《网络安全系统系列论文.doc》由会员分享,可在线阅读,更多相关《网络安全系统系列论文.doc(38页珍藏版)》请在三一办公上搜索。
1、1浅谈网络安全系统的构建摘要:本文介绍了网络安全中常见的几类安全威胁,以及如何建立一个安全高效的网络系统进行探讨。 关键词:网络安全;病毒防范;防火墙 0 引言 如何保证合法网络用户对资源的合法访问以及如何防止网络黑客的攻击,已经成为网络安全的主要内容。 1 网络安全威胁 1.1 网络中物理的安全威胁 例如空气温度、湿度、尘土等环境故障、以及设备故障、电源故障、电磁干扰、线路截获等。 1.2 网络中信息的安全威胁 蠕虫和病毒。计算机蠕虫和病毒是最常见的一类安全威胁。蠕虫和病毒会严重破坏业务的连续性和有效性。随着病毒变得更智能、更具破坏性,其传播速度也更快,甚至能在片刻间使信息处理处于瘫痪状态,
2、而要清除被感染计算机中的病毒所要耗费的时一间也更长。黑客攻击。“黑客”一词由英语Hacker英译而来,原意是指专门研究、发现计算机和网络漏洞的计算机爱好者。现如今主要用来描述那些掌握高超的网络计算机技术窃取他人或企业部门重要数据从中获益的人。黑客攻击主要包括系统入侵、网络监听、密文破解和拒绝服务(DtS)攻击等。 2 网络安全技术 为了消除上述安全威胁,企业、部门或个人需要建立一系列的防御体系。目前主要有以下几种安全技术: 2.1 密码技术 在信息传输过程中,发送方先用加密密钥,通过加密设备或算法,将信息加密后发送出去,接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,
3、也只能得到无法理解的密文,从而对信息起到保密作用。 2.2 身份认证技术 通过建立身份认证系统可实现网络用户的集中统一授权,防止未经授权的非法用户使用网络资源。在网络环境中,信息传至接收方后,接收方首先要确认信息发送方的合法身份,然后才能与之建立一条通信链路。身份认证技术主要包括数字签名、身份验证和数字证明。 2.3 病毒防范技术 计算机病毒实际上是一种恶意程序,防病毒技术就是识别出这种程序并消除其影响的一种技术。从防病毒产品对计算机病毒的作用来讲,防病毒技术可以直观地分为病毒预防技术、病毒检测技术和病毒清除技术。 病毒预防技术。计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中
4、凡有类似的规则出现则认定是计算机病毒。病毒预防技术包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。病毒检测技术。它有两种:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术;另一种是不针对具体病毒程序的自身校验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性己遭到破坏,感染上了病毒,从而检测到病毒的存在。病毒清除技术。计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一个逆过程。目前
5、,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的,带有滞后性。而且由于计算机软件所要求的精确性,杀毒软件有其局限性,对有些变种病毒的清除无能为力。 2.4 入侵检测技术 入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术,也是一种用于检测计算机网络中违反安全策略行为的技术。 入侵检测系统所采用的技术可分为特征检测与异常检测两种。 特征检测的假设是入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将己有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入
6、侵”现象又不会将正常的活动包含进来。异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 2.5 漏洞扫描技术 漏洞扫描就是对系统中重要的数据、文件等进行检查,发现其中可被黑客所利用的漏洞。漏洞检测技术就是通过对网络信息系统进行检查,查找系统安全漏洞的一种技术。它能够预先评估和分析系统中存在的各种安全隐患,换言之,漏洞扫描就是对系统中重要的数据、文件
7、等进行检查,发现其中可被黑客所利用的漏洞。随着黑客人侵手段的日益复杂和通用系统不断发现的安全缺陷,预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。漏洞扫描的结果实际上就是系统安全性能的评估报告,它指出了哪些攻击是可能的,因此成为网络安全解决方案中的一个重要组成部分。 漏洞扫描技术主要分为被动式和主动式两种: 被动式是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查。主动式则是基于对网络的主动检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。 2.6 防火墙技术 防火墙是指设置在不同网络(如可信任的企业内部网
