当前位置: 首页 精选范文 建设网络安全范文

建设网络安全精选(十四篇)

发布时间:2023-09-20 17:51:07

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇建设网络安全,期待它们能激发您的灵感。

建设网络安全

篇1

目前,在我国的建设工程项目中运用Internet对建筑设备的监控是基于因特网的BAS系统的数据库框架中进行的。

现代智能建筑设备中的网络数据的目标、特性和应对的安全措施

智能建筑区域数据库中的数据必须具有以下特殊性:首先是独立性,包括物理数据独立性,即改变内部模式时无需改变概念或外部模式,数据库物理存储的变动还会影响访向数据的应用程序;逻辑数据独立性,即修改概念模式时无需修改外部模式;其次是共享性,数据库中的数据应可被几个用户和应用程序共享;最后是持续性,即数据在整个设定有效期内稳定保持。

数据库有三个主要组成部分:数据、联系、约束和模式。数据库管理系统则是为数据库访问服务的软件,它应为支持应用程序和操作库中的数据提供下列服务:事务处理、并发控制、恢复、语言接口、容错性、数据目录、存储管理。

智能建筑中的数据库系统(含子数据库系统)与某些商业系统相比,虽然规模不大,但功能复杂、性质迥异,因而主数据库与各子系统数据库的集成有着很高的技术难度,可以说是现有各种数据库技术的集成。理想的智能建筑数据库系统应具有以下特性:开放性面向对象,关系型,实时性、多媒体性、互操作性、分布性、异构性等。所以一个理想的智能建筑(集成)数据库体系应该是开放的,面向对象的、关系型的、实时的,分布式的或操作的多媒体异约数据库体系。这一体系的安全保障:

首先是安全性,即数据库在数据不得被非法更改或外泄。同时,智能建筑数据库中的数据也具有其他一般特性,如一致性等。其次是安全保障,智能建筑中各子系统数据库必须能免受非授权的泄露导致更改和破坏,每个用户(也包括各子系统)和应用程序都应只拥有特定的数据访问权,以防非法访问与操作。这一功能在FAS、SAS及某些OSA系统中是必不可少的。

因特网的数据库访问技术和远程监控的框架及房地产信息网络的安全措施

首先,因特网的数据库技术相结合的Web数据库的应用,实现了信息从静态向动态的转变,而其中远程数据服务是核心。

目前比较流行的Browser/Server模型是采用三层模式结构:表示(Browser),提供可视界面,用户通过可视界面观察信息和数据,并向中间层发出服务请求;中间层(WebServer)实现正式的进程和逻辑规则,响应用户服务请求,是用户服务和数据服务的逻辑桥梁;数据库服务层(DBServer),实现所有的典型数据处理活动,包括数据的获取、修改、更新及相关服务。

Browser端一般没有应用程序,借助于Javaapplet、Actives、javascript、vabscvipt等技术可以处理一些简单的客户端处理逻辑,显示用户界面和WebServer端的运行结果。中间层负责接受远程或本地的数据查询请求,然后运用服务器脚本,借助于中间部件把数据请求通过数据库驱动程序发送到DBServer上以获取相关数据再把结果数据转化成HTML及各种脚本传回客户的Browser、DBServer端负责管理数据库,处理数据更新及完成查询要求,运行存储过程,可以是集成式的也可以是分布式的。在三层结构中,数据计算与数据处理集中在中间层,即功能层。由于中间层的服务器的性能容易提升,所以在Internet下的三层结构可以满足用户的需求。

其次,远程监控的框架。

基于因特网的楼宇设备运程监控结构,这个结构是基于NT的平台上。对于市场上的BA系统,如江森和霍尼维尔等,他们系统内置有专用的数据库,并提供有接口可以转化为标准的数据库,通过前面提供的方法,用户可以从远程通过调用数据库来了解整个BA系统的情况。如果他想获得BA系统的实时状况和实时控制BA系统可以直接通过相应的CGI程序监控BA系统。

通过这样的结构,授权的用户可以在远程获得建筑设备每一个部件的相关数据,除了数据监测和报警功能之外,还有比如数据记录趋向预测、基本维护等功能。现代的BAS系统包括数以千计的外部点,所以传输的数据必须经过优化仅仅是关键数据才应该在BAS和远程使用者间传输。而在房地产建筑设备中,HVAC系统和照明系统最耗能的,在开率控制系统的功能时,用户的满意程度是主要的参考因素,所以目前建筑设备的控制和足够通风量;照明系统,为房客和公用区提供足够照明;报警系统有,对烟、火警的探测和处理;传送系统有升降机,传送带,运输带和自动门,电力供应系统等。

在大多数BAS系统中,主要是四类信号:模拟输入、模拟输出、数字输出、数字输入。对于一个具体的BAS系统而言,它的输入输出包括烟感探头状态,空气混合室、中过滤器状态,识别空调房间情况的传感器等;二进制输出包括回风机、送风机、VAV控制盒、照明、报警等;模拟量的输入包括回风和室外新风的温湿度;送风压力,VAV控制盒的空气流动速度,送回温度、房间温度、回风温度等;模拟量输出包括送风、回风的风速,冷水的流动速度等。所以可将需要远程传输的信号可以分为五类进行传输状态类、感受器类、报警器类、趋势类和控制类。

在现代化的房地产建筑中智能建筑建设与网络营销的原则为:业务为导向,市场为支力,网络为基础,技术为支撑,效益为根本,服务为保障

智能建筑设备给人们带来方便的同时,也给自己带来了一个个不速之客——黑客、信息网络及网络炸弹和因之而来利用网络犯罪分子,在方便自己的同时,也为那些离智能的犯罪分子带来了一个靠近自己便捷的通道。毫无疑问在HTML语言规划制定和Vbscript及javascript文件操作功能被现代建筑设备中广泛应用的同时,房地产信息网络安全不由自主地成为我们首当其冲的问题。

如前边所述,在利用数据库和因特网技术监控的同时,房地产信息网络的安全问题的措施也应运而生。

而网络“营销”需要两个条件:一是采取传统的市场营销手段;二是在网上提供价格有吸引力的商品。应该说至少到目前为止,传统营销与网络营销实质上是房地产整体营销策略的两个有机组成部分。传统营销的对象是房地产网站本身和房地产企业品牌,而网络营销的对象是有关企业的大量信息,这两部分是缺一不可的,只有整合才能使其发挥最大的功效。

传统搞品牌。房地产企业网站的知晓和品牌的建立只有通过传统营销方式才能得以实现。网站作为消费者与企业最终产品之间的中介者,首先必须把自己推销出去,引导消费者进入网站,这样才能使他们接触最终产品信息,而网站怎样才能引起消费者的点击欲望呢?传统媒体的广告促销是有力的帮手。就连以网上直销闻名的戴尔公司,也在电视的黄金时段大打广告。在宣传网站的同时,还必须把网站同企业的品牌形象紧密结合在一起,吸引真正有需求的目标消费者,以免虚耗宣传资源。因此企业就必须得在消费者购买决策前树立品牌形象。只有这样,消费者才会垂青于载有该品牌信息的网络。对于房地产这种高价值产品,品牌效应在消费者购买决策者中是一个重要影响因素。良好的品牌形象也是房地产企业的一项无形资产。借助传统媒介建立品牌形象,是房地产企业利用传统营销手法引导消费者登陆企业网站的一个较好方式。如果没有传统营销的帮助,网络营销只能坐着冷板凳,感叹英雄无用武之地了。

篇2

医院信息化建设中网络安全存在技术因素与人为因素的干扰,需要针对各医院实际情况做管理制度的完善健全,提升技术手段,规范管理细节措施,提升全体人员对网络安全维护的意识与能力,从而有效的保证医院信息化建设的高效化、安全化,有序化。

关键词:

医院;信息化建设;网络安全;防护

医院信息化建设不断加快与成熟,促使整体的医疗诊治水平提升,保证了诊疗工作的准确与效率。但是随着信息化的普遍性,相关网络管理工作也日益复杂,尤其是我国恶意软件与不良网络攻击情况严重,导致医院网络安全管理存在较大的威胁。网络安全是医院信息化建设中的重要工作,是保证信息化工作开展的基本保障。

1医院信息化建设中的常见安全隐患

1.1技术因素

医院信息化建设中,会广泛的涉及到服务器、客户端、链路、软件系统、存储与网络设备等多种构成元素。医院信息化建设有效的提升了整体的诊疗水平,提高工作效率与便捷性,但是网络安全问题也日益突出,相关信息资源的泄露或者系统攻击都极大的威胁了信息化建设的有序开展。在安全管理中,物理性环境安全、操作系统安全、数据备份安全等都是网络系统建设的常见安全问题。而常规性的运用防火墙以及其他防病毒操作都无法有效的保证信息化平台的安全性,容易引发数据泄露、损坏与丢失,进而干扰了医院正常工作运转,甚至也对患者个人信息构成泄露,急需要通过更强的防护技术来做保障。对于部分医院而言,会简单的认为设置一定安全防火墙就可以保障系统的安全性,甚至认为不需要其他安全防护来做安全保障,这主要是安全防护工作中缺乏与时俱进的先进意识,认识误区较为明显。而防火墙只是防护手段中的一种,能够防御性的安全问题较为局限,对网络内部与旁路攻击都无法达到理想的防护效果,同时针对内容攻击的问题也无法处理。部分设备中只是对攻击行为进行警告,但是并不具备攻击行为的防控能力。在数据库升级中,可以到数据库做用户操作登录记录,可以达到操作源IP地址的定位,但是缺乏无法阻止其做恶性操作,例如对数据信息做恶意的窃取与篡改,甚至无法认定操作人员最终责任,因为账户登录只需要账户与密码就可以进行,但是这种登录操作任何掌握信息的人都可以进行,无法达到全面的管控。此外,安全防护措施工作量大,操作复杂。在做IP与MAC地址绑定中,需要管理人员针对每台交换机做操作,对绑定信息做逐条的输入,工作负荷相对更大,操作缺乏高效便捷性。其次,如果有人懂得相关网络基础技术,可以轻易的做到IP与MAC地址的变更,从而引发绑定操作失效。此外,医院主机装备了杀毒软件,然而由于数量较多,不能有效的对每个主机做杀毒软件的统一性管控,对于病毒库的更新以及软件的开启等情况都无法做有效确定,相应的系统补丁也不能及时有效更新,进而导致安全防护效果不能确定。虽然医院投入大量的财力与人力做好安全防护措施处理,但是实际上缺乏可执行性,同时由于各设备间缺乏关联性,从而对于实际效果无法做有效评估与管控,安全防护措施与手段的运用则流于形式。

