时间:2022-08-19 18:30:40
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇网络设备安全范例。如需获取更多原创内容,可随时联系我们的客服老师。
[关键词]网络、设备、管理、安全
中图分类号:TN 文献标识码:A 文章编号:1009-914X(2016)01-010-01
1、企业网络设备的定义和分类概述
企业网络设备其实就是网络互联设备,就是在网间的连接路径中进行协议和功能的转换,它具有很强的层次性。遵循OSI模型,在OSI的每一层对应不同的网络设备产品,每层网络设备产品用于执行某种主要功能,并具有自己的收集整理一套通信指令(协议),相同层的网络设备之间共享这些协议。
企业网络设备主要分为交换机、路由器、防火墙。交换机就是一种在通信系统中完成信息交换的功能,交换机拥有一条很高带宽的背部总线和内部交换矩阵,交换机的所有端口都挂接在这条背部总线上,制动电路收到数据包后,处理端口会查找内存中的地址对照表以确定目的的网卡挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口。路由器就是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行翻译,使它们相互读懂对方的数据,从而构成一个更大的网络。其功能是对用户提供最佳的通信路径,利用路由表查找数据包从当前位置到目的地址的正确路径。防火墙就是隔离在本地网络和外界网络之间的一道防御系统,防火墙可使用内部网络与因特网之间或者与其他外部网络相互隔离、限制网络互访,以保护企业内部网络,其主要功能是隔离不同的网络,防止企业内部信息的泄露;强化网络安全策略;包过滤和流量控制及网络地址转换等。
2、企业网络设备网络安全管理模式研究
2.1安全管理PC直接与安全设备进行连接是最常见的,也就是传统的对网络安全设备要进行配置管理就必须把管理的计算机直接连接到安全设备上,常见的是将安全管理PC的串口与安全设备的CONSOLE口连接,然后在PC机上运行终端仿真程序,如Windows系统中的超级终端或者使用SecureCRT应用程序。然后在终端仿真程序上建立新连接,选择实际连接安全设备时,使用的安全管理PC上的串口,配置终端通信参数,安全设备进行上电自检,系统自动进行配置,自检结束后提示用户键入回车,直到出现命令行提示符。然后就可键入命令,配置安全设备或者查看其运行状态。但对于不同设备可能会有不同的设置,例如对于防火墙0的连接参数就和上面不一致,对于这种情况我们可以采用WEB方式管理。就是用网线连接安全管理设备和计算机上的网卡接口,同时对管理计算机和安全设备的管理接口的IP地址进行配置,以便让它们位于同一个网段。开启安全设备的本地SSH服务,并且允许管理账号使用SSH。这是因为对大多数安全设备的WEB管理都是通过SSH连接设备的,这样安全管理PC和安全设备之间传输的数据都是通过加密的,安全性比较高。在安全管理PC的浏览器地址栏中输入https://192.168.1.1回车,输入用户名和密码后就可登陆到网络安全设备的WEB管理界面,对其参数和性能进行配置。
2.2安全管理PC通过交换机管理安全设备,只需把安全管理PC直接连接到交换机上,PC和安全设备就都位于同一网段中。除了采用WEB方式对安全设备进行管理配置外,还可以使用Telnet方式管理。用这种方式对安全设备进行管理时,必须首先保证安全管理PC和安全设备之间有路由可达,并且可以用Telnet方式登录到安全设备上,也可以采用SSH方式管理。当用户在一个不能保证安全的网络环境中时,却要远程登录到安全设备上。这时,SSH特性就可以提供安全的信息保障以及认证功能,起到保护安全设备不受诸如IP地址欺诈、明文密码截取等攻击。
2.3通过安全中心服务器管理安全设备,就是把“安全管理计算机”升级成了“安全中心服务器”。在服务器上就可以对网络中所有的安全设备进行管理配置,而不用再把安全管理计算机逐个的连接到安全设备或安全设备所在VLAN的交换机上。在这种管理模式中,除了不能直接连接到安全设备的CONSOLE口上对其进行管理配置外,WEB、Telnet和SSH在安全中心服务器上都可以使用。
总之,以上三种网络安全设备的管理模式主要是根据网络的规模和安全设备的多少来决定使用哪一种管理模式。三种模式之间没有完全的优劣之分。若是网络中只有一两台安全设备,显然采用第一种模式比较好,只需要一台安全管理PC就可以,若是采用架设安全中心服务器的话就有些得不偿失。如果安全设备较多,并且都分布在不同的网段,那选择第二种模式即可,用两三台安全管理PC管理安全设备,比架设两台服务器还是要经济很多。若是安全设备很多就采用第三种模式,它至少能给网络管理员节省很多的时间,因为在一台服务器上就可以对所有的安全设备进行管理。
3、企业网络安全研究
企业的网络拓扑结构比较复杂、网络节点繁多,这就要求企业需要有一套行之有效的IT运维管理模式。IT运维管理是企业IT部门采用相关的方法、技术、制度、流程和文档等,对IT使用人员、IT业务系统和IT运行环境(软硬件环境和网络环境)进行综合的管理以达到提升信息化项目使用,可起到提高IT运维人员对企业网络故障的排查效率。接下来通过下面两个实例来验证:
3.1 企业内部ARP断网攻击
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中IP-MAC列表造成网络中断或中间人攻击。基本原理就是在局域网中,假如有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息,并因此造成网内其他计算机的通信故障。
3.2 非法DHCP服务器的快速定位
在DHCP的选择Request过程中,网络上可能有DHCP服务器都会对Discover的广播回应,但新加计算机只选择最先回应的所取得的IP地址。并与DHCP服务器再次确认要用此IP。如果网络上有多个可提供IP地址的DHCP服务器,新加计算机会选择最先回应广播的DHCP服务器所提供的IP地址,但现实中往往非法DHCP服务器回应广播速度比合法DHCP服务器快。
结束语
企业网络设备与网络安全问题主要是利用网络管理措施保证网络环境中数据的机密性、完整性和可用性。确保经过网络传送的信息,在到达目的地时没有任何增加、改变、丢失或被非法读取。而且要从以前单纯的以防、堵、隔为主,发展到现在的攻、防结合,注重动态安全。在网络安全技术的应用上,要注意从正面防御的角度出发,控制好信息通信中数据的加密、数字签名和认证、授权、访问等。而从反面要做好漏洞扫描评估、入侵检测、病毒防御、安全报警响应等。要对网络安全有一个全面的了解,不仅需要掌握防护,也需要掌握检测和响应等各个环节。
