前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全技术服务范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:身份认证;信息加密;CA认证;安全支付
中图分类号:F713 文献标识码:A
文章编号:1005-5312(2012)26-0269-02
随着互联网的不断发展,电子商务正在越来越多地受到人们的青睐,而在为人们带来无限商机的同时,也使世界各地面临着一个共同的障碍——电子商务网络支付的安全问题。
为了提高网上交易的安全,便出现了CA认证中心。CA虽然不直接参加买卖双方的交易,但由于它是买卖双方共同信任的机构,在交易中起着不可替代的作用,成为整个电子商务中最为关键的组成部分。
一、CA认证的概念
CA是Certificate Authority的缩写,是证书授权的意思,是负责签发认证、签发、管理证书的机关,是合法的、中立的、权威的、公正的第三方电子认证中心。它所承担的角色类似于网络上的“公安局”,给个人、企事业单位和政府机构签发数字证书——网上身份证,用来确认电子商务活动中各自的身份,并通过加/解密方法来实现网上安全的信息交换与安全交易。
二、CA认证技术的作用
在传统商务活动中,交易双方可以现场确认对方身份,由于有交易开具的发票和客户支付的资金证明,无须担心发生纠纷。但网上交易,买卖双方无法现场确认对方的合法身份,一旦发生纠纷,必须要能够提供仲裁凭证,CA 认证就起着重要的作用。
(一)验证交易双方身份的真实性
电子商务不是面对面的交易,交易对象的真实性很难辨析,因而验证交易双方身份的真实性显得尤为重要。而借助于CA认证中心的口令、公开密钥和电子签名技术,经过一种能支持多种国际标准协议的证书服务系统认证后,取得的个人客户端数字证书和服务器数字证书是交易用户在互联网上的电子身份证,它能有效鉴别特定用户的登记情况、资信情况和经营情况,从而建立起交易当事人相互间的信任。
(二)维护交易数据的保密性
防止非法用户进入系统及合法用户对系统资源的非法使用。而借助CA认证机构签发的数字认证证书,运用包含哈希函数加密法、私人密钥加密法、公开密钥加密法及数字信封技术等在内的一系列技术手段,对一些敏感的数据文件进行加密,使加密数据在发送过程中不会被第三方窃取,即便被他人获取文件,内容也无法得到破译,从而保证传递的交换数据的安全性。
(三)保证交易信息的完整性
防止在交易结束后,交易当事人出于某种目的而否认自己所做过的交易,从而给对方造成损失。信息的完整性辨析通过CA认证散列函数(Hash函数)的电子签名技术和数字证书技术即可以实现。由于CA机构所签发的数字证书只被证书上所标识的当事人唯一拥有,故利用其数字证书在传送前对交易信息进行电子签名,即能证明交易信息是最初信息发送人发送的,发送者无法否认发送过该交易信息或进行过该项交易活动。
三、CA认证技术在电子商务安全支付中的应用
CA认证中心为建立身份认证过程的权威性框架奠定了基础,保证了信息的完整性、真实性和不可抵赖性。
(一)CA认证技术保证网络安全支付
证书认证中心(CA中心)是公正的第三方,是保证电子商务安全的关键,CA中心对含有公钥的证书进行数字签名,使证书无法伪造,每个用户可以获得CA中心的公开密钥(CA根证书),验证任何一张数字证书的数字签名,从而确定证书是否是CA中心签发。
1、身份认证技术
目前在 Internet上主要使用基于公共密钥的安全策略进行身份认证。具体而言,使用符合X.509的身份证明,必须有一个第三方的证明授权(CA)中心为客户签发身份证明,客户和服务器各自从CA获取证明。
在实际的应用中,发送方先用自己的私钥对信息进行加密,再发给对方。接收方接收到信息后,利用发送方的公开密钥进行解密,如能还原出明文来,就可证明接收到的信息是经过发送方签名了的。接收者和第三者不能伪造签名的文件,因为只有发送方才知道自己的私钥,这就符合签名的惟一性、不可仿冒、不可否认三大特征和要求。
2、信息加密
只有身份认证技术是不够的,如果其他人通过一些方式获得了发送方发送的密文,他也可以利用发送方的公钥进行解密,从而得到发送方的信息,这样就不能保证信息的安全性和完整性了。因此,我们还需要利用CA认证技术来实现信息的加密过程。
发送方在发送文件时,首先要用接收方的公钥对信息进行加密,生成加密文件,然后用自己的私钥进行数字签名,再将密文发送给接收方。接收方接受到密文后,先用发送方的公钥对数字签名进行解密,验证对方身份,得到加密文件,再用自己的私钥对加密文件进行解密,得到原文件。
