时间:2023-09-20 18:13:29
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇安全网络建设范例。如需获取更多原创内容,可随时联系我们的客服老师。
一、指导思想
以党的十七大精神和科学发展观为指导,以保障人民群众生命财产安全为根本出发点,紧紧围绕“和谐社会”和“平安*”建设大局,坚持“安全第一、预防为主、综合治理”的方针,加强领导,健全机制,完善网络,齐抓共管,强化安全宣传教育,推进安全综合治理,做到服务与监管并举、规范与提高并重,全面推进城镇社区和农村安全生产基层基础工作。
二、工作目标
按照“示范带动、全面展开、统一标准、分批实施、积极推进、限期达标”的工作要求,2009年底前全区所有村(居)安全网络建设达到安全工作规范化标准。具体目标为:
今年10月底前,各村(居)安全监督管理办公室机构、人员、场所、必要的设备及工具配备到位,全区村(居)安全监督员的安全培训教育全部完成,确保参训率达到100%,村(居)安全网络基本形成,安全排查、事故预防等基础工作全面展开。到今年年底,村(居)安全管理得到规范,村(居)民安全意识明显提高,安全基础设施相对完备,公共安全切实加强,村(居)安全建设与经济社会和谐发展,安全状况根本好转,安全生产、公共安全水平全面提高,生产安全事故发生率有较大幅度下降,全区所有村(居)基本达到安全工作规范化标准。
三、主要任务及措施
(一)明确工作职责,健全工作机制
1、各乡镇(街道)具体负责本辖区内村(居)安全网络创建工作,按照安全工作规范标准,认真组织实施。
2、区直有关部门根据职责分工,做好村(居)安全创建活动的业务指导工作。
3、区安委会办公室负责村(居)安全网络创建活动的督促协调工作。
4、区安委会建立村(居)安全网络创建工作联席会议制度,及时组织区安委会各成员单位召开联席会议,协调解决创建过程中遇到的问题,研究、分析、部署下一步工作;实行履职报告和通报制度,各乡镇(街道)、各有关部门要及时向区安委会办公室报送安全村(居)创建工作情况,区安委会办公室要及时通报创建工作情况,确保创建工作实效。
(二)完善安全工作网络,建立安全责任体系
1、完善安全工作网络。各乡镇(街道)要建立由乡镇(街道)、村(居)委会、自然村、村办(私人)企业组成的安全生产工作网络。各村(居)委会要设立安全监督管理办公室,成立安全工作领导小组,组长分别由村(居)委会主任担任。各行政村至少要明确2名安全监督员,社区居委会至少明确1名安全监督员。安全监督员应具备与村(居)安全工作相适应的安全知识和管理能力。要完善办公条件,各村(居)委会安全监督管理办公室要有固定的办公场所和宣传教育场地,配备必需的安全防护服、安全检查设备和工具。
2、健全安全管理制度。要切实加强村(居)安全工作制度建设和安全档案资料管理工作。各乡镇(街道)要具体指导各村(居)委会制定安全例会、安全日常检查、安全隐患排查治理、事故报告、安全教育培训等制度。建立安全会议台账、辖区内生产经营单位台账、安全生产日常检查台账、安全隐患整改销案台账,做到安全管理制度完善,安全资料台账齐全。
3、建立安全责任体系。各乡镇(街道)要建立由各村(居)委会主任为本辖区安全管理第一责任人的责任体系,村(居)委会主任对本辖区的安全负总责。要与所属各村(居)委会签订安全管理目标责任书。各村(居)委会要把辖区内生产经营单位的安全纳入管理范围,与村办企业、私人企业、九小场所等生产经营单位签定安全工作目标责任书;与村(居)房屋拆建户、居民楼院、所住单位、房屋出租户(租赁户)签订生产安全、消防安全保证书。
(三)突出重点领域和关键环节,强化安全监管
各乡镇(街道)、村(居)、企业要按照上级安排和要求,开展经常性的安全检查,乡镇(街道)每季度至少组织一次全面检查,村(居)每月要对管辖范围内各单位进行一次全面的安全检查,企业要开展经常性检查。对发现的安全隐患要落实责任人、整改措施、整改资金、整改期限进行认真整改,确保安全事故隐患及时消除。
1、加强“九小”场所和“三合一”建筑安全管理。要切实加强对“九小”场所(小餐馆、小商场、小旅馆、小网吧、小学校、小诊所、小歌舞娱乐、小美容洗浴、小生产加工作坊)和“三合一”建筑(集生产经营、储存、居住等功能为一体的建筑)的安全管理,落实责任,积极开展排查摸底,建立健全管理档案。定期对“九小场所”和“三合一”建筑的用电线路、消防通道、疏散通道、指示标志、应急照明、灭火器配备等内容是否达到安全标准进行严格检查,发现问题及时落实防范和整改措施,确保隐患消除。要加强对“九小场所”和“三合一”建筑主要负责人及从业人员的安全教育,提高主要负责人和从业人员的安全防范意识。
2、规范危险物品安全管理。合理布局城镇和农村液化气充装点、加油点,要严厉打击非法液化气充装点、加油点。强化对城镇社区高层建筑和餐饮单位瓶装液化气使用的安全管理,加强对农药、鼠药及危险化学品生产、储存、销售和使用的监督管理,严禁生产、销售和使用毒鼠强等国家明令禁止的危险物品。
3、加强村(居)交通安全工作。农村道路要建设配套的安全交通设施并保证完整有效。在学校附近、危桥、人员密集的路段应当设置警示标志和必要的减速设施,交通干道应当设置必要的人车分流设施,要切实加强湖区、库区水上交通安全管理,确保水上交通安全。
4、加强烟花爆竹安全管理。村(居)委会要全面加强烟花爆竹生产、运输、储存、销售、燃放工作。未经许可不得从事烟花爆竹的生产、运输、储存和销售,严厉打击非法生产、经营、储存、销售烟花爆竹的小作坊、小商店。要规范燃放活动,做好儿童等重点人群烟花爆竹燃放安全教育,严禁在易燃、易爆场所及周边燃放烟花爆竹,集中燃放烟花爆竹的,要制定燃放安全方案和应急预案,严格现场安全管理,确保公众安全。
5、加强村(居)集会安全管理。对商品交易会、夜市、灯会、庆典、庙会、集会等活动,应当完善审批程序,按照“谁主管、谁负责”和“属地管理”的原则,制定安全方案和应急措施,活动选址与公路、易燃易爆场所保持安全距离,要加强交通疏导和销售摊点、进场人员的现场管理,确保安全。
6、加强村(居)房屋安全管理。加强对村(居)中小学校、幼儿园、卫生院、诊所等危房的排查,加大危房改造力度,提高房屋安全等级。村委会应当加强对农村拆建房的安全管理,与业主签订安全保证书,保证施工安全和房屋质量。农村拆建房施工队应当具备相应的资质条件,拆建房有防护网(栏)等安全防护措施。加强对房屋出租的登记管理,禁止将房屋出租用于生产、销售、储存易燃易爆等危险物品。严禁生产经营单位“二合一”、“多合一”。
7、加强村(居)防火安全管理。发挥公安消防机构的作用,大力发展乡镇(街道)、村(居)民义务和驻地企业联办等多种形式的消防队伍,配备消防设备,落实家庭、企业和森林防火措施,禁止农村“三夏”、“三秋”季节燃烧农作物秸杆,控制消除火灾隐患源头。
