时间:2023-12-11 09:50:04
导言:作为写作爱好者,不可错过为您精心挑选的10篇网络安全及解决方法,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)01―0129-02
1、消防信息网络安全的基本内容
1.1 网络安全的概念
网络安全是利用各种网络管理、控制和技术措施,使网络系统的硬件、软件及其系统中的数据资源受到保护,不会因为一些不利因素而使这些资源遭到破坏、更改、泄露。
1.2 网络安全的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不会因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。包括:网络运行系统安全、网络上系统信息的安全、网络上信息传播的安全和网络上信息内容的安全。
2、消防信息网络中存在的安全问题
2.1 使用网络类型的不同
消防部队由于工作的特殊性,既有基于Internet的公众网络办公系统,又有基于公安网的内部网络办公系统。在日常办公时这两种网络都会被用到,如果电脑使用者不能区分开这两种网络,不注意而将两种网络混淆使用,就会导致“一机两用”的发生,甚至会使计算机受到病毒、黑客的攻击,发生重要数据的丢失或机密信息遭到窃取。“一机两用”是指计算机或者网络设备在未采取安全措施情况下既连接公安信息网络又连接互联网(含同时连接与不同时连接)。容易发生“一机两用”的途径和方式:
1)计算机同时联入互联网和公安信息内网;
2)公安信息内网专用移动存储设备在公安信息内网和互联网之间交叉使用。
3)外单位计算机维修人员对公安专网计算机进行维修。
4)将无线上网系统连接到公安网计算机。
5)使用笔记本电脑在公安信息内网和互联网之间交叉连接。
2.2 网络系统的脆弱性
2.2.1 网络自身的脆弱性
网络安全问题是Internet中的一个重要问题。计算机网络是使用TCP/IP协议的,而其所提供的FTP、E-Mail、RPC和NFS服务都包含许多不安全的因素,存在一些漏洞。
同时,网络的普及使信息共享达到了一个新的层次,信息被泄露的机会大大增多。Internet网络是一个不设防的开放大系统,谁都可以通过未受保护的外部环境和线路访问系统内部,随时可能发生搭线窃听、远程监控、攻击破坏。
2.2.2 操作系统存在的安全问题
操作系统是作为一个支撑软件,使得程序或别的应用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。主要表现在:
1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。
2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。
3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。
4)操作系统会提供一些远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行。远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全的问题。
5)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段,程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用,或在软件前没有删除后门程序,容易被黑客当成漏洞进行攻击,造成信息泄密和丢失。
2.2.3 防火墙的局限性
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
尽管利用防火墙可以保护安全网免受外部黑客的攻击,但它只能提高网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。
2.3 基于消防信息网络进行的入侵
由于消防工作的社会性,消防信息化建设的一个重要方面就是利用信息化手段强化为社会服务的功能,积极利用网络载体为社会提供各类消防信息;在网上受理消防业务,公布依法行政的有关信息,为社会提供服务,增强群众对消防工作的满意度。在利用网络提高工作效率和简化日常工作流程的同时,也面临许多信息安全方面的问题,主要表现在:
2.3.1 内部资料被窃取
现在消防机关上传下达的各种文件资料基本上都要先经过电脑录入并打印后再送发出去,电脑内一般都留有电子版的备份,若此电脑是接入内部公安网或互联网的,那么就有可能受到来自内部或外部人员的威胁,其主要方式有:
1)利用系统漏洞入侵,浏览、拷贝甚至删除重要文件。
2)电脑操作人员安全意识薄弱,系统安全设置较低,随意共享文件等;系统用户使用空口令,不设置登录密码,或将系统帐号随意转借他人,都会导致重要内容被非法访问,甚至失去系统控制权。
2.3.2 Web服务被非法利用
目前全国各级公安消防部门在互联网上已建立了很多的网站,这些网站主要是用来提供消防法规、产品质量信息、消防技术标准、消防宣传资料等重要信息,部分支队面向社会群众开辟了网上受理业务服务,极大地提高了工作效率,但基于网页的入侵及欺诈行为也在威胁着网站数据的安全性及可信性。其主要表现在:CGI欺骗。
CGI(Common Gateway Interface)即通用网关接口,许多网站页面上允许用户输入相关信息,进行一定程度的交互。还有一些搜索引擎允许用户查找特定信息的站点,这些一般都通过执行CGI程序来完成。一些系统配置不当或本身存在漏洞的CGI程序,能被攻击者利用并执行一些系统命令,如创建具有管理员权限的用户,开启共享、系统服务,上传并运行木马等。在夺取系统管理权限后,攻击者还可在系统内安装嗅探器,记录用户敏感数据,或随意更改页面内容,对站点信息的真实性及保密性造成威胁。
2.3.3 网络服务的潜在安全隐患
一切网络功能的实现,都基于相应的网络服务才能实现,如IIS服务、FTP服务、E-Mail服务等。但这些有着强大功能的服务,在一些有针对性的攻击面前,也显得十分脆弱。以下列举几种常见的攻击手段。
1)分布式拒绝服务攻击
攻击者通过发送大量无效的请求数据包造成服务器进程无法短期释放,大量积累而耗尽系统资源,使得服务器无法对正常请求进行响应,造成服务器瘫痪。对任何连接到Internet上并提供基于TCP的网络服务(如Web服务器、FTP服务器或邮件服务器)的系统都有可能成为被攻击的目标。大多数情况下,遭受攻击的服务很难建立新的连接,系统通常会因此而耗尽内存、死机或系统崩溃等问题。
2)口令攻击
基于网络的办公过程中不免会有利用共享、FTP或网页形式来传送一些秘密文件,这些形式都可以通过设置密码的方式来提高文件的安全性,但多数不会使用一些诸如123、abc等简单的数字或英文字母组合作为密码,或是用自己的生日、姓名作为口令,由于人们主观方面的原因,使得这些密码形同虚设,攻击者一旦识别了一台主机而且发现了可利用的用户账号,便可通过词典、组合或暴力破解等手段得到用户密码,从而达到访问敏感信息的目的。
3)路由攻击
路由攻击是指通过发送伪造路由信息,产生错误的路由干扰正常的路由过程。攻击者可通过攻击路由器,更改路由设置,使得路由器不能正常转发用户请求,从而使得用户无法访问外网,或向路由器发送一些经过精心修改的数据包使得路由器停止响应,断开网络连接。
3、解决网络安全问题的主要方法
3.1 安全技术手段
1)网络安全隔离技术。
消防部队在处理日常事务上主要是用公安内网,由于内部公安网信息较多,为了杜绝泄密事件的发生,一定要将其与互联网进行隔离的。网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。网络安全隔离技术可以实现内、外网络或外部网络与信息的物理隔离,因而可以保证网络的相对安全。网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。
2)入侵检测技术。
入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测是对防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力和范围(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。
3)访问控制技术。
访问控制技术是对系统内部合法用户的非授权访问进行实时控制,可分为以下两种类型:①任意访问控制。指用户可以任意在系统中规定访问对象,优点是成本小且方便用户,缺点是安全系数较低。②强制访问控制。可以通过无法回避的访问限制来防止对系统的非法入侵,其缺点是费用较高、灵活性小。对于安全性要求较高的系统,可以采用两种类型结合的方法来维护网络系统的安全。
3.2 网络安全管理方面的措施
1)成立网络安全领导小组。
应该建立由单位领导牵头、网络管理员参与的网络安全领导小组,重点加强本单位网络安全有关项目的管理和应用,负责贯彻国家和公安部有关网络安全的法律、法规,落实各项网络安全制度;督促和加强对本单位人员的网络安全教育培训,监督、检查、指导网络安全工作。同时,将计算机网络安全的投入作为消防信息网络建设的基础投入来抓,同步建设。
2)加强网络管理人才引进和培训。
要保证消防网络信息系统在一个安全环境里发展,必须大力加强网络管理人才的引进,应该把招收计算机专业的人才列入消防部队招收大学毕业生的计划之中,提高消防部队网络管理人员的知识结构。同时,结合计算机网络技术的飞速发展,应当出台相关的培训制度,大力加强对现有网络管理人员、使用人员的培训。
3)制定并执行网络安全管理制度。
在系统安全处理的同时,应建立并完善各项安全管理制度,以此来确保计算机网络安全,如外聘人员签订安全责任书制度,外来人员网络访问制度,网络管理员定期检查维护制度等。
4)按规定做好公安内网专用计算机的联网注册工作。
按照规定,连接公安内部网络的计算机都需要经过领导审批才能实施联网,并逐台登记,进行实名注册,落实到民警个人。这样一方面能加强使用人的安全意识;另一方面对责任人敲响警钟,防患于未然。
5)在有多种网络的办公室,分清和梳理好各种网络接口和网线。
对于有两种或两种以上网络的办公室,必须对每个网络接口、每根网线、每台计算机都贴上醒目的标签,避免因接错网络而导致“一机两用”的发生。
6)组建安全保障体系。
根据各单位的实际情况组建安全保障体系是必需的,如网管人员安全培训、可靠的数据备份、紧急事件响应措施、定期系统安全评估及更新升级系统,这些都能为系统的安全提供有力的保障,确保系统能一直处于最佳的安全状态,即便系统受到攻击,也能最大程度地挽回损失。
4、结语
综上所述,网络安全问题的存在是显而易见的,而其所造成的威胁是不容忽视的,因此,在今后的消防信息化工作中,必须高度重视计算机网络的安全,只有不断加强技术和管理方面的工作,提高计算机安全意识人手,才能保障消防网络能够在一个安全的、稳定的环境中运行,才能够使得各项消防工作正常顺利的运行,信息的通畅可靠。
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2009)15-3890-02
On the Computer Network Security Issues
SHI Yang
(Nanjing Communications Vocational Technology College,Nanjing 211188,China)
Abstract: Sets out to strengthen the security of computer networks, the importance of an analysis of computer network security, and security analysis of the proposed solution.
