时间:2023-10-10 10:38:58
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇简述信息安全的特征范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:网络信息安全;网络信息安全技术;网络攻击;计算机病毒
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)07-0048-03
1网络信息安全概念的含义
1.1网络信息安全定义
不同的用户对网络信息安全的定义有所不同,作为普通用户,我们希望自己的个人信息不被窃取;在国家层面上,信息安全就是杜绝一切需要保密的信息外泄。
1.2网络信息安全模型
根据TCP/IP协议,网络安全体系应保证物理层的比特流传输的安全;保证介质的访问和链路传输的安全的链路安全;保证被授权客户使用服务的网络层安全;保证客户资料和操作系统访问控制安全的会话层安全;利用多种技术增强计算机应用软件安全的应用平台安全和为用户服务的应用系统安全。如图所示:
1.3网络信息安全的脆弱性
网络信息安全的脆弱性如下:
1)由于程序员设计程序时考虑不全面或者故意设置的后门;
2)厂家设置参数时由于疏忽大意而产生的错误设置;
3)TCP/IP协议为了注重开放性而产生的不可避免的安全缺陷;
4)用户在使用过程中,由于疏忽而导致数据输入错误而产生的安全缺陷;
5)由于意外而出现的运行错误;
6)Internet自身的安全缺陷。
2网络信息安全的主要技术
2.1防火墙技术
简单实用、不需要修改原有的网络应用系统下能达到一定安全要求的防火墙是网络安全的主要技术之一,它既能过滤流出的IP包,同时也能屏蔽外部危险的IP,从而保护内部的网络。
防火墙最大的特点是可以过滤所有由外到内和由内到外的数据,只有符合要求的数据包才能被防火墙放行,不符合的数据包都被防火墙屏蔽,并且防火墙自身具有防侵入的功能。但需要说明的,防火墙的安装的前提是公司或者企业对于内外网络连接中需要数据保护功能,而对于公司或者企业内网则需要用其他方式来实现,因为防火墙由于需要^滤内外数据,而使网络信息传输速度变慢。
对于用户来说,常使用非常方便和实用的防止电脑中的信息被侵袭的个人防火墙技术,个人防火墙能有效的监控及管理系统,防止病毒、流氓软件等通过Internet进入自己的电脑或者自己电脑中的信息在无意中向外扩散。
2.2数据加密技术
在信息时代,信息既能帮助大家,也能威胁大家,甚至造成破坏,比如存在竞争的公司和企业间,信息的泄露造成的损失会很大,所以就需要一种强有力的技术对数据进行保护,防止信息数据被盗或者被篡改,而且对数据进行加密或者解密的操作比较简单,便于掌握。
数据加密技术通过加密和解密的操作限制除合法使用者以外的人获取信息数据,对信息进行保护。利用一个密匙进行加密和解密的对称加密技术和利用配对的“公匙”和“私匙”进行加密和解密的非对称加密技术是目前最常用的加密技术。
2.3访问控制技术
我们知道,在网络中,登录时通常是中身份验证的方法,但是,进入网络后用户能做什么?权限有哪些?这些是访问控制技术需要解决的问题。
访问控制技术既能阻止无权限的用户访问资源,对资源进行保护;也能设置机制允许被授权者访问限定资源。作为信息安全保障机制核心内容的访问控制能有效的对资源进行保护,它是信息安全保护中最基础的机制也是最重要的安全机制。
现在,常用的访问控制技术有;
(1)DAC
(2)MAC
(3)RBAC
2.4虚拟专用网技术
目前,既是最新也是最成功的解决信息安全的技术之一就是虚拟专用网技术,这种技术在数据传输中进行加密和认证,使用起来成本既低于传统的专线方式又安全性较高。虚拟专用网应用范围很广,我们通常在家里用的拨号上网以及在办公室办公时用的内网都属于虚拟专用网,由于VPN比较复杂,安全性增强,通过加密和认证使VPN有效保护了信息资源。
2.5安全隔离技术
我们知道,由于计算机技术的不断发展、创新,现在新型的网络攻击应运而生,这就需要开发高安全性的防新型网络攻击的技术,而安全隔离技术是把危险的信息资源隔离在外面同时保证内网的安全。
2.6身份认证技术
在我们登录QQ、微信、百度文库、淘宝及需要注册成会员的页面都需要用户名和密码,只有输入正确的用户名和密码,我们才能进入页面,有的地方或者页面需要语音、虹膜等生物特征认证才能进入等,这种需要认证才能进入的技术就是身份认证技术,它的本质是通过只有被认证方自己知道的信息来使认证方认证被认证方的身份。
身份认证技术有两种:密码认证和生物特征认证。密码认证方式主要是通过用户名和密码来实现的,认证方发放给有权限的用户口令,用户输入用户名和密码后,认证方通过后台核对被认证方的口令是否正确,如果正确,用户就可以进入登录页面使用某些功能。认证方式方便可行,但是它的安全性主要取决于用户设置的密码的长度、复杂度和用户对密码的保密程度,这就容易遭到猜测软件的攻击,只要攻击方获取了用户的密码,用户的信息和资源就泄露了,最好的解决方法就是用户将自己的口令加密。生物特征认证相对于密码认证要安全的多,它是计算机利用人生理和行为特征上的唯一性进行身份认证,就像现在很多企业和公司进行考勤形式一般都是采用指纹、虹膜、视网膜等进行电子考勤。有一些单位在保密权限上录入声音、步态等特征进行身份识别,这种利用人生理和行为特征的唯一性进行考勤的优点是不会产生遗忘密码的情况并且防伪性很高,安全性很高。
3常见的网络攻击方法以及防范策略
3.1网络攻击概念简述
我们知道程序员在书写程序时由于疏忽或者处于某种原因自留后门,这些都会产生漏洞,网络攻击者就通过这些漏洞进行网络攻击。那么,哪些属于网络攻击呢?众所周知,Internet是开放性的网络环境,网络攻击者通常通过漏洞进入用户的计算机中盗取用户的个人信息、银行密码、用户进入系统的权限或者破坏数据等造成系统不能正常发挥功能;互联网在传输信息数据时依据的是TCP/IP协议,而这些协议在数据信息传输过程中保护功能不足,容易遭到入侵者攻击;我们的电子邮件信息不如传统的信件那样有邮票、邮戳、信封等保护措施,我们有时无法判断我们邮件是否真实、是否存在被篡改、是否误投、是否伪造等,这就使我们在传输重要邮件时容易别攻击,产生泄密事件,并且,一些计算机病毒也通常通过邮件传播,使我们的电脑遭到攻击,丢失重要信息数据。
攻击者常常通过隐藏自己的IP信息来寻找要攻击的主机并设法获取账号和密码,进入主机后获取控制权盗取用户的个人资料和网络资源以及特权,达到自己的攻击目的。
3.2网络攻击常用方法及预防策略
1)利用型攻击:主要是攻击者企图进入你的计算机并对你的计算机进行控制。这种攻击类型的防御侧策略如下:
(a)设置多种符号组成的比较复杂的口令用来阻止攻击者进行口令猜测,同时,如果你的服务有锁定功能,要进行锁定。
(b)一旦发现程序可疑,一定不要下载、不要执行并安装木马防火墙进行隔离木马。
(c)要定时更新系统,防止缓冲区溢出。
2)信息收集型攻击:主要是攻击者为了进一步攻击而进行收集信息的攻击行为,它主要包括扫描技术、利用信息资源服务以及系统体系架构进行刺探三种攻击方式。对于这三种行为的防御策略分别如下:
(a)对于扫描技术的防御主要是通过防火墙技术阻隔扫描企图和过滤Icmp应答。
(b)对于利用信息服务的防御主要是通过防火墙过滤请求或者过滤掉地址并阻断刺探内部信息的LDAP并做相应的记录。
(c)对于体系结构探测的防御是去掉或修改计算机运行过程中出现的各种banner,对用于识别的端口进行阻断从而达到扰乱攻击者的攻击计划。
3)假消息攻击:主要是攻击者利用不正确的信息实施的攻击方法,它通常有两种攻击方式,分别是通过DNS服务器进行攻击和利用伪造邮件进行攻击。针对这两种攻击方法采取的策略分别如下:
(a)对于DNS服务器进行攻击的防御策略是利用防火墙过滤入站的DNS更新,阻断DNS污染。
