時間:2022-05-19 07:05:16
序論:在您撰寫計算機網絡分析論文時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度。
擴展。
關鍵詞電子商務企業信息系統計算機網絡InternetExtranetIntranetXML
電子商務是當前信息技術高速發展的一個綜合結果,信息技術的發展不斷地改變著系統的結構和運行規則,使企業的管理運營模式發生了巨大的改變。傳統的商業企業如何有效利用新興技術,變革現有的運作方式,是值得思考的問題。
1面向電子商務的信息系統的結構
電子商務技術的發展,使企業各種對外的業務活動已經延伸到了Internet上。企業新一代的管理系統應當支持Internet上的信息獲取及網上交易的實現,并從企業的實際出發設計滿足電子商務環境下的管理模式。根據支持功能的不同,面向電子商務的信息系統可分為三個層次,即基于Intranet的信息系統,實現企業內部的信息交流;基于Extranet的信息系統,把企業與合作伙伴、供應商、批發商、銀行等聯系起來;基于Internet的信息系統,把全世界與企業有關的一切方面聯系起來。
1.1基于Intranet的內部信息系統Intranet是以Internet技術為基礎存在于一個或者多個由安全或虛擬網絡連接在一起的防火墻之后的一些基于IP的節點組成的企業內部網,它以TCP/IP為其通信技術、HTTP為信息傳輸協議,利用Internet的WWW模式作為標準平臺,同時利用“防火墻”的特殊安全軟件把內部網與Internet隔開。企業內部的員工能夠方便地進入Intranet,但未經授權的用戶不得進入Intranet。雖然基于In-tranet的信息系統功能與傳統的MIS相同,它們都是一個封閉的系統,只面向本企業內部,使用計算機聯系企業各個部門,完成企業的管理工作,但由于使用的技術不同,使得它具有傳統信息系統所無法比擬的優勢,主要表現在:連通了企業內部的各個環節,通過整合企業研發、采購、生產、庫存、銷售、財務、人力資源等管理信息資源,強化業務流程管理。使企業內部實現信息共享,增強溝通,簡化工作流程,促進科學決策,提高企業運轉效率。
1.2基于Extranet的外部信息系統Extranet是采用Inter-net和Web技術創建的企業外部網,它是Intranet的外部延伸,其功能是在保證企業核心數據安全的前提下,賦予Intranet外部人員訪問企業內部網絡信息和資源的能力。基于Extranet的信息系統的服務對象既不限于企業內部的結構和人員,也不完全對外服務,而是有選擇地擴大至與本企業相關聯的供應商、商和客戶等,實現相關企業間的信息溝通。過去EDI是實現企業間信息交流的主要手段,但由于EDI主要是通過專用網絡傳輸的,因此主要應用于規模較大的企業之間?;贓x-tranet的外部信息系統由于應用了Internet網絡,克服了EDI網絡費用非常昂貴的缺點,使中小企業也可以加入到企業間的合作中,給中小企業的發展提供了良好的機會。另外,EDI是通過標準的貿易單證來完成企業間計算機之間的通信,而Extranet采用的是Web技術,一個企業的操作人員登錄到另一個企業的主頁上,通過填寫網頁上的單證完成交易,因而更加方便、靈活和直接。
1.3基于Internet的信息系統Internet是電子商務的基礎,也是網絡的基礎和包括Intranet和Extranet在內的各種應用的集合。企業通過Internet的WWW實現全球信息的共享,從而構成了一個電子世界(E-world)。在這樣一個電子世界里,人們通過電子手段進行電子商務(E-Commerce)。已在國際貿易和市場營銷中得到普遍應用的EDI(ElectronicDataIn-terchange)就是EC的一個例證。不僅如此,隨著電子世界和電子商務的發展,一種全新的企業合作關系,虛擬組織(virtualcor-poration)出現了。在“虛擬組織”中,企業間可以完全沒有實物的聯系而建立一種實時的市場需求而產生的相互受益的合作關系。這種多變的動態組織結構把全球范圍的包括人在內的各種資源集成在一起,實現技術、管理和人的集成,因而能對市場需求快速響應??梢灶A見,未來的競爭是虛擬企業這種利用信息技術打破時空間隔的新型公司間的競爭。Internet對于企業的意義在于它快捷的信息傳輸速度和網絡插接能力縮短了企業同世界和同市場的距離,把企業的視野和能力從區域擴大到全球。網絡化信息系統使得信息在合作企業間自由流動,使“虛擬組織”的功能得以實現。
2面向EC的企業信息系統的建設
2.1建立有效的商務處理界面是企業信息系統建設的關鍵在電子商務時代,基于Internet、Extranet和Intrarnet的網絡化信息系統,是企業實現其競爭性戰略的基礎。建設面向EC的企業信息系統,關鍵在于建立有效的商務處理界面。商業流通領域中標準電子商務界面缺乏,給制造商、分銷商、零售商以及最終用戶造成了巨大的額外開銷。最終導致工作效率的低下,也嚴重阻礙了利用Internet作為實現B2B(企業對企業)電子商務工具的能力。因此,通過互聯網實現企業效率的大幅提高,已經成為各公司越來越關注的問題。過去,MRPII(物料需求計劃,現稱為制造資源計劃)、ERP(企業資源規劃)一直是大公司提高內部效率的有效手段。但是ERP、MRPII或者企業MIS系統有各種各樣的供應商,各軟件開發企業又有各自獨立的系統結構和接口標準。所以,這些系統相對來說是獨立的系統,各方無法進行有效的溝通。對商業企業來說,面臨相同的問題。實現商業POS系統和企業ERP系統相連,對大多數商業企業來說可能是一件簡單的事情,但如果要進一步提高效率和面對來自新興企業的挑戰,許多企業日益覺得舊有的系統已不能滿足互聯網時代的需要,迫切需要尋求解決之道。信息技術的飛速發展促進了新一代技術的產生和進步。目前我們還沒有投入足夠的時間和精力建立一套能共同使用的、規范整個商業流通領域的標準。由于新的數字化經濟引起的深刻變化,以及在整個經濟中信息技術所占比重的增加,建立一個供應鏈中各貿易伙伴之間行之有效的商務處理界面己成為一個非?,F實的問題。
2.2XML提供了對舊系統集成與擴展的條件互聯網向我們提供了無限的獲得在線信息和服務的機會。然而,構成這些網頁信息的HTML代碼所代表的實際信息,對計算機系統來說,理解上是很難的,更不用說自動處理了。信息技術的發展,使得我們有了XML(可擴展標記語言)。通過采用科學的結構設計和語義學,使得不同的計算機系統能容易地理解對產品和服務信息進行的編碼,并加以自動化處理。不同的企業可以使用XML來不同的信息,從產品目錄到航線預定,從股市報告到銀行資產綜述,甚至可以直接訂單,預訂貨物,安排裝運。通過減少每個客戶和供應商之間的定制接口的需求,XML將使買家能在不同的供應商和目錄形式中比較產品,同時供應商只要一次性提供他們的產品目錄信息,就能適用于所有的潛在買家。XML突破以往技術的局限性,真正意義上為供應鏈中的
