安全网络建设汇总十篇
时间:2023-09-24 10:27:40
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇安全网络建设范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
篇(1)
随着计算机网络技术的快速发展与普及,网络已深入到各个行业以及日常生活中并起着关键性的作用,也极大的推动了校园网络的建设,成为了校园重要的基础设施。校园网络的建设对教学管理、科研管理等活动带来方便的同时校园网络也存在着安全隐患,导致计算机网络系统的崩溃,严重影响了校园网络的正常运行,为校园管理工作带来了大量的工作负担。为了保证校园网络的保密性与安全性,校园网络的运行管理与安全措施显得格外重要,不容忽视。
1 校园网络存在的安全隐患
1.1 系统自身存在的漏洞
自从微软推出Windows操作系统到至今的Vista系统的诞生,都存在着不可避免的,一直让人头疼的漏洞,而且校园使用的网络大部分都是Windows系统,系统本身存在着防火墙、服务器、IP协议等诸多方面的漏洞,随着用户的不断使用导致安全问题产生,为学校管理带来了诸多麻烦与负担。
1.2 计算机病毒严重入侵
随着网络的迅速发展,给学校带来方便的同时,也成为了计算机病毒传播的最快的捷径。病毒编制者水平的提高以及与黑客软件的结合,使网络病毒经常爆发,严重的情况下会破坏计算机的硬件和软件,致使机密数据外泄,使计算机运行缓慢、频繁死机不能正常运行,整个网络完全处于瘫痪的状态,对校园网络使用造成了严重的威胁。
1.3 自然灾害突然袭击
自然灾害带来的破坏与损失让人措手不及,防不胜防,主要的灾害有:地震、风暴、水灾和火灾等,还有环境带来的影响,如湿度、温度和污染等破坏。大部分的高校计算机机房都没有防水、防电、防火、避雷等防范措施,事故不断发生,没有抵御自然灾害的能力,设备损坏、数据丢失、信息外露的现象屡见不鲜。
1.4 内部与外部的攻击
攻击有两种方式,一个是来自互联网外部的攻击,一个是来自学校内部学生的攻击。学生是学校网络的活跃用户,对网络充满了好奇心,不断尝试各种玩法,在网上学到的以及自己研究的各种攻击方法企图去破解学校的各种信息。
2 校园网络安全隐患的成因
2.1 网络安全意识薄弱
学校管理人员以及教师对网络安全没有足够的重视,而大部分校园学生认为校园网络是集体系统,网络安全维护不是自己的责任,自然有相关的网络管理人员进行维护,防范意识淡薄、缺乏责任心。此外,除了计算机专业的教师与学生对计算机的结构框架有所了解外,大部分用户都不具备最基本的网络知识和网络安全抵御能力与防范意识,导致校园网络经常性遭受病毒入侵,影响正常运行。
2.2 盗版资源的干扰
互联网拓宽了人们的视野,丰富了人们的生活,但是无处不在的盗版成为了社会的隐患,多种网络资源都存在着盗版现象。盗版资源成为网络急需解决的问题,校园网络中的盗版软件、盗版资源的使用也非常普遍,随着用户的不断使用给系统留下了安全隐患,而且下载盗版软件时还隐藏着后门、木马等相关的代码,对校园系统产生了破坏性的攻击。
2.3 资金投入不足
高校校园把大部分的资金投入到购买硬件设备上,技术性的投入比例相对较大,而对于校园网络安全维护的投入相对较小。另外,普遍缺乏防范安全意识,只是简单安装设备,保证网络能够正常、安全运行就可以了,忽视了网络安全的维护,缺乏责任心,缺乏抵御外部与内部入侵的能力。因此,要在网络技术投入与安全措施上做到平衡,加强安全防御,使网络正常有序的运行。
3 校园网络安全管理措施
3.1 提高师生网络安全意识
高校内发生网络安全危机,多数是因为没有网络方面的安全知识,导致黑客入侵进行破坏,因此学校要加强网络安全防御意识,抵御来自校园网内外部的攻击。学校可以利用网络优势进行安全常识教育,例如校园广播,在学生休息或者上放学期间播放有关网络的一些常识。此外,还应开设网络安全课程,如《信息安全技术》、《计算机网络》、《网络安全与管理技术》等,使学生掌握基本网络知识,不轻易使用盗版软件、不随便浏览诚信度低的网站,养成文明上网的好习惯,提高网络安全意识和辨别能力。
3.2 引进网络管理人才
高校校园网络的不断普及和发展,校园网上的相关数据、信息、资料越来越多,越来越重要,同时校园网络的攻击、资源的盗用也越来越严重,因此,加强网络技术人员和网络用户对网络技术与安全使用尤为重要。学校应该引进网络安全管理的优秀人才,形成网络安全管理队伍,或者学校也可以派出本校优秀的计算机网络管理人才参加网络安全管理培训,或者不定期的聘请专业的网络管理专家进入校园讲授网络技术相关知识,通过“引进来和走出去”的方式来提高网络人员的专业素质和管理能力。
3.3 加强防火墙技术
防火墙是实现校园网络安全的一个有效的方法,它使互联网与内部网建立了一个安全网关,保护内部网免受非法用户的强烈入侵。为了防止内部网络发起对外攻击,要在防火墙上建立计算机的IP和MAC地址,如果两个地址不是一一对应的一律禁止,还要定期查看防火墙的访问日志以及时发现是否有攻击行为,提高防火墙的安全管理性,减少给校园网络带来的安全隐患。
4 结语
校园网络安全与技术管理问题是一个复杂的系统工程,校园网络对此要进行全方位的防范,因此,提高校园网络是一个非常迫切和具有挑战性的任务,要将技术和管理相结合,建立一个安全的校园网。虽然网络存在着各种安全威胁,但在校园建设中起着灵活、快捷的作用。总而言之,在利用校园网络的同时,要不断的加强校园网络建设,完善校园网络管理制度,建立坚固的校园网络安全防线,建立一个安全、绿色的校园网络环境。
[参考文献]
篇(2)
前言
东北财经大学经过不断发展、完善的信息化历程,完成校园网络广泛覆盖和带宽升级。同时学校数据服务区运行着包括门户网站、电子邮箱、数字校园、移动办公等重要业务系统,随着各类应用系统的不断上线,逐步构成了一个服务于学校师生的重要综合性校园网络平台。但另一方面,承载学校业务流程的信息系统安全防护与检测的技术手段却仍然相对落后。在当前复杂多变的信息安全形势下,无论是外部黑客入侵、内部恶意使用,还是大多数情况下内部用户无意造成的安全隐患,都给学校的网络安全管理工作带来较大压力。而同时,勒索病毒爆发、信息泄露、上级部门要求、法律法规监管等,都在无形中让学校的信息安全管理压力越来越大。笔者根据《网络安全法》和网络安全等级保护2.0标准的要求,在现有的架构下对东北财经大学校园网络进行了安全加固设计,提升了校园网主动防御、动态防御、整体防控和精准防护的能力。
1现状及问题