8、络和不可信的公共网络)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业部门的安全策略控制(允许、拒绝、监测)出人网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是个分离器,是个限制器,也是个分析器,有效地监控了内部网络和Internet之间的任何活动,保证了内部网络的安全。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。 3 结语 网络安全问题之所以受到广泛关注,一方面说明网络已经成为人们日常生
9、活的一部分,另一方面说明网络安全技术还存在很多问题,无法满足人们的需求。网络安全是一个系统的工程,不能仅仅依靠防火墙等单个系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在一起,才能形成一个高效、通用、安全的网络系统。 2个人计算机的网络安全研究摘要:随着计算机技术,以及网络技术的发展,人们的学习、工作、生活等各个方面,越来越离不开计算机的帮助,尤其是电子商务大大改变人们的生活,然而用户的个人安全却是目前非常严峻的问题,本文分析了造成计算机安全威胁的主要原因,以及一些防御措施。 关键词:个人计算机网络安全研究 0引言 网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的
10、迅速发展,给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息,共享资源。随着网络的延伸,安全问题受到人们越来越多的关注。在网络日益复杂化,多样化的今天,如何保护各类网络和应用的安全,如何保护信息安全,成为了社会关注的重点。 1网络的开放性带来的安全问题 Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点: 1.1每一种安全机制都有一定的应用范围和应用环境 防火墙是一种有效的安全工具
11、,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。 1.2安全工具的使用受到人为因素的影响 一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的
12、应用环境和专门的应用需求就很难判断设置的正确性。 1.3系统的后门是传统安全工具难于考虑到的地方 防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉;比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。 1.4只要有程序,就可能存在BUG 甚至连安
13、全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。 1.5黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现 然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全
14、工具不知道的手段进行攻击。 2计算机网络安全防范策略 计算机网络安全是一个复杂的系统,国际上普遍认为,它不仅涉及到技术、设备、人员管理等范畴,还应该以法律规范作保证,只有各方面结合起来,相互弥补,不断完善,才能有效地实现网络信息安全。保障网络信息系统的安全必须构建一个全方位、立体化的防御系统。这个防御体系应包括技术因素和非技术因素,其中技术防范措施主要包括:对计算机实行物理安全防范、防火墙技术、加密技术、密码技术和数字签名技术、完整性检查、反病毒检查技术、安全通信协议等等。非技术性因素则包括:管理方面的SSL安全措施、法律保护、政策引导等等。这里我们仅从主要技术的角度探讨网络信息安全的策略。
15、2.1防火墙技术 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施。它是一种将内部网络和外部网络分开的方法,实际上是一种隔离控制技术。用专业言来说,所谓防火墙就是一个或一组网络设备计算机或路由器等。从理论上讲,防火墙是由软件和硬件两部分组成。防火墙是在某个机构的内部网络和不安全的外部网络之间设置障碍,阻止对信息资源的非法访问,也可以阻止保密信息从受保护的网络上非法输出。防火墙最有效的网络安全措施之一。防火墙的是已成为实现安全策略的最有效工具之一,并被广泛应用在Internet上。防火墙的基本实现技术主要有3种:包括过滤技术,应用层网关(代理服务)技术和状态监视器技术。 2.2数据加密与
16、用户授权访问控制技术 与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。 2.3 入侵检测技术 入侵检测系统(Intrusion Detection System简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添
