序論:在您撰寫網絡系統安全論文時�,參考他人的優秀作品可以開闊視野�,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情��,引導您走向新的創作高度�����。
第1篇
關鍵詞:計算機網絡�;安全威脅�;維護策略���;預防措施
計算機的系統安全性歷來都是人們討論的主要話題之一。在計算機網絡日益擴展和普及的今天���,計算機系統安全的要求更高�,涉及面更廣��。不但要求防治病毒��,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性�����,避免在傳輸途中遭受非法竊取�����。
一�����、主要威脅
計算機網絡系統被攻擊的原因來自多方面的因素���,可以分為以下若干類型:黑客入侵��、來自內部的攻擊�、計算機病毒的侵入�����、秘密信息的泄漏和修改網絡的關鍵數據等���,這些都可以造成損失等等����。目前��,計算機信息系統的安全威脅主要來自于以下幾類:
(一)計算機病毒
病毒是對軟件、計算機和網絡系統的最大威脅之一����。所謂病毒��,是指一段可執行的程序代碼����,通過對其他程序進行修改�����,可以感染這些程序��,使他們成為含有該病毒程序的一個拷貝����。計算機病毒技術在快速地發展變化之中�����,而且在一定程度上走在了計算機網絡安全技術的前面����。專家指出�,從木馬病毒的編寫、傳播到出售�����,整個病毒產業鏈已經完全互聯網化�����。計算機感染上病毒后����,輕則使系統工作效率下降,重則造成系統死機或毀壞��,使部分文件或全部數據丟失���。甚至造成計算機主板等部件的損壞,導致硬件系統完全癱瘓�����。
(二)黑客的威脅和攻擊
計算機信息網絡上的黑客攻擊事件越演越烈�����,據(2008瑞星中國大陸地區互聯網安全報告》披露����,以牟利為目的的黑客產業鏈已經形成并成為新的暴利產業����。在2006的五一“中美黑客大戰”中�����,中美各有上千的網站被涂改���。曾專門跟蹤網站的攻破后的頁面,最后由于這種事件太多�,有時一天會接到上百個網站被涂改的報告。
(三)其他
其他威脅因素還包括來自內部的攻擊��、網絡犯罪���、系統漏洞以及秘密信息的泄漏和修改網絡的關鍵數據等。
二��、系統安全維護策略
(一)計算機病毒的防御
巧用主動防御技術防范病毒入侵���,用戶一般都是使用殺毒軟件來防御病毒的侵入�����,但現在年增加千萬個未知病毒新病毒�����,病毒庫已經落后了。因此����,靠主動防御對付未知病毒新病毒是必然的。實際上�����,不管什么樣的病毒����,當其侵入系統后,總是使用各種手段對系統進行滲透和破壞操作�����。所以對病毒的行為進行準確判斷�����,并搶在其行為發生之前就對其進行攔截��。
很多計算機系統常用口令來控制對系統資源的訪問,這是防病毒進程中�����,最容易和最經濟的方法之一���。網絡管理員和終端操作員根據自己的職責權限�����,選擇不同的口令,對應用程序數據進行合法操作��,防止用戶越權訪問數據和使用網絡資源�。操作員應定期變一次口令��;不得寫下口令或在電子郵件中傳送口令�����。
當計算機病毒對網上資源的應用程序進行攻擊時����,這樣的病毒存在于信息共享的網絡介質上�����,因此就要在網關上設防,在網絡前端進行殺毒����。基于網絡的病毒特點���,應該著眼于網絡整體來設計防范手段。在計算機硬件和軟件���,LAN服務器,服務器上的網關����,Inter層層設防��,對每種病毒都實行隔離�、過濾����,而且完全在后臺操作。例如:某一終端機如果通過軟盤感染了計算機病毒�,勢必會在LAN上蔓延,而服務器具有了防毒功能���,病毒在由終端機向服務器轉移的進程中就會被殺掉。為了引起普覺�,當在網絡中任何一臺工作站或服務器上發現病毒時�����,它都會立即報警通知網絡管理員�����。
(二)對黑客攻擊的防御
黑客攻擊等威脅行為為什么能經常得逞呢��?主要原因在于計算機網絡系統內在安全的脆弱性���;其次是人們思想麻痹�,沒有正視黑客入侵所造成的嚴重后果����,因而舍不得投入必要的人力��、財力和物力來加強計算機網絡的安全性��,沒有采取有效的安全策略和安全機制����。
首先要加強系統本身的防御能力��,完善防護設備�,如防火墻構成了系統對外防御的第一道防線����。防火墻作為網絡的第一道防線并不能完全保護內部網絡,必須結合其他措施才能提高系統的安全水平�。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施�。按照級別從低到高��,分別是主機系統的物理安全��、操作系統的內核安全��、系統服務安全�、應用服務安全和文件系統安全�;同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。
堵住系統漏洞要比與安全相關的其它任何策略更有助于確保網絡安全���。及時地安裝補丁程序是很好的維護網絡安全的方法。對于系統本身的漏洞�,可以安裝軟件補?���。涣硗饩W絡管理員還需要做好漏洞防護工作��,保護好管理員賬戶�,只有做到這兩個基本點才能讓我們的網絡更加安全���。:
三、預防措施
從實際應用上看�����,即使采用了種種安全防御手段,也不能說就萬無一失或絕對安全����,因此還需要有一些預防措施��,�以保證當系統出現故障時���,能以最快的速度恢復正常�����,將損失程度降到最底����。這類措施應有:
對日?��?赡艹霈F的緊急情況要制定相應的應急計劃和措施��,發生運行故障時����,要能快速搶修恢復�����。
將操作系統CD盤留副本保存�。由于有一個或者多個備份集�,因此可以減少原版CD丟失(損壞)所造成的損失�。
當網絡管理員或系統管理員調動以后立即修改所有的系統管理員口令����。
堅持數據的日常備份制度,系統配置每次修改后及時備份�����,對于郵件服務器等實時更新的服務器應堅持每日多次備份(至少每小時一次)����。
四��、結語
網絡系統安全作為一項動態工程�,它的安全程度會隨著時間的變化而發生變化��。在信息技術日新月異的今天��,需要隨著時間和網絡環境的變化或技術的發展而不斷調整自身的安全策略�。
參考文獻:
[1]錢蓉.黑客行為與網絡安全,電力機車技術,2002,1,25
[2]關義章���,戴宗坤.信息系統安全工程學.四川大學信息安全研究所,2002,12,10
[3]文衛東,李旭暉,朱驍峰,呂慧,余辰,何炎祥.Internet的安全威脅與對策[J].計算機應用.2001年07期
第2篇
關鍵詞網絡安全管理防范
一.銀行系統主要面臨的網絡安全問題
1.計算機網絡系統的實體遭到破壞
實體是指網絡中的關鍵設備�,包括各類計算機(服務器、工作站等)�、網
絡通信設備(路由器�����、交換機��、集線器��、調制解調器�、加密機等)��、存放數據的媒體(磁帶機���、磁盤機、光盤等)�、傳輸線路����、供配電系統以及防雷系統和抗電磁干擾系統等。這些設備不管哪一個環節出現問題�,都會給整個網絡帶來災難性的后果���。這類問題,一部分由于系統設計不合理造成��,一部分由于內部工作人員責任心不強����、不按規定操作、麻痹大意造成,一部分是來自外部的惡意破壞��。
2.內部人員利用網絡實施金融犯罪
據有關調查顯示�����,在已破獲的采用計算機技術進行金融犯罪的人員中