Key words: computer network; network security; safety analysis; security policy; resolvent
计算机网络的迅速发展,使它成为现今人类活动中不可或缺的一个重要组成部分。计算机网络具备分布广域性、体系结构开放性、资源共享性和信道共用性的特点,因此我们在享受网络服务带来的方便和便捷的同时,也必须面对由此引入的巨大安全保密风险。广泛应用的TCP/IP 协议是在可信环境下为网络互联专门设计的,加上黑客的攻击及病毒的干扰, 使得网络存在很多不安全因素,如口令猜测与破译、DDOS攻击、TCP端口盗用、ARP地址欺骗、邮件炸弹、业务否决、对域名系统和基础设施的破坏、利用WEB破坏数据库、病毒携带等。因此,针对计算机网络在实际运行过程中可能遇到的各种安全威胁, 必须采用防护、检测、响应、恢复等行之, 建立一个全方位并易于管理的安全体系,保障计算机有效的安全措施网络运行的安全、稳定、可靠。
1 计算机网络安全体系的结构
图1为计算机网络安全体系的结构图。
2 计算机网络安全体系的分析
2.1 网络层的安全性分析
网络层安全是网络中最重要的内容,涉及3个方面。
1) IP协议本身的安全性,IP协议本身没有加密使得非法盗窃信息成为可能。
2) 网管协议安全性,如SNMP协议的认证机制非常简单,并且使用未加保密的明码传输。
3) 网络交换传输设备的安全性,交换传输设备包括路由器、ATM和传输介质。由于Intemet普遍采用路由器的无连接存储转发技术,并且路由协议是动态更新的OSPF和RIP协议,更新装有这些协议的路由表,一旦某一个路由器或路由器相应线路发生故障或出现问题,将迅速波及与该路由器联系的网络区域。例如:2006年12月27日由于台湾地震影响,所有经过太平洋的海底光缆都受到不同程度的损坏,以至于内地访问国外的网站会特别慢,甚至会出现打不开的情况。
2.2 系统的安全性分析
在系统安全性问题中,主要考虑两个问题:
1) 病毒、木马对于网络的威胁。
病毒和木马一直是计算机系统安全最直接的威胁, 网络更是为病毒和木马提供了迅速传播的途径,它们很容易地通过服务器以软件下载、邮件接收等方式进入网络,然后对网络进行攻击, 造成很大的损失。
2) 系统的漏洞及“后门”, 操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。另外,编程人员为自便而在软件中留有“后门”,一旦“漏洞”及“后门”为外人所知,就会成为整个网络系统受攻击的首选目标和薄弱环节。大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。
2.3 应用程序的安全性分析
需要考虑的问题是:是否只有合法的用户才能够对特定的数据进行合法的操作。涉及两个方面的问题:一是应用程序对数据的合法权限,二是应用程序对用户的合法权限。例如在公司内部,上级部门的应用程序应该能够存取下级部门的数据,而下级部门的应用程序一般应该不允许存取上级部门的数据。同级部门的应用程序的存取权限也应有所限制,同一部门不同业务的应用程序也应该不允许访问对方的数据。这样可以避免数据的意外损坏,也是从安全方面的考虑。
2.4 数据的安全性分析
在系统信息安令领域,安全保护的根本对象应当是那些存储在磁盘系统上的有效数据,设置防火墙、使用密码、数据加密等做法都是有效的手段。有效数据存储的任何设备、系统,数据流通的任何线路、连接都是网络安全所要考虑到的,而对于数据的安全性所要考虑的问题是:机密数据是否还处于机密状态。
3 计算机网络安全体系的分析的解决方法
3.1 网络层的安全性的解决方法
1) 网络的物理安全性主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络层的安全性的前提,制定健全的安全管理制度,做好异地冗余备份,并且加强网络设备的更新与管理,加强路由协议的动态更新,建立多线的路由选择,如地震后中国电信、中国网通、中国联通等六大电信运营商已经达成协议,共同建立一条连接中美的首个兆兆级海底光缆系统――跨太平洋直达光缆系统(简称TPE),通过这些措施风险是可以避免的。
2) 网络层安全性的另一个核心问题在于网络是否受到控制,即:是不是任何一个IP地址来源的用户都能够进人网络。如果将整个网络比作车站,对于网络层的安全考虑就如同为车站设置检票员一样。检票员会仔细察看每一位进站人的车票和行李,一旦发现无票或危险的来访者,便会将其拒之站外。最主要的防护措施包括:防火墙、VPN ,其中,防火墙技术是网络安全采用最早也是目前使用最为广泛的技术,它将网络威胁阻挡在网络入口处,保证了内网的安全。而以 VPN为代表的加密认证技术则将非法用户拒之门外,并将发送的数据加密,避免在途中被监听、修改或破坏。通过网络通道对网络系统进行访问的时候,每一个用户都会拥有一个独立的IP地址。这一IP地址能够大致表明用户的来源所在地和来源系统。防火墙会通过对来源IP进行分析,便能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害,VPN为代表的加密认证技术通过解密判断来自这一IP的用户是否有权使用本网络的数据。一旦发现某些数据来自于不可信任的IP地址,系统便会自动将这些数据阻挡在系统之外。并且能够自动记录那些曾经造成过危害的IP地址,使得它们的数据将无法第二次造成危害。
3.2 系统安全性的解决方法
针对目前日益增多的计算机病毒和恶意代码,应采取的病毒防范策略如下:
1) 选择经公安部认证的病毒防治产品,如瑞星、金山毒霸、Norton 、McAfee 、卡巴斯基等。
2) 保证病毒库处与最新状态并定期进行查杀病毒和木马。
3) 制定严格的防病毒制度,不允许使用来历不明、未经杀毒的软件不阅读和下载的来历不明的网上邮件或文件,严格控制,阻断病毒的来源。
4) 对服务器及主机系统进行安全评估;要弥补这些漏洞,就需要使用专门的系统风险评估工具帮助系统管理员找出哪些指令是不应该安装的,哪些指令是应该缩小其用户使用权限的。在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。
5) 正确配置系统,减少病毒侵害事件,确保系统恢复以减少损失。在具体实施时,由于计算机网络用户数量庞大,如所有用户都购买网络杀毒软件则投资太大,可以优先对服务器进行网络防病毒保护,而对个人主机可用单机防病毒软件进行防护。另外,需调动各级系统管理员和用户的积极性,定期对操作系统进行打包、升级,及时发现感染病毒的主机,清除病毒。
在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。
3.3 应用系统安全性解决方法
计算机网络主要是通过各种应用系统来体现的,因此应用系统的安全可靠性就显得非常重要。应用系统的安全主要包括授权、认证和加密传输。由于涉及的应用系统非常多,总体上应掌握以下一些原则:
1) 应用系统之间或应用系统各模块之间的通信必须经过授权或认证,如对办公自动化(OA) 等系统传输数据必须进行加密。
2) 限制用户的权限,使用户无法获得系统管理员的口令,防止非法用户对系统进行破坏。对新用户开放满足要求的权限即可,不必开放所有权限。
3) 利用防火墙或TCPWRAPPER等限制应用服务可被访问的客户地址段,关闭不必要开放的端口,降低被攻击的可能性。
4) 经常留意用户从哪里登录主机系统,要检查其合法性。
5) 加强计算机网络信息中心各主机的安全管理,严禁用户以各种途径执行系统级指令,以避免黑客通过SNIFFER等工具软件侦听密码或其他信息。
6) 加强密码管理,提醒或强制应用系统中各人员定期修改密码,禁止使用安性不高的密码。
3.4 数据的安全性分析的解决方法
1) 在数据的保存过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证即使数据失窃,偷盗者(如网络黑客)也读不懂其中的内容。这是一种比较被动的安全手段,但往往能够收到最好的效果。
2) 在数据的传输过程中,机密的数据使用信息加密手段。目前市场上成熟的商业加密设备很多,如发给用户的电子口令卡、使用USB接口的USBKEY 这些较为简单实用,他不仅可以对指定的网络传输机密数据进行数字签名和身份认证,而且具有系统电子密码功能,可以作为操作系统登录的物理电子密码,从而将单因子认证机制升级为双因子认证机制,更大程度上确保了监控管理软件。
3) 传输中所用的加密算法根据不同情况选用公开密钥或私有密钥算法。为保证传输信息不被篡改,还可采用MD5等算法。如计算机网络内部的一些基于WWW的应用( 如OA系统),其加密协议可选用SSL SHTTP,或COOKIE机制及DES,MD5 算法。
4 结束语
上述的计算机网络安全体系中的四方面是相辅相成的,通过以上对它们的分析及解决方法基本上可以建立一套相对完整的网络安全系统。现有的安全技术包括数据加密技术、数字签名技术、防火墙技术只是提供了一种静态的防护措施 但这种措施又是必不可少的,它可以和入侵检测系统结合起来取长补短。总之网络安全是一个系统工程不能仅仅依靠防火墙等单个的系统而需要仔细考虑整个系统的安全需求,并将各种安全技术和管理手段结合在一起才能生成一个高效统一通用的网络安全体系。
参考文献:
[1] 王相林.组网技术与配置[M].北京:清华大学出版社,2007.
