網絡安全方案范文

時間:2023-04-06 00:44:34

導語:如何才能寫好一篇網絡安全方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網絡安全方案

篇1

關鍵詞:企業網絡;安全;病毒;物理

在現代企業的生存與發展過程中,企業網絡安全威脅與企業網絡安全防護是并行存在的。雖然企業網絡安全技術與以往相比取得了突破性的進展,但過去企業網絡處于一個封閉或者是半封閉的狀態,只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數企業網絡幾乎處于全球互聯的狀態,這種時空的無限制性和準入的開放性間接增加了企業網絡安全的影響因素,自然給企業網絡安全帶來了更多的威脅。因此,企業網絡安全防護一個永無止境的過程,對其進行研究無論是對于網絡安全技術的應用,還是對于企業的持續發展,都具有重要的意義。

1企業網絡安全問題分析

基于企業網絡的構成要素以及運行維護條件,目前企業網絡典型的安全問題主要表現于以下幾個方面。

1.1網絡設備安全問題

企業網絡系統服務器、網絡交換機、個人電腦、備用電源等硬件設備,時常會發生安全問題,而這些設備一旦產生安全事故很有可能會泄露企業的機密信息,進而給企業帶來不可估量經濟損失。以某企業為例,該企業網絡的服務器及相關網絡設備的運行電力由UPS接12V的SOAK蓄電池組提供,該蓄電池組使用年限行、容量低,在長時間停電的情況下,很容易由于蓄電池的電量耗盡而導致整個企業網絡的停運。當然,除了電源問題外,服務器、交換機也存在諸多安全隱患。

1.2服務器操作系統安全問題

隨著企業規模的壯大以及企業業務的拓展,對企業網絡服務器的安全需求也有所提高。目前諸多企業網絡服務器采用的是WindowsXP或Windows7操作系統,由于這些操作系統存在安全漏洞,自然會降低服務器的安全防御指數。加上異常端口、未使用端口以及不規范的高權限賬號管理等問題的存在,在不同程度上增加了服務器的安全威脅。

1.3訪問控制問題

企業網絡訪問控制安全問題也是較為常見的,以某企業為例,該企業采用Websense管理軟件來監控企業內部人員的上網行為,但未限制存在安全隱患的上網活動。同時對于內部上網終端及外來電腦未設置入網認證及無線網絡訪問節點安全檢查,任何電腦都可在信號區內接入到無線網絡。

2企業網絡安全防護方案

基于上述企業網絡普遍性的安全問題,可以針對性的提出以下綜合性的安全防護方案來提高企業網絡的整體安全性能。

2.1網絡設備安全方案

企業網絡相關設備的安全性能是保證整個企業網絡安全的基本前提,為了提高網絡設備的整體安全指數,可采取以下具體措施。首先,合適傳輸介質的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質,例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業網絡相關主干設備對交流電源的生產質量、供電連續性、供電可靠性以及抗干擾性等指標提出了更高的要求,這就要求對企業網絡的供電系統進行優化。以上述某企業網絡系統電源供電不足問題為例,為了徹底解決傳統電源供給不足問題,可以更換為大容量的蓄電池組,并安裝固定式發電機組,進而保證在長時間停電狀態下企業網絡設備的可持續供電,避免因為斷電而導致文件損壞及數據丟失等安全問題的發生。

2.2服務器系統安全方案

企業網絡服務器系統的安全尤為重要,然而其安全問題的產生又是多方面因素所導致的,需要從多個層面來構建安全防護方案。

2.2.1操作系統漏洞安全

目前企業網絡服務器操作系統以Windows為主,該系統漏洞的出現成為了諸多攻擊者的重點對象,除了采取常規的更新Windows系統、安裝系統補丁外,還應針對企業網絡服務器及個人電腦的操作系統使用實際情況,實施專門的漏洞掃描和檢測,并根據掃描結果做出科學、客觀、全面的安全評估,如圖1所示,將證書授權入侵檢測系統部署在核心交換機的監控端口,并在不同網段安裝由中央工作站控制的網絡入侵檢測,以此來檢測和響應網絡入侵威脅。圖1漏洞掃描及檢測系統

2.2.2Windows端口安全

在Windows系統中,端口是企業實現網絡信息服務主要通道,一般一臺服務器會綁定多個IP,而這些IP又通過多個端口來提高企業網絡服務能力,這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網絡攻擊的運行路徑來看,大多數都要通過服務器TCP/UDP端口,可充分這一點來預防各種網絡攻擊,只需通過命令或端口管理軟件來實現系統端口的控制管理即可。

2.2.3Internet信息服務安全

Internet信息服務是以TCP/IP為基礎的,可通過諸多措施來提高Internet信息服務安全。(1)基于IP地址實現訪問控制。通過對IIS配置,可實現對來訪IP地址的檢測,進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。(2)在非系統分區上安裝IIS服務器。若在系統分區上安裝IIS,IIS就會具備非法訪問屬性,給非法用戶侵入系統分區提供便利,因此,在非系統分區上安全IIS服務器較為科學。(3)NTFS文件系統的應用。NTFS文件系統具有文件及目錄管理功能,服務器Windows2000的安全機制是基于NTFS文件系統的,因此Windows2000安裝時選用NTFS文件系統,安全性能更高。(4)服務端口號的修改。雖然IIS網絡服務默認端口的使用為訪問提供了諸多便捷,但會降低安全性,更容易受到基于端口程序漏洞的服務器攻擊,因此,通過修改部分服務器的網絡服務端口可提高企業網絡服務器的安全性。

2.3網絡結構安全方案

2.3.1強化網絡設備安全

強化企業網絡設備的自身安全是保障企業網絡安全的基礎措施,具體包含以下措施。(1)網絡設備運行安全。對各設備、各端口運行狀態的實時監控能有效發現各種異常,進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現上述目標,例如What’supGold能實現對企業網絡設備狀態的監控,而SolarWindsNetworkPerformancemonitor可實現對各個端口流量的實時監控。(2)網絡設備登錄安全。為了保證網絡設備登錄安全指數,對于企業網絡中的核心設備應配置專用的localuser用戶名,用戶名級別設置的一級,該級別用戶只具備讀權限,一般用于console、遠程telnet登錄等需求。除此之外,還可設置一個單獨的super密碼,只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。(3)無線AP安全。一般在企業內部有多個無線AP設備,應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰,從而確保無線接入網的安全性。

2.3.2細分網絡安全區域

目前,廣播式局域的企業網絡組網模式存在著一個嚴重缺陷就是當其中各個局域網存在ARP病毒時,未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統,同時還可能泄露重要信息。為了解決這種問題,可對整個網絡進行細分,即按某種規則如企業職能部門將企業網絡終端設備劃分為多個網段,在每個網段均有不同的vlan,從而保證安全性。

2.3.3加強通問控制

針對企業各個部門對網絡資源的需求,在通問控制時需要注意以下幾點:對內服務器應根據提供的業務與對口部門互通;對內服務器需要與互聯網隔離;體驗區只能訪問互聯網,不能訪問辦公網。以上功能的實現,可在核心路由器和防火墻上共同配合完成。