1.2人为因素

医院信息化建设更多的操作需要人为进行,因此人为因素是网络安全管理的重要因素。医院没有将网络安全明确到人,缺乏责任制管理,无论是安全管理人员还是普通工作人员,缺乏足够的安全管理意识。没有形成规范合理的信息系统建设制度规范,导致实际操作无章可循。没有强效的安全检查与监督机制,同时也没有专业的第三方机构做安全性介入管理。相关工作人员缺乏专业资质认定,对于网络安全没有展开合宜的宣传教育,同时也缺乏对应工作与行为考核,导致工作人员缺乏应有的安全责任观念。因为工作人员缺乏安全意识与专业的安全能力,会出现将个人电脑接入医院内部网络,从而导致病毒携带入网,导致相关信息化系统运行故障。或则将医疗业务网络电脑与互联网、外网连通,导致相关网络中的病毒、木马程序进入到医院的内部网络,导致网络病毒蔓延。工作人员会因为有职务的便利性,会访问医院有关数据库,从而得到数据资料的窃取与篡改,进而导致相关经济损失。同时黑客会通过技术手段接入到医院内部网络中,进行直接性的网络攻击,医院与医保网络系统处于连通数据验证操作所需,如果被攻击则容易导致严重后果。

2医院信息化建设中的网络安全防护

2.1完善管理制度

医院网络运行保持安全性效果的基础在于完善健全的制度管理,可以通过对医院实际情况的了解,设置针对性安全管理操作制度、监督制度、用人制度、激励制度等多种内容。确保所有有关工作的开展有章可循,提升操作的标准性、可执行性。要不断的强化制度的权威性,让工作人员对此保持谨慎态度,避免安全疏忽。

2.2安全管理细节措施

医院网络管理需要多方面的细节措施来保证。例如为了保证服务器能够可靠稳定的持续工作,需要运用双机容错与双机热备对应方案,对于关键性设备需要运用UPS来达到对主备机系统的有效供电,确保供电电压持续稳定供应,同时避免突发事件。网络架构方面,需要将主干网络链路采用冗余模式,这样如果出现部分线路故障,其余的冗余线路可以有效继续支持整个网络的运转。需要运用物理隔离处理来对相关信息数据传输设备保持一定的安全防护,避免其他非专业人员或者恶意破坏人员对设备进行破坏,需要做好业务内网与外网连通的隔离,避免网络混合后导致的攻击影响或者信息泄露。对于医院内部的信息内容,需要做好数据与系统信息的备份容灾体系构建,这样可以有效的在机房失火或者系统运行受到破坏时快速的恢复系统运行。要展开网络系统的权限设置,避免违规越权操作导致系统信息数据的修改有着窃取,要做好数据库审计日志,对于相关数据做动态性的跟踪观察与预警。

2.3技术手段升级

在网络安全防护措施上需要保持多样化与多层次的防护管理,积极主动的寻找管理漏洞,有效及时的修补管理不足。对网络设备做好杀毒软件的有效管控,建立内外网间的防火墙,限制网络访问权限,做好网络攻击预警与防护处理。对于网络系统各操作做有效记录跟踪,最安全漏洞做到及时发现并修复。要投入足够人力与财力,优化工作人员技术水平,从而有效的保证技术手段的专业完善性。

结束语

医院信息化建设中网络安全需要医院所有人员的配合,提升安全意识,规范安全管理制度与行为,确保网络安全的有序进行。

作者:梁子 单位:广州市番禺区中心医院

参考文献

[1]李骞.医院信息化建设中的网络安全与防护措施探析[J].网络安全技术与应用,2015(9):43,45.

篇3

随着时代的发展和科技的进步,各种新型医疗信息系统在医院中应用的范围不断扩大,医院信息化建设得到飞速发展,但是医院在对信息技术进行应用时,不仅得到很多有利之处,也有一些不容忽略的网络安全现象。比如,信息的泄漏、APT攻击等,这些问题的出现对医院的信息化建设产生极大影响。所以,医院需要采取有效的网络安全防护手段,建构安全、稳定的网络环境,然后对网络的管理进行规范,加强网络安全的管理强度,进而为信息化建设发展奠定基础。

2医院信息化建设中网络安全隐患

网络安全使之网络系统内的各种软件、硬件和数据等可以得到有效保护,不会因为偶然或者恶意行为而被破坏、更改或者泄露,可以确保网络系统稳定、正常运行,提供的服务也不会出现中断的情况。因为医院资深具有特殊的性质,所以医院的信息系统需要在24小时内都可以正常运转,而且,医院的信息系统辐射的范围比较广,是医院的全部部门,包含患者在就诊时的各个环节,这就使医院的业务对网络有较强的依赖性。而且,医院借助互联网可以和医保进行联网,这就使医院的网络变的更加开放,使医院受到攻击和感染病毒的概率增加,只要其信息化系统发生故障,就会对整个医院的运行和管理带来很大影响,还会为医院和患者带来损害甚至是灾难。目前,医院信息化建设中网络安全问题主要有一些层面:网络安全,系统安全和数据安全。系统安全主要有程序、操作以及物理安全;网络安全随网络攻防技术的发展而更加复杂和多样;数据安全包括数据自身和数据防护的安全。从应用服务层面出发,网络安全主要是在网络终端接入网络后出现的安全问题,比如黑客、病毒、操作违规以及非法入侵等,造成系统内的网络断开,服务器的瘫痪或者病人账户被盗以及丢失数据等。从产品层面出发,主要是硬件、应用程序以及软件系统内被植入恶意代码等带来的隐患。从技术层面出发,主要是产品信息自身在设计和研发层面的缺陷,也包含日常维护管理和信息科技带来的隐患。从物理层面出发,主要是操作错误,自然灾害或者人为的破坏等,使计算机不能继续运行。

3医院信息化建设中网络安全防护的对策

3.1建构起科学的网络安全管理体制

要想确保医院网络安全,首先需要制定科学的网络安全管理规章制度,医院需要和自身实际相结合,使用科学方法和管理体制,比如机房的管理规范、数据资源备份存储制度、网络的运行和维护制度以及信息系统的操作制度等,还需要对工作人员的安全意识进行培养,确保医院的网络管理有理有据。医院需要成立网络应急小组,在出现网络安全问题后,小组需要按照事件严重性程度采取相关措施,尽可能快的恢复网络,并把事故的时间、影响和损失降至最低,形成问题长效整改机制。3.2使用科学的网络管理手段医院需要以自身的实际发展状况为基础,实施正确、科学的网络管理手段,进而确保医院的整个信息系统可以正常、高效与安全运行。首先,为了确保医院信息系统内的服务器可以稳定、可靠与高效运行,需要使用双机热备和双机容错等措施进行解决。其次,对于系统内一些比较关键和重要的设备,可以借助UPS对主机设备进行供电,这样可以在确保拥有稳定电压的同时,有效防止出现突况。再次,在对网络的架构进行设计时,需要把主干网络的链路也建构为冗余模式,如果主干网络的线路出现了故障,就可以借助冗余线路确保网络数据信息仍然能够正常进行传输,语言的专业人员需要对网络的外网与业务的内网开展物理分离处理,进而避免互联网与业务网络的混搭现象,这可以从根本上降低因为互联网的因素影响而造成医疗数据出现外泄可能性,还能够防止非法用户使用外网进入到医院服务器和信息系统中。接着,医院还需要建构系统与数据的备份体系,进而保证在机房出现灾难或者储存设备受到损坏时,可以在较短时间内恢复系统运行。最后,使用分级权限管理措施,防止数据修改或者越权进行访问的情况出现,还要对部分重要信息数据开展跟踪预警措施。

3.3使用科学的技术手段

首先,因为医院网络架构中内网与外网是隔离的,内网安全需求更高,所以需要安装更加强大的软件进行杀毒。并在内网和外网间建构防火墙网关,进而滤出一些不安全或者非法的服务,适当限制网络的访问,这可以对网络攻击行为起到一定的预警作用。其次,要想弥补防火墙自身的漏洞,医院需要使用专业化入侵检测体系,把各个关键点在网络内分散,然后借助对数据的审计、安全日志或者行为等检测得到的信息,进而了解网络或者系统内有被攻击或者违反安全措施的行为,还需要借助安全扫描技术等对可能出现的漏洞进行检查。最后,需要建构云安全平台,借助虚拟化平台实现网络安全集中管理,并使医院中网络安全管理成本得到降低,解决网络安全问题。

4结语

综上所述,语言的信息化建设中网络安全防护具有重要的意义,需要引起相关人员的重视,不断对其进行改进与完善,切实发挥出网络安全防护的作用,进而促进医院的信息化建设发展,更好的为病人服务。

作者:鲍怀东 单位:吉林市急救中心

参考文献:

[1]韩辉.医院信息化建设中网络安全分析与防护[J].信息安全与技术,2014,(05):91-93.

[2]徐亚雄.医院信息化建设中的网络安全分析与防护[J].网络安全技术与应用,2015(11):43-43.

[3]李骞.医院信息化建设中的网络安全与防护措施探析[J].网络安全技术与应用,2015(09):43-43.

