【关键词】网络安全;IPS;构建;应用
【中图分类号】TP393.08
【文献标识码】A
【文章编号】1672—5158(2012)10-0102-01
1、建设背景
随着信息化建设的发展,网络越来越庞大,承载的应用系统也越来越复杂,随之而来的网络安全风险也日益突出。尤其混合威胁的风险,如蠕虫、病毒、木马、僵尸程序、DDoS攻击阻塞甚至中断网络,各类P2P应用轻易的占据100%的网络上行下行带宽,同时,随之而来的修复工作使IT管理人员被迫充当“消防队员”的角色,消耗了大量宝贵的人力资源;如何构建主动的网络安全防护系统,对网络进行流量控制及净化,实时了解网络运维情况,及时发现消除网络安全隐患,督促提高用户安全意识等问题,成为网络安全面临的最大挑战。
通常在谈到网络安全时,首先会想到“防火墙”,一般采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足安全需要,部署了防火墙的安全保障体系仍需要进一步完善。
2、部署情况
系统部署情况:在单位内网一外网出口及地州广域网出口处在线部署网络入侵保护系统。网络入侵保护系统具有防火墙功能提供边界控制、安全域划分,防护来自其他安全域的攻击;网络入侵保护系统可以实时拦截进出网络的数据流量中各种类型的恶意攻击流量,把攻击防御在受保护网络之外,实现内网访问控制细粒度管理,净化网络流量,保护内网的信息资产及网络性能。同时,考虑网络冗余,提高可用性,系统具有BYPASS功能,支持失效开放(Fail-open)机制,当出现软件故障、硬件故障、电源故障时,系统自动切换到直通状态以保障网络可用性,避免单点故障。
该系统具有4个100/1000M自适应以太网口,可用于2路IPS保护或1路IPS保护+2路IDS监听,这样外网广域网的出口都将得到有效的保护及监控,并且另外2个空闲网口目前可用于管理通讯。将来可通过升级证书而不用更新硬件,IPS升级为6口3路IPS保护以满足将来网络扩展。在线部署的IPS在链路上实时捕捉数据包,根据网络的自身特点设置合理有效的访问控制、流量管理、行为管理策略和入侵保护模式,进行入侵行为检测、分析和实时响应,自动阻断攻击,净化网络流量,消除安全隐患,使用一种产品就达到多重保护目的,大大地节约了投资,并切实有效地保护网络的安全。
同时,在安全管控中心服务器上安装网络入侵保护系统控制台程序,实现对IPS等安全系统的集中管理,该系统同时支持C/S和B/S模式,可以灵活方便的管理部署在内网中的网络入侵保护系统。系统支持“集中+分布式”部署管理IPS,保证了今后可在全省范围实现既可统一、又可分级管理的主动入侵防护系统,使系统具有可扩展性、可充分利用现有资源、可随需而变的灵活管理方式。
3、应用情况
通过部署网络入侵保护系统,本单位网络安全状况得到了显著的提高、网络性能得到明显改善、发现及加固了网络安全的薄弱环节、规范了用户上网行为、加强了用户安全意识,主动入侵防护系统达到了预期的应用效果。
3.1在构建主动的网络安全防护系统方面
在部署初期,当时IPS系统平均每天可发现及阻断各种攻击事件655次/天。部署半年以后,通过IPS发现及整改了各种网络安全问题规范了网络行为,平均每天可发现及阻断各种攻击事件减少到60次/天。主动安全防护系统的成功构建使本单位网络攻击事件减少了10倍。
3.2在对网络进行流量控制及净化方面
通过在IPS上设置阻断“蠕虫事件”“拒绝服务类攻击事件”策略,结合对每个IP限制“P2P类应用”分配100kbps带宽的限流策略,原来严重影响单位网络性能的攻击流量、P2P应用流量得到了有效的阻断及控制,净化了网络流量,保障了网络性能。
3.3在辅助网络运维管理方面
通过IPS系统可实时了解当前网络的流量情况、协议构成、应用状况等,为网络运维提供参考及决策依据。
3.4在及时发现消除网络安全隐患方面
IPS上线部署后立即发现了感染“震荡波”蠕虫病毒的客户端,为管理员定位了蠕虫病毒源;随后IPS又发现了感染“熊猫烧香”病毒的客户端;管理员依靠IPS阻断了蠕虫病毒的攻击及传播,保护了网络,依据IPS日志报警信息定位了染毒客户端,并进一步清除病毒修补客户端漏洞,消除了网络安全隐患。
