網絡管理與網絡安全模板(10篇)
時間:2023-12-27 15:40:06
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇網絡管理與網絡安全,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
中國擁有四千萬中小企業,據權威部門調研發現,90%以上的中小企業至少都已經建立了內部網絡。但是,隨之而來的,就是企業內部網絡的安全性問題。多核、萬兆安全、云安全這些新技術對于他們而言或許過于高端,中小企業應該如何進行網絡安全管理?又該從哪入手呢?
1 企業內部網絡建設的三原則
在企業網絡安全管理中,為員工提供完成其本職工作所需要的信息訪問權限、避免未經授權的人改變公司的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則。
原則一:最小權限原則
最小權限原則要求我們在企業網絡安全管理中,為員工僅僅提供完成其本職工作所需要的信息訪問權限,而不提供其他額外的權限。
如企業現在有一個文件服務器系統,為了安全的考慮,我們財務部門的文件會做一些特殊的權限控制。財務部門會設置兩個文件夾,其中一個文件夾用來放置一些可以公開的文件,如空白的報銷憑證等等,方便其他員工填寫費用報銷憑證。還有一個文件放置一些機密文件,只有企業高層管理人員才能查看,如企業的現金流量表等等。此時我們在設置權限的時候,就要根據最小權限的原則,對于普通員工與高層管理人員進行發開設置,若是普通員工的話,則其職能對其可以訪問的文件夾進行查詢,對于其沒有訪問權限的文件夾,則服務器要拒絕其訪問。
原則二:完整性原則
完整性原則指我們在企業網絡安全管理中,要確保未經授權的個人不能改變或者刪除信息,尤其要避免未經授權的人改變公司的關鍵文檔,如企業的財務信息、客戶聯系方式等等。
完整性原則在企業網絡安全應用中,主要體現在兩個方面。一是未經授權的人,不能更改信息記錄。二是指若有人修改時,必須要保存修改的歷史記錄,以便后續查詢。
原則三:速度與控制之間平衡的原則
我們在對信息作了種種限制的時候,必然會對信息的訪問速度產生影響。為了達到這個平衡的目的,我們可以如此做。一是把文件信息進行根據安全性進行分級。對一些不怎么重要的信息,我們可以把安全控制的級別降低,從而來提高用戶的工作效率。二是盡量在組的級別上進行管理,而不是在用戶的級別上進行權限控制。三是要慎用臨時權限。
2 企業內部網絡暴露的主要問題
2.1 密碼單一
2.1.1 郵件用統一密碼或者有一定規律的密碼
對于郵件系統、文件服務器、管理系統等等賬戶的密碼,設置要稍微復雜一點,至少規律不要這么明顯,否則的話,會有很大的安全隱患。
2.1.2 重要文檔密碼復雜性差,容易破解
縱觀企業用戶,其實,他們對于密碼的認識性很差。有不少用戶,知道對一些重要文檔要設置密碼,但是,他們往往出于方便等需要,而把密碼設置的過于簡單。故我們對用戶進行網絡安全培訓時,要在這方面給他們重點提示才行。
2.2 網絡擁堵、沖突
2.2.1 下電影、游戲,大量占用帶寬資源
現在不少企業用的都是光纖接入,帶寬比較大。但是,這也給一些酷愛電影的人,提供了契機。他們在家里下電影,下載速度可能只有10K,但是,在公司里下電影的話,速度可以達到1M,甚至更多。這對于喜歡看電影的員工來說,有很大的吸引力。
2.2.2 IP地址隨意更改,導致地址沖突
有些企業會根據IP設置一些規則,如限制某一段的IP地址不能上QQ等等一些簡單的設置。這些設置的初衷是好的,但是也可能會給我們網絡維護帶來一些麻煩。
2.3 門戶把關不嚴
2.3.1 便攜性移動設備控制不嚴
雖然我們公司現在對于移動存儲設備,如U盤、移動硬盤、MP3播放器等的使用有嚴格的要求,如要先審批后使用,等等。但是,很多用戶還是私自在使用移動存儲設備。
私自采用便攜性移動存儲設備,會給企業的內部網絡帶來兩大隱患。
一是企業文件的安全。因為企業的有些重要文件,屬于企業的資源,如客戶信息、產品物料清單等等,企業規定是不能夠外傳的。二是,若利用移動存儲設備,則病毒就會漏過我們的設在的病毒防火墻,而直接從企業的內部侵入。
2.3.2 郵件附件具有安全隱患
郵件附件的危害也在慢慢增大。現在隨著電子文檔的普及,越來越多的人喜歡利用郵件附件來傳遞電子文檔。而很多電子文檔都是OFFICE文檔、圖片格式文件或者RAR壓縮文件,但是,這些格式的文件恰巧是病毒很好的載體。
據相關網站調查,現在郵件附件攜帶病毒的案例在逐年攀升。若企業在日常管理中,不加以控制的話,這遲早會影響企業的網絡安全。
3 企業內部網絡的日常行為管理
由于組織內部員工的上網行為復雜多變,沒有哪一付靈藥包治百病,針對不同的上網行為業界都已有成熟的解決方案。現以上網行為管理領域領導廠商深信服科技的技術為基礎,來簡單介紹一下基本的應對策略。
3.1 外發Email的過濾和延遲審計。
防范Email泄密需要從事前和事后兩方面考慮。首先外發前基于多種條件對Email進行攔截和過濾,但被攔截的郵件未必含有對組織有害的內容,如何避免機器識別的局限性?深信服提供的郵件延遲審計技術可以攔截匹配上指定條件的外發Email,人工審核后在外發,確保萬無一失。
事后審計也不容忽視。將所有外發Email全部記錄,包括正文及附件。另外由于Webmail使用的普遍,對Webmail外發Email也應該能做到過濾、記錄與審計。
3.2 URL庫+關鍵字過濾+SSL加密網頁識別。
通過靜態預分類URL庫實現明文網頁的部分管控是基礎,但同時必須能夠對搜索引擎輸入的關鍵字進行過濾,從而實現對靜態URL庫更新慢、容量小的補充。而對于SSL加密網頁的識別與過濾,業界存在通過SSL加密流量、解密SSL加密流量的方式實現,但對于組織財務部、普通員工操作網上銀行賬戶的數據也被解密顯然是存在極大安全隱患的。深信服上網行為管理設備通過對SSL加密網站的數字證書的進行識別、檢測與過濾,既能滿足用戶過濾 SSL加密網址的要求,同時也不會引入新的安全隱患。
3.3 網絡上傳信息過濾。
論壇灌水、網絡發貼、文件上傳下載都需要基于多種關鍵字進行過濾,并應該能對所有成功上傳的內容進行詳細記錄以便事后查驗。但這是不夠的,如藏污納垢的主要場所之一的互聯網WEB聊天室絕大多數都是采用隨機動態端口訪問,識別、封堵此類動態端口網址成為當下上網行為管理難題之一,只有部分廠商能妥善解決該問題,這是用戶在選擇上網行為管理網關時需要著重考慮的問題。
3.4 P2P的精準識別與靈活管理。
互聯網上的P2P軟件層出不窮,如果只能封堵“昨天的BT”顯然是不足的。在P2P的識別方面深信服科技的P2P智能識別專利技術――基于行為統計學的分析的確有其獨到之處。基于行為特征而非基于P2P軟件本身精準識別了各種P2P,包括加密的、不常見的、版本泛濫的等。有了精準識別,這樣的設備對P2P的流控效果格外出眾。
篇2
中圖分類號:TP393.08
從傳統的傳媒視角分析的話,媒介的轉換主要可以分為四個階段,分別是口耳相傳階段、手寫傳播階段、印刷傳播階段以及電子傳播的階段。當前我們所處的傳播階段就是電子傳播階段。自從20世紀初以來,不管是產生自美國的廣播傳媒技術還是后來的電視傳媒結束、網絡傳媒技術,這些媒介都是電子傳媒手段。這些手段逐漸的成為了我們日常生活中了解外界咨詢,乃至進行辦公等的重要手段。尤其是在上個世紀末期悄然興起的互聯網技術,成就了傳媒的新輝煌。不管是其對于傳統傳媒手段的沖擊還是其對人們生活的改變,都成為了當代的一個重要的特點。互聯網技術已經成為了當前人們不得不面對,也是人們必須要適應的一個新的生活方式。同時,我們反觀技術本身,其在產生和興盛知己,給我們的文化留下了深刻的印記。技術本身造就了傳播和溝通的通道,同時傳播的過程也改變了文化的進程。在這樣的背景下,網絡的安全問題和網絡的文化問題也就勢必成為了當代人們不得不關注的一個焦點。
1 網絡文化的內涵
1.1 網絡文化的內涵
網絡文化是伴隨著網絡技術的不斷發展和更新逐漸形成的。對于網絡文化本身來講,其形成的重要事件就是互聯網硬件技術和軟件技術的不斷更新。在互聯網流行的當代,網絡文化本身還是一個全球化的產物。而對于網絡文化來講,其實依賴于互聯網技術所形成的一種現代化的生活方式,也是全球化過程中的重要技術支撐和必然產物。其具備了鮮明的價值判斷和直接的價值取向,直接的體現著現代化社會的精神觀念以及制度標準。
作為迅速興起的媒介形式,網絡文化在長時間的發展過程中也有其本身的形成過程。網絡的生活方式不管是在行為方面還是在生活習慣方面都逐漸的積累起來,成為了一種新的文化范疇。對于互聯網本身來講,掌握信息的處理方式和網絡語言是最基本的生存基礎。而加入到網絡中也意味著進入到了一種新的生活體驗中,在網上更換新的生活方式也就意味著一個新的文化主體誕生,網絡主體本身是語言構成的,是虛擬的。但是,不管是不是虛擬的生活方式,也不管是不是虛擬的事件,只要加入到了網絡中,就必然要按照網絡的邏輯進行。網絡文化也就在這樣的邏輯概念中有了自身的生存空間,逐漸的形成了一個特定的文化范疇。
1.2 網絡文化的特征
1.2.1 網絡文化的最基本特征就是信息的爆炸存在
網絡本身對于任何人來講都不是封閉的,網絡將全球的居民都聯系在一起。網民本身不管是身份如何,都能夠不受任何限制的接受網絡中的內容,資源在網絡中是共享的,當代社會的一個重要的特點就是信息的爆炸式增長,而網絡也就為這樣的信息擴張提供了一定的條件。在網絡出現之前,還沒有任何一種傳媒形式能夠提供如此的信息傳遞方式,包容如此多的信息資源。
1.2.2 網絡文化是虛擬的
我們不能夠否認,網絡文化本身是根植在人類實際文化的基礎上。但是,作為文化的創造者,人類本身也是文化的創造物。如果在網絡的創建之初是人作為主體影響著網絡文化的話,那么到了后期的網絡運行規則和網絡邏輯形成了之后,網絡文化的成熟就使得人們必須要服從網絡文化。網絡邏輯開始成為網絡主體的主導,這樣的話就使得網絡主體要想融入到網絡中,就必須實現自身網絡化。
在現實的世界中,文化空間是由無知和信息共同構成的。但是,在網絡的實際文化層面上,僅僅是信息就能夠構成一定的網絡文化環境。網絡的信息通過虛擬的方式,將現實中的一切體驗都歸結到最后的信息化體驗。虛擬化的現實也促進網絡的使用主體成為了一種虛擬化的生存,這樣的生存模式也就是網絡文化的形成過程。
2 網絡文化與網絡安全管理技術
