如何构建网络安全范例(12篇)
如何构建网络安全范文篇1
目前,信息化已经成为我国各类型企业尤其是中小型企业提高竞争力的有效武器。企业越来越依赖网络开展业务交易,进行内部资源共享和日常沟通。但随着开放程度的增加,存储在网络上的数据也开始暴露给外界,成为恶意攻击的目标。
为了确保只有合适的人才能进入网络,了解企业生产、经营的相关数据,使企业在生产经营中免受恶意攻击,建设企业网络安全已成为中小企业信息化建设的重要课题。
对于中小企业用户来说,信息安全将不再是一项IT技术问题,而已被赋予集成协作、管理策略等更丰富的内涵。对于广大中小企业来说,该如何构建适合自己的网络安全保障体系呢?
企业安全环境分析
安全体系的构建是为了解决企业中所存在或可能存在的安全问题。因此在构建安全保障体系之前,我们应首先了解中小企业所面临的安全问题有哪些。由于中小企业网络系统特有的开放性,其所面临的安全问题主要有以下几个方面:
1.外网安全。外网安全问题主要包括黑客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等,这些已成为目前影响最为广泛的安全威胁。
2.内网安全。最新调查显示,在受调查的企业中,60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了企业生产率,消耗了企业网络资源,同时还会引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密。
3.内部网络之间、内外网络之间的连接安全。随着企业的发展壮大,如何在保证信息共享的情况下,防止重要信息的泄漏,已经成为企业必须考虑的问题。
网络可用性分析
网络可用性是指网络信息可被授权实体访问并按需求使用的特性。今天很多企业的经济效益都与网络的连续可用性、完整息相关。随着越来越多的信息以数字化的格式出现,企业面临着如何以相同或者更少的资源管理迅速增长的信息的挑战。
Dos/DDos这样的网络攻击是最常见的破坏网络可用性的攻击方式。通常,企业可通过部署防火墙、负载均衡设备来保证网络可用性的安全。
系统可用性分析
中小企业网络中的主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络外部的非法访问、恶意入侵和破坏。
系统可用性是指一个系统应确保一项服务或者资源总是可以被访问到的。网络可靠性可以增加系统的整体可用性,用户必须考虑到当某些系统部件出错时,如何保障系统的可用性。
我们可以在环境中设置冗余组件和错误恢复机制,这样当某些组件的错误对系统的可靠性产生不良影响时,就可以通过使用系统冗余,让整个系统的服务仍然可用。
数据机密性分析
对于中小企业网络,保密数据的泄密将直接带来企业商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。
从电子数据产生以来,对于数据保护的需求一直没有发生变化:需要防止数据受到无意或者有意的破坏。最近发生的一系列事件使得数据保护和灾难恢复问题成为人们关注的焦点。越来越多的企业意识到,如果他们的数据中心遭受重大损失,那么恢复数据将需要大量的精力和时间。数据保护解决方案是一系列技术和流程的组合。
访问可控性分析
除了保证机密数据的安全,对关键网络、系统和数据的访问,也必须得到有效控制。这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
可以说,访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。在今天,访问控制涉及的技术比较广泛,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
网络可管理性分析
可管理性既是观察网络可用性的一个窗口,也是提供可用性的一个工具。企业可以利用网络管理来确定关键性的资源、流量类型与性能级别。网络管理也可以被用来设定设备故障的类别。它可以提供显示网络状态的复杂报告。企业还可以利用对网络的管理来设定,在硬件性能下降时,系统自动采取应对行动的策略。
因此,企业在构建网络安全系统时应包括审计和日志功能,可以对相关重要操作提供可靠而方便的管理和维护。
链接:UTM更能满足中小企业的网络安全需求
网络安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等功能产品组成的。但由于安全产品来自不同的厂商,没有统一的标准,因此安全产品之间无法进行信息交换,形成许多安全孤岛和安全盲区。而企业用户目前急需的是建立一个规范的安全管理平台,对各种安全产品进行统一管理。
此外,面对各种新形式下的安全问题,传统的安全设备已经显得无能为力,例如针对Windows系统和Oracle/SQLServer等数据库的攻击。这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。基于网络传播的病毒、间谍软件、垃圾邮件给互联网用户造成了巨大的损失,层出不穷的即时消息和P2P应用(例如QQ和BT下载)给企业带来许多安全威胁并大大降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时,已经不能满足客户的安全需求。
于是,UTM产品应运而生,并且正在逐步得到市场的认可。UTM安全、管理方便的特点,是安全设备最大的优势,而这往往也是中小企业对产品的主要需求。
如何构建网络安全范文篇2
关键词:数字校园;结构;基础设施;系统
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)18-31570-02
SummaryofDigitalCampusSystem
CHENPeng1,2,HUALi1,2,SHENJie3
(1.TaizhouNormalCollege,Taizhou225300,China;2.CollegeofInformationEngineering,YangzhouUniversity,Yangzhou225009,China;3.InformationCenter,YangzhouUniversity,Yangzhou225009,China)
Abstract:Thedigitalcampusconstructionhasthevitalsignificanceregardingourcountryhighereducationmodernization,thisarticlemainlytothedigitalcampusoverallframeaswellastheinfrastructureconstruction,thedigitalcampussystemconstructiontomaketheintroduction,hadthecertainreferencevaluetothedigitizedcampusconstruction.
Keywords:Digitalcampus;Structure;Infrastructure;System
1引言
数字校园是以数字化信息和网络为基础,利用计算机和网络技术对学校的教学、科研、管理和生活服务等所有信息资源进行全面的数字化,并科学规范地对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制,在传统校园的基础上构建一个数字空间,提升传统校园的运作效率,最终实现教育的信息化,提高学校的办学水平和管理决策水平,可以说数字校园是学校提高自身综合水平的基础。
2数字校园框架
图1数字化校园体系结构图
从数字校园的结构图可以看出,数字校园可以分为五个层次:(1)最内圆是“网络基础”:网络是数字校园的基础的设施,没有相应的网络基础设施,数字不能流动,就不可能形成数字的空间;(2)次内圆是“网络基本服务”:网络基本服务是数字流动的软件基础,包括电子邮件、文件传输、信息、域名服务、身份认证、目录服务等;(3)其次是“应用支撑系统”:包括办公自动化系统、数字图书馆、管理信息系统和网络教学系统,它们是数字校园的核心支持系统;(4)再往外是“信息服务系统”:它是校内用户的主要使用界面,为用户提供各种服务,如后勤服务、信息查询、决策支持、电子商务等;(5)最外层是“虚拟大学”:它是校园数字化后功能的自然扩展,使校园的功能突破围墙的限制,成为一个可以覆盖网络可达范围的无疆域的大学[2]。
3网络基础设施建设
数字校园网络建设的总体目标是采用先进的实用技术,建成满足未来几年发展需要的高带宽、高性能校园计算机网络,使校园内的任何合法用户在任何时间在校园内的任何地点使用任何一种计算机系统都可以进行互联网应用,使大学在公共服务体系建设方面达到国内外一流大学水平。所以数字校园的网络建设要有远瞻性,不能仅仅只满足当前的需要,更重要的要考虑学校长远的发展。
大学的网络一般应当是千兆主干,百兆到桌面,部分信息点千兆到桌面,对于网络核心部分及有特殊要求的部分基于安全等因素有存在链路冗余的需求。大学的网络应达到如下要求:(1)校园内各个有网络需求或其他信息化需求的建筑物应有适当类型和数量的光缆接入或无线网络信道接入。具体类型和数量或无线网络信道类型根据建筑物分布情况和内部网络需求而定;(2)各网络接入单位内部有完善的综合布线系统,能满足网络、语音、视频等传输需求,链路稳定而可靠,能实现10/100M的链路需求。此外,网络综合布线系统建设的具体实施应根据学校建设规划的步骤,在对需要入网的楼宇和单位进行实际情况勘察的基础上进行综合布线系统建设,预留足够的网络节点和主干链路[3]。
基本网络服务包括域名服务、电子邮件、DHCP等公共服务:(1)域名服务是网络的基本服务之一。它建立了主机名到IP地址的映像关系,是WWW,FTP,电子邮件及其它互联网服务的基础。在校园网架设1-2台DNS服务器,完成DNS服务;(2)邮件服务也是网络最基本的服务之一,校园网内的用户通过邮件系统进行沟通,既方便又快捷。原则上,校园内每个部门、每个教职工和每个学生都应该有一个独立的邮件帐号;(3)校园网的IP地址分配策略以固定IP地址配置为主,只在个别地区如教室和无线网络中,使用动态地址。为了便于维护,对一些办公室也可以采用固定分配,动态配置的方式,以减少最终用户的配置工作。
4数字校园系统的建设
4.1数字校园系统建设的内容
数字校园系统建设的内容主要包括:(1)信息标准的建设;(2)建设一个为全校提供服务的数据中心(统一数据库平台);(3)建立全校统一身份认证系统,并使用统一的电子身份体系为各种网络应用系统服务,使全校用户在所有的网络应用系统中都使用惟一的电子身份;(4)应用系统的集成,为实现教学、科研、管理和生活服务的全面网络化提供支持;(5)建设面向校内外的信息服务网站(统一门户平台),及时学校各类信息,针对社会公众和校内师生提供不同的信息服务和进入相应校园信息管理系统的入口;(6)一卡通系统;(7)建立全校严密的网络安全体系,保证校园网络的安全、保证关键数据、关键应用以及关键业务部门的安全,实现校园网络及其应用系统的安全高效运行。
4.2信息标准的建立
数字校园系统的建设与集成必须重视信息标准的建立,特别是公共信息的标准。在建设和整合信息时,只有遵循统一的信息标准,才能使不同部门建设的应用系统之间数据相互流通共享。信息标准化、数字格式和表示的一致性是信息发展的一个主要议题,同时也是数字校园系统建设和整合的一个重点,整个校园的数据表示需要按照一定的标准编码,方便学校内数据和行业之间数据流通。如何建立学校的信息标准是数字校园建设需要重点解决的问题。
4.3统一数据库平台
统一数据库平台的建设目标就是要建设一个面向应用、安全可靠、规范统一、灵活可扩展的统一数据库平台,为学校今后进行进一步的深层次的数据仓库、数据分析、数据挖掘等高级数据应用准备数据基础,逐步实现学校整体规划、统一协作的数字化环境。对于现有的数据库系统可以采取两种方式进行数据库整合:(1)将原有数据库和应用完全移植到新建的数据中心数据库平台上;(2)保留原有的数据库,在数据中心数据库中添加新的数据结构,然后通过专用的数据交换软件保持两个数据库之间的数据的一致性和完整性。
本文为全文原貌未安装PDF浏览器用户请先下载安装原版全文
4.4统一身份认证平台
统一身份认证系统是数字校园中所有应用系统进行认证的平台。用户登录成功后,访问其它应用系统,不必再次登录。
图2统一身份认证平台示意图
如图所示,通过指定相应的集中认证技术规范,提供统一的应用系统用户管理接口,最终实现所有新建系统用户认证的统一集中化管理,做到真正意义的集中认证。实现各应用系统的“集中认证”,可以彻底改变各自为政、管理松散的用户管理模式,充分发挥高校内部网络管理维护部门的管理职责,规范用户操作行为,强化用户合理使用网络资源的意识[4]。
4.5应用系统集成
现在各校已经建成的若干应用系统为学校实现管理信息化做成了很大贡献,但随着系统的不断建设,也造成了各自为政、信息孤岛的现象,数据不规范、不统一,难以共享成为进一步发挥作用的瓶颈。应用集成系统就是要采取对各个系统的整合集成,解决存在的上述问题。应用集成系统的核心是校内数据交换平台。数据交换平台的建设是数字校园各个应用系统互联互通的基础,是数字校园建设的重要环节。通过数据交换平台的使用可以将校园内各种不同应用平台,不同数据结构的应用系统有机地结合起来,结合统一门户和统一身份认证的使用,实现数字校园数据安全、高效、动态、一致、自由地交换共享。
4.6统一门户平台
统一门户平台是数字校园的窗口,它位于各类应用之上,以浏览器的方式向用户展现数字校园的应用信息,整合各类应用系统之间的间隙,使得学校用户自由定制个性化的信息内容。用户通过系统认证进入门户后,即可以获得与其身份相对应的各类服务访问权限。通过校园统一信息门户提供的全面信息和服务,用户可以在特定的权限内使用校内各应用子系统或者访问相应的数据信息。校园信息门户以“网络门户”的形式向所有关心教育的人士提供所有与教育有关的信息、内容与服务。校园信息门户服务不仅能完成门户站点本身的所有功能,而且能根据数字化校园建设的要求,提供各种服务的接入,如电子邮件系统、行政办公系统、校园虚拟社区、主页托管系统、统一用户管理系统等。
4.7一卡通系统
一卡通以智能卡为信息载体,结合微电子技术、单片机技术、计算机网络技术及数据库技术等诸多高新科技,使其作为电子身份的载体,是其他应用系统的基础,可实现校园消费结算、内部身份识别,有机结合校园现有信息资源和网络硬件资源的使用。通过银行学校合作、校企合作实施校园“一卡通”。校园“一卡通”采用学校与银行联合发行的具有金融功能智能校园卡。“一卡通”系统具有电子钱包和身份识别功能,并建立校园卡与银行卡的链接,实现银行卡向校园卡转账。电子钱包功能应用于学生注册交费、后勤服务和行政收费,身份认证功能实现工作证、学生证、医疗证、上机证和借书证的电子化,还可应用于门禁系统、会议签到系统等,达到教、学、考、评、住、用的全面数字化和网络化[5]。“一卡通”系统的建设,将给现代化的高校实现财务统一管理提供科学的、现代化的手段,将加速资金周转的效率,也为高校财务部门和师生员工提供更加及时、周到的金融服务提供良好的空间。
4.8网络安全体系
通过网络、数据、以及系统三方面的安全技术手段,为校园网络提供了一个完整的网络安全防御系统的解决方案。制定严格的管理制度和校内用户使用安全标准来增强校园网络的安全。通过技术防治和管理防范相结合,建立有效、健全的管理体系,最终达到保护校园网络信息系统安全性的目的[6]。
5结束语
数字校园是随着计算机和网络技术的发展而不断的发展的,数字化校园的建设是一个只有起点而没有终点的工程,认识的更新以及新技术的不断诞生,将引导数字化校园建设永无止境,但在数字化校园的规划中如何在传统校园的基础上,构建一个数字空间,拓展现实校园的时间和空间维度,提升传统校园的效率,扩展传统校园的功能,最终实现教育过程的全面信息化,从而达到提高教学质量、科研和管理水平的目的,这是提高大学综合实力的需要,也是社会进步的标志。
参考文献:
[1]许鑫.南京大学数字化校园建设架构[J].教育信息化,2002,(8).
