购物车(0) 期刊中心 科普订阅 范文中心
400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 网络安全的构建范文

网络安全的构建精选(九篇)

网络安全的构建

第1篇:网络安全的构建范文

【关键词】神经网络;计算机网络;安全评价

1引言

计算机网络技术已经逐渐发展成为广泛应用于人们日常生产生活的重要技术,而在实际的使用过程中,却难免要遇到安全隐患,例如黑客的入侵、安全漏洞和病毒传播等。在计算机网络安全的评价体系中,神经网络的应用以其能够形成非线性自适应动态系统的特点,迅速适应网络环境,进而实现对信息的运算、识别和控制功能,提高了计算机的工作效率和安全性。

2计算机网络安全的概念

计算机的网络安全,主要指的是针对网络信息浏览和操作等过程中的安全管理,以达到提高网络信息保密性、安全性的目的,维护使用者的合法权益,最终实现整个网络的顺利运行。我国当前的计算机网络安全问题通常涉及到信息安全、计算机网络技术等多个方面,而伴随计算机网络的日益普及,其网络信息的安全问题更加为人们所重视。例如,对于企业而言,其日常经营活动中往往会运用到计算机网络,因此要求网络必须具备核心技术,对企业信息实施保护和保密,维护重要内部信息的安全性,从而维护企业利益。即便是个人在使用计算机网络时,也同样需要网络对个人信息实施控制与保护,防止泄漏或被不法分子盗取,损害人民的权益和实际利益。

3神经网络概述

3.1概念

所谓神经网络,其模型建立的基础,是人体脑部的信息处理模式作为参考,然后运用数学模型,模拟生物的神经元、脑细胞结构,以及其生理特征,最终模拟获得该神经网络模型。此后,计算机专家则以此模型为基础,添加入编制好的学习机制,然后将其应用到实际工程中,最终开发出了感知器神经网络模型。该模型具备了声纳波的识别功能,可用于探测潜艇位置等实践中。经过进一步的深入研究,相关研究人员在其中运用了映射拓扑性质,在计算机的基础之上建立了映射自组织网络模型;继而通过分析研究生物自组织神经网络,确定神经网络模的实质,获得一组微分非线性方程,然后将神经网络应用于实际,最终形成了神经网络的系统性科学研究,例如具有一定代表性的BP神经网络。

3.2神经网络的优越性

神经网络建立的基础是生物大脑结构和工作原理,因而属于人工智能系统,该系统基于计算机网络内部大量节点的关系分析,发挥出方面优越的应用性能,主要包括以下方面:

3.2.1自学功能

神经网络系统能够进行自我学习,通过自动识别正在输入的信息,自行为操作者总结相关的规律,进而形成联想的模式。其优势即在于这种对于信息的识别能力,使系统能够在之后的工作中,进行独立自动运作,从而缩短操作人员的工作时间。现有计算机神经网络系统,甚至能够实现高于联想模式的预测功能,应用于证券市场中,系统可以基于对当前股市证券、市场经济和企业现状的研究分析,预测其未来的效益,从而企业未来的良性发展,提供了有力的智能支持。

3.2.2优化系统

神经网络同时还具备了自我优化的能力,可以自行提高计算机运转能力,同时帮助操作用户,针对某些问题提出解决方案。基于此,神经网络系统被建议应用于计算机的网络安全评价中,以发挥其自身的优越性能。

4计算机网络安全评价中神经网络的应用

4.1计算机网络安全评价体系的构建

4.1.1构建神经网络体系的必要性

基于神经网络的计算机网络安全评价保护是多元化的,由于其对于环境的适应力较强,因而能够迅速适应周围状况,并对自身进行调整,以降低误差。另外,神经网络的自我训练使其能够在计算机网络安全评价的体系中,实现自我总结和完善。此外,神经网络还具备了良好的容错性,对于一些不完整信息、噪声等并不敏感,因而在网络节点出现问题时,不会对神经网络的整体保护产生影响。且神经网络在进行自我训练之后,能够将正常的工作效率提升至常规的4~5倍。加上神经网络对于结果的获取高效快捷,因此更加便于使用,其各方面的设置也更加人性化。

4.1.2安全评价体系构成指标

计算机网络安全的一级评价,其中的指标通常包括:管理安全、物理安全以及逻辑安全,具体如下:①管理安全评价指标时二级指标,分别为安全组织体系、安全管理制度、人员安全培训以及应急响应机制;②物理安全评价指标为二级指标,包括防电磁泄漏措施、供电线路、网络机房、容错冗余以及设备安全;③逻辑安全评价指标同样是二级指标,包括数据的备份、恢复,访问的控制、软件安全、防病毒措施、系统审计、数字签名、数据加密以及入侵防范。

4.2实现评价指标的标准化

不同的评价指标集,对于影响因素的描述也存在差异,因此需要在实施定量、定性评价时有所侧重。此外,应当合理运用科学的方法,对计算机的网络安全情况作出反应,因而一定程度上影响了指标的客观对比。因此,必须保持客观的态度,对评价指标的取值规则进行调整,以实现指标的标准化。在定量指标评价时,相关工作人员应当结合计算机网络系统的实际运行状况,对其进行客观评价与取值,进行科学的分析。此外,对于不同的评价指标,应当使用不同的衡量单位,有所侧重地进行标准化处理,将取值固定到一定范围内,通常在0~1之间。而为了实现定性指标评价,则通常会采用打分的方式来客观评价计算机的网络系统机型,定性指标评价标准化。

4.3基于神经网络的计算机网络安全评价构建

4.3.1服务器维护机制规范化构建

构建计算机网络安全评价体系,其首要的任务和硬件维护的关键,即在于服务器维护。在构建服务器维护机制规范化的过程中,应当注意避免不当服务器所可能造成的伤害,要求操作人员时刻警醒,保证及时清除网卡冗余,调整服务器的荷载,以维持服务器的平衡与稳定。

4.3.2云主机的建立

以神经网络为基础建立的计算机网络安全评价体系,需要快速打造安全云主机,用以集成包括了云锁服务安全软件的所有安全防护体系,从而达到突破传统服务器安防理念,实现对于用户的实时安全服务效果。因此,构建过程中需要在云主机中使用很多快捷自动安装软件,如MYSQL、PHP、ASP等。这些软件的共同点在于均适用于对网站数据库的实时管控、对于站点信息的实时监控,以及对于计算机各种软件温度进行的调节,和WebShell病毒查杀功能。如今的计算机网络安全系统已经首创了以C/S的神经网络架构为基础的应用体系,实现了计算机端和服务器之间的远程访问与控制功能,从而提升了计算机网络对于木马、病毒和恶意代码、恶意攻击等危害的防御能力,起到保护计算机服务器与网站安全的作用。

4.3.3安全管理和服务体系的建立

基于神经网络建立起来的计算机网络安全评价体系,其作用即在于在进行安全评价时,管理人员能够提供与评价标准判定相对应的具体内容、实施范围等信息,然后针对计算机安全状况、信息技术的关键点,实施研究与分析,运用评价方法测算其安全等级。计算机网络的安全级别评价,可以按照以下公式生成评价因子,基于神经网络的计算机网络安全评价级别公式如下:f=(x1,x2,x3……,xi……xm)式中:xi-计算机网络安全评价中最主要的评价因子;f-计算机网络安全评价模型主体。管理人员应当结合实际,为计算机系统选取正确的评价模型主体与安全等级,进而依据系统要求,对神经网络安全管理体系采取必要的优化措施,以做到有备无患。

4.4建立并完善评价结果评语集

基于计算机网络安全评价指标特征,可建立评价结果评语集,按照网络安全等级差异,将该评语集划分为四个集合:①第一等集合设置为“安全”;②第二等集合设置为“较为安全”;③第三等集合设置为“不安全”;④最后一个等集合则设置为“很不安全”。此外,还可以对这些集合附以说明,从而有效地位计算机使用者提供便捷的方式,来了解计算机网络安全状况,提供良。

5结语

神经网络技术在计算机网络安全评价中的应用,实现了评价体系的自动抽提功能,体现出了外推性、容错性、适应性等优势,满足了计算机网络的在线实用性要求,在有效提高计算机网络评价客观性、正确性的同时,为用户提供了安全的使用环境,确保用户能够通过网络获得可靠、有效的数据信息。

参考文献

[1]王强.基于神经网络的计算机网络故障诊断[J].信息与电脑:理论版,2015(10):157~158.

