时间:2023-10-07 09:14:42
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇数字安全与网络安全,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
Risk Analysis of the Network Security for the Digital Campus and the Countermeasures
Lei Yan-rui
(Hainan College of Software Technology HainanQionghai 571400)
【 Abstract 】 The continuous advancement in making digital campus has achieved enormously improved management efficiency. But it has also inflicted risks to the security of the campus network because of its open nature. In this paper, we provide several pieces of advice on the security of the campus network.
【 Keywords 】 digitization; digital campus; security; risk; security policy
1 引言
1998年,因美国前副总统戈尔最先提出“数字化地球”的概念而引出“数字化城市”和“数字化校园”的定义。数字化校园是指通过计算机相关技术、网络通讯的相关技术对学校的教学、管理和生活等都进行全面的数字化信息系统管理,在一定程度上最大限度地存储、整合、利用和共享这些数据,实现统一的身份认证、数据采集平台和信息管理平台,从而简化传统的工作流程,最终实现高效率、高竞争力、数字化管理的校园平台。
近十年来,国内各本科院校对于数字化校园的建设都比较重视,大中专院校也紧随其后,进行了数字化校园建设的思考和行动。大家建设的目标都以教学、管理、消费和身份认证等服务为一体的新型的工作、学习和生活环境为中心,并且在建设上已经取得了一定的成效。
2 现状
随着信息化的进一步发展和学校业务的不断深化,海南软件职业技术学院也开始数字化校园建设的步伐。1996年即开始使用食堂一卡通,随着后来考勤系统、教务系统、财产管理系统的开发使用,使用过程中暴露出的安全隐患问题越来越多,而这些安全问题在数字化校园的建设中值得我们深思。如表1所示。
3 初步解决方案
3.1 自然灾害
自然灾害是无法避免和预防的,对于天灾造成的任何风险我们都不可避免,也就无法通过任何技术降低风险,只能在灾难发生后想办法恢复或者提前备份等。
那么对于自然灾害发生之后的安全问题,管理者需提前制定一套完整可行的事件救援、灾难恢复计划及方案,做好计算机系统、网络、应用软件及各种资料数据的备份,建立备份数据库系统。
3.2 软、硬件环境故障
校园网络设备的正常工作对网络安全的影响巨大,如果电力设备、UPS、空调等设备规划设计出错、参数设置不当、维护不及时或者维护方法不对等,都可能间接影响校园网络的信息安全。
对于硬件故障,应确保不超负荷运行、建立完善完备的管理制度并且严格执行,保证温度、湿度、设备的参数设置等处于可监管的状态,平时需定时审计,以保证制度的执行力度。软件故障中的设计缺陷,一经发现应立即修正;安装新软件时,充分考虑兼容性的要求,提前保护已经存在的被共享使用的DLL文件,防止安装过程中被其他文件覆盖;出现非法操作提示或者蓝屏等信息时,仔细研究其原因并纠错;对于系统的资源占用情况,及时监察并进行有效清理。
3.3 学校网站面临的安全威胁
网站是学校对外信息交流的主要工作平台,但因其共享性较高,也易成为黑客的攻击对象。部分学校的官方网站被恶意挂马时有发生,经调查挂马率甚至达到3.15%。主要原因是服务程序本身存在漏洞,如Apache 或 IIS 的漏洞;也存在网页程序编写不完善导致的安全漏洞,如 SQL 注入、缓冲区溢出等;同时也存在因管理缺失而导致的服务器感染病毒。
对于数字化校园网站安全面对的威胁,除了定期查杀分析原因,且需定期检查访问流量,对于流量高峰要得随时监视处理,还有完善管理制度避免类似问题再次发生,用以保证网站安全。
3.4 应用系统数据信息面临的威胁
海南软件职业技术学院的教务、人事、财务、一卡通等应用系统的重要数据是数字化校园信息安全防护的重中之重。这些重要数据一旦被篡改甚至丢失,其后果是不堪设想。目前应用系统数据信息面临的主要风险有数据库弱口令及默认用户名易被破解;DBA 的权限没有严格的限制;有些权限控制功能嵌套在应用程序中,攻击者很可能利用程序编写的漏洞将普通用户的权限转化为管理员的权限;数据库管理方式和管理流程编制不得当,造成数据不准和修改错误等。
对于这些系统数据面临的威胁,我们所能处理的就是进行数据访问控制、提醒用户进行密码强口令、权限设置一定要合理合法,并且及时检查日志,统计因操作不当、密码输入错误等原因引起的错误,对错误进行及时统计分析,查清原因,从制度上杜绝此类事件发生。
3.5 校园网内部用户的安全隐患
校园网内部用户的安全威胁不容忽视。一方面,校园网终端用户的木马、蠕虫、病毒等是校园网络安全威胁之一;另一方面,校园网络出口带宽受限,有P2P应用占用资源严重,可能造成正常工作时段网络拥堵,影响了教学、科研、管理工作的正常运行。
对于巨大流量问题只能通过办公时间限制端口等问题进行解决,而网络拥堵则可通过限制网络访问人数等解决,当然这些都应该形成正常的监测程序和制度,不能因工作人员的变换等影响其执行。
4 结束语
总之,校园网络安全的保障应从小做起,从细节做起,时刻保障校园网络的正常进行以为教学提供优质服务。
参考文献
[1] 凌冠华.高校数字化校园的数据建设和安全管理研究[J].价值工程,2010(29):202-203.
[2] 王阳.高校数字化校园信息安全策略探讨[J].中国教育信息化.2011(3):29-61.
[3] 皇甫斌.浅谈数字化校园的网络安全建设[J].信息科技,2009(18):96-103.
[4] 张升平. 高校数字化校园体系结构研究及实践[D]. 长沙:湖南大学,2008.32-38.
[5] 章晟.拒绝服务攻击和自相似网络流量研究[D]. 杭州:浙江大学,2010.18-29.