[2]王宝山,武继军,冯永玉.论数字校园建设与系统设计[J].西安科技大学学报,2005,25(3):376-378.
[3]北京希尔信息技术有限公司.数字化校园整体解决方案白皮书.2005.
[4]姚林修.高校数字化校园建设方案和实施技术可行性研究[D].北京:中国地质大学,2006.
[5]刘臻晖.校园一卡通工程的网络设计与安全实现[J].安徽:计算机与信息技术,2004.
[6]张万民.青岛滨海学院数字化校园设计与实现[D].山东:山东大学,2006.
[7]高山.高校校园网络信息资源建设探讨[J].管理信息系统,2002(3)32-33.
[8]焦中明.高校数字化校园建设的几个问题[J].赣南师范学院学报,2004,(6):52-54.
[9]蒋东兴,陈怀楚,沈培华,王映雪.清华大学数字校园建设发展与规划.
[10]姜辉,许鑫.数字化校园建设的问题及对策[J].情报杂志,2003,(增).
如何构建网络安全范文
伴随由“管理型政府”向“服务型政府”转型的加速,以及云计算和大数据技术的不断成熟,政府部门对以电子政务为核心的政府信息化建设提出了更高的要求。IDC助理副总裁武连峰指出:“服务型政府面临如何满足海量需求、如何打破信息孤岛、如何应对lT复杂性等多个挑战,而lT市场的关键技术如大数据、移动化、软件定义等可以助力服务型政府应对挑战。因此建立智能、敏捷、安全的网络基础设施是所有新lT支持服务型政府的基础。”
的确,在无所不在的互联网时代,lT已经成为推动业务发展的核心驱动力,政府信息化也在应需而变。除了关注云计算和大数据下政府lT架构的发展与变化,政府各部门也密切关注着作为基础的网络变化趋势更智能,更稳定,更安全。
在不久前启动的三亚市新一代电子政务外网项目中,华为公司结合其在电子政务领域丰富的实践经历,给出了适合三亚电子政务外网建设的方案。通过在网络核心部署敏捷交换机S12700,利用其CSS2特性可以实现业界最低的跨框转发时延,并且整个集群系统在只有一块主控板情况下也可以正常工作,对于大量跨平台的电子政务应用场景极为适用,为各项政务应用打造出稳定高速的网络平台。尤其在安全方面,随着移动办公和Wi-Fi的普及,网络安全泄漏从传统的互联网出口一个点,变成了多个点。通过华为“全网安全协防”方案解决了防护边界的安全问题,全网安全协同架构下的安全功能不再由出口防火墙个点来执行,而是通过全网的安全事件收集,进行大数据关联分析并全网自动下发安全策略,保障了各级政务网络的安全。
如何构建网络安全范文篇4
高校网络文化既是基于师生共建,又是基于计算机网络传播的一种校园文化,是文字、图像、视频等多表现形式的集合。高校网络文化是校园文化目前最具活动的开放性文化,深受大学生们的喜爱[1]。
2全球信息高速化发展形势要求加强高校
网络文化安全建设截至2013年6月底显示,中国网民数达到5.91亿,手机网民达到4.64亿。手机网络音乐、手机网络视频、手机网络游戏和手机网络文学的网民规模相比2012年底分别增长了14.0%、18.9%、15.7%和12.0%,保持了相对较高的增长率[2]。网络已成为人们学习、生活、工作、娱乐等社会活动的基本工具。高校是文化的主要传播和吸收基地,网络成为了高校师生教育教学、学习交流、资料查询、娱乐互动、思想传播的大讲台。面对网络文化的冲击,给高校网络文化的建设与发展提出了机遇和挑战。
3维护高校网络文化与网络安全的途径
3.1加强高校网络技术建设和网络文化安全管理
网络是把地理位置相对独立的计算机联系起来达到信息文化资源共享。网络给人们带来了不出家门,便知天下事的便径。在校内通过网络可以访问校外有网络的任何地域信息,校外任何地域通过网络可以访问校内的任何网络信息。如果不加强网络技术应用和管理,校内就是一扇敞开的大门,任何人通过网络可以任意进出校园,肆意妄为;因此加强高校网络安全技术应用就是给校园网加了把锁,更好的保护校内网络文化的安全。
3.2构建网络安全的防护技术系统
组织专业技术人员成立校园网络文化安全管理小组,对校园网进行顶层网络系统安全设计,对校内各个层次的校园系统进行权限访问控制,各个网络节点的访问操作通过系统安全服务器进行身份验证,加强本地访问和网络访问的监测,定时与不定时的升级系统,堵住网络安全系统的漏洞,本文基于防火墙的安全技术,从6个方面来构架网络安全系统。1)入侵/防护系统(IPS)IPS是置于防火墙内的一个应用系统,主要是通过通信异常流量、通信异常内容、连接异常、攻击等网络进行保护,并能审计、记录,便于管理人员进行跟踪调查。2)漏洞管理系统漏洞管理系统包括对硬件和软件系统通过定量和定性的分析,找到漏洞风险方案,对网络系统进行修复升级,从而达到整个网络系统规避风险。3)网络防病毒系统构建网络防病毒系统通过集中管理和分布式查杀相结合的方式,由服务器防病毒系统和客户端防病毒组成,防病毒系统安装在核心交换机处。4)WEB应用防护系统构建WEB应用防护系统部署在WWW服务器的前端,主要对WEB客户端的各类访问进行检测和验证,对非法方法坚决阻断。5)内容安全管理系统构建内容安全管理系统主要是针对校园网站服务器资源的安全管理,保障校园师生文明、健康、和谐上网。6)用户认证系统的建设用户认证主要是保障校园每个师生的合法上网权益,通过IP地址、MAC地址、实体特征进行绑定,防止假冒和连接。把入侵/防护系统、漏洞管理系统、网络防病毒系统、WEB应用防护系统、内容安全管理系统、用户认证系统的建设构架于防火墙安全系统中,从流量异常、访问异常、攻击异常、连接异常、内容异常、病毒检测统计分析,整个校园网的安全性比单独用防火墙技术提高了2/3,大大降低了风险,说明网络安全系统的投入确实提高了高校网络文化的安全。
3.3加强校内网络文化信息安全管理建设
网络文化信息组成了大数据时代的到来,成了人们查询的百科全书。同时一些虚拟信息以前所未有的速度在全球扩散。在高校不安全的网络信息不仅危害大学生的学习和生活,而且有可能危及到校园的安定和团结。作为高校的网络文化管理人员,加强网络文化信息安全建设,是促进校园网络文化健康向前发展的保障。校内各个单位上载的网络文化语言一定要规范,上载前把握好审查关,涉及不文明、不和谐、不健康的、不规范的任何信息,坚决杜绝在网络平台上。加强校园网络内容等级划分,对不同等级网络内容进行严格的对应标准审查上网。
3.4加强高校网络文化法制宣传建设
我国是法治国家,任何公民事都要依法办事。我国为了维护网络文化安全,出台了一系列相关的法律、法规和条例,如《全国人民代表大会常务委员会关于维护互联网安全的决定》、《互联网上网服务营业场所管理条例》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息网络国际联网管理暂行规定》等。结合高校自身的校园网络文化管理体制,制定相应的大学生校园安全上网守则,力争人人文明、安全上网。
4结论
如何构建网络安全范文篇5
关键词:电子商务PKICA网络公证
引言
电子商务逐渐成为21世纪经济生活的新领域,它可以大幅度地降低交易成本,增加贸易机会,简化贸易流程,改善物流系统,提高贸易效率,推动企业和国民经济结构的改革。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易过程中与传统交易方式一样地安全、可靠。从安全和信任的角度来看,传统交易方式的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,建立交易双方的安全和信任关系相当困难。如何解决电子商务中的信用及网络传输中的安全问题,如何判别网上交易对方的真实身份,如何固化并保存网上的交易内容并使之成为有效的法律证据,如何履行网络合同中最敏感的资金支付等一系列问题已构成了电子商务发展的障碍,建立完善的电子认证体系已成为电子商务发展的关键。
为解决Internet的信息安全,世界各国对其进行了多年的研究,初步形成了一套完整的解决方案,即目前被广泛采用的PKI(PublicKeyInfrastructure)技术,PKI技术采用证书管理公钥,通过第三方的可信任机构即认证中心CA(CertificateAuthority),把用户的公钥和用户的其他标识信息如名称、身份证号等捆绑在一起,在Internet网上验证用户的身份。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息在网络上的安全传输。
完整的PKI应包括认证政策的制定、遵循的认证规则技术标准、运作制度的制定、所涉及的各方法律关系以及技术的实现。笔者就网络电子认证体系采用网络公证从法律制度与安全技术相结合的角度做了探索性研究,并尝试对网络公证以解决网络中的信用安全给出了一整套解决方案。
国内CA的现状
互联网的开放性大大降低了网络环境的可信性。电子商务中的交易信任问题成为信息安全的主要问题和关键问题,而信任是交易的基础。为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,还必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体在网上信息交流及商务交易活动中的身份证明,该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
电子商务对网络安全的要求,不仅推动着Internet上交易秩序和交易环节,同时也带来了巨大的商业机会。自1998年国内第一家以实体形式运营的上海CA中心成立以来,全国各地、各行业纷纷上马建成了几十家不同类型的CA认证机构。如果从CA中心建设的背景来分,国内的CA中心大致可以分为三类:行业建立的CA,如CFCA,CTCA等;政府授权建立的CA,如上海CA,北京CA等;商业性CA。不难看出,行业性CA不但是数字认证的服务商,也是其他商品交易的服务商,他们不可避免的要在不同程度上参与交易过程,这与CA中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言,行业性CA更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安CA认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性CA,除具有地域优势外,在推广应用和总体协调方面具有明显的优势,不过需要指出地区性CA离不开与银行、邮电等行业的合作。