篇4

关键词:网络安全;系统建设策略;应对措施

1 计算机网络安全系统

1.1网络完全系统简介

因为现在越来越多的针对计算机的网络攻击正在互联网上不断蔓延,例如从原来的熊猫烧香病毒的盛行到现在比较普遍的木马以及蠕虫病毒的泛滥,可以看出现在的计算机网络安全的形势是不容乐观的,网络的安全是所有客户的需求,所以建立一个实用的计算机网络安全方案就是势在必行的,也是所有互联网从业者的共同的心声。计算机网络安全系统就是借助互联网的桥梁的作用把相关的硬件和软件的资源合理的配置在一起形成一个具有主动防御网络攻击、病毒传播的安全体系。该体系能够实现对于来自网络的攻击进行自动的拦截、分析并采取相对应的技术手段措施锁定发起攻击的网络内的计算机的物理地址,并联网寻求解决出现的问题的方法。整个计算机网络安全系统建设的方案应该包括对于网络攻击等问题的分析判断、市场对于治理网络攻击的需求心声、网络安全系统建设的目的以及网络安全系统的详细的层级设计等等几部分。以典型企业为案例介绍了网络系统安全规划与设计方案实战过程,使读者对网络系统安全规划与设计思路有一个初步的认识和大概的了解。

1.2 网络安全目标

要保证互联网内的各个计算机都能够不受网络攻击的安全运行就必须建立一个行之有效的网络安全防御体系,能够让处在这个体系之内的所有计算机都能够对来自网络其他地方的攻击采取主动地防御措施,阻止病毒的不断复制与传播、关闭黑客的入侵端口等等。建立计算机网络安全系统的目标其实就是建设一个完善的计算机防御体系,可以把公司内部的局域网和外网隔离开来,断绝来自外网的网络攻击路径,自动的将黑客以及病毒等网络威胁隔离在局域网之外,保护局域网内的计算机能够安全、正常的通信和工作;有关于局域网内的计算机向外网发送服务请求的问题,网络安全体系应该及时的对有关请求服务的数据信息进行相应的跟踪和监测,自动的将外网反馈回来的带有病毒等的危险有害的信息数据进行过滤,使局域网内接收相关请求回复的计算机能够免于被来自外网的黑客劫持DNS等重要信息,以至于造成不必要的经济损失。面对着越来越严峻的网络安全的形势,所以计算机网络安全系统的建设已经刻不容缓的事情,必须要加紧出具相应的有效解决问题的措施。只有不断升级网络安全系统的防护,才能保证互联网内的用户快速、安全的访问互联网,才能切实有效的保障客户的根本利益不被损害。

2 计算机网络安全系统的建设策略

对于如何建设网络安全系统,就必须要遵照一定的建设策略。这里的建设策略主要是围绕计算机系统的各个层面来说的,具体的方法就是以下几个方面。

2.1系统安全策略

对于计算机的网络安全系统的建设来说,首先应当遵循的就是系统的安全策略。系统的安全策略就是从计算机操作系统的层面进行防护的措施。最主要体现的就是计算机操作系统对于来自外网的黑客或是病毒入侵的防范能力,一般情况下,计算机操作系统都会在后台自动加载病毒或是危险因素的防御程序,以弥补在接入互联网的过程当中防范的不足。这些程序都是以后台的形式验证来自外网的数据的真实性,如果操作系统认为外来的信息是威胁因素,就会采取修补系统漏洞的方式予以下载相对应的系统补丁;如果操作系统认定该外来数据信息是真实可靠的,就会对下一个数据进行跟踪监测,直到发现问题,才会启动后台修补漏洞的程序。所以说,选择计算机的操作系统这一步就比较关键,现在市面上已经出现了很多不同的操作系统,对于黑客以及病毒入侵的网络攻击的防范力度以及能力也会有所差异,这中间也有一定的规律可以遵循。一般情况下就是推出时间越近的操作系统对于这些网络攻击的防御能力也是越强的,因为它们就是根据之前的版本出现的问题进行修改升级之后推出的补丁升级版,所以在对抗网络攻击的时候就会更加应付自如。在这里我对于系统安全策略的建议就是尽量去官方网站下载最新的操作系统,并且保持更新的状态,以便于实时的更新病毒库,为后来的防御做好准备。

2.2应用系统安全策略

对于计算机网络安全系统在应用系统安全上的建设策略就是应用程序的安全检测问题。计算机不仅仅需要操作好的系统,还应该配合各种应用程序的使用,才能发挥计算机的基本信息交换以及互相通信的服务功能。但是现在网络上的许多应用程序都被黑客植入了病毒,当普通的客户下载这些带有病毒的应用程序时,就会感染这些病毒,从而整个计算机就会瘫痪,计算机内保存的重要资料也会被盗取,给客户造成很大的经济损失。所以要想在应用系统安全的策略层面上建立网络安全系统就必须要严格检测各种应用程序,检测其是否带有病毒等威胁,做到在源头上断绝病毒等威胁的载体,确保计算机安全、有效、正常的运行。

2.3物理层安全策略

对于计算机网络安全系统在物理层安全上的建设策略就是计算机周边配件的安全检测问题。计算机通过与周边的设备例如路由器、交换机、打印机等等连接来获取数据信息以及执行相应的操作,所以建设网络安全系统还需要从物理层的安全角度来考虑。就以物理层里比较常见的路由器和交换机来说,它们是连接计算机与外部数据信息的桥梁,外部的数据信息都经过路由器和交换机的数据分析和传递,才能和计算机进行信息的交换。外网的黑客可以利用计算机通讯的这个特点,将外部数据的信息包进行技术伪装,让路由器和交换机根本查验不出数据信息的真伪以及是否携带有病毒就进入到计算机当中进行信息的盗取和对于系统的破坏,所以物理层的安全对于整个网络安全系统的建设来说是非常重要的。

3 总结

鉴于目前日趋复杂的网络安全形势,需要建立起全面的、立体防御系统来对抗来自外网的黑客和复制性很强的病毒的网络攻击,这个网络安全防御系统需要从不同的层面考虑网络威胁侵入计算机的路径,从而针对具体的威胁因素制定最好的解决方案。随着计算机技术以及网络的不断发展,虽然会出现越来越多的网络安全问题,但是我相信一定也会有相对应的更好的、更全面的应对措施。■

参考文献

篇5

[关键词]油田企业;信息安全体系;措施

我国社会主义经济和科学技术的不断发展,使信息化的进程不断地加深,网络信息的安全建设已经成为了各个企业信息管理中的主要任务之一。信息技术的大量使用,使企业在进行信息管理和数据储存的时候变得更加容易。同时,由于网络覆盖面积广,存在着互通性,一些不法分子也可以利用一些技术手段,对企业的网络信息体系展开攻击,对其中的信息数据进行窃取和破坏,后果十分严重。建设网络信息的安全体系,不仅是油田企业的需要,也是社会发展的需要。

1影响油田网络信息安全体系建设的因素

近年来,我国科学技术不断发展,网络技术与信息技术不断的融合提高,各个产业的信息化建设都在如火如荼的进行当中。在油田企业的信息化建设中,建立油田网络信息安全体系,保证体系安全稳定的运行,不仅可以降低因为网络的安全性对油田企业信息的泄露,减少企业的不必要的损失,同时可以保障企业生产的顺利进行,防范意外信息安全事件的发生。在具体的工作中,影响油田网络信息安全体系建设的因素,主要包括以下几个方面。

1.1人为因素

人为因素指的是一些不良分子,通过使用一些不良手段和高科技技术,对油田企业网络信息安全的密码、口令进行盗取或篡改,导致油田企业网络信息遭到泄露,从而使企业蒙受了巨大的损失。例如:电脑黑客对油田企业网络信息的盗取,以及对安全体系的破坏。

1.2网络病毒

网络技术在油田中的广泛使用,提高了油田企业的工作效率,但是也存在着一定的风险,网络病毒的侵袭就是其中之一。由于网络病毒存在着隐匿性、潜伏性等特征,在入侵的时候极难被察觉,网络病毒的入侵,会导致油田企业网络信息安全系统的崩溃或瘫痪,与其有关的信息也会遭到破坏或删除。所以,在油田网络信息安全体系的建设中,一定要重视网络病毒存在的威胁,加强防毒建设以及防毒软件的设计与使用,有效的降低网络病毒对油田企业网络信息的破坏。

1.3系统自身存在漏洞

在油田企业的网络信息安全体系建设中,信息系统中难免会存在着一些漏洞,一些不法分子以及网络病毒,往往就是透过信息系统中存在的漏洞,来入侵油田企业的网络系统,从而进行网络信息的窃取和网络系统的破坏,严重的影响了油田企业网络信息的安全。1.4油田企业内部的威胁虽然信息化建设在油田企业中已经初步规模,相关配套管理制度也已经建立,但是在企业内部仍有一些工作人员不能很好的遵守,利用自己工作的便利和权限,私下搭建无线网络、等环境,致使网络安全风险增加,同时可能导致油田企业的网络系统出现故障,无法正常的进行使用。

2加强油田网络信息安全体系建设的对策和建议

2.1加强油田网络安全体系外部安全建设

在油田企业中,许多数据信息资源都是存储在网络系统当中的,一旦油田企业的网络安全体系出现了问题,就会使得这些数据信息资源外泄或者消失,给油田企业带来不可挽回的后果以及巨大的经济损失。因此,在建设油田企业网络安全体系的过程中,要加强对外部人员非法入侵和病毒防治的相关保护工作的重视程度和管理力度,提升油田企业网络信息安全体系的安全等级,建立防火墙,有效的在油田网络系统与外界之间铸造一道防护的屏障,在网络与油田网络信息安全体系之间建立一个安全网关,使外来入侵者和网络病毒无法对网络系统发起不良攻击,保证油田网络信息的安全。防火墙的存在,使其安全体系得到了巩固与加强,防火墙可以通过具体的设定,有效的阻止外来因素对网络体系内部的破坏,以及对数据信息的盗取。防火墙中的入侵检测系统,可以及时发现入侵的病毒,在网络病毒没有对油田企业网络信息系统造成损害之前,将其处理掉。

2.2加强油田网络信息体系的内部安全建设

加强网络信息体系外部安全建设,阻止来自企业外部的人为破坏和病毒侵袭,可以有效的提高油田网络信息体系的安全性与稳定性。但是,要想在信息管理过程中,保证其的安全与稳定,就需要从企业的内部入手,加强企业的内部建设,改善当前油田网络信息安全体系建设的现状和存在的问题。在具体的工作中,可以从网络安全系统的权限访问设置以及对网络病毒的防治、防控入手。在实际的操作过程中,可以构建一个油田企业专用的网络数据库,并针对不同的人群,设置不同的使用权限,以保证数据信息的安全。在进行病毒的防治、防控的过程中,要对病毒传播的途径和方法进行重点的研究,对常见病毒工作的原理以及感染的征兆进行充分的了解,在对病毒的防控管理过程中,需要坚持层层设防,集中控制,以防为主防治结合的基本原则来进行,提高油田网络信息安全体系对病毒防治的效果。

3总结

油田企业网络信息安全体系的建设,其目的在于保证油田企业相关数据信息的安全。在体系建设的过程中,针对可能会出现的漏洞,要加强对企业外部安全的建设,防治不良分子和病毒通过漏洞进入油田企业的网络安全体系,对其进行大肆破坏,导致重要数据信息资料被窃取或损坏。此外还要加强内部建设,坚持以防为主,防治结合的基本原则,加强安全体系的建设,保证油田企业信息数据的安全管理能力得到有效的提高。

主要参考文献

[1]李景瑜.解析油田网络安全管理和防护建设[J].科技与企业,2015(1).

