你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
当前位置: 首页 精选范文 安全网络建设

安全网络建设范文

发布时间:2023-09-21 17:32:25

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇安全网络建设范例,将为您的写作提供有力的支持和灵感!

安全网络建设

篇1

随着计算机网络技术的快速发展与普及,网络已深入到各个行业以及日常生活中并起着关键性的作用,也极大的推动了校园网络的建设,成为了校园重要的基础设施。校园网络的建设对教学管理、科研管理等活动带来方便的同时校园网络也存在着安全隐患,导致计算机网络系统的崩溃,严重影响了校园网络的正常运行,为校园管理工作带来了大量的工作负担。为了保证校园网络的保密性与安全性,校园网络的运行管理与安全措施显得格外重要,不容忽视。

1 校园网络存在的安全隐患

1.1 系统自身存在的漏洞

自从微软推出Windows操作系统到至今的Vista系统的诞生,都存在着不可避免的,一直让人头疼的漏洞,而且校园使用的网络大部分都是Windows系统,系统本身存在着防火墙、服务器、IP协议等诸多方面的漏洞,随着用户的不断使用导致安全问题产生,为学校管理带来了诸多麻烦与负担。

1.2 计算机病毒严重入侵

随着网络的迅速发展,给学校带来方便的同时,也成为了计算机病毒传播的最快的捷径。病毒编制者水平的提高以及与黑客软件的结合,使网络病毒经常爆发,严重的情况下会破坏计算机的硬件和软件,致使机密数据外泄,使计算机运行缓慢、频繁死机不能正常运行,整个网络完全处于瘫痪的状态,对校园网络使用造成了严重的威胁。

1.3 自然灾害突然袭击

自然灾害带来的破坏与损失让人措手不及,防不胜防,主要的灾害有:地震、风暴、水灾和火灾等,还有环境带来的影响,如湿度、温度和污染等破坏。大部分的高校计算机机房都没有防水、防电、防火、避雷等防范措施,事故不断发生,没有抵御自然灾害的能力,设备损坏、数据丢失、信息外露的现象屡见不鲜。

1.4 内部与外部的攻击

攻击有两种方式,一个是来自互联网外部的攻击,一个是来自学校内部学生的攻击。学生是学校网络的活跃用户,对网络充满了好奇心,不断尝试各种玩法,在网上学到的以及自己研究的各种攻击方法企图去破解学校的各种信息。

2 校园网络安全隐患的成因

2.1 网络安全意识薄弱

学校管理人员以及教师对网络安全没有足够的重视,而大部分校园学生认为校园网络是集体系统,网络安全维护不是自己的责任,自然有相关的网络管理人员进行维护,防范意识淡薄、缺乏责任心。此外,除了计算机专业的教师与学生对计算机的结构框架有所了解外,大部分用户都不具备最基本的网络知识和网络安全抵御能力与防范意识,导致校园网络经常性遭受病毒入侵,影响正常运行。

2.2 盗版资源的干扰

互联网拓宽了人们的视野,丰富了人们的生活,但是无处不在的盗版成为了社会的隐患,多种网络资源都存在着盗版现象。盗版资源成为网络急需解决的问题,校园网络中的盗版软件、盗版资源的使用也非常普遍,随着用户的不断使用给系统留下了安全隐患,而且下载盗版软件时还隐藏着后门、木马等相关的代码,对校园系统产生了破坏性的攻击。

2.3 资金投入不足

高校校园把大部分的资金投入到购买硬件设备上,技术性的投入比例相对较大,而对于校园网络安全维护的投入相对较小。另外,普遍缺乏防范安全意识,只是简单安装设备,保证网络能够正常、安全运行就可以了,忽视了网络安全的维护,缺乏责任心,缺乏抵御外部与内部入侵的能力。因此,要在网络技术投入与安全措施上做到平衡,加强安全防御,使网络正常有序的运行。

3 校园网络安全管理措施

3.1 提高师生网络安全意识

高校内发生网络安全危机,多数是因为没有网络方面的安全知识,导致黑客入侵进行破坏,因此学校要加强网络安全防御意识,抵御来自校园网内外部的攻击。学校可以利用网络优势进行安全常识教育,例如校园广播,在学生休息或者上放学期间播放有关网络的一些常识。此外,还应开设网络安全课程,如《信息安全技术》、《计算机网络》、《网络安全与管理技术》等,使学生掌握基本网络知识,不轻易使用盗版软件、不随便浏览诚信度低的网站,养成文明上网的好习惯,提高网络安全意识和辨别能力。

3.2 引进网络管理人才

高校校园网络的不断普及和发展,校园网上的相关数据、信息、资料越来越多,越来越重要,同时校园网络的攻击、资源的盗用也越来越严重,因此,加强网络技术人员和网络用户对网络技术与安全使用尤为重要。学校应该引进网络安全管理的优秀人才,形成网络安全管理队伍,或者学校也可以派出本校优秀的计算机网络管理人才参加网络安全管理培训,或者不定期的聘请专业的网络管理专家进入校园讲授网络技术相关知识,通过“引进来和走出去”的方式来提高网络人员的专业素质和管理能力。

3.3 加强防火墙技术

防火墙是实现校园网络安全的一个有效的方法,它使互联网与内部网建立了一个安全网关,保护内部网免受非法用户的强烈入侵。为了防止内部网络发起对外攻击,要在防火墙上建立计算机的IP和MAC地址,如果两个地址不是一一对应的一律禁止,还要定期查看防火墙的访问日志以及时发现是否有攻击行为,提高防火墙的安全管理性,减少给校园网络带来的安全隐患。

4 结语

校园网络安全与技术管理问题是一个复杂的系统工程,校园网络对此要进行全方位的防范,因此,提高校园网络是一个非常迫切和具有挑战性的任务,要将技术和管理相结合,建立一个安全的校园网。虽然网络存在着各种安全威胁,但在校园建设中起着灵活、快捷的作用。总而言之,在利用校园网络的同时,要不断的加强校园网络建设,完善校园网络管理制度,建立坚固的校园网络安全防线,建立一个安全、绿色的校园网络环境。

[参考文献]

篇2

校园网络建设的目标从总体上来看,校园网络总的建设目标为:为学科建设和学习资源提供交流的平台,创建新型学习平台、为改善学生培养环境提供完整的信息化解决方案、建立有效的科研管理系统并提供高校规范的教师管理支持、完善学生的管理方式从而充分发挥出学生个性化教育提供支持平台、提高学校内部管理系统的效率、与网络相连接从而安全有效的向校外相关信息等等。校园网络的建设是计算机网络技术发展的一个延伸内容,是利用网络的知识来实现的一种新的管理方式。

网络安全设计上采取的一些基本措施网络是一个大熔炉,有着各种性质的信息,人们在利用网络的过程中,一定要学会删选信息。学生利用校园网络的过程中,为了避免这些负面信息走近学生的视野,就有必要采取一些基本措施,来保证学校网络的安全设计成果。在校园网络的模型中,加进防火墙、防病毒软件以及入侵检测系统计算机网络技术的发展,虽然很大程度上给人们的生活带来了极大的便利,但与此同时,很多与时代潮流不符的现象也出现了,比如:黑客、病毒甚至是垃圾网站等等。校园网络的构建,是为了方便学生的学习,这就需要校园网络提供的信息是健康的积极的。为了防止负面的信息进入都校园网络中来,在校园网络构建的过程中加进必要的防火墙、防毒软件和入侵检测系统就是很厚必要的了。这些系统的存在可以阻拦消极信息进入到校园网络中来,保证学生接触到的知识是积极向上的,从而确保校园网络是在一个健康的环境中运行的,这样才能尽可能的发挥出校园网络的价值。

层次分明的对校园网络的安全设计进行部署校园网络是覆盖整个校园范围的计算机网络,它主要采用的是计算机技术、互联网技术、网络接入技术以及局域网技术。这样说来,校园网络有着一个很大的管理范围,这在一定程度上是需要分层进行的,这样才能保证校园网络的顺利运行。首先,在校园网络的防御体系中,应该在学校中心安装上一台管理服务器作为全校网络防御安全的管理中心,这就是一个中心站,其次,在学校的其它分区分别安装一台管理服务器作为二层防御安全管理中心,然后,根据学校的实际需要,在管理员的工作站上安装管理员客户端,这样之后一个严密的安全设计就产生了,这种分层的管理模式,可以将安全理念贯彻到校园网络的各个方面,建立一个自上而下的安全网,从而最大限度的提高校园网络的安全性,并保证校园网络在一个健康的环境中运行,这样才可以实现校园网络构建的最初目标。

计算机网络技术的进步,给我们的日常生活带来了很大的变化,甚至影响到了我们的学习生活,如校园网络的构建。但网络是一个很混搭的地方,各种信息都可以在这里找得到,有积极的当然也会有一些负面的,为了合理运用网络,就需要用户主动对信息进行删选,从中选择出适合自己的信息。对于学生而言,他们的好奇心较强,喜欢涉猎不同领域的信息,在运用网络的过程中,难免会出现一些偏差,针对这种情况,校园网络在构建的过程中,一定要严防安全关卡,努力为学生的校园生活营造积极良好的氛围,引导他们正确使用网络进行学习,这样才可以真正实现校园网络建设的最佳意义,为此,校园网络的安全性设计就成为了社会关注的热点。