在互联网攻击逐渐从网络层转移到应用层的大背景下,学校各类业务系统在开发时难免遗留一些安全漏洞,目前学校安全防护仅在校园网出口部署了网络层面的安全网关设备,传统网络层防火墙在面对层出不穷的应用层安全威胁日渐乏力。黑客利用各种各样的漏洞发动缓冲区溢出,SQL注入、XSS、CSRF等应用层攻击,并获得系统管理员权限,从而进行数据窃取和破坏,对学校核心业务数据的安全造成了严重的威胁。数据的重要性不言而喻,尤其对学校的各类学生信息、一卡通等财务数据信息更是安全防护的重中之重,如有闪失,在损害学校师生利益的同时也造成很大的不良影响和法律追责问题。东北财经大学出口7Gbps带宽,由电信、联通、移动、教育网等多家运营商组成。随着学校的网络规模扩大以及提速降费的背景,互联网出口将会达到15Gbps带宽以上,原有的带宽出口网关弊端显露:具体包括网关性能不足,无法支持大带宽,老旧设备无法胜任大流量的转发工作;IPv6网络不兼容,无法平滑升级,后续无法满足国家政策进行IPv6改造的规划;上网审计和流量控制功能不完善,原有网关未集成上网行为审计功能,未能完全满足网络安全法,保障合规上网;不支持基于应用的流量控制,带宽出口的流量控制效果不佳;对上网行为缺乏有效管理和分析手段,针对学生上网行为没有好的管理手段和分析方法。同时等级保护2.0也对云安全和虚拟化环境下的网络安全问题作了要求。东北财经大学信息化建设起步较早,目前校内数据中心的绝大部分已经实现了虚拟化,主要业务系统均在虚拟机上运行,虚拟化技术极大地提升了硬件资源的利用率和业务的高可用性,但现有的120余台虚拟机的安全隔离和虚拟化环境的东西向流量控制成为安全建设的新问题。为了响应《网络安全法》以及国家新颁发的网络安全等级保护2.0的相关要求,提高东北财经大学数据中心的整体安全防护与检测能力,需要在以下几个方面进行安全建设:(1)构建安全有效的网络边界。主要通过增加学校数据中心的边界隔离防护、入侵防护、Web应用防护、恶意代码检测、网页防篡改等安全防护能力,减少威胁的攻击面和漏洞暴露时间。(2)加强对网络风险识别与威胁检测。针对突破或绕过边界防御的威胁,需要增强内网的持续检测和外部的安全风险监测能力,主要技术手段包括:网络流量威胁检测、僵尸主机检测、安全事件感知、横向攻击检测、终端检测响应、异常行为感知等。(3)形成全网流量与行为可视的能力。优化带宽分配,提升师生上网体验;过滤不良网站和违法言论,保障学生健康上网和安全上网;全面审计所有网络行为,满足《网络安全法》等法律法规要求;在网络行为可视可控的基础之上,需要进一步形成校园网络全局态势可视的能力。
2网络安全加固技术方案
按原有拓扑,将东北财经大学校园网划分为校园网出口区、核心网络区域、数据业务区域、运维管理区域、校园网接入区五个安全区域,并叠加云端的安全服务。各个区域通过核心网络区域的汇聚交换与核心交换机相互连接;校园网出口区域有多条外网线路接入,合计带宽7Gb,为校园网提供互联网及教育网资源访问服务;数据业务区部署2套VMware虚拟化集群和1套超云虚拟化集群,承载了学校门户网站、电子邮件、数字化校园、DNS等各类业务系统;运维管理区域主要负责对整体网络进行统一安全管理和日志收集;校园网接入区教学楼、办公楼、图书馆、宿舍楼等子网,存在大量PC终端供学校师生使用;另外学校的教学楼、办公楼均已实现了无线网络的覆盖。在数据业务区域与核心网络区域边界部署一台万兆高性能下一代防火墙,开启IPS、WAF、僵尸网络检测等安全防护模块,构建数据业务区融合安全边界。通过部署下一代防火墙提供网络层至应用层的访问控制能力,能够实现基于IP地址、源/目的端口、应用/服务、用户、区域/地域、时间等元素进行精细化的访问控制规则设置;提供专业的漏洞攻击检测与防护能力,支持对服务器、口令暴力破解、恶意软件等漏洞攻击防护,同时IPS模块可结合最新威胁情报对高危漏洞进行预警和自动检测;提供专业的Web应用防护能力,针对SQL注入、XSS、系统命令注入等OWASP十大Web安全威胁进行有效防护,同时提供网页防篡改、黑链检测以及恶意扫描防护能力,全面保障Web业务安全;提供内网僵尸主机检测能力,通过双向流量检测和热门威胁特征库结合,实现对木马远控、恶意脚本、勒索病毒、僵尸网络、挖矿病毒等威胁进行有效识别,快速定位感染主机真实IP地址。在校园网出口区部署高性能上网行为管理,对校园网出口流量进行全面管控,上网行为管理设备部署在核心交换机和出口路由器之间,所有流量都通过上网行为管理处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能,设备提供IPv4/IPv6双栈协议兼容,有效满足IPv6建设趋势下网络的平滑改造。为了有效管控和审计,设备选型必须能够全面识别各种应用:(1)支持千万级URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术;(2)拥有强大的应用识别库;(3)识别并过滤HTTP、FTP、mail方式上传下载的文件;(4)深度内容检测:IM聊天、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等;(5)通过P2P智能识别技术,识别出不常见、未来可能出现的P2P行为,进而封堵、流控和审计。通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、应用行为等都能有效实现对上网行为的封堵、流控、审计等管理。同时,也要提供网络流量可视化方案,管理员可以查看出口流量曲线图、当前流量应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量用户排名、应用排名等,并自动形成报表文档,全面掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。同时支持多线路复用和智能选路功能,通过多线路复用及带宽叠加技术,复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术,将网流量自动匹配最佳出口。具备全面的合规审计及管控功能,支持对内网用户的所有上网行为进行审计记录,满足《网络安全法》的要求,能有效防范学生网上不良言论、访问非法网站等高风险行为,规避法律风险。在数据业务区物理服务和3个虚拟化服务器集群上每台虚拟机安装EDR客户端,针对终端维度提供恶意代码防护、安全基线核查、微隔离、攻击检测等安全能力,打通物理服务器、Vmware集群和超云集群,进行统一的主机/虚拟机逻辑安全域划分,同时实现云内流量可视、可控,满足等保2.0云计算扩展项要求。通过部署EDR构建立体可视的端点安全能力,实现全网风险可视,展示全网终端状态分布,显示当前安全事件总览及安全时间分布全网终端安全概览,支持针对主机参照等级保护标准进行安全基线核查,快速发现不合规项。部署于每台VM上的端点agent,能够对云内不同VM、不同业务系统之间的访问关系、访问路径、横向威胁进行检测与响应,EDR与虚拟化底层平台解耦合,解决多虚拟化环境下的兼容性问题,构建动态安全边界。构建多维度漏斗型检测框架,EDR平台内置文件信誉检测引擎、基因特征检测引擎、人工智能检测引擎、行为分析检测引擎、安全云检测引擎,从多维度全面发现各类终端威胁。
3结语
通过该方案,提升了威胁防护、风险应对能力。能够从容应应对勒索病毒、0Day攻击、APT攻击、社会工程学、钓鱼等新型威胁手段。通过全面的安全可视能力,简化运维压力,可以极大降低运维的复杂度,提升安全治理水平,达到了设计要求。
参考文献
[1]李锴淞.对于校园网络建设及网络安全的探讨[J].数字通信世界息,2019(8).
[2]李锴淞,邹鹏.高校校园网合作运营探索[J].网络安全和信息化,2019(9).
[3]臧齐圣.浅谈校园网络安全防控[J].计算机产品与流通,2019(9).
