性的侵入��。它通過(guò)監(jiān)測(cè)����、限制�����、更改跨越防火墻的數(shù)據(jù)流�,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況.以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)�����。
4.2認(rèn)證技術(shù)
認(rèn)證是防止主動(dòng)攻擊的重要技術(shù).它對(duì)開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用.認(rèn)證的主要目的有兩個(gè):
①驗(yàn)證信息的發(fā)送者是真正的主人
2)驗(yàn)證信息的完整性,保證信息在傳送過(guò)程中未被竄改�、重放或延遲等。
4.3信息加密技術(shù)
加密是實(shí)現(xiàn)信息存儲(chǔ)和傳輸保密性的一種重要手段信息加密的方法有對(duì)稱密鑰加密和非對(duì)稱密鑰加密.兩種方法各有所長(zhǎng).可以結(jié)合使用.互補(bǔ)長(zhǎng)短����。
4.4數(shù)字水印技術(shù)
信息隱藏主要研究如何將某一機(jī)密信息秘密隱藏于另一公開的信息中.然后通過(guò)公開信息的傳輸來(lái)傳遞機(jī)密信息對(duì)信息隱藏而吉.可能的監(jiān)測(cè)者或非法攔截者則難以從公開信息中判斷機(jī)密信息是否存在.難以截獲機(jī)密信息.從而能保證機(jī)密信息的安全隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的廣泛應(yīng)用.信息隱藏技術(shù)的發(fā)展有了更加廣闊的應(yīng)用前景。數(shù)字水印是信息隱藏技術(shù)的一個(gè)重要研究方向.它是通過(guò)一定的算法將一些標(biāo)志性信息直接嵌到多媒體內(nèi)容中.但不影響原內(nèi)容的價(jià)值和使用.并且不能被人的感覺系統(tǒng)覺察或注意到����。
4.5入侵檢測(cè)技術(shù)的應(yīng)用
篇4
現(xiàn)在,計(jì)算機(jī)通信網(wǎng)絡(luò)以及Internet已成為我們社會(huì)結(jié)構(gòu)的一個(gè)基本組成部分�����。網(wǎng)絡(luò)被應(yīng)用于各個(gè)方面�����,包括電子銀行��、電子商務(wù)���、現(xiàn)代化的企業(yè)管理�、信息服務(wù)業(yè)等都以計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)為基礎(chǔ)。安全性是互聯(lián)網(wǎng)技術(shù)中很關(guān)鍵的也是很容易被忽略的問(wèn)題�����。在網(wǎng)絡(luò)廣泛使用的今天����,我們更應(yīng)該了解網(wǎng)絡(luò)安全,做好防范措施��,做好網(wǎng)絡(luò)信息的保密性���、完整性和可用性��。
一��、網(wǎng)絡(luò)安全的含義及特征
(一) 含義���。
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)����,不因偶然的或者惡意的原因而遭受到破壞、更改��、泄露����,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷����。
(二)網(wǎng)絡(luò)安全應(yīng)具有以下五個(gè)方面的特征。
保密性:信息不泄露給非授權(quán)用戶�、實(shí)體或過(guò)程,或供其利用的特性��。
完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性����。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性��。 可用性:可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性����。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)���、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊�����。
可控性:對(duì)信息的傳播及內(nèi)容具有控制能力����。
可審查性:出現(xiàn)的安全問(wèn)題時(shí)提供依據(jù)與手段
二、網(wǎng)絡(luò)安全現(xiàn)狀分析和網(wǎng)絡(luò)安全面臨的威脅
(一)網(wǎng)絡(luò)安全現(xiàn)狀分析����。
互聯(lián)網(wǎng)和網(wǎng)絡(luò)應(yīng)用以飛快的速度不斷發(fā)展,網(wǎng)絡(luò)應(yīng)用日益普及并更加復(fù)雜��,網(wǎng)絡(luò)安全問(wèn)題是互聯(lián)網(wǎng)和網(wǎng)絡(luò)應(yīng)用發(fā)展中面臨的重要問(wèn)題�����。網(wǎng)絡(luò)攻擊行為日趨復(fù)雜���,各種方法相互融合�,使網(wǎng)絡(luò)安全防御更加困難�。黑客攻擊行為組織性更強(qiáng),攻擊目標(biāo)從單純的追求“榮耀感”向獲取多方面實(shí)際利益的方向轉(zhuǎn)移���,網(wǎng)上木馬����、間諜程序���、惡意網(wǎng)站���、網(wǎng)絡(luò)仿冒等的出現(xiàn)和日趨泛濫;手機(jī)��、掌上電腦等無(wú)線終端的處理能力和功能通用性提高�����,使其日趨接近個(gè)人計(jì)算機(jī)�,針對(duì)這些無(wú)線終端的網(wǎng)絡(luò)攻擊已經(jīng)開始出現(xiàn),并將進(jìn)一步發(fā)展�����?�?傊?,網(wǎng)絡(luò)安全問(wèn)題變得更加錯(cuò)綜復(fù)雜����,影響將不斷擴(kuò)大���,很難在短期內(nèi)得到全面解決���。總之�,安全問(wèn)題已經(jīng)擺在了非常重要的位置上,網(wǎng)絡(luò)安全如果不加以防范���,會(huì)嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用���。
(二)網(wǎng)絡(luò)安全面臨的威脅。
計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅是多方面的��,既包括對(duì)網(wǎng)絡(luò)中信息的威脅����,也包括對(duì)網(wǎng)絡(luò)中設(shè)備的威脅,歸結(jié)起來(lái)����,主要有三點(diǎn):一是人為的無(wú)意失誤����。如操作員安全配置不當(dāng)造成系統(tǒng)存在安全漏洞���,用戶安全意識(shí)不強(qiáng),口令選擇不慎���,將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)給網(wǎng)絡(luò)安全帶來(lái)威脅��。二是人為的惡意攻擊�。這也是目前計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅��,比如敵手的攻擊和計(jì)算機(jī)犯罪都屬于這種情況�。三是網(wǎng)絡(luò)軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞�,這些缺陷和漏洞恰恰就是黑客進(jìn)行攻擊的首選目標(biāo)。絕大部分網(wǎng)絡(luò)入侵事件都是因?yàn)榘踩胧┎煌晟?���,沒(méi)有及時(shí)補(bǔ)上系統(tǒng)漏洞造成的。此外��,軟件公司的編程人員為便于維護(hù)而設(shè)置的軟件“后門”也是不容忽視的巨大威脅����,一旦“后門”洞開���,別人就能隨意進(jìn)入系統(tǒng),后果不堪設(shè)想���。
以下為求學(xué)網(wǎng)為您編輯的:“計(jì)算機(jī)理論探析計(jì)算機(jī)網(wǎng)絡(luò)中服務(wù)的概念”����,敬請(qǐng)關(guān)注!!
計(jì)算機(jī)理論探析計(jì)算機(jī)網(wǎng)絡(luò)中服務(wù)的概念
由系統(tǒng)管理員管理的結(jié)構(gòu)化計(jì)算機(jī)環(huán)境和只有一臺(tái)或幾臺(tái)孤立計(jì)算機(jī)組成的計(jì)算機(jī)環(huán)境的主要區(qū)別是服務(wù)�����。這種只有幾臺(tái)孤立計(jì)算機(jī)的典型環(huán)境是家庭和那些很小的非技術(shù)性的辦公室��,而典型的結(jié)構(gòu)化計(jì)算機(jī)環(huán)境則是由技術(shù)人員操作大量的計(jì)算機(jī)����,通過(guò)共享方便的通信、優(yōu)化的資源等服務(wù)來(lái)互相聯(lián)結(jié)在一起���。當(dāng)一臺(tái)家用電腦通過(guò)互聯(lián)網(wǎng)或通過(guò)ISP 連接到因特網(wǎng)上�����, 他就是使用了ISP 或其他人提供的服務(wù)才進(jìn)入網(wǎng)絡(luò)的����。
提供一個(gè)服務(wù)絕不僅僅是簡(jiǎn)單的把硬件和軟件累加在一起,它包括了服務(wù)的可靠性����、服務(wù)的標(biāo)準(zhǔn)化、以及對(duì)服務(wù)的監(jiān)控��、維護(hù)���、技術(shù)支持等。只有在這幾個(gè)方面都符合要求的服務(wù)才是真正的服務(wù)�。
1 服務(wù)的基本問(wèn)題。
創(chuàng)建一個(gè)穩(wěn)定�����、可靠的服務(wù)是一個(gè)系統(tǒng)管理員的重要工作����。在進(jìn)行這項(xiàng)工作時(shí)系統(tǒng)管理員必須考慮許多基本要素,其中最重要的就是在設(shè)計(jì)和開發(fā)的各個(gè)階段都要考慮到用戶的需求����。要和用戶進(jìn)行交流����, 去發(fā)現(xiàn)用戶對(duì)服務(wù)的要求和預(yù)期���,然后把其它的要求如管理要求等列一個(gè)清單�����,這樣的清單只能讓系統(tǒng)管理員團(tuán)隊(duì)的人看到���。
服務(wù)應(yīng)該建立在服務(wù)器級(jí)的機(jī)器上而且機(jī)器應(yīng)該放在合適的環(huán)境中,作為服務(wù)器的機(jī)器應(yīng)當(dāng)具備適當(dāng)?shù)目煽啃?�。服?wù)和服務(wù)所依賴的機(jī)器應(yīng)該受到監(jiān)控���,一旦發(fā)生故障就發(fā)出警報(bào)或產(chǎn)生故障記錄清單���。
作為服務(wù)一部分的機(jī)器和軟件應(yīng)當(dāng)依賴那些建立在相同或更高標(biāo)準(zhǔn)上的主機(jī)和軟件,一個(gè)服務(wù)的可靠性和它所依賴的服務(wù)鏈中最薄弱環(huán)節(jié)的可靠性是相當(dāng)?shù)?���。一個(gè)服務(wù)不應(yīng)該無(wú)故的去依賴那些不是服務(wù)一部分的主機(jī)���。一旦服務(wù)建好并完成了測(cè)試, 就要逐漸轉(zhuǎn)到用戶的角度來(lái)進(jìn)行進(jìn)一步的測(cè)試和調(diào)試��。
1.1 用戶的要求��。
建立一個(gè)新服務(wù)應(yīng)該從用戶的要求開始�,用戶才是你建立服務(wù)的根本原因。如果建立的服務(wù)不合乎用戶的需要���,那就是在浪費(fèi)精力���。
搜集用戶的需求應(yīng)該包括下面這些內(nèi)容:他們想怎樣使用這些新服務(wù)����、需要哪些功能、喜歡哪些功能���、這些服務(wù)對(duì)他們有多重要���,以及對(duì)于這些服務(wù)他們需要什么級(jí)別的可用性和技術(shù)支持。如果可能的話,讓用戶試用一下服務(wù)的試用版本��。不要讓用戶使用那些很麻煩或是不成功的系統(tǒng)和項(xiàng)目���。盡量計(jì)算出使用這個(gè)服務(wù)的用戶群有多大以及他們需要和希望獲得什么樣的性能�,這樣才能正確的計(jì)算����。
1.2 操作上的要求。
對(duì)于系統(tǒng)管理員來(lái)說(shuō)�, 新服務(wù)的有些要求不是用戶直接可見的。比如系統(tǒng)管理員要考慮到新服務(wù)的管理界面���、是否可以與已有的服務(wù)協(xié)同操作�,以及新服務(wù)是否能與核心服務(wù)如認(rèn)證服務(wù)和目錄服務(wù)等集成到一起����。
從用戶期望的可靠性水平以及系統(tǒng)管理員們對(duì)系統(tǒng)將來(lái)要求的可靠性的預(yù)期,系統(tǒng)管理員們就能建立一個(gè)用戶期望的功能列表�����,其內(nèi)容包括群集���、從屬設(shè)備����、備份服務(wù)器或具有高可用性的硬件和操作系統(tǒng)。
1.3 開放的體系結(jié)構(gòu)��。
有時(shí)銷售商使用私有協(xié)議就是為了和別的銷售商達(dá)成明確的許可協(xié)議�,但是會(huì)在一個(gè)銷售商使用的新版本和另一個(gè)銷售商使用的兼容版本之間存在明顯的延遲,兩個(gè)銷售商所用的版本之間也會(huì)有中斷�����,而且沒(méi)有提供兩個(gè)產(chǎn)品之間的接口����。這種情況對(duì)于那些依靠它們的接口同時(shí)使用兩種產(chǎn)品的人來(lái)說(shuō),簡(jiǎn)直是一場(chǎng)惡夢(mèng)�。
一個(gè)好的解決方法就是選擇基于開放標(biāo)準(zhǔn)的協(xié)議,讓雙方都能選擇自己的軟件����。這就把用戶端應(yīng)用程序的選擇同服務(wù)器平臺(tái)的選擇過(guò)程分離了�����,用戶自由的選擇最符合自己需要、偏好甚至是平臺(tái)的軟件�,系統(tǒng)管理員們也可以獨(dú)立地選擇基于他們的可靠性、規(guī)?����?稍O(shè)定性和可管理性需要的服務(wù)器解決方案��。系統(tǒng)管理員們可以在一些相互競(jìng)爭(zhēng)的服務(wù)器產(chǎn)品中進(jìn)行選擇���,而不必被囿于那些適合某些用戶端應(yīng)用程序的服務(wù)器軟件和平臺(tái)���。
在許多情況下, 如果軟件銷售商支持多硬件平臺(tái)�����,系統(tǒng)管理員們甚至可以獨(dú)立地選擇服務(wù)器硬件和軟件�。
我們把這叫做用戶選擇和服務(wù)器選擇分離的能力。開放協(xié)議提供了一個(gè)公平競(jìng)爭(zhēng)的場(chǎng)所��,并激起銷售商之間的競(jìng)爭(zhēng)���,這最終會(huì)使我們受益���。
開放協(xié)議和文件格式是相當(dāng)穩(wěn)定的��, 不會(huì)經(jīng)常改動(dòng)(即使改動(dòng)也是向上兼容的)��,而且還有廣泛的支持����,能給你最大的產(chǎn)品自主選擇性和最大的機(jī)會(huì)獲得可靠的��、兼容性好的產(chǎn)品
三�����、計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策措施
(一)明確網(wǎng)絡(luò)安全目標(biāo)���。
要解決網(wǎng)絡(luò)安全��,首先要明確實(shí)現(xiàn)目標(biāo):
(二)采用相應(yīng)網(wǎng)絡(luò)安全技術(shù)加強(qiáng)安全防范�。
(三)制定網(wǎng)絡(luò)安全政策法規(guī)�,普及計(jì)算機(jī)網(wǎng)絡(luò)安全教育。
作為全球信息化程度最高的國(guó)家�,美國(guó)非常重視信息系統(tǒng)安全�,把確保信息系統(tǒng)安全列為國(guó)家安全戰(zhàn)略最重要的組成部分之一�����,采取了一系列旨在加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)保密安全方面的政策措施��。因此�,要保證網(wǎng)絡(luò)安全有必要頒布網(wǎng)絡(luò)安全法律��,并增加投入加強(qiáng)管理�����,確保信息系統(tǒng)安全�����。除此之外���,還應(yīng)注重普及計(jì)算機(jī)網(wǎng)絡(luò)安全教育���,增強(qiáng)人們的網(wǎng)絡(luò)安全意識(shí)。
四���、結(jié)語(yǔ)
總之���,網(wǎng)絡(luò)安全是一個(gè)綜合性的課題����,涉及技術(shù)�����、管理��、使用等許多方面��,既包括信息系統(tǒng)本身的安全問(wèn)題�,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問(wèn)題���,而不是萬(wàn)能的����。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)已深入到社會(huì)各個(gè)領(lǐng)域��,人類社會(huì)各種活動(dòng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度已經(jīng)越來(lái)越大�。增強(qiáng)社會(huì)安全意識(shí)教育,普及計(jì)算機(jī)網(wǎng)絡(luò)安全教育,提高計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)水平�,改善其安全現(xiàn)狀,成為當(dāng)務(wù)之急����。
參考文獻(xiàn):
篇5
高校電子閱覽室作為讀者可以檢索和查詢傳統(tǒng)文獻(xiàn)�����;也可以檢索��、瀏覽�����、復(fù)制和打印數(shù)字化的文獻(xiàn)�;還可以在Internet上查詢、瀏覽��。收發(fā)郵件�����、交流信息等�����;除此之外,還可以在電子閱覽室里聽音樂(lè)�、看電影、網(wǎng)上聊天��,達(dá)到休閑娛樂(lè)的目的和發(fā)揮圖書館服務(wù)的功能����。論文大全,維護(hù)要點(diǎn)�����。目前�,幾乎所有高校都建設(shè)了電子閱覽室,電子閱覽室快捷方便的檢索條件����,提高了師生獲取文獻(xiàn)信息資源的效率,在教學(xué)和科研中��,起到了舉足輕重的作用���。但電子閱覽室的網(wǎng)絡(luò)安全也成為網(wǎng)絡(luò)管理人員需要解決的問(wèn)題����,本文以西鐵職院臨潼校區(qū)電子閱覽室面臨的網(wǎng)絡(luò)安全問(wèn)題,討論了相關(guān)的解決辦法和措施���。
一����、電子閱覽室存在網(wǎng)絡(luò)安全問(wèn)題
我院電子閱覽室在2008年建成����,由60臺(tái)計(jì)算機(jī)�����、若干普通交換機(jī)組成����。為全院師生提供了光盤檢索、超星數(shù)據(jù)庫(kù)�����、萬(wàn)方數(shù)據(jù)庫(kù)等學(xué)術(shù)論文檢索與閱覽�����。當(dāng)時(shí)建設(shè)電子閱覽時(shí),由于各種原因����,并沒(méi)有把電子閱室設(shè)為一個(gè)獨(dú)立網(wǎng)絡(luò),而是把它直接連到校園網(wǎng)里���,這對(duì)電子閱覽室的絡(luò)安全帶來(lái)了各種影響�����。目前�,電子閱覽室常見的網(wǎng)絡(luò)安全問(wèn)題有:
1.非法訪問(wèn)�。非法訪問(wèn)是指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使或越權(quán)使用等,利用各種假冒或欺騙的手段獲得合法用戶的使用權(quán)限���,達(dá)到占用合法用戶資源的目的��。
2.破壞數(shù)據(jù)的完整性�����,用非法手段��,刪除�、修改、重發(fā)某些重要息���,以干擾用用戶的正常使用����。
3.干擾系統(tǒng)的正常運(yùn)行�����,隨意破壞���、改變正常運(yùn)行的系統(tǒng),減慢系統(tǒng)響應(yīng)時(shí)間��,為數(shù)據(jù)的訪問(wèn)帶來(lái)不便�����。
4.病毒與惡意攻擊�,對(duì)服務(wù)器發(fā)送大量垃圾包,使網(wǎng)絡(luò)陷入癱瘓�����,通過(guò)客戶機(jī)傳播病毒。惡意代碼等���。
5.隨意安裝���、使用可移動(dòng)的存儲(chǔ)設(shè)備,利用移動(dòng)存儲(chǔ)介質(zhì)優(yōu)盤�����、光盤等間接與外網(wǎng)進(jìn)行數(shù)據(jù)交換����,導(dǎo)致病毒的傳入或者敏感機(jī)密數(shù)據(jù)的傳播、泄密��。
6.安裝�、使用非法軟件或黑客軟件。某些教師或?qū)W生在計(jì)算機(jī)上安裝使用非法�、盜版軟件,這無(wú)法保障計(jì)算機(jī)的正常運(yùn)行���,有的還裝上黑客軟件����,有可能對(duì)電子閱覽室的其它計(jì)算機(jī)構(gòu)成重大的安全威脅,有導(dǎo)致整個(gè)電子閱覽室崩潰的危險(xiǎn)�����。
7.惡意或非惡意地更改TP地址��。某些師生出于某種目的��。在進(jìn)行一些非法活動(dòng)之前�����,將自己機(jī)器的IP地址或用戶名更改成他人的IP地址或用戶名.這不止影響了其它計(jì)算機(jī)的正常使用�,也會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備運(yùn)行異?���;蛞恍┍O(jiān)控記錄不準(zhǔn)。無(wú)法對(duì)當(dāng)事人進(jìn)行追查和處罰.
