发布时间:2023-12-01 10:06:36
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇网络安全的实施,期待它们能激发您的灵感。
网络安全的根本保证是先进的网络安全技术。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2020年4月27日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局共12个部门联合《网络安全审查办法》,于2020年6月1日起实施。
网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来,在通信软件的支持下,实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的,利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来,并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享,通信网络是实现网络资源共享的途径,因此,计算机网络是安全的,相应的计算机通信网络也必须是安全的,应该能为网络用户实现信息交换与资源共享。下文中,网络安全既指计算机网络安全,又指计算机通信网络安全。
(来源:文章屋网 )
如今,随着科学技术的不断发展,计算机已经成为了人们日常生活中重要的信息工具,给人们的工作、学习等提供了诸多的便利。但是,计算机网络的安全也存在着许多的隐患,这成为了人们关注的重点。文章通过对一些常见的网络危害的分析,旨在为提高计算机网络安全提供一些可行性的意见和建议。
[关键词]
计算机网络安全;操作系统;计算机病毒;黑客攻击;防范措施
计算机网络技术在当今得到了广泛的发展,因而计算机的网络安全也越来越受到广大用户的关注,研究解决如何解决网络安全危害成为了当前的必然趋势。作为一项非常复杂的系统工程,计算机网络安全涉及到诸如管理、设备和技术等多方面因素,这需要有针对性的进行分析和解决,文章通过对一些常见的网络危害的分析,旨在为提高计算机网络安全提供一些可行性的意见和建议。
1计算机网络安全
所谓的计算机网络安全,如果按照国际标准化组织ISO对其定义来说,主要是指采取一些相应的管理、技术等措施对计算机系统中的硬件、软件以及其他数据资源等进行保护,保证其不被恶意创改、泄露以及破坏,确保计算机系统的正常有序的运行,更好的发挥网络的作用。我们常见的计算机网络安全问题主要是来自于内网、外网和网络管理等方面。
2计算机网络安全存在的主要问题
2.1计算机病毒的危害《中华人民共和国计算机信息系统安全保护条例》对于计算机病毒是这样规定的:指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒是隐蔽性、潜伏性的,而且一旦出现,其传播速度快,传染范围广,破坏性极大。计算机病毒是如今计算机网络安全最为首要的危害源,而利用网络传播病毒的种类也很多,形式也各不一样。譬如我们常见的网络蠕虫、木马、震网、火焰等病毒就是危害较大的一些网络病毒,给网络用户造成了极大的麻烦和破坏。
2.2IP地址被盗用IP地址被盗用主要发生在局域网当中,主要表现为用户的IP地址被占用,致使计算机用户不能正常上网。对于一些被盗用的IP地址,基本上权限都比较高,一旦被盗用,盗用者就会经常通过隐蔽性的身份对于计算机用户实施骚扰以及各种网络破坏,致使用户造成一些重大的损失和破坏,盗用IP地址是对于网络用户合法权益的严重侵害,也会对网络安全造成非常大的威胁。
2.3网络黑客攻击所谓的网络黑客就是一些不法分子利用Internet网络非法的访问、破坏以及攻击网络用户。这种黑客攻击的危害性主要视黑客的动机而定,如果只是出于好奇,窥探网络用户计算机中的隐私和秘密,这对于用户的计算机系统并不会造成多大的损失。如果是出于极大的恶意,对计算机的系统及其数据进行恶意创改,这样对于计算机系统和网络用户的一些涉身利益将会带来重大的损害。有些间谍分子和国外黑客甚至可以通过网络攻击,获取一个国家的军事、政治、经济等等重大的机密,这就会为国家个个人带来巨大的危害。
2.4垃圾邮件泛滥有时候,未经用户同意,会有一些垃圾邮件发送大用户邮箱,造成垃圾邮件的泛滥。这些垃圾邮件会占用计算机用户的个人邮箱空间,占用网络宽带和资源,而且一些不健康的垃圾邮件还会到处泛滥,严重影响了网络环境的良好氛围。
3计算机网络安全的防范策略
3.1正确防范计算机病毒计算机病毒是没有预测性的,它能够以强大的破坏力无孔不入,所以首先必须养成预防计算机病毒的意识。这就需要在计算机上安装一些知名的、全方位的、多层次的、性能高的计算机杀毒软件,我们常见的计算机杀毒软件主要有360安全卫士,卡巴斯基,瑞星杀毒、KV3000,NOD32,金山毒霸……此外,对于安装的杀毒软件还要定期后者不定期的进行更新升级,使其性能更加优越,病毒库得到升级,这样的杀毒功能就会极大的增强。
3.2加强防黑客技术黑客攻击的危害性让大家逐渐意识到计算机网络身份认证的重要性,所以对于计算机用户来说,应该定期的对自己的账户或者账户密码进行修改,可以结合相关的权限管理,运用智能卡、智能密码钥匙、生物特征识别认证技术等对自己的网络账户信息进行保护,这样能够在最大范围内防止黑客的攻击。此外,防火墙技术也是防止黑客攻击的较为有效的也是最为直接的方法,它能够通过网络隔离以及限制访问等等方式对网络访问的权限进行必要地控制,譬如360安全卫士、瑞星防火墙软件,超级巡警等都具有很好的防火墙技术。
3.3杜绝垃圾邮件当前的垃圾邮件在网络的肆虐已经成为了计算机网络危害的又一大表现,所以,我们要谨防垃圾邮件影响我们的网络安全,首先就是要有针对性的保护好自己的网络邮箱,尽量不要在网路上随便登记和注册邮箱,最大限度防止垃圾邮件的袭扰。此外,还可以经常使用邮件清理功能,对自己邮箱内的垃圾邮件进行清理。最后,网路中存在一些具有危害性的垃圾邮件,对于这些来历不明的垃圾邮件最好不要打开,一般有些邮件会携带病毒,一旦打开,就会造成不必要的损失和麻烦。
3.4强化计算机安全防范意识要想实现对于计算机网络安全的管理。建议一系列的安全管理机制是极其必要的,这需要相关部门制定相应的岗位职责,实施一些网络安全认证标准,大力提升计算机网络安全的管理机制和管理能力。此外,需要加强计算机网络安全意识的宣传,大力宣传计算机网络安全的重要性,向广大群众分析解读各类网络危害的种类和形式,提醒群众做好防范。
总而言之,计算机的网络安全是一个非常复杂以及综合性十分强的系统,计算机危害的形式和种类也及其繁多,上述列举的只是其中最为重要的几点。而关于如何做好计算机网络安全防范,也还需要广大用户及其相关人员共同努力才能取得良好的效果的。这需要大家不断学习计算机知识和网络安全知识,加强防范意识,积极学习各类解决计算机网路安全的措施和策略,尽最大能力保护自己的计算机网络安全,给计算机网络营造一个良好的氛围。
[参考文献]
[1]鲁立,龚涛.计算机网络安全.ISBN:9787111335054.机械工业出版社,2011.
[2]张炜,许研.计算机网络技术.(高职高专"十二五"规划教材)ISBN:9787505893054.经济科学出版社,2010.
[3]满昌勇.计算机网络基础.ISBN:9787302216834.清华大学出版社,2010.
[4]蔡立军.网络安全技术.ISBN:9787810828758.北方交通大学出版社,2006.
[5]张海旭.关于家庭计算机安全问题的原因与对策分析[J].价值工程,2010.
关键词:计算机;网络;安全措施
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 15-0000-01
Computer Network Security Solutions to Achieve the Path Analysis
Zhao Xin1,Lu Yihong2
(1.Daqing Oilfield Culture Group Information Center,Daqing163453,China;2.Daqing Oilfield Culture Group,Oilfield Library Comprehensive Office,Daqing163453,China)
Abstract:With the development and social progress,the computer network has been rapid development of computer technology has also been a rapid increase.People communicate through computer networks and exchanges through the network and understanding of the outside world to understand and master the knowledge and skills in various industries.But the computer network is double-edged sword,it contribute to the development of society also brings a lot of network security issues.In this paper,the meaning of computer networks,development status and implementation of network security solutions conducted a superficial analysis and summary,I hope to give the use of networks of enterprises,organizations and even individuals to bring useful advice and inspiration.
