安全網絡建設匯總十篇
時間:2023-09-24 10:27:40
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇安全網絡建設范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
隨著計算機網絡技術的快速發展與普及,網絡已深入到各個行業以及日常生活中并起著關鍵性的作用,也極大的推動了校園網絡的建設,成為了校園重要的基礎設施。校園網絡的建設對教學管理、科研管理等活動帶來方便的同時校園網絡也存在著安全隱患,導致計算機網絡系統的崩潰,嚴重影響了校園網絡的正常運行,為校園管理工作帶來了大量的工作負擔。為了保證校園網絡的保密性與安全性,校園網絡的運行管理與安全措施顯得格外重要,不容忽視。
1 校園網絡存在的安全隱患
1.1 系統自身存在的漏洞
自從微軟推出Windows操作系統到至今的Vista系統的誕生,都存在著不可避免的,一直讓人頭疼的漏洞,而且校園使用的網絡大部分都是Windows系統,系統本身存在著防火墻、服務器、IP協議等諸多方面的漏洞,隨著用戶的不斷使用導致安全問題產生,為學校管理帶來了諸多麻煩與負擔。
1.2 計算機病毒嚴重入侵
隨著網絡的迅速發展,給學校帶來方便的同時,也成為了計算機病毒傳播的最快的捷徑。病毒編制者水平的提高以及與黑客軟件的結合,使網絡病毒經常爆發,嚴重的情況下會破壞計算機的硬件和軟件,致使機密數據外泄,使計算機運行緩慢、頻繁死機不能正常運行,整個網絡完全處于癱瘓的狀態,對校園網絡使用造成了嚴重的威脅。
1.3 自然災害突然襲擊
自然災害帶來的破壞與損失讓人措手不及,防不勝防,主要的災害有:地震、風暴、水災和火災等,還有環境帶來的影響,如濕度、溫度和污染等破壞。大部分的高校計算機機房都沒有防水、防電、防火、避雷等防范措施,事故不斷發生,沒有抵御自然災害的能力,設備損壞、數據丟失、信息外露的現象屢見不鮮。
1.4 內部與外部的攻擊
攻擊有兩種方式,一個是來自互聯網外部的攻擊,一個是來自學校內部學生的攻擊。學生是學校網絡的活躍用戶,對網絡充滿了好奇心,不斷嘗試各種玩法,在網上學到的以及自己研究的各種攻擊方法企圖去破解學校的各種信息。
2 校園網絡安全隱患的成因
2.1 網絡安全意識薄弱
學校管理人員以及教師對網絡安全沒有足夠的重視,而大部分校園學生認為校園網絡是集體系統,網絡安全維護不是自己的責任,自然有相關的網絡管理人員進行維護,防范意識淡薄、缺乏責任心。此外,除了計算機專業的教師與學生對計算機的結構框架有所了解外,大部分用戶都不具備最基本的網絡知識和網絡安全抵御能力與防范意識,導致校園網絡經常性遭受病毒入侵,影響正常運行。
2.2 盜版資源的干擾
互聯網拓寬了人們的視野,豐富了人們的生活,但是無處不在的盜版成為了社會的隱患,多種網絡資源都存在著盜版現象。盜版資源成為網絡急需解決的問題,校園網絡中的盜版軟件、盜版資源的使用也非常普遍,隨著用戶的不斷使用給系統留下了安全隱患,而且下載盜版軟件時還隱藏著后門、木馬等相關的代碼,對校園系統產生了破壞性的攻擊。
2.3 資金投入不足
高校校園把大部分的資金投入到購買硬件設備上,技術性的投入比例相對較大,而對于校園網絡安全維護的投入相對較小。另外,普遍缺乏防范安全意識,只是簡單安裝設備,保證網絡能夠正常、安全運行就可以了,忽視了網絡安全的維護,缺乏責任心,缺乏抵御外部與內部入侵的能力。因此,要在網絡技術投入與安全措施上做到平衡,加強安全防御,使網絡正常有序的運行。
3 校園網絡安全管理措施
3.1 提高師生網絡安全意識
高校內發生網絡安全危機,多數是因為沒有網絡方面的安全知識,導致黑客入侵進行破壞,因此學校要加強網絡安全防御意識,抵御來自校園網內外部的攻擊。學校可以利用網絡優勢進行安全常識教育,例如校園廣播,在學生休息或者上放學期間播放有關網絡的一些常識。此外,還應開設網絡安全課程,如《信息安全技術》、《計算機網絡》、《網絡安全與管理技術》等,使學生掌握基本網絡知識,不輕易使用盜版軟件、不隨便瀏覽誠信度低的網站,養成文明上網的好習慣,提高網絡安全意識和辨別能力。
3.2 引進網絡管理人才
高校校園網絡的不斷普及和發展,校園網上的相關數據、信息、資料越來越多,越來越重要,同時校園網絡的攻擊、資源的盜用也越來越嚴重,因此,加強網絡技術人員和網絡用戶對網絡技術與安全使用尤為重要。學校應該引進網絡安全管理的優秀人才,形成網絡安全管理隊伍,或者學校也可以派出本校優秀的計算機網絡管理人才參加網絡安全管理培訓,或者不定期的聘請專業的網絡管理專家進入校園講授網絡技術相關知識,通過“引進來和走出去”的方式來提高網絡人員的專業素質和管理能力。
3.3 加強防火墻技術
防火墻是實現校園網絡安全的一個有效的方法,它使互聯網與內部網建立了一個安全網關,保護內部網免受非法用戶的強烈入侵。為了防止內部網絡發起對外攻擊,要在防火墻上建立計算機的IP和MAC地址,如果兩個地址不是一一對應的一律禁止,還要定期查看防火墻的訪問日志以及時發現是否有攻擊行為,提高防火墻的安全管理性,減少給校園網絡帶來的安全隱患。
4 結語
校園網絡安全與技術管理問題是一個復雜的系統工程,校園網絡對此要進行全方位的防范,因此,提高校園網絡是一個非常迫切和具有挑戰性的任務,要將技術和管理相結合,建立一個安全的校園網。雖然網絡存在著各種安全威脅,但在校園建設中起著靈活、快捷的作用。總而言之,在利用校園網絡的同時,要不斷的加強校園網絡建設,完善校園網絡管理制度,建立堅固的校園網絡安全防線,建立一個安全、綠色的校園網絡環境。
[參考文獻]
篇(2)
前言
東北財經大學經過不斷發展、完善的信息化歷程,完成校園網絡廣泛覆蓋和帶寬升級。同時學校數據服務區運行著包括門戶網站、電子郵箱、數字校園、移動辦公等重要業務系統,隨著各類應用系統的不斷上線,逐步構成了一個服務于學校師生的重要綜合性校園網絡平臺。但另一方面,承載學校業務流程的信息系統安全防護與檢測的技術手段卻仍然相對落后。在當前復雜多變的信息安全形勢下,無論是外部黑客入侵、內部惡意使用,還是大多數情況下內部用戶無意造成的安全隱患,都給學校的網絡安全管理工作帶來較大壓力。而同時,勒索病毒爆發、信息泄露、上級部門要求、法律法規監管等,都在無形中讓學校的信息安全管理壓力越來越大。筆者根據《網絡安全法》和網絡安全等級保護2.0標準的要求,在現有的架構下對東北財經大學校園網絡進行了安全加固設計,提升了校園網主動防御、動態防御、整體防控和精準防護的能力。
1現狀及問題
