時間:2023-09-18 17:34:16
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全學習路徑,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:計算機網絡;安全問題;防范措施
隨著計算機網絡的普及,計算機網絡極大程度地提高了信息服務的靈活性,而且對推動社會信息化進程也起了巨大的作用,但同時計算機網絡也帶來了眾多的網絡安全隱患,尤其是近幾年科學技術的快速發展,計算機技術的更新,計算機病毒、黑客的入侵等問題不僅嚴重影響了網絡的穩定運行,而且也對用戶造成了極大的經濟損失,所以加強研究分析計算機網絡目前存在的安全問題,并有針對性地提出解決措施是目前亟待解決的問題。
一、目前計算機網絡安全存在的問題
1.利用IP源路徑實現破壞
由于IP源路徑的不確定性,并且在源IP沒有真實性的驗證的情況下,使得計算機網路中的用戶在向其他用戶發送信息時,一些不法分子通過修改IP路徑,將發送信息發送至非法分子指定的IP目標中,以此來非法獲取一些用戶信息。目前互聯網采用端與端的設計形式,即使源端點利用偽造源IP地址發起網絡攻擊,中間網絡也不能控制攻擊流,所以這就很容易造成一些非法人員進行偽造源地址向目標地址發送大量的惡意攻擊報文,從而導致目標系統無法穩定運行。
2.病毒侵入造成的計算機網絡安全問題
計算機病毒指的是一些非法用戶和程序員通過專業技術將計算機程序中植入一些代碼或者是指令,以此來破壞和攻擊計算機原有的一些數據、功能以及程序,使計算機不能正常運行。同時,計算機病毒還具有自我復制和自我繁殖的功能。一些加殼病毒還能隱藏到計算機程序當中來逃脫殺毒軟件的搜索。所以,病毒是計算機網絡安全的重大隱患之一。而黑客能夠進入到計算機網絡的原因是因為他們使用安全的、先進的工具,它們若是發現計算機沒有防御能力便乘虛而入。所以,計算機安全工具的安裝對病毒的侵入防御很重要。
3.網絡軟件自身的漏洞造成計算機網絡安全問題
網絡軟件自身的缺陷和漏洞也是網絡安全運行的最大隱患之一,這些漏洞和缺陷同時也是黑客攻擊的首選目標。從以往發生的黑客攻擊網絡內部的事件我們不難看出,多數事件均是因為其自身安全措施不當引發。黑客通過利用網絡軟件漏洞,把惡意代碼下載并安裝到用戶的機器上,使黑客對被黑機器實施遠程控制,使受危害的機器成為botnet(僵尸網絡)中的一個部分,所以我們對網絡軟件自身的缺陷和漏洞時要引起足夠的重視。
二、計算機網絡安全防范措施
1.實施計算機網絡安全法律、法規
網絡安全法律、法規作為網絡信息防護的重要防線之一,如果龐大的網絡系統沒有統一的法律、法規進行保障,同樣得不到有效的運行,網絡也便成為無序的網絡,也便沒有網絡之說。目前國家相關權力機關針對網路信息安全問題專門制訂了一系列相關的法律、法規,以此來確保網絡正常安全運行。
2.采用防火墻技術進行控制病毒入侵
防火墻技術是一種保護計算機網絡安全的一種技術性措施,它是用來阻止非法用戶訪問網絡的屏障。它負責的是兩個網絡之間執行控制策略的系統,對外部沒有經過允許的用戶限制訪問,并且通過建立網絡通信監控系統來負責隔離外部網絡和內部網絡,阻擋外部網絡的侵入,并且防止沒有經過授權用戶的惡意攻擊。防火墻主要的作用如下:首先能夠保護脆弱系統服務,控制一些不法人員對系統的訪問,然后是增強保密性,阻止不法人員攻擊網絡系統中的有用信息,防火墻還起到集中安全管理的作用,防火墻的安全規則可以運用到整個內部網絡系統中,不需要對每臺計算機都設置安全策略。此外,防火墻還可以記錄網絡利用數據及非法使用數據。在一些非法人員進入系統時可以根據防火墻判斷和探測可能的攻擊。
3.提高計算機網絡軟件設計以及防護人員的技術水平和素質
隨著科學技術的快速發展,計算機網絡技術更新換代的步伐加快。作為計算機網絡軟件設計人員,只有不斷提高設計水平,不斷加強學習新的科學技術和技術知識,提高自身的綜合素質,才能提高計算機網絡軟件的安全性,并且計算機網絡防護人員也應該加強對計算機網絡專業防護人員的培訓,保證計算機網絡安全防護工作具有一個完善安全的防護群體,這樣才能減少黑客以及不法分子的入侵,才能保證網絡的安全。除此之外,國家也應該針對計算機網絡安全存在的問題以及可能會出現的問題,及時進行研究,探討出最新的解決措施和預防措施,從而可以有效避免黑客以及計算機病毒等對計算機網絡造成威脅,降低計算機網絡安全給人們造成的經濟損失。
隨著社會的進步,科學技術和計算機網絡技術的快速發展,計算機網絡給人們的生活和工作帶來極大的便捷,但是計算機網絡安全問題也給用戶帶來嚴重的影響,因此只有不斷提高計算機網絡用戶的安全意識,不斷提高計算機網絡安全防范技術,提高計算機網絡軟件設計人員的技術水平和綜合素質,才能消除計算機網路安全問題,從而建立計算機網絡安全體系,促進和諧社會的發展。
參考文獻:
[1]千一男.關于計算機網絡安全風險的分析與防范對策的研究[J].電腦知識與技術,2011.
[2]洪彥飛.辦公計算機網絡安全現狀及防范對策淺析[J].科學時代:上半月,2010.
隨著社會的發展進步,我國科學技術水平在不斷提高,計算機信息技術得到了飛速的發展進步并且在很多領域得到廣泛的應用,以高校網絡安全教育為例,高校網絡由于使用人數過多,極容易受到網絡黑客的攻擊、病毒的侵襲等,需要計算機信息技術的應用來保證高校網絡的安全性。本文主要分析我國高校網絡安全中計算機信息技術的應用現狀、應用意義以及具體應用路徑等等。
【關鍵詞】
計算機信息技術;高校網絡安全;應用路徑
一、引言
近年來,網絡計算機技術在人們生活中占有越來越大的比例,人們的日常生活、工作、學習都離不開網絡信息技術的支持,計算機信息技術得到越來越廣泛的應用。計算機信息技術這一學科涉及到網絡通信技術、計算機技術、網絡安全技術等等多種技術。隨著時代的發展,我國高校教學活動對網絡的利用越來越頻繁,網絡成為高校教育的重要手段,高校網絡有著一定的開放性,這就為高校網絡安全帶來一定的危險,我們要重視提高高校網絡的安全性。計算機信息技術在網絡安全性的維護中有著重要的作用,要想真正保證現代高校網絡的安全性,就應該深層次探究計算機信息技術,這樣才能符合當今社會的需求,促進高校做好網絡安全防范措施,從而推動整個社會的信息化進程。
二、高校網絡安全現狀
目前,我國各高校對網絡技術的使用越來越多,高校網絡作為高校教育的重要手段,應該保護其安全性。隨著高校網絡系統的不斷發展和應用范圍不斷拓寬,高校網絡安全性受到越來越多方面因素的挑戰,高校網絡安全問題也逐漸成為高校發展中一項重要研究課題。
(一)病毒的侵染。近年來,我國高校網絡安全性受到的主要威脅就是病毒的侵染,感染病毒后計算機系統將會受到特別大的影響。病毒主要是以網絡下載、文件傳輸等方式感染計算機系統的,高校網絡用戶十分多,無法做到對每位用戶的瀏覽記錄、文件傳輸進行監管,一個人在使用計算機的過程中出現問題,就可能造成整個高校網絡受到病毒的感染,影響高校網絡資源的運行和相關數據信息的安全性。
(二)黑客的攻擊。在高校網絡安全影響因素中,黑客的攻擊是最有技術含量的一種形式,黑客攻擊高校網絡往往都帶有明確的目的,他們不僅僅是為了破壞高校網絡系統中的教學資源,更可能是為了獲得高校網絡系統中的資源。由于高校網絡系統中有極其豐富的教學資源,還包括學生、教師等許多人的個人隱私信息,這些資源都有著極高的經濟價值,因此,高校網絡也會經常遭遇黑客的攻擊。
(三)網絡不良信息的傳播。網絡在高校教育中的應用既有一定的優點,同時又存在著一定的危險,由于網絡可以向學生們傳播海量的信息,網絡信息良莠不齊,學生可以通過查詢網絡信息提高自己的知識水平、拓寬自己的知識面,同時也可能從網絡信息中學到壞的習慣。海量的網絡信息中的不健康內容,將會直接影響到高校學生的身心健康發展。
三、計算機信息技術在高校網絡安全中的應用現狀
計算機信息技術涉及到信息的產生、傳送、管理等多方面工作,它在計算機應用中占有重要的地位,因此其在高校網絡安全中的應用也是極其重要的。我國高校網絡安全中對計算機信息技術的應用還不夠廣泛,我們應該加強對此的重視程度,更深層次探究計算機網絡技術,并且將其真正意義上落實于高校網絡安全中。計算機信息技術在高校網絡安全中的應用可以很好地抵制不良信息的攻擊。但是,計算機信息技術在高校網絡安全中的應用工作也有一定的難度,因為高校網絡安全的影響因素是多方面的,而且有著多樣性和不確定性,威脅高校網絡安全性的因素也很難辨別出來,這就使得計算機信息技術無從入手。此外,威脅到高校網絡安全性的因素也可能對計算機技術造成一定的影響,這就使得計算機信息技術的網絡安全維護工作效果得不到保證。
四、計算機信息技術在高校網絡安全中的應用
(一)維護高校網絡安全的具體策略。由于計算機信息技術在維護高校網絡安全工作中占有重要的地位,因此我們要加強對此的重視程度。計算機信息技術在高校網絡安全中的應用可以從以下具體路徑做起。1.提高安全防范意識。要想維護高校的網絡安全,首先應從高校網絡工作人員做起,提高相關工作人員的安全防范意識。讓高校網絡工作人員全面認識并了解計算機信息技術在網絡安全維護中的重要性,并且從思想上樹立對不良信息的抵制和防范意識。由于高校網絡安全維護工作是一項有著繁雜工作量的工程,計算機信息技術的應用對工作人員來說很大程度上降低了工作量。總體來說,要想真正做到維護高校網絡的安全,相關工作人員就必須順應時代的發展需求,深層次探究高校網絡安全的影響因素,并且做好相關防范措施,建立健全計算機信息技術管理體制,從而推動高校網絡健康、安全發展。2.加大對計算機信息技術的管理力度。計算機信息技術在高校網絡安全維護中的應用,一是應該建立相關管理體制,在設置制度時,應該綜合考慮其完成性等實際狀況。二是要加強對計算機信息技術的管理力度,保證計算機信息技術的安全性,才能更好地維護高校網絡系統的安全。由于計算機信息技術充滿了現代化因素,其在高校網絡安全中的應用也有多種不良因素。
(二)計算機信息技術在高校網絡安全中的具體應用。1.防火墻技術。防火墻技術可以將網絡分為信任網絡和非信任網絡,這是高校網絡安全維護中最早應用的計算機信息技術,它通過分辨網絡來維護高校網絡的安全性。對于非信任網絡的訪問,防火墻技術設置了一定的控制。防火墻往往被設置在高校網絡和外界網絡的接口處,防止外界網絡非法數據的入侵,從而維護高校網絡的安全。2.數據加密技術。數據加密技術主要是通過節點加密、鏈路加密等多種方式來維護高校網絡的安全。所謂節點加密就是指在信息節點的地方進行加密工作,保證信息在傳輸過程中的安全性;鏈路加密就是指對高校信息傳遞過程中的接收處進行加密。3.數字簽名認證技術。數字簽名認證技術也是計算機信息技術在高校網絡安全中的主要應用方式,它包括口令認證、數字認證這兩種,其中口令認證的操作過程和方法都比較簡單;數字認證則是高校信息傳遞過程通過加密技術確認信息傳遞者的身份,假如信息傳遞者的身份沒有通過認證,那么高校網絡就拒接信息,從而避免高校網絡遭遇威脅。除了以上提到的應用方式,計算機信息技術在高校網絡安全中的應用還有入侵檢測技術、秘鑰密碼技術、殺毒軟件技術等多種,這些技術的應用都是為了更好地維護高校網絡安全,促進高校教育工作的順利進行。
五、結語
網絡作為現代高校教育中的重要教學手段,應該受到越來越多人的重視,由于高校網絡安全受到很多方面因素的威脅,因此要加強對其安全性的維護。隨著現代社會信息化進程的加速,計算機信息技術在高校網絡安全維護中的應用越來越廣泛,只有這樣充分利用計算機信息技術,才能保證高校網絡的安全性。
【參考文獻】
[1]史姣麗.基于模擬攻擊的高校網絡安全風險評估研究[J].計算機工程與科學,2012,12
[2]姜德重.新時期高校網絡安全問題分析與防范對策研究[J].現代交際,2015,5