17、加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。入侵检测技术的功能主要体现在以下方面:监视分析用户及系统活动,查找非法用户和合法用户的越权操作;检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;识别反映已知进攻的活动模式并向相关人士报警;对异常行为模式的统计分析;能够实时地对检测到的入侵行为进行反应;评估重要系统和数据文件的完整性;可以发现新的攻击模式。 2.4 防病毒技术 随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在
18、单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。 参考文献: 1祁明.电子商务实用教程.北京:高等教育出版社.2000. 2蔡皖东.网络与信息安全.西安:西北工业大学出版社.2004. 3李海泉.李健.计算机系统安全技术.北京.人民邮电出版社.2001. 4李安平.防火墙的安全性分析.J.计算机安全.2007年07期. 5闫宏生,王雪莉,杨军.计算机网络安全与防护IM.2007. 6刘占全.网络管理与防火墙IM.北京.人民邮电出版社.1999. 7
19、夏志向,张洪克.网络安全性的研究与实现.J.计算机安全. 2006年08期. 3网络安全技术浅析摘要:本文针对防火墙的三种技术方式进行说明,并比较各种方式的特色以及可能带来的安全风险或效能损失。 并就信息交换加密技术的分类及RSA算法作以分析,针对PKI技术这一信息安全核心技术,论述了其安全体系的构成。 关键词:网络安全;防火墙;PKI技术 一、防火墙技术 包封过滤型:封包过滤型的控制方式会检查所有进出防火墙的封包标头内容,如对来源及目地IP、使用协定、TCP或UDP的Port 等信息进行控制管理。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制
20、的能力。封包过滤型控制方式最大的好处是效率高,但却有几个严重缺点:管理复杂,无法对连线作完全的控制,规则设置的先后顺序会严重影响结果,不易维护以及记录功能少。 封包检验型:封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版,目的是增加封包过滤型的安全性,增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包,不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全,但其相对效能也越低。 封包检验型防火墙在检查不完全的情况下,可能会造成问题。被公布的有关Firewall-1的Fast Mode TCP Fragment的安全弱
21、点就是其中一例。这个为了增加效能的设计反而成了安全弱点。 应用层闸通道型:应用层闸通道型的防火墙采用将连线动作拦截,由一个特殊的代理程序来处理两端间的连线的方式,并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作,而不会被client端或server端欺骗,在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的代理程序,或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式,但也是效能最低的一种方式。 防火墙是为保护安全性而设计的,安全应是其主要考虑。因此,与其一味地要求效能,不如去思考如何在不影响效能的情况下提供最大的
22、安全保护。 二、加密技术 信息交换加密技术分为两类:即对称加密和非对称加密。 1、 对称加密技术 在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进
23、行3次加密,从而使有效密钥长度达到112位。 2、非对称加密/公开密钥加密 在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制
24、。 4浅谈建设智能化动力环境集中监控系统提高网络维护水平论文关键词:智能化动力系统监控基站论文摘要:依据茂名联通基站的实际情况,结合各大运营商的移动通信基站普遍存在的问题,提出了如何确保基站内的设备运行安全及防盗等问题。针对该问题设计出一套从根本上提高动力设备维护水平和效率,达到监控智能化的目的的系统,并对该系统进行需求分析和设计。l概述随着我国移动通信事业的飞速发展,各大运营商的移动通信基站的数量日益增加,身处城乡结合部或偏远山区的移动通信基站因常年无人值守成为盗窃分子的光顾目标,基站的各种附属设备如蓄电池、铁塔角钢、空调外机、铜地线(排)、馈线等设备也成了盗贼的主要偷窃目标。目前,如何确保
25、基站内的设备运行安全及防盗,已成为基站维护的首要难题。2目前基站的现状目前,茂名联通基站环境监控设备仍为老式的环控箱接人监控,通过采集模拟量输入到基站主设备上,从而完成上报,且只能上报简单的停电、开门、高温、积水和烟雾等告警,无法远程测量和调整参数。另外,环控箱的告警上报依赖于主设备的运行,一旦BTS断站,其便无法工作。为缓解日益紧张的人员及维护工作的压力,从根本上提高动力设备维护水平和效率,达到监控智能化的目的,建设一套高水平的基站动力设备及环境集中监控系统是十分必要的。3需求分析和设计思路对茂名联通新建的动力环境集中监控系统,除了要达到基本的监控目的以外,更重要的是实现智能化监控要求。它包