在互聯網攻擊逐漸從網絡層轉移到應用層的大背景下,學校各類業務系統在開發時難免遺留一些安全漏洞,目前學校安全防護僅在校園網出口部署了網絡層面的安全網關設備,傳統網絡層防火墻在面對層出不窮的應用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發動緩沖區溢出,SQL注入、XSS、CSRF等應用層攻擊,并獲得系統管理員權限,從而進行數據竊取和破壞,對學校核心業務數據的安全造成了嚴重的威脅。數據的重要性不言而喻,尤其對學校的各類學生信息、一卡通等財務數據信息更是安全防護的重中之重,如有閃失,在損害學校師生利益的同時也造成很大的不良影響和法律追責問題。東北財經大學出口7Gbps帶寬,由電信、聯通、移動、教育網等多家運營商組成。隨著學校的網絡規模擴大以及提速降費的背景,互聯網出口將會達到15Gbps帶寬以上,原有的帶寬出口網關弊端顯露:具體包括網關性能不足,無法支持大帶寬,老舊設備無法勝任大流量的轉發工作;IPv6網絡不兼容,無法平滑升級,后續無法滿足國家政策進行IPv6改造的規劃;上網審計和流量控制功能不完善,原有網關未集成上網行為審計功能,未能完全滿足網絡安全法,保障合規上網;不支持基于應用的流量控制,帶寬出口的流量控制效果不佳;對上網行為缺乏有效管理和分析手段,針對學生上網行為沒有好的管理手段和分析方法。同時等級保護2.0也對云安全和虛擬化環境下的網絡安全問題作了要求。東北財經大學信息化建設起步較早,目前校內數據中心的絕大部分已經實現了虛擬化,主要業務系統均在虛擬機上運行,虛擬化技術極大地提升了硬件資源的利用率和業務的高可用性,但現有的120余臺虛擬機的安全隔離和虛擬化環境的東西向流量控制成為安全建設的新問題。為了響應《網絡安全法》以及國家新頒發的網絡安全等級保護2.0的相關要求,提高東北財經大學數據中心的整體安全防護與檢測能力,需要在以下幾個方面進行安全建設:(1)構建安全有效的網絡邊界。主要通過增加學校數據中心的邊界隔離防護、入侵防護、Web應用防護、惡意代碼檢測、網頁防篡改等安全防護能力,減少威脅的攻擊面和漏洞暴露時間。(2)加強對網絡風險識別與威脅檢測。針對突破或繞過邊界防御的威脅,需要增強內網的持續檢測和外部的安全風險監測能力,主要技術手段包括:網絡流量威脅檢測、僵尸主機檢測、安全事件感知、橫向攻擊檢測、終端檢測響應、異常行為感知等。(3)形成全網流量與行為可視的能力。優化帶寬分配,提升師生上網體驗;過濾不良網站和違法言論,保障學生健康上網和安全上網;全面審計所有網絡行為,滿足《網絡安全法》等法律法規要求;在網絡行為可視可控的基礎之上,需要進一步形成校園網絡全局態勢可視的能力。
2網絡安全加固技術方案
按原有拓撲,將東北財經大學校園網劃分為校園網出口區、核心網絡區域、數據業務區域、運維管理區域、校園網接入區五個安全區域,并疊加云端的安全服務。各個區域通過核心網絡區域的匯聚交換與核心交換機相互連接;校園網出口區域有多條外網線路接入,合計帶寬7Gb,為校園網提供互聯網及教育網資源訪問服務;數據業務區部署2套VMware虛擬化集群和1套超云虛擬化集群,承載了學校門戶網站、電子郵件、數字化校園、DNS等各類業務系統;運維管理區域主要負責對整體網絡進行統一安全管理和日志收集;校園網接入區教學樓、辦公樓、圖書館、宿舍樓等子網,存在大量PC終端供學校師生使用;另外學校的教學樓、辦公樓均已實現了無線網絡的覆蓋。在數據業務區域與核心網絡區域邊界部署一臺萬兆高性能下一代防火墻,開啟IPS、WAF、僵尸網絡檢測等安全防護模塊,構建數據業務區融合安全邊界。通過部署下一代防火墻提供網絡層至應用層的訪問控制能力,能夠實現基于IP地址、源/目的端口、應用/服務、用戶、區域/地域、時間等元素進行精細化的訪問控制規則設置;提供專業的漏洞攻擊檢測與防護能力,支持對服務器、口令暴力破解、惡意軟件等漏洞攻擊防護,同時IPS模塊可結合最新威脅情報對高危漏洞進行預警和自動檢測;提供專業的Web應用防護能力,針對SQL注入、XSS、系統命令注入等OWASP十大Web安全威脅進行有效防護,同時提供網頁防篡改、黑鏈檢測以及惡意掃描防護能力,全面保障Web業務安全;提供內網僵尸主機檢測能力,通過雙向流量檢測和熱門威脅特征庫結合,實現對木馬遠控、惡意腳本、勒索病毒、僵尸網絡、挖礦病毒等威脅進行有效識別,快速定位感染主機真實IP地址。在校園網出口區部署高性能上網行為管理,對校園網出口流量進行全面管控,上網行為管理設備部署在核心交換機和出口路由器之間,所有流量都通過上網行為管理處理,實現對內網用戶上網行為的流量管理、行為控制、日志審計等功能,設備提供IPv4/IPv6雙棧協議兼容,有效滿足IPv6建設趨勢下網絡的平滑改造。為了有效管控和審計,設備選型必須能夠全面識別各種應用:(1)支持千萬級URL庫、支持基于關鍵字管控、網頁智能分析系統IWAS從容應對互聯網上數以萬億的網頁、SSL內容識別技術;(2)擁有強大的應用識別庫;(3)識別并過濾HTTP、FTP、mail方式上傳下載的文件;(4)深度內容檢測:IM聊天、網絡游戲、在線流媒體、P2P應用、Email、常用TCP/IP協議等;(5)通過P2P智能識別技術,識別出不常見、未來可能出現的P2P行為,進而封堵、流控和審計。通過強大的應用識別技術,無論網頁訪問行為、文件傳輸行為、郵件行為、應用行為等都能有效實現對上網行為的封堵、流控、審計等管理。同時,也要提供網絡流量可視化方案,管理員可以查看出口流量曲線圖、當前流量應用、用戶流量排名、當前網絡異常狀況(包括DOS攻擊、ARP欺騙等)等信息,直觀了解當前網絡運行狀況。對內網用戶的各種網絡行為流量進行記錄、審計,借助圖形化報表直觀顯示統計結果等,幫助管理員了解流量用戶排名、應用排名等,并自動形成報表文檔,全面掌控用戶網絡行為分布和帶寬資源使用等情況,了解流控策略效果,為帶寬管理的決策提供準確依據。同時支持多線路復用和智能選路功能,通過多線路復用及帶寬疊加技術,復用多條鏈路形成一條互聯網總出口,提升整體帶寬水平。再結合多線路智能選路專利技術,將網流量自動匹配最佳出口。具備全面的合規審計及管控功能,支持對內網用戶的所有上網行為進行審計記錄,滿足《網絡安全法》的要求,能有效防范學生網上不良言論、訪問非法網站等高風險行為,規避法律風險。在數據業務區物理服務和3個虛擬化服務器集群上每臺虛擬機安裝EDR客戶端,針對終端維度提供惡意代碼防護、安全基線核查、微隔離、攻擊檢測等安全能力,打通物理服務器、Vmware集群和超云集群,進行統一的主機/虛擬機邏輯安全域劃分,同時實現云內流量可視、可控,滿足等保2.0云計算擴展項要求。通過部署EDR構建立體可視的端點安全能力,實現全網風險可視,展示全網終端狀態分布,顯示當前安全事件總覽及安全時間分布全網終端安全概覽,支持針對主機參照等級保護標準進行安全基線核查,快速發現不合規項。部署于每臺VM上的端點agent,能夠對云內不同VM、不同業務系統之間的訪問關系、訪問路徑、橫向威脅進行檢測與響應,EDR與虛擬化底層平臺解耦合,解決多虛擬化環境下的兼容性問題,構建動態安全邊界。構建多維度漏斗型檢測框架,EDR平臺內置文件信譽檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、安全云檢測引擎,從多維度全面發現各類終端威脅。
3結語
通過該方案,提升了威脅防護、風險應對能力。能夠從容應應對勒索病毒、0Day攻擊、APT攻擊、社會工程學、釣魚等新型威脅手段。通過全面的安全可視能力,簡化運維壓力,可以極大降低運維的復雜度,提升安全治理水平,達到了設計要求。
參考文獻
[1]李鍇淞.對于校園網絡建設及網絡安全的探討[J].數字通信世界息,2019(8).
[2]李鍇淞,鄒鵬.高校校園網合作運營探索[J].網絡安全和信息化,2019(9).
[3]臧齊圣.淺談校園網絡安全防控[J].計算機產品與流通,2019(9).