[3]曹金靜,王東盈,馬葉革.計算機信息技術在高校網絡安全中的應用研究[J].價值工程,2014,23
[4]吳尚.淺析高校網絡安全存在的問題和對策[J].計算機光盤軟件與應用,2014,21
[5]曹旭,劉運祥.加強高校網絡安全建設構建文明平安校園[J].計算機光盤軟件與應用,2014,9
關鍵詞:路由協議;分類;原理;應用
1 什么是路由協議
路由協議(routing protocol)就是用來計算、維護路由信息的協議。路由協議常用一定的算法,以產生路由;并用一定的方法確定路由的有效性,來維護路由。那么何謂路由呢?路由是指網絡信息從信源到信宿的路徑。路由器提供了將異種網絡互聯起來的機制,實現將一個數據包從一個網絡發送到另一個網絡。路由指導IP數據包發送的路徑信息。在互聯網中路由選擇使用路由器,路由器只是根據所收到的數據報頭的目的地址選擇一個合適的路徑,將數據包傳送到下一個路由器,整個路徑的最后一個路由器負責將數據報送交目的主機。
2 路由分類
2.1 直連路由
直連路由是由鏈路層協議發現的。直連路由無須配置,在接口存在IP地址時,由路由進程自動生成,并以直連路由出現在路由表中。它的特點是開銷小,配置簡單,無需人工維護,但只能發現本接口所屬網段的路由。
2.2 靜態路由
由網管員手動配置而生成的路由稱為靜態路由。靜態路由的缺點是無法自動根據網絡拓撲變化而變化,當網絡拓撲結構或鏈路的狀態發生變化時,網絡管理員需要手工去修改路由表中相關的靜態路由信息。出于安全方面可以考慮在小型網絡采用此路由。靜態路由無開銷,配置簡單,適合簡單的拓撲結構的網絡。靜態路由的好處在于可以減少路由器之間的數據傳輸量,這對于帶寬緊張、線路冗余度低的網絡比較適合。使用靜態路由的另外一個優點在于路由的保密性好,在默認情況下是私有的,即它不會傳遞給其他的路由器。
2.3 動態路由
動態路由協議自動發現和維護的路由稱為動態路由。動態路由的優點是無需人工配置具體的路由表項,而由協議自動發現和計算。這樣當網絡拓撲結構復雜時,使用動態路由可以減少管理員的配置工作,且減少配置的錯誤。另外動態路由協議支持路由備份,如果原有路由鏈路故障導致路由表項失效,協議可以自動計算和使用另外的路徑,無需人工維護。但是路由器更新路由表信息使用廣播報文的方式,會占用一部分鏈路開銷。因此動態路由更新不能太頻繁。其次,在使用動態路由時,需要路由器之間頻繁的交換各自的路由表,而通過對路由表的分析可以揭示網絡的拓撲結構和網絡地址等信息。進而造成網絡安全問題。
3 靜態路由應用
根據如上配置我們應當注意兩個點。第一:如RTA、RTD當目的地址和子網掩碼都為0的時候,配置的是缺省靜態路由,當路由查找失敗,根據缺省路由進行數據包的轉發。RTB、RTC配置的為靜態路由。
第二:配置靜態路由時,要注意進行雙向配置,避免出現單程路由。因為Internet很多業務都是雙向傳輸的,如HTTP。
4 動態路由協議
4.1 路由協議分類
根據作用的范圍,路由協議可分為:
內部網關協議(Interrior Gateway Protocol,簡稱IGP):在一個自治系統內部運行,常見的IGP協議包括RIP、OSPF和IS-IS。
外部網關協議(Exterior Gateway Protocol,簡稱EGP):運行于不同自治系統之間,BGP是目前最常用的EGP。
根據使用的算法,路由協議可分為:
距離矢量協議(Distance-Vector):包括RIP和BGP。其中,BGP也被稱為路徑矢量協議(Path-Vector)。
鏈路狀態協議(Link-State):包括OSPF和IS-IS。
4.2 路由協議工作原理
各種動態路由協議所共同的目的是計算與維護路由。通常,各種動態路由協議的工作過程大致相同,都包含以下幾個階段。
鄰居發現
交換路由信息
計算路由
維護路由
5 路由協議性能參數
5.1 可伸縮性
可伸縮性是確定IP路由協議選擇的最基本問題之一,即路由協議將如何有效地支持大型網絡或可能增長的網絡。路由協議的可伸縮性是由以下因素確定的,如它如何有效地處理路由更新以及它如何才能迅速地應對大型網絡上的更改作出反應。
5.2 路由更新
IP路由協議的可伸縮性總是部分由處理路由更新的效率確定。距離矢量路由協議通過向網絡中所有其他路由器定期廣播它們的路由表來交換路由信息可以通過制定一些更新策略來提高距離矢量路由協議的更新速度,影響策略制定的因素有以下幾個:
1)增量更新比定期交換更好;
2)多路廣播比廣播更好;
3)跳數越小越好。
5.3 路由協議的穩定性
路由協議的穩定性可在網絡傳輸期間(如鏈接中斷或其他形式的布局更替)進行測試。路由協議對布局更替作出反應,并通過網絡傳播有關更替的信息。在路由協議分發信息期間,路由器將排除不一致的信息。(即有一些路由器將知道更新而有一些將不知道)。這種不一致可能導致特定類型的路由問題,稱為路由回路。
距離矢量路由協議對路由回路具有潛在的敏感性,因為它們不維護除路由表以外的有關網絡布局的任何附加信息。鏈路狀態路由協議維護網絡上所有子網的數據庫,并知道何種路由器附加到了子網上,因此,它不大可能在布局改變后立即按照錯誤信息動作。
距離矢量路由協議合并了下列功能以幫助避免路由回路:
1)定義最大量度
2)分割范圍
3)路由中毒
4)停止運行計時器
5.4 收斂速度
網絡收斂的定義是從網絡拓撲改變到每個路由器確認該改變所消耗的時間。如果網絡拓撲結構改變,如丟失或增加子網,在從第一個路由器開始更新路由信息起到全部路由器都更新了路由信息止,需要一定的時間。在依賴多種因素(路由協議本身的操作特性是最重要的因素)的網絡上,收斂速度的變化很明顯。收斂速度通常與路由器的錯誤檢測機制、路由更新機制、路由運算法則以及傳輸介質有關。
5.5 路由量度
如果運行特定IP路由協議的路由器收到多個可到達目的站網絡的公布路徑,它將選擇具有最佳量度的路徑并將之放入路由表中。如果多條路徑有最佳量度,則每個這種費用最低的路徑放入路由表中,并且執行等量費用負擔平衡。不同的路由協議使用不同的量度,即每個路由協議都可以按自己的方式決定到達目的站的最佳路徑。
5.6 VLSM的支持
對于網絡來說,若需要擁有除了足夠的IP地址空間之外的條件,則可能需要使用VLSM。VLSM可有效地使用IP地址和子網空間。五類路由協議(如OSPF、RIP2版、EIGRP、IS-IS和BGP)支持VLSM,因為它們包括掩碼和更新。而無類協議(如RIP1版和IGRP)不能支持VLSM。
6 常見路由協議比較
目前常見路由協議包括RIP-1/2、IGRP、OSPF、IS-IS、BGP等五種,現對其協議特點進行簡單的比較。
RIP協議是最早的路由協議,基于距離矢量算法,屬于內部網關協議;RIP采用廣播(RIP-1)或組播(RIP-2)方式在鄰居之間傳送協議報文,傳輸層采用UDP(User Datagram Protocol)報文封裝。RIP協議以到達目的地址所經過的路由器個數(跳數)為衡量路由好壞的度量值,最大跳數為15; RIP-2支持明文認證和MD5密文認證,并支持可變長子網掩碼。RIP協議適用于基于IP的中小型網絡。
IGRP是從RIP基礎之上發展而來的。它比較RIP而言,主要有以下幾點改進:
1)IGRP路由的跳數不再受16跳的限制,同時在路由更新上引入新的特性,使得IGRP協議適用于更大的網絡;
2)引入了觸發更新、路由保持、水平分割和毒性路由等機制,使得IGRP對網絡變化有著較快的響應速度,并且在拓撲結構改變后仍然能夠保持穩定;
3)在Metric值的范圍和計算上有了很大的改進,使得路由的選擇更加準確,同時使路由的選擇可以適應不同的服務類型。
OSPF是目前應用最廣泛的IGP協議。是為大中型網絡提供分層次、可劃分區域的路由協議。算法復雜,但能夠保證無域內環路。OSPF采用IP來進行承載,所有的協議報文都由IP封裝后進行傳輸,端口號89.由于IP是盡力而為的,不可靠、無連接的網絡層協議。為了保證協議報文的傳輸的可靠性,OSPF采用確認機制。OSPF還支持驗證,使網絡安全性得到保證。
IS-IS是一種鏈路狀態型的路由協議,采用的是SPF算法,支持路由分組管理與劃分區域,同樣可應用在大中型網絡中,可擴展性好。IS-IS的運行直接基于鏈路層,其所有的協議報文通過鏈路層協議來承載。所以IS-IS也可以運行在無IP的網絡中,如OSI網絡。IS-IS同樣設計了確認機制和報文驗證來保證網絡的可靠性、安全性。
BGP協議是唯一的EGP協議。目前最新的版本是BGP-4。BGP采用TCP來保證協議傳輸的可靠性,TCP端口是179.TCP,本身有三次握手機制,運行BGP的路由器首先建立可靠的TCP連接,然后通過TCP連接來交換BGP協議報文。鑒于此,BGP協議不需要自己設計可靠的傳輸機制,降低了協議報文的復雜度和開銷。同樣,BGP的安全性也有TCP來保證。
參考文獻:
計算機網絡已經普遍使用到經濟、文化、科技、企業運營等方面,伴著世界經濟一體化的進程,計算機網絡使用到了國際中的各個行業、各個企業、甚至是各個家庭,它讓人們的生活變得簡捷,人們很難離開計算機網絡。無論是國家的利益、國家安全的程度,還是有關社會穩定方面都跟計算機信息安全聯系了起來。計算機網絡信息安全與保護體系的構建與完善的有關技術愈來愈得到有關專家的重視,計算機網絡信息安全與保護的意識也愈來愈高。由此可以看出,計算機網絡的安全和保護非常值得人們對其進行系統的研究探討。人們期盼計算機網絡能夠持久的進行值得信賴的運行,而不是隨時可能都會遭到擾亂的運行。計算機一定要有一個穩定的工作狀態,這要求它的網絡的安全與保護得到科學合理的保證,筆者通過這個角度對計算機網絡的安全和保護進行了分析。
1計算機網絡安全的特征
計算機網絡能夠把各個地區相異的網絡中由各種物理設備(如主機、路由器、交換機等)和介質(光纜、電纜、雙絞線等)連接起來形成的網絡實行相互連系,而成為一系列局域網和廣域網的組合,進而能夠構建為一種一致協調的、呈現給使用者的通信體系。計算機網絡技術一直強調要提升數據資料的通用性和最大化的拓展能力,以此來保障計算機網絡體系的穩定程度與運行效果。不過有關新技術的投入使用帶來益處的同時亦引起來其它網絡方面的問題,比如說,網絡穩定本身自有的繁雜性與薄弱性在這個階段越多的暴露了出來,其潛在的危險與被侵襲的可能性在很大程度上加大了。在如今信息快速傳播的世界里,計算機網絡能夠完成資料信息的瞬時傳遞與集中運算,還能提升機器的可信性和能用程度,平衡承載的相互協調能力,所以計算機的網絡和諧是非常值得人們探討的。這要求有關工作人員更加努力地研究網絡安全措施,進而保護網絡中所有的信息安全,處理其面對的各種威脅。
2計算機網絡面對的危險
因特網給人們的生活帶來了便捷的溝通、交流等方式,在這同時存在著很多潛在的危險。我們一定要對這些危險有深刻的認識,這樣才能更好地利用因特網。
2.1網絡同享方式引起的危險
因特網中數據資料的同享功能是其出現的最初要求,同享為人們帶來了莫大的方便,是人們的思想知識積累越來越多,互通有無。在同享的目的下,也出現了很多網絡漏洞,其使網絡攻擊者找到了入侵供給網絡的路徑,使用因特網的同享性來侵入和搞壞用戶的客戶端計算機,這是網絡共享方式產生危險的一種突出現象。
2.2網絡對外開放性引起的危險
開放性為因特網的凸出特點中的一種,它為用戶提供的是數據的可讀性和易讀性。當因特網使用者打算接受例如以政府職能、公益服務為主要宗旨的一些單位,辦理各種活動的團隊信息,或者是欲了解某個人的簡介等方面時,都會用到這一功能。在這些信息里面,有很多的對外公開資料,也有較多的不愿公示的隱私資料。于是便有些以售賣公司、私人的數據資料為營生來牟取非法的利益,在這個過程中,很多重要敏銳的數據資料就在毫無察覺的情況下暴露了。
2.3計算機網絡木馬病毒帶來的危險
