1、 网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2、 现有网络安全技术
计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
问题类型 问题点 问题描述
协议设计 安全问题被忽视 制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题 架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题 设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误 协议设计错误,导致系统服务容易失效或招受攻击。
软件设计 设计错误 协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误 程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作 操作失误 操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护 默认值不安全 软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统 软件和操作系统的各种补丁程序没有及时修复。
内部安全问题 对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。
3、 现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。
4发展趋势:
中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
4.1、现阶段网络安全技术的局限性
谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。
任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。
转贴于
首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
4.2、技术发展趋势分析
.
防火墙技术发展趋势
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
UTM的功能见图1.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
二 网络安全面临的主要问题
1. 网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全 措施加以防范,完全处于被动挨打的位置。
2. 组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐 患,从而失去了防御攻击的先机。
3. 组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击 者以可乘之机。
4. 组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施 不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5. 网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络, 不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。
三 网络安全的解决办法
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
1. 安全需求分析 "知已知彼,百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。
2. 安全风险管理 安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。
3. 制定安全策略 根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4. 定期安全审核 安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。
5. 外部支持 计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。
随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,计算机网络和系统的安全与管理工作就显得尤为重要。
1、局域网安全威胁分析
局域网是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。一般的情况下,局域网的网络安全威胁通常有以下几类:
1.1 核心设备自身的安全威胁
软交换网络采用呼叫与承载控制相分离的技术,网络设备的处理能力有了很大的提高。可以处理更多的话务和承载更多的业务负荷,但随之而来是安全问题。对于采用板卡方式设计的网络设备,一块单板在正常情况下能够承载更多的话务和负荷,那么在发生故障时就有可能造成更大范围的业务中断。
目前,软交换设备安全完全依赖厂商的软硬件的安全设计,主要通过主备、1+1、N+1备份和自动倒换以及软硬件模块化设计等方式实现故障情况下的切换和隔离。但备份和倒换的可靠性无法保障:关键设备的倒换(特别是一些关键接口板)一般会影响业务或者设备运行,倒换的成功率目前无法保障,可能在紧急情况下无法顺利进行倒换。
1.2 网络层面的安全威胁
虽然单个或者区域核心节点的安全可以通过负荷分担或者备份来保证,但是从网络层面来看仍然存在安全隐患。在现有的软交换网络中,各种平台类设备很多,而且往往都是以单点的形式存在,这些节点一旦失效,将严重影响网络业务。目前网络层面的威胁主要是重要业务节点瘫痪造成的业务中断、拥塞和溢出,其中SHLR、通用号码转换(一号通平台)等关键平台的影响最大。因此,应该重视突发话务冲击导致话务资源耗尽等现象。
1.3 承载网的安全威胁
软交换系统的承载网络采用的是IP分组网络,通信协议和媒体信息主要以IP数据包的形式进行传送。承载网面临的安全威胁主要有网络风暴、病毒(蠕虫病毒)泛滥和黑客攻击。黑客攻击网络中的关键设备,篡改其路由和用户等数据,导致路由异常,网络无法访问等。从实际运行情况来看,承载网对软交换网络的影响目前是最大的,主要是IP网络质量不稳定引起的。
1.4 接入网的安全威胁
软交换网络提供了灵活、多样的网络接入手段,任何可以接入IP网络的地点均可以接入终端。这种特性在为用户提供方便的同时带来了安全隐患,一些用户利用非法终端或设备访问网络,占用网络资源,非法使用业务和服务,甚至向网络发起攻击。另外,接入与地点的无关性,使得安全事件发生后很难定位发起安全攻击的确切地点,无法追查责任人。
正是由于局域网内在应用上存在这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。根据这些存在的安全隐患,在局域网中采取如何策略进行防范呢?
2、局域网安全策略控制与管理
局域网安全的控制主要从人员和设备两个方面进行考虑:
2.1 局域网中人的行为安全控制
安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的,所以必须加强工作人员的安全培训。对局域网内部人员,从下面几方面进行培训:加强安全意识培训;加强安全知识培训;加强网络知识培训。
2.2 局域网的安全策略控制与管理
2.2.1 网络系统的安全控制
为保护网络的安全,必须对访问系统及其数据的人进行识别,并检查其合法身份,对进入网络系统进行控制。访问控制首先要把用户和数据进行分类,然后根据需要把二者匹配起来,把数据的不同访问权限授予用户,只有被授权的用户才能访问相应的数据。入系统访问控制为系统提供了第一层访问控制,控制着可以登录到服务器网络操作系统并获取系统资源的用户,通过用户识别和验证、用户口令识别和验证以及用户账号的默认限制检查进入系统,选择性访问控制是基于主体或者主体所在组的身份,这种访问控制是可选择性的,如果一个主体具有某种访问权,则它可以直接或简接地把这种控制权传递给别的主体。选择性访问控制被内置于许多操作系统当中,是任何安全措施的重要组成部分。文件拥有着可以授予一个用户或一组用户访问权。
2.2.2 网络互连设备的安全管理
网络中的互连设备包括集线器、交换机、路由器等设备,这些设备在网络中起着非常重要的链接作用,因此,这些设备的安全性更是关系到整个网络的关键命脉。实际中,一定对网络中这些设备的登录有严格的控制管理,登录方式只能掌握在网络的管理人员手中,网络的管理人言要正确配置设备的参数,运行过程中,能够顺利连接局域网中的各个环节,使整个网络运行顺畅。
2.2.3 网络终端的安全管理
目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。采取的手段是:利用管理系统控制用户入网;采用防火墙技术;封存所有空闲的IP地址,启动IP地址绑定,采用上网计算机IP地址与MCA地址唯一对应,网络没有空闲IP地址的策略;属性安全控制。启用杀毒软件强制安装策略,监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。
通过了对网络中的安全进行了策略的设置,还要对网络的运行过程中做好预防工作。
3、病毒防治策略
网络是目前计算机病毒急速增长,种类快速增加的直接推动力,几乎任何一种网络应用都可能成为计算机病毒传播的有效渠道。由于局域网中数据的共享和相互协作的需要,组成网络的每一台计算机都连接到其他计算机,局域网络技术的应用为企业的发展做出了贡献,同时也为计算机病毒的迅速传播铺平了道路,同时,由于系统漏洞所产生的安全隐患也会使病毒在局域网中传播。
由此可见,病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:
(1)增加安全意识和安全知识,对工作人员定期培训。如果技术人员对网络安全产品一只半解,就不能正确配置,甚至根本配置错误,不但安全得不到保护,而且还带来虚假的安全,因此,在网络中,首先对技术人员进行专业的培训。只有真正掌握安全管理各方面的知识,才能使整套的安全策略得到充分的执行和实施。
(2)小心使用移动存储设备。日常工作过程中,数据的传输、备份,难免使用移动存储设备,那么,在局域网中使用这些设备时,注意的问题有:使用是保证存储设备的安全性,在使用移动存储设备时,要做到不把病毒带到网络中,以防发生网络故障,同时,也注意网络中某台计算机上的病毒感染移动存储设备,防止数据的丢失。
(3)挑选网络版杀毒软件。目前市面上杀毒软件比较多,但任何一个杀毒软件都不能对所有病毒都起作用,我们在选择杀毒软件时需要注意到以下几个方面:首先,杀毒软件对客户端设备的要求不是很高,能够保证网络中层次不齐的客户端都能安装该软件,并且运行起来顺畅。其次,杀毒软件病毒库升级比较方便,在出现新的病毒时,病毒库能够第一时间更新,确保客户端不被侵犯。最后,杀毒软件使用比较灵活,网络中的客户端都安装杀毒软件,但如果依靠人为手动进行查杀,运行起来比较麻烦,选择杀毒软件,一定能够设置某时间点进行自动查杀。
通过以上策略的设置,能够及时发现网络运行中存在的问题,快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确的切断安全事件发生点和网络。
4、信息化安全管理制度
局域网网络的安全管理制度是网络的安全运行的保障,在制定安全管理制度中,最重要的是关于网络各种文档的制定。其中有网络建设方案文档、机房管理制度文档、各类人员职责分工、安全保密文档、网络安全方案、安全策略文档、口令管理制度、安全防护记录、应急响应方案等等制度。实际中,通过以上各种文档,在网络运行过程中,随时可以用到,只有健全的管理制度,才能确保更快地处理遇到的各类问题。
5、结语
2神经网络在计算机网络安全管理应用的现状
2.1对神经网络在计算机安全管理运用中的重视程度不够。计算机网络安全是因特网发展的最基础的目的,但与此同时近乎所有的计算机网络在开创以及不断的发展过程中都趋向于实用以及便利,相反却在一定程度卜没有重视对计算机的安全管理,更没有将神经网络技术运用到计算机的安全管理中,进而对计算机网络的安全管理留下了严重的隐患。另外,神经网络在计算机网络安全管理中主要是对计算机的网络安全进行评估,然而由于不重视对神经网络在计算机网络安全管理中的运用,使得没有建立良好的计算机网络安全评价标准体系。
2.2对神经网络在计算机网络安全评价模型的设计和实际运用不够合理。一般来说,神经网络在计算机网络安全管理中主要是对计算机网络安全进行一定的评估,在对其进行评估的过程中,就需要设计一定的计算机网络安全评价模型,主要包含刊浦俞入层、输出层以及隐含层的设计;但是,目前神经网络在计算机网络安全管理中对于评价模型的设计还没有将这三方面有效的联系起来、除此之外,对神经网络在计算机网络安全管理的实际运用中,不能科学、合理的实现计算机网络安全管理评价模型运用,不注重对评价模型的学习以及不关注对评价模型进行有效的验证。
3加强神经网络在计算机网络安全管理中的应用采取的措施
3.1神经网络在计算机网络安全管理中要科学、合理的设计网络安全评价模型。神经网络在计算机网络安全管理中要科学。合理的设计网络安全评价模型,以便更好的实现计算机网络安全、高效的运行。为此,计算机网络安全评价模型需要进行一下设计:首先是对输入层的设计,一般来说,神经网络在计算机网络安全管理运用中,对于输入层考虑的是神经元的节点数以及评价指标的数量,尽可能的使这两者数量保持一致。其次是对隐含层的设计,对于隐含层的设计需要注意的是若某个连续函数在任意的闭区间中,可以通过在隐含层里的神经网络来靠近,大多数情况下,神经网络通常运用的是单隐含层。最后是输出层的设计,神经网络的输出层设计主要是获得计算机网络安全管理评价的最终结果,例如可以设置计算机网络安全管理评价的输出层节点数为2,那么相应的输出结果(l,)l指的是非常安全、(o,)l指的是较不安全、(,l山指的是基本安全以及(,0切指的是非常的不安全。
3.2神经网络在计算机网络安全管理运用中要对评价模型进行有效的验证。需要注意的是,神经网络在计算机网络安全管理运用中要对评价模型进行有效的验证,一般体现在一下几方面:首先是要关注评价模型的实现,为了实现神经网络在计算机网络安全管理中的良好运用,就要依据客户满意的评价模型,运用计算机网络技术创建设置含有输入层、隐含层以及输出层的神经网络模型,然后再对网络安全进行检验。其次是要注意对评价模型的学习,在对计算机网络安全进行评价之前,需要对神经网络进行标准化的处理,才能尽可能的减少对计算机网络安全管理评价中的误差。最后要注意对评价模型进行验证,当神经网络经过标准化处理以及在计l章机网络安全评价之后,就需要刊输出的结果进行一定的验证,以便确定神经网络对计算机网络安全的评价输出结果是否与期望的评价结果相一致,进一步验证神经网络在计算机网络安全管理中安全评价模型的准确与否。
3.3重视神经网络在计算机网络安全管理运用以及建立健全安全评价标准体系。神经网络在计算机网络安全管理运用中主要的任务是对计算机网络的安全进行一定的评价,并且将评价的结果准确、及时的反馈给用户,所以就应该对其在计算机网络安全管理中的应用引起高度的重视,为此就应该建立健全计算机网络安全管理的评价标准体系。一方面是评价指标的建立,计算机网络安全管理是复杂的过程,同时影响计算机网络安全的因素比较多。因此,建立科学、合理以及有效的计算机网络安全管理评价标准,对于神经网络高效的开展评价工作有很大的关联。另一方面是刊评价标准的准确化,影响计算机网络安全管理的因素非常的多,就应该对各种评价标准进行细化,以达到评价的准确。
Abstract: The main content of this paper, the computer network management network management planning and implementation of network security system construction, design and the main network security technologies are briefly analyzed and explained.
Key words: network management; network security; planning; implementation
中图分类号:TN711
一、网络管理的内容和组成
网络管理就是指监控、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。总体而言,网络管理通常会包括配置管理、故障管理、性能管理、安全管理、计费管理五个内容。配置管理是对设备和系统进行各类网络参数的定义和设置。故障管理是查找并解决因硬件和软件问题而引起的网络故障[1]。性能管理是使用特定的管理软件和设备对系统运行效率进行监测,通过监测数据的统计分析作为网络系统改进和升级的依据。安全管理则涉及数据私有性管理、授权管理、访问控制、加密管理和安全日志管理等多个安全内容。计费管理主要记录用户对网络资源的使用情况(流量,时间,空间等),计算用户占有网络系统资源的各项费用和总计费用(如上网流量、网吧计时、邮箱计费)用户额度用完后能自动停止服务。二、做好网络管理的结构规划
网络系统建成后,作为网络管理员,必须对网络的特性详细了解,并做成详细的结构图和参数表,以备做好网络管理的规划。主要包括以下部分:
勾画整体网络结构和组成部分;
勾画核心设备的网络结构;
描述以上两部分的网络参数。
整体网络结构是整个网络各部分、各网段内部和相互之间连接情况的勾画.包括局域网、园区网、广域网、互联网等等。在图中应详细的标注设备名称、型号和网络参数。如下图1某企业整体网络结构示例。
图1 某企业整体网络结构示例
核心设备的网络结构需要勾画出核心网络设备(中心交换机、中心路由器)的内部网络结构,包括VLAN、IP,子网、物理和逻辑组件,以及各组件之间的关联。
然后是启用SNMP,包括交换机、路由器以及服务器的SNMP。Windows SNMP服务是作为系统的一个组件添加,在Service管理中可以对SNMP的安全进行设置。
能够熟练操作和使用网络管理软件。网络管理软件一般由设备厂商提供或由第三方提供。设备厂商提供的软件通常专用于该产品系列的配置和管理,不能用于其他厂商产品。第三方网管软件能实现对多数厂商产品的性能管理或部分配置管理。如HP OpenView, Solarwinds. 网管软件有Client/Server和Browser/Server两种结构模式。C/S是传统的网管配置模式,需要安装专门的管理软件才能管理和配置相应的设备。如: Nortel DM设备管理软件;HP OpenView; 天融信防火墙配置软件;SolarWinds综合网管平台等。B/S是现代的网管配置模式,无须安装管理软件,直接使用浏览器管理和配置设备。如:Netscreen防火墙;EDIMAX交换机;宽带路由器等。
重点对Web网管技术做一分析说明。基于Web的网管(Web-Based Management,WBM),包括分布式和集中式管理两种。分布式只管理单个逻辑设备;集中式WBM是机运行WBM的网管软件,周期性地轮询网络节点和设备[2]。机介于浏览器和网络设备之间,负责将收集到的网络信息传送管理员的浏览器。集中式这种方式适用于集中管理大中型网络,如HP OpenView ,CiscoWorks都支持WBM。
远程控制与管理是网络管理的重要方式。远程控制是指在本地计算机上通过远程控制软件发送指令给远程的计算机,使得远程的计算机能够完成一系列工作。远程控制软件包括:服务端软件和控制端软件。工作机制是通过网络,远控软件在两台计算机之间建立起一条数据交换通道,控制端只是负责发送指令和显示远程计算机执行程序的结果,实际的运行过程均在远程计算机上完成的。
三、网络监测是网络安全管理的前提
