时间:2024-02-02 17:14:35
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇全球网络安全范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:网络安全防火墙加密技术PKI技术
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等,以下就此几项技术分别进行分析。
一、防火墙技术
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
二、数据加密技术
与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术
对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。
2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
三、PKI技术
PKI(PublieKeyInfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。
1.认证机构
CA(CertificationAuthorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。
2.注册机构
RA(RegistrationAuthorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
3.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.证书管理与撤消系统
证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
四、结束语
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。
参考文献:
[关键词]计算机网络;信息;网络安全
[中图分类号]R197.324 [文献标识码]B [文章编号]1674-4721(2009)07(b)-147-02
医疗业务对行业信息和数据的依赖程度越来越高,带来了不可忽视的网络系统安全问题,现分析如下:
1 网络安全建设内容
在医院信息网络建设中,网络安全体系是确保其安全可靠运行的重要支柱,能否有效地保护信息资源,保护信息化健康、有序、可持续地发展,是关系到医院计算机网络建设成败的关键。①保障网络信息安全,要防止来自外部的恶意攻击和内部的恶意破坏。②运用网络的安全策略,实行统一的身份认证和基于角色的访问控制。③医院计算机网络提供统一的证书管理、证书查询验证服务及网络环境的安全。④建立和完善统一的授权服务体系,实现灵活有效的授权管理,解决复杂的权限访问控制问题。⑤通过日志系统对用户的操作进行记录。
2 网络安全体系建设
网络安全体系建设应从多个层次完整地、全方位地对医院的信息网络及应用情况进行分析,所制定的安全机制基本包括了对各种安全隐患的考虑,从而保护关键业务系统的正常运行,控制内网用户接入,避免患者电子信息以及医院重要数据的泄密。如图1。
2.1 物理设备安全需求
即使应用了功能最强大的安全软件,如果没有注意物理安全,会大大地破坏系统安全的整体性,攻击者会通过物理接触系统来达到破坏的目的,因此,物理安全是安全策略中最为关键的一步[1]。①设备和操作系统都提供了通过物理接触绕过现有密码的功能。②机房内各服务器和网络设备均放置在上锁的机柜中,钥匙专人负责保管,同时要在中心机房安装视频监视设备进行监控。③网络整体要部署防雷系统,机房要有防静电地板,配线间注意散热且定期进行除尘工作。④主要网络设备可以采用双路供电或者安装UPS[2]。
2.2 口令安全需求
网络设备口令一律不采用缺省值,长度至少是8 位,采用字母和数字的组合且其中至少包含两个特殊字符[3]。医院信息系统如HIS、LIS、PACS、CIS对于医院一般用户的帐号,要求密码应包含字母、特殊字符和数字。对于重要部门或者岗位操作人员的系统密码要提醒其定期检查和更改。网络设备的SNMP 通信字串和口令具有同样的重要性,也应该遵循和口令要求相同的原则,建议采用SNMP探测功能进行弱SNMP 通信字串的检测。
2.3传输安全需求
医院网络基础建设中采用的VPN技术可以从最底层确保安全[4],既可防止其他网络的用户未经授权使用医院信息网络的信息资源,也可防止本网络的用户进入其他的网络。为了保证医院关键业务应用24小时不间断地运行,部分重要科室应设计为冗余的网络链路。如图1示:门诊收费处、住院收费处等关键科室汇聚层交换机互为冗余,从而最大限度地避免了单点传输故障造成的业务系统崩溃。
2.4网络通信安全需求
2.4.1防火墙应用
医院计算机网络需要与Internet外网进行互联,这种互联方式面临多种安全威胁,会受到外界的探测与攻击。防火墙对流经它的网络通信进行扫描[5],这样能够过滤掉一些来自Internet的攻击,如拒绝服务攻击(DoS),阻止ActiveX、Java、Cookies、Javas cript侵入。通过防火墙的病毒扫描和内容过滤功能可以避免恶意脚本在目标计算机上被执行。防火墙还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木马,禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
2.4.2 IDS系统应用
IDS(入侵检测系统)针对医院网络中的各种病毒和攻击,进行有效的检测,依照一定的安全策略,对网络、系统的运行状况进行监视,从而提供入侵实时警告[6]。通过IDS与防火墙的联动,可以更有效地阻断所发生的攻击事件,同时也可以加强网络的安全管理,保证主机资源不受来自内、外部网络的安全威胁。
2.4.3 VLAN划分管理
在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。利用虚拟网络技术,可以大大减轻医院网络管理和维护工作的负担,也有效地从物理层避免了广播风暴,防止网络病毒的蔓延。
2.5网络防病毒体系
在医院计算机网络中,由于设计的范围比较广,部门又多,通信比较频繁,很容易导致病毒的泛滥,对系统文件、数据库等造成不可预测的破坏。面对日益复杂的网络环境,网络防病毒应不只是一个单纯的系统,而应是一个联动互相配合的体系,包括如下几个方面的内容[7-9]。
2.5.1 网络防病毒中心
一旦病毒入侵系统或者从系统向其他资源感染,网络防病毒软件会立刻检测到并加以删除。此外,网络防病毒软件还能够防止病毒对网络操作系统本身的攻击,如某些针对Windows 系统、Unix系统的病毒。医院计算机网络建立网络防病毒系统时应考虑集中管理和自动下载、更新以及分发病毒库等。
2.5.2 网络分析中心
通过部署专业的网络分析软件能够在各种网络环境中,对网络中所有传输的数据进行检测、分析、诊断,形成拓扑帮助用户排除网络事故,规避安全风险,提高网络性能,增大网络可用性价值。医院不用再担心网络事故难以解决,网络分析系统可以把网络故障和安全风险会降到最低,找到网络瓶颈逐步提升网络性能。
2.5.3 SUS服务中心
Software Update Services(SUS)可以帮助基于Microsoft用户快速部署最新的重要更新和安全更新。通过使用计划的SUS,管理员可以完全控制管理通过Windows Update给网络中计算机的更新分发,从而统一更新全网主机的补丁和修复安全漏洞。
2.5.4 桌面管理中心
通过部署集中的局域网桌面管理软件,保护终端操作系统的安全,对局域网进行有效监控管理就显得非常必要,也可大大降低维护工作量。桌面管理软件的功能如下:①控制网络主机的USB、光驱、软驱等常见的硬件接口,能够阻断病毒传播途经。②控制用户主机使用或者安装非法软件,能够远程检测终端主机的界面,方便管理。③对不良网站进行严格限制,禁止终端主机访问,禁止BT以及P2P软件占用网络带宽。
2.6存储以及数据安全
医疗业务系统24小时不间断运行需要对存储以及数据进行有效的保护,目前,多数医院已经部署了基于Fibre Channel(FC)技术的SAN(storage area network)存储系统,集中管理与整合储存设备资源。SAN解决方案中,你可以得到一个完全冗余的存储网络,SAN具有不同寻常的扩展性,通过数据权限管理、数据复制、备份、容灾等技术确保存储数据的安全[10-11]。
3 安全管理
安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高,行为的约束只能通过严格的管理体制,并利用法律手段来实现。因些必须在管理部门系统内根据自身的应用与安全需求,制定安全管理制度并严格执行,通过安全知识及法律常识的培训,加强整体员工的自身安全意识及防范外部入侵的安全技术。对于计算机网络的安全管理,要从管理和技术两个方面入手,管理和技术合二为一,才能达到网络安全目的。
[参考文献]
[1]管丽莹,黄小蓉.医院计算机网络及信息安全管理[J].现代医院,2006,6(8):144.
[2]王玮,鲁万鹏,牟鑫.医院信息系统中的安全运行保障[J].中国医疗设备,2008,23(1):63-65.
[3]古金华.突发公共卫生事件中网络信息安全的保障措施[J].中国数字医学,2008,3(12):21-22.