【关键词】网络安全数字传输加密数字存储加密密码体制
Internet在世界各国都呈现飞速发展的态势,网络正在带动一场信息革命,加快了信息在世界各地的传播,促进了经济的发展和信息的交流。同时,我们应该清醒地认识到信息在网络上存储、处理和传输虽然做了一定的安全措施,但在数字信息安全方面很难达到人们理想的境界。另外,由于网络本身存在的脆弱性(比如,TCP/IP―Transfer Control Protocol/Internet Protocol协议,在制订之初也没有把安全考虑在内,所以没有安全可言)以及可能遭受来自各方面的威胁和攻击,使得信息的安全保密在网络环境下具有特别重要的意义。网络安全已成为世界各国十分关注的热点问题,它是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题,特别是随着全球信息基础设施和各个国家的信息基础逐渐形成,信息电子化已经成为现代社会的一个重要特征。信息本身就是财富、就是生命、就是时间、就是生产力。因此,各国开始利用电子空间的无国界性和信息战来实现其以前军事、文化、经济侵略所达不到的战略目的。另外,由于网络的快速、普及、分布式处理、资源共享、开放、远程管理化,电子商务、金融电子化成为网络时代必不可少的产物。因此,这给人们带来了许多新的课题。如何解决网络安全问题?有人估计,未来计算机网络安全问题甚至比核威胁还要严重。大量事实表明:确保网络安全已经是一件刻不容缓的大事,它的安全性主要依赖于加密、网络用户身份鉴别、存取控制策略等技术手段。网络安全课题具有十分重要的理论意义和实际背景。
一、网络安全概述
1.网络安全的含义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行。它与所要保护的信息对象有关,通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网中传输、交换和存储的信息的机密性、完整性和真实性,并对信息的传播即内容具有控制能力。网络安全是一个系统性概念,不仅包括信息传输过程的安全性,还要考虑计算机上信息存储的安全性。具体说来就是通信链路上的安全和网络结点处的安全共同构成了网络系统的安全。如图1所示:
因此,网络安全的内容涵盖可以表述为:通信安全+主机安全网络安全。
2.网络安全涉及内容
网络安全应该具有以下四个方面的特征:
保密性:信息不泄露给非授权用户、实体或供其利用的特性。
完整性:数据未经授权不能进行改变的特性,及信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性,即当需要时能否存取所需的信息。
可控性:对信息的传播及内容具有控制能力。
网络安全从不同角度可以得到不同的划分。按照保护对象分,网络安全包含信息依存载体的安全问题和信息本身的安全问题。信息依存载体是指信息存储、处理和传输的介质,主要是物理概念,包括计算机系统、传输电缆、光纤及电磁波等。信息载体的安全主要指介质破坏、电磁泄露、联网通信的截断、干扰和窃听等。信息本身的安全问题主要指信息在存储、处理和传输过程中受到破坏、泄露和丢失等,从而导致信息的保密性、完整性和可用性受到侵害。因此网络安全按照受保护的对象可以分为硬体安全和软体安全,硬体安全指信息依存载体的安全,软体安全指信息本身的安全。
网络安全的目标是保密性、完整性、可用性,有的文献中还增加了可靠性、真实性、不可抵赖性、可审查性等。所以,网络安全与保密的核心是:通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和存储的消息,以实现这一目标。
简言之,网络安全就是借助于一定安全策略,使信息在网络环境中的保密性、完整性及可用性受到保护,其主要目标是确保经网络传输的信息到达目的计算机后没有任何改变或丢失,以及只有授权者可以获取响应信息。需要注意的是安全策略的基础是安全机制,即数学原理决定安全机制,安全机制决定安全技术,安全技术决定安全策略,最终的安全策略是各种安全手段的系统集成,如防火墙、加密等技术如何配合使用策略等。
二、计算机网络面临的威胁
网络面临的安全威胁大体可分为两种:一是对网络数据的威胁;二是对网络设备的威胁。这些威胁可能来源于各种各样的因素:可能是有意的,也可能是无意的;可能是来源于单位外部的,也可能是内部人员造成的;可能是人为的,也可能是自然力造成的。下面大致归纳几种主要威胁:
1.因自然力原因而非人为操作造成的数据丢失、设备失效、线路阻断。
2.人为但属于操作人员无意的失误造成的数据丢失。
3.来自外部和内部人员的恶意攻击和入侵。主要表现在:(1)非授权访问:没有预先经过授权,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒身份攻击、非法用户进入网络系统进行违法操作、合法用户以超越权限方式进行操作等。(2)信息泄漏或丢失:指敏感数据在有意或无意中被泄漏或丢失,它通常包括信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、账号等重要信息),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。(3)破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。(4)拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。(5)利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
针对计算机网络中数据信息面临的种种安全威胁(如泄漏、丢失、完整性被破坏等),为保障数据信息的安全,人们进行了一系列卓有成效的探索。数字加密技术便是其中之一,其目的
就是保护网内的数据、文件、口令和控制信息,保护网络会话的完整性。
三、数字加密与网络安全
作为保障数据安全的一种方式,数字加密起源于公元前2000年。埃及人是最先使用特别的象形文字作为信息编码的人。随着时间的推移,巴比伦和希腊人都开始使用一些方法来保护他们的书面信息。最广为人知的编码机器是German Enigma机,在第二次世界中德国人利用它创建了加密信息。此后,由于Alan Turing和Ultra计划以及其他人的努力,终于对德国人的密码进行了破解。当初,计算机的研究就是为了破解德国人的密码,当时人们并没有想到计算机给今天带来的信息革命。随着计算机的发展,运算能力的增强,过去的密码都变得十分简单了,于是人们又不断地研究出了新的数字加密方式,如私有密钥算法和公共密钥算法。可以说,是计算机推动了数字加密技术的发展。
加密技术是网络安全技术的基石,随着计算机自身性能的不断提高,使越来越复杂、可靠的数字加密技术得以实施,网络以加密技术的应用也更为广泛、深入。
关键词:网络安全;城域网;数字化
中图分类号:TP393.08 文献标识码:A 文章编号:1006-8937(2013)05-0068-01
随着我国持续发展的社会经济、科技以及计算机网络技术的日益更新,提高城市数字化管理水平是保持城市可持续发展的必然要素之一,也是保证加速现代城市网络化建设的保障。数字化城市网络的安全运行和管理在城市文明中起着举足轻重的作用,加强城市数字化网络的安全设计和管理,对城市数字化管理的规划实施提供了安全保障,对保证城市数字化的硬件设备的正常运行提供了有利条件,不但有利于对城市数字化环境的增强,而且有利于促进与其它城市的资源共享和城市综合管理功能的增强,当今,快速迅猛的城市化建设让城市景观产生了非常大的变化,在城市建设的关键时期,数字化城市的网络安全性滞后问题也成为各个城市网络系统普遍存在的问题。随着网络开放性、互连性、共享性程度的扩大,使网络的重要性和对社会的影响也越来越大,网络的安全问题也变得越来越重要。由于网络规模的不断扩展,系统漏洞不断发现,整个网络的安全风险也越来越大。如何通过一个行之有效的方法,在安全隐患出现之前能够未雨绸缪,防范于未然,缺乏网络安全手段的数字化城域网显然越来越不能满足现代化城市发展的需要,利用网络安全性高、数字化程度强的管理方式进行现代化城市的管理已经迫在眉睫。因此,针对当前数字化城域网在运行过程中表现出来的安全性不高等缺点,构建基于网络安全的数字化城域网安全系统,实现数字化城域网的安全可靠的运行是非常必要的。
