一、基本网络的搭建。
由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:
1.网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。
2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
二、网络安全设计。
1.物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.网络共享资源和数据信息安全设计针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各>,!
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
3.计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。
第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
关键词:校园安防系统智能化
0引言
随着社会经济的不断发展,人类活动领域巨大延伸,人为的治安问题日趋动态化和复杂化,自然灾害也呈现突发性和严重危害性的特点,高技术犯罪上升,新安全问题突现,人们的工作和生活空间受到来自于多方面的威胁。为避免人身受到伤害、财务受到损失,使人们的工作和生活不受干扰,针对各种主要安全威胁的综合安防系统就应用而生。综合安防系统是指利用各种高科技的监控手段和信息处理技术,对各种居住环境加以监控,及时反馈环境中的各种事故、灾害和违法事件信息,从而对治安和安全进行预防和有效处理的安全防范系统。高校校园作为特定的人群居住环境,保证该环境的安全和稳定对于国家和社会的整体稳定有着重要的意义。
1校园安防系统的概念
校园综合安防系统就是以一般人居环境安全防范系统为基础,结合高等学校建筑物多、人员密集复杂、环境功能主体繁杂的特点,充分运用信息技术手段,根据国家教育部门和公安部门的有关规定,对大学校园中重点要害部门进行实时监控,及时采取有力措施,使校园安全管理实现人防、物防、技防相结合的安全防范系统。其特点主要表现在:
1.1重要性的特点。高等学校是国家培养高层次建设者和接班人的重要场所,在高校校园生活的学生属于特殊群体,其人身和财产安全影响着千家万户的的稳定,因此在高校校园建立的综合安防系统较其他人群居驻地有着独特的重要性,属于重点监控和防范的区域,不论是从技术上还是从认识上都具有重要性的特点。
1.2高技术的特点。在我国,高校本身是技术生产的重要场所,与此相对应的治安案件、灾害事故也有着同样的高技术性质。学校聚集的人群由于受到环境的影响,其知识水平造就的治安案件或者违法事件以及灾害事故的技术水平也相应较其它区域有所提高。因此防御此类事故的发生必须与其相对应,使用高技术的手段和措施加以预防和处理,决定了高校校园综合安防系统的高技术的特点。
1.3广泛性的特点。在其他人群聚居地,进行综合安防系统设计与管理的时候,公安部门或者安全保卫部门独立工作和行动的特点很突出。但是在高校这一特殊的环境中,综合治理的特点十分明显,它需要有着广泛地参与,调动环境中一切有利于系统实施的因素协同进行工作。因此便决定了高校校园综合安防系统的广泛性特点。
1.4预防为主的特点。其它环境之中的安全防范系统除了强调预防功能之外,更加注重事件的事后处理问题,而系统主要是提供事件处理的各种重要信息。但是在高校校园这一特定的环境中,考虑到对整个社会的突出影响,一般不允许重大不稳定事件发生。因此高校校园综合安防系统必须注重于事前预警和防范功能,使各类事件的发生最大可能的被消灭在萌芽状态。所以说,高校校园综合安防系统必须是以预防各类治安案件的发生为主要功能。
2校园综合安防系统的组成
为了更好的营造高校教学、科研氛围,保证良好的治安和安全环境,在高校校园建立综合安全防范系统越来越显得十分必要。按照当前安全防范系统的基本功能要求,系统的组成主要包括信息采集、信息传输和信息处理三个主要部分。通过这三个部分的正常运转,及时将各种有利于解决校园安全问题的信息传递到相关职能部门,促使相关职能部门做出正确的安全管理决策,有效地处理各种突发事件和灾害事故。
2.1信息采集部分。信息采集部分的功能主要是在第一时间获得校园区域内各种人员及事件的信息,其实现途径主要是通过电视监控系统或红外探测系统完成。信息采集包含的内容十分广泛,通常的采集渠道不仅仅限于单一的途径,往往在安全防范区域内设置多重防线,分层管理和布控,获得有利于安全决策的相关信息。
2.2信息传输部分。当信息采集设备收到的各种有用信息之后,需要将这些信息及时传送到信息处理系统,以便决策设备或机构及是获取正确信息。信息传输部分对整个系统的功能起着至关重要的作用。通常情况下,必须考虑信息传输介质,如光缆、电话线等;信息传输介质的分布也是在设计安防系统时必须仔细研究的问题,例如,如何使传输距离最小化、传输信息损失最小化等。
