前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全技術防范論文主題范文,僅供參考,歡迎閱讀并收藏。
1.1資源有限為我國電力工業(yè)加大
了負擔目前,我國的石油不能再自給自足,開始從其他國家進口石油,由此我國也不可能再主要依賴石油進行發(fā)電,以供工農業(yè)生產和人們群眾日常生活的正常運行。而水電可發(fā)容量較低,不足3.7億千瓦,這就意味著我國發(fā)電能源在相當長的一段時期內還是要依賴于煤炭,由煤炭生產帶來的環(huán)境污染問題則是長時間內難以解決的問題。
1.2電力供需矛盾難以根本緩解
隨著我國現(xiàn)代化進程的不斷深入,我國對電力的需求不斷增加,依據統(tǒng)計分析,每個國家的人均GDP與人均的能耗關系十分密切。我國若想按照預期目標達到中等發(fā)達國家的水平,人均用電水平的增長是不可避免的。依照相關規(guī)劃,2050年我國發(fā)電裝機應超過15億千瓦,比現(xiàn)有的裝機凈增13億千瓦以上。對于這個高目標,除非尋求新的發(fā)展途徑尚有可能完成,但是按照常規(guī)的發(fā)展模式幾乎是不可能達到的。
1.3環(huán)境治理極為嚴峻
人類在快速發(fā)展的過程中,總是會忽略生活中一位重要的角色,即我們所處的環(huán)境。我國是煤炭生產和消費大國,電力生產主要消耗的能源便是煤炭,煤炭占據了百分之八十。例如一座240千瓦的火電站在一定的條件下,客觀分析其每小時排放的SO2可高達7至12噸,灰塵可達七十到八十噸,各類廢水累積一百噸。而且酸雨問題更是許多城市難以避免的,由它所帶來的危害及影響范圍有時也是難以估量的,尤其是由酸雨引起的水變質、農作物破壞以及土壤退化等問題已經十分嚴峻了。
1.4對電能質量和電網可靠性的要求不斷提高
現(xiàn)代社會對于電網運行的要求可概括為“高效、可靠、開放、靈活”八個字,現(xiàn)代電網的設計運行技術也在近些年取得了一定的成就,但是這些都不能排除它仍存在安全隱患。經調查,世界上的電網事故時有發(fā)生,馬來西亞全國停電以及美國西部停電就是最好的例子,單是中國此類相關事故也是存在的,而且有時還造成了災難性的后果?,F(xiàn)實的諸多變化致使輸電和配電系統(tǒng)的可靠性已經成為規(guī)劃、設計、運行應考慮的首要因素,電網發(fā)展也需要對其“放松規(guī)制”,使其變得更加開放和靈活,今后一段設計靠外延發(fā)展電網仍是主要的,這是一個總的發(fā)展趨勢。
2我國的電力技術發(fā)展前景
2.1太陽能發(fā)電技術
太陽能屬于可再生自然資源,自地球形成依賴,地球上的生物則主要以太陽提供的光和熱生存,最大太陽能超過870-3400KWh/m2,在現(xiàn)代太陽能一般會用作發(fā)電或者為熱水器提供能源,它的能量總是超乎人類想象。太陽能的發(fā)電技術包括太陽能的熱發(fā)電技術和光伏發(fā)電技術兩方面,光伏發(fā)電技術主要是將太陽能直接轉換成電能的技術,這種方法是目前使用的最為廣泛的可再生的能源技術。由于太陽能發(fā)展空間極大,即使目前全球范圍內光伏發(fā)電規(guī)模尚小,但其發(fā)展前景十分可觀。在未來的幾十年間里,該類技術會有較為突出的競爭優(yōu)勢。
2.2發(fā)電技術——燃料電池
燃料電池是電力技術中新興的一項技術,它是將燃料在化學反應中所釋放出來的化學能直接轉變?yōu)殡娔艿囊环N裝置,其發(fā)電效率不僅最低能達到85%,而且燃料電池發(fā)電出力的速度可達每秒變化全負荷的50%,調峰能力極強。由于燃料電池發(fā)電沒有燃燒的過程,對環(huán)境的污染較小,能夠實現(xiàn)零排放和節(jié)水,所以其有很好地保護環(huán)境的作用,從而緩解全球水資源和能源短缺的問題。此外,燃料電池的優(yōu)勢還體現(xiàn)在其他方面,它可適用于分布式的供電,節(jié)省了輸電投資和模塊結構。圖2所示即燃料電池發(fā)電的原理圖。
2.3交流輸電技術
隨著我國經濟的快速發(fā)展,以超高壓、長距離、大容量輸電為主要特征的大型互聯(lián)電網成為我國電網發(fā)展的必然,各國已相繼開發(fā)出多種功能和應用目的不同的FACTS裝置,而且其在電力技術發(fā)展道路上越走越遠。FACTS技術與輸電系統(tǒng)并行發(fā)展是完全兼容的,它能夠在現(xiàn)有設備不做重大改動的前提下有效的發(fā)揮電網的輸電潛力。
3電力生產安全分析及加強措施
自古以來,安全生產都是涉及職工生命安全的大事。電力不同于有感情的人類,有時它的“無情”會奪去人們的生命,普通行業(yè)對于職工的人身安全極為重視,電力行業(yè)更應做好防范措施保護好員工的生命安全。就電力企業(yè)而言,其特點是工程點多、面廣,工序繁瑣、復雜,且高危作業(yè)頻繁,因此電力企業(yè)的安全生產關系到企業(yè)的生存發(fā)展和穩(wěn)定。
3.1完善電力生產的安全機制
為了保證電力企業(yè)工作人員的生命安全和電網安全,電力企業(yè)必須完善其安全生產機制,這在一定程度上不僅能夠帶動工作人員的安全生產積極性,更為重要的是安全機制的建設、完善能夠規(guī)范生產管理的各項工作流程,實現(xiàn)了安全事故的控制管理和安全生產的良性循環(huán)。通過安全保障機制的建立、完善,給予了員工人身安全一定的保障,規(guī)范了電力企業(yè)的生產行為,實現(xiàn)了企業(yè)網絡化的機制體系,從根本上落實電力生產安全。
3.2加強電力企業(yè)的安全文化建設
任何企業(yè)的可持續(xù)發(fā)展皆離不開企業(yè)員工這一重要的主體,員工的積極性能夠為企業(yè)創(chuàng)造更多的經濟效益,員工是保證電力生產的所有環(huán)節(jié)、預防事故發(fā)生的保障,因此調動企業(yè)員工的能動性、保障員工的人身安全就顯得非常的重要。樹立安全意識是電力生產的安全文化中心建設的根本,它能夠讓員工意識到自身的重要性,并且維護了企業(yè)每一位員工的生命權,
3.3繼電保護運行管理與技術監(jiān)督
在日常工作中,電氣設備的可靠運行才能保證電力生產的安全性,因而對于工作中存在的安全隱患要及時發(fā)現(xiàn),并建立電氣設備隱患和缺陷庫,若發(fā)現(xiàn)工作中存在故障,需嚴格按照規(guī)定將故障設備隔離,從而避免事故范圍擴大,造成更大的損失。
4結語
摘 要:本文在基于HTML5移動應用程序上對代碼注入攻擊進行了系統(tǒng)性的研究,針對漏洞檢測的結果,分別對開發(fā)者和普通用戶
>> Java Web應用程序安全技術研究 關于Java Web應用程序安全技術研究 Web應用程序安全性測試平臺關鍵技術研究 程序代碼相似度檢測技術的研究與實現(xiàn) 基于SQL注入的Web應用程序安全性研究 基于隱私安全功能的移動廣告應用程序設計研究 從代碼層保障ASP.NET應用程序的安全 針對智能手機應用程序的取證技術研究 基于AJAX的高級Web應用程序開發(fā)技術研究 WEB應用的SQL注入攻擊和防范技術研究 移動Web應用程序的開發(fā)研究 移動應用程序(APP)評價指標體系研究 SQL注入攻擊原理與防范技術研究 SQL注入攻擊及其檢測防御技術研究 Web應用程序安全設計及應用技術的研究 程序代碼相似性檢測在論文抄襲判定中的應用 利用核心態(tài)鉤掛技術防止代碼注入攻擊 Java應用程序的安全性研究 Web應用程序漏洞及安全研究 應用程序的移動商圈 常見問題解答 當前所在位置:l#auto_escape[EBOL]
作者簡介:
王子?。?986―),男,漢族,河北省遷西縣人,碩士,東北大學秦皇島分校數學與統(tǒng)計學院實驗師,主要從事下一代互聯(lián)網技術研究。崔向南(1981―),男,漢族,吉林省吉林市人,碩士,東北大學秦皇島分校數學與統(tǒng)計學院實驗師,主要從事數據庫技術、計算機網絡技術研究。張旭(1988―),女,漢族,河北省遷西縣人,碩士,東北大學秦皇島分校計算機與通信工程學院實驗師,主要從事計算機軟件研究。
移動電子商務技術是電子商務技術和移動通訊技術兩項技術進行完美結合的產物。移動電子商務是未來電子商務發(fā)展的主要方向,能夠有效擴大商業(yè)交易的靈活性,為企業(yè)帶來更多的商機,極大程度上促進企業(yè)的發(fā)展。隨著進入互聯(lián)網高速發(fā)展的時代,電子商務技術的發(fā)展也被推上了。
隨著移動通信技術的發(fā)展以及移動終端的普及,一種嶄新的電子商務模式應運而生---移動電子商務。移動電子商務隨著電子商務發(fā)展起來,是電子商務發(fā)展的新形式,并日益成為電子商務發(fā)展研究的熱點,已經成為國民經濟和社會信息化的重要組成部分。移動電子商務發(fā)展迅速,但安全問題是制約其發(fā)展的重要因素,關系到商務系統(tǒng)能否正常運行。因此,如何建立安全、便捷的商務應用環(huán)境,保證整個商務活動中信息的安全性,對于促進移動電子商務健康發(fā)展具有重要理論價值和實際意義。