作者:戴渊博 单位:贵州省内贸学校

篇3

一、针对油田网络的安全防范

1.1对于网络攻击的检测。这项内容大致是指在网络设置防火墙,当油田企业的网络遭受攻击或者有病毒侵入时,就会在页面上显示警告信息,安全管理人员就能够第一时间得到报警信息,采取有效的办法来应对。在实际的网络攻击防范中,需要设置防火墙的地方多种多样,比如在服务器设备上进行防火墙设置,对服务器的cpu状态、流量变动等参数进行监控管理,这些参数在平时总是稳定在一定的值,虽然也会跟随时间变化,但是还是可以寻找其变化规律的,若是其变化出现异常,那么报警信息就会发出,显示在页面上。但是对于报警信息的监控来说,需要人员不间断地进行观察,这对于人力资源的角度来说不能尽到最大,所以企业要大力开发新的报警方式,比如警示灯、警示音等。当然企业要有一定的自我保护能力,比如在确认遭到攻击后马上启动查杀软件、断开网络连接等。

1.2对于网络资源的管理。在油田企业的网络运行中,每日都需要设计庞大的数据流进出,而这些互数据的安全性无法得到保障,所以油田企业需要建立一个信息提取过滤系统,即能够对进出企业的信息进行提取和过滤,判定事件的安全性与保密性,高危信息需要拒之门外,属于企业内部保密级别的信息不能流出去,这就是这个系统的功能。而对于油田企业的设备操作系统,需要将其控制的设备的各种参数实时提取并进行判断,这样设备在发生事故时工作人员便可通过参数的变化来判断机械出问题的部位。

1.3良好的上网习惯。很多网络安全事故都是因为操作人员安全意识不高,或者上网习惯不正确,胡乱打开不安全网站、下载危险文件包等,所以企业内要推行正确的上网风气,通过建立上网的规章制度来规范工作人员的上网习惯,以此来保证网络安全。

二、一些常见故障的维护

对于企业中网络故障的发生,我们要根据发生事故的规模采取不同的做法,但是大致步骤都是先对操作电脑的人进行询问,使用了那些操作,然后对硬件软件进行检查,深入发掘问题。对于规模较小的安全问题,如单个机子不能上网,这时先不要请工作人员来检查,操作人员可以先对网卡进行检查,查看其安装的方式是否正确。对于网卡的安装正误来说,最常见的检查方式就是Ping本机的地址,通过其是否通过的表现来判断网卡的问题。若是这步操作行不通的话,那么很有可能就是网卡和计算机中的设备有冲突,通过查看设备管理器来查看网卡究竟与那个设备有冲突,也可以换张网卡再试一次。若是硬件没问题,那么借来依次检查双绞线的状态、交换机的端口,这些都有备用的参考资料,可以通过对照来发现问题。对于较大规模的停网现象,也要根据不同情况加以区别。若是网络中断的计算机属于同一系统,即在一个VLAN的控制下运转,那么首先要对连接不同楼层的路由器的配置进行检查。上述是按VLAN来区分维护方式的,而是否属于同一交换机也可以作为一种区分标准。若是不能上网的机子属于同一交换机,而且不能与企业内其他交换机控制的电脑通讯,那么这种情况大多数是交换机死机,重启即可,若是重启解决不了问题,那么有可能使某一电脑自身的网卡故障导致的,逐个检查就好。当某一交换机与多台电脑连接时,因为承受的负载过高,使得交换机无法运行也会出现死机的现象,此外因为过量的运载交换机与上级的网络设备的连接也可能断裂。

作者:丁启宁 单位:河南油田涧河社区

篇4

中图分类号:TP393 文献标识码:A

1 校园网安全运行现状与需求

1.1校园网安全建设现状分析

网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。随着高校的发展,用网人数的增加,校园网用户对信息与网络安全的要求也越来越高。大部分高校以往的网络建设,重点是“建设”,强调网络的覆盖范围,出口带宽,基础应用等,而对网络安全的关注度不够,往往是“想起一个建一个,需要一个建~个”,没有形成系统、全面、高效的网络安全体系。随着高校“信息化”建设的呼声越来越高,网络安全体系的建设也在逐步受到学校各级领导的重视。

1.2校园网安全体系建设需求

网络安全建设一直是各高校网络建设的难点和薄弱环节,一方面,技术管理手段的不全面以及管理机制的不完善制约了安全防范的力度;另一方面,校园网用户甚至是系统管理员的安全意识淡漠,以及学生用户网络行为的不确定性成为各高校网络安全工作的瓶颈。因此,网络中心需要通过采取一系列的网络安全措施、制定一系列的网络安全管理制度,在提高网络管理技术手段的同时,逐步增强用户的网络安全意识,构建稳定、安全、绿色的校园网。

2 网络安全体系建设规划

随着学校网络与信息化建设的逐步深入,网络安全问题、信息数据安全问题日益突出。建立一套网络安全体系,是各高校在信息化过程中的重要任务之一。

2.1校园网安全建设规划

根据各高校网络建设规划,结合现有的网络安全技术手段,应从以下几个方面做好校园网安全建设工作。

2.1.1加强网络设施安全建设

网络设施安全主要指网络设备、服务器等硬件设备的物理安全。某高校网络中心曾经发生过同批次多块硬盘损坏,机柜门被撬开。学生恶意偷用电源。光缆被挖断等安全事件,因此。在信息化的建设中,保证设备的物理安全尤为重要。

建立机房、设备间的防火、防盗、监控和报警方案:

对一些关键设备。系统和链路,应设置冗余备份系统,避免网络设备因天灾或人为因素对网络造成的影响。

2.1.2终端安全防范措施

随着各高校网络覆盖范围的逐步增加,用网人数不断增多(如某高校校园网同时在线用户已经达到4500人),用户终端的安全问题成为校园网内网安全的主要问题之一。由于用网人员的计算机水平参差不齐,以及学生用户网络行为的不可控性,给网络安全带来了很大的隐患,因此需要从以下几个方面完善终端安全防范措施:

提供并推广可供全校师生员工使用的网络版杀毒软件,以及校内WSUS服务,逐步建立“没有杀毒软件”、“不打系统补丁”不上网的安全意识;

对校内突发的终端安全事故进行监控,及时提供必要的专杀工具、漏洞补丁:

提高技术人员的技术水平,采取相应的检测手段,利用先进的仪器设备,减少用户端安全事故的排查和定位时间。

2.1.3应用服务器安全措施

应用服务器是数字化校园的基础,是各个业务系统的载体,所以它的安全是至关重要的,因此,系统管理员的技术手段和安全意识在服务器的安全管理中起到至关重要的作用。

制定相关技术文档,规范应用服务器上线前的安全检查,督促管理员使用正版操作系统、安装杀毒软件、防火墙、自动更新等,并且定期扫描系统漏洞,更改系统密码。保证操作系统安全;

建立完善可靠的容灾恢复方案,对关键服务器采用双机热备方式,并且提供可靠的数据备份系统,如采用RAID技术以及利用磁带备份数据,确保事故发生时业务数据不丢失,系统能够快速恢复;

建立授权控制体系,对不同管理员设定不同的系统、数据库管理权限:

完善访问日志分析系统,定期对日志进行整理和分析,制定相应的安全策略。

2.1.4网络出口及边界安全

目前高校网络出口及边界设备主要分为路由器。防火墙、VPN等三类设备,网络出口及边界的安全主要包括配置合理、全面的安全策略,以及如何提高安全响应速度和快速、准确地定位攻击来源。针对这些方面,需要在出口及边界设备的管理中做到以下几点:

建立密码维护制度。定期更换设备Telnet、SSH登录密码以及SNMP共同体名;

>制定详细的ACL策略,限制登录设备的IP地址;

采取NAT机制。在保证校内用户正常上网的同时,继续优化8812路由器的安全功能;

启用防火墙的防病毒功能,在源头阻断病毒入侵;

合理规划SSL VPN的用户权限;

建立IDS+IPS的联动机制。完善网络监控与入侵防范;

建立出入双向的访问日志系统。

2.1.5应用分析控制技术的应用

在网络安全管理中,网络流量、网络应用的分析至关重要,网络管理人员需要明确地知道网络中有哪些网络应用,各种应用在网络中所占的带宽以及是否存在不良应用,如图1。

随着上网人数的增多,网络出口不可避免地出现拥堵现象,因此,需要进一步对网络应用进行分析,并制定有效的控制策略。

实时记录出口带宽使用情况,对恶意占用带宽的应用进行限制,确保基本应用的高效运行;

对网络流量进行监控,利用相关协议分析工具对网络应用进行深层坎的分析。

2.2信息安全建设规划

信息安全指保证系统中的信息不被破坏、不被窃取、不被非法复制和使用等。

2.2.1信息安全保障措施

通过一系列的措施,保证信息在传输和存储时的安全。

建立完善的实名上网制度,并且与各系统的日志配合,建立“上网ID+上网时间+上网IP+上网入”的一一对应关系;

建立合理的文件上传、审查制度,对关键数据采取数字签名技术,做到谁上传谁负责,安全事故责任到人;