(二)利用CA认证技术解决网络安全支付问题的流程
目前,电子商务系统的安全体系结构主要是通过构建认证中心(CA)证书的信任过程来实现的。
在电子商务应用中主要有以下五个交易参与方:买家、服务商、供货商、银行和认证中心(CA)。电子商务的交易流程主要有以下三个阶段:
第一阶段:注册申请认证中心(CA)证书。交易各方获取各自的数字安全证书。
第二阶段:银行的支付中心对买家的数字安全证书进行验证后,将买家的所付款冻结在银行中。买卖双方相互通过数字安全证书的验证后,履行交易内容进行发货。
第三阶段:银行验证服务商和供货商的数字安全证书后,将买家冻结在银行中的货款转到服务商和供货商的户头上,完成了此项电子交易。
具体的实施步骤如图3-1所示。
关键词:信息安全;技术管理;计算机应用
0引言
目前,人们在使用计算机时,常常会遇到一些危及信息安全的问题和故障,给用户带来损失和麻烦,新时期用户对于计算机应用环境安全的要求不断提高。新时期用户对于安全的计算机应用环境的要求不断提高,需要相关部门结合现有的网络信息安全技术管理问题,探究网络信息安全技术管理的有效策略。
1目前危及网络信息安全的主要因素
1.1互联网自身的风险因素
互联网本身是一个复杂的虚拟空间形态,内容众多,涉及面广,覆盖范围大,其中还涉及各类硬件、软件、设备、数据和信息等资源,这一复杂的网络系统能够同时接收不同渠道传递的数据信息,而不同渠道的信息资源质量良莠不齐,还有很多信息本身带有一定的危险因素,或者是携带病毒,这些都会带来互联网系统的安全问题,这是互联网自身存在的风险和漏洞,也是造成网络信息安全问题出现的根本原因。
1.2病毒威胁和黑客攻击的风险因素
互联网平台包含大量的硬软件,这些硬软件是互联网系统的重要组成部分,一些不法分子或者商家通过在相关软件和硬件中插入病毒,以达到对不同计算机设备进行破坏的目的,甚至存在一些高技术水准的网络黑客恶意攻击其他用户计算机系统,窃取重要信息和数据,篡改程序、文件信息等,造成对方计算机用户的计算机系统瘫痪,信息丢失和被篡改,后果十分严重。
2计算机网络信息安全的管理现状
现阶段,计算机网络信息安全已经成为全民关注的热点话题之一,人们迫切需要一个安全的网络环境来保障他们各项网络活动和交易的完成。但是就目前的网络信息安全技术管理现状来看,情况并不乐观。首先,我国尚未建立起比较完善的网络信息安全管理制度,没有建立全面的一体化的安全管理规划,导致网络信息安全技术管理工作的开展缺乏规范和指导,管理成效不理想;其次,在网络信息安全的相关防范技术的宣传和教育上,相关企业和部门也没有做好预防和宣传工作,计算机用户虽然知道网络信息安全的重要性,但是缺乏相应的防范知识和能力,导致他们在计算机应用中依然无法做好安全防范准备,在应对安全侵袭问题时束手无策;再次,在网络信息安全技术的掌握上,计算机用户也处于较低的水平,他们不能有效运用相应的技术管理手段来维护计算机网络信息的安全,导致计算机系统受到安全威胁;最后,相关硬软件的安全防护措施上也存在一定缺陷,从而导致安全漏洞出现。
3网络信息安全技术管理的有效策略
3.1制定安全管理制度,实现一体化安全管理
为大力推进网络信息安全管理创新工作的开展,推进网络信息高效运转,提高应对网络安全事件的能力,相关企业和部门需要采取一系列措施,提升信息网络安全管理水平。首先,健全工作制度。制定《网络安全事件应急预案》《信息系统账号和权限管理制度》《网络信息安全管理办法》等一系列制度,从不同角度和层面完善信息网络系统安全管理体系;第二,不断完善防病毒体系。更换一批老化的安全设备,更新防毒墙、病毒库和系统漏洞补丁;常态化开展重要信息系统和政府网站安全自查、检查等工作;第三,强化日常监测。采用“人工+自动监测”方式,坚持每日读网,对门户网站等重要系统进行监测,及时发现网络不连通、链接失效等问题,杜绝“不及时、不准确、不回应、不实用”等问题发生;第四,加快建立应急队伍。从网络信息安全相关技术服务单位中选择相关专家和技术人员与信息技术应用人员组成网络安全应急技术支撑队伍,并保持紧密联系,建立长效沟通协调机制,在发生安全事件时,合力解决问题。相关部门要增强政治意识、大局意识和责任意识,建立网络安全管控协调机制,涉事部门必须无条件支持网络信息处置相关安排。要高度重视网络安全问题和不实信息内容,形成一盘棋思想,做到守土有责,属地管理,谁主管谁负责。各应急联动部门要做到24小时在线监测,并统一处置流程,统一上报渠道,做到不漏报、不搁置、不走形式,违规必追责,追责必惩处。要有担当,讲政治,顾大局,担负起网络信息内容线上处置的主责和线下处置的监督责任。要强化底线思维,做到教育疏导到位,认真解决到位。