作者:李常福 單位:鄭州市中心醫院

篇2

關鍵詞 學籍管理;信息化;網絡安全

中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)13-0153-01

學籍管理制度是一項基本的教育管理制度,學籍管理是學校和教育行政部門重要的日常工作。為規范中小學學生學籍管理,加快推進中小學學生學籍管理信息化工作,某省教育廳決定組織建設省級中小學學籍管理系統平臺,實現義務教育階段、高中教育階段的學籍管理信息化、網絡化和規范化,為教育規劃、行政決策提供了科學的依據,并為省內其他教育業務管理系統提供所需的基礎數據服務。

1 物理安全

我們認為,物理安全是系統安全的第一道關口,所以,我們采取嚴格的中心機房建設和管理規范,采取雙回路UPS供電和嚴格的防火、防盜、防靜電、防雷擊等措施,對進入中心機房的人員進行嚴格管理。網絡線路盡可能進橋架、管道,注意設備的安裝環境,特別是室外設備的物理安全。

2 接入安全

為了保證內部網的安全,防止外部對內部網絡的攻擊,我們在網絡邊界部署一臺華為USG 3030防火墻,USG 3030華為公司新一代網關型安全防護設備,基于華為專業的硬件平臺以及強大的VRP軟件平臺,不僅具備優異的攻擊防范處理能力,而且能夠提供完善的虛擬專網(VPN)功能以及完備的地址轉換(NAT)功能,實現基于安全區域的隔離和防護。我們在防火墻中制定了如下規則:允許外部網絡訪問我們DMZ區的WEB SERVER及 MAIL SERVER,但只能訪問幾個特定的端口,如80/tcp(http),25/tcp(smtp),110/tcp(pop3)等,允許內部網絡訪問DMZ區和外部網絡;拒絕所有的外部IP地址對內部網絡的訪問,拒絕DMZ區對內部網絡的訪問;內部網絡有限制的訪問數據庫服務器和文件服務器;為出差人員建立了安全、可靠的VPN通道,他們可以通過VPN方式接入到內部網絡。這樣,首先可以保證我們的學籍管理系統對外服務不受影響,同時可以保證我們內部系統的安全。

3 虛擬網絡(VLAN)劃分

內部網絡的核心交換機采用一臺華為S5328C-EI三層交換機。該交換機能夠識別和處理四到七層的應用業務流,能根據不同的業務流進行不同的管理和控制。我們使用華為S5328C-EI三層交換機將內部網劃分為10個VLAN,VLAN 1-VLAN 8分配給不同的科室和部門,VLAN9分配給信息中心,VLAN10分配給內部服務器組(數據庫服務器和文件服務器),不同的VLAN之間通過三層交換機通訊,并根據實際需要設置不同的訪問權限;通過合理劃分VLAN,隔離了不同VLAN之間的廣播包,提高了網絡的性能,同時大大增強了內部網絡的安全性

4 防病毒技術

為實現病毒的全面防范,我們部署了瑞星殺毒軟件網絡版 2008。首先,在信息中心建立一個一級系統中心,在科室和其他部門分別建立二級系統中心。上級中心統一發送查殺病毒命令、下達版本升級提示,并及時掌握全部系統中心的病毒分布情況等。另外,下級中心既可以在收到上級中心的命令后做出響應,也可以管理本級,并主動向上級中心發送請求和匯報信息。通過該系統,可實現反病毒的統一管理和分級管理。通過部署網絡版反病毒軟件,整個單位和省級數據中心的計算機受到病毒和惡意軟件破壞的情況得到明顯改善。

5 健全網絡安全管理機制

網絡安全問題不是單純的技術問題,影響網絡安全的因素有很多,但其中最重要的因素是人的因素。在省級數據中心建成之后,我們制訂了網絡安全管理辦法,主要措施如下:多人負責原則,每一項與安全有關的活動,都必須有兩人或多人在場,并且一人操作一人復核;任期有限原則,技術人員不定期輪崗;職責分離原則,非本崗人員不得掌握用戶名、密碼等關鍵信息;及時升級系統補丁,關閉不用的服務和端口;對重要的數據服務器,每日必須進行數據備份;管理員的密碼必須達到一定的強度并且每周修改一次等等。

目前,省級數據中心網絡系統運行良好,網絡安全狀況大大改善,網絡系統的安全性有很大程度的提高。但還存在不少問題,比如說防止網絡攻擊方面,盡管使用了防火墻,但是,對內部網絡的攻擊防范力度有限,我們計劃在下一步部署入侵檢測系統,并與防火墻實現聯動,進一步提高防范內外網攻擊的能力。網絡系統的安全是一項長期的工作,需要我們不斷地學習新技術、不斷地積累和借鑒經驗,并及時付諸實施,才能確保省級數據中心網絡系統的安全。

參考文獻

[1]劉振華.B/S模式高職學生管理系統研究與設計[D].天津大學,2006.

篇3

近來較典型的是蠕蟲與木馬,比如說木馬程序它通過將自身偽裝吸引用戶下載執行,向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種者的電腦。近來就出現許多人的網絡賬戶遭到木馬程序盜取的案例。這些網絡病毒使人民財產受到嚴重侵害,也嚴重威脅到我們的正常工作與生活。惡意的攻擊和入侵所謂惡意的攻擊和入侵可對信息的有效性和完整性進行有選擇的破壞,也可在不影響網絡正常工作的情況下,對網絡進行數據監聽,截獲或捕捉傳播在網絡中的信息,這是計算機網絡面臨的主要威脅,引發網絡安全的問題。

計算機網絡受到威脅后果嚴重

1.國家安全將遭受到威脅

網絡黑客攻擊的目標常包括銀行、政府及軍事部門,竊取和修改信息。這會對社會和國家安全造成嚴重威脅,有可能帶來無法挽回的損失。

2.損失巨大

很多網絡是大型網絡,像互聯網是全球性網絡,這些網絡上連接著無數計算機及網絡設備,如果攻擊者攻擊入侵連接在網絡上的計算機和網絡設備,會破壞成千上萬臺計算機,從而給用戶造成巨大經濟損失。

3.手段多樣,手法隱蔽

網絡攻擊所需設備簡單,所花時間短,某些過程只需一臺連接Internet的PC即可完成。這個特征決定了攻擊者的方式多樣性和隱蔽性。比如網絡攻擊者既可以用監視網上數據來盜取他人的保密信息;可以通過截取他人的帳號和口令潛入他人的計算機系統;可以通過一些方法來繞過或破壞他人安裝的防火墻等等。

網絡安全防范技術

1.病毒的防范

計算機病毒變得越來越復雜,對計算機信息系統構成極大的威脅。在網絡環境中對計算機病毒的防范是網絡安全性建設中重要的一環。它的入侵檢測技術包括基于主機和基于網絡兩種。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。對網絡病毒的防范主要包括預防病毒、檢測病毒和殺毒三種技術。網絡版防病毒系統包括:(1)系統中心:系統中心實時記錄計算機的病毒監控、檢測和清除的信息,實現對整個防護系統的自動控制。(2)服務器端:服務器端為網絡服務器操作系統應用而設計。(3)客戶端:客戶端對當前工作站上病毒監控、檢測和清除,并在需要時向系統中心發送病毒監測報告。(4)管理控制臺:管理控制臺是為了網絡管理員的應用而設計的,通過它可以集中管理網絡上所有已安裝的防病毒系統防護軟件的計算機。