根据IPS日志报警信息,发现了1台网络设备采用明文telnet方式管理并使用了弱口令,管理员及时整改,将设备登录管理方式配置为加密的SSH,配置了访问控制策略账号安全策略,并设置了强壮的口令,大幅提升了网络设备管理的安全性。
根据IPS日志报警信息还发现了,某网管平台管理部分网络设备时使用了SNMP默认的public口令,即相应的被管理网络设备存在“SNMP默认共同体串信息泄露漏洞”,管理员依据此信息定位了存在“SNMP默认共同体串信息泄露漏洞”的网络设备,并根据IPS知识库建议进行了整改,为所有采用SNMP管理的网络设备配置了强壮的口令,并严格限制了SNMP写权限,消除了网络安全隐患,提升了网络安全管理水平。
3.5在督促提高用户安全意识方面
IPS系统还帮助管理员发现了用户的各种弱口令、空口令,管理员据此向相关用户提出了账号、口令安全建议,并对用户进行了安全培训,有效地督促用户提高安全意识,系统上线半年后本单位用户安全意识得到了明显提高,本网用户使用弱口令、空口令现象基本消除。
关键词:无线网络构建AP安全策略
中图分类号:TN925.93文献标识码:A文章编号:1007-9416(2015)07-0000-00
随着信息技术的飞速发展以及网络技术的广泛应用,我国有线校园网建设得到快速发展。但校园内的师生具有很强的流动性,笔记本、智能手机等无线终端设备被广泛使用,师生迫切需要在校园内任何时间、地点都能连接到网络,传统有线网络已无法满足人们的需求。学校在扩充有线网络的方案中,更青睐无线网络的构建。无线网络通过无线信道来实现Internet互联功能,不但能够实现通信的移动化、个性化和宽带化,而且能够摆脱有线网络在构建和应用中存在的高成本、布线难、维护难、接入点有限等瓶颈问题,这种基于有线网络扩充的校园无线网络模式,将对学校的日常管理、教学模式和师生的生活产生深远的影响。
1无线网络概述
无线网络是指将地理位置上分散的终端通过无线电技术连接起来,实现数据通信和资源共享的网络。无线网络的传输介质是无线电波,这种网络不需要实现物理布线即可轻松构建网络,有效解决了有线网络布线困难、网络覆盖范围有限及灵活性差等问题。
1997年,第一个无线网络通信标准IEEE802.11制定,解决了无线设备之间的互联问题,之后这一标准又不断得到完善和发展,先后经历了IEEE802.11a、IEEE802.11b、IEEE802.11g和IEEE802.11n等IEEE802.11x系列标准。无线网络的数据速率也从11Mbps,54Mbps,108Mbps上升到300Mbps。
2无线校园网的组建方案
2.1无线校园网的构建分析
无线局域网(WirelessLocalAreaNetwork)以无线多址信道作为传输媒介,给用户提供有线局域网的服务。它最大的特点是易于安装和使用。有效避免了有线网络布线中出现的各种困难和问题。通过WLAN系统,用户真正意义上实现了随时、随地、随意的访问Internet资源。解决了由于接入点少、地理位置偏等原因造成无法上网的难题。
校园无线局域网所需要的主要设备有:无线AP、无线控制器、三层交换机设备。无线AP(AccessPoint)即无线接入点,通过双绞线连接在中心路由器或交换机上,交换机为AP分配IP地址,终端设备通过无线网卡从AP获得IP地址。从而实现有线局域网和无线局域网之间互相访问;无线控制器(WirelessAccessPointController)用于统一管理无线网络中的无线AP设备,包括AP自动发现、AP状态查看、AP统一配置,以及修改AP相关配置参数、接入安全控制等。它能够提高无线网络的性能及可靠性,便于无线网络的管理维护;三层交换机既实现了数据包的高速转发,又实现了网络的路由功能,与传统的二层交换机相比,性能得到了大幅度的提升。无线控制器通过线缆与核心交换机相连,不同位置的无线AP可以通过线缆与最近的交换机相连,最终实现校园无线网络的覆盖。而要想实现无线漫游,就必须通过多个AP进行校园内的无线覆盖,从而保证保持不间断的无盲区网络连接。
2.2无线校园网的架设
无线校园网的架设,必须要解决三个问题:一是要以最少数量的AP实现校园内无线网络的覆盖;二是校园内不出现网络死角;三是相邻AP必须设置为不同的频段,且要相距5个频段以上,避免相互干扰,如使用1、6、11频段。三个问题的解决是相辅相成,缺一不可。