对论坛、留言板等提供用户交流的版块加强监管力度。对有害和敏感信息进行监控;

数字校园关键服务器问数据传输采取加密方式,防止网络窃听、数据泄露等安全事故的发生;

对病毒邮件、垃圾邮件以及含有敏感信息的邮件进行过滤。

2.2.2数据安全建设

随着高校信息化建设的推进,各部门工作信息化的程度也将越来越高,如何保证数据安全,提高管理信息系统(MIS)的安全性是信息化过程中必须考虑的问题。

各部门需要制定MIS的相关管理制度:

制定MIS系统数据备份、灾难恢复方案;

定期对MIS漏洞进行修补。防止数据泄露。

2.3全局安全体系建设

根据对网络体系分层的概念,针对不同的层次制定不同的网络安全措施。做到有的放矢,从技术上实现检测、上报和控制一体化。例如锐捷公司提出的全局安全网络(GSN),如图2。

整合已建立的安全措施,增加针对上网用户的准入策略。在用户连入网络之前先进行客户端病毒及漏洞扫描,保证连入网络的客户端的安全性,从而最大限度地降低网络安全风险:

篇5

医院信息管理系统(HIS)是近年来广泛应用于医院管理和各项医疗活动的计算机应用系统[1],其覆盖了整个医院的所有业务和业务过程,为医院所属的各个部门提供所需信息的收集、存储、处理、提取以及交换服务,并满足每个授权用户的功能需求。HIS的安全稳定运行,是医院正常运转的保证。

1 加强制度管理

建立和完善各项工作制度和操作制度,保证HIS的日常有效运行,将计算机日常操作规范化。通过制定网络中心管理制度、培训与考核制度、用户操作权限管理制度、口令管理制度、数据备份与恢复管理制度、机房工作制度、工作终端管理制度、系统故障应急方案、系统信息保密制度、病毒防范管理制度等相关制度以及各个子系统操作规范与操作流程[2],使得系统的操作更加规范和安全。同时建立监管机制,由专人负责对日常操作异常进行监管,并及时进行处理。同时加强对工作人员安全意识的教育,增强其责任意识和风险意识,强化其对网络信息安全管理的认识,使所有HIS应用人员能够自觉做到规范操作、安全管理。

2 保障硬件系统的正常运行

HIS系统的标准硬件包括中心机房、网络设备、服务器和工作终端四个部分,其任何一个部分发生问题,均可影响到整个网络系统的正常运行。

中心机房是服务器稳定运行的基础,因此其在建设时,应选择远离各类强电磁干扰和有害气体的地方[3],并要满足对采光、防尘、隔音等条件的要求。同时还要综合考虑到供电的稳定、温湿度装置的配置等问题,并要做好预防火灾、雷电等工作。

网络设备主要包括路由器、交换机、网络线路、光纤收发器以及集线器等设备。由于信息需要依靠网络来传输,因此日常需定期对网络设备进行检修维护,对于老化、损坏的设备要及时维修更换,以保证网络的正常运行。

为防止意外发生,医院在建立信息系统网络时,应根据医院业务量选取适宜的服务器,并配备备用服务器,一旦主服务器出现问题,可随时启动备用服务器来替代其工作。同时要建立服务器运行日志,对于各类程序安装盘和补丁盘要严格管理。由于相当一部分对于服务器的网络攻击都是从截获或窃取、猜测账号密码入手的,一旦攻击成功进入到系统后,系统将失去防御能力,因此对于账号和密码保护的管理工作也必须严格按照相关制度执行,密码的设置应采用数字和字母混搭的方法,对于重要密码要定期更换[4]。

工作终端广泛分布于医院中,对其设置时需屏蔽USB端口,并且不可安装光驱和软驱,有效杜绝病毒的侵入和数据的丢失。管理人员不定期需对终端进行远程监控,以便能够及时发现终端的违规操作并进行纠正。

3 软件系统的日常管理

操作系统和数据库系统作为HIS的核心系统,其必须选择正版系统,并及时下载和按照系统补丁。日常工作时尽量不开启无用端口,防止系统漏洞带来的隐患。利用ghost软件为系统盘做镜像文件,以便系统发生意外时可尽快恢复。

医院信息网络在内部联网的同时,也需要连接于互联网,因此其不可避免的会受到各类病毒的攻击,因此需建立严格的预防病毒措施,具体包括如下。

3.1内外网物理隔离 通过将内部网络与互联网间进行物理隔离,使HIS在医院内部自成一套网络,切断病毒入口[5]。

3.2虚拟局域网的建立 建设虚拟局域网(VLAN),将医院内物理网络划分成多个逻辑子网,通过HIS系统统一进行管理,一旦发现VLAN出现可疑情况,可立即将其端口封掉,防止病毒在整个系统中的传播扩散。

3.3杀毒软件的安装 由于HIS系统的特殊性,使其需要严格预防和清除网络病毒,因此需保持对于病毒危害的高度认识,以预防为主,及时在终端设备和服务器上安装防病毒软件,及时更新病毒库以及杀毒引擎。设计编写网络登陆脚本,将其安装在服务器上,以实现终端设备的杀毒软件引擎的自动安装和更新。

3.4实施网络防火墙技术 网络防火墙技术是通过在内部网和外部网之间,利用一个或一组网络构建出的一个保护层屏蔽技术。其通过在设立在网络边界上的网络监控系统,可有效过滤掉具有攻击性程序,防止不明入侵者的通信,自动判断进出数据的可靠性,从而避免医院信息非法流出。

4数据安全管理

HIS中的数据安全是这个系统的核心,其包括数据的存储安全和流通安全,保证其安全亦是保证这个网络的安全[6]。

4.1数据监控 网络服务器作为数据存储和交换的中心,因此需对其进行严格管理,每天对于其各项操作均应认真记录。采用网络监控技术,对当前网络运行状态进行有效的监控,帮助网络管理人员对数据进行管理。

4.2数据备份、恢复 目前各大医院的医疗数据保存主要依赖网络数据库,因此对于数据的保存、备份和恢复尤为重要。在日常管理工作中,可通过服务器数据库自带的备份功能,每日定时将主服务器中的日志复制到备份服务器中,同时启动恢复命令,使得备份服务器的数据库与服务器可同步运行恢复。如想更好的做到安全备份,可在异地建立安装大容量硬盘,定期将备份服务器已恢复的数据及时复制到硬盘中,即时本地机房发生严重损毁,也可通过异地硬盘快速恢复系统和数据,实现有效的数据备份与恢复。

医院信息系统的网络安全的建设工作是一项复杂而又长久的系统工程,其不光需要对系统进行有效管理,同时也要对操作系统的工作者进行培训、管理,提高其操作技术和安全意识,在综合的立体化安全防护措施下,才能建立安全的医院信息系统。

参考文献:

[1]武有福.浅谈医院信息系统的网络建设[J].大众科技,2009(4):31-33.

[2]夏岚萍.医院信息系统的安全建设[J].医学信息,2010(5):1287-1288.

[3]张泳一.医院信息系统安全管理[J].医学信息,2007,20(11):1923-1925.

篇6

1概况

随着互联网呈几何倍数的发展,我们的生活越来越依赖互联网,吃穿住行几乎都可以用网络来搞定。但是从网络诞生那一刻起,就出现了其中不安定的因素,我们对网络越依赖,一旦网络安全出现问题,造成的损失也就会越大,作为一家运营商公司,更迫切的需要维护好自己的网络安全。

2现状和分析

2.1目标公司发展现状

某国有ISP企业省份公司,拥有用户各类20万左右,因为规模不大,所以在过去几年,一直把发展用户扩大市场放在首要位置,而忽视了网络信息安全方面的建设。这是一方面当时的情势所迫造成的。随着用户的发展和企业壮大,如今,省内ISP网络构架属于从核心层出口节点开始,到下层的核心汇聚层交换机链接到底层BRAS设备,都是做的双冗余保护,在网络结构上,属于合理的布局。并且设立了多个核心的IDC机房和设备机房,存放各类资源服务器为网内的用户提供服务和各网络专业核心的设备。

2.2暴露出来的问题

随着用户的增加,越来越多的信息网络安全问题会开始暴露,比如会有非法的流量开始试探底层设备的端口,并且可以看到某些设备会出现异常的IP地址尝试登入,或者底层设备的链路利用率突发暴涨,虽然这些问题都被及时发现并处理了。但是并不是说这样处理掉一两起的安全问题事情就结束了,从中暴露出网络安全问题其实是很严重的。

(1)手段单一,只有依靠简单的防火墙,或者是依靠核心设备本身的访问控制列表对数据包进行筛选,缺乏更多有效的系统手段帮助人们进行监控保护网络,一直长期下去的话面对一些网络层以上的疑难问题也就只能束手无策。

(2)各部门对信息的安全性重视不够,对信息保密的重视层度不够,也没有接受过相关的社会工程学方面的培训,安全意识淡薄。

(3)缺乏专业性的技术团队和思路,完全是在闭门造车。到现在处理问题的思路在技术层次还是停留在路由和交换级别的。现在只能把每个事件单独当作一个单独事件来处理,很难避免下次不会发生重复的问题。

