時間:2023-09-22 17:05:21
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇對網絡安全的見解,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
論文摘 要: 隨著科學技術的日益進步,信息的傳播越來越多,網絡成為信息化建設的重要載體。本文作者針對計算機網絡系統存在的安全性和可靠性問題,從網絡安全內容、網絡安全的威脅、解決措施等方面提出一些見解,以期能解決一些實際問題。
計算機技術和網絡技術的高速發展,對整個社會的科學技術、經濟與文化帶來巨大的推動和沖擊。而計算機網絡具有的聯結形式多樣性、終端分布不均勻性和網絡的互連性、開放性等特征,使網絡容易受到黑客、惡意軟件等的攻擊,所以網絡信息的安全和保密是一個非常重要的課題。計算機網絡安全是一個綜合的系統工程,需要我們做長期的探索和規劃。
1.網絡安全的定義
網絡安全從本質上來講就是網絡上的信息安全,就是指網絡系統中流動和保存的數據,不受到偶然的或者惡意的破壞、泄露、更改。系統連續正常的工作,網絡服務不中斷。從廣義上來說,凡是涉及網絡信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全所要研究的領域。從本質上來講,網絡安全就是網絡上的信息安全,是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行。網絡服務不中斷。廣義來說凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全所要研究的領域。
2.網絡安全存在的問題
2.1權限攻擊
互聯網的物理連接方式是一大弱點,任何人只要能實際接觸到電纜且擁有適當的工具,便能將他的計算機接上,并且成為上面的超級用戶。攻擊者通常以root身份執行有缺陷的系統守護進程,實現無需一個賬號登錄到本地直接獲取遠程系統的管理員權限,擅自修改程序,進行權限的攻擊。
2.2系統漏洞攻擊。
漏洞是指在硬件、軟件、協議的具體實現或系統安全策略存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。網絡最基本的配置就是TCP/IP,但是目前的實現上只要求了效率并沒有考慮到安全的因素,這樣無疑是增大代碼量,從而使運行效率降低,所以該配置本身來講就是很不安全的,從而受到影響,很容易被竊聽和欺騙。
2.3垃圾郵件
攻擊者利用電子郵件的公開性進行各種活動,把自己的郵件強行推入別人的電子郵箱,強迫他人接受垃圾郵件。因為采用了很弱的口令加密方式,使攻擊者可以很容易地分析口令的密碼,從而使攻擊者通過某種方法得到密碼后還原出原文來。
2.4病毒的攻擊
計算機病毒是指編制或在計算機程序中插入的破壞計算機功能和數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒具有一些共性,如傳播性、隱蔽性、破壞性和潛伏性等,同時具有一些個性。
2.5黑客的攻擊
黑客是影響網絡安全的最主要因素之一。隨著社會發展和技術的進步,出現了一類專門利用計算機犯罪的人,即那些憑借自己所掌握的計算機技術,專門破壞計算機系統和網絡系統。他們通過一些非法手段,利用自己編寫的或現成的工具來查找網絡系統的漏洞,然后對網絡系統發動攻擊,對網絡的正常使用造成或多或少的危害。
2.6網絡管理
網絡系統的正常運行離不開系統管理人員對網絡系統的管理。由于對系統的管理措施不當,會造成設備的損壞,保密信息的人為泄露等,因而這些失誤人為的因素是主要的。
3.解決網絡安全問題的對策
3.1訪問時的控制策略
入網訪問控制屬于第一訪問控制,它主要控制那些能登錄到服務器并且獲得網絡資源,控制準許用戶入網的時間和準許他們在哪個工作站入網。網絡的權限訪問,是針對網絡非法操作所提出的一種安全保護措施。同時控制目錄級安全、屬性安全、網絡服務器安全、網絡監測和鎖定,以及網絡端口和節點。
3.2系統漏洞攻擊的應對策略
因為漏洞是系統本身存在的,因此現在的應用中人們開始在殺毒軟件的引導下進行打補丁進行修復存在的漏洞,系統的服務有很多,應該根據實際情況進行服務。同時利用防火墻可以阻隔大多數端口的外部訪問。
3.3重視備份和恢復
備份系統應該是全方位的、多層次的。首先要使用硬件設備來防止硬件故障:如果由于軟件故障或人為誤操作造成了數據的邏輯損壞,則使用軟件方式和手工方式相結合的方法恢復系統。這種結合方式構成了對系統的多級防護,不僅能夠有效地防止物理損壞,而且能夠徹底防止邏輯損壞。
3.4病毒防范
病毒防范包括針對單個計算機系統和整個網絡病毒的防范。對于一個大的網絡,可集中進行病毒防范、統一管理。網絡防病毒軟件必須能對網絡中的病毒進行正確識別;對整個網絡進行防、殺毒處理;徹底、完全地清除病毒。此外,防病毒產品升級工作無需人工干預可以在預定時間自動從網站下載最新的升級文件,并自動分發到局域網中所有安裝防病毒軟件的機器上。
3.5黑客攻擊的應對策略
首先利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡。其次進行入侵檢測,在入侵檢測系統中利用審計記錄能夠識別出任何不希望有的活動,從而限制這些活動,以保護系統的安全。采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
3.6管理的安全對策
管理問題是網絡安全問題的核心問題,人在很多活動中是主體,制定全面的網絡安全管理制度是完善網絡安全體系的前提。如果沒有相應的管理制度,再好的網絡安全實施方案都形同虛設。因此要加強人員的安全培訓,制訂詳細的、有時效性的安全及維護規章制度,規范安全管理,同時利用各種手段加大自動化管理力度。
參考文獻
[1]文壽,王珂.網管員必備寶典[M].北京:清華大學出版社,2007.
[2]司天歌,劉鐸,戴一奇.安全的基于網絡的計算機系統[J].清華大學學報,2007,(07).
關鍵詞現代通信;網絡安全;保護措施
伴隨著社會經濟的高速發展和科技水平的日新月異,現代通信網絡在取得巨大進步的同時,它的使用范圍也極為廣泛,不斷地滲透到人們的衣食住行中,影響著社會前進的每一步。所以,保護現代通信網絡安全是非常重要的,一些防護措施的提出,會對人們的個人隱私和經濟上的問題提供了有力的保障。
1現階段通信網絡安全保護的問題
在社會經濟快速發展的今天,現代通信網絡技術也得到了應有的進步,在使用現代通信網絡技術時所產生的一些弊病也是值得注意的。對此,我們國家在對待現代通信網絡安全方面出現的問題展開了許多措施,對于電信行業在運營時的詳細情況記載作出了要求,通信網絡管理體制的健全與完善也逐年提升,在網絡安全上出現的弊病進行了分析與解決,有效地治理了通信網絡安全性所帶來的問題,這些防護措施與手段加強了通信網絡的安全性,一定程度上減輕了網絡安全問題所帶來壓力,在近年來效果頗豐[1]。在今天,現代通信網絡的發展技術和發展方向隨時可能發生改變,它所處的環境既有壓力也有動力,國家雖然在相關方面給予了指導思想和保護手段,但是這些還是遠遠不夠的,并不能從根本上解決通信網絡較為復雜的安全隱患問題[2]。比如一些企業單位不夠重視網絡安全問題,對于國家給出的建議與要求放任不管,上有政策下有對策,沒有一個完整健全的管理機制;網絡企業的一些技術人員水平不達標,處理通信網絡安全的相關手段不夠充足,監督系統殘缺不全,對于一些可能出現的情況沒有提前做好準備,這些問題使得通信網絡在部分企業里不能有效地運行工作,企業如不能正確處理,任由這種情況惡化不止,它所帶來的后果在經濟效益上會產生難以估量的損失[3]。
2現代通信網絡安全的主要技術
對于現代通信網絡安全的防護,是上到國家,下到企業單位,甚至每個人都應該引起重視的一個問題,那么一些保護的技術與方法就顯得尤為重要,下面列舉了幾種常見有效的防護技術。
2.1防火墻
相信大家對防火墻這3個字不會感到陌生,但是對于防火墻的概念及理解可能會稍有難度[4]。防火墻是一種能夠保護網絡的安全技術,能有效地將系統內的網絡與復雜的外部分離開來,它可以利用控制方法和辨識手段,把防火墻以外的信息內容進行偵測與判斷,從而了解到對方的具體數據信息及結構,對于系統內的網絡安全問題做出了有力的保證。防火墻技術有兩個重要的分支技術,分別叫做VPN與漏洞審查技術。VPN技術是指在網絡下,根據網絡的自身優點和特點臨時開創了一個操作環境,這個操作環境具有可觀的穩定性與安全性,這個環境在一定條件下轉化成了一個網絡空間,這個空間有著極強的隱蔽性,使得別的電腦意識不到這個空間的存在,相互聯系的對方被特定在這里進行信息的交換與輸送。漏洞審查技術在通過利用掃描審查等方式下,在通信網絡中所出現的網絡問題和阻礙通信設施的原因進行掃描與檢查,掃描工作的重點放在防火墻技術所能接收的數據范圍內,一般來說主要是電腦的中央系統及地址等等,得到結果后由相關的工作人員進行整理與分析,把分析出來的結論上報給更高一級的領導,讓領導做出處理問題的建議。防火墻技術算是一種傳統的通信網絡安全保護的技術,到今天依然能夠被廣泛使用,可見其技術含量的飽滿性和未來發展的可能性。
2.2網絡加密
網絡加密技術能夠把接收到的信息進行隱藏或采取不被識別的手段,它的組成部分比較多。首先是明文,接收到數據的一方能夠采用一種收發信息雙方共同擁有的破解密碼的方式來進行操作,使得密碼能夠被雙方了解到;然后是密文,為了加強信息的秘密性,對信息進行嚴密的封鎖,保證信息不被泄露;算法是我們在解開密碼時所需要進行的程序,這個程序通常情況下要按照一定的指標才能完成;最后是密鑰,其實它就是我們用來看見密碼的一把鑰匙,具體是在明、密文之間進行轉換的時,我們要在其中鍵入的數字[5]。加密技術對于現代通信網絡安全的保護起著至關重要的作用,它主要把輸送的信息加密,使得整個信息傳遞的過程變得更為保密和安全,就算在網絡信息傳遞時遭遇到了不明信息的阻截,由于它自身的加密程度夠高,密碼也不存在被破譯的可能,因此,對于網絡的安全來說,加密技術有著它獨特的作用與影響。
2.3分辨識別技術和訪問控制技術
分辨技術對于傳送雙方的數據起著驗證真偽,信息的有效程度以及它是否被承認等方面的作用,它主要通過幾種方式對信息進行鑒別,通過識別一種數值,如數值與約定數值不符合,是不會接收信息數據的。它也能夠用來檢測通信雙方的具體身份,查看互相傳遞信息的雙方是否是規定人選,除此之外,可以判斷信息傳遞雙方之間的再度確認,如確認則接收,不確認則不接。分辨識別技術能夠有效防止信息的泄露,如有假意代替他人進行通信亦可以被識別,對于通信網絡的安全性有著很大的提高;訪問控制技術是通信網絡雙方能否訪問網絡系統的一道門,它設定了一個訪問的權力,沒有得到允許的用戶將不能訪問,類似于為信息加密,對于網絡安全也有著一定的作用。
3如何提高現代通信網絡安全保護
3.1健全機房的管理體系
企業單位對于機房的管理體系要高度重視,設置一個專職人員進行監督,對于機器設備要經常檢測與維修,同時其他人員必須得到允許才能進入機房,否則禁止入內,能夠有效保證了機房內的工作設施不被人為控制和損害,使得機器設備能夠正常工作,也避免了一些高度機密的網絡數據被偷盜,影響了企業單位通信網絡設施的運作,對企業的正常發展造成了難以預計的損失。
3.2提升工作人員的素質
相關工作者對于安全保護措施要做到心中有數,能夠分辨并解決網絡通信時所衍生的難題,把保護重要的網絡通信數據放在首位,以免造成因數據被盜取而導致企業的機密文件移交他人,給企業帶來不良影響。再者,管理工作者要認清自己的職責所在,工作時不要一心二用,積極對待工作中所出現的問題,如在工作時間出現擅離職守、敷衍了事等情況,要按照相關規定給予處罰,警告工作人員放任自流的后果,把網絡通信安全的意識傳播給每一個人。
4結論
在社會不斷前進的今天,隨著科學技術占據了主導地位,現代通信網絡的安全也出現了許多問題,對于如何加強網絡安全性的意識,要從國家和企業單位同時著手,在認識了解并熟練應用各種相關方面的保護措施的基礎上,健全企業單位的網絡通信管理條例,深化改革網絡管理的內部結構,加強網絡管理者的專業素質和文化修養,使管理者從根本上了解通信網絡安全的重要意義。只有各方面做到細致與完善,通信網絡安全問題才能得到基本的杜絕與保障.
