网络安全建设总结篇1
为了提高税务系统广域网络网间通信的安全性,设计者根据税务系统信息安全体系建设的总体目标,提出了针对目前税务系统广域网络防火墙子系统的技术需求和工程实施需求。建设税务系统统一、安全、稳定、高效的信息安全体系,形成涵盖税务系统网络、应用和管理等信息系统各个方面的安全总体方案及安全策略,根据税务系统信息化建设进程制定税务信息安全体系建设的分步实施方案,逐步形成完整的信息安全保障体系。
税务系统广域网络概况
税务系统广域网络是金税工程的基础设施,由税务总局至各省级、地市级至所属区县级税务局的四级树状广域网络构成:
核心网络――核心网络采用光技术的宽带ip高速网,其拓扑结构为双星结构,分为主干层和接入层。核心网络采用poS技术组建。
省级网络规划――每一个省级税务机关独立组网,采用双星或星形结构,形成自己独立的管理域和路由域。
接入层网络规划――根据运营商提供的各类接入业务的资费情况及其特点,将分别采用不同的接入设计方案,如以太、SDH、DDn/FR、pStn/iSDn、xDSL、Vpn等。
业务专网与互联网通过防火墙实现逻辑隔离,并要求只在总局及省一级设置出口。
广域网间的访问关系如下:总局与各省级单位间可自由互访,其它单位按行政隶属关系实现总局、省级局、地市级局至区县局的访问(跨级别单位间的互访需经过一级或多级路由转发实现),跨行政隶属关系不能进行互访。
项目需求分析
本次税务系统广域网络防火墙系统建设的目标是通过在各地税务系统之间以及税务系统同其它合作单位连接处采用防火墙技术,防止外部网络对各个地市本地税务系统数据的非法使用和访问,监控整个网络数据过程。有效防止来自外部的攻击行为。限制对内部资源和系统的访问范围。通过在税务系统广域网络系统中设置防火墙的安全措施将达到以下目标:
1、保护基于税务系统广域网络的业务不间断的正常运作。包括构成税务系统网络的所有设施、系统、以及系统所处理的数据(信息)。
2、保证税务系统网络安全可靠的运行。
3、实现系统安全及数据安全。
4、税务系统的重要信息在可控的范围内传播,即有效的控制信息传播的范围,防止重要信息泄露给外部的组织或人员。
5、实现税务系统广域网络节点间边界的接入安全。
6、在用户和资源之间进行严格的访问控制(通过身份认证,访问控制)。
7、建立一套数据审计、记录的安全管理机制(网络数据采集,审计)。
8、融合技术手段和行政手段,形成全局的安全管理。
安全方案
面对上述这些风险,设计者根据各个税务局域网中具有不同安全要求的区域的安全策略可设置为不同的安全域。在省以上各个局域网内部可建立不同的安全域,保证安全风险的隔离:数据中心安全域,对数据中心进行专门安全保护;网络安全管理中心安全域,对网络安全管理中心进行集中安全保护;Ca中心安全域,对Ca、aa、KmC系统进行集中安全保护;其它业务安全域,对各个税务单位的应用业务领域进行安全分割和保护。同时选用了方正信息安全技术有限公司的方正FG系列防火墙为主构筑整个网络的安全体系。
*安全性:方正FG系列防火墙提供一整套访问控制/防护的安全策略,既最大限度的保证税务系统广域网络系统的安全性,同时保证防火墙系统本身的安全性
*高效性:该防火墙系统的实施能够最大限度保证税务系统广域网络系统的运行效率。
*高可靠性:产品采用软件、硬件结合的形式,保证系统长期稳定、安全运行;方正防火墙系统的实施不影响税务系统广域网络系统的正常运行与可靠性,同时系统本身必须是可靠的。
*可扩充性:采用模块化设计方式,方便产品升级、功能增强、调整系统结构。
*可管理性:采用基于windows平台GUi模式进行管理,方便各种安全策略设置,且支持可授权的集中管理。
*易实现性:方正FG系列防火墙的安装、配置与管理简洁,安装便捷、配置灵活、操作简单。
网络安全建设总结篇2
摘要:对于民族语言网站集成就是一个将不同的计算机系统、网络系统、安全系统、多媒体系统、应用系统在物理上与功能上连接在一起,满足用户整体需求的过程。本文主要从以下五个方面,包括企业项目背景、需求分析、网络总体设计方案、网络安全和软件平台设计,对电台企业内部网络构建的内容进行了详细的讨论。
关键词:民族网,网络结构,网络安全
1引言
1.1项目背景
近年来,以美国为首的西方不断加大针对新疆、的少数民族语言广播覆盖,对新疆、地区进行宣传渗透,对不明真相的当地藏族民众进行煽动、蛊惑,企图达到分裂祖国的意图,代表国家声音的少数民族语言广播和网络宣传却没有大的发展。
鉴于上述情况,民族网作为国家少数民族语言网站,应当担负起维护祖国统一、反对民族分裂的历史责任。加强民族网站建设,加强少数民族语言宣传和覆盖,可以说是贯彻中央领导讲话精神、进一步落实“西新工程”、“走出去工程”要求的具体体现,是适应新时期少数民族语言广播对内、对外宣传需要的重要举措。
1.2研究内容及意义
项目内容主要包括:业务信息系统、主干网络、存储与备份、安全系统等。
民族语言网站的建设是为了加强党对民族地区的宣传力度,将党的声音通过网络渠道传达到民族地区;是架设在党和人民群众之间的桥梁,传递着党和政府的各项方针政策,在社会经济、政治和文化等方面发挥着主要的舆论宣传作用。
2系统设计原则和设计目标
2.1设计原则
先进性
本次建设应采用当前成熟且较先进的技术,保持系统硬件、软件、技术方法和数据管理的先进性,从而保证高效率、高质量的应用。同时具有较强的可移植性、可重用性,在将来能迅速采用最新技术长期保持系统的先进性。
可靠性
系统能够支持民族语言网站中较大并发用户同时进行浏览、交互、检索文档等与数据库的交互式的操作,并且相对占用较少的硬件资源。当意外事件发生时,能通过快速的应急处理,实现故障修复,保证数据的完整性,避免丢失重要数据。
安全性
系统安全、稳定、可靠的运行,首先取决于系统的整体设计、平台的选择以及应用程序的质量;其次,必须考虑到各种特殊情况下的恢复机制和备份机制,以保证数据的一致性、完整性以及灾难恢复;严格的管理制度也是系统安全性的重要保证。
开放性、扩展性
一个良好的系统体系结构,应该具有处理未来变化和发展所需要的可扩展性。这不仅基于本项目当前的需求,真正符合多层浏览器/服务器体系结构,而系统的体系结构应不需要做较大的改变,并能保证系统今后的平滑升级。
标准化、结构化
本系统应采用开放标准,选用的技术、产品符合开放标准。项目提供的所有技术均要求符合相应的国际先进标准、中国国家标准、各行业的相应标准、国际标准化组织标准。
成熟性、实用性
在项目设计过程中,要求采用被实践证明为成熟和实用的技术、产品进行系统建设。这样,能够在最大限度上保证核心系统的成熟度;一些个性化的应用也应采用成熟的技术进行开发和功能扩展,最大限度地满足民族语言网站现在和未来发展的需要,确保稳定性。
可维护性、可管理性
由于民族语言网站的使用面广,系统稳定性、可用性要求高,因此系统平台还必须要求具有良好的可管理和易于维护的特点。
适应性
网站采用通用技术实现,网站支持目前流行的多种浏览器,支持网络上主流的音视频技术,按用户要求支持多种图片和音视频格式。
2.2项目建设目标
民族语言网站项目的建设目标是:立足当前,放眼未来,构建民族语言网站硬件环境,在此基础上开发部署民族语言网站软件平台,实现民族语言网站业务数据的搜集、整理以及展现一体化。
建设成国内最具权威性、最具影响力的少数民族语言文字的综合多媒体网站。
3需求分析
3.1用户业务需求
主要实现稿件的、多种业务信息的采集、音视频的直播及点播、信息搜索及各种互动业务功能。
采集渠道要求利用两台高性能交换机作为台内建设部分的核心交换,连接所有音频采集服务器、部分视频采集服务器、后台管理服务器以及数据库服务器。
网站分为汉语、蒙古语、藏语、维吾尔语、哈萨克语和朝鲜语等共多种语言的各自独立的网站,并能够独立运行集中管理。
3.2网络功能需求
台内主要为民族语言网站的制作区和管理区;总部基地为辅助编辑区,可完成网站的部分编辑工作。编辑通过光纤连接成的网络完成和台内编辑一样的工作。同时作为异地的备份区域,对台内数据做容灾备份。
网站区主要负责网站的对外。对外服务网络带宽设计为400m。台内制作好的网页、音视频等多媒体内容通过专线传送至此区域的对外服务器组,供互联网用户访问。
远程编辑区域和分网站通过因特网与台内连接,采用Vpn技术实现安全数据传输。
4网络总体方案设计
4.1网络拓扑结构设计
4.1.1总体系统组成
民族网站硬件平台以及基础网络平台和核心,构建包含网络系统、服务器系统、存储系统、负载均衡、安全系统全面的高性能、可扩展的网站基础硬件平台,为网站的各种应用提供充分的性能、安全保障。
4.1.2网络结构
民族网网络系统分为网站区和网络维护管理区,民族网网络系统需要考虑各区域内部的网络结构以及各区域之间的网络互联。整体的网络拓扑结构如下图1所示。