1 数字城域网发展现状
网络技术应用到城市管理给城市管理的网络化和数字化带来很大的方便,但是据各大城市的网络化运行的现状反应出来的一系列问题是不可否认的,城市的数字化网络化管理还存在或多或少的一些问题,长效的管理和高效的管理机制不但需要基于安全性高的网络技术支撑,而且还需要城市管理数字化的理念和网络化的体制以及网络化的管理方式的创新。据初步调查城市的数字网络化管理方面还存在如下问题。问题发现及处理不够及时,虽然目前城市有部分单位有自己的巡查队伍,并且进行数字化管理,例如环保监察部门、交通管理部门、环境卫生管理部门、城建监察部门等,还有部分专业部门没有专业的巡查队。在巡查管理过程中,这些管理部门不仅受人员、管理时间等方面的限制,而且由于缺乏数字信息系统的有效支持,对问题的定位,发现问题的处理有时速度较慢,不能够及时准确的发现和解决问题。特别是涉及不同部门协同性工作程序的流转,如果没有工作流信息系统的有效支持,问题的处理速度、效率都显得相对滞后。
{1}问题发现手段比较单一。目前城市数字化管理问题主要依靠巡查队和群众举报发现,而且只是少数部门有自己的巡查队,问题发现手段比较单一,未能实现全方位、快速的发现问题。
{2}部门协调比较困难。调研中发现基本每个部门都提到了部门间工作协调的问题,在实际操作和实施过程中经常会遇到需要几个部门协同处理、需要其他部门提供信息资源的情况或者是需要几个部门联合执法的情况,在这种情况下,由于缺乏一个统一的协调机构,各部门的协调配合比较少,而且比较困难,对实际工作造成了不便,花费时间多,处理问题效率低。
在涉及单位与单位工作衔接过程以及两部门间涉及工作职权和工作范围交汇的地方,存在诸如多头管无人管等的情况,工作职责和职权划分不清晰。存在城市管理工作分工不明,部门和部门之间信息沟通不畅的问题。
{3}信息化程度较低。就目前情况来看,各单位的信息化建设都不尽如人意,大部分的单位都还没有信息化系统和信息化建设的经验,而且各单位之间信息化建设差别很大,部分单位信息化建设和对整个工作信息化管理的认知度不够。
通过调研发现大部分的部门除了有局域网以外,都没有业务系统,基本都是手工办公,档案记录也都是纸质居多,有些部门虽然有信息系统,但是工作人员对信息系统认知程度比较低,基本没有使用,处于闲置状态。
{4}信息共享程度较低。目前缺乏畅通的渠道共享各部门的数据及信息资源。
{5}资源利用程度较低。在调研中发现资源利用程度比较低,某些数据、信息系统都是单一部门在使用,而且没有畅通的渠道提供给其他想使用这些资源的部门,造成资源使用率低,无法共享。可利用的资源包括:水质在线监测系统等。
{6}视频监控资源缺乏。目前除了公安系统有视频监控,其他部门基本没有,但是,很多部门对视频监控的需求是非常强烈的,如:市环保局、市交通局、气象局、城建监察大队、城市广场物业公司。
{7}管理机制、监督评价机制有待完善。目前,在城市管理方面还没有形成一套完整的、有效的长效管理机制,致使问题屡禁不止。类似公共设施遭到破坏等问题,年年都有发生,造成不良的社会影响和国有财产严重损失。在监督评价方面,只有部分单位、部门有监督评价机制,而且都是自成一体,没有一个统一的部门进行监督评价,不能充分调动各部门的积极性,没有协调机构,无法综合实施城市管理的组织领导监督检查职能。
综上所述,城市管理需要建设一个实用的城市管理信息化平台,进而实现多级联动、协同指挥,最终提高城市综合管理能力。
2 设计方案
基于网络安全的数字化城域网安全的设计首先要构建基于网络安全的数字化的管理模式,主要应用空间网格的网络技术,选定适合的单位作为网格的节点,实现每个节点对其所属的单元网格能够进行任何时段的全面监控。组建基于网络安全的城市数字化管理和处理中心,能够利用不同的方法准确收集信息,以便对城市数字化管理中出现的各类突况和处理情况进行全面动态实时监控。主要从以下方面进行方案设计。
①基于空间网格技术的单元网格的设计。单元网格的分配规则以方便数字化城市管理为前提,利用网格技术设计一个合理的地理位置编码管理体系。按照空间网格技术的原理建立模型,根据城市中的实际状况,城市结构、城市社区分布情况以方便安全管理为原则进行单元网格的设计。进行单元网格设计要同时考虑到城市建筑及部件的完整性以及日常监督管理的时效性。按照城市地理位置及实际情况设计单元网格可以完全实现社区、建筑物、企事业单位等城市节点直接建立关系模型,单元网格的设计全面实现城市要素与地理信息之间建立动态关系的重要编码。
②设计基于网格的地理编码技术对现代城市各部件的分类、分项管理进行实施。在充分对城市进行调研的基础上将城市的各个部件分别处理,再对城市部件的地理编码进行设计并分别在相应的地图上进行标注,从而实现城市管理全部基于计算机网络数字化的安全管理。设计基于网格的地理编码技术可以将城市的现代化管理进行全面的细化,并且通过网格技术能够实时准确的确定相应的责任单位,有效的实现了城市管理真正的数字化和网络化。
③基于网络安全的无线网在城域网中的设计,利用无线网络技术能够创建全新的信息实时传递方式。可以保证现代信息技术全面应用于数字化的城市管理,有效的实现信息共享。通过无线网络技术的应用,可以实现信息源的全方位采集,以保证对城市实行全区域、全时段监控与管理。
④基于网络安全的数字化城域网的设计还需要组建城市管理监督中心和处置中心,同时按照数字监控、评价与管理分离的原则,根据数字化城市管理的发展变化,适时调整设置和职能。
3 结 语
随着互联网络规模的不断扩展,传统的数字化城域网不能适应网络安全的要求。本文主要对当前数字化城域网在运行过程中集成能力差、扩展性差、柔性差、关系繁琐、结构冗余、模型缺乏对分布环境的支持等缺点进行了论述,在此基础上提出构建基于网络安全的数字化城域网安全系统的解决方案和设计思路。
参考文献:
1 概述
随着以网络为核心的高新技术突飞猛进的发展,信息传播的方式发生了重大的变革,作为文献信息中心的图书馆也基本具备了采访、编目、书刊流通、公共查询和读者咨询服务等主要功能的计算机网络管理,逐步实现了自动化、网络化、数字化的操作和管理,在由传统图书馆逐步向数字图书馆转变。在数字图书馆的建设过程中,网络安全问题会显得越来越突出,数据资源的共享与网络安全两者之间的矛盾也将会越来越突出。保障数字图书馆网络系统的安全和正常运行,在其现代化的管理中具有非常重要的地位。
2 数字图书馆网络与数据安全面临的主要问题
凡事预则立,不预则废。做好数字图书馆网络安全管理的前提是对网络安全威胁和存在的问题有充分的认识和预见性。数字图书馆在带来各种便利的同时,也带来很多新的安全问题,如黑客攻击、病毒爆发、非法用户入侵等。另外,数字图书馆网络中存在不安全因素,包括:非法登陆、窃取信息、安全漏洞、内部的攻击、病毒的侵害、非法使用网络、来自外来计算机和电子邮件的破坏等。
3 构建数字图书馆网络安全体系的基本原则
网络安全是指网络系统的各个组成部分不因偶然或恶意的原因而遭到破坏、篡改和泄露,网络系统正常可靠运行、网络服务持续不中断。它包括物理安全、软件安全、数据安全和运行安全, 如图l所示。物理安全是指整个图书馆网络系统中硬件设备的安全;软件安全是指网络平台及应用程序的安全;数据安全是指数据存储和传输的安全,包括数据的完整性、可用性、可靠性;运行安全是指整个图书馆网络系统各部分都能正常运行。图书馆网络安全体系的构建就是以物理安全、软件安全、数据安全为内容,在保证数据安全的前提下,为读者提供优质的网络信息服务,同时必须充分考虑安全体系的经济性。
3.1 数据安全
图书馆数据库中存储数据或信息是其赖以存在的物质基础。如图书管理系统中的流通数据库,包括读者借阅信息、读者个人信息,一旦发生数据丢失或损坏,必将会影响图书馆流通工作的正常开展;电子阅览室管理系统数据库中同样也存储着读者存款信息、上机信息、计费信息,这些数据的丢失或损坏必将会给读者和图书馆造成损失。因此,构建数字图书馆网络安全体系的首要原则就是维护数据的安全。