2.防火墻的配置

首先我們了解防火墻所處的位置決定了一些特點包括(1)所有的從外部到內部的通信都必須經過它(。2)只有有內部訪問策略授權的通信才能被允許通過。(3)系統本身具有很強的高可靠性。所以防火墻是網絡安全的屏障,配置防火墑是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個組成部分。它在內部信任網絡和其他任何非信任網絡上提供了不同的規則進行判斷和驗證,確定是否允許該類型的信息通過。一個防火墻策略要符合4個目標,而每個目標通常都不是通過一個單獨的設備或軟件來實現的。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。也可對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時,也能提供網絡使用情況的統計數據。當有網絡入侵或攻擊時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次,利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響,防止內部信息的外泄。

3.數據加密與用戶授權訪問控制技術

與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。數據加密包括傳輸過程中的數據加密和存儲數據加密,對于傳輸加密,一般有硬件加密和軟件加密兩種方法實現。網絡中的數據加密,要選擇加密算法和密鑰,可以將這些加密算法分為對稱密鑰算法和公鑰密鑰算法兩種。對稱密鑰算法中,收發雙方使用相同的密鑰。比較著名的對稱密鑰算法有:美國的DES、歐洲的IDEA等。

4.應用入侵檢測技術

入侵檢測系統是從多種計算機系統及網絡系統中收集信息,再通過這些信息分析入侵特征的網絡安全系統。入侵檢測系統的功能包括:監控和分析系統、用戶的行為;評估系統文件與數據文件的完整性,檢查系統漏洞;對系統的異常行為進行分析和識別,及時向網絡管理人員報警;跟蹤管理操作系統,識別無授僅用戶活動。具體應用就是指對那些面向系統資源和網絡資源的未經授權的行為進行識別和響應。入侵檢測通過監控系統的使用情況,來檢測系統用戶的越權使用以及系統外部的人侵者利用系統的安全缺陷對系統進行入侵的企圖。目前主要有兩類入侵檢測系統基于主機的和基于網絡的。前者檢查某臺主機系統日志中記錄的未經授權的可疑行為,并及時做出響應。后者是在連接過程中監視特定網段的數據流,查找每一數據包內隱藏的惡意入侵,并對發現的人侵做出及時的響應。

5.規范安全管理行為

單單在網絡安全技術上提高也是不夠的,因為網絡人員也可能是造成網絡安全的因素,所以安全管理行為的規范是必須的。一要內部有完善的安全管理規范,二要建立基于安全策略的搞笑網絡管理平臺。兩方面統籌規劃部署,達到提高整體安全性的效果。

篇4

[關鍵詞]網絡安全技術 公安網絡 系統安全 維護方案

一、公安網絡系統中存在的安全問題

1、公安系統存在問題的特征。1)系統安全問題具有動態性。隨著信息技術的飛速發展,不同時期有不同的安全問題,安全問題不斷地被解決,但也不斷地出現新的安全問題。例如線路竊聽劫持事件會因為加密協議層的使用而減少。安全問題具有動態性特點,造成系統安全問題不可能擁有一勞永逸的解決措施。2)系統安全問題來自于管理層、邏輯層和物理層,并不是單一的。管理層的安全主要包括安全政策及人員組織管理指標方面的內容。邏輯層的安全主要涉及到信息保密性,也就是在授權情況下,高密級信息向低密級的主體及客體傳遞,確保信息雙方的完整性,信息不會被隨意篡改,可以保證信息的一致性。一旦雙方完成信息交易,任何一方均不可單方面否認這筆交易。物理層的安全涉及的內容是多個關鍵設備、信息存放地點等,如計算機主機、網絡等,防止信息丟失和破壞。

2、公安網絡系統中存在的安全問題。1)一機兩用的現象比較普遍。部分公安值班人員在公安網絡中接入自己的私人電腦,同時還包括一些無線上網設備等。外接上網設備通常安裝了無線網卡,外界侵入公安網絡的可能性增大,公安網絡的安全隱患擴大。此外,公安系統中的計算機出現故障,需要檢查維修時,沒有事先格式化計算機,導致系統計算機中的資料泄露,甚至出現“一機兩用”的情況,可以將病毒引入系統中引起信息泄露。

3、安全意識淡薄。公安網絡中的計算機存在濫用的情況,非在編的基層人員在未經允許、教育培訓的情況私自使用公安網絡,從而出現信息泄露的情況,給網絡帶來嚴重的安全隱患。此外,公安部門人員缺乏安全意識,辦公室計算機的保密性不強,安全等級不高,重要軟件、文件等均沒有進行必要的加密處理,很多人員可以隨意訪問公安網絡,降低了公安網絡中計算機及其信息的安全性。

二、網絡安全技術與公安網絡系統的維護方案

1、積極建設網絡信息安全管理隊伍。網絡安全管理隊伍對管理公安網絡具有重要作用。為提升公安網絡的安全性與穩定性,可以定期組織信息安全管理人員進行培訓,強化技術教育與培訓,增強網絡安全管理人員的責任意識,改善管理效率,提升管理水平。

2、充分運用網絡安全技術。1)防毒技術。隨著病毒的傳播速度、頻率、范圍的不斷擴大,公安網絡系統中也需要建立全方位、立體化的防御體系,運用全平臺反病毒技術、自動解壓縮技術與實時監視技術等完善病毒防御方案。為了實現系統低層和反病毒軟件之間的相互配合,達到殺除病毒的目的,公安網絡中的計算機應運用全平臺反病毒技術。利用光盤、網絡等媒介所傳播的軟件通常是以壓縮狀態存在的,反病毒軟件要對系統內部所有的壓縮文件進行解壓縮,清除壓縮包內的病毒,若不運用自動解壓技術,存在于文件中的病毒會隨意傳播。

3、提高系統的可靠性。安網絡系統中一般是以敏感性資料、社會安全資料為主,這些資料被泄漏或者損壞均會產生嚴重后果。為了提升信息資料的安全性,必須定期備份,同時還應增強系統的可靠性。此外,還應明確系統災難的原因,如雷電、地震等環境因素,資源共享中,人為入侵等,針對可能出現的系統災難,可以建立起對應的災難備份系統。災難恢復指的是計算機系統遭遇災難之后,重組各種資源并恢復系統運行。

三、公安網絡系統中的網絡安全技術體系

篇5

關鍵詞:校園網;網絡安全;防范措施;防火墻;VLAN技術

校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。

一、校園網絡安全現狀分析

(一)網絡安全設施配備不夠

學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。

(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善

學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。

(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”

大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。

(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失

網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓?!秴⒖枷ⅰ?989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。

綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。

二、校園網絡的主要防范措施

(一)服務器

學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。

(二)防火墻

防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。

(三)防治網絡病毒

校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。

(四)口令加密和訪問控制

校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。

(五)VLAN(虛擬局域網)技術

VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。

(六)系統備份和數據備份

雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。

(七)入侵檢測系統(IntrusionDetectionSystem,IDS)

IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。

(八)增強網絡安全意識、健全學校統一規范管理制度

根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。

三、結論

校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。

參考文獻:

1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.

2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.

3、劉清山.網絡安全措施[M].電子工業出版社,2000.

4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.

5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).

6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.

