前言:中文期刊网精心挑选了构建网络安全体系范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
构建网络安全体系范文1
关键词:ACL;IP;计算机网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)29-0336-02
Computer Network Security System Building on ACL
MA Ting
(Jiangsu Union Technical Institute,Lianyungang Vocational Technology Academy of Finance & Economics,Lianyungang 222003,China)
Abstract: Inorder to reinforce and control the data coming from a consumer,we must authorize a consumer to be able to visit the specially appointed network resource by safety tactics.Therefore,fliterating the information of network by ACL under the router become a technology means of structuring network security system.
Key words: ACL; IP; safety of network
1 引言
如今,网络信息安全越来越受到大家的重视,构建网络安全系统的技术手段,管理制度等方面都在逐步加强。网络用户通过实施ACL技术来控制对局域网内部资源的访问能力,保障内部资源的安全性,进而可以有效地部署网络安全。ACL技术是一种基于包过滤的流控制技术,可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。所以,本文就路由器下通过访问控制列表(ACL)实现计算机网络安全体系的应用加以分析。
2 ACL访问控制列表及类型
ACL(access control list)即访问控制列表,是路由器接口的指令列表,由一系列语句组成,这些语句主要包括匹配条件和采取的动作,即允许或禁止两个内容。ACL是基于某种协议的,如IP协议等,用户必须针对路由器所支持的协议定义ACL,从而控制这些协议的数据包。分类:
1) 标准ACL:检查数据包源地址,允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。这样就可以允许或阻止来自某一网络的所有通信流量。
2) 扩展ACL:检查数据包的源地址和目的地址,还可以检查数据包的特定协议类型、源端口号、目的端口号等。对同一个地址,扩展访问控制列表可以允许使用某些协议的通信流量通过,而拒绝使用其他协议的流量通过。
3 ACL的执行过程(见图1)
ACL通过过滤数据包并且丢弃不允许的数据包来控制与管理流量。一个端口执行哪条ACL,需要按照列表中的条件语句执行顺序来判断。在路由选择进行以前,应用在接口进入方向的ACL(内向ACL)起作用;在路由选择决定以后,应用在接口离开方向的ACL(外向ACL)起作用。数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配,则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。在执行到访问列表的最后,还没有与其相匹配的语句,数据包将被隐含的deny语句所丢弃。
4 ACL的配置
4.1 通配符掩码
ACL中IP地址和通配符掩码要配合使用,通配符掩码告诉路由器只允许那些与ACL中设定的地址匹配的地址通过。32位的IP地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP地址的对应位必须匹配,为1的位所对应的IP地址位不必匹配,例如表1所示。
通配符掩码的两种特殊形式:通配符掩码0.0.0.0,只表示一个IP地址,可以用host简写形式;而通配符掩码255.255.255.255,表示所有IP地址,用any简写形式。
4.2 访问列表配置
1) 第一步是在全局配置模式下,使用access-list命令,在实现过程中应给每一条访问控制列表加上相应的编号,使通过接口的数据包进行匹配,然后决定被通过还是拒绝。
标准ACL的语法为:Router(config)#access-list[access-list-number] [deny|
permit] [source-address][source-wildcard][log];
扩展ACL的语法为:Router(config)#access-list[access-list-number] [deny|
permit] [protocol] [source-address][destination-ip-address][操作符][protocol-information][log]
其中:access-list-number:为ACL的编号。常用的是标准IP ACL(1~99)或(1300~1999)之间的一个数字。扩展IP ACL(100~199)或(2000~2699)之间的一个数字。
deny|permit:deny表示匹配的数据包将被过滤,permit表示允许匹配的数据包通过;
source-address:源地址;
destination-ip-address:目标地址;
source-wildcard:通配符掩码;
protocol:协议,如ICMP,TCP,UDP等;
protocol-information:表示协议信息(如端口号、消息类型);
操作符号:eq(表等于),gt(大于),lt(小于)和neq(非等于)等;
Log:访问列表日志,如果出现该关键字,则对匹配访问列表中条件的报文作日志。
2) 第二步是在接口配置模式下,使用access-group命令,把配置好的访问列表应用到某个接口上。语法为:
Router (config-if)# [protocol]access-group[access-list-number][in|out]
其中, in|out表示通过接口进入或离开路由器的报文,缺省为out。
例如:要阻止源主机为192.168.0.24的一台主机通过Ethernet 0,而允许其他的通信流量通过该端口,可以采用标准IP访问控制列表。
首先我们在全局配置模式下定义一条拒绝192.168.0.24主机通过的语句,通配符掩码可以使用0.0.0.0:
Router(config)#access-list 1 deny 192.168.0.24 0.0.0.0
