常见信息安全问题精选(十四篇)
发布时间:2023-10-11 17:26:07
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇常见信息安全问题,期待它们能激发您的灵感。
篇1
关键词:计算机;网络信息安全;防护措施
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2014)25-0067-02
随着IT业的飞速发展及信息技术的日渐普及,有利地推动了全球经济的快速发展,同时为信息的保存和实时交换创造了高效的方法。它已经扩展到了很宽的领域,它的运用已经扩展到平民百姓家中。一方面,网络给人们的生活带来了很多方便,另一方面,信息的安全问题也变得越来越普遍。网络的发展既有优点也有缺点,因此,网络信息安全技术在解决计算机网络常见的信息安全问题中起到了重要作用,同时要高度重视网络信息安全技术的研究。
1 计算机网络安全的概念
1.1 计算机网络安全的定义
计算机网络安全在狭义上是指根据网络特性,利用相应的安全措施来保护网络上的系统、信息资源以及相关软件的数据,从而可以摆脱自然因素和人为因素带来的干扰和危害。
计算机网络安全在广义上是指所有和计算机网络相关的技术和理论问题。计算机网络安全在广义上主要包括三方面的内容,第一方面是指信息的保密性和信息的完整性;第二方面是指信息的真实与可控性;第三方面是指信息的可用性与实用性。
1.2 计算机网络安全的特点
1.2.1 计算机网络安全的可靠性。计算机网络安全的可靠性是指对网络系统的实时可靠情况进行及时分析,计算机网络安全的可靠性要求不论在什么情况下,要确保网络系统的正常工作不会受到内在和外在因素而带来的负面影响。
1.2.2 计算机网络安全的完整性。计算机网络安全的完整性是指数据信息的完整性,计算机网络安全的完整性要以数据是否授权为基础,数据的改动要建立在数据被授权的基础上,反之,则不能改动。因此,信息完整性不但可以保障数据信息使用的过程中不会被修改和破坏,而且还可以避免在此过程中相关信息的丢失。
1.2.3 计算机网络安全的可用性。计算机网络安全的可用性是指数据信息可以满足使用者的需求和具体要求。即当我们需要使用某些数据时,可以对所需信息进行数据存取操作。
1.2.4 计算机网络安全的保密性。计算机网络安全的保密性中常用的技术是密码算法技术,密码算法技术可以通过对数据信息进行算法加密来实现数据相关信息不经允许不泄露给未授权方的目的。
2 制约计算机网络安全的因素
2.1 客观因素
2.1.1 计算机网络的资源共享。资源共享是计算机网络的一大优点,同时资源共享也是人们所偏爱的功能。网络不受国界和语言的限制。不论你身在何方,只要在你的身边有计算机网络的存在,就可以随时进行信息传输和交流。因此,资源共享也会给系统的安全性带来巨大的挑战,网络入侵者可以利用数据在网上传播的过程中通过计算机监听网络,同时获取相应的数据,破坏网络上的资源共享。
2.1.2 计算机网络的安全漏洞。计算机网络由于受到各种因素的制约,在这个过程中存在着多种系统安全漏洞,各种安全问题和严重事故是由计算机本身存在的各种技术缺陷导致的。这些漏洞和缺陷经常在时间推移的过程中被用户忽视,从而构成了系统安全的潜在威胁。
2.1.3 计算机网络的设计缺陷。拓扑结构和硬件设备的选用等是计算机网络设计的重要内容。由于设计人员在设计过程中没有实现最优配置,这个原因就使系统存在设计不规范、可扩充不强、安全性缺乏和稳定性差等方面的问题。设计不规范、可扩充不强、安全性缺乏和稳定性差等方面的问题是影响网络系统的设备、协议和OS等的主要因素,这些因素也会给网络信息带来一定的安全隐患。
2.1.4 计算机网络的开放性。任何用户在网络上能够方便地访问Internet资源,同时可以查找和下载对自己有用的信息。同时,网络信息在通信过程中遇到的各种威胁会使其线变得非常脆弱。如:TCP/IP为全球信息的共享提供了途径和方法,TCP/IP的安全漏洞严重影响了计算机网络的安全性;FTP和E-mail是信息通信的常用工具,FTP和E-mail也存在很多潜在的安全漏洞。
2.1.5 计算机网络的威胁。(1)计算机网络的无意威胁通常是指无预谋地破坏网络系统安全和破坏网络资源的信息完整性。计算机网络的无意威胁主要是指网络威胁的偶然因素。如:垃圾数据是由突发性的软件和硬件设备的功能出错而产生的,这些垃圾数据会造成网络受阻,更有甚者会导致无法正常通信的情况;主机重复发出具有攻击性的Server请求是由人为错误操作导致的软件和硬件设备损坏会导致的。(2)计算机网络的有意威胁。计算机网络的有意威胁实际上包括人为威胁和人为攻击。通常情况下,计算机网络的有意威胁主要是由网络的脆弱性造成的。计算机网络的有意威胁主要包括以下几方面:电子窃听;非法入网;工商业间谍;军事情报员;由于盗窃等原因使得网络硬件破坏也会给网络造成威胁。
2.2 主观因素
2.2.1 计算机网络缺乏安全措施。网络终端的管理人员在配置防火墙的过程中由于不按规定操作,在这个过程中有意或无意地扩大了网络资源被访问的便利性,网络终端的管理人员为了使网络资源在方便自己使用的过程中却忽视了网络的入侵性,导致了安全措施的缺乏,安全措施缺乏就导致了网络信息安全问题的存在和发生。
2.2.2 计算机网络的配置错误。计算机网络的配置有很多特点,复杂性是计算机网络的配置的主要特点,由于计算机网络配置的复杂性的特点就使得计算机网络在访问控制的过程中会出现配置失误和漏洞等问题,计算机网络的配置错误会给非法操作者提供进入的有利时机。
2.2.3 管理人员渎职。由于网络化时代的出现和快速发展,网络化在发展的过程中由于缺乏健全和完善的网络管理制度,很多管理人员由于缺乏网络管理的正确的思想意识,因此,管理人员在进行管理和维护过程中,管理人员渎职的情况经常发生。
2.2.4 电磁泄漏。内部信息在管理的过程中出现的数据库泄密是由于信息数据的传输中的屏蔽不佳而造成的电磁辐射而引起的,电磁泄漏是造成计算机网络安全的一个重要因素。
3 计算机网络信息安全的防护措施
3.1 物理安全防护措施
物理安全防护措施的众多的目的中,有效保护和维护计算机的网络链路是物理安全防护措施的主要目的,从而使计算机网络能避免自然因素和人为因素的破坏。物理安全防护措施主要是为了验证用户身份和进入权限,通过物理安全防护措施强化网络的安全管理,从而可以有效地确保网络安全。
3.2 加强安全意识
物质决定意识,意识是客观事物在人脑中的反映,正确的意识促进客观事物的发展,错误的思想意识阻碍客观事物的发展。因此,在计算机网络的维护中,要树立正确的思想意识,克服错误的思想意识,从而,促进计算机网络又好又快地发展。
3.3 加密保护措施
加密技术的出现有利于确保计算机网络的安全运行,加密技术有利于保障全球EC的高速发展,并且加密技术也有利于保护网络数据的安全性。加密算法可以使信息在整个加密过程中实现其安全性和正确性。加密保护措施中常用的方法有两种,一种是对称加密算法,另一种是非对称加密算法。通过安全加密措施,能够以极小的代价获得强大的安全保障措施。
3.4 防火墙措施
防火墙在计算机网络中是一种安全屏障,这种安全屏障通常在保护网和外界间之间使用,防火墙措施有利于实现网络间的控制与访问的目的,通过鉴别以及各种限制措施可以防止外网用户非法进入和访问内部资源,通过鉴别以及各种限制,保护内网设备。防火墙措施是保障计算机网络安全的一项重要措施。
3.5 网络安全措施
我们通常所说的网络安全措施是指对有关安全问题采取的方针和对安全使用以及网络安全保护的一系列要求。网络安全措施主要包括保障网络安全的整个过程中所运用的安全技术、运用的安全防范技术和措施以及采取的管理措施以及管理方针。
4 结语
本文的研究说明了计算机网络常见的信息安全问题及防护措施,通过本文的研究得出了关于计算机网络常见的信息安全问题及防护措施等一些规律性的东西,解决了计算机网络常见的信息安全问题及防护措施中遇到的理论和实际问题。同时也希望以本文的研究为契机,推动我国计算机网络安全高速的发展,保障国家计算机网络的安全运行。
参考文献
[1] 宇.计算机网络安全防范技术浅析[J].民营科技,2010,(5).
[2] 禹安胜,管刚.计算机网络安全防护措施研究[J].电脑学习,2010,(10).
篇2
关键词:供电企业;信息化建设;安全
中图分类号: C29 文献标识码: A
前言
企业生产销售、经营管理和技术的开发等领域是不断的达到社会经济效益和全面提高管理水平的整个过程。目前,供电企业已经建立了一套完成的包括文件处理、财务、人力资源、生产管理等各个专业的应用信息系统,全面促进企业发展,提高企业在社会市场的竞争。随着电力行业的高速发展,社会民众对供电企业的服务需求逐渐增多,这对企业信息化建设水平提出了更高的要求。面对社会发展的新形势,供电企业必须在先进信息技术基础之上,抓住信息化建设这一机遇,实现跨越式发展,争取早日建设成为一个优秀的现代公司。
1. 供电企业信息化建设安全常见问题及原因
1.1、重应用,轻管理的思想意识
供电企业信息化建设开展和实施以来,许多工作人员并没有在思想上转变传统的工作模式,依然只是将信息化建设和管理作为一项应用型工具,以为就是简单的计算机应用工作,缺乏必备的网络和信息数据安全管理知识。即便有些人了解到信息化建设安全的重要性,但是对于如何防范的措施却一知半解。还有大部分人存在侥幸心理,认为一切从简,密码简单、不开启防火墙、不备份数据文件、对于共享和可见性以及远程操作等关键环节更是随心所欲,造成供电企业信息化建设安全危机重重。
1.2、供电企业信息化人才短缺
在人才培养方面,供电企业更重视安全生产、营销服务等专业人才培养,对计算机、网络、通信方面人才不够重视,这让信息人才对企业归属感不强,感觉缺少发展空间。在人才管理机制方面,由于人才激励效果不明显,绩效考评制度不健全,导致供电企业的人才培养机制有效性不强。供电企业内管理专业工作人员对信息技术知识知之甚少,而信息技术管理人员又不懂安全生产、营销管理等业务,复合型人才严重短缺,也使企业务与信息技术相互不能有效的整合。在人员配置上,基层供电企业的计算机、网络、通信管理人员数量较少,信息化专业班组成立刚刚几年,如遇计算机、网络突发状况,无法及时处理。
1.3、缺乏有效的病毒防治管理
网络病毒是信息化建设安全的最大威胁之一,对于供电企业信息化建设安全来讲,重点就在于对网络病毒的防治和管理。网络病毒的防治和管理是一项长期且艰巨的任务,目前没有任何系统可以对所有病毒都具有防护的功能。而供电企业的基层单位对于病毒的防治大多数也只是安装单一的网络杀毒软件,再无其他的病毒防治预案。管理工作也通常比较简单和疏松,当杀毒软件无法识别或者根除一些病毒或者木马时,相应的技术人员也只是自己通过其他途径寻找解决方案,一旦实在无法解决就要面临重装系统,丢失所有当前数据文件信息的风险;更为严重的甚至会造成业务系统的崩溃,导致正常的工作难以进行。
1.4、供电企业信息化建设安全性不高
供电企业信息化建设是以局域网为基础的,网络通畅和安全问题是企业开展信息化建设必须考虑的重要问题。局域网络每一次发生故障,都会导致企业业务运行陷入瘫痪状态,其带来的损失难以估计。目前,造成供电企业信息化建设安全问题的原因主要有四个方面:一是杀毒软件没有真正发挥作用,目前全省供电企业已经安装了统一的杀毒软件,但在及时更新和升级方面还存在一些问题;二、计算机配置硬件水平参差不齐,一些基层单位仍在使用的计算机老旧,甚至不能安装较大的杀毒软件,否则无法启动,更谈不上安全性了。三是,计算机的管理人员与应用人的安全意识薄弱,殊不知竟有75%以上的安全问题是由于组织内部人员的不正常使用引起来的。四、局域网络运行可靠性低。在县供电企业局域网络基本为十年前建成,局域网络为单一通道,没有备用线路,一旦发生光缆损坏,涉及的单位通信终端,各项工作基本处于瘫痪状态,特别一些供电所位于偏远山区,一旦出现通信故障,维修耗时较长,影响正常工作。另外,机房等局域网重要节点缺少备用电源,一遇故障停电,全部网络中断。
2. 提高供电企业信息化建设安全的措施
2.1、建立健全信息化建设安全管理和考核机制
供电企业信息化建设安全管理是一项动态的、灵活的工作,不仅仅是引进了新的技术或者新的安全体系就能马上见效的,还要靠平时的管理和监测。技术所能起到的作用就是预防更多的已知的安全隐患;而管理则是灵活的,实施的主体以人为主,可以通过建立各种安全管理制度,用技术来对人进行约束和管理,真正发挥人的灵活性和主动性,在安全威胁来临之前就发挥防控作用,不给安全威胁发生的机会。同时,还要针对供电企业信息建设安全的特点建立一套涵盖引进标准、风险性评估和技术应用规范的安全管理体系。落实安全岗位职责,推行责任制,严格按着相关法律法规的标准结合企业实际的安全等级要求进行信息安全管理系统的建设和管理。将安全管理融入到信息系统的各个环节当中,实现每个环节的自管、自查和自评,再通过不定期的岗位临检,来考核信息化建设安全的各个环节是否达到规定的标准,提高信息化建设安全的重视程度,强化信息化建设安全意识。
2.2、培养信息化人才
供电企业应通过平等待遇、增强激励等方式培养一批高效的、专业的信息化建设人才。把信息化建设和业务管理放在同等的地位对待,在日常工作中,积极开展信息化专业人员培训、岗位练兵、专业竞赛等活动,为从事信息岗位员工提供发展空间和施展才能的平台,加强信息化人才储备,提高信息化人才在供电企业中的地位。加强企业其他员工信息化知识培训学习,营造良好的学习氛围,提高企业整体信息化应用水平。进一步培养复合型的人才,特别是在管理层要培养一批既懂业务管理又懂信息技术的管理人员,这样在管理上才能进一步提高水平。建立和完善供电企业信息化方面的人才管理和评价机制,采取合理有效的激励和绩效考核手段,调动员工积极性,不断完善用人制度,通过竞争、择优上岗,优化人力资源配置。
2.3、加强移动存储介质的控制和管理
鉴于移动存储介质的广泛应用和其实际应用中的便携性、灵活性,供电企业信息化建设安全部门应该根据行业的实际情况制定一些有效的移动存储介质使用标准和规范,并进行全员的教育和培训。其内容可以从移动存储设备的插拔使用、读写开关应用、加密设置和定期杀毒要领等基础知识展开。使企业内部的人员熟练掌握移动存储介质的基础知识和安全使用方法,逐步提高安全防范意识,养成良好的移动存储介质使用习惯。移动存储介质使用的具体安全管理工作可以从以下几个方面做起:一是妥善保管防止遗失;二是专职专用,严禁外借;三是定期杀毒;四是采取“双备份”原则;五是杜绝任何形式的非法外联操作。
结束语
综上所述中可以看出,供电企业信息化建设安全保障是一项综合技术和管理为主要内容的工作。供电企业信息系统的安全管理是一项综合性较强的课题,不仅仅涉及到了应用、技术和管理,还包括信息系统自身的安全性能以及物理和逻辑上面的计算的相关措施,技术仅仅只是解决某个问题的技术。因此,供电企业信息化安全建设是一项长期的、灵活的,需要供电企业全体人员共同参与的工作,还需要我们不断的努力学习和创新。
参考文献
[1]赵若楠,李瑞娇.供电企业信息化建设相关问题探讨[J].网络安全技术与应用,2013,11.