(1)网站区
网站区主要由数据网络和存储网络组成。
其中数据网络划分为核心区和接入区,核心区是网站数据交换的核心设备,负责所有服务、论坛、博客、邮件、防病毒等服务器的连接,为外部用户访问网站内容提供高速互联。核心网络由两台高性能的三层千兆以太网交换机组成,提供1块6端口千兆位光纤接口模块,2块48端口的10/100/1000mbps自适应以太网接口模块,为各种服务器提供双连接,充分保证服务器连接的可靠性和性能。
网站区的存储网络是通过独立ip网络形成weB服务器群和流媒体服务器群共享网站区的naS存储。存储网络由两台24口千兆以太网交换机构成,连接网站区的naS存储以及weB服务器群和流媒体服务器群服务器的独立网卡,形成完全独立的ip存储网络。既提高了网络存储的性能,同时也提高数据存储的安全性。
(2)网站维护管理区
网站维护管理区其网络构成主要有维护管理区核心交换网络、业务网以及与ipnaS存储相关网络构成。
网络管理区核心网络同样由两台高性能的三层千兆以太网交换机组成,提供1块6端口千兆位光纤接口模块,2块48端口的10/100/1000mbps自适应以太网接口模块,为接入层交换机及各种服务器的提供双连接;提供网站采、编、发及内容管理服务器、网页防篡改服务器,音视频采集服务器的数据网络互联,所有服务器全部采用双网卡连接至两台核心交换机,提供性能和可靠性保障。
网站区与台内管理区、台内管理区与总部基地机房均采用两对单模千兆光纤,实现带宽为1000m的三区连接。
(3)总部基地
用于辅助实现现有业务数据整合和部分音视频采集功能,主要是为了民族网站平台建设提供后勤及辅助设施。
4.2核心层设备配置说明
网络中心设在电台五层的计算机网络中心机房内。
网站区与管理区均采用两台CiscoCatalyst4506(六个插槽)高性能第2/3/4层交换机作为核心层交换机来连接各类服务器及接入层交换机。
4506交换机为6槽机箱,配置双电源实现电源的负载均衡和备份;配置最新的第四代交换引擎,交换背板容量达到64G。提供线速的第二、三、四层的过滤功能,QoS功能。4506交换机具有64G的高速背板容量,支持高达48mbps第三层转发能力。4506交换机具备很高的端口密度和可靠性,采用两台4506作为主干交换机即可完全满足要求。
每台4506交换机配置1块6端口千兆位光纤接口模块,用于连接网络管理区防火墙。
每台4506交换机配置2块48端口的10/100/1000mbps自适应以太网接口模块,用于连接网络中心的防火墙、负载均衡、各类服务器和网管工作站。千兆位以太网接口上剩余的端口可以用于将来连接高速服务器和对网络进行扩展。
网络管理区接入层交换机与网络中心4506交换机之间的通路连接可采用两条千兆位以太网链路,利用Cisco的支持快速Spanningtree协议的Uplinkfast技术,实现上联链路的备份和信息流量的快速收敛,并提供高达2Gbps的上连通道(全双工模式),完全避免单条链路或者网络中心单台4506发生故障的情况。
4.3接入层交换设备配置说明
网站管理区接入层交换机的产品选用CiscowS-C3560X-48p-S接入层交换机6台。
wS-C3560X-48p-S交换机配置2块1000BaseSXGBiC千兆位以太网接口模块,用于连接核心的2台4506交换机,利用Cisco的Uplinkfast技术实现上联链路的冗余备份,对发生故障的链路流量快速收敛。
4.4VLan划分及子网配置
在交换式以太网出现后,同一个交换机不同端口处于不同的冲突域中.交换式以太网的效率大大增加,但是,在交换式以太网中,由于交换机所有端口都处于一个广播域内,导致一台计算机发出的广播帧,局域网中所有的计算机都能够接收到,使局域网中的有限网络资源被无用的广播信息所占用(图2)。
4.5ip地址分配
考虑民族网具体情况,ip地址的管理和分配采用静态分配的方式。服务器地址、设备管理地址、接口互联地址以及普通终端等采用固定ip地址(图3)。
4.6广域网接入设计
在本设计方案中,广域网接入模块的功能是通过广域网接入路由器来完成的。采用的是Cisco的3845路由器接入internet。它的作用主要是在internet和民族网站内网间交换路由数据包。除了完成主要的路由任务外,还可以利用访问控制列表(accessControlList,aCL)来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。
5网络安全设计
5.1总体安全策略
为应对民族网网站系统面临的风险和威胁,满足民族网的安全保密需求,实现民族网整体安全保障体系的总体目标,整体安全保障体系的设计和建设应遵循以下总体安全策略:分域防护适度安全;业务连续保障;基础安全防御得当;技术管理并行。
5.2安全域的划分
民族网网站系统是一个庞大、复杂的信息系统,单独对每项信息资产确定保护方法,是非常复杂的工作,也会由于疏忽或错误导致安全漏洞。但是将整个系统按照一个完全相同的要求来防护,又难免造成没有防范层次和防范重点,对风险尤其是内部风险的控制能力不足。较好的处理方式是进行安全域的划分,分析信息资产价值并将其归入不同安全域中,每个安全域内部都有着基本相同的安全特性,如安全威胁、安全脆弱性和风险等,并分属于不同的安全级别。
民族网安全域划分为对外接入域,网站域、网站维护域、和网站办公域、总部存储备份域,安全域划分的示意图如图4所示。
5.3安全防护手段
民族网安全体系建设采取统一规划,分布实施的策略。本期主要在物理安全、网络安全和主机安全等方面采取必要的防护手段,对网站加以保护。
5.3.1物理安全
物理安全是整个网站系统安全的前提。物理安全是信息安全保障的基础。因此,民族网网站系统必须具备环境安全、设备安全、介质安全和机房安全等物理支撑环境,保护网络设备、设施、介质和信息免受自然灾害、环境事故以及人为物理操作失误或错误导致的破坏、丢失,防止各种以物理手段进行的违法犯罪行为。
5.3.2网络安全
根据信息系统安全等级保护要求,信息系统网络安全防护系统需要落实结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范和网络设备防护等安全防护措施。在本期安全系统建设中,主要涉及结构安全、访问控制、入侵防范、网络设备防护等措施。
(1)网络结构安全
民族网网络结构中,全部采用冗余的拓扑结构,包括入侵检测、防火墙、核心网络交换机、负载均衡设备全部采用双设备结构,充分保障网络结构的可靠性。
(2)防火墙
防火墙是当前最主要的网络安全隔离设备,采用有效的防火墙系统,能够实现安全域的划分,实现安全域之间有效逻辑隔离,防止外部恶意用户民族网网站的攻击,防止内部用户从内部对服务器的攻击,有效地实现对受保护网段的安全控制。
(3)入侵检测
入侵检测技术是当今一种非常重要的动态安全技术,与传统的静态防火墙技术共同使用,将可以大大提高系统的安全防护水平。入侵检测系统通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从而检测网络系统中是否有违反安全策略的行为或者遭到袭击的迹象。入侵检测技术是动态安全技术的核心技术之一。
民族网网站入侵检测系统部署于网站互联网接入处,可实时检测和阻断各种网络攻击行为。
5.3.3主机安全
由于网络设备的全部配置可以通过设备的控制台端口进行修改,所以控制网络设备的物理安全非常重要。应注意如下事项:控制网络设备的物理访问;控制设备间、数据中心的人员访问;对不安全的设备放置地点应进行角色的区分;考虑电磁辐射环境。
6软件平台设计
鉴于论文篇幅有限,本文仅对民族网基础软件平台进行描述,其它如:网页防篡改、桌面防护、网站流量分析、网站内容管理等不再一一描述。
6.1网络操作系统
根据民族语言网站各服务器用途,结合各系统所选用软件,民族网站要采用Linux和windows操作系统。
6.2数据库服务器系统
根据数据库软件特点,以及考虑到民族语言网站项目的实际数据处理需求情况,安全、效率、可靠的数据库系统作为数据处理基础,在民族语言网站建设中,选用oracle作为系统主要数据库。
6.3网络管理软件系统
网络管理软件系统的目的是对网络设备的状态和各种性能参数进行监视并记录,在出现问题时快速报告管理员,协助管理员快速的排除故障;同时,对网络运行的历史数据进行保存并供管理员随时查看,掌握网络的运行趋势。
网络安全建设总结篇3
根据省厅《**》文件要求,我局结合工作实际,认真贯彻落实网络安全工作责任制,现将具体情况总结如下:
一、强化领导,加强队伍建设