[2]旺建华.浅谈油田网络信息安全应急预案的建设[J].中国信息化,2013(12).

篇6

【关键词】 新技术 烟草 网络安全 建设 管理

在计算机和互联网的帮助下,烟草企业内部的订单交易、货款支付等均变得更为方便,然而在实际网络建设以及管理工作当中经常发现,企业内部的网络存在安全问题,严重影响了企业的生产运营安全。因此本文将在以物联网为基础,简要分析新技术发展环境下的烟草网络安全建设与管理。

一、影响烟草网络安全建设和管理的原因

1、自然原因。所谓的自然原因指的是在烟草企业内部网络设备例如路由器、电子计算机等因质量问题或操作不当等原因出现故障,或是因为停电、火灾等自然原因导致数据损毁、丢失。除此之外,网络中节点多元异构性和多样性,电池在网络节点中的实际续航能力,以及网络设备耐高温、抗寒冷能力等也会对烟草网络安全建设与管理造成一定的影响,而由于自然原因很难进行提前预估和判断,因此管理和建设安全网络中的困难和阻碍也比较多[1]。

2、信息传输。在传输网络数据的过程当中,数据很有可能未得到有效的加密保护,在无线模式或是广播等方式下,信息在传输过程中可能会遭受黑客的非法入侵,通过非法破解网络秘钥,强行入侵企业内部网络;除此之外还有可能信息数据在中途遭到拦截阻断,路由协议等遭到私自篡改,某些黑客或企业竞争对手为窃取烟草企业内部数据、非法获取重要信息,还有可能会采取伪造虚假路由信息等方式,这同样严重影响了企业网络安全。

3、隐私泄露。在物联网下,烟草网络系统中使用大量的电子标签与无人值守设备,而设备一旦遭到劫持将直接导致企业内部隐私信息和机密文件大量泄漏,还有可能不法分子在用户登录的界面当中安装追踪软件,对用户的登录信息和浏览记录等隐私信息进行恶意追踪,从而进行非法勾当。物联网只有具备极强的安全性和可靠性才能够有效保护内部隐私信息的安全[2]。

4、自身缺陷。企业内部的网络建设本身存在一定的安全漏洞,即使是在新技术不断发展进步的当下,仍然没有设计出一款绝对安全的网络系统,任何一种网络当中或多或少会存在一定安全漏洞,特别是在遭受黑客的非法入侵、木马病毒等恶意攻击下,网络系统中的重要信息可能遭到损毁和破坏,甚至有可能导致整个系统崩盘。因此物联网自身若缺乏安全稳定性将为黑客等不法分子以及木马病毒的入侵提供了可乘之机。

二、物联网下的烟草网络安全建设与管理

1、安全路由协议。物联网平台下的烟草企业网络安全建设与管理工作中,各网络节点中均有属于自己的路由协议与算法,因此需要以具体的路由算法为基础对安全协议进行划分,譬如说根据位置信息建立地理路由或根据数据信息建立层次式路由等等,尽量弥补路由的安全漏洞,以免发生丢失或损毁而导致企业蒙受损失。2、隐私信息处理。在物联网技术的应用下,烟草网络系统在采集和传输隐私信息的过程当中必须注重保障其安全性,防治隐私信息被中断拦截或遭到恶意篡改与窃取。因此可以在网络系统中增添基本的定位功能,利用电子地图、卫星信号或手机移动信号等进行位置确定,采用位置伪装技术如将IP地址进行隐藏或时空匿名等方式对查询、阅览隐私信息进行全方位安全保护。3、访问认证控制。在物联网下,用户在登录烟草网络系统时需要交换会话密钥用以确认申请者的真实身份,防止网络系统遭受不法分子的恶意攻击[3]。另外,还需要在网络系统当中加入信息认证功能,只有通过对对方真实身份信息进行确认之后才能够同意其访问申请,利用随机密钥预分布技术、公钥认证技术等物联网的认证机制,合法认证用户,确保网络系统的安全性[3]。4、采用密钥系统。烟草企业内部的财政报告、数据报表、发展规划等重要信息数据需要进行加密,从而有效确保信息数据的安全。在传输数据报告之前需要对其进行加密处理,在接收数据只有进行解密才可进行阅览和使用。在物联网技术下,可以采用VPN即虚拟专网保护远程节点,也就是说各网络节点中的通信节点在具体的网络结构当中使用密钥协商进行管理;也可以通过互联网密钥分配中心对密钥系统进行管理与分配,尽量使用复杂的密钥算法,提高其完全程度,并且将密钥的周期压缩至最低,即使已经截获部分密钥并进行破解,也无法生成新的密钥。

结论:总而言之,在新技术发展的环境之下,烟草企业的发展与互联网和电子计算机系统之间的关系越来越紧密,而在顺应社会和时代潮流,不断建设网络的过程中,烟草公司需要重点注意其安全性问题,通过定期对内部网络进行病毒查杀以及加密重要数据等,切实做好网络管理工作,有效保障企业内部生产运营安全。

参 考 文 献

[1]马强. 试谈烟草企业网络安全建设与管理方法[J]. 电脑编程技巧与维护,2016,08:93-94.

篇7

关键词:校园网;网络搭建;网络安全;设计。

以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。

一、基本网络的搭建。

由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:

1.网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。

2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。

二、网络安全设计。

1.物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。

2.网络共享资源和数据信息安全设计针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。

但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。

3.计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。

第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。

篇8

现代智能建筑设备中的网络数据的目标、特性和应对的安全措施

智能建筑区域数据库中的数据必须具有以下特殊性:首先是独立性,包括物理数据独立性,即改变内部模式时无需改变概念或外部模式,数据库物理存储的变动还会影响访向数据的应用程序;逻辑数据独立性,即修改概念模式时无需修改外部模式;其次是共享性,数据库中的数据应可被几个用户和应用程序共享;最后是持续性,即数据在整个设定有效期内稳定保持。

数据库有三个主要组成部分:数据、联系、约束和模式。数据库管理系统则是为数据库访问服务的软件,它应为支持应用程序和操作库中的数据提供下列服务:事务处理、并发控制、恢复、语言接口、容错性、数据目录、存储管理。

智能建筑中的数据库系统(含子数据库系统)与某些商业系统相比,虽然规模不大,但功能复杂、性质迥异,因而主数据库与各子系统数据库的集成有着很高的技术难度,可以说是现有各种数据库技术的集成。理想的智能建筑数据库系统应具有以下特性:开放性面向对象,关系型,实时性、多媒体性、互操作性、分布性、异构性等。所以一个理想的智能建筑(集成)数据库体系应该是开放的,面向对象的、关系型的、实时的,分布式的或操作的多媒体异约数据库体系。这一体系的安全保障:

首先是安全性,即数据库在数据不得被非法更改或外泄。同时,智能建筑数据库中的数据也具有其他一般特性,如一致性等。其次是安全保障,智能建筑中各子系统数据库必须能免受非授权的泄露导致更改和破坏,每个用户(也包括各子系统)和应用程序都应只拥有特定的数据访问权,以防非法访问与操作。这一功能在FAS、SAS及某些OSA系统中是必不可少的。

因特网的数据库访问技术和远程监控的框架及房地产信息网络的安全措施

首先,因特网的数据库技术相结合的Web数据库的应用,实现了信息从静态向动态的转变,而其中远程数据服务是核心。

目前比较流行的Browser/Server模型是采用三层模式结构:表示(Browser),提供可视界面,用户通过可视界面观察信息和数据,并向中间层发出服务请求;中间层(WebServer)实现正式的进程和逻辑规则,响应用户服务请求,是用户服务和数据服务的逻辑桥梁;数据库服务层(DBServer),实现所有的典型数据处理活动,包括数据的获取、修改、更新及相关服务。

Browser端一般没有应用程序,借助于Javaapplet、Actives、javascript、vabscvipt等技术可以处理一些简单的客户端处理逻辑,显示用户界面和WebServer端的运行结果。中间层负责接受远程或本地的数据查询请求,然后运用服务器脚本,借助于中间部件把数据请求通过数据库驱动程序发送到DBServer上以获取相关数据再把结果数据转化成HTML及各种脚本传回客户的Browser、DBServer端负责管理数据库,处理数据更新及完成查询要求,运行存储过程,可以是集成式的也可以是分布式的。在三层结构中,数据计算与数据处理集中在中间层,即功能层。由于中间层的服务器的性能容易提升,所以在Internet下的三层结构可以满足用户的需求。

其次,远程监控的框架。

基于因特网的楼宇设备运程监控结构,这个结构是基于NT的平台上。对于市场上的BA系统,如江森和霍尼维尔等,他们系统内置有专用的数据库,并提供有接口可以转化为标准的数据库,通过前面提供的方法,用户可以从远程通过调用数据库来了解整个BA系统的情况。如果他想获得BA系统的实时状况和实时控制BA系统可以直接通过相应的CGI程序监控BA系统。

通过这样的结构,授权的用户可以在远程获得建筑设备每一个部件的相关数据,除了数据监测和报警功能之外,还有比如数据记录趋向预测、基本维护等功能。现代的BAS系统包括数以千计的外部点,所以传输的数据必须经过优化仅仅是关键数据才应该在BAS和远程使用者间传输。而在房地产建筑设备中,

HVAC系统和照明系统最耗能的,在开率控制系统的功能时,用户的满意程度是主要的参考因素,所以目前建筑设备的控制和足够通风量;照明系统,为房客和公用区提供足够照明;报警系统有,对烟、火警的探测和处理;传送系统有升降机,传送带,运输带和自动门,电力供应系统等。

在大多数BAS系统中,主要是四类信号:模拟输入、模拟输出、数字输出、数字输入。对于一个具体的BAS系统而言,它的输入输出包括烟感探头状态,空气混合室、中过滤器状态,识别空调房间情况的传感器等;二进制输出包括回风机、送风机、VAV控制盒、照明、报警等;模拟量的输入包括回风和室外新风的温湿度;送风压力,VAV控制盒的空气流动速度,送回温度、房间温度、回风温度等;模拟量输出包括送风、回风的风速,冷水的流动速度等。所以可将需要远程传输的信号可以分为五类进行传输状态类、感受器类、报警器类、趋势类和控制类。版权所有