篇3
【关键词】移动通信系统安全威胁解决对策
信息技术在科技不断发展的背景下越来越具有全球化的趋势,多种网络技术相互融合、信息覆盖范围不断扩大,业务领域不断增加。除了和数据有较强的相关性外,移动通信系统不断扩大业务范围,已经涉及到多个领域,如互联网、电子商务及多媒体等。移动通信系统不仅大幅改善了信息交换的速度,而且满足了客户的多种需求,受到了用户的好评。目前使用3G移动通信系统的用户越来越多,本文选取3G移动通信系统作为研究对象,围绕其存在的一些安全问题及解决对策展开深入探讨。
一、3G 移动通信系统的发展
3G的概念最早是由国际电联在1986年提出来的,作为同多媒体整合在一起的通信系统,3G实现了互联网同无线通信的有机结合,它不仅可以满足用户的通话要求,而且提供了更多的优质服务,可以满足一些非语音业务需求,如视频、图片及电子商务等。3G移动通信系统代表的是第三代移动通信技术,“the third gen-eration”是3G的英文全称。3G移动通信系统越来越受到客户的青睐,业务范围不断扩大,它力图实现多媒体业务,如互联网同移动业务的有机结合,逐渐开放原本闭塞的互联网络,不仅降低了投资,而且增加了业务量,为客户带来了更多优质的服务。3G移动通信系统赢得了越来越多的客户,这极大地推动了企业的发展。在这些成果背后,也隐藏了一些不足,网络安全问题就是其中的一个。
二、3G移动通信系统中存在的安全问题
2.1移动通信系统的安全威胁
①攻击系统的保密性。主要通过多种方式,如泄露、侦听、浏览、伪装及试探等非法获取一些敏感数据。②网络服务的干扰与滥用。即通过各种途径,如滥用特权、滥用服务、耗尽资源等降低通信服务质量,有时还会拒绝服务。③非法操作敏感数据。3G移动通信的诞生为人们的生活带来了更多的便宜,相当于带来了一场生活方式的变革。但在这背后却也隐藏着安全隐患,吸引了众多眼球。相比于2G系统简单的数据及语音服务,3G系统带来的服务更多,如提供电子商务、互联网等信息服务。从这一层面来讲,2G系统所提供的安全技术已经远不能满足要求,所以3G系统的安全问题自然备受关注。我国信息化战略面临的一个重要问题,或者说首要问题即如何保证3G系统的安全。信息篡改是3G系统安全研究的重要方面,因为这会威胁到信息的使用价值。④非法访问服务。主要是通过伪装来攻击网路,如伪装成授权服务网络或用户来访问一些未授权的服务或者对访问权限加以滥用。⑤否认。即否认发生的动作,一般由用户或网络做出。
2.2对 3G 移通通信系统无线接口的安全威胁
威胁3G系统无线接口的隐患表现为以下几点:一是非法获取未授权的数据,攻击者主要通过伪装用户或窃听网络对用户的业务、数据或信令进行主动或被动分析来实现的;二是拒绝服务,主要通过干扰来实现,包括通过物理手段阻塞无限端口的物理级干扰,通过干扰特定协议流程导致失败的协议级干扰,通过伪装成网络服务对用户提出的请求加以拒绝的伪装干扰;三是攻击数据完整性,主要通过篡改系统接口中的信令和业务数据来实现;四是捕捉用户身份,这是通过伪装成服务网络向用户发出身份请求来实现的。
2.3对 3G 客服端的安全威胁
造成移动通信系统出现安全问题的原因,一方面是因为网络的开放,最有盗用嫌疑的就是木马和病毒,它们通过客户端或智能卡对用户进行侦听或篡改;另一方面则是伪装,即通过伪装成客户获取交互信息和数据。
三、应对移动通信系统中常见安全问题对策
3.13G保证系统用户身份的保密性
一是用户身份保密,3G系统应该确保攻击者无法通过无线链路对用户的真实身份进行盗用或窃听;二是用户位置的保密,即应该保证攻击者无法通过对无线接入链路的窃听手段来确定用户的位置;三是不可追溯用户信息,即攻击者无法通过接入无线链路追踪用户的信息。为保证用户身份的机密性,3G系统主要通过设置常用临时身份对用户的身份进行识别,对信息的可追溯性,3G系统可以用不同的临时身份加以鉴别,此外,为保证信息的传输和接受是安全的,系统应对无线接入链路进行加密,确保用户身份或数据不被泄露。
3.2实行 3G系统双向认证,提升移动通信安全
认证方式可以采用双向的,即对MS 和基站以及基站和MS进行认证。3G系统应确保,用户同网络所建立的每一个连接,其实体认证机制均可发挥作用。双向认证包括5个参数,即期望相应、RAND、加密密匙、鉴权令牌和完整性密匙。这五个参数中的完整性密匙可以有效保护无线链路中数据的完整性,增强了3G系统用户鉴定网络合法性的可能,可以有效保证网络的安全。
3.3实行消息认证保证移动通信系统的数据完整性
密匙协商的执行过程可以实现系统用户的完整性,这是一种有效的,可以实现用户和网络安全的一种协商模式。为了保证3G系统中网络及MS指令信息的完整性及安全,避免网络及用户间的信息被篡改,消息认证是一种不错的选择方式。其具体做法是,发送方把需要发送的数据信息用完整性密匙,即F9算法得出的消息认证码MAC附在信息后面,接收方采用同样的方式接收信息,得到XMAC,然后将两者加以比较,若MAC和XMAC是相同的,则信息是完整的,若不相同则表明信息不完整。3G系统数据的完整性表现在三个方面,即完整性密匙协商、完整性算法协商及数据和指令的完整性。
3.4引入加密算法协商机制,保证移动通信系统数据保密性
3G移动通信系统的安全受到威胁出自多方面的原因,其中最主要的原因在于网络协议及通信系统自身存在的弱点。这种漏洞会被攻击者所利用,滥用和干扰网络服务,从而造成系统资源及用户资源的损失。为了确保网络中信息的传输是安全的,3G系统加长了密匙长度,同时引入了加密算法协商机制,提供的全网加密方式是基于端到端的,并采用了新的安全机制,即以交换设备为主。系统网络接入部分的数据保密机制有四个方面,即信息质量数据机密、机密算法协商、用户数据加密及加密密匙协商机制。
四、结语
总之,为保证3G移动通信系统的安全运行,必须从多个方面来加以保证,在吸收2G管理经验的基础上进行修补和改正,借鉴2G发展的比较成熟的安全管理方法,明确安全标准明及安全系统升级的重要性,注重加密算法的不断改进和升级明确,为广大用户提供使用移动通信系统提供安全保障。移动通信系统的安全问题关系社会、企业、个人等方方面面,研究解决移动通信系统安全问题的解决策略是未来一段时期内移动通信领域的重要研究方向。
参考文献
[1]刘东苏. 移动通信系统中的若干安全问题研究[D]. 西安电子科技大学,2006
[2]张传福,吴伟陵. 第三代移动通信系统的网络安全问题[J]. 电讯技术,2000,04:88-93
篇4
【关键词】移动互联 安全 防护
2011年,我国的移动互联网产业规模已经高达五千多亿。近几年,越来越多的人们使用移动互联网办公、学习、生活、娱乐,获取自己所需要的信息,但是这给一些不法分子带来了可乘之机,他们利用移动互联网信息安全的漏洞谋取利益,因此,人们应该重视移动互联网的信息安全问题。文中主要介绍了移动互联网中现存的信息安全问题,并通过认真的分析提出了防护措施与办法。
1 移动互联网
移动互联网是基于智能移动通信终端产生的,它实现了网络的移动化,用户无论在何时何地都能够及时通信,获取需要的数据资源等等。移动互联网的核心技术有SaaS/云计算、SOA、WEB X.0、P2P/P4P、Widget/Mashup等。
2 移动互联网络信息安全现状
移动互联网络通信虽然给人们带来了极大的方便,但与此同时安全问题也随之出现,计算机网络上信息安全的问题同样出现在移动互联网上,另外,由于移动互联网具有自身的独特特点以及数据的传播方式,这样在移动互联网中出现了一些新的问题,其主要表现在以下几方面。
2.1 软件安全
恶意软件或病毒程序在用户未察觉的情况下被自动安装在终端设备上,导致终端病毒感染,给用户带来了极大的不便和危害。软件安全表现为以下几方面:
(1)用户不知情时随意拨号打电话或订购业务、发短信、支付等;
(2)造成终端被损坏或是死机、运行速度不快、文件被损坏、终端设备不能正常运行等;
(3)个人信息被窃取。如手机通讯簿、各种账号密码、重要文件、短信内容等等被窃取;
(4)恶意骚扰。如骚扰电话、骚扰短信、骚扰邮件、骚扰广告等等。
2.2 硬件安全
移动终端设备本身存在漏洞,会使得攻击者利用硬件的操作系统、应用程序进行攻击。如安卓系统经常会遭受此类攻击。
2.3 网络安全
由于移动互联网的接入方式不同,接入类型多种多样,因此,也给其带来了安全威胁问题。攻击者可以通过对接入设备进行密码破解来获得对移动终端的访问权限。从而获取移动终端中的重要内容与信息。在网络层可能会存在移动网络设备,攻击者也可能通过查找其安装软件的漏洞对其发起攻击。
2.4 应用安全
移动互联网的应用非常丰富,通信对方就能显得更加可疑,导致信息安全问题更加复杂,可能引发病毒程序等一系列攻击,造成严重危害,其中主要有DDOS侵入、SQL恶意注入、滥定业务、盗取费用、支付安全等问题。
3 移动互联网络信息安全防护
针对上述安全问题,应从以下几方面着手进行安全防护:
3.1 软件方面
软件的制造商应研究开发出绿色安全的适合于不同操作系统的软件,终端设备出厂时尽量预装好绿色安全软件。用户经常性地清理软件,设置程序不能随意自动安装软件,必须经过用户认证才可以进行,对需要安装的软件进行检测,检测判断是否存在恶意程序,并且可以对其实施拦截,保证互联网络信息的安全。用户收到电子邮件、彩信、不健康网站时,不可轻易打开软件程序,等待数据被检测为安全信息后再使用。
3.2 硬件方面
由于终端设备硬件中的操作系统存在漏洞,这就使得攻击者可能对此漏洞发起攻击,当用户使用手机浏览网页、下载安装软件等操作时,就可能感染病毒程序或者遭到恶意攻击。可以在终端硬件上使用账号密码的形式来保证用户安全,避免用户在终端硬件上将信息泄露。另外可以在终端硬件上安装如360等防病毒,查杀病毒的相关软件,从而保障信息安全。当终端硬件设备丢失时,可以通过远程方式对其中存储的重要信息或重要文件进行删除,避免其落入攻击分子中,造成严重损失。
3.3 网络方面
在移动互联网络中,用户应对网络透明,用户接入网络时采用实名身份、实名地址,并将两者进行绑定,预防用户的不规范行为,并加强对用户的控制,预防用户对网络发起攻击行为,提高网络的安全性。但网络不能对用户透明,网络需要将自己的网络拓扑隐秘,在数据传输过程中进行加密,保证数据的保密性以及完整性,用户便不能轻易攻击网络节点。
3.4 应用方面
移动互联网提供了各式各样的应用服务,这就加大了感染病毒程序的几率,因此,需要对严格审查服务提供方,GBA/GAA就是一种对业务服务器进行审核验证的方法。在移动电子商务中,手机支付等业务也需要重点研究重点防护,防止在交易过程中泄露交易账号密码等造成严重损失。也可以采用防火墙进行防护,防止攻击者的恶意攻击和侵入。
除此之外,用户应提高安全意识和防范技能,自觉遵守移动互联网安全的法律法规,不能随意制造病毒程序、恶意攻击其他用户,移动互联网络信息安全的相关法律法规需要继续完善,加强移动互联网的信息安全管理方案,提高技术手段来拦截非法内容。
4 总结
移动互联网的快速发展改变了我们的生活,使得人们之间的通信更加方便快捷,但同时,带来的安全问题也需要我们更加关注,随着移动互联网的继续发展,很多新的安全问题会层出不穷的出现,例如手机病毒,云计算与移动互联网的结合所带来的安全问题等等,今后,还需要重点研究。
参考文献
[1]佚名.移动互联网应用安全分析报告[J]. 信息安全与通信保密.2012,(10):40-49.
