时间:2023-09-20 18:19:26
导语:在安全网络建设的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词:智慧城市;智慧徐州;网络安全;安全防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)27-0037-03
Abstract: Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network (VPN) technology, security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project, enhance the efficiency of data transmission, and support the rapid creation of new security environment to meet the new application process requirements.
Key words: smart city; Xuzhou; network security; security
随着信息技术的迅速发展,世界各地有竞争力的城市已迎来了数字向智慧城市迈进的大潮。智慧城市建设注重城市物理基础设施与IT基础设施之间进行完美结合,旨在改变政府、企业和市民交互的方式,提高明确性、效率、灵活性和响应速度,促进城市内外部信息产生、交流、释放和传递向有序化、高效化发展,关注提高城市经济和社会活动的综合竞争力,越来越受到中国各个城市领导者的认同和肯定。
徐州市在“十二五”伊始,深刻认识到智慧徐州建设在提升综合竞争力、加快转变经济发展方式、加强社会建设与管理,解决发展深层次问题等方面的重要作用,将“智慧徐州”建设纳入了未来城市发展的战略主题,希望通过智慧徐州建设,以信息资源整合、共享、利用为抓手,健全公共服务,增进民生幸福,科技创新驱动产业转型升级,智能手段创新城市管理模式,采约建设实现信息基础全面领先,为把我市建设成“同类城市中环境最为秀美、文化事业最为繁荣、富民强市最为协调的江南名城”提供有力支撑。
网络系统作为智慧徐州信息资源枢纽工程及各部门接入的承载,需通过网络系统进行数据传输,规划一张合理的、高效的、安全的网络系统能够有效地保障智慧徐州信息资源枢纽工程能够安全、稳定、高速地运行。
1 网络安全建设
由于智慧徐州信息资源枢纽工程的信息资源的高度集中,带来的安全事件后果与风险也较传统应用高出很多,因此在建设中安全系统建设将作为一项重要工作加以实施。网络安全建设应包括以下几方面:
1.1 安全的网络结构
安全的网络结构应该能够满足为了保证主要的网络设备在进行业务处理时能够有足够的冗余空间,来满足处理高峰业务时期带来的需求;确保网络各部分的带宽能够满足高峰业务时期的需要;安全的访问路径则通过路由控制可以在终端与服务器之间建立;按照提出需求的业务的重要性进行排序来指定分配带宽优先级别,如果网络发生拥堵,则优先保护重要的主机;能够绘制出当前网络运行情况的拓扑结构图;参考不同部门之间的工作职能和涉及相关信息的重要程度等因素,来划分成不同的子网和网段,与此同时在以方便管理和控制的前提下,进行地址分配;重要网段部署不能处在网络的边界处而且不能与外部信息系统直接连接,应该采取安全的技术隔离手段将重要网段与其他网段进行必要的隔离。
1.2 访问控制安全
当在网络边界对控制设备进行访问时,能够启动访问控制功能;对实现过滤信息内容的功能,并且能对应用层的各种网络协议实现命令级的控制;能自动根据会话的状态信息为传输的数据流提供较为明确的允许或者拒绝访问的能力,将控制粒度设为端口级;能够及时限制网络的最大流量数和网络的连接数量;当会话结束或非活跃状态的会话处于一段时间后将终止网络的连接;要采取有效的技术手段防止对重要的网段地址欺骗;能在遵守系统和用户之间的访问规则条件下,来决定用户对受控系统进行资源的访问是否被允许或拒绝,同时将单个用户设置为控制粒度;具有拨号访问权限的用户数量受到限制。
在关键的位置部署网关设备是实现访问控制安全的最有效途径,政务网接入边界安全网关:为内部区域提供边界防护、访问控制和攻击过滤。
1.3 审计安全
安全审计方面应包括能够对网络系统中设备的用户行为、网络流量、运行状况等进行相关的记录;并且能够分析所记录的数据,生成相关的报表;为避免审计记录受到未预期的修改、覆盖或删除等操作,应当安全保护审计记录。通过防火墙可以实现网络审计的功能。
网络的审计安全主要内容有:为能够有效记录网络设备、各区域服务器系统和安全设备等这些设备以及经过这些设备的所有访问行为,应在这些设备上开启相应的审计功能,由安全管理员定期对日志信息和活动状态进行分析,并发现深层次的安全问题。
1.4 检查边界的完整性
为对私自联到内部网络的非授权设备行为进行安全检查,边界完整性检查要求能够准确定出其位置,并进行有效的阻断。
实现边界完整性检查的相关技术:
1)制定严格的检查策略,将服务器区域在网络设备上划分为具有独立功能的VLAN,同时禁止除来自网络入侵防御系统以外的其他VLAN的访问;
2)为提升系统自身的安全访问控制能力,应对安全加固服务器系统采取相应措施。
1.5 入侵防范
网络的入侵防范应能在网络边界处监视到木马后门攻击、拒绝服务攻击、IP碎片攻击、端口扫描、强力攻击、网络蠕虫攻击和缓冲区溢出攻击等攻击行为。当攻击行为被检测到时,应能记录攻击的时间、源IP、目的和类型,如果发生较为严重的入侵事件,应及时提供警报信息。通过前置防火墙实现入侵防御的功能。
1.6 恶意代码防范
在网络边界处检测和清除恶意代码,对恶意代码数据库的升级和系统检测的更新等,是恶意代码防范的范畴。目前,主要是通过网络边界的安全网关系统防病毒模块来检测和清除系统漏洞类、蠕虫类、木马类、webcgi类、拒绝服务类等一系列恶意代码进行来实现恶意代码防范的技术。
1.7 网络设备的安全防护
网络设备的安全防护要求能够限制网络设备管理员的登录地址;在网络设备用户的标识唯一的伯伯下,要能鉴别出登录用户的身份;主要网络设备对同一用户进行身份时鉴别时,应当选择几种组合的鉴别技术来鉴别,避免只使用一种鉴别技术;鉴别身份的信息应不易被冒用,网络口令应定期更换而且要有一定的复杂度,不易破解;当登录失败时,能自动采取限制登录次数、结束会话和当网络登录连接超时自动退出等相应措施;当网络设备被用户远程管理时,能够有防止网络传输过程的鉴别信息被窃听的相关措施。
