时间:2023-12-07 15:39:22
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全与网络管理,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词:局域网 安全 管理
随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,计算机网络和系统的安全与管理工作就显得尤为重要。
1、局域网安全威胁分析
局域网是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。一般的情况下,局域网的网络安全威胁通常有以下几类:
1.1 核心设备自身的安全威胁
软交换网络采用呼叫与承载控制相分离的技术,网络设备的处理能力有了很大的提高。可以处理更多的话务和承载更多的业务负荷,但随之而来是安全问题。对于采用板卡方式设计的网络设备,一块单板在正常情况下能够承载更多的话务和负荷,那么在发生故障时就有可能造成更大范围的业务中断。
目前,软交换设备安全完全依赖厂商的软硬件的安全设计,主要通过主备、1+1、N+1备份和自动倒换以及软硬件模块化设计等方式实现故障情况下的切换和隔离。但备份和倒换的可靠性无法保障:关键设备的倒换(特别是一些关键接口板)一般会影响业务或者设备运行,倒换的成功率目前无法保障,可能在紧急情况下无法顺利进行倒换。
1.2 网络层面的安全威胁
虽然单个或者区域核心节点的安全可以通过负荷分担或者备份来保证,但是从网络层面来看仍然存在安全隐患。在现有的软交换网络中,各种平台类设备很多,而且往往都是以单点的形式存在,这些节点一旦失效,将严重影响网络业务。目前网络层面的威胁主要是重要业务节点瘫痪造成的业务中断、拥塞和溢出,其中SHLR、通用号码转换(一号通平台)等关键平台的影响最大。因此,应该重视突发话务冲击导致话务资源耗尽等现象。
1.3 承载网的安全威胁
软交换系统的承载网络采用的是IP分组网络,通信协议和媒体信息主要以IP数据包的形式进行传送。承载网面临的安全威胁主要有网络风暴、病毒(蠕虫病毒)泛滥和黑客攻击。黑客攻击网络中的关键设备,篡改其路由和用户等数据,导致路由异常,网络无法访问等。从实际运行情况来看,承载网对软交换网络的影响目前是最大的,主要是IP网络质量不稳定引起的。
1.4 接入网的安全威胁
软交换网络提供了灵活、多样的网络接入手段,任何可以接入IP网络的地点均可以接入终端。这种特性在为用户提供方便的同时带来了安全隐患,一些用户利用非法终端或设备访问网络,占用网络资源,非法使用业务和服务,甚至向网络发起攻击。另外,接入与地点的无关性,使得安全事件发生后很难定位发起安全攻击的确切地点,无法追查责任人。
正是由于局域网内在应用上存在这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。根据这些存在的安全隐患,在局域网中采取如何策略进行防范呢?
2、局域网安全策略控制与管理
局域网安全的控制主要从人员和设备两个方面进行考虑:
2.1 局域网中人的行为安全控制
安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的,所以必须加强工作人员的安全培训。对局域网内部人员,从下面几方面进行培训:加强安全意识培训;加强安全知识培训;加强网络知识培训。
2.2 局域网的安全策略控制与管理
2.2.1 网络系统的安全控制
为保护网络的安全,必须对访问系统及其数据的人进行识别,并检查其合法身份,对进入网络系统进行控制。访问控制首先要把用户和数据进行分类,然后根据需要把二者匹配起来,把数据的不同访问权限授予用户,只有被授权的用户才能访问相应的数据。入系统访问控制为系统提供了第一层访问控制,控制着可以登录到服务器网络操作系统并获取系统资源的用户,通过用户识别和验证、用户口令识别和验证以及用户账号的默认限制检查进入系统,选择性访问控制是基于主体或者主体所在组的身份,这种访问控制是可选择性的,如果一个主体具有某种访问权,则它可以直接或简接地把这种控制权传递给别的主体。选择性访问控制被内置于许多操作系统当中,是任何安全措施的重要组成部分。文件拥有着可以授予一个用户或一组用户访问权。
2.2.2 网络互连设备的安全管理
网络中的互连设备包括集线器、交换机、路由器等设备,这些设备在网络中起着非常重要的链接作用,因此,这些设备的安全性更是关系到整个网络的关键命脉。实际中,一定对网络中这些设备的登录有严格的控制管理,登录方式只能掌握在网络的管理人员手中,网络的管理人言要正确配置设备的参数,运行过程中,能够顺利连接局域网中的各个环节,使整个网络运行顺畅。
2.2.3 网络终端的安全管理
目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。采取的手段是:利用管理系统控制用户入网;采用防火墙技术;封存所有空闲的IP地址,启动IP地址绑定,采用上网计算机IP地址与MCA地址唯一对应,网络没有空闲IP地址的策略;属性安全控制。启用杀毒软件强制安装策略,监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。
通过了对网络中的安全进行了策略的设置,还要对网络的运行过程中做好预防工作。
3、病毒防治策略
网络是目前计算机病毒急速增长,种类快速增加的直接推动力,几乎任何一种网络应用都可能成为计算机病毒传播的有效渠道。由于局域网中数据的共享和相互协作的需要,组成网络的每一台计算机都连接到其他计算机,局域网络技术的应用为企业的发展做出了贡献,同时也为计算机病毒的迅速传播铺平了道路,同时,由于系统漏洞所产生的安全隐患也会使病毒在局域网中传播。
由此可见,病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:
(1)增加安全意识和安全知识,对工作人员定期培训。如果技术人员对网络安全产品一只半解,就不能正确配置,甚至根本配置错误,不但安全得不到保护,而且还带来虚假的安全,因此,在网络中,首先对技术人员进行专业的培训。只有真正掌握安全管理各方面的知识,才能使整套的安全策略得到充分的执行和实施。
(2)小心使用移动存储设备。日常工作过程中,数据的传输、备份,难免使用移动存储设备,那么,在局域网中使用这些设备时,注意的问题有:使用是保证存储设备的安全性,在使用移动存储设备时,要做到不把病毒带到网络中,以防发生网络故障,同时,也注意网络中某台计算机上的病毒感染移动存储设备,防止数据的丢失。
(3)挑选网络版杀毒软件。目前市面上杀毒软件比较多,但任何一个杀毒软件都不能对所有病毒都起作用,我们在选择杀毒软件时需要注意到以下几个方面:首先,杀毒软件对客户端设备的要求不是很高,能够保证网络中层次不齐的客户端都能安装该软件,并且运行起来顺畅。其次,杀毒软件病毒库升级比较方便,在出现新的病毒时,病毒库能够第一时间更新,确保客户端不被侵犯。最后,杀毒软件使用比较灵活,网络中的客户端都安装杀毒软件,但如果依靠人为手动进行查杀,运行起来比较麻烦,选择杀毒软件,一定能够设置某时间点进行自动查杀。
通过以上策略的设置,能够及时发现网络运行中存在的问题,快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确的切断安全事件发生点和网络。
4、信息化安全管理制度
局域网网络的安全管理制度是网络的安全运行的保障,在制定安全管理制度中,最重要的是关于网络各种文档的制定。其中有网络建设方案文档、机房管理制度文档、各类人员职责分工、安全保密文档、网络安全方案、安全策略文档、口令管理制度、安全防护记录、应急响应方案等等制度。实际中,通过以上各种文档,在网络运行过程中,随时可以用到,只有健全的管理制度,才能确保更快地处理遇到的各类问题。
5、结语
局域网网络的安全控制与管理是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
【 关键词 】 医院;网络安全;管理
Hospital Network Security and Management
Gao Fang
( Yan'an People's Hospital of Shaanxi Province ShanxiYan'an 716099)
【 Abstract 】 the hospital because of development needs to undertake informatization construction, but after the construction must face various problems of network security, this paper mainly discusses the hospital network security and management.
【 Keywords 】 hospital; network security; management
0 引言
随着信息技术的不断进步,网络已经成为了人们进行信息传播的重要工具之一。随着信息技术优越性的体现,信息化建设已经逐渐被推动到一个新的高度,这也就推动了网络建设的发展。医院是重要的学术研究基地和治病救人的专业机构,为了自身发展的需要,对信息化建设的需求较高,而且信息化建设的程度也较高,这为医院的发展有着十分重要的作用。但是因为在信息化建设的过程中缺乏充足的技术力量以及其他方面的原因,使得医院现有的网络安全状况并不是很令人满意,这就提出了如何加强医院网络安全管理的问题。
1 当前医院网络所面临的主要安全威胁
因为医院的特殊性,当医院信息系统在通过测试正式投入使用后,就必须要24小时不间断地进行运行,但是这个过程中必须要面对的问题就是各种网络安全威胁,当这些安全威胁一旦爆发出来就会对医院的网络与信息系统产生影响,严重的就会导致网络和信息系统无法正常运转。当医院的网络和信息系统出现瘫痪,那么不仅仅是带来各种经济上的损失,最严重的是有可能会对医院的声誉带来影响。
医院网络系统所面临的安全威胁主要有两类:一类是对网络中的数据与信息产生的威胁;另一类是对各种硬件设备所带来的威胁。
1.1 网络传输以及网络设备所面临的安全威胁
医院在开始信息化建设时,并没有能够考虑到今后网络以及通信技术发展的速度以及发展的方向,这就使得其建设肯定会存在着一些缺陷,虽然在当时并没有问题。例如在进行网络线路的铺设时没有能够考虑到今后的扩展;在增加网点时十分随意,没有对整体的网络结构进行考虑,网络的传输效率不高;同时随着时间的推移,很多网络设备都不同程度的老化,并且可靠性也不强,与新设备的兼容性也不好;设备的备份不到位,如果出现故障容易造成大范围的瘫痪。
1.2 计算机病毒的威胁
计算机病毒是对医院网络所面临的威胁中较为重要的一种威胁。它不仅仅能够消耗网络与主机资源,严重的会对数据以及硬件造成不可逆的损害,其所造成的损失也就难以估量。现在病毒传播的途径主要有几种。
通过各种可移动存储媒介进行传播,例如U盘、光盘等。如今基本已经不再使用软盘,U盘的使用则十分的广泛,因此U盘往往也是很多计算机病毒传播的主要途径。还有一些盗版的光盘,其上面的软件或者是游戏也有可能会含有病毒。随着各种大容量可移动存储设备的广泛使用,这些存储设备成为了各种计算机病毒进行寄生的主要场所。但是这些大容量的可移动存储设备为用户带来了很多方便,这就使得用户需要经常使用,而且很多用户在使用时并没有考虑到其安全性,这就为病毒通过这些可移动设备进行传播提供了途径,进而为计算机用户的数据安全与网络安全带来了十分严重的威胁。
