网络安全的方针范文
时间:2024-02-29 15:15:34
网络安全的方针篇1
关键词:网络安全 检测 监控
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
伴随着计算机网络的快速发展,计算机在广播电台中有了十分广泛的普及应用,与此同时相关的网络安全问题也愈发严重,因此就相关的网络安全检测与监控技术,展开相关的分析与探讨,其意义十分重大,为确保电台中的网络安全,据此下文之中将主要就结合目前网络安全的实际情况,设计出了相应的网络安全检测与监控技术的结构模型,同时针对其中的核心技术予以了设计探讨,并对于其中所存在的问题缺陷,进一步阐明了确保电台网络安全具体的改进、完善构想。
1 网络安全检测技术
在网络安全检测技术之中重点包含了实时安全监控与安全扫描技术。实时性的安全监控技术主要是借助于硬件或者是软件系统,对于网络的数据流采取及时的检查,同时还需要将数据流和数据库当中的存储数据采取对比分析,对于出现的各类病毒攻击行为,要能够及时的依据用户所设定的指令予以及时的应对处理。相关的指令内容通常可设置为切断网络连接、亦或是告知防火墙系统对于访问程序予以相应的调整,从而使入侵的数据内容能够被及时的过滤除去。安全扫描技术能够对于局域网络、操作系统、Web站点以及防火墙系统之中的缺陷隐患采取扫描处理,从而及时的将问题漏洞上报给主机系统予以修复处理,最大程度的降低系统所承受的安全风险性。
网络安全检测技术正是基于自适应的安全管理模式。在这一管理模式当中每一项接入的网络的部分,都无法完全避免安全隐患的存在。并且自适应性的安全管理模式通常具备有两项特点,第一个特点为:动态性与自适应性,此两方面的内容能够借助于对网络安全扫描软件的升级处理,以及病毒数据库的及时更新来实现;第二个特点为:更为广泛的应用层次,能够普遍的应用在网络层、应用层以及主机操作系统之中,从而促使每一个层次的网络安全隐患,都能够得到更加及时的检测。
网络安全检测系统的目的及时发现系统当中所存在的隐患漏洞,因此目前重点是采用在安全限定范围内的供给方式,来对网络系统采取模拟性供给,从而寻找出系统所存在的隐患问题与漏洞,以及相关的缺陷不足。整体网络安全检测系统的结构图形如下图1所示。
2 安全扫描系统
2.1 系统配置模块
这一模块是整体系统的主要操控者,可采用GUI亦或是HTML文档结合浏览器两类方式,来对于整体系统架构采取相应的管理措施。配置模块部分重点是针对系统当中不同模块的运行标准予以安排。
首先明确信息获取的具体范围。即获取某一子网掩码的信息或者是某一台具体主机的信息,如果需获取某一子网信息,则应当对这一子网掩码的具体IP地址予以明确的位置标注,如:202.117.176.1――202.117.176.253,从而便能够针对子网的202.117.176.0采取安全检测,将所获取到的各项信息内容予以详细的记录;如若所获取某一台特定主机的信息内容,便能够设置出相应主机的IP地基,例如202.117.176.154。其次要明确漏洞检查模块的目标对象,即确切掌握网络系统的服务漏洞或是操作系统漏洞。在应对网络服务漏洞之时,可以明确针对Telnet的服务漏洞予以检测,以及相关的Http、FTP等相关漏洞;在应对操作系统的漏洞之时,可针对文件的权限设置明确检查相应的漏洞问题,以及系统设置与口令设置等相关操作系统的漏洞。最终,要能够依据各类所配置的信息要素,产生出具体的系统配置文件,确保所有模块内容的初始化设置和后期运行,均要依据此文件予以配置。
2.2 信息收集模块
(1)构建目标网络的拓扑结构图。拓扑结构图能够直观的体现出目标网络之中,各个网络元素间的相关性。如:路由器、子网与网关三者之间的相关性,以及各个不同的路由器之间的相关性,乃至于子网内部同主机之间的相关性,只有明确的掌握了各个不同网络设备间的相关性,才能够使得相关的管理人员了解到各个设备间的连接状况。对于差异性较大的网络拓扑结构而言,每一个网络拓扑结构便存在有其自身的缺点与不足,即为网络的拓扑结构决定了网络结构的安全性,因此对于各类不同的网络拓扑结构便应当采取与之相适应的保护方法。(2)明确目标主机和操作系统的类型与版本。在网络环境当中,通常会同时存在有各种型号差异明显的计算机设备,类型不同的计算机其自身所搭载的操作系统往往也不尽相同,加之操作系统的版本多样性,各种类型的计算机操作系统所存在的安全隐患也是各式各样的。诸如:UNIX与WINDOWS NT操作系统,目前已经公开的系统漏洞多达上千个之多,因此在应对这些种类繁多的操作系统及其漏洞时,难免会存在疏漏情况,因此明确计算机的操作系统类型与版本是十分必要的。(3)确定目标主机开启的网络服务。在网络环境中每一个计算机主机系统均能够给予用户,提供以各类远程网络服务,诸如FTP、Http等相关服务内容。然而每一项服务内容均存在有安全隐患的可能,因此为了加强安全系数相关的网络管理人员,必须要能够明确主机所开启的服务内容。在此过程当中应当针对目标主机的特定端口采取扫描措施,重点是采用和目标主机各端口构建起TCP协议,来检测相应的端口是否存在有服务开通。进而针对所开通的服务程序予以安全检测。