對于不同的人來講,道德方面的高度有很大的差距。在網絡中,主體之間帶有很強的隱秘性,這樣的話就使得人們的道德底線再也不受任何的人控制,也不受一定的社會規則控制。但是,網絡本身是沒有任何的責任的,這個過程還是網絡使用主體的問題。要想促進網絡管理的安全,就要促進網絡文化的發展和健全。
2.1 密碼技術
對于網絡的安全管理技術來講,密碼技術是比較普遍的一種技術。基于密碼學的基本原理基礎上,所開發建立的密碼體制,本質上就是通過定義一對數據的變換所實現的。當前比較典型的是對稱密碼體制,其特征就是用戶加密和解密的密匙是一樣的,或者是兩者之間非常容易推出。對稱密碼可以分為序列密碼和分組密碼,比較典型的就是DES。
當前,隨著密碼技術的成熟,大量的黑客都喜歡利用密碼的規律和算法上的漏洞對網絡進行攻擊。當前,比較流行的算法有SSL算法(一種基于web的安全傳輸協議),IETF算法(將SSL標準化之后的算法)以及WTLS算法(一種適應無線環境要求下的,WAP環境TLS算法簡化)。對于采用密碼進行等級保護的,應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。
2.2 入侵檢測技術
入侵檢測技術是一個比較新興的安全管理技術。其可以有效的彌補傳統防火墻技術的缺點,能夠有效的抵御網絡內部的攻擊,可以提供實時的入侵檢測和相對應的手段。入侵檢測技術的主要功能就是對網上的用戶和計算機系統自身的行為實行分開檢測,對于系統本身的安全性能,包括漏洞和配置進行一定的分析,對系統自身的安全性進行審計和評估。同時,能夠對于已知的攻擊行為和模式進行自動化的記憶和識別。對于計算機終端的客戶行為和所連接的計算機系統異常行為可以進行統計和分析。對于計算機的操作系統可以進行持續的檢測和跟蹤。我們根據入侵檢測系統的范圍,可以分為主機型、網絡型和型三種基本的方式。當前,隨著IDS技術的不斷完善,IPS系統也日趨完善起來。在IDS檢測技術的功能上增加了主動響應功能。以串聯的方式部署網絡,其流程如下圖1所示:
2.3 陷阱網絡技術
相對于密碼體制和入侵檢測技術來講,陷阱網絡技術是比較新興的技術。隨著網絡攻擊技術的不斷發展,網絡的安全防護一直以來都處在一種被動的防御地位。針對這樣的形式,人們開發了一種主動防御的網絡安全防護技術,也就是我們所說的陷阱網絡技術。
陷阱網絡技術是基于網絡自身的開放性而言的假定網絡上的每一臺主機都可能被攻擊,同時,對于那些帶有某種特定資源的系統所遭受攻擊的概率會進行計算。這樣的話,就能夠提前布設相關的陷阱,從而有可能成功的將入侵者帶入到一個受控環境中,降低正常系統受到攻擊的概率和損失的程度。具體來講依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》進行規定。
3 結束語
我們要對網絡的虛擬化現狀有所了解,在網絡極大的拓寬了人們的社會交往的基礎上,也成為了一個社會性的存在。但是其本身也有異化的一個方面。網絡文化的自由程度極其高,這就是異化的一個重要體現。人們社會在本質上是真實體現的,在這個過程中人本身的感性力量發揮了重要的作用。但是文明的基礎永遠不是網絡的虛擬存在,而是人本身的個性張揚所帶來的生命力量。
參考文獻:
[1]樊夢.網絡文化建設視角下的網絡安全管理探析[J].網絡安全技術與應用,2012(03).
[2]魏友蘇.議網絡文化發展問題與管理思路[J].東南大學學報(哲學社會科學版),2008(S1).
[3]陳垠亭.加強校園網絡文化建設主動占領網絡思想政治教育新陣地[J].河南教育(高校版),2007(11).
[4]王淑慧,劉麗萍.網絡文化安全對信息化教育系統的重要性分析[J].信息與電腦(理論版),2011(04).
[5]姚偉鈞.彭桂芳,構建網絡文化安全的理論思考[J].華中師范大學學報(人文社會科學版),2010(03).
篇3
Hospital Network Security and Management
Gao Fang
( Yan'an People's Hospital of Shaanxi Province ShanxiYan'an 716099)
【 Abstract 】 the hospital because of development needs to undertake informatization construction, but after the construction must face various problems of network security, this paper mainly discusses the hospital network security and management.
【 Keywords 】 hospital; network security; management
0 引言
隨著信息技術的不斷進步,網絡已經成為了人們進行信息傳播的重要工具之一。隨著信息技術優越性的體現,信息化建設已經逐漸被推動到一個新的高度,這也就推動了網絡建設的發展。醫院是重要的學術研究基地和治病救人的專業機構,為了自身發展的需要,對信息化建設的需求較高,而且信息化建設的程度也較高,這為醫院的發展有著十分重要的作用。但是因為在信息化建設的過程中缺乏充足的技術力量以及其他方面的原因,使得醫院現有的網絡安全狀況并不是很令人滿意,這就提出了如何加強醫院網絡安全管理的問題。
1 當前醫院網絡所面臨的主要安全威脅
因為醫院的特殊性,當醫院信息系統在通過測試正式投入使用后,就必須要24小時不間斷地進行運行,但是這個過程中必須要面對的問題就是各種網絡安全威脅,當這些安全威脅一旦爆發出來就會對醫院的網絡與信息系統產生影響,嚴重的就會導致網絡和信息系統無法正常運轉。當醫院的網絡和信息系統出現癱瘓,那么不僅僅是帶來各種經濟上的損失,最嚴重的是有可能會對醫院的聲譽帶來影響。
醫院網絡系統所面臨的安全威脅主要有兩類:一類是對網絡中的數據與信息產生的威脅;另一類是對各種硬件設備所帶來的威脅。
1.1 網絡傳輸以及網絡設備所面臨的安全威脅
醫院在開始信息化建設時,并沒有能夠考慮到今后網絡以及通信技術發展的速度以及發展的方向,這就使得其建設肯定會存在著一些缺陷,雖然在當時并沒有問題。例如在進行網絡線路的鋪設時沒有能夠考慮到今后的擴展;在增加網點時十分隨意,沒有對整體的網絡結構進行考慮,網絡的傳輸效率不高;同時隨著時間的推移,很多網絡設備都不同程度的老化,并且可靠性也不強,與新設備的兼容性也不好;設備的備份不到位,如果出現故障容易造成大范圍的癱瘓。
1.2 計算機病毒的威脅
計算機病毒是對醫院網絡所面臨的威脅中較為重要的一種威脅。它不僅僅能夠消耗網絡與主機資源,嚴重的會對數據以及硬件造成不可逆的損害,其所造成的損失也就難以估量。現在病毒傳播的途徑主要有幾種。
通過各種可移動存儲媒介進行傳播,例如U盤、光盤等。如今基本已經不再使用軟盤,U盤的使用則十分的廣泛,因此U盤往往也是很多計算機病毒傳播的主要途徑。還有一些盜版的光盤,其上面的軟件或者是游戲也有可能會含有病毒。隨著各種大容量可移動存儲設備的廣泛使用,這些存儲設備成為了各種計算機病毒進行寄生的主要場所。但是這些大容量的可移動存儲設備為用戶帶來了很多方便,這就使得用戶需要經常使用,而且很多用戶在使用時并沒有考慮到其安全性,這就為病毒通過這些可移動設備進行傳播提供了途徑,進而為計算機用戶的數據安全與網絡安全帶來了十分嚴重的威脅。
通過數據的共享與計算機之間的相互協作來進行傳播。醫院內的計算機基本都是屬于一個局域網內,或者是通過虛擬網技術劃分為多個內網,但是每一臺計算機都會與其他的計算機相連接,并且很多計算機都在進行數據的共享。在這種情況下如果是有一臺計算機的數據感染了病毒,那么其他與其相連并進行數據共享的計算機就容易感染病毒,進而繼續傳播,最后感染整個醫院網絡中的計算機。局域網技術雖然十分好用,但是也為計算機病毒的傳播提供了途徑。
2 提高醫院網絡安全性的方法和措施
2.1 對當前的醫院網絡進行科學規劃與改造
在當前,基本上每一家醫院中的網絡設備都是通過一個核心交換機來進行數據的交換處理的,如果這個交換機出現故障,那么就會整個醫院的網絡都陷入到癱瘓之中。因此為了能提高安全性,在進行網絡布線時以及核心層的交換機都需要考慮冗余模式的建立,對于匯聚層的交換機以及接入層的交換機都可以考慮備用機的購置。這樣當核心機或者是匯聚層與接入層的交換機出現問題時,就能夠通過備用的來進行更換,保證醫院的網絡不會出現癱瘓狀態。
2.2 劃分出科學合理的VLAN
提高網絡安全的一項重要措施就是劃分VLAN,特別是對于醫院來說這更是一項經濟實惠的措施。通過交換機所基本的VLAN功能能夠局域網內的各種設備從邏輯上進行劃分,這樣有助于提高網絡的傳播效率提高帶寬的使用效率,同時還能夠防止廣播風暴的產生。通過VLAN的劃分有助于提高網絡的安全性,并且通過訪問權限的設定,能夠使得網絡的管理更加的方便。醫院中可以根據具體的職能來將網段分為門診、住院和機關三個子網。
2.3 注重對計算機病毒的預防
通常來說,如果是新型的計算機病毒,那么很多時候殺毒軟件也無能為力,因此應該要以預防為主。當然對計算機病毒的預防通常是以殺毒軟件與防火墻為主要基礎。對于內部的局域網需要將醫療網絡系統與外部網絡系統從物理上進行分割,并要將醫療系統的所有對外的借口都進行封閉,防止各種來自外部的網絡安全威脅。注重對U盤的使用,對于出現病毒的科室必須要進行重點檢查,如果有違規使用U盤或者是其他可移動存儲媒介的科室,必須要進行嚴肅處理。
2.4 加強內部管理
在醫院中有很多人都沒有信息安全的意識,這就為醫院的網絡安全造成了嚴重的隱患。因此必須要從內部加強管理。必須要禁止隨意使用U盤或者是其他的可移動存儲設備,如有需要必須要經過審批并進行安全性檢查。禁止通過網絡進行數據共享,特別是完全共享。需要制定計算機的檢查制度,定期進行檢查,及時的發現并解決問題。向醫院的內部人員普及各種網絡安全知識。
3 結束語
總之,醫院要加強現代化建設就不可能離開信息化建設,進而離不開電腦網絡,因此我們醫院網絡管理工作人員就必須要做好好醫院的網絡軟硬件維護管理這項工作,為醫院的發展提供一個良好的網絡環境,使之能夠保證醫院各業務的有條不紊的運行,為醫院的發展貢獻自己的力量。
參考文獻
[1] 孫平波.基于醫院的網絡安全解決方案[J].電腦知識與技術,2009,(06).