2.3信息处理部分。信息处理系统是整个综合安防系统的核心和心脏,承担对所采集到信息进行处理的全部工作,并且为安全管理决策提供最直接的信息支持。通常信息处理部分在安防系统中被称为“监控中心”。它负责整个安防系统的动态图像监控、显示、控制、记录、指挥、调度、电力供给等任务。
不论校园综合安防系统的功能如何,其组成部分均为上述三个内容,在高校这一特定的环境区域中,安防系统的主要功能集中体现在对人的防范和对事的防范上。这里所说的对人的防范主要是通过电视监控系统来完成,通过电视监控系统的信息采集、信息传输和信息处理,实时了解和掌握各种嫌疑人作案的治安隐患;对事的防范主要是通过报警系统来完成,报警系统负责收集校园内各种灾害事故发生的前兆信息,以便有关部门作出及时正确的事故判断和安全管理决策,其实施的过程也是通过上述三个组成部分来完成。因此,一个完整的校园综合安防系统应该是包括有电视监控系统和防盗及灾害报警系统两大部分、三个阶段的完整的安全管理体系。
3建立智能化校园安防系统
建立智能化校园为基础的综合安防系统除了应该具备闭路电视监控系统、周界防盗报警系统和消防报警系统之外,还应该包括对讲/可视系统、电子巡更系统、停车场管理系统、门禁系统和公共广播系统等内容。
3.1对讲/可视控制系统在各个办公楼或建筑物及教师住宅的单元入口处安装防盗门和对讲装置,以实现访客与建筑物内人员(住户)对讲/可视,可以实现语音/图像传输;通过室内分机可以遥控开启防盗门电控锁,也可利用门口主机通过密码、钥匙或者感应卡开启防盗门;在有火灾报警的情况下可以自动开启楼梯门锁以及向所有室内人员群发报警信号。该系统主要用于校园教职工的住宅楼中。
3.2电子巡更系统该系统可以指定保安人员巡更校园各区域及重要部位的巡更路线,并安装巡更点。保安巡更人员携带巡更记录机按照指定的路线和时间到达巡更点并进行纪录,将记录信息传送到监控中心。管理人员可以调阅、打印保安人员的工作情况,加强保安人员的管理,实现人防和技防的结合。
3.3停车场管理系统随着人们生活水平的提高,校园区域内的车辆也越来越多,因此停车场管理系统也应该是未来综合安防系统的发展目标。该系统的主要功能是在校园停车场的出入口进行控制,对校园内人员和外来人员的车辆进出及收费进行有效管理,包括记录各种车辆进出及存放的时间,对内部车辆进行存放管理,对外部车辆进行收费管理等。
3.4门禁系统主要应用于重要部门的入口。用户采用非接触感应卡出入大门,通过电脑编程在控制主机上进行开门/关门的设定,系统可以任意对卡片的使用时间、使用地点进行设定,对门户的状态包括门的打开/关闭、什么人、什么时间、什么地点等都被记录在电脑之中。系统还可以通过硬件触电联接或通过网关与闭路监控,防盗及消防报警实现系统间协调联动。
3.5公共广播系统在校园的广场、草坪、绿地、道路交汇处等位置设置音响、音柱等放音设备,由监控中心和其他有关部门共同控制,在每日早晚及特定时间(课间、休息时间等)播放音乐、通知、娱乐节目等。在有紧急事件发生时监控中心可以强制切换至紧急广播状态,进行各种灾害报警或者事件消息广播。以智能化校园为基础的综合安防系统建设必须以校园的实际情况为基础,既要符合校园区域的安全要求,还要考虑合理的经济性,不能盲目建设,求大求全。以上所列的是构建智能化校园安全防范体系的一些可选择的子系统,在资金投入许可的情况下,可以选择其中的部分或者全部加以应用。
进入21世纪后,中国社会快速的进入信息化的时代,在科技高速发展的今天,大学生作为国家培养的未来建设者和接班人,其学习和生活的场所不仅关系到自身的健康成长,也影响者众多的家庭和社会的稳定。正是这种情况使得高校校园的安全管理成为不仅涉及自身区域环境的问题,而且成为影响整个社会稳定的重要问题,愈来愈成为社会各方面关注的焦点和核心,成为众多学者关心的重要课题。
对于高校校园这一特定的小区环境,必须利用有效的科技手段和管理方法对其进行稳定的、长期的实时监控,保证高校校园的安全,积极寻求改变学校的安全防范手段和途径,使校园的安全防范模式不断向信息化、综合化、网络化和主动化方向发展,才能适应日益发展的社会要求。
参考文献
[1]王国斌.校园安防系统建设方案[m].中国现代教育装备.2008.(11):99.
[2]王军,马青波,隋虎林,赵辉.火灾自动报警监控联网技术的应用于发展[j].消防技术与产品信息,2008(12):5-10.
[3]刘光德,一种报警系统的设计方法[j].机械与电子.2008.(7):72-74.
[4]陈海燕.大学生综合素质培养途径研究[d].河海大学硕士学位论文.2006.
[5]刘宏.高职院校大学生管理对策[j].承德石油高等专科学校学报2008年3月.
[6]赵有生.国外高职教育教学模式给我们的启示[j].吉林省经济管理干部学院学报.2008年8月.