[2]王嘉佳.人工神经网络计算机仿真中matlab的应用[J].数字化用户,2014:46~47.

第2篇:网络安全的构建范文

【关键词】银行业务;网络安全;安全防护

近几年来,随着互联网技术和通信技术的高速发展,各大银行网络业务的竞争日益激烈,网络结构变得越来越复杂,进一步凸显了银行网络安全保障方面存在的问题。因此,必须加强对银行网络安全防护的统一规划和建设,确保银行网络业务的正常开展和运营,促进银行新型网络业务的发展。

1 银行网络安全防护机制的构建意义

随着银行网络业务规模的持续扩大,网络面临的安全隐患问题也逐渐增多。如何在确保银行网络业务可持续发展的基础上完善其安全体系,降低银行网络面临的风险问题,成为了网络安全领域面临的重大挑战。本文旨在解决银行网络业务存在安全隐患和威胁的基础上,形成清晰的网络拓扑结构,使其具有良好的身份认证策略、访问控制策略和入侵检测方法,确保银行网络在正常运营的前提下拥有较强的抗病毒、抗攻击能力。

2 银行网络安全防护系统体系架构设计

银行网络安全防护系统的基础网络采用三层架构模式,由上到下分别为网络核心层、网络汇聚层和网络接入层。

网络核心层:其功能主要是为银行开展网络业务提供高速率数据传输和稳定的骨干网络传输结构,因此,网络核心层必须具有郊区的可靠性和稳定性,以及高速率的网络连接技术,以适应网络情况的实时变化。

网络汇聚层:网络汇聚层是接入多台网络交换机的汇聚之处,需要对来自下层的全部数据通信进行处理,同时将处理结构反馈到网络核心层的上行链路,由此起到承上启下的汇聚作用。网络汇聚层的设计要充分满足银行网络业务增长的需求,还要进一步综合考虑新兴业务的扩展应用。

网络接入层:主要为网络用户连接到网络提供服务,具有网络带宽共享、网络划分和MAC地址过滤等功能。网络接入层的交换机端口密度高、价格成本低,可以考虑采用堆叠式和网管式交换机,其高速端口与汇聚层交换机连接,普通端口与计算机终端连接,从而缓解骨干网络的拥塞情况。

3 银行网络安全防护系统网络拓扑设计

图 1 银行安全防护网络拓扑结构图

银行安全防护网络拓扑结构采用三层双星型架构模式,这种网络架构模式的网络层次明确,具有高度的安全性、稳定性和可扩展性。三层结构模式使网络层级功能明晰,以确保网络后期建设维护操作方便;双星结构模式可以保证银行网络业务通信的实时性,同时实现网络负载均衡和实时备份功能。三层双星型复合架构有利于银行网络业务的动态扩展,更有利于网络安全防护机制的顺利实施。银行安全防护网络拓扑结构如上图1所示。

4 银行网络安全防护机制设计

4.1 入侵检测系统

入侵检测系统的部署主要是防止外界非法人员对银行网络进行攻击,及时发现非法人员的入侵行为,以确保能够立刻采取网络防范措施。在银行网络中的关键部位部署入侵检测系统,可以实时监测流入和流出银行网络的数据流量,分析确认非法入侵行为,以确保银行网络业务的正常开展。银行网络安全防护系统中的入侵检测工作流程如图2所示:

图2 入侵检测系统工作流程图

4.2 堡垒主机防御

堡垒主机的部署主要目的是实现银行内部办公人员与外部人员访问银行内部网络资源全部都要经过堡垒主机,对全部操作数据信息进行实时记录,确保操作行为审计。

4.3 网络防病毒系统

网络防病毒系统具有一定区域范围内实时监控和杀毒能力的软件系统,具有网络病毒隔离、病毒种类识别鉴定、病毒根源实时跟踪等特点。银行网络安全防护系统采用SOC病毒服务器,可以实现企业级的防病毒部署安装,对终端病毒进行统一管理。

4.4 动态口令认证系统

动态口令认证系统可以实现网络用户合法身份的认证,将发送给网络用户的密码和USB Key作为身份认证依据,在网络设备中启用Radius认证,同时实现口令认证服务器的联动来确保网络用户身份的合法性。当登陆到动态口令认证系统时,其口令是随机变化的,为了防止网络监听、数据假冒和猜测等攻击问题,每个口令只能输入使用一次。

4.5 漏洞扫描系统

漏洞扫描系统是采用扫描漏洞的手段对本地计算机系统的安全情况进行检测,基于安全漏洞数据库来发现系统漏洞,因此,漏洞扫描系统属于一种渗透攻击行为。

4.6 漏洞补丁系统

漏洞补丁系统采用的是C/S架构模式,客户端已经配置在不同的操作系统中,由此将客户端与服务器相互连接,实现漏洞补丁的自动下载功能。

4.7 数据库安全设计

数据库安全指的是对数据库系统中的数据信息进行有效保护,防止数据信息遭到非法窃取和泄露。在银行网络安全防护系统中,数据库与操作行为的安全性是相互结合的,当网络用户登录到系统之后,系统会对应不同网络的权限进行角色确认,才能允许用户登录到数据库系统中,同时,用户存取数据库中的资源权限也要经过操作安全性检测后才能允许进行,以最大限度确保了系统数据库的安全。

5 结论

综上所述,本文提出的银行网络安全防护系统可以创建统一管理的网络对外接口,确保对银行网络业务数据的高效管理和内部资源共享,切实提高银行内部网络访问的可信度,降低网络安全威胁事故的发生率。

参考文献:

[1]于顺森.探讨银行计算机网络安全管理[J].信息与电脑(理论版),2013(02).

[2]王晓姝.商业银行网络安全风险分析[J].中国新通信,2013(09).

[3]田雷年.银行无线网络组网及安全研究[J].中国新通信,2013(10).

第3篇:网络安全的构建范文

【 关键词 】 当前网络;安全评估;防护体系构建

The Current Network Security Assessment and Construction of the Protective System

Li Hong-yang

(Shandong Fire Corps Shandong Jinan 250102)

【 Abstract 】 in today's society, the rapid development of the computer network security protection system, impact factors are also increasing, such as illegal access to user accounts, network virus, destroy data integrity, interfere with the normal operation of the communication networks, data theft etc.. In order to enhance network security protection system, the need to detect and find protection system for all links, hidden links to repair, the reasons for potential safety hazards assessment. This paper first explains the influence of network security protection system factors, and then analyzed the network safe protection system, finally analyses the current network security assessment.