[2]郝江波 洪志国.移动终端安全问题探讨[J].信息安全与通信保密.2012,(11):111-114.
[3]李锦.手机病毒特点及防范对策[J].通信技术. 2009,42 (02):253-255.
篇5
关键词:电力建设;施工现场;安全管理
中图分类号:F407文献标识码: A
引言
随着我国社会经济的不断发展,人们对于电力资源的需求也在不断上升,电力建设工程已经成为支撑国民经济发展的重要支柱。当前电力市场的竞争十分激烈,要想有效提高企业的市场竞争力,就必须不断强化管理、抓住市场动向。电力建设企业在施工管理中的重点就是安全、质量、进度管理,而安全作为企业发展的前提和基础,直接关系到经济的发展和社会的稳定。因此,新形势下电力建设企业必须牢固树立“安全第一”的理念,深入分析工程建设各个环节安全管理存在的问题,探究有针对性的解决策略,才能保证企业的长治久安。
一、电力建设工程安全管理特点及现状
要想做好电力建设工程安全管理工作,就必须对其管理的特点、现状进行一定程度的了了解与分析。电力建设企业由于产品固定和作业人员流动的特点,决定了他们的临时性、流动性、事故多发性和时效性的特点。同时,电力建设企业往往要在有限的场地、空间集中人员、设备、材料,进行多种、多层次的立体交叉作业,不安全的因素诸多,因此提高电力建设企业安全管理水平势在必行。安全生产,事关人民群众生命财产安全,国民经济持续健康发展和社会稳定大局。搞好安全生产管理工作,具有十分重要的现实意义。但是,近年来,电力建设行业的安全生产形势一直十分严峻,突出表现为伤亡事故多发,死亡人数居高不下,职业病危害严重,尤其体现在高空作业、起重作业、施工用电、尘肺病等方面。造成事故多发的原因很多,但最重要的原因是施工企业负责人依法安全生产经营的意识淡薄,或者不懂法律,或者明知故犯。由于受经济利益驱动,片面追求发展速度忽视甚至放弃安全生产管理,致使一些企业安全生产基础工作薄弱,规章制度松弛,安全监督作用形同虚设,安全生产投入严重不足,存在大量事故隐患。从业人员在这样没有安全生产保障又十分恶劣和危险的条件下作业,造成了十分严重的人员伤亡和经济损失。
二、新形势下电力建设施工现场安全管理问题分析
1、职业安全健康管理体系不健全,安全管理制度不完善
随着我国电力建设行业的飞速发展,传统的安全管理体系、制度已逐渐不能满足新形势的要求。一方面,施工单位职业安全健康管理体系不健全,体系本身的可操作性不强,引用的部分法律、法规已作废;另一方面,安全管理制度不完善,很多企业的规章制度不能根据形势的发展变化而及时修订,都是早期计划经济时代制订的,早已不适应现代企业发展的需要,直接导致施工过程中,安全管理出现大量漏洞,安全管理人员的工作难以开展,无法做到“凡事有章可循,凡事有据可查”。
2、安全生产责任制落实不到位,发生事故后处罚不严
安全生产责任制是企业最基本的安全管理制度,是指企业各级、各类人员在安全生产方面应负的责任。依据我国《建设工程安全生产管理条例》规定,施工企业主要负责人是安全生产的第一领导者,项目经理是项目安全生产第一责任人。而事实上,目前电力建设企业中真正能够落实安全生产责任制的非常有限,很多企业存在一种错误观点,认为安全生产责任制是安全部门的事,是安全管理人员的事,与其他部门和人员没有多大关系,有的企业对安全工作“严不起来,落实不下去”,存在“说起来重要,干起来次要,忙起来不要,出了事故再要”的现象,不出事故,安全部门提出的安全问题也被忙碌的生产所冲淡,引不起领导足够的重视,不少企业重生产、轻安全的问题没有得到根本的解决,不少项目关键岗位管理人员不到位的情况较为普遍,一些企业在生产经营活动中,一包了之或层层分包、转包,安全生产总包不管,分包不懂管, 存在管理上的脱节,安全责任不明确、安全生产责任制落不到实处。事故发生后,对安全事故责任人处罚不力,也是导致电力建设安全事故一再发生的一个很重要的原因。
3、施工人员安全意识淡薄,安全操作技能较差
由于施工人员来自全国各地,文化程度普遍较低,素质参差不齐,受教育阶段缺乏安全培训,参加工作又缺乏安全教育,并且大部分施工人员还是考虑如何赚钱养家糊口的问题,希望多挣一些钱来改善家庭的经济生活,而忽视了平安即是福的简单道理。有些施工人员甚至未经培训就上岗,缺乏基本的安全生产知识、自我保护意识和安全操作技能,导致施工过程中人员作业性违章频繁发生,现场装置性违章比比皆是。诸如现场流动吸烟、高空作业不扎安全带、脚手架搭设不规范等问题,在施工现场随处可见。更严重的是无证人员未经培训直接从事行车、叉车,喷漆、电焊、电工等特种作业,致使施工过程中,从根本上意识不到作业中潜在的危险,徒增事故发生的概率。
4、安全生产费用投入不足,安全设施不完善
贯穿电力建设施工全过程,施工单位的安全管理水平与其安全生产费用的投入密切相关。一方面,施工单位安全投入不到位,对安全生产的规律性认识不足,准备不充分,缺乏主动管好安全工作的责任,缺乏强有力的安全生产奖罚机制,致使施工现场各类安全设施不完善、施工人员安全培训教育力度不足、安全管理人员缺乏积极性,劳保用品配备不齐全、隐患排查治理不到位、应急救援物资准备不充分等,安全管理得不到有效物质保障。另一方面,目前电力建设市场的施工队伍鱼龙混杂,大量拼凑而成的包工队,没有资质的队伍充斥市场,采取挂靠有资质的电力施工企业,或是通过不正当手段取得工程建设项目。一旦承接工程任务,为了弥补前期的不正当投入,追求最大利润,而盲目降低工程成本,偷工减料;或租用的施工设备、机具和周转材料陈旧,安全生产投入能省即省,违背客观规律,轻视安全生产,在侥幸中求安全。因此,安全投入力度不够,安全设施不完善,是电力建设施工现场发生安全事故的重要原因[2]。
三、加强新形势下电力建设施工现场安全管理的策略探究
1、建立健全职业安全健康管理体系,完善安全管理制度
职业安全健康管理体系作为一种系统化、程序化,同时具有高度自我约束、自我完善机制的现代安全管理方法和手段,其管理思想最能体现“预防为主,标本兼治”,又具有可操作性和规范性的特点,要求企业建立预防为主,持续改进的管理模式,遵守各项安全生产法律法规。建立健全职业安全健康管理体系,完善安全管理制度不仅可以强化企业的安全管理,完善企业安全生产的自我约束机制和激励机制,达到保护职工安全与健康的目的,也有利于增强企业的凝聚力和竞争力。
2、落实各级安全生产责任制,严格实行考核
电力建设施工企业应建立并完善各级安全生产责任制,严格按照“党政同责、一岗双责、齐抓共管”“谁主管谁负责”、“谁审批谁负责”、“管生产必须管安全”和“领导抓、抓领导”的原则的要求,层层分解目标,层层落实责任,将安全生产落实到人,构建“统一领导、综合监督、分级负责、协同管控”“横向到边、纵向到底”的安全生产管理责任网络。同时,企业应建立安全生产考核管理办理,对安全生产责任制的运行,严格实施监督和考核,保证安全生产管理的时效性。
3、加强安全教育培训,提高全员安全意识和操作技能
在电力建设施工过程中,安全管理工作的重点是预防为主,注重“以人为本,全员参与”的策略。电力建设施工企业要把提高全员本质安全意识作为重点内容,落实好入场“三级安全教育”、岗位变换教育和特殊工种作业人员教育,依托周一安全学习、站班会、安全生产月等活动强化全体员工遵章守纪意识,把安全规章制度和要求转化为员工自觉行动,切实杜绝违章作业导致的人身及设备伤害事故。树立“我要安全”的意识,培养“我会安全”的技能,充分发挥作业人员对事故防范工作的主观能动性,提高对生产现场及作业过程中存在危险的敏感性及应对能力,切实做到“三不伤害”,提高争当优秀“本质安全化员工”的氛围。
4、加大安全生产费用投入,完善各类安全设施
安全生产费用的投入,是保证施工项目安全顺利完成的重要保障。电力建设施工企业必须制定本单位安全生产投入的长远规划和年度计划,设立专门的账户,按照“项目提取,企业统筹,确保需要,规范使用”的原则进行管理,确保专款专用,不得根据生产经营的需要随意挪用安全生产投入资金,并且要定期召开安全生产会议,听取相关部门安全生产工作的汇报,明确安全生产费用的去向。同时,安全设施的标准化是提高电力建设安全管理水平的标志,只要是前一个工程使用有效的安全设施,就在下一个工程积极推行,并不断的进行完善和改进。安全设施的投入,可以有效的降低民工的劳动强度,改善劳动环境,避免诸多不安全因素,从根本上减少物的不安全状态,为安全生产提供可靠的保障。
结束语
综上所述,电力建设施工安全管理与企业的发展息息相关,直接关系着我国经济快速增长,因此,电力建设施工企业必须给以高度重视,不断强化安全管理,以保证电力建设施工全过程的安全,为我国电力事业长远发展提供可靠保障。
参考文献:
篇6
1 计算机网络安全概况
在国际上,将计算机网络安全定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而受到破坏、更改与泄漏。”简而言之,就是指采取有效措施来保护信息的保密性、完整性及可用性。