参考文献
1.张立涛,钱省三,应力;网络安全管理策略研究[J];网络安全技术与应用;2001年08期
关键词 网络设备;加固;电力
中图分类号TM7 文献标识码A 文章编号 1674-6708(2010)33-0226-02
0引言
随着电力行业信息化的不断发展,网络在日常工作中变得不可缺少,但同时网络中存在的各种安全问题也给影响日常工作带来了很大影响。为了更好的将网络为工作所用,就必须很好解决网络带来的安全问题。本文作者结合“奥运保电”及“上海世博会保电”电力信息安全保障工作,就国家电网公司对电力网络设备进行安全加固的规范要求为例,重着阐述了网络设备加固的目的及重要性同时介绍了网络加固的具体做法。
1网络设备安全防护
网络设备安全包括在基础网络及各安全域中提供网络运营支撑及安全防卫的路由器、交换机、无线设备以及防火墙、安全网关等安全设备自身的安全防护,对于为各域均提供网络支撑服务的设备,按满足等级保护三级基本要求进行安全防护,各域的网络设备按该域所确定的安全域的等级进行安全防护。
2加固形式与加固对象
2.1加固形式
加固形式主要分为自加固与专业安全加固:自加固是指电力系统业务主管部门或电力系统运行维护单位依靠自身的技术力量,对电力系统在日常维护过程中发现的脆弱性进行修补的安全加固工作;专业安全加固是指在信息安全风险评估或安全检查后,由信息管理部门或系统业务主管部门组织发起,开展的电力系统安全加固工作[1]。
2.2加固对象
加固对象主要包括:网络系统、主机操作系统、通用应用系统、现有安全防护措施、电力业务应用系统。
3 网络设备加固内容
3.1 帐号权限加固
加强用户认证,对网络设备的管理权限进行划分和限制;修改帐号存在的弱口令(包括SNMP社区串),设置网络系统的口令长度>8位;禁用不需要的用户;对口令进行加密存储。
3.2网络服务加固
禁用http server,或者对http server进行访问控制;关闭不必要的SNMP服务,若必须使用,应采用SNMPv3以上版本并启用身份验证,更改默认社区串;禁用与承载业务无关的服务(例如DHCP-relay、IGMP、CDP RUN、bootp服务等)。
3.3网络访问控制加固
对可管理配置网络设备的网段通过访问控制列表进行限制;使用SSH等安全方式登陆,禁用TELNET方式;对SNMP进行ACL控制。
3.4审计策略加固
为网络设备指定日志服务器;合理配置日志缓冲区大小。
3.5恶意代码防范
屏蔽病毒常用的网络端口;使用TCP keepalives服务;禁止IP源路由功能。
4 网络设备加固实施
以思科网络设备为例,对方案进行详细的说明[2]。
4.1帐号和口令
4.1.1登录超时设置
实施方案:
Router#config terminal
Router(Config)#line con 0配置控制口
Router(Config-line)#exec-timeout 5 0设置超时5min
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:防止获得权限用户会通过con口登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。
4.1.2交换机vty口配置加固
实施方案:
line vty 0 4
password ######
logint
access-class X in
exec-timeout 5 0
transport input telnet
防止获得权限用户会通过vty进行登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。如果没有访问控制列表就会扩大telenet登录权限范围
4.1.3密码加密
实施方案:
service password-encryption
实施目的:防止在配置文件里以明文方式显示密码,暴漏主机信息。
4.2网络与服务
4.2.1交换机服务和协议的加固
实施方案:
no ip http server
no cdp enable
实施目的:http 服务没有被关掉,任何获得权限的人都可以对交换机进行WEB方式的管理。cdp 协议没有关掉,任何人都可以在与之相连的设备上进行察看本交换机的版本,设备端口等相关信息。
4.2.2修改交换机SNMP口令串
实施方案:
Router#config terminal
Router(config)# no snmp-server community COMMUNITY-NAME1 RO (删除原来具有RO权限的COMMUNITY-NAME1)
Router(config)# snmp-server community COMMUNITY-NAME RO(如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)
Router(config)# snmp-server enable traps (允许发出Trap)
Router(config)#exit
Router#write
实施目的:提高SNMP的安全性
4.2.3设置Telnet访问控制策略,或启用SSH
实施方案:
Router#config terminal
Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any(只允许10.144.99.120机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any)
Router(config)#line vty 0 4(配置端口0-4)
Router(Config-line)#Transport input telnet(开启telnet协议,如支持ssh,可用ssh替换telnet)
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#access-class 10 in
Router(Config-line)#end
Router#config terminal
Router(config)#line vty 5 15
Router(Config-line)#no login(建议vty开放5个即可,多余的可以关闭)
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:提高远程管理的安全性
5结论
网络设备在电力系统的广泛使用,给电力信息从业人员带来了前所未用的挑战, 网络设备安全加固无疑是保障电力信息安全的重要措施之一。如何确保电力企业网络安全稳定运行,将安全漏洞、威胁和风险降到最小化,将成为电力信息人永远追求的目标。