网络设备安全防护的技术实现主要是通过提供网络设备安全加固服务,根据前面的网络结构分析,系统采用若干台核心交换机、汇聚交换机和接入交换机,实现各个安全区域的连接。
对于网络设备,应进行相应的安全加固:
1)将楼层接入交换机的接口安全特性开启,并将MAC进行绑定。
2)关闭不必要的服务,包括关闭CDP、Finger服务、NTP服务、BOOTp服务(路由器适用)等。
3)登录要求和帐号管理,包括采用enable secret设置密码、采用认证、采用多用户分权管理等。
4)SNMP协议设置和日志审计,包括设置SNMP读写密码、更改SNMP协议端口、限制SNMP发起连接源地址、开启日志审计功能。
5)其它安全要求,包括禁止从网络启动和自动从网络下载初始配置文件、禁止未使用或空闲的端口、启用源地址路由检查(路由器适用)等。
2 网络安全防护
边界防护:在智慧徐州信息资源枢纽工程的边界设立一定的安全防护措施,具体到智慧徐州信息资源枢纽工程中边界,就是在平台的物理网络之间,智慧徐州信息资源枢纽工程的产品和边界安全防护技术主要采用交换机接入、前置防火墙及网闸。
区域防护:比边界防护更小的范围是区域防护,指在一个区域设立的安全防护措施,具体到智慧徐州信息资源枢纽工程中,区域是比较小的网段或者网络,智慧徐州信息资源枢纽工程的区域防护技术和产品采用接入防火墙。
节点防护:节点防护主要是指系统健壮性的保护,查堵系统的漏洞,它已经具体到其中某一台主机或服务器的防护措施,建议智慧徐州信息资源枢纽工程中的产品和节点防护技术都应采用病毒防范系统、信息安全检查工具和网络安全评估分析系统等。
3 网络高可用
在智慧徐州信息资源枢纽工程网络建设中,网络设备本身以及设备之间的连接都具非常高的可靠性。为了保障智慧徐州信息资源枢纽工程网络的稳定性,在智慧徐州信息资源枢纽工程核心网络部分,核心交换机、接入防火墙等设备全部采用冗余配置,包括引擎、交换网、电源等。所有的连接线路全部采用双归属的方式,包括与电子政务局域网互联,与服务器接入交换机互联。在数据应用区,服务器通过双网卡与服务器接入交换机互联,保障了服务器连接的高可靠性。
4 数据安全
4.1 数据安全建设
数据的安全是整个安全建设中非常重要的一部分内容。数据的安全建设主要涉及数据的完整性、数据的保密性以及数据的备份和恢复。对于系统管理、鉴别信息和重要业务的相关数据在存储过程中进行检测,如检测到数据完整性有错误时采取必要的恢复措施,并且能对这些数据采用加密措施,以保证数据传输的保密性。
对于资源共享平台系统的数据安全及备份恢复要求如下:
1)对于鉴别信息数据存储的保密性要求,均可以通过加强物理安全及网络安全,并实施操作系统级数据库加固的方式进行保护;
2)对于备份及恢复要求,配置了备份服务器和虚拟带库对各系统重要数据进行定期备份;
3)需要通过制定并严格执行备份与恢复管理制度和备份与恢复流程,加强各系统备份恢复能力。
4.2 数据安全加密传输(VPN)
针对数据传输的安全性,部分接入部门到智慧徐州信息资源枢纽工程的数据进行VPN加密传输。接入部门和平台两端之间运行IPSec 或SSL VPN协议,保证数据在传输过程中的端到端安全性。
4.3 数据交换过程的安全保障
平台数据交换过程的安全保障主要指信息在交换过程中不能被非法篡改、不能被非法访问、数据交换后不能抵赖等功能。
平台业务系统在传递消息的过程中可以指定是否采用消息内容的校验,校验方法是由发送消息的业务系统提供消息的原始长度和根据某种约定的验证码生成规则(比如 MD5 校验规则)生成的验证码。
4.4 数据交换接口安全设计
平台提供的消息传输接口支持不同的安全标准。对于对安全性要求比较高的业务系统来说,在调用平台的Web Service接口时使用HTTPS 协议,保证了传输层面的安全;而对于安全性不那么重要,只想通过很少的改动使用平台功能的业务系统来说,可以简单的通过HTTP方式调用平台的Web Service接口进行消息的传输。
5 安全管理体系建设
在智慧徐州信息资源枢纽工程安全保障体系建设中,应该建立相应的安全管理体系,而不是仅靠技术手段来防范所有的安全隐患。安全建设的核心是安全管理。在安全策略的指导下,安全技术和安全产品的保障下,一个安全组织日常的安全保障工作才能简明高效。
完整的安全管理体系主要包括:安全策略、安全组织和安全制度的建立。为了加强对客户网络的安全管理,确保重点设施的安全,应该加强安全管理体系的建设。
5.1 安全策略
安全策略是管理体系的核心,在对信息系统进行细致的调查、评估之后,结合智慧徐州信息资源枢纽工程的流程,制定出符合智慧徐州信息资源枢纽工程实际情况的安全策略体系。应包括安全方针、主策略和子策略和智慧徐州信息资源枢纽工程日常管理所需要的制度。
安全方针是整个体系的主导,是安全策略体系基本结构的最高层,它指明了安全策略所要达到的最高安全目标及其管理和适用范围。
在安全方针的指导下,主策略定义了智慧徐州信息资源枢纽工程安全组织体系及其岗位职责,明确了子策略的管理和实施要求,它是子策略的上层策略,子策略内容的制定和执行不能与主策略相违背。安全策略体系的最低层是子策略,也是用于指导组成安全保障体系的各项安全措施正确实施的指导方针。
5.2 安全组织
由于智慧徐州信息资源枢纽工程信息化程度非常高,信息安全对于整个智慧徐州信息资源枢纽工程系统的安全建设非常重要。因此,需要建立具有适当管理权的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。建立和组织外部安全专家的联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供适当的联络渠道。
5.3 安全制度
智慧徐州信息资源枢纽工程对于安全性要求非常高,因此安全制度的建立要求也很严格。由管理层负责制定切实可行的日常安全保密制度、审计制度、机房管理、操作规程管理、系统管理等,明确定义日常安全审计的例行制度、实施日程安排与计划、报告的形式及内容、达到的目标等。
智慧徐州信息资源枢纽工程建成后,需要针对各系统制定完善的动作体系,保证系统的安全运行。
参考文献:
[1] 吴小坤,吴信训.智慧城市建设中的信息技术隐患与现实危机[J].科学发展,2013(10):50-54.
[2] 娄欢,窦孝晨,黄志华,等.智慧城市顶层设计的信息安全管理研究[J].中国管理信息化,2015(5):214-215.
[3] 赵军.信息安全体系下的东营智慧城市建设研究[J].中国安防,2014(9):84-89.