參考文獻
[1]江新輝.現代通信網絡安全防護技術的應用[J].無線互聯科技,2016,10(14):143-144.
[2]王林偉.新媒體時代下現代遠程教育手段和方法的研究[J].科教導刊(中旬刊),2016,09(8):46-47.
[3]申禮斌.現代通信網絡安全防護技術分析[J].通訊世界,2016,01(19):23-24.
【關鍵詞】 服務器 有線網絡 無線網絡
現在的校園網絡僅僅實現上網查資料的功能已經遠遠不能滿足廣大師生的需求,隨時隨地能上網,穩定快速安全的網絡才是大家需要的網絡。然而校園的面積大,辦公區分散,用網人員復雜并且網絡安全意識薄弱,沒有明確的用網管理體制導致校園網絡安全隱患隨處可見。
下面結合我校的實際情況來探討一下關于校園網安全的常見解決方案。
一、服務器
在整個校園網絡結構中,服務器有著非常重要的地位,它是整個網絡運行的前提,也是整個網絡數據存儲的核心。因此核心服務器安全設置對這個校園網絡的安全起著重要的作用。所以在實際的應用中我們對于服務器的安全設置是必須要做的,下面我們以windows server 2003為例來介紹如何設置讓服務器更安全。
服務器的安全很大程度上取決于操作系統的安全, Windows server 2003作為服務器的操作系統,它具有高性能,高可靠性和高安全性的特點,決定其便于部署、管理和使用。Windows server 2003系統安全包括系統服務安全、文件權限安全、用戶賬戶安全等方面。
1)關閉不必要的服務
通常情況下,為了方便遠程管理服務器,windows server 2003中會開啟相關的如中斷服務、IIS和RAS等服務,這就在便于遠程管理的同時,給系統安全留下的漏洞,所以應該盡量關閉這些不必要的服務。
有些惡意的程序也可能以服務的方式在系統中運行,所以還要定期對系統開啟的服務進行檢查。需要強調的是,系統的“文件和打印機共享功能”也要關閉。
2)身份驗證和訪問控制
身份驗證時系統安全的基礎,應該對嘗試登陸訪問網絡資源的任何用戶進行身份確認,Windows server 2003家族身份驗證啟用對所有網絡資源的單一登陸,允許用戶使用一個密碼登陸到域,然后向域中的任何計算機驗證身份。
訪問控制是批準用戶、組合計算機訪問網絡上的對象的過程。構成訪問控制的主要概念是權限、用戶權利和對象審查。在這里我們可以為每一個登陸到域的用戶設置讀、寫和完全控制權限。
3)賬戶策略
對于校園網內的用戶賬戶的保護主要使用密碼保護機制。為了避免因為用戶密碼被破譯而導致系統被入侵,可采取提高密碼的破解難度、啟用賬戶鎖定策略、限制用戶登陸等措施,所有安全策略都是基于計算機配置的策略,用戶策略的定義在計算機上,卻影響用戶賬戶與計算機的交互。
4)用戶權限分配
對用戶賬戶權限的分配,是限制用戶訪問特定的網絡資源的有效方法,對于不同的資源可以特定的用戶訪問,訪問的權限是只讀、讀寫或者是完全控制,這個在“Active Directory用戶和計算機”管理工具或者設置組策略來實現這個功能
5)防病毒和防火墻的配置
殺毒軟件和防火墻的更新工作要及時,防火墻軟件根據自己不同的使用情況使用不同的網絡訪問策略,對日志的審查要及時有效的利用日志解決網絡或者病毒問題。
二、有線網絡
有線網絡是我們校園網內網的重要組成部分,承載了大部分數據交換。有線網絡的存在常見的問題如下:
1、 資產管理失控。由于學校的管理人員有限,計算機數量眾多而且分布在不同的教學區,這樣就帶來很多管理的難題如網絡終端用戶硬件配備肆意組裝拆卸,操作系統隨意更換,各類應用軟件胡亂安裝卸載等。面對這種情況我們唯一能做的就是統一發放計算機,統計詳細的配置信息,安排專門的人定期檢查計算機的配置是否被更改。安裝好常用的應用軟件,殺毒軟件和防火墻,定期由服務器為各個終端分發補丁,不給黑客和病毒可趁之機。
2、 網絡資源亂用。IP地址濫用,流量濫用。IP地址濫用,我們只能在做一臺DHCP服務器為網絡的所有的終端自動獲取IP地址,從而防止IP泛濫。同一臺DHCP服務器給多個VLAN分配IP的問題我們可以建立幾個作用域,通過三層交換機做DHCP中繼來實現。流量濫用問題我們最簡單的方法就是在路由器上做限速,這樣防止帶寬被嚴重占用導致網絡擁堵。
3、 病毒入侵。由于補丁打的不及時、網絡濫用、非法接入等因素導致網絡內病毒泛濫、網絡堵塞、數據丟失損壞,而且無法找到災難的源頭以迅速采取隔離等處理措施,從而為正常的上網帶來災難性的持續的影響。對于這種常見的問題我們的解決方案是把問題的范圍縮小,然后在小范圍內逐個排查,因此就非常有必要把不同的工作區內設備整合到一個局域網內,這個技術就是我們常用的VLAN,支持VLAN的硬件設備我們可以用三層交換機來實現,把不同的工作區劃分不同的VLAN。這樣做有助于我們正確的定位問題的區域,從而進行排并提高工作效率。另外一個好處在于有效的抑制了廣播風暴,提高網絡的利用效率。
4、 三、無線網絡
隨著筆記本的普及,無線網絡在校園網內起著很大作用,然而無線網絡的安全與否會影響整個校園網安全。
學校無線網絡的部署是以TP-LINK無線路由器為基礎,下面我們以TP-LINK為例探討無線網絡安全的問題:
1、 我們要做的就是修改無線路由器默認管理員密碼,雖然這個操作是最基本的,但還是有很多人忽略,無論是校園網絡和個人網絡都需要注意這一點。修改方法很簡單,登陸路由器的IP即可。
2、 修改路由器的默認管理IP。雖然各個廠商的路由器默認已經設置好IP地址和DHCP網段,但是避免被別人惡意破解還是把它改成符合我們應用的IP,不同的VLAN中無線路由器的IP設置成本VLAN的網段的IP即可。
3、 使用靜態IP地址。物理地址過濾的方法能夠不分配IP給未經授權用戶,但如果有客戶端使用MAC地址進行欺騙的方法,也就是使局域網中已經授權用戶的MAC地址,則這樣的過濾方法就沒用了,這是可以使用客戶端設置靜態IP地址的的方法,也就是關閉無線路由器的DHCP服務。
無線網絡安全不是技術問題,而是管理問題,當前無線網絡的很多系統都有安全機制,只要我們利用好,無線網的安全問題就會迎刃而解。
四、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,從而保證整個校園網絡的安全。
參考文獻:
1、戴有煒 windows server 2003網絡專業指南 清華大學出版社 2004 年6月
2、雷震甲 網絡工程師教程(第三版) 清華大學出版社 2009年8月
關鍵詞:神經網絡;計算機安全;評價技術
近年來,計算機及其網絡技術的快速發展給人們的生產、生活帶來了極大便利,但同時也帶來了相應的安全風險。在計算機網絡運營過程中,能夠影響其安全的因素眾多,比如計算機軟硬件損壞、病毒、黑客攻擊、人為操作失誤等。為了有效促進計算機及其網絡技術的發展,應嚴格防范安全問題,通過建立科學、高效的網絡安全評價系統,采取相對應的安全防范措施,不斷優化與完善計算機網絡體系,以便于其為人們提供更好的服務。
1神經網絡及計算機網絡安全的概述
1.1神經網絡簡介
神經網絡又被稱為鏈接模型,其是從生物神經網絡得到啟發而建立的。神經網絡模擬了人腦的信息處理方式,然后通過建立數學模型研究大腦行為結構及神經元的基本特征。世界上第一個神經網絡模型是由生物學家及數學家共同提出的。神經網絡復雜多變,神經元通過大量節點相互連接成網絡,并且每一個神經元都能夠處理信息,因此,神經網絡能夠同時處理海量信息。計算機學家在神經網絡模型的基礎上進行優化,設計出了感知器神經網絡模型,并將之應用到計算機網絡、工程建設以及經營管理等多個領域。
1.2計算機網絡安全
計算機網絡安全主要是指在網絡環境下,通過采用較為先進的科學技術及管理措施來保障計算機網絡體系正常運營及資料安全。廣義的計算機網絡安全包括物理安全及邏輯安全兩大部分,其中邏輯安全主要是指信息數據的完整性、保密性及可用性等方面的內容;物理安全則包括系統中的硬件及軟件等內容。計算機網絡安全具有較強的可控性及可審查性。目前,計算機網絡安全問題已成為全球共同關注的問題,同時也是相關從業人員一直努力解決的一大重要問題。
1.3計算機網絡安全評價體系的建立原則
計算機網絡安全評價體系是評價工作的基礎,其能夠科學、全面、客觀地分析與評定計算機網絡中存在的不安全因素,并給出相應的指標及解決措施,因此,在評價體系建立過程中,應綜合考慮多方面因素來設計評價指標。計算機網絡安全評價體系的建立原則主要包括以下幾個方面。(1)可行性。在安全評價體系建立之初,首先應確保構建的可行性,必須從實際條件和需求出發,因地、因需、因人制宜,以此來確保評價體系的實用性。(2)準確性。安全評價體系建立過程中,應當確保其能夠體現出計算機網絡安全的技術水平,并及時將各項安全信息反饋給檢測人員,以便于技術人員及時進行安全維護。(3)完備性。建立安全評價體系,還應確保其能夠全面反映計算機網絡安全的基本特征,以便于提高評價的準確性、真實性。(4)簡要性。安全評價體系的評價指標應具有代表性,以此來確保安全評價工作簡單、明了。(5)獨立性。由于計算機網絡是一個較為復雜的系統,因此,在其安全評價過程中,應確保各項指標的獨立性,盡量減少重復選擇及指標之間的關聯,以此來提升安全評價工作的效率和準確性。與此同時,在指標檢測過程中,應盡量選擇那些具有代表性和獨立性的指標進行檢測,以便于將計算機網絡的運行狀態和安全狀況客觀、真實地展現出來。在基于神經網絡的計算機安全評價體系中,神經網絡發揮著至關重要的作用,并且其較強的適應性為安全評價工作提供了強有力的保障,因此通過神經網絡技術,能夠創建出計算機網絡安全評價模型及仿真模型,以此來有效評估計算機網絡的安全狀況。
2基于神經網絡的計算機安全評價技術體系的建立
BP神經網絡模型是當前使用最廣泛的神經網絡模型,其主要采用最速下降法進行反向傳播,同時調整相關數值,從而將誤差降到最低。BP神經網絡模型還可以運用誤差逆傳播算法,構建起反饋多層網絡。由于BP神經網絡模型的算法簡單,更易實現,且具有良好的非線性逼近能力,因此,其也是計算機安全評價系統常用的模型之一。本文主要以BP神經網絡模型為基礎,對計算機安全評價系統展開分析。
2.1基于神經網絡的計算安全評價模型的設計
該模型主要由輸入層、隱含層及輸出層三大部分組成。(1)輸入層。BP神經網絡在設計過程中必須嚴格規定輸入層神經元節點的數量,其應與安全評價體系的評價指標數量一致,因此,神經元節點的數量應由二級指標的數量確定。比如,安全平體系中設計了10個二級指標,那么輸入層神經元節點的數量也應是10個。(2)隱含層。神經網絡安全評價模型在設計中,應采用單向隱含層,但若隱含層節點數量過多,則會大大增加神經網絡的學習時間,而若隱含層節點數量過少,又會降低神經網絡的容錯率,所以在設計過程中必須控制好隱含層的節點數量。(3)輸出層。神經網絡安全評價模型的輸出層設計關系到網絡安全評價結果,若在輸出層評價設計時,將輸出層節點設為2個,那么(1,1)的輸出結果則表示十分安全,而(1,0)則表示基本安全,(0,1)則表示不太安全,(0,0)則表示非常不安全。
2.2基于神經網絡的計算安全評價模型的學習
基于神經網絡的計算機安全評價模型構建過程中,BP神經網絡需要在模型中進行神經網絡學習,這就表示其需要完成相應的訓練工作,同時這也使得BP神經網絡具備初始連接權利。由于經過了一系列的神經網絡學習,所以后期使用中其誤差值較小,這樣才能確保安全評價結果的準確性,并保證模型使用與使用者的期望值無限接近。
2.3基于神經網絡的計算機安全評價模型的驗證
驗證安全評價模型,是為了確保其設計與學習工作的良好性,更是為了確保安全評價模型具備全面性、實用性及準確性。驗證程序主要為:首先,科學選取樣本數據,然后將樣本數據輸進模型中,經過模型的檢驗與分析,從而對計算機網絡的安全進行評價,如果所輸出的結果與對比值一致,則表明安全評價模型具有較高的準確性,可以投入使用;如果所輸出的結果與對比值存在較大的誤差,這時還應查明誤差原因,如果是模型的問題,還應對模型進行檢驗與優化,嚴重的還應重新設計,務必要確保其實用性和準確性。
3結語
綜上所述,神經網絡在計算機安全評價模型中具有至關重要的作用。因此,在構建基于神經網絡的計算機安全評價模型時,應將神經網絡的基本特征與計算機網絡運行特點緊密結合起來,并綜合考慮實際狀況和需求,然后以網絡安全評價模型構建的五大原則為基礎,從模型設計、神經網絡學習及模型驗證等幾大步驟著手,盡力創建出全面、高效、準確且實用性強的計算機網絡安全評價模型,以便于為計算機網絡安全運行提供有力的支撐。
參考文獻
[1]李忠武,陳麗清.計算機網絡安全評價中神經網絡的應用研究[J].現代電子技術,2014(10).