网络监测是网络管理和网络安全的重要组成部分。通常利用网络监测软件对网络实时动态掌控。这里介绍几种常用的网络监测软件。MRTG(MultiRouter Traffic Grapher)是基于SNMP的网络流量统计工具。它耗用的系统资源很小,因此有很多外挂的程序也依附在MRTG下。通过SNMP协议从设备得到其流量信息,并将流量负载以包含JPEG图形的HTML文档直观地显示。MRTG记录网络接口 5分钟/日/月/年的流量图形。IPSentry是周期性轮循检测网络节点通断或主机上运行的业务,自动产生HTML格式的检测结果,并按日期记录log文件,这些log文件可以被导入到数据库中,按任意时间段做出网络统计报表。报警方式主要是当检测的服务故障时,IPSentry可以通过播放声音,或 EMAIL, 或拨打电话(短信),或运行其它软件来提醒管理员。IP Monitor(网络数据收发/错误实时统计)能实时图形显示本地IP的TCP、UDP和ICMP协议的接收、发送和错误数据报的数目。Hosts Monitor(网络节点通断监测)最大的应用就在于它可周期性的ping网络节点并在故障或恢复的时候通知管理员。SNIFFER 是利用计算机网络接口截获数据报文的一种工具。SNIFFER主机的网卡处于promiscuous(混杂模式)的状态,这样接收到同一网段(同一个冲突域)的每个信息包。所以也就存在着SNIFFER可以用来捕获密码,EMAIL信息,秘密文档等一些其他没有加密的信息,这成为黑客们常用夺取其他主机的信息和控制权的方法。Sniffer工作在网络环境中的底层,Sniffer主机的网卡具备“广播地址”,它对所有探测到的数据帧都产生一个硬件中断以便提醒操作系统处理网卡接收到的每个报文。四、网络安全的规划和实施网络安全管理体系包括网络鉴别、加密、访问控制、病毒防范以及安全管理五部分内容。具体的的管理目标如图2所示。
图2 网络安全体系
网络安全管理的目的是阻止非法身份对网络运行造成破坏,影响网络正常运行。网络安全设计流程如图3所示。
图3网络安全设计流程
下面我们对一些主要的网络安全技术做一简要说明。网段分离技术是把网络上相互间没有直接关系的系统分布在不同的网段,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。
路由安全是一是路由子网的限制,把不需要作信息交换的网段路由屏蔽或删除掉。二是设置ACL访问列表控制,实现对IP层、TCP层、UDP层数据包的过滤,避免非法数据包通过。
加密和传输。因为多数应用都是采用口令来确保安全,口令需要通过网络传输,并且作为数据存储在计算机或网络设备中。如果用户口令以明文形式传输,一旦被网络侦听工具(如Sniffer)窃听,绝大多数的安全防范措施将会失效。
日志分析,完整的日志不仅要包括用户的各项操作,而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果,为日后网络安全分析提供依据。对日志的分析还可用于预防入侵,提高网络安全。例如,如果分析结果表明某用户某日失败登陆次数很高,就可能是入侵者正在尝试该用户的口令。
关闭不必要的应用。任何非法的入侵最终都需要通过被入侵主机上的服务程序来实现,因此,关闭没有必要运行的服务也是保证主机安全的措施之一。
数据库安全。修改缺省的连接端口,避免被专门诊听数据库的工具捕获口令.如SQLSniffer可以窃听SQL Server TCP1433端口。避免通过网络直接使用数据库超级用户,一旦它的口令泄露,数据库就毫无安全可言。对每个应用设置单独的数据库帐号和最少够用的权限才能有效保障数据库的安全。不要对非授权的网段开放路由,敏感数据库服务器上最好使用静态路由设置, 用Route add / delete控制服务器允许连接的网络IP。
总结:
中图分类号:TP393.08
从传统的传媒视角分析的话,媒介的转换主要可以分为四个阶段,分别是口耳相传阶段、手写传播阶段、印刷传播阶段以及电子传播的阶段。当前我们所处的传播阶段就是电子传播阶段。自从20世纪初以来,不管是产生自美国的广播传媒技术还是后来的电视传媒结束、网络传媒技术,这些媒介都是电子传媒手段。这些手段逐渐的成为了我们日常生活中了解外界咨询,乃至进行办公等的重要手段。尤其是在上个世纪末期悄然兴起的互联网技术,成就了传媒的新辉煌。不管是其对于传统传媒手段的冲击还是其对人们生活的改变,都成为了当代的一个重要的特点。互联网技术已经成为了当前人们不得不面对,也是人们必须要适应的一个新的生活方式。同时,我们反观技术本身,其在产生和兴盛知己,给我们的文化留下了深刻的印记。技术本身造就了传播和沟通的通道,同时传播的过程也改变了文化的进程。在这样的背景下,网络的安全问题和网络的文化问题也就势必成为了当代人们不得不关注的一个焦点。
1 网络文化的内涵
1.1 网络文化的内涵
网络文化是伴随着网络技术的不断发展和更新逐渐形成的。对于网络文化本身来讲,其形成的重要事件就是互联网硬件技术和软件技术的不断更新。在互联网流行的当代,网络文化本身还是一个全球化的产物。而对于网络文化来讲,其实依赖于互联网技术所形成的一种现代化的生活方式,也是全球化过程中的重要技术支撑和必然产物。其具备了鲜明的价值判断和直接的价值取向,直接的体现着现代化社会的精神观念以及制度标准。
作为迅速兴起的媒介形式,网络文化在长时间的发展过程中也有其本身的形成过程。网络的生活方式不管是在行为方面还是在生活习惯方面都逐渐的积累起来,成为了一种新的文化范畴。对于互联网本身来讲,掌握信息的处理方式和网络语言是最基本的生存基础。而加入到网络中也意味着进入到了一种新的生活体验中,在网上更换新的生活方式也就意味着一个新的文化主体诞生,网络主体本身是语言构成的,是虚拟的。但是,不管是不是虚拟的生活方式,也不管是不是虚拟的事件,只要加入到了网络中,就必然要按照网络的逻辑进行。网络文化也就在这样的逻辑概念中有了自身的生存空间,逐渐的形成了一个特定的文化范畴。
1.2 网络文化的特征
1.2.1 网络文化的最基本特征就是信息的爆炸存在
网络本身对于任何人来讲都不是封闭的,网络将全球的居民都联系在一起。网民本身不管是身份如何,都能够不受任何限制的接受网络中的内容,资源在网络中是共享的,当代社会的一个重要的特点就是信息的爆炸式增长,而网络也就为这样的信息扩张提供了一定的条件。在网络出现之前,还没有任何一种传媒形式能够提供如此的信息传递方式,包容如此多的信息资源。
1.2.2 网络文化是虚拟的
我们不能够否认,网络文化本身是根植在人类实际文化的基础上。但是,作为文化的创造者,人类本身也是文化的创造物。如果在网络的创建之初是人作为主体影响着网络文化的话,那么到了后期的网络运行规则和网络逻辑形成了之后,网络文化的成熟就使得人们必须要服从网络文化。网络逻辑开始成为网络主体的主导,这样的话就使得网络主体要想融入到网络中,就必须实现自身网络化。
在现实的世界中,文化空间是由无知和信息共同构成的。但是,在网络的实际文化层面上,仅仅是信息就能够构成一定的网络文化环境。网络的信息通过虚拟的方式,将现实中的一切体验都归结到最后的信息化体验。虚拟化的现实也促进网络的使用主体成为了一种虚拟化的生存,这样的生存模式也就是网络文化的形成过程。
2 网络文化与网络安全管理技术
对于不同的人来讲,道德方面的高度有很大的差距。在网络中,主体之间带有很强的隐秘性,这样的话就使得人们的道德底线再也不受任何的人控制,也不受一定的社会规则控制。但是,网络本身是没有任何的责任的,这个过程还是网络使用主体的问题。要想促进网络管理的安全,就要促进网络文化的发展和健全。
2.1 密码技术
对于网络的安全管理技术来讲,密码技术是比较普遍的一种技术。基于密码学的基本原理基础上,所开发建立的密码体制,本质上就是通过定义一对数据的变换所实现的。当前比较典型的是对称密码体制,其特征就是用户加密和解密的密匙是一样的,或者是两者之间非常容易推出。对称密码可以分为序列密码和分组密码,比较典型的就是DES。
当前,随着密码技术的成熟,大量的黑客都喜欢利用密码的规律和算法上的漏洞对网络进行攻击。当前,比较流行的算法有SSL算法(一种基于web的安全传输协议),IETF算法(将SSL标准化之后的算法)以及WTLS算法(一种适应无线环境要求下的,WAP环境TLS算法简化)。对于采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
2.2 入侵检测技术
入侵检测技术是一个比较新兴的安全管理技术。其可以有效的弥补传统防火墙技术的缺点,能够有效的抵御网络内部的攻击,可以提供实时的入侵检测和相对应的手段。入侵检测技术的主要功能就是对网上的用户和计算机系统自身的行为实行分开检测,对于系统本身的安全性能,包括漏洞和配置进行一定的分析,对系统自身的安全性进行审计和评估。同时,能够对于已知的攻击行为和模式进行自动化的记忆和识别。对于计算机终端的客户行为和所连接的计算机系统异常行为可以进行统计和分析。对于计算机的操作系统可以进行持续的检测和跟踪。我们根据入侵检测系统的范围,可以分为主机型、网络型和型三种基本的方式。当前,随着IDS技术的不断完善,IPS系统也日趋完善起来。在IDS检测技术的功能上增加了主动响应功能。以串联的方式部署网络,其流程如下图1所示:
2.3 陷阱网络技术
相对于密码体制和入侵检测技术来讲,陷阱网络技术是比较新兴的技术。随着网络攻击技术的不断发展,网络的安全防护一直以来都处在一种被动的防御地位。针对这样的形式,人们开发了一种主动防御的网络安全防护技术,也就是我们所说的陷阱网络技术。
陷阱网络技术是基于网络自身的开放性而言的假定网络上的每一台主机都可能被攻击,同时,对于那些带有某种特定资源的系统所遭受攻击的概率会进行计算。这样的话,就能够提前布设相关的陷阱,从而有可能成功的将入侵者带入到一个受控环境中,降低正常系统受到攻击的概率和损失的程度。具体来讲依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》进行规定。
3 结束语
我们要对网络的虚拟化现状有所了解,在网络极大的拓宽了人们的社会交往的基础上,也成为了一个社会性的存在。但是其本身也有异化的一个方面。网络文化的自由程度极其高,这就是异化的一个重要体现。人们社会在本质上是真实体现的,在这个过程中人本身的感性力量发挥了重要的作用。但是文明的基础永远不是网络的虚拟存在,而是人本身的个性张扬所带来的生命力量。
参考文献:
[1]樊梦.网络文化建设视角下的网络安全管理探析[J].网络安全技术与应用,2012(03).