3.2加强网络信息安全宣传,提升安全防范意识
网络安全不仅事关国家安全和国家发展,也直接关系到每一个网民的切身利益。要精心组织网络安全宣传周活动,深入宣传贯彻《网络安全法》,大力培育积极健康、向上向善的网络文化,持续加强网络空间治理,严厉打击各类网络违法犯罪活动,整合各方力量,共同落实国家网络安全战略,推动形成全社会重视网络安全、维护网络安全的良好局面。地区要定期开展网络信息安全宣传教育工作,例如在网络与信息安全宣传周以“网络安全为师生,网络安全靠师生”为主题,开展活动内容丰富、形式多样的宣传活动。活动期间充分利用官方微信公众平台、微博平台等新媒体宣传媒介,以及专题网站、广播、电子屏幕、宣传海报和横幅等方式宣传活动方案内容及网络与信息安全知识。还可举办网络与信息安全知识讲座教职工专场、网络与信息安全知识讲座学生专场、网络与信息安全知识视频培训、知识问答等活动,发放网络安全法宣传册等材料。通过专题网站国家有关网络与信息安全法律法规、网络与信息安全知识。为了更好地落实网络与信息安全责任制,活动期间学校和企业与各部门、院(系)签订网络与信息安全责任书。通过活动宣传网络安全法律法规,普及基本的网络与信息安全知识,使广大群众增强网络安全防范意识,提高网络和信息安全防护技能。
3.3强化技术防范,促进安全应用
在计算机的使用过程中,要不断强化网络信息安全的技术防范措施,强化专管员履职能力。制定办公设备信息安全定期检查考核制度,专管员每周不定期对设备涉密信息及安全使用情况进行抽查,对员工使用办公机具和生产客户端、信息管理、外来U盘、中转申请使用及审批、机具感染病毒等多方面进行监测,发现问题按照考核办法处理,落实好激励制度。重视信息安全硬件设施的规范使用。在畅通数据传输通道的同时,注重信息安全硬件设施的规范使用,定期更新维护防毒软件,大力降低安全风险,确保网络信息安全,防患于未然。建立安全防护体系,强化关键信息基础数据保护。梳理包括三级网元、DNS等在内的23个网络关键信息基础设施,并在等级保护的基础上,进一步加强安全防护工作。此外,还要加强互联网网络空间安全工作,建设移动互联网恶意程序监测和处置系统、僵木蠕监测和处置系统、异常流量监测和处置系统,对各类恶意程序进行监测处置。还要加强治理,防范打击通讯信息诈骗。从业务源头和技术防范方面加强治理,切实防范打击通讯信息诈骗。加强重要信息系统监控和管理工作。严格内外网使用规定,禁止内外网混用,严格病毒防范,禁止随意使用各类数据传输媒介,规范税务网络信息安全行为。加强网络终端监管,建立安全监控和管理机制,实时对违规使用网络的行为和计算机病毒进行监控,对发现的违规行为和计算机病毒及时进行处理,并通知使用单位进行整改。及时升级管理系统。对已经运行的财务软件系统做好硬件软件的日常维护工作,及时修补漏洞,更新系统。同时,在财政业务内、外网统一安装防火墙和做好数据的备份工作。通过这样全面的安全防护措施的实施,确保网络运营的安全高效进行。
3.4完善网络硬软件建设,强化软件维护和管理
要促进计算机的高效应用,还需要不断加强网络软、硬件安全建设。做到日常与新态并重,软、硬件建设相结合,硬件上下功夫,软件上重管理,在做好网络日常管理的同时,定期检查网络节点,定时进行漏洞扫描,落实网络安全域边界的访问措施和策略。购置新一代应用防火墙、防病毒网关、上网行为管理网关和关键网络核心路由、交换硬件和网络审计系统、安全审计系统和网络运维管理系统等软件系统,确保内外网络出口安全运维。针对网络运营中存在的漏洞,必须要尽快采取相应的技术措施。为强化网络安全漏洞管理,首先要建立漏洞管理全流程监督处罚制度,及时发现未修复漏洞的行为,并追究相关责任;然后要强制执行重要信息系统上线前漏洞检测,尽量在源头堵住漏洞;最后对存在严重网络安全漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,应实施强制召回,避免造成更大的损失。
4结论
网络环境复杂多变,其中涉及的人员众多,覆盖面较广,网络信息安全技术管理是确保计算机应用的关键要素,针对网络信息安全管理中存在的固有问题,相关硬软件运营商、网络运营商等都需要尽快采取有效的安全技术防护和管理措施,针对突出的网络信息安全漏洞问题,采取相应的解决方案,确保构建安全的网络信息环境,为计算机的高效应用提供良好的环境。
参考文献:
[1]杨雨锋.计算机网络与信息安全防范措施探究——评《计算机网络与信息安全技术》[J].新闻与写作,2016(9):125.
