導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全資源，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

隨著科學(xué)技術(shù)的迅速發(fā)展，我國已步入以網(wǎng)絡(luò)為支撐核心的信息時代。然而，在科學(xué)技術(shù)繁榮發(fā)展的背后，一系列安全問題也引起了人們的關(guān)注，可以說，計算機(jī)網(wǎng)絡(luò)既是社會發(fā)展的有效推動力，其自身存在的安全問題也給人們帶來了新的挑戰(zhàn)，成為當(dāng)前擺在計算機(jī)網(wǎng)絡(luò)應(yīng)用面前亟待解決的問題。因此，對計算機(jī)網(wǎng)絡(luò)管理及安全技術(shù)進(jìn)行研究，對其相關(guān)內(nèi)容加以明確十分必要，對于計算機(jī)網(wǎng)絡(luò)的長足、穩(wěn)定發(fā)展和更好地服務(wù)社會具有積極的現(xiàn)實意義。

一、計算機(jī)網(wǎng)絡(luò)管理

（一）故障管理分析

一個可靠、穩(wěn)定的計算機(jī)網(wǎng)絡(luò)是每個用戶都希望的，當(dāng)某個網(wǎng)絡(luò)部件出現(xiàn)實效情況時，要求網(wǎng)絡(luò)管理系統(tǒng)能夠?qū)⒐收显囱杆倥懦?，并作出及時地處理。通常來講，故障管理包括檢測故障、隔離故障、糾正故障三方面。其中故障檢測是以對網(wǎng)絡(luò)部件狀態(tài)的相關(guān)檢測為依據(jù)的，一般情況下，錯誤日志中記錄簡單的非嚴(yán)重故障，且不需作特別的處理。而對于一些嚴(yán)重故障時，則需要進(jìn)行報警，即向網(wǎng)絡(luò)管理操作員發(fā)送通知。網(wǎng)絡(luò)管理應(yīng)用應(yīng)以相關(guān)信息為依據(jù)，來實施警報處理，當(dāng)遇到較為復(fù)雜的網(wǎng)絡(luò)故障時，網(wǎng)絡(luò)管理系統(tǒng)應(yīng)通過一系列的診斷測試來對故障原因加以辨別。

（二）計費管理分析

計費管理是對使用網(wǎng)絡(luò)資源的記錄，其目的在于對網(wǎng)絡(luò)操作代價和費用的控制與檢測。這一管理形式在一些公共網(wǎng)絡(luò)的應(yīng)用中表現(xiàn)的尤為重要。通過計費管理可對使用網(wǎng)絡(luò)資源需要付出的代價與費用進(jìn)行估算，并對所占用的資源加以明確。同時，網(wǎng)絡(luò)管理員還可對用戶最大使用費用進(jìn)行規(guī)定，從而對用戶對網(wǎng)絡(luò)資源的過多占用進(jìn)行控制，從而間接促進(jìn)了網(wǎng)絡(luò)效率的提高。

（三）配置管理分析

配置管理是計算機(jī)網(wǎng)絡(luò)管理中的重要內(nèi)容，它對網(wǎng)絡(luò)進(jìn)行初始化，并實施網(wǎng)絡(luò)配置，從而實現(xiàn)網(wǎng)絡(luò)服務(wù)的提供。配置管理是集辨別、定義、控制、監(jiān)控于一體的管理形式，具備一個網(wǎng)絡(luò)對象必需的功能，其管理實施的目的在于實現(xiàn)網(wǎng)絡(luò)性能或某個特定功能的優(yōu)化。

（四）性能管理分析

性能管理是對系統(tǒng)通信效率、資源運(yùn)行等性能的相關(guān)統(tǒng)計，其性能機(jī)制是對被管網(wǎng)絡(luò)及服務(wù)提供的監(jiān)視與分析。對于性能的分析結(jié)果可使得某個診斷測試被處罰或網(wǎng)絡(luò)重新配置，進(jìn)而對網(wǎng)絡(luò)性能進(jìn)行維護(hù)。性能管理對當(dāng)前被管網(wǎng)絡(luò)的狀態(tài)數(shù)據(jù)信息進(jìn)行收集于分析，并進(jìn)行對性能日志的維護(hù)與分析。

（五）安全管理分析

安全性向來是計算機(jī)網(wǎng)絡(luò)的薄弱環(huán)節(jié)，加之用戶對于安全性的高要求，使得網(wǎng)絡(luò)安全管理的受重視程度也來越高，且扮演者越來越重要的角色，其管理的實施主要是應(yīng)用網(wǎng)絡(luò)安全技術(shù)，來為計算機(jī)網(wǎng)絡(luò)的應(yīng)用提供有力保障。

二、計算機(jī)網(wǎng)絡(luò)安全影響因素

計算機(jī)網(wǎng)絡(luò)的安全影響因素主要包括以下幾個方面：第一，非授權(quán)訪問。主要指的是對信息資源和網(wǎng)絡(luò)設(shè)備進(jìn)行的超權(quán)限使用或非正常使用；第二，假冒合法用戶。主要指的是通過各種欺騙或假冒的非法手段來獲取合法的使用權(quán)；第三，破壞數(shù)據(jù)完整性。第四，拒絕服務(wù)。當(dāng)授權(quán)實體在進(jìn)行應(yīng)有權(quán)限訪問或緊急操作時出現(xiàn)延遲時，其服務(wù)就會被拒絕；第五，病毒威脅。對信息系統(tǒng)進(jìn)行有意、無意的破壞、修改，或在不能監(jiān)聽和非授權(quán)情況下進(jìn)行數(shù)據(jù)的修改。隨著計算機(jī)網(wǎng)絡(luò)普及率日益提升，人們對計算機(jī)網(wǎng)絡(luò)已形成一定的依賴性，而計算機(jī)病毒作為計算機(jī)發(fā)展的負(fù)面產(chǎn)物則對計算機(jī)網(wǎng)絡(luò)的應(yīng)用構(gòu)成了嚴(yán)重的影響和威脅。

三、計算機(jī)網(wǎng)絡(luò)管理安全技術(shù)

（一）身份認(rèn)證技術(shù)

這一技術(shù)是確認(rèn)通信方身份的過程，即用戶在向系統(tǒng)發(fā)出服務(wù)清楚時，須對自身身份加以證明。通常情況下，身份認(rèn)證技術(shù)以生物技術(shù)、電子技術(shù)或兩種技術(shù)相結(jié)合的方式來對非授權(quán)用戶作阻止進(jìn)入處理。身份認(rèn)證的常用方法有智能卡技術(shù)、基于認(rèn)證第三方的認(rèn)證機(jī)制、口令認(rèn)證法等。通常來講，授權(quán)機(jī)制是同身份認(rèn)證相聯(lián)系的，服務(wù)提供方在確認(rèn)申請服務(wù)客戶的身份后，就需對其訪問動作授予相應(yīng)權(quán)限，從而對客戶訪問范圍進(jìn)行規(guī)定。

（二）防火墻技術(shù)

綜合性是這一技術(shù)的特點，其實質(zhì)是對網(wǎng)絡(luò)的出入權(quán)限進(jìn)行控制，迫使全部鏈接均經(jīng)過檢查，來防止網(wǎng)絡(luò)受到外界的破壞和干擾。作為一種控制隔離技術(shù)，防火墻技術(shù)通過在機(jī)構(gòu)網(wǎng)絡(luò)與不安全網(wǎng)絡(luò)間相應(yīng)屏障的設(shè)置，來對非法訪問作出阻止，或應(yīng)用防火墻來防止企業(yè)網(wǎng)絡(luò)重要信息的非法輸出。通常情況下，企業(yè)在企業(yè)網(wǎng)與互聯(lián)網(wǎng)間設(shè)置防火墻軟件的目的是為了維護(hù)企業(yè)內(nèi)部信息系統(tǒng)的安全性，企業(yè)信息系統(tǒng)通過選擇性的接受來應(yīng)用來自互聯(lián)網(wǎng)的訪問，它可以禁止或允許一類的具體IP地址實施訪問，也可拒絕或接收TCP/IP上某一類具體IP的應(yīng)用。

（三）加密技術(shù)

電子文件具有易傳播、易擴(kuò)散的特點，容易造成信息的失密。為防止這一情況的發(fā)生，就需要應(yīng)用加密技術(shù)來對網(wǎng)絡(luò)中正在傳播的電子文件或數(shù)據(jù)庫存儲的數(shù)據(jù)進(jìn)行保密，從而使得非法借或者不能獲悉文件中的內(nèi)容。現(xiàn)行網(wǎng)絡(luò)傳輸中，“雙密鑰碼”加密是通常采用的形式，通信者同時掌握公開密鑰和解密密鑰，只要解密密鑰不泄漏出去，第三者要想破密就存在很大的難度。所以，即使電子文件受到非法截取，其內(nèi)容也不會被泄漏，從而避免了電子文件自身特性帶來的弊端。

（四）入侵檢測技術(shù)