移動電子商務在現(xiàn)在的生活中扮演者越來越重要的地位,我們每天都在使用著,但是安全問題卻越來越令人擔憂。本論文在數據的傳輸方面有著加密處理,降低數據泄露的風險,為大家的交易安全進行提供了有力的保障。
二、擬研究的主要內容(提綱)和預期目標
(1)引言
選題背景
研究意義
(2)移動電子商務內容
(3)移動電子商務安全支付需求
(4)移動電子商務安全技術
(5)移動電子商務安全支付解決方案
(6)總結
(7)2、預期目標:本課題的重點是采用文獻研究法,通過廣泛地查閱相關資料和文獻,借鑒別人研究的成果之上,深入分析、思考,形成自己的觀點。而難點就在于如何能確定移動電子商務安全支付的問題。預期結果希望能對移動電子商務安全支付解決方案。
三、擬采用的研究方法(思路、技術路線、可行性分析論證等)
1、選擇導師、確定研究方向
2、選題
3、收集相關資料,并對資料進行整理和深入分析
4、根據資料和研究計劃擬寫開題報告
5、進行開題報告的答辯
6、撰寫論文初稿
7、對論文反復修改、定稿
8、參加論文答辯
四、論文(設計)的工作進度安排
2017年3月15日—3月20日と范論文選題;
2017年3月21日—3月31日げ樵撓泄毓內外資料,了解該領域較為前沿的觀點。寫作論文提綱,確定論文基本框架,撰寫開題報告;
2017年4月1日—4月20日薷穆畚男醋魈岣伲形成論文的基本框架,寫作論文初稿;
2017年4月21日—4月30日薷穆畚某醺澹寫作論文二稿;
2017年5月1日—5月15日薷穆畚畝稿,形成正式稿。
五、參考文獻(不少于5篇)
[1]姚帝曉.電子商務安全問題的思考[J].商場現(xiàn)代化,2006年7月(上旬刊).
[2]張潔.安全電子郵件“烏托邦” [J].電子商務世界,2006年11月7月. [3]徐向陽.電子商務中電子郵件的安全問題研究[J].商場現(xiàn)代化,2007年5月(上月刊). [4]付霄漢.電子郵件的安全問題與防范措施[J].鞍山師范學院學報,2005年7月.
[5]白佳麗.網上銀行支付系統(tǒng)安全風險評估[J].東方企業(yè)文化〃公司與產業(yè),2011年3月.87. [6]楊剛.網上支付安全問題研究[J].雞西大學學報,2011年9月.
[7]劉丹.電子商務支付平臺的安全問題芻議[J].商業(yè)經濟,2011年8月15日.
[8]王煜.電子商務中網絡支付風險與防范的研究[J].經濟師,2011年第10期.
[9]李瑞歌.淺談電子商務過程中網絡交易安全管理策略[J].科技資訊,2011年.
[10]武慧娟、孫鴻飛.論電子商務關鍵性安全問題及其對策[J].商場現(xiàn)代化,2008年9月.
[11] 彭銀香,白貞武. 電子商務安全問題及措施研究[J]. 大眾科技, 2005.
[12] 林黎明,李新春. 電子商務安全風險管理研究[J]. 計算機與信息技術, 2006.
[13] 宋苑. 影響電子商務發(fā)展的網絡安全事件分析與對策[J]. 計算機與信息技術, 2006.
[14] 楊二龍,劉建時. 對電子商務風險的幾點思考[J]. 警官文苑, 2007.
六、指導教師意見
選題基本合理,內容完整。但開題報告還要求論述研究現(xiàn)狀,即有哪些學者對相關問題有哪些研究,怎么研究的?用自己的話概述。
研究內容框架結構邏輯不合理,思路不清晰,具體意見詳見附件批注。
應具體闡述哪些部分分別采用哪些定性或定量研究方法。
論據進度計劃安排與實際不符。
具體意見詳見附件批注。
簽字:年月日
七、學院院長意見及簽字
論文關鍵詞:信息化;信息安全;網絡安全;保密意識
2l世紀以來.人類社會進入信息化時代。近幾年.全國公安現(xiàn)役部隊深入貫徹公安部”科技強警”的指示方針.伴隨著公安現(xiàn)役部隊信息化工程的建設與發(fā)展,為全體官兵搭上”信息快車”提供了一個平臺。不可否認.科技是一把”雙刃劍”,公安現(xiàn)役部隊信息化建設也不例外。公安現(xiàn)役部隊的信息化建設極大地提高了部隊的工作效率.但同時也給我們工作人員提出一個新課題.即在操作和使用的過程中如何保證信息的安全。
1.信息安全概念
公安現(xiàn)役部隊信息安全是公安現(xiàn)役部隊信息化建設的基礎性工程.與一般意義上的信息安全相比.公安現(xiàn)役部隊信息安全具有一定的特殊性。
公安現(xiàn)役部隊信息安全是指保密信息必須只能夠被一組預先限定的人員存取對這類信息的未經授權的傳輸和使崩應該被嚴格限制是指系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護.不因偶然的或者惡意的原因而遭受到破壞、更改、泄密,系統(tǒng)連續(xù)可靠正常地運行。
2.信息安全現(xiàn)狀分析
2.1網絡信息安全威脅嚴重
網絡信息安全事關國家安全、社會穩(wěn)定、經濟發(fā)展和文化建設等各個領域.已經成為全球關注的熱點問題。根據瑞星”云安全”數據中心最新統(tǒng)計數據表明.2009年上半年.瑞星”云安全”系統(tǒng)攔截到的掛馬網頁數累計達2.9億個.共有11.2億人次網民遭木馬攻擊:其中大型網站、流行軟件被掛馬的有35萬個(以域名計算),比去年同期有大幅度增長。目前的互聯(lián)網非常脆弱.各種熱點新聞、流行軟件、社交(SNS)網站、瀏覽器插件的漏洞層出不窮.為黑客提供了大量入侵和攻擊的機會政府機關網站、各大中型企業(yè)網站,由于專業(yè)性技術人員缺乏.網站大多由第三方公司外包開發(fā),存在缺陷較多,也最容易被掛馬。據統(tǒng)計,2009年1月份受感染型病毒侵襲的網民為106萬.而6月份則達到了395萬.上升了近4倍。
2.2公安現(xiàn)役部隊信息人才缺失
信息安全建設,人才是關鍵。一方面任何信息安全技術方面的成果都是人創(chuàng)造的:另一方面.任何危害信息安全的事件同樣也是人為的。因此,培養(yǎng)大量優(yōu)秀的信息安全人才成為當前我公安現(xiàn)役部隊信息安全領域的頭等大事公安現(xiàn)役部隊需要大量信息安全的專門人才,邊、消、警部隊實現(xiàn)電子警務應用系統(tǒng)的發(fā)展也需要大量信息安全的專門人才。然而.目前我國只有少數大學能夠培養(yǎng)信息安全方向的研究生.部分院校培養(yǎng)本科生.其數量遠遠不能滿足需求目前我國從事信息安全研究的專業(yè)人才(副高職稱以上)僅有3000人.從事信息安全工作的人員也比較少.且多是”半路出家”.即由網絡管理人員通過有關信息安全知識的自學或短期培訓后從事這項工作的。此外。即使一些信息安全領域的公司也存在人才短缺或流失的問題.而公安部門同樣存在著較大的信息安全人才缺口
2.3官兵信息安全意識薄弱
有些官兵保信息安全意識不強,擅自將涉密便攜式電腦、硬盤、優(yōu)盤和光盤帶出辦公室,極易造成涉及部隊政治工作策略、國家安全和軍事利益的文字、圖片或錄像資料的外泄:在連接國際互聯(lián)網的計算機上使用涉密儲存介質不經意造成的泄密問題比較突出?!币粰C跨兩網”、”一盤跨兩網”等行為屢禁不止,給部隊計算機網絡和信息安全造成了嚴重威脅,教訓極其深刻。此外.有些官兵管不住自己的嘴.通過語言威脅到大局信息安全的事件時有發(fā)生。有些同志不分對象、場所,為了炫耀自己”卓越”的見解.在不知不覺中隨口泄露機密。有些同志在接受大眾傳媒采訪.以及在進行新聞宣傳報道時,隨口說出涉密的重大任務和軍事活動.造成嚴重泄密。
3.公安現(xiàn)役部隊應對策略分析
公安現(xiàn)役部隊信息安全建設不是各部門信息安全建設成果的簡單疊加.而是要通過技術防范與管理相結合.注重整個系統(tǒng)的信息安全建設。
3.1增強安全防范.做到制度技術到位
實現(xiàn)公安現(xiàn)役信息安全.必須建立自己的信息安全技術保障體系。技術是信息發(fā)展的基礎.如果沒有信息安全技術作為支撐,信息安全就無法持久。安全保密設備是公安現(xiàn)役部隊信息安全的重要技術和物質基礎.在選擇設備上應使用國產的.如某設備無國產可選.使用進口設備須經相關部門檢測批準。在軟件建設方面針對系統(tǒng)的弱點和不足.加強新型防火墻、安全路游器、安全網關、入侵檢測系統(tǒng)等信息安全技術的研究和產品開發(fā)。改變目前我方在技術方面的易守難攻的局面,變被動為主動。在信息安全防范中,加緊對安全防護、安全監(jiān)控、跟蹤警報等方面的關鍵技術進行突破。不失時機地對網絡信息系統(tǒng)進行檢測、模擬攻擊與評估工作.切實從技術手段上筑牢防止安全失泄密的閥門。
3.2建立信息安全技術人才保障體系.完備技術人才支撐系統(tǒng)
