时间:2023-05-16 16:50:53
导语:在网络安全与防范论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
论文摘要:随着网络技术的飞速发展和广泛应用,信息安全问题正日益突出显现出来,受到越来越多的关注。文章介绍了网络信息安全的现状.探讨了网络信息安全的内涵,分析了网络信息安全的主要威胁,最后给出了网络信息安全的实现技术和防范措施.以保障计算机网络的信息安全,从而充分发挥计算机网络的作用。
论文关键词:计算机,网络安全,安全管理,密钥安全技术
当今社会.网络已经成为信息交流便利和开放的代名词.然而伴随计算机与通信技术的迅猛发展.网络攻击与防御技术也在循环递升,原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁.网络安全已变成越来越棘手的问题在此.笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。
1网络信息安全的内涵
网络安全从其本质上讲就是网络上的信息安全.指网络系统硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全状态可见.网络安全至少应包括静态安全和动态安全两种静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性:动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。
2网络信息安全的现状
中国互联网络信息中心(CNNIC)的《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,中国网民数达到2.98亿.手机网民数超1亿达1.137亿。
Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示.2006年中国(大陆)病毒造成的主要危害情况:“浏览器配置被修改”是用户提及率最高的选项.达20.9%.其次病毒造成的影响还表现为“数据受损或丢失”18%.“系统使用受限”16.1%.“密码被盗”13.1%.另外“受到病毒非法远程控制”提及率为6.1%“无影响”的只有4.2%。
3安全防范重在管理
在网络安全中.无论从采用的管理模型,还是技术控制,最重要的还是贯彻始终的安全管理管理是多方面的.有信息的管理、人员的管理、制度的管理、机构的管理等.它的作用也是最关键的.是网络安全防范中的灵魂。
在机构或部门中.各层次人员的责任感.对信息安全的认识、理解和重视程度,都与网络安全息息相关所以信息安全管理至少需要组织中的所有雇员的参与.此外还需要供应商、顾客或股东的参与和信息安全的专家建议在信息系统设计阶段就将安全要求和控制一体化考虑进去.则成本会更低、效率会更高那么做好网络信息安全管理.至少应从下面几个方面人手.再结合本部门的情况制定管理策略和措施:
①树立正确的安全意识.要求每个员工都要清楚自己的职责分工如设立专职的系统管理员.进行定时强化培训.对网络运行情况进行定时检测等。
2)有了明确的职责分工.还要保障制度的贯彻落实.要加强监督检查建立严格的考核制度和奖惩机制是必要的。
③对网络的管理要遵循国家的规章制度.维持网络有条不紊地运行。
④应明确网络信息的分类.按等级采取不同级别的安全保护。
4网络信息系统的安全防御
4.1防火墙技术
根据CNCERT/CC调查显示.在各类网络安全技术使用中.防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜.易安装.并可在线升级等特点防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况.以此来实现网络的安全保护。
4.2认证技术
认证是防止主动攻击的重要技术.它对开放环境中的各种消息系统的安全有重要作用.认证的主要目的有两个:
①验证信息的发送者是真正的主人
2)验证信息的完整性,保证信息在传送过程中未被窜改、重放或延迟等。
4.3信息加密技术
加密是实现信息存储和传输保密性的一种重要手段信息加密的方法有对称密钥加密和非对称密钥加密.两种方法各有所长.可以结合使用.互补长短。
4.4数字水印技术
信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中.然后通过公开信息的传输来传递机密信息对信息隐藏而吉.可能的监测者或非法拦截者则难以从公开信息中判断机密信息是否存在.难以截获机密信息.从而能保证机密信息的安全随着网络技术和信息技术的广泛应用.信息隐藏技术的发展有了更加广阔的应用前景。数字水印是信息隐藏技术的一个重要研究方向.它是通过一定的算法将一些标志性信息直接嵌到多媒体内容中.但不影响原内容的价值和使用.并且不能被人的感觉系统觉察或注意到。
4.5入侵检测技术的应用
人侵检测系统(IntrusionDetectionSystem简称IDS)是从多种计算机系统及网络系统中收集信息.再通过这此信息分析入侵特征的网络安全系统IDS被认为是防火墙之后的第二道安全闸门.它能使在入侵攻击对系统发生危害前.检测到入侵攻击.并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中.能减少入侵攻击所造成的损失:在被入侵攻击后.收集入侵攻击的相关信息.作为防范系统的知识.添加入策略集中.增强系统的防范能力.避免系统再次受到同类型的入侵入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术.是一种用于检测计算机网络中违反安全策略行为的技术。
【关键词】计算机,网络安全,威胁,维护措施
中图分类号:TN711 文献标识码:A 文章编号:
一.前言