3.2 服务质量
网络安全不能以牺牲服务质量为代价, 在注重网络安全的同时必须保持优质的网络信息服务。在网络受到攻击或遇到其它意外情况时, 轻易切断网络或停止部分功能以保障网络安全的做法是不可取的。在信息膨胀、节奏加快的现代社会,服务意味着承诺与信誉。必须保证网络的强壮性,即使遭受攻击,也能在最短的时间内恢复服务。
3.3 经济性
关键的网络设备与安全软件比较昂贵, 在使用中并非多多益善, 否则将超出经费预算, 给图书馆其它工作的正常运行带来影响。对数字图书馆而言,经济性是选用网络安全方案的一个重要参考因素。可以采用优化的网络安全策略,最大限度地发挥网络各部分安全措施的功效,达到立体防御的效果。
4 数字图书馆数据安全的实现
4.1 采用.NET技术的数据安全保障功能
微软所开发的.NET技术是完全基于XML数据交换的革命性平台。微软这一平台的设计意图十分明确,就是要把网上所有可用资源通过统一的数据格式整合为一个解决方案。这个设计意图使得.NET技术在对数字图书馆数据的处理方面有着很好的优势。.NET提供了多种符合W3C标准的命名空间和类来实现数据加密、数字签名和XKMS服务的功能。利用.NET所提供的安全功能可以有效的在数字图书馆信息系统中保护数据的安全。
4.2 数据加密功能
数字图书馆框架中,有三个命名空间涉及到数据的加密:
1) System.Security.Cryptography
这是一个提供密码服务的命名空间,在这个加密命名空间中有支持多种加密算法的类。密码服务程序类的列表如表1所示。
2) System.Security.Cryptography.X5O9Certificates
包含了W3C规范中.X509证书检索等的有关功能。
3) System.Security.Cryptography.Xml
应用在.NET框架下的特有的数据加密安全系统,可对数字图书馆流程信息文档部分或全部内容进行加密。
上述的三个命名空间使得数据加密功能在使用的方便性方面有了很大的提高,这也是.NET在实现数据安全方面的优势。例如在数字图书馆信息系统中需要对XML的数据进行加密,可以通过例程1实现(例程1以.NET中的C#语言编写)。
例程1:加密XML数据
using System.Xml;
using System.Security.Cryptography;//引用加密算法的命名空间 RSACryptoServiceProvider crypt=new RSACryptoServiceProvider();
//创建加密算法类的实现对象
System.Text.UTF8Encoding enc=new System.Text.UTF8Encoding();
//把数据字符串转换为字节数组
Byte[]bytes=enc.GetBytes(“数字图书馆信息系统中的XML数据”);
Bytes=Crypt.Encrypt(bytes,false);//)加密XML数据
在上述例程中直接使用了.NET在System.Security.Cryptography命名空间中所提供的加密算法类RSACryptoServiceProvider来加密XMI 数据,即快捷又安全。
4.3 数字签名功能
数字图书馆还采用了.NET框架在System.Security.Cryptography.Xml命名空间中对数字签名所需的全方位支持。在System.Security.Cryptography.Xml命名空间中可直接创建、、和等XML数字签名元素的对象,并可使用SignedXml类和它的ComputeSignature()和CheckSignature()方法来实现数字签名和验证数字签名的功能。例程2用C#语言实现了对一个包含数字图书馆信息的XML数据文档进行签名的处理。
例程2:数字图书馆文档的签名处理
using System.Xml;
using System.Security.Cryptography;
using System.Security.Cryptography.Xml;//引用加密算法的命名空间
SignedXml SignedXml=new SignedXml();//创建XML签名
Reference reference=new Reference();//指定要签名的数字图书馆文档
Reference.Uri=@ “file://”+“@数字图书馆文档”;
SignedXm1.AddReference(reference):
RSA crypt=RSA.Create();//使用RSA算法进行加密
SignedXm1.SigningKey=crypt;//生成RSA签名的密钥信息
Keylnfo keylnfo= new Keylnfo();
RSAKeyValue rsaKey=new RSAKeyValue(crypt);
KeyInfo.AddClause(rsaKey);
SignedXm1.Keylnfo=keyinfo;
SignedXm1.ComputeSignature();//正式签名
XmlElement xmlSignature=signedXm1.GetXml();//把签名放入XML文档
XmlDocument doc=new XmlDocument();
在上述例程中使用了.NET的XML数字签名类创建了一个独立的数字图书馆文档的数字签名。
4.4 数字图书馆密钥管理规范服务(XKMS)
在.NET框架下,XML密钥管理规范服务是以Web服务的形式实现的,它允许客户端应用程序访问PKI服务,但客户端应用程序不需要关心底层PKI的语法,从而减少客户机应用程序的复杂性。XKMS服务帮助数字图书馆轻松地将网络安全措施(如数据加密和数字签字)和图书馆信息系统的应用结合起来。XML安全标准措施是建基于XKMS服务所提供的网络交易中的信任关系上,XKMS服务是实现XML数字加密和签名服务的媒介。
4.4.1 创建XKMS服务
数字图书馆使用Web服务描述语言(WSDL)来定义Web服务,WSDL定义了用于与服务通讯的SOAP消息和XML类型,而使用WSDL创建XKMS服务分两个步骤:
1) 用WSDL创建XKMS对象模型。WSDI 实用工具可创建一个适当类型的字段,该字段的名称与XML元素或属性的名称对应,这些类型直接映射为.NET公共语言运行库(CLR)类型。利用这些字段构建出XKMS对象模型。
例程3:构建XKMS的对象模型
public class Keylnfo{
[System.Xm1.Serialization.XmlElementAttribute(“KeyName”,typeof(string))]
[System.Xm1.Serialization.XmlElementAttribute(“KeyValue”,typeof(KeyValue))]
[System.Xm1.Serialization.XmlElementAttribute(“RetrievalMethod”,typeofRetrievalMethod))]
[System.Xml.Serialization.XmlElementAttribute(“XS09Data”,typeof(X509Data))]
[System.Xml.Serialization.XmlElementAttribute(“PGPData”,typeof(PGPData))]
[System.Xml.Serialization.XmlElementAttribute(“SPKIData”,typeof(string))]
[System.Xml.Serialization.XmlElementAttribute(“MgmtData”,typeof(string))]
[System.Xml.Serialization.XmlChoiceIdentifierAttribute(“ItemsElementName”)]
public object[]Items;