(4)从整个网络的构架开始搭建起来,就没有把网络安全放在重要的位置,刚开始BRAS设备是有了双向冗余就开始上线,本应该考虑更多的迂回保护措施都是后期的时候慢慢弥补上去的。物理上的冗余保护如此,网络的安全保护也一直是没有跟上网络拓扑的扩展。

3网络安全的建设

3.1从认识思想上进行转变

要建设公司的电信级网络安全架构,需要公司从上到下有一个认识,就是对安全危机的认同感,网络的安全投入的确是烧钱,并且它后期还会需要不断的成本投入。期待它能马上给你利润回报,那是不可能的。但是看看合作企业竞争对手,无一不是对安全问题异常的重视。同时要做好网络安全,我们还要开始学,向服务商学习,向设备商学习。一步步踏实做下去。

3.2改变公司组织结构

安全部门并不同于一般的网撑中心,数据中心,它需要专注地负责网络防御检测和处理各类的网络安全问题,因此如果将这样一个安全部门挂靠在网络支撑下面是不合适的,从专业来看,网络安全防御,社工防御,欺骗渗透防御都是它的职责。而且将来的网络布局,都会需要他们提供安全方面的意见,所以这必须是一个独立的部门,来区别于网络建设部和网络支撑中心。

3.3建立网络安全制度

在公司内部建立网络安全规范的制度,强制性地规定员工登入设备的权限和密码设置原则,要求登入口令的密码长度和复杂成分,区分开每个人的职责范围,个人的权限只能存在几台服务器上,避免被人利用同样的账号密码登入所有的设备。并且要求定期更换密码。设置强硬的核心机房准入制度来防止设备遭受最直接的物理攻击。对于敏感重要的数据,要定期做异地备份。

3.4建立可靠的安全网络

要建立行之有效的安全网络体系架构,建议对整个网络进行统一的部署,构建网络安全架构的安全设备类型通常有:

防火墙:firewall,可以根据IP地址或服务端口过滤数据包,可以通过制定过滤规则来限制。

流量分析系统:它主要针对网内的流量流向镜像进行监控、分析、不仅可以提供用户的使用偏好分析,更多的可以监控网内的流量过去和现在的数据是否异常。

流量采集分析清洗设备:也叫ADS,它可以针对于网内的异常流量进行筛选和清洗。特别是对于现在的DDOS攻击有很好的效果。

Web应用防护系统:也称WAF。WEB应用防御产品,针对应用层的攻击做出反应。是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

入侵防御检测设备:也称IPS,这是对防火墙和杀毒软件的一个补充。可以有效发现阻止4到5层的异常流量,其中还有的入侵预防系统,通过正常数据以及数据之间关系的通常的样子,可以对照识别异常。

审计系统:针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

值得一提的是随着安全技术的演进,今后的防火墙将会兼容ADS之类的流量监视和清洗功能,是否还能将WAF和IPS设备的功能融合进来尚不得而知,但是展望安全网络的科技树发展的方向,这必然是未来安全行业的发展一段趋势。考虑到设备的使用安全性,集众家所长的安全设备固然能够减少了接入的层次,降低了生产成本。

关于安全网络的组网,还是要严格按照双机备份的原则,特别是涉及到防火墙,必须做到双机冗余的原则,保证一台设备宕机的情况下,另一台能正常工作,并且不影响到网络流量的正常转发。建议还是听从专业厂家或者服务商提供的方案进行部署。

关于DMZ区域和IDC的网络安全构架建设:DMZ即缓冲区,也是我们部署web服务器,DNS系统,3A系统,ftp服务器的区域,建议统一进行规划。减少网络的复杂性,便于管理。包括IDC服务器组,如果条件允许。也应该统一纳入网络中。

3.5建设前后的测试

篇7

2 中小型企业网络现状及需求

国有大中型企业是我国的经济支柱,中小企业是我国经济组成的重要组成部分,我国中小型企业众多,对计算机网络技术应用比较简单,没有很好的利用Internet的优势,实现企业经济的腾飞及壮大。中小型企业网络主要应用是日常办公,数据处理,属于“单机版”类型,或者企业分支机构与总部就是简单通过电子邮件,或者qq进行企业数据信息传输,这样安全保密性太差。主要原因是:

1) 中小型企业资金比较贫乏,没有更多的资金来购买成熟网络安全产品,而且成熟的网络安全产品价格一般比较昂贵,主要面向大型企业。中小型企业分布广,业务灵活,经济实惠的远程数据安全传输解决方案甚少,而且技术复杂,维护较难,不能满足中小企业的需要。

2) 中小型企业技术力量薄弱,没有专业的网络技术人员,一般是企业年轻的懂点计算机的员工兼职网络管理,与专业网络管理员还有一定的差距。

3) 中小型企业网络基本属于一个“信息孤岛”,与外界进行数据通信不能做到安全可靠传输,不能确保数据信息不泄露、不丢失、不被篡改等,影响企业的快速发展。

3) 中小型企业领导重视网络建设还不够,网络建设相对比较简单,根据中小型企业目前对网络的需要及依赖,进行简单网络建设,没有长远的网络建设规划,致使企业在壮大的过程中,网络建设不能快步跟上,往往被忽视。中小企业网络由于资金贫乏,技术力量不足等原因,在建设的初期就还可能留下许多漏洞与不足,这样更容易被黑客攻击。

4) 中小型企业用户不能进行远程数据信息的安全可靠传输,企业员工,或者领导外地出差,或者分支机构的网络,就不能访问企业网络,不能远程进行办公,远程快速的进行事务处理。

5) 中小型企业与合作伙伴之间没有利用互联网的优势,在它们之间没有建立一个企业扩展网络,导致数据信息的安全交流和企业的密切合作收到影响。

在复杂的网络环境下,解决中小型企业的远程数据信息安全可靠的传输就变得越来越重要了,还需考虑方案的经济实用,维护简单容易。对于中小企业网络中传输的重要数据信息,如财务报表等,必须保证数据信息完整性、可用性和机密性。完整性是数据信息在传输或存储过程中保证没有被修改,没有被破坏,没有被丢失等;可用性是数据信息可被授权实体访问,并按需求使用的特性,即指定用户访问指定数据资源;机密性是保证数据信息网络传输保密性和数据存储的保密性,数据信息不会泄露给非授权的用户、实体或过程。确保只有授权用户才可以访问指定数据资源,其他人限制对数据信息的读写等操作。

3 经济实用安全方案

从中小型企业网络现状及需求,利用VPN技术跨越Internet组建中小企业扩展网络,保证远程移动用户、企业分支机构和企业合作伙伴之间安全可靠的进行远程数据信息传输。通过实践实验,研究出经济实用,安全可靠,配置和维护比较容易的中小型企业网络安全性解决方案,如图1所示。VPN服务器也称为VPN网关,可以使用高性能的计算机来担当,并且安装两块网络适配器,一块网络适配器用于连接中小型企业内部网络,分配内网IP地址,另一块网络适配器连接外部网络,分配外网IP地址。VPN服务器是内网和外网连接的必经之路,服务于内外两个网络,也是内网的安全屏障,相当于中小型企业的防火墙,它可以完成对访问企业网络的用户进行身份认证、数据进行加密解密处理、密钥交换等。VPN服务器安装Windows Server 2003操作系统,充分利用公共网络Internet的资源,通过VPN技术,实现中小企业远程数据信息传输的安全性、完整性,可用性和保密性。

3.1 IPSec VPN保证数据信息远程安全传输

1) VPN技术

VPN又称虚拟专用网,是在公共网络中建立专用网络,数据信息通过建立的虚拟加密“安全隧道”在公共网络上进行传输,即充分利用公共网络如Internet的资源,达到公网“私用”的效果。中小企业只需接入Internet,就可以实现全国各地分支机构,甚至全世界各地的分支机构,都可以随时随地的访问企业网络,实现远程数据信息的安全可靠传输。而且VPN具有节省成本、配置相对简单、提供远程访问、扩展性较强、便于管理维护、实现全面控制等好处,是企业网络发展的趋势。

2) IPSec协议

IPSec是一个开放的应用范围广泛的网络层VPN协议标准,是一套安全系统,包括安全协议选择、安全算法、确定服务所使用的密钥等服务,在网络层为IP协议提供安全的保障,即IPSec可有效保护IP数据报的安全,如数据源验证、完整性校验、数据内容加密解密和防重演保护等。保证企业网络用户的身份验证,保证经过网络传输过程中数据信息完整性检查,加密IP地址及数据信息保证其私有性和安全性。

3) 基于IPSec的VPN技术

基于IPSec的VPN技术解决了在Internet复杂的公网上所面临的开放性及不安全因素的威胁,实现在不信任公共网络中,通过虚拟“安全隧道”进行数据信息的安全传输。IPSec协议应用于OSI参考模型的第三层网络层,基于TCP/IP的所有应用都要通过IP层,将数据封装成一个IP数据包后再进行传输,所有要实现对上层网络应用软件的全透明控制,即同时对上层多种应用提供安全网络服务,只需要在网络层上采用VPN技术,基于IPSec的VPN技术提供了5种安全机制,即隧道技术、加密解密技术、密钥管理技术、身份验证技术和防重演保护技术,通过基于IPSe c的VPN技术,来保证传输数据的安全性、可用性、完整性和保密性[1]。