[2] 張真真.大型醫院網絡安全防護體系的架構[J].現代醫院管理,2008,(06).
篇4
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2007)15-30686-02
Management is More Important than Technology for Network Security
NING Meng-li1, MA Zhan-bao2
(1.Shanxi Tourism Vocational College,Taiyuan 030031, China; 2.Henan Communication Vocational Technical College,Zhengzhou 450005, China)
Abstract:Based on the current network security condition, through to each kind of network security threat analysis, introduces the realization of technical on the network security initiative defense system. It proposes the solution measure that management is more important than technology based on the analysis of the situation on the current network security management.
Key words:Network threats; Technology; Management; Legal
1 引言
隨著計算機網絡的普及和應用,網絡對人們工作和生活的重要性越來越明顯。全世界正對這個海量的信息庫進行不斷的挖掘和利用,人們在獲取有用信息和利益的同時,也面臨著各種各樣的威脅。以高科技為特征的網絡安全威脅帶來的損害與人們對網絡的依賴程度成正比,因此網絡安全關系到國計民生,需要全社會的重視。
網絡安全威脅來自多種渠道,內部的或外部的、惡意的或無意的。根據互聯網信息中心(2006年)報告顯示,在經濟利益驅動下的網絡安全事件更加隱蔽、復雜和頻繁,涉及政府機構和信息系統部門的網絡纂改、網絡仿冒以及針對互聯網企業的DDoS等事件,而其中利用漏洞攻擊是網絡系統安全威脅的最重要根源,目前黑客利用木馬和僵尸網絡攻擊獲取經濟利益已經成為發展趨勢。各種攻擊方法相互融合,除了代碼和數據流攻擊外,還包括信息滲透、破壞機密資料以及人工物理接觸攻擊等。從整體上來說,網絡都存在著被人忽視的管理漏洞,而攻擊的定向性和專業性使網絡安全防御更加困難。
2 安全威脅
2.1 惡意軟件
惡意軟件是指未明確提示用戶或未經用戶許可,在用戶計算機或其他終端上安裝運行,侵害用戶合法權益的軟件,但不包含計算機病毒。它處于合法商業軟件和計算機病毒之間,表面有一定使用價值,但其隱蔽性、對抗性的、惡意性的特點給用戶帶來各種危害,包括常見的廣告軟件、間諜軟件、瀏覽器劫持、惡意共享軟件、行為記錄軟件以及網絡釣魚等。這些惡意軟件輕則頻繁彈出,影響電腦運行速度,重則竊取用戶重要數據及隱秘資料用作其他商業利益。由于網絡所具有的易隱蔽、技術性強和無地理界限性的空間特點,已經成為惡意軟件爭奪利益的市場,而最終受害的是網絡使用者。
2.2 泛濫且變化的病毒
病毒是能自行執行、自我復制的程序代碼或指令,具有很強的感染性、破壞性和隱蔽性。蠕蟲是一種惡性病毒,一般通過網絡傳播。它具有病毒的一些共性,同時具有自己的特征,不依賴文件寄生,通常利用系統漏洞進行傳播,而目前二者界限越來越模糊,且相互融合進行傳播破壞,如熊貓燒香病毒等。
2.3 有缺陷的軟硬件和網絡
根據計算機系統安全的分級標準,計算機安全性能由高到低分為A、B、C、D四大等級,其中A級最高,理論上安全級別越高,系統也就越安全,但是系統本身所具有的或設置上存在的某些缺陷,在某些條件下被某些人故意利用,就成為系統安全方面的漏洞,有軟硬件方面、網絡協議方面、管理上和人為方面等。
計算機操作系統在本身結構設計和代碼設計時偏重考慮使用的方便性,但功能又相對的復雜和全面,從而導致系統在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞。隨著版本改進,新增加的功能又帶來新的漏洞。如:UNIX OS建立于60年代,由于其源代碼的開放性,從而開發出不同版本的UNIX OS和應用程序,但其協作方式松散,框架沒有經過嚴密論證。源代碼公開的特性使開發人員及軟件愛好者能發現漏洞,促使其不斷完善本系統,同時也使某些人有足夠條件分析軟件中可能存在的漏洞,由于補丁往往滯后于漏洞,因而補了舊的又產生新的漏洞。
互聯網的基礎是TCP/IP,TCP/IP是一個工業標準的協議,在協議制定之初,由于沒有預料到網絡發展如此之快,對安全問題考慮不周,而本身開放的特性,從而成了網絡攻擊的主要途徑。同樣網絡中的各種結點也存在漏洞問題,Router是網絡互聯中最繁重的轉發和指揮樞紐,功能強大而復雜,以目前技術而言,不可能完全避免漏洞,如Cisco產品就有幾十種漏洞。
由于經驗的缺乏和錯誤的理論,硬件系統和應用程序的錯誤配置也會成為安全隱患,這種隱患目前是許多部門網絡普遍存在的現象。
2.4 單薄的制度和法律
法律對網絡調整是一個不可忽略的因素。法律具有相對穩定性,而計算機與網絡技術是不斷發展的,同時病毒與漏洞也在不斷變化,也就是再完備的法律也無法適應變化的網絡需要。因為一方面,法律進行的程序難以適應網絡的特點,例如取證困難等;另一方面根據目前網絡的發展情況,缺乏有針對性的法律依據。
惡意代碼的傳播方式在不斷演化,病毒流行的速度越來越快、變種周期越來越短,日益增加的網絡、軟硬件漏洞正被越來越多的惡意軟件和病毒所利用,而法律和制度的相對滯后性及不完備性,使網絡正成為一個高風險的安全薄弱的高技術領域。
3 安全管理
安全問題來自不同軟、硬件設備,不同設備構成的不同系統之間,以及系統的不同設置條件等。隨著使用時間推移,網絡系統中存在的安全問題不斷被暴露,因此安全問題是一個動態的不斷變化和發展的問題。
網絡安全是一個綜合概念,也是一項比較復雜的系統工程,不是單一的某個安全產品或把各種安全技術的簡單疊加就能夠實現的網絡安全。根據“木桶理論”,木桶容積取決于最短的木板,因此網絡安全要求把各種技術、管理有機結合,各部分之間應相互協調,相互補充。
3.1 技術方面
根據網絡變化和發展趨勢,應該重視主動型、動態型的防御體系,通過制定嚴密的安全策略,運用新技術、新觀點和新產品構建一個安全的網絡保障體系。在整體的安全策略控制和指導下,在綜合運用各種防護技術(包括使用防火墻技術、認證技術、加密技術等)的同時,利用檢測技術(入侵檢測技術、漏洞掃描技術等),安裝殺毒軟件、進行容災備份等,組成一個策略、防護、監測和響應四部分的抵抗網絡威脅的體系結構,將系統調整到最高安全級別和風險最低狀態。
策略是可根據不同安全級別的資產制定不同的合理保護措施,根據2006年公安部對計算機安全產品進行質量監督中發現,各種安全產品都有自己的優缺點:
目前國內的防火墻產品實現技術多采用數據包過濾技術,且開發都是基于開放源代碼的操作系統為主。審計監測產品大部分是國內產品,一般用agent(引擎,在遠端主機上安裝)/console(控制臺)結構,技術上沒有太大的創新,且審計不夠全面和完善,但是比較注重專業化的應用。入侵監測產品目前以硬件為多,IDS(入侵監測產品)是將下載的數據包與自建或默認的攻擊規則庫進行對比,屬于被動式反應技術;隨著主動防御需求的日益增加,IPS(入侵防御系統)除了具有IDS的功能外,還能在檢測到攻擊后采取行動阻止攻擊,但技術上國內產品稍有欠缺。現在社會對網絡系統的依賴程度越來越深,但天災人禍難免,重要部門對系統、信息進行容災備份勢在必行,由于資金、規劃和認識方面的原因,至今能夠實現的還是很少。
3.2 安全管理
管理重于技術,這是最重要也是目前最容易起到效果和達到長久有效的安全措施,在網絡安全的管理上是一個持續發展的行為,可以從以下幾個方面考慮:
3.2.1 完善法律體系
