前言:中文期刊网精心挑选了网络安全设计方案总结范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全设计方案总结范文1
关键词:计算机信息管理技术;网络安全;应用
1基本概念
近年来,随着互联网快速发展,互联网已经深刻影响到人们的工作学习等各个方面,与每个人的日常生活息息相关。互联网在给人们带来巨大便利的同时,也引发出来巨大的安全问题。除此以外,政治、军事、金融等领域在互联网中的信息安全问题更加的重要。这些领域产生的信息安全事故,会产生巨大的信息泄密、权利受损,甚至于国家安全问题。因此,信息安全方面的研究与发展,在当前情况下显得尤为重要。广义的信息安全涵盖互联网安全、主机安全等各类安全问题,不但包括计算机技术的应用,还牵扯到法律、管理等多个学科的内容。而侠义的信息安全,则指的是以计算机技术为核心、密码学知识为基础的内容。网络安全问题从大的方面讲会给国家和社会稳定带来巨大威胁,从小的方面讲会造成个人信息的泄露、给个人带来财产和安全的损失。因此,提高网络安全管理水平,是现今社会一个重要问题。计算机信息管理技术以现代计算机科学与技术为基础,为人们的日常生活和工作带来很大的便利性,加强了各领域、各阶层之间的沟通和联系,已经成为了非常重要的日常工具,成为了生活、工作不可或缺的一部分。计算机信息管理技术广泛应用于业务流程控制、质量控制、数据分析、电子商务、金融交易等等各个领域,都取得了很好的效果。如何利用计算机信息管理技术提高网络安全水平,是本文重点讨论的问题。
2网络安全管理存在的主要问题
2.1监测能力有限
近年来,网络安全监测技术在不断地提高,一些恶意攻击、黑客破坏的问题能够被及时的发现和处理。但随着黑客攻击技术的不断发展以及网络环境的复杂化,网络安全面临的问题日益增多。黑客攻击的手段在不断更新,同时逐渐具备了根据安全防护技术做实时动态调整的能力,因此现有的网络安全管理方案的监测能力还十分有限,不能够有效的保障网络安全。
2.2访问控制能力较差
网络安全中的访问控制主要是指对接入主机的用户身份进行控制,以防止非法用户入侵的现象发生。这种控制方式的主要难点在于,如何判断用户身份是合法的还是非法的。尤其在大型的社交网站,访问网站的用户身份本身就较多,对大量用户的身份验证更加困难。同时,对身份的控制与网站的易用性本身是矛盾的,如果增加身份验证的条件,势必会带来访问流程复杂的问题,从而导致一部分用户的使用感受较差,影响网站的推广应用。而过分强调易用性,又会造成严重的安全漏洞,甚至会造成用户资料外泄等重大安全事故。
2.3加密技术实力有待提高
密码学是指在恶意攻击的敌人存在的情况下一种安全计算方案的设计和研究。早些时候,密码学的内容主要集中在信息加密,即将需要传递的数据、信息、资源等内容从一个可读的状态转变成一个不可读状态。加密动作的执行者可以将解密技术提供给信任者,信任者依托解密技术可以将信息转变为可读。随着现代计算机技术的不断发展,密码学逐渐产生了一些高难度、大运算量的算法,在实际应用中,这些算法几乎不能够被敌人破解。或者说,在理论上,这些算法都存在被破解的可能,但在实际应用中,受限于资源、时间、场地等因素的影响,破解几乎是不可能的事情。因此,这些密码学技术和方案被认为是安全的。但在实际应用过程中,为了保证加解密过程的可用性,一些加密方案的可靠性还有待提高。