制造商、分銷商、零售商及最終用戶提供了一個溝通無限的空間。
對于那些希望重新集成并擴展原有系統的企業而言,可通過XML來實現對舊系統的集成與擴展。XML代表了一個開放的標準,這個標準使得交易數據可在服務器之間或服務器與瀏覽器之間流暢地傳輸。相對于EDI(電子數據交換標準),XML是一個元數據標準,因此它可以非常靈活地根據不同系統的各種需求進行定義。
在過去,由于不同行業的性質,不同行業的企業的數據庫系統使用的是不同的規則,因此,很多情況下數據在不同企業的服務器或瀏覽器上是不可讀的,雖然在某些行業有一部分的EDI系統,但因其適用性差和應用成本高等原因,很難有大的發展。如今XML的靈活性及強大能力使得它能實現行業內和各種不同行業之間進行的各種交易。一旦XML為不同行業標準接納并大規模使用,這些行業將會從整體行業效率的提高中獲得巨大的收益。當傳統的交易方式真正在網上實現的同時,它也將現實世界中的交易各方緊密聯系在一起。美國在這方面領風氣之先,早期的標準反映了這一點。現在W3C(TheWorldWideWebConsortium)和聯合國都在致力于使這些標準國際化,特別是致力于其在歐洲的推廣應用。
2.3XML可向用戶提供一攬子的解決方案現在,隨著XML標準的逐漸完善和推廣,眾多的互聯網及電子商務公司正在有效地利用這一企業間電子商務的基本標準,建設越來越多的基于XML的電子商務系統。尤其致力于結合中國企業的特點,應用業界最新技術標準,幫助中國企業實現安全迅捷可靠的實時在線交易,向用戶提供基于開放標準的一攬子解決方案。這些基于XML的解決方案的特點是:
a.企業間的緊密集成?;赬ML的B2B解決方案使得同一行業或不同行業的企業之間實現流暢的溝通,緊密集成供應鏈中的采購方、制造方、運輸方、倉儲企業、營銷企業等。
b.擴展性和可伸縮性。由于基于開放性的平臺可運行于各種系統下,模塊化設計易于根據客戶需求而定制。
c.保護已有投資。企業現有的ERP、MRPII或MIS系統將是實行企業電子商務的基礎,在現有系統基礎上實現電子商務,做到資源的再利用。
d.連接企業網站、ERP系統、數據庫等的易用方案。緊密集成企業網站,企業內部數據庫及ERP系統,各部門、特別是跨地區的分部可在授權范圍內完成本企業產品銷售數據動態反饋、市場調研與分析、財務報告、生產庫存管理等方面的交流,使企業的生產、運營、管理效率大大提高,對市場的反應更加迅速靈活。
e.增強客戶服務功能。通過Internet上24/7運作的呼叫中心、網上實時幫助等手段,企業大大增強客戶服務能力,迅捷地對客戶要求做出反應。超級秘書網
3結語
誠然,到目前為止Internet技術與網絡技術仍在發展之中,要在全世界普遍地將其應用于經濟生活還有許多方面諸如安全性、可測試性、可靠性和經濟性有待提高和完善。此外,與網絡交易配套的諸如工商管理、稅收和法律等方面的立法和規則也必須相應跟上。盡管XML仍處在不斷地完善及日益成熟的過程中,管理與法律問題各國也正在研究,企業信息系統突破企業的界限向網絡化方向發展已成為不可逆轉的大趨勢。
參考文獻
1方美琪.電子商務概論.北京:清華大學出版社,1999
2曾凡奇,林小蘋,鄧先禮.基于Internet的管理信息系統.北京:中國財政經
濟出版社,2001.
3趙林度.電子商務理論與實務.北京:人民郵電出版社,2001
4肯尼思·C·勞頓等.信息系統與Internet(英文版).北京:機械工業出版社,
1999.
信息安全的內涵隨著信息技術的不斷發展而得到了擴展,從原始的保密性逐漸增加了完整性、可控性及可用性等,最終形成的集攻擊、防范、檢測與控制、管理、評估等與一體的理論體系。傳統的信息安全技術將注意力都集中在計算機系統本身的安全方面,針對單機系統環境而進行設置,不能夠對計算機網絡環境安全進行良好的描述,也缺乏有效應對動態安全問題的措施。隨著計算機網絡的不斷發展與推廣,互聯網逐漸具備了動態變化性,而傳統的靜態安全模式已經不能夠滿足其安全要求了。在這種背景之下,信息安全體系結構的出現更好地滿足了計算機網絡的安全需求,因此得到了迅速的發展與推廣。信息安全體系結構的思路為:通過不同安全防護因素的相互結合實現比單一防護更加有效的綜合型防護屏障,這種安全防護體系結構能夠更好地降低黑客對計算機網絡的入侵與破壞,確保計算機網絡安全。
計算機網絡的信息安全體系結構的主要作用就是為信息保障、數據傳遞奠定堅實的基礎。隨著計算機網絡所面臨的風險與壓力的不斷增大,為了能夠更好地確保信息安全,必須注重計算機網信息安全體系結構完整性、實用性的提高。在科技的不斷發展與進步的基礎之上,提出了計算機網絡信息安全體系結構——WPDRRC結構,不同的字母代表不同的環節,主要包括warnin(g預警)、protect(保護)、detectio(n檢測)、respons(e響應)、restor(e恢復)、counterattac(k反擊)六個方面,各個環節之間由于時間關系而具有動態反饋的關系。在計算機網絡的信息安全體系結構中,預警模塊、保護模塊與檢測模塊都是以預防性為主的,通過保護與檢測行為對黑客入侵計算機進行較為有效的制止。當前,雖然計算機網絡信息安全技術已經比較先進,但是由于計算機網絡所具有的開放性,其安全性依舊是面臨一定威脅的。因此,在計算機網絡的信息安全體系結構中,響應模塊、恢復模塊與反擊模塊主要的作用是解決實質性的工作,對已經出現的各種安全問題進行有效地解決,確保計算機網絡信息安全。
1.1warnin(g預警)整個計算機網絡的信息安全體系結構中,預警模塊是最為根本的所在,主要的作用是對計算機網絡的信息安全進行診斷,該診斷具有預防性。同時,預警結構通過研究計算機網絡的性能,提出具有科學性與合理性的評估報告。
1.2protect(保護)保護結構主要的作用是對計算機的信息安全系統提供保護,確保計算機網絡在使用過程中的安全性,有效地封鎖、控制外界對計算機網絡的入侵及攻擊行為。保護結構能夠對計算機網絡進行安全設置,實現對計算機網絡的檢查與保護,其檢查與保護工作的重點內容就是網絡總存在的各種可能被攻擊的點或者是存在的漏洞,通過這些方式為信息數據在計算機網絡中的安全、通暢應用提供條件。