入侵檢測是對面向網(wǎng)絡(luò)資源和系統(tǒng)資源的未授權(quán)行為作出識別與相應(yīng)，從而對當(dāng)前網(wǎng)絡(luò)和系統(tǒng)的安全狀況加以明確。入侵檢測技術(shù)具有監(jiān)視系統(tǒng)行為與用戶、系統(tǒng)配置審計、數(shù)據(jù)完整性與敏感系統(tǒng)評估、攻擊行為識別、統(tǒng)計異常行為、系統(tǒng)相關(guān)補(bǔ)丁的自動收集、違反規(guī)定行為的審計跟蹤、黑客行為記錄等功能，從而使系統(tǒng)管理員對可疑訪問進(jìn)行有效地監(jiān)視、評估與審計。

（五）反病毒技術(shù)

計算機(jī)病毒的實質(zhì)是一段破壞性極強(qiáng)的惡意代碼，其將自身納入到程序當(dāng)中，從而在隱藏自己的同時，進(jìn)行復(fù)制與傳播，進(jìn)而對用戶數(shù)據(jù)與文件造成破壞。在反病毒技術(shù)中，存在一種特征值查毒法，通過對病毒樣本的獲取，來針對其特征值對內(nèi)存和各個文件進(jìn)行掃描，即針對性地病毒解除。隨著反病毒技術(shù)的進(jìn)一步發(fā)展，虛擬機(jī)殺毒技術(shù)、啟發(fā)式掃描技術(shù)相應(yīng)出現(xiàn)。其中啟發(fā)式掃描技術(shù)是通過辨別病毒同普通程序的差異，來對每一類病毒特征進(jìn)行加權(quán)，從而使得程序早遇到這類特征時，便會通知殺毒軟件實施報警。

篇2

網(wǎng)絡(luò)資源作為一種特殊的資源，尤其是電信網(wǎng)絡(luò)資源，在目前我國的優(yōu)化配置還不夠完善，由于網(wǎng)絡(luò)信息資源的信息量比較大，增長速度也很快，加上信息質(zhì)量和信息價值的差異比較大，網(wǎng)絡(luò)信息資源以及其它網(wǎng)絡(luò)資源都普遍存在無穩(wěn)定性和無序性，這樣也就造成了網(wǎng)絡(luò)環(huán)境的不穩(wěn)定以及網(wǎng)絡(luò)安全問題的增加。

首先，要根據(jù)資源的特性，確定需要執(zhí)行作業(yè)的資源；再建立執(zhí)行成本；針對用戶需要的資源，運(yùn)用調(diào)度算法執(zhí)行任務(wù)，對資源上部署的資源進(jìn)行實時監(jiān)控；收集結(jié)果和資源使用、支付記錄，將結(jié)果返回給用戶。實行反復(fù)調(diào)度和及時進(jìn)行數(shù)據(jù)清理都會起到優(yōu)化網(wǎng)絡(luò)資源調(diào)度流程的作用。

二、優(yōu)化網(wǎng)絡(luò)資源配置，提高網(wǎng)絡(luò)安全性

隨著新時期通信網(wǎng)絡(luò)的不斷發(fā)展，要想進(jìn)行通信網(wǎng)絡(luò)資源配置的優(yōu)化，就必須從幾個方面進(jìn)行。

首先，利用股權(quán)結(jié)構(gòu)的多元化，慢慢分解國有股“一股獨大”的現(xiàn)象。如同上文之中提到的我國現(xiàn)階段存在的電信業(yè)重復(fù)建設(shè)問題，這就是因為國有企業(yè)之間的非理性競爭造成的。有相關(guān)的研究者表示，民營資本參與國有企業(yè)改革，可以幫助實現(xiàn)投資主體的多元化。

其次，強(qiáng)化網(wǎng)絡(luò)資源的宏觀調(diào)控與引導(dǎo)，實現(xiàn)通信監(jiān)管體制的創(chuàng)新?，F(xiàn)階段，我國的電信管理體制關(guān)于政策制度以及監(jiān)管并沒有真正的實現(xiàn)分離。鑒于此，為了使得所有的運(yùn)營企業(yè)能夠獲取公平的競爭環(huán)境，電信產(chǎn)業(yè)要能夠進(jìn)一步分解政府職能，實現(xiàn)政策制度以及監(jiān)管職能的有效分解。

然后，建立健全通信網(wǎng)絡(luò)資源配置的相關(guān)法律法規(guī)，實現(xiàn)網(wǎng)絡(luò)建設(shè)模式的創(chuàng)新。通過相關(guān)的法律法規(guī)建設(shè)，可以防止壟斷的發(fā)生，同時創(chuàng)新網(wǎng)絡(luò)建設(shè)模式，利用網(wǎng)絡(luò)資源的共享機(jī)制，能夠?qū)崿F(xiàn)通信網(wǎng)絡(luò)的統(tǒng)一管理，并有效地解決各家通信網(wǎng)絡(luò)之間近距離建設(shè)以及同溝建設(shè)時存在的矛盾。

最后，通信行業(yè)屬于我國信息化建設(shè)的主導(dǎo)力量，間接支撐和引導(dǎo)著我國國民經(jīng)濟(jì)的發(fā)展。因此，通信行業(yè)一定要認(rèn)清自己的歷史任務(wù)，電信業(yè)要充分發(fā)揮自身的作用，樹立正確的發(fā)展觀，各個企業(yè)之間要在競爭之中合作發(fā)展，為國民經(jīng)濟(jì)以及人民群眾提供優(yōu)質(zhì)的服務(wù)。

三、NRM系統(tǒng)在優(yōu)化網(wǎng)絡(luò)資源配置中的應(yīng)用

電信企業(yè)網(wǎng)絡(luò)資源管理系統(tǒng)NRM是網(wǎng)絡(luò)資源優(yōu)化配置的一個有效的體系。NRM系統(tǒng)由基礎(chǔ)空間資源管理、管線資源管理、網(wǎng)絡(luò)設(shè)備資源管理三個子系統(tǒng)做為系統(tǒng)數(shù)據(jù)平臺，全面掌握資源、快速利用資源、合理優(yōu)化資源是整個網(wǎng)絡(luò)資源管理系統(tǒng)的特點。中國電信公司依據(jù)“資源眾多、分層管理、業(yè)務(wù)復(fù)雜”的特點，采用了這種全新升級的電信網(wǎng)絡(luò)資源解決方案———NRM系統(tǒng)，通過配置指示,根據(jù)被資源管理部所管理的節(jié)點資源的狀況，為讓網(wǎng)絡(luò)內(nèi)的功能節(jié)點的功能以及處理對象的配置適當(dāng)，運(yùn)用節(jié)點功能來進(jìn)行重新配置和控制。

根據(jù)被資源管理部所管理的節(jié)點資源以及鏈路資源的狀況,判斷是否對節(jié)點功能配置控制部發(fā)出重新配置指示，是否對通道結(jié)構(gòu)控制部發(fā)出重新構(gòu)筑指示,傳輸指示并作出適當(dāng)?shù)目刂啤＿@種方式使中國電信公司實現(xiàn)了對電信企業(yè)基礎(chǔ)資源的合理配置和管理，為提高網(wǎng)絡(luò)的安全性貢獻(xiàn)了巨大的力量。

四、結(jié)束語

篇3

【關(guān)鍵詞】辦公自動化 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 病毒

【中圖分類號】G434 【文獻(xiàn)標(biāo)識碼】A 【文章編號】2095-3089（2012）05-0008-01

1.引言

企業(yè)內(nèi)部辦公自動化網(wǎng)絡(luò)一般是基于TcrilP協(xié)議并采用了Internet的通信標(biāo)準(zhǔn)和Web信息流通模式的Intra￣net,它具有開放性,因而使用極其方便。但開放性卻帶來了系統(tǒng)入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決,就可能出現(xiàn)商業(yè)秘密泄漏、設(shè)備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴(yán)重后果,給正常的企業(yè)經(jīng)營活動造成極大的負(fù)面影響。因此，企業(yè)需要一個更安全的辦公自動化網(wǎng)絡(luò)系統(tǒng)。

2.辦公自動化網(wǎng)絡(luò)常見的安全問題

2.1 病毒感染

隨著計算機(jī)和網(wǎng)絡(luò)的進(jìn)步和普及,計算機(jī)病毒也不斷出現(xiàn),總數(shù)已經(jīng)超過20000種,并以每月300種的速度增加,其破環(huán)性也不斷增加,而網(wǎng)絡(luò)病毒破壞性就更強(qiáng)。一旦文件服務(wù)器的硬盤被病毒感染,就可能造成系統(tǒng)損壞、數(shù)據(jù)丟失,使網(wǎng)絡(luò)服務(wù)器無法起動,應(yīng)用程序和數(shù)據(jù)無法正確使用,甚至導(dǎo)致整個網(wǎng)絡(luò)癱瘓,造成不可估量的損失。