(1)隧道技术,隧道也可称为通道,是在公用网中建立一条虚拟加密通道,让数据包或者数据帧通过这条隧道安全传输。使用虚拟“安全隧道”传递的数据可以是不同协议的数据帧或数据包。“隧道”协议分为二、三层隧道协议,第二层隧道协议先把各种网络协议封装到PPP中,再把整个数据帧装入到隧道协议中。这种双层封装方法形成的数据帧依靠第二层协议来传输,第二层协议包括PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入到隧道协议中,形成的数据包依靠第三层协议进行传输。第三层协议有GRE、IPSec等。这里使用IPSec中的ESP(Encapsulated Security Payload)和AH(Authentication Header)子协议保护IP数据包和IP数据首部不被第三方侵入,在两个网络之间建立一个虚拟“安全隧道” 用于数据信息的安全传输。授权用户,通过IPSec安全策略的配置实现对网络安全通信的保护意图,其安全策略包括什么时候什么地方对AH和ESP保护,保护什么样的通信数据,什么时候什么地方进行密钥及保护强度的协商。IPSec通过认证和钥匙交换机制确保中小型网络与其分支机构网络或合作伙伴进行既安全又保密的信息传输。在计算机上装有IPSec的终端用户可以通过拨入ISP的方式获得对公司网络的安全访问。

(2)加密解密技术,是为了保障虚拟“安全隧道”的安全可靠性,提供了非常成熟的加密算法和解密算法,如3DES、DES、AES等,抵抗不法分子修改或截取数据信息的能力,同时保证必须使偷听者不能破解或解密拦截到的的数据信息,但是授权用户可以通过解密技术,完整的访问数据资源。

(3)身份认证技术是通过对企业分支用户或远程用户进行身份进行验证,提供安全防护措施与访问控制,包括对VPN“安全隧道”访问控制的功能,有效的抵抗黑客通过VPN通道攻击中小型企业网络的能力。通过VPN服务器对授权用户的身份及权限的验证,严格控制授权的用户访问资源的权限。在每个VPN服务器上为远端用户的身份验证凭据添加用户信息,包括用户名及密码,并且配置了用户名与呼叫用户所使用的用户名称相同的请求拨号接口。

(4)密钥交换技术,为了防止密钥在Internet复杂的公网上传输过程中而不被窃取。提供密钥中心管理服务器,现行的密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。VPN技术能够生成并更新客户端和服务器的加密密钥和密钥的分发,实现动态密钥管理。如果采用L2TP/IPSec模式的站点到站点VPN连接,还需要在每个VPN服务器上同时安装客户端身份验证证书和服务器身份验证证书;如果不安装证书,则需要配置预共享的IPSec密钥。

(5)防重演保护。具备防止数据重演的功能,而且保证通道不能被重演。确保每个IP包的合法性和惟一性,保证信息万一被截取复制后,或者攻击者截取破译信息后,再用相同的信息包获取非法访问权,确保数据信息不会被重新利用、重新传回目标网络,

3.2其他辅助安全措施

对VPN服务器,还可以启动软件防火墙功能,如安全访问策略、日志监控等功能,还可以安装杀毒软件,为内网提供安全屏障,再次增加网络安全可靠性能。软件防火墙通过设置的包过滤规则,分析IP数据报、TCP报文段、UDP报文段等,决定数据包是被阻止,还是继续转发,从网络层和传输层上再次给予安全控制,提供了多层次安全保障体系。还可以增加应用层的过滤规则配置,再次提升VPN服务器安全性。

4 实践应用分析

通过实践应用,跨越Internet的中小型企业网络安全解决方案分别从网络层、传输层和应用层三个层次上给予安全保障,该方案充分利用VPN的“公网专用”的特点,允许中小型企业拥有一个世界范围的专用网络,在公用网中开辟虚拟“安全隧道”来保证远程数据信息传输的可靠性和安全性;通过辅助的防火墙功能,进一步增加其安全。该方案使用高性能的PC充当VPN服务器,并配以Windows Server 2003操作系统,无需额外的复杂硬件设备与高昂的系统软件,成本低、经济实用、容易实现、维护简单,是中小型企业网络扩展不错的选择方案。VPN服务器不但具备VPN技术的功能外,还是一个中小企业的防火墙,安全配置、安全策略容易实现,一旦出现较大安全威胁,便于快速隔离网络。

当然此方案也存在一些缺陷,主要是有依赖操作系统的安全性,操作系统本身的漏洞可能会造成安全隐患;VPN服务器是集多种服务于一体,需要较高高性能的计算机;VPN服务器故障会导致网络连接失效;由软件实现数据加密与解密、包过滤等,一定程度会占用系统资源,也会使通信效率略有降低;同时重注企业内部员工的安全培训,有效地抑制社会学的攻击,对来自企业内部员工的攻击显得无能为力。

5 结束语

跨越Internet的中小型企业网络安全技术方案比较经济、实用、安全、配置简单,为中小企业打造一个世界范围的网络提供了较有力的技术支持,使得中小企业网络也融入到互联网这个“大家庭”中,不仅提高了中小型企业的工作效率,而且增强了其竞争力,将推动中小型企业电子商务,电子贸易,网络营销走向繁荣,加快了中小企业网络信息化和经济快速发展的步伐。

参考文献:

[1] 郝春雷, 郑阳平.中小型企业敏感分支网络安全解决方案[J].商业时代,2007,(21):45.

[2] 阿楠. VPN虚拟专用网的安全[J].互联网天地,2007,(7):46-47.

[3] 李春泉,周德俭,吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报,2004,3:365-368.

篇8

关键词:计算机;网络安全;网络建设;防火墙

Key words: the computer;network security;network construction;the firewall

中图分类号:TP393 文献标识码:A文章编号:1006-4311(2012)15-0227-02

1对计算机网络安全构成威胁的常见方式

计算机网络的良好运行需要得到网络设备设施、电脑硬件、相应的操作系统、软件以及相关技术方面的支持,所以,网络产生的风险主要来源于网络的各项薄弱环节,入侵的方式有很多种。按照网络入侵的接口类型进行分类,包括内部网络以及外部网络两种类型的安全威胁。①外部网络构成的安全威胁。因为业务需要计算机终端联通了外部网络,一般情况下这种连接并未采取安全防护措施, 非常容易遭受外部网络的侵入。比如:病毒的袭击,导致网络或者系统出现瘫痪;木马程序的侵入,盗窃系统的控制权、关键资料;此外,还会对网络站点进行恶意篡改,向网络发送含有病毒的E-mail等。②内部网络构成的安全威胁。由于电脑用户的剧增,很多办公场所以及居民小区中建立各种局域网。网络的内部结构以及物理连接方式变化频繁,造成网络安全性能受到较大影响,容易产生安全隐患。

按照网络入侵的形式进行分类,也包括两种类型:①非法访问或者恶意袭击。体现为“黑客”的恶意袭击,利用网络系统本身存在的漏洞,窃取到该系统的各项操作权限,对系统进行非法访问并且破坏系统中的各项数据。黑客还能在网络传输过程中充分利用线路的电磁泄露或者搭线等办法用来窃取数据。②病毒袭击。病毒在电脑网络系统中传播非常快速,破坏力非常强,众所周知,任何种类的计算机病毒都会让计算机用户感到恐惧。此外,还有一些比如木马、蠕虫等病毒程序,使得用户的一些比较重要的数据资料都不得不小心翼翼。

2网络安全的研究与分析

数据加密技术在网络中发挥的功能是预防有重要的信息内容在网络上遭到拦截、盗窃和恶意篡改,在网络上实施窃听非常容易实现,黑客十分轻易就能够窃取到计算机用户的密码或者相关数据,而要想有效防止这些情况的出现最直接有效的办法是对其进行加密,并且加密之后的有关口令或者数据就算被黑客窃取也无法破译。下文介绍一些常用的加密法。

2.1 对称式加密法对称式加密(DES)是加密和解密共用相同的密钥,一般称为“Seccsion”,这种加密技术非常普及。该技术是一种对称算法,数据加密十分标准,方便快捷,十分适合于对大量的数据进行加密。比如美国政府运用的DES加密的标准便是这种加密技术,其“Seccsion Key”长度为56Bits。利用56 Bits的“Seccsion Key”对64 Bits的数据块实施加密,并且对于64Bits的数据块实施16 轮编码。在实施每轮编码的时候,一个48 Bits的“每轮” “Seccsion Key”值由56Bits的完整“Seccsion Key”获得。该技术的不足之处在于“Seccsion Key”长度较短,因而需要通过三重DES 的办法来解决“Seccsion Key”长度较短的问题。即通过两个“Seccsion Key”对明文实施三次加密,如果两个“Seccsion Key”为K1与K2。用K1实施解密。用密匙K2对前一个步骤产生的结果实施解密。通过K1对第二个步骤产生的结果实施加密。该技术的保密性由“Seccsion Key”的保密程度来决定,而计算方法是透明的。而DES内部的结构极为复杂,从而到目前为止并未找到破译的捷径。