,內部人員占到75%�����,其中內部授權人員占到58%����。他們方便地利用所授的權利�����,輕松地對網絡中的數據進行刪除�、修改��、增加�����,轉移某些帳戶的資金�����,達到挪用、盜用的目的��。更為嚴重的是預設“后門”�,“后門”就是信息系統中未公開的通道��,在用戶未授權的情況下����,系統的設計者或其他技術人員可以通過這些通道出入系統而不被用戶發覺���,這類行為不僅損害客戶的利益��,大大影響銀行在民眾中的信譽,更為嚴重的是“后門”成為黑客入侵系統的突破口危及整個系統的安全性和數據的安全性����。
3.遭受各類黑客的侵犯和破壞
存儲和運行在銀行計算機網絡系統中的信息、數據���,不僅本質上代表著資金的運動�,而且從微觀上能反映某些企業的經濟活動�,從宏觀上能折射出國家的經濟運行情況���。因此��,在經濟競爭如此激烈的當今時代���,銀行網絡系統必然遭到各類黑客的“親睞”����。有的通過監視網絡數據截取信息���,從事經濟領域的間諜活動;有的未經授權擅自對計算機系統的功能進行修改���;有的進行信用卡詐騙和盜用資金�����;有的進行惡意破壞���,造成通信流量堵塞��;我國的電子商務工作屢遭挫折�����,很多原因是遭遇黑客�����,如2000年3月30日金融CA認證中心(由國內12家銀行發起的保障企業進行電子商務交易的組織)試發證書的消息公布不到1小時���,認證中心就遭到黑客的攻擊�。
4.面臨名目繁多的計算機病毒的威脅
計算機病毒數據,將導致計算機系統癱瘓�,程序和數據嚴重破壞,使網絡的效率和作用大大降低�,使許多功能無法使用或不敢使用�。雖然,至今尚未出現災難性的后果�,但層出不窮的各種各樣的計算機病毒活躍在各個角落����,大有一觸即發之勢��,令人堪憂����。
二.銀行計算機網絡系統的安全防范工作
筆者認為���,銀行計算機網絡系統的安全防范工作是一個極為復雜的系統
工程��,是人防和技防相結合的工程方案。在目前法律法規尚不完善的情況下���,首先是各級領導的重視,加強工作人員的責任心和防范意識�����,自覺執行各項安全制度���,在此基礎上,再采用一些先進的技術和產品�,構造全方位的防御機制���,使系統在理想的狀態下運行��。
1.加強安全制度的建立和落實工作
安全制度的建立也是一門科學。一定要根據本單位的實際情況和所采用
的技術條件���,參照有關的法規����、條例和其他單位的版本�,制定出切實可行又比較全面的各類安全管理制度��。主要有:操作安全管理制度��、場地與實施安全管理制度����、設備安全管理制度�、操作系統和數據庫安全管理制度、計算機網絡安全管理制度�����、軟件安全管理制度�、密鑰安全管理制度���、計算機病毒防治管理制度等。
制度的建立切不能流于形式�,重要的是落實和監督����。尤其是在一些細小的環節上更要注意。如系統管理員應定期及時審查系統日志和記錄����。重要崗位人員調離時,應進行注銷�,并更換業務系統的口令和密鑰��,移交全部技術資料���,但不少人往往忽視執行這一措施的及時性�����。還有防病毒制度規定����,要使用國家有關主管部門批準的正版查毒殺毒軟件適時查毒殺毒���,而不少人使用盜版殺毒軟件����,使計算機又染上了其他病毒����。另外,要強化工作人員的安全教育和法制教育�����,真正認識到計算機網絡系統安全的重要性和解決這一問題的長期性���、艱巨性及復雜性�����。決不能有依賴于先進技術和先進產品的思想��。技術的先進永遠是相對的�����。俗話說:“道高一尺��,魔高一丈”,今天有矛,明天就有盾����。安全工作始終在此消彼長的動態過程中進行����。只有依靠人的安全意識和主觀能動性,才能不斷地發現新的問題�����,不斷地找出解決問題的對策。
2.構造全方位的防御機制
筆者認為����,衡量一個網絡系統的安全性如何�����,至少應能保證其數據的保
密性���、完整性、可使用性及可審計性等。為達到這些要求應采用如下的防御機制:
要保證處于聯機數據文件系統或數據庫之中的以及網絡傳輸當中的保密信息不會非法地主動地或被動地提供給非授權人員���,系統資源只能被擁有資源訪問權的用戶所訪問,能鑒別訪問用戶身份���,保證合法用戶對系統資源的訪問和使用。其防御機制是:除了對關鍵數據進行級別較高的加密外���,還要建立訪問控制體系���,根據信息密級和信息重要性劃分系統安全域�,在安全域之間用安全保密設備(加密機、防火墻���、保密網關等),通過存取矩陣來限制用戶使用方式���,如只讀、只寫�、可讀寫����、可修改�����、可完全控制等�。
要使信息的安全性�、精確性、有效性不因種種不安全因素而降低�����,不會使存儲在數據庫中以及在網絡中傳輸的數據遭受任何形式的插入、刪除��、修改或重發���,保證合法用戶讀取、接收或使用的數據的真實性��。其防御機制是除了安裝“防火墻”和計算機病毒防治措施之外���,還要建立良好的備份和恢復機制,形成多層防線��。主要設備�����、軟件�����、數據���、電源等都有備份��,并具有在較短時間內恢復系統運行的能力�。
要使合法的用戶能正常訪問網絡的資源����,有嚴格時間要求的服務能得到及時響應,不會因系統的某些故障或誤操作而使資源丟失���,或妨礙對資源的使用�����,即使在某些不正常條件下也能正常運行。其防御機制主要靠系統本身所設計的功能來實現�。
要使網絡系統中的每一項操作都留有痕跡,記錄下操作的各種屬性����,并保留必要的時限��,以使各種犯罪行為有案可查��。其關鍵是建立監控體系和審計系統。集中式審計系統將各服務器和安全保密設備中的審計信息收集�、整理�����、分析匯編成審計報表�����,用來處理絕密級信息或信息內容���,特別重要的系統�,分布式審計系統的審計存放在各服務器和安全保密設備上�,用于系統安全保密管理員審查�。
3.采用先進的技術和產品
要構造上述的防御機制����,保證計算機網絡系統的安全性,還要采用一些先進的技術和產品�����。目前主要采用的相關技術和產品有以下幾種��。
①“防火墻”技術
“防火墻”是近年發展起來的一種重要安全技術�,是通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全的一種手段�����,它是電腦網絡之間的一種特殊裝置���,主要用來接收數據����,確認其來源及去處����,檢查數據的格式及內容,并依照用戶的規則傳送或阻止數據�。其類別主要有:應用層網關���、包過濾網關、服務器等���,它可與路由器結合��,按不同要求組成配置功能各異的防火墻�����。
②加密型網絡安全技術
這一類技術的特征是利用現代的數據加密技術來保護網絡系統中包括用
戶數據在內的所有數據流�,只有指定的用戶或網絡設備才能夠解譯加密數據,從而在不對網絡環境作特殊要求的前提下從根本上保證網絡信息的完整性和可用性�����。這種以數據和用戶確認為基礎的開放型安全保障技術是比較適用的���,是對網絡服務影響較小的一種途徑�����,可望成為網絡安全問題的最終的一體化解決途徑��。
③漏洞掃描技術
漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術�,通過執行一些腳本文件對系統進行攻擊并記錄它的反應��,從而發現其中的漏洞�。它查詢TCP/IP端口,并記錄目標的響應�����,收集關于某些特定項目的有用信息���,如正在進行的服務,擁有這些服務的用戶�,是否支持匿名登錄��,是否有某些網絡服務需要鑒別等����,可以用來為審計收集初步的數據��。
④入侵檢測技術