目前我們好多網絡系統的安全預防能力處于初級階段,許多應用系統除了安裝殺毒軟件外幾乎不設防,法律制裁更是存在許多空白。因此,加快網絡安全的立法速度,建立完善的網絡安全法制體系刻不容緩,包括專業化的司法、執法程序和司法、執法人員,以及國家、組織和公民在使用網絡資源及保護網絡安全方面的權利和義務,在違反時應當承擔的法律責任和接受的法律懲罰,以便做到網絡安全管理的有法可依。
3.2.2 樹立治理途徑的多元化
在立法的同時,從國家長遠發展的高度對網絡安全提出要求,并提供理論指導性和政策性的文件,把網絡安全作為一項關乎國計民生大事來落實,作為任務來完成。首先建立以國家部門為主導的聯動機制,發揮國家有關部門的強制作用,通過政府機關、法律部門、非政府組織及一些有影響的組織和個人協同工作,制定相關政策,進行信息共享、制度整合、措施聯動,從組織上、法律上、行政措施上形成完善的管理機制。同時加強與應急組織、網絡運營商和網絡服務提供商的聯系與合作,提供技術保障。
3.2.3 加強網絡市場監管力度
管理部門應該引導網絡市場,樹立正確商業意識,提高軟件的網絡準入制度。通過健全網絡市場環境,建立網絡市場規則體系逐步引導和規范網絡行為。
3.2.4 提高使用者的安全意識
網絡安全威脅來自多種渠道,根據研究發現來自內部的威脅影響更嚴重,由于內部用戶相對于外部用戶來說,有更好的條件了解網絡結構、防護措施、部署情況、服務運行模式以及訪問內部網絡,若內部用戶實施攻擊或誤操作,則造成的損失會更大。因此應該加強網絡使用者的指導和培訓,進行安全教育,提高網絡與軟件用戶的安全意識與技術識別能力,以便實現自我保護。
3.2.5 進行技術合作和專業人才培養
提高網絡安全保障能力,需要網絡安全領域的商家和學術機構緊密合作,提供可信的軟件和優質的服務,因而需要有較高技術水平的專業隊伍來解決問題,因此重視對專業人員進行專門培訓,并形成指導文件,成為一個嚴謹的詳細的培訓體系。相關部門和組織應技術合作,如實現軟件安全工程和軟件功能可信性等,在技術上封殺、圍堵網絡攻擊和惡意軟件的入侵途徑,共同為用戶創造一個可信賴的計算機網絡環境。
4 總結
網絡安全是一個不斷發展和變化的研究課題,伴隨著安全威脅事件的發生網絡管理也在不斷的完善和發展,相信隨著技術的發展和法律法規的健全,在更具有前瞻性的管理思維模式下,網絡會得到更好的發展。
參考資料:
[1] 蔣建春. 信息安全技術的8個發展趨勢[J]. 計算機世界,2007.4.
篇5
1、引言
Web起源于1991年,伯納斯-李制作了一個網絡工作所必須的所有工具:第一個萬維網瀏覽器和第一個網頁服務器,標志著因特網上萬維網公共服務的首次亮相。
Web是圖形化的和易于導航的,它非常流行的一個很重要的原因就在于它可以在一頁上同時顯示色彩豐富的圖形和文本的性能。Web可以提供將圖形、音頻、視頻信息集合于一體的特性。同時,Web是非常易于導航的,只需要從一個連接跳到另一個連接,就可以在各頁各站點之間進行瀏覽了。基于Web的優勢,以及計算機網絡和通信技術的迅猛發展,Web網絡技術倍受青睞,廣泛應用于各個行業,Web網絡的管理與安全防御也凸顯其重要地位。下面,將對Web網絡的管理及其安全防御技術進行一些表述和探討。
2、網絡管理的作用及發展趨勢
2.1、網絡管理的作用
網絡的作用在于實現信息的傳播與共享。為了確保正確、高效和安全的通信,我們必須對網絡的運行狀態進行監測和控制,進而提出了網絡管理的概念。
網絡管理是指對網絡的運行狀態進行監測和控制,使其能夠有效、可靠、安全、經濟地提供服務。網絡管理包含兩個任務,一是對網絡的運行狀態進行監測,二是對網絡的運行狀態進行控制。通過監測可以了解當前狀態是否正常,是否存在瓶頸和潛在的危機;通過控制可以對網絡狀態進行合理調節或配置,提高性能,保證服務。
2.2、網絡管理的發展趨勢
網絡管理的根本目標是滿足運營商及用戶對網絡的有效性、可靠性、開放性、綜合性、安全性和經濟性的要求。隨著網絡互連技術的飛速發展,網絡管理技術自身也在不斷發展。目前計算機網絡管理技術的發展主要表現在以下三方面:
(一)網絡管理集成化:允許用戶從單一平臺管理各種協議的多種網絡,通過一個操作平臺實現對多個互連的異構網絡的管理。基于WEB的網絡管理模式融合了WEB功能和網絡管理技術,允許網絡管理人員通過與WWW同樣形式去監視網絡系統,通過使用WEB瀏覽器,管理人員在網絡的任何節點上都可以方便配置、控制及訪問網絡,這種新的網絡管理模式同時還可以解決異構平臺產生的互操作問題。基于WEB的網絡管理提供比傳統網管界面更直接,更易于使用的界面,降低了對網絡管理操作和維護人員的要求。
(二)網絡管理的智能化:采用人工智能技術進行自動維護、診斷、排除故障以及維持網絡運行在最佳狀態,如處理不確定問題、協同工作、適應系統變化并能通過解釋和推理對網絡實施管理和控制。現代網絡管理正朝著網管智能化方向發展。智能化網絡有能力綜合解釋底層信息,對網絡進行管理和控制。同時,智能化網管能夠根據已有的不很完全、不很精確的信息對網絡的狀態做出判斷。
(三)網絡管理層次化。隨著網絡規模的擴大,SNMP管理機制的弱點被充分暴露出來。SNMP是一種平面型網管架構,管理者容易成為瓶頸。傳輸大量的原始數據既浪費帶寬,又消耗管理者大量的CPU時間,使網管效率降低。解決這個問題,可以在管理者與之間增加中間管理者,實現分層管理,將集中式的網管架構改變為層次化的網管架構。
3、Web網絡的安全防御
每個Web站點都有一個安全策略,這些策略因需而異,必須根據實際需要和目標來設置安全系統,估計和分析風險。在制定安全策略之前,首先要做威脅分析,其中包括:有多少外部入口點存在;威脅是否來自網絡內部;威脅是否來自工業間諜;入侵者將訪問哪些數據庫、表、目錄或信息;威脅是網絡內部的非授權使用還是移動數據;數據被破壞還是遭受攻擊,或是網絡內外非授權的訪問、地址欺騙、IP欺騙、協議欺騙等。根據威脅程度的大小做相應的評價分析,以作為設計網絡安全系統的基本依據。
3.1、Web服務器的安全特性
Web服務器是整個網絡的關鍵,它的安全性則成為重中之重。首先,分析用戶與站點聯接時會發生哪些事件和動作。每次用戶與站點建立聯接,其客戶機會向服務器傳送機器的IP地址、有時,Web站點接到的IP地址可能不是客戶的地址,而是它們請求所經過的服務器地址。服務器看到的是代表客戶索要文檔的服務器的地址。由于使用HTTP協議,客戶也可以向Web服務器表明發出請求的用戶名。
如果不要求服務器獲得消息,服務首先會將IP地址轉換為客戶的域名。為了將IP地址轉化為域名,服務器與一個域名服務器聯系,向其提供這個IP地址,并獲得相應的域名。通常,如果IP地址設置不正確,就不能轉換。一旦Web服務器獲得IP地址和客戶可能的域名,它就開始一系列的驗證手段以決定客戶是否有所要求的訪問文檔。這就存在一定的安全漏洞:客戶可能永遠得不到要求的信息,因為服務器偽造了域名,客戶可能無法獲得授權訪問信息,服務器可能向另一用戶發送信息;誤認闖入者為合法用戶,服務器允許其進入訪問,Web服務器的安全也將會受到威脅。
3.2、監視控制Web站點出入情況
為了防止和追蹤黑客闖入和內部濫用,需要對Web站點上的出入情況進行監視控制。可以借助一些工具提供幫助,如,假定Web服務器置于防火墻之后,可將一種Web統計軟件“Wusage”裝在服務器上,監控通過服務器的信息情況,這一工具可以列出被訪問次數最多的站點及站點上來往最頻繁的用戶。為了加強安全性,必須監控出入站點的情況、訪問請求及命中次數,這樣可以更好的顯示站點的狀態。
3.3、Web網絡的防御措施
為了確保Web服務的安全,通常采用以下幾種技術措施:
在現有的網絡上安裝防火墻,對需要保護的資源建立隔離區;
對機密敏感的信息進行加密存儲和傳輸;
在現有網絡協議的基礎上,為C/S通信雙方提供身份認證并通過加密手段建立秘密通道;
對沒有安全保證的軟件實施數字簽名,提供審計、追蹤手段,確保一旦出現問題可立即根據審計日志進行追查等。
其中,防火墻是位于內部網絡與因特網之間的計算機或網絡設備中的一個功能模塊,是按照一定的安全策略建立起來的硬件和軟件的有機結合體,其目的是為內部網絡或主機提供安全保護,控制可以從外表訪問內部受保護的對象。按運行機制可以分為包過濾和兩種。
包過濾主要是針對特定地址主機提供的服務,其基本原理是在網絡傳輸的TCP層截獲IP包,查找出IP包的源和目的地址及端口號,還有包頭中的其他信息,并根據一定的過濾原則,確定是否對此包進行轉發。
在應用層實現,其基本原理是對Web服務單獨構造一個程序,它不允許客戶程序與服務器程序直接交互,必須通過雙方程序才能進行信息的交互;還可以在程序中實現其他的安全控制措施,如用戶認證和報文加密等,從而達到更高的安全性能。