国内CA存在的问题
在电子商务系统中,CA安全认证中心负责所有实体证书的签名和分发。CA安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言,CA的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够,都还存在一些问题。在技术层面上,由于受到美国出口限制的影响,国内的CA认证技术完全靠自己研发,由于参与部门很多,导致了标准不统一,既有国际上的通行标准,又有自主研发的标准,即便是同样的标准,其核心内容也有所偏差,这必将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。在应用层面上,一些CA认证机构对证书的发放和审核不够严谨。目前国内相关的CA中心在颁发CA证书前虽然也竭力进行真实身份的审核,但由于进行相关审核的人员往往是CA中心自己的工作人员或其委托的其他人员,从法理上讲这些审核人员不具备法律上所要求的审核证明人资格,也无法承担相应的法律责任;另一方面现在的CA中心本身往往也是交易或合同的一方,难免存在不公正性。为了抢占市场,在没有进行严格的身分确认和验证就随意发放证书,难以确保认证的权威性和公证性。在分布格局上,很多CA认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求,而就互联网而言,不应该也不可能存在地域限制。
电子商务认证的解决方案
在传统的商务贸易中,公证机构作为国家的证明机构,以交易信用的第三方中介行使国家证明权,其权威性与统一性历来为法律所确认。公证证明属国际惯例,中国加入WTO后,在与国际法律制度的接轨中,公证机构的证明效力日益显现出来。正因如此,将权威的国家证明权引入虚拟的网络世界,实行网络公证能够彻底填补网络世界的法律真空,解决目前国内CA认证的弊端,使现实世界的真实性向网络世界延伸。
网络公证方案首先从网络身份的真实性证明入手,在确认网络主体的真实身份的基础上,对网络交易内容以公正的第三方的角度加以证据保全,对交易履约中的资金支付采用公证行业特有的第三方安全支付加以解决,因此,笔者认为网络公证方案是电子商务安全与信用的一个整体解决方案。
网络中真实身份审核的解决
一个安全、完整的电子商务系统必须建立一个完整、合理的CA安全认证体系。以PKI技术为核心的CA证书能解决网络数据传输中的签名问题,日益显现出其确认网络主体身份的优越性。但是,在实际运作中,网络CA电子身份证书仍然为大家所怀疑。究其原因,关键在于网络中的CA证书持有人与现实世界中的真实身份是否一致并未得到彻底解决。如不解决这个前提,则用CA证书所做的任何签字将不产生任何法律效力,因为没有一个现实世界的主体与之相对应,并承担网上义务,而法庭更是无从受理。
纵观诸多国家的电子交易,数字证书的发放都不是依靠交易双方自己来完成,而是由一个具有权威性和公正性的第三方来完成,该第三方中介机构以提供公正交易环境为目的,应具有中立性。因此,银行所办的CA中心以及其他纯商业性的CA中心是不符合国际惯例的。
一个身份认证必须满足两种鉴别需要:当面鉴别和网上鉴别。当面鉴别以生物特征为主,网上鉴别则以逻辑特征为主。在CA证书的发放中,最关键的环节是RA(RegistrationAuthority)证书离线面对面审核,交易当事人最关心的基本信息,如网上的对方究竟是谁,真实的身份与信用状况如何等。然而,目前相当多的CA公司在实际操作中或多或少地存在随意性,并未建立起严格的审核要求与流程。申请数字证书的用户只要在网上将相关的表格随意填写后,即可从CA公司那里获得个人CA证书。异地申请的企业只要将相关资料盖上公章邮寄过去,并交足相关费用即可获得CA证书。造成这种状况的一个重要原因是:要在全国建立几千个面对面的审核点具有很大的难度。因而建立严格的审核流程是十分困难的。然而网络公证可以彻底解决这一困惑。网络公证可以将传统的公证证明应用到CA证书的身份审核上。其具体解决办法是:将遍布全国的数千家公证机构通过因特网联成一个统一中国公证网络,以实现将社会公众、公证客户、公证机构与公证相联结。也就是说,通过中国公证网,将遍布全国各地的公证机构有机地联在一起,彻底解决了异地审核的难度,并确保了网络身份的真实性。当用户需要申请CA证书时,即可到所在地的公证机构进行离线的面对面审核,也即RA审核。该审核严格按照公证机构的审核要求与流程进行,公证机构自然地对所审核的内容承担相应的法律责任,经过RA审核后的资料统一进入公证机构的中心数据库中进行安全存放。这样,经网络公证RA审核后所颁发的CA证书就自然地与其真实身份相对应,以后在电子商务交易中的网上签名行为即为其真实持有人所为。进行RA审核的人员不是普通公民,而是现行法律体系中承担法定审核工作的公证员,他们负有审核身份的法律责任,行使的是国家的证明权。由此可见,网络公证所构建的网络真实身份审核体系,可以与CA中心以及其他公司相配合,为其发放CA证书提供审核环节的服务,以解决其审核布点困难以及审核者身份不合法的问题。
就技术而言,CA在现阶段的应用已趋成熟,PKI公钥管理体系也很实用。它通过给个人、企事业单位及政府机构签发公用密钥与私人密钥组成的数字证书,来确认电子商务活动中交易各方的身份,并通过加解密方法来实现网络信息传输中的签名问题,以确保交易安全性。
保存网络中的数据,使之成为有效的法律证据
在确定网络身份后,交易双方就进入了实质谈判,以达成双方认可的条款。在传统交易中,协议的合同化过程是在书面合同上签字盖章,一旦交易双方日后在履约中出现争议,就可以以当初所签署的书面合同作为证据来解决存在的争议。与此对应,在虚拟的网络交易中,也必须能让虚拟的交易数据得以固化并在日后可能发生的纠纷中作为证据为法院所采证。网络公证方案可以采用的解决方法是提供第三方数据保管服务。当交易双方在网上达成协议后,各自用CA证书对合同进行加密签名,并将合同的电文数据内容提交到网络公证的数据保存中心。由于进行了加密签名,数据保存中心也无法打开并知悉当初的交易合同,这就真正确保了其安全性。事实上,由于第三方公正方的参与,使得电子商务交易得以在制度层面得到安全保障。交易双方一旦出现纠纷,通过解密打开的合同将由公证机构出具其保存的公证书证据。而公证文书在法庭上是可以作为证据直接被采纳的。
网上合同履行的提存服务
电子商务交易的信任危机除了主体身份确认危机、交易数据的证据危机外,网络交易履行中的支付信任更是阻碍网络交易发展的阻力。双方达成交易意向后,买家担心的是能否准确、及时地收到货物;卖家担心的是交了货后能否准确、快捷地收到货款。也就是说,网络交易双方共同关心着网络合同履行中的信用安全问题。网络公证可以依照传统的提存公证思路,结合网络技术展开网络提存业务。在网络电子商务交易中,买方不必将货款直接交付卖方,而是将货款提存到网络公证提存中心,在其收到货物并签署完相关单据后,提存中心再将货款支付给卖方。这样,网络公证提供的第三方提存服务彻底解决了网络交易双方对网上合同履行的困惑,尤其是支付的担忧。法律制度和传统贸易中早已有的公证提存方式对网络世界中的交易尤为适用。
可以预见,随着信息安全领域的标准化、法制化建设的日益完善,网络公证依托中国公证网络,运用公证的国家证明力所构建的第三方信用与安全服务以及网上合同履行的提存服务,彻底解决了网络交易主体对电子商务的信用问题,也必将极大地推动我国电子商务的发展。
参考资料:
如何构建网络安全范文
关键词:主动;被动;防御;安全;网络
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)25-7098-03
ToBuildaSecuredandReliableNetworkNeedsCombinationofInitiativeandPassiveDefense
HUANGWei-fa
(FujianProvincialTobaccoCompanyFuzhouBranchCompany,Fuzhou350013,China)
Abstract:Howtoguaranteethesecurityofnetworktobaccobusinesshasbecomeakeyissuetopushforwardthesmoothdevelopmentoftobaccoindustryintheinformationera.Accordingtothenecessitytoconductelectronicadministrationande-commerceintobaccoindustry,onthebasisofthestatusquoofFuzhounetworksecurityoftobaccobusinessanddailywork,thispaperputforwardasuggestion:networksecurityadministrationisacomprehensivesystem,henceitisnecessarytofocusontheaspectsofstrategy,managementandtechnologysoastobuildamoreeffectiveandmorereliablenetworksecuritysystembycombininginitiativedefensetechnologywiththetraditionalpassivedefense.