[2]呂樹紅,陳康.模糊綜合評判在網絡安全評價中的研究與應用[J].計算機光盤軟件與應用,2013(22).
[3]陶躍,田迎華.多級可拓評價方法在網絡安全評價中的應用[J].吉林大學學報:信息科學版,2013(1).
[4]孫志娟,趙京,戴京濤.采用KPCA-BP神經網絡的并聯機構全局綜合性能評價方法研究[J].現代制造工程,2014(11).
[5]禹建麗,黃鴻琦.神經網絡在復雜自相關預測過程中的應用及對比研究[J].數學的實踐與認識,2016(19).
論文摘要:要確保網絡安全,一是需要多種網絡安全技術結合,形成完整有效的網絡安全防護體系。二是不能靜態地看待網絡安全問題,要關注網絡安全,病毒的最街發展,不斷地完善網絡安全防護體系。三是共認識到僅金網絡安全技術構成的安全防護體系是不夠的,還妥健全和完菩網絡的安全管理制度,和形成技術和管理雙管齊下,才能確保網絡安全。
1概述
隨著計算機技術的發展和應用范圍的擴大,電力信息化的不斷深人,計算機在電力系統中已從簡單數據計算為主發展到數據庫處理、實時控制和信息管理等應用領域,并在OA系統、電能電量計費系統、電力營銷系統、電力ISP業務、經營財務系統、人力資源系統中得到廣泛的應用。在電力系統內,它已經成為各項工作必不可少的基礎條件,發揮著不可替代的作用。同時,由于各單位、各部門之間的現存的計算機網絡硬件設備與操作系統千差萬別,應用水平也參差不齊,因此,在計算機網絡覆蓋全球,計算機技術迅猛發展的今天,討論和研究電力系統計算機的應用及安全性則顯得尤為重要。
2電力系統的計算機網絡應用和管理
電力系統的計算機網絡應用是十分廣泛的,并且將隨著技術的發展而不斷發展。這里從Interanet方面討論電力系統的應用。首先各個單位應該申請工nternet國際域名和注冊地址,建立省電力系統WWW服務。將各個部門的公用信息和數據進行WWW,使所有的具有不同計算機水平的員工都可以用瀏覽器對文檔方便地進行調用、查詢、瀏覽和維護,并且建立面對Inter-net的WWW主頁服務,不僅宣傳企業形象,而且可以將各種電力信息與產品進行工nternet,為了安全可以設立獨立的服務器。建立電力系統的E-mail服務,使所有部門和員工擁有自己的電子信箱,不受時間和地域的限制接收電子信件。建立電力系統的FTP服務,使計算機文件方便地在Intranet和Internet上傳遞。建立電力系統的BBS服務,使所有分布在全省各個地區的員工在開設的不同交談站進行實時交流。建立電力系統的服務,對系統內的新聞進行播放,同時開辟NEWS討論主題,給所有員工發表自己見解的機會與場所,群策群力討論企業的發展與建議。
電力系統的計算機網絡管理應對各方面管理進行集成,來管理帶寬、安全、通訊量、存儲和內容。同時進行數據信息標準化和數據資源共享,保證系統的完整性和靈活性,適應不斷變化的要求,滿足系統多層次的不同應用,使系統的開放性符合國家標準和規范,保證應用軟件和數據資源有較長的生命期,并具有良好的可靠性、安全性和可擴充性,體現集中與分布式的管理原則。
(1)
集中就是由省局統一規劃全省的計
算機網絡結構,統一對全省的計算機網絡應用進行協調;對已有的局域網進行論證分析,使其從結構上與總網相適應,對建立的新網進行指導與監督;對網絡的通訊建設統一規劃管理。建立一個范圍廣泛的工ntranet,應使用廣域網網管,提供與工nternet的出口并進行防火墻技術安全管理,對于在系統內有廣泛共性的工作要進行統一的開發與推廣。
(2)分布式管理就是體現基層部門的內部管理,各個不同部門在其內部進行網絡應用管理,基層部門與省局聯系時進行統一的協議管理,保持全省通訊與應用協調一致,又根據單位性質的不同,開發不同特點的Intranete。
3電力系統計算機應用的現狀及問題
計算機安全是指計算機信息系統的安全。計算機危害主要指計算機信息系統的軟硬件資源遭到破壞、更改或泄露,系統不能正常運行。要保障計算機系統安全就必須治理(即清除、控制或預防)計算機危害。計算機系統的安全與不安全是從多方面反映的,從目前使用和發現的情況看,系統運行不穩定、內部資料外泄、網絡利用率低等是主要常見的現象。 通過計算機網絡使得電力系統的工作效率提高了,管理范圍擴大了,工作人員的辦事能力增強了,但計算機系統網絡安全問題也隨之變得更加嚴重了。例如:通過電子郵件感染病毒,電力系統管理網絡互聯接口的防火墻只配置了包過濾規則,提供的安全保證很低,容易受到基于IP欺騙的攻擊,泄露企業機密,有些局域網沒有進行虛擬網絡VLAN劃分和管理,造成網絡阻塞,使工作效率減低。絕大多數操作系統是非正版軟件,或網上下載免費軟件,不能夠做到及時補丁(PATCH)系統,造成系統漏洞,給攻擊者留下木馬后門;絕大多數工作站沒有關閉不必要的通訊端口,使得計算機易受遠程攻擊病毒可以長驅直人,等等。
4解決問題的措施和方法
安全性是電力系統計算機網絡最重要的部分。安全性既包括網絡設施本身的安全,也包括信息的安全;既要防止外界有害信息的侵入和散布,又要保證自身信息的保密性、完整性和可用性。筆者覺得可以從以下幾方面人手,提高網絡的安全性:
(I)提高網絡操作系統的可靠性。操作系統是計算機網絡的核心,應選用運行穩定、具有完善的訪問控制和系統設計的操作系統,若有多個版本供選擇,應選用用戶少的版本。在目前條件許可的情況下,可選用UN工X或LINUX。不論選用何種操作系,均應及時安裝最新的補丁程序,提高操作系的安全性。
(2)防病毒。防病毒分為單機和網絡兩種。隨著網絡技術的快速發展,網絡病毒的危害越來越大,因此,必須采用單機和網絡防毒結合的防毒體系。單機防毒程序安裝在工作站上,保護工作站免受病毒侵擾。主機防護程序安裝在主機上,主機的操作系統可以是WINDOWS, UN工X,LINUX等。群件防毒程序安裝在Exchange,Lotus等群件服務器中。防病毒墻安裝在網關處,及時查殺企圖進人內網的網絡病毒。防毒控管中心安裝在某臺網絡的機器上,監控整個網絡的病毒情況,防毒控管中心可以主動升級,并把升級包通過網絡分發給各個機器,完成整個網絡的升級。
(3)合理地使用防火墻。防火墻可以阻斷非法的數據包,屏蔽針對網絡的非法攻擊,阻斷黑客人侵。一般情況下,防火墻設置會導致信息傳輸的明顯延時,因此,在需要考慮實時性要求的系統,建議采用實時系統專用的防火墻組件,以降低通用防火墻軟件延時帶來的影響。
(4)對重要網絡采用和MIS網物理隔離的方法保證安全。物理隔離是在物理線路上進行隔離,是一種最安全的防護技術。
關鍵詞:防火墻;互聯網;日志
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 04-0000-02
一、引言
隨著計算機的普及和互聯網技術的發展,計算機的應用越來越廣泛,但是網絡安全問題也日益嚴重。據最新統計顯示,在美國,每年因互聯網安全問題所帶來的經濟損失高達100億美元,而在我國,計算機黑客入侵和病毒破壞每年也給我國帶來巨大經濟損失。如何建立確保網絡體系的安全是值得我們去關注的一個問題。本文從防火墻技術的角度對互聯網安全問題防火措施提出了自己的見解和意見。
二、防火墻技術淺析
隨著Internet的迅速發展,網絡應用涉及到越來越多的領域,網絡中各類重要的、敏感的數據逐漸增多;同時由于黑客入侵以及網絡病毒的問題,使得網絡安全問題越來越突出。因此,保護網絡資源不被非授權訪問,阻止病毒的傳播感染顯得尤為重要。就目前而言,對于局部網絡的保護,防火墻仍然不失為一種有效的手段,防火墻技術主要分為包過濾和應用兩類。其中包過濾作為最早發展起來的一種技術,其應用非常廣泛。
(一)防火墻的概念。防火墻是指設置在不同網絡安全域或者不同網絡安全之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻提供信息安全服務,是實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網絡和互聯網之間的任何活動,保證了內部網絡的安全。
(二)防火墻的主要功能。1.包過濾:包過濾屬于一種互聯網數據安全的保護機制,通過包過濾,可以有效的控制網絡數據的流入和流出。包過濾由不同的安全規則組成;2.地址轉換:地址轉換分為目的地質轉換和源地址轉換兩種。源地址轉換可以通過隱藏內部網絡結構和轉換外部網絡結構實現了避免外部網絡的惡意攻擊。3.認證和應用:所謂認證就是指對訪問防火墻的來訪者身份的確認。所謂是指防火墻內置的認證數據庫;4.透明和路由:主要是指把防火墻網管隱蔽起來以免遭到外來的攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問,同時阻止了外部未授權訪問者對專用網絡的非法訪問;防火墻還支持路由方式,提供靜態路由功能,支持內部多個子網之間的安全訪問。
(三)防火墻的原理及分類。根據國際計算機安全委員會的分類,防火墻分為三類,分別是包檢測防火墻、包過濾防火墻和應用及服務器。包過濾技術的防范手段。包過濾防火墻是指通過把收到的數據包和預先設定的包過濾規則進行比較判斷,決定是否允許通過。它主要工作在計算機的網絡層,過濾的規則就是通過和網絡層的IP包包頭進行信息比較。IP包包頭的主要信息有:封裝協議、IP地址、和ICMP信息類型等。通過比較,如果信息不匹配,則拒絕轉發。從速度來看,由于包括鋁處于網絡層,對連接的檢查也比較粗略,因此,它的速度是最快的。而且實現的要求比較低。從安全性角度來看,由于其過濾規則的不完善性,所以存在一系列的漏洞,安全性卻比較低。
(四)防火墻包過濾技術。隨著互聯網的發展,網絡安全問題變得越來越重要。而且,隨著黑客入侵技術的進一步提高,計算機網路安全問題也變得更加嚴峻。如何保護計算機網絡不受到攻擊和病毒感染已經成為人們普遍關心的問題,在對局域網進行保護的技術中,防火墻技術是一種非常有效的手段。而防火墻技術中的包過濾技術是發展比較早、比較廣泛的技術。包過濾就是指為確保網絡的安全,對每一個流經網絡的數據包進行檢查并根據相應的檢查規則確認是否允許通過。包過濾技術具有速度與透明性兩重優點。
(五)防火墻的配置。從硬件的角度看,防火墻和路由交換設備之間通常有多個借口哦,數據傳輸速度主要是由檔次與價格決定的。比如,一般的中小企業使用的出口帶寬都是100M以內的。防火墻在網絡拓撲圖中的位置非常關鍵,在網絡拓撲圖中,防火墻一般處于外網和內網之間互聯的區域。如果防火墻上有WAN接口,就可以把它直接與外網相連。防火墻和傳統的路由器在外觀上差別不大,和路由器交換機不同之處在于,在對防火墻進行配置時,需要把他們劃分成不同的權限和優先級。而且還要相關接口的隸屬區域進行相應的配置。在進行實際設置的時候,需要把各自端口劃分到某些區域時才可以進行訪問。在默認情況下對數據接口的通信是組織的。除了這些差別,防火墻的其他配置和路由器交換設備的配置差不多。
