关键词:网络安全技术;校园网;应用
1引言
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行。网络安全包括技术领域和非技术领域两大部分:非技术领域包括一些制度、政策、管理、安全意识、实体安全等方面的内容,即为安全策略;技术领域包括隐患扫描、防火墙、入侵检测、访问控制、虚拟专用网、CA认证、操作系统等方面的内容,即为安全技术。而一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实。
校园网络安全的主要问题是预防病毒、访问控制、身份验证和加密技术、发现系统安全漏洞并解决等问题。作为一个网络,一方面是网络内部的安全性,一方面是本网络和外部信息网络互联时的安全性。其中内部的安全性要从网络安全技术、网络设备、网络结构、操作系统和网络应用等多方面考
2校园网的安全问题
2.1.1网络部件的不安全因素
(1)网络的脆弱性。系统的易欺骗性和易被监控性,加上薄弱的认证环节以及局域网服务的缺陷和系统主机的复杂设置与控制,使得计算机网络容易遭受威胁和攻击。
(2)非法入侵。非法分子通过技术渗透或利用电话线侵入网络,非法使用、破坏或获取数据及系统资源。目前的网络系统大都采用口令来防止非法访问,一旦口令被窃,很容易打入网络。
(3)非法终端。有可能在现有终端上并接一个终端,或合法用户从网上断开时,非法用户乘机接入并操纵该计算机,或由于某种原因使信息传到非法终端上。
2.1.2软件的不安全因素
(1)网络软件的漏洞及缺陷被利用,能对网络进行入侵和损坏。如网络软件安全功能不健全;应加以安全措施的软件未予标识和保护,要害的程序没有安全措施;错误地进行路由选择,为一个用户与另一个用户之间通信选择不合适的路径;拒绝服务、中断或妨碍通信,延误对时间要求较高的操作和信息重播。
(2)病毒入侵。计算机病毒可以多种方式侵入网络并不断繁殖,然后扩展到网上的计算机来破坏系统。
(3)黑客攻击。黑客采用种种手段,对网络及其计算机系统进行攻击,侵占系统资源或对网络和计算机设备进行破坏、窃取或破坏数据和信息等。
2.1.3人为的不安全因素
人为的不安全因素包括保密观念不强或不懂保密规则,随便泄露机密、业务不熟练,因操作失误使文件出错或误发、因规章制度不健全造成人为泄密事故、素质差,缺乏责任心等等。
3校园网必要的网络安全防范技术
3.1.1防火墙技术
防火墙是目前网络安全的一个最常用的防护措施,也广泛应用于对校园网络和系统的保护。根据校园网络管理员的要求,可以监控通过防火墙的数据,允许和禁止特定数据包的通过,并对所有事件进行监控和记录,使内部网络既能对外正常提供Web访问,FTP下载等服务,又能保护内部网络不被恶意者攻击。
3.1.2网络入侵检测技术
入侵检测不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。
3.1.3数据加密技术
加密是通过对信息的重新组合,使得只有收发双方才能解码还原信息。数据加密技术是为提高网络上的信息系统及数据的安全性和保密性,防止秘密数据被外部破坏所采用的主要技术手段之一。
数据加密技术作为主动网络安全技术,是提供网络系统数据的保密性、防止秘密数据被外部破解所采用的主要技术手段,是许多安全措施的基本保证。加密后的数据能保证在传输、使用和转换时不被第三方获取数据。
3.1.4操作系统身份验证
校园网上运行着各种数据库系统,如教学管理系统,学生成绩管理系统,以及各种对外服务如Web,FTP服务等。如果安全措施不当,使这些数据库的口令被泄露,数据被非法取出和复制,造成信息的泄露,严重时可导致数据被非法删改。目前校园网络操作系统平台以Windows为主,对应的主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。
3.1.5防病毒技术
为使计算机系统免遭病毒的威胁,除了建立完善的管理措施之外,还要有病毒扫描、检测技术,病毒分析技术,软件自身的防病毒技术,系统防病技术,系统遭病毒破坏后的数据恢复技术,以及消除病毒的工具及其技术等。
3.1.6网络安全漏洞扫描技术
漏洞扫描是自动检测远端或本地主机安全弱点的技术,它查询TCP/IP端口,并记录目标的响应,收集关于某些特定项目的有用信息,如正在进行的服务,拥有这些服务的用户是否支持匿名登录,是否有某些网络服务需要鉴别等。这项技术的具体实现就是安全扫描程序,它可在很短的时间内就能收集安全弱点,并解决这些问题。
3.1.7VPN技术
VPN让用户在互联网上利用隧道、加密、认证等技术来建立自己的专用网络。它有效利用VPN的加密、认证技术,可以保护校园网中的数据库免受攻击。
3.1.8IP地址绑定技术
为了防止MAC地址的盗用、IP地址的盗用、端口的不固定性、账号的盗用等安全问题的产生。要利用IP地址自动绑定、释放技术解决这个问题。
自动绑定、释放技术主要是为了防止用户在通过认证后,在上网期间随意更改自己的IP地址,同时也可防范DoS攻击等多种非法用户的攻击。用户在认证通过后在交换机上会产生一条ACL策略将该用户的IP,MAC,端门进行捆绑,如果此时用户随意更改自己的IP地址,交换机将会强制用户下线。用户下线后,对应端口的ACL策略会自动释放、删除。
3.1.9备份技术
备份技术是最常用的提高数据完整性的措施,是指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。备份内容包括有:
(1)系统备份
(2)数据备份
【关键词】计算机信息管理技术网络安全