在现代化的房地产建筑中智能建筑建设与网络营销的原则为:业务为导向,市场为支力,网络为基础,技术为支撑,效益为根本,服务为保障

智能建筑设备给人们带来方便的同时,也给自己带来了一个个不速之客——黑客、信息网络及网络炸弹和因之而来利用网络犯罪分子,在方便自己的同时,也为那些离智能的犯罪分子带来了一个靠近自己便捷的通道。毫无疑问在HTML语言规划制定和Vbscript及javascript文件操作功能被现代建筑设备中广泛应用的同时,房地产信息网络安全不由自主地成为我们首当其冲的问题。

如前边所述,在利用数据库和因特网技术监控的同时,房地产信息网络的安全问题的措施也应运而生。

而网络“营销”需要两个条件:一是采取传统的市场营销手段;二是在网上提供价格有吸引力的商品。应该说至少到目前为止,传统营销与网络营销实质上是房地产整体营销策略的两个有机组成部分。传统营销的对象是房地产网站本身和房地产企业品牌,而网络营销的对象是有关企业的大量信息,这两部分是缺一不可的,只有整合才能使其发挥最大的功效。

传统搞品牌。房地产企业网站的知晓和品牌的建立只有通过传统营销方式才能得以实现。网站作为消费者与企业最终产品之间的中介者,首先必须把自己推销出去,引导消费者进入网站,这样才能使他们接触最终产品信息,而网站怎样才能引起消费者的点击欲望呢?传统媒体的广告促销是有力的帮手。就连以网上直销闻名的戴尔公司,也在电视的黄金时段大打广告。在宣传网站的同时,还必须把网站同企业的品牌形象紧密结合在一起,吸引真正有需求的目标消费者,以免虚耗宣传资源。因此企业就必须得在消费者购买决策前树立品牌形象。只有这样,消费者才会垂青于载有该品牌信息的网络。对于房地产这种高价值产品,品牌效应在消费者购买决策者中是一个重要影响因素。良好的品牌形象也是房地产企业的一项无形资产。借助传统媒介建立品牌形象,是房地产企业利用传统营销手法引导消费者登陆企业网站的一个较好方式。如果没有传统营销的帮助,网络营销只能坐着冷板凳,感叹英雄无用武之地了。

篇9

关键词:虚拟局域网;医院;网络安全;建设

引言

伴随医院信息化建设脚步的不断推进,众多医院挂号、门诊、住院等各个流程产生的数据均实现了网络传输,网络安全在全面医院信息系统安全中扮演着越来越重要的角色。引入一系列先进技术强化对网络的管理、促进网络结构优化,是保证网络安全的一大保障。虚拟局域网作为可靠、高效的信息网络管理系统,其可为医院网络安全建设打下有力基础,在医院网络安全建设中可发挥至关重要的作用。虚拟局域网技术的推广极大水平上推动了医院工作的开展,然而在发展过程中如何解决安全保障问题是当前的一大关键,医院唯有在更可靠、更安全的网络建设中,方可有序高水平的开展工作,这同样是医院网络安全有序发展的前提。由此可见,对虚拟局域网下医院网络安全建设开展研究,有着十分重要的现实意义。

1虚拟局域网技术概述

虚拟局域网指的是经由将局域网内的设备逻辑地而并非物理地划分为各个网段,进一步实现虚拟工作组的技术。换言之,虚拟局域网是网络设备上连接的不受物理位移影响的用户的1个逻辑组。可将各个逻辑组概括为1个特定的广播域;各个虚拟局域网均涵盖了1组有着一致需求的计算机终端,以物理上形成的局域网有着一致的属性。通常而言,虚拟局域网在交换机上实现方法,主要包括四种划分策略,即分别为以端口为前提划分的虚拟局域网、以MAC地址为前提划分的虚拟局域网、以网络层协议为前提划分的虚拟局域网以及以IP组播为前提划分的虚拟局域网。其中,以端口为前提划分的虚拟局域网指的是结合交换机上的物理端口开展的划分,其优点在于可直接定义,划分便捷,易于实现,技术完善;不足之处则是用户物理位置发生变化时,要求重新进行定义,缺乏灵活性;其通常适用于各种规模的网络。以MAC地址为前提划分的虚拟局域网指的是结合用户主机MAC地址开展的划分,其优点在于用户移动时,虚拟局域网无需重新定义;不足之处则是设备初始化,要求对每一位用户进行定义;其通常适用于小型局域网。以网络层协议为前提划分的虚拟局域网指的是结合IP、Banyan、DECnet等网络层协议开展的划分,其优点在于可依据协议不同类型对虚拟局域网进行划分,且广播域可实现对不同虚拟局域网的跨越;不足之处则是效率偏低,技术不完善;其通常适用于同时运行多协议的网络[1]。以IP组播为前提划分的虚拟局域网指的是一个IP组播即为一个虚拟局域网,其优点在于灵活性高,易于经由路由器实现扩展;不足之处则是设置难度大,效率偏低,技术不完善,通常适用于处在不同地理范围的用户组成的网络。

2医院网络安全建设面临的主要困境

2.1对网络安全建设缺乏有效认识

伴随信息时代的飞速发展,网络安全建设越来越为诸多行业领域所关注,医院同样如此。然而现阶段,医院网络安全建设依旧处在初级发展阶段,网络安全建设还存在各式各样的问题,人们并未对网络安全建设形成有效认识,因为认识不足使得在网络设备引入后其作用难以得到有效发挥,造成各项设备未能切实为医院医疗服务工作创造便利,因而应当提高对网络安全建设的有效认识,方可让网络安全建设切实为医院所用。

2.2缺乏健全的网络安全保障

在医院网络安全建设中,诸多安全问题往往会被忽略,而网络安全显然是网络安全建设中的重要内容。一些医院在网络信息管理中表现出安全意识不足,缺少计算机相关人力、物力的投入,对网络设备管理维护缺乏足够重视,往往会在应用过程中出现因故障而无法使用的情况。近年来,医院面对庞大的医疗数据、信息,对网络信息系统变得更加依赖。而由于缺乏健全的网络安全保障,使得信息数据难以得到有效备份,一旦遭受病毒或者不法分子的攻击,使得医院信息数据被篡改、盗取等,必然会对医院带来极大的损失。

2.3缺乏完善的网络系统管理

医院网络系统管理缺乏一个切实完善的制度标准。首先,在设备维护方面,系统管理人员对设备保护认识不足,未能开展定期清理,长此以往,对设备使用性能造成不利影响。其次,一些系统管理人员对工作管理制度缺乏足够重视,应用网络设备做与工作不相干的事情,对设备运行速度造成不利影响,因而这些均属于医院网络系统管理中亟待解决的问题。

3虚拟局域网下医院网络安全建设策略

虚拟局域网技术的推广极大水平上推动了医院工作的开展,然而在发展过程中如何解决安全保障问题是当前的一大关键,医院唯有在更可靠、更安全的网络建设中,方可有序高水平的开展工作,这同样是医院网络安全有序发展的前提。在信息时代背景下,全面医院应当紧紧跟随时代前进步伐,不断开展改革创新,强化对先进发展理念的学习借鉴,切实推动医院网络的安全有序运行。如何进一步强化虚拟局域网下医院网络安全建设可以将下述内容作为切入点:

3.1虚拟局域网在医院网络安全建设中应用优势

医院网络安全建设中应用虚拟局域网技术具备一系列优势,主要包括有:(1)阻止广播风暴,提升网络整体性能。在局域网中各个工作站均会发送出广播信号并获取大量的响应,极易引发局域网中的广播风暴现象,因而在虚拟局域网组中,将局域网中各项业务工作依据内容不同开展划分,以实现广播信号之间的有效隔离,进而切实解决由于广播信号泛滥而引发的网络阻塞问题[2]。与此同时,依托虚拟局域网技术可将网络的诸多资源配置给需要的部分使用,一方面确保不同部门相互间网络资源需求的最大化,一方面尽可能提升医院网络使用效率,提升医院网络整体性能。(2)促进网络的安全有序运行。传统局域网中传输的数据报极易受到相同网络中任一设备操作截取,进而对医院信息安全带来极大威胁。虚拟局域网划分完毕后,均需要经由路由来转发局域网相互间的数据,没有路由的局域网则会转变为一个独立的局域网,其对应的安全性能同样可得到有效提升。(3)为网络管理、维护创造极大便利。将各项工作依据业务内容差异划分至各个虚拟局域网中,有利于系统管理员开展集中管理,无需再移动工作站便可灵活地将工作由一个局域网转入至另一个局域网,针对移动的办公用户,局域网还对这一移动设备的接入点进行自动识别,其性能与在本单位的局域网中无明显差异,倘若某一局域网中引发故障并不会对其他网络设备运行造成影响,进而为系统管理员在开展故障排除时提供有效便利[3]。

3.2虚拟局域网在医院网络安全建设中应用实例

以端口为前提与以IP组播为前提相结合划分的虚拟局域网,其沿用了最常规的虚拟局域网成员定义方法,操作简单,易于推广应用。医院网络有着节点多、分布范围广等特征,因而可推行核心层、汇聚层以及接入层的层次化设计模式,真正意义上确保网络的可扩展性。于Extream核心交换机上依据端口划分成VLAN2、VLAN3等多个虚拟局域网,同时逐一对应医院内部的多个不同部门。通过对三层交换机的统一应用,核心层、汇聚层可实现有序转发;同时,核心层、汇聚层采取光纤技术接入,获得千兆级带宽。依据各个业务层,将汇聚层交换机端口划分成各个虚拟局域网,虚拟局域网划分相应的IP地址,某一虚拟局域网中计算机便以其地址为网关,其他虚拟局域网则不可与这一虚拟局域网处在同一子网。相同虚拟局域网的不同交换机端口的相互访问,可依托IEEE国际标准VLANTrunk得以实现。可将两台交换机级联端口调节成Trunk端口,如此一来,在交换机将数据包由级联口传输出去过程中,会于数据包中做一标记,以便于其他交换机识别这一数据包属于哪个虚拟局域网,然后,其他交换机接收到该数据包后,便会将这一数据包传输至对应指定的虚拟局域网,进一步实现跨越交换机的虚拟局域网内部数据传输接收[4]。虚拟局域网技术在医院网络安全建设中的应用,可极大水平减少医院信息网络数据包的传输,提升网络传输效率。与此同时,因为各个虚拟局域网必须要通过路由器转发方可完成通讯,由此为高级安全控制创造了可能,进一步极大水平提升了医院信息系统管理人员的管理效能及网络安全性。

4结束语

总而言之,当前时代背景下,医院网络安全有序运行与否,很大程度上影响着医院医疗工作的有序运行。鉴于此,医院相关人员务必要不断钻研研究、总结经验,提高对虚拟局域网技术内涵特征的有效认识,强化对医院网络安全建设面临主要困境的深入分析,强化对虚拟局域网技术的科学合理应用,积极促进医院网络的安全有序运行。

参考文献:

[1]张剑,张岩.虚拟局域网技术在医院网络建设中的应用[J].解放军医药杂志,2010,22(06):563-565.