[2]谢剑.虚拟专用网络技术在计算机网络信息安全中的应用价值研究[J].信息化建设,2016(4):63-64.
[3]高山山.基于网络信息安全技术管理下的计算机应用探究[J].科技创新与应用,2015(33):106.
[4]马民虎,张敏.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述[J].西安交通大学学报(社会科学版),2015,35(2):92-97.
关键词:网络;金融业务;信息安全;风险;安全管理
中图分类号:F830,49
文献标识码:A
文章编号:1006-3544{2009)01-0045-02
计算机和互联网的出现,给金融业务的推广提供了极大的便利,金融机构对网络的重视程度越来越高。网络化信息技术的发展进一步提升了银行等金融企业的计算机应用水平和信息处理能力,但同时也给金融信息的安全带来了更大和更多的风险。由于金融业务的特殊性,要求金融网络必须是“健壮”的,甚至在“带病”的情况下依然能够具有足够的性能以维持业务的正常运行,金融信息网络相关的软硬件支撑必须能保证24小时×365天可靠运转;金融信息网络必须是安全的,要有严格的用户验证和完善的管理体系。本文主要分析了现行金融业务中存在的安全隐患,并从管理和技术的角度提出了一些解决方案。
一、互联网环境下金融业务面临的风险
在黑客行为商业化日趋明显的今天,金融行业由于其信息内容的敏感性,自然而然地成为黑客的攻击目标。从目前来看,金融信息网络受到的攻击主要来自以下途径:
1,非授权访问。目前。大量基于网络的金融业务产品(如增值业务、业务、网上支付等)的推广,需要广泛的网络支持才能实现,这必然要求金融业务部门能够提供多样化的对外互联接口。因此金融企业信息对外开放的程度会加深,受到攻击的途径也就更加多样和复杂。很多黑客利用系统漏洞或者网络安全策略的缺陷非法侵入金融企业网络内部,窃取大量的敏感信息、篡改系统数据或用户资料、泄露敏感信息,给金融企业造成经济损失和信誉损失。
2,非法窃取账户等机密信息。用户账户密码信息的失窃事件时有发生,盗窃用户账户也是大多数普通攻击者的目的。攻击者往往采用搭线、嗅探工具等方式窃取用户的数据,并在需要的情况下解密用户的敏感信息,或者通过木马之类的手段对用户的信息进行截取并发送给攻击者。
3,内部破坏。据统计,在所有网络攻击事件中,来自网络内部的攻击占总量的80%。对于金融业务网络来说,尽管由于其承担任务的特殊性,从管理上会尽最大可能避免此类事件的发生,但对于熟悉金融业务和计算机技术的人而言,仍然有可能利用其掌握的知识篡改系统数据、泄露信息。
4,病毒侵扰。日趋扩大的网络环境为病毒的大量传播提供了条件,网络病毒已经给人类生活带来了广泛的影响。随着国内多种操作系统的普及,除了Windows平台的病毒外,针对其他操作系统平台的病毒也逐渐增多,对于广泛使用UNIX的银行等金融部门来说,更是越来越容易受到病毒的侵扰。更何况很多金融部门的计算机本身就是使用Windows,一旦中毒会影响到通讯子网的运行,甚至会导致网络及其承担业务的瘫痪。
5,拒绝服务。拒绝服务简称DOS(DENIAL OF SERVICE)攻击,目前常用的是分布式拒绝服务DDOS。由于这种攻击并不是利用系统漏洞,而是直接使用SYN FLOODING方式,是一种简单而有效的攻击方式,故非常难以防范。拒绝服务攻击发生时会导致被攻击主机无法提供正常的服务,比如网上银行、电子支付等,由于其服务器是在互联网条件下访问,其受到拒绝服务攻击的可能性相当大。一旦受到攻击或由于安全策略等其他问题而出现无法提供正常服务的情况,不但会造成经济损失,更会给企业带来信誉上的损害。
二、金融网络安全风险根源及共性分析
如前所述,虽然金融网络信息安全风险既有可能来自网络外部也有可能来自网络内部。但究其原因,导致安全风险的根源不外乎两种:技术漏洞和管理漏洞。金融信息安全面临风险的原因主要有以下几个方面:
1,互联网环境的改变。利用互联网开展金融业务极大推动了金融业的发展,也给普通用户办理金融业务带来了便利,但由于金融网络和普通用户接入互联网使用了相同的TCP/IP协议,在此基础之上建立起来的金融服务和用户的关系与实现网络化之前有很大的不同。由于服务商和客户的网络基于相同的TCP/IP协议,从网络技术角度上看,用户获得了以往任何形式下都不具备的和服务商几乎相同的“话语权”。因此,不法分子假冒银行实施诈骗的可能性大大增加,很多对网络不熟悉或者粗心大意的用户为此遭受了经济损失。另外,用户连人互联网的成本降低使得使用网上金融业务的用户数不断增加,黑客利用技术手段窃取用户银行账号、密码的可能性随之提高,木马、间谍软件都是比较常见的方式。网络环境的改善和上网用户的增多,也为某些针对服务器的攻击提供了便利条件。若黑客计划针对某金融服务器展开DDOs攻击,黑客找到能够长时间开机且拥有良好带宽条件“受控电脑”的难度也在迅速下降,这就为其攻击提供了极为便利的条件。并且,黑客在实施攻击行为时往往会采用多级“跳板”的方式,即不直接使用自己的计算机攻击目标主机,而是先攻陷几台中间计算机并以它们为跳板进行攻击,这极大地增加了网上取证和追查的难度。也使很多网上金融犯罪人员存有侥幸心理。
2,国内软件平台环境较为单一。目前很多新的金融产品是基于互联网支持的,采用最多的方式就是WEB方式,从用户使用的便利性角度来看,采用WEB方式由于不需要特定的软件环境,只要拥有一台能上网的计算机即可实现对金融网站的访问。但这种模式在信息安全上存在很大的隐患。以最常见的网上银行为例,目前各个银行的网上银行系统对非IE浏览器的支持大都做得不好,用户只有在Windows平台下使用IE系列浏览器对网上银行进行访问。造成这种情况的原因主要是由于国内的计算机用户普遍采用微软的windows操作系统,网上银行的开发必然需要考虑到这种实际情况。一些用户尝试使用其他平台如LINUX访问网络银行,但发现由于网络银行大多采用了微软的ACTIVEX技术,导致非IE浏览器无法正常访问,即使能够访问也需要很复杂的操作,这种操作甚至是代码级别的,普通用户只能望而却步,从而退回到windows平台,这就使得网络银行应用客户端的单一Windows平台状况更加明显。由于Windows操作系统平台在国内拥有最广泛的用户群,因此目前绝大多数黑客软件和病毒等对安全构成威胁的程序都是针对它的,这就使用户个人信息由于木马或间谍软件的原因而泄露的可能性大大增加,进而增加了用户资金损失的可能性。
三、提高金融信息服务安全的对策
(一)加强金融企业网络相关的研发及其管理工作
这里所指的研发并不仅仅指业务产品的开发,更重要的开发内容是承载金融业务专有通讯协议的开发。由于TCP/LP协议是目前互联网的事实标准,网络化的金融业务也必然要
基于此协议,但这并不意味着网络化金融产品开发工作只能围绕着业务需求。以网上银行为例,目前采用的软件运行模式主要是B/S模式,即采用WEB技术服务,用户通过IE浏览器访问服务器上的相关服务。这样做的好处是用户只要能够上网就能够访问网上金融业务,并且操作也非常简单。由于此种模式从根本上是基于开放HTTP协议的,在安全方面必须通过插件等技术形式的支持才能实现。目前尽管很多网上金融服务提供了安全插件,但大都仅仅针对IE浏览器提供支持,采用其他核心技术的浏览器访问时会由于插件问题导致业务不能正常操作。因此,加强对非IE浏览器的支持是提高网络金融业务安全性的一种快速有效的手段。可以让用户在客户端上有更多的选择余地,尽量降低由于操作系统平台单一所带来的病毒、木马等问题。
从笔者的经验来看,采用专用协议和专用软件服务是一种有效的方法,专用协议由于其不具备开放性,因而更安全。
(二)加强网上信息系统管理
目前我国已经制定出很多相关的法律法规,各个金融企业也有相关的管理制度。这些制度能否严格执行对于企业的信息安全关系重大。我国在信息安全技术方面和发达国家仍然有不小的差距,从很多金融信息安全案件来看,安全制度实施不严密占案件总体数量的很大比例。
(三)科学规划业务网络功能和区域
信息安全区域规划是近几年来网络安全领域出现的一个新名词,目前尚没有业内公认的严格定义。笔者认为,信息安全区域规划就是根据网络的业务功能、数据流动状况以及企业对不同类别数据不同的安全需求,规划网络的拓扑结构并对关键数据转发节点采用的安全技术进行选择。网络规划方面的缺陷在此称为结构性缺陷。结构性缺陷会导致信息安全实现的难度和成本增加,在某些情况下甚至会造成不可弥补的损失。比如,需要相互保密的数据流出现在相同的TRUNK链路上,这种情况就是由于网络拓扑结构不合理导致的。尽管从IEEE802,1Q协议规定上看,两种数据流在逻辑上是隔绝的,但它们通过了公用的链路,因此这种网络结构对于数据的安全性和传输效率都是非常不利的。
在金融企业中,目前比较适用的规划方法就是根据业务类型及数据保密分级进行数据区域规划。网络安全区域得以规划并实施后,不同等级的数据可以在很大程度上被隔离,并且不同区域之间可以设置网闸对访问进行限制和认证,不但能够增强抵御外部攻击的能力,还能够在很大程度上增强内部攻击的难度,极大地提高系统的整体安全性。