【关键词】 新技术 烟草 网络安全 建设 管理
在计算机和互联网的帮助下,烟草企业内部的订单交易、货款支付等均变得更为方便,然而在实际网络建设以及管理工作当中经常发现,企业内部的网络存在安全问题,严重影响了企业的生产运营安全。因此本文将在以物联网为基础,简要分析新技术发展环境下的烟草网络安全建设与管理。
一、影响烟草网络安全建设和管理的原因
1、自然原因。所谓的自然原因指的是在烟草企业内部网络设备例如路由器、电子计算机等因质量问题或操作不当等原因出现故障,或是因为停电、火灾等自然原因导致数据损毁、丢失。除此之外,网络中节点多元异构性和多样性,电池在网络节点中的实际续航能力,以及网络设备耐高温、抗寒冷能力等也会对烟草网络安全建设与管理造成一定的影响,而由于自然原因很难进行提前预估和判断,因此管理和建设安全网络中的困难和阻碍也比较多[1]。
2、信息传输。在传输网络数据的过程当中,数据很有可能未得到有效的加密保护,在无线模式或是广播等方式下,信息在传输过程中可能会遭受黑客的非法入侵,通过非法破解网络秘钥,强行入侵企业内部网络;除此之外还有可能信息数据在中途遭到拦截阻断,路由协议等遭到私自篡改,某些黑客或企业竞争对手为窃取烟草企业内部数据、非法获取重要信息,还有可能会采取伪造虚假路由信息等方式,这同样严重影响了企业网络安全。
3、隐私泄露。在物联网下,烟草网络系统中使用大量的电子标签与无人值守设备,而设备一旦遭到劫持将直接导致企业内部隐私信息和机密文件大量泄漏,还有可能不法分子在用户登录的界面当中安装追踪软件,对用户的登录信息和浏览记录等隐私信息进行恶意追踪,从而进行非法勾当。物联网只有具备极强的安全性和可靠性才能够有效保护内部隐私信息的安全[2]。
4、自身缺陷。企业内部的网络建设本身存在一定的安全漏洞,即使是在新技术不断发展进步的当下,仍然没有设计出一款绝对安全的网络系统,任何一种网络当中或多或少会存在一定安全漏洞,特别是在遭受黑客的非法入侵、木马病毒等恶意攻击下,网络系统中的重要信息可能遭到损毁和破坏,甚至有可能导致整个系统崩盘。因此物联网自身若缺乏安全稳定性将为黑客等不法分子以及木马病毒的入侵提供了可乘之机。
二、物联网下的烟草网络安全建设与管理
1、安全路由协议。物联网平台下的烟草企业网络安全建设与管理工作中,各网络节点中均有属于自己的路由协议与算法,因此需要以具体的路由算法为基础对安全协议进行划分,譬如说根据位置信息建立地理路由或根据数据信息建立层次式路由等等,尽量弥补路由的安全漏洞,以免发生丢失或损毁而导致企业蒙受损失。2、隐私信息处理。在物联网技术的应用下,烟草网络系统在采集和传输隐私信息的过程当中必须注重保障其安全性,防治隐私信息被中断拦截或遭到恶意篡改与窃取。因此可以在网络系统中增添基本的定位功能,利用电子地图、卫星信号或手机移动信号等进行位置确定,采用位置伪装技术如将IP地址进行隐藏或时空匿名等方式对查询、阅览隐私信息进行全方位安全保护。3、访问认证控制。在物联网下,用户在登录烟草网络系统时需要交换会话密钥用以确认申请者的真实身份,防止网络系统遭受不法分子的恶意攻击[3]。另外,还需要在网络系统当中加入信息认证功能,只有通过对对方真实身份信息进行确认之后才能够同意其访问申请,利用随机密钥预分布技术、公钥认证技术等物联网的认证机制,合法认证用户,确保网络系统的安全性[3]。4、采用密钥系统。烟草企业内部的财政报告、数据报表、发展规划等重要信息数据需要进行加密,从而有效确保信息数据的安全。在传输数据报告之前需要对其进行加密处理,在接收数据只有进行解密才可进行阅览和使用。在物联网技术下,可以采用VPN即虚拟专网保护远程节点,也就是说各网络节点中的通信节点在具体的网络结构当中使用密钥协商进行管理;也可以通过互联网密钥分配中心对密钥系统进行管理与分配,尽量使用复杂的密钥算法,提高其完全程度,并且将密钥的周期压缩至最低,即使已经截获部分密钥并进行破解,也无法生成新的密钥。
结论:总而言之,在新技术发展的环境之下,烟草企业的发展与互联网和电子计算机系统之间的关系越来越紧密,而在顺应社会和时代潮流,不断建设网络的过程中,烟草公司需要重点注意其安全性问题,通过定期对内部网络进行病毒查杀以及加密重要数据等,切实做好网络管理工作,有效保障企业内部生产运营安全。
参 考 文 献
[1]马强. 试谈烟草企业网络安全建设与管理方法[J]. 电脑编程技巧与维护,2016,08:93-94.
【关键词】校园网;网络安全;安全策略
【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158(2013)07-0329-02
1 校园网络安全规范
校园的网络安全是指利用各种网络监控和管理技术措施,对网络系统的硬件、软件及系统中的数据资源实施保护,使其不会因为一些不利因素而遭到破坏,从而保证网络系统连续、安全、可靠地运行。
学校网络中心负责网络设备的运行管理,信息中心负责网络资源,系统管理员口令绝对保密,根据用户需求严格控制,合理分配用户权限,向学生开放的教学实验室应禁止使用软驱和光驱,以杜绝病毒的传播。
2 安全方案建议
2.1 校园网络状况分析
(1)资源分布和应用服务体系
校园网络可向网络用户提供:域名服务(DNS),电子邮件服务(Email),远程登录(telnet),文件传输服务(ftp),电子广告牌,BBS,电子新闻,WWW以及信息收集,存储,交换,检索等服务。
(2)网络结构的划分
整个网络是由各网络中心,和园区内部网络通过各种通信方式互联而成,所有网络可归纳为由连接子网、公共子网、服务子网、内部网四个部分组成。这四部分组成一个独立单位的局域网,然后通过广域连接与其他网络连接。
2.2 网络安全目标
为了增加网络安全性,必须对信息资源加以保护,对服务资源加以控制管理。
(1)信息资源
a:公众信息;即不需要访问控制。
b:内部信息;即需要身份验证以及根据根据身份进行访问控制。
C:敏感信息;即需要验证身份和传输加密。
(2)服务资源包括:内部服务资源、公众服务资源
内部服务资源:面向已知客户,管理和控制内部用户对信息资源的访问。
公众服务资源:面向匿名客户,防止和抵御外来的攻击。
3 校园网络安全技术的应用
3.1 建立网络安全模型
通信双方在网络上传输信息时,需要先在双方之间建立一条逻辑通道。为了在开放的网络环境中安全地传输信息,需要对信息提供安全机制和安全服务。
为了信息的安全传输,通常需要一个可信任的第三方。第三方的作用是负责向通信双方秘密信息,并在双方发生争议时进行仲裁。设计一个网络安全方案时,需要完成以下四个基本任务:
(1)设计一个算法,执行安全相关的转换;
(2)生成该算法的秘密信息;
(3)研制秘密信息的分发与共享的方法;
(4)设定两个责任者使用的协议,利用算法和秘密信息取得安全服务。
3.2 数据备份方法
数据备份有多种实现形式,从备份模式看,分为物理备份和逻辑备份;从备份策略看,分为完全备份、增量备份和差异备份。