2018年以来,审计局党政领导极为重视网络安全工作,将此项工作列入重要议事日程,及时研究部署我局网络安全工作。成立了审计局网络安全工作委员会,下设办公室,并指定了局办公室有关人员作为专职网络安全管理人员,有效提高了我局网络安全水平,为网络安全工作的开展创造了良好条件。
二、多形式开展宣传教育,增强职工安全意识
一是深入开展网络法制宣传教育。结合实际制定规划,采取多渠道、多形式加强对领导干部、重点涉密人员、保密干部的保密法制宣传教育。二是突出重点,经常性地对涉密人员进行保密应知应会教育,认真组织全体干部学习《保密法》、《网络安全法》等法律法规,通过学习教育增强了审计干部的安全意识,提高了网络与信息安全保障能力。
三、认真开展调查研究,强化网络安全制度建设
一是在日常工作中,局党政主要领导不定时地对全局有关办公室进行网络安全工作情况突击检查,摸清全局网络安全工作存在的薄弱环节,对工作中存在的问题进行分析研究,认真制定了我局今后一个时期的网络安全有关制度的规划。二是开展了全局办公自动化设备涉密情况的调查,摸清了我局办公自动化进展情况和计算机信息系统运行情况,为进一步加强对计算机信息系统的保密管理提供了依据。三是认真落实制度建设。认真对照《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《互联网信息服务管理办法》,出台了《龙井市审计局保密管理规定》,对网络安全进行了严格的管理。
四、纳入审计工作,加强网络安全工作监督
一是在今后的审计工作中,我局将把网络安全纳入审计范围。在制定年度审计项目计划时,首先向相关部门征求意见,围绕网络安全重大政策、重要项目、重大资金等,在有关部门和单位的审计中,将网络安全建设和绩效纳入相关审计项目的审计范围,重点关注同级党委、政府关于网络安全的决策部署、网络安全法规贯彻情况、网络安全建设中相关财政、财务收支情况、开展网络安全绩效情况以及网络安全建设中关键信息基础设施保护的建设和管理情况等。
安全是发展的前提,发展是安全的保障。我局深刻领会关于网络强国的重要思想,进一步提高政治站位,切实增强“网络安全”的责任感,牢固树立正确的网络安全观,进一步加强信息基础设施防护,加强网络安全人才培养,推动我市网络安全工作取得更好效果。
五、加强计算机信息保密工作
网络安全建设总结篇4
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(SmiS)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(VLCC)的计算机局域网结构图。
图表2是船舶计算机网络拓扑结构图。其中,局域网服务器采用HpCompaQDX7400(pentiUmDUaLe2160/1.8GHZ/DDR2512m/80G);网关采用inDUStRiaLCompUteR610(p42.8GHZ/DDR333512m/80G);交换机采用D-LinKDeS-1024D快速以太网交换机(10/100m自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用amoSmaiL或Rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软windows系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。转贴于
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义iSmS的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循pDCa的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
网络安全建设总结篇5
【关键词】校园网网络安全安全体系构建
校园网是开展教学工作实践的重要平台,是我国教育信息化平台构建的重要基地,保证校园网处于安全的运行状态,其实践意义重大。为此,积极从网络安全技术的角度,综合可能对于校园网安全构成为威胁,并且采取对应的措施进行改善,是当前校园网构建过程中需要思考的问题。
1校园网络安全运行的基本需求分析
网络系统构建之前,首选需要弄清楚的就是网络安全运行需求,这是后期制定安全运行方案的基础和前提。一般情况下,校园网络安全需求主要涉及到以下几个方面内容:其一,在网络互联的基础上保证通讯处于安全状态,这是最基本的要求;其二,服务器系统安全检测,评估效能的发挥,能够对于不安全行为进行阻挡,以保证系统的安全运行;其三,应用系统的安全性需求,也就是说关键应用系统能够在认证管理下,形成防病毒体系,保证各个入口的安全连接;其四,业务系统的安全需求,避免网络内部其他系统对于业务系统造成危害;其五,健全的校园网络安全管理规章,保证校园网的安全运行。
2校园网络安全总体设计思路
针对于校园网网络运行的基本需求,对于校园网络安全进行规划设计,并且在此基础上构建完善的校园安全体系结构,是保证校园网安全性的关键一步。在此过程中不仅仅需要满足上述的安全需求,还要对于可能出现的安全问题进行预警,以保证设计体系的合理性和科学性。具体来讲,其主要设计到以下内容:其一,以独立的VLan,maC地址绑定和aCL访问控制列表来进行Vpn网络子系统的安全控制和管理,可以保证数据传输的安全等级达到最佳水平;其二,以网络安全检测子系统的构建,并在校园网中www服务器和email服务器进行应用,在此基础上对于网络传输内容进行监督和管理,并且形成相应的数据库,避免非法内容进入校园网;其三,针对于安全需求,设置相应的安全防火墙,以双机设备方式去运行,实现防火墙子系统的构建;其三,基于控制中西和探测引擎技术构建入侵检测子系统体系,对于入侵行为进行监督和管理,并且将其屏蔽在网络安全范围之外;其四,全面升级网络系统的防毒系统,实现对于客户端pC机器的安全控制,形成统一的防毒服务器;其五,建立有效的漏洞扫描系统,实现自动修复和检查漏洞,保证补丁工作的全面开展;其六,针对于校园内部的侵袭行为,可以以建立内部子网审计功能的方式去实现内部网络运行质量的提高;其七,建立健全完善的校园网安全运行管理制度体系,为开展一切安全管理工作打下基础。
3整体构建校园网络安全体系的实现途径
校园网络安全体系涉及到多方面的内容,一般情况下会将其归结为物理层,链路层,网络层,应用层等几个方面。
3.1物理层安全体系实现途径
物理层的安全性能主要针对于线路的破坏,线路的窃听,物理通路的干扰等安全缺陷问题。对此,需要做好以下工作:其一,采用双网结构作为拓扑网络结构方式,内外网使用不同的服务器,实现不同信道的运行,使得信息处于不同的高度路上运转,不仅仅可以营造安全的运行状态,还可以使得系统运行压力降低;其二,以双网物理隔离的方式去实现内外网布线系统的构建,从根本上杜绝了黑客入侵的可能性,同时还合理设置,避免出现内外网同时使用的情况。
3.2链路层安全体系实现途径
链路层安全体系构建是保证网络链路传送数据安全性为根本性目的,主要使用的技术手段有局域网和加密通讯手段。具体来讲,其一,在交换机配置端口安全选项中,尽量将Cam表进行淹没;其二,在中继端口实现VLaniD的专业化设置,保证端口设置成为非中继模式;其三,进行maC地址绑定设置,避免出现ip地址被盗用。
3.3网络层安全体系实现途径
网络层安全体系构建,主要是保证网络时能给授予权限的客户使用,避免出现拦截或者监听的情况。为了实现这样的目标,应该从以下几个角度入手:其一,设置硬件防火墙,运行访问控制技术程序,一旦遇到安全问题,使得其处于隔离状态;其二,网络入侵检测系统iDS的使用,能够对于网络入侵行为进行监督,由此构建起来第二道安全闸门;其三,在路由交换设备上进行安全技术应用,如Vpn技术,加密机制及时,审计和监控技术等,都是其重要内容。
3.4应用层安全体系的实现途径
对于应用层来讲,其安全体系的构建需要做到以下几点:其一,建立网络病毒防火墙,避免内外病毒对于网络文件系统的破坏;其二,设置服务器,尽可能的保护自己的ip地址;其三,构建操作系统补丁自动分发系统,保证能够及时的进行安全漏洞的修复;其四,积极开展认证和授权管理工作,对于多重身份认证和用户角色授权进行审计,以保证系统的安全性。
4结束语
整体构建校园网络安全体系,需要在校园网络安全需求的基础上,积极探析可能出现的安全漏洞,并且从这个角度出发,去开展系统结构设计,保证将安全理念纳入到设计方案中去,由此去保证校园网络处于安全的运行状态,这就是整体构建校园网络安全体系的是实现方法。
参考文献
[1]刘义全.浅谈校园网络的安全性[J].中国现代教育装备,2009(15).