Keywords:Computer;Network;Security measures
一、计算机网络安全的定义
计算机网络安全指的是网络系统中的硬件与软件及其数据受到保护,而不会出现数据与信息的泄露、破坏或更改。简单来讲,计算机网络安全就是信息安全。信息安全包括信息的可靠性、保密性、真实性、完整性以及可用性。
互联网自从20世纪60年代开始运用后,计算机网络开始迅速发展起来。随着网络上信息量的增长,网络信息安全问题也频繁出现。这些问题不仅危害着个人的生活,甚至会影响到公司的运营进程。所以维护计算机网络安全至关重要。
二、计算机网络安全现状
第一,网络安全问题的出现与计算机操作者本身是密不可分的。虽然目前很多计算机安全工具的出现预防了一些安全问题的发生。但是网络安全问题的最终结果在很大程度上取决于计算机的操作者。如果操作者运用了不正当的手段进行网络操作,或者进入了不健康网站浏览了不健康内容,就会导致个人信息的泄露,产生和增加网络不安全因素。第二,网络程序的设计往往会有漏洞,没有一个没有漏洞的程序。所以网络黑客就会抓住机会,利用程序中出现的漏洞,对其他正常程序进行攻击。最重要的是这种黑客采用的程序漏洞一般都不留痕迹,无法查证安全威胁发生的原因。第三,网络安全工具的更新速度远远跟不上黑客攻击正常程序的手段的发明和使用。通常只有在人为的参与下,才能发现和检测出病毒的存在。在没有检查和检测的前提下,这种病毒就不会被察觉出来,隐藏于电脑的程序中。但是往往一些病毒在发现之时就已经出现了计算机网络安全问题。在这段计算机的“迟钝期”内,黑客就很容易有机可乘,进而能够使用最先进的、最新的手段对正常的程序进行攻击。第四,防火墙功能的局限性也会导致网络安全威胁的出现。因为防火墙可以通过限制外部的网络对内部网络的访问,隐蔽内部结构,从而达到保护网络内部结构的目的。但是防火墙却无法阻止计算机网络内部之间的攻击和破坏。而且防火墙很难预防那些从网络系统的后门进入的病毒。技术上的缺陷,使得网络安全问题不断出现新的、更高级的安全、隐患问题。
三、计算机网络安全保障方案的制定与实施
(一)从国家和政府的角度去制定相关的政策法规,用法律的强制力去保证计算机网络的安全。加大对网络安全危害行为的惩罚力度,制定相应的具体的处罚措施。严厉惩治危害网络安全,盗取别人信息的违法行为,减少网络安全危害行为的发生。发挥政府的监督作用和强制作用,将维护计算机网络安全提上日常日程。建立和完善相关的法律法规之后就对网络安全危害行为造成一定的威慑力,将危害网络安全的行为扼杀在摇篮中。(二)加大网络安全危害行为的宣传力度,增强每个网民的网络安全意识。通过报纸、电视、网络以及广报等各种形式的宣传,让广大网民意识到网络安全问题的重要性。同时学习安全上网和文明上网,保证网络信息的安全。加强网络安全维护意识,有利于保护网民的隐私。当网络信息安全意识深入到每个网民的内心,维护网络安全的行为就会在潜意识里面发生。每个人都加强了安全防范意识,同时进行文明上网、健康上网。(三)从计算机的操作技术上进行防范网络安全威胁的发生。对计算机的系统软件、应用软件以及硬件进行及时的更新和升级,增强系统对病毒的抵抗力。计算机用户要进行正确的开机、关机以及上网行为,注意保护电脑上的软件以及硬件设施。(四)提高防火墙技术、网络防病毒技术、加密技术和入侵检测技术,加强访问控制,将病毒拒绝于门外。不断进行专业的研究和分析,更新和升级各项技术,减少病毒的入侵几率。定期运用这些技术队电脑进行扫描和检测,对个人电脑设置加密技术,只有制定的用户和指导密码的用户才可以进行解密进入计算机网络系统。(五)要注意IP地址的正确使用,避免被黑客钻漏洞。
四、结语
在网络安全问题日益得到重视的今天,网络安全技术随着国家以及专业人士的重视也得到了快速的发展和进步。但是,由于我国的信息安全产品制作方面缺少核心技术,真正能够解决深层次的网络安全问题的技术却很少。所以,国家首先要重视发展网络信息安全产业,在政策上给予支持。最重要的还是每位网民,因为接触计算机、运用各种软件以及系统的人的上网行为往往是病毒的准入证。只要每个网民都进行健康上网、文明上网,网络安全就能实现。
参考文献:
[1]彭秀芬,徐宁.计算机网络信息系统安全防护分析[J].网络安全技术与应用,2006,12
[2]简明.计算机网络信息安全及其防护策略的研究[J].科技资讯,2006,28
关键词:网络安全威胁技术
0引言
网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。一影响计算机网络安全的因素很多,有人为因素,也有自然因素,其中人为因素的危害最大。
1计算机网络的安全策略
1.1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击验证用户的身份和使用权限、防止用户越权操作确保计算机系统有一个良好的电磁兼容工作环境建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
1.2访问控制策略访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
1.3信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全端-端加密的目的是对源端用户到目的端用户的数据提供保护节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
1.4网络安全管理策略在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
网络的安全管理策略包括:确定安全管理等级和安全管理范围制订有关网络操作使用规程和人员出入机房管理制度制定网络系统的维护制度和应急措施等。
2常用的网络安全技术
由于网络所带来的诸多不安全因素,使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今,快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯,网络安全的基本技术主要包括网络加密技术、防火墙技术、网络地址转换技术、操作系统安全内核技术、身份验证技术、网络防病毒技术。
2.1网络加密技术网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全端点加密的目的是对源端用户到目的端用户的数据提供加密保护节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。
信息加密过程是由形形的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。
网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件(或病毒)的有效方法之一。
2.2防火墙技术防火墙(Firewall)是用一个或一组网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为:防火墙=过滤器+安全策略(+网关),它是一种非常有效的网络安全技术。在Internet上,通过它来隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网,如Intranet)的连接,但不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。
2.3网络地址转换技术(NAT)网络地址转换器也称为地址共享器(AddressSharer)或地址映射器,设计它的初衷是为了解决IP地址不足,现多用于网络安全。内部主机向外部主机连接时,使用同一个IP地址相反地,外部主机要向内部主机连接时,必须通过网关映射到内部主机上。它使外部网络看不到内部网络,从而隐藏内部网络,达到保密作用,使系统的安全性提高,并且节约从ISP得到的外部IP地址。
2.4操作系统安全内核技术除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。操作系统平台的安全措施包括:采用安全性较高的操作系统对操作系统的安全配置利用安全扫描系统检查操作系统的漏洞等。
美国国防部(DOD)技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A级,其安全等级由低到高。目前主要的操作系统的安全等级都是C2级(例如,Unix、WindowsNT),其特征包括:①用户必须通过用户注册名和口令让系统识别②系统可以根据用户注册名决定用户访问资源的权限③系统可以对系统中发生的每一件事进行审核和记录④可以创建其他具有系统管理权限的用户。
2.5身份验证技术身份验证(Identification)是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证(或身份鉴别)。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户,如是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
论文关键词:网络安全技术;防范;教学模式
学习网络安全技术不仅是为了让学生掌握网络安全的理论知识,增强学生的网络安全意识,提高学生的法律意识和职业素养,更重要的是树立他们正确的人生观和价值观,把他们培养成为高技能的应用型网络人才。
一、网络安全的探析
网络安全是指网络系统的硬件、软件和数据受到保护,不因偶然的或恶意的原因遭到破坏、更改和泄露,确保网络系统正常的工作,网络服务不中断,确保网络系统中流动和保存的数据具有可用性、完整性和保密性。网络的安全在技术上应综合考虑到防火墙技术、入侵检测技术、漏洞扫描技术等多个要素。不断提高防范病毒的措施,提高系统抵抗黑客入侵的能力,还要提高数据传输过程中的保密性,避免遭受非法窃取。因此,对网络安全问题的研究总是围绕着信息系统进行的,主要包括以下几个方面:
(一)internet开放带来的数据安全问题。伴随网络技术的普及,internet所具有的开放性、国际性和自由性以及各方面因素导致的网络安全问题,对信息安全也提出了更高的要求。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用,但网络的安全仍然存在很大隐患,主要可归结为以下几点:1.就网间安全而言,防火墙可以起到十分有效的安全屏障作用,它可以按照网络安全的需要设置相关的策略,对于进出网络的数据包进行严密的监视,可以杜绝绝大部分的来自外网的攻击,但是对于防范内网攻击,却难以发挥作用。2.对于针对网络应用层面的攻击、以及系统后门而言,其攻击数据包在端口及协议方面都和非网络攻击包十分相似,这些攻击包可以轻易的通过防火墙的检测,防火墙对于这类攻击是难以发现的。3.网络攻击是开放性网络中普遍难以应对的一个问题,网络中的攻击手段、方法、工具几乎每天都在更新,让网络用户难以应对。为修复系统中存在的安全隐患,系统程序员也在有针对性的对系统开发安全补丁,但这些工作往往都是滞后于网络攻击,往往是被黑客攻击后才能发现安全问题。旧的安全问题解决了,新的攻击问题可能随时出现。因此,应对开放性网络中的黑客攻击是重要的研究课题。
(二)网络安全不仅仅是对外网,而对内网的安全防护也是不可忽视的。据统计,来自内部的攻击呈现着极具上升的趋势。这是因为内网用户对网络结构和应用系统更加熟悉。以高校的校园网为例,网络用户人数众多,而学生的好奇心和渴望攻击成功的心理,使得他们把校园网当作网络攻击的试验场地,且其中不乏计算机应用高手(特别是计算机专业的学生),防火墙对其无法监控,这种来自内部不安全因素对网络的破坏力往往更大。2008年7月的旧金山的网络系统内部的侵害事件,2008年6月深圳“泄密门”等网络内部的安全事件向我们警示着内网安全防范的重要性。
(三)网络中硬件设备的安全可靠性问题。对计算机网络而言网络硬件设备在其中起到了重要的作用。比如:路由器,交换机,以及为网络用户提供多种应用服务的服务器等,这些设备的可用性、可靠性,以及设备自身的高安全保护能力都是网络安全中应该加以研究和认真对待的问题。
二、通过教学研究,提高学生对网络安全体系的管理与防范