[4]雷震甲.网络工程师教程[M].北京:清华大学出版社,2006:320.
[5]王辉.浅议网络信息安全[J].农业图书情报学刊,2008,20(6):112-115.
[6]陈克霞,袁耀岚,李平.计算机网络信息安全策略探讨[J].数字石油和化工,2008,4:38-40.
[7]魏常友.中小医院计算机网络信息系统建设探讨与建议[J].中国医药导报,2007,4(10):89.
[8]肖敏.稳定与高速兼顾 安全与管理并重――珠江医院网络改造纪实[J].中国医药导报,2007,4(25):11.
[9]丁士富.医院网络信息化建设探讨[J].中国医药导报,2007,4(10):58.
[10]宋颖杰,于明臻.医院信息系统的网络安全管理与维护[J].中国现代医生,2007,45(17):104.
随着我国综合国力的不断增强,现代通信技术也取得了较快的发展,已经走在了世界的前列。特别是最近几年,现代通信技术越来越受到人们的高度重视,但是随之而来的安全通信问题也严重干扰了行业的正常发展。通信安全问题是直接关系整体信息领域安全的重要环节之一,通信技术的安全有效传播为信息的传输提供了强有力的支持和保障。所以,通信领域的安全问题已经成为全社会特别重视的议题。本文通过对现阶段网络通信安全现状的梳理,研究现代网络安全通信存在的复杂性技术问题,并对通信安全方面的改进提出了一些建议,我们要增强和改进通信安全领域的防范措施,才可以保障信息传输技术的安全可靠。
关键词:
通信安全;传输;防范措施;重视
0引言
信息是人类文明进步的重要标志。经济社会的发展更是依赖信息技术作为媒介。随着信息技术的迅速发展,经济全球化的趋势迅猛加快,我们已经迈进了信息化时代。尤其是近些年,通信技术产业获得了高速健康的发展,现在通信技术和通信网已经真正的进入了千家万户。由微电子、多媒体等相关技术产业和通信技术产业组成的信息产业,已经作为信息化基础内容在社会结构上占据重要地位。在很多经济社会发达的国家里,信息技术产业都是作为领导产业。
1通信技术行业安全问题的现状
1.1无线电领域的通信安全
无线电通信技术的使用已经相当普及,随着使用人数的不断增长,无线电通信安全问题也变得更加复杂。现在,数字化科技已经普遍应用在通信技术中,卫星通信、无线电接入和扩频技术等相关产业快速发展。无线电基站也到达了很多偏远地区,覆盖率已经很高,这就导致以前的卫星轨道和无线电频率资源捉襟见肘,同时电磁环境也受到一定的破坏。与此同时,无线电通信干扰也是通信安全问题的另一个诱因,主要是由于超短波发射机的干扰,这种机器通常是架设在相对较高的区域上,又因为无线电的信号天线安排紧密,无线电的输出功率十分巨大,还有很多设备是不符合国家相关标准或者是设备都超期服役,巨大的工作量会导致设备的性能根本得不到有效的保障,这样会导致的后果是互调干扰、谐波干扰以及散乱发射的情况加重。
1.2移动通信安全和发展问题
移动通信作为较为先进的通信方式被普遍使用,它在我们的日常生活中越来越重要。当大量使用的移动通信技术为人们的信息交流提供方便的同时,通信信息技术的安全性和网络技术的安全性也变得十分严峻。移动通信作为当代全球普遍使用的信息传递工具,面临着复杂严峻的安全问题。第一,面临严重的使用安全问题。移动通信行业的使用安全问题主要集中在数量和种类方面,比较常见的问题是,客户个人资料信息外流和大量垃圾短信的侵入等问题,这些安全隐患极大地损害了客户的自身利益并客户带来了重大的经济损失和心理阴影。第二,系统和网络方面安全问题。移动通信的终端智能化变革十分明显,功能也呈现出多样发展,现在很多的用户终端的病毒、木马病毒、黑客等大量安全问题的显现严重影响了大家的正常生活,破坏了终端的软件系统和相关数据资料,更为严重的是移动通信网络后台服务器的破坏,会给移动通信网络造成整体损坏,更有可能给整体经济发展带来严重的破坏。
1.3多媒体网络的通信安全问题
新型多媒体网络通信的普遍使用,造成的安全隐患更加频繁,大量的网络通信安全问题给网络正常运行造成严重的威胁。在日常生活中,通常见到的计算机安全问题会对客户造成巨大的经济损,还会对社会的稳定造成一定的影响。这就要求加快改进计算机网络安全隐患工作刻不容缓。计算机安全问题的形成多由很多方面原因造成的,除了上面提到的还有很多人为原因的影响,例如:计算机系统的泄露等原因,这些问题也充分说明计算机网络的安全工作任重道远。
1.4移动电话中存在的安全问题
曾经有一个机构声称给他提供一个手机号码,他就可以复制一个和机主相同的SIM卡,这样就可以达到监控主人手机信息的目的。可能在实际情况中,单是依靠一个手机号不能完全复制SIM卡,但是复制卡这种情况是完全可能的,这就说明手机是很有可能泄露个人相关信息的。并且去年,某权威机构对手机病毒样本进行了专项检测,发现手机中病毒样本明显增强的趋势没有得到控制,手机通信的安全问题依然十分严峻。
2加强网络通信安全的办法
第一,全面升级信息系统的安全防范体系。加强所有的信息系统相互之间的配合与预防,成功抵挡黑客病毒的侵入。第二,认真建立一套改进信息系统的防范机制,即大家通常所理解的防火墙系统和杀毒软件,尤其是要经常性的开展杀毒的更新工作,防范各种新型病毒的入侵。第三,用户要提高自身的防范能力,在使用自己的信息系统时要兼顾信息的便捷效率也要考虑信息的安全性,把自身的遭遇网络通信病毒的可能性降到最小。
3结语
企业网络正面临前所未有的高风险: 每个企业都必须遵从数量众多且时常发生冲突的内部政策、政府法规、第三方条例,以及与安全相关的行业最佳做法,这种高度复杂的安全环境本身又滋生出一种新的“极端风险”――可能导致一个或多个设备出现配置错误,或来不及应用最新的规则或软件补丁,进而使企业陷入危险境地。跨国企业在这方面面临的问题尤甚。
如何在纷乱复杂的环境中成功降低跨国企业网络的安全风险?