(b)对于伪造邮件进行攻击的防御策略是使用安全工具和电子邮件证书进行隔离带木马病毒的电子邮件,并且对于不认识的垃圾电子邮件一概不点开,从而防止木马病毒的入侵。
4)网页攻击:在我们浏览网页时会被网页内嵌套的代码程序强行改变我们的默认网页并修改我们的注册表等信息,破坏计算机中的数据信息甚至格式化我们的电脑硬盘。它通常有两种攻击方式,分别是以破坏系统为目的的攻击windows系统和强行修改我们的IE浏览器。下面对我们使用计算机过程中常出现的网页攻击方式及应对策略进行分析:
(a)强行修改我们的默认首页
对应策略:由于修改默认网页需要修改注册表,我们只要把我们的注册表修改过来就可以了。
(b)格式化硬盘
对应策略;这是一种很恶意的网页攻击,一般操作在后台,我们很难发现,这就要求我们要及时升级微软的安全补丁来及时修补系统的漏洞,阻隔攻击者的攻击。
(c)网页炸弹
应对策略;网页炸弹其实就是一个死循环,我们平时在浏览网站时,一定不要轻易进入不了解的网站和不要轻易打开陌生人发来的邮件附件。
(d)文件被非法读取
此攻击通过代码调用脚本来读取文件或者利用Ⅲ漏洞非法读取本地文件。
应对策略:通过提高我们浏览器的安全级别和禁用JavascriP来阻隔攻击者的攻击。
3.3计算机病毒
为了便于大家自己的电脑是否中病毒,下面把电脑中病毒的主要症状描述如下:
1)电脑的运行速度明显变慢。
2)电脑的存储容量突然变小。
3)开机明显变得特别慢。
4)电脑中的文件大小突然变大。
5)电脑经常无缘无故的死机。
6)电脑的屏幕异常显示。
7)键盘输入时出现异常。
8)文件突然不能读取并复制不了、打开不了。
9)文件的日期等属性突然发生改变了。
10)电脑的时间显示时倒转运行。
11)不断要求用户重复输入密码。
12)运行过程中系统突然重启。
当我们发现电脑中病毒了,我们应采取什么措施进行清理病毒呢?首先,我们要养成安装可靠杀毒软件并定时更新的习惯。其次,我们要定时清理我们的电脑,清除碎片。再次,我们要养成健康的用电脑方式和方法,尽量少双击鼠标,多用鼠标点击右键打开文件。
3.4网络攻击的应对策略
1)曾强服务器防毒能力,安装可靠的防毒、杀毒软件并及时更新,定时扫描电脑清除病毒。
2)做好电脑备份和恢复。
【关键词】网络安全;威胁;技术策略
1、引言
网络安全与我国的经济安全、社会安全和国家安全紧密相连。涉及到个人利益、企业生存、金融风险防范、社会稳定和国家安全诸方面,是信息化进程中具有重大战略意义的问题。目前网络安全的现状令人担忧,从技术到管理都处于落后、被动局面。必须全方位解析网络的脆弱性和威胁,才能构建网络的安全措施,确保网络安全。
2、网络安全的威胁
2.1内部窃密和破坏,内部人员可能对网络系统形成下列威胁:内部人员有意或无意泄密、更改记录信息;内部非授权人员有意无意偷窃机密信息、更改网络配置和记录信息;内部人员破坏网络系统。
2.2非法访问,非法访问指的是未经授权使用网络资源或以未授权的方式使用网络资源,它包括:非法用户如黑客进入网络或系统,进行违法操作;合法用户以未授权的方式进行操作。
2.3破坏信息的完整性,攻击可能从三个方面破坏信息的完整性:篡改,改变信息流的次序、时序,更改信息的内容、形式;删除,删除某个消息或消息的某些部分;插入,在消息中插入一些信息,让收方读不懂或接收错误的信息。
2.4冒充,攻击者可能进行下列冒充:冒充领导命令、调阅文件;冒充主机欺骗合法主机及合法用户;冒充网络控制程序套取或修改使用权限、口令、密钥等信息,越权使用网络设备和资源;接管合法用户,欺骗系统,:与用合法用户的资源。
2.5破坏系统的可用性,攻击者可能从一「列几个方面破坏网络系统的可用性:使合法用户不能正常访问网络资源;使有严格时间要求的服务不能及时得到响应;摧毁系统。
3、网络安全的技术对策
3.1防火墙技术
防火墙技术和数据加密传输技术将继续沿用并发展,多方位的扫描监控、对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全,五者综合应用。在产品及功能上,将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议,建立专用网(VPN);推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。
3.2生物识别技术
随着21世纪的来临,一种更加便捷、先进的信息安全技术将全球带进了电子商务时代,它就是集光学、传感技术、超声波扫描和计算机技术于一身的第三代身份验证技术生物识别技术。
生物识别技术是依靠人体的身体特征来进行身份验证的一种解决方案,由于人体特征具有不可复制的特性,这一技术的安全系数较传统意义上的身份验证机制有很大的提高。人体的生物特征包括指纹、声音、面孔、视网膜、掌纹、骨架等,而其中指纹凭借其无可比拟的唯一性、稳定性、再生性倍受关注。
3.3加密
加密是所有信息保护技术措施中最古老、最基本的一种。加密的主要目的是防止信息的非授权泄漏。加密方法多种多样,在信息网络中一般是利用信息变换规则把可懂的信息变成不可懂的信息。即可对传输信息加密,也可对存储信息加密,把计算机数据变成一堆乱七八糟的数据,攻击者即使得到经过加密的信息,也不过是一串毫无意义的字符。加密可以有效地对抗截收、非法访问等威胁。现代密码算法不仅可以实现加密,还可以实现数字签名、鉴别等功能,有效地对抗截收、非法访问、破坏信息的完整性、冒充、抵赖、重演等威胁,因此,密码技术是信息网络安全的核心技术。
3.4数字签名
在电脑网络系统中使用的数字签名技术将是未来最通用的个人安全防范技术,其中采用公开密钥算法的数字签名会进一步受到网络建设者的青睐。这种数字签名的实现过程非常简单:首先,发送者用其秘密密钥对邮件进行加密,建立了一个“数字签名”,然后通过公开的通信途径将签名和邮件一起发给接收者,接收者在收到邮件后使用发送者的另一个密匙一一公开密钥对签名进行解密,如果计算的结果相同他就通过了验证。数字签名能够实现对原始邮件不可抵赖性的鉴别。另外,多种类型的专用数字签名方案也将在电子货币、电子商业和其他的网络安全通信中得到应用。
3.5鉴别
鉴别的目的是验明用户或信息的正身。对实体声称的身份进行唯一地识别,以便验证其访问请求、或保证信息来自或到达指定的源和目的。鉴别技术可以验证消息的完整性,有效地对抗冒充、非法访问、重演等威胁。按照鉴别对象的不同,鉴别技术可以分为消息源鉴别和通信双方相互鉴别;按照鉴别内容的不同,鉴别技术可以分为用户身份鉴别和消息内容鉴别。鉴别的方法很多:利用鉴别码验证消息的完整性;利用通行字、密钥、访问控制机制等鉴别用户身份,防治冒充、非法访问;当今最佳的鉴别方法是数字签名。利用单方数字签名,可实现消息源鉴别,访问身份鉴别、消息完整性鉴别。利用收发双方数字签名,可同时实现收发双方身份鉴别、消息完整性鉴别。
3.6访问控制
访问控制的目的是防止非法访问。访问控制是采取各种措施保证系统资源不被非法访问和使用。一般采用基于资源的集中式控制、基于源和目的地址的过滤管理、以及网络签证技术等技术来实现。
4、结束语
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。
搞好网络安全,除在网络设计增加安全服务功能,完善系统的安全措施外,还必须花大力气加强网络的安全管理。因为诸多不安全因素恰恰反映在组织管理等方面。良好的系统管理有助于增强系统的安全性。制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步。只有切实提高网络安全意识,建立完善的系统管理制度,加强对人员的安全教育,严格执行网络安全的各项规定,才能保证网络系统的整体安全性。
【参考文献】
[1]赵洪彪.信息安全策略[M].清华大学出版社,2004.