3计算机信息管理技术在网络安全中的应用探讨
本文从以下几个方面对与计算机信息管理技术在网络安全中应用的可能性进行了探讨:
3.1搭建安全审计系统
利用计算机信息管理技术搭建安全审计系统,实时的对网络环境中的各个活动主体进行监控和审查。安全审计系统的主要目的是保证网络环境中的各个主体都能够遵守安全规则,从而保证网络活动的安全性。同时,实时监测网络运行状况,对于安全事故能够第一时间发现、记录并进行有针对性的处理,最后能够对安全事故的成因和危害性、处理方式等进行记录,以便后期加以分析。安全审计系统中应用最广泛的产品就是入侵检测系统,目前已经具有很多较成熟的产品。通过搭建安全审计系统,不但能够实时监测安全事故,还能够对安全问题进行分析和提炼,从而为下一步提升安全防护能力、完善安全防护体系提供依据。
3.2优化网络安全设计方案
利用计算机信息管理技术构建科学、有效的网络安全设计方案。首先,进行安全隔离的防护设计。通过假设防火墙并对其进行有效控制,实现将安全问题隔离在网络环境之外的目的。其次,提高访问控制能力,利用计算机信息管理技术,搭建访问控制系统,根据网络环境的特点、应用需求等,设计控制策略,以保证屏蔽非法用户和允许合法用户方便快捷的登陆。第三,优化节点映射。节点映射是指通过将网络地址转换从而实现对信息资源隐藏的目的,从而在网络环境内有选择的完成信息传递,最大限度地提高信息的安全性、保密性。
3.3搭建有效的安全评估机制
完善的安全评估机制包括事前评估、事中评估和时候评估,通过利用计算机信息管理技术搭建安全评估系统,完善评估机制,有效总结安全事故发生的原因以及安全漏洞,总结遇到的安全问题类型及特点,从根本上找到问题发生的原因,分析科学、有效的应对机制,从而提升整个网络系统的安全防护能力。这就需要,从事网络安全管理的人员不断提升自己的专业技术知识,丰富自己的经验,掌握先进的计算机信息管理技术,以满足应对不断发展变化的网络安全威胁的要求。
3.4提高安全管理意识
通过应用计算机信息管理技术,搭建网络安全信息宣传、信息沟通和互动平台,一方面能够大力宣传网络安全知识,提高人民的安全防护意识、法律意识,提升网络环境的安全性,促进科学的网络安全规则的建立。另一方面,加强关于网络安全问题的沟通,使用户可以方面的交流网络安全知识、共享安全防护代码、共同研究网络安全问题等。因此,政府和安全管理机构应当加大计算机信息管理技术的应用,推广建立网络安全交流平台,普及常见的安全漏洞、安全问题和网络安全防护知识。搭建一套包含知识宣传、技术共享、案例分析于一体的完善的安全管理体系,提高用户的网络安全意识,提升用户自己应对网络安全问题的能力。网络安全是现代计算机科学中的重要研究方向,也是计算机技术、信息技术、互联网技术进一步发展的重要保障。将计算机信息管理技术应用在网络安全管理任务中,提升网络安全技术能力,有着重要的研究意义。本文从搭建安全审计系统、优化网络安全设计方案、搭建有效的安全评估机制以及提高安全管理意识四个方面讨论了计算机信息管理技术在网络安全中的应用,希望能对网络安全管理工作提供一定的参考价值。
参考文献
[1]孙曼如.浅谈计算机信息管理技术在网络安全中的应用[J].科技展望,2016,26(10):126-127.