知识经济是现代经济发展的重要趋势之一,掌握了信息便掌握了各种竞争力,掌握着主动权,。在知识信息时代,各种各数据信息在国家经济的发展,政治的稳定,社会的和谐和人们生活水平的提高中都扮演着越来越重要的角色。在计算机网络技术广泛被应用到各个领域的同时,也有越来越多的人逐渐认识到整个网络安全管理的重要意义。在信息时代,计算机网络技术在广泛运用的同时,也因为各种原因面临着破坏或者是数据的丢失,不仅仅严重妨碍了整个信息系统的安全和其功能的正常发挥,比如设备故障,数据丢失,操作人员失误,数据库受到病毒侵袭等,在造成整个信息系统无法正常使用的同时,对一些核心数据也有着泄露的风险,带来巨大的经济损失,随着计算机网络的逐渐推广,加强对信息的安全管理,提高操作人员的专业技能,规范操作,从设备等各个方面,加强安全控制,保证整个计算机网络系统的安全运行。
二.计算机网络安全所面临的威胁分析
1.操作中存在问题
在操作过程中国,主要是体现在操作系统中存在的问题,比如各种病毒,数据和操作系统的关联等。主要体现几个方面。第一,各种病毒会使得数据库中存在很多的安全隐患,比如特洛伊木马程序能够从操作系统中,利用操作系统和数据库的关联性,很大程度的威胁到整个数据库的安全性,比如,特洛伊木马程序会更改入住程序的密码,使得程序的信息密码安全被入侵者威胁。第二,在整个操作系统的后面,由于数据库的相关参数使得管理更方便管理,但是也因此使得数据库的服务主机上容易出现各种后门,这些后门也为各种入侵的黑客提供了方便。
2.安全管理力度不够,管理缺乏规范性
在计算机网络的使用过程中,对计算机网络的安全管理缺乏重视,对计算机网络安全管理的意义没有能够真正深入了解,从而,在使用计算机网络时候,操作不规范,各种安全管理措施没有能够得到贯彻落实。比如,在数据库管理过程中,安全管理人员没有按照规定定期对数据库补丁进行修复,对数据库服务器的访问权限没有做出较好设置等,这些不规范的操作都使得整个数据库系统时刻都面临着各种风险的侵袭,比如,如果数据库管理人员几个月都没有对补丁进行修复,则随时会让数据库处于漏洞状态,为各种病毒,黑客的入侵大开了方便之门。笔者多年计算机数据库安全管理经验而言,在计算机网络的安全管理中,很大程度上,各种风险都是因为计算机网络系统中存在的安全漏洞没有得到修复,或者是太过简单的登陆密码很久没有进行修改造成的。计算机网络系统的使用人员缺乏安全意识,风险控制常识缺乏,这是整个计算机网络面临着很大威胁最为关键的原因之一。
3.计算机网络系统自身存在缺陷
在我国,计算机网络技术的推广应用已经有了比较长的时间了,理论上,各种产品和系统也较为成熟,特性也比较强大,但是,在具体实际操作中,现在广泛使用的计算机网络技术中那些比较强大的特性没有能够真正的显现出来,比如安全性能,在整个系统中远远难以满足需求。总的而言,现在的各种计算机网络系统在成熟度上依然缺乏。
4. 人为的恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏
三.计算机网络安全管理措施分析
1.加强访问控制和识别
(一)加强用户标识的识别和鉴定
在计算机网络系统中,系统会对用户的标识做出识别和鉴定,这是整个计算机网络系统安全保护最基本的措施之一。经过几十年的发展,用户标识的识别鉴定已经有了多种方法,比如,用户用身份证来验证,或者是通过身份证来回答验证口令,或者随机进行数据运算回答等等,因此,要据计算机网络系统的实际情况作出科学合理的选择。也可以在同一个系统中同时使用多种鉴别方法,如此,可以很大程度的提高整个系统的安全性。
(二)加强访问控制
在计算机网络系统安全管理中,要能够使得系统能够满足用户的访问,加强安全控制,这是整个系统安全管理的重要措施之一。加强对计算机网络系统的访问控制便可以限制一些非法用户进行破坏,或者是越权使用一些受到保护的网络资料,通过严格的访问控制,使得对数据的输入,修改,删除等各个环节都有着严格的规范,防止没有授权的用户访问,保证整个系统信息的机密性和安全性。
2.物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
3. 防火墙控制
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进 / 出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
四.结束语
计算机网络的安全管理是整个信息系统安全管理的重要组成部分,在安全管理的各个环节中,最关键的是减少各种风险和威胁,避免各种来自外部风险的威胁,很多类型的威胁和风险是无法彻底消除的,那就需要采取有效的措施,对各种可能发生风险的环节做出强有力的控制,以减少对企业核心数据库的威胁和破坏要从多方面进行,不仅仅要不断研发计算机网络安全技术,也要采用先进合理的系统设备,并加强对操作人员的专业技术培训,规范操作,利用网络安全技术将整个计算机网络的安全管理纳入到规范管理范围,促进整个计算机网络安全性能的提升,保证数据安全,实现良好的社会经济效益。
参考文献:
[1]于柏仁 张海波 浅析计算机网络安全的威胁及维护措施 [期刊论文] 《中小企业管理与科技》 -2008年29期
[2]张瑞娟 新网络环境下的计算机网络安全思考 [期刊论文] 《科技广场》 -2011年11期
[3]李尹浩 计算机网络安全的威胁及维护措施 [期刊论文] 《中国科技纵横》 -2010年11期
[4]庄伟 维护计算机网络安全的措施研究 [期刊论文] 《中国科技财富》 -2010年4期
[5]刘晓明 宋吉亮 论辽宁省地方税务系统计算机网络安全 [会议论文]2008 - 2008全国税务信息化技术应用与建设成果交流论坛
论文关键词:网络安全技术;防范;教学模式
学习网络安全技术不仅是为了让学生掌握网络安全的理论知识,增强学生的网络安全意识,提高学生的法律意识和职业素养,更重要的是树立他们正确的人生观和价值观,把他们培养成为高技能的应用型网络人才。
一、网络安全的探析
网络安全是指网络系统的硬件、软件和数据受到保护,不因偶然的或恶意的原因遭到破坏、更改和泄露,确保网络系统正常的工作,网络服务不中断,确保网络系统中流动和保存的数据具有可用性、完整性和保密性。网络的安全在技术上应综合考虑到防火墙技术、入侵检测技术、漏洞扫描技术等多个要素。不断提高防范病毒的措施,提高系统抵抗黑客入侵的能力,还要提高数据传输过程中的保密性,避免遭受非法窃取。因此,对网络安全问题的研究总是围绕着信息系统进行的,主要包括以下几个方面:
(一)internet开放带来的数据安全问题。伴随网络技术的普及,internet所具有的开放性、国际性和自由性以及各方面因素导致的网络安全问题,对信息安全也提出了更高的要求。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用,但网络的安全仍然存在很大隐患,主要可归结为以下几点:1.就网间安全而言,防火墙可以起到十分有效的安全屏障作用,它可以按照网络安全的需要设置相关的策略,对于进出网络的数据包进行严密的监视,可以杜绝绝大部分的来自外网的攻击,但是对于防范内网攻击,却难以发挥作用。2.对于针对网络应用层面的攻击、以及系统后门而言,其攻击数据包在端口及协议方面都和非网络攻击包十分相似,这些攻击包可以轻易的通过防火墙的检测,防火墙对于这类攻击是难以发现的。3.网络攻击是开放性网络中普遍难以应对的一个问题,网络中的攻击手段、方法、工具几乎每天都在更新,让网络用户难以应对。为修复系统中存在的安全隐患,系统程序员也在有针对性的对系统开发安全补丁,但这些工作往往都是滞后于网络攻击,往往是被黑客攻击后才能发现安全问题。旧的安全问题解决了,新的攻击问题可能随时出现。因此,应对开放性网络中的黑客攻击是重要的研究课题。
(二)网络安全不仅仅是对外网,而对内网的安全防护也是不可忽视的。据统计,来自内部的攻击呈现着极具上升的趋势。这是因为内网用户对网络结构和应用系统更加熟悉。以高校的校园网为例,网络用户人数众多,而学生的好奇心和渴望攻击成功的心理,使得他们把校园网当作网络攻击的试验场地,且其中不乏计算机应用高手(特别是计算机专业的学生),防火墙对其无法监控,这种来自内部不安全因素对网络的破坏力往往更大。2008年7月的旧金山的网络系统内部的侵害事件,2008年6月深圳“泄密门”等网络内部的安全事件向我们警示着内网安全防范的重要性。
(三)网络中硬件设备的安全可靠性问题。对计算机网络而言网络硬件设备在其中起到了重要的作用。比如:路由器,交换机,以及为网络用户提供多种应用服务的服务器等,这些设备的可用性、可靠性,以及设备自身的高安全保护能力都是网络安全中应该加以研究和认真对待的问题。
二、通过教学研究,提高学生对网络安全体系的管理与防范
由于网络技术水平和人为因素,以及计算机硬件的“缺陷”和软件的“漏洞”的原因,让我们所依赖的网络异常脆弱。在教学过程中,我们必须加强对网络安全体系管理与防范意识的传授,才能提高学生的管理和防范能力,常用的方法如下:
(一)防火墙是在内外网之间建立的一道牢固的安全屏障,用来加强网络之间访问控制,提供信息安全服务,实现网络和信息安全的网络互联设备。能防止不希望的、未授权的信息流出入被保护的网络,具有较强的抗攻击能力,是对黑客防范最严、安全性较强的一种方式,是保护内部网络安全的重要措施。防火墙可以控制对特殊站点的访问,还能防范一些木马程序,并监视internet安全和预警的端点,从而有效地防止外部入侵者的非法攻击行为。
(二)入侵检测是指对入侵行为的发觉。它通过对网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现是否有被攻击的迹象。如果把防火墙比作是网络门卫的话,入侵检测系统就是网络中不间断的摄像机。在网络中部署入侵检测系统可以有效地监控网络中的恶意攻击行为。
(三)网络病毒的防范。对于单独的计算机而言,可以使用单机版杀毒软件来应对病毒的问题,由于其各自为政,在应对网络中的计算机群时,则无法应对网络病毒的防杀要求,且在升级方面也很难做到协调一致。要有效地防范网络病毒,应从两方面着手:一是加强网络安全意识,有效控制和管理内网与外网之间的数据交换;二是选择使用网络版杀毒软件,定期更新病毒库,定时查杀病毒,对来历不明的文件在运行前进行查杀。保障网络系统时刻处于最佳的防病毒状态。
(四)对于网络中的email,web,ftp等典型的应用服务的监控。在这些服务器中应当采用,应用层的内容监控,对于其中的传输的内容加以分析,并对其中的不安全因素加以及时发现与处理,比如可以利用垃圾邮件处理系统对email的服务加以实施的监控,该系统能发现其中的不安全的因素,以及垃圾内容并能自动的进行处理,从而可以杜绝掉绝大部分来自邮件的病毒与攻击。
(五)主动发现系统漏洞是减少网络攻击的一个重要手段。在网络中单靠网络管理人员人为的去发现并修复漏洞显然是不够的。因此主动的分析网络中的重点安全区域,掌握其主要的安全薄弱环节,利用漏洞扫描系统主动的去发现漏洞是十分总要的一个手段。同时在网络中配以系统补丁自动更新系统,对于网络中有类似安全隐患的主机主动的为其打上系统补丁。事实证明上述两种机制的结合可以有效地减少因为系统漏洞所带来的问题。
(六)ip地址盗用与基于mac地址攻击的解决,这个可以在三层交换机或路由器中总将ip和mac地址进行绑定,对于进出网络设备的数据包进行检查,如果ip地址与mac地址相匹配则放行,否则将该数据包丢弃。
三、通过教学改革,把学生培养成高技能应用型的网络人才
网络安全技术是非常复杂,非常庞大的,对初学者来说,如果直接照本宣科,学生肯定会觉得网络安全技术太多太深,从而产生畏学情绪。为了提高学生的学习兴趣,让他们更好地掌握网络安全技术的知识,就要培养学生的创新能力,就必须改革教学方法,经过几年的教学实践证明,以下几种教学方法能弥补传统教学中的不足。
(一)案例教学法
案例教学法是指在教师的指导下,根据教学目的的要求,通过教学案例,将学习者引入到教学实践的情景中,教会他们分析问题和解决问题的方法,进而提高他们分析问题和解决问题的能力,从而培养他们的职业能力。我们在教学实践中深深感受到,在计算机网络安全技术教学中,引入案例教学,将抽象的、枯燥的网络安全的理论知识和精湛的、深邃的网络安全技术涵寓于具体的案例中,打破传统理论教学中教师要么照本宣科,要么泛泛而谈,以至于学生学起来枯燥无味,用起来糊里糊涂的局面,变复杂为简单,变被动为主动的学习过程,调动了学生的学习积极性,培养了学生的职业能力。在具体案例中,将古城墙的功能和作用与防火墙比较;选择学生接触最多的校园网作为典型的案例,向学生系统地讲授网络安全体系结构、安全策略的制定、安全技术的应用、安全工具的部署,以及安全服务防范体系的建立等理论,从而降低网络安全的复杂度,使学生对网络安全体系有比较全面、透彻的理解。
(二)多媒体教学法