[2](美)惠特曼,马托德.信息安全原理[M].徐炎,译.清华大学出版社,2004.
关键词:计算机;网络;信息安全漏洞扫描
1网络安全简述
网络安全并没有一个固定的范围和固定的定义。随着观察角度的变化,对网络安全的定义也不尽相同。例如,从网络用户个人或者单位来说。他们想要拥有的网络安全,必然是个人隐私信息的安全、单位商业信息受到保护,避免因他人运用窃听、篡改等手段,泄露信息,或者造成商业危害。从网络运用以及管理者的角度来看,他们理解的网络安全必然是希望在对本地网络信息进行访问、读写时,受到相应的保护。防止出现病毒入侵、拒绝服务或者网络资源非法控制等威胁。从本质上来讲,网络安全属于网络上的信息安全范围。指的是通过多网络系统的强化管理,以及对硬件、软件中的数据保护,防止其因有意的,或无意的破坏而出现信息泄露等状况。保障系统连续可靠的运作,以及提供源源不断的网络服务。从宏观上来看,凡是有关网络上信息的隐私、完整、可用、真实等相关的技术研究,以及网络安全管理全部属于网络安全需要研究的对象。网络安全不仅仅是网络使用硬件或软件上的问题,也是信息管理上的问题。在二者的互相补充下,才能实现完善的信息保护。在硬件和软件方面,主要侧重点是防止外在非法行为对网络的攻击。对于管理上来讲,主要的侧重点在于对网络管理人员的管理。对于网络安全的基本要求主要有以下一个方面:
1.1可靠性
可靠性的定义就是网络信息系统能够在目前具有的条件下,以及相应的时间范围之内,保持预先想要其达到的功能性特征。可靠性是对于网络系统安全的最基本的要求,如果连可靠性都保障不了,难么一切的网络活动将无从谈起。
1.2可用性
可用性就是网络经过设置之后,网络信息可以被所授权实体进行访问并按照需求使用的特性。即在经过许可之后,网络信息服务在需要的时候,就会给予授权用户或实体进行使用的特性;或者是网络在受到部分的损坏及需要降级使用的时候,依旧为授权用户提供最有效服务的特性。可用性就是网络信息系统面向所有用户的而最安全性能。网络信息进系统最基础的功能就是向用户提供他们所需的服务,然而用户的需求是随机的、多方面的、甚至还会有时间和速度的要求。与此同时,可用性就会对系统的正常使用时间与整个工作时间的之比来进行度量。
1.3保密性
对保密性的定义就是保障网络信息能够不受外界非法行为的影响,导致出现信息泄露、信息篡改等。保密性是建立在可靠性以及可用性的基础之上的,是网络安全保障的重点对象。
1.4完整性
完整性就是网络信息在没有经过授权之前不能对其进行任何改变的特性。也就是说,网络信息在储存或传输的过程中保持其完整,不会偶然的失误或蓄意地删除、修改、伪造、插入等破坏的特性。完整性是网络中面向信息的安全模式,无论经历怎样的阻挠和破坏,它要求必须保持信息的原版,换句话说,就是信息的正确生产及安全准确的存蓄和传输。
2计算机网络安全中的漏洞扫描技术分析
由于网络会给人们带来较多的不安全问题,导致计算机网络的使用者必须要运用相应的安全保护措施,来实现个人或者单位的信息安全。在许多网络安全研究者的共同努力下,推出的网络安全保护技术能够从不同的角度切实保障网络信息的可靠性、可用性、保密性、完整性等。对安全技术进行分析,主要有:漏洞技术扫描、访问控制技术、防火墙技术等。这些事比较常规的,对于一些稍微特殊的,在此就不一一列举。以下主要分析的就是漏洞扫描技术。安全漏洞是计算机网络系统当中的缺陷,它会导致外界非法授权者为获取信息利用其进行不正当的访问。
2.1D级漏洞
D级漏洞允许远程用户获取该计算机当中的某些信息,例如该计算机是否处于运行状态,该计算机的操作系统类别等。例如,可以向一台计算机的目标端口发送SYN分组,假如收到的是一个来自目标端口的SYN/ACK分组,那么我们可以确定此台计算机正处于被监听的状态。从具体实践来讲,D级漏洞在其余漏洞当中,是对计算机危害最小的。但是它会为非法侵入者采取下一项行动奠定基础。
2.2C级漏洞
C级漏洞外在表现为允许拒绝服务。拒绝服务攻击是一类个人或者多人运用ntIemct当中的某些特性,拒绝向其他的用户提供合法访问服务。这种漏洞最终导致的结果就是,受到攻击的计算机反映速度减慢,从而导致合法授权者无法连接目标计算机。
2.3B级漏洞
B级漏洞是允许本地用户获取非授权的访问。此种漏洞常常在多种平台应用程序当中出现。
2.4A级漏洞
A级漏洞主要是允许用户未经授权访问。这属于这几种漏洞当中危害最大的一种。许多情况下产生的A级漏洞,都是由于系统管理出现问题,或者系统内部参数设置错误导致的。
3结语
总而言之,漏洞扫描技术就是在解决网络安全问题的一门比较新颖的技术。通过市场调研,防火墙技术就是当病毒入侵时的被动防御,入侵检测技术也是一门被动的检测,然而,漏洞扫描技术则是在没有别的病毒入侵之前就主动进行有关安全方面的全面检测技术。所以,从网络全面安全的角度出发,主动进行安全检测,防范于未然的漏洞检测越来越受人们的青睐。
作者:吴塍勤 单位:江苏省宜兴中等专业学校
参考文献:
[1]朱健华.浅析信息化建设中的安全漏洞扫描技术[J].中国科技投资,2012(27).
[2]赵燕.漏洞扫描技术浅析[J].内蒙古水利,2011(03).