入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和
第3篇
隨著信息產業的高速發展����,眾多企業都利用互聯網建立了自己的信息系統�����,以充分利用各類信息資源。但是我們在享受信息產業發展帶給我們的便利的同時���,也面臨著巨大的風險���。我們的系統隨時可能遭受病毒的感染���、黑客的入侵�,這都可以給我們造成巨大的損失。本文主要介紹了信息系統所面臨的技術安全隱患�����,并提出了行之有效的解決方案���。
關鍵字:信息系統信息安全身份認證安全檢測
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一��、目前信息系統技術安全的研究
1.企業信息安全現狀分析
隨著信息化進程的深入����,企業信息安全己經引起人們的重視,但依然存在不少問題����。一是安全技術保障體系尚不完善��,企業花了大量的金錢購買了信息安全設備�����,但是技術保障不成體系�,達不到預想的目標:二是應急反應體系沒有經?���;⒅贫然?三是企業信息安全的標準�����、制度建設滯后�����。
2003年5月至2004年5月���,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%���。調查結果表明���,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱�。其中���,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的“%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%.
對于網絡安全管理情況的調查:調查表明�����,近年來����,使用單位對信息網絡安全管理工作的重視程度普遍提高�,80%的被調查單位有專職或兼職的安全管理人員�����,12%的單位建立了安全組織,有2%的單位請信息安全服務企業提供專業化的安全服務�。調查表明�,認為單位信息網絡安全防護能力“較高”和“一般”的比較多,分別占44%�����。但是����,被調查單位也普遍反映用戶安全觀念薄弱��、安全管理員缺乏培訓����、安全經費投入不足和安全產品不能滿足要求等問題�,也說明目前安全管理水平和社會化服務的程度還比較低���。
2.企業信息安全防范的任務
信息安全的任務是多方面的���,根據當前信息安全的現狀,制定信息安全防范的任務主要是:
從安全技術上���,進行全面的安全漏洞檢測和分析�����,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻���、網絡防病毒軟件�、入侵檢測系統���、建立安全認證系統等安全系統。
從安全管理上���,建立和完善安全管理規范和機制��,切實加強和落實安全管理制度����,增強安全防范意識�。
信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源��、實體���、載體)穩定可靠地運行、受控合法地使用����。信息安全:保障存儲�、傳輸�����、應用的機密性(Confidentiality)���、完整性(Integrity)�、抗否認性(non-Repudiation),可用性(Availability)�。其他安全:病毒防治��、預防內部犯罪����。
二、計算機網絡中信息系統的安全防范措施
(一)網絡層安全措施
①防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術����,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚��。
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合���。它是不同網絡或網絡安全域之間信息的唯一出入口����,能根據企業的安全政策控制(允許��、拒絕����、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力���。它是提供信息安全服務����,實現網絡和信息安全的基礎設施����。在邏輯上��,防火墻是一個分離器����,一個限制器���,也是一個分析器,有效地監控了內部網和Internet之間的任何活動�,保證了內部網絡的安全。
防火墻是網絡安全的屏障:一個防火墻(作為阻塞點�����、控制點)能極大地提高一個內部網絡的安全性��,并通過過濾不安全的服務而降低風險���。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全�。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令�����、加密���、身份認證�、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻����,那么�,防火墻就能記錄下這些訪問并做出日志記錄�����,同時也能提供網絡使用情況的統計數據����。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離��,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響��。除了安全作用�,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN����。通過VPN����,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體�����。不僅省去了專用通信線路�,而且為信息共享提供了技術保障���。
②入侵檢測技術
IETF將一個入侵檢測系統分為四個組件:事件產生器(EventGenerators)��;事件分析器(EventAnalyzers)�����;響應單元(ResponseUnits)和事件數據庫(EventDataBases)。事件產生器的目的是從整個計算環境中獲得事件��,并向系統的其他部分提供此事件�����。事件分析器分析得到的數據����,并產生分析結果��。響應單元則是對分析結果做出反應的功能單元����,它可以做出切斷連接�、改變文件屬性等強烈反應����,也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱�,它可以是復雜的數據庫��,也可以是簡單的文本文件��。
根據檢測對象的不同���,入侵檢測系統可分為主機型和網絡型?�;谥鳈C的監測���。主機型入侵檢測系統就是以系統日志、應用程序日志等作為數據源�����,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析�。主機型入侵檢測系統保護的一般是所在的系統。這種系統經常運行在被監測的系統之上�����,用以監測系統上正在運行的進程是否合法����。最近出現的一種ID(IntrusionDetection):位于操作系統的內核之中并監測系統的最底層行為。所有這些系統最近已經可以被用于多種平臺���。網絡型入侵檢測。它的數據源是網絡上的數據包����。往往將一臺機子的網卡設于混雜模式(PromiseMode)����,對所有本網段內的數據包并進行信息收集,并進行判斷����。一般網絡型入侵檢測系統擔負著保護整個網段的任務。