實現(xiàn)公安現(xiàn)役信息安全.必須建立自己的信息安全技術保障體系。技術是信息發(fā)展的基礎,如果沒有信息安全技術作為支撐.信息安全就無法持久。公安現(xiàn)役部隊只有配備大批既懂技術又懂管理的復合型人才.提高從業(yè)人員的信息安全水平.公安現(xiàn)役部隊在現(xiàn)有的體制、編制上.通過政策的調整可把有志向為公安現(xiàn)役事業(yè)奉獻的專業(yè)性人才吸納到隊伍中來。同時還可以與有關院校達成協(xié)議定向培養(yǎng)信息安全方面的本科生、研究生,減小供求矛盾.可使公安現(xiàn)役信息安全專項人才不斷補充。煥發(fā)生機。
3.3加強信息安全教育和技術培訓
官兵信息安全意識是信息安全建設的基礎.是數字化安全生存的必要保證。要加大信息技術的攻關和信息安全管理人員的技術培訓力度。構建信息安全培訓體系,進行全員的培訓和普及教育,從根本上消除”信息安全事不關己”的錯誤思想.使官兵意識到泄密事件可能通過個人的言行隨時可能引發(fā).牢固樹立信息安全靠大家的思想.只有這樣才能不斷提高全體官兵的信息安全素質和意識
3.4提供部隊信息安全下的執(zhí)法效率
針對失泄密事件血的教訓.我們一方面要加快完善我軍保密法規(guī)制度建設,使制度更具有操作性;另一方面要加大對這些法規(guī)制度的執(zhí)行力度。嚴格落實《國家安全法>、《保守國家秘密法》、<計算機信息系統(tǒng)保密管理暫行規(guī)定》、《計算機信息網絡國際聯(lián)網安全保護管理辦法》等有關法律法規(guī)和軍隊《保密條例》等制度規(guī)定,切實做到落實制度、堵塞漏洞,按章辦事、減少失誤,加強管理.消除隱患。
本論文最終建立了適應獨立學院網絡安全管理的體系模型及應用模式,為校園網絡中所存在的嚴重安全問題提出一種思路及解決辦法。
關鍵詞:校園網 網絡安全 管理體系
Abstract:The research in this thesis is based on the data from the campus network in Zhuhai Campus of Beijing Institute of Technology, which is abbreviated to ZC below. It is a total resolution to all sorts of problems in ZC during last 4 years. The safety management system is a theoretical summary to the total resolution, which is not a simple stacking technology, but the integration of the technology, such as ACL, firework, IDS, Traffic management, intrusion detection and vulnerability scanning. Network-wide security measures are designed from the client to export to the Internet, and safety precautions are applied to every aspect of the user data streams. In actual operation, the main security problems of the networks are controlled effectively, and the network is very stable.
eventually a system model and an application model are established adapting to the safety management for the campus network of colleges and universities. Solutions to the serious security issues of campus network are put forward.
Key Words:campus network、Network Security、management system
上述三個系統(tǒng)在應用中,基本搭建起學校的整個電子資源,其中校務管理系統(tǒng)最為重要,此系統(tǒng)一但癱瘓意味著學校將基本停止正常運行。然而隨著互聯(lián)網技術的發(fā)展,黑客的攻擊手段日益先進。單一的技術手段無法保證系統(tǒng)的安全運行,只有在安全策略的指導下,建立互動的安全防范體系,才能最終保證網絡的安全,保證系統(tǒng)穩(wěn)定運行。
構建網絡安全管理體系模型
一般而言,各學校目前普遍采用PDRR模型來構建安全防御體系。PDRR模型屬于動態(tài)信息安全理論的模型,PDRR是4個英文單詞的頭字符:Protection(防護)、Detection(檢測)、Response(響應)、Recovery(恢復)。這四個部分構成了一個動態(tài)的信息安全周期,如圖:
該模型更多的強調通過防火墻、IDS以及VPN等技術來解決校園網絡中存在的安全問題,重點在于安全應用技術,同時沒有形成體系和防御層次,并忽視了兩個重要的安全因素,安全管理與大流量數據擁堵造成的網絡安全問題。
為能夠更加有效的保證網絡及各類應用的安全運行,安全管理體系的設計應突出網絡安全的整個流程,從用戶的發(fā)起端到校園網絡的INTERNET出口,在數據流傳輸的各個環(huán)節(jié)進行了分布式的安全防范,同時輔以入侵檢測、漏洞掃描、流量管理的多種技術手段,加以監(jiān)控并降低設備不必要的運行壓力,保證網絡系統(tǒng)穩(wěn)定運行。在各個環(huán)節(jié)中,以策略為中心的安全模型可以更充分的發(fā)揮模型的各項功能。以安全策略為中心的輪形安全模型,可以從安全、監(jiān)測、測試、調優(yōu)、流控五個部分對我們的安全架構進行不斷的完善,使其成為一個自防御體系,能夠快速、有效、可靠、全面的發(fā)現(xiàn)各種系統(tǒng)遭受的攻擊,并實現(xiàn)有效的防范,以確保系統(tǒng)的穩(wěn)定運行。
在PDRR基礎上,以安全策略為核心,以安全技術為支撐,以安全管理作為落實手段,建立了高效校園網絡安全管理體系。
針對于上述的安全架構,在具體的應用中,安全體系架構包含二個模塊:分別為校園互聯(lián)網接入模塊、校園園區(qū)網模塊,二個安全構件組成信息系統(tǒng)的安全架構。這種結構劃的設計,有利于在不同的網絡功能模塊之間更好的劃分安全防范的重點,并具有良好的擴展型,允許在今后的網絡安全規(guī)劃中,以一種層次的關系來分發(fā)安全策略。
安全模塊的設計特點
校園INTERNET接入模塊
校園INTERNET接入模塊主要是預防INTERNET攻擊的第一道門戶,是防范INTERNET上黑客攻擊的最主要屏障。因此,它的設計思想是以最少的策略,實現(xiàn)最嚴格的限制與最少的漏洞,同時保證最快的轉發(fā)速度。
校園園區(qū)網模塊
校園園區(qū)網是內部網的核心,保護著包括內網用戶、重要服務器的安全。園區(qū)網由一臺防火墻、兩臺互為冗余的主干交換機、內部應用服務器與樓層交換機、IDS模塊組成。在防火墻上根據用戶、服務進行詳細的分類,并針對每一個服務訪問做到具體的策略應用,園區(qū)網上防火墻的安全配置要求對每個訪問做到具體、全面、嚴格的限制,為每個用戶都劃分了訪問的具體范圍,它作為安全防護的中心。
安全架構的檢測
完成基本架構的搭建,為了保證各項安全措施能夠滿足防御要求,采用了多種方式進行系統(tǒng)的模擬安全檢測。
(1) 使用兩種漏洞掃描軟件對系統(tǒng)進行測試,SYMANTEC NETSTAT、及SSS軟件進行比較安全測試;
(2) 在防火墻的不同位置,TRUST、UNTRUST、DMZ、DMZ1等區(qū)域對包括網絡設備、主機系統(tǒng)進行了模擬攻擊;
在一個完整的校園安全管理體系中,各個部分之間的分工清晰,相互協(xié)作,在具體應用中可以很好的應用在實際的管理模塊上。這種方式將簡單、高效的布置校園網絡的安全,為校園網絡的運行及信息化建設奠定良好的安全基礎。
北京理工大學珠海學院校園網安全管理體系部署
北京理工大學珠海學院(以下簡稱珠海學院)自2004年建校以來,珠海學院已擁有在校生15000人,校園網絡經歷了6年的建設,信息點已達20000個,建成了內網骨干帶寬為20G,珠海學院外網帶寬600M,校內包括教務系統(tǒng)、網絡教學平臺、一卡通系統(tǒng)等各類應用已達40個,網絡用戶已達12500人左右。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