篇(3)
一、安全教育網絡
安全教育是學校建設和諧校園的重要環節。特別是小學生年齡低,生活經驗、社會經驗以及鑒別、判斷能力都不夠豐富和完善。所以,亟須通過豐富多彩的安全教育使他們增強抵制不良信息的能力,鑒別真偽的能力;增強安全防范和遵紀守法,遵守交通規則的意識。目前,多學校利用板報、畫廊、學生手抄報等宣傳工具進行了交通安全、飲食安全、人身安全以及預防疾病和應對突發事件等方面的教育和有關知識的宣傳,較好地預防和杜絕了威脅學生安全的事件發生,使學生能夠在安全和諧的校園內愉快地學習。創設了學生健康成長的環境。但是要把安全教育繼續深入下去,使其更加廣泛、全面、持久,更加吸引學生積極地參與,就必須進一步優化安全教育的內容、形式、方法和手段。其主要的渠道是依托信息技術建設全方位的安全教育網絡。
學校安全教育網絡由硬件系統和軟件系統構成。并且要依托硬件系統發揮軟件系統的作用。也可以說,軟件系統通過硬件系統發揮安全教育的作用。軟件系統是指參與學生安全教育的工作者,是由學校的班主任、團委、大隊輔導員、學校負責安全工作的校長及校外的輔導員、民警、交警、社區工作人員組成。這些人組成一支關心學生安全,幫助學生提高安全意識,積極查找安全隱患,杜絕意外事故發生的安全教育組織。硬件系統是指學校的校園網絡,包括學校計算機局域網、學校的校園廣播、學校的板報欄等。
安全教育組織機構要根據學校的特點,學生安全急需解決的問題選擇以熱愛生命、尊重生命、善待生命為主要內容的安全教育材料,對學生進行積極人生觀、世界觀、價值觀的教育。通過組織豐富多彩的活動,通過硬件系統作用的發揮積極滲透交通安全教育、消防安全教育、社會治安教育、食品衛生及疾病預防教育、預防觸電、溺水、煤氣中毒教育、校內活動安全教育、校外活動安全教育等。例如:通過校園網絡播放有關安全教育的電視片。聘請交警、民警進行電視講座,宣傳交通安全知識、宣傳預防詐騙、拐賣、綁架等安全知識;利用校園廣播在課間時間播放安全常識等。
二、安全防范網絡
安全防范網絡是保障學校安全的重要舉措。目前,有關部門要求各級各類學校在學校的重要位置安裝監控設備,時刻監控學校周邊發生的事件,為解決突發事件提供客觀真實的依據。這是信息技術手段在學校安全方面的充分利用,也是學校信息網絡的組成部分。當然,這項建設需要社會各界的支持,需要資金,需要技術,特別是需要與公安部門網絡的鏈接,監控設備拍攝、記錄下來的突發事件直接在公安部門監視器上呈現畫面,可以在最短的時間內得到警力的支持,盡快制止事態的惡化。這就需要學校與公安部門達成一致,建立警民共建網絡系統,形成一個堅不可摧的安全防范的防線,有情況立即行動,強有力地打擊犯罪,保證學校安全,保證師生安全。這是信息技術安全防范網絡的優勢。此外,常規的防范網絡建設也是不容忽視的。一是制定安全規章制度,深入貫徹,認真執行。二是認真排查安全隱患,并且及時解決。三是加強學校安全管理,設立學校領導帶班的安全協管員門衛執勤制度,嚴禁外來人隨便進入校園。四是制定防范措施和應急預案。五是建立責任追究制。使每一所學校在信息技術的支持下,在常規管理的保障條件下建設成有領導、有計劃、有組織、有預案的安全防范網絡。
篇(4)
中圖分類號:TP393 文獻標識碼:A
1 校園網安全運行現狀與需求
1.1校園網安全建設現狀分析
網絡環境的復雜性、多變性,以及信息系統的脆弱性,決定了網絡安全威脅的客觀存在。隨著高校的發展,用網人數的增加,校園網用戶對信息與網絡安全的要求也越來越高。大部分高校以往的網絡建設,重點是“建設”,強調網絡的覆蓋范圍,出口帶寬,基礎應用等,而對網絡安全的關注度不夠,往往是“想起一個建一個,需要一個建~個”,沒有形成系統、全面、高效的網絡安全體系。隨著高校“信息化”建設的呼聲越來越高,網絡安全體系的建設也在逐步受到學校各級領導的重視。
1.2校園網安全體系建設需求
網絡安全建設一直是各高校網絡建設的難點和薄弱環節,一方面,技術管理手段的不全面以及管理機制的不完善制約了安全防范的力度;另一方面,校園網用戶甚至是系統管理員的安全意識淡漠,以及學生用戶網絡行為的不確定性成為各高校網絡安全工作的瓶頸。因此,網絡中心需要通過采取一系列的網絡安全措施、制定一系列的網絡安全管理制度,在提高網絡管理技術手段的同時,逐步增強用戶的網絡安全意識,構建穩定、安全、綠色的校園網。
2 網絡安全體系建設規劃
隨著學校網絡與信息化建設的逐步深入,網絡安全問題、信息數據安全問題日益突出。建立一套網絡安全體系,是各高校在信息化過程中的重要任務之一。
2.1校園網安全建設規劃
根據各高校網絡建設規劃,結合現有的網絡安全技術手段,應從以下幾個方面做好校園網安全建設工作。
2.1.1加強網絡設施安全建設
網絡設施安全主要指網絡設備、服務器等硬件設備的物理安全。某高校網絡中心曾經發生過同批次多塊硬盤損壞,機柜門被撬開。學生惡意偷用電源。光纜被挖斷等安全事件,因此。在信息化的建設中,保證設備的物理安全尤為重要。
建立機房、設備間的防火、防盜、監控和報警方案:
對一些關鍵設備。系統和鏈路,應設置冗余備份系統,避免網絡設備因天災或人為因素對網絡造成的影響。
2.1.2終端安全防范措施
隨著各高校網絡覆蓋范圍的逐步增加,用網人數不斷增多(如某高校校園網同時在線用戶已經達到4500人),用戶終端的安全問題成為校園網內網安全的主要問題之一。由于用網人員的計算機水平參差不齊,以及學生用戶網絡行為的不可控性,給網絡安全帶來了很大的隱患,因此需要從以下幾個方面完善終端安全防范措施:
提供并推廣可供全校師生員工使用的網絡版殺毒軟件,以及校內WSUS服務,逐步建立“沒有殺毒軟件”、“不打系統補丁”不上網的安全意識;
對校內突發的終端安全事故進行監控,及時提供必要的專殺工具、漏洞補丁:
提高技術人員的技術水平,采取相應的檢測手段,利用先進的儀器設備,減少用戶端安全事故的排查和定位時間。
2.1.3應用服務器安全措施
應用服務器是數字化校園的基礎,是各個業務系統的載體,所以它的安全是至關重要的,因此,系統管理員的技術手段和安全意識在服務器的安全管理中起到至關重要的作用。
制定相關技術文檔,規范應用服務器上線前的安全檢查,督促管理員使用正版操作系統、安裝殺毒軟件、防火墻、自動更新等,并且定期掃描系統漏洞,更改系統密碼。保證操作系統安全;
建立完善可靠的容災恢復方案,對關鍵服務器采用雙機熱備方式,并且提供可靠的數據備份系統,如采用RAID技術以及利用磁帶備份數據,確保事故發生時業務數據不丟失,系統能夠快速恢復;
建立授權控制體系,對不同管理員設定不同的系統、數據庫管理權限:
完善訪問日志分析系統,定期對日志進行整理和分析,制定相應的安全策略。
2.1.4網絡出口及邊界安全
目前高校網絡出口及邊界設備主要分為路由器。防火墻、VPN等三類設備,網絡出口及邊界的安全主要包括配置合理、全面的安全策略,以及如何提高安全響應速度和快速、準確地定位攻擊來源。針對這些方面,需要在出口及邊界設備的管理中做到以下幾點:
建立密碼維護制度。定期更換設備Telnet、SSH登錄密碼以及SNMP共同體名;
>制定詳細的ACL策略,限制登錄設備的IP地址;
采取NAT機制。在保證校內用戶正常上網的同時,繼續優化8812路由器的安全功能;
啟用防火墻的防病毒功能,在源頭阻斷病毒入侵;
合理規劃SSL VPN的用戶權限;
建立IDS+IPS的聯動機制。完善網絡監控與入侵防范;
建立出入雙向的訪問日志系統。
2.1.5應用分析控制技術的應用
在網絡安全管理中,網絡流量、網絡應用的分析至關重要,網絡管理人員需要明確地知道網絡中有哪些網絡應用,各種應用在網絡中所占的帶寬以及是否存在不良應用,如圖1。
隨著上網人數的增多,網絡出口不可避免地出現擁堵現象,因此,需要進一步對網絡應用進行分析,并制定有效的控制策略。
實時記錄出口帶寬使用情況,對惡意占用帶寬的應用進行限制,確保基本應用的高效運行;
對網絡流量進行監控,利用相關協議分析工具對網絡應用進行深層坎的分析。
2.2信息安全建設規劃
信息安全指保證系統中的信息不被破壞、不被竊取、不被非法復制和使用等。
2.2.1信息安全保障措施
通過一系列的措施,保證信息在傳輸和存儲時的安全。
建立完善的實名上網制度,并且與各系統的日志配合,建立“上網ID+上網時間+上網IP+上網入”的一一對應關系;
建立合理的文件上傳、審查制度,對關鍵數據采取數字簽名技術,做到誰上傳誰負責,安全事故責任到人;
對論壇、留言板等提供用戶交流的版塊加強監管力度。對有害和敏感信息進行監控;
數字校園關鍵服務器問數據傳輸采取加密方式,防止網絡竊聽、數據泄露等安全事故的發生;