[2]黄亚宁.校园网络安全隐患及其对策[J].学校党建与思想教育,2010(12).
[3]邓志华.校园网络安全浅析[J].教育信息化,2004(09).
[4]徐志超.校园网络存在的问题及解决方法[J].科技信息(科学教研),2007(20).
[5]岳雷.校园网络安全的守护神─Forefront[J].中国信息技术教育,2010(09).
[6]李耀麟,刘繁华.“校园网络安全”专题学习网站的建设[J].河西学院学报,2005(05).
网络安全建设总结篇6
笔者近年供职于中国信息安全研究院,深入参与了国家网络安全顶层设计和标准编制等工作,目睹了国际和国内网络安全政策、产业和技术的重要变革,对产业政策、产业现状和需求,以及网络安全技术体系进行了深入研究。本文结合近年工作经验与高教研究,以打造网络安全体系性人才为目标,对网络安全专业的教学特点、教学内容、教学方法和考核方式等进行了一系列探索。
一、网络安全专业的教学特点
网络安全专业涉及范围广,涵盖了计算机、通信、电子、数学、生物、法律、教育和国际贸易等多学科内容,属知识密集型专业,具有很强的专业性、广泛性和实践性,随着物联网、云计算、大数据等新技术新应用的出现,网络安全专业的特点更加突出。
1.内容涉及范围广。网络安全专业涉及信息系统软硬件的本质安全,以及应对网络威胁、数据传输等方面的动态过程安全,在安全访问领域涉及密码学和生物学等,在网络安治理方面涉及法律学,在网络安全服务方面涉及教育学和管理学等,wto第二十一条“国家安全例外”等内容涉及国际贸易学。
2.知识和技术迭代速度快。网络安全由传统意义上的信息安全演变而来。狭义的信息安全重点关注内容安全,即确保信息的完整性、可用性和保密性。随着新技术新应用的层出不穷,异构信息系统和复杂多变的网络威胁带来了新挑战。除具备网络安全基础知识和技能以外,了解和掌握更多新技术知识是网络安全专业对学生提出的新要求。
3.对实际操作能力要求高。网络安全对实践操作能力有很高要求,构建具有本质安全的自主可控软硬件系统需要丰富开发经验和集成适配能力。应对复杂多变的网络安全威胁,需要提前具备应急响应和灾难恢复能力;面对国际贸易中技术壁垒的挑战,需要深入研究国际贸易保护下的信息安全产业和政策竞争策略等。
二、教学内容设置
对于网络安全专业学生和非网络安全专业学生,在设置网络安全专业课程和教学内容时应予以区分,以使不同发展方向的学生在毕业以后将在校期间学习的知识充分发挥,适应未来职位对其知识储备的差异化需求。
(一)网络安全专业学生
网络安全涵盖本质安全和动态过程安全两大部分。对于网络安全专业的学生,在教学内容设置上,应鼓励学生通过理论和实践,构建网络安全体系观念,并依据个人爱好,深耕具体技术方向,使网络安全专业毕业生具备顶层大局观和技术优势。
1.本质安全方向。近年来,“棱镜门”等事件充分说明美国政府可利用其全球大型it或互联网企业的技术、产品和服务,甚至对产品植入后门,来窃听、窃取各国数据和信息,这促使我国政府和产业界高度重视本质安全。本质安全涉及包括CpU、芯片、操作系统、数据库、整机、网络设备等软硬件技术产品的自主研发,目前我国党政军和“8+2”对以上技术产品渴求度很大,人才队伍建设亟待加强,因此在课程内容应增强核心硬件和基础软件知识的普及力度,使学生在本质安全基础理论、产品设计和集成适配等方面有所突破。
2.过程安全方向。学习了本质安全相关知识后,就可了解如何构建一个相对完整、安全的信息系统,但在信息系统运行过程中,还需要针对系统构建运维服务体系,从加强整个信息系统的安全性和健壮性。过程安全相关的教学内容包括容灾备份、追踪溯源、安全访问等技术,在过程安全教学内容中,可以以聚合式的思维来教授相关知识,以使学生具备完整的运维服务体系思维。(二)非网络安全专业学生
1.专业与网络安全有交互的学生。本部分以涉及网络安全的国际贸易和法律专业为例,阐述如何面向专业与网络安全有交互的学生进行教学。
对于国际贸易专业学生,引导学生加强国际it贸易问题研究,特别是wto第二十一条“国家安全例外”,即从国家安全考量出发,深入研究世界主要国家限制其他国家企业在其本土投资的案例,以及外国企业如何规避wto限制,在我国广泛开展it投资,总结国际贸易争端经验,为未来围绕“技术性贸易壁垒”的国际贸易纠纷做好充分准备。
对于法律专业学生,鼓励学生加强《中华人民共和国网络安全法》法理研究,深入学习互联网治理和网络安全相关法律和法规,培养网络安全法人才,为党政军和相关产业提供网络安全法律力量支撑,提升国家和企业的国际竞争力。
2.其他专业学生。对于其他专业学生,设置网络安全知识普及课程,通过案例分析和实践体验等手段,培养学生安全使用互联网的习惯,提升网络安全意识,了解和掌握网络安全防范和处理基本方法,巩固意识形态,促使学生做到文明上网、安全使用、加强防护,构建和谐清朗网络空间。
三、创新教学方法
教学方法和理念因学校和教师的不同而千差万别。总的来看,现代教学方法秉承以学生为主体、互动教学和构建体系化知识三项原则[1],重视创新性和突破性,符合新时代和新形势对我国高等教育提出的要求。本节结合网络安全专业的特点,总结了三个面向该专业的创新教学方法。 (一)教法和学法结合
网络安全专业涉及范围广且实践性很强,因此在教学方法上需要创新,将教法和学法进行有机结合,构建学生的理论和技术体系,提高实践能力。
ppt教授法。教师精炼教材重点,利用互联网和多媒体手段,将要点和案例以图文并茂的ppt展示,并结合课堂上的口头表述将知识展现给学生。比如利用信息系统模拟工控系统运行环境,利用DDoS进行持续攻击,使学生从各生产节点和控制系统观察受攻击时的状态,调动学生的注意力,加深学生的印象,使学生随着教师思路来学习。
互动提问法。在课堂上利用互动提问法可启发学生的思维,调动学生积极性和学习热情,促进学生提高注意力和快速学习到重要知识点,避免无精打采或溜号走神等现象发生。同时,提问法给学生提供了讨论、发表个人观点的机会,也促进了学生表达能力的提升。比如讲到构建本质安全信息系统时,可以首先向学生提问,构建该系统需要具备什么样的要素,请学生总结自己认为的具有本质安全信息系统的构造,以此增加师生间的互动,培养探究意识和发现问题的敏感性。
分组发表法。将学生分组并布置特定研究方向,鼓励学生利用互联网资源来获取知识、查找案例,并编制集文字、图片和视频等素材为一体的ppt,在课堂上进行发表,通过教授的点评和同学的提问促使学生深入了解该方向内容,做到专;通过聆听其他组的同学做发表,可以了解其他人的研究成果,并可通过课堂提问和课下交流来深入了解其他网络安全技术知识,做到广。例如学习网络安全政策时,可组建学生小组,基于学生网络安全基础技术和知识,深入研究包括FedRamp、美关键基础设施保护总统令或国防部云计算安全指南等网络安全政策,并在课堂上做发表,与师生共同分享和研讨美国的网络安全治理经验。
(二)传统授课和网络授课结合
目前,采用传统教学模式依然是我国教育的主要方式,作为“以教师为中心”的课堂教学模式,传统授课模式通过教师在课堂上当面将知识教授给学生,可以促进有意义的学习、加深学生的理解和记忆,也有利于未来对知识的提取。而网络授课的教学模式在传统课堂教学模式的基础上融合了互联网的优势,该模式相较传统教授模式具有更好的灵活性、互动性和广泛性。特别是对于教师资源相对匮乏的地域,可以依托互联网基础设施,通过网络授课的模式将发达地区的优质教育资源引入到地方课堂,使学生享受到公平的先进的网络安全教育资源。
(三)注重实训体系建设
依托网络安全企业或其他专业机构建设网络安全实训基地,与高校等人才培养单位联合,对网络安全专业学生进行实践技能训练。实训基地对于我国网络安全人才培养具有重要意义。首先,实训基地可解决我国网络安全人才培养和使用相“脱节”、学生实际动手能力严重不足等问题。其次,实训基地涵盖技术、战略、法规等多个领域,有利于培养跨学科、复合型人才。