复杂即风险
每个企业的当务之急就是避免配置错误和违规行为,这不仅是为了规避法律风险、罚款及其他违规处罚,同时也是为了维护企业的诚信、声誉和品牌。然而,降低企业风险现在已成为纵贯多个层面的课题,需要在多个层面上制定并实施相应策略――由此产生的复杂性已成为当今企业面临的最大难题之一。
当今企业面临着各种各样的安全漏洞,防范它们所需要的工具各不相同。这些漏洞主要包括:
使网络易受其他形式攻击的网络漏洞;
数据窃取,包括跨网络数据劫持;
导致服务器、个人电脑或虚拟应用行为失常或成为其他攻击类型源头的恶意软件;
拒绝服务(DoS)攻击,可造成数据不可用,或授权用户无法访问网络。
企业不仅面临上述威胁,还必须遵从数量众多的行业及监管条例:
首先是外部监管。企业必须遵从各种因国家和地区而异的客户隐私条例,除此之外,还有专门针对特定垂直市场的第三方条例。比如,在美国,由信用卡公司组成的支付卡行业(PCI)协会分别对零售商和接受信用卡付款的实体规定了消费者隐私标准,其中涵盖IT及网络域名。企业如果违规,就要接受该协会严厉的罚款和其他违规处罚。
其次是最佳做法标准。许多企业通过实施行业标准的IT安全管理最佳做法(国际标准化组织ISO 27000系列文件中有详述)来增强其安全措施。这固然可使企业建立起适当的安全防护网,以保护其知识产权(IP)、机密数据及客户信息,同时为业务持续性计划提供支持,但遵循行业最佳做法却会产生一个新的安全规则层。
此外,正在潜入企业内部的Web 2.0社交网络、需要不断更新的软件及安全补丁……也都会增加企业的安全复杂性。
进入企业的新通道社交网络
近年来,Web 2.0技术使网络安全形势再起波澜。一年前,很多企业可能都没听说过Twitter、Facebook、YouTube之类的流行社交网络,而如今,它们已借合法商业及营销之名渗透到了企业网络内部,虽然目前可能仍然只限于员工个人使用。
进入企业网络内部的新通道正在形成。理想情况下,这些通道可用于增强企业的商业意识和改善运营; 但另一方面,它们也开辟了行使恶作剧或窃取企业数据的新途径,为员工向企业外部泄露敏感信息提供了方便。比如,社交网站就经常被用来发动网络钓鱼诈骗。
移动和无线
传统的网络边界及其相关的保护措施正随着企业用户转向无线网络(包括蜂窝移动网络和/或 Wi-Fi无线网络)而逐渐发生改变。企业必须为移动设备提供保护,加密存储在移动设备上的机密数据和通过无线传输的资料,以及保护企业网络、防范移动网络入侵(如黑客或恶意软件),这已成为移动设备管理(MDM)的一个分支。
总的来说,信息和网络技术的“消费化”开辟了(且还将继续开辟)大量“进出”企业的新途径,其中多数可在战略上帮助企业获益。随着 Web 2.0 应用的演变和移动网络的兴起,安全成了一套动态、不断变化的规则,必须予以密切关注。安全已不再是一种“设定后即可置之不理”的方针。
“紧跟变化”的难题
以上因素营造了一个复杂、多变的安全环境,而且该环境本身就是个巨大的风险。其复杂程度更高、安全层数更多、员工专业知识更趋多样化,必须予以管理和简化。来自软件和网络设备公司的新软件补丁、漏洞修补程序和安全更新不断增加,与时俱进的要求会迅速造成操作人员不堪重负,致使企业不得不在设备和软件方面做出额外投资。此外,万一负责基础架构不同部分的 IT 员工,比如安全管理员与应用服务器管理员,未能协调好工作,导致一部分部件更新,而另一部分未得到更新,也可能造成安全漏洞。
CIO和其他负责IT安全工作的员工应考虑的一个基本问题是: 如何准确创建、实施、过滤和关联所有这些策略、事件和潜在违规行为,以便时刻把握安全形势?多管齐下地进行风险管理,目标就是确保公司始终遵守各项法规,并消除针对其知识产权及数据保密性、完整性和可用性的威胁。
此外,降低风险还需要一套自上而下的管理方法,这种方法根据来自上层的管理策略编写规则。应确保公司各个层级都了解这套安全策略,并使之成为企业文化的一部分。安全应成为业务运作的一个组成部分。
四招
降低风险
要想在复杂环境中降低企业网络风险,首先要纵观全局,评估涉及隐私及机密信息的各项数据资产。其实质操作与业务持续性和灾难恢复规划相同,目标均为防止数据失窃、受损或无法访问。因此,数据安全评估和业务持续性评估可同时执行。
掌控企业整体安全形势并降低风险,还可从以下几方面入手:
1. 风险/漏洞评估
执行风险/漏洞评估的第一步,是引入能够发现企业网络上运行的一切网络设备、服务器、存储设备及软件的管理工具集。必须先了解都有哪些部件,然后才能确定是否所有部件都符合最新的策略规定,遵从适用的法规、条例,以及应用软件补丁。
幸运的是,网络发现及安全工具的准确性在过去几年里得到了极大提高。它们现在能够从网络及全网服务器设备处收集海量的安全事件数据,然后将之归纳到超长的报告中,详述网络安全的各个方面。
现在,您可以捕获所有此类信息了,然而您面临的更大难题是,如何利用这些信息制定出有实际意义的举措。这就需要您掌控这些信息,排定其优先顺序,并加以组织――所有这些必须迅速完成。捕获到的大部分事件信息是无关紧要或重复的,因此,过滤信息并在攻击发动之前迅速找到实际潜在的风险至关重要。
过滤可通过编写能够分离大量冗余信息和异常活动的自定义算法来完成。无论在企业内部还是在开放的互联网上,数据分析均基于已知攻击类型和流量历史数据。许多公司对安全问题的认知不够全面,也未将其作为分析的一部分对待,而事实上,安全问题已对全球范围的网络造成了巨大影响。此外,公司还缺乏可帮助其捕获数据并排定优先顺序的数据收集工具,比如分析软件。
要不断更新设备,企业还必须具有实现多种设备或设备类型相关联,以及定期执行漏洞扫描的能力,这些功能需要不同的专业知识和人力资源。
2. 集中化=简单+可靠
所有收集到的数据(来自面向公众的设备以及内部设备)应集中进行分析,以反映企业全貌。其目标应为简化信息,以帮助企业加快获得基于业务需求的优先顺序警报,并能够根据检测到的威胁或漏洞做出适当反应。
实现这一目标的最可靠方法之一,是通过网关与防火墙(位于不同网络结点的设备,如LAN与 WAN之间或WAN与互联网之间的设备)的统一视图收集事件数据,然后将其聚合到一个中央位置。无论这项功能是内部处理还是外包处理,跨设备的网络事件数据关联与聚合形成的企业全貌,可帮助您预测事件即将发生的时间,让您在其损害到企业之前主动化解这些事件,从而大幅降低风险。
强大的发现工具或第三方发现服务能够筛选数以亿计的警报,过滤掉不相关的数据,并将数据削减到100~200个需要网络分析师介入的事件。之后,分析师应能够解决约50个需要警惕的重要事件。
将事件削减到网络分析师能够处理的重要事件数量,是简化复杂/整体网络安全形势的关键步骤。如果本地IT员工的工作与其他站点的工作脱节,就必定会形成安全漏洞。
无论如何,跨国公司都必须应对不同国家/地区的不同法规和条例。这可能会导致不同的网络需要不同的防火墙策略设置。此外,防火墙补丁是定期的,而多数大型IT部门倾向于按某种优先顺序来为设备打补丁和升级。这一过程通常会导致优先级较低的站点疏于管理。实际上,一个站点的防火墙如果几年都未升过级,那就跟没有防火墙一样。
集中变更管理功能可外包给大型实体来予以简化,这些实体应具有规模效益、最新工具以及能够作为一个完整实体来评估和更新整个网络的安全专家。如果要内部处理这些事务,则需要在各个国家/地区雇用专家,这些专家应了解哪类信息可以在哪些国家/地区之间传递,负责维护能够获取每个国家/地区策略全貌并创建适用于所有策略的集中式策略的核心团队。
3. 策略设置与实施
今天的许多防火墙和防火墙服务都将数量众多的安全功能合并到一个设备或服务之中。这些功能有多个“层级”,每个防火墙内集成的功能取决于介于各个站点之间(WAN 服务与专用网络、专用网络与公共互联网、公共服务器与专用网络等)的网络。另外,它们还取决于与该网段相关的漏洞/风险。
入侵防护工具可能会集成这样一类策略: 对流量执行代表异常的特征码进行扫描。防火墙和安全软件厂商会针对已知恶意软件的特征码迅速制作并发送补丁,将其自动从流量中过滤掉。这就是必须确保所有设备不断更新的原因,新的威胁时时刻刻都在涌现。