8、规范村(居)用电安全管理。供电单位要加强村(居)供电设施安装、维修、调整、试验、进网作业管理,定期组织村(居)供电线路安全巡查,指导村民加强自有电器的安全检查,及时消除用电隐患。变压器有护栏和警示标志,线路规范,用电设备各项性能和指标符合铭牌标示和安全标准。严禁私拉乱扯电线,杜绝使用老化线路,建筑物内严禁使用电线。
9、加强农业机械、农用车辆安全管理。加强农业机械、农村车辆的年检、驾驶人员资格年审和管理工作。所有农村运输车辆和大型农业机械都要依法登记,按要求检验合格,驾驶人员持证上岗。杜绝无牌无证、脱检脱审、无作业证和持假作业证等严重违章行为。严肃查处无证车辆上路和农用车载客等违章行为,严厉打击非法改装车辆行为。
10、加强农村中小学安全管理。健全完善学校安全管理制度,定期排查治理学校危房,严禁用危房作教室、实验室,加强学校食堂食品卫生安全管理;公安消防、交通管理等部门应当定期深入中小学校进行交通、防火等安全知识教育,提高广大师生的安全意识和自我防范能力。严禁中小学校在马路上上体育课、跑操和从事其它体育活动。接送学生车辆必须经检验合格后方可使用,从严查处超载等违章行为。
11、加强开山采石和农田机井安全管理。各乡镇(街道)、村(居)要切实加强对采石行为的安全管理,在采石场周围划定保护区域,严防飞石伤人;对积水坑塘,应当依法加强管理,设置安全警示标志,严防溺水伤亡事故的发生。对农田现有机井要逐一排查登记,采取专人负责、设置警示标志或安装防护盖等办法,防止行人误入。
12、搞好各种自然灾害的防范工作。各乡镇(街道)要建立覆盖辖区内所有村(居)的自然灾害预警信息联动机制,组织指导村(居)有针对性地组织排查、分析自然灾害可能对本村(居)人民生命财产安全造成的危害,科学制定防范自然灾害应急预案,定期组织应急演练,适时对村(居)民进行防范自然灾害的教育,提高应对自然灾害及其引发事故灾难的能力。
(四)强化安全培训教育,努力提升群众安全意识
1、深入开展安全培训。各乡镇(街道)要切实加强村(居)安全监督员的安全培训教育,增强安全监督员的责任意识、安全意识,提高安全监督员发现问题和解决问题的能力,确保参训率达到100%。要结合农村劳动力转移培训“阳光工程”,开展农村安全和务工安全培训,提高村民和农民工的安全防护技能。各乡镇(街道)、村(居)要明确专人负责统计农民工、村民参加安全培训情况,并逐级上报有关部门。
2、加强安全宣传教育。要把“安全生产月”、“119”消防日等安全宣传活动向村(居)延伸,充分利用广播、电视、宣传板报、报纸等新闻媒体,加强安全常识宣传,普及安全生产事故预防、自防自救和应急处理知识。要在各村(居)委会、城镇居民小区、自然村的醒目位置设置安全宣传栏、安全画廊和村民安全公约,在居民小区和农村关键部位、重要地段设置安全警示标志,强化安全知识宣传工作。
3、开展安全文化“六进”活动。结合科技、文化、卫生“三下乡”等活动,编印安全手册和宣传资料,送安全常识、安全法规进企业、进村(居)、进集市、进田头、进家庭、进校园“六进”活动,提高广大农民和从业人员的守法意识和安全防护能力。加强中小学生安全教育,确保受教育率达到100%,努力实现教育一个学生,带动一个家庭,影响一片群众的安全教育效果。
(五)建立应急救援体系,提高处置安全事故能力
各乡镇(街道)要指导辖区内的村(居)根据本地安全工作实际,制定安全应急救援预案,并纳入乡镇(街道)和区级应急救援体系。要整合社会应急救援资源,加强村(居)事故应急救援队伍建设,大力推动以地方力量为主体专群结合的应急救援队伍建设,扩大救援队伍覆盖和服务范围。加强农村和城镇社区安全与社会治安、医疗救护等工作的协调,实现险情预警、社会动员、快速反应、应急处理的整体联动。积极建立村(居)义务消防队伍,各乡镇(街道)要加强对应急救援队伍的指导,充分发挥其应急抢险作用,有条件的乡镇(街道)应配备消防专用车,努力做好应急抢险工作,提高村(居)安全保障的能力。
(六)加强安全规划,推进安全村(居)创建工作
村(居)规划应符合有关安全要求,农村建设规划应当借鉴城镇规划经验,将生产、生活等功能区分开,严禁在重大危险源和易燃易爆场所安全距离内以及在煤矿塌陷区、采石场和水库附近等区域内建设村民居住区和公共聚集场所,严禁违章占压天然气、煤气等危险物品运输管线,不得在村民居住区及其周边建设易燃易爆等危险物品生产、经营和储存场所。对城镇液化气充装站要合理布局、统一充装,城镇建设应当同步建设消防等公共安全基础设施,居民小区、农民住房道路建设应当满足消防车辆通过等安全要求。
四、工作要求
(一)加强组织领导。各乡镇(街道)、各部门要充分认识加强村(居)安全工作的重大意义,切实加强对村(居)安全工作的领导,把村(居)安全工作摆上重要议事日程,纳入社会主义新农村(社区)建设整体规划,列入“平安*”创建活动总体布局,将村(居)安全工作与其它工作同步规划、同步实施、协调推动。
(二)加大支持力度。各乡镇(街道)、各有关部门要切实加大对村(居)的安全投入,设立公共安全隐患整改专项资金,推动安全隐患及时消除。同时,积极拓宽村(居)安全投入渠道,积极引导和鼓励生产经营单位、村办企业进行村(居)安全投入。各村(居)要设立事故预防基金,公布举报电话,鼓励村(居)民和职工举报事故隐患和事故,对举报人进行奖励。同时,各乡镇(街道)对村(居)安全监督员要给予一定的岗位补助。
[关键词]网络安全;校园网;防火墙
前言
东北财经大学经过不断发展、完善的信息化历程,完成校园网络广泛覆盖和带宽升级。同时学校数据服务区运行着包括门户网站、电子邮箱、数字校园、移动办公等重要业务系统,随着各类应用系统的不断上线,逐步构成了一个服务于学校师生的重要综合性校园网络平台。但另一方面,承载学校业务流程的信息系统安全防护与检测的技术手段却仍然相对落后。在当前复杂多变的信息安全形势下,无论是外部黑客入侵、内部恶意使用,还是大多数情况下内部用户无意造成的安全隐患,都给学校的网络安全管理工作带来较大压力。而同时,勒索病毒爆发、信息泄露、上级部门要求、法律法规监管等,都在无形中让学校的信息安全管理压力越来越大。笔者根据《网络安全法》和网络安全等级保护2.0标准的要求,在现有的架构下对东北财经大学校园网络进行了安全加固设计,提升了校园网主动防御、动态防御、整体防控和精准防护的能力。
1现状及问题