随着计算机信息技术和网络技术的应用的不断普及与深入,网络已经成为人们日常生活中不可缺少的一部分,互联网已经成为全球经济中最重要的基础设施,许许多多重要的信息化管理、服务系统都依托于计算机网络而运行;网络安全则是计算机信息管理系统安全能动性的组成部分,它贯穿于计算机信息管理系统的规划、设计、运行、实施和维护的各个阶段。因此,网络安全是一个全球性的问题,网络运行的稳定性、可靠性就显得分外的重要,网络的安全管理成为了一个十分重要的内容。
1网络安全的主要内容
1.1计算机信息管理系统(即软件)的安全
计算机信息管理系统(即软件)的安全可以采用用户认证、访问控制、数据传输、数据维护、数据存储的保密与完整性机制等内容,保障网络管理系统本身的安全。
1.2网络资源的安全
网络中涉及到的资源很多,如IP地址资源、域名资源、服务器资源(Web服务器、E-mail服务器、FTP服务器、DNS服务器、Proxy服务和数据库服务器等)和磁盘资源等等,我们可以控制这些网络资源保证网络资源得以安全的访问,从而使得网络为用户提供更好、更优质的服务。
1.3网络存储技术安全
对于一个企业来说,网络存储数据的安全性是极其重要的一个工作内容,一旦重要的数据被损坏或者丢失,便会对企业日常生产、运作造成重大的影响,甚至是会产生无法估计和难以弥补的损失,故计算机系统不是永远可靠的,单单依靠双机热备份、磁盘阵列、磁盘镜像、数据库软件的自动复制等备份功能已经远远解决不了网络安全的问题,所以,计算机网络需要有完整的数据存储模式。
目前的存储模式有直接连接存储模式(DirectAttachedStorage,DAS)、网络存储模式(NetworkAttachedStorage,NAS)、存储区域网络(StorageAreaNetwork,SAN)。
1.4网络规划、设计及实施安全
在网络规划、设计及实施方面侧重于网络安全性的方案选取,包括选用安全的操作系统、设置网络防火墙、网络防杀病毒、数据加密和信息工作制度的保密等等方面,充分发挥网络安全性的原则。
2网络安全管理策略
在计算机网络系统中,绝对的安全是不存在的,制定健全的网络安全管理策略是计算机网络安全的重要保证,只有通过网络管理人员、与企业相关的、及网络使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小、降低以及避免一切非法的网络行为,尽可能地把不安全的因素降到最低。
2.1网络安全管理策略的可变性
网络安全策略并不是一成不变的,它具有可变的特性。一方面,由于企业或者单位组织内部结构、组织方式的不断变化,相关业务和数据类型和分布的更新也不断地发生着变化;另一方面:从网络安全技术的角度讲,攻击者的攻击方式、防止攻击的措施也在不断地升级和改进,所以,安全策略是一个变化性的策略,必须要和网络当前的状态相适应。
2.2网络安全策略的核心内容
网络安全策略的核心内容有:定方案、定岗、定位、定员、定目标、定制度、定工作流程(方岗位员目制流),也就是我们通常所说的“七定”。
2.3网络安全策略的设计与实施步骤
(1)确定网络安全需求,确定网络安全需求的范围,评估面临的网络风险;
(2)制订可实现的网络安全策略目标;
(3)制订网络安全策略规划:制定本地网络安全规划、远程网络安全规划、Internet网络安全规划等规划内容;
(4)制订网络安全系统的日常维护计划。
3网络安全防御与改善措施
3.1网络安全防范管理
做好网络安全防范计划于与策略,对网络安全进行防范控制盒管理,提高网络自身稳定性、可靠性,要有较高的警惕安全的意识,从而,能够抵御较大的网络安全风险。
网络安全防范措施可以有:
(1)国家信息安全漏洞共享平台;
(2)反网络病毒联盟组织。
3.2建立良好的网络安全机制
目前,常用的安全机制有身份验证、授权、数据加密、密钥加密和数字签名、数据包过滤、防火墙、入侵监测系统、物理安全等。在此,我们重点介绍数据加密、入侵检测系统和防火墙技术。
(1)数据加密:该技术更好的实现了信息的保密性,确保了信息在传输及存储过程中不会被其他人获取,它是一种十分有效的网络安全技术措施。因此,为了保障数据的存储和传输安全,需要对一些重要数据进行加密。
(2)入侵检测系统:在系统检测或者可能的情况下,阻止入侵者试图控制自己的系统或者网络资源的行为。入侵检测系统是一种主动保护网络免受攻击的安全技术,从而简化网络管理员的工作,保护网络安全的运行。
(3)防火墙技术:建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的,外部网络(通常是Internet,互联网)被认为是不安全和不可信赖的。防火墙技术是一种被动网络安全技术,是目前应用最多的一种网络安全技术,但是,防火墙技术有它的局限性,它假设了网络边界和服务,导致对内部的非法访问难以有效的进行控制。
3.3引入网络安全审计系统
网络安全审计系统指主体对客体进行访问和使用情况进行记录和审查,以保证网络安全规则被正确执行,并帮助分析安全事故产生的原因。
4结论
我国的信息网络安全技术和研究还处于初级阶段,需要我们国家政策和法规的支持及集团联合到一起,去共同研究、探索、开发与创新,因此,建立有中国特色的网络安全体系,走持续发展的道路,需要有一定的过程,提高网络安全防范和风险应对处理能力。建立并完善计算机信息技术网络安全管理制度,加强网络安全人员培训,完善日常员工和企业用户的上网安全制度,使计算机信息管理在网络安全应用中的管理技术能够更加健全,积极推动社会信息化的建设步伐。
参考文献
[1]耿金秀.浅谈计算机网络安全防范措施[J].中国科技信息,2011(08).
[2]孙强,陈伟,往东红等.信息安全管理[M].北京:清华大学出版社,2004.
[3]马小娟.浅谈计算机信息管理技术在网络安全中的应用[J].2013(03).
