现代计算机系统功能日渐复杂, 网络体系日渐强大, 正在对社会产生巨大的影响, 但同时网络易受黑客、恶意软件和其他不轨的攻击, 所以使得安全问题越来越突出。因此, 要提高计算机网络的防御能力, 加强网络的安全措施。网络的防御措施应能全方位地针对各种不同的威胁和脆弱性, 这样才能确保网络信息的保密性、完整性和可用性。
2 计算机网络安全面临的威胁
影响计算机网络安全的因素很多, 归结起来, 针对网络安全的威胁主要有4个方面:1) 实体摧毁:实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、兵力破坏和火力打击3种。2) 无意失误:如操作员安全配置不当造成的安全漏洞, 用户安全意识不强, 用户口令选择不慎, 用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。3) 黑客攻击:这是计算机网络所面临的最大威胁。此类攻击又可以分为2种:一种是网络攻击, 以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察, 他是在不影响网络正常工作情况下, 进行截获、窃取、破译以获得对方重要的机密信息。4) 网络软件的漏洞和“后门”:网络软件不可能是百分之百无缺陷和无漏洞的, 然而, 这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。
3 计算机防御对策
根据网络作战的目标范围, 网络作战模型包含4个层次:第1层次, 实体层次的计算机网络对抗;第2层次, 能量层次的计算机网络对抗;第3层次, 信息层次 (逻辑层次) 的计算机网络对抗;第4层次, 感知层次 (超技术层次) 的计算机网络对抗。针对不同层次对抗, 计算机网络防御应采取相应的对策。
3.1 实体层次防御对策
实体层次的计算机网络对抗以常规物理方式直接破坏、摧毁计算机网络系统的实体, 完成目标打击和摧毁任务。在平时, 主要指敌对势力利用行政管理方面的漏洞对计算机系统进行的破坏活动;在战时, 通过运用高技术明显提高传统武器的威力, 直接摧毁敌方的指挥控制中心、网络节点以及通信信道。这一层次计算机防御的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;建立完备的安全管理制度, 防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
在组建网络的时候, 要充分考虑网络的结构、布线、路由器、网桥的设置、位置的选择, 加固重要的网络设施, 增强其抗摧毁能力。与外部网络相连时, 采用防火墙屏蔽内部网络结构, 对外界访问进行身份验证、数据过滤, 在内部网中进行安全域划分、分级权限分配。对外部网络的访问, 将一些不安全的站点过滤掉, 对一些经常访问的站点做成镜像, 可大大提高效率, 减轻线路负担。网络中的各个节点要相对固定, 严禁随意连接, 一些重要的部件安排专门的场地人员维护、看管, 防止自然或人为的破坏, 加强场地安全管理, 做好供电、接地、灭火的管理, 与传统意义上的安全保卫工作的目标相吻合。
3.2 能量层次防御对策
能量层次的计算机网络对抗是敌对双方围绕着制电磁权而展开的物理能量的对抗。敌对方通过运用强大的物理能量干扰、压制或嵌入对方的信息网络、乃至像热武器一样直接摧毁敌方的信息系统;另一方面又通过探测物理能量的技术手段对计算机辐射信号进行采集与分析, 获取秘密信息。这一层次计算机防御的对策主要是做好计算机设施的防电磁泄露、抗电磁脉冲干扰, 在重要部位安装干扰器、建设屏蔽机房等。
3.3 信息层次防御对策
信息层次的计算机网络对抗是运用逻辑手段破坏敌方的网络系统, 保护己方的网络系统的对抗。主要包括计算机病毒对抗、黑客对抗、密码对抗、软件对抗, 芯片陷阱等多种形式, 防御对策主要是防御黑客攻击和计算机病毒。
3.3.1 防御黑客攻击
黑客最常用的手段是获得超级用户口令, 他们总是先分析目标系统正在运行哪些应用程序, 目前可获得哪些权限, 有哪些漏洞可加以利用, 并最终利用这些漏洞获取超级用户权限, 再达到目的。因此, 对黑客攻击防御, 主要从访问控制技术、防火墙技术和信息加密技术入手。
1) 访问控制:访问控制是网络安全防范和保护的主要策略, 他的主要任务是保证网络资源不被非法使用和非常访问。2) 防火墙技术:防火墙是近期发展起来的一种保护计算机网络安全的技术性措施, 他是一个用以阻止网络中的黑客访问某个机构网络的屏障, 也可称之为控制进/出2个方向通信的门槛。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙3种类型。3) 信息加密技术:信息加密的目的是保护网内的数据、文件、口令和控制信息, 保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。
信息加密过程是由形形色色的加密算法来具体实施, 他以很小的代价提供很大的安全保护。如果按照收发双方密钥是否相同来分类, 可以将这些加密算法分为常规密码算法和公钥密码算法。
在常规密码中, 收信方和发信方使用相同的密钥, 即加密密钥和解密密钥是相同或等价的。在公钥密码中, 收信方和发信方使用的密钥互不相同, 而且几乎不可能从加密密钥推导出解密密钥。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用, 比如:利用DES或者IDEA来加密信息, 而采用RSA来传递会话密钥。
3.3.2 防御计算机病毒
如果说, 黑客们入侵计算机网络事件是从计算机网络中向外窃取信息情报的话。那么计算机病毒则是人们向内攻击计算机网络的方法了。防御计算机病毒, 首先要进行计算机病毒的种类、性能、干扰机理的研究, 加强计算机病毒注入、激活、耦合技术的研究和计算机病毒的防御技术的研究。
3.4 感知层次 (超技术层次) 防御对策
感知层次 (超技术层次) 的计算机网络对抗是网络空间中面向信息的超逻辑形式的对抗。网络对抗并不总是表现为技术的、逻辑的对抗形式, 如国内外敌对势力利用计算机网络进行反动宣传, 传播谣言, 蛊惑人心, 进行情报窃取和情报欺骗, 针对对方军民进行心理战等, 就已经超出网络技术设计的范畴, 属于对网络的管理、监察和控制的问题。
4 结束语
解决方法
1、对于每个网站建立一个用户、并将用户放入guest组,给站点写入、读取的权限。并在iis上允许匿名访问。
2、
将以上代码复制到C:WINDOWSMicrosoft.NETFrameworkv2.0.50727CONFIG web.config 中
的以下地方:即可实现禁止跨站、禁止读取iis信息、禁止cmd命令执行,
3、asp.net1.1 在machine.config 中搜索
代码作用:模拟匿名帐户来运行网站程序。
关键词:网络通信;安全分析;安全防御;措施
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 06-0078-01
随着社会文明进入了电子计算机时代,我国的网络通信工作也取得了空前的发展,特别是我国网络通信安全分析及其防御工作更是取得了不斐的成绩。由于其自身发展的安全分析工作与安全防御措施工作,不仅是保证网络通信信息安全的重要保护措施之一,还是更好为保证用户信息隐私的重要手段之一,因而如何科学合理的提高网络通信安全分析与安全防御工作,就成为了当前网络通信安全防护工作首要关注的焦点之一。