[2] 陈龙.安全防范系统工程[M].北京:清华大学出版社,1998.
[3] 秦超.网络与系统安全实用指南[M].北京:北京航空航天大学出版社,2002.
[4] 李海泉.计算机网络安全与加密技术[M].北京:科学出版社,2001.
[5] 赵小林.网络通信技术教程[M].北京:国防工业出版社,2003.
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 16-0000-01
Security of the Computer Office Network
Fang Ling
(Tianchang Human Resources and Social Security Bureau,Tianchang239300,China)
Abstract:This article from the local office computer network security and endpoint security management of computer office in both directions of the computer office network security issues.
Keywords:Computer office;Network security;Local area network
计算机办公,亦称之为办公自动化(Office Automation,简称为OA)是一种将现代化办公和计算机网络功能相结合的新型办公方式。它通过计算机对文档进行综合管理,节省了管理程序,极大的提高了工作效率,是信息技术革命中的一个主要应用领域。
一、计算机办公局域网安全
(一)办公局域网络
办公局域网是一个信息点较为密集的网络系统,各个相联接的信息点给位于整个系统中的各个办公部门提供一个快速、方便的信息交流平台。在此基础之上,单个企业的局域网络可以和广域网相连,建立一个内部与外部相通的门户,为信息的流通建立了基础,各个部门可以在局域网内直接与互联网上的用户进行信息交流等。由于开放式的网络环境,注定了网络具有不安全性,因此在局域网内实行一套可行的安全解决方案势在必行。
(二)网络系统安全风险分析及其解决方法
1.平台的安全风险及解决方法。一般局域网都会通过公开服务器区的方式为办公过程提供信息的平台,与此同时,这些服务器本身还要为外界服务而提供数据通道。而黑客正是利用这些通道上的节点试图侵入用户系统,非法获取用户资料,给用户带来严重损失。为了防止由于外部侵入给系统带来的损失,网络管理人员对网络安全事故作出快速反应就显得非常必要。在进网络安全管理时,可以通过将公开服务器以及内部网络与外部网络之间进行有效的隔离;其次,对于外网的服务请求要加以鉴别和过滤,只允许通过正常通道的正常数据包到达相应的主机,对于可疑的服务请求一律予以拒绝。
2.系统的安全风险及解决方法。网络操作系统、网络硬件平台的可靠性会直接影响到系统的安全性。对于一般的用户而言,采用的任何操作系统都不可能有绝对的安全保障。因为无论任何一种商用操作系统的开发商都留有后门。但是对于一般的用户而言,这不会构成太大的影响,用户可以通过对既有的操作平台进行适当的安全配置、对操作及访问权限进行严格的审查,一样可以达到用户使用的安全需求。在构建网络的过程中,选择可靠的操作系统和硬件平台是前提,同时还应该加强使用过程中用户登录的认证,以确保其合法性。
3.网络应用的安全风险及解决方法。网络应用的安全性一般涉及到网内信息、数据的安全性,包括用户的机密信息的泄露、未经授权的访问、恶意修改信息以及对信息完整性进行蓄意破坏等。对于局域网而言,由于信息的传递主要集中在局域网内,其信息的跨度较小,信息的保密性和完整性都可以得到有效的保证。不过,对于那些特别重要的信息,例如企业的经营战略及核心技术等,需要对内部保密的,可以采用在应用级进行加密,一定级别的用户只能打开对应密级的文件资料,从而有效的控制密级文件的传递。
二、计算机办公终端安全管理模式
(一)实施计算机办公终端安全管理模式的必要性
从宽泛的角度来定义,计算机办公终端是指在办公环境下的所有类型的计算机,它包括计算机的硬件、操作系统以及常用的办公软件等,是网内用户办公及处理日常事务的重要工具和手段。实施计算机办公终端安全管理,是指专业技术人员为使得计算机办公终端能给网内用户提供其正常的功能和服务而进行的一系列技术维护活动,主要包括相应的安装、配置、升级以及故障处理等。
现在,办公自动化在企业中的应用已相当普遍,计算机办公终端与每一个员工的日常工作紧密联系。尤其是对于目前一些大型企业,终端的使用人员较多,数量庞大,而管理机制不健全,众多企业的办公网络以及信息安全问题突出。通常的有:其一,整个系统没有一个统一的补丁管理,系统不能及时更新甚至没有更新,存在大量系统漏洞;其二,缺乏统一的防病毒管理,一个终端中毒则导致整个网络瘫痪;其三,没有一个统一的接入管理,没有经过授权的计算机办公终端随意接入局域网内等。所有的这些都给计算机办公网络及信息安全带来了极大的安全隐患。
(二)可实施的安全管理模式
目前广泛采用的是终端安全管理平台,通过构建一个终端管理平台,对包括补丁升级管理、防病毒管理、终端安全策略管理以及终端接入等方面进行统一控制,达到对局域网终端的安全管理目的。
1.补丁管理。补丁系统的主要功能在于实时的处理网络安全方面的“常见病”以及“多发病”。我们可以通过采用由微软SMS软件搭建一套用来管理办公终端及服务器补丁的分发、安装的专门系统。该套系统由补丁中心服务器、补丁下载服务器、补丁分发服务器以及客户端Agent等组成,可以为网络内所有的客户终端提供补丁扫描以及补丁安装功能。管理系统通过与AD域管理功能相结合,及时、准确、快速的为办公终端实施安全补丁服务。保证网络内的计算机终端能处于最优的工作状态,网络内的资源能得到良好的保护。
2.防病毒管理。防病毒系统的主要功能在于通过对系统的病毒库进行实时的更新,使之具有统一的防毒定义更新以及应急响应能力。企业的局域网一般可以采用赛门铁克SEP11.0等防病毒软件,使得网络的防病毒系统具有对主动型攻击、网络威胁以及非法网络访问等进行防御和控制的功能。
3.终端接入安全管理。随着企业的发展,企业与外部的业务交流将越来越多,企业的业务将会进一步扩展,对外部接入系统的外部终端进行有效的监控和防护将显得尤为重要。我们可以通过采用先进的网络接入控制技术,诸如思科的NAC,对接如的外部办公终端进行安全扫描,凡检测到含有安全隐患的终端一律将之隔离。
实施计算机办公网络的安全防护是现代企业保护自身信息安全,实现管理信息化的基础。办公网络的安全管理是一个循序渐进的过程,需要企业持之以恒,这样才能为企业的顺利发展提供保障。
中图分类号:TP3文献标识码:A文章编号:1007-9599 (2010) 14-0000-01
The Corporate LAN Security Management Strategy
Li Lin
(Chenzhou Branch of China Railway,Chenzhou423000,China)
Abstract:With the development and application of information technology,highlights growing importance of network security,network security refers to the network hardware,software and data are protected in the system,not due to accidental or malicious reasons destruction,alteration,disclosure,the system of continuous and reliable,normal operation of the network service is not interrupted.This paper mainly introduces the LAN network management network security problems encountered,and for some malicious software,viruses,trojans and other security solutions and management strategies.