安全程序还可以简单地寻找任何“不寻常”的活动――例如,特定服务器或其他计算机上出现非常多的通信请求,会使其过于“忙碌”,而造成用户无法访问。
根据某个企业必须遵从的一系列内部最佳做法和监管要求,用户访问列表和验证可能是基于角色的,且可能因国家/地区、行业而异。这对于加密数据是一样的,无论这些数据是保存在个人电脑硬盘上,还是使用IP Sec或SSL VPN专用“隧道”通过网络进行传输。
4. 与可信第三方合作
今时今日,要保持不断更新自己遍布全球的分支机构网络上日新月异的策略和安全设置(需要实施、评估和审核),是大型跨国企业面临的一道难题,甚至是一项不可能完成的任务。它们需要一个专注于该领域并经过授权的安全/网络运营中心(S/NOC)为其提供全天候不间断的政策和法规审查、风险评估、应对即将来临的警报并主动规避风险。
有些跨国企业会依靠自己的力量,努力管理和维护这些中心。只要新的法规和安全威胁不断出现,此类企业就必须不断为升级设备、软件和提高员工技能持续投资。
但是,也有很多跨国企业认为信息和网络安全体系并不属于公司的核心业务,不妨将持续监控、评估和审核这些工作交由专业、可信的合作伙伴来完成。
关键词:等保测评;数据中心;基础网络
伴随着互联网中的应用程序日渐丰富与多样化,数据中心的基础运行环境由原来的C/S架构逐渐向由通过网络设备互联的服务器集群的方面转型。因此,由传统的通过硬件、操作系统、操作系统之上的应用系统所组成的基础架构变得越来越复杂。然而,这越来越复杂的结果导致即将转型为数据中心的安全体系带来了更多的风险与困难,一些数据中心的安全策略配置不当或者不正确,往往都会给非法入侵者留下可被利用的后门或漏洞。尽管网络管理员、系统管理员、系统安全员等相关负责人都已经拥有相对较高的安全防护理念与意识,并通过不断架设安全设备来保障数据中心的安全性与健壮性,但对于层出不穷和日益完善的黑客攻击手段,这些传统的防御理念和措施仍不足以保障数据中心的安全。因此,管理集约化、精细化的产物——数据集中就应运而生。目前国内企业信息化建设、电子政务兴起都将倚靠数据集中的蓬勃发展。同时,数据大集中以及大数据的推动也必将倚靠数据中心的建设。作为网络中资源最密集的载体、数据交换最频繁的中心基础网络,数据中心无疑是一个充满发展前景的新星产业。然而,数据中心由于是大数据的集合,必然包含无数信息与机密,对于数据中心上的任何防护漏洞必将导致无法计算的损失,因此构筑一道完善且完整的安全防护体系将是其首要解决的问题。
一、现有数据中心安全分析
1.1 针对应用层面的攻击。应用层面的攻击方式包括缓冲区代码溢出、植入病毒、蠕虫攻击、植入后门木马等,其中,应用攻击中最典型的方式为蠕虫攻击。蠕虫是指"通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪"[1]。从本质上讲,蠕虫可以在网络中主动进行传播,进而对系统进行破坏,而病毒则需要手工干预,比如利用外部存储介质的读写、点击非法链接而被植入病毒。1.2 针对网络层面的攻击。在数据中心中针对网络层面的攻击主要包括分布式拒绝服务攻击(DDoS)、拒绝服务攻击(DoS)等。虽然DDOS/DOS存在由来已久,但其破坏力却仍然被网络管理员以及安全管理员所忌惮。最常见的DDOS攻击方法有ECF(Established Connection Flood)、SYN Flood和CPSF(Connection Per Second Flood)。DOS攻击程序有UDP反弹以及ICMP Smurf等方式。DDOS/DoS攻击利用了TCP/IP的开放性原则,即协议自身规定的从任意源地址向任意目标地址都可以发送数据包,导致DDOS/DOS利用合理的、海量的、不间断的服务请求来耗尽网络、系统等可利用的资源,使得合法用户无法获取正常的服务响应。随着分布式技术的不断的完善与改进,及时在网络和系统性能的大幅提升的今天,数以亿计的主机同时对某一网络系统发起攻击,造成的后果不言而喻,最直接的影响即使网络瘫痪、系统无法正常使用。1.3 针对网络基础设施的攻击。数据中心作为一个充满发展前景的新星产业。又是大数据的集合,其中包含了无数信息与机密数据,即使安全设备部署的再完善,如果内部管理不当,依然会被攻破,而且来自内部的攻击更具破坏性。企业内部的不法分子在充分了解数据中心的架构与部署的前提下,不仅可以通过黑客技术绕过防火墙,还可以凭借对网络构架的充分了解,通过嗅探技术、违规访问、攻击路由器/交换机设备等手段,访问非授权的数据,这将无疑对企业造成更为重大的损失。1.4 数据中心网络安全设计原则。由于数据中心承载着其上用户的所有机密数据、核心业务或核心技术,并且数据中心还为内部之间提供数据之间的交换与业务之间的交互。因此,在构建数据中心的网络安全时,要从以下几个方面进行合理规划与建设:1.4.1安全分区:要将数据中心的网络划分为各个不同的安全区域,同时确保不同区域之间未经许可不能访问,用户和客户机在对数据中心访问时只可以访问他可以访问的区域,禁止违规外联和非法访问以及恶性的入侵攻击。1.4.2性能保障:要通过建立高性能、可靠性高的网络环境,确保数据在网络中传输的完整性,同时可以利用CRC循环校验算法校验数据在网络中的丢失情况,使得数据在网络传输过程中加了双重保险。1.4.3技管并重:很多人会认为,只要技术上有了足够的保证,那么安全性必然有了保证。其实不然,正所谓系统的安全性保证都是三分靠技术,七分靠管理,技术层面设计得再优良,也要有与之对应的管理制度去推动。1.4.4新近原则:及时汲取当前最新的安全技术,以减轻安全管理的负担为目标,实现安全管理的自动化,同时减小因为人为管理认知上的漏洞对系统安全造成威胁。1.4.5平衡发展:在构建数据中心的时候要充分考虑今后业务和网络安全的共同协调发展,既要能满足今后业务的扩展,又要能够实现当前技术与未来新技术的无缝链接,避免只满足系统安全要求,而给业务发展带来障碍,或者为了扩展业务而忽视了安全建设的情况发生。
二、数据中心网络安全设计要求
2.1 物理安全设计要求
2.1.1 物理访问控制。机房存放着网络设备、服务器、办公环境以及信息系统的设备和存储数据的介质及相关设备场所,机房各出入口应安排专人负责,记录进入的人员,划分关键设备与非关键区域,区域之间通过玻璃隔断实现物理隔离,关键区域采用智能卡和指纹识别的门禁系统,对进入关键区域人员实现“双道”鉴别。2.1.2 温湿度控制。机房存放着不同业务系统的主机,由于主机在运行时会产生大量的热量,而保证良好机房环境的精密空调系统则成为不可获取的必备设施。而机房精密空调系统就是为了保证公司内部机房中的网络设备、安全设备、服务器等一系列硬件设施能够连续、稳定、可靠地运行,同时,精密空调系统还需要维持机房内恒温恒湿状态,防止静电现象的产生导致设备的损坏。2.1.3 电力供应。公司机房的其供电要求非常高,按照等级保护四级系统的要求应采用UPS不间断电源,以保证在机房断电的同时,通过UPS不间断的供电来保证机房内部实施的稳定、正常运行,为电力抢修赢得时间。同时其供配电系统应采用N+1冗余并机技术以实现空调设备、动力设备、照明设备、测试设备等设备的正常使用。2.1.4 动力环境监控系统。数据中心机房除了部署视频监控系统、UPS系统、消防系统、精密空调系统,还应该部署水敏感检测装置、红外告警装置等,且所有系统统一集成动力环境监控系统中,方便机房管理员有效了解温湿度、消防、电源、UPS等状态以及告警信息,及时对告警信息进行分析和处理。
2.2 网络安全设计要求