26、括以下三个方面:(1)交、直流动力系统。监控对象包括:配电箱、开关电源、蓄电池等。监控范围包括:市电输入三相电压、三相电流、功率因数、频率、有功功率、电度、整流模块单体输出电流、总负载电流、蓄电池充电电流、市电状态(市电有无,缺相,欠压过压)、蓄电池组总电压、每组蓄电池充、放电电压等。通过对动力系统实时不间断的监控,了解每个基站电源输入输出、整流模块设备的运行情况,对电源设备出现的问题和故障能在最短的时间内做出反应和处理;蓄电池是整个直流供电系统的后备电源,我们通过监控,对蓄电池组总电压以及每组电池充、放电电压进行统计和分析,对有问题的电池及时进行更换,真正做到有备无患。(2)空调、环境系统。
27、监控内容包括:机房智能空调系统、基站分体空调(开关机、工作状态指示、空调工作电流)、温度、湿度、水浸地湿、娴雾告警以及动态图像等。保证设备运行在恒温恒湿的环境中。(3)门禁系统。监控内容包括:远程开门、修改门禁内部的各种工作和控制参数、授权、删除用户、用户的准进时段管理,以及各种报警记录、进、出门记录、刷卡、出门按钮开门事件、门禁内部参数被修改的记录等。4拓扑结构茂名联通基站动力环境集中监控系统采用逐级汇接的结构,由省公司监控中心(PSC)、地市公司监控中心(SC)、监控单元(SU)和监控模块(SM)构成,采用监控中心(sc)与监控单元(su)直联的方式。具体结构如下:省监控中心(PSC)主要
28、对地市监控中心(sc)进行监督、维护管理。监控中心配有数据库服务器,各地市监控中心(SC)的数据直接上传省监控中心。茂名监控中心(sc)主要对本地区的各个监控单元(su)进行管理,是本区域监控系统的管理中心,完成全网的监控信息的统计分析及处理,并对远端监控设备进行遥测、遥调,对监控对象(机房设备、环境、图像)进行管理,同时,还具有强大的门禁管理功能。所有的监控中心均可以通过D接口与广东联通综合网管系统相连。监控单元(su)是集数据采集、处理、存储、传输为一体的智能化模块化单元,能够完成一个独立的物理通信基站内所有监控模块(SM)的管理工作,并将采集的数据集中通过1条2M电路上传到监控中心(SC
29、)。 监控模块(SM)是面向具体的监控对象,具有完成数据采集和必要控制的功能。按照监控对象类型的不同,可分为:防盗、积水、电源管理、空调管理等模块。5参考规范(1)中国联通集团公司2009年3月发布中国联通移动网基站动力及环境集中监控系统总体技术要求;(2)通信电源和空调集中监控系统技术要求(XDN02396);(3)通信局(站)电源系统总技术要求(YDT10512000);(4)通信电源集中监控系统设计规范(YDT50272005);(5)通信电源集中监控系统工程验收规范(YDT50582005);(6)通信开关电源系统监控技术要求和试验方法(YDTI1042001);(7)通信局(站)电源
30、、空调及环境集中监控系统技术规范(GF0062000)。6具体功能和意义(1)实时监控告警。无论基站距离远近,一旦设备产生告警都能在数秒内将告警信息上报至监控中心。值班人员能在第一时间发现告警并做通知相关专业人员进行处理。例如深夜情况下基站上报防盗告警,这时值班人员可以通过转动摄像头观察站内环境,从而判断是否有盗贼入侵,并及时通知代维和l1O前往。(2)数据采集分析。本监控系统能够对设备数据进行24小时连续记录,能真实可靠地反映设备的运行情况。这些数据是设备障碍分析的得力工具。比如在蓄电池维护方而。密封式阀控电池对均浮充电压和温度条件要求较高。通过监控系统就可以随时查看电池电压和环境温度,省去
31、了大量的现场测量工作。通过对采集的数据进行分析,还可以从中判断哪些基站的电池单体存在问题并及时加以解决。(3)加强维护管理。本监控系统彻底改变了旧的电源、空调等设备的维护模式。以前的维护方式是等设备出现问题后进行应急抢修,现在可以运营商可以真正掌握所有电源、空调设备24小时的运行状况,实现有的放矢的主动维护,真正做到设备的预检预修。这种管理从根本上改变了过去维护的被动局面,对设备的故障告警可以实现派单式的闭环流程管理。(4)降低维护成本。本监控系统能大大提高维护质量,降低运营成本,给公司带来直接的经济效益,真正实现了移动通信基站的无人值守。以日常维护的基站巡检为例,现在可以在监控中心对设备进行
32、实时巡检,减少了无谓的维护支出。基站实行设备代维之后,还可通过监控系统对代维厂家进行考核,从而提高维护管理质量。结束语移动通信基站的故障绝大部分集中在动力和传输方面。因此动力配套设备的安全、稳定运行是通信网络正常工作的前提和保证。新监控系统的建设将极大地提高茂名联通网络的维护质量,并最大限度地减少恶性突发事故的发生,其所带来的效益是巨大的。加大对监控系统的重视程度,充分利用监控系统提供的设备运行信息,运用各种分析工具,可以切实做到对故障隐患提前发现、及时处理。使我们的网络维护工作再上新台阶。5论计算机网络安全策略摘要:随着计算机网络的不断发展,全球信息化已成为人类发展的趋势。但由于计算机网络具