一、网络通讯安全的定义探析
众所周知,随着社会科学技术的不断发展与网络计算机技术的不断发展,我国的网络通讯工作也取得了不斐的成绩。然而,其自身的网络通信安全工作也成为了当前各个国家网络通信工作发展的关键性制约性因素之一。文中所提到的网络通信安全主要是指,安全工作人员或者是用户自身对自己所使用的网络通讯交流的电脑、信息以及其它等等涉及隐私的信息进行合法保护的技术措施。网络通讯安全的不断提高,不仅可以在最大程度上迅速提高自身通信内容的安全性,还能有效的防治外来病毒、木马以及黑客的潜在威胁,使得自身的通讯安全与客户信息安全得以最大程度的保障。
二、网络通信安全影响条件探析
1.政府公开信息交流的影响。该影响因素只要是针对于国家政府的网络通信平台而言,由于其自身存在信息通讯开放性的特征,使得其极易受到其它黑客与普通通信线路的攻击,从而使得政府信息容易遭到一定程度上的损失。
2.计算机系统及网络固有的易损性使其受攻击不可避免。
3.计算机网络通信中的病毒、木马以及蠕虫等不良插件与非法网站的传播,使得网络通信安全系统极易遭到不定期的攻击,从而使得网络通信信息遭到一定的损坏与丢失。
4.由于系统中要使用大量的商用软件与其它不同形式的改进软件,这些软件中很有可能含有大量的插件与病毒,这些插件与病毒很有可能会使得商用软件的源代码,源程序完全或部分公开化,使得这些软件具有众所周知的安全问题。
三、加强网络通信安全分析与安全防御措施探析
1.网络通信安全中的身份鉴别系统的应用。网络通信安全分析与安全防御工作者,可以合理的在计算机上与通信记录中设置只有管理人员所能够进入的身份识别密码,从而使得整个网络通信安全能够具备更强的安全性;除此之外,管理人员一旦发现对方不是权限用户进入,就可以对其进行有效的清除,从而使得网络通信具备更强的安全防御功能。
2.网络通信用户所使用的网络通信技术要最大程度的使用经过授权后的商用软件,通过不断使用正规的官方软件来不断提升自身网络通信的安全性与可靠性,
3.其它网络通信安全技术的应用。虽说当前网络上存在的病毒、木马、蠕虫以及黑客众多,但是我们也可以采取适当的科学技术对其进行科学合理的技术来不断提升网络通信的安全性。
第一,密码技术的应用。所谓的密码技术的基本思想就是通过不断改变网络通信的信息文件的进入密码,从而使得其能够具备更强的保护功能。
第二,防火墙技术的应用。网络通信安全技术的人员可以在自身的通信系统中安装多道计算机防火墙,进而不断提升网络通信技术的安全性。
第三,网络通信安全与防御的工作人员可以在自身的通信系统中安装科学有效的病毒、木马以及蠕虫等方面的防护软件。网络通信安全与防御的工作人员除了要不断增强网络通信中的防火墙技术之外,还要合理的在自身的系统中安装病毒与木马等安全防护软件。如:网络通信安全与防护的工作人员可以在自身的主机电脑中安装《金山安全卫士》、《金山毒霸》、《QQ电脑安全管家》、《贝壳木马专杀》等等。除此之外,网络通信安全与防御的工作人还可以在电脑中采用密钥管理技术,其不但可以最大程度的提高网络通信的安全性,还能在一定的程度上增强通信信息的可靠性。
另外,由于网络通信安全问题还有人员方面和软硬件设施、传输信道、通信网建设与管理等方面的原因,需要做好人员教育培训和软硬件设施建设以及传输信道、通信网管理等工作。针对管理人员安全观念不强、安全防护技术缺乏的问题,需要向管理人员灌输安全第一的认识,明确网络通信安全的地位,保证网络通信的完整、可用、可控制和保密性;针对软硬件设施等方面的安全隐患,需要做好系统规划设计工作,加强安全鉴别、防护力度,严格审批,统一标准,提高网络维护管理水平,避免人为因素干扰。只有做好人员管理和系统管理,才能保证用户识别技术、计算机病毒防范措施等各项安全分析和安全防御措施落到实处,才能切实提高网络通信安全水平,真正保证网络通信安全。
四、结语
综上所述,关于网络通信安全的技术措施很多,包括数字签名、VPN技术等多种安全技术。网络通信信息安全技术保护人员,除了要在自身计算机网络通信中科学合理的安排有效的防火墙之外,还要对用户的信息进行合理适当的密钥管理与访问权控制管理,以此来不断提升自身网络通信安全,使得用户的通信信息得以最大程度的保障。以上仅对网络通信安全分析及其安全防御措施进行了粗浅的探讨,希望能使廣大用户对网络通信安全有一定的了解和认识,以便于人们在网络通信中的安全防范。
参考文献:
[1]陈川.软交换网络通信的安全分析与措施[J].网络安全技术与应用,2011,7
[2]张士兵.对IP网络电话发展趋势的探讨[J].南通工学院学报(自然科学版),2002,2
关键词:局域网,安全,配置,设计
在信息时代里, 几乎每个人都面临着安全威胁, 都有必要对网络安全有所了解, 并能够处理一些安全方面的问题。
1 局域网安全防御总体规划
1.1 安全设计要求与目标
安全设计要求:局域网从物理层、链路层、网络层、操作系统、应用平台、应用系统几方面建立全方位的网络信息安全策略;能够对整个网络实施分层次、多级别的安全防护;具有预防检测、告警、修复等应急反应功能。
安全目标为:保护局域网系统的可用性;保护网络资源的合法使用性;防范入侵者的恶意攻击与破坏;保护信息通过网上传输的机密性、完整性及不可抵赖性;防范病毒的侵害;实现网络的安全管理。
1.2 安全系统总体设计思路
1.2.1使用系统前:按照用户级别和处理的密级进行授权。1.2.2信息处理前:验证入网用户身份的真实性, 身份不符者, 不能使用系统;核实用户拥有的访问权限和级别, 根据拥有的权限和级别启动相应的系统。1.2.3信息处理中:连接建立适应进行对等实体鉴别、以防假冒;对传输和存储的信息进行加密, 以防信息被非法窃取和泄露;验证传送信息的完整性, 以防篡改;保证信息资源在授权范围内的可用性和可共享性;控制使用信息的权限和级别, 权限不符者控制对信息的使用;记录使用系统和信息资源的轨迹, 确保信息使用的合理性;对违反系统安全的时间进行告警。1.2.4信息处理后:防止行为主体的事后抵赖;审计跟踪违反安全策略的时间和责任。
2 局域网安全系统设计
2.1 网络结构安全设计
网络结构与整个系统的安全保密密切相关, 既要发挥网络在信息处理方面的优势, 又要最大限度的保障系统的安全。网络结构应该考虑如下因素:2.1.1各单位的园区网、局域网与外部网络之间应该保持最小耦合度, 原则上只有一个物理接口, 以便于进行安全管理;2.1.2重要部门的局域网根据其对安全保密的要求可采用物理隔离;2.1.3各级网络信息处理中心的职责是提供面向全网的信息服务, 并保证全网的互联互通, 在保证与其它网络的物理隔离基础上, 各级信息处理中心原则上对全网开放, 各单位的信息可以通过信息中心进行发布。2.1.4内部网络只允许授权用户访问。
2.2 网络防御系统设计