作者简介
周冰心(1987-)女,河南省漯河市人。大学本科学历。
网络安全产业是知识密集型产业,网络安全学科与其他学科有很多交叉,是高技术专业,需要构建完善的知识体系。当前,我国网络安全人才储备不足,亟待加强人才队伍建设。2015年6月,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,此举充分体现了国家对网络安全的重视,希望将分散在计算机科学、通信技术和软件工程学等学科的相关网络安全科目进行统筹,集中资源和力量来培养网络安全人才。
笔者近年供职于中国信息安全研究院,深入参与了国家网络安全顶层设计和标准编制等工作,目睹了国际和国内网络安全政策、产业和技术的重要变革,对产业政策、产业现状和需求,以及网络安全技术体系进行了深入研究。本文结合近年工作经验与高教研究,以打造网络安全体系性人才为目标,对网络安全专业的教学特点、教学内容、教学方法和考核方式等进行了一系列探索。
一、网络安全专业的教学特点
网络安全专业涉及范围广,涵盖了计算机、通信、电子、数学、生物、法律、教育和国际贸易等多学科内容,属知识密集型专业,具有很强的专业性、广泛性和实践性,随着物联网、云计算、大数据等新技术新应用的出现,网络安全专业的特点更加突出。
1.内容涉及范围广。网络安全专业涉及信息系统软硬件的本质安全,以及应对网络威胁、数据传输等方面的动态过程安全,在安全访问领域涉及密码学和生物学等,在网络安治理方面涉及法律学,在网络安全服务方面涉及教育学和管理学等,WTO第二十一条“国家安全例外”等内容涉及国际贸易学。
2.知识和技术迭代速度快。网络安全由传统意义上的信息安全演变而来。狭义的信息安全重点关注内容安全,即确保信息的完整性、可用性和保密性。随着新技术新应用的层出不穷,异构信息系统和复杂多变的网络威胁带来了新挑战。除具备网络安全基础知识和技能以外,了解和掌握更多新技术知识是网络安全专业对学生提出的新要求。
3.对实际操作能力要求高。网络安全对实践操作能力有很高要求,构建具有本质安全的自主可控软硬件系统需要丰富开发经验和集成适配能力。应对复杂多变的网络安全威胁,需要提前具备应急响应和灾难恢复能力;面对国际贸易中技术壁垒的挑战,需要深入研究国际贸易保护下的信息安全产业和政策竞争策略等。
二、教学内容设置
对于网络安全专业学生和非网络安全专业学生,在设置网络安全专业课程和教学内容时应予以区分,以使不同发展方向的学生在毕业以后将在校期间学习的知识充分发挥,适应未来职位对其知识储备的差异化需求。
(一)网络安全专业学生
网络安全涵盖本质安全和动态过程安全两大部分。对于网络安全专业的学生,在教学内容设置上,应鼓励学生通过理论和实践,构建网络安全体系观念,并依据个人爱好,深耕具体技术方向,使网络安全专业毕业生具备顶层大局观和技术优势。
1.本质安全方向。近年来,“棱镜门”等事件充分说明美国政府可利用其全球大型IT或互联网企业的技术、产品和服务,甚至对产品植入后门,来窃听、窃取各国数据和信息,这促使我国政府和产业界高度重视本质安全。本质安全涉及包括CPU、芯片、操作系统、数据库、整机、网络设备等软硬件技术产品的自主研发,目前我国党政军和“8+2”对以上技术产品渴求度很大,人才队伍建设亟待加强,因此在课程内容应增强核心硬件和基础软件知识的普及力度,使学生在本质安全基础理论、产品设计和集成适配等方面有所突破。
2.过程安全方向。学习了本质安全相关知识后,就可了解如何构建一个相对完整、安全的信息系统,但在信息系统运行过程中,还需要针对系统构建运维服务体系,从加强整个信息系统的安全性和健壮性。过程安全相关的教学内容包括容灾备份、追踪溯源、安全访问等技术,在过程安全教学内容中,可以以聚合式的思维来教授相关知识,以使学生具备完整的运维服务体系思维。(二)非网络安全专业学生
1.专业与网络安全有交互的学生。本部分以涉及网络安全的国际贸易和法律专业为例,阐述如何面向专业与网络安全有交互的学生进行教学。
对于国际贸易专业学生,引导学生加强国际IT贸易问题研究,特别是WTO第二十一条“国家安全例外”,即从国家安全考量出发,深入研究世界主要国家限制其他国家企业在其本土投资的案例,以及外国企业如何规避WTO限制,在我国广泛开展IT投资,总结国际贸易争端经验,为未来围绕“技术性贸易壁垒”的国际贸易纠纷做好充分准备。
对于法律专业学生,鼓励学生加强《中华人民共和国网络安全法》法理研究,深入学习互联网治理和网络安全相关法律和法规,培养网络安全法人才,为党政军和相关产业提供网络安全法律力量支撑,提升国家和企业的国际竞争力。
2.其他专业学生。对于其他专业学生,设置网络安全知识普及课程,通过案例分析和实践体验等手段,培养学生安全使用互联网的习惯,提升网络安全意识,了解和掌握网络安全防范和处理基本方法,巩固意识形态,促使学生做到文明上网、安全使用、加强防护,构建和谐清朗网络空间。
三、创新教学方法
教学方法和理念因学校和教师的不同而千差万别。总的来看,现代教学方法秉承以学生为主体、互动教学和构建体系化知识三项原则[1],重视创新性和突破性,符合新时代和新形势对我国高等教育提出的要求。本节结合网络安全专业的特点,总结了三个面向该专业的创新教学方法。
(一)教法和学法结合
网络安全专业涉及范围广且实践性很强,因此在教学方法上需要创新,将教法和学法进行有机结合,构建学生的理论和技术体系,提高实践能力。
PPT教授法。教师精炼教材重点,利用互联网和多媒体手段,将要点和案例以图文并茂的PPT展示,并结合课堂上的口头表述将知识展现给学生。比如利用信息系统模拟工控系统运行环境,利用DDOS进行持续攻击,使学生从各生产节点和控制系统观察受攻击时的状态,调动学生的注意力,加深学生的印象,使学生随着教师思路来学习。
互动提问法。在课堂上利用互动提问法可启发学生的思维,调动学生积极性和学习热情,促进学生提高注意力和快速学习到重要知识点,避免无精打采或溜号走神等现象发生。同时,提问法给学生提供了讨论、发表个人观点的机会,也促进了学生表达能力的提升。比如讲到构建本质安全信息系统时,可以首先向学生提问,构建该系统需要具备什么样的要素,请学生总结自己认为的具有本质安全信息系统的构造,以此增加师生间的互动,培养探究意识和发现问题的敏感性。