【 Keywords 】 current network; safety evaluation; protection system

0 引言

随着社会科学技术的大力发展,网络技术也在不断发展壮大,在网络技术发展的同时网络安全防护体系也面临着一些因素的威胁,这就对网络安全防护体系的构建提出了更高的要求。下面先分析了网络安全防护体系面临的威胁。

1 网络安全防护体系面临的威胁

1.1 网络操作系统自身漏洞

操作系统对网络安全起到关键作用,它把用户界面、计算机硬件、计算机软件三者进行结合。操作系统处在网络环境中,不可避免地会出现安全漏洞。操作系统最容易出现漏洞的方面有Windows的调用RPC漏洞,缓冲区溢出漏洞。网络数据库和电子邮件比较容易受到网络攻击。操作系统出现的漏洞被攻击方式,可以分为远程攻击和本地攻击,其中远程攻击对计算机网络的带来的安全隐患远远大于本地攻击。

1.2 软件、网络硬盘存在缺陷

由于应用软件具有一定的软件缺陷,这种缺陷可以存在于小程序中,也可以存在于大型的软件系统中。网络硬盘设备方面也存着在缺陷,网络硬盘作为网络中必不可少的硬件设备,被人们使用的同时也存在着安全隐患,它包含的电磁信息泄露是主要的安全隐患。网络硬盘有四种途径进行数据的传输交换和通信活动,它们分别是光缆、专线、电话线和微波。相比于专线、电话线和微波,光缆的信息更加安全。网络硬盘与计算机系统组成的不牢固也能使网络安全防护体系面临威胁。

1.3 网络病毒的恶意传播

在一台电脑被感染蠕虫病毒后,会接受病毒发送的数据包,被感染的电脑由于进行过多的无关线程而降低了自己的运行速度,或者造成CPU内存占用率过高而死机。常见的网络病毒有木马病毒、邮件类病毒,木马病毒采用的是后门启动程序,它往往会隐藏在计算机的操作系统中,对用户资料进行窃取,比如对QQ密码、网络邮箱密码、网上银行账户密码、游戏账户密码等进行窃取。邮件类病毒通过网络电子邮件进行传播的,该类病毒会先隐藏于附件里,伪装成用户容易点击的虚假信息,当用户点击打开含有病毒的附件时进行病毒扩散传播。网络技术在更新换代,病毒技术也在发展变化,现在的网络病毒不像以前的网络病毒,现在的病毒有的可以通过多种途径共同传播,比如集木马型病毒和邮件型病毒于一体的新病毒混合体。该病毒对网络的危害性更大,处理查杀起来也比较困难。

2 网络安全防护体系的构建

目前网络安全体系由防护体系、病毒检测及反应体系、反应体系构成。它可以突出时间的概念,对于网络安全体系保护的目标,防护时间长于检测时间与响应时间的累加和,在网络目标遭受入侵前网络安全体系就可以检测到网络入侵,然后处理掉它。目前保护网络安全的产品主要有防火墙、扫描器、IDS、Honeypot,它们具有各自的特点,实现网络安全体系的防护功能、检测功能以及反应功能。

2.1 网络安全防护体系

第4篇:网络安全的构建范文

关键词:技术 管理 法规 网络信息安全

中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2013)02-0178-02

1 网络信息安全现状

今年10月份“网络空间国际会议”在匈牙利闭幕,“网络空间”继伦敦会议后,再一次作为全球焦点被世界多国研究讨论,会议最终呼吁各国在构建安全的网络空间方面进行合作。由此可见网络空间的安全问题已成为世界多个国家普遍存在且需全球协作的共性问题。互联网自诞生之日起就将世界联系成为一体,经过30多年的发展,网络技术在促进经济繁荣、科技进步、思想传播等方面改变着人们的生产和生活方式,并逐渐的渗透到人类生存的各个环节中,各国政府也高度依赖由网络联结的政务、电力、交通、能源、通信、航空、金融、传媒、军事等“关键基础设施”,实施经济治理和社会管理,网络已成为国家政治、经济和军事的战略支点。但与此协同的安全问题却没有跟上网络发展的步伐,在日益普及的网络应用空间中,安全问题已成为21世纪世界面临的严重挑战。

我国互联网起步较晚,但发展速度十分惊人。据2012年7月中国互联网信息中心的数据显示,我国的网民数量已达到5.38亿,其中低学历人群增长较为明显;互联网普及率为39.9%,其中农村人口占到51.8%;IPv6地址数达12499块/32,跃居全球第三。同时,根据国家互联网应急中心的数据,2011年境外有近4.7万个IP地址作为木马或僵尸网络控制服务器,控制我国境内近890万台主机,近3000个政府网站被篡改。日益庞大的网络空间和终端用户的低安全性造成我国网络空间的安全问题更显突出。

2 技术、管理、法规安全机制主要内容

网络与信息安全机制的研究从网络产生时就一直没有间断过,它与网络技术的发展息息相关。当前网络与信息的安全机制主要有:加密机制、安全认证机制、访问控制机制、完整性机制、不可否认机制、公证机制和路由控制机制等。结合安全机制产生的网络信息安全服务也基本涵盖了应用领域的各个方面[1]。但是这些防范技术总是很难和安全管理有效的结合,或者说是用技术实现管理的执行力不强。究其原因,我觉得是在技术和管理之间缺少一个强有力的约束框架,为此我们在网络信息安全“技术+管理”的模式中,独立出一个法规标准,提出了技术、管理、法规三维一体的网络信息安全体系,以技术为基础,用法规作保障,实现网络空间的自主管理。如图一所示:

(1)技术机制:网络与信息安全机制采取在国家网络空间尽远端保护,中间处保障,核心端强调可生存性的三级安全防护措施。1)尽远端保护采取常规的安全措施,划分明确的网络空间边界,利用加密、认证、访问控制等技术手段,在网络空间边界上阻止非法入侵,达到信息安全的目的。在尽远端保护中要着力解决两个难题:一是网络空间边界不像陆、海、空、天等实体一样,有清晰明确的边界线,这就需要安全防护措施能够根据自主识别动态变化的敌我双方边界,合理有效的实施安全防护;二是网络和信息领域的攻击手段和技术发展很快,各种保护措施需保证跟的上敌对方的发展速度,及时地调整安全防护机制。2)中间处安全保障采取以入侵检测技术为核心,以恢复技术为后盾的入侵检测恢复机制。该机制融合保护、检测、响应、恢复四大技术,通过对网络流量或主机运行状态的检测来发现对网络空间攻击及破坏行为,实现对网络信息空间状态的动态检测,并对各种恶意的入侵行为做出响应。在实施入侵检测机制时,要能够快速有效的分辨出攻击行为,以便后续响应措施的实施,另外还要能够及时的恢复网络和信息到攻击前的正常状态。3)核心端生存性技术是指在国家网络空间核心处受到攻击或意外事故发生时,在限定时间内恢复到正常状态的能力。这里主要关注的是“容忍”技术,即入侵或故障发生时,网络空间仍可以正常工作,在后续的时间内逐渐的排除故障,确保核心端数据的完整性、机密性和可用性[2][3]。容忍概念的提出到现在经历了从容忍错误到容忍入侵的过渡,但是目前应用还很少,特别是国内,理论研究多而实际项目少,在下一步的网络信息安全技术中,应加大发展力度。4)安全防护设备信息融合机制。当前存在有防火墙、入侵检测、漏洞扫描等各自独立的安全防护设备,彼此间信息不能共享。而在现实中,各个安全防护设备的信息可以互相利用,甚至有时候还可以成为对方的核心数据。因此,要建立防护设备信息融合机制,将攻击信息有效整合起来,实现信息的充分利用。

(2)管理机制:网络信息安全常说的一句话是“三分技术,七分管理”。的确是这样,再完美的防范技术,如果没有很好的执行和落实,到最后也发挥不了作用。这里我们提出的管理机制,不仅有网络空间维护人员的管理,还有对众多网络空间使用人员的管理。1)末端宣传教育机制。加大网络空间安全意识的宣传力度,普及安全使用网络的基础知识,在一些机关或企事业单位,适当的开展网络信息安全的培训,提升我国众多网民安全防护意识和安全使用网络的能力。网络空间安全意识作为一种机制,要形成常态化,并通过法规制度,提升各级单位的重视程度。现在的信息技术是先进的,但也需要会使用先进技术的网民,这样才能在末端接入处提高网络空间的安全,从根本上解决隐患。2)中段管理人员的归口负责,把零散的“点”的管理转向系统性、有序的“面”的管理。早在1997年我国就成立了信息技术和安全技术委员会,各级各类的安全部门也相应成立,但这些安全管理人员信息分散,彼此间没有统一协调的部署和指挥,在面临突况时很难有效整合。因此,对管理人员要建立系统组织机构,做到分工明确,职责清晰,建立健全网络应急处理的协调机制。3)国家安全一票否决制。在网络空间,处理一些具有安全隐患问题时,采取一票否决制,即只要有危害国家信息安全的潜在风险因素,就直接否决。其主要针对于应用国外的网络设备或软硬件商品。如同美国在通信设备中拒绝使用华为和中兴设备;禁止华为收购美国3Com的理由是一样。在技术含量高的网络空间产业的竞争,一般的反倾销、反补贴等贸易救济措施抑制效果有限,且还要受到世界贸易组织争端解决机制制约。相比之下,合理的使用一票否决制,可有效将存在潜在威胁的企业或商品挡在国门之外。