[2]吕晓娟,王瑞,郭甲,等.运用虚拟局域网技术加强医院网络安全建设[J].医学信息(中旬刊),2011,24(07):3130-3131.

[3]杨瑾.浅谈虚拟局域网技术在医院网络建设中的应用[J].科技创新与应用,2016,16(31):106.

篇10

计算机安全的定义:

国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。

1.校园网目前存在的安全问题

1.1系统自身的安全隐患

任何系统都都可能存在缺陷,操作系统和网络软件也是有漏洞的,中职院校校园网中服务器操作系统基本上使用的是Windows 2003 Server。数据库服务器软件基本上使用的是Sql Server。客户端使用的是Windows XP,这些都是微软提供的软件,它们的漏洞几乎每隔几天都有新的被发现,如果我们的使用者不及时下载更新补丁,入侵者就可以根据扫描的结果进行攻击。

1.2计算机病毒的威胁

当今社会,计算机病毒和黑客攻击的威胁时刻影响着互联网,病毒制造者不断制造更隐蔽、破坏性更强的病毒。当校园网接入Internet后,受病毒感染的机会成倍增加。当校园网中任意一台机器感染上病毒,如果措施不当,极有可能会造成严重后果,轻则系统被破坏,重则大量资料被毁,甚至造成硬件的损坏。还有可能会在局域网内扩散,破坏网络资源,使整个网络的效率和作用急剧下降,直至造成校园网络系统的瘫痪。

1.3校园网安全管理有缺陷。

随着校园内计算机应用的大范围普及,接入校园网的计算机日益增多,如果管理措施不力,随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。校园计算机网络建设普遍存在重视硬件投入,忽视软件投资;重运行,轻管理的现象。

2.造成这些现状的原因

2.1网络安全维护的投入不足。

网络安全维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网上的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有比较系统的投入。

2.2盗版资源泛滥。

由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。系统自动更新引起的电脑黑屏事件,就是因为Microsoft公司对盗版的XP、Win 7操作系统的更新作了限制。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。

2.3网络管理员责任心不强。

很多学校的网络管理员的都具有一定的专业水平,基本可以胜任本职工作,但是可能由于学校领导对网络安全不是很重视,或者因为个人某些方面的原因,造成工作热情不高、责任心不强,所以也就不会花很多的心思去维护网络、维护硬件。

3.对策措施

为了提高校园网络的安全性,提出以下几点安全策略:

3.1安装系统补丁

现在校园网使用的操作系统基本上采用的是微软的产品,很多网络病毒都是利用微软的系统漏洞入侵个人电脑,进而在网络里进行传播。如果不及时更新系统补丁,病毒就可以利用这些漏洞进行入侵。但在目前,由于学校电脑大部分是处于公用状态,用户使用的时候不会太在意漏洞的修补,从而给了病毒和木马以可乘之机。建议学校网管人员安装补丁服务软件,如我校在校园网络中心部署的Windows Software Auto Update Services服务器,可以让用户直接从学校服务器上下载补丁进行安装,而不必从微软网站上更新,从而可以更快速、更安全的进行系统更新。

3.2安装全网杀毒软件

现在病毒传播速度很快,如果只装单机版的杀毒件,杀毒就比较棘手,需要一台一台的查杀。为了防止病毒在局域网内的感染,最好的办法是在校园网内安装网络杀毒软件,在学校网络中心配置网络版杀毒软件系统中心,负责管理校园网内所有主机节点的计算机。在各计算机节点分别安装杀毒软件的客户端。由管理员控制台负责对网络中所有客户端进行定时杀毒,及时升级杀毒软件的病毒库。并能定期的将杀毒软件的升级文件分发到各个客户端去,这样就能极大的减小病毒在网络内的传染。

3.3数据备份和恢复。

对于计算机而言,最重要的应该是硬盘中存储的数据。用户数据不要与系统共用一个分区,避免因重装系统造成数据丢失。重要的数据要及时备份,备份前要进行病毒查杀,数据备份可采取异地备份、光盘备份等多种方式。

3.4制定切实可行的网络安全管理制度。

为了确保整个网络的安全有效运行,有必要对网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需要的、切实可行的安全管理。主要包括以下几方面的内容:

(1)建立一个权威的信息安全管理机构,制定统管全局的网络信息安全规定;

(2)制定网络管理员的激励制度,促使他们提高工作热情,加强工作责任心;

(3)对网络管理员进行专业知识和技能的培训,培养一支具有安全管理意识的网管队伍,使他们从技术上提高应对各种攻击破坏的能力;

(4)把网络信息安全的基本知识纳入学校各专业教育之中;

(5)对学校教师和其他人员进行信息安全知识普及教育;

篇11

主要功能模块划分

对于文中平台主要功能的实现,则主要通过业务逻辑层来完成,概括起来主要包含四个方面的功能。

1设备管理

对于设备管理模块来说,可以作为其他功能模块的基础,是其他模块有机结合的基础模块,主要包括几个子功能:(1)设备信息管理;(2)设备状态监控;(3)设备拓扑管理等。这些子功能的实现,可以在网络拓扑和手动的基础上,通过统一通信接口来对设备的状态和性能进行实施的监控和管理,必要的情况下,还可以通过图形化的方式来表示,方便平台和系统管理员对设备运行状态的及时掌握和定位,减轻管理员的工作量。

2事件分析

作为安全设备管理平台的核心模块,安全事件分析模块的目的就是对大量的网络事件进行分析和处理、筛选,减轻管理员的工作压力,所以,该功能模块的主要子功能有安全时间分类统计、关联分析和处理等。同样,该功能模块也能够通过统一通信接口来对各个安全设备所生成的时间报告进行收集、统计,在统计分析的过程中,可以根据不同的标准进行分类,如时间、事件源、事件目的和事件类型等,通过科学统计和分析,还可以利用图表的方式进行结果显示,从而实现对安全事件内容关系及其危害程度进行准确分析的目的,并从海量的安全事件中挑选出危险程度最高的事件供管理员参考。

3策略管理

安全设备管理平台中的策略管理模块包含多个功能,即策略信息管理、冲突检测和策略决策等功能。通过对各类安全设备的策略进行标准化定义的基础上,就可以统一对设备的策略定义进行管理和修改,对当前所采用的策略进行网络安全事件冲突检测,及时发现可能存在的网络设置冲突和异常,确保网络策略配置的正确性和合理性。通过对网络环境中安全事件的深入分析,在跟当前所采用安全策略相比较的基础上,就能够为设备的安全设置提供合理化建议,从而实现对网络安全设备设置的决策辅助和支持。

4级别评估

最后一个功能模块就是安全级别评估模块,该模块的主要任务就是对网络商业设备安全制度的收集汇总、实施情况的总结和级别的评估等。该模块通过对网络安全事件的深入分析,在结合安全策略设置的基础上,实现对网络安全水平的准确评估,从而为网络安全管理的实施和水平的提高提供有价值的数据参考。

平台中的通信方法

要实现网络中异构安全设备的统一管理,就需要通过统一的通信接口来实现,该接口的主要功能就是通过对网络中异构设备运行状态、安全事件等信息的定时获取,从技术的角度解决异构设备所造成的安全信息格式不兼容和通信接口多样的问题,实现网络安全信息的标准化和格式的标准化。

1资源信息标准化

在网络安全管理中,所涉及到的安全资源信息主要包括安全设备的运行状态、设备配置策略信息和安全事件信息等。其中,安全设备的运行状态信息主要通过数据交换层中的通信程序通过跟安全设备的定时通信来得到,可以通过图表的方式进行可视化。这些资源信息主要采用RRD文件的方式进行存储,但是采用数据库存储的则比较少,这主要是由于:(1)RRD文件适合某个时间点具有特定值且具有循环特性的数据存储;(2)如果对多台安全设备的运行状态进行监控的情况下,就应该建立跟数据库的多个连接,给后台数据库的通信造成影响。对于上面提到的安全设备的运行状态信息和安全事件信息,通过对各种安全设备信息表述格式的充分考虑,本文中所设计平台决定采用XML语言来对设备和平台之间的差异性进行描述,不仅实现了相应的功能,还能够为平台提供调用转换。而对于安全策略类的信息,则是先通过管理员以手动的方式将安全策略添加到平台,然后再在平台中进行修改,之后就可以在通过平台的检测冲突,由平台自动生成设备需要的策略信息,然后再通过管理员对策略进行手动的修改。

2格式标准化

对于安全事件和策略的格式标准化问题,可以通过格式的差异描述文件来实现彼此之间的转换,这里提到的差异描述文件则采用XML格式来表述,而格式的自动转换则通过JavaBean的内置缺省功能来实现。

3通信处理机制

对于通信接口而言,由不同厂家所提供的同类型设备之间的差异也比较大。所以,对于设备的运行状态信息,主要采用两种途径来获取:(1)通过标准的SNMP、WMI方式获得;(2)通过专用的Socket接口调用特定函数来获得。而对于网络运行中的安全事件,其获得途径也有两种:(1)通过专用Socket接口来获得;(2)将安全事件通过推送的方式发送到指定的安全管理设备。通过综合分析,本文平台主要采用独立的通信程序和集中设置调用的方法来获得安全资源信息,这样就可(1)以实现对安全设备管理的最有效支持。本文所采用方式的实现机制为:平台通过标准接口获取网络的安全资源信息,再通过通信程序的调用设置功能,对程序调用的时间间隔及其语法规范进行定义。

篇12

一、 基本网络的搭建。

由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:

1. 网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。

2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。

二、网络安全设计。

1.物理安全设计 为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网 、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。

2.网络共享资源和数据信息安全设计 针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各>,!

但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。

3.计算机病毒、黑客以及电子邮件应用风险防控设计 我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。

第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。

篇13

关键词:智慧城市;智慧徐州;网络安全;安全防范

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)27-0037-03

Abstract: Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network (VPN) technology, security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project, enhance the efficiency of data transmission, and support the rapid creation of new security environment to meet the new application process requirements.

