時間:2023-03-20 16:12:17
導語:在企業網絡安全論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
保護企業網絡系統的軟件、硬件及數據不遭受破壞、更改、泄露,信息系統連續可靠地運行是企業網絡安全的基本要求。企業網絡安全分為物理安全和邏輯安全,邏輯安全是對信息的保密性、完整性和可用性的保護。物理安全是對計算機系統、通信系統、存儲系統和人員采取安全措施以確保信息不會丟失、泄漏等。目前企業網絡中缺乏專門的安全管理人員,網絡信息化管理制度也不健全,導致了部分人為因素引發的企業網絡安全事故。因此企業網絡安全必須從技術和管理兩個方面進行。
2企業網絡安全所面臨的威脅
企業網絡安全所面臨的威脅除了技術方面的因素外,還有一部分是管理不善引起的。企業網絡安全面臨的威脅主要來自以下兩個方面。
2.1缺乏專門的管理人員和相關的管理制度
俗話說“三分技術,七分管理”,管理是企業信息化中重要的組成部分。企業信息化過程中缺乏專門的管理人員和完善的管理制度,都可能引起企業網絡安全的風險,給企業網絡造成安全事故。由于大部分企業沒有專門的網絡安全管理人員,相關的網絡管理制度也不完善,實際運行過程中沒有嚴格要求按照企業的網絡安全管理制度執行。以至于部分企業選用了最先進的網絡安全設備,但是其管理員賬號一直使用默認的賬號,密碼使用簡單的容易被猜中的密碼,甚至就是默認的密碼。由于沒有按照企業信息化安全管理制度中密碼管理的相關條款進行操作,給系統留下巨大的安全隱患,導致安全事故發生。
2.2技術因素導致的主要安全威脅
企業網絡應用是架構在現有的網絡信息技術基礎之上,對技術的依賴程度非常高,因此不可避免的會有網絡信息技術的缺陷引發相關的安全問題,主要表現在以下幾個方面。
2.2.1計算機病毒
計算機病毒是一組具有特殊的破壞功能的程序代碼或指令。它可以潛伏在計算機的程序或存儲介質中,當條件滿足時就會被激活。企業網絡中的計算機一旦感染病毒,會迅速通過網絡在企業內部傳播,可能導致整個企業網絡癱瘓或者數據嚴重丟失。
2.2.2軟件系統漏洞
軟件的安全漏洞會被一些別有用心的用戶利用,使軟件執行一些被精心設計的惡意代碼。一旦軟件中的安全漏洞被利用,就可能引起機密數據泄露或系統控制權被獲取,從而引發安全事故。
3企業網絡安全的防護措施
3.1配備良好的管理制度和專門的管理人員
企業信息化管理部門要建立完整的企業信息安全防護制度,結合企業自身的信息系統建設和應用的進程,統籌規劃,分步實施。做好安全風險的評估、建立信息安全防護體系、根據信息安全策略制定管理制度、提高安全管理水平。企業內部的用戶行為約束必須通過嚴格的管理制度進行規范。同時建立安全事件應急響應機制。配備專門的網絡安全管理員,負責企業網絡的系統安全事務。及時根據企業網絡的動向,建立以預防為主,事后補救為輔的安全策略。細化安全管理員工作細則,如日常操作系統維護、漏洞檢測及修補、應用系統的安全補丁、病毒防治等工作,并建立工作日志。并對系統記錄文件進行存檔管理。良好的日志和存檔管理,可以為預測攻擊,定位攻擊,以及遭受攻擊后追查攻擊者提供有力的支持。
3.2防病毒技術
就目前企業網絡安全的情況來看,網絡安全管理員主要是做好網絡防病毒的工作,主流的技術有分布式殺毒技術、數字免疫系統技術、主動內核技術等幾種。企業需要根據自身的實際情況,靈活選用,確保殺毒機制的有效運行。
3.3系統漏洞修補
現代軟件規模越來越大,功能越來越多,其中隱藏的系統漏洞也可能越來越多。不僅僅是應用軟件本身的漏洞,還有可能來自操作系統,數據庫系統等底層的系統軟件的漏洞引發的系列問題。因此解決系統漏洞的根本途徑是不斷地更新的系統的補丁。既可以購買專業的第三方補丁修補系統,也可以使用軟件廠商自己提供的系統補丁升級工具。確保操作系統,數據系統等底層的系統軟件是最新的,管理員還要及時關注應用系統廠商提供的升級補丁的信息,確保發現漏洞的第一時間更新補丁,將系統漏洞的危害降到最低。
4結束語
安全評價的關鍵與基礎是選取與確立評價的指標體系,它對評價的結果是否符合實際情況至關重要。化工企業安全評價指標體系應盡可能反映化工企業的主要特征和基本狀況。評價過程中指標體系的要素組成非常關鍵,如果選取的要素太多,有可能使評價指標體系更加龐大和冗雜,從而增加評價的困難程度,甚至會使一些重要因素被忽略;如果指標因素太少,則難以較完整地反映被評價系統的客觀實際情況。•33•通過查閱研究某大型煉油化工企業的相關文獻和資料[4],由人、機和環境3個方面構成的系統模型出發,把生產系統所有重要環節包含其中,從而建立出化工企業的安全評價指標體系如圖1和表1至表4所示。
2化工企業的遺傳神經網絡安全評價模型
2.1遺傳神經網絡遺傳算法優化神經網絡的方法主要有2種:對神經網絡的初始權值和閾值進行優化;對神經網絡的結構進行優化[5]。本文在保持神經網絡的結構不變的情況下,用遺傳算法對BP神經網絡初始權值和閾值進行優化。
2.2遺傳神經網絡評價模型遺傳神經網絡優化的數學模型[6]如下:本文構建的遺傳神經網絡模型的運行過程如下:(1)初始化BP神經網絡。(2)把BP神經網絡的全部權值與閾值實數編碼,確定其長度l,確定其為遺傳算法的初始種群個體。(3)設置遺傳算法的相關參數以及終止條件,執行遺傳算法;遺傳算法包括對群體中個體適應度進行評價,執行選擇、交叉、變異遺傳操作,進化生成新的群體;反復操作至設定的進化代數,最終取得最佳染色體個體。(4)把最佳染色體個體解碼,分解為BP網絡對應的權值、閾值,輸入訓練樣本,利用BP網絡進行訓練。(5)得到訓練好的BP神經網絡,則可輸入實例樣本進行評價。
3遺傳神經網絡評價模型在化工企業的應用
3.1學習樣本的準備根據前文所確定的評價指標體系和對某大型煉油化工有限公司成氨分廠提供的空氣分離、渣油氣化、碳黑回收、一氧化碳變換、甲醇洗滌、液氮洗滌等工序的安全原始數據,參考文獻中化工企業安全評價指標取值標準,進行分析和整理,得出11個實例樣本,如表5所示。選擇10個樣本作為遺傳神經網絡的訓練樣本,1個樣本作為測試樣本。
3.2BP網絡結構的確定BP網絡拓撲結構一般是由網絡層數、輸入層節點數、隱含層節點數、隱含層數以及輸出層節點數等來確定。本文建立的遺傳神經網絡模型是根據經驗來確定神經網絡的層數,一般選取BP神經網絡的層數為3層[7]。通過化工企業安全評價指標的分析,得出BP神經網絡輸入層神經元數目為評價指標的總數12+6+8+5=31。模型最后輸出的結果為綜合安全評價結果,因此,神經網絡的輸出層節點數確定為1。隱含層中節點數的范圍通過經驗公式來確定,本文在其確定范圍內選12。依據訓練樣本的規模,設定學習率為0.1,最大訓練誤差值設為10-5,循環學習次數為1000次。網絡輸出層為1個節點,即化工企業的安全評價結果。化工企業安全等級一般分為5級[7],如表6所示。
3.3遺傳算法優化遺傳算法中,參數設定如下:種群規模設為300,交叉概率設為0.7,進化代數設為100,變異率設為0.05。本文運用MATLAB軟件中的遺傳算法工具箱gads,在GUI操作界面中輸入以上參數,并輸入適應度函數,對神經網絡的權閾值進行優化。經過遺傳操作后,運行遺傳算法工具箱,則可得出最佳適應度曲線圖和最佳個體圖(圖2),得到最佳適應度個體,將其進行解碼,作為該網絡的初始權值和閾值賦給BP神經網絡。
3.4GA-BP神經網絡訓練在MATLAB界面中編程語言,得到輸出向量和網絡均方差變化圖。訓練結果與期望輸出見表7,BP網絡訓練過程如圖3所示。從訓練結果可以看出,該網絡的誤差值不超過10-5,滿足設定要求。用該網絡對實例樣本進行安全評價,得到結果為3.9956,對照安全評價輸出結果等級表為較安全,與目標值吻合。從而訓練后的網絡穩定性得到驗證,可以用于化工企業安全評價。
4結論
關鍵詞:分布式網絡;網絡安全;網絡管理