Keywords:LAN;Security;Management
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。局域网的安全不仅仅是一项技术问题,而是市场竞争中的一个必要条件。确保局域网的网络安全已越来越重要,它是保证各项业务能正常运转的关键。
一、网络安全概述
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或者恶意的原因而遭到破坏、更改、泄露,系统要连续可靠正常的运行,网络服务不中断。总体上讲,网络安全的内容包括物理安全、系统安全、应用安全、信息安全、网络安全管理等几大方面。从技术角度上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控等多个安全组建组成。
网络安全要做到保护个人隐私;控制对网络资源的访问;保证商业秘密在网络上传输的保密性,完整性,真实性及不可抵赖性;控制不健康的内容或危害社会稳定的言论;避免秘密泄漏等。
二、局域网常见的安全问题
(一)缺乏安全意识
1.随意打开电子邮件。对于在局域网使用PC的用户,因为存在电脑使用水平的差异,所以网络安全意识也不尽相同,不少人在接收电子邮件时,不管是什么内容都打开看,邮件所带的附件也打开,所以容易中招。
2.随意下载和安装软件。互联网的发展给我们带来了十分丰富的共享资源,网络提供了很多的应用软件,但同时也给一些别有用心的人带来了机会,他们将病毒和木马程序嵌在一些应用软件中,下载者一旦安装软件,病毒和木马程序就悄悄的运行了,这样用户的电脑就被木马所控制了,危害可想而知。
3.系统弱口令。一些用户为了使用方便,不设置系统登陆口令或口令很简单,这样为病毒和木马控制系统提供可乘之机,一些病毒和木马,如熊猫烧香病毒在传染过程中,会自动列举你的系统管理员的密码,从而获得管理员的权限,破坏你的系统。
(二)漏洞问题
漏洞是造成局域网安全问题的重要隐患。绝大多数的黑客、木马、病毒是通过漏洞来突破网络安全防线的,因此防堵漏洞是提高系统及网络安全的关键之一。
当前的漏洞问题主要包括两个方面:一是软件系统的漏洞,如:操作系统的漏洞、IE的漏洞、微软办公产品OFFICE的漏洞,还有一些是应用软件、数据库系统(如SQL SERVER)存在漏洞。二是硬件方面的漏洞,如防火墙、路由器等网络产品的漏洞。
(三)网络共享
局域网的网络优势体现在共享网络资源,企业内部各个部门之间,甚至分支机构之间,经常会因工作需要而共享某些信息,由此引发了共享信息资源的安全问题。由于没有安全防范意识,对一些共享数据没有采取安全措施,没有设置权限和访问口令,这样为病毒入侵提供了突破口。
三、网络安全解决方法
(一)开发运用多维网络安全技术
网络安全技术中最重要、最基本的技术有三类:密码技术、安全技术和内核技术。上述技术在日常网络安全管理工作中主要应用在以下几方面:
1.建立网络防病毒体系。
2.应用防火墙、入侵检测、安全扫描等多项技术,提高网络的安全性。
3.做好网络系统备份与恢复,随时应对安全突发事件。
(二)采用综合安全策略和管理
网络安全建设素有“三分技术,七分管理”的说法。从这个角度上讲,计算机网络安全不仅是技术问题,更主要的是管理问题,技术是网络安全的保证,管理是网络安全的核心,技术只能起到增强网络安全防范能力的作用,只有管理到位,才能保障技术措施充分发挥作用。所以,我们首先就是要严格执行规章制度,加大网络安全管理工作的力度。具体措施主要有:严格控制计算机网络的接入范围,严禁单位敏感部门的计算机接入互联网;对上网用户资格进行认真、严格审核,确定其权限,防止用户越权操作,同时加强对广大终端用户网络安全保密知识的教育和学习;加强网络设施的安全防护,禁止无关人员进入机房重地和使用上网终端;对数据备份、系统定期检查、应急响应预案等做出明确的规定,使管理人员和用户在使用网络过程中能做到有规可循,并保证在特殊情况下能快速解决网络安全方面的问题。
四、结束语
网络安全是网络正常运行的保障,虽然有网络安全设备和网络杀毒软件护航,但网络安全问题依然会存在,网络产品的缺陷依然会有,因此,有网络安全设备的保障下还要做好安全管理,通过管理,及时发现问题,并采取相应的安全措施和策略,及时修补漏洞,同时也要提高用户的安全意识,从而提高整个网络的安全,为业务工作的正常运行提供有力的保障。
参考文献:
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2012) 09-0000-02
随着智能手机以及各种便携式移动终端在校园内的逐渐普及,传统的有线校园网受布线以及空间的限制已经无法完全满足广大师生的需求。因此,搭建成本更低、灵活性、移动性更好的无线网络早已成为各大高校弥补有线网络不足的重要措施。借助开放性的电磁波传输,无线网络在信息传递的速度和质量上给校园带来了革命性的变化。但是,由于无线网络固有的开放性,又大大增加了网络管理人员管理无线网络的难度和增大了外部设备对校园网络的威胁。
一、校园无线网络的安全隐患
由于无线网络的信号难以控制,数据可能出现在预期之外的地方。这增加了网络被入侵的机率。同时因为无线网络依靠的是逻辑链路而不需要提供物理上的连接,所以任何在无线网络广播范围内并获得网络访问权的人都可以监听网络,并通过非法手段获得一些敏感的数据及信息。
类似其他领域的无线网络,校园无线网络也存在着以下几点安全隐患:
(一)不易管理
首先,由于无线网络开发的特殊性,管理人员很难对无线网络进行管理。其次,由于无线网络的便捷性,只要在无线广播范围内,任何地点都具有接入方便的特点,所以,通过布置防火墙等硬件措施并不适合于无线校园网。再者,无线网络协议一直以来都存在着缺憾。IEEE在802.11标准之后,虽然有针对性的提出了一些加密的方法来实现数据的保密性和完整性,但是WEP协议依旧存在着严重的缺陷,对于之后改进的802.11i,虽然大幅度的改善了网络的安全性,但是否还存在问题,任然需要时间来衡量。
(二)信息泄密
对于有线网络,由于其物理空间的界定,在传送数据包时,技术人员可以通过对物理网络的处理以提高传送的安全性。然而,由于无线网络采用无线通信的方式,所以传送的数据包更容易被截获,截获者甚至不需要将窃听设备连入网络便可进行截获,而任何截获数据包的人都对其进行破译、分析,从而导致信息的泄密。
(三)网络资源遭窃
网络资源遭窃就是一般所说的“蹭网”,一旦发生蹭网行为,则大量的网络带宽将会丧失,资源减少,将会影响到网络的性能及传输效率。
(四)存在地址欺骗的隐患
这是基于IEEE802.11协议所产生的问题,由于802.11协议对数据帧没有认证操作,网络中站点的MAC地址容易丢失,所以攻击者可以使用虚假地址的数据帧进行ARP攻击。更严重时,攻击者可以冒充AP进入网络,获得真实的认证信息。
(五)其他安全隐患
无线网络还存在着拒绝服务攻击、Web攻击、DNS欺骗、缓冲区攻击等安全隐患。
校园无线网作为无线网络具有以上的一些安全隐患,但同时校园无线网也存在着另外一些安全问题。
由于安全意识不强、校园无线网布置水平的参差不齐,校园无线网的安全性并不高。甚至,很多的无线接入点都没有考虑到无线接入的安全问题。无线网络接入的认证存在缺陷,MAC地址的认证、共享密钥的认证等基本认证方法并没有完全普及,只有少数高等院校配备了更高级的802.1x认证协议。同时,相比大型无线网络来说,一般校园无线网还需要一套更加统一、细致的安全体系!