实训基地培训既要涵盖网络安全技术,也要涵盖网络安全战略规划和法律标准等。针对网络安全专业的不同研究方向,有针对性地分类建设攻防、追踪溯源、容灾备份、安全测评、自主可控等实训场景;针对网络安全战略规划,针对性地研究世界主要国家网络安全战略规划,分析各国目前网络安全现状和未来发展重点;针对法律标准,深入研究wto“国家安全例外”、中美网络安全相关标准,为未来工作找到技术和法律依据。
四、改进考核方式
按照网络安全专业的特点,学生除了具备相应专业基础知识以外,还需要具备很强的实践能力。诸如学生出勤率、课堂表现、作业完成情况、参加实验和完成实验情况和考试成绩等传统的考核方式不能完全评判学生实际能力,还需增加对学生实践能力的考核,同时分配好各项考核要素权重。传统考核方面,鉴于出勤不一定认真听课,因此可将出勤率和课堂表现考核结合,作业和实验完成情况相结合,再辅以笔试,这样可以较好地评判学生对网络安全知识了解程度。实践考核方面,加强网络安全关键环节的考核内容,传统网路安全专业考核主要是以编程为主。面对新形势,实践考核可针对网络安全体系中的关键节点进行实践考核,例如对持续监控和处理信息系统网络安全问题的综合能力进行考核,增强学生网络安全的系统性实践能力。
在教育部提出加强网络空间安全专业建设的新形势下,网络安全学科建设应以培养具有网络安全体系化思维人才为导向,对不同专业的学生采取差异化授课的方式,并结合创新性教学方法和考核机制,来提升专业人才培养效果,为国家安全提供基础性和专业性人才保障。
网络安全建设总结篇7
检察机关信息网络安全自主可控的策略分析
(一)完善检察机关信息网络安全自主可控的规范化。检察机关的信息技术具有保密的特点,检察信息化管理中许多管理都应在安全有序的状态下进行信息网络安全自主可控的运作。应将信息网络安全的的自主化管理模式纳入到整个管理的格局之中,如果不及时的使用自主化管理模式,就会使总体的检察机关信息网络在运行时出现紧张的局面,必将会导致检察机关总体管理工作的堵塞。
当网络信息化技术发展到一定阶段的时候,就会暴露出许多信息网络安全管理的问题。与此同时,与其相互配合使用的许多信息管理软件也会出现相应的操作上的问题。建立检察信息网络安全自主保障系统是解决问题的最有效的方法,它使原本由静态的管理模式向动态的信息安全管理模式转变。由此可见,完善的检察信息网络安全自主保障系统通过规范信息安全管理机制,改进检察信息网络安全自主保障系统,促进了队伍更好地建设与发展。
而且对信息网络安全自主可控机制的健康运行起到了很好的促进作用,使检察机关信息网络安全自主可控的管理机制能够快速的、科学的发展。为加强制度的管理和落实,有必要完善检察机关信息系统运行的操作规范,并且定期的总结规章制度的执行落实情况,及时发现漏洞并进行整改。还有必要规范电子论坛、挂网内容等的制度,既鼓励了干警学习网络安全知识,又提升了检察机关的整体素质,还保证了检察机关信息网络运行的畅通和安全。
网络信息化建设的基础性工作是检察机关网络信息技术的开发,而最关键的则是对网络信息的具体运行和安全管理。检察机关网络信息化建设中存在着很多的问题,对网络信息安全自主可控机制多少都会有一些影响。对此,规范网络信息管理是非常有必要的,检察机关对于各类案件、各种工作以及信息安排都必须在网络信息系统上进行传达,使各个部门都能准时、安全的接受。
(二)完善检察机关信息网络安全自主可控的科学化。检察工作的开展与检察机关掌握信息量的多少、优劣和信息技术程度的高低有着直接的关系。随着信息时代的快速发展,大部分的干警对信息化了解越来越少,连最基本的打字、上网都不精通就别说利用信息技术了。这些问题严重的阻碍了信息网络安全建设的步伐。
要想建立新型的工作机制,必须先从思想观念开始更新,将现代化的信息管理理论融入到检察工作之中。必须大力引进精通网络知识的技术型人才,以促进检察干警更新观念,主动学习钻研。如过有必要可以实行全员培训。例如:在各科室开设小的学习环境,发挥本部门骨干的作用,边做边学;或者是在全体部门开设学习环境,定期的邀请专业技术人员来讲解在操作过程中所遇到的疑难问题。在此基础上,还要组织本院的技术骨干走出去,才能引进来更好的创新观念。
在检察机关干警信息网络安全自主可控的工作能力不断提高的基础上,检察机关还必须加大完善基础设施的建设,才能更好地适应信息网络安全工作快速发展的需要。检察机关对信息网络安全的技术投入不能松懈,而且为了满足检察机关自主可控的需求,还应对信息网络安全保障的各项设备进行改造与升级。只有配置先进的局域网设备,才能有效的防止非法技术的入侵。应用了高标准的信息系统以后,使新型的信息管理模式的安全含量更高、更强。
(三)完善检察机关信息网络安全自主可控的高效化。为保证检察工作能够高效的发展,就必须不断的更新办案系统以及信息安全建设。提高信息安全监督,变结果监督为过程监督,变静态监督为动态监督。为有效地预防办案人员在办案过程中不规范的使用信息网络,可以通过局域网进行信息安全自动监督。办公行政管理部门可以在内网上公开信息网络安全督察事项,并对落实、执行不彻底的个人或部门给予相应的告诫或处罚,这样既提高了信息的质量与安全系数,又使检察机关信息网络安全内部监督机制向着良性的方向发展。为了确保检察业务信息的安全,必须研发新的办案软件,使局域网内部也实现联网办公。
与此同时,还要对侦查指挥、讯问监控系统进行开发和升级,以防止秘密的泄露。还应该实现对举报自动受理,探索出一条新的、快速的、安全的、保密的举报受理系统,防止举报信息被外部的非法网络技术入侵、窃取。
网络安全建设总结篇8
一、美国网络空间安全战略启示
(一)美国将网络空间安全由“政策”、“计划”提升为国家战略
美国在网络空间战略是一个认识发展的过程。首先是1998年的第63号总统令(pDD63)《克林顿政府对关键基础设施保护的政策》,紧接着2000年了《信息系统保护国家计划v1.0》。布什政府在2001年911事件后马上的第13231号行政令《信息时代的关键基础设施保护》,并宣布成立“总统关键基础设施保护委员会”,由其代表政府全面负责国家的网络空间安全工作。并研究起草国家战略,于2003年2月正式《保护网络空间的国家战略》,又于2008年机密级的第54号国家安全总统令,设立“综合性国家网络安全计划”,该计划以“曼哈顿”(二战研制原子弹)命名,具体内容以“爱因斯坦”一、二、三组成,目的是全面建设联邦政府和主要信息系统的防护工程,建立全国统一的安全态势信息共享和指挥系统。
(二)美国网络空间安全战略进一步完善
2008年4月,布什总统了《提交第44届总统的保护网络空间安全的报告》,建议美国下一届政府如何加强网络空间安全。
2009年2月,奥巴马政府经过全面论证后,公布了《网络空间政策评估——保障可信和强健的信息和通信基础设施》报告,将网络空间安全威胁定位为“举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“数字基础设施将被视为国家战略资产,保护这一基础设施将成为国家安全的优先事项”,全面规划了保卫网络空间的战略措施。
2009年6月,美国国防部长罗伯特.盖茨正式命令建立美国“网络空间司令部”以统一协调保障美军网络安全和开展网络战等军事行动。该司令部隶属于美国战略司令部,编制近千人,2010年5月,美国网络司令部正式启动工作。
(三)网络空间国际和战争战略
2011年5月,美国白宫网络安全协调员施密特了美国《网络空间国际战略》,其战略意图明显,即确立霸主,制定规则,谋求优势,控制世界;同年7月,美国国防部《网络空间行动战略》,提出5大战略措施,用于捍卫美国在网络空间的利益,使得美国及其盟国和国际合作伙伴可以继续从信息时代的创新中获益。