1.3detectio(n檢測)計算機網絡的信息安全體系結構中的檢查結構主要的作用是對計算機受到的各種攻擊行為進行及時、準確的發覺。在整個信息安全體系結構中,檢測結構具有隱蔽性,主要的目的是防止黑客發現并惡意修改信息安全體系結構中的檢測模塊,確保檢測模塊能夠持續為計算機網絡提供保護,同時還能夠促進檢測模塊自身保護能力的提高。檢測模塊一般情況下需要與保護模塊進行配合應用,從而促進計算機網絡保護能力與檢測能力的提高。
1.4respons(e響應)當計算機網絡信息安全體系結構中出現入侵行為之后,需要及時通過凍結措施對計算機網絡進行凍結,從而防止黑客的入侵行為進一個侵入到計算機網絡中。同時,要通過相應的響應模塊對入侵進行響應。例如,計算機網絡信息安全體系結構中可以通過阻斷響應系統技術實現對入侵及時、準確的響應,杜絕黑客對計算機網絡更加深入的入侵行為。
1.5restor(e恢復)計算機網絡信息安全體系結構中的恢復模塊主要的作用是在計算機網絡遭受到黑客的攻擊與入侵之后,對已經損壞的信息數據等進行及時的恢復。在對其進行恢復的過程中,主要的原理為事先對計算機網絡中的信息文件與數據資源進行備份工作,當其受到攻擊與入侵之后通過自動恢復功能對其進行修復。
1.6counterattac(k反擊)計算機網絡信息安全體系結構中的反擊模塊具有較高的性能,主要的作用為通過標記跟蹤功能對黑客的入侵與攻擊進行跟蹤與標記,之后對其進行反擊。反擊模塊首先針對黑客的入侵行為進行跟蹤與標記,在此基礎上利用偵查系統對黑客入侵的方式、途徑及黑客的地址等進行解析,保留黑客對計算機網絡進行入侵的證據。與此同時,反擊模塊會采用一定的反擊措施,對黑客的再次攻擊進行有效的防范。
2計算機網絡信息安全體系結構的防護分析
當前,在對計算機網絡信息安全體系結構進行防護的過程中,較為常用的就是WPDRRC結構,其主要的流程包括攻擊前防護、攻擊中防護與攻擊后防護三個方面。
2.1信息安全體系結構被攻擊前防護工作在整個的計算機網絡中,不同的文件有著不同的使用頻率,而那些使用頻率越高的文件就越容易受到黑客的攻擊。因此,信息安全體系結構的被攻擊前防護工作的主要內容就是對這些比較容易受到黑客攻擊的文件進行保護,主要的保護方式包括防火墻、網絡訪問控制等。通過WPDRRC結構對其中存在的威脅因素進行明確,有針對性地進行解決措施的完善。
2.2信息安全體系結構被攻擊中防護工作當計算機網絡受到攻擊之后,信息安全體系結構的主要防護工作為阻止正在進行中的攻擊行為。WPDRRC結構能夠通過對計算機網絡系統文件的綜合分析對正在進行中的攻擊行為進行風險,同時能夠對計算機網絡中各個細節存在的變動進行感知,最終對黑客的攻擊行為進行有效的制止。
2.3信息安全體系結構被攻擊后防護工作當計算機網絡受到攻擊之后,信息安全體系結構主要的防護工作內容為對計算機網絡中出現的破壞進行修復,為計算機網絡的政策運行提供基礎。同時,恢復到對計算機網絡信息安全的保護中。
3計算機網絡信息安全體系結構中加入人為因素
IT領域中都是以技術人員為主體來對產業雛形進行構建的,因此在IT領域中往往存在著及其重視技術的現象,主要的表現為以功能單純而追求縱向性能的產品為代表,產品的覆蓋范圍限制在技術體系部分,缺乏對組織體系、管理體系等其他重要組成部分的重視。因此,只有在計算機網絡信息安全體系結構中加入人為因素才具有現實意義。在計算機網絡信息安全體系結構的構建過程中,應該注重以組織體系為本,以技術體系為支撐,以管理系統為保證,實現三者之間的均衡,從而真正發揮計算機網絡信息安全體系結構的重要作用。
4總結
1.1網絡信息安全定義
不同的用戶對網絡信息安全的定義有所不同,作為普通用戶,我們希望自己的個人信息不被竊?。辉趪覍用嫔?,信息安全就是杜絕一切需要保密的信息外泄。
1.2網絡信息安全模型
根據TCP/IP協議,網絡安全體系應保證物理層的比特流傳輸的安全;保證介質的訪問和鏈路傳輸的安全的鏈路安全;保證被授權客戶使用服務的網絡層安全;保證客戶資料和操作系統訪問控制安全的會話層安全;利用多種技術增強計算機應用軟件安全的應用平臺安全和為用戶服務的應用系統安全。如圖所示:圖1 體系層次模型1.3網絡信息安全的脆弱性網絡信息安全的脆弱性如下:1)由于程序員設計程序時考慮不全面或者故意設置的后門;2)廠家設置參數時由于疏忽大意而產生的錯誤設置;3)TCP/IP協議為了注重開放性而產生的不可避免的安全缺陷;4)用戶在使用過程中,由于疏忽而導致數據輸入錯誤而產生的安全缺陷;5)由于意外而出現的運行錯誤;6)Internet自身的安全缺陷。
2網絡信息安全的主要技術
2.1防火墻技術
簡單實用、不需要修改原有的網絡應用系統下能達到一定安全要求的防火墻是網絡安全的主要技術之一,它既能過濾流出的IP包,同時也能屏蔽外部危險的IP,從而保護內部的網絡。防火墻最大的特點是可以過濾所有由外到內和由內到外的數據,只有符合要求的數據包才能被防火墻放行,不符合的數據包都被防火墻屏蔽,并且防火墻自身具有防侵入的功能。但需要說明的,防火墻的安裝的前提是公司或者企業對于內外網絡連接中需要數據保護功能,而對于公司或者企業內網則需要用其他方式來實現,因為防火墻由于需要過濾內外數據,而使網絡信息傳輸速度變慢。對于用戶來說,常使用非常方便和實用的防止電腦中的信息被侵襲的個人防火墻技術,個人防火墻能有效的監控及管理系統,防止病毒、流氓軟件等通過Internet進入自己的電腦或者自己電腦中的信息在無意中向外擴散。
2.2數據加密技術
在信息時代,信息既能幫助大家,也能威脅大家,甚至造成破壞,比如存在競爭的公司和企業間,信息的泄露造成的損失會很大,所以就需要一種強有力的技術對數據進行保護,防止信息數據被盜或者被篡改,而且對數據進行加密或者解密的操作比較簡單,便于掌握。數據加密技術通過加密和解密的操作限制除合法使用者以外的人獲取信息數據,對信息進行保護。利用一個密匙進行加密和解密的對稱加密技術和利用配對的“公匙”和“私匙”進行加密和解密的非對稱加密技術是目前最常用的加密技術。
2.3訪問控制技術
我們知道,在網絡中,登錄時通常是中身份驗證的方法,但是,進入網絡后用戶能做什么?權限有哪些?這些是訪問控制技術需要解決的問題。訪問控制技術既能阻止無權限的用戶訪問資源,對資源進行保護;也能設置機制允許被授權者訪問限定資源。作為信息安全保障機制核心內容的訪問控制能有效的對資源進行保護,它是信息安全保護中最基礎的機制也是最重要的安全機制。
2.4虛擬專用網技術
目前,既是最新也是最成功的解決信息安全的技術之一就是虛擬專用網技術,這種技術在數據傳輸中進行加密和認證,使用起來成本既低于傳統的專線方式又安全性較高。虛擬專用網應用范圍很廣,我們通常在家里用的撥號上網以及在辦公室辦公時用的內網都屬于虛擬專用網,由于VPN比較復雜,安全性增強,通過加密和認證使VPN有效保護了信息資源。