2.3 扫描调度模块
这一模块内容可依据上一模块当中所获取到的信息,以及相关的系统配置模块所产生出的配置文件,采用模拟攻击方式,针对网络环境亦或是主机系统予以扫描,而后将扫描所得到的结果内容反馈至下一系统之中。
(1)网络扫描是指针对网络服务及传输过程当中,所存在的各类隐患问题及时的排查出来。并依据相应的漏洞特征状况,创设出各类检测工具与数据包,例如可采用ActiveX破坏控件,来针对HTTPD当中的隐患问题予以检测;创设出虚构的IP地址数据包来针对IP SPOOFING隐患问题予以检测等。(2)防火墙扫描,目前的防火墙配置较为复杂,在扫描检测的过程中首先需注意对防火墙配置规则的检测,其次要针对防火墙在应对各类网络攻击之时的防范能力予以检测。(3)操作系统扫描,此部分的扫描内容可分为本地与分布式两类,即为本地操作系统与远程主机系统的漏洞扫描,具体的检测目标应当为口令文件的权限设置、根目录的权限设置;以及系统攻击者是否在系统中设置以Sniffer程序,亦或是其他的木马脚本等程序。
3 安全分析系统
3.1 安全分析模块
最初的安全扫描程序仅是单一的将扫描测试结果逐一列举出来,简要、直观的提供给测试人员而针对具体的信息内容并未做出任何的处理措施,因此在对于网络状况的整体性评估方面缺乏全面性的评价。因此为了更加有效的辅助相关的网络管理人员,对于相关的网络安全问题予以明确的评估,安全分析模块至关重要。安全分析模块能够通过对扫描调度模块,所收集到的初始信息予以加工处理,重点是针对检测过程当中所检查出的隐患问题予以分类统计,即某一类漏洞问题是从属于操作系统、网络服务程序或者是网络传输等相关方面的漏洞,在处理完成之后将所得到的记过内容进一步发送至数据库控制与报警系统中。
3.2 数据库控制模块
这一模块的主要目标是为了实现漏洞信息库和报警系统的信息交互。即:将扫描得到的漏洞信息汇总至报警系统当中;亦或是将新型的漏洞问题进行记录处理,并及时的上报至数据库当中。
3.3 漏洞信息数据库
漏洞信息数据库主要是存储漏洞扫描、危害状况以及相关的补救内容等信息。
3.4 报警系统
报警系统重点是依据数据库的检索模块,以及相关的安全隐患问题分析,来形成具体的安全评估报告,报告的形式可选用直方图、饼状图以及HTML三种。
(1)直方图:可主要用于对安全漏洞的直观展示。(2)饼状图:可主要用于对不同程度漏洞的百分比展示。(3)HTML文件:可主要用于给予远端用户报告漏洞信息,以及操作系统的安全程度,同时提出相应的改进措施。
4 安全监控系统
4.1 监测网络的流量
首先,为了满足于对全网络流量的监控要求,则必然要将监控系统安排于网络系统的各个交换节点之上。这主要是由于所有出入网络系统的数据内容,均需经过此交换结点。另外,还要使交换结点之上的设备网卡格式,设置于混音格式,以促使进出于网络当中的数据包均能够被交换节点的设备获取。其次,要做到对网络的实时性流量监测,就必须要掌握不同网络访问的流量改变规律,同时采用特征性文件的方式将其保存于系统之中。
4.2 监控网络的连接情况
因为在TCP/IP端的协议涉及,最初未能够考虑较多的安全因素,这也便是造成当前大量恶意网络攻击是由TCP/IP端的薄弱环节采取攻击行为。要加强在这一方面的防范工作,通常较为实用的方法便是采用防火墙充当,具体的防范原理如图2所示。实际的连接情况为防火墙在接收到了SYN的命令请求之后,便会向客户机发送SYN/ACK数据,并在回馈接收到了客户机方面的ACK之后,才能够向服务器发送建立连接的请求。此种方式能够确保内部服务器免受外界网络攻击。
5 结语
综上所述,本文在电台工作中首先正对计算机网络的安全状况,以及相关的网络安全技术予以了详细的阐述,重点分析了网络安全技术当中的检测技术内容。并在对于这一技术的细致分析基础上,结合以相关扫描、分析与监控技术,设计出了一个整体性的网络安全检测以及监控系统结构模型,同时针对这当中的核心技术予以了系统化的构建。最终希望借助于本文的分析研究,能够促使相关的网络安全检测,以及相关监控系统的功能性能够更加的趋向于完善性,确保电台网络安全。
参考文献
[1] 何冀东.基于网络重要度的货运计量安全检测监控设备布局优化方法及应用研究[D].北京交通大学,2013(11).
[2] 孙凌洁,钟于胜,沈焱萍等.网络漏洞安全检测系统的研究与设计[J].广东农业科学,2014(1).
[3] 曹立铭,赵逢禹.私有云平台上的虚拟机进程安全检测[J].计算机应用研究,2013(5).
[4] 蔡翔.有关计算机网络安全的检测与监控技术探讨[J].计算机光盘软件与应用,2012(12).
[5] 许佳森,杨传斌.基于WinSock DLL 的网络安全检测方法研究[J].微机发展,2015(1).
[6] 蒋荟,刘春煌,曹松等.货运计量安全检测监控系统的研究[J].中国铁路,2014(7).