在互联网攻击逐渐从网络层转移到应用层的大背景下,学校各类业务系统在开发时难免遗留一些安全漏洞,目前学校安全防护仅在校园网出口部署了网络层面的安全网关设备,传统网络层防火墙在面对层出不穷的应用层安全威胁日渐乏力。黑客利用各种各样的漏洞发动缓冲区溢出,SQL注入、XSS、CSRF等应用层攻击,并获得系统管理员权限,从而进行数据窃取和破坏,对学校核心业务数据的安全造成了严重的威胁。数据的重要性不言而喻,尤其对学校的各类学生信息、一卡通等财务数据信息更是安全防护的重中之重,如有闪失,在损害学校师生利益的同时也造成很大的不良影响和法律追责问题。东北财经大学出口7Gbps带宽,由电信、联通、移动、教育网等多家运营商组成。随着学校的网络规模扩大以及提速降费的背景,互联网出口将会达到15Gbps带宽以上,原有的带宽出口网关弊端显露:具体包括网关性能不足,无法支持大带宽,老旧设备无法胜任大流量的转发工作;IPv6网络不兼容,无法平滑升级,后续无法满足国家政策进行IPv6改造的规划;上网审计和流量控制功能不完善,原有网关未集成上网行为审计功能,未能完全满足网络安全法,保障合规上网;不支持基于应用的流量控制,带宽出口的流量控制效果不佳;对上网行为缺乏有效管理和分析手段,针对学生上网行为没有好的管理手段和分析方法。同时等级保护2.0也对云安全和虚拟化环境下的网络安全问题作了要求。东北财经大学信息化建设起步较早,目前校内数据中心的绝大部分已经实现了虚拟化,主要业务系统均在虚拟机上运行,虚拟化技术极大地提升了硬件资源的利用率和业务的高可用性,但现有的120余台虚拟机的安全隔离和虚拟化环境的东西向流量控制成为安全建设的新问题。为了响应《网络安全法》以及国家新颁发的网络安全等级保护2.0的相关要求,提高东北财经大学数据中心的整体安全防护与检测能力,需要在以下几个方面进行安全建设:(1)构建安全有效的网络边界。主要通过增加学校数据中心的边界隔离防护、入侵防护、Web应用防护、恶意代码检测、网页防篡改等安全防护能力,减少威胁的攻击面和漏洞暴露时间。(2)加强对网络风险识别与威胁检测。针对突破或绕过边界防御的威胁,需要增强内网的持续检测和外部的安全风险监测能力,主要技术手段包括:网络流量威胁检测、僵尸主机检测、安全事件感知、横向攻击检测、终端检测响应、异常行为感知等。(3)形成全网流量与行为可视的能力。优化带宽分配,提升师生上网体验;过滤不良网站和违法言论,保障学生健康上网和安全上网;全面审计所有网络行为,满足《网络安全法》等法律法规要求;在网络行为可视可控的基础之上,需要进一步形成校园网络全局态势可视的能力。
2网络安全加固技术方案
按原有拓扑,将东北财经大学校园网划分为校园网出口区、核心网络区域、数据业务区域、运维管理区域、校园网接入区五个安全区域,并叠加云端的安全服务。各个区域通过核心网络区域的汇聚交换与核心交换机相互连接;校园网出口区域有多条外网线路接入,合计带宽7Gb,为校园网提供互联网及教育网资源访问服务;数据业务区部署2套VMware虚拟化集群和1套超云虚拟化集群,承载了学校门户网站、电子邮件、数字化校园、DNS等各类业务系统;运维管理区域主要负责对整体网络进行统一安全管理和日志收集;校园网接入区教学楼、办公楼、图书馆、宿舍楼等子网,存在大量PC终端供学校师生使用;另外学校的教学楼、办公楼均已实现了无线网络的覆盖。在数据业务区域与核心网络区域边界部署一台万兆高性能下一代防火墙,开启IPS、WAF、僵尸网络检测等安全防护模块,构建数据业务区融合安全边界。通过部署下一代防火墙提供网络层至应用层的访问控制能力,能够实现基于IP地址、源/目的端口、应用/服务、用户、区域/地域、时间等元素进行精细化的访问控制规则设置;提供专业的漏洞攻击检测与防护能力,支持对服务器、口令暴力破解、恶意软件等漏洞攻击防护,同时IPS模块可结合最新威胁情报对高危漏洞进行预警和自动检测;提供专业的Web应用防护能力,针对SQL注入、XSS、系统命令注入等OWASP十大Web安全威胁进行有效防护,同时提供网页防篡改、黑链检测以及恶意扫描防护能力,全面保障Web业务安全;提供内网僵尸主机检测能力,通过双向流量检测和热门威胁特征库结合,实现对木马远控、恶意脚本、勒索病毒、僵尸网络、挖矿病毒等威胁进行有效识别,快速定位感染主机真实IP地址。在校园网出口区部署高性能上网行为管理,对校园网出口流量进行全面管控,上网行为管理设备部署在核心交换机和出口路由器之间,所有流量都通过上网行为管理处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能,设备提供IPv4/IPv6双栈协议兼容,有效满足IPv6建设趋势下网络的平滑改造。为了有效管控和审计,设备选型必须能够全面识别各种应用:(1)支持千万级URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术;(2)拥有强大的应用识别库;(3)识别并过滤HTTP、FTP、mail方式上传下载的文件;(4)深度内容检测:IM聊天、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等;(5)通过P2P智能识别技术,识别出不常见、未来可能出现的P2P行为,进而封堵、流控和审计。通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、应用行为等都能有效实现对上网行为的封堵、流控、审计等管理。同时,也要提供网络流量可视化方案,管理员可以查看出口流量曲线图、当前流量应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量用户排名、应用排名等,并自动形成报表文档,全面掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。同时支持多线路复用和智能选路功能,通过多线路复用及带宽叠加技术,复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术,将网流量自动匹配最佳出口。具备全面的合规审计及管控功能,支持对内网用户的所有上网行为进行审计记录,满足《网络安全法》的要求,能有效防范学生网上不良言论、访问非法网站等高风险行为,规避法律风险。在数据业务区物理服务和3个虚拟化服务器集群上每台虚拟机安装EDR客户端,针对终端维度提供恶意代码防护、安全基线核查、微隔离、攻击检测等安全能力,打通物理服务器、Vmware集群和超云集群,进行统一的主机/虚拟机逻辑安全域划分,同时实现云内流量可视、可控,满足等保2.0云计算扩展项要求。通过部署EDR构建立体可视的端点安全能力,实现全网风险可视,展示全网终端状态分布,显示当前安全事件总览及安全时间分布全网终端安全概览,支持针对主机参照等级保护标准进行安全基线核查,快速发现不合规项。部署于每台VM上的端点agent,能够对云内不同VM、不同业务系统之间的访问关系、访问路径、横向威胁进行检测与响应,EDR与虚拟化底层平台解耦合,解决多虚拟化环境下的兼容性问题,构建动态安全边界。构建多维度漏斗型检测框架,EDR平台内置文件信誉检测引擎、基因特征检测引擎、人工智能检测引擎、行为分析检测引擎、安全云检测引擎,从多维度全面发现各类终端威胁。
3结语
通过该方案,提升了威胁防护、风险应对能力。能够从容应应对勒索病毒、0Day攻击、APT攻击、社会工程学、钓鱼等新型威胁手段。通过全面的安全可视能力,简化运维压力,可以极大降低运维的复杂度,提升安全治理水平,达到了设计要求。
参考文献
[1]李锴淞.对于校园网络建设及网络安全的探讨[J].数字通信世界息,2019(8).