通过数据的共享与计算机之间的相互协作来进行传播。医院内的计算机基本都是属于一个局域网内,或者是通过虚拟网技术划分为多个内网,但是每一台计算机都会与其他的计算机相连接,并且很多计算机都在进行数据的共享。在这种情况下如果是有一台计算机的数据感染了病毒,那么其他与其相连并进行数据共享的计算机就容易感染病毒,进而继续传播,最后感染整个医院网络中的计算机。局域网技术虽然十分好用,但是也为计算机病毒的传播提供了途径。
2 提高医院网络安全性的方法和措施
2.1 对当前的医院网络进行科学规划与改造
在当前,基本上每一家医院中的网络设备都是通过一个核心交换机来进行数据的交换处理的,如果这个交换机出现故障,那么就会整个医院的网络都陷入到瘫痪之中。因此为了能提高安全性,在进行网络布线时以及核心层的交换机都需要考虑冗余模式的建立,对于汇聚层的交换机以及接入层的交换机都可以考虑备用机的购置。这样当核心机或者是汇聚层与接入层的交换机出现问题时,就能够通过备用的来进行更换,保证医院的网络不会出现瘫痪状态。
2.2 划分出科学合理的VLAN
提高网络安全的一项重要措施就是划分VLAN,特别是对于医院来说这更是一项经济实惠的措施。通过交换机所基本的VLAN功能能够局域网内的各种设备从逻辑上进行划分,这样有助于提高网络的传播效率提高带宽的使用效率,同时还能够防止广播风暴的产生。通过VLAN的划分有助于提高网络的安全性,并且通过访问权限的设定,能够使得网络的管理更加的方便。医院中可以根据具体的职能来将网段分为门诊、住院和机关三个子网。
2.3 注重对计算机病毒的预防
通常来说,如果是新型的计算机病毒,那么很多时候杀毒软件也无能为力,因此应该要以预防为主。当然对计算机病毒的预防通常是以杀毒软件与防火墙为主要基础。对于内部的局域网需要将医疗网络系统与外部网络系统从物理上进行分割,并要将医疗系统的所有对外的借口都进行封闭,防止各种来自外部的网络安全威胁。注重对U盘的使用,对于出现病毒的科室必须要进行重点检查,如果有违规使用U盘或者是其他可移动存储媒介的科室,必须要进行严肃处理。
2.4 加强内部管理
在医院中有很多人都没有信息安全的意识,这就为医院的网络安全造成了严重的隐患。因此必须要从内部加强管理。必须要禁止随意使用U盘或者是其他的可移动存储设备,如有需要必须要经过审批并进行安全性检查。禁止通过网络进行数据共享,特别是完全共享。需要制定计算机的检查制度,定期进行检查,及时的发现并解决问题。向医院的内部人员普及各种网络安全知识。
3 结束语
总之,医院要加强现代化建设就不可能离开信息化建设,进而离不开电脑网络,因此我们医院网络管理工作人员就必须要做好好医院的网络软硬件维护管理这项工作,为医院的发展提供一个良好的网络环境,使之能够保证医院各业务的有条不紊的运行,为医院的发展贡献自己的力量。
参考文献
[1] 孙平波.基于医院的网络安全解决方案[J].电脑知识与技术,2009,(06).
[2] 张真真.大型医院网络安全防护体系的架构[J].现代医院管理,2008,(06).
[3] 王寰.浅议医院网络安全的隐患及其防治策略[J].科技信息,2010,(14).
关键词:船舶计算机网络系统网络安全管理
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(SMIS)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(VLCC)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);网关采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交换机采用D-LINK DES-1024D快速以太网交换机(10/100M 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用AMOS MAIL或Rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软Windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义ISMS的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循PDCA的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7 总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
关键词:网络安全;医院;网络管理;方略
当下的医院管理已经将门诊、住院等患者诊治信息管理实现了数字化信息管理平台操作,有效地提升了信息管理效率,达到了信息管理的高效、便捷化,为患者提供了更好的服务体验,但是网络管理中的安全问题也是时刻关注的问题。患者信息的泄露以及整个网络系统的正常运行都需要依赖网络安全管理,从而保证系统操作的有效性。需要充分关注医院网络管理中的安全问题,并提出行之有效的防控对策。
1 医院网络管理中的安全风险
当下的医院网络系统主要是通过人工编码设置起来的虚拟信息传输系统,系统本身具有多种安全漏洞与风险。在信息网络运用中,由于网络信息系统操作缺乏专业维护人员、操作人员,从而导致系统本身在硬件、软件设置上缺乏有效地维护,容易出现各种老化与系统陈旧等问题,进而导致整体系统抗安全风险能力下滑。信息网络系统中对于光缆、电缆所具有的布局、防水、断点与漏电、走向与质量有一定要求,同时对于系统服务器的品质也有较高要求。系统中的基础技术、信息备份与数据库管理都存在较大的危险性问题。医院工作人员无法有效运用信息网络技术,缺乏专业技术,同时信息平台自身的软件与硬件条件也缺乏抗风险能力,从而导致医院网络管理中潜藏着多种安全风险。