[2]魏友苏.议网络文化发展问题与管理思路[J].东南大学学报(哲学社会科学版),2008(S1).
[3]陈垠亭.加强校园网络文化建设主动占领网络思想政治教育新阵地[J].河南教育(高校版),2007(11).
[4]王淑慧,刘丽萍.网络文化安全对信息化教育系统的重要性分析[J].信息与电脑(理论版),2011(04).
[5]姚伟钧.彭桂芳,构建网络文化安全的理论思考[J].华中师范大学学报(人文社会科学版),2010(03).
关键词 网络安全;网络技术;入侵
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)61-0187-02
随着计算机技术和网络技术的不断发展,计算机网络在医院的应用越来越广泛,医院计算机网络安全问题也越来越受到重视。本文探讨了当前医院网络信息安全的内涵,分析了医院计算机网络信息存在的主要问题,最后提出了相应的防范和管理措施,以保障医院计算机网络的信息安全,从而充分发挥计算机网络在医院日常工作中的作用。
1医院计算机网络安全的含义
对于计算机网络安全的含义往往会随着使用者的不同而不断的发生变化,具体来说就是,使用者对网络安全的认识都是仁者见仁。就医院来说,网络的信息安全包括了系统的软件、硬件以及相关的数据安全性。就目前的医院信息安全分类来说,可以分为静态安全和动态安全两种,其中动态安全就是信息在传输和处理状态下的数据安全性;静态安全则是在没有在传输和处理状态下的安全性问题。随着技术的进步,医院对信息安全认识也不短深入,但是医院信息安全建设依然任重道远,会面临众多问题。这些问题将会严重的威胁医院的正常工作。
2计算机网络对医院的重要性
2.1网络安全是保证正常医疗秩序的基础
计算机网络在医院广泛使用,对于加强医院管理,提高经济效益,方便患者,获取较好的社会效益具有重要的意义。但医院的特殊性质决定的医院信息系统必须是每7天不间断运行,网上信息交换,非实时处理大量数据的要求程度高,不能被打断。一旦网络出现故障,将导致病人挂号、病人付款,病人取药和医生成本会计出现差错,甚至可能延误患者的诊断和治疗,不仅给医院带来消极的社会影响,也将会破坏正常的住院医疗秩序。
2.2网络安全是医院信息资源管理的保障
医院信息管理系统的应用改变了原有的医院管理模式和传统的手工会计核算方式,不仅阻止所有类型的漏洞,最重要的是有利于医院更好的管理和信息资源的合理利用。医院网络内部不断传输,处理,存储,大量的患者和管理重要的医疗信息,如护理记录,诊断,医疗咨询,医疗费用和药品,设备,卫生材料,消费者的购买等,这是医院最为宝贵的信息资源,对于医院的生存,管理和发展起着重要的作用。
3医院计算机网络信息安全存在的隐患
当前,网络信息技术给现代医院带来极大便利的同时,也带给了我们一个重大的课题,如何建立一个安全的网络,成为众多学者的研究对象。入侵的病毒,黑客的攻击和内部的误操作,自然灾害,都可能给医院内部网络带来隐患,如何保证系统的安全性,已经成为每个医院不可回避的技术性问题。伴随着我们技术人员对医院网络技术的认识的不断神话,医院计算机网络的安全隐患也逐渐暴露。
3.1软件漏洞
操作系统和各种软件的设计和结构将永远是一个不可回避的安全问题,任何系统和软件都不能是无缺陷或无漏洞的,而这些漏洞的暴露则往往会被不法分子利用,通过计算机病毒和恶意程序在内部网络中蔓延,而一旦实现互联网连接,危险也将悄然而至。
3.2计算机病毒、黑客攻击等安全事件频繁发生,危害日益严重
病毒的蔓延,系统漏洞,黑客攻击等等的许多安全性问题,直接影响医院的正常运作。目前,大部分安全性问题的爆发都是由于网络用户客户端的薄弱以及“失控”的网络使用行为而引起的。在医院的网络中,用户终端不及时更新系统补丁和更新病毒库的行为经常发生,私自访问的未经授权的外部网络、禁用软件的行为比比皆是。
3.3硬件问题
对于许多电子元件组成的网络硬件设备而言,即使一个原件的故障率是很低的,但完整的系统故障率仍然很高。因此,网络上的所有设备存在安全隐患,在系统的运作,偶然的失败是始终存在的。网络系统常见网络故障大多是由的存储介质、CPU、网卡、更换硬件错误中断等引起的。
3.4对网络信息安全的规划不清晰
由于医院的特殊性,对医院网络和计算机安全提出了更高的要求。然而,一些医院只注重收购各种网络安全产品,而忽略了信息安全发展的长远规划,没有根据其信息安全的目标发展医院安全管理策略。
3.5缺乏必要的网络信息安全人士,在安全制度上也不及安全
从已经爆发的安全案件的数量上来看,很多医院是没有建立安全管理制度,即使有的已经建立这些制度,但依然没有实施。内医院的工作人员的计算机技能,特别是知识和信息安全意识的缺乏是一个在医院信息化的严重危害,有必要及时加强对保安人员的专业知识的培训。
3.6机密信息外泄
医院作为一个公共服务机构,应密切关注信息安全,如医疗费用,人事变动等等内部机密信息的严格保密,对于病人的个人信息就更不能随意传播。虽然大多数医院在都将业务网络和办公网络实现了物理上的隔离,但仍然无法通过技术手段来避免由人为因素造成的信息泄漏。一旦这个信息通过QQ、电子邮件、FTP、电子出版物等传播到网络上,本人借题发挥,就会给医院一个严重的不良影响。
4医院计算机网络在技术上的安全管理
4.1升级操作系统补丁
由于软件系统自身的复杂性和潜在的隐患性等问题,操作系统及其附带软件需要及时更新和升级,除网络中的服务器,工作站等需要进行升级外,还需要升级各种网络设备,比如:路由器、交换机等等,并应用最新的系统补丁,以防止恶意的网络工具和黑客的入侵。
4.2安装最新版本的杀毒软件
防病毒服务器是防病毒软件的控制中心,技术人员要及时更新病毒库,并强制对已经开机的终端也进行更新操作。
4.3安装网络防火墙和硬件防火墙,防止外来入侵和保证数据库的完整
首先医院计算机系统要使用防火墙和防毒墙,众所周知,防火墙是指设置在不同网络或网络安全区域之间的一系列的部件组合成的唯一出入口,从而保护内部网免受非法用户的侵入。而防毒墙是为了解决防火墙在防毒方面的缺陷儿采取的一种安全措施。防毒墙设计在网络入口处,对网络传输中的病毒进行过滤。
4.4应用入侵检测系统
入侵检测技术是一项用于系统网络安全策略行为检测的一项网络安全技术。通过入侵检测系统对计算机网络中恶意行为的识别,激发系统内部自动处理的功能,进行防攻击的行为防范,并能够与防火墙联合,监视局域网外部的攻击行为,及时发现、关闭异常链接。
4.5医院计算机系统在数据传输时采用数据加密技术
数据机密技术是计算机系统的数据传输的防弹衣,可以有效的保障其传输过程中的安全性。数据机密后的数据,只能够在特定的用户和网络下才能够将密码解除,这就可以使发送方和接收方都遵循一套特定的加密规范,这就是密钥。经过加密后的数据,即使被不发分子截取,也不会威胁数据安全性。
4.6信息备份及恢复系统
为了防止核心服务器崩溃导致网络应用瘫痪,应根据网络情况确定完全和增量备份的时间点,定期给网络信息进行备份,便于一旦出现网络故障时能及时恢复系统及数据。
5建立网络安全管理制度和有效的督查机制
5.1各类人员管理制度
1)要成立安全工作领导小组,负责医院信息安全管理工作。领导小组的团队成员包括由统一使用网络的部门领导、网络安全员以及计算机网络方面的管理人员。
计算机网络安全工作领导小组要负责研讨医院信息的网络安全管理,针对当前的面临的网络问题,及时召开内部会议进行讨论,并且要制定灾害应急预案,并定期召开安全会议,对最近国家和国际安全领域的严重事件、本院内的严重安全事件进行通告、分析,并建立预警预案。
2)培养医院全员的网络安全意识。医院网络安全管理策略的制度和落实需要一定的人力、物力和财力,需要自上而下的贯彻落实,因此医院各级领导要充分重视。
培养医院全员的网络安全意识,使他们认识到在某种意义上,保护网络安全就是在保护医院,使他们知道缺乏专业的系统和网络管理人员,缺乏先进的网络安全技术、工具、产品等等都有可能带来网络安全事故。
3)系统和网络管理人员的管理。管理员是决定医院网络是否可以安全、有效运行的根本因素。
网络管理员的技术水平在很大的方面限制安全系统的有效运行。
管理员负责维护和配置医院网络的核心― HIS数据库服务器和各网络设备,掌握服务器密码和数据库密码,有任意删改数据的权限,因此,系统和网络管理人员的业务素质和职业道德决定着医院网络的命运。
4)全院所有操作网络内计算机的医务人员的管理同样重要。制定严格的上岗资格和考核制度,在上岗前应接受计算机基础知识和业务操作的基本培训,通过上岗考核才能上岗。
人手一份计算机业务操作指南、应严格遵守安全管理条例和故障应急措施,上机和离机时填写计算机使用记录,离开时及时退出系统,操作员在1个小时以上不使用机器,应关闭计算机以防止未授权者使用网络等等。
5.2软件系统安全管理制度
整个系统运行之后,计算机网络管理人员要按照软件管理制度,严格的执行运行。要对系统的性能和安全性进行动态的监视,针对存在的问题,要及时的打补丁,并且要定期对杀毒软件进行升级操作。