局域网安全防御系统主要包括:防火墙系统、安全检测分析系统、入侵检测系统和病毒防御系统。2.2.1局域网根据各网络功能、保密水平和安全水平的不同应用不同类型防火墙系统将网络分段进行隔离, 把网络划分成一些相对独立的子网, 两侧间的通信受到防火墙的检查控制。对重要网络的访问进行控制与检查, 可以根据既定的安全策略允许特定的用户和数据包穿过, 同时将安全策略不允许的用户和数据包隔断, 实现对重要网络的安全访问控制功能。达到保护高安全等级的子网、阻止墙外黑客的攻击及限制入侵蔓延等目的, 可有效提高整个网络的安全性。主要功能为:访问控制, 包括包过滤、时间控制、网络地址转换 (NAT) 、IP地址映射、HTTP过滤、FTP过滤、IP地址与MAC绑定、支持内部网段划分等;支持安全服务器网络, 保护公开服务器 (多端口设计) ;具有安全事件审计功能;具有VPN功能, 支持网间加密;防火墙管理具有远程网络管理功能, 可实现集中网络安全管理;2.2.2应用系统安全访问控制系统。对各级办公网络重要的Web服务器配置Web访问控制系统进行访问权限设置, 由安全管理中心进行统一管理, 客户端根据管理中心的授权获取相应的服务, 有效地防止假冒进入网络。主要的功能有:用户授权 (访问控制) 。权限应包括代表用户身份的ID号、口令、允许访问的系统资源范围等;用户身份验证。用户登陆时身份验证机构能够接受用户的访问服务请求, 进行身份验证检查, 根据用户的身份进行访问控制;Web访问控制应支持细粒度和基于角色的访问控制审计和记录。应能对访问用户的姓名、时间、访问的资源等进行记录。安全配置和管理。管理界面友好、能在安全管理中心对用户、用户组进行注册;管理所属信息资源、定义角色和访问控制权。2.2.3网络病毒防御系统。在网络环境下, 病毒有不可估量的威胁性和破坏力, 病毒侵害小则引起死机影响工作、大则可能引起系统瘫痪 (彻底摧毁数据) 。局域网中使用的操作系统一般均为WINDOWS系统, 比较容易感染病毒。应该对所有潜在的病毒进入点实行全面防护, 在防火墙上配置防病毒网关, 在网络服务器和用户终端上分别配置C/S病毒系统, 及时升级、发放新版本防病毒系统。可实时检测网络各类计算机病毒, 查杀各类病毒, 并可以进行升级, 能针对易感染病毒的网络计算机系统, 采取有效的手段检测并杀灭各类计算机病毒, 适应未来新型病毒防治需要。主要功能有:实时网络病毒监控功能;扫描压缩文件病毒功能;多种扫描方式 (快速、安全、和查阅方式) ;日志管理功能;能及时进行版本更新;可清除网络病毒;提供在线帮助;预定扫描功能, 可定时定期对特定目录、文件扫描。2.2.4网络入侵检测系统。入侵检测系统完成网络、系统活动的监视, 记录分析网络数据流, 对可疑事件进行报警, 对网络入侵活动作出及时安全反应。入侵检测系统IDS (Intrusion Detection System) 主要由分布式的网络安全探测器及网络安全控制中心组成。IDS配置在各级网络中心, 探测器分布在地区网络、接入网络所连接的下级局域网及办公网中, 可对特定网段、重要服务建立的攻击监控体系, 可实时检测出绝大多数攻击, 并采取相应的行动 (如断开网络连接、记录攻击过程、跟踪攻击源等) 。安全控制中心为信息系统提供安全体系管理、监控、保护及紧急情况服务。主要功能有:实时跟踪网络数据流;应该能够识别和学习各种网络攻击模式;捕获网络安全违规活动;对网络安全事件及时报警;记录网络攻击的内容, 并提示安全管理员采取相应安全措施;支持用户自定义网络安全策略和网络安全事件;对网络通信不加任何时延。2.2.5网络安全检测分析系统。网络安全检测分析系统对网上的服务器、网络设备、安全设备及用户终端进行安全性检测分析, 报告系统、网络中存在的安全隐患和漏洞, 提出补救措施, 辅助各级网络安全管理人员进行安全管理。根据需要在各级网络中心及局域网进行安装配置、使用。通过定期的安全漏洞检查分析, 及时补救, 有效提高网络系统的安全性能, 即使攻击可到达攻击目标, 也可使绝大多数攻击无效。网络安全检测分析系统应具有以下功能:具有网络安全性扫描分析能力;具有安全策略自定义能力;面向多操作系统, 具有较强的实用性;具有远程和本地两种工作模式;应能准确全面报告网络存在的弱点和漏洞;能评估网络安全等级;能评估网络毁伤效果;能报告扫描对象相关信息和对外提供服务;能够建议补救措施和安全策略;具有生成分析报告的能力;具有自我防护能力。
结束语
防火墙处于系统最外层, 是整个网络安全防御系统的门户, 主要是将内部网络和外部网络隔离, 对进出的数据包和协议进行过滤和访问控制。入侵检测系统在安全防御系统的中层, 对整个网络进行实时监控和分析, 包括监控流经网络的数据包即用户的行为, 检测系统是否受到攻击和遭到黑客入侵, 并对异常现象和行为进行分析, 及时作出相应的响应和报警。安全检测分析系统位于安全防御系统的里层, 用于系统安全分析, 风险评估和漏洞扫描, 主要针对各种操作系统、应用软件和网络系统的安全配置和安全性能进行检测分析。病毒防御系统在防毒网关处对进出网络的信息数据严格检测扫描, 堵住病毒的进入;C/S病毒检测模块实时监视检测病毒, 定期扫描网络主机、服务器和工作站的系统和文件, 查杀病毒, 及时把病毒扼杀在发起处, 防止病毒的扩散。
参考文献
[1]计算机网络安全与加密技术[M].北京:科学出版社, 2001.
[2]计算机网络攻击技术研讨会.中国电子学会, 2002, 10.
[3]网络信息安全与对抗[M].北京:解放军出版社.
[关键词]校园无线网络;安全问题;防御技术
引言
随着科学技术的不断进步,互联网的全球范围内的普及,校园网逐渐的成为学校必不可少的信息基础设施,与此同时,也逐渐的演变为提高教学质量、科研水平以及管理水平的重要手段。校园网是利用先进的计算机技术以及现代化的网络,连接校园内所有的工作站、服务器、局域网以及相关设备,从而使得各种各样的教学资源、管理方法以及思想政治教育活动在软硬件平台上进行有效的互动,实现教学水平质的提高。
1校园网络安全的概念及安全风险
大数据是指携带巨量信息的高增长率和多样化的信息资产,正处蓬勃发展阶段,怎样保证其安全可靠是一个亟待解决的问题。病毒探测、主动防御等传统安全防护体系,无法适用大数据的可靠性管理[1]。大数据安全防御的重点是构建可行的防御模型。本文基于大数据可靠性需求,提出一种动态安全算法,构建了大数据安全防御模型。
大数据安全防御模型的构建
安全架构层次设计。本文将大数据安全架构划分为以下4个层次:
数据拆分层,主要按照数据拆分策略对大数据进行分布式管理,通过聚类算法对所获取的数据集进行分类和预处理。
数据分析层,主要分析预处理之后的大数据,分析目标包括可疑病毒、非法任务等。发现的风险因素会被立即隔离。
数据包装层,主要实现大数据的有效封装。封装时要充分考虑信息的加密需求,确保封装后数据的隐私性、准确性和安全性。
客户应用层,主要是大数据的使用者和分析报告的上传者。
安全防御体系的定义。本文以粒子群算法为基础,构建大数据安全防御体系。
首先为计算出大数据的信任度,提出以下4个定义:
定义1:如果信任度的起始与个体最好值 相等,则进行迭代操作的时候不再改变;假若信任度的起始值比上一值更优,则根据粒子群算法的规则,以起始值替换上一值: 。
定义2:为提升寻优效果,引入进化度θ: ,当经过多次迭代且θ=1时,表示寻优能力已经符合要求。
定义3:粒子群所有成员的个数以 表示,因此可以把动态因子的耦合度以 表示,耦合度的大小与数据的分散程度有关,当耦合度接近于1的时候,证明局部最优解已经形成。
定义4:结合以上3个定义,能够将动态信任因子表示为:
基于上述研究成果,为描述大数据安全防御行为,提出以下5个定义:
定义5:假若大数据可靠度处在信任因子范围内,则可以视为大数据是强安全的,表示为:
定义6:假若大数据可靠度处在信任因子范围内,但对于其他的访问者处在“开放访问”状态,则被视为弱安全,表示为:
定义7:在合法性方面,假若大数据处在最高合法水平,并且对于其他的访问者处在“不可访问”状态,则大数据被视为强合法状态。表示为:
定义8:假若大数据处在最高合法水平,并且对于其他的访问者处在“验证访问”状态,则大数据被视为弱合法状态。表示为:
定义9:假若大数据处在“开放访问”状态,则大数据被视为不合法状态。表示为:
最后,客户的操作请求与大数据可靠度间的关系表示为:
安全防御体系证据分析。为保证大数据的“强安全”与“合法状态”,假设大数据服务信息系统共拥有m台服务器,在m台服务器中,提取n台作为构建安全防御体系的数据样本。进一步假设,从n台服务器所获取的样本数据α∈泊松分布,则这些样本在服务器输入端以排队的方式等候处理和传输,等候时间为1/α[2]。如果一段数据信息的等候时间超时,则可视为信息已被丢弃。此时会生成一个反馈信息,通知信息的发送者重发信息。结合马尔科夫定律,在这种数据传输环境中,可靠度不足的信息识别是符合遍历准则的[3]。
安全防御模型实现流程。综上所述,完整的大数据可靠性防御模型实现流程为:
安全防御的初始化过程,新任务加入等待队列。如果轮到该任务进行处理,便将其信息从数据存储区提取出来,按照数据预处理策略进行分布式管理和数据集分类。
当判定数据为有效信息之后,将任务提交数据拆分层进行信息拆分处理。在信息拆分之前,系统预置了信息判定单元,这个单元的功能是对所有的信息处理过程引入来自云端的可靠性监控。
如果信息中所含有的任务之和能够进行分解,使之成为n个子任务,则分割函数可以表示为:
将拆分形成的子任务提交数据分析层进行分析处理。如果子任务信息已经在任务数据库中存在,则判断为重复任务,将其删除以保证数据库的低冗余。
分析处理完毕的子任务,提交到数据包装层。依据其独有的索引代码,形成哈希表,将其重新连接为一个整体的任务单元,并进行加密封装,之后传输至客户应用层。
判断是否存在下一个需要处理的任务;如果存在,则转至第一步。
本文提出的大数据安全防御模型,基于动态安全算法,能够克服传统网络安全管理体系不足,在信息安全受到威胁之前定位和清除隐患。该模型成功实现了基于云计算环境下的大数据安全隐私保护,符合大数据可靠性管理要求,具有较高推广价值。大数据时代,现有的数据隐私保护技术还不够完善,需要从科研和技术层面加大对云平台的大数据安全隐私保护的研究。
1 雷击地面物的规律
雷电伤人一般有一定的规律可循。其一, 突出地面越高的物体越易遭雷击。当闪电先导通道下窜距地面约二三十米左右时, 在雷雨云下方的物体尖顶 (或尖端) 处发生主放电, 以几百安培的电流把雷雨云与大地间的气隙击穿。在地面突出物上方发生回闪放电的概率最大, 因为在地面导体尖端处附近聚集的导电粒子最多, 那里的电场最强。其二, 闪电放电通道通常不是直线, 而是曲曲折折的, 它沿着导电率较强的带电微粒聚集的路径伸展。其三, 水的电导率较高, 物体若被雨水淋湿等于穿上一层导电外衣。因此, 在雷雨时, 淋湿的树木、墙壁等千万靠不得。池塘、河岸、水稻田、低洼潮湿地方都极易落雷, 在近水处雷击死伤人数远多于其他情况的原因。总之, 突出地面越高的物体, 导电性越好的物体就越容易遭到雷击。
2 关于人体的雷电防御
2.1 不做地面的突出物
一般来说, 地面突出物体易遭雷击。由此, 人体防御雷电要遵守两大原则:一是要尽量降低自身的高度, 不要使自己的身体成为地面的突出物。由此, 在雷雨时, 一定不要在平坦的马路上骑马、骑自行车、驾驶摩托车或敝蓬拖拉机等等, 因为此时你可能成为周围环境的突出物而招引雷击。当然也不能携带铁制品与身上, 因为这样会增加自己被雷击的几率。同时, 如果自己身处没有较自己突出物体的地方, 手举雨伞也是非常危险的。二是要尽量减少自身与地面的接触面积, 最好的办法是就地寻找低凹之处。如果寻觅不到这样的地方, 可以就地双脚并拢蹲下, 一方面可以减低自身的身高, 同时也避免跨步电压的危害。
除了降低自身身高之外, 借助地面突出物进行避雷也是不可取的。因为一旦说雷电击中这些突出物, 那么瞬间就会产生接触电压、旁侧闪击相跨步电压, 进而也会危及到自身, 严重者甚至会毙命。在此, 必须要纠正一个错误的观点, 并不是很高的物体才有受雷击的危险, 那些低矮的突出物也是非常有危险的。像孤立的小亭子、小草棚、干草垛、土丘、坟头等, 虽然他们相对来说高度不是很高, 但是一旦被雷电击中会产生较平地更大的危险性。因为很有可能他们会因为雷击而引起火灾或者是坍塌, 进而导致自身的身体伤害。
2.2 不要接触地面导电较好的物体
地面导电较好的物体可以引发雷击是一个不争的事实, 这些导电较好的物体包括了金属、水源等等。由此, 做好雷电防御, 必须要远离这些物体。最好不要到湖泊、河海处钓鱼和划船, 也不要去游泳, 因为这些导电体是雷电流的良好通路。在大雷雨的时候, 也不要接触金属制品, 或者是站在金属制品的旁边, 只有这样才能有效的预防接触电压、旁侧闪击和跨步电压。在农村, 人应尽量避免在有烟囱的灶前操作。因为烟囱里的烟是良好的导体, 高的烟柱吸引着闪电, 炽热的气柱也有同样的作用。而对于雷雨中出现电力线、通信线断落的情况时候, 一定不要擅动, 应该派遣专门的人员看护, 严禁人畜靠近, 并及时通知相关维修人员及时进行抢修。
在雷雨来临的时候, 严格意义上待在屋内是比较安全的。但是, 近些年也不乏许多在屋内被雷击伤亡的例子。主要原因在于当下随着经济水平的提高, 屋内安装电子产品的居民是大大增加, 不少舍内雷击事件的产生多是由于这些电子产品的引雷入室。鉴于此, 在雷电多发地区, 或有条件的住宅及办公楼、车间、机房、厂房、实验室等处, 可在户内安装雷电保护器, 它可使沿电线入室的雷电流对地短路。一般情况下, 雷雨时.最好将电视机、收音机音响无线电台的室外天线及时直接接地, 并且最好让室内的电子设备与室外天线断开。除非十分紧急的情况下, 最好不要在雷雨时使用电话, 在农村旷野中的住户尤应注意这一点。
2.3 做好雷击伤人后的救护工作
雷电致人死亡通常有两种情况, 一种是雷电流导致人心脏纤维性颤抖, 导致血液停止。第二种雷电流击中人体的呼吸中枢, 导致呼吸停止。有的时候也会产生假死的现象, 呈现为没有心跳和呼吸, 但是在进一步的抢救中却可以苏醒过来。一般来说, 如果一个人不幸被雷电击中, 但是尚且存在呼吸, 十之八九还是可以再生还的。但是, 很多情况下, 人们并不了解这种情况, 尤其是在农村, 不少人把遭雷击后昏迷的人当做死人进行了处理, 不知“死击”还可能有回生的可能。所以, 做好做好雷击伤人后的救护工作, 也是非常有必要的。
当发现伤者开始有心跳时, 要及时给予抢救, 每五分钟要对其进行一次嘴对嘴的人工呼吸。如果发现伤者已经没有心跳了, 那么就要对其心脏和呼吸一齐进行急救。可以选择将伤者背部朝下平躺在地面, 然后有手掌的下部用力的按压其胸膛, 压在腕骨下半部和肋骨之上, 大约一分钟一次的时间或者是更快。要保证每按压胸部十五次, 就要进行两次嘴对嘴的人工呼吸, 如此交替进行抢救, 可取的良好的效果。如果身边还有可以帮助的人员, 两个人可以同时进行救护, 一个人按照一秒钟一次的频率按压伤者的胸部。另一个人则要每按压胸部五次, 就要进行一次人工呼吸。这样的救护工作应该持续到伤者心脏恢复跳动和呼吸开始为止, 或者是等到专业人士的到来。当然在有条件的地方, 当发现有被雷击伤者的, 最好立马送到医院进行紧急抢救。
参考文献
[1]周炳辉, 林坚, 张其敏.从一宗雷击事故看如何加强遂溪县农村雷电防御工作[J].气象研究与应用, 2010 (, S2) :172-173.
[2]徐立农, 卢海芝.雷电防御中对暂态电位升高引起雷电反击的处理[J].青海气象, 2007 (, S1) :39-40.