同时,医院内部管理也会潜藏多种安全风险。工作人员大部分缺乏安全管理意识,在系统平台的账户登录中,缺乏对密码的高级别设置。通常是简单的密码数字结构,甚至知晓密码的人员较多,而工作人员情况较为混杂,对系统安全性构成了一定的隐患。缺乏对应的密保设置,基本维护情况较差。在账户登录中缺乏对周围环境的观察,甚至在众人面前输入密码,容易导致账户与密码的泄露,甚至由此导致相关患者信息的流失。此外,由于大部分人员认为安全管理应该由专业的信息科工作人员负责,因此对于安全问题较为疏忽,认为信息科人员可以有效地处理多种安全隐患。但是实际上,信息科的安全维护工作人员在安全防护工作上更多地需要依赖所有员工做配合,并不是信息科人员自身可以全面处理。系统信息设备的更新与防护设置相对较多,缺乏高度的抗风险能力。甚至在医院内部缺乏信息安全管理的制度、流程,缺乏对应安全管理体系,进而导致相关人员安全意识淡薄,工作缺乏有效配合。
此外,对于医院网络系统而言,外部的攻击是直接构成系统安全的因素之一。医院网络系统与外部网络相连,工作人员可以便捷地运用外网对内部系统做登录操作,但是这种外部网可以登录操作本身就存在更高的信息安全隐患,同时做好维护管理的成本与难度也更高。甚至通过外网操作造成内网系统瘫痪的可能性也较大存在,安全威胁较大,同时对于外部链接的管理上也缺乏强烈的安全管理意识。例如,在USB接入、WIFI管理与光驱使用中,都缺乏足够重视。此外,对于外部侵入性操作,如黑客攻击缺乏足够的监督能力,甚至缺乏对应安全防护能力的应对。
2 基于网络安全视角的医院网络管理方略
2.1 强化硬件管理
首先,需要从硬件层面注重网络安全管理,要确定对应的安全管理制度,从网络系统的机房、设备、工作间等硬件资源上要做好对应规范管理约束。尤其是医院属于开放性管理环境,需要做好相关设备接触人员的管理,避免硬件资源过多地暴露在外界人员环境中,做好人员流动控制,避免外部人员接触到硬件设备。同时要对医院内部网线做好安全防护管理,避免恶意破坏,同时要做好施工人员管理,避免施工操作产生的误伤。要做好警卫值班管理,24h的维护硬件设备安全,留意机房中的温度、湿度、清洁度情况。如果有异常情况要及时作出反应。所有的设备需要配备对应的档案管理信息卡,包括设备型号、名称、配置、所属科室、安装程序、IP地址以及日常保养维修记录德国。确保每台设备有专人维护管理,做好责任制管理。
2.2 强化软件管理
对网络系统需要做好定时或者随机性检测,从而有效地修缮其中网络漏洞,达到系统动态监视,有效地提升网络对危险的防御能力。要做好服务器保护,避免重要信息的流失损毁。同时要做好服务器与局域网配置、安装中的规划,包括密码更换、账户锁定、磁盘分区格式、管理账号更改、网络用户组规划、共享设置等多种内容。做好各种管理权限的设置,确保软件系统的安全性操作,做好各操作的实时有效监视,特别是需要有专业的安全顾问做系统攻击情况的分析研究与防护对策管理。
2.3 完善监督机制
网络安全有赖于良性的监督机制做保障。医院网络属于相对繁复的系统工程,安全维护需要做好内部的监管,同时也要做好外部的攻击防御,对内需要避免工作人员借此展开违法活动。特别是在综合性医院中,内部终端成百上千,进而对安全管理构成了一定压力。需要落实好各项检查工作,避免细节疏忽。做好监督小组管理,及时监控网络运行情况,定时做好网络维护情况报告。对所有终端设备做好时时监控管理,严格依照各项检查制度做好实际监控工作的查实,对相关网络操作行为做好有效的记录观察。
2.4 设置应急预案
网络系统管理会面临多种紧急情况,如外在的攻击破坏,医院内部的火灾、地震,设备的故障等,都会威胁系统的正常运作。对于问题出现后所做的对应处理要设置好可执行的流程、步骤,让操作人员明白如何及时作出反应。同时要将应急预案设置在多种最危险糟糕的情况下,从而有效地提升实际应对能力。
2.5 人才管理
要σ皆旱男畔⑾低彻芾砼浔缸ㄒ档墓芾砣瞬牛或者聘请专业的第三方团队做网络维护。依据实际医院情况做好安全防护设置,提升网络环境的安全防御系数。同时要做好工作人员的教育,提升工作人员安全防护意识,让其明白安全防护靠大家,并不是安全员能够单方面做好全面防护处理就可以了。让工作人员做好个人行为规范,将危险问题杜绝在源头。要指导工作人员做好系统使用指导,提升工作人员的操作规范性,避免操作不当引发的系统故障。
3 结束语
医院网络安全管理是一个反复的工作,需要各方面工作人员配合,提供足够的技术、人才、设备、资金,从而有效地保证整体安全防护的有效性,避免信息泄露与损毁,保证系统平台的正常运转。
参考文献
[1]黄国杰.医院网络管理常见问题及维护事项剖析[J].中小企业管理与科技,2015(30):155-155,156.
论文摘要:随着计算机网络和通信技术的迅猛发展,以及网络技术的广泛应用,Web在为人们带来快捷的同时也增加了一定的不安全因素,文章从web网络的管理、Web服务器的安全特性以及web网络的防御措施等方面进行了探讨与分析。
1、引言
Web起源于1991年,伯纳斯-李制作了一个网络工作所必须的所有工具:第一个万维网浏览器和第一个网页服务器,标志着因特网上万维网公共服务的首次亮相。
Web是图形化的和易于导航的,它非常流行的一个很重要的原因就在于它可以在一页上同时显示色彩丰富的图形和文本的性能。Web可以提供将图形、音频、视频信息集合于一体的特性。同时,Web是非常易于导航的,只需要从一个连接跳到另一个连接,就可以在各页各站点之间进行浏览了。基于Web的优势,以及计算机网络和通信技术的迅猛发展,Web网络技术倍受青睐,广泛应用于各个行业,Web网络的管理与安全防御也凸显其重要地位。下面,将对Web网络的管理及其安全防御技术进行一些表述和探讨。
2、网络管理的作用及发展趋势
2.1、网络管理的作用
网络的作用在于实现信息的传播与共享。为了确保正确、高效和安全的通信,我们必须对网络的运行状态进行监测和控制,进而提出了网络管理的概念。