安全策略
珠海學院各應用服務器大部分采用WINDOWS 2003,部分采用WINDOWS 2008,數據庫服務器采用LINUX操作系統(tǒng),使用的應用軟件主要包括:ORACLE、SQL SERVER、MY SQL、APACHE、IIS等,網絡情況、應用環(huán)境十分復雜。針對上述問題,在建網初期,即制定了相應的安全管理近期與長期目標。安全體系的近期目標是實現(xiàn)完善的安全審計和取證機制,保證受到入侵后有證可查。鑒于大多數安全事件來自于管理員的誤操作,審計在明確事故責任上也能發(fā)揮重大作用。長期目標是建立安全預警系統(tǒng),能夠抵御較高水平的黑客攻擊。
分布式安全防范措施
分布式防范措施是從用戶端到INTERNET出口之間進行層層設防,部署不同的安全技術和措施,從技術方面杜絕出現(xiàn)安全問題的舉措。在珠海學院的網絡上,我們采取了下列措施:
(1)限定網絡用戶的不同vlan。(2)實行802.1x的認證協(xié)議。(3)網絡用戶安全管理。(4)網絡用戶隔離。(5)網間設備數據傳輸安全。(6)交換機ip與用戶ip分別管理。
(7)防止木馬的管理方式。(8)設置應用的不同安全等級。(9)服務器的安全管理。
(10)VPN訪問。(11)系統(tǒng)恢復。
漏洞掃描
珠海學院在漏洞掃描工具上采用的是俄羅斯Shadow Security Scanner軟件,在安全掃描市場中享有速度最快,功效最好的盛名,其功能遠遠超過了其它眾多的掃描分析工具。SSS 可以對很大范圍內的系統(tǒng)漏洞進行安全、高效、可靠的安全檢測,對系統(tǒng)全部掃面之后,SSS可以對收集的信息進行分析,發(fā)現(xiàn)系統(tǒng)設置中容易被攻擊的地方和可能的錯誤,得出對發(fā)現(xiàn)問題的可能的解決方法。
在珠海學院的網絡管理中,定期對各個主要的交換機、服務器進行安全掃描,以為下一步的安全管理提供依據。
入侵檢測
珠海學院的入侵檢測系統(tǒng)布置,分為兩個層次,首先為NIDS,主要啟用防火墻的IDS模塊功能;
另外,啟用HIDS功能及在服務器上安裝個人防火墻設置,珠海學院采用的是MICROSOFT ISA2004。
為了檢測有害的入侵者,ISA Server將網絡通信以及日志項與熟知的攻擊方法進行比較。如發(fā)現(xiàn)可疑的行為會觸發(fā)一組預先設定的措施或者警報。這些措施包括終止鏈接、終止服務、電子郵件警報、記入日志、以及運行一個選定的程序。
流量管理
由于P2P技術的廣泛應用,目前大多數網絡用戶都采用P2P技術的網絡工具進行諸如下載、視頻、聽歌等服務,如迅雷、QQ直播、酷狗等,這些軟件的優(yōu)點是充分利用互聯(lián)網絡,為用戶提供豐富的資源。應該說P2P技術的快速發(fā)展帶動了互聯(lián)網絡的快速發(fā)展,讓用戶能夠更加便捷的使用互聯(lián)網上的資源。
但P2P技術對于網絡管理與運營來說是一種嚴重的挑戰(zhàn),一方面P2P技術過于貪婪,最大化的利用網絡帶寬進行下載。在珠海學院建網初期,申請的100M互聯(lián)網帶寬在沒有任何限制的情況下,僅有120多用戶就占滿了所有的下行帶寬,對校園網絡運營影響極大(帶寬租用價格較貴)。而且下載的很多資源內包含有大量的木馬、病毒程序,對網絡的安全運行造成了極大的影響。在珠海學院校園網絡運行初期,很多問題是圍繞著帶寬、速度產生的。P2P應用軟件的廣發(fā)使用對校園網絡設備帶來了極大的壓力,根本無從保證校園網絡的穩(wěn)定運行和安全管理。
經過不斷的摸索,珠海學院在控制P2P應用中重點采用了三種措施:
(1)限制用戶的帶寬:對于單個用戶ip,通過防火墻對用戶進行帶寬管理,為每個用戶保證一條相對固定的通道,而不去影響其它用戶的上網;
(2)限制用戶的連接數:每個服務都是通過TCP或者UDP進行的數據通信,通過防火墻對單個用戶ip進行連接數的限制,從而限制諸如迅雷、p2p等貪婪占用通道的工具,以保證網絡線路的通暢;
(3)限制或封閉P2P協(xié)議的總帶寬:P2P協(xié)議之所以難以管理,主要是由于這種技術在使用過程中的服務端口可以隨機的變化,管理者根本無法確定服務的端口號,也就無法通過傳統(tǒng)的設備進行限制和禁止。但任何協(xié)議都有自己的特征碼,我們通過技術手段對P2P協(xié)議的特征進行匹配從而控制這種協(xié)議的軟件。但考慮到這種軟件應用的廣泛性,僅對這種軟件限制總體流量而并不完全封閉。
安全管理
安全管理貫穿于安全防范體系的始終。實踐一再告訴人們僅有安全技術防范,而無嚴格的安全管理體系相配套,是難以保障網絡系統(tǒng)安全的。必須制定一系列安全管理制度,對安全技術和安全設施進行管理。實現(xiàn)安全管理必須遵循可操作、全局性、動態(tài)性、管理與技術的有機結合、責權分明、分權制約及安全管理的制度化等原則。
2004年珠海學院校園網絡建立后,我們形成了初步的安全管理制度,但在運行過程中,發(fā)現(xiàn)存在有很多的問題。校園網絡建立初期,設立網管負責全校的校園網絡管理、設立了系統(tǒng)管理員負責全校的應用服務器管理,但實際上雖然人員角色明確,但人員任務并不明確。比如,網管人員管理所有的網絡設備,但具體的學生用戶上網情況并不是十分了解,對存在的問題不是非常清晰。而作為系統(tǒng)管理員并不十分清楚服務器所安裝的具體應用軟件要求,往往是由應用管理人員對系統(tǒng)進行維護,但又經常忽視系統(tǒng)的安全性。
針對上述問題,我們制定了以業(yè)務為主導的管理模式,將校園網絡分為兩片,宿舍區(qū)網絡、教學區(qū)網絡,分別由專人進行管理,但網絡路由統(tǒng)一由教學區(qū)管理,以保證網絡的穩(wěn)定、暢通性。而應用系統(tǒng)部分分為公共基礎服務、校務管理系統(tǒng)、網絡教學系統(tǒng)分別由三個專職人員負責維護、管理,并有一人總負責,檢查、督促工作的完成情況。
這種管理方式讓具體管理人員對于自身管理系統(tǒng)的問題十分清楚,從而保證了整個網絡安全體系的動態(tài)性和有效性。
運行效果
經過對校園網絡的一系列調整、改造,珠海學院的校園網絡運行得到了極大的改善,我們從以下幾個方面來評定:
網絡基本流量對比
珠海學院學生用INTERNET線路共計有3條,2條200M電信帶寬,1條100M網通帶寬。三條線路分別連接在3臺防火墻上,分別為3.1,3.10,4.1。下列圖為對前2臺防火墻的INTERNET接口進行的數據取樣。
如圖所示,每到高峰期時,200M帶寬基本上已經全部占滿,
用戶網絡運行穩(wěn)定
珠海學院網絡運行時間為8:00-24:00,其余時間斷網,下表即位珠海學院上網用戶的信息統(tǒng)計。如表所示,一天之中在中午與晚上分別為兩個最高峰的運行值,用戶在線率高,網絡帶寬消耗也相應提升。
網絡運行穩(wěn)定
珠海學院網絡分為辦公網絡(教學樓部分)與學生網絡(生活區(qū)部分),為了保障系統(tǒng)的安全,這兩個部分之間的網絡作了相應的策略控制,只能通過服務器進行數據交換。每天,網管對兩部分網絡進行監(jiān)控各自的運行狀態(tài),以及時了解網絡中可能出現(xiàn)的問題。
下圖分別描述了位于教學區(qū)與生活區(qū)部分網絡設備的運行狀況。(測試工具為SolarWinds 2001 Enhanced Ping)
基本服務運行正常
通過對所有流經網絡管理器的數據包進行監(jiān)控,分析得到網絡中各種協(xié)議的運行情況及流量狀態(tài)。該監(jiān)控囊括了網絡上所有協(xié)議的定義,分作傳統(tǒng)協(xié)議、P2P下載、網絡電視、即時通信、流媒體、網絡電話、網絡游戲、股票交易、網絡安全這些監(jiān)控模塊,直接體現(xiàn)了網絡上各種協(xié)議的應用情況。
服務器系統(tǒng)運行穩(wěn)定
通過對主要服務器的系統(tǒng)狀態(tài)監(jiān)控,了解CPU、內存、SWAP等的運行狀態(tài)及各服務進程的運行狀態(tài),確定服務器的是否正常。
3 結語
校園網絡作為校園信息系統(tǒng)的基礎網絡平臺,網絡的安全、穩(wěn)定運行是保證各項業(yè)務平穩(wěn)運行的基礎保障,必須建立起一套可行的、有機的安全管理體系,根據學校的實際特點進行有效的部署。從北京理工大學珠海學院校園網絡安全體系的建立中,我們積累了一些基礎,并在此基礎上,本文提出了在PDRR基礎上,以安全策略為核心,以安全技術為支撐,以安全管理作為落實手段,建立了校園網絡安全管理體系。
參考文獻
康弗瑞.網絡安全體系結構.北京:人民郵電出版社,2005年.15-21.