篇(3)
一、安全教育网络
安全教育是学校建设和谐校园的重要环节。特别是小学生年龄低,生活经验、社会经验以及鉴别、判断能力都不够丰富和完善。所以,亟须通过丰富多彩的安全教育使他们增强抵制不良信息的能力,鉴别真伪的能力;增强安全防范和遵纪守法,遵守交通规则的意识。目前,多学校利用板报、画廊、学生手抄报等宣传工具进行了交通安全、饮食安全、人身安全以及预防疾病和应对突发事件等方面的教育和有关知识的宣传,较好地预防和杜绝了威胁学生安全的事件发生,使学生能够在安全和谐的校园内愉快地学习。创设了学生健康成长的环境。但是要把安全教育继续深入下去,使其更加广泛、全面、持久,更加吸引学生积极地参与,就必须进一步优化安全教育的内容、形式、方法和手段。其主要的渠道是依托信息技术建设全方位的安全教育网络。
学校安全教育网络由硬件系统和软件系统构成。并且要依托硬件系统发挥软件系统的作用。也可以说,软件系统通过硬件系统发挥安全教育的作用。软件系统是指参与学生安全教育的工作者,是由学校的班主任、团委、大队辅导员、学校负责安全工作的校长及校外的辅导员、民警、交警、社区工作人员组成。这些人组成一支关心学生安全,帮助学生提高安全意识,积极查找安全隐患,杜绝意外事故发生的安全教育组织。硬件系统是指学校的校园网络,包括学校计算机局域网、学校的校园广播、学校的板报栏等。
安全教育组织机构要根据学校的特点,学生安全急需解决的问题选择以热爱生命、尊重生命、善待生命为主要内容的安全教育材料,对学生进行积极人生观、世界观、价值观的教育。通过组织丰富多彩的活动,通过硬件系统作用的发挥积极渗透交通安全教育、消防安全教育、社会治安教育、食品卫生及疾病预防教育、预防触电、溺水、煤气中毒教育、校内活动安全教育、校外活动安全教育等。例如:通过校园网络播放有关安全教育的电视片。聘请交警、民警进行电视讲座,宣传交通安全知识、宣传预防诈骗、拐卖、绑架等安全知识;利用校园广播在课间时间播放安全常识等。
二、安全防范网络
安全防范网络是保障学校安全的重要举措。目前,有关部门要求各级各类学校在学校的重要位置安装监控设备,时刻监控学校周边发生的事件,为解决突发事件提供客观真实的依据。这是信息技术手段在学校安全方面的充分利用,也是学校信息网络的组成部分。当然,这项建设需要社会各界的支持,需要资金,需要技术,特别是需要与公安部门网络的链接,监控设备拍摄、记录下来的突发事件直接在公安部门监视器上呈现画面,可以在最短的时间内得到警力的支持,尽快制止事态的恶化。这就需要学校与公安部门达成一致,建立警民共建网络系统,形成一个坚不可摧的安全防范的防线,有情况立即行动,强有力地打击犯罪,保证学校安全,保证师生安全。这是信息技术安全防范网络的优势。此外,常规的防范网络建设也是不容忽视的。一是制定安全规章制度,深入贯彻,认真执行。二是认真排查安全隐患,并且及时解决。三是加强学校安全管理,设立学校领导带班的安全协管员门卫执勤制度,严禁外来人随便进入校园。四是制定防范措施和应急预案。五是建立责任追究制。使每一所学校在信息技术的支持下,在常规管理的保障条件下建设成有领导、有计划、有组织、有预案的安全防范网络。
篇(4)
中图分类号:TP393 文献标识码:A
1 校园网安全运行现状与需求
1.1校园网安全建设现状分析
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。随着高校的发展,用网人数的增加,校园网用户对信息与网络安全的要求也越来越高。大部分高校以往的网络建设,重点是“建设”,强调网络的覆盖范围,出口带宽,基础应用等,而对网络安全的关注度不够,往往是“想起一个建一个,需要一个建~个”,没有形成系统、全面、高效的网络安全体系。随着高校“信息化”建设的呼声越来越高,网络安全体系的建设也在逐步受到学校各级领导的重视。
1.2校园网安全体系建设需求
网络安全建设一直是各高校网络建设的难点和薄弱环节,一方面,技术管理手段的不全面以及管理机制的不完善制约了安全防范的力度;另一方面,校园网用户甚至是系统管理员的安全意识淡漠,以及学生用户网络行为的不确定性成为各高校网络安全工作的瓶颈。因此,网络中心需要通过采取一系列的网络安全措施、制定一系列的网络安全管理制度,在提高网络管理技术手段的同时,逐步增强用户的网络安全意识,构建稳定、安全、绿色的校园网。
2 网络安全体系建设规划
随着学校网络与信息化建设的逐步深入,网络安全问题、信息数据安全问题日益突出。建立一套网络安全体系,是各高校在信息化过程中的重要任务之一。
2.1校园网安全建设规划
根据各高校网络建设规划,结合现有的网络安全技术手段,应从以下几个方面做好校园网安全建设工作。
2.1.1加强网络设施安全建设
网络设施安全主要指网络设备、服务器等硬件设备的物理安全。某高校网络中心曾经发生过同批次多块硬盘损坏,机柜门被撬开。学生恶意偷用电源。光缆被挖断等安全事件,因此。在信息化的建设中,保证设备的物理安全尤为重要。
建立机房、设备间的防火、防盗、监控和报警方案:
对一些关键设备。系统和链路,应设置冗余备份系统,避免网络设备因天灾或人为因素对网络造成的影响。
2.1.2终端安全防范措施
随着各高校网络覆盖范围的逐步增加,用网人数不断增多(如某高校校园网同时在线用户已经达到4500人),用户终端的安全问题成为校园网内网安全的主要问题之一。由于用网人员的计算机水平参差不齐,以及学生用户网络行为的不可控性,给网络安全带来了很大的隐患,因此需要从以下几个方面完善终端安全防范措施:
提供并推广可供全校师生员工使用的网络版杀毒软件,以及校内WSUS服务,逐步建立“没有杀毒软件”、“不打系统补丁”不上网的安全意识;
对校内突发的终端安全事故进行监控,及时提供必要的专杀工具、漏洞补丁:
提高技术人员的技术水平,采取相应的检测手段,利用先进的仪器设备,减少用户端安全事故的排查和定位时间。
2.1.3应用服务器安全措施
应用服务器是数字化校园的基础,是各个业务系统的载体,所以它的安全是至关重要的,因此,系统管理员的技术手段和安全意识在服务器的安全管理中起到至关重要的作用。
制定相关技术文档,规范应用服务器上线前的安全检查,督促管理员使用正版操作系统、安装杀毒软件、防火墙、自动更新等,并且定期扫描系统漏洞,更改系统密码。保证操作系统安全;
建立完善可靠的容灾恢复方案,对关键服务器采用双机热备方式,并且提供可靠的数据备份系统,如采用RAID技术以及利用磁带备份数据,确保事故发生时业务数据不丢失,系统能够快速恢复;
建立授权控制体系,对不同管理员设定不同的系统、数据库管理权限:
完善访问日志分析系统,定期对日志进行整理和分析,制定相应的安全策略。
2.1.4网络出口及边界安全
目前高校网络出口及边界设备主要分为路由器。防火墙、VPN等三类设备,网络出口及边界的安全主要包括配置合理、全面的安全策略,以及如何提高安全响应速度和快速、准确地定位攻击来源。针对这些方面,需要在出口及边界设备的管理中做到以下几点:
建立密码维护制度。定期更换设备Telnet、SSH登录密码以及SNMP共同体名;
>制定详细的ACL策略,限制登录设备的IP地址;
采取NAT机制。在保证校内用户正常上网的同时,继续优化8812路由器的安全功能;
启用防火墙的防病毒功能,在源头阻断病毒入侵;
合理规划SSL VPN的用户权限;
建立IDS+IPS的联动机制。完善网络监控与入侵防范;
建立出入双向的访问日志系统。
2.1.5应用分析控制技术的应用
在网络安全管理中,网络流量、网络应用的分析至关重要,网络管理人员需要明确地知道网络中有哪些网络应用,各种应用在网络中所占的带宽以及是否存在不良应用,如图1。
随着上网人数的增多,网络出口不可避免地出现拥堵现象,因此,需要进一步对网络应用进行分析,并制定有效的控制策略。
实时记录出口带宽使用情况,对恶意占用带宽的应用进行限制,确保基本应用的高效运行;
对网络流量进行监控,利用相关协议分析工具对网络应用进行深层坎的分析。
2.2信息安全建设规划
信息安全指保证系统中的信息不被破坏、不被窃取、不被非法复制和使用等。
2.2.1信息安全保障措施
通过一系列的措施,保证信息在传输和存储时的安全。
建立完善的实名上网制度,并且与各系统的日志配合,建立“上网ID+上网时间+上网IP+上网入”的一一对应关系;
建立合理的文件上传、审查制度,对关键数据采取数字签名技术,做到谁上传谁负责,安全事故责任到人;
对论坛、留言板等提供用户交流的版块加强监管力度。对有害和敏感信息进行监控;