一、涉密计算机信息安全所面临的威胁
(一) 人为泄密
信息安全最大的安全隐患时人为因素导致的泄密。人为因素导致的泄密可以分为两类:一类是人为无意识的, 因工作失误或一时大意在自己没有意识到的情况下把信息泄露出去, 被敌特分子捕获、窃取、截取。例如, 政府或军队人员将私人计算机连接涉密网, 并且利用网络上的杀毒软件对计算机进行杀毒, 或者是利用信息存储介质经过上操作系统连接涉密计算机, 存储介质中隐藏的木马病毒或间谍程序会将涉密网在线计算机的涉密文件打包窃取。
(二) 网络泄密
1. 涉密计算机联接互联网引发泄密
我国现在使用的涉密计算机中的零部件大部分都是境外公司生产的。Windows操作系统中常见的“缓冲区益处”漏洞如果被人利用, 一台联网计算机可在2分钟内被人攻陷, 并能将计算机中存在的机密文件进行打包窃取, 因此, 涉密计算机一旦连接互联网络, 很有可能会将机密信息泄密给境外敌特分子。
2. 私人计算机联接涉密网引发涉密
如果私人计算机连接涉密网将会存在难以防范的安全风险。第一, 网络中存在的间谍软件、木马病毒、攻击代码等会经过私人计算机进入到私密网络中窃取机密信息。第二, 若果私人计算机接入到涉密网络中, 保密管控将不能在提供有效防护功能, 在私人计算机进行网络下载、信息传递等活动中, 随时都有可能被恶意攻击, 泄露机密。计算机连接涉密网络中的配置ID地址、连接网络账号, 网络传输协议等都是机密事项, 如果这些信息被敌特分子获得计算机内的机密文件必将受到威胁。
3. 信息设备泄密
计算机配套使用的打印机、复印机、传真机等办公设备, 处于工作状态时都会产生一定的电磁辐射, 这也会造成机密信息电磁泄露。敌特分子可在数百米外利用设备可以对这些电磁辐射进行接收放大还原, 获取机密信息。敌特分子还可以在电子设备内部装置存储芯片, 可以存储2-3年的信息资料, 他们利用设备维修或变卖的时候进行回收取出存储数据。
二、涉密计算机管理和防范对策“保守机密, 慎之又慎。
”加强对涉密计算机的安全保密, 必须严格管理, 严密防范
(一) 要在严格管理上下功夫
加强学习保密法规, 提高个人安全防范意识。加强对涉密计算机、涉密存储介质、客户端等的安全管理, 不仅要对机器等硬件方面采取必要的安全防范措施, 更主要的是提高人的安全防范意识, 提高人的安全技能操作。所以, 安全防范重点是对设备和人作为重点来抓, 强化机关人员、涉密部门人员、计算机终端操作人员的涉密法规教育, 不断加强培训其的保密技术能力, 以提高涉密人员的保密意识和保密工作的技能。
(二) 要在加强防范上花力气
第一, 涉及机密文件的计算机必须是单位统一配发的办公专用计算机, 并给涉密计算机建立严格的保密管理档案, 从设备的购置、使用到维修、弃用等都必须记录在涉密管理档案, 对其进行全方面、全寿命的精确管理。不得随意卸载设备装载的“保密管理系统“或者对其权限进行更改及安装双操作系统。第二, 必须拆除涉密计算机的调制解调器, 封闭计算机的无线上网功能, 对计算机实施MAC地址和IP地址绑定, 设定联网端口权限绑定、主机登录控制等措施。所有涉密网的入网端口, 必须设置在安全可空的办公场所, 入网端口不得设置在个人宿舍或非工作场所。第三, 使用的存储介质必须通过”保密管理系统“的认证注册, 对其进行统一的编号, 管理, 也建立严格的涉密管理档案, 实施全方位、全寿命的精细化管理, 切断和外部设备进行交互的途径。做好离岗人员涉密载体的清退工作, 严格预防涉密文件滞留个人手中, 脱离安全控制。第四, 加强对联网计算机的技术检测和安全服务, 及时修补系统漏洞, 定期查杀“木马”, “蠕虫”等病毒程序。
(三) 要在防范技术上下功夫
第一, 运用内容过滤器和防火墙。过滤器技术可以屏蔽不良的网站, 有强大的堵截功能。防火墙技术包含了动态的封包过滤、应用代理服务、用户认证、网络地址转接、IP防假冒、预警模声、日志及计费分析等功能, 可以有效地将内部网与外部网隔离开来, 保护网络不受未经授权的第三方侵入。第二, 运用VLAN技术。采用交换式局域网技术, 可以用VLAN技术来加强内部网络管理。第三, 进行访问控制。这是网络安全防范和保护的最主要措施之一, 其主要任务是保证网络资源不被非法使用和非法访问。
三、结束语
防范计算机泄密是一项复杂的工程, 需要大家从自身做起, 加强保密意识, 自觉遵守保密规定, 做到涉密器材与互联网的物理隔绝, 并确保维修维护环节的涉密信息的安全。
摘要:计算机应用给我们的工作和生活带来了便捷的同时也存在着一定的安全隐患。文章首先指出了计算机信息安全所面临的主要威胁, 人为泄密、网络泄密、信息设备泄密、存储介质泄密等因素计算机泄密的主要原因, 然后阐述了加强计算机信息管理的措施, 加强管理, 提高保密意识是杜绝泄密的根本, 实现保密器材与互联网的物理隔绝是杜绝泄密的重要保证。
关键词:信息安全,计算机,互联网络,泄密,安全对策
参考文献
[1]王小峰, 连永梅.网络安全的防御策略研究[J].忻州师范学院学报, 2010, (02)
[2]赵禹.信息设备的电磁信息泄漏与防护技术[J].魅力中国, 2009, (04)
1 我军计算机网络防护的现状
随着时代的发展和中国的计算机行业的扩张, 军队已经建立了有效的内外互相网络, 大大增加了计算机用户的数量。但是, 我们的军用计算机用户能够抵抗病毒还比较薄弱。这主要是因为:
1) 用户对计算机安全意识较低。美国军用计算机系统中, 大多数用户必须有一些安全控制, 必须具有反病毒的能力。与美国相比, 我军的信息系统以建立一个可以使用的应用系统为目的, 信息保护和信息安全的总体方案没有得到足够的重视。
2) 计算机用户的安全管理水平太低。与美军相比, 我们的军队已经落后于目前的计算机应用水平, 网络应用还处于初级阶段。如果始终维持这种现状, 就会造成重大的网络安全隐患, 一旦电脑受到攻击, 这些安全隐患将会变成病毒攻击的主要途径。
3) 用户的反病毒水平较低。现在世界上成熟的防病毒技术已经完全能够阻止所有已知的木马和病毒, 主要采取了:实时监控技术, 自我解压技术和反病毒的技术平台支持。目前, 美军已经广泛使用了上面三种技术。但是军队装备的反病毒技术的软件能力各不相同, 覆盖面也不完全。
2 军事信息网络存在的隐患和面临的威胁
近年来, 攻击中国互联网, 使用互联网的攻击来窃取资料和有价值信息的案件屡见不鲜。这些计算机网络发生的泄密, 大都与安全管理问题有关。随着网络应用的普及, 利用计算机进行信息犯罪的概率将呈上升的趋势, 我们必须引起高度重视。
随着军事信息技术和网络的发展, 军事网络安全面临的威胁日益突出, 而且是大范围的, 多层次和致命的。美国具有因特网上的信息和技术优势, 凭借着网络霸权, 把计算机网络作为正式的战争样式, 发展对其他国家的网络攻击武器, 对其它国家的信息网络构成了直接或潜在的威胁。
2.1 安全需求
军事网络安全的需求主要包括用户端安全需求、数据服务器安全需求和数据网络传输安全需求。具体的安全需求内容如下:
2.1.1 用户端安全需求
1) 对用户身份进行确认:防止假冒, 非授权访问。
2) 对用户数据信息进行加密:防止非授权读取。
3) 保证用户数据的完整性:防止非授权篡改数据。
4) 保存用户数据的操作行为记录:防止数据发送方或接收方抵赖。
2.1.2 数据服务器安全需求
1) 数据的保密性:防止非法用户窃取敏感数据。
2) 数据的完整性:防止非授权篡改数据。
3) 数据的可用性:防止拒绝服务攻击。
2.1.3 数据网络传输安全需求
1) 对涉密数据传输进行加密:防止非法用户中途窃听。
2) 对传输的数据要求完整:防止非授权修改数据。
2.2 方案的系统结构
通过对军事网络安全的需求分析, 在确定设计原则后, 就能够有针对性的构建一个网络安全防御系统。网络安全防御系统不仅需要考虑使用先进的技术, 而且需要有严格的安全管理制度和法律约束进行配合。采用各种技术手段保证目标的实现。具体设计的方案如图1所示。