參考文獻:
篇6
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)14-0086-02
互聯網技術高速發展,在顯著提高了人們的生活質量的同時,正逐步改變著人們的生活方式。與此同時,互聯網安全問題也日益凸顯,成為影響用戶體驗的主要因素受到各界人士的廣泛關且已達成普遍的共識。信息資源的安全防范涉及到硬件和軟件兩方面內容,因此應采取系統性的保障措施,防止信息傳遞過程中泄露、破壞和更改,保證網絡系統正常、安全、穩定的運行。
1 信息安全管理存在的問題
1.1 操作系統漏洞
計算機軟件系統中操作系統是最基本、最重要的系統,為用戶正常使用計算機或安裝其他程序提供可運行的平臺。另外,操作系統還具備對計算機資源的管理功能,例如,可以通過相應的操作查看計算硬件和相關軟件存在的問題并對其進行管理。管理過程中會涉及系統某個模塊或程序的安全運行問題,這些模塊如果存在一些缺陷可能造成整個系統崩潰,影響計算機的正常使用。操作系統對信息傳輸、程序加載提供支持,尤其通過ftp傳輸的某些文件。這些文件中如果包含可執行文件也會帶來不安全因素。眾所周知,這些文件都是程序員編寫而成其中難免出現較多漏洞,這些漏洞不但會威脅計算機資源的安全,而且還可能引起整個操作系統的崩潰。本質上來看計算機操作系統出現問題的原因在于其允許用戶創建進程,能夠對其進行遠程激活,一旦被不法分子利用創建一些非法進程就能實現對計算機的控制威脅計算機安全。同時計算機還能通過操作系統實現對遠程硬、軟件的調用,在互聯網上傳遞調用信息是會經過很多網絡節點,這些網絡節點被別人竊聽就會造成相關信息的泄露,帶來巨大的經濟損失。
1.2 網絡開放性存在的漏洞
開放性是計算機網絡的顯著特點,該特點在促進網絡技術快速發展的同時,也給網絡安全帶來較大安全隱患。首先,互聯網的開放性使接入網絡的門檻降低,不同地區的不同人群紛紛接入網絡,他們相互交流互聯網的學術問題,不斷提出新的思想和方法,為互聯網技術的發展奠定堅實的基礎。其次,接入的這些用戶難免存在圖謀不軌的人,他們中的多數人要么為某個非法組織效力,要么為了炫耀網絡技術,進而對互聯網進行攻擊,這些攻擊有的是針對計算機軟件漏洞發起攻擊行為,有的對網絡層中的傳輸協議進行攻擊。從發起攻擊的范圍來看,大多數網路攻擊來源于本地用戶,部分來源于其它國家,尤其發生在國家之間的攻擊案例屢見不鮮,這些攻擊者擁有較強的網絡技能,進行的攻擊行為往往會給某個國家帶來嚴重的損失。因此,互聯網安全問題是世界性的問題,應引起人們的高度重視。
2 網絡安全技術介紹
2.1 入侵檢測
入侵檢測指通過收集審計數據,分析安全日志和網絡行為,判斷計算機系統中是否出現被攻擊或者違法安全策略行為。入侵檢測能夠使系統在入侵之前進行攔截,因此是一種積極主動的安全防御技術,被人們稱為除防火墻外的第一道安全防護閘門。入侵檢測的優點不僅體現在保護計算機安全上,還體現在入侵檢測時不會對網絡性能產生影響上。檢測入侵能夠時時監控來自外部攻擊、內部攻擊行為,提高計算機資源的安全系數。目前來看計算機檢測入侵主要分為混合入侵檢測、基于主機和網絡入侵檢測三種,在保障網絡安全運行中基于網絡入侵檢測技術應用較為廣泛。
2.2 可視化
在入侵檢測、防火墻以及漏洞掃描的基礎上,為了提高網絡安全的可視操作延伸出了網絡安全可視化技術,該技術可以說是上述安全技術的補充。網絡安全可視化技術將網絡中的系統數據和較為抽象的網絡結構以圖像化的形式展現在人們面前,并能時時反映網絡中出現的特殊信息,監控整個網絡的運行狀態,最終較為人性的提示用戶網絡中可能存在的安全風險,為網絡安全技術員分析網絡潛在的安全問題提供便利。網絡安全技術人員利用高維信息展開網絡具體狀況,從而能夠及時有效的發現網絡入侵行為,并對網絡安全事件的未來發展趨勢進行估計和評定,以此采取針對性措施進行處理,保證網絡安全防護更為便捷、智能和有效。
2.3 防火墻
防火墻是人們較為熟悉的網絡安全防范技術,是一種根據事先定義好的安全規則,對內外網之間的通信行為進行強制性檢查的防范措施,其主要作用是隱藏內部網絡結構,加強內外網通信之間的訪問控制。即根據實際情況設定外網訪問權限限制不符合訪問規則的行為,從而防止外網非法行為的入侵,保證內部網絡資源的安全。同時規范內網之間的訪問行為進一步提高網絡資源的安全級別。目前防火墻主要包含網絡層防火墻和應用層防火墻兩種類型,其中可將網絡層防火墻看做是IP封包過濾器,在底層的TCP/IP協議上運作。網絡管理員設置時可以只允許符合要求的封包通過,剩余的禁止穿過防火墻,不過注意一點防火墻并不能防止病毒的入侵。另外,網絡管理員也可以用較為寬松的角度設置防火墻,例如只要封裝包不符合任一“否定規則”就允許通過,目前很多網絡設備已實現內置防火墻功能;應用層防火墻主要在TCP/IP堆棧上的“應用層”上運作,一般通過瀏覽器或使用FTP上傳數據產生的數據流就屬于這一層。應用層防火墻可以攔截所有進出某應用程序的封包,通常情況將封包直接丟棄以達到攔截的目的。理論上來講這種防火墻能夠防止所有外界數據流入侵到受保護的機器中。
2.4 漏洞掃描
漏洞掃描通過漏洞掃描程序對本地主機或遠程設備進行安全掃描,從而及時發現系統中存在的安全漏洞,通過打補丁等方式保證系統的安全。工作過程中漏洞掃描程序通過掃描TCP/IP相關服務端口監控主機系統,并通過模擬網絡攻擊記錄目標主機的響應情況從而收集有用的數據信息,通過漏洞掃描能夠及時的發現和掌握計算機網絡系統存在安全漏洞,以此準確反映網絡運行的安全狀況,為網絡安全的審計創造良好的條件。從而能夠根據反饋的信息制定有效的應對措,例如下載相關的漏洞補丁或優化系統等及時的修補漏洞,減少有漏洞引起的網絡安全風險。
2.5 數據加密
數據加密是現在常用的安全技術即通過一定的規則將明文進行重新編碼,翻譯成別人無法識別的數據,當編碼后的數據傳輸過程中即便被不法人員截獲,但是沒有密鑰就不能破解加密后的信息,就無法知道信息的具體內容。數據加密技術主要應用在信息和動態數據的保護上,在當今電子商務發展迅速的時代,該項技術應用較為廣闊。數據加密系統主要有密鑰集合、明文集合、密文集合以及相關的加密算法構成,其中算法和數據是數據加密系統基本組成元素,算法主要有相關的計算法則和一些公式組成,它是實現數據加密的核心部分。密鑰則可看做算法的相關參數。數據加密技術的應用確保了數據在互聯網開放環境中的安全,它既不違背互聯網開放性特點,又保證了信息傳遞的安全性。
3 加強網絡信息資源管理措施
3.1 注重管理人員業務技能的提升
網絡信息資源管理面臨的最大威脅是人為攻擊,其中黑客攻擊就是人為攻擊的一種。目前可將網絡信息資源的攻擊行為分為主動攻擊和被動攻擊兩種,其中主動攻擊指利用非法手段破壞傳輸信息的完整性,即更改截獲來的數據包中的相關內容,以此達到誤導接收者的目的,或者進入系統占用大量系統資源,使系統不能提供正常的服務影響合法用戶的正常使用。被動攻擊在不影響數據信息傳遞的前提下,截取、破解傳遞的信息,這種攻擊手段通常不容易被人發覺,容易造成較大經濟損失。因此,針對這種情況應定期舉行相關的技術培訓,提高管理人員的專業技能水平,加強安全網絡的監測力度,并針對不同的攻擊方式制定有效的防御措施,同時在總結之前常見的網絡攻擊手段的研究,加強與國外先進技術的交流合作,共同探討防止網絡攻擊的新技術、新思路。
3.2 加強計算機軟件、硬件管理
軟件管理在保證網絡資源安全方面起著至關重要的作用,因此平時應注重軟件的管理。威脅軟件安全的主要因素是計算機病毒,所以管理員應定期利用殺毒軟件查殺病毒,并注重更新下載相關的補丁及時修補軟件漏洞。
加強計算機硬件管理應從兩方面入手,首先應為計算機的運行創造良好的外部環境,尤其應注重防火、防潮等工作,從而降低硬件損壞給網絡帶來的影響;其次,制定嚴格的管理制度,未經管理員允許不能打開機箱更換硬件,同時平時還應注重對硬件性能的檢測,發現問題應及時通知管理員進行排除。
4 總結
網絡為人們提供了新的信息共享方式,同時其安全性也面臨著嚴峻的考驗,面對當前互聯網安全存在的問題我國應加強這方面的技術研究,采用多種網絡安全技術保證信息傳遞的安全性。同時國家相關部門應制定詳細的法律法規,嚴厲打擊網絡攻擊和犯罪行為,以此營造良好的互聯網運營秩序。
參考文獻
[1]張泉龍.對網絡安全技術管理的探討[J].科技資訊,2011(18).