(3)法规机制:安全技术领域需要有各类标准,安全管理需要有行为规范,维护网络空间需要有法律,处理安全事故责任需要有依据,在网络信息空间新领域里要重视标准和法规制度的建设,及时更新修改,有效保障管理措施。1)尽快制定我国《国家网络安全战略》,将网络空间安全问题上升为国家战略问题进行通盘考虑和研究。在国家战略背景下,逐步建立各类安全技术的评判标准和网络信息安全体系构建标准,指导网络空间安全建设。要加强与世界其他国家的沟通交流与合作,特别是先进发达国家,吸取经验教训,指导科学合理的战略规划[5]。2)结合当前的网络安全技术建立各级各类人员的行为规范,大力加快信息安全相关法规建设,通过法律法规来明确各自的义务、权益、责任和处事流程,并制定相关的处罚措施,让管理能有章可循,有据可查。积极参与制定国际网络冲突行为准则,在国际网络空间事务中发挥话语权的作用,为捍卫我国在网络空间的提供有力依据。3)紧跟时代,注重技术标准的建设。使国家网络空间相关人员能够参与到国际信息安全技术标准建设中去,通过对其他先进国家的学习,加快自身技术研究的发展,在国际网络空间标准制定中发挥一定的作用,从而更好的指导本国网络安全的基础建设。

3 结语

综上所述,在网络空间信息安全的范畴内,技术是基础、法规是依据,管理是重心。随着网络技术的不断发展,网络空间的安全防范技术也需不断革新,这里提出的可生存性就是一个新的发展方向;而法规制度虽然是网络行为的评判标准,但它自身建设也必须根据安全防范的新技术时时更新、积极建设,才能为管理提供有效依据;管理要以法规为依据,通过运用各种技术手段来维护网络信息的安全,特别是全国性组织机构的建立,有效整合资源,总体发挥合力。

参考文献

[1]彭新光,吴兴兴.计算机网络安全技术与应用.科学出版社,2005

[2]赖积保,王慧强,王健等.系统可生存性研究综述[J].计算机科学,2007,34(3):237-239,275.

[3]张鸿志,张玉清,李学干等.网络可生存性研究进展[J].计算机工程,2005,31(20): 3-5.

第5篇:网络安全的构建范文

随着IPV4协议在各种局域网络中的应用,来自网络内部的安全威胁变得越来越突出,而IPV4协议上的安全漏洞加剧了网络的安全风险。为了保证网络免受各种攻击的威胁,网络的使用者不得不采用专门的技术来防止各种恶意攻击,而这些技术的采用往往需要购置额外的设备,进行繁琐的网络配置从而保证网络的安全。IPv6中直接将IPSec作为必选协议引入到其安全机制当中,从而很好的解决了网络层端到端的安全性问题。

二、实现VPN的主要技术

目前建设VPN使用最广的技术是IPSEC和SSL,下面就对IPSEC和SSL两技术的实现原理进行介绍,并根据两种技术的特点提出合适的VPN设计方案。

(一) IPSec VPN的布局

1. 星形VPN 部署

许多用户的网络结构包括总部和多处分支机构,为了达到分支机构之间的互通,我们可以采用全连通(Full Mesh) 的部署。但这种方法拓展性不好,当分支机构的数目增多时,VPN 数量以N2 的速度增长。星形部署VPN 解决了这个问题。每一个分支机构只建一个VPN 到总部,这条VPN 不仅作为分支到总部的加密通道,而且分支机构之间的通信也是通过它完成,分支机构通过总部通信。

2. 拨号VPN

在总部—分支机构的案例里,当分支机构的数量增加时,在总部的配置也变得越来越繁琐。拨号VPN 应运而生。拨号VPN 在总部配置一个VPN 模板。当一个分支机构连入时,一个动态的VPN 隧道在总部方自动生。拨号VPN 可以使用预共享密钥或证书(PKI)做认证。

(二)SSL技术VPN

1. SSL VPN原理

所谓的SSL VPN是指使用者利用浏览器内建的Secure Socket Layer封包处理功能,用浏览器连回用户内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取用户内部服务器数据。它采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证用户进行安全的全局访问。

2. SSL VPN的实现

SSL VPN一般的实现方式是在用户的防火墙后面放置一个SSL服务器。如果用户希望安全地连接到用户网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL服务器取得,并验证该用户的身份,然后SSL服务器将提供一个远程用户与各种不同的应用服务器之间连接。

三、IPSec VPN与SSL VPN优劣比较

基于Internet实现多专用网安全连接,IPSec VPN是比较理想的方案。IPSec工作于网络层,对终端站点间所有传输数据进行保护,而不管是哪类网络应用。它在事实上将远程客户端“置于”用户内部网,使远程客户端拥有内部网用户一样的权限和操作功能。

IPSec VPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。

SSL用户仅限于运用Web浏览器接入,这对新型基于Web的商务应用软件比较合适,但它限制了非Web应用访问,使得一些文件操作功能难于实现,如文件共享、预定文件备份和自动文件传输。

四、实验测试

实验背景:某高校共有两个校区,两个校区分别设有数据中心,数据中心为了保持数据一致性需要定期实现数据共享。

解决方案:因为IPSec工作于网络层,对终端站点间所有传输数据进行保护,所以在这里使用IPSec VPN来实现两个中心站点间的连接。

数据中心—数据中心

(1)启用IKE协商

routerA(config)#crypto isakmp policy 1

routerA(config—isakmap)#hash md5

routerA(config—isakmap)#authentication pre—share

routerA(config)#crypto isakmp key 123456 address 20.20.20.22

routerB(config)#crypto isakmp policy 1

routerB(config—isakmap)#hash md5

routerB

(config—isakmap)#authentication pre—share

routerB(config)#crypto isakmp key 123456 address 20.20.20.21

(2) 配置IPSec相关参数

routerA(cnfog)#crypto ipsec transform—set test?ah— md5— hamc esp— des

routerA(config)#acess—list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

routerB(config)#crypto ipsec transform—set test ah—md5—hamc esp—des

routerB(config)#acess—list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

设置crypto map

routerA(config)#crypto map testmap 1 ipsec—isakmp

routerA(config—crypto—map)#set transform—set test

routerA(config—crypto—map)#match address 101

routerA(config)#crypto map testmap 1 ipsec—isakmp

routerA(config—crypto—map)#set peer 20.20.20.21

routerA(config—crypto—map)#set transform—set test

routerA(config—crypto—map)#match address 101

(4)把crypto map 的名字应用到端口

第6篇:网络安全的构建范文

关键词:网络信息;安全;防护体系

1 网络信息安全内容和技术防范原则

1.1 网络信息安全内容

网络信息安全主要是指网络系统的硬件、软件及其体系中材料得到维护,不受有时的或者恶意的因素而受到宣泄、损害、改动,体系能够稳固正常的运转,网络服务不会出现中断。在网络信息工作中所面对的破坏分为两种,一种是恶意的,一种是有时的,恶意的又能够分为主动以及被动这两种。主动突击主要是更改数据库或者建造不正确的数据库,主要包含切断、拦截、更改、造假、仿造改动资料以及拒绝服务等;被动突击主要是窥伺或者偷听,最主要就是想要得到正在输送的材料。被动突击会宣泄出材料状况以及材料量等。按照电脑网络所面对的胁迫,电脑网络主要做好下面四个关键的部分:隐蔽;辨别;访问掌控;病毒预防。