篇6

關鍵詞:計算機;網絡安全;解決方案

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)05-1065-02

1概述

對計算機網絡安全產生威脅的因素成千上萬,因此針對這些因素來保護計算機網絡安全的手段也是錯綜復雜。一般來講,對計算機網絡安全起保護作用的技術主要有入侵檢測技術、防火墻技術、防病毒技術、加密技術、安全評估技術以及身份認證技術等。為了充分保障網絡完全,就必須要結合網絡的實際情況以及實際需要,將各種措施進行有效地整合以建立起一個完善的、立體的以及多層次的維護網絡安全的防御體系。有一個全方位多面的網絡完全解決方法才能從各個方面來保障計算機網絡的各種安全問題。

在網絡系統中,依據網絡拓撲結構以及對各種風險進行的分析,通常采取以下措施來全方位地保障計算機網絡完全:

1)身份鑒定:對具有合法身份的用戶進行鑒定。

2)病毒防護:進行殺毒以防止病毒入侵。

3)安全審計:實時監控網絡安全以及時發現網絡上的異常動態,忠實地記錄網絡所發生的違規行為或是網絡入侵行為以為日后提供證據。

4)信息加密:對信息進行加密以防止傳輸信息線路上的泄漏、竊聽、破壞以及篡改。

5)入侵檢測:通過利用各種方式來對計算機系統或是網絡的信息數據進行收集由此來發現計算機系統或是網絡中是否存在威脅安全的行為或是被攻擊的痕跡。一旦發現異常情況的存在就回去自動地發出警報并提示采取相應的解決方式。與此同時,自動記錄了受攻擊的過程,為計算機系統或是網絡的恢復以及追查來源提供依據。

6)訪問控制:對操作用戶的文件或是數據的權限進行控制或是限制,以避免其他用戶越權訪問。

7)安全保密管理措施:這是維護計算機網絡安全的重要組成部分。及時對已經有較全面的安全保密措施,仍然需要充分的管理力度以防止出現安全隱患。

8)漏洞掃描:進行漏洞掃描來對計算機網絡所存在的安全隱患進行全面地檢查,協助管理員發現安全漏洞。

2計算機網絡安全解決方案

2.1動態口令式身份認證方案

動態口令來進行身份認證具備動態性、隨機性、不可逆性以及一次性的特點。這種方式不僅保留了原有靜態式方法的方便性特點,同時也很好地對靜態式口令方式的各種缺陷進行了彌補。動態口令方式在國際公開密碼的算法基礎上衍生動態口令,并經過幾十次的非線性式的迭代運算完成了密鑰與時間參數的充分混合與擴散。在這個基礎上,利用解密流程以及先進的身份認證與密鑰管理方法來從整體上保障計算機網絡系統的安全。

2.1.1動態口令式系統的抗實物解剖力

動態口令方式采用了加密式的數據處理器,對企圖利用結算法程序從網絡中讀出的行為能進行有效地防止,具備較高的抗實物解剖能力。除此之外,在初始化中隨時生成的每個用戶的密鑰也是不相同的,密鑰與口令生成有關的信息同時存儲在動態RAM中。一旦有人對其進行分析處理,處理過程一旦掉電,密鑰就會消失。就算有人破解了其中的程序也因不知道客戶的密鑰而無法計算出客戶的實時口令。

2.1.2動態口令式的抗截獲能力

在動態口令系統中,每個正確的口令都只能使用一次。因此客戶不用擔心口令會在認證期間被第三方知道。所以正確的口令一旦在認證服務器上被認證后就會在數據庫中留下記錄。

2.1.3系統的安全數據庫加密與密鑰管理

用戶的信息以及用戶密鑰都存在安全數據庫。安全數據庫的信息一旦被泄漏,將會使得第三者有合法的身份進行操作,因此 這里的數據是要求絕對保密的。通常我們隊安全數據庫進行加密后在放在服務器上,不能以明碼的形式出現。安全數據庫的主密鑰存儲在計算機網絡系統維護員的IC卡上,因此只有掌握了系統維護員IC卡的人才能對安全數據庫的數據進行操作。。如果沒有數據安全庫的密鑰,即使接觸到了服務器,也不能獲得用戶的密鑰。

2.1.4動態口令式的抗窮舉攻擊力

破解口令的常用的攻擊手段是窮舉攻擊。窮舉攻擊手段能夠大量地頻繁地對每一個用戶的口令進行反復的認證。正對這一攻擊手段,動態口令身份認證系統在每個用戶每個時段的認證結構都進行日志記錄。一旦發現用戶的認證信息多次驗證失敗時系統就會自動鎖住該用戶的認證行為。這樣就能很好地防止窮舉攻擊的攻擊可能性。

2.2信息加密方案

加密手段是維護網絡安全的一個極其重要的手段。它的設計理念就是網絡既然本身就是不安全的,那么就應該對所有重要的信息進行加密處理。對信息進行加密是為了達到保護網絡內的文件、數據、口令以及控制信息的目的,以保證網絡安全的全面性與完整性。

網絡加密可以在應用級、鏈路級以及網絡級等進行。對信息加密要通過各式各樣的加密算法來進行。據初步統計,到目前為止,已開發出來的加密算有已經有幾百種了。通常加密算法可以分為不對稱即公鑰密碼算法與對稱即私鑰密碼算法。

網絡密碼機是在VPN技術的基礎上所出現的一種網絡安全設施。VPN即虛擬專用網是指以公用網絡作為傳輸媒體,通過驗證網絡流量以及加密的方式來保證公用網絡上所傳輸的信息的安全性,保證私人信息不被篡改與竊取。網絡密碼機采用專門的的硬件來加密與保護局域網數據的安全性。所以具有極高的網絡性能與安全強度。

2.3防火墻系統對訪問的控制能力

目前最為廣泛使用與流行的計算機網絡安全技術是防火墻技術。它的中心思想是就算是在安全性較低的網絡環境中也要構建出安全性相對較高的子網環境出來。防火墻技術用于執行兩個網絡中的訪問控制,它能夠對保護對象的網絡與互聯網或是其它網絡之間的傳遞操作、信息存取進行限制。它是一種隔離式的控制技術,可以用作網絡安全域或是不同網絡之間的信息出入口,能依據企業的安全方法對進出網絡的信息數據進行控制。防火墻本身就具有強大的抗攻擊能力。

防火墻技術包括:服務器型、包過濾型以及全狀態包過濾型。防火墻的使用范圍非常靈活,可以在以太網上的任何部位進行分割,以構建出安全網絡單位,也可以在單位的內網與外界的廣域網從出口上進行劃分,以保護單位內網,構建局部的安全網絡范圍。

利用防火墻設置安全策略來加強保護服務器,必要時還要啟用防火墻的NAT功能來隱藏網絡的拓撲結構,利用日志記錄來監控非法訪問。采用防火墻和入侵檢測聯合功能來形成動態的相適應的安全保護平臺。

防火墻依據系統管理者的設置安全選項來保護內部網絡,通過高效能的網絡核心來進行訪問控制,與此同時,提供信息過濾、網絡地址轉換、內容過濾、帶寬管理、服務、用戶身份認證、流量控制等功能。

3結束語

隨著現代網絡信息技術的不斷普及以及在各個領域的廣泛使用,計算機網絡安全也成為了影響網絡效能的重要因素。人們對計算機的使用程度也使得網絡安全問題變得格外重要。面對目前所存在的大量網絡安全問題,為了廣大用戶的隱私保護與安全著想。我們有必要加強對網絡安全措施的研究。

參考文獻:

[1]林廷劈.網絡安全策略[J].三明高等??茖W校學報,2002,15(4).