Key words: smart city; Xuzhou; network security; security

随着信息技术的迅速发展,世界各地有竞争力的城市已迎来了数字向智慧城市迈进的大潮。智慧城市建设注重城市物理基础设施与IT基础设施之间进行完美结合,旨在改变政府、企业和市民交互的方式,提高明确性、效率、灵活性和响应速度,促进城市内外部信息产生、交流、释放和传递向有序化、高效化发展,关注提高城市经济和社会活动的综合竞争力,越来越受到中国各个城市领导者的认同和肯定。

徐州市在“十二五”伊始,深刻认识到智慧徐州建设在提升综合竞争力、加快转变经济发展方式、加强社会建设与管理,解决发展深层次问题等方面的重要作用,将“智慧徐州”建设纳入了未来城市发展的战略主题,希望通过智慧徐州建设,以信息资源整合、共享、利用为抓手,健全公共服务,增进民生幸福,科技创新驱动产业转型升级,智能手段创新城市管理模式,采约建设实现信息基础全面领先,为把我市建设成“同类城市中环境最为秀美、文化事业最为繁荣、富民强市最为协调的江南名城”提供有力支撑。

网络系统作为智慧徐州信息资源枢纽工程及各部门接入的承载,需通过网络系统进行数据传输,规划一张合理的、高效的、安全的网络系统能够有效地保障智慧徐州信息资源枢纽工程能够安全、稳定、高速地运行。

1 网络安全建设

由于智慧徐州信息资源枢纽工程的信息资源的高度集中,带来的安全事件后果与风险也较传统应用高出很多,因此在建设中安全系统建设将作为一项重要工作加以实施。网络安全建设应包括以下几方面:

1.1 安全的网络结构

安全的网络结构应该能够满足为了保证主要的网络设备在进行业务处理时能够有足够的冗余空间,来满足处理高峰业务时期带来的需求;确保网络各部分的带宽能够满足高峰业务时期的需要;安全的访问路径则通过路由控制可以在终端与服务器之间建立;按照提出需求的业务的重要性进行排序来指定分配带宽优先级别,如果网络发生拥堵,则优先保护重要的主机;能够绘制出当前网络运行情况的拓扑结构图;参考不同部门之间的工作职能和涉及相关信息的重要程度等因素,来划分成不同的子网和网段,与此同时在以方便管理和控制的前提下,进行地址分配;重要网段部署不能处在网络的边界处而且不能与外部信息系统直接连接,应该采取安全的技术隔离手段将重要网段与其他网段进行必要的隔离。

1.2 访问控制安全

当在网络边界对控制设备进行访问时,能够启动访问控制功能;对实现过滤信息内容的功能,并且能对应用层的各种网络协议实现命令级的控制;能自动根据会话的状态信息为传输的数据流提供较为明确的允许或者拒绝访问的能力,将控制粒度设为端口级;能够及时限制网络的最大流量数和网络的连接数量;当会话结束或非活跃状态的会话处于一段时间后将终止网络的连接;要采取有效的技术手段防止对重要的网段地址欺骗;能在遵守系统和用户之间的访问规则条件下,来决定用户对受控系统进行资源的访问是否被允许或拒绝,同时将单个用户设置为控制粒度;具有拨号访问权限的用户数量受到限制。

在关键的位置部署网关设备是实现访问控制安全的最有效途径,政务网接入边界安全网关:为内部区域提供边界防护、访问控制和攻击过滤。

1.3 审计安全

安全审计方面应包括能够对网络系统中设备的用户行为、网络流量、运行状况等进行相关的记录;并且能够分析所记录的数据,生成相关的报表;为避免审计记录受到未预期的修改、覆盖或删除等操作,应当安全保护审计记录。通过防火墙可以实现网络审计的功能。

网络的审计安全主要内容有:为能够有效记录网络设备、各区域服务器系统和安全设备等这些设备以及经过这些设备的所有访问行为,应在这些设备上开启相应的审计功能,由安全管理员定期对日志信息和活动状态进行分析,并发现深层次的安全问题。

1.4 检查边界的完整性

为对私自联到内部网络的非授权设备行为进行安全检查,边界完整性检查要求能够准确定出其位置,并进行有效的阻断。

实现边界完整性检查的相关技术:

1)制定严格的检查策略,将服务器区域在网络设备上划分为具有独立功能的VLAN,同时禁止除来自网络入侵防御系统以外的其他VLAN的访问;

2)为提升系统自身的安全访问控制能力,应对安全加固服务器系统采取相应措施。

1.5 入侵防范

网络的入侵防范应能在网络边界处监视到木马后门攻击、拒绝服务攻击、IP碎片攻击、端口扫描、强力攻击、网络蠕虫攻击和缓冲区溢出攻击等攻击行为。当攻击行为被检测到时,应能记录攻击的时间、源IP、目的和类型,如果发生较为严重的入侵事件,应及时提供警报信息。通过前置防火墙实现入侵防御的功能。

1.6 恶意代码防范

在网络边界处检测和清除恶意代码,对恶意代码数据库的升级和系统检测的更新等,是恶意代码防范的范畴。目前,主要是通过网络边界的安全网关系统防病毒模块来检测和清除系统漏洞类、蠕虫类、木马类、webcgi类、拒绝服务类等一系列恶意代码进行来实现恶意代码防范的技术。

1.7 网络设备的安全防护

网络设备的安全防护要求能够限制网络设备管理员的登录地址;在网络设备用户的标识唯一的伯伯下,要能鉴别出登录用户的身份;主要网络设备对同一用户进行身份时鉴别时,应当选择几种组合的鉴别技术来鉴别,避免只使用一种鉴别技术;鉴别身份的信息应不易被冒用,网络口令应定期更换而且要有一定的复杂度,不易破解;当登录失败时,能自动采取限制登录次数、结束会话和当网络登录连接超时自动退出等相应措施;当网络设备被用户远程管理时,能够有防止网络传输过程的鉴别信息被窃听的相关措施。

网络设备安全防护的技术实现主要是通过提供网络设备安全加固服务,根据前面的网络结构分析,系统采用若干台核心交换机、汇聚交换机和接入交换机,实现各个安全区域的连接。

对于网络设备,应进行相应的安全加固:

1)将楼层接入交换机的接口安全特性开启,并将MAC进行绑定。

2)关闭不必要的服务,包括关闭CDP、Finger服务、NTP服务、BOOTp服务(路由器适用)等。

3)登录要求和帐号管理,包括采用enable secret设置密码、采用认证、采用多用户分权管理等。

4)SNMP协议设置和日志审计,包括设置SNMP读写密码、更改SNMP协议端口、限制SNMP发起连接源地址、开启日志审计功能。

5)其它安全要求,包括禁止从网络启动和自动从网络下载初始配置文件、禁止未使用或空闲的端口、启用源地址路由检查(路由器适用)等。

2 网络安全防护

边界防护:在智慧徐州信息资源枢纽工程的边界设立一定的安全防护措施,具体到智慧徐州信息资源枢纽工程中边界,就是在平台的物理网络之间,智慧徐州信息资源枢纽工程的产品和边界安全防护技术主要采用交换机接入、前置防火墙及网闸。

区域防护:比边界防护更小的范围是区域防护,指在一个区域设立的安全防护措施,具体到智慧徐州信息资源枢纽工程中,区域是比较小的网段或者网络,智慧徐州信息资源枢纽工程的区域防护技术和产品采用接入防火墙。

节点防护:节点防护主要是指系统健壮性的保护,查堵系统的漏洞,它已经具体到其中某一台主机或服务器的防护措施,建议智慧徐州信息资源枢纽工程中的产品和节点防护技术都应采用病毒防范系统、信息安全检查工具和网络安全评估分析系统等。

3 网络高可用

在智慧徐州信息资源枢纽工程网络建设中,网络设备本身以及设备之间的连接都具非常高的可靠性。为了保障智慧徐州信息资源枢纽工程网络的稳定性,在智慧徐州信息资源枢纽工程核心网络部分,核心交换机、接入防火墙等设备全部采用冗余配置,包括引擎、交换网、电源等。所有的连接线路全部采用双归属的方式,包括与电子政务局域网互联,与服务器接入交换机互联。在数据应用区,服务器通过双网卡与服务器接入交换机互联,保障了服务器连接的高可靠性。

4 数据安全

4.1 数据安全建设

数据的安全是整个安全建设中非常重要的一部分内容。数据的安全建设主要涉及数据的完整性、数据的保密性以及数据的备份和恢复。对于系统管理、鉴别信息和重要业务的相关数据在存储过程中进行检测,如检测到数据完整性有错误时采取必要的恢复措施,并且能对这些数据采用加密措施,以保证数据传输的保密性。

对于资源共享平台系统的数据安全及备份恢复要求如下:

1)对于鉴别信息数据存储的保密性要求,均可以通过加强物理安全及网络安全,并实施操作系统级数据库加固的方式进行保护;

2)对于备份及恢复要求,配置了备份服务器和虚拟带库对各系统重要数据进行定期备份;

3)需要通过制定并严格执行备份与恢复管理制度和备份与恢复流程,加强各系统备份恢复能力。

4.2 数据安全加密传输(VPN)

针对数据传输的安全性,部分接入部门到智慧徐州信息资源枢纽工程的数据进行VPN加密传输。接入部门和平台两端之间运行IPSec 或SSL VPN协议,保证数据在传输过程中的端到端安全性。

4.3 数据交换过程的安全保障

平台数据交换过程的安全保障主要指信息在交换过程中不能被非法篡改、不能被非法访问、数据交换后不能抵赖等功能。

平台业务系统在传递消息的过程中可以指定是否采用消息内容的校验,校验方法是由发送消息的业务系统提供消息的原始长度和根据某种约定的验证码生成规则(比如 MD5 校验规则)生成的验证码。

4.4 数据交换接口安全设计

平台提供的消息传输接口支持不同的安全标准。对于对安全性要求比较高的业务系统来说,在调用平台的Web Service接口时使用HTTPS 协议,保证了传输层面的安全;而对于安全性不那么重要,只想通过很少的改动使用平台功能的业务系统来说,可以简单的通过HTTP方式调用平台的Web Service接口进行消息的传输。

5 安全管理体系建设

在智慧徐州信息资源枢纽工程安全保障体系建设中,应该建立相应的安全管理体系,而不是仅靠技术手段来防范所有的安全隐患。安全建设的核心是安全管理。在安全策略的指导下,安全技术和安全产品的保障下,一个安全组织日常的安全保障工作才能简明高效。