軟件的配置與實施,這里以H3C的F100防火墻為例,當企業外網IP地址固定并通過光纖連接的具體配置。先當企業外網出口指定IP時配置防火墻參數。選擇接口四連接外網,接口一連接內網。這里假設電信提供的外網IP地址為202.10.1.194 255.255.255.0。
第一步:通過CONSOLE接口以及本機的超級終端連接F100防火墻,執行system命令進入配置模式。
第二步:通過firewall packet default permit設置默認的防火墻策略為“容許通過”。
第三步:進入接口四設置其IP地址為202.10.1.194,命令為
int e0/4
ip add 202.10.1.194 255.255.255.0
第四步:進入接口一設置其IP地址為內網地址,例如192.168.1.1 255.255.255.0,命令為
int e0/1
ip add 192.168.1.1 255.255.255.0
第五步:將兩個接口加入到不同的區域,外網接口配置到非信任區untrust,內網接口加入到信任區trust――
fire zone untrust
add int e0/4
fire zone trust
add int e0/1
第六步:由于防火墻運行基本是通過NAT來實現,各個保護工作也是基于此功能實現的,所以還需要針對防火墻的NAT信息進行設置,首先添加一個訪問控制列表――
acl num 2000
rule per source 192.168.0.0 0.0.255.255
rule deny
第七步:接下來將這個訪問控制列表應用到外網接口通過啟用NAT――
int e0/4
nat outbound 2000
第八步:最后添加路由信息,設置缺省路由或者靜態路由指向外網接口或外網電信下一跳地址――
ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 (如下圖)
執行save命令保存退出后就可以在企業外網出口指定IP時實現防火墻數據轉發以及安全保護功能了。
三、防火墻發展趨勢
隨著計算機病毒的發展和黑客技術的提升,傳統的防火墻技術已經不能解決這些問題。從目前來看,防火墻技術正在向新的方向發展。
從防火墻的體系結構發展來看。為應對未來發展需要,人們相繼開發了基于ASIC的防火墻和基于網絡處理器的防火墻。這類防火墻對軟件的依賴度有所增加,但是卻可以大大的減輕CPU的壓力。在性能上比傳統防火墻有新的提升。然而從編程的角度來看,這種防火墻缺乏靈活性,要實現和軟件的配合使用,必須添加新的硬件。
從防火墻的包過濾技術發展來看,一些防火墻廠商在防火墻中添加了新的認證體系和方法。從而大大的提高了用戶的安全級別,但是在一定程度上也給網絡通信帶來了一定的負面影響。多包過濾技術的發展彌補了單獨過濾技術的不足和缺陷,而且這種技術具有分層清楚、擴展性強等特點。是將來防火墻技術發展的基礎。
四、結束語
互聯網技術的發展使得計算機應用越來越普及,但是隨之而來的是網絡安全問題也日益突出,網絡病毒對經濟社會生活帶來了極大的危害。通過采用新的防火墻技術,可以有效的確保互聯網的安全。本文正是基于這個背景進行探討和研究的。相信不久的將來,隨著防火墻技術的進一步發展,互聯網安全問題會逐步得到有效的控制和解決。
參考文獻:
[1]王艷.淺析計算機安全[J].電腦知識與技術,2010,(s):1054
[2]艾軍.防火墻體系結構及功能分析[J].電腦知識與技術.2004,(s):79
[2]孟濤,楊磊.防火墻和安全審計[M].計算機安全.2004,(4):17
隨著企業網絡信息技術的快速發展和廣泛應用,社會信息化進程不斷加快,生產制造、物流網絡、自動化辦公系統對信息系統的依賴程度越來越大,因此,保證信息系統的安全穩定運行也越來越重要。如何保證企業網絡信息化安全、穩定運行就需要網絡規劃設計師在設計初始周全的考慮到網絡安全所需達到的條件(包括硬件、OSI/RM各層、各種系統操作和應用)。
1網絡安全、信息安全標準
網絡安全性標準是指為了規范網絡行為,凈化網絡環境而制定的強制性或指導性的規定。目前,網絡安全標準主要有針對系統安全等級、系統安全等級評定方法、系統安全使用和操作規范等方面的標準。世界各國紛紛頒布了計算機網絡的安全管理條例,我國也頒布了《計算機網絡國際互聯網安全管理方法》等多個國家標準,用來制止網絡污染,規范網絡行為,同時各種網絡技術在不斷的改進和完善。1999年9月13日,中國頒布了《計算機信息系統安全保護等級劃分準則》(GB17859:1999),定義了計算機信息系統安全保護能力的5個等級,分別如下:(1)第一級:用戶自主保護級。它的安全保護機制使用戶具備自主安全保護的能力,保護用戶的信息免受非法的讀寫破壞。(2)第二級:系統審計保護級。除繼承前一個級別的安全功能外,還要求創建和維護訪問的審計蹤記錄,使所有的用戶對自己行為的合法性負責。(3)第三級:安全標記保護級。除繼承前一個級別的安全功能外,還要求以訪問對象標記的安全級別限制訪問者的訪問權限,實現對訪問對象的強制訪問。(4)第四級:結構化保護級。除繼承前一個級別的安全功能外,將安全保護機制劃分為關鍵部分和非關鍵部分,對關鍵部分直接控制訪問者對訪問對象的存取,從而加強系統的抗滲透能力。(5)第五級:訪問驗證保護級。除繼承前一個級別的安全功能外,還特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動。
2企業網絡主要安全隱患
企業網絡主要分為內網和外網,網絡安全體系防范的不僅是病毒感染,還有基于網絡的非法入侵、攻擊和訪問,但這些非法入侵、攻擊、訪問的途徑非常多,涉及到整個網絡通信過程的每個細節。從以往的網絡入侵、攻擊等可以總結出,內部網絡的安全威脅要多于外部網絡,因為內網受到的入侵和攻擊更加容易,所以做為網絡安全體系設計人員要全面地考慮,注重內部網絡中存在的安全隱患。
3企業網絡安全防護策略
設計一個更加安全的網絡安全系統包括網絡通信過程中對OSI/RM的全部層次的安全保護和系統的安全保護。七層網絡各個層次的安全防護是為了預防非法入侵、非法訪問、病毒感染和黑客攻擊,而非計算機通信過程中的安全保護是為了預防網絡的物理癱瘓和網絡數據損壞的。OSI/RM各層采取的安全保護措施及系統層的安全防護如圖1所示。
4OSI/RM各層主要安全方案
4.1物理層安全
通信線路的屏蔽主要體現在兩個方面:一方面是采用屏蔽性能好的傳輸介質,另一方面是把傳輸介質、網絡設備、機房等整個通信線路安裝在屏蔽的環境中。(1)屏蔽雙絞線屏蔽與非屏蔽的普通五類、超五類雙絞線的主要區別是屏蔽類雙絞線中8條(4對)芯線外集中包裹了一屏蔽層。而六類屏蔽雙絞和七類雙絞線除了五類、超五類屏蔽雙絞線的這一層統一屏蔽層外,還有這些屏蔽層就是用來進行電磁屏蔽的,一方面防止外部環境干擾網線中的數據傳輸,另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到。(2)屏蔽機房和機柜機房屏蔽的方法是在機房外部以接地良好的金屬膜、金屬網或者金屬板材(主要是鋼板)包圍,其中包括六面板體和一面屏蔽門。根據機房屏蔽性能的不同,可以將屏蔽機房分為A、B、C三個級別,最高級為C級。機柜的屏蔽是用采用冷扎鋼板圍閉而成,這些機柜的結構與普通的機柜是一樣的,都是標準尺寸的。(3)WLAN的物理層安全保護對于無線網絡,因為采用的傳輸介質是大氣,大氣是非固定有形線路,安全風險比有線網絡更高,所以在無線網絡中的物理層安全保護就顯得更加重要了。如果將機房等整個屏蔽起來,成本太高,現在主要采用其他方式如多位數共享密鑰、WPA/WPA2動態密鑰、IEEE802.1X身份驗證等。現在最新的無線寬帶接入技術——WiMAX對于來自物理層的攻擊,如網絡阻塞、干擾,顯得很脆弱,以后將提高發射信號功率、增加信號帶寬和使用包括跳頻、直接序列等擴頻技術。
4.2數據鏈路層安全
在數據鏈路層可以采用的安全保護方案主要包括:數據鏈路加密、MAC地址綁定(防止MAC地址欺騙)、VLAN網段劃分、網絡嗅探預防、交換機保護。VLAN隔離技術是現代企業網絡建設中用的最多的技術,該技術可分為基于端口的VLAN、基于MAC地址的VLAN、基于第三層的VLAN和基于策略的VLAN。
4.3網絡層安全
在網絡層首先是身份的認證,最簡單的身份認證方式是密碼認證,它是基于windows服務器系統的身份認證可針對網絡資源的訪問啟用“單點登錄”,采用單點登錄后,用戶可以使用一個密碼或智能卡一次登錄到windows域,然后向域中的任何計算機驗證身份。網絡上各種服務器提供的認證服務,使得口令不再是以明文方式在網絡上傳輸,連接之間的通信是加密的。加密認證分為PKI公鑰機制(非對稱加密機制),Kerberos基于私鑰機制(對稱加密機制)。IPSec是針對IP網絡所提出的安全性協議,用途就是保護IP網絡通信安全。它支持網絡數據完整性檢查、數據機密保護、數據源身份認證和重發保護,可為絕大部分TCP/IP族協議提供安全服務。IPSec提供了兩種使用模式:傳輸模式(TransportMode)和隧道模式(TUNNELMode)。
4.4傳輸層安全
傳輸層的主要作用是保證數據安全、可靠的從一端傳到另一端。TLS/SSL協議是工作在傳輸層的安全協議,它不僅可以為網絡通信中的數據提供強健的安全加密保護,還可以結合證書服務,提供強大的身份誰、數據簽名和隱私保護。TLS/SSL協議廣泛應用于Web瀏覽器和Web服務器之間基于HTTPS協議的互聯網安全傳輸。
4.5防火墻
因防火墻技術在OSI/RM各層均有體現,在這里簡單分析一下防火墻,防火墻分為網絡層防火墻和應用層防火墻,網絡層防火墻可視為一種IP封包過濾器,運作在底層的TCP/IP協議堆棧上。應用層防火墻是在TCP/IP堆棧的“應用層”上運作,應用層防火墻可以攔截進出某應用程序的所有封包。目前70%的攻擊是發生在應用層,而不是網絡層。對于這類攻擊,傳統網絡防火墻的防護效果,并不太理想。
5結語
以上對于實現企業網絡建設安全技術及信息安全的簡單論述,是基于網絡OSI/RM各層相應的安全防護分析,重點分析了物理層所必須做好的各項工作,其余各層簡單分析了應加強的主要技術。因網絡技術日新月益,很多新的網絡技術在本文中未有體現,實則由于本人時間、水平有限,請各位讀者給予見解。文章中部分內容借簽于參考文獻,在此非常感謝各位作者的好書籍。
作者:單位:西山煤電(集團)有限公司物資供應分公司
引用:
[1]李磊.網絡工程師考試輔導.北京:清華大學出版社,2009.