由于网络技术水平和人为因素,以及计算机硬件的“缺陷”和软件的“漏洞”的原因,让我们所依赖的网络异常脆弱。在教学过程中,我们必须加强对网络安全体系管理与防范意识的传授,才能提高学生的管理和防范能力,常用的方法如下:
(一)防火墙是在内外网之间建立的一道牢固的安全屏障,用来加强网络之间访问控制,提供信息安全服务,实现网络和信息安全的网络互联设备。能防止不希望的、未授权的信息流出入被保护的网络,具有较强的抗攻击能力,是对黑客防范最严、安全性较强的一种方式,是保护内部网络安全的重要措施。防火墙可以控制对特殊站点的访问,还能防范一些木马程序,并监视internet安全和预警的端点,从而有效地防止外部入侵者的非法攻击行为。
(二)入侵检测是指对入侵行为的发觉。它通过对网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现是否有被攻击的迹象。如果把防火墙比作是网络门卫的话,入侵检测系统就是网络中不间断的摄像机。在网络中部署入侵检测系统可以有效地监控网络中的恶意攻击行为。
(三)网络病毒的防范。对于单独的计算机而言,可以使用单机版杀毒软件来应对病毒的问题,由于其各自为政,在应对网络中的计算机群时,则无法应对网络病毒的防杀要求,且在升级方面也很难做到协调一致。要有效地防范网络病毒,应从两方面着手:一是加强网络安全意识,有效控制和管理内网与外网之间的数据交换;二是选择使用网络版杀毒软件,定期更新病毒库,定时查杀病毒,对来历不明的文件在运行前进行查杀。保障网络系统时刻处于最佳的防病毒状态。
(四)对于网络中的email,web,ftp等典型的应用服务的监控。在这些服务器中应当采用,应用层的内容监控,对于其中的传输的内容加以分析,并对其中的不安全因素加以及时发现与处理,比如可以利用垃圾邮件处理系统对email的服务加以实施的监控,该系统能发现其中的不安全的因素,以及垃圾内容并能自动的进行处理,从而可以杜绝掉绝大部分来自邮件的病毒与攻击。
(五)主动发现系统漏洞是减少网络攻击的一个重要手段。在网络中单靠网络管理人员人为的去发现并修复漏洞显然是不够的。因此主动的分析网络中的重点安全区域,掌握其主要的安全薄弱环节,利用漏洞扫描系统主动的去发现漏洞是十分总要的一个手段。同时在网络中配以系统补丁自动更新系统,对于网络中有类似安全隐患的主机主动的为其打上系统补丁。事实证明上述两种机制的结合可以有效地减少因为系统漏洞所带来的问题。
(六)ip地址盗用与基于mac地址攻击的解决,这个可以在三层交换机或路由器中总将ip和mac地址进行绑定,对于进出网络设备的数据包进行检查,如果ip地址与mac地址相匹配则放行,否则将该数据包丢弃。
三、通过教学改革,把学生培养成高技能应用型的网络人才
网络安全技术是非常复杂,非常庞大的,对初学者来说,如果直接照本宣科,学生肯定会觉得网络安全技术太多太深,从而产生畏学情绪。为了提高学生的学习兴趣,让他们更好地掌握网络安全技术的知识,就要培养学生的创新能力,就必须改革教学方法,经过几年的教学实践证明,以下几种教学方法能弥补传统教学中的不足。
(一)案例教学法
案例教学法是指在教师的指导下,根据教学目的的要求,通过教学案例,将学习者引入到教学实践的情景中,教会他们分析问题和解决问题的方法,进而提高他们分析问题和解决问题的能力,从而培养他们的职业能力。我们在教学实践中深深感受到,在计算机网络安全技术教学中,引入案例教学,将抽象的、枯燥的网络安全的理论知识和精湛的、深邃的网络安全技术涵寓于具体的案例中,打破传统理论教学中教师要么照本宣科,要么泛泛而谈,以至于学生学起来枯燥无味,用起来糊里糊涂的局面,变复杂为简单,变被动为主动的学习过程,调动了学生的学习积极性,培养了学生的职业能力。在具体案例中,将古城墙的功能和作用与防火墙比较;选择学生接触最多的校园网作为典型的案例,向学生系统地讲授网络安全体系结构、安全策略的制定、安全技术的应用、安全工具的部署,以及安全服务防范体系的建立等理论,从而降低网络安全的复杂度,使学生对网络安全体系有比较全面、透彻的理解。
(二)多媒体教学法
多媒体教学是指在教学过程中,根据教学目标和教学对象的特点,通过教学设计,合理选择和运用现代教学媒体,以多媒体信息作用于学生,形成合理的教学过程结构,达到最优化的教学效果。它具有交互性、集成性、可控性等特点。可以把抽象的、难理解的知识点直观地展示和动态地模拟,充分表达教学内容。例如:pgp技术的操作步骤、防火墙的配置和使用等。通过多媒体教学,边讲边操作, 做到声像并行、视听并行,使学生在有限课堂时间内获得更多的信息,从而激发了学生的学习兴趣,提高了教学效果。
(三)实践教学
根据高职院校学生的岗位能力和培养目标, 实践教学是职业技术教育的中重之重。运用学校提供的网络实验室和网络设备,为学生搭建良好的计算机网络学习平台,突出实用性,做到“专机专用”。例如,将3台计算机搭建一个小型局域网,安装微软网络监视器,使用网络监视器来嗅探ftp会话,解释捕获的数据,确定使用的用户名和口令。从抽象的概念上升到理性的认识,使学生真正体会到网络安全的重要性。为了使学生全面了解计算机网络,可带领学生到电信公司或网络公司进行参观学习和实训,培养学生的岗位技能和工程意识。
[论文摘要]:如何让学生注意计算机网络操作系统存在的问题。
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到前所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文将对计算机信息网络安全存在的问题进行深入剖析,并提出相应的安全防范措施。如何培养出创新人才是当今社会的新要求,也是教学研究的重要课题。
一、计算机网络是培养学生创新能力的关键
学生学习,要有正确的学习动力和浓厚的学习兴趣,这样学习有主动性和积极性,只有产生了兴趣,才会有动机,才能结出丰硕的成果,因此计算机网络课程具有灵活性、实践性、综合设计性较强的课程,在教学中进行教学设计,注重激发学生创新思维,以培养学生的创新能力。
二、计算机网络应注意哪些不安全因素
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面:
1.计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。在使用互联网时应注意以下几项不可靠的安全性。
(1))网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
(2)网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
(3)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。
2.操作系统存在的安全问题
操作系统是一个支撑软件,是计算机程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不可靠安全性,是计算机系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
(1)操作系统结构体系的缺陷。操作系统本身有内存管理、cpu 管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
(2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如ftp,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。像这些远程调用、文件传输,如果生产厂家或个人在上面安装间谍程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
(3)操作系统有守护进程的防护功能,它是系统的一些进程,总是在等待某些事件的出现。所谓的守护进程,就是监控病毒的监控软件,当有病毒出现就会被捕捉到。但是有些进程是一些病毒,碰到特定的情况它就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时它可能不起作用,可是在某些条件下发生后,它才发生作用。如果操作系统守护进程被人为地破坏掉就会出现这种不良的安全隐患。
(5))在课堂上,学生与教师相互交流时,操作系统提供远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行,远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全问题。尽管操作系统的漏洞可以通过版本的不断升级来克服,但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间,一个小小的漏洞就足以使你的整个网络瘫痪掉。
计算机教学本来就是一个寓教于乐,上机实践的活动过程,所以培养学生的兴趣只是一个起点,如何保持学生的兴趣,是个漫长过程。计算机教师如何影响学生,帮助学生分析其优势和存在的问题,帮助他们循序渐进,逐步走向成功,并让这种成功的感觉一直激励他们,期间有着许多环节。因此教师应该充分发挥自身的作用,在处理课堂教学时,针对教材的特点,精心设计自己的教学过程,充分考虑每个教学环节,把知识性和趣味性融为一体,从而有效地调动学生学习的积极性。在组织每一课堂教学时,可设计来调节课堂气氛,这种设置的时机没有一定的模式,教师可视具体情况灵活确定。
参考文献:
[1] 张千里.网络安全新技术[m].北京:人民邮电出版社,2003.
论文摘要:随着教育信息化向纵深发展,越来越多的业务和数据都通过网络来传递和处理,因此教育信息网络安全问题也日益突出。提高网络的安全性,建立起一套真正适合教育信息网络的安全体系是时代的需要。
教育信息网络是教育信息系统运行的载体,是各级教育管理部门之间进行信息交换、实现信息共享的基础平台。教育信息网络安全状况直接影响着正常工作的运转。在网络建成的初期,安全问题可能还不突出,但随着信息化应用的深入,网络上的各种数据急剧增加,各种各样的安全问题开始困扰我们。因此在网络建设过程中,必须未雨绸缪,及时采取有效的安全措施,防范和清除各种安全隐患和威胁。
一、教育信息网络面临的安全威胁
教育信息网络面临的安全威胁大体可分为两种:一是对网络数据的威胁;二是对网络设备的威胁。这些威胁可能来源于各种各样的因素,总结起来,大致有下面几种:
1、物理因素。从物理上讲,教育信息网络的安全是脆弱的,整个网络涉及设备分布极为广泛,任何个人或部门都不可能时刻对这些设备进行全面监控,任何安置在不能上锁的地方的设施,包括光缆、电缆、局域网、远程网等都有可能遭到破坏,从而引起网络的瘫痪,影响正常工作的进行。如果是包含数据的软盘、光碟、主机等被盗,更会引起数据的丢失和泄露。
2、技术脆弱性因素。目前教育信息网络中局域网之间远程互连线路混杂,有电信、广电、联通、移动等多家,因此缺乏相应的统一安全机制,在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件交流规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在。
3、操作人员的失误因素。教育网络是以用户为中心的系统。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配限定用户的某些行为,以免故意或非故意地破坏。更多的安全措施必须由使用者来完成。使用者安全意识淡薄,操作不规范是威胁网络安全的主要因素。
4、管理因素。严格的管理是网络安全的重要措施。事实上,很多网管都疏于这方面的管理,对网络的管理思想麻痹,网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对账号认证等严格限制,舍不得投入必要的人力、财力、物力来加强网络的安全管理等等,都造成了网络安全的隐患。
5、其他因素。一般来说,安全与方便通常是互相矛盾的。有些网管虽然知道自己网络中存在的安全漏洞以及可能招致的攻击,但是出于管理协调方面的问题,却无法去更正。因为是大家一起在管理使用一个网络,包括用户数据更新管理、路由政策管理、数据流量统计管理、新服务开发管理、域名和地址管理等等。网络安全管理只是其中的一部分,并且在服务层次上,处于对其他管理提供服务的地位上。这样,在与其他管理服务存在冲突的时候,网络安全往往需要作出让步。