計算機木馬病毒指的是有自己的儲存功能,善于潛藏到軟件與資料文檔里的不會讓用戶察覺,并且在開啟后能得到計算機權限從而竊取計算機中資料的一段可在操作系統存儲空間中浮動定位的加載執行程序。其特點是可傳播、可潛藏、易啟動和侵蝕性,它的入侵方式大部分是由拷貝、傳遞、啟動軟件等組成的。攻擊路徑一般是軟硬件、光驅和因特網。一旦觸發了病毒程序,可能會使電腦操作系統的運行速度變慢,更可能會損害文檔,導致文檔打不開或者刪掉重要的資料,失去資料數據,導致系統崩潰電腦癱瘓。尤其是近些年來的病毒木馬的外衣花樣越來越多,這不僅是個老生常談的話題,更將會一直并將持續對電腦網絡產生安全威脅。它造成了因特網的各種損害,也使用戶的生活受到了極其嚴重的影響。
2.4大量信息引起的危險
眾多網絡站點構建的初衷是把資料信息集中起來進行分類展覽,供給瀏覽者查看與其溝通交流,但是在這個提取信息的過程中很可能由于對數據特征的把握不準確導致網絡紊亂,這將會導致網絡安全的不穩定。
3計算機網絡信息安全與保護的措施
3.1開發新型防病毒軟件
在保護網絡安全不受病毒威脅的主要措施是給電腦安裝抗病毒程序,如今電腦網絡中的抗病毒程序主要以兩個形式起作用,一個是單獨計算機或者其它游戲平臺就可以獨立運行的抗病毒程序,另一個是通過控制中心管理全網的抗病毒程序。前者在因特網客戶端中對電腦和跟電腦聯接的遠端數據進行瀏覽剖析,及時的找到和消滅病毒;后者則把重點放在因特網中,當遇到病毒侵入因特網的時候可以馬上消滅病毒。兩種形式的軟件都可以對電腦的網絡安全起到相當程度上的保護效果,不過其不是網絡安全的絕對保證,越來越多的新型病毒使抗病毒產品無法可施,所以用戶還需結合多種措施來保護網絡安全。
3.2文件設密保與電子簽章
對文件和文檔等設置密碼保護是一種比較常見的網絡信息安全的保護措施,文件設密碼和電子簽章可以使網絡安全的通信得到相對安全的環境。給資料采納對原來為明文的文件或數據按某種算法進行處理的方式來實行因特網通信,避免讓沒有得到權限的使用者查看,進而達到因特網資料保護的目標。文件設密碼和電子簽章有三種類型,分別是資料傳遞、資料儲存、資料完全性。其對網絡安全起到的作用有使資料隱私安全保密、資料完全驗證和資料準確無誤校正。這項技術的實施是為了讓因特網資料以另外的形式儲存,讓信息加了一件堅硬的盔甲,就算讓攻擊者得到也難以看穿里面具體的資料數據,由此對網絡信息進行保護。
3.3對訪問者的控制
對訪問者加以篩選控制,可以減少因特網受到入侵的次數。其控制了網絡詢問的舉動,在很大程度上使因特網免受了傷害。對訪問者的控制措施的制訂包含進網詢問調控部分、網絡管理分配部分、終端保護措施。因特網數據體系經過嚴格的詢問調控程序后,擁有權限的裝置和訪問者被許可連入網絡,由此來保護網絡的信息安全。
3.4檢查侵入者技術
檢查攻擊者的侵入網絡的行為是一門很深奧的技術,在檢查網絡被攻擊前必須要構建一個運行環境作為基礎,當因特網里的某一個舉動在不符合這個基礎,那么就規定這個舉動非正常用戶所為而是一種入侵因特網的行為。這門檢查網絡是否被侵犯的技術是隨著人們考慮網絡安全性的程度加深而逐步產生和發展起來的,它希望能夠構建一項即時性的、高效率的并且能夠切實為網絡安全服務的預防因特網受到破壞的一種氛圍。規定原則用以挑選進入此網絡范圍的資料和文件,這些資料與文件的內容與所規定的原則相一致,那么其就會被放入到檢查告示里,網絡入侵行徑檢查告示預警侵入檢查需要具備正當的保護措施,不然錯誤的預警會頻繁出現。
4結束語
伴著信息時代的到來,網絡信息技術和網絡體系已然滲透到了人們的學習工作和生活當中。本文簡介了計算機網絡信息安全與保護的相關知識,以及各個方面網絡信息中已存在的包括潛在的危險,并分析了有關信息安全和保護的措施手段。計算機網絡帶給人們生活的作用隨著科技和經濟水平的提高而愈來愈深,關切計算機網絡的穩定和諧的環境,構建規整安全的因特網和信息體系顯得愈來愈重要。這不僅需要相關網絡安全的技術人員在計算機網絡安全用品上的積極研發升級,更需要用戶自身的網絡安全和保護意識的加強。要為用戶講解在網絡安全上的各種威脅,并使其具備查找威脅并解決威脅的能力。通過各方面的共同努力,來提升網絡安全強度,建立穩定、安全的網絡信息氛圍。
引用:
[1]王磊.關于計算機網絡信息安全及防護策略探究[J].電腦知識與技術,2014.
[2]黃麗民.計算機網絡信息系統安全評價方法研究[D].山東大學,2005.
[3]張曉杰,姜同敏,王曉峰.提高計算機網絡可靠性的方法研究[J].計算機工程與設計,2010.
[4]楊鵬,顧冠群.計算機網絡的發展現狀及網絡體系結構涵義分析[J].計算機科學,2007.
[5]趙悅紅,王棟,鄒立坤.計算機網絡安全防范技術淺析[J].煤炭技術,2013.
[6]莫笑麗,史清華.一種新型的主動安全管理[J].計算機工程與設計,2005.
人工智能即機器智能,即對人的意識、行為、思維信息過程等進行模擬,使及其具有人工智能功能,進而代替人完成危險性、復雜性或機械性突出的任務,提升工作的效率和質量,將人工智能應用于計算機網絡技術中與人工智能自身的優勢具有密切的關系。
1 人工智能應用于計算機網絡技術中的可行性分析
首先,人工智能對不確定信息的處理效果較理想,可對系統資源呈現的局部或全局實時、變化狀態進行掌握和跟蹤,在對獲取信息進行處理的基礎上可以實現實時向用戶提供有效的信息功能;其次,人工智能的協作能力較突出,在對有效資源整合基礎上實現資源的合理共享和傳輸,將其應用于網絡管理中,可有效的提升其工作的效率和效益;再次,人工智能憑借其學習能力和推理能力的優越性,有利于網絡智能化護理中信息處理效率和質量的提升。另外,人工智能在記憶能力方面的優勢,有利于信息庫的建立,在推動網絡管理水平提升方面作用突出;除此之外,人工智能在處理非線性問題、計算資源消耗等方面也具有優越性,所以將人工智能應用于計算機網絡技術中具有可行性。
2 人工智能在計算機網絡技術中的應用
2.1 人工智能在計算機網絡安全管理技術中的應用分析
現階段計算機網絡安全管理技術主要表現在防火墻、入侵檢測和反垃圾郵件系統三方面,所以在實踐中嘗試將人工智能應用于以上方面,智能防火墻主要應用智能化識別技術,利用統計、概率等計算方法將存在文獻的信息數據識別并處理,使計算機網絡管理技術原本的大量計算被舍去,網絡安全管理的效率也大幅提升,不僅將有害信息及時的攔截和限制,而且安檢效率也明顯增加,使普通防火墻拒絕服務攻擊的缺陷得到彌補,有效的遏制了高級入侵和病毒傳播。而智能型反垃圾郵件系統其以威脅計算機網絡安全的垃圾郵件作為防御的主要對象,其雖然具有開啟式掃描和分類提供、危險預警等功能,但其保護的范圍具有局限性。入侵檢測是網絡計算機安全管理的核心,對其應用人工智能具有顯著的效果,通常情況下入侵檢測需要通過數據采集、數據減少、行為分類、報告反映四個階段完成,現階段應用于入侵檢測的人工智能主要包括以下幾種:
2.1.1 規則產生式專家系統
此種人工智能現階段在入侵檢測方面應用最為廣泛,其建立在專家經驗性知識構建的數據庫和推理機制的基礎上,主要原理是計算機網絡安全管理人員事先將已知的入侵特征編碼成固定的規則,并將大量的規則構建成數據庫,在安全管理的過程中專家系統可自動將審計記錄和規則作為入侵檢測的判斷依據,實現入侵的及時發現,并判斷入侵的種類和危害等,可見此項人工智能對提升入侵檢測的效率和準確性具有積極的作用,但其建立在已知經驗的基礎上,檢測的范圍存在的一定的局限性。
2.1.2 人工神經網絡
此項人工智能建立在人腦學習機能模擬的基礎上,所以在容錯性、學習能力等方面具有優越性,此項人工智能可以對存在畸變或噪聲的輸入模式有效的識別,在并行方式的推動下其入侵檢測的效率較理想,所以在計算機網絡安全管理技術中的應用相對較廣泛。
2.1.3 數據挖掘技術
此技術的應用原理是通過審計程序對網絡連接和主機會話的特征進行準確、全面的提取和描述,然后利用此項人工智能對準確捕捉入侵模式的規則或計算機網絡正常活動輪廓規則等進行學習和記憶,進而在計算機網絡中出現異常檢測的情況下,進行有害入侵的準確識別,可見此項人工智能技術充分發揮了自身的記憶功能和學習功能,在提升入侵檢測的針對性方面具有較好的效果。
2.1.4 人工免疫技術
人工免疫技術建立在人體免疫系統的基礎上,其主要包括基因庫、否定選擇和克隆選擇三種機制,其可以有效的彌補傳統入侵檢測在殺毒能力和未知病毒識別等方面的缺陷。例如,在基因庫中可以實現基因片段重組、突變,使入侵檢測系統對各類未知病毒也可以及時有效的識別,但現階段基因庫的有效建立仍存在現實困難;在否定選擇的過程中,先在系統中隨機產生一定的字符串,其次在否定選擇算法的作用下將與自我匹配的字符串刪除,如果其否定選擇的正確則被視為合格的監測器,進而逐步完成檢測入侵等,此項技術在計算機網絡安全管理中的應用仍需要進一步的完善,但應用價值巨大。
2.1.5 自治AGENT技術
此項技術是人工智能向面向對象技術方面發展的成果,其通常被作為底層數據收集和分析的結構,在基于自治Agent的入侵檢測系統框架中每臺被監控的主機都可以視為IDS系統,此技術在學習能力、適應能力、自主能力、靈活性和兼容性等方面均較突出,所以此項技術不僅可以有效的檢測入侵,而且可以對入侵的影響范圍有效的控制,在應用的過程中對環境的依賴性較低,可推廣應用。
2.1.6 數據融合技術
此項技術建立在人類不斷對自身信息處理能力進行模仿的基礎上,其原理是在數據組合的基礎上獲取更多的信息,實現資源協同,將其應用于計算機網絡安全管理技術中,可以使過個傳感器共同或聯合發揮作用,使整個傳感器系統的能行得到提升,進而將個體傳感器入侵檢測的范圍局限性削弱,使入侵檢測的全面性更加有保證,此項技術如果與其他人工智能結合應用,檢測的效果會更加理想。
可見,人工智能在計算機網絡安全管理技術中的應用,對提升計算機網絡安全監測、防御能力具有積極的作用,使計算機網絡傳統安全管理技術不能識別未知風險、風險識別不全面、殺毒能力較弱等問題得到有效的解決,而且計算機網絡安全管理的效率和準確性也更加有保證。
2.2 人工智能在計算機網絡系統管理和評價技術中的應用分析
由于計算機網絡自身具有動態性和瞬變性等特點,所以計算機網絡系統管理的難度較大,將人工智能應用于計算機網絡系統管理和評價方面對提升其管理的有效性、全面性和評價的客觀性等具有積極的作用,現階段應用于此方面的人工智能主要包括以下方面:
2.2.1 人工智能問題求解技術
此項技術是在給定條件下,可解決某類問題并在有限步驟內可以完成的算法,主要包括以狀態圖為基礎的搜索技術、以謂詞邏輯為基礎的推理技術和以結構化知識表示為基礎的求解技術,搜索技術主要針對狀態空間、問題空間、博弈搜索進行,通常情況下相同的問題具有多個搜索技術,所以要提升搜索的效率需要對最優的搜索技術進行判斷。其評價標準通常包括搜索空間和最優解兩方面,為獲取最優搜索,需要利用公式f*(n)=g*(n)+h*(n)進行評估,其中g*(n)代表從網絡S節點到n節點的最短路徑;h*(n)代表從網絡n節點到g節點的最短路徑。可見將人工智能問題求解技術應用于計算機網絡系統管理和評價中,相比傳統的計算方法可以縮減網絡資源的浪費,提升網絡資源的管理效率和質量,應積極推廣應用。
2.2.2 專家知識庫技術
專家知識庫是專家系統的重要構成,其對專家系統的應用效果產生直接的影響,現階段專家知識庫主要包括基礎原理理論和直接或間接獲取經驗積累的專門知識,通過將已知的計算機網絡管理與評價經驗進行編碼、建庫,使計算機網絡管理決策獲取專家經驗支持,使相似或同種管理、評價問題等可以得到較好的完成,此項技術現階段在計算機網絡管理與評價方面得到較廣泛的應用。
3 人工智能在計算機網絡技術中的應用案例分析
3.1 人工智能在計算機網絡安全管理技術中的應用案例分析
某檔案館為保證應用的計算機網絡系統不會對存儲的檔案信息安全構成威脅,積極的將人工智能應用于計算機網絡系統安全技術中,實踐證明,通過應用智能防火墻和智能入侵檢測系統,該檔案館的計算機網絡安全性得到明顯的提升,筆者針對該檔案館在此方面對人工智能的應用展開分析。