1.2 网络信息安全技术操作防范原则

1.2.1 买进的新软件与硬件必须进行检测后使用。

1.2.2 进行系统启动时,采用硬盘进行启动。

1.2.3 重点的计算机需要进行独立盘、独立人、独立机器、独立使用的保护,在这种状态下病毒不会自动滋生。

1.2.4 对于重要的文件进行定期的备份工作。

1.2.5 在发邮件或者是进行网聊的时候,附件不要轻易的接收,互联网中的软件用不着的避免下载。在可执行的文件与办公文档里面的病毒卸载量是很高的,减少下载。就算是下载完成了,还必须使用新型的杀毒软件进行病毒的查杀。

1.2.3 下载并安装官方的杀毒软件,定期升级。

1.2.7 下载安装病毒的防火墙,从根本上保障计算机系统与网络不受病毒危害。

2 网络信息的安全防护体系

2.1 加强网络安全的层次模型

ISO定义了OSI/RM七层网络参考模型,不同的网络层次完成不同的功能。从安全角度来看,各层能提供一定的安全手段,针对不同层次的安全措施是不同的。没有哪个层次能够单独提供全部的网络安全服务,每个层次都有自己的贡献。

2.2 加强网络安全防火墙的功能

所谓的防火墙不是真正意义上的墙,这是在对访问进行控制的一种方法,这是属于安全模式状态下,也是整个结构的安全性能的重要组成部分,其作用是阻挡内外的不安全的访问以及危险数据的交流。在互联网中,它能够隔离出互联网中有风险性的网络与内部网络之间的连接,这样就有效的加强了内部网络整体的安全性能。二零一零防火墙用途就是在网络的接入处对其通讯的数据进行检查,受到了企业安全政策的控制,进行拒绝或允许或是检测的情况下的互相交换的信息,其防火墙自身就是有高抗攻击的,在对网络数据交换与访问过程进行检测与控制,这样对网络的安全也是一个保障,有以下集中功能:有着数据在进出互联网的过滤作用,对网络进出访问做一个集中的管理,检查出非法访问的行为,对其内容与活动进行记录,针对网络攻击有着检测与警告的作用。

通常防火墙具有以下功能:过滤进出的数据;管理进出的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击进行检测和报警。网络级防火墙可以将从数据包中获取的信息(源地址、目标地址、所用端口等)同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。网络级防火墙检查每一条规则直至发现包中的信息与某规则相符。应用级防火墙又称为应用级网关,它的另外一个名字就是服务器。网络级防火墙可以按照IP地址禁止外部对内部的访问,但不能控制内部人员对外的访问。服务器隔离在风险网络与内部网络之间,内外不能直接交换数据,数据交换由服务器“”完成。

2.3 加强虚拟专用网VPN技术

VPN就是虚拟专用网络,是伴随着互联网的前进而飞速壮大起来的一种措施。在现代化单位的经济往来活动中以及售前售后的工作中都会越来越多的使用到互联网技术,甚至在培训以及合作中都会使用到。很多单位都慢慢的使用互联网架设到原有的私有网络中。这种使用互联网来输送私有资料慢慢构成的逻辑网络就是VPN。

隧道措施。隧道措施基于互联网为根本,在互联网的各项根本设备中传输信息的方法。数据资料或者负荷运用隧道的方式进行输送可以是不一样的条约数据帧或者数据包。隧道协议把别的协议的数据帧或者数据包再次进行封装然后再进行输送。新的帧头供应路由数据,进而能够传递再次进行封装进行输送的数据经过网络进行输送。

加解密技术。对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用。

密钥管理技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。使用者与设备身份认证技术。VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。

2.4 完善网络信息安全机制

探索电脑网络安全的系统构造,就是探索怎样能够从管制以及措施上确保网络的安全性能够准确完好的完成,网络对于安全方面的需要能够获得满足。一定要增强网络在安全体制方面的建造,主要包含加密体制、数字签名体制、访问掌控体制、数据全面性体制、辨别交换体制,信息交流玉传递填充体制,路由掌控,公证体制。

2.5 网络安全政策法规与标准

如今,中国的标准信息安全条例有包括国内外的100多条。信息的安全规范也是对于信息保障结构的不可缺少的一部分,也是政府在宏观调控上的凭证。信息安全是国家安全的必然要求,也是对于我国利益维护的重要举措,做好了信息的安全就能够提高网络上安全产品可信的程度,使产品之间实现互联与安全操作,为计算机的安全提供了有效的保障。王丽香(2004)网络的信息安全问题已经引起全社会的普遍关注,为了兴利除弊,使网络健康发展,维护国家安全和社会共公利益,可以借助法律力量,可以利用法律所具有的严肃性、强制性、不可侵犯性等特点,强有力地规范约束社会上种种不利于网络安全的行为。为防治网络违法、有害信息的传播,制止网络犯罪提供了法律依据。

2.6 加强网络安全管理

在信息安全方面出现威胁百分之六十以上的原因是因为管制不当产生的。网络体系的安全管制主要由于三个准则:多人承担准则,担任时间有限准则,职责相互独立准则。李亮提出增强网络内部管制工作者以及操作者的安全思想,许多电脑体系大多使用口令密码进行掌控体系中的资源查询,这是在预防病毒入侵的措施中,最简便容易的办法之一。网络管制工作者以及终端操纵工作者按照自己的工作内容,选用不一样的账号密码,对运用软件数据开展健康合理的操纵,避免顾客搜索到跨级别的内容。

参考文献

[1]彭 ,高 .计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011,(1):121-124.

第7篇:网络安全的构建范文

关键词 虚拟局域网;校园网络;安全体系

中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0202-02

1 网络安全体系的定义

通常情况下,为了能够保证校园网络运行的安全稳定,校园网的大部分数据资源都只允许在内部中完成访问。例如校园网络的OA系统、校内邮件系统等等,这些系统的访问和使用都必须在校园网内部操作,严重制约了教师、学生在个人家庭中通过访问校园网来收取学校通知、查看个人成绩、浏览校园新闻等功能。如果校园网内部应用服务器一旦发生了故障,如果专业管理人员此时也没有在学校时,就无法完成对校园网的维护操作,如果部分教师由于需要出差完成科研交流等工作时,也无法查看关于科研项目的校内数据资源。

网络安全体系指的是一套完整的计划设计,主要包括能够为网络用户提供安全稳定的服务;能够保证网络中所有系统的正常运行服务;对网络中系统的安全级别提出要求并完成设置。一套完整的网络安全体系中的必备设计原则有数据传输安全、计算机系统安全、网络用户安全、网络管理安全、物理架构安全等等,既要能够对恶意的外界入侵行为进行制止,还要能够同时应对网络中的其他安全威胁。

2 虚拟局域网关键技术

2.1用户认证技术

虚拟局域网中的用户身份核实确认大部分都是通过用户认证技术实现的,对系统用户进行相应授权之后能够保证控制访问资源。一般情况下,网络认证协议采用的都是报文摘要技术,主要是用于验证数据信息的完整性和对用户身份进行认证,通过利用哈希(HASH)函数将数据报文的长度进行一系列变换,使其能够成为固定长度的报文摘要,但是由于哈希函数自身的特性又难以在不同的报文信息中将报文摘要变换成固定长度。

2.2数据加密技术

虚拟局域网数据传输的过程中主要应用的是数据加密技术,来实现对数据的伪装和隐藏。但是,如果在传输的过程中数据信息经过互联网产生了安全威胁,那么即使已经通过了用户认证,也不能保证数据信息的安全传输。因此,在网络发送端应该将用户认证进行加密之后再完成数据信息的传输,在网络接收端通过用户认证之后再对数据信息进行解密。密钥类型主要包括对称加密和非对称加密两种,在实际应用中大多数采用的都是对称加密措施,如果是机密数据信息则采取公钥加密技术。

2.3访问控制技术

访问控制技术主要是对用户是否能够对系统发起访问进行控制,运行具有相应授权的用户访问系统资源,对没有授权的用户对系统资源发起访问和获取时立刻进行阻止。

3 校园网络安全体系设计

本文设计提出的基于虚拟局域网技术的校园网络安全体系设计方案主要是为了解决某高校老校区与新校区之间信息互通、资源共享、专网整合的问题,由此构建出一条专用的虚拟局域网安全通道,从而保证这些重要数据资源能够在校园网中安全稳定地传输。