[2]王賢秋.淺議計算機網絡的信息資源管理[J].內江科技,2009(07).
篇7
1網絡信息資源的安全管理之中存在的問題
1.1操作系統中存在的漏洞
計算機擁有龐大的軟件系統,但是其中最基本也最重要的系統就是計算機的操作系統。操作系統是提供一個用戶正常使用計算機或者對其他程序進行安裝的一個可以運行的平臺。并且,操作系統還能夠對計算機之中儲存的資源進行管理。例如,對于計算機的硬件和軟件之中存在的問題,利用一定的操作就能夠輕松的進行查看和管理。在這個過程之中,就有可能會涉及到一個模塊或者程序的安全問題。如果這些程序之中,存在著一些問題,但沒有被發現和及時解決的化,可能就會造成計算機的整個系統崩潰,從而影響用戶對計算機的正常使用。信息的傳輸、程序的加載等功能都能通過操作系統進行實現,尤其是通過ftp傳輸一些特殊的文件。而當這些特殊文件之中包括了一些可執行的文件,對于計算機也會造成不安全的影響。這些ftp文件,大都是由程序員編寫出來的,在編寫的過程之中可能會出現很多的漏洞,這些漏洞就會造成計算機資源的安全威脅,甚至引起系統的崩潰。計算機操作系統的不安全因素出現的原因,主要是操作系統會允許用戶在計算機上創建一定的進程,并且能夠對其進行遠程激活。這種手段一旦被一些不法分子所利用,就有可能造成計算機被遠程控制的威脅,也就是俗稱的被“黑”。操作系統還能夠實現對計算機的遠程硬件和軟件調用,從而通過網絡節點流失很多相關的信息,從而帶來一定的損失和安全威脅。
1.2網絡開放性存在的問題
計算機最顯著的特點就是其具有開放性,這是互聯網技術發展的必然趨勢,但是這種趨勢卻會給網絡的安全帶來比較大的隱患。首先,由于網絡開放性的存在,就使得網絡接入的門檻比較低,來自不同地區,不同身份的人都能夠接入網絡來交流一些信息或者問題。因此,在這些接入的人群之中,很有可能會存在一些圖謀不軌的人,從而使得網絡受到攻擊,有可能會是針對計算機一些軟件漏洞所發起的攻擊,也有可能是針對網絡之中的傳輸協議發起的攻擊。并且這些攻擊的范圍包括本地的用戶,也包括外地甚至國外的用戶。這種入侵行為,在國家之間的存在早已經屢見不鮮,有些攻擊行為一旦得逞可能會讓某個國家造成嚴重的損失。所以,互聯網的安全問題不僅僅是個人的問題,也是國家和世界的問題。
2網絡安全技術
在我國比較常見的網絡安全技術主要有入侵檢測、可視化、防火墻、漏洞掃描、數據加密等技術。這些技術的應用,讓當前的互聯網安全有了一個比較好的保障,為用戶提供了一個相對安全的上網環境。入侵檢測技術主要指通過對審計數據的收集,從而將對網絡安全日志以及網絡行為進行分析,進而判斷在近期的計算機系統之中是否存在被攻擊或者一些違法的網絡行為。這是一種積極主動的安全防御技術,是除了防火墻之外的第一道安全防護的閘門,該技術在檢測時能夠避免對網絡性能的影響,從而更好的檢測出網絡供給的行為。進行入侵檢測,可以隨時對來自外部以及內部的網絡攻擊進行監控,讓計算機資源的安全性得到有效的提高。目前的計算機入侵檢測方法主要有混合入侵檢測,基于主機以及網絡的入侵檢測等。入侵檢測技術在網絡資源安全的應用中,屬于應用比較廣泛的技術之一。可視化技術是建立在入侵檢測、防火墻和漏洞掃描技術基礎上的一種技術。該技術是網絡安全可視操作的一種延伸,是各種安全技術的一種補充。該技術可以讓網絡數據之中的比較抽象的網絡結構,以圖像化的形式,被人們所觀察,并且對網絡中出現的一些特殊信息,進行實時的反應。該技術可以監控整個網絡的運行狀態,并且能夠向網絡安全管理員提示網絡之中可能會出現的一些安全風險,使網絡安全工作得到了便利。網絡安全的管理人員,可以將網絡的具體狀況采用高維信息技術進行展開,從而使網絡入侵行為更加清晰的暴露在管理人員的眼前。同時,采用可視化技術,還能夠對未來網絡安全事件的發展形勢進行估計和判斷,并且采取相應的針對措施來進行預防。可視化技術的應用,使得網絡資源安全的防護更加的方便、智能。防火墻技術是普通大眾最為熟悉的一種網絡安全技術。該技術事先制定好一定的網絡安全規則,然后強制性的檢查內外網之間的信息交流行為,對不安全的外網訪問行為進行限制。這種技術主要是根據實際情況對外網的訪問權限進行設定,從而防止外網之中一些非法行為對計算機的入侵,使網絡資源的安全得到保證。同時,防火墻技術還能夠將內網之間的訪問行為進行一定的規范,保證內部網絡資源的真正安全。當前的防火墻技術主要有網絡層防火墻以及應用層防火墻這兩種類型的技術。網絡層防火墻,可以被當作是在最底層的TCP/IP協議上工作的一種IP封包過濾器。網絡管理員在對其進行設置的時候,可以設置成只允許自己需要的或者符合要求的封包通過,這樣就可以禁止其他封包穿過防火墻。雖然,在理論上來說防火墻技術能夠防止所有的外界數據流對計算機的入侵,但是防火墻并不能夠對病毒的入侵有效的防止。漏洞掃描技術,是通過漏洞掃描的程序,對計算機的本地主機或者遠程設備進行安全掃描,從而發現計算機系統之中存在的一些安全漏洞,并對這些漏洞進行打補丁形式的修補。以這種形式來保證整個系統的安全。漏洞掃描程序,通過對TCP/IP的相關服務端口監控主機系統的掃描,并利用模擬網絡攻擊記錄目標主機的響應情況,從而對有用的數據信息進行收集。漏洞掃描能夠將計算機之中存在的一些安全漏洞及時的掌握和發現,讓網絡運行的狀況得到有效的反應,為用戶提供一個安全的網絡環境。并且,漏洞掃描還能夠針對一些漏洞及時的做出有效的彌補措施,進行漏洞的修復,使漏洞引起的網絡安全風險降到最低。數據加密技術,是目前比較常用的一種安全技術,是通過制定一定的規則,從而使得明文能夠重新進行編碼,變成別人沒有辦法識別的數據。這樣在傳輸的過程之中即使被不法人員所截獲,但是沒有相應的密鑰就不能夠破解加密的信息,從而無法知道信息的具體內容。數據加密的技術主要是應用在對信息以及動態數據保存的方面。計算機的數據加密系統,主要包括密鑰集合、明文集合、密文集合以及相關的算法所構成。而算法以及數據是數據加密系統之中最基本的組成部分,采用一系列的數學法則形成的算法,是數據加密能夠實現的真正核心。
3提升網絡信息資源管理的策略
3.1提升管理人員的業務技能
對于網絡信息資源的安全而言,所面臨的大部分威脅都是來自人為的威脅,包括黑客攻擊等威脅。按照網絡信息資源受到攻擊的形式,主要可以分為主動攻擊和被動攻擊兩種形式。主動攻擊指的是一些不法分子,利用非法手段將信息的完整性進行破壞,并對數據包之中的內容進行更改,從而讓接收者受到誤導。或者是不法分子,進入計算機系統之中,將系統的大量資源進行占用,讓系統不能夠為用戶提供正常的服務。被動攻擊主要指的是,不對信息的傳輸造成影響的截取并破解傳遞信息的手段,這種手段具有極大的危險性。所以針對網絡資源被攻擊的形式,網絡安全管理部門應該定期對管理人員進行專業技能水平的訓練,并且讓管理人員加強對安全網絡的監測力度。同時制定不同攻擊形式下的防御措施,讓管理人員熟練掌握應對的方式,并且加強與國內外先進技術部門的合作,共同探討防止網絡攻擊的新技術和新方法。
3.2加強計算機軟硬件的管理
計算機的軟件管理在計算機的網絡信息資源安全保障方面,存在著非常重要的作用,所以在平時,網絡安全管理人員要注重對軟件的管理。對于計算機軟件而言,主要的威脅是存在于計算機之中,或者一些外來的病毒,管理員應該定期的對計算機進行殺毒,并且注重殺毒軟件的更新和補丁的下載等。對于計算機的硬件管理,主要需要從兩個方面進行,首先是要為計算機的運行創造出一個非常良好的外部環境,要注重計算機的防火以及防潮等工作,避免外部環境對計算機造成一些不良影響。其次,對于機箱等硬件的管理,要制定一個詳細、嚴格的管理制度,規定在沒有經過系統管理員允許的情況之下,不能夠打開機箱進行硬件的更換。此外,在平時,管理人員還需要對計算機的硬件進行定期的檢測,使出現問題的硬件能夠及時的發現并進行修理。
4結束語
總而言之,在當前的社會形式和時代背景之下,網絡信息資源的安全管理技術的研究是非常重要的一件事情。所以有關部門要加強對技術的創新,加強對管理人員的培訓,并且加強對計算機軟硬件的良好管理,讓我國的互聯網處在一個安全、干凈的環境之中,讓每一位用戶都能夠放心的使用互聯網技術。
作者:趙杰 單位:晉中職業技術學院電子信息系
引用:
[1]汪江.談網絡安全技術與電力企業網絡安全解決方案研究[J].價值工程,2012.