网络安全的方针篇2
网吧作为国内极具特色的公共娱乐场所,奥运期间,将会迎来众多国外友人,此时,如何保证网络安全,充分展示北京网吧的良好形象,为国内外人士提供一个良好的网络环境成为了网吧业主最为关心的问题。作为三大网络设备供应商之一的锐捷网络特别针对2008北京奥运成立了网吧安全应急响应小组,为网吧经营者提供全方位的咨询服务。
奥运莅临:
网络安全倍受重视
据中国国家计算机网络应急技术处理协调中心报告称:“基于历史经验,许多想出名的黑客会将奥运会视为挑战和攻击目标。北京奥运会可能遭到个别黑客、团体、组织,以及其他国家和抱有各种政治动机的人的攻击。因此,网络安全形势极为严峻。”对于网吧来说,由于PC数量众多,安全防护能力相对薄弱,极易成为黑客攻击的目标。一旦网吧的PC被黑客控制,被利用去实施网络攻击后,最后层层追查下来,很可能就把这笔帐算到网吧的头上,而真正实施网络攻击的主角却在幕后隐藏起来。在奥运期间,对网吧来讲,网络安全将是非常大的一个挑战。
网吧网络安全:
多重解决方案保驾护航
目前,市场上出现了多种多样的网络安全设备,但多数由于成本高或者防御能力薄弱等问题没有得到网吧经营者的认可。对此,锐捷网络为网吧经营者提供了多重解决方案,
为了防止某些人使用大的网络带宽发动网络攻击,避免造成大的损失,锐捷网络的相关专家建议对每台PC的连接数进行限制,一旦发动网络攻击,会导致建立非常多的网络连接,严重消耗网络资源,但对连接数进行限制以后,由于受限于连接数,其攻击所造成的危害就会相对小一些,攻击能力也会随之减弱,起到一定的防护作用。此外,还可以启用防火墙安全策略,做好系统还原保护以及网民安全意识培养等安全防范措施。减小网络攻击对网络安全的危害,让网民在网吧这样的娱乐场所尽享网上冲浪所带来的快乐。
应急响应小组:
解决问题更方便
近日,锐捷网络针对2008北京奥运会网吧网络安全成立了应急响应小组,该小组由多名技术骨干和网络安全专家组成。应急小组利用锐捷网络在多年网吧网络安全方面积累的经验和技术优势,为网吧免费提供24小时的网络安全咨询服务。一旦网吧发生网络安全事件或者攻击,锐捷网络应急小组的专家会第一时间赶到现场提供免费支持和应急处理,彻底保障网吧在奥运期间的稳定、安全运行。
除此之外,锐捷网络还组织专家力量针对网吧常见的病毒和网络攻击,编辑了网络安全攻防手册,免费提供给广大网吧业主,以应对日常的网络攻击和安全事件。同时,锐捷网络联合广大的渠道合作伙伴,配备了强大的人力资源,为网吧提供免费的上门网络安全巡检服务,找出网吧目前面临的网络安全问题和挑战,并针对奥运期间可能的网络安全隐患,制定有针对性的策略和解决方案,协助网吧构建一个稳定、安全、高速的上网环境,让网吧能够抓住奥运商机,充分展示网吧自身的良好形象,提升盈利能力。
网络安全的方针篇3
【 关键词 】 校园网;完全威胁;安全策略
1 引言
作为学校重要的基础设施,校园网能够连接校内网络的各个系统以及计算机。校园网对因特网技术、多媒体技术以及现代网络技术等多种技术进行了综合运用,并且以这些技术作为基础,将校内计算机综合网络构建起来,最终保证校园内办公、科研以及教学等及早的实现了现代化。正因为校园网在学校发挥着十分重要的作用,所以必须要重视其安全防御工作,从而能够使其实现安全正常的运行。
2 校园网的安全现状概述
通常可以将校园网划分为两个部分,也就是校园外网以及校园内网,学校对外提供服务的服务器群就是所谓的校园外网,其主要包括财政专网、市政务平台以及因特网的接入等。而校园内网主要指的是家属区局域网、教学局域网以及办公局域网。校园网的服务系统主要是由校园网的服务器群构成的,其中有OA、网络版杀毒软件、机房管理、电子图书、财务、网络监控、FIP、Web、视频点播、数据库等。现在在校园网的运行管理当中主要包括程序安全漏洞、计算机木马和病毒、网络入侵、下载的滥用。
3 校园网安全防御体系的设计与部署
必须要从两方面的工作着手进行校园网安全防御体系的设计与部署,也就是软件设置与硬件部署。图1为校园网安全防护体系示意图。
3.1 软件部署
3.1.1漏洞扫描
必须要对先进的漏洞扫描系统予以充分的运用,从而能够对客户端、防火墙、路由交换设备、服务器以及工作站等实施定期的安全检查。然后以相关的检查结果作为根据,将详细准确的安全性分析报告提供给系统管理员,这样可以有效地促进网络安全整体水平的提升,学校的每台主机都要配置正确的系统,并且要安装充足的操作系统补丁,将自己的密码保护好,同时还要将不必要的端口以及服务关闭掉。比如在校园网络当中针对WSUS服务器进行部署,能够保证时刻处于最新状态的用户Windows操作系统,可以在服务器上直接针对操作系统的漏洞补丁进行上下载安装,并不需要在微软官网上进行更新,其能够保证系统的更新速度具有更安全以及更快速的特点,并且能够将宽带的流量节省下来,在对系统的状态进行更新的时候还可以直接在控制台监控客户机操作系统实施操作。
3.1.2针对网络版杀毒软件进行部署
在整个局域网当中针对病毒的发作、传播以及感染进行预防是最为理想的状况,要想实现这种理想的状况,就需要采取必要的防病毒的手段针对可能会出现传播和感染的地方进行预防。与此同时,要想使整个网络的防病毒体系得到方便以及有效的管理和实施,就应该针对分布查杀、集中管理、远程报警、智能升级以及远程安装等各项功能进行部署。