對各種事件進行分析�����,從中發現違反安全策略的行為是入侵檢測系統的核心功能����。從技術上��,入侵檢測分為兩類:一種基于標志(CSignature-Based)�,另一種基于異常情況(Abnormally-Based)���。
(二)服務器端安全措施只有正確的安裝和設置操作系統��,才能使其在安全方面發揮應有的作用。下面以WIN2000SERVER為例�。
①正確地分區和分配邏輯盤。
微軟的IIS經常有泄漏源碼/溢出的漏洞�,如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN����。本系統的配置是建立三個邏輯驅動器�����,C盤20G,用來裝系統和重要的日志文件�����,D盤20G放IIS,E盤20G放FTP���,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。因為���,IIS和FTP是對外服務的�����,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行��。
②正確
地選擇安裝順序�����。
一般的人可能對安裝順序不太重視,認為只要安裝好了����,怎么裝都可以的�。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機����。Win2000在安裝中有幾個順序是一定要注意的:
首先,何時接入網絡:Win2000在安裝時有一個漏洞�,在你輸入Administrator密碼后����,系統就建立了ADMIN$的共享,但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續到你再次啟動后����,在此期間����,任何人都可以通過ADMIN$進入你的機器��;同時,只要安裝一完成���,各種服務就會自動運行,而這時的服務器是滿身漏洞����,非常容易進入的,因此��,在完全安裝并配置好Win2000SERVER之前���,一定不要把主機接入網絡。
其次�����,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后�,因為補丁程序往往要替換/修改某些系統文件����,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝��,盡管很麻煩�,卻很必要�����。
(三)安全配置
①端口::端口是計算機和外部網絡相連的邏輯接口���,從安全的角度來看��,僅打開你需要使用的端口會比較安全���,配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選��,不過對于Win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口����,不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。
②IIS:IIS是微軟的組件中漏洞最多的一個��,平均兩三個月就要出一個漏洞���,而微軟的IIS默認安裝又實在不敢恭維�����,所以IIS的配置是我們的重點,所以在本系統的WWW服務器采取下面的設置:
首先�,把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉��,在D盤建一個Inetpub在IIS管理器中將主目錄指向D:\Inetpub���。
其次���,在IIS安裝時默認的scripts等虛擬目錄一概刪除��,這些都容易成為攻擊的目標����。我們雖然已經把Inetpub從系統盤挪出來了,但這樣作也是完全必要的���。如果需要什么權限的目錄可以在需要的時候再建���,需要什么權限開什么。特別注意寫權限和執行程序的權限��,沒有絕對的必要千萬不要給����。
③應用程序配置:在IIS管理器中刪除必須之外的任何無用映射���,必須指出的是ASP,ASP和其它確實需要用到的文件類型���。我們不需要IIS提供的應用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射�,然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性�����。
經過了Win2000Server的正確安裝與正確配置����,操作系統的漏洞得到了很好的預防,同時增加了補丁�,這樣子就大大增強了操作系統的安全性能���。
雖然信息管理系統安全性措施目前已經比較成熟����,但我們切不可馬虎大意�,只有不斷學習新的網絡安全知識�、采取日新月異的網絡安全措施,才能保證我們的網絡安全防御真正金湯����。
參考文獻:
劉海平�����,朱仲英.一個基于ASP的在線會員管理信息系統.微型電腦應用.2002(10)
東軟集團有限公司��,NetEye防火墻使用指南3.0��,1-3
賈晶�����,陳元���,王麗娜編著,信息系統的安全與保密�����,第一版�,1999.01�����,清華大學出版社
EricMaiwald����,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
楊兵.網絡系統安全技術研究及其在寶鋼設備采購管理系統中的應用:(學位論文).遼寧:東北大學�,2002
劉廣良.建設銀行計算機網絡信息系統安全管理策略研究:(學位論文).湖南:湖南大學.2001
第4篇
隨著我國地鐵建設迅速發展�����,加之地鐵工程規模大���,周邊建筑物與地下管線情況復雜����,地面交通繁忙�����,地質條件不確定性因素多����,而安全管理沒有跟上���,缺少實時監測和風險評估,安全事故時有發生��。文獻[1]統計了我國2003—2011年地鐵隧道施工事故數據資料��,坍塌��、物體打擊����、高處墜落是地鐵隧道施工中的主要事故類型,上述事故約占總數的40%��,同時�,事故造成的經濟損失和人員傷亡十分嚴重���。安全無小事,細節決定成敗�。目前安全管理比以前有了很大的進步,例如文獻[2-16]介紹了幾款施工安全監控管理信息系統����,主要實現位移監測�、軸力監測、測斜監測�、視頻監測等數據的遠程傳輸�、監測數據分析預警、門禁等功能��;文獻[16-18]介紹了施工安全風險自動識別�����、風險的信息化管理等技術與實現效果����;文獻[19]介紹了一款用于應急組織�����、培訓演練����、響應調度���、輔助決策的基于GIS的網絡系統。從查閱的大量文獻來看����,目前絕大部分的系統主要實現安全監測預警功能,也有關于施工風險的自動識別��、應急響應的相關研究����,大大降低了地鐵施工風險程度。在信息共享的今天�����,只有實現多功能的集成����,才能發揮安全管理的效率最大化�����。目前地鐵施工信息化管理還未實現人員����、機械設備����、環境、工程結構物、臨時設施�、周圍既有設施設備等的精細化管理�����,不安全狀態與不安全行為的智能化評判�����,以及人-機、機-機�����、機-建之間等的智能沖突分析����,在風險預測預警����、隱患辨識等方面也有待進一步研發。因此��,有必要研究開發能夠實現人員��、機械設備�、工程結構物、臨時設施的安全管理�,以及沖突分析和可視化動態監測預測預警等功能于一體的地鐵施工安全風險分析與管理遠程網絡系統(以下簡稱系統)�。
1系統功能需求