[2]劉遠生.計算機網絡安全[M].北京:清華大學出版社,2006.

[3]仇劍鋒,蔡自興.信息網絡安全設計策略[J].中國科技,2003,16(8).

篇7

關鍵詞:網絡安全評估;漏洞掃描;系統脆弱性;TCP/IP

中圖分類號:TP393.08

安全檢測和評估技術是計算機網絡系統信息安全保障體系的重要組成部分,是網絡系統安全防御的前提和基礎條件。它既可以在攻擊者對網絡系統形成真正的危害之前確定網絡系統內部存在的安全隱患,提供切實可行的安全性增強策略,也可以在攻擊者對網絡系統進行實際的攻擊行為之后實施追蹤,快速定位影響系統安全性的主機漏洞,并提供補丁進行修補,從而保證了網絡系統的安全特性。脆弱性評估作為安全檢測和評估技術的重要一環,是在網絡系統攻擊事件發生之前發現系統脆弱性和薄弱環節的有效手段,同時也是降低網絡系統風險等級的有效途徑[1-2]。對網絡系統中的計算機以及由若干主機組成的計算機網絡系統定期進行脆弱性評估對于保障系統安全非常重要,已經成為信息、安全領域的迫切需求。

目前,國內外的許多研究機構都在進行計算機網絡系統脆弱性評估技術的相關研究,并已經提出了多種評估模型,開發了多個評估系統[3-4]。但是,這些模型或系統或多或少存在著一些不足,或者考慮的因素不夠全面,或者缺乏對結果信息的深度分析,或者可操作性不強,使得其對于提高網絡系統安全等級的指導意義不夠明確。

網絡安全性評估一般從信息的機密性、完整性和可用性等方面來衡量。實際應用中,這些內容并不是一成不變的,不同的組織可能會側重于不同安全屬性的需求,例如,軍隊和政府機構比較側重于機密性,銀行部門更側重于完整性,學校和普通的企業更側重于可用性。從涉及的范圍看,信息系統的安全度量包括技術性安全度量、組織性安全度量、操作性安全度量以及物理安全性度量[5-6]。

1 系統漏洞分析

1.1 漏洞機理

漏洞使硬件或軟件在面臨攻擊時表現出某種脆弱性,使攻擊者可以利用這個缺陷在系統未授權的情況下訪問系統或者破壞系統的正常使用。這些缺陷所能影響到的網絡范圍是很大的,其中包括路由器、客戶和服務器程序、操作系統、防火墻等,對系統的安全穩定帶來嚴重威脅。

漏洞產生的因素主要有以下四個[7-8]:

(1)網絡系統包括網絡設備、防火墻和計算機等,其操作系統或系統軟件都可能存在各種設計缺陷。在不同的設備中,不同的系統和不同的設置都會存在不同的安全漏洞,這是漏洞的主要根源;

(2)種類繁多、不斷發展中的網絡應用程序為網絡系統增添了許多安全隱患;

(3)由于歷史的原因,Internet的發展是建立在相互信任的互聯機制上, IPv4是Internet中所使用的互連網層(InternetLayer)協議,該協議面臨著信息認證、完整性控制、保密和拒認等諸多安全方面的問題,TCP/IP協議族固有的安全缺陷為網絡攻擊打開了方便之門,由于大量重要的應用程序都以TCP作為它們的傳輸層協議,因此TCP的安全性問題會給網絡帶來嚴重的后果。如TCP/IP協議允許系統權限用戶構造原始IP數據包,可以制造許多RFC未定義的網絡狀態,進行網絡欺騙、拒絕服務(DOS)、數據偵聽等攻擊;

(4)缺少必要的安全防范、管理不當也是產生安全漏洞的一個重要原因。

1.2 典型漏洞探測策略

這類漏洞掃描軟件對于每個漏洞都有一個相應的探測程序,以插件形式來調用實施對目標系統的掃描。用戶一般可以根據需要掃描的漏洞來調度相應的探測程序,如通過參數配置選擇漏洞的類別,由程序調用該類的所有漏洞探測程序實施探測。軟件實施的探測方法如圖1所示。

探測的具體方法是:由用戶進行參數配置,根據需要選定要掃描的漏洞類別集{類別A,類別B,......,類別X},然后由軟件調用逐個類別所含的每個漏洞探測插件{插件SX1,插件SX2,......,插件SXn}進行探測。

系統的性能主要決定于漏洞庫的完整性和漏洞探測插件程序的編寫質量。這種方法的好處是能保證漏洞探測的完整性,漏洞探測程序不受目標系統開放端口信息的影響,只要是所選取的漏洞掃描插件,都會被執行一遍,即使應用程序或系統更改了默認定義的端口,漏洞掃描軟件仍然可以根據漏洞特征代碼對其進行探測,可以逐個識別目標系統隱藏的網絡服務。

不過,這種設計方法忽視漏洞與目標系統信息的聯系,在某種程度上降低了探測的準確性和掃描效率。如果探測程序的探測程度不夠深,目標系統運行了端口定義為21的某種網絡應用服務,探測軟件可能誤以為是FTP類的服務,判定目標系統具有匿名FTP服務的某些脆弱性,就發生漏洞誤報。另外忽略目標系統的整體信息,也會導致漏洞報告的不準確,例如用Nessus軟件掃描一個操作系統類型為Windows2003的目標機器,得到下面的漏洞警告:

2 系統的設計與實現

本文設計的安全評估系統是基于C-S模式的體系結構,其體系結構如圖2所示,該體系結構主要由客戶端和服務器端組成,其中客戶端主要由掃描配置模塊、評估模塊、掃描結果數據庫模塊與結果輸出模塊等組成,服務器端則主要由掃描引擎、漏洞庫、規則庫、結果庫與插件庫等組成。這種模式由客戶端的掃描配置模塊進行掃描配置,將掃描請求文件發送到服務器端,服務器端的掃描引擎根據掃描配置文件調用相應的插件對目標網絡進行掃描,將從目標網絡返回的結果與漏洞庫中的信息進行匹配以確定是否存在相應漏洞,然后將掃描結果返回給客戶端,客戶端由評估模塊對返回的掃描結果進行分析,完成對被掃描網絡的安全評估工作,最后由結果輸出模塊對掃描結果進行處理。

3 結束語

隨著互聯網的迅速發展,政治、經濟、社會、文化等各方面都越來越依賴于網絡。而利用安全脆弱性危害網絡安全的攻擊事件每年以幾何級數在增長,隨著經濟的發展,危害事件造成的損失也越來越大。因此無論是網絡服務商、網絡管理部門,還是網絡應用部門,都將網絡安全和系統安全放在非常重要的地位上,對此提出更高、更迫切的需求。

深入研究和開發網絡安全評估系統,可以大大推進網絡安全科研工作,拓展安全檢測的新研究方向,具有極大的社會、經濟效益。系統可以采用靈活多樣的方式提供服務,如出售軟件系統、遠程檢測、定制開發、系統安全維護、安全方案設計等,商業前景十分誘人。

本文系統地研究了網絡安全評估系統,闡明了相關的關鍵技術和系統設計的技術方案,針對提高漏洞分析的準確性、漏洞探測的全面性和系統的高效性,提出了可行的技術策略,并加強隱藏信息服務的分析,提高了系統的適應能力,并利用實驗室的局域網資源,進行了網絡安全評估的模擬實驗,取得了較理想的效果,為深入開發網絡安全評估系統奠定了基礎。

參考文獻:

[1]National Institute of Standards and Technology.SPecial Publications,Risk Management Guide for Information Technology Systems[M].July,2002:4-6.