2.2.1 区域边界安全。应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查;应逐步采用网络准入、终端控制、身份认证、可信计算等技术手段,维护网络边界完整性。安全区边界应当采取必要的安全防护措施,禁止任何穿越数据中心中不同业务之间边界的通用网络服务。 数据中心中的的业务系统应当具有高安全性和高可靠性,禁止采用安全风险高的通用网络服务功能。2.2.2 拒绝服务攻击。在数据中心中针对网络层面的攻击主要包括分布式拒绝服务攻击(DDoS)、拒绝服务攻击(DoS)等。虽然DDOS/DOS存在由来已久,但其破坏力却仍然被网络管理员以及安全管理员所忌惮。最常见的DDOS攻击方法有ECF(Established Connection Flood)、SYN Flood和CPSF(Connection Per Second Flood)。部署相关的网络安全设备,抵御DDOS/DOS的攻击。2.2.3 网络设备防护。实施工程师和客户之间存在不可或缺交流的问题,大部分实施工作以能够“通信”为原则,忽略网络设备安全防护的能力。设备应该关闭使用多余接口、采用SSH V2作为远程管理协议、为不同管理员分配不同权限的账号,实现“权限分离,多人账号管理”根据业务的要求,制定详细访问控制策略,提升网络设备的安全性。2.2.4 恶意代码防护。随着技术的快速,数据中心网络面临各种可能性的攻击。缓冲区代码溢出、植入病毒、蠕虫攻击、植入后门木马等,其中,应用攻击中最典型的方式为蠕虫攻击。蠕虫是指“通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪”[1]。在数据中心网络出口处部署恶意代码防护系统,防止计算机病毒、木马和蠕虫从网络边界处入侵而造成的传播破坏,对恶意代码进行检测和清除。2.2.5 入侵防护防御系统。随着业务系统发展的需要,WEB服务器需要暴露公网环境中,随时都面临被攻击的可能性。在DMZ边界部署入侵防御系统,能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用,制定详细入侵防范策略,修改默认策略,发生攻击行为时记录日志。
2.3 安全审计设计要求
2.3.1 日志服务器。日志可以帮助我们分析设备是否正常,网络是否健康,任何设备或系统都应该建立完整的日志系统。部署日志服务器,对交换机、路由器、安全及相关设备运行日志进行集中收集, 便于管理员了解网络运行情况以及方便故障排除。2.3.2 安全审计。数据中心部署审计平台网络设备的运行状况、网络流量、管理记录等进行监测和记录,记录时间、类型、用户、时间类型、事件是否成功等相关信息,利用审计平台生成的记录和报表进行定期分析,为了方便管理员能够及时准确地了解网络设备运行状况和发现网络入侵行为。
2.4 数据备份与恢复设计要求
涉及数据中心的业务相对比较重要,数据大而多,多存放于本地或异地容易容灾系统,一旦发生不可预见对的困难,影响范围广和后果难以估计。因此,数据中心必须具备备份与恢复检测,确认信息的完整性和可用性,确保数据能够及时恢复。数据备份与基本要求:(1)每天进行增加备份,每周进行全额备份;(2)应部署异地容灾系统,通过数据中心基础架构实现关键数据的异地备份;(3)与容灾中心进行异地备份要进行完整性校验,确保备份数据有效性;(4)数据须至少每个月进行恢复测试,以确保备份的有效性和备份恢复的可行性。
三、结束语
数据中心网络技术突破了传统的物理结构限制的壁垒,高效整合和利用了各项基础设施资源,为网络技术发展和虚拟化技术发展带来革命性突破,同时也给信息产业带来新的机遇。但新的技术总是伴随着新的安全隐患,而安全问题若不能得到合理解决将会阻碍其技术的发展,这需要在未来技术发展中深入分析和了解以寻求解决之道。数据中心建设过程中的网络安全是数据中心安全体系的最基本、也是最重要的环节,只有合理的设计网络安全规划方案,并提供持续安全加固的扩展性设计,才可以保证基础网络平台的安全性与可靠性。但要构建全方位、高安全的数据中心体系,还需要融合物理安全、网络安全、主机安全、数据安全、应用安全、以及管理制度等方面,从各种安全角度出发进行相应的安全规划,并不断完善数据中心的安全防范等级。
作者:冯国礼 李蓉 王晔 单位:国网宁夏电力公司信息通信公司
参考文献
[1]GB/T22239-2008.信息系统安全等级保护基本要求[S].
关键词:网络安全性系统
一、计算机网络安全存在的问题
人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面:
1.互联网络的不安全性
(1)网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
(2)网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
(3)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。
2.操作系统存在的安全问题
操作系统是作为一个支撑软件,使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
(1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
(2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。
(3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。
(4)操作系统会提供一些远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行,如telnet。远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全的问题。
3.防火墙的局限性
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使内部网与外部网之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。
二、计算机网络安全的对策
1技术层面对策
(1)建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。
(2)网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
(3)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。
(4)应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。
(5)切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U盘和程序,不随意下载网络可疑信息。
(6)提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
2.物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:
(1)计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。
(2)机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
(3)机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。
参考文献:
[1]孟祥初.网络安全重在流程[N].通信产业报,2007.
[关键词] 全球生产网络;企业档案;信息化管理
[中图分类号] C931.9 G271 [文献标识码] A [文章编号] 1671-6639(2013)02-0036-05
随着信息化时代的来临,对企业档案进行信息化管理是时代必然的要求。在国家档案局了《关于加强企业档案信息化建设的意见》之后,不少学者对企业档案信息化管理进行了相应的研究。经济全球化促进了生产与信息技术的进步,国际生产网络逐渐形成,为了获得全面可持续竞争优势,跨国企业需要进行知识创新、机制创新,这对承载着大量信息资源的档案管理也提出了新的挑战。但迄今为止,很少有学者结合全球生产网络这一背景,对企业档案信息化管理进行具体阐述。因此,本文根据全球生产网络的特点,剖析企业档案信息化管理对全球生产网络的重要性,并对如何构建全球生产网络条件下的企业档案信息化管理系统提出了自己的看法,从而为企业档案信息化管理提供一定的理论与现实意义。
