前言:中文期刊网精心挑选了网络运行安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络运行安全范文1
关键词: 计算机;网络安全;技术
中图分类号:TP273 文献标识码:A 文章编号:1671-7597(2012)0610189-02
网络安全管理已成为企业管理以及其他组织管理中的一个重要组成部分,人们获取交换信息的重要途径就是通过计算机网络,若网络存在一些安全隐患,将给我们的信息安全带来重大的威胁。下面就当前背景下网络安全面临的问题以及技术进行了探讨
1 新背景下网络安全面临的问题
1.1 操作系统和应用软件自身的漏洞
操作系统自身的安全是计算机网络安全的重要组成因素,它把用户界面,计算机硬件,计算机软件三者进行结合。操作系统处在网络环境中,不可避免的会出现安全漏洞。操作系统最容易出现的漏洞有windows的调用RPC漏洞,缓冲区溢出漏洞等。操作系统出现的漏洞被利用后,容易遭到远程攻击和本地攻击,远程攻击对计算机网络的带来的安全隐患远远大于本地攻击。由于应用软件具有一定的软件缺陷,这种缺陷可以存在于小程序中,也可以存在于大型的软件系统中。比如20世纪发生的海湾战争,由于导弹软件存在误差,导致美国没有很好的拦截住伊拉克发射的飞毛腿导弹,造成了大量的人员伤亡。
1.2 网络病毒
现在的网络病毒有许多种。比如木马病毒采用的是后门启动程序,它往往会隐藏在计算机的操作系统中,对用户资料进行窃取、比如对QQ密码、网络邮箱密码、网上银行账户密码、游戏账户密码等进行窃取。邮件类病毒通过网络电子邮件进行传播的,该类病毒会先隐藏于附件里,伪装成用户容易点击的虚假信息,当用户点击打开含有病毒的附件时进行病毒扩散传播。有的邮件病毒借助用户浏览器的软件进行传播,当用户查看自己的邮件时,由于浏览器更新的不及时也造成了邮件病毒的传播。有的病毒可以通过多种途径共同传播,比如集木马型病毒、邮件型病毒于一体的新病毒混合体。该病毒对网络的危害性更大,处理查杀起来也比较困难。比如当前某个电影以很好的票房成绩进行热播的时候,在相关电影网页上打着免费观看该电影的旗号挂载一系列病毒,当用户点击想观看时,病毒借此进行广泛传播。在一台电脑感染了病毒后,通过这个电脑迅速的传播到该电脑所在网络的其他电脑中,电脑网络被感染病毒后,会接受网络病毒发送的数据包,被感染的电脑由于过多的无关数据而降低了自己的运行速度,或者造成CPU内存占用率过高而卡住死机的状态中。
1.3 存储介质和传播介质存在缺陷
网络存储和传输介质作为网络运行中必不可少的硬件设备,在被人们使用的同时也存在着安全隐患,存储介质本身的稳定性是一大安全隐患,若损坏容易造成数据的丢失。网络硬盘四种途径可以进行数据的传输交换和通信活动,它们分别是光缆、专线、电话线和微波。相比与专线、电话线和微波,光缆的信息更可以收到安全的保护。网络硬盘与计算机系统组成的不牢固也能造出计算机网络安全隐患。这些存储设备和传播介质本身的电磁辐射会将机器内部的泄漏到外部世界。
2 保护网络安全的主要技术措施
2.1 有效设置防火墙
防火墙设计的理念是防止计算机网络信息泄露,它通过既定的网络安全策略,对网内外通信实施强制性的访问控制,借此来保护计算机网络安全。它对网络间传输的数据包进行安全检查,监视计算机网络的运行状态。一个完整的防火墙保护体系可以很好的阻止威胁计算机的用户及其数据,阻止黑客通过病毒程序访问自己的电脑网络,防止不安全因素扩散到电脑所在的局域网络。
2.2 入侵检测技术
有效配置网络防火墙可以有效提高计算机网络的安全性,降低网络安全风险,但仅仅使用防火墙技术,是无法满足网络运行安全需要的,还要使用网络入侵检测技术,因为网络中的入侵者本身可能就位于网络内部,并且防火墙本身也可能存在着敞开的后门,容易被入侵者利用,另外,防火墙本身不具备实施监测功能也是使用入侵检测技术的一个重要原因。监视可疑连接,检查系统日志,保护关键应用服务器。
2.3 安全扫描技术
一般来说,我们将网络安全扫描技术看做是防火墙技术和入侵检测技术的配套技术,它们之间相互配合可以有效提高网络安全性能。他也是黑客入侵时常用的网络工具,网络安全扫描工具的商品化,为网络安全漏洞的发现提供了强大的支持,网络安全扫描技术的扫描对象一般分为服务器和网络两种,对服务器的扫描一般扫描password文件、系统漏洞、目录和文件权限、敏感服务等。扫描之后你能够给出一些解决办法或建议。对网络的扫描一般指的是对网络内的服务器、路由器、网桥、交换机和防火墙设备等的漏洞扫描。使用网络安全扫描可以有效发有限网络中存在的安全漏洞,提高网络运行的安全性。
2.4 身份认证技术
身份认证技术主要用于互联网中,通讯双方的身份认证,其中身份认证技术当中最常用的技术是数字签名技术,他可以实现操作系统对用户、电子邮件通讯双方、服务器与客户、网管系统对网络设备之间、路由器之间以及路由器与交换机之间的认证,认证双方经过加密和密钥交换实现认证。
2.5 虚拟专用网技术
虚拟专用网是这样一种网络,分隔两地的同一网络通过因特网进行相互连接,而不是在架设一条专用线路,就像在互联网上开辟了一个专用通道,我们把这种利用公共网络实现实现的异地网络连接称为虚拟专用网。
2.6 访问控制技术
访问控制是对不同用户对信息资源设置不同的访问权限,是防止合法用户越权使用信息资源的一种约束方式,当前使用的两种访问控制分别为强制访问控制和自主访问控制,可以通过访问控制表来来是实现基于安全标签的、用户分类和资源分级技术。实现对信息资源和用户的有效控制。
2.7 虚拟机技术及特征码技术
目前的查杀病毒采用方法主流是通过结合特征码查毒和人工解毒。当搜查病毒时采用特征码技术查毒,在杀除清理的时候采用人工编制解毒技术。特征码查毒技术体现了人工识别病毒的基本方法,它是人工查毒的简单描述,按照“病毒中某一类代码相同”的原则进行查杀病毒。当病毒的种类和变形病毒有相关同一性时,可以使用这种特性进行程序代码比较,然后查找出病毒。在使用特征码技术时,一些补充功能需要一同使用,比如压缩包和压缩可执行性文件的自动查杀技术。对于已经出现过的病毒我们可以采用特征码技术,对于没有出现过的,未知的病毒我们需要采用新的反病毒技术,即虚拟机技术。虚拟机技术的使用首先要有一个虚拟计算机系统的建立,在虚拟的计算机系统里,把程序文件执行完,通过建立的虚拟系统环境监测程序文件是否带有复制性和传播性等病毒特征,如果程序文件真的含有病毒,我们可以采用还原虚拟计算机的环境来阻断病毒运行,计算机的系统也不会受到影响。