二、实现教育信息网络安全的对策
网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。不同属性的网络具有不同的安全需求。对于教育信息网络,受投资规模等方面的限制,不可能全部最高强度的实施,但是正确的做法是分析网络中最为脆弱的部分而着重解决,将有限的资金用在最为关键的地方。实现整体网络安全需要依靠完备适当的网络安全策略和严格的管理来落实。
网络的安全策略就是针对网络的实际情况(被保护信息价值、被攻击危险性、可投入的资金),在网络管理的整个过程,具体对各种网络安全措施进行取舍。网络的安全策略可以说是在一定条件下的成本和效率的平衡。
教育信息网络包括各级教育数据中心和信息系统运行的局域网,连接各级教育内部局域网的广域网,提供信息和社会化服务的国际互联网。它具有访问方式多样,用户群庞大,网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为保证网络的安全性,一般采用以下一些策略:
1、安全技术策略。目前,网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。对教育信息网络来说,主要应该采取以下一些技术措施:(1)防火墙。网络防火墙技术,作为内部网络与外部网络之间的第一道安全屏障,包含动态的封包过滤、应用服务、用户认证、网络地址转接、IP防假冒、预警模声、日志及计费分析等功能,可以有效地将内部网与外部网隔离开来,能够控制网络上往来的信息,而且仅仅容许合法用户进出局域网。根据防火墙的位置,可以分为外部防火墙和内部防火墙。外部防火墙将局域网与外部广域网隔离开来,而内部防火墙的任务经常是在各个部门子网之间进行通信检查控制。网络安全体系不应该提供外部系统跨越安全系统直接到达受保护的内部网络系统的途径。(2)加密机。加密机可以对广域网上传输的数据和信息进行加解密,保护网内的数据、文件、口令和控制信息,保护网络会话的完整性,并可防止非授权用户的搭线窃听和入网。(3)网络隔离VLAN技术应用。采用交换式局域网技术的网络,可以用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段,根据功能、保密水平、安全水平等要求的差异将网络进行分段隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。网络分段可以分为物理分段和逻辑分段两种方式。(4)杀毒软件。选择合适的网络杀毒软件可以有效地防止病毒在网络上传播。(5)访问控制。这是网络安全防范和保护的最主要措施之一,其主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户账户的缺省限制检查等。当用户进入网络后,网络系统就赋予这一用户一定的访问权限,用户只能在其权限内进行操作。这样,就保证网络资源不被非法访问和非法使用。(6)入侵检测。入侵检测是对入侵行为的发觉,通过对网络或计算机系统中的若干关键点收集并进行分析从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。(7)网络安全漏洞扫描。安全扫描是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。(8)“最小授权”原则。从网络安全的角度考虑问题,打开的服务越多,可能出现的安全漏洞就会越多。“最小授权”原则指的是网络中账号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小 限度、及时删除不必要的账号等措施可以将系统的危险性大大降低。 2、物理安全及其保障。物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。网络规划设计阶段就应该充分考虑到设备的安全问题。将一些重要的设备建立完备的机房安全管理制度,妥善保管备份磁带和文档资料;防止非法人员进入机房进行偷窃和破坏活动。抑制和防止电磁泄漏是物理安全的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
3、网络安全管理。即使是一个完美的安全策略,如果得不到很好的实施,也是空纸一张。网络安全管理除了建立起一套严格的安全管理制度外,还必须培养一支具有安全管理意识的网络队伍。
网络管理人员通过对所有用户设置资源使用权限和口令,对用户名和口令进行加密、存储、传输、提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。
网管人员还需要建立与维护完整的网络用户数据库,严格对系统日志进行管理。定时对网络系统的安全状况做出评估和审核,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统。同时需要责任明确化、具体化,将网络的安全维护、系统和数据备份、软件配置和升级等责任具体到网管人员,实行包机制度和机历本制度等,保证责任人之间的备份和替换关系。
4、网络安全的培训教育。除了对用户进行有关网络安全的法律和规章制度进行宣传教育外,还必须让网络用户知道和了解一些安全策略:包括口令的选取、保存、更改周期、定期检查、保密。尽量不要在本地硬盘上共享文件,因为这样做将影响自己的机器安全。最好将共享文件存放在服务器上,既安全又方便了他人随时使用文件。设置有显示的屏幕保护,并且加上口令保护。定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯等等。
5、应急处理和灾难恢复。为保证网络系统发生灾难后做到有的放矢,必须制定一套完整可行的事件救援,灾难恢复计划及方案。备份磁带是在网络系统由于各种原因出现灾难事件时最为重要的恢复和分析的手段和依据。网络运行部门应该制定完整的系统备份计划,并严格实施。备份计划中应包括网络系统和用户数据备份、完全和增量备份的频度和责任人。
备份数据磁带的物理安全是整个网络安全体系中最重要的环节之一。通过备份磁带,一方面可以恢复被破坏的系统和数据;另一方面需要定期地检验备份磁带的有效性。可以通过定期的恢复演习对备份数据有效性进行鉴定,同时对网管人员数据恢复技术操作的演练做到遇问题不慌,从容应付,保障网络服务的提供。
教育信息网络的安全问题是一个较为复杂的系统工程。从严格的意义上来讲,没有绝对安全的网络系统。提高网络的安全系数是要以降低网络效率和增加投入为代价的。随着计算机技术的飞速发展,网络的安全有待于在实践中进一步研究和探索。在目前的情况下,我们应当全面考虑综合运用防火墙、加密技术、防毒软件等多项措施,互相配合,加强管理,从中寻找到确保网络安全与网络效率的平衡点,综合提高网络的安全性,从而建立起一套真正适合教育信息网络的安全体系。
参考文献
[1]Jay Ramachandran(美).《设计安全的体系结构》[M].机械工业出版社,2003年.
一、初中生网络安全教育的特点
初中生作为未成年人,正处于青春期,有其特殊性;同时由于初中生安全关系整个社会千家万户,具有复杂性;因危险随时可能发生,所以安全教育具有长期性[2]。
1.初中生网络安全教育的特殊性
初中生网络安全教育具有其特殊性,首先是教育对象的特殊性,初中生的年龄段大约是12~15岁,正处于青春发育期,此时是自我意识发展的第二个飞跃期,他们具有强烈的“成人感”,认为自己已经长大成人,渴望参与成人角色,要求独立,渴望受到尊重,是初中生在个性发展中独立性增长的突出表现。其次是教育内容的特殊性,随着社会的发展与进步,学生接触网络的年龄越来越小,初中生大多已经熟练掌握上网冲浪的技能,由于其心智发育还未完全成熟,容易受到外界不良因素的诱惑从而沉迷于网络,不能很好地辨别是非真假,因此,培育学生的网络安全意识,形成文明的上网行为习惯更是成为了教育的重中之重。
2.初中生网络安全教育的复杂性
初中生网络安全教育需要学生、学校、家庭和社会共同作用,多方面的影响因素增加了网络安全教育的复杂性。在信息化时代,学生需要自觉遵守文明上网的规范,充分利用网络开放的学习资源提升自身素质,主动抵制和屏蔽不良信息,学会辨别是与非的能力。学校应当加强网络安全教育,学校和教师应通过级会、班会、宣传板等多种形式加强网络信息的安全教育,让学生学会文明上网。家庭需要发挥模范表率作用,家长以身作则为孩子树立起良好的上网行为的榜样,理解和配合学校对孩子加强网络安全教育,在家庭教育中增加网络安全教育的内容。社会应该承担网络安全教育应有的责任,校园周边严禁网吧的经营,网吧严禁未成年人入内,互联网形成绿色文明的网络环境,保护孩子的身心健康。
3.初中生网络安全教育的长期性
由于网络已经渗透到学生的日常生活当中,每一天都会接受到大量的网络信息,危险时刻都会发生,因此网络安全教育需要常抓不懈,一刻也不能放松。网络安全教育必须贯穿学生身心发展的全过程,是教育者长期的教育内容,需要预防性和补救性教育相结合,其中预防性教育更需要大力提倡和加强,而不总是等出现网络消极事件后再紧急补救进行教育,应多以正面的积极事例作为教育的样本,引导学生养成良好的上网习惯。初中生的认知能力还没有完全的发展,对网络上不良信息的鉴别能力还不是十分完善,作为教育者应该把网络安全的重要性融入日常的教育中,让学生潜移默化当中强化文明上网的意识和行为。
二、初中生网络安全教育的实施途径
1.初中生网络安全教育常规化
学校应加强网络安全教育,把网络安全教育纳入到学校的常规化教育当中。学校应严格按照国家教育部的规定,把安全教育作为必修课纳入教学计划排上课表,并确保授课时数。把防网吧危害作为安全教育内容进行系统的规划,根据不同年级确定安全教育的内容[3]。在日常教育的过程中,学校要在学科教学和综合实践活动课程中渗透网络安全教育内容。各科教师在学科教学中要挖掘隐性的公共安全教育内容,和显性的公共安全教育内容一起,与学科教学有机整合,按照要求,予以贯彻落实。教师在教学当中找到适当的切入点,因地因时制宜地开展网络安全教育。
2.初中生网络安全教育多样化
学校在实施网络安全教育时,需要考虑到初中生热爱新奇、喜好体验的心理特点,采取多种途径从不同角度开展教育内容,以提高学生参与教育活动的积极性和增强效果。在学生教育方面,除充分利用校会、班会、广播等形式进行安全教育之外,还可以采用电影放映、网络安全讲座、图片文字宣传、现场模拟体验、安全情景剧、安全知识问答、正面事迹报告和现身说法等形式,根据实际情况选择合适的教学形式组合,大力推进初中生的网络安全教育。在家庭和社会教育方面,改变以往教师在校内教育的单一形式,实行“走出去,请进来”的方法,定期请家长和社会共建单位代表参加学校网络安全教育的工作座谈会[3]。讨论研究学校安全教育活动的开展情况,集大家智慧,取众人之长,探索新思路,总结新经验,增强安全教育的实效性。
3.初中生网络安全教育活动化
开展安全教学活动要注重与学生生活经验和社会实践相联系,要采用能收到实效的、学生乐于参与的活动形式提高学生的兴趣,培养学生的自我保护能力[3]。学校可以针对一个或多个主题相应地设计出网络安全的主题活动,如情景剧扮演、班级板报宣传、知识讲座、网络安全征文比赛、“安全小卫士”评比等,把网络安全教育的思想融入到初中生喜闻乐见的体验式活动中去,做到寓教于乐,寓教于丰富多彩的教育活动中,全面提高网络安全教育的效果。同时,学校也要加强建设符合网络安全教育的物质环境和人文环境,让学生在潜移默化之中提高网络安全意识,促进学生掌握安全知识,提高抵御不良网络诱惑的能力。
4.初中生网络安全教育社会化
网络安全教育是学校、家庭和社会共同的教育责任。学校应充分利用日常学校教育的优势,培养学生网络安全的意识,同时还要发挥家庭教育的力量,向家长传授各种事故发生的特点和预防、逃生的知识,使家长能够根据子女的特点和具体情况,给子女传授各种安全知识。家长要注意对子女开展情境化训练,在生活中指导子女科学使用网络[4]。在网络安全教育方面,学校要加强与公安、治安、信息安全等部门的合作,建立起密切的联系,最好能聘请有关人员担任网络安全的校外辅导员,共同承担网络安全教育的责任,协助学校制定出网络安全的应急预案及相关纪律规范。
参考文献
[1] 教育部.中小学公共安全教育指导纲要.中国教育报,2007-03-01.
[2] 陈慧萍.中小学安全教育机制研究.长沙:湖南师范大学,2010.