数字校园关键服务器问数据传输采取加密方式,防止网络窃听、数据泄露等安全事故的发生;
对病毒邮件、垃圾邮件以及含有敏感信息的邮件进行过滤。
2.2.2数据安全建设
随着高校信息化建设的推进,各部门工作信息化的程度也将越来越高,如何保证数据安全,提高管理信息系统(MIS)的安全性是信息化过程中必须考虑的问题。
各部门需要制定MIS的相关管理制度:
制定MIS系统数据备份、灾难恢复方案;
定期对MIS漏洞进行修补。防止数据泄露。
2.3全局安全体系建设
根据对网络体系分层的概念,针对不同的层次制定不同的网络安全措施。做到有的放矢,从技术上实现检测、上报和控制一体化。例如锐捷公司提出的全局安全网络(GSN),如图2。
整合已建立的安全措施,增加针对上网用户的准入策略。在用户连入网络之前先进行客户端病毒及漏洞扫描,保证连入网络的客户端的安全性,从而最大限度地降低网络安全风险:
篇(5)
中图分类号:TN711 文献标识码:A 文章编号:
随着计算机网络的不断发展,信息全球化已成为人类发展的现实。但由于计算机网络具有多样性、开放性、互连性等特点,致使网络易受攻击。具体的攻击是多方面的,有来自黑客的攻击,也有其他诸如计算机病毒等形式的攻击。因此,网络的安全措施就显得尤为重要,只有针对各种不同的威胁或攻击采取必要的措施,才能确保网络信息的保密性、安全性和可靠性。
1威胁计算机网络安全的因素
计算机网络安全所面临的威胁是多方面的,一般认为,目前网络存在的威胁主要表现在:
1.1非授权访问
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
1.2信息泄漏或丢失
指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括:信息在传输中丢失或泄漏(如"黑客"利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、账号等重要信息)、信息在存储介质中丢失或泄漏、通过建立隐蔽隧道等窃取敏感信息等。 1.3破坏数据完整性
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。
1.4拒绝服务攻击
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
1.5利用网络传播病毒
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
2网络安全建设方法与技术
网络具有访问方式多样、用户群庞大、网络行为突发性较高的特点。网络安全问题要从网络规划阶段制定各种策略,并在实际运行中加强管理。为保障网络系统的正常运行和网络信息的安全,需要从多个方面采取对策。攻击随时可能发生,系统随时可能被攻破,对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。
2.1计算机病毒防治
大多数计算机都装有杀毒软件,如果该软件被及时更新并正确维护,它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时,对于病毒库中已知的病毒或可疑程序、可疑代码,杀毒软件可以及时地发现,并向系统发出警报,准确地查找出病毒的来源。大多数病毒能够被清除或隔离。再有,对于不明来历的软件、程序及陌生邮件,不要轻易打开或执行。感染病毒后要及时修补系统漏洞,并进行病毒检测和清除。 2.2防火墙技术
防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合,能在内部网络与外部网络之间构造起一个"保护层",网络内外的所有通信都必须经过此保护层进行检查与连接,只有授权允许的通信才能获准通过保护层。防火墙可以阻止外界对内部网络资源的非法访问,也可以控制内部对外部特殊站点的访问,提供监视Internet安全和预警的方便端点。当然,防火墙并不是万能的,即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。根据需要合理的配置防火墙,尽量少开端口,采用过滤严格的WEB程序以及加密的HTTP协议,管理好内部网络用户,经常升级,这样可以更好地利用防火墙保护网络的安全。
2.3入侵检测
攻击者进行网络攻击和入侵的原因,在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置,比如操作系统、网络服务、TCP/IP协议、应用程序、网络设备等几个方面。如果网络系统缺少预警防护机制,那么即使攻击者已经侵入到内部网络,侵入到关键的主机,并从事非法的操作,我们的网管人员也很难察觉到。这样,攻击者就有足够的时间来做他们想做的任何事情。
基于网络的IDS,即入侵检测系统,可以提供全天候的网络监控,帮助网络系统快速发现网络攻击事件,提高信息安全基础结构的完整性。IDS可以分析网络中的分组数据流,当检测到未经授权的活动时,IDS可以向管理控制台发送警告,其中含有详细的活动信息,还可以要求其他系统(例如路由器)中断未经授权的进程。IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。
2.4安全漏洞扫描技术
安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点,让网络管理人员能在入侵者发现安全漏洞之前,找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描,网络漏洞扫描,以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新,操作系统的漏洞随时都在,只有及时更新才能完全的扫描出系统的漏洞,阻止黑客的入侵。
2.5数据加密技术
数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。
2.6安全隔离技术
面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念"安全隔离技术"应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。
2.7黑客诱骗技术
篇(6)
中图分类号:TP393.08
随着网络阅读形式的普及,高校作为文化与技术资源的汇聚地,图书馆的运作逐渐走向网络化和数字化。高校图书馆的数据库系统具有资源覆盖范围广、学科与技术种类丰富、数字资源量大等特点,能够为广大的高校教师与学生提供全面的学术研究信息服务。然而同时高校图书馆也将面临着网络安全的问题。图书馆资源网络化是将图书馆资源面向更加广泛的受众用户群,而网络中存在着木马、病毒、黑客等安全隐患,同时环境因素、认为因素等也威胁着高校图书馆网络的安全,因此,在高校图书馆网络安全建设上采用完善的安全防护设计和制定相应的安全防护制度对于高校图书馆网络安全都具有非常重要的意义。
1 高校图书馆网络面临的安全威胁
1.1 运行环境安全威胁
计算机与联网设备属于高精度电子设备,其运行环境对于温度、湿度、供电稳定性、电磁干扰等具有一定的要求,而在这方面大多数高校图书馆并没有在机房建设时充分考虑到这些方面的因素,因此,对图书馆服务器、计算机设备的稳定性和安全性带来一定的隐患。同时,数字图书馆的建设要考虑到一些自然环境因素对图书馆网络安全的影响,譬如:雷电、火灾、地震、腐蚀性物质等,对于图书馆的网络安全都具有一定的威胁性。
1.2 硬件环境安全威胁
高校图书馆拥有强大的服务器和交换机,能够为近千台终端计算机提供服务,图书馆服务器的稳定是图书馆网络应用的关键。由于目前所使用的操作系统,无论是Windows、Linux还是UNIX都存在一定的系统漏洞,因此,在网络攻击上,对于图书馆服务器的攻击形式非常的多,譬如:DOS攻击、ARP入侵、SQL注入、木马植入等。此外,为了更好的服务于高校师生,大多数高校图书馆网络TCP/IP协议采用的是系统默认设置,方便多用户接入,但是这给图书馆服务器安全带来了较大的威胁。
1.3 软件环境安全威胁
数字图书馆的建设需要大量的软件应用,而目前很多病毒都集成在应用软件中,用户下载软件、安装软件过程中容易携带对图书馆服务器造成破坏的恶意程序,尤其是当图书馆与互联网相接入后,各种具有隐藏性、触发性、植入性、寄生性的病毒隐藏在互联网应用中,而高校图书馆网络互连很容易相互传染,最终导致整体瘫痪。