1 引言
隨著網絡的廣泛普及和應用,政府、軍隊大量的機密文件和重要數據,企業的商業秘密乃至個人信息都存儲在計算機中,一些不法之徒千方百計地“闖入”網絡,竊取和破壞機密材料及個人信息。據專家分析,我國80%的網站是不安全的,40%以上的網站可以輕易的被入侵。網絡給人們生活帶來不愉快和尷尬的事例舉不勝舉:存儲在計算機中的信息不知不覺被刪除;在數據庫中的記錄不知道何時被修改;正在使用的計算機卻不知道何故突然“死機”等等諸如此類的安全威脅事件數不勝數。因此,網絡信息的安全性具有舉足輕重的作用。
本論文主要針對分布式網絡的信息安全展開分析討論,通過對分布式網絡安全管理系統的設計研究,以期找到可供借鑒的提高分布式網絡信息安全水平的防范手段或方法,并和廣大同行分享。
2 網絡安全管理技術概述
在當今這個信息化社會中,一方面,硬件平臺,操作系統平臺,應用軟件等IT系統已變得越來越復雜和難以統一管理;另一方面,現代社會生活對網絡的高度依賴,使保障網絡的通暢、可靠就顯得尤其重要。這些都使得網絡管理技術成為網絡安全技術中人們公認的關鍵技術。
網絡管理從功能上講一般包括配置管理、性能管理、安全管理、故障管理等。由于網絡安全對網絡信息系統的性能、管理的關聯及影響趨于更復雜、更嚴重,網絡安全管理還逐漸成為網絡管理技術中的一個重要分支,正受到業界及用戶的日益深切的廣泛關注。
目前,在網絡應用的深入和技術頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新,愈演愈烈。防火墻、VPN、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在網絡中得到了廣泛應用。雖然這些安全產品能夠在特定方面發揮一定的作用,但是這些產品大部分功能分散,各自為戰,形成了相互沒有關聯的、隔離的“安全孤島”,各種安全產品彼此之間沒有有效的統一管理調度機制,不能互相支撐、協同工作,從而使安全產品的應用效能無法得到充分的發揮。
從網絡安全管理員的角度來說,最直接的需求就是在一個統一的界面中監視網絡中各種安全設備的運行狀態,對產生的大量日志信息和報警信息進行統一匯總、分析和審計;同時在一個界面完成安全產品的升級、攻擊事件報警、響應等功能。但是,一方面,由于現今網絡中的設備、操作系統、應用系統數量眾多、構成復雜,異構性、差異性非常大,而且各自都具有自己的控制管理平臺、網絡管理員需要學習、了解不同平臺的使用及管理方法,并應用這些管理控制平臺去管理網絡中的對象(設備、系統、用戶等),工作復雜度非常之大。另一方面,應用系統是為業務服務的;企業內的員工在整個業務處理過程中處于不同的工作崗位,其對應用系統的使用權限也不盡相同,網絡管理員很難在各個不同的系統中保持用戶權限和控制策略的全局一致性。
另外,對大型網絡而言,管理與安全相關的事件變得越來越復雜。網絡管理員必須將各個設備、系統產生的事件、信息關聯起來進行分析,才能發現新的或更深層次的安全問題。因此,用戶的網絡管理需要建立一種新型的整體網絡安全管理解決方案—分布式網絡安全管理平臺來總體配置、調控整個網絡多層面、分布式的安全系統,實現對各種網絡安全資源的集中監控、統一策略管理、智能審計及多種安全功能模塊之間的互動,從而有效簡化網絡安全管理工作,提升網絡的安全水平和可控制性、可管理性,降低用戶的整體安全管理開銷。
3 分布式網絡安全管理系統的設計
3.1 分布式網絡安全管理系統架構分析
隨著Internet技術的發展,現在的企業網絡規模在不斷擴大,設備物理分布變得十分復雜,許多企業都設有專門的網絡管理部門,來應對企業網絡中可能出現的問題,以保證企業業務的正常運行。這些網絡管理部門的工作人員可能會根據需要分布在不同的業務部門中,甚至不同的城市中,這就導致原有的集中式網絡設備平臺管理已經不能滿足企業的需求。復合式網絡安全管理平臺必須能夠實現遠程、多用戶、分級式管理,同時要保證整個平臺系統的安全性。
針對以上需求,本網絡安全管理平臺設計為一種網絡遠程管理系統,采取服務器和客戶端的模式。
(1) 分布式網絡安全管理平臺服務器端
分布式網絡安全管理平臺的服務器端是整個管理系統的核心,它位于要管理的企業網絡內部的一臺服務器上,掌控著所有的網絡資源,對被管網絡資源的操作都是由平臺服務器端直接完成。
分布式網絡安全管理平臺的各種管理功能模塊是相對獨立存在的,而服務器端相當于一個大容器,當需要某種管理功能時,就可以通過一定的方法,將管理模塊動態加載到服務器端上。管理模塊完成管理的具體功能,管理模塊既可以單獨完成某種管理功能,也可以通過服務器端提供的服務,協作完成特定的管理功能。服務器端還提供了一個公共的通信接口,通過這個通信接口,服務器端上的管理功能模塊就可以實現與客戶端的交互。
(2) 分布式網絡安全管理平臺客戶端
客戶端相當于一個個企業網絡的管理員,這些管理員己經被分配給不同的用戶名和密碼,從而對應于不同的平臺操作權限。管理員可以通過局域網或者Internet登陸到管理平臺的服務器。_服務器端實現網絡安全管理平臺的各種管理功能。每當有用戶登陸到服務器時,首先服務器端有一個用戶鑒別和權限判斷,通過后,根據權限不同的平臺管理信息被傳送回客戶端,客戶端將這些管理信息顯示出來。如果管理員在客戶端進行了某些操作,客戶端會將這些操作信息發送到服務器,服務器對用戶和操作進行權限鑒定,通過后,服務器就調用相應的管理功能模塊來實現操作,并將結果返回給客戶端,客戶端進行相應的顯示。
3.2 分布式網絡的安全策略管理設計
策略管理的目標是可以通過集中的方式高效處理大量防火墻的策略配 置問題。隨著網絡規模與業務模式的不斷增長變化,對IT基礎設施的全局統一管理越來越成為企業IT部門的重要職責;策略的集中管理更有效的描述了全網設備的基本情況,便于設備間的協作、控制,能夠提高問題診斷能力,提高運營的可靠性;另一方面,也極大的減輕了管理員的工作強度,使其工作效率大幅度提高。
策略管理并不是系統中孤立的模塊,它與節點管理、權限管理有著緊密的聯系。由于節點管理將全網劃分為若干管理域,每個管理域中還有相應的下級組織部門,因此策略管理首先與節點信息相聯系,這也就隱含了策略的層級配置管理。
另外,策略是由某個具有一定權限的管理員對某個管理域或設備制訂的,因此策略是否能定制成功需要調用權限管理中的功能加以判定,因此隱含了策略的可行性管理。全網策略被統一存儲,結合節點管理,策略存儲有它自身的結構特點,這些屬于策略的存儲管理。
策略按照一定的時間、順序被部署到具體的設備上,無論策略是對管理域定制的,還是對設備制訂的,所有相關的策略最終都要被下發的設備中去,下發的方式能夠根據實際網絡拓撲的變化而做適應性調整,這些屬于策略的管理。
3.3 分布式網絡信息安全構建技術
(1) 構筑入侵檢測系統(IDS)
不同于防火墻,IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。
(2) 構筑入侵防御(IPS)
入侵防御是一種主動的、積極的入侵防范、阻止系統,它部署在網絡的進出口處,當它檢測到攻擊企圖后,它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。入侵防御系統在網絡邊界檢查到攻擊包的同時將其直接拋棄,則攻擊包將無法到達目標,從而可以從根本上避免黑客的攻擊。
(3) 采用郵件防病毒服務器
郵件防病毒服務器安裝位置一般是郵件服務器與防火墻之間。郵件防病毒軟件的作用:對來自INTERNTE的電子郵件進行檢測,根據預先設定的處理方法處理帶毒郵件。郵件防病毒軟件的監控范圍包括所有來自INTERNET的電子郵件以及所屬附件。
4 結語