對病毒郵件、垃圾郵件以及含有敏感信息的郵件進行過濾。
2.2.2數據安全建設
隨著高校信息化建設的推進,各部門工作信息化的程度也將越來越高,如何保證數據安全,提高管理信息系統(MIS)的安全性是信息化過程中必須考慮的問題。
各部門需要制定MIS的相關管理制度:
制定MIS系統數據備份、災難恢復方案;
定期對MIS漏洞進行修補。防止數據泄露。
2.3全局安全體系建設
根據對網絡體系分層的概念,針對不同的層次制定不同的網絡安全措施。做到有的放矢,從技術上實現檢測、上報和控制一體化。例如銳捷公司提出的全局安全網絡(GSN),如圖2。
整合已建立的安全措施,增加針對上網用戶的準入策略。在用戶連入網絡之前先進行客戶端病毒及漏洞掃描,保證連入網絡的客戶端的安全性,從而最大限度地降低網絡安全風險:
篇(5)
中圖分類號:TN711 文獻標識碼:A 文章編號:
隨著計算機網絡的不斷發展,信息全球化已成為人類發展的現實。但由于計算機網絡具有多樣性、開放性、互連性等特點,致使網絡易受攻擊。具體的攻擊是多方面的,有來自黑客的攻擊,也有其他諸如計算機病毒等形式的攻擊。因此,網絡的安全措施就顯得尤為重要,只有針對各種不同的威脅或攻擊采取必要的措施,才能確保網絡信息的保密性、安全性和可靠性。
1威脅計算機網絡安全的因素
計算機網絡安全所面臨的威脅是多方面的,一般認為,目前網絡存在的威脅主要表現在:
1.1非授權訪問
沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。
1.2信息泄漏或丟失
指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括:信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、賬號等重要信息)、信息在存儲介質中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。 1.3破壞數據完整性
以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益于攻擊者的響應;惡意添加、修改數據,以干擾用戶的正常使用。
1.4拒絕服務攻擊
它不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。
1.5利用網絡傳播病毒
通過網絡傳播計算機病毒,其破壞性大大高于單機系統,而且用戶很難防范。
2網絡安全建設方法與技術
網絡具有訪問方式多樣、用戶群龐大、網絡行為突發性較高的特點。網絡安全問題要從網絡規劃階段制定各種策略,并在實際運行中加強管理。為保障網絡系統的正常運行和網絡信息的安全,需要從多個方面采取對策。攻擊隨時可能發生,系統隨時可能被攻破,對網絡的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。
2.1計算機病毒防治
大多數計算機都裝有殺毒軟件,如果該軟件被及時更新并正確維護,它就可以抵御大多數病毒攻擊。定期地升級軟件是很重要的。在病毒入侵系統時,對于病毒庫中已知的病毒或可疑程序、可疑代碼,殺毒軟件可以及時地發現,并向系統發出警報,準確地查找出病毒的來源。大多數病毒能夠被清除或隔離。再有,對于不明來歷的軟件、程序及陌生郵件,不要輕易打開或執行。感染病毒后要及時修補系統漏洞,并進行病毒檢測和清除。 2.2防火墻技術
防火墻是控制兩個網絡間互相訪問的一個系統。它通過軟件和硬件相結合,能在內部網絡與外部網絡之間構造起一個"保護層",網絡內外的所有通信都必須經過此保護層進行檢查與連接,只有授權允許的通信才能獲準通過保護層。防火墻可以阻止外界對內部網絡資源的非法訪問,也可以控制內部對外部特殊站點的訪問,提供監視Internet安全和預警的方便端點。當然,防火墻并不是萬能的,即使是經過精心配置的防火墻也抵擋不住隱藏在看似正常數據下的通道程序。根據需要合理的配置防火墻,盡量少開端口,采用過濾嚴格的WEB程序以及加密的HTTP協議,管理好內部網絡用戶,經常升級,這樣可以更好地利用防火墻保護網絡的安全。
2.3入侵檢測
攻擊者進行網絡攻擊和入侵的原因,在于計算機網絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置,比如操作系統、網絡服務、TCP/IP協議、應用程序、網絡設備等幾個方面。如果網絡系統缺少預警防護機制,那么即使攻擊者已經侵入到內部網絡,侵入到關鍵的主機,并從事非法的操作,我們的網管人員也很難察覺到。這樣,攻擊者就有足夠的時間來做他們想做的任何事情。
基于網絡的IDS,即入侵檢測系統,可以提供全天候的網絡監控,幫助網絡系統快速發現網絡攻擊事件,提高信息安全基礎結構的完整性。IDS可以分析網絡中的分組數據流,當檢測到未經授權的活動時,IDS可以向管理控制臺發送警告,其中含有詳細的活動信息,還可以要求其他系統(例如路由器)中斷未經授權的進程。IDS被認為是防火墻之后的第二道安全閘門,它能在不影響網絡性能的情況下對網絡進行監聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
2.4安全漏洞掃描技術
安全漏洞掃描技術可以自動檢測遠程或本地主機安全性上的弱點,讓網絡管理人員能在入侵者發現安全漏洞之前,找到并修補這些安全漏洞。安全漏洞掃描軟件有主機漏洞掃描,網絡漏洞掃描,以及專門針對數據庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新,操作系統的漏洞隨時都在,只有及時更新才能完全的掃描出系統的漏洞,阻止黑客的入侵。
2.5數據加密技術
數據加密技術是最基本的網絡安全技術,被譽為信息安全的核心,最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文,然后再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。
2.6安全隔離技術
面對新型網絡攻擊手段的不斷出現和高安全網絡的特殊需求,全新安全防護理念"安全隔離技術"應運而生。它的目標是,在確保把有害攻擊隔離在可信網絡之外,并保證可信網絡內部信息不外泄的前提下,完成網絡間信息的安全交換。隔離概念的出現是為了保護高安全度網絡環境。
2.7黑客誘騙技術
篇(6)
中圖分類號:TP393.08
隨著網絡閱讀形式的普及,高校作為文化與技術資源的匯聚地,圖書館的運作逐漸走向網絡化和數字化。高校圖書館的數據庫系統具有資源覆蓋范圍廣、學科與技術種類豐富、數字資源量大等特點,能夠為廣大的高校教師與學生提供全面的學術研究信息服務。然而同時高校圖書館也將面臨著網絡安全的問題。圖書館資源網絡化是將圖書館資源面向更加廣泛的受眾用戶群,而網絡中存在著木馬、病毒、黑客等安全隱患,同時環境因素、認為因素等也威脅著高校圖書館網絡的安全,因此,在高校圖書館網絡安全建設上采用完善的安全防護設計和制定相應的安全防護制度對于高校圖書館網絡安全都具有非常重要的意義。
1 高校圖書館網絡面臨的安全威脅
1.1 運行環境安全威脅
計算機與聯網設備屬于高精度電子設備,其運行環境對于溫度、濕度、供電穩定性、電磁干擾等具有一定的要求,而在這方面大多數高校圖書館并沒有在機房建設時充分考慮到這些方面的因素,因此,對圖書館服務器、計算機設備的穩定性和安全性帶來一定的隱患。同時,數字圖書館的建設要考慮到一些自然環境因素對圖書館網絡安全的影響,譬如:雷電、火災、地震、腐蝕性物質等,對于圖書館的網絡安全都具有一定的威脅性。
1.2 硬件環境安全威脅
高校圖書館擁有強大的服務器和交換機,能夠為近千臺終端計算機提供服務,圖書館服務器的穩定是圖書館網絡應用的關鍵。由于目前所使用的操作系統,無論是Windows、Linux還是UNIX都存在一定的系統漏洞,因此,在網絡攻擊上,對于圖書館服務器的攻擊形式非常的多,譬如:DOS攻擊、ARP入侵、SQL注入、木馬植入等。此外,為了更好的服務于高校師生,大多數高校圖書館網絡TCP/IP協議采用的是系統默認設置,方便多用戶接入,但是這給圖書館服務器安全帶來了較大的威脅。
1.3 軟件環境安全威脅
數字圖書館的建設需要大量的軟件應用,而目前很多病毒都集成在應用軟件中,用戶下載軟件、安裝軟件過程中容易攜帶對圖書館服務器造成破壞的惡意程序,尤其是當圖書館與互聯網相接入后,各種具有隱藏性、觸發性、植入性、寄生性的病毒隱藏在互聯網應用中,而高校圖書館網絡互連很容易相互傳染,最終導致整體癱瘓。