[System.Xml.Serialization.XmlElementAttribute(“ItemsElementName”)]
[System.Xml.Serialization.XmlIgnoreAttribute()]
public ItemsChoiceType2[]ItemsElementName;
[System. Xml.Serialization.XmlAnyElementAttribute()]
public XmlElement[]Any;
[System. Xml.Serialization.XmlAttributeAttribute(DataType=“ID”)]
public string Id;}
2) 用WSDL实用工具生成的原型代码可以使XKMS服务得以实现。这些原型代码可以控制Web服务名称、XML命名空间和参数序列化的属性,以该代码创建一个XKMS服务实现非常简单。只需把KeyService类定义和相关联的属性复制到一个ASMX文件并添加必需的Web服务声明:< @WebService Language=“C#”class=“XKMS.KeyService” >。另外还需把KeyService类放置在命名空间‘XKMS’中,这有助于清楚‘KeyService’的用途。
4.4.2 构建XKMS客户端
有了用于XKMS服务,构建客户端应用程序很简单。XKMS服务包含了客户端服务需要的方法以及使用那些方法所需要的所有类型。构建KXMS客户端包括:
1) 使用服务注册RSA公钥值
2) 根据KeyName值查找RSA公钥
3) 根据KeyID或KeyName值验证RSA公钥
通过客户端应用程序交互式地收集任何所需的输人,用户可以执行一系列这些操作,调用XKMS服务。
4.4.3 数字图书馆的安全机制
大部分的数字图书馆信息系统是分布式应用程序环境,分布式协作存在巨大的安全隐患。所以现在除了采用XML加密、XML数字签名和XKMS等方法来解决数据一级的安全保障外,还提供了一个可伸缩的、由权限驱动的安全机制来保障应用程序的安全。这种程序级的安全机制进一步加强了XML数据的安全,适合在物流信息系统中广泛应用。
1) 程序访问安全性
为确保应用程序的安全,需要限制授予程序的权限。当调用受保护的资源或操作时,.NET要求程序有一个确定的权限。除检查程序的权限外,也可以为程序请求必要的运行权限以实现具伸缩性的安全机制。
2) 角色安全性
在.NET运行时(runtime)系统里,每一个正在执行的线程都有一个身份叫管理员,这是安全环境的一部分。管理员执行基于角色的检查,对每一个要求连编的线程进行对象角色的检查以确定线程的合法性。
5 结论
综上所述,结合本市数字图书馆网络安全体系的实践,我们认识到,由于数字图书馆的最终目标是建设图书订阅自动化、面向统筹管理、面向公众服务的资源共享的综合信息系统,系统的复杂性和特殊性便决定了其安全问题的多层次性、重要性和迫切性。
网络安全管理应技术措施和管理措施并重,建立数字图书馆安全体系,应从物理安全、网络安全、数据安全、应用系统安全、安全制度建设、安全教育培训等多方面进行全面规划和周密部署。另外,在构建数字图书馆安全体系的同时,还需要注意结合本市数字图书系统实际进行设计,安全思路清晰、安全体系全面、安全重点突出等相关问题,使网络和数据安全建设即符合现代化图书管理工作的需要,又符合公共服务部门相关的安全保密要求。
关键词:网络安全;数字化校园;虚拟局域网
随着网络的普及以及新应用的出现,信息已经成为一种关键性的战略资源。数字化校园网作为学校信息化建设的基础,引起了教学方法、教学手段、教学工具的重大革新,在教学、科研、管理等方面起着举足轻重的作用。与此同时,校园网络的安全保障就变得十分重要。本文重点阐述了网络安全系统的规划及方案的实施,目的是建立一个完整、立体、多层次的网安全防御体系。
一、数字化校园网安全现状
目前,世界上70%以上的学校都拥有自己的数字化校园网,并将其融入到教学中,但大部分校园网建设都对网络安全有所忽视,逐渐使校园网的安全受到来自内部和外部的威胁与危害。校园网的主要安全问题分为下述几方面:
1.物理层方面安全。由于网络中物理设备的位置不合理、规章制度的不健全及防范措施不科学,导致网络资源受到自然灾害的毁坏、人为或意外事故的破坏,造成了数字化校园网不能够正常的运行。因此,物理层安全问题是需要重视的。
2.未经受权访问。没有经过授权或者假冒合法的用户获得了权限进而访问网络资源,造成获取所需资料、篡改有关数据或利用有关资源从事非法活动的情况。在校园网上,最常见的是盗用合法IP地址,给合法的用户直接带来了经济损失,造成网络冲突,使网络不能够正常工作,严重的甚至造成主机崩溃,影响到整个校园网运行。
3.计算机病毒。互联网现在是病毒肆虐最大的来源,互联网上发现了各色新病毒,感染快、危害严重,而且使用者难以防范。校园网由于计算机用户众多并且水平差距很大,容易感染病毒且消除困难。
4.带宽管理。对于每个学校来说,它的带宽资源都是有限的。而上网人数的急增和各种各样在线游戏的流行使有限的带宽资源不堪重负。由于没有带宽限制和优先级设置,一些重要用户和重要应用得不到必要的带宽保证而影响了正常的教学和科研工作。
二、校园网安全方案的实现
1.网络防火墙的部署。在核心交换机与Internet之间、核心交换机和服务器群之间部署了一道防火墙,进行网络数据流的监控,实现虚拟的网络隔离。在部署防火墙之前,需要对现有网络结构以及网络应用作详细的了解,然后根据网络业务系统的实际需求制订防火墙策略,以便能够在提高网络安全的同时不影响业务系统的性能。通过进行网络拓扑结构的分析,确定防火墙的部署方式以及部署位置;根据实际的应用和安全的要求,划定不同的安全功能区域,并制订各个安全功能区域之间的访问控制策略;制订管理策略,特别是对于防火墙的日志管理、本身安全性管理。
2.路由器的设置。路由器是校园网主要设备之一,其位置在校园网与Internet接入口处。通过对路由器相关设置,可以实现带宽限制,特定访问规则,流量控制等,进一步保证了网络安全。路由器主要功能是对IP地址进行设置,设置要恪守的基本原则如下:路由器的物理网络端口需要有一个IP地址;相邻路由器的相邻端口IP地址在同一网段;同一路由器不同端口在不同网段上,IP地址设置的主要任务是配置端口IP地址;配置广域网线路协议,配置IP地址与物理网络地址如何映射;配置路由;其他设置。
3.三层交换机设置。三层交换机的出现解决了路由器的速度和二层交换机的VLAN间路由的问题,既满足了速度的要求,还可以实现划分VLAN,是目前数字化校园网中必不可少的网络设备。三层交换机通过划分VLAN有效地隔离了局域网的广播风暴,有效地提高了网络管理速度,很好地实现了网络安全。划分VLAN的基本策略从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:(1)基于端口的VLAN部分。这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这种方案只需要管理者对网络设备的交换接口重新分配就可以,不必考虑该端口所连接的设备。(2)基于MAC地址的VLAN划分。MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的,网络管理员可按MAC地址把一些站点划分为一个逻辑子网。(3)基于路由的VLAN划分。路由协议工作在网络层,相应的工作设备有路由器和路由交换机,该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
建设数字化校园网为信息资源共享提供了有力的工具和手段,将校园中的各PC机、终端设备与局域网相连接,同时与国际互联网连接起来,构建可以满足教学、科研以及管理工作所需的各种环境,及时收集各种反馈信息,为学校的长远发展提供决策依据。
参考文献:
[1]邓尚民,袁玉珍.浅谈对校园网建设中存在问题的几点认识[J].中国远程教育,2000(2).
[2]方欣泽.计算机网络系统集成[M].北京:中国水利电利出版社,2005.