戴英俠.計算機網絡安全.北京:清華大學出版社,2004年.89-131.
曾湘黔.防火墻與網絡安全-入侵檢測和VPNs.北京:清華大學出版社,2004年.
W.RICHARD STEVENS. TCP/IP詳解 卷1:協(xié)議 .機械工業(yè)出版社,2000年.
W..RICHARD STEVENS.TCP/IP詳解 卷2:實現(xiàn)TCP/IP .機械工業(yè)出版社,2000年.
W.RICHARD STEVENS. TCP/IP詳解卷三:TCP事務協(xié)議.機械工業(yè)出版社,2000年.
張小斌,嚴望佳.黑客分析與防范技術.北京:清華大學出版社,2003.82-91.
張仕斌,譚三等.網絡安全技術.北京:清華大學出版社,2004.87-121.
段鋼.加密與解密(第三版).電子工業(yè)出版社,2008.
曹元大,薛靜鋒,祝烈煌,閻慧.入侵檢測技術.人民郵電出版社,2007.
論文摘要:隨著計算機網絡技術在社會生活中的各個領域的廣泛應用,計算機網絡技術提供巨大的信息含量和交互功能,提高了各個領域的工作效率,但是計算機網絡安全問題也日益嚴重,該文通過對計算機網絡安全的分析,探討安全防范策略。
計算機技術的不斷發(fā)展,推動了社會的信息化進程,但是日益加劇的計算機網絡安全問題,導致計算機犯罪頻發(fā)以及給個人,單位甚至國家?guī)順O大損害。因此有必要加強計算機網絡安全的防范,為使用者提供一個安全的網絡空間。
1 計算機網絡安全
計算機網絡安全就是計算機網絡信息的安全。計算機網絡安全的內容包括管理與技術兩個方面。計算機安全管理包括計算機硬件軟件的維護和網絡系統(tǒng)的安全性維護,確保硬軟件的數據和信息不被破壞,保障計算機網絡系統(tǒng)中的數據信息不被隨意更改和泄露。而計算機網絡安全技術主要是指對外部非法用戶的攻擊進行防范,確保計算機網絡使其不被偶然和惡意攻擊破壞,保證計算機網絡安全有序的運行。計算機網絡安全管理和網絡安全技術相結合,構建計算機網絡安全體系,保證計算機網絡系統(tǒng)能夠連續(xù)正常的運行。
2 計算機網絡安全風險分析
1)計算機網絡安全問題主要集中在兩個方面,一是信息數據安全問題,包括信息數據被非法修改、竊取、刪除和非法使用。二是計算機網絡設備安全問題,包括設備不能正常運行、設備損壞、網絡癱瘓。
2)計算機網絡安全風險的特點主要表現(xiàn)在三方面。一是突發(fā)性和擴散性。計算機網絡攻擊經常是沒有征兆的,而且其造成的影響會迅速擴散到互聯(lián)網上的各個用戶,給整個計算機系統(tǒng)造成破壞。二是潛伏性和隱蔽性。計算機網絡攻擊造成破壞前,都會潛伏在程序里,如果計算機用戶沒有及時發(fā)現(xiàn),攻擊就會在滿足條件時發(fā)起。另外由于計算機用戶疏于防范,也會為具有隱蔽性的計算機攻擊提供可乘之機。三是危害性和破壞性。計算機網絡遭受到攻擊都會給計算機網絡系統(tǒng)造成嚴重的破壞后果,造成計算機網絡癱瘓,給計算機用戶帶來損失,嚴重的會對社會和國家安全構成威脅。
3)造成計算機網絡安全風險的因素
(1)計算機網絡系統(tǒng)本身的安全隱患
網絡系統(tǒng)的安全隱患重要包括網絡結構設備和網絡系統(tǒng)自身缺陷。普遍應用的網絡結構是集線型,星型等多種結構為一體的混合型結構。每個結構的節(jié)點處采用不同的網絡設施,包括路由器、交換機、集線器等。每種設備受自身技術的制約都會在不同程度上給計算機網絡系統(tǒng)帶來安全隱患。另外網絡系統(tǒng)本身具有缺陷,網絡技術的優(yōu)點是開放性和資源共享性。全球性復雜交錯的互聯(lián)網絡,其優(yōu)點也成了容易遭受個攻擊的弱點,而且計算機網絡協(xié)議自身也存在不安全因素,例如出現(xiàn)欺騙攻擊,拒絕服務,數據截取和數據篡改等問題。
(2)計算機病毒安全風險
目前計算機病毒已經成為威脅計算機網絡安全的關鍵因素。計算機病毒是人為編制的,進入計算機程序中的能夠毀壞數據,破壞計算機功能的一組計算機指令或代碼。根據其破壞程度把計算機病毒劃分為優(yōu)良性病毒與惡性病毒,計算機病毒顯著的特點是具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等。而且病毒能夠自我復制。在計算機網絡系統(tǒng)中普遍的傳播方式是通過光盤,U盤等存儲設備進行的,但是隨著計算機網絡的規(guī)模的擴大,網絡傳播成為病毒傳播的主要手段,計算機使用者上網瀏覽網頁,收發(fā)Email,下載資料等都可能感染計算機病毒,而且病毒能夠在局域網內傳播。計算機病毒對計算機程序和系統(tǒng)造成嚴重的破壞,使網絡無法正常運行。例如2007年1月的熊貓燒香病毒,就是通過下載檔案傳染的,在局域網迅速傳播,極短的時間內就能傳播給數千臺計算機,致使“熊貓燒香”病毒的感染范圍非常廣,包含了金融、稅務、能源等企業(yè)和政府機構,給國家造成的經濟損失,可見病毒的危害性巨大。
4)計算機網絡安全風險中的人為因素
(1)計算機網絡安全中的人為因素主要包括計算機使用者的操縱失誤和人為的惡意攻擊。計算機使用者的計算機技術水平良莠不齊,有些人員缺少安全防范意識,在應用過程里出現(xiàn)操作失誤和錯誤,也會給計算機安全帶來風險。另外,人為的惡意攻擊是計算機網絡安全的最大威脅。而人為惡意攻擊又分為主動攻擊和被動攻擊兩種。主動攻擊是指采用各種方式有選擇的破壞信息完整性和有效性。而被動攻擊是使攻擊者在不影響網絡正常工作的情況下,進行對信息的篡改,截取,竊取機密信息的活動。人為攻擊會給造成重要數據的泄漏,給計算機網絡帶來極大的破壞。
(2)人為攻擊里最為常見的是黑客攻擊。黑客最早源自英文hacker,是指利用系統(tǒng)安全漏洞對網絡進行攻擊破壞或竊取資料的人。由于網絡信息系統(tǒng)構建的脆弱性和不完備性,黑客通常會利用計算機網絡系統(tǒng)自身存在的安全隱患和漏洞,進行密碼探測并完成系統(tǒng)入侵的攻擊。黑客攻擊的手段主要包括:口令的攻擊、網絡監(jiān)聽、盜取、緩沖區(qū)溢出攻擊、過載攻擊、隱藏指令、程序嵌入木馬攻擊、取得網站控制權、網頁篡改偽裝欺騙攻擊、電子郵件破壞攻擊和種植病毒等。給計算機用戶帶來極大危害。
5)計算機系統(tǒng)安全漏洞
計算機系統(tǒng)安全是指計算機操作系統(tǒng)的安全。而目前應用的DOS、WINDOWS(2000、XP、VISTA.WIN7)、UNIX、LINUX等操作系統(tǒng),都存在一定的安全隱患。而系統(tǒng)漏洞產生的原因是應用軟件或操作系統(tǒng)軟件在邏輯設計上的缺陷或在編寫時產生錯誤。而系統(tǒng)漏洞本身不會對網絡系統(tǒng)造成危害,但是由于系統(tǒng)漏洞存在,會被不法分子和黑客利用,例如在計算機中植入木馬,其具有隱藏性的和自發(fā)性,是惡意行為的程序,雖不會直接對電腦產生危害,但是可以被黑客控制。黑客還能利用系統(tǒng)安全漏洞,使計算機感染病毒,破壞計算機及其系統(tǒng)造成數據信息丟失等。嚴重危害計算機網絡系統(tǒng)的安全。
6)計算機網絡完全技術有待提升
計算機網絡提供大量的數據信息傳輸,而且又具有開放性,共享性和廣泛性。所以數據信息的安全也面臨著巨大的挑戰(zhàn)。目前網絡數據信息的傳輸處理過程中安全性與保密性技術還不是十分完善,這也為網絡系統(tǒng)中進行的數據信息的傳輸和處理帶來極大的隱患。
3 計算機網絡安全防范對策
針對計算機網絡安全存在的風險分析,要加強計算機網絡的安全防范,除了采用的網絡安全技術和防范措施,還要加強網絡管理的措施,制定法律、法規(guī)增強計算機安全保護的執(zhí)行力度,確保計算機網絡安全工作的確實有效。關于計算機網絡安全方法對策主要從以下幾個方面探討。
1)增強計算機網絡安全管理
(1)提高安全意識,建立專業(yè)的管理隊伍
對于計算機個人用戶而言,要不斷加強網絡安全意識的培養(yǎng),對應用程序進行合法的操作,依據職責權利選擇不同的口令,杜絕其他的用戶越權訪問網絡資源。要重視對計算機病毒的防范,及時更新殺毒軟件和安裝補丁。而對于計算機網絡管理人員要求更高些,增強安全意識的同時加強職業(yè)道德和工作責任心的培養(yǎng),還要不斷提升管理人員的專業(yè)技能,增強對網絡的監(jiān)察和評估。