分组发表法。将学生分组并布置特定研究方向,鼓励学生利用互联网资源来获取知识、查找案例,并编制集文字、图片和视频等素材为一体的PPT,在课堂上进行发表,通过教授的点评和同学的提问促使学生深入了解该方向内容,做到专;通过聆听其他组的同学做发表,可以了解其他人的研究成果,并可通过课堂提问和课下交流来深入了解其他网络安全技术知识,做到广。例如学习网络安全政策时,可组建学生小组,基于学生网络安全基础技术和知识,深入研究包括FedRAMP、美关键基础设施保护总统令或国防部云计算安全指南等网络安全政策,并在课堂上做发表,与师生共同分享和研讨美国的网络安全治理经验。
(二)传统授课和网络授课结合
目前,采用传统教学模式依然是我国教育的主要方式,作为“以教师为中心”的课堂教学模式,传统授课模式通过教师在课堂上当面将知识教授给学生,可以促进有意义的学习、加深学生的理解和记忆,也有利于未来对知识的提取。而网络授课的教学模式在传统课堂教学模式的基础上融合了互联网的优势,该模式相较传统教授模式具有更好的灵活性、互动性和广泛性。特别是对于教师资源相对匮乏的地域,可以依托互联网基础设施,通过网络授课的模式将发达地区的优质教育资源引入到地方课堂,使学生享受到公平的先进的网络安全教育资源。
(三)注重实训体系建设
依托网络安全企业或其他专业机构建设网络安全实训基地,与高校等人才培养单位联合,对网络安全专业学生进行实践技能训练。实训基地对于我国网络安全人才培养具有重要意义。首先,实训基地可解决我国网络安全人才培养和使用相“脱节”、学生实际动手能力严重不足等问题。其次,实训基地涵盖技术、战略、法规等多个领域,有利于培养跨学科、复合型人才。
实训基地培训既要涵盖网络安全技术,也要涵盖网络安全战略规划和法律标准等。针对网络安全专业的不同研究方向,有针对性地分类建设攻防、追踪溯源、容灾备份、安全测评、自主可控等实训场景;针对网络安全战略规划,针对性地研究世界主要国家网络安全战略规划,分析各国目前网络安全现状和未来发展重点;针对法律标准,深入研究WTO“国家安全例外”、中美网络安全相关标准,为未来工作找到技术和法律依据。
四、改进考核方式
按照网络安全专业的特点,学生除了具备相应专业基础知识以外,还需要具备很强的实践能力。诸如学生出勤率、课堂表现、作业完成情况、参加实验和完成实验情况和考试成绩等传统的考核方式不能完全评判学生实际能力,还需增加对学生实践能力的考核,同时分配好各项考核要素权重。传统考核方面,鉴于出勤不一定认真听课,因此可将出勤率和课堂表现考核结合,作业和实验完成情况相结合,再辅以笔试,这样可以较好地评判学生对网络安全知识了解程度。实践考核方面,加强网络安全关键环节的考核内容,传统网路安全专业考核主要是以编程为主。面对新形势,实践考核可针对网络安全体系中的关键节点进行实践考核,例如对持续监控和处理信息系统网络安全问题的综合能力进行考核,增强学生网络安全的系统性实践能力。
在教育部提出加强网络空间安全专业建设的新形势下,网络安全学科建设应以培养具有网络安全体系化思维人才为导向,对不同专业的学生采取差异化授课的方式,并结合创新性教学方法和考核机制,来提升专业人才培养效果,为国家安全提供基础性和专业性人才保障。
随着智能家居的推广,家庭数字网络需求逐渐提高,数字家庭网络的安全逐渐成为关注的热点。互联网时代下的智能家居和数字家庭网络给人们的生活带来了便捷和优质的服务,使生活更加多样多彩,但在享受互联网和物联网带来的方便之时,不能忽略了其中越来愈多的安全隐患问题。加强数字家庭网络安全是保证人们享受智能家居带来的幸福生活的保障。
1数字家庭网络的含义
近年来随着互联网应用进入千家万户,通信技术在发展中寻求发展的新契机积极与换联网技术相结合,在与计算机和家居结合中引伸出家庭网络的概念。数字家庭网络的概念可以理解为将公共网络应用和功能经过家庭网关扩展到家庭内部,将家庭中的家居电器等信息终端相连接,实现信息在家庭与外部网络之间以及家庭内部终端之间的流动和共享,在共享的过程中,家庭用户可以享用到管理、控制、多媒体和语音、数据等便捷的服务。智能家居是一整套完备高效的住宅设施和家庭日程的管理系统,为家庭提供舒适、安全便捷的环保居住环境,包括家庭自动化、家庭网络、网络家电、信息家电等。其中网络家电就是在普通家电的基础上加入网络技术、数字技术和智能控制等先进的技术进行设计改良,这些家庭家电互联组成一个家庭的内部网络,又可以与外部的互联网相连接。网络家电的技术集合了家电之间互相识别并和谐工作以及家庭内网与外网相对接的两项技术内容。信息家电则主要指价格便宜但操作方便且可靠耐用带有pc功能的家电产品,是数字化和网络技术更深入渗透到家庭生活中,数字化智能化的电冰箱、微波炉、洗衣机等为人们的家庭生活带来了更优质的条件。数字家庭网络可以给用户提供更多的服务,比如个性化信息服务、海量信息存储、互动游戏、以及目前应用比较普遍的上网、电话等,远程进行家庭的控制并进行安全信息保护都将是不久普遍应用到家庭的服务。
2数字家庭网络的组成及内容
数字家庭网络的安全管理任务重大,主要需要通过对家庭网关的控制可以有效管理家庭网络的安全情况。家庭网关又可以分为对外的网络连接的家庭网关的安全控制和家庭内部网络关口的安全管理情况。外网访问家庭网络是外网安全管理的主要内容之一,可以通过访问者的身份认证或是访问者授权等措施来避免受到外网的攻击。身份确认的方法可以是用户名或是检查ip地址或是进行电话号码确认等方法进行。家庭网络的内部网络的安全设置可以从家居电器的接入和访问是否安全。在网络的安全控制中,对无线网络的要求要比有线网络的更为严格,随着无线网络的广泛应用,解决无线接入的安全网络控制将是解决数字家庭安全网络的一种重要的措施。家庭的网络组成主要是由家庭网关和多种多样的智能电器。其中家庭网关是数字家庭网络各种应用的重要基础,是整个家庭数字网络和外部网络进行连接的重要桥梁,可以将任意外部网络的信号经由内部网络的传递到达信息终端,实现对智能家电的远程控制。另外,多样的智能家电终端是组成家庭网络的重要部件,数字家电设备之间通过家庭中的有线或无线网络联系在一起进行自动的协调配置。家庭网关的大门承担着数字家庭网络安全的主要责任,因此要求家庭网关具备抵御外界网络中的病毒等对家庭网络的入侵和攻击。进行数字家庭网络安全的研究可以从家庭网关的研究中找到突破口及有效的方法措施。