从专业角度分析,计算机网络安全指的是保护计算机网络系统的硬件、软件、系统中的数据以及网络中信息的传输,保证其他因素无法对计算机网络进行恶意攻击和有意破坏。在保护计算机网络安全过程中既关乎网络技术方面的问题,又关乎网络管理方面的问题。只有同时做好网络技术和网络管理,才能够有效的做好计算机网络安全的防范。如今计算机网络技术发展十分迅速,变化日新月异,网络开发者一直在不断创新网络技术,更有很多不法分子深入钻研网络攻击技术,在这样的背景之下,网络安全问题的维护面临着巨大的挑战。相关数据显示,人为计算机入侵问题平均每20秒就会发生一次,可见信息的安全性不容乐观。
复杂性和多样性是计算机网络技术的两个显着特点,因此其决定了计算机网络安全问题也是复杂多样的。比较常见的网络安全威胁有系统漏洞威胁、物理威胁、身份鉴别威胁、病毒和黑客威胁以及自然威胁等。由于计算机网络的覆盖范围是全球化的,各国都十分重视计算机网络技术的发展,随着全球范围内计算机网络技术的不断发展,不少新兴的计算机病毒和黑客攻击方式层出不穷,有些对于网络安全甚至是致命性的打击。我们经常听到的网络病毒有:木马病毒、蠕虫病毒、Back—doors病毒、Rootkits病毒、DOS病毒、Sniffer病毒等,这些都是黑客用来攻击的手段。随着网络技术的不断创新,黑客的攻击技术也在日益提升和改变。因此,只有不断提高网络安全的防范措施,才能够保证广大网络用户能有一个健康、安全的网络环境,保护网民的信息安全。
2 计算机网络安全隐患分析
2.1 计算机病毒
迄今为止,非法入侵代码是计算机网络安全所面对的最大威胁,我们常听闻的木马病毒、蠕虫病毒等都是凭借对代码进行更改的形式来实现对于电脑的非法入侵的,其本质是一项程序。这些病毒的传播方式大多是通过网络进行传输的,当然在用U盘进行文件传输的时候,也可能会携带这些病毒。病毒在电脑中的宿主种类是多种多样的,一旦病毒被打开,其对电能的影响是破坏性的,通常会使计算机系统瘫痪。例如,我们最熟悉的木马程序(特洛伊木马),其采用的是相对较为隐秘的入侵手段,当我们的电脑表面上在执行一种程序的时候,实际上木马程序在背后却执行着另外一种程序,虽然不会对电脑造成系统性的破坏,但会窃取电脑中的重要信息。
篇7
关键词:企业信息;网络安全;管控系统
前言
信息技术在给企业发展带来便利条件的同时,又在一定程度上给企业的发展带来了巨大的挑战,主要体现在网络病毒的多样化、黑客公开化等。虽然说,一些企业发展过程中对于企业信息网络的安全给与出了高度的重视,但其在实际发展过程中常常会受到多种原因的影响导致企业的网络环境变化迅速,现有的管理制度不完善,严重影响了企业信息网络安全,对于企业的发展来说造成了很大的影响。
1企业信息网络安全隐患
网络安全不仅仅指企业网络中信息系统的安全,同时还包括了企业的网络系统中的硬件、软件、数据资源等遭受破坏、泄露更改等。常见的安全隐患问题主要体现在以下几点:(1)物理安全风险:企业信息网络系统中的各类型硬件设备,比如说路由器、交换机、服务器等方面在实际运行期间出现安全问题。如果不能及时进行防控受到外界磁电、人为干扰等现象,从而发生火灾、雷击问题;(2)网络风险:网络是一个开放性平台,企业信息网络在实际运行期间常常会说受到多种原因的影响到导致入侵者可以随意的通过系统漏洞来侵袭网络,使网络处于一种瘫痪状态。
2企业信息网络安全技术
我国计算机与网络技术得到快速发展,在各个领域中得到了广泛的应用,并取得了良好的成绩,标志着我国已经迈入了全新的信息化社会。信息化的建设已经成为了企业在发展过程中新生产率,对于提升企业核心竞争力,保证企业健康、可持续发展来说有着非常重要的作用。
2.1防火墙技术
防火墙技术主要通过网络拓扑结构与服务类型对企业的信息网络系统进行有效的隔离,从而保证企业信息网络系统安全、稳定地运行下去。当信息网络系统出现问题时,该技术可以有效的树立一道安全屏障,减少非法访问的现象发生,从而保证企业信息安全。
2.2VPN技术
VPN技术是一种新型的网络技术,主要以网络为媒介对企业信息网络进行扩展,并根据信息网络的运行现状在不同的位置中制定不同的虚拟连接窗口,只有这样才能保证信息网络在实际运行期间可以更好地实现网络虚拟连接。另外,VPN技术还可以通过远程操作的形式进行网络连接,为数据信息的安全传输提供良好的保障基础。
2.3网络安全技术
常见的网络安全技术由以下几种:病毒技术可以有效地对计算机信息网络系统进行全方面监测,找出其在运行期间存在的不足,并及时为其制定有效的解决;加密技术主要以网络安全运行为基础开展各类型的加密管理工作,将网络信息内容通过加密刚的形式操作,从而提升信息的安全性,实现在没有加密的条件下的信息溶解;入侵监测技术:该技术在实际操作过程中可以根据计算机网络信息系统的运行进行数据信息收集、分析,找出各个系统中存在的不足,并及时为其制定有效的解决对策[4]。
3企业信息网络安全技术框架
3.1安全管理
3.1.1信息安全管理信息安全管理,主要包括人员管理和组织机构管理,运营管理和策略管理中不同信息管理工作。建立一个满足企业自身信息系统建设机构,明确不同工作人员工作职责,提高工作人员业务能力,把不同制度和标准落实到运行和策略管理中,保证管理工作有序开展。信息系统安全管理工作,是为了保证系统安全性,是实现企业安全运作基础。因此,在实际人员管理和组织机构管理,运营管理和策略安全管理期间,需利用先进技术作为支撑。常见信息安全管理技术,其主要包括先进信息技术、安全网络技术、防火强技术、文档加密、安全操作,提高安全管理等举措对信息安全进行管理。例如,在实际检测期间,可以利用防病毒技术保护信息安全。站在技术角度,可以对信息存在病毒进行预防、对信息存在病毒检测,对信息异常问题处理,提高信息安全性[5]。3.1.2件加密管控软件加密管控,可以利用密码技术与身份认证技术,对其软件进行加密管理。其一,密码技术。对软件加密处理,是保证软件安全性基础,可以利用改变文件内容和格式。对运输文件内容加密,实现了在不存在秘密形式下,对文件内容保护。其二,身份认证技术。这一技术划分为身份认证和身份识别,其技术关键点在于身份认证环节。在相同系统中,会精细化对文件类型和安全性判断,保证用户传输安全性,在开展实际存储工作。3.1.3管理数据分析数据安全备份是整个系统安全关键,是系统可靠性和稳定性保证。因此,在系统中,可以自动化设置备份策略,实现智能化备份目标,也可以及时利用手动恢复。数据加密也可以保护数据安全性。利用完善和有效数据加密方法,例如,登录密码设计和账号设计,把其作为访问者身份判断和识别权限,保证管理数据处于最高安全级别[6]。
3.2安全技术
就企业信息安全技术来说,是站在企业业务角度出发,把安全控制系统、风险管理工作和资产管理结合,发挥每个系统最大作用。详细来说,就设计工作来说,不同系统主要包括以下内容。在实际技术框架构建期间,其均可以把以下不同内容构建在系统框架中,发挥不同系统优势。其一,安全控制系统,其主要包括防火墙、病毒、网络监控、漏洞扫描、安全设计和网络监控。其二,风险管理系统,其主要包括,对风险类别判断、风险监控、风险避免、风险控制、风险评判、风险转移。其三,风险响应,其包括产品响应、管理平台系统、人工响应。其四,资产管理,其主要包括网络设备管理、物理环境、主机系统、服务器、应用系统、用户终端系统。
4企业信息网络安全系统部署
企业内部网络与Internet网络连接时,内部网络的安全性对于整个企业的发展来说有着非常重要的作用。因此,企业在发展过程中应该提高对网络安全管理工作的重视,避免企业非法网络为用户提供服务现象发生。同时企业还应该加强对外界网络攻击防御,从而有效地减少非法资源的利用,为企业的健康、可持续发展提供良好的保障基础。
5总结
随着社会不断的发展,我国现代化信息技术水平逐渐提高,在各个领域中得到了广泛的应用,为企业的日常服务发展提供了一个全新的发展平台。企业在发展过程中应将现有的网络结构进行优化,加强对安全设备的部署、应用,并根据自身发展现状制定出一项适合自己的防御措施,合理使用防病毒、密码技术等。
参考文献:
[1]章伟林,张学东.基于贝叶斯网络的电力企业安全生产风险管控系统[J].计算机系统应用,2017.
[2]牛鑫.企业信息网络安全管理系统设计与实现[A].《智能城市》杂志社、美中期刊学术交流协会.2016智能城市与信息化建设国际学术交流研讨会论文集I[C].《智能城市》杂志社、美中期刊学术交流协会,2016.
[3]郭洪兵,闫萍,于雄飞.基于云计算技术的安全生产风险管控信息系统的研究与设计[J].中国煤炭,2016.
[4]王栋,陈传鹏,颜佳,郭靓,来风刚.新一代电力信息网络安全架构的思考[J].电力系统自动化,2016.
[5]刘永彬,亓东峰,赵茂栋,郭满,王凤环.基于企业网络安全防护系统的设计与实施[J].计算机光盘软件与应用,2014.
