序言:寫作是分享個人見解和探索未知領域的橋梁����,我們?yōu)槟x了8篇的網(wǎng)絡安全與維護論文樣本����,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀��。
第1篇
關鍵詞:局域網(wǎng)網(wǎng)絡安全
一�����、引言
信息科技的迅速發(fā)展����,Internet已成為全球重要的信息傳播工具�����?����?萍颊撐?。據(jù)不完全統(tǒng)計�����,Internet現(xiàn)在遍及186個國家���,容納近60萬個網(wǎng)絡���,提供了包括600個大型聯(lián)網(wǎng)圖書館,400個聯(lián)網(wǎng)的學術文獻庫�����,2000種網(wǎng)上雜志�,900種網(wǎng)上新聞報紙,50多萬個Web網(wǎng)站在內的多種服務,總共近100萬個信息源為世界各地的網(wǎng)民提供大量信息資源交流和共享的空間����。信息的應用也從原來的軍事、科技���、文化和商業(yè)滲透到當今社會的各個領域�����,在社會生產(chǎn)�����、生活中的作用日益顯著�����。傳播、共享和自增殖是信息的固有屬性�����,與此同時�����,又要求信息的傳播是可控的,共享是授權的�,增殖是確認的。因此在任何情況下����,信息的安全和可靠必須是保證的。
二�����、局域網(wǎng)的安全現(xiàn)狀
目前的局域網(wǎng)基本上都采用以廣播為技術基礎的以太網(wǎng)����,任何兩個節(jié)點之間的通信數(shù)據(jù)包,不僅為這兩個節(jié)點的網(wǎng)卡所接收�,也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取?���?萍颊撐摹R虼?,黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽,就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包�����,對其進行解包分析,從而竊取關鍵信息�����,這就是以太網(wǎng)所固有的安全隱患�。事實上,Internet上許多免費的黑客工具��,如SATAN���、ISS�����、NETCAT等等�����,都把以太網(wǎng)偵聽作為其最基本的手段。
三�、局域網(wǎng)安全技術
1、采用防火墻技術�����。防火墻是建立在被保護網(wǎng)絡與不可信網(wǎng)絡之間的一道安全屏障,用于保護內部網(wǎng)絡和資源�。它在內部和外部兩個網(wǎng)絡之間建立一個安全控制點,對進�����、出內部網(wǎng)絡的服務和訪問進行控制和審計�。防火墻產(chǎn)品主要分為兩大類:
包過濾防火墻(也稱為網(wǎng)絡層防火墻)在網(wǎng)絡層提供較低級別的安全防護和控制。
應用級防火墻(也稱為應用防火墻)在最高的應用層提供高級別的安全防護和控制��。
2��、網(wǎng)絡分段��。網(wǎng)絡分段通常被認為是控制網(wǎng)絡廣播風暴的一種基本手段����,但其實也是保證網(wǎng)絡安全的一項重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡資源相互隔離��,從而防止可能的非法偵聽����,網(wǎng)絡分段可分為物理分段和邏輯分段兩種方式���。
目前,海關的局域網(wǎng)大多采用以交換機為中心��、路由器為邊界的網(wǎng)絡格局��,應重點挖掘中心交換機的訪問控制功能和三層交換功能�,綜合應用物理分段與邏輯分段兩種方法,來實現(xiàn)對局域網(wǎng)的安全控制����。例如:在海關系統(tǒng)中普遍使用的DECMultiSwitch900的入侵檢測功能,其實就是一種基于MAC地址的訪問控制�����,也就是上述的基于數(shù)據(jù)鏈路層的物理分段���。
3�����、以交換式集線器代替共享式集線器�����。對局域網(wǎng)的中心交換機進行網(wǎng)絡分段后����,以太網(wǎng)偵聽的危險仍然存在���。這是因為網(wǎng)絡最終用戶的接入往往是通過分支集線器而不是中心交換機����,而使用最廣泛的分支集線器通常是共享式集線器�����。這樣�,當用戶與主機進行數(shù)據(jù)通信時,兩臺機器之間的數(shù)據(jù)包(稱為單播包UnicastPacket)還是會被同一臺集線器上的其他用戶所偵聽。用戶TELNET到一臺主機上,由于TELNET程序本身缺乏加密功能����,用戶所鍵入的每一個字符(包括用戶名、密碼等重要信息)���,都將被明文發(fā)送,這就給黑客提供了機會�����。因此,應該以交換式集線器代替共享式集線器�����,使單播包僅在兩個節(jié)點之間傳送���,從而防止非法偵聽����。
4���、VLAN的劃分�����。運用VLAN(虛擬局域網(wǎng))技術�����,將以太網(wǎng)通信變?yōu)辄c到點通信��,防止大部分基于網(wǎng)絡偵聽的入侵���。目前的VLAN技術主要有三種:基于交換機端口的VLAN�、基于節(jié)點MAC地址的VLAN和基于應用協(xié)議的VLAN����?�;诙丝诘腣LAN雖然稍欠靈活�����,但卻比較成熟����,在實際應用中效果顯著,廣受歡迎�����?�;贛AC地址的VLAN為移動計算提供了可能性�����,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN��,理論上非常理想����,但實際應用卻尚不成熟。
在集中式網(wǎng)絡環(huán)境下��,我們通常將中心的所有主機系統(tǒng)集中到一個VLAN里�����,在這個VLAN里不允許有任何用戶節(jié)點���,從而較好地保護敏感的主機資源����。在分布式網(wǎng)絡環(huán)境下��,我們可以按機構或部門的設置來劃分VLAN����。各部門內部的所有服務器和用戶節(jié)點都在各自的VLAN內,互不侵擾。VLAN內部的連接采用交換實現(xiàn)��,而VLAN與VLAN之間的連接則采用路由實現(xiàn)��。
5�����、隱患掃描�。一個計算機網(wǎng)絡安全漏洞有它多方面的屬性�,主要可以用以下幾個方面來概括:漏洞可能造成的直接威脅、漏洞的成因�����、漏洞的嚴重性和漏洞被利用的方式����。漏洞檢測和入侵檢測系統(tǒng)是網(wǎng)絡安全系統(tǒng)的一個重要組成部分,它不但可以實現(xiàn)復雜煩瑣的信息系統(tǒng)安全管理����,而且還可以從目標信息系統(tǒng)和網(wǎng)絡資源中采集信息,分析來自網(wǎng)絡外部和內部的入侵信號和網(wǎng)絡系統(tǒng)中的漏洞,有時還能實時地對攻擊做出反應�����。漏洞檢測就是對重要計算機信息系統(tǒng)進行檢查,發(fā)現(xiàn)其中可被黑客利用的漏洞���。這種技術通常采用兩種策略�,即被動式策略和主動式策略�����。被動式策略是基于主機的檢測����,對系統(tǒng)中不合適的設置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進行檢查����;而主動式策略是基于網(wǎng)絡的檢測,通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊�,并記錄它的反應,從而發(fā)現(xiàn)其中的漏洞���。漏洞檢測的結果實際上就是系統(tǒng)安全性能的一個評估��,它指出了哪些攻擊是可能的����,因此成為安全方案的一個重要組成部分。入侵檢測和漏洞檢測系統(tǒng)是防火墻的重要補充�����,并能有效地結合其他網(wǎng)絡安全產(chǎn)品的性能���,對網(wǎng)絡安全進行全方位的保護�����。科技論文�。
四、網(wǎng)絡安全制度
1���、組織工作人員認真學習《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》���,提高工作人員的維護網(wǎng)絡安全的警惕性和自覺性。
2����、負責對本網(wǎng)絡用戶進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》,使他們具備基本的網(wǎng)絡安全知識�����。
3�����、實時監(jiān)控網(wǎng)絡用戶的行為��,保障網(wǎng)絡設備自身和網(wǎng)上信息的安全���。
4��、對已經(jīng)發(fā)生的網(wǎng)絡破壞行為在最短的時間內做出響應���,使損失減少到最低限度。
五����、結束語
網(wǎng)絡的開放性決定了局域網(wǎng)安全的脆弱性,而網(wǎng)絡技術的不斷飛速發(fā)展���,又給局域網(wǎng)的安全管理增加了技術上的不確定性����,目前有效的安全技術可能很快就會過時,在黑客和病毒面前不堪一擊�����。因此�,局域網(wǎng)的安全管理不僅要有切實有效的技術手段,嚴格的管理制度�����,更要有知識面廣����,具有學習精神的管理人員。
參考文獻
[1]石志國,薛為民,尹浩.《計算機網(wǎng)絡安全教程》[M].北京:北方交通大學出版社,2007.