一、企业档案信息化管理概述及问题提出
企业档案信息化管理是指在企业档案管理活动中,以给企业发展提供更便捷有效的服务为目的,充分利用现代信息、网络等技术,对企业档案信息资源进行有效的管理和开发。它是基于计算机网络技术的快速发展而形成的档案管理的一种新模式,可以及时、准确地为企业各部门提供有效的档案利用服务。自2000年邰晓彤、王玉霞在机电兵船档案发表的《浅谈企业档案信息化管理》一文中,首次提出企业档案信息化管理这个话题后,企业档案信息化开始受到了广大学者及企业界人士的关注[1]。例如,唐超嫦、张曼琴等人基于企业经营行业的不同,对其进行了分析[2][3];宋奇芳、黄荣等人对企业如何实施档案信息化管理提供了建议[4][5];金楠、徐茹民等人针对企业档案信息化管理中存在的问题进行了分析,并提出了相应的解决思路[6][7]。然而,纵观企业档案信息化管理相关的文献,关于其在全球生产网络下如何实施的研究却比较匮乏。
全球生产网络是当今经济形态发展的产物,是指跨国企业将产品价值链分割为若干个独立的模块,把每个模块都置于全球范围内能够以最低成本完成生产的国家和地区,进而形成的多个国家参与产品价值链的不同阶段的国际分工体系。这种不断细化的分工体系也给企业档案管理带来了全新的挑战。因此,在全球生产网络条件下,如何满足企业对档案信息化管理的需求,是当今企业面临的一个重要问题。
二、企业档案信息化管理在全球生产网络中的必要性
在全球生产网络中,信息的及时获取与传递是企业有序运行的保障。作为企业日常经营活动信息的载体,企业档案实现从实体管理向信息化管理的转变是推动全球生产网络运行的前提条件,其具体作用有以下几点。
(一)加速信息流动,促进全球生产网络资源共享
随着经济一体化的深入发展,市场竞争日益激烈,面对全球生产网络中各个研发、生产、销售机构的全球性分布特征,相关信息的及时获取是其取得成功的首要条件,而传统的企业档案管理模式无法满足这一点,因此,对其进行信息化管理是时代必然的趋势。
其一,企业档案信息化管理扩大了信息的接收范围。借助信息化管理系统的构建,企业能够迅速地从分布在世界各地的网络成员中采集信息,突破了地理上的限制。
其二,加快信息传递速度,实现信息资源及时共享。实行企业档案信息化管理,可以将捕捉于全球各地的信息及时地录入档案系统,供全球生产网络中有相关需求的成员共享。这种自动化、数字化的档案管理方式为全球生产网络构建了一个资源快速共享的平台。
(二)促进企业档案管理规范性,降低管理成本
企业档案管理涉及企业日常的一系列活动,包括档案采集、整理、保管、利用等多个环节。全球生产网络中的成员分布在不同地区,难免会受到当地社会制度、管理文化、语言文字等因素影响,导致企业总部与成员机构之间的档案管理产生差别[8]。这不仅增大了档案统一管理的难度,也限制了档案资源在全球生产网络各个机构间的共享,而档案信息化管理系统的构建则能有效解决以上问题。
一方面,企业档案信息化管理系统通过电子技术的采用,设定录入、整理、查询等模块,形成一个规范统一的档案管理模式,可以自动对录入信息进行归类整理,提高了企业档案管理的专业化、规范化程度,方便企业总部与各机构之间的统一管理。
另一方面,传统的档案管理模式不仅需要耗费大量的人力成本,而且利用档案的效率低下。而信息化的企业档案管理依托网络技术的进步,在企业总部形成档案数据库,网络成员通过权限验证便可自行登录系统查阅, 从而提升了企业档案利用率,也大大降低了人力成本。
(三)实现档案管理转型,提供科学决策
传统的企业档案管理主要是关注企业发展历史,进行档案存储工作。而日新月异的市场动态以及全球生产网络特有的需求,都迫切需要档案管理进行转型,从而为企业决策提供科学依据。在2010年企业档案国际研讨会上,瑞士的罗氏集团、丹麦的马士基都提出了档案管理由面向过去,转为面向现在和未来的必要性[9]。而这种转型目标的成功实现,离不开对企业档案实行信息化管理。
首先,通过企业档案信息化管理系统,可以及时采集整个生产网络的动态信息,为企业总部迅速把握市场动态、进行战略规划提供了依据。
其次,实行企业档案信息化管理,可以随时向全球生产网络中的成员展示关乎企业文化的档案,有助于形成统一的企业价值观,为企业树立良好的形象。
三、企业档案信息化管理系统在全球生产网络中的应用
从上文分析中可见,实现企业档案信息化管理可以为全球生产网络带来更大的协调效应。本节根据全球生产网络的职能结构,提出了企业档案信息化管理相应的功能模块图,并以用例图的形式构建了面向全球生产网络的企业档案信息化管理系统。
(一)全球生产网络职能结构
全球生产网络是一种灵活的新型组织形式,在全球生产网络中,企业不再是简单的层级关系,而是表现为体系内部国际分工[10]。其职能结构的一般模式如下图:
图1 全球生产网络职能结构图
(注:图中P1,P2,Pi表示全球生产网络中分布在全球各地的生产机构,D1,D2,Di,S1,S2……Si分别表示各地的研发和营销机构。)
(二)全球生产网络下企业档案信息化管理系统模块
根据前面小节分析的全球生产网络对企业档案资源的需求,企业档案信息化管理系统需要包含以下功能模块,如下图。
图2 企业档案信息化管理功能模块图
1.档案录入
处于生产网络中的各个机构,需要及时地把信息录入档案系统。若信息以纸质形式出现时,可以通过电子扫描仪转成电子档案再导入系统,这将实现档案资料按统一的格式录入。需要注意的一点是,在这个模块的设定中,应该遵循“唯一性”原则,即每份档案只能对应一个主题词。应该根据企业需要,按主题、部门等具体条目进行分类设定。如此一来,每份录入的档案信息都能准确地归类到所属的条目之下,方便之后的档案查阅。
2.档案更新
这一模块主要是面向企业档案的及时性与准确性。一方面,当全球生产网络中的某些成员将新的档案信息录入系统之后,需要及时将其保存到数据库中,更新之前的数据库,从而能为网络中其他成员及时提供最新信息,为档案更新流动提供保障。另一方面,若有些录入系统的档案信息出现错误或偏差,需要将其改正或删除。企业总部在对录入的档案信息进行审核之后,若发现有错误,需及时对信息进行改正,然后再反馈给全球成员。
3.档案查询
这一模块是档案管理的主要目的,是指对档案的有效利用。通过前面两个模块的设定,形成了档案信息数据库,当全球生产网络中的成员需要相应的档案信息时,档案查询功能能够帮助他们及时获取所需的资料。在这一模块中,需要注意以下两点:一,设定档案查询的检索模式,例如分为高级查询和简单查询,从而更利于使用者快速查阅到所需档案;二,若有些档案涉及到机密,应该根据用户权限管理的设定,对不同级别的用户公开不同密级的档案资料。
4.系统管理与维护
这一模块是针对系统管理员而设定的,主要是档案管理系统的日常维护工作,包括用户管理、系统设置以及安全维护三个方面。
首先,用户管理。用户管理主要涉及权限控制和身份验证。对访问权限进行控制,主要是对系统的用户及其权限进行管理。一般系统默认创建两个用户组,一个是管理员用户组,可以拥有系统的任何权限,对系统进行统筹协调。另一个用户组是公共用户组,可以使用系统提供给他们的相应功能。在权限控制设定中,还需要设定权限使用的有效期,从而达到自动管理用户的目的[11]。身份验证是指对用户权限的承认与允许。用户在进入档案管理系统之前,都需要进行身份验证,只有与系统中的身份数据相匹配时,才能进入档案系统,进行档案查询等活动。
其次,系统设置。在系统设置中,需要设定系统日志,通过日志管理,可以自动对访问过系统的所有用户的访问情况进行如实记录。同时,需要设定系统日志子系统,可以日志文件的保存时间视企业情况而定,一般不少于六个月[12]。