网络管理是指对网络的运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。网络管理包含两个任务,一是对网络的运行状态进行监测,二是对网络的运行状态进行控制。通过监测可以了解当前状态是否正常,是否存在瓶颈和潜在的危机;通过控制可以对网络状态进行合理调节或配置,提高性能,保证服务。
2.2、网络管理的发展趋势
网络管理的根本目标是满足运营商及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。随着网络互连技术的飞速发展,网络管理技术自身也在不断发展。目前计算机网络管理技术的发展主要表现在以下三方面:
(一)网络管理集成化:允许用户从单一平台管理各种协议的多种网络,通过一个操作平台实现对多个互连的异构网络的管理。基于WEB的网络管理模式融合了WEB功能和网络管理技术,允许网络管理人员通过与WWW同样形式去监视网络系统,通过使用WEB浏览器,管理人员在网络的任何节点上都可以方便配置、控制及访问网络,这种新的网络管理模式同时还可以解决异构平台产生的互操作问题。基于WEB的网络管理提供比传统网管界面更直接,更易于使用的界面,降低了对网络管理操作和维护人员的要求。
(二)网络管理的智能化:采用人工智能技术进行自动维护、诊断、排除故障以及维持网络运行在最佳状态,如处理不确定问题、协同工作、适应系统变化并能通过解释和推理对网络实施管理和控制。现代网络管理正朝着网管智能化方向发展。智能化网络有能力综合解释底层信息,对网络进行管理和控制。同时,智能化网管能够根据已有的不很完全、不很精确的信息对网络的状态做出判断。
(三)网络管理层次化。随着网络规模的扩大,SNMP管理机制的弱点被充分暴露出来。SNMP是一种平面型网管架构,管理者容易成为瓶颈。传输大量的原始数据既浪费带宽,又消耗管理者大量的CPU时间,使网管效率降低。解决这个问题,可以在管理者与之间增加中间管理者,实现分层管理,将集中式的网管架构改变为层次化的网管架构。
3、Web网络的安全防御
每个Web站点都有一个安全策略,这些策略因需而异,必须根据实际需要和目标来设置安全系统,估计和分析风险。在制定安全策略之前,首先要做威胁分析,其中包括:有多少外部入口点存在;威胁是否来自网络内部;威胁是否来自工业间谍;入侵者将访问哪些数据库、表、目录或信息;威胁是网络内部的非授权使用还是移动数据;数据被破坏还是遭受攻击,或是网络内外非授权的访问、地址欺骗、IP欺骗、协议欺骗等。根据威胁程度的大小做相应的评价分析,以作为设计网络安全系统的基本依据。
3.1、Web服务器的安全特性
Web服务器是整个网络的关键,它的安全性则成为重中之重。首先,分析用户与站点联接时会发生哪些事件和动作。每次用户与站点建立联接,其客户机会向服务器传送机器的IP地址、有时,Web站点接到的IP地址可能不是客户的地址,而是它们请求所经过的服务器地址。服务器看到的是代表客户索要文档的服务器的地址。由于使用HTTP协议,客户也可以向Web服务器表明发出请求的用户名。
如果不要求服务器获得消息,服务首先会将IP地址转换为客户的域名。为了将IP地址转化为域名,服务器与一个域名服务器联系,向其提供这个IP地址,并获得相应的域名。通常,如果IP地址设置不正确,就不能转换。一旦Web服务器获得IP地址和客户可能的域名,它就开始一系列的验证手段以决定客户是否有所要求的访问文档。这就存在一定的安全漏洞:客户可能永远得不到要求的信息,因为服务器伪造了域名,客户可能无法获得授权访问信息,服务器可能向另一用户发送信息;误认闯入者为合法用户,服务器允许其进入访问,Web服务器的安全也将会受到威胁。
3.2、监视控制Web站点出入情况
为了防止和追踪黑客闯入和内部滥用,需要对Web站点上的出入情况进行监视控制。可以借助一些工具提供帮助,如,假定Web服务器置于防火墙之后,可将一种Web统计软件“Wusage”装在服务器上,监控通过服务器的信息情况,这一工具可以列出被访问次数最多的站点及站点上来往最频繁的用户。为了加强安全性,必须监控出入站点的情况、访问请求及命中次数,这样可以更好的显示站点的状态。
3.3、Web网络的防御措施
为了确保Web服务的安全,通常采用以下几种技术措施:
在现有的网络上安装防火墙,对需要保护的资源建立隔离区;
对机密敏感的信息进行加密存储和传输;
在现有网络协议的基础上,为C/S通信双方提供身份认证并通过加密手段建立秘密通道;
对没有安全保证的软件实施数字签名,提供审计、追踪手段,确保一旦出现问题可立即根据审计日志进行追查等。
其中,防火墙是位于内部网络与因特网之间的计算机或网络设备中的一个功能模块,是按照一定的安全策略建立起来的硬件和软件的有机结合体,其目的是为内部网络或主机提供安全保护,控制可以从外表访问内部受保护的对象。按运行机制可以分为包过滤和两种。
包过滤主要是针对特定地址主机提供的服务,其基本原理是在网络传输的TCP层截获IP包,查找出IP包的源和目的地址及端口号,还有包头中的其他信息,并根据一定的过滤原则,确定是否对此包进行转发。
在应用层实现,其基本原理是对Web服务单独构造一个程序,它不允许客户程序与服务器程序直接交互,必须通过双方程序才能进行信息的交互;还可以在程序中实现其他的安全控制措施,如用户认证和报文加密等,从而达到更高的安全性能。
参考文献:
[1]褚英国.《关于Web应用层深度防御系统的研究与实践》.计算机时代,2009
论文摘要:随着计算机网络和通信技术的迅猛发展,以及网络技术的广泛应用,Web在为人们带来快捷的同时也增加了一定的不安全因素,文章从web网络的管理、Web服务器的安全特性以及web网络的防御措施等方面进行了探讨与分析。
1、引言
Web起源于1991年,伯纳斯-李制作了一个网络工作所必须的所有工具:第一个万维网浏览器和第一个网页服务器,标志着因特网上万维网公共服务的首次亮相。