参考文献
[摘 要]C£程测量》是港口工程等专业的一门重要专业基础课程,集“测、算、绘”于一体,具有技术含量高、实践操作性强等特点。基于此特点,尝试采用“教、学、做”一体化教学模式来培养学生的职业技能。
[
关键词 ]工程测量;教学傲一体化;教学改革
中图分类号:G642.3 文献标识码:《 文章编号:1671-0568(2014)35-0061-02
基金项目:本文系广州航海高等专科学校教改项目“面向现代测绘新技术的(工程测量)教学改革的探讨” (编号:2012C06)的科研成果。
高职高专人才培养模式改革是一项系统工程,探索“教、学、做”一体化的教学模式,是促进高职高专教育教学质量不断提高的重要措施,其实质是教学过程的实践性,内涵是教学与生产劳动、与社会实践相结合的学习模式。以此带动课程建设、专业调整、教学内容和教学方法的改革。 《工程测量》是港口工程、道路桥梁、建工等工程类专业的一门重要专业技术基础课,其课程教学随着专业的发展而发展,它具有应用广泛、实践性强、技术革新快、与工程结合紧密等特点。著名教育家陶行知先生早就提出“教学做合一”的教学法,他认为“行动(实践)是一切创造性的开始,行动一思想一新价值的产生是创造的基本模式。-根据这一思想,我们对测量课堂教学模式进行了一次尝试性改革,在课堂教学中引入了“做”的环节,把测量仪器操作作为课堂教学的基础,将测量理论教学与实验教学有机结合在一起,让学生在当测量员的过程中学习测量理论,在当测量员的过程中学测量,以便克服理论教学与实验教学分开进行的缺憾。
一、具体实施
1.构建任务驱动的“教学做”合一教学模式。工程测量是一门实践性很强的课程,要求学生具有较强的专业技能。为了适应这种要求,我们尝试采用任务驱动的“教、学、做”一体化教学模式来培养学生的职业技能。例如,测量中水准仪、全站仪、gps等仪器的操作技能,这些技能都需要学生通过反复训练才能掌握,用一般的教学模式很难达到预期的效果,使用任务驱动的“教、学、做”一体化教学模式则解决了这个难题。具体做法是:给定一个教学项目,分阶段实施教学,使学生从理论到实操全面掌握本次项目所设计的专业技能。我们以水准仪的认识使用为例来讲解实施过程:第一阶段,在一体化教室里教师提出让学生自己操作仪器去了解仪器的各个零部件、螺旋的作用。第二阶段,首先组织学生分组轮流动手操作仪器,通过操作仪器自己去观察、思考、记录。然后分组展开讨论,并推荐代表来回答任务的问题。最后,教师点评各组的答案并作出总结。通过各个零部件的作用,提出各个螺旋的名称和使用方法,教师边操作仪器边进行讲解。第三阶段,学生到实训场地去练习操作仪器。通过提出任务和问题,激发了学生的学习兴趣和求知欲;通过学生小组合作学习和探索,以及讨论、发现、总结,达到首脑并用,做起来,学起来,真正做到了“教、学、做”合一。
2.建立“教学做”一体化教室。教育家陶行知先生指出:教学做是一件事,不是三件事。要在做中教,在做中学。教师是任务的提出者,学生则是实践任务的指导者。建立一体化教室,不仅要有多媒体,还要有多套课堂需要的仪器等设备。在课堂教学中,仪器就在学生身边,教师边教边做,学生边学边做,边做边学。教师在做中教,学生在做中学,大大调动了学生的学习积极性和主动性。
3.开放实验室。有限的课堂时间,不能满足学生提升测量能力的目标。可向系里申请开放实验室,在没有课的平日、节假日等向学生的免费借仪器。给学生很充沛的练习时间,既提升了学生的测量水平,又增强了学生的学习兴趣。可鼓励高年级学生去指导低年级学生。高年级学生已经拥有一些测量经验,且测量速度也较快。还可组织高年级学生对低年级学生进行答疑,或者做现场演示。这样教师的工作相对轻松,学生的积极性也被激发出来,同时加强了学生的沟通能力。
4.以证代考的考核模式。为了在课程教学改革中取得实效,促进学生真正学有所得,学有所用。在考核环节中尝试“以证代考”,对通过考证的学生视同通过期末考试,给予相应的期末成绩。通过测绘行业特有工种职业鉴定站,对学生进行“工程测量”职业技能鉴定。学生通过理论与实操的考核,可取得相应级别的证书,该证书全国认可。
5.通过竞赛让学生真正做起来。从每次实训任务后的小组竞赛,到每年一次系里的技能竞赛,再到省里市里的技能竞赛,都鼓励学生积极参与,从而激发学生的学习热情,让学生掌握实际操作技能。
二、教学效果
“教、学、做”一体化教学模式的探究,是高职高专院校深化教学改革的重要内容,是推进素质教育的重要途径,是培养技术应用型人才的基本途径。打破了过去在教学中实践过分依赖于理论的状况,将理论与实践密切结合起来,在教学中边讲边练、讲练结合,使理论在实践中得以消化。通过“教、学、做”一体化教学的实施,取得了一定的效果。
1.明显提高了学生的学习积极性,加深了专业认识,培养了吃苦耐劳的精神,增强了学生的团队意识,培养了毕业后融人社会的能力。从学生成绩来看,平均成绩高出往年10分左右,特别是实操能力大大提高。
2.一体化教学要求教师不仅要有深厚的基础理论和广博的专业知识,还应有一定的生产实践、科学研究能力。面对现代快速发展的测绘科学技术,要求教师注重调整知识结构,拓宽知识面,学习新技术,掌握新方法。特别是在实际工程方面,要提高学生的工程意识,必须教师先行。为了适应、提高教学质量,教师不得不向“双师型”教师转变。这对“双师型”教师队伍的培养起到很好的效果。
三、存在的问题
1.教师队伍素质还有待提高。一体化教学对教师的素质提出了更高的要求,在整个教学过程中,教师要既能讲授理论知识,又能指导学生实践,每位教师都必须具有“双师”素质,目前学校教师队伍素质还没达到要求,应加快对“双师”队伍的培养。通过参加培训,到生产单位进行学习锻炼,与企业技术人员合作等形式,加快师资队伍的培养。另外,也可外聘一些生产单位的专家等来充实师资,促进学习提高。
2.教学设备还需完善。一体化教学要有良好的教学设施,与教学方法,手段同等重要,相辅相成。随着招生规模的扩大,现有的仪器设备不能满足教学要求,许多老仪器需要更换淘汰,新的现代化设备不足,需要购置。
3.实训基地还需完善。实训教学基地是实训教学的基础和保障,一个固定的校内基地能提供系统的测量实训场所,与生产单位联合组织的校外实训基地能使学生深入工程实践。根据工程测量的连续性,在校园建立了闭合导线、闭合水准路线实训场;水准仪训练场、经纬仪训练场、全站仪训练场、GPS训练场等,提供学生实验和实习。另外,系里还与工程施工单位签订校企合作协议,学生可以到施工单位进行顶岗实习等。随着学生人数的增加,再加上校区的搬迁等原因,校内外实训基地都有待完善。