要使用最新的漏洞检测工具进行漏洞检测,针对出现的攻击行为,要聘用安全专家进行攻击行为分析。
要用性能检测期监视系统的资源使用情况,对待超负荷运行情况,要及时的差距,找出问题的原因。
要对系统中可以的系统进程、系统服务以及网络连接进行检测,对不良程序做到早发掘、早处理。
5.3硬件设备安全管理制度
1)设备的物理安全是要首先考虑的。建立中心机房、设备间、工作间安全管理制度,特别是对于医院这样一个开放性的场所,更要注意将相关设备保护起来,以避免无关人员接触到。医院铺设的各类网线也应受到保护,既要防止恶意的破坏,也要避免其它的施工人员无意的损坏。
安全管理制度中应包括防盗、防撬等防止人为破坏的警卫值班,定期的防雷击、防静电、有效接地、供电系统定期检修等安全检测,注意防火灾、水灾环境的卫生清洁管理,机房内的温度、湿度、洁净度应达到要求,建立遇事上报及时快速反应制度等等。
2)建立所有设备的档案管理卡。针对当前医院内所有的网络设备,要及时、准确的建立设备档案,对计算机的型号、购买时间、配置、名称、使用科室、IP地址、MAC地址等等都要做好详细的等级记录工作。
对待所有的网络设备都要制定好负责人,对设备出现问题后,要有专门的负责人负责。建立督查记录,定期对设备进行检测,检测指标包括:系统运行情况、噪音大小、外观状况等等。
总之,虚拟的网络环境中负责多变,信息系统非常脆弱,经常被别有用心的人入侵,给医院以及患者的利益带来了严重的损害。
随着计算机技术的不断发展,以及入侵技术的不断升级,医院中的一算计网络信息安全一定还会面临着更多、更为复杂的问题,为此,作为医院一定要对此给予重视,要加快医院信息安全技术的研发创新工作,建立相关制度,加大对网络设备的管理,争取做到防治结合,制度辅助保证,最终达到保护医院信息安全的目的。
参考文献
[1]黄慧勇,黄冠朋,胡名坚.医院信息系统安全风险与应对[J].医学信息,2009(6).
在计算机网络世界中,加密技术指的是把容易理解的数据和信息(称为明文)转换为不容易分辨的形式(密文)的过程,以满足数据的安全性。想要获取加密后信息的准确内容,就必须先将其解密为明文,这就是解密过程。整个加密系统由加密和解密组成,而明文和密文统称为报文。现有的加密技术种类有很多,从加密技术的发展进程来看,包括古典密码、对称秘钥密码,以及公开秘钥密码等。其中,古典密码又可以更为详细地分为替代和置换加密,对称加密算法则可分为DES和AES。最后,非对称加密包括RSA、背包密码和椭圆密码等。
1.2认证技术
如今,认证技术已被广泛应用于各个领域,如电子商务和电子政务等。在电子商务的进行过程中,认证技术随处可见,原因就在于用户私有信息的安全性是电子商务得以正常运转的基础保证。认证技术主要包含两个部分,分别是信息认证和身份认证。顾名思义,身份认证就是通过一些安全策略对信息的所有者进行身份的判别,这是后续操作得以继续进行的充分条件,这样可以避免网络数据被他人非法获得。而信息认证指的是在身份认证通过后,对信息执行加密传输和验证的过程。认证技术的实现方式有很多,如数字签名和数字信封等。
1.3入侵检测技术
前文提到的几种技术,都是从信息源头处就对信息进行判断,但是想完全避免网络安全问题,光靠这些还远远不够。这就需要额外的补救措施,入侵检测技术就是一种高效地方法。入侵检测指的是对入侵行为的发觉。通过收集和分析提前在网络中设置的一些标志点的信息,能够迅速发现网络是否被攻击。因而不难理解,入侵检测技术能够很好地对防火墙进行功能性补充。
2网络安全管理
2.1信息集成
所谓信息集成,就是指信息整合,或者说信息融合。要想高效地实现信息集成,最重要的就是要做到信息资源和信息内容的集成。那么,怎样对信息资源进行集成呢?我们可以从环境、技术、方法和过程的集成这几个方面来考虑。信息集成方面的研究已经存在于方方面面,数据仓库和海量数据的挖掘就是非常典型的应用场景。略显不足的是,在计算机网络信息安全管理中有关信息集成的理论研究有所欠缺。因此,对信息集成的开展,更多时候只能借助于已有的经验,标准不够明确,效率不高。在后期信息集成的发展过程中,统一标准的制定将是最为关键而又亟待解决的问题。
2.2关联分析
所谓关联分析,即是对杂乱的信息进行简化处理。在处理的过程中,充分挖掘这些信息之间存在的关联性,如因果关系,或者互补关系等。在理解了信息之间的相互关系之后,我们就能够对其执行进一步分类,进一步探索出隐藏的关联性,从而获得所需的信息。
2.3技术
现在,在大多数人的印象中,技术意味着我们根本不需要自己实际动手操作,而只需要将任务交给来自动完成,而且是动态执行整个过程。然而,在目前的众多研究领域中,对于技术的定义,还没有较大的争议性。从技术本身来看,具有以下一些特征。1)协同性:协同性主要存在于多的情形中,多个之间应该能够相互协作,以完成任务。同时,这些可以使用自己的特定方式来与其它进行通信,甚至于与人进行交互。2)自治性:每一个都是独立的个体,它的运行并不会受到其它或者人的直接干涉。它的所有动作和行为都是根据自身的内部情况和对外界环境的感知来进行反馈的。3)适应性:适应性指的是能够感知周边环境,并且及时地根据环境的变化而做出相应的调整,以适应各种情况的需要。4)演进性:能够根据已有的信息和说明,通过自身的推理来演进、完成任务。5)自适应性:技术同样还具备学习和自适应的功能。能够不时地探查丰富的知识库,并根据已有的数据和规范来进行更深层次的演化。同时,还能够整理、整合之前的结论,改正已有的不正确行为。6)动态性:技术还可以自发地在不同的网络中动态运行,并且自始至终都能够保持数据信息的连续性和正确性,可以有效地完成跨平台任务。
2.4协同及通信规范
计算机网络中的通信范畴非常广泛,网络部件与部件之间,或者不同部件和网络中的主机之间,甚至于这些部件和网络用户之间,都要经常进行通信。这就需要一种沟通的方式,以此进行有效的协同。这种联系的方式可以是消息传递,也可以是通过网络传输协议,或者接口,这些都是采用的直接的方式。当然,也可以采用间接通信的方法,比如通过一个公共的平台,通信双方都只是向这个中间平台读写数据,以此达到通讯的效果。安全部件间的无缝协同是网络安全管理的另一个关键技术,也是安全事件综合分析与联合响应的前提。目前这两个方面集中了这一领域的研究工作。这个公共的中间平台可以是公共安全管理信息基,也就是SMIB。它的构成并不复杂,仅仅需要几个数据库就可以实现所有的功能,数据库中所存储的控制信息和各种参数也将为网络安全管理的一些基本功能共同使用。SMIB是一个存储机构,为了以便关联分析,它常被设计成知识库形式。上面提到过,计算机网络中的通信包括网络部件与部件之间的协同,在这方面,接口、消息和网络协议可以高效、直接地满足所需的功能要求。它们之间的区别在于安全管理协议的标准化程度更高。然而遗憾的是,目前存在的安全管理协议并没有一个统一的标准,这极大地限制了网络安全管理的进行。相比而言,简单网络安全协议(SNMP)在目前的网络使用过程中,还算是一种比较受大众认可的标准。另外确立统一的网络安全管理协议是未来协同及通讯规范领域的工作重点,正如SNMP之于网络管理,想要极大地促进网络安全管理技术的发展,统一的协议标准是必需要的。CheckPoint的OPSEC是在接口和消息方面具有代表性的工作。它的组成体系中有很多公开的接口,同时第三方软件可以通过这些接口来进行各种安全管理应用的开发,并将其完美地融入到公共平台中,它是一个得到多厂商认同的开放可扩展框架。如此说来,分布式SMIB同样是以后需要大力关注的内容。
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599(2012)03-0000-02
Campus Network Management and Security
Zhao Yonggang,Li Zhipeng
(Henan Finance and Economics School,Zhengzhou450053,China)
Abstract:In this paper,through the campus network management practices for the campus network management problems on some of the views of the campus network management,thinking,and to our campus network management for instance,raised a number of appropriate problem-solving ideas and methods and,finally,the network classroom middle school students how to learn and teachers how to teach and virus prevention.