Web是图形化的和易于导航的,它非常流行的一个很重要的原因就在于它可以在一页上同时显示色彩丰富的图形和文本的性能。Web可以提供将图形、音频、视频信息集合于一体的特性。同时,Web是非常易于导航的,只需要从一个连接跳到另一个连接,就可以在各页各站点之间进行浏览了。基于Web的优势,以及计算机网络和通信技术的迅猛发展,Web网络技术倍受青睐,广泛应用于各个行业,Web网络的管理与安全防御也凸显其重要地位。下面,将对Web网络的管理及其安全防御技术进行一些表述和探讨。
2、网络管理的作用及发展趋势
2.1、网络管理的作用
网络的作用在于实现信息的传播与共享。为了确保正确、高效和安全的通信,我们必须对网络的运行状态进行监测和控制,进而提出了网络管理的概念。
网络管理是指对网络的运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。网络管理包含两个任务,一是对网络的运行状态进行监测,二是对网络的运行状态进行控制。通过监测可以了解当前状态是否正常,是否存在瓶颈和潜在的危机;通过控制可以对网络状态进行合理调节或配置,提高性能,保证服务。
2.2、网络管理的发展趋势
网络管理的根本目标是满足运营商及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。随着网络互连技术的飞速发展,网络管理技术自身也在不断发展。目前计算机网络管理技术的发展主要表现在以下三方面:
(一)网络管理集成化:允许用户从单一平台管理各种协议的多种网络,通过一个操作平台实现对多个互连的异构网络的管理。基于WEB的网络管理模式融合了WEB功能和网络管理技术,允许网络管理人员通过与WWW同样形式去监视网络系统,通过使用WEB浏览器,管理人员在网络的任何节点上都可以方便配置、控制及访问网络,这种新的网络管理模式同时还可以解决异构平台产生的互操作问题。基于WEB的网络管理提供比传统网管界面更直接,更易于使用的界面,降低了对网络管理操作和维护人员的要求。
(二)网络管理的智能化:采用人工智能技术进行自动维护、诊断、排除故障以及维持网络运行在最佳状态,如处理不确定问题、协同工作、适应系统变化并能通过解释和推理对网络实施管理和控制。现代网络管理正朝着网管智能化方向发展。智能化网络有能力综合解释底层信息,对网络进行管理和控制。同时,智能化网管能够根据已有的不很完全、不很精确的信息对网络的状态做出判断。
(三)网络管理层次化。随着网络规模的扩大,SNMP管理机制的弱点被充分暴露出来。SNMP是一种平面型网管架构,管理者容易成为瓶颈。传输大量的原始数据既浪费带宽,又消耗管理者大量的CPU时间,使网管效率降低。解决这个问题,可以在管理者与之间增加中间管理者,实现分层管理,将集中式的网管架构改变为层次化的网管架构。
3、Web网络的安全防御
每个Web站点都有一个安全策略,这些策略因需而异,必须根据实际需要和目标来设置安全系统,估计和分析风险。在制定安全策略之前,首先要做威胁分析,其中包括:有多少外部入口点存在;威胁是否来自网络内部;威胁是否来自工业间谍;入侵者将访问哪些数据库、表、目录或信息;威胁是网络内部的非授权使用还是移动数据;数据被破坏还是遭受攻击,或是网络内外非授权的访问、地址欺骗、IP欺骗、协议欺骗等。根据威胁程度的大小做相应的评价分析,以作为设计网络安全系统的基本依据。
3.1、Web服务器的安全特性
Web服务器是整个网络的关键,它的安全性则成为重中之重。首先,分析用户与站点联接时会发生哪些事件和动作。每次用户与站点建立联接,其客户机会向服务器传送机器的IP地址、有时,Web站点接到的IP地址可能不是客户的地址,而是它们请求所经过的服务器地址。服务器看到的是代表客户索要文档的服务器的地址。由于使用HTTP协议,客户也可以向Web服务器表明发出请求的用户名。
如果不要求服务器获得消息,服务首先会将IP地址转换为客户的域名。为了将IP地址转化为域名,服务器与一个域名服务器联系,向其提供这个IP地址,并获得相应的域名。通常,如果IP地址设置不正确,就不能转换。一旦Web服务器获得IP地址和客户可能的域名,它就开始一系列的验证手段以决定客户是否有所要求的访问文档。这就存在一定的安全漏洞:客户可能永远得不到要求的信息,因为服务器伪造了域名,客户可能无法获得授权访问信息,服务器可能向另一用户发送信息;误认闯入者为合法用户,服务器允许其进入访问,Web服务器的安全也将会受到威胁。
3.2、监视控制Web站点出入情况
为了防止和追踪黑客闯入和内部滥用,需要对Web站点上的出入情况进行监视控制。可以借助一些工具提供帮助,如,假定Web服务器置于防火墙之后,可将一种Web统计软件“Wusage”装在服务器上,监控通过服务器的信息情况,这一工具可以列出被访问次数最多的站点及站点上来往最频繁的用户。为了加强安全性,必须监控出入站点的情况、访问请求及命中次数,这样可以更好的显示站点的状态。
3.3、Web网络的防御措施
为了确保Web服务的安全,通常采用以下几种技术措施:
在现有的网络上安装防火墙,对需要保护的资源建立隔离区;
对机密敏感的信息进行加密存储和传输;
在现有网络协议的基础上,为C/S通信双方提供身份认证并通过加密手段建立秘密通道;
对没有安全保证的软件实施数字签名,提供审计、追踪手段,确保一旦出现问题可立即根据审计日志进行追查等。
其中,防火墙是位于内部网络与因特网之间的计算机或网络设备中的一个功能模块,是按照一定的安全策略建立起来的硬件和软件的有机结合体,其目的是为内部网络或主机提供安全保护,控制可以从外表访问内部受保护的对象。按运行机制可以分为包过滤和两种。
包过滤主要是针对特定地址主机提供的服务,其基本原理是在网络传输的TCP层截获IP包,查找出IP包的源和目的地址及端口号,还有包头中的其他信息,并根据一定的过滤原则,确定是否对此包进行转发。
在应用层实现,其基本原理是对Web服务单独构造一个程序,它不允许客户程序与服务器程序直接交互,必须通过双方程序才能进行信息的交互;还可以在程序中实现其他的安全控制措施,如用户认证和报文加密等,从而达到更高的安全性能。