网络安全设计方案总结范文2
【关键词】中职学校;校园网;组建;安全
【分类号】TP393.18
随着社会的进步和科技的快速发展,许多的中职学校都建立了属于自己的校园网络,并与Internet进行连接。校园网的建设不仅是现代教育改革的要求,而且也是现代教育的重点内容。但是中职学校校园网的构建是一项较为复杂的工程,需要整合网络设备、专业技术和相关的信息资源。随着信息技术的快速发展,我国已经进入了信息化的时代,计算机网络成为现代科研和现代化管理的重要手段,校园网在我国已经取得了较大的发展,但是中职学校校园网的构建仍然存在许多的缺陷。校园网络的构建应该进行全面的互通,进行信息的快速传递,提升高校的办学效率。
1 中职学校校园网设计的原则
1.1 先进性原则
中职学校的网络具有重要的科研功能,因此在进行校园网络的建设过程中应该具备较强的技术先进性。充分利用先进的计算机和网络技术,采用先进的网络设计思想,保证校园网络具有较快的传输速率,能够有效满足教学和科研的要求,在整个网络系统建成后保证整体处于先进的技术水平。
1.2 可靠性原则
中职校园网络因为具备教学和日常应用的功能,因此需要具有较为成熟的网络技术和设备。当中职学校所处的地理位置环境较差时,校园网络也能够满足教学的要求,保证教学有序的进行。校园网络还应该具备较强的抗干扰能力,网络系统能够适应不同的环境要求,保持系统的可靠运行[1]。
1.3 可扩展性原则
校园网络的设计和规划应该综合考虑其扩展功能,不仅要满足现在的各种教学应用,而且还应该能够方便地进行升级操作,实施有效的扩展。这就要求中职学校的校园网络的结构和管理具有较强的扩展性,并且保证在较低成本的要求下能够进行快速的升级。
1.4 安全性原则
中职学校网络的数据库包涵了学校中的各种教学和科研信息,因此就需要保证校园网络系统的安全性,保证数据信息不泄露。在中职学校进行网络安全管理的过程中,应该设定严格的网络安全管理权限,非法用户不能获取到网络中的信息,保证数据的完整性。
2 中职学校校园网的组建设计方案
2.1 网络拓扑结构设计
中职学校校园网络的结构体系采用的分布式的结构,包括核心层、分布层和访问层。网络的核心层的主要作用是为网络提供高速的连接线路,完成信息交互。因为核心层在网络体系中占有重要的地位,因此它应该具备较为强大的扩展功能,最大程度的满足网络扩展的需求。目前,校园网中的网络交换机大多采用的是统一的数据模块和操作系统模块,可以方便地进行升级操作。校园网络的分布层主要的作用是连接接入层的各个节点,并与核心层进行交换,方便实现网络的管理。这种校园网络的交换机主要分布在校园楼层中的信息中心,在服务器中内置了各种服务的端口,可以方便进行外界设备的接入,在一定程度上提高了网络架构的灵活性。网络的接入层位于网络结构的外层,可以方便进行数据的交换,还能够支持VLAN,在进行设计过程中应该充分考虑接入节点的数量的问题,将交换机接入到终端的集线器中,核心层交换和接入层交换应该具备良好的兼容性。通过以上的分析可知,只有完善中职校园网络的核心层、分布层和接入层,才能完善整个校园网络的架构[2]。
2.2 服务器的配置选择
为了提升校园网络的服务功能,应该在校园网中配置文件服务器、DNS服务器和MAIL服务器等,在选择校园网络配置中应该遵循的主要原则是:良好的性能、扩展能力强、良好的可靠性等。还可以根据服务器的具体型号进行骨干操作系统的选择。建立的DNS服务器中的IP地址应该根据标准的命名规则,当用户向计算机提出查询IP地址的需求时,DNS服务器应该能够较快的从数据库中提取满足用户要求的数据。邮件服务器的建立应该在网络的平台中,基于Unix平台的发送邮件系统,在有限的预算内建立这种邮件服务器,可以有效减少资金的投入。在功能和性能方面也具有良好的表现,但是其管理的难度要比UNIX低。
3 中职学校校园网的安全
中职学校的校园网络在教学、科研和管理中担任重要的角色,因此网络的安全性具有重要的意义。目前,我国的网络中存在较大安全隐患,影响网络安全的主要因素有数据的破坏、系统运行受到干扰、突然断电和非法黑客的入侵。进行中职学校园网络安全的构建,首先应该选择性能稳定的交换机,有效提升防攻击的能力。还应该为校园网络配置一个具有优良性能的电源,提升网络的配电系统。网路管理员应该树立这种网络安全的意识,对敏感的信息进行加密,提升网络服务器的容错能力,当网络出现事故时能够快速地恢复各种数据和网络信息;其次,还应该建立完善的网络安全认证机制,这也是保障网络系统安全运行的关键所在,进行身份系统的识别可以有效防止非法的用户入侵,可以对用户的权限进行设置,进行口令或者密码的设定,为用户提供完整的用户使用记录,有效保证网络的安全[3]。最后,可以设置有效的防火墙,采用先进的网络防御技术进行数据流的监控和限制,提升网络的入侵检测系统,全面提升外界因素对网络造成的各种威胁。防火墙还应该具有较好的应用透明性,采用硬件的形式防止网络黑客的入侵。
4 总结
总而言之,中职学校校园网兼具教学和科研的任务,校园网的建设也是一项较为复杂的系统工程,具有较强的开创性。在进行校园网络的构建中应该进行综合的考虑,从长远规划,采取分步实施的方式,细心做好网络建设中的各种具体工作,只有这样才能建立性能完善、安全性高的校园网。
【参考文献】
[1]张青松.浅谈中职学校校园网之构建[J].计算机光盘软件与应用,2011,(1):90-90.