构建网络安全体系范文2
关键词:网络安全;保障体系;构建策略
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 19-0000-02
1 网络安全问题概述
1.1 网络安全的现状。2011年,我国境内与互联网连接的用户有60%以上的用户受到境外用户的攻击。仅在过去的两年我国遭到网络安全攻击的计算机IP地址就超过了100多万个,被黑客攻击的网站将近5万个;在网络病毒威胁方面,我国仅被一种网络病毒感染的计算机数量就超过了1800万台,占全球感染主机总量的30%,位列全球第一。近些年关于漏洞多,木马、病毒猖獗;网络瘫痪、网站被篡改、系统被入侵;网银转款、网上诈骗等网络安全问题的报道也非常多,网络安全现状令人堪忧。
1.2 网络面临的问题与挑战。随着计算机网络通信技术的高速发展,人们的工作和生活越来越离不开计算机网络信息通信系统,近些年,新涌现出来的网络信息安全问题已成为全球广泛关注的焦点问题,人们在在网络信息安全方面面临着各种各样的问题,来自网络安全的各种挑战非常严峻。
首先,计算机网络信息系统不断从传统的专有系统想当前的通用操作系统转变,也就是说,当前的网络信息系统越来越开放,再加上,绝大多数网络通信系统采用的是TCP/IP网络传输协议来进行网络通信服务的,而TCP/IP网络传输协议由于自身安全性不足,给网络信息系统的安全就带来了一定的挑战;其次,随着国际互联网网络这一大环境的不断改变,针对网络信息系统的安全威胁不断表现出多样化和多源化的特点,针对网络系统的安全威胁的多样化和多源化,需要构建一个纵深的、立体的、全方位的网络安全解决方案,这就为网络安全防御系统的复杂性和可控性问题提出了挑战;最后,在过去的几年中,有很多组织机构部门对自身的网络信息系统的安全建设进行了大量的人力和资金投入,并花费了大量的资金用来进行网络系统安全设备的采购,以采集大量的网络通信日志及网络安全攻击报警信息,但问题是,所采集的这些信息并没有被得到充分的利用,以至于许多未被明确的网络安全风险,依然保留在网络信息系统中,从而对网络信息系统的安全构成威胁。
2 认识网络安全保障体系
2.1 网络安全保障体系的提出。随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,网络安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的网络系统面临的风险能够达到一个可以控制的标准,进一步保障网络信息系统的安全稳定运行。
网络安全保障体系是针对传统网络安全管理体系的一种重大变革。它依托安全知识库和工作流程驱动将包括主机、网络设备和安全设备等在内的不同资产和存放在不同位置中的大量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资产/域的统一等级的威胁与风险管理,并对威胁与风险进行响应和处理,该系统可以极大地提高网络信息安全的可控性。
2.2 网络安全保障体系的作用。网络安全保障体系在网络信息安全管理中具有十分重要的作用,主要体现在如下三个方面:首先,网络安全保障体系可以对整个网络系统中不同的安全设备进行有效的管理,而且可以对重要的网络通信设备资产实施完善的管理和等级保护;其次,网络安全保障体系可以有效帮助网络安全管理人员准确分析现有网络信息系统所面临的安全威胁,从而可以帮助管理人员制定合理的网络安全应急响应流程;最后,网络安全保障体系可以通过过对网络风险进行量化,实现对网络风险的有效监控和管理。
3 网络安全保障体系的构建策略
3.1 确定网络安全保障体系构建的具体目标。网络安全保障体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。其中,信息安全的组织体系是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构,主要包括决策、管理、执行和监管机构四部分组成;信息安全的策略体系是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。
3.2 确定适合的网络安全保障体系构建的方法。(1)网络安全管理基础理论。网络安全保障体系的安全管理方法就是通过建立一套基于有效的应用控制机制的安全保障体系,实现网络应用系统与安全管理系统的有效融合,确保网络信息系统的安全可靠性。(2)建立有效的网络安全保障体系。一是网络信息安全组织保障体系作为网络信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定,建立的网络安全保障体系可以在完善信息安全管理与控制的流程上发挥重要作用;二是网络信息安全技术保障体系作为网络安全保障体系的重要支撑,有效利用访问控制、身份鉴别、数据完整性、数据保密性等安全机制,是实现网络安全防护的重要技术手段;三是网络信息安全运维保障体系可以通过对网络信息系统的安全运行管理,实现整个网络信息系统安全监控、运行管理、事件处理的规范化,充分保障网络信息系统的稳定可靠运行。
3.3 建立网络安全保障体系组织架构。网络安全组织体系是网络信息安全管理工作的保障,以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。因此,需要根据该组织的网络信息安全总体框架结合实际情况,确定该网络组织信息安全管理组织架构。其中,网络安全保障体系组织架构主要包括如下内容:一是网络信息安全组织架构。针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果;二是信息安全角色和职责,主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责;三是安全教育与培训。主要包括对安全意识与认知,安全技能培训,安全专业教育等几个方面的要求;四是合作与沟通。与上级监管部门,同级兄弟单位,本单位内部,供应商,安全业界专家等各方的沟通与合作。
3.4 建立网络安全保障体系管理体系。(1)网络访问控制。用户访问管理规范及对应表单、网络访问控制规范与对应表单、操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单。(2)网络通信与操作管理。网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单。(3)网络信息系统的获取与维护。网络信息系统的获取与维护即要求明确网络信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单和相关的软件系统。
参考文献:
[1]刘明伟.网络安全保障体系构建及其实现策略研究[J].科技资讯,2010,13.