1.4 网络系统安全威胁
高校图书馆网络与互联网连接,给黑客攻击创造了条件,他们利用网路漏洞扫描、嗅探、欺骗、后门、口令破译等手段直接进入高校网络图书馆后台服务器管理系统中,删除重要文献资料、篡改信息、盗用资源等,给高校数字图书馆造成了严重的威胁。
2 高校图书馆网络安全建设的设计与实现
2.1 高校图书馆网络安全运行环境设计与实现
高校图书馆系统运行的安全是数字图书馆建设的首要环节,在建设运行环境方面要对图书馆服务器主机房的选址和环境布置进行科学的规划,并采用多种安全防护系统加以保护,譬如:建设稳定的供电系统、防火系统、通风系统和安保系统。
高校数字图书馆用电量大,对电压的稳定性要求高,因此,在供电系统设计上要采用具有功率大、耐用时间长、防雷电等性能的双机并联UPS系统。
高校图书馆服务器机房防火系统建设可以采用针对计算机等大用电量的电子设备专用灭火系统,譬如:采用七氟丙烷气体自动灭火系统,具有较好的清洁、绝缘、高效能等特点,同时该系统要具备自动火灾探测预警系统和火灾环境超标自动灭火机制。
高校图书馆主机房由于设备散热量较大,应配备24小时运转的机房专用空调,机房专用空调具有上送、下回送风功能,能够保证高校图书馆主机房各个方向的温度均衡。同时,机房专用空调具有温度自动探测功能和温度超标预警功能,条件允许的状况下,可配置双空调系统,为出现故障时可备用。
由于高校图书馆主机房设备具有很高的价值,因此,对于防盗监控应专门设计安保系统。安保系统应具备机房各个角落全方位监控功能,并具备红外预警装置,当发生偷盗设备时,可及时发出警告,并通过校园网直接连入校园保安室。在管理上可采用专人专管,设置门禁系统。
2.2 高校图书馆网络安全硬件系统设计与实现
高校图书馆硬件配置要首先具备双机热备系统,可确保图书馆服务器安全运转。其次,要具备数字图书馆资源独立存储系统和独立应用系统,图书资源存放在存储系统中,不附加应用软件,降低被恶意攻击的威胁,应用系统在调用存储系统中资源时需要提供正确的密钥,确保资源调出安全。第三,数字图书馆与校园网络相连接要建立安全防护机制,譬如建立防火墙等。第四,硬件选择要具备国家认可的相关合格证明,同时设备要具备后续改造升级的能力,设备接口采用标准化接入,具有良好的兼容性,以降低升级改造费用。
2.3 高校图书馆网络安全软件系统设计与实现
高校图书馆网络安全软件系统包括系统软件和应用软件。在系统软件设计上采用稳定性、安全性高的操作系统,通常在UNIX系统环境下的操作系统抗威胁能力较Windows和Linux更强,尤其是UNIX所衍生出的针对于图书馆应用的操作系统,如:AIX、Solaris等。在操作系统安装过程中,选择自定义安装,根据需要设置较为安全的权限管理,同时为操作系统安装最新的安全补丁、杀毒软件、防火墙等。停止使用Guest用户登陆,设计较为复杂的管理员用户名及密码,将IIS访问权限设为高级。
在应用软件应用上,在应用系统中安装正版的应用软件,并根据用户级别设置数据库的访问权限,加强应用软件安装的安全检测能力,如检测到用户安装的应用软件携带病毒或者木马则强行停止安装。
2.4 高校图书馆网络安全网络系统设计与实现
目前,高校图书馆面向社会化开放,这就导致来自互联网的威胁给高校图书馆网络安全性面临着严峻的考验。高校图书馆与外部网络连接需要通过高端的防火墙和完善的用户认证,阻止外部用户直接访问高校图书馆数据库,并且对外隐藏IP、网关等信息。在高校图书馆内部网络建设上要建立独立的局域网络,采用VLAN技术对不同图书馆资源利用区域进行划分管理,设置自动软件升级、防火墙升级和定期杀毒。
3 高校图书馆网络安全防护对策
建设高校图书馆网络安全防护体系,需要对高校图书馆网络构建成为多层次、多方面监管的安全防护网络,在安全防护对策上应遵循以下几方面原则,确保高校图书馆网络安全运转。
3.1 安全防护的全面性
在构建高校图书馆网络安全体系时,要从软、硬件、环境等方面进行物理性安全防护,还要不断的提高安全技术能力和监管力度,确保图书馆机房的安全运转。同时,要做好突发问题应急处理机制,当出现故障时能够将损失降到最低。
3.2 安全防护的最小权限性
构建高校图书馆网络安全等级权限分类,以可提供最少服务权限为原则,建立最大安全防护措施,权限等级要分明,严格执行权限管理制度。将数据库系统与应用系统区分管理,数据库管理权限设置管理人数越少越好,尽量避免用户浏览非图书馆允许类网站,将恶意网站登记到应用数据库中,禁止访问。
3.3 安全防护的集中管理性
高校图书馆网络安全集中管理是将多种安全防护措施进行统一管理,由专业的网络安全管理专家进行监控。在管理上不仅要从技术上进行研究,而且需要在制度上进行严格管理,譬如:建立安全责任制度、日常维护制度、数字图书馆应用制度、资料备份制度、保密制度等。对于各项制度的落实要进行统一集中的管理,方便制度的执行与落实。
3.4安全防护的长期性
网络环境更新速度快,恶意攻击、病毒类型等不断演变,新型的攻击手段和木马病毒不断涌现,这就要求高校图书馆网络安全建设要具有可升级、可扩建能力,不仅要及时更近防火墙、杀毒软件,在硬件设备上要具备可扩展性,能够提高硬件安全,建立长期的安全防护机制,做到实时监管、实时控制。
4 结束语
高校图书馆是高校文化与技术资源聚集融汇的地方,在面对数字化图书馆的需求方面,高校图书馆不仅要建立丰富的资源网络,而且要确保高校数字图书馆的应用安全。在高校图书馆网络安全建设上,环境、设备、软件、管理要统一目标,科学建设、加强监管,利用先进的网络安全技术和完善的管理制度实现高校图书馆数字化安全运转。
参考文献:
[1]马敏,刘芳兰,宁娇丽.高校数字图书馆网络安全风险分析与策略[J].中国安全科学学报,2010(04):130-135.
[2]高琦.数字图书馆网络信息安全分析及对策研究[J].图书馆学刊,2012(06):132-133.
[3]王元.高校数字图书馆信息安全保障研究[J].图书情报工作(增刊),2010(02):327-331.
[4]颜昌茂,周吟剑,.高校图书馆网络安全系统的构建[J].情报探索,2014(01)108-111.
篇(7)
2 中小型企业网络现状及需求
国有大中型企业是我国的经济支柱,中小企业是我国经济组成的重要组成部分,我国中小型企业众多,对计算机网络技术应用比较简单,没有很好的利用Internet的优势,实现企业经济的腾飞及壮大。中小型企业网络主要应用是日常办公,数据处理,属于“单机版”类型,或者企业分支机构与总部就是简单通过电子邮件,或者qq进行企业数据信息传输,这样安全保密性太差。主要原因是:
1) 中小型企业资金比较贫乏,没有更多的资金来购买成熟网络安全产品,而且成熟的网络安全产品价格一般比较昂贵,主要面向大型企业。中小型企业分布广,业务灵活,经济实惠的远程数据安全传输解决方案甚少,而且技术复杂,维护较难,不能满足中小企业的需要。
2) 中小型企业技术力量薄弱,没有专业的网络技术人员,一般是企业年轻的懂点计算机的员工兼职网络管理,与专业网络管理员还有一定的差距。
3) 中小型企业网络基本属于一个“信息孤岛”,与外界进行数据通信不能做到安全可靠传输,不能确保数据信息不泄露、不丢失、不被篡改等,影响企业的快速发展。
3) 中小型企业领导重视网络建设还不够,网络建设相对比较简单,根据中小型企业目前对网络的需要及依赖,进行简单网络建设,没有长远的网络建设规划,致使企业在壮大的过程中,网络建设不能快步跟上,往往被忽视。中小企业网络由于资金贫乏,技术力量不足等原因,在建设的初期就还可能留下许多漏洞与不足,这样更容易被黑客攻击。
4) 中小型企业用户不能进行远程数据信息的安全可靠传输,企业员工,或者领导外地出差,或者分支机构的网络,就不能访问企业网络,不能远程进行办公,远程快速的进行事务处理。
5) 中小型企业与合作伙伴之间没有利用互联网的优势,在它们之间没有建立一个企业扩展网络,导致数据信息的安全交流和企业的密切合作收到影响。
在复杂的网络环境下,解决中小型企业的远程数据信息安全可靠的传输就变得越来越重要了,还需考虑方案的经济实用,维护简单容易。对于中小企业网络中传输的重要数据信息,如财务报表等,必须保证数据信息完整性、可用性和机密性。完整性是数据信息在传输或存储过程中保证没有被修改,没有被破坏,没有被丢失等;可用性是数据信息可被授权实体访问,并按需求使用的特性,即指定用户访问指定数据资源;机密性是保证数据信息网络传输保密性和数据存储的保密性,数据信息不会泄露给非授权的用户、实体或过程。确保只有授权用户才可以访问指定数据资源,其他人限制对数据信息的读写等操作。