Keywords:initiative;passive;defense;security;network
近年来,随着信息技术的飞速发展和互联网的迅速普及,网络以其惊人的发展速度和巨大的利益吸引着厂商纷纷通过建立电子商务虚拟市场完成其交易活动,其广阔的发展前景已经引起世界各国的密切关注,而且越来越多的传统企业已经意识到以信息技术为主导的知识经济时代,以网络化、信息化、知识化、全球化为特征的新经济是不可逆转的。然而随着网络上的数据来往,网络信息安全成为企业更为关注的问题。由于烟草行业是国民经济的重要组成部门,面对激烈的竞争,提高网络的安全性能将对这种新型的网络商务运作模式的有效运转、提高我国烟草行业的经济效益和效率、提高企业的竞争力占据有力的作用。
该文以作者所在单位的网络为例,从策略、管理、技术等方面对如何打造更为安全可靠的网络安全体系进行了分析和探讨。
1网络安全的基本认识
当今社会是信息化的社会,信息化的基础设施是网络。随着Internet的发展和PC机的普及,网络和信息化已经成为了现代社会的重要标志之一。从Internet的最早起源美国国防部高级研究计划署DARPA(DefenceAdvancedResearchProjectsAgency)的前身ARPAnet开始,到现代高达发达的信息化公路,网络可以说是无处不有,电子邮件、网上银行、电子商务、网络办公……网络已经融入了我们的生活,给人们的生活带来的极大的方便。
然而,网络信息技术也和其他科学技术一样是一把双刃剑。当大部分人们利用网络信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用网络信息技术却做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息、篡改和破坏数据,给社会造成难以估量的巨大损失。据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)统计,2007年各种网络安全事件与2006年相比都有显著增加,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件成倍增长,网络仿冒事件数量由563件增加至1326件,增长率近1.4倍;垃圾邮件事件数量由587件增加至1197件,增长率达1倍;网页恶意代码事件数量由320件增加至1151件,增长率近2.6倍。2007年微软公司正式公布了69个4具有编号的安全漏洞。其中,除Windows操作系统漏洞外,安全漏洞更多的集中出现在了IE浏览器和MSOffice等应用软件上。
2福州烟草网络安全现状
图1为作者所在单位的网络拓扑图。在图中可以看到,在广域网范围,全网由主备两条2MSDH链路连省公司和下属各县分公司;在城域网范围,连接各业务部门和下属单位近十条链路;由于业务需要,还存在到其他地区的2M帧中继以及到兴业银行和农业银行等连接。这些线路或通过广域网连接到市公司中心机房的两台cisco3600路由器,或通过城域网连接到市公司中心机房的6509核心交换机,最终全区所有节点约800台都汇聚到6509核心交换机。在全区外网唯一的出口和内网之间架设一台中科网威防火墙NPFW-200-P4和入侵检测服务器。在公司架设一台防病毒服务器,全网所有电脑都安装瑞星网络版防病毒软件。
从拓扑图来看,这是一个规模不大的网络系统,网络中采用了防火墙、入侵检测服务器和瑞星网络版防病毒软件等措施来构建基本的安全防御系统。防火墙隔离了内部局域网与外部互联网,保护内部网络不会轻易受到攻击,瑞星防病毒软件安装在每个终端上,对终端进行杀毒保护,这是最为简单的组合模式,然而在实际运作中,我们发现存在着不少安全问题。
首先,基于传统安全防御理念构建的网络架构,其防御的对象着眼于外部,忽视了来自内部的威胁。在传统思维的引导下,通常企业也都比较信任内部的员工,安全设备根本不对企业网络内部的情况进行监视。企业内部的每一个人都得到了充分的信任,可以在网络中随意游走,毫无限制。然而,来自安全研究机构的统计:超过85%的安全威胁来自企业内部,威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等。当然更有说服力的,还是国内外一些活生生的例子,包括很多全球知名企业的泄密案等,其损失之巨大,更是足以让后来者引以为戒。
传统安全防御的方法更多的是采取被动防御技术的,构筑好一个防御的城堡以后,就坐等敌人的进攻,主动权交到了对方的手里,这样的防御永远只能跟在对方的身后,拆拆补补,南门受到了攻击,就调集部队守南门,北门告急,再调过去补北门,疲于奔命,顾此失彼。而且一个城堡能否被攻破,不是取决于城堡有多厚,而是最薄的地方在哪里,而更加致命的是被动防御往往不知道什么地方最薄。
其次,在管理上,建立规范的信息化管理系统和制定符合实际的安全管理制度体系,并不是一个有什么难度的事情,最为困难的就是如何保障信息管理系统的有效运行和安全管理制度体系的执行到位,这涉及到企业的管理风格,业务模式与对信息安全的重视依赖程度,特别是企业领导对信息安全问题的重视程度以及信息部门在企业中的地位,决定了网络安全体系如何建设、建设到什么程度以及能够起到多大的作用。
最后,在技术上,我们虽已配备安全产品的“老三样”――防火墙、入侵检测以及防病毒软件。但随着技术的发展,现代防火墙技术已经逐步走向网络层之外的其他安全层次。而我们的防火墙功能比较弱,无法为各种网络应用提供相应的安全服务。同时,由于没有流量控制、带宽控制等功能,使得我们在外网访问管理上捉襟现肘,许多很好的管理思路无法得到实施。
对于终端电脑没有有效的工具来管理。如前所述,在传统安全防御思路中,对来自内部的安全威胁认识不足,各类信息软硬件的发展诸如移动存储设备(移动硬盘、闪盘、SD/CF/等)、服务器软件等使得病毒木马可以轻易绕过防火墙进入局域网内部,更何况现在许多的病毒木马可以终止安全软件的运行。身份认证系统是整个网络安全体系的基础,否则即便发现了安全问题也会由于无法查找而只能不了了之,只有建立了基于全区网络的统一身份认证系统,才能彻底的解决用户入网身份问题,同时也为各项应用系统提供了安全可靠的保证。
与作者所在单位相似的是,多年的信息化建设,使得许多企业也意识到了搞好网络安全的重要性和必要性,不少企业都能斥资数百乃至上千万购置防火墙、防病毒软硬件设备来构筑自己信息安全的堡垒。但是他们往往发现投入了许多,安全问题不减反增,每天不停打着漏洞补丁,病毒日志数十页地增加着,系统运行时好时坏,从事信息建设的工作者无法高枕无忧,反而更加有如履薄冰的感觉。尽管采用了花样翻新的安全产品和解决方案,但企业所面临的安全威胁不是减少,而是大大增加了。
道高一尺,魔高一丈。虽然90%的企业机构已经采用了防火墙和防病毒解决方案,但仍有超过一半会受到安全漏洞的影响;尽管对信息安全忧心忡忡的企业已经在该领域投入了大量资金,但企业每天受到攻击的次数却以每半年30%的速度增长。
3主动与被动防御相结合构建更为安全的网络安全体系
网络安全解决方案核心目标是最大限度确保数据安全和业务的连续性。对于企业来说最关心的并不是一个完美的,无懈可击的网络,而是如何保证网络所承载业务的正常、安全、可靠地运行。虽然我们面对的信息网络具有各种各样的安全缺陷,只要我们通过适合灵活的安全策略,保证业务活动和业务数据的安全,并确保业务应用的可用性,那么承载业务的这个网络对于我们来说就是符合要求的安全网络。
以下从策略、管理、技术三个方面就如何打造主动与被动防御相结合的网络安全体系进行探讨:
3.1在策略方面
3.1.1配置入网身份认证机制
身份认证的缺失,使得任何一个用户对任何一个安全问题都是可抵赖的。而内部攻击的发生是无法从制度上阻止的。在网络节点接入安全网络时,需要对待接入的系统安全状况以及操作该节点系统用户的身份进行充分的评估、认证,以确定该系统是否符合网络的内部安全策略,来决定该网络节点系统是否接入到安全网络中,还是拒绝接入或安全升级后接入。显然,网络准入的机制不仅实现了安全网络“主动”的动态扩展,而且能够有效降低不可信终端系统接入网络所带来的潜在安全风险,为网络管理奠定良好的基础,有效保护核心数据的生成、访问、更改等操作,保障电子政务的运行以及为所有应用系统的统一单点登录创造条件。
3.1.2加强网络内部机器的管理
对内部网络所有计算机上的重要信息的存储和传输实施访问控制、数据保护和日志记录,提供完善的集中管理控制机制、有效的安全策略生命周期管理方法和细致清晰的审计分析报告,从而能够有效地防止内部网络重要信息通过各种途径被非法泄漏和破坏。安全问题不仅仅来自外网,实践证明更多的来自内网。虽然我们非常清楚地知道企业内部人员的危险程度有多高,但是,内部人员的活动是无法预测的。谁都不可能知道哪些员工会在什么时间干出伤害公司利益的事情。因此,主动防御更多的就是要我们主动出击,防患于未然。
3.1.3建立安全管理中心(SOC)
将关键设备的运行管理权利集中到一起,通过高度密集的管理产品和手段,将分散在各地区、不同业务网络上面的各种安全产品有机的结成一个整体。所涉及的安全管理管理范围包括:所有的基于IP的网络和应用系统的安全:包括支撑网本身、业务支撑系统(如决策支持系统、网管)、业务系统本身和其他应用。所有安全产品组成的安全体系的实时管理和监控都应当受到SOC的管理。所有非安全产品的关键应用系统均应该通过一定途径将安全相关信息输送到安全管理中心中,保证及时安全时间的发现、分析和响应。
3.2在管理方面
3.2.1网络安全是一项技术问题,更是一项管理问题
网络不能完全依赖安全产品来解决信息安全,网络安全更需要从管理的基础上突破技术问题。安全问题不仅仅是技术问题,更多是管理的问题。在技术保障下,良好的管理能够使网络安全达到最大化。网络安全事务是多维的,涉及到:公共管理、安全策略、法律法规、人员素质、安全审计、安全保险、安全技术、安全意识培养、安全评估等多方面。一个方面的疏漏就会导致整个安全防护系统功败垂成。通过加强管理来避免安全问题,使安全隐患最小化,建立安全问题的责任问责制,形成信息安全问题解决机制。
3.2.2提高全体人员网络安全意识
1)提高领导网络安全意识
网络安全关系着核心数据的保护、业务运行的稳定性和办公流程运转的连续性,是信息化工作的重要的基础性的内容。
2)提高信息化工作人员网络安全意识
网络安全不是装个防火墙和防病毒软件,没事就杀杀毒。它是复杂的,多维的,动态发展的;它要求工作人员不仅要具备技术水平,更需要提高认识和综合能力,具备良好的管理水平。信息化工作人员有必要定期进行培训,接触并学习到较为前沿先进的技术知识,并加强和同行间的交流。
3)提高终端用户网络安全意识。
所有终端用户是信息化工作开展的出发点和归宿点;他们既是信息网络的使用者,也是信息网络安全风险最大的制造者。引发安全问题可能是有意的,可能是无意的;但绝大多数是无意的。只有提高所有终端用户计算机使用水平和网络安全意识,才能最大程度消除安全风险。
3.2.3网络安全管理监督机制
任何制度建立了但没有执行就是一纸空文,执行了但没有监督就无法落到实处。网络安全管理监督需要技术做保证。只有具备进行身份认证和操作记录的技术,才能防止用户的抵赖,真正做到监督有所依据、有所成效。同时建立网络运行状况定期公布制度,甚至进一步建立奖惩制度,有力的督促用户规范使用网络和信息设备。
3.3在技术方面
3.3.1及时更新升级网络安全设备
对防火墙、防病毒软件等被动防御技术进行及时更新换代,以确保防火墙、防病毒软件能够适应最新的安全防御要求,实现管理者的安全防御思路和策略。提高网络管理者对网络的操控能力。
3.3.2配置安全专用设备加强外网安全管理
新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重的是网络层的过滤;而安全专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及最佳效能的安全防卫架构。
3.3.3配置网络管理软件加强终端用户管理
由于全网内终端电脑数量多、分布广、权限大、使用人员水平参差不齐等原因,网络安全管理在防范内网安全上存在着巨大的漏洞。内网存在大量的病毒传播,文件传输,共享漏洞,密码保护等问题。只有配置了网络管理软件,才能有效的实现可控、可追踪、可审计和全面的终端管理。
3.3.4合理使用VPN或VLAN技术
合理使用VPN或VLAN技术,通过物理网络的划分,控制网络流量的流向,使其不要流向非法用户,以达到防范目的。
4结论
构筑一个主动与被动防御相结合的网络安全体系,就需要打破原来城堡式的被动防御观念,建立一个灵活机动、积极寻找防御点的可以信赖并且是可控的网络环境,关键点就在于这个体系要能够主动预知和控制我们的防御。任何方案不可能做到绝对安全,只能最大限度去降低安全事故的发生概率,主动防御通过各种措施来评估和预知安全事故的可能发生点,采取手段制止事故的发生。在网络安全的管理与建设当中,应当清醒的认识到网络安全管理是一个综合的系统工程,需要从策略、管理、技术三方面着手,在传统被动防御的基础上结合主动防御技术构造更加有效可靠的网络安全体系,为烟草行业实现健康稳定可持续发展提供强有力的信息化技术支撑。
参考文献:
[1]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.