二��、應(yīng)對(duì)策略
針對(duì)電子閱覽室以上所面臨的網(wǎng)絡(luò)安全問(wèn)題���,我們提出了如下的應(yīng)對(duì)策略:
1.添置防火墻��。防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件的結(jié)合����,它使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)直接相隔離并控制網(wǎng)絡(luò)互訪,防止對(duì)重要信息資源的非法存取和訪問(wèn)���,以保護(hù)內(nèi)部網(wǎng)絡(luò)的安全�。我們購(gòu)置了硬件防火墻���,通過(guò)對(duì)防火墻的配置����,將電子閱覽室和校園網(wǎng)絡(luò)隔離開來(lái)��,使電子閱覽室作為一個(gè)單獨(dú)的內(nèi)網(wǎng)����,相對(duì)獨(dú)立,自成體系���。最大限度的保證了電子閱覽室內(nèi)部網(wǎng)絡(luò)的安全��。
2.用VLAN技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行劃分����。VLAN是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)網(wǎng)段,從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)���。由于不同的VALN有著各自獨(dú)立的廣播域���,而廣播域只能在本地VLAN內(nèi)進(jìn)行,從而大大減少了廣播對(duì)網(wǎng)絡(luò)帶寬的占用���,提高了帶寬傳輸效率��,并可以有效地將廣播風(fēng)暴所帶來(lái)的危害拄制在最小的范圍內(nèi)�����。在交換機(jī)劃分VLAN后�,不同VIAN之間將不能直接通信��。VLAN的通信必須通過(guò)三層交換設(shè)備(路由設(shè)備)��,我們可以通過(guò)路由訪問(wèn)列表和MAC地址分配等VLAN劃分原則��,控制用戶訪問(wèn)權(quán)限和邏輯網(wǎng)段大小���,將不同用戶群劃分在不同VLAN中����。我們將電子閱覽室劃分為一個(gè)VLAN����。論文大全,維護(hù)要點(diǎn)����。師生共同使用,而減少了維護(hù)難度�����。
3.對(duì)設(shè)備�����、系統(tǒng)漏洞檢測(cè)�。定期對(duì)包括操作系統(tǒng),數(shù)據(jù)庫(kù)管理系統(tǒng)等系統(tǒng)軟件進(jìn)行系統(tǒng)漏洞掃描�����、端口掃描,對(duì)系統(tǒng)打補(bǔ)丁�,關(guān)閉非必須開放的端口,對(duì)防火墻�,路由器、交換機(jī)配置進(jìn)行檢測(cè)等���,發(fā)現(xiàn)漏洞馬上修正�。
4.對(duì)數(shù)據(jù)進(jìn)行備份����。根據(jù)實(shí)際需要利用磁盤陣列異地?cái)?shù)據(jù)備份。論文大全����,維護(hù)要點(diǎn)。利用光盤刻錄設(shè)備等系統(tǒng)和數(shù)據(jù)(如服務(wù)器操作系統(tǒng)���、系統(tǒng)日志�、各類應(yīng)用系統(tǒng)和數(shù)據(jù)等)的定期備份����。備份數(shù)據(jù)采取的策略一般是:對(duì)超星、萬(wàn)方等數(shù)據(jù)庫(kù)��,由于其數(shù)據(jù)量大�,需要備份的時(shí)間長(zhǎng),可以考慮一次完全備份后存檔�;對(duì)于安裝維護(hù)比較麻煩的服務(wù)器,可對(duì)系統(tǒng)進(jìn)行備份��,便于快速恢復(fù)�;對(duì)于客戶機(jī)等計(jì)算機(jī),系統(tǒng)維護(hù)量大�����,我校采用方正硬盤保護(hù)系統(tǒng)進(jìn)行日常維護(hù)����,但在此同時(shí)一些頑固病毒仍無(wú)刪除,就需要我們對(duì)一些特殊計(jì)算機(jī)進(jìn)行處理����。論文大全,維護(hù)要點(diǎn)���。
5.常進(jìn)行日志審核����。日志是指操作系統(tǒng)的日志、應(yīng)用程序的日志和防火墻的日志����。論文大全,維護(hù)要點(diǎn)����。對(duì)這些日志進(jìn)行常規(guī)的日志備份和分析,如果有異?�;顒?dòng)��,能及時(shí)發(fā)現(xiàn)���,從而作出補(bǔ)救措施��,這是對(duì)網(wǎng)絡(luò)安全監(jiān)控的一個(gè)補(bǔ)充���。論文大全,維護(hù)要點(diǎn)��。
三�����、讀者教育
引導(dǎo)和教育學(xué)生,增強(qiáng)他們的安全意識(shí)�����。在新生入學(xué)時(shí)���,即對(duì)所有新生進(jìn)行入館教育.教導(dǎo)學(xué)生正確使用閱覽室內(nèi)電子設(shè)備,向?qū)W生說(shuō)明發(fā)生火災(zāi)的各項(xiàng)必要的應(yīng)急措施及安全逃生路線��。嚴(yán)禁在圖書館內(nèi)吸煙或違規(guī)使用電子設(shè)備�����。
四���、結(jié)束語(yǔ)
電子閱覽室的網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的工程�,不可能只依靠一種措施來(lái)保證安全�,必須把各種安全措施有機(jī)的結(jié)合起來(lái),加之合理的運(yùn)用���,才能達(dá)到保障電子閱覽室網(wǎng)絡(luò)安全的目的��。在采取安全防范措施的同時(shí)��,還必須完善電子閱覽室的管理規(guī)章制度����,加強(qiáng)工作人員的網(wǎng)絡(luò)安全意識(shí),才能有效地實(shí)現(xiàn)電子閱覽室安全��、可靠���、穩(wěn)定地運(yùn)行.
參考文獻(xiàn):
1�����、吳少華�,局域同中的數(shù)據(jù)安全問(wèn)題研究.中國(guó)民航飛行學(xué)院學(xué)報(bào)��,2005.8.
2�、茂,論高校圖書館電子閱覽室的安全管理與充分利用.內(nèi)蒙古科技與經(jīng)濟(jì).2008.6.
3�����、國(guó)編著.網(wǎng)絡(luò)安全原理與技術(shù).北京:科學(xué)出版社�����。2003.
篇6
中圖分類號(hào):TN711 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
一.前言
知識(shí)經(jīng)濟(jì)是現(xiàn)代經(jīng)濟(jì)發(fā)展的重要趨勢(shì)之一,掌握了信息便掌握了各種競(jìng)爭(zhēng)力�����,掌握著主動(dòng)權(quán)��,�。在知識(shí)信息時(shí)代�,各種各數(shù)據(jù)信息在國(guó)家經(jīng)濟(jì)的發(fā)展,政治的穩(wěn)定���,社會(huì)的和諧和人們生活水平的提高中都扮演著越來(lái)越重要的角色����。在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)廣泛被應(yīng)用到各個(gè)領(lǐng)域的同時(shí)�,也有越來(lái)越多的人逐漸認(rèn)識(shí)到整個(gè)網(wǎng)絡(luò)安全管理的重要意義。在信息時(shí)代��,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在廣泛運(yùn)用的同時(shí)��,也因?yàn)楦鞣N原因面臨著破壞或者是數(shù)據(jù)的丟失����,不僅僅嚴(yán)重妨礙了整個(gè)信息系統(tǒng)的安全和其功能的正常發(fā)揮���,比如設(shè)備故障,數(shù)據(jù)丟失����,操作人員失誤,數(shù)據(jù)庫(kù)受到病毒侵襲等�����,在造成整個(gè)信息系統(tǒng)無(wú)法正常使用的同時(shí)����,對(duì)一些核心數(shù)據(jù)也有著泄露的風(fēng)險(xiǎn),帶來(lái)巨大的經(jīng)濟(jì)損失���,隨著計(jì)算機(jī)網(wǎng)絡(luò)的逐漸推廣����,加強(qiáng)對(duì)信息的安全管理�,提高操作人員的專業(yè)技能,規(guī)范操作,從設(shè)備等各個(gè)方面�,加強(qiáng)安全控制,保證整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行�����。
二.計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的威脅分析
1.操作中存在問(wèn)題
在操作過(guò)程中國(guó)�,主要是體現(xiàn)在操作系統(tǒng)中存在的問(wèn)題,比如各種病毒����,數(shù)據(jù)和操作系統(tǒng)的關(guān)聯(lián)等。主要體現(xiàn)幾個(gè)方面���。第一,各種病毒會(huì)使得數(shù)據(jù)庫(kù)中存在很多的安全隱患�,比如特洛伊木馬程序能夠從操作系統(tǒng)中,利用操作系統(tǒng)和數(shù)據(jù)庫(kù)的關(guān)聯(lián)性����,很大程度的威脅到整個(gè)數(shù)據(jù)庫(kù)的安全性,比如�,特洛伊木馬程序會(huì)更改入住程序的密碼,使得程序的信息密碼安全被入侵者威脅���。第二�����,在整個(gè)操作系統(tǒng)的后面��,由于數(shù)據(jù)庫(kù)的相關(guān)參數(shù)使得管理更方便管理�,但是也因此使得數(shù)據(jù)庫(kù)的服務(wù)主機(jī)上容易出現(xiàn)各種后門,這些后門也為各種入侵的黑客提供了方便���。
2.安全管理力度不夠����,管理缺乏規(guī)范性
在計(jì)算機(jī)網(wǎng)絡(luò)的使用過(guò)程中�,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全管理缺乏重視,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全管理的意義沒(méi)有能夠真正深入了解����,從而,在使用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)候�����,操作不規(guī)范�����,各種安全管理措施沒(méi)有能夠得到貫徹落實(shí)。比如�,在數(shù)據(jù)庫(kù)管理過(guò)程中,安全管理人員沒(méi)有按照規(guī)定定期對(duì)數(shù)據(jù)庫(kù)補(bǔ)丁進(jìn)行修復(fù)����,對(duì)數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)權(quán)限沒(méi)有做出較好設(shè)置等,這些不規(guī)范的操作都使得整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)時(shí)刻都面臨著各種風(fēng)險(xiǎn)的侵襲����,比如,如果數(shù)據(jù)庫(kù)管理人員幾個(gè)月都沒(méi)有對(duì)補(bǔ)丁進(jìn)行修復(fù)���,則隨時(shí)會(huì)讓數(shù)據(jù)庫(kù)處于漏洞狀態(tài)�����,為各種病毒,黑客的入侵大開了方便之門����。筆者多年計(jì)算機(jī)數(shù)據(jù)庫(kù)安全管理經(jīng)驗(yàn)而言,在計(jì)算機(jī)網(wǎng)絡(luò)的安全管理中��,很大程度上,各種風(fēng)險(xiǎn)都是因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞沒(méi)有得到修復(fù)�����,或者是太過(guò)簡(jiǎn)單的登陸密碼很久沒(méi)有進(jìn)行修改造成的�。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的使用人員缺乏安全意識(shí),風(fēng)險(xiǎn)控制常識(shí)缺乏�����,這是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大威脅最為關(guān)鍵的原因之一�。
3.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自身存在缺陷
在我國(guó),計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的推廣應(yīng)用已經(jīng)有了比較長(zhǎng)的時(shí)間了���,理論上��,各種產(chǎn)品和系統(tǒng)也較為成熟����,特性也比較強(qiáng)大��,但是���,在具體實(shí)際操作中���,現(xiàn)在廣泛使用的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中那些比較強(qiáng)大的特性沒(méi)有能夠真正的顯現(xiàn)出來(lái)�����,比如安全性能�,在整個(gè)系統(tǒng)中遠(yuǎn)遠(yuǎn)難以滿足需求�。總的而言�����,現(xiàn)在的各種計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在成熟度上依然缺乏��。
4. 人為的惡意攻擊
這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅�,敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動(dòng)攻擊����,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動(dòng)攻擊���,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲��、竊取、破譯以獲得重要機(jī)密信息���。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害��,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏
三.計(jì)算機(jī)網(wǎng)絡(luò)安全管理措施分析
1.加強(qiáng)訪問(wèn)控制和識(shí)別
(一)加強(qiáng)用戶標(biāo)識(shí)的識(shí)別和鑒定
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中��,系統(tǒng)會(huì)對(duì)用戶的標(biāo)識(shí)做出識(shí)別和鑒定����,這是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保護(hù)最基本的措施之一����。經(jīng)過(guò)幾十年的發(fā)展,用戶標(biāo)識(shí)的識(shí)別鑒定已經(jīng)有了多種方法�,比如,用戶用身份證來(lái)驗(yàn)證�����,或者是通過(guò)身份證來(lái)回答驗(yàn)證口令��,或者隨機(jī)進(jìn)行數(shù)據(jù)運(yùn)算回答等等���,因此���,要據(jù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況作出科學(xué)合理的選擇��。也可以在同一個(gè)系統(tǒng)中同時(shí)使用多種鑒別方法�,如此�,可以很大程度的提高整個(gè)系統(tǒng)的安全性。
(二)加強(qiáng)訪問(wèn)控制
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理中�����,要能夠使得系統(tǒng)能夠滿足用戶的訪問(wèn)��,加強(qiáng)安全控制�����,這是整個(gè)系統(tǒng)安全管理的重要措施之一��。加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)控制便可以限制一些非法用戶進(jìn)行破壞�����,或者是越權(quán)使用一些受到保護(hù)的網(wǎng)絡(luò)資料�,通過(guò)嚴(yán)格的訪問(wèn)控制,使得對(duì)數(shù)據(jù)的輸入����,修改,刪除等各個(gè)環(huán)節(jié)都有著嚴(yán)格的規(guī)范�,防止沒(méi)有授權(quán)的用戶訪問(wèn),保證整個(gè)系統(tǒng)信息的機(jī)密性和安全性���。
2.物理安全策略
物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)����、網(wǎng)絡(luò)服務(wù)器���、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害����、人為破壞和搭線攻擊����;驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作�;確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境;建立完備的安全管理制度��,防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊���、破壞活動(dòng)的發(fā)生�。
3. 防火墻控制
防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障����,也可稱之為控制進(jìn) / 出兩個(gè)方向通信的門檻。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)����,以阻檔外部網(wǎng)絡(luò)的侵入。
四.結(jié)束語(yǔ)