3家庭网络存在的安全隐患
家庭数字网络的推广应用在给家庭带来便捷优质生活条件的同时,其中也隐含着不少的安全隐患,且呈现日益凸显的情况。目前的网络安全中常见的安全隐患有病毒、内部截取破坏、邮件入侵、非法访问、截收、破坏信息完整、植入和冒充等主要的安全威胁存在。当家庭成员不在家里而在室外对加中的家电进行操作时,必须保证所发出的信息能够准确联系到指定的家电,隔空进行准确无误的操作,而不能产生任何的偏差。如果家庭网络环境不稳定不安全,必然会出现家庭信息泄漏或是错误控制其他家电设备造成不必要的损失。因此,保障数字家庭网络的安全,为家庭网络提供一个隐私可靠安全稳定的环境,是保证家庭权益和保证网络数字应用顺利推广的重要工作内容。数字家庭网络安全的主要内容可以体现在下面的几个方面中:(1)家庭的安全认证,家庭的数字网络设备一定要设有有效的安全认证机制,能够快速准确识别未经认证授权的设备或信息终端接入家庭网络中。(2)家庭数字网络的安全机制,家庭的网络具有隐私性,因此在整个的家庭网络一定要设有防火墙之类的安全保障机制。由于整个家庭网络都主要是由网关与外界网络进行连接,因此安全机制的重任就落在了网关上,实现家庭网络信息与外部网络的隔离,保证家庭信息不被外泄。(3)家庭数字媒体内容的安全,可以设置密码或者数字水印等技术对多媒体的内容进行安全机制设置。
4维护家庭网络完全的技术方法
4.1采用VLAN和多SSID技术
目前的市场上,无线的VLAN已经得到了广泛的市场应用,即使用户不在自己经常上网的漫游地区,依然能够保留自己的VLAN信息,能够保证自己的网络权限不因上网地方的转移而产生限制。无线网络的家庭网关也可以采用一些手段实现家庭内组网,家庭网关中采用多SSID技术就可以实现虚拟的ap功能的实现。不同的SSID应用就会有不同的访问权限和认证方法,同时也可以对不同的VLAN形成映射的作用,这样就可以将公共的网络热点与家庭的网络之间实现了隔离,保障了家庭网络的安全。
4.2NAT技术
NAT技术的最大好处就是可以将自己的私有地址转换为互联网中的公有数据地址,也可以将接收的来自互联网的公有地址转化为自己家庭需要的私有地址的数据包。
4.3IDS技术
IDS技术指的是检测入侵的系统,这种系统的优势就是可以弥补防火墙的一些不足之处。每当有不明的信息进入家庭网络时都可以对其进行实时的安全检测并对有入侵嫌疑的内容采取措施。这种入侵检测系统的工作原理是不断采集来自于网络关键点的信息并进行实时有效的分析,于是这种检测系统策划成为了继防火墙之后的又一安全屏障,谨防违法安全或袭击等现象的发生。
4.4其他的安全保障技术
除了上述详细介绍的几种维护家庭网络安全的技术之外,还有一些应用比较广泛的技术,比如:高级通信过滤技术,简称ASPF,主要是对于应用层可能出现的部分攻击进行防范和检测;重要的一种安全认证技术CA和AAA认证技术,都对数字家庭网络形成了一定程度的安全保障。
5总结
随着数字家庭网络的迅速发展,家庭用户越来越倾向于采用安全级别较高的有安全保障的网络服务,将网络真正实现为己所用。上文中从数字家庭安全网络的概念出发,研究其内容并对一些有效的维护家庭网络安全的技术进行了分析。今后对数字家庭网络的研究的趋势更应该倾向于将先进的云计算等技术应用到安全技术中实现降低在家庭网络安全中的成本和实时监控连入家庭网络的所有设备以及为用户提供更优质的网络服务。总之,数字家庭网络将向着更加便捷和安全的方向发展,为个家庭提供更优质舒适的生活环境。
参考文献
[1]姚琼,孙鹏,倪宏.数字家庭网络技术的发展现状研究与展望[J].科技传播,2009.
[2]蔡觉婷.数字家庭网络技术与发展[J].电信网技术,2005.
[3]丁英姿.面向数字家庭的内容分发网络关键技术研究[D].中国海洋大学,2012.
[4]陈桂芳.家庭数字网络构建方案[s].太原师范学院学报,2010.
关键词:网络穿透;网络防护;防火墙;入侵检测
中图分类号:TP393.08
伴随着互联网的迅猛发展,互联网世界越来越丰富多彩,上网的人数和网络应用服务激剧增加,新的应用协议,新的网络服务层出不穷,对整体信息安全提出了巨大的挑战。为了保护网络内部的安全和进行网络管理,政府、企业和用户都采用防火墙、入侵检测系统和病毒检测等防护设备,来检测和防御来自于网络上的恶意行为,以提供安全保障。然而,网络攻击与防护是一个不断对抗和发展的过程,当前,攻击者可以利用防火墙、入侵检测设备和其他检测技术上的漏洞和脆弱点,进行网络穿透。
通过网络穿透,不法分子可以大肆谈论不法内容、发泄对社会的不满、造谣惑众、传播不法的思想,危害国家和社会安全;结合木马、病毒和其他恶意程序,绕过网络安全防护设备,达到非法控制、传播和获取秘密信息的目的;为盗版软件、垃圾邮件和色情暴力等信息的传播提供了平台,破坏社会秩序[1]。因此,网络穿透对网络安全和监管带来了严重的冲击,对网络穿透技术进行研究十分有必要。本文从攻击者的角度研究了网络穿透技术,并最终给出相应的对策。首先对网络防护设备进行研究,分析了防火墙和入侵检测系统,接着分析了网络穿透技术,阐述了网络穿透通信模型和基本原理,分析了网络穿透的关键技术,最后给出了应对当前穿透技术的几点对策。
1网络防护设备
为了保证网络内部的信息安全,政府、企业和用户都会使用一些网络防护设备进行网络监视和管理。常见的网络防护设备有防火墙和入侵检测系统。
1.1防火墙。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据不同的安全策略,实现对网络流量的控制,它本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全[2]。