3.1.1 智能防火墻
該檔案館長期以防火墻作為其網絡安全管理的主要手段,但由于傳統防火墻自身不可見加密的SSL流數據,不能對其迅速的攔截和解密,使此類對計算機網絡的攻擊難以通過防火墻實現防范,甚至任何應用程序在加密后均可以順利的通過傳統防火墻,使檔案館的網絡安全一直受到嚴重的威脅,檔案館網絡體系結構特點決定其對應用數據流的監控能力無法滿足實際需要;而智能防火墻將統計、決策等智能算法應用于數據識別的過程中,對外來針對檔案館網絡的訪問進行有效的控制,使檔案館網絡特征值更加明顯,該檔案室應用的智能防火墻將和過濾技術有機結合,不僅可以使傳統防火墻在安全性方面的問題得到有效的解決,而且監控范圍涵蓋數據鏈路層至應用層全部,對TCP/IP協議層落實全面的安全控制,可見該檔案館的防火墻在應用人工智能后,客戶端配置任務得到大幅度的縮減,而且數據加密、解密等均可以在防火墻攔截過程中實現,虛擬網VPN得到強有力的支持,在智能防火墻的作用下,檔案館內部信息對外完全隱藏,服務的作用更加突出,在服務與包過濾服務的功能相融合的作用下,使該檔案館計算機網絡的安全性得到了明顯的提升。
3.1.2 智能入侵檢測系統
入侵檢測技術屬于積極的安全管理手段,是在危害發生前的有效預防,該檔案館在應用傳統入侵檢測技術時,通過對計算機內部的各類信息進行搜集,然后通過檢測引擎對各類信息中是否存在入侵進行判斷,進而針對檢測的誤用模式提出警告,控制臺結合監測結果確定相應的控制措施,可見在該檔案館應用的傳統入侵檢測中檢測的范圍、有效性等均不能得到有效的保證,使檔案館的網絡信息受到危害入侵的威脅。在該檔案館應用智能入侵檢測系統后,其將規則產生式專家系統、基于神經網絡的入侵檢測、數據挖掘技術共同應用于入侵檢測系統,使該檔案館的入侵檢測系統不僅可以有效的檢測出已知專家管理經驗中涉及的威脅,并制定出有效的解決方案,而且利用人工智能在記憶、學習、適應性等方面的突出功能,使各類未知的病毒、危害等也可以得到有效的識別,而且使病毒危害的范圍和程度得到有效的控制,結合該檔案館對人工智能的應用效果,類似的單位或組織也可以積極的應用,例如圖書館、會計師事務所等。
3.2 人工智能在計算機網絡管理與評價技術中的應用案例分析
某圖書館在向數字化發展的過程中,計算機網絡存儲的信息不斷增多,實施網絡管理和評價的難度不斷加大,為縮減圖書館計算機網絡管理的任務量,提升網絡管理和評價的質量,該圖書館積極應用人工智能相關技術,該圖書館應用的人工智能技術主要是專家知識庫的建立和應用,其首先將國內外專家已知的圖書館管理和評價經驗收集、整理、編碼,建立規則庫,在進行圖書館網絡管理的過程中,專家知識庫會通過對計算機網絡的自動檢索與專家知識庫中的編碼相匹配,為管理人員提供相對應的管理方案,并在管理人員同意的情況下完成網絡管理與評價,這不僅減輕了圖書館網絡管理人員的管理壓力,而且在提升管理效率和質量方面也發揮著積極的作用。
4 結論
通過上述分析可以發現,現階段人們已經認識到人工智能的優勢,并在實踐中有意識的將其應用于計算機網絡技術中,這對優化計算機網絡技術的性能具有積極的作用,所以應結合實際進一步的深化和優化,這是計算機網絡技術深化發展的具體體現。
參考文獻
[1]馬越.探討人工智能在計算機網絡技術中的應用[J].計算機光盤軟件與應用,2014,22:43-44.
[2]吳振宇.試析人工智能在計算機網絡技術中的運用問題[J].網絡安全技術與應用,2015,01:70+74.
[3]盧昌龍.人工智能及其在計算機網絡技術中的運用[J].電子制作,2015,05:87-88.
[4]譚仕平.人工智能在計算機網絡技術中的應用分析[J].硅谷,2013,18:11+4.
關鍵詞:職業學校;網絡安全;教育
調查數據顯示,截至2013年年底,中國互聯網的使用人數已經超過了6億,并且以每年新增5000萬左右人數的速度向上攀升,且調查發現處于10歲到29歲年齡段的群眾幾乎全部都在使用互聯網。互聯網為人們的日常生活、工作辦公以及自主學習都帶來了很多便捷,豐富的信息資源更加可以幫助學生認識外界的社會。但是凡事有利就有弊,網絡上雖然有著豐富的信息資源,但是網絡上的信息也魚龍混雜。學生經常接觸到不良的信息,對于思想發展并不夠成熟的青少年學生容易造成巨大的危害。公安機關公布的數據顯示,青少年犯罪者中有近八成的是受到網絡不良信息誘惑的學生。他們在網絡世界中受不良信息的蠱惑,沉迷于網絡或游戲當中。這類沉迷網絡的青少年十分容易進行搶劫、打架斗毆以及等犯罪行為。目前國內職業學校的辦學規模以及招生數量都日漸提高,在職業學校內如何展開網絡安全教育已經是一個十分重要的問題,指導青少年學生們的成長健康是職業學校義不容辭的責任。
一、國內青少年學生上網情況調查
筆者為了保證本篇文章的針對性,在青少年學生當中做了一個關于上網情況的調查。在上網地點的選項當中,90%的學生是在家上網;13%的學生是在網吧上網;4%的學生是在同學或者親戚家上網;僅僅只有2%的學生是在學校機房上網。在處理不良信息方法的選項當中,30%的學生表示從來不關心,隨它去;21%的學習表示擔心但是并不知道怎么解決;48%的學生會下載綠色上網軟件;還有2%的學生會惡作劇一般故意傳播給其他人。根據調查數據顯示,目前大部分青少年上網的時候依然存在許多的安全隱患。在上網地點的選擇當中,在家上網以及在網吧上網的選擇人數最多,而在家上網以及在網吧上網的時候缺乏家長的監管,極容易接觸到不良信息。同時大部分的青少年學生上網主要在使用聊天軟件或者玩網絡游戲,真正在網絡上自主學習的學生所占的比例較低。并且我們發現大部分的學生在面對不良信息的時候沒有引起重視,只是任由不良信息傳播而未告訴家長或老師。
二、目前國內職業學校網絡安全教育情況
目前國內的職業學校在安全教育方面的情況分為兩種:一種是高等專業人才教育方面的院校,大多數的院校將教育重點放在專業人才的培養方面,并沒有開設網絡安全專業,而就算有網絡安全專業的院校也普遍教材內容老舊、教學方法過時并且缺乏專業教師;另一種便是在普及教育方面,僅僅有一部分院校在通識教育當中開設了公選課,而在大部分院校當中僅僅是在計算機文化基礎課程當中捎帶提起,只是十分簡略地提到了一些網絡安全意識的基礎概念。以廣東省的一個職業院校為例,該院校在計算機學院中并沒有信息安全專業,而在應用數學學院當中有信息安全專業,但是每屆僅僅只招生兩個班,總共學生人數不過百人。該校在通識教育當中計算機學院開設有網絡與信息安全以及信息安全風險評估的公選課,但是每個學期的選修人數也不過三百左右。而計算機學院中每個學生都必修的計算機文化基礎課程中并未提及網絡安全教育內容,學校也并沒有在學生當中宣傳網絡安全意識的重要性。由此可見,國內大多數的職業學院對青少年網絡安全意識教育并未引起重視。國內的職業院校對于青少年網絡安全教育不夠重視,青少年學生的網絡安全意識不夠成熟,極容易出現安全隱患,比如:青少年網絡安全意識淡薄,缺少使用安全上網軟件的意識,對安全防護措施不夠重視;過于依賴安全上網軟件,大多數青少年學生在安裝了安全上網軟件之后便完全失去安全意識,甚至覺得上網安全跟自己無關了,當安全事故發生時便完全不知道如何應對;對于個人信息的保護意識薄弱,對于某些網站需要填寫身份證號、真實姓名、聯系電話以及真實家庭住址這些私密信息的時候沒有保護意識,極容易造成個人信息的泄露;青少年學生往往對他人的警惕性較低,極容易受到網友的欺騙;對網絡安全沒有責任心,青少年學生由于責任心不夠成熟且比較單純,經常不清楚自己在無心的時候已經造成了網絡安全事故的發生,并且影響到了其他網民的用網安全;青少年學生對于網絡安全的法律法規不夠了解,有部分學生因為好奇心、好勝心、沒有抵制住經濟利誘或者純粹是一種找樂子的心態而學習黑客知識或是鉆研電腦病毒知識,對他人的電腦進行入侵或者破壞,常常并不知道自己已經犯法。
三、網絡安全教育的重要性
目前,國內的大多數職業院校在網絡課程教學當中仍然在重點研究教學策略以及教學內容的質量,向學生們灌輸網絡發展的重要性以及網絡在全社會當中的作用,卻并未向學生們強調網絡不良信息的危害。許多的職業院校中的法律基礎公開課以及計算機網絡專業課沒有將網絡安全教育以及網絡安全法律法規教育加入教學大綱當中,更加不存在相關課程的制訂計劃。國內的大多數青少年學生都未能及時接受系統的網絡安全教育以及網絡安全法律法規教育,網絡安全意識薄弱,對于網絡犯罪的定義以及網絡犯罪的后果認知模糊。許多沉迷于網絡的青少年學生由于自身的思想并未成熟,受到網絡不良信息的影響,導致暴力、自私、孤僻甚至厭世的性格,還有的學生走上了犯罪的道路,由此可見網絡的不良信息對于思想并為發展成熟的青少年學生來說危害巨大。在這個網絡發展速度以及網絡普及速度都越來越快的社會,在職業院校中開展網絡安全教育是刻不容緩的,是保障青少年學生健康成長的重要教育任務。開設專門的網絡安全教育課程以及網絡安全法律法規課程,全面建立起青少年學生的網絡安全意識,提升青少年學生的網絡安全素質,是目前國內職業院校中最為重要的教育內容。只有在青少年學生中建立起明確的網絡安全意識,加強對青少年學生的網絡安全教育,才能夠避免青少年學生受到網絡不良信息的危害,才能夠幫助青少年學生們健康成長。
四、開展網絡安全教育的方法
1.網絡安全法律法規知識教育
在網絡世界當中最為顯著的標簽就是自由,但是網絡世界中的自由與現實世界當中的自由一樣需要有法律法規來進行約束。我國在互聯網方面有著明確的法律規定,讓互聯網世界有法可依、有法必依。職業院校需要針對網絡法律條例以及計算機法律基本知識對青少年學生進行系統的教育。教育內容應該以《刑法》《計算機軟件保護條例》《中國公用計算機互聯網國際聯網管理辦法》《計算機信息系統國際聯網保密管理規定》以及《中華人民共和國計算機信息系統安全保護條例》這些國家規定的網絡安全條例為基礎展開。
2.青少年學生網絡安全自律教育
青少年學生對于外界的誘惑力抵抗力較弱,尤其是在信息豐富的網絡世界。他們的好奇心使得他們容易沉迷于網絡世界,而青少年學生們的自我保護意識薄弱,網絡安全素質較低,極容易受到網絡不良信息的危害。首先職業院校網絡中心的防火墻需要加強對校內微機房的信息安全管理,加強校園網絡對外界網絡隔離的可靠性。同時職業院校需要加強對青少年學生網絡安全自律意識的教育,讓青少年學生們清楚地認識到網絡不良信息以及網絡攻擊的后果的嚴重性。除此之外要培養青少年學生們對網絡攻擊的防范技術,加強青少年學生們的防范意識,能夠有效地避免他們受到網絡不法分子的危害。
3.在教育當中多采用疏導的方法
青少年學生由于其自身的安全意識以及自律意識薄弱,容易沉迷于網絡,若是沒有及時發現并有效改善青少年學生的上網習慣,他們便容易走入歧途。家庭教育以及學校教育都極為重要,但是家庭教育以及學習教育的方法需要改善。大多數沉迷網絡的青少年學生容易出現交友觀以及性格的扭曲,需要通過疏導的方式讓他們宣泄出內心壓抑的情緒并指引他們去外面進行真實的人際交流,建立起正確的交友觀以及世界觀,幫助他們體驗到現實中人際交往的樂趣,建立起他們的自信心。若是采取強硬的教育方式反而容易導致青少年學生們因為逃避和叛逆心理更加抗拒真實世界。
五、小結
綜上所述,幫助青少年學生們建立起網絡安全意識,健全學生們的素養教育,已經成為了目前職業學校極為重要的任務。在網絡安全教育方面,西方發達國家對此極其重視,而國內對于網絡安全教育的開展和重視程度都略微低于國外,職業院校學生們的網絡安全意識都不夠成熟。因而職業院校應該全面開展網絡安全教育,重點培養青少年學生們的網絡安全意識,讓學生們避免受到網絡不良信息的侵害,幫助學生們健康成長。
參考文獻:
[1]張立敏,李玉堂,趙瑞蘭等.北京市順義區中學生健康危險行為現狀調查[J].職業與健康,2011(10).