3.1系统设计原则

1)安全保障

虚拟局域网系统的重要职能就是保证网络的安全稳定,以及在互联网传输过程中数据信息的安全可靠,因此,虚拟局域网系统的安全保证必须包括用户身份认证、数据信息保密和数据信息完整。

2)多平台兼容

虚拟局域网系统的关键功能就是要保证用户不受时间和地域的限制对系统资源发起访问,以及当用户进行移动办公时要保证网络连接的安全可靠。

3)访问控制权限

校园网的虚拟局域网系统主要是为多个应用程序提供保护的,因此要设置不同的用户访问控制策略,使得拥有不同权限的用户能够访问相应的系统资源。

4)平台管理简洁

虚拟局域网服务器应该为用户和系统管理员提供良好的应用管理操作界面,在方便用户对系统资源进行访问操作的同时,还要保证系统管理员的安全维护操作简单便捷,更要为服务器与用户之间的通问、安全日志等做好记录。

3.2系统功能模型

根据校园网络的实际安全需求和虚拟局域网系统的设计原则,虚拟局域网系统的功能模型主要包括用户身份认证模块、数据传输模块、访问控制模块和系统管理模块。

1)用户身份认证模块

虚拟局域网系统客户端通过采取数字证书的认证方式对用户身份进行核实;服务器对系统客户端进行认证时需要采取不同的认证方法,如果用户通过远程网络连接到虚拟局域网中,服务器则采用用户名+密码的认证方式对用户合法身份进行识别,在校园网内部则采取数字证书的方式对用户身份进行识别。

2)数据传输模块

数据传输模块的主要功能是采取相应加密算法对数据进行加密之后传输给接收方,以及对接收到的数据进行解密。

3)访问控制模块

访问控制模块主要是根据已经设置完成的访问控制策略来控制系统中的资源是否能够被用户进行访问和操作。

4)系统管理模块

系统管理模块主要负责对虚拟局域网系统服务器的日常服务信息进行记录,包括访问日期、访问时间、网络使用情况等等,并生成对应的日志报告。

3.3系统详细设计

本文提出的基于虚拟局域网技术的校园内部网设计方案如图1所示。

学校的新校区和老校区之间通过采用虚拟局域网技术,建立起一道校园内部虚拟局域网通道,将新校区与老校区利用光纤实现网络连接,将网络的出口端设置在新校区。校园网中的财务管理系统、人事管理系统和一卡通管理系统都需要通过同一个链路与新校区进行连接,因此,我们采用虚拟局域网网络安全标准对链路进行数据加密,从而保证通过这条链路传输的数据能够安全可靠。

校园网中的一般用户的访问控制策略安全级别的设置可以相对较低,一般用户安全级别如果设置过高则会耗费大量的系统资源,造成无法访问或网络瘫痪的情况出现。对于校园网中的财务管理部门、人事管理部门和后勤服务部门来说,应该采取两层架构隔离的方法接入到校园网中,再通过内部网关协议与核心交换机连接,从而保证在新校区与老校区之间实现数据加密传输。

4结论

综上所述,本文从校园网实际需求角度出发,将虚拟局域网技术应用到校园网建设当中,提出了一套校园网络安全体系设计方案,能够有效保证新校区与老校区之间的数据通信、数据共享和数据整合安全,具有较强的理论指导意义。

参考文献

第8篇:网络安全的构建范文

【关键词】计算机 网络数据库 安全技术 方案 构建

前言:数据库是计算机网络储存与管理数据的主要载体,在计算机技术运用越来越普遍的今天,计算机网络的安全性也越来越受到社会的广泛关注,数据库作为计算机网络中不可或缺的重要组成部分,其安全问题也是当前领域内需要解决的主要问题。在计算机网络实际运行的过程中,一旦网络数据库受到非法攻击,其中存储的大量信息就可能会泄漏出去,不仅严重威胁到个人的信息安全,其中还会涉及到很多行业机密,后果不堪设想。在当前条件下,构建起健全完善的安全技术方案,是解决数据库安全问题的主要途径,因此,需要对其进行进一步的研究与探索,以计算机网络数据库现阶段面临的主要威胁为基础,制定出有效、科学、有针对性的安全技术方案,从而提升计算机网络的安全性。

一、网络数据库概述

所谓“网络数据库”,主要指的是以计算机为运行后台,以数据库为运行基础,以一系列软件为运行支撑的操作平台,能够对数据信息进行储存、查询以及相关管理,在含有海量信息的计算机网络中,网络数据库可以作为信息数据的储存载体,能够确保信息数据在储存过程中的完整性与稳定性[1]。现阶段,网络数据库主要有两种操作模式,分别为浏览器/服务器以及客户机/服务器,在实际运用过程中,这两种操作模式都相对简单,有利于相关技术人员进行完善的网络部署。构建起健全完善的网络数据库安全技术方案,并有针对性的对其进行优化与更新,是当前领域内部面临的主要问题,并逐渐发展成为重点的研究课题。

二、构建安全技术方案的重要性

随着人们思想观念的变化,安全意识也在日益提升,计算机网络的开放性虽然在很大程度上方便了人们对计算机技术的运用,但其安全性也随之降低,现阶段,信息安全建设已经逐渐成为社会关注的焦点,由于网络数据库储存了大量的数据信息,更成为信息安全建设的主要对象。正因为计算机网络具有很强的开放性,所以,很多外界因素都有可能对其产生不同程度的影响,轻则会使影响数据库的正常使用,重则可能会导致数据库中的信息混乱,甚至丢失,后果非常严重[2]。而构建起健全完善的安全技术方案,是保障网络数据库安全的主要途径,需要给予充分重视。

三、网络数据库现状

从根本上讲,计算机网络想要开展一些相关的应用环节,必须以信息的管理与储存模块为基础,在这种要求下,就需要构建起相应的网络数据库,以迎合网络技术的实际发展要求,为其进一步发展奠定坚实基础。现阶段,在我国计算机领域的研究课题中,网络数据库的安全已经成为当前需要解决的重点问题,其原因在于,网络数据库的主要作用是储存计算机网络中产生的各种数据信息,一些不法分子常常会运用一些手段来攻击数据库,很多外界因素也可能会对数据库的安全性产生影响,用户的信息安全也因此受到威胁[3]。与此同时,网络数据库所处的环境不仅比较复杂,其中所储存信息的敏感性也相对较高,而现阶段网络数据库存在的威胁非常多,安全性很难得到保证,运行过程中也面临着很多实际问题,在这种条件下,运用有针对性的安全手段便非常有必要,是确保计算机网络安全稳定运行的保障。

四、当前存在的主要威胁

计算机网络的特点便是自由与开放,在运行过程中的自治程度较高,环境比较复杂,这既是优势,也是缺陷。虽然高度自由开放的环境能够获取更多的信息,但网络数据库的安全性也很难得到有效保障,在实际运行时,由于使用用户较多,数据信息的更新速度频繁,数据信息储存量大等原因,常常会出现数据丢失、数据篡改、非法侵入等安全问题,一旦敏感信息泄露,所造成的后果不堪设想。所以,在这种条件下,怎样运用有针对性的方法来确保数据库信息不受到威胁,便显得非常重要[4]。