构建网络安全体系范文3
关键词:网络安全;大学生;教育体系
一、大学生网络安全教育体系概述
1.国内外研究现状
一些欧洲国家的学者认为,网络中的一些负面信息是一直存在的,青少年在使用网络的时候,由于年级尚小,因此无法合理地回避这个问题。因此,应该适当地向他们传递一些网络安全知识,让他们学会在使用网络的过程中,既可以收获自己想要的知识,又能够尽量规避网络风险。
在中国,随着科技的迅猛发展,网络已经成为了大学生日常生活中不可缺少的一部分。但是,由于大学生刚刚从高考的严压下解放出来,无论在心理上还是生理上都是比较不成熟的,因此也非常容易被网络中的不好事物所影响。
2.研究目的与意义
作为各个高校安全教育的重点教育问题,大学生的网络安全教育对大学生的身心健康发展起着至关重要的作用。如果将大学生的网络安全教育问题搞好,不仅能够丰富和完善各个高等院校的安全教育的内容,也能够在一定程度上增强大学生网络安全意识,使其真正能够避免网络安全的危害。
从另一个角度来说,对大学生的网络安全教育体系的构建进行相关研究,不仅能够在一定程度上对中国现今不完善的大学生网络安全教育体系进行完善,也能够对大学生的思想进行一定的洗礼,让他们树立正确的网络安全意识。同时,大学生网络安全教育体系的构建也能够维护大学生的网络安全,提高他们的网络安全意识。
二、大学生网络安全现状
1.信息识别能力低
大学生作为步入自由自在校园的一个群体,思想得到完全解放,但其性格与人生观、价值观方面都还未完全成型。这个阶段的大学生,对于事物的甄别能力较低,不知道什么是安全信息,什么是非安全信息,这些判断能力较低的大学生很容易被一时的快乐冲昏头脑,从而很容易被网络上的不良信息影响,导致身心受到伤害。
2.网络安全意识差
据CNNIC的相关统计,社交网络已经成为青少年交往的主要平台。而一些网络社交平台,需要提供个人的一些身份信息才能够注册网络平台账号,如身份证号码、姓名、电话、邮箱、照片等。而一些不法平台将大学生的这些数据信息非法卖给需要的用户。这些用户在获得大学生的相关信息后,轻者只是发送一些广告到邮箱,重者还会利用这些信息在网络聊天时对大学生进行诈骗等违法活动。
三、网络安全教育体系的构建
1.加强网络安全教育认识
要建设大学生网络安全教育体系,首先各个高校应该加强网络安全教育体系认识,能够认识到网络安全教育体系对大学生的身心健康发展有着非常重要的积极作用。只有在稳定和谐的网络安全环境中,大学生才能够安心学习,放心地浏览网络内容。在实际教学过程中,在向大学生传授知识的时候,也应该向大学生传授关于网络安全方面的相关知识,让大学生能够了解网络安全知识的重要性,提高大学生的自我保护意识和防范意识。
2.建设网络安全教育队伍
让大学生能够正确认识到网络安全的重要性的前提是有一个对网络安全教育体系非常了解的队伍。由于现今网络发展日新月异,针对管理网络安全教育体系的这一支队伍,应该定期对他们进行网络安全知识培训,让他们能够及时了解现今的网络知识,提高他们的专业技能,从而对大学生的网络安全问题起到一定的防范作用。
要完善大学生网络安全教育体系,可以充分利用网络构建一个师生沟通的平台,让学生能够与老师充分沟通。也可以建设一个信息平台,及时最新的网络安全知识,让大学生防患于未然。
参考文献:
构建网络安全体系范文4
关键词:无线网络;军队;安全;物理层安全;可见光通信
中图分类号:TN 929.3
文献标识码:A
DOI: 10.3969/j.issn.1003-6970.2015.08.004
0 引言
进入二十一世纪的第二个十年以来,信息已经成为人类社会文明进步的要素资源,成为现代社会持续发展的基本条件。信息网络空间已经成为继陆、海、空、天之后的第五大国家疆域,成为世界各国战略竞争的重要领域。信息安全已成为与国防安全、能源安全、粮食安全并列的四大国家安全领域之一。