3.1.3 Wireshark网络分析软件
有很多内部因素会导致校园网出现问题,而又有许许多多的VLAN网段共同构成了其内部结构。因此,要想对发生问题的网络部分进行具体而清晰的了解,就可以对Wireshark网络分析软件进行充分的利用,Wireshark的功能等同于微软公司出品的Sniffer,其能够对所有的数据包在某个共享的网络环境下进行实施分析和捕捉。
Wireshark网络分析软件一共包括几种功能:详细分析捕获的网络流量,通过对专家分析系统的有效运用从而对问题进行诊断、针对网络活动实施实时的监控、针对网络错误以及利用率进行收集等。
3.1.4第三方的安全工具
在网络当中第三方安全工具有十分强大的功能,其中包括对系统漏洞进行修复、针对系统实施实时保护、针对应用软件进行管理、针对系统插件以及恶评插件进行清理、针对流行木马进行查杀等若干强劲的功能。
与此同时,第三方安全工具还可以将系统的全面诊断报告提供出来,从而能够使用户针对网络当中出现问题的地方进行全面的定位。比较流行的第三方安全工具包括咔咔上网助手以及360安全卫士等,其可以有效地结合杀毒软件,从而保证安全防护具有全面立体的特点。
3.2 部署校园安全体系的硬件
校园安全系统的硬件部署共有五个方面组成,由内到外分别是校园内部VLAN、入侵检测系统IDS、交换机系统、防毒墙系统和防火墙系统。
3.2.1部署防火墙系统的
所谓的防火墙,就是一道专用的防御系统,用来将安全区域(局域网)与风险区域(风险网络)隔离开来。作为控制点和阻塞点的防火墙对内部网络的安全性有着重要的作用,能够将不安全的服务进行过滤,从而降低内部网络的风险。能够通过防火墙的必须是经过选择的应用协议,并将危险的应用协议进行过滤。防火墙必须根据校园网的安全目标和策略,对安全过滤的规则进行规划和设置。
对IP数据包进行规划审核的项目内容有:流向、目标地址、源地址、端口和协议等。对于来自公网的非法访问以及对于校园内部网没有必要的访问都必须严格禁止。如利用TCP135端口的“冲击波”,利用TCP445端口的“震荡波”等,校园网边界防火墙系统都可以根据相应的访问策略,对企图连接TCP445、TCP135端口的数据包予以拒绝,从而达到将阻挡病毒的目的。
3.2.2部署防毒墙系统
防毒墙主要是对通过网关的数据包进行扫描,能够对MSN协议、IMAP、POP3、SMTP、FTP、HTTP等内容进行检查,对发现的病毒进行清除。不仅如此通过安全策略,防毒墙系统还可以在网络环境中,在内外网的中间建立安全屏障,这道安全屏障可以阻止内部用户滥用外部网络的不良资源,并防止外部网络对内部资源的侵犯。
防毒墙既可以作为三层病毒扫描架构(边缘保护、服务器、客户端)中的一个内容,也可以相对独立,作为一个边缘病毒的扫描结构。以正确的策略配置防毒墙,能够通过对防火墙CPU负荷的降低而为内部网络的运行提供平稳的保障。
3.2.3入侵检测系统IDS的架设
入侵检测系统IDS在防火墙的后面,能够为网络活动提供实时检测,因此其架设对于校园网的安全非常重要。入侵检测系统IDS可以对网络活动进行禁止和记录,有效的配合防火墙进行工作。
IDS能够对网络的流量和活动进行监视、记录和扫描,以其规则对主机网卡的过滤包进行过滤,并及时报警。IDS会对网络上所有的PACKETS进行被动的监测,以捕捉恶意动作和危险信息包。必须对由于IDS的记录非常庞大,因此其需要对其配置合适的规则,否则就难以达到应有的效果。通过合理的配置,IDS能够很好对系统网络攻击进行防范,对系统管理员的响应能力、攻击识别能力、监视能力和安全审计能力都有很大的提高,保证了系统安全的基础结构的稳定。
3.2.4部署交换机
交换机作为网络的核心,对于网络安全也有着重要的作用。在网络建设中,安全问题是非常重要的。交换机的安全功能体现在其要能够在病毒和黑客的攻击下能够保持其数据转发的高速率。此外,交换机要对其他安全设备进行配合,以阻止和监控网络攻击和非授权访问。
3.2.5 VIAN技术的应用
通过VIAN技术,能够对整个校园网进行划分,成为几个广播域,校园网内部的网段之间就能实现隔离,但不影响不同地理位置的用户能够进入一个逻辑子网。VIAN技术可以防止网段之间的安全问题相互传播,也对网络广播风暴进行控制。
4 结束语
由于校园网的自身情况处于不断的发展和变化当中,而且还会不断的出现各种各样新的安全问题,因此校园网安全防御体系并不是建好之后就能够万事大吉,必须要采取有效的措施针对局域网实施及时的更新以及维护,从而能够使校园网络安全防御体系的良性发展得到充分的保证,并且使其的先进性以及安全性得到确保。
与此同时,由于校园网络安全具有动态的以及整体的特征,所以校园网络管理部门还必须要积极纳入新的专门管理人才,同时要针对校园网络安全防范管理的规章制度进行补充和完善,只有多管齐下,才能真正保证校园网络运行过程中稳定性、可靠性以及安全性的实现。
参考文献
[1] 王元莉.Netflow技术与高校网络管理[J].中国教育网络,2012(6):65-7.