关键词:智能大楼网络;实体安全;中心机房建设
引言
随着计算机网络技术广泛而深入的应用,网络安全问题成为信息时代人类共同面临的挑战。从目前来看,网络安全问题的解决主要从以下两方面入手:一是从计算机网络运行角度,以网络系统的软、硬件为主,主要解决局域、广域、Internet运行中的非法侵入、资料盗取、病毒扩散等工作;二是围绕计算机主机设备运行实体安全物理环境的硬件配置,即计算机中心机房建设来解决计算机网络安全问题Ⅲ。其中,前者有很多解决方案,也引起了人们的普遍重视;但后者并没有引起足够的重视,也缺乏相应研究。然而,现实中存在着如机房位置、温湿度、供配电、防雷接地、集中控制等诸多方面的安全隐患,直接影响着智能大楼的网络安全,因此,重视计算机中心机房建设,确保中心机房安全是十分必要的。
1 智能大楼中心机房的安全是网络实体安全的核心
网络安全是关于网络上信息的保密性、完整性、可用性、真实性和可控性的技术和理论。实体安全是指保护计算机设备、设施以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)以及人为操作失误或错误导致破坏的措施和过程,它包括:环境安全、设备安全、存储媒体安全、硬件防护,可归纳为中心机房建设和硬件防护措施。其中,中心机房建设涉及环境安全、设备安全、存储媒体安全,它是网络实体安全的核心,其安全与可靠性是整个计算机信息系统安全的前提,如果中心机房安全得不到保证,则整个计算机网络信息安全也就不可能实现。
2 中心机房安全是智能大楼网络实体安全的基本保证
智能大楼集成了楼宇自控系统、计算机网络系统、安全防范系统、有线电视系统、门禁管理系统、IC卡综合应用等系统,这些系统依靠网络通信来集成,因而,网络信息通信是智能大楼的神经命脉。拥有大量服务器、网络交换机和控制设备的中心机房则是智能大楼的中枢,它维系着整个智能大楼中办公、管理、学习的有序进行,任何中断或故障都可能直接导致智能大楼信息系统的瘫痪。因此,中心机房安全是智能大楼网络安全的基本保证。
然而,相关数据显示,我国近33%机房曾因为机房空调制冷问题而出现过宕机现象网;每年导致电气设备损坏的原因中约四分之一是由于雷击。浙江省2006年1~8月间因雷击导致电子设备故障直接损失2000多万元,机房内设备、存贮介质失窃、毁坏及线路人为损坏时有发生。造成以上严重后果的原因主要是由于中心机房设计不科学、建设不规范。智能大楼网络系统的设备昂贵,由大量电子设备、精密机械和机电设备组成,这些设备使用了大量易受环境条件影响的电子元件、机械构件及材料,如果环境不能满足这些设备的使用要求,就会降低计算机网络系统的可靠性和可用性,加速元器件及材料的老化,缩短使用寿命。因此智能大楼网络设备的安全运行,需要适宜的工作环境。而这些设备(如服务器、网络交换机、控制设备等)集中于中心机房内,中心机房的环境就是这些设备的工作环境,只有中心机房安全了,设备有了可靠的基础物理环境,服务器、网络交换机和控制设备等才能良好地安装和运行,智能大楼的网络安全也才有了保障。
3 规范中心机房建设。实现智能大楼网络实体安全
计算机中心机房的建设是涉及到计算机技术、控制技术、空调技术、供配电技术、防雷防过压技术、净化技术、安防技术、建筑装饰技术等多种专业的综合性系统工程。其中,机房的选址、内部环境、供配电、防雷接地、集中控制系统等五方面是机房建设的关键。作者结合实践经验,从智能大楼网络实体安全需要出发,探讨了以上五方面的建设,相信对实现智能大楼网络实体安全有实践指导意义。
3.1中心机房选址要安全经济
中心机房一般划分为主机房、网络机房、UPS配电机房、空调机房、气体灭火机房和缓冲区、磁介质存贮区等。机房选址要考虑面积、楼层位置、楼层净高、楼面载荷等方面的要求;同时,还要考虑自然环境的清洁,要远离产生粉尘、油烟、有害气体以及生产或贮存具有腐蚀性产品的场所;要远离强振源和强噪声源,以避开强电磁场的干扰;另外,要满足机房精密空调室外机与机房的垂直最大落差不宜超过20米及其安装的要求。所以,机房的选址多为距离底层或与裙楼顶较近的楼层;此外,从智能大楼布线考虑,机房宜选在大楼较中心并靠近弱电井处,这样线缆长度最短,通讯性能也最佳,维护方便,经济合理。总之,机房选址规划要从以上几方面综合考虑,并先满足技术要求,再考虑经济条件。
3.2规范机房环境建设。实现环境安全
中心机房的环境必须满足计算机等各种微电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、振动等的要求。一个合格的现代化中心机房,应该是一个安全可靠、舒适实用、节能高效和具有可扩充性的机房。
国标GB 50174-93《电子计算机机房设计规范》规定,机房建设分A、B级。重要部门的计算机数据中心、通讯枢纽和装有大量电子设备的建筑物按A级机房标准(表l所示)建设,其要求高,投资大。而其它一般部门视具体情况可按B类或A、B类混合建设,可节约投资。
根据国家标准,首先,装饰时宜采用防尘、防磁、防火、防静电、保温隔热材料。其次,机房环境的温、湿度要达到所规定的要求,温、湿度不当将对机房内设备的运行造成严重影响,如浙江地处东南沿海,夏天气温可达40℃,湿度也很高,曾发生酷暑期间因温、湿度过高而导致服务器等关键设备中断和主机板腐烂,因而,机房须配置专用空调,宜采用下送风上回风。另外,要做好保温隔热措施,使整个机房构成保温空腔(像冰箱空腔一样,尤其是地面采用20~30mm橡塑保温板敷贴,以防地面温差大形成冷凝水滴而渗水),减少室内外热量的对流,确保室内恒定的温、湿度,同时也利于提高专用空调的效率,节约能源。
机房中排列着很多装载着服务器、磁盘阵列和网络设备的机柜,现在机柜一般采用前进风,背出风,可采用机柜“面对面、背靠背”的摆放方式代替传统“队列式”的摆放方式,这样在两排机柜的正面,面对通道中间布置冷风出口,形成一个“冷通道”的冷空气区,冷空气流经设备后形成的热空气,排放到两排机柜背面中的“热通道”中,通过热通道上方布置的回风口回到空调系统,使整个机房气流、能量流流动通畅,提高了机房精密空调的利用率,进一步提高制冷效果。同时,注意机房内强、弱电桥架间距且安装方向须与风向一致,以减少对风流动的阻力。具体地,中心机房内主要设备的布局剖面如图1所示。
3.3重视机房供配电建设,确保供电安全
为防意外停电、供电不稳定而损坏计算机,造成数据丢失和计算机网络系统的不安全,中心机房必须配置UPS供配电系统。UPS性能要符合电压偏移±2%,频率50Hz偏移±0.2%Hz,波形失真≤5%等指标。容量配置按连接负载功率汇总,余留30%的容量。
对于小型机、服务器、核心交换机等重要负载,因为机器本身带有冗余电源备份,可设置双回路供电,配置两套UPS通过两套独立供电线路对负载供电,保证负载供电不中断,提高供电可靠性。而次要设备(如灯具、空调等)采用普通市电供给,缩小UPS电源容量,节约投资。至于,UPS的后备时间可按以下公式估算:T=电池电压+电池容量×电池数量/(UPS容量×UPS功率因数)。
中心机房还要配置配电柜,全部负载通过配电柜统一控制和管理,如图2所示。为使供配电系统有效发挥功能,还需注意以下几点:首先,机房内的每台小型机、服务器、网络交换机均要通过独立空开控制,以防止各路电源间相互影响;其次,应设有应急联动开关,当机房出现严重事故或火警时,能立刻自动切断供电电源;再次,给配电柜配置电压表、电流表和指示灯,以检查供给计算机网络设备的电源电压、三相电流值及负载不平衡状况和指示通断。
3.4完善防雷接地,提高防御能力
随着数字化城市进程的加速,越来越多的高楼大厦上布满了城市“天际线”,使得雷电灾害的发生几率越来越大。在浙江台州,年均雷暴日数47.2天,每年4~9月份为雷暴频发期,由此造成的损失也十分惨重,也是计算机网络安全的严重危害之一。因而,智能大楼中心机房必须提高雷电防御能力。
从大量的雷击事故分析可知,雷电感应和雷电波侵入造成的雷电电磁脉冲(LEMP)是机房设备损坏的主要原因。中心机房遭受雷电波侵入和雷电感应,主要在电源、信号传输或进入中心机房的金属线等处产生雷击;众所周知,中心机房内有大量的线缆引入:如电源线、电话线、有线电视线、网络接入电缆,易遭雷击,因而必须严格防雷。
据统计,有80%的雷击损坏电子设备主要是由电源引起的,因而,尤其要加强电源的防雷工作。智能大楼中心机房引入的各类线缆的防雷主要采取以下对策:首先,向中心机房引入的如电话线、有线电视线、网络接入电缆等应穿埋地钢管敷设,并保持钢管的电气连通;第二,将线缆金属外保护层接入接地装置,这些对防护电磁干扰和电磁感应很有效;第三,在线缆进入机房后均要安装相应的避雷器。通过以上层层设防极大提高中心机房防雷能力。
接地是防雷技术非常重要的环节之一,无论是直击雷或感应雷,最终都要把雷电流引入大地。国家标准《电子计算机机房设计规范》GB 50174-93规定:电子计算机机房接地装置的设置应满足人身的安全及电子计算机正常运行和网络设备的安全要求。电子计算机机房应采用下列四种接地方式:交流工作接地(≤4Ω)、安全工作接地(≤4Ω)、直流工作接地(≤1Ω)、防雷接地(≤10Ω)。计算机机房采用大楼钢筋基础网作为公用联合接地装置,联合接地电阻应≤1Ω。大楼设总等电位接地端子板,从该端子用不小于BVR-35mm的铜线单独引线至机房,一个为直流工作地,另一个为机房辅助等电位地,并将机房交流工作接地、安全工作接地、防雷接地和防静电泄放地并接到机房辅助等电位地上。机房抗静电地板下辅设40X3mm铜排与机房辅助等电位地连接,每块抗静电地板支撑脚、金属吊顶、金属护墙板上均用BVR-6mm的铜线就近与接地铜排相连。
3.5实行机房设备集中控制,保障机房稳定运行
为了保证机房环境的稳定,需对机房环境及动力设备实施实时监控。机房环境及动力设备监控系统主要是对机房设备(如供配电系统、UPS电源、空调、消防系统、保安门禁系统等)的运行状态、温度、湿度、洁净度、供电的电压、电流、频率、配电系统的开关状态、测漏系统等进行实时监控并记录历史数据,实现对机房遥测、遥信、遥控、遥调的管理功能,为机房高效的管理和安全运营提供有力的保证。
机房设备集中监控系统由监控管理中心(sc)、现场采集中心(ss)及监控模块(SM)三级网络结构组成,如图3所示。①监控管理中心(sc)包括监控中心嵌入式主机、数据库服务器、监控业务台、打印机、分布式管理软件等。②现场采集中心(ss)采用智能控制器方式,它可提供多个RS232或RS485接口,RS485接口可以连接各种监控模块(SM)进行数据采集,也可以向上向监控管理中心(sc)传输数据。③监控模块(SM)是由一系列的模拟量、数字量采集模块、控制模块、测量传感器及协议转换器等设备组成。其中,模拟量、数字量采集模块用于快速采集各传感器及各设备输出的信号,控制模块执行监控中心及现场采集中心发出的控制命令,协议转换器将设备接口转换为监控系统所需的RS485/RS232接口,实现对智能设备的监控。