計(jì)算機(jī)網(wǎng)絡(luò)的安全管理是整個(gè)信息系統(tǒng)安全管理的重要組成部分�,在安全管理的各個(gè)環(huán)節(jié)中,最關(guān)鍵的是減少各種風(fēng)險(xiǎn)和威脅����,避免各種來(lái)自外部風(fēng)險(xiǎn)的威脅,很多類型的威脅和風(fēng)險(xiǎn)是無(wú)法徹底消除的�����,那就需要采取有效的措施�,對(duì)各種可能發(fā)生風(fēng)險(xiǎn)的環(huán)節(jié)做出強(qiáng)有力的控制,以減少對(duì)企業(yè)核心數(shù)據(jù)庫(kù)的威脅和破壞要從多方面進(jìn)行��,不僅僅要不斷研發(fā)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),也要采用先進(jìn)合理的系統(tǒng)設(shè)備���,并加強(qiáng)對(duì)操作人員的專業(yè)技術(shù)培訓(xùn)�,規(guī)范操作��,利用網(wǎng)絡(luò)安全技術(shù)將整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全管理納入到規(guī)范管理范圍����,促進(jìn)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安全性能的提升����,保證數(shù)據(jù)安全,實(shí)現(xiàn)良好的社會(huì)經(jīng)濟(jì)效益����。
參考文獻(xiàn):
[1]于柏仁 張海波 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅及維護(hù)措施 [期刊論文] 《中小企業(yè)管理與科技》 -2008年29期
[2]張瑞娟 新網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)安全思考 [期刊論文] 《科技廣場(chǎng)》 -2011年11期
[3]李尹浩 計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅及維護(hù)措施 [期刊論文] 《中國(guó)科技縱橫》 -2010年11期
[4]莊偉 維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的措施研究 [期刊論文] 《中國(guó)科技財(cái)富》 -2010年4期
篇7
論文摘要:急救指揮中心所有的軟件和用戶數(shù)據(jù)都存儲(chǔ)在服務(wù)器硬盤這個(gè)核心的數(shù)據(jù)倉(cāng)庫(kù)中,如何保證服務(wù)器數(shù)據(jù)的安全���,并且保證服務(wù)器最大程度上的不間斷運(yùn)作對(duì)每個(gè)指揮中心來(lái)說(shuō)都是一個(gè)關(guān)鍵問(wèn)題�。針對(duì)急救通訊指揮系統(tǒng)的安全保障問(wèn)題�����,從數(shù)據(jù)物理安全、網(wǎng)絡(luò)安全��、應(yīng)用系統(tǒng)安全���、告警控制系統(tǒng)等方面論述了應(yīng)采取的安全防范措施�����。對(duì)保障網(wǎng)絡(luò)指揮中心數(shù)據(jù)安全具有重要意義����。
1數(shù)據(jù)的物理安全方法
1.1RAID技術(shù)
對(duì)每臺(tái)服務(wù)器的兩塊硬盤做RAID技術(shù)處理����,把多塊獨(dú)立的硬盤(物理硬盤)按不同的方式組合起來(lái)形成一個(gè)硬盤組(邏輯硬盤),從而提供比單個(gè)硬盤更高的存儲(chǔ)性能和提供數(shù)據(jù)備份技術(shù)�����。數(shù)據(jù)備份的功能是在用戶數(shù)據(jù)一旦發(fā)生損壞后��,利用備份信息可以使損壞數(shù)據(jù)得以恢復(fù)�����,從而保障了用戶數(shù)據(jù)的安全性,而且數(shù)據(jù)備份是自動(dòng)的�。在用戶看起來(lái),組成的磁盤組就像是一個(gè)硬盤�,用戶可以對(duì)它進(jìn)行分區(qū),格式化等等����。總體來(lái)說(shuō)����,RAID技術(shù)的兩大特點(diǎn)是速度和安全����。
1.2雙機(jī)熱備系統(tǒng)
從狹義上講,雙機(jī)熱備特指基于active/standby模式的服務(wù)器熱備���。服務(wù)器數(shù)據(jù)包括數(shù)據(jù)庫(kù)數(shù)據(jù)同時(shí)往兩臺(tái)或多臺(tái)服務(wù)器寫�����,或者使用一個(gè)共享的存儲(chǔ)設(shè)備��。在同一時(shí)間內(nèi)只有一臺(tái)服務(wù)器運(yùn)行��。當(dāng)其中運(yùn)行著的一臺(tái)服務(wù)器出現(xiàn)故障無(wú)法啟動(dòng)時(shí)�����,另一臺(tái)備份服務(wù)器會(huì)通過(guò)軟件診測(cè)(一般是通過(guò)心跳診斷)將standby機(jī)器激活���,保證應(yīng)用在短時(shí)間內(nèi)完全恢復(fù)正常使用�����。雙機(jī)熱備的工作機(jī)制實(shí)際上是為整個(gè)網(wǎng)絡(luò)系統(tǒng)的中心服務(wù)器提供了一種故障自動(dòng)恢復(fù)能力����。
2���、網(wǎng)絡(luò)安全保障體系
中心網(wǎng)絡(luò)由局域網(wǎng)�����、外部網(wǎng)兩大部分組成�。因此��,我們?yōu)榱私⑵饛?qiáng)大���、穩(wěn)定���、安全的網(wǎng)絡(luò)����,可從兩大安全層次著手設(shè)計(jì)與管理:局域網(wǎng)安全和外部網(wǎng)安全�,這兩大層次結(jié)合起來(lái)才能構(gòu)成完善的網(wǎng)絡(luò)安全保障體系。
2.1應(yīng)用系統(tǒng)安全
應(yīng)用系統(tǒng)的安全主要是保護(hù)敏感數(shù)據(jù)數(shù)據(jù)不被未授權(quán)的用戶訪問(wèn)�����。并制訂出安全策略���。包括身份認(rèn)證服務(wù);權(quán)限控制服務(wù)�����;信息保密服務(wù)�;數(shù)據(jù)完整;完善的操作日志�����。這些服務(wù)互相關(guān)聯(lián)、互相支持���,共同為本系統(tǒng)提供整體安全保障體系����。
2.2數(shù)據(jù)安全
數(shù)據(jù)的安全主要體現(xiàn)在兩個(gè)方面�����,首先���,是數(shù)據(jù)不會(huì)被非授權(quán)用戶訪問(wèn)或更該����,其次��,數(shù)據(jù)在遭到破壞時(shí)的恢復(fù)���。
3應(yīng)用安全系統(tǒng)
資料永久保存����,磁帶回復(fù)時(shí)間無(wú)嚴(yán)格限制�����。數(shù)據(jù)存儲(chǔ):磁盤陣列+磁帶庫(kù);Tier1=4TB HDD存放線上經(jīng)常使用的數(shù)據(jù)�����;備份帶庫(kù):3TB定時(shí)定期備份所有數(shù)據(jù)�����。
3.1采用磁帶庫(kù)
磁帶庫(kù)具有如下優(yōu)點(diǎn):更高的價(jià)值��;簡(jiǎn)化IT�;集成的解決方案;靈活的數(shù)據(jù)存儲(chǔ)和轉(zhuǎn)移�����;多種接口選擇��;AES256位嵌入式硬件加密和壓縮功能��;用戶可自行維護(hù)和更換的組件����;廣泛的兼容性測(cè)試;久經(jīng)考驗(yàn)的可靠性��。 轉(zhuǎn)貼于
3.2數(shù)據(jù)備份軟件
3.2.1基于LAN備份方案
LAN是一種結(jié)構(gòu)簡(jiǎn)單�,易于實(shí)現(xiàn)的備份方案,廣泛的存在于各中小企業(yè)中LAN方案在企業(yè)發(fā)展壯大過(guò)程中所發(fā)揮的作用一直被客戶所認(rèn)同�。由于急救系統(tǒng)用戶數(shù)據(jù)量的巨大,基于LAN備份的弊端較突出:此方案對(duì)LAN的依賴非常強(qiáng)����;因?yàn)閮?nèi)部LAN為企業(yè)內(nèi)部辦公用網(wǎng)絡(luò),而LAN方案依賴現(xiàn)有網(wǎng)絡(luò)進(jìn)行備份恢復(fù)數(shù)據(jù)流的傳輸��,所以必然會(huì)影響現(xiàn)有辦公網(wǎng)絡(luò)環(huán)境���;基于LAN備份難于擴(kuò)展�����,因?yàn)樾枰砑哟鎯?chǔ)設(shè)備將導(dǎo)致繁忙的辦公網(wǎng)絡(luò)更加繁忙��;管理困難是LAN備份的又一難題����,因?yàn)樵O(shè)備分散于網(wǎng)絡(luò)各個(gè)環(huán)節(jié)�����,使管理員進(jìn)行數(shù)據(jù)備份恢復(fù)及平時(shí)維護(hù)工作有一定難度。
3.2.2基于IPSAN的備份方案
基于IPSAN的備份方案����,通過(guò)結(jié)合CBS備份管理軟件,將使備份恢復(fù)工作簡(jiǎn)單而有效�。
備份網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)有效隔離開,備份數(shù)據(jù)不通過(guò)辦公網(wǎng)絡(luò)傳輸�,而是直接通過(guò)IPSAN交換機(jī)與存儲(chǔ)設(shè)備進(jìn)行連接。
系統(tǒng)具備良好的擴(kuò)展性能��,在現(xiàn)有基礎(chǔ)上�����,客戶能夠添加各種存儲(chǔ)設(shè)備(需支持ISCSI)��。
根據(jù)客戶需要����,可以實(shí)現(xiàn)D2D2T功能。將數(shù)據(jù)首先備份于速度較快的磁盤陣列上�����,加快備份的速度�。再將數(shù)據(jù)從磁盤陣列備份到磁帶庫(kù)。
通過(guò)CBS備份管理軟件能夠集中管理其中各種設(shè)備����,制定備份策略,安排備份時(shí)間�����,實(shí)現(xiàn)無(wú)人值守作業(yè)�����,減輕管理員的工作量��。下圖為CBS備份框架�����。
備份服務(wù)器作為整個(gè)CBS備份架構(gòu)的中心�����,實(shí)現(xiàn)管理功能。
4告警控制系統(tǒng)
通訊指揮系統(tǒng)出現(xiàn)故障時(shí)自動(dòng)告警提示��,確保系統(tǒng)安全運(yùn)行�����。2M口通訊故障告警�����、網(wǎng)絡(luò)通訊故障告警�����、終端網(wǎng)絡(luò)斷開告警�����、電話到達(dá)告警�����、定時(shí)放音����、擴(kuò)音�、報(bào)時(shí)控制���,也可自動(dòng)循環(huán)播放、電源出現(xiàn)故障可自動(dòng)向受理臺(tái)告警���。
警告系統(tǒng)整體性能:輸入:8-32通道���,8通道遞增;電源輸入:AC 180V-250V 50Hz�����;控制通道輸入及輸出:AC
5總結(jié)
隨著數(shù)據(jù)管理與控制信息化綜合系統(tǒng)的不斷完善�����,對(duì)服務(wù)器數(shù)據(jù)的安全要求也越來(lái)越高��,論文就如何保障急救指揮中心證服務(wù)器數(shù)據(jù)的安全�����,論文從數(shù)據(jù)物理安全��、網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)安全����、告警控制系統(tǒng)等方面論述了應(yīng)采取的安全防范措施。對(duì)保障網(wǎng)絡(luò)指揮中心數(shù)據(jù)安全具有指導(dǎo)性的作用�����。
參考文獻(xiàn)
篇8
1數(shù)據(jù)的物理安全方法
1.1RAID技術(shù)
對(duì)每臺(tái)服務(wù)器的兩塊硬盤做RAID技術(shù)處理,把多塊獨(dú)立的硬盤(物理硬盤)按不同的方式組合起來(lái)形成一個(gè)硬盤組(邏輯硬盤),從而提供比單個(gè)硬盤更高的存儲(chǔ)性能和提供數(shù)據(jù)備份技術(shù)�。數(shù)據(jù)備份的功能是在用戶數(shù)據(jù)一旦發(fā)生損壞后����,利用備份信息可以使損壞數(shù)據(jù)得以恢復(fù)����,從而保障了用戶數(shù)據(jù)的安全性,而且數(shù)據(jù)備份是自動(dòng)的��。在用戶看起來(lái)�,組成的磁盤組就像是一個(gè)硬盤,用戶可以對(duì)它進(jìn)行分區(qū)���,格式化等等���?�?傮w來(lái)說(shuō)�����,RAID技術(shù)的兩大特點(diǎn)是速度和安全。
1.2雙機(jī)熱備系統(tǒng)
從狹義上講��,雙機(jī)熱備特指基于active/standby模式的服務(wù)器熱備�。服務(wù)器數(shù)據(jù)包括數(shù)據(jù)庫(kù)數(shù)據(jù)同時(shí)往兩臺(tái)或多臺(tái)服務(wù)器寫,或者使用一個(gè)共享的存儲(chǔ)設(shè)備���。在同一時(shí)間內(nèi)只有一臺(tái)服務(wù)器運(yùn)行�。當(dāng)其中運(yùn)行著的一臺(tái)服務(wù)器出現(xiàn)故障無(wú)法啟動(dòng)時(shí)��,另一臺(tái)備份服務(wù)器會(huì)通過(guò)軟件診測(cè)(一般是通過(guò)心跳診斷)將standby機(jī)器激活�,保證應(yīng)用在短時(shí)間內(nèi)完全恢復(fù)正常使用。雙機(jī)熱備的工作機(jī)制實(shí)際上是為整個(gè)網(wǎng)絡(luò)系統(tǒng)的中心服務(wù)器提供了一種故障自動(dòng)恢復(fù)能力�。
2、網(wǎng)絡(luò)安全保障體系
中心網(wǎng)絡(luò)由局域網(wǎng)��、外部網(wǎng)兩大部分組成��。因此,我們?yōu)榱私⑵饛?qiáng)大��、穩(wěn)定�����、安全的網(wǎng)絡(luò)��,可從兩大安全層次著手設(shè)計(jì)與管理:局域網(wǎng)安全和外部網(wǎng)安全��,這兩大層次結(jié)合起來(lái)才能構(gòu)成完善的網(wǎng)絡(luò)安全保障體系��。
2.1應(yīng)用系統(tǒng)安全
應(yīng)用系統(tǒng)的安全主要是保護(hù)敏感數(shù)據(jù)數(shù)據(jù)不被未授權(quán)的用戶訪問(wèn)�。并制訂出安全策略。包括身份認(rèn)證服務(wù);權(quán)限控制服務(wù);信息保密服務(wù);數(shù)據(jù)完整;完善的操作日志���。這些服務(wù)互相關(guān)聯(lián)���、互相支持,共同為本系統(tǒng)提供整體安全保障體系�����。
2.2數(shù)據(jù)安全
數(shù)據(jù)的安全主要體現(xiàn)在兩個(gè)方面����,首先��,是數(shù)據(jù)不會(huì)被非授權(quán)用戶訪問(wèn)或更該�,其次�,數(shù)據(jù)在遭到破壞時(shí)的恢復(fù)。
3應(yīng)用安全系統(tǒng)
資料永久保存����,磁帶回復(fù)時(shí)間無(wú)嚴(yán)格限制。數(shù)據(jù)存儲(chǔ):磁盤陣列+磁帶庫(kù);Tier1=4TB HDD存放線上經(jīng)常使用的數(shù)據(jù);備份帶庫(kù):3TB定時(shí)定期備份所有數(shù)據(jù)���。
3.1采用磁帶庫(kù)
磁帶庫(kù)具有如下優(yōu)點(diǎn):更高的價(jià)值;簡(jiǎn)化IT;集成的解決方案;靈活的數(shù)據(jù)存儲(chǔ)和轉(zhuǎn)移;多種接口選擇;AES256位嵌入式硬件加密和壓縮功能;用戶可自行維護(hù)和更換的組件;廣泛的兼容性測(cè)試;久經(jīng)考驗(yàn)的可靠性。
3.2數(shù)據(jù)備份軟件
3.2.1基于LAN備份方案
LAN是一種結(jié)構(gòu)簡(jiǎn)單��,易于實(shí)現(xiàn)的備份方案����,廣泛的存在于各中小企業(yè)中LAN方案在企業(yè)發(fā)展壯大過(guò)程中所發(fā)揮的作用一直被客戶所認(rèn)同。由于急救系統(tǒng)用戶數(shù)據(jù)量的巨大���,基于LAN備份的弊端較突出:此方案對(duì)LAN的依賴非常強(qiáng);因?yàn)閮?nèi)部LAN為企業(yè)內(nèi)部辦公用網(wǎng)絡(luò)���,而LAN方案依賴現(xiàn)有網(wǎng)絡(luò)進(jìn)行備份恢復(fù)數(shù)據(jù)流的傳輸��,所以必然會(huì)影響現(xiàn)有辦公網(wǎng)絡(luò)環(huán)境;基于LAN備份難于擴(kuò)展�,因?yàn)樾枰砑哟鎯?chǔ)設(shè)備將導(dǎo)致繁忙的辦公網(wǎng)絡(luò)更加繁忙;管理困難是LAN備份的又一難題�,因?yàn)樵O(shè)備分散于網(wǎng)絡(luò)各個(gè)環(huán)節(jié),使管理員進(jìn)行數(shù)據(jù)備份恢復(fù)及平時(shí)維護(hù)工作有一定難度����。
3.2.2基于IPSAN的備份方案
基于IPSAN的備份方案,通過(guò)結(jié)合CBS備份管理軟件�,將使備份恢復(fù)工作簡(jiǎn)單而有效。
備份網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)有效隔離開��,備份數(shù)據(jù)不通過(guò)辦公網(wǎng)絡(luò)傳輸���,而是直接通過(guò)IPSAN交換機(jī)與存儲(chǔ)設(shè)備進(jìn)行連接����。
系統(tǒng)具備良好的擴(kuò)展性能��,在現(xiàn)有基礎(chǔ)上����,客戶能夠添加各種存儲(chǔ)設(shè)備(需支持ISCSI)。
根據(jù)客戶需要���,可以實(shí)現(xiàn)D2D2T功能���。將數(shù)據(jù)首先備份于速度較快的磁盤陣列上��,加快備份的速度�����。再將數(shù)據(jù)從磁盤陣列備份到磁帶庫(kù)����。
通過(guò)CBS備份管理軟件能夠集中管理其中各種設(shè)備���,制定備份策略,安排備份時(shí)間����,實(shí)現(xiàn)無(wú)人值守作業(yè),減輕管理員的工作量��。下圖為CBS備份框架���。
備份服務(wù)器作為整個(gè)CBS備份架構(gòu)的中心��,實(shí)現(xiàn)管理功能���。