近些年来,以美国为代表的信息技术强国利用自身所垄断的全球信息技术优势,加紧构建信息安全保障和攻击体系,以进一步巩固其在网络空间的统治地位。在美国现有的国家信息安全体系中,政府、IT企业和社会团体分工协作,相互配合,共同推进美国国家和军队的信息安全体系建设。当前,美国政府部门作为信息安全战略制定、网络和信息安全项目策划、网络情报侦查、网络防御以及网络进攻的主导者,引领了整个美国信息安全领域的发展和规划。其主要部门包括国土安全部、国防部、美军网电司令部、商务部、联邦调查局以及中央情报局;美国的IT企业则是网络攻防的具体实施机构和重要支撑单位,是美国政府和军队海量情报数据的来源,同时也是实施网络作战的实施主体;而美国及其盟国中一些非营利性团体和学术组织则为美国政府和军队提供了舆论和技术层面的支持,同时进行了人才的输出,以支撑日益强大的美国信息作战部队。
随着无线与移动通信技术的高速发展,抛开有线束缚的无线通信技术为国家和军队的指挥和作战带来了极大的便利性,然而也埋下了极大的安全隐患。截至2014年年底,美国情报和军队相关部门在无线网络中侦收和攻击获得的情报已经占到美国情报总量的约57.6%,凸显了当前国家和军队无线网络安全的严峻态势。美军网电司令部2015年战略规划指南显示,未来美军网电部队将把无线领域作为网络攻防作战的重点,这对我国国防和军队网络安全体系和技术提出了新的考验。本论文从历史出发,对交换技术进行了简要的回顾,指出了当前交换网络发展的瓶颈以及问题,并基于前沿的下一代智能网络以及大数据交换网络提出了展望和设想。
1 军队无线网络安全现状
我国的互联网、电信网、广电网和各类专网(包含军网)组成的国家基础网络是国家和军队信息安全防护的重要对象,但是这些基础社会建设过程中普遍存在着重建轻防,甚至只建不防的问题,造成网络信息安全体系构建的极大障碍。
当前,我军无线网络通信手段主要包含战场卫星通信、短波电台通信、水下潜艇长波通信等战时通信手段,以及军队日常办公所使用的蜂窝网移动手机通信、单位无线局域网(Wi-Fi)以及家庭使用的宽带及家庭无线局域网等非战时通信手段。由于战时通信技术具有较强的应用层加密以及物理层跳频和扩频保障,传统的窃密和攻击手段并不能很快奏效,反而是和平时期工作用无线局域网、个人手机、家庭Wi-Fi等上网和通话极易被侦听和窃密,导致无意识泄密。据不完全统计,2014年以来军队、军工企业等军事相关单位因手机、家庭宽带/Wi-Fi等被攻击及窃听的事件约470起,造成不可估量的军事、经济以及国家核心技术损失。
美国凭借其在信息领域的绝对优势,不断将其技术和设备输出到中国,而国产化设备的低性能、高价格等不足进一步导致了党政军系统中日常无线网络通信设备国产化程度极低,使得日常无线网络的安全防线处于近乎失灵的状态。在美国IT跨国公司和美国网络部队等诸如“棱镜”项目面前,我军的基础网络和重要信息系统几乎完全处于不设防状态。诸如思科、微软、英特尔、IBM等IT企业几乎完全控制了我国高端IT产品的生产及应用。据Gartner数据显示,Windows系列操作系统在我国市场占有率超过9成,英特尔在微处理器市场上占有率也超过8成,谷歌的安卓操作系统在我国市场占有率达到8成。即使是国产的联想、酷派等手机,其核心芯片和操作系统也多是国外生产,使得我国无法从技术层面根除安全隐患。
2 解决方案:物理层安全技术和可见光通信技术
针对目前日常军队无线网络安全性的问题,本文提出了两种可行的改进方案,能够在现有技术的基础上,从防止无线信号被侦收和泄漏的角度实现日常状态下部队营区无线通信的安全保密。