2.8 IP隐藏技术
IP地址影响着用户的计算机网络安全,网络黑客通过特殊的网络探测手段抓取用户IP,然后对此发送网络攻击。对IP进行隐藏是指通过用户服务器上网,防止了网络黑客获取自己的IP。
3 网络运行的安全管理
网络的安全运行既离不开相应的安全技术,也离不开管理,其二者缺一都不能让网络安全的运行,只有在工作中,将技术和管理良好的结合起来,才能打造一个安全的网络,在网络运行的安全管理方面,笔者以为:首先,应该建立起一个信息安全管理机构,完善信息安全策略,并不断建立健全相关的人才培养机制,制定相应的人才培养计划,同时应加强平时的安全监测和检查计划,建立健全相应的管理与恢复机制。其次,要不断规范安全服务流程,建立健全安全服务管理平台,规范安全服务管理的流程,不断提高信息安全服务和管理质量。具体来说,要对网络中的软硬件和文档进行统一管理;对事件的安全管理、变更流程管理、问题管理等应进行流程规范;应建立起安全管理服务平台,对网络管理和业务环境进行有效整合;同时应加强度数据库的安全管理,防止意外事故的发生,即使发生,也能迅速恢复正常,等等。最后,还应不断调整、完善网络安全策略体系,改进信息安全计划和技术,定期对网络安全环境进行评估和检查,对网络安全环境进行持续改进。
4 总结
新背景下计算机技术发展迅速,影响网络安全的因素也越来越多,以后计算机网络安全可能会面临更复杂的问题。面对这种严峻的形势,我们在保护计算机网络安全方面不能只采用单一的防范措施,只有技术与管理并举,彼此相互协调,才能在计算机网络安全方面取得较好的效果。
参考文献:
[1]张焕国、王丽娜、黄传河,等,信息安全学科建设与人才培养的研究与实践.全国计算机系主任(院长)会议论文集,北京:高等教育出版社,2010.
[2]王鑫,关于网络环境下计算机安全的防范技术[J].计算机与数字工程,2009.
网络运行安全范文2
【关键词】计算机;网络安全;管理与运行
计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源,快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义,认为计算机网络安全是指:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”
现在的网络安全技术仅可以对付已知的、被分析过的攻击,没有预防攻击的能力。面对未来越来越多的新病毒,不能在大规模攻击爆发的初期就有效地阻止攻击的进行,为网络安全提供保障。
一、影响计算机网络安全的因素
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面。
1.1 操作系统的漏洞及网络设计的问题
目前流行的许多操作系统均存在网络安全漏洞,黑客利用这些操作系统本身所存在的安全漏洞侵入系统。由于设计的网络系统不规范、不合理以及缺乏安全性考虑,使其受到影响。网络安全管理缺少认证,容易被其他人员滥用,人为因素造成的网络安全的隐患。
1.2 缺乏有效的手段评估网络系统的安全性
缺少使用硬件设备对整个网络的安全防护性能作出科学、准确的分析评估,并保障实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。
1.3 黑客的攻击手段在不断地更新
目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。攻击源相对集中,攻击手段更加灵活。黑客手段和计算机病毒技术结合日渐紧密,病毒可以进入黑客无法到达的企业私有网络空间,盗取机密信息或为黑客安装后门,在攻击方法上,混合攻击出现次数越来越多,攻击效果更为显著。黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
1.4 计算机病毒
计算机病毒将导致计算机系统瘫痪,程序和数据严重破坏甚至被盗取,使网络的效率降低,使许多功能无法使用或不敢使用。层出不穷的各种各样的计算机病毒活跃在计算机网络的每个角落,给我们的正常工作已经造成过严重威胁。
二、确保计算机网络安全的防范措施
2.1 操作系统与网络设计
计算机用户使用正版软件,及时对系统漏洞打补丁,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在计算机网络中,建立起统一的身份认证,供各种应用系统使用,实现用户统一管理、认证和授权。网络管理员和操作员根据本人的权限,输入不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
2.2 安全性评估
加强计算机网络各级使用人员的网络安全教育,建立健全计算机网络安全管理制度,严格执行操作规程和规章制度。网络管理人员对整个网络的安全防护性能进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议,从而提高网络系统安全性能。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
2.3 黑客的防范
对于网络外部的入侵可以通过安装防火墙来解决,利用防火墙,在网络通讯时执行一种访问控制规则,防火墙允许同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们更改、移动甚至删除网络上的重要信息。对于网络内部的侵袭,可以采用对各个子网做一个具有一定功能的监听程序,为网络管理人员分析自己的网络运作状态提供依据。
2.4 网络病毒的防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。这需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。
计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
随着计算机网络技术的飞跃发展,计算机网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,建立网络安全体系,需要国家政策和法规的支持研究开发,重视对计算机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统。
参考文献:
[1]赵国福.浅议计算机网络安全[J].中国新技术新产品,2009,4(7).