(1)逻辑备份
逻辑备份也称作“基于文件的备份”。每个文件都由不同的逻辑块组成,每个逻辑块存储在连续的物理磁盘块上,备份系统能识别文件结构,并拷贝所有文件和目录到备份资源上。
(2)物理备份。
物理又称“基于块的备份”或“基于设备的备份”,其在拷贝磁盘块到备份介质上时忽略文件结构,从而提高备份的性能。因为在执行过程中,花在搜索操作上的开销很少。
(3)完全备份
完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份。这种备份方式很直观,容易理解。如果在备份间隔期间出现数据丢失等问题,可以使用备份文件快速地恢复数据。
(4)增量备份
为了解决完全备份的两个缺点,出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作更新过的数据。因为在特定的时间段内只有少量的文件发生改变,既节省空间,又缩短了备份的时间。因而这种备份方法比较经济,可以频繁地进行。
(5)差异备份
差异备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到备份记录数量限制在两个,以简化恢复的复杂性。
3.3 防火墙技术
防火墙是在网络之间通过执行控制策略来保护网络的系统,它包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。
防火墙是一个由软件与硬件组成的系统。由于不同内部网的安全策略与防护目的不同,防火墙系统的配置与实现方式也有很大的区别。简单的一个包过滤路由器或应用网关、应用服务器都可以作为防火墙使用。
3.4 入侵检测技术
入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部的非法授权行为,并采取相应的防护手段。它的基本功能包括:
(1)监控、分析用户和系统的行为。
(2)检查系统的配置和漏洞。
(3)评估重要的系统和数据文件的完整性。
(4)对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。
(5)对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
4 校园网主动防御体系
校园网的安全威胁既有来自校内的,也有来自校外的。在设计校园网网络安全系统时,首先要了解学校的需要和目标,制定安全策略。因此网络安全防范体系应该是动态变化的,必须不断适应安全环境的变化,以保证网络安全防范体系的良性发展,确保它的有效性和先进性。
安全管理贯穿整个安全防范体系,是安全防范体系的核心。网络系统的安全性不只是技术方面的问题,一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实,安全管理主要是对安全技术和安全策略的管理, 安全策略为安全管理提供管理方向,安全技术是辅助安全管理的措施。当网络出现攻击行为或其它安全威胁时,无法进行实时的检测、监控、报告与预警。同时,也无法提供黑客攻击的追踪线索,即缺乏对网络的可控性与可审查性。这就要求网络管理员经常通过网络攻击扫描器提前识别弱点区域,入侵系统监控和响应安全事件,必须对站点的访问活动进行多层次的记录,及时发现非法入侵。
结论
通过上述分析,我提出如下校园网络安全防范策略:
(1)利用防火墙将内网和外网进行有效隔离,避免与外部网络直接通信;
(2)利用防火墙建立网络的安全保护措施,保证系统安全;
(3)利用防火墙对网上服务请求内容进行控制,使非法访问被拒绝;利用防火墙加强合法用户的访问认证,同时在不影响用户正常访问的基础上将访问权限控制在最低限度内;
(4)在Internet出口处,使用NetHawk监控系统进行网络活动实时监控;
(5)在本校区部署RJ-iTop网络隐患扫描系统,定期对整个网络的安全状况进行评估,及时弥补出现的漏洞;
(6)加强网络安全管理,提高全体人员的网络安全意识和防范技术。
[1] 冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001,3
[2] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社, 2005, 52-56
[3] 陈健伟,张辉.计算机网络与信息安全[M].北京:希望电子出版社,2006.2:42-43
主要功能模块划分
对于文中平台主要功能的实现,则主要通过业务逻辑层来完成,概括起来主要包含四个方面的功能。
1设备管理
对于设备管理模块来说,可以作为其他功能模块的基础,是其他模块有机结合的基础模块,主要包括几个子功能:(1)设备信息管理;(2)设备状态监控;(3)设备拓扑管理等。这些子功能的实现,可以在网络拓扑和手动的基础上,通过统一通信接口来对设备的状态和性能进行实施的监控和管理,必要的情况下,还可以通过图形化的方式来表示,方便平台和系统管理员对设备运行状态的及时掌握和定位,减轻管理员的工作量。
2事件分析
作为安全设备管理平台的核心模块,安全事件分析模块的目的就是对大量的网络事件进行分析和处理、筛选,减轻管理员的工作压力,所以,该功能模块的主要子功能有安全时间分类统计、关联分析和处理等。同样,该功能模块也能够通过统一通信接口来对各个安全设备所生成的时间报告进行收集、统计,在统计分析的过程中,可以根据不同的标准进行分类,如时间、事件源、事件目的和事件类型等,通过科学统计和分析,还可以利用图表的方式进行结果显示,从而实现对安全事件内容关系及其危害程度进行准确分析的目的,并从海量的安全事件中挑选出危险程度最高的事件供管理员参考。
3策略管理
安全设备管理平台中的策略管理模块包含多个功能,即策略信息管理、冲突检测和策略决策等功能。通过对各类安全设备的策略进行标准化定义的基础上,就可以统一对设备的策略定义进行管理和修改,对当前所采用的策略进行网络安全事件冲突检测,及时发现可能存在的网络设置冲突和异常,确保网络策略配置的正确性和合理性。通过对网络环境中安全事件的深入分析,在跟当前所采用安全策略相比较的基础上,就能够为设备的安全设置提供合理化建议,从而实现对网络安全设备设置的决策辅助和支持。
4级别评估
最后一个功能模块就是安全级别评估模块,该模块的主要任务就是对网络商业设备安全制度的收集汇总、实施情况的总结和级别的评估等。该模块通过对网络安全事件的深入分析,在结合安全策略设置的基础上,实现对网络安全水平的准确评估,从而为网络安全管理的实施和水平的提高提供有价值的数据参考。
平台中的通信方法
要实现网络中异构安全设备的统一管理,就需要通过统一的通信接口来实现,该接口的主要功能就是通过对网络中异构设备运行状态、安全事件等信息的定时获取,从技术的角度解决异构设备所造成的安全信息格式不兼容和通信接口多样的问题,实现网络安全信息的标准化和格式的标准化。
1资源信息标准化