在網絡技術十分發達的今天,任何一臺計算機都不可能孤立于網絡之外,因此對于網絡中的信息的安全防范就顯得十分重要。針對現在網絡規模越來越大的今天,分布式網絡由于信息傳輸應用范圍的不斷擴大,其信息安全性日益凸顯,本論文正是在這樣的背景下,重點對分布式網絡的信息安全管理系統展開了分析討論,相信通過不斷發展的網絡硬件安全技術和軟件加密技術,再加上政府對信息安全的重視,分布式計算機網絡的信息安全是完全可以實現的。
論文關鍵詞:網絡:安全技術;管理措施
1前言
隨著企業科學管理水平的提高.企業管理信息化越來越受到企業的重視.企業ERP(企業資源計劃)系統、企業電子郵局系統和OA辦公自動化系統等先進的管理系統都進入企業并成為企業重要的綜合管理系統。企業局域網與國際互聯網(Internet)聯接,形成一個內、外部信息共享的網絡平臺。這種連接方式使得企業局域網在給內部用戶帶來工作便利的同時.也面臨著外部環境——國際互聯網的種種危險。如病毒,黑客、垃圾郵件、流氓軟件等給企業內部網的安全和性能造成極大地沖擊如何更有效地保護企業重要的信息數據、提高企業局域網系統的安全性已經成為我們必須解決的一個重要問題
2網絡安全及影響網絡安全的因素
網絡安全一直都是困擾企業用戶的一道難題.影響企業局域網的穩定性和安全性的因素是多方面的,主要表現在以下幾個方面:
2.1外網安全。駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅
2.2內網安全最新調查顯示.在受調查的企業中60%以上的員工利用網絡處理私人事務對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業局域網絡資源、并引入病毒和間諜.或者使得不法員工可以通過網絡泄漏企業機密
2.3內部網絡之間、內外網絡之間的連接安全。隨著企業的發展壯大,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享.又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題各地機構與總部之間的網絡連接安全直接影響企業的高效運作
3企業局域網安全方案
為了更好的解決上述問題.確保網絡信息的安全,企業應建立完善的安全保障體系該體系應包括網絡安全技術防護和網絡安全管理兩方面網絡安全技術防護主要側重于防范外部非法用戶的攻擊和企業重要數據信息安全.網絡安全管理則側重于內部人員操作使用的管理.采用網絡安全技術構筑防御體系的同時,加強網絡安全管理這兩方面相互補充,缺一不可。
3.1企業的網絡安全技術防護體系
包括入侵檢測系統、安全訪問控制、漏洞掃描、病毒防護、防火墻、接入認證、電子文檔保護和網絡行為監控。
1)入侵檢測系統。在企業局域網中構建一套完整立體的主動防御體系.需要同時采用基于網絡和基于主機的入侵檢測系統首先.在校園網比較重要的網段中放置基于網絡的入侵檢測產品.不停地監視網段中的各種數據包.如果數據包與入侵檢測系統中的某些規則吻合.就會發出警報或者直接切斷網絡的連接其次.在重要的主機上(如W WW服務器,E—mail服務器,FTP服務器)安裝基于主機的入侵檢測系統.對該主機的網絡實時連接以及系統審
計日志進行智能分析和判斷.如果其中主體活動十分可疑.入侵檢測系統就會采取相應措施
2)安全訪問控制系統針對企業局域網絡系統的安全威脅。必須建立整體的、卓有成效的安全策略.尤其是在訪問控制的管理與技術方面需要制定相應的策略.以保護系統內的各種資源不遭到自然與人為的破壞.維護局域網的安全
3)漏洞掃描系統。解決網絡層安全問題的方法是,尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具.利用優化系統配置和打補丁等各種方式.最大可能地彌補最新的安全漏洞并消除安全隱患.
4)病毒防護系統。企業局域網防病毒工作主要包括預防計算機病毒侵入、檢測侵入系統的計算機病毒、定位已侵入系統的計算機病毒、防止病毒在系統中的傳染、清除系統中已發現的病毒和調查病毒來源。校園網需建立統一集中的病毒防范體系.特別是針對重要的網段和服務器.要進行徹底堵截.
5)防火墻系統。防火墻在企業局域網與Internet之間執行訪問控制策略.決定哪些內部站點允許外界訪問和允許訪問外界.從而保護內部網免受非法用戶的入侵在外部路由器上設置一個包過濾防火墻,它只讓與屏蔽子網中的服務器、E—mail服務器、信息服務器有關的數據包通過。其他所有類型的數據包都被丟棄.從而把外界Internet對屏蔽子網的訪問限制在特定的服務器的范圍內.
6)接入認證系統對計算機終端實行實名制度.固定IP、綁定MAC地址.結合企業門戶、辦公系統等管理業務系統的實施實行機終端接入準入制度.未經過安全認證的計算機不能接人企業局域網絡
7)電子文檔保護系統。企業重要信息整個生命周期(信息過程、信息操作過程、信息傳輸過程、信息存儲過程、信息銷毀過程)得到全程透明加密保護,保證只用合法的用戶才能通過認證、授權訪問涉密文件。非法用戶無法在信息的產生到銷毀過程的任何環節竊取、拷貝、打印、另存、涉密文件,阻斷一切可能的泄密路徑.有效防護各種主動、被動泄密事件的發生。
8)網絡行為監控系統網絡行為監控是指系統管理員根據網絡安全要求和企業的有關行政管理規定.對內網用戶進行管理的一種技術手段.主要用于監控企業內部敏感文件訪問情況和敏感文件操作情況以及禁止工作人員在上班時間上網聊天、玩游戲、瀏覽違禁網站等。
3.2企業局域網安全管理措施
有了先進完善的網絡安全技術保護體系.如果日常的安全管理跟不上.同樣也不能保證企業網絡的“高枕無憂”:可以說規劃制定一套完整的安全管理措施是網絡安全技術保護體系的補充.它會幫助校正企業網絡管理上的一些常見但是有威脅性的漏洞。它主要包括以下內容: 1)隨著企業局域網的不斷應用.應當同步規劃網絡安全體系的技術更新同時.為了避免在緊急情況下.預先制定的安全體系無法發揮作用時.應考慮采用何種應急方案的問題應急方案應該事先制訂并貫徹到企業各部門.事先做好多級的安全響應方案.才能在企業網絡遇到毀滅性破壞時將損失降低到最低.并能盡快恢復網絡到正常狀態;2)扎實做好網絡安全的基礎防護工作:①服務器應當安裝干凈的操作系統.不需要的服務一律不裝.同時要重視網絡終端的安全配置.防止它們成為黑客和病毒的跳板:②遵循“用戶權限最小化”的網絡配置原則.設置重要文件的訪問權限.關閉不必要的端口,專用主機只開專用功能等;③下載安裝最新的操作系統、應用軟件和升級補丁對系統進行完整性檢查.定期檢查用戶的脆弱口令.并通知用戶盡快修改:④制定完整的系統數據備份計劃.并嚴格實施,確保系統數據庫的可靠性和完整性:3)對各類惡意攻擊要有積極的響應措施制定詳盡的入侵應急措施以及匯報制度。發現入侵跡象.盡力定位入侵者的位置,如有必要。斷開網絡連接在服務主機不能繼續服務的情況下.應該有能力從備份磁盤中恢復服務到備份主機上; 4)建立完善的日志監控措施,加強日志記錄.以報告網絡的異常以及跟蹤入侵者的蹤跡;(5)制定并貫徹安全管理制度。如制定計算機安全管理制度、機房管理制度、管理員網絡維護管理制度等.約束普通用戶等網絡訪問者.督促管理員很好地完成自身的工作,增強大家的網絡安全意識.防止因粗心大意或不貫徹制度而導致安全事故.尤其要注意制度的監督貫徹執行.否則就形同虛設。
關鍵詞:計算機教學資源網絡;網絡安全;SSL VPN
中圖分類號:TP258.6文獻標識碼:A文章編號:1007-9599 (2012) 03-0000-02
The Application of SSL VPN Technology in the Computer Network of Teaching Resources
Tan Qinhong
(Tongren Polytechnic,Tongren554300,China)
Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.