[2]陳瑞.中職校開展職業安全健康教育的路徑探索——以南京市莫愁中等專業學校為例[J].江蘇教育研究,2014(30).
【關鍵詞】MPLS VPN IP 信息共享
一、網絡現狀與需求分析
縣衛生網的現狀主要依托合作醫療專網與所屬醫療單位的連接,建立了縣級醫院―鎮、街道衛生院--村、社區衛生室三級網絡,隨著醫改信息化的深入,現在的網絡無法滿足城鄉居民跨地域、跨機構、跨系統就醫轉診實時結報的要求。在此背景下,我縣決定建立以電子健康檔案和電子病歷二個醫藥衛生基礎數據資源庫為核心,連接所屬醫療單位的衛生信息專網;實現區域內衛生信息互送共享,城鄉居民醫療異地網絡出院即時結報。根據現有的網絡情況系統業務需求網絡安全性與組網成本等因素,提出基于MPLS VPN技術構建衛生信息專網。
二、Mpls vpn 簡介
MPLS是一種特殊的轉發機制,兼有基于第二層交換的分組轉發技術和第三層路由選擇技術的優點,為進入網絡中的ip數據包分配標記,并通過對標記的交換實現ip數據包的轉發。Mpls vpn是指采用MPLS技術在骨干的寬帶IP網絡上構建客戶IP專網,實現跨地域、安全、高速、可靠的數據、語音、圖像多業務通信,并結合差別服務、流量工程等相關技術,將公眾網可靠的性能、良好的擴展性、豐富的功能與專用網的安全 、靈活、高效結合在一起,為用戶提供高質量的服務。網絡拓撲圖見圖1。
VRF(Virtual Routing Forwarding),VPN路由轉發表,也稱VPN-instance(VPN實例)。是PE為直接相連的業務點建立并維護的一個專門實體,每個業務點在PE上都有自己的VPN-instance,每個VPN-instance包含到一個或多個與該PE直接相連的CE的路由和轉發表,另外如果要實現同一VPN各個業務點間的互通,該VPN-instance還就應該包含連接在其他PE上的發出該VPN的業務點的路由信息。
MPLS-VPN優勢
(一)網絡的寬帶以及可靠性:擁有足夠的帶寬和可靠的傳輸質量;
(二)安全性高:采用MPLS作為通道機制實現透明報文傳輸,MPLS的標簽交換路徑(LSP)具有與FR和ATM VC相類似的安全性;
(三)成本低:在組網增加節點時,只需增加遠端設備,中心無需增加設備。
(四)擴展性強:從網絡的帶寬平滑升級到網絡的新增接入節點都可以方便靈活的擴展。
三、基于MPLS VPN 構建縣衛生信息專網
(一)網絡結構
嘉善衛生信息專網租用縣廣電臺政務云計算數據中心,搭建電子健康檔案和電子病歷兩個醫藥衛生基礎數據資源庫,通過點對點裸光纖接入嘉興衛生專網,出口為1G MPLS VPN專線,縣衛生局及各級醫療單位通過廣電城域網就近接入。網絡拓撲圖如圖2。
(二)IP地址規劃
IP地址的合理規劃是網絡建設的重要一環,規劃的好壞關系到網絡的性能、擴展、管理,統一的規劃便于路由信息的匯聚,便于網絡信息安全的有效控制,降低網絡擴展的復雜性。
(三)路由設計
PE與CE之間采用靜態路由,不同的PE、P之間采用bgp協議分發路由信息。CE將自己的網絡通告給PE,PE從CE那里學習客戶網絡,把客戶網絡的路由信息放進給為用戶配置的VPN實例jsws,通過MP-BGP將這些VRF路由信息通告給其他PE,并完成VPN實例的更新。
(四)網絡安全防御控制
雖然衛生網接入的是省市衛生專網與內網,但不能忽視網絡對數據資源庫帶來的安全隱患。不安全因素主要表現為未授權的網絡訪問與病毒黑客等攻擊。針對上述情況在數據中心前端布置高性能防火墻系統,提供精細的網絡控制,防止非法訪問與攻擊。嘉善衛生信息專網已開展應用,相關醫療單位機構陸續接入專網,基本實現了區域內衛生信息互送共享、城鄉居民醫療異地就診實時結報,為群眾就醫和享受醫療保障提供了更多的便利。
【關鍵詞】 環路 生成樹協議(STP) 訪問控制列表(ACL) 網橋協議數據單元(BPDU)
引言
當前,整個社會已步入信息化時代,廣大政府、企事業單位、各類組織團體越來越依賴于計算機網絡開展自己的業務活動。但因單位內部對辦公室內的網絡環境管理不善,極易發生小交換機和無線路由器泛濫、網線亂接亂插的情況。尤其是在廣大政府、事業單位的信息化網絡應用環境中,普遍會有內網和外網的區分,各辦公室的墻上有內、外網兩套網絡插口。外網用于連接訪問互聯網,內網則是內部的業務網絡,要與互聯網進行隔離。混亂的辦公室網絡環境中一但發生內、外兩個網絡間的橋接或環路則會比單一網絡環境引發更為復雜的問題。一方面是環路會造成廣播風暴,嚴重時會使整個網絡陷入癱瘓;另一方面兩網間的橋接會破壞內網與互聯網隔離的要求,引發網絡信息安全的隱患或事故。因此,政府部門除開展辦公室網絡使用環境的整治、加強管理力度以外,很迫切的需要一種簡便易行的方法從技術的角度解決內、外網間的橋接或環路問題。
我們知道生成樹協議(STP)是應用于以太網中的一種鏈路管理協議,它能夠為網絡提供路徑冗余的同時有效防止環路的產生。本文的主要思路是研究一種在內、外網兩個不同網絡中合理利用STP技術,消除環路且避免兩個網絡間的互相橋接連通。而這就需要本文所討論的另一項網絡技術:訪問控制列表(ACL)[1]。
一、內、外網間橋接或環路的分析
1.1故障實例
某政府單位的網絡連接如圖1所示。該單位有互聯網(外網)和政務網(內網)兩套網絡,并分別擁有獨立的網絡設備和布線系統。主樓采用網線匯聚各樓層交換機,北樓和南樓采用樓間光纜實現和匯聚交換機的連接。在每個辦公室里,墻壁上安裝有雙口信息插座,可提供辦公室內的微機有選擇的接入外網或內網。外網對每個樓層劃分了VLAN及局域網地址段,內網因接入的微機較少未劃分VLAN且整體為一個地址段。
某日該單位反映其位于主樓五樓的某辦公室無法連接互聯網。網絡維護人員現場檢查時很意外的發現,從互聯網匯聚交換機上看該辦公室微機的MAC地址竟然從北樓與匯聚交換機的接口上來,而北樓的交換機是通過樓間光纜連接到匯聚交換機的。維護人員將這臺微機配置上北樓所屬的IP地址段居然還能正常上網!再進一步追蹤MAC地址來源甚至能確定到是從北樓接入層交換機一個具體接口上來的。毫無疑問主樓五樓辦公室的網線肯定是接入到了五樓的交換機,不可能有網線連接到北樓的交換機上,但這種不合常理的情況是如何發生的呢?后來經過維護人員追蹤MAC地址,核對端口與辦公室的對應資料,以及到北樓現場查看,最后終于弄清楚了本次故障發生的蹊蹺之處。故障發生時的網絡連接情況如圖2所示。
該故障發生時的奇怪現象主要兩個因素共同導致:
1、北樓某辦公室為圖方便將墻壁上內、外網兩個插口的網線接到同一臺小交換機上,而后不管內網微機還是外網微機都統統連到了這臺小交換機上。
2、主樓五樓反映故障的這間辦公室是將墻壁上政務網插口接了小交換機,又把需要上互聯網的微機(電腦A)接到小交換機上。
首先,電腦A由于實際接到了五樓政務網交換機上,當然使用五樓互聯網IP地址是無法上網的,同時在五樓互聯網接入交換機上也自然看不到該微機的MAC地址上來。但從電腦A連接網絡的整個情況來看,它最終還是能接通到互聯網匯聚交換機上來,這條路徑是這樣的:電腦A辦公室小交換機墻壁政務網插口五樓政務網接入交換機政務網匯聚交換機北樓政務網接入交換機北樓辦公室墻壁政務網插口北樓辦公室小交換機北樓辦公室墻壁互聯網插口北樓互聯網接入交換機樓間光纜主樓互聯網匯聚交換機互聯網。簡單的說就是北樓某辦公室的小交換機起到了橋接的作用,將內、外兩個網合成了一個,不僅是引發了古怪的故障,更重要的是破壞了政務網(內網)要與互聯網隔離的要求,造成了嚴重的網絡信息安全隱患。另一方面我們看圖2中電腦A所在辦公室如果將墻壁互聯網插口也與小交換機相連(網線A虛線所示),將會又在內、外網交換機之間增加一條橋接通道,從而在整個內、外網絡上形成一個大的環路,而環路的形成無疑會給網絡帶來廣播風暴、丟包甚至整個網絡的癱瘓。
1.2橋接或環路發生的場景
由于缺乏網絡接入的規范管理以及專業技術人員的指導,很多政府部門和企事業單位的辦公室網絡環境比較混亂,造成橋接和環路隱患的場景五花八門。稍做歸納大致有如圖3所示的幾種典型情況。簡要描述如表1所列。
1.3橋接或環路引發的嚴重問題
由1.2節分析可知,兩網間橋接或環路主要會引發兩類問題:
1.環路造成廣播風暴,擁塞網絡。
如圖4所示,網絡上的主機在接入網絡后會將自己的MAC地址廣播出去,以太網交換機接收到該廣播后會記錄學習到的該主機MAC地址以及端口,并將該廣播從其它端口轉發出去。如果網絡中存在環路,則轉發出去的幀會在另一個端口被它自己收到,將會引發重新記錄該MAC地址與學習到該MAC的端口對應信息,并再次將該數據幀進行轉發。由此會引發一系列的連鎖反應,一方面造成MAC地址表不穩定,無法確定一個MAC地址所對應的主機真實情況是連接在哪個端口,引起通信異常,造成丟包;另一方面連鎖反應的廣播包將會很快充斥整個網絡,消耗設備CPU資源,并占用大量帶寬,進而引起整個網絡的擁塞,直至網絡癱瘓[2]。
2.橋接造成內外網隔離失效,嚴重威脅信息安全
2001年1月1日,國家保密局頒布實施的《計算機信息系統國際互聯網保密管理規定》中明確規定:“電子政務網絡由政務內網和政務外網構成,兩網之間物理隔離,政務外網與互聯網之間邏輯隔離。”[3]由此可見,內、外網隔離是有效保障網絡信息安全的必要措施。同時據有關調查顯示,網絡安全攻擊事件中有70%都是由于內部網絡的安全隱患引發的。互聯網的開放性意味著上網用機是最容易被黑客入侵或因中病毒、木馬而成為黑客的肉雞,如果內網與外網之間不能嚴格有效的隔離,這些已被攻破的微機就會成為黑客進一步攻擊內部網絡的跳板,有著極大的危害性。因為內、外網交換機間的意外橋接造成內、外網隔離失效,是無法依靠已投入巨資部署在網絡邊緣的安全設備、隔離設備等來彌補的。
1.4橋接或環路的一般處理手段
一般情況下,單一網絡環境下出現的網絡環路問題主要是1.2節中描述的(C)(E)(F)三類場景。大多數辦公室內安裝的小交換機為傻瓜交換機,不支持生成樹協議的部署,通過對上層接入、匯聚交換機上啟用STP協議可以解決(E)(F)兩類場景的環路。(C)類環路場景(單端口環路)可以在接入交換機上啟用單端口環路檢測功能。
對于不能在上層設備啟用STP的情況下就只有依靠人工來排查各類環路故障,人工排查的主要手段有:
1.查看端口指示燈狀態,判斷端口流量大小。
2.登錄并查詢交換機端口流量統計信息。
3.跟蹤查詢交換機學習MAC地址的來源端口
4.逐個撥插網絡接頭觀察網絡是否恢復
人工排查環路不僅僅是具有工作量大,耗時,在網絡規模大時難以做到徹底等缺點。當在內、外網環境下僅有一處發生1.2節中所述(A)(B)(D)三類情況時,內、外網會被橋接成一個大網,但是又沒有發生環路,所以此時僅僅是發生了網絡安全的隱患問題,并沒有發生影響網絡性能或能造成擁塞的網絡故障。這時人工排查甚至都不能意識到網絡已發生了問題。