一般情况下,网络系统在日常运行过程中,网络数据库的安全会受到很多方面的威胁,网络手段是当前最主要的攻击方式,非法用户想要入侵到网络数据库中,都是以网络系统为依托进行的,从而实现对网络数据库的有效攻击,因此,网络系统安全与否,会在很大程度上影响到网络数据库的运行安全,如果网络的系统的安全性较差,那么网络数据库的安全性也很难得到有效保障,所以,提升网络信息的安全性是非常有必要的。现阶段,网络数据库面临的主要安全威胁有以下几个方面:第一,运用网络手段对数据库进行攻击,这种攻击方式主要针对于安全性相对较低的网络系统,非法人员很容易进入到这些网络系统中,进而对网络数据库进行攻击,产生安全威胁[5]。第二,用户自身操作导致安全问题,一些用户在对网络进行操作的过程中,可能会由于操作不当而导致数据库中的信息泄露或混乱。第三,在操作时,如果访问了非权限以内的一些数据与信息,也可能会导致网络数据库产生安全问题。第四,非法人员还可能在用户正常访问数据库的过程中进行攻击,从而引发安全问题。第五,非法人员在进入到网络数据库中以后,会对数据库中的信息资源进行篡改或者窃取,这也是数据库安全问题的主要方面。

普遍意义上讲,数据库是在计算机网络环境下的一个信息仓库,在受到外界因素的影响之后,数据库的内部信息资源会出现一些改变,从而导致数据信息的混乱或丢失。现阶段,我国的网络安全体系发展的还并不完善,非法用户入侵数据库的现象也时有发生,对网络数据库的正常运行造成严重威胁。首先,很多数据库都存在一些信息安全弱点,这些弱点本身并不会对数据库以及用户的利益造成威胁,但在数据库运行过程中,如果这些弱点被非法人员利用,就会为用户带来损失,信息安全弱点的出现,为非法入侵者提供了攻击网络系统的机会[6]。其次,数据库在实际运用过程中,可能会存在一些信息安全威胁,这些威胁是潜在性的,包括自然与人为两当面因素,前者普遍是偶然事件,而后者则是蓄意事件,如信息的篡改与泄露,这些都会导致数据库信息的安全性降低。最后,因为网络的开放性特点,网络安全事件也时有发生,如病毒传播、黑客入侵、非法攻击等,这些事件的发生一方面是由于网络环境的混乱,另一方面也是因为网络系统的设计存在弊端,为非法人员的入侵提供了可乘之机。由此可见,构建起健全完善的安全技术方案,是确保网络数据库运行安全的主要途径。

五、安全技术方案的构建

随着我国改革开放进程的不断深入,网络环境的开放性也越来越高,在这种条件下,很多外界因素都更容易影响到网络数据库的正常运行,使得数据库中的敏感性数据与重要信息泄露或者全丢失,引发安全问题。所以,在管控网络数据库的过程中,需要运用科学合理的手段,构建起健全完善的安全技术方案,并根据实际运用情况,有针对性的对方案进行优化,确保信息与数据的合法性,提升数据库的安全性和可靠性[7]。一般情况下,在运用安全技术方案对网络数据库进行处理的过程中,需要确保数据库整体信息的安全存取,图1所示的便是网络数据库主要的安全技术。

安全技术方案的构建主要包括以下几个方面:

(一)身份认证

现阶段,计算机网络的开发环境普遍是多用户共同开发的,所以,在数据库实际运行中,可能会出现多个用户同时访问数据的情况,这种情况会在很大程度上降低网络数据库的安全性。在这种条件下,需要运用对用户身份进行有效认证的方式,来收集并处理一系列的相关数据,这种统一的认证方法,不仅能够满足用户对数据信息的存储需求,还能够有效抑制非法访问现象的发生,大大提升了网络数据库运行过程中的安全性。对用户身份进行统一认证这种方法的实现过程主要分为三部分内容:其一,登录网络系统;其二,连接数据库;其三,选择数据对象,通过这三部分的一一认证,便能够有效保护合法用户的身份信息,从而提升网络数据库的可靠性与安全性[8]。

(二)数据库加密

在保护网络数据库时,数据库的加密是非常常见的一种安全技术手段。通过对相关加密程序的合理运用,能够切实提升数据库中信息数据的安全性,一般情况下,在对模块进行加密时融入一些特殊的算法,能够使数据信息发生一些改变,得到能够进行加密的一些应用信息以供用户使用。数据使用者只需要在数据库的对应加密模块中运用正确的解密方法,便能够获得完善的原始数据信息。而没有被授权的用户,即便得到了信息,也无法对其进行解密,从而得不到正确的信息数据。为了保证加密模块能够正常运行,对系统内部模块进行有效优化是不容忽视的,加密与解密两个环节,这两个环节需要高度统一,且都需要运用高效措施来完成优化,具体包括密钥解密、数据可辨转化等,以提升数据信息的可辨性与规范性,解密内容也更加准确。

(三)备份与恢复

为了保证网络数据库中数据与信息的完整性与统一性,备份与恢复技术的运用也是非常重要的,该技术能够在第一时间发现系统中存在的问题,并及时运用有针对性的方案对系统进行修复,避免产生更大的运行问题。对数据信息进行管理的相关人员,可以对数据备份与恢复技术进行充分运用,在很短的时间内对数据文件资料进行备份与恢复,在很大程度上规避了系统运行故障,不仅提升了运行效率,还降低了可能会产生的经济损失[9]。构建高效的数据备份与恢复机制,也是安全技术方案中的重要组成部分,在其运行过程中,一旦网络数据库出现问题,相关管理人员便可以以备份文件为基础,将系统恢复到初始状态。一般情况下,在处理系统备份数据的过程中,主要包括静态、动态、逻辑等三种备份形式,比较常用的数据恢复技术有备份文件、磁盘镜像以及在线日志等,在实际的使用过程中,可以以网络数据库的实际运行方式为基础,有针对性的选择相应的备份与恢复技术。

(四)审计跟踪检测

审计追踪主要指的是用户在操作网络数据库的过程中,网络系统与相关的系统管理人员,能够对用户进行的所有操作进行自动审计与跟踪,而且跟踪过程中所记录下来的信息,还会储存到对应的审计日志文件中,为管理人员的日后管理提供有效依据。通过这些文件所记录的信息,管理人员能够对网络数据库的运行状况有一个全面系统的掌握,一旦系统出现运行问题,管理人员可以在第一时间找到故障位置与导致故障的原因,从而实现对非法操作的快速定位,便于追究其法律责任。另外,运用这种方式,也能够帮助管理人员在第一时间发现数据库使用过程中的安全漏洞与系统弱点,从而对其有针对性的完善,提升网络数据库的安全性。

结论

综上所述,计算机网络的主要特点便是具有很强的开放性,而且自治程度较高,网络数据库是整个系统中实现对海量数据储存与管理的关键载体,在开放性环境下,网络数据库很容易受到外界因素的影响而出现安全性问题,导致数据库中的数据与信息出现混乱或丢失,在很大程度上影响网络数据库的正常运行,也为用户带来无法估量的损失。运用身份认证、数据库加密、备份与恢复以及审计跟踪检测等相关策略,来构建安全技术方案是当前的主要途径,但这个过程并不是一朝一夕的,需要循序渐进,在构建模块时,相关人员需要对相关的安全应用技术不断更新,确保系统内部的每一个环节都协调完善,以满足网络数据库的实际应用需求,达到更好的应用效果,提升网络数据库的安全性。

参考文献:

[1]徐俊芳,邵玉兰.数据库加密技术在企业信息化管理中的应用[J].煤炭技术,2012,06.

[2]徐欣.浅析计算机网络信息安全现状,提升其整体安全性[J].数字技术与应用,2013,11.

[3]谢海波.如何规避计算机安全风险――浅谈数据库管理技术[J].才智,2013,03.

[4]王启.计算机网络安全技术分析及防范策略研究[J].科技广场,2011,07.

[5]张旭红.试析计算机网络与信息安全系统的构建与关键技术[J].网络安全技术与应用,2014,05.

[6]史博.计算机网络数据库存在的安全威胁及措施[J].数字技术与应用,2013,03.

[7]侯智斌,孙彦飞,吕曹芳.基于入侵容忍技术的数据库安全策略研究[J].现代电子技术,2011,07.