第2篇
論文摘要:隨著信息化步伐的加快���,信息化已成為現(xiàn)代社會發(fā)展的趨勢。但由于網(wǎng)絡存在的缺陷��,網(wǎng)絡安全已成為社會關注的焦點��,新的入侵攻擊手段隨著新的網(wǎng)絡安全技術手段的出現(xiàn)不斷涌現(xiàn)��。提高其安全性和可靠性非常重要。本論文通過對該網(wǎng)絡安全問題進行分析后提出了網(wǎng)絡安全解決方案�。
0 引言
隨著計算機網(wǎng)絡的發(fā)展與普及,當前社會的發(fā)展主題依然確立為計算機網(wǎng)絡����,在生活、經(jīng)濟的諸多領域之中都有著網(wǎng)絡的印記�����,現(xiàn)階段獲取信息與交流的主要手段也是網(wǎng)絡�����。然而網(wǎng)絡自身是有缺陷的�,因此,計算機網(wǎng)路在引起社會生活及生產(chǎn)的歷史性變革的同時也引發(fā)了一些問題���。所有的安全問題并不能通過安全體系設計方案得以完全解決����。在計算機網(wǎng)絡不斷發(fā)展的背景下�,我們關于信息化建設中所出現(xiàn)的網(wǎng)絡安全問題的認識會不斷的深化,相關的技術也會得到不斷的改進與升級���,以使得網(wǎng)絡防御方法更利于解決網(wǎng)絡安全問題�����。以下論文主要提出了計算機網(wǎng)絡系統(tǒng)存在的安全問題�,并進一步提出了解決的對策。
1 計算機網(wǎng)絡系統(tǒng)存在的主要安全問題
1.1 網(wǎng)絡硬件設施缺陷 互聯(lián)網(wǎng)中必不可少的部分是網(wǎng)絡硬件設施�����,硬件設施本身就有著安全隱患�����。電子輻射泄露就是其主要的安全隱患問題���,也就是說計算機和網(wǎng)絡所包含的電磁信息泄露了��,這增加了竊密����、失密����、泄密的危險;此外安全隱患問題也體現(xiàn)在通信部分的脆弱性上����,在進行數(shù)據(jù)與信息的交換和通信活動時,主要通過四種線路�����,即光纜�、電話線、專線���、微波�����,除光纜外其它三種線路上的信息比較容易被竊?��。怀鲜龇矫嫱?����,計算機的操作系統(tǒng)與硬件組成的脆弱性�����,也給系統(tǒng)的濫用埋下了隱患。
1.2 操作系統(tǒng)缺陷 對網(wǎng)絡系統(tǒng)與本地計算機的安全起關鍵的決定性作用的部分是操作系統(tǒng)�,這是因為構建用戶連接、上層軟件�����、計算機硬件三者間聯(lián)系的就是計算機的操作系統(tǒng)�。操作系統(tǒng)要在復雜的網(wǎng)絡環(huán)境下能夠更好的工作,無疑會出現(xiàn)安全方面的漏洞��,后門與系統(tǒng)漏洞是操作系統(tǒng)最主要的安全隱患����,其包含諸多的問題,比如Windows的遠程過程調用RPC漏洞���、Linux下的緩沖區(qū)溢出等�。所以��,很容易可以看出�,在不能完全符合軟件安全需要的情況下所引發(fā)的計算機網(wǎng)絡系統(tǒng)的主要缺陷是操作系統(tǒng)軟件的安全漏洞的本質,另外,由于操作系統(tǒng)存在安全隱患�����,數(shù)據(jù)庫程序及電子郵件等都有可能會存在危險�����。根據(jù)漏洞被利用的不同方式����,有大約237條的攻擊屬于遠程攻擊��,而本地攻擊僅有25條�����,由此得出漏洞被利用的主要方式是遠程攻擊�����,遠程攻擊對于網(wǎng)絡安全帶來了巨大的隱患����。
1.3 軟件方面的安全問題 近年來,Oracle、微軟�����、Sun都公布了安全更新公告�����,提醒用戶盡快下載���、安裝官方網(wǎng)站上的相應程序��,這些安全策略內容主要涉及Windows操作系統(tǒng)內核更新和Office組件的安全更新����,操作系統(tǒng)的安全形勢非常的嚴峻��,給用戶的信息帶來了巨大的隱患����。一旦有漏洞的系統(tǒng)在執(zhí)行過程中出現(xiàn)缺陷,同時遇到攻擊��,很可能會引發(fā)系統(tǒng)的完全失效��。應用軟件的與生俱來的特征之一就是軟件缺陷。這些缺陷不僅存在于小程序�,也貫穿于大軟件之中,生命與財產(chǎn)因此面臨很大的威脅��。最為典型的例子是上個世紀的海灣戰(zhàn)爭中����,軟件計時系統(tǒng)存在誤差�����,而且這一誤差不斷被累積����,致使美軍的愛國者導彈攔截伊拉克飛毛腿導彈失敗,出現(xiàn)了巨大的人員傷亡�����,引發(fā)了嚴重的后果����。不少網(wǎng)絡安全問題是由應用軟件所存在的缺陷引起的,應用軟件的這些安全隱含必須受到足夠的重視�����。總之�,從目前的情況來看,我國自2000年來越來越重視信息安全的關鍵作用���,信息與網(wǎng)絡安全產(chǎn)業(yè)初步形成了一定規(guī)模���。然而從總的情況看,我們國家的信息與網(wǎng)絡安全依然存在著巨大的問題�����。隨著網(wǎng)絡的普及�����,移動��,互聯(lián)網(wǎng)����,電信業(yè)務的不斷整合,需要把網(wǎng)絡建設成真正可靠�����、安全的網(wǎng)絡已經(jīng)成為每個網(wǎng)絡安全研究人員必須解決的主要問題之一。
2 計算機網(wǎng)絡安全的具體策略
雖然在網(wǎng)絡服務安全等幾項基礎環(huán)節(jié)對網(wǎng)絡采取了相應的安全措施�,然而由于使用者普遍缺乏網(wǎng)絡安全方面的專業(yè)知識,在信息化建設中對安全重要性的忽視����,網(wǎng)絡信息系統(tǒng)等保護制度與法律法規(guī)和技術標準配套等方面的企業(yè)安全管理的相應制度的可操作性極差,以至于在規(guī)劃�、建立與使用網(wǎng)絡及其應用設施時不能確保其可靠性�����、穩(wěn)定性與安全性�����。具體的計算機網(wǎng)絡安全策略可以實施如下:
2.1 加強計算機防水墻的建設 防水墻的設計理念是在防止內部信息像水一樣外泄�。防水墻實際上是一個內網(wǎng)監(jiān)控系統(tǒng),監(jiān)控著內部主機的安全情況�����,置于內部網(wǎng)絡之中����。由于防水墻的存在��,內部信息的安全性被提高了����。其重要的功能還在于:內部網(wǎng)絡信息泄漏防范��,防止在內部網(wǎng)絡的主機上��,本地的一些比較敏感的信息被故意的擴散����,此外,在管理系統(tǒng)的用戶賬號方面�,可以記錄用戶登錄計算機系統(tǒng)的信息,這給予安全工作很大的保障�;另外,安全的管理系統(tǒng)資源�����,對系統(tǒng)中卸載與安裝軟硬件的行為進行限制��,對一些特別程序的運行進行控制�,限制刪除文件及重命名文件的行為�。在必要的情況下���,控制與安全事件有關的計算機的輸入與輸出的設備��,比如鍵盤����、鼠標等設備�。
2.2 建設VPN網(wǎng)絡 虛擬專用網(wǎng)在一定程度上擴展了內部局域網(wǎng)絡,它是借助于公共網(wǎng)絡����,來設立一個安全的�����、臨時的連接公司內部網(wǎng)絡的隧道�����。遠程用戶是虛擬專用網(wǎng)絡的主要對象�,可以在使用中確保安全的傳輸數(shù)據(jù)。企業(yè)在遠程網(wǎng)絡及局域網(wǎng)絡連接方面的費用可以借助于向成本較低的公共網(wǎng)絡上轉移的途徑實現(xiàn)降低��。這樣的網(wǎng)絡極大的提高了連接新的用戶和網(wǎng)站的速度。同時����,該類型的網(wǎng)絡還可以保護現(xiàn)有的企業(yè)網(wǎng)絡投資。在企業(yè)網(wǎng)站間的安全通信及移動用戶的因特網(wǎng)接入領域都可以使用虛擬專用網(wǎng)����,這都可以保證連接的安全性。借助于公共網(wǎng)絡平臺所傳輸?shù)臄?shù)據(jù)的安全性及可用性可以由VPN保證���。在安全性方面VPN直接通過公共網(wǎng)絡進行數(shù)據(jù)的傳輸��,非常的簡單方便�����。相反的�,用戶在使用中理應具備為不同數(shù)據(jù)提供不同等級的服務質量保證的能力����。業(yè)務及用戶的不同,致使對服務質量的要求不同����。公共網(wǎng)流量的不確定性使其帶寬的使用率很低���,容易出現(xiàn)網(wǎng)絡阻塞的現(xiàn)象,VPN必須能夠支持通過內部網(wǎng)絡和外部網(wǎng)絡的任何類型的數(shù)據(jù)流����,從用戶和網(wǎng)絡服務提供商的角度應保證管理以及維護的便利性。
2.3 加強全面的安全管理 網(wǎng)絡安全的關鍵在于安全管理�,而安全管理的保證依賴于網(wǎng)絡安全技術。技術與管理是安全的兩個重要方面����,網(wǎng)絡安全具有安全管理與安全技術的雙重屬性。出現(xiàn)病毒后����,網(wǎng)絡上會出現(xiàn)予以應對的殺毒軟件,然而過段時間新的病毒又會出現(xiàn)�����,無法從根本上防止病毒����。大量用戶不具備系統(tǒng)安全維護的意識��,而且安全管理方面的體制也很不健全。所以��,要加大全面管理的力度����,主要的方式是要對安全管理足夠的重視。管理是網(wǎng)絡安全中最為關鍵的部分����,以防一些重要信息有意或無意的被泄漏。
3 結論
隨著國內外計算機互聯(lián)網(wǎng)絡的普����,網(wǎng)絡給人們帶來極大方便的同時也帶來了嚴重的隱患,網(wǎng)絡安全問題變得越來越重要���,如何解決好網(wǎng)絡安全問題����?我們認為網(wǎng)絡安全技術與工具是網(wǎng)絡安全的基礎�����,同時嚴格的管理則是網(wǎng)絡安全的關鍵,網(wǎng)絡安全需要我們每一個人的參與���。
參考文獻
[1]王建軍�����,李世英.計算機網(wǎng)絡安全問題的分析與探討[J].赤峰學院學報(自然科學版)�����,2009�,(01).
[2]龔奕.計算機網(wǎng)絡安全問題和對策研究[J].軟件導刊����,2009,(02).
[3]范偉林.關于計算機網(wǎng)絡安全問題的研究和探討[J].科技風����,2009,(02).
[4]葉炳煜.淺論計算機網(wǎng)絡安全[J].電腦知識與技術��,2009���,(03).