随着互联网的高速发展和IT网络设备的更新,IT网络设备技术的成熟应用使计算机网络深入到人们生活的各个方面。网络带给人们诸多好处的同时,也带来了很多隐患。企业面临着信息外泄,服务器遭受黑客攻击,大量数据遭受篡改,特别是从事电子商务的企业,信息的安全问题成了瓶颈问题。随着企业网络中安全设备使用的增多,相应的使用设备的管理变得更加复杂。而企业的信息管理者和信息用户对网络安全认识不足,他们把大量的时间和精力用于提升网络的性能和效率,结果导致了黑客攻击、恶意代码、邮件炸弹等越来越多的安全威胁。为了防范各种各样的安全问题,本文将从企业内部的IT设备产品入手,对企业的网络安全进行研究。
2企业IT设备的定义和分类概述
企业IT设备其实就是网络互联设备,就是在网间的连接路径中进行协议和功能的转换,它具有很强的层次性。遵循OSI模型,在OSI的每一层对应不同的IT设备产品,每层IT设备产品用于执行某种主要功能,并具有自己的一套通信指令(协议),相同层的IT设备之间共享这些协议。企业IT设备主要分为交换机、路由器、防火墙。交换机就是一种在通信系统中完成信息交换的功能,交换机拥有一条很高带宽的背部总线和内部交换矩阵,交换机的所有端口都挂接在这条背部总线上,制动电路收到数据包后,处理端口会查找内存中的地址对照表以确定目的的网卡挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口。路由器就是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行翻译,使它们相互读懂对方的数据,从而构成一个更大的网络。其功能是对用户提供最佳的通信路径,利用路由表查找数据包从当前位置到目的地址的正确路径。防火墙就是隔离在本地网络和外界网络之间的一道防御系统,防火墙可使用内部网络与因特网之间或者与其他外部网络相互隔离、限制网络互访,以保护企业内部网络,其主要功能是隔离不同的网络,防止企业内部信息的泄露;强化网络安全策略;包过滤和流量控制及网络地址转换等。
3企业IT设备网络安全管理模式研究
在企业IT设备网络安全管理中,网络管理安全模式包括以下三种:第一,安全管理PC直接与安全设备进行连接是最常见的,也就是传统的对网络安全设备要进行配置管理就必须把管理的计算机直接连接到安全设备上,常见的是将安全管理PC的串口与安全设备的CONSOLE口连接,然后在PC机上运行终端仿真程序,如Windows系统中的超级终端或者使用SecureCRT应用程序。然后在终端仿真程序上建立新连接,选择实际连接安全设备时,使用的安全管理PC上的串口,配置终端通信参数,安全设备进行上电自检,系统自动进行配置,自检结束后提示用户键入回车,直到出现命令行提示符。然后就可键入命令,配置安全设备或者查看其运行状态。但对于不同设备可能会有不同的设置,例如对于防火墙,联想KingGuard8000的连接参数就和上面不一致,对于这种情况我们可以采用WEB方式管理。就是用网线连接安全管理设备和计算机上的网卡接口,同时对管理计算机和安全设备的管理接口的IP地址进行配置,以便让它们位于同一个网段。开启安全设备的本地SSH服务,并且允许管理账号使用SSH。这是因为对大多数安全设备的WEB管理都是通过SSH连接设备的,这样安全管理PC和安全设备之间传输的数据都是通过加密的,安全性比较高。在安全管理PC的浏览器地址栏中输入192.168.1.1回车,输入用户名和密码后就可登陆到网络安全设备的WEB管理界面,对其参数和性能进行配置。第二,安全管理PC通过交换机管理安全设备,只需把安全管理PC直接连接到交换机上,PC和安全设备就都位于同一网段中。除了采用WEB方式对安全设备进行管理配置外,还可以使用Telnet方式管理。用这种方式对安全设备进行管理时,必须首先保证安全管理PC和安全设备之间有路由可达,并且可以用Telnet方式登录到安全设备上,也可以采用SSH方式管理。当用户在一个不能保证安全的网络环境中时,却要远程登录到安全设备上。这时,SSH特性就可以提供安全的信息保障以及认证功能,起到保护安全设备不受诸如IP地址欺诈、明文密码截取等攻击。第三,通过安全中心服务器管理安全设备,就是把“安全管理计算机”升级成了“安全中心服务器”。在服务器上就可以对网络中所有的安全设备进行管理配置,而不用再把安全管理计算机逐个的连接到安全设备或安全设备所在VLAN的交换机上。在这种管理模式中,除了不能直接连接到安全设备的CONSOLE口上对其进行管理配置外,WEB、Telnet和SSH在安全中心服务器上都可以使用。总之,以上三种网络安全设备的管理模式主要是根据网络的规模和安全设备的多少来决定使用哪一种管理模式。三种模式之间没有完全的优劣之分。若是网络中只有一两台安全设备,显然采用第一种模式比较好,只需要一台安全管理PC就可以,若是采用架设安全中心服务器的话就有些得不偿失。如果安全设备较多,并且都分布在不同的网段,那选择第二种模式即可,用两三台安全管理PC管理安全设备,比架设两台服务器还是要经济很多。若是安全设备很多就采用第三种模式,它至少能给网络管理员节省很多的时间,因为在一台服务器上就可以对所有的安全设备进行管理。
4企业IT设备网络安全应用研究
4.1企业内部ARP断网攻击
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中IP-MAC列表造成网络中断或中间人攻击。基本原理就是在局域网中,假如有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息,并因此造成网内其他计算机的通信故障。ARP攻击源向电脑用户1发送一个伪造的ARP响应,告诉电脑用户1,电脑用户2的IP地址192.168.0.2和对应的MAC地址是00-aa-00-62-c6-03,电脑用户1信以为真,将这个对应关系写入自己的ARP缓存表中,以后发送数据时,将本应该发往电脑用户2的数据发送给了攻击者。同样的,攻击者向电脑用户2也发送一个伪造的ARP响应,告诉电脑用户2。电脑用户1的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03,电脑用户2也会将数据发送给攻击者。至此攻击者就控制了电脑用户1和电脑用户2之间的流量,它可以选择被动地监测流量,获取密码和其他信息,也可以伪造数据,改变电脑用户1和电脑用户2之间的通信内容。
4.2非法DHCP服务器的快速定位
【关键词】IPSec;ESP;VPN;网络安全设备
0 引言
TCP/IP协议的开放性、灵活性使得基于IP技术的通信系统成为各类通信网络的主要构成部分,但网络上的IP数据包几乎都是用明文传输的,非常容易遭到窃听、篡改等攻击。特别是传输重要数据的通信IP网,网络的安全性尤其重要。