1.4 網絡系統安全威脅
高校圖書館網絡與互聯網連接,給黑客攻擊創造了條件,他們利用網路漏洞掃描、嗅探、欺騙、后門、口令破譯等手段直接進入高校網絡圖書館后臺服務器管理系統中,刪除重要文獻資料、篡改信息、盜用資源等,給高校數字圖書館造成了嚴重的威脅。
2 高校圖書館網絡安全建設的設計與實現
2.1 高校圖書館網絡安全運行環境設計與實現
高校圖書館系統運行的安全是數字圖書館建設的首要環節,在建設運行環境方面要對圖書館服務器主機房的選址和環境布置進行科學的規劃,并采用多種安全防護系統加以保護,譬如:建設穩定的供電系統、防火系統、通風系統和安保系統。
高校數字圖書館用電量大,對電壓的穩定性要求高,因此,在供電系統設計上要采用具有功率大、耐用時間長、防雷電等性能的雙機并聯UPS系統。
高校圖書館服務器機房防火系統建設可以采用針對計算機等大用電量的電子設備專用滅火系統,譬如:采用七氟丙烷氣體自動滅火系統,具有較好的清潔、絕緣、高效能等特點,同時該系統要具備自動火災探測預警系統和火災環境超標自動滅火機制。
高校圖書館主機房由于設備散熱量較大,應配備24小時運轉的機房專用空調,機房專用空調具有上送、下回送風功能,能夠保證高校圖書館主機房各個方向的溫度均衡。同時,機房專用空調具有溫度自動探測功能和溫度超標預警功能,條件允許的狀況下,可配置雙空調系統,為出現故障時可備用。
由于高校圖書館主機房設備具有很高的價值,因此,對于防盜監控應專門設計安保系統。安保系統應具備機房各個角落全方位監控功能,并具備紅外預警裝置,當發生偷盜設備時,可及時發出警告,并通過校園網直接連入校園保安室。在管理上可采用專人專管,設置門禁系統。
2.2 高校圖書館網絡安全硬件系統設計與實現
高校圖書館硬件配置要首先具備雙機熱備系統,可確保圖書館服務器安全運轉。其次,要具備數字圖書館資源獨立存儲系統和獨立應用系統,圖書資源存放在存儲系統中,不附加應用軟件,降低被惡意攻擊的威脅,應用系統在調用存儲系統中資源時需要提供正確的密鑰,確保資源調出安全。第三,數字圖書館與校園網絡相連接要建立安全防護機制,譬如建立防火墻等。第四,硬件選擇要具備國家認可的相關合格證明,同時設備要具備后續改造升級的能力,設備接口采用標準化接入,具有良好的兼容性,以降低升級改造費用。
2.3 高校圖書館網絡安全軟件系統設計與實現
高校圖書館網絡安全軟件系統包括系統軟件和應用軟件。在系統軟件設計上采用穩定性、安全性高的操作系統,通常在UNIX系統環境下的操作系統抗威脅能力較Windows和Linux更強,尤其是UNIX所衍生出的針對于圖書館應用的操作系統,如:AIX、Solaris等。在操作系統安裝過程中,選擇自定義安裝,根據需要設置較為安全的權限管理,同時為操作系統安裝最新的安全補丁、殺毒軟件、防火墻等。停止使用Guest用戶登陸,設計較為復雜的管理員用戶名及密碼,將IIS訪問權限設為高級。
在應用軟件應用上,在應用系統中安裝正版的應用軟件,并根據用戶級別設置數據庫的訪問權限,加強應用軟件安裝的安全檢測能力,如檢測到用戶安裝的應用軟件攜帶病毒或者木馬則強行停止安裝。
2.4 高校圖書館網絡安全網絡系統設計與實現
目前,高校圖書館面向社會化開放,這就導致來自互聯網的威脅給高校圖書館網絡安全性面臨著嚴峻的考驗。高校圖書館與外部網絡連接需要通過高端的防火墻和完善的用戶認證,阻止外部用戶直接訪問高校圖書館數據庫,并且對外隱藏IP、網關等信息。在高校圖書館內部網絡建設上要建立獨立的局域網絡,采用VLAN技術對不同圖書館資源利用區域進行劃分管理,設置自動軟件升級、防火墻升級和定期殺毒。
3 高校圖書館網絡安全防護對策
建設高校圖書館網絡安全防護體系,需要對高校圖書館網絡構建成為多層次、多方面監管的安全防護網絡,在安全防護對策上應遵循以下幾方面原則,確保高校圖書館網絡安全運轉。
3.1 安全防護的全面性
在構建高校圖書館網絡安全體系時,要從軟、硬件、環境等方面進行物理性安全防護,還要不斷的提高安全技術能力和監管力度,確保圖書館機房的安全運轉。同時,要做好突發問題應急處理機制,當出現故障時能夠將損失降到最低。
3.2 安全防護的最小權限性
構建高校圖書館網絡安全等級權限分類,以可提供最少服務權限為原則,建立最大安全防護措施,權限等級要分明,嚴格執行權限管理制度。將數據庫系統與應用系統區分管理,數據庫管理權限設置管理人數越少越好,盡量避免用戶瀏覽非圖書館允許類網站,將惡意網站登記到應用數據庫中,禁止訪問。
3.3 安全防護的集中管理性
高校圖書館網絡安全集中管理是將多種安全防護措施進行統一管理,由專業的網絡安全管理專家進行監控。在管理上不僅要從技術上進行研究,而且需要在制度上進行嚴格管理,譬如:建立安全責任制度、日常維護制度、數字圖書館應用制度、資料備份制度、保密制度等。對于各項制度的落實要進行統一集中的管理,方便制度的執行與落實。
3.4安全防護的長期性
網絡環境更新速度快,惡意攻擊、病毒類型等不斷演變,新型的攻擊手段和木馬病毒不斷涌現,這就要求高校圖書館網絡安全建設要具有可升級、可擴建能力,不僅要及時更近防火墻、殺毒軟件,在硬件設備上要具備可擴展性,能夠提高硬件安全,建立長期的安全防護機制,做到實時監管、實時控制。
4 結束語
高校圖書館是高校文化與技術資源聚集融匯的地方,在面對數字化圖書館的需求方面,高校圖書館不僅要建立豐富的資源網絡,而且要確保高校數字圖書館的應用安全。在高校圖書館網絡安全建設上,環境、設備、軟件、管理要統一目標,科學建設、加強監管,利用先進的網絡安全技術和完善的管理制度實現高校圖書館數字化安全運轉。
參考文獻:
[1]馬敏,劉芳蘭,寧嬌麗.高校數字圖書館網絡安全風險分析與策略[J].中國安全科學學報,2010(04):130-135.
[2]高琦.數字圖書館網絡信息安全分析及對策研究[J].圖書館學刊,2012(06):132-133.
[3]王元.高校數字圖書館信息安全保障研究[J].圖書情報工作(增刊),2010(02):327-331.
[4]顏昌茂,周吟劍,.高校圖書館網絡安全系統的構建[J].情報探索,2014(01)108-111.
篇(7)
2 中小型企業網絡現狀及需求
國有大中型企業是我國的經濟支柱,中小企業是我國經濟組成的重要組成部分,我國中小型企業眾多,對計算機網絡技術應用比較簡單,沒有很好的利用Internet的優勢,實現企業經濟的騰飛及壯大。中小型企業網絡主要應用是日常辦公,數據處理,屬于“單機版”類型,或者企業分支機構與總部就是簡單通過電子郵件,或者qq進行企業數據信息傳輸,這樣安全保密性太差。主要原因是:
1) 中小型企業資金比較貧乏,沒有更多的資金來購買成熟網絡安全產品,而且成熟的網絡安全產品價格一般比較昂貴,主要面向大型企業。中小型企業分布廣,業務靈活,經濟實惠的遠程數據安全傳輸解決方案甚少,而且技術復雜,維護較難,不能滿足中小企業的需要。
2) 中小型企業技術力量薄弱,沒有專業的網絡技術人員,一般是企業年輕的懂點計算機的員工兼職網絡管理,與專業網絡管理員還有一定的差距。
3) 中小型企業網絡基本屬于一個“信息孤島”,與外界進行數據通信不能做到安全可靠傳輸,不能確保數據信息不泄露、不丟失、不被篡改等,影響企業的快速發展。
3) 中小型企業領導重視網絡建設還不夠,網絡建設相對比較簡單,根據中小型企業目前對網絡的需要及依賴,進行簡單網絡建設,沒有長遠的網絡建設規劃,致使企業在壯大的過程中,網絡建設不能快步跟上,往往被忽視。中小企業網絡由于資金貧乏,技術力量不足等原因,在建設的初期就還可能留下許多漏洞與不足,這樣更容易被黑客攻擊。
4) 中小型企業用戶不能進行遠程數據信息的安全可靠傳輸,企業員工,或者領導外地出差,或者分支機構的網絡,就不能訪問企業網絡,不能遠程進行辦公,遠程快速的進行事務處理。
5) 中小型企業與合作伙伴之間沒有利用互聯網的優勢,在它們之間沒有建立一個企業擴展網絡,導致數據信息的安全交流和企業的密切合作收到影響。
在復雜的網絡環境下,解決中小型企業的遠程數據信息安全可靠的傳輸就變得越來越重要了,還需考慮方案的經濟實用,維護簡單容易。對于中小企業網絡中傳輸的重要數據信息,如財務報表等,必須保證數據信息完整性、可用性和機密性。完整性是數據信息在傳輸或存儲過程中保證沒有被修改,沒有被破壞,沒有被丟失等;可用性是數據信息可被授權實體訪問,并按需求使用的特性,即指定用戶訪問指定數據資源;機密性是保證數據信息網絡傳輸保密性和數據存儲的保密性,數據信息不會泄露給非授權的用戶、實體或過程。確保只有授權用戶才可以訪問指定數據資源,其他人限制對數據信息的讀寫等操作。