防火墙是网络安全的屏障,可以强化网络安全策略,对网络存取和访问进行监控审计,并防止内部信息的外泄。防火墙根据不同的网络体系结构,可以分为个人防火墙、网络级防火墙、应用级网关防火墙和电路级网关防火墙。其主要通过包过滤、检查IP地址和端口,实现数据包的通行或阻止,通过检测网络会话的发起端,结合网络流量的方向,判断相互通过的信任关系,通过对网络数据包的重组,分析数据包的内容,来实现有无秘密信息的传输,来达到对内外网络流量的控制和管理。
1.2入侵检测系统。入侵检测技术(IntrusionDetection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。IDS则是完成如入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)[3]。入侵检测技术作为一种积极主动的安全防护技术,它能够对外部入侵和内部攻击进行实时监视,在网络系统受到危害时,进行拦截和响应,发现入侵行为。
入侵检测系统能很好地弥补防火墙的不足,通过安全审计、流量识别和响应监视加强对网络的监管,及时发现不法的入侵行为,加强了网络的安全管理能力,提升了网络基础安全的完整性。入侵检测系统被认为是防火墙的第二道安全闸门,它通过分析网络流量,提取正常通信和异常通信的特征和行为区别,形成检测规则,在网络流时中监视是否有非法的入侵行为。异常通信行为在通信数据包的特征上和通信的行为上肯定有着不一样的地方,如某些木马特定的通信端口、病毒数据包上的标志以及恶意程序操作行为会有明显的标识,这些特点都被入侵检测系统用来对网络进行实时的监测。入侵检测系统还能够在发现入侵行为之后,及时做出响应,包括:事件记录、报警存储和网络连接切断等。
2网络穿透技术
2.1网络穿透通信模型。网络穿透,从狭义上讲是点对点的,通过检测和发掘防火墙、IDS等网络安全设备和系统存在的漏洞,采用一些特定的技术,穿透这些安全设备,从而达到对目标机器和目标网络的攻击;广义上讲,凡是将攻击代码、隐秘数据等传到网络地址转换(NAT)、防火墙、IDS等网络安全设备之后的目标主机上的技术都可以看成一种穿透[4]。因此,网络穿透通信模型可以描述成如下。
如图1所示,网络穿透通信模型包括了主机、防火墙、Internet部分、服务器和网络服务,其中防火墙根据部署的位置不同,可以分为个人防火墙和网络防火墙,本文主要从攻击者角度,重点研究如何利用网络穿透技术实现对网络防火墙的穿透,即实现主机穿透网络防火墙后,经过互联网,实现对远程主机、服务器和其他网络服务的访问。
2.2网络穿透工作原理。网络穿透之所以能够穿透防火墙,实现对限制资源的访问,主要的工作原理有:
2.2.1进行欺骗,伪装成正常的通信。防火墙在配置的时候,通常会信任某些应用程序和端口对网络的访问。通过分析防火墙所信任的应用程序,放行的IP地址、端口,就可以将自己有针对性地伪装成防火墙已信任的通信。这样,在网络通信发生时,防火墙将会误认为是正常的数据通信,便允许其通过。例如,在正常的防火墙设置中,都会放行端口为80和443的通信,以保证该网络正常的网络访问,那么就可以将相应的网络通信伪装端口为80或443的数据包,以达到欺骗防火墙,达到网络穿透的目的。入侵检测系统的主要思想是区分异常通信和正常通信,那么相应的网络通信只要进行欺骗,伪装成正常的通信行为,那么也使得入侵检测系统的检测难度极大加强。
2.2.2进行加密,实现数据内容无法检测。当前防火墙和入侵检测设备,能够实现对通信过程中数据包内容的重组,从而达到对通信数据内容的监视,从内容中判断是否有网络穿透行为的发生。然而,攻击者可以利用一些加密通信隧道实现对数据内容的加密,使得防火墙和入侵检测系统只能监测到加密后的密文,无法实现对数据内容的判断和过滤。例如,可以通过建立HTTPS隧道[5],通过SSL协议,实现对网络数据的加密处理,这样处理后的数据包只带有通信双方的IP和端口,通信的内容完全是进行加密的,这样的通信内容便可以顺利穿透防火墙和入侵检测系统,从而达到对目标的非法访问。通信数据进行加密,极大的隐藏了通信双方的内容,使得以监控内容的防护设备失效,而且进行数据解密的难度相当大,因此该工作原理,能够实现较好的网络穿透。
2.2.3进行隐蔽,实现网络匿名通信。虽然进行加密,能够进行网络穿透,但是加密的方式,还是实现不了对通信双方身份的隐藏,防火墙和入侵检测设备仍然可以对一些非法的通信IP地址进封锁,从而实现对网络穿透一定的监管。而且攻击者可以利用信息隐藏技术和P2P技术,实现匿名通信,从而实现通信双方或单方的身份隐藏,从而实现网络穿透。例如,可以利用一些数据包上的特殊的空闭字段,填入约定好的数据比特,实现信息的隐藏传输,从而达到通信双方身份的隐藏,如:基于共享DNS的防火墙穿透技术和基于ICMP协议的网络穿透技术等[6]。还有就是利用P2P网络实现对访问目标身份的隐藏,如基于Tor平台匿名通信的网络穿透技术。
2.3网络穿透关键技术分析。根据网络穿透的工作原理,分析国内外当前的网络穿透技术,主要的关键技术有如下:
2.3.1服务技术。服务技术是常见的进行间接访问网络信息资源的中转技术,它能够实现服务器和访问目标之间的信息转发和控制,实现网络穿透,常见的有:SOCKS4、SOCKS5和HTTP等,其中SOCKS4只支持TCP,SOCKS5支持TCP和UDP协议。通过服务技术,可以实现突破IP地址的封锁、隐藏自己的身份和访问限制资源,进行网络穿透的行为。
2.3.2网页和端口转向技术。网页转向技术是指很多网站有提供网页的自动转向功能,那么在内网用户可以利用该网页重定位技术,通过这些合法网站,进行网络穿透。端口转向技术是指针对防火墙的设置,将要访问的端口转向防火墙开放的端口,实现网络穿透,如可以将端口转向防火墙常开放的80和443端口。网页和端口转向技术主要利用了数据包的修改和转发,实现利用正常的网络通信行为承载非法的通信,从而实现网络穿透。
2.3.3反弹连接技术。该技术源于木马通信的发展,从开始的主动连接通信,通过木马控制端主动去连接植入目标的木马服务端,该方法容易被防火墙封阻,因此,发展了反弹连接方法,木马程序的服务端通过访问服务器或域名解析获取控制端IP地址,从而主动发起对指定IP的连接,连接方面与主动边接相反是从内向外的,容易实现网络穿透。当前大多数木马都采用了该技术,进行网络穿透,如:灰鸽子、PoisonIVY和PcShare等。