[2]王達,闞京茂.網絡工程方案規劃與設計.北京:中國水利水電出版社,2010.
論文摘要:計算機和網絡應用基礎性教育是現代化、信息化社會發展的需要,是技術教育和文化教育的重要組成部分。作者論述了信息教育中網絡應用基礎教育的重要性,在教育中存在的內容滯后、實驗不實用等問題,并通過詳細列舉了幾個經典可行的計算機網絡應用基礎課實驗,為網絡課程建設提出了自己的意見和見解,并分析了網絡應用基礎教學的重點和今后發展方向。
一、信息技術教育形勢和網絡應用基礎課現狀
隨著全球數字化、信息化和網絡化技術的全面發展,計算機正日益深人到人們的日常生活與工作之中,計算機網絡在社會和經濟發展中起著非常重要的作用,網絡已經滲透到人們生活的各個角落,影響到人們的日常生活。計算機網絡的發展水平不僅反映了一個國家的計算機和通信技術的水平,而且己經成為衡量其國力及現代化程度的重要標志之一。計算機和網絡知識已經成為當代文化的一個重要組成部分,是人們知識結構中不可缺少的部分。
掌握計算機和網絡的基本知識、基本操作與應用,已經成為現代社會中人們的一個必備的技能。在這一大的時代背景下,作為高校的計算機基礎教育,已不僅僅是一種強有力的技術基礎教育,同時也是一種文化基礎的教育,是人才素質教育的重要組成部分,這不僅是信息化社會的需求,更是各學科發展的需要。
計算機基礎課程作為面向非計算機專業學生的課程具有非常重要的地位。通過該課程的學習,使學生認識計算機,了解計算機的基礎知識和基本理論,掌握計算機的基本操作和網絡的使用方法,并為后續的計算機課程打下一個較為扎實的基礎。作為計算機基礎課程當中非常重要的組成部分—計算機網絡應用基礎,正在成為學生最迫切掌握的內容部分,其受重視程度逐年遞增。由于信息技術發展迅猛,計算機等信息技術教學從教材到課程設計都存在不同程度的內容滯后狀況。針對非計算機專業的學生,計算機教學的主要目的是掌握使用計一算機的方法和技巧,教學內容和當前主流內容脫節會嚴重降低教學質量,引起學生不滿。
作者從實際教學實踐中總結出了有關計算機網絡應用基礎課的比較經典的實驗內容,在實際教學當中受到了學生的一致好評,貼近實用、內容較新、實施方便。以下就是具體實驗設計內容。
二、在教學環境下精心設計的計算機網絡應用基礎課實驗
作為計算機教學的必備條件之一,聯網的多媒體機房是必不可少的。機房里的學生用機應該有主流的硬件配置,安裝較新的操作系統和常用的工具軟件,而且機器組成局域網狀態。當然,還有一些要求也最好滿足,比如:學生用機安裝還原卡以方便維護和管理,教師用機和學生機都安裝某種教學系統軟件以提高教學質量,機房配備專用服務器以保障機房整體性能等。滿足了以上軟硬件要求,我們就可以設計網絡應用基礎實驗,提高學生實際動手能力,加深對理論知識的理解。
1、辦公局域網相關使用技巧
作為網絡技術的基礎及其重要組成部分,局域網(LAN)被廣泛應用到中小企業、辦公室、家庭、網吧及學校CAI教學中,是我們計算機網絡應用教學的重點。其內容大致包括:簡單局域網配置、網絡共享、用戶管理、網絡驅動器、網絡打印機等。
組建網絡是網絡應用的基礎,是必須要掌握的內容。在實驗課上,教師找出一根雙絞線網線,讓學生觀看物理構造,然后教師用專業網絡用鉗子現場制作水晶頭,并告訴同學們雙機對聯和標準多機互聯兩種情況下網線不同的排線方式,在完成后用測線儀進行測試。帶領同學們參觀并講解多媒體網絡機房的布線情況、機柜里面的交換機,加強理解網絡拓撲結構內容。最后帶領同學們組建一個對等的局域網環境,配置“網絡連接”的各種屬性,包括IP地址、子網掩碼、網關、DNS地址等,在配置的過程當中重新回顧理論課上的內容。
實現信息資源的共享是網絡的一大功能,也是應用的最廣泛的技術。在機房環境,讓同學們學會共享一個文件夾,并設置成各種模式:是否允許別人修改共享文件夾內容、是否讓別人在網上鄰居里面看到自己共享的文件夾(在共享名后面加“$”符號)、不使用簡單文件共享方式而針對多個用戶配置不同的權限。學生們組成兩人或多人的實驗小組,每個同學都親自體驗共享者、訪問者等多重角色。在Win 2000以后的版本中用戶概念的重要性越來越突出,讓同學們在Windows XP環境下創建多個用戶,在共享的時候實現遠程訪問共享的安全策略。
在長期、頻繁的需要共享和訪問的時候,就可以創建網絡驅動器,使用網絡啟動器把共同使用資料放在某服務器上,提高數據的使用效率、降低數據冗余。打印機等昂貴辦公器材的共享,也讓同學們進行實際操作,可以在教師機上連接一臺打印機,學生機進行網絡打印機的配置,在配置成功后,每位同學利用網絡打印機打印一份自己的作業或實驗報告以檢測實驗效果。
2、遠程桌面和遠程協助
使用計算機網絡我們還可以實現遠程辦公、遠程技術支持、遠程交流和遠程維護管理這些功能,而Windows XP操作系統本身自帶了這些功能,在教學機房里里面我們就可以進行這方面的實驗課程。
在遠程桌面實驗中使學生掌握:遠程桌面的使用環境、必備軟硬件條件、用戶認證、在遠程登陸連接后可以進行的權限和應用。進行完了遠程桌面實驗以后,引人特定案例環境,例如:遠程用戶需要遠程協助、在線解決問題等,把Windows XP另外一個自帶重要功能—遠程協助引人教學。遠程協助實驗實行座位臨近的學生兩人一組形式,每個同學都完整的進行一次不同角色的任務,即充當求助者也充當遠程專家,把遠程協助的技巧和功能充分掌握。其中,學生們還會碰到很多相關的技術問題,比如:把遠程協助的邀請函文件進行傳遞的時候就會用到帶權限限制的文件共享問題、郵件發送接受問題;在遠程協助過程當中還會使用到實時通信功能,其中可以是文本形式,也可以是語音形式。在解決很多實際碰到的技術問題時,學生們的自學能力、探索能力、合作能力都會大大的提高。
遠程桌面和遠程協助功能強大,實驗效果非常好,開闊了視野,而平時學生會用的比較少,所以反映強烈,激發了學生們的學習熱情。
3、互聯網使用技巧
國際互聯網(因特網、Internet)代表著當代計算機網絡體系結構發展的重要方向,已在世界范圍內得到了廣泛的普及與應用。國內互聯網發展迅速,無論從網民數量還是與網絡相關的產業經濟都令世人矚目。人們可以使用因特網瀏覽信息、查找資料、讀書、購物,甚至可以進行娛樂、交友,因特網正在迅速地改變人們的工作方式和生活方式。
我們在進行有關互聯網的網絡應用技能培訓時,內容涉及:IE瀏覽器的使用技巧、電子郵件系統及兩種使用方法.FTP 服務的應用、網絡論壇體驗等。每項內容都是采取先理論、再模仿、最后自己實驗的方式,在網絡機房模擬真實Internet環境教學。IE瀏覽器教學中,在機房服務器上創建一個網站或利用校園網上現成的網站供學生進行訪問,掌握IE瀏覽器Internet選項配置、收藏夾應用、網頁保存、脫機瀏覽等實用技術。采用IMAIL等郵件服務器軟件,在服務器上配置局域網環境下的電子郵件環境,讓學生使用Web方式和郵件收發工具(Outlook Express)方式進行電子郵件的收發。同樣,由任課教師自己配置的FTP系統、論壇系統,進行實驗的時候內容豐富、靈活,更容易配置出符合教學要求的網絡環境來。
4、網絡安全知識普及
目前,整個國內乃至世界網絡安全形勢都非常嚴峻,網絡人侵、涉密信息泄密、黑客控制、病毒木馬等正利用網絡平臺危害著整個社會,給人民群眾造成了極大的損失。
作為網絡應用基礎課,網絡安全部分的教育應該逐漸提升其位置和所占比例,使我們的學生不僅會利用網絡,還要會安全的使用網絡。網絡安全普及型教育應該做到以下幾個方面:網絡安全道德倫理方面的教育;網絡安全威脅的各種手段介紹;基本網絡安全預防知識和技巧。在教學手段上,可以使用貼近實際的活生生的網絡安全案例來給學生講解其重要性、危害性。用一些掃描、漏洞攻擊、木馬控制和暴力破解軟件,在機房現場演示來給學生加深理解黑客攻擊的技術手段。
三、實驗內容的效果及網絡應用基礎課還應加強的方面
做了以上實驗內容,從局域網實用小技巧到互聯網常用功能的使用,再到網絡安全教育,學生都會有一個具體感性的認識,改變了以往重理論輕實驗、實驗內容不實用等問題,教學效果比較理想,學生實驗熱情高漲、滿意度很高。在實驗課教學中我們更加容易的進行各種教學改革,比如:啟發式教學、研究式教學、問題式教學等。
關鍵詞:版權;網絡免費下載;版權所有者
中圖分類號:G114 文獻標識碼:A 文章編號:1005-5312(2010)11-0096-02
隨著科技的發展,人民的生活質量不斷得到提高,國家綜合實力得到極大的進步,相應地還有社會道德與法制的革新,以及對大眾價值觀念的挑戰。從古至今,偉大的祖先創造了千奇百種的發明,為現今的各種技術開創先河,印刷術是中國的四大發明之一,它的出現,使得優秀的文化得到廣泛的傳播成為可能,促進了各地的文化交流,也促進了一國的教育發展,當然,古人的傳播僅僅是文化交流階段,對于書籍的不可控制的復制并沒有太多的異議,反而認為這是一種宣傳的最佳手段,也沒有人對“版權”二字有深刻的概念。隨著法律制度的完善,文化產品的利益歸屬問題也日漸浮出水面。近幾年來,網絡已經走進千家萬戶,網絡免費下載技術也改變了我們觀看影視產品的方法,同時,也淡化了大眾的版權意識。