33、有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他的攻击网络的安全和保密已成为至关重要的问题。本文就计算机网络的安全风险进行了分析,并针对各类风险总结了应对的安全策略。 关键词:网络;安全 计算机网络安全策略是指在某个安全区域内,与安全活动有关的一套规则,由安全区域内的一个权威建立,它使网络建设和管理过程中的工作避免了盲目性,但在目前它并没有得到足够的重视。国际调查显示,目前55的企业网没有自己的安全策略,仅靠一些简单的安全措施来保障网络安全。 计算机网络安全策略包括对企业各种网络服务的安全层次和权限进行分类,确定管理员的安全职责,如实现安垒
34、故障处理确定网络拓扑结构、入侵及攻击的防御和检测、备份和灾难恢复等。这里所说的安全策略主要涉及4个大的方面:物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。 一、物理安全策略和访问控制策略 1、物理安全策略 制定安全策略的目的是保护路由器、交换机、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;验证用户的身份和使用权限,防止用户越权操作;确保网络设备有一个良好的电磁兼容工作环境;建立完备的机房安全管理制度,妥善保管备份磁带和文档资料;防止非法人员进入机房进行偷窃和破坏活动。 2、访问控制策略 访问控制策略是网络安垒防范和保护的主要策略,它的主要任务是
35、保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,而访问控制策略可以认为是保证网络安全最重要的核心策略之一。 (1)入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源。用户的入网访问控制可分为3个步骤:用户名的识别以验证、用户帐号的缺省限制检查。 (2)网络的权限控制 网络权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根
36、据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,由系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。 (3)目录级安全控制 网络应能够控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有以下8种:系统管理员权限,也叫超级用户权限、主动权限、写权限、创建权限、删除权限、修改权限、文件查找、存取控制。 (4)属性安全控制 当使用文件、目录和网络设备时,网络系统管理员应给文件、目
37、录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全。网络上的资源都应预先标出一组安全属性,网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除,执行修改、显示等。 (5)网络服务器安全控制 计算机网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括:可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息数据;可以设定服务器控登录时间限制、非法访问者检测和关闭的时间间隔。 (6)网络监测和锁定控制 计算机网络管理员对网络实施监
38、控,服务器应记录用户对网络资源的访问。对非法的网络访问进行报警,以引起网络管理员的注意,并自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。 (7)网络端口和节点的安全控制 网络中服务器的端口往往使用自动回呼设备和静默调制解调制器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还通常对服务器端采取安全限制,用户必须携带证实身份的验证器。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务端再进行相互验证。 (8)防火墙控制 防火墙是近十多年来发展起来的
39、一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进出方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离外部和内部网络,以阻止来自外部网络的侵入。 二、信息加密策略 信息加密的目的是保护网络的数据、文件、口令和控制信息,保护网络会话的完整性。网络加密可设在链路级、网络级,也可以设在应用级等,它们分别对应干网络体系结构中的不同层次形成加密通信通道。用户可以根据不同的需求,选择适当的加密方式。保护网络信息安全行之有效的技术之一就是数据加密策略。它是对计算机信息进行保护的最实用和最可靠的方法。 三、网络安全管理策略 网络安全管理策