第9篇:网络安全的构建范文

关键词:企业网络;信息安全;安全方案构建

1 企业计算机网络安全方案的构建意义

目前,我国大中型企业信息化建设中的关键部分就是信息安全建设,解决信息安全问题有利于企业信息化建设工作的全面推进。企业信息安全建设的最终目的是要真正做到“防患于未然”,信息安全的有效性建设能够控制企业信息化建设的总体成本,为企业节约大量资金,实现资源优化配置。企业计算机网络安全建设工作要始终坚持等级保护理念,才能促进企业信息安全建设工作的稳步实施,保证企业信息管理系统的建设符合行业标准和政策规定,全面提升企业在激烈的市场竞争中的竞争力。

2 企业计算机网络安全的弱点和威胁

2.1 信息安全弱点

信息安全弱点与企业信息资源密切相关,信息安全弱点的暴露很有可能导致企业资产的严重损失。但是,信息安全弱点本身并不会为企业带来损失,只是在特定的环境下被非法者利用后才会造成企业资产损失,例如,企业信息系统开发过程中的脆弱性问题,管理员的管理措施问题等,这些信息安全弱点都为非法攻击者提供了非法入侵的可能。

2.2 信息安全威胁

信息安全威胁指的是对企业资产构成潜在性的破坏因素,信息安全威胁的产生包括人为因素和自然环境因素。信息安全威胁可能是偶然发生的事件,也有可能是人为蓄意制造的时间,包括信息泄露、信息篡改等,这些事件都会导致企业信息的可用性、完整性和保密性遭到破坏,属于对企业信息的恶意攻击。

2.3 网络安全事件

由于网络特有的开放性特点,造成了非法攻击、黑客入侵、病毒传播等海量安全事件发生,信息安全领域对于网络安全的研究也日益重视。根据大量网络安全事件分析来看,企业信息管理系统的应用设计存在着诸多缺陷和弊端,给情报机构的非法入侵提供了极大的可能性。由此,内容分级制度、脆弱性检测技术、智能分析技术已经广泛应用于企业信息系统开发过程中。

3 企业计算机网络安全存在的主要问题

⑴企业分部采用宽带拨号上网的方式与企业总部实现通信传输,这种落后的网络通信方式难以保证数据传输的安全性。企业信息安全级别较高的部门通过互联网实现数据传输的过程中,没有采取任何数据加密措施,非常容易造成数据信息的泄露和篡改,同时,企业信息管理系统的操作应用没有设置明确的管理人员,导致其他非法用户也可以入侵到企业内部网络中,对服务器数据进行窃取和篡改。以上两种网络安全问题都容易造成企业重要数据的泄露,甚至给企业带来不看估计的损失。

⑵随着企业网络规模的日益扩大,在网络边界如果仍然采用路由器连接企业内部网络和外部网络,已经无法适应飞速发展的网络互连技术。企业虽然可以在网络边界的路由器中设置访问控制策略,但是仍然存在来自互联网的各种非法攻击、IP地址攻击、ARP协议欺骗等问题,这表明了企业需要一善可靠的防火墙设备,来对企业网络的数据传输提供有效控制和保护。

⑶由于互联网技术的飞速发展,为企业提供了丰富的信息资源,除了企业日常运营需要使用网络资源,其他工作人员也有可能通过网络获取信息资源,例如使用迅雷、BT等软件下载视音频信息等,网络下载会占用企业大部分带宽资源,严重的会导致系统管理员无法对网络终端的访问情况进行有效管理,或者某一个计算机终端因下载感染病毒而引发ARP欺骗。

⑷随着互联网应用的日益普及,木马病毒的广泛传播,企业员工计算机使用水平参差不齐,不能保证对网络中的有害信息进行有效识别,由此导致了木马病毒在企业内部网络的感染和传播。因此,需要定期对企业数据传输的原始数据流进行病毒查杀和威胁分析,以此起到有害信息过滤的作用,使流入企业内部网络的数据信息能够安全可靠,真正降低企业信息安全风险。同时,企业可以采用网关防病毒产品,在企业内部网络与外部网络处进行隔离保护,当木马病毒出现时可以被拦截在企业内部网络之外,为企业提供可靠的安全边界保护。

4 企业计算机网络安全方案的构建实施

企业总部需要与企业分部,以及其他合作企业之间实现数据传输与交换,企业派往外地出差的员工也需要通过远程网络访问企业总部内网的信息管理系统,因此,不同用户企业总部内部网络的访问有着不同需求,企业必须具有安全可靠、性能较高、成本较低的网络接入方式。由于企业分部大部分与企业总部不在一个城市,在企业总部与企业分部之间铺设光缆线路是极为不现实的;如果租用专用光纤网络通信线路,高额的租赁费用会严重增加企业运营发展的经济负担;如果将企业总部内部网络的应用服务器映射在网关位置,虽然能够方面用户远程访问企业内部信息管理系统,但会给企业网络带来巨大的安全隐患。本文基于以上分析,本文选择利用VPN技术(虚拟局域网)在企业内部网络出口处,虚拟设置一条网络专线,以此将企业总部与企业分部网络进行有效连接,形成一个规模较大的局域网,真正实现了用户远程访问和接入。VPN技术不仅能够满足异地用户对企业总部网络信息管理系统的访问需求,而且充分保证了用户访问的安全性,避免了单点登录技术对企业整个网络构成的安全威胁。

企业在部署上网行为管理设备(SINFOR M5X00-AC)时,应该开启VPN功能,在企业总部内部网络的边界防火墙设备中进行端口映射,同时在企业分部网络中安装上网行为管理设备,并且与企业总部的上网行为管理设备共同利用VPN技术建立虚拟专用网络,在对数据信息进行加密后在互联网上传输。企业在构建虚拟专用网络时,只要在任何一端的连接管理设置中输入对方网络地址,VPN设备就可以自动进行虚拟局域网组建,网络中的任何计算机终端都可以通过虚拟专用网实现数据传输与共享。如果还有其他分部需要加入到虚拟局域网中,则可以通过输入加密的访问WAN扣地址实现。需要注意的是,已将连通的虚拟局域网的内网网段不能完全相同。

企业在部署上网行为管理设备时,由于访问控制策略是信息安全策略的核心部分,也是对网络中数据传输的关键保护措施,由此,需要对接入企业总部网络的用户进行身份认证,根据不同用户的身份授予不同权限,再利用配置逻辑隔离服务器实现不同用户身份对不同应用服务器的接入,从而对企业内部网络中的业务信息管理系统进行访问和使用。同时,安全级别为五级的QoS安全机制能够为企业不同信息系统提供相应的安全服务保障,并且可以按照业务类别划分优先级别,重要的数据信息将会获得优先传输的权限。对用户访问权限的细致划分可以限制非法用户对网络资源的访问和使用,防止非法用户入侵企业内部网络进行破坏性操作,直接对接入企业内部网络的各项访问应用进行管控,真正提高了企业网络系统的安全性。

在企业内部网络部署应用安全产品过程中,需要综合考虑如何完成安全产品的部署策略,才能使安全产品的性能充分发挥,同时,企业内部网络还可以将不同的安全产品集成应用,使其发挥最大功能,充分提高企业信息管理系统的安全性和可靠性。

本文基于信息安全等级指导思想下,对企业内部网络存在的问题进行了分析,并提出了良好的解决方案,包括防火墙的部署、入侵检测设备的部署、上网行为管理设备的部署、防毒墙的部署、企业版杀毒软件的部署等。

5 结论

综上所述,本文在网络信息安全等级保护理念下,将企业内部网络的安全防护的有效性作为最终目标,对企业网络信息安全存在的风险进行深入分析,结合企业实际情况,提出了企业计算机网络安全设计方案,保障了企业总部内部网络与分部网络之间数据传输通信的安全性和可靠性。

[参考文献]

[1]李正忠.电力企业信息安全网络建设原则与实践[J].中国新通信,2013,09:25-27.

[2]王迅.电信企业计算机网络安全构建策略分析[J].科技传播,2013,07:217+209.

[3]陈玮.企业无线网络移动办公的安全接入问题分析[J].信息通信,2013,03:239.

相关热门标签
相关文章阅读
精选范文推荐
相关期刊推荐