3 經濟實用安全方案
從中小型企業網絡現狀及需求,利用VPN技術跨越Internet組建中小企業擴展網絡,保證遠程移動用戶、企業分支機構和企業合作伙伴之間安全可靠的進行遠程數據信息傳輸。通過實踐實驗,研究出經濟實用,安全可靠,配置和維護比較容易的中小型企業網絡安全性解決方案,如圖1所示。VPN服務器也稱為VPN網關,可以使用高性能的計算機來擔當,并且安裝兩塊網絡適配器,一塊網絡適配器用于連接中小型企業內部網絡,分配內網IP地址,另一塊網絡適配器連接外部網絡,分配外網IP地址。VPN服務器是內網和外網連接的必經之路,服務于內外兩個網絡,也是內網的安全屏障,相當于中小型企業的防火墻,它可以完成對訪問企業網絡的用戶進行身份認證、數據進行加密解密處理、密鑰交換等。VPN服務器安裝Windows Server 2003操作系統,充分利用公共網絡Internet的資源,通過VPN技術,實現中小企業遠程數據信息傳輸的安全性、完整性,可用性和保密性。
3.1 IPSec VPN保證數據信息遠程安全傳輸
1) VPN技術
VPN又稱虛擬專用網,是在公共網絡中建立專用網絡,數據信息通過建立的虛擬加密“安全隧道”在公共網絡上進行傳輸,即充分利用公共網絡如Internet的資源,達到公網“私用”的效果。中小企業只需接入Internet,就可以實現全國各地分支機構,甚至全世界各地的分支機構,都可以隨時隨地的訪問企業網絡,實現遠程數據信息的安全可靠傳輸。而且VPN具有節省成本、配置相對簡單、提供遠程訪問、擴展性較強、便于管理維護、實現全面控制等好處,是企業網絡發展的趨勢。
2) IPSec協議
IPSec是一個開放的應用范圍廣泛的網絡層VPN協議標準,是一套安全系統,包括安全協議選擇、安全算法、確定服務所使用的密鑰等服務,在網絡層為IP協議提供安全的保障,即IPSec可有效保護IP數據報的安全,如數據源驗證、完整性校驗、數據內容加密解密和防重演保護等。保證企業網絡用戶的身份驗證,保證經過網絡傳輸過程中數據信息完整性檢查,加密IP地址及數據信息保證其私有性和安全性。
3) 基于IPSec的VPN技術
基于IPSec的VPN技術解決了在Internet復雜的公網上所面臨的開放性及不安全因素的威脅,實現在不信任公共網絡中,通過虛擬“安全隧道”進行數據信息的安全傳輸。IPSec協議應用于OSI參考模型的第三層網絡層,基于TCP/IP的所有應用都要通過IP層,將數據封裝成一個IP數據包后再進行傳輸,所有要實現對上層網絡應用軟件的全透明控制,即同時對上層多種應用提供安全網絡服務,只需要在網絡層上采用VPN技術,基于IPSec的VPN技術提供了5種安全機制,即隧道技術、加密解密技術、密鑰管理技術、身份驗證技術和防重演保護技術,通過基于IPSe c的VPN技術,來保證傳輸數據的安全性、可用性、完整性和保密性[1]。
(1)隧道技術,隧道也可稱為通道,是在公用網中建立一條虛擬加密通道,讓數據包或者數據幀通過這條隧道安全傳輸。使用虛擬“安全隧道”傳遞的數據可以是不同協議的數據幀或數據包。“隧道”協議分為二、三層隧道協議,第二層隧道協議先把各種網絡協議封裝到PPP中,再把整個數據幀裝入到隧道協議中。這種雙層封裝方法形成的數據幀依靠第二層協議來傳輸,第二層協議包括PPTP、L2TP等。第三層隧道協議是把各種網絡協議直接裝入到隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層協議有GRE、IPSec等。這里使用IPSec中的ESP(Encapsulated Security Payload)和AH(Authentication Header)子協議保護IP數據包和IP數據首部不被第三方侵入,在兩個網絡之間建立一個虛擬“安全隧道” 用于數據信息的安全傳輸。授權用戶,通過IPSec安全策略的配置實現對網絡安全通信的保護意圖,其安全策略包括什么時候什么地方對AH和ESP保護,保護什么樣的通信數據,什么時候什么地方進行密鑰及保護強度的協商。IPSec通過認證和鑰匙交換機制確保中小型網絡與其分支機構網絡或合作伙伴進行既安全又保密的信息傳輸。在計算機上裝有IPSec的終端用戶可以通過撥入ISP的方式獲得對公司網絡的安全訪問。
(2)加密解密技術,是為了保障虛擬“安全隧道”的安全可靠性,提供了非常成熟的加密算法和解密算法,如3DES、DES、AES等,抵抗不法分子修改或截取數據信息的能力,同時保證必須使偷聽者不能破解或解密攔截到的的數據信息,但是授權用戶可以通過解密技術,完整的訪問數據資源。
(3)身份認證技術是通過對企業分支用戶或遠程用戶進行身份進行驗證,提供安全防護措施與訪問控制,包括對VPN“安全隧道”訪問控制的功能,有效的抵抗黑客通過VPN通道攻擊中小型企業網絡的能力。通過VPN服務器對授權用戶的身份及權限的驗證,嚴格控制授權的用戶訪問資源的權限。在每個VPN服務器上為遠端用戶的身份驗證憑據添加用戶信息,包括用戶名及密碼,并且配置了用戶名與呼叫用戶所使用的用戶名稱相同的請求撥號接口。
(4)密鑰交換技術,為了防止密鑰在Internet復雜的公網上傳輸過程中而不被竊取。提供密鑰中心管理服務器,現行的密鑰管理技術分為SKIP和ISAKMP/OAKLEY兩種。VPN技術能夠生成并更新客戶端和服務器的加密密鑰和密鑰的分發,實現動態密鑰管理。如果采用L2TP/IPSec模式的站點到站點VPN連接,還需要在每個VPN服務器上同時安裝客戶端身份驗證證書和服務器身份驗證證書;如果不安裝證書,則需要配置預共享的IPSec密鑰。
(5)防重演保護。具備防止數據重演的功能,而且保證通道不能被重演。確保每個IP包的合法性和惟一性,保證信息萬一被截取復制后,或者攻擊者截取破譯信息后,再用相同的信息包獲取非法訪問權,確保數據信息不會被重新利用、重新傳回目標網絡,
3.2其他輔助安全措施
對VPN服務器,還可以啟動軟件防火墻功能,如安全訪問策略、日志監控等功能,還可以安裝殺毒軟件,為內網提供安全屏障,再次增加網絡安全可靠性能。軟件防火墻通過設置的包過濾規則,分析IP數據報、TCP報文段、UDP報文段等,決定數據包是被阻止,還是繼續轉發,從網絡層和傳輸層上再次給予安全控制,提供了多層次安全保障體系。還可以增加應用層的過濾規則配置,再次提升VPN服務器安全性。
4 實踐應用分析
通過實踐應用,跨越Internet的中小型企業網絡安全解決方案分別從網絡層、傳輸層和應用層三個層次上給予安全保障,該方案充分利用VPN的“公網專用”的特點,允許中小型企業擁有一個世界范圍的專用網絡,在公用網中開辟虛擬“安全隧道”來保證遠程數據信息傳輸的可靠性和安全性;通過輔助的防火墻功能,進一步增加其安全。該方案使用高性能的PC充當VPN服務器,并配以Windows Server 2003操作系統,無需額外的復雜硬件設備與高昂的系統軟件,成本低、經濟實用、容易實現、維護簡單,是中小型企業網絡擴展不錯的選擇方案。VPN服務器不但具備VPN技術的功能外,還是一個中小企業的防火墻,安全配置、安全策略容易實現,一旦出現較大安全威脅,便于快速隔離網絡。
當然此方案也存在一些缺陷,主要是有依賴操作系統的安全性,操作系統本身的漏洞可能會造成安全隱患;VPN服務器是集多種服務于一體,需要較高高性能的計算機;VPN服務器故障會導致網絡連接失效;由軟件實現數據加密與解密、包過濾等,一定程度會占用系統資源,也會使通信效率略有降低;同時重注企業內部員工的安全培訓,有效地抑制社會學的攻擊,對來自企業內部員工的攻擊顯得無能為力。
5 結束語
跨越Internet的中小型企業網絡安全技術方案比較經濟、實用、安全、配置簡單,為中小企業打造一個世界范圍的網絡提供了較有力的技術支持,使得中小企業網絡也融入到互聯網這個“大家庭”中,不僅提高了中小型企業的工作效率,而且增強了其競爭力,將推動中小型企業電子商務,電子貿易,網絡營銷走向繁榮,加快了中小企業網絡信息化和經濟快速發展的步伐。
參考文獻:
[1] 郝春雷, 鄭陽平.中小型企業敏感分支網絡安全解決方案[J].商業時代,2007,(21):45.
[2] 阿楠. VPN虛擬專用網的安全[J].互聯網天地,2007,(7):46-47.
[3] 李春泉,周德儉,吳兆華. VPN技術及其在企業網絡安全技術中的應用[J]. 桂林工學院學報,2004,3:365-368.