篇8
问题的维护面临着巨大的挑战。相关数据显示,人为计算机入侵问题平均每20秒就会发生一次,可见信息的安全性不容乐观。复杂性和多样性是计算机网络技术的两个显著特点,因此其决定了计算机网络安全问题也是复杂多样的。比较常见的网络安全威胁有系统漏洞威胁、物理威胁、身份鉴别威胁、病毒和黑客威胁以及自然威胁等。由于计算机网络的覆盖范围是全球化的,各国都十分重视计算机网络技术的发展,随着全球范围内计算机网络技术的不断发展,不少新兴的计算机病毒和黑客攻击方式层出不穷,有些对于网络安全甚至是致命性的打击。我们经常听到的网络病毒有:木马病毒、蠕虫病毒、Back—doors病毒、Rootkits病毒、DOS病毒、Sniffer病毒等,这些都是黑客用来攻击的手段。随着网络技术的不断创新,黑客的攻击技术也在日益提升和改变。因此,只有不断提高网络安全的防范措施,才能够保证广大网络用户能有一个健康、安全的网络环境,保护网民的信息安全。
2计算机网络安全隐患分析
2.1计算机病毒
迄今为止,非法入侵代码是计算机网络安全所面对的最大威胁,我们常听闻的木马病毒、蠕虫病毒等都是凭借对代码进行更改的形式来实现对于电脑的非法入侵的,其本质是一项程序。这些病毒的传播方式大多是通过网络进行传输的,当然在用U盘进行文件传输的时候,也可能会携带这些病毒。病毒在电脑中的宿主种类是多种多样的,一旦病毒被打开,其对电能的影响是破坏性的,通常会使计算机系统瘫痪。例如,我们最熟悉的木马程序(特洛伊木马),其采用的是相对较为隐秘的入侵手段,当我们的电脑表面上在执行一种程序的时候,实际上木马程序在背后却执行着另外一种程序,虽然不会对电脑造成系统性的破坏,但会窃取电脑中的重要信息。
2.2计算机系统本身问题
作为计算机网络的运行支撑,操作系统的安全性十分重要,只有计算机系统安全,才能够保证其余程序或系统能够顺利的正常运行。如果计算机的操作系统自身有问题,那么计算机自然会存在安全隐患。我们不得不承认,没有不存在安全隐患的操作系统,系统的漏洞是不可能完全避免的,一旦发现漏洞,对漏洞进行修复则是一项技术型工作。当攻击者掌握了计算机系统漏洞时,就可以利用漏洞通过自身技术实现对计算机的控制,对计算机进行攻击,窃取计算机内的信息。
2.3网络结构缺乏安全性
作为一种网间网技术,互联网由成千上万个局域网共同构成,是一个巨大的无形网络。当人们使用一台计算机向另一台计算机传输信息的时候,往往不是直接传输过去,而是中间要经过多台计算机进行转发,这是有网络的复杂性决定的。在信息的转输过程中,不法分子就可以利用相关技术窃其想要获得的取信息,劫持用户的数据包。
2.4欠缺有效的评估和监控措施
为了能够对黑客进攻计算机系统进行有效的防范,一定要做好准确的安全评估,一个准确的安全评估有利于整个网络安全的构建。但是,现在各公司和重要部门都欠缺有效的评估及监控措施,这些漏洞为黑客的入侵提供了可乘之机。在现实的计算机网络维护中,维护人员更看重的事前的预防以及发生攻击后的补救,却忽略了安全性的评估以及有效的监控。
2.5存在人为威胁
计算机的人为威胁包括可控制及非可控制威胁两种,并不是所有的计算机安全威胁都是人为能够控制或者补救的。例如天气条件,在发生打雷和闪电的情况下,电磁波的影响就会受到影响,进而可能会造成设备的损坏,计算机网络的使用自然也会随之受到影响。同时,计算机网络也会受到场地条件的影响。在有矿山的地方使用网络时,计算机网络就会变差。除此之外,计算机网络各种设备的自然老化也会影响用户对计算机网络的安全使用。。
3计算机网络安全防范措施建议
3.1增强安全意识和安全管理
为了保证计算机网络的安全性,必须提高计算机网络用户的安全防范意识,同时加强对计算机的安全管理的。为了提升用户的安全意识,可以通过讲解安全实例对用户进行提醒,可以派遣相关的宣传人员为计算机用户讲解网络安全的重要性,分析实例中个人计算机受到攻击的原因,进而提升计算机用户的防范意识,保证用户安全意识构建完善。那么如何做到安全管理的强化呢?强化安全管理可以从设置访问权限以及设置密码方面着手,告知计算机用户无论是计算机开机还是打开计算机中的文件,都应该通过密码访问进入,同时保证自己设置的密码不会太简单,但自己又比较容易记住,尽量使用较长的、复杂的密码。访问权限设置管理的主要内容为IP地址和路由器权限两点,只有可信任的IP地址才可以获得访问权限,在陌生或者非法IP请求访问的时候,切记一定要拒绝其访问,这样才能保证计算机不被入侵。设置路由器的时候,计算机用户可以依据本人意愿对权限进行设置,或者直接让管理员给固定的计算机进行授权处理,做到这些,才能在一定程度上保证计算机网络使用的安全性。
3.2使用密码技术
信息安全技术的核心就是密码技术,信息的安全可以通过密码的设置得到保障。迄今为止,能够保证信息完整性的一个最主要的方法就是密码的数字签名和身份认证,其中密码技术包含了:古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。防范和保护网络安全的两个主要策略就是访问控制。使网络资源不受到非法的使用及访问是其主要目的。作为对网络安全进行保护的一项重要核心策略,访问控关系到广泛的技术领域,例如入网访问控制、网络权限控制、目录级控制、属性控制等。
3.3健全备份及恢复机制
将给定的属性和网络服务器的网络设备联系起来就是属性安全控制,基于权限安全,更深入的提供网络安全保障。网络属性不仅能够对数据、拷贝、删除、执行、共享等行为进行控制,还能够对重要的目录及文件加以保护,避免有人恶意删除、执行或修改目录及文件。通过对RAID5的应用来及时的备份系统,能够有效的避免存储设备的异常损坏。强大的数据库触发器和恢复重要数据的操作,能够最大限度地保证重要数据的恢复。
3.4提高病毒防杀技术
在对于计算机网络的破坏性方面,网络病毒具有很大的破坏力,因此,在网络安全技术中,最重要的就是对于网络病毒的防护。人们在现实生活中,一直有这样一种误区,认为对于网络病毒的防范最重要的是杀毒。但其实不然,要想有效的防范病毒的入侵,就应该首先做到“防范”病毒的入侵。如果在计算机已经感染了病毒后再来对病毒进行分析,采取杀毒措施,这等同于“饭后买单”,事后的弥补性措施是无法完全解决计算机安全问题的。所以,对于计算机网络的病毒问题,计算机用户应该做到以“防”为病毒库,因为病毒是在逐渐更新的,只有及时更新病毒库,才能保证及时监测到新兴病毒的存在。一旦发现计算机内有潜在病毒,就应该及时清除隐藏的病毒。
3.5建立防火墙
篇9
当前,智能电网的研究方兴未艾,一定程度上讲,智能电网代表了未来电网的主流发展趋势。
从近年电力系统科技发展的脉络上看,广义而言,可以认为智能电网有两大起源:文提出的数字电力系统理念,其重点在于输电网的智能调度与控制文提出的“友好电网”,其重点在于建设互动型配电网。尤其是文工作的提出,揭开了数字电网乃至智能电网研究工作序幕;2006年国家电网公司实施SG186工程,开始进行数字化电网和数字化变电站的框架研究和示范工程建设,南方电网公司委托清华大学开展数字南方电网研究;2009年,国家电网公司提出了建设我国“坚强智能电网”的宏伟蓝图。国际上,欧美等国纷纷出台了各自的智能电网发展计划。与此同时,国内外学者从各个方面对智能电网基础理论和关键技术进行了深人研究,取得了一大批重要成果,其中多指标自趋优运营能力被认为是智能电网与传统电网的最大区别。
毋庸置疑,智能电网的建设进程伴随着电力系统中数字化和信息化程度的不断提高,系统中的能量流和信息流的交换与互动亦日益频繁,最终使得未来智能电网在很大程度上将发展成一类由信息网和物理(电力)网构成的相互依存的二元复合网络(cyber-physicalpowergrid,CPPG)。在此背景下,研究信息网和物理网相互依存的新一代电力网络的拓扑结构特征、连锁故障传播机理、安全水平和生存能力以及相应的预防控制措施在理论和工程两方面均具有重要意义,这主要缘于以下3方面的因素。
(1)智能电网在规模和动态上的复杂特性对复杂网络理论本身的发展提出了更高的要求。随着智能电网建设的深人,CPPG的网络规模不断扩大、网络动态的新特性日益增多,从而导致CPPG的网络复杂性持续增强,主要体现在如下两个方面:
(2) CPPG是由信息网/物理网耦合而成的超大规模二元复杂网络,它对复杂网络理论研究提出了新的重大挑战。
1998年发表于Nature上的题为《“小世界”网络的集体动力学》(collectivedynamicsof‘small-world,networks)和1999年在Science上发表的题为《随机网络中标度的涌现Kemergenceofscal¬inginrandomnetworks)的文章分别揭示了复杂网络理论的小世界和无标度特性,开创了复杂网络理论研究的新纪元。基于统计特性与结构模型,研究者对网络性能进行了详细的分析,并在网络的社团结构、脆弱度评估和传播动力学等方面取得了较大的进展。2009年7月Scence杂志出专栏介绍复杂网络理论的新发展,例如将其用于预测种族冲突1和识别恐怖组织中的关键人物等问题。特别需要指出的是,复杂网络理论在电力系统巳得到成功应用,文基于该理论建立了电力系统自组织临界一般理论,包括电网演化机制模型、连锁故障模拟方法、电网脆弱度及风险评估方法和电力系统应急管理平台4项创新。
(3) 未来电网若干关键功能,如对分布式发电的接纳、需求侧管理等,无疑加大了CPPG在动态特性上的复杂度。
在资源和环保的压力下,以新能源发电为主体的分布式发电(distributedgeneration,DG)成为电力系统发电的一个重要方向。通常位于近负荷侧的分布式发电改变了传统电力系统中功率单向流动的特点,也使得电力系统的负荷预测、规划和运行与过去相比具有更大的不确定性;同时分布式发电的加人,必然需要增加大量通信装置以实现分布式发电的自身控制以及与传统电网的协调。
此外,借助于先进的测量和通讯系统,基于政策和电价激励的需求侧响应技术被认为是提高系统可靠性和实现节能环保的有效方法,如通过推广电动汽车平抑负荷峰谷差和减少系统备用,即是一种用户参与需求侧响应的有效方式。
综上所述,现有工作的研究对象无论其规模和结构多么复杂,大多针对单一复杂网络,或者信息网,或者物理(电力)网,而对于CPPG这类二元网络的复杂网络特性研究则鲜有先例可循,因此,迫切需要发展现有的复杂网络理论,以满足未来智能电网发展的需要。
(4)智能电网主要目标的实现需要信息技术的发展来提供保障。
信息化在实现智能电网主要目标(灵活、高效、可持续、节能环保、高可靠性和高安全性等)的过程中起着举足轻重的作用。然而,目前大多数的研究和实践更加侧重于信息化引人新功能的实现和挖掘,而对信息化背景下智能电网的安全性问题则缺乏足够的重视。信息化程度的提高给电网带来诸多安全隐患,如信息采集环节、传输环节、智能控制和电网与用户互动环境下均存在不同程度的安全风险。
信息化带来的种种安全隐患或危害,均可视为对信息网的有意或无意攻击,其影响一般表现为信息网的相继故障从而可能引发信息网瘫痪,严重时故障可能穿越信息网边界波及物理网,进而导致物理网连锁故障。极端情况下,相继或连锁故障在信息网和物理网之间交替传播,严重威胁电力系统安全运行。
(5)对信息安全问题的关注应贯穿智能电网重大工程实践的全过程。
在智能电网重大工程建设过程中,评估系统运行风险、辨识系统薄弱环节并制定相应的预防控制措施贯穿全程,需要充分考虑CPPG中信息网与物理(电力)网紧密融合后带来的新变化。
(1) 信息网比物理(电力)网的运行风险更高。
文中指出,广义电力系统是由电力系统(EPS)、信息通信系统(ICS)和监测控制系统(MCS)融合而成的3S系统:这里的ICS/MCS即为本文所指的信息网,它是安全供电不可或缺的工具;由于ICS/MCS存在的潜在漏洞、缺陷和故障,使其成为3S系统安全风险的主要来源。如果信息网遭到攻击,则可能给物理(电力)网造成严重的故障,使得电力系统出现大面积停电事故或重要电力设备损坏。例如,2010年9月,伊朗布什尔核电站的计算机系统遭Stuxnet蠕虫病毒攻击,大大延迟了伊朗的核进程[27]。由此可见,智能电网的安全性不容忽视,而信息网的安全性则是重中之重,主要原因有:从网络本身受攻击的容易程度来看,信息网更容易受到攻击从网络的相互依赖程度来看,物理网对信息网的依赖程度更大从网络故障影响的范围来看,信息网故障的可影响范围更广。
(2) 保障CPPG中的信息网安全是全面建设智能电网的前提和必要环节。
建立信息/物理网一体化的新一代电力系统是未来电网发展的一个重要趋势,而保障其中的信息网安全则是全面建设智能电网的前提和必要环节,主要体现在两个方面:一方面,在建设CPPG之前考虑系统的安全问题,有利于清晰认识系统建成后可能面临的各种风险;一方面,在认知系统安全水平以及可能面临的各种攻击的基础上,从制定系统安全标准和政策法规等方面做好事先的安全预防,以保证系统的安全运行。
综上,可以得出以下结论:
信息化在提升电力自动化水平、提高社会生产效率和改善用户体验的同时也给智能电网的安全性带来了诸多隐患。一方面,信息网本身存在许多尚未解决的安全性问题,当电力系统高度信息化后,将在电力系统中埋下许多安全隐患[28—31]’另一方面,信息网和物理网作为未来智能电网的两大主要组成网络,其相互影响和相互作用机理尚不明确,该复合网络的脆弱性有可能被攻击者加以利用从而造成更大的危害。因此,有必要对智能电网中存在的信息安全隐患及其对全系统存活性的影响加以讨论并思考相应的解决方案。
1国内外研究现状
目前国内外对CPPG的研究尚处于起步阶段,主要集中在电力系统信息安全标准的制定、CPPG基本框架的建立以及可靠性等几个方面,详述如下:
(1) 电力系统信息安全标准制定
国外在电力系统信息安全标准的制定方面起步较早:2006年,北美电力可靠性委员会(NERC)为保证电力系统中所有实体均对北美大电网的可靠性承担部分职责,同时保护可能影响到大电网可靠性的重要信息资产,制订了信息安全标准CIP-002-1〜CIP-009-1;国际电工委员会针对数字和通讯安全提出了IEC62351标准。
国内目前尚未明确制定信息安全的相关标准,只是为保障信息安全提供了一系列原则。文[5]提出智能电网信息安全工作一定要坚持安全分区、网络专用、横向隔离和纵向认证的原则;同时对大量分散用户的信息介人,也要采取类似方法,将其影响范围局限在变电站甚至更低的等级,以防止对整个电网产生灾难性的后果。文[36-38]强调在智能电网的研究中,应特别关注建立电网信息支撑平台的必要性,这是因为开放的信息系统和共享的信息模式是智能电网的基础,开发与建造一个能够覆盖电网全域的、统一的信息系统是智能电网发展的关键所在,而要消除信息共享障碍就必须对信息进行标准化和规范化。
(2) 信息/物理网安全性研究框架
文中将智能电网的信息安全相关问题分解为如何保障智能电表(AMI)和无线网络的安全,以及如何制定政策奖励维护网络安全的电力生产运营商等。
文中提出采用由安全管理、安全策略和安全技术组成的电力信息系统安全防护总体框架,其中安全管理包括组织保证体系、安全管理制度及安全培训机制;安全策略分为分区防护和强化隔离;安全技术则涵盖身份认证、访问控制、内容安全、审计和跟踪及响应和恢复等。
文[1]提出统一信息系统必须包括以下4个独立存在又相互依赖的信息处理子系统:用于存储和管理电网中的所有信息数据的分布和分层的数据库群子系统;分布和分层的用于电网控制与管理的任务处理应用子系统;分布和分层的电网状态检查和监视应用子系统;分布和分层的电网全域可达的人机信息交互子系统。
基于信息物理系统(cyberphysicalsystem,CPS)的概念和电力系统的特点,文[42]构建了电力CPS的思路和框架并提出建设电力CPS面临的挑战,认为电力CPS主要由大量的计算设备(服务器、计算机、嵌人式计算设备等)、数据采集设备(传感器、PMU、嵌人式数据采集设备等)和物理设备(大型发电机组、分布式电源、负荷等)组成,其中前者通过信息网络互联,后者则构成物理的电力网络。具体地,电力CPS包括控制中心、分布式计算设备、通信网络、输配电网络、电源和负荷。同时,电力CPS可以与其他的CPS子系统通过网络连接协同工作。该文进一步提出发展电力CPS的关键技术涉及全局优化与局部控制的协同技术、大规模分布式计算技术、CPS通信协议、动态网络和延迟/终端容忍网络、集群智能和虚实空间的自动映射一致性等。
(3)信息/物理网安全性建模分析
在一般信息-物理二元网络的建模方面,采用如下的两个步骤进行建模:首先通过物理和信息的输人输出信号、内部动态和局部传感信息等要素对各个(或组)元件建立状态空间模块;进一步在网络拓扑的基础上将各模块整合在一'起以建立系统的信息,理二元复合网络模型。
在网络攻击对电力系统系统的可靠性影响方面,目前巳有初步进展。文章构建了系统性评估信息物理依存网络脆弱度的基本框架,进一步该文研究了网络攻击对电力系统的数据采集和监控(SCADA)系统的影响。文章通过信息-物理的连接桥建立信息攻击与物理元件之间的通道,以此表征由于某处信息攻击所导致的电力设备的意外故障,进而在巳知信息攻击概率的基础上,评估系统遭受信息攻击时的可靠性。
更有意义的是,文章提出研究相互依存网络灾变的重要性,并基于意大利的电力网和信息网的网络关系图(如图1所示)模拟了该网络上由于一个变电站故障退出运行后,故障在物理(电力)网络与信息网络之间的交替传播及整个网络的崩溃过程。其基本思路是某个网络中一个节点的故障可能会造成与其耦合的网络中相关联节点的故障,通过建立连锁故障传播模型,分析指出某个网络中小部分节点的故障可能导致整个耦合系统的崩溃。
(4)其他方面
文章指出新一代电力系统的SCADA采用越来越多的无线通信可能面临的信息安全方面的6个障碍和挑战,涵盖量测的机密性、测量环境的模糊化、数据的安全聚集、拓扑模糊化、可扩展的信任管理以及数据聚集的隐私性等。文[1]指出目前电力系统的信息系统存在信息难以综合和深化利用、信息处理及控制管理设备和系统上的重叠以及开发基于信息综合的高级控制管理功能(如自适应性、自组织和智能决策等)受限等问题。
2 CPPG信息安全性研究关键课题
CPPG作为一类信息/物理网高度依存的二元复合网络,分析其连锁故障机理及脆弱度评估方法是保障CPPG信息安全乃至全系统安全的重要前提。为此,本节从复杂网络视角提出以下4个前瞻性课题。
2.1 CPPG中信息网和物理网异构特性及相互依存关系分析、一体化网络模型建立及拓扑结构特征提取
一般而言,CPPG中信息、物理两个网络往往呈现截然不同的结构特性,如有研究表明,信息网呈现无标度特性,而很多实际电网具有小世界特性。在此背景下,CPPG将是由信息/物理网相互依存演化成的二元异构网络(如无标度信息网与小世界物理网),如图2所示。
对该网络的拓扑结构特征提取有助于从本质上揭示其功能特性,具体可以开展如下研究:
(1) 分析并揭示CPPG中信息网与物理网的异构特性,建立连接信息/物理网的联络线网络化数学表述模型,研究不同类型信息网与物理网(如无标度网与小世界网)中信息流和能量流的输送特性。基于电力系统动态特性(如潮流)建立物理网功能有效性模型,基于信息系统静态特性(如网络拓扑结构和元件级联失效等)建立信息网功能有效性模型。这里的功能有效性是指网络节点和边的动态均受到一定的容量限制,在限制值之内称为有效。
(2) 深人分析CPPG中信息网和物理网的耦合
机理,研究信息过程和物理过程的相互影响。
(3) 研究信息网和物理网内部以及二者之间的拓扑连接或者信号传送关系,进一步将上述信息/物理功能有效性模型集成,以建立能够反映CPPG中信息网和物理网交互过程的一体化网络模型。
(4) 基于复杂网络理论中网络结构影响网络功能的基本思路,选用适当的指标,提取并分析CPPG拓扑结构特征,即从统计的角度考察CPPG中大规模节点及其连接之间的性质,这些性质的不同意味着网络内部结构的不同,进而将导致系统功能有所差异。因此,对CPPG拓扑结构特征的描述和分析是进行CPPG研究的必要步骤。
2.2CPPG的连锁故障研究
到目前为止,巳有较多针对信息网或物理网连锁故障建模分析的研究成果[16—17],尽管人们对单一网络(信息网或物理网)的连锁故障过程有了一定程度的认识,但连锁故障在CPPG上的发生和传播过程可能与单一信息网或物理网情形大不相同。研究
CPPG的连锁故障发生过程需要根据信息网和物理网的依存关系,将两个网络中的故障传播过程进行合理的对接。
在上述CPPG—体化网络模型的基础上,同时考虑物理设备和数据采集计算设备等对系统连锁故障发生、发展过程的影响,分析CPPG的连锁故障特性,具体包括以下几个方面:
(1) 构建CPPG连锁故障模型。具体地,根据信息流的传输特性,建立CPPG中信息网连锁故障模型,同时提出适当的指标分析其连锁故障影响后果;考虑未来智能电网中高渗透率的分布式发电以及广泛的用户侧响应,分析CPPG中物理网的连锁故障发生、发展过程,并采用适当的指标(如负荷损失量)表征其连锁故障规模;在信息网与物理网耦合机理分析的基础上,将信息网与物理网连锁故障模型进行合理对接,构建CPPG连锁故障模型并模拟其连锁故障传播过程。
(2) 辨识影响连锁故障发生的关键因素,既要包含物理网上的关键发电和输电设备,又需计及信息网上的关键计算机和信号传输单元。
(3) 定量分析CPPG上发生的连锁故障,借鉴风险价值和条件风险价值指标[16—17],分析其灾变风险;对比CPPG和传统物理电力系统连锁故障的异同,重点分析信息网对CPPG连锁故障的影响。
2.3 CPPG的脆弱度评估研究
CPPG的脆弱度水平指其遭受攻击时造成的性能下降程度,下降程度越大则系统越脆弱。此处CPPG遭受的攻击既可能来自物理网,又可能来自信息网(如图3),而对物理网的攻击可以等效为设备故障(包括退出运行),而对信息网的攻击形式多种多样(常见信息攻击和防守形式见图4),包括信息的窃取、篡改等。
在综合评估CPPG脆弱度水平的同时,可寻找对其脆弱度水平影响较大的攻击模式和最坏干扰信息激励。具体研究内容如下:
(1) 建立CPPG的脆弱度评估指标体系,同时从结构和状态角度评价CPPG的性能水平。这里,所提脆弱度指标应兼顾物理网的安全、可靠和经济性以及信息网对数据机密性、完整性、可用性、可控性和可审查性的要求。
(2) 基于连锁故障模型,模拟CPPG遭受随机攻击和蓄意攻击后可能引发的连锁故障发生、发展过程,评估不同攻击模式下系统性能的变化,同时辨识出严重恶化CPPG性能的攻击模式以及系统脆弱环节。
此外,信息攻击形式需要考虑如下因素:
图4信息网安全的攻击与防守
①信息攻击的影响范围;
②信息攻击源与受影响位置的距离;
③信息攻击带来的后果多样性,例如有些攻击损害信息的机密性,而有些攻击损害信息的完整性和可用性,可以等效为相关服务的中断。
(3)通过对比CPPG和传统物理电力系统面临节点或者线路攻击时的脆弱度水平异同,明晰信息网对CPPG脆弱度的影响。
2.4灵活协调的优化控制方法
在脆弱度评估的基础上,针对系统的薄弱环节,可以从物理和信息网两方面设计有针对性的灵活协调优化控制方法,具体可以研究:
(1) 根据脆弱度评估辨识出的物理网薄弱环节,如关键发电机、线路和负载节点信息,采取适当的措施,例如建设新的电厂或者输电线路,以保证CPPG在面临攻击时依然能够运行在满意的状态。
(2) 根据脆弱度评估辨识出的信息网薄弱环节,如关键信号传输通道和网络设备等信息,有针对性地增强其安全保密水平,保证信息攻击“进不来、拿不走、看不懂、改不了、跑不了”48],提高CPPG在故障下的安全稳定能力。此外,还应在连锁故障模拟结果的基础上,针对高风险故障制定相应的预防控制与应急预案。
篇10
论文摘要:网络攻击行为已经蔓延的越来越广,网络的安全问题日趋严重。网络的安全问题来自多方面的各种原因。本文就是有效的防止网络故障的发生以及发现故障并且维护网络,采取一些防范的网络安全策略和解决办法。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。宗上所述,网络管理就尤为重要,随看计算机网络规模的扩大和复杂性的增加,网络管理在计算机网络系统中的地位越来越重要。本文在算机网络管理和维护的基础上,介绍了以下的解决方法
前 言
随着计算机技术和Internet的发展,企业和政府部门开始大规模的建立网络来推动电子商务和政务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。
随着计算机的广泛应用和网络的日趋流行,功能独立的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。
在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。
第一章 网络安全技术
1.1概述
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在.当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系.
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高.
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程.为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业.
信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用
1.2防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
目前的防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换—NAT,型和监测型.
1.3 防火墙主要技术
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性.