(2)落實網絡安全管理的各項工作
網絡安全維護除了應用先進的軟件防御需要把網絡管理的各項工作落到實處,加大網絡評估和監(jiān)控力度,對網絡運行全過程進行監(jiān)控,針對網絡安全存在的風險提出修改意見,完善網絡安全運行管理機制,營造優(yōu)良的網絡環(huán)境,做好設備維護工作,制定應急預案,確保計算機網絡安全工作的科學性和時效性。
2)計算機網絡安全技術防范措施
(1)防火墻技術
防火墻指的是一個由軟件和硬件設備組合而成,在內部網和外部網之間,專用網與公共網之間的界面上構造的保護屏障。能夠限制外部用戶內部訪問,以及管理內部用戶訪問外界網絡。有效的控制信息輸入輸出是否符合安全規(guī)則,對包含不安全的信息數據進行過濾,防止內網數據和資源的外泄,強化計算機網絡的安全策略,是保障計算機網絡安全的基礎技術。
(2)計算機病毒防范技術
由于計算機病毒的破壞性和危害性很大,所以防毒工作是計算機網絡安全管理的重要部分,除了設置防火墻,還要在計算機上安裝正版的殺毒防毒軟件,并且及時的升級殺毒軟件,更新病毒庫,定期對磁盤進行安全掃描,同時計算機使用者還要主要上網安全,不打開不正常的網頁鏈接和下載可疑文件。
(3)信息加密技術
當信息數據技術通過網絡傳輸時,由于計算機網絡的復雜性和自身缺陷,容易造成信息數據泄露,所以要應用信息加密技術,保障信息數據傳輸的安全。計算機網絡數據加密主要有三個層次,鏈路加密、節(jié)點加密和端到端加密。而且在整個過程中都是以密文形式進行傳輸的,有效地保障了數據傳輸的安全。
(4)漏洞掃描和修復技術
由于計算機系統(tǒng)自身存在漏洞,為了不給黑客和不法分子帶來可乘之機,就要定期的對計算機網絡系統(tǒng)進行漏洞掃描,下載安全補丁,及時修復系統(tǒng)漏洞。
(5)系統(tǒng)備份和還原技術
數據的備份工作也是計算機網絡安全的內容之一,常用的Ghost工具,可以進行數據的備份和還原,但系統(tǒng)出現(xiàn)故障時,利用ghost,減少信息數據的損失。保障計算機系統(tǒng)的恢復使用。
4 總結
21世紀是網絡技術飛速發(fā)展的時代,隨著全球數字化和信息化的進程不斷加快,網絡的資源共享和開放性所帶來的安全隱患需要引起重視,為了增強信息的安全保障能力,有效的維護國家安全、社會穩(wěn)定和公共利益,需要制定科學的計算機網絡防范體系,降低計算機網絡安全風險,提高計算機網絡安全技術,為營造安全的網絡環(huán)境和構建和諧社會提供技術支持和理論基礎。
參考文獻
[1] 金曉倩.基于計算機防火墻安全屏障的網絡防范技術[J].素質教育論壇,2009(11).
[2] 趙紅言,許柯,趙緒民.計算機網絡安全及防范技術[J].陜西師范大學學報,2007(9).
[3] 王小芹.計算機網絡安全的防范技術及策略[J].內蒙古科技與經濟,2005(15).
[4] 何莉,許林英,姚鵬海.計算機網絡概論[M].北京:高等教育出版社,2006(1).
摘要:隨著計算機技術與通信技術的高速發(fā)展,信息安全在企業(yè)中扮演著越來越重要的角色,為此,筆者從企業(yè)信息系統(tǒng)所面臨的安全威脅以及企業(yè)信息系統(tǒng)安全運行應當采取的防范措施兩方面進行了探討。
關鍵詞:信息系統(tǒng)安全;防火墻技術;防范
隨著計算機技術與通信技術的飛速發(fā)展,信息安全已成為制約企業(yè)發(fā)展的瓶頸技術,進而使得企業(yè)對信息系統(tǒng)安全的依賴性達到了空前的程度,但是企業(yè)在享受著信息系統(tǒng)給公司帶來巨大經濟效益的同時,也面臨著非常大的安全風險。一旦企業(yè)信息系統(tǒng)受到攻擊而遭遇癱瘓,整個企業(yè)就會陷入危機的境地。特別是近幾年來全球范圍內的計算機犯罪,病毒泛濫,黑客入侵等幾大問題,使得企業(yè)信息系統(tǒng)安全技術受到了嚴重的威脅。因此,這就使得企業(yè)必須重新審視當前信息系統(tǒng)所面臨的安全問題,并從中找到針對企業(yè)的行之有效的安全防范技術。為此,筆者首先分析了現(xiàn)代企業(yè)所面臨的信息系統(tǒng)安全問題,然后提出了企業(yè)應當采取的相應防范措施。
1企業(yè)信息系統(tǒng)所面臨的安全威脅
企業(yè)在信息系統(tǒng)的實際操作過程中,威脅是普遍存在且不可避免的。一般來說威脅就是企業(yè)所面臨的潛在的安全隱患。個人電腦只通過一個簡易的應用便可以滿足普通用戶的要求,但是企業(yè)的信息系統(tǒng)一般都要充當多個角色,基本上都得為多個部門提供服務,其中任何一個局部的隱患都可能給整體的安全性帶來致命的打擊。正是由于企業(yè)信息安全系統(tǒng)本身所固有的這些缺陷,必然會導致病毒與黑客的容易盛行。目前,影響企業(yè)系統(tǒng)安全的因素各種各樣,但是其主要的威脅可以歸結為以下幾個方面:
①黑客的蓄意攻擊:隨著信息技術的普及,企業(yè)一般都會利用互聯(lián)網接入來加速提高本公司業(yè)務與工作績效,黑客的惡意攻擊行為無疑會成為阻礙這一進程發(fā)展最大也最嚴重的威脅。其中,有來自競爭公司的幕后黑手,或者來自對本企業(yè)有怨恨情緒的員工,以及對該企業(yè)持不滿態(tài)度的顧客等,出于不同目的或報復情緒都可能對企業(yè)網絡進行破壞與盜竊。另外,一個更嚴重的問題——網絡敲詐,正有逐步提升的趨勢。許多不法分子利用木馬、病毒、間諜軟件,或者dos攻擊等非法方式對企業(yè)網絡進行破壞或盜用企業(yè)數據,并以此作為向企業(yè)敲詐勒索的交換條件,由于大部分企業(yè)普遍存在著信息安全環(huán)等薄弱問題,因此很多企業(yè)都成為這種違法行為最大的受害者。
②病毒木馬的破壞:現(xiàn)今的互聯(lián)網已基本成為了一個病毒肆虐生長繁殖的土壤,幾乎每一天都會有上百種新的病毒或者木馬產生,而在很大部分企業(yè)中,安全技術不足,管理設備松散、員工安全意識淡薄等問題的存在進一步滋長了病毒、蠕蟲、木馬等的危害,嚴重時甚至有可能造成整個企業(yè)網絡的癱瘓,導致企業(yè)業(yè)務無法正常進行。
③員工對信息網的誤用:如企業(yè)技術員工由于安全配置不當引起的安全漏洞,員工安全意識薄弱,用戶密碼選擇不恰當,將自己的賬戶名與口令隨意告訴他人或與別人共享都會對信息系統(tǒng)安全帶來威脅。
④技術缺陷:由于當前人類認知能力和技術發(fā)展的有限性,要想使硬件和軟件設計都達到完美沒有缺陷,基本上不可能。其次,網絡硬件、軟件產品多數依靠進口等這些隱患都可能可造成網絡的安全問題。
2企業(yè)信息系統(tǒng)安全運行的防范措施
企業(yè)信息系統(tǒng)安全運行的防范措施是企業(yè)信息系統(tǒng)高效運行的方針,其能在很大程度上確保信息系統(tǒng)安全有效的運行。相應的企業(yè)安全運行的措施一般可以分為以下幾類:
①安全認證機制:安全認證機制是確保企業(yè)信息系統(tǒng)安全的一種常用技術,主要用來防范對系統(tǒng)進行主動攻擊的惡意行為。安全認證,一方面需要驗證信息發(fā)送者的真實性,防止出現(xiàn)不真實;另一方面可以防止信息在傳送或存儲過程中被篡改、重放或延遲的可能。一般來說,安全認證的實用技術主要由身份識別技術和數字簽名技術組成。
②數據的加密以及解密:數據的加密與解密主要是用來防止存儲介質的非法被竊或拷貝,以及信息傳輸線路因遭竊聽而造成一些重要數據的泄漏,故在系統(tǒng)中應對重要數據進行加密存儲與傳輸等安全保密措施。加密是把企業(yè)數據轉換成不能直接辨識與理解的形式;而解密是加密的逆行式即把經過加密以后的信息、數據還原為原來的易讀形式。
③入侵檢測系統(tǒng)的配備:入侵檢測系統(tǒng)是最近幾年來才出現(xiàn)的網絡安全技術,它通過提供實時的入侵檢測,監(jiān)視網絡行為并進而來識別網絡的入侵行為,從而對此采取相應的防護措施。