所以找到一種簡便易行的,通過技術手段排查處理內、外兩網橋接或環路的手段迫在眉睫。簡便易行就是要求解決方案的著手點要從已有的成熟技術且現有的網絡設備已然支持的特性開始,在這里我把目光放在了生成樹協議和二層訪問控制列表上。
二、技術手段解決內、外網間橋接或環路
2.1技術原理
2.1.1生成樹協議(STP)
為了解決冗余鏈路引起的問題,生成樹協議 STP ( Spanning Tree Protocol)應運而生。STP協議的基本思想十分簡單,是將一個存在物理環路的交換網絡變成一個沒有環路的邏輯樹型網絡,達到邏輯上裁剪冗余環路,同時物理上實現鏈路備份和路徑最優化的技術[4]。在網絡中,運行了生成樹協議的交換機會推舉出一臺根網橋,根網橋是LAN中的所有其它網橋需通過的最短路徑抵達的網橋。LAN中,運行了生成樹協議的交換機會計算自身通向根網橋的各條路徑的開銷。除根網橋以外的每臺交換機都會保留具有最低開銷的路徑,并會切斷所有其它路徑。這樣使得接入網絡的計算機在與其它計算機通訊時,只有一條鏈路生效,既保障了網絡的正常運行,又保障了冗余能力。
生成樹協議通過交換網橋協議數據單元(BPDU)來協調工作。STP BPDU是一種二層報文,目的MAC是多播地址01 80 C2 00 00 00,所有支持STP協議的交換機都會接收并處理收到的BPDU報文。生成樹協議工作時,交換機的每一個端口都會經歷一系列的生成樹狀態,狀態流程圖如圖5所示[1]。
2.1.2訪問控制列表(ACL)
ACL(Access Control List,訪問控制列表)主要用來實現數據流識別功能。各網絡間的通信、內外網絡的通信都是企事業單位的網絡中必不可少的業務需求,但為了保證內網的安全性,需要通過安全策略來使非授權用戶只能訪問特定的網絡資源,從而達到對訪問進行控制的目的[5]。網絡設備為了過濾數據包,需要配置一系列的匹配規則,以識別需要過濾的報文。由ACL定義的數據包匹配規則,可以被其它需要對流量進行區分的功能引用。根據應用目的可以將ACL分為以下幾種:
1.三層ACL,根據三層源IP地址設置規則。
2.高級ACL,根據數據包的源和目的IP地址信息、IP承載的協議類型、協議特性等設置規則。
3.二層ACL,根據源和目的的MAC地址、VLAN優先級、二層協議類型等設置規則。
4.用戶自定義ACL,以數據包的頭部為基準,指定特定位置截取的字符串與用戶定義的字符串進行比較。
2.2解決方法研究
2.2.1解決方法思路
要利用生成樹協議來達到剪裁冗余鏈路消除環路的目的就要在單位信息機房內、外網兩個網絡的二層匯聚交換機之間創建一個人為的連接,使其能夠互通生成樹的網橋協議數據單元(BPDU),但同時出于網絡間隔離的需要,又不能讓該連接完全提供兩個不同網絡間的信息通信。因此考慮借助二層訪問控制列表來實現數據幀的過濾。由于STP BPDU是要進行目標MAC地址是01-80-C2-00-00-00的廣播,所以確定可以通過對該目的MAC地址過濾的ACL允許BPDU傳遞,而通過對其它源和目的MAC地址是任意的數據幀進行阻斷的ACL達到隔離通信的目的。
2.2.2實驗環境搭建
為了驗證2.2.1小節設想的解決思路,特采用最普通的二層交換機設備設計了一個實驗方案,實驗設備連接如圖6所示。
2.2.3實驗過程記錄
表2 實驗操作記錄表
三、結論
通過對內、外網間橋接或環路的引發的故障實例分析,對各類橋接或環路發生的場景進行研究,提出了基于STP及ACL兩項以太網交換機功能解決現實問題的思路,針對設想的思路組織了一套簡單的實驗方案進行驗證。驗證結果表明該解決方法可以較圓滿的解決1.2節描述的(A)(B)(D)(E)(F)的橋接或環路場景。對于(C)類的場景,可以在接入交換機上配置單端口檢測(loopback-detection)功能來解決。本文通過簡便易行的技術手段解決內、外網間橋接和環路問題,極大的提高了網絡的可靠性。并且在橋接或環路發生時,根據被STP協議置于非轉發狀態的端口,可以很容易的找到環路發生的位置并人工拆除引發環路的網線,但與采用該措施前相比,處理所需要的人工工作量已經大幅的減少了。
參 考 文 獻
[1] Gary A. work Warrior-思科網絡工程師必備手冊[M].第2版:人民郵電出版社,2012:80-105
[2] 黃向農,羅必然.網絡環路輕視不得[J].網管員世界,2006(1):99-101
[3] 張永鋒.網絡信息安全探討與隔離技術的應用[J].中國新通信,2012(22):61-62
1攻擊圖相關知識
1.1攻擊圖的概念最早的攻擊圖由Cunningham等于1985年提出,攻擊圖是一種圖形描述形式,當攻擊者企圖入侵計算機網絡時,可表示能否從開始狀態到達最終狀態的一種流程。攻擊者可以利用已經獲取訪問資格的為起點,目的在于作為下一次發起攻擊,以使達到最終的攻擊目標。一個完整的攻擊圖可以表示所有可能達到目的的操作序列。目前在攻擊圖方面的研究已初有成果,總體來講,攻擊圖提供給我們這樣的思路,從已知的方面去構造出一種模型,這種模型對現實網絡中的一些要素進行簡化或理想化,這樣做就可以專注于網絡安全中最重要或比較重要的環節,暫時不考慮不重要的因素,專注于考慮所研究的網絡的安全性。攻擊圖應用范圍很廣,目前已應用于經濟領域的方方面面,在計算機網絡中,不僅用于對系統安全性的分析和入侵檢測系統的設計,攻擊圖作為理論研究方面的圖論方法,還可可以應用于很多方面,諸如任何只要包含多個節點的網絡或系統都可以應用攻擊圖來建模并進行整體方面的研究,從而達到各自的目的。
1.2攻擊圖發展現狀一個完整的攻擊圖方法最早由Kuang提出,這種方法擴展到了一種基于NetKuang的網絡系統,這種系統已被用于分析網絡配置的脆弱性。在上世紀末Swiler等提出了一種攻擊圖方法,這種方法以解決安全分析中把網絡拓撲信息也考慮在內為目的。為了自動生成網絡攻擊圖,同時一種基于模型檢測器的網絡圖方法被Sheyner、Jha、Ritchey等人提出。雖然這種技術能夠自動生成攻擊圖,但為了使獲取的攻擊場景最大化,模型的狀態集中數目也可能最大化,可能的情況下最好能包含所有的狀態,但這里又存在一個致命的問題,在大大規模網絡中這往往是不可能的問題。基于這些存在問題,上述學者提出了很多辦法:為了使所獲取的攻擊圖更簡單,學者Sheyner提出了二分決策圖(BDD)模式以求對模型檢測算法復雜性的最小值,Ammann提出了一種假設問題,即網絡攻擊的單調性,用來控制攻擊圖生成過程;TaoZhang等提出了另一種思路,即通過“分析主機鏈路關系攻擊特征構建網絡安全狀態模型前向搜索、廣度優先、深度限制來生成攻擊路徑的步驟來解決問題;MelissaDanforth提出了一種算法,這種算法可生成實現可測的攻擊圖,具體思想是通過抽象模型和聚類方法來降低原子攻擊的數目和機器的數;KyleIngols出提出了一種算法,這種算法是基于多前置條件的網絡攻擊圖生成方法;RonaldW.Ritchey提出了一種以主機為中心的算法,這種算法以網絡主機為中心,不斷擴展到各終端上,最終生成攻擊圖,這種算法解決了復雜性問題,適用于大型網絡。隨著網絡規模的增大,基于網絡攻擊圖技術的研究也越來越多,可以這樣講,近幾年研究成果差不多近似線性增加。
1.3現有攻擊圖需解決的問題現有的網絡攻擊方法有很多,主要集中于攻擊語言、攻擊樹、攻擊網、狀態轉移圖和攻擊圖等。現有攻擊圖生成方法中普遍采用漏洞掃描工具獲得網絡可達性信息,但是通過網絡掃描獲得可達信息存在以下不足之處,即信息健狀性、信息及時性、信息的穩定性。具體表現在信息完整性的欠缺,一方面,通常只允許一部分主機或端口連接,因而它只能夠發現當前執行掃描的主機隱藏的連接限制,無法得知其他主機存在的連接限制;另一方面,耗時長,網絡掃描通常掃描大量甚至全部端口,開銷很大,耗時很長,這就是傳統防火最大的缺陷。如使用Nessus技術對跨網段的20臺主機的掃描持續了6分10秒,可見若對于越來越大的網絡規模,在大型的企業中跨多段的形勢也成必然的情況下,掃描時間上將讓人無法接受,甚至超出了無法忍受的狀態;抗干擾能力差,大量的端口掃描占用了網絡帶寬,對正常流量產生干擾,可能影響正常的網絡訪問。
2攻擊圖算法建模過程
網絡攻擊事件的波姿(Büchi)模型描述在攻擊圖建模中,出現了很多有價值的成果,以文獻為例,該文獻網絡攻擊圖與波姿模型有機的結合,一方面將把需要把網絡攻擊事件進行抽象為波姿模型,另一方面把網絡攻擊事件中發生變化的各種因素抽象為波姿自動機中的狀態。從物理概念上,這些序列就是攻擊者發動的一系列攻擊步驟,是網絡攻擊事件系統可能的動作的子集,也就是說波姿自動機識別的語言是網絡攻擊事件系統的可能動作的子集。因此,從某種意義上講這種波姿自動機是當前網絡攻擊事件所創建的波姿模型。基于上述描述,可以這樣認為,某網絡攻擊事件的模型一般由侵略者狀態、主機狀態、轉換條件三個因素構成:侵略者的狀態,也即侵略者發起侵略和侵略過程中所在的主機;主機的狀態,包括侵略者在該主機上獲得的權限,主機上存在的漏洞情況以及當前能被利用的侵略方法等;轉換條件,也即侵略者使用的侵略方法的前置條件和后置條件。
3總結
網絡會計信息是任何一個單位的核心信息,對這些信息要加以層層防范,在網絡信息管理系統中,采用攻擊圖人侵檢測技術具有一定的價值。攻擊圖一般是采用有向圖來表示的,學者們往往根據有向圖中的點和邊的具體意義來進行設計模型,攻擊圖所形成的攻擊路徑便很好的表示出了黑客可能的攻擊,形成網絡會計的整體安全防火墻,為會計信息提供預測防護。本文提出的算法基于攻擊圖的網絡安全分析方法現在還不是很完善,針對分析方法中的攻擊圖的動生成算法還有待改進,主要表現為時間復雜度和空間復雜度均有待優化,這是下一步值得深入研究和學習的問題。
作者:饒正嬋蒲天銀田華單位:銅仁學院信息工程學院
檔案信息化是指運用現代信息技術將傳統的檔案實物、文本,包括圖片、文件、信函及聲音資料等轉化為相對應的數字信息,在檔案管理活動中全面應用現代信息技術,對檔案信息資源進行處置、管理和為社會提供服務,加速實現檔案管理現代化的進程。實現檔案管理低碳信息化的必要性主要體現在節約資源、降低能耗、減少污染等方面。在我國實行可持續發展戰略中,“低碳”理念的培養關系著我國未來能否持續有效的發展。同樣,在檔案管理信息化建設中,我們應該同樣重視低碳的作用。走低碳發展道路,既符合當前氣候環境合作的要求,也符合當前經濟社會可持續發展的路徑。