Keywords:Computer teaching resources network;Network security;SSL VPN
一、校園網計算機教學系統面臨的安全風險分析
隨著國家教育事業的快速發展以及IT技術的迅猛發展,人們的生產、生活方式發生了翻天覆地的變化,傳統的教室內黑板面授教學模式已經不能完全滿足當代的教學工作,必須有一種新的教學方式來彌補傳統教學模式單一的不足,計算機教學應運而生,特別是計算機多媒體教學。計算機教學方式中,學習的人可以隨時隨地的學習,不受時間和空間的限制,并且具有學習成本低廉等一系列優點,因此計算機教學受到越來越多的歡迎。
為方便教師和學生等對教學資源的外部訪問,存儲有教學資源的網絡大多與互聯網相連,難免會受到來自于網絡內部和外部的攻擊,計算機網絡的大多設備或軟件為國外生產,其中可能存在一些后門程序,操作系統、應用系統等都存在大量的漏洞可以讓攻擊者利用,計算機病毒等惡意程序、SQL注入攻擊、跨站腳本攻擊、DDOS攻擊、釣魚網站的泛濫讓校園網的安全形式不容樂觀。
校園網中,用戶有學生、教師、外部學習者等主體,教學資源的訪問主體的身份不好控制、資源訪問控制困難,很難讓指定的用戶只能訪問指定的資源,不能訪問其它非授權訪問資源、用戶對資源的訪問不具有抗抵賴等問題。
校園網是學校的門戶,是學校的形象窗口,是學校賴以生存的生產資料的一部分,如果遭到惡意攻擊,導致不能正常對外部提供服務,將對學校造成嚴重損失。
二、SSL VPN簡介
VPN(Virtual Private Network虛擬專用網絡)[1]是一種在公共的網絡基礎平臺(如internet)上建立專用的數據通信網絡的技術。VPN通過對數據包進行加密和封包,在公共網絡基礎平臺上構建出安全、可靠的專用隧道,使私有數據在公共網絡上安全傳輸。用戶使用VPN技術,不需要建設自己的專用網絡,節省投資,使用便捷,VPN技術因而獲得了廣泛的應用。
VPN技術發展至今,產生了多個種類,有工作在2層的L2TP VPN,工作在3層的IPsec VPN,工作在傳輸層和應用層之間的SSL(Secure Socket Layer安全套接層)VPN,基于虛擬路由表和標簽轉發的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用戶通過公共網絡(如internet)接入業務網絡,在遠程接入上應用廣泛。
SSL是一個獨立于平臺并獨立于應用的協議,用戶保護基于TCP的應用。在TCP/IP四層架構中,SSL在傳輸層之上,應用層之下,像TCP連接所連接的套接字一樣工作。
SSL VPN技術幫助用戶使用標準的Web瀏覽器就可以通過公共網絡平臺接入所要訪問的遠程資源。在用戶的計算機上,不需要安裝客戶端軟件及進行復雜的配置,大大方便了用戶,僅僅通過一臺接入了Internet的計算機就能訪問遠程資源。這為企業及政府提高效率也帶來了方便。
用戶所要訪問的資源位于企業網或者政務網內部,在此情況下,需要部署SSL VPN網關在企業網或者政務網的邊緣,介于服務器與遠程用戶之間,控制二者的通信。如下圖所示:
SSL VPN網關除了作為隧道的終點,還要執行以下三種功能:,應用轉換、端口轉發[2]。
1.:它將來自遠端瀏覽器的頁面請求(采用
關鍵詞:VPN網絡,視頻監控系統
背景需求分析
近年來,數字視頻監控系統以其控制靈活、信息容量大、存儲和檢索便利等優點逐步取代了傳統的模擬視頻監控系統,被廣泛應用于監控、安防、質檢等方面。隨著計算機及網絡技術的發展、普及和網絡帶寬的迅速擴大,視頻監控已經發展到了網絡多媒體監控系統,即將數字視頻監控技術與網絡技術相結合,在現場監控主機無人職守情況下,實現局域網或Internet遠程監控的功能。如此一來,將監控信息從監控中心釋放出來,從而提高了治理水平和效率。但假如遠程訪問視頻監控服務技術功能不足,則無法保證監控信息所需的保密性和速度性,這該怎樣解決呢?VPN?(VirtualPrivate Networking)技術的出現,正好解決了該問題,實現了遠程視頻監控信息安全便利的傳輸。
經調查發現,實現VPN遠程視頻監控系統較重視的需求為:
虛擬私有網絡VPN安全傳輸:完整的VPN網絡視頻監控系統,最重要的需求是要讓各分支外點及本地局域網的監控視頻能安全、實時的傳送到總公司監控中心的治理服務器,統一作企業安全防護及報警。視頻監控信息若不作加密處理就直接通過公眾互聯網進行傳送,可能會造成企業內部機密外露等問題。因此,需要建置完善的VPN傳輸,不僅可節約高昂的專線成本,還能得到安全穩定的傳輸質量。
穩定良好的寬帶接入服務:將視頻監控信息集成到VPN中,雖然可以確保得到安全穩定的聯機,但VPN線路還是建立在公眾互聯網上,一但接入的寬帶線路不穩定輕易掉線,也連帶影響到VPN的聯機質量。穩定良好的的寬帶接入服務或于運營商掉線斷網時可以實時提供備援的支持是必要的。
帶寬增級同時也能節省成本:多媒體視頻監控系統包括視頻、音頻及相關數據的傳送,若要得到實時、順暢的傳送質量,需要相當大的帶寬才可達成,因此首先就面臨到帶寬的增級。如此就會導致線路成本的增加及可能的線路添加,帶來成本及治理上的諸多問題。這時,兼顧成本的考慮下,適當的線路集成整合成為企業的需求。
網絡安全防攻擊防火墻:越來越多的攻擊及病毒,造成企業網絡安全的潛危機。一旦寬帶接入受到惡意攻擊影響網絡正常運作,輕則讓監控信息傳輸效率大減,嚴重時發生整個網絡斷網,造成視頻監控系統停擺的窘境。若是多購置防火墻,等于是增加成本,因此路由器中需要有適當的防火墻功能,以進行網絡安全的防護。
內部上網行為管控避免影響重要傳輸:多數員工在上班時間通過BT等下載音樂電影,或是聊QQ、MSN等實時交流工具,不僅影響工作效率,也很大可能會造成帶寬被占用、影響監控信息傳送速度降低影響監控實時反應,更嚴重是可能隨之而來的病毒、蠕蟲和木馬的威脅。有效而可靠的管制內網用戶使用特定軟件是很必要的。
方便的配置及治理:當今講求效率的時代,路由器也需要提供簡易配置好治理的配置接口設計,讓網管由繁復工作中解放。另外VPN客戶端大多不配備專業的網管,很多指令行的路由器給設置帶來了困擾,而想要對路由器進行任一個操作,都必須找來專業的人員,這又為實時反應帶來了變量。因此路由器的配置,最好使用直觀的配置接口及簡化的配置設計,即使不是是專門的網管人員經簡單的培訓后也可輕易上手,節省不必要的時間浪費。
VPN遠程視頻監控應用
依據企業遠程VPN視頻監控系統服務需求及以上組網分析,具有高度性價比優勢的多WAN VPN防火墻廠商俠諾科技,為遠程VPN視頻監控系統提出一完整的組網方案。
方案功能特點
多WAN端口接入匯聚帶寬:Qno俠諾多WAN產品支持帶寬匯聚、自動線路備援等功能,多WAN口接入方式,讓企業有更大和彈性配置空間。可支持多線路多ISP接入,不僅可以匯聚帶寬以節省成本,而且還可以實現線路備援、數據分流、負載均衡等效果。當一條線路掉線,會自動改用另一個WAN連接端口的線路連接,確保VPN聯機不掉線,避免掉線時造成無形的損失與傷害。