2.2 非对称加密码法非对称算法(RSA)是由RSA公司发明,它是一种支持变长密匙的公开密钥算法,加密文件块的长度是可以变化的,所谓非对称,即这种算法需要一对密匙,利用当中某个加密,就要利用另外一个才能够进行解密,也就是它的最大的特点是利用不一样的密匙进行加密以及解密,每一个计算机用户保存着PK(公开密钥)以及SK(秘密密钥)。这种算法的安全性主要依赖对于大数的因子进行分解,它的最大缺点是没有办法从理论发明证实其保密性能,并且产生密匙也比较繁琐、分组的长度过长、运算代价非常大等缺陷。

2.3 数字证书以及公钥基础设施伴随互联网技术的高速发展,特别是电子商务的突飞猛进,为确保商务、贸易以及各种支付活动的安全可靠,要求有一种相应的机制来验证各方身份的真实性。而安全认证是确保电子商务能够良好运行的前提。公钥基础设施(PKI)是由公开密匙技术、CA数字证书、证书的认证中心以及公开密匙相关的安全对策等构成,它是一种以加密技术为基础的有效安全认证机制。数据的保密性以及安全性问题可以获得良好的解决。计算机用户通过PKI系统提供的安全可靠的服务开展安全通信活动,在网络上开展的所有通信服务的均是基于公钥为基础,而私钥仅仅掌握在与之通信的对象手中,利用数字签名以及数字证书,以保证发送的电子文档的全面完整性、准确不可篡改性以及无法抵赖性。

2.3.1 验证数据的完整性发送信息者通过所传输的信息和相应的算法产生一个附件,并且将信息和附件同时传输过去;接收信息者接收到信息与附件之后,通过相同算法和收到的信息产生新的附件;把这个新的附件和所收到的附件加以对比,假如这样的话 表明接收到的信息为正确的信息,反之,表明在传输信息过程中出了差错。

2.3.2 电子签章电子签章也就是数字签名,也可以称之为公匙数字签名,和书面上签名比较接近,只不过利用公匙加密技术,可以用来鉴别数字信息。一般有两种互为补充的计算,其中一个用来签名,一个用来验证。这种数字签名是一种通过发送信息者设置的其他人不能伪造的数字,这些数字是对发送信息者所传输信息的真实性的一种验证。其实质上是附属于数据单元上的一部分的数据或者是对其所实施的密码变换。通过数据或者变换可以使接受数据单元的人员对于数据单元的发送者以及数据的完整性进行确认,并且保护数据的不被恶意篡改。签名机制的根本目的是该签名只能利用签名者本人的相关信息才可以形成,即一个人的签名信息的形成具有唯一性。当双方出现异议的时候,仲裁方(即第三方)可以依据消息上的电子签章来核定该消息是不是由信息的发送者发送出去的,避免出现抵赖的问题。公开密钥技术的产生,使得电子签章变得更加便捷,无需第三方实施签名与验证。实现签名的步骤为:甲通过他自己的密钥加密信息,对文件进行签名;甲将签名的信息传送给乙; 乙利用甲的公开密钥对信息进行解密,对签名实施验证。

2.4 防火墙以及SSL安全协议的应用

2.4.1 防火墙的作用防火墙是指由软件和硬件组成、在内、外部网络之间、专用以及公用网之间建立的一个保护屏障,它是一种计算机软、硬件的有效结合,以便保护网络的安全,使得内部网不会受到非法用户的袭击。防火墙能够起到有效的保护作用。入侵者务必要通过防火墙所设置安全防线,才有可能接近入侵的计算机。防火墙的基本特性有三个:①内、外部网络两者之间的一切网络信息流均需通过防火墙。②只有那些满足安全条件的信息流才允许经过。③防火墙本身具备很强的抵御攻击的保护能力。

2.4.2SSL安全协议的工作原理SSL安全协议是也可以称之为安全套接层(Secure Sockets Layer)协议,它通常用在提升应用程序的数据安全性,是基于Internet所提供的确保私密性的一项安全协议。它可以使得客户与服务器之间的传输的信息免遭窃听,而且保持对服务器实施有效认证,还能够选择对计算机客户实施有效认证。SSL 协议牵涉到一切TCP/IP应用程序,是一种确保了所有安装了套阶层的用户与服务器两者之间的安全协议。它的优点是和应用层协议没有关联。它所提供的服务主要发挥了三个方面的作用。其一,确保了用户与服务器的认证具有合法性;其二,能够对传输的数据进行加密,确保数据的隐蔽性;其三,能够使得传输的数据保持完整性。

3计算机网络安全的前景分析

计算机网络早已融入人们的工作、生活等各个方面,由于网络具有开放性、共享性以及国际性的特点,所以计算机网络的安全问题肯定需要接受严峻的考验。一方面一些不法之徒抓住计算机网络自身存在的缺陷或者漏洞实施攻击,而另外一方面网络在社会经济发展的各个领域都得到了广泛的运用,人们对于计算机网络的依赖性也与日俱增,这就要求我们对于网络信息的安全要求提出了更加严格的标准。信息系统安全的一个关键构成部分就是计算机网络安全。而我们国家的网络信息安全相关技术的研究与开发工作仍然处在发展的初期阶段,很多问题有待进一步解决与完善。从而使得计算机网络更加安全可靠,为我们国家的信息化发展提供保障。

参考文献:

[1]张宝剑.计算机安全与防护技术[M].北京:机械工业出版社,2003.

[2]袁津生,吴砚农.计算机网络安全基础[M].北京:人民邮电出版社,2003.

[3]陈建伟.计算机网络与信息安全[M].科学出版社,2006,2.

篇9

2现阶段数字电视双向网络存在的安全问题

在双向网络出现之前,数字电视一直使用的是单向网络。由于单向网络与网络连接少,收费低,可获取的利益少,所以单向网络安全问题多数集中在授权的安全,不要出现盗版,不要出现黑户问题上。而数字电视双向网络业务更多、用户的增值项目也多,使得他人可利用数字电视双向网络赚取大笔利润,由此将引起大量的黑客对数字电视双向网络的关注。数字电视双向网络不像数字电视单向网络保守,其安全问题不仅仅像数字电视单向网络那样只出现在终端而是前段终端都可能出现。还要考虑终端对前端的影响和恶意攻击,这使得数字电视单向网络的安全建设单独大大加大。

3数字电视双向网络的安全建设的建议

3.1建立一个开放性、标准性,能够取得第三方认证的系统结构

推荐使用两种技术,一个是公约基础设施(PublicKeyInfrastructure,PKI)技术。另一个是安全套接层(SeeureSocketLayer,SSL)技术。①公约基础设施(PublicKeyInfrastructure,PKI)技术。所谓公约基础设施(PublicKeyInfrastructure,PKI)技术其实就是一个用公钥概念、技术实施和提供安全服务的具有普适性的安全基础设施。公约基础设施(PublicKeyInfrastructure,PKI)技术是一种新的安全技术,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。公约基础设施(PublicKeyInfrastructure,PKI)技术是利用公钥技术实现电子商务安全的一种体系,是一种基础设施,网络通讯、网上交易是利用它来保证安全的。公约基础设施(PublicKeyInfrastructure,PKI)技术是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用公约基础设施(PublicKeyInfrastructure,PKI)技术框架管理密钥和证书可以建立一个安全的网络环境。公约基础设施(PublicKeyInfrastructure,PKI)技术包括四个主要部分:X.509格式的证书(X.509V3)和证书废止列表CRL(X.509V2);CA操作协议;CA管理协议;CA政策制定。②安全套接层(SeeureSocketLayer,SSL)技术。SSL(SecureSocketLayer)安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL(SecureSocketLayer)安全套接层应用广泛,各种网络都可以使用它,不仅如此,还提供了三中安全服务。SSL(SecureSocketLayer)安全套接层是一种利用TCP的可靠的端到端的安全服务,而且他还是一个二层协议,底层是SSL记录层,此层是用来封装各种上层协议。还有一层是SSL的握手协议,它的作用是在服务器和客户机之间传送数据之前协商加密算法和加密密钥,服务器将通过客户及提出的加密算法来选择最适合的算法。还有三个更高层的协议,分别为SSL的一部分:握手协议、修改密文规约协议和告警协议。有这两项技术作为基础的数字电视双向网络安全系统,既能获取第三方的认证,还能增加安全性。

3.2网络内容安全

网络是把双刃剑。现在网络充斥着各种不良信息,还有一些不法分子制造网络病毒损害电脑,盗取别人的个人信息和重要数据以此来谋取利益。当然随着网购的兴起,更有不法分子通过网络盗取和骗取钱财。由此,数字电视双向网络应该有一个安全的环境,保护用户的个人信息和钱财,还要防止病毒的侵入。我建议利用消息鉴别码(MessageAuthenticationCode,MAC),消息鉴别码(MessageAuthenticationCode,MAC)可以鉴别信息的来源是否合法还可以保证信息的完整性。消息鉴别码(MessageAuthenticationCode,MAC)有一个认证标识是用公开函数和密钥然后产生一个长度一定的值,消息鉴别码用这个标识来判断信息的完整性。利用一个密钥生成一个大小一定的数据块(MAC),将其与信息一起传送,接收方利用发送方共享的密钥进行鉴别认证等.消息鉴别码(MessageAuthenticationCode,MAC)仅仅认证消息MAC的完整性(不会被篡改)和可靠性(不会是虚假的消息或伪造的消息),但不负责数据MAC是否被安全传输。之所以要放弃信息的保密性(使用公钥加密私钥签名的对称密码协议可以很好的保证信息MAC的保密性、完整性和可靠性),是因为在某些场合(政府部门公告、网络管理通知等)并不需要对信息进行加密;或者是有些场合(例如广播信息等)需要长时间传输大量信息。由于MAC函数是单向函数,因此对明文M进行摘要计算的时间远比使用对称算法或公开密钥算法对明文加密的时间要小。