网络安全设计方案总结范文3
关键词:无线网络;安全隐患;防范;安全方案
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2012) 09-0000-02
随着智能手机以及各种便携式移动终端在校园内的逐渐普及,传统的有线校园网受布线以及空间的限制已经无法完全满足广大师生的需求。因此,搭建成本更低、灵活性、移动性更好的无线网络早已成为各大高校弥补有线网络不足的重要措施。借助开放性的电磁波传输,无线网络在信息传递的速度和质量上给校园带来了革命性的变化。但是,由于无线网络固有的开放性,又大大增加了网络管理人员管理无线网络的难度和增大了外部设备对校园网络的威胁。
一、校园无线网络的安全隐患
由于无线网络的信号难以控制,数据可能出现在预期之外的地方。这增加了网络被入侵的机率。同时因为无线网络依靠的是逻辑链路而不需要提供物理上的连接,所以任何在无线网络广播范围内并获得网络访问权的人都可以监听网络,并通过非法手段获得一些敏感的数据及信息。
类似其他领域的无线网络,校园无线网络也存在着以下几点安全隐患:
(一)不易管理
首先,由于无线网络开发的特殊性,管理人员很难对无线网络进行管理。其次,由于无线网络的便捷性,只要在无线广播范围内,任何地点都具有接入方便的特点,所以,通过布置防火墙等硬件措施并不适合于无线校园网。再者,无线网络协议一直以来都存在着缺憾。IEEE在802.11标准之后,虽然有针对性的提出了一些加密的方法来实现数据的保密性和完整性,但是WEP协议依旧存在着严重的缺陷,对于之后改进的802.11i,虽然大幅度的改善了网络的安全性,但是否还存在问题,任然需要时间来衡量。
(二)信息泄密
对于有线网络,由于其物理空间的界定,在传送数据包时,技术人员可以通过对物理网络的处理以提高传送的安全性。然而,由于无线网络采用无线通信的方式,所以传送的数据包更容易被截获,截获者甚至不需要将窃听设备连入网络便可进行截获,而任何截获数据包的人都对其进行破译、分析,从而导致信息的泄密。
(三)网络资源遭窃
网络资源遭窃就是一般所说的“蹭网”,一旦发生蹭网行为,则大量的网络带宽将会丧失,资源减少,将会影响到网络的性能及传输效率。
(四)存在地址欺骗的隐患
这是基于IEEE802.11协议所产生的问题,由于802.11协议对数据帧没有认证操作,网络中站点的MAC地址容易丢失,所以攻击者可以使用虚假地址的数据帧进行ARP攻击。更严重时,攻击者可以冒充AP进入网络,获得真实的认证信息。
(五)其他安全隐患
无线网络还存在着拒绝服务攻击、Web攻击、DNS欺骗、缓冲区攻击等安全隐患。
校园无线网作为无线网络具有以上的一些安全隐患,但同时校园无线网也存在着另外一些安全问题。
由于安全意识不强、校园无线网布置水平的参差不齐,校园无线网的安全性并不高。甚至,很多的无线接入点都没有考虑到无线接入的安全问题。无线网络接入的认证存在缺陷,MAC地址的认证、共享密钥的认证等基本认证方法并没有完全普及,只有少数高等院校配备了更高级的802.1x认证协议。同时,相比大型无线网络来说,一般校园无线网还需要一套更加统一、细致的安全体系!