[7]陈昭明.关于提升高校教育质量的若干思考[j].江西社会科学.2008年8期.
[8]吴建设.丁继安.高等职业教育核心技能培养:意义、现状、策略[j].中国高教研究.2008年11月.
【关键词】计算机网络安全策略
在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。
一、计算机网络的安全策略
网络安全应该包括信息安全和控制安全。前者是指信息的完整性、可用性、保密性和可靠性,后者是指身份认证、不可否认性、授权和访问控制等。安全策略应该包括物理安全策略和访问控制策略。
1.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受人为破坏和搭线攻击;验证访问者的身份和使用权限、防止用户越权操作;建立完备的安全管理制度,防止非法进入计算机系统等。
1.2访问控制策略
访问控制策略至少应该包括如下内容:(1)入网访问控制。入网访问控制为网络访问把第一道关。网络控制权限规范哪些用户和用户组可以访问哪些目录、子目录、文件和其它资源。(2)目录级安全控制。网络管理员应该规范用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效。
1.3防火墙技术
防火墙技术主要包括有四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。防火墙在使用的过程中,应该考虑到几个方面的问题:首先要考虑的是防火墙不能够防病毒的攻击,虽然有不少的防火墙产品声称具有这个功能。其次要考虑防火墙技术中数据与防火墙之间的更新问题,如果延时太长,将无法支持实时服务要求。并且防火墙采用的滤波技术会降低网络的性能,如果购置高速路由器来改变网络的性能,那样会大大增加网络成本。再次是防火墙不能防止来自网络内部的攻击,也无法保护绕过防火墙的病毒攻击。
1.4访问控制技术
访问控制技术是对信息系统资源进行保护的重要措施,它设计的三个基本概念为:主体、客体和授权访问。访问控制技术的访问策略通常有三种:自主访问控制、强制访问控制以及基于角色的访问控制。访问控制的技术与策略主要有:入网访问控制、网络权限控制、目录级控制、属性控制以及服务器安全控制等多种手段。
1.5数据加密技术
网络数据加密的三种技术为:链路加密、节点加密和端到端加密。链路加密是将所有信息在传输前进行加密,在每一个节点对接收到的信息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。节点加密与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密,消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
二、网络安全技术防范措施
网络安全技术防范措施主要涉及常用的局域网安全技术防范措施和广域网安全技术防范措施。
2.1局域网安全技术防范措施
2.1.1网络分段
网络分段是控制网络广播风暴的一种基本方法,也是保证网络安全的一项重要措施,其目的就是将非法用户与网络资源相互隔离,从而防止可能的非法窥听。
2.1.2以交换式集线器代替共享式集线器
在对局域网的中心交换机进行网络分段的处理以后,以太网遭遇窥听的危险依然存在。应该以交换式集线器代替共享式集线器,控制单播数据包只能在两个节点之间传送,从而防止非法窥听。
2.1.3VLAN的划分
在分布式网络环境下,应该以机构或部门的设置来划分VLAN。部门内部的所有用户节点和服务器都必须在各自的VLAN内,互相不受侵扰。VLAN内部的连接采用交换实现,而VLAN之间的连接则采用路由实现。
2.2广域网安全技术防范措施
由于广域网多数采用公网传输数据,信息在广域网上被截取的可能性要比局域网大得多。网络黑客只要利用一些简单的包检测工具软件,就可以很轻松地实施对通信数据包的截取和破译。广域网安全应该采用以下防范技术措施:(1)加密技术。加密型网络安全技术是指通过对网络数据的加密来保证网络安全的可靠性,而不依赖于网络中数据通道的安全性。数据加密技术可以分为对称型加密、不对称型加密和不可逆加密三种。计算机系统中的口令一般是利用不可逆加密算法加密的。(2)VPN技术。该技术是指所谓的虚拟加密隧道技术,是指将企业私网的数据加密封装后,通过虚拟的公网隧道进行传输。企业在VPN建网选型时,应该注意优选技术先进的VPN服务提供商和VPN设备。(3)身份认证技术。要特别注意处置从外部拨号网络访问总部内部网的用户。因为使用公共电话网通讯风险很大,必须严格身份认证。常用的身份认证技术有Cisco公司的TACACS+,行业标准RADIUS等。
2.3安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
计算机网络的安全问题涉及到网络安全策略和网络安全技术防范措施,也涉及到国家对网络安全的防范监管机制及相关的法律问题,还涉及到网络安全当事者的职业道德和高技术与高感情的平衡问题。相对网络技术专业工作者来说,如果能够牢固树立正确的网络安全策略,在力所能及的范围之内,制定和实施经济有效的安全技术防范措施,并且能够经常评估和不断改进,相信计算机网络安全的局面将会永远是魔高一尺道高一丈。
参考文献
[1]严明.多媒体技术应用基础[M].武汉:华中科技大学出版社,2004.