在网络安全管理中,所涉及到的安全资源信息主要包括安全设备的运行状态、设备配置策略信息和安全事件信息等。其中,安全设备的运行状态信息主要通过数据交换层中的通信程序通过跟安全设备的定时通信来得到,可以通过图表的方式进行可视化。这些资源信息主要采用RRD文件的方式进行存储,但是采用数据库存储的则比较少,这主要是由于:(1)RRD文件适合某个时间点具有特定值且具有循环特性的数据存储;(2)如果对多台安全设备的运行状态进行监控的情况下,就应该建立跟数据库的多个连接,给后台数据库的通信造成影响。对于上面提到的安全设备的运行状态信息和安全事件信息,通过对各种安全设备信息表述格式的充分考虑,本文中所设计平台决定采用XML语言来对设备和平台之间的差异性进行描述,不仅实现了相应的功能,还能够为平台提供调用转换。而对于安全策略类的信息,则是先通过管理员以手动的方式将安全策略添加到平台,然后再在平台中进行修改,之后就可以在通过平台的检测冲突,由平台自动生成设备需要的策略信息,然后再通过管理员对策略进行手动的修改。
2格式标准化
对于安全事件和策略的格式标准化问题,可以通过格式的差异描述文件来实现彼此之间的转换,这里提到的差异描述文件则采用XML格式来表述,而格式的自动转换则通过JavaBean的内置缺省功能来实现。
3通信处理机制
对于通信接口而言,由不同厂家所提供的同类型设备之间的差异也比较大。所以,对于设备的运行状态信息,主要采用两种途径来获取:(1)通过标准的SNMP、WMI方式获得;(2)通过专用的Socket接口调用特定函数来获得。而对于网络运行中的安全事件,其获得途径也有两种:(1)通过专用Socket接口来获得;(2)将安全事件通过推送的方式发送到指定的安全管理设备。通过综合分析,本文平台主要采用独立的通信程序和集中设置调用的方法来获得安全资源信息,这样就可(1)以实现对安全设备管理的最有效支持。本文所采用方式的实现机制为:平台通过标准接口获取网络的安全资源信息,再通过通信程序的调用设置功能,对程序调用的时间间隔及其语法规范进行定义。
【 关键词 】 校园网;信息安全;网络技术,技术应用
On the Construction of Campus Network and Network Information Security
Luo Qiong
(Sichuan College of Chemical Technology SichuanLuzhou 646005)
【 Abstract 】 campus network is a local area network, LAN is one or several buildings in the computer, terminal, with a mass storage peripheral device, controller, display, as well as for connections to other network and use network connectors connected with each other, with a high speed for the purpose of the network ". With the development of computer technology and network technology, Internet has penetrated into all aspects of the school, the school has established a campus network, campus network construction to help students access to information, to help teachers in the teaching and research activities, helps improve teaching environment, conducive to the school to establish a good image, attract students, improve level of management and management efficiency.
【 Keywords 】 campus network; information security; network technology, technology application
0 前言
现代化信息社会里,要想建一流的学校,要想实现学校的科学高效管理,就必须将网络技术应用到日常教学管理中。校园网的主要应用范围大概分为几种情况:①从教师角度来说,帮助教师从网络中获取知识、帮助教师备课、丰富课堂教学内容;②从学生角度来说,校园网是学生学习的工具,是学生之间交流的工具,有利于学生学习文化知识和培养学生良好的人际沟通能力;③从学校后勤管理工作来说,校园网能够很好地服务于教学管理工作,无论是财务管理、行政管理还是人事管理等都离不开计算机,离不开网络技术;④从学校整体来说,校园网是一个媒介,是学校与外面沟通的窗口,是一个信息平台,在这个平台上既可以从校外获取各种信息,也可以向外各种信息。
1 校园网建设关键技术分析
校园网建设是一个系统工程,需要大量的软件和硬件,主要分为几方面。
网络协议技术:在校园局域网上用到的协议主要有ICP/IP协议、IPX/SPX协议等,协议是通信双方共同遵守的约定和规范,网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送。
OSI网络体系结构:主要由应用层、表示层、会话层、运输层、网络层、数据链路层和物理层组成,其中物理层是位于体系结构的最低层,它定义了OSI网络中的物理特性和电气特性。
HTTP、FTP、Telnet协议。HTTP是用于分布式协作超文本信息系统的、通用的、面向对象的应用层协议。FTP是客户/服务器方式服务的各种规则所组成的集合,主要用来支持Internet文件传输。Telnet是采用客户/服务器模式的应用层协议,提供终端设备与面向进程接口的标准方法,Telnet应用广泛,功能强大,尤其适用于用户登录远端主机和允许用户执行远端主机命令这两方面,可以在有限的网络空间下获取无限的网络资源。
常用网络硬件设备:一般来说,网络设备有网卡、集线器、交换机等,这些设备按照一定的组合方式连接起来,在整个网络中分别发挥着自己的功能又同时存在着密切的联系。网卡是实现网络通讯的重要设备之一,它是计算机与网络的接口,选用网卡时要注意,网卡有很多种,不同类型的网络需要使用不同种类的网卡,如从校园网建设的实际应用情况来看,工作站网卡选择PCI总线的10M /100Mbit/s自适应网卡最适合。路由器主要分为软路由和硬路由,有静态的和动态的,路由器是校园网中不可缺少的设备,它的功能比较强大,主要用来将不同的网络物理分支和不同的通信媒介连接在一起及过滤和隔离网络数据流、控制和管理复杂的路径、在网络分支之间提供安全屏障层等功能,当数据流到达路由器后,路由器根据路径的代价,选择一条最佳的路径,然后把数据帧沿这条路径发送给目标地址。服务器,校园网中的服务器有数据库服务器和服务器,学校里计算机数量众多而且集中,服务器的选择应该针对校园网特点,选择具有较大容量、较高处理速度和稳定性的大型服务器。