人们的生活随着互联网技术的高速发展,得到了非常显著的提高,并且让人们的生活方式以及生活习惯,都有了非常巨大的改变。互联网已经成为了人们交流各种信息的一个重要平台。因此,互联网的安全问题也逐渐的暴露了出现,成为了我国当下的一个重要的研究领域。
1网络信息资源的安全管理之中存在的问题
1.1操作系统中存在的漏洞
计算机拥有庞大的软件系统,但是其中最基本也最重要的系统就是计算机的操作系统。操作系统是提供一个用户正常使用计算机或者对其他程序进行安装的一个可以运行的平台。并且,操作系统还能够对计算机之中储存的资源进行管理。例如,对于计算机的硬件和软件之中存在的问题,利用一定的操作就能够轻松的进行查看和管理。在这个过程之中,就有可能会涉及到一个模块或者程序的安全问题。如果这些程序之中,存在着一些问题,但没有被发现和及时解决的化,可能就会造成计算机的整个系统崩溃,从而影响用户对计算机的正常使用。信息的传输、程序的加载等功能都能通过操作系统进行实现,尤其是通过ftp传输一些特殊的文件。而当这些特殊文件之中包括了一些可执行的文件,对于计算机也会造成不安全的影响。这些ftp文件,大都是由程序员编写出来的,在编写的过程之中可能会出现很多的漏洞,这些漏洞就会造成计算机资源的安全威胁,甚至引起系统的崩溃。计算机操作系统的不安全因素出现的原因,主要是操作系统会允许用户在计算机上创建一定的进程,并且能够对其进行远程激活。这种手段一旦被一些不法分子所利用,就有可能造成计算机被远程控制的威胁,也就是俗称的被“黑”。操作系统还能够实现对计算机的远程硬件和软件调用,从而通过网络节点流失很多相关的信息,从而带来一定的损失和安全威胁。
1.2网络开放性存在的问题
计算机最显著的特点就是其具有开放性,这是互联网技术发展的必然趋势,但是这种趋势却会给网络的安全带来比较大的隐患。首先,由于网络开放性的存在,就使得网络接入的门槛比较低,来自不同地区,不同身份的人都能够接入网络来交流一些信息或者问题。因此,在这些接入的人群之中,很有可能会存在一些图谋不轨的人,从而使得网络受到攻击,有可能会是针对计算机一些软件漏洞所发起的攻击,也有可能是针对网络之中的传输协议发起的攻击。并且这些攻击的范围包括本地的用户,也包括外地甚至国外的用户。这种入侵行为,在国家之间的存在早已经屡见不鲜,有些攻击行为一旦得逞可能会让某个国家造成严重的损失。所以,互联网的安全问题不仅仅是个人的问题,也是国家和世界的问题。
2网络安全技术
在我国比较常见的网络安全技术主要有入侵检测、可视化、防火墙、漏洞扫描、数据加密等技术。这些技术的应用,让当前的互联网安全有了一个比较好的保障,为用户提供了一个相对安全的上网环境。入侵检测技术主要指通过对审计数据的收集,从而将对网络安全日志以及网络行为进行分析,进而判断在近期的计算机系统之中是否存在被攻击或者一些违法的网络行为。这是一种积极主动的安全防御技术,是除了防火墙之外的第一道安全防护的闸门,该技术在检测时能够避免对网络性能的影响,从而更好的检测出网络供给的行为。进行入侵检测,可以随时对来自外部以及内部的网络攻击进行监控,让计算机资源的安全性得到有效的提高。目前的计算机入侵检测方法主要有混合入侵检测,基于主机以及网络的入侵检测等。入侵检测技术在网络资源安全的应用中,属于应用比较广泛的技术之一。可视化技术是建立在入侵检测、防火墙和漏洞扫描技术基础上的一种技术。该技术是网络安全可视操作的一种延伸,是各种安全技术的一种补充。该技术可以让网络数据之中的比较抽象的网络结构,以图像化的形式,被人们所观察,并且对网络中出现的一些特殊信息,进行实时的反应。该技术可以监控整个网络的运行状态,并且能够向网络安全管理员提示网络之中可能会出现的一些安全风险,使网络安全工作得到了便利。网络安全的管理人员,可以将网络的具体状况采用高维信息技术进行展开,从而使网络入侵行为更加清晰的暴露在管理人员的眼前。同时,采用可视化技术,还能够对未来网络安全事件的发展形势进行估计和判断,并且采取相应的针对措施来进行预防。可视化技术的应用,使得网络资源安全的防护更加的方便、智能。防火墙技术是普通大众最为熟悉的一种网络安全技术。该技术事先制定好一定的网络安全规则,然后强制性的检查内外网之间的信息交流行为,对不安全的外网访问行为进行限制。这种技术主要是根据实际情况对外网的访问权限进行设定,从而防止外网之中一些非法行为对计算机的入侵,使网络资源的安全得到保证。同时,防火墙技术还能够将内网之间的访问行为进行一定的规范,保证内部网络资源的真正安全。当前的防火墙技术主要有网络层防火墙以及应用层防火墙这两种类型的技术。网络层防火墙,可以被当作是在最底层的TCP/IP协议上工作的一种IP封包过滤器。网络管理员在对其进行设置的时候,可以设置成只允许自己需要的或者符合要求的封包通过,这样就可以禁止其他封包穿过防火墙。虽然,在理论上来说防火墙技术能够防止所有的外界数据流对计算机的入侵,但是防火墙并不能够对病毒的入侵有效的防止。漏洞扫描技术,是通过漏洞扫描的程序,对计算机的本地主机或者远程设备进行安全扫描,从而发现计算机系统之中存在的一些安全漏洞,并对这些漏洞进行打补丁形式的修补。以这种形式来保证整个系统的安全。漏洞扫描程序,通过对TCP/IP的相关服务端口监控主机系统的扫描,并利用模拟网络攻击记录目标主机的响应情况,从而对有用的数据信息进行收集。漏洞扫描能够将计算机之中存在的一些安全漏洞及时的掌握和发现,让网络运行的状况得到有效的反应,为用户提供一个安全的网络环境。并且,漏洞扫描还能够针对一些漏洞及时的做出有效的弥补措施,进行漏洞的修复,使漏洞引起的网络安全风险降到最低。数据加密技术,是目前比较常用的一种安全技术,是通过制定一定的规则,从而使得明文能够重新进行编码,变成别人没有办法识别的数据。这样在传输的过程之中即使被不法人员所截获,但是没有相应的密钥就不能够破解加密的信息,从而无法知道信息的具体内容。数据加密的技术主要是应用在对信息以及动态数据保存的方面。计算机的数据加密系统,主要包括密钥集合、明文集合、密文集合以及相关的算法所构成。而算法以及数据是数据加密系统之中最基本的组成部分,采用一系列的数学法则形成的算法,是数据加密能够实现的真正核心。
3提升网络信息资源管理的策略
3.1提升管理人员的业务技能
对于网络信息资源的安全而言,所面临的大部分威胁都是来自人为的威胁,包括黑客攻击等威胁。按照网络信息资源受到攻击的形式,主要可以分为主动攻击和被动攻击两种形式。主动攻击指的是一些不法分子,利用非法手段将信息的完整性进行破坏,并对数据包之中的内容进行更改,从而让接收者受到误导。或者是不法分子,进入计算机系统之中,将系统的大量资源进行占用,让系统不能够为用户提供正常的服务。被动攻击主要指的是,不对信息的传输造成影响的截取并破解传递信息的手段,这种手段具有极大的危险性。所以针对网络资源被攻击的形式,网络安全管理部门应该定期对管理人员进行专业技能水平的训练,并且让管理人员加强对安全网络的监测力度。同时制定不同攻击形式下的防御措施,让管理人员熟练掌握应对的方式,并且加强与国内外先进技术部门的合作,共同探讨防止网络攻击的新技术和新方法。
3.2加强计算机软硬件的管理
计算机的软件管理在计算机的网络信息资源安全保障方面,存在着非常重要的作用,所以在平时,网络安全管理人员要注重对软件的管理。对于计算机软件而言,主要的威胁是存在于计算机之中,或者一些外来的病毒,管理员应该定期的对计算机进行杀毒,并且注重杀毒软件的更新和补丁的下载等。对于计算机的硬件管理,主要需要从两个方面进行,首先是要为计算机的运行创造出一个非常良好的外部环境,要注重计算机的防火以及防潮等工作,避免外部环境对计算机造成一些不良影响。其次,对于机箱等硬件的管理,要制定一个详细、严格的管理制度,规定在没有经过系统管理员允许的情况之下,不能够打开机箱进行硬件的更换。此外,在平时,管理人员还需要对计算机的硬件进行定期的检测,使出现问题的硬件能够及时的发现并进行修理。
4结束语
总而言之,在当前的社会形式和时代背景之下,网络信息资源的安全管理技术的研究是非常重要的一件事情。所以有关部门要加强对技术的创新,加强对管理人员的培训,并且加强对计算机软硬件的良好管理,让我国的互联网处在一个安全、干净的环境之中,让每一位用户都能够放心的使用互联网技术。
作者:赵杰 单位:晋中职业技术学院电子信息系
引用:
[1]汪江.谈网络安全技术与电力企业网络安全解决方案研究[J].价值工程,2012.