[2]Peltier T R.Information Security Risk Analysis[J].Taylor & Francis,Inc.April,2005:23-35.

[3]邢栩嘉,林闖,蔣屹新.計算機系統脆弱性評估研究[J].計算機學報,2004(0l):4-6.

[4]Common Criteria for Information Technology Security Evaluation.September,2006:28-32.

[5]Steven N,Michael J. MultiPle Coordinated Views for Network Attaek Graphs[J],Workshop on Visualization for ComPuter Security,October 26,Minneapolis,MN,USA,2005:IEEE:99-106.

[6]汪淵,蔣凡,陳國梁.基于圖論的網絡安全分析方法研究與應用[J],小型微型計算機系統,2003(10):1865-1869.

[7]MCNAB C.王景新譯.網絡安全評估[M].北京:中國電力出版社,2005:21-22.

[8]OURSTON D, MATZNER S,STUMP W. Applications of Hidden Markov Models to Detecting Multi-stage Network Attacks[C].Proceedings of the 36th Hawaii International Conference on System Sciences(HICSS),Applied Research Laboratories University of Texas at Austin,2003:26-28.

篇8

關鍵詞:電子印章;PKI;數字水??;身份認證

中圖分類號:TP319 文獻標識碼:A 文章編號:16727800(2013)002008902

0 引言

隨著網絡的迅速發展,電子公文得到了越來越廣泛的使用。但是電子公文的易備份性使得電子公文在傳輸中的安全性、合法性、有效性得不到有力保證。因此如何保證文件的安全性、規范性是電子公文在傳輸中的一個重要問題。針對電子公文在網絡中傳輸的特點,本文提出了一種基于網絡的電子印章服務平臺架構,該架構可以將簽章后的電子公文通過網絡安全快捷地傳送給接收方。

1 電子印章服務平臺

電子印章服務平臺邏輯上主要分為:印章服務器/權限中心、印章制作中心、公文流轉中心3部分。其總體結構描述如圖1所示。

印章服務器/權限設置中心:主要負責與后臺數據庫通信,管理各個客戶端用戶的權限授予,接受并執行客戶端發送的請求,并將用戶操作記錄形成日志。

印章制作中心:主要負責印章的制作、檢索、查看、撤銷工作,是進行公文流轉的前期工作。

公文流轉中心:是電子印章系統的核心部分,該中心嵌入到Word、Excel等應用軟件中,主要負責文檔審閱、簽章、簽名認證、打印控制、文檔作廢等工作。

2 關鍵技術

2.1 PKI技術

PKI(Public Key Infrastructure),即公鑰基礎設施。它是通過使用公開密鑰技術和數字證書來確保系統信息安全,并負責驗證數字證書持有者身份的一種體系。PKI主要由認證機構CA中心、證書及相關業務受理審核中心、密鑰管理中心、證書庫等部分組成。其中CA中心是PKI系統的核心,是數字證書的簽發機構。它通過對實體身份信息和相應公鑰數據的數字簽名,來捆綁該實體的公鑰和身份,以證明各實體在網上身份的真實性。

電子印章服務平臺就是利用PKI技術建立的一項提供安全簽章服務的設施平臺。PKI技術是電子印章服務平臺信息安全的核心技術。

2.2 數字簽名技術

數字簽名就是信息發送方用自己的私鑰對傳輸文檔中提取的數字摘要進行加密操作并傳給接收方,接收方用發送方的公鑰解開數據后,就可以確定消息來自于誰。數字簽名可以用來保證網絡信息在傳輸過程中的完整性、信息發送方的身份不可抵賴性和可認證性,可以解決否認、偽造、篡改、冒充等問題,是保證網絡中傳輸數據沒有被非法篡改的重要手段。

2.3 數字水印技術

數字水印技術是一種信息隱藏技術。它是通過一定的算法將一些標志性信息直接嵌入多媒體內容中,而不影響原內容的價值和使用,并且不能被人的知覺系統感知。目前大多數水印制作方案都采用密碼學中的加密體系來加強,在水印嵌入、提取時采用一種密鑰。嵌入多媒體作品中的數字水印應當滿足安全性、隱蔽性、穩健性、水印容量足夠大這幾個方面的要求。

2.4 USB KEY技術

USB KEY技術以智能卡技術為基礎,在硬件設備中內置單片機或者智能卡芯片,具備一定存儲空間,可以存儲用戶的私鑰以及數字證書,利用USB KEY內置的公鑰算法可以實現對用戶身份的認證。

3 平臺安全性設計

3.1 安全需求

(1)電子印章加密硬件的安全性。作為存儲數字證書和用戶私鑰的智能密碼鑰匙(USB KEY),其自身的安全性是非常重要的。智能密碼鑰匙的安全性主要由兩方面決定:一方面是加密算法的自身強度,一方面是密鑰的保密強度和質量。

(2)電子印章服務平臺自身的安全性。電子印章服務平臺中電子印章制作、公文流轉等過程都涉及到用戶身份的認證、印章制作、印章存儲、傳輸、使用權限的控制等一系列安全問題。這些問題如果解決不好,都會使系統的安全性無法得到保障。

3.2 解決方案

電子印章的安全方案設計主要體現在用戶登錄認證、印章制作、文檔簽章、簽章文檔的驗證、公文流轉等應用流程中。

(1)基于用戶身份的訪問控制。用戶必須通過持有獲得第三方認證機構簽發數字證書的USB KEY并提供正確的PIN碼才能夠登錄系統。用戶在第一次登錄前還必須獲得管理員的授權,該部分在服務器/權限中心完成。管理員可以對用戶進行制章、持章、日志審核、公文流轉設置4個角色的授權。

(2)基于數字證書和數字水印的制章簽名。為了保證電子印章的真實性、不可復制、不可刪除性,將印章信息以雙水印形式嵌入印章圖片中。第一層水印信息包括印章ID、制章者證書、持章者證書。使用制章者私鑰加密,利用DCT算法在頻域中實現。主要用于驗證印章的真實性和有效性。第二層水印信息包括印章制作單位、印章有效期等需要公開的信息,無需加密。利用LSB算法直接嵌入印章圖片中。方便用戶查看印章基本信息。

(3)基于數字證書和數字水印的簽章文檔簽名及驗證。簽章時,將電子公文的數據進行散列運算后利用印章持有者私鑰簽名,將簽名后的信息以水印形式嵌入電子印章圖片,和原電子公文整合到一起形成一個新的簽章文檔,實現印章和文檔的一對一關系。

驗證簽名時,對簽章文檔的印章進行拆分。將簽章時嵌入的水印即電子公文的數字簽名信息提取出來,并用印章持有者公鑰解密,得到結果M1。同時對被簽名的原始數據做散列運算,得到結果M2,將兩結果進行比較,若一致表示文檔信息真實可靠。其簽名驗證過程如圖2所示。

4 結語

本文提出的基于網絡的電子印章服務平臺集成了PKI技術、數字簽名技術、數字水印技術、USB KEY技術。與以前的安全方案比較有以下改進:一是運用了多層數字水印技術。利用電子印章對文檔進行多重保護,將文檔數字簽名以水印形式嵌入印章圖片中,真正實現印章與電子公文一一對應的關系,從而保證了電子公文的真實性、可靠性和不可篡改性;二是利用PKI進行身份認證和數字簽名,為電子公文進行網絡流轉提供了有效保障,從而提高電子公文在網絡流轉過程中的安全性和可靠性。

參考文獻:

\[1\] 寧子嵐.基于數字簽名和數字水印技術的電子印章系統\[D\].長沙:長沙理工大學,2007.

\[2\] 許盛偉,李彥兵.一種基于PKI的電子印章系統安全應用方案\[J\].計算機應用軟件,2008(10).

\[3\] 寧子嵐,向元平.基于PKI和數字水印的電子簽章系統\[J\].計算機時代,2009(12).