电子商务安全导论试题
课程代码:00997
请考生按规定用笔将所有试题的答案涂、写在答题纸上。
选择题部分
注意事项:
1.答题前,考生务必将自己的考试课程名称、姓名、准考证号用黑色字迹的签字笔或钢笔填写在答题纸规定的位置上。
2.每小题选出答案后,用2B铅笔把答题纸上对应题目的答案标号涂黑。如需改动,用橡皮擦干净后,再选涂其他答案标号。不能答在试题卷上。
一、单项选择题(本大题共20小题,每小题1分,共20分)
在每小题列出的四个备选项中只有一个是符合题目要求的,请将其选出并将“答题纸”的相应代码涂黑。错涂、多涂或未涂均无分。
1.美国的橘皮书中为计算机安全的不同级别制定了4个标准:A、 B、C、D级,其中B级又分为B1、B2、B3三个子级,C级又分为C1、C2两个子级。以下按照安全等级由低到高排列正确的是
A.A、B1、B2、B3、C1、C2、D
B.A、B3、B2、B1、C2、Cl、D
C.D、Cl、C2、B1、B2、B3、A
D.D、C2、C1、B3、B2、Bl、A
2.在维护系统的安全措施中,保护数据不被未授权者建立的业务是
A.保密业务 B.认证业务
C.数据完整性业务 D.不可否认业务
3.Diffie与Hellman早期提出的密钥交换体制的名称是
A.DES B.EES
C.RSA D.Diffie-Hellman
4.以下加密体制中,属于双密钥体制的是
A.RSA B.IDEA
C.AES D.DES
5.对不知道内容的文件签名称为
A.RSA签名 B.ELgamal签名
C.盲签名 D.双联签名
6.MD5散列算法的分组长度是
A.16比特 B.64比特
C.128比特 D.512比特
7.按照《建筑与建筑群综合布线系统工程设计规范》(CECS72:97)的要求,设备间室温应保持的温度范围是
A.0℃-10℃ B.10℃-25℃
C.0℃-25℃ D.25℃-50℃
8.通过公共网络建立的临时、安全的连接,被称为
A.EDI B.DSL
C.VLN D.VPN
9.检查所有进出防火墙的包标头内容的控制方式是
A.滤型 B.包检验型
C.应用层网关型 D.型
10.在接入控制策略中,按主体执行任务所知道的信息最小化的原则分配权力的策略是
A.最小权益策略 B.权益策略
C.最小泄露策略 D.多级安全策略
11.Microsoft Access数据库的加密方法属于
A.单钥加密算法 B.双钥加密算法
C.加密桥技术 D.使用专用软件加密数据
12.Kerberos域内认证过程的第一个阶段是
A.客户向AS申请得到注册许可证
B.客户向TGS申请得到注册许可证
C.客户向Server申请得到注册许可证
D.客户向Workstation申请得到注册许可证
13.Kerberos域间认证分为4个阶段,其中第3阶段是(~代表其它Kerberos的认证域)
14.证明双钥体制中公钥的所有者就是证书上所记录的使用者的证书是
A.双钥证书 B.公钥证书
C.私钥证书 D.CA证书
15.通常将用于创建和发放证书的机构称为
A.RA B.LDAP
C.SSL D.CA
16.在PKI的构成中,负责制定整个体系结构的安全政策的机构是
A.CA B.PAA
C.OPA D.PMA
17.在Internet上建立秘密传输信息的信道,保障传输信息的机密性、完整性与认证性的协议是
A.HTTP B.FTP
C.SMTP D.SSL
18.在SET协议中用来确保交易各方身份真实性的技术是
A.加密方式 B.数字化签名
C.数字化签名与商家认证 D.传统的纸质上手工签名认证
19.牵头建立中国金融认证中心的银行是
A.中国银行 B.中国人民银行
C.中国建设银行 D.中国工商银行
20.CFCA推出的一套保障网上信息安全传递的完整解决方案是
A.TruePass B.Entelligence
C.Direct D.LDAP
二、多项选择题(本大题共5小题,每小题2分,共10分)
在每小题列出的五个备选项中至少有两个是符合题目要求的,请将其选出并将“答题纸”的相应代码涂黑。错涂、多涂、少涂或未涂均无分。
21.计算机病毒的特征有
A.非授权可执行
B.隐蔽性
C.潜伏性
D.不可触发性
E.表现性
22.接入控制的功能有
A.阻止非法用户进入系统
B.强制接入
C.自主接入
D.允许合法用户进入系统
E.使合法人按其权限进行各种信息活动
23.Kerberos域内认证过程的第一阶段的第一步中Client向AS传递的信息有
A.IDc
B.IDserver
C.IDTGS
D.时间戳a
E.ADclient
24.检验证书有效必须满足的条件有
A.证书没有超过有效期
B.密钥没有被修改
C.证书没有使用过
D.证书持有者合法
E.证书不在CA发行的无效证书清单中
25.SET安全协议要达到的主要的目标是
A.结构的简单性
B.信息的相互隔离
C.多方认证的解决
D.交易的实时性
E.信息的安全传递
非选择题部分
注意事项:
用黑色字迹的签字笔或钢笔将答案写在答题纸上,不能答在试题卷上。
三、填空题(本大题共5小题,每小题2分,共10分)
26.商务对象的认证性是指网络两端的使用者在沟通之前相互确定对方的身份,保证身份的正确性,分辨参与者所声称身份的真伪,防止______攻击。认证性用______和身份认证技术实现。
27.DES加密算法中,每次取明文的连续______位数据,利用64位密钥,经过______轮循环加密运算,将其变成64位的密文数据。
28.IPsec有两种工作模式,______为源到目的之间已存在的IP包提供安全性;______则把一个IP包放到一个新的IP包中,并以IPsec格式发往目的地。
29.关于公钥证书的吊销,______方式有一定的延迟,______可以避免此风险。
30.SSL依靠证书来检验通信双方的身份,在检验证书时,______和______都检验证书,看它是否由它们所信任的CA发行。如果CA是可信任的,则证书被接受。
四、名词解释题(本大题共5小题,每小题3分,共15分)
31.系统穿透
32.良性病毒
33.Kerberos
34.单公钥证书系统
35.认证服务
五、简答题(本大题共6小题,每小题5分,共30分)
36.简述电子商务安全的六项中心内容。
37.简述双密钥体制的特点。
38.简述RSA数字签名体制的安全性。
39.简述按照VPN的部署模式,VPN可以分为哪三类?
40.简述PKI作为安全基础设施,为不同的用户按不同的安全需求提供的安全服务包括哪 些?
41.简述在不可否认业务中,源的不可否认性可以提供证据解决哪些可能的纠纷?
关键词:计算机技术;电子商务;关系;应用
随着计算机技术的快速发展,电子商务作为一种全新的商务模式,应用范围越来越广泛。电子商务的技术核心是计算机网络,因此网络安全问题是威胁到电子商务健康发展的重要因素。目前,解决网络安全的技术手段有数据加密、身份识别、智能防火墙等,但无论哪一种都不是一劳永逸的方案。因此,分析现有的计算机网络安全技术,指出存在的问题,并提出新的解决措施。解决了网络安全问题,电子商务才能稳步前进,贸易环境、资金流通等才能更顺畅。计算机技术在电子商务中很多的应用,比如企业网站管理与运营、品牌推广、提升营业额以及提升服务质量等,都是为了提高电子商务的工作质量。
1计算机技术与电子商务的关系
电子商务是在开放的网络环境下,基于计算机软件、移动客户端等应用,实现网上购物、处理订单、在线支付,开据电子发票、电子报关、电子纳税、企业审计及其他一切通过网络服务的一种新型的商业运营模式。它将计算机技术与传统资源相结合的一种商务模式,计算机技术促进了电子商务的发展,而电子商务是计算机技术在商业上的直接体现和成功应用,即计算机技术是电子商务的基础,电子商务是计算机最直接的应用平台。了解计算机技术对于电子商务的发展大有裨益,电子商务的发展也推动了计算机技术的进一步演化。
2计算机技术在电子商务中的作用
电子商务主要依赖于计算机网络技术,因此网络安全是电子商务健康发展的前提。利用计算机网络安全技术,保障电子商务交易的安全性,为电子商务可持续发展提供更有力的技术保障,具有极其深远的意义。
2.1信息安全保障
电子商务是依赖于互联网的一种商务模式,交易大都是在网上进行,通过计算机技术来传输和处理商业信息,因此对于保障信息安全是至关重要的问题。信息安全保障由计算机网络安全和网络交易安全两个方面,计算机网络安全是网络自身的安全问题,由网络安全管理措施保障信息安全;商务交易安全即在计算机网络安全的基础上,实现电子商务的保密性、完整性、不可伪造性等。
2.2数据加密
数据加密就是利用密码技术对原始数据、信息处理成不可辨识的密文的过程,使不应了解该数据和信息的人不能够知道和识别,阻止非法用户窃取原始数据,从而确保数据的保密性。我们通常说的加密主要是文件加密与数字签名技术。文件加密是用来阻止他人窃取文件后进行阅读、修改等操作,确保文件在传输过程中的安全。由于文件采取了加密处理,那非法用户即使得到了文件也打不开,或者打开后是一堆毫无规律可循的乱码。数字签名是来确定发送文件或邮件的人是否真实,确认发信人身份的真实性。主要用在电子邮件的传输上,避免非法用户窃取发件人的账户,并以发信人的姓名和邮箱地址伪造电子邮件。