监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上
1.4防火墙体系结构
筛选路由式体系结构
SHAPE \* MERGEFORMAT
屏蔽子网式结构
双网主机式体系结构
SHAPE \* MERGEFORMAT
屏蔽主机式体系结构
1.5入侵检测系统
1概念
当前,平均每20秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙被攻破!面对接2连3的安全问题,人们不禁要问:到底是安全问题本身太复杂,以至于不可能被彻底解决,还的仍然可以有更大的改善,只不过我们所采取的安全措施中缺少了某些重要的环节。有关数据表明,后一种解释更说明问题。有权威机构做过入侵行为统计,发现他、有80%来自于网络内部,也就是说,“堡垒”是从内部被攻破的。另外,在相当一部分黑客攻击当中,黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到:仅靠防火墙仍然远远不能将“不速之客”拒之门外,还必须借助于一个“补救”环节------入侵检测系统。
入侵检测系统(Intrusion detection system,简称IDS)是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行为的系统。作为分层安全中日益被越普遍采用的成份,入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前存取控制系统,例如防火墙;识别防火墙通常用不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。
作为监控和识别攻击的标准解决方案,IDS系统已经成为安防体系的重要组成部分。
IDS系统以后台进程的形式运行。发现可疑情况,立即通知有关人员。
防火墙为网络提供了第一道防线,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误解操作的实时保护。由于入侵检测系统是防火墙后的又一道防线,从二可以极大地减少网络免受各种攻击的损害。
假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼,但不能保证小偷100%地被拒之门外,更不能防止大楼内部个别人员的不良企图。而一旦小偷爬入大楼,或内部人员有越界行为,门锁就没有任何作用了,这时,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者,同时也针对内部的入侵行为。
2侵检测的主要技术————入侵分析技术
入侵分析技术主要有三大类:签名、统计和数据完整性。
签名分析法
名分析法主要用来检测有无对系统的已知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。
主要方法:从攻击模式中归纳出其签名,编写到IDS系统的代码里,再由IDS系统对检测过程中收集到的信息进行签名分析。
签名分析实际上是一个模板匹配操作,匹配的一方是系统设置情况和用户操作动作,一方是已知攻击模式的签名数据库。
统计分析法
统计分析法是以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。
主要方法:首先根据被检测系统的正常行为定义一个规律性的东西,在此称为“写照”,然后检测有没有明显偏离“写照”的行为。
统计分析法的理论经常是统计学,此方法中,“写照”的确定至关重要。
数据完整分析法
数据完整分析法主要用来查证文件或对象是否被修改过,它的理论经常是密码学。
3侵检测系统的分类:
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“”的方法,进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4 IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点
就显得非常重要。评价IDS的优劣主要有这样几个方面[5]:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5 IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网安全系统公司)公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的 监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
第二章 网络管理
2.1概述
随着计算机技术和Internet的发展,企业和政府部门开始大规模的建立网络来推动电子商务和政务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
关于网络管理的定义目前很多,但都不够权威。一般来说,网络管理就是通过某种方式对网络进行管理,使网络能正常高效地运行。其目的很明确,就是使网络中的资源得到更加有效的利用。它应维护网络的正常运行,当网络出现故障时能及时报告和处理,并协调、保持网络系统的高效运行等。国际标准化组织(ISO)在ISO/IEC7498-4中定义并描述了开放系统互连(OSI)管理的术语和概念,提出了一个OSI管理的结构并描述了OSI管理应有的行为。它认为,开放系统互连管理是指这样一些功能,它们控制、协调、监视OSI环境下的一些资源,这些资源保证OSI环境下的通信。通常对一个网络管理系统需要定义以下内容:
系统的功能。即一个网络管理系统应具有哪些功能。
网络资源的表示。网络管理很大一部分是对网络中资源的管理。网络中的资源就是指网络中的硬件、软件以及所提供的服务等。而一个网络管理系统必须在系统中将它们表示出来,才能对其进行管理。
网络管理信息的表示。网络管理系统对网络的管理主要靠系统中网络管理信息的传递来实现。网络管理信息应如何表示、怎样传递、传送的协议是什么?这都是一个网络管理系统必须考虑的问题。
系统的结构。即网络管理系统的结构是怎样的。
网络管理这一学科领域自20世纪80年代起逐渐受到重视,许多国际标准化组织、论坛和科研机构都先后开发了各类标准、协议来指导网络管理与设计,但各种网络系统在结构上存在着或大或小的差异,至今还没有一个大家都能接受的标准。当前,网络管理技术主要有以下三种:诞生于Internte家族的SNMP是专门用于对Internet进行管理的,虽然它有简单适用等特点,已成为当前网络界的实际标准,但由于Internet本身发展的不规范性,使SNMP有先天性的不足,难以用于复杂的网络管理,只适用于TCP/IP网络,在安全方面也有欠缺。已有SNMPv1和SNMPv2两种版本,其中SNMPv2主要在安全方面有所补充。随着新的网络技术及系统的研究与出现,电信网、有线网、宽带网等的融合,使原来的SNMP已不能满足新的网络技术的要求;CMIP可对一个完整的网络管理方案提供全面支持,在技术和标准上比较成熟.最大的优势在于,协议中的变量并不仅仅是与终端相关的一些信息,而且可以被用于完成某些任务,但正由于它是针对SNMP的不足而设计的,因此过于复杂,实施费用过高,还不能被广泛接受;分布对象网络管理技术是将CORBA技术应用于网络管理而产生的,主要采用了分布对象技术将所有的管理应用和被管元素都看作分布对象,这些分布对象之间的交互就构成了网络管理.此方法最大的特点是屏蔽了编程语言、网络协议和操作系统的差异,提供了多种透明性,因此适应面广,开发容易,应用前景广阔.SNMP和CMIP这两种协议由于各自有其拥护者,因而在很长一段时期内不会出现相互替代的情况,而如果由完全基于CORBA的系统来取代,所需要的时间、资金以及人力资源等都过于庞大,也是不能接受的.所以,CORBA,SNMP,CMIP相结合成为基于CORBA的网络管理系统是当前研究的主要方向。
网络管理协议
网络管理协议一般为应用层级协议,它定义了网络管理信息的类别及其相应的确切格式,并且提供了网络管理站和网络管理节点间进行通讯的标准或规则。
网络管理系统通常由管理者(Manager)和( Agent)组成,管理者从各那儿采集管理信息,进行加工处理,从而提供相应的网络管理功能,达到对管理之目的。即管理者与之间孺要利用网络实现管理信息交换,以完成各种管理功能,交换管理信息必须遵循统一的通信规约,我们称这个通信规约为网络管理协议。
目前有两大网管协议,一个是由IETF提出来的简单网络管理协议SNMP,它是基于TCP / IP和Internet的。因为TCP/IP协议是当今网络互连的工业标准,得到了众多厂商的支持,因此SNMP是一个既成事实的网络管理标准协议。SNMP的特点主要是采用轮询监控,管理者按一定时间间隔向者请求管理信息,根据管理信息判断是否有异常事件发生。轮询监控的主要优点是对的要求不高;缺点是在广域网的情形下,轮询不仅带来较大的通信开销,而且轮询所获得的结果无法反映最新的状态。
另一个是ISO定义的公共管理信息协议CMIP。CMIP是以OSI的七层协议栈作为基础,它可以对开放系统互连环境下的所有网络资源进行监测和控制,被认为是未来网络管理的标准协议。CMIP的特点是采用委托监控,当对网络进行监控时,管理者只需向发出一个监控请求,会自动监视指定的管理对象,并且只是在异常事件(如设备、线路故障)发生时才向管理者发出告警,而且给出一段较完整的故障报告,包括故障现象、故障原因。委托监控的主要优点是网络管理通信的开销小、反应及时,缺点是对的软硬件资源要求高,要求被管站上开发许多相应的程序,因此短期内尚不能得到广泛的支持。
网络管理系统的组成
网络管理的需求决定网管系统的组成和规模,任何网管系统无论其规模大小如何,基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。
网管软件平台提供网络系统的配置、故障、性能以及网络用户分布方面的基本管理。目前决大多数网管软件平台都是在UNIX 和DOS/WINDOWS平台上实现的。目前公认的三大网管软件平台是:HP View、IBM Netview和SUN Netmanager。虽然它们的产品形态有不同的操作系统的版本,但都遵循SNMP协议和提供类似的网管功能。
不过,尽管上述网管软件平台具有类似的网管功能,但是它们在网管支撑软件的支持、系统的可靠性、用户界面、操作功能、管理方式和应用程序接口,以及数据库的支持等方面都存在差别。可能在其它操作系统之上实现的Netview、
Openview、Netmanager网 管 软 件 平 台 版 本 仅 是 标 准Netview、
Openview、Netmanager的子集。例如,在MS Windows操作系统上实现的Netview 网管软件平台版本Netview for Windows 便仅仅只是Netview的子集。
网管支撑软件是运行于网管软件平台之上,支持面向特定网络功能、网络设备和操作系统管理的支撑软件系统。
网络设备生产厂商往往为其生产的网络设备开发专门的网络管理软件。这类软件建立在网络管理平台之上,针对特定的网络管理设备,通过应用程序接口与平台交互,并利用平台提供的数据库和资源,实现对网络设备的管理,比如Cisco Works就是这种类型的网络管理软件,它可建立在HP Open View和IBM Netview等管理平台之上,管理广域互联网络中的Cisco路由器及其它设备。通过它,可以实现对Cisco的各种网络互联设备(如路由器、交换机等)进行复杂网络管理。
网络管理的体系结构
网络管理系统的体系结构(简称网络拓扑)是决定网络管理性能的重要因素之一。通常可以分为集中式和非集中式两类体系结构。
目前,集中式网管体系结构通常采用以平台为中心的工作模式,该工作模式把单一的管理者分成两部分:管理平台和管理应用。管理平台主要关心收集的信息并进行简单的计算,而管理应用则利用管理平台提供的信息进行决策和执行更高级的功能。
非集中方式的网络管理体系结构包括层次方式和分布式。层次方式采用管理者的管理者MOM(Manager of manager)的概念,以域为单位,每个域有一个管理者,它们之间的通讯通过上层的MOM,而不直接通讯。层次方式相对来说具有一定的伸缩性:通过增加一级MOM,层次可进一步加深。分布式是端对端(peer to peer)的体系结构,整个系统有多个管理方,几个对等的管理者同时运行于网络中,每个管理者负责管理系统中一个特定部分 “域”,管理者之间可以相互通讯或通过高级管理者进行协调。
对于选择集中式还是非集中式,这要根据实际场合的需要来决定。而介于两者之间的部分分布式网管体系结构,则是近期发展起来的兼顾两者优点的一种新型网管体系结构
2.2常见的几种网络管理技术
基于WEB的网络管理模式
随着 Internet技术的广泛应用,Intranet也正在悄然取代原有的企业内部局域网,由于异种平台的存在及网络管理方法和模型的多样性, 使得网络管理软件开发和维护的费用很高, 培训管理人员的时间很长,因此人们迫切需要寻求高效、方便的网络管理模式来适应网络高速发展的新形势。随着Intranet和WEB 及其开发工具的迅速发展,基于WEB的网络管理技术也因此应运而生。基于WEB的网管解决方案主要有以下几方面的优点:(1)地理上和系统间的可移动性:系统管理员可以在Intranet 上的任何站点或Internet的远程站点上利用 WEB 浏览器透明存取网络管理信息;(2)统一的WEB浏览器界面方便了用户的使用和学习,从而可节省培训费用和管理开销;(3)管理应用程序间的平滑链接:由于管理应用程序独立于平台,可以通过标准的HTTP协议将多个基于WEB的管理应用程序集成在一起,实现管理应用程序间的透明移动和访问;(4)利用 JAVA技术能够迅速对软件进行升级。 为了规范和促进基于WEB的网管系统开发,目前已相继公布了两个主要推荐标准:WEBM和JMAPI。两个推荐标准各有其特色,并基于不同的原理提出。
WEBM方案仍然支持现存的管理标准和协议,它通过WEB技术对不同管理平台所提供的分布式管理服务进行集成,并且不会影响现有的网络基础结构。
JMAPI 是一种轻型的管理基础结构,采用JMAPI来开发集成管理工具存在以下优点:平台无关、高度集成化、消除程序版本分发问题、安全性和协议无关性。
2.分布对象网络管理技术
目前广泛采用的网络管理系统模式是一种基于Client/Server技术的集中式平台模式。由于组织结构简单,自应用以来,已经得到广泛推广,但同时也存在着许多缺陷:一个或几个站点负责收集分析所有网络节点信息,并进行相应管理,造成中心网络管理站点负载过重;所有信息送往中心站点处理,造成此处通信瓶颈;每个站点上的程序是预先定义的,具有固定功能,不利于扩展。随着网络技术和网络规模尤其是因特网的发展,集中式在可扩展性、可靠性、有效性、灵活性等方面有很大的局限,已不能适应发展的需要.