第3篇
論文摘 要: 網(wǎng)絡安全建設是確保高職院校圖書館正常提供各種數(shù)字化服務的重要工作,也是構建高職院校安全穩(wěn)定數(shù)字圖書館的重要組成部分。本文作者基于高職院校數(shù)字圖書館網(wǎng)絡安全影響因素分析�,結合網(wǎng)絡安全管理工作的實際,提出了高職院校數(shù)字圖書館的網(wǎng)絡安全管理策略�����。
一����、前言
隨著Internet的普及和廣泛發(fā)展,當今社會已進入了網(wǎng)絡信息高速流通的時代�����,它使信息與信息之間的距離拉近了��,計算機網(wǎng)絡被廣泛應用于越來越多的專業(yè)領域�,包括傳統(tǒng)學科圖書館學。隨著數(shù)字圖書館的概念提出和在高職院校圖書館的廣泛應用����,數(shù)字圖書館的網(wǎng)絡安全問題受到越來越多的關注,實現(xiàn)網(wǎng)絡安全是保證高職院校數(shù)字圖書館健康發(fā)展的基礎保障�����。因此,全面分析高職院校數(shù)字圖書館的網(wǎng)絡安全影響因素���,制定和實施行之有效的網(wǎng)絡安全管理策略����,對構建安全穩(wěn)定的高職院校數(shù)字圖書館具有重要積極意義����。
二、高職院校數(shù)字圖書館的網(wǎng)絡安全概述
網(wǎng)絡安全涉及的保護對象為網(wǎng)絡系統(tǒng)中的硬件�、軟件及系統(tǒng)中的數(shù)據(jù)。因此�����,高職院校數(shù)字圖書館網(wǎng)絡安全管理也可以概括為對維護高職院校數(shù)字圖書館這一網(wǎng)絡系統(tǒng)中的硬件�、軟件及數(shù)據(jù)的正常安全運行的一系列管理工作內容。
三���、高職院校數(shù)字圖書館的網(wǎng)絡安全影響因素
當下��,大部分高職院校搭建網(wǎng)絡時選擇采用樹型加星型的混合型拓撲結構�����,采用以太網(wǎng)標準�����,用五類或超五類雙絞線進行綜合布線����,將寬帶或專線接入網(wǎng)絡中的路由器�����,從而與外網(wǎng)相聯(lián)���,最終實現(xiàn)信息交換�,同時在多校區(qū)院校多數(shù)采用光纖進行中長距離連接�。而高職院校數(shù)字圖書館依建在學院的計算機大網(wǎng)絡系統(tǒng)中,成為其一部分����,因此大網(wǎng)絡的安全管理對數(shù)字圖書館的安全存在著不可忽視的影響。除此之外���,還有以下幾點涉及數(shù)字圖書館日常管理中的影響因素�。
(一)計算機技術應用的影響因素
黑客、木馬����、病毒這類危害網(wǎng)絡安全的計算機技術發(fā)展迅速,相應的各類防病毒技術也日新月異����,計算機技術應用層次成為影響網(wǎng)絡安全的重要影響因素。
1.硬件技術因素���。部分高職院校計算機網(wǎng)絡受舊有規(guī)劃�����、經(jīng)費限制等原因制約����,以致網(wǎng)絡設備老舊換代緩慢���,致使網(wǎng)絡運行穩(wěn)定性�、兼容性差�����。
2.軟件技術因素。大量的計算機病毒和木馬在互聯(lián)網(wǎng)上傳播��,而其中的大部分病毒和木馬都是利用了用戶計算機上的各種軟件系統(tǒng)的漏洞進行傳播與擴散����。越來越多的通訊及共享軟件技術在系統(tǒng)普通用戶中推廣應用�����,加速了形式多樣的安全漏洞的出現(xiàn)���。在新的軟件技術推廣應用過程中����,往往忽略了對其安全管理的培訓����。
(二)人員配備因素
雖然隨著圖書館信息化的進一步深入,不少高職院校圖書館采取了一系列措施來解決網(wǎng)絡安全人才配備的問題�,如引進計算機專業(yè)人才、增加現(xiàn)有工作人員的網(wǎng)絡安全技術培訓等�����。但這些只是初步改善了網(wǎng)絡安全管理人才上的數(shù)量配置問題,而事實上由于人員所擁有的經(jīng)驗����、專業(yè)系統(tǒng)性等方面因素也存在著差異,最終影響網(wǎng)絡安全管理效果���。同時各級管理人員及基層操作人員在安全水平與意識上也存在著一定的差異����,往往造成上下理解不同�,操作無法規(guī)范化,致使網(wǎng)絡安全方面的措施很難達到預期的成效����。
四、高職院校數(shù)字圖書館的網(wǎng)絡安全管理策略
(一)建立和落實網(wǎng)絡安全管理制度
作為加強高職院校數(shù)字圖書館網(wǎng)絡安全管理的重要措施��,必須提高全館對網(wǎng)絡安全管理規(guī)范化重要性的認識����,從而建立健全網(wǎng)絡安全管理規(guī)章制度。網(wǎng)絡安全管理制度主要可從以下幾方面建立�����。
1.建立網(wǎng)絡硬件維護、使用及維修制度����。
定期做好網(wǎng)絡安全管理系統(tǒng)硬件設備的維護和保養(yǎng)是加強數(shù)字圖書館網(wǎng)絡安全管理在硬件技術方面的重要措施。在日常工作體系中���,針對中心機房�、服務器�、中心交換機��、二級交換機和Hub等網(wǎng)絡中的關鍵設備的維護和保養(yǎng)�����,建立周期性的檢查���、維護制度����,明確各類設備的管理與使用責任分工至具體管理人員�����,建立維修文檔跟蹤機制,確保網(wǎng)絡安全管理系統(tǒng)運轉順暢�����。
在周期性的維護工作期間�����,要重視設備所處環(huán)境的衛(wèi)生狀況�。良好的外部環(huán)境在一定程度上影響著這些硬件設備的使用壽命及效果。因此�,要保持環(huán)境的通風低溫、電源常通電壓穩(wěn)定�����,減少設備的意外斷電情況��。定期進行環(huán)境清潔��,盡可能保持密閉�,避免過多的灰塵堆積。根據(jù)天氣的變化����,對設備進行防潮防燥工作�����。
為數(shù)字圖書館系統(tǒng)配備相應的備份����、系統(tǒng)恢復硬件設備�,這些設備屬于保證網(wǎng)絡安全系統(tǒng)正常運行的核心。設備更新時�����,對整體設備的配置及時進行調整�����,以做到新舊結合合理����,并達到物盡其用���。
對于受客觀條件限制而必須設置在外部環(huán)境下使用的設備要進行定期的檢查��,發(fā)現(xiàn)物理損壞要及時維修更替�����。
2.建立軟件維護及使用制度����。
操作系統(tǒng)軟件作為支撐軟件是用戶和計算機的接口,控制網(wǎng)絡用戶對網(wǎng)絡系統(tǒng)的訪問及數(shù)據(jù)的存取���,但無論是Windows NT還是Unix或Linux都存在著后門����,為病毒侵入和黑客攻擊留下了可乘之機[1]�。每周應固定對服務器及操作機器進行殺毒、病毒庫升級及系統(tǒng)升級工作�,及時填補安全漏洞。
數(shù)據(jù)庫系統(tǒng)軟件作為實際可運行存儲����、維護和為應用系統(tǒng)提供數(shù)據(jù)的軟件系統(tǒng),其具有一套獨立的安全認證體制[2]�����。在管理過程中可運用數(shù)據(jù)加密技術,設置嚴密的授權規(guī)則���,例如:賬戶��、口令和權限控制等訪問控制方法�。同時����,盡量避免與操作系統(tǒng)的安全認證體制捆綁,例如����,避免數(shù)據(jù)庫系統(tǒng)與操作系統(tǒng)使用相同的管理員用戶名及密碼。保持數(shù)據(jù)庫系統(tǒng)在磁盤上與其他應用程序的相互獨立性���,保證在操作系統(tǒng)不安全的情況下��,數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)最大限度地不被損壞����。
應用軟件作為滿足用戶應用需求而提供的那部分軟件�����,拓寬了操作系統(tǒng)的應用領域����。但同時在使用過程中,也增加了因其不完善性造成的網(wǎng)絡安全漏洞�,因此在應用軟件使用及選擇上應進行規(guī)范控制,特別是針對基層計算機的應用軟件安裝管理上�����。在滿足業(yè)務需要的同時應適當規(guī)范使用范圍����,例如:對于P2P軟件,應限制在少數(shù)業(yè)務計算機中使用�����。對于前臺檢索機的IE瀏覽器應設置嚴格的上網(wǎng)分級審查級別�,避免讀者在使用時誤入不良網(wǎng)站而引起病毒及木馬感染,從而影響整個數(shù)字圖書館系統(tǒng)的網(wǎng)絡安全�����。
除對以上三類軟件建立日常維護制度外��,同時把周期性的系統(tǒng)備份及數(shù)據(jù)備份列入軟件維護制度中。例如:對數(shù)字資源服務器的整體操作環(huán)境和重要的數(shù)據(jù)庫系統(tǒng)進行備份�����,以避免在出現(xiàn)重大網(wǎng)絡安全事故導致數(shù)字圖書館系統(tǒng)數(shù)據(jù)出現(xiàn)丟失時��,無法盡快恢復或重建系統(tǒng)數(shù)據(jù)�。
3.建立突況處理機制。
數(shù)字圖書館系統(tǒng)較常發(fā)生的突況分為:一是自然災害����,指天災引起的網(wǎng)絡與系統(tǒng)的損壞;二是事故災難�����,指電力中斷���、設備故障引起的網(wǎng)絡與系統(tǒng)的損壞�����;三是人為破壞���,指人為破壞網(wǎng)絡設備設施,黑客攻擊等引起的系統(tǒng)無法正常運行�。
網(wǎng)絡安全突發(fā)事件雖然有不可預見性,但在長期的實踐過程中�����,也可摸索出一般的發(fā)生規(guī)律�。而針對其建立的處理機制,就是立足對規(guī)律的總結�����,做好事前的預防及事后的補救工作���。例如:在特殊氣候來臨前��,設備的提前轉移���,環(huán)境的檢查加固;在系統(tǒng)無法正常運行時�����,起用備用系統(tǒng)的處理流程����,等等����。
4.制定網(wǎng)絡安全管理人員操作手冊���。
在加強網(wǎng)絡安全管理專業(yè)隊伍的建設中�����,除了選派配備責任心強����、網(wǎng)絡應用技術熟練的人員擔任管理職務外��,并要建立一套有明確指引的網(wǎng)絡安全管理人員操作手冊�����,以保證管理人員在處理各項網(wǎng)絡安全事務時�,有根可尋、有源可溯����,以避免因失誤操作引起進一步的安全問題�����。