強效防火墻有效防病毒攻擊:VPN防火墻,具備主動式封包檢測功能,只需單向啟動各式黑客攻擊、蠕蟲病毒防護功能,即可簡易完成配置,有效防止內外網惡意攻擊,確保企業網絡安全,降低網絡受攻擊帶來的損失。具有內建的防制ARP功能,憑借自動檢視封包的機制,偵測過濾可疑的封包,做為防制ARP攻擊的第一道防線。可搭配IP /MAC雙向綁定,在路由器端以內網PC端進行IP/MAC綁定,即可達到防堵ARP無漏洞的效果。論文參考網。
QoS帶寬治理優化帶寬使用:視頻監控多媒體傳輸需要有穩定的帶寬,而少數BT下載等惡意占用帶寬造成網絡卡,經常會造成客戶抱怨。讓人寬慰的是俠諾二代多元QoS帶寬治理功能,支持一周七天、一天三個時段采取不同的帶寬治理政策,依據不同的網絡應用環境、時段,自由選擇管控方式,達到帶寬利用率最佳化的目的。該功能包含有傳統QoS帶寬管控及智能SmartQoS治理,可依據聯機數、要害字、最大或最小帶寬等方式進行管控,也可啟動動態智能治理,對于非凡的應用或用戶進行非凡限制。這個功能并不禁止特定的應用,只是加以限制,從而更彈性的提供帶寬服務。
輕松實現了中心管控:同時治理外點多條VPN接入聯機,對于大部分網管來說,是非常棘手的問題,尤其是必須反復留心查詢各點聯機狀況、帶寬使用率、視頻監控等信息,更是耗費許多時間。而Qno俠諾多WAN VPN防火墻則輕松解決了上述問題,其所具備的中心控管功能,可一次看清全部VPN聯機的情況,再也不必一一地檢查聯機的狀況。若需進一步協助設定或排解問題,網管也可直接進入分點的治理接口查看或進行設定治理,安全又有效率。
簡易又方便的系統治理:Qno俠諾多WAN VPN防火墻具有全中文化配置及治理界面,所有設定參數與組態清楚明確、簡單易懂,輕松完成網絡設置。還支持強大的系統日志功能,可通過對日志治理和查找,即時監控系統狀態及內外流量,進而作對應的配置,確保內網運作無誤。
支持多VPN協議外點靈活選擇:Qno俠諾高階產品系列,可支持PPTP、IPSec VPN、SmartLinkVPN、QnoKey IPSec客戶端密鑰等多種連機方式,可滿足外點多種VPN彈性配置需求,實現總部中心端與各分點建構實時、穩定、安全的互連VPN網絡系統。由此可見,多通道多協議的特點完全能勝任企業擴展及網絡視頻布點,而且外點可根據實際規劃與應用,靈活選擇適用的方式接入中心端。
SmartLink VPN快速設定:俠諾SmartLinkVPN快速聯機,簡化20多復雜設置步驟,將大部份的設定參數的工作交由VPN網關自動完成,用戶只需要輸中心端服務器IP地址、用戶名、密碼三個參數,即可完成超快速VPN連機設定。
策略路由解決VPN跨網瓶頸:由于國內長期存在電信、網通互連不互通的問題,許多企業建立VPN時會發生跨ISP網絡時帶寬不足,導致VPN不穩定或易于掉線。俠諾多WAN口的設計,可搭配策略路由的設定,讓不同ISP外點可直接連到對應VPN服務器入口,實現“電信走電信、網通走網通”,從而有效解決跨網受限問題。
指定路由強化網絡穩定性:另外一方面,多WAN口的設計,也提供了訪問網絡快速穩定的途徑。支持指定路由功能,可通過協議綁定,將特定的服務或應用綁定在指定的端口,如WEB走WAN1,MAIL走WAN2等等,加速訪問速度,進一步保障網絡的穩定性。也可將VPN綁定特定端口,保證VPN通道的穩定流暢。
總結
通過以上介紹,可以看出,Qno俠諾多WAN VPN防火墻產品多項功能,都體現了俠諾簡單、安全、快速的“3S”研發理念和貼近用戶需求的專心,幫助企業以較少的成本、時間與精力,達成高效、快速、安全的運營效能。非凡對于遠程VPN視頻監控服務來說,在帶寬、安全性穩定性等多方面都有較高要求,VPN遠程視頻監控解決方案,可有效保持企業總部和分支機構間的隧道暢通,進而保證其服務的穩定性和可靠度,提高安全監控的視頻質量,當異常事件發生時,可以在第一時間進行處理。論文參考網。可謂是最省成本、且最方便的解決途徑。
春節假期,偶然在街上碰到大學同學小張。多年不見話題就多了,在了解到本人現在所從事的是網絡安全技術方面的工作后,他像是碰到了大救星,一個勁兒要請客吃飯。原來,他利用這幾年打工的儲蓄獨立創業,加盟了一家全國聞名的服裝連鎖店,連鎖總店要求必須部署VPN信息網絡。年前,他便按照要求進行了統一購買了VPN設備,但是由于其設置和應用過于復雜,對于作為網絡“外行”的人來說,實在是有點難以應付。此外,因為金融危機的影響,為了壓縮人力資源成本,他暫時還沒有聘請專業網管的計劃,正為這事上火。論文參考網。
其實,這種問題在國內數萬家中小連鎖企業的經營治理過程中絕不是首例。產生這種矛盾的原因有兩點:專業化的高端設備滿足了企業的應用需求,但是一般的兼職網管無法應付其治理和維護;平民化的低端設備,使用和治理倒是比較簡單,卻達不到企業信息化治理的全面需求。VPN網絡是未來企業發展的大勢所趨,但當務之急是為企業提供最為合適的設備,即要能兼具安全與簡便的基本特性。安全無須多說,簡便性就成了體現產品技術水平的最大差異化,也同樣彰顯了企業客戶在應用上的突出需求之一。事實證實,其簡便的應用特性非常貼近中小企業的需求現狀,得到了較好的市場效果。
作為在SMB寬帶接入和VPN應用領域耕耘多年的專業廠商,俠諾科技每年都會其創新的產品及應用功能。但是無論怎樣創新變化,簡單、安全、快速的“3S”研發理念都始終貫穿于其系列產品線。其中,簡便(即Simple)被放在首位——“俠諾極簡風,治理一鍵通”。 俠諾的極簡風格,是要求專心體察用戶的細致需求,將最復雜的技術以最簡單的方式呈現給用戶,讓企業的網管員用最少的時間與精力,達到較為復雜的配置與治理需求,幫助企業有效的增進運營效能。事實證實,其簡便的應用特性非常貼近中小企業的需求現狀,得到了較好的市場效果。
1 移動互聯網的安全現狀
自由開放的移動網絡帶來巨大信息量的同時,也給運營商帶來了業務運營成本的增加,給信息的監管帶來了沉重的壓力。同時使用戶面臨著經濟損失、隱私泄露的威脅和通信方面的障礙。移動互聯網由于智能終端的多樣性,用戶的上網模式和使用習慣與固網時代很不相同,使得移動網絡的安全跟傳統固網安全存在很大的差別,移動互聯網的安全威脅要遠甚于傳統的互聯網。
⑴移動互聯網業務豐富多樣,部分業務還可以由第三方的終端用戶直接運營,特別是移動互聯網引入了眾多手機銀行、移動辦公、移動定位和視頻監控等業務,雖然豐富了手機應用,同時也帶來更多安全隱患。應用威脅包括非法訪問系統、非法訪問數據、拒絕服務攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露、內容版權盜用和不合理的使用等問題。
⑵移動互聯網是扁平網絡,其核心是IP化,由于IP網絡本身存在安全漏洞,IP自身帶來的安全威脅也滲透到了移動專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net互聯網。在網絡層面,存在進行非法接入網絡,對數據進行機密性破壞、完整性破壞;進行拒絕服務攻擊,利用各種手段產生數據包造成網絡負荷過重等等,還可以利用嗅探工具、系統漏洞、程序漏洞等各種方式進行攻擊。