篇9

關鍵詞:信息安全,安全政策,安全體系,安全設施

中圖分類號:TN915.08文獻標識碼: A 文章編號:

武漢職業技術學院是國家教育部批準獨立設置、湖北省人民政府主辦、湖北省教育廳直屬的全日制普通高等學校。學校坐擁“武漢·中國光谷”的中心地利,搶占了高職教育發展的戰略高地,開創了區域化、國際化、現代化高職辦學的成功范例。學校整體辦學條件、辦學實力、辦學水平躍居湖北省高職院校前列,成為湖北高職教育的著名品牌、中部高職教育的改革先鋒,并作為國家重點示范性院校在全國高職教育領域產生了重要影響。

1. 武漢職業技術學院電子政務系統網絡系統現狀

高校電子政務系統的應用和主要服務對象是老師與學生,師生擁有電腦的比例以及使用電腦的頻率比較大,上網瀏覽存在安全隱患的網站,接收陌生文件等網絡應用會導致校園網內病毒泛濫;觀看網絡視頻,嚴重占據網絡速度與流量,甚至阻塞網絡運行;同時師生人數較多,每個用戶對網絡安全的認識也不盡相同。經過調查、分析、研究,該校電子政務系統存在以下的安全隱患:

1. 校園網直接與因特網相連,校園網內、外部網絡攻擊情況嚴重;

2. 用戶數量大,使用頻率高:該校大部分教學工作、科研工作及日常行政辦公等都是以網絡為應用平臺。如果在節點沒有采取一定的防護措施,隨時有可能造成病毒泛濫、信息丟失與損壞、網絡被攻擊、系統癱瘓等嚴重后果;

3. 缺乏統一管理:前期的網絡建設投資很大,隨著學校的逐步發展以及校園環境的變遷,使得網絡統一管理的問題越發突出;

4. 網管中心負荷量大:大部分的網絡管理工作都是由網絡中心來完成的,由于人員少,校園網絡的維護與運營、使用網絡的規章制度以及相關費用的收取等等工作進行比較緩慢。

所以,一個科學的網絡安全系統對校園網的正常運行起著至關重要的作用。

2. 武漢職業技術學院電子政務系統安全實施

2.1 防火墻的實施

根據武漢職業技術學院的具體校園網網絡背景,防火墻設備選用兩臺千兆防火墻:EX-520。選用的防火墻產品具有2個千兆光纖端口,2個百兆端口。

對于防火墻的部署,是基于以下幾點來考慮和設計的:

1、兩個千兆光纖端口分別接:DMZ區(DMZ區一般是對外提供WWW、DNS、Email、FTP、BBS等服務的特殊小型網絡);武漢職業技術學院內部校園網。

2、一個百兆網口,用于連接整個校園網或者電子政務系統的上級信息網。剩余的其他端口,可根據具體網絡應用需要連接其他網段或局域網子網。

3、防火墻設備的安全策略配置與實施:

解決網絡邊界點安全,保護內部網絡;根據IP地址、協議類型、端口等實現數據包過濾功能以及地址轉換;

保證內部安全服務器網絡(DMZ區)的安全;

實現IP與MAC地址綁定,避免出現IP地址欺騙或者亂用網絡資源;

開啟黑白名單功能,實現URL過濾,過濾不健康網站;

具有自身保護能力,可防范對防火墻的常見攻擊;

啟動入侵檢測及告警功能;

學生訪問不良信息網站后的日志記錄,做到有據可查;

多種應用協議的支持。

防火墻部署示意圖

2.2 網絡分段技術在學院網絡安全方案中的應用

為了確保不同部門、不同職權等級的人員相對的信息安全,將網絡劃分為若干個子網是很有必要的,它是對內部局域網采取的重要安全措施。

網絡分段的目的就是將非法用戶與敏感的網絡資源相互隔離,網絡分段可分為物理分段與邏輯分段兩種方式,也可以綜合應用物理分段與邏輯分段兩種方法來實現對局域網的安全控制。

1. 以交換式集線器代替共享式集線器

對局域網的中心交換機進行網絡分段后,以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數據通信時,兩臺機器之間的數據包(通常成為單播數據包)還是會被同一臺集線器上的其他用戶所偵聽。

因此,應該以交換式集線器代替共享式集線器,使單播數據包(Unicast Packet)僅在兩個節點之間傳送,從而防止非法偵聽。當然,交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包。但是一般情況下廣播包和多播包內的關鍵信息,要遠遠少于單播包。

2. 虛擬網VLAN的劃分

虛擬局域網技術(VLAN)將地理位置不同的、同屬一個單位的幾個局域網劃分成一個虛擬網段,以便單位內部的數據共享和管理。

校園的主干部分(及核心層與匯聚層之間)運行動態路由協議,每個匯聚層交換機作為第三層設備將會成為廣播流量的邊界,從而也中斷了VLAN跨過主干網絡,可以說每個匯聚點都是一個VLAN管理的域,不同的VLAN 管理域之間的VLAN從命名上或VLAN ID號的分配上都沒有任何關系。而在每個VTP域中,VLAN1專門用于交換機之間控制面板流量的傳輸,而不承載用戶數據,也不作為管理VLAN,并在Trunk上清除了VLAN1的用戶流量以減小VLAN1生成樹的直徑。

篇10

關鍵詞: 公安;邊防部隊;網絡信息;安全管理;問題;對策

網絡信息技術在經濟的激烈發展中變得日益先進化,設計到國家發展的各個領域,是國家經濟發展的重要力量,但是網絡信息技術作為一種無形的技術很容易受到威脅,在長期的使用中會出現一些不良的網絡信息、干擾網絡系統的病毒以及機密被竊取的現象。公安邊防部隊作為守衛國家安全的重要組織,在網絡信息的安全管理上更是要引起重視,要查找在安全管理中所存在的威脅因素,例如:信息傳遞以及網絡結構管理所面臨的問題;網絡設備的利用性不高;網絡體系中出現惡意的程序;網絡信息操作的安全性低。進而根據這些問題找出相應方案去除這些威脅,進而維護好國家的發展與居民的安定。

1 公安邊防部隊網絡信息安全管理面臨的問題

在公安邊防部隊的網絡信息使用中,由于一些威脅性因素的存在嚴重威懾著部隊對網絡信息的安全管理,下面筆者就和大家共同分析一下,在公安邊防部隊網絡信息安全管理中所面臨的為威脅性因素:

1.1 光纖通信網絡的安全隱患

在光纖通信網絡信息傳遞的過程中由于缺乏安全的管理,致主要是物理鏈路方面。使很多病毒以及惡意的軟件在中途植入,導致信息大量的丟失,一些不法的想竊取公安邊防部隊的機密的人員,使用一些高端的技術掃描公安邊防部隊網絡體系所存在的漏洞。進而找出突破口,竊取機密。由于在網絡結構的創建過程中,會用到很多的網絡設備,在這些網絡設備的使用中也會出現泄漏信息的狀況,究其原因,主要是由于公安邊防部隊在信息傳遞以及網絡結構的創建中缺乏安全的管理。

1.2 網絡設備的利用性不高

在網絡信息的使用中,由于設備的管理與監督力度不夠,最終致使設備被竊取;很多網絡設備被修理的次數非常的多,導致設備斷電等在使用中會出現很多故障以及意外,最終致使公安邊防部隊的信息以及機密被外泄;還有的情況是因為操作人員技術性能不強進而使用不當致使網絡設備破損;由于地區的局限性,所用的設備過于落后,不能夠跟得上信息技術的發展與變化,致使信息不靈通,網絡設備的利用性不高。

1.3 機房信息接入點的安全隱患,網絡體系中出現惡意的程序

網絡技術的日益發展使得網絡體系也逐漸的日益先進,但是與此同時,相應的竊取機密以及信息的不法科技也在快速的發展。很多肆意竊取公安邊防部隊信息機密的不法分子,通過高端的科學網絡技術,將惡意的程序例如:病毒、木馬等植入到網絡信息的各種軟件之中,公安邊防部隊的工作人員在使用的過程中,在毫不知情的情況下,系統就會出現安全威脅,進而信息就會被他人竊取。

1.4 網絡信息操作安全性能低,違規使用的安全隱患

在網絡信息的管理中由于相關管理人員缺乏有效的管理,致使網絡信息操作的安全性降低,信息被大量的盜取的現象頻頻上演,除此之外,由于網絡機器設備在使用中,由于各種原因,故障以及意外的高發性也致使網絡信息操作的安全性能降低;由于在公安邊防部隊目前所用的網絡信息體系中一些防范技術很少被使用,導致病毒以及木馬的入侵,所以最終致使網絡信息操作的安全性能降低,信息被盜取。

2 解決公安邊防部隊網絡信息安全管理問題的對策

2.1 強化網絡信息人才培養,完善網絡安全防護技術

要想提升公安邊防部隊網絡信息的安全管理首要措施一定是從相關的管理人員做起,提升相關的管理人員的綜合性修養,進而提升管理的有效性。在提升相關的管理人員的綜合性修養的過程中,公安邊防部隊要創建一套合理的、全面的管理制度。在目前的網絡信息管理中缺乏有效的制度,既使有也不符合當下網絡信息管理的要求。這樣使得網絡信息泄密的狀況有法規以及法律的約束。在管理的過程中,要多汲取先進的管理經驗,結合自身的問題,制度相應的管理制度,為了保證管理的高效性,可以制度相應的獎懲條例。進而在網絡信息的管理中,相關的工作要做好分工,責任要有明確的劃分,創建一定的責任體系,將公安邊防部隊的網絡信息管理責任規劃到專人身上,遏制信息泄露狀況的發生。對于一些不是公安邊防部隊的工作人員,要加強管理以及防范工作,可以錄指紋;簽訂協議等,以防不法人員渾水摸魚,偷盜機密。相關的管理人員還要對工作中所用到的手機、電腦以及相機等移動的存儲物體加強管理,要做好相應的使用登記。還要加強對相關管理人員的技能強化,保證其在工作中能夠有足夠的能力去應對相關的問題。

2.2 要進一步完善網絡安全保密工作

要想確保公安邊防部隊的網絡信息管理的安全性,一定要注重對網絡信息安全的防范工作,進而創建防范病毒以及各種威脅因素的檢測體系,保證網絡信息體系可以在全天中得到檢測,進而能夠有效的發現系統中所出現的漏洞,并做出相應的彌補和防范,找出問題的根源,將不法的竊取機密的科技以及人員一網打盡,為創建安全的網路信息體系提供可行的條件。要研制出相應的防火墻技能,進而提升對網絡信息體系的管理與監督。防火墻雖然對增強網絡信息安全方面的作用很重要,但是隨著盜竊機密的技術的快速發展,防火墻的保護功能在日漸衰退,所以要想建立保護網絡信息體系的防火墻一定要采用高端的科學技術,研發出高端技能的防火墻,進而能夠對網絡信息體系中的病毒、木馬以及惡意的軟件做出有效的控制,相關的管理人員要對文件以及機密的加密技術進行研究,使得加密技術能夠更加的合理化、先進化、安全化。所以要想促進公安邊防部隊網絡信息管理的安全化,要注重網絡信息安全的防范工作,進而促進邊防工作人員的信息技術的合理化、安全化。

2.3 要建立網絡安全防護機制,制定合理的網絡控制措施

公安邊防部隊可以號召國家的一些重點部門以及單位合理規劃自身所用的網絡信息體系,站在國家的角度,將所用的網絡信息體系融入國家的網絡信息建設的規劃中,進而擴大網絡控制的范圍,包括網絡安全風險評估、網絡安全應急演練等,增強網絡控制的力度。公安邊防部隊可以在網絡控制中發揮自身的主導作用,積極的協調、規劃好網絡信息系統管理的安全工作,并將其落實到位,號召各單位以及部門積極的配合好公安邊防部隊的網絡信息管理的安全工作,進而將有效的管理落到實處。隨著工作的信息化,很多部門在工作中都實現了網絡化的發展,公安邊防部隊在網絡化工作的過程中,要將報警技術植入到各網絡體系的使用中,進而通過報警提示來考核網絡信息體系的安全性,若出現問題報警體系就會有提示,然后工作人員可以及時的查找問題的所在位置,并做出相應的防范措施,進而消除病毒、木馬、惡意軟件等安全威脅。

3 總結

網絡信息技術在各個領域的廣泛應用帶動了我國的經濟發展,但是在長期的使用中也出現了各種威脅網絡信息安全的因素,尤其公安邊防部門這種威脅的威懾性非常的嚴重,它影響著國家的經濟發展以及居民生活的安定,所以一定要找出公安邊防部隊網絡信息安全管理面臨的問題,信息傳遞以及網絡結構缺乏安全管理的問題,網絡設備的利用性不高,網絡體系中出現惡意的程序,網絡信息操作安全性能低。針對這些問題,公安邊防部隊要提升相關管理人員的綜合化的修養,并注重網絡信息安全的防范工作,制定合理的網絡信息控制措施,為公安邊防部隊的工作人員提供一個穩定的守衛環境以及可靠的信息利用系統。

參考文獻:

[1]任志安、錢士俠,論公安機關在群體性治安事件中的法律定位[J].長白學刊,2011(03).

[2]郭會茹、孫靜靜,公安網絡信息安全及其防范措施的研究[J].赤峰學院學報(自然科學版),2011(09).

[3]鐘婧,群體性治安事件處置原則新探究[J].法制與社會,2010(21) .

[4]蘇偉,論社會轉型期公安工作中的媒體應對[J].吉林公安高等專科學校學報,2010(01).

[5]許發見,從“維基解密”事件看公安網絡安全管理重要性[J].信息網絡安全,2011(02).

[6]翁楊華,淺談公安信息網絡安全問題及解決對策[J].福建電腦,2010(04).