Keywords:Network management systems;Switches;Routers;Campus network topology
由于计算机在教育教学领域的广泛应用,目前我国各大中小学校都建立起了自己的计算机网络教室。它的发展之快、普及之广、应用范围之大,对推动我国计算机教育教学的发展起到一个促进作用。由于校园网络的广泛应用,校园网络的管理问题就会随之出现,如:1.校园网络的检修与维护,对交换机、路由器、网络线路的保护,如何保持整个校园网络的畅通网络、拓扑结构、布线系统和设备选型、网络维护管理、资源建设、人员培训等问题;2.计算机网络教室的日益增多,教室面积的扩大,计算机使用频率的增加,计算机的维修、硬件的更新、系统的修复等网络管理问题;3.网络教学系统的使用、更新与维护,电教设备的使用与维护。
一、校园网的建设和维护
目前,在传统以太网基础上又出现了许多新的网络技术,不同网络技术的采用将直接影响到校园网络的投资和性能,因此应根据自身的需求和校园所处环境,以及学校使用学校网的目的等,采取相应的网络技术。
接下来就是布线问题,校园网的信息通道是整个校园网的基础,由各种传输介质(光纤、电缆等)、线路管理硬件、连接器、插座等一系列设备组成的布线系统就成为整个信息流通的必经之路,好的布线系统不仅方便日后校园网的维护、检修故障,更有利于未来校园网的扩充和升级。因此,校园网的设计与建设中,要首先考虑校园建筑物地理位置特点,科学、合理、规范、有序地建设符合标准的布线系统。
二、校园网络管理方面
目前,校园网络在校园的使用以办公,教学为主,教师在上计算机课时,使用最多的就是网络广播系统,使用这种系统能将自己的教学课件,同时同步传授给上课的每一位学生,改变以前都是以黑板教学的授课模式,增强了老师与学生间的互动性和学生与学生间的协作性。除此之外,老师们还应用各种教学平台、教学软件,制作教学课件,运用大屏幕投影、视频展示台、多媒体影音设备等现代化教育技术手段,大力开展合作教学、计算机辅助教学、开放式教学、研究性学习等多项教学研究方式,提高自身教育教学水平。
但由于种种原因也存在相当普遍的问题:(一)对计算机教育发展缺乏足够的重视,思想认识不够。(二)计算机课程教材滞后于计算机技术和应用的发展,教学内容过于陈旧。(三)学科教师缺乏必要的计算机知识,对电教设备和网络教学系统软件的使用缺乏必要的认识。
解决这些问题的方法其实不难,只要多参加些计算机方面的培训,多应用计算机多媒体手段进行讲课,向计算机老师询问电教设备的使用,亲自进行实践操作,这样在平常的上课中再遇到问题就不会在忙得不知所措啦。
三、学生在使用网络方面
目前,学生在上计算机课时,对计算机的使用主要有几个方面:
(一)运用Inter网对老师所教授的学习内容进行资料查阅,进一步了解当堂所学的知识,遇到问题能及时向老师询问。(二)使用各种多媒体应用软件完成老师当堂作业,如Word、PowerPoint、FrontPage、FLASH等。(三)在课间闲余时间,许多学生多以聊QQ为主,或者进入聊天室,与朋友、网友闲聊。(四)上一些与课堂无关的网站,浏览各种娱乐新闻、最新游戏动态,更有甚者玩起网络游戏,浏览不健康信息,当老师走进自己时,多以Alt+Tab切换回作业状态。(五)浏览一些视频影片和动画,开启音乐,影响了老师正常的教学授课,也影响了其他同学的正常听课。
以上几点,说明学生在使用网络课堂教学中,还是存在着一些问题。解决这些问题,对于管理员来说,主要的任务是在软件的安装上,应多安装一些具有新功能、操作简便、实用的多媒体教学软件,在日常维护中,删除一些对学生上课造成影响极大的游戏文件,安装网络监控管理系统,及时发现学生的不良行为,安装防黑客软件、防病毒软件,保证网络安全使用,安装公安部的防止浏览带有不健康、暴力、色情的网络监控系统。
四、计算机使用维护方面
网络教学所不可缺少的就是计算机,一个网络教室至少拥有60台的计算机,甚至有的网络教室可达到了80台-100台不等,这使得计算机的日常维护和管理问题就摆在了我们面前。目前出现最多的问题有:计算机系统的损坏、硬盘分区的破坏、硬盘坏道扇区的出现、主板的损坏、显示器电源不通电、鼠标键盘的损坏。除以上计算机本身问题以外,再就是网络教室的清洁卫生、防盗安全、电化设备的维护、教室布线管理等一些不可忽视的小问题。
对于计算机系统的损坏、硬盘分区的破坏、鼠标、键盘的损坏等问题,一般可采取GHOST、等软件来克隆恢复系统和恢复硬盘分区,在利用这套软件是需要注意的是镜像文件的更新,一般最好是一个季度更新一次,这样既保证了系统软件和各种教学软件的更新,也可解决镜像文件被恶意损坏和删除后的问题,保证有备无患;对于硬盘坏道扇区的出现、主板的损坏、显示器电源不通电等问题,在我们不能解决的情况下,我们一般采取的措施是打电话给专业的电脑服务公司,请求他们的帮助,让其更换损坏部件。而对于网络教师的清洁卫生、防盗安全问题,主要还是以培养学生良好行为习惯和优良的道德品质为根本。
对于电化设备的维护和教室布线管理,我们主要措施是:正确使用每一件电教设备,保持其干净、无锈迹,对那些精密、不允许长期暴露的,使用完后应及时存放;网线、电源线应避免暴露出地面,布线要合理、有序,防止随意拉线、安装电源插座。
五、网络安全
(一)对于IP地址的分配,用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。但在Windows操作系统中,终端用户可以自由修改IP地址的设置,从而产生了IP地址非法使用的问题。改动后的IP地址在局域网中运行时可能出现的情况如下:
a.非法的IP地址即IP地址不在规划的局域网范围内。b.重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网。c.冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害。
管理员的技术手段
1.静态ARP表的绑定。对于静态修改IP地址的问题,可以采用静态路由技术加以解决,即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表,这是由ARP协议生成并维护的。
2.交换机端口绑定。借助交换机的端口―MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口―MAC地址绑定功能。使用交换机提供的端口地址过滤模式,即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络,任何来自其它MAC地址的主机的访问将被拒绝。
3.VLAN划分。严格来说,VLAN划分不属于技术手段,而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN,设置路由策略,可以有效阻止非法用户冒用其他网段的IP地址的企图。
(二)对于校园网络中出现的病毒攻击,主要以ARP病毒为主,当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和安全网关,让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网,切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
产生ARP欺骗可能出现的情况如下:
A、用户不注意查杀病毒造成病毒攻击网络;B、非法用户恶意制造网络病毒造成ARP欺骗。
管理员的技术手段
1.IP+MAC访问控制。单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一。
2.静态ARP缓存表。每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法。在命令行下使用arp -a可以查看当前的ARP缓存表。如:
C:\Documents and Settings\cnqing>arp a
Interface: 210.31.197.81 on Interface 0x1000003
Internet Address Physical Address Type
210.31.197.94 00-03-6b-7f-ed-02 dynamic
其中”dynamic” 代表动态缓存, “TYPE”项为”static”,代表静态类型.