[2]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.
[3]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003.
关键词:计算机;信息系统;安全技术;应用
近年来,我国网络与信息技术得到广泛普及与高速发展,进一步扩大了互联网开放性、共享性及互联程度,现代计算机网络在社会生活各领域都有所涉及,然而,计算机网络发展的同时,邮件炸弹、黑客程序及远程侦听等问题逐渐突出出来,严重困扰着计算机信息系统安全。因此,从当前来看,计算机信息网络安全技术的应用任务非常艰巨,需要对所存在的问题给予综合分析,进而提出针对性解决途径。
一、计算机信息安全的威胁特征
1、突发性。由于计算机在运行过程中毫无任何预示,就遭到破坏,且这种破坏具有较强的扩散性及传播性。当计算机信息系统遭受到影响后,则可攻击群体或个体,进而破坏计算机的安全[1]。
2、破坏性。当计算机信息系统受到病毒攻击后,一旦这些病毒在计算机信息系统中得到激活,就会迅速的将整个计算机信息系统感染,造成计算机中的信息、数据等丢失、泄露等,产生较大的破坏,严重的影响到计算机用户信息的安全,甚至影响到国家的安全。
3、隐蔽性。由于计算机系统在受到攻击后,不容易被维护着所发现,具有较强的隐蔽性。计算机网络受到攻击,是因为计算机使用者在日常的使用中,对于计算机的安全保护,疏于防范,造成网络病毒潜伏在计算机网络系统中,一旦对计算机信息系统进行攻击的条件满足后,就会对计算机、计算机网络进行攻击。
二、计算机信息系统网络安全问题
1、计算机病毒。计算机病毒一定入侵到电脑系统,就会造成电脑操作系统运行速度变慢,电脑性能变差,情况较严重时还可以造成计算机整个硬件系统彻底崩溃。另外,其它的一些无安全措施的软件或木马软件也可以导致计算机系统数据的泄露。
2、系统漏洞。网络系统的主要组成部分一个是是计算机支持软件,另一个是计算机语言编码,由这两者组成的网络系统是存在一定缺陷的,例如系统中很容易出现逻辑性失误以及逻辑偏差等等不良现象[2]。而很多计算机病毒就可以利用这个条件,找到网络系统中的防御能力较薄弱的地方和漏洞所在,然后进行攻击。生活中很多数据和资料被非法窃取就是在这种情况下为非法操作钻了空子。而且这种安全问题在系统的很多环节都存在,如网络系统的运行软件、网络系统的防火墙以及网络系统的路由器等等,都是给网络系统带来安全隐患的因素。
3、黑客攻击。在计算机信息系统用户使用计算机网络的过程中,其通过方位网页、Web站点等,在计算机网络用户通过网络访问各个网站的过程中,往往忽视网络的安全性问题,正是因为计算机网络的合法用户在使用的过程中,没有关注到安全问题,为黑客留下了破坏的机会。黑客利用用户访问的网站、网页等,将其信息篡改,将计算机信息系统使用者访问的URL篡改为黑客所使用的计算机的服务器,在计算机网络用户再次登陆这些网站、网页的同时,就会出现计算机网络信息系统漏洞,而黑客就会利用这些安全漏洞,对合法用户的计算机网络系统进行攻击[3]。
4、电邮攻击。由于计算机在人们的工作、生活及其学习中得到广泛应用,改变了人们的生活、工作。其中电子邮件则成为人们通信中最为常用的交流工具,其黑客则往往会利用CGI程序、想炸弹软件对用户的电子邮箱进行访问,发送垃圾信息和邮件,造成用户的电子邮箱被挤爆,影响用户电子邮箱的正常使用[4]。在计算机中,如果产生的垃圾信息、邮件过多,会影响计算机网络的运行,占用大量的宽带,造成计算机网络反应迟钝,最终造成系统瘫痪。
5、数据安全。所谓数据安全则是指计算机信息系统安全中,对局域网平台中的数据库应用、网络接入等,所产生的漏洞及其缺陷。最为常见的系统漏洞则是数据库系统安全漏洞,由于数据库在计算机信息系统中有着广泛的应用,且该系统在应用的基础之上属于用户所共享的应用软件,并在操作中由于受到软件共享服务的影响,对服务器中的数据文件造成破坏。
三、计算机信息系统网络安全技术的应用