2.3.4隧道穿透技术。隧道穿透技术是一种较常见网络穿透技术,它使用一些常用服务接入端口如WEB服务、邮件、即时聊天工具端口,或者使用动态扫描获得的开放端口,通过变化通信端口来出避免防火墙和入侵检测系统的检测。例如:利用HTTP隧道技术,将要通信的数据用HTTP协议进行封装,伪装成正常的WEB访问数据,从而实现网络穿透,当然也可以封装成邮件或即时聊天数据。该隧道穿透技术还可以结合加密技术,实现对数据内容的加密,如匿名HTTPS隧道木马[5],其实现了用户数据伪装成HTTPS数据包加密传输,达到网络穿透的目的。
2.3.5基于P2P的穿透技术。结合网络探测技术和拓扑发现等技术,穿越和绕过NAT和防火墙,使得NAT和防火墙如同虚设。其中有基于TCP协议和UDP协议的P2P穿透技术,该穿透技术可以实现对通信双方或单方的隐藏。如:SKYPE即时通讯工具,它采用P2P技术,运用STUN和TURN的协议演变出的类似协议来探测网络拓扑结构,并实现UDP连接方式下的穿透NAT,或者寻找出绕出防火墙等安全设备的路径[7]。
2.3.6匿名通信技术。匿名通信技术是通过信息隐藏的方法,将信息流中的通信关系加以隐藏,使得窃听者无法直接获知或推知双方的通信关系或者通信的某一方。匿名通信的重要目的就是隐藏通信双方的身份或者通信关系,从而实现对网络用户的个人通信隐私以及通信内容的更好保护,使监管更为困难。如:以MIX、洋葱路由器、TOR技术为代表的匿名通信技术发展快速,为穿透技术提供了新的平台[8]。
3防范对策
当前网络穿透技术的不断发展,而且各种网络穿透技术被综合运用,对网络安全监控和管理提出巨大的考验,针对该情况,本文尝试给出几点建议。
3.1从技术研究上,要不断紧跟新的网络穿透技术,深入研究,寻找对策。当前新的网络穿透技术不断呈现,信息安全人员要不断紧跟新的网络穿透技术的研究,结合防火墙技术和入侵检测技术,不断寻找应对网络穿透的方法。技术的对策,是最直接有效的,而且也是需要大力投入人力和经费的。网络穿透技术当前已经呈观出通信特征正常化、数据传输加密化和通信身体隐蔽化的特点,从技术上加强对网络穿透技术的研究,并寻找相应的措施是十分有必要。
3.2从设备部署上,要在重点的网络关口,骨干网络加强部署防火墙和入侵检测系统等防护设备。应用行之有效的网络防护设备才能够在一定程度上阻止网络穿透行为的发生,要研究企业或政府网络的关键节点,部署防火墙或入侵检测设备进行监视。在各个骨干节点上部署防火墙和入侵检测设备,可以强化防护设备之间的联动作用,进行分布式监管,形成有效的监视网。还有就是要对企业和政府等网络的关键数据设备如:文件服务器、WEB服务器等加强监控,部署防护设备。
3.3从规章制度上,要建立一套完善的、合理的互联网上网规范,形成良好的监管制度。企业或政府部分可以建立一套相对完善的上网规范,规范用户的上网行为规范,从而形成良好的监管制度。攻击者之所以能够进行网络穿透行为,他们利用了互联网上大量的资源,如:服务器、匿名网络和肉鸡等,通过完善的上网规范,可以从一定程度上遏制这些资源的存在,以进化整个网络的环境,形成良好的秩序。
3.4从教育引导上,要强化宣传教育,引导网民树立良好的互联网纪律意识,从思想上遏制网络穿透行为的发生。当前有人利用网络穿透技术,进行一些非法行为,如:传播非法言论、盗版软件和色情暴力电影等,对该非法行为的违法之处还认识不深,警示不够。要从网民的思想教育上抓起,树立在互联网上什么能做,什么不能做的意识,并警示如果违反,将受到制度和法律的惩罚。养成良好的思想意识,这样才能减少网络穿透非法行为的发生,从而保证企业和政府的网络安全。
4结束语
随着计算机技术的普及,在互联网中网络穿透不断发生,通过网络穿透,不法分子可以达到大肆造谣、非法传播和数据窃取等目的,直接危害网络信息安全。本文简介了当前主要防护设备,即:防火墙和入侵检测系统,接着从网络穿透的通信模型、工作原理和关键技术分析了网络穿透技术,给出了网络穿透的通信模型,从欺骗、加密和隐蔽分析网络穿透的工作原理,从六个方面分析网络穿透的关键技术,最后从技术、设备、制度和教育四个方面给出网络穿透技术的防范对策。网络穿透技术与反穿透技术,必将是一个不断对抗和发展的过程,我们应该不断紧盯网络穿透技术的新发展,及时给出反穿透技术,从而保证网络信息安全。
参考文献:
[1]彭乐.网络穿透技术的研究[D].北京:北京邮电大学,2008.
[2]王鲁达,曾凡仔,张澎等.信息共享系统的防火墙穿透技术的研究与实现[J].计算机工程与科学,2008(01):38-40,44.
[3]肖竞华,胡华.入侵检测技术的分析与研究[J].计算机安全,2009(08).
[4]RichardTibbs等.防火墙与VPN原理与实践[M].李展等,译.北京:清华大学出版社,2008.
[5]刘超,王轶骏,施勇等.匿名HTTPS隧道木马的研究[J].信息安全与通信保密,2011(12):78-80.
[6]刘静,裘国永.基于反向连接?HTTP隧道和共享DNS的防火墙穿透技术[J].郑州轻工业学院学报(自然科学版),2007(05):57-59.
[7]SalmanA.BasetandHenningSchulzrinne.AnAnalysisoftheSkpePeer-to-PeerInternetTelephonyProtocol.September15,2004.
[8]DoganKesdogan,MarkBorning,andMichaelSchmeink.UnobservableSurfingontheWorldWideWeb:IsPrivateInformationRetrievalanalternativetotheMIX[C].//IntheProceedingsofPrivacyEnhancingTechnologiesworkshop(PET2002),April2002.