2.5安全隔離技術
我們知道,由于計算機技術的不斷發展、創新,現在新型的網絡攻擊應運而生,這就需要開發高安全性的防新型網絡攻擊的技術,而安全隔離技術是把危險的信息資源隔離在外面同時保證內網的安全。
2.6身份認證技術
在我們登錄QQ、微信、百度文庫、淘寶及需要注冊成會員的頁面都需要用戶名和密碼,只有輸入正確的用戶名和密碼,我們才能進入頁面,有的地方或者頁面需要語音、虹膜等生物特征認證才能進入等,這種需要認證才能進入的技術就是身份認證技術,它的本質是通過只有被認證方自己知道的信息來使認證方認證被認證方的身份。身份認證技術有兩種:密碼認證和生物特征認證。密碼認證方式主要是通過用戶名和密碼來實現的,認證方發放給有權限的用戶口令,用戶輸入用戶名和密碼后,認證方通過后臺核對被認證方的口令是否正確,如果正確,用戶就可以進入登錄頁面使用某些功能。認證方式方便可行,但是它的安全性主要取決于用戶設置的密碼的長度、復雜度和用戶對密碼的保密程度,這就容易遭到猜測軟件的攻擊,只要攻擊方獲取了用戶的密碼,用戶的信息和資源就泄露了,最好的解決方法就是用戶將自己的口令加密。生物特征認證相對于密碼認證要安全的多,它是計算機利用人生理和行為特征上的唯一性進行身份認證,就像現在很多企業和公司進行考勤形式一般都是采用指紋、虹膜、視網膜等進行電子考勤。有一些單位在保密權限上錄入聲音、步態等特征進行身份識別,這種利用人生理和行為特征的唯一性進行考勤的優點是不會產生遺忘密碼的情況并且防偽性很高,安全性很高。
3常見的網絡攻擊方法以及防范策略
3.1網絡攻擊概念簡述
我們知道程序員在書寫程序時由于疏忽或者處于某種原因自留后門,這些都會產生漏洞,網絡攻擊者就通過這些漏洞進行網絡攻擊。那么,哪些屬于網絡攻擊呢?眾所周知,Internet是個開放性的網絡環境,網絡攻擊者通常通過漏洞進入用戶的計算機中盜取用戶的個人信息、銀行密碼、用戶進入系統的權限或者破壞數據等造成系統不能正常發揮功能;互聯網在傳輸信息數據時依據的是TCP/IP協議,而這些協議在數據信息傳輸過程中保護功能不足,容易遭到入侵者攻擊;我們的電子郵件信息不如傳統的信件那樣有郵票、郵戳、信封等保護措施,我們有時無法判斷我們郵件是否真實、是否存在被篡改、是否誤投、是否偽造等,這就使我們在傳輸重要郵件時容易別攻擊,產生泄密事件,并且,一些計算機病毒也通常通過郵件傳播,使我們的電腦遭到攻擊,丟失重要信息數據。攻擊者常常通過隱藏自己的IP信息來尋找要攻擊的主機并設法獲取賬號和密碼,進入主機后獲取控制權盜取用戶的個人資料和網絡資源以及特權,達到自己的攻擊目的。
3.2網絡攻擊常用方法及預防策略
1)利用型攻擊:主要是攻擊者企圖進入你的計算機并對你的計算機進行控制。這種攻擊類型的防御側策略如下:(a)設置多種符號組成的比較復雜的口令用來阻止攻擊者進行口令猜測,同時,如果你的服務有鎖定功能,要進行鎖定。(b)一旦發現程序可疑,一定不要下載、不要執行并安裝木馬防火墻進行隔離木馬。(c)要定時更新系統,防止緩沖區溢出。2)信息收集型攻擊:主要是攻擊者為了進一步攻擊而進行收集信息的攻擊行為,它主要包括掃描技術、利用信息資源服務以及系統體系架構進行刺探三種攻擊方式。對于這三種行為的防御策略分別如下:(a)對于掃描技術的防御主要是通過防火墻技術阻隔掃描企圖和過濾Icmp應答。(b)對于利用信息服務的防御主要是通過防火墻過濾請求或者過濾掉地址并阻斷刺探內部信息的LDAP并做相應的記錄。(c)對于體系結構探測的防御是去掉或修改計算機運行過程中出現的各種banner,對用于識別的端口進行阻斷從而達到擾亂攻擊者的攻擊計劃。3)假消息攻擊:主要是攻擊者利用不正確的信息實施的攻擊方法,它通常有兩種攻擊方式,分別是通過DNS服務器進行攻擊和利用偽造郵件進行攻擊。針對這兩種攻擊方法采取的策略分別如下:(a)對于DNS服務器進行攻擊的防御策略是利用防火墻過濾入站的DNS更新,阻斷DNS污染。(b)對于偽造郵件進行攻擊的防御策略是使用安全工具和電子郵件證書進行隔離帶木馬病毒的電子郵件,并且對于不認識的垃圾電子郵件一概不點開,從而防止木馬病毒的入侵。4)網頁攻擊:在我們瀏覽網頁時會被網頁內嵌套的代碼程序強行改變我們的默認網頁并修改我們的注冊表等信息,破壞計算機中的數據信息甚至格式化我們的電腦硬盤。它通常有兩種攻擊方式,分別是以破壞系統為目的的攻擊windows系統和強行修改我們的IE瀏覽器。下面對我們使用計算機過程中常出現的網頁攻擊方式及應對策略進行分析:(a)強行修改我們的默認首頁對應策略:由于修改默認網頁需要修改注冊表,我們只要把我們的注冊表修改過來就可以了。(b)格式化硬盤對應策略:這是一種很惡意的網頁攻擊,一般操作在后臺,我們很難發現,這就要求我們要及時升級微軟的安全補丁來及時修補系統的漏洞,阻隔攻擊者的攻擊。(c)網頁炸彈應對策略:網頁炸彈其實就是一個死循環,我們平時在瀏覽網站時,一定不要輕易進入不了解的網站和不要輕易打開陌生人發來的郵件附件。(d)文件被非法讀取 此攻擊通過代碼調用腳本來讀取文件或者利用IE漏洞非法讀取本地文件。應對策略:通過提高我們瀏覽器的安全級別和禁用JavascriP來阻隔攻擊者的攻擊。
3.3計算機病毒
為了便于大家自己的電腦是否中病毒,下面把電腦中病毒的主要癥狀描述如下:1)電腦的運行速度明顯變慢。2)電腦的存儲容量突然變小。3)開機明顯變得特別慢。4)電腦中的文件大小突然變大。5)電腦經常無緣無故的死機。6)電腦的屏幕異常顯示。7)鍵盤輸入時出現異常。8)文件突然不能讀取并復制不了、打開不了。9)文件的日期等屬性突然發生改變了。10)電腦的時間顯示時倒轉運行。11)不斷要求用戶重復輸入密碼。12)運行過程中系統突然重啟。當我們發現電腦中病毒了,我們應采取什么措施進行清理病毒呢?首先,我們要養成安裝可靠殺毒軟件并定時更新的習慣。其次,我們要定時清理我們的電腦,清除碎片。再次,我們要養成健康的用電腦方式和方法,盡量少雙擊鼠標,多用鼠標點擊右鍵打開文件。
3.4網絡攻擊的應對策略
要進行一項統計工作,首先,必須進行統計設計。我們已經把這一工作分配給了統計部門局域網內部相應的計算機來完成。其次,要進行資料的收集整理。在我們上面建立的統計體系中,由上級部門設計好統計調查表單,下級部門如實填寫好后,通過逐層上報的方法傳送給對應網站。最后,通過DEC進行數據處理。這是一種最常用的統計資料的收集和整理辦法,它與傳統的統計報表制度有許多類似之處。實際上,隨著互聯網技術的迅速發展,統計資料的收集方式越來越朝著多元化的方向發展。以下四種應用比較廣泛的網上統計調查方法是作為對上述方法的補充手段:1、電子郵件法;2、隨機IP地址調查法;3、直接站點調查法;4、網絡視迅會議法。