实施物理保护目的是防止自然灾害, 人为破坏和线路盗连攻击对计算机系统, 网络服务器, 其他硬件实体和通信链路造成的破坏。通过验证用户的身份和权限, 以防止未经授权的操作用户;确保有电脑系统具有良好的电磁兼容工作环境;建立全面的安全管理制度, 以防止未经授权进入电脑控制室进行各种偷窃和破坏。
数据保护主要是对移动数据进行管理, 保证操作系统的安全和对传输过程进行加密。
移动数据管理方面需要建立一个有效的管理制度。目前, 移动硬盘驱动器和优盘等存储设备, 由于它的易用性好, 得到了广泛的应用。许多部队在使用移动硬盘来保存较为重要的一些信息。但是, 移动硬盘的易用性好, 也带来了巨大的信息安全风险。由于机密信息的存储能够进行随身携带, 并可以在任何一台电脑上进行使用, 移动硬盘的数据安全性并不能完全得到保证。
操作系统是计算机中最重要的系统软件, 对系统的安全和稳定的起着非常重要的作用。由于在计算机系统的硬件和软件接口的特殊性, 使他们成为操作系统中攻击的首选目标。操作系统的安全漏洞将不可避免的成为整个军队的信息系统的安全威胁。
传输是加密的数据在传输过程中进行加密, 加密的数据不可被解读。数据加密能够在网络OSI多层协议上进行操作, 加密技术的应用方式来看, 主要采用了链路加密和端对端加密两种方式来进行实现。
3 军事信息安全网络防御系统的实现
3.1 物理防护实现
物理防护可以采取加载干扰器的方法, 干扰器也称为计算机信息保护装置, 计算机视频干扰器等, 其功能是对计算机设备产生的电磁辐射进行干扰, 以消除潜在的信息泄漏的风险, 是确保计算机信息安全而专门研制的设备。在计算机启动的同时干扰器也一并启动, 利用干扰器发射的干扰信号进行干扰, 使用了电子信号对抗的方法来对防止计算机电磁辐射泄漏机密资料, 以防止周围的窃密者截获信息。
部队KAJ-II军用微机视频相关干扰器 (计算机干扰器) 是空军保密委员会技术安全检查办公室研制的新一代微机视频泄漏防护产品。该产品执行国家BMB4-2000标准, 以视频相关原理威慑记忆据, 用独特的技术方法实现对计算机视频信息的安全保护。其干扰方式:视频相关;干扰频带:10KHz-1.3GHz;干扰方向:全向;干扰强度:小于90dBμV (230MHz以下) , 小于97dBμV (1000MHz以下) ;传导发射抑制:大于35dB (10KHz-30MHz) 。
3.2 网络防护的实现
在隔离的方法的实现上采用瑞星企业级防火墙RFW-100。RFW-100防火墙是一种功能强大, 安全的混合防火墙, 该防火墙集成了应用层专用代理, 网络层状态包过滤, 管理员的双因子用户认证, 重要信息的加密传输, 以及详细的审核日志等各种网络安全技术, 能够根据用户的不同需求, 提供各类安全服务如信息过滤, 访问控制, 代理服务, 流量统计和热备份等功能。
检测方法的实现上采用了JUMP入侵检测系统。JUMP入侵检测系统可以实时的监视网络上的数据传输, 检测可疑的行为, 能够对外部和内部网络中损害系统的所有攻击做出反应, 并且在攻击之前发出警告, 中断攻击者的连接。JUMP网络入侵检测系统网络集成了国内外最新的网络攻击行为特征数据库, 能够对多种类型的攻击进行检测, 具备了强大的防御功能。
验证方法的实现上使用了SRZ06身份认证系统。SRZ06认证系统把智能卡技术和现代密码学进行了结合, 使用一次操纵一次密码的策略, 实现网络用户与服务器之间的动态验证, 并且能够根据用户需要, 选择服务器对客户端的单向认证, 以及采用挑战应答的双向认证方式。SRZ06身份认证系统不仅加密能力强大, 能够有效对抗集团破译, 而且使用智能卡技术能够有效解决对称加密技术中的密钥分配问题。
3.3 数据防护的实现
在实施保护移动数据的方法上, 采用了涉密载体的保密管理系统, 系统是由南京军区和解放军安全委员会共同进行研制的, 系统结合了军队的实际发展需求, 利用技术手段很好地对计算机中涉密载体的进行了有效管理, 解决了载体使用的保密问题, 对计算机用户的所有操作行为进行了记录, 并且不能被删除, 能够对计算机的存储介质和输入输出行为进行有效的监控, 对各类违规的操作行为进行有效的实时阻断和报警, 使计算机中的涉密各类文档资料实现规范化的管理以达到保密的要求。
在实现操作系统的防护措施上及时对最新的补丁进行更新。一般网络病毒都是利用了操作系统的漏洞而进行攻击。计算机用户能够有效防范病毒的最佳方法就是及时更新补丁, 以防止病毒利用漏洞进行攻击, 操作系统管理员有责任对系统的最新补丁进行及时更新。
4 结论
本文根据军事信息网络的特点, 对我军计算机网络防护的现状进行了研究分析, 指出了军事信息网络存在的隐患和面临的威胁, 提出了军事信息网络安全防御系统的设计和实现方法。本文所提出的网络安全防御系统的设计方案是军事信息网络下实现安全防御的一种比较高效的技术, 具有一定的理论和现实意义。
参考文献
[1]杨智君.入侵检测技术研究综述[J].计算机工程与设计, 2006, 27 (12) :2120-2124.
[2]张彩莱.身份认证与网络安全[J].安防科技, 2003, (06) :60-62.
1 策略及实现方案
1.1 信息外网与信息内网
按照信息安全防护等级高于其它公共服务类企业的原则, 将公司管理信息网分为信息内网和信息外网。信息内网部署涉及企业商业秘密的工程业务应用, 信息外网部署不涉及企业商业秘密的对外业务服务, 并为公司用户提供互联网服务。信息内网PC终端不能访问internet。对外发布信息的服务器只提供对外网的服务, 内部网络不能访问。信息内网服务器不能访问Internet, 信息内网服务器与信息外网服务器之间允许在设置严格安全策略情况下进行互通。
信息外网选用大型交换机作为外网访问区的核心交换机。选用中型交换机作为楼层终端的接入交换机, 选择中型交换机作为外网汇聚交换机。选择网络千兆防火墙作为外网出口防火墙, 直接连接至因特网汇聚交换机, 进入因特网。交换机之间通过链路捆绑实现互连。在大型交换机上起用VRRP热备网关协议, 实现了用户上网的网关热备;在办公区选择一间房间作为集中上网区域, 通过交换机连接至核心交换机处, 接入互联网。信息内网防火墙连接至外网防火墙, 形成双堡垒架构, 在内网和外网之间通过防火墙系统实现了相当强度的逻辑隔离, 对于内外服务器之间的数据交互, 可以通过制定严格的访问策略进行解决, 如通过IP地址, 端口等限制条件严格控制, 这样既保证了外网和内网的隔离, 同时又很好的解决了内外服务器数据交互的问题。
1.2 外网和内网之间
外网和内网之间主要实现了如下策略:外网用户终端和内网用户终端之间完全断开, 不能互访。外网用户只能访问互联网应用, 内网用户只能访问内部应用。外网应用系统和内网应用系统之间的数据交换, 实现基于SQL层面的互通, 阻断其余协议互通。上述策略主要通过双防火墙架构以及国网标准强隔离设备实现, 同时, 对于外网和内网各子区域, 采用了入侵防护设备, 对重点网络区域进行应用层面的保护, 有效降低了黑客攻击和蠕虫病毒泛滥所造成的影响。
1.3 子公司内网和母公司内网之间
子公司内网和母公司内网之间的业务互通主要通过广域网实现, 广域网主要承载涉及大型应用系统等业务。主要实现了如下安全策略: (1) 默认策略为互访全部禁止。 (2) 母公司内网用户可以根据需要访问子公司内网相应应用系统。 (3) 子公司内网用户可以根据需要访问母公司内网相应应用系统。 (4) 母公司用户和子公司用户不能互访。
在具体的安全实现手段上, 主要采取了以下措施:首先, 通过采用基于MPLS VPN技术进行广域网组网, 完成了各种业务横向隔离, 纵向贯通。其次, 在子公司内网架设出口防火墙, 同时在母公司内网架设入口防火墙, 通过两套防火墙的访问控制元素 (如源地址、源端口、目地址、目端口, 时间段) 等手段, 实现了可控能控目的子公司和母本部业务互访。最后, 在远期在子公司局网络和母公司网络之间部署入侵防御系统, 进一步提高这两个区域网络之间的安全互访水平。