系統應實現以下功能。1)基礎信息管理�����。①人員安全基礎信息管理�����。有專家對事故發生原因進行統計分析���,結果表明人為因素導致的事故占80%以上����,而性別、年齡�����、是否飲酒、睡眠情況�����、反應敏捷性���、性情等有差異的人員發生安全事故的概率亦有不同�����,即使是同一個人���,其各種狀態也經常變化[20]。因此�,系統應能動態管理施工人員的上述信息��。②機械設備安全基礎信息管理��。任何一種機械由于自身的性能�、結構等特性,都有一定的使用技術要求���,機械設備在使用過程中�,其性能狀態是動態變化的�����。因此����,系統應動態把握機械設備的性能狀態�����。③環境安全基礎信息管理�。工作環境不僅影響著施工人員的工作質量���,還會影響施工人員在工作中的精神狀態。特殊的自然環境如雨雪天氣����、大風天氣����、高低溫環境����、密閉空間等對施工人員的安全行為和心理會造成很大的危害和影響[20]����。以特殊天氣條件為例:雪天時路面、工程結構物�、機械設備上濕滑�,設備移動過程中制動困難易發生沖撞與傾覆事故���,工人在工程結構物和機械設備上作業易發生高處墜落事故��;雨天易發生城市內澇,若排水不暢����,車站基坑易積水發生坍塌事故;若高聳機械設備防雷措施不當��,則雷雨天還可能發生雷擊事故�����;霧霾天氣能見度變小���,也易引發安全事故;6級強風以上則易引起高聳設備���、圍擋被風吹倒并進一步造成路面社會交通事故�。因此���,系統應能實現對環境信息的動態管理����。④工程結構物信息管理���。工程結構物的三維地理信息、工程進度信息等與安全風險分析有極為密切的關系�����,因此,系統應能動態管理工程結構物的基本信息和進度信息����。⑤臨時設施信息管理����。主要包括施工圍擋、豎井��、斜井�、施工材料堆放場�����、臨時辦公與生活用房等����。正是由于臨時設施的臨時性�����,往往易被忽略而引發安全事故�,因此應納入系統進行動態管理。⑥周邊既有建(構)筑物�����、市政管線��、路面等既有設備設施信息管理�。2)監控信息管理�����。系統應能為施工開展提供及時的反饋信息����,為車站基坑周圍環境進行及時��、有效的保護提供依據�,并將監測結果用于反饋優化設計��,為改進設計提供依據����;通過對監測數據與理論值的比較分析,可以檢驗設計理論的正確性�����;在施工全過程中�����,通過對既有地面和地下建(構)筑物各項指標的監測��,將結構變形嚴格控制在標準限值內��,保證既有建(構)筑物的安全等[2-5]�。3)不安全狀態與不安全行為分析評判���。人員、機械設備的不安全狀態和人員的不安全行為是導致施工事故的關鍵[20]����,因此��,系統應能輔助安全管理人員對人員的不安全狀態和行為進行分析評判����,并將施工人員(尤其是安全人員)安排到最合適的工作崗位上。系統還應能輔助安全管理人員分析機械設備���,尤其是高聳機械、大型施工裝備的不安全狀態��,以便對機械設備故障進行有效預防���,并對可能的安全事故進行防控。4)沖突風險分析�����。人員與機械混合作業��、多機混合作業時�,人員與機械設備之間����、機械設備與機械設備之間、機械設備與工程結構物之間���、機械設備與地面社會交通之間可能發生沖突事故��,系統應能進行三維沖突分析�,以便輔助安全管理人員分析高風險點�、高風險區域以及高危作業的基本情況��。5)風險預測與事故預警��。6)安全隱患辨識與管理���。7)應急處理方案管理與智能選擇。8)事故逃生與救援指揮�。
2系統開發思路
從前述的系統功能需求來看,施工人員�、機械設備��、工程結構物�����、既有建(構)筑物��、既有市政管線��、地面社會交通之間的空間沖突分析���,人員逃生路線分析����,事故救援方案分析,救援物資調配方案研究等功能的實現��,都離不開三維空間位置信息的采集���、存儲、管理�、描述以及對空間數據信息的操作、分析����、模擬和可視化顯示�。因此,系統應運用三維地理信息系統(3DGIS)來實現�����,例如采用ArcGIS3D�。因需要進行遠程監控與管理����,還應采用網絡系統[11]??梢暬_發環境主要考慮系統的反應速度�、健壯性以及快速開發,例如采用C#�,VB.NET等作為集成開發環境��?�?紤]到空間數據和屬性數據之間的無縫連接��,系統宜利用Oracle等大型空間數據庫管理系統來管理空間數據和屬性數據�。從控制系統開發成本來考慮��,在滿足系統性能基本要求的前提下�����,也可以采用MicrosoftSQLServer等數據庫管理系統對屬性數據進行管理����,空間數據����、施工圖和竣工圖等則以文件形式進行管理�����。
3系統總體結構設計
系統通過對屬性數據庫和空間數據庫的數據訪問��,實現數據錄入和管理��,并可對其進行分析統計和查詢�,實現不安全狀態與行為評判�����、沖突風險分析、特殊天氣風險分析����、預測預警、應急處理方案智能選擇�����、事故逃生救援指揮等功能��。除此以外���,為了維護系統安全和方便用戶使用,還應設計系統維護功能���。系統總體結構如圖1所示���。1)基礎信息管理���。①人員安全基礎信息管理:應包括所屬單位��、所屬標段���、人員類型(項目經理、安全總監���、安全員��、技術人員���、施工隊長�����、施工小組長��、普通工人、特種作業人員等)�、出生年月、性別�����、職務(或工種)��、學歷���、工作經驗�����、身體狀態、心理狀態���、安全培訓考核情況�����、作業地點(針對作業人員)等信息。②機械設備安全基礎信息管理:應包括機械設備與裝備的類別(盾構機�����、土石方機械�����、混凝土機械、起重及運輸機械���、鋼筋加工及焊接機械、裝飾裝修機械���、腳手架等)�、名稱����、型號�、所屬單位���、性能狀態、責任人��、檢修情況���、驗收記錄、安全交底情況等信息。③環境安全基礎信息管理:應區分自然環境和社會環境��,自然環境應包括特殊天氣類型�����、風力等級�、風向�、能見度、氣溫���、密閉空間含氧量、地下空間潮濕程度等信息�,社會環境應包括項目部安全文化建設情況、安全制度制定情況�、安全獎懲制度實施情況�、安全交底通暢情況、施工人員之間是否和諧等信息����。④工程結構物信息管理:應包括結構物各部位的三維地理信息、工程進度信息�����、結構強度增長信息等����。⑤臨時設施信息管理:應包括臨時設施類型、地理位置�、平面布置����、高度等動態信息。⑥既有設備設施信息管理:應區分建筑物��、構筑物�����、路面�、市政管線����。建(構)筑物應包括基礎類型�����、基礎埋深���、結構形式����、建筑物高度�、建筑物與地鐵水平距離���、監測斷面距開挖面水平距離�����、已用年限、裂縫和傾斜度等信息���;路面應包括路面類型����、路面寬度��、交通荷載情況��、路面距離基坑邊緣的距離�����;市政管線則應包括管線材質����、接頭類型���、管線壓力�、管線埋深���、管線外徑、管線與基坑邊緣水平距離���、監測斷面與開挖面水平距離以及管線張開角����、埋設年代�����、鋪設方法����、截面形狀等信息���。2)監控信息管理����。利用高清音視頻采集�、傳輸和處理技術����,直觀且全方位地了解施工現場情況,輔助決策和指揮����。