(二)加強各級用戶的網(wǎng)絡安全培訓
據(jù)權威部門統(tǒng)計結果表明,網(wǎng)絡上的安全攻擊事件有70%來自內部攻擊[3]����。全館的各級領導、部門工作人員和讀者應加強數(shù)字圖書館系統(tǒng)的網(wǎng)絡安全意識����,并首先從培訓開始。高職院校圖書館可以定期舉辦相關講座����,培訓,考核等內容�,這樣既可使工作人員學到更多的網(wǎng)絡安全知識,又可增強工作人員的責任心及參與感��。
為達到最佳效果���,各類培訓應根據(jù)人員特質來設定����。專職專崗的管理人員多參與校外最新專業(yè)技能的培訓課程;部門工作人員的培訓內容以日常操作規(guī)范��、防病毒及系統(tǒng)優(yōu)化等內容為主���。而普通讀者在每年的新生教育中�����,融入上網(wǎng)守則�����、計算機的信息安全保護和病毒防范等知識的培訓����。
五�����、結語
隨著數(shù)字圖書館的快速發(fā)展�,嚴防黑客入侵、努力保障網(wǎng)絡安全����,不但是高職院校圖書館信息化發(fā)展的基本需求�����,而且對全院的整體數(shù)字信息化發(fā)展起著重要的作用��,所以各級領導與工作人員應該對網(wǎng)絡安全問題給予高度的重視�����。通過實施有效的高職院校數(shù)字圖書館的網(wǎng)絡安全管理策略能有效減少數(shù)字圖書館系統(tǒng)受網(wǎng)絡安全隱患的困擾。但要構建和維護一個長期穩(wěn)定的數(shù)字圖書館運行網(wǎng)絡環(huán)境和更好地為讀者提供優(yōu)質服務�����,并不是幾個人或短期行為就能解決的事���,更需要建立加強安全教育和培訓�����,增強安全防范的意識����,采取安全防范技術措施,提高網(wǎng)絡安全水平和防范能力�����,降低各種不安全因素的長效工作機制����。
參考文獻
[1]孟慶昌,朱欣源.操作系統(tǒng).北京:電子工業(yè)出版社����,2009.
第4篇
關鍵詞:入侵誘騙技術;Honeypot;網(wǎng)絡安全
中圖分類號:TN915.08 文獻標識碼:A文章編號:1007-9599 (2010) 04-0000-02
Application of Intrusion&Deceit Technique in Network Security
Chen Yongxiang Li Junya
(Jiyuan Vocational&Technical College,Jiyuan454650,Chian)
Abstract:At present,Intrusion Deception technology is the development of network security in recent years, an important branch, the paper generated from the intrusion deception techniques to start a brief description of its development, while popular Honeypot conducted in-depth research, mainly related to the classification of Honeypot, Honeypot advantages and disadvantages, Honeypot design principles and methods, the final will be a simple Honeypot application to specific network.
Key words:Intrusion and deceit technology;Honeypot;Network Security
近年來計算機網(wǎng)絡發(fā)展異常迅猛,各行各業(yè)對網(wǎng)絡的依賴已越發(fā)嚴重。這一方面提高了信息的高速流動,但另一方面卻帶來了極大的隱患����。由于網(wǎng)絡的開放性、計算機系統(tǒng)設計的非安全性導致網(wǎng)絡受到大量的攻擊�����。如何提高網(wǎng)絡的自我防護能力是目前研究的一個熱點����。論文通過引入入侵誘騙技術,設計了一個高效的網(wǎng)絡防護系統(tǒng)。
一�����、入侵誘騙技術簡介
通過多年的研究表明,網(wǎng)絡安全存在的最大問題就是目前采用的被動防護方式,該方式只能被動的應對攻擊,缺乏主動防護的功能。為應對這一問題,就提出了入侵誘騙技術����。該技術是對被動防護的擴展,通過積極的進行入侵檢測,并實時的將可疑目標引向自身,導致攻擊失效,從而有效的保護目標。
上個世紀80年代末期由stoll首先提出該思想,到上世紀90年代初期由Bill Cheswish進一步豐富了該思想����。他通過在空閑的端口上設置一些用于吸引入侵者的偽造服務來獲取入侵者的信息,從而研究入侵者的規(guī)律。到1996年Fred Cohen 提出將防火墻技術應用于入侵誘騙技術中,實現(xiàn)消除入侵資源��。為進一步吸引入侵目標,在研究中提出了引誘其攻擊自身的特殊目標“Honeypot”����。研究者通過對Honeypot中目標的觀察,可清晰的了解入侵的方法以及自身系統(tǒng)的漏洞,從而提升系統(tǒng)的安全防護水平����。
二、Honeypot的研究
在這個入侵誘騙技術中,Honeypot的設計是關鍵���。按交互級別,可對Honeypot進行分類:低交互度Honeypot���、中交互度Honeypot和高交互度Honeypot�����。低交互度Honeypot由于簡單的設計和基本的功能,低交互度的honeypot通常是最容易安裝�����、部署和維護的�。在該系統(tǒng)中,由于沒有真正的操作系統(tǒng)可供攻擊者遠程登錄,操作系統(tǒng)所帶來的復雜性被削弱了,所以它所帶來的風險是最小的�����。但也讓我們無法觀察一個攻擊者與系統(tǒng)交互信息的整個過程���。它主要用于檢測����。通過中交互度Honeypot可以獲得更多有用的信息,同時能做出響應,是仍然沒有為攻擊者提供一個可使用的操作系統(tǒng)�����。部署和維護中交互度的Honeypot是一個更為復雜的過程����。高交互度Honeypot的主要特點是提供了一個真實的操作系統(tǒng)���。該系統(tǒng)能夠收集更多的信息、吸引更多的入侵行為�。
當然Honeypot也存在著一些缺點:需要較多的時間和精力投入。Honeypot技術只能對針對其攻擊行為進行監(jiān)視和分析,其視野較為有限,不像入俊檢側系統(tǒng)能夠通過旁路偵聽等技術對整個網(wǎng)絡進行監(jiān)控�����。Honeypot技術不能直接防護有漏洞的信息系統(tǒng)�����。部署Honeypot會帶來一定的安全風險����。
構建一個有用的Honeypot是一個十分復雜的過程,主要涉及到Honeypot的偽裝、采集信息����、風險控制�、數(shù)據(jù)分析。其中,Honeypot的偽裝就是將一個Honeypot通過一定的措施構造成一個十分逼真的環(huán)境,以吸引入侵者�。但Honeypot偽裝的難度是既不能暴露太多的信息又不能讓入侵者產(chǎn)生懷疑。最初采用的是偽造服務,目前主要采用通過修改的真實系統(tǒng)來充當����。Honeypot的主要功能之一就是獲取入侵者的信息,通常是采用網(wǎng)絡sniffer或IDS來記錄網(wǎng)絡包從而達到記錄信息的目的�����。雖然Honeypot可以獲取入侵者的信息,并能有效的防護目標,但Honeypot也給系統(tǒng)帶來了隱患,如何控制這些潛在的風險十分關鍵�����。Honeypot的最后一個過程就是對采用數(shù)據(jù)的分析�。通過分析就能獲得需要的相關入侵者規(guī)律的信息���。
對于設計Honeypot,主要有三個步驟:首先,必須確定自己Honeypot的目標����。因為Honeypot并不能完全代替?zhèn)鹘y(tǒng)的網(wǎng)絡安全機制,它只是網(wǎng)絡安全的補充,所以必須根據(jù)自己的目標定位Honeypot����。通常Honeypot可定位于阻止入侵、檢測入侵等多個方面�。其次,必須確定自己Honeypot的設計原則。在這里不僅要確定Honeypot的級別還有確定平臺的選擇�。目前,對用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能夠更加廣泛的收集入侵者的信息,獲取需要的資料。在平臺的選擇上,目前我們選擇的范圍很有限,一般采用Linux系統(tǒng)����。其原因主要是Linux的開源�����、廣泛應用和卓越的性能���。最后,就是對選定環(huán)境的安裝和配置。
三����、Honeypot在網(wǎng)絡中的應用
為更清晰的研究Honeypot,將Honeypot應用于具體的網(wǎng)絡中。在我們的研究中,選擇了一個小規(guī)模的網(wǎng)絡來實現(xiàn)�����。當設計完整個網(wǎng)絡結構后,我們在網(wǎng)絡出口部分配置了設計的Honeypot����。在硬件方面增加了安裝了snort的入侵檢測系統(tǒng)、安裝了Sebek的數(shù)據(jù)捕獲端����。并且都構建在Vmware上實現(xiàn)虛擬Honeypot����。在實現(xiàn)中,主要安裝并配置了Honeyd����、snort和sebek.其Honeypot的結構圖,見圖1�。
圖1 Honeypot結構圖
四、小結
論文從入侵誘騙技術入手系統(tǒng)的分析了該技術的發(fā)展歷程,然后對入侵誘騙技術中的Honeypot進行了深入的研究,主要涉及到Honeypot的分類����、設計原則、設計方法,最后,將一個簡易的Honeypot應用于具體的網(wǎng)絡環(huán)境中,并通過嚴格的測試,表明該系統(tǒng)是有效的�。
參考文獻
[1]蔡芝蔚.基于Honeypot的入侵誘騙系統(tǒng)研究[M].網(wǎng)絡通訊與安全,1244~1245
[2]楊奕.基于入侵誘騙技術的網(wǎng)絡安全研究與實現(xiàn).[J].計算機應用學報,2004.3:230~232.