⑶隨著通信技術的進步,終端也越來越智能化,內存和芯片處理能力也逐漸增強,終端上也出現了操作系統并逐步開放。隨著智能終端的出現,也給我們帶來了潛在的威脅:非法篡改信息,非法訪問,或者通過操作系統修改終端中存在的信息,產生病毒和惡意代碼進行破壞。
綜上所述,移動互聯網面臨來自三部分安全威脅:業務應用的安全威脅、網絡的安全威脅和移動終端的安全威脅。
2 移動互聯網安全應對策略
2010年1月工業和信息化部了《通信網絡安全防護管理辦法》第11號政府令,對網絡安全管理工作的規范化和制度化提出了明確的要求。客戶需求和政策導向成為了移動互聯網安全問題的新挑戰,運營商需要緊緊圍繞“業務”中心,全方位多層次地部署安全策略,并有針對性地進行安全加固,才能打造出綠色、安全、和諧的移動互聯網世界。
2.1 業務安全
移動互聯網業務可以分為3類:第一類是傳統互聯網業務在移動互聯網上的復制;第二類是移動通信業務在移動互聯網上的移植,第三類是移動通信網與互聯網相互結合,適配移動互聯網終端的創新業務。主要采用如下措施保證業務應用安全:
⑴提升認證授權能力。業務系統應可實現對業務資源的統一管理和權限分配,能夠實現用戶賬號的分級管理和分級授權。針對業務安全要求較高的應用,應提供業務層的安全認證方式,如雙因素身份認證,通過動態口令和靜態口令結合等方式提升網絡資源的安全等級,防止機密數據、核心資源被非法訪問。
⑵健全安全審計能力。業務系統應部署安全審計模塊,對相關業務管理、網絡傳輸、數據庫操作等處理行為進行分析和記錄,實施安全設計策略,并提供事后行為回放和多種審計統計報表。
⑶加強漏洞掃描能力。在業務系統中部署漏洞掃描和防病毒系統,定期對主機、服務器、操作系統、應用控件進行漏洞掃描和安全評估,確保攔截來自各方的攻擊,保證業務系統可靠運行。
⑷增強對于新業務的檢查和控制,尤其是針對于“移動商店”這種運營模式,應盡可能讓新業務與安全規劃同步,通過SDK和業務上線要求等將安全因素植入。
2.2 網絡安全
移動互聯網的網絡架構包括兩部分:接入網和互聯網。前者即移動通信網,由終端設備、基站、移動通信網絡和網關組成;后者主要涉及路由器、交換機和接入服務器等設備以及相關鏈路。網絡安全也應從以上兩方面考慮。
⑴接入網的網絡安全。移動互聯網的接入方式可分為移動通信網絡接入和Wi-Fi接入兩種。針對移動通信接入網安全,3G以及未來LTE技術的安全保護機制有比較全面的考慮,3G網絡的無線空口接入采用雙向認證鑒權,無線空口采用加強型加密機制,增加抵抗惡意攻擊的安全特性等機制,大大增強了移動互聯網的接入安全能力。針對Wi-Fi接入安全,Wi-Fi的標準化組織IEEE使用安全機制更完善的802.11i標準,用AES算法替專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net代了原來的RC4,提高了加密魯棒性,彌補了原有用戶認證協議的安全缺陷。針對需重點防護的用戶,可以采用VPDN、SSLVPN的方式構建安全網絡,實現內網的安全接入。
⑵承載網網絡及邊界網絡安全。1)實施分域安全管理,根據風險級別和業務差異劃分安全域,在不同的安全邊界,通過實施和部署不同的安全策略和安防系統來完成相應的安全加固。移動互聯網的安全區域可分為Gi域、Gp域、Gn域、Om域等。2)在關鍵安全域內部署人侵檢測和防御系統,監視和記錄用戶出入網絡的相關操作,判別非法進入網絡和破壞系統運行的惡意行為,提供主動化的信息安全保障。在發現違規模式和未授權訪問等惡意操作時,系統會及時作出響應,包括斷開網絡連接、記錄用戶標識和報警等。3)通過協議識別,做好流量監測。依據控制策略控制流量,進行深度檢測識別配合連接模式識別,把客戶流量信息捆綁在安全防護系統上,進行數據篩選過濾之后把沒有病毒的信息再傳輸給用戶。攔截各種威脅流量,可以防止異常大流量沖擊導致網絡設備癱瘓。4)加強網絡和設備管理,在各網絡節點安裝防火墻和殺毒系統實現更嚴格的訪問控制,以防止非法侵人,針對關鍵設備和關鍵路由采用設置4A鑒權、ACL保護等加固措施。
2.3 終端安全
移動互聯網的終端安全包括傳統的終端防護手段、移動終端的保密管理、終端的準入控制等。
⑴加強移動智能終端進網管理。移動通信終端生產企業在申請入網許可時,要對預裝應用軟件及提供者 進行說明,而且生產企業不得在移動終端中預置含有惡意代碼和未經用戶同意擅自收集和修改用戶個人信息的軟件,也不得預置未經用戶同意擅自調動終端通信功能、造成流量耗費、費用損失和信息泄露的軟件。
⑵不斷提高移動互聯網惡意程序的樣本捕獲和監測處置能力,建設完善相關技術平臺。移動通信運營企業應具備覆蓋本企業網內的監測處置能力。
⑶安裝安全客戶端軟件,屏蔽垃圾短信和騷擾電話,監控異常流量。根據軟件提供的備份、刪除功能,將重要數據備份到遠程專用服務器,當用戶的手機丟失時可通過發送短信或其他手段遠程鎖定手機或者遠程刪除通信錄、手機內存卡文件等資料,從而最大限度避免手機用戶的隱私泄露。
⑷借鑒目前定期PC操作系統漏洞的做法,由指定研究機構跟蹤國內外的智能終端操作系統漏洞信息,定期官方的智能終端漏洞信息,建設官方智能終端漏洞庫。向用戶宣傳智能終端安全相關知識,鼓勵安裝移動智能終端安全軟件,在終端廠商的指導下及時升級操作系統、進行安全配置。
3 從產業鏈角度保障移動互聯網安全
對于移動互聯網的安全保障,需要從整體產業鏈的角度來看待,需要立法機關、政府相關監管部門、通信運營商、設備商、軟件提供商、系統集成商等價值鏈各方共同努力來實現。
⑴立法機關要緊跟移動互聯網的發展趨勢,加快立法調研工作,在基于實踐和借鑒他國優秀經驗的基礎上,盡快出臺國家層面的移動互聯網信息安全法律。在法律層面明確界定移動互聯網使用者、接入服務商、業務提供者、監管者的權利和義務,明確規范信息數據的采集、保存和利用行為。同時,要加大執法力度,嚴專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net厲打擊移動互聯網信息安全違法犯罪行為,保護這一新興產業持續健康發展。
⑵進一步加大移動互聯網信息安全監管力度和處置力度。在國家層面建立一個強有力的移動互聯網監管專門機構,統籌規劃,綜合治理,形成“事前綜合防范、事中有效監測、事后及時溯源”的綜合監管和應急處置工作體系;要在國家層面建立移動互聯網安全認證和準入制度,形成常態化的信息安全評估機制,進行統一規范的信息安全評估、審核和認證;要建立網絡運營商、終端生產商、應用服務商的信息安全保證金制度,以經濟手段促進其改善和彌補網絡運營模式、終端安全模式、業務應用模式等存在的安全性漏洞。
⑶運營商、網絡安全供應商、手機制造商等廠商,要從移動互聯網整體建設的各個層面出發,分析存在的各種安全風險,聯合建立一個科學的、全局的、可擴展的網絡安全體系和框架。綜合利用各種安全防護措施,保護各類軟硬件系統安全、數據安全和內容安全,并對安全產品進行統一的管理,包括配置各相關安全產品的安全策略、維護相關安全產品的系統配置、檢查并調整相關安全產品的系統狀態等。建立安全應急系統,做到防患于未然。移動互聯網的相關設備廠商要加強設備安全性能研究,利用集成防火墻或其他技術保障設備安全。