2.2數(shù)據(jù)破壞

在辦公自動化網(wǎng)絡(luò)系統(tǒng)中,有多種因素可能導(dǎo)致數(shù)據(jù)的破壞。首先是黑客侵入,黑客基于各種原因侵入網(wǎng)絡(luò),其中惡意侵入對網(wǎng)絡(luò)的危害可能是多方面的。其中一種危害就是破壞數(shù)據(jù),可能破壞服務(wù)器硬盤引導(dǎo)區(qū)數(shù)據(jù)、刪除或覆蓋原始數(shù)據(jù)庫、破壞應(yīng)用程序數(shù)據(jù)等。其次是病毒破壞,病毒可能攻擊系統(tǒng)數(shù)據(jù)區(qū),包括硬盤主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件目錄等;病毒還可能攻擊文件數(shù)據(jù)區(qū),使文件數(shù)據(jù)被刪除、改名、替換、丟失部分程序代碼、丟失數(shù)據(jù)文件;病毒還可能攻擊CMOS,破壞系統(tǒng)CMOS中的數(shù)據(jù)。第三是災(zāi)難破壞,由于自然災(zāi)害、突然停電、強(qiáng)烈震動、誤操作等造成數(shù)據(jù)破壞。重要數(shù)據(jù)遭到破壞和丟失,會造成企業(yè)經(jīng)營困難、人力、物力、財力的巨大浪費。

3.網(wǎng)絡(luò)安全策略

3.1 網(wǎng)絡(luò)安全預(yù)警

3.1.1入侵預(yù)警系統(tǒng)中,入侵檢測可以分析確定網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包是否經(jīng)過授權(quán)。一旦檢測到入侵信息,將發(fā)出警告,從而減少對網(wǎng)絡(luò)的威脅。它把包括網(wǎng)絡(luò)掃描、互聯(lián)網(wǎng)掃描、系統(tǒng)掃描、實時監(jiān)控和第三方的防火墻產(chǎn)生的重要安全數(shù)據(jù)綜合起來,提供內(nèi)部和外部的分析并在實際網(wǎng)絡(luò)中發(fā)現(xiàn)風(fēng)險源和直接響應(yīng)。它提供企業(yè)安全風(fēng)險管理報告,報告集中于重要的風(fēng)險管理范圍,如實時風(fēng)險、攻擊條件、安全漏洞和攻擊分析。

3.1.2病毒預(yù)警系統(tǒng)通過對所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包實施不間斷的持續(xù)掃描,保持全天24小時監(jiān)控所有進(jìn)出網(wǎng)絡(luò)的文件,發(fā)現(xiàn)病毒時可立即產(chǎn)生報警信息,通知管理員,并可以通過IP地址定位、端口定位追蹤病毒來源,并產(chǎn)生功能強(qiáng)大的掃描日志與報告,記錄規(guī)定時間內(nèi)追蹤網(wǎng)絡(luò)所有病毒的活動。

3.2 保護(hù)數(shù)據(jù)安全

對于數(shù)據(jù)庫來說,其物理完整性、邏輯完整性、數(shù)據(jù)元素完整性都是十分重要的。數(shù)據(jù)庫中的數(shù)據(jù)有純粹信息數(shù)據(jù)和功能文件數(shù)據(jù)兩大類,入侵保護(hù)應(yīng)主要考慮以下幾條原則:物理設(shè)備和安全防護(hù),包括服務(wù)器、有線、無線通信線路的安全防護(hù);服務(wù)器安全保護(hù),不同類型、不同重要程度的數(shù)據(jù)應(yīng)盡可能在不同的服務(wù)器上實現(xiàn),重要數(shù)據(jù)采用分布式管理,服務(wù)器應(yīng)有合理的訪問控制和身份認(rèn)證措施保護(hù),并記錄訪問日志。系統(tǒng)中的重要數(shù)據(jù)在數(shù)據(jù)庫中應(yīng)有加密和驗證措施。

3.3 入侵防范

3.3.1 內(nèi)外網(wǎng)隔離

在內(nèi)部辦公自動化網(wǎng)絡(luò)和外網(wǎng)之間,設(shè)置物理隔離,以實現(xiàn)內(nèi)外網(wǎng)的隔離是保護(hù)辦公自動化網(wǎng)絡(luò)安全的最主要，同時也是最有效、最經(jīng)濟(jì)的措施之一。

第一層隔離防護(hù)措施是路由器。路由器濾掉被屏蔽的IP地址和服務(wù)?？梢允紫绕帘嗡械腎P地址,然后有選擇地放行一些地址進(jìn)入辦公自動化網(wǎng)絡(luò)。

第二層隔離防護(hù)措施是防火墻。大多數(shù)防火墻都有認(rèn)證機(jī)制,無論何種類型防火墻,從總體上看,都應(yīng)具有以下五大基本功能:過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的業(yè)務(wù);記錄通過防火墻的信息內(nèi)容和活動;對網(wǎng)絡(luò)攻擊的檢測和告警。

篇4

申報條件：(具備下列條件之一者即可申報。)

1、連續(xù)從事本職業(yè)工總?cè)暌陨?，?jīng)本職業(yè)中級正規(guī)培訓(xùn)達(dá)到規(guī)定標(biāo)準(zhǔn)教學(xué)時數(shù),并取得結(jié)業(yè)證書。

2、連續(xù)從事本職業(yè)五年以上。

3、取得勞動保障行政部門審核認(rèn)定的，以中級技能為培養(yǎng)目標(biāo)的中等以上職業(yè)學(xué)校本職業(yè)(專業(yè))畢業(yè)證書。

（來源：文章屋網(wǎng) ）

篇5

關(guān)鍵詞：網(wǎng)絡(luò)安全；數(shù)字化校園；虛擬局域網(wǎng)

隨著網(wǎng)絡(luò)的普及以及新應(yīng)用的出現(xiàn)，信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源。數(shù)字化校園網(wǎng)作為學(xué)校信息化建設(shè)的基礎(chǔ)，引起了教學(xué)方法、教學(xué)手段、教學(xué)工具的重大革新，在教學(xué)、科研、管理等方面起著舉足輕重的作用。與此同時，校園網(wǎng)絡(luò)的安全保障就變得十分重要。本文重點闡述了網(wǎng)絡(luò)安全系統(tǒng)的規(guī)劃及方案的實施，目的是建立一個完整、立體、多層次的網(wǎng)安全防御體系。

一、數(shù)字化校園網(wǎng)安全現(xiàn)狀

目前，世界上70%以上的學(xué)校都擁有自己的數(shù)字化校園網(wǎng)，并將其融入到教學(xué)中，但大部分校園網(wǎng)建設(shè)都對網(wǎng)絡(luò)安全有所忽視，逐漸使校園網(wǎng)的安全受到來自內(nèi)部和外部的威脅與危害。校園網(wǎng)的主要安全問題分為下述幾方面：

1.物理層方面安全。由于網(wǎng)絡(luò)中物理設(shè)備的位置不合理、規(guī)章制度的不健全及防范措施不科學(xué)，導(dǎo)致網(wǎng)絡(luò)資源受到自然災(zāi)害的毀壞、人為或意外事故的破壞，造成了數(shù)字化校園網(wǎng)不能夠正常的運(yùn)行。因此，物理層安全問題是需要重視的。

2.未經(jīng)受權(quán)訪問。沒有經(jīng)過授權(quán)或者假冒合法的用戶獲得了權(quán)限進(jìn)而訪問網(wǎng)絡(luò)資源，造成獲取所需資料、篡改有關(guān)數(shù)據(jù)或利用有關(guān)資源從事非法活動的情況。在校園網(wǎng)上，最常見的是盜用合法IP地址，給合法的用戶直接帶來了經(jīng)濟(jì)損失，造成網(wǎng)絡(luò)沖突，使網(wǎng)絡(luò)不能夠正常工作，嚴(yán)重的甚至造成主機(jī)崩潰，影響到整個校園網(wǎng)運(yùn)行。

3.計算機(jī)病毒?；ヂ?lián)網(wǎng)現(xiàn)在是病毒肆虐最大的來源，互聯(lián)網(wǎng)上發(fā)現(xiàn)了各色新病毒，感染快、危害嚴(yán)重，而且使用者難以防范。校園網(wǎng)由于計算機(jī)用戶眾多并且水平差距很大，容易感染病毒且消除困難。

4.帶寬管理。對于每個學(xué)校來說，它的帶寬資源都是有限的。而上網(wǎng)人數(shù)的急增和各種各樣在線游戲的流行使有限的帶寬資源不堪重負(fù)。由于沒有帶寬限制和優(yōu)先級設(shè)置，一些重要用戶和重要應(yīng)用得不到必要的帶寬保證而影響了正常的教學(xué)和科研工作。

二、校園網(wǎng)安全方案的實現(xiàn)

1.網(wǎng)絡(luò)防火墻的部署。在核心交換機(jī)與Internet之間、核心交換機(jī)和服務(wù)器群之間部署了一道防火墻，進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)控，實現(xiàn)虛擬的網(wǎng)絡(luò)隔離。在部署防火墻之前，需要對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)以及網(wǎng)絡(luò)應(yīng)用作詳細(xì)的了解，然后根據(jù)網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的實際需求制訂防火墻策略，以便能夠在提高網(wǎng)絡(luò)安全的同時不影響業(yè)務(wù)系統(tǒng)的性能。通過進(jìn)行網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析，確定防火墻的部署方式以及部署位置；根據(jù)實際的應(yīng)用和安全的要求，劃定不同的安全功能區(qū)域，并制訂各個安全功能區(qū)域之間的訪問控制策略；制訂管理策略，特別是對于防火墻的日志管理、本身安全性管理。