利用位移傳感器����、溫度傳感器���、濕度傳感器、氧含量傳感器等測得鄰近建(構)筑物變形�、車站基坑變形�、區間隧道變形、工作環境溫度����、工作環境濕度��、地下空間氧含量等信息�����,通過光纖等傳輸介質實時傳輸給系統�����。3)不安全狀態與不安全行為分析評判����。利用專家模糊評價法對人員和機械設備不安全狀態進行分析,根據變形監測信息對基坑坍塌��、鄰近建(構)筑物開裂傾覆等進行風險分析�����,采用模糊評價法��、計算分析法等評價風險嚴重程度等級和概率等級��。4)沖突風險分析���。利用3DGIS的空間分析功能�,分析某一正進行人工作業的工人是否位于機械設備(例如挖掘機)的回轉半徑、傾覆半徑之內��,對2個及以上的大型施工裝備(機械)進行回轉半徑重疊分析和傾覆半徑沖突分析���,對大型施工裝備(機械)和工程結構物(或臨時設施)之間的沖撞可能性進行分析,對高聳機械設備傾倒半徑與地面社會交通之間進行重疊分析��,對事故的多米諾骨牌效應(即某一事故可能引發一連串事故)風險進行分析��,采用模糊評價法����、計算分析法等評價風險嚴重程度等級和概率等級。以塔式起重機和履帶式起重機之間的沖撞為例進行分析��,當塔式起重機和履帶式起重機同時作業時��,塔式起重機起重臂旋轉空域與履帶式起重機吊臂的變幅和轉動空域有重疊���,如圖2所示。若將GPS接收機OEM板分別安裝于履帶吊和塔式起重機的回轉中心(便于安裝且不易損壞的位置)����,則可即時獲得履帶吊和塔式起重機的回轉中心的的坐標����,當兩者的距離小到一定值時,履帶式起重機和塔式起重機空間區域可能有重疊����,即兩者存在沖撞的風險��。由于信號傳輸需要時間導致OEM版接收數據會有滯后性,所以當兩者趨于接近時����,就應該觸發警報,提醒司機注意����,若司機未采取相應措施����,系統可控制起重機停車��。5)特殊天氣風險分析��。利用從氣象部門獲取的天氣預報信息����,分析特殊天氣可能導致的風險��,并分析特殊天氣最不利組合(例如:強風+暴雨+雷電��、強風+暴雪�、強風+霧霾)可能導致的風險,采用模糊評價法�����、計算分析法等評價風險嚴重程度等級和概率等級��。6)風險預測���、事故預警。系統根據各種數據(基礎信息��、監測信息����、天氣信息����、風險嚴重程度等級和概率等級、沖突分析結果)生成報表�、變形曲線圖���、變形速率圖等��,并對風險進行綜合分析預測���,計算各項風險的風險值����,與系統預設的分級預警值進行比較���,一旦達到預設的某一級別預警值,系統立即發出相應級別警告��,可供選擇的警告方式有:①電腦音響警報(針對系統管理員);②手機警報(該方式需要與移動通訊服務商簽訂協議�,系統可實現群呼叫。手機內設置多種風險語音報警鈴聲����,不同類型風險按照通訊錄群組來劃分�����,不同通訊錄群組設置不同的風險報警鈴聲�����,一旦系統監測或分析出來某種事故征兆或安全隱患���,立即自動撥打相應施工人員手機���。這種方式用于地下空間時,可能因為信號不暢而需要在地下空間設置手機信號站)�;③對講機報警(系統設計網絡模擬對講機功能��,一旦系統監測或分析出來某種事故征兆或安全隱患�����,立即通過預設語音自動進行對講機呼叫����,也可以由系統管理員手持實體對講機進行呼叫)���;④通過埋設在隧道和基坑內的警報器發出報警��。7)安全隱患辨識與管理��。應包括隱患編號�����、隱患名稱���、狀態描述��、現場照片���、危害等級、位置�、辨識人��、責任人�����、責任單位����、是否解決���、解決措施�、解決效果等信息�。8)應急處理方案選擇�����。系統應能根據險情位置�����、類型等從應急預案庫中自動調出可供選用的應急預案�,安全管理人員可根據現場實際情況選擇合適的應急預案�,并由現場具體實施。9)事故逃生與救援指揮���。系統能夠指導施工人員在事故前進行緊急避險�,指導施工人員在事故發生后進行安全逃生�,并能夠立即調出救援預案�,利用GIS的網絡分析功能為施工救援提供物資調配、救援人員調遣等參考信息[19]����。10)系統維護。包括系統軟硬件安全維護���、用戶權限等數據維護��、系統使用幫助�����。
4與現有系統的對比
基于3DGIS的地鐵施工安全風險遠程網絡系統與現有可視化監控系統(包括視頻監控系統、考勤定位系統���、LED顯示系統、無卡報警系統��、管理系統等)相比��,功能進一步拓展,更加智能化�、集成化、可視化�����,具體的功能比較見表1�。安全資金投入方面,前者主要增加的投入是3DGIS系統平臺軟件的購買和開發費用��,以ArcGIS3D為例���,購買費用約3.1萬元。前者比后者還需要增加系統開發費用約30萬元����,但軟件系統可復制在多個施工項目部使用,因此系統開發費用是可以接受的�����。位移�����、溫度��、濕度��、氧含量監控可采用光纖傳感器��,也可采用無線傳輸���,所需增加的只有溫度、濕度�����、氧含量傳感器的購置費用����,對資金投入影響不大���。適用性方面�,前者主要是硬件系統���,未實現智能集成,在信息共享方面也有所欠缺����,仍需要人員在監控室全方位安全監視、高強度地分析����,人為因素偏大,更不利于安全風險的綜合分析與評判預警��;后者則可軟硬件良好配合�����,軟件系統充分集成各硬件監測信息����,并將監測信息與基礎信息進行綜合管理與分析�,可大大減輕監視人員的工作強度���,提高風險監控的工作效率���,真正實現“人機環基礎信息管理—動態監控信息管理—沖突分析—隱患辨識與管理—風險預測預警—事故救援指揮”的全流程、全方位的安全精細化管理�。
5結論與建議
第5篇
1.1公安網絡系統中軟件設計問題
由于公安網絡系統的安全防護軟件的開發周期與早期的系統分析不適合當前安全防護形勢的原因。其公安網絡操作系統與應用軟件中存在很多的安全樓同�����,這些漏洞的存在將對網絡的正常運行構成很大的隱患�����。
1.2病毒的防護漏洞
公安網絡目前對網絡病毒的防護手段十分有限����,沒有建立專用的計算及病毒防護中心�、監控中心,這同樣對公安網絡的安全造成巨大隱患��,“尼姆達”與“2003蠕蟲王”等網絡病毒曾對公安網絡造成想打的危害��,造成網絡擁堵�、降低性能�����,嚴重擾亂了公安系統的正常工作秩序��。
1.3信息安全的管理體制不完善
公安網絡系統是與公共網絡物理隔離的系統����,但是還未在整體上建立完善的安全結構體系����,在管理上缺乏安全標準以及使用條例�,甚至有些地方公安網絡中的計算機出現公安網絡與公共網絡同時使用的現象,這都對公安網絡的信息安全帶來不可忽視的安全威脅���,使非法入侵者有著可乘之機����。
2公安網絡的信息安全體系結構設計
公安網絡的信息安全體系結構設計��,是一項非常復雜的系統工程����,該體系對安全的需求是多層次����,多方面的����。因此本文設計了比較完整的安全體系結構模型���,以保障整個系統的完備性以及安全性,為公安網絡的信息安全提供切實有效的安全服務保障���。本文在借鑒了多種成熟的信息網絡安全體系結構�,并且根據國家公安部提出的具體保障體系的指導思想���,設計了適應我國公安網絡的信息安全體系。該體系從安全服務��、協議層次以及系統單元三個維度�,綜合立體的對公安信息網絡的安全體系進行了設計。這個三個層次均包含了安全管理模塊����。
2.1協議層次維度