[2] 薛晋康,许士博,吴兴龙.基于流量分析的网络隐蔽通道检测模型[J].计算机工程,2012,20(12):46-48.
[3] 任丰原,林闯,刘卫东.PI网络中的拥塞控制[J].计算机学报,2013,26(9):1025-1034.
[4] 张德庆.Intetrnet网络安全管理研究[J].计算机应用,2012,21:70-73.
作者简介:
网络安全的方针篇4
关键词:网络;VPN;金融;信息;安全
在现代金融行业里,计算机网络有着广泛全面的应用,现代金融管理正朝着电子化、信息化、网络安全化的方向在发展,尤其是网络信息安全化发展的VPN技术在现代金融行业管理中起着越来越重要的作用。
一、现代金融网络系统典型架构及其安全现状
就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。
从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。
由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。
就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御,这些都是金融管理信息系统亟待解决的安全问题。
二、现代金融网络面临的威胁及安全需求
目前金融系统存在的网络安全威胁,就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类,而实施安全攻击的人员则可能是外部人员,也可能是机构内部人员。
针对信息的攻击是最常见的攻击行为,信息攻击是针对处于传输和存储形态的信息进行的,其攻击地点既可以在局域网内,也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性,攻击者可以不动声色地窃取并利用信息,而无虑被发现;犯罪者也可以在积聚足够的信息后骤起发难,进行敲诈勒索。此类案件见诸报端层出不穷,而未公开案例与之相比更是数以倍数。
利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台,为了照顾使用的方便性而忽略了安全性,导致许多安全漏洞的产生,如果再考虑到某些软件供应商出于政治或经济的目的,可能在系统中预留“后门”,因此必须采用有效的技术手段加以预防。
针对使用者的攻击是一种看似困难却普遍存在的攻击途径,攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点,通过种种手段窃取系统权限,通过合法程序来达到非法目的,并可在事后嫁祸他人或毁灭证据,导致此类攻击难以取证。
针对资源的攻击是以各种手段耗尽系统某一资源,使之丧失继续提供服务的能力,因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击,即攻击者利用其所控制的成百上千个系统同时发起攻击,迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构,尤其是Internet以及TCP/IP协议的固有缺陷,因此在网络的基础设施没有得到大的改进前,难以彻底解决。
金融的安全需求安全包括五个基本要素:机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题,即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有:传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。
必须指出:网络信息系统是由人参与的信息环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。
三、网络安全基本技术与VPN技术
解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护,在现代金融的网络安全的应用上起着非常关键的作用。
虚拟专用网络(VPN:Virtual Private Network)技术就是在网络层通过数据包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在公共网络中建立起安全的“专用”网络。利用VPN技术,金融机构只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相安全的传递信息;另外,金融机构还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全的连接进入金融机构网络中,进行各类网络结算和汇兑。
综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术,并通过适当的密钥管理机制,在公共的网络基础设施上建立安全的虚拟专用网络系统,可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统,采用VPN技术可以在不影响现行业务系统正常运行的前提下,极大地提高系统的安全性能,是一种较为理想的基础解决方案。
当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、传输协议依赖性高,适应性差,无统一标准等缺陷,又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题,使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势,成为目前和今后金融安全网络发展的一个必然趋势。
从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络(VPDN)。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网;虚拟专用拨号网络是使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议应该具备以下条件:保证数据的真实性,通讯主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。保证通道的机密性,提供强有力的加密手段,必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
针对现行的金融机构的网络信息安全,VPN具有以下优点:(1)降低成本。不必租用长途专线建设专网,不必大量的网络维护人员和设备投资;(2)容易扩展。网络路由设备配置简单,无需增加太多的设备,省时省钱;(3)完全控制主动权。VPN上的设施和服务完全掌握在金融机构自己的手中。比方说,金融机构可以把拨号访问交给网络服务商(NSP)去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
综上所述,VPN技术使金融行业各部门的内部信息可以跨越公共网络进行传输,如同在各金融机构各部门之间架起众多的“虚拟专用”的网络连接线,同时,VPN为每个用户定义出各自相应的网络空间,根据使用者的身份和权限,直接将他们引导到应该接触的信息环境中去,针对目前金融管理的信息安全存在的隐患,VPN技术可以弥补这些缺点。VPN作为广域网的一种新形式,确实为金融行业在新世纪提供了一个系统实用的技术平台。总之,VPN技术拥有很吸引人的优点,随着VPN技术发展的不断完善,在未来的金融管理信息安全领域里,将会起着至关重要的作用。
参考文献:
1.戴相龙,桂世镛.中国金融改革与发展.北京:中国金融出版社,2000.
2.Anonymous.Maximun Security Third Edition.北京:机械工业出版社,2003.