2.3身份识别
企业或消费者在使用自己账号登陆进行交易;或者交易正在进行,但双方都不了解,此时身份识别技术可以作为辅助。身份识别是指通过一定的手段,完成对用户身份的确认。身份识别的方法基本上可分为:①基于信息密码的身份识别,如静态密码、短信动态密码、智能芯片卡等;②基于用户生物特征的身份识别;是指基于每个人身体上独一无二的特征,如指纹、面部特征、虹膜、视网膜、私人订制的手势或物品等。当然,不同的身份识别方法,安全性也各有高低。对于信息密码的方式,在验证过程中,若计算机被植入木马程序,密码可能会被他人截获。因此从安全性上讲,密码方式一种是不安全的身份认证方式。而用户生物特征相对安全一些,研究表明,每个人的上述特征都与别人不同且终生不变。
2.4智能防火墙
防火墙是在网络边界上建立网络通信监控系统来阻止外部网络中未经授权用户的访问。这种技术主要是访问控制功能,可以过滤掉不安全服务和用户,保护内部网中的主机,限定内部网的用户对互联网上特殊网站的访问,为监视互联网安全提供方便。一般的windows系统都自带防火墙,一些杀毒软件,如360,瑞星、卡巴斯基等都软件也都带有防火墙功能,多数用户的选择是开启多个防火墙保障计算机的安全。
3计算机技术在电子商务中的运用
计算机技术为电子商务提供了一种虚拟的场景,消费者可以在这个虚拟的世界里挑选自己心仪的商品,企业将自己的商品挂牌销售。
3.1网站管理与运营
所有的电子商务活动都要通过计算机技术,网站的建设与管理也不例外,利用相应的算法对信息进行计算和校核,电子商务能够通过计算机技术在建设网站时充分利用操作系统的平台。网站的主要功能包括网上的交易、商户处理订单、买家付款、货物递交等销售、售前和售后服务,以及市场调查分析、财务审计及安排生产计划等商业活动。
3.2品牌推广
传统的品牌推广方式主要有报纸、电台、电视,宣传海报、传单、商场各种活动等,其实质都是广而告之的方式,不停的投放广告,让品牌进入消费者的视线,但受时长和版面的限制,宣传内容较为单一,无法对品牌和产品进行深层次的介绍,而且投入的人力、物力、财力等都比较大,品牌推广速度慢。而随着移动互联网技术的诞生、企业利用微博、秒拍、快手等方式进行炒作、结合时下热点话题迅速推广品牌,有时一个品牌在短短的几分钟内就能让上亿的人了解。这种营销策略见效快,成本较低,是企业进行品牌推广最受欢迎的方式之一。
3.3提高营业额
所谓电子商务是传统资源与计算机技术结合的产物,以往的传统企业主要通过线下的方式与客户建立联系,因此企业的区域性质比较强,而对于区域以外的消费市场,一般很难打开。而电子商务模式的产生,可以将任何一个企业的产品推向全国乃至全世界,受众群体更广、成交量更多,自然而然营业额也迅速增长。
3.4提升服务质量
以往的商家和消费者建立联系的途径是在实体店里,交易完成后,消费者如若换货、退货等需要亲自跑到实体店,有时还会因为种种原因引起一些纷争。而通过电子商务销售理念是充分为买家考虑,消费者退货、换货只需要在计算机或者客户端进行几秒钟的操作即可完成,还可以对商家的服务质量进行评价。当买家对某件商品提出合理的建议时,商家可以再次对商品进行改进,不断提升服务质量,优化交易方式。
4结语
从1990年到现在,虽然电子商务发展迅速,但人们对于电子商务的要求不断上升,计算机技术在电子商务中发挥的作用也越来越大,从硬件到软件、再到网络技术,每一项计算机技术的成功运用都将电子商务推向新的高度。因此,计算机专业技术人员仍需不断努力,促进计算机技术的升级与进步,为电子商务产业的健康发展保驾护航。
作者:许伟佳 单位:江苏省南通第一中学
参考文献:
[1]夏蓉.计算机技术在电子商务中的应用[J].科技信息,2011(8):242-242.
[2]杜小巍,李丽荣.计算机网络安全技术在电子商务中的应用与研究[J].商場現代化,2008,10(543):151-152.
关键词:计算机网络安全 安全维护 意义 措施
中图分类号:TP393.09 文献标识码:C DOI:10.3969/j.issn.1672-8181.2013.16.052
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。 由于各种原因的存在,网络安全会受到不同方面的影响,如系统硬件、网络技术缺陷、设备和技术落后、黑客攻击、防护系统漏洞、网络安全意识缺乏、基础知识教育落后等等,所以我们要认清时时刻刻面临的问题,认清安全维护的必要性,从硬件、软件上加强网络系统安全的维护,确保大家能有一个公开、安全的网络环境。
1 简述网络系统安全
一般来说,网络安全由四个部分组成:
一是运行系统的安全,更侧重于硬件设施的安全,即保证操作系统、存储系统、传输线路等的安全,避免因硬件设施的老化、不稳定、漏洞等原因而导致网络系统的不安全,从最基础避免网络安全隐患的存在。
二是系统信息的安全,包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。
三是信息传播的安全,控制信息通过网络传播的途径和影响,例如信息过滤等,防止和控制不良有害信息的传播,保障正常信息顺畅流通。
四是信息内容的安全,注重信息的保密性、真实性和完整性,避免其他人利用系统的安全漏洞做出对合法用户的不利行为。
2 计算机网络系统安全的主要威胁
所谓网络系统安全,最重要的就是要保证通过网络渠道传播信息时,信息完好无误,不会被修改和破坏,并且确保其三大特征――完整性、可靠性和保密性。然而,随着网络时代的飞速发展,人们在享受网络带来的便利的同时,也深受各类病毒和技术的困扰,各种各样的问题已经在极大程度上威胁了计算机网络系统的安全。
由于种种原因,目前我国网络系统的安全维护方面还有很多问题,主要体现在:
2.1 网络安全意识淡薄
目前在我国,人们的网络安全意识普遍比较淡薄,对计算机网络没有常识性的认识,缺少必备的安全维护知识。许多网络用户或工作人员只看到上网后给工作和学习带来的种种好处,过于注重运用的体验,缺少安全维护的意识和措施,如此便造成了种种不良信息和病毒的入侵,容易导致安全问题的发生。
2.2 网络信息技术自身的不足
虽然信息技术高速发展,但仍有其不足和需要不断完善的地方,而这些不足往往就会成为信息传播时的不安全因素。例如现在网络系统中使用率最高的协议是TCP/IP协议,几乎90%的用户都会选择,但是TCP/IP协议组是默认建立在安全可信赖的环境中,对于现在网络的复杂性、不安全性并未做应有的考虑。诸如此类无法避免的问题,就会给用户在使用网络系统时造成一定的安全隐患,甚至造成不必要的安全事故。
2.3 网络硬件投入不足
网络技术高速发展的同时,各种信息技术和设备的更新换代也是越来越快,跟不上高速发展的步伐就会被远远甩在身后。而我们目前很多用户的技术和设备已经陈旧,无法满足使用的需要,更无法提供安全的硬件支持。为维护网络的安全运行,还需要完善技术和设备,尤其对于网络安全技术更应该投入专项资金。必须要避免因设备等原因而产生的问题。现在社会有很多的企业和事业单位,固定资产中关于计算机和网络维护方面极具缩水,甚至严重匮乏,所用设备甚至连基本的办公功能都无法满足,安全级别更是几近于零。所以,在此也倡导相关单位能重视起计算机和计算机网络安全的投入与维护,将安全落到实处。
3 如何加强网络系统安全的维护
现在社会飞速发展,工作和生活也越来越多地需要网络的支持,如果网络存在安全隐患,时时刻刻都要面对信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,任何一个问题的产生,都会带来无法弥补的损失。无数的案例摆在我们眼前,通过最简单的聊天工具就可以窃取对方电脑和网络中的机密文档。其原因:一是用户相关知识的不足,二是网络系统存在很多的漏洞,而这些损失往往是可以避免的。面对沉痛的教训,我们更应该防患于未然,做到预防为主,防治结合。
首先,我们应该用科学完善的管理机制来支撑网络安全维护这一系统工程,包括组织建设、制度建设和全员安全教育,小到个人用户,大到公司、政府和国家,都需要从点滴做起,建立好组织架构和相应机构,设立相关的规章制度,并且必须重视工作人员的安全教育,加强安全意识。
其次,还需要运用技术手段来确保网络系统的安全,针对不同的安全时期,制定不同的技术策略,如系统安全策略、安全管理策略和纵深防御策略等等,对操作系统、数据库、服务器等进行安全加固,避免因硬件设施带来的安全问题,加强安全系统如防火墙的建立和运用,将不良的入侵和攻击挡在系统之外。
4 小结
网络时代高速发展,体现出了现代技术的日益发展,然而,高速发展的同时也会产生诸多的问题等待人们去解决,而对于网络技术来讲,安全更是重中之重。本文就网络系统安全的维护这一命题,从基本概念、主要威胁和维护措施等方面,阐述了安全维护的必要性。相信随着网络的不断发展,技术的不断完善,人们安全意识和素养的不断提升,网络系统的安全会越来越有保障。
参考文献:
[1]周学广.信息安全学[M].北京机械工业出版社,2003.