要做到AP数量的最优化,应考虑到校园内原有有线网络的部署情况,建筑物的特点、距离等问题,每个无线AP都有一定的覆盖范围,在布置AP位置时,各个AP范围之间适当重叠,减少信号盲区,保证校园内任何一个地方都可访问到网络。对于用户多的区域,如教室,会议室,宿舍等区域,可适当增加单位面积内AP数量,为用户提供稳定的网络环境。而对于操场等区域,可用少量的AP实现无线覆盖。
3无线校园网的安全防范措施
无线网络给学校师生带来方便的同时,也会出现一些安全隐患,所以需要采取一些必要的防范措施:(1)更改无线AP的管理员登录初始口令和初始SSID;(2)要隐藏SSID,禁止广播SSID;(3)要采用比WEP更安全的WPA或WPA2进行加密。为防止非法用户利用捕捉数据包软件破解出WEP无线加密协议密钥,不能设置如ADMIN123、12345678这样容易被猜中的简单密钥,设置复杂的密码组合还是比较安全的。而WPA2是WPA的第二代,它支持更高级的AES加密,因此能够更好地解决无线网络的安全问题。(4)MAC地址访问控制列表。每一块无线网卡都有一个唯一的MAC地址,我们可以在无线网络接入点设备中建立一张MAC访问控制表,将合法的MAC地址录入到表中,并启动MAC地址过滤功能,不在控制列表中的MAC地址就无法连接到网络中,从而防止非法用户对无线网络的入侵。
4结语
随着校园信息化进程的飞速发展,无线网络扮演的角色越来越重要,我们在构建无线网络时可以借鉴其他学校成熟的无线网络,根据本校的特征,因地制宜,采用比较合适的构建模式,确保无线网络的稳定性、可扩展性、安全性。
参考文献
[1]应海盛.无线局域网的安全隐患与对策思考[J].浙江海洋学院学报(自然科学版),2008.(01).
[2](美)JohnRoss著,王海涛,汤平杨译.Wi-Fi安装、配置和使用802.11b无线网络.清华大学出版社《校园无线网络的构建与安全分析》.
[3]周航,朱秀丽.《校园无线网络的安全分析与防范策略》[J].周口师范学院学报,2012,29(5):104-106.
[关键词]网络购物电子商务
中国目前的电子商务活动存在种种问题,但这并不意味电子商务在中国前途暗淡。电子商务这样一种建立在高科技基础上的崭新的商务活动方式,可以预计在中国将会有一个大的发展。
一、加强法律法规和政策的建设
如果不以立法对电子商务参加者加强管理的话,势必造成市场的严重混乱。经营者的无序竞争、交易安全的极端脆弱、商品和服务质量的低下等等问题,这必将大大降低社会对电子商务的信心,进而给电子商务的发展带来极为不利的影响。包括政府官员、业界人士和专家学者在内的我国各界人士己达成共识:为传统企业电子商务转型创造良好的法律环境,是我国电子商务进一步健康发展的必备前提。
针对目前电子商务活动开展的势头,政府有关部门应该积极研究电子商务的特点,迅速制定有针对性的法律、法规和政策,以规范电子商务活动,增加企业和广大消费者对电子商务的信任感。
可喜的是《中华人民共和国电子签名法》已由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过,自2005年4月1日起施行。这一法律文件对电子签名、电子认证做了明确的规定,这将极大地改善我国电子商务发展的法律环境,降低电子商务参与各方的信用风险。
二、加强商业伦理道德教育
商业伦理道德是维系市场经济健康有序发展的精神动力,是链接现代文明的纽带,是关乎改革进程和社会协调发展的根本理念之一。商业伦理建设是一项十分紧迫的工作,它对于目前中国市场经济的规范化运作起着至关重要的作用。在中国由计划经济向市场经济的转型中,伦理价值的失范现象十分严重,一些企业家认为市场经济就只要讲钱,为了赚钱可以不择手段。因此加强商业伦理的教育和新的伦理道德的建设非常迫切。在这方面,大学的商学院、行业协会和政府有关部门都需要做大量基础性的工作,重建符合市场经济的、积极向上的新经济状态下的商业伦理。
道德的缺失损害我国企业的国际形象,不利于与国际接轨。而目前我国企业存在着的诸多不道德行为,不但无法提高自身在国际上的竞争力,而且会因为缺失道德而付出沉重代价。市场经济需要遵守道德,WTO游戏规则强调道德,以法治国需要道德经营。当然,竞争有序的电子商务行业也需要道德,因此,在电子商务领域重新构筑道德“万里长城”,是行业界内人士们的共同心声。要在信息技术的发展中注入人文关怀,防止网络空间的符号异化。要把科学精神和人文精神有机结合起来,自觉发展充满人文关怀的科学技术,同时自觉发展有科学精神的人类道德,以避免和制止信息异化和符号异化。