我们所设计的机房设备集中监控系统具有如下特点:机房集中控制系统采用嵌入式,运行稳定,不受病毒感染,不受黑客侵略;B/S结构、C语言编写、图形化界面;融合了机房的管理措施,对UPS、空调、电量仪、门禁、消防、安防监控等设备直接监控,对发生的各种事件能结合机房的具体情况非常务实的给出处理信息,提示值班人员进行操作;参数采用实时动态显示,界面完全汉化,场地布局、设备照片或图片直接显示于屏幕;具备完善的监测和控制功能,实现了对机房设备的统一监控、智能化实时报警、实时事件记录。提高了机房维护人员的工作效率,提高系统的可靠性,实现机房可靠的科学管理。
中心机房建设是系统工程,相互依托,集成一体。供配电、防雷接地、气体灭火是防范机房毁灭性灾害的关键;温湿度、洁净度、电磁场、装饰则是机房设备稳定运行的必要条件;设备监控、安防监控、门禁便是机房安全的保证。机房建设需要丰富的专业知识、工程实践和管理经验。作者在台州市财政局、广电局和玉环财政局中心机房建设中,充分利用以上技术,科学设计、精心施工,经几年运行网络系统安全、稳定、可靠,创造了较好的经济效益和社会效益。
[关键词] 电子商务 访问控制 网络安全 网络配置
基于Internet的电子商务己成为商务活动的新模式,但电子商务的安全问题越来越突出,如何建立一个安全、便捷的电子商务环境,保证整个商务活动中信息的安全已成为新的研究热点。
电子商务的安全包括计算机网络安全和商务交易安全。计算机网络安全是针对网络本身可能存在的安全问题,实施网络安全增强方案,以保证自身的安全性。没有网络安全做基础,电子商务安全就犹如空中楼阁。本文重点研究在企业电子商务系统中,网络基础设施的安全解决方案。
一、电子商务的安全体系结构
考虑企业电子商务系统的具体情况,网络安全体系结构由内到外为:用户、操作系统、入侵检测、防火墙和路由器/网关。该体系结构包含了网络的物理安全、访问控制安全、系统安全、用户安全、信息加密等。充分利用各种先进的主机安全、身份认证、访问控制、防火墙等技术,在攻击者和受保护的资源间建立了多道严密的安全防线,增加了恶意攻击的难度,保障了企业电子商务系统的安全。
二、系统操作平台的安全
基础设施是企业用于实现电子商务的完整IT基础架构,为用户提供了一个整合环境,是企业构筑电子商务成败的关键。成功的电子商务要求基础设施安全可靠、可扩展及灵活性强。
1.操作系统及硬件选择。服务器操作系统应选择高安全性的Unix/Linux。内存及硬盘等应支持热插拔,对单个服务器的网络和存储器的I/O设备准备两个系统路径。为保证处理能力的余量和可扩展性,大中型服务器可以考虑选择多路Pentium Xeon或AMD的高端Opteron处理器。
客户机完成数据的录入和输出工作,配置原则上只要能运行操作系统和常用软件即可。操作系统选择windows server2003,其采用基于对象的安全模式,由本地安全性授权、安全性账号管理器、安全性引用监视器和用户安全接口组成,能够保护服务器中的文件。
2.支持多平台的商务系统构筑。企业可能存在异构平台并存,而用户希望各设备间能协同工作。因此在企业电子商务系统中,应该向客户、应用程序服务器、网络和数据开放标准,使客户无论处于网络何处都能访问这些服务。系统开发人员能在所选平台上编写应用程序,对跨国公司而言能够全球部署且无需重新编码。用户可在Windows server2003服务器建立系统,无需编码转换即可升级或移植到任何Unix或其他主机系统。
选择可跨平台的架构组件特别是服务器软件,使用HTML开放式标准,采用Jvaa多平台技术,按照普遍适用的电子商务应用程序框架进行开发,使企业电子商务系统具备多平台支持能力。
三、客户机的安全配置
1.Windows server2003的设置。多数管理员执行默认安装时不对系统账号administrator进行设置,而Guest则会被系统自动设置。攻击者通过利用这些账号来猜测密码进入系统。为了安全,要求把这些账号重新命名或删除。进入“管理工具”―“系统策略编辑器”,然后选择“文件”―“打开注册表”,并选择“本地计算机”进行配置:取消“远程更新”及“创建隐藏的驱动器共享”;“登录”设置为不允许从“身份验证对话框”关机,不显示上次登录的用户名;不允许使用远程管理软件。在离开服务器时,必须按“Ctrl+Del+Alt”,并选择“锁定工作站”。
2.采用安全的NTFS。NTFS分区中的文件有任意访问控制的能力,可保证电子商务系统简单的拒绝非法文件访问,先进的容错能力保证其不易受到病毒和系统崩溃的侵袭。权限定义了一个或一组用户访问文件和目录的不同级别。当拥有Windows server2003有效账号的用户试图访问有权限限制的文件时,计算机将检查文件的访问控制表。因此,访问该应用程序的公共用户应仅授予“只读”权限。而Web服务器上应用程序的所有者拥有“更改”权限来查看、更改和删除相应的应用程序。
3.Web服务器权限及协议选择。可以通过配置Web服务器的权限来限制所有用户查看、运行和操作Web页的方式。Web服务器权限应用于所有用户,且不区分用户账号类型,所以要对目录设置属性。对于要运行Web页面的用户,在设置Web服务器权限时遵循的原则为:对包含.jsp文件的虚拟目录允许“读”或“脚本”权限;对.jsp文件和其他包含脚本的文件所在的虚目录允许“读”和“脚本”权限;对包含.jsp文件和其他需要“执行”权限才能运行的文件的虚目录允许“读”和“执行”权限。
开启某个服务就要面对相应的漏洞,因此要安装最少的服务和协议。最好少用或禁用NetBIOS和UDP。
四、数据库的冗余备份
备份可在系统硬件故障、人为失误、入侵者非授权访问或对网络攻击破坏数据完整时起保护作用,分为全盘备份和增量备份。可根据企业的业务,在相邻的几个地区之间设立一个分支总控机构,通过Internet与企业的总部联系。每个分支总控机构每隔一定时间进行“在线”的增量备份,休息时通过Internet实行“不在线”的全盘备份,并将相关信息传送到企业总部。这样,即保证各个分支总控部门有一定时间间隔内的业务资料,又可以保证企业总部完全掌握各地的销售情况,以便企业为将来的发展规划做出更加合理的决策。
五、用户访问安全控制
系统中每个用户所能访问的信息或进行的操作应是受限的。用户安全认证系统的目的在于实现用户的身份验证与权限控制,达到限制用户的越权操作与防止非法用户对系统的入侵。
1.用户权限控制。用户要进入系统,必须输入自己的用户编号和密码进行身份证。通过验证后,将此用户的信息放入服务器端相应变量中,然后调用相应的函数对其进行权限控制。使用JSP技术将用户的权限控制分为两层:
(1)在页面显示链接前先判断用户的权限,如果用户没有权限访问此链接对应的页面(资源),页面就不显示此链接。
(2)在用户对某个页面发出请求时,再次判断用户的权限,只有当此用户拥有进入此页面的权限时,服务器才将此页面发送到浏览器,否则返回错误信息。
通过两层控制可防止用户进入没有权限的页面(资源),从而防止用户查看或修改其并没有控制权限的信息。当用户试图访问被限制内容时,web服务器进行身份验证,以检查用户是否拥有有效账号。web服务器支持基本身份验证和请求/响应式身份验证。
2.源数据库保护及客户资格认证。源数据库中保存着企业的机密信息和相关客户信息。需要访问源数据库的JSP脚本的人员,要有Web服务器所运行的计算机管理员权限。在从远程计算机上运行这些脚本时,对使用请求/响应验证方式进行连接的用户,必须己经通过身份验证。
控制对JSP应用程序访问的方法是要求客户在委托的第三方获得客户资格,第三方在发放资格证之前确认客户的身份信息。每当客户试图登录到需要资格验证的应用程序时,客户的Web浏览器会自动向服务器发送客户资格。如果Web服务器的SSL资格映射特性配置正确,那么服务器就可以在许可客户对JSP应用程序访问之前对其身份进行确认。
六、程序设计安全
开发工具或多或少都存在安全漏洞。程序开发人员应注意:
1.密码及物理路径的处理:应将密码和用户名通过使用虚拟路径,保存在数据库中。
2.用户详细信息的记录:为更好的跟踪用户,需记录用户的详细信息。其中记录IP最有用,可通过IP来查询用户的具体地点。这样就可以完全控制用户的使用,跟踪用户对资源的访问情况,及时了解用户进行的越权访问。
3.传输信息安全:JSP脚本采用明文编写,可采用文件加密的方法保护开发的JSP脚本源代码。
电子商务系统安全涉及诸多方面,是一项复杂的系统工程。尽管目前提出了很多技术解决方案,但离真正的安全电子商务还有一段距离。优秀的系统管理人员往往可以在很大程度上保障系统的安全运行,无形中提高了企业的竞争力,降低了企业进行电子商务的成本。
参考文献:
[1]韩茂盛:浅析电子商务时代网络安全技术[J].商场现代化(学术版),2005(2):103
关键词:企业网络;银联;网络安全;网络体系;技术手段
随着信息技术的高速发展,互联网越来越被人们所重视,从农业到工业再到高科技产业各行各业,都在使用互联网参与行业生存与竞争。企业对网络的依存度越来越高,网络在企业中所处的位置也越来越重要,系统中存储着维系企业生存与竞争的重要资产――企业信息资源。但是,诸多因素威胁着计算机系统的正常运转。如自然灾害、人员的误操作等,不仅会造成系统信息丢失甚至完全瘫痪,而且会给企业造成无法估量的损失。因此,企业必须有一套完整的安全管理措施,以确保整个计算机网络系统正常、高效、安全地运行。本文就影响银联计算机网络安全的因素、存在的安全隐患及其应对策略3个方面进行了做了论述。
一、银联网络安全存在的风险及其原因
(一)自然因素
首先,攻击之首为病毒攻击。由于银联网络庞大而复杂不可避免地要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的,而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器,造成机器“罢工”,另一方面会大量占用网络带宽,阻塞正常流量,形成拒绝服务攻击。事实上完全避免所有终端上的病毒是不可能的,但要尽量减少病毒爆发造成的损失和恢复延时是完全可能的。但是由于一些工作人员的疏忽,使得银联网络被病毒攻击的频率越来越高,所以病毒攻击应该引起特别关注。
其次,是软件漏洞。任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下方面:
1、协议漏洞。例如IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。
2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。
3、口令攻击。例如Unix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令破译方法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。
(二)人为因素
银联网络安全存在的风险的人为因素有操作失误、恶意攻击。
