網絡安全建設方案范文

時間:2023-09-17 15:15:31

導語:如何才能寫好一篇網絡安全建設方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

網絡安全建設方案

篇1

【關鍵詞】安全管理 財務結算 建設 網絡

【中圖分類號】TP311【文獻標識碼】A【文章編號】1672-5158(2013)02-0057-02

一、單位網絡信息安全現狀

經過多年的信息化建設,財務結算中心已建成千兆互聯到終端桌面,所使用的主要財務軟件如下:

(1)中原油田財務結算系統(安裝該系統僅為查詢歷史財務數據)。

(2)中國石化資金集中管理信息系統。

(3)中國石化會計集中管理信息系統。

(4)中原油田關聯交易系統。

在網絡應用方面,與日常工作密切相關的財務應用系統相繼投入使用,網絡信息安全系統的建設卻相對薄弱。

1、網絡系統安全現狀

近幾年,隨著局域網規模的日益擴大,網絡結構及設備日趨復雜,網絡病毒、黑客攻擊、網絡欺騙、IP盜用、非法接入等現象,給中心網絡的管理、維護帶來了前所未有的挑戰。中心網絡、員工微機經常受到油田局域網以及來自大網非法連接的攻擊,IP地址沖突時有發生。ARP攻擊導致網絡中斷、甚至癱瘓;病毒、蠕蟲、木馬、惡意代碼等則可能通過網絡傳遞進來,造成操作系統崩潰、財務數據丟失、泄漏。而各類財務軟件的日常應用,必然要進行各種外連和數據傳遞。如何進行安全地連接網絡、傳輸數據,日益成為中心亟待解決的問題。

2、網絡信息監控狀況

對于互聯網出口的外發信息無法進行記錄和查詢,缺乏有效的信息審計和日志保存手段,從而不能有效貫徹和滿足油田以及國家關于企業網絡安全管理制度的落實。

來自網絡的安全威脅日益增多,很多威脅并不是以網絡入侵的形式進行的,這些威脅事件多數是來自于油田局域網內部合法用戶的誤操作或惡意操作,僅靠系統自身的日志功能并不能滿足對這些網絡安全事件的審計要求,網絡安全審計通常要求專門細致的協議分析技術,完整的跟蹤能力和數據查詢過程回放等功能實現。

3、上網行為管理能力

中心網絡資源能否合理使用,帶寬是否會被非工作需要的網絡應用占用,日常工作所需的網絡流量和穩定性能否得到保障,當網絡出現擁堵,或者異常流量、異常攻擊爆發時,是否能及時分析、排查流量使用情況并幾時進行有效控制,這些狀況主要表現為:網絡用戶非工作范疇(用于娛樂)的網絡應用流量極大,如:各類多線程P2P軟件下載、大型網絡游戲、P2P類的音視頻、網絡電視等應用。

二、中心網絡信息安全建設目標

為了確保信息資產的價值不受侵犯,保證信息資產擁有者面臨最小的安全風險和獲取最大的安全利益,使包含物理環境、網絡通訊、操作系統、應用平臺和信息數據等各個層面在內的整體網絡信息系統具有抵御各種安全威脅的能力,我們制訂了如下的安全目標:

1、保密性

確保各類財務數據不會泄漏給任何未經授權的個人和實體,或供其使用。

2、可用性

確保財務信息系統正常運轉,并保證合法用戶對財務信息的使用不會被不正當地拒絕。

3、完整性

防止財務信息被未經授權的篡改,保證真實的信息從真實的信源無失真地到達真實的信宿。

4、真實性

應能對通訊實體所宣稱身份的真實性進行準確鑒別。

5、可控性

保證財務數據不被非法訪問及非授權訪問,并能夠控制使用資源的人或實體對資源的使用方式。

6、不可抵賴性

應建立有效的責任機制,防止實體否認其行為。

7、可審查性

應能記錄一個實體的全部行為,為出現的網絡安全問題提供有效的調查依據和手段。

8、可管理性

應提供統一有效的安全管理機制和管理規章制度,這是確保信息系統各項安全性能有效實現的根本保障,同時合理有效的安全管理可以在一定程度上彌補技術上無法實現的安全目標。

三、中心網絡信息安全建設方案

通過上述對中心網絡的現狀及安全需求分析,并結合油田網絡安全與信息安全的具體要求,我們建議實施部署網絡出口防火墻系統、網絡日志審計系統、網絡訪問內容和行為審計系統。

1、網絡出口防火墻系統

防火墻是基于網絡處理器技術(NP)的硬件高速狀態防火墻,不僅支持豐富的協議狀態檢測及地址轉換功能,而且具備強大的攻擊防范能力,提供靜態和動態黑名單過濾等特性,可提供豐富的統計分析功能和日志。能有效實現過濾垃圾殘包、攔截惡意代碼,保護網絡數據和資源的安全。

將防火墻透明接入到原有網絡中的出口處,采用應用層透明的方式對用戶對外網的訪問進行應用層解析控制。在防火墻上劃分兩個區域:外網區域、內網區域,防火墻可以橋接入到原有的用戶網絡中,或者接到核心交換機上。保證所有的數據流經過防火墻以便完成應用層的過濾。

2、部署網絡訪問內容和行為審計系統

安全審計系統是一個安全的網絡必須支持的功能特性,審計是記錄用戶使用計算機網絡系統所訪問的全部資源及訪問的過程,它是提高網絡安全的重要工具,對于確定是否有網絡攻擊的情況,確定問題和攻擊源很重要。而行為審計系統通過對網絡信息內容的完全監控和記錄,為網絡管理員或安全審計員提供對網絡信息泄密事件進行有效的監控和取證;也可以完全掌握員工上網情況,比如是否在工作時間上網沖浪、網上聊天、是否訪問內容不健康的網站、是否通過網絡泄漏了機密信息等等,對于不符合安全策略的網上行為進行記錄,并可對這些行為進行回放,進行跟蹤和審計。

3、部署網絡日志審計系統

日志審計系統為不同的網絡設備提供了統一的日志管理分析平臺,打破了企業中不同網絡設備之間存在的信息鴻溝。系統提供了強大監控能力,實現了從網絡到設備直至應用系統的監控。在對日志信息的集中、關聯分析的基礎上,有效地實現了全網的安全預警、入侵行為的實時發現、入侵事件動態響應,通過與其它安全設備的聯動來真正實現動態防御。