[2]吴诗豪.计算机网络安全性研究[J].管理观察,2009,5(10):69?69.
[3]李晓明.浅谈计算机网络安全与防范方法[J].科技资讯,2008,10(30):1919
网络运行安全范文3
关键词:分校区;VPN;专用网络
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2012) 08-0000-02
一、引言
随着信息化技术的飞速发展,互联网尤其是大学校园网络的应用已经渗透在我们生活的每个角落里。校园网的服务质量尤其安全状况方面的好坏将直接影响学校正常的教学活动。但是近年来大学高校不断扩招,高校合并、分校区设立、新校区建设等情况在高校中比比皆是。现有的公共互联网不但带宽无法保障,学校信息资源的安全也受到了极大的威胁,因此如何保障各个校区安全、高效的共享校园资源,已成为校园网络亟待解决的问题。VPN技术的出现,大大改善了校园网这一尴尬的局面,VPN技术是通过改造现有互联网,实现了不同校区既安全又高效的共享信息资源[1]。
二、VPN技术
VPN(Virtual Private Network)即虚拟专用网,是在公共互联网中为客户搭建专有网络的一种技术[2]。相对于物理存在的专有网络而言,它是在公共Internet中,通过对网络数据进行加密传输,实现了逻辑上存在的一个私有网络。
(一)VPN接入技术的分类
目前VPN安全接入组网技术主要分为以下三种,即L2TR/PPTP VPN、IPSec VPN、SSL VPN[3]。这三种接入方式所处的网络协议层次不同,所注重的侧重点不同。在实际运用中,需要根据自己的应用环境来选择不同的接入技术,以此达到事半功倍的效果。
1.L2TR/PPTP VPN
L2TR/PPTP VPN属于二层VPN技术。用户一般不需要自己安装该客户端软件,因为目前L2TR/PPTP VPN客户端软件一般都已经建成在主流的windows操作系统中了,大大方便了用户的使用。但是该软件的加密和认证手段都相对简单,面对安全性要求较高的应用环境,其安全系数低的缺陷就凸显了出来,因此它仅适用于安全性要求一般的应用环境。
2.IPSec VPN
IPSec VPN属于三次VPN技术,对于应用层来说是透明的。当接收到数据包后,IPSec VPN通过查询SPD即安全策略数据库来决定对数据包的处理。根据查询结果,不仅可以对数据包丢弃或者转发,还可以对数据包进行IPSec处理,数据包的IPSec处理大大增加了网络数据的安全性。同时其安全性的提升,是以增加网络协议复杂度为代价,用户的计算机上需要安装单独的IPSec VPN软件,这将对客户端造成一定的不便。
3.SSL VPN
SSL VPN属于协议的最上层即应用层VPN技术,SSL VPN技术的安全性主要是通过SSL协议来保证的。现有的浏览器都已经支持SSL协议,用户只需要安装浏览器就可以实现SSL VPN的应用,其部署简单、高效。但是在日常生活中,浏览器并不能支持所有的应用,因此在非WEB应用情况下,用户同样需要安装专门的客户端软件。
(二)VPN的关键技术
VPN是近年来在网络安全方面发展较快的一项高效应用技术,它拥有横跨加密技术、数学理论、互联网技术等多学科领域的特点,其中最核心的关键技术包括:隧道技术、加密技术、认证技术[4]。
1.隧道技术
隧道技术是VPN功能实现中最基本的技术。它是将待传输的数据信息加密、封装后嵌入在公共互联网协议中,以实现信息数据的有效传输的一种技术。隧道技术可以将加密、封装后的信息嵌入在开放性的通行系统互连参考模型的任何一层协议中,例如:应用层VPN协议即SSL VPN、网络层VPN协议即IPSec VPN、数据链路层VPN协议即L2TR/PPTP VPN。
2.加密技术
VPN是在公共互联网上建立私有网络,在公共网络中不法分子可以通过一定技术得到这些信息,为了防止信息数据被不法分子获取或者篡改,对原始信息进行加密处理显得尤为重要。信息加密技术随着互联网的发展已经非常的成熟,可以借鉴现有成熟的加密技术即可。在VPN解决方案中比较普遍使用的加密算法有DES、3DES、RSA、Diffe-Hell-man等算法。
3.认证技术
VPN作为一个单位内的私有专用网络,在信息传输过程中,不仅要对信息的安全性、完整性认证,更需要对网络上的用户和设备进行认证。目前对使用者的身份认证方法非常多,仅仅使用用户ID、密码的验证方式还远远不能提供足够的安全保障,还可以综合利用数字认证、数字签名、动态口令等方法进行安全认证。
(三)VPN的优点
VPN作为一种虚拟专用网络,与传统的物理专用网络相比,有以下几方面的优点:
1.成本低
传统的物理专用网络需要点对点的部署专用物理线路,如需要铺设光纤、中转器等网络设备,但是VPN技术是在现实互联网的基础上,通过建立安全隧道,完成信息专线传输的。在信息传输过程中,不需要特殊的点对点物理网络,仅公共网络即可实现,大大减少了运行成本;
2.可扩展性强
如果学校有了新的分校或需要与其他高校实现信息资源共享时,在校园网中必然需要增加新的网络节点,相对于传统专用网络,VPN只需要简单的设置、部署即可完成扩展工作,其扩展性是传统专用网络所不具备的。