1、访问控制。可设立相应的存取控制,其中包括有权限控制及其数据标识等。对于计算机信息系统安全来讲,是网络安全理论中最为重要的内容,与身份严重技术相互使用,若为不同的用户,则可赋予不同的身份权限操作,最终实现分级管理[5]。并做好黑客攻击以及病毒传播等的控制,将对访问的控制有效加强,对网络资源的合法访问和使用加以确保,并合理的认证以及控制用户对网络资源权限的访问,避免非法目的用户的不法访问。将身份认证和相关口令加以添加,做好对规范用户的基础控制,有效维护系统,并对网络资源进行高效性的保护。此外,还应做好网络的隔离控制。将网络的隔离控制加强,主要是当前防火墙技术常见的一种网络隔离技术,通过对防火墙部署在数据存储系统上加以采用,尽可能的将网络分为外部和内部,并对数据通道进行授权处理,对网络访问权进行一定的隔离和限制,并对网络的安全进行合理的控制。
2、漏洞扫描技术。该技术就是对本地主机或者远端主机安全自动检测,对TCP/IP服务端口进行查询,记录主机响应,并对特定项目中的相关信息进行收集。程序安全扫描是该技术的实现方式,在较短时间内,扫描程序就能够将计算机安全脆弱点查找出来,扫描完成后通过系统格式全部输出,方便程序员分析与参考。
3、防火墙技术。该技术是用于强化互联网访问控制,避免外部互联网用户通过非法方式进入内部网络,对内部互联网操作环境进行有效保护的一种网络互连设备。各网络信息均会通过防火墙过滤,依照防火墙安全控制出入互联网信息流,防火墙本身抗攻击能力也比较强。防火墙能够阻挡黑客进入计算机系统,避免其毁坏、篡改或者拷贝计算机数据或信息。将防火墙部署在各种连接路径上,依据安全规则检查每一个通过的数据包。对于各种安全隐患因素,可以通过控制协议和服务的方式,保证授权协议和服务通过,并严格阻止各种非授权协议和服务的通过,从而有效减少因协议或者服务漏洞导致的安全事件的出现。如果存在黑客攻击情况,防火墙可以通过对进出内外网数据包进行严格控制和监控的方式,分析不同数据包的状态,并予以处理。从而及时发现异常现象,并按照具体情况予以相应的反应,进行有效防范,提高系统抗攻击等级[6]。另外,对与各种受到保护网络的信息,防火墙还可以进行有效的屏蔽,从而避免这些重要信息受到黑客的攻击。将免疫机制应用于计算机网络入侵检测中,免疫机制的原理和大自然的生物免疫系统是一样的,正是人们对多年生物免疫系统的探讨和研究,给免疫机制的产生带来灵感。首先,人们通过对生物免疫机制对微生物的辨别模式发现了计算机病毒的存在,我们知道免疫系统对外界都有一定的排斥性,对不属于自己体内的细胞都有很强的免疫作用,而计算机网络的完全系统就是依据自然免疫系统的原理来进行研究的。计算机软件一直都具有多样化,而且功能繁多、杂乱,比较缺乏安全性,这样用户在计算机上运行软件时很容易在不自知的情况下被计算机病毒感染。
防火墙技术又分为数据包过滤型、型、监测型。(1)数据包过滤型防火墙技术:是在对数据包读取过程中,通过其相关信息判定这些数据的可信度以及安全性,以此作为结果判断依据实施数据处理。一旦数据包没有得到防火墙的信息,那么也就无法进入到计算机操作系统之中。相对来讲这种防火墙技术具有较高实用性,通常在网路环境中均能够有效的对计算机网络安全提供保护,同时也能够在实际应用中对其推广应用。但是因为这一技术是依照基本信息对其安全性实施判定,因此也就不能有效的递质一些应用程序和邮件病毒。(2)型:该类型防火墙技术也就是服务器,其能够回应输入封包,阻断内外网和外部网之间的信息交流。型防火墙技术是在客户和服务器之间,因此对于客户机来讲,技术本身也就被认为是一台服务机器,不但能够对外部网络篡改内部网络阻力加强,同时就算是误用计算机内部系统,也不会出现从防火墙之外入侵计算机,而致计算机出现安全漏洞,能够显著提升计算机网络安全性。目前这一技术已经在逐渐向应用层面发展,专门针对入侵计算机应用层病毒实施相应的防护[7]。但是这一技术也有缺点,其会对计算机网络安全防护成本提高,并且对计算机管理人员专业水平和综合素质的要求也较高,也就会进一步增加网络管理压力。(3)监测型:这一防火墙技术能够对网络通信数据监测任务主动完成,从而对计算机网络安全性显著提高。一开始关于计算机防火墙的设计理念是对可能对计算机网络安全造成影响的信息和数据实施过滤,那么这也就需要首先将监测型防火墙技术成功应用,其在相关信息监测工作中有着十分重要的优势条件,可以显著提升计算机安全性保障能力。但是同时这一技术的管理和成本投入也比较高,因此到目前为止这一技术也没有得到普及应用。在实际网络环境下,可以依照实际情况选择合适的监测技术,以此在计算机网络安全基础之上对其投入成本降低。