参考文献:
[1]褚英国.《关于Web应用层深度防御系统的研究与实践》.计算机时代,2009
论文摘要:随着通讯技术、光纤技术的不断发展,计算机网络技术也同时不断进步,计算机网络的安全也成为计算机网络设计师与客户重视的焦点。本文主要对计算机网络安全面临的威胁和安全体系的建立与计算机网络管理进行了探讨。
一.引言
近年来,在计算机网络技术应用的深入发展中,网络安全问题已经逐渐成为网络建设中的核心问题。网络系统是一个由众多计算机和网络设备,以及网络系统软件构成的一个复杂的集成系统。在因特网络上,互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在很短时间内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。因此,计算机网络的安全与管理越来越受到人们的关注,成为一个研究的新课题。
二.计算机网络安全威胁分析
(1)计算机网络面临的安全性威胁
①非法授权访问。威胁源成功地破坏访问控制服务, 如修改访问控制文件的内容, 实现了越权访问。②非法连接。威胁源以非法手段形成合法的身份, 在网络实体与网络源之间建立非法连接。③拒绝服务。阻止合法的网络用户或其他合法权限的执行者使用某项服务。④信息泄露。未经授权的实体获取到传输中或存放着的信息, 造成泄密。⑤无效的信息流。对正确的通信信息序列进行非法修改、删除或重复, 使之变成无效信息。⑥伪装。威胁源泉成功地假扮成另一个实体,随后滥用这个实体的权利。
(2)计算机网络面临的安全攻击
安全攻击的形式: 计算机网络的主要功能之一是通信,信息在网络中的流动过程有可能受到中断、截取、修改或捏造形式的安全攻击。
①中断。中断是指破坏采取物理或逻辑方法中断通信双方的正常通信, 如切断通信线路、禁用文件管理系统等。②截取。截取是指未授权者非法获得访问权,截获通信双方的通信内容。③修改。修改是指未授权者非法截获通信双方的通信内容后, 进行恶意篡改。如病毒可能会感染大量的计算机系统,占用网络带宽,阻塞正常流量,发送垃圾邮件,从而影响计算机网络的正常运行。④捏造。捏造是指未授权者向系统中插入仿造的对象, 传输欺骗性消息。
三. 计算机网络安全体系的建立
建立开放系统互联标准的安全体系结构框架,为网络安全的研究奠定了基础。
(1)身份认证。身份认证是访问控制的基础,是针对主动攻击的重要防御措施。身份认证必须做到准确无误地将对方辨别出来,同时还应该提供双向认证,即互相证明自己的身份。网络环境下的身份认证更加复杂,因为验证身份一般通过网络进行而非直接参交互,常规验证身份的方式(如指纹)在网络上已不适用;再有,大量黑客随时随地都可能尝试向网络渗透,截获合法用户口令,并冒名顶替以合法身份入网,所以需要采用高强度的密码技术来进行身份认证。目前安全性较高的是USBKEY认证方法,这种方法采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾。USBKEY是一种USB接口的硬件设备,用户的密钥或数字证书无需存于内存,也无需通过网络传播。因此,大大增强了用户使用信息的安全性。
(2)访问控制。访问控制的目的是控制不同用户对信息资源的访问权限,是针对越权使用资源的防御措施。访问控制可分为自主访问控制和强制访问控制两类。实现机制可以是基于访问控制的属性的访问控制表(或访问控制矩阵), 也可以是基于安全标签、用户分类及资源分档的多级控制。
(3)数据保密。数据保密是针对信息泄露的防御措施。数据加密是常用的保证通信安全的手段,但由于计算机技术的发展,使得传统的加密算法不断地被破译,不得不研究更高强度的加密算法,如目前的DES算法,公开密钥算法等。
(4)数据完整性。数据完整性是针对非法篡改信息、文件及业务流而设置的防范措施。也就是说网上所传输的数据防止被修改、删除、插入、替换或重发,从而保护合法用户接收和使用该数据的真实性。
(5)加密机机制。加密技术的出现为全球电子商务提供了保证,从而使基于因特上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
(6)路由控制机制。一套完整的防火墙系统通常是由屏蔽路由器和服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个服务器本质上是一个应用层的网关一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用,比如Telnet或者FTP,同服务器打交道,服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。
(7)入侵检测技术。随着网络安全风险系数不断提高,作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统是一种对网络活动进行实时监测的专用系统,该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,通过集中控制台来管理和检测。
(8)备份系统。备份系统可以全盘恢复运行计算机系统所需的数据和系统信息。对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。
四.计算机网络管理
(1)计算机网络管理概述
计算机网络管理分为两类。第一类是计算机网络应用程序、用户帐号(例如文件的使用)和存取权限(许可)的管理,属于与软件有关的计算机网络管理问题。第二类是对构成计算机网络的硬件管理, 包括对工作站、服务器、网卡、路由器、网桥和集线器等的管理。通常情况下这些设备都分散在网络中,当设备有问题发生时网络管理员希望可以自动地被告通知,为了解决这个问题,在一些设备中已经具有网络功能,可以远程地询问它们的状态,使它们在有某种特定类型的事件发生时能够发出警告。这种设备通常被称为“智能”设备。网络管理应遵循以下的原则: 由于管理信息而带来的通信量不应明显的增加网络的通信量。被管理设