2 校园网建设思路
校园是一个特殊的网络环境,校园网的建设应该结合学校实际情况,进行详细规划。校园网的建设要体现分布式、开放式、安全可靠,维护简单等原则,重点是应用局域网技术以及多媒体技术为主的各种网络应用技术。
校园网建设的目的是为日常教学和后勤行政管理提供服务,不断提高教学管理水平,拓宽教师和学生的知识面,利用现代信息技术可以推动和改变传统的教学模式,加速教学方式的改革,改变传统的灌输式教育,改变以往老师讲、学生听,死记硬背的传统教学方式,实施以学生为主的教育教学方式。
校园网建设过程中,应该校园网的功能与作用,结合学校应注重硬件设备、软件跟上、“智件”超前、“潜件”保障,即“四件”平衡。其中“智件”是主题,是指富有文化知识的教师,“潜件”主要指服务于教学的各种保障措施。
校园网建设过程注重高效、避免重复浪费,校园网是一个复杂的系统工程,在建设之初就应该做好整体规划,使工程形成良性循环,保证各个环节成本最低,尤其是避免重复投资和不合理利用资源现象的发生,校园网建设过程中要尽量使用成熟技术,因为成熟技术既可以减少风险,又能做到性能稳定、实施快、见效快,维护更新更有保障。
3 校园网的信息安全现状及解决对策
3.1 校园网的信息安全现状
校园网本身存在“重技术、轻安全、轻管理”的倾向,在各种论坛、聊天室出现的不良言论无法用人工审核监督的方式有效解决,作为教育信息化基石和院校形象保障的校园信息安全问题不容乐观。加上院校各类应用系统的不断增加和扩充,网络中心等管理单位所维护并管理的服务器逐渐增多,特别是诸多的Linux服务器占据着许多重要应用,比如网站服务器、邮件服务器、解析服务器等,不同于Windows的界面化操作,Linux系统在提供稳定服务的同时对维护人员和维护工作都有较高的要求,从而导致必须为Linux服务器配备较多的技术人员和工作强度。
校园网连接的除了各级行政单位网络,还连接校内学生机,因此存在许多安全隐患,主要表现有校园网与 Internet 相连,存在着外网攻击的风险;来自校园网内部的安全威胁;接入校园网的节点数日益增多,这些节点会面临病毒泛滥、信息丢失、数据损坏等安全问题。
3.2 针对校园网的信息安全所采取的解决对策
随着网络的高速发展,信息交流和共享的速度逐渐加快,网络不断出现新病毒,校园网存在很大安全隐患,如何更好地对计算机进行防护,如何保护校园网络的安全是计算机专业人员重点考虑的问题,与此同时,学校对网络信息安全问题越来越重视,纷纷建立了一套有效的网络安全机制,重点防范网络病毒、黑客攻击。通过瑞星防毒墙、瑞星网络安全预警系统、网络版杀毒软件,实现网络安全隔离、网络监控措施、网络病毒的防范等安全需求。
1)防毒墙的部署
在Internet与校园网内网之间部署了一台瑞星防毒墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与 Internet 连接。这样,通过 Internet 进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
2)瑞星网络安全预警系统的部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星网络安全预警系统,接入 Cisco 中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
3)瑞星网络版杀毒软件的部署
为了实现在整个局域网内病毒的防护,我们在可能感染和传播病毒的地方采取相应的防病毒手段。实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。
4)整体实现的主要功能
通过对大学校园网络的安全设计,在不改变原有网络结构的基础上实现多种信息安全,保障大学校内部网络安全;实现对整个校园网病毒防范和查杀,有效防止病毒在校园网内的传播;保护脆弱的服务,通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险;控制内部和外部用户对校内各种应用系统的访问,有效保护内部各种应用服务器,例如防火墙允许外部访问特定的Mail Server和Web Server;提供集中的统一安全管理,管理员可以通过管理控制台对内部和外部用户指定统一的安全策略;提供强大的安全日志记录和统计,管理员可以通过各种安全日志对网络进行实时监控和统计分析,及时发现网络的各种安全事件。
4 结束语
校园网的发展对教育事业的发展起到了催化剂的作用,教育依托信息技术实现了教学与管理的信息化和现代化,校园网的建设提高了教师的教学水平,提高了学生的学习兴趣,提升了教育科研水平,大大增强了学校的综合实力。虽然,校园网络技术发展过程中遇到了很多网络安全考验和硬件维护等困难,但是只要采取合理的措施,杀毒软件及时更新,防火墙时时监护等,就一定能在最大程度上保证校园网的信息安全。
参考文献
[1] 官金安,傅德荣.“基于Internet/Intranet的学校CBE系统的建设”,电化教育研究,2000(2).
[2] 刘庆瑜.校园网中的网络安全问题浅谈[J].宁波大红鹰职业技术学院学报;2006年01期.
[3] 纪楠楠.浅析校园网络安全[J].商业经济,2007年09期.
[4] 厉晓华.高校网络安全管理模式的探索与实践[J].科技创新导报,2009年04期.
一、指导思想
以科学发展观为统领,以创新虚拟社会综合管控机制为目标,以国务院《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和公安部《互联网安全保护技术措施规定》等有关法律、法规为依据,进一步加强我县互联网专线接入单位落实安全保护技术措施工作,夯实互联网基础管理,防范和减少各类违法犯罪活动,维护我县虚拟社会稳定和经济发展。
二、工作步骤
(一)自查排摸阶段(2011年8月10日-8月31日)。各互联网专线用户单位要依法落实互联网用户备案工作。未向公安机关备案联网使用情况的单位,确定专人向县公安局网络警察大队报备本单位联网使用情况(见附件一);已备案单位的网络情况如有变更,需及时向公安机关报备更新信息。各互联网专线用户单位要积极开展信息安全保护措施自查工作。仔细对照《方案》要求迅速开展自查和整改工作,认真填写自查回执(见附件二),于8月15日前将自查回执书面材料加盖单位公章后反馈至县公安局网络警察大队。