2.路由器的設(shè)置。路由器是校園網(wǎng)主要設(shè)備之一，其位置在校園網(wǎng)與Internet接入口處。通過對路由器相關(guān)設(shè)置，可以實現(xiàn)帶寬限制，特定訪問規(guī)則，流量控制等，進(jìn)一步保證了網(wǎng)絡(luò)安全。路由器主要功能是對IP地址進(jìn)行設(shè)置，設(shè)置要恪守的基本原則如下：路由器的物理網(wǎng)絡(luò)端口需要有一個IP地址；相鄰路由器的相鄰端口IP地址在同一網(wǎng)段；同一路由器不同端口在不同網(wǎng)段上，IP地址設(shè)置的主要任務(wù)是配置端口IP地址；配置廣域網(wǎng)線路協(xié)議，配置IP地址與物理網(wǎng)絡(luò)地址如何映射；配置路由；其他設(shè)置。

3.三層交換機(jī)設(shè)置。三層交換機(jī)的出現(xiàn)解決了路由器的速度和二層交換機(jī)的VLAN間路由的問題，既滿足了速度的要求，還可以實現(xiàn)劃分VLAN，是目前數(shù)字化校園網(wǎng)中必不可少的網(wǎng)絡(luò)設(shè)備。三層交換機(jī)通過劃分VLAN有效地隔離了局域網(wǎng)的廣播風(fēng)暴，有效地提高了網(wǎng)絡(luò)管理速度，很好地實現(xiàn)了網(wǎng)絡(luò)安全。劃分VLAN的基本策略從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法：（1）基于端口的VLAN部分。這種劃分是把一個或多個交換機(jī)上的幾個端口劃分一個邏輯組，這種方案只需要管理者對網(wǎng)絡(luò)設(shè)備的交換接口重新分配就可以，不必考慮該端口所連接的設(shè)備。（2）基于MAC地址的VLAN劃分。MAC地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是唯一且固化在網(wǎng)卡上的，網(wǎng)絡(luò)管理員可按MAC地址把一些站點劃分為一個邏輯子網(wǎng)。（3）基于路由的VLAN劃分。路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)，該方式允許一個VLAN跨越多個交換機(jī)，或一個端口位于多個VLAN中。

建設(shè)數(shù)字化校園網(wǎng)為信息資源共享提供了有力的工具和手段，將校園中的各PC機(jī)、終端設(shè)備與局域網(wǎng)相連接，同時與國際互聯(lián)網(wǎng)連接起來，構(gòu)建可以滿足教學(xué)、科研以及管理工作所需的各種環(huán)境，及時收集各種反饋信息，為學(xué)校的長遠(yuǎn)發(fā)展提供決策依據(jù)。

參考文獻(xiàn)：

[1]鄧尚民，袁玉珍.淺談對校園網(wǎng)建設(shè)中存在問題的幾點認(rèn)識[J].中國遠(yuǎn)程教育，2000（2）.

[2]方欣澤.計算機(jī)網(wǎng)絡(luò)系統(tǒng)集成[M].北京：中國水利電利出版社，2005.

篇6

關(guān)鍵詞:辦公自動化;網(wǎng)絡(luò)安全;病毒;黑客

中圖分類號:TP317.1 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2010) 01-0000-01

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的普及,利用聯(lián)網(wǎng)實現(xiàn)辦公自動化,并將辦公自動化應(yīng)用到政府、軍隊和各大企業(yè)等安全性要求較高的機(jī)構(gòu)已成為一種迫切的需要。所謂辦公自動化是指運(yùn)用微機(jī)及相關(guān)外設(shè),有效地管理和傳輸各種信息,以達(dá)到提高工作效率的目的。

辦公自動化系統(tǒng)的安全包括網(wǎng)絡(luò)設(shè)備、配套設(shè)備的安全、數(shù)據(jù)的安全、通訊的安全、運(yùn)行環(huán)境的安全,還包括網(wǎng)絡(luò)內(nèi)部每臺計算機(jī)的安全、計算機(jī)功能的正常發(fā)揮等部分。辦公自動化網(wǎng)絡(luò)是一個中小型的局部網(wǎng)絡(luò)。辦公自動化網(wǎng)絡(luò)系統(tǒng)是自動化無紙辦公系統(tǒng)的重要組成部分。在實現(xiàn)聯(lián)網(wǎng)辦公時,由于覆蓋面大,使用人員混雜,管理水平各異,往往不能保證公文在網(wǎng)絡(luò)上安全傳輸和管理。還有一些人專門在網(wǎng)絡(luò)上從事信息破壞活動,給國家、企業(yè)造成巨大的損失。因此,加強(qiáng)網(wǎng)絡(luò)安全,防止信息被泄露、修改和非法竊取成為當(dāng)前網(wǎng)絡(luò)辦公自動化普及與應(yīng)用迫切需要解決的問題。

一、系統(tǒng)安全威脅因素

1.物理設(shè)備威脅:是指偷竊設(shè)備、直接讀取設(shè)備、間諜行為等以直接方式對系統(tǒng)信息造成的威脅。黑客只要侵人辦公自動化網(wǎng)絡(luò)中的任意節(jié)點進(jìn)行偵聽,就可以捕獲發(fā)生在這個網(wǎng)上的所有數(shù)據(jù)包,對其進(jìn)行解包分析,從而竊取關(guān)鍵信息;而本網(wǎng)絡(luò)中的黑客則有可能非常方便的截取任何數(shù)據(jù)包,從而造成信息的失竊。

2.線纜連接威脅:包括撥號進(jìn)入、連線或非連線竊聽等方式竊取重要信息。

3.身份鑒別威脅:包括口令被破解、加密算法不周全等漏洞性因素。

4.病毒或編程威脅:病毒襲擊己成為計算機(jī)系統(tǒng)的最大威脅,一旦某個公用程序染了毒,那么病毒將很快在整個網(wǎng)絡(luò)上傳播,感染其它的程序。由網(wǎng)絡(luò)病毒造成網(wǎng)絡(luò)癱瘓的損失是難以估計的。一旦網(wǎng)絡(luò)服務(wù)器被感染,其解毒所需的時間將是單機(jī)的幾十倍以上。此外,有的編程人員為了某種目的,故意編寫一段程序代碼隱藏在系統(tǒng)中,對系統(tǒng)安全構(gòu)成威脅。

二、針對以上幾方面威脅因素的安全保護(hù)

1.物理設(shè)備和安全防護(hù),包括服務(wù)器、有線、無線通信線路的安全防護(hù);

服務(wù)器安全保護(hù),不同類型、不同重要程度的數(shù)據(jù)應(yīng)盡可能在不同的服務(wù)器上實現(xiàn),重要數(shù)據(jù)采用分布式管理,服務(wù)器應(yīng)有合理的訪問控制和身份認(rèn)證措施保護(hù),并記錄訪問日志。系統(tǒng)中的重要數(shù)據(jù)在數(shù)據(jù)庫中應(yīng)有加密和驗證措施。

用戶對數(shù)據(jù)的存取應(yīng)有明確的授權(quán)策略,保證用戶只能打開自己權(quán)限范圍之內(nèi)的文件。

通過審計和留痕技術(shù)避免非法者從系統(tǒng)外取得系統(tǒng)數(shù)據(jù)或是合法用戶為逃避系統(tǒng)預(yù)警報告的監(jiān)督而從系統(tǒng)中取得數(shù)據(jù)。

客戶端安全保護(hù),客戶端的安全主要是要求能配合服務(wù)器的安全措施,提供身份認(rèn)證、加密、解密、數(shù)字簽名和信息完整性驗證功能,并通過軟件強(qiáng)制實現(xiàn)各客戶機(jī)口令的定期更換,以防止口令泄漏可能帶來的損失。

2.對于病毒和災(zāi)難破壞的數(shù)據(jù)保護(hù)來說,最為有效的保護(hù)方式有兩大類:物理保護(hù)和數(shù)據(jù)備份。要防止病毒和災(zāi)難破壞數(shù)據(jù),首先要在網(wǎng)絡(luò)核心設(shè)備上設(shè)置物理保護(hù)措施,包括設(shè)置電源冗余模塊和交換端口的冗余備份;其次是采用磁盤鏡像或磁盤陣列存儲數(shù)據(jù),避免由于磁盤物理故障造成數(shù)據(jù)丟失;另外,還要使用其他物理媒體對重要的數(shù)據(jù)進(jìn)行備份,包括實時數(shù)據(jù)備份和定期數(shù)據(jù)備份,以便數(shù)據(jù)丟失后及時有效地恢復(fù)。