[2]李锴淞,邹鹏.高校校园网合作运营探索[J].网络安全和信息化,2019(9).
[3]臧齐圣.浅谈校园网络安全防控[J].计算机产品与流通,2019(9).
[4]王岩红.高校校园网安全现状及优化探讨[J].网络安全技术与应用,2019(8).
关键词:油田内部;网络建设;安全维护
一、针对油田网络的安全防范
1.1对于网络攻击的检测。这项内容大致是指在网络设置防火墙,当油田企业的网络遭受攻击或者有病毒侵入时,就会在页面上显示警告信息,安全管理人员就能够第一时间得到报警信息,采取有效的办法来应对。在实际的网络攻击防范中,需要设置防火墙的地方多种多样,比如在服务器设备上进行防火墙设置,对服务器的cpu状态、流量变动等参数进行监控管理,这些参数在平时总是稳定在一定的值,虽然也会跟随时间变化,但是还是可以寻找其变化规律的,若是其变化出现异常,那么报警信息就会发出,显示在页面上。但是对于报警信息的监控来说,需要人员不间断地进行观察,这对于人力资源的角度来说不能尽到最大,所以企业要大力开发新的报警方式,比如警示灯、警示音等。当然企业要有一定的自我保护能力,比如在确认遭到攻击后马上启动查杀软件、断开网络连接等。
1.2对于网络资源的管理。在油田企业的网络运行中,每日都需要设计庞大的数据流进出,而这些互数据的安全性无法得到保障,所以油田企业需要建立一个信息提取过滤系统,即能够对进出企业的信息进行提取和过滤,判定事件的安全性与保密性,高危信息需要拒之门外,属于企业内部保密级别的信息不能流出去,这就是这个系统的功能。而对于油田企业的设备操作系统,需要将其控制的设备的各种参数实时提取并进行判断,这样设备在发生事故时工作人员便可通过参数的变化来判断机械出问题的部位。
1.3良好的上网习惯。很多网络安全事故都是因为操作人员安全意识不高,或者上网习惯不正确,胡乱打开不安全网站、下载危险文件包等,所以企业内要推行正确的上网风气,通过建立上网的规章制度来规范工作人员的上网习惯,以此来保证网络安全。
二、一些常见故障的维护
对于企业中网络故障的发生,我们要根据发生事故的规模采取不同的做法,但是大致步骤都是先对操作电脑的人进行询问,使用了那些操作,然后对硬件软件进行检查,深入发掘问题。对于规模较小的安全问题,如单个机子不能上网,这时先不要请工作人员来检查,操作人员可以先对网卡进行检查,查看其安装的方式是否正确。对于网卡的安装正误来说,最常见的检查方式就是Ping本机的地址,通过其是否通过的表现来判断网卡的问题。若是这步操作行不通的话,那么很有可能就是网卡和计算机中的设备有冲突,通过查看设备管理器来查看网卡究竟与那个设备有冲突,也可以换张网卡再试一次。若是硬件没问题,那么借来依次检查双绞线的状态、交换机的端口,这些都有备用的参考资料,可以通过对照来发现问题。对于较大规模的停网现象,也要根据不同情况加以区别。若是网络中断的计算机属于同一系统,即在一个VLAN的控制下运转,那么首先要对连接不同楼层的路由器的配置进行检查。上述是按VLAN来区分维护方式的,而是否属于同一交换机也可以作为一种区分标准。若是不能上网的机子属于同一交换机,而且不能与企业内其他交换机控制的电脑通讯,那么这种情况大多数是交换机死机,重启即可,若是重启解决不了问题,那么有可能使某一电脑自身的网卡故障导致的,逐个检查就好。当某一交换机与多台电脑连接时,因为承受的负载过高,使得交换机无法运行也会出现死机的现象,此外因为过量的运载交换机与上级的网络设备的连接也可能断裂。
作者:丁启宁 单位:河南油田涧河社区
参考文献:
关键词:计算机局域网;网络安全;措施
中图分类号:TP393.08
随着Internet技术和应用的发展,人类与它的关系也越来越密切。在国内,像电子商务、政府上网工程和宽带等这些围绕Internet应用技术的建设正在展开。就在人类享受网络的便利与快捷的时候,面临的安全危机也是前所未有的,尤其现在的网络的环境更是复杂,安全、有效、安全的网络连接已成为信息化必须有的条件。加强建设安全计算机局域网络可以有效改善信息质量,降低信息应用风险,已经成为当前网络建设和管理的关键。
1 计算机局域网安全应用区域及意义
计算机局域网是在一定区域范畴内多个计算机网络集成的系统,该区域的限定较为自由,可以是单独的办公室,还可以是社区、学校等。不同硬件系统构成的计算机局域网,安全质量不相同。在当前的使用过程中,局域网主要应用于企业、学校以及其他一些办公场所,在一些公共场所也有所普及。
局域网拥有资源共享性等优点,企业的局域网在员工进行工作处理时更加便利,更加有利于工作的协调,可以改善员工的工作效率,对企业的发展和人们的正常生活具有至关重要的作用。但是建立在上述基础上的局域网保护力度一般较为低下,保护操作不完善,非常容易出现机密泄露、数据丢失、网络滥用等安全问题,造成用户经济效益受损。
2 局域网安全威胁分析
局域网一般结构简单、数据传输率高、可行性高、投资少,具有非常好的可实施性,应用技术较为简便。但是由于该网络的技术质量较为低下,安全措施不到位等导致使用过程中非常容易受到网络病毒或黑客的攻击,造成网络安全质量降低。常见的安全威胁主要包括:
网络欺骗软件:网络欺骗软件主要是通过局域网的资源共享特点,对数据、机密文件、实时信息等进行篡改和盗取,造成数据的安全性大打折扣。局域网的数据备份操作和数据安全管理不足在一定程度上导致网络欺骗软件造成的安全问题扩大,导致数据丢失现象加剧。