篇(8)
對于計算機的網絡病毒來講,其每一天都在不斷的進行變化,類別多種多樣,傳播的范圍相對較廣,傳播的速率較快,破壞性相對較強。大多數網絡病毒都是利用電子郵件或者網頁共享等形式傳播的。其作為一項攻擊性較強的程序,能夠長時間的隱藏在網絡軟件系統中,也能夠快速的攻擊計算機網絡,令其處于癱瘓,通過軟件系統的程序運轉及數據共享實施傳播。其不僅能夠對計算機的網速造成影響,同時還會損壞計算機內的重要資源與程序,嚴重的甚至使計算機的硬件設備出現損壞。
1.2非法侵入的危害
對于非法侵入來講,其存在很多形式,對信息的高效性及完成性造成選擇性的損壞,從而使部分數據丟失或外泄,非法占有系統資源。非法侵入能夠在不危害網絡的前提下截取重要的信息、數據,也能夠使服務系統崩潰。較為著名的“蠕蟲病毒”就是非法侵入的一種。
2維護計算機網絡安全的具體措施
2.1對計算機的網絡進行安全維護
想要保證計算機網絡環境的安全,可以從以下幾方面入手:其一,實行密碼的方法。當用戶通過網絡互相通信器件,最主要的威脅就在于信息的竊取。而利用一些復雜的密碼,并且每隔一段時間進行更換的方法就能夠高效的預防信息竊取的情況出現;其二,實行防火墻的方法。將計算機內部的防火墻打開,能夠良好的預防來自互聯網的攻擊。對于防火墻來激昂,其能夠在計算機同外部網絡環境之間建立一層防護。一般防火墻有個人計算機防火墻及硬件防火墻兩種類別;其三,定期對計算機及網絡系統的情況進行檢查。通過這種方法能夠及時發現系統故障,從而減少危害。同時,需要對計算機網絡的設備及主服務器進行細致檢查,如遇問題,盡快修復,從而確保計算機始終處在最佳的運行狀態下。
2.2預防病毒入侵
因為病毒侵染造成計算機不能順利工作的情況經常出現,一般計算機在感染病毒以后會發生藍屏、死機、無法啟動等情況。當計算機應用一定時間以后,系統速率會變慢,甚至發生數據丟失的問題。現今,網絡是傳遞病毒的重要途徑,想要保證計算機可以正常應用,高效預防病毒入侵,就需要從以下幾方面入手進行預防:其一,為計算機加裝正版的殺毒軟件,例如:瑞星、360等,同時確保殺毒軟件始終處在自動更新的情況,每個一段時間需要對軟件的殺毒及更新情況進行檢查;其二,在下載并安裝一些軟件前需要慎重,安裝前先通過殺毒軟件進行檢查,然后才能夠進行安裝操作。部分壓縮包得軟件能夠自行安裝,所以,不可以隨意打開,而需要先將其解壓,殺毒后方可進行安裝;其三,每個一段時間需要對計算機實施全面、整體的殺毒操作,同時經常關注新聞,了解是否存在新型的病毒;其四,每隔一段時間下載同時安裝系統的安全補丁。現今,大多數軟件公司都會及時的其產品的補丁。如果程序存在漏洞,很容易讓人有可乘之機,通過定期檢查并安裝補丁能夠保證計算機安全工作。
2.3保證數據信息的安全
在計算機內,有很多重要的數據信息,如果丟失,很容易造成個人或集體的利益受到傷害,所以,需要保證數據信息的安全。對數據信息進行加密處理能夠高效增強計算機及數據的安全性與保密性,并且預防出現外部損壞及丟失等情況。利用各種加密的方法確保數據各個過程處在安全狀態,就算被他人獲取,也無法進行識別。盡管數據加密的方法較為被動,然而其安全性能相對較高,是不可缺少的網絡安全維護措施之一。
篇(9)
引言
伴隨醫院信息化建設腳步的不斷推進,眾多醫院掛號、門診、住院等各個流程產生的數據均實現了網絡傳輸,網絡安全在全面醫院信息系統安全中扮演著越來越重要的角色。引入一系列先進技術強化對網絡的管理、促進網絡結構優化,是保證網絡安全的一大保障。虛擬局域網作為可靠、高效的信息網絡管理系統,其可為醫院網絡安全建設打下有力基礎,在醫院網絡安全建設中可發揮至關重要的作用。虛擬局域網技術的推廣極大水平上推動了醫院工作的開展,然而在發展過程中如何解決安全保障問題是當前的一大關鍵,醫院唯有在更可靠、更安全的網絡建設中,方可有序高水平的開展工作,這同樣是醫院網絡安全有序發展的前提。由此可見,對虛擬局域網下醫院網絡安全建設開展研究,有著十分重要的現實意義。
1虛擬局域網技術概述
虛擬局域網指的是經由將局域網內的設備邏輯地而并非物理地劃分為各個網段,進一步實現虛擬工作組的技術。換言之,虛擬局域網是網絡設備上連接的不受物理位移影響的用戶的1個邏輯組。可將各個邏輯組概括為1個特定的廣播域;各個虛擬局域網均涵蓋了1組有著一致需求的計算機終端,以物理上形成的局域網有著一致的屬性。通常而言,虛擬局域網在交換機上實現方法,主要包括四種劃分策略,即分別為以端口為前提劃分的虛擬局域網、以MAC地址為前提劃分的虛擬局域網、以網絡層協議為前提劃分的虛擬局域網以及以IP組播為前提劃分的虛擬局域網。其中,以端口為前提劃分的虛擬局域網指的是結合交換機上的物理端口開展的劃分,其優點在于可直接定義,劃分便捷,易于實現,技術完善;不足之處則是用戶物理位置發生變化時,要求重新進行定義,缺乏靈活性;其通常適用于各種規模的網絡。以MAC地址為前提劃分的虛擬局域網指的是結合用戶主機MAC地址開展的劃分,其優點在于用戶移動時,虛擬局域網無需重新定義;不足之處則是設備初始化,要求對每一位用戶進行定義;其通常適用于小型局域網。以網絡層協議為前提劃分的虛擬局域網指的是結合IP、Banyan、DECnet等網絡層協議開展的劃分,其優點在于可依據協議不同類型對虛擬局域網進行劃分,且廣播域可實現對不同虛擬局域網的跨越;不足之處則是效率偏低,技術不完善;其通常適用于同時運行多協議的網絡[1]。以IP組播為前提劃分的虛擬局域網指的是一個IP組播即為一個虛擬局域網,其優點在于靈活性高,易于經由路由器實現擴展;不足之處則是設置難度大,效率偏低,技術不完善,通常適用于處在不同地理范圍的用戶組成的網絡。
2醫院網絡安全建設面臨的主要困境
2.1對網絡安全建設缺乏有效認識
伴隨信息時代的飛速發展,網絡安全建設越來越為諸多行業領域所關注,醫院同樣如此。然而現階段,醫院網絡安全建設依舊處在初級發展階段,網絡安全建設還存在各式各樣的問題,人們并未對網絡安全建設形成有效認識,因為認識不足使得在網絡設備引入后其作用難以得到有效發揮,造成各項設備未能切實為醫院醫療服務工作創造便利,因而應當提高對網絡安全建設的有效認識,方可讓網絡安全建設切實為醫院所用。
2.2缺乏健全的網絡安全保障
在醫院網絡安全建設中,諸多安全問題往往會被忽略,而網絡安全顯然是網絡安全建設中的重要內容。一些醫院在網絡信息管理中表現出安全意識不足,缺少計算機相關人力、物力的投入,對網絡設備管理維護缺乏足夠重視,往往會在應用過程中出現因故障而無法使用的情況。近年來,醫院面對龐大的醫療數據、信息,對網絡信息系統變得更加依賴。而由于缺乏健全的網絡安全保障,使得信息數據難以得到有效備份,一旦遭受病毒或者不法分子的攻擊,使得醫院信息數據被篡改、盜取等,必然會對醫院帶來極大的損失。
2.3缺乏完善的網絡系統管理
醫院網絡系統管理缺乏一個切實完善的制度標準。首先,在設備維護方面,系統管理人員對設備保護認識不足,未能開展定期清理,長此以往,對設備使用性能造成不利影響。其次,一些系統管理人員對工作管理制度缺乏足夠重視,應用網絡設備做與工作不相干的事情,對設備運行速度造成不利影響,因而這些均屬于醫院網絡系統管理中亟待解決的問題。
3虛擬局域網下醫院網絡安全建設策略
虛擬局域網技術的推廣極大水平上推動了醫院工作的開展,然而在發展過程中如何解決安全保障問題是當前的一大關鍵,醫院唯有在更可靠、更安全的網絡建設中,方可有序高水平的開展工作,這同樣是醫院網絡安全有序發展的前提。在信息時代背景下,全面醫院應當緊緊跟隨時代前進步伐,不斷開展改革創新,強化對先進發展理念的學習借鑒,切實推動醫院網絡的安全有序運行。如何進一步強化虛擬局域網下醫院網絡安全建設可以將下述內容作為切入點:
3.1虛擬局域網在醫院網絡安全建設中應用優勢
醫院網絡安全建設中應用虛擬局域網技術具備一系列優勢,主要包括有:(1)阻止廣播風暴,提升網絡整體性能。在局域網中各個工作站均會發送出廣播信號并獲取大量的響應,極易引發局域網中的廣播風暴現象,因而在虛擬局域網組中,將局域網中各項業務工作依據內容不同開展劃分,以實現廣播信號之間的有效隔離,進而切實解決由于廣播信號泛濫而引發的網絡阻塞問題[2]。與此同時,依托虛擬局域網技術可將網絡的諸多資源配置給需要的部分使用,一方面確保不同部門相互間網絡資源需求的最大化,一方面盡可能提升醫院網絡使用效率,提升醫院網絡整體性能。(2)促進網絡的安全有序運行。傳統局域網中傳輸的數據報極易受到相同網絡中任一設備操作截取,進而對醫院信息安全帶來極大威脅。虛擬局域網劃分完畢后,均需要經由路由來轉發局域網相互間的數據,沒有路由的局域網則會轉變為一個獨立的局域網,其對應的安全性能同樣可得到有效提升。(3)為網絡管理、維護創造極大便利。將各項工作依據業務內容差異劃分至各個虛擬局域網中,有利于系統管理員開展集中管理,無需再移動工作站便可靈活地將工作由一個局域網轉入至另一個局域網,針對移動的辦公用戶,局域網還對這一移動設備的接入點進行自動識別,其性能與在本單位的局域網中無明顯差異,倘若某一局域網中引發故障并不會對其他網絡設備運行造成影響,進而為系統管理員在開展故障排除時提供有效便利[3]。
3.2虛擬局域網在醫院網絡安全建設中應用實例
以端口為前提與以IP組播為前提相結合劃分的虛擬局域網,其沿用了最常規的虛擬局域網成員定義方法,操作簡單,易于推廣應用。醫院網絡有著節點多、分布范圍廣等特征,因而可推行核心層、匯聚層以及接入層的層次化設計模式,真正意義上確保網絡的可擴展性。于Extream核心交換機上依據端口劃分成VLAN2、VLAN3等多個虛擬局域網,同時逐一對應醫院內部的多個不同部門。通過對三層交換機的統一應用,核心層、匯聚層可實現有序轉發;同時,核心層、匯聚層采取光纖技術接入,獲得千兆級帶寬。依據各個業務層,將匯聚層交換機端口劃分成各個虛擬局域網,虛擬局域網劃分相應的IP地址,某一虛擬局域網中計算機便以其地址為網關,其他虛擬局域網則不可與這一虛擬局域網處在同一子網。相同虛擬局域網的不同交換機端口的相互訪問,可依托IEEE國際標準VLANTrunk得以實現。可將兩臺交換機級聯端口調節成Trunk端口,如此一來,在交換機將數據包由級聯口傳輸出去過程中,會于數據包中做一標記,以便于其他交換機識別這一數據包屬于哪個虛擬局域網,然后,其他交換機接收到該數據包后,便會將這一數據包傳輸至對應指定的虛擬局域網,進一步實現跨越交換機的虛擬局域網內部數據傳輸接收[4]。虛擬局域網技術在醫院網絡安全建設中的應用,可極大水平減少醫院信息網絡數據包的傳輸,提升網絡傳輸效率。與此同時,因為各個虛擬局域網必須要通過路由器轉發方可完成通訊,由此為高級安全控制創造了可能,進一步極大水平提升了醫院信息系統管理人員的管理效能及網絡安全性。
4結束語
總而言之,當前時代背景下,醫院網絡安全有序運行與否,很大程度上影響著醫院醫療工作的有序運行。鑒于此,醫院相關人員務必要不斷鉆研研究、總結經驗,提高對虛擬局域網技術內涵特征的有效認識,強化對醫院網絡安全建設面臨主要困境的深入分析,強化對虛擬局域網技術的科學合理應用,積極促進醫院網絡的安全有序運行。
參考文獻:
[1]張劍,張巖.虛擬局域網技術在醫院網絡建設中的應用[J].解放軍醫藥雜志,2010,22(06):563-565.