[3]周光宇,王果平.基于入侵誘騙技術的網(wǎng)絡安全系統(tǒng)的研究[J].微計算機信息,2007.9
[4]夏磊,蔣建中,高志昊.入侵誘騙、入侵檢測��、入侵響應三位一體的網(wǎng)絡安全新機制
[5]Bill Cheswick. An Evening with Berferd In Which a Cracker is Lured,Endured,and Studied.Proceedings of the Winter 1992 Usenix conference,1992
[6]Fred Cohen.A Mathematical Structureof Simple Defensive Network Deceptions[J],Computers and Security,2000.19
第5篇
論文摘要:隨著網(wǎng)絡在社會生活中不斷普及����,網(wǎng)絡安全問題越來越顯得重要。當因特網(wǎng)以變革的方式提供信息檢索與能力的同時����,也以變革的方式帶來信息污染與破壞的危險。對計算機網(wǎng)絡安全保護模式與安全保護策略進行探討�。
計算機網(wǎng)絡最重要的資源是它所提供的服務及所擁有的信息,計算機網(wǎng)絡的安全性可以定義為保障網(wǎng)絡服務的可用性和網(wǎng)絡信息的完整性。為了有效保護網(wǎng)絡安全�����,應選擇合適的保護模式�����。
1 安全保護模式
為盡量減少和避免各種外來侵襲的安全模式有以下幾種類型:
1.1 無安全保護����。最簡單的安全保護模式是完全不實施任何安全機制,按銷售商所提供的最小限度安全運行����。這是最消極的一種安全保護模式。
1.2 模糊安全保護����。另一種安全保護模式通常稱之為“模糊安全保護”,采用這種模式的系統(tǒng)總認為沒有人會知道它的存在���、目錄�����、安全措施等���,因而它的站點是安全的。但是實際上對這樣的一個站點�,可以有很多方法查找到它的存在。站點的防衛(wèi)信息是很容易被人知道的�����。在主機登錄信息中了解到系統(tǒng)的硬件和軟件以及使用的操作系統(tǒng)等信息后��,一個入侵者就能由此試一試安全漏洞的重要線索���。入侵者一般有足夠多的時間和方法來收集各種信息��,因此這種模式也是不可取的�����。
1.3 主機安全保護����。主機安全模式可能是最普通的種安全模式而被普遍采用����,主機安全的目的是加強對每一臺主機的安全保護�����,在最大程度上避免或者減少已經(jīng)存在的可能影響特定主機安全的問題�����。
在現(xiàn)代的計算機環(huán)境中���,主機安全的主要障礙就是環(huán)境復雜多變性。不同品牌的計算機有不同的商�����,同一版本操作系統(tǒng)的機器��,也會有不同的配置�����、不同的服務以及不同的子系統(tǒng)�。這就得要作大量的前期工作和后期保障上作,以維護所有機器的安全保護���,而且機器越多安全問題也就越復雜�。即使所有工作都正確地執(zhí)行了,主機保護還會由于軟件缺陷或缺乏合適功能和安全的軟件而受到影響����。
1.4 網(wǎng)絡安全保護�。由于環(huán)境變得大而復雜,主機安全模式的實施也變得愈來愈困難����。有更多的站點開始采用網(wǎng)絡安全保護模式。用這種安全保護模式解決如何控制主機的網(wǎng)絡通道和它們所提供的服務比對逐個主機進行保護更有效?����,F(xiàn)在一般采用的網(wǎng)絡安全手段包括:構建防火墻保護內部系統(tǒng)與網(wǎng)絡�����,運用可靠的認證方法(如一次性口令)�����,使用加密來保護敏感數(shù)據(jù)在網(wǎng)絡上運行等�����。
在用防火墻解決網(wǎng)絡安全保護的同時,也決不應忽視主機自身的安全保護���。應該采用盡可能強的主機安全措施保護大部分重要的機器�,尤其是互聯(lián)網(wǎng)直接連接的機器�,防止不是來自因特網(wǎng)侵襲的安全問題在內部機器上發(fā)生。上面討論了各種安全保護模式�,但沒有一種模式可以解決所有的問題,也不存在一種安全模式可以解決好網(wǎng)絡的管理問題���。安全保護不能防止每一個單個事故的出現(xiàn)����,它卻可以減少或避免事故的嚴重損失�����,甚至工作的停頓或終止����。
2 安全保護策略
所謂網(wǎng)絡安全保護策略是指一個網(wǎng)絡中關于安全問題采取的原則、對安全使用的要求以及如何保護網(wǎng)絡的安全運行����。以下是加強因特網(wǎng)安全保護措施所采取的幾種基本策略�����。
2.1 最小特權�����。這是最基本的安全原則。最小特權原則意味著系統(tǒng)的任一對象(無論是用戶��、管理員還是程序�����、系統(tǒng)等)����,應該僅具有它需要履行某些特定任務的那些特權。最小特權原則是盡量限制系統(tǒng)對侵入者的暴露并減少因受特定攻擊所造成的破壞�����。 在因特網(wǎng)環(huán)境下�,最小特權原則被大量運用�����。在保護站點而采取的一些解決方法中也使用了最小將權原理����,如數(shù)據(jù)包過濾被設計成只允許需要的服務進入�����。在試圖執(zhí)行最小特權時要注意兩個問題:一是要確認已經(jīng)成功地裝備了最小特權��,二是不能因為最小特權影響了用戶的正常工作�。
2.2 縱深防御?�?v深防御是指應該建立多種機制而不要只依靠一種安全機制進行有效保護��,這也是一種基本的安全原則�����。防火墻是維護網(wǎng)絡系統(tǒng)安全的有效機制�,但防火墻并不是因特網(wǎng)安全問題的完全解決辦法。任何安全的防火墻,都存在會遇到攻擊破壞的風險��。但可以采用多種機制互相支持����,提供有效冗余的辦法,這包括安全防御(建立防火墻)�����、主機安全(采用堡壘主機)以及加強安全教育和系統(tǒng)安全管理等���。防火墻也可以采用多層結構�。如使用有多個數(shù)據(jù)包過濾器的結構�����,各層的數(shù)據(jù)包過濾系統(tǒng)可以做不同的事情�����,過濾不同的數(shù)據(jù)包等����。在開銷不大的情況下����,要盡可能采用多種防御手段�����。
2.3 阻塞點��。所謂阻塞點就是可以對攻擊者進行監(jiān)視和控制的一個窄小通道��。在網(wǎng)絡中�,個站點與因特網(wǎng)之間的防火墻(假定它是站點與因特網(wǎng)之間的唯一連接)就是一個這樣的阻塞點����。任何想從因特網(wǎng)上攻擊這個站點的侵襲者必須經(jīng)過這個通道。用戶就可以在阻塞點上仔細觀察各種侵襲并及時做出反應����。但是如果攻擊者采用其他合法的方法通過阻塞點,這時阻塞點則失去了作用���。在網(wǎng)絡上��,防火墻并不能阻止攻擊者通過很多線路的攻擊����。
2.4 防御多樣化。在使用相同安全保護系統(tǒng)的網(wǎng)絡中�����,知道如何侵入一個系統(tǒng)也就知道了如何侵入整個系統(tǒng)��。防御多樣化是指使用大量不同類型的安全系統(tǒng)�,可以減少因一個普通小錯誤或配置錯誤而危及整個系統(tǒng)的可能,從而得到額外的安全保護��。但這也會由于不同系統(tǒng)的復雜性不同而花費額外的時間與精力�。
3 防火墻
防火墻原是建筑物大廈設計中用來防止火勢從建筑物的一部分蔓延到另一部分的設施。與之類似����,作為一種有效的網(wǎng)絡安全機制,網(wǎng)絡防火墻的作用是防止互聯(lián)網(wǎng)的危險波及到內部網(wǎng)絡�����,它是在內部網(wǎng)與外部網(wǎng)之間實施安全防范����,控制外部網(wǎng)絡與內部網(wǎng)絡之間服務訪問的系統(tǒng)。但必須指出的是防火墻并不能防止站點內部發(fā)生的問題�。防火墻的作用是:限制人們從一個嚴格控制的點進入;防止進攻者接近其他的防御設備;限制人們從一個嚴格控制的點離開。防火墻的優(yōu)點:1)強化安全策略:在眾多的因特網(wǎng)服務中���,防火墻可以根據(jù)其安全策略僅僅容許“認可的”和符合規(guī)則的服務通過����,并可以控制用戶及其權力���。2)記錄網(wǎng)絡活動:作為訪問的唯一站點����,防火墻能收集記錄在被保護網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)年P于系統(tǒng)和網(wǎng)絡使用或誤用的信息���。3)限制用戶暴露:防火墻能夠用來隔開網(wǎng)絡中的一個網(wǎng)段與另一個網(wǎng)段�,防止影響局部網(wǎng)絡安全的問題可能會對全局網(wǎng)絡造成影響��。4)集中安全策略:作為信息進出網(wǎng)絡的檢查點����,防火墻將網(wǎng)絡安全防范策略集中于一身,為網(wǎng)絡安全起了把關作用�����。
參考文獻
[1]靳攀,互聯(lián)網(wǎng)的網(wǎng)絡安全管理與防護策略分析[J].北京工業(yè)職業(yè)技術學院學報��,2008�,(03).
[2]趙薇娜,網(wǎng)絡安全技術與管理措施的探討[J].才智��,2008���,(10).