4告警控制系統(tǒng)
通訊指揮系統(tǒng)出現(xiàn)故障時(shí)自動(dòng)告警提示���,確保系統(tǒng)安全運(yùn)行。2M口通訊故障告警����、網(wǎng)絡(luò)通訊故障告警、終端網(wǎng)絡(luò)斷開告警���、電話到達(dá)告警��、定時(shí)放音��、擴(kuò)音�、報(bào)時(shí)控制���,也可自動(dòng)循環(huán)播放�、電源出現(xiàn)故障可自動(dòng)向受理臺(tái)告警���。
警告系統(tǒng)整體性能:輸入:8-32通道��,8通道遞增;電源輸入:AC 180V-250V 50Hz;控制通道輸入及輸出:AC<240V/3ADC<30V/3A;告警控制盒與計(jì)算機(jī)的通訊連接告警控制盒端用:232口;計(jì)算機(jī)端用:COMl口或COM2口;使用電纜:232串口電纜;各告警通道開啟時(shí)間超過(guò)10分鐘將自動(dòng)關(guān)閉;各開/關(guān)控制通道接通時(shí)間超過(guò)10分鐘將自動(dòng)斷開�。
5總結(jié)
隨著數(shù)據(jù)管理與控制信息化綜合系統(tǒng)的不斷完善,對(duì)服務(wù)器數(shù)據(jù)的安全要求也越來(lái)越高���,論文就如何保障急救指揮中心證服務(wù)器數(shù)據(jù)的安全���,論文從數(shù)據(jù)物理安全、網(wǎng)絡(luò)安全����、應(yīng)用系統(tǒng)安全、告警控制系統(tǒng)等方面論述了應(yīng)采取的安全防范措施���。對(duì)保障網(wǎng)絡(luò)指揮中心數(shù)據(jù)安全具有指導(dǎo)性的作用��。
參考文獻(xiàn):
篇9
學(xué)習(xí)網(wǎng)絡(luò)安全技術(shù)不僅是為了讓學(xué)生掌握網(wǎng)絡(luò)安全的理論知識(shí)�����,增強(qiáng)學(xué)生的網(wǎng)絡(luò)安全意識(shí),提高學(xué)生的法律意識(shí)和職業(yè)素養(yǎng)��,更重要的是樹立他們正確的人生觀和價(jià)值觀,把他們培養(yǎng)成為高技能的應(yīng)用型網(wǎng)絡(luò)人才��。
一����、網(wǎng)絡(luò)安全的探析
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和數(shù)據(jù)受到保護(hù)�����,不因偶然的或惡意的原因遭到破壞����、更改和泄露,確保網(wǎng)絡(luò)系統(tǒng)正常的工作�,網(wǎng)絡(luò)服務(wù)不中斷,確保網(wǎng)絡(luò)系統(tǒng)中流動(dòng)和保存的數(shù)據(jù)具有可用性����、完整性和保密性。網(wǎng)絡(luò)的安全在技術(shù)上應(yīng)綜合考慮到防火墻技術(shù)�����、入侵檢測(cè)技術(shù)��、漏洞掃描技術(shù)等多個(gè)要素。不斷提高防范病毒的措施�����,提高系統(tǒng)抵抗黑客入侵的能力�,還要提高數(shù)據(jù)傳輸過(guò)程中的保密性,避免遭受非法竊取��。因此��,對(duì)網(wǎng)絡(luò)安全問(wèn)題的研究總是圍繞著信息系統(tǒng)進(jìn)行的��,主要包括以下幾個(gè)方面:
(一)internet開放帶來(lái)的數(shù)據(jù)安全問(wèn)題���。伴隨網(wǎng)絡(luò)技術(shù)的普及����,internet所具有的開放性���、國(guó)際性和自由性以及各方面因素導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題����,對(duì)信息安全也提出了更高的要求����。為了解決這些安全問(wèn)題,各種安全機(jī)制�����、策略和工具被研究和應(yīng)用��,但網(wǎng)絡(luò)的安全仍然存在很大隱患���,主要可歸結(jié)為以下幾點(diǎn):1.就網(wǎng)間安全而言���,防火墻可以起到十分有效的安全屏障作用,它可以按照網(wǎng)絡(luò)安全的需要設(shè)置相關(guān)的策略���,對(duì)于進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行嚴(yán)密的監(jiān)視����,可以杜絕絕大部分的來(lái)自外網(wǎng)的攻擊�����,但是對(duì)于防范內(nèi)網(wǎng)攻擊����,卻難以發(fā)揮作用����。2.對(duì)于針對(duì)網(wǎng)絡(luò)應(yīng)用層面的攻擊����、以及系統(tǒng)后門而言,其攻擊數(shù)據(jù)包在端口及協(xié)議方面都和非網(wǎng)絡(luò)攻擊包十分相似�����,這些攻擊包可以輕易的通過(guò)防火墻的檢測(cè)�����,防火墻對(duì)于這類攻擊是難以發(fā)現(xiàn)的��。3.網(wǎng)絡(luò)攻擊是開放性網(wǎng)絡(luò)中普遍難以應(yīng)對(duì)的一個(gè)問(wèn)題����,網(wǎng)絡(luò)中的攻擊手段、方法�����、工具幾乎每天都在更新,讓網(wǎng)絡(luò)用戶難以應(yīng)對(duì)����。為修復(fù)系統(tǒng)中存在的安全隱患�,系統(tǒng)程序員也在有針對(duì)性的對(duì)系統(tǒng)開發(fā)安全補(bǔ)丁,但這些工作往往都是滯后于網(wǎng)絡(luò)攻擊���,往往是被黑客攻擊后才能發(fā)現(xiàn)安全問(wèn)題�。舊的安全問(wèn)題解決了�����,新的攻擊問(wèn)題可能隨時(shí)出現(xiàn)�。因此,應(yīng)對(duì)開放性網(wǎng)絡(luò)中的黑客攻擊是重要的研究課題���。
(二)網(wǎng)絡(luò)安全不僅僅是對(duì)外網(wǎng)�,而對(duì)內(nèi)網(wǎng)的安全防護(hù)也是不可忽視的���。據(jù)統(tǒng)計(jì)���,來(lái)自內(nèi)部的攻擊呈現(xiàn)著極具上升的趨勢(shì)���。這是因?yàn)閮?nèi)網(wǎng)用戶對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)更加熟悉。以高校的校園網(wǎng)為例���,網(wǎng)絡(luò)用戶人數(shù)眾多����,而學(xué)生的好奇心和渴望攻擊成功的心理����,使得他們把校園網(wǎng)當(dāng)作網(wǎng)絡(luò)攻擊的試驗(yàn)場(chǎng)地,且其中不乏計(jì)算機(jī)應(yīng)用高手(特別是計(jì)算機(jī)專業(yè)的學(xué)生)���,防火墻對(duì)其無(wú)法監(jiān)控����,這種來(lái)自內(nèi)部不安全因素對(duì)網(wǎng)絡(luò)的破壞力往往更大���。2008年7月的舊金山的網(wǎng)絡(luò)系統(tǒng)內(nèi)部的侵害事件���,2008年6月深圳“泄密門”等網(wǎng)絡(luò)內(nèi)部的安全事件向我們警示著內(nèi)網(wǎng)安全防范的重要性。
(三)網(wǎng)絡(luò)中硬件設(shè)備的安全可靠性問(wèn)題。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)而言網(wǎng)絡(luò)硬件設(shè)備在其中起到了重要的作用�����。比如:路由器�����,交換機(jī)�����,以及為網(wǎng)絡(luò)用戶提供多種應(yīng)用服務(wù)的服務(wù)器等�,這些設(shè)備的可用性���、可靠性��,以及設(shè)備自身的高安全保護(hù)能力都是網(wǎng)絡(luò)安全中應(yīng)該加以研究和認(rèn)真對(duì)待的問(wèn)題���。
二、通過(guò)教學(xué)研究�����,提高學(xué)生對(duì)網(wǎng)絡(luò)安全體系的管理與防范
由于網(wǎng)絡(luò)技術(shù)水平和人為因素��,以及計(jì)算機(jī)硬件的“缺陷”和軟件的“漏洞”的原因,讓我們所依賴的網(wǎng)絡(luò)異常脆弱��。在教學(xué)過(guò)程中�����,我們必須加強(qiáng)對(duì)網(wǎng)絡(luò)安全體系管理與防范意識(shí)的傳授����,才能提高學(xué)生的管理和防范能力,常用的方法如下:
(一)防火墻是在內(nèi)外網(wǎng)之間建立的一道牢固的安全屏障����,用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制,提供信息安全服務(wù)����,實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的網(wǎng)絡(luò)互聯(lián)設(shè)備。能防止不希望的��、未授權(quán)的信息流出入被保護(hù)的網(wǎng)絡(luò)���,具有較強(qiáng)的抗攻擊能力�����,是對(duì)黑客防范最嚴(yán)����、安全性較強(qiáng)的一種方式,是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的重要措施���。防火墻可以控制對(duì)特殊站點(diǎn)的訪問(wèn)���,還能防范一些木馬程序,并監(jiān)視internet安全和預(yù)警的端點(diǎn)���,從而有效地防止外部入侵者的非法攻擊行為。
(二)入侵檢測(cè)是指對(duì)入侵行為的發(fā)覺���。它通過(guò)對(duì)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息�,并對(duì)其進(jìn)行分析�����,從中發(fā)現(xiàn)是否有被攻擊的跡象����。如果把防火墻比作是網(wǎng)絡(luò)門衛(wèi)的話����,入侵檢測(cè)系統(tǒng)就是網(wǎng)絡(luò)中不間斷的攝像機(jī)����。在網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)可以有效地監(jiān)控網(wǎng)絡(luò)中的惡意攻擊行為。
(三)網(wǎng)絡(luò)病毒的防范����。對(duì)于單獨(dú)的計(jì)算機(jī)而言,可以使用單機(jī)版殺毒軟件來(lái)應(yīng)對(duì)病毒的問(wèn)題����,由于其各自為政,在應(yīng)對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)群時(shí)���,則無(wú)法應(yīng)對(duì)網(wǎng)絡(luò)病毒的防殺要求���,且在升級(jí)方面也很難做到協(xié)調(diào)一致。要有效地防范網(wǎng)絡(luò)病毒���,應(yīng)從兩方面著手:一是加強(qiáng)網(wǎng)絡(luò)安全意識(shí)�,有效控制和管理內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)交換;二是選擇使用網(wǎng)絡(luò)版殺毒軟件�����,定期更新病毒庫(kù)�����,定時(shí)查殺病毒��,對(duì)來(lái)歷不明的文件在運(yùn)行前進(jìn)行查殺�。保障網(wǎng)絡(luò)系統(tǒng)時(shí)刻處于最佳的防病毒狀態(tài)。
(四)對(duì)于網(wǎng)絡(luò)中的email,web���,ftp等典型的應(yīng)用服務(wù)的監(jiān)控��。在這些服務(wù)器中應(yīng)當(dāng)采用�����,應(yīng)用層的內(nèi)容監(jiān)控,對(duì)于其中的傳輸?shù)膬?nèi)容加以分析��,并對(duì)其中的不安全因素加以及時(shí)發(fā)現(xiàn)與處理�,比如可以利用垃圾郵件處理系統(tǒng)對(duì)email的服務(wù)加以實(shí)施的監(jiān)控��,該系統(tǒng)能發(fā)現(xiàn)其中的不安全的因素�����,以及垃圾內(nèi)容并能自動(dòng)的進(jìn)行處理�,從而可以杜絕掉絕大部分來(lái)自郵件的病毒與攻擊��。
(五)主動(dòng)發(fā)現(xiàn)系統(tǒng)漏洞是減少網(wǎng)絡(luò)攻擊的一個(gè)重要手段�。在網(wǎng)絡(luò)中單靠網(wǎng)絡(luò)管理人員人為的去發(fā)現(xiàn)并修復(fù)漏洞顯然是不夠的。因此主動(dòng)的分析網(wǎng)絡(luò)中的重點(diǎn)安全區(qū)域����,掌握其主要的安全薄弱環(huán)節(jié),利用漏洞掃描系統(tǒng)主動(dòng)的去發(fā)現(xiàn)漏洞是十分總要的一個(gè)手段�。同時(shí)在網(wǎng)絡(luò)中配以系統(tǒng)補(bǔ)丁自動(dòng)更新系統(tǒng),對(duì)于網(wǎng)絡(luò)中有類似安全隱患的主機(jī)主動(dòng)的為其打上系統(tǒng)補(bǔ)丁����。事實(shí)證明上述兩種機(jī)制的結(jié)合可以有效地減少因?yàn)橄到y(tǒng)漏洞所帶來(lái)的問(wèn)題。
(六)ip地址盜用與基于mac地址攻擊的解決�,這個(gè)可以在三層交換機(jī)或路由器中總將ip和mac地址進(jìn)行綁定,對(duì)于進(jìn)出網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查���,如果ip地址與mac地址相匹配則放行����,否則將該數(shù)據(jù)包丟棄。
三�����、通過(guò)教學(xué)改革���,把學(xué)生培養(yǎng)成高技能應(yīng)用型的網(wǎng)絡(luò)人才
網(wǎng)絡(luò)安全技術(shù)是非常復(fù)雜����,非常龐大的�,對(duì)初學(xué)者來(lái)說(shuō),如果直接照本宣科�,學(xué)生肯定會(huì)覺得網(wǎng)絡(luò)安全技術(shù)太多太深,從而產(chǎn)生畏學(xué)情緒��。為了提高學(xué)生的學(xué)習(xí)興趣�,讓他們更好地掌握網(wǎng)絡(luò)安全技術(shù)的知識(shí),就要培養(yǎng)學(xué)生的創(chuàng)新能力����,就必須改革教學(xué)方法���,經(jīng)過(guò)幾年的教學(xué)實(shí)踐證明�����,以下幾種教學(xué)方法能彌補(bǔ)傳統(tǒng)教學(xué)中的不足�。
(一)案例教學(xué)法
案例教學(xué)法是指在教師的指導(dǎo)下,根據(jù)教學(xué)目的的要求��,通過(guò)教學(xué)案例��,將學(xué)習(xí)者引入到教學(xué)實(shí)踐的情景中����,教會(huì)他們分析問(wèn)題和解決問(wèn)題的方法,進(jìn)而提高他們分析問(wèn)題和解決問(wèn)題的能力��,從而培養(yǎng)他們的職業(yè)能力����。我們?cè)诮虒W(xué)實(shí)踐中深深感受到,在計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)教學(xué)中�,引入案例教學(xué),將抽象的�����、枯燥的網(wǎng)絡(luò)安全的理論知識(shí)和精湛的、深邃的網(wǎng)絡(luò)安全技術(shù)涵寓于具體的案例中���,打破傳統(tǒng)理論教學(xué)中教師要么照本宣科����,要么泛泛而談����,以至于學(xué)生學(xué)起來(lái)枯燥無(wú)味,用起來(lái)糊里糊涂的局面�����,變復(fù)雜為簡(jiǎn)單�����,變被動(dòng)為主動(dòng)的學(xué)習(xí)過(guò)程���,調(diào)動(dòng)了學(xué)生的學(xué)習(xí)積極性�,培養(yǎng)了學(xué)生的職業(yè)能力�����。在具體案例中���,將古城墻的功能和作用與防火墻比較���;選擇學(xué)生接觸最多的校園網(wǎng)作為典型的案例,向?qū)W生系統(tǒng)地講授網(wǎng)絡(luò)安全體系結(jié)構(gòu)�、安全策略的制定、安全技術(shù)的應(yīng)用��、安全工具的部署�����,以及安全服務(wù)防范體系的建立等理論����,從而降低網(wǎng)絡(luò)安全的復(fù)雜度,使學(xué)生對(duì)網(wǎng)絡(luò)安全體系有比較全面�����、透徹的理解�。
(二)多媒體教學(xué)法
多媒體教學(xué)是指在教學(xué)過(guò)程中,根據(jù)教學(xué)目標(biāo)和教學(xué)對(duì)象的特點(diǎn),通過(guò)教學(xué)設(shè)計(jì)���,合理選擇和運(yùn)用現(xiàn)代教學(xué)媒體��,以多媒體信息作用于學(xué)生�����,形成合理的教學(xué)過(guò)程結(jié)構(gòu)���,達(dá)到最優(yōu)化的教學(xué)效果。它具有交互性�����、集成性�����、可控性等特點(diǎn)���?���?梢园殉橄蟮摹㈦y理解的知識(shí)點(diǎn)直觀地展示和動(dòng)態(tài)地模擬��,充分表達(dá)教學(xué)內(nèi)容��。例如:pgp技術(shù)的操作步驟�、防火墻的配置和使用等���。通過(guò)多媒體教學(xué),邊講邊操作, 做到聲像并行�����、視聽并行,使學(xué)生在有限課堂時(shí)間內(nèi)獲得更多的信息,從而激發(fā)了學(xué)生的學(xué)習(xí)興趣����,提高了教學(xué)效果����。
(三)實(shí)踐教學(xué)
篇10
當(dāng)今社會(huì).網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞.然而伴隨計(jì)算機(jī)與通信技術(shù)的迅猛發(fā)展.網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升,原本網(wǎng)絡(luò)固有的優(yōu)越性����、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁.網(wǎng)絡(luò)安全已變成越來(lái)越棘手的問(wèn)題在此.筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識(shí)和一些常用的安全防范技術(shù)。