[2]曹天杰等.计算机系统安全[M].北京高等教育出版社,2003.
[3]熊华,郭世泽.网络安全――取证与蜜罐[M].人民邮电出版社,2003.
[4]黄毅华.信息管理在网络安全中的应用[J].2010.
关键词:大数据;数据采集板;信息处理技术;信息传递
1计算机信息处理技术流程
1.1信息收集。
面对海量化的数据,如何从中挑选出有价值的关键信息,是计算机信息处理的第一步。信息收集质量在一定程度上决定了信息处理结果的可用性和可信度,因此在计算机信息处理中,该环节的重要性不容忽视。关键词检索是信息收集中常用的技术,设计关键词能够有效缩小信息的采集范围,并且利用大数据技术快速过滤,将符合要求的信息保留下来,而其他非相关信息则被过滤掉,提高了信息数据的利用价值。信息收集流程如图1所示。
1.2信息储存。
对于收集到的数据,应当根据数据来源、数据类型等,将其分类存储。如何保障存储信息的安全性,防止信息泄露,是信息存储环节必须要考虑的问题。在大数据背景下,云存储逐渐成为一种主流的信息存储模式,除了提供超大的存储空间外,在保障信息隐私,方便信息调用等方面也有显著的优势。基于云计算的信息存储程序如图2所示。
1.3信息传递。
资源共享让信息数据的价值得到了进一步的发挥。而信息共享必然伴随着信息的交流和传递。在大数据背景下,除了要保证信息传递效率,还要营造安全的网络环境,保证信息的安全。数字签名认证技术是目前保证信息传递安全的一种常用计算机信息处理技术。其原理是在信息的发送端对需要传递的信息进行加密,在信息的接收端对接收到的信息进行解密。加密和解密共用相同的数字签名,这样就可以防止第三方窃取或破坏信息,达到了保障信息安全传递的目的,其流程如图3所示。
1.4信息安全处理。
大数据时代的到来,一方面为计算机信息处理提供了便利和机遇,同时也带来了诸多的挑战。如上文所述,如何保证信息安全就成为必须要考虑的关键问题。目前来看,已经形成了较为完善的信息安全处理技术体系,而二维码技术就是其中的一种。通过采集用户指纹图像,对数据进行加密、编码等,生成唯一的二维码,同样也能达到保障信息安全的效果,技术流程如图4所示。
2计算机多道信息处理技术
2.1计算机多道处理技术原理。
虽然根据多道程序设计的不同,多道处理的技术方式存在一定的差异。但是从硬件组成上来看,脉冲多道分析的结构组成基本类似,其中核心模块包括4部分,分别是用于终端控制的PC机、用户数据收集的数据采集板、用于数据识别与筛选的甄别器,以及用于脉冲幅度测量的展宽器。利用前端传感器捕捉信号后,将模拟信号转变为计算机可识别的数据信号,这一过程称为ADC变换。在PC机内置程序的控制下,将ADC变换幅度作为地址码,并通过该地址码读取该道址的参数。读取结果输入到运算器内,由运算器完成加1运算。PC机获得这一运算结果后,将其重新计入到存储器内。通过重复上述流程,实现多道处理。
2.2计算机多道处理技术的构成。
现阶段比较流行的计算机多道,是以通用数据采集卡为硬件基础,以VisualC++6.0、Windows为软件开发平台的。计算机多道有如下的功能,数据获取方面:在定时或定事例数的控制下,采集事件信号幅度的数据,或事例时间间隔的数据;实时显示所采集的信号幅度谱或时间谱。数据处理方面:显示已采集的谱形和已采集的时间。点击鼠标,可显示该点的道址和该道的事例数。所采集的数据作为数据文件,供保存、调用和离线分析。完成上述功能,计算机多道的硬件构成如图5所示。
2.3计算机多道处理技术的改进
上述计算机多道基本上满足了当下对各类信息处理的要求,但是也存在一些不足。例如探测器接受到的信号脉冲,宽度要比常规脉冲略窄。而这些脉冲通过数据采集板之后,还会产生一定的损耗,这也就意味着最终PC机上识别的信号脉冲宽度,大幅度的低于实际值,从而导致处理结果失真。因此,为了避免此类问题,许多在现有的计算机多道软硬件基础上,进行适当的改进。一种可行性的技术措施是,用一台快速恢复式的幅度保持器代替展宽器,新的多道硬件组成如图6所示。幅度保持器的运行机理为:前端设备捕捉到信号后,首先经过电容C,此时信号被充电并放大一定的倍数。放大后的信号被分成两部分,并通过不同的路径进行传输。一路信号直接进入甄别器;另一路信号触发放电控制,并经过放电控制脉冲驱动模拟器开关K重新与第一路信号回合。在该路信号中,可以人为设计信号传输延迟,通常在3-5s不等。幅度保持器的脉冲波形如图7所示。第一个信号脉冲幅度被采集后,电容C开始放电,在基线未完全恢复时,又来相邻的第2个信号,此信号叠加在未复原的基线上,即第二个信号的幅度叠加了一个对应于当时基线的一个小台阶。此台阶将影响第二信号幅度的采集精度,事例率越高,也就是相邻第二个信号来的越早,基线的台阶对精度的影响越大,也就是精度越差。因此,我们可以在允许的FWHM条件下,以最高的事例率(或事例率上限)来衡量数据采集的性能。表1给出本幅度保持器的FWHM与事例率上限的关系,所用的探测器系统(NaI晶体)同有的FWHM为8%。
3大数据背景下计算机信息处理技术创新
3.1大规模廉价计算平台的应用。
大数据时代的一个典型特征,就是数据的爆发式增长。海量的数据一方面是占用了太多的存储空间,导致物理存储成本上涨;另一方面则是普通的计算机处理速度难以完全消耗海量数据,造成了数据的浪费。在这种情况下,基于大数据的计算机信息处理技术,也需要进行适应性的创新,才能在新时期保持更高的信息处理效率,以及更深层次的挖掘信息的利用价值。运用虚拟化技术,能够降低大规模、集成化计算平台的应用成本,将物理服务器转化为虚拟服务器,在虚拟环境下同步运行,不仅可以实现所有的信息处理功能,而且进一步提升了虚拟计算平台的兼容性和稳定性。
3.2采用MapReduce技术的支持。
在大数据的支持下,运用分布式信息处理技术,可以将海量信息分散到不同的虚拟服务器上,以便于提高处理效率。而MapReduce技术的出现,让并行式信息处理也体现出了应用优势。处理流程为:管理员对Map和Reduce这两个端口分别进行定义,然后从端口输入信息,计算机接收到信息后,根据预设的程序将数据进行分类,形成若干带有标签的数据片段。每个片段上分别对应一个键值对。计算机通过匹配数据片段的标签,以及每个Map的特性,进行逐一配对,确保每个Map都能分配数据片段并进行运算。最后将所有的运算结果汇总起来,形成一个键值对集合。后期根据信息利用需要,随时调用键值对中的数据。
3.3云计算的大规模数据处理框架模型。
云计算虽然具有极高的数据处理能力,但是面对纷繁复杂的数据,也存在数据处理成本高、系统运行负荷大等问题。通过构建大规模数据处理框架模型,提供一个模式化的数据处理流程,该模型内不同模块分别承担大规模数据处理的不同环节,例如数据预处理、数据分类、数据计算等,模型的运行效率和性价比更高。此外,该框架模型还具有较强的可扩展能力,后期可以根据大数据技术的发展,以及信息处理要求的变化,不断的增加一些新的功能,从而始终保持较高的实用性。
4结论
大数据时代的到来,在推动计算机信息处理效率提升、挖掘信息数据利用价值等方面,提供了必要的支持,并且逐渐渗透到各个行业中,对社会经济发展、日常生活产生了深远的影响。下一步要依托大数据、云计算等技术,持续优化计算机信息处理技术,逐步提升技术的应用价值,满足现代化发展需求。
参考文献
[1]韩丹,建,高占江.浅谈如何安全高效地进行大数据计算机信息处理[J].科技经济导刊,2020(1):51-53.