3.安全性强
VPN在发送端利用隧道技术对原始数据进行加密、封装;在传输过程中对数据采用加解密技术处理;在接收端对用户身份进行认证处理。信息数据在通过以上几个环节的处理,不仅实现了信息的专用传输,而且加强了信息数据传输的安全性。
三、VPN在分布式校园网络中应用
近年来,大学高校在不断扩招、快速发展的背景下,已经形成了一所高校、多个分校区、地域分散的特点。在多个校区里,无论是信息资源共享还是管理方面都必须满足统一性、高效性的要求。为了实现这一要求,必然导致跨地域分布校园网络的信息交换呈现以下几个特点:
(1)信息交换量大,不同地域的校园网需要实现共享信息资源、统一管理平台等要求,相对于互联网而言,校园网内信息的交换量十分庞大;
(2)信息交换频率高,例如在校园内需要对校园某一活动进行投票,则在该时段内,信息交换的频率必然非常高;
(3)信息安全性强,在校园内经常会传输一些性较强的信息,例如校园财务管理、图书馆数据库信息、校园学生基本信息等方面,都需要保证其安全性;
可见,校园网必须满足网络架构分布式、信息传输高效性以及数据的安全性;然而一方面学校经费有限,另一方面各个校区地域分布较远,甚至很多分校都不在同一个城市,如果按照传统的方法来搭建专用网络,学校需要铺设专用的光纤线路和其他设备,显然在运行成本和效率方面都不理想。本文通过分析VPN技术的特点及其优点,并结合现高校校园网络实际存在的问题,笔者认为,VPN技术不仅可以高效的解决以上问题,同时还可以提供以下几方面的应用:
(一)校区互联
针对高校存在的一所高校、多个分校区、地域分散的特点,可以将每所分校的子网络通过VPN技术专线连接在一起,实现各个校区资源共享、管理统一,不仅大大提高了工作、学习、管理效率,而且不需要铺设专门的网络线路,大大减少了运行管理成本。
(二)移动办公
在高校学术交流越来越频繁的背景下,学生、老师外出交流、学习的机会将越来越多,VPN技术可以保证外出校内人员,可以在其他地域共享校内丰富的信息资源。从而实现传统物理专用网络所不能提供的功能,提高他们的工作、学习效率。
(三)校际交流
在高校经费有限的背景下,要获取更多的信息资源,多个高校实现信息资源共享,无疑是最经济、最有效的办法。但是对处于不同城市的高校来说,铺设专用的网络线路对高校来说,显然是不可能的。然而VPN技术仅需要简单的部署即可完成上述效果,既经济又高效。
四、结论
针对高校多分校区、地域分散的特点,笔者通过VPN接入技术的分类、关键技术及其优点等方面详细论述了VPN技术,并总结了分布式校园网络中,信息交换所呈现的一些特点,最后提出利用VPN技术,实现安全、高效的数据传输,并将其运用在高校内部网络的各种方面。
参考文献:
[1]郭小辉.高校多校区教学资源的整合与利用初探[J].重庆科技学院学报;社会科学版,2009,5:197-198
[2]王子悦.多校区大学教育管理体系研究[D].天津师范大学学报,2009
网络运行安全范文4
关键词:非线性编辑网络;网络管理;安全对策
随着IT业的迅猛发展,非线性编辑网络已成为电视台节目后期制作的主流方式。一套好的非编网络,必须保证在任何时刻都能够稳定安全地运行,满足电视台节目制作的要求, 因此,如何能有效减少非编网络系统的故障率,保障其安全运行就成为一项非常重要的工作。下面根据工作实践, 谈一下非线性编辑网络的安全运行对策。
1 非编网络的结构
中小电视台出于经济方面的考虑,大多采用FC网(Fiber Channe1)+以太网(Ethemet)共存互补的结构。以FC网为主、以太网为辅的双网并行网络方案,方面可解决FC网的带宽和写权的限制问题,另一方面可节约大量的站点接人费用,是一种低成本的非线性编辑组网方案,如图1所示。
■
图1 非编网结构示意图
非线性编辑网络集编辑、采集、特技、字幕、音频处理、合成、串编、审片等为一体, 实现了全台资源共享有效提高了工作效率,其部分组成主要有以下功能:
1.1 数据库服务器上建有数据库,集中了用户的路径、权限、空间、采集参数等数据,是非编网络的核心之一。
1.2 磁盘阵列作为网络中心存储体,拥有大容量和高速度,用来存储节目和素材文件,供网内站点共享使用。
1.3 MDC服务器是光纤通道的文件管理服务器。
1.4 有卡工作站是指安装有视音频处理卡的高配置计算机, 主要用于素材的上下载和节目的精编。
1.5 无卡工作站上没有视音频处理卡,配置相对较低,可以实现粗编、配音、字幕、串编、 审片等功能。
2 非编网络的安全运行对策
2.1 合理划分用户权限
严格各个用户权限控制,如果不通过授权,一用户对另一用户的数据无法进行任何操作。禁止用户以任何方式及路径访问系统文件, 他能够享用的网络资源仅仅只是属于他的编辑软件、路径、硬盘,这样才能保证整个网络系统安全稳定地运行。
2.2 合理分配网络资源和设备
2.2.1 使用设备的限制:用户只能使用网络上的指定设备。此项功能可以合理地调度设备,加强设备的使用管理。
2.2.2使用时间的限制:用户只能在预约的时间范围内使用网络设备。此项功能可以合理安排用户的使用时间,提高网络的使用效率。