3 经济实用安全方案
从中小型企业网络现状及需求,利用VPN技术跨越Internet组建中小企业扩展网络,保证远程移动用户、企业分支机构和企业合作伙伴之间安全可靠的进行远程数据信息传输。通过实践实验,研究出经济实用,安全可靠,配置和维护比较容易的中小型企业网络安全性解决方案,如图1所示。VPN服务器也称为VPN网关,可以使用高性能的计算机来担当,并且安装两块网络适配器,一块网络适配器用于连接中小型企业内部网络,分配内网IP地址,另一块网络适配器连接外部网络,分配外网IP地址。VPN服务器是内网和外网连接的必经之路,服务于内外两个网络,也是内网的安全屏障,相当于中小型企业的防火墙,它可以完成对访问企业网络的用户进行身份认证、数据进行加密解密处理、密钥交换等。VPN服务器安装Windows Server 2003操作系统,充分利用公共网络Internet的资源,通过VPN技术,实现中小企业远程数据信息传输的安全性、完整性,可用性和保密性。
3.1 IPSec VPN保证数据信息远程安全传输
1) VPN技术
VPN又称虚拟专用网,是在公共网络中建立专用网络,数据信息通过建立的虚拟加密“安全隧道”在公共网络上进行传输,即充分利用公共网络如Internet的资源,达到公网“私用”的效果。中小企业只需接入Internet,就可以实现全国各地分支机构,甚至全世界各地的分支机构,都可以随时随地的访问企业网络,实现远程数据信息的安全可靠传输。而且VPN具有节省成本、配置相对简单、提供远程访问、扩展性较强、便于管理维护、实现全面控制等好处,是企业网络发展的趋势。
2) IPSec协议
IPSec是一个开放的应用范围广泛的网络层VPN协议标准,是一套安全系统,包括安全协议选择、安全算法、确定服务所使用的密钥等服务,在网络层为IP协议提供安全的保障,即IPSec可有效保护IP数据报的安全,如数据源验证、完整性校验、数据内容加密解密和防重演保护等。保证企业网络用户的身份验证,保证经过网络传输过程中数据信息完整性检查,加密IP地址及数据信息保证其私有性和安全性。
3) 基于IPSec的VPN技术
基于IPSec的VPN技术解决了在Internet复杂的公网上所面临的开放性及不安全因素的威胁,实现在不信任公共网络中,通过虚拟“安全隧道”进行数据信息的安全传输。IPSec协议应用于OSI参考模型的第三层网络层,基于TCP/IP的所有应用都要通过IP层,将数据封装成一个IP数据包后再进行传输,所有要实现对上层网络应用软件的全透明控制,即同时对上层多种应用提供安全网络服务,只需要在网络层上采用VPN技术,基于IPSec的VPN技术提供了5种安全机制,即隧道技术、加密解密技术、密钥管理技术、身份验证技术和防重演保护技术,通过基于IPSe c的VPN技术,来保证传输数据的安全性、可用性、完整性和保密性[1]。
(1)隧道技术,隧道也可称为通道,是在公用网中建立一条虚拟加密通道,让数据包或者数据帧通过这条隧道安全传输。使用虚拟“安全隧道”传递的数据可以是不同协议的数据帧或数据包。“隧道”协议分为二、三层隧道协议,第二层隧道协议先把各种网络协议封装到PPP中,再把整个数据帧装入到隧道协议中。这种双层封装方法形成的数据帧依靠第二层协议来传输,第二层协议包括PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入到隧道协议中,形成的数据包依靠第三层协议进行传输。第三层协议有GRE、IPSec等。这里使用IPSec中的ESP(Encapsulated Security Payload)和AH(Authentication Header)子协议保护IP数据包和IP数据首部不被第三方侵入,在两个网络之间建立一个虚拟“安全隧道” 用于数据信息的安全传输。授权用户,通过IPSec安全策略的配置实现对网络安全通信的保护意图,其安全策略包括什么时候什么地方对AH和ESP保护,保护什么样的通信数据,什么时候什么地方进行密钥及保护强度的协商。IPSec通过认证和钥匙交换机制确保中小型网络与其分支机构网络或合作伙伴进行既安全又保密的信息传输。在计算机上装有IPSec的终端用户可以通过拨入ISP的方式获得对公司网络的安全访问。
(2)加密解密技术,是为了保障虚拟“安全隧道”的安全可靠性,提供了非常成熟的加密算法和解密算法,如3DES、DES、AES等,抵抗不法分子修改或截取数据信息的能力,同时保证必须使偷听者不能破解或解密拦截到的的数据信息,但是授权用户可以通过解密技术,完整的访问数据资源。
(3)身份认证技术是通过对企业分支用户或远程用户进行身份进行验证,提供安全防护措施与访问控制,包括对VPN“安全隧道”访问控制的功能,有效的抵抗黑客通过VPN通道攻击中小型企业网络的能力。通过VPN服务器对授权用户的身份及权限的验证,严格控制授权的用户访问资源的权限。在每个VPN服务器上为远端用户的身份验证凭据添加用户信息,包括用户名及密码,并且配置了用户名与呼叫用户所使用的用户名称相同的请求拨号接口。
(4)密钥交换技术,为了防止密钥在Internet复杂的公网上传输过程中而不被窃取。提供密钥中心管理服务器,现行的密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。VPN技术能够生成并更新客户端和服务器的加密密钥和密钥的分发,实现动态密钥管理。如果采用L2TP/IPSec模式的站点到站点VPN连接,还需要在每个VPN服务器上同时安装客户端身份验证证书和服务器身份验证证书;如果不安装证书,则需要配置预共享的IPSec密钥。
(5)防重演保护。具备防止数据重演的功能,而且保证通道不能被重演。确保每个IP包的合法性和惟一性,保证信息万一被截取复制后,或者攻击者截取破译信息后,再用相同的信息包获取非法访问权,确保数据信息不会被重新利用、重新传回目标网络,
3.2其他辅助安全措施
对VPN服务器,还可以启动软件防火墙功能,如安全访问策略、日志监控等功能,还可以安装杀毒软件,为内网提供安全屏障,再次增加网络安全可靠性能。软件防火墙通过设置的包过滤规则,分析IP数据报、TCP报文段、UDP报文段等,决定数据包是被阻止,还是继续转发,从网络层和传输层上再次给予安全控制,提供了多层次安全保障体系。还可以增加应用层的过滤规则配置,再次提升VPN服务器安全性。
4 实践应用分析
通过实践应用,跨越Internet的中小型企业网络安全解决方案分别从网络层、传输层和应用层三个层次上给予安全保障,该方案充分利用VPN的“公网专用”的特点,允许中小型企业拥有一个世界范围的专用网络,在公用网中开辟虚拟“安全隧道”来保证远程数据信息传输的可靠性和安全性;通过辅助的防火墙功能,进一步增加其安全。该方案使用高性能的PC充当VPN服务器,并配以Windows Server 2003操作系统,无需额外的复杂硬件设备与高昂的系统软件,成本低、经济实用、容易实现、维护简单,是中小型企业网络扩展不错的选择方案。VPN服务器不但具备VPN技术的功能外,还是一个中小企业的防火墙,安全配置、安全策略容易实现,一旦出现较大安全威胁,便于快速隔离网络。
当然此方案也存在一些缺陷,主要是有依赖操作系统的安全性,操作系统本身的漏洞可能会造成安全隐患;VPN服务器是集多种服务于一体,需要较高高性能的计算机;VPN服务器故障会导致网络连接失效;由软件实现数据加密与解密、包过滤等,一定程度会占用系统资源,也会使通信效率略有降低;同时重注企业内部员工的安全培训,有效地抑制社会学的攻击,对来自企业内部员工的攻击显得无能为力。
5 结束语
跨越Internet的中小型企业网络安全技术方案比较经济、实用、安全、配置简单,为中小企业打造一个世界范围的网络提供了较有力的技术支持,使得中小企业网络也融入到互联网这个“大家庭”中,不仅提高了中小型企业的工作效率,而且增强了其竞争力,将推动中小型企业电子商务,电子贸易,网络营销走向繁荣,加快了中小企业网络信息化和经济快速发展的步伐。
参考文献:
[1] 郝春雷, 郑阳平.中小型企业敏感分支网络安全解决方案[J].商业时代,2007,(21):45.
[2] 阿楠. VPN虚拟专用网的安全[J].互联网天地,2007,(7):46-47.
[3] 李春泉,周德俭,吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报,2004,3:365-368.