【 关键词 】 网络安全;检测系统;防火墙
Digitalization Campus Network
Snort Invasion Detecting System Designation and Realization
Hou Yi
(Shenyang Broadcasting TV University LiaoningShenyang 110003)
【 Abstract 】 As network technology develops rapidly, University network information visiting quantity increases continually, the problem of digitalization Campus Network can not be ignored any more, and it is to be solved urgently. On basis of campus network’s feature and actual demand, the thesis designs and establish a high-efficient Snort invasion detecting system to detect invader from attacking computer networks and protect the security of campus network..
【 Keywords 】 network security;detecting system;firewall
0 引言
近年来,随着校园网的高速发展,它已经成为是一个庞大的计算机网络群,网络的用户越来越多、负载巨大、时刻面对着诸如黑客攻击,病毒对计算机资源的破坏,网络资源的滥用等安全方面的威胁,因此,将入侵检测技术应用于校园网,将成为了保护校园网的一道重要的屏障。
Snort 是一个杰出的开源的轻量级入侵检测系统,这种系统可以很好地发现网络中存在的入侵情况。在校园网中布置安装 Snort 服务器和软件,根据实际需求配置入侵检测系统,设计开发基于 Snort 的网络安全检测系统,可以很好地保护校园网的安全。
1 Snort 入侵检测系统框架
1.1 设计思路
网络中流动的数据对于一个系统而言,可以分为正常数据、已知攻击数据和未分类数据三种,其中未分类的数据可能为攻击数据也可能为正常数据。网络上的数据大都为正常数据,里面掺杂着一些非正常数据。为了提高检测的效率,应该尽可能地减少正常数据,因此要建立一定的模式,而通过数据挖掘正好可以达到这一点。将 Snort 与数据挖掘相结合,通过 Snort 的检测引擎把正常数据排除在外,对异常数据进行检测。基于上述思想,我们构建将数据挖掘和 Snort 相结合的新的入侵检测系统,如图 1所示。
1.2 模块功能简述
Snort 优秀的插件模式是本系统的基础,我们在 Snort 添加了聚类分析的插件模块,预检测引擎插件和特征提取插件。聚类分析插件可以按照规则找到网络流量中的正常数据流;预检测插件在聚类分析插件之上对数据包进行过滤;特征提取插件的工作是从日志中提取关联规则,添加到 Snort 规则库中。各模块功能如下:
1) 嗅探器:从网路中获得数据包;
2) 解码器:分析获得的数据包,并将其转化为制定的数据结构。
3) 数据预处理器:对数据进行预处理;
4) 聚类分析模块:基于聚类算法构造网络正常行为模式类;
5) 预检测引擎:从数据包中发现正常的网络数据;
6) Snort 检测引擎:按照规则库中的规则进行匹配,判断是否发生了入侵;
7) 规则库:保存入侵检测规则,为误用检测提供依据;
8) 特征提取器:从日志中提取相应的规则,并将其添加到规则库中。
2 核心模块设计
2.1 聚类分析模块
该模块主要采取数据挖掘中聚类分析的方法,将数据分成若干类,同类之间的相似度较高,不同类之间相似度较低,这是一个自适应的过程。通过聚类,将网络数据分为正常数据和非正常数据,以此作为预检测模块的检测依据,其工作过程可分以下几步:
1)将网络数据包变成相应的数据格式;
2)网络数据包和各网络行为类的类中心的相似度的计算;
3)进行聚类分析;
4)将数据包分为正常模式和非正常模式。
2.2 预检测引擎
预检测模块的是用于将网路中的数据分成正常模块和非正常模块,以便提高检测效率,通过插件的形式来实现,流程图如图 2 所示。
预检测引擎的工作过程可以分为以下几步:
1)将网络中的数据包转化为相应的数据结构;
2)对数据包进行相似度计算;
3)根据 R 值判断是否为正常数据;
4)如果该网络数据包与所有类(正常行为类)的相似度都大于聚类半径 R,则表明它可能是异常网络数据包,将它传送给 Snort 检测引擎作进一步的检测。
2.3 特征提取器
特征提取器通过对网络数据的分析,从相应的日志中提取出该攻击的攻击特征,然后将这些特征转化为 Snort 对应的规则,存储在规则库中。在本系统中,采用 Apriori 算法进行相关数据的挖掘。
特征提取器的工作过程步骤如下:
1) 数据预处理
特征提取器的输入为日志记录,其中包含很多字段,我们在此仅选择和 Snort规则相关的字段,例如 SrcIP、SrcPort、DstIP、DstPort、Protocol、Dsize、Flags和 CID 等,不适用于关联分析的字段丢弃掉。
2) 产生关联规则
首先确定支持度,支持度较低的,频繁项集会较多,反之较低。然后由相应的频繁项集产生关联规则,若置信度低,则关联规则较多,反之较低。
3) 规则转换
通过以上工作所产生的关联规则并不能直接应用于 Snort 的规则库,因为其不符合 Snort 语法规则,所以我们必须对其进行规则转换。Snort 的检测规则一般有两部分组成:规则头和规则选项。规则头包含:处理形式、协议类型、源 IP 地址、源端口、目的 IP 地址和目的端口等信息;规则选项则包含数据包内容和数据包选项等一系列的数据信息。我们把关联规则中与 Snort 规则头相关的项放在一起充当规则头,把与 Snort 规则选项相关的项放在一起充当规则选项,最后把规则头与规则选项合并,形成可以应用的 Snort 入侵检测规则。
3 入侵检测系统在校园网中的部署
本系统在部署时,主要部署在网络信息流量较大,信息较为集中的地方,如中心交换机,集线器等,从而对流过的数据加以分析,进而相应攻击。这里,我们部署的主要形式是分布式模式。校园网的各个终端计算机通过局部交换机连接到主交换机上,再并入学校的主路由器,最终获得相应的网路资源后,链接进入外部网络。整个入侵检测系统分为传感器和服务器两部分。当检测器通过检测规则发现攻击数据后,会对攻击行为进行相应,阻止攻击行为的继续,同时留下相关的攻击痕迹,将其保存到服务器中,以便以后进行相关的追究工作。
根据校园网络拓扑图,DIDS 在校园网的部署策略:
1)校园网与外网入口的防火墙后部署 Snort 的传感器。这里是数据交互最为繁重的地方,部署后可以在很大程度上减少整个系统受到的攻击影响。
2)在系统中,应用服务器中保存的数据应当说是最为宝贵的数据内容,因此应该在这里放置一台传感器,对所有进出这个网段的数据进行监视。
3)学生宿舍、网络机房、教师用机的防护能力较差,使用的防护意识也较为薄弱,会成为入侵行为的多发地,因为需要在这些地方的交换机处部署一台传感器,过滤往来的数据。
4)对于服务器和传感器而言,他们都是以软件的形式存在的,只需要开放相应的服务和端口即可投入使用。
入侵检测系统作为一种能够自动、实时地保障数字化校园网络信息安全的动态安全系统,构成对防火墙安全设备的必要补充,己经越来越受到人们的重视。如果能和其它安全产品相结合必将成为入侵检测系统的一个发展方向。
参考文献
[1] 周铁,段明秀.基于snort的IDS在校园网内部的应用研究[J].广东技术师范学院学报,2010.