3.3保证用户信息的安全

在进行业务费用支付的时候,会要求用户输入个人资料和密码等。保护用户的资料和密码就成为结构系统需要注意的事项。虚拟键盘技术大可解决此问题。有了虚拟键盘技术,机顶盒会出现一个键盘,键盘上的数字都是随机排列的,这样就算不法分子偷到了遥控器的红外数据,得到的也仅仅是上下左右,而不是用户密码,从而保证了信息输入的安全。

篇10

智能建筑区域数据库中的数据必须具有以下特殊性:首先是独立性,包括物理数据独立性,即改变内部模式时无需改变概念或外部模式,数据库物理存储的变动还会影响访向数据的应用程序;逻辑数据独立性,即修改概念模式时无需修改外部模式;其次是共享性,数据库中的数据应可被几个用户和应用程序共享;最后是持续性,即数据在整个设定有效期内稳定保持。

数据库有三个主要组成部分:数据、联系、约束和模式。数据库管理系统则是为数据库访问服务的软件,它应为支持应用程序和操作库中的数据提供下列服务:事务处理、并发控制、恢复、语言接口、容错性、数据目录、存储管理。

智能建筑中的数据库系统(含子数据库系统)与某些商业系统相比,虽然规模不大,但功能复杂、性质迥异,因而主数据库与各子系统数据库的集成有着很高的技术难度,可以说是现有各种数据库技术的集成。理想的智能建筑数据库系统应具有以下特性:开放性面向对象,关系型,实时性、多媒体性、互操作性、分布性、异构性等。所以一个理想的智能建筑(集成)数据库体系应该是开放的,面向对象的、关系型的、实时的,分布式的或操作的多媒体异约数据库体系。这一体系的安全保障:

首先是安全性,即数据库在数据不得被非法更改或外泄。同时,智能建筑数据库中的数据也具有其他一般特性,如一致性等。其次是安全保障,智能建筑中各子系统数据库必须能免受非授权的泄露导致更改和破坏,每个用户(也包括各子系统)和应用程序都应只拥有特定的数据访问权,以防非法访问与操作。这一功能在FAS、SAS及某些OSA系统中是必不可少的。

因特网的数据库访问技术和远程监控的框架及房地产信息网络的安全措施

首先,因特网的数据库技术相结合的Web数据库的应用,实现了信息从静态向动态的转变,而其中远程数据服务是核心。

目前比较流行的Browser/Server模型是采用三层模式结构:表示(Browser),提供可视界面,用户通过可视界面观察信息和数据,并向中间层发出服务请求;中间层(WebServer)实现正式的进程和逻辑规则,响应用户服务请求,是用户服务和数据服务的逻辑桥梁;数据库服务层(DBServer),实现所有的典型数据处理活动,包括数据的获取、修改、更新及相关服务。

Browser端一般没有应用程序,借助于Javaapplet、Actives、javascript、vabscvipt等技术可以处理一些简单的客户端处理逻辑,显示用户界面和WebServer端的运行结果。中间层负责接受远程或本地的数据查询请求,然后运用服务器脚本,借助于中间部件把数据请求通过数据库驱动程序发送到DBServer上以获取相关数据再把结果数据转化成HTML及各种脚本传回客户的Browser、DBServer端负责管理数据库,处理数据更新及完成查询要求,运行存储过程,可以是集成式的也可以是分布式的。在三层结构中,数据计算与数据处理集中在中间层,即功能层。由于中间层的服务器的性能容易提升,所以在Internet下的三层结构可以满足用户的需求。

其次,远程监控的框架。

基于因特网的楼宇设备运程监控结构,这个结构是基于NT的平台上。对于市场上的BA系统,如江森和霍尼维尔等,他们系统内置有专用的数据库,并提供有接口可以转化为标准的数据库,通过前面提供的方法,用户可以从远程通过调用数据库来了解整个BA系统的情况。如果他想获得BA系统的实时状况和实时控制BA系统可以直接通过相应的CGI程序监控BA系统。

通过这样的结构,授权的用户可以在远程获得建筑设备每一个部件的相关数据,除了数据监测和报警功能之外,还有比如数据记录趋向预测、基本维护等功能。现代的BAS系统包括数以千计的外部点,所以传输的数据必须经过优化仅仅是关键数据才应该在BAS和远程使用者间传输。而在房地产建筑设备中,

HVAC系统和照明系统最耗能的,在开率控制系统的功能时,用户的满意程度是主要的参考因素,所以目前建筑设备的控制和足够通风量;照明系统,为房客和公用区提供足够照明;报警系统有,对烟、火警的探测和处理;传送系统有升降机,传送带,运输带和自动门,电力供应系统等。

在大多数BAS系统中,主要是四类信号:模拟输入、模拟输出、数字输出、数字输入。对于一个具体的BAS系统而言,它的输入输出包括烟感探头状态,空气混合室、中过滤器状态,识别空调房间情况的传感器等;二进制输出包括回风机、送风机、VAV控制盒、照明、报警等;模拟量的输入包括回风和室外新风的温湿度;送风压力,VAV控制盒的空气流动速度,送回温度、房间温度、回风温度等;模拟量输出包括送风、回风的风速,冷水的流动速度等。所以可将需要远程传输的信号可以分为五类进行传输状态类、感受器类、报警器类、趋势类和控制类。版权所有

在现代化的房地产建筑中智能建筑建设与网络营销的原则为:业务为导向,市场为支力,网络为基础,技术为支撑,效益为根本,服务为保障

智能建筑设备给人们带来方便的同时,也给自己带来了一个个不速之客——黑客、信息网络及网络炸弹和因之而来利用网络犯罪分子,在方便自己的同时,也为那些离智能的犯罪分子带来了一个靠近自己便捷的通道。毫无疑问在HTML语言规划制定和Vbscript及javascript文件操作功能被现代建筑设备中广泛应用的同时,房地产信息网络安全不由自主地成为我们首当其冲的问题。

如前边所述,在利用数据库和因特网技术监控的同时,房地产信息网络的安全问题的措施也应运而生。

而网络“营销”需要两个条件:一是采取传统的市场营销手段;二是在网上提供价格有吸引力的商品。应该说至少到目前为止,传统营销与网络营销实质上是房地产整体营销策略的两个有机组成部分。传统营销的对象是房地产网站本身和房地产企业品牌,而网络营销的对象是有关企业的大量信息,这两部分是缺一不可的,只有整合才能使其发挥最大的功效。

篇11

2网络工程专业的网络安全课程体系建设

根据当前社会对于网络和网络安全人才的需求,本校制定了相应的人才培养计划,历经10年的改革与发展,形成了当前网络工程专业下的三个特色方向:网络技术方向、网络安全方向、网络编程技术方向。无论是网络技术还是网络安全技术都离不开网络编程技术的支撑,缺少相应的编程能力网络技术与网络安全技术也注定会是瘸腿的技术,无法满足网络管理与网络安全管理的需求。因此这三个方向相互融合形成的高级网络与网络安全技术方向,形成了目前网络工程专业较为稳定的培养目标。“PKI体系及应用”与“网络安全协议”是以应用密码学为基础的延伸课程。培养学生利用现代密码学的技术研发密码产品的能力。“PKI体系及应用”以证书认证中心为轴心,详细介绍公开密钥基础设施的基本概念、基本原理、基本方法,以及公开密钥基础设施在现代密码产品中的应用研发技术。“网络安全协议”从密码应用系统业务逻辑层面的安全分析入手,介绍常见的网络安全协议、网络安全标准和典型的网络安全应用系统,在此基础上,介绍安全协议设计及其安全性分析的基本理论与技术,使学生掌握基本的网络安全协议设计方法,能够根据具体的应用背景设计对应的网络安全协议,研发安全应用系统。网络攻防类课程是在以“应用密码学”等信息安全类课程开设的基础上,根据网络工程专业的建设和国内网络安全形势的需要而开设的网络维护类课程。其中,“网络攻防技术入门”是在大一新生中开设的新生研讨课,共16学时,分8次上课,以学生讨论的方式组织教学,通过安排技术资料研读和课堂讨论,启发学生对网络攻防技术的学习兴趣,掌握基本的网络威胁防护方法。“网络信息对抗”综合讲授与网络安全相关的法律法规、网络渗透技术和网络防护技术。课程共64学时,理论授课32学时,实验32学时,每个理论学时跟着一个实验学时,以边学边练的方式组织教学。实验教学通过专用综合攻防平台进行验证性训练。“计算机取证技术”主要讲述计算机取证的基本方法、基本过程、数据恢复技术、证据提取技术、证据分析技术,以及常见的计算机取证工具的使用方法。“信息安全技术实训”是在四年级上学期开设的实训课程,共计192学时,8个学分。该课程分为两个部分,第一部分以实际的项目案例为驱动,训练学生对现代密码理论技术应用能力与程序设计能力,目标是设计并实现一个小型的网络安全软件系统。第二部分以实际的网络安全案例为驱动,训练学生对于目标系统的渗透能力与网络加固能力、以及对于整个渗透过程的取证分析能力。该实训课程与学生的实习相互结合,部分学生进入网络安全公司进行实习,提交综合实习报告来获得同校内综合实训相当的学分。通过三年的实践,效果良好。