二、網絡統計信息的安全問題
我們所講的統計信息安全,一是指統計信息網絡系統的硬件、軟件及其系統的數據得到保護,不因偶然的或者惡意的原則而遭到破壞、更改、泄露,系統能夠連續、可靠、正常地運行,網絡服務不會中斷;二是保證各統計部門的數據及個人資料、商業秘密在網絡上傳輸的保密性、安全性;三是保證網
本文由/整理頁順利及網上內容不被隨意更改。網絡時代的統計信息具有保密性和完整性的特點,保密性是指統計信息及統計數據不泄露給非授權用戶及實體,或供其利用。
網絡統計信息安全面臨的主要威脅有:
1、系統的不安全因素
在系統不安全因素中,主要考慮以下幾個問題:一是網絡統計軟件的自身安全與否直接關系統計信息安全。系統軟件的安全功能較少或不全,以及系統設計時的疏忽或考慮不周而留下的“破綻”,都將會給危害信息安全的人和事留下許多隱患。二是病毒對于網絡的威脅和黑客對于網絡的破壞和侵入。病毒的主要傳播途徑已由過去的軟盤、光盤等存儲介質變成了網絡,多數病毒不僅能夠直接感染網絡上的計算機,還能在網絡上“繁殖”。三是操作系統的體系結構會造成其本身的不安全,這也是計算機系統不安全的根本原因之一。
2、傳輸線路的不安全因素
盡管在同軸電纜、微波或衛星通訊中要竊聽其中指定一路的信息是很困難的,但從安全角度來說,沒有絕對安全的通訊線路,同時,無論采用何種傳輸線路,當線路的通信質量不好時,將直接影響聯網效果,嚴重時甚至導致網絡中斷,破壞通信數據的完整性。為確保通信質量和網絡效果
本文由/整理,防止竊聽,就必須要有合格的傳輸線路。
3、用戶的不安全因素
大多數系統是以用戶為中心的。一個合法的用戶在系統內可以執行各種操作。用戶隨意進入不明網站和下載不明的程序,會使運行系統遭到破壞。應由用戶來管理自己的登陸密碼,但不能讀取用戶的密碼。用戶必須對自己密碼的安全性、保密性負責。一個不安全的密碼事實上是不能起到保密作用的。
網絡安全是一個集技術、管理、法規等的綜合作用為一體的、長期的、需要常年實施的、復雜的系統工程。為了保障統計信息網絡的安全,應從以下幾方面采取相應的防護措施:
a從技術的角度出發采取相應的措施
一是身份識別。身份識別是安全系統應具備的最基本的功能,是驗證通信雙方的有效手段。用戶向其系統請求服務時,要出示自己的身份證明,例如輸入USER和PASSWORD,而系統應具備查驗用戶身份證明的能力,能夠識別合法用戶。也可采用人體特征(如指紋)識別、智能卡識別等方法。二是設立防火墻是位于內部網絡(可信賴的)和外部網絡(不可信賴的)之間的屏障,它按系統管理員預先定義好的規則來控制數據包的進出。三是信息加密。通過對信息的重新組合,使得只有收發雙方才能解碼和還原信息。傳統加密系統是以密鑰為基礎的,分為對稱和不對稱加密兩種,隨著技術的進步,加密正逐步被集成到系統和網絡中。四是存取權限控制。其基本任務是防止非法用戶進入系統并防止合法用戶對系統資源的非法使用。
b存效防
本文由/整理范病毒
對計算機病毒和黑客的防范是計算機安全的重要方面。關于計算機病毒,我們應該建立起兩個觀念:第一,計算機感染了病毒并不十分可怕,嚴重的是并不知道機器已感染了病毒。計算機病毒的主要危害就是傳染性和破壞性,但病毒受其隱蔽性的限制,平時只是傳染,破壞活動很小,只有滿足病毒發作條件時才會呈現出強大的破壞力,而且破壞活動往往是瞬間完成,想人為中斷都不可能。第二,應根據計算機病毒的共同特征來檢測病毒。由于計算機病毒只可能藏身于硬盤的引導區、文件區和內存之中,我們可以針對病毒的這些特征采取利用備份的系統信息檢測引導區中的病毒、利用文檔文件檢測文件中的病毒、設置內存駐留程序監控病毒等措施,有效地遏制計算機病毒的傳染和破壞,保障統計數據的安全。
關鍵詞入侵檢測異常檢測誤用檢測
在網絡技術日新月異的今天,論文基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet,全社會信息共享已逐步成為現實。然而,近年來,網上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1防火墻
目前防范網絡攻擊最常用的方法是構建防火墻。
防火墻作為一種邊界安全的手段,在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問,通過監視、限制、更改通過網絡的數據流,一方面盡可能屏蔽內部網的拓撲結構,另一方面對內屏蔽外部危險站點,以防范外對內的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內部的襲擊。調查發現,50%的攻擊都將來自于網絡內部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。畢業論文而這一點,對于層出不窮的網絡攻擊技術來說是至關重要的。
因此,在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要,網絡的防衛必須采用一種縱深的、多樣化的手段。
由于傳統防火墻存在缺陷,引發了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網絡性能的情況下,通過對網絡的監測,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性,提供對內部攻擊、外部攻擊和誤操作的實時保護?,F在,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統損壞或數據丟失之前,識別并驅除入侵者,使系統迅速恢復正常工作,并且阻止入侵者進一步的行動。同時,收集有關入侵的技術資料,用于改進和增強系統抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今,英語論文已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測,并采取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制;攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者,進一步加強信息系統的安全力度。入侵檢測的步驟如下:
收集系統、網絡、數據及用戶活動的狀態和行為的信息