(二)组织实施阶段(2011年9月1日-2011年10月31日)。全县各互联网专线用户(含政府、企事业联网单位、社区、学校、宾馆酒店、休闲会所、餐厅、电子阅览室、图书馆)要于今年10月底前落实安全保护技术措施各项工作:1、建立安全管理组织,落实专门人员负责网络安全管理工作;2、建立和落实各项安全保护管理制度,建立完善网络安全事故应急处置和责任追究机制、涉网违法事件和网络安全事故通报机制;3、安装安全保护技术措施设备。各专线用户应在本单位网络与互联网的出入口加装前端监测系统并必须符合《互联网安全保护技术措施规定》的要求:(1)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的安全审计技术措施;(2)记录并留存用户注册信息并向报警处置中心上传数据;(3)在公共信息服务中发现、停止传输违法信息,并保留相关记录;(4)具有至少60天的记录备份功能。按统一平台、统一标准、统一接口的要求,各非经营性互联网上网服务单位必须选择安装经省公安厅认证通过的网络安全产品(杭州迪普科技有限公司的UMC管理平台、上海新网程信息技术有限公司的网络警察V7.5、上海汉景信息科技有限公司的网路盔甲V7.5)。全县政府部门、事业单位的安全建设由县政府统一进行技术谈判,确定安全技术产品后供各建设单位选购安装。其他互联网专线用户单位要按本方案要求,落实专项建设资金,自主采购相关产品,确保按时、按要求完成建设任务。
(三)检查验收阶段(2011年11月1日-11月30日)。领导小组办公室对各镇(街道)、各部门工作进展情况进行检查验收,按完成的百分比进行排名并通报,并对安全责任和安全保护技术措施不落实的单位,要及时提出整改意见,限期整改。
三、工作要求
(一)加强领导。落实安全技术措施是防范网上有害信息传播,净化境内互联网环境的一项重要的基础工作,是加强互联网管理的一项重要任务。为加强组织领导,成立县互联网专线用户安全保护措施建设工作领导小组,由县委常委、常务副县长陈建良担任组长,县府办、县纪委、县委宣传部、县委政法委、县公安局、县财政局、县信息办为成员单位,领导小组下设办公室,地点设在县公安局。各级各部门要统一认识,高度重视,按照县政府的统一部署,结合工作实际,制定具体的实施方案,成立由主要负责人担任组长的领导小组和相关组织机构,切实加强组织领导和协调配合,认真开展安全保护技术措施建设工作。
(二)强化协作。各单位要迅速组织开展本单位落实安全保护技术措施情况的调查摸底和专项整改工作,依法履行安全保护职责,加强与县领导小组、县各电信运营商协调,研究本单位建设模式。同时要参照“谁主管、谁负责,谁使用、谁负责”的原则,根据方案要求,建立安全管理审计制度,建立完善安全保护技术措施。
【关键词】网络课程;教学改革;建设
0 引言
网络应用于教育领域,使教育信息的传播方式发生了改变,从而促使教育理念、教育模式、教学方法等发生极大的改变。网络教学已成为当今信息时代的一种重要的教学方式,在网络教学环境中课程转化为网络课程这种新的表现形式。网络课程是通过网络表现的某门学科的教学内容及实施的教学活动的总和[1]。
高职院校培养目标的定位是高端技能型、应用型人才,其核心竞争力在于培养的人才具有良好的专业综合素质和机敏的应变能力,而这样的人才所应具备的知识和技能在有限的课堂教学中是无法获取的。在《安全学基础》课程教学改革中,引进现代化教学手段和技术,教学方式采用课堂教学和网络教学混合学习[2],意在拓宽安全知识的信息量,提高学生的学习兴趣。要通过网络来辅助课堂教学,关键要有一个适合教师与学生互动交流的网络平台,如何建立这个平台,又如何利用网络来实施辅助教学,这是教师首先要思考和研究的课题。基于以上考虑,本文将对《安全学基础》网络课程的建设与教学实施过程进行探讨,并针对实施过程提出几点体会,希望能为同类院校的《安全学基础》网络课程的建设与发展提供参考。
1 《安全学基础》网络课程建设的内容
《安全学基础》课程是我院航空港安全检查专业的一门专业基础理论课程。课程目标是培养安检专业学生的安全意识,增强在工作岗位中预防和控制事故的技能。
该课程理论性较强,为增强学生的学习兴趣,并结合网络学习的特点,在网络课程建设上,以企业岗位要求为指导,采用内容模块化的组织方式,将知识点或教学单元作为学习主线,来组织构建课程内容,重视课程内容的可用性和可视性。
《安全学基础》网络课程建设的主要内容包括六大模块:课程介绍、课程内容、在线测试、学习交流、拓展知识、课程资源库。详细内容见图1。
图1 《安全学基础》网络课程模块
2 《安全学基础》网络课程的实施及体会
在实施《安全学基础》网络课程教学过程中,我院采用课堂教学和网络教学相结合的教学方式。具体实施模式见图2。
在课程实施过程中,得出以下几点体会:
2.1 教学内容要紧密联系
课堂教学和网络教学的教学内容上要实现紧密联系,使课堂学习和网络学习相互促进,增强知识的熟悉度。
由于课堂时间有限,学生在课堂上未能完全理解和掌握所学知识,通过课后网络课程学习,使课堂知识再现,加深学生的印象,帮助学生更好的掌握。
本课程在实施过程中采用的是知识点再现。网络课程的课程内容包含课程的所有知识点及其讲解。课堂教学内容为几种相关联的知识点组合。通过这种方法,课程知识点即可以通过课堂教学进行讲解,也可以通过网络课程的自主学习掌握。
图2 《安全学基础》网络课程实施模式
2.2 教师要扮演好双重角色
在课堂教学中以教师为主,要求教师要扮演主讲人的角色,主要任务包括维持课堂秩序,教授课程内容,提出作业要求,解答学生的问题等。
在网络学习平台,教师的角色转变为一位和学生共同学习的益友。教师通过在线答疑的方式实时和学生互动交流,让学生时刻感受到教师在关注他们的学习和努力,这样可以大大提高学生的学习成就感。
2.3 课程的考核评价方式改革
评价和反馈是教学中不可或缺的环节,以前《安全学基础》课程的主要考核学生的课堂表现和知识的掌握。课堂表现占总成绩的40%,期末考试占60%。实施网络课程以后,学生的学习过程不仅仅体现在课堂这个平台。如何评价网络课程学习情况?网络课程的特点就是在线学习,因此利用在线网络作为评价工具,及时的评价反馈可以提高学习者的学习积极性,确保在线的学习质量[3]。
本课程实施过程中采用的考核方式为:课堂学习和网络学习共占总成绩的50%。期末考试占50%。详见表1。
表1 《安全学基础》课程考核评价方式
3 结语
网络课程是高职教育不可或缺的重要教学资源之一,其建设与实施对推动高职教育改革起着举足轻重的作用。
通过三年多的网络课程建设和实施,《安全学基础》课程的教学资源更加规范和丰富,改变了传统的教学模式,把学习从课堂带到了学生的课下生活中,将教师的工作平台由讲台转移到网络这个更广阔的的新天地。教学效果有了很大的提高。但是,由于硬件系统的缺乏和网络课程的不完善,教学上要真正实现网络教学还存在很大的困难。还需院方和一线教师队伍为网络教学做进一步的努力。
【参考文献】
[1]徐铮,等.网络课程开发现状与发展趋势[J].中国远程教育,2003(11).