2.3 节目素材的严格管理
在节目制作中,往往有大量的素材占据着磁盘,会直接影响到磁盘空间的利用,严重时会出现录入新素材或节目生成时空间不足,进而影响整个系统的操作效率。这样,就必须对素材进行严格管理,根据工作需要,设定了用户素材保留时间,超过该时间的素材将有红色 删除标志,提示用户该素材已过期,应尽快整理后删除。
2.4 备份、应急方案
电视台节目具有时效性强的特点,网络一旦发生故障,要求能够快速处理解决,保证节目正常播出,因此,备份和应急措施必不可少。
2.4.1 设备备份
上下载设备之间、软编工作站之间,由于软硬件配置相同,可相互备份。在网络规划与设计时,各服务器之间作了备份。
2.4.2 数据备份
为了保证网络数据的安全,各服务器的磁盘配置信息需定期进行人工备份。非线性编辑系统设置了每 3分钟自动备份功能。
2.4.3 软件备份
对于一些专用系统管理软件,像Fc管理软件、网络管理软件、数据管理软件等,都分别安装于两台服务器上,其中一台用于备份。
2.4.4 应急方案
对所有固定栏目和新闻片头、宇幕在本地硬盘中进行备份,对每天的新闻条目完成一条备份一条,一旦发生故障,立即启动应急方案,单机完成节目串编工作,确保节目准点、安全播出。
2.5 尽量避免外来因素对非编网络的影响
所谓外来因素是指用户的误操作、在非线性编辑系统上安装或使用其他软件、计算机病毒以及人为的蓄意破坏。针对这些外来因素,我们主要采取以下措施:
2.5.1将非线性网络独立出来,不与任何其他网络相连。去掉软盘及光盘驱动器。有时工作需要在网络之间交换信息时,规定所有信息都必须经过防火墙,接受防火墙的检查。
2.5.2 禁止DOS或其他操作系统访问服务器;在服务器上设置系统启动口令,设置BIOS禁用软盘引导系统;不创建任何DOS分区。
2.5.3 不允许用户或其他人员使用与工作无关的软件。
2.5.4 加强对管理员权限的管理,除网络管理员外不能有任何人知道管理员口令, 并做到经常性地更换口令。
3 非编网络硬件平台的安全管理
3.1 选择性能稳定的服务器和软件容错技术提高网络的可靠性
服务器是整个网络的中心,是控制光纤网和以太网并行工作的核心,所以对服务器稳定性的要求应该是第一位的, 而对其性能的要求应该考虑那些已经被 证明是很成熟的且满足工作需求的服务器设备,而不是市场上最新的服务器。服务器系统盘应该有备份,可以在服务器操作系统崩溃时迅速恢复工作。大容量硬盘存储阵列设备存储着素材、成片及一些相关资料,是由多块硬盘组成的阵列,其中任何一块硬盘出现问题都可能导致大量的数据丢失,所以大容量硬盘存储阵列设备应该具备纠错的功能,在众多的纠错技术中,比较成熟和流行的是RAID(Redundant Array Independent Disk)容错技术,它是保护和管理数据资料的有效解决方法之一,并可以加快访问硬盘驱动器的速度,我们采用的是RAID5技术。
3.2 提供良好的机房运行环境
机房环境主要包括4个方面因素:温度、湿度、灰尘和电压。温度过高会使部件来不及散热而缩短寿命,甚至可能毁坏;温度过低则会出现水汽、结露;湿度过大容易出现氧化和发霉,湿度过小则容易积累静电,危害设备;灰尘长期累积在设备内部元件上后,会导致散热不利,使计算机变得不稳定,甚至死机频频,如果形成污垢后受潮,则可能会引起局部短路,损坏元件;电压不稳会导致计算机死机、重启、甚至毁坏板卡等硬件,而突然的断电上电,可能直接冲坏设备。
为给设备提供一个良好的运行环境,我们采取了一些措施:调整空调,使机房温度控制在22℃左右、湿度控制在50%左右,进人机房必须换拖鞋,不准携带杂物进入机房,定期打扫机房卫生,定期对设备外部和内部进行除尘,配备了UPS电源保证供电安全不问断。
3.3 网络线缆管理
在网络结构中,以太通道和光纤通道组成了整个信息通路,加上视音频信号线、控制线及大量的电气线缆,整个网络就是一个线缆的世界。在施工时,线缆的接口、弯曲半径、牵引力大小、各线缆之间最小净距离等一定要符合施工要求,在布放线缆时应有冗余,两端应贴有标签,标明起始和终端的位置,用于维护时方便查找,把安全隐患减低到最少。
3.4 做好信息归档和网络监控
3.4.1 主要是5类信息归档:设备档案、网络拓扑图和机房走线图、参数设置和更改记录、故障记录、网管日志等,便于以后参考和总结分析。
3.4.2 网络监控包括用户状态监控、网络状态监控和设备状态监控。
3.5 日常检查和定期整理相结合
网管每日对设备和网络的各个环节进行巡视检查,观察并记录运行情况,发现异常要做好应急处理准备。定期对网络和设备进行检查测试整理,优化设置,使网络和设备能以较好性能运转。进行针对性的学习交流,就前一阶段的网络运行情况、设备故障、处理方法、个人经验、一些有益尝试、改进建议等进行讨论总结,形成共识。
4 结束语
非编网络安全、稳定、良好的性能永远是我们追求的目标,但网络的安全是相对的,我们必须本着求真务实的工作态度,随时调整安全应对对策,才能有效保障非编网络的高效率运转。
参考文献:
[1] 戚文静.网络安全原理与应用[M].北京:水利水电出版社,2005.