二.无线网络问题的传统解决方法
一般来说,无线网络安全问题的传统解决方法有以下几种,它们同时也适用于校园无线网络。
(一)MAC地址过滤
由于MAC地址的唯一性,MAC地址过滤方法成为了解决无线网络问题的常见方法。技术人员可以通过将合法的MAC地址下放到每一个AP中,或者存储在无线控制器中以实现MAC地址过滤的功能。
(二)隐藏SSID并禁止广播
SSID是指用来区分不同网络的标识符,是无线网络用来进行定位服务的一项功能。一台计算机只能和一个SSID网络连接并进行通信。SSID设置在无线接入点AP上。通常来说,为了使接入的终端能获知周围的无线网络,AP会广播SSID。然而,这将大大降低无线网络的安全性。为了提高网络的安全性,AP最好不进行广播,并将SSID映射成一串无规律的长字符串。这样,任何未被授权的移动终端即使通过自动扫描功能感知到无线网络的存在也无法接入。
(三)使用VPN技术
VPN(虚拟专用网络)技术是目前最安全的解决方案。它可以通过隧道和加密技术提高信息的安全性。
(四)数据加密
对传输数据的加密是提高安全性的必要条件。这样,即使在未授权的情况下,数据被截获,也能使损失降低到最小。
(五)其他方法
其他方法如:禁止动态主机配置协议、使用802.1x控制网络接入等都能起到很好的提高安全性的作用。
三、综合性的校园无线网络安全方案
校园无线网络相比一般无线网络来说,虽然具有一般性,但同时也有自己的特殊性。所以,要想提出一个综合性的校园无线网络安全方案,不但需要以上提到的各种无线网络安全技术,还需要做到以下几点:
(一)规划优先
在构建校园无线网络之前需要对设计方案及规划进行充分的考量,这包括网络环境的设计、设备的购买、AP的布置、服务器的管理和技术人员的培训等。对于天线的选用需谨慎,杆状全向天线覆盖范围过大,增大了入侵者入侵校园无线网的可能性。在不同的区域应布置不同类型的天线。而对于AP来说,在配置时,应在满足要求的前提下,尽量使发射功率最低,以降低入侵的可能性。
另外,对技术人员的培训也是至关重要的,技术人员水平的参差不齐会导致校园无线网布置漏洞的出现。对软、硬件技术人员应该分开培训,使其懂得网络的正常管理和故障维修。对工作人员来说,必须提高他们的安全意识和专业水平。
同时,在规划校园无线网络的时候,还要考虑到整个互联网大环境的影响。在设计阶段,可以借助建立小范围模型的方法,模拟可能出现的各种问题,攻击模型,观察所规划的网络的表现,从而得出设计漏洞,进行改进。建模的方法能节约成本,使设计更加完善,提高安全性。
(二)提高校园无线网身份认证的水平
由于校园无线网的特殊性,要想得到一套综合的安全方案,需要在身份认证时,对使用人群进行分类,不同的人群使用不同的认证方法。一般来说,可以分为以下几类:1.固定使用群。一般是指校园内的师生及一些固定的校内工作人员。这类人群需要经常性地接入校园无线网。对于这类人群,安全性要求较高,所以可以使用比较复杂,但是安全系数更高的802.1x进行认证。2.流动使用群。这类用户通常是临时的在校园内生活,他们可能是交流访问的学者或者是受邀而来的宾客,他们只需要在一个特定的时间段接入校园无线网,并非长久性的。所以,对于这类人群,安全性要求显得并没有那么高,可使用简单的Portal认证。
(三)更加统一的校园无线网标准的建立
为了更加方便、系统地管理校园无线网,需要建立更加健全、安全、完善的统一标准。这将避免由于各高校标准不一而带来的漏洞问题。而且,各高校最好能共享无线网络技术,定时进行互相交流与学习,从而避免校园无线网络技术的层次不齐所带来的影响。同时,还需建立更加完善的法律法规,对构成严重网络损害的入侵者进行相应的惩罚,这样才能达到事半功倍的效果。
四、结束语
无线网络技术给校园带来了便捷性,但同时也带来了许多的安全隐患。构建校园无线网络不但需要安全技术的不断改善、实现有线网和无线网的无缝连接,更需要一套更加综合、更加完善的解决方案。只有这样才能保证校园无线网络的安全性,才能真正达到服务校园的目的!
参考文献:
[1]郑东兴.浅谈无线网络安全防范措施分析及其在校园网络中的应用研究[J].职业技术,2012,01
[2]张洪.浅谈校园无线网络的安全现状与解决方案[J].职教研究,2011,02
[3]王双剑,丁辉.无线网络安全的机制及相关技术措施[J].科技传播,2012,06
[4]陈亮.无线网络安全防范措施探讨.信息与电脑(理论版)[J].2011,03
[5]宋玲.浅议无线网络的安全隐患与防范措施[J].科技信息,2012,10
[6]张丽.无线网络安全的思考[J].硅谷,2012,01
[7]任伟.无线网络安全问题初探[J].信息网络安全,2012,01
[8]吕明化.无线网络在校园网中的应用[J].魅力中国,2009,18
[9]张景文.校园无线网络安全技术分析[J].电脑知识与技术,2010,12
网络营销安全的问题包括病毒攻击、非法入侵、篡改信息、身份仿冒、商业机密泄露、以及窃听和欺骗等,在生活中这些问题时时刻刻威胁着网络营销的健康发展。因此,我们要从多方面分析网络营销的安全问题,找到解决方法,为以后的网络营销经济发展贡献一份力量。
一、网络营销的安全问题
1.技术方面造成的安全问题。由技术方面造成的网络营销安全问题主要是指黑客盗取密码或病毒入侵等造成网络营销无法正常完成。技术因素造成的安全问题常常表现为以下三个方面:1.1窃取信息。网络黑客直接入侵信息端口或者通过木马程序,截取企业所发出的重要信息或者窃取企业内部信息和客户资料,并加以利用,对他人或企业造成不可预计的损失。1.2对信息进行非法利用和破坏。当黑客借助技术方法入侵到企业的网络后,往往都会偷盗企业的机要信息,将其转卖以营利,甚至加以破坏,对企业总成严重的影响。1.3篡改和发送假冒信息。在黑客掌握了信息的规律和格式后,他们通过技术手段,篡改网络传送的信息或者冒充合法用户发送假冒信息,以获取非法的利益。2.人为造成的安全问题。人为造成的安全问题主要包括操作者的误操作和内部人员泄露客户信息以及网络诈骗等方面。首先,操作者不能熟练操作电脑或对网络营销交易流程不熟悉,都会给网络营销带来很多的安全隐患。此外,一些内部人员为了谋取利益,将客户资料售与他人,造成客户信息的泄露。最近愈演愈烈的不法分子利用网络电信展开的诈骗犯罪活动,也严重威胁到了网络营销的安全。
二、网络营销安全问题产生的原因
1.网络营销安全意识淡薄。1.1企业决策者在建设网络时,抱有侥幸心理,尽可能少的投入资金,使得网络安全不能满足设计需求。1.2企业没有制定保证网络安全的相关规定,即使有规定,员工在使用网络时,为图方便,往往忽视这些规定,不能严格执行,使得规定成为一纸空文。2.网络基础设施比较薄弱。网络营销是一种依托网络技术产生的营销模式,网络营销的安全性往往是由网络基础设施的性能所决定的。网络基础实施的构建需要投入大量的资金,很多中小企业由于受到资金的限制,在建设网络时往往选择一些价格低、功能有限的设备,甚至没有购买专门的网络安全设备,这无疑给网络营销带来了很大的安全隐患。3.缺乏网络安全人才。在网络技术快速发展的今天,网络营销日益普及与网络安全人才严重匮乏的矛盾越来越突出。网络安全人才的匮乏主要是由以下几点原因造成的:3.1网络安全技术比较复杂。包括NETWARE、UNIX、LIUNX等各种网络操作系统的使用,交换机、路由器、防火墙等网络设备的配置,各种专用软件的使用,常用开发软件的编译、调试等等。3.2培养周期短。一方面,网络安全由于内容多,需要大量的时间进行学习和实验,短时间内无法“速成”;另一方面,很多网络安全问题的排查和解决往往依靠经验,“新手”可能无法胜任。
三、网络营销安全对策
网络营销中出现的诸多安全问题愈发引起企业的关注,因此企业不仅需要提高网络安全的意识,更需要在实践中不断吸取经验教训,采取应对的措施,尽可能地降低安全隐患,从而在当代市场经济的激烈竞争中争取到主动地位。1.针对人为问题的策略。网络安全问题产生的一个重要原因是由于操作者不了解网络营销的模式和特征,不能按照相关流程操作或误操作而造成的。因此,相关企业应该结合岗位需求,对员工进行培训,使他们熟悉网络营销的规则、流程,掌操操作规范,避免发生“低级错误”。针对企业内部人员泄露用户信息,有关企业应制定与完善企业信息管理制度,培养与树立工作人员的良好品德,杜绝此类事件的发生。网络本身的虚幻性,使得网络营销存在先天的风险。网络诈骗的发生往往是因为被骗者缺乏警惕性,贪图“小便宜”而造成的。一方面,国家相关部门需要出台、完善符合市场经济特点的法律法规;另一方面,广大民众也需要提高安全防范意识,掌握识别骗术的方法。2.针对技术问题的措施。在员工充分认识到网络营销安全的重要性,熟悉网络营销活动后,企业还应该针对技术性安全问题,采取以下措施,加以防范。2.1数据加密技术。数据加密技术是网络中最基本的安全技术,用很小的代价就可以起到保护信息安全的作用。加密是指通过加密设备(硬件或软件)和密钥将原始数据(又称明文)转换成较为复杂和难以识别的密文数据。加密的反向处理称为解密,指解密者利用相同类型的加密设备和密钥将密文还原为原始明文的过程。使用加密技术对网络中传输的信息进行数据加密是保证网络营销安全进行的一种重要手段。2.2网络安全协议。近年来,针对网络营销安全的需要,金融、IT、通信多方合作,推出了许多行之有效的网络安全协议,如安全电子交易协议(SET)、安全套接层协议(SSL)、安全超文本传输协议(S-HTTPl)等。其中,安全电子交易协议(SET)因妥善解决了信用卡在网络营销中付款的安全保障性问题而广受各界瞩目,有望成为网上交易安全通信协议的工业标准。2.3身份认证技术。身份认证技术是交易双方判断对方身份真实性的重要环节。身份认证是指计算机和网络系统通过审查操作者身份来确定该操作者是否具有对某种资源的访问和使用权限,主要包括数字签名、身份识别技术和CA认证。2.4安全软件。对于企业来说,安装安全软件的意义很大,可以使网络营销的安全工作顺利开展。安全软件是由专业的软件公司开发、研制而成的,可以有效地解决常见的网络安全问题。综上,网络营销在当代市场经济中占有主要地位,对我国企业网络营销的经营、推广、销售活动具有重大现实意义。但是网络营销中的安全问题也不容小觑,只有解决这些安全隐患,才能使网络营销健康快速发展,更好地为市场经济服务。
参考文献:
[1]张逸凡,于志安.高级消息队列协议在大数据传输中问题及解决[J].电脑知识与技术.2014(1).