二、低碳信息化的三大原則
應開展檔案管理信息化低碳制度的可行性研究,在檔案信息化管理相關制度修訂中,增加低碳排放的有關規定,使電子文件的歸檔、檔案數字化、數字化檔案的保管、傳遞、利用等工作都能實現有序、標準和規范,為推動低碳信息化做保障。
三、低碳信息化的實現路徑
建設高校檔案管理領域的低碳信息化,實現檔案管理的可持續發展,要從不斷改進檔案管理現有的軟、硬件環境入手,改進檔案管理模式,實現建設效益化、管理低碳化、歸檔自動化、館藏數字化、利用網絡化。(一)建設的效益化。在檔案信息化建設過程中,要從節約成本、提高效益等方面來考慮最優化路徑的設計,系統評估、比較研究,達到事半功倍的目的。如在軟硬件設備等的投入方面,要建立合理的資金投入預決算制度,加強各項經費管理,使每一分錢都發揮其最大效益,以有限的投入達到產出最好的服務效果和最大的利用者滿意度。(二)管理的低碳化。引入先進、科學的管理理念,提倡“低碳管理”的理念和模式,提高檔案管理的效益和水平,降低檔案收集、整理、查閱、利用等日常檔案管理流程中不必要的能耗。例如,檔案查閱是檔案管理工作的一項重要內容,查閱工作的難易取決于檔案管理系統的合理布局。而改善布局的有效方法就是加強對查閱資料的統計分析,利用這些統計數據,重新設計檔案利用的流向方式和分類布局。(三)歸檔的自動化。目前許多高校都在大力推進辦公文件自動流轉歸檔系統的建設,這較好地滿足了不斷增加的電子文件的管理和利用需求。但高校要歸檔的材料不只局限于文書性材料,還有大量的教學、科研、財會、出版等專門性材料,使得歸檔自動化的難度大大提高。應通過對電子文件歸檔管理辦法與技術手段的研究,探討高校OA系統與教學、科研、財務等業務系統信息的有效集成和共享在文件收集歸檔環節的應用,逐步實現歸檔工作的自動化,從源頭上解決傳統歸檔工作需要耗費大量人力、物力,成本高、效率低的問題。(四)館藏的數字化。隨著國內信息化工作的穩步推進,高校檔案界對檔案數字化尤其重視,但在此過程中,或多或少地存在著各種資源浪費,這種浪費大多是可以避免的。因此,在館藏數字化方面,重點是要更新觀念意識,采取積極的管理手段和技術措施,實施低碳、經濟、高效的數字化。一方面,應通過歸檔鑒定、篩選等環節,對檔案進行數字化的必要性研究,制定科學合理的數字化范圍,確定需要數字化的檔案材料;另一方面,通過對數字手段的規范研究,在數字化過程中采用無損、經濟、高效的數字化及存儲方案,將館藏紙質檔案轉換成數字影像文檔,實現“以文本為檢索對象,以原稿圖像為檢索結果”的全文檢索,這樣既可以降低數字化過程中的資源消耗,提高資源利用率,同時也可以很好地保存紙質檔案原件。(五)利用的網絡化。檔案信息的網絡利用高度依賴于先進的技術手段,因此其重點和難點在于信息技術的突破。例如技術標準的統一、身份信息的網絡認證、電子簽章的有效驗證、傳輸利用過程的信息保密、網絡系統的安全保障等問題,這些都是開展網絡化迫切解決的問題。通過對電子文件、電子公文查閱利用辦法與技術手段的研究,改變傳統檔案利用方式;應用檔案門戶網站、檔案信息化應用系統等平臺,實現檔案的在線網絡利用,降低打印、復印紙張的頻率。通過對檔案信息資源與公共信息資源數據庫的關系研究,構建起高校檔案共享及遠程利用系統,實現各高校之間檔案信息的共享和傳輸,優化信息資源配置,以達到查閱利用高效化、低碳化的目的。
四、低碳信息化的保障措施
為保障低碳信息化的有效實施,就需要妥善解決觀念、技術條件、安全保障等諸多方面的問題:
(一)觀念意識創新。低碳視角下的檔案信息化建設,不僅需要檔案人員主動學習新的信息技術,熟練運用科技手段完成歸檔管理與服務利用工作,還需要檔案人員將低碳意識融入到日常工作中,在開展信息化工作時切實做到低碳、高效。這就需要檔案人員及時更新觀念意識,本著低碳、高效的工作思路,科學、規范、創造性地開展檔案信息化工作,做節能減排的有心人。
(二)信息化平臺建設。在檔案信息化應用平臺建設方面,可循序漸進、分步驟、分階段實施。早期可依托數據提取和系統對接等手段,集成和共享高校內部各業務系統信息,并建立起功能完善的檔案門戶網站及檔案網絡系統。中期以辦公自動化建設為契機,開發集辦公、流轉、歸檔為一體的辦公文件自動流轉歸檔系統。后期則在突破技術瓶頸的情況下,建立起以網絡利用為目標的檔案信息資源數據庫,如智能數字檔案館。
關鍵詞:高職院校 安全保衛 突出問題 防范對策
中圖分類號:G647 文獻標識碼:A 文章編號:1674-098X(2016)10(b)-0077-02
隨著高等教育大眾化進程的推進,高職院校的校園面積不斷擴大,賦予了自主招生的權力以后,導致學生人數逐年劇增,學生的素質層次與本科院校相比更顯出參差不齊,從而使高職院校安全保衛工作中發生的新情況和新問題也層出不窮。因此,新時期如何加強高職院校安全防范工作,健全科學的高職院校安全保衛工作機制和安全教育制度,已成為當下高職院校安全保衛工作的重中之重。文章通過分析當前高職院校普遍存在的安全問題,并結合筆者學院安保工作的實際情況,從技防建設、網絡安全建設、安保隊伍建設等方面剖析了高職院校普遍存在的安全問題,在此基礎上闡述了具有針對性的解決方法。
1 當前高職院校安全工作問題分析
1.1 技防建設存在一定滯后
隨著科學技術的發展與應用逐步深入,尤其是信息技術的發展,當前的違法手段也日益變得多樣化,而高職院校的安保條件由于種種原因,在技防建設方面已經落后于現狀,防范手段嚴重滯后。
首先是技防單元之間缺乏聯動性。完整的技防體系涉及到學校安防的各大模塊,然而當前不少高職院校的技防體系缺乏整體性,系統之間難以實現良好的對接和聯動。
其次是技防設備性能落后,難以滿足當前安全管理的需求。不少高職院校在部署校園安全管理系統時,并未進行整體的構建設計,這樣很容易導致技防系統技術性能落后,監控點難以覆蓋足夠的區域等現象發生,技防系統的性能也難以滿足不斷發展的安全監控要求。
1.2 面臨網絡“微時代”的安全問題
隨著互聯網、電信業的迅猛發展,“微時代”眾多的網絡新媒體對大學生思想、生活、學習的影響是把“雙刃劍”,它在為大學生便捷、及時地獲取知識信息、了解社會、交結朋友帶來機遇的同時,也使得當今高校的安全管理工作面臨著前所未有的挑戰。目前“微時代”給高校安全帶來的危險主要有:(1)各種敵對勢力通過“微時代”對廣大青年學生進行著、反政府思想意識的傳播和滲透;(2)在“微時代”里犯罪分子利用電話、短信、網絡等方式進行虛假信息詐騙十分猖獗,而大學作為電信網絡最集中的地方,大學生也是受害最嚴重的群體;(3)在高等教育發展過程中涉及到學生切身利益問題以及學生非正常死亡等一些突發事件的網絡輿情,通過微信、微博、QQ等新媒體往往會起到“推波助瀾”的作用,一旦控制不好,就會非常危險。
1.3 消防安全管理水平不高
高職院校當前正處于蓬勃發展期,與外界接觸范圍廣,聯系較為密切,情況較為復雜,主要精力集中在設施建設、教學科研等方面,對消防工作重視不夠,人、財、物投入嚴重不足。同時學校消防安全管理人員專業化水平不高、師生員工的消防安全意識淡薄、學生違規違章用電、實驗室化學品及危險品儲存不當等問題,給高校消防安全帶來了極大隱患。
1.4 院校領導對安全保衛工作重視不夠
就大多數高職院校而言,學校領導對安全保衛工作重視不夠,對學校安全工作存在著“說起來重要,做起來次要,忙起來不要”的思想。主要表現在安全保衛工作經費投入不足,工作人員年齡偏大、學歷偏低、技能不足等。
2 高職院校安全管理工作創新路徑
2.1 以隊伍建設為抓手,提升安全管理能力
做好安全管理工作,關鍵在人,故要重點抓好保衛人員、保安人員、學工人員及學生干部。要充分利用高校的優勢,通過在職培訓、人才引進等途徑,加強安全管理隊伍建設,建立一支懂業務、善創新、會操作、嚴律己的高素質隊伍,逐步使安全管理人員由“體力型”“勞力型”向“智能型”“智力型”轉變。為了提升學院安保能力,筆者學院在加強安全管理隊伍建設過程中,不斷對專兼職安全管理人員進行教育和培訓,重點專門招聘一名公安專業畢業的大學生,有力帶動了學院保衛隊伍能力建設。
2.2 以“三防”建設為基礎,構建立體化安防體系
高校安全管理防控體系主要由人防、物防、技防三方面組成,建立高校的校園安全管理防控體系必須構建以校園“110”指揮中心為樞紐,實現人防、物防、技防的有機結合。該院根據平安校園建設要求,在加強人防、物防的基礎上,加大對技防設施的投入力度,積極實施和推進科技創安工程,逐步建立起中央監控室及重點要害部位的安全技術防范體系,全面提升安全防范措施的科技含量。近兩年重點建設了防盜報警系統、視頻監控系統、消防報警系統及門禁道閘系統等,有力提高了該院危機管理能力和突發事件處理的快速反應能力。
2.3 加強情報信息,健全信息預警機制
情報信息工作不H是安全保衛工作的基礎,更是校園穩定的生命線,因此平時一定要做到信息靈敏、反應迅速、上報及時,要做到廣開信息來源,拓寬信息渠道,增強信息意識。在實際工作中要將工作重心下移到各二級院系,與有關老師、輔導員建立良好的人際關系,與宣傳部、學工處、團委要加強交流溝通,只有這樣才能為拓寬信息渠道奠定良好的基礎。該院從2006年就成立了一支由學工干部、二級院系輔導員和學生骨干組成的信息員隊伍,建立了上下貫通、橫向溝通的二級信息員網絡,形成了交錯通暢的信息網絡。
2.4 加強網絡安全教育,建立網絡安全監管機制
當前大學生幾乎人人涉足網絡,雖然他們有駕馭網絡的技能,但對維護網絡安全的法律法規知之甚少,網絡安全防范意識淡薄。因此,要想學生正確利用網絡資源,合理規劃大學生涯,必須從學生內因上加強網絡安全教育,讓大學生自覺樹立責任意識。目前高職院校安全教育工作基本上是由班主任和輔導員承擔,但由于他們還肩負著大量繁雜的日常事務工作,導致安全教育工作出現空當,因此學校應根據自身條件,通過專兼聘等形式,建立一支具有較高水平的網絡安全教育隊伍。
為了凈化校園網絡環境,還應建立校園網絡監管機制。一是成立網絡輿情監管組織。組織宣傳部、學工處、團委、信息中心和各院系負責學生工作的干部以及學生骨干,加強網絡輿情審查和排查,構筑校園網絡“防火墻”;二是健全網絡管理制度。加強網絡管理制度建設,是實現校園網絡安全發展和創新的根本保證,只有不斷完善網絡管理規章制度,才能使網絡安全工作高效有序開展。
總之,隨著社會的發展,高職院校必將會出現新的問題和矛盾,只要能夠認真對待和分析這些問題產生的原因,尋找科學合理的解決辦法,任何問題和矛盾都可迎刃而解。
參考文獻
[1] 張永州.進一步做好新形勢下的高職院校保衛工作[M]//王文湛.學校安全工作指南.北京:光明日報出版社,2005.