[2] 高晨光,高照艳,师东菊.浅谈校园网信息安全[J].中国市场,2010.
[3] 曹煦晖,黄沁芳.DIDS在校园网的部署与应用[J].廊坊师范学院学报(自然科学版),2009.
[4] 王浩,周晓峰.基于入侵检测系统snort的BM模式匹配算法的研究和改进[J].计算机安全,2009.
[5] 孙军科.基于LINUX入侵检测系统分析[J].湖北广播电视大学学报,2009.
摘 要 本文简述了办公自动化的概念、特征及发展趋势,也说明了当前企业实现办公自动化过程中出现的问题及防治对策。
关键词 办公自动化 特征 趋势 问题 对策
一、前言
办公自动化系统是由计算机技术、通讯技术等高新技术所支撑的辅助办公的自动化手段,其主要包括:电子信箱、视听、电子显示屏、文字处理、共用信息库、日常事务、网站管理等若干部分。它主要完成各类电子数据处理,对各类信息实施有效管理,辅助决策者做出正确迅速的决定或帮助其快捷迅速完成工作等功能。
办公自动化是办公人员利用现代科学技术的最新成果,借助先进的办公设备,实现办公科学化、自动化、电子化。其目的是最大限度提高办公效率和改进办公质量,改善办公环境和条件,辅助决策,减少或避免各种差错,缩短办公处理周期,通过科学的管理方法,借助于先进技术,提高管理和决策的科学化水平,从而实现办公业务自动化。
二、办公自动化系统的基本特征
(一)交互性
一般的数据处理是单一的控制流,有事先确定的输入输出,无需人的干预;办公自动化系统则往往需要根据不同的输入调动不同的控制,因而人机对话,人的干预是必不可少的。
(二)协同性
办公活动通常是有组织的分层次的群体活动。因此,办公自动化系统应支持一个组织机构内的所有工作人员能够进行协同工作,以完成一项共同的任务。
(三)多学科交叉
办公自动化系统的建立和发展是相关的现代科学技术交叉融合的结果,是以计算机科学、信息科学、行为科学、管理科学、系统工程学和现代通信技术等作为支撑平台的。
(四)网络化
现代办公自动化系统是基于计算机网络的,包括局域网(LAN)、因特网(Internet)、内联网(Intranet)和外联网(Extranet)等。
(五)对象的多样性
对于事物处理型办公自动化系统,应用对象的需求相对比较一致,表现在有通用的商品化应用软件。而在信息管理型办公自动化系统和决策支持型办公自动化系统层次,则呈现出应用对象多样性的特征,表现在商品化OAS应用软件的行业性和专业性。
三、办公自动化的发展趋势
随着三大核心支柱技术:网络通讯技术计算机技术和数据库技术的成熟,世界上的OA已进入了新的层次,在新的层次中系统有四个新的特点:
1.集成化。软硬件及网络产品的集成,人与系统的集成,单一办公系统同社会公众信息系统的集成,组成了“无逢集成”的开放式系统。
2.智能化。面向日常事务处理,辅助人们完成智能性劳动。
3.多媒体化。包括对数字文字图象声音和动画的综合处理。
4.运用电子数据交换。通过数据通讯网,在计算机间进行交换和自动化处理。
办公自动化的趋势,要求企业使用由综合数据库系统所提供的信息中,针对所需做出决策的课题,构造或选用决策数字模式,结合有关内部和外部的条件,由计算机执行决策程序,作出相应的决策。
四、目前企业办公自动化的现状及问题
(一)目前企业办公自动化的现状
我国的办公自动化建设经历了一个较长的发展阶段,目前企业的办公自动化根据发展程度可以划分为以下四类:
1.起步较慢,还停留在使用没有联网的计算机,使用MSoffice系列wps系列应用软件以提高个人办公效率。
2.已经建立了自己的intranet网络,但没有好的应用系统支持协同工作,仍然是个人办公。网络处于闲置状态,企业的投资没有产生应有的效益。
3.已经建立了自己的intranet网络,企业内部员工通过电子邮件交流信息,实现了有限的协同工作,但产生的效益不明显。
4.已经建立了自己的intranet网络:使用经二次开发的通用办公自动化系统;能较好地支持信息共享和协同工作,与外界联系的信息渠道畅通;通过internet,宣传企业的产品技术服务;intranet网络已经对企业的经营产生了积极的效益。现在正着手开发或已经在使用针对业务定制的综合办公自动化系统,实现科学的管理和决策,增强企业的竞争能力,使企业不断发展壮大。
(二)企业实现办公自动化面临的问题
随着计算机技术的发展,办公自动化系统从最初的汉字输入问题处理排版编辑查询检索等单机应用软件逐渐发展成为现代化的网络办公系统,通过联网将单项办公业务系统联成一个办公系统。再通过远程网络将多个系统联结成更大范围的办公自动化系统。建立企业内部网(intranet),企业外部网(extranet),已经成为办公自动化发展的必然趋势。目前,在实现办公自动化的进程中还有以下问题需要注意:
1.效率。办公人员大都非计算机专业人员,他们的计算机知识尤其是计算机操作系统及硬件知识的缺乏,导致办公效率的降低,也造成系统管理员工作量的增大,如系统维护、防毒治毒、软件升级。计算机技术的发展可谓一日千里,软硬件的升级换代将更加频繁,这就意味着系统后期成本居高不下。
2.安全性。人们对信息的价值有了更深的认识,因而对信息的存储和保密也就更加重视,而今,病毒的破坏黑客的入侵都将对系统信息以致命的打击。防止重要部门的重要信息被窃或流失已成为工作中的当务之急。
五、企业实现办公自动化的对策措施
(一)建立严格的使用权限和层次分明的管理制度
从保密和安全的角度,对进入办公系统的用户,采取按部门职务,进行优先等级和功能模块的设定。企业最高领导有权进入所有的模块,能查看到所有文档,但为了防止误操作,封掉了有些不会用到的修改功能。企业最高领导有权签发查阅人事资料等与本部门有关的工作。无密码就进入不了系统,有密码无权限时,进入了系统,也只是告诉你无权使用;有密码有权限无功能,重要操作不显示操作钮。可见信息化部门要把握好角色权限和密码的设定,这样,办公自动化系统的宝贵数据才能高枕无忧。要建立办公自动化管理制度和考核办法,明确单位的责任领导责任部门和直接责任人的工作职责和任务,制定相应的奖惩措施,推行一套融管理监督激励相一致的有效机制。
(二)牢固树立信息安全意识
1.要牢固树立网络安全意识。要树立保密意识,高度重视网络安全工作,不得将内部的计算机设备和网络接入网络,不准在网上传输和存放信息。各单位主要责任人为网络安全的第一责任人,信息员为具体责任人,各司其职,将工作落到实处。
2.要做好计算机信息网络技术安全管理工作。信息化部门要加强技术及管理知识的学习,经常对各单位网络进行检查,对存在的问题及时指出及时纠正,务必确保安全。建立安全事件报告制度,各单位一旦发现网络安全事件,必须在第一时间向信息化部门报告。
3.要加强网络设备的管理,凡安装维护连接和设置,均由信息化部门统一负责,严禁随意更换改变其物理的位置形态性能,严禁改变其连接关系运行状态和系统的设置。
(三)要提高办公人员计算机能力
办公系统在初始启动时,大量的资料需要输入,许多表结构需要进行设置。信息化部门的工作人员要从用户的角度出发,提高办公人员的计算机操作能力与基本维护能力。通过系统的培训使办公人员能够熟练的操作办公自动化系统,保证了办公自动化系统的良性运行。
(四)勤维护,常保养,使办公自动化系统处于最佳的运行状态中