篇8
一.引言
近年來,在計算機網絡技術應用的深入發展中,網絡安全問題已經逐漸成為網絡建設中的核心問題。網絡系統是一個由眾多計算機和網絡設備,以及網絡系統軟件構成的一個復雜的集成系統。在因特網絡上,互聯網本身沒有時空和地域的限制,每當有一種新的攻擊手段產生,就能在很短時間內傳遍全世界,這些攻擊手段利用網絡和系統漏洞進行攻擊從而造成計算機系統及網絡癱瘓。因此,計算機網絡的安全與管理越來越受到人們的關注,成為一個研究的新課題。
二.計算機網絡安全威脅分析
(1)計算機網絡面臨的安全性威脅
①非法授權訪問。威脅源成功地破壞訪問控制服務, 如修改訪問控制文件的內容, 實現了越權訪問。②非法連接。威脅源以非法手段形成合法的身份, 在網絡實體與網絡源之間建立非法連接。③拒絕服務。阻止合法的網絡用戶或其他合法權限的執行者使用某項服務。④信息泄露。未經授權的實體獲取到傳輸中或存放著的信息, 造成泄密。⑤無效的信息流。對正確的通信信息序列進行非法修改、刪除或重復, 使之變成無效信息。⑥偽裝。威脅源泉成功地假扮成另一個實體,隨后濫用這個實體的權利。
(2)計算機網絡面臨的安全攻擊
安全攻擊的形式: 計算機網絡的主要功能之一是通信,信息在網絡中的流動過程有可能受到中斷、截取、修改或捏造形式的安全攻擊。
①中斷。中斷是指破壞采取物理或邏輯方法中斷通信雙方的正常通信, 如切斷通信線路、禁用文件管理系統等。②截取。截取是指未授權者非法獲得訪問權,截獲通信雙方的通信內容。③修改。修改是指未授權者非法截獲通信雙方的通信內容后, 進行惡意篡改。如病毒可能會感染大量的計算機系統,占用網絡帶寬,阻塞正常流量,發送垃圾郵件,從而影響計算機網絡的正常運行。④捏造。捏造是指未授權者向系統中插入仿造的對象, 傳輸欺騙性消息。
三. 計算機網絡安全體系的建立
建立開放系統互聯標準的安全體系結構框架,為網絡安全的研究奠定了基礎。
(1)身份認證。身份認證是訪問控制的基礎,是針對主動攻擊的重要防御措施。身份認證必須做到準確無誤地將對方辨別出來,同時還應該提供雙向認證,即互相證明自己的身份。網絡環境下的身份認證更加復雜,因為驗證身份一般通過網絡進行而非直接參交互,常規驗證身份的方式(如指紋)在網絡上已不適用;再有,大量黑客隨時隨地都可能嘗試向網絡滲透,截獲合法用戶口令,并冒名頂替以合法身份入網,所以需要采用高強度的密碼技術來進行身份認證。目前安全性較高的是USBKEY認證方法,這種方法采用軟硬件相結合,很好地解決了安全性與易用性之間的矛盾。USBKEY是一種USB接口的硬件設備,用戶的密鑰或數字證書無需存于內存,也無需通過網絡傳播。因此,大大增強了用戶使用信息的安全性。
(2)訪問控制。訪問控制的目的是控制不同用戶對信息資源的訪問權限,是針對越權使用資源的防御措施。訪問控制可分為自主訪問控制和強制訪問控制兩類。實現機制可以是基于訪問控制的屬性的訪問控制表(或訪問控制矩陣), 也可以是基于安全標簽、用戶分類及資源分檔的多級控制。
(3)數據保密。數據保密是針對信息泄露的防御措施。數據加密是常用的保證通信安全的手段,但由于計算機技術的發展,使得傳統的加密算法不斷地被破譯,不得不研究更高強度的加密算法,如目前的DES算法,公開密鑰算法等。
(4)數據完整性。數據完整性是針對非法篡改信息、文件及業務流而設置的防范措施。也就是說網上所傳輸的數據防止被修改、刪除、插入、替換或重發,從而保護合法用戶接收和使用該數據的真實性。
(5)加密機機制。加密技術的出現為全球電子商務提供了保證,從而使基于因特上的電子交易系統成為了可能,因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。
(6)路由控制機制。一套完整的防火墻系統通常是由屏蔽路由器和服務器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息,例如協議號、收發報文的IP地址和端口號、連接標志以至另外一些IP選項,對IP包進行過濾。服務器是防火墻中的一個服務器進程,它能夠代替網絡用戶完成特定的TCP/TP功能。一個服務器本質上是一個應用層的網關一個為特定網絡應用而連接兩個網絡的網關。用戶就一項TCP/TP應用,比如Telnet或者FTP,同服務器打交道,服務器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后,服務器連通遠程主機,為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。
(7)入侵檢測技術。隨著網絡安全風險系數不斷提高,作為對防火墻及其有益的補充,IDS(入侵檢測系統)能夠幫助網絡系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。入侵檢測系統是一種對網絡活動進行實時監測的專用系統,該系統處于防火墻之后,可以和防火墻及路由器配合工作,用來檢查一個LAN網段上網段上的所有通信,記錄和禁止網絡活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析,通過集中控制臺來管理和檢測。
(8)備份系統。備份系統可以全盤恢復運行計算機系統所需的數據和系統信息。對系統設備的備份。備份不僅在網絡系統硬件故障或人為失誤時起到保護作用,也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用。
四.計算機網絡管理
(1)計算機網絡管理概述
計算機網絡管理分為兩類。第一類是計算機網絡應用程序、用戶帳號(例如文件的使用)和存取權限(許可)的管理,屬于與軟件有關的計算機網絡管理問題。第二類是對構成計算機網絡的硬件管理, 包括對工作站、服務器、網卡、路由器、網橋和集線器等的管理。通常情況下這些設備都分散在網絡中,當設備有問題發生時網絡管理員希望可以自動地被告通知,為了解決這個問題,在一些設備中已經具有網絡功能,可以遠程地詢問它們的狀態,使它們在有某種特定類型的事件發生時能夠發出警告。這種設備通常被稱為“智能”設備。網絡管理應遵循以下的原則: 由于管理信息而帶來的通信量不應明顯的增加網絡的通信量。被管理設
備上的協議不應明顯的增加系統處理的額外開銷,以致于削弱該設備的主要功能。
(2)計算機網絡管理的功能
國際標準化組織ISO定義了網絡管理的五個功能域,分別是: 故障管理、配置管理、計費管理、性能管理和安全管理。
①故障管理。故障管理是對網絡中的問題或故障進行檢測、隔離和糾正。使用故障管理技術,網絡管理者可以盡快地定位問題或故障點,排除問題故障。故障管理的過程包括3個步驟。a.發現問題;b.分離問題,找出故障的原因;c.如果可能, 盡量排除故障。
②配置管理。配置管理是發現和設置網絡設備的過程。配置管理提供的主要功能是通過對設備的配置數據提供快速的訪問,增強網絡管理人員對網絡的控制;可以將正在使用的配置數據與存儲在系統中的數據進行比較,而發現問題;可以根據需要方便地修改配置。配置管理主要是包括下面三個方面的內容:a.獲得關于當前網絡配置的信息;b.提供遠程修改設備配置的手段;C.存儲數據、維護最新的設備清單并根據數據產生報告。
③安全管理。安全管理是控制對計算機網絡中的信息的訪問的過程。提供的主要功能是正確操作網絡管理和保護管理對象等安全方面的功能。具體包括:
a.支持身份鑒別, 規定身份鑒別過程;b.控制和維護授權設施;c.控制和維護訪問權限;d.支持密鑰管理;f.維護和檢查安全日志。
計算機網絡的規模越來越大、復雜程度越來越高,為了保證計算機網絡良好的性能,確保向用戶提供滿意的服務,必須使用計算機網絡管理系統對計算機網絡進行自動化的管理。計算機網絡管理系統的功能是管理、監視和控制計算機網絡, 即對計算機網絡進行了配置, 獲取信息、監視網絡性能、管理故障以及進行安全控制。計算機網絡管理系統對計算機網絡的正常運行起著極其重要的作用。
五.結束語
計算機網絡信息安全工作貫穿于計算機網絡建設、發展的始終,需要我們時刻重視,不斷學習。只有加強網絡與信息安全管理,增強安全意識,不斷改進和發展網絡安全保密技術,才能防范于未然,確保計算機網絡的安全、可靠地運行。
篇9
中圖分類號:TP393.08 文獻標識碼:A
現階段,全球已經進入了網絡化的時代,人們對于網絡的依賴程度變得越來越高。算機上面的數據和信息已經能夠滿足人們全部的生活。為此,很多的個人信息被不法分子竊取,給人們帶來很大的危險。文章從互聯網使用的角度論述了如何加密與加強網絡安全管理問題。數據加密技術對于現階段的互聯網有很大的幫助作用。這一技術就是將有關密碼的相關技術進行加密處理,之后再經過處理將密碼進行隱蔽傳輸。這實際上是計算機安全的核心技術問題。為計算機網絡的數據提供更高的安全保障。