在现有的通信系统中,通信的保密性主要依赖于基于计算密码学的加密体制,早在20世纪初就已有人提出将传输的信息与密钥取异或的方法来增强信息传递的安全性。这种基于密钥的加密方法首次由Shannon于1949年给出了数学的理论分析。假设发送者希望把信息M秘密地发送给接收者,称M为明文信息。则加密的过程为,在发送端,发送者通过密钥K以及加密算法f对所要传输的明文M进行加密,得到密文S。在接收端,接收者通过密钥K以及与加密算法相应的解密算法,我们用f-1标记,来进行解密,从而得到明文M。通过对加解密过程的观察,可以得知,有两个方法防止窃听者从窃听到的S中获取明文M: 一个是窃听者不知道密钥K,另外一个是解密算法非常困难,窃听者难以在有限的时间用有限的资源进行解密。基于这两个方法,延伸出了现代通信系统中非常常见的两种加密形式,一个是对称密钥加密,一个是非对称密钥加密。
现代密码学的加密体制主要是在物理层之上的几层来实现的,譬如MAC层、网络层、应用层等等,故有时也称基于现代密码学的安全为上层安全。物理层对于现代密码学加密体制来说是透明的,即物理层安全与上层安全是独立的。下面分别介绍物理层安全的两个基础知识,分别是:窃听信道模型和安全传输速率。窃听信道模型是物理层安全所研究的基本信道模型,安全传输速率是衡量物理层安全系统性能的重要指标。
物理层安全主要是利用特殊的信道编码和无线信道的随机特性使得秘密通信得以进行,它与现代密码学不同之处在于,其安全程度并不依赖于Eve的计算强度,而是依赖无线信道环境的随机特性。但是,从保密环节上来说,物理层安全与传统的计算密码学的安全却有着本质的相似之处。如图1所示。物理层安全中的编码调制环节和信道的随机性是安全通信的必要条件,正如现代密码学体制中的加密算法和密钥。编码调制环节是指Alice根据Alice-Bob和Alice-Eve信道的信道条件,通过独特的信道编码来保证Alice与Bob之间安全又可靠的通信。从安全的角度来说,编码调制环境可以被看作现代密码学中的加密过程,信息加密后生成的密文记为Xn。密文经过无线信道和解调译码可以等同为现代密码学中的解密环节,其中信道信息{h,g}可以看作公共密钥,而Bob接收端的噪声可以看作Bob的私钥,Eve是没有办法获得的。因此密文通过Bob的无线信道和解调译码,可以被Bob正确地译码解密;而此密文通过Eve的无线信道和解调译码,Eve是不能获得任何信息的。由此可见,虽然物理层安全与传统的基于现代密码学的加密原理是完全不同的,但是它们在实现框架上却也能够找到共同点。物理层安全可以看作是以调制编码等发送端的技术为“加密算法”,充分利用Alice-Bob和Alice-Eve之间无线信道的差异性,把无线信道看作“加密密钥”,从而使得Alice与Bob之间形成了安全可靠的通信。
物理层安全技术由于可以独立于上层而单独实现秘密通信,因此在无线通信系统中,可以在保证现有上层安全措施不变的情况下,补充物理层传输的安全。这使得通信系统的安全性能得到额外一层的保护。另一方面,将物理层安全用来传输现代密码学中的密钥,也是增强系统的安全性的一种方法。
从实现的角度讲,当前传统的无线路由器等均使用了全向天线进行传输,有可能导致无线信号泄漏至营区外部造成泄密。由于物理层安全技术方案的存在,除了进行传统的上层密码和传输加密以外,考虑利用物理层定向天线和波束赋形技术使得无线信号定向的向营区内部辐射,使得窃听者获取的信息量近乎为0,从而进一步降低失泄密的风险,这是物理层安全技术在现有无线网络中的应用改进。
根据香农公式,假设发射端信号表示为:y=hx+z,那么正常接收者bob收到的信号可以表示为:
此时人造噪声设计对Bob没有产生干扰的方向上均匀分布,从而实现了对目标用户的正常信号发送,但是使得窃听用户获得的干扰最大化,可用信息最小。
可见光通信(Visible Light Communications)是指利用可见光波段的光作为信息载体,不使用光纤等有线信道的传输介质,而在空气中直接传输光信号的通信方式,简称“VLC”。