部署日志審計系統主要功能:1)海量的數據日志:系統全面支持安全設備 (如防火墻,IDS、AV)、網絡設備 (如Router、Switch)、應用系統 (如WEB、Mail、Ftp、Database)、操作系統 (如Windows、Linux、Unix) 等多種產品及系統的日志數據的采集和分析。2)安全狀況的全面解析:幫助管理員對網絡事件進行深度的挖掘分析,從不同角度進行網絡事件的可視化分析。

四、結束語

經過多方論證,上述的網絡信息安全建設方案架構齊全,是合理的、先進并且可靠的。該安全系統能夠針對我單位出現的突發網絡問題,迅速地進行故障定位并實施故障處理。使網絡安全管理變被動為主動,能夠極大地提高網管人員的工作效率;同時通過及時監控審計,大幅度減少系統網絡故障和安全隱患,從而使我單位的信息化建設邁上一個新的臺階。相信通過以上三套系統的部署,能夠極大地完善網絡安全體系,更好地為中心財務信息網絡系統保駕護航。

篇2

關鍵詞:校園網;網絡安全;方案設計

當前網絡技術的快速發展,大部分高校已經建立了學校校園網絡,為學校師生提供了更好的工作及學習環境,有效實現了資源共享,加快了信息的處理,提高了工作效率【1】。然而校園網網絡在使用過程中還存在著安全問題,極易導致學校的網絡系統出現問題,因此,要想保證校園網的安全性,首先要對校園網網絡安全問題深入了解,并提出有效的網絡安全方案設計,合理構建網絡安全體系。本文就對校園網網絡安全方案設計與工程實踐深入探討。

1.校園網網絡安全問題分析

1.1操作系統的漏洞

當前大多數學校的校園網都是采用windows操作系統,這就加大了安全的漏洞,服務器以及個人PC內部都會存在著大量的安全漏洞【2】。隨著時間的推移,會導致這些漏洞被人發現并利用,極大的破壞了網絡系統的運行,給校園網絡的安全帶來不利的影響。

1.2網絡病毒的破壞

網絡病毒是校園網絡安全中最為常見的問題,其能夠使校園網網絡的性能變得較為低下,減慢了上網的速度,使計算機軟件出現安全隱患,對其中的重要數據帶來破壞,嚴重的情況下還會造成計算機的網絡系統癱瘓。

1.3來自外部網絡的入侵和攻擊等惡意破壞行為

校園網只有連接到互聯網上,才能實現與外界的聯系,使校園網發揮出重要的作用。但是,校園網在使用過程中,會遭到外部黑客的入侵和攻擊的危險,給校園互聯網內部的服務器以及數據庫帶來不利的影響,使一些重要的數據遭到破壞,給電腦系統造成極大的危害。

1.4來自校園網內部的攻擊和破壞

由于大多數高校都開設了計算機專業,一些學生在進行實驗操作的時候,由于缺乏專業知識,出于對網絡的興趣,不經意間會使用一些網絡攻擊工具進行測試,這就給校園網絡系統帶來一定的安全威脅。

2.校園網網絡安全的設計思路

2.1根據安全需求劃分相關區域

當前高校校園網都沒有重視到安全的問題,一般都是根據網絡互通需要為中心進行設計的。以安全為中心的設計思路能夠更好的實現校園網的安全性。將校園網絡分為不同的安全區域,并對各個區域進行安全設置。其中可以對高校校園網網絡安全的互聯網服務區、廣域網分區、遠程接入區、數據中心區等進行不同的安全區域。

2.2用防火墻隔離各安全區域

通過防火墻設備對各安全區域進行隔離,同時防火墻作為不同網絡或網絡安全區域之間信息的出入口,配置不同的安全策略監督和控制出入網絡的數據流,防火墻本身具有一定的抗攻擊能力。防火墻把網絡隔離成兩個區域,分別為受信任的區域和不被信任的區域,其中對信任的區域將對其進行安全策略的保護,設置有效的安全保護措施,防火墻在接入的網絡間實現接入訪問控制。

3.校園網網絡安全方案設計

3.1主干網設計主干網可采用三層網絡構架,將原本較為復雜的網絡設計分為三個層次,分別為接入層、匯聚層、核心層。每個層次注重特有的功能,這樣就將大問題簡化成多個小問題。

3.2安全技術的應用3.2.1VLAN技術的應用。虛擬網是一項廣泛使用的基礎,將其應用于校園網絡當中,能夠有效的實現虛擬網的劃分,形成一個邏輯網絡。使用這些技術,能夠優化校園網網絡的設計、管理以及維護。

3.2.2ACL技術的應用。這項技術不僅具有合理配置的功能,而且還有交換機支持的訪問控制列表功能。應用于校園網絡當中,能夠合理的限制網絡非法流量,從而實現訪問控制。

3.3防火墻的使用防火墻是建立在兩個不同網絡的基礎之間,首先對其設置安全規則,決定網絡中傳輸的數據包是否允許通過,并對網絡運行狀態進行監視,使得內部的結構與運行狀況都對外屏蔽,從而達到內部網絡的安全防護【3】。如圖一所示。防火墻的作用主要有這幾個方面:一是防火墻能夠把內、外網絡、對外服務器網絡實行分區域隔離,從而達到與外網相互隔離。二是防火墻能夠將對外服務器、網絡上的主機隔離在一個區域內,并對其進行安全防護,以此提升網絡系統的安全性。三是防火墻能夠限制用戶的訪問權限,有效杜絕非法用戶的訪問。四是防火墻能夠實現對訪問服務器的請求控制,一旦發現不良的行為將及時阻止。五是防火墻在各個服務器上具有審計記錄,有助于完善審計體系。

4.結語

總而言之,校園網絡的安全是各大院校所關注的問題,當前校園網網絡安全的主要問題有操作系統的漏洞、網絡病毒的破壞、來自外部網絡的入侵和攻擊等惡意破壞行為、來自校園網內部的攻擊和破壞等【4】。要想保障校園網網絡的安全性,在校園網網絡安全的設計方面,應當根據安全需求劃分相關區域,用防火墻隔離各安全區域。設計一個安全的校園網絡方案,將重點放在主干網設計、安全技術的應用以及防火墻的使用上,不斷更新與改進校園網絡安全技術,從而提升校園網的安全性。

作者:金茂 單位:杭州技師學院

參考文獻:

[1]余思東,黃欣.校園網網絡安全方案設計[J]軟件導刊,2012,06:138-139

[2]張明,姜崢嶸,陳紅麗.基于WLAN的無線校園網的設計與實現[J]現代電子技術,2012,13:63-65+68

篇3

關鍵詞:計算機 網絡安全 網絡建設 安全技術

中圖分類號:TP 文獻標識碼:A 文章編號:1008-925X(2012)O9-0136-01

隨著計算機網絡的不斷發展,信息全球化已成為人類發展的現實。但由于計算機網絡具有多樣性、開放性、互連性等特點,致使網絡易受攻擊。具體的攻擊是多方面的,有來自黑客的攻擊,也有其他諸如計算機病毒等形式的攻擊。因此,網絡的安全措施就顯得尤為重要,只有針對各種不同的威脅或攻擊采取必要的措施,才能確保網絡信息的保密性、安全性和可靠性。

一、威脅計算機網絡安全的因素

計算機網絡安全所面臨的威脅是多方面的,一般認為,目前網絡存在的威脅主要表現在:

1.非授權訪問

沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。

2.信息泄漏或丟失

指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括:信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、賬號等重要信息)、信息在存儲介質中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。

3.破壞數據完整性

以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益于攻擊者的響應;惡意添加、修改數據,以干擾用戶的正常使用。

4.拒絕服務攻擊

它不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。

5.利用網絡傳播病毒

通過網絡傳播計算機病毒,其破壞性大大高于單機系統,而且用戶很難防范。

二、網絡安全建設方法與技術

網絡具有訪問方式多樣、用戶群龐大、網絡行為突發性較高的特點。網絡安全問題要從網絡規劃階段制定各種策略,并在實際運行中加強管理。為保障網絡系統的正常運行和網絡信息的安全,需要從多個方面采取對策。攻擊隨時可能發生,系統隨時可能被攻破,對網絡的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。

1.計算機病毒防治

大多數計算機都裝有殺毒軟件,如果該軟件被及時更新并正確維護,它就可以抵御大多數病毒攻擊。定期地升級軟件是很重要的。在病毒入侵系統時,對于病毒庫中已知的病毒或可疑程序、可疑代碼,殺毒軟件可以及時地發現,并向系統發出警報,準確地查找出病毒的來源。

2.防火墻技術

防火墻是控制兩個網絡間互相訪問的一個系統。它通過軟件和硬件相結合,能在內部網絡與外部網絡之間構造起一個“保護層”,網絡內外的所有通信都必須經過此保護層進行檢查與連接,只有授權允許的通信才能獲準通過保護層。

3.入侵檢測

攻擊者進行網絡攻擊和入侵的原因,在于計算機網絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置,比如操作系統、網絡服務、TCP/IP協議、應用程序、網絡設備等幾個方面。如果網絡系統缺少預警防護機制,那么即使攻擊者已經侵入到內部網絡,侵入到關鍵的主機,并從事非法的操作,我們的網管人員也很難察覺到。這樣,攻擊者就有足夠的時間來做他們想做的任何事情。

4.安全漏洞掃描技術

安全漏洞掃描技術可以自動檢測遠程或本地主機安全性上的弱點,讓網絡管理人員能在入侵者發現安全漏洞之前,找到并修補這些安全漏洞。安全漏洞掃描軟件有主機漏洞掃描,網絡漏洞掃描,以及專門針對數據庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新,操作系統的漏洞隨時都在,只有及時更新才能完全的掃描出系統的漏洞,阻止黑客的入侵。

5.數據加密技術

數據加密技術是最基本的網絡安全技術,被譽為信息安全的核心,最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文,然后再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。

6.安全隔離技術

面對新型網絡攻擊手段的不斷出現和高安全網絡的特殊需求,全新安全防護理念"安全隔離技術"應運而生。它的目標是,在確保把有害攻擊隔離在可信網絡之外,并保證可信網絡內部信息不外泄的前提下,完成網絡間信息的安全交換。隔離概念的出現是為了保護高安全度網絡環境。

7.黑客誘騙技術

黑客誘騙技術是近期發展起來的一種網絡安全技術,通過一個由網絡安全專家精心設置的特殊系統來引誘黑客,并對黑客進行跟蹤和記錄。這種黑客誘騙系統通常也稱為蜜罐(Honeypot)系統,其最重要的功能是特殊設置的對于系統中所有操作的監視和記錄,網絡安全專家通過精心的偽裝使得黑客在進入到目標系統后,仍不知曉自己所有的行為已處于系統的監視之中。

8.網絡安全管理防范措施

對于安全領域存在的問題,應采取多種技術手段和措施進行防范。在多種技術手段并用的同時,管理工作同樣不容忽視。規劃網絡的安全策略、確定網絡安全工作的目標和對象、控制用戶的訪問權限、制定書面或口頭規定、落實網絡管理人員的職責、加強網絡的安全管理、制定有關規章制度等等,對于確保網絡的安全、可靠運行將起到十分有效的作用。網絡安全管理策略包括:確定安全管理等級和安全管理范圍;指定有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。

參考文獻:

[1]張琳,黃仙姣.淺談網絡安全技術[J].電腦知識與技術,2006(11)

[2]盧云燕.網絡安全及其防范措施[J].科技情報開發與經濟,2006(10)

篇4

現代智能建筑設備中的網絡數據的目標、特性和應對的安全措施

智能建筑區域數據庫中的數據必須具有以下特殊性:首先是獨立性,包括物理數據獨立性,即改變內部模式時無需改變概念或外部模式,數據庫物理存儲的變動還會影響訪向數據的應用程序;邏輯數據獨立性,即修改概念模式時無需修改外部模式;其次是共享性,數據庫中的數據應可被幾個用戶和應用程序共享;最后是持續性,即數據在整個設定有效期內穩定保持。

數據庫有三個主要組成部分:數據、聯系、約束和模式。數據庫管理系統則是為數據庫訪問服務的軟件,它應為支持應用程序和操作庫中的數據提供下列服務:事務處理、并發控制、恢復、語言接口、容錯性、數據目錄、存儲管理。

智能建筑中的數據庫系統(含子數據庫系統)與某些商業系統相比,雖然規模不大,但功能復雜、性質迥異,因而主數據庫與各子系統數據庫的集成有著很高的技術難度,可以說是現有各種數據庫技術的集成。理想的智能建筑數據庫系統應具有以下特性:開放性面向對象,關系型,實時性、多媒體性、互操作性、分布性、異構性等。所以一個理想的智能建筑(集成)數據庫體系應該是開放的,面向對象的、關系型的、實時的,分布式的或操作的多媒體異約數據庫體系。這一體系的安全保障:

首先是安全性,即數據庫在數據不得被非法更改或外泄。同時,智能建筑數據庫中的數據也具有其他一般特性,如一致性等。其次是安全保障,智能建筑中各子系統數據庫必須能免受非授權的泄露導致更改和破壞,每個用戶(也包括各子系統)和應用程序都應只擁有特定的數據訪問權,以防非法訪問與操作。這一功能在FAS、SAS及某些OSA系統中是必不可少的。