多媒体教学是指在教学过程中,根据教学目标和教学对象的特点,通过教学设计,合理选择和运用现代教学媒体,以多媒体信息作用于学生,形成合理的教学过程结构,达到最优化的教学效果。它具有交互性、集成性、可控性等特点。可以把抽象的、难理解的知识点直观地展示和动态地模拟,充分表达教学内容。例如:pgp技术的操作步骤、防火墙的配置和使用等。通过多媒体教学,边讲边操作, 做到声像并行、视听并行,使学生在有限课堂时间内获得更多的信息,从而激发了学生的学习兴趣,提高了教学效果。
(三)实践教学
根据高职院校学生的岗位能力和培养目标, 实践教学是职业技术教育的中重之重。运用学校提供的网络实验室和网络设备,为学生搭建良好的计算机网络学习平台,突出实用性,做到“专机专用”。例如,将3台计算机搭建一个小型局域网,安装微软网络监视器,使用网络监视器来嗅探ftp会话,解释捕获的数据,确定使用的用户名和口令。从抽象的概念上升到理性的认识,使学生真正体会到网络安全的重要性。为了使学生全面了解计算机网络,可带领学生到电信公司或网络公司进行参观学习和实训,培养学生的岗位技能和工程意识。
论文摘要:无线网络作为一种新型的便捷性网络资源,正在日益普及,尤其是在现代校园中的应用更是大势所需,但是无线网络的安全性成为其在普及应用中的一大难题。本文经过深入分析无线网络的安全隐患,提出了相应的防范措施,并结合校园学习生活的特点,提出了在校园中的具体应用策略,望有助于相关人士的参考与借鉴。
1、常见的无线网络安全措施
无线网络受到安全威胁,主要是因为“接入关”这个环节没有处理好,因此以下从两方面着手来直接保障企业网线网络的安全性。
1.1 mac地址过滤
mac地址过滤作为一种常见的有线网络安全防范措施,凭借其操作手法和有线网络操作交换机一致的特性,经过无线控制器将指定的无线网卡mac地址下发至每个ap中,或者在ap交换机端实行设置,或者直接存储于无线控制器中。
1.2 隐藏ssid
所谓ssid,即指用来区分不同网络的标识符,其类似于网络中的vlan,计算机仅可和一个ssid网络连接并通信,因此ssid就被定为区别不同网络服务的标识。ssid最多由32个字符构成,当无线终端接入无线网络时须要有效的siid,经匹配ssid后方可接入。通常无线ap会广播ssid,从而接入终端通过扫描即可获知附近存在的无线网络资源。比如windows xp系统自带扫描功能,检索附近的无线网络资源、罗列出ssid信息。然而,为了网络安全最好设置ap不广播ssid,同时将其名字设置成难以猜解的长字符串。通过这种手段便于隐藏ssid,避免接入端利用扫描功能获取到该无线网络名称,即使知道其存在也是难以通过输入其全称来接入此网络的。
2、无线网络安全措施的选择
网络的安全性和便捷性永远是相互矛盾的关系,安全性高的网络一定在使用前或使用中较为繁琐,然而,科技的进步就是为了便捷我们的生活,因此,在对无线网络进行设置时,需要兼顾安全性和便捷性这两个主要方面,使其均衡地发展使用。
接入无线ap时选取wap加密模式的方法,此外,ssid即使被隐藏,也会被攻击者利用相关软件探测到,所以无需进行隐藏ssid,增强接入便捷性,在接入时实行一次性输入密码完成设置任务。
与此同时,采用强制portal+802.1x的认证方式,两种方法的融合可以有效确保无线网络的安全。来访用户更关注的是使用时的便捷性,对其安全性没有过高要求。强制portal认证方式免除安装额外的客户端软件,用户通过浏览器认证后即可获取网络资源。这种便捷的方法,其不足之处就是安全性较低。倘若花费一定资金用来购置无线网络入侵检测设备展开主动性防御,是可以在一定程度上保障无线网络安全性的。
其实,网络安全技术是人类发明的,并依靠人的使用而发挥作用,所以网络使用者是安全防线的最后一关,加强网络使用者的安全意识,是保障无线网络安全的根本。
3、校园无线网络的应用
(1)在校园网络建设中,无线网络作为一种流程趋势正在普及开来,同时其用户也在日益增多。当前在校园网络不同环境下,主要用户分为以下几类人群,第一类为固定用户群,包括机关办公、机房电脑、教学楼、试验室等众多使用者;第二类是活动用户群,主要包括教师的个人电脑和学生的自用电脑;第三类为临时用户群,特指在学术交流会时所使用电脑上网的群体。经过划分出三类用户群,便于无线网络在接入internet网络时采取相应的安全策略,以保障整个校园无线网络的安全性。
(2)校园无线网络的安全措施除了进行wep数据加密协议外,更要结合不同用户群特点,制定相应的安全防范措施。对于固定用户群可以实行绑定mac地址,限制非法用户的访问,网络信息中心通过统一分配ip地址来配置mac地址,进行这种过滤策略保障无线网络的安全运行;针对活动用户群实行端口访问控制,即连接工作站sta和访问点ap,再利用802.1x认证ap服务,一旦认证许可,ap便为sta开通了逻辑端口,不然接入被禁止执行。802.1x需要工作站安装802.1x的客户端软件,并在访问点内置802.1x的认证,再作为radius的客户端把用户的认证信息转发至radius服务器。802.1x不仅控制端口的访问,还为用户提供了认证系统及其计费功能。
ap隔离措施近似于有线网络的vlan,对无线客户端进行全面隔离,仅可访问ap所连接的固定网络,进而增强接入internet网络的安全性;最后一类临时用户群,可以通过设置密码限制访问,无密码者无法接入无线网络,利用此手段保障授权用户安全稳定的使用无线网络,避免他人肆意进入无线网络发生干扰,尤其适合于会议等临时性场所的使用。
4、结语
建设校园无线网络,可以为校园学习生活带来极大的便捷性,但与此同时,其中也潜在着安全隐患,无线网络技术需要不断研究、完善,方可保证校园无线网络的安全性、可靠性,实现校园的现代化网络建设。
无线网络中的威胁无处不在,不法分子利用网络技术手段可以窃取校园中传输的重要数据,截取或篡改教学数据,严重威胁着学校中重要资料的安全性。只有结合上述相应手段,才能有效控制非法用户侵入校园无线网络,维持校园无线网络的纯净度,实现健康资源的共享。其实,无线网络的安全防范措施还有很多,须要在科学技术的发展进步中,不断分析,进行完善,以共同打造美好的校园网络学习生活为目标。
参考文献
[1]孔雪莲.浅谈无线局域网中的安全及黑客防范[j].电脑知识与技术(学术交流),2007(13).