1網(wǎng)絡(luò)信息安全的內(nèi)涵
網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全.指網(wǎng)絡(luò)系統(tǒng)硬件���、軟件及其系統(tǒng)中數(shù)據(jù)的安全�����。網(wǎng)絡(luò)信息的傳輸����、存儲(chǔ)、處理和使用都要求處于安全狀態(tài)可見.網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動(dòng)態(tài)安全兩種靜態(tài)安全是指信息在沒(méi)有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性���、完整性和真實(shí)性:動(dòng)態(tài)安全是指信息在傳輸過(guò)程中不被篡改�����、竊取��、遺失和破壞�����。
2網(wǎng)絡(luò)信息安全的現(xiàn)狀
中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第23次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》��。報(bào)告顯示��,截至2008年底����,中國(guó)網(wǎng)民數(shù)達(dá)到2.98億.手機(jī)網(wǎng)民數(shù)超1億達(dá)1.137億。
Research艾瑞市場(chǎng)咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計(jì)數(shù)據(jù)顯示.2006年中國(guó)(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項(xiàng).達(dá)20.9%.其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%.“系統(tǒng)使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠(yuǎn)程控制”提及率為6.1%“無(wú)影響”的只有4.2%���。
3安全防范重在管理
在網(wǎng)絡(luò)安全中.無(wú)論從采用的管理模型����,還是技術(shù)控制�,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理�、人員的管理、制度的管理���、機(jī)構(gòu)的管理等.它的作用也是最關(guān)鍵的.是網(wǎng)絡(luò)安全防范中的靈魂���。
在機(jī)構(gòu)或部門中.各層次人員的責(zé)任感.對(duì)信息安全的認(rèn)識(shí)、理解和重視程度�����,都與網(wǎng)絡(luò)安全息息相關(guān)所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應(yīng)商����、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮進(jìn)去.則成本會(huì)更低�、效率會(huì)更高那么做好網(wǎng)絡(luò)信息安全管理.至少應(yīng)從下面幾個(gè)方面人手.再結(jié)合本部門的情況制定管理策略和措施:
①樹立正確的安全意識(shí).要求每個(gè)員工都要清楚自己的職責(zé)分工如設(shè)立專職的系統(tǒng)管理員.進(jìn)行定時(shí)強(qiáng)化培訓(xùn).對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行定時(shí)檢測(cè)等�����。
2)有了明確的職責(zé)分工.還要保障制度的貫徹落實(shí).要加強(qiáng)監(jiān)督檢查建立嚴(yán)格的考核制度和獎(jiǎng)懲機(jī)制是必要的��。
③對(duì)網(wǎng)絡(luò)的管理要遵循國(guó)家的規(guī)章制度.維持網(wǎng)絡(luò)有條不紊地運(yùn)行���。
④應(yīng)明確網(wǎng)絡(luò)信息的分類.按等級(jí)采取不同級(jí)別的安全保護(hù)�����。
4網(wǎng)絡(luò)信息系統(tǒng)的安全防御
4.1防火墻技術(shù)
根據(jù)CNCERT/CC調(diào)查顯示.在各類網(wǎng)絡(luò)安全技術(shù)使用中.防火墻的使用率最高達(dá)到76.5%����。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜.易安裝.并可在線升級(jí)等特點(diǎn)防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障��,以防止發(fā)生不可預(yù)測(cè)的���、潛在破壞性的侵入���。它通過(guò)監(jiān)測(cè)、限制����、更改跨越防火墻的數(shù)據(jù)流���,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況.以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)�。
4.2認(rèn)證技術(shù)
認(rèn)證是防止主動(dòng)攻擊的重要技術(shù).它對(duì)開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用.認(rèn)證的主要目的有兩個(gè):
①驗(yàn)證信息的發(fā)送者是真正的主人
2)驗(yàn)證信息的完整性,保證信息在傳送過(guò)程中未被竄改�、重放或延遲等。
4.3信息加密技術(shù)
加密是實(shí)現(xiàn)信息存儲(chǔ)和傳輸保密性的一種重要手段信息加密的方法有對(duì)稱密鑰加密和非對(duì)稱密鑰加密.兩種方法各有所長(zhǎng).可以結(jié)合使用.互補(bǔ)長(zhǎng)短��。
4.4數(shù)字水印技術(shù)
信息隱藏主要研究如何將某一機(jī)密信息秘密隱藏于另一公開的信息中.然后通過(guò)公開信息的傳輸來(lái)傳遞機(jī)密信息對(duì)信息隱藏而吉.可能的監(jiān)測(cè)者或非法攔截者則難以從公開信息中判斷機(jī)密信息是否存在.難以截獲機(jī)密信息.從而能保證機(jī)密信息的安全隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的廣泛應(yīng)用.信息隱藏技術(shù)的發(fā)展有了更加廣闊的應(yīng)用前景��。數(shù)字水印是信息隱藏技術(shù)的一個(gè)重要研究方向.它是通過(guò)一定的算法將一些標(biāo)志性信息直接嵌到多媒體內(nèi)容中.但不影響原內(nèi)容的價(jià)值和使用.并且不能被人的感覺系統(tǒng)覺察或注意到�。
4.5入侵檢測(cè)技術(shù)的應(yīng)用
篇11
(保密的學(xué)位論文在解密后適用本授權(quán)書)
論文作者簽名: 導(dǎo)師簽名:
簽字日期: 年 月 日 簽字日期: 年 月 日
內(nèi) 容 摘 要
本文針對(duì)浙江廣播電視集團(tuán)網(wǎng)絡(luò)���,以及集團(tuán)網(wǎng)絡(luò)安全的建設(shè)��、改造提出了相應(yīng)的解決方案�����,并且從網(wǎng)絡(luò)和網(wǎng)絡(luò)安全兩個(gè)主要方面進(jìn)行了相關(guān)的闡述����。首先,對(duì)在本方案中可能使用到的計(jì)算機(jī)網(wǎng)絡(luò)����、及網(wǎng)絡(luò)安全的相關(guān)技術(shù)進(jìn)行了闡述、分析和比較�����。然后��,對(duì)集團(tuán)中的計(jì)算機(jī)網(wǎng)絡(luò)����、以及網(wǎng)絡(luò)安全的現(xiàn)狀進(jìn)行調(diào)查研究。其次�,針對(duì)浙江廣播電視集團(tuán)的網(wǎng)絡(luò)現(xiàn)狀進(jìn)行了詳細(xì)的需求分析。最后�����,提出了一套針對(duì)浙江廣播電視集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)��、以及網(wǎng)絡(luò)安全實(shí)際情況的網(wǎng)絡(luò)����、及網(wǎng)絡(luò)安全的詳細(xì)設(shè)計(jì)方案���。實(shí)施本方案之后,有助于提高其計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠性�����、以及網(wǎng)絡(luò)的安全性����。
關(guān)鍵詞:網(wǎng)絡(luò)系統(tǒng),數(shù)據(jù)安全��,網(wǎng)絡(luò)安全���,局域網(wǎng)
ABSTRACT
The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.
KEYWORDS:network system�,data security, network security��,LAN
目 錄
第一章 引言 1
第一節(jié) 選題背景與意義 1
第二節(jié) 集團(tuán)網(wǎng)絡(luò)安全發(fā)展與現(xiàn)狀 1
第三節(jié) 網(wǎng)絡(luò)安全相關(guān)技術(shù)介紹 2
第二章 集團(tuán)網(wǎng)絡(luò)安全系統(tǒng)概況及風(fēng)險(xiǎn)分析 4
第一節(jié) 集團(tuán)網(wǎng)絡(luò)機(jī)房環(huán)境 4
第二節(jié) 網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)備份 4
第三節(jié) 網(wǎng)絡(luò)安全弱點(diǎn)分析 5
第四節(jié) 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 6
第三章 集團(tuán)網(wǎng)絡(luò)安全需求與安全目標(biāo) 7
第一節(jié) 網(wǎng)絡(luò)安全需求分析 7
第二節(jié) 網(wǎng)絡(luò)安全目標(biāo) 7
第四章 集團(tuán)網(wǎng)絡(luò)安全解決方案設(shè)計(jì) 9
第一節(jié) 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng) 9
第二節(jié) 電子郵件安全解決方案 9
第三節(jié) 遠(yuǎn)程數(shù)據(jù)傳輸?shù)募用?nbsp;10
第四節(jié) 服務(wù)器的安全防護(hù) 11
第五節(jié) 計(jì)算機(jī)病毒防護(hù)的加強(qiáng) 14
第六節(jié) 網(wǎng)絡(luò)攻擊及防護(hù)演示效果圖 15
第五章 結(jié)束語(yǔ) 17
參考文獻(xiàn) 18
致 謝 19
第一章 引言
第一節(jié) 選題背景與意義
隨著互聯(lián)網(wǎng)的普及度越來(lái)越高��,全世界的計(jì)算機(jī)都能通過(guò)互聯(lián)網(wǎng)連接到一起���。各種網(wǎng)上活動(dòng)的日益頻繁,使得網(wǎng)絡(luò)安全問(wèn)題日益突出���,信息安全成為了一個(gè)重要的課題�。各種各樣的網(wǎng)絡(luò)攻擊層出不窮,如何防止網(wǎng)絡(luò)攻擊���,保障各項(xiàng)業(yè)務(wù)的順利進(jìn)行�,為廣大用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境變得尤為重要��。
本論文針對(duì)浙江廣播電視集團(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)��、以及網(wǎng)絡(luò)安全的實(shí)際解決方案��。在實(shí)施了本方案之后���,有助于提高集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠性�、以及網(wǎng)絡(luò)的安全性����。認(rèn)真分析網(wǎng)絡(luò)面臨的威脅,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個(gè)極為復(fù)雜的系統(tǒng)工程�,是一個(gè)安全管理和技術(shù)防范相結(jié)合的工程。首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視���,加強(qiáng)工作人員的責(zé)任心和防范意識(shí)����,自覺執(zhí)行各項(xiàng)安全制度,在此基礎(chǔ)之上���,再采用先進(jìn)的技術(shù)和產(chǎn)品�����,構(gòu)造全方位的防御機(jī)制�,使系統(tǒng)在最理想的狀態(tài)下運(yùn)行���。
第二節(jié) 集團(tuán)網(wǎng)絡(luò)安全發(fā)展與現(xiàn)狀
圖1-1網(wǎng)絡(luò)拓?fù)鋱D
浙江廣播電視集團(tuán)作為省級(jí)廣電傳媒集團(tuán)�����,現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)于2002年10月建成���,在集團(tuán)的運(yùn)作和管理中發(fā)揮著重要的作用。近年來(lái)隨著集團(tuán)業(yè)務(wù)的發(fā)展�����,網(wǎng)絡(luò)應(yīng)用的不斷深入��,應(yīng)用領(lǐng)域較以前傳統(tǒng)的����、小型的業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)方向擴(kuò)展��。大部分子系統(tǒng)已接入網(wǎng)絡(luò)�����,遠(yuǎn)程數(shù)據(jù)傳輸����、集團(tuán)資料共享、動(dòng)態(tài)數(shù)據(jù)查詢�����、流媒體數(shù)據(jù)業(yè)務(wù)����、集團(tuán)網(wǎng)站運(yùn)營(yíng)等都在該網(wǎng)絡(luò)上傳輸,整個(gè)網(wǎng)絡(luò)的用戶規(guī)模是原計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的數(shù)十倍����。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大��、接入點(diǎn)數(shù)量的增多�、內(nèi)部網(wǎng)絡(luò)中存在的安全隱患問(wèn)題就會(huì)愈加突出���,安全日益成為影響網(wǎng)絡(luò)效能的重要問(wèn)題���,而互聯(lián)網(wǎng)所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)�����,對(duì)自身網(wǎng)絡(luò)的安全性提出了更高的要求����。雖然廣電集團(tuán)前期的網(wǎng)絡(luò)建設(shè)有一定的安全措施,但因?yàn)榫W(wǎng)絡(luò)復(fù)雜性的逐步提高�,網(wǎng)絡(luò)中存在隱患的可能性以及由此產(chǎn)生的危害性也大大提高,因此在網(wǎng)絡(luò)系統(tǒng)的進(jìn)一步建設(shè)過(guò)程中��,及時(shí)查清網(wǎng)絡(luò)隱患的必要性就體現(xiàn)了出來(lái)��。
第三節(jié) 網(wǎng)絡(luò)安全相關(guān)技術(shù)介紹
要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性��,還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種�。
一�、防火墻技術(shù)
為保證網(wǎng)絡(luò)安全,防止外部網(wǎng)對(duì)內(nèi)部網(wǎng)的非法入侵���,在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻��。它是一個(gè)或一組系統(tǒng)�����,該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪問(wèn)��,外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)�����,以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)����。它可監(jiān)測(cè)��、限制�����、更改跨越防火墻的數(shù)據(jù)流,確認(rèn)其來(lái)源及去處�����, 檢查數(shù)據(jù)的格式及內(nèi)容��,并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)���。其主要有:數(shù)據(jù)包過(guò)濾����、監(jiān)測(cè)型���、服務(wù)器等幾大類型���。
二、數(shù)據(jù)加密技術(shù)
與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)���,是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性��,防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之 一�。隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注���。目前各國(guó)除了從法律上��、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外����,從技術(shù)上分別在軟件和硬件兩方面采取措施��,推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展��。按作用不同, 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸��、數(shù)據(jù)存儲(chǔ)����、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種���。