[2] 王志军.媒体非线性编辑技术[M].北京:高等教育出版社,2005.
网络运行安全范文5
关键词:交通运输;态势感知;网络安全;入侵检测
中图分类号:U111 文献标识码:A 文章编号:1006―7973(2017)06-0026-02
在四一九网络安全和信息化工作座谈会上提出“要以信息化推进国家治理体系和治理能力现代化,统筹发展电子政务,构建一体化在线服务平台,分级分类推进新型智慧城市建设,打通信息壁垒,构建全国信息资源共享体系,利用信息化手段感知社会态势、畅通沟通渠道、辅助科学建设”,2016年12月27日,国务院全文刊发了《“十三五”国家信息化规划》“十大任务”中的最后一项,健全网络安全保障体系,提出“全天候全方位感知网络安全态势”,再次强调了态势感知的重要性。
交通运输行业是国家经济社会发展的先行官,在交通运输发展方面具有极其重要的作用。而交通信息化的发展对国家的战略实施、行业及现代化治理方面具有关键的辅助作用。面对“十三五”期新形势、新要求,“要以国家信息化战略为引领,强化信息化顶层设计,实现行业重要信息系统的互联互通;要结合行业转型升级发展要求,推进信息技术与行业管理和服务的深度融合;要大力促进大数据发展应用,深化政府与企业间合作,共同打造交通信息服务产业新生态;要加强新技术应用,强化网络与信息安全保障体系建设。”
1 国内互联网安全背景
目前国内的信息化水平迅速提高,为了跟上时代的步伐,传统行业迅速转型,导致信息化的消费也在逐年提高。为了保证信息化水平继续逐年稳步提高,则必须有充分的网络安全防护作为保障。2013年以来,我国互联网安全的整体态势主要表现在三个方面:一是网络总体情况比较稳定,但类似于域名系统等薄弱环节仍然需要改进,无法对拒绝服务攻击和安全漏洞进行有效的防御。二是移动互联网快速发展,导致移动互联网的恶意APP迅速增多,生态污染问题亟待解决。三是来自病毒、蠕虫、木马和僵尸的威胁,频繁的恶意程序传播活动将使用户上网面临的感染恶意程序风险加大。
近年来,根据国家互联网应急中心的安全数据分析,web端的安全形势同样令人堪忧。公家互联网安装状况报告年报显示,政府网站、金融行业、媒体、旅游以及网上交易网站最容易遭受不法分子攻击,而安全漏洞往往是实施攻击的必要条件。不法分子通过入侵网站违规信息,首先会导致政府在公众面前的形象遭受损失,更重要的是政治风险无法避免。
2 交通运输行业信息安全体系构建
网络安全监测预警项目正是基于“监测+响应”的理念进行功能设计的,能够全面、有效、及时的向各单位提供安全预警和应急服务。交通运输行业信息化建设发展是以行业信息化重点工程和示范试点工程为依托,努力实现交通运输信息化的上下贯通、左右连通和内外融通,促进现代综合交通运输体系发展。交通运输行业有很多重要的大型数据网络平台如路网监测、救助信息、运营管理、物联网监控、智能交通管控等,这些大型网络数据平台的安全运维是关系到行业稳定发展和国计民生的重要环节,必须保障其安全稳定。
因此,必须利用先进的网络安全态势感知策略积极构建行业信息安全体系,通过“防护+监测+响应”来全方位保障网络平台安全已经成为必行趋势。本文就行业搭建态势感知网络平台相关的内容进行了系统分析,对其主要技术架构建议如下:
2.1 建设目标及原则
(1)建设目标。首先需要对网络的骨干节点进行实时监测,一旦发现恶意的入侵行为或者木马、蠕虫等病毒传播,系统需要立即发出警报并推送给用户;在系统未遭受攻击时,可以对系统进行安全漏洞扫描,一旦发现薄弱环节,同样需要推送给用户。随着系统的不断完善,可以对多个重点系统进行完善的保护,确保入侵行为无法奏效;同时需要对已经阻止的入侵行为进行分析,收集并整理出易受攻击的时间段及系统,有策略的加强局部安全防护。通过态势感知系统的布置,可以对入侵行为进行有效的防护并对网络的整体安全状况有充分的了解、为今后的信息安全策略提供有效的基础性依据。
(2)建设原则。一是系统完整性原则,一旦安全体系建设不完整,致使不法分子有可乘之机,导致前功尽弃。二是系统实用性原则,确保系统的有效性及可用性。三是安全目标与效率、投入之间的平衡原则。四是系统动态发展原则,安全防范体系的建设必须不断完善和升级发展。五是利旧原则,尽量通过采集已有设备数据信息完成态势分析。
2.2 架构总览
系统分为分析交互、大数据分析和数据采集三层。如下图1所示:
(1) 数据采集层。使用部署在网络骨干的引擎,监控Web服务系统的漏洞、安全事件、系统配置问题、木马、病毒等安全威胁,并对威胁进行采集收集。数据采集模块采集到的各类数据可以划分为两种类型,第一种为高频数据,也称大数据,通过高速数据总线收集,其主要特点为高速、海量、异构,大数据主要包含性能及系统状态数据,此外还包括日志、事件、流数据等;第二种为低频数据,通过低频数据总线进行采集,低频数据主要包括配置信息、资产信息、漏洞信息、人员信息和威胁情报等。