IPSec(Internet Protocol Security)在IP层提供安全服务,使得一个系统可以选择需要的协议,决定为这些服务而使用的算法,选择提供要求的服务所需要的任何密钥。IPSec可保障主机之间、网络安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。因此,采用基于IPSec的网络安全设备可为重要数据安全传输提供保障。
1 IPSec概述
IPSec协议是IETF提供的在Internet上进行安全通信的一系列规范,提供了在局域网、专用和公用的广域网和Internet上的安全通信的能力,保证了IP数据报的高质量性、保密性和可操作性,它为私有信息通过公用网提供了安全保障。通过IKE(IPSec Key Exchange,自动密钥交换)将IPSec协议简化使用和管理,使IPSec协议自动协商交换密钥、建立和维护安全联盟服务。使用IPSec协议来设计实现的VPN(Virtual Private Network,虚拟专用网)网关具有数据安全性、完整性、成本低等几方面的优势。
使用IPSec协议是用来对IP层传输提供各种安全服务,主要包括两种安全协议,即AH(Authentication Header,验证头)协议和ESP(Encapsulating Security Payload,封装安全载荷)协议。AH协议通过使用数据完整性检查,可判定数据包在传输过程中是否被修改;通过使用验证机制,终端系统或网络设备可对用户或应用进行验证,过滤通信流,还可防止地址欺骗攻击及重放攻击。ESP协议包含净负荷封装与加密,为IP层提供的安全服务包括机密性、数据源验证、抗重播、数据完整性和有限的流量控制等。两者比较之下,ESP协议安全性更高,与此同时其实现复杂性也较高,本文设计的网络安全设备采用ESP协议。
2 网络安全设备设计
2.1 设备加解密原理
图1 设备加密工作原理
为确保重要数据传输安全可靠,需在通信IP网中增加保密措施,因此本文设计了基于IPSec的网络安全设备。设备采用软件和硬件相结合的方式实现IPSec协议体系。软件模块主要完成控制层面的功能,包括网络管理、密钥管理、策略管理、配置管理、热备管理、信道协商等功能;硬件模块主要完成数据处理层面的功能,包括数据包的协议分析、保密策略和加解密密钥的搜索、加解密处理、IPSec隧道头的封装和拆封装等功能,设备加密工作原理如图1所示。
当设备收到用户IP包时,先判断其是否为保密数据,如果是,则在该IP数据前加入一个ESP头,然后发送到公网。ESP头紧跟在IP头后面,ESP占用IP协议标识值为50。对IP包的处理遵守以下规则:对于要发送到公网的IP包,先加密,后验证;对于从公网上收到的IP包,先验证,后解密。
当设备要发送一个IP包时,它在原IP头前面插入一个ESP头,并将ESP头中的下一个头字段改为4,根据密钥管理协议协商得到的SPI(Security Parameters Index,安全参数索引)值填入到ESP头中,并分配一个序列号,同时根据算法要求插入填充字段,并计算填充长度。在ESP头的前面插入一个新的IP头,源地址为设备的IP地址,目的地址为对端设备的IP地址,并对相应的字段赋值,在做完以上处理后,对IP包加密,并进行验证,将验证数据插入ESP尾部。最后计算最前面的IP头的校验和。
远端设备接收到一个ESP包后,首先检查这个包是否有相关的SA(Security Association,安全关联)存在,如果不存在,则将该包丢弃。如果存在,则进行下一步处理。首先检查序列号,如果序列号无效(一个重复的包),则将该包丢弃。如果有效,则进行下一步处理。根据对应的SA对这个包进行验证,并将验证结果与IP包中的验证字段比较,若不一致,则丢弃,若一致,下面就进行解密,并根据填充内容来判断解密是否正确,因为填充数据可以通过约定事先知道。在验证和解密成功后,就对IP包进行初步地有效性检验,这个IP包的格式与SA要求的工作模式是否一致,若不一致,则丢弃该包,若一致,就准备从ESP包中解出原IP包,删除外面的IP头和ESP头,然后检查这个IP包与SA所要求的地址和端口是否符合,若不符合,则丢弃,若符合,则设备将该IP包转发出去。
2.2 硬件结构设计
网络安全设备采用模块化的设计思路,各硬件功能模块之间采用接插件方式连接,各模块的连接关系如图2所示。
图2 设备硬件结构及连接关系
设备主板是数据处理核心模块,其他各模块通过接插件与其连接。承载了业务安全处理、加解密等设备的核心功能。其上的主控模块运行Vxworks操作系统,承载设备嵌入式软件,全面管理设备软硬件运行状态。板载密码模块完成业务数据的高速加解密处理。
接口板包括用户口和网络口两块接口板,通过高(下转第64页)(上接第65页)速接插件插在设备主板上。接口板上的千兆MAC芯片通过业务和控制线缆连接到后接线板。
IC卡读卡器通过RS232接口线缆与设备主板上的主控模块相连。电源模块使用电源接插件为各功能模块提供相应的直流电源。后接线板提供千兆口、100/1000自适应电口的用户业务接入,本地控制接入。
3 VPN构建
网络安全设备专门用于在TCP/IP体系的网络层提供鉴别、隧道传输和加解密功能。通过对IP层加解密,可以支持大多数用户业务,对局域网重要数据进行加密保护,通过公共通信网络构建自主安全可控的内部VPN,集成一定的包过滤功能,使各种重要数据安全、透明地通过公共通信环境,是信息系统安全保障体系的基础平台和重要组成部分。设备部署在局域网出口处,通过对IP数据的加解密,可以保证局域网数据在公共信道上传输的安全性。
与设备相连的内部网受到IPSec保护,这个内部网可连入不安全的公用或专用网络,如卫星通信、海事和专用光纤等。在一个具体的通信中,两个设备建立起一个安全通道,通信就可通过这个通道从一个本地受保护内部网发送到另一个远程保护内部网,就形成了一个安全虚拟网。当位于某个安全内部网的主机要向另一个位于安全内部网的主机发送数据包时,源端网络安全设备通过IPSec对数据包进行封装,封装后的数据包通过隧道穿越公用网络后到达对端网络安全设备。由于事先已经经过协商,收端网络安全设备知道发端所使用的加密算法及解密密钥,因此可以对接收数据包进行封装。解封装后的数据包则转发给真正的信宿主机,反之亦然。
4 结束语
在设计网络安全设备时采用IPSec协议,使用ESP对传输的数据进行严格的保护,可大大增强IP站点间安全性。在传输重要数据的通信IP网中使用本文设计的基于IPSec的网络安全设备构建VPN能很好地防止数据被更改或窃取,确保数据传输的安全性。
【参考文献】
[1]蓝集明,陈林.对IPSec中AH和ESP协议的分析与建议[J].计算机技术与发展,2009,11(19):15-17.
[2]郭旭展.基于IPSec的VPN安全技术研究[J].电脑知识与技术,2009,8(24):52-54.