1.4 数据中心网络和子公司内网及母公司内网之间
数据中心网络是大型应用系统建设而专设的安全区域网络, 主要实现了如下安全策略:子公司内网用户根据需要可以访问数据中心应用服务器区域, 但不能访问数据库区域, 母公司用户根据需要可以访问数据中心应用服务器区域以及个别数据库服务器区域, 应用服务器区域和数据库区域严格按照IP源地址、IP目地址、源端口、目端口等实现有限互通。数据中心网络主要设计特点如下: (1) 设计了独立的大型系统网络安全分区, 实现了统一集中的安全防御策略。
原有临时的服务器群和母公司局域网服务器群混合在一起, 而局域网服务器群和大型服务器群在制定访问策略的需求上有诸多不同, 造成了相关安全策略的不一致性, 为此, 专门设计建设了独立为大型服务器群服务的系统网络安全分区, 通过细化相关的安全策略需求, 形成了统一集中的安全防御策略, 大大提高了系统的安全访问级别。 (2) 基于网络7层概念, 利用多种层面、多种安全特性的使用, 实现了深度安全防御策略。防火墙实现网络层的安全保护、实现基于应用层的安全防护、交换机实现基于设备本身的集成安全特性。该三重安全防护手段能够实现网络1~7层的全面防护。在数据中心, 采用硬件防火墙实现基于网络层的安全保护、入侵防护系统实现基于应用层的安全保护、高端交换机实现基于设备本身的集成安全特性。该三重安全防护手段实现了完整的网络1~7层的全面防护, 实现了深度安全防御策略。 (3) 基于三层软件设计架构, 实现了应用层和数据库层分区设计的安全防御策略。现有大型软件系统多为B/S架构, 基于这种设计架构, 以及数据是企业生命的理念, 对相关系统进行了应用服务器群和数据库服务器群的划分, 在应用服务器群和数据库服务器群前段分别配置防火墙和交换机, 数据库服务器群只能从应用服务器群发起访问而应用服务器群可从网络其他地方访问通过这种手段, 大大强化了数据库服务器群的安全性。
2 结论
【关键词】联网;无线网络;安全防御;对策
随着网络技术的不断开发与应用,无线网络技术已经慢慢取代了传统的有线网络技术,而且已经成为了当今社会的一种重要的联网方式。不仅手机、电脑、平板等移动电子设备需要利用无线网络实现资源的浏览、下载,而且一些基于物流网等新技术的开发与应用同样离不开无线网络,无线网络加快了人们的生活节奏,改善着人们的生活面貌,给人们的生活带来巨大的方便和改变,因此需要确保无线网络使用的安全性,做好无线网络安全防御工作。
1、 无线网络的分类
随着社会的进步和科学技术的提升,无线网络已经开发出多种类型,应用到多个领域,可以按照无线网络的用途、覆盖范围和技术要求的差异,将无线网络大致分为:无线局域网、无线域域网、无线广域网、无线个域网和无线体域网五部分,下面就这五部分作简要概述:
1.1 无线局域网。无线局域网是一种覆盖范围较小,适宜小范围、小空间使用的一种无线网络,也是在日常生活中人们使用最广泛的一种无线网络。这种网络的传输速率较快,最高以达到60Mb/s左右,主要用于校园或企业单位等公共场所的无线局域网建设。
1.2 无线域域网。无线域域网的覆盖范围相比局域网要大得很多,它可以覆盖整个城市中的大部分区域,主要用于移动设备通信或车载导航系统中,而且传输速率可以达到100Mb/s左右。
1.3 无线广域网。无线广域网主要是通过卫星进行信号和数据的传递,其覆盖范围是所有无线网络中最大的,目前基于此建成的代表性技术主要有3G和4G等,数据传递速率可以达到2Mb/s以上,并且这一技术也在不断更新和改革中,将会产生传输速率更大的移动通信系统。
1.4 无线个域网。无线个域网,顾名思义,就是指个人工作中无线设备之间的联系、传输资源所使用的网络。这种无线技术一般传输距离较短,但数据传输速率在10Mb/s以上,而且使用这种技术一般成本较低,拥有较强的实用性。
1.5 无线体域网。无线体域网主要是指以人体或植入人体内部的传感器作为依托进行无线通信的技术,主要用于医疗卫生、军事作战等方面,它的通信距离是最短的,一般在2米左右。
2 、无线网络一般存在的安全问题
随着无线网络在日常生活中的广泛应用,也使得无线网络的安全受到了越来越多的威胁,要想确保无线网络的使用安全,就必须对无线网络使用过程中的安全问题作全面的剖析。下面就无线网络中存在的一些安全问题作简要分析:
2.1 非法窃听。在使用无线网络进行通信时,全部的数据资源是通过无线信道来进行传输的,而且整个传输过程是透明公开的,如果在这其中存在不法分子拥有先进的无线窃听设备,就可以轻松地监测到无线信道中的数据资源,并进行非法接受破译,造成资源信息的泄露,而且很有可能带来巨大的损失。尤其是无线局域网,为了能够使用户很容易地发现特定无线网络的存在,就必须发送具有特定参数的信号帧,然而这样同时也为不法分子提供了重要的信息,不法分子可以通过传输资源的特点制作高灵敏度的天线,对整个区域内的无线网络发起攻击,从而实现非法窃听。
2.2 非法的信息篡改。无线网络中的信息篡改是指不法分子通过对截取的数据资源信息进行非法修改,然后再将修改后的信息资源传输到接收端,使得接收端接收到的信息并非发射端起始的数据资源。数据信息的篡改不仅对用户的通信数据资源造成了破坏,使得合法用户之间无法正常完成数据的传递,而且接收端接收到被篡改的数据资源后,盲目地相信并使用了被篡改的信息资源,很有可能造成极大的损失。
2.3 虚假攻击。无线网络的虚假攻击是指不法分子将一个实体假冒成另一个实体对无线网络进行虚假访问,这种入侵方法普遍存在于目前的无线网络环境中,对无线网络的安全防线造成了很大的威胁。由于处于无线网络中的各接收站、发射站和其他移动站之间并不存在任何的物理连接,因此在进行数据资源的无线传输时,各移动站之间的身份认证只能通过无线信道进行传输确认,这就极有可能导致数据信息在传递的过程中遭遇窃听,这样不法分子就可以根据截获的身份信息假冒成相关合法用户对无线网络进行虚假攻击。
2.4 无线网络的高级入侵。一旦不法攻擊者侵入到无线网络内部时,在造成现无线系统的瘫痪的同时,也为不法分子进一步入侵其他系统准备了条件。很多无线网络都是一个统一的整体,各网络系统之间往往是相互联系的,而且很多网络都是将安全防御工作放在了网络系统的外部,往往忽视了对网络系统内部之间的安全防御工作,导致网络内部很容易受到不法攻击。
3 、无线网络安全问题的防御对策
针对无线网络中存在的安全问题,需要相关网络管理部门根据自身无线网络的实际情况,制定相关的制度政策,扎实做好无线网络的安全防御工作。下面就列举几条无线网络中普遍使用的安全问题防御对策:
3.1 建立专有的防火墙系统。目前,防火墙系统是最为普遍、应用最多的一种安全防御手段,它主要由硬件和软件两部分组成,通过设置实现网络之间的隔离。防火墙系统是网络管理工作人员通过自行设置,以实现外网与内网之间的安全连接,它主要实现阻止和允许两种功能,以确保无线网络中数据信息资源的安全传输。
3.2 建立虚拟专用网络。虚拟专用网络的最大特点就是所传输的数据是进行加密处理的,因此数据资源在传输的过程中即使被截获也无法获取数据资源的真实内容。虚拟专有网络的建立,可以根据需要对数据资源的不同层次、不同级别的加密处理,确保数据传递过程中的安全,而且虚拟专有网络的建立能够实现办公系统异地之间网络通信的安全。
4 、总结
无线网络通信与传统的有线网络通信相比,不会受到物理连接和网络设备的限制,数据传输变得更加快捷、方便,而且无线网络的应用越来越广泛,相关部门在使用无线网络通信技术时一定要做好网络安全防御工作,只有确保无线网络使用的安全性才能实现对无线网络的进一步开发与使用。
参考文献:
[1]蔡广松.浅析小型无线路由防蹭网的五阶安全防御[J].无线互联科技,2013,(4):71-71.