第6篇
論文摘要:在介紹網(wǎng)絡安全概念及其產(chǎn)生原因的基礎上���,介紹了各種信息技術及其在局域網(wǎng)信息安全中的作用和地位。
隨著現(xiàn)代網(wǎng)絡通信技術的應用和發(fā)展��,互聯(lián)網(wǎng)迅速發(fā)展起來����,國家逐步進入到網(wǎng)絡化、共享化���,我國已經(jīng)進入到信息化的新世紀���。在整個互聯(lián)網(wǎng)體系巾,局域網(wǎng)是其巾最重要的部分�,公司網(wǎng)、企業(yè)網(wǎng)�、銀行金融機構網(wǎng)、政府����、學校���、社區(qū)網(wǎng)都屬于局域網(wǎng)的范疇����。局域網(wǎng)實現(xiàn)了信息的傳輸和共享,為用戶方便訪問互聯(lián)網(wǎng)�����、提升業(yè)務效率和效益提供了有效途徑����。但是由于網(wǎng)絡的開放性�����,黑客攻擊����、病毒肆虐�����、木馬猖狂都給局域網(wǎng)的信息安全帶來了嚴重威脅�����。
信息技術是一門涉及計算機科學、網(wǎng)絡技術����、通信技術����、密碼技術、信息安全技術�����、應用數(shù)學��、數(shù)論和信息論諸多學科的技術�����。信息技術的應用就是確保信息安全�,使網(wǎng)絡信息免遭黑客破壞����、病毒入侵����、數(shù)據(jù)被盜或更改�����。網(wǎng)絡已經(jīng)成為現(xiàn)代人生活的一部分��,局域網(wǎng)的安全問題也閑此變得更為重要�����,信息技術的應用必不可少���。
1網(wǎng)絡安全的概念及產(chǎn)生的原因
1.1網(wǎng)絡安全的概念
計算機網(wǎng)絡安全是指保護計算機��、網(wǎng)絡系統(tǒng)硬件��、軟件以及系統(tǒng)中的數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞�、更改和泄密����,確保系統(tǒng)能連續(xù)和可靠地運行����,使網(wǎng)絡服務不巾斷�����。從本質上來講�����,網(wǎng)絡安全就是網(wǎng)絡上的信息安全�。網(wǎng)絡系統(tǒng)的安全威脅主要表現(xiàn)在主機可能會受到非法入侵者的攻擊,網(wǎng)絡中的敏感信息有可能泄露或被修改���。從內部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽或篡改等等。典型的網(wǎng)絡安全威脅主要有竊聽��、重傳�、偽造���、篡改�、非授權訪問、拒絕服務攻擊��、行為否認、旁路控制�����、電磁/射頻截獲����、人員疏忽����。
網(wǎng)絡安全包括安全的操作系統(tǒng)�����、應用系統(tǒng)以及防病毒、防火墻��、入侵檢測�����、網(wǎng)絡監(jiān)控、信息審計���、通信加密��、災難恢復和完全掃描等�����。它涉及的領域相當廣泛�����,這是因為目前的各種通信網(wǎng)絡中存在著各種各樣的安全漏洞和威脅。從廣義上講����,凡是涉及網(wǎng)絡上信息的保密性、完整性、可性����、真實性和可控性的相關技術和理論�,都是網(wǎng)絡安全所要研究的領域。網(wǎng)絡安全歸納起來就是信息的存儲安全和傳輸安全。
1.2網(wǎng)絡安全產(chǎn)生的原因
1.2.1操作系統(tǒng)存在安全漏洞
任何操作系統(tǒng)都不是無法摧毀的“饅壘”。操作系統(tǒng)設計者留下的微小破綻都給網(wǎng)絡安全留下了許多隱患���,網(wǎng)絡攻擊者以這些“后門”作為通道對網(wǎng)絡實施攻擊�。局域網(wǎng)中使用的操作系統(tǒng)雖然都經(jīng)過大量的測試與改進,但仍有漏洞與缺陷存在����,入侵者利用各種工具掃描網(wǎng)絡及系統(tǒng)巾的安全漏洞����,通過一些攻擊程序對網(wǎng)絡進行惡意攻擊���,嚴重時造成網(wǎng)絡的癱瘓�����、系統(tǒng)的拒絕服務����、信息的被竊取或篡改等����。
1.2.2 TCP/lP協(xié)議的脆弱性
當前特網(wǎng)部是基于TCP/IP協(xié)議�����,但是陔?yún)f(xié)議對于網(wǎng)絡的安全性考慮得并不多���。且����,南于TCtVIP協(xié)議在網(wǎng)絡上公布于眾�,如果人們對TCP/IP很熟悉��,就可以利川它的安全缺陷來實施網(wǎng)絡攻擊�����。
1.2.3網(wǎng)絡的開放性和廣域性設計
網(wǎng)絡的開放性和廣域性設計加大了信息的保密難度.這其巾還包括網(wǎng)絡身的布線以及通信質量而引起的安全問題?����;ヂ?lián)網(wǎng)的全開放性使網(wǎng)絡可能面臨來自物理傳輸線路或者對網(wǎng)絡通信協(xié)議以及對軟件和硬件實施的攻擊�;互聯(lián)網(wǎng)的同際性給網(wǎng)絡攻擊者在世界上任何一個角落利州互聯(lián)網(wǎng)上的任何一個機器對網(wǎng)絡發(fā)起攻擊提供機會,這也使得網(wǎng)絡信息保護更加難�����。
1.2.4計算機病毒的存在
計算機病毒是編制或者存計箅機程序巾插入的一組旨在破壞計箅機功能或數(shù)據(jù)���,嚴重影響汁算機軟件��、硬件的正常運行�����,并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性�����、寄生性��、隱蔽性�、觸發(fā)性�、破壞性幾大特點。大量涌現(xiàn)的病毒在網(wǎng)上傳播極快��,給全球地嗣的網(wǎng)絡安全帶來了巨大災難�����。
1.2.5網(wǎng)絡結構的不安全性
特網(wǎng)是一個南無數(shù)個局域網(wǎng)連成的大網(wǎng)絡���,它是一種網(wǎng)問網(wǎng)技術�。當l主機與另一局域網(wǎng)的主機進行通信時�����,它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉發(fā)����,這樣攻擊者只要利用l臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機就有可能劫持用戶的數(shù)據(jù)包�。
2信息技術在互聯(lián)網(wǎng)中的應用
2.1信息技術的發(fā)展現(xiàn)狀和研究背景
信息網(wǎng)絡安全研究在經(jīng)歷了通信保密����、數(shù)據(jù)保護后進入網(wǎng)絡信息安全研究階段,當前已經(jīng)…現(xiàn)了一些比較成熟的軟件和技術��,如:防火墻�����、安全路由器����、安全網(wǎng)關�、黑客人侵檢測����、系統(tǒng)脆弱性掃描軟件等����。信息網(wǎng)絡安全是一個綜合�、交叉的學科�����,應從安全體系結構����、安全協(xié)議�、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面綜合開展研究���,使各部分相互協(xié)同��,共同維護網(wǎng)絡安全�。
國外的信息安全研究起步較早�����,早在20世紀70年代美國就在網(wǎng)絡安全技術基礎理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎上���,提出了“可信計箅機系統(tǒng)安全評估準則(TESEC)”以及后來的關于網(wǎng)絡系統(tǒng)數(shù)據(jù)庫方面的相關解釋����,彤成了安全信息系統(tǒng)體系結構的準則�����。安全協(xié)議作為信息安全的重要內容,處于發(fā)展提高階段�����,仍存在局限性和漏洞����。密碼學作為信息安全的關鍵技術,近年來空前活躍�����,美���、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁����。自從美國學者于1976年提出了公開密鑰密碼體制后,成為當前研究的熱點���,克服了網(wǎng)絡信息系統(tǒng)密鑰管理的閑舴�����,同時解決了數(shù)字簽名問題�����。另外南于計箅機運算速度的不斷提高和網(wǎng)絡安全要求的不斷提升��,各種安全技術不斷發(fā)展���,網(wǎng)絡安全技術存21世紀將成為信息安全的關鍵技術����。
2.2信息技術的應用
2.2.1網(wǎng)絡防病毒軟件
存網(wǎng)絡環(huán)境下����,病毒的傳播擴散越來越快,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品�。針對局域網(wǎng)的渚多特性,應該有一個基于服務器操作系統(tǒng)平的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件�。如果局域網(wǎng)和互聯(lián)網(wǎng)相連,則川到網(wǎng)大防病毒軟件來加強上網(wǎng)計算機的安全����。如果使用郵件存網(wǎng)絡內部進行信息交換.則需要安裝基于郵件服務器平的郵件防病毒軟件�����,用于識別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產(chǎn)品���,針對網(wǎng)絡巾所有可能的病毒攻擊點設置對應的防病毒軟件。通過全方位�����、多層次的防病毒系統(tǒng)的配置�����,定期或不定期地動升級��,保護局域網(wǎng)免受病毒的侵襲�����。
2.2.2防火墻技術
防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎����;上的應用性安全技術����,越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境巾���,尤其以接入lnlernel網(wǎng)絡的局域網(wǎng)為典型。防火墻是網(wǎng)絡安全的屏障:一個防火墻能檄大地提高一個內部網(wǎng)絡的安全性����,通過過濾不安全的服務而降低風險。南于只有經(jīng)過精心選擇的應州協(xié)議才能通過防火墻�,所以網(wǎng)絡環(huán)境變得更安全。防火墻可以強化網(wǎng)絡安全策略:通過以防火墻為中心的安全方案配置�,能將所有安全軟件如口令、加密��、身份認證�����、審計等配置在防火墻上���。對網(wǎng)絡存取和訪問進行監(jiān)控審計:如果所有的訪問都經(jīng)過防火墻����,那么防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)�����。