备上的协议不应明显的增加系统处理的额外开销,以致于削弱该设备的主要功能。
(2)计算机网络管理的功能
国际标准化组织ISO定义了网络管理的五个功能域,分别是: 故障管理、配置管理、计费管理、性能管理和安全管理。
①故障管理。故障管理是对网络中的问题或故障进行检测、隔离和纠正。使用故障管理技术,网络管理者可以尽快地定位问题或故障点,排除问题故障。故障管理的过程包括3个步骤。a.发现问题;b.分离问题,找出故障的原因;c.如果可能, 尽量排除故障。
②配置管理。配置管理是发现和设置网络设备的过程。配置管理提供的主要功能是通过对设备的配置数据提供快速的访问,增强网络管理人员对网络的控制;可以将正在使用的配置数据与存储在系统中的数据进行比较,而发现问题;可以根据需要方便地修改配置。配置管理主要是包括下面三个方面的内容:a.获得关于当前网络配置的信息;b.提供远程修改设备配置的手段;C.存储数据、维护最新的设备清单并根据数据产生报告。
③安全管理。安全管理是控制对计算机网络中的信息的访问的过程。提供的主要功能是正确操作网络管理和保护管理对象等安全方面的功能。具体包括:
a.支持身份鉴别, 规定身份鉴别过程;b.控制和维护授权设施;c.控制和维护访问权限;d.支持密钥管理;f.维护和检查安全日志。
计算机网络的规模越来越大、复杂程度越来越高,为了保证计算机网络良好的性能,确保向用户提供满意的服务,必须使用计算机网络管理系统对计算机网络进行自动化的管理。计算机网络管理系统的功能是管理、监视和控制计算机网络, 即对计算机网络进行了配置, 获取信息、监视网络性能、管理故障以及进行安全控制。计算机网络管理系统对计算机网络的正常运行起着极其重要的作用。
五.结束语
计算机网络信息安全工作贯穿于计算机网络建设、发展的始终,需要我们时刻重视,不断学习。只有加强网络与信息安全管理,增强安全意识,不断改进和发展网络安全保密技术,才能防范于未然,确保计算机网络的安全、可靠地运行。
参考文献:
关键词 数据加密 网络 安全防护
中图分类号:TP393.08 文献标识码:A
现阶段,全球已经进入了网络化的时代,人们对于网络的依赖程度变得越来越高。算机上面的数据和信息已经能够满足人们全部的生活。为此,很多的个人信息被不法分子窃取,给人们带来很大的危险。文章从互联网使用的角度论述了如何加密与加强网络安全管理问题。数据加密技术对于现阶段的互联网有很大的帮助作用。这一技术就是将有关密码的相关技术进行加密处理,之后再经过处理将密码进行隐蔽传输。这实际上是计算机安全的核心技术问题。为计算机网络的数据提供更高的安全保障。
1网络加密技术类型
1.1存储加密技术
现阶段的很多操作上需要上传自己的数据和信息,所以现在的互联网需要采取一定的方式对信息进行加密技术的应用。存储加密技术的应用实际上就是需要对相应的模块或计算机算法进行加密使用者的用户信息实际上就是最需要保证的东西。采取这样的措施实际上就是为了能够预防用户的有效信息被利用和被非法的获取。
1.2网络信息加密
互联网就是一个共享的空间,很多的资源和数据都会在这一平台上得到分享。一般来说,对于信息的接受者来说,在这种情况下就能够保证自己接收到准确的信息,对于之前的不法分子来说也将面临一个残酷的现实。他们的手段将会被很快的识破,当他们进行资料篡改的时候就会对他们的信息进行拦截,使得这样的信息不会直接的传达到使用者的手中。
1.3网络传输加密
在网络传输过程中的信息加密措施是非常常见的安全保护方式,实际上就是对数据进行自动的加密,只能够针对特定的用户,其他与之无关的用户是不能够接收和识别的'这些加密之后的信息传到相应的客户端之后还要对其进行解密,使用者再获取相关的有效地信息。这种方式实际上就是在信息的传播过程中起到了保护和屏障的作用,保证了信息的安全传输。
1.4网络密钥管理
除了上述三种方式之外,还有一种就是网络的密钥管理。实际上,这一方式是网络安全中最为常见的一种方式,最大的优点就是能够使得相应的数据传输和获取变得更加的方便,同时也为使用者提供更大的便捷。这一技术包括很多的关键环节,包括密钥的产生、分配、保存和销毁四个步骤。同时,它需要的媒体也是非常的复杂。
2网络安全防护措施
2.1加强互联网管理体系
计算机网络环境是网络安全的重要组成部分,加强网络安全的方式也是构件良好网络环境的关键。建立良好的网络管理体系不但能够保证良好纯净的网络环境,最主要的就是能够保证网络的安全。在很大程度上能够降低网络数据传输的风险,使得网络平台和数据的接收者邡将处在一个良好的环境之中。
2.2加强访问控制
实际上,现在互联网上的很多网站存在访问权限的问题。实际上,存在访问权限的原因就是保证网络上的相关资源不被非法的利用和篡改,它也是网络安全管理中的重要组成部分。这样的网站在登录时,需要对相关人员的身份进行验证,当身份验证通过之后才能够正常的访问相应的资源、所以说,这种方式对于网络的数据有很大的保障。
2.3实行文件加密技术
对于文件的加密木质就是将文件的明文变成密文,这实际上是解决网络安全问题的最主要的措施。当文件变成密文时,就不容易被人们所识别,就算能够识别也将花费很多的时间。这也就有效地保证的数据的隐秘性和安全性。现阶段,这一措施之所以被广泛地应用到网络安全管理中去,就会因为它存在很多的优点,保证了文件的安全性和真实性。
3信息加密技术的应用
传统的信息加密技术主要包括对称和非对称两种加密方式。
3.1数字签名技术
这一技术实际上就是将传统的非对称加密技术做了进一步的发确保信息安全性能,在广泛的互联网之中保证电子商务和电子支付的安全性能。这一技术应用最为广泛的也就仅局限于这一操作过程。当进行互联网交易时,数字签名必须保证使用的是私人密钥,这一密钥他人是不能够复制和使用的。
3.2信息隐藏技术