④采用防火墻技術:防火墻技術是為了確保網絡的安全性而在內部和外部之間構建的一個保護層。其不但能夠限制外部網對內部網的訪問,同時也能阻止內部網絡對外部網中一些不健康或非法信息的訪問。
⑤加強信息管理:在企業(yè)信息系統(tǒng)的運行過程中,需要要對全部的信息進行管理,對經營活動中的物理格式和電子格式的信息進行分類并予以控制,將所有抽象的信息記錄下來并存檔。
關鍵詞: 網絡 安全 VPN 加密技術 防火墻技術
近年來,計算機網絡技術不斷發(fā)展,網絡應用逐漸普及,網絡已成為一個無處不在、無所不用的工具。越來越多的計算機用戶足不出戶則可訪問到全球網絡系統(tǒng)豐富的信息資源,經濟、文化、軍事和社會活動也強烈依賴于網絡,一個網絡化的社會已呈現(xiàn)在我們面前。
然而,隨著網絡應用的不斷增多,網絡安全問題也越來越突出,由于計算機網絡聯(lián)接形式的多樣性、終端分布的不均勻性、網絡的開放性和網絡資源的共享性等因素,致使計算機網絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通,研究計算機網絡的安全與防范措施已迫在眉捷。本人結合實際經驗,談一談網絡安全與防范技術。
一、目前信息系統(tǒng)技術安全的研究
1.信息安全現(xiàn)狀分析
隨著信息化進程的深入,信息安全己經引起人們的重視,但依然存在不少問題。一是安全技術保障體系尚不完善,許多企業(yè)、單位花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標;二是應急反應體系沒有經常化、制度化;三是企業(yè)、單位信息安全的標準、制度建設滯后。
對于網絡安全管理情況的調查:調查表明,近年來,使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務企業(yè)提供專業(yè)化的安全服務。調查表明,認為單位信息網絡安全防護能力“較高”和“一般”的比較多,分別占44%。但是,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低。
2.企業(yè)信息安全防范的任務
信息安全的任務是多方面的,根據當前信息安全的現(xiàn)狀,制定信息安全防范的任務主要是:
從安全技術上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統(tǒng)、建立安全認證系統(tǒng)等安全系統(tǒng)。
從安全管理上,建立和完善安全管理規(guī)范和機制,切實加強和落實安全管理制度,增強安全防范意識。
信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩(wěn)定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預防內部犯罪。
二、信息系統(tǒng)常見技術安全漏洞與技術安全隱患
每個系統(tǒng)都有漏洞,不論你在系統(tǒng)安全性上投入多少財力,攻擊者仍然可以發(fā)現(xiàn)一些可利用的特征和配置缺陷。發(fā)現(xiàn)一個已知的漏洞,遠比發(fā)現(xiàn)一個未知漏洞要容易的多,這就意味著:多數攻擊者所利用的都是常見的漏洞。這樣的話,采用適當的工具,就能在黑客利用這些常見漏洞之前,查出網絡的薄弱之處。漏洞大體上分為以下幾大類:
(1)權限攻擊。攻擊者無須一個賬號登錄到本地直接獲得遠程系統(tǒng)的管理員權限,通常通過攻擊以root身份執(zhí)行的有缺陷的系統(tǒng)守護進程來完成。漏洞的絕大部分來源于緩沖區(qū)溢出,少部分來自守護進程本身的邏輯缺陷。
(2)讀取受限文件。攻擊者通過利用某些漏洞,讀取系統(tǒng)中他應該沒有權限的文件,這些文件通常是安全相關的。這些漏洞的存在可能是文件設置權限不正確,或者是特權進程對文件的不正確處理和意外dumpcore使受限文件的一部份dump到了core文件中。
(3)拒絕服務。攻擊者利用這類漏洞,無須登錄即可對系統(tǒng)發(fā)起拒絕服務攻擊,使系統(tǒng)或相關的應用程序崩潰或失去響應能力。這類漏洞通常是系統(tǒng)本身或其守護進程有缺陷或設置不正確造成的。
(4)口令恢復。因為采用了很弱的口令加密方式,使攻擊者可以很容易的分析出口令的加密方法,從而使攻擊者通過某種方法得到密碼后還原出明文來。
(5)服務器信息泄露。利用這類漏洞,攻擊者可以收集到對于進一步攻擊系統(tǒng)有用的信息。這類漏洞的產生主要是因為系統(tǒng)程序有缺陷,一般是對錯誤的不正確處理。
漏洞的存在是個客觀事實,但漏洞只能以一定的方式被利用,每個漏洞都要求攻擊處于網絡空間一個特定的位置,因此按攻擊的位置劃分,可能的攻擊方式分為以下四類:物理接觸、主機模式、客戶機模式、中間人方式。
三、信息系統(tǒng)的安全防范措施
1.防火墻技術
防火墻技術是建立在現(xiàn)代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯(lián)環(huán)境之中,尤其以接入Internet網絡為甚。
防火墻是指設置在不同網絡(如可信任的企業(yè)內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協(xié)議才能通過防火墻,所以網絡環(huán)境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監(jiān)控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統(tǒng)計數據。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現(xiàn)內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業(yè)內部網絡技術體系VPN。通過VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或專用子網,有機地聯(lián)成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
防火墻技術可根據防范的方式和側重點的不同而分為很多種類型,但總體來講可分為二大類:分組過濾、應用。
2.入侵檢測技術
IETF將一個入侵檢測系統(tǒng)分為四個組件:事件產生器(EventGenerators);事件分析器(EventAnalyzers);響應單元(ResponseUnits)和事件數據庫(EventDataBases)。事件產生器的目的是從整個計算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數據,并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。
根據檢測對象的不同,入侵檢測系統(tǒng)可分為主機型和網絡型?;谥鳈C的監(jiān)測。主機型入侵檢測系統(tǒng)就是以系統(tǒng)日志、應用程序日志等作為數據源,當然也可以通過其他手段(如監(jiān)督系統(tǒng)調用)從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。這種系統(tǒng)經常運行在被監(jiān)測的系統(tǒng)之上,用以監(jiān)測系統(tǒng)上正在運行的進程是否合法。最近出現(xiàn)的一種ID(IntrusionDetection):位于操作系統(tǒng)的內核之中并監(jiān)測系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經可以被用于多種平臺。網絡型入侵檢測。它的數據源是網絡上的數據包。往往將一臺機子的網卡設于混雜模式(PromiseMode),對所有本網段內的數據包并進行信息收集,并進行判斷。
對各種事件進行分析,從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技術上,入侵檢測分為兩類:一種基于標志(CSignature-Based),另一種基于異常情況(Abnormally-Based)。