因特網的數據庫訪問技術和遠程監控的框架及房地產信息網絡的安全措施

首先,因特網的數據庫技術相結合的Web數據庫的應用,實現了信息從靜態向動態的轉變,而其中遠程數據服務是核心。

目前比較流行的Browser/Server模型是采用三層模式結構:表示(Browser),提供可視界面,用戶通過可視界面觀察信息和數據,并向中間層發出服務請求;中間層(WebServer)實現正式的進程和邏輯規則,響應用戶服務請求,是用戶服務和數據服務的邏輯橋梁;數據庫服務層(DBServer),實現所有的典型數據處理活動,包括數據的獲取、修改、更新及相關服務。

Browser端一般沒有應用程序,借助于Javaalet、Actives、javascript、vacvipt等技術可以處理一些簡單的客戶端處理邏輯,顯示用戶界面和WebServer端的運行結果。中間層負責接受遠程或本地的數據查詢請求,然后運用服務器腳本,借助于中間部件把數據請求通過數據庫驅動程序發送到DBServer上以獲取相關數據再把結果數據轉化成HTML及各種腳本傳回客戶的Browser、DBServer端負責管理數據庫,處理數據更新及完成查詢要求,運行存儲過程,可以是集成式的也可以是分布式的。在三層結構中,數據計算與數據處理集中在中間層,即功能層。由于中間層的服務器的性能容易提升,所以在Internet下的三層結構可以滿足用戶的需求。

其次,遠程監控的框架。

基于因特網的樓宇設備運程監控結構,這個結構是基于NT的平臺上。對于市場上的BA系統,如江森和霍尼維爾等,他們系統內置有專用的數據庫,并提供有接口可以轉化為標準的數據庫,通過前面提供的方法,用戶可以從遠程通過調用數據庫來了解整個BA系統的情況。如果他想獲得BA系統的實時狀況和實時控制BA系統可以直接通過相應的CGI程序監控BA系統。

通過這樣的結構,授權的用戶可以在遠程獲得建筑設備每一個部件的相關數據,除了數據監測和報警功能之外,還有比如數據記錄趨向預測、基本維護等功能。現代的BAS系統包括數以千計的外部點,所以傳輸的數據必須經過優化僅僅是關鍵數據才應該在BAS和遠程使用者間傳輸。而在房地產建筑設備中,HVAC系統和照明系統最耗能的,在開率控制系統的功能時,用戶的滿意程度是主要的參考因素,所以目前建筑設備的控制和足夠通風量;照明系統,為房客和公用區提供足夠照明;報警系統有,對煙、火警的探測和處理;傳送系統有升降機,傳送帶,運輸帶和自動門,電力供應系統等。在大多數BAS系統中,主要是四類信號:模擬輸入、模擬輸出、數字輸出、數字輸入。對于一個具體的BAS系統而言,它的輸入輸出包括煙感探頭狀態,空氣混合室、中過濾器狀態,識別空調房間情況的傳感器等;二進制輸出包括回風機、送風機、VAV控制盒、照明、報警等;模擬量的輸入包括回風和室外新風的溫濕度;送風壓力,VAV控制盒的空氣流動速度,送回溫度、房間溫度、回風溫度等;模擬量輸出包括送風、回風的風速,冷水的流動速度等。所以可將需要遠程傳輸的信號可以分為五類進行傳輸狀態類、感受器類、報警器類、趨勢類和控制類。

在現代化的房地產建筑中智能建筑建設與網絡營銷的原則為:業務為導向,市場為支力,網絡為基礎,技術為支撐,效益為根本,服務為保障智能建筑設備

給人們帶來方便的同時,也給自己帶來了一個個不速之客——黑客、信息網絡及網絡炸彈和因之而來利用網絡犯罪分子,在方便自己的同時,也為那些離智能的犯罪分子帶來了一個靠近自己便捷的通道。毫無疑問在HTML語言規劃制定和Vcript及javascript文件操作功能被現代建筑設備中廣泛應用的同時,房地產信息網絡安全不由自主地成為我們首當其沖的問題。

如前邊所述,在利用數據庫和因特網技術監控的同時,房地產信息網絡的安全問題的措施也應運而生。

而網絡“營銷”需要兩個條件:一是采取傳統的市場營銷手段;二是在網上提供價格有吸引力的商品。應該說至少到目前為止,傳統營銷與網絡營銷實質上是房地產整體營銷策略的兩個有機組成部分。傳統營銷的對象是房地產網站本身和房地產企業品牌,而網絡營銷的對象是有關企業的大量信息,這兩部分是缺一不可的,只有整合才能使其發揮最大的功效。

傳統搞品牌。房地產企業網站的知曉和品牌的建立只有通過傳統營銷方式才能得以實現。網站作為消費者與企業最終產品之間的中介者,首先必須把自己推銷出去,引導消費者進入網站,這樣才能使他們接觸最終產品信息,而網站怎樣才能引起消費者的點擊欲望呢?傳統媒體的廣告促銷是有力的幫手。就連以網上直銷聞名的戴爾公司,也在電視的黃金時段大打廣告。在宣傳網站的同時,還必須把網站同企業的品牌形象緊密結合在一起,吸引真正有需求的目標消費者,以免虛耗宣傳資源。因此企業就必須得在消費者購買決策前樹立品牌形象。只有這樣,消費者才會垂青于載有該品牌信息的網絡。對于房地產這種高價值產品,品牌效應在消費者購買決策者中是一個重要影響因素。良好的品牌形象也是房地產企業的一項無形資產。借助傳統媒介建立品牌形象,是房地產企業利用傳統營銷手法引導消費者登陸企業網站的一個較好方式。如果沒有傳統營銷的幫助,網絡營銷只能坐著冷板凳,感嘆英雄無用武之地了。

篇5

目前,在我國的建設工程項目中運用Internet對建筑設備的監控是基于因特網的BAS系統的數據庫框架中進行的。

現代智能建筑設備中的網絡數據的目標、特性和應對的安全措施

智能建筑區域數據庫中的數據必須具有以下特殊性:首先是獨立性,包括物理數據獨立性,即改變內部模式時無需改變概念或外部模式,數據庫物理存儲的變動還會影響訪向數據的應用程序;邏輯數據獨立性,即修改概念模式時無需修改外部模式;其次是共享性,數據庫中的數據應可被幾個用戶和應用程序共享;最后是持續性,即數據在整個設定有效期內穩定保持。