如何构建网络安全范文1篇7
关键词:陷阱;防御;信息控制
中图分类号:TP393文献标识码:A文章编号:1671—7597(2012)0510049-01
0引言
随着网络应用的不断深入,入侵和攻击行为愈来愈猖獗,要有效的阻止和防范各种各样的入侵和攻击行为,需要及时了解入侵和攻击行为的特点和技术原理,将网络的安全防护由被动防御转为主动防御。本文设计的网络诱骗系统将入侵者引入预先构建好的陷阱环境,对入侵者的所有行为进行跟踪与记录,以提高对已知和未知入侵行为的发现能力,实现网络的主动防御。
1陷阱技术
目前研究的陷阱技术主要有两大类,就是通常所说的蜜罐(honeypot)和蜜网(honeynet)。honeypot也称为“数字沙箱”,有“网络陷阱”之称,它的价值就在于被探测、被攻击或被攻陷,通过模拟某些常见的漏洞吸引攻击者,诱骗入侵者进入构建好的虚拟网络环境,避免对真实网络造成危害的同时,将入侵者实施的一切行为包括攻击的全过程、所使用的工具等都记录下来。honeynet也称为“诱捕网络”,是在蜜罐的基础是逐步发展起来的一个具有新功能的技术,是隐藏在防火墙后面的独立的网络系统,关注、捕获及控制所有进出网络的数据都受到,主要用于研究攻击的特征和发展趋势。
2系统的设计目标
诱骗防御系统的核心是强大的网络和系统活动的监视能力,以及监视机制的隐蔽性,可以用来阻止未来的攻击。本文结合黑客用于入侵工具的一些技术,构建了一个基于陷阱技术的诱骗防御系统,希望达到以下几个目标:
系统的有效性。陷阱技术就在于引诱、欺骗潜在和现实的攻击者,陷阱的启用与真实的入侵密切相关,陷阱并不是人为设计的威胁,被探测到的入侵者是真实的,可以安全地提供威胁的度。如果陷阱设置地过于简单,敏感的入侵者会很容易识别到陷阱的存在,会失去系统的有效性。
系统的隐蔽性。为了完成对信息的收集,系统需要做一些改动,例如设置SCSI分析器、网络协议分析、加载内核模块等,这样就为入侵者识别本系统留下了痕迹,因此在全面收集入侵者信息的同时,需要很好地隐藏自己,以防止入侵者发现系统的特征而导致泄漏。本文构建的系统采用内核模块隐藏技术进行隐蔽性设计,并贯穿于系统设计的全过程。
系统的自安全性。作为诱骗系统,为了吸引入侵者的攻击,要设置一些有价值的资源作为诱饵设置陷阱,诱使入侵者进入,然而进入陷阱的入侵者有可能利用本系统作为跳板对真实的网络进行攻击。如何有效的防止本系统被利用和滥用提供的资源是系统设计过程中的一个关键性问题,使得陷阱客户机不能访问有用数据、管理或控制其他计算机,根本没有任何合法的用户或通信。
3系统的总体结构
系统主要用于记录入侵者的行为,转移行为记录,以及进行数据分析,由陷阱环境、信息控制、系统隔离、数据传输和数据分析等五大功能模块组成,总体结构如图1所示。整个系统融入了强大的数据捕获、数据分析和数据控制工具,将Honeynet纳入到一个完整的网络陷阱系统中,使得研究人员能够更方便地追踪入侵者,并对他们的攻击行为进行分析。每个功能模块之间相互隐藏,有机结合在一起,进一步加强了系统的隐蔽性,有效地提高了诱骗的质量。
4模块功能分析
4.1构建陷阱环境:系统的关键是如何构建一个有效的伪装环境,当入侵者进入特定的虚假系统后,会相信他所入侵的是一个真实的系统,负责与入侵者交互,是捕捉入侵者活动的主要场所。在陷阱环境的构建过程中,首先采用多种伪装策略进行主体架构,采用操作系统伪装,程序运行伪装、应用服务伪装,文件伪装等来迷惑入侵者;其次需要完善监控机制,每一台陷阱客户机始终处于严密的监控之下,以不被入侵者觉察的方式捕捉尽可能多的活动,完成隐蔽的数据采集和捕获。
4.2信息控制模块:主要功能是对入侵者的行为进行规则定义,规定他们能执行的行为以及禁止的行为。一般来说,进入陷阱的入侵者需要对外发起连接,为了不引起他们的怀疑和更好地分析入侵行为,必须允许这些行为,然而允许入侵者向外连接的活动越多,面临的风险也会更大。本模块的重点是如何在允许若干必需行为的同时又不会引起怀疑,本文采用连接网桥作为控制模块设置在陷阱环境的出口处,对由内部每台主机发起的各种类型的连接进行限制,以减少虚假系统被利用的风险。
4.3系统隔离模块:从上面的图1中可以看出,路由器和防火墙放置在所有进出本系统的必经节点,管控所有的数据包。其中路由器作为第一道关卡,位于防火墙之前控制访问的数据量,进入陷阱的入侵者察觉到和外部网络之间有一个路由器的存在,就能更相信所处环境的真实性,也能防止防火墙被轻易发现。防火墙则是主要的控制连接工具,设置为不完全单向控制连接,允许所有外来的连接,严格控制向外的连接,一旦超过了规定的连接数,将阻断任何后续的连接。同时对由陷阱向外发起的连接进行全程跟踪和实时管控。
4.4数据传输模块:陷阱环境成功捕获的数据都不能存放在陷阱客户机中,本地存储的信息很可能会被发现,必须进行异地存储,在传输过程中同时要有效防止入侵者发现从而对其进行截获和修改。本系统采用一台安全性高、不提供任何其他服务的独立系统作为服务器,客户机能绕过网络协议栈,直接通过私有局域网进行数据传输。
4.5数据分析模块:构建本系统最终的目的是分析入侵者的工具、策略,因此本模块是整个系统的核心和关键,服务器接受到陷阱环境捕获的入侵数据如系统行为、系统连接和网络交互行为等,根据配置的规则进行详细的统计、分析和过滤,提取并记录数据攻击的行为特征,发现与跟踪已有的僵尸网络等,进一步分析他们使用的工具、采用的策略及攻击目的,从而完善现有的网络防御系统。
5结束语
随着网络攻击力度越来越强,越来越智能化,因此依靠单一的被动防御手段也越发显得不可靠。本文设计的基于陷阱机制的防御系统弥补了入侵检测系统守株待兔的不足,将Honeypot纳入到一个完整的网络陷阱系统中,将网络的入侵行为进行重定向,使入侵者滞留于陷阱环境中,观察入侵者的行为,并采取必要的措施有效防止入侵者的再次进攻,从而更好地保障正常网络的安全。
参考文献:
[1]杨奕,基于入侵诱骗技术的网络安全研究与实现,计算机应用研究[J].2004(3).
如何构建网络安全范文篇8
【关键词】IP协议;IPv6;IPv4
物联网的本质是网络间交互作用,但是,互联互通是物联网交互作用的前提条件。由于物理世界中物件数量难以计数,物的形态与性质又是千变万化、千差万别,如何通过网络把这些千奇百怪的物件不但能够联系起来,保持各自的性质与状态,而且将来能够在网络智能控制下交互作用,这就是物联网建设中必须考虑与建设的标准问题。但是,随着近30年互联网的蓬勃发展,特别是物联网的发展开始受到网络IP地址的限制。有资料显示全球IPv4地址可能在很短时间内即将消耗殆尽,地址空间的不足必将影响互联网的进一步发展。网络IP地址不足,严重地制约了我国及其他国家互联网的应用和发展。
基于这个背景,论文主要介绍企业在建设物联网过程中应该如何选择IP协议的相关问题,特别是IPv6对IPv4取代的必然性以及企业物联网建设中应用IPv6应该注意的问题。
一、因特网协议IP(InternetProtocol,IP)的发展历程
互联网建设的终极目标是:网络是中立和无控制的,任何人都没有决定权;网络的应用是无关的,网络的任务就是如何更好地传输数据报。因此,要建立一个可以无缝链接到其他网络的系统和如何设计一个面向未来的网络,就需要一个大家都接受的网络协议。这个协议就叫因特网协议,也叫IP协议产生的前提条件,也是IP协议的重要作用。
IP协议最早形成于美国国防部高级研究项目局资助的工程所开发的协议(叫1822协议),在1970年为网络控制协议(NetworkControlProtocol,NCP)所取代,NCP协议的目的是通过接口消息处理机(InterfaceMessageProcessor,IMP),现在也称为智能物件的路由器,把网络上的各个站点联起来。VintCerf和RobertKahn后来设计网络传输控制协议TCP(TransportControlProtocol,TCP)来取代网络控制协议NCP,由于两者没有分开,就统称TCP/IP。在因特网协议(也叫IP协议)里,使用最为广泛的两个协议是传输协议TCP和用户数据报协议UDP(UserDatagramProtocol,UDP)。传输协议位于IP协议之上,为应用提供一种无须直接与IP层交互的通信机制。应用程序并不直接使用IP,而是通过传输协议相互通信。由于下层IP网络尽最大可能传递数据报,但无法保证数据报一定可以到达目的地,也无法保证数据报的交付顺序和发送时的顺序相同,因此,用户数据报协议UDP在IP层之上提供了一个附加层来解决前面的问题。IP使用地址标识因特网中的主机,UDP使用端口标识主机的每一个进程。端口是一个16bit的数值,用来区分每个端点不同的发送者和接收者。用户数据报协议UDP提供一种尽力而为的传送服务。
IPv4(TCP第4版)是在1982年设计,广泛并成功地部署到全世界大量公用网络和私有网络中的数以亿计的主机和路由器上。IPv6(TCP第6版)的发展是从1992年开始的,由IETF设计的下一代互联网协议,目的是取代现有的互联网协议第四版(IPV4)。经过了十几年的发展,IPv6的标准体系已经基本完善,在这个过程中,IPv6逐步优化了协议体系结构,为业务发展创造了机会。
随着物联网建设的发展,许多客观世界中的物要通过智能物件经过网络联系并能够交互起来。这就需要IP协议能够唯一识别并有效地把智能物件联系起来。因此,一下子扩充了的网络地址及其网络操作发展中互通性、可扩展性、架构的稳定性和普遍性受到人们的重视。
二、IPv6对IPv4取代:物联网发展的必然
IPv4协议已经使用了30多年,不可否认,IPv4在因特网的发展进程中起到了举足轻重的作用。甚至今天的因特网中绝大多数仍是使用IPv4协议。但是,随着计算机及路由器的迅速发展,特别是随着物联网的快速发展,IPv4的弊端日益明显,IP6取代IP4成为物联网发展的必需,具体如下:
(一)IPv6对IPv4的取代能够解决物联网发展过程中网络地址的不足
当前,IPv4地址资源有限。从理论上讲,编址1600万个网络、大约43亿个电脑可以联到Internet上。但采用A、B、C三类编址方式后,可用的网络地址和主机地址的数目大打折扣,以致目前的IP地址近乎枯竭。最近美国ARIN报告,A类地址已分配完;62%B类地址已分配;37%C类地址已分配,IPv4的地址空间将面临耗尽的危险。IPv6产生的初衷主要是针对IPv4地址短缺问题,即从IPv4的32bit地址,扩展到了IPv6的128bit地址,充分解决了地址匮乏问题。同时,IPv6网络中一个接口可以有一个或多个IPV6地址(包括单传波地址、任播地址和多播地址),这也进一步增加了地址应用的扩展性。
(二)IPv6对IPv4的取代能够解决物联网发展过程中互通性、可扩展性、架构的稳定性和普遍性的需要
1.IPv6取代IPv4,更能够适应物联网网络传输控制的发展
网络能够互联互通是网络在任何数据改善之前,两个端口之间必须建立一个链接。链接由端点的IP地址和TCP端口之间唯一确定。TCP在尽力而为的IP层之上提供一个可靠的字节流来传输服务,它通过缓冲数据并结合主动确认和重传机制,实现传输可靠性;同时,TCP还提供包括建立和拆除链接的可靠方式。总之,TCP以更大的报头和更为复杂的传输层协议的逻辑为代价降低了应用的复杂程度。