网络IP地址冲突:在网络使用高峰,极易造成网络地址冲突,致使一部分的计算机无法连接网络,十分影响人们的日常工作等。对于IP冲突、ARP攻击和网络洪水等问题在局域网内出现频率十分高,严重影响了正常的网络秩序。局域网这种特殊性容易造成病毒传播快、数据安全性过低,网内的用户相互传播感染,病毒屡杀不尽、数据丢失无法阻止等现象。
服务器互联:服务器是阻止网络互联过程中可能存在的风险问题的关键。但是在当前大多数局域网中并不存在防火墙一类的服务器实施病毒或黑客入侵保护,导致局域网非常容易受到外部的入侵和攻击,造成局域网的风险上升。
保障和意识不深入。一些用户在使用U盘、移动硬盘的过程中不存在安全保护意识,没有及时对数据进行安全检测,导致U盘和移动硬盘中的病毒大面积传播,造成计算机本身数据收到威胁。与此同时,计算机病毒随着区域网的使用,导致病毒的感染局域网,造成局域网瘫痪或运行障碍。
3 建设安全计算机局域网的相关措施
局域网的普及对于企业发展起着关键性作用,加强网络安全意识,实现对内网的集中同步控制,数据信息进行有效备份,不仅可以确保用户的网络安全,还可以促进经济发展,对当前信息网络建设具有非常积极的意义。
3.1 创建独立完全局域网络服务器
我国当前的计算机局域网主要没有针对服务器进行全方位的保护和管理,这在很大程度上降低了计算机局域网的安全质量,方便了病毒、黑客的攻击。因此在对计算机局域网进行建立的过程中要对服务器进行单独创设。,首先要安装防火墙。通过防火墙阻止外部网络进入局域网内部,对外部网络进行访问。防火墙在很大程度上提高了局域网网络安全,可以有效阻止外部网络侵袭,限制外部网络入侵造成的损失。其次,进行入侵检测。通过安全控制软件进行入侵弥补防火墙相对静态防护的缺陷。最后,对计算机安全系统进行防毒内部软件的安装,确保从企业内部进行杀毒的控制,提高网络安全的效果。要在计算机局域网内部进行服务器控制监测,对系统内部的各种病毒库及时进行更新,保证系统的综合使用质量,实现全过程实时监督和管理。要对计算机内部系统中遭受的攻击及时进行中断,通过服务器进行数据外部保护,将存在的攻击及时报告病毒中心,实施全面杀毒,提高计算机局域网安全水平。
3.2 对网络使用者进行培训
网络使用者是网络安全的重要环节,如果可以在这个环节加强安全保障,那么,网络安全隐患将大大减小。所以,对网络的使用者以及网络管理者应该加强网络安全使用培训,加强网络维护,降低网络隐患。相关人员要对局域网使用人员的安全防范意识进行提高,对人员进行计算机局域网络安全教育,确保人员严格依照计算机局域安全网使用方法进行操作,降低局域网中可能出现的感染、攻击、损坏等现象。要对管理人员的管理责任进行明确,对对网络使用人员的管理力度进行强化,加强管理控制质量,从而实现计算机局域网网络的安全。对用户进行知识网络系统培训,进行培训实践。通过对用户进行培训,确保用户对网络上的信息学会筛选,正确运用网络,发挥网络自身优势,增强用户的防范意识以及应对网络安全风险的能力。
3.3 实施数据备份管理
当计算机系统受到攻击后非常容易对信息、数据等进行窃取,导致局域网形成损坏。因此在进行计算机局域网系统管理的过程中,相关人员要对计算机系统漏洞、网络等进行全面控制,降低不安全因素对计算机的攻击,减少数据的损失。相关人员要对计算机局域网数据进行实时备份,对备份制度进行建立和管理,保证文件、信息的安全效果。进行数据备份主要是进行主机硬盘和列阵的数据复制,确保数据贮存在存储介质中,保障局域网的安全性。将数据转移到硬质介质中,防止出现误删、病毒攻击等状况,提高局域网的可靠性。除此之外,计算机局域网数据备份还包括对系统补丁、磁盘加密等的处理,通过对计算机补丁的监控安装,降低可能出现的安全问题。要对磁盘进行定期查毒,对磁盘备份文件进行定期整理,删除冗余注册表等,实现系统安全优化。
3.4 局域网加密处理
计算机局域网加密处理技术主要包括不可逆加密技术、对称加密技术、不对称加密技术三种。通过对上述技术进行合理利用,可以在很大程度上改善局域网的保护效果,降低局域网络可能出现的文件、信息、数据泄露、篡改等情况,对计算机局域网具有至关重要的作用。加密技术进行落实时主要是通过不同的算法形成,通过常规密码算法或公钥密码算法,对信息数据进行统一处理,实现加密操作。常规密码算法指在进行加密的过程中对双方密码进行处理,保证加密密码和解密密码的完整性和统一性,确保接收体系能够有效实现信息传递,保证信息传递的安全性。公钥密码主要指在进行加密处理的过程中传递信息与接收信息部分使用的密码不同,这种方法可以有效提高局域网络的开放性,在很大程度上简化了加密操作,降低了管理难度。
4 总结
计算机局域网的安全建设是实现局域网安全运行的关键,是实现信息化网络安全建设的基础。在进行计算机局域网建设的过程中,管理机构要创建独立完全局域网络服务器、对网络使用者进行培训、实施数据备份管理和局域网加密处理,降低局域网可能存在的风险和隐患,确保局域网处于安全的环境中。
参考文献:
[1]苏佳,郝岩君,刘文瑾.浅谈计算机局域网网络的安全建设[J].计算机光盘软件与应用,2010,7(13):16-17.
[2]沈宇.计算机局域网网络安全建设的探讨[J].科技传播,2012,3(24):78-79.
[3]许晓聪.计算机局域网网络的安全防护策略[J].计算机光盘软件与应用,2011,4(10):24-25.