[2]张英辉.消息队列技术在短信通信中的应用[J].中小企业管理与科技,2013(7).
[3]兰海波,惠建忠.基于网站信息流程的监控设计与实现[J].信息安全与技术,2013(4).
关键词:
网络安全;实验教学;教学设计;教学手段
1引言
网络安全课程本身原理部分晦涩难以理解,实验部分涉及技术众多,涵盖多个专业课程的知识点,因此也是一门与其他学科交叉性极强的实践性课程。根据学科特点和岗位能力培养目标,从基本学情出发,研究设计了符合教学目标和学生认知特点的教学方案,有效完成了教学任务,提高了学生的学习能力
2教学基本情况分析
网络的便捷带给用户很多网络使用效率的困扰,包括带宽拥塞、关键应用的服务质量QoS无法保障、病毒请求消耗带宽、网络攻击导致服务中断等问题。上网行为管理作为网络安全管理的重要内容,能够实施内容审计、行为监控与行为管理,同时可以动态灵活控制网络速率和流量带宽,很好地满足各行业网络安全管理的需要。同时,上网行为管理也是计算机技术专业的“网络安全与运维”典型工作任务中的一个技术技能训练单元。在专业职业岗位需求分析的基础上确定了本实训单元的技术技能训练要求。课程内容根据《网络安全与防护》课程标准中制定,同时参考了神州数码网络安全岗位认证系列教材的相关内容。我们依据技术技能人才培养方案,立足地区网络安全管理人才需求,结合学院现有设备优势,将实训的内容设计为上网行为管理的基本概念、常用设备及架构、校园网络上网行为管理的规划与实施、上网行为管理的日常运维与分析四个部分[2]。教学对象是高职高专二年级学生,已经具备计算机网络基础知识、路由与交换、局域网组建等相关知识和技术技能。但尚未达到网络安全运维的实践能力要求,隐形知识也有待显化。从往届生的学习情况来看,课后对知识的复习巩固性练习积极性不高。尤其是对动手配置的内容,很多同学只能按照教材按部就班地进行,不善于思考,只限于对配置操作的记忆。因此结合技术技能人才培养要求,我们以职业技能训练和岗位能力培养为教学组织原则,结合案例分析、实际操作、模拟现场、课后实践等多种方式进行实践内容教学,充分利用实训室现有网络设备和各类信息化教学平台和手段,突出“以学生为主体”和“学做合一”的特点,完成本次教学任务。基于以上分析,教学目标确定为三方面。首先是知识目标。要求学生掌握上网行为管理的基本概念,熟悉上网行为管理常用设备,了解此类设备的关键技术,熟悉上网行为管理常用架构。二是技能目标,学生能够规划校园网络上网行为管理方案,能够实施上网行为管理方案,能够对常见设备进行运维管理及分析。三是素养目标方面,希望学生具备安全操作意识,有用良好合作协调能力、自我学习能力和创新和应变能力[3]。
3教学设计
3.1课前活动
为了培养学生的自我学习和自我管理能力,同时利用网络教学平台突破空间限制,扩展师生互动范围,提升学生个性化和差异化的学习体验。教师会在课前上传课前任务书、学习资源、考核标准到超星网络教学平台,并通过该平台预学习任务;同时,通过超星移动APP、QQ群、微信预习通知;教师收到学生的课前测验结果后,及时批改测验结果,了解不同学生的认知基础的差异,灵活调整课堂教学策略,适当调整教学方法。学生收到预习通知后查看任务书;针对本单元中用到的各类硬件设备,提前调研其性能及技术参数;同时学生可以利用实验室的环境设备进行安全的探索操作;完成课前预习报告后学生提交到超星网络教学平台并在平台上独立完成课前评价表的填写。
3.2课堂活动
课堂教学部分,教师首先创设教学情境,设计出三个教学活动,引导学生分组讨论,完成实验环境的搭建,从而引出本单元学习内容;然后教师利用奥易课堂教学软件下发任务书,并做出简要说明。在学生完成过程中针对个别学生的提问做差异化指导,通过奥易教学软件统一监控。最后教师引导学生总结归纳本单元课堂教学的主要内容和实验思路、故障分析解决思路。与此同时学生要完成一下工作。首先针对创设情境,分组讨论、展开头脑风暴并总结表述讨论结果,复习已有知识技能,独立完成实验环境的搭建;其次结合下发的任务书,组员间讨论分析项目的需求,检查项目实施的环境及准备工作是否完整。然后讨论制定项目计划,确定项目实施的方案;第三观看教学视频,独立完成9个任务的实施和验证;第四针对拓展任务,分组讨论,分析问题,提出解决方案,给出实施计划,确定实施方案;第五划分不同角色,组员间协作完成拓展任务的实施和验证;拓展任务结束后,其中一组简要汇报任务的完成情况,由师生对其共同点评;接下来学生结合教师给出的新的网络场景,分析总结出常见上网行为管理时有可能出现的网络问题,以及常见的分析和解决方法;最后独立完成课堂评价表的填写。
3.3课后活动
课后环节部分,教师利用网络课程平台课后操作练习,对练习环境、练习要求,评价标准做出简要描述说明。批阅学生课后实验报告完成情况。关注学生的讨论话题,适当做出引导和总结。更新课程作业库以及微课资源。学生的任务包括:完成课后操作练习;在网络课程平台上积极参与讨论话题,积极主动与同学和老师互动;访问更新的作业库和微课资源,在网络课程平台上共享学习资源;以及完成课后评价表的填写。此教学环节从操作巩固、讨论拓展、提问答疑三个部分入手,帮助提升学生的实践操作技能,锻炼学生的合作沟通能力、自我学习能力,以及面对新型应用场景时的创新和应变能力。网络通讯工具和信息化教学平台的引入能够帮助学生追踪本单元的课前、课中、课后等各个教学环节的学习过程,为今后的自我学习提供参考依据。
4教学实施
4.1情境设计
情境设计部分创设了三个活动,举例分析如下。教师首先引入校园网应用案例,给出拓扑结构和现有设备清单。然后学生分组讨论并陈述如下问题:
(1)该案例中存在哪些不同的用户需求,他们会发生哪些不同的上网行为?
(2)针对不同的网络用户,他们各自的业务流量具备什么特点?
(3)从网管员的角度看,校园网的出口带宽管理将会面临哪些挑战和威胁?