[2]芦艳芳,吴娜.浅谈威胁无线网络安全的途径与防范措施[j].计算机光盘软件与应用,2010(1).
【论文摘要】:电子银行的 发展 已经是各个国家不可回避的问题。文章分析了在我国发展电子银行的原因和制约条件,并指出我国要克服各种障碍,促进电子银行的发展。
电子银行的发展已经是各个国家不可回避的问题。
一、发展电子银行的原因
1. 经济 社会的发展要求一种新的支付体系与其相适应
市场经济的运行机制要求资源得到有效的配置,亚当斯密的看不见的手理论告诉我们,经济领域一旦出现资源的不合理运用就会出现帕累托改进的空间。调剂资金余缺是银行的基本职能,随着金融市场的发展、各种金融衍生工具的出现,必将会出现规模更大的资金流,运用传统的货币支付体系将会产生各种资源的浪费,所以经济金融市场的顺利运行要求电子银行这一新的支付体系来满足更大的资金支付和转移。
2. 科学 技术的进步为电子银行的发展提供了可能性
进入21世纪,在全球范围内,以电脑为核心的信息技术有了飞速发展。这就带动了网络经济的发展,同时也为金融也提供了新的服务领域和服务方式。无论是国际金融发展的趋势还是国内的金融市场开放方向,其趋势都将是以信息技术为依托,更加全面、高效的金融服务平台,科学技术的进步正是为这一新的发展趋势提供了可能,各种基础金融服务结合快速发展的信息技术将会使以银行业为代表的金融服务迅速发展到一个更高的层次。
3. 国际金融发展的趋势是金融服务网络化,这一趋势促使
2. 城市 网络 基础设施比较落后
这里说的基础设施是指 发展 电子 银行必须的网络软件和硬件设施。
3. 网络安全是个大问题
论文摘要:随着计算机技术和信息网络技术的发展,全球信息化已成为人类发展的趋势。行政部门信息网络的互联,最大限度地实现了信息资源的共享和提高行政部门对企事业单位监管监察的工作效率。然而网络易受恶意软件、黑客等的非法攻击。如何保障计算机信息网络的安全,已成为备受关注的问题。
行政机关的计算机网络系统通常是跨区域的intranet网络,提供信息管理、资源共享、业务窗口等应用服务的平台,网络内部建立数据库,为各部门的业务应用提供资源、管理,实现数据的采集、信息、流程审批以及网络视频会议等应用,极大提高了日常工作效率,成为行政机关办公的重要工具,因此要求计算机网络具有很高的可操作性、安全性和保密性。
1、开放式网络互连及计算机网络存在的不安全要素
由于计算机网络中存在着众多的体系结构,体系结构的差异性,使得网络产品出现了严重的兼容性问题,国际标准化组织iso制定了开放系统互联(osi)模型,把网络通信分为7个层次,使得不同结构的网络体系在相应的层次上得到互联。下面就根据网络系统结构,对网络的不安全因素分层次讨论并构造网络安全策略。
(1)物理层的安全要素:这一层的安全要素包括通信线路、网络设备、网络环境设施的安全性等。包括网络传输线路、设备之间的联接是否尊从物理层协议标准,通信线路是否可靠,硬件和软件设施是否有抗干扰的能力,网络设备的运行环境(温度、湿度、空气清洁度等),电源的安全性(ups备用电源)等。
(2)网络层的安全要素:该层安全要素表现在网络传输的安全性。包括网络层的数据传输的保密性和完整性、资源访问控制机制、身份认证功能、层访问的安全性、路由系统的安全性、域名解析系统的安全性以及入侵检测应用的安全性和硬件设备防病毒能力等。
(3)系统层的安全要素:系统层是建立在硬件之上软环境,它的安全要素主要是体现在网络中各服务器、用户端操作系统的安全性,取决于操作系统自身的漏洞和不足以及用户身份认证,访问控制机制的安全性、操作系统的安全配置和来自于系统层的病毒攻击防范手段。
(4)应用层的安全要素:应用层的安全要素主要考虑网络数据库和信息应用软件的安全性,包括网络信息应用平台、网络信息系统、电子邮件系统、web服务器,以及来自于病毒软件的威胁。
(5)管理层的安全要素:网络安全管理包括网络设备的技术和安全管理、机构人员的安全组织培训、安全管理规范和制度等。
2、网络安全策略模型及多维的网络安全体系
行政机关的网络安全需要建立一个多维的安全策略模型,要从技术、管理和人员三位一体全方位综合考虑。
技术:是指当今现有使用的设备设施产品、服务支持和工具手段,是网络信息安全实现的基础。
管理:是组织、策略和流程。行政机关信息网络的安全建设关键取决于组织人员的判断、决策和执行力,是安全成败的必要措施。
人员:是信息网络安全建设的决定性因素,不论是安全技术还是安全管理,人员是最终的操作者。人员的知识结构、业务水平是安全行为执行的关键。
基于网络信息安全是一个不断发现问题进而响应改进的循环系统,我们构造网络安全策略模型为:防护-->检测-->响应-->恢复-->改善-->防护。
运用这个安全体系我们解决网络中的不安全要素,即在物理安全、网络安全、系统安全、应用安全和管理安全等多个层次利用技术、组织和人员策略对设备信息进行防护、检测、响应、恢复和改善。
(1)物理安全:采用环境隔离门禁系统、消防系统、温湿度控制系统、物理设备保护装置(防雷设备)等,设置监控中心、感应探测装置,设置自动响应装置,事故发生时,一方面防护装置自动响应,另一方面人员发现处理,修复或更换设备的软、硬件,必要时授权更新设备或设施。
(2)网络安全:采用防火墙、服务器、访问控制列表、扫描器、防病毒软件等进行安全保护,采用网络三层交换机通过划分vlan,把网络中不同的服务需求划分成网段,采用入侵检测系统(ids)对扫描、检测节点所在网段的主机及子网扫描,根据制定的安全策略分析并做出响应,通过修改策略的方式不断完善网络的安全。