⑷內容提供商要與運營商合作,為用戶提供加密級業務,并把好內容安全之源,采用多種技術對不合法內容和垃圾信息進行過濾。軟件提供商要根據用戶的需求變化,提供整合的安全技術產品,要提高軟件技術研發水平,由單一功能的產品防護向集中統一管理的產品類型過渡,不斷提高安全防御技術。
⑸普通用戶要提高安全防范意識和技能,加裝手機防護軟件并定期更新,對敏感數據采取防護隔離措施和相關備份策略,不訪問問題站點、不下載不健康內容。
4 結束語
解決移動互聯網安全問題是一個復雜的系統工程,在不斷提高軟、硬件技術水平的同時,應當加快互聯網相關標準、法規建設步伐,加大對互聯網運營監管力度,全社會共同參與進行綜合防范,移動互聯網的安全才會有所保障。
[參考文獻]
【論文摘要】國民經濟和社會信息化的發展,進一步帶動了工業化發展.在電子信息系統建設的過程中,如何保障系統能提供安全可靠的服務是整個企業電子信息系統建設必須要考慮的問題。本文分析了電子辦公系統的信息安全技術中的安全需求,針對需求提出了相應的解決辦法。
1.企業電子辦公系統中的安全需求
電子辦公系統建設在系統安全性方面的總需求是安全保密、可信可靠,具體表現在以下幾個方面:信息的安全保密性,滿足信息在存儲、傳輸過程中的安全保密性需求;系統的安全可靠性,確保整個電子政務系統的安全可靠;行為的不可抵賴性,保證在所有業務處理過程中,辦公人員行為和系統行為的不可抵賴,以便審計和監督;實體的可鑒別性,是實現監管及其他方面需求的必要條件;對象的可授權性,針對政務工作的特點,要求具有對對象靈活授權的功能,包括用戶對用戶的授權、系統對用戶的授權、系統對系統的授權等;信息的完整性,保證信息存儲和傳輸過程中不被篡改和破壞。
2.企業電子辦公系統安全保障防火墻技術
針對安全需求,在電子信息系統中需要采取一系列的安全保障技術,包括安全技術和密碼技術,對涉及到核心業務的網,還要采用物理隔離技術進行保護。這些技術作用在網絡層、系統層和應用層,對信息系統起著不同的安全保護作用。在網絡層主要應用的技術有防火墻、VPN、SSL、線路加密、安全網關和網絡安全監測;系統層則包括操作系統安全、數據庫系統安全以及安全的傳輸協議;應用層安全技術主要涉及認證與訪問控制、數據或文件加密和PKI技術。
從網絡安全角度上講,它們屬于不同的網絡安全域,因此,在各級網絡邊界以及企業網和Internet邊界都應安裝防火墻,并實施相應的安全策略。防火墻可以根據既定的安全策略允許特定的用戶和數據包穿過,同時將安全策略不允許的用戶和數據包隔斷,達到保護高安全等級的子網、阻止外部攻擊、限制入侵蔓延等目的。防火墻的弱點主要是無法防止來自防火墻內部的攻擊。
3.內網和外網隔離技術
企業電子辦公網絡是由政務核心網(網)。隨著各類機構內部網絡業務系統(也稱內網)和公眾互聯網(也稱外網)的不斷發展,許多業務系統正在逐步向互聯網轉移,使得內外網的數據交換和互聯成為必然的趨勢。互聯網潛在的不安全因素,造成人們對內外網互聯的擔憂,所以出現了多種方法來解決內外網的數據交換問題而又不影響內網的安全性,如采用內外網的物理隔離方法,將核心網與其他網絡之間斷開,將專用網和政府公眾信息網之間邏輯隔離。隔離技術的發展至今共經歷了五代。
3.1隔離技術,雙網機系統。
3.2隔離技術,基于雙網線的安全隔離卡技術。
3.3隔離技術,數據轉播隔離技術。
3.4隔離技術,隔離服務器系統。該技術是通過使用開關,使內外部網絡分時訪問臨時緩存器來完成數據交換的,但存在支持網絡應用少、傳輸速度慢和硬件故障率高等問題,往往成為網絡的瓶頸。
3.5隔離技術,安全通道隔離。此技術通過專用通信硬件和專有交換協議等安全機制,來實現網絡間的隔離和數據交換,不僅解決了以往隔離技術存在的問題,并且在網絡隔離的同時實現高效的內外網數據的安全交換,它透明地支持多種網絡應用,成為當前隔離技術的發展方向。
4.密碼技術
密碼技術是信息交換安全的基礎,通過數據加密、消息摘要、數字簽名及密鑰交換等技術實現了數據機密性、數據完整性、不可否認性和用戶身份真實性等安全機制,從而保證了網絡環境中信息傳輸和交換的安全。
加密技術的原理可用下面的公式表示。
加密:E k1(M)一C
解密:D k2(C)一M
其中E為加密函數;M為明文;K為密鑰;D為解密函數;C為密文。按照密鑰的不同形式,密碼技術可以分為三類:對稱密碼算法、非對稱密碼算法和單向散列函數。
在對稱密碼算法中,使用單一密鑰來加密和解密數據。典型的對稱密碼算法是DES、IDEA和RC算法。這類算法的特點是計算量小、加密效率高。但加解密雙方必須對所用的密鑰保守秘密,為保障較高的安全性,需要經常更換密鑰。因此,密鑰的分發與管理是其最薄弱且風險最大的環節。
在非對稱密碼算法中,使用兩個密鑰(公鑰和私鑰)來加密和解密數據。當兩個用戶進行加密通信時,發送方使用接收方的公鑰加密所發送的數據;接收方則使用自己的私鑰來解密所接收的數據。由于私鑰不在網上傳送,比較容易解決密鑰管理問題,消除了在網上交換密鑰所帶來的安全隱患,所以特別適合在分布式系統中應用。典型的非對稱密碼算法是RSA算法。非對稱密碼算法的缺點是計算量大、速度慢,不適合加密長數據。
非對稱密碼算法還可以用于數字簽名。數字簽名主要提供信息交換時的不可抵賴性,公鑰和私鑰的使用方式與數據加密恰好相反。
單向散列函數的特點是加密數據時不需要密鑰,并且經過加密的數據無法解密還原,只有使用同樣的單向加密算法對同樣的數據進行加密,才能得到相同的結果。單向散列函數主要用于提供信息交換時的完整性,以驗證數據在傳輸過程中是否被篡改。
5.公共密鑰基礎設施(PK 1)
PKI技術是電子政務安全系統的核心。它通過數字證書的頒發和管理,為上層應用提供了完善的密鑰和證書管理機制,具有用戶管理、密鑰管理、證書管理等功能,可保證各種基于公開密鑰密碼體制的安全機制在系統中的實現。
PKI提供的證書服務主要有兩個功能,即證實用戶身份的功能及保證信息機密性和完整性的功能。它最主要的組件就是認證中心(CA)。CA頒發的證書可以作為驗證用戶身份的標識,可以有效解決網絡中的信任問題。它是電子政務網中信任篚基礎。
在CA頒發的證書基礎上,可以實現數字信封,數字簽名、抗否認等功能,提供數據機密性、數據完整性等電子政務系統中所必需的安全服務。
6.入侵檢測技術
入侵檢測系統(IDS)可以做到對網絡邊界點雕數據進行檢測,對服務器的數據流量進行檢測,入侵著的蓄意破壞和篡改,監視內部吊戶和系統管運行狀況,查找非法用戶和合法用戶的越權操作,又用戶的非正常活動進行統計分析,發現人侵行為自規律,實時對檢測到的人侵行為進行報警、阻斷,關鍵正常事件及異常行為記錄日志,進行審計跟焉管理。
IDS是對防火墻的非常有必要的附加,而不僅是簡單的補充。網絡入侵檢測系統還可以與防一墻進行聯動,一旦發現由外部發起的攻擊行為,將一防火墻發送通知報文,由防火墻來阻斷連接,實現秀態的安全防護體系。
企業電子辦公的安全保障是系統能夠真正發揮作用的前提,各種安全保障設施必須和系統建設同步實施,同時要加強各種安全管理制度,增強系統使用和系統管理者的安全意識,才能從根本上保證系安全可靠的運行。■
【參考文獻】
[1]朱少民.現代辦公自動化系統的架框研究,辦公自動化技術.