1網絡加密技術類型
1.1存儲加密技術
現階段的很多操作上需要上傳自己的數據和信息,所以現在的互聯網需要采取一定的方式對信息進行加密技術的應用。存儲加密技術的應用實際上就是需要對相應的模塊或計算機算法進行加密使用者的用戶信息實際上就是最需要保證的東西。采取這樣的措施實際上就是為了能夠預防用戶的有效信息被利用和被非法的獲取。
1.2網絡信息加密
互聯網就是一個共享的空間,很多的資源和數據都會在這一平臺上得到分享。一般來說,對于信息的接受者來說,在這種情況下就能夠保證自己接收到準確的信息,對于之前的不法分子來說也將面臨一個殘酷的現實。他們的手段將會被很快的識破,當他們進行資料篡改的時候就會對他們的信息進行攔截,使得這樣的信息不會直接的傳達到使用者的手中。
1.3網絡傳輸加密
在網絡傳輸過程中的信息加密措施是非常常見的安全保護方式,實際上就是對數據進行自動的加密,只能夠針對特定的用戶,其他與之無關的用戶是不能夠接收和識別的'這些加密之后的信息傳到相應的客戶端之后還要對其進行解密,使用者再獲取相關的有效地信息。這種方式實際上就是在信息的傳播過程中起到了保護和屏障的作用,保證了信息的安全傳輸。
1.4網絡密鑰管理
除了上述三種方式之外,還有一種就是網絡的密鑰管理。實際上,這一方式是網絡安全中最為常見的一種方式,最大的優點就是能夠使得相應的數據傳輸和獲取變得更加的方便,同時也為使用者提供更大的便捷。這一技術包括很多的關鍵環節,包括密鑰的產生、分配、保存和銷毀四個步驟。同時,它需要的媒體也是非常的復雜。
2網絡安全防護措施
2.1加強互聯網管理體系
計算機網絡環境是網絡安全的重要組成部分,加強網絡安全的方式也是構件良好網絡環境的關鍵。建立良好的網絡管理體系不但能夠保證良好純凈的網絡環境,最主要的就是能夠保證網絡的安全。在很大程度上能夠降低網絡數據傳輸的風險,使得網絡平臺和數據的接收者邡將處在一個良好的環境之中。
2.2加強訪問控制
實際上,現在互聯網上的很多網站存在訪問權限的問題。實際上,存在訪問權限的原因就是保證網絡上的相關資源不被非法的利用和篡改,它也是網絡安全管理中的重要組成部分。這樣的網站在登錄時,需要對相關人員的身份進行驗證,當身份驗證通過之后才能夠正常的訪問相應的資源、所以說,這種方式對于網絡的數據有很大的保障。
2.3實行文件加密技術
對于文件的加密木質就是將文件的明文變成密文,這實際上是解決網絡安全問題的最主要的措施。當文件變成密文時,就不容易被人們所識別,就算能夠識別也將花費很多的時間。這也就有效地保證的數據的隱秘性和安全性。現階段,這一措施之所以被廣泛地應用到網絡安全管理中去,就會因為它存在很多的優點,保證了文件的安全性和真實性。
3信息加密技術的應用
傳統的信息加密技術主要包括對稱和非對稱兩種加密方式。
3.1數字簽名技術
這一技術實際上就是將傳統的非對稱加密技術做了進一步的發確保信息安全性能,在廣泛的互聯網之中保證電子商務和電子支付的安全性能。這一技術應用最為廣泛的也就僅局限于這一操作過程。當進行互聯網交易時,數字簽名必須保證使用的是私人密鑰,這一密鑰他人是不能夠復制和使用的。
篇10
0引言
隨著國家信息化建設的快速發展,信息網絡安全問題日益突出,信息網絡安全面臨嚴峻考驗。當前互聯網絡結構無序、網絡行為不規范、通信路徑不確定、IP地址結構無序、難以實現服務質量保證、網絡安全難以保證。長慶油田網絡同樣存在以上問題,可靠性與安全性是長慶油田網絡建設目標。文章以長慶油田網絡為例進行分析說明。
1長慶油田網絡管理存在的問題
長慶油田公司計算機主干網是以西安為網絡核心,包括西安、涇渭、慶陽、銀川、烏審旗、延安、靖邊等7個二級匯聚節點以及咸陽等多個三級節點為架構的高速廣域網絡。網絡龐大,存在的問題也很多,這對日常網絡管理是一份挑戰,由于管理的不完善,管理存在以下幾個方面問題:
1.1出現問題才去解決問我們習慣人工戰術,習慣憑經驗辦事。網絡維護人員更像是消防員,哪里出現險情才去撲救。設備故障的出現主要依靠使用者報告的方式,網管人員非常被動,無法做到主動預防,無法在影響用戶使用之前就預見故障并將其消除在萌芽狀態。因此,這種維護模式已經很難保障網絡的平穩運行,能否平穩影響網絡安全與否。
1.2突發故障難以快速定位僅僅依靠人工經驗,難以對故障根源做出快速定位,影響故障處理。而且隨著網絡的復雜程度的提高,在故障發生時,難以快速全面的了解設備運行狀況,導致解決故障的時間較長,網絡黑客侵犯可以趁機而來,帶來網絡管理的風險。
1.3無法對全網運行狀況作出分析和評估在傳統模式下,這些都需要去設備近端檢查,或遠程登錄到設備上查看,不僅費時費力,而且對于歷史數據無法進行連續不間斷的監測和保存,不能向決策人員提供完整準確的事實依據,影響了對網絡性能及質量的調優處理,龐大的網絡系統,不能通盤管理,不能保證網絡運行穩定,安全性時刻面臨問題。
2網絡安全防范措施
計算機網絡的安全性可以定義為保障網絡服務的可用性和網絡信息的完整性,為了有效保護網絡安全,應做好防范措施,保證網絡的穩定性,提高網絡管理的效率。
2.1完善告警機制,防患于未然告警監控是一種手段,設備維護人員、網絡分析人員需要通過告警信息去分析、判斷設備出現的問題并盡可能的找出設備存在隱患,通過對一般告警的處理將嚴重告警發生的概率降下來。告警機制的完善一般從告警信息、告警通知方式兩方面著手:
2.1.1在告警信息的配置方面目前,長慶油田計算機主干網包括的97臺網絡設備、71臺服務器,每臺設備又包含cpu、接口狀態、流量等等性能參數,每一種參數在不同的時間段正常值范圍也不盡相同。
例如同樣為出口防火墻,西安與銀川的各項性能閥值的設置也不盡相同,西安的會話數達到25萬,而銀川的超過20萬就發出同樣的告警。再比如,西安電信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因為這個時候在線用戶很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要發出告警信息。
因此必須根據監控的對象(設備或鏈路)、內容(各項性能指標)以及時間段,設置不同的觸發值及重置值。
2.1.2告警通知方式的多樣化任何時間我們都無法保證能全天候死盯著屏幕,所以一方面需要制定相應的運維管理制度和輪班值守職責,另一方面則需要選擇更加人性化的運維管理方式。維護人員不但需要頁面顯示的告警觸發通知,也迫切需要在移動辦公狀態或休假狀態第一時間得到預警,從而做出應有的反應,所以我們需要開發出例如聲音、郵件、短信等多種告警方式。
通過以上兩個方面,我們可以建成一個完善的故障告警系統,便于隱患的及時消除,提高了網絡的穩定性。
2.2網絡拓撲的動態化如果一個個設備檢查起來顯然費時費力,如果我們能將所有設備的狀態及其連接狀況用一張圖形實時動態的直觀顯示出來,那么無疑會大大縮短故障定位時間(見圖1,2)。
說明:2009-10-11日17:05,慶陽、延安、靖邊、銀川四個區域的T1200-02的連接西安的2.5GPOS口,涇渭T1200-01連西安的2.5GPOS口,以及西峰、吳起連接慶陽匯聚交換機Z8905-02的千兆光口,以上接口同時發出中斷告警。
因此,綜合告警信息與全網拓撲圖,當出現大規模告警的情況下能夠非常高效地找出故障源,避免了一步步繁瑣的人工排查,從而達到有效提高故障的解決效率,提高了網絡的穩定性。
2.3全網資源管理的動態化
2.3.1通過對網管系統的二次開發,實現全網動態資源分析,他的最重要特點就是動態,系統通過PollingEngine從設備上自動提取資料數據,如設備硬件信息、網絡運行數據、告警信息、發生事件等。定時動態更新,最大限度的保持與現網的一致性。
2.3.2通過一個集中的瀏覽器界面上就可以快速、充分地了解現有網絡內各種動態和靜態資源的狀況,徹底轉變了傳統的網絡依賴于文字表格甚至是依賴于維護人員的傳統維護模式,變個人資料為共享資料。
2.4提高安全防范意識只要我們提高安全意識和責任觀念,很多網絡安全問題也是可以防范的。我們要注意養成良好的上網習慣,不隨意打開來歷不明的電子郵件及文件,不隨便運行陌生人發送的程序;盡量避免下載和安裝不知名的軟件、游戲程序;不輕易執行附件中的EXE和COM等可執行程序;密碼設置盡可能使用字母數字混排;及時下載安裝系統補丁程序等。
總之,影響網絡穩定的因素有很多,本文基于日常網絡安全管理經驗,從日常網絡管理的角度,提出一些安全防范措施,以期提高網絡穩定性。
參考文獻:
[1]石志國,計算機網絡安全教程,北京:清華大學出版社,2008.