最后教师总结学生发言,一一对应,引入上网流量管理、上网应用管理、上网行为分析、浏览管理、外发管理等部分的概念。这个过程中使用到了案例教学法和头脑风暴法两种教学方法。这样设计的目的是:
(1)使用案例分析,由此完成上网行为管理概念的导入,引出本单元的教学内容,完成教学知识目标1的内容。
(2)引导学生展开头脑风暴,锻炼学生独立发现问题的能力。
(3)教学组织形式采用4人分组讨论陈述,培养学生的沟通技巧和表达陈述能力。
4.2布置任务
教师利用教学软件下发任务书和操作评价标准,学生完成以下工作:按照任务书要求独立分析任务;组员间讨论分析项目的需求;讨论制定项目计划,确定项目实施的方案;检查项目实施的环境及准备工作是否完整。该环节的特点是以任务为驱动,达到为了解决问题而学习的目的。同时此环节要求学生分组讨论,但是独立完成。这样做帮助学生提高沟通技能和独立分析解决问题的能力。
4.3任务实施
教师利用教学平台上传教学视频,学生利用教学视频能够提高学习效率,可以根据自身接受能力不同单独控制学习进度,达到差异化教学的目的。观看教学视频后,学生独立完成9个任务的实施和验证。
4.4分组拓展
完成基础任务练习后进入到分组拓展综合练习阶段,同样利用教学软件下发任务书和操作评价标准。学生分组讨论,分析问题,提出解决方案,给出实施计划;然后在小组内部划分不同角色,一人作为网管员,两人模拟内网不同部门的用户,另外一人模拟外网服务器。组员间协作完成任务的分析、计划、实施和验证。该环节使用到的教学方法有项目教学法、角色扮演法。为了在现有实验室设备条件下营造出真实的职业情境,在任务内容的选取上贴合工作实际,提高学生的学习兴趣。此环节采用分组讨论的模式,要求学生采用分组讨论、协作方式完成,目的是培养学生在应对复杂、新型场景时的沟通、协作能力,以及创新和应变能力。教学重点的解决思路是:首先利用视频材料完成基本任务的独立练习,继而分组协作完成拓展任务;挑选一组简要汇报任务的完成情况,由师生对其共同点评;教师再将综合任务1、2整体操作演示一遍;最后教师引导学生总结归纳上网行为管理的部署方式及其优缺点,上网行为管理的主要内容、方案设计和实施,至此完成教学重点的学习。教学难点的解决思路是:紧接着教学重点,接下来教师提出更高要求,引导学生结合前面三个综合任务的完成情况,思考类似问题,例如:接到用户反映网络服务响应特别慢,甚至服务中断,如何利用之前掌握的技能分析解决此问题?学生在分组讨论后,分析出常见上网行为管理时有可能出现的网络问题,以及常见分析和解决方法。至此完成教学难点的学习。
4.5课堂考核
评价标准贯穿课前、课中、课后三个环节。不仅仅强调考核结果,更为注重考核项目完成的过程。考核细项从专业技能、方法能力、社会能力三个方面进行设计。同时鼓励学生独立评估,即强调自我调节的行动为方法。我们以课堂考核为例。考核标准在任务布置的时候,连同任务书一起发给学生。评价标准从三个方面设计,包括专业技能、方法能力、社会能力,示例如下表:
5结论
本文以网络安全课程中的上网行为管理教学内容为例进行了相关研究和设计,实施过程中借助信息化手段,学生通过师生、组员间的多种互动方式,手脑并用,较好地完成了预设教学知识目标、技能目标和素养目标,取得了良好的教学效果。
参考文献:
[1]李建国.高校计算机网络安全课程教学研究[J].淮北煤炭师范学院学报:自然科学版,2009,30(1):94-96.
中图分类号:D631.1 文献标识码:A 文章编号:1674-098X(2016)09(a)-0003-02
由于工业信息技术与软件的使用日益普及,公安信息化网络安全问题也日渐增多,网络安全问题不是纯粹的技术问题,是技术与管理的综合,而是一项复杂的系统工程。公安信息化是实现公安工作现代化的必由之路。公安信息网络的安全保障工作直接关系到公安工作的效率和成果。对公安信息网络实行分等级保护是保障公安信息网络安全的一个很好的方法。
全国公安信息化建设工作开展以来,各地公安信息化建设取得了一定的成果。各地的公安信息化建设成果的表现也不尽相同。2013年,秦皇岛成为全国首批“智慧城市”试点城市。秦皇岛公安信息化的建设与“智慧城市”的建设相互促进。该文运用文献查阅法、对比分析法、系y分析法等方法,对公安信息化、公安信息化建设、“智慧城市”等相关理论进行阐述。明确公安信息化概念、标志、特征以及重要意义;明确公安信息化建设的内涵、影响因素、建设内容以及评价内容;明确“智慧城市”的内涵、特征、应用以及“智慧城市”与公安信息化建设的关系。在相概观念明确的基础上,从秦皇岛市公安信息化建设的规划布局、基础网络建设情况(包括通讯网络、平安城市监控点、智能交通设施的建设)、公安应用系统建设情况(一、二、三级平台建设情况、数据研判平台、交通综合指挥平台、便民服务平台建设情况)、应急保障体系建设情况、保障体系建设情况(领导、组织、人才、资金)、服务实战及成效方面(高清视频监控系统、智能交通)进行现状分析,发现秦皇岛公安信息化建设在基础网络、应用平台体系、技术力量、体制建设等方面的问题以及复杂的挑战。
1 计算机网络安全体系结构的组成
计算机网络安全体系结构是由硬件网络、通信软件以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。通过使用路由器、集线器、交换机、网线等设备,用户可以搭建自己所需要的通信网络。对于小范围的无线局域网而言,人们可以使用这些设备搭建用户需要的通信网络,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,这种防护措施可以作为一种通信协议保护,目前广泛采用WPA2加密协议实现协议加密,用户只有通过使用密匙才能对路由器进行访问,通常可以将驱动程序作为操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护,不能被更改、泄露和破坏,能够使整个网络持续稳定地运行,信息能够得已完整地传送,并得到很好保密。因此计算机网络安全涉及到网络硬件、通信协议、加密技术等领域。
2 信息安全管理
公安机关网络信息管理指的是公安机关工作人员通过规定的手段保证信息、数据、服务和通信的安全等。公安部门的安全管理系统是一个持续的过程,必须加以确定并不断审查。计算机网络安全系统作为公安机关的主要软件,并尽一切努力使公安机关网络信息更安全,同时提高公安系统工作人员的IT安全意识。网络安全解决方案和数据安全在公安领域也起到了至关重要的作用。加强信息的安全管理,防止各种信息的泄漏和窃取,有效打击各种形态的网络犯罪,已成为当前公安网络建设的重要课题。
3 数据安全
越来越多的设备连接到互联网,也受到常用办公操作系统的间接控制。如今网络入侵变得更有针对性,黑客只向配备关键安全功能的少数计算机发送恶意软件,通常是为了进行间谍活动。这意味着,病毒和特洛伊木马可以很长一段时间不被察觉,在被杀毒软件捕获之前已造成很大损害。因此,有效的数据保护措施必须提供全方位的深入保护。网络安全策略是网络安全计划的说明,目的是设计和构造网络的安全性,以防御来自内部和外部入侵者的行动计划及阻止网上泄密的行动计划。因此,建立网络的安全策略,应在建网定位的原则和信息安全级别选择的基础上制定。公安信息系统安全问题的解决依赖于技术和管理两方面,在采取技术措施保障网络安全的同时,还应建立健全网络信息系统安全管理体系,通过以上管理机制和技术措施的实施,提高网络安全性,降低网络安全事故的风险,保证网络长期平稳运行。
4 结语
社会信息化的发展给公共安全领域带来了机遇和挑战。敌对势力和不法分子利用信息技术的犯罪活动越来越多,公安机关在维护社会治安、打击违法犯罪活动中所涉及的业务信息量也在急剧地增加。在这种时代背景下,公安信息化建设显得十分重要。公安信息化建设非常有必要,并且具有深远意义。公安信息化是提高执法质量的必由之路,公安信息化有利于提高公安的工作水平,公安信息化有利于共享信息资源和情报,从而更好地打击犯罪。公安工作信息化的目标,就是通过大力推广应用现代电子信息技术,实现公安工作的信息共享、快速反应与高效运行。由此可见,众多的网络安全风险需要考虑,因此,公安部门必须采取统一的安全策略来保证网络的安全性。
参考文献
[1] 何姗.公安信息网络安全保障策略研究[J].信息安全与技术,2011(8):5-7.
[2] 尹晓雷,于明,支秀玲.公安内部网络安全问题及解决方法[J].信息技术与信息化,2010(1):18-22.