除此之外,数据类型还可以根据采集位置区分,一种是采集于内网的内部数据,通常包含网络安全数据、员工审计信息、漏洞信息等,另一种数据采集与互联网出口,称之为外部数据,一般包含外部威胁等信息。
(2)大数据处理层。该模块可以Σ杉到的海量数据进行系统的分类,将其转换为有结构的大数据集。对于不能转换为结构化的数据需要添加相应的索引,最终将两种数据储存起来以便分析交互层进行分析。
(3)分析交互层。分析交互成主要由五个模块组成,分别为安全监测、态势分析、漏洞预警、事件跟踪及知识情报模块。可以对采集数据进行科学系统的分析,最终转换为有价值的信息。①安全监测。安全监测模块对系统整体的安全防护起到支撑作用,可以对网络上的重点系统、重点人员及重点目标进行专项监测。于此同时还可以对网络及系统的状况进行整体监测,如web篡改、病毒入侵、流量告警等威胁信息。该模块不仅可以对外部系统威胁信息进行监测,如果有内部组织或人员对外部网络进行攻击,同样可以进行监测并警告。同时,系统还具有智能过滤功能,对不重要的入侵及攻击事件进行过滤筛选,以便减轻服务器及维护人员的负担。模块最终分析形成的分析报表可以对一定时间段内的安全事件进行对比分析,可以让使用者对系统安全进行直观的了解。②态势分析。态势分析模块包含两大方面,第一是宏观分析,可以从宏观方面分析整互联网总体信息安全状态,对整个网络的安全威胁进行宏观展示;第二是微观分析,可以对重点系统及人员进行详尽的分析,并展示重点目标的威胁态势和web安全态势等。③漏洞预警。漏洞预警模块通过对系统数据全面的检测,可以提前发现系统存在的各种弱点,包括各类网页及配置漏洞,发现漏洞以后可以提前预警并协助用户对漏洞进行防护,对可能遭受的威胁进行提前感知。④事件分析。事件分析模块可以对已发生的安全事件进行汇总并分析,协助使用者找出重点威胁事件、重点对象及攻击源头。分析方法通常为异常服务分析、攻击者分析和三元组分析。其中三元组分析是通过对攻击事件的源IP、目的IP和事件行为进行统计分析。同时,系统应当支持分析提供异常服务和参与对外攻击的主机,支持分析挖掘疑似攻击人员相关信息。
3 结语
综上所述,应用态势感知理念搭建起来的安全架构具有提前预知入侵、降低入侵危害等特性,行业内各大型数据网络平台和管理单位可以结合自身情况搭建与之相适应的态势感知系统来应对可能面临的入侵威胁,确保网络及信息系统平稳运行,努力实现行业和国家《“十三五”国家信息化规划》的宏伟目标。
参考文献:
[1]刘旭东.关于网络安全趋势态势感知的预警技术分析[J].科技创业月刊,2016,(29)
[2]彭毅.基于多传感的网络安全态势感知系统框架结构[J]网络安全技术与应用,2016,(12)
[3]张翼鹏.分析网络安全态势感知系统结构[J].通讯世界,2017,(1)
网络运行安全范文6
信息技术被广泛地在应用领域得以应用,给人们的生产生活带来诸多的便利。电力企业引入信息技术后,在电力运行和调度方面实现了自动化、网络化管理。特别是电力网络规模化发展而扩大了电能供应面,自动化技术的应用程度也相对提高,这就需要发挥电力调度的作用以对电力系统进行有效地调节控制。
一、电力调度自动化网络安全防护系统所发挥的功能
(一)电力调度自动化网络安全防护系统对电网运行发挥着实时监控的功能
电力调度自动化网络安全防护系统运行中,其所发挥的功能就是对电网运行状况进行监控,包括电网运行中所产生的各项指标,电压、频率、电负荷以及所产生的潮流调度,都要进行实时监控。此外,还要对电网运行中所产生工况指标进行调度,诸如主要设备安装的位置、水能变化情况和热能变化情况调度,都要对相关数据充分掌握,以使电网按照规定运行,确保电能用户能够安全用电、计划用电。
(二)电网运行中所产生可以用于分析电网运行安装状况
在电力系统运行的过程中,电网运行的安全性至关重要。如果电网设计中没有充分考虑到安全问题,就必然会在安全管理中存在漏洞。当电网处于运行状态的时候,就会受到诸多因素的影响而导致电网运行故障出现。电网的构建需要多种技术,加之电网规模化扩展,使得运行中所存在的故障问题也日趋复杂化。如果没有对电网运行实施有效的监督控制,并采取有效的调度措施,就难以对故障原因准确定位。要提高电网运行质量,就要将电力调度自动化网络安全防护系统构建起来,该系统不仅对电网的运行状况实时监控,而且还可以及时发现潜在故障,并对可能发生的电网故障进行准确预测,并自动启动防护措施,由此而大大地降低了电网故障率。
二、电力调度自动化网络安全防护系统所存在的网络安全问题
(一)电力调度自动化网络安全防护系统内部结构复杂
电力调度自动化网络安全防护系统是根据电网运行需要而不断完善的。信息技术不断升级,通信技术更新换代的速度非常快,加系统规划的滞后性,使得电力调度自动化网络安全防护系统的构建没有及时优化,导致内部结构复杂化。目前电力调度自动化系统无法发挥预期功能,其中的一个主要原因就是网络结构不规范的结果,使得系统运行中无法达到要求,包括账号口令问题、安全管理问题、在岗位授权的设置上缺乏安全性,使得网络安全管理的难度增加。