在物联网环境下,智能物件有芯片内存低、信息吞吐量低等特点。同时,用于物联网环境下的UDP协议存在两个缺点:UDP不为传输过程中丢失的数据报提供任何恢复机制,丢失的数据报由应用来恢复;同时,UDP不为应用提供任何机制来将数据割成大小适合网络传输的数据块。因此,必须计算出适合网络传送的分组数据大小,并相应地调整数据报。而这些功能TCP不但提供传输可靠性,还提供了一种自适应分组传送报文大小的机制。这些功能就要求TCP的地址能够把数量巨大的智能物件按唯一的身份联系起来。因此,IPv6取代IPv4,更能够适应物联网网络传输控制的发展。
2.IPv6取代IPv4更能够适应物联网发展过程中互通性、可扩展性、架构的稳定性和普遍性的需要
随着物联网等信息技术的发展,虽然智能物件具有一定的智能,但是,它们毕竟是没有智慧的物体,不能够像人那样熟悉直接操作网络。因此,相对人来说,智能物件对物联网中的网络协议有更多的特殊要求,比如:可扩展性、互通性、架构稳定性和普遍性等。
智能物件对IP协议的可扩展性需求是指IP协议能够内在支持智能物件的发展而具有可持续开发的机制;智能物件对IP协议的互通性需求是指IP协议能够支持智能物件之间以及智能物件和网络基础设施之间可持续的互通性,这就要求IP协议提供网络、应用和协议在网络中不同链路层内和层间的互通性;智能物件对IP协议的架构稳定性和普遍性的需求是指虽然IP协议的可扩展很重要,但是IP协议的架构稳定性和普遍性对智能物件在生命周期内具有重要意义。
总之,IPv4近20年的空前成功,已经证明了IPv4协议设计的基本思想、构架是值得肯定的。IPv6并不是一个全新的网络协议标准,没有完全IPv4的所有思路和结构,它总结IPv4近20年来运营所获得的丰富经验和教训,继承IPv4协议运行的主要优点,最后进行了大幅修改和功能扩充。例如:针对物联网的发展需要,除了具有庞大的地址空间外,IPv6对IPv4功能上进行了发展,简易灵活的头部格式、网络资源可进行预分配、更高的安全性、支持即插即用和移动性。由于这些特性技术含量较高,这里不进行具体介绍。智能物件由于自身的特殊性对物联网的IP协议具有特殊的要求,新一代的IPv6能够为物联网的应用和服务提供可横跨多种通信技术的互通、可扩展、稳定和普遍的网络架构协议,为互联网换上一个简捷、高效的引擎,这样不仅可以解决IPv4目前的地址短缺难题,而且可以使物联网摆脱日益复杂、难以管理和控制的局面,变得更加稳定、可靠、高效和安全。
三、企业应用IPv6应该注意的主要问题
随着3G通讯业务、智能手机等多种个人智能终端、超高速家庭网络的发展,针对网络地址不足等问题,我国已经起动IPv6取代IPv4的工程。这对物联网建设具有重要的现实意义。但是,正如每一个新生事物一样,IPv6也有其不足的地方,企业在物联网建设中应用IPv6除了进行详尽的规划与设计外,还应该主要注意过渡性问题与安全问题。
(一)过渡性问题
虽然IPv4有上述缺陷以及IPv6协议标准的成熟具有取代IPv4位置的必然趋势,但是,这种取代的过程必然会经历一个相对漫长的过程。同时,尽管IETF在设计IPv6的时候已经充分考虑了和IPv4的兼容性,但是这两个版本不是完全兼容的。因此,企业在物联网建设中必须考虑由IPv4向IPv6过渡的问题。首先是处理好IPv4向IPv6迁移时应该考虑的地方:Ipv4与Ipv6的主机必须可互操作;Ipv6主机和路由器的使用必须简单,逐渐地分布普及到整个Internet,不能有太多的相互依赖性;网络管理员和最终用户必须认为这种迁移容易理解和执行。其次是注意过渡技术的选择,即双协议栈技术、隧道技术和网络地址转换技术。
(二)安全性问题
引入IPv6出现的安全问题主要来源于两方面:一方面是由于IPv6本身的缺陷所引发的安全问题;另一方面是由于IPv6的过渡技术引发的安全问题。由IPv6本身的缺陷引发的安全问题有:IPv6现在遇到的安全威胁主要包括地址扫描、非法访问、分片、路由协议的认证、蠕虫攻击、对ICMPv6的攻击、对邻居发现的攻击以及对无状态地址自动配置的攻击等;过渡技术引发的问题有:双栈技术的安全问题、隧道技术的安全问题、地址翻译技术的安全问题等。
四、结论与启示
物联网建设需要把数以亿计的物件“互联互通”并且“相互作用”,企业在建设物联网过程中应该选择IPv6对IPv4取代的IP协议的标准是:不仅要有充足的地址资源,更需要IPv6能够在网络操作发展中有更好的互通性、可扩展性、架构的稳定性和普遍性。
IPv6对IPv4是一个不能够相互兼容的IP协议。物联网建设从IPv4向IPv6迁移产生不少的过渡困难。这给大家的启示便是能够有统一的标准,不仅是技术标准,也包括管理标准。如果说IPv4向IPv6迁移中技术问题比重较大的话,那么,基于物联网会计云计算建设中就会克服更多的需要统一的管理标准。如:当前,由于没有统一的云计算标准,Google、Amazon、微软、IBM等公司纷纷推出自己的云计算平台和云计算的实务标准。这就导致了不同厂商的服务出现兼容性问题。如何通过沟通协作,把这些实务标准变成统一标准需要大家共同努力。
如何构建网络安全范文篇9
关键词:网络文化安全;国家安全;文化建设;公民素养
中图分类号:G206文献标识码:A文章编号:1003-0751(2016)06-0168-05
网络文化通常是指以网络技术发展与应用为载体,通过文本、图片、视频等形式表现并具有一定社会特征和传播功能的文化成果,目前主要包括网络新闻、网络文学、网络社交平台、网络游戏以及网络金融等。目前网络文化随着网络技术变革式发展已日益壮大成为一种新的网络文化产业与传播形态,但同时也滋生了许多不良现象,存在安全问题。如何正确定位与解读网络文化安全问题?如何正确把握其发展的趋势和前景?如何有效加强与引导网络文化安全的建设和管理工作?这些都需要我们进行广泛而深入的探讨。
一、网络文化安全内涵的界定与争鸣
20世纪90年代,美国未来学家泰普思科特(DonTapscott)就曾提出,“网络不仅仅是一个技术概念,更是一个社会文化的概念”①,由此网络被引入社会文化研究的范畴。当前信息社会化、文化全球化愈演愈烈,网络文化安全问题日益突出,现已成为国内外众多学者关注的热点与难点。
1.网络文化安全定义研究
为了更好地了解国外网络文化安全方面的研究情况,笔者在EBSCO外文数据库对“CyberCultureSecurity”关键词进行检索,发现国外还没有专有名词和专门研究,当进一步用“CyberCulture”“DigitalCulture”“Cybersecurity”“InternetSecurity”等关键词分别进行检索时,发现了一些有价值的研究。其中国外有学者指出网络文化(或数字文化)作为一个欠定的实践(underdeterminedpraxis)概念,由参与、修复与拼装组成,其可以看作是人们在当代网络社会中行为或相互作用的一种新兴的价值观、实践和期望②。AnneCarblance等③认为,广泛的信息系统的应用对经济与社会的发展具有巨大的潜在辅助作用,网络对地方、国家乃至全球通讯都事关重要。国内对网络文化安全概念的研究至今还没有统一的定论,近年来,传播界、文化界、教育界等都对其做了多方面的研究。有学者从意识形态、文化霸权等视角研究,认为网络文化安全是指一个民族国家的网络文化系统正常运转并免受不良内容侵害,能够为
收稿日期:2016-01-31
*基金项目:教育部人文社会科学研究规划基金项目“赋权与道义:长三角青年农民工新媒体使用与社会认同研究”(14YJAZH066);浙江省社会科学界联合会项目“新媒体涵化对浙少年价值观影响研究”(2014N085)。
作者简介:宋红岩,女,浙江传媒学院社会科学教学部副教授(杭州310018),英国剑桥大学访问学者。
汪向红,女,通讯作者,浙江中医药大学人文社会科学学院讲师(杭州310053)。
民族国家的文化价值体系的持续发展提供持续动力、为国家文化利益提供正向作用的状态④,是国家文化安全的重要范畴,是安全在网络文化领域的具体反映⑤。有学者从信息技术变革的视角研究,认为网络文化是人们以网络技术为手段,以数字形式为载体,以网络资源为依托,在从事网络活动时所创造的一种全新形式的文化⑥。还有学者从高校图书馆、社群与网络文化安全问题进行研究⑦,如魏建国⑧认为网络文化是指网络中以文字、声音、图像等形态表现出的文化成果,主要包括网络新闻、动漫、网络视频和音乐、网络文学、论坛等。
2.网络文化安全内容研究
对于网络文化安全的具体内容,国内外学者也进行了有益的探讨,其中有学者认为网络文化既包括资源系统、信息技术等物质层面的内容,又包括网络活动的道德准则、社会规范、法律制度等制度层面的内容,还包括网络活动价值取向、审美情趣、道德观念、社会心理等精神层面的内容⑨。可分为网络文化安全主体(网民)、网络文化安全客体(硬件、软件与协议)、网络文化安全中介以及网络文化价值四部分⑩。也有学者参照传统的文化结构划分方法,如杨文阳将网络文化安全分为网络物质文化安全、网络制度文化安全和网络精神文化安全三个层次。基于政治学与社会学角度,姚伟钧认为应该将其分为网络物质文化安全、网络制度文化安全、网络精神文化安全和网络行为文化安全。
3.网络文化安全要素研究
对网络文化安全的特征、功能、意义等要素,有学者认为在网络信息化下所形成的文化霸权对我国文化安全冲击越来越大,大力推进网络文化安全建设是关系到一个国家的综合国力、民族凝聚力、国家文化和软实力的战略性课题,是新媒体技术与文化主体交融的结晶,表现出数字化、网络化、信息化等特征。国家能够在网络文化传播中,坚持正确的价值观,不受不良文化渗透影响,维护国家的利益和安全。
二、网络文化安全现状研究
对于网络文化安全的发展现状与问题研究,一直受到学者们的关注。AndrewKeen认为,网络自身的问题不断地发展与显现,互联网等业余媒介的扩张会造成文化平庸,网络信息数据激增会造成信息质量下降,传统社会文化安全卫士,如权威机构、媒介工作者素质下降甚至文化腐朽。国内学者们主要从网络信息安全,网络文化对传统文化、道德价值观念与社会主义意识形态的冲击与挑战等方面去把握网络文化安全存在的问题,而学界普遍认为导致问题的原因主要集中在管理方式、法制工作、行政效能、网络技术等方面。
四、我国网络文化安全的治理与构建
虽然国外在概念上对网络文化安全还没有确切的界定与研究,但在网络文化安全行动纲领与政策法规制定的实践上却很丰富。美国国家科学基金会于2006年就启动了“全球网络环境创新”项目,其主要目的是建立一个新的、安全的、可控可管的网络体系结构,其中包括下一代互联网的管理控制问题。截至2014年,全球已有40多个国家或地区颁布了相关网络空间国家安全战略。其中,美国先后出台了《网络安全框架》等40多份与网络安全有关的文件,并成立“网络办公室”,直接对总统负责。日本于2013年6月制定了《网络安全战略》,首次明确提出“网络安全立国”。印度于2013年5月颁布了《国家网络安全策略》,提出“安全可信的计算机环境”的理念。我国的《2006―2022年国家信息化发展战略》将“建设先进网络文化”作为战略目标,并明确提出要加强网络文化安全全方位的管理能力。但是,加强主流意识形态的网络话语权、构建网络强国与新型主流网络文化仍然任务艰巨,需要我们加强以下几方面工作。