(3)系统安全:采用性能稳定的多用户网络操作系统linux作为服务器的基础环境,使用身份认证、权限控制进行保护,用登陆控制、审计日志、文件签名等方式检测系统的安全性,进行接入控制审计响应,通过对系统升级、打补丁方式恢复系统的安全性,可以通过更新权限来改善用户对系统操作的安全性。
(4)应用安全:采用身份认证、权限控制、组件访问权限和加密的办法进行保护,用文件、程序的散列签名、应用程序日志等方式检测应用程序的安全性,通过事件响应通知用户,采用备份数据的办法恢复数据,通过更新权限完善应用系统的安全性。
(5)管理安全:通过建立安全管理规章制度、标准、安全组织和人力资源,对违规作业进行统计,制定紧急响应预案,进行安全流程的变更和组织调整,加强人员技能培训,修订安全制度。
3、行政机关人员安全的重要性
行政机关网络信息的安全,人员占据重要的地位,网络安全的各要素中都涉及人员的参与,因此对人员的安全管理是行政机关网络信息安全的重点。
首先组织领导要高度重视网络信息的安全性,建立周密的安全制度(包括网络机房安全制度、计算机操作员技术规范等),提高从业人员的素质和业务水平,防范人为因素造成的损失。
其次是组织员工进行信息安全培训教育,提高安全意识。对专业技术人员做深入的安全管理和安全技术培训。
再次是网络技术人员要定期对设备巡检维护,及时修改和更新与实际相应的安全策略(防火墙、入侵检测系统、防病毒软件等)。
最后是安全管理人员定期检查员工的网络信息方面的安全问题。
4、结语
行政机关网络安全从其本质上讲就是保障网络上的信息安全,网络安全是一个全方位的系统工程,需要我们不断地在实践和工作中发现问题和解决,仔细考虑系统的安全需求,将各种安全技术,人员安全意识级水平、安全管理等结合在一起,建立一个安全的信息网络系统为行政机关工作服务。
参考文献
[1]陈晓光.浅谈计算机网络教学[j].才智,2009,(08).
[论文摘要]近几年来,随着气象信息对人们生产、生活作用的不断加大,它的安全也备受关注。从气象网络的概念、安全的必要性出发,逐一探讨了气象网络安全存在的问题,以及相关的解决措施。
一、气象网络的概念及其结构形式
气象网络,简而言之,指的是将计算机网络技术应用于气象领域,使气象信息网络化,信息化,方便人们的使用。目前,气象网络按照不同的安全等级划分成三种网络结构形式:(1)内部局域网(含机要内网),此网要求安全等级极高,各个部门的计算机均在此网上;(2)通过数字专线与相关政府职能机构构成的政务专网,通过不同授权等级共享各级数据资源;(3)公众互联网,通过电信宽带接入气象网站,供广大用户浏览。现代社会气象信息的大量应用,越来越彰显其重要性,然而与此同时,网络的应用也给气象信息安全带来了大量的潜在隐患,因此,加强气象网络的安全性就非常有必要。
(一)气象技术的保障需求。当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。
(二)气象网站的安全需要。全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。
二、气象网络安全存在的问题
其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:
(一)气象网络管理缺陷。由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:
(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。
(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。
(3)相关工作人员的失职。气象部门工作人员的职责不到位,,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。
(二)病毒侵入。目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。
三、解决对策
(一)严格的安全管理制度。面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:
(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。
(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。
(二)防范各种非法软件攻击和入侵。网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。超级秘书网
目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。
(三)病毒防护策略。对于网络病毒的防范是气象网络的重要组成部分。目前,气象网络的覆盖面广,病毒的危害也越来越大,加之传统的单机杀毒已无法满足需求,因此急需一个完善的病毒防护体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。
主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。
参考文献:
[1]张剑平等,《地理信息系统与MapInfo应用》.科学出版社.1999.