數據庫有三個主要組成部分:數據、聯系、約束和模式。數據庫管理系統則是為數據庫訪問服務的軟件,它應為支持應用程序和操作庫中的數據提供下列服務:事務處理、并發控制、恢復、語言接口、容錯性、數據目錄、存儲管理。

智能建筑中的數據庫系統(含子數據庫系統)與某些商業系統相比,雖然規模不大,但功能復雜、性質迥異,因而主數據庫與各子系統數據庫的集成有著很高的技術難度,可以說是現有各種數據庫技術的集成。理想的智能建筑數據庫系統應具有以下特性:開放性面向對象,關系型,實時性、多媒體性、互操作性、分布性、異構性等。所以一個理想的智能建筑(集成)數據庫體系應該是開放的,面向對象的、關系型的、實時的,分布式的或操作的多媒體異約數據庫體系。這一體系的安全保障:

首先是安全性,即數據庫在數據不得被非法更改或外泄。同時,智能建筑數據庫中的數據也具有其他一般特性,如一致性等。其次是安全保障,智能建筑中各子系統數據庫必須能免受非授權的泄露導致更改和破壞,每個用戶(也包括各子系統)和應用程序都應只擁有特定的數據訪問權,以防非法訪問與操作。這一功能在FAS、SAS及某些OSA系統中是必不可少的。

因特網的數據庫訪問技術和遠程監控的框架及房地產信息網絡的安全措施

首先,因特網的數據庫技術相結合的Web數據庫的應用,實現了信息從靜態向動態的轉變,而其中遠程數據服務是核心。

目前比較流行的Browser/Server模型是采用三層模式結構:表示(Browser),提供可視界面,用戶通過可視界面觀察信息和數據,并向中間層發出服務請求;中間層(WebServer)實現正式的進程和邏輯規則,響應用戶服務請求,是用戶服務和數據服務的邏輯橋梁;數據庫服務層(DBServer),實現所有的典型數據處理活動,包括數據的獲取、修改、更新及相關服務。

Browser端一般沒有應用程序,借助于Javaapplet、Actives、javascript、vabscvipt等技術可以處理一些簡單的客戶端處理邏輯,顯示用戶界面和WebServer端的運行結果。中間層負責接受遠程或本地的數據查詢請求,然后運用服務器腳本,借助于中間部件把數據請求通過數據庫驅動程序發送到DBServer上以獲取相關數據再把結果數據轉化成HTML及各種腳本傳回客戶的Browser、DBServer端負責管理數據庫,處理數據更新及完成查詢要求,運行存儲過程,可以是集成式的也可以是分布式的。在三層結構中,數據計算與數據處理集中在中間層,即功能層。由于中間層的服務器的性能容易提升,所以在Internet下的三層結構可以滿足用戶的需求。

其次,遠程監控的框架。

基于因特網的樓宇設備運程監控結構,這個結構是基于NT的平臺上。對于市場上的BA系統,如江森和霍尼維爾等,他們系統內置有專用的數據庫,并提供有接口可以轉化為標準的數據庫,通過前面提供的方法,用戶可以從遠程通過調用數據庫來了解整個BA系統的情況。如果他想獲得BA系統的實時狀況和實時控制BA系統可以直接通過相應的CGI程序監控BA系統。

通過這樣的結構,授權的用戶可以在遠程獲得建筑設備每一個部件的相關數據,除了數據監測和報警功能之外,還有比如數據記錄趨向預測、基本維護等功能。現代的BAS系統包括數以千計的外部點,所以傳輸的數據必須經過優化僅僅是關鍵數據才應該在BAS和遠程使用者間傳輸。而在房地產建筑設備中,

HVAC系統和照明系統最耗能的,在開率控制系統的功能時,用戶的滿意程度是主要的參考因素,所以目前建筑設備的控制和足夠通風量;照明系統,為房客和公用區提供足夠照明;報警系統有,對煙、火警的探測和處理;傳送系統有升降機,傳送帶,運輸帶和自動門,電力供應系統等。

在大多數BAS系統中,主要是四類信號:模擬輸入、模擬輸出、數字輸出、數字輸入。對于一個具體的BAS系統而言,它的輸入輸出包括煙感探頭狀態,空氣混合室、中過濾器狀態,識別空調房間情況的傳感器等;二進制輸出包括回風機、送風機、VAV控制盒、照明、報警等;模擬量的輸入包括回風和室外新風的溫濕度;送風壓力,VAV控制盒的空氣流動速度,送回溫度、房間溫度、回風溫度等;模擬量輸出包括送風、回風的風速,冷水的流動速度等。所以可將需要遠程傳輸的信號可以分為五類進行傳輸狀態類、感受器類、報警器類、趨勢類和控制類。

在現代化的房地產建筑中智能建筑建設與網絡營銷的原則為:業務為導向,市場為支力,網絡為基礎,技術為支撐,效益為根本,服務為保障

智能建筑設備給人們帶來方便的同時,也給自己帶來了一個個不速之客——黑客、信息網絡及網絡炸彈和因之而來利用網絡犯罪分子,在方便自己的同時,也為那些離智能的犯罪分子帶來了一個靠近自己便捷的通道。毫無疑問在HTML語言規劃制定和Vbscript及javascript文件操作功能被現代建筑設備中廣泛應用的同時,房地產信息網絡安全不由自主地成為我們首當其沖的問題。

如前邊所述,在利用數據庫和因特網技術監控的同時,房地產信息網絡的安全問題的措施也應運而生。

而網絡“營銷”需要兩個條件:一是采取傳統的市場營銷手段;二是在網上提供價格有吸引力的商品。應該說至少到目前為止,傳統營銷與網絡營銷實質上是房地產整體營銷策略的兩個有機組成部分。傳統營銷的對象是房地產網站本身和房地產企業品牌,而網絡營銷的對象是有關企業的大量信息,這兩部分是缺一不可的,只有整合才能使其發揮最大的功效。

傳統搞品牌。房地產企業網站的知曉和品牌的建立只有通過傳統營銷方式才能得以實現。網站作為消費者與企業最終產品之間的中介者,首先必須把自己推銷出去,引導消費者進入網站,這樣才能使他們接觸最終產品信息,而網站怎樣才能引起消費者的點擊欲望呢?傳統媒體的廣告促銷是有力的幫手。就連以網上直銷聞名的戴爾公司,也在電視的黃金時段大打廣告。在宣傳網站的同時,還必須把網站同企業的品牌形象緊密結合在一起,吸引真正有需求的目標消費者,以免虛耗宣傳資源。因此企業就必須得在消費者購買決策前樹立品牌形象。只有這樣,消費者才會垂青于載有該品牌信息的網絡。對于房地產這種高價值產品,品牌效應在消費者購買決策者中是一個重要影響因素。良好的品牌形象也是房地產企業的一項無形資產。借助傳統媒介建立品牌形象,是房地產企業利用傳統營銷手法引導消費者登陸企業網站的一個較好方式。如果沒有傳統營銷的幫助,網絡營銷只能坐著冷板凳,感嘆英雄無用武之地了。

篇6

情景一密碼設置和恢復:Cisco提供了5個口令可以來保護Cisco路由器,分別是:使能口令、使能加密口令、控制臺口令(Console)、遠程登陸口令(VTY)和輔助口令(AUX)。這里我們介紹前面4個口令設置:

1 使能口令

進入全局配置模式 Router#configure terminal

設置使能口令 Router(config)#enable password cisco //口令設置成功!