最后,安全维护。档案信息化管理有利于全球生产网络的良好运行,但也带来了档案管理的安全问题。因为企业档案囊括了企业所有的信息,其中有些资料是企业的机密,如果管理不当,导致被他人窃取机密,将给企业带来巨大的损失。因此,安全中心这个模块是企业档案信息化管理系统的重要组成部分。应该根据不同级别的用户,对一些机密档案进行密级划分。同时,在这个模块中,需要进行数据备份,这主要是为了防止由一些意外突发事件引起的档案文件丢失问题。
5.档案分析
档案分析是针对企业总部而设定的模块,主要是为了发挥档案信息的“面向未来”的作用。在前文中也已经分析到,我们不应仅把企业档案看作是企业的历史,还应该充分发挥它的归纳预测功能。通过这一模块的设立,企业高层能够对档案资料进行统计汇总,并根据相应软件,对历史资料进行分析,为企业当前乃至未来的活动提供参考。如此一来,企业档案信息化管理能够有助于企业及时地把握市场形势。
(三)面向全球生产网络的企业档案信息化管理系统构建
前面小节已经对全球生产网络下的企业档案信息化管理所需的功能模块进行了具体介绍,为了更清楚地认识企业档案信息化管理系统在全球生产网络中的作用,本节构建了一个面向全球生产网络的企业档案信息化管理系统,如下图所示。
四、企业档案信息化管理需要注意的问题
在前文中,我们分析了实行企业档案信息化管理对于全球生产网络的重要意义,并构建了一个面向全球生产网络的档案信息化管理系统。通过对当今一些企业档案管理的研究,笔者认为有效地应用全球生产网络下的企业档案信息化管理系统,还需要解决以下一些问题。
(一)创新培训手段,完善档案管理员工知识结构
如今,企业对档案资源信息化管理的认识逐步提高,逐渐增加了对企业档案基础设施建设的投入。然而,企业档案实现信息化管理的关键在于人才,面向全球生产网络的企业档案信息化管理系统对档案管理人员提出了新的要求,档案管理人员不仅需要具备一定的业务操作能力,还需要拥有对档案信息的分析和开发利用能力。传统的档案管理人员由于知识结构老化等原因,不能较好地胜任档案信息化管理工作。目前为止,既具有较强的计算机应用能力,又熟悉全球生产网络管理的档案管理人员还比较缺乏。因此,在对档案管理人员的培训上,企业应改变传统单一的业务知识培训模式,以培养员工的信息分析利用能力、计算机软硬件开发能力、网络环境下系统运行维护能力为目标,探索综合性的培训机制,完善档案管理人员的知识结构。同时, 还可以通过建立一套激励机制, 如支持档案管理创新的奖励机制或用人机制,来激发档案管理人员工作的主动性以及创造性。
(二)健全管理制度,提高档案资料安全系数
实行企业档案信息化管理有效地促进了档案资料在全球生产网络中作用的发挥,然而,这同时也引发了档案管理的安全问题。若档案管理系统受到不法分子的攻击,导致部分关乎企业机密的档案信息泄露,将会给企业带来巨大的损失。同时,近年来,企业员工流失率比较高,跳槽现象非常频繁,这也带来了企业商业机密的泄露问题。因此,一方面,亟需建立起一套完整的现代档案管理体系,健全新形式下的档案管理制度,推动档案管理的法制化、规范化。另一方面,企业应该从内部管理入手,加强员工的职业道德培训,采取一切可利用的手段来防止档案资料的泄露。
五、结束语
本文主要分析了在全球生产网络中实行企业档案信息化管理的积极意义,并探讨了一个面向全球生产网络的企业档案信息化管理系统的构建。通过分析可以看到,在全球生产网络中,企业档案信息化管理有助于企业总部对整条价值链的控制,发挥档案资料的动态预测作用,同时,也促进了信息在全球生产网络中的及时传递,形成档案信息共享平台。全面实行企业档案信息化管理是一个需要长期探索的问题,如何结合具体实践,实现档案信息化管理在全球生产网络中的效用最大化,还有待于进一步的研究。
[参考文献]
[1]邰晓彤,王玉霞.浅谈企业档案信息化管理[J].机电兵船档案,2000(2):p35~36.
[2]唐超嫦.企业档案管理工作浅析[J].建材与装饰,2009(10):p33.
[3]张曼琴.档案信息化标准研究综述[J].办公自动化,2011(16):p27~28.
[4]宋奇芳.浅谈企业档案的信息化管理[J].企业管理,2010(18):p169.
[5]黄荣.浅谈企业档案的信息化管理[J].南方论刊,2012(8):p84~86.
[6]金楠.浅析企业档案信息化建设存在的问题及对策[J].黑龙江教育学院学报,2011(9): p199 ~200.
[7]徐茹民.建筑施工企业档案信息化管理中的问题及解决思路[J].城建档案,2012(12): p36~38.
[8]韩晶.试论经济全球化背景下企业档案管理工作的改革和创新[J].中国行政管理, 2005(5):p86~88.
[9]王岚.经济全球化条件下跨国公司档案管理新理念[J].机电兵船档案,2011(1):p6~8.
[10]刘春生.全球生产网络中跨国公司组织结构的变化[J].软件工程师,2007(7):p36~37.
[关键词]网络环境;国际经济法;案例教学;探究
一、网络案例教学及其研究现状
案例教学法首创于美国哈佛大学商学院,最先在其教学中采用.由于案例教学法强调实践性和研究性,得到人们的青睐,很快就被广泛运用于商业和企业管理学的教学中,其内容、方法和经验也日趋丰富和完善,并在世界范围内产生了巨大影响。案例教学也即具体事例教学,是在教师的精心策划和指导下.根据教学目的和教学内容的要求,运用典型案例,让学生身临其境地分析研究案例,激发创新思维以培养沟通能力和提升实践能力为目的的一种教学模式。案例教学法是一种具有针对性、实践性、启发性、研究性和时效性的教学方法,其可以提高学生运用知识、驾驭和发展知识的能力,有利于提高学生分析问题和解决实际问题的能力,可以激发学生学习的积极性,使学生学会主动学习。随着网络的普及,以及多媒体技术在人们生活中的应用,这种新兴的现代化教学工具和媒介与案例教学模式相结合越来越为教育界所关注。我国对于“数字化”、“网络资源”、“网络化教学”、“网络教学平台”的研究,在2000-2001年处于起步阶段,“网络教学平台”刚被引入时不被重视(两年只有8篇文章)。从2003年开始,各类数字化教学资源的开发和利用得到充分重视,对“网络化教学”和“网络教学平台”的研究呈现快速发展的状态。[1]欧美等西方发达国家网络教学的发展比较迅速和成熟,早已经过了普及阶段,向更高层次的应用和标准化方向发展。在教育部“关于启动高等学校教育质量与教学改革工程精品课程建设工作的通知”之后,我国重视网络教育平台与教学网站的建设,开展了国内教学网站的建设。几年来也得出不少成果。特别是国家精品课程建设带动和促进各地区及各高等学校精品课程的建设,典型的网络课程案例建设也提高了各级学校的教学质量。
二、国际经济法课程的特点
1、国际经济法学是一门实践性较强的学科。
国际经济法是一门社会性学科,又是一门实践性学科,其教育的目的是培养学生分析和解决跨国经济交往中发生的国际经济法律问题的能力。因此在教学中必须解决的关键问题是如何为学生模拟真实的场景,让学生有如身临其境的感觉去感受真实案例发生的真实状况,并用丰富的视觉和听觉信息刺激学生的认知感受,使学生对事件有深刻的感性认识,从而激发其分析问题和解决问题的动力。
2、国际经济法学是一门开放性、综合性、边缘性学科。
国际经济法课程是一门包含国内法和国际法、程序法和实体法、公法和私法规范的开放性、综合性、边缘性学科。因此,对于初学者来说不仅需要有雄厚的法法学基础知识为基奠,有相应的英文阅读能力,同时还必须具有丰富的国际国内的相关背景知识为前提。因此教授国际经济法课程要解决的另一关键问题即让学生理清各类不同性质的法律规范是如何有机的组成国际经济法这个部门法的。让学生掌握实践中解决国际经济法案例应如何查找浩如烟海的法律以及如何准确适用。
3、国际经济法学的现实案例距离学生生活较远
在现实生活中,国际经济法具体案例与学生日常生活联系得并非很紧密,而传统的教学模式只能通过声音和文字的媒介把知识传授给学生,这种单一的授课模式让学生感觉国际经济法离自己的生活很遥远,而对于“实用论”愈趋占主导地位的今天,学生可能从一开始就会在心理上对国际经济法产生抵触的心理,这对国际经济法课程的顺利开展是不利的。而网络是一种可以将遥远的事件展现在眼前的现代化工具,它可以现实人类将世界万事万物尽收眼底的愿望,扩大人类对世界万物的了解和缩小人们对应认识的事物的距离感。