3.要有效地防范非法入侵,應(yīng)做到內(nèi)外網(wǎng)隔離、訪問控制、內(nèi)部網(wǎng)絡(luò)隔離和分段管理。

4.內(nèi)外網(wǎng)隔離。在內(nèi)部辦公自動化網(wǎng)絡(luò)和外網(wǎng)之間,設(shè)置物理隔離,以實現(xiàn)內(nèi)外網(wǎng)的隔離是保護(hù)辦公自動化網(wǎng)絡(luò)安全的最主要、同時也是最有效、最經(jīng)濟(jì)的措施之一。

第一層隔離防護(hù)措施是路由器。路由器濾掉被屏蔽的IP地址和服務(wù)?？梢允紫绕帘嗡械腎P地址,然后有選擇的放行一些地址進(jìn)人辦公自動化網(wǎng)絡(luò)。

第二層隔離防護(hù)措施是防火墻。大多數(shù)防火墻都有認(rèn)證機(jī)制,無論何種類型防火墻,從總體上看,都應(yīng)具有以下五大基本功能:過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的業(yè)務(wù);記錄通過防火墻的信息內(nèi)容和活動;對網(wǎng)絡(luò)攻擊的檢測和告警。

三、辦公自動化網(wǎng)絡(luò)系統(tǒng)安全設(shè)計原則

由于眾多的因素造成了對數(shù)據(jù)完整性威脅和安全威脅,因此,辦公自動化網(wǎng)絡(luò)系統(tǒng)必須建設(shè)一套完整的策略和安全措施來保障整個系統(tǒng)的安全。

1.安全性第一的原則:由于安全性和網(wǎng)絡(luò)的性能是一對矛盾,兩者不能兼得。建議選擇前者,以犧牲網(wǎng)絡(luò)的性能,來換取安全性的增強(qiáng),但采取的措施應(yīng)讓用戶感覺不到網(wǎng)絡(luò)性能受到的影響。

2.多重保護(hù)的原則:任何安全保護(hù)措施都可能被攻破。建立一個多重保護(hù)系統(tǒng),各重保護(hù)相互補(bǔ)充,當(dāng)一重保護(hù)被攻破時,其它重保護(hù)仍可保護(hù)信息系統(tǒng)的安全。

3.多層次(OSI參考模型中的邏輯層次)的原則:如在鏈路層和網(wǎng)絡(luò)層實施包過濾,在表示層實施加密傳送,在應(yīng)用層設(shè)置專用程序代碼、運(yùn)行應(yīng)用審計軟件,在應(yīng)用層之上啟動服務(wù)等。

4.多個安全單元的原則:把整個網(wǎng)絡(luò)的安全性賦予多個安全單元,如路由器、屏蔽子網(wǎng)、網(wǎng)關(guān),形成了多道安全防線。

5.網(wǎng)絡(luò)分段的原則:網(wǎng)絡(luò)分段是保證安全的重要措施.網(wǎng)絡(luò)分。

段可分為物理分段和邏輯分段。網(wǎng)絡(luò)可通過交換器連接各段,也可把網(wǎng)絡(luò)分成若干IP子網(wǎng),各子網(wǎng)通過路由器連接,并在路由器上建立可訪問表,來控制各子網(wǎng)的訪問。

6.最小授權(quán)的原則:對特權(quán)(超級)網(wǎng)絡(luò)要有制約措施,分散權(quán)力,以降低災(zāi)難程度。

7.綜合性原則:計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全應(yīng)從物理上、技術(shù)上、管理制度上以及安全教育上全面采取措施,相互彌補(bǔ)和完善,盡可能地排除安全漏洞。

參考文獻(xiàn):

[1]李海泉.計算機(jī)系統(tǒng)安全技術(shù)與方法[M].西安:西安電子科技大學(xué)出版社,1991。

[2]陳江東.辦公自動化系統(tǒng)的系統(tǒng)分析閉[J].計算機(jī)系統(tǒng)應(yīng)用,1998,10

篇7

【關(guān)鍵詞】Zigbee技術(shù)；安全管理；無線傳感器

引言

煤礦的自然環(huán)境非常復(fù)雜多變，我國目前已有的煤礦安全生產(chǎn)形勢非常嚴(yán)峻，礦難時常發(fā)生，造成“以人為本”的生產(chǎn)方式遭受挑戰(zhàn)?，F(xiàn)有的煤礦人員安全管理系統(tǒng)因為存在效率低、無法有效監(jiān)測人員狀態(tài)、礦難發(fā)生后無法及時搜救等缺點，已經(jīng)無法滿足日益嚴(yán)格的安全需求，迫切需要對其進(jìn)行改善。

一、系統(tǒng)組成

根據(jù)煤礦具體生產(chǎn)環(huán)境和要求，本文提出一種傳感器節(jié)點識別速度快，能夠隨時檢測環(huán)境溫度和有毒氣體濃度，出現(xiàn)意外時立刻報警的并振動通知井下工作人員的基于zigbee無線傳感器網(wǎng)絡(luò)的煤礦人員安全報警管理系統(tǒng)。

一種基于zigbee無線傳感器網(wǎng)絡(luò)的煤礦人員安全報警管理系統(tǒng)，包括監(jiān)控中心、礦井口終端設(shè)備、至少1個zigbee基站、至少2個傳感器節(jié)點和至少一個人員節(jié)點；其結(jié)構(gòu)圖如下圖1所示。

圖1 基于ZIGBEE技術(shù)的煤礦人員安全管理系統(tǒng)結(jié)構(gòu)構(gòu)成

二、ZIGBEE傳感器節(jié)點的硬件設(shè)計

無線傳感器網(wǎng)絡(luò)是由多傳感器節(jié)點以Ad-hoc（移動自組網(wǎng)、多跳網(wǎng)絡(luò)）方式構(gòu)成的無線網(wǎng)絡(luò)。其目的是感知、采集和轉(zhuǎn)發(fā)網(wǎng)絡(luò)覆蓋的地理區(qū)域中的感知對象的各種信息，并發(fā)送給上級監(jiān)控中心。

傳感器節(jié)點、感知對象（有毒氣體、環(huán)境溫度）、上級監(jiān)控中心是構(gòu)成整個系統(tǒng)的最主要部分。傳感器節(jié)點由電源、傳感器元器件、微處理器、存儲器、通信部件和軟件等幾部分組成，其組成結(jié)構(gòu)如下圖2所示。

圖2 ZIGBEE傳感器節(jié)點的硬件結(jié)構(gòu)構(gòu)成

三、 ZIGBEE模塊間的通信

在軟件設(shè)計方面，根據(jù)網(wǎng)絡(luò)各層的通信協(xié)議都要注意節(jié)能。ZIGBEE模塊在進(jìn)行通信前，都要進(jìn)行有效的初始化。在初始化過程中，上級監(jiān)控中心首先發(fā)出連接請求，看是否連接成功，若連接成功，則開始進(jìn)行參數(shù)設(shè)置，初始化結(jié)束后，ZIGBEE模塊信息處理流程如圖3所示。每當(dāng)程序設(shè)置的定時時間到，傳感器節(jié)點會主動連接上級監(jiān)控中心，并向上級監(jiān)控中心上報檢測到的相關(guān)信息，傳感器節(jié)點之間的通信與此類似。

圖3 ZIGBEE模塊通信流程圖

四、 結(jié)束語

本文針對現(xiàn)有的煤礦安全管理系統(tǒng)的種種不足提出了一種新型的、以無線傳感器網(wǎng)絡(luò)為基礎(chǔ)，并與現(xiàn)有的RFID技術(shù)相結(jié)合，實現(xiàn)井下的溫度、氣體濃度等參數(shù)目標(biāo)全面及時的監(jiān)控與預(yù)警。建立起集多種信息的綜合性、計算機(jī)的交互性、通信的分布性和監(jiān)控的實時性等技術(shù)與一體的煤礦人員安全管理系統(tǒng)。對目前市場上的系統(tǒng)研究有一定的啟示作用。

參考文獻(xiàn)：

[1]http：///article/article_detail.aspx？aid=10133.

[2]RFID標(biāo)簽閱讀器系統(tǒng)防沖突算法的研究。于惠鈞，劉曉燕，朱永祥，包裝工程。2008，17（7）：21-23.

[3]鄭增威。若干無線傳感器網(wǎng)絡(luò)路由協(xié)議比較研究。計算機(jī)工程與設(shè)計，2003，24（9）：28-31.