[2]呂曉娟,王瑞,郭甲,等.運用虛擬局域網技術加強醫院網絡安全建設[J].醫學信息(中旬刊),2011,24(07):3130-3131.
篇(10)
智能建筑區域數據庫中的數據必須具有以下特殊性:首先是獨立性,包括物理數據獨立性,即改變內部模式時無需改變概念或外部模式,數據庫物理存儲的變動還會影響訪向數據的應用程序;邏輯數據獨立性,即修改概念模式時無需修改外部模式;其次是共享性,數據庫中的數據應可被幾個用戶和應用程序共享;最后是持續性,即數據在整個設定有效期內穩定保持。
數據庫有三個主要組成部分:數據、聯系、約束和模式。數據庫管理系統則是為數據庫訪問服務的軟件,它應為支持應用程序和操作庫中的數據提供下列服務:事務處理、并發控制、恢復、語言接口、容錯性、數據目錄、存儲管理。
智能建筑中的數據庫系統(含子數據庫系統)與某些商業系統相比,雖然規模不大,但功能復雜、性質迥異,因而主數據庫與各子系統數據庫的集成有著很高的技術難度,可以說是現有各種數據庫技術的集成。理想的智能建筑數據庫系統應具有以下特性:開放性面向對象,關系型,實時性、多媒體性、互操作性、分布性、異構性等。所以一個理想的智能建筑(集成)數據庫體系應該是開放的,面向對象的、關系型的、實時的,分布式的或操作的多媒體異約數據庫體系。這一體系的安全保障:
首先是安全性,即數據庫在數據不得被非法更改或外泄。同時,智能建筑數據庫中的數據也具有其他一般特性,如一致性等。其次是安全保障,智能建筑中各子系統數據庫必須能免受非授權的泄露導致更改和破壞,每個用戶(也包括各子系統)和應用程序都應只擁有特定的數據訪問權,以防非法訪問與操作。這一功能在FAS、SAS及某些OSA系統中是必不可少的。
因特網的數據庫訪問技術和遠程監控的框架及房地產信息網絡的安全措施
首先,因特網的數據庫技術相結合的Web數據庫的應用,實現了信息從靜態向動態的轉變,而其中遠程數據服務是核心。
目前比較流行的Browser/Server模型是采用三層模式結構:表示(Browser),提供可視界面,用戶通過可視界面觀察信息和數據,并向中間層發出服務請求;中間層(WebServer)實現正式的進程和邏輯規則,響應用戶服務請求,是用戶服務和數據服務的邏輯橋梁;數據庫服務層(DBServer),實現所有的典型數據處理活動,包括數據的獲取、修改、更新及相關服務。
Browser端一般沒有應用程序,借助于Javaapplet、Actives、javascript、vabscvipt等技術可以處理一些簡單的客戶端處理邏輯,顯示用戶界面和WebServer端的運行結果。中間層負責接受遠程或本地的數據查詢請求,然后運用服務器腳本,借助于中間部件把數據請求通過數據庫驅動程序發送到DBServer上以獲取相關數據再把結果數據轉化成HTML及各種腳本傳回客戶的Browser、DBServer端負責管理數據庫,處理數據更新及完成查詢要求,運行存儲過程,可以是集成式的也可以是分布式的。在三層結構中,數據計算與數據處理集中在中間層,即功能層。由于中間層的服務器的性能容易提升,所以在Internet下的三層結構可以滿足用戶的需求。
其次,遠程監控的框架。
基于因特網的樓宇設備運程監控結構,這個結構是基于NT的平臺上。對于市場上的BA系統,如江森和霍尼維爾等,他們系統內置有專用的數據庫,并提供有接口可以轉化為標準的數據庫,通過前面提供的方法,用戶可以從遠程通過調用數據庫來了解整個BA系統的情況。如果他想獲得BA系統的實時狀況和實時控制BA系統可以直接通過相應的CGI程序監控BA系統。
通過這樣的結構,授權的用戶可以在遠程獲得建筑設備每一個部件的相關數據,除了數據監測和報警功能之外,還有比如數據記錄趨向預測、基本維護等功能。現代的BAS系統包括數以千計的外部點,所以傳輸的數據必須經過優化僅僅是關鍵數據才應該在BAS和遠程使用者間傳輸。而在房地產建筑設備中,
HVAC系統和照明系統最耗能的,在開率控制系統的功能時,用戶的滿意程度是主要的參考因素,所以目前建筑設備的控制和足夠通風量;照明系統,為房客和公用區提供足夠照明;報警系統有,對煙、火警的探測和處理;傳送系統有升降機,傳送帶,運輸帶和自動門,電力供應系統等。
在大多數BAS系統中,主要是四類信號:模擬輸入、模擬輸出、數字輸出、數字輸入。對于一個具體的BAS系統而言,它的輸入輸出包括煙感探頭狀態,空氣混合室、中過濾器狀態,識別空調房間情況的傳感器等;二進制輸出包括回風機、送風機、VAV控制盒、照明、報警等;模擬量的輸入包括回風和室外新風的溫濕度;送風壓力,VAV控制盒的空氣流動速度,送回溫度、房間溫度、回風溫度等;模擬量輸出包括送風、回風的風速,冷水的流動速度等。所以可將需要遠程傳輸的信號可以分為五類進行傳輸狀態類、感受器類、報警器類、趨勢類和控制類。版權所有
在現代化的房地產建筑中智能建筑建設與網絡營銷的原則為:業務為導向,市場為支力,網絡為基礎,技術為支撐,效益為根本,服務為保障
智能建筑設備給人們帶來方便的同時,也給自己帶來了一個個不速之客——黑客、信息網絡及網絡炸彈和因之而來利用網絡犯罪分子,在方便自己的同時,也為那些離智能的犯罪分子帶來了一個靠近自己便捷的通道。毫無疑問在HTML語言規劃制定和Vbscript及javascript文件操作功能被現代建筑設備中廣泛應用的同時,房地產信息網絡安全不由自主地成為我們首當其沖的問題。
如前邊所述,在利用數據庫和因特網技術監控的同時,房地產信息網絡的安全問題的措施也應運而生。
而網絡“營銷”需要兩個條件:一是采取傳統的市場營銷手段;二是在網上提供價格有吸引力的商品。應該說至少到目前為止,傳統營銷與網絡營銷實質上是房地產整體營銷策略的兩個有機組成部分。傳統營銷的對象是房地產網站本身和房地產企業品牌,而網絡營銷的對象是有關企業的大量信息,這兩部分是缺一不可的,只有整合才能使其發揮最大的功效。