网络安全的方针篇5
关键词:船舶计算机网络系统网络安全管理
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(SMIS)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(VLCC)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);网关采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交换机采用D-LINK DES-1024D快速以太网交换机(10/100M 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用AMOS MAIL或Rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软Windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义ISMS的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循PDCA的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7 总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
[1]中国长航南京油运股份有限公司SMIS项目实施总结报告
网络安全的方针篇6
关键词:网络;犯罪;网络安全;素质教育
近年来,网络已经逐步渗透到我们日常工作的方方面面,从某种角度说,网络已经成为了我们普通大众特别是年轻一族工作、学习和生活中不可或缺的一部分。但是,我们也应当清醒的认识到,网络给我们带来便利的同时,网络犯罪活动也越来越多。大中专学生,作为当今网络的主要群体之一,也是今后社会网络使用的最重要群体,他们对网络安全的素质关系到未来网络安全的整体走势,可是目前大中专院校对网络安全教育重视程度不够,导致大中专学生网络安全素质整体偏低,这也给网络犯罪带来了可趁之机。
本文以此为研究课题,从网络犯罪的主要表现入手,结合大中专院校网络安全教育的现状,提出加强大中专学生网络安全素质教育的相关建议和意见。
1、 网络犯罪的主要表现
1.1网络犯罪的概念及特征
网络犯罪是指一些不法之徒针对或者利用网络进行犯罪的行为,网络犯罪的本质是危害网络安全,危害网络信息安全及秩序,为个人或特定团体谋取不当利益。
网络犯罪的特点主要表现在以下几个方面:首先是犯罪成本低、传播范围广、传播速度快;第二是网络犯罪隐蔽性强、认定复杂、取证困难;第三是网络犯罪危害面较广、社会影响非常恶劣。
1.2网络犯罪的主要表现
网络犯罪主要分为两大类:
第一类是在计算机网络上实施的犯罪。主要包括非法侵入计算机信息系统罪和破坏计算机信息系统罪。具体的表现形式有袭击网站和在线传播计算机病毒等。
第二类是利用计算机网络实施的犯罪。主要包括利用计算机实施金融诈骗罪,网上非法交易,电子及色情、虚假广告等。
2、大中专学生网络安全素质教育现状分析
2.1大中专学生网络安全素质教育现状
当前各个大中专院校都开设了计算机课程,特别是在一些职业院校,计算机课程内容涉及面更广,部分学校专门开设了网络安全课程。
但是,约大多数学校,特别是文科类、综合类院校对于网络安全的教育仅仅是在现有的计算机教育课程中少量涵盖,内容单一,专业性不强。
2.2大中专学生网络安全教育存在问题
总体来说,当前大中专学生网络安全素质教育基本情况是学校重视程度不够,学生受教育面少,学生网络安全休整素质偏低。综合分析,当前大中专院校网络安全教育存在问题主要表现在以下几个方面:
一是学校重视程度不够。当前各个大中专院校,特别是职业学校以就业率为主要教学目标,如何能提高学生就业,学校教学的重点就如何调整。对于学生的网络安全素质教育没有投入过多的精力。
二是现有网络安全教育内容较少。当前仅有的网络安全教育主要是在计算机网络课程中少量提及,没有形成专业的、科学的教育体系。
三是网络安全素质教育形式单一。网络安全素质教育应当更多的侧重与网络犯罪的具体表现,可是目前的网络安全教育更多的是停留在理论教学上,形式单一,没有可操作性。
3、加强职业学校大中专学生网络安全素质教育的对策建议
针对目前网络犯罪的现状,要切实提升大中专学生网络安全素质教育要从学校、学生、社会多方入手,群策群力,方能起到事半功倍的效果。
3.1要充分认识大中专学生网络安全素质教育的重要性
要充分认识大中专学生网络主体的客观性。当前网络犯罪的重要受害群体就是广大网民,其中大中专学生就是网民的重要群体之一。特别是五年、十年后,如今的大中专学生必然成为网络消费的主流群体。只有在现在加强大中专网络安全教育,不断提升大中专学生的网络安全整体素质,才能从根源上筑牢抵御网络犯罪的安全防线。
具体来说,首先职业学校应当将学生的网络安全教育问题纳入正常的教学内容当中,特别是针对计算机职业学校,更应当将此课程纳入教师的年终考核目标。要投入专门的人力、财力开展网络安全教育,切实提升学生的网络安全整体素质。其次,社会的相关职能部门也应当总结网络犯罪的具体案例,提供给学校进行教学参考,发挥社会的积极作用。最后,大中专学生也应当充分认识网络安全教育的重要性,提升自我防范意识。
3.2要充分明确大中专学生网络安全素质教育的主要内容
网络安全素质教育的根本目的是提升大中专学生网络安全的素质,最终达到防止不法行为侵害的目的。从这一目标出发,要加强大中专学生的网络安全素质教育,根本问题就是要针对网络犯罪的特点,设定针对性的教育内容。