作者簡介：

楊小慶（1984.10-），女，湖北宜昌人，重慶工商職業(yè)學(xué)院機(jī)電工程學(xué)院第二黨支部書記；碩士，講師，研究方向：智能儀器與嵌入式系統(tǒng)。

篇8

劉向明畢業(yè)于中國科學(xué)技術(shù)大學(xué)，1993年獲得美國得克薩斯州立大學(xué)奧斯丁分校物理博士學(xué)位，在山石網(wǎng)科主要負(fù)責(zé)制定產(chǎn)品策略和方向，全面的技術(shù)創(chuàng)新以及預(yù)研。他擁有10余項國際、國內(nèi)安全技術(shù)專利。在他的帶領(lǐng)下，山石網(wǎng)科在今年6月了基于主動檢測技術(shù)的下一代智能防火墻（iNGFW），將基于威脅的安全轉(zhuǎn)變?yōu)榛陲L(fēng)險控制的安全。劉向明本年度還著有《揭秘下一代智能防火墻》一書，揭示了下一代智能安全是網(wǎng)絡(luò)安全發(fā)展的重要趨勢。

2006年，美國得克薩斯州立大學(xué)奧斯丁分校物理學(xué)博士，長期浸在網(wǎng)絡(luò)安全領(lǐng)域并從事高級研發(fā)工作的劉向明回到國內(nèi)和幾個同事一起創(chuàng)業(yè)。隨后，一家名為山石網(wǎng)科的公司很快發(fā)展起來，在網(wǎng)絡(luò)安全市場上穩(wěn)穩(wěn)占據(jù)了一席之地。山石網(wǎng)科正是劉向明聯(lián)合創(chuàng)業(yè)的公司。而自公司創(chuàng)立開始，劉向明一直擔(dān)任首席技術(shù)官（CTO），把握著公司技術(shù)的發(fā)展方向。

IT廠商是有技術(shù)門檻的，安全廠商的技術(shù)門檻更加不低。從某種意義上說，只有在技術(shù)創(chuàng)新上保持領(lǐng)先，安全廠商才能在市場上立足。這是因為，用戶要選擇先進(jìn)的技術(shù)才能最大程度地保障數(shù)據(jù)中心和系統(tǒng)的安全，否則，一切都無從談起。

劉向明在網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的耕耘，幫助山石網(wǎng)科以先進(jìn)的產(chǎn)品為用戶提供安全服務(wù)。在榮獲“2013年度十大CTO”稱號之際，他接受了《中國計算機(jī)報》記者的獨家專訪，向本報道出了自己對云數(shù)據(jù)中心網(wǎng)絡(luò)安全的理解和該領(lǐng)域的發(fā)展趨勢。

網(wǎng)絡(luò)虛擬化帶來安全契機(jī)

“在傳統(tǒng)的數(shù)據(jù)中心架構(gòu)中，可以很容易地做一些安全擴(kuò)展。比如，當(dāng)數(shù)據(jù)中心中增加新的服務(wù)器時，完全可以通過增加安全設(shè)備來控制，因為大家都知道這些新服務(wù)器是怎么工作的。但是，在數(shù)據(jù)中心虛擬化之后，這種做法就行不通了?！闭劦綌?shù)據(jù)中心安全，劉向明滔滔不絕。

在劉向明看來，虛擬化變革為數(shù)據(jù)中心安全帶來了前所未有的挑戰(zhàn)。這種挑戰(zhàn)來自數(shù)據(jù)中心內(nèi)部，因為虛擬化完全顛覆了原有的數(shù)據(jù)中心架構(gòu)。這種安全挑戰(zhàn)也阻礙了用戶對云數(shù)據(jù)中心的接受度。

“這是因為數(shù)據(jù)中心虛擬化之后，新增的服務(wù)器會虛擬化成多個虛擬機(jī)，你無法確定新增加的服務(wù)器會運(yùn)行什么業(yè)務(wù)，所以無法進(jìn)行有針對性的安全防護(hù)?！眲⑾蛎鞲嬖V記者。

事實上，數(shù)據(jù)中心虛擬化所帶來的安全困境，根本原因在于網(wǎng)絡(luò)和安全虛擬化的滯后?！霸?000年之后的七八年里，我們一直處在服務(wù)器虛擬化和存儲虛擬化的階段，在大概四五年前出現(xiàn)了虛擬交換機(jī)，兩三年前出現(xiàn)了SDN（軟件定義網(wǎng)絡(luò)）。”劉向明認(rèn)為，數(shù)據(jù)中心目前正在從計算、存儲虛擬化向網(wǎng)絡(luò)虛擬化過渡。“這將使網(wǎng)絡(luò)和計算、存儲資源一樣變成基礎(chǔ)架構(gòu)虛擬化的一部分，而這種變化將給安全帶來了新的契機(jī)。”

“為什么這么說呢？因為在傳統(tǒng)的虛擬化的架構(gòu)里面，我們經(jīng)?？紤]的是虛擬機(jī)安全，很難去找到邊界去進(jìn)行防護(hù)。但是當(dāng)網(wǎng)絡(luò)虛擬化之后，虛擬網(wǎng)絡(luò)自然會產(chǎn)生邊界，虛擬網(wǎng)絡(luò)邊界安全為云數(shù)據(jù)中心安全增加了一個著力點?！眲⑾蛎髡f。

當(dāng)前安全方案四大局限

對于數(shù)據(jù)中心虛擬化之后的網(wǎng)絡(luò)安全解決方案，現(xiàn)在通常有兩種做法：一種做法是通過軟件的方式，在虛擬機(jī)的層面進(jìn)行安全部署；另外一種做法是在數(shù)據(jù)中心的入口通過一個設(shè)備來實現(xiàn)對整個數(shù)據(jù)中心的安全控制?！暗沁@就需要一個容量非常大、性能特別高的硬件設(shè)備?！眲⑾蛎鞲嬖V記者，這兩種方式適用于不同的應(yīng)用場景，但是有些時候，這兩種解決方案都存在一些不足。

“沒有一個解決方案是完美的。在一些場景中，當(dāng)前的安全解決方案還存在局限性?！眲⑾蛎髦赋?，“一是大型的公有云。它的租戶數(shù)量龐大，流量也大，現(xiàn)有方案的安全定制化不足，每個用戶的安全需求是不一樣的，如何給這么多用戶提供定制化的安全服務(wù)是一個挑戰(zhàn)。二是彈性拓展。它的挑戰(zhàn)在于安全解決方案能否在用戶的新業(yè)務(wù)上線時，動態(tài)地為其提供安全服務(wù)；在租戶數(shù)量大規(guī)模增加的時候，也能快速為這些租戶提供安全服務(wù)。三是安全能否基于服務(wù)，即在現(xiàn)有的同一個架構(gòu)上為用戶提供更多的安全服務(wù)，而不用調(diào)整基礎(chǔ)架構(gòu)。四是安全部署與管理的集成問題。在云數(shù)據(jù)中心中一定有云的管理系統(tǒng)，而安全解決方案必須跟這些管理系統(tǒng)緊密結(jié)合，才能為用戶提供一套自動化的安全部署方案?！?/p>

面對挑戰(zhàn)，劉向明始終在進(jìn)行思考。“你可以想象一下，在機(jī)架中是如何做分布式處理的。通過在交換背板上安裝不同的板卡來實現(xiàn)各種擴(kuò)展。但是眾所周知，在一個機(jī)架中板卡最多也就是幾十個，而在云環(huán)境中相應(yīng)的虛擬機(jī)可能是幾百個甚至上千個。而且，隨著虛擬機(jī)的遷移，所有的安全部署都要相應(yīng)做出調(diào)整，這也是云數(shù)據(jù)中心安全的一個難點。”劉向明告訴記者，“所以山石網(wǎng)科正在研究，如何把傳統(tǒng)機(jī)架中的分布式處理系統(tǒng)擴(kuò)展到云環(huán)境中，打造真正的分布式的云安全?！?/p>

未來的彈性安全網(wǎng)絡(luò)

篇9

兒童安全教育的資源的使用者主要以成人為主，兒童更多的是接受教育和保護(hù)的一方，但隨著互聯(lián)網(wǎng)的發(fā)展，中國兒童網(wǎng)民上升情況明顯，截至2013年6月底，中國網(wǎng)民中小學(xué)及以下、初中學(xué)歷人群的占比分別為11．2％和36．3％，相比2012年底均有所上升，尤其在初中群體中的升幅較為明顯。這表示兒童有越來越多的機(jī)會直接使用網(wǎng)絡(luò)安全教育資源。面向兒童設(shè)計的安全教育類網(wǎng)站，對兒童來說，他們對網(wǎng)站認(rèn)知、理解與應(yīng)用都有著巨大的差異。因此，網(wǎng)站建設(shè)必須從使用者的年齡特點、認(rèn)知情況和接受能力方面出發(fā)，根據(jù)兒童的認(rèn)知發(fā)展階段將網(wǎng)站的受眾分為學(xué)前兒童用戶（7歲以下）、小學(xué)兒童用戶（7～11歲），初高中兒童用戶（12歲～成年），根據(jù)不同年齡階段兒童的心理特征和認(rèn)知特征定位受眾，來保證網(wǎng)站的內(nèi)容、風(fēng)格和運(yùn)營等符合受眾需求，從而保證用戶的忠誠度和粘性，以確保網(wǎng)站的應(yīng)用價值。國內(nèi)外以兒童安全教育為主題的，按以上三個年齡層定位受眾的網(wǎng)站較少，美國我的寶貝網(wǎng)，有專門對7歲以下兒童提供安全資訊和產(chǎn)品的服務(wù)；全球兒童安全組織———中國，即全球兒童安全組織中國分支，其使命是降低14歲以下兒童的意外傷害和死亡。