论文关键词:高等学校,大学生,安全,预防,机制
一、高校的安全稳定是高等教育事业改革发展的保障,是社会稳定的重要环节
1. 安全是人类生理之外的最大需求。大学生健康成才需要安全保障。
2. 维护高校的稳定,是构建和谐社会的需要。高校是育人场所,是社会的重要组成部分,高校在社会结构中具有特殊地位,历来是社会稳定的晴雨表。新时期维护高校稳定,是关系到整个社会稳定的中心问题,确保高校的稳定,是一项重大的战略任务。
3. 维护高校的安全稳定,是高校的法律责任。有关法律法规明确规定各高校有责任维护教学、科研、生活秩序和安定团结的局面。《中华人民共和国突发事件应对法》第二十二条、三十条、六十四条等对单位的安全管理、学校应急知识教育义务、有关单位的法律责任做了详细规定和要求;教育部颁布的《普通高等学校学生管理规定》、《高等学校校园秩序管理若干规定》和《普通高等学校学生安全教育及管理暂行规定》、《学生伤害事故处理办法》等部门法规高等学校,规定学生安全教育和管理是一项经常性的工作,要制度化、法制化。
二、目前高校学生的安全稳定状况
1. 高校内的治安环境比较复杂,治安、刑事案件发案呈上升趋势。2006年学生意外伤害保险赔付共21.82亿元,校方责任赔付将近1亿元(目前校方责任险覆盖面只有10%左右)。近年来,大学生因心理疾病、精神障碍等原因伤害自己和他人的案例时有发生,且有上升的趋势免费论文。云南大学“马家爵”事件等一系列悲剧在高校和社会上都产生了很大的影响。
2. 高校周围的治安状况。自2005年6月6日公安部会同教育部联合召开电视电话会议,部署公安机关“维护校园及周边治安秩序八条措施”以来,全国公安机关共破获侵害师生人身财产权利的刑事案件1万余起,查处治安案件2万余起。中央综治委委托国家统计局进行的2005年全国群众安全感抽样调查数据显示,认为学校周围治安秩序状况“好”的仅占44.3%。
3. 网络安全形势严峻。信息网络技术等高科技的发展应用,已成为高校师生员工教学、科研、工作和生活的重要组成部分。然而,网络也带来了影响校园稳定的负面因素。尤其是网络的平等性和虚幻性给校园带来了无序,甚至造成部分大学生对法律和社会道德的践踏和背离。
4. 高校安全事件信息交流和通报渠道不畅通,处理经验积累不足,管理缺失。由于各类重大安全事件的特殊性,高校在处理上的惯例是:不宣传不交流,从而使得很多事件并不能很清晰地成为案例,在各高校间得不到充分的交流,直接造成了社会、学校及相关人员对此类事件的误解,管理上缺失的教训和应对经验得不到交流借鉴、积累。
综上所述高等学校,正确预防学生各类安全事件、违法案件的发生,结合当前高校思想政治教育工作的实际情况,建立和完善有效的预防机制,对于维护高校安全稳定、创建平安校园、构建和谐社会和维护国家政治安定具有特殊意义。
三、建立健全学生安全稳定预防体系
(一)建立完善的预防制度,形成工作的长效机制
高校学生安全稳定工作是一项长期地、艰苦细致的工作,首先要建立一系列健全的安全制度,如安全隐患排查报告制、应急处置预案制、安全工作研究制、安全工作考核制、安全工作巡查制等,并使各项制度得到落实,这样校园安全稳定才有坚实的基础。
(二)加强安全教育,增强学生防范意识,提高防范技能
1. 安全教育点面结合,注重教育效果。加强学生安全教育,要做好“四个重点,一个全面”。一是抓重点人的安全教育。如对经常违反校纪校规的学生,要进行重点教育。二是抓重点场所的安全教育。如对防火、防爆有一定要求的实验室,要教育学生严格遵守实验操作规程,防止意外事故发生。三是抓重点时期的安全教育。重点抓好新生入学时的安全教育、节假日期间安全教育以及学生外出实习、社会实践和毕业生离校之前的安全教育,防止各类事件的发生。四是抓重点载体的安全教育。网络是目前大学生学习生活的重要载体,加强学生网络法制教育、网络道德教育、网络安全意识教育等,使学生规范网络行为高等学校,合法上网,懂得在网络中保护自己,避免上网受骗等也是重要的安全教育内容之一免费论文。五是抓全体学生的全过程安全教育。安全教育要逐步走向规范化、系统化和科学化的轨道,纳入正规的教学管理中,列入教学计划,保证一定的授课时间,使教育覆盖全体学生,并且贯穿于大学生在校的全过程。
2. 开展多种形式的安全教育活动。在对学生进行安全教育时,与学生特点相结合,按照贴近生活、贴近学生、贴近时代的原则,开展形式多样、喜闻乐见、乐于参与的安全教育活动,利用发生在学生中的案件、事故进行教育。
3. 加强学生安全技能培训和实践演练。帮助学生在实践中掌握安全防范技能,切实提高学生的安全防范意识和逃生自救能力,提高安全文化素质,营造浓厚的校园安全文化氛围。
4. 加强学生心理健康教育,提高学生心理素质,促进人格全面发展。学校应有针对性地对学生进行各种心理教育,达到排除心理障碍,预防心理疾病的目的。其次,提高心理素质高等学校,是要把安全教育与心理咨询结合起来,有目的、有针对性地做好安全防范教育。
论文摘要:随着网络在社会生活中不断普及,网络安全问题越来越显得重要。当因特网以变革的方式提供信息检索与能力的同时,也以变革的方式带来信息污染与破坏的危险。对计算机网络安全保护模式与安全保护策略进行探讨。
计算机网络最重要的资源是它所提供的服务及所拥有的信息,计算机网络的安全性可以定义为保障网络服务的可用性和网络信息的完整性。为了有效保护网络安全,应选择合适的保护模式。
1 安全保护模式
为尽量减少和避免各种外来侵袭的安全模式有以下几种类型:
1.1 无安全保护。最简单的安全保护模式是完全不实施任何安全机制,按销售商所提供的最小限度安全运行。这是最消极的一种安全保护模式。