(四)合理使用并开发网络安全技术
1,合理使用加密技术和VPN技术,探索除WEB以外的其他形式的网络金融业务途径,特别是采用专用客户端并开发专用通讯协议和安全用户界面也是提高系统安全性能的可行途径。
2,引AQOS服务质景,改善关键服务的响应速度,在关键节点不论是数据转发节点还是服务器节点都采用双机热备份。使用状态检测技术,监视关键节点的数据状态,及时发现并抵御拒绝服务(DOS)等异常数据流。在划分了安全区域的情况下,可以采用防火墙和入侵检测系统(IDS)加强信息系统抵御和发现黑客攻击的能力。
关键词:数字化校园网,安全隐患,安全机制,安全实施
数字化校园是在校园网的基础之上,以计算机网络和信息数字化技术为依托,利用先进的信息手段和工具,来支撑学校的教学和管理信息流,实现了教育、教学、科研、管理、技术服务等校园信息的收集、处理、整合、存储、传输、应用等方面的全部数字化,使教学资源得到充分优化利用的一种虚拟教育环境。
一、高校数字化校园网的安全隐患分析
高校校园网的应用以及服务主要是面向学生,学生经常玩游戏、下电影、浏览未知以及可能存在安全隐患的网站、接收陌生人的电子邮件、用聊天软件时随意接受陌生人传送的文件,这些安全隐患都有可能导致校园网病毒泛滥;观看网上直播,严重影响网络速度,甚至阻塞网络运行;同时高校的学生人数较多,学生对网络安全的认识也参差不齐:很多学生认为网络中的安全威胁就是计算机病毒。所以,整个校园网中的大部分用户,对网络中存在的安全威胁还是没有一个清晰、系统的认识。
经过调查、分析、研究,高校校园网存在以下安全隐患:
1.校园网直接与因特网相连,所以会遭受黑客以及网络安全缺陷方面的攻击;
2.校园网内部安全隐患;
3.用户接入点数量大,使用率高,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果;
4.缺乏统一管理;
5.网络中心负荷量大:绝大部分网络管理功能都是由网络中心来完成的,包括校园网络的建设维护、网络使用的政策制定以及相关费用的收取;
总之,实施一个科学、合理的安全机制数字化校园网,对校园网的正常运行起着至关重要的作用。
二、数字化校园网安全机制的实施
为了有效地解决校园网将会遇到的种种网络安全问题,需要在网络中的各个环节都采取必要的安全防范措施,通过多种安全防范技术和措施的综合运用,从而来保证校园网能够高性能、高安全性的正常运行。
1、防火墙的实施
防火墙技术是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。
防火墙是一种保护内部网络操作环境的特殊网络互联设备;同时防火墙也是设置在不同网络或网络安全域之间的一系列部件的组合。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。论文格式,安全实施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。
可根据具体的校园网实际环境,在防火墙上设置如下安全策略:
1)解决内外网络边界安全,防止外部攻击,保护内部网络(禁止外部网络访问内部网络);2)根据IP地址、协议类型、端口等进行数据包过滤;3)内外网络采用两套IP地址,实现双向地址转换功能;4)支持安全服务器网络(DMZ区),允许内外网络访问DMZ区,但禁止DMZ区访问内部网络;5)通过IP与MAC地址绑定防止IP盗用,避免乱用网络资源;6)防止IP欺骗;7)防DDoS攻击;8)开启黑白名单功能,实现URL过滤,过滤不健康网站;9)提供应用服务,隔离内外网络;10)具有自身保护能力,可防范对防火墙的常见攻击;11)启动入侵检测及告警功能;12)学生访问不良信息网站后的日志记录,做到有据可查;13)多种应用协议的支持,等等。
2、网闸的实施
安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。论文格式,安全实施。
可根据具体的校园网实际环境,在网闸上设置如下安全策略:
1)阻断内外网络的物理连接,防止外部攻击,保护内部网络;2)剥离内外网络传输的TCP/IP以及应用层协议,避免因为TCP/IP以及应用层协议造成的漏洞; 3)内外网络采用一套IP地址,实现指定协议通讯功能; 4)允许内网访问外网特定服务、应用(HTTP,FTP,FILE,DB等);5)允许外网指定机器访问内网特定应用(FILE,DB等);6)防止IP欺骗; 7)防DDoS攻击;8)具有自身保护能力,可防范常见DoS、DDoS攻击; 9)多种应用协议的支持,等等。