[2]杨瑞强,张福生,胡志勇等.无线传感器网络网络层的攻击与防御[J].无线互联科技,2013,(3):6-7.
伴随科学技术的迅猛发展,数据库以及网络技术已经成为科技界的先行者,它们的进步使云计算应运而生,并且提升了计算机在储存、搜索以及处理方面的能力,为用户也提供了多样化的服务。这些服务基本可以归结为基础设施服务、软件服务和平台服务等等,在这些服务系统中有私有云和公有云以及社区云、混合云等等模型,不仅在功能方面较为丰富,在使用性上也比较灵活。云计算给人们的日常工作和生活带来了很多便利,但是同时也存在一定的安全隐患,需要对风险进行防范,基于此,本文对云计算时代网络安全现状和防御措施进行了分析和研究。
1 云计算时代网络安全的现状分析
云计算在互联网上主要分布在计算机客户端、服务器的密集区,进而形成一个较为庞大的云计算服务系统,给人们提供更多的信息服务,让人们的工作和生活更加便利、更加完善。与此同时,因为云计算需要大量的数据资源,这些资源在计算机中存储,一旦客户端遇到了网络风险,感染了某些网络病毒和木马,那么就会将此种风险很快的传播到云计算系统中,进而对更多的计算机和服务器产生威胁,最后使云计算在服务系统中瘫痪,无法使用。当前阶段,云计算在网络方面存在的威胁指数日益提升,并且向着智能化以及网络攻击渠道多样化的方向发展,因此要预防这些危险分子就需要对云计算的网络安全特点进行分析和研究。
1.1 云计算的信任问题
在云计算中数据与软件应用在管理以及维护方面主要是委托给外包机构,这对于云计算服务商来讲并不能完全的进行控制,因此云计算时代,信任问题主要是依从与云计算的部署和构架。在传统的计算机云计算部署构架当中,一般是通过强制的措施对安全实施相关法则进而产生信任,但是在当前的云计算时代,控制权主要在对计算基础设施进行控制的一方。云的分类有公有云以及社区云,在公有云的部署过程中,会考虑到服务商的信任问题,这样要想有效的规避风险或者降低风险系数,就需要对基础设施持有者获得的权限进行减弱,只有这样,才能最大程度地减少云计算安全隐患的存在,保护云计算系统。对于私有云来讲,私有云的网络基础设施控制在私有者手里,这样很多数据资源在私有者手中就很难产生一些额外的风险。
1.2 云计算时代网络攻击形式增加
在传统的计算机时代,网络攻击和网络风险的产生基本上源自于三种,分别是黑客、病毒以及木马。但是随着信息技术的发展,服务形式的多样化,以及互联网和光纤的进步,一些分布式系统和网络已经实现了连接,用户在终端登录的形式也变得多种多样,其中包含PC、ipone、ipad等等,智能手机或者电脑终端,这样就给网络病毒提供了多种途径的传播机会,病毒的侵害也越来越严重。
1.3 云计算时代网络安全的威胁更加智能化
伴随云计算、分布式移动以及移动计算的进步与发展,网络中的黑客和木马以及具有攻击性的病毒在侵害威胁程度方面也随之提升,这样网络威胁程度日益智能化,所表现出来的问题是病毒隐藏的时间更长、对云计算系统的危害也更深,因此破环程度更严重,对于网络数据和资料的保护非常不利。
2 云计算网络安全防护措施
(1)安全域的实现
安全域的概念就是在云计算的各个实体中建立起一个相对有效的信任关系,然后通过这个关系的联合,并在PKI和LDAP的支持下实现对病毒的安全防御。联合就是以组合法所实现的共享,它们共同同意的政策以及规则,用户一般按照这些既定的规则来控制网络资源的使用。在联合系统中,会出现一个结构合法的框架,这个框架的作用是让组织和系统之间的认证关系和授权关系成为一种可能,进而让云框架在异样的安全域中有部署空间。联合云的存在可以减弱病毒的攻击性,它的组成部分是子云的集合,并且各个子云之间保持自己的独立特点,若想相互之间实现联合和操作就需要通过标准接口允许。例如,数据和计算机资源之间的共享需要在接口处做好定义。联合云的使用可以让云计算认证框架在多个领域有不同的容纳组织,并且各个组织之间通过联合实现授权。
(2)网络安全预警机制的设立
网络安全的预警措施主要由对网络漏洞进行预警、对网络行为进行预警以及对网络攻击趋势进行预警,这样才能及时地发现网络数据中存在的种种威胁。在漏洞预警当中,能够有效的发现网络系统操作过程中出现的一些过失,这也有利于升级系统,进而更好地对已经存在的漏洞进行修复。在行为预警以及攻击预警中能够清晰地得到完善的网络数据流,在数据中找出被隐藏的网络危险和种种网络攻击行为,这有利于系统及时准确的预警。网络安全预警是对整个系统进行保护的第一种措施,效果也异常突出,它能够准确地为网络安全提供种种保护依据。
(3)网络安全监测和网络安全保护的实现
网络安全保护所要采取的措施有,安装杀毒软件,这种方式是最简单也是最常见的。还可以安装网络防火墙、访问控制列表以及建设虚拟专用网络等等,以上这些方式可以最大限度地减少网络攻击行为的发生,进而保障云计算机系统网络数据的安全性、可控性以及机密性。
网络安全监测,主要是针对病毒和风险的主动防御,常见的技术主要有扫描技术、网络实时监控技术以及木马入侵检测技术等等,他们能够有效的对网络漏洞以及攻击数据流进行分析,进而查找出漏洞,建构主动防御模型,让云计算系统得到网络安全防御的根本性保障。
网络安全响应,网络安全响应主要是对云计算系统网络中存在的病毒以及木马等等对系统产生的威胁进行全面的响应和及时的反应,进而对一些网络攻击予以阻止,以便于减少网络风险的隐患的发生次数,但是这种方法可能会把网络威胁引导其他主机系统上。
网络恢复,网络风险的发生以及网络威胁因为所含技术成分越来越高,这样对云计算系统的攻击性也越来越强,很多网络安全威胁对系统的攻击性也就越来越高。在系统遭受到攻击以后,要想降低网络危险因素对计算机产生的影响和损失就要不断提升用户的承受能力,主动防御体系在计算机系统中的建立应该使用网络安全恢复技术,然后让系统恢复到遭受攻击以前的状态,进而重新为用户服务。常见的主动恢复技术有系统离线备份、系统在线备份、系统阶段备份以及增量性备份。
(4)网络安全反击行为的实现
在网络安全反击技术的使用上主要是对产生的威胁进行防御的同时予以反击,这是云计算系统中常见的防御技术,但是和传统防御有非常大的不同。网络反击技术主要使用的措施是欺骗攻击、病毒性攻击以及系统漏洞攻击,一些深入研究还发现,探测攻击以及阻塞攻击也是网络安全反击的方式。在网络反击技术的使用过程中,对威胁源主机进行攻击,这样就可以减少网络风险攻击的发生,反击攻击源,更好的对攻击源的机体性能进行弱化和破坏。
3 结束语
综上所述,本文对云时代网络安全现状以及防御措施进行了分析和研究。在网络时代,云计算给人们带来方便的同时也隐藏着一些风险,由此需要人们加强此方面的探索,正确获得较为安全的网络环境。
参考文献
[1]冯登国,张敏,张妍等.云计算安全研究[J].软件学报,2011.
[2]罗军舟,金嘉晖,宋爱波等.云计算:体系架构与关键技术[J].通信学报,2011.
[3]林闯,苏文博,孟坤等.云计算安全:架构、机制与模型评价[J].计算机学报,2013.
[4]吴吉义,沈千里,章剑林等.云计算:从云安全到可信云[J].计算机研究与发展,2011.
[5]王于丁,杨家海,徐聪等.云计算访问控制技术研究综述[J].软件学报,2015.