4、病毒防范技术。随着近些年计算机病毒逐渐复杂,严重威胁到计算机网络系统安全。计算机遭到病毒入侵时,应该通过主动防御技术准确判断病毒,对计算机病毒进行有效拦截。有效地病毒防范技术是维护网络安全中关键因素。对病毒进行有效防范的防病毒软件由互联网防病毒、单机防病毒两种软件。所谓单机防病毒软件,指的是通过分析扫描措施对计算机远程资源进行病毒扫描和彻底清除。互联网防病毒软件对网络防病毒较为注重,如果网络或者资源传播中含有病毒成分,网络防病毒软件能够对其及时、快速的检测与彻底清除。病毒防范中也可采用防火墙技术,该技术是一种由计算机硬件和软件的组合,通过互联网和内部网络之间建立的安全网关来保护内部网络避免受到非法用户的入侵。通常会应用“包过滤”技术,根据安全策略制定包过滤标准,一般有包的源地址、连接请求的方向、包的目的地址、数据协议等标准。上述技术有效增强了信息在互联网上的安全性[8]。
5、数据和信息加密技术。在计算机网络安全方法中,与防火墙有异曲同工之妙的还有数据加密处理、计算机网络用户设置授权访问权限等。计算机信息系统中的数据进行加密处理,或者是用户进行授权访问控制,容易操作且方便灵活控制,可以在开放性网络中广泛的应用。数据加密(DataEncryption)技术是将网络信息经过加密钥钥匙及加密函数转化为无意义的密文,该技术是计算机信息网络安全技术的基础。当前的计算机信息系统中数据加密处理技术,主要是使用密钥进行控制,公密钥加密应用较为广泛。在加密处理中,公密钥是公开的,任何都可以使用公密钥加密的信息,在自己的需求下,可以再将加密的信息、文件发送给私密钥加密的使用者,此时的私密钥是保密的。加密技术还可分为专用密钥、对称密钥、非对称密钥技术,其中专用密钥则是较为简单的密钥技术,为同一个算法,通信双方需要交换彼此密钥,当需要对方所发送信息时,则可采用自己的加密来予以加密处理。而对称密钥则是较为古老的加密技术,有着较小的运算量、较快的速度、较高的安全性,迄今为止,仍广泛应用于计算机信息系统安全中。而非对称密钥技术则是对整个明文予以某种变换,从而得到一个数值,将其作为核实签名。在现实利用中,数字签名则普遍应用于电子贸易及其银行中,数字签名与手写签字有着严格的区分,并随着文本的变化而变化。在使用非对称加密技术时重点是密钥的管理。
6、其他防范措施。(1)提高安全防范意识。拥有安全防范意识,是提高计算机网络安全的重要措施。在用户日常使用计算机网络的过程中,需要提高安全意识,规范的操作计算机网络,加强计算机网络安全的建设,保证其计算机网络的安全。计算机网络使用者,需要设置其计算机网络的使用权限,在计算机网络应用的过程中,正确、合法的进行相关应用程序的操作,且使用正确的口令,以防被非法入侵者破解,在计算机网络的日常使用中,需要加强安全设置。(2)做好安全审计工作。做好网络安全审计工作,就要综合提升网络信息安全性能和网络信息的稳定性,在实际的工作过程中,借助于网络方式对原始数据包进行合理的监控和分析,并借助于审计的手段,还原原始信息,准确的记录访问网络的关键性信息,对网络方位、上网时间控制以及邮件的访问等行为进行极好的记录,尽可能的保证业务正常有序的进行[9]。(3)做好入侵检测控制。一般而言,入侵检测,主要是借助于主机系统和互联网,综合性的分析预设的关键信息,并对非法入侵进行检测,在入侵检测控制中,就要借助于监测网络将内外攻击以及相关的操作进行及时的监测,并采取主动性和实时性的特点,对信息的安全结构进行保证,进而做好入侵的检测控制,对网络信息安全进行最大上的保障。(4)在计算机信息系统安全防范中,还有很多方法措施,例如加强计算机网络安全管理的建设、更新计算机网络杀毒软件、关闭计算机网络服务窗口、加强计算机网络管理人员的网络运行过程安全管理和其管理素质等等。
四、结束语
综上所述,计算机信息系统安全并非静止孤立的一个概念,是动态的、多因素、多层面以及综合的过程,该动态工程具有极为复杂的特性,必须有效部署内部网络各个环节,对网络内部威胁进行集中收集,分析计算机信息系统安全风险,对计算机信息系统安全管理策略进行适当灵活调整,可联合使用访问控制、防火墙技术、漏洞扫描技术、数据及信息加密技术等,并兼顾计算机网络使用环境,确保网络工作人员与管理人员综合素质得以提升,有效结合安全技术与网络工作者,由此才能构建安全、搞笑的互联网系统,最终营造一个有序、安全的计算机互联网工作环境。
参考文献:
[1]柴继贵.计算机信息系统安全技术的研究及其应用[J].价值工程,2012,31(3):160.