关键词:计算机 网络安全 网络建设 安全技术
中图分类号:TN711 文献标识码:A 文章编号:
随着计算机网络的不断发展,信息全球化已成为人类发展的现实。但由于计算机网络具有多样性、开放性、互连性等特点,致使网络易受攻击。具体的攻击是多方面的,有来自黑客的攻击,也有其他诸如计算机病毒等形式的攻击。因此,网络的安全措施就显得尤为重要,只有针对各种不同的威胁或攻击采取必要的措施,才能确保网络信息的保密性、安全性和可靠性。
1威胁计算机网络安全的因素
计算机网络安全所面临的威胁是多方面的,一般认为,目前网络存在的威胁主要表现在:
1.1非授权访问
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
1.2信息泄漏或丢失
指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括:信息在传输中丢失或泄漏(如"黑客"利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、账号等重要信息)、信息在存储介质中丢失或泄漏、通过建立隐蔽隧道等窃取敏感信息等。 1.3破坏数据完整性
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。
1.4拒绝服务攻击
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
1.5利用网络传播病毒
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
2网络安全建设方法与技术
网络具有访问方式多样、用户群庞大、网络行为突发性较高的特点。网络安全问题要从网络规划阶段制定各种策略,并在实际运行中加强管理。为保障网络系统的正常运行和网络信息的安全,需要从多个方面采取对策。攻击随时可能发生,系统随时可能被攻破,对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。
2.1计算机病毒防治
大多数计算机都装有杀毒软件,如果该软件被及时更新并正确维护,它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时,对于病毒库中已知的病毒或可疑程序、可疑代码,杀毒软件可以及时地发现,并向系统发出警报,准确地查找出病毒的来源。大多数病毒能够被清除或隔离。再有,对于不明来历的软件、程序及陌生邮件,不要轻易打开或执行。感染病毒后要及时修补系统漏洞,并进行病毒检测和清除。 2.2防火墙技术
防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合,能在内部网络与外部网络之间构造起一个"保护层",网络内外的所有通信都必须经过此保护层进行检查与连接,只有授权允许的通信才能获准通过保护层。防火墙可以阻止外界对内部网络资源的非法访问,也可以控制内部对外部特殊站点的访问,提供监视Internet安全和预警的方便端点。当然,防火墙并不是万能的,即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。根据需要合理的配置防火墙,尽量少开端口,采用过滤严格的WEB程序以及加密的HTTP协议,管理好内部网络用户,经常升级,这样可以更好地利用防火墙保护网络的安全。
2.3入侵检测
攻击者进行网络攻击和入侵的原因,在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置,比如操作系统、网络服务、TCP/IP协议、应用程序、网络设备等几个方面。如果网络系统缺少预警防护机制,那么即使攻击者已经侵入到内部网络,侵入到关键的主机,并从事非法的操作,我们的网管人员也很难察觉到。这样,攻击者就有足够的时间来做他们想做的任何事情。
基于网络的IDS,即入侵检测系统,可以提供全天候的网络监控,帮助网络系统快速发现网络攻击事件,提高信息安全基础结构的完整性。IDS可以分析网络中的分组数据流,当检测到未经授权的活动时,IDS可以向管理控制台发送警告,其中含有详细的活动信息,还可以要求其他系统(例如路由器)中断未经授权的进程。IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。
2.4安全漏洞扫描技术
安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点,让网络管理人员能在入侵者发现安全漏洞之前,找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描,网络漏洞扫描,以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新,操作系统的漏洞随时都在,只有及时更新才能完全的扫描出系统的漏洞,阻止黑客的入侵。
2.5数据加密技术
数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。
2.6安全隔离技术
面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念"安全隔离技术"应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。
2.7黑客诱骗技术
黑客诱骗技术是近期发展起来的一种网络安全技术,通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统,其最重要的功能是特殊设置的对于系统中所有操作的监视和记录,网络安全专家通过精心的伪装使得黑客在进入到目标系统后,仍不知晓自己所有的行为已处于系统的监视之中。为了吸引黑客,网络安全专家通常还在蜜罐系统上故意留下一些安全后门来吸引黑客上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假信息。这样,当黑客正为攻入目标系统而沾沾自喜的时候,他在目标系统中的所有行为,包括输入的字符、执行的操作都已经为蜜罐系统所记录。有些蜜罐系统甚至可以对黑客网上聊天的内容进行记录。蜜罐系统管理人员通过研究和分析这些记录,可以知道黑客采用的攻击工具、攻击手段、攻击目的和攻击水平,通过分析黑客的网上聊天内容还可以获得黑客的活动范围以及下一步的攻击目标,根据这些信息,管理人员可以提前对系统进行保护。同时在蜜罐系统中记录下的信息还可以作为对黑客进行的证据。
关键词:ISP企业;网络安全
1概况
随着互联网呈几何倍数的发展,我们的生活越来越依赖互联网,吃穿住行几乎都可以用网络来搞定。但是从网络诞生那一刻起,就出现了其中不安定的因素,我们对网络越依赖,一旦网络安全出现问题,造成的损失也就会越大,作为一家运营商公司,更迫切的需要维护好自己的网络安全。
2现状和分析
2.1目标公司发展现状
某国有ISP企业省份公司,拥有用户各类20万左右,因为规模不大,所以在过去几年,一直把发展用户扩大市场放在首要位置,而忽视了网络信息安全方面的建设。这是一方面当时的情势所迫造成的。随着用户的发展和企业壮大,如今,省内ISP网络构架属于从核心层出口节点开始,到下层的核心汇聚层交换机链接到底层BRAS设备,都是做的双冗余保护,在网络结构上,属于合理的布局。并且设立了多个核心的IDC机房和设备机房,存放各类资源服务器为网内的用户提供服务和各网络专业核心的设备。
2.2暴露出来的问题