3网络安全方向的人才培养分析

网络安全方向已经形成了较为完善的课程体系,学生学习兴趣高涨,在校内形成了良好的网络安全研究氛围。自发形成了保有数为20人左右的本科生兴趣研究小组,另外,通过每年一届的全校网络安全知识比赛,促进了全校网络安全知识的普及与人才培养,通过组织参加全省大学生网络信息安全知识比赛,选拔优秀本科生进入相关课题研究,而且都取得了较好的效果。

篇12

中图分类号:TP393.08

目前计算机网络实现了信息全球化,被广泛应用到人们的学习、生活和工作之中,甚至也被应用到了国家各种事务的处理之中。但是因为计算机网络具有开放性、互联性和多样性的特点,很容易受到攻击,存在很多威胁因素。因此,就要采取必要的措施来网络信息的安全、保密、可靠。

1 计算机网络安全存在的威胁因素

威胁计算机网络安全的因素是多种多样的,涉及到很多个方面的,下面将对当前网络安全存在的威胁进行总结:

1.1 无授权访问。无授权访问指的是没有经过预先同意的对网络或计算机资源的使用,主要包括:自作主张的扩大权限,越权访问不该访问的信息;故意避开系统访问的控制,不正常的使用网络资源和设备。这些无授权访问主要通过非法进入网络系统、违规操作、假冒身份、身份攻击以及合法的用户不以授权的方式进行操作形式表现出来。

1.2 数据的完整性遭到破坏。一些攻击者使用违法手段盗窃数据的使用券,并对这些数据进行插入、修改、删除或者是重发一些重要保密的信息,期望得到有益于自己的响应。并且他们为了影响用户的正常使用,恶意修改、添加数据,破坏数据的完整性和正确性。

1.3 使用计算机网络散播病毒。计算机病毒通常是最先以一个计算机系统作为载体,通过移动硬盘、软盘、网络和光盘等媒质介体,对其他的计算机系统进行恶意破坏。计算机病毒能够在特别短的时间内使整个计算机网络瘫痪,使得网络损失惨重。用户很难防范通过计算机网络传播的病毒,单机系统和计算机系统很容易在病毒的干扰下发生异常和破坏。

1.4 丢失或泄露信息。被有意或者是无意丢失和泄露的信息往往是敏感数据和保密数据,通常包括:信息在存储介质中遭到泄露或丢失、信息在传输过程中遭到泄露或丢失(最常见的就是黑客通过对通信长度或频度、信息流量和流向等数据的分析以及利用搭线窃听或者是电磁泄露的方式截获或破解机密信息,来推算出用户的账号、口令等重要的有用的信息)、黑客建立隐蔽隧道来偷窃敏感保密的信息。

1.5 干扰服务攻击。主要是通过改变服务系统的正常的作业流程、执行无关紧要的程序来减慢系统响应直至瘫痪等方式不断地对计算机网络服务系统进行干扰,干扰合法用户的正常使用,以及不使正常用户进入计算机网络系统,无法得到服务等。

1.6 管理不到位存在的威胁。计算机网络的正常运行离不开正确的管理,错误的管理会给企业造成非常巨大的损失。需要进行的管理主要包括计算机网络、硬件设备和软件系统,例如若是软件系统没有健全的安全管理,不仅会破坏计算机网络的安全,还会使得计算机网络错误的运行。还有一个因素就是工作人员在工作过程中,不注意对移动U盘进行保护和管理,加入病毒,在插入电脑之后,又将带着的病毒传给电脑,病毒进入电脑之后,就会电脑的网络系统进行恶意破坏,使整个计算机网络系统瘫痪不能使用。

2 计算机网络系统安全技术措施

2.1 检测入侵。如果计算机网络中存在可以被恶意攻击者利用的漏洞、安全弱点和不安全的配置(如应用程序、网络服务、网络设备、TCP/IP协议、操作系统等几个方面存在这样的问题),就会遭到黑客或者攻击者的网络攻击和恶意入侵。网管人员在网络系统没有预警防护机制的情况下,是很难发现已经侵入到内部网络和关键主机的攻击者实施的非法操作的。检测入侵系统可以说是计算机网络系统的第二个安全闸门,因为它在监听网络的时候不影响计算机网络系统的性能,并且可以及时地提供对误操作、外部攻击和内部攻击的保护。

2.2 应用安全漏洞扫描技术。安全漏洞扫描技术可以通过自动检测本地或者是远程主机安全上存在的弱点,使网络管理人员在黑客和入侵者找到漏洞之前就修补存在着的这些安全漏洞。专门检查数据库安全漏洞的扫描器、网路安全漏洞扫描和主机安全漏洞扫描等都是安全漏洞扫描软件。但是由于操作系统的安全漏洞随时在、安全资料库时刻在更新,所以各种安全漏洞扫描器只有及时进行更新才能扫描出系统的全部安全漏洞,防止黑客的进入。

2.3 防治计算机病毒。防治计算机病毒的首要做法就是要给所以计算机装上杀毒软件,并对这些杀毒软件进行及时的更新和维护,还要定期对这些杀毒软件进行升级。杀毒软件可以在病毒侵入到系统的时候及时地发现病毒库中已经存在的可以代码、可疑程序和病毒,并警告给主系统准确的查找病毒的实际来源,对大多数病毒进行及时的隔离和清除。使用者要注意不要随意打开或者安装来历不明的程序、软件和陌生邮件等。发现已经感染病毒后要对病毒实行检测和清除,及时修补系统漏洞。

2.4 使用防火墙技术。防火墙指的是一个控制两个网络间互相访问的一个系统,它主要通过对硬件和软件的结合为内部网络和外部网络的沟通建立一个“保护层”,只有经过这个保护层连接和检查,获得授权允许的通信才能通过这个保护层。防火墙不仅能够阻止外界非法访问内部网络资源,还能提供监视Internet预警和安全的方便端点,控制内部访问外部的特殊站点。然而,防火墙并不能解决一切问题,即使是通过精心配制的防火墙也不能抵挡住隐蔽在外观看似正常的数据下的程序通道。为了更好的利用防火墙技术保护网络的安全,就要根据需求合理的配置防火墙,采用加密的HTTP协议和过滤严格的WEB程序,不要多开端口,经常升级,管理好内部网络的用户。

2.5 黑客诱骗技术。黑客诱骗技术就是通过―个由网络安全专家精心设置的特殊系统来引诱黑客,并记录和跟踪黑客,其最重点的功能就是经过特殊设置记录和监视系统中的所有操作,网络安全专家经过精心的伪装能够达到使黑客和恶意的进攻者在进入目标系统后,并不知道自己的行为已经处于别人的监视之中。网络安全专家故意在黑客诱骗技术系统中放置一些虚假的敏感信息或留下一些安全漏洞来吸引黑客自行上钩,使得黑客并不知道他们在目标系统中的所有行为都已经被记录下来。黑客诱骗技术系统的管理人员可以仔细分析和研究这些记录,了解黑客采用的攻击水平、攻击工具、攻击目的和攻击手段等,还可以分析黑客的聊天记录来推算他们的下一个攻击目标和活动范围,对系统进行防护性保护。同时这些记录还可以作为黑客的证据,保护自身的利益。

2.6 网络安全管理。确保网络的安全,还要加强对网络的管理,要限制用户的访问权限、制定有关的规章制度、制定书面规定、策划网络的安全措施、规定好网络人员的安全规则。此外,还要制定网络系统的应急措施和维护制度,确定安全管理和等级,这样才能确保网络的安全。

3 结束语

由于我们的工作和生活都离不开网络,所以计算机网络安全是我们非常关注的事情。我们需要建立一个安全、完善的计算机网络系统来保证我们的利益,需要计算机网络进行不断的完善,解决掉存在的各种安全威胁。同时网络的不安全也会影响到企业和国家的利益,所以只要网络的安全性提高了,企业和国家才能发展的更好,社会才会进步。

参考文献:

[1]张镝.浅析计算机网络安全建设方法及安全技术[J].电子世界,2014(08):21-22.

篇13

以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入。伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。

一、基本网络的搭建

由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案。

1.网络拓扑结构选择。网络采用星型拓扑结构(如图1)。它是目前使用最多、最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。

2.组网技术选择。目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高。FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级。ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低。目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。

二、网络安全设计

1.物理安全设计。为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,我们还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。

2.网络共享资源和数据信息安全设计。针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号。它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。

3.计算机病毒、黑客,以及电子邮件应用风险防控设计。我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

友情链接