普通的灯具如白炽灯、荧光灯(节能灯)不适合当作光通信的光源,而LED灯非常适合做可见光通信的光源。可见光通信技术可以通过LED灯在完成照明功能的同时,实现数据网络的覆盖,用户可以方便地使用自己的手机、平板电脑等移动智能终端接收这些灯光发送的信息。该技术可广泛用于导航定位、安全通信与支付、智能交通管控、智能家居、超市导购、灯箱广告等领域,特别是在不希望或不可能使用无线电传输网络的场合比如飞机上、医院里更能发挥它的作用。可见光通信兼顾照明与通信,具有传输数据率高、安全性强、无电磁干扰、节能、无需频谱认证等优点,带宽是Wi-Fi的1万倍、第四代移动通信技术的100倍,是理想的室内高速无线接人方案之一。
据美国DAPRA报道,美军已经生产出军用可见光网络及相关设备,用于国防部等军事机关和设施的高速无线网络通信。由于可见光室内传输光源直接指向用户且传输距离远小于传统的微波无线通信,在不考虑人为主动泄密的情况下,可见光通信信号是无法截获的,从技术上为通信的有效性和可靠性提供了强有力的支撑。
图2给出了微波无线通信和可见光通信之间的比较。对于手机、Wi-Fi等微波无线通信手段,除了目标用户能够接收到无线信号以外,由于无线电波是全向发射的,窃听者完全可以收到相同的信号,从而进行破译或者攻击,带来安全隐患;而可见光通信依赖于室内的LED灯具,通常灯具会直接部署在工位上方,而照明具有定向发射的特点,因此位于营区外部的窃听者无法收到任何信号,不能进行窃听。从实现上讲,可见光通信可以方便的利用LED台灯、屋顶灯等照明灯具,通过加装调制解调模块即可使得灯具具有高速数据传输功能,可供营区内台式机、笔记本电脑、平板电脑等高速无线上网,满足高清视频会议等高带宽需求。
目前,关于可见光通信在室内外各种复杂环境下的信道测量与建模的工作还很欠缺,只有少量的研究结果。尤其是在有强光干扰、烟雾和灰尘遮挡的环境下的信道干扰模型,更是需要亟待解决的问题。
3 结论
军队作为国家的武装力量,其信息安全问题尤为重要。在和平时期,如何从技术手段保证军队手机、Wi-Fi等无线通信安全,防止和平时期敌对势力进行的无线网络信号侦收和网络攻击,是当前要重点关注的问题。
构建网络安全体系范文5
关键词: 会计信息系统;系统安全体系;金融会计
一、网络金融会计信息系统的含义
网络金融会计信息系统是指建立在网络环境基础上的会计信息系统网络环境,包括两部分:一是金融企业内部网络环境,即内网,通过组建金融企业内部网络结构实现内部各部门之间的信息交流和共享;二是国际网络环境,即通过互联网使金融企业同外部进行信息交流与共享,基于互联网的会计信息系统,也可以说是基于内联网的会计信息系统,即金融企业的内联网和互联网连接,为金融企业内各部门之间,金融企业与客户、税务、审计等部门之间建立开放、分布、实时的双向多媒体信息交流环境创造了条件,也使金融企业会计与业务一体化处理和实时监管成为现实,原来封闭的局域网会计信息系统被推上开放的互联网世界后,一方面给金融企业带来了前所未有的会计与业务一体化处理和实时监管的优越性,另一方面由于互联网系统的分布式、开放性等特点,其与原有集中封闭的会计信息系统比较,系统在安全上的问题也更加突出,互联网会计信息系统的风险性更大。
二、当前网络金融会计信息系统存在安全隐患
(一)金融会计信息安全组织管理体系不完善
目前,金融企业尚未建立起一套完整的计算机安全管理组织体系,金融会计信息系统的建设在安全设计方面缺乏总体考虑和统一规划部署,各系统根据自己的理解进行规划建设,技术要求不规范,技术标准各异,技术体制混乱。国家标准制定严重滞后,法律法规不能满足金融会计信息系统的安全需求,现行计算机安全法律法规不能为金融会计信息系统安全管理提供完整配套的法律依据,在一定程度上存在法律漏洞、死角和非一致性。
(二)网络金融会计信息数据不安全