防火墻技術是企業(yè)內外部網(wǎng)絡問非常有效的一種實施訪問控制的手段��,邏輯上處于內外部網(wǎng)之問����,確保內部網(wǎng)絡正常安全運行的一組軟硬件的有機組合,川來提供存取控制和保密服務���。存引人防火墻之后����,局域網(wǎng)內網(wǎng)和外部網(wǎng)之問的通信必須經(jīng)過防火墻進行����,某局域網(wǎng)根據(jù)網(wǎng)絡決策者及網(wǎng)絡擘家共同決定的局域網(wǎng)的安全策略來設置防火墻,確定什么類型的信息可以通過防火墻����?���?梢姺阑饓Φ穆氊熅褪歉鶕?jù)規(guī)定的安全策略���,對通過外部網(wǎng)絡與內部網(wǎng)絡的信息進行檢企,符合安全策略的予以放行���,不符合的不予通過�。
防火墻是一種有效的安全工具�����,它對外屏蔽內部網(wǎng)絡結構�����,限制外部網(wǎng)絡到內部網(wǎng)絡的訪問�。但是它仍有身的缺陷,對于內部網(wǎng)絡之問的入侵行為和內外勾結的入侵行為很難發(fā)覺和防范��,對于內部網(wǎng)絡之間的訪問和侵害���,防火墻則得無能為力�����。
2.2.3漏洞掃描技術
漏洞掃描技術是要弄清楚網(wǎng)絡巾存在哪些安全隱患���、脆弱點���,解決網(wǎng)絡層安全問題。各種大型網(wǎng)絡不僅復雜而且不斷變化�,僅僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估得很不現(xiàn)實����。要解決這一問題,必須尋找一種能金找網(wǎng)絡安全漏洞�����、評估并提…修改建議的網(wǎng)絡安全掃描工具��,利刖優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患�����。存網(wǎng)絡安全程度要水不高的情況下�����,可以利用各種黑客工具對網(wǎng)絡實施模擬攻擊,暴露出:網(wǎng)絡的漏洞�,冉通過相關技術進行改善��。
2.2.4密碼技術
密碼技術是信息安全的核心與關鍵����。密碼體制按密鑰可以分為對稱密碼、非對稱密碼���、混合密碼3種體制�。另外采用加密技術的網(wǎng)絡系統(tǒng)不僅不需要特殊網(wǎng)絡拓撲結構的支持��,而且在數(shù)據(jù)傳輸過程巾也不會對所經(jīng)過網(wǎng)絡路徑的安全程度做出要求����,真正實現(xiàn)了網(wǎng)絡通信過程端到端的安全保障。非對稱密碼和混合密碼是當前網(wǎng)絡信息加密使川的主要技術����。
信息加密技術的功能主要是保護計算機網(wǎng)絡系統(tǒng)內的數(shù)據(jù)、文件�����、口令和控制信息等網(wǎng)絡資源的安全。信息加密的方法有3種�,一是網(wǎng)絡鏈路加密方法:目的是保護網(wǎng)絡系統(tǒng)節(jié)點之間的鏈路信息安全;二是網(wǎng)絡端點加密方法:目的是保護網(wǎng)絡源端川戶到口的川戶的數(shù)據(jù)安全��;二是網(wǎng)絡節(jié)點加密方法:目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護川戶可以根據(jù)實際要求采川不同的加密技術���。
2.2.5入侵檢測技術�。
入侵檢測系統(tǒng)對計算機和網(wǎng)絡資源上的惡意使川行為進行識別和響應��。入侵檢測技術同時監(jiān)測來自內部和外部的人侵行為和內部剛戶的未授權活動��,并且對網(wǎng)絡入侵事件及其過程做fIj實時響應����,是維護網(wǎng)絡動態(tài)安全的核心技術。入侵檢測技術根據(jù)不同的分類標準分為基于行為的入侵檢測和基于知識的人侵檢測兩類����。根據(jù)使用者的行為或資源使狀況的正常程度來判斷是否發(fā)生入侵的稱為基于行為的入侵檢測,運用已知的攻擊方法通過分析入侵跡象來加以判斷是否發(fā)生入侵行為稱為基于知識的入侵檢測��。通過對跡象的分析能對已發(fā)生的入侵行為有幫助�����,并對即將發(fā)生的入侵產(chǎn)生警戒作用
3結語
第7篇
論文摘要:互聯(lián)網(wǎng)的快速發(fā)展不但給電子商務提供了巨大的發(fā)展機遇,而且也帶來了相應的網(wǎng)絡安全問題����。當前,電子商務中網(wǎng)絡安全問題產(chǎn)生的主要原因有:黑客攻擊�、軟件漏洞��、網(wǎng)絡缺陷和技術管理欠缺等�,其中的關鍵問題是電子商務企業(yè)本身的安全管理問題。所以����,需要對電子商務實施技術和管理的安全策略。
1 引言
隨著互聯(lián)網(wǎng)的快速發(fā)展�,人們的生活方式有了非常大的改變,對應的經(jīng)濟社會也受到了巨大的影響����。在商業(yè)貿易領域,因為網(wǎng)絡的快速發(fā)展����,產(chǎn)生了電子商務這樣一種貿易方式。但是電子商務也是經(jīng)歷了一番坎坷的�����,因為網(wǎng)絡的特殊性,在電子商務發(fā)展中產(chǎn)生了交易安全的問題���,對電子商務的穩(wěn)定發(fā)展帶來了一定的沖擊�����。internet網(wǎng)是一個互連通的自由空間�,一些人常常會因為某些目的攻擊電子商務網(wǎng)站����,比如盜竊資金、商業(yè)打擊��、惡作劇等���,導致有些企業(yè)的電子商務網(wǎng)站貿易交流受損����、服務暫停�����,甚至出現(xiàn)資金被盜的現(xiàn)象。據(jù)有關數(shù)據(jù)的統(tǒng)計�,美國每年因為網(wǎng)絡安全問題在經(jīng)濟上造成的損失就達到近百億美元,而國內的情況也不容樂觀�����。因此�����,當我們在享受互聯(lián)網(wǎng)給生活帶來的這些好處的時候�����,網(wǎng)絡的安全問題�,早已變成電子商務的重大難題�����,給電子商務企業(yè)的發(fā)展帶來了極大的阻礙�����。所以����,計算機網(wǎng)絡安全是電子商務發(fā)展過程中所面臨的重大挑戰(zhàn)和問題����。電子商務企業(yè)必須從維護顧客利益和自身利益出發(fā)�����,做好安全防范和自身安全管理工作����,才能得到持續(xù)快速的發(fā)展。
2 電子商務面對的網(wǎng)絡安全問題
當前���,電子商務安全問題受到多方面的影響�����,不但有技術管理的問題�����,而且也有網(wǎng)絡缺陷的因素��,具體地說��,直接原因有以下幾點:
2.1 網(wǎng)絡“黑客”侵犯電子商務網(wǎng)站
網(wǎng)絡黑客是專門在網(wǎng)絡中利用本身掌握的技術非法強行進入他人網(wǎng)站后臺的人����,這類人具有高超的網(wǎng)絡技術,能夠不受電子商務網(wǎng)站技術防護的限制���。許多“黑客”篡改內容信息����、破壞網(wǎng)站�;盜取商戶或企業(yè)的賬戶資金,極大地影響了電子商務的正常進行�����。
2.2 電子商務軟件有漏洞
許多軟件研發(fā)單位研發(fā)的技術不成熟的電子商務軟件���,存在許多安全漏洞,防護極易被外來入侵者利用漏洞攻破��,導致電子商務企業(yè)受到很大的經(jīng)濟損失�����;有的企業(yè)即使安裝了防護軟件,但由于軟件沒有得到及時升級����,致使軟件喪失了應有防護功能。
2.3 電子商務網(wǎng)絡自身存在安全問題
網(wǎng)絡具有共享性�、開放性等特點,它的設計原則是確保信息傳輸不會受到局部損壞的影響��。所以���,對網(wǎng)站安全帶來了極大的隱患�。特別是對電子商務企業(yè)情況更加嚴峻�����。
2.4 網(wǎng)站管理的缺失
由于電子商務企業(yè)缺乏警惕性��,不重視網(wǎng)絡安全的管理���,通常只有在受到攻擊以后才會去加強網(wǎng)站安全����;部分企業(yè)則以為只要安裝了入侵監(jiān)測系統(tǒng)、殺毒軟件�����、防火墻等安全產(chǎn)品�,就能保障網(wǎng)站的安全,所以沒有根據(jù)企業(yè)實際情況制定相應的管理制度�,也沒有加強技術防范,給入侵者提供了機會����。
3 應對的措施
電子商務安全問題是在網(wǎng)絡化、電子化技術發(fā)展的前提下出現(xiàn)的����,所以很多傳統(tǒng)的解決辦法不能簡單地應用過來。電子商務企業(yè)想要取得效益����,就要從企業(yè)的健康發(fā)展出發(fā)��,改善企業(yè)的安全管理�����,提高技術投入。具體的防范措施有:
3.1 安全技術管理需要加強
需要重視電子商務網(wǎng)站的維護����、升級等方面,做好每天的安全備份�,加強網(wǎng)站服務器的管理。制定安全防范預案�����,只要發(fā)生安全事件�����,能夠得到盡快解決�,從而減少損失。使用權威性較強的安全防護軟件�,并能夠正常啟動、正常升級�����,發(fā)揮應有的防護功能�����。
3.2 在電子安全方面擴大管理和技術投入
企業(yè)需要加大安全方面的資金投入,購買技術防護設備�����,加大對技術改造與設備更新的投入���。引進安全管理的相關技術�����,招聘相應的管理人才�����,并進行適當?shù)拇鰞A斜����,確保安全管理團隊的穩(wěn)定��。
3.3 使用密碼管理技術
電子商務中最重要的防范環(huán)節(jié)是密碼管理��,要使用先進的密碼管理手段��,確保能發(fā)揮特定的功能���,重點有交易信息安全�����、身份認證安全和賬戶安全等����。
3.4 電子商務企業(yè)自身的管理需要得到強化
安全技術是電子商務企業(yè)的首要防范措施��,但發(fā)揮其作用的關鍵還是嚴密的管理��,只有建立完善的安全防范管理系統(tǒng)���,才能保證企業(yè)的安全�����。所以電子商務企業(yè)����,需要制定安全防護制度��,保證明確職責����;要有獎懲制度�,責任事故的時候���,能夠做到及時追究����,提高技術管理人員的責任意識��。
4 總結
總的說來�,電子商務企業(yè)的安全問題,表面上像是計算機網(wǎng)絡的安全問題��,但主要還是在于企業(yè)的制度建設����、安全管理和重視程度等情況。企業(yè)不當?shù)陌踩芾?���,不僅會發(fā)生企業(yè)賬戶資金被盜的問題,甚至有可能地客戶的利益造成損害���,讓客戶對電子商務企業(yè)不再信任����。電子商務企業(yè)維護客戶市場的關鍵是信譽度���,所以�,應當重視網(wǎng)絡安全�����,克服網(wǎng)絡技術自身的弊端��,使企業(yè)能得到持續(xù)穩(wěn)定的貿易發(fā)展�����。
參考文獻:
[1] 祁明.電子商務實用教程[m].北京:高等教育出版社,2006.