1.2 模糊安全保护。另一种安全保护模式通常称之为“模糊安全保护”,采用这种模式的系统总认为没有人会知道它的存在、目录、安全措施等,因而它的站点是安全的。但是实际上对这样的一个站点,可以有很多方法查找到它的存在。站点的防卫信息是很容易被人知道的。在主机登录信息中了解到系统的硬件和软件以及使用的操作系统等信息后,一个入侵者就能由此试一试安全漏洞的重要线索。入侵者一般有足够多的时间和方法来收集各种信息,因此这种模式也是不可取的。
1.3 主机安全保护。主机安全模式可能是最普通的种安全模式而被普遍采用,主机安全的目的是加强对每一台主机的安全保护,在最大程度上避免或者减少已经存在的可能影响特定主机安全的问题。
在现代的计算机环境中,主机安全的主要障碍就是环境复杂多变性。不同品牌的计算机有不同的商,同一版本操作系统的机器,也会有不同的配置、不同的服务以及不同的子系统。这就得要作大量的前期工作和后期保障上作,以维护所有机器的安全保护,而且机器越多安全问题也就越复杂。即使所有工作都正确地执行了,主机保护还会由于软件缺陷或缺乏合适功能和安全的软件而受到影响。
1.4 网络安全保护。由于环境变得大而复杂,主机安全模式的实施也变得愈来愈困难。有更多的站点开始采用网络安全保护模式。用这种安全保护模式解决如何控制主机的网络通道和它们所提供的服务比对逐个主机进行保护更有效。现在一般采用的网络安全手段包括:构建防火墙保护内部系统与网络,运用可靠的认证方法(如一次性口令),使用加密来保护敏感数据在网络上运行等。
在用防火墙解决网络安全保护的同时,也决不应忽视主机自身的安全保护。应该采用尽可能强的主机安全措施保护大部分重要的机器,尤其是互联网直接连接的机器,防止不是来自因特网侵袭的安全问题在内部机器上发生。上面讨论了各种安全保护模式,但没有一种模式可以解决所有的问题,也不存在一种安全模式可以解决好网络的管理问题。安全保护不能防止每一个单个事故的出现,它却可以减少或避免事故的严重损失,甚至工作的停顿或终止。
2 安全保护策略
所谓网络安全保护策略是指一个网络中关于安全问题采取的原则、对安全使用的要求以及如何保护网络的安全运行。以下是加强因特网安全保护措施所采取的几种基本策略。
2.1 最小特权。这是最基本的安全原则。最小特权原则意味着系统的任一对象(无论是用户、管理员还是程序、系统等),应该仅具有它需要履行某些特定任务的那些特权。最小特权原则是尽量限制系统对侵入者的暴露并减少因受特定攻击所造成的破坏。
在因特网环境下,最小特权原则被大量运用。在保护站点而采取的一些解决方法中也使用了最小将权原理,如数据包过滤被设计成只允许需要的服务进入。在试图执行最小特权时要注意两个问题:一是要确认已经成功地装备了最小特权,二是不能因为最小特权影响了用户的正常工作。
2.2 纵深防御。纵深防御是指应该建立多种机制而不要只依靠一种安全机制进行有效保护,这也是一种基本的安全原则。防火墙是维护网络系统安全的有效机制,但防火墙并不是因特网安全问题的完全解决办法。任何安全的防火墙,都存在会遇到攻击破坏的风险。但可以采用多种机制互相支持,提供有效冗余的办法,这包括安全防御(建立防火墙)、主机安全(采用堡垒主机)以及加强安全教育和系统安全管理等。防火墙也可以采用多层结构。如使用有多个数据包过滤器的结构,各层的数据包过滤系统可以做不同的事情,过滤不同的数据包等。在开销不大的情况下,要尽可能采用多种防御手段。
2.3 阻塞点。所谓阻塞点就是可以对攻击者进行监视和控制的一个窄小通道。在网络中,个站点与因特网之间的防火墙(假定它是站点与因特网之间的唯一连接)就是一个这样的阻塞点。任何想从因特网上攻击这个站点的侵袭者必须经过这个通道。用户就可以在阻塞点上仔细观察各种侵袭并及时做出反应。但是如果攻击者采用其他合法的方法通过阻塞点,这时阻塞点则失去了作用。在网络上,防火墙并不能阻止攻击者通过很多线路的攻击。
2.4 防御多样化。在使用相同安全保护系统的网络中,知道如何侵入一个系统也就知道了如何侵入整个系统。防御多样化是指使用大量不同类型的安全系统,可以减少因一个普通小错误或配置错误而危及整个系统的可能,从而得到额外的安全保护。但这也会由于不同系统的复杂性不同而花费额外的时间与精力。
3 防火墙
防火墙原是建筑物大厦设计中用来防止火势从建筑物的一部分蔓延到另一部分的设施。与之类似,作为一种有效的网络安全机制,网络防火墙的作用是防止互联网的危险波及到内部网络,它是在内部网与外部网之间实施安全防范,控制外部网络与内部网络之间服务访问的系统。但必须指出的是防火墙并不能防止站点内部发生的问题。防火墙的作用是:限制人们从一个严格控制的点进入;防止进攻者接近其他的防御设备;限制人们从一个严格控制的点离开。防火墙的优点:1)强化安全策略:在众多的因特网服务中,防火墙可以根据其安全策略仅仅容许“认可的”和符合规则的服务通过,并可以控制用户及其权力。2)记录网络活动:作为访问的唯一站点,防火墙能收集记录在被保护网络和外部网络之间传输的关于系统和网络使用或误用的信息。3)限制用户暴露:防火墙能够用来隔开网络中的一个网段与另一个网段,防止影响局部网络安全的问题可能会对全局网络造成影响。4)集中安全策略:作为信息进出网络的检查点,防火墙将网络安全防范策略集中于一身,为网络安全起了把关作用。
参考文献:
[1]靳攀,互联网的网络安全管理与防护策略分析[J].北京工业职业技术学院学报,2008,(03).
[2]赵薇娜,网络安全技术与管理措施的探讨[J].才智,2008,(10).