40、略是指在特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全,不仅要靠先进的技术,而且要靠严格控的管理和威严的法律。三者的关系如同安垒平台的三根支柱,缺一不可。网络安全管理策略包括:(1)确定安全管理等级和安全管理范围;(2)制定有关网络操作使用规程和人员出入机房管理制度;(3)制定网络系统的维护制度和应急措施等;安全管理的落实是实现网络安全的关键。 四、计算机网络物理安全管理 涉及计算机网络的物理安全管理是保护计算机网络设备、设施以及其他媒体免遭地震、水灾等环境事故和人为地操作失误导致的破坏过程。网络物理安全管理主要包括:机房的安全技术管理、通信线路的安全管理、设备安全管
41、理和电源系统的安全管理。 五、结束语 随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。 6浅谈计算机网络教学摘要:提高学生计算机知识水平和实践动手能力,是计算机教育的根本任务。由系统管理员管理的结构化计算机环境和只有一台或几台孤立计算机组成的计算机环境的主要区别是服务。针对计算机网络中的服务概念进行了阐述。 关键词:教学法;计算机网络;课程教学 1 网络教学发展背景 网络的发展,尤其是Internet的发展将信息时代的社会细胞(多媒
42、体计算机和掌握了计算机技术的人)连成了一体,实现了人类智慧的连网,并由此创造出全新的网络文化。不少学校顺应时代需要建设了校园网,并连入了互联网,开始了网络教学的尝试。 网络教学是教师指导下的学生建构学习,是基于多媒体技术的网络技术下的新的学习理论。 这种理论是将学生看成是知识学习的主动建构者,外界信息环境经过教师的组织、引导,学生主动建构,转变成为自身的知识。 这种开放性、创新性的教育思想和模式,有利于克服传统教学模式的弊端和固疾。基于计算机网络环境下的网络教学,主要有网络教学过程的交互性、网络教学资源的共享性、多媒体信息的综合性、教学方式的先进性、教学目标的多样性、教学内容的丰富性方面的特点
43、。 2 网络教学的特点 (1)网络教学过程的交互性,网络教学最大特点是它的实时交互性,实时交互性是指在网络上的各个终端可以即时实施回答,交互的方式有学生和教师之间,学生之间,通过课件还可以有效地获得图、文、声、像并茂的教育信息,师生之间的交互可以获得教师的指导,学生之间的交互可以进行协作学习,这种双向交互活动不仅使学生通过视、听手段获取教学信息,而且它还代表着一种学生所能接受到的、前所未有的兴趣。在课堂学习的过程中,通过交互学生能及时地了解自己的进步与不足,并按要求调整学习,从而极大地提高了学习的质量与效率。(2)网络教学资源的共享性,学生通过网络资源可以共享资源,其中包括硬件的共享和软件的共
44、享,核心是软件的共享,网上资源丰富多彩、图文并茂、形声兼备,学习者在链接或教师指导下,可轻松自如地在知识海洋中冲浪,取之不尽、用之不竭的信息资源,神奇的网络环境,对教育个性化的形成,对学生创造思维的培养,对实现教学过程要素关系的转变,对促进从应试教育向素质教育转轨都将产生重大而深远的影响。(3)多媒体信息的综合性,多媒体网络融超媒体和超文本于一体,集图形、图像、图表、声音、文字于一体,有利于学生多种感官参与认知,促进学生对知识的建构,有利于激发学生兴趣,培养学生的情感,有利于素质教育的实施。(4)教学方式的先进性,传统教学的中心是教师教,网络教学的中心是学生的学,在网络教学中,教学不再是满堂灌
45、,学生的学习应在教师的指导下根据自己的需要进行学生,学生之间也应是自由的,教师的作用主要是组织、调控,并以作业的评价方式帮助学生,至于学生的步调、方式、进度、内容的数量和难易程度等则由学生本人决定。(5)教学目标的多样性。学生的个体差异,如学生的学习方法,学习风格,学习的起点等决定了教学目标的多样性,在传统的“教学流水线”上难以实现因材施教,网络教学克服了这些弊端。多媒体网络课堂教学,带来了许多真实的情境,将生活中五光十色的现象带进了课堂,学生的学习效率将得到提高,有利于学生的身心健康。(6)教学内容的丰富性。网上的教学内容不仅有本校学科教师编制的CAI课件,而且有来自于不同类型,不同地区学校
46、的课件内容,学生通过比较借鉴,选取那些内容结构组织严密的优秀网站或课件进行学习,从而提高单位时间内的学习效率。7浅谈网络文化的后现代意蕴论文关键词:网络文化后现代性狂欢仿像 论文摘要:网络文化作为一种新的文化形式,伴随着互联网的普及而诞生。它不仅改变了传统文化的传播方式和传播渠道,而且具有诸多的后现代特性:交互性、多元性、超越性、狂欢、仿像等。网络文化为我们提出了一种全新的文化价值体系,也使我们看到了文化未来的发展和兴盛,这正是网络文化诞生的意义所在。 21世纪是一个数字信息技术与文化高度交融的世纪,一种新的文化形态网络文化正在勃然兴起。它为人类提供了新世界文化生活空间,建构起新的价值世界和意义世界,因而网络文化也呈现出一种纷繁复杂的后现代景观。 一、网络文化的定义及特征 1网络文化的定义 如何定义网络文化?有的学者认为:“网络文化,它并不是一个十分抽象的概念,如果你感觉到了以某种方式生活的话,这里面就有了文化,当你的吃、住、行、交友日常活动按网络的方式来进行,自然就形成了网络生存方式,也就是网络文化”。盯也