网络金融会计数据是记录在各种单、证、账、表原始记录或初步加工后的会计资料,它反映企业的经营情况和经营成果,对外具有较高的保密性,连接互连网后,会计数据能迅速传播,其安全性降低,风险因素大大增加,网络金融会计的信息工作平台是互联网,在其运作过程中,正确性、有效性会受到技术障碍的限制和网络与应用软件接口的限制,如网络软件选配不合适,网络操作系统和应用软件没有及时升级,或安全配置参数不规则,网络线路故障导致工作站瘫痪、操作失误等,系统间数据的大量流动还可能使金融企业机密数据无形中向外开放,数据通过线路传输,某个环节出现微小的干扰或差错,都会导致严重的后果,互连网结构的会计信息系统,由于其分布式、开放性、远程实时处理的特点,系统的一致性、可控性降低,一旦出现故障,影响面更广,数据在国际线路上传输,数据的一致性保障更难,系统恢复处理的成本更高。
(三) 网络金融信息泄露导致金融会计信息失真
在信息技术高速发展的今天,信息己经成为金融企业的一项重要资本,甚至决定了金融企业在激烈的市场竞争中的成败。而金融会计信息的真实、完整、准确是对金融会计信息处理的基本要求。由于金融会计信息是金融企业生产经营活动的综合、全面的反映。金融会计信息的质量不仅仅关系到金融会计信息系统,还影响到金融企业管理的其他系统,目前利用高技术手段窃取金融企业机密是当今计算机犯罪的主要目的之一,也是构成金融会计信息系统安全风险的重要形式。其主要原因:一是电信网络本身安全级别低,设备可控性差,且多采用开放式操作系统,很难抵御黑客攻击;二是由于电信网络不负责对金融企业应用系统提供安全访问控制,通信系统己成为信息安全的严重漏洞,但许多金融企业对此未加以足够重视而采取有效的防护措施。由于这些原因导致了金融会计信息系统的安全受到侵害,造成了信息的泄露,使金融会计信息失真。
构建网络安全体系范文6
关键词:校园计算机;网络安全;安全防护
中图分类号:TP393.08
二十一世纪的今天,信息技术在不断地发展进步。为适应信息化潮流,教育也开始向信息化的方向发展,校园网络也随之建设发展起来。许多学校在教学管理活动中充分运用计算机网络通信的便利作用,久而久之,学校对计算机网络的依懒性也越来越高。如果不能保证校园网络的安全,校园的各种重要信息将会被泄露,学校教学管理活动也将不能正常进行。因此,构建校园计算机网络安全防护体系显得至关重要。
1 校园计算机网络的不安全因素
校园计算机网络存在很多不安全因素,这些不安全因素来自以下三个方面:人为因素、偶发因素和自然因素。人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。自然因素是指,各种自然灾害对计算机系统构成严重的威胁。偶发因素是指,电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。其中,人为因素是最大的不安全因素,主要原因在于以下几个方面。
1.1 网络自身的不安全性
网络的最大特点是共享,这个特点也决定了网络的开放性,各种网络技术都是对外开放的。开放的网络技术增加了网络攻击的多样性。有些攻击专门针对物理传输线路,还有一些攻击是针对网络通信协议的,最常见的攻击主要针对计算机软件的漏洞。网络系统并不局限于校园这种小范围地区,它是国际性的,因此,计算机网络系统不仅仅受本地用户的攻击,它受世界各地黑客的威胁,即使是校园网络也可能被别的地区的黑客攻击。我们目前的计算机网络系统是很自由的,即使是没有技术的人员也可以不受约束的使用,用户可以在网络上获得各种信息。网络的这些特性增加了系统的不安全性。
1.2 操作系统存在安全问题
计算机网络系统的正常运行需要操作系统提供一个稳定的环境,只有在这种稳定的环境中计算机的运用系统才能正常运行。所以操作系统的安全性对计算机网络系统的安全起着至关重要的作用。操作系统主要负责对系统的软件资源和硬件资源进行管理,由于开发人员的技术问题在操作系统方面造成的不安全性增加了计算机网络的危险性。
计算机的操作系统结构体系也不够完善,还存在着一些缺陷。操作系统对计算机内部进行着多处管理,每一处管理都会涉及到一系列的程序,这些程序哪怕出现很小的问题都会使计算机系统受到巨大的影响。外部网络一旦接入出现问题的部分,有可能引起计算机系统的彻底崩溃,这将会使校园的教学管理系统毁坏,教学活动随之受到巨大影响。