一、以账户为核心进行管理
1.一个用户、一个账户(One userOne account),全校一卡通。
2.账户灵活分组,赋予适当权限。
建教师组和学生组。将账户加入其中,分别赋予适当权限。
有时也面对临时目标设立虚拟工作组。
二、保证主干畅通,全网冗余设计,负载均衡
核心层采用高性能双并列主干交换机结构,一个链路失效后,快速将负载转移到集束的其他链路上,使网络正常运行。
采用HSRP,一个路由器不工作时,另一个可迅速接管,不至整个网络瘫痪,在第三层上实现路由容错、负载均衡、对用户通明。
三、合理设置和分配IP地址
1.静、动结合
重要的服务器、网关等少数设备为静态IP;其他机器通过DHCP服务器动态分配。
2.划分VLAN
为隔绝广播风暴,方便组内共享和教学,合理划分VLAN。
每个机房设一个VLAN,可用于教学广播系统授课、分发素材和控制。
每个教研组设一个VLAN,可访问组内共享的教案、课件等材料。
设置一管理VLAN,连在核心三层交换机上,配置ACL,只许管理VLAN和特定主机直接访问每一台机器,其他均过滤。在管理VLAN中设一无线接入端口,通过WPA-PSK(TKIP)加密链路,但出于安全考虑平时不开通。
四、设置VPN
1.LANtoLAN方式VPN
VPN网关上配输入输出过滤器,将VPN隧道数据流转发给VPN服务器,其他数据流按类型转发给相应的服务器,隧道使用IPSec提供安全保障。
2.客户到LAN方式VPN
采用SSL隧道安全协议。设置教师和学生公用VPN账号密码和并发数,Web登录后,仍要进行个人账户验证,才可访问。
开通专用管理员VPN账号,在进行证书认证后,可远程登录维护。
五、数据库的安全策略
1.采用分布式数据库
为减少校际间带宽的占用、便于管理,采用分布式,使数据库的存储和使用尽量在本校区内完成。
2.站点间相互信任、数据一致性维护、加密和备份
站点间通过Kerberos基于对称密码体制的双向身份验证协议来进行信任验证。
当多用户并发访问数据时,会产生丢失更新、读过时数据、读脏数据等问题,采用两段封锁协议可使并发调度策略串行化,避免带来的问题:如死锁,则强行撤销引起死锁的事务,数据库回滚。
分片设计上,遵循完备性、重构和不相交条件。
对敏感字段进行库内加密,常用于索引的字段明文存放。
数据库定期冷热备份,多用增量备份,建立日志和检查点,以便发生事务、系统或介质故障和病毒破坏时进行数据恢复。
六、防火墙配置
用ACL允许教师账户访问Inter―net,在规定时间以外拒绝学生账户访问Internet;对外过滤非法IP地址和协议,通过账户名口令登录。才能访问内部资源。
用服务器,分担部分用户认证,缓存设计大大分减了出校流量、冗余,使安全性和性能得以提高。
管理人员每天检查日志,及时发现异常进行处理。
七、防毒措施
用卡巴斯基的网络版进行实时监控定期查杀;每台PC上安装杀毒软件,定时升级,实时监控和查杀。
学生机房克隆前,母盘要保证无毒;中毒后可一键还原。
以上就是我校网络建设中安全策略和机制的设计实施情况,在实际运行和使用中不断改进取得了好的效果。
参考文献:
[关键词]IDC 网络安全 网络攻击 安全防御
[中图分类号]TP393[文献标识码]A[文章编号]1007-9416(2010)03-0000-00
1 绪论
互联网数据中心(Internet Data Center,下称IDC)是伴随着互联网发展的需求而发展起来的,为企业、应用服务提供商、内容服务提供商、系统集成商、ISP等提供大规模、高质量、安全可靠的服务器托管、租用以及ASP等增值服务的互联网新型业务。IDC不仅是一个服务概念,还是一个网络概念,它构成了网络基础资源的一部分,提供了一种高端的数据传输服务和高速接入服务,是以Internet技术体系作为基础,主要的特点是以TCP/IP为传输协议和以浏览器/WEB为处理模式。
IDC不仅要提供服务器硬件等设备的托管和快速的网络接入,还要提供对服务器的监管服务、有关网络的管理及服务品质保证,而且更重要的是要有高度安全可靠的机房网络环境。目前,网络和信息安全技术与各种安全隐患之间进行的是一场深入、多层次的战争,成为一个没有硝烟的战场,这就要求我们对与Internet互连所带来的网络与信息安全性问题予以足够的关注,在IDC的设计中必须充分重视安全问题,尽可能的减少安全漏洞,此外,我们还应该根据IDC的客户需求提供不同的安全服务。
2 网络及信息安全趋势
IDC中常见的传统网络安全措施包括防火墙、入侵检测、漏洞扫描等,不过,这些传统的网络安全措施有着很大的局限性,另外,蠕虫、病毒、DoS/DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度不断加快,留给人们响应的时间越来越短,用户来不及对入侵做出响应,已造成IDC内的服务器瘫痪。例如,某IDC用户因为长期被ARP蠕虫困扰,导致大量IDC用户的通信线路中断;某IDC用户托管在IDC机房的主机受到大规模的DDoS攻击而使业务长期严重受损;某IDC的电子商务用户因为其机器被黑客入侵导致大量业务数据流失。综合上述案例,并透过对国内多个地区的IDC(包括机房与用户)的安全调研,发现IDC用户存在的安全问题主要概括如下: ARP欺骗攻击、拒绝服务攻击、黑客攻击与后门/木马、蠕虫等。总体来看,网络攻击的动机从技术炫耀型转向利益驱动型,网络攻击的趋利性和组织性在继续加强,从而导致直接获得经济利益的恶意代码和攻击行为日益增加,大范围传播的恶意代码逐渐不再占据主流。
目前,随着各种网络恶意代码及网络攻击威胁的趋利性,应在互联网安全应急预案框架下,加强具体的处理流程规范制定,明确应急组织、网络运营商、用户、网络服务提供商 (ISP/ICP/IDC/域名注册商等)在具体的网络仿冒、恶意网页代码、拒绝服务攻击等安全事件中的责任和义务,为事件处理提供必要的政策依据,并形成快速、有效的安全事件响应机制,是遏止各种网络事件继续增加的重要方面。
3 网络安全设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急 ,考虑到技术难度及经费等因素,我们采取以下安全策略 :
(1)采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。
(2)采用防火墙技术、NAT技术、VPN技术、网络加密技术(IPsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。
(3)实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力 。
(4)建立分层管理和各级安全管理中心。
4 网络安全解决方案
DDoS(分布式拒绝服务)攻击由于易于实施、难于防御、难于追查等特点,已成为当前网络中流行的攻击方式,威胁与造成的损失日益增大。DDoS攻击不仅局限于单一目标,网络本身也逐渐成为DDoS攻击的牺牲品,网络链路、路由交换设备、运营商的DNS服务系统都不同程度的遭受了DDoS攻击的侵害。
对入侵行为的防御,防火墙是企业级安全保障体系的第一道防线,目前已经得到了非常广泛的应用,但是各式各样的攻击行为还是存在,这表明有某些攻击行为是防火墙所不能防御的,比如说应用层的攻击行为。
想要实现完全的入侵防御,首先需要对各种攻击能准确发现,其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析,仅能实现较为低层的入侵防御,对应用层攻击等行为无法进行判断,而入侵检测等旁路设备由于部署方式的局限,在发现攻击后无法及时切断可疑连接,都达不到完全防御的要求。
入侵防御系统(IPS)实行在线部署,相对于入侵检测系统(IDS)旁路部署,实现了从IDS的被动防御到IPS主动防御的质变。入侵防御系统(IPS)可以保护防火墙等网络基础设施,对Internet出口带宽进行精细控制,防止带宽滥用;可以抵御来自Internet的针对DMZ(demilitarized zone,隔离区)区服务器的应用层攻击和来自Internet的DDoS攻击;可以抵御来自内网攻击,保护核心服务器和核心数据,提供虚拟软件补丁服务,保证服务器最大正常运行时间。入侵防御系统以透明串联方式部署,实时分析链路上的传输数据,对隐藏在其中的攻击行为进行阻断,专注的是深层防御、精确阻断,这意味着入侵防御系统是作为安全防御工具存在,解决实际应用上的难题,进一步优化网络的风险控制环境。
未来,IDC市场的竞争将更加激烈。因此,如何在激烈的市场竞争中占据主动位置,已经成为IDC运营商们考虑的重点。显然,加强IDC中心网络安全,不仅使其IDC的管理和服务上升到了一个新的层次,走在了整个行业的前面,同时,也促进了整体信息社会的和谐发展。
[参考文献]
[1] 高永强,郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社.
[2] 张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社.
[作者简介]