关键词:计算机网路安全 硬件系统 硬件维护 安全策略
网络安全在网络中有着保障合法用户正常使用真实有效网络资源的重要作用,它可以有效避免远程控制、病毒侵犯等网络安全威胁,给网络用户提供更加安全有效的的网络信息资源。然而由于大型网络系统中由多种网络协议支持,如TCP/IP、IPX/SPX等,而这些网络协议并非网络系统中专门为安全通讯而设计。因此,网络运行中可能存在以下两种网络安全威胁:(1)网络中的设备安全威胁;(2)网络中信息的安全威胁。其硬件性能维护是前提,硬件设备作为保障网络安全的前提基础,唯有加强对其的维护措施,才能从根本上为单位的正常运行提供一个良好的网络环境。
1.硬件系统对网络安全的影响分析
计算机网络安全运行中,硬件设备包括路由器、交换机、硬件防火墙等。计算机网络中各硬件设备只有通过相应的安全设置,才能维持网络的安全。要想确保网络硬件设备能够安全有序运行,其所处的工作环境是否优良也很重要,若网络运行环境不稳定也会给网络的安全运行留下隐患。此处所说的环境因素主要有空气的湿度、空气的温度、空气的尘埃、电磁波等,这些环境因素都会给硬件设备带来一定的影响,进而影响到网络的安全。
计算机网络运行过程中,一旦硬件设备所环境温度过高,很容易引起设备技术参数偏离问题出现,甚至造成逻辑出错,内部电源烧坏电气元件等问题。而运行环境温度过低,则会造成水汽凝聚或结露等问题,进而造成腐蚀生锈等问题,使得计算机热敏期间出现损坏,致使网络硬件无法正常工作。除此之外,网络运行中,网络硬件所处的环境中若有过多的尘埃,则会造成绝缘电阻减小等问题,使得机器出现一些错误动作,若此时空气再遇潮湿问题,很容易造成网络元器件间相互放电等障碍,甚至引发火灾事故。另外,静电、电磁波、辐射等都会给网络系统造成一定的干扰,轻者造成网络设备出现一些误操作,重者则会出现一些信息混乱传输的现象,甚至造成整个网络硬件设备瘫痪。网络电缆、光纤等传输介质的安装和选择不当,同样会影响网络的正常运行。因此,合理的选择隔离技术,也是用户安全策略的一块基石。
2.通过维护硬件来保障网络安全运行
2.1 通过路由器来确保内网的安全
路由器根据IP地址来智能化地路由数据包,比集线器更具安全性。通过恰当的对路由器进行设置,边缘路由器可以将最顽固的坏分子几乎全部挡在网络之外。可通过以下设置来实现路由器的安全保护功能:
(1)关闭路由器HTTP设置和SNMP。路由器可允许通过WEB界面进行配置,然而这种方式带给管理员方便的同时,也给整个单位内部网络带来了安全隐患。
HTTP协议中没有一次性口令或用于验证口令的相关规定,因此HTTP使用的身份识别协议就如同向整个网络发送一个未加密的口令。这种未加密的口令对于你从远程位置设置你的路由器十分方便,但别人也照样可以如此“方便”。因此,这就给整个网络安全运行留下很大的隐患。
(2)网络中的薄弱口令予以更新。相关统计数据显示,80%的网络安全事故均是由网络上路由器默认口令这一薄弱环节引起。因此必须通过对口令予以更新,将该环节引起的安全事故消灭于萌芽状态。
(3)保持路由器的物理安全。路由器根据IP地址智能化地路数据包,而集线器则向所有节点播出数据,从网络嗅探角度来讲,路由器更安全。确保物理访问网络设置是安全的,以防未经允许的嗅探设备放在你的本地子网中。
(4)禁止IP定向广播。
(5)包过滤。
(6)将ICMP(互联网控制消息协议)ping请求进行封锁。
(7)永远禁用一些不必要的服务,无论是服务器、路由器还是工作站等。
(8)将CDP服务关闭。通常情况下,系统会默认将路由器发现协议启动,作为一种独立的媒体协议,它可以运行在该路由器制造的所有设备之上。其功能为获取相邻设备协议地质同时发现这些设备平台,但同时也存在一定缺陷,即它可以对所有发出的设备请求进行应答,能发现临近路由设备、软件版本及型号,对路由器安全带来了严重威胁,同时给系统产生了额外的负担,因此应尽量关闭该项服务。
2.2 利用硬件加速方法提高网络安全性能
商用、家用或校园中的网络传输中充满了大量重要的数据流,且这些数据流被尽可能的高效的在网络各节点之间进行传输。然而网络中也有一些不可小觑的大量垃圾数据流伴随着重要数据流的传输,消耗着节点机器和网络带宽。除消耗网络带宽,这些垃圾数据还会消耗掉大量宝贵时间去处理这些问题。已成为制约现代网络发展的重要“瓶颈”问题(如接入链路等)。通过利用目标硬件加速方法,则可将其性能等级从每秒数百兆比特提升至每秒数吉比特。另外,它还可以释放通用CPU周期,使之更好的执行其它需要更多灵活性的功能。
3.小结
网络系统的安全保护涉及各种软件系统支持,以及硬件环境的支持等,确保各项安全措施相辅相成,以此来确保网络的安全有效运行。硬件安全维护作为网络安全的基础和前提,其维护工作对网络安全的支持作用显得十分重要。
参考文献:
[1]张剑.浅谈计算机局域网硬件维护与网络安全[J].计算机光盘软件与应用, 2011(22)
【关键词】校园网 网络硬件设备 安全维护
网络硬件设备是校园网络建设中花销最大,铺设范围最广,消耗人员和物力最多的部分。例如,校园内部办公网络的服务器系统,实验室、图书馆和阅览室的公共用计算机,会议室和办公室的多媒体设备,连接校内网络的路由器,网卡,集线器等,都属于校园网络硬件设备。硬件设备是校园网络的基础,最为直观的直接决定了校园网络建设的等级和情况。良好的硬件设备可以提高校园网络应用的广泛程度,更加有利于信息之间的交流和传播,有利于学校教学、科研、办公工作发展。但是,由于硬件设备具有开放性、对外在环境要求高、共享性的特点,而且,硬件设备需要接触很多人,所以可能出现一系列的安全问题。因此,维护校园网络硬件设备的安全十分必要。
1 校园网络硬件设备
校园网络的硬件主要包括校园内部事物办公和交流的服务器和交换机,图书馆和阅览室的公共用查询信息资料的电脑,实验室、会议室、机房和办公室的多媒体设备,连接校内网络的路由器,集线器、工作站、各种连接线等。这些硬件设备的特点是分散广,接触的人和信息繁多、储存环境复杂,并且这些硬件设备的置备和更换都需要投资一定的财力,管理和维消耗一定的人力资源。因此,需要对其安全维护工作进行详细的讨论和部署,采取有效的防护和解决措施。