3.認證中心(CA)與數字證書
互聯(lián)網的發(fā)展和信息技術的普及給人們的工作和生活帶來了前所未有的便利。然而,由于互聯(lián)網所具有的廣泛性和開放性,決定了互聯(lián)網不可避免地存在著信息安全隱患。為了防范信息安全風險,許多新的安全技術和規(guī)范不斷涌現(xiàn),PKI(PublicKeyInfrastructure,公開密鑰基礎設施)即是其中一員。
PKI是在公開密鑰理論和技術基礎上發(fā)展起來的一種綜合安全平臺,能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理,從而達到保證網上傳遞信息的安全、真實、完整和不可抵賴的目的。利用PKI可以方便地建立和維護一個可信的網絡計算環(huán)境,從而使得人們在這個無法直接相互面對的環(huán)境里,能夠確認彼此的身份和所交換的信息,能夠安全地從事商務活動。目前,PKI技術己趨于成熟,其應用已覆蓋了從安全電子郵件、虛擬專用網絡(VPN),Web交互安全到電子商務、電子政務、電子事務安全的眾多領域,許多企業(yè)和個人已經從PKI技術的使用中獲得了巨大的收益。
在PKI體系中,CA(CertificateAuthority,認證中心)和數字證書是密不可分的兩個部分。認證中心又叫CA中心,它是負責產生、分配并管理數字證書的可信賴的第三方權威機構。認證中心是PKI安全體系的核心環(huán)節(jié),因此又稱作PKI/CA。認證中心通常采用多層次的分級結構,上級認證中心負責簽發(fā)和管理下級認證中心的證書,最下一級的認證中心直接面向最終用戶。
數字證書,又叫“數字身份證”、“數字ID”,是由認證中心發(fā)放并經認證中心數字簽名的,包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件,可以用來證明數字證書持有者的真實身份。
4.身份認證
身份認證是指計算機及網絡系統(tǒng)確認操作者身份的過程。我們熟悉的如防火墻、入侵檢測、VPN、安全網關、安全目錄等,與身份認證系統(tǒng)有什么區(qū)別和聯(lián)系呢?我們從這些安全產品實現(xiàn)的功能來分析就明白了:防火墻保證了未經授權的用戶無法訪問相應的端口或使用相應的協(xié)議;入侵檢測系統(tǒng)能夠發(fā)現(xiàn)未經授權用戶攻擊系統(tǒng)的企圖;VPN在公共網絡上建立一個經過加密的虛擬的專用通道供經過授權的用戶使用;安全網關保證了用戶無法進入未經授權的網段,安全目錄保證了授權用戶能夠對存儲在系統(tǒng)中的資源迅速定位和訪問。
從木桶理論來看,這些安全產品就是組成木桶的一塊塊木板,則整個系統(tǒng)的安全性取決于最短的一塊木板。這些模塊在不同的層次上阻止了未經授權的用戶訪問系統(tǒng),這些授權的對象都是用戶的數字身份。而身份認證模塊就相當于木桶的桶底,由它來保證物理身份和數字身份的統(tǒng)一,如果桶底是漏的,那桶壁上的木板再長也沒有用。因此,身份認證是整個信息安全體系最基礎的環(huán)節(jié),身份安全是信息安全的基礎。
目前常見的身份認證方式主要有三種,第一種是使用用戶名加口令的方式,這時是最常見的,但這也是最原始、最不安全的身份確認方式,非常容易由于外部泄漏等原因或通過口令猜測、線路竊聽、重放攻擊等手段導致合法用戶身份被偽造;第二種是生物特征識別技術(包括指紋、聲音、手跡、虹膜等),該技術以人體唯一的生物特征為依據,具有很好的安全性和有效性,但實現(xiàn)的技術復雜,技術不成熟,實施成本昂貴,在應用推廣中不具有現(xiàn)實意義;第三種也是現(xiàn)在電子政務和電子商務領域最流行的身份認證方式――基于USBKey的身份認證。
四、結語
隨著計算機技術和通信技術的發(fā)展,信息系統(tǒng)將日益成為企業(yè)的重要信息交換手段。因此,認清信息系統(tǒng)的脆弱性和潛在威脅,采取必要的安全策略,對于保障信息系統(tǒng)的安全性將十分重要。同時,信息系統(tǒng)技術目前正處于蓬勃發(fā)展的階段,新技術層出不窮,其中也不可避免的存在一些漏洞,因此,進行信息系統(tǒng)安全防范要不斷追蹤新技術的應用情況,及時升級、完善自身的防御措施。
參考文獻 :
[1]賈晶,陳元,王麗娜編著,信息系統(tǒng)的安全與保密,第一版,1999.01,清華大學出版社
[2]EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003, Posts&TelecommunicationsPress,PP.86-94
[3]程勝利,談冉,熊文龍,程煌,計算機病毒及其防治技術,2004.09,清華大學出版社
[4]張小磊,計算機病毒診斷與防治,2003,中國環(huán)境科學出版社
[5]東軟集團有限公司,NetEye防火墻使用指南3.0,1-3
[6]段鋼,加密與解密,第二版,2004.01,電子工業(yè)出版社
[7]張劍,網絡安全防御系統(tǒng)的設計與實現(xiàn),電子科技大學碩士學位論文,2001.01
[8]黑客防線2005精華奉獻本上、下冊,人民郵電出版社,2005
立足于本職崗位,作為機電科供電車間的技術員。做好全礦上下供電技術任務的同時,著重于自身供電系統(tǒng)業(yè)務的掌握和技術水平的提高,積極參加各種培訓,不斷拓展自己的知識面,利用先進的技術,結合自己的專業(yè)知識,將供電技術應用于煤礦安全生產中。
努力提高自身業(yè)務水平一、積極學習技術。
有關部門的帶領下,年7月。隨隊到河南濟源市防爆設備廠進行了考察和學習,掌握了新型設備的新技術、新工藝,并積極地和同行探討與交流。隨后邀請了該廠家與南京國辰電氣的相關技術人員來到礦,為供電職工進行電氣設備的應用與維護培訓,為我相關技術人員現(xiàn)場進行技術指導,解決了不少的技術難題。把平時工作中遇到有關問題記錄下來,向供電車間老師傅們求教,直至弄明白為止。每當廠家相關技術人員來礦解決設備大的故障時,更積極向他進行請教。不斷地學習和實踐中,逐步的熟悉了井下供電系統(tǒng)和高低壓設備的應用,提高了自己的業(yè)務水平。
科學編制技術措施二、合理供電系統(tǒng)設計。
逐漸進行各采區(qū)工作面的供電系統(tǒng)設計。由于對工作面及其機械設備不熟悉,分管供電科長的指導下。為合理的布置高低壓電纜線路的走向,免費論文我經常跑現(xiàn)場,測量距離,科學整定計算,合理選擇電氣設備和電纜型號,不僅滿足實際需要,還能節(jié)省不少人力物力。先后為井下8171719871967174281727199等采煤工作面的供電系統(tǒng)進行了設計。本著“一工程一措施”原則,除了固定每月兩次的高低壓電氣設備檢修,還有敷設或回收高壓電纜、設備安裝、標準化工作等工程,都要提前編制施工安全技術措施,嚴謹組織、科學編制,使安全技術措施具有科學性和可操作性。經過有關部門領導的審批后,施工前傳達給每位施工人員并簽字,嚴格措施的兌現(xiàn),令措施真正地起到防范在前、全過程監(jiān)督指導的作用。另外,還協(xié)助車間主任做好設備檢修計劃、材料計劃,并對出現(xiàn)的機電事故提出安全防范技術措施。
工作任務顯成效三、安全質量標準化。
針對供電班組對井下主要巷道及變電所的電纜按標準化要求進行整理吊掛的情況,為貫徹落實礦下達的質量標準化工作。提出合理化建議,并制定科學的安全施工技術措施。2009年我主要參加完成了以下幾項大的工程:Ⅱ(3采區(qū)上部變電所安裝及其供電線路的敷設;皮帶暗斜井皮帶電控系統(tǒng)安裝;東三及Ⅱ(3采區(qū)變頻絞車電控、信號系統(tǒng)的安裝;井下817171987196等采煤工作面的供電系統(tǒng)安裝;-750掘進面大型綜掘機供電系統(tǒng)安裝;-750行車間供電安裝及掘進隊供電系統(tǒng)改造;主井變電所更換變壓器等。通過參加這些大型工程,一邊指導技術上的工作一邊再進一步學習,積累為以后更好的做好供電工作奠定了基礎。