1.网络文化安全的理论构建
当前网络文化正由硬件技术结构与体系的建设向软实力内涵建设转向,而网络文化安全也已经越来越不适应网络应用发展的要求。因此,如何在厘清我国网络文化安全现状与安全治理的基础上,从新的时空观来解读网络文化安全的内涵与外延,精确把握新时期网络文化安全建设与治理,任务艰巨,要求迫切。在2015年第二届世界互联网大会上,同志提出了要构建网络空间命运共同体的倡议。因此,在进一步加强基础硬件建设、网络文化交流合作平台、制度保障与机制创新等要素建设的基础上,在广义上,我们应从国际共享、国家安全、网络发展与文化建设的多维要素内涵与逻辑关系进行综合性探讨。在狭义上,我们应从正确处理好国家、社会与人和谐发展的视角,加强互联网信息服务的智能性、安全性与可管理性,加强网络文化传播与内容建设,加强网民的素养与能力培养。
2.网络文化安全治理体系战略安排
在大数据与全球化的背景下,我国网络文化安全处于机遇与挑战的重要发展战略期,要从国家安全与文化强国战略、大数据时代信息传播治理等视角认真研究我国网络文化安全的具体内容与路径部署。就当前世界与我国网络文化安全发展的要求与趋势来看,应本着“互联互通、共享共治”的原则,切实加强我国网络文化发展与治理的政策环境、管理模式、技术创新、内容整合与传播机理等方面的研究。特别是在互联网发展面临着人类社会对互联网需求的不断增长同网络理论与技术本身发展不充分之间矛盾挑战的背景下,我们还应从传受交互需求视角研究我国网络文化安全发展嬗变的过程、关系类型、媒介融合、受众文化心理与素质状况等,加强我国网络文化安全的传播状况研究,并在此基础上,提炼出我国网络文化安全治理与发展的路径关系、影响因素与整体框架。
3.网络文化安全治理体系的协同创新与提升路径构建
我们应立足我国网络文化安全发展的战略要求,借鉴国内外网络文化安全建设的成功经验,正确把脉未来网络文化安全的内涵要求,提出切实可行的对策建议。一方面,在现有国家网络文化宏观政策机制的设计与制度安排的基础上,进一步重点研究网络文化安全发展的背景、文化创新、战略架构、内容分类、技术支撑、用户素养等维度的机制支持;另一方面,要加强国家立法、政策安排、制度建设等各要素的联动、融合以及协同创新,形成立体、多维度的国家网络文化安全治理提升的宏观环境。同时,作为一个社会融比较强的社交平台,我们还应积极挖掘与发挥网络文化安全方面的社会资源的开发与实施路径的创新,其中主要包括我国网络文化安全治理的内容、行业、技术、人才等动力支持系统的构建,我国网络文化安全发展的社会组织与资源调动、融合与创新的研究,以及媒介社会化环境下我国网络文化安全治理的机制构建等。此外,我国应进一步加强网络文化安全本土化实施的构建与实践,着重加强在网络文化安全的全球化与本土化联动、话语生产与媒介融合、信息资源共享与品牌延伸、专业人才管理与网民媒介素养提升等方面进行创新与实践,形成具有中国社会主义特色的、接地气的、有序的、和谐发展的网络文化安全生态。
如何构建网络安全范文篇10
人类已进入信息时代,计算机网络已成为当今社会必不可少的工具之一。由于网络具有的开放性,它在为人类带来便利的同时,也带来了众多安全隐患。高等院校在日常教学和管理中,无论教师还是学生已经非常依赖校园计算机网络。因此,校园网络已成为各大专院校的重要基础设施之一。而校园网络覆盖范围广,用户使用量大,各种网络故障极为普遍,种类也多种多样,要在网络出现故障时对出现故障做出准确的判断并进行维护,快速诊断、及时修复,掌握一套行之有效的网络维护理论、方法和技术是关键。同时,感染病毒,黑客窃取密码或资料等问题层出不穷,校园计算机网络安全带来的危害也越来越严重,如何保障网络安全已成为亟待解决的问题。所以,在校园网络建设中加强网络安全已经成为关键问题。
一、校园网安全策略的制定
校园网安全策略的制定包括制度安全和技术安全两方面的内容。
制度安全策略的制定是根据高校的具体情况,明确和细化校园网的安全内容,制定行之有效的管理体系,明确各级管理员的用户分级和职责,针对不同用户提供对应的使用说明书,全面指导和规范校园网各级用户的网络行为。
技术安全策略通过校园网的安全设备和安全软件来实现。具体采取以下安全设备和安全软件:(1)设备的物理安全;(2)设备安全特性;(3)设置防火墙;(4)校园网路由器;(5)远程访问虚拟专用网络集中器;(6)校园网入侵检测系统;(7)校园网邮件过滤系统和网页内容过滤系统;(8)验证、授权和记账服务器和其余相关网络的验证、授权和记账服务器;(9)不同网络设备上的访问控制和访问限制机制,比如ACL和CAR;(10)校园网设备配置的安全管理软件和数据备份系统;(11)校园网服务器和终端的安全管理系统。
二、安全管理措施
校园网安全管理的工作非常复杂,所面临的威胁主要来源于人为的无意失误,人为的恶意攻击,各种软件的漏洞和“后门”,非授权访问,信息泄露或丢失,数据完整性遭到破坏等各个方面。涉及学校各部门的人员和业务,必须由决策层统一领导,由专门的信息安全管理委员会具体负责。根据“统一领导、层层落实、外防内审”的原则,成立包括决策机构、执行机构、应急响应小组等各级网络安全责任机构。校园网络系统中的各种硬件设备、软件、技术资料以及机房场地等是重要的校园网安全保护对象,需要采取有效措施进行管理,其主要有以下方面:
1.人员的管理。人是各个安全环节中最重要的因素,对人员的管理包括对网络管理、维护者的管理和对网络使用者的管理。重点需要加强对网络管理、维护者的管理。许多安全事件都是由内部人员引起的,正所谓堡垒最容易从内部攻破。因此,需要明确管理员分级制度,建立有效的监督机制,全面提高网络管理、维护人员的安全意识、政治觉悟和道德品质。
2.硬件的管理。为了对硬件设备的购置、使用、维修、储存等各环节进行有效管理。对所有设备均应建立项目齐全、管理严格的登记制度,严格控制硬件设备购置、移交、使用、维护、维修和报废等各环节,管理工作正规化、日常化,而且应由第三方机构做好检查、监督工作。每台或每套设备的使用均应指定专人负责,并建立详细的运行日志,由责任人进行设备的日常清洗及定期保养维护,保证设备处于最佳状态。
3.机房的管理。机房场地的选择、内部装修、供配电系统要满足防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃等要求,安置电磁屏蔽网,防止电磁波的干扰和泄露。重要部位需要设置有可靠的报警和消防设施。进入机房的人员必须经过有关安全管理人员的批准,进入和退出时间及进入理由要进行登记。同时,关键部位要设置门卫或者电子报警装置,防止非法闯入。
4.软件的管理。软件的管理对象包括操作系统、应用软件、数据库、安全软件、工具软件等,软件管理要由责任心强、工作及业务能力高的专人负责。合理设置各种软件的使用权限。建立安全日志,对系统升级、软件的安装和更新、软件的各种异常情况的处理做到有据可查。
5.重要信息文件的管理。网络管理中涉及的重要信息文件包括口令、配置、权威数据、重要技术文档等,应该分级保存、做好备份文件。同时,采取切实有效的加密措施,防止重要信息的外泄。
三、安全设置原则
路由器、防火墙、网络交换机、VPN集中器等组成了校园网络的关键设备,这些网络设备有着共同的安全设置原则。
1.备份配置管理。备份配置能够允许在发生网络攻击导致配置被破坏或者被以某种方式修改时,快速恢复网络设备。因此,路由器的配置在路由器的非易失性随机存储器中保存的同时,還需要在一个适当的位置保存一个路由器配置副本。
2.控制关键设备的访问。通过虚拟类型终端端口和控制台和辅助端口两种主要机制来防止对任何资源进行未授权的访问,实现对校园网设备的访问进行控制。
3.网络设备的安全访问。为防止远程管理过程中的信息泄露问题,除了在网络设备上建立用户认证系统外,还应该考虑使用安全外壳协议(SSH)或者类似的方法对网络设备的通信会话加密。
4.设备的密码管理。使用加密机、动态口令、密码键盘、密钥分发器进行密码的分级管理,放置密码的最好位置是认证服务器,对于需要在设备自身放置的密码应适当地加密,防止窥探,以确保密码安全。
5.开启网络设备的日志功能。日志记录是网络设备安全机制的重要组成部分。建立网络的统一的日志主机,将网络设备的日志按照统一格式上传到日志服务器。利用信息完整日志的文件能够为我们分析、查找相关信息提供重要的数据来源。
6.禁用不需要的服务。禁用不需要的服务,可提高安全性及系统运行速度,具体根据实际情况,如果网络设备上的一些服务是不需要的,就应该禁用它们。
四、网络设备的安全设置
1.路由体系结构。合理的路由过滤对于任何一个校园计算机网络建设都是重要的,尤其当校园网与外部公共网络连接时路由的结构设置中尤为重要。安全的路由体系结构不易受攻击,同时也不易出现体系结构的漏洞。一个好的路由基础结构设计能够在网络遭受攻击期间帮助管理员降低网络风险和缩短故障时间。在校园网络中,需要确保只有真正包含在内部网络上的路由才能正常运行。
使用静态路由是确保安全的有效方法。静态路由能够使路由表中的代码信息在网络攻击中不受影响,防止网络中其他部分出现的安全问题对整个网络的影响。另外,为确保安全使用静态路由有必要定义默认路由信息。
目前主要有两种提供安全使用路由器间交换路由的方法:(1)认证共享路由信息的路由器,确定是同一个可信源在进行交谈。(2)认证共享路由信息的准确性,确保在传输时数据信息没有被窜改。
2.防火墙的设置。防火墙的正确设置原则如下:(1)将防火墙设置校园网边界。为保证校园网中的设备受到防火墙保护,防火墙的位置应尽可能在接近网络最终出口和最初入口。这样做也有助于校园网和公用网络保持明确的分界。分界不清楚的網络很容易遭到来自外部的攻击。(2)为了保护重要信息和关键网段有时还需要将防火墙设置在校园网内部。比如在校园网中财务处、图书馆或教务处服务器这些需要特殊保护隔离的网段,需要通过防火墙设置防止其他非法用户访问。(3)为了防止防火墙被旁路,不应该将防火墙与路由器等其他的网络设备并行设置,同时避免任何可能导致防火墙被旁路的设备在网络拓扑中加入。(4)校园网与公用网络之间应建立隔离区,例如通过Web服务器与校园网设备间建立联系时,应把防火墙建立在这些服务器的隔离区之上。将外部服务器放置在与校园网分离的隔离区中,可迫使拥有外部服务器控制权的人员,访问校园网络时必须通过防火墙。
3.远程访问设置。现在高校可以采用建立远程服务器的办法解决远程管理、维护、使用的问题。但是,为防止校园网受到远程网络攻击,校园网必须设置防火墙,并且对通过远程访问服务器进入校园网的请求进行限定。同时,还应该在远程访问服务器上进行访问过滤配置,限制非法连接的进入。
结语
保证校园网络的高速正常运行涉及到教育教学、行政办公、后勤生活的方方面面,对于学校的教学、科研、管理具有重要意义。网络安全是通过各种科学手段使网络系统的硬件、软件及其系统中的数据受到保护,从本质上来讲就是保护网络上的信息安全,确保网络系统连续、可靠、正常地运行。如何建立一套完善可靠的校园网络安全体系,需要各级部门高度重视,通过有效手段和科技创新在不断的实践中总结提高网络的安全性能。
参考文献:
[1]李贺华.校园网安全管理机构与制度建设的探讨[J].中国公共安全:学术版,2009,(9).