2 校园网络硬件设备安全存在的隐患
物理安全,即设备硬件自身的安全。它是网络安全的基础,直接关系到对软件的承载能力。影响校园网络硬件设备安全的隐患主要有以下几点:
2.1 环境影响
硬件设备对其所处的自然环境具有一定要求,周遭环境温度应该保持在10摄氏度~40摄氏度,较为干燥,通风效果好,干净,噪声和电磁干扰小,此外,应远离火源和水源,避免接触食物等残渣碎片。任何一点环境要求的不满足都会对硬件设备的使用寿命产生影响,造成损伤。
2.2 设备性能
一些基本硬件设备本身由于配置的原因,可能存在一些漏洞;计算机等设备由于品牌和价格的不同,也存在质量和性能的差异。由于校园网络硬件设备使用流量大,品质不好的设备可能最早出现设备老化等安全问题。
2.3 人为因素
校园硬件设备分布较为广泛,用户众多,所以可能有人为破坏或者使用不当的情况出现,结果造成设备的损坏。此外,硬件设备出现小问题时,没有及时发现存在的漏洞并进行修正,也有可能导致其提前报废。
3 校园网络硬件设备安全维护的措施
针对上述问题,需要制定和采取相应的措施,对校园网络硬件设备的安全加以维护。可以保证其使用年限,使硬件设备的利用率最大化。维护工作可以从设备的选择,管理制度,用户教育,环境控制等方面着手展开。
3.1 设备选择
对于校园网络硬件设备,应该选择有品质保证的厂家生产的正规产品。要求效率高,内存大,适应商业办公用途或者公用,产品具有一定普遍性,操作明确,适合群体用户使用。此外,设备公司对设备应该有保修和维护年限,当设备出现问题,有相应的零部件予以替换,有专业的技术维修师给以调整或者技术指导,不会出现“一次性”的问题。
3.2 用户教育
校园网络硬件设备的使用者多是在校学生、老师和教职工家属,人群比较集中。学校可以对其进行集中教育和安全培训,包括硬件设备的正常使用流程,简单问题的维修和检查,硬件设备的简单清理。此外,还可进行一些思想教育,例如,不随意人为破坏硬件设施,养成使用后主动检查和关闭系统,整理设备配件,保持环境清洁等良好习惯。这样,使每个使用设备的人都能够成为它的保护者。
3.3 管理制度
完善的管理制度是硬件设备安全维护工作的重要保证。首先,针对设备,需要进行设备的登记和管理:校园网络硬件设备属于学校的固定资产,要对学校收纳和购买的设备进行详细的记录,包括型号,尺寸,收纳时间,存放地点,维修保质期,监管人,适用人群等。其次,针对用户,需要进行用户管理:有专职工作人员负责用户信息的管理,例如,需出示学生证或者教师证才可以使用设备,并记录下使用时间段;对某些需求量较高的设备需提前预约;当硬件设备连续工作时间过长,应给与适当的断电保护。最后,还需要明确的维护和赔偿损失条例:加强校园公共网络硬件设备的监控,对于由于不正当操作行为或者恶意破坏而造成的设备损伤,应该要求使用者给以一定额度的现金赔偿和合适的惩罚措施。 一套完善的安全管理方案可以保障硬件设备安全维护工作的顺利进行。
4 结语
校园网络硬件设备的安全维护是校园网络建设的硬件保证,对于校园网络建设对的作用至关重要。因此详细的了解安全维护工作存在的隐患和隐患来源,针对这些隐患来源采取相应的防护手段,维护措施,补救工作是每一个学校都应该重视的问题。良好的硬件设备条件和环境条件、充分的使用者培训、完善的规章制度和赔偿措施、明确的管理人员和合理的监控系统共同作用,一定能够圆满完成校园网络硬件设备的安全维护工作,建立可靠安全的、快捷高效的、全面开放的校园网络环境。
参考文献
[1]欧阳文慧.高校数字化校园构建策略探究[J].电子制作,2014.
[2]周美君.建设数字化校园助推教育信息化[J].湖南教育,2014.
[3]魏鹏.校园网络服务器的安全维护浅析[J].中国科技信息,2011(12):93-94.
[4]罗来俊.高校校园网安全隐患及应对策略[J].南昌高专学报,2006(06):110-111.
-软件传销引出网络传销
据磁县公安局介绍,今年3月19日,磁县一通讯门市经营者张某到该县公安局报案称:2009年6月,李某到其门市,以高利润回报为诱饵,让其销售MDG国际科技集团的麦库软件,通过发展下线进行传销。
依据报案人张某提供的案件线索,警方立即展开侦查,并依法传唤李某。犯罪嫌疑人李某不仅供述了他加入麦库软件传销组织并进行传销活动的犯罪事实,还供述出,他伙同犯罪嫌疑人郭某于今年5月加入另一传销组织——“全国兴村富民互助社”。
经调查,“全国兴村富民互助社”的传销人员遍及全国各地。由于案情重大,磁县公安机关迅速成立了由经侦、刑侦、网监等多部门组成的专案组,同时,将案情上报公安部,因涉及地区、人员较多,该案被公安部列为督办案件。公安部要求全国公安系统协同配合,协助磁县公安局破获此案。
-谁是网络背后黑手
专案组在邯郸市公安局网监支队的配合下,对“全国兴村富民互助社”的网站IP地址进行了监控,锁定了该网站服务器的位置。同时,专案组民警先后到山东潍坊、江苏南通、河南郑州等地查找该服务器。
根据在江苏南通电信机房获取的该网站的一些数据,磁县公安局成功破解了该传销网络系统后台管理的最高权限,直接锁定了这一网络传销组织的骨干人员信息。
获取大量有力证据后,磁县公安局迅速展开抓捕。7月26日,专案组民警在北京朝阳区傲城融富中心将“全国兴村富民互助社”的负责人何某抓捕归案,并查扣了“全国兴村富民互助社”公章、财务章、互助社铜牌、4个省级分社的铜牌等。
据了解,自今年3月该传销网站建成开通后,传销网络迅速膨胀。截至案发,该传销组织已发展社员近7000人,广泛分布于30个省、自治区、直辖市,涉案金额近600万元。
网络传销如何“营利”
据透露,2009年底,“全国兴村富民互助社”负责人何某与郑州儒脉网络公司法人代表黎某,在北京经过洽谈达成合作事宜,由何某出资,黎某按照何某授意的传销模式制作专门的传销网站。