入侵檢測一般采用分布式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時,就有可能發生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結根據不同的檢測方法,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。
3.1異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓,通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。
閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。
由此可見,異常檢測技術難點是“正?!毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統或用戶的特征輪廓,這樣所需的計算量很大,對系統的處理性能要求很高。
3.2誤用檢測
又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據已經定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。
誤用檢測是根據攻擊簽名來判斷入侵的,根據對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關系,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助,而且對即將發生的入侵也有預警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發現違背安全策略的行為。由于只需要收集相關的數據,這樣系統的負擔明顯減少。該方法類似于病毒檢測系統,其檢測的準確率和效率都比較高。但是它也存在一些缺點。
3.2.1不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。
3.2.2與系統的相關性很強
對于不同實現機制的操作系統,由于攻擊的方法不盡相同,很難定義出統一的模式庫。另外,誤用檢測技術也難以檢測出內部人員的入侵行為。
目前,由于誤用檢測技術比較成熟,多數的商業產品都主要是基于誤用檢測模型的。不過,為了增強檢測功能,不少產品也加入了異常檢測的方法。
4入侵檢測的發展方向
隨著信息系統對一個國家的社會生產與國民經濟的影響越來越大,再加上網絡攻擊者的攻擊工具與手法日趨復雜化,信息戰已逐步被各個國家重視。近年來,入侵檢測有如下幾個主要發展方向:
4.1分布式入侵檢測與通用入侵檢測架構
傳統的IDS一般局限于單一的主機或網絡架構,對異構系統及大規模的網絡的監測明顯不足,再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題,需要采用分布式入侵檢測技術與通用入侵檢測架構。
4.2應用層入侵檢測
許多入侵的語義只有在應用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協議,而不能處理LotusNotes、數據庫系統等其他的應用系統。許多基于客戶/服務器結構、中間件技術及對象技術的大型應用,也需要應用層的入侵檢測保護。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究,但是,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究,以解決其自學習與自適應能力。
4.4入侵檢測的評測方法
用戶需對眾多的IDS系統進行評價,評價指標包括IDS檢測范圍、系統資源占用、IDS自身的可靠性,從而設計出通用的入侵檢測測試與評估方法與平臺,實現對多種IDS的檢測。
4.5全面的安全防御方案
結合安全工程風險管理的思想與方法來處理網絡安全問題,將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估,然后提出可行的全面解決方案。
綜上所述,入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,使網絡系統在受到危害之前即攔截和響應入侵行為,為網絡安全增加一道屏障。隨著入侵檢測的研究與開發,并在實際應用中與其它網絡管理軟件相結合,使網絡安全可以從立體縱深、多層次防御的角度出發,形成人侵檢測、網絡管理、網絡監控三位一體化,從而更加有效地保護網絡的安全。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應用,2002;38(10):181—183
2羅妍,李仲麟,陳憲.入侵檢測系統模型的比較.計算機應用,2001;21(6):29~31
3李渙洲.網絡安全與入侵檢測技術.四川師范大學學報.2001;24(3):426—428
4張慧敏,何軍,黃厚寬.入侵檢測系統.計算機應用研究,2001;18(9):38—4l
【論文摘要】:文章結合目前大部分醫院計算機網絡的發展現狀,主要從網絡設備、計算機軟件維護和人員管理等方面談一下醫院計算機網絡的安全維護工作。
隨著現代化信息技術的發展和醫療衛生管理要求的不斷提高,醫院的計算機網絡系統已經深入到醫院日常業務活動的方方面面。醫院的計算機系統一旦崩潰,將會造成無法估計的損失。因此如何加強醫院計算機網絡的安全性和可靠性就成為一個亟待解決的問題。
一、網絡設備安全
(一)硬件設置對網絡安全的影響
1.網絡布線
醫院主干線以及各大樓之間采用多模光纖,并留有備份。光纖到機器端采用屏蔽雙絞線,線路之間避免交叉纏繞,并與強電保持30CM以上距離,以減少相互干擾。新增網點,距離交換機盡可能短,以減少信號衰減。平時做好跳線備份,以備急用。
2.中心機房
綜合考慮供電、場地、溫濕度、防水、防鼠、電磁環境以及接地防雷。
3.服務器
對最上層的服務器和數據庫來說如何保證所提供服務的可靠性和不間斷性以及數據存儲的安全是決定一個信息系統安全的關鍵。首先必須使用不間斷電源(UPS),保證服務器24小時不間斷工作,防止停電造成的數據庫損壞。對于中心服務器,目前大部分醫院采用的是雙機熱備份+磁盤陣列柜的模式,當一個服務器發生故障時,備份服務器能在十幾秒的時間內進行切換,啟動數據庫,一般能在2~3分鐘內恢復業務處理。這樣只做到了一臺服務器出現故障時,能保證信息系統的正常運行,如果陣列出現故障,整個系統仍要停止運行,一般在條件允許的情況下應該備有應急服務器。應急服務器在日常工作時,通過數據庫的備份服務實時地進行異地備份,保證數據與中心服務器的同步,當雙機服務器或陣列出現故障時,系統能順利轉移到應急服務器上運行,所有用戶的使用方法保持不變,患者數據信息連續,不僅方便了操作人員,而且大大的提高了系統的安全性。