[2]曹军.计算机信息系统安全技术的研究及其应用[J].青春岁月,2013,(16):492.
[3]罗晓婷.浅析计算机信息系统安全技术的研究与应用[J].无线互联科技,2014,(3):51.
数字化安防的演变
近半个世纪以来,自动测试系统技术与智能化安防技术的结合发展演变经历了组合总装配化、标准化接口测试、PC(PersonalComputerBasedInstrument)微机测试三个时期。
组合总装配化时期:把多种不同功能的程序控制器与多种不同功能的输入输出电路组合总装配成一体的智能化安防控制测试系统。这种智能化安防控制测试系统的开发设计制造成本较高,维护困难,在智能化安防技术的应用上有一定的局限性。
标准化接口测试时期:这类安防测试系统应用专门的接口按需要实施测试功能的改变,它不仅组建方便,且使用灵活,性能优良,所以获得了广泛的应用。
PC(PersonalComputerBased
Instrument)微机测试时期:应用微机与通信技术组合而成的“虚拟仪器”安防测试技术,给安防系统的腾飞上了一个全新的台阶,对安防测试技术的理论、应用方法等诸多方面产生了巨大的影响。
随着智能化安防技术的发展,安防智能化信息技术的工作量越来越大,更趋向复杂,将计算机技术、通信技术和检测技术有机地结合在一起诞生的自动测试系统(AutomaticTest
System)使数字化安防技术的发展上了一个全新的台阶。
智能安防程度深化
随着智能化程度在安防领域的不断深化,“智能安防”这一内涵正逐步囊括了与安防相关内容和服务的信息化、图象的传输和存储、数据的存储和处理等等,例如可以利用城市综合管理信息公共服务平台,包括城市内视频监控系统、数字化城市管理系统、道路交通等多个系统;利用市区级数据交换平台实现资源共享;利用系统前端数据通过视频监控系统采集并传输到监督指挥调度中心等等。
这正是未来城市安防工作的发展趋势——智能化。一方面,通过统一的监控平台发现警情,预防警情,处理警情;另一方面,通过应用系统的高度集成,可以优化系统结构、降低系统部署难度,减少管理和维护成本,各子系统能够协同作战。建立统一指挥、高效机动、协同联动、管理智能的应急联动系统已成为城市安防建设的必然趋势。智能安防可以通过人脸识别、车牌识别等智能化视频处理实现警情预判,同时综合应用通信技术、地理信息技术、卫星定位技术,实现统一接警、迅速定位、快速反应、业务联动的智能化管理。在此基础上,进一步实现对监控点的覆盖,大部分平安城市建设项目中的指挥调度、GIS整合、视频报警、警视联动等各系统整合应用。
在城市应急管理方面,智能安防的监控系统完全可以作为城市应急管理系统的一个重要组成部分整合到系统当中去。现在的应急管理系统是一个集预案、视频、图片、语音、地理位置等信息为一体,以信息网络为基础,各系统有机互动为特点的城市信息化基础设施。可以通过集成的视频监控系统、GIS信息系统、网络通讯系统和应急联动系统将公安、消防、卫生、交通等应急指挥与调度集成在一个管理体系中,通过共享指挥平台和信息平台,实现集中接警、及时研判、快速响应、统一指挥和联合行动。应急管理系统通过系统的整合打破信息孤岛,为突发事件的研判提供各类信息,制定并启动对应的应急预案,调度应急资源,协助相关部门应对突发事件。不论在事件研判、资源调度还是现场指挥等环节中,安防监控系统都可以发挥重要作用。
安防系统集成优化
在安防系统的集成方面,现在常常是根据安防系统过程防护的实际需求,将各个子系统连接成为一个完整、可靠和有效的系统工程;以子系统之间协调工作,发挥整体效益,达到整体优化之目的,而不是各种设备的简单拼接。在平安城市的背景下,系统集成的含义就是建设统一的联网监控大平台,对道路视频、治安卡口、电子警察、公安视频会议等子系统,通过资源的整合,实现对所有安防子系统的集中处理、管理。如今的安防子系统普遍具备了网络接口和软件管理平台,安防子系统的各类数据信号、音频、视频信号可以通过网线进行远距离的传输,使基于计算机网络的安防系统集成成为可能,实现了信息的互通,进而实现信息共享和联动控制。安防各子系统的集成,原本各自独立的子系统在集成平台的角度来看,就如同一个系统一样,无论信息点和受控点是否在一个子系统内都可以建立联动关系。
关键词:银行业务;信息安全;防火墙;入侵检测;访问控制
1引言
随着计算机及通讯技术在银行业务相关系统应用的不断拓展,银行业的利润得到了很大的提高,但同时又带来了新的问题。相当一部分的银业业务系统只注重电子化网站的扩大,而忽略了计算机安全隐患所带来的银行业务信息安全问题,比如:非法入侵、病毒干扰等等。所有这些安全隐患都会造成银行敏感业务信息的泄露。