嘉興煙草的網絡經過十多年的建設,硬件上逐步完善,主干線路上的路由器、交換機等設備全部采用雙機熱備,廣域網的線路帶寬達到了16M+16M+2M+2M四條線路熱備,城域網采用裸光纖通信,配送中心、專賣指揮中心等關鍵場所采用1000M通信,滿足了當前視頻與數據通信的需要,其網絡結構見圖。
近幾年,國外企業網出現的安全事故數不勝數,但在國內仍舊有很多企業沒有意識到企業網安全的重要性。因此,我們在積極建設企業網的同時,應該借鑒國外企業網建設和管理的經驗,在網絡安全上多考慮一些,消除企業網中可能出現的危險和漏洞,使花費不少財力、人力和時間建立起來的網絡真正達到預想的效果。
嘉興煙草網絡的接入和使用情況,主要可分為三部分: 互聯網接入(包括內網訪問外網,外網訪問內網服務器,VPN用戶通過SSL VPN設備訪問公司內部網絡); 煙草專網的接入(包括上聯省局的線路和下聯縣公司的線路); 銀聯網絡接入(包括工行、農行、信用合作社等三家)。
整個公司的局域網可以劃分為三個主要的區域: 互聯網區域、內部網絡、公開服務器區域。內部網絡又可按照所屬的部門、職能、安全重要程度分為許多子網,包括: 財務子網、領導子網、辦公子網、市場部子網、服務器子網等。在不同的區域,不同的部門,可以采取不同的安全策略防止來自網絡的危害,保證網絡正常、高效地使用。因此,制定安全規范非常重要,本文提出的是根據實踐經驗所總結的安全措施。
規范互聯網接入
外網接入是影響網絡安全的主要因素,嘉興煙草采用全地區統一外網接入方式。在目前無法實行內外網物理隔離的條件下,采用防火墻進行隔離,需要在防火墻上做嚴格的配置。防火墻規則是安全策略的技術基礎,規則設計應遵循以下思路和原則:
建立規則文件。明確每條規則的作用,不在規則內的流量應予以阻止。建立規則文件非常重要,因為網絡的重大錯誤往往是防火墻配置的錯誤造成的。
網絡地址轉換要謹慎。地址轉換配置(NAT)分為源地址轉換和目的地址轉換。在源地址轉換的配置中,需要配置源地址到偽裝源地址(轉換后的源地址)的轉換規則,要為源地址設置一個偽裝的合法地址。在源地址轉換時,使內部子網的地址能利用一個偽裝的合法地址達到訪問外部網的目的,這樣就省去了占用多個合法IP的資源; 在目的地址轉換的配置中,需要配置目標地址到真實目標地址之間的轉換規則。在目的地址轉換時,系統必須把目標地址和端口轉換成真實的內部子網或DMZ區的地址,端口才能進行數據傳送,這樣系統可以指定某一子網或DMZ區的IP地址和相關端口接收外部網的數據。
路由設置必須合理。防火墻一般提供靜態路由,這是由網絡管理員在啟動網絡路由功能之前預先建立起一個路由映射表。要訪問某一子網的用戶必須經過路由表中配置的網關地址,才能到達該子網。有時,不但要防止來自外部的黑客攻擊,還要防止來自內網盜用他人的主機IP進行非法活動。采用內部網段的IP地址與網卡MAC地址綁定的方式,可防止內部主機盜用其他主機的IP進行未授權的活動,該設置具體可以在每個縣的核心交換機上做,并且可有效地防止Arp攻擊。
規則力求簡單。一個簡單的規則集是建立一個安全防火墻的關鍵所在。應盡量保持規則集簡潔和簡短,因為規則越多,就越可能犯錯誤。一個好的規則最好不超過30條,規則少還意味著只分析少數的規則,這樣,防火墻的CPU周期就短,效率可大大提高。當要遵從很多規則時,就要認真檢查整個安全體系結構,而不僅是防火墻的。
規則次序很關鍵。同樣的規則,以不同的次序放置,可能會完全改變防火墻的運轉情況。一些防火墻具有自動給規則排序的特性,很多防火墻以順序方式檢查信息包。一般來說,應該將較特殊的規則放在前,較普通的規則放在后,這樣可防止防火墻配置錯誤。
注意更改控制。恰當地組織好規則之后,寫上注釋并經常更新它們。注釋可以幫助管理員明白哪條規則做什么。對規則理解得越透徹,錯誤配置的可能性就越小。特別是在規則較多時,建議當規則被修改時,把規則更改者的名字、變更的日期和時間、變更的原因加入注釋中,這可以幫助管理員跟蹤誰修改了哪條規則以及修改的原因。
做好審計工作。在安全審計中,經常能看到某個防火墻由于某個規則配置的錯誤而將機構暴露在巨大的危險之中。因此,不僅要對防火墻的操作進行審計,還要對審計內容本身進行審計。同時審計中要有明確的權限,充分保證審計內容的完全性。
路由安全為重
在網絡的接入過程中,路由器是網絡系統的主要設備,也是網絡安全的前沿關口。如果路由器連自身的安全都無法保障,整個網絡也就毫無安全可言。因此在網絡安全管理上,必須對路由器進行合理規劃、配置,采取必要的安全保護措施,避免因路由器自身的安全問題而給整個網絡系統帶來漏洞和風險。
下面是一些加強路由器安全的具體措施,用以阻止對路由器的攻擊,并防范網絡信息被竊取。
增加認證功能,提高網絡安全性。路由器的一個重要功能是路由的管理和維護,目前具有一定規模的網絡都采用動態的路由協議,煙草專網用的是Ospf協議。當一臺設置了相同路由協議和相同區域標示符的路由器加入網絡后,會學習網絡上的路由信息表。但此種方法可能導致網絡拓撲信息泄漏,也可能由于向網絡發送自己的路由信息表,擾亂網絡上正常工作的路由信息表,嚴重時可能使整個網絡癱瘓。這個問題的解決辦法是對網絡內的路由器之間相互交流的路由信息進行認證。當路由器配置了認證方式,就會鑒別路由信息的收發方。有兩種鑒別方式,其中“純文本方式”安全性低,建議使用“MD5方式”。
物理安全防范。路由器控制端口是具有特殊權限的端口,如果攻擊者物理接觸路由器后,斷電重啟,實施“密碼修復流程”后,就可以完全控制路由器,這就要求對進入機房的人員進行嚴格的審核。
保護路由器口令。在備份的路由器配置文件中,密碼即使是用加密的形式存放,密碼明文也仍存在被破解的可能。一旦密碼泄漏,網絡也就毫無安全可言,所以應當特別注意口令的保護工作。
管理HTTP服務。HTTP服務提供Web管理接口。“no ip http server”可以停止HTTP服務。如果必須使用HTTP,一定要使用訪問列表“ip http access-class”命令,嚴格過濾允許的IP地址,同時用“ip http authentication ”命令設定授權限制。
抵御spoofing(欺騙)類攻擊。使用訪問控制列表,過濾掉所有目標地址為網絡廣播地址和宣稱來自內部網絡,而實際上卻是來自外部的數據包。在路由器端口配置:ip access-group list in number 訪問控制列表如下:
access-list number deny icmp any any redirect
access-list number deny ip 127.0.0.0 0.255.255.255 any
access-list number deny ip 224.0.0.0 31.255.255.255 any
access-list number deny ip host 0.0.0.0 any(注: 上述四行命令將過濾BOOTP/DHCP 應用中的部分數據包,在類似環境中使用時要有充分的認識。)
防止包嗅探。黑客經常將嗅探軟件安裝在已經侵入的網絡上的計算機內,監視網絡數據流,從而盜竊密碼,包括SNMP通信密碼,也包括路由器的登錄和特權密碼。網絡管理員在不可信任的網絡上不要用非加密協議登錄路由器。如果路由器支持加密協議,請使用SSH或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
校驗數據流路徑的合法性。使用RPF (Reverse Path Forwarding,反相路徑轉發)校驗,由于攻擊者地址是違法的,所以攻擊包被丟棄,從而達到抵御spoofing攻擊的目的。RPF反相路徑轉發的配置命令為: ip verify unicast rpf。注意: 首先要支持 CEF(Cisco Express Forwarding,快速轉發)。
防止SYN攻擊。目前,一些路由器的軟件平臺可以開啟TCP攔截功能,防止SYN攻擊,工作模式分攔截和監視兩種,默認情況是攔截模式。(攔截模式: 路由器響應到達的SYN請求,并且代替服務器發送一個SYN-ACK報文,然后等待客戶機ACK,如果收到ACK,再將原來的SYN報文發送到服務器; 監視模式: 路由器允許SYN請求直接到達服務器,如果這個會話在30秒內沒有建立起來,路由器就會發送一個RST,以清除這個連接。)首先,配置訪問列表,以備開啟需要保護的IP地址: access list [1-199] [deny|permit] tcp any destination destination-wildcard。然后,開啟TCP攔截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch。
使用安全的SNMP管理方案。SNMP廣泛應用在路由器的監控、配置方面。SNMP Version 1在穿越公網的管理應用方面,安全性低,不適合使用。利用訪問列表僅僅允許來自特定工作站的SNMP訪問可以提升SNMP服務的安全性能。配置命令:snmp-server community (xxxxx RW xx xx是訪問控制列表號)SNMP Version 2使用MD5數字身份鑒別方式。不同的路由器設備配置不同的數字簽名密碼,這是提高整體安全性能的有效手段。
設備備份系統。根據用戶的網絡情況,應注意骨干交換機、路由器等核心網絡設備的備份。備份設備可以在段時間內替代網絡中實際使用的設備,一旦核心設備出現故障,使用備件替換以減少網絡故障時間。在交換機的配置上,應該給所有接入網絡的IP設備進行IP和MAC的綁定,以防Arp病毒對整個網絡造成影響,影響業務系統的正常運行。
鏈接一
規范其他設備接入
除了上述網絡設備之外,與網絡接入的其他相關設備也是響影安全的因素,任何一處的安全薄弱點被惡意攻擊者利用的話,都有可能導致整個安全體系的崩潰,這就是安全的“木桶原理“。
服務器安全管理
1. 防病毒軟件病毒庫定期升級。
2. 服務器定期掃描、加固。
3. 防火墻日志備份、分析。
4. 入侵檢測等安全設備日志備份。
5. 服務器日志備份。
6. 為了防止同一網段有服務器中病毒后發動Arp攻擊,并影響其他服務器上應用的正常使用,應該在核心交換上做IP與MAC的綁定。
7. 對服務器進行安全設置。服務器使用NTFS文件系統、關閉默認共享、修改共享權限、對系統管理員賬號改名處理、禁用TCP/IP 上的NetBIOS、防范拒絕服務攻擊、IIS的安全配置等都非常重要。
管理好員工電腦接入
員工個人電腦是網絡中接入數量最多的設備,我們在實踐中進行如下管理辦法:
1. 在主交換機上劃分不同的VLAN網段。對關鍵應用,如呼叫中心、倉儲管理、分揀等工作場所使用單獨的網段,并禁止上外網,確保網絡病毒不在這些關鍵網段中爆發。
2. 在主交換機上采用IP與MAC綁定技術。可以有效防止個人非法修改IP地址,阻止Arp等網絡病毒的傳播。
3. 采用Power IDS網絡審計監控、網路崗等軟件,對個人電腦進行安全監控。
4. 禁止3G等無線網卡在個人工作電腦上使用。以防止外網接入無法控制。
網絡安全不單是指網絡設備的安全,也是指與網絡有關的所有設備與行為綜合形成的結果。它們共同形成了木桶的安全效應。嘉興煙草的網絡建設遵循國家局、省局制定的網絡規范,幾年來達到了安全運行無事故,保證了信息系統的正常使用。
鏈接二
關閉非安全服務的指令
關閉察看路由器診斷的信息。關閉命令如下: no service tcp-small-servers no service udp-small-servers。
關閉查看路由器當前的用戶列表。關閉命令為: no service finger。
關閉CDP服務。在OSI二層協議即鏈路層的基礎上可發現對端路由器的部分配置信息: 設備平臺、操作系統版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable關閉這個服務。