二.无线网络问题的传统解决方法
一般来说,无线网络安全问题的传统解决方法有以下几种,它们同时也适用于校园无线网络。
(一)MAC地址过滤
由于MAC地址的唯一性,MAC地址过滤方法成为了解决无线网络问题的常见方法。技术人员可以通过将合法的MAC地址下放到每一个AP中,或者存储在无线控制器中以实现MAC地址过滤的功能。
(二)隐藏SSID并禁止广播
SSID是指用来区分不同网络的标识符,是无线网络用来进行定位服务的一项功能。一台计算机只能和一个SSID网络连接并进行通信。SSID设置在无线接入点AP上。通常来说,为了使接入的终端能获知周围的无线网络,AP会广播SSID。然而,这将大大降低无线网络的安全性。为了提高网络的安全性,AP最好不进行广播,并将SSID映射成一串无规律的长字符串。这样,任何未被授权的移动终端即使通过自动扫描功能感知到无线网络的存在也无法接入。
(三)使用VPN技术
VPN(虚拟专用网络)技术是目前最安全的解决方案。它可以通过隧道和加密技术提高信息的安全性。
(四)数据加密
对传输数据的加密是提高安全性的必要条件。这样,即使在未授权的情况下,数据被截获,也能使损失降低到最小。
(五)其他方法
其他方法如:禁止动态主机配置协议、使用802.1x控制网络接入等都能起到很好的提高安全性的作用。
三、综合性的校园无线网络安全方案
校园无线网络相比一般无线网络来说,虽然具有一般性,但同时也有自己的特殊性。所以,要想提出一个综合性的校园无线网络安全方案,不但需要以上提到的各种无线网络安全技术,还需要做到以下几点:
(一)规划优先
在构建校园无线网络之前需要对设计方案及规划进行充分的考量,这包括网络环境的设计、设备的购买、AP的布置、服务器的管理和技术人员的培训等。对于天线的选用需谨慎,杆状全向天线覆盖范围过大,增大了入侵者入侵校园无线网的可能性。在不同的区域应布置不同类型的天线。而对于AP来说,在配置时,应在满足要求的前提下,尽量使发射功率最低,以降低入侵的可能性。
另外,对技术人员的培训也是至关重要的,技术人员水平的参差不齐会导致校园无线网布置漏洞的出现。对软、硬件技术人员应该分开培训,使其懂得网络的正常管理和故障维修。对工作人员来说,必须提高他们的安全意识和专业水平。
同时,在规划校园无线网络的时候,还要考虑到整个互联网大环境的影响。在设计阶段,可以借助建立小范围模型的方法,模拟可能出现的各种问题,攻击模型,观察所规划的网络的表现,从而得出设计漏洞,进行改进。建模的方法能节约成本,使设计更加完善,提高安全性。
(二)提高校园无线网身份认证的水平
由于校园无线网的特殊性,要想得到一套综合的安全方案,需要在身份认证时,对使用人群进行分类,不同的人群使用不同的认证方法。一般来说,可以分为以下几类:1.固定使用群。一般是指校园内的师生及一些固定的校内工作人员。这类人群需要经常性地接入校园无线网。对于这类人群,安全性要求较高,所以可以使用比较复杂,但是安全系数更高的802.1x进行认证。2.流动使用群。这类用户通常是临时的在校园内生活,他们可能是交流访问的学者或者是受邀而来的宾客,他们只需要在一个特定的时间段接入校园无线网,并非长久性的。所以,对于这类人群,安全性要求显得并没有那么高,可使用简单的Portal认证。
(三)更加统一的校园无线网标准的建立
为了更加方便、系统地管理校园无线网,需要建立更加健全、安全、完善的统一标准。这将避免由于各高校标准不一而带来的漏洞问题。而且,各高校最好能共享无线网络技术,定时进行互相交流与学习,从而避免校园无线网络技术的层次不齐所带来的影响。同时,还需建立更加完善的法律法规,对构成严重网络损害的入侵者进行相应的惩罚,这样才能达到事半功倍的效果。
四、结束语
无线网络技术给校园带来了便捷性,但同时也带来了许多的安全隐患。构建校园无线网络不但需要安全技术的不断改善、实现有线网和无线网的无缝连接,更需要一套更加综合、更加完善的解决方案。只有这样才能保证校园无线网络的安全性,才能真正达到服务校园的目的!