[2]杨岭.基于网络安全维护的计算机网络安全技术应用研究[J].信息系统工程,2015.
【关键词】网络安全技术 网络信息资源 安全管理
随着互联网技术的不断发展,计算机的应用也越来越普及,在给用户生活和工作带来极大便利的同时,也带来安全管理方面的风险。互联网信息资源的安全管理问题已经成为了如今网络安全探讨的重点。如何加强网络安全技术防护,增强计算机网络信息资源安全管理性能,防止网络信息在通信过程中被入侵和破坏,为计算机的正常运行营造一个良好的内外部环境也成为了一个重要的课题。
1 网络信息资源管理中的安全技术问题
1.1 网络信息资源开放性带来的安全隐患
信息网络最大的优势便是其提供了开放互动的平台,开放性是互联网络的显著特点,同时也是信息资源的发展必然趋势。但开放性给人们带来便利的同时,也对网络安全带来极大的隐患。首先,目前网络实名制并未完全实行,互联网络使用人群的身份判别存在难度,同时由于如今移动设备的广泛应用,开放性极强,而泛在化互联网络的使用成本并不太高,因此对于使用人群来说,便利地传递信息资源固然能提供方便,但也会对互联网的稳定维护带来隐患;其次,在互联网这个开放的大环境之中,难免会存在对网络安全管理具有威胁的不轨行为。这样的行为可能是针对于互联网软件中的漏洞,或是针对于互联网网层结构中的传输协议。既有可能是出于炫耀目的的本地用户,有也可能是其他国家或组织的黑客。因此网络信息资源管理中的安全技术问题,不仅关系每个用户的信息保密,还涉及到一个地区或是一个国家的整体网络安全防护问题。因此网络安全问题不仅仅是行业性安全保障问题,更是一个世界性的安全保障问题。
1.2 计算机操作系统漏洞带来的安全隐患
计算机的操作系统是最为基本也是最为重要的运行平台,用户通过操作系统得以正常使用计算机以及安装其他软件程序,同时还能针对计算机内部的信息资源进行有效管理。对计算机所需的硬件和软件而言,操作系统能够帮助用户迅速进行管理和使用,但如果在软硬件程序之中存在漏洞和问题的话,如果没有及时解决,极有可能造成系统崩溃以至于直接影响对于计算机本身的整体使用。导致计算机操作系统存在漏洞的重要原因在于允许使用者自行创建进程,并且还可以支持远程激活。这样的特性一旦被有心的不法分子利用,则会给计算机信息资源的安全管理带来威胁和隐患,甚至会出现被他人远程控制的情况,这将有可能对使用者带来极大的损失。
2 主要网络安全技术
2.1 内部防御安全技术
针对于网络信息资源安全管理的内部防御安全技术主要是防火墙和漏洞扫描这两种类型。防火墙技术是一种基于预先已经定义好的安全规则之上,针对于计算机的内网与外网之间的通信行为进行强制性检查和防范,加强内外网之间相互通信的访问控制。防火墙技术需要根据实际发生的情况针对计算机外网的访问权限进行限制,防止非法和违规行为通过外网进行入侵,以此来保障计算机内部的网络信息管理的安全,另外也需要针对计算机内网之间的访问行文进行规范,以此来优化内部防御安全技术,从而提高网络信息资源的安全管理程度。
另外一种技术类型则是漏洞扫描。这是一种通过打补丁的方式针对计算机本地的主机或是远程设备进行整体安全扫描,发现安全漏洞的同时进行修补,从而达到保障整体系统安全的目的。在漏洞扫描过程中,扫描程序通过对TCP/TP相关的服务端口进行扫描,从而监控主机的系统,同时通过记录相应的相应情况来收集相关的有效信息,以此通过漏洞扫描来对整体系统存在的安全漏洞和隐患进行整体把控,从而增强网络信息资源管理的安全性,同时也能降低安全风险值,提升系统防御性能。
2.2 外部监测安全技术
维护网络信息资源安全管理的外部检测安全技术包括入侵检测行为以及可视化的安全技术。入侵检测是基于审计大数据的收集和整合,以此来分析网络通信和安全日志相关行为的安全性,判断整个计算机系统中是否存在被攻击和被入侵等不法行为。如果存在入侵行为的可能性,那么入侵检测可以在系统被攻击之前进行拦截,这是一种针对于外部监测的安全技术,同时也是一种比较积极的防御功能。这项入侵检测技术是针对于就是外部攻击,同时也会对内部攻击进行监控,因此能起到增强计算机安全性能防护的作用,但同时也不会对计算机本身的网络通信性能造成影响。这同时也是入侵检测技术的优势所在。
另外一种安全技术便是针对于网络安全而衍生发展的可视化安全技术。它是基于内部防御和外部监测安全技术之上,将计算机网络中涉及到的系统数据以及网络结构以可视化的图像形式表现出来,同时这也是实时动态监测,为计算机整个网络通信使用过程保驾护航,一旦出现安全漏洞或潜在风险,会以某种特定方式提示用户,同时还能为网络安全技术人员处理计算机系统安全问题而提供帮助,促进针对性地处理安全风险问题,从而增强计算机网络信息资源的安全和智能管理。
3 加强网络信息资源安全管理的策略
3.1 培养专业的网络安全维护人才
目前对计算机网络信息资源安全管理存在潜在威胁的攻击行为大多集中在人为性的入侵行为方面。无论是针对于有目的性的黑客入侵或是计算机网络犯罪,大多属于人为入侵和攻击的范畴。而这种人为攻击分为两个类型,主动攻击和被动攻击。两者区别在于是否对截取到的网络信息资源进行更改,前者会利用不法行为来更改截取到的信息以达到误导信息接受者,而后者则是对传输的信息资源直接进行截取和破解,但这两者都对信息的安全保障造成了重大风险和威胁,极易为组织和单位带来重大的经济损失。因此针对这样的网络信息安全风险形式,需要从人员上优化知识结构,增强安全防护的技能,培养专业的网络安全维护人才,从而在加强现有网络监测和维护力度的基础上,对网络信息的安全发展未来趋势进行专业性地判断和预测,从而帮助网络信息资源安全管理工作往更加智能和可把控的方向去发展。
3.2 加强计算机软硬件设备安全管理
首先就计算机的硬件设备而言,最基本的是需要营造安全的计算机运行环境,对于电压稳定,防火防潮,防虫蛀等外部风险进行把控,降低外部环境对计算机硬件运行的风险影响。同时还需要相关安全技术性管理人员针对计算机硬件设备定期进行检测和维护,定期进行问题排查,另外还需要对相关人员未经允许不得擅自更换计算机硬件进行规范规定。其次是对于计算机的软件而言,网络信息资源安全管理人员应该定期利用计算机安全防护技术对软件进行病毒查杀和和漏洞修复。对于威胁到系统安全的计算机病毒或是其他风险,需要及时下载补丁进行修补和防护,以增强系统软件的安全性,同时还需要注意的是,对于重要的相关网络信息资源需建立有效的备份机制,以防止在系统出现安全风险时造成数据丢失等问题。
4 结语
在如今网络信息技术以及计算机新兴技术飞速发展的时代,人们利用计算机和网络信息资源进行工作和交流,从中得到了极大的便利,但另一方面,网络信息资源的安全问题也成为了一个重要课题。因此针对于网络信息资源安全管理的隐患和风险问题进行分析,同时有针对性地提出相应的应对策略,以期能促进网络信息资源管理向更为安全性的方向发展。这需要不断加强对于网络信息资源的安全管理意识,同时需要通过培养专业性安全维护人才来提高相关技术,加强网络信息资源管理,为计算机的整体安全运行提供稳定和良好的大环境,能够更好地为用户的生活和工作提供便利和帮助。
参考文献:
[1]孙晖.网络安全技术与网络信息资源管理研究[J].计算机光盘软件与应用,2012,v.15;No.20522:44-45.