要注重道德教化,强化监督,大力提高国民素质,弘扬诚信道德观念,让诚信观念深入人心。道德是一种无形的力量,在抑恶扬善中能起到潜移默化的作用。只有当诚实守信内化成为人们的自觉意识时,守信才能成为自觉的行为:只有当诚实守信成为一种普遍的社会风气时,失信行为才能受到公众的谴责,失信者才“无利可图”,并且还将付出极高的道德成本。因此,我们必须坚持“以德治国”,坚持道德建设,在社会公众信用水平提高的基础上,实现社会信用环境的根本好转,尤其把讲诚信、遵守职业道德作为电子商务企业文化建设的一个重要内容,形成诚信为本的职业道德体系。
三、加强信用体系建设
网络经济是信用经济,而市场经济是契约经济,信用是一切经济活动的基础,到了互联网时代,信用几乎是电子商务的灵魂。消费者感知风险的存在,其中一个很重要的原因是缺乏规范信用的机制。在长期以来的计划经济体制下,我国的信用体系很不完善,企业的信用评估、个人的资信状况都不甚了了。这种情况体现在电子商务活动中,使得鱼龙混杂,良莠不分,严重制约了电子商务活动的有效开展。因此急需建立个人和企业完善的信用体系和规定信用查询制度,以实现在具体化、可靠性基础上所进行的“虚拟化”交易。而一旦发现商业信用严重不良的企业和个人,则可考虑依照一定的法律,在网络上予以披露,使电子商务活动中的交易环境得到净化。
1.严格执法,加大失信成本;
2.建立商业信用公开和监督制度;
3.商事活动主体应加强内部的自律建设系统。
市场经济的发展需要有与之相适应的商业信用。中国己经加入了WTO,这意味着中国要敞开国门参与世界范围内的经济竞争,商业信用将自接影响到商事活动主体在经济全球化条件下的生存和发展。随着我国全社会对商业信用问题的关注以及制度的不断完善,良好的商业风气和社会经济秩序必定能够建立起来。
四、发展技术手段
Internet最初只是尽可能地包容异构网络,为全球计算机之间的通信提供最基本的平台。Internet注重的是全球性、开放性、无缝连通性、共享性和动态性,并未考虑太多的安全问题,这也导致了电子商务中一系列难以解决的纠纷和伦理问题。因此,要发展电子商务,安全技术也是其中重要的一环。国家非常重视有关电子商务发展的安全问题。由人民银行牵头组织的安全认证中心正加紧建立,一些城市的认证中心已经建立。与安全标准、电子签名、密码系统等相关核心技术的开发得到重视并加大了投入力度。计算机网络的安全性主要包括网络服务的可用性(Availability)、网络信息的保密性(Confidentiality)和网络信息的完整性(Intergrity)。
随着电子商务的发展,安全问题更加重要和突出,要想解决好这个问题,必须由安全技术和标准作保障。安全是一个“相对的”词汇,电子商务的发展促使对安全技术进行不断探索研究和开发应用,以建立一个安全的商务环境。本章介绍的安全技术和标准规范是EC应用中主要涉及的技术,还有一些安全技术及标准规范尚未列出。要保证EC安全可靠,首先要明确EC的安全隐患、安全等级和采用安全措施的代价,再选择相应的安全措施。EC应用的安全方案已逐步形成,EC时代即将到来。
五、构建良好的网络营销文化
网络时代催生了网络营销,互联网的迅速发展使新时期的网络营销成为现实,网络营销文化也因此越来越为业界所重视。但在现实中,文化因素常常被忽视。文化是客观存在的,并且总伴随着消费者客观存在,它必然渗透且影响着市场的每一个因素,营销活动的每一个环节。文化决不是空洞的口号,必须有一些看得见摸得着的东西为载体,才能发挥相应的影响力,在网络营销过程中融入文化因素,并将之贯彻到网络营销活动的每个环节,网络营销活动才能达到事半功倍的效果。无论对开展网络营销的企业,还是对这种营销方式本身而言,营造良好的网络营销文化都有着深远的意义。为此,需要从以下几个方面着手:
1.建立企业与消费者之间的诚信关系;
2.注重网站规划设计,营造具有亲和力的文化氛围;
3.增强网站的交互性,开展高效的网络营销;
4.尊重公众价值观,树立明确的网络营销理念;
5.依附网络文化,创造有利于形成网络营销文化的氛围;
6.做好企业全员教育和培训;