3、 防病毒的实施
计算机病毒对计算机网络的影响是灾难性的。计算机病毒的传播方式已经由在单机之间传播转向到各个网络系统之间的传播,一旦病毒侵入到某一局域网并发作,那么造成的危害是难以承受的。病毒和防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时代。只有将病毒拒绝于内部网之外,或者及时查杀内部网的病毒,以此防范病毒在网络内泛滥传播,才能保证数据的真正安全。论文格式,安全实施。
我们结合计算机网络、计算机病毒的特征,给出以下防范防治策略:
1)阻止外网的病毒入侵(这是病毒入侵最常见的方式,因此在两个或多个网络边界之间,在网关处进行病毒拦截是效率最高,耗费资源最少的措施,但只能阻挡来自外部病毒的入侵);2)阻止网络邮件/群件系统传播病毒(在邮件系统上部署防病毒体系);3)设置文件服务器防病毒保护;4)最终用户:病毒绝大部分是潜伏在计算机网络的客户端机器上,因此在网络内对所有的客户机也要进行防毒控制;5)内容保护:为了能够在第一时间主动的阻止新型病毒的入侵,在防病毒系统中对附加内容进行过滤和保护是非常必要的;6)集中管理:通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护,这样可以大大降低维护人员的数量和维护成本,并且缩短了升级、维护系统的响应时间。
4、学生宿舍区域802.1x认证
考虑到认证效率、接入安全、管理特性等多方面的因素,对于学生宿舍区域的用户接入建议采用已经标准化的802.1x认证方式:
1)网络环境复杂,接入用户数量巨大:建议采用分布式的用户认证方式,把认证分散到楼栋汇聚交换机上去完成,如果发生故障,不至于会影响到整个网络的所有用户;2)网络流量大,认证用户数量大:所采用的认证方式要具有很高的效率,以保证用户能及时通过认证,在网络流量大,认证用户数多时不会对设备的性能产生影响,以保证整个网络高效、稳定的运行;3)某些用户技术层次高,存在对网络安全造成影响的可能:难免存在某些用户因好奇使用一些黑客软件或病毒软件而造成对网络的影响,因此所采用的认证方式要能够有比较高的安全性,能防止如DHCP的恶意攻击等安全功能。
5、数据存储方案的实施
数字化校园是计算机技术的一个新兴应用领域,涉及的内容非常广泛,包括资料数字化、海量存储及数据管理、全方位查询检索、多渠道等技术,提供包括电子图书、视频、音频及其他多种形式的媒体资料等等。在数字化校园环境下,各种数字信息的增长非常迅猛,同时,数字信息存储的容量需求越来越大。
因此,设计一种高容量、可扩充的存储技术方案也是校园网络安全的重点。可以容纳、甚至可以无限制地容纳更多信息的“海量”存储技术:如NAS存储、SAN存储等应用支撑平台解决方案,在系统结构上满足用户未来的应用需求,同时合理使用用户投资,建立满足用户现有需求的系统,并且易于扩展的系统,来帮助用户解决在数据存储和应用需求方面所面临的挑战。
三、总结
随着Internet技术突飞猛进的发展,网络的应用范围和领域迅速扩大,新的网络技术、安全技术不断推陈出新,黑客技术也逐渐多元化,导致安全问题日益突出。在计算机网络里,安全防范体系的建立不是一劳永逸的,没有绝对的安全,我们只能不断的采用新的网络技术,以及新的安全设备与技术,这样才有可能将网络中威胁降到最低限度。论文格式,安全实施。
防火墙、网闸、病毒防范是信息安全领域的主流技术,这些网络安全技术为整个网络安全的建设起到至关重要的作用,任何一个网络或者用户都不能够忽视。论文格式,安全实施。到目前为止,尽管相关研究人员已经在理论和实践方面都作了大量的工作,而影响校园网的安全因素在不断地变化,黑客与病毒的攻击方式在不断地更新。论文格式,安全实施。要确保网络的安全就只有根据实际情况,在安全技术上采用最新的技术成果,及时调整安全策略,有效整合现有安全资源,并且不断引入新的安全机制,才能保证网络安全防范体系的良性发展,确保数字化校园网的有效性和先进性。
参考文献:
[1]焦中明.高校数字化校园建设的几个问题.赣南师范学院学报
[2]徐立.我国高校校园网建设的研究.中南大学硕士论文
[3]沈培华.数字校园的五个层次.计算机世界
[4]赵思辉.数字化校园基础平台体系架构.福建电脑
[5]宋金玲.数字校园的相关技术及方法研究.中国矿业大学