参考文献:
[1]郑东兴.浅谈无线网络安全防范措施分析及其在校园网络中的应用研究[J].职业技术,2012,01
[2]张洪.浅谈校园无线网络的安全现状与解决方案[J].职教研究,2011,02
[3]王双剑,丁辉.无线网络安全的机制及相关技术措施[J].科技传播,2012,06
[4]陈亮.无线网络安全防范措施探讨.信息与电脑(理论版)[J].2011,03
[5]宋玲.浅议无线网络的安全隐患与防范措施[J].科技信息,2012,10
[6]张丽.无线网络安全的思考[J].硅谷,2012,01
[7]任伟.无线网络安全问题初探[J].信息网络安全,2012,01
[8]吕明化.无线网络在校园网中的应用[J].魅力中国,2009,18
[9]张景文.校园无线网络安全技术分析[J].电脑知识与技术,2010,12
[10]刘宏.无线网络安全缺陷与应对策略分析[J].信息与电脑(理论版),2010,06
网络安全设计方案总结范文4
关键词:网络安全;系统建设策略;应对措施
1 计算机网络安全系统
1.1网络完全系统简介
因为现在越来越多的针对计算机的网络攻击正在互联网上不断蔓延,例如从原来的熊猫烧香病毒的盛行到现在比较普遍的木马以及蠕虫病毒的泛滥,可以看出现在的计算机网络安全的形势是不容乐观的,网络的安全是所有客户的需求,所以建立一个实用的计算机网络安全方案就是势在必行的,也是所有互联网从业者的共同的心声。计算机网络安全系统就是借助互联网的桥梁的作用把相关的硬件和软件的资源合理的配置在一起形成一个具有主动防御网络攻击、病毒传播的安全体系。该体系能够实现对于来自网络的攻击进行自动的拦截、分析并采取相对应的技术手段措施锁定发起攻击的网络内的计算机的物理地址,并联网寻求解决出现的问题的方法。整个计算机网络安全系统建设的方案应该包括对于网络攻击等问题的分析判断、市场对于治理网络攻击的需求心声、网络安全系统建设的目的以及网络安全系统的详细的层级设计等等几部分。以典型企业为案例介绍了网络系统安全规划与设计方案实战过程,使读者对网络系统安全规划与设计思路有一个初步的认识和大概的了解。
1.2 网络安全目标
要保证互联网内的各个计算机都能够不受网络攻击的安全运行就必须建立一个行之有效的网络安全防御体系,能够让处在这个体系之内的所有计算机都能够对来自网络其他地方的攻击采取主动地防御措施,阻止病毒的不断复制与传播、关闭黑客的入侵端口等等。建立计算机网络安全系统的目标其实就是建设一个完善的计算机防御体系,可以把公司内部的局域网和外网隔离开来,断绝来自外网的网络攻击路径,自动的将黑客以及病毒等网络威胁隔离在局域网之外,保护局域网内的计算机能够安全、正常的通信和工作;有关于局域网内的计算机向外网发送服务请求的问题,网络安全体系应该及时的对有关请求服务的数据信息进行相应的跟踪和监测,自动的将外网反馈回来的带有病毒等的危险有害的信息数据进行过滤,使局域网内接收相关请求回复的计算机能够免于被来自外网的黑客劫持DNS等重要信息,以至于造成不必要的经济损失。面对着越来越严峻的网络安全的形势,所以计算机网络安全系统的建设已经刻不容缓的事情,必须要加紧出具相应的有效解决问题的措施。只有不断升级网络安全系统的防护,才能保证互联网内的用户快速、安全的访问互联网,才能切实有效的保障客户的根本利益不被损害。
2 计算机网络安全系统的建设策略
对于如何建设网络安全系统,就必须要遵照一定的建设策略。这里的建设策略主要是围绕计算机系统的各个层面来说的,具体的方法就是以下几个方面。
2.1系统安全策略