随着用户的增加,越来越多的信息网络安全问题会开始暴露,比如会有非法的流量开始试探底层设备的端口,并且可以看到某些设备会出现异常的IP地址尝试登入,或者底层设备的链路利用率突发暴涨,虽然这些问题都被及时发现并处理了。但是并不是说这样处理掉一两起的安全问题事情就结束了,从中暴露出网络安全问题其实是很严重的。
(1)手段单一,只有依靠简单的防火墙,或者是依靠核心设备本身的访问控制列表对数据包进行筛选,缺乏更多有效的系统手段帮助人们进行监控保护网络,一直长期下去的话面对一些网络层以上的疑难问题也就只能束手无策。
(2)各部门对信息的安全性重视不够,对信息保密的重视层度不够,也没有接受过相关的社会工程学方面的培训,安全意识淡薄。
(3)缺乏专业性的技术团队和思路,完全是在闭门造车。到现在处理问题的思路在技术层次还是停留在路由和交换级别的。现在只能把每个事件单独当作一个单独事件来处理,很难避免下次不会发生重复的问题。
(4)从整个网络的构架开始搭建起来,就没有把网络安全放在重要的位置,刚开始BRAS设备是有了双向冗余就开始上线,本应该考虑更多的迂回保护措施都是后期的时候慢慢弥补上去的。物理上的冗余保护如此,网络的安全保护也一直是没有跟上网络拓扑的扩展。
3网络安全的建设
3.1从认识思想上进行转变
要建设公司的电信级网络安全架构,需要公司从上到下有一个认识,就是对安全危机的认同感,网络的安全投入的确是烧钱,并且它后期还会需要不断的成本投入。期待它能马上给你利润回报,那是不可能的。但是看看合作企业竞争对手,无一不是对安全问题异常的重视。同时要做好网络安全,我们还要开始学,向服务商学习,向设备商学习。一步步踏实做下去。
3.2改变公司组织结构
安全部门并不同于一般的网撑中心,数据中心,它需要专注地负责网络防御检测和处理各类的网络安全问题,因此如果将这样一个安全部门挂靠在网络支撑下面是不合适的,从专业来看,网络安全防御,社工防御,欺骗渗透防御都是它的职责。而且将来的网络布局,都会需要他们提供安全方面的意见,所以这必须是一个独立的部门,来区别于网络建设部和网络支撑中心。
3.3建立网络安全制度
在公司内部建立网络安全规范的制度,强制性地规定员工登入设备的权限和密码设置原则,要求登入口令的密码长度和复杂成分,区分开每个人的职责范围,个人的权限只能存在几台服务器上,避免被人利用同样的账号密码登入所有的设备。并且要求定期更换密码。设置强硬的核心机房准入制度来防止设备遭受最直接的物理攻击。对于敏感重要的数据,要定期做异地备份。
3.4建立可靠的安全网络
要建立行之有效的安全网络体系架构,建议对整个网络进行统一的部署,构建网络安全架构的安全设备类型通常有:
防火墙:firewall,可以根据IP地址或服务端口过滤数据包,可以通过制定过滤规则来限制。
流量分析系统:它主要针对网内的流量流向镜像进行监控、分析、不仅可以提供用户的使用偏好分析,更多的可以监控网内的流量过去和现在的数据是否异常。
流量采集分析清洗设备:也叫ADS,它可以针对于网内的异常流量进行筛选和清洗。特别是对于现在的DDOS攻击有很好的效果。
Web应用防护系统:也称WAF。WEB应用防御产品,针对应用层的攻击做出反应。是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
入侵防御检测设备:也称IPS,这是对防火墙和杀毒软件的一个补充。可以有效发现阻止4到5层的异常流量,其中还有的入侵预防系统,通过正常数据以及数据之间关系的通常的样子,可以对照识别异常。
审计系统:针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
值得一提的是随着安全技术的演进,今后的防火墙将会兼容ADS之类的流量监视和清洗功能,是否还能将WAF和IPS设备的功能融合进来尚不得而知,但是展望安全网络的科技树发展的方向,这必然是未来安全行业的发展一段趋势。考虑到设备的使用安全性,集众家所长的安全设备固然能够减少了接入的层次,降低了生产成本。
关于安全网络的组网,还是要严格按照双机备份的原则,特别是涉及到防火墙,必须做到双机冗余的原则,保证一台设备宕机的情况下,另一台能正常工作,并且不影响到网络流量的正常转发。建议还是听从专业厂家或者服务商提供的方案进行部署。
关于DMZ区域和IDC的网络安全构架建设:DMZ即缓冲区,也是我们部署web服务器,DNS系统,3A系统,ftp服务器的区域,建议统一进行规划。减少网络的复杂性,便于管理。包括IDC服务器组,如果条件允许。也应该统一纳入网络中。
3.5建设前后的测试
有人说过一个最大的错误是假定安全设备本身是安全的。所以合理的部署和计划是十分必要的而且重要的。开始建设前,一方面应该进行足够的压力测试,从设备的本身是否安全开始到演示当设备在网的时候出现的各种情况,来判断方案是否可行,这是个漫长而枯燥的过程,但却是十分必要,没有人愿意在完成建设后重新赶工修改自己的网络部署,另外一方面必须和厂家、集成商、服务商沟通好,要求其能够提供足够的应急预案来保障安全的运行。工程完成以后就应该开始进行各种的测试,测试设备能否正常工作发挥作用,已经能否顺利的升级,及时更新补丁等等。如果有条件,还应该定期执行漏扫和进行渗透测试。
关键词:校园网;网络搭建;网络安全;设计。
以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。
一、基本网络的搭建。
由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:
1.网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。
2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
二、网络安全设计。
1.物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.网络共享资源和数据信息安全设计针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
3.计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。
第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
1.1网络病毒的危害
对于计算机的网络病毒来讲,其每一天都在不断的进行变化,类别多种多样,传播的范围相对较广,传播的速率较快,破坏性相对较强。大多数网络病毒都是利用电子邮件或者网页共享等形式传播的。其作为一项攻击性较强的程序,能够长时间的隐藏在网络软件系统中,也能够快速的攻击计算机网络,令其处于瘫痪,通过软件系统的程序运转及数据共享实施传播。其不仅能够对计算机的网速造成影响,同时还会损坏计算机内的重要资源与程序,严重的甚至使计算机的硬件设备出现损坏。
1.2非法侵入的危害
对于非法侵入来讲,其存在很多形式,对信息的高效性及完成性造成选择性的损坏,从而使部分数据丢失或外泄,非法占有系统资源。非法侵入能够在不危害网络的前提下截取重要的信息、数据,也能够使服务系统崩溃。较为著名的“蠕虫病毒”就是非法侵入的一种。
2维护计算机网络安全的具体措施
2.1对计算机的网络进行安全维护
想要保证计算机网络环境的安全,可以从以下几方面入手:其一,实行密码的方法。当用户通过网络互相通信器件,最主要的威胁就在于信息的窃取。而利用一些复杂的密码,并且每隔一段时间进行更换的方法就能够高效的预防信息窃取的情况出现;其二,实行防火墙的方法。将计算机内部的防火墙打开,能够良好的预防来自互联网的攻击。对于防火墙来激昂,其能够在计算机同外部网络环境之间建立一层防护。一般防火墙有个人计算机防火墙及硬件防火墙两种类别;其三,定期对计算机及网络系统的情况进行检查。通过这种方法能够及时发现系统故障,从而减少危害。同时,需要对计算机网络的设备及主服务器进行细致检查,如遇问题,尽快修复,从而确保计算机始终处在最佳的运行状态下。