银联计算机网络所面临的最大的人为威胁是恶意攻击:敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;被动攻击,它是在不影响网络正常工作的情况下。进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁,每年银联和网络运营商都要花费大量的人力和物力用于该方面的网络安全防范,因此,防范人为的恶意攻击将是银联网络安全工作的重点。
银联计算机网络所面临的第二大人为威胁是操作失误:操作员安全配置不当造成的安全漏洞,用户安全意识不强。用户口令选择不慎。用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在银联计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少。对网络安全已不构成主要威胁。
二、构建安全的网络体系结构
(一)设计银联网络安全体系的原则
设计网络安全体系的原则是安全性、高效性、可行性。首先是体系的安全性设计:设计网络安全体系的最终目的是为保护信息与网络系统的安全所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。其次是系统的高效性设计:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。网络系统的安全体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。最后是网络安全体系的可行性设计:设计网络安全体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只能是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。
(二)银联网络安全体系的可承担性
银联网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由银联来支持,要为此付出一定的代价和开销。如果银联付出的代价比从安全体系中获得的利益还要多,那么就舍弃这个方案。所以,在设计网络安全体系时,必须考虑银联企业的业务特点和实际承受能力,必需要按电信级、银行级标准来设计这4个原则,即安全第一、保障性能、投入合理、考虑发展。
(三)银联网络安全体系的建立
银联网络安全体系的定义:银联网络安全管理体系是一个在多个银行之间建立的网络系统内,结合安全技术与安全管理,以实现系统多层次安全保证的应用体系。
银联网络系统完整的安全体系系统物理安全性主要是指从物理上保证系统中各种硬件设备的安全可靠,确保应用系统正常运行。主要包括以下方面:防止非法用户破坏系统设备,干扰系统的正常运行。防止内部用户通过物理手段接近或窃取系统设备,非法取得其中的数据。为系统关键设备的运行提供安全、适宜的物理空间,确保系统能够长期、稳定和高效的运行。例如中心机房配置温控、除尘设备等。
银联网络安全性主要包括以下方面:限制非法用户通过网络远程访问和破坏系统数据,窃取传输线路中的数据。确保对网络设备的安全配置。对网络来说,首先要确保网络设备的安全配置,保证非授权用户不能访问任意一台计算机、路由器和防火墙。网络通讯线路安全可靠,抗干扰。屏蔽性能好,防止电磁泄露,减少信号衰减。防止那些为网络通讯提供频繁服务的设备泄露电磁信号,可以在该设备上增加信号干扰器,对泄露的电磁信号进行干扰,以防他人顺利接收到泄露的电磁信号。
银联网络应用安全性主要是指利用通讯基础设施、应用系统和先进的应用安全控制技术,对应用系统中的数据进行安全保护,确保能够在数据库级、文档/记录级、段落级和字段级限制非法用户的访问。另外,对存放重要数据的计算机(服务器、用户机)应使用安全等级较高的操作系统,利用操作系统的安全特性。
三、银联网络系统安全的技术实现
(一)防火墙技术
在外部网络同内部网络之间应设置防火墙设备。通过防火墙过滤进出网络的数据,对进出网络的访问行为进行控制和阻断,封锁某些禁止的业务,记录通过防火墙的信息内容和活动。对网络攻击进行监测和告警。防火墙可分为包过滤型、检测型、型等,应根据不同的需要安装不同的防火墙。
(二)划分并隔离不同安全域
根据不同的安全需求、威胁,划分不同的安全域。采用访问控制、权限控制的机制,控制不同的访问者对网络和设备的访问,防止内部访问者对无权访问区域的访问和误操作。
我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。在关键服务器区域内部,也同样需要按照安全级别的不同进行进一步安全隔离。
划分并隔离不同安全域要结合网络系统的安防与监控需要,与实际应用环境、工作业务流程和机构组织形式密切结合起来。
(三)防范病毒和外部入侵
防病毒产品要定期更新升级,定期扫描。在不影响业务的前提下,关闭系统本身的弱点及漏洞并及时打上最新的安全补丁。防毒除了通常的工作站防毒外,email防毒和网关式防毒己经越来越成为消除病毒源的关键。还应使用扫描器软件主动扫描,进行安全性检查,找到漏洞并及时修补,以防黑客攻击。
银联网管可以在CISCO路由设备中,利用CISCO IOS操作系统的安全保护,设置用户口令及ENABLE口令,解决网络层的安全问题,可以利用UNIX系统的安全机制,保证用户身份、用户授权和基于授权的系统的安全,对各服务器操作系统和数据库设立访问权限,同时利用UNIX的安全文件,例如/etc/hosts.equiv文件等,限制远程登录主机,以防非法用户使用TELNET、FTP等远程登录工具,进行非法入侵。
(四)备份和恢复技术
备份是保证系统安全最基本、最常用的手段。采取数据的备份和恢复措施,有些重要数据还需要采取异地备份措施,防止灾难性事故的发生。
(五)加密和认证技术
加密可保证信息传输的保密性、完整性、抗抵赖等,是一个非常传统,但又非常有效的技术。加密技术主要用于网络安全传输、公文安全传输、桌面安全防护、可视化数字签名等方面。
(六)实时监测
采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络实时监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征。
(七)PKI技术
公开密钥基础设施(PKI)是通过使用公开密钥技术和数字证书来确保系统网络安全并负责验证数字证书持有者身份的一种体系。PKI可以提供的服务包括:认证服务,保密(加密),完整,安全通信,安全时间戳,小可否认服务(抗抵赖服务),特权管理,密钥管理等。
四、结束语
网络的安全与银联利益息息相关,一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,银联网络管理人员要掌握最先进的技术,把握住银联网络安全的大门。
参考文献:
1、李国栋,刘克勤.Internet常用的网络安全技术[J].现代电力,2001(11).
2、肖义.PKI网络安全平台的研制与开发[J].山东电子,2002(1).
3、钱蓉.黑客行为与网络安全[J].电力机车技术,2002(1).
4、张立,卫红勤.银行计算机网络安全建设[J].,2006(8).
今天,我们实施一个信息化项目,如果像实施传统项目那样,只重视经济效益,那么有可能事与愿违,造成重大的安全损害。特别是现在新一代信息技术蓬勃兴起,一个信息系统可能会面向广大的用户、处理海量的数据,这类系统一旦出了安全问题,后果就极为严重。所以我们从事网信工作,往往要将网络安全的考量放在优先的地位,而且贯穿在项目的全过程中,包括确定需求、选择方案、采购设备、组织实施、运营维护等等,无论在哪个环节,都要把网络安全保障放在重要位置。正像“绿色发展”要求我们在决定某些工业项目是否上马时,将符合环保要求放在“一票否决”的地位,今天,我们也应将是否符合网络安全的要求放在类似的地位。
只有通过自主创新才能突破关键核心技术
在网信领域,信息化核心技术和信息基础设施具有特别重要的地位,而且有高度的垄断性。一直以来,我国在一些关键核心技术设备上受制于人,也就是说,我们的“命门”掌握在别人手里。正因为如此,尽管我国的网民和移动网民数都居世界第一,但我们还不是网络强国。我国只有尽快突破核心技术,把命运掌握在自己手中,才能成为一个网络强国。
掌握核心技术往往需要付出巨大的、坚持不懈的努力。例如,早期在我国还不能制造高性能计算机时,有些部门(如天气预报、石油勘探)不得不高价去买外国计算机,但那时,外国只卖给我们较低指标的计算机,外国公司还要派人在机房里监视着计算机的运行。后来,每当我国研制出一台较高指标的计算机,他们才会放松一些限制,卖给我们高一档次的计算机。就这样,随着我国自己设计的计算机不断提升,外国才被迫逐渐放宽了对我国的禁运。这两年,我国的“天河”机登上了世界超级计算机的榜首,他们于心不甘,去年就禁运了“天河”机所使用的“至强”CPU芯片,企图进行遏制。但这反而激励了我国科技人员的创新。今年,我国推出了采用国产CPU芯片的“神威・太湖之光”超级计算机,继续高居世界榜首;而且“天河”也将在明年推出采用国产CPU芯片的新型号。上述中国高性能计算机几十年的发展史证明:真正的核心技术是买不来的,是市场换不到的。我们只有通过自主创新,自立自强,才能打破发达国家对我们采取的种种遏制,才能将关键核心技术掌握在我们自己手中。
正确处理开放和自主的关系
我们强调自主创新,不是关起门来搞研发,一定要坚持开放创新。我们不拒绝任何新技术,自主创新中包括引进那些安全可控的新技术,也包括引进消化吸收再创新。应该说,这些年来基于开源软件实施引进消化吸收再创新还是卓有成效的。今后,随着我国软件人员逐步地从开源软件的使用者发展到参与者、贡献者,甚至有的开源软件可能由我国软件人员主导,其中将会具有越来越多的自主创新成分。
近来,我国企业和外国同行之间在一些核心技术方面的合作有增多的迹象。因为随着我国技术水平和创新能力的提高,外国会放宽某些出口限制,这有利于企业间国际合作的扩展。另外,我国广阔的市场也吸引着外国企业扩展与中国企业的合作。这种合作一般是市场行为,企业可以自行决策。当合作涉及到国家安全或者有可能造成市场垄断时,需要通过有关部门的审查,包括进行网络安全审查在内。
一些企业认为,这类国际合作可以达到“合作共赢”或“与狼共舞”。不管怎么说,只要符合法规,都是容许的。不过应当防止出现某些偏差,例如有的“合资”或“合作”采用简单的“贴牌”或“穿马甲”等方式,将外国产品通过“合资”或“合作”变为“国产”或“自主可控”产品。这样做可能会对真正的本国企业造成打压,也可能误将不可控的产品当成“自主可控”的,不利于保障网络安全。
企业间的合作主要取决于经济利益,但在国家层面上,发展信息化核心技术等重要决策,应突出网络安全,强调不能受制于人。即使外国公司的某项技术很先进,性价比很高,似乎也能大量供应市场,这作为企业间的国际合作项目是可以的,但如果它在某个方面(如知识产权、供应链、技术掌握)会受到别人的制约,那么就不能作为国家层面的选择。所以不能将企业间的“合作共赢”或“与狼共舞”,无条件地扩展为国家间的关系。