三���、認(rèn)證技術(shù)
認(rèn)證技術(shù)是防止主動(dòng)攻擊的重要手段,它對(duì)于開放環(huán)境中的各種信息的安全有重要作用�。認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過(guò)程����,即認(rèn)證建立信息的發(fā)送者或接收者的身份����。認(rèn)證的主要目的有兩個(gè):第一,驗(yàn)證信息的發(fā)送者是真正的�,而不是冒充的,這稱為信號(hào)源識(shí)別�;第二,驗(yàn)證信息的完整性���,保證信息在傳送過(guò)程中未被竄改或延遲等����。目前使用的認(rèn)證技術(shù)主要有:消息認(rèn)證���、身份認(rèn)證��、數(shù)字簽名�。
四���、虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)
虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過(guò)一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接�。它通過(guò)安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)�、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來(lái),構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)����。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在,仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中�。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用,而事實(shí)上并非如此���。
VPN技術(shù)主要提供在公網(wǎng)上的安全的雙向通訊,采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性�。
VPN技術(shù)的工作原理:VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實(shí)現(xiàn)安全通信,它采用復(fù)雜的算法來(lái)加密傳輸?shù)男畔?,使得敏感的?shù)據(jù)不會(huì)被竊聽。
五�、計(jì)算機(jī)病毒的防范
首先要加強(qiáng)工作人員防病毒的意識(shí),其次是安裝好的殺毒軟件����。合格的防病毒軟件應(yīng)該具備以下條件:
(一)較強(qiáng)的查毒、殺毒能力�����。在當(dāng)前全球計(jì)算機(jī)網(wǎng)絡(luò)上流行的計(jì)算機(jī)病毒有4萬(wàn)多種,在各種操作系統(tǒng)中包括Windows�����、 UNIX和Netware系統(tǒng)都有大量能夠造成危害的計(jì)算機(jī)病毒��,這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒�����,具有查毒���、殺毒范圍廣�����、能力強(qiáng)的特點(diǎn)��。
(二)完善的升級(jí)服務(wù)����。與其它軟件相比����,防病毒軟件更需要不斷地更新升級(jí)����,以查殺層出不窮的計(jì)算機(jī)病毒�。
第二章 集團(tuán)網(wǎng)絡(luò)安全系統(tǒng)概況及風(fēng)險(xiǎn)分析
第一節(jié) 集團(tuán)網(wǎng)絡(luò)機(jī)房環(huán)境
目前,浙江廣播電視集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)絕大多數(shù)的設(shè)備都是安放在新大樓13樓機(jī)房?jī)?nèi)的�,只有樓層交換機(jī)是分布在各樓層的設(shè)備機(jī)柜中。根據(jù)本文的現(xiàn)場(chǎng)勘察和了解���,目前大多數(shù)信息機(jī)房在機(jī)房的裝修��、溫度和濕度控制���、消防、照明����、防靜電��、防雷等方面已經(jīng)作了很多的考慮��,主要有如下方面:
一����、網(wǎng)絡(luò)機(jī)房都作了可靠的防雷措施��,建設(shè)有防雷接地網(wǎng)��,其接地電阻小于1歐姆;大樓頂部建設(shè)有避雷針�。
二��、所有從網(wǎng)絡(luò)機(jī)房大樓外接入網(wǎng)絡(luò)機(jī)房的數(shù)據(jù)信號(hào)����,全部采用光纖接入。
三�����、網(wǎng)絡(luò)機(jī)房?jī)?nèi)大多配備UPS電源系統(tǒng)�����。
四���、機(jī)房?jī)?nèi)鋪設(shè)防靜電地板���、吊頂��,對(duì)墻面進(jìn)行了無(wú)塵處理���。
五、安裝機(jī)房防盜監(jiān)控系統(tǒng)���。
六�、配備機(jī)房消防系統(tǒng)和應(yīng)急照明系統(tǒng)���。
七���、所有樓層交換機(jī)的供電都是由機(jī)房?jī)?nèi) UPS 通過(guò)專用的線路直接供電,與樓層內(nèi)的其它電源系統(tǒng)沒(méi)有任何連接�����。
第二節(jié) 網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)備份
在廣電集團(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)中大多己經(jīng)有功能數(shù)據(jù)備份與恢復(fù)系統(tǒng)��,它是一套基于磁帶介質(zhì)的備份與恢復(fù)系統(tǒng)��,有2套文件備份的License和1套Oracle數(shù)據(jù)庫(kù)備份的License�,進(jìn)行服務(wù)器的文件備份和Oracle數(shù)據(jù)庫(kù)的實(shí)時(shí)備份和恢復(fù)��。
浙江廣電集團(tuán)網(wǎng)絡(luò)中已經(jīng)有了以下幾個(gè)網(wǎng)絡(luò)安全方面的考慮:
一、病毒防護(hù)
網(wǎng)絡(luò)中使用了諾頓病毒防護(hù)系統(tǒng)���,該病毒防御系統(tǒng)是基于網(wǎng)絡(luò)的病毒防護(hù)系統(tǒng)���,在網(wǎng)絡(luò)內(nèi)能夠遠(yuǎn)程的安裝網(wǎng)絡(luò)客戶端的病毒防護(hù)軟件,進(jìn)行病毒特征庫(kù)的自動(dòng)更新����,集中控制和管理。但是�����,網(wǎng)絡(luò)中的病毒防護(hù)系統(tǒng)沒(méi)有集中控制和管理的控制臺(tái)�����,不能實(shí)時(shí)了解網(wǎng)絡(luò)中防病毒客戶端程序的安裝情況�、病毒感染和爆發(fā)的情況。
二��、外網(wǎng)接入安全防護(hù)
網(wǎng)絡(luò)目前大多沒(méi)有單獨(dú)的外網(wǎng)接入點(diǎn)�,沒(méi)有自己的外網(wǎng)接入安全防護(hù),使用統(tǒng)一的出口和安全策略�����。
三、入侵檢測(cè)系統(tǒng)
在集團(tuán)總部局域網(wǎng)與其他網(wǎng)絡(luò)連接處采用的一套入侵檢測(cè)系統(tǒng)具體部署如圖2-1
圖2-1 廣電集團(tuán)入侵檢測(cè)系統(tǒng)示意圖
第三節(jié) 網(wǎng)絡(luò)安全弱點(diǎn)分析
浙江廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)安全弱點(diǎn)主要包括:
一��、硬件弱點(diǎn): 硬件隱患存在于服務(wù)器���、終瑞����、路由器����、交換機(jī)和安全設(shè)備等設(shè)備中,一旦發(fā)生硬件的安全問(wèn)題��,將給主機(jī)和網(wǎng)絡(luò)系統(tǒng)的可靠性���、可控性�、可用性和安全性等造成嚴(yán)重?fù)p害�。
二、操作系統(tǒng)弱點(diǎn): 由于操作系統(tǒng)自身的漏洞和缺陷可能構(gòu)成安全隱患�����。操作系統(tǒng)是計(jì)算機(jī)應(yīng)用程序執(zhí)行的基本平臺(tái)�,一旦操作系統(tǒng)被滲透,就能夠破壞所有安全措施�。靠打補(bǔ)丁開發(fā)的操作系統(tǒng)不能夠從根本上解決安全問(wèn)題����,動(dòng)態(tài)連接給廠商提供開發(fā)空間的同時(shí)為黑客開啟了方便之門。
三�、數(shù)據(jù)庫(kù)系統(tǒng)弱點(diǎn): 由于數(shù)據(jù)庫(kù)系統(tǒng)本身的漏洞和缺陷可能構(gòu)成的安全隱患。
四�、網(wǎng)絡(luò)系統(tǒng)弱點(diǎn): TCP/IP協(xié)議本身的開放性導(dǎo)致網(wǎng)絡(luò)存在安全隱患。如:TCP/IP 數(shù)據(jù)通信協(xié)議集本身就存在著安全缺點(diǎn)�����,如:大多數(shù)底層協(xié)議采用廣播方式���,網(wǎng)上任何設(shè)備均可能竊聽到情報(bào)����; 協(xié)議規(guī)程中缺乏可靠的對(duì)通信雙方身份認(rèn)證手段�,無(wú)法確定信息包地址真?zhèn)螌?dǎo)致身份“假冒”可能;由于TCP 連接建立時(shí)服務(wù)器初始序號(hào)的可推測(cè)性�,使得黑客可以由“后門”進(jìn)入系統(tǒng)漏洞�。
五�、通用軟件系統(tǒng)弱點(diǎn):如Web服務(wù)器等常用應(yīng)用軟件本身可能存在的安全弱點(diǎn)。
六��、業(yè)務(wù)系統(tǒng)弱點(diǎn): 節(jié)目視頻業(yè)務(wù)系統(tǒng)等本身的“Bug”或缺陷可能構(gòu)成弱點(diǎn)���。
七�、安全設(shè)計(jì)的弱點(diǎn): 安全設(shè)計(jì)不周全可能構(gòu)成系統(tǒng)防護(hù)的弱點(diǎn)�,由于安全漏洞的動(dòng)態(tài)性和安全威脅的增長(zhǎng)性要求以及安全需求本身的限制,安全體系設(shè)計(jì)要求具有良好的可擴(kuò)展性和動(dòng)態(tài)自適應(yīng)性�。
八、管理弱點(diǎn): 工具不多����,技術(shù)水平不高,意識(shí)淡薄����,人員不到位。
第四節(jié) 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)本身所固有的結(jié)構(gòu)復(fù)雜��、高度開放�����、邊界脆弱和管理困難等特點(diǎn),增加了廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)����。
由于網(wǎng)絡(luò)自身的開放性和廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)的特殊性使網(wǎng)絡(luò)系統(tǒng)存在很大的安全風(fēng)險(xiǎn)性��,主要有:
一����、人為因素:
未經(jīng)授權(quán)訪問(wèn)重要信息
惡意破壞重要數(shù)據(jù)
數(shù)據(jù)竊取、數(shù)據(jù)篡改
利用網(wǎng)絡(luò)設(shè)計(jì)和協(xié)議漏洞進(jìn)行網(wǎng)絡(luò)攻擊
假冒�、偽造、欺騙�、敲詐、勒索
內(nèi)部人員惡意泄露重要的信息
管理員失職
二���、自然因素:
設(shè)備的老化
火災(zāi)�、水災(zāi) (包括供水故障)
爆炸�����、煙霧�、灰塵
通風(fēng)
供電中斷
電磁輻射、靜電
以上都可能引起設(shè)備的失效、損壞����,造成線路擁塞和系統(tǒng)癱瘓等。
第三章 集團(tuán)網(wǎng)絡(luò)安全需求與安全目標(biāo)
第一節(jié) 網(wǎng)絡(luò)安全需求分析
為了確保廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)的安全��,其安全需求可以從安全管理層面��、物理安全層面��、系統(tǒng)安全層面��、網(wǎng)絡(luò)安全層面�、應(yīng)用安全層面等方面來(lái)分析。
從安全管理要求來(lái)分析��,要考慮政策��、法規(guī)��、制度���、管理權(quán)限和級(jí)別劃分���、安全培訓(xùn)等,特別要考慮基層人員計(jì)算機(jī)水平不高,系統(tǒng)設(shè)計(jì)和培訓(xùn)等方面要周密考慮��,制定切實(shí)有效的管理制度和運(yùn)行維護(hù)機(jī)制����。
從物理安全要求來(lái)分析,要根據(jù)浙江廣電集團(tuán)實(shí)際情況�,確定各物理實(shí)體的安全級(jí)別,建立相應(yīng)的安全防護(hù)機(jī)制���。
從系統(tǒng)安全需求來(lái)分析,需要解決操作系統(tǒng)安全��、數(shù)據(jù)庫(kù)系統(tǒng)安全���、TCP/IP 等協(xié)議的安全��、系統(tǒng)缺陷�����、病毒防范等問(wèn)題��。
從網(wǎng)絡(luò)安全需求來(lái)分析����,要考慮系統(tǒng)掃描、入侵檢測(cè)�、設(shè)備監(jiān)控和安全審計(jì)等,要防范黑客入侵�、身份冒充、非法訪問(wèn)�����。要保證信息在公共傳輸通道上的機(jī)密性�����,撥號(hào)線路的保密性和身份鑒別�。
從應(yīng)用安全和信息安全需求來(lái)分析,要解決重要終端用戶數(shù)據(jù)的加密��、數(shù)據(jù)的完整性���、數(shù)據(jù)的訪問(wèn)控制和授權(quán)以及數(shù)據(jù)承載終端設(shè)備 (各種計(jì)算機(jī)�、筆記本電腦�����、無(wú)線WAP終端及其它終端設(shè)備) 以及其中運(yùn)行的操作系統(tǒng)的安全可靠。
因此�����,廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)安全要重點(diǎn)做好以下幾方面的工作���,同時(shí)也是本安全方案的設(shè)計(jì)需要解決的問(wèn)題:
一�、解決內(nèi)部外部系統(tǒng)間的入侵檢測(cè)�����、信息過(guò)濾 (防止有害信息的傳播)����、網(wǎng)絡(luò)隔離問(wèn)題����;
二、解決內(nèi)部外部黑客針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施����、主機(jī)系統(tǒng)和應(yīng)用服務(wù)的各種攻擊所造成的網(wǎng)絡(luò)或系統(tǒng)不可用、信息泄密����、數(shù)據(jù)篡改 等所帶來(lái)的問(wèn)題�;
三�、解決重要信息的備份和系統(tǒng)的病毒防范等問(wèn)題;
四��、建立系統(tǒng)安全運(yùn)行所匹配的管理制度和各種規(guī)范條例��;
五����、建立健全浙江廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)安全培訓(xùn)制度及程序等方面的問(wèn)題;
六���、解決浙江廣電集團(tuán)和其它相關(guān)單位部門網(wǎng)絡(luò)信息交流帶來(lái)的安全問(wèn)題����。
第二節(jié) 網(wǎng)絡(luò)安全目標(biāo)
計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題與單臺(tái)計(jì)算機(jī)的安全在實(shí)際中存在著非常大的差別�。網(wǎng)絡(luò)不是分裝在一個(gè)機(jī)箱內(nèi),存在著傳輸系統(tǒng)的地域分布問(wèn)題�。這些傳輸通信系統(tǒng)可以是有線的,也可以是無(wú)線的�。這類傳輸可以在中途被截獲,存在著“中間攻擊”的問(wèn)題��。從攻擊的手段來(lái)看,攻擊種類和機(jī)制非常多�����。訪問(wèn)控制和鑒別也比單臺(tái)計(jì)算機(jī)困難�����,網(wǎng)絡(luò)安全要特別重視防截獲�����,防泄露和信息加密的實(shí)施���。
目前所采用的網(wǎng)絡(luò)防護(hù)方法也就是在進(jìn)入計(jì)算機(jī)操作系統(tǒng)控制中的網(wǎng)絡(luò)訪問(wèn)和網(wǎng)絡(luò)協(xié)議上實(shí)施的����。
網(wǎng)絡(luò)防護(hù)的基本服務(wù): 網(wǎng)絡(luò)訪問(wèn)控制(MAC)����、鑒別�����、數(shù)據(jù)保密性、數(shù)據(jù)完整性��、行為的完整性�、抗抵賴性、可用性等�����。
網(wǎng)絡(luò)安全的目的是保護(hù)在網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)��、傳輸和處理的信息的安全�����,概括為確保信息的完整性��、保密性��、可用性和不可抵賴性�。
信息的保密性指的是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、傳輸和處理的信息不被非授權(quán)的查看��;
信息的完整性指的是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)���、傳輸和處理的信息不被非授權(quán)的改變�;