關鍵詞:路由器網絡技術,網絡應用
一、引 言
當前基于IP協議的計算機網絡用戶數量劇增,網絡流量也發展迅速。為了使網絡狀況更加適應用戶的需要,作為網絡核心器件的路由器的不斷升級換代也就成為大勢所趨。下面就從路由器的基本概念和分類入手,對路由器在網絡中的應用技術做一個全面的介紹。
二、路由器的基本概念和分類
國際標準化組織(ISO)制定的開放系統互連參考模型(OSI)把網絡結構自下而上地分成7個層次:物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層、應用層。路由器是工作在OSI模型的第三層網絡層,路由技術主要作用有兩點:決定最優路由和轉發數據包。路由表中寫入各種信息,由路由算法計算出到達目的地址的最佳路徑,然后由相對簡單直接的轉發機制發送數據包。
(一)路由器的基本功能:
1、存儲、轉發信息及尋找最佳路徑的功能。
2、路由功能。包括數據包的路徑決策、負載平衡、多媒體傳輸等。
3、智能化網絡服務。包括QoS、訪問控制列表、身份認證、授權、計費、鏈路備份、調試、管理等。
(二)按照路由器的接口、處理能力、吞吐量、提供的協議等可以把路由器分成高、中、低多種檔次。
1、高端路由器位于WAN(廣域網)骨干網的中心或骨干位置,構成IP網絡的核心。
2、中端路由器適合于有分支機構的中小型企業,一般位于路由中心位置上,互連企業網的各個分支機構,
并作為企業網的出口,上行接入高端路由器中。中檔路由器邊緣可以接入低端系列路由器。對于中小
型企業來說,中端路由器是其網絡的中心。
3、低端路由器主要針對接口少,處理能力要求不高等場合。論文參考網。
4、專用路由器:如VPN路由器、加密路由器、語音路由器,通過特殊的附加(軟)硬件實現特定功能。
三、主要網絡應用
1、提高路由器吞吐量的技術
路由器的吞吐量是指路由器單位時間內能夠轉發的報文數,通常用pps(PacketPerSecond)表示。以一個典型的企業網為例,一個派駐機構的上行速率有2000pps就夠了,分支的核心路由設備必需具有幾萬pps的吞吐能力,而公司總部的路由中心則可能需要幾十萬甚至上百萬pps的處理能力。
目前主要有下面的提高路由器吞吐量的技術: 改造路由表;采用Cache;采用分布式處理;高層交換;硬件(FPGA/ASIC)轉發等。交換式路由器(SwitchRouter)就是利用這些技術的結晶。
2、可編程ASIC技術
ASIC技術能夠使得路由器的速度提高并降低制造成本。由于設計生產的投入相當大,ASIC基本上都用于已完全標準化和固化的過程。為了滿足計算機網絡各種結構和協議的頻繁變化的要求,出現了“可編程ASIC”技術。實際應用中多數采用在ASIC芯片中內嵌入專門處理通信協議的CPU,通過改寫微碼,使其具有處理不同協議的能力。
3、VPN技術
VPN(VirtualPrivateNetwork)虛擬專用網絡,是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。通常, VPN 是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。 VPN 可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
VPN 架構中采用了多種安全機制,如隧道技術(Tunneling )、加解密技術( Encryption )、密鑰管理技術、身份認證技術( Authentication )等,通過上述的各項網絡安全技術,確保資料在公眾網絡中傳輸時不被竊取,或是即使被竊取了,對方亦無法讀取數據包內所傳送的資料。
4、QoS(QualityofService)服務質量
QoS即服務質量,對于網絡業務,服務質量包括傳輸的帶寬、傳送的時延、數據的丟包率等。在網絡中可以通過保證傳輸的帶寬、降低傳送的時延、降低數據的丟包率以及時延抖動等措施來提高服務質量。
網絡資源總是有限的,只要存在搶奪網絡資源的情況,就會出現服務質量的要求。服務質量是相對網絡業務而言的,在保證某類業務的服務質量的同時,可能就是在損害其它業務的服務質量。例如,在網絡總帶寬固定的情況下,如果某類業務占用的帶寬越多,那么其他業務能使用的帶寬就越少,可能會影響其他業務的使用。因此,網絡管理者需要根據各種業務的特點來對網絡資源進行合理的規劃和分配,從而使網絡資源得到高效利用。
5、MPLS(MultiProtocolLabelSwitch)多協議標記交換
多協議標簽交換(MPLS)是一種用于快速數據包交換和路由的體系,它為網絡數據流量提供了目標、路由、轉發和交換等能力。更特殊的是,它具有管理各種不同形式通信流的機制。MPLS 獨立于第二和第三層協議,諸如 ATM 和 IP。它提供了一種方式,將 IP 地址映射為簡單的具有固定長度的標簽,用于不同的包轉發和包交換技術。它是現有路由和交換協議的接口,如 IP、ATM、幀中繼、資源預留協議(RSVP)、開放最短路徑優先(OSPF)等等。
在 MPLS 中,數據傳輸發生在標簽交換路徑(LSP)上。論文參考網。LSP 是每一個沿著從源端到終端的路徑上的結點的標簽序列。現今使用著一些標簽分發協議,如標簽分發協議(LDP)、RSVP 或者建于路由協議之上的一些協議,如邊界網關協議(BGP)及 OSPF。因為固定長度標簽入每一個包或信元的開始處,并且可被硬件用來在兩個鏈接間快速交換包,所以使數據的快速交換成為可能。
MPLS 主要設計來解決網路問題,如網路速度、可擴展性、服務質量(QoS)管理以及流量工程,同時也為下一代 IP 中樞網絡解決寬帶管理及服務請求等問題。
6、多播技術
多播路由的一種常見的思路就是在多播組成員之間構造一棵擴展分布樹。在一個特定的“發送源,目的組”對上的IP多播流量都是通過這個擴展樹從發送源傳輸到接受者的,這個擴展樹連接了該多播組中所有主機。不同的IP多播路由協議使用不同的技術來構造這些多播擴展樹,一旦這個樹構造完成,所有的多播流量都將通過它來傳播。
根據網絡中多播組成員的分布,總的說來IP多播路由協議可以分為以下兩種基本類型。第一種假設多播組成員密集地分布在網絡中,也就是說,網絡大多數的子網都至少包含一個多播組成員,而且網絡帶寬足夠大,這種被稱作“密集模式”(Dense-Mode)的多播路由協議依賴于廣播技術來將數據“推”向網絡中所有的路由器。密集模式路由協議包括距離向量多播路由協議(DVMRP:Distance Vector Multicast RoutingProtocol)、多播開放最短路徑優先協議(MOSPF:MulticastOpen Shortest Path First)和密集模式獨立多播協議(PIM-DM:Protocol-Independent Multicast-Dense Mode)等。論文參考網。
多播路由的第二種類型則假設多播組成員在網絡中是稀疏分散的,并且網絡不能提供足夠的傳輸帶寬,比如Internet上通過ISDN線路連接分散在許多不同地區的大量用戶。在這種情況下,廣播就會浪費許多不必要的網絡帶寬從而可能導致嚴重的網絡性能問題。于是稀疏模式多播路由協議必須依賴于具有路由選擇能力的技術來建立和維持多播樹。稀疏模式主要有基于核心樹的多播協議(CBT:Core Based Tree)和稀疏模式獨立協議多播(PIM-SM:Protocol-Independent Multicast-SparseMode)。
7、網管系統
網管在網絡運營中起著非常重要的作用。方便、強大的網管可以協助用戶有效地管理網絡和降低網絡維護費用。網管協議非常多,與路由器產品相關的網管協議主要有SNMP、RMON等,其中SNMP最常見。SNMP采用(Agent)工作方式,設備側(路由器上)運行Agent,網管站運行管理軟件。的作用包括收集路由器統計數據(如端口收發報文總數等)和狀態信息(如端口地址等),回答網管站對這些信息的查詢;傳達網管站的設置命令,如TCP連接復位、配置端口IP地址等;發生異常事件時主動向網管站報告等。
四、結束語
以上是對基于路由器的網絡技術進行了簡單的介紹。若有不當之處,還請廣大讀者進行批評指正。相信隨著上網用戶的越來越多,隨著寬帶網建設的如火如荼,對路由器技術更新的要求會越來越強烈。我相信,在未來會有適應網絡發展要求的新技術不斷涌現,并將得到廣泛的應用。
參考文獻
1.謝希仁.《計算機網絡》.電子工業出版社, 2005年1月
2.銳捷網絡.《網絡互聯與實現》.北京希望電子出版社,2006年11月
3.思科網絡技術學院.《思科網絡技術學院教程》.人民郵電出版社,2007年3月