一、網絡免費下載帶來的版權問題
關于侵犯版權的案例近幾年來逐漸增多,“版權”一詞越來越受到大眾關注,各方的利益不同,關注的焦點也有所不同。大多數網民認為,網絡提供免費下載的服務,那么他們用此下載的影視文件當屬合情合理的行為,這包括無限制的復制和傳播影視產品,況且他們交納過上網費用;影視制作者認為,網絡下載中的影視產品未經他們授權就在網絡中復制傳播,這種行為極大地侵犯了“版權”。在中國網民的數量已經上升到幾億,若真要針對每一個人來討回版權的損失,必然會得不償失,不僅會受到大眾輿論的攻擊,光是成本就不可估量,如此,網絡免費下載的服務提供者便成為中間者,也成為影視制作商的主要針對的對象。在2009年11月,中國境內一些BT下載服務網站被國家廣電總局明令關閉,這次事件就是一個很好的例子。
何謂侵犯版權,就是未經著作人的同意復制文化產品,并且向大眾傳播這些作品,有的甚至以此來謀取商業利益,從這一點上來看,網絡下載中那些未經影視制作人同意就上傳影視作品向大眾傳播的行為,的確是屬于侵權行為。其中,行為人應該是利用下載工具進行非法傳播復制的廣大網民,當中的直接受害者則是文化產品版權的所有人,間接受害人是經版權所有者授權,在正規銷售渠道發行文化產品的營銷商,而下載服務提供者本意并非是用于非法傳播,下載服務中被非法利用的可能性又是其不可控制的,于情于理,都不能追究他們的法律責任。
縱觀國家相關部委對網絡視頻節目的整治,應該是監管越來越嚴格,力度可能也將越來越大。而這一系列的整頓會不會實質性的解決我國的版權問題還是一個未知數。在解決我國版權問題時仍面臨著一系列的問題。首先就是若想從法律角度出發,很有可能與廣大網民利益和態度的傾向違逆,引起網民的不滿甚至攻擊,這樣,反而是的版權保護工作更難進行;其次,就是技術方面保護的漏洞,因技術引起的問題理應由技術解決,不僅國家法律制度上應該規定網絡下載的合法方式,影視制作人也應該用技術的手段從根本上保護自己的權利;最后,我國的互聯網技術正處于起步快速發展階段,互聯網也進入到普通百姓家庭逐步普及,若以極端的方式解決版權爭端,也許會阻礙互聯網技術的發展,從國家、社會和群眾生活質量的長期發展來看,造成的后果遠遠不可估量。如何公正公平的解決版權問題,并且不影響到互聯網技術的發展,同時兼顧各方的利益平衡,盡量使得受損一方的損失最小化,是我國在尋找解決版權問題時不得不考慮的衡量標準。
二、結合我國國情分析新興網絡下載的出路
經歷了十年,中國的法制體系遭到了很大的破壞,法制觀念也是后慢慢建立起來的,對于國內不健全的法制體系,每個人都很少認為在網上免費獲得分享視聽文件是一種侵權行為,對于許多音樂影視的制作人和營銷商都大力提倡的支持正版,并不是每個人都會去在意,當然,其中也有一些人出于對某明星的支持、對音質視覺效果的追求,還是會一如既往的支持正版,但也極少有網民站出來指責那些通過非正常渠道獲得視聽文件的人。可見,建立健全法制體系和加強對網民的法律宣傳教育是同等重要的。
那么,針對網絡下載技術的特點,同時結合我國的實際情況,對我國網絡下載的管理有以下幾點建議:
(一)建立完善的法律法規。法律是國家制定或認可的,由國家強制力保證實施的,其權威的地位不容質疑,因此,要處理這一系列的矛盾對法律的公正性、完善性和系統性有很大的要求。我們國家也注意到這一問題,自1990年《中華人民共和國著作權法》建立以來,有多部保護版權和維護網絡安全的法律文件和相關規定出臺。2005年4月30日國家版權局、信息產業部了《互聯網著作權行政保護辦法》,隨后又有《中國互聯網網絡版權自律公約》、《信息網絡傳播權保護條例》等一系列法律法規的頒布,可見國家對互聯的管理一步步加強。然而,我們也應該看到在法律保護上的不足,國內對于網絡侵權的認定標準很是籠統,在國外,有些法律關于侵權的認定甚至可以用苛刻二字形容,對于復制、觀看、下載有著嚴格的時間限制和長度標準。中國往往只是對某一行為做大概的解釋,忽略了一些重要的細節問題,使得人們產生了很大的歧義,而無法認定自己的下載行為是否觸犯了法律;同時,技術往往成為侵權的替罪羔羊,這種做法往往會阻礙了技術的進步,也會造成大眾對互聯網真正價值的錯誤看待。
(二)完善技術。網絡下載技術引起了新一輪的版權和網絡安全管理問題,因技術引起的矛盾,我們更應該用改進技術的方法來解決它。以BT下載器為例,由于BT下載模式會把運營商提供的寬帶接入帶寬用滿、用足,而導致網絡在傳輸段和骨干段出現資源緊張,除了p2p下載技術要盡量克服這一缺陷之外,運營商也應該改善自己提供的寬帶,而不是因為自己的利益受到損害,一味的以版權的借口屏蔽含有p2p下載技術的服務器,況且運營商提供的視聽下載文件也有一些是屬于盜版內容。同時,政府要想更有力地保護互聯網的安全運行,建立法律是一種方法外,提高網絡同步監管技術也是很有必要的,使互聯網在有序、高效、安全的環境下運行;同時視頻制作商可以效仿數字版權管理中的數字水印和加密技術,限制用戶的下載和復制,來保護自己的文化產品不受非法傳播和盜版的困擾,維護自身的版權利益。
(三)廣泛地宣傳教育。政府的思想宣傳很容易深入人心,因為p2p的最終侵權人是終端用戶,是社會上普通的大眾,因此社會性的版權意識教育必不可少,這樣不僅可以讓大眾意識到文化作品版權的重要性,還可以使社會形成良好的風氣。通過電視、電臺廣播、圖書、報紙、網絡媒體等方式來宣傳尊重版權的重要性,教育網民合理合法地使用網絡,杜絕非法現象的出現,形成正確的網絡觀念,這對下一代的教育也是息息相關的重大問題。網絡實際上在很大程度上改進了我們的生活,提高了我們的生活質量,但是在網絡中也滋生了很多不利于未成年人健康的內容,一些媒體也經常對網絡的不良內容進行批評,但這在家長心中形成了對網絡缺點的放大效果,因此很多家長干脆視整個網絡為喪志之物,這種做法和想法很危險,使孩對先進的技術非理性的看法,不能用一個開放的心態看待網絡帶給我們的各種變化,宣傳教育,不僅要教育大眾尊重文化產品所有的版權,更要教育大眾用一個理性的態度看待網絡的好與壞。
(四)成立行業組織。這一點對于網絡監管很有必要,也許一個組織并沒有法律的權威強硬,但它卻可以成為一個很好的平衡者。由于是本行業內的組織,關于互聯網的專業知識自然要比法律界人士功底要強,也更容易在堅持技術進步的基礎上調節不同服務提供者的利益。一些網絡的非法操作無法在法律上得到認定的,通過該組織的專業知識也有可能得到認定,一些有爭議的矛盾可以在這得到不一樣的見解,法律的判斷是普遍的權威,而行業組織是該領域特有的專業權威,如果p2p下載服務提供者觸犯了法律,但是從行業組織上來說,這只是一種技術的出現改變了人們獲取視聽文件的方法。法律與行業組織在某一問題上的分歧,卻可以使人們從客觀的角度來看待解決問題,最終,得到一個相對公正的判斷。
(五)加強國際合作。眾所周知,互聯網的發展是不限區域、國家的,世界各地的人們可以通過網絡聊天、發送郵件等等,而在中國大陸,有很多含有不良內容的非法網站屢禁不止,很大的一部分原因是這些網站是建立在國外的,而國內根本無法關閉這些網站,最多只能是屏蔽,但網絡全球化的今天,屏蔽的作用也只能是有限的。所以,跟國際合作也是杜絕盜版現象、管制網絡的好辦法。1992年10月15日和10月30日,中國分別成為《保護文學和藝術作品伯尼爾公約》和《世界版權公約》的成員國。1993年4月30日,中國成為《保護錄音制品制作者防止未經許可復制其錄音制品的日內瓦公約》的成員國。可見,在版權方面,中國與國際的合作越來越密切,但是關于網絡安全方面,中國不僅要加強與國際的合作,也要鞏固自身的網絡科技,以自己的實力來保護國家的網絡安全,不受來自國外的攻擊。同時,中國可以適量引進國外的視聽文化產品,再減輕網絡非法下載問題的同時,也給國內的文化產品制作者帶來競爭壓力,促進文化產業的繁榮發展。
針對網絡非法下載和版權之爭的困擾,政府管制、法律強制、技術改進、國際合作等措施都是必不可少的,但是如何在技術和各方利益之間取得平衡確實很重要的問題,本人認為,技術始終都要擺在第一位,因為它是關系到社會和國家持久發展的關鍵因素,同時,社會輿論、政府和法律的態度都要引導人們對版權的重視,也要引導人們以一個客觀的角度來看待網絡帶給我們的改變。
參考文獻
[1]譚筱清.數字時代知識產權保護的理論與判解研究[M].蘇州大學出版社.2005年版.
[2]吳曼芳.媒介的政府規制,中國電影出版社[M)].2008年版.