二、支持者———家長、社會、政府

面向支持者的安全教育類網(wǎng)站必須考慮支持者的特征。安全教育的目的是保障兒童安全，這不僅僅是教師的任務(wù)，家長、社會、甚至政府的參與都是必不可少的。根據(jù)支持者定位受眾，往往決定了網(wǎng)站的功能定位。支持者普遍對兒童安全教育網(wǎng)站的需求是獲取知識功能和交流功能，如“我的寶貝”網(wǎng)會提供論壇服務(wù)，在論壇中大量兒童安全教育的文字、圖片、視頻資料，無疑在內(nèi)容和形式上都為兒童安全教育做了推廣；社會上的組織機(jī)構(gòu)可以提供一定的兒童安全教育資源，需要網(wǎng)站具有資源和在線專業(yè)及技術(shù)支持的功能；政府可以提供一定的扶植政策，需要網(wǎng)站具有線上與線下互動的功能。例如，美國國家兒童安全理事會就是致力于兒童安全的慈善組織，該組織提供300多類兒童安全教育材料，輔以50多個安全顧問，每年為40多個國家，約6000個公共安全機(jī)構(gòu)和超過16000000兒童提供兒童安全資料。

三、實施者———教師

面向?qū)嵤┱叩陌踩逃惥W(wǎng)站需要考慮教育者的特征。同家長的輔助教育特征有共同之處，也是在獲取知識功能和交流功能上對網(wǎng)站有相應(yīng)需求，但對兒童安全教育資料的使用需求更顯著，這類資源通常以全面的信息涵蓋、專業(yè)的信息分類形式呈現(xiàn)，或?qū)W習(xí)、交流線上與線下聯(lián)合活動的形式呈現(xiàn)。如，信息覆蓋類型的小精靈兒童網(wǎng)站的兒童安全頻道提供了分類比較全面的兒童安全資料：游泳安全、自然災(zāi)害、社會安全、疾病預(yù)防、遠(yuǎn)離、飲食安全、網(wǎng)絡(luò)安全、用電安全、消防安全、交通安全、居家安全等；活動型的是美國馬薩諸塞州兒童安全組織，通過授權(quán)認(rèn)證為當(dāng)?shù)厣鐓^(qū)教師提供安全教育計劃（組織活動）。

四、總結(jié)

篇10

【關(guān)鍵詞】安全評估 私網(wǎng)評估 閉環(huán)管理

中圖分類號：TP317.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-1010（2016）18-0062-05

1 背景研究

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)安全事件的逐年增加，手工加輔助工具方式的傳統(tǒng)主機(jī)風(fēng)險評估系統(tǒng)雖然目前運(yùn)用得較廣泛，但是這種半自動的方式工作效率不高且操作麻煩，在這種情況下，實現(xiàn)自動化的安全評估系統(tǒng)成為亟待解決的重要問題[1-2]。同時，隨著中國電信安全評估檢查工作的不斷深化開展，越來越多的業(yè)務(wù)平臺納入到安全評估的檢查范圍，而各業(yè)務(wù)平臺普遍存在私網(wǎng)資產(chǎn)，針對這些私網(wǎng)資產(chǎn)的安全評估檢查工作對于運(yùn)維人員來說是一個很大的難題[3]。

1.1 問題分析

在當(dāng)前的電信網(wǎng)絡(luò)實際運(yùn)行環(huán)境中，開展安全評估工作主要存在以下方面的問題[4]：

（1）待檢查的設(shè)備數(shù)量多，需要人工參與的評估工作量太大，耗費大量的人力資源；

（2）安全運(yùn)維流程零散雜亂，無電子化的安全運(yùn)維流程；

（3）系統(tǒng)評估過程中使用的工具多，需要將各安全評估系統(tǒng)臨時接入到各個數(shù)據(jù)業(yè)務(wù)系統(tǒng)中進(jìn)行掃描或采用臨時打通通路的方式，這種安全評估方式要在日常維護(hù)中定期頻繁的實施基本上不可行[5]；

（4）缺乏統(tǒng)一安全現(xiàn)狀呈現(xiàn)，對于設(shè)備安全信息現(xiàn)狀和系統(tǒng)整體安全情況只是體現(xiàn)在定期報告中，無安全現(xiàn)狀的實時呈現(xiàn)[6]。

1.2 解決思路

山東電信前期已建成SOC（Security Operation Center，安全運(yùn)營中心）網(wǎng)絡(luò)安全管理平臺，它是一個統(tǒng)一的安全管理中心，協(xié)調(diào)包括安全評估子系統(tǒng)、異常流量監(jiān)控子系統(tǒng)、攻擊溯源子系統(tǒng)等眾多第三方安全子系統(tǒng)在內(nèi)的聯(lián)動工作。因此，在SOC平臺中嵌入一鍵式安全掃描評估閉環(huán)模塊，從安全運(yùn)維的實際需求出發(fā)，為管理、運(yùn)維、監(jiān)控人員提供統(tǒng)一的安全自評估平臺，全面實現(xiàn)安全評估自動化、日常化、全面化和集中化。通過提高安全評估工作效率，實現(xiàn)安全工作融入日常工作，將各種評估手段結(jié)合起來以實現(xiàn)全面評估，同時進(jìn)行集中化的分析匯總與呈現(xiàn)[7]。

2 技術(shù)方案設(shè)計

2.1 設(shè)計目標(biāo)

以SOC網(wǎng)絡(luò)安全管理平臺為中樞，建立統(tǒng)一的安全評估管理流程，分別面向監(jiān)控、維護(hù)及管理人員，提供集中化統(tǒng)一的安全評估界面，全面助力一鍵式自助安全評估工作落地。

2.2 技術(shù)方案

（1）評估閉環(huán)管理模型

如圖1所示，一鍵式自助安全掃描評估以安全風(fēng)險管理為核心，通過SOC安全管理平臺集中化管理，實現(xiàn)對安全資產(chǎn)的自動化掃描評估，從而達(dá)到對安全風(fēng)險的全面管控，并且與電子運(yùn)維工單系統(tǒng)對接，將評估結(jié)果和整改建議通過工單系統(tǒng)通知到相應(yīng)的維護(hù)責(zé)任人，及時對安全漏洞進(jìn)行整改處置，對于暫時無法整改的漏洞需在SOC平臺進(jìn)行備案說明[8]。

通過一鍵式自助安全掃描評估，配置不同的任務(wù)策略和模板，實現(xiàn)以安全資產(chǎn)或業(yè)務(wù)系統(tǒng)兩種不同維度的任務(wù)自動下發(fā)，并對掃描評估結(jié)果進(jìn)行統(tǒng)一管理與備案。通過“發(fā)現(xiàn)-掃描-評估-整改-復(fù)查”的閉環(huán)評估法則[9]，能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)中的未知安全資產(chǎn)，全面掃描安全資產(chǎn)漏洞，清晰定性網(wǎng)絡(luò)安全風(fēng)險，并給出修復(fù)建議和預(yù)防措施，同時將漏洞整改流程固化到系統(tǒng)中，從而在自動化安全評估的基礎(chǔ)上實現(xiàn)安全自主掌控[10]。

（2）私網(wǎng)安全評估技術(shù)

針對防火墻NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）后的私網(wǎng)資產(chǎn)無法通過網(wǎng)絡(luò)直接進(jìn)行訪問，導(dǎo)致遠(yuǎn)程安全評估無法有效開展的技術(shù)難題，通過部署安全私網(wǎng)評估，建立L2TP（Layer 2 Tunneling Protocol，第二層通道協(xié)議）安全隧道，遠(yuǎn)程實現(xiàn)對私網(wǎng)資產(chǎn)的安全掃描。

私網(wǎng)安全評估架構(gòu)如圖2所示。其中，針對私網(wǎng)設(shè)備無法實現(xiàn)自動掃描的問題，利用部署在私網(wǎng)平臺的機(jī)，由機(jī)與集中平臺（SOC平臺）建立通訊通道，通過公網(wǎng)穿透打通集中平臺（SOC平臺）與私網(wǎng)資產(chǎn)的網(wǎng)絡(luò)層可達(dá)性。機(jī)接收集中平臺（SOC平臺）控制機(jī)下發(fā)的安全評估指令并轉(zhuǎn)發(fā)私網(wǎng)資產(chǎn)；私網(wǎng)資產(chǎn)將安全指令反饋數(shù)據(jù)返回給機(jī)；機(jī)上報安全評估指令結(jié)果給集中平臺（SOC平臺）控制機(jī)進(jìn)行備案。整個過程采用心跳機(jī)制進(jìn)行?；?。

的角色分為：

SOC平臺公共（Public Proxy）：部署于中心SOC平臺內(nèi)網(wǎng)，與安全評估子系統(tǒng)同一個子網(wǎng)IP網(wǎng)段；

業(yè)務(wù)平臺分布式本地（Local Proxy）：直接通過私網(wǎng)日志采集改造，與業(yè)務(wù)平臺NAT不可達(dá)資產(chǎn)都是內(nèi)網(wǎng)網(wǎng)段。

的作用如下：

隧道協(xié)商與建立：各業(yè)務(wù)平臺分布式本地主動向中心SOC平臺的外網(wǎng)防火墻進(jìn)行L2TP隧道協(xié)商，協(xié)商成功后建立起Hub-and-Spoke的L2TP隧道；