三、传统案例教学模式对国际经济法课程讲授产生的弊端
1、传统案例教教学模式不能激发学生学习的主动性。
根据教学主体在参与教学活动中所发挥的主观能动性的程度,将教学模式划分为三种:学生主动型、教师主动型、师生互动型。其中,学生主动型模式一直是教育实践所追求的最高目标。以教师为主导的教学模式是现阶段高校中普遍采取的一种形式,案例教学法从美国传入我国后,特别在法学教育领域案例教学模式也体现为教师主动型教学模式,通常是教师通过语言的表述把案例的内容传输给学生,学生根据老师已经教授的基础知识分析和解决案例。这种教学模式忽略了教学活动中学生主观能动性的发挥,忽略了教学对象个体性的差异,学生的背景知识局限于老师所讲授的内容当中,容易产生僵硬呆板的学习气氛,影响学生的创新能力、实践能力发展。因此,对于国际经济法学这样一门实践性较强的学科来说,传统案例教学模式不能激发学生主动学习知识的动机,学生主动型教学效果难以实现。
2、传统的案例教学模式不能强化学生对案情的感性认识。
学生认知事物的过程是从感性认识上升到理性认识的过程。因此在感性认识阶段就必须给学生足够的强烈的信息刺激,以激发学生的兴趣,从而使学生由被动的知识传授转化为主动的搜索信息以丰富其对应认识事物的理解,进而对应认识事物转化为理性认识,以便在实践中应用所认知的事物。而传统的案例教学只有通过声音和文字的方式向学生传达信息,其严重依赖于老师语言和文字表达能力。国际经济法案例通常相对较为复杂,相关制度也较为庞杂,而语言和文字传输信息有很多局限性,如,教师的语言和文字表达能力、声音的频率和强度等对学生接受信息的效果有较大影响。相反,网络中的资源丰富多彩,各种信息以多媒体化——文字、图像、图形、声音、视频图像、动画等等呈现,形象逼真,生动新颖,从而为学生创设生动、形象、多样化、接近实际的学习情境。网络所带来强烈的外部刺激,使学生处于一种强烈的感受之中。正是这种新颖性和感受性,使学生产生一种积极的心理体验,并迅速转化为一种求知欲望,转化成一种进入创造学习的主动性。各种案例的真实情形、表现(案情)光有文字和口头描述还不够,还需要借助可视性图像以强化感性认识,这是非常重要的认识学习和分析判断过程。[2]国际经济法的实训不同于其它学科,我们的教育目的是培养学生发现问题、分析问题、解决问题的能力,而不是单纯对知识的记忆。学生要面对的是一些人、事、气氛,而且要有虚拟法庭,这是传统案例教学法所无法实现的。
3、传统的案例教学模式容易使学生陷入思维定式
传统的案例教学通常是采用“基本理论知识传授—案例印证—结论”这样的教学模式。这种教学模式试图培养学生的分析问题和解决问题的能力。但是,如前所述,由于受传输媒介的影响,其不仅不能达到这样的效果,同时会让学生陷入一种无法自拔的思维定式当中。学生很自然地判断老师所举的案例肯定是为深入分析前面所讲授的基本理论知识为目的,因此,很容易就根据已知的前提基本理论知识得出正确的结论。陷入这种思维定式的学生其思考问题的角度就会受到很大的局限,往往从单一的角度去分析问题和解决问题,这样的思维方式很难适应实践中复杂多变的真实案例,因此,传统的案例教学法是无法真正解决学生分析问题和解决问题的能力的。
四、网络环境下国际经济法课程案例教学模式
在实践教学中,笔者认为国际经济法案例教学在网络环境下应采取的教学模式具体步骤如下:
1、多媒体方式设计教学案例
我校已配备多媒体教学设备,因此,教师应采用多媒体课件的方式制作条理清晰,内容丰富、实践性较强的教学案例。根据每个章节需要学生重点掌握的内容确定学生学习的重点任务,在整个教学案例的设计上应该遵循以下的原则:
(1)真实、多媒体化的情境性原则
教学案例应该是真实生活的体现,应具有高度的拟真性,而不是由专家预先组织好的知识体系和经验体系,而是从活生生的教育实践中提取出来的现实事例。在真实的前提下,案例作为一个故事,得有情节,有矛盾的冲突,凸现问题的复杂性,能够引导学习者对案例展开讨论。
在多媒体网络环境下,要通过文字、图形、图象、音频、动画、视频等多种媒体形式展示案例,这样不仅可以改变传统案例纯粹阅读文本信息的枯燥乏味,可以真实、生动地再现案例的起因、、结尾,而且视音频素材更能够增加案例的情境性和吸引力,使案例活了起来,更能够体现案例的知识性、趣味性和实践性。
(2)科学、明确主题的教育性原则
设计网络教学案例的最终目的就是为教学服务,对学习者的身心发展起到正面的促进作用.因此,其选材要针对教学目标的需要。无论是在案例的搜集、编写或选择的要求方面,还是在培训过程中对所选定的案例进行分析研究方面,在保证科学性的前提下,都必须有“明确的”案例主题和研究主题。案例教学不单纯是去寻找正确答案的教学,而是重视得出结论的思考过程,这个思考过程正是实现教学目标,尤其是提高学生分析问题和解决问题的能力的教学目标的重要手段。
(3)发散、灵活多元的问题性原则
案例是一种特殊的教学情境,案例教学以案例中的问题为起点,以表征问题和解决问题为指向,最终达到学生建构知识意义的目标。因此,案例的“问题性”是案例冲突的体现,所设置的问题应该能够“凸显矛盾”,具有“内在的启发性”和“灵活的开放性”。通过对教学案例中问题的分析和讨论,学习者可以从自己的知识背景出发,能够对已有的假设和命题进行证明或伪证的检验,进一步理解信息并内化有关理论;而且还可以提出新问题,新假设,创生出新的个性化、多元化的问题和理论。[3]
2、学生根据网络搜集并整理和分析资料
学生根据老师设置的教学案例以及教师提供和自己搜索的的网站,根据自己的意愿结合成各小组。各小组应确定自己的主题任务,分工合作,从而使收集资料工作进入正轨。学生对搜集的资料进行分析和整理,并针对老师设计的案例进行分析并通过小组成员的讨论得出结论。
3、各小组成员课堂展示研究成果
经过前一阶段的工作,各组学生对教师设计的案例分别得出自己的结论。在课堂上老师要组织各小组通过多媒体课件的方式展示自己前期的研究和分析的成果,各小组可以以模拟法庭的方式对自己的研究成果进行论证和辩驳,也可以以研讨会的方式交流各自的思想和解决事物思维方式。
4、教师评价并出示正确结论于网络中
教师对各小组成员解决问题的方式及其结论进行综合评析,并通过所设置网络交流空间的方式将教师认为比较正确的结论公布于网络中。如,通过QQ群的方式把结论公布于群空间中,学生对老师的结论有疑问的可以通过QQ的方式与老师进一步交流,学生之间也可以就老师的结论进行进一步的研究和探讨。[4]
综上所述,本文的案例教学模式已经不单纯属于一种教学模式的变革,而涉及到整个教学组织系统的变革。这不仅需老师在观念上有所转化,同时需要学生在思维和心理上对该模式逐步的接受。与传统的教学模式相比较,学生在整个教学的过程中起着主导性地位,学生从传统被动接受知识的角色转换成主动学习知识的角色。因此,学生在该模式中需要花费更多的时间和精力,其效果也将使学生对知识的掌握更丰富更深刻,分析和思考问题的纬度更宽,解决问题的能力相对也较强。教师在该模式中要准确充当引导者的角色,备课的内容及上课的技巧都应侧重于如何刺激学生主动学习的激情,如何引导学生进入角色,如何给学生创造开放性的思考空间等问题上。随着中国加入WTO,与国际交往不断加强,社会对国际经济法方向的专门人才的需求将会越来越大。因此,笔者仅以此文抛砖引玉,希望国际经济法课程教学模式的探讨欣欣向荣。也希望我们的法学教育为国家输送更多的国际经济法律人才。
[参考文献]
[1]庄东晓.中外网络教学资源的应用综述[J].科教论丛,P257
[2]刘香玉.多媒体网络技术在法律教学中的应用[J].浙年专修学院学报,2008(2):50
关键词:无线网络安全防范措施
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.隐藏SSID
SSID(ServiceSetIdentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.