論文關鍵詞:信息化;信息安全;網絡安全;保密意識
2l世紀以來.人類社會進入信息化時代。近幾年.全國公安現役部隊深入貫徹公安部”科技強警”的指示方針.伴隨著公安現役部隊信息化工程的建設與發展,為全體官兵搭上”信息快車”提供了一個平臺。不可否認.科技是一把”雙刃劍”,公安現役部隊信息化建設也不例外。公安現役部隊的信息化建設極大地提高了部隊的工作效率.但同時也給我們工作人員提出一個新課題.即在操作和使用的過程中如何保證信息的安全。
1.信息安全概念
公安現役部隊信息安全是公安現役部隊信息化建設的基礎性工程.與一般意義上的信息安全相比.公安現役部隊信息安全具有一定的特殊性。
公安現役部隊信息安全是指保密信息必須只能夠被一組預先限定的人員存取對這類信息的未經授權的傳輸和使崩應該被嚴格限制是指系統的硬件、軟件及其系統中的數據受到保護.不因偶然的或者惡意的原因而遭受到破壞、更改、泄密,系統連續可靠正常地運行。
2.信息安全現狀分析
2.1網絡信息安全威脅嚴重
網絡信息安全事關國家安全、社會穩定、經濟發展和文化建設等各個領域.已經成為全球關注的熱點問題。根據瑞星”云安全”數據中心最新統計數據表明.2009年上半年.瑞星”云安全”系統攔截到的掛馬網頁數累計達2.9億個.共有11.2億人次網民遭木馬攻擊:其中大型網站、流行軟件被掛馬的有35萬個(以域名計算),比去年同期有大幅度增長。目前的互聯網非常脆弱.各種熱點新聞、流行軟件、社交(SNS)網站、瀏覽器插件的漏洞層出不窮.為黑客提供了大量入侵和攻擊的機會政府機關網站、各大中型企業網站,由于專業性技術人員缺乏.網站大多由第三方公司外包開發,存在缺陷較多,也最容易被掛馬。據統計,2009年1月份受感染型病毒侵襲的網民為106萬.而6月份則達到了395萬.上升了近4倍。
2.2公安現役部隊信息人才缺失
信息安全建設,人才是關鍵。一方面任何信息安全技術方面的成果都是人創造的:另一方面.任何危害信息安全的事件同樣也是人為的。因此,培養大量優秀的信息安全人才成為當前我公安現役部隊信息安全領域的頭等大事公安現役部隊需要大量信息安全的專門人才,邊、消、警部隊實現電子警務應用系統的發展也需要大量信息安全的專門人才。然而.目前我國只有少數大學能夠培養信息安全方向的研究生.部分院校培養本科生.其數量遠遠不能滿足需求目前我國從事信息安全研究的專業人才(副高職稱以上)僅有3000人.從事信息安全工作的人員也比較少.且多是”半路出家”.即由網絡管理人員通過有關信息安全知識的自學或短期培訓后從事這項工作的。此外。即使一些信息安全領域的公司也存在人才短缺或流失的問題.而公安部門同樣存在著較大的信息安全人才缺口
2.3官兵信息安全意識薄弱
有些官兵保信息安全意識不強,擅自將涉密便攜式電腦、硬盤、優盤和光盤帶出辦公室,極易造成涉及部隊政治工作策略、國家安全和軍事利益的文字、圖片或錄像資料的外泄:在連接國際互聯網的計算機上使用涉密儲存介質不經意造成的泄密問題比較突出。”一機跨兩網”、”一盤跨兩網”等行為屢禁不止,給部隊計算機網絡和信息安全造成了嚴重威脅,教訓極其深刻。此外.有些官兵管不住自己的嘴.通過語言威脅到大局信息安全的事件時有發生。有些同志不分對象、場所,為了炫耀自己”卓越”的見解.在不知不覺中隨口泄露機密。有些同志在接受大眾傳媒采訪.以及在進行新聞宣傳報道時,隨口說出涉密的重大任務和軍事活動.造成嚴重泄密。
3.公安現役部隊應對策略分析
公安現役部隊信息安全建設不是各部門信息安全建設成果的簡單疊加.而是要通過技術防范與管理相結合.注重整個系統的信息安全建設。
3.1增強安全防范.做到制度技術到位
實現公安現役信息安全.必須建立自己的信息安全技術保障體系。技術是信息發展的基礎.如果沒有信息安全技術作為支撐,信息安全就無法持久。安全保密設備是公安現役部隊信息安全的重要技術和物質基礎.在選擇設備上應使用國產的.如某設備無國產可選.使用進口設備須經相關部門檢測批準。在軟件建設方面針對系統的弱點和不足.加強新型防火墻、安全路游器、安全網關、入侵檢測系統等信息安全技術的研究和產品開發。改變目前我方在技術方面的易守難攻的局面,變被動為主動。在信息安全防范中,加緊對安全防護、安全監控、跟蹤警報等方面的關鍵技術進行突破。不失時機地對網絡信息系統進行檢測、模擬攻擊與評估工作.切實從技術手段上筑牢防止安全失泄密的閥門。
3.2建立信息安全技術人才保障體系.完備技術人才支撐系統
實現公安現役信息安全.必須建立自己的信息安全技術保障體系。技術是信息發展的基礎,如果沒有信息安全技術作為支撐.信息安全就無法持久。公安現役部隊只有配備大批既懂技術又懂管理的復合型人才.提高從業人員的信息安全水平.公安現役部隊在現有的體制、編制上.通過政策的調整可把有志向為公安現役事業奉獻的專業性人才吸納到隊伍中來。同時還可以與有關院校達成協議定向培養信息安全方面的本科生、研究生,減小供求矛盾.可使公安現役信息安全專項人才不斷補充。煥發生機。
3.3加強信息安全教育和技術培訓
官兵信息安全意識是信息安全建設的基礎.是數字化安全生存的必要保證。要加大信息技術的攻關和信息安全管理人員的技術培訓力度。構建信息安全培訓體系,進行全員的培訓和普及教育,從根本上消除”信息安全事不關己”的錯誤思想.使官兵意識到泄密事件可能通過個人的言行隨時可能引發.牢固樹立信息安全靠大家的思想.只有這樣才能不斷提高全體官兵的信息安全素質和意識
3.4提供部隊信息安全下的執法效率
針對失泄密事件血的教訓.我們一方面要加快完善我軍保密法規制度建設,使制度更具有操作性;另一方面要加大對這些法規制度的執行力度。嚴格落實《國家安全法>、《保守國家秘密法》、<計算機信息系統保密管理暫行規定》、《計算機信息網絡國際聯網安全保護管理辦法》等有關法律法規和軍隊《保密條例》等制度規定,切實做到落實制度、堵塞漏洞,按章辦事、減少失誤,加強管理.消除隱患。
關鍵詞:VPN;隧道技術;加密協議;工傷保險;康復
引言
工傷康復工作的開展,標志著我國工傷保險發展進入一個新時期,是我國在社會保險領域注重借鑒國外先進經驗,主動與國際接軌的重要舉措。世界衛生組織對康復工作所下的定義是:康復是指綜合協調地應用醫學的、教育的、職業的、社會的和其它一切措施,對殘疾者進行治療、訓練和運用一切輔助手段以達到盡可能補償、提高或者恢復其已喪失或削弱的功能,增強其能力,促進其適應或重新適應社會生活。現代觀點的康復包括了醫學康復、教育康復、職業康復、社會康復等幾大基本方面,其中醫學康復是康復首要的和最重要的內容之一,也是使殘疾者全面康復的基礎。可見康復是一項具有重要意義的系統工程,是構建社會主義和諧社會的重要組成部分。
工傷保險康復的費用按工傷保險基金的一定比例列支,因此社保經辦機構在與康復機構簽訂服務協議的基礎上,需參照《國家基本醫療保險和工傷保險藥品目錄》對工傷康復費用按規定進行合理性、合規性審核,拒付其中不合理費用。這就需要對康復人員在定點機構所發生的費用明細進行審核。我們通過對康復機構的調研,了解到他們的日常工作以HIS為平臺,考慮到康復工作處于起步階段(初始定點機構僅兩家,且都在杭州市區),康復人數較少,康復費用按月結算等特點,建議采用標準數據接口,通過電子郵件交換數據的方式實現康復數據明細傳遞;作為特殊情況的應對措施,允許通過U盤等存儲介質,實現數據交換及審核結果的反饋。近兩年的實踐證明,這一方法是可行的。
隨著政府對社會保險工作的投入不斷增加,工傷康復工作不斷完善,業務的快速發展對現有的應用模式提出了挑戰:一是定點機構的數量不斷增加,且出現了跨地域定點單位,如位于建德的浙江省首家工傷康復綜合試點單位――國家電網公司職業病防治院已被列入我市定點機構名錄,需要社保經辦機構與定點單位連網;二是工傷康復待遇審核滯后,一些藥品和診療費用要等到數據反饋后,業務審核階段才能確定是否剔除。為此,有必要建立工傷康復遠程訪問新模式。本文從工傷康復業務實際需求出發,討論VPN在這方面的應用,并根據發展需要,對VPN技術在工傷保險康復信息化中的應用提出自己的見解。
1 工傷康復遠程訪問需求分析
1.1 工傷康復遠程訪問是業務發展的要求
通過對康復全過程的跟蹤、指導,與定點機構、康復人員的溝通,了解康復效果,聽取各方面的意見反饋,在對不同類型的康復對象提供標準化服務的基礎上,可根據實際需要實施個性化服務。要實現這一目標,必須首先解決網絡遠程訪問的問題。
1.2 工傷康復遠程訪問是現實業務的要求
隨著工傷康復定點機構的增加,如果仍沿用目前的業務處理模式,手工處理業務量將迅速增大,出錯概率也將增加;另一方面,社保經辦機構與定點單位均需對康復待遇作實時審核,社保經辦機構如果能盡早發現不規范的業務,并及時糾正,可減小待遇審核時的剔除金額給定點機構造成的財務損失。鑒于以上情況,需要解決網絡遠程訪問的問題。
1.3 工傷康復遠程訪問是突破目前單一醫療康復模式的要求
根據國際勞工組織提出的工傷保險三大目標:預防、補償、康復,勞動部將康復工作作為工傷保險改革的重要目標之一。為了實現居家康復模式,使工傷人員通過網絡與社保經辦機構以及定點康復機構進行溝通,確定康復方案,提高康復資源的使用效率,以及建立教育康復、職業康復、社會康復的平臺,同樣需要解決網絡遠程訪問的問題。
1.4 工傷康復遠程訪問安全問題
目前業務處理的數據交換通過電子郵件實現。為避免公網傳輸信息可能導致泄密、數據篡改等問題,在確定康復機構時,社保局要向康復機構提供一份康復人員名單,其中每位康復對象都有一個代碼(個人編號),后續數據交換通過代碼進行。
由于身份證可能存在重復的情況(錯發、業務操作錯誤等),同一參保人在變更參保單位時,使用新的身份證辦理參保手續,發現存在問題后,需要將該人員兩個身份證信息合并,此時只能保留其中一個個人編號。五險合一業務情況下,多個業務單位都可能需要進行類似的變更,導致康復機構反饋原“個人編號”信息時,可能發生記錄無法匹配的現象,需要業務進行“個人編號”同步,確保后續數據傳輸順利進行。
2 虛擬專用網(VPN)一經濟實用的遠程訪問形式
2.1 VPN技術
VPN是Virtual Private Network(虛擬私有網絡)的縮寫,它是一種利用公共網絡建立虛擬私有網的技術:通過對網絡數據的封包和加密,在公用互聯網絡上建立專用通道傳輸私有數據。它是一種介于公用網和專用網之間的邏輯性“虛擬”網絡,利用開放的公用網絡進行信息傳輸,通過安全隧道、用戶認證和訪問控制等技術幫助遠程用戶、分支機構、商業伙伴及供應商同企業的內部網建立可信的安全連接,并保證數據的安全傳輸。
2.2 隧道技術