[2]刘赵,孙海波.校园网信息系统安全管理策略研究[J].信息与电脑:理论版,2010,(2).
[责任编辑李晓群]
如何构建网络安全范文1篇11
论文关键词:家庭无线局域网;无线路由;信息技术
随着计算机技术和电子信息技术的日渐成熟,电子产品以前所未有的速度迅速进入千家万户。而网络的普及,家庭用户对internet的需求也越来越多。我们如果能将繁杂的电子产品有机的进行连接,组成一个家庭局域网,就可以实现软硬件资源共享,合理利用网络资源,满足各家庭成员的使用需求。如何选择简单有效的方式进行家庭局域网的构建是本文探讨的主题。
一、组网前期准备
在组建家庭无线局域网之前,根据自身家庭的需求进行分析,本文以基本的一台台式机、一台笔记本、一部手机(支持wlan)进行阐述。
选择组网方式
家庭无线局域网的组网最简单、最便捷的方式就是选择对等网,即以无线路由器为中心,其他计算机通过无线网卡与无线路由器进行通信。
设备的购置
1)调制解调器和路由器的选择。按照宽带的接入方式,当用户通过电话线接入宽带时,必须同时购买调制解调器和无线路由器。而当用户使用光纤接入时,则只需购买无线路由器,就能实现共享上网。WwW.133229.COM在选择调制解调器时,只需跟adsl宽带传输速率匹配即可完成数模转化实现宽带上网。而对于无线路由器,不仅要考虑其传输速率,还要考虑信号强度的覆盖范围,保证家庭范围内没有死角。
2)网卡的选择。对于台式机来说,要接入无线网络需要配备一块无线网卡。无线网卡分为内置pci无线网卡和外置usb无线网卡。pci无线网卡的优点是直接与电脑内存间交换数据,减轻了cpu的负担,但是信号接受位置不可调,易受到电脑主机的干扰,易掉线。而usb接口无线网卡具有即插即用、散热性能强、传输速度快的优点,加之价格便宜,成为扩展台式机的首选。
无线接入点的位置
无线接入点,即无线路由器,将有线网络的信号转化为无线信号[2]。在家庭无线局域网中,应首先考虑无线路由器的安放位置,无线信号能够穿越墙壁,但其信号会随着阻碍物的数量、厚度和位置急速衰减,要使无线信号能够覆盖整个家庭区域,必须尽量使信号直接穿透于墙或形成开放的直接信号传输。在实际的设备布线安排中,还要根据家庭的房屋结构,有无其他信号干扰源,微调无线路由器的位置。
二、无线路由的设置
本文以移动pppoe光纤接入,选用tp-linktl-wr740n为基准介绍无线路由器的设置。
基本连接
首先,将光纤的接口插到已连接电源的无线路由器的wan口上,实现硬件的连接;其次,搜索无线信号,单击“菜单”中的“控制面板”,双击打开“网络连接”,在网络连接窗口中双击打开“无线网络连接”,在“常规”选项卡中单击右下角的“查看可用网络连接”,单击“刷新网络列表”,最后单击“连接”,则实现了电脑与无线路由器的连接。在此过程中确保无线网络tcp/ip中ip地址选择自动获取;再次,登陆路由器提供的web管理界面,在浏览器中输入默认的地址“192.168.1.1”。
进行各项设置
1)点击设置向导进行引导设置,设置向导可以帮助我们方便地进行路由器的设置,在出现设置向导对话框中,点击“下一步”。
2)选择网络连接方式。在出现的设置向导——上网方式窗口中,提供了3种最常见的上网方式供选择,为pppoe(adsl虚拟拨号)、动态ip和静态ip。由于pppoe是我们最常用的上网方式,如电信、铁通、网通等均使用此方式,所以选中此方式,并单击“下一步”。
3)输入网络服务提供商提供的adsl账号和密码,单击“下一步”。
4)无线基本参数设置,设置网络密码可以保证网络的安全使用。在无线设置窗口中,共设置两项内容,即无线网络基本参数和无线安全选项设定。“基本参数”包括无线状态、ssid、信道、模式和频段带宽,“无线安全选项”包括不开启无线安全、wpa-psk/wpa2-psk和不修改无线安全设置。这里只需要用户设置无线安全选项中的psk密码,以保障网络安全,其他选项均采用默认设置。点击下一步完成设置,实现无线局域网的建立。
其他功能设置
在无线路由器的web管理界面中,除了设置向导功能外,还有很多功能设置,如dhcp服务器选项和安全设置等。dhcp服务是对等网络设置的基础,可以为任何连接无线路由器的无线设备分配ip地址。路由器软件提供“不启用”和“启用”两个状态,默认设置为“启用”,则在用户使用时,路由器自动拨号分配ip地址进行网络连接,而不用用户做任何连接设置,这也是无线路由器的另一大优势。安全设置提供了网络防火墙,可以过滤用户特定设置的域名,具有防攻击能力,确保了自身的安全性。用户在设置无线路由器时,均可根据自己的需要进行各项设置。
三、家庭无线局域网的缺陷和不足
需要一定的网络组建知识,对家庭无线局域网进行构建和维护
一个成功的无线局域网的组建,必将能在满足用户的需求下,以最经济的硬件配置实现设备的最大利用效率。这就要求用户对于组建无线局域网有一定的了解,避免盲目地选购联网设备,对其使用过程或经济造成不必要的问题。其次,对于无线局域网的维护也是用户必须掌握的一项技术指标。如果用户懂得一些基本的网络构建知识,对于日常使用中出现的一些小的问题或障碍,自己完全可以在较短的时间内排除障碍,而不至于影响用户的使用。
家庭无线局域网组建成本较高
在家庭无线局域网的构建中,构建无线局域网的核心设备是无线路由器。一般而言,无线路由器的市场价格相对有线路由器较高,且组建无线局域网时,若为台式机,则还需要购买一块无线网卡,这无疑又增加了一笔花费。
无线局域网信号稳定性相对较差
有线网络是通过硬件的传输介质进行信号传输,信号稳定且不会受外界因素的影响。而无线局域网是依靠无线电波进行传输,这些电波通过无线发射装置进行发射,在远距离或有建筑物阻挡的情况下,信号质量会相对较差。其次,无线网络的速度比较慢,无法达到有线网络所能达到的速度,由于这些因素的限制,定会影响用户对网络的使用。
安全性较差
现阶段,无线局域网技术发展的还不是很成熟,网络信号的安全成为隐患。无线电波不要求建立物理的连接通道,无线信号的发散,只要在无线接入点信号覆盖的范围内,任何终端设备都能很容易被监听到无线电波广播范围内的任何信号,造成通信信息泄漏,这也成为无线局域网最为致命的弱点。
如何构建网络安全范文篇12
关键词:电子商务、网络安全、商务交易安全、安全协议
电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、易用的电子商务应用环境,对信息提供足够的安全保护,已经成为广大互联网络用户十分关心的问题。
电子商务就是利用IT技术来传输和处理商务信息,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。本文将重点讨论这两个方面的实现方法。
一、计算机网络安全
计算机网络安全不仅包括网络的硬件、网络的软件,也包括共享的资源和网络服务等,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。按ISO给出的计算机安全定义:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”可见计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
构成计算机网络不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。自然因素是指计算机系统硬件和通讯设施极易遭受到自然环境的影响,如:各种自然灾害,如地震、泥石流、水灾、风暴、建筑物破坏等,对计算机网络构成威胁。偶发性因素如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等,也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机信息安全造成威胁。在这些不安全因素中,人为因素是对计算机信息网络安全威胁最大的因素。
计算机网络的不安全性主要原因是互联网是网络的开放性、网络的国际性和网络的自由性。网络的开放性是指网络的技术对全世界都开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。网络的国际性导致了对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。网络的自由性是指大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。
计算机网络对安全性的要求提出了五个基本特征:保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性:对信息的传播及内容具有控制能力。可审查性:出现的安全问题时提供依据与手段。
如何使计算机网络具有这五个方面的基本特征,可以采用以下一些网络安全防范技术:
利用虚拟网络技术,防止基于网络监听的入侵手段;利用防火墙技术保护网络免遭黑客袭击;利用病毒防护技术可以防毒、查毒和杀毒;利用入侵检测技术提供实时的入侵检测及采取相应的防护手段;安全扫描技术为发现网络安全漏洞提供了强大的支持;采用认证和数字签名技术:认证技术用以解决网络通讯过程中通讯双方的身份认可,数字签名技术用于通信过程中的不可抵赖要求的实现;采用VPN技术。我们将利用公共网络实现的私用网络称为虚拟私用网VPN;利用应用系统的安全技术以保证电子邮件和操作系统等应用平台的安全。使用这些技术保证了计算机网络的在通信方面的安全。
二、商务交易安全
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。要实现商务交易安全,须从网络所采用的安全协议来实现,其中SHTTP、SSL、IPSec、SET和S/MIME。
1、SHTTP
SHITP是应用层加密协议,它能感知到应用层数据的结构,把消息当成对象进行签名或加密传输?它不像SSL完全把消息当作流来处理?SSL主动把数据流分帧处理?也因此SHTTP可提供基于消息的抗抵赖性证明,而SSL不能?所以SHTTP比SSL更灵活,功能更强,但它实现较难,而使用更难,正因如此现在使用基于SSL的HTTPS要比SHTTP更普遍?
2、IPSec
它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证头协议AuthenticationHeader(AH)、封装安全载荷协议EncapsulatingSecurityPayload(ESP)、密钥管理协议InternetKeyExchange(IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。它具有不可否认性、反重播性、数据完整性、数据可靠性(加密)和认证等几大特性。
3、SSL
SSL(SecureSocketsLayer安全套接层),SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSLRecordProtocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSLHandshakeProtocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SET和S/MIME这两种协议应用较少,其中SET仅适于信用卡支付,S/MIME是应用层专保护E-mail的加密协议。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
参考文献
[1]《网络设计基础》21世纪网络工程丛书编写委员会编,北京希望电子出版社2003.4
[2]《Cisco互联网络设计》[美]MatthewH.Birkner编著,潇湘工作室译,人民邮电出版社2009.9