本文從網絡的七層協議模型來設計公安網絡的安全體系結構中的協議層次��。每一個協議層次都有專屬的安全機制�����。對于某一項安全服務���,安全實現機制隨著協議層次的不同而不同����。例如���,審計跟蹤的安全服務項目在網絡層,主要對審計記錄與登錄主機之間的流量進行分析�,對非法入侵進行實時監測�。病毒防護層一般在應用層實現,一般用來對訪問事件進行監控����,監控內容為用戶身份,訪問IP�����,訪問的應用等等進行日志統計���。
2.2安全服務維度
公安網絡的信息安全體系中包括的安全服務有��,身份識別認證����、訪問控制權限����、數據完整性和保密性以及抗抵賴組成了安全服務模型����。在安全服務模型中,每一個安全服務對應著不同類別的應用�。這幾種安全服務模型不是獨立的是互相聯系著的�����。進入公安網絡安全體系的主體登錄系統時����,要進行身份識別認證����,并且查找授權數據庫�����,以獲得主體訪問的權限�,如果通過驗證與授權���,則對訪問信息進行加密返回至主體,主體通過解析進行信息獲取��。并且�����,主體訪問的過程被審計跟蹤監測模塊記錄,生成訪問日志�,以便日后進行查驗。
2.3系統單元維度
公安網絡的信息安全體系的實施階段����,上述安全服務與協議等要集成在物理單元上,從系統單元的維度看�,可分為以下幾個層次。首先�����,物理環境安全����,該層次保護計算機信息系統的基本設施安全,能夠有能力應對自然災害以及人為物理誤操作對安全體系的基礎設施的干擾以及破壞���。其次,網絡平臺的安全�����,主要保證網絡的安全可靠運行�,保障通過交換機等網絡設備的信息的安全��。最后是應用系統的安全��,該層次提供了訪問用戶的身份認證���、數據的保密性以及完整性�����,權限訪問等����。
3總結
第6篇
2通信網絡安全的定義及其重要性
可以從不同角度對網絡安全作出不同的解釋���。一般意義上��,網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性��、可用性��、保密性和可靠性”�;控制安全則指身份認證�、不可否認性�����、授權和訪問控制。
當今社會��,通信網絡的普及和演進讓人們改變了信息溝通的方式�,通信網絡作為信息傳遞的一種主要載體���,在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯����。這種關聯一方面帶來了巨大的社會價值和經濟價值�,另一方面也意味著巨大的潛在危險--一旦通信網絡出現安全事故,就有可能使成千上萬人之間的溝通出現障礙�,帶來社會價值和經濟價值的無法預料的損失�。
3通信網絡安全現狀
互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享�、開放、靈活和快速等需求得到滿足�����。網絡環境為信息共享��、信息交流�、信息服務創造了理想空間,網絡技術的迅速發展和廣泛應用�����,為人類社會的進步提供了巨大推動力����。然而����,正是由于互聯網的上述特性,產生了許多安全問題�����。
計算機系統及網絡固有的開放性����、易損性等特點使其受攻擊不可避免���。
計算機病毒的層出不窮及其大范圍的惡意傳播,對當今日愈發展的社會網絡通信安全產生威脅���。
現在企業單位各部門信息傳輸的的物理媒介���,大部分是依靠普通通信線路來完成的��,雖然也有一定的防護措施和技術,但還是容易被竊取����。
通信系統大量使用的是商用軟件,由于商用軟件的源代碼��,源程序完全或部分公開化���,使得這些軟件存在安全問題。
4通信網絡安全分析
針對計算機系統及網絡固有的開放性等特點���,加強網絡管理人員的安全觀念和技術水平����,將固有條件下存在的安全隱患降到最低��。安全意識不強����,操作技術不熟練,違反安全保密規定和操作規程����,如果明密界限不清,密件明發����,長期重復使用一種密鑰,將導致密碼被破譯���,如果下發口令及密碼后沒有及時收回,致使在口令和密碼到期后仍能通過其進入網絡系統���,將造成系統管理的混亂和漏洞�。為防止以上所列情況的發生��,在網絡管理和使用中����,要大力加強管理人員的安全保密意識�。
軟硬件設施存在安全隱患�。為了方便管理��,部分軟硬件系統在設計時留有遠程終端的登錄控制通道,同時在軟件設計時不可避免的也存在著許多不完善的或是未發現的漏洞(bug)��,加上商用軟件源程序完全或部分公開化����,使得在使用通信網絡的過程中,如果沒有必要的安全等級鑒別和防護措施�,攻擊者可以利用上述軟硬件的漏洞直接侵入網絡系統�,破壞或竊取通信信息。
傳輸信道上的安全隱患�����。如果傳輸信道沒有相應的電磁屏蔽措施��,那么在信息傳輸過程中將會向外產生電磁輻射��,從而使得某些不法分子可以利用專門設備接收竊取機密信息���。
另外��,在通信網建設和管理上���,目前還普遍存在著計劃性差。審批不嚴格���,標準不統一,建設質量低�����,維護管理差�,網絡效率不高,人為因素干擾等問題��。因此�����,網絡安全性應引起我們的高度重視�。
5通信網絡安全維護措施及技術
當前通信網絡功能越來越強大,在日常生活中占據了越來越重要的地位�����,我們必須采用有效的措施��,把網絡風險降到最低限度�����。于是,保護通信網絡中的硬件��、軟件及其數據不受偶然或惡意原因而遭到破壞����、更改、泄露�,保障系統連續可靠地運行����,網絡服務不中斷,就成為通信網絡安全的主要內容��。
為了實現對非法入侵的監測����、防偽���、審查和追蹤�����,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級���,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽�,從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性��,即便被截獲也會由于在不同協議層中加入了不同的加密機制��,將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認����,以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”��,一般是通過數據檢查核對的方式達成的����,數據檢查核對方式通常有兩種,一種是邊發送接收邊核對檢查����,一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞,同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息�����。
為了實現實現上述的種種安全措施��,必須有技術做保證�����,采用多種安全技術,構筑防御系統����,主要有:
防火墻技術。在網絡的對外接口采用防火墻技術���,在網絡層進行訪問控制��。通過鑒別,限制,更改跨越防火墻的數據流����,來實現對網絡的安全保護,最大限度地阻止網絡中的黑客來訪問自己的網絡�,防止他們隨意更改、移動甚至刪除網絡上的重要信息�����。防火墻是一種行之有效且應用廣泛的網絡安全機制�����,防止Internet上的不安全因素蔓延到局域網內部���,所以,防火墻是網絡安全的重要一環���。
入侵檢測技術����。防火墻保護內部網絡不受外部網絡的攻擊��,但它對內部網絡的一些非法活動的監控不夠完善��,IDS(入侵檢測系統)是防火墻的合理補充�����,它積極主動地提供了對內部攻擊����、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵���,提高了信息安全性。