针对ARP病毒对网络的破坏,相应的人们也开发出了很多针对ARP侦侧,查杀的工具软件,我们可以利用这些软件对某网段,整个网络进行监测,定期抓包全面了解网络的运行情况。对出现的问题及时做出反应,及时关闭受攻击网络的用户端口。
关键词:校园网 信息安全网络管理
一、引言
随着校园网络建设的不断发展,学院在教学、管理、科研以及对外信息交流等多方面对校园网的依赖性日渐增强,以网络的方式来获取信息、存储信息和交流信息成为学院教师和学生使用信息的重要手段之一。然而,就目前的网络运行状况来看,校园网信息安全问题日益突出,网络的稳定性依然较差,因此,加强校园网的管理,确保校园网安全、稳定、高效地运行,使之发挥其应有的作用已成为当前校园网应用中一个亟待解决的课题。
二、校园网信息安全的研究思路
校园网是一个直接连接互联网的开放式网络,校园网用户的层次差异较大,校园网的信息安全与用户的安全意识和技能紧密相关,校园网的校园网的信息安全从总体结构上可分为,校园网主干网设备和应用的安全和校园网用户的安全应用两个部分。对具体的信息安全问题的研究,能有效的解决校园网中的信息安全隐患,从而确保校园网安全,稳定、高效地运行。
(一)校园网边界安全
校园网边界安全就是确保校园网与外界网络的信息交换安全,既能保证校园网与互联网进行正常的信息通讯,又能有效地阻止来自网络的恶意攻击,如端口扫描、非授权访问行为、病毒、不良网站等。
(二)系统漏洞的修补
校园网的网络运行环境较为复杂性是一个由多用户、多系统、多协议、多应用的网络,校园网中的网络设备、操作系统、数据库、应用软件都存在难以避免的安全漏洞。不及时修补这些安全漏洞,就会给病毒、木马和黑客的入侵提供方便。
(三)校园网计算机与存储设备的安全
校园网计算机和存储设备中存储了大量的信息,如学生档案,教学课件、考试题库、学生作业、网站数据、办公文件等。由于设备配置、应用和管理上的问题存在较大的信息安全隐患。如设备无分级管理、使用公共帐户和密码、操作人员无信息安全常识等。
(四)校园网计算机病毒控制
计算机病毒是校园网安全隐患之一。必须做到有效控制。选择适合的杀毒手段和相应软件可以对服务器、接入计算机、网关等所有计算机设备进行保护,杀毒软件可以对邮件、FTP文件、网页、U盘、光盘等所有可能带来病毒的信息源进行监控、查杀和拦截。计算机病毒控制要防杀结合以防为主。
(五)校园网维护管理
校园网的硬件环境建设完毕后,一项重要的工作就是做好校园网的维护工作。校园网的安全运维需要有一个校园网安全运营中心,通过强化安全管理工作,对校园网不同教学场所设备、不同计算机系统中的安全事件进行监控,汇总和关联分析,提供可视化校园网安全状况展示。针对不同类型安全事件提供紧急应对措施。实现校园网络集中安全管控,保护校园网络数字资产安全。
三、确保校园网信息安全的具体蕾理措施
(一)优化结构,合理配置,加强监管
使用硬件放火墙,防火墙可在校园网与外界网络之间建立一道安全屏障,是目前非常有效的网络安全模型,它提供了一整套的安全控制策略,包括访问控制、数据包过滤和应用网关等功能。使用放火墙可以将外界网络(风险区)与校园网(安全区)的连接进行逻辑隔离,在安全策略的控制下进行内外网的信息交换,有效地限制外网对内网的非法访问、恶意攻击和入侵。
安装入侵检测系统,入侵检测系统是放火墙的合理补充,能够在放火墙的内部检测非法行为,具有识别攻击和入侵手段,监控网络异常通信,分析漏洞和后门等功能。
使用VLAN技术优化内部网络结构,增强了网络的灵活性,有效的控制了网络风暴,并将不同区域和应用划分为不同的网段进行隔离来控制相互间的访问,达到限制用户非法访问的目的。
使用静态I P配置。检测网络中I P应用状况,并将I P+MAC地址进行绑定,防止特殊IP地址被盗用。对计算机特别是服务器的访问必须进行安全身份认证,非认证用户无法进行访问。
使用网络管理软件,扫描和绘制网络拓扑结构,显示路由器与子网、交换机与交换机、交换机与主机之间的连接关系,显示交换机各端口、使用情况和流量信息,定期对客户端流量、分支网络带宽流量进行分析,并进行数据包规则检测,防止非法入侵、非法滥用网络资源。加强接入管理,保证可信设备接入。对新增设备、移动设备和移动式存储工具要做到先检测后接入,做好网络设备的物理信息的登记管理,如设备的名称、设备楼层房间号、使用部门、使用人、联系电话等。做到遇故障能及时准确地定位和排查。
(二)提高认识,规范行为,强化应用
网络安全涉及到法律、道德、知识、管理、技术、策略等多方面的因素,是一个有机的结合体。因此,在做好技术防护和网络管理的同时,要把树立信息安全意识提高到一个新的高度。并从环境、自身、产品和意识等方面出发,逐个解决存在的问题,把可能的危险排除在发生之前。对于校园网用户来说,要进一步提高网络信息安全意识,加强关于计算机信息安法律知识的学习,自觉规范操作行为,同时掌握一些有关信息安全技术和技能。来强化我们的应用能力。具体可从以下几个方面入手。
建议在系统安装时选择最小化,而多数用户采用默认安装,实际上不少系统功能模块不是必需的,要保证系统安全,需遵循最小化原则,可减少安全隐患。
及时对系统进行漏洞扫描、安装补丁程序。为提高补丁程序的下载速度,可在校园网中部署微软自动更新服务器来提供客户端补丁自动分发。在安装补丁程序前一定要仔细阅读安装说明书,做好数据备份等预防工作,以免导致系统无法启动或破坏等情况。
操作系统安装完成后,要对系统的安全策略进行必要的设置。如登录用户名和密码。用户权限的分配,共享目录的开放与否、磁盘空间的限制、注册表的安全配置、浏览器的安全等级等,使用系统默认的配置安全性较差。
使用个人防火墙,个人防火墙足抵御各类网络攻击最有效的手段之一,它能够在一定程度上保护操作系统信息不对外泄漏,也能监控个人电脑正在进行的网络连接,把有害的数据拒绝于门外。
[关键词]网络文化 安全 平台 预警 防范体系
随着互联网的快速发展,以互联网为主要载体的网络文化,已成为文化传播的主要形式之一。网络文化为我国发展和繁荣社会主义先进文化提供了广阔的领域、途径和手段,但另一方面,网络文化在给我们带来巨大益处的同时也带来了不少负面影响,同时西方国家的一些腐朽文化也通过网络文化途径侵入和传播,对我国的文化安全构成了严重的威胁和挑战。我国的网络文化安全问题日益突出,严重阻碍了网络文化发展。网络文化安全不仅涉及作为观念形态的文化体系,而且还广泛地牵涉到国家的政治、经济、教育、社会、环境等各个方面,网络文化安全已经成为国家安全的重要组成部分。因此,对网络文化进行关注,对网络文化建设与网络文化安全管理进行研究无论对网络文化本身还是对国家安全都具有重要意义。
近些年来,网络作为一种文化载体,在中国迅速发展壮大,随之网络事件层出不穷,网络文化安全问题日益得到高度关注。许多专家和学者对维护我国的网络文化安全提出了各自的对策和建议。徐龙福等对当前我国网络文化面临的安全威胁进行了分析;王燕等对中国网络文化安全评价指标体系进行了研究;姚伟钧等提出网络文化安全需要三大保障:即物质技术、法律制度、网民素质;陈伊哲等对完善我国网络文化安全制度管理的对策进行了研究;杨义先等对如何利用先进的信息安全技术来促进网络文化的健康发展和保护青少年的身心健康进行了研究。当前对我国网络文化安全研究主要集中在网络文化安全的概念、保障、防范、网络文化包含的内容和技术层面,没有将网络文化本身的建设、提高网络文化主体素养和信息安全意识,以及网络文化安全管理相融合,建立一体化解决方案。
一、网络文化安全
1.网络文化安全概念
网络文化是指网络上的具有网络社会特征的文化活动及文化产品,是以网络物质的创造发展为基础的网络精神创造。由于互联网于全世界流通,各地的自身文化在被“提上”网络予人认识之外,也同时在网上被同化、融合、产生,甚至衍生成现实世界的文化,有些网上文化又会因已经存在的同类演变出来,故此变化和传播的速度很快。网络文化一词总括了一切在网络上发展的行为、风格、方法等集合,网络文化是新兴技术与文化内容的综合体,单纯强调任何一个方面都是不妥当的。文化安全问题是中国学者提出来的一个如何克服和消除由经济全球化带来的对中国文化、生存、发展等方面的威胁的概念和命题,是许多人因为担心“文化全球化”的“同化”或“西方化”危险而提出的新问题,具有典型的中国特色。而网络文化安全是指网络文化系统正常运转并免受不良内容侵害,能够为国家的文化价值体系的持续发展提供持续动力、为国家文化利益提供正向作用的状态。
2.网络文化安全构成
网络文化安全构成分为三部分:网络物质文化安全、网络制度文化安全和网络精神文化安全。网络物质文化安全是网络安全文化的外显部分,也是最基本、最常见的构成部分,它主要指包括像防火墙、入侵检测之类的各种网络安全硬件设备和软件产品;网络制度文化安全是更深一层次的文化,包括各种维护网络安全的法律法规和规章制度;网络精神文化安全是网络文化安全的核心,包括人们对网络安全的意识、心理、理论等。三者之间的关系用图1表示。
二、网络文化的负面影响
由于网络媒体的开放性、匿名性、交互性及信息海量性的特点,使网络把关人不可能对所有信息进行传统媒体式的审读与控制,导致精英文化、前卫文化、现实文化、大众文化、宗教文化、消极文化、色情文化、暴力文化、文化等等多元文化共存共融。我们在享受空前的自由与民主的同时,网络虚假新闻及信息、网络暴力、网络色情、网上低俗恶搞等现象屡禁不止,网络文化负面影响已成为一个社会问题,这些都极大地阻碍了网络文化的健康发展。
1.网络文化中的不良信息
由于清理和整治网络海量信息存在的困难,网上不良信息泛滥,西方的价值观念、社会落后意识和文化垃圾,正成为主宰网络文化的重要因素,造成社会文化环境受到严重污染。所谓不良信息是指危害国家安全、人民切身利益及人的身心健康等方面的信息。不良信息主要包括政治性不良信息、民族宗教类不良信息、虚假欺骗性不良信息、健康性不良信息、法律性不良信息、隐私性不良信息、知识产权性不良信息和病毒及软件类不良信息。不良信息的具体内容见下表所示。
2.网络文化对中国传统文化的影响
网络文化的全球传播使得全球不同国家与地区间的文化在近距离传播与交融,发达国家利用网络科技优势进行文化渗透和政治渗透的可能性和破环性日益增大,并形成一种网络文化的侵略与控制现象。由于网络文化背景之后,渗透着政治、军事、经济、文化利益的影响,西方国家尤其是美国利用其经济、军事和网络大国的地位,借助网络上强大的语言文化优势、信息技术和资源优势、网络传播优势,通过所谓的全球文化经验,将西方的文化价值强加于别国,以文化上的一致性压制文化上的差异性,削弱了单个民族国家的文化凝聚力,造成了全球文化趋同现象,这种文化趋同带有浓厚的泯灭文化多样性的文化殖民主义色彩,同样,也对我国的传统文化带来了巨大的冲击。