[2] 陳輝.淺談電子商務的安全與技術保障[j].河南教育學院學報(自然科學版),2006(01).
[3] 楊愛民.電子商務安全現(xiàn)狀及對策探討[j].科技資訊,2006(06).
第8篇
關鍵詞:長慶油田 網(wǎng)絡安全 防范
0 引言
隨著國家信息化建設的快速發(fā)展����,信息網(wǎng)絡安全問題日益突出,信息網(wǎng)絡安全面臨嚴峻考驗��。當前互聯(lián)網(wǎng)絡結構無序����、網(wǎng)絡行為不規(guī)范����、通信路徑不確定����、IP地址結構無序、難以實現(xiàn)服務質量保證��、網(wǎng)絡安全難以保證��。長慶油田網(wǎng)絡同樣存在以上問題��,可靠性與安全性是長慶油田網(wǎng)絡建設目標����。文章以長慶油田網(wǎng)絡為例進行分析說明論文下載。
1 長慶油田網(wǎng)絡管理存在的問題
長慶油田公司計算機主干網(wǎng)是以西安為網(wǎng)絡核心�,包括西安、涇渭����、慶陽、銀川�、烏審旗�����、延安����、靖邊等7個二級匯聚節(jié)點以及咸陽等多個三級節(jié)點為架構的高速廣域網(wǎng)絡����。網(wǎng)絡龐大���,存在的問題也很多����,這對日常網(wǎng)絡管理是一份挑戰(zhàn)���,由于管理的不完善�����,管理存在以下幾個方面問題:
1.1 出現(xiàn)問題才去解決問 我們習慣人工戰(zhàn)術����,習慣憑經(jīng)驗辦事。網(wǎng)絡維護人員更像是消防員�,哪里出現(xiàn)險情才去撲救。設備故障的出現(xiàn)主要依靠使用者報告的方式����,網(wǎng)管人員非常被動,無法做到主動預防��,無法在影響用戶使用之前就預見故障并將其消除在萌芽狀態(tài)�����。因此���,這種維護模式已經(jīng)很難保障網(wǎng)絡的平穩(wěn)運行�����,能否平穩(wěn)影響網(wǎng)絡安全與否���。
1.2 突發(fā)故障難以快速定位 僅僅依靠人工經(jīng)驗,難以對故障根源做出快速定位�,影響故障處理。而且隨著網(wǎng)絡的復雜程度的提高�����,在故障發(fā)生時,難以快速全面的了解設備運行狀況�����,導致解決故障的時間較長�,網(wǎng)絡黑客侵犯可以趁機而來,帶來網(wǎng)絡管理的風險�����。
1.3 無法對全網(wǎng)運行狀況作出分析和評估 在傳統(tǒng)模式下�,這些都需要去設備近端檢查�����,或遠程登錄到設備上查看����,不僅費時費力,而且對于歷史數(shù)據(jù)無法進行連續(xù)不間斷的監(jiān)測和保存��,不能向決策人員提供完整準確的事實依據(jù)��,影響了對網(wǎng)絡性能及質量的調優(yōu)處理,龐大的網(wǎng)絡系統(tǒng)�,不能通盤管理,不能保證網(wǎng)絡運行穩(wěn)定��,安全性時刻面臨問題�����。
2 網(wǎng)絡安全防范措施
計算機網(wǎng)絡的安全性可以定義為保障網(wǎng)絡服務的可用性和網(wǎng)絡信息的完整性�,為了有效保護網(wǎng)絡安全,應做好防范措施���,保證網(wǎng)絡的穩(wěn)定性����,提高網(wǎng)絡管理的效率����。
2.1 完善告警機制,防患于未然 告警監(jiān)控是一種手段����,設備維護人員、網(wǎng)絡分析人員需要通過告警信息去分析����、判斷設備出現(xiàn)的問題并盡可能的找出設備存在隱患����,通過對一般告警的處理將嚴重告警發(fā)生的概率降下來��。告警機制的完善一般從告警信息����、告警通知方式兩方面著手:
2.1.1 在告警信息的配置方面 目前,長慶油田計算機主干網(wǎng)包括的97臺網(wǎng)絡設備���、71臺服務器�����,每臺設備又包含cpu、接口狀態(tài)�����、流量等等性能參數(shù)�����,每一種參數(shù)在不同的時間段正常值范圍也不盡相同。
例如同樣為出口防火墻����,西安與銀川的各項性能閥值的設置也不盡相同,西安的會話數(shù)達到25萬����,而銀川的超過20萬就發(fā)出同樣的告警。再比如�,西安電信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的�����,因為這個時候在線用戶很少�����,但是如果在晚上8:00-10:00���,流量只有二���、三十兆的流量,就要發(fā)出告警信息���。
因此必須根據(jù)監(jiān)控的對象(設備或鏈路)�����、內容(各項性能指標)以及時間段����,設置不同的觸發(fā)值及重置值。
2.1.2 告警通知方式的多樣化 任何時間我們都無法保證能全天候死盯著屏幕����,所以一方面需要制定相應的運維管理制度和輪班值守職責,另一方面則需要選擇更加人性化的運維管理方式�。維護人員不但需要頁面顯示的告警觸發(fā)通知,也迫切需要在移動辦公狀態(tài)或休假狀態(tài)第一時間得到預警����,從而做出應有的反應,所以我們需要開發(fā)出例如聲音��、郵件����、短信等多種告警方式����。
通過以上兩個方面����,我們可以建成一個完善的故障告警系統(tǒng)����,便于隱患的及時消除,提高了網(wǎng)絡的穩(wěn)定性�����。
2.2 網(wǎng)絡拓撲的動態(tài)化 如果一個個設備檢查起來顯然費時費力�����,如果我們能將所有設備的狀態(tài)及其連接狀況用一張圖形實時動態(tài)的直觀顯示出來����,那么無疑會大大縮短故障定位時間(見圖1,2)����。
說明:2009-10-11日17:05,慶陽、延安����、靖邊、銀川四個區(qū)域的T1200-02的連接西安的2.5GPOS口�����,涇渭T1200-01連西安的2.5GPOS口����,以及西峰、吳起連接慶陽匯聚交換機Z8905-02的千兆光口����,以上接口同時發(fā)出中斷告警。
因此�,綜合告警信息與全網(wǎng)拓撲圖,當出現(xiàn)大規(guī)模告警的情況下能夠非常高效地找出故障源�����,避免了一步步繁瑣的人工排查���,從而達到有效提高故障的解決效率��,提高了網(wǎng)絡的穩(wěn)定性����。
2.3 全網(wǎng)資源管理的動態(tài)化
2.3.1 通過對網(wǎng)管系統(tǒng)的二次開發(fā)��,實現(xiàn)全網(wǎng)動態(tài)資源分析�����,他的最重要特點就是動態(tài)�����,系統(tǒng)通過Polling Engine從設備上自動提取資料數(shù)據(jù)��,如設備硬件信息���、網(wǎng)絡運行數(shù)據(jù)����、告警信息����、發(fā)生事件等��。定時動態(tài)更新�����,最大限度的保持與現(xiàn)網(wǎng)的一致性�。
2.3.2 通過一個集中的瀏覽器界面上就可以快速�、充分地了解現(xiàn)有網(wǎng)絡內各種動態(tài)和靜態(tài)資源的狀況,徹底轉變了傳統(tǒng)的網(wǎng)絡依賴于文字表格甚至是依賴于維護人員的傳統(tǒng)維護模式�����,變個人資料為共享資料�。
2.4 提高安全防范意識 只要我們提高安全意識和責任觀念,很多網(wǎng)絡安全問題也是可以防范的����。我們要注意養(yǎng)成良好的上網(wǎng)習慣,不隨意打開來歷不明的電子郵件及文件��,不隨便運行陌生人發(fā)送的程序;盡量避免下載和安裝不知名的軟件��、游戲程序;不輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序;密碼設置盡可能使用字母數(shù)字混排;及時下載安裝系統(tǒng)補丁程序等����。
總之����,影響網(wǎng)絡穩(wěn)定的因素有很多�,本文基于日常網(wǎng)絡安全管理經(jīng)驗����,從日常網(wǎng)絡管理的角度,提出一些安全防范措施�����,以期提高網(wǎng)絡穩(wěn)定性��。
參考文獻
[1]石志國����,計算機網(wǎng)絡安全教程,北京:清華大學出版社��,2008.
[2]張慶華�,網(wǎng)絡安全與黑客攻防寶典,北京:電子工業(yè)出版社����,2007.