網絡加密技術�����。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取����,是網絡安全的核心����。采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性、完整性����,它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。
身份認證技術�。提供基于身份的認證,在各種認證機制中可選擇使用����。通過身份認證技術可以保障信息的機密性、完整性��、不可否認性及可控性等功能特性���。
虛擬專用網(VPN)技術。通過一個公用網(一般是因特網)建立一個臨時的���、安全的連接�����,是一條穿過混亂的公用網絡的安全����、穩定的隧道����。它通過安全的數據通道將遠程用戶、公司分支機構��、公司業務伙伴等跟公司的內網連接起來�����,構成一個擴展的公司企業網���。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中�。
漏洞掃描技術。面對網絡的復雜性和不斷變化的情況���,僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估����,顯然是不夠的,我們必須通過網絡安全掃描工具��,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患�。在要求安全程度不高的情況下,可以利用各種黑客工具���,對網絡模擬攻擊從而暴露出網絡的漏洞��。
第7篇
關鍵詞:網絡安全���;病毒防范�;防火墻
0引言
如何保證合法網絡用戶對資源的合法訪問以及如何防止網絡黑客的攻擊,已經成為網絡安全的主要內容����。
1網絡安全威脅
1.1網絡中物理的安全威脅例如空氣溫度、濕度����、塵土等環境故障、以及設備故障�、電源故障、電磁干擾����、線路截獲等�����。
1.2網絡中信息的安全威脅①蠕蟲和病毒��。計算機蠕蟲和病毒是最常見的一類安全威脅��。蠕蟲和病毒會嚴重破壞業務的連續性和有效性。隨著病毒變得更智能���、更具破壞性���,其傳播速度也更快,甚至能在片刻間使信息處理處于癱瘓狀態�����,而要清除被感染計算機中的病毒所要耗費的時一間也更長����。②黑客攻擊���?!昂诳汀币辉~由英語Hacker英譯而來�,原意是指專門研究、發現計算機和網絡漏洞的計算機愛好者?����,F如今主要用來描述那些掌握高超的網絡計算機技術竊取他人或企業部門重要數據從中獲益的人�����。黑客攻擊主要包括系統入侵�����、網絡監聽���、密文破解和拒絕服務(DtS)攻擊等。
2網絡安全技術
為了消除上述安全威脅���,企業��、部門或個人需要建立一系列的防御體系���。目前主要有以下幾種安全技術:
2.1密碼技術在信息傳輸過程中,發送方先用加密密鑰�����,通過加密設備或算法�,將信息加密后發送出去,接收方在收到密文后����,用解密密鑰將密文解密,恢復為明文���。如果傳輸中有人竊取,也只能得到無法理解的密文�,從而對信息起到保密作用。
2.2身份認證技術通過建立身份認證系統可實現網絡用戶的集中統一授權�����,防止未經授權的非法用戶使用網絡資源�。在網絡環境中,信息傳至接收方后��,接收方首先要確認信息發送方的合法身份����,然后才能與之建立一條通信鏈路����。身份認證技術主要包括數字簽名、身份驗證和數字證明�。
2.3病毒防范技術計算機病毒實際上是一種惡意程序,防病毒技術就是識別出這種程序并消除其影響的一種技術�����。從防病毒產品對計算機病毒的作用來講����,防病毒技術可以直觀地分為病毒預防技術�����、病毒檢測技術和病毒清除技術�。
①病毒預防技術。計算機病毒的預防是采用對病毒的規則進行分類處理���,而后在程序運作中凡有類似的規則出現則認定是計算機病毒���。病毒預防技術包括磁盤引導區保護、加密可執行程序�����、讀寫控制技術和系統監控技術等����。②病毒檢測技術。它有兩種:一種是根據計算機病毒的關鍵字��、特征程序段內容��、病毒特征及傳染方式���、文件長度的變化,在特征分類的基礎上建立的病毒檢測技術���;另一種是不針對具體病毒程序的自身校驗技術�,即對某個文件或數據段進行檢驗和計算并保存其結果�,以后定期或不定期地以保存的結果對該文件或數據段進行檢驗��,若出現差異���,即表示該文件或數據段完整性己遭到破壞��,感染上了病毒����,從而檢測到病毒的存在���。③病毒清除技術�。計算機病毒的清除技術是計算機病毒檢測技術發展的必然結果���,是計算機病毒傳染程序的一個逆過程���。目前���,清除病毒大都是在某種病毒出現后����,通過對其進行分析研究而研制出來的具有相應解毒功能的軟件。這類軟件技術發展往往是被動的����,帶有滯后性。而且由于計算機軟件所要求的精確性�,殺毒軟件有其局限性,對有些變種病毒的清除無能為力����。
2.4入侵檢測技術入侵檢測技術是一種能夠及時發現并報告系統中未授權或異?���,F象的技術,也是一種用于檢測計算機網絡中違反安全策略行為的技術�。
入侵檢測系統所采用的技術可分為特征檢測與異常檢測兩種。
①特征檢測的假設是入侵者活動可以用一種模式來表示���,系統的目標是檢測主體活動是否符合這些模式���。它可以將己有的入侵方法檢查出來��,但對新的入侵方法無能為力�。其難點在于如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來��。②異常檢測的假設是入侵者活動異常于正常主體的活動����。根據這一理念建立主體正?��;顒拥摹盎顒雍啓n”�����,將當前主體的活動狀況與“活動簡檔”相比較���,當違反其統計規律時�����,認為該活動可能是“入侵”行為�。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法�����,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為���。
2.5漏洞掃描技術漏洞掃描就是對系統中重要的數據����、文件等進行檢查�,發現其中可被黑客所利用的漏洞。漏洞檢測技術就是通過對網絡信息系統進行檢查�����,查找系統安全漏洞的一種技術�。它能夠預先評估和分析系統中存在的各種安全隱患,換言之����,漏洞掃描就是對系統中重要的數據、文件等進行檢查�,發現其中可被黑客所利用的漏洞��。隨著黑客人侵手段的日益復雜和通用系統不斷發現的安全缺陷���,預先評估和分析網絡系統中存在的安全問題已經成為網絡管理員們的重要需求�����。漏洞掃描的結果實際上就是系統安全性能的評估報告���,它指出了哪些攻擊是可能的��,因此成為網絡安全解決方案中的一個重要組成部分���。
漏洞掃描技術主要分為被動式和主動式兩種:
①被動式是基于主機的檢測,對系統中不合適的設置����、脆弱的口令以及其他同安全規則相抵觸的對象進行檢查��。②主動式則是基于對網絡的主動檢測��,通過執行一些腳本文件對系統進行攻擊��,并記錄它的反應�,從而發現其中的漏洞��。
2.6慝����。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險���。由于只有經過精心選擇的應用協議才能通過防火墻��,所以網絡環境變得更安全�。