要分别针对计算机网络上的犯罪和利用计算机网络进行的犯罪设定相应的网络安全教育课程。对于计算机网络犯罪,要加强计算机网络安全专业知识的教育,提升学生对计算机网络安全的认识,提升学生加强计算机网络安全防护的动手能力。对于利用计算机网络犯罪,要通过案例教学等形式多样的课程,让学生充分认识到网络犯罪的具体内容,案例选择要具有代表性,要真正起到警示作用。
3.3要营造诚信经营的网络环境
网络犯罪的主因是网络行为诚信度的缺失,网络犯罪现象的逐日增加也给大中专学生造成了社会风气越来越差的不良影响,会在一定程度上影响大中专学生的健康成长。
要做好大中专学生的网络安全素质教育,除了要提升对网络安全素质教育的重视程度,加强网络安全素质教育这两个内容外,还有一个重要措施就是要营造诚信经营的网络环境。一方面积极宣传可靠、安全、可信的网络环境;加一方面要加大对网络犯罪的打击力度,特别是加强对网络犯罪的惩处力度,要让那些不法之徒不敢实施网络犯罪。
职业学校大中专学生网络安全素质教育是一项复杂的、专业性较高的系统学科,需要学校、社会和学生自己多方共同努力才能最终达到提升学生网络安全素质教育的教育目标,并实现防范网络犯罪的最终目标。
参考文献
[1]邢玉美,再谈大学生网络素质教育[J],黑龙江科技信息;2008年12期
[2]任丽平,加强大学生网络安全教育[J],内江师范学院学报,2004年05期
[3]张建,论网络政治环境下大学生政治观教育[J],安徽理工大学学报(社会科学版),2006年03期
网络安全的方针篇7
一、目前网络信息安全管理现状
近几年来,计算机的犯罪案件屡见不鲜,在网络方面,各个国家的计算机系统都面临巨大的挑战。针对存在的问题,主要有以下两方面原因:
(一)技术角度
Internet方面存在着许多不安全管理因素,其一,Internet面对的是网络上的全部用户,用户自己的和所需要的资源都在网络上共享;其二,Internet技术是完全开放的。虽然已经步入了商用阶段,但是Internet的技术基础方面仍存在不安全管理。
(二)网络协议的结构设计
目前,运用最为广泛的协议是在资源和网络技术上均不成熟的时期设计出来的TCP/IP协议。TCP/IP协议主要目的是完成网络的互通、互联,而不是考虑的网络安全管理。
二、电子政务中,网络安全管理问题的表现
针对电子政务中的安全管理问题,我们可以从协议的几个层面进行分析:
(一)在物理层面上:物理通路损坏、窃听以及物理通路受到的干扰攻击等。
(二)在网络层面上:一些非法的用户在网络上进行违规操作和非法的使用,导致网络路容易发生错误,网络信息也容易被拦截、监听。
(三)系统操作安全管理问题:在网络安全管理方面,目前使用率较高的操作系统都存在一定的漏洞。
(四)应用平台、系统安全管理的重视程度:在过去,平台的应用以及系统安全管理都没有受到重视,例如在数据库方面、Web方面等都存在大量的安全管理问题,也是黑客、病毒攻击的目标。
三、电子政务中,网络信息安全管理相关对策
(一)网络安全管理的技术应用
1、利用密码技术
针对信息,需要选择适当的加密方法用于信息传递过程。基于Ipsec的优点,其加密方式得到了广泛的应用:Ipsec在系统应用的透明度上有较大作用,并且安全管理性较强,这一特点对于庞大的电子政务的应用开发,具有极大的好处。Ipsec的应用,减轻开发商因为数据传输中的加密而做过多的考虑。由于Ipsec网关容易部署和维护,选择其是较为理想的。
2、利用防火墙技术
网络系统是一个具有广域性的:作为专用网络,一般都是用于为下属部门提供数据库、日常办公以及管理方面的服务。通过与Internet等相关网络的互连,可以促进工作人员的访问、有效的利用各种各样的信息资源,并且对国内外合作,加强上级主管以及地方政府之间的联系。针对这些特点,此方案主要是考虑到网络层次上的问题,将网络系统设计成为一个能够让各个级别用户群一起使用的安全管理性较强的网络。该网在保证了内部网络安全管理的基础上,实现了与Internet等相关网络的互连。具体措施如下:
1)网络系统中,各个局域网络的边界安全管理完全可以用访问的控制功能来完成防火墙的访问。在使用能够支持多网段划分的防火墙的时候,也能够实现其各网段的隔离以及相互之间的访问控制。
2)防火墙的入侵检测主要是为了对网络上出现的违规现象进行自动识别与相应的系统。将入侵系统与防火墙的使用相结合,也能形成一套具有主动性的防护网络违规体系。
3)网络的安全管理检测主要是包括设备、防火墙、服务器等安全管理检测。
(二)电子政务的网络安全管理辅助措施
1、加强物理层的安全管理
电子政务中的信息比之商业上的信息更具敏感性,对物理层的安全管理设计问题以及信息传输中的安全管理要求也比商业信息更高。整个网络系统安全管理得以保障的前提是计算机信息系统中各种设备的物理安全管理。在物理的安全管理防范设计上尅参考《电子计算机机房设计规范》来进行;提高网络信息安全管理意识,防止信息出现被盗、被窃的现象出现。
2、强化信息安全管理意识
1)运用强大的大众传媒。增强、普及安全管理信息意识。
2)组织网络信息安全管理知识的专题讲座和培训,确保安全管理防范和技术方面的先进、主动。
3)进行网络信息安全管理策略研究,明确安全管理意识责任,强调工作人员的责任心。
3、严格执法
执法部门需要针对安全管理中存在的问题,将法律、法规落到实处,确保高执法水平。严厉打击各种违法犯罪,绝不姑息。充分利用、发挥管理与制度等非技术的手段。
网络安全的方针篇8
【关键词】计算机网络通信 安全问题 安全思路框架构建