完整的安全管理体系主要包括:安全策略、安全组织和安全制度的建立。为了加强对客户网络的安全管理,确保重点设施的安全,应该加强安全管理体系的建设。

5.1 安全策略

安全策略是管理体系的核心,在对信息系统进行细致的调查、评估之后,结合智慧徐州信息资源枢纽工程的流程,制定出符合智慧徐州信息资源枢纽工程实际情况的安全策略体系。应包括安全方针、主策略和子策略和智慧徐州信息资源枢纽工程日常管理所需要的制度。

安全方针是整个体系的主导,是安全策略体系基本结构的最高层,它指明了安全策略所要达到的最高安全目标及其管理和适用范围。

在安全方针的指导下,主策略定义了智慧徐州信息资源枢纽工程安全组织体系及其岗位职责,明确了子策略的管理和实施要求,它是子策略的上层策略,子策略内容的制定和执行不能与主策略相违背。安全策略体系的最低层是子策略,也是用于指导组成安全保障体系的各项安全措施正确实施的指导方针。

5.2 安全组织

由于智慧徐州信息资源枢纽工程信息化程度非常高,信息安全对于整个智慧徐州信息资源枢纽工程系统的安全建设非常重要。因此,需要建立具有适当管理权的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。建立和组织外部安全专家的联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供适当的联络渠道。

5.3 安全制度

智慧徐州信息资源枢纽工程对于安全性要求非常高,因此安全制度的建立要求也很严格。由管理层负责制定切实可行的日常安全保密制度、审计制度、机房管理、操作规程管理、系统管理等,明确定义日常安全审计的例行制度、实施日程安排与计划、报告的形式及内容、达到的目标等。

智慧徐州信息资源枢纽工程建成后,需要针对各系统制定完善的动作体系,保证系统的安全运行。

参考文献:

[1] 吴小坤,吴信训.智慧城市建设中的信息技术隐患与现实危机[J].科学发展,2013(10):50-54.

[2] 娄欢,窦孝晨,黄志华,等.智慧城市顶层设计的信息安全管理研究[J].中国管理信息化,2015(5):214-215.

[3] 赵军.信息安全体系下的东营智慧城市建设研究[J].中国安防,2014(9):84-89.

篇14

关键词:计算机;网络安全;网络建设;安全技术

中图分类号:TP93.08

计算机科学技术及网络技术在当今社会成迅猛发展状态,随着网络体系的日益强大,其对社会的发展起到了极其重要的作用。然而由于计算机网络存在互通性、独立性和广泛性等特点,不管是在局域网还是广域网中都存在对网络安全影响的诸多因素,其主要表现在黑客攻击、病毒扩散、网络犯罪等方面,其发展趋势也愈来愈快,所以就网络安全措施的提高及网络安全的有效运行问题,已成为当今迫在眉睫的问题。

1 威胁计算机网络安全的因素

威胁计算机网络安全问题是多种多样的,其形式主要表现在:

1.1 非授权访问。对于计算机的使用,没有通过正当渠道而使用网络或计算机资源的行为是非授权访问。它主要表现在:避开系统访问控制机制、擅自扩大权限、越权访问等。这样使非法用户通过冒名顶替的身份来进入到网络系统中进行操作,导致合法用户不能进入网络系统进行正常操作。

1.2 信息泄漏或丢失。重要数据被泄露丢失,一般包括:传输过程中和存储介质中信息被外泄或丢失。就传输过程中所遇到的信息外泄丢失问题,"黑客"扮演了重要的角色,它会通过电磁泄露、搭线窃听等方式来获取用户口令和账号等信息。在信息存储介质中,用建立隐蔽隧道的方式来获取用户的重要信息。

1.3 破坏数据完整性。通过非法手段窃取用户对数据的正常使用权,如:对信息的删除、更改、插入和重发用户的重要信息等,来实现利于攻击者的响应;

1.4 利用网络传播病毒。利用病毒在网络中传播速度快的特点,对计算机网络进行病毒攻击。网络病毒的破坏性极大,计算机用户很难对其防范。

2 网络安全建设方法与技术

网络在行业中的用户群体是极其庞大的,同时它又具备访问多样化等特点。因此,对于网络安全问题我们要制定出一系列有效的对策来防范,以便保障计算机网络系统能正常运行。网络攻击具备一定的偶然性,网络随时都有可能遭到攻击破坏,因此网络安全的防范措施是我们今后工作的重中之重。

2.1 计算机病毒防治。杀毒软件是计算机配套软件设置中是必不可少的组成部分,它所起到的作用是抵御病毒的攻击。但同时,杀毒软件要及时的进行更新和正确维护,才能发挥它的功效。计算机系统被病毒入侵时,杀毒软件都能及时地对病毒、可疑程序、可疑代码进行拦截,发出警报,找出病毒的来源渠道。计算机用户对于一些软件、程序和邮件,在不知道它们的具体来源时,打开或执行操作的时候一定要谨慎。计算机系统感染病毒后,要在第一时间对系统漏洞进行修补,同时要对病毒进行查杀和清除。

2.2 防火墙技术。网络防火墙作为连接内外网络的存在,它所起到的安全作用备受计算机用户的青睬。它能够有效的在内网和外网互相访问时,对外来入侵进行有效拦截。内外网互相连接时,防火墙的作用是过滤拦截一些非授权的通信信息,使授权过的合法的信息予以通过。防火墙不但能阻止外界网络对内部网络资源造成非法访问,也能控制内部网络对外界的一些特殊站点进行访问,时刻保持内外网之间要有一个绿色通畅的信息通道,为网络安全提供了一道重要的保护屏障。但同时,防火墙的功能不是面面俱到的,也有它检测发现不了的问题。比如隐藏在正常数据下的通道程序。对于防火墙的合理配置,尽量做到以下几点:少开端口、采用过滤严格的WEB程序、管理好内部网络用户、对系统经常升级更新等。只有这样才能使防火墙在网络防护方面发挥更大的作用。

2.3 入侵检测。随着计算机网络技术的不断发展,入侵检测技术已逐步成为网络安全研究的热点,它作为一种积极主动的安全防护措施技术,提供了对内部进侵、外部入侵和错误操纵的实时保护。攻击者之所以能对网络进行攻击,说明计算机网络中依然存在着漏洞,还有待改进。需要改进方面包括:操作系统、网络服务、TCP/IP协议、应用程序、网络设备等。如果网络系统没有一个健全的预警防护机制,那将给网络系统带来致命的打击,我们的计算机网络系统可以任意的被别人来入侵操纵,实现入侵者想要做的任何事情。

入侵检测系统的主要功能是对网络进行不间断的监控,防范网络被外界因素攻击,使网络信息安全基础结构更加完整。入侵检测系统能够对网络中所传输的信息进行识别,如遇到非法未授权的活动时,它会及时地向管理控制台发送警告,其所发的警报信息中包含详细的活动信息,同时入侵系统还能控制其他系统中断传输进程,如路由器。入侵检测系统的功能等同于防火墙,它能够在网络正常运行的情况下对网络进行监控,对网络的内外攻击和错误操作做出有效的保护。

2.4 数据加密技术。数据加密技术在网络安全技术中占据主导地位,它例行的职责是保证数据在存储和传输过程中的保密性。它将被保护信息通过变换和置换的方式置换成密文,再把秘文进行存储或传输。如果在存储或传输的过程中,加密信息被非授权人员截取,对于他们来说也是没有任何作用的,因为加密信息对未曾授权的人员不认可,起到了保护信息的作用。而决定保密性程度的是取决于密码算法和密匙长度。

2.5 黑客诱骗技术。随着计算机网络的日益发展,黑客也随之而来,给网络造成了许多不必要的麻烦,为了防止黑客对计算机网络系统的入侵,我们采用黑客诱骗技术来加以防止。它是一个由网络专家通过精心设置好的特殊系统来引诱黑客入侵者,对黑客做出有效的跟踪和记录。黑客诱骗系统的主要功能是对入侵的黑客进行引诱和追踪监控,使黑客在不知道具体情况下,进入专家事先设置好的目标系统中,但此时的黑客依然不知道自己的行为已经处于系统的监控之中。专家为了使黑客顺利的进入系统,故意留下一些漏洞让黑客来进入,或者制造些黑客想要的信息来引他们上钩,不过这些信息都是专家准备的虚假信息。在黑客以为自己的计划得逞时,却不知道自己的行为已被监控系统尽收眼底。有些黑客诱骗系统可以记录黑客网上聊天的内容,专家通过对这些记录的研究和分析,能获取黑客所采用的攻击工具、攻击手段、攻击目的和攻击水平。通过掌握这些数据及聊天内容,可以判断出黑客的活动范围和下一个攻击目标。对网络的提前保护做出了保障,同时系统中记录下的信息还可以作为对黑客进行的有效证据。

2.6 网络安全管理防范措施。我国的网络安全现状也不容乐观,主要表现在:网络安全人才稀缺;信息和网络的安全防护能力差;全社会的信息安全意识淡薄。就安全领域所存在的问题,应采用多样化的方式来进行防范,同时对于网络管理工作也不能小觑。要做到以下几点:规划网络的安全策略、确定网络安全工作的目标和对象、控制用户的访问权限、制定书面或口头规定、落实网络管理人员的职责、加强网络的安全管理、制定有关规章制度等等,这些措施对网络的安全可靠运行起到了决定性作用。对于网络运行中所存在的安全问题我们要以积极主动的心态去面对,争取使计算机网络系统在一个安全绿色的环境中发挥其强大功能。

3 结束语

随着计算机技术和网络技术在当今社会的迅猛发展和广泛应用,为社会的发展起到了举足轻重的作用,但同时,由于它互通性和广泛性的特点也导致了网络环境下的计算机系统存在诸多安全问题,并且愈演愈烈。鉴于这些安全问题,我们必须加强计算机的安全防护,提高网络安全,针对计算机网络中所存在的安全问题,单一的靠技术方面维护也是远远不够的,因为造成计算机网络信息安全的因素是多方面的,必须要贴合实际的对影响网络安全因素进行有效的防范,真正意义上提高计算机网络的安全性,使计算机网络技术更好的服务大众。

参考文献:

[1]张琳,黄仙姣.浅谈网络安全技术[J].电脑知识与技术,2006,11.

[2]卢云燕.网络安全及其防范措施[J].科技情报开发与经济,2006,10.