數(shù)據(jù)流通過隧道Push推送與交互：對于安全評估子系統(tǒng)內(nèi)掃描工具發(fā)起的掃描流量，先到達(dá)SOC平臺公共，由公共將掃描流量封裝進(jìn)已建立好的L2TP隧道，并轉(zhuǎn)發(fā)給業(yè)務(wù)平臺分布式本地，本地收到流量后進(jìn)行隧道解封，還原內(nèi)層原始IP包頭，將原始掃描流量送到NAT不可達(dá)資產(chǎn)上。

通過該方法可有效解決防火墻NAT后不可達(dá)資產(chǎn)的自動化安全風(fēng)險評估問題，且不改變現(xiàn)網(wǎng)的組網(wǎng)架構(gòu)，業(yè)務(wù)配置變動實現(xiàn)零配置。通過分布在各業(yè)務(wù)平臺的本地與中心SOC平臺的公共進(jìn)行隧道連接，并通過公共與本地之間的交互，實現(xiàn)掃描流量的轉(zhuǎn)發(fā)[11]。

（3）掃描器聯(lián)動調(diào)度

一鍵式安全掃描評估依托于SOC安全管理平臺，由SOC平臺與眾多第三方安全掃描子系統(tǒng)聯(lián)動進(jìn)行掃描，可根據(jù)實際應(yīng)用情況進(jìn)行相應(yīng)的接口擴(kuò)展。通過與安全評估子系統(tǒng)聯(lián)動的高耦合度，實現(xiàn)日常安全評估工作的任務(wù)自動化。

SOC平臺掃描器聯(lián)動調(diào)度流程如圖3所示。

SOC平臺調(diào)度分為直連掃描調(diào)度和私網(wǎng)掃描調(diào)度，具體如下：

直連掃描調(diào)度是指掃描器與被掃描設(shè)備之間網(wǎng)絡(luò)可達(dá)，直接通過SOC平臺調(diào)度程序向掃描器發(fā)起資產(chǎn)掃描請求，掃描器在掃描完成后再向SOC平臺反饋掃描結(jié)果；

私網(wǎng)掃描調(diào)度是指掃描器與被掃描設(shè)備之間網(wǎng)絡(luò)不可達(dá)，需要借助私網(wǎng)評估的VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）隧道建立連接打通網(wǎng)絡(luò)后，通過公共和本地間IP掃描報文的傳遞，把掃描器的IP掃描請求報文發(fā)送到私網(wǎng)內(nèi)的被掃描資產(chǎn)，同時把掃描結(jié)果應(yīng)答傳遞回掃描器，最后再由掃描器將結(jié)果反饋到SOC平臺集中展現(xiàn)。

具體步驟如下：

步驟1：通過SOC的安全評估任務(wù)計劃模塊，在計劃任務(wù)配置時設(shè)定掃描資產(chǎn)的私網(wǎng)IP地址段與相關(guān)聯(lián)的本地IP地址（本地的IP地址即通過L2TP建立隧道后撥號獲得的唯一地址），通過掃描資產(chǎn)+相關(guān)聯(lián)的本地對，解決私網(wǎng)網(wǎng)段地址重疊問題；

步驟2：可通過預(yù)先將掃描工具的網(wǎng)關(guān)配置為公共地址，在任務(wù)執(zhí)行時將掃描工具的流量牽引到公共上來；

步驟3：公共的網(wǎng)卡設(shè)為混雜模式，捕獲到該掃描工具的掃描流量，通過已建立好的L2TP隧道，封裝報文后通過L2TP隧道轉(zhuǎn)發(fā)給本地；

步驟4：本地將L2TP隧道報頭拆除，露出內(nèi)層的原始掃描報文，并將內(nèi)層掃描報文的源IP地址修改為本地IP，同時在map映射表中記錄下這一映射關(guān)系，之后將掃描報文轉(zhuǎn)發(fā)給被掃描的最終資產(chǎn)；

步驟5：最終資產(chǎn)收到掃描報文后，根據(jù)掃描的內(nèi)容進(jìn)行響應(yīng)，將結(jié)果回包給本地；

步驟6：本地收到最終資產(chǎn)的掃描結(jié)果回包，命中map映射表的映射關(guān)系，將報文的目的IP地址還原為掃描工具的IP地址，并封裝報文通過L2TP隧道返回給公共；

步驟7：公共收到此報文后將L2TP隧道報頭拆除，露出內(nèi)層的原始掃描結(jié)果返回報文，并轉(zhuǎn)發(fā)給掃描工具進(jìn)行結(jié)果分析；

步驟8：掃描工具得到掃描結(jié)果報文進(jìn)行分析，將分析結(jié)果上傳到SOC平臺進(jìn)行結(jié)果備案。

3 現(xiàn)網(wǎng)測試效果

利用“一鍵自助安全評估功能模塊”節(jié)省了以往人工安全掃描、基線檢查的大量時間，并縮短了評估周期，極大地提高了安全評估工作效率。下面是以部門安全管理員的角色執(zhí)行一次安全巡檢、調(diào)度整改的閉環(huán)使用過程。

3.1 添加掃描評估任務(wù)

在“掃描任務(wù)管理”菜單下新增掃描評估任務(wù)，按系統(tǒng)提示步驟依次輸入掃描周期、掃描方式、掃描設(shè)備和掃描范圍等信息，完成任務(wù)的添加，如圖4所示。

3.2 掃描評估任務(wù)執(zhí)行

任務(wù)添加完成后，系統(tǒng)會根據(jù)任務(wù)周期定時開始執(zhí)行掃描任務(wù)，任務(wù)執(zhí)行過程中可通過任務(wù)狀態(tài)查看任務(wù)是否執(zhí)行結(jié)束，如圖5所示。

3.3 評估任務(wù)結(jié)果查看

任務(wù)執(zhí)行完成后，在漏洞結(jié)果管理中可查看到每個資產(chǎn)需要整改的漏洞信息，雙擊一條漏洞記錄可查看到該漏洞的詳細(xì)信息，包括漏洞名稱、漏洞CVE（Common Vulnerabilities & Exposures，公共漏洞和暴露）編號、漏洞描述、漏洞解決方案等，并且還能查看到該漏洞每次掃描的歷史狀態(tài)信息，如圖6所示。

3.4 漏洞整改與備案

部門管理員根據(jù)漏洞的解決方案對相應(yīng)的資產(chǎn)進(jìn)行漏洞整改，整改完成后需要在系統(tǒng)上填寫漏洞整改說明，完成漏洞的整改備案，如圖7所示。

4 結(jié)束語

本文通過研究部署并實現(xiàn)一鍵式自助安全評估，可極大地提高安全評估的效率，從而提升應(yīng)對威脅的響應(yīng)速度。在傳統(tǒng)評估方式下，完成一套業(yè)務(wù)平臺全方位的安全評估平均時長是8小時，通過一鍵式自助安全評估項目的實施，完成同樣平臺的安全評估僅需要1小時，大大減少了人力成本的投入。同時，通過一鍵式自助安全評估將日常安全評估工作作為一個周期性的工作流程固化到統(tǒng)一安全管理平臺中，有針對性地對存在風(fēng)險的資產(chǎn)進(jìn)行定制化的安全評估工作，能夠進(jìn)一步提高評估工作的準(zhǔn)確性，從而推動并實現(xiàn)安全評估的自動化、日?；⑷婊图谢?。

參考文獻(xiàn)：

[1] 汪玉凱. 信息安全是國家安全的當(dāng)務(wù)之急[J]. 中國報道， 2014（122）： 2.

[2] 國家互聯(lián)網(wǎng)應(yīng)急中心. CNCERT互聯(lián)網(wǎng)安全威脅報告[R]. 2014.

[3] IP網(wǎng)絡(luò)安全技術(shù)編寫組. IP網(wǎng)絡(luò)安全技術(shù)[M]. 北京： 人民郵電出版社， 2008.

[4] 李蔚. 業(yè)務(wù)安全評估初探[J]. 信息安全與通信保密， 2012（8）： 113-115.

[5] 陳濤，高鵬，杜雪濤，等. 運(yùn)營商業(yè)務(wù)安全風(fēng)險評估方法研究[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化， 2013（11）： 71-75.

[6] 曹永剛. 電信運(yùn)營商業(yè)務(wù)網(wǎng)安全風(fēng)險評估及防范措施探討[J]. 電信網(wǎng)技術(shù)， 2012（2）： 41-44.

[7] 何國鋒. 電信運(yùn)營商在大數(shù)據(jù)時代的信息安全挑戰(zhàn)和機(jī)遇探析[J]. 互聯(lián)網(wǎng)天地， 2014（11）： 55-58.

[8] 岳榮，李洪. 探討移動互聯(lián)網(wǎng)安全風(fēng)險及端到端的業(yè)務(wù)安全評估[J]. 電信科學(xué)， 2013（8）： 74-79.

[9] 周鳴，常霞. 電信移動業(yè)務(wù)網(wǎng)絡(luò)風(fēng)險評估和安全防護(hù)[J]. 信息網(wǎng)絡(luò)安全， 2013（10）： 14-16.