对于计算机的网络安全系统的建设来说,首先应当遵循的就是系统的安全策略。系统的安全策略就是从计算机操作系统的层面进行防护的措施。最主要体现的就是计算机操作系统对于来自外网的黑客或是病毒入侵的防范能力,一般情况下,计算机操作系统都会在后台自动加载病毒或是危险因素的防御程序,以弥补在接入互联网的过程当中防范的不足。这些程序都是以后台的形式验证来自外网的数据的真实性,如果操作系统认为外来的信息是威胁因素,就会采取修补系统漏洞的方式予以下载相对应的系统补丁;如果操作系统认定该外来数据信息是真实可靠的,就会对下一个数据进行跟踪监测,直到发现问题,才会启动后台修补漏洞的程序。所以说,选择计算机的操作系统这一步就比较关键,现在市面上已经出现了很多不同的操作系统,对于黑客以及病毒入侵的网络攻击的防范力度以及能力也会有所差异,这中间也有一定的规律可以遵循。一般情况下就是推出时间越近的操作系统对于这些网络攻击的防御能力也是越强的,因为它们就是根据之前的版本出现的问题进行修改升级之后推出的补丁升级版,所以在对抗网络攻击的时候就会更加应付自如。在这里我对于系统安全策略的建议就是尽量去官方网站下载最新的操作系统,并且保持更新的状态,以便于实时的更新病毒库,为后来的防御做好准备。
2.2应用系统安全策略
对于计算机网络安全系统在应用系统安全上的建设策略就是应用程序的安全检测问题。计算机不仅仅需要操作好的系统,还应该配合各种应用程序的使用,才能发挥计算机的基本信息交换以及互相通信的服务功能。但是现在网络上的许多应用程序都被黑客植入了病毒,当普通的客户下载这些带有病毒的应用程序时,就会感染这些病毒,从而整个计算机就会瘫痪,计算机内保存的重要资料也会被盗取,给客户造成很大的经济损失。所以要想在应用系统安全的策略层面上建立网络安全系统就必须要严格检测各种应用程序,检测其是否带有病毒等威胁,做到在源头上断绝病毒等威胁的载体,确保计算机安全、有效、正常的运行。
2.3物理层安全策略
对于计算机网络安全系统在物理层安全上的建设策略就是计算机周边配件的安全检测问题。计算机通过与周边的设备例如路由器、交换机、打印机等等连接来获取数据信息以及执行相应的操作,所以建设网络安全系统还需要从物理层的安全角度来考虑。就以物理层里比较常见的路由器和交换机来说,它们是连接计算机与外部数据信息的桥梁,外部的数据信息都经过路由器和交换机的数据分析和传递,才能和计算机进行信息的交换。外网的黑客可以利用计算机通讯的这个特点,将外部数据的信息包进行技术伪装,让路由器和交换机根本查验不出数据信息的真伪以及是否携带有病毒就进入到计算机当中进行信息的盗取和对于系统的破坏,所以物理层的安全对于整个网络安全系统的建设来说是非常重要的。
3 总结
鉴于目前日趋复杂的网络安全形势,需要建立起全面的、立体防御系统来对抗来自外网的黑客和复制性很强的病毒的网络攻击,这个网络安全防御系统需要从不同的层面考虑网络威胁侵入计算机的路径,从而针对具体的威胁因素制定最好的解决方案。随着计算机技术以及网络的不断发展,虽然会出现越来越多的网络安全问题,但是我相信一定也会有相对应的更好的、更全面的应对措施。■
参考文献
网络安全设计方案总结范文5
2015年11月21日,国家网络安全宣传周“网络安全知识进万家”活动在XX市部分高校启动。为贯彻落实中央关于网络安全和信息化的战略部署,响应教育部、省教育厅的号召,同时也是为了加强我校学生树立网络安全的自我保护意识,提高网络安全防范技能,因此于2015年11月24日-30日开展了为期一周的有关网络安全知识宣传系列活动。内容及形式丰富多彩,具体如下:
一、通过多种渠道的宣传方式,提升全校学生的网络安全意识。