信息的可用性和可靠性指的是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、傳輸和處理的信息為授權(quán)用戶提供及時(shí)��、方便����、有效的服務(wù);
信息的不可抵賴性指的是內(nèi)部人員對(duì)信息的操作不可抵賴����。
為了更加完整的執(zhí)行上述網(wǎng)絡(luò)信息安全的思想,防止來(lái)自集團(tuán)內(nèi)部局域網(wǎng)上的攻擊���,又由于浙江廣電集團(tuán)網(wǎng)絡(luò)連接關(guān)系復(fù)雜�、網(wǎng)絡(luò)設(shè)備多�����,使用租用的國(guó)內(nèi)的通信線路�,存在著傳輸線搭接竊聽或輻射接收竊聽等環(huán)節(jié)。因此要做到以下幾個(gè)要求:
1) 防止計(jì)算機(jī)病毒的蔓延
集團(tuán)網(wǎng)絡(luò)眾多的用戶�,可能由于內(nèi)部管理上疏忽����,裝入未經(jīng)殺毒處理的軟
件或是從因特網(wǎng)上下載了帶病毒的文件�。還可能來(lái)自外部黑客釋放病毒�����、邏輯炸彈的攻擊等��,這些都對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全構(gòu)成嚴(yán)重威脅���。病毒廣泛地傳播����,將造成網(wǎng)絡(luò)軟硬件設(shè)備的損害以至于整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓���。
2) 加強(qiáng)網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)
網(wǎng)絡(luò)黑客攻擊手段����、計(jì)算機(jī)病毒等都處于不斷的發(fā)展和變化中���,使用目前的安全保密技術(shù)和產(chǎn)品是難以構(gòu)造一種絕對(duì)安全����、無(wú)縫隙和一勞永逸的網(wǎng)絡(luò)系統(tǒng)的。因此����,安全的網(wǎng)絡(luò)系統(tǒng)必須具有網(wǎng)絡(luò)安全漏洞的檢測(cè)和監(jiān)控功能。通過(guò)安全檢測(cè)�、監(jiān)控手段,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞和各種惡意的攻擊手段���,及時(shí)提供修補(bǔ)系統(tǒng)漏洞的建議并阻斷來(lái)自內(nèi)外的非法使用和攻擊���。
3) 保障集團(tuán)內(nèi)部業(yè)務(wù)系統(tǒng)的安全穩(wěn)定
由于涉及省臺(tái)與各地方臺(tái)的視頻傳輸,不可避免的會(huì)遇上各種各樣的問(wèn)題����,因此,在網(wǎng)絡(luò)層對(duì)業(yè)務(wù)的安全要保障得力����,并且要確認(rèn)信息傳輸?shù)陌踩€(wěn)定。
第四章 集團(tuán)網(wǎng)絡(luò)安全解決方案設(shè)計(jì)
第一節(jié) 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)
由于浙江廣電集團(tuán)的網(wǎng)絡(luò)建設(shè)已有很多年的時(shí)間了�����,其很多網(wǎng)絡(luò)設(shè)備都自帶了監(jiān)控及管理軟件或工具����,但是這些工具在問(wèn)題發(fā)生之后很難解決問(wèn)題。而網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的實(shí)時(shí)映射�����、網(wǎng)絡(luò)瓶頸通知和設(shè)備失敗通知卻可以幫助用戶快速隔離問(wèn)題��,并且在員工抱怨之前解決問(wèn)題��。
這里對(duì)推薦的美國(guó) CA 公司的網(wǎng)絡(luò)監(jiān)控管理系統(tǒng) (Unicenter Network & System Management)所能夠達(dá)到的功能簡(jiǎn)單地說(shuō)明一下:通過(guò) TCP/IP 協(xié)議�����,不需要專門的培訓(xùn)���,用戶就可以配置該網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)����,啟動(dòng)網(wǎng)絡(luò)監(jiān)視管理功能后��,能夠監(jiān)控的網(wǎng)絡(luò)設(shè)備包括工作站��、服務(wù)器���、主機(jī)���、網(wǎng)橋���、路由器、集線器���、打印機(jī)等在內(nèi)的幾乎所有網(wǎng)絡(luò)元件��。當(dāng)用戶決定使用該網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)軟件時(shí)��,首先可以通過(guò)該軟件的網(wǎng)絡(luò)探查功能�,能夠全面查看用戶網(wǎng)絡(luò)的底層構(gòu)件���,確認(rèn)整個(gè)網(wǎng)絡(luò)的體系結(jié)構(gòu)���,并以一種可描述可管理的模式定位所有的網(wǎng)絡(luò)設(shè)備,并將這些設(shè)備存儲(chǔ)起來(lái)���,迅速繪出網(wǎng)絡(luò)結(jié)構(gòu)圖�����,同時(shí)啟動(dòng)設(shè)備的監(jiān)控����,而這些過(guò)程都是自動(dòng)生成的,非常簡(jiǎn)單易用�,可操作性強(qiáng)�,這對(duì)于網(wǎng)絡(luò)設(shè)備非常多、而專業(yè)網(wǎng)絡(luò)管理人員較少的企業(yè)來(lái)說(shuō)就顯得非常重要�。
在這個(gè)過(guò)程中,首先通過(guò)該網(wǎng)絡(luò)監(jiān)控管理系統(tǒng) 24X7 的全時(shí)設(shè)備輪詢網(wǎng)絡(luò)監(jiān)視功能��,迅速識(shí)別網(wǎng)絡(luò)元件的任何問(wèn)題�,當(dāng)監(jiān)測(cè)到問(wèn)題時(shí),可以不同的顏色顯示出來(lái)��,并以通過(guò)手機(jī)����、e-mail、聲音警報(bào)通知管理人員�����,同時(shí)根據(jù)各網(wǎng)絡(luò)元件相互之間的依賴關(guān)系���,自動(dòng)關(guān)閉與 有問(wèn)題網(wǎng)絡(luò)元件之后的所有網(wǎng)絡(luò)元件的連接��,減少冗余數(shù)據(jù)數(shù)量�����,避免冗余通知����。此外,還能對(duì)網(wǎng)絡(luò)元件的潛在問(wèn)題��、網(wǎng)頁(yè)的正確性���、可用性���、網(wǎng)絡(luò)的性能以及系統(tǒng)資源進(jìn)行有效的監(jiān)控管理。
當(dāng)網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)識(shí)別網(wǎng)絡(luò)失效時(shí)����,在向相關(guān)人員發(fā)送警報(bào)及通知時(shí),該軟件還可啟動(dòng)一個(gè)程序來(lái)定位網(wǎng)絡(luò)失效�。因此,當(dāng)狀況被隔離之后���,一個(gè)特定的應(yīng)用程序或者腳本程序就會(huì)被執(zhí)行�,或許是重啟這個(gè)服務(wù)或許是重啟計(jì)算機(jī)。這個(gè)進(jìn)程是自動(dòng)的��,因此當(dāng)相關(guān)人員收到設(shè)備失效的通知時(shí)�,相應(yīng)的措施已經(jīng)采取了,管理人員不用回到辦公室����,因?yàn)楫?dāng)管理人員在收到通知時(shí)已經(jīng)知道問(wèn)題己經(jīng)解決了��。
在這一系列監(jiān)控與管理過(guò)程中��,網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)都能自動(dòng)生成監(jiān)控及管理日志��,并對(duì)系統(tǒng)的使用情況與趨勢(shì)形成報(bào)告���,以便用戶形成較為完善的系統(tǒng)化管理���,提升工作效率。
第二節(jié) 電子郵件安全解決方案
解決電子郵件安全問(wèn)題��,我們需要從三個(gè)方面來(lái)考慮如何應(yīng)對(duì):
1) 對(duì)帶病毒郵件�����、垃圾郵件等惡意郵件的過(guò)濾和封堵;
2) 對(duì)進(jìn)出郵件系統(tǒng)的所有郵件進(jìn)行備份��,用于監(jiān)控和備查��;
3) 對(duì)敏感的郵件內(nèi)容進(jìn)行加密傳輸���,防備在傳遞路徑上的惡意窺伺��。
對(duì)集團(tuán)來(lái)講��,現(xiàn)實(shí)的方法是結(jié)合現(xiàn)有的成熟技術(shù)�,組合出一個(gè)在經(jīng)濟(jì)上和技術(shù)上合理的解決方案�����,同時(shí)要保證長(zhǎng)期的維保成本���。郵件系統(tǒng)的安全解決方案包括如下三個(gè)部分:
1�����、電子郵件安全網(wǎng)關(guān)技術(shù)方案
通過(guò)郵件安全網(wǎng)關(guān)的部署����,在病毒程序、垃圾郵件等不良信息進(jìn)入集團(tuán)郵件系統(tǒng)之前���,便對(duì)其進(jìn)行遏制���、阻截,從而保證集團(tuán)電子郵件系統(tǒng)的安全穩(wěn)定運(yùn)行����,節(jié)省郵件系統(tǒng)存儲(chǔ)空間,避免機(jī)密的泄漏���。
在郵件網(wǎng)關(guān)硬件系統(tǒng)上整合郵件反病毒引擎,對(duì)進(jìn)入集團(tuán)郵件系統(tǒng)的電子郵件進(jìn)行病毒檢測(cè)�,采取郵件隔離、刪除以及清除病毒等操作��,減少病毒對(duì)郵件服務(wù)器的攻擊�。應(yīng)根據(jù)互聯(lián)網(wǎng)最新病毒發(fā)展趨勢(shì),定時(shí)升級(jí)郵件網(wǎng)關(guān)病毒庫(kù)�����。
2、郵件備份系統(tǒng)技術(shù)方案
在集團(tuán)現(xiàn)有郵件系統(tǒng)的基礎(chǔ)上���,實(shí)現(xiàn)對(duì)指定時(shí)間內(nèi)(如最近一年)所有收發(fā)郵件的備份���,并且管理員根據(jù)郵件信息摘要(例如:發(fā)件人、收件人�、主題、日期���、附件名稱等)進(jìn)行檢索和查看郵件全部?jī)?nèi)容���。
3、郵件加密系統(tǒng)技術(shù)方案
保護(hù)重要電子郵件不被泄密����,防止內(nèi)部人員未經(jīng)許可將重要電子文檔以郵件的方式泄密,防止電子郵件被截取而引起的泄密�。保證工作效率,在盡量不改變使用者收發(fā)郵件操作習(xí)慣的基礎(chǔ)上�����,保證電子郵件正常暢通使用。
考慮到文件安全擴(kuò)展的需求�����,除電子郵件之外���,信息泄密還有多種途徑�����。在保護(hù)郵件安全的基礎(chǔ)上���,要考慮到日后系統(tǒng)的擴(kuò)展性。
郵件安全管理系統(tǒng)綜合動(dòng)態(tài)加解密技術(shù)����、訪問(wèn)權(quán)限控制技術(shù)、使用權(quán)限控制技術(shù)��、期限控制技術(shù)��、身份認(rèn)證技術(shù)����、操作日志管理技術(shù)、硬件綁定技術(shù)等多種技術(shù)對(duì)電子郵件進(jìn)行保護(hù)��。
第三節(jié) 遠(yuǎn)程數(shù)據(jù)傳輸?shù)募用?/p>
建立基于SSL VPN技術(shù)加密訪問(wèn)系統(tǒng)���,使得從Internet到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)使用SSL VPN數(shù)據(jù)加密通道����,保證數(shù)據(jù)在傳輸過(guò)程中保密性����。
目前能夠提供 SSL VPN 加密產(chǎn)品的廠家很多,但是本文認(rèn)為在SSL VPN技術(shù)的先進(jìn)性���、加密傳輸?shù)乃俾?����、以及廠家的技術(shù)服務(wù)等方面�����,Juniper的Netscreen SA 1000具有相對(duì)的優(yōu)勢(shì)��,是其它廠家無(wú)法比的�。
Juniper 網(wǎng)絡(luò)公司SSL VPN產(chǎn)品家族的Netscreen-SA 1000系列,使企業(yè)可以部署經(jīng)濟(jì)高效的遠(yuǎn)程接入�、外聯(lián)網(wǎng)及內(nèi)聯(lián)網(wǎng)安全性。用戶可從任何標(biāo)準(zhǔn) Web瀏覽器接入企業(yè)網(wǎng)絡(luò)和應(yīng)用��。NetScreen-SA 1000系列使用SSL作為安全接入傳輸機(jī)制��,SSL是所有標(biāo)準(zhǔn)Web瀏覽器中使用的安全協(xié)議�。使用SSL使客戶無(wú)需部署客戶端軟件、無(wú)需更改內(nèi)部服務(wù)器��,也無(wú)需進(jìn)行成本高昂的長(zhǎng)期維護(hù)���。NetScreen-SA 1000產(chǎn)品提供先進(jìn)的合作伙伴喀戶外聯(lián)網(wǎng)特性���,以控制用戶或用戶組的網(wǎng)絡(luò)訪問(wèn),無(wú)需更改基礎(chǔ)設(shè)施���、無(wú)需部署DMZ ����、也無(wú)需軟件����。這項(xiàng)功能還允許公司安全接入企業(yè)內(nèi)聯(lián)網(wǎng),使管理員可以根據(jù)不同員工��、承包商和訪問(wèn)者所需的資源來(lái)限制他們的接入權(quán)限�����。
NetScreen-SA 1000系列解決方案的主要特性與優(yōu)勢(shì)如下:
一���、端到端分層安全性
端點(diǎn)客戶端����、設(shè)備����、數(shù)據(jù)和服務(wù)器的分層安全性控制,Juniper網(wǎng)絡(luò)公司 Endpoint Defense Initiative(端點(diǎn)防御計(jì)劃)���,用于提供最高的端點(diǎn)安全性可以根據(jù)用戶組或角色���、網(wǎng)絡(luò)、設(shè)備及會(huì)話屬性來(lái)規(guī)定基于用戶身份的接入降低總擁有成本���。不需要部署客戶端軟件或更改服務(wù)器��,幾乎不需要長(zhǎng)期維護(hù)�。從單一平臺(tái)安全地遠(yuǎn)程接入內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)安全的外聯(lián)網(wǎng)接入,無(wú)需構(gòu)建 DMZ�、無(wú)需加固服務(wù)器、無(wú)需復(fù)制資源��、或無(wú)需增加部署來(lái)添加應(yīng)用或用戶簡(jiǎn)化
二�����、可管理性
(一)集中管理選項(xiàng)提供統(tǒng)一管理
(二)用戶自助服務(wù)功能���,可降低技術(shù)支持服務(wù)窗口的支持成本
(三)細(xì)粒度的審計(jì)和日志記錄
(四)3 種不同的接入方法��,允許管理員根據(jù)具體目的來(lái)設(shè)置接入權(quán)限
(五)基于角色分配管理任務(wù)
三����、高可用性
群集對(duì)部署選項(xiàng)���,可為整個(gè)LAN和WAN提供高可用性�����。
第四節(jié) 服務(wù)器的安全防護(hù)
一����、業(yè)務(wù)服務(wù)器的安全防護(hù)
(一)防火墻的安裝
這里將在Catalyst 4506交換機(jī)與服務(wù)器群的交換機(jī)之間安裝一臺(tái)高性能的防火墻����,并根據(jù)服務(wù)器群中的每臺(tái)服務(wù)器的應(yīng)用系統(tǒng)的情況,在該防火墻上進(jìn)行一對(duì)一的安全策略配置的工作��。
(二)入侵檢測(cè)系統(tǒng)的安裝
這里將在服務(wù)器群的交換機(jī)上配置一個(gè)偵聽端口���,將流經(jīng)該交換機(jī)所有端口的數(shù)據(jù)包都復(fù)制一份傳送到偵聽端口上��;再把入侵檢測(cè)系統(tǒng)連接到該偵聽端口����,接收該端口輸出的所有數(shù)據(jù)包�,并對(duì)這些數(shù)據(jù)包進(jìn)行入侵分析、判斷和記錄�。本文將負(fù)責(zé)完成入侵檢測(cè)安裝配置工作。
二���、涉及到的設(shè)備選擇
(一)防火墻的選擇
防火墻的類型主要有:數(shù)據(jù)包過(guò)濾�、監(jiān)測(cè)型���、服務(wù)器等幾大類型���。
1)包過(guò)濾型
包過(guò)濾型防火墻是防火墻的較初級(jí)產(chǎn)品����,其技術(shù)基于網(wǎng)絡(luò)中的分包傳輸技術(shù)����。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包�,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址�、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等����。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包�,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則�。如圖4-1所示:
圖4-1包過(guò)濾型防火 墻的工作原理
包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低����,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下����,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全�����。
但包過(guò)濾技術(shù)的缺陷也是明顯的���。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷�,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒����。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過(guò)包過(guò)濾型防火墻�。