2012年10月,奥巴马签署《美国网络行动政策》(pDD21),在法律上赋予美军具有进行非传统作战权力,明确从网络中心战扩展到网络空间作战行动等。
2013年2月,奥巴马第13636号行政命令《增强关键基础设施网络安全》,明确指出该政策作用为提升国家关键基础设施并维护环境安全与恢复能力。
2013年4月,奥巴马向国会提交《2014财年国防预算优先项和选择》提出至2016年整编成133支网络部队,其中国家任务部队68支,作战任务部队25支,网络防御部队40支。
2014年2月,美国国家标准与技术研究所针对《增强关键基础设施网络安全》提出《美国增强关键基础设施网络安全框架》(V1.0),强调利用业务驱动指导网络安全行动,并为四个等级,组织风险管理进程。按网络安全风险程度不同分
2015年4月23日,美国五角大楼新版网络安全战略概要,首次公开要把网络战作为今后军事冲突的战术选项之一,明确提出要提高美军在网络空间的威慑和进攻能力。
不仅美国紧锣密鼓执行网络空间国际和战争战略,最近颁布的北约网络空间安全框架表明,目前世界上有一百多个国家具备一定的网络战能力,公开发表网络安全战略的国家达56家之多。
由此可见,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进,这对我国网络安全提出了严峻的挑战,我们应积极应对,加快建设我国网络安全保障体系,捍卫我国网络安全国家主权。
二、构建主动防御的技术保障体系
(一)可信免疫的计算体系结构
现在使用的计算机体系结构在设计时只追求计算速度并没有考虑安全因素,如系统任务难以隔离、内存无越界保护等,这直接导致了网络化环境下的计算服务存在大量安全问题,如源配置可被篡改、恶意程序被植入执行、利用缓冲区(栈)溢出攻击、非法接管系统管理员权限等。
可信计算是信息科学发展的结果,是一种新的可信免疫计算模式。可信计算采用运算和防御并行的双体系架构,在计算运算的同时进行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰。
对比当前大部分网络安全系统,其主要是由防火墙、入侵监测和病毒防范等组成,称为“老三样”。形象的说,这些消极被动的封堵查杀是治标不治本,而可信计算实现了计算机体系结构的主动免疫,与人体免疫一样,能及时识别“自己”和“非己”成份,从而破坏与排斥进入机体的有害物质,使有缺陷和漏洞不被攻击者利用。。
云计算、大数据、物联网、工业系统移动互联网、虚拟动态异构计算环境等新型信息技术应用都需要可信免疫体系作为其基础支撑。构建可信安全管理中心支持下的三重防护框架能够保障体系结构,确保操作行为、资源配置、数据存储盒策略管理的可信,达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了、系统工作瘫不成和攻击行为赖不掉的防护效果,如果有可信机制,“震网”、“火焰”、“心脏滴血”等恶意代码可不杀自灭。
(二)中国可信计算技术创新
中国可信计算于1992年正式立项研究并规模应用,早于国际可信计算组织(tCG,2000年成立)。
研究tCG可信计算方案发现其体系存在的问题有:(1)密码体制的局限性:tCG公钥密码算法只采用了RSa,杂凑算法只支持SHa1系列,回避了对称密码,由此导致密钥管理、密钥迁移和授权协议的设计复杂化,也直接威胁着密码的安全;(2)体系结构不合理:tCG的tpm外挂调用是一种被动体系结构,无法执行动态主动度量。
中国可信计算经过长期攻关,不仅解决了tCG的上述问题,还形成了自主创新的体系,其创新点包括:
(1)可信计算平台密码方案创新
采用国家自主设计的算法,提出了可信计算密码模块(tCm),以对称密码与非对称密码相结合体制,提高了安全性和效率;采用双证书结构,简化证书管理,提高了可用性和可管性。
(2)可信平台控制模块创新
提出了可信平台控制模块(tpCm),tpCm作为自主可控的可信节点植入可信源根,在tCm基础上加以信任根控制功能,实现了以密码为基础的主动控制和度量;tpCm先于CpU启动并对BioS进行验证,由此改变了tpm作为被动设备的传统思路,实现了tpCm对整个平台的主动控制。
(3)可信主板创新
在可信平台主板中增加可信度量节点(tpCm+tCm),构成了宿主加可信的双节点,实现到操作系统的信任传递,为上层提供可信硬件环境平台;对外设资源实行总线级的硬件可信控制,在CpU上电前tpCm主动对BootRom进行度量,使得信任链在“加电第一时刻”开始建立;并利用多度量建立信任链,为动态和虚拟度量提供支撑。
(4)可信基础支撑软件创新
采用宿主软件系统+可信软件基的双系统体系结构,,可信软件基是可信计算平台中实现可信功能的可信软件元件的全体,对宿主软件系统提供主动可信度量、存储、报告等保障。
(5)可信网络连接创新
采用基于三层三元对等的可信连接架构,进行访问请求者、访问控制者和策略仲裁者之间的三重控制和鉴别;对三元集中控管,提高架构的安全性和可管理性;并对访问请求者和访问控制者实现统一的策略管理,提高系统整体的可信性。
(三)解决核心技术受制于人问题
(1)中国可信计算产业化条件具备。《国家中长期科学技术发展(2006-2020年)》明确提出“以发展高可信网络为重点,开发网络安全技术及相关产品,建立网络安全技术保障体系”,“十二五”规划有关工程项目都把可信计算列为发展重点,可信计算标准系列逐步制定,研究制定单位达40多家,参加人员达400多,标准的创新点都作了技术验证,申报专利达40多项。不少单位和部门已按有关标准研制了芯片、整机、软件和网络连接等可信部件和设备,并在国家电网调度等重要系统中得到了有效的应用。2014年4月16日,成立了中关村可信计算产业联盟,大力推进产业化、市场化。
(2)为全面替代国外产品打基础。2014年4月微软公司停止对windowsXp的服务支持,全国约2亿台运行Xp操作系统的终端将面临无人服务的局面;而windows8和Vista(2006年政府明确不采购)是同类架构,升级为windows8不仅耗费巨资,还会失去安全控制权和二次开发权。利用自主创新的可信计算加固Xp系统可以方便的把现有设备升级为可信计算机系统,以可信服务替代打补丁服务,应用系统不用改动,便于推广应用。
基于开源技术发展自主操作系统是现实选择。经过20多年的攻关,我们在操作系统关键技术上有相当的积累和储备,这些技术积累主要是在开源操作系统基础上取得的突破。从继承的角度,我们需要选择开源作为技术路线;从发展的角度,目前也来不及重新编码形成一套完全新的操作系统,要共享人类知识财富,开源依然是现实选择。自主创新不是封闭起来搞安全,而是要充分继承和发展。
要做到“五可”“一有”:
可知:对开源系统完全掌握其细节,不能有不可知代码的困惑;
可编:要基于对开源代码的理解,完全自主编写代码;
可重构:面向具体的应用场景和安全需求,对基于开源技术的代码进行重构,形成定制化的新的体系结构;
可信:通过可信计算技术增强自主操作系统免疫性,防范自主系统中的漏洞影响系统安全性;
可用:做好应用程序与操作系统的适配工作,确保自主操作系统能够替代国外产品。
有自主知识产权:要对最终的自主操作系统拥有自主知识产权,并处理好所使用的开源技术的知识产权问题。开源技术要受到GpL协议的约束,目前我国现有基于开源的操作系统尚未遇到知识产权方面的明显纠纷,但这仅仅因为这些系统尚无规模应用,一旦我自主操作系统形成气候,必然会面临这方面的挑战。
网络安全建设总结篇9
【关键词】网络课程;教学改革;建设
0引言
网络应用于教育领域,使教育信息的传播方式发生了改变,从而促使教育理念、教育模式、教学方法等发生极大的改变。网络教学已成为当今信息时代的一种重要的教学方式,在网络教学环境中课程转化为网络课程这种新的表现形式。网络课程是通过网络表现的某门学科的教学内容及实施的教学活动的总和[1]。