网络技术的普及和应用正在改变传统的信息技术产业,信息交流变得更加快捷和便利,但是这样也给网络信息的保密提出了更高的要求。
1.计算机网络安全问题产生的背景
计算机网络的应用已经渗透到社会的各个领域,网络信息安全已经成为人们日常生活颇为关注的问题。随着计算机网络技术的应用和发展,计算机网络的安全问题也越来越受到人们的关注。网络安全问题日益显得重要,网络的开放性与共享性,系统的复杂性,边界的不确定性,以及路径的不确定性,等等,都导致网络安全问题的发生,使得网络很容易受到外界的攻击和破坏,同样也使得数据信息的保密性受到严重的影响。网络安全问题已经迫在眉睫。
2.网络信息安全的重要性
随着信息技术的快速发展,随之而来的就是网络平台的安全问题,因此,人们对网络环境的要求越来越高,对网络安全也越来越重视。无论是网上交易,还是网络信息的传递,都是对网络安全提出的一个很大的挑战。网络信息安全已经成为国家、国防,以及国民经济的重要组成部分。随着计算机通讯技术和网络技术的不断发展,计算机网络将会日益成为农业、工业和国防等方面的重要信息交换手段,渗透到社会的各个领域。基于以上的情况,我们必须认清网络的脆弱性和潜在的威胁。所以,采取强力的安全措施是必要的,对于保证网络信息的安全传递十分重要。而目前并没有任何的计算机技术能完全保证网络信息的安全性,所以我们除了要加强技术方面的发展,还必须考虑非技术方面的因素,例如人们的安全意识等。
3.网络安全信息所面临的主要威胁
3.1计算机病毒的威胁。
病毒可以说是当前网络信息最主要的威胁,其发展趋势呈爆发式增长。国际安全协会的统计表明:计算机病毒正在以每年超过50%的速度增长。我国最大的防病毒厂商瑞星公司的报告显示:2004年上半年截获各种新型病毒11835个,2005年同期为26927个,而到2006年同期达到了119402个,2007年达到133717个,而2008年截获的病毒木马居然达到了1242244个,数量已经超过近五年来病毒数量的总和。以前,一个计算机病毒需要3年的时间才能传遍全球,而现在借助网络信息则只需要仅仅几分钟。根据有关部门统计,从2000年开始至今,全球数千万台计算机受到病毒感染,累计造成经济损失1000多亿美元,给全球的经济、科技的发展带来巨大的损失。
3.2计算机黑客的威胁。
根据我国公安部门的统计,1997年我国发生的与黑客有关的网络犯罪20起,1998年142起,1999年908起,2000年就超过了3000起,从2001年到目前为止,每年的网络犯罪更是数以万计,并且由于网络的隐蔽性,导致了破案率还不到10%。
3.3流氓软件的威胁。
当前越来越多的正规软件厂商受到利益的驱使,大量的制作并使用介于正规软件和病毒软件之间的流氓软件,而这些软件大多又具有木马的特征,与病毒之间的界限也越来越模糊。根据有关部门调查显示,从2006年开始,流氓软件对用户的侵害有超过病毒的趋势,严重地干扰了用户的日常工作,信息数据安全,以及个人隐私。
4.影响网络信息安全的主要因素
当前影响网络安全的因素很多,但是主要还是来自法律、管理、技术三个大方面。
4.1网络信息安全的相关法律法规的不健全。
对于网络犯罪越来越猖獗的情况,世界各国都已经开始拟定相关的法律法规,但是在互联网这样一个虚拟的世界里,可以说很难对网络信息犯罪进行监控和证据的收集。而制裁传统犯罪的法律法规又并不适合于网络信息犯罪,关于世界各国对于网络的犯罪底线又过于模糊和笼统,实在是很难有一个清楚的界限。网络世界里的立法尚有许多的空白点,这也导致了网络世界的“无政府”状态的情况日益加剧,网络信息犯罪呈泛滥的趋势,但是真正被送上审判席的可以说少之又少,网络犯罪几乎是无处不在。虽然目前有好几例网络信息犯罪被送上审判庭,但这对于目前庞大的网络犯罪数量来说只是冰山一角。
4.2网络信息安全意识淡薄,管理体制不够健全。
网络信息安全管制是网络安全的一个重要不可缺少的因素,但是大多数人的安全意识很薄弱,重技术、轻管理,殊不知大部分的信息安全问题都是出自于管理上的疏忽。在制度、流程和人员管理方面相当的混乱,这就为网络信息安全留下隐患,也为盗取信息者大开方便之门。据网络信息安全专家不完全统计,约80%的信息泄露都是由于管理上的疏忽。
4.3网络安全技术存在着不足。
网络信息系统安全一般由网络协议层安全、宿主操作系统层安全、数据库管理系统层安全和应用程序层安全四个层次组成,而这四个安全层次均在不同程度上存在安全方面的先天不足。首先,网络协议存在安全缺陷。网络协议是网络信息系统的基石,TCP/IP协议族是目前使用最广泛的互联网协议,已经成为互联网的事实标准。但令人遗憾的是,TCP/IP协议族的各种应用服务和通信流程在设计上均存在不同程度的安全缺陷,加之其以明文方式传送数据,导致欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改等网络攻击可以轻而易举地实现。其次,作为网络信息系统的运行平台,当前主流的操作系统Windows、UNIX、Unux等在体系结构的设计上均存在对安全性要求考虑不周的缺陷。根据美国国家安全局(NSA)的国家计算机安全中心1983年8月颁发的官方标准,受信任计算机系统评量基准,它们都属于安全级别较低的CZ级,其可动态连接机制、可动态创建远程/近程进程机制、特权程序适时激活机制和无口令远程过程调用服务人口为远程传输并执行恶意程序大开绿灯,成为病毒和黑客的乐园。再次,作为电子商务、金融,以及EPR系统等各种应用的基础,当前主流的数据库管理系统Oracle、DBZ、SQL、Sybase等在设计上缺乏全面考虑的安全分级管理策略,其与操作系统的众多接口很容易造成核心权限的失控,导致基于数据库漏洞的网络攻击成为黑客最常采用的攻击手段之一。最后,当前主流的软件开发技术瀑布模型、敏捷建模、中间件技术及软件构件化技术等对安全因素均不够重视。软件开发商和开发人员为追求商业利益,在应用程序开发过程中普遍存在重应用轻安全的思想,对威胁建模、安全策略和安全测试考虑不周,而宁可采取亡羊补牢的方法,导致当前各种应用程序漏洞频发和补丁程序满天飞这一极不正常的现象。并且由于补丁程序滞后于漏洞攻击程序这一必然规律,用户别无选择地被至于危险的境地。
5.保障网络信息安全的手段和措施
虽然网络信息系统的安全缺陷和安全威胁是客观存在的,但其风险是可以控制乃至规避的。
5.1网络信息安全的立法工作,强化对网络信息安全的重视。
法律是打击网络信息犯罪最有力的武器,是保障网络信息安全的根本。对所有危害网络信息安全的行为实施严厉的法律制裁,才能从根本上解决当前信息网络病毒泛滥、黑客猖撅、流氓软件明火执仗的无政府现状。网络信息安全也引起了我国政府的重视,国家有关部门建立了相应的机构,了有关的法规,以期加强对网络信息安全的管理。2005年4月1日开始实行《中华人民共和国电子签名法》,该法对于电子银行的业务发展是相当重要的,为银行在网络上的发展提供了基础的法律保障。2001年中国人民银行制定颁布的《网上银行业务管理暂行办法》直接规范了电子银行业务。为了有效地控制电子银行业务的风险,中国银监会制定了《电子银行业务管理办法》和《电子银行安全评估指引》,并且从2006年3月1日起正式实施,这一切都反映出我国对计算机网络与信息安全的高度重视,以及努力推动我国金融信息安全产业发展、提高我国信息安全技术水平的决心。
5.2强化网络信息安全体制。
研究表明,络信息安全漏洞主要是由于管理不善,因此,我们首先必须建立科学合理的网络信息安全管理、执行和监督机构,明确网络信息安全原则,构建网络信息安全策略,合理协调法律、技术和管理等诸多因素,实现网络信息安全的制度化。其次,必须建立从监测、响应、防护到恢复的一整套科学合理的网络信息安全管理体制,保证网络信息系统的安全运转。再次,必须正确认识当前的防病毒技术、人侵检测技术、防火墙技术、加密、解密技术、认证技术及数据恢复技术的重要性和局限性,采用最先进的安全技术保障网络信息安全。最后,加强人员的安全培训,提高网络信息安全防范意识,尽量减少人为因素造成的风险。
5.3开发安全的软件,防范于未然。
提高软件开发组织及其从业人员的安全意识,致力于开发安全的软件,从根本上减少软件系统的安全缺陷才是网络安全的终极之道。因此,所有软件开发从业人员必须掌握安全软件开发的思想和技术,坚决杜绝无视安全的开发。软件开发组织必须建立完善的安全软件开发管理制度,在软件开发过程中将软件安全性作为软件质量的一个重要测度,在设计阶段加入安全对策,并进行严格的安全测试,在正式前较少软件的安全缺陷,确保软件系统的安全性。
综上所述,网络信息安全是一个复杂的综合性工程,涉及法律、管理和技术等多个领域。虽然目前已经取得了一定的成效,但形势依然十分严峻,必须依靠众多相关方的共同努力,才能为广大信息网络用户打造一个安全可靠的应用环境。
参考文献:
[1]李卫.计算机网络安全与管理.北京:清华大学出版社,2006.1.
[2]蔡立军.计算机网络安全技术.北京:中国水利水电出版社,2005.2.
1影响计算机网络安全的因素
1.1操作系统的漏洞及网络设计的问题。目前流行的许多操作系统均存在网络安全漏洞,黑客利用这些操作系统本身所存在的安全漏洞侵入系统。由于设计的网络系统不规范、不合理以及缺乏安全性考虑,使其受到影响。
1.2缺乏有效的手段评估网络系统的安全性。缺少使用硬件设备对整个网络的安全防护性能作出科学、准确的分析评估,并保障实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。
1.3黑客的攻击手段在不断地更新。目前黑客的攻击方法已超过计算机病毒的种类,且许多攻击都是致命的。攻击源相对集中,攻击手段更加灵活。黑客手段和计算机病毒技术结合日渐紧密。黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
1.4计算机病毒。计算机病毒将导致计算机系统瘫痪,程序和数据严重破坏甚至被盗取,使网络的效率降低,使许多功能无法使用或不敢使用。层出不穷的各种各样的计算机病毒活跃在计算机网络的每个角落,给我们的正常工作已经造成过严重威胁。
2确保计算机网络安全的防范措施
2.1操作系统与网络设计。计算机用户使用正版软件,及时对系统漏洞打补丁,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在计算机网络中,建立起统一的身份认证,供各种应用系统使用,实现用户统一管理、认证和授权。网络管理员和操作员根据本人的权限,输入不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
2.2安全性评估。加强计算机网络各级使用人员的网络安全教育,建立健全计算机网络安全管理制度,严格执行操作规程和规章制度。网络管理人员对整个网络的安全防护性能进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议,从而提高网络系统安全性能。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。