1 引言
21世纪,随着社会的进步,人们的生活水平得到相应的提高,计算机通信网络在人们的日常生活中,工作中所扮演的角色重中之重。但是就因为计算机通信网络使用的普遍,在信息交流的时候难免不存在一些不安全的因素。通信网络快速的一体化的进程,计算机通信网络是否安全绝对影响着信息是否正常的交换,所以要想进入全球信息化的时代就必须稳固计算机网络通信,所以这是目前所面临的最首要的问题。
2 计算机通信网络的安全问题
2.1 人为主观的原因
首先计算机网络是否能够正常运转需要相关专业人士的管理,所以针对计算机网络的安全意识取决于专业人士的管理是否注重于这一点,而就目前的情形来看,在我国的部分计算机网络管理员似乎还未意识到这一点,以至计算机通信网络会因为管理人员一些小小的失误而受到威胁。在生活中这样的例子很多,例如,管理人员随意的将用户的密码透入,用户按要求设置的安全密码太过于简单,更严重的还有社会上的一些黑客通过不法的途径潜入计算机通信网络窃取用户相关机密的信息,而专业的管理员面对这样的情况没有实际的措施去维护。
2.2 计算机系统的问题
2.2.1 软件的不足
软件是由专业的技术人员设计的,而软件的好坏取决于设计人员在设计的过程中是否还存在问题没有解决或者根本还没意识到,这点对于设计人员具有很高的难度,换另一种说法来说,如果技术人员设计这款软件的时候即使出现了很少的问题,在软件正常运用的时候,会转化成很严重的问题,举个例子,如果在设计时,没有全面而周到的考虑,计算机通信协议和一些软件很有可能会变动,在工作中出现了安全的缺陷,万一黑客趁机攻击计算机通信网络,严重的情况导致计算机处于整体瘫痪的情况。
2.2.2 计算机网络的开放性,通达性
计算机通信网络使用的范围很广,平台之间互相开放,网络之间的布设决定了网络之间的通达度,所以,大量的数据是处于互相交换,互相传输的,假如这些数据的安全防护不够严密,一些重要信息传达的安全性是个未知数。
3 计算机通信网络的安全思路框架构建
3.1 设定密码保护计算机通信网络
通过密码的设定来确保计算机通信网络的安全,密码的设定主要是由密钥、密文、算法和明文组成,它的核心是给信息进行伪装。密码保护的过程中,一个重要的关键在于密钥的管理,这是相对比较全面而综合性的技术,它的过程是产生、检验、分配、传递、保存、使用、消钥的先后顺序进行的。密码的设定,有代替密码、移位密码和乘积密码这3种类型,其中代替密码是运用数字的字符来替换明码的字符也可以直接运用其他的代码,它是通过设定最后才获得的密码;移位密码是改变代码和明码中字符的相对位置来获取最终的密码;乘积密码是采用混合代替使得明码转变成密码这样的密码相对是比较难破解的;而在实际的密码设定,是将3种类型的密码互相进行组合变换而成。
3.2 物理层保护计算机通信网络
计算机网络物理层的电磁泄露会严重威胁到计算机网络信息的安全,因此,必须对计算机物理层的信息网络采取措施来确保传输回路会受到绝对的保护,会采取相应的措施,传输的过程中,所有被使用的线路要尽量的远离各种较强的辐射源,避免数据会因为受干扰而出错;对安装的线路要定期的进行严格的检查,以防搭线的接听、外连和破坏的现象;在网络传输过程中所被用到的电缆都要通过金属来屏蔽,在特定的需要情况下,可将其埋于地下;端口进行保护,应用特别专业的装备对远行程的终端的端口的安全进行保护;以防监控用的集中器和调制解调器之间外连;运用相对安全的,稳定的网络协议,来确保计算机网络在在使用的过程中不会因为局部的破坏而造成瘫痪。
3.3 入侵检测保护计算机通信网络
IDS被称之为计算机网络安全中的入侵检测保护,主要是用来识别网络的入侵行为,并即刻做出回应,采取各种相应的安全措施来抵御入侵和随即报警,它是针对计算机网络的一种相对比较完善的技术。计算机通信网络就目前而言,一般运用的协议是TCP/IP,它具有单一性的特点,一旦受到入侵,它均会按照设定好的规律进行,针对计算机通信网络设定的入侵检测技术主要是针对常用的计算机通信网络协议,以节点入侵检测的系统等进行设计,针对一些入侵的行为进行过滤、解释、分析和判断。
4 结语
针对计算机通信网络的安全维护是一项极具综合性而浩大的工程,就目前而言,是一个非常艰巨的任务,它需要试验的环境和专业的理论研究结合方可进行。所以,如果我们针对计算机通信网络要加大它的安全维护的力度,则我们一方面为了创新安全维护技术不断的探索,另一方面还要尽量与国际接轨,不论前方所面临是多大的艰难险阻,我们都要一勇向前,时刻关注,积极防范,确保计算机通信网络的安全。
参考文献
[1]杜江,王天平,罗文龙.基于主机的网络防火墙技术及其实现方法[D].重庆邮电学院,2005.
[2]陈朝阳.新型软件防火墙的设计与实现[D].浙江大学,2002.
[3]师云秋,王锡钢.网上办公系统的安全防范技术[J].鞍山师范学院学报,2004(06).
[4]张蕊.发挥证券业后发优势 实现IT 稳步发展――访中国银河证券股份有限公司信息技术部副总经理唐沛来[J].中国金融电脑,2010,03(09):19-24.
[5]谢涛,陈天华.信息技术革命与证券业的发展――访国泰证券公司副总经理赵大建[J].企业家天地下半月刊(理论版),2011,23(14):19-26.
作者简介
成勇(1978-),男,广西壮族自治区隆安县人。大学本科学历。现为中国移动通信集团广西有限公司工程师。研究方向为计算机通信。
李云霞(1977-),女,广西壮族自治区东兰县人。大学本科学历。现为中国联通广西分公司工程师。研究方向为计算机通信。
作者单位
1.中国移动通信集团广西有限公司 广西壮族自治区南宁市 530022