2.2预防病毒入侵
因为病毒侵染造成计算机不能顺利工作的情况经常出现,一般计算机在感染病毒以后会发生蓝屏、死机、无法启动等情况。当计算机应用一定时间以后,系统速率会变慢,甚至发生数据丢失的问题。现今,网络是传递病毒的重要途径,想要保证计算机可以正常应用,高效预防病毒入侵,就需要从以下几方面入手进行预防:其一,为计算机加装正版的杀毒软件,例如:瑞星、360等,同时确保杀毒软件始终处在自动更新的情况,每个一段时间需要对软件的杀毒及更新情况进行检查;其二,在下载并安装一些软件前需要慎重,安装前先通过杀毒软件进行检查,然后才能够进行安装操作。部分压缩包得软件能够自行安装,所以,不可以随意打开,而需要先将其解压,杀毒后方可进行安装;其三,每个一段时间需要对计算机实施全面、整体的杀毒操作,同时经常关注新闻,了解是否存在新型的病毒;其四,每隔一段时间下载同时安装系统的安全补丁。现今,大多数软件公司都会及时的其产品的补丁。如果程序存在漏洞,很容易让人有可乘之机,通过定期检查并安装补丁能够保证计算机安全工作。
2.3保证数据信息的安全
在计算机内,有很多重要的数据信息,如果丢失,很容易造成个人或集体的利益受到伤害,所以,需要保证数据信息的安全。对数据信息进行加密处理能够高效增强计算机及数据的安全性与保密性,并且预防出现外部损坏及丢失等情况。利用各种加密的方法确保数据各个过程处在安全状态,就算被他人获取,也无法进行识别。尽管数据加密的方法较为被动,然而其安全性能相对较高,是不可缺少的网络安全维护措施之一。
3总结
目前双向网在5~1000MHz的范围内可划分为:上行频段:5~65MHz;过度频段:65~87MHz;FM频段:87~108MHz;下行频段:108~1000MHz。③数字电视。数字电视一种将节目的全部过程利用数字处理信号的方式来运行或利用二进制数字串所形成的数字流传播的电视。基于DVB技术标准的广播式和“交互式”的数字电视。是采用了先进客户管理技术,可以为客户才来更多好节目,提高了画面的清晰度和质量。它还可以订购各种业务,如互动电视、高清晰度电视、标准清晰度电视、BSV液晶拼接等业务。与传统电视相比,数字电视音质更好、节目数量更多、画面更清晰亮丽。
2现阶段数字电视双向网络存在的安全问题
在双向网络出现之前,数字电视一直使用的是单向网络。由于单向网络与网络连接少,收费低,可获取的利益少,所以单向网络安全问题多数集中在授权的安全,不要出现盗版,不要出现黑户问题上。而数字电视双向网络业务更多、用户的增值项目也多,使得他人可利用数字电视双向网络赚取大笔利润,由此将引起大量的黑客对数字电视双向网络的关注。数字电视双向网络不像数字电视单向网络保守,其安全问题不仅仅像数字电视单向网络那样只出现在终端而是前段终端都可能出现。还要考虑终端对前端的影响和恶意攻击,这使得数字电视单向网络的安全建设单独大大加大。
3数字电视双向网络的安全建设的建议
3.1建立一个开放性、标准性,能够取得第三方认证的系统结构
推荐使用两种技术,一个是公约基础设施(PublicKeyInfrastructure,PKI)技术。另一个是安全套接层(SeeureSocketLayer,SSL)技术。①公约基础设施(PublicKeyInfrastructure,PKI)技术。所谓公约基础设施(PublicKeyInfrastructure,PKI)技术其实就是一个用公钥概念、技术实施和提供安全服务的具有普适性的安全基础设施。公约基础设施(PublicKeyInfrastructure,PKI)技术是一种新的安全技术,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。公约基础设施(PublicKeyInfrastructure,PKI)技术是利用公钥技术实现电子商务安全的一种体系,是一种基础设施,网络通讯、网上交易是利用它来保证安全的。公约基础设施(PublicKeyInfrastructure,PKI)技术是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用公约基础设施(PublicKeyInfrastructure,PKI)技术框架管理密钥和证书可以建立一个安全的网络环境。公约基础设施(PublicKeyInfrastructure,PKI)技术包括四个主要部分:X.509格式的证书(X.509V3)和证书废止列表CRL(X.509V2);CA操作协议;CA管理协议;CA政策制定。②安全套接层(SeeureSocketLayer,SSL)技术。SSL(SecureSocketLayer)安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL(SecureSocketLayer)安全套接层应用广泛,各种网络都可以使用它,不仅如此,还提供了三中安全服务。SSL(SecureSocketLayer)安全套接层是一种利用TCP的可靠的端到端的安全服务,而且他还是一个二层协议,底层是SSL记录层,此层是用来封装各种上层协议。还有一层是SSL的握手协议,它的作用是在服务器和客户机之间传送数据之前协商加密算法和加密密钥,服务器将通过客户及提出的加密算法来选择最适合的算法。还有三个更高层的协议,分别为SSL的一部分:握手协议、修改密文规约协议和告警协议。有这两项技术作为基础的数字电视双向网络安全系统,既能获取第三方的认证,还能增加安全性。
3.2网络内容安全
网络是把双刃剑。现在网络充斥着各种不良信息,还有一些不法分子制造网络病毒损害电脑,盗取别人的个人信息和重要数据以此来谋取利益。当然随着网购的兴起,更有不法分子通过网络盗取和骗取钱财。由此,数字电视双向网络应该有一个安全的环境,保护用户的个人信息和钱财,还要防止病毒的侵入。我建议利用消息鉴别码(MessageAuthenticationCode,MAC),消息鉴别码(MessageAuthenticationCode,MAC)可以鉴别信息的来源是否合法还可以保证信息的完整性。消息鉴别码(MessageAuthenticationCode,MAC)有一个认证标识是用公开函数和密钥然后产生一个长度一定的值,消息鉴别码用这个标识来判断信息的完整性。利用一个密钥生成一个大小一定的数据块(MAC),将其与信息一起传送,接收方利用发送方共享的密钥进行鉴别认证等.消息鉴别码(MessageAuthenticationCode,MAC)仅仅认证消息MAC的完整性(不会被篡改)和可靠性(不会是虚假的消息或伪造的消息),但不负责数据MAC是否被安全传输。之所以要放弃信息的保密性(使用公钥加密私钥签名的对称密码协议可以很好的保证信息MAC的保密性、完整性和可靠性),是因为在某些场合(政府部门公告、网络管理通知等)并不需要对信息进行加密;或者是有些场合(例如广播信息等)需要长时间传输大量信息。由于MAC函数是单向函数,因此对明文M进行摘要计算的时间远比使用对称算法或公开密钥算法对明文加密的时间要小。
3.3保证用户信息的安全
在进行业务费用支付的时候,会要求用户输入个人资料和密码等。保护用户的资料和密码就成为结构系统需要注意的事项。虚拟键盘技术大可解决此问题。有了虚拟键盘技术,机顶盒会出现一个键盘,键盘上的数字都是随机排列的,这样就算不法分子偷到了遥控器的红外数据,得到的也仅仅是上下左右,而不是用户密码,从而保证了信息输入的安全。
4结语