篇(8)
对于计算机的网络病毒来讲,其每一天都在不断的进行变化,类别多种多样,传播的范围相对较广,传播的速率较快,破坏性相对较强。大多数网络病毒都是利用电子邮件或者网页共享等形式传播的。其作为一项攻击性较强的程序,能够长时间的隐藏在网络软件系统中,也能够快速的攻击计算机网络,令其处于瘫痪,通过软件系统的程序运转及数据共享实施传播。其不仅能够对计算机的网速造成影响,同时还会损坏计算机内的重要资源与程序,严重的甚至使计算机的硬件设备出现损坏。
1.2非法侵入的危害
对于非法侵入来讲,其存在很多形式,对信息的高效性及完成性造成选择性的损坏,从而使部分数据丢失或外泄,非法占有系统资源。非法侵入能够在不危害网络的前提下截取重要的信息、数据,也能够使服务系统崩溃。较为著名的“蠕虫病毒”就是非法侵入的一种。
2维护计算机网络安全的具体措施
2.1对计算机的网络进行安全维护
想要保证计算机网络环境的安全,可以从以下几方面入手:其一,实行密码的方法。当用户通过网络互相通信器件,最主要的威胁就在于信息的窃取。而利用一些复杂的密码,并且每隔一段时间进行更换的方法就能够高效的预防信息窃取的情况出现;其二,实行防火墙的方法。将计算机内部的防火墙打开,能够良好的预防来自互联网的攻击。对于防火墙来激昂,其能够在计算机同外部网络环境之间建立一层防护。一般防火墙有个人计算机防火墙及硬件防火墙两种类别;其三,定期对计算机及网络系统的情况进行检查。通过这种方法能够及时发现系统故障,从而减少危害。同时,需要对计算机网络的设备及主服务器进行细致检查,如遇问题,尽快修复,从而确保计算机始终处在最佳的运行状态下。
2.2预防病毒入侵
因为病毒侵染造成计算机不能顺利工作的情况经常出现,一般计算机在感染病毒以后会发生蓝屏、死机、无法启动等情况。当计算机应用一定时间以后,系统速率会变慢,甚至发生数据丢失的问题。现今,网络是传递病毒的重要途径,想要保证计算机可以正常应用,高效预防病毒入侵,就需要从以下几方面入手进行预防:其一,为计算机加装正版的杀毒软件,例如:瑞星、360等,同时确保杀毒软件始终处在自动更新的情况,每个一段时间需要对软件的杀毒及更新情况进行检查;其二,在下载并安装一些软件前需要慎重,安装前先通过杀毒软件进行检查,然后才能够进行安装操作。部分压缩包得软件能够自行安装,所以,不可以随意打开,而需要先将其解压,杀毒后方可进行安装;其三,每个一段时间需要对计算机实施全面、整体的杀毒操作,同时经常关注新闻,了解是否存在新型的病毒;其四,每隔一段时间下载同时安装系统的安全补丁。现今,大多数软件公司都会及时的其产品的补丁。如果程序存在漏洞,很容易让人有可乘之机,通过定期检查并安装补丁能够保证计算机安全工作。
2.3保证数据信息的安全
在计算机内,有很多重要的数据信息,如果丢失,很容易造成个人或集体的利益受到伤害,所以,需要保证数据信息的安全。对数据信息进行加密处理能够高效增强计算机及数据的安全性与保密性,并且预防出现外部损坏及丢失等情况。利用各种加密的方法确保数据各个过程处在安全状态,就算被他人获取,也无法进行识别。尽管数据加密的方法较为被动,然而其安全性能相对较高,是不可缺少的网络安全维护措施之一。
篇(9)
引言
伴随医院信息化建设脚步的不断推进,众多医院挂号、门诊、住院等各个流程产生的数据均实现了网络传输,网络安全在全面医院信息系统安全中扮演着越来越重要的角色。引入一系列先进技术强化对网络的管理、促进网络结构优化,是保证网络安全的一大保障。虚拟局域网作为可靠、高效的信息网络管理系统,其可为医院网络安全建设打下有力基础,在医院网络安全建设中可发挥至关重要的作用。虚拟局域网技术的推广极大水平上推动了医院工作的开展,然而在发展过程中如何解决安全保障问题是当前的一大关键,医院唯有在更可靠、更安全的网络建设中,方可有序高水平的开展工作,这同样是医院网络安全有序发展的前提。由此可见,对虚拟局域网下医院网络安全建设开展研究,有着十分重要的现实意义。
1虚拟局域网技术概述
虚拟局域网指的是经由将局域网内的设备逻辑地而并非物理地划分为各个网段,进一步实现虚拟工作组的技术。换言之,虚拟局域网是网络设备上连接的不受物理位移影响的用户的1个逻辑组。可将各个逻辑组概括为1个特定的广播域;各个虚拟局域网均涵盖了1组有着一致需求的计算机终端,以物理上形成的局域网有着一致的属性。通常而言,虚拟局域网在交换机上实现方法,主要包括四种划分策略,即分别为以端口为前提划分的虚拟局域网、以MAC地址为前提划分的虚拟局域网、以网络层协议为前提划分的虚拟局域网以及以IP组播为前提划分的虚拟局域网。其中,以端口为前提划分的虚拟局域网指的是结合交换机上的物理端口开展的划分,其优点在于可直接定义,划分便捷,易于实现,技术完善;不足之处则是用户物理位置发生变化时,要求重新进行定义,缺乏灵活性;其通常适用于各种规模的网络。以MAC地址为前提划分的虚拟局域网指的是结合用户主机MAC地址开展的划分,其优点在于用户移动时,虚拟局域网无需重新定义;不足之处则是设备初始化,要求对每一位用户进行定义;其通常适用于小型局域网。以网络层协议为前提划分的虚拟局域网指的是结合IP、Banyan、DECnet等网络层协议开展的划分,其优点在于可依据协议不同类型对虚拟局域网进行划分,且广播域可实现对不同虚拟局域网的跨越;不足之处则是效率偏低,技术不完善;其通常适用于同时运行多协议的网络[1]。以IP组播为前提划分的虚拟局域网指的是一个IP组播即为一个虚拟局域网,其优点在于灵活性高,易于经由路由器实现扩展;不足之处则是设置难度大,效率偏低,技术不完善,通常适用于处在不同地理范围的用户组成的网络。
2医院网络安全建设面临的主要困境
2.1对网络安全建设缺乏有效认识
伴随信息时代的飞速发展,网络安全建设越来越为诸多行业领域所关注,医院同样如此。然而现阶段,医院网络安全建设依旧处在初级发展阶段,网络安全建设还存在各式各样的问题,人们并未对网络安全建设形成有效认识,因为认识不足使得在网络设备引入后其作用难以得到有效发挥,造成各项设备未能切实为医院医疗服务工作创造便利,因而应当提高对网络安全建设的有效认识,方可让网络安全建设切实为医院所用。
2.2缺乏健全的网络安全保障
在医院网络安全建设中,诸多安全问题往往会被忽略,而网络安全显然是网络安全建设中的重要内容。一些医院在网络信息管理中表现出安全意识不足,缺少计算机相关人力、物力的投入,对网络设备管理维护缺乏足够重视,往往会在应用过程中出现因故障而无法使用的情况。近年来,医院面对庞大的医疗数据、信息,对网络信息系统变得更加依赖。而由于缺乏健全的网络安全保障,使得信息数据难以得到有效备份,一旦遭受病毒或者不法分子的攻击,使得医院信息数据被篡改、盗取等,必然会对医院带来极大的损失。
2.3缺乏完善的网络系统管理
医院网络系统管理缺乏一个切实完善的制度标准。首先,在设备维护方面,系统管理人员对设备保护认识不足,未能开展定期清理,长此以往,对设备使用性能造成不利影响。其次,一些系统管理人员对工作管理制度缺乏足够重视,应用网络设备做与工作不相干的事情,对设备运行速度造成不利影响,因而这些均属于医院网络系统管理中亟待解决的问题。
3虚拟局域网下医院网络安全建设策略
虚拟局域网技术的推广极大水平上推动了医院工作的开展,然而在发展过程中如何解决安全保障问题是当前的一大关键,医院唯有在更可靠、更安全的网络建设中,方可有序高水平的开展工作,这同样是医院网络安全有序发展的前提。在信息时代背景下,全面医院应当紧紧跟随时代前进步伐,不断开展改革创新,强化对先进发展理念的学习借鉴,切实推动医院网络的安全有序运行。如何进一步强化虚拟局域网下医院网络安全建设可以将下述内容作为切入点:
3.1虚拟局域网在医院网络安全建设中应用优势
医院网络安全建设中应用虚拟局域网技术具备一系列优势,主要包括有:(1)阻止广播风暴,提升网络整体性能。在局域网中各个工作站均会发送出广播信号并获取大量的响应,极易引发局域网中的广播风暴现象,因而在虚拟局域网组中,将局域网中各项业务工作依据内容不同开展划分,以实现广播信号之间的有效隔离,进而切实解决由于广播信号泛滥而引发的网络阻塞问题[2]。与此同时,依托虚拟局域网技术可将网络的诸多资源配置给需要的部分使用,一方面确保不同部门相互间网络资源需求的最大化,一方面尽可能提升医院网络使用效率,提升医院网络整体性能。(2)促进网络的安全有序运行。传统局域网中传输的数据报极易受到相同网络中任一设备操作截取,进而对医院信息安全带来极大威胁。虚拟局域网划分完毕后,均需要经由路由来转发局域网相互间的数据,没有路由的局域网则会转变为一个独立的局域网,其对应的安全性能同样可得到有效提升。(3)为网络管理、维护创造极大便利。将各项工作依据业务内容差异划分至各个虚拟局域网中,有利于系统管理员开展集中管理,无需再移动工作站便可灵活地将工作由一个局域网转入至另一个局域网,针对移动的办公用户,局域网还对这一移动设备的接入点进行自动识别,其性能与在本单位的局域网中无明显差异,倘若某一局域网中引发故障并不会对其他网络设备运行造成影响,进而为系统管理员在开展故障排除时提供有效便利[3]。
3.2虚拟局域网在医院网络安全建设中应用实例
以端口为前提与以IP组播为前提相结合划分的虚拟局域网,其沿用了最常规的虚拟局域网成员定义方法,操作简单,易于推广应用。医院网络有着节点多、分布范围广等特征,因而可推行核心层、汇聚层以及接入层的层次化设计模式,真正意义上确保网络的可扩展性。于Extream核心交换机上依据端口划分成VLAN2、VLAN3等多个虚拟局域网,同时逐一对应医院内部的多个不同部门。通过对三层交换机的统一应用,核心层、汇聚层可实现有序转发;同时,核心层、汇聚层采取光纤技术接入,获得千兆级带宽。依据各个业务层,将汇聚层交换机端口划分成各个虚拟局域网,虚拟局域网划分相应的IP地址,某一虚拟局域网中计算机便以其地址为网关,其他虚拟局域网则不可与这一虚拟局域网处在同一子网。相同虚拟局域网的不同交换机端口的相互访问,可依托IEEE国际标准VLANTrunk得以实现。可将两台交换机级联端口调节成Trunk端口,如此一来,在交换机将数据包由级联口传输出去过程中,会于数据包中做一标记,以便于其他交换机识别这一数据包属于哪个虚拟局域网,然后,其他交换机接收到该数据包后,便会将这一数据包传输至对应指定的虚拟局域网,进一步实现跨越交换机的虚拟局域网内部数据传输接收[4]。虚拟局域网技术在医院网络安全建设中的应用,可极大水平减少医院信息网络数据包的传输,提升网络传输效率。与此同时,因为各个虚拟局域网必须要通过路由器转发方可完成通讯,由此为高级安全控制创造了可能,进一步极大水平提升了医院信息系统管理人员的管理效能及网络安全性。
4结束语
总而言之,当前时代背景下,医院网络安全有序运行与否,很大程度上影响着医院医疗工作的有序运行。鉴于此,医院相关人员务必要不断钻研研究、总结经验,提高对虚拟局域网技术内涵特征的有效认识,强化对医院网络安全建设面临主要困境的深入分析,强化对虚拟局域网技术的科学合理应用,积极促进医院网络的安全有序运行。
参考文献:
[1]张剑,张岩.虚拟局域网技术在医院网络建设中的应用[J].解放军医药杂志,2010,22(06):563-565.