2 使能加密口令

進入全局配置模式 Router#configure terminal

設置使能加密口令 Router(config)#enable secret cisco

使能加密口令設置成功!

3 控制臺口令(Console)

進入全局配置模式 Router#configure terminal

進入console口配置模式 Router(config)#line console 0

進行console口密碼設置 Router(config-line)#password consolekey

使其口令生效 Router(config-line)#login //控制臺口令設置成功

4 遠程登陸口令(VTY)

進入全局配置模式 Router#configure terminal

進入console口配置模式 Router(config)#line vty 0 15

進行console口密碼設置 Router(config-line)#password vtykey

使其口令生效 Router(config-line)#login //遠程登陸設置成功

設置好密碼,網絡中就多了一道屏障,但當密碼丟失遺忘,要進行密碼恢復。如圖1所示。

步驟1:設置密碼

特意設置一個不容易記住的密碼,如Router(config-if)#enable password 2q3qeqew

重新登陸后如果遺忘輸入其他密碼,登陸將出現Bad secrets的錯誤提示(見下圖)

步驟2:路由器密碼恢復(破解原有密碼)

關閉路由器電源并重新開機,當控制臺出現啟動過程按下ctrl+break,進入rommon模式

首先改變配置寄存器的值為0x2142,這會使得路由器開機時不讀取NVRAM 中的配置文件,然后敲reset重啟路由器,退出setup 模式,敲no重新進入。如圖2所示。

Router#write //先將配置寫入內存

屏幕提示:Building configuration...

[OK] //配置文件保存成功

Router#copy startup-config running-config//把配置文件從NVRAM 中拷貝到RAM 中,在此基礎上修改密碼。-屏幕提示:Destination filename [running-config]?

489 bytes copied in 0.416 secs (1175 bytes/sec)

最后在進入配置模式,將密碼更改為自己熟悉的密碼,如cisco

Router(config)#enable password cisco //密碼將更換為最新的密碼cisco

Router(config)#config-register 0x2102 //將寄存器數值改回0x2102

Router(config-if)#interface FastEthernet0/0

Router(config-if)#no shutdown

Router #reload //保存配置,重啟路由器,保存前,需要把各個接口一一打開。

情景二VLAN隔離局域網:在企業內部,共享資源的同時有些部門數據禁止其他部門訪問,這時候除了設置密碼保護,關閉不需要的共享,還可以進行VLAN劃分局域網,來進行網絡安全管理。劃分VLAN之前,兩臺路由器可以相互訪問。如圖3所示。

Switch# vlan 2 name VLAN2

VLAN 2 added:

Name: VLAN2

Switch(vlan)#vlan 3 name VLAN3

VLAN 3 added:

Name: VLAN3//以上創建vlan,2是vlan的編號,范圍為1~1001

Switch(config)#int f0/1

Switch(config-if)#switch

Switch(config-if)#switch mode access

Switch(config-if)#switch access vlan 2

Switch(config-if)#int f0/2

Switch(config-if)#switch mode access

Switch(config-if)#switch access vlan 3

此時在ping測試,出現不通的符號,這樣就實現了利用vlan隔離的作用。如圖4所示。

以上可以看出在網絡教學過程中利用仿真軟件直觀生動,學生有興趣學,老師也方便指導。后續將不斷探索和實踐,使其在教學過程中充分發揮作用。

參考文獻:

[1]李杰陽.淺析計算機網絡實訓課題的設計及使用[J].科技信息,2011,20.

篇7

Abstract: Network popularization is a trend. How to ensure the network safety of computer room is an important issue. This article analyzes this issue from the definition and importance of computer network safety, the main factors influencing computer network safety and main measures to strengthen management.

關鍵詞: 網絡安全;主要因素;網絡建設措施

Key words: network safety;main factors;network construction measure

中圖分類號:C961 文獻標識碼:A 文章編號:1006-4311(2013)34-0166-02

0 引言

計算機的應用是伴隨著網絡的發展不斷深入的,而許多的企業和單位都會有自己的計算機機房,計算機機房的存在是保證辦公效率和信息收集共享的很好途徑。在認識機房網絡帶來的好處的同時也應該發現機房網絡安全正面臨著考驗,只有做好機房網絡安全的管理才能保證相關單位的正常工作。

1 網絡安全的定義及其重要性

1.1 計算機網絡安全的定義 計算機網絡安全是指利用網絡管理技術,保證在這個環境內的相關數據的保密性和完整性。而要想做到計算機網絡的安全就必須保證兩點,物理安全和邏輯安全。在保證物理安全的時候就是要防止系統的相關設備受到破壞或者認為丟失。在保證邏輯安全的時候就是要保證網絡中的數據的保密性和完整性。而在進行計算機機房網絡建設的時候保證其安全就是要使得網絡操作處于一個不受病毒侵害,不被數據缺干擾的操作狀態。

1.2 網絡安全的重要性 信息技術的發展,使得網絡遍及生活的各個方面,商業機構的辦公系統、學校、醫院等公益機構的計算機系統等都會有自身的計算機機房,在進行相關的建設的時候保證計算機機房網絡安全就是管理人員的首要輔助任務。通過網絡進行的各項工作都需要在一個安全的狀態下進行,因此網絡安全就成了一項十分重要的工作,防止黑客入侵、及時更新網絡硬件等都是機房網絡管理人員的職責。這樣不僅可以保證機房的財產安全、網絡的個人信息安全,還可以保證相關單位的穩定。在這一層面來說,計算機機房網絡安全涉及到的層面就十分廣泛了。

2 影響網絡安全的主要因素

在進行計算機機房網絡安全安全威脅分析中,對其構成威脅的因素很多,可以將其分為幾大類:

2.1 操作人員操作不當帶來的安全隱患

機房的建設是為了保證日常活動的正常進行,機房管理員的工作就是及時的發現造成系統不變影響網絡安全的因素。如果機房管理人員沒有及時的對系統進行更新,沒有安裝最新的殺毒軟件就會造成負責的計算機網絡資源遭到破壞或者竊取,非法分子甚至會對網絡中已經存在的信息進行篡改以達到自身的目的等。

2.2 計算機網路自身的缺陷

2.2.1 計算機機房網絡自身的缺陷。計算機機房網絡是和計算機網絡有著相似之處的,計算機網絡作為一個大眾平臺,每個個人或者單位都可以在上面搜索、獲取或者傳輸自己所需的信息的,而在計算機機房網絡中就是一個小型的計算機網絡,同樣具備計算機網絡的一些特點,這就造成了計算機機房網絡在被訪問的時候會成為被攻擊的對象。這就是計算機機房網絡集郵開放性的優勢又有缺陷的弊端。2011年的PlayStation網絡入侵事件就是一個很好的案例,RSA公司的計算機通過黑客發送的名為“2011年招聘計劃”的郵件到處搜集信息,利用AdobeFlash的漏洞,進行非法的操作,不斷的取得訪問權限從而盜取所需信息,這次的入侵事件造成的影響是巨大的。這就是計算機網絡的自身缺陷造成的黑客入侵的事件。因此,要時刻的發現并彌補計算機網絡的自身所帶的缺陷,以便保證網絡的安全。

2.2.2 操作系統并不是完美無缺的。操作系統作為一個支撐軟件,為用戶的程序的運行提供了平臺,也就是因為這個平臺的存在,現在還沒有辦法完全的保證其安全性,也存在著沒有被攻克的缺陷。這些缺陷的存在就會被不法分子利用,影響到計算機機房的網絡安全。

2.2.3 防火墻的識別功能有限。在進行機房建設的時候,主機會整體的掌握系統的安全,會建立比較有效的殺毒系統或者防火墻,以便保證來自網絡上的病毒或者木馬難以對機房的網絡造成安全威脅。但是如果這種病毒或者木馬是來自網絡內部的攻擊、例如攜帶有病毒的U盤等就不能被防火墻識別,從而造成病毒的侵害。而隨著時代的進步,防止病毒侵害的技術、軟件是在不斷的更新,同時病毒的種類也在不斷的出現,因此,網絡的安全問題是一個持續性的過程。

2.3 其他因素

就計算機網絡來說,還有很多的因素會對網絡的安全造成影響,自然災害等,但是就對于計算機機房來說,對計算機的網絡安全造成影響的主要有計算機機房的管理不善、操作失誤、管理人員的管理水平不高等,這些因素都會對機房的網絡安全造成隱患。還有就是計算機機房的電源故障、設備老化等都是網絡安全潛在的隱患。

3 計算機機房網絡安全應對措施

計算機機房網絡安全是關系到相應的單位或者機構正常工作的重要影響因素。因此,在機房的日常維護上應該做足功夫,對計算機機房網絡安全的物理安全和邏輯安全都要進行相應的維護,沒有警惕的安全意識是造成安全事故的重要因素。以下就是幾個關于如何做好計算機機房網絡安全的做法。

3.1 從計算機機房網絡安全的邏輯安全出發 ①提高管理人員的安全意識。機房管理人員是高素質的技術人員,在對機房的管理上除了對機房的日常看得到的隱患做好清理,還要關注來自網絡上的安全隱患,做到這一點就要要求機房的管理人員有很高的職業道德。要定期的做好機房的維護工作,給電腦及時的安裝和更新殺毒軟件或者防火墻。這些都是管理人員必須做到的事情。②網絡訪問權限。做好對網絡的訪問權限是保證計算機網絡安全的重要手段,設置權限可以保證沒有被授權和非法的用戶不能訪問,這樣既做到了信息的內部交流,又做到了就計算機網絡的信息安全。在一般的機房網絡中都有內部的信息是關系到相關單位的生存的,而有些信息的存在是不可以公開的,這樣的信息就是需要高度隱秘的,而針對計算機網絡的開放性、信息共享以及安全性不高等的特性,加強網絡訪問權限是一種保證信息安全,數據內部共享的重要做法。③數據庫內容的備份。數據庫信息內容的備份是保證數據安全性和完整性的重要做法。這樣可以防止信息在被篡改或者竊取之后及時的恢復信息的做法。特別是數據庫的容量比較大的時候做好數據庫內容的備份是不影響單位正常工作的重要做法。而在日常的機房網絡安全管理中主要采取的方法是只備份數據庫、對數據庫和事務日志都進行備份以及增量備份等三種備份的方式。而在進行備份的時候要根據實際情況采用最合理的備份方法。④控制網絡訪問。對網絡訪問進行控制主要是為了確保網絡資源不被非法使用,數據在沒有被授權的情況下被訪問或者使用會構成隱私的泄漏,對個人來說影響了個人的聲譽,對企業來說影響了企業的聲譽和核心競爭力。因此,這一種控制是保證網絡安全的主要方法之一。⑤對傳播的途徑進行干預。這里說的傳播途徑是局限于機房內部的傳播途徑的干預和控制。絕大部分的病毒都是通過機房內部的接口進行傳播的。對可能帶有病毒的硬盤進行殺毒處理,以便清除安全隱患。同時對在機房進行工作的人員的外接U盤也要進行是否攜帶有病毒的排查。在機房進行工作的人員在使用電腦進行網絡訪問的時候杜絕訪問一些非法的網址,這樣的網絡訪問的控制可以盡可能的阻止病毒的侵入。⑥提高機房網絡系統的偵查病毒的能力。網絡病毒是影響計算機網絡安全的隱形殺手,病毒是一種程序,在網絡上是無處不在的,只是因為計算機的防火墻或者殺毒軟件起到了相當的作用才致使網絡能夠正常的運行,但是防火墻的能力是有限的,對于隱蔽性特別強的病毒是沒有影響的,在這個時候就需要機房的管理人員及時的甄別是否有防火墻沒有察覺的病毒正在影響著網絡的運行。與此同時要對網絡中存在的資源做定期的監測,以保證資源的完整性和安全性。⑦入侵檢測系統的應用。在計算機和網絡急劇發展的時代,網絡安全一直是影響工作的重要因素,如何做到網絡安全就成了許多企業重要研究的對象。入侵檢測系統就是在這種需求中被研究出來的。入侵檢測系統是一種主動保護自己受到黑客攻擊的網絡安全技術。這種技術可以檢測出黑客的攻擊來源和是否超過了網絡設置的權限。通過這種技術可以十分方便的避免網絡安全隱患,從而及時的清楚隱患的影響。⑧相關計算機網絡技術的應用。適用的計算機機房網絡安全技術有實時掃描技術、實時監控技術、防火墻、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術等。這些網絡安全技術的應用可以時刻的發現潛在的病毒給機房網絡造成的安全問題。