4.邊界安全
內外網物理斷開,這樣徹底消滅外網黑客的入侵,內外網需要交換信息時采用U盤或移動硬盤作為中介,并做好防病毒工作。
(二)外界環境對網絡設備安全的影響
1.溫度會導致邏輯電路產生邏輯錯誤,技術參數偏離,還會導致系統內部電源燒毀或燒壞某些元器件,影響機器運轉和導致一些熱敏器件內部損壞或不能正常工作。
2.濕度過高,會使接插件和集成電路的引線等結合部氧化、生繡、霉爛,造成接觸不良、開路或短路;濕度過低,會吸附灰塵,加劇噪聲。
3.對于機器內部的電路板上的雙列直插或組件的接線器,灰塵的阻塞會形成錯誤的運行結果。過多的塵??稍斐山^緣電阻減小、泄漏電流增加,機器出現錯誤動作,如果空氣潮濕會引起元器件間放電、打火,從而損壞設備,嚴重的還會引起火災。
4.靜電是網絡使用中面臨的比較嚴重的問題,以上談到的溫度、濕度、塵埃等很多原因都可能引起靜電。計算機元器件和集成電路對靜電非常敏感,它的破壞常常是在不知不覺中發生。
5.靠近網絡的計算機、大型醫療設備和網絡設備自身等,都能產生電磁輻射,通過輻射、傳導等方式對網絡系統形成干擾。他們造成的問題是:設備的一些部件會失效,但那些部件的失效看起來又是由于其他部件引起的,像這樣的問題很容易被忽略,而且很難診斷,需要專門的診斷軟件和硬件來檢測。
二、計算機軟件的安全
(一)計算機操作系統的安全
目前一般醫院服務器和工作站的操作系統多采用微軟的WINDOWS系列操作系統,這要求對計算機使用的帳號、用戶權限、網絡訪問以及文件訪問等實行嚴格的控制和管理,定期做好監視、審計和事件日志記錄和分析,一方面減少各類違規訪問,另一方面,通過系統日志記下來的警告和報錯信息,很容易發現相關問題的癥結所在。及時下載和打好系統補丁,盡可能關閉不需要的端口,以彌補系統漏洞帶來的各類隱患。對各類工作站和服務器的CMOS設置密碼,取消不必要的光驅、軟驅,屏蔽USB接口,以防止外來光盤、軟盤和U盤的使用。對關鍵數據實行加密存儲并分布于多臺計算機。
(二)數據庫的安全
數據庫的選擇和備份是醫院計算機網絡安全管理中的重要問題。系統一旦投入運行,就要求24小時不間斷,而一旦發生中斷,后果將不堪設想。所以在開發系統軟件時,數據庫的選擇顯得尤為重要,在發生故障時應能自動將數據恢復到斷點,確保數據庫的完整。目前現有醫院計算機網絡系統在數據庫的選擇上多采用SQLSERVER、ORACLE數據庫。醫院的數據庫記錄時刻都處于動態變化之中,網管人員定時異地備份是不夠的,因為一旦系統崩潰,勢必存在部分數據的丟失。所以建立一套實時備份系統,這對醫院來說是非常重要的。現在很多醫院采用磁盤陣列的方式進行對數據的實時備份,但是成本比較大,安全系數也不是很高。根據醫院這個特殊的網絡系統,可建議設計數據保護計劃來實現文件系統和網絡數據全脫機備份。例如,采用多個低價位的服務器分片負責,如門診收費系統采用一臺服務器,住院部系統采用另一臺服務器,同時再增設總服務器,在總服務器中全套備份所有醫院管理系統中的應用軟件,每日往總服務器中備份各個管理系統中產生的數據,與此同時也做好磁帶、光盤的備份,若有一臺分服務器出現異常,該系統就轉總服務器進行。這種運行機制,在一些醫院取得了很好的效果。
(三)病毒防范與入侵檢測
在客戶機和服務器上分別安裝相應版本防病毒軟件,及時更新病毒庫和殺毒引擎,在服務器上編寫網絡登陸腳本,實現客戶端病毒庫和殺毒軟件引擎的自動派送安裝。在服務器和安全性要求較高的機器上安裝入侵檢測系統,實時監控網內各類入侵、違規和破壞行為。
三、人為因素對網絡設備安全的影響
據不完全統計,某醫院三年內局部網絡設備非正常斷電所引起的故障中,有16起為施工斷電引起網絡設備意外斷電,有130起為醫務人員不小心碰斷HUB電源導致計算機不能聯網,而僅有5起為網絡設備自身不正常掉電或自動重啟,占因斷電所引起的網絡故障總數的3.2%,其余96.8%都是人為因素導致。這充分說明,人為因素應該引起我們足夠的重視,應該采取必要的措施降低人為因素導致的網絡故障率。具體措施包:
1.對全院職工,特別是對管理人員進行有關教育,讓他們樹立參與意識和主人翁意識,了解計算機管理的必要性和管理流程,對相關人員進行新業務模式和流程教育,對操作人員進行技術培訓,要求準確、熟練。
2.盡量不要在臨床科室使用帶電源適配器的小型集線器(HUB)。這也是局部網絡極不穩定的重要原因,有時維護人員要反復到現場數次解決此類問題。
3.施工前加強施工單位與網絡維護人員的協調,斷電前制定詳細的切換方案和應急方案。
4.合理規劃配線間和機柜位置,遠離人群,避免噪音。
5.分置配線間內的強電電源和斷電頻繁的照明電,爭取單獨供電,和供電部門協調保證24小時不斷電。
6.加強內部人員管理,要注意隨時觀察,盡量避免因此產生的網絡故障。
四、小結
隨著醫院計算機網絡的逐步發展,它漸漸成為一個醫院關鍵的、不可缺少的資源。我們必須積極主動的利用各種手段管理網絡、診斷問題、防患于未然,為醫院計算機信息系統提供良好的運行環境。
參考文獻
關鍵詞:網絡安全;安全防范
1引言
隨著計算機應用范圍的擴大和互聯網技術的迅速發展,計算機信息技術已經滲透到人們生活的方方面面,網上購物、商業貿易、金融財務等經濟行為都已經實現網絡運行,“數字化經濟”(DigitalEconomy)引領世界進入一個全新的發展階段。
然而,越來越開放的信息系統也帶來了眾多安全隱患,黑客和反黑客、破壞和反破壞的斗爭愈演愈烈。在網絡安全越來越受到人們重視和關注的今天,網絡安全技術作為一個獨特的領域越來越受到人們關注。
2網絡安全
2.1網絡安全定義
所謂網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統能連續、可靠、正常地運行,網絡服務不中斷。常見的影響網絡安全的問題主要有病毒、黑客攻擊、系統漏洞、資料篡改等,這就需要我們建立一套完整的網絡安全體系來保障網絡安全可靠地運行。
2.2影響網絡安全的主要因素
(1)信息泄密。主要表現為網絡上的信息被竊聽,這種僅竊聽而不破壞網絡中傳輸信息的網絡侵犯者被稱為消極侵犯者。
(2)信息被篡改。這是純粹的信息破壞,這樣的網絡侵犯被稱為積極侵犯者。積極侵犯者截取網上的信息包,并對之進行更改使之失效,或者故意添加一些有利于自已的信息,起到信息誤導的作用,其破壞作用最大。