目前,针对信息安全的技术包括:防火墙技术、入侵检测技术以及访问控制技术等。本文就是针对银行业务处理过程存在的安全问题,研究有效的信息安全保障技术。
2信息安全技术概述
2.1防火墙技术
防火墙是处于内网与外网之间的一个过滤屏障,凡是外网需要访问内网的请求,都会经过防火墙的检测,只有符合安全规则的数据包才允许通过防火墙而进入内网。此外,防火墙还可以实现动态过滤、抗攻击、热备份以及审计报警等功能。
目前,防火墙的种类诸多,常用的有三种:基于包过滤类型、应用级网关类型以及基于状态检测类型。其中,基于包过滤类型的防火墙是借助于路由器共同来实现对访问请求的控制,根据网络数据包中的源地址、目标地址以及端口号等信息判定其合法性,再进行相应的转发或者丢弃操作。应用级网关类型也可以称之为服务器,内网与外网终端的所有信息都由该服务器进行检测分析,有效隔离非法数据。而基于状态检测类型的防火墙是通过抽取数据信息实现监测,并进行日志记录,如有情况,向系统管理器发出提示报警信息。
2.2入侵检测技术
入侵检测技术是一种主动型免攻击技术,可以作为防火墙技术的安全补充技术之一。入侵检测技术通过是基于一个特定端口进行监听,不实现数据包的转发,只是收集相关的报文即可。
从本质上讲,入侵检测技术是通过对数据包的窥探、监听实现关键信息的收集以及分析,从而判定数据包的安全性。该技术能够有效分析各种攻击,并对网络中的IDS侦测进行阻隔以及报警。此外,入侵检测技术还可以实现网络的嗅探,实时显示在线用户访问数以及相关访问信息,对于连接数过大、流量过大的访问连接可以局部监视,有可疑时可随时断开。
2.3访问控制技术
访问控制技术是信息安全的重要策略,能很好地杜绝非法访问。所谓非法就是没有访问权限的终端,通过非法手段进入系统,对系统数据进行泄露、等操作。
访问控制技术规定只有合法用户,才可以去访问该用户具有权限的数据信息。比如:系统有一些机密数据,只有被授权的用户才可以访问,而且每次访问的时候,都需要提供相应的用户名与密码,通过验证匹配后才可能进行相应操作。一般情况下,为了保证机密数据的安全性,普通合法用户只可以进行浏览、查询等操作,系统级管理员才可以对数据进行更改、删除等操作。
3银行业务信息的安全保障
3.1防火墙在银行业务信息安全中的应用
以银行分行为例,如果将分行的局域网视为内部网络,那么总行以及其他类型银行的网络可以视为外部网络。可以在分行内网的出口处设置防火墙实现数据的过滤与隔离。
分行局域网与总行、各地市分行网络的隔离。分行与下属各分行的互联平台是银行的主要业务网络。因此考虑在边界处设置两台防火墙,这样可以方便地实现双机备份。采用双ACTIVE方式进行负载均衡,隔离和过滤内外网之间的通信。该防火墙应有很强的处理能力和较高的可靠性,在满足安全性要求的前提下,可以很好地满足银行网络与总行、下属地市分行网点连接的速率、流量要求。
3.2IDS在银行业务信息安全中的应用
根据实际情况,银行可按照“三级部署结构、三级监控中心”进行IDS的部署,在总行、分行及地市支行部署入侵检测设备,并在总行、分行及地市支行安装监控平台,从而达到增强银行网络安全防护能力的目标。
在实际部署中,在总行、分行及地市中心支行三级机构部署探测引擎。在总行建立安全监控中心,负责对本地局域网、分行网络的安全管理;在分行行建立安全监控中心,负责对本地局域网、辖内各地市中心区域的安全管理;在各地市中心支行建立安全监控平台,负责本地局域网的安全监控管理。
3.3访问控制在银行业务信息安全中的应用
在银行网络设备上应用自身的AAA服务,由于银行管理网络设备的主要方式是采用Telnet方式,而银行实际管理员人数有多个,对Telnet方式登陆用户创建多个帐户和对应密码,便于明确责任到人。
此外,银行为加强病毒控制,在银行业务系统的相关网络设备上预先定义访问控制列表,配置命令如下描述:
Router(Config)#aeeess-list161denyudpanyanyeq137
Router(Config)#aeeess-list161denyudpanyanyeq145
Router(Config)#aeeess-list161denyudpanyanyeq149
4总结
利用信息化促进银行业务流程高效化、一体化无疑是正确的方法。但在网络通信环节中,银行的业务信息都是至关重要的,要有效地防范任何来自系统内部或外部对通信数据的非法截取、篡改和窥视。利用信息安全技术对各银行进行全过程、全方位的动态监控,促进银行业务的安全运行更是至关重要。