[2]吕晓娟,王瑞,郭甲,等.运用虚拟局域网技术加强医院网络安全建设[J].医学信息(中旬刊),2011,24(07):3130-3131.
篇(10)
智能建筑区域数据库中的数据必须具有以下特殊性:首先是独立性,包括物理数据独立性,即改变内部模式时无需改变概念或外部模式,数据库物理存储的变动还会影响访向数据的应用程序;逻辑数据独立性,即修改概念模式时无需修改外部模式;其次是共享性,数据库中的数据应可被几个用户和应用程序共享;最后是持续性,即数据在整个设定有效期内稳定保持。
数据库有三个主要组成部分:数据、联系、约束和模式。数据库管理系统则是为数据库访问服务的软件,它应为支持应用程序和操作库中的数据提供下列服务:事务处理、并发控制、恢复、语言接口、容错性、数据目录、存储管理。
智能建筑中的数据库系统(含子数据库系统)与某些商业系统相比,虽然规模不大,但功能复杂、性质迥异,因而主数据库与各子系统数据库的集成有着很高的技术难度,可以说是现有各种数据库技术的集成。理想的智能建筑数据库系统应具有以下特性:开放性面向对象,关系型,实时性、多媒体性、互操作性、分布性、异构性等。所以一个理想的智能建筑(集成)数据库体系应该是开放的,面向对象的、关系型的、实时的,分布式的或操作的多媒体异约数据库体系。这一体系的安全保障:
首先是安全性,即数据库在数据不得被非法更改或外泄。同时,智能建筑数据库中的数据也具有其他一般特性,如一致性等。其次是安全保障,智能建筑中各子系统数据库必须能免受非授权的泄露导致更改和破坏,每个用户(也包括各子系统)和应用程序都应只拥有特定的数据访问权,以防非法访问与操作。这一功能在FAS、SAS及某些OSA系统中是必不可少的。
因特网的数据库访问技术和远程监控的框架及房地产信息网络的安全措施
首先,因特网的数据库技术相结合的Web数据库的应用,实现了信息从静态向动态的转变,而其中远程数据服务是核心。
目前比较流行的Browser/Server模型是采用三层模式结构:表示(Browser),提供可视界面,用户通过可视界面观察信息和数据,并向中间层发出服务请求;中间层(WebServer)实现正式的进程和逻辑规则,响应用户服务请求,是用户服务和数据服务的逻辑桥梁;数据库服务层(DBServer),实现所有的典型数据处理活动,包括数据的获取、修改、更新及相关服务。
Browser端一般没有应用程序,借助于Javaapplet、Actives、javascript、vabscvipt等技术可以处理一些简单的客户端处理逻辑,显示用户界面和WebServer端的运行结果。中间层负责接受远程或本地的数据查询请求,然后运用服务器脚本,借助于中间部件把数据请求通过数据库驱动程序发送到DBServer上以获取相关数据再把结果数据转化成HTML及各种脚本传回客户的Browser、DBServer端负责管理数据库,处理数据更新及完成查询要求,运行存储过程,可以是集成式的也可以是分布式的。在三层结构中,数据计算与数据处理集中在中间层,即功能层。由于中间层的服务器的性能容易提升,所以在Internet下的三层结构可以满足用户的需求。
其次,远程监控的框架。
基于因特网的楼宇设备运程监控结构,这个结构是基于NT的平台上。对于市场上的BA系统,如江森和霍尼维尔等,他们系统内置有专用的数据库,并提供有接口可以转化为标准的数据库,通过前面提供的方法,用户可以从远程通过调用数据库来了解整个BA系统的情况。如果他想获得BA系统的实时状况和实时控制BA系统可以直接通过相应的CGI程序监控BA系统。
通过这样的结构,授权的用户可以在远程获得建筑设备每一个部件的相关数据,除了数据监测和报警功能之外,还有比如数据记录趋向预测、基本维护等功能。现代的BAS系统包括数以千计的外部点,所以传输的数据必须经过优化仅仅是关键数据才应该在BAS和远程使用者间传输。而在房地产建筑设备中,
HVAC系统和照明系统最耗能的,在开率控制系统的功能时,用户的满意程度是主要的参考因素,所以目前建筑设备的控制和足够通风量;照明系统,为房客和公用区提供足够照明;报警系统有,对烟、火警的探测和处理;传送系统有升降机,传送带,运输带和自动门,电力供应系统等。
在大多数BAS系统中,主要是四类信号:模拟输入、模拟输出、数字输出、数字输入。对于一个具体的BAS系统而言,它的输入输出包括烟感探头状态,空气混合室、中过滤器状态,识别空调房间情况的传感器等;二进制输出包括回风机、送风机、VAV控制盒、照明、报警等;模拟量的输入包括回风和室外新风的温湿度;送风压力,VAV控制盒的空气流动速度,送回温度、房间温度、回风温度等;模拟量输出包括送风、回风的风速,冷水的流动速度等。所以可将需要远程传输的信号可以分为五类进行传输状态类、感受器类、报警器类、趋势类和控制类。版权所有
在现代化的房地产建筑中智能建筑建设与网络营销的原则为:业务为导向,市场为支力,网络为基础,技术为支撑,效益为根本,服务为保障
智能建筑设备给人们带来方便的同时,也给自己带来了一个个不速之客——黑客、信息网络及网络炸弹和因之而来利用网络犯罪分子,在方便自己的同时,也为那些离智能的犯罪分子带来了一个靠近自己便捷的通道。毫无疑问在HTML语言规划制定和Vbscript及javascript文件操作功能被现代建筑设备中广泛应用的同时,房地产信息网络安全不由自主地成为我们首当其冲的问题。
如前边所述,在利用数据库和因特网技术监控的同时,房地产信息网络的安全问题的措施也应运而生。
而网络“营销”需要两个条件:一是采取传统的市场营销手段;二是在网上提供价格有吸引力的商品。应该说至少到目前为止,传统营销与网络营销实质上是房地产整体营销策略的两个有机组成部分。传统营销的对象是房地产网站本身和房地产企业品牌,而网络营销的对象是有关企业的大量信息,这两部分是缺一不可的,只有整合才能使其发挥最大的功效。