3.网络文化对政治思想意识形态方面的影响
网络文化传播中,从政府到主管机构到网络服务提供商再到各个具体的参与机构和个人,他们自始至终按照各自的标准筛选和推出符合其价值观的内容,以及表述、传播方式。网络时代过度强调自由与个性,弱化了权威观念和主流政治思想意识,使互联网大大突破了党和政府的控制范围,在一定程度上削弱了我国主流政治思想意识形态的影响力和生命力。
4.网络文化对道德观、价值观和人际关系的影响
由于缺乏有效的网络道德监督管理,网络道德规范缺失,网民们自由地放任自我,各种在现实生活中被压抑的不良欲望开始显现,大量网络失范行为产生。网络文化极赋商业性和娱乐性,迎合的是文化公民“最低的大众素养”,这种网络文化极强的娱乐性消解了传统价值观。网络的虚拟性使得网络信息交换更具吸引力,使得网民下意识地疏离了现实生活中的人际交往,人与人之间的感情变得越来越冷漠。
三、网络文化建设与安全管理一体化主动安全防范体系
1.网络文化建设
(1)中国特色网络文化建设网络平台
随着网络技术的广泛应用,网络已经成为重要的文化创造生产平台、文化产品传播平台和文化消费平台,在网络时代的新形势下,我们除了加强教育外,更要积极主动去引导广大网民,利用网络优势,创新中国特色文化宣传形式,建设中国特色网络文化建设网络平台。在查阅相关文献资料及现有的一些相关网络平台的基础上,确定了中国特色网络文化建设网络平台的功能模块,此平台可包括红色文化、地方文化、民族文化、生活文化、娱乐文化、网络公共文化馆、心理辅导、文化建设论坛等模块。红色文化主要包括红歌、红书、红色诗词、红色影视、红色旅游、红色精神等;地方文化包括民风民俗、民歌、地方戏剧、地域文化等;民族文化包括物质文化和精神文化;生活文化包括名人古迹、饮食文化、地方特产等;娱乐文化包括城市文化、地方社会公益文化、影视歌曲等;网络公共文化馆主要包括动漫、电子游戏、免费电子版图书、文化讲座视频、各种培训视频等。网络文化的发展重在建设,通过该网络平台,加强了对网民的引导,传播健康先进文化、塑造中华民族精神,努力建设符合网络规律、体现时代特征和中国特色的网络文化。
(2)构建网络政治文化交流平台
网络文化发展要将提高党的执政能力和互联网技术的使用及社会应用结合起来。网络政治文化交流平台是在网络时代对社会主义民主政治建设方式与方法的创新。一方面,网民可以借助网络方式参与政治表达、政治决策、政治监督,促进和提高政府的透明度和开放度;另一方面,政府机构可通过网络了解、理解和改善社会发展中存在的问题;再一方面,政府机构可通过网络交流平台就社会公共问题进行沟通和协调,政府相关机构开办各种网络文化宣传听证会,利用网络资源将报名、资料发放及代表的遴选放到网上,提高听证会的效率和质量。
2.网络文化安全管理
(1)构建网络文化安全预警与应急处置平台
网络文化安全预警与应急处置平台是指利用搜索引擎技术、Web数据挖掘技术、信息过滤技术、语言翻译及理解等技术,在对网络文化广泛调查分析的基础上,对全球化背景下涉及文化安全的各种“文化陷阱”、不良信息、文化入侵、文化渗透等现象做出及时而准确的预告性和警示性反应的系统。通过对网络文化内容进行内容识别和过滤,在网络文化安全评价指标体系的基础上依据等级划分标准进行预警和控制,必要时进行网络文化安全应急处置。政府部门可根据需要依托公安部门建立专门的网络文件安全监管机构,对网络文化有关问题进行监管,对网络空间内全天候的进行监控分析与应急处置。
(2)构建网络文化安全教育平台
对网民进行安全教育,提高他们的信息素养和信息安全意识。信息素养是一种综合素质,其主要内容包括信息意识、信息能力和信息道德三个方面。而信息安全意识教育主要包括加强信息安全道德伦理和法律法规教育,以及识别信息安全威胁,规避信息安全风险的能力。可通过网络视频等多方面的教育手段普及伦理道德、社会主义价值观、信息安全意识等内容,在对网民征求意见的基础上将常见网络安全问题和必备的网络文化素养到网上,形成行业自律标准,成为网民的行为准则。
(3)网络文化安全网上举报中心
利用网络媒体的开放性、匿名性、交互性、实时性等特点,开办网络文化安全网上举报中心,实施全民社会监督。网上举报中心的建立有利于网民自律,引导他们自觉参与到互联网的监督管理中来。政府相关部门应利用网络的优势,建立行业协会,制定行业规范,开展多种形式的法律法规和基本常识等多方面的教育普及活动,比如开展群众性的讨论、网络文化安全知识竞赛等活动。建立网络文化安全意见领袖,对一些不良的网络文化现象及网络文化安全事件进行积极的评论、分析,引领网络舆论,对大众网民实施导向。
(4)建立健全各种法律法规体系
一方面要根据形势的发展需要,不断制定和健全互联网法律法规,对网上的行为进行规范和引导;另一方面执法机关依法对网上行为进行监控,对违法违规行为给予及时有力的打击和规范。在立法方面,要重点解决两个问题:一是对网络言论和行为进行界定,明确什么是保护的,什么是禁止的;二是明确政府、网络运营商、网络内容提供商、网民等在网络各个环节中的各自权利义务。
3.网络文化建设与安全管理一体化主动安全防范体系
网络文化建设与安全管理一体化主动安全防范体系是将网络文化自身建设、提高网络文化主体信息素养和信息安全意识、创新监管方式、完善网络文化法规和网络文化建设等方面相互融合,构建适合我国国情,体现特色的网络文化建设和安全管理一体机解决方案。网络文化建设主要包括建设中国特色网络文化建设网络平台、网络政治文化交流平台;网络文化安全管理主要包括建设网络文化安全教育平台、网络文化安全网上举报中心,建立健全网络文化安全法律法规,构建网络文化安全预警与应急处置平台。该一体化解决方案如图2所示。
四、结论
本文在对网络文化安全的概念、网络文化安全的构成进行厘定的基础上,对网络文化的负面影响进行了研究,提出了构建网络文化建设与安全管理一体化主动安全防范体系。该体系主要包括中国特色网络文化建设网络平台、网络政治文化交流平台、网络文化安全教育平台、网络文化安全网上举报中心、网络文化安全预警与应急处置平台。该防范体系将技术、法律、网络文化自身的建设、网络文化环境的管理、提高网络文化主体的信息安全意识和信息素养等多个方面相互融合,进行网络文化建设和网络文化安全管理,为网络文化建设和网络文化安全管理部门提供了一个一体化的实际应用方案,为建设具有中国特色的网络文化提供了可靠的安全保障和持续发展动力。
参考文献:
[1] 徐龙福,邓永发.社会信息化发展的网络文化安全[J].江汉论坛,2010(11):18-21.
[2] 王燕,杨文阳,张屹.中国网络文化安全推荐信息评价指标体系研究[J].情报杂志,2008(5): 64-66.
[3] 姚伟钧,彭桂芳.构建网络文化安全的理论思考[J].华中师范大学学报(人文社会科学版),2010(3):71-76.
[4] 陈伊哲.网络文化安全制度管理[J].管理观察,2009(9):183-184.省略/200503/ca765740.htm.
关键词:船舶计算机 网络系统 网络安全管理
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(SMIS)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(VLCC)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);网关采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交换机采用D-LINK DES-1024D快速以太网交换机(10/100M 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用AMOS MAIL或Rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定
[1] [2] [3] [4]
,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。()限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。()从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。()因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软Windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:()可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。()可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。()可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
()加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
()采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
()加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
()制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
船舶计算机网络系统安全管理要求
.确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
()针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
()针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
()针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