[6]曾力炜,徐鹰.关于数字化校园建设的研究.计算机与现代化
[7]占素环.校园网网络安全技术及解决方案.农机化研究
[8]张武军,李雪安.高校校园网安全整体解决方案研究.电子科技
人物类
2012年度中国信息安全领域最具影响力人物奖
北京启明星辰信息技术股份有限公司CEO严望佳
赛门铁克大中国区总裁吴锡源
上海帝联信息科技股份有限公司总裁康凯
航天信息股份有限公司副总经理郭宝安
品牌类
2012年度中国信息安全最具影响力企业奖(9家)
北京亿赛通科技发展有限责任公司
杭州攀普科技有限公司
北京北信源软件股份有限公司
航天信息股份有限公司
江苏敏捷科技股份有限公司
山西中网信息产业有限公司
上海银基信息安全技术有限公司
上海浪擎信息科技有限公司
深圳市亚略特生物识别科技有限公司
2012年度中国信息安全值得信赖品牌奖(9家)
北京国泰信安科技有限公司
安华信达(北京)科技有限公司
Cellopoint雀罗(上海)信息科技有限公司
深圳市腾讯计算机系统有限公司
世纪龙信息网络有限责任公司
广东蓝盾信息安全技术有限公司
布鲁科特(BlueCoat)公司
北京航星永志科技有限公司
北京网康科技有限公司
深信服科技有限公司
2012年度中国信息安全值得信赖应用安全产品提供商
北京安码科技有限公司
2012年度中国政务信息安全推荐品牌奖
同方股份有限公司
2012年度中国信息安全用户推荐奖
盈世信息科技(北京)有限公司
2012年度中国信息安全突出贡献奖(4家)
北京奇虎科技有限公司
北京网康科技有限公司
福建亿榕信息技术有限公司
上海全湾信息科技有限公司
2012年度中国金融业信息安全突出贡献奖
广发银行信用卡中心
2012年度中国信息安全创新企业奖(6家)
莱克斯科技(北京)有限公司
北京网云飞信息技术有限公司
苏州海博智能系统有限公司
神州数码网络有限公司
北京立思辰新技术有限公司
重庆远衡科技发展有限公司
2012年度中国信息安全创新奖
北京盘圣安信网络信息技术有限公司
2012年度中国信息安全技术创新奖
青岛多芬诺信息安全技术有限公司
2012年度中国信息安全优秀服务商(3家)
甘肃天梭信息安全技术有限公司
蓝盾信息安全技术股份有限公司
深圳市能士信息安全有限公司
2012年度中国信息安全最佳服务奖
北京趋势引领信息咨询有限公司
产品、技术类
2012年度中国信息安全优秀产品奖(21家)
莱克斯科技(北京)有限公司
成都巅峰科技有限公司
上海缔安软件技术有限公司
福建亿榕信息技术有限公司
浙江远望电子有限公司
上海动联信息技术有限公司
北京中天一维科技有限公司
上海宁盾信息科技有限公司
厦门天锐科技有限公司
中标软件有限公司
北京网云飞信息技术有限公司
北京中盈信安科技发展有限责任公司
北京知道创宇信息技术有限公司
北京亿中邮信息技术有限公司
北京国富安电子商务安全认证有限公司
腾讯
神州数码网络有限公司
上海颐东网络信息有限公司
南京信安宝信息科技有限公司
重庆远衡科技发展有限公司
奥林巴斯创达贸易(上海)有限公司
2012年度中国信息安全卓越产品奖
北京百卓网络技术有限公司
2012年度中国信息安全创新产品奖
北京金山安全软件有限公司
2012年度中国信息安全
自主可控优秀产品奖
信安世纪科技有限公司
2012年度中国信息安全
数据泄露防护优秀产品奖
北京华虹集成电路设计有限责任公司
航天信息股份有限公司
国都兴业信息审计系统技术(北京)有限公司
2012年度中国信息安全
数据泄露防护最佳产品奖
中国软件与技术服务股份有限公司
2012年度中国信息安全
个人隐私保护优秀产品奖
北京奇虎科技有限公司
2012年度中国信息安全
新一代防火墙年度最佳技术创新奖
杭州华三通信技术有限公司
2012年度中国信息安全最佳安全认证产品奖
上海林果实业有限公司
方案类
2012年度中国信息安全优秀解决方案奖
青岛多芬诺信息安全技术有限公司
2012年度中国信息安全
优秀服务器安全操作系统解决方案奖
深圳市安盾椒图科技有限公司
2012年度中国信息安全
档案信息化行业优秀解决方案奖
北京航星永志科技有限公司
2012年度中国信息安全
环保行业优秀解决方案
北京冠群金辰软件有限公司
2012年广电行业最佳解决方案提供商
汉柏科技有限公司
2012年度中国信息安全最佳企业网络安全
与性能监控解决方案奖
美国福禄克网络公司
应用类
2012年度中国信息安全最佳应用奖
深圳市能士信息安全有限公司
2012年度中国信息安全应用创新奖
北京奇虎科技有限公司
2012年度中国信息安全应用交付产品