高职院校培养目标的定位是高端技能型、应用型人才,其核心竞争力在于培养的人才具有良好的专业综合素质和机敏的应变能力,而这样的人才所应具备的知识和技能在有限的课堂教学中是无法获取的。在《安全学基础》课程教学改革中,引进现代化教学手段和技术,教学方式采用课堂教学和网络教学混合学习[2],意在拓宽安全知识的信息量,提高学生的学习兴趣。要通过网络来辅助课堂教学,关键要有一个适合教师与学生互动交流的网络平台,如何建立这个平台,又如何利用网络来实施辅助教学,这是教师首先要思考和研究的课题。基于以上考虑,本文将对《安全学基础》网络课程的建设与教学实施过程进行探讨,并针对实施过程提出几点体会,希望能为同类院校的《安全学基础》网络课程的建设与发展提供参考。
1《安全学基础》网络课程建设的内容
《安全学基础》课程是我院航空港安全检查专业的一门专业基础理论课程。课程目标是培养安检专业学生的安全意识,增强在工作岗位中预防和控制事故的技能。
该课程理论性较强,为增强学生的学习兴趣,并结合网络学习的特点,在网络课程建设上,以企业岗位要求为指导,采用内容模块化的组织方式,将知识点或教学单元作为学习主线,来组织构建课程内容,重视课程内容的可用性和可视性。
《安全学基础》网络课程建设的主要内容包括六大模块:课程介绍、课程内容、在线测试、学习交流、拓展知识、课程资源库。详细内容见图1。
图1《安全学基础》网络课程模块
2《安全学基础》网络课程的实施及体会
在实施《安全学基础》网络课程教学过程中,我院采用课堂教学和网络教学相结合的教学方式。具体实施模式见图2。
在课程实施过程中,得出以下几点体会:
2.1教学内容要紧密联系
课堂教学和网络教学的教学内容上要实现紧密联系,使课堂学习和网络学习相互促进,增强知识的熟悉度。
由于课堂时间有限,学生在课堂上未能完全理解和掌握所学知识,通过课后网络课程学习,使课堂知识再现,加深学生的印象,帮助学生更好的掌握。
本课程在实施过程中采用的是知识点再现。网络课程的课程内容包含课程的所有知识点及其讲解。课堂教学内容为几种相关联的知识点组合。通过这种方法,课程知识点即可以通过课堂教学进行讲解,也可以通过网络课程的自主学习掌握。
图2《安全学基础》网络课程实施模式
2.2教师要扮演好双重角色
在课堂教学中以教师为主,要求教师要扮演主讲人的角色,主要任务包括维持课堂秩序,教授课程内容,提出作业要求,解答学生的问题等。
在网络学习平台,教师的角色转变为一位和学生共同学习的益友。教师通过在线答疑的方式实时和学生互动交流,让学生时刻感受到教师在关注他们的学习和努力,这样可以大大提高学生的学习成就感。
2.3课程的考核评价方式改革
评价和反馈是教学中不可或缺的环节,以前《安全学基础》课程的主要考核学生的课堂表现和知识的掌握。课堂表现占总成绩的40%,期末考试占60%。实施网络课程以后,学生的学习过程不仅仅体现在课堂这个平台。如何评价网络课程学习情况?网络课程的特点就是在线学习,因此利用在线网络作为评价工具,及时的评价反馈可以提高学习者的学习积极性,确保在线的学习质量[3]。
本课程实施过程中采用的考核方式为:课堂学习和网络学习共占总成绩的50%。期末考试占50%。详见表1。
表1《安全学基础》课程考核评价方式
3结语
网络课程是高职教育不可或缺的重要教学资源之一,其建设与实施对推动高职教育改革起着举足轻重的作用。
通过三年多的网络课程建设和实施,《安全学基础》课程的教学资源更加规范和丰富,改变了传统的教学模式,把学习从课堂带到了学生的课下生活中,将教师的工作平台由讲台转移到网络这个更广阔的的新天地。教学效果有了很大的提高。但是,由于硬件系统的缺乏和网络课程的不完善,教学上要真正实现网络教学还存在很大的困难。还需院方和一线教师队伍为网络教学做进一步的努力。
【参考文献】
[1]徐铮,等.网络课程开发现状与发展趋势[J].中国远程教育,2003(11).
网络安全建设总结篇10
关键词:计算机局域网络;合理性优化;服务器;防火墙
中图分类号:tp393文献标识码:a文章编号:16727800(2012)011011403
作者简介:于梅英(1980-),女,硕士,兰州大学网络教育学院主任,研究方向为软件工程;刘江(1984-),男,兰州大学网络教育学院工程师,研究方向为计算机硬件及网络管理;耿磊(1982-),男,兰州大学网络教育学院工程师,研究方向为软件工程。
1计算机局域网简介
在当前各种先进计算机技术高速发展的环境下,计算机局域网已成为it技术里面的一个重要组成部分。人们离不开计算机网络,每天都生活在一个个的局域网络中,与外部世界的联系变得更加紧密。就定义来说,局域网(Localareanetwork,Lan)是指在某一区域内由多台计算机互联而成的计算机组,一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。
2计算机局域网发展与现状
信息时代,大家对于信息资源的共享和信息交流的迫切需求,使得计算机网络技术快速发展,计算机网络的使用为人们信息文明的发展带来了前所未有的变化。其主要包括许多计算机局域网技术、计算机网络技术、局域网布线施工、intranet/internet的应用、计算机网络安全、局域网网络系统的维护等内容。
美国电气和电子工程师协会(ieee)局域网标准委员会提出局域网的特征:计算机局域网在通信距离上有一定的限制,一般在1~2km的地域范围内,并且拥有较高传输速率的物理通信信道。正因为连接线路较短,中间几乎不会受任何外因所干扰,所以网络还拥有始终如一的低误码率。另外,计算机局域网的拓扑结构较为简单,所支持连接的计算机数量有限,组网时也很容易连接。目前在网络中应用得最广泛的协议是tCp/ip协议,它实际上是一个关于internet的标准,并随着的internet广泛应用而风靡全世界,随之也成为计算机局域网的首选协议。
现今计算机网络按网络的组建规模和延伸范围来划分的话,分局域网、城域网、广域网。经常用到的因特网属于广域网,校园网或企业内部网属于局域网。将来的网络技术向着使用简单、高速快捷、多网合一、安全保密方向发展。就目前而言,比较常见的网络拓扑结构主要有以下四大类:星型结构、环型结构、总线型结构、混合型结构。
星型结构网络基本上是ethernet(以太网)的网络专用,它因网络中的各工作站节点通过一个集中的(如集线器或者交换机)网络设备连接在一起,并且各节点呈星状分布而得名。首先,这种拓扑结构做节点扩展时,仅需要从交换机或集线器等集中设备中拉一条线,要移动一个节点时,仅需要把相应节点设备移动到新节点;其次,维护起来较为容易,当一个节点出现故障时,不会影响其它节点的连接,而且还可任意拆走故障节点;再次,其所采用的广播信息传送方式使得任何一个节点发送的信息在整个网中的节点都可以被接收到,而且从目前最新的1000mbps到10G以太网接入速度中可以看出,星型结构网络传输数据快。
环型结构的网络形式主要是运用于令牌网中,在此形式下各设备直接通过电缆来串接,形成一个闭环,整个网络发送的信息就直接在环中传递。此种形式下的拓扑结构网络主要有如下几个特点:实现过程简单、投资小、传输速度快。但与此同时缺点也很突出:①扩展性能较差,同样是因为它的环型结构,所以决定了它的扩展性远远比不上星型结构,如果要添加新的节点或者移动相关节点,就必须中断掉整个网络,而且需要在环的两端做好连接器才能连接;②维护起来较为困难,这点从其网络的结构中可以看到,因为整个网络中各节点之间是直接串联,所以任何一个节点出了故障都会造成整个网络的瘫痪、中断,维护起来也非常不方便。
总线型网络结构中,所有的设备都是直接与总线相连接,总线型网络结构含有以下几个特点:首先,它的缺点是其它端用户必须等待直到获得发送权,原因在于它每一次仅能使用一个端用户发送数据;其次,因为各节点共用总线带宽,所以该网络设备的传输速度会随着接入网络用户的增加而降低。不过这样的结构根本不需要另外的互联设备,仅通过一条总线直接连接即可,所以其组网费用较为低廉。