(3)傳輸非法信息流。只允許用戶同其他用戶進行特定類型的通信,但禁止其它類型的通信,如允許電子郵件傳輸而禁止文件傳送。
(4)網絡資源的錯誤使用。如不合理的資源訪問控制,一些資源有可能被偶然或故意地破壞。
(5)非法使用網絡資源。非法用戶登錄進入系統使用網絡資源,造成資源的消耗,損害了合法用戶的利益。
(6)環境影響。自然環境和社會環境對計算機網絡都會產生極大的不良影響。如惡劣的天氣、災害、事故會對網絡造成損害和影響。
(7)軟件漏洞。軟件漏洞包括以下幾個方面:操作系統、數據庫及應用軟件、TCP/IP協議、網絡軟件和服務、密碼設置等的安全漏洞。這些漏洞一旦遭受電腦病毒攻擊,就會帶來災難性的后果。
(8)人為安全因素。除了技術層面上的原因外,人為的因素也構成了目前較為突出的安全因素,無論系統的功能是多么強大或者配備了多少安全設施,如果管理人員不按規定正確地使用,甚至人為露系統的關鍵信息,則其造成的安全后果是難以量的。這主要表現在管理措施不完善,安全意識薄,管理人員的誤操作等。
3有效防范網絡安全的做法
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統能連續、可靠、正常地運行,網絡服務不中斷。其中最重要的是指網絡上的信息安全。
現在有很多人認為在網絡中只要使用了一層安全就夠了,事實并不是這樣,一層根本擋不住病毒和黑客的侵襲。接下來我將逐點介紹網絡安全的多點做法。
第一、物理安全。
除了要保證要有電腦鎖之外,更多的要注意防火,要將電線和網絡放在比較隱蔽的地方。我們還要準備UPS,以確保網絡能夠以持續的電壓運行,在電子學中,峰值電壓是一個非常重要的概念,峰值電壓高的時候可以燒壞電器,迫使網絡癱瘓,峰值電壓最小的時候,網絡根本不能運行。使用UPS可以排除這些意外。另外要做好防老鼠咬壞網線。
第二、系統安全(口令安全)。
要盡量使用大小寫字母和數字以及特殊符號混合的密碼,但是自己要記住。另外最好不要使用空口令或者是帶有空格的,這樣很容易被一些黑客識破。也可以在屏保、重要的應用程序和文件上添加密碼,以確保雙重安全。
第三、打補丁。
要及時的對系統補丁進行更新,大多數病毒和黑客都是通過系統漏洞進來的,例如今年五一風靡全球臭名昭著的振蕩波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以要及時對系統和應用程序打上最新的補丁,例如IE、OUTLOOK、SQL、OFFICE等應用程序。另外要把那些不需要的服務關閉,例如TELNET,還有關閉Guset帳號等。
第四、安裝防病毒軟件。
病毒掃描就是對機器中的所有文件和郵件內容以及帶有.exe的可執行文件進行掃描,掃描的結果包括清除病毒,刪除被感染文件,或將被感染文件和病毒放在一隔離文件夾里面。要對全網的機器從網站服務器到郵件服務器到文件服務器到客戶機都要安裝殺毒軟件,并保持最新的病毒庫。因為病毒一旦進入電腦,它會瘋狂的自我復制,遍布全網,造成的危害巨大,甚至可以使得系統崩潰,丟失所有的重要資料。所以至少每周一次對全網的電腦進行集中殺毒,并定期的清除隔離病毒的文件夾。第五、應用程序。
病毒有超過一半都是通過電子郵件進來的,所以除了在郵件服務器上安裝防病毒軟件之外,還要對PC機上的outlook防護,用戶要提高警惕性,當收到那些無標題的郵件,或是不認識的人發過來的,或是全是英語例如什么happy99,money,然后又帶有一個附件的郵件,建議用戶最好直接刪除,不要去點擊附件,因為百分之九十以上是病毒。除了不去查看這些郵件之外,用戶還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。
很多黑客都是通過用戶訪問網頁的時候進來的。用戶可能碰到過這種情況,當打開一個網頁的時候,會不斷的跳出非常多窗口,關都關不掉,這就是黑客已經進入了你的電腦,并試圖控制你的電腦。所以用戶要將IE的安全性調高一點,經常刪除一些cookies和脫機文件,還有就是禁用那些ActiveX的控件。
第六、服務器。
服務器最先被利用的目的是可以加速訪問用戶經??吹木W站,因為服務器都有緩沖的功能,在這里可以保留一些網站與IP地址的對應關系。
服務器的優點是可以隱藏內網的機器,
這樣可以防止黑客的直接攻擊,另外可以節省公網IP。缺點就是每次都要經由服務器,這樣訪問速度會變慢。另外當服務器被攻擊或者是損壞的時候,其余電腦將不能訪問網絡。
第七、防火墻
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信任的公共網)或網絡安全域之間的一系列部件的組合。它可通過監測、限制及更改跨越防火墻的數據流,盡可能地對外部屏蔽內部網絡的信息、結構和運行狀況,以此來實現網絡的安全保護。
在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
防火墻基本上是一個獨立的進程或一組緊密結合的進程,控制經過防火墻的網絡應用程序的通信流量。一般來說,防火墻置于公共網絡(如Internet)入口處。它的作用是確保一個單位內的網絡與Internet之間所有的通信均符合該單位的安全策略。防火墻能有效地防止外來的入侵,它在網絡系統中的作用是:
(1)控制進出網絡的信息流向和信息包;
(2)提供使用和流量的日志和審計;
(3)隱藏內部IP地址及網絡結構的細節;
(4)提供虛擬專用網(VPN)功能。
防火墻技術的發展方向:目前防火墻在安全性、效率和功能方面還存在一定矛盾。防火墻的技術結構,一般來說安全性高的效率較低,或者效率高的安全性較差。未來的防火墻應該既有高安全性又有高效率。重新設計技術結構架構,比如在包過濾中引用鑒別授權機制、復變包過濾、虛擬專用防火墻、多級防火墻等將是未來可能的發展方向。
第八、DMZ。
DMZ是英文“demilitarizedzone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區,這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡,因為這種網絡部署,比起一般的防火墻方案,對攻擊者來說又多了一道關卡。
第九、IDS。
在使用了防火墻和防病毒軟件之后,再使用IDS來預防黑客攻擊。IDS,就是分析攻擊事件以及攻擊的目標與攻擊源,然后利用這些來抵御攻擊,將損壞降低到最低限度。目前IDS還沒有象防火墻那樣用的普遍,但是這個也將是未來幾年的趨勢,現在一些政府已經開始使用。
第十、分析時間日志與記錄。