(二)电力调度自动化网络安全防护系统的网络安全管理不到位
电力调度自动化网络安全防护系统运行中,网络安全管理不到位主要在于电力企业运行局域网实施企业内部管理,同时还运行互联网以保持企业与外界之间的沟通。但是,对于局域网和互联网并没有做好分区和隔离工作,当网络运行中没有实施必要的防御措施而容易受到外部不良攻击。这种安全管理不到位的问题存在,就必然会存在各种网络管理问题,而使得网络系统运行困难。如果没有建立行之有效的防御体系,就会由于网络管理存在安全问题而导致网络运行瘫痪。
三、电力调度自动化网络安全防护系统的设计
(一)电力调度自动化网络安全防护系统所发挥的功能
电力调度自动化网络安全防护系统的作用是确保电力调度自动化运行,且运行效率有所提高。以网络为载体进行电力调度自动化防护系统运行,是将电网信息源充分利用起来,原有的数据信息经过转换,成为可以利用的数字信息,在电网的运行环境下集成数据信息并实现信息共享。在电网设备将数据信息进行模拟数字化转换中,防护系统要确保电网处于持续的高质量运行状态,就需要电网具有一定的决策能力,并能够针对所获得的数据进行分析,包括数据信息的采集、运行的监督控制,以及对电网运行的规划和相关的维护工作都需要综合性运行数字信息完成运行、调度、检测、优化,同时针对运行故障问题还会发出预警功能,并对运行故障以识别,对故障进行分析并相关技术处理工作。随着各项工作的展开并协调运行,使得电力调度自动化网络安全防护系统建立起来。
(二)电力调度自动化网络安全防护系统的构建
从电力调度自动化网络安全防护系统的构成情况来看,主要包括4个部分,即电力系统的主站、管理控制中心、信息资讯通道和电力系统的厂站等等。要使电力调度自动化网络安全防护系统能够发挥其功能性,就需要对系统进行划分,主要包括信息采集系统、信息分析和处理的执行系统、信息传输系统、信息处理系统以及人机互联系统。
电力调度自动化网络安全防护系统在具体运行中,各个系统都发挥着各自的功能,其中,信息采集系统以及信息分析和处理的执行系统所发挥的功能并不局限于数据信息的采集、分析和处理,还要对电力系统主站的运行情况以明确,接收到调度中心的指令之后,就开始传递和接收信息,根据指令执行各项操作,并管理系统运行中所产生的各种信息。
信息传输系统,就是要求电力调度自动化网络安全防护系统的主体要发挥沟通功能,将各站的信息建立起联系,进行信息传递,以使各项操作按照信息指令执行,实现和采集目标。
在整个的电力调度自动化网络安全防护中,是以自动化技术为核心进行信息处理的系统,数据信息的采集、分析和运算操作都是通过操作计算机软件来完成的,根据计算结果将控制指令出来,使得自动化控制功能得以实现。
在电力调度自动化网络安全防护中,人机互联系统发挥着辅的作用,系统运行中,统筹管理调度信息,并对所获得的调度信息进行加工、汇总、综合性分析之后,填写相关报表,将填写好数据信息的报表打印出来。调度管理人员根据报表上所显示的数据信息,就可以充分掌握电网运行装填,并调整调度管理。
四、电力调度自动化网络安全防护系统的应用
电力调度自动化网络安全防护系统由电力调度管理控制中心的主站设施、电力通信设施、厂站监督控制管理体系等等构成,通过操作计算机软件对系统的程序实施管理。具体运行中,各项工作按照规范的程序进行,包括采集数据信息、对数据信息进行分析和处置、将数据信息传输到主站体系,同时向分站同步命令发挥有效的控制作用。
为了使电力调度自动化网络安全防护系统的管理性能充分地发挥出来,就要在进行系统设计的时候采用以太网结构,网络连接中,包括RJ-45插座的连接,主机工作站、网络服务器、前置机都要连接在网络集线器(HUB)上面。前置机设置有多口智能接口,可以根据需要将双机切换柜与前置机连接。在前置机与MODEM连接的时候,采用一对一的相连方式,以提高电力调度自动化网络安全防护系统的运行可靠性。
电力调度自动化网络安全防护系统体现为系统网络实现,而且运行中,FDDI、EtherNet、ATM都可以使用,网络运行具有形式多样性。此外,电力调度自动化网络安全防护系统还实现了组合式运行方式,包括高速网速和低速网速的组合、单网和多网的组合等等。电力调度自动化网络安全防护系统的网络接口设计为通用接口,可以与其他系统的标准接口连接。网络运行中,网络冗余热备份可以使得正负两个网络通道交替使用,即如果一个网络通道出现故障而需要停止运行,或者强制性停止运行,另一个备份网络通道就可以启用,由此而保证了数据信息有效传输,而不会由于通道故障问题而影响到系统正常运行。电力调度自动化网络安全防护系统所发挥的主要功能是自动化调度功能,不仅使得上下机调度网络化展开,而且在数据传输的过程中,还能够发挥远程调试功能。