【关键词】计算机网络;信息防御;安全意识;安全管理
当下,信息技术不断发展,促使计算机网络覆盖面积逐渐增大。但是,对计算机网络进行实际应用过程中,存在一些不法分子对网络信息进行恶意侵害,导致计算机网络信息安全面临一定安全隐患。这种情况下,要求计算机网络安全管理人员对这一行为进行科学防御,通过科学手段,保障相应网络信息不受侵害。
1计算机网络安全管理中存在的问题
1.1计算机网络用户信息安全意识淡薄相应计算机网络用户,实施相应操作过程中,认为内部网络安全性较好,因此便放松了安全警惕。此外,用户自身安全意识淡薄,对相应密码等进行设置过程中,安全级别较低,甚至有的用户根本不设置密码。用户对移动介质进行使用过程中,并不注重安全检查,在不同计算机上进行U盘等移动介质的随意使用,有些用户在不同计算机上随意拷贝文件。还有一些用户,为了方便起见,直接对插入计算机的内网网线随意切换。这些情况的存在,均为病毒和木马的转换提供了条件,进而为不同单位和企业等计算就网络安全带来安全性威胁。1.2不注重网络安全管理企业和相应事业机关单位等,内部网络管理人员管理水平参差不齐,部分规模较小的单位,存在一些网络管理人员身兼数职,其自身经历和技术能力等的限制,导致网络管理水平不高。对本单位计算机操作系统进行安装过程中,没有及时对系统安装相应的补丁和杀毒软件等,导致计算机出现漏洞。计算机人员对相应软件进行安装过程中,没有对相应的应用软件做出安全检查,这就导致安装出现隐患,最终导致计算机网络信息安全面临威胁。此外,服务器和交换机等设备在日常运行过程中,缺乏完善的维护措施,导致网络故障出现,进而导致整个网络安全应用受到一定影响。1.3计算机网络设计缺陷一些企业和机关事业单位的网络所涉及的内容有内网、外网两部分内容,部分单位存在健康网络和网等多套网络,网络环境十分复杂,这些网络的建设时间不同,建设标准也有所不同,这就很容易导致网络设计出现缺陷。部分单位中,机房没有安装UPS和防雷、消防等保护设施,并且没有对一些重要资料和数据库等实施异地备份,最终造成数据丢失等问题出现。
2计算机网络信息的防御技术应用实践
对计算机网络信息防御技术的应用实践进行分析,其日常运行过程中,存在一定安全隐患,对这些隐患进行分类,以网络信息技术的实际应用作为依据,使用相对合理的防御技术,并且构建出较为健康和安全的计算机网络信息环境。当下,针对计算机网络信息而言,主要将防御技术建立在动态自适应性网络安全模型的PPOR基础上。图1为主从式DDOS攻击结构。2.1安全扫描用户对其进行使用过程中,一定要具备较高的网络安全意识。对此,对网络信息进行安全扫描、行为扫描和模糊匹配等十分必要。对动态性能等进行强力扫描,可以找出计算机中存在的安全隐患,对扫描情况进行反馈,可以做出相应处理措施。2.2系统增强对其进行实际应用过程中,计算机网络安全架构难以对这一威胁及时发现,这就引发了安全隐患。可以适当增加相应系统,从而提升防御能力。进行系统的增加,可以对计算机网络信息当中一部分恶意数据进行适当检测核拦截,进而避免恶意数据对计算机带来影响,促使伤害扩大。2.3学习、自适应对学习型和自适应防御系进行科学应用,能够促使计算机网络防御能力得以提升,这一防御系统,这种防御系统,主要体现在智能化防入侵能力上,对计算机实施传统检测和扫描所获得的反馈,实施智能化学习,进而形成一种新型防御能力。通过这种方式,促使计算机网络可以针对新型病毒,进行充分免疫,结合不同供给以及入侵情况进行科学控制,促使计算机网络信息安全水平得以提升。2.4实施响应和黑客诱骗技术实施相应,需要建立在动态自适应网络安全模型PPDR基础之上,在运行过程中,如果发现计算机网络遭受了外部空攻击,或者自身出现漏洞,通过实时响应或者电子邮件等方式,将相关内容向用户反应,从而方便对这些内容进行及时处理。黑客诱导技术,主要是对虚假信息进行释放,进而对黑客入侵时间适当的拖延,通过这种方式,为用户对病毒的防御提供足够的时间。将实时响应和黑客诱导两种方式相互结合,从而在黑客入侵的第一时间,向外发出警报,进而使用户能够尽快的进行处理和防御,最终提升计算机网络信息安全。
3计算机网络信息安全防御应注意的问题
3.1合理规划,建设安全防御体系计算机网络运行的整个过程,均需要具备一定的计算机网络安全防御体系。计算机网络处于规划阶段时,需要对其实施整体规划,并且对其进行分步实施。此外,高度重视对网络基础设施进行建设,却好计算机网络相互配套。此外,对单位各种网络关系进行认真清理,对网络布局情况进行科学合理的规划,从而使网络较差情况适当减少,降低网络层级。对企业以及机关事业单位的建设过程中,可以在核心层的互通网络,不能在接入互联。可以对光纤资源进行科学优化,促使核心和接入的网络得以实现,不能设置汇聚层。对计算机网络系统进行使用过程中,要重视对相应管理人员以及网络信息使用人员进行定期培训,提升这些人员的技术水平。对其开展一定的思想教育,提升其安全意识,确保系统始终处于安全运行中。3.2提高计算机网络信息防毒和杀毒功能当前,计算机网络得到不断普及,这为很多木马和病毒等侵入提供了可能。对此,在计算机网络内部,需要设置较为完善的防毒和杀毒措施,这样做,促使计算机网络防毒和杀毒功能得以提升,对网络内部防毒以及杀毒功能进行有机结合,确保计算机网络信息足够安全。3.3对关键信息进行备份为了使计算机网络的安全性得到进一步提升,促使信息丢失和损坏等方面的影响得到有效降低,需要关键性数据进行备份。此外,对相应硬件装置以及网络信息之间进行隔离,通过这种方式,防止信息数据丢失。3.4对网络防护设备进行科学设置在网络信息当中,防火墙属于整个计算机当中的隔离层,将计算机自身信息和外界信息之间进行科学隔离,确保计算机网络信息足够安全。企业以及相应机关事业单位,可以在内部网络边界上,设置一定的防火墙。针对较为重要的网络,尤其是涉及秘密保护信息的相应内容,需要在内部网络上、安全网关和入侵检测等相关设备,为了使单位内部计算机因为违规外联网引起的信息泄露等情况出现,则需要在内部网络上,安装一定具备违规外联管理的计算机管系统,通过这种形式,防止内部计算机和互联网相互连接,并且提醒相应管理人员,对这一内容进行及时处理。3.5身份证网络信息加密为了使内部网络当中的应用软件系统数据安全得到保障,如果企业具备相应条件,可以在内部建设相应的用户统一身份认证系统。这种用户统一身份认证系统,改变了原有的“用户名+密码”的认证方式,借助PKI/CA当做一种身份认证技术手段,间用户为核心,建立一定的安全应用框架,最终对上层业务资源等进行科学整合,最终实现对用户以及业务资源的集中性管理。此外,对内部信息资源的安全提供一定保护。针对以及较为重要的文件而言,相应技术人员可以对这些数据或者文件、口令等设置一套较为高级的加密。
4结束语
总而言之,当今计算机网络使用范围不断扩大,覆盖面越来越广,可谓是渗透在各行业当中。借助相应计算机网络防御策,对计算机网络信息安全问题进行科学分析,针对当前计算机网络存在的安全隐患,制定科学有效的防御措施,只有这样,才能有效提升计算机网络信息防御水平,提升安全系数。相关用户和计算机网络信息安全管理人员,要提升自身安全意识,营造出一种健康、安全的计算机网络信息使用环境。
参考文献
[1]高博.关于计算机网络服务器的入侵与防御技术的探讨[J].电子技术与软件工程,2015(08):226-227.
[2]李先宗.计算机网络安全防御技术探究[J].电脑知识与技术,2015(21):33-35.
[3]李军.基于信息时代的网络技术安全及网络防御分析[J].网络安全技术与应用,2016(01):17-18.
[4]张燕.数据挖掘技术在计算机网络病毒防御中的应用探究[J].太原城市职业技术学院学报,2016(04):174-176.