为了更好的宣传网络安全知识,在全校范围内开展网络安全知识的宣传。我校宣传部、校团委等部门整体规划了设计方案。发挥线上线下多渠道的宣传优势,全方位多角度的对网络安全意识的提升加以宣传。通过校园大屏幕滚动播放相关视频让全校学生在视觉上得到体验;通过院报专栏系统的介绍相关安全知识;通过校园广播电台让全校学生在课余时间对相关知识有深入的了解;同时还通过发动各个学院的微信公众平台发放网络安全知识。在校团委的统一安排下,同各院系分团委还相继展出了以“共建网络安全、共享网络文明”为主题的网络安全宣传板。通过以上展开的切实有效的宣传活动,使华外学生从最初对网络安全概念淡漠,逐步上升到树立网络安全自我保护意识,同时同学们也纷纷宣传并转载了关于“网络道德和网络素养”的文章,将其运用到生活中,以便更好的创造和谐的网络环境。
二、通过组织学习及参与网络安全知识竞赛深刻了解网络安全教育的重要性。
认真计划并组织华外学生通过线上参与网络安全知识竞赛,深刻了解网络安全教育活动的必要性。我校于2015年11月 24日--26日,组织在校同学们进行了多种形式的网络安全知识的学习,并于26日下午参加教育部思政司组织的“全国大学生网络安全知识竞赛”。我校近千名学生参与了此次竞赛。在此活动中,同学们纷纷展现出了较高的积极性,并且取得了优异的成绩,部分同学在竞赛中获得了《全国大学生网络安全知识竞赛参与证书》。据参加竞赛的同学说:“其实竞赛的题目就是我们生活中常见的网络安全问题,通过竞赛这种方式能使我们更加深入的了解网络安全,从而更好的将安全的网络技术运用到学习和生活中。”
三、认真设计并组织“网络安全精彩一刻”教育巡讲
针对目前存在的一些网络安全的问题与隐患,我校组织学生于2015年11月26日——26组织三场“网络安全精彩一课”教育巡讲,现代教育技术中心李XX老师为近600名同学们相继带来了精彩的讲说,增长了同学们的网络安全知识,提高了同学们的网络安全防范意识。
开展此次“网络安全精彩一课”教育活动也是积极响应国家的号召。黑客和计算机病毒都是普遍的威胁,而为大家所熟知的日常网络安全也同样存在各种问题。针对这些问题,主讲人李XX老师向学生们介绍了日常生活中,使用网络时存在的安全隐患,并讲解应该从哪些方面来保护自己。为大家提供了很多有价值的宝贵建议,例如:确保作业系统与系统软件,如网络浏览器,是完整安装且更新修正至最新版;安装个人防火墙与更新病毒码至最新的防毒软件等等。同学们在课堂上的认真状态足以见得本次教育活动真正为同学们答疑解惑,达到了预期目的的同时也丰富了同学们的网络知识。
四、在学生公寓内开展“线上网络安全体验基地”活动
网络安全设计方案总结范文6
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(smis)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(vlcc)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用hp compaq dx7400(pentium dual e2160/1.8ghz/ddr2 512m/80g);网关采用industrial computer 610(p4 2.8ghz/ddr333 512m/80g);交换机采用d-link des-1024d快速以太网交换机(10/100m 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用amos mail或rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义isms的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循pdca的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7 总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