中图分类号:TN943.6 文献标识码:A 文章编号:1009-914X(2016)27-0200-01
1 引言
面对云计算、大数据、移动互联网和智能终端等新一代信息技术快速发展的新形势以及三网融合和行业转型发展的新格局,广电网络工程行业以科技进步和体制改革为动力,以创新战略引领实践和发展,在支撑传统媒体与新媒体融合发展、拓展信息和全业务服务方面进行了一系列新探索,在实现广电网络工程的双向化、宽带化,进一步提高业务聚合能力、优质音视频传播能力、全业务运营能力 和智能化服务水平方面取得了新突破。
目前的广电网络工程需要具备通信和信息工程、广电、计算机网络、数字媒体交叉学科的理论基础知识和实践能力,具有创新精神、责任意识和比较开阔的国际视野,适应下一代广播电视网络运行和维护、网络设备开发、互动媒体平台开发、新业务策划和推广、增值业务开发等领域发展需要,能够从事相关技术的科学研究、系统开发、设计及应用、符合地方经济和社会发展需求的高级工程技术人才。
长期处于垄断自闭地位的广电网络工程在三网融合的形式下,将面对来自移动、电信、联通的巨大竞争压力。建设一个符合自身发展,市场需求的高效网络是当前广电网络工程在运营过程中的当务之急。
2 广电网络工程存在的问题
2.1 投资风险大
从当时的国情来看,广电网络工程只靠着这一单一业务,就处于垄断地位,结果就是不思进取,升级改造不足。在三网融合后,相比于电信与移动两家,业务运营系统起步晚,导致市场调研、分析需求数据不充分,以至于广电网络工程建设,投资风险大增。很多地方没有网络电视,分析原因主要是:①农村经济欠发达,数字平板电视普及率较低;②有固定的有线闭路电视可用;③相关配套设施不全,用户并不愿意对已有的有线电视进行更换。 相比移动或电信,建设难度很大。
2.2 监管机制落后
三网融合后,广电网络工程的项目建设模式是较为落后的,缺乏有效的机制和足够的人员,对网络工程建设跟踪监管不足。加之对网络设计不够重视,监管力度不够,网络建设品质容易出现问题,为后期的运营和维护埋下隐患。
2.3 用人存在问题
①广电网络工程的网络建设多是外包或自己组建的施工队伍,专业性不足,在相对垄断时期,对施工队伍,工程质量管理,工期管理,工程资料管理等方面都不够专业。②基本没有专业的设计团队,很难对项目进行全面、细致的设计,导致对施工的指导性弱,工作效率低。③缺乏专业网络安全人员。
2.4 网络安全风险
网络安全是项目后期维护的重点,三网融合后,广电网络工程势必由封闭转为开放,网络的封闭会掩盖存在的安全漏洞,但开放性的网络会面临各种木马、病毒、黑客等方面的攻击,导致安全风险大大增加,殊不知“斯诺登”事件后,网络安全都是各国关注的焦点。 由于缺乏足够的后期维护人员,无法及时处理网络安全问题,必将降低用户的使用体验,导致客户流失。
3 针对广电网络工程中存在的问题的有效策略
3.1 整合重构组织体系,优化人才结构
培养和配备专业的设计团队,一线施工队伍和后期维护队伍,引入专业工程项目管理人才,优化人才结构,制定相对专业的管理制度,注重工程建设前期的筹备, 要以专业的市场调研数据分析结论为依据,组织项目建设。
3.2 项目建设的目标要明确
要明确工程项目即要做什么样的项目,利用多方渠道,比如住建部、经信委等建设部门。 与相关部门沟通,了解近期政府的建设投资项目,做好市场调研,需求数据分析。确立明确的建设目标,做好新建、扩建计划,旧有网络改造升级计划,细分建设任务。重点就是要依据市场调研数据分析得出电信用户接入率、数据传输率,确定建设目标,配备合理的设备和架构。包括线路、供电、光纤链路、设备组网、端口容量等内容的设计。创建设计规范、设计模板等设计指导意见。统一预算、图纸、说明模板,优化设计的流程,加强管理,有效地提升效率和质量。
3.3 维护网络安全
网络安全保障任务艰巨、责任重大。广播电视的信息化发展大大提升了广电网络工程信息采集、处理、传播能力,促进了广播电视新媒体业务的兴起。广播电视传输网的播出、传输、覆盖、接入,作为国家基础信息网络之一,信息安全已成为播出安全的重要保障因素。尤其为了生存和发展,广电网络工程还必须强化互联网思维,必须与新媒体融合发展。
3.4 完善质量控制
明确工期目标,制定工程进度计划,分析工序、内容、施工量、用人等方面的因素,确定总的工程期限,并以此为基础,严格按照设计图纸、技术指标、施工规范,进行施工,配备专业的监管人员。在施工过程中各个环节进行监管和抽查,制定相关的奖惩机制,并做好相应记录,做好成本控制,确保工程建设在限期内保质保量地完成。
3.5 制定风险防范预案
不管是何种方式的工程项目,都将面对不确定性而产生的突发事件,因此对制定风险防范预案是十分必要的。①制定施工安全防范措施,比如对外包工程的施工方要明确工程费用中用于支付保险的资金数额,自行承担安全风险,要长期展开安全操作培训,承包安全事故险,降低安全风险。②做好后备施工方案,预防因施工队伍出现问题所导致的项目延期、停工或者质量问题。③做好前期的准备工作,包括成本预算,风险评估等。
4 结语
三网融合后,面对新的发展形势,为确保广电网络工程保质保量建设,引入项目管理是十分必要的。广电的任务就是要有条不紊地加快网络建设,在其中加强项目管理,促进其发展。
机遇大于挑战,广电网络工程兼具意识形态、文化属性和产业、经济属性,基础资源、战略发展前景和综合优势大于当前面临的问题。
多种网络技术高速发展,大视频时代已经到来。新老媒体融合、多渠道分发传播、多屏幕多终端协同、市场主体重复、多元主体并存、事业产业协调、统一导向要求和内容标准管控将是我国当前广电网络技术发展的主要特征。
当前,传统视频产业正在加速向网络新媒体跨越。越来越多的传统内容提供商兼具了互联网内容提供商的身份,广电网络工程也多路出击,在稳固完善自身高清交互业务平台的同时,通过积极改造网络成长为宽带网络运营商,开启了从单一有线数字电视传输向以视频为主的多业务经营、从单一管道向智能管道、从封闭平台向开放平台的发展新路。
数字化、网络化、智能化带来的结构调整与全面转型难题是全球化的。融合创新、开放竞争、稳步有序将是我国广电网络工程发展的新常态。
家庭无线网络中经常使用的设备主要有三种:无线网卡、无线AP(Access Point)和无线路由器。无线AP用于信号放大及无线网与有线网的通信,其作用类似于有线网络的集线器或交换机。
无线网络受攻击的方式一般分为以下几种:
窃听 这是数据泄露最常见的一种方式,可导致机密数据泄露、未加保护的用户凭据曝光以及身份被盗用。
截取和修改传输数据 如果攻击者能够访问网络,则他(她) 可以使用恶意计算机来截取和修改两个合法用户之间传输的网络数据,并利用窃取的网络数据进行非法攻击。
偶然威胁 无线网络具有自动连接功能,所以自动连接到无线网络的设备被默认为合法用户。但是往往这些合法用户会无意间造成更真实的威胁。例如访问者的计算机是病毒侵入网络的潜在入口点,那么这种威胁会让无安全保护的无线网络存在安全隐患。
DoS(拒绝服务)攻击 DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS攻击算是一种很简单但又很有效的进攻方式。DoS攻击的方式有很多种,最基本的DoS攻击就是通过向无线网络发送大量的随机数据而使网络堵塞,这样将使得无线网络处于瘫痪状态,从而使合法用户无法得到服务。
资源窃取 入侵者利用我们的无线网络免费下载网络资源。这样虽不像其他威胁那么有破坏力,但是会降低合法用户的可用服务级别,还可能会带来病毒和其他隐患。
无线网络安全解决方法
针对以上无线网络安全威胁,保障无线网络安全有以下几种方法:
使用加密 无线网络中已经存在几种加密技术,最常使用的是WEP和WPA两种加密方式。WEP,即为有线等效加密,用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网,所有客户端与无线接入点的数据都会以一个共享的密钥进行加密,密钥长度越长,入侵者就需要更多的时间去进行破解,因此能够提供较好的安全保护。
WPA,即WiFi保护访问。在安全防护上WPA比WEP更为周密,主要体现在身份认证、加密机制和数据包检查等方面,所以如果对数据安全性有很高要求,那么选用WPA加密方式更稳妥。
设置MAC地址过滤 MAC地址用来定义网络设备的位置,每块网卡都有一个全球唯一的MAC地址,形象地说,MAC地址就如同我们身份证上的号码。通过无线设备如无线路由器的设定,将连接到无线网络中所有设备的无线网卡的MAC地址进行绑定,这样无线设备收到每个数据包时会对客户端的MAC地址进行判断,这样没有绑定的MAC地址将无法进行数据传输。MAC过滤技术防止了一些ARP病毒篡改MAC地址来入侵无线网络的可能性,也有效地阻止了一些非法用户通过无线设备的某种漏洞入侵。