2)型
型防火墻也能夠被稱為服務(wù)器,它的安全性要高過(guò)包過(guò)濾型產(chǎn)品��,并已經(jīng)開始向應(yīng)用層發(fā)展����。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流��。從客戶機(jī)來(lái)看,服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看���,服務(wù)器又是一臺(tái)真正的客戶機(jī)�����。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)����,首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器�,服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)�。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到集團(tuán)內(nèi)部網(wǎng)絡(luò)系統(tǒng)�����。如圖4-2所示
圖4-2型防火墻的工作原理
型防火墻的優(yōu)點(diǎn)是安全性較高����,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效�。它的缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性����。
本文將選用業(yè)界性能較好的、可靠性較高的Juniper 的NetScreen 5200防火墻�����,該防火墻的技術(shù)參數(shù)如表4-1
表 4-1 NetScreen 5200 防火墻技術(shù)參數(shù)表
物性/功能 NetScreen-5200
接口數(shù) 2個(gè)XFE 1OGigE����,或8個(gè)Mini-GBIC, 或2個(gè)Mini-GBIC+24 10/100
最大吞吐量 1OG 防火墻
5G 3DES/AFS VPN
最多會(huì)話數(shù) 1,000,000
最多VPN 隧道數(shù) 30,000
最多策略數(shù) 4000,000
最多虛擬系統(tǒng)數(shù) 5
最多虛擬LAN 數(shù) 4000
最多安全區(qū)域數(shù) 默認(rèn)設(shè)置為16個(gè),最多增加1000個(gè)
最多虛擬路由器數(shù) 默認(rèn)設(shè)置為3個(gè)���,最多增加500個(gè)
支持的高可用性模式 主用/備用
支持的路由協(xié)議 OSPF, BGP, RIRV1/V2
深層檢測(cè) 是
集成/重新定向,Web過(guò)濾 是/否
(二)入侵檢測(cè)系統(tǒng)的選擇
這里選用國(guó)內(nèi)擁有領(lǐng)先安全技術(shù)水平的天融信千兆級(jí)入侵檢測(cè)系統(tǒng)NGIDS-UF����。其主要的技術(shù)指標(biāo)如表4-2
表4-2 NGIDS-UF 入侵檢測(cè)系統(tǒng)技術(shù)指標(biāo)表
型號(hào) NGIDS-UF
類別 千兆IDS
規(guī)格 2U 機(jī)架式
網(wǎng)絡(luò)接口 1個(gè)10/100Base-TX: 2個(gè)千兆光纖
2wh 10/100/1000Base-TX
串口 1個(gè)RS-232C
第五節(jié) 計(jì)算機(jī)病毒防護(hù)的加強(qiáng)
一、在原有的病毒防護(hù)系統(tǒng)增加集中管理控制臺(tái)
新增一臺(tái)服務(wù)器����,在上面安裝一套諾頓的病毒防護(hù)的集中管理控制臺(tái)。這里將安裝該服務(wù)器系統(tǒng)和諾頓的集中管理控制的軟件系統(tǒng)����。
二���、增加網(wǎng)絡(luò)病毒防火墻
在每個(gè)樓層交換機(jī)的上聯(lián)端接入一臺(tái)網(wǎng)絡(luò)病毒防火墻,對(duì)局域網(wǎng)內(nèi)的病毒進(jìn)行區(qū)域控制:在二級(jí)單位廣域網(wǎng)入口處安裝一臺(tái)網(wǎng)絡(luò)病毒防火墻��,保障二級(jí)單位的廣域網(wǎng)線路不會(huì)受到病毒數(shù)據(jù)包的影響��。
涉及到的設(shè)備選擇:
(一)諾頓的防病毒集中管理控制臺(tái)
只有選用諾頓的集中管理控制軟件才能控制和管理諾頓的網(wǎng)絡(luò)防病毒系統(tǒng)的客戶端軟件���。
(二)網(wǎng)絡(luò)病毒防火墻
目前有趨勢(shì)相關(guān)的硬件產(chǎn)品出售�����,并且該產(chǎn)品還能夠與諾頓的網(wǎng)絡(luò)防病毒客戶端軟件進(jìn)行聯(lián)動(dòng)�����。所以本文選擇部署趨勢(shì)的NVW1200網(wǎng)路病毒防火墻���。該網(wǎng)絡(luò)病毒防火墻的主要功能如下:
1.執(zhí)行免的安全策略
網(wǎng)絡(luò)病毒墻對(duì)非兼容設(shè)備進(jìn)行隔離修正,以確保所有設(shè)備在進(jìn)入網(wǎng)絡(luò)前都安裝有最新的防病毒及關(guān)鍵的操作系統(tǒng)補(bǔ)丁��。執(zhí)行免的安全策略可減少管理負(fù)荷���,并可同時(shí)降低被合作伙伴或VPN用戶的非兼容設(shè)備感染的風(fēng)險(xiǎn)��。
2.漏洞隔離
網(wǎng)絡(luò)病毒墻根據(jù)Trend Micro的漏洞評(píng)估功能���,隔離網(wǎng)絡(luò)蠕蟲可利用的潛在環(huán)節(jié)�,使管理者有選擇地隔離薄弱(未安裝不定程序)的網(wǎng)絡(luò)段或設(shè)施�,避免病毒的爆發(fā)。網(wǎng)絡(luò)病毒墻提供漏洞評(píng)估服務(wù)���,并將該功能作為一個(gè)可選項(xiàng)����。
3.靈活的�����、集中式管理
網(wǎng)絡(luò)病毒墻包括趨勢(shì)科技企業(yè)安全管控中心���、及一個(gè)集中式、基于網(wǎng)絡(luò)的管理控制臺(tái)�,它根據(jù)主機(jī)安裝永久的需要實(shí)施安全更新部署。該服務(wù)可以自動(dòng)部署�����、或點(diǎn)擊管理控制臺(tái)的選項(xiàng)進(jìn)行手工部署。
4.網(wǎng)絡(luò)掃描及偵測(cè)
網(wǎng)絡(luò)病毒墻通過(guò)掃描網(wǎng)絡(luò)流量查找蠕蟲及漏洞利用����,并基于趨勢(shì)實(shí)驗(yàn)室提供的最新病毒碼來(lái)自動(dòng)清除感染的網(wǎng)絡(luò)數(shù)據(jù)包。另外���,網(wǎng)絡(luò)病毒墻利用趨勢(shì)科技先進(jìn)的啟發(fā)式技術(shù)對(duì)您的網(wǎng)絡(luò)實(shí)施監(jiān)控����,并提供威脅的早期預(yù)警����。
5.網(wǎng)絡(luò)病毒爆發(fā)監(jiān)控
網(wǎng)絡(luò)病毒墻通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量或可疑活動(dòng)來(lái)提供早期的威脅預(yù)警。并在中心控制臺(tái)上發(fā)出病毒爆發(fā)通知�,立即提示管理者蠕蟲攻擊目標(biāo)、受感染的主機(jī)�����、或具體的受攻擊的漏洞��。
6.網(wǎng)絡(luò)病毒爆發(fā)防御
網(wǎng)絡(luò)病毒墻部署了Trend Micro病毒爆發(fā)防御服務(wù)�����,通過(guò)阻絕任何蠕蟲傳播組合,包括8地址或地址范圍��、端口及協(xié)議����、即時(shí)通訊渠道、文件類型擴(kuò)展名�����、及文件傳遞�。
7.自動(dòng)清除損害
網(wǎng)絡(luò)病毒墻通過(guò)隔離感染的網(wǎng)絡(luò)段、主機(jī)����、或客戶,進(jìn)行清除及修正�,阻止了再次感染。憑借自動(dòng)�、免清除蠕蟲(木馬)痕跡�����、及系統(tǒng)文件配置(system.ini)修復(fù)功能,Trend Micro的清除損害服務(wù)可以防止再次感染���,降低清除成本���。
第六節(jié) 網(wǎng)絡(luò)攻擊及防護(hù)演示效果圖
圖4-3網(wǎng)絡(luò)攻擊及防護(hù)演示效果圖
針對(duì)浙江廣電集團(tuán)的網(wǎng)絡(luò)結(jié)構(gòu),當(dāng)出現(xiàn)如下各類情況時(shí)解決方案如圖4-3所示:
1����、 漏洞掃描-識(shí)別攻擊行為
2、 上傳病毒/木馬-修復(fù)系統(tǒng)漏洞
3���、 啟用后臺(tái)服務(wù)監(jiān)聽-防病毒軟件
4���、 遠(yuǎn)程控制服務(wù)器-防火墻入侵檢測(cè)
5、 攻擊業(yè)務(wù)系統(tǒng)-防火墻��、雙機(jī)容錯(cuò)
6����、 破壞系統(tǒng)數(shù)據(jù)-備份、災(zāi)難恢復(fù)
7���、 客戶端中毒-防病毒軟件
第五章 結(jié)束語(yǔ)
計(jì)算機(jī)網(wǎng)絡(luò)的可靠性和安全性是在不斷地變化的�,不同的時(shí)期或者階段對(duì)網(wǎng)絡(luò)的可靠性和安全性方面的要求是不一樣的。在網(wǎng)絡(luò)的建設(shè)之初��,集團(tuán)網(wǎng)絡(luò)關(guān)心最多的是網(wǎng)絡(luò)的連通性��,只需要網(wǎng)絡(luò)能夠傳送數(shù)據(jù)即可���,對(duì)于網(wǎng)絡(luò)數(shù)據(jù)的延遲lunwen .1 kejian .com 一以及網(wǎng)絡(luò)短時(shí)間的中斷都沒(méi)有過(guò)多的要求:當(dāng)網(wǎng)絡(luò)中存在著涉及到集團(tuán)的關(guān)鍵性應(yīng)用系統(tǒng)時(shí)��,就對(duì)網(wǎng)絡(luò)數(shù)據(jù)的延遲時(shí)間�����、以及網(wǎng)絡(luò)的中斷時(shí)間上就有了很高的要求�,在一般情況下��,為了保障集團(tuán)應(yīng)用系統(tǒng)的連續(xù)運(yùn)行����,集團(tuán)網(wǎng)絡(luò)系統(tǒng)是不允許發(fā)生網(wǎng)絡(luò)中斷的。因此��,本文在方案的設(shè)計(jì)中就已經(jīng)考慮到要符合目前的�����、以 及將來(lái)的網(wǎng)絡(luò)應(yīng)用系統(tǒng)的需要���,同時(shí)本文設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)的可靠性和安全性可以根據(jù)集團(tuán)網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的需要進(jìn)行相關(guān)的調(diào)整�����,滿足變化之后的網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的要求��。
本方案是一個(gè)針對(duì)浙江廣電集團(tuán)目前計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀的網(wǎng)絡(luò)����、及網(wǎng)絡(luò)安全的解決方案���,在隨后的分期分批的項(xiàng)目實(shí)施過(guò)程中���,由于集團(tuán)網(wǎng)絡(luò)環(huán)境、以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的變化�,會(huì)在細(xì)節(jié)上根據(jù)實(shí)際情況進(jìn)行相應(yīng)的調(diào)整,如:安裝設(shè)備數(shù)量���、設(shè)備安裝具體地點(diǎn)等��,只要在總的布局��、要求以及標(biāo)準(zhǔn)上保持不變��,實(shí)施之后就能夠達(dá)到本方案的設(shè)計(jì)要求���。同時(shí)��,本方案在設(shè)計(jì)��、以及設(shè)備的選型上����,己經(jīng)做了今后擴(kuò)展的考慮����。
本方案并沒(méi)有解決浙江廣電集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)、以及網(wǎng)絡(luò)安全方面的所有問(wèn)題�,隨著計(jì)算機(jī)網(wǎng)絡(luò)、及網(wǎng)絡(luò)安全的技術(shù)不斷地發(fā)展���,以及集團(tuán)網(wǎng)絡(luò)應(yīng)用系統(tǒng)不斷地新增�,集團(tuán)業(yè)務(wù)系統(tǒng)也會(huì)對(duì)集團(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和網(wǎng)絡(luò)安全方面提出更高的要求��,實(shí)現(xiàn)后滿足集團(tuán)實(shí)際的需要。
【參考文獻(xiàn)】
[1] 張國(guó)清.CCNP BSCI詳解.北京:電子工業(yè)出版社����,2006.
[2] 拉斯特.網(wǎng)絡(luò)安全基礎(chǔ)[M].北京:中國(guó)郵電出版社,2006.
[3] 常曉波.CISCO網(wǎng)絡(luò)安全.北京:清華大學(xué)出版社����,2004.
[4] 王達(dá).網(wǎng)管員必讀——網(wǎng)絡(luò)安全.電子工業(yè)出版社. 2007.
[5] 《非常掌上寶系列》編委會(huì).數(shù)據(jù)備份恢復(fù)與系統(tǒng)重裝一條龍.北京:科學(xué)出版社�����,2005.
[6] 張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程北京:電子工業(yè)出版社���,2004.
[7] 飛科研發(fā)中心.電腦防毒防黑急救.北京:電子工業(yè)出版社�����,2002
[8] 黃志暉.計(jì)算機(jī)網(wǎng)絡(luò)管理與維護(hù)全攻略.西安:西安電子科技大學(xué)出版社�,2004.
[9] 歐陽(yáng)江林.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)訓(xùn)教程�,北京:電子工業(yè)出版社,2004.
[10] 金純.IEEE802.11無(wú)線局域網(wǎng)北京:電子工業(yè)出版社�����,2004
[11] 施裕琴.網(wǎng)絡(luò)安全的入侵檢測(cè)系統(tǒng)及發(fā)展研究.集團(tuán)經(jīng)濟(jì)研究2006,(27):25-26.
[12] 董凱虹.網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的功能.計(jì)算機(jī)世界周刊.2006.(4):50-51
[13] 胡越明.Internet技術(shù)及其實(shí)現(xiàn).北京:高等教育出版社,2005.
[14] 陳雪著.Windows XP的完善.上海理工大學(xué)出版社����,2005.8
[15] 麥肯蘭勃.網(wǎng)絡(luò)安全評(píng)估.北京:中國(guó)電力出版社,2006.
[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.
[17] W Stallings , Cryptography And Network Security: Principles and Practice����, 2006.
[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.
[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.
致 謝
在論文完成之際,謹(jǐn)向所有給予我指導(dǎo)�、關(guān)心、支持和幫助的老師����、領(lǐng)導(dǎo)、同學(xué)和親人致以崇高的敬意和深深的感謝!
首先感謝導(dǎo)師顧忠偉老師一直以來(lái)對(duì)我的學(xué)習(xí)���、工作和生活所給予的無(wú)私關(guān)心�、悉心指導(dǎo)和嚴(yán)格要求�。尤其在論文的完成階段,得到顧老師的耐心指導(dǎo)和嚴(yán)格把關(guān)�。顧老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、求實(shí)的工作作風(fēng)�����、平易近人的處世風(fēng)范都深深影響了我。在此謹(jǐn)向顧老師表示最衷心的感謝和最誠(chéng)摯的敬意�����!
感謝浙江廣電集團(tuán)科技管理部計(jì)算機(jī)科的同事����,他們結(jié)合自己多年的計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全的相關(guān)經(jīng)驗(yàn),給我提出了很多寶貴的建lunwen .1 kejian .com 一和對(duì)我實(shí)習(xí)中的幫助����。在論文完成之際��,在此特向各位同事表示深深的謝意!
在論文的材料收集期間�,得到了負(fù)責(zé)集團(tuán)網(wǎng)絡(luò)工作的蔣老師的大力支持,他根據(jù)自己多年實(shí)際工作的經(jīng)驗(yàn)���,為我的論文寫作��、改進(jìn)工作提出了許多有價(jià)值的寶貴建議�����,在此對(duì)蔣老師表示感謝!
感謝經(jīng)濟(jì)管理學(xué)院的各位老師�����、同學(xué)在學(xué)習(xí)工作等諸方面的支持和幫助�����,這一切使我在學(xué)習(xí)期間深受教益����。
最后,深深地感謝我的家人旦他們?cè)谏詈蛯W(xué)業(yè)上給了我無(wú)私的關(guān)懷��,為了支持我的學(xué)業(yè)�����,付出了莫大犧牲�。惟乞此文能夠回報(bào)這些無(wú)比的關(guān)心和厚愛!