[2]史亚巍.我国政府信息资源管控研究[D].中央民族大学,2015.
[3]梁宏斌.基于SMDP的移动云计算网络安全服务与资源优化管理研究[D].西南交通大学,2012.
[4]王浩羽.网络安全技术与网络信息资源管理探讨[J].硅谷,2013,v.6;No.13414:86-87.
[关键词] 计算机网络 电子商务 安全技术
一、引言
近几年来,电子商务的发展十分迅速,电子商务可以降低成本,增加贸易机会,简化贸易流通过程,提高生产力,改善物流和金流、商品流、信息流的环境与系统。虽然电子商务发展势头很强,但其贸易额所占整个贸易额的比例仍然很低。影响其发展的首要因素是安全问题,网上的交易是一种非面对面交易,因此“交易安全”在电子商务的发展中十分重要。可以说,没有安全就没有电子商务。电子商务的安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
二、电子商务网络的安全隐患
1.窃取信息:由于未采用加密措施, 数据信息在网络上以明文形式传送, 入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析, 可以找到信息的规律和格式, 进而得到传输信息的内容, 造成网上传输信息泄密。
2.篡改信息:当入侵者掌握了信息的格式和规律后, 通过各种技术手段和方法, 将网络上传送的信息数据在中途修改, 然后再发向目的地。这种方法并不新鲜, 在路由器或者网关上都可以做此类工作。
3.假冒:由于掌握了数据的格式, 并可以篡改通过的信息, 攻击者可以冒充合法用户发送假冒的信息或者主动获取信息, 而远端用户通常很难分辨。
4.恶意破坏:由于攻击者可以接入网络, 则可能对网络中的信息进行修改, 掌握网上的机要信息, 甚至可以潜入网络内部, 其后果是非常严重的。
三、电子商务交易中应用的网络安全技术
为了提高电子商务的安全性,可以采用多种网络安全技术和协议,这些技术和协议各自有一定的使用范围,可以给电子商务交易活动提供不同程度的安全保障。
1.防火墙技术。防火墙是目前主要的网络安全设备。防火墙通常使用的安全控制手段主要有包过滤、状态检测、服务。由于它假设了网络的边界和服务,对内部的非法访问难以有效地控制。因此,最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络(如常见的企业专用网)。防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。目前,防火墙产品主要分为两大类:基于服务方式的和基于状态检测方式的。例如Check Point Firewall-1 4.0是基于Unix、WinNT平台上的软件防火墙,属状态检测型;Cisco PIX 是硬件防火墙,也属状态检测型。由于它采用了专用的操作系统,因此减少了黑客利用操作系统G)H 攻击的可能性;Raptor完全是基于技术的软件防火墙。由于互联网的开放性和复杂性,防火墙也有其固有的缺点:(1)防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制地向外拨号,一些用户可以形成与Internet的直接连接,从而绕过防火墙;造成一个潜在的后门攻击渠道,所以应该保证内部网与外部网之间通道的唯一性。(2)防火墙不能防止感染了病毒的软件或文件的传输,这只能在每台主机上装反病毒的实时监控软件。(3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击,所以对于来历不明的数据要先进行杀毒或者程序编码辨证,以防止带有后门程序。
2.数据加密技术。防火墙技术是一种被动的防卫技术,它难以对电子商务活动中不安全的因素进行有效的防卫。因此,要保障电子商务的交易安全,就应当用当代密码技术来助阵。加密技术是电子商务中采取的主要安全措施, 贸易方可根据需要在信息交换的阶段使用。目前, 加密技术分为两类, 即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI(publickeyInfrastructur 的缩写, 即“公开密钥体系”)技术实施构建完整的加密/签名体系, 更有效地解决上述难题, 在充分利用互联网实现资源共享的前提下从真正意义上确保了网上交易与信息传递的安全。在PKI 中, 密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开, 而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密的加密, 专用密钥则用于对加信息的解密。专用密钥只能由生成密钥对的贸易方掌握, 公开密钥可广泛, 但它只对应用于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是: 贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开; 得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲; 贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。
3.身份认证技术。身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性,来证实被认证对象是否符合或是否有效的一种过程,用来确保数据的真实性。防止攻击者假冒、篡改等。一般来说。用人的生理特征参数(如指纹识别、虹膜识别)进行认证的安全性很高。但目前这种技术存在实现困难、成本很高的缺点。目前,计算机通信中采用的参数有口令、标识符、密钥、随机数等。而且一般使用基于证书的公钥密码体制(PK I) 身份认证技术。要实现基于公钥密码算法的身份认证需求。就必须建立一种信任及信任验证机制。即每个网络上的实体必须有一个可以被验证的数字标识,这就是“数字证书(Certifi2cate)”。数字证书是各实体在网上信息交流及商务交易活动中的身份证明。具有唯一性。证书基于公钥密码体制,它将用户的公开密钥同用户本身的属性(例如姓名,单位等)联系在一起。这就意味着应有一个网上各方都信任的机构,专门负责对各个实体的身份进行审核,并签发和管理数字证书,这个机构就是证书中心(certificate authorities,简称CA)。CA用自己的私钥对所有的用户属性、证书属性和用户的公钥进行数字签名,产生用户的数字证书。在基于证书的安全通信中,证书是证明用户合法身份和提供用户合法公钥的凭证,是建立保密通信的基础。因此,作为网络可信机构的证书管理设施,CA主要职能就是管理和维护它所签发的证书,提供各种证书服务, 包括: 证书的签发、更新、回收、归档等。
4.数字签名技术。数字签名也称电子签名,在信息安全:包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名是非对称加密和数字摘要技术的联合应用。其主要方式为:报文发送方从报文文本中生成一个128b it的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128bit位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
四、结束语
电子商务安全对计算机网络安全与商务安全提出了双重要求,其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题,制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展,同时也促进安全的电子商务体系的形成。当然,任何一个安全技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的安全保障。
参考文献:
[1]肖满梅罗兰娥:电子商务及其安全技术问题.湖南科技学院学报,2006,27
购物车(0)