內網中普遍使用私有IP地址。從這些地址發出的數據包是不能直接通過Internet傳輸的,必須通過網絡地址轉換為合法IP地址。常見轉換方法有靜態IP地址轉換、動態IP地址轉換、端口替換、數據包封裝等。VPN采用的是數據包封裝(隧道)技術。使用隧道傳遞的數據可以是不同協議的數據包,隧道協議將這些數據包重新封裝在新的包頭中發送。新的數據包頭提供了路由信息,這個包頭即封裝頭,目標地址被封裝在原始包內。當包到達隧道的終點時,封裝頭剝離,原始包被發送到目的地址。
2.3 隧道協議
可以在標準網絡模型的不同層創建隧道。
第二層隧道協議:在數據鏈路層運行的隧道協議提供了點對點的虛擬鏈路。有以下一些協議:
Point-to-Point Tunneling Protocol(PPTP,點對點隧道協議);
Layer 2 Forwarding(L2F,第二層轉發協議);
Layer 2 Tunneling Protocol(L2TP,第二層隧道協議)。
第三層隧道協議:在網絡層運行的隧道協議可提供基于IP的虛擬連接。
IP Sec(IP Security)是一組應用廣泛、開放的協議總稱,它對應用于IP層的網絡數據,提供一套安全的體系結構,包括網絡安全協議AH和ESP、密匙交換協議IKE和用于網絡驗證及加密的算法等。其中兩個使用最普遍的AH標準是MD5和SHA-1,MD5使用最高達128位的密鑰,而SHA-1通過最高達160位密鑰提供更強的保護。ESP標準是數據加密標準(DEs),DES最高支持56位密鑰。IPSec同時還支持3DES,因此其密碼算法具有很高的安全性。IPSec規定了如何在對等層之間選擇安全協議、確定安全算法和交換密鑰,并向上提供訪問控制、數 據源驗證、數據加密等網絡安全服務。
SSL(secure Sockets Layer,安全套接字層協議)是Netscape公司提出的基于Web應用的安全協議。SSL是一種在Web服務協議(HTTP)和TCP/IP之間提供數據連接安全性的協議,為TCP/IP連接提供數據加密、服務器認證、可選的客戶機認證和消息完整性驗證。SSL被視為Internet上Web瀏覽器和服務器的安全標準。
2.4 用戶認證和訪問控制
VPN也存在安全隱患。因此,為保護數據在網絡傳輸上的安全性,需利用密碼技術對數據進行加密。除加密和解密外,需要核實信息來源的真實性,確認信息發送方的身份,防止非授權用戶的非法竊聽和惡意篡改信息。核實發送方身份的過程稱為“認證”。認證可通過用戶名和口令實現,或者通過“電子證書”或“數字證書”來完成。
訪問控制技術即傳統的防火墻技術。一個完善的VPN應同時提供完善的網絡訪問控制功能,由VPN服務的提供者與最終網絡信息資源的提供者共同協商確定特定用戶對特定資源的訪問權限,通過對訪問策略的控制實現用戶的細粒度訪問控制,以最大限度地保護信息資源。
2.5 提供更高安全性的SSL VPN
SSL VPN在原始VPN技術基礎上,結合SSL(Secure Sockets Layer安全套接字層協議)技術,使網絡傳輸的安全性更高。但也存在缺點,即僅適用于B/S架構,不支持C/S架構。
3 VPN技術在工傷康復中的應用
3.1 VPN的安全性能滿足工傷康復應用需求
VPN使用隧道技術對原始數據包進行封裝,并采用密鑰技術及身份認證,確保通信的安全,能可靠進行業務數據傳輸,安全性能滿足工傷康復應用的需求。
3.2 采用VPN技術可規范康復工作
為消除目前定點機構用藥、結算等工作中的不規范行為,采用VPN技術確保醫保機構與定點單位的實時連接,及時提供指導及監督,同時,工傷康復費用申報審核周期也可縮短。通過開發基于B/S架構的應用平臺,實現網上辦事,包括工傷康復人員的網上申報,康復醫院日程安排等日常業務工作均可在網上完成。
另外,配備多媒體設備,也可與康復人員進行實時交流,聽取各方面對康復工作的意見和建議。
3.3 采用VPN技術合理利用康復資源
在目前業務中,與工傷康復人員的溝通方式單一。采用VPN技術,傷殘程度較輕的工傷人員,可實現居家康復,有限的康復資源可以合理配置。在VPN上社保經辦機構的工作人員能像打電話一樣,呼叫被授權的康復人員,了解健康情況,并在線提供康復指導。這種方式可有效保護康復人員隱私,改善醫患關系,獲得更好的診療效果。通過網絡康復人員可互相交流,有助于開展全方位康復工作。
3.4 易于管理和良好的可擴展性能
VPN的發展已有10年的歷史,作為一項成熟的技術,以其可擴展性和易于管理等優點被廣泛應用于多個領域,在工傷康復工作,甚至整個社會保險領域中有廣闊的應用前景。從表面看它只是解決了一個物理連接方面的問題,但實際上正在改變著我們的工作和生活方式,正如SUN公司所提出的“網絡就是計算機”。
沒人否認“互聯網時代”的來臨,當互聯網占據人們的大部分時間后,互聯網應用之間此消彼長的關系更加明顯,因此,誰掌握互聯網的入口誰就有絕對的話語權。互聯網巨頭的“燒錢”大戰,互聯網企業之間無休止的訴訟,都是它們對于危機感的行為使然。“三十年河東三十年河西”這樣簡單的道理,誰都懂。
每一個行業的崛起,都始于一批引領未來的企業的出現,互聯網也不例外。譬如將互聯網帶入千家萬戶的個人計算機,IBM和微軟對它的普及功不可沒,這兩個巨頭都曾引領著“當時的未來”。不論這些公司如今的境遇如何,我們都不得不承認,正是有了它們才有如今互聯網時代的到來。而企業的成功源自背后那些創始人的思想與力量,正是有了極具前瞻性與顛覆性的思維模式,才有這些充滿未來感的產品存在。我們不僅需要感謝這些公司所開發的產品以及提供的服務,更應該記住那些推動歷史向前的人們,他們所創造的價值無與倫比。
未來人物,
在下一個未來中悄然改變世界
這是一個人人都在提創業的年代。同上世紀的創業者不同,今天的人們更關心互聯網,創業的領域也同互聯網有著千絲萬縷的關系,這是互聯網時代的必然,也是他們心系未來的必然。
互聯網時代的創業沖擊著人們的傳統思維,年齡不重要,學歷不重要,甚至專業也不重要,重要的是你現在可以做到什么,這也許正是現今創業潮來的如此兇猛的原因所在。譬如馬克?扎克伯格20歲從哈佛輟學創建Facebook,創立之初僅是一個供哈佛學生“選美”的小型網站,如今卻成為鏈接全球的社交網絡。另一個典型是哈佛輟學生比爾?蓋茨,他的事跡已無需多言。
不論何時我們都不能小覷這些創業浪潮中的弄潮兒,因為他們每一個人都是未來世界的奠基人,《互聯網周刊》對他們的關注從未停止,從衣食住行到尖端科技,我們期望能將這些未來生活的探索者從幕后請至臺前,希望能夠從他們前瞻性的理念中看到為我們描繪的美好的未來圖景。
未來,互聯網無孔不入
如今提起互聯網,也許許多人的印象還停留在那一塊小小的屏幕中,然而隨著時代的發展,我們猛然發現,互聯網的觸角已經伸向我們生活的每個角落。
如果說俞敏洪拉開了國人進行業余教育的帷幕,并將之推向一個,那么隨之到來的應當是互聯網在線教育的繁榮。在這塊尚未完全開發的土地上,我們可以有更多可能,在國外,谷歌、亞馬遜等便早已開始在線教育的建立,傳統式的統一開課學的格局被打破。相較于新東方時代的課程式教育,在線教育提供的是一個更加開放、平等、包容的新式教育,學生能夠依據自己的時間對課程進行匹配。這種教育方式,在未來必將成為主流。在這樣一個無論何時都極力張揚個性的年代,教育也必須向個性化定制看齊。
如今人們已不再如數十年前一般僅滿足于溫飽,對于物質與精神享受的追求越發強烈,而這一切都建立在資金與財富的積累之上。這也是為什么如今理財類產品、P2P金融、以及財經信息、股市指導等格外火熱的原因。傳統的銀行、基金的理財產品已滿足不了用戶的需求,因而諸如雪球、挖財等一批涉及到“錢”的產品能有如此之大的市場。在可以預見的將來,我們仍舊認為,這股熱潮會不斷持續,并改變我們的理財觀念與手段,藏富于民是亙古不變的道理。
正如互聯網的更新換代一般,物質生活的豐富伴隨而來的是我們生活設施的輪換,二手市場因此變得活躍。傳統的二手市場魚龍混雜,良莠不齊,但隨著線上二手市場的出現,尤其是細分市場的出現,二手交易的參與感與體驗感正在逐步上升,這不論是對于二手買家還是二手賣家來說都求之不及。而隨著線上二手市場的不斷深入,會有更多的細分類別出現,這在某種程度上改變著我們的生活,也許在未來的某一天,購買二手產品不再顯得那么難以啟齒,因為這正是互聯網時代所追求的生活方式,將物用擴至最大化,極盡可能地挖掘潛在價值。
在如今人人都有智能手機的時代,WiFi的重要性日漸凸顯,更有甚者凡到新地必問WiFi密碼,這也催使一批商用WiFi網絡架構及媒體服務提供商的產生,通過這些服務商的服務,我們僅需一個手機驗證碼便可以方便地使用無線網絡。而如若照此趨勢發展下去,傳統的寬帶網絡必會被取代,在未來的城市生活中,尤其是在大城市中,移動互聯網將借助WiFi而更加深入我們的生活。
然而,隨著公用WiFi的普及,另一個問題開始得到人們的關注,即網絡與數據安全。如今每個人的信息在網絡中近乎透明,之前很多網友被“人肉”的事件,使我們在譴責網絡暴力的同時,對網絡安全產生極大的擔憂。“打造一個交換數字信息零風險的世界”成為一部分互聯網從業者共同的愿望,同時也是萬千普通互聯網用戶的期望。即使如今因部分企業的行為使一部分人對安全軟件產生爭議,但不可否認的是,只要互聯網存在,我們就需要對網絡安全的保護。
對網絡安全的訴求將隨著“云”的出現與發展更進一步。在最近的幾年,“云”一直都是互聯網的熱門技術,似乎凡事不談“云”便算不上互聯網。云計算給用戶提供了無限的計算能力,不僅簡化了軟件與業務流程,更使服務上升了一個臺階,從這個方面來講,云計算足以稱得上是未來工作的一種方式,同時也改變了傳統的軟件企業。盡管云計算這一理念早在2006年便由谷歌提出,但如今才真正迎來爆發的時機。
在關愛下一代上,互聯網同樣不遺余力,自“三鹿毒奶粉”事件以來,嬰幼兒安全與護理就一直是多數人關注的中心。如今互聯網已經有向嬰幼兒服務發展的趨勢,從母嬰論壇到母嬰電商,人們似乎都想在這一領域發掘出更多的機會。未來我們也許能夠借助互聯網的力量,讓下一代在一個更加安全、清潔、無憂的環境中成長。
去年年底,微信增加短視頻模塊,小視頻市場爆發。這一短平快的拍攝方式,因其簡單、便捷、更貼近生活而受到年輕人的追捧,而各類特效的加入實現“人人都能拍大片”夢想。隨著微電影及各類GIF制作軟件的興起,個人娛樂越發向小而美的方向發展,而以美拍為代表的小視頻應用軟件,將這種審美取向趨近完美,在未來同熒幕中的大電影互為補充,屆時人人都是生活的導演,也是電影的主角。
當然,我們還應注意那些超乎人類想象的領域。虛擬現實,從Oculus Rift到索尼Morpheus再到蟻視科技AntVR KIT,它們讓人類對未來的想象一步步照進現實。盡管市場尚未真正成熟,但他們的努力讓我們相信,虛擬現實距離普通人已不再遙遠。而值得慶賀的是,這一次,中國沒有走在世界的后面,我們終于趕上來了。