操作系统具有网络传输功能,这个功能也增加了网络的不安全因素,一些病毒可能会在接受文件的时候攻击计算机系统。创建进程是操作系统的一大特色,它可以使进程进行远程创建和激活,被创建的进程可以继续进行创建,有些黑客会利用操作系统的这一特性摆脱操作系统的监视,进而对系统进行破坏。
目前的计算机操作系统依然存在后门和漏洞。通过避开安全控制的方式对系统进行访问的程序被称为后门程序。这些后门程序是程序员们在软件开发阶段所编制的,编制这些程序是为了完善程序设计中的不足之处。有些后门程序在软件删除之后并没有被删掉,这就使得一些黑客乘虚而入,对系统进行破坏。
2 构建安全的校园计算机网络防护体系
2.1 技术层面的对策
校园计算机网络系统在技术层面需要提高,实时扫描技术、防火墙、完整性检验保护技术是目前存在的计算机网络系统技术。所以在加强技术方面,我们可以采取以下几种对策。
2.1.1 建立安全的校园计算机网络管理制度
加强校园网络用户的道德修养,提高系统管理员的技术。对系统进行定期检查,同时要对重要的数据进行备份。学校还要控制网络访问,尽量减小网络访问量。控制网络的访问量对于保护网络安全是很重要的一种方式,校园网络的资源可以通过这种方式得以保护。控制网络访问是目前保护系统的主要策略。访问控制要从多个方面进行,同时也涉及了多方面的技术,入网访问控制、网络权限控制、目录级控制都在控制访问之列。同时还要注意对数据库及时进行备份和恢复。数据库管理员对数据进行管理的时候重要的操作就是对数据进行备份和恢复,其中的备份是最能防治系统发生意外的方式,恢复则是在数据受到破坏后减小损失的最主要方式。另外还要提高校园计算机网络系统的应用密码技术。信息安全核心技术就是密码技术,通过密码技术可以保证信息安全。当前保证信息完整性方法就是密码的数字签名和身份认证。
2.1.2 提高校园计算机网络反病毒技术
病毒对计算机网络具有很大的破坏作用,所以提高反病毒技术对于建立安全防护系统非常重要。学校可以安排管理人员安装病毒防火墙,对带有病毒进的文件行过滤。防火墙会对网络服务器中的文件进行扫描检测,一旦发现可疑文件将采取相应措施进行控制。此外,还要完善操作系统,加大操作系统对病毒的检测力度,坚决不让病毒钻空子,保证系统的安全。
2.2 管理层面的对策
计算机网络的安全管理包括很多个方面,它不仅仅只是建立安全管理机构,它还包括了提高计算机网络用户网络的安全意识。校园网络的用户多数为在校师生,所以学校可以开设有关的课程,让网络用户明白自己该干什么不该干什么,提高学生在网络使用方面的法律意识。这样将会使校园网络的威胁减少,对于那些试图攻破网络系统的人员要采取法律手段对他们进行惩罚。加大网络安全方面的宣传,让校园用户明确自己的权利和义务。同时学校还要调动网络用户的责任心,如果发现对网络系统做破坏的人要及时举报,坚决维护校园计算机网络的安全,还要建立相应的制度,包括资料管理制度、机房保卫管理制度、严格分工等管理制度。
3 结束语
计算机网络已经成为校园发展中不可缺少的一部分,保证校园计算机网络的安全性问题也成了很重要的问题。校园网络的不安全因素来自多个方面,所以在建立安全防护体系的时候也要考虑到多方面因素。校园计算机网络在不断地发展变化,网络的安全问题也不是一成不变的,所以网络安全防护体系也要根据新的安全问题及时更新变化,要保证校园网络安全防护系统的有效性和先进性。
参考文献:
[1]罗森林.高平.信息系统安全与对抗技术实验教程[M].哈尔滨:黑龙江大学出版社,2012(49):50.
[2]潘瑜.计算机网络安全技术[M].北京:中国铁道出版社科学出版社,2010(23):214.
[3]华师傅资讯.黑客攻防疑难解析与技巧[M].北京:北京理工大学出版社,2012:24.
[4]郭俊珍.浅析计算机网络安全[J].武汉大学报,2011.