其具体模式为,一般会员通过网站注册和缴纳880元即可成为正式社员,获得VIP1社员资格,同时拥有500元网站积分。VIP1发展4个下线,达到2000积分时,再无偿交给上一级,就可以升级为VIP2社员资格。VIP2再如法炮制捐出2000积分时,即可升级为VIP3社员资格。
“该网站服务器连接某支付平台,最终的返利金额都由电脑程序自动生成,并通过易宝支付平台自动转到社员银行卡上。”办案民警说。
据介绍,该传销组织中最大的理论“亮点”就是“出局制”。该传销组织系统设置中只有取得VIP3的社员才有资格对返利金额进行提现。如果一旦提现,该社员会立即“出局”。如不提现,通过积分的积累,该传销组织承诺最高提现金额为340万元。
-终极优待是场骗局
据介绍,社员达到VIP3级别后,可以免费申领该组织自制的“农联一卡通”,可以办理无息小额贷款及融资,解决“借钱难”、“融资难”的问题。利用“农联一卡通”,社员可实现消费打折、消费积分、消费回馈、消费创富的目的。经查证实,“农联一卡通”只是该传销组织吸纳会员入社的一个诱饵,并无实物。
据办案民警介绍,该网络传销由于使用了隐秘的不公开的手段,利用网站作为传销平台,打着服务三农的旗号,吸引会员,掩人耳目,存在虚拟性、欺骗性、隐蔽性更强的特点,并且属于快区域传播,调查取证难度重重。
摘要:随着网络普及度的深化和大学生对网络依赖程度的加强,网络背景下的高校意识形态安全建设面临的挑战压力越来越大。高校党建工作人员应加强相关问题的应对能力培养,不断探索制度创新与路径建设。
关键词 :网络背景 高校意识形态 安全建设
一、加强高校意识形态安全建设的极端重要性
1.关乎党的执政安全。通过高校意识形态安全建设,可以使我国大学生对域外国家的思想渗透与攻击进行有效的防御,不受域外国家某些不良思想的干扰,逐渐提高高校教师与大学生的思想政治素质,使高校师生坚定信念,与我党保持同样的思想方向,从而为执政安全提供强有力的保障,巩固基层基础。
2.构建和谐校园的必然需要。某些高校没有正确认识高校意识形态安全建设的重要性与作用,没有将高校意识形态安全建设与和谐校园的构建相联系,从而导致思想建设远远达不到党建工作的要求。有些干部对工作持敷衍态度,甚至对自己的意识形态也放松要求,影响了高校的稳定发展。因此,高校教师以及党员干部都应对高校意识形态安全建设提起足够的重视,将高校意识形态安全建设工作与和谐校园的构建工作相联系。
3.促进大学生个人全面发展。高校大学生是我国发展的后备力量,决定了我国的命运与发展前途。一些有着不良居心的域外国家也对这一点有着深刻的认识,导致我国某些大学生出现了较为极端的思想意识。因此,高校意识形态安全建设必须得到持续加强,以此来保障我国大学生的思想意识不受到不良思想的影响,促进我国大学生的全面发展。
二、网络背景下高校意识形态安全建设面临的新挑战
随着我国信息建设的不断完备,现代化信息技术、网络技术、计算机技术对我国国民的生活、学习、工作产生的影响也逐渐变大。高校是我国互联网发展的前沿,在网络背景下,高校意识形态安全建设主要面临着三个方面的挑战。
第一,网络化对我国社会主义意识形态的主导权,以及高校意识形态安全建设的工作环境带来了强烈的冲击。每种意识形态都是与国家和社会发展的阶段相适应的,在我国现阶段,正确的意识形态是社会经济持续发展,社会文化不断积淀的重要保障,不适应现阶段经济社会的意识形态会破环社会发展的自然规律,延缓发展进程。
第二,由于网络传播对传统媒体传播的强力冲击,意识形态的管控方式面临着新的挑战。随着网络的不断普及和移动终端的广泛应用,其便利性和普及性不断提高,大量的网民加入到这个群体中,大学生作为新观念、新思想的传导者,是新型媒体的主力使用群体。而新型网络的自由性又给意识形态的管理和建设带来了诸多挑战。
第三,在网络环境下,域外国家的思想渗透变得更加直接,意识形态的防御能力面临着巨大的挑战。网络环境的自由性与西方国家的经济发展阶段相适应,但是这套体系并不一定适合我国现阶段的经济社会发展。一些域外国家的思想利用了网络思想的自由性,将其思想和观念强加给我国的大学生,这对意识形态和价值观还没有成熟的大学生群体来说,是有巨大风险的,因而给防御体系带来了新的挑战。
三、网络背景下高校意识形态安全建设的途径
1.强化高校意识形态安全建设的组织保障。网络背景下的高校意识形态安全建设应注意强化高校意识形态安全建设的组织保障。对此,应从三个方面进行:第一,我党应注意加强对高校意识形态安全建设问题的科学决策能力、洞察预测能力以及调查分析能力;第二,加强高校党建工作队伍建设;第三,加强高校思想政治工作队伍建设。
2.强化高校意识形态安全建设的载体保障。网络背景下的高校意识形态安全建设应注意强化高校意识形态安全建设的载体保障。对此,应从三个方面进行:第一,借助网络技术,通过互联网进行意识形态教育;第二,增加网络意识形态信息资源,加大“红色”网络资源论坛、网站的建设力度;第三,我国政府相关部门应注意加大网络监管力度,尽量排除不良信息。
3.加强思想建设。网络背景下的高校意识形态安全建设应注意加强思想建设。对此,应从两个方面进行:第一,参照社会主义核心价值观进行高校意识形态安全建设;第二,坚持意识形态中排他性与兼容性的统一,继承性与批判性的统一,以及实践性与理论性的统一。
4.注意制定完整的规章制度。网络背景下的高校意识形态安全建设应注意制定完整的规章制度。对此,应从两个方面进行:第一,构建高校意识形态安全运行机制,确保意识形态教育工作的有序进行;第二,建立高校意识形态安全建设制度体系,确保高校意识形态建设的可持续发展。
总而言之,高校的管理者要充分认识大学生意识形态建设的重要性,不断适应新型媒体的发展,在网络背景下强化高校意识形态安全建设的组织保障、载体保障,加强思想建设,制定完整的规章制度,为大学生意识形态建设和价值观形成提供制度保障和环境基础。
参考文献