混合型结构的布线方式是我们常见的综合型布线方式。混合型网络结构主要具有以下几个方面的特点:①因为继承了星型拓扑结构的优点,所以其扩展相当灵活;②因为它既解决了星型和总线型拓扑结构的些许不足,又满足了很多大公司组网的现实需求,所以应用相对广泛。但是因为受到总线型网络拓扑结构的制约,同样具有总线型网络结构的网络速率仍然会随着用户的增加而降低,而且整个网络非常的复杂,所以相对来说维护起来也较为困难。而且由于其采用的广播式消息传送方式,在节点数量和总线长度上也会受到一定的限制,但是这在局域网络中并不会有太大的问题。
3影响计算机局域网的主要因素
3.1网络管理员
管理员在计算机局域网当中的作用非常关键,管理员必须深入地了解在用网络的真实情况和性能,对可能存在的网络安全问题和各种网络性能问题采取及时、快速的措施,才能使整个局域网以最佳状态运行。管理员要始终把握这些关键因素,才能对网络性能和安全起到积极的影响,提高网络系统的运行容错率。
3.2网间协议与服务
网卡设置服务组件时,必须充分了解该网的特点,根据实际情况选择使用的网络组件,不能将所有的网络组件都添加到计算机系统中,这样会影响到网络的整体性能,因为这些组件在计算机系统启动时会自动加载,不仅占用大量的系统资源,而且对计算机网络的正常通信产生一定的干扰。
而一般计算机网络只需使用tCp/ip协议即可。如需要连接其它计算机系统,则可选择相应的协议。管理员应将主要的网络协议放在绑定顺序的最前面。总之,只有对计算机内部各种服务和性能进行掌控,才能使局域网的性能发挥到最大程度,最终使网络以最佳状态运行。
3.3局域网综合设计
整体设计局域网核心交换机的路由表,根据实际的需求建立合理的拓扑结构,两者都非常重要,也是整个网络结构和路由状况的灵魂。局域网络整体系统的成熟与否直接影响整体局域网系统的成功。前期的综合布线设计对整体网络的物理特性有关键性作用,路由器、交换机、双绞线、水晶头等网络设备的合理安装,以及注重防干扰源、控制传输距离、要求施工质量,这些都是影响着整个局域网的性能。
3.4网络病毒和恶意攻击
非授权访问:是指没有经过预先同意便使用计算机或网络资源,例如擅自扩大权限、越权访问信息、故意绕过计算机系统访问及控制机制,以及对网络资源及硬件设备进行的一系列非授权使用等。
数据完整性遭到破坏:是指以非法手段恶意添加、修改数据,以干扰用户的正常使用,且对非法窃得的数据进行插入、修改、重发或删除某些重要信息,并获得有益于攻击者的响应。
系统服务攻击:是指不断地对计算机网络服务系统进行干扰,并执行无关程序使系统响应减慢甚至瘫痪,改变系统正常工作,影响正常用户的使用,最终使许多授权用户被排斥在外,不能得到相应的服务,不能进入计算机系统。
网间传播病毒:是指通过局域网对计算机病毒的传播,并且其破坏性远远大于单机计算机病毒,迫使用户很难采取相应的防范措施。
4计算机局域网优化内容
4.1计算机局域网的物理性能优化
计算机局域网的物理性能优化是多种多样的,目前物理性主要是水灾、火灾、地震等环境事故、电磁干扰、电源故障、硬件设备损毁及被盗、人为操作失误,以及系统冗余设计、安全防范意识、机房工作环境及报警系统等。在局域网中,因为网间物理跨度较小,所以只要做好备份,并且制定相对健全的安全管理制度,加强网络硬件设备以及机房管理,这些风险是完全可以避免的。
4.2计算机局域网的网络平台优化
公开服务器所面临的困境:公开服务器作为信息的平台,这个因素也影响着内部局域网,受到攻击后可能也会对内部局域网产生一定的威胁。每天都有很多黑客在试图闯入internet各个节点,因此,大规模的网络管理人员对internet多发的安全事故所做出的有效反应就变得十分重要。
计算机管理者必须将外网、内网与公开服务器进行隔离,避免整个网络结构信息的外泄,还要对外网的请求服务加以筛选过滤,只允许正常通信的数据包到达相应服务器,并增加安全设置和防火墙设置。服务器的防火墙主要是用来阻止和过滤,防火墙一般是利用tCp包和ip包的头信息对进出被保护网络的ip包信息进行筛选过滤,并根据自身相应的局域网安全政策来控制(监测、拒绝、允许)出入网的所有信息流和数据包,同时还实现实时告警、审记与网络地址转换(nat)等功能。
4.3计算机局域网内部监控优化
计算机局域网系统的安全性完全取决于本网系统中的最薄弱环节。如何最大限度地保证整个网络的系统安全?如何及时发现网间系统中的最薄弱环节?其实最行之有效的方法是及时发现并修正存在的漏洞和弱点,并定期对网间系统进行安全性分析。
网间安全检测工具则是一个网间安全性分析评估软件,主要功能是检查系统存在的弱点和漏洞,提出其相应的安全策略和补救措施,并分析扫描网络系统,增强网络的安全性。网间的检测工具必须具备以下功能:①建立相对必要的循环过程以确保隐患能够时刻被纠正;②控制各种网络安全危险;③网络分析、监控及自动响应功能。
4.4计算机局域网网络备份优化
数据备份系统只有一个目的:尽可能快地全盘恢复运行系统服务所需要的信息和数据。根据计算机系统安全需求可选择的备份机制有:场点外的数据备份、恢复及存储;系统设备的备份;场点内大容量、高速度的自动数据备份、恢复及存储。数据备份不仅能在人为失误或系统硬件故障时起保护作用,并且在受到网络攻击或非授权访问并破坏数据的完整性时起到及时的保护作用。
确定需要数据备份的方案后,选择安全的技术和存储媒介进行数据备份(“热备份”和“冷备份”)。热备份是指“在线”备份,即下载备份的数据被传到另一个非实时处理的业务系统中或另一个非工作的分区进行存放,但数据仍存在于整个计算机系统和网络中;“冷备份”是指“不在线”备份,下载的备份与正在运行的整个计算机系统和网络没有直接联系,只是暂时存放到相对安全的存储媒介中,并且仅有一部分原始的数据长期保存以备查询时使用。
4.5计算机局域网整体策略优化
将计算机局域网软件、硬件及整体计算机安全策略等方法结合起来,形成较为统一的防御安全系统,有效减少网间的各种安全风险,并及时地阻止非法用户进入计算机网络当中。所谓安全策略是指在一个特定的网络环境中,为了能够提供一定级别的安全保护所必须遵循的法则。
该安全策略模型包括了建立安全环境的3个重要组成部分,即:①先进的计算机技术:用户对自身面临的威胁进行安全风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的计算机安全技术,保障信息安全;②严格的管理:建立相应的计算机信息安全管理办法,加强内部管理,建立审计体系和跟踪反馈体系,使各网络使用机构和单位整体信息安全意识得以提高;③威严的法律:社会手段与法律、法规是安全的基石,通过建立与计算机信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动,更有利于我们形成一套行之有效的安全管理方法和准则。
5结语
综上所述,只有充分而合理地对计算机局域网的性能进行优化,才能使计算机局域网的性能得到最大限度的发挥,使网络以最佳状态运行,为我们的工作和学习提供可靠的保障。计算机局域网系统是一个非常庞大且又繁杂的系统,它不仅为现代化信息服务、现代电子商务、综合信息管理和单位办公自动化等一系列应用提供基本操作平台,还能提供多种计算机应用服务,使各种各样的信息能及时、准确、高效地传送到每一个子系统内。计算机网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我们去不断学习和研究,并将其充分应用到实际的工作之中。
参考文献:
[1]力诚教育.局域网组建及维护基础与实例教程[m].重庆:天健电子音像出版社,2007.