CORBA技术
CORBA技术是对象管理组织OMG推出的工业标准,主要思想是将分布计算模式和面向对象思想结合在一起,构建分布式应用。CORBA的主要目标是解决面向对象的异构应用之间的互操作问题,并提供分布式计算所需要的一些其它服务。OMG是CORBA平台的核心,
它用于屏蔽与底层平台有关的细节,使开发者可以集中精力去解决与应用相关的问题,而不必自己去创建分布式计算基础平台。CORBA将建立在ORB之上的所有分布式应用看作分布计算对象,每个计算对象向外提供接口,任何别的对象都可以通过这个接口调用该对象提供的服务。CORBA同时提供一些公共服务设施,例如名字服务、事务服务等,借助于这些服务,CORBA可以提供位置透明性、移动透明性等分布透明性。
CORBA的一般结构
基于CORBA的网络管理系统通常按照Client/Server的结构进行构造。其中,服务方是指针对网络元素和数据库组成的被管对象进行的一些基本网络服务,例如配置管理、性能管理等.客户方则是面向用户的一些界面,或者提供给用户进一步开发的管理接口等。其中,从网络元素中获取的网络管理信息通常需要经过CORBA/SNMP网关或CORBA/CMIP网关进行转换,这一部分在有的网络管理系统中被抽象成CORBA的概念.从以上分析可以看出,运用CORBA技术完全能够实现标准的网络管理系统。不仅如此,由于CORBA是一种分布对象技术,基于CORBA的网络管理系统能够克服传统网络管理技术的不足,在网络管理的分布性、可靠性和易开发性方面达到一个新的高度。
2.3统一不同的网络管理系统面临的问题
统一的不同层面
网络管理的统一存在三个层次。
站点级的统计,这是最低级的统一,不同的网络管理系统在同一服务器上运行,相互独立,是不同的NMS。
GUI级的统一,指不同的网络管理系统操作界面风格统一,运用的术语相同,管理员面对的是一种操作语言,这是一种表面上的统一,具有友好的一次性学习的界面。
管理应用级的统一,这是最高级别的统一。在这个级别上,不但实现了GUI的统一,各种网络管理系统的管理应用程序按照统一标准设计,应用程序间可进行信息共享和关联操作。在这一层面上的统一实现了对异构网的综合分析与管理,进行关联操作,网管系统可具有推理判断能力。
统一的内容
网络管理系统统一可从三个方面依次去实现,即操作界面的统一、网管协议的统网管功能的统一。
界面的统一
网络管理系统是管理的工具,但归根到底是要人去操作管理,操作界面的优劣会对管理员产生很大影响。不同网管系统具有不同的操作界面,要求管理员分别学习,或增加管理员人数,形成人力浪费。现在没有统一的网管用户界面的统一标准。现有的网管系统几乎都实现了图形界面,但既有基于UNIX操作系统的又有基于WINDOWS操作系统,且界面的格式千差万别,给管理员的工作增加困难。
网管协议的统一
管理协议是NMS核心和管理之间进行信息交换遵循的标准,是网管系统统一的关键所在。目前流行的两种网管协议为SNMP(Simple Network Management Protocal)和CMIS/CMIP(Common Mangement Information Protocal).SNMP是由互联网活动委员会IAB提出的基于TCP/IP网管协议,CMIP是由国际标准化组织ISO开发的基于网络互联的网管协议。网管协议的统一就是指这两种协议的统一
网管功能的统一
在ISO标准中定义了配置管理、故障管理、性能管理、安全管理、计费管理等领域。现有的网管系统在网管规范尚未成熟就进行了开发,大都是实现了部分模块的部分功能。这些网管系统功能单一,相互独立,不能实现信息的共享。不能从宏观上实现管理,不利于网络的综合管理。
统一的策略
将多个网络管理系统统一在一起的方法有三种,一种是格式转换法,即各个子网管理系统通过程序进行格式的转换,以便相互识别和共享资源,是一种分散式管理方式。另一种使用分层网管平台,即建立更高级的管理系统,高级网管系统和低级网管系统间进行通信,分层管理,是一种分布式管理方式。第三种是标准化方法,是遵循标准的规范和协议,建立的综合网络管理系统。
使用分层的网管平台是当前较为流行的方法,如现在广泛研究和讨论的基于CORBA的TMN(Telecomunication Management Network)就是将TMN中的管理者通过ORB(Object Request Broker)连接起来,实现不同管理系统的统一。
格式转换法是目前使用较多的方法,如运营商要求网管系统对外提供统一的数据收集、告警信息。
协议标准化方法是统一网络管理系统的趋势和方向,电信管理网TMN就是在电信领域内的一种标准协议,使得不同的厂商、不同的软硬件网管产品的统一管理成为可能。标准化实现统一的网管功能,包括网管协议的标准化、管理信息集模型的标准化和高层管理应用程序功能的统一规划。
格式转换和应用网管平台的策略是基于现有网管系统的基础上统一网管系统,而标准法策略则不考虑现有网管系统而重新设计一套新的标准,或是对现有网络管理系统进行较大改进,考虑到我们当前的网络管理发展的现状,还是以格式转换和应用网管平台方式统一网络系统。
网络管理系统实现统一的方法
当前网络管理的统一主要涉及两个方面,一是网管协议的统一。另一种是分布系统的统一,即在CORBA环境下的统一。它是基于面向对象的网管平台和格式转换的策略。
2.4网络管理协议SNMP和CMIP的统一
SNMP和CMIP在它们的范围、复杂性、以及解决网络管理问题的方法方面有很大的不同。SNMP被设计的很简单,使它非常易于在TCP/IP系统中普及。目前这已经成为事实。可是这一特点也不太适合大型的、复杂的、多企业的网络。相对应的,CMIP被设计的比较通用和灵活。但这也同时提高了复杂性。SNMP和CMIP的统一是指分别支持这两种协议的网络管理系统信息互通,互相兼容。
SNMP和CMIP统一有两种思想,一种是两种协议共存,一种是两种协议的互作用。
篇11
[关键词]Moodle网络教学平台高中信息技术有效教学
[中图分类号]G633.67[文献标识码]A[文章编号]16746058(2016)290123
在高中信息技术教学中,教师除了要具备较高的教学水平外,还需要学会通过一些辅助平台和技术手段大力提高教学效果。笔者结合多年的信息技术教学实践,就基于Moodle网络教学平台的高中信息技术教学进行深入研究。
一、高中信息技术教学中存在的问题
1.师生、生生之间缺乏交流互动。
交流互动既包括教师和学生之间的交流,也包括学生与学生之间的交流。在传统的高中信息技术教学中,课堂的交流互动主要以师生交流为主,而教师与教师之间、学生与学生之间的交流互动较少,且形式较为单一,难以实现高效的互动和交流。
2.教学资源难以有效组织管理。
学生讨论交流的内容、提交的作品是学生对知识和实践操作最本质的反应,是最有价值的教学资源,传统以小组交流讨论和共享文件的形式,积累组织学生的作业作品、交流讨论内容,不仅效率低下,需要花费大量的时间,而且学生学习效果不佳。
3.教师缺乏有效监督。
高中生自控力较差,常常热衷于QQ聊天、玩游戏,对于教师的要求不能很好地完成,在小组讨论和上机操作中,个别同学承担完成了所有的任务,而教师对于每个学生操作是否规范、熟练等学习情况缺乏有效监督。
4.未能实施有效的教学评价
。由于课堂时间有限,教师点评到的只能是一部分学生,点评覆盖面小。同时,这种点评方式也不能够让教师掌握学生近期的学习情况,难以准确地对学生的成长历程进行发展性评价。在学生互评自评中,敷衍现象十分明显,大多是类似于“好”这样的评价,学生不能自觉地、多元地反馈交流自己的学习信息。
在高中信息技术教学中,之所以出现问题,其原因是缺乏通过网络交流互动、自主探究、善于合作、有效整合资源的一种辅助教学平台,其中,构建Moodle网络教学平台是一个不错的选择。
二、 Moodle网络教学平台概述
Moodle网络教学平台,其实质是模块化面向对象的动态学习环境,是一个学习管理系统或是虚拟的学习环境。由于Moodle网络教学平台属于完全免费开放源代码,创建和安装Moodle网络教学平台比较简单。所以,应在高中信息技术教学中大力推广和应用。
三、基于Moodle网络教学平台的高中信息技g教学模式
如图1所示为基于Moodle网络教学平台的高中信息技术教学模式,在此模式中教师能够根据课程要求和学生的需要调整界面,及时修改、删除、增加Moodle网络教学平台的内容,方便开设网络课程。而学生在任何时间登陆到该平台,都可根据自己的学习需求和教师创设的问题情境,选择课程内容进行学习。更为重要的是,基于Moodle网络教学平台的高中信息技术教学中,教师和学生之间、学生和学生之间可及时地进行动态交流和辅导答疑,使得课程教学资源十分丰富,能有效解决传统高中信息技术教学中存在的不足。
图1基于Moodle网络教学平台的高中信息技术教学模式
Moodle网络教学平台具有十分强大的功能,在课程管理模块中,教师进行问卷调查、专题讨论、作业提交、知识测验等活动,并且在网站侧边栏内显示出最新的动态,方便学生了解当前其他同学的动态和课程动态;在用户日志管理模块中,教师随时了解学生的访问时间、留言和讨论内容等,掌握学生的学习动态,为学生日常的考核提供重要的参考依据;在论坛模块中,学生和教师都进行主动发帖,在浏览帖子的时候及时进行回复讨论,一旦有更新的帖子,系统会在第一时间通过邮件告知老师和学生;在作业模块中,学生可在规定的时间内上传自己的作品,该模块提供评分功能,教师可对每一个学生的作品进行点评,分析该作品的优点和不足;在互动模块中,学生既对同课程其他学生进行评价,也对教师提供的教学资源文件进行合理评价,这种互动评价有助于激发学生的学习兴趣。
四、Moodle网络教学平台在高中信息技术教学中的应用
1.有效实现师生之间的交流互动。
在高中信息技术教学过程中,师生之间的交流互动是需要在网络环境
下进行的,而Moodle网络教学平台提供网络环境下的在线调查、论坛、聊天室等教学活动。这些教学活动能够有效建立师生、生生之间的交流互动,有利于提高学生的学习效率和学习积极性。例如,在《信息技术基础》第一章《合理使用信息技术》的教学中,教师基于Moodle网络教学平台开设了一个以“信息安全问题”为主题的讨论区,所有学生在课堂上即时讨论,学生以协作的形式学习,完全实现了信息技术课堂教学的有效互动和交流,这是传统教学无法做到的。
2.有效组织和管理信息技术教学资源。
在传统教学中,对于导学案例、课件、工具软件等信息技术教学资源进行组织管理往往是通过FTP文件传输或者是共享文件夹的形式进行,虽然这种方式简单方便,但是组织结构不够明晰,灵活性较差。特别是在制作动态网页过程中,费时费力,且难以达到相应的教学效果。而Moodle网络教学平台可有效组织管理教学资源,它可以将动画、声音等多种资源添加到站点、网页、文本页中,可以将自主学习案例、活动操作提示要求以及作品制作参考素材等课程资源呈现出来。例如,在《信息技术基础》第六章制作“古玩今玩”九连环网站中,教师就通过Moodle网络教学平台展示了“古玩今玩”网站素材、常见信息集成工具、合作建站等,呈现在学生面前的是一个交互式知识体系,有利于学生开展探究性学习。
3.有效实现信息技术课堂的合理评价。
在评价学生作品时,传统教学评价是将学生作品利用FTP服务器进行上传或保存在教师指定的共享目录里,教师难以将评价信息反馈给学生。而Moodle网络教学平台提供在线测试、作业评价等评价系统,能够对离线作业和作品给出评价信息。同时,学生根据教师的评价范例以及评价规则,以跟帖的方式对其他同学的作品进行交流评价,这种交流思想、交流作品的环境能够有效激发学生的学习热情。
4.有效实现课堂知识的拓展与延伸。
完整的知识体系有利于学生巩固知识,要想形成完整的知识体系仅仅依靠课堂上的学习,是达不到满意的效果的。而如果教师通过Moodle网络教学平台设置一些课外学习资料或拓展学习任务,让学生在课外时间内登陆到平台中进行学习,那么一方面可用课外知识来充实课堂,有利于学生建立完整的知识体系;另一方面学生在平台中交流讨论、浏览课外知识、上传作品等学习活动都会被记录到 Moodle 平台中,无形中建立了学生自己的成长记录库,有利于教师对每个学生进行发展性评价,并根据学生的成长记录库及时调整教学策略。例如,在《信息技术基础》第二章信息获取知识的讲解中,教师通过Moodle网络教学平台添加搜索引擎一般查询规律等知识,并要求学生在课余时间进入指定的网站进行学习。
综上所述,基于Moodle网络教学平台的高中信息技术教学,不仅能有效组织和管理各类教学资源,增进师生之间的交流互动,而且能有效评价教学,有利于学生构建自己的知识体系。
[参考文献]