3.2 從計算機機房網絡安全的物理安全出發 在進行計算機機房網絡安全的建設的時候不可避免的會要求物理安全。這個物理安全涉及到的是與計算機系統和設備有關的安全,這也是機房網絡安全一個很重要的方面。①計算機機房的環境。在對機房進行檢測的時候應該不僅包括對網絡的病毒的檢測,還有就是機房的各種設備、環境因素等能夠造成網絡安全隱患的因素都是檢測的對象。例如,機房的空氣質量、溫度、濕度以及電氣干擾等都是需要考慮的對象。保證以上各種環境因素的正常也是保證機房網絡安全的重要影響因素。②機房選址。一個單位的中心工作要看其工作的性質是什么,但是一個單位工作途徑都會不可避免的經過網絡進行傳輸,因此,從某種意義上說機房其實是一個單位的另一個中心,因此,在進行機房的建設的時候應該充分的考慮機房所在地的外部環境的安全性、場地抗電磁干擾性等,并且經可能的避免將機房建設在用水設備的下方,這樣能夠很大程度的保證機房的安全,沒有機房的安全談何機房網絡的安全。③機房的使用。機房的使用是為了工作的需要,但是其實機房的使用也是一個攜帶安全隱患的過程。在進行使用的時候應該根據機房的管理制度自覺的遵守相關的規章制度,避免給機房的計算機系統或者網絡帶來不必要的損害。特別是對機房的各種設備的保管都要切實的進行保管。而為了保證機房的持續使用可以對機房進行密封的管理,防止外部的灰塵堵塞線路或者影響操作,在使用過后要及時的對設備和機房進行清理等工作。

4 結束語

綜合以上對計算機機房網絡建設的安全和管理的研究,首先對網絡的安全要有相關的意識,要對其有足夠的重視。機房網絡安全的損失是非常巨大的,因此,擁有自己機房的單位應該充分的對機房的網絡安全做好相應的安全防范。這樣才能保證一個良好的網絡環境,促進各項事業的正常進行。

參考文獻:

[1]譚曉玲.計算機網絡安全[M].北京:機械工業出版社,2012,(02).

[2]劉永華.計算機網絡安全技術[M].北京:中國水利水電出版社,2012,(01).

篇8

關鍵詞:網絡管理與安全課程群;綜合課程設計;項目角色劃分;協同設計

中圖分類號:G642.0 文獻標識碼:A 文章編號:1671-0568(2013)29-0094-03

作者簡介:徐慧,女,博士,講師,研究方向為網絡與服務管理;邵雄凱,男,博士,教授,碩士生導師,教學副院長,研究方向為計算機網絡、移動數據庫技術和Web信息服務;陳卓,女,博士,教授,碩士生導師,研究方向為信息安全;阮鷗,男,博士,講師,研究方向為網絡安全。

作為一所地方工科院校,湖北工業大學(以下簡稱“我校”)目前面向本科生穩步推進“721”梯級、分類、多元人才培養模式改革:針對70%左右的本科生,以就業為導向,實施以培養實踐動手能力為主體、創新創業精神為兩翼的高素質應用型人才培養模式;針對20%左右的本科生,培養具有一專多能、湖北工業經濟發展急需的復合型中堅人才;針對10%左右的本科生,扎實推進卓越工程師項目計劃,培養高素質創新型的、未來湖北工業經濟發展的領軍人物。在這一背景下,網絡工程專業與物聯網工程專業在培養方案設置和修訂的過程中,考慮利用科研平臺、培訓、競賽等方式,切實加強實踐環節的設計,進一步推進我校“721”人才培養模式改革,并以此為契機,進行培養和提高學生的創新精神和實踐動手能力的教學改革與實踐。本文旨在討論網絡工程專業與物聯網工程專業的網絡管理與安全綜合課程設計的改革實踐。

一、網絡管理與安全綜合課程設計的定位

按照“721”梯級、分類、多元人才培養模式改革思路,我校依據學科專業特點探索實施“實驗教學――實習實訓――畢業設計(論文)――創新教育――課外科技活動――社會實踐”六元結合的實踐教學體系。在這一實踐教學體系的規劃下,網絡工程專業與物聯網工程專業的人才培養方案都明確規定六大內容的基本要求和學分,并分為基礎層次(基礎課程實驗、生產勞動、認知實習等)、提高層次(學科基礎實驗、課程設計、專業實習或生產實習、學年論文等)、綜合層次(設計性實驗及科研訓練、學科競賽、畢業實習、畢業設計或論文等)三個層次,從低年級到高年級前后銜接,循序漸進,貫穿整個本科生培養過程,旨在增強本科生的創新意識,提高他們的實踐能力。

面向網絡工程專業本科生的網絡管理與安全課程群,主要包括“信息安全概論”、“應用密碼學”、“計算機網絡管理”、“網絡防御技術”、“網絡性能分析”和“網絡安全編程與實踐”這六門專業課程。在課程安排上,“信息安全概論”課程首先引入信息安全的基本概念和基本原理,包括消息鑒別與數字簽名、身份認證、操作系統安全、數據庫安全技術以及數據的備份與恢復等知識點;而“應用密碼學”課程則介紹密碼學基本概念、基本理論以及主要密碼體制的算法與應用;更進一步,“計算機網絡管理”課程以協議分析為導向講授網絡管理的相關理論,包括功能域、體系結構、協議規范、信息表示等知識點;“網絡防御技術”課程以統一網絡安全管理能力作為培養目標,闡述網絡攻擊的手段和方法以及網絡防御的基本原理;在此基礎上,“網絡性能分析”課程著重討論網絡性能管理的理論與應用;“網絡安全編程與實踐”課程討論網絡安全編程實現的基本技術。值得注意的是,網絡工程專業的網絡管理與安全課程群建設成果,目前正在為面向物聯網工程專業的相關課程體系設置與教學方法改革所借鑒。

網絡管理與安全綜合課程設計介于實踐教學體系中提高層次到綜合層次的過渡階段,作為網絡工程專業與物聯網工程專業本科生第四學年實踐能力培養的一個重要環節,有利于深入培養相關專業本科生的網絡管理與安全綜合實踐能力。

二、基于項目角色劃分的實施方案

為了培養網絡工程專業與物聯網工程專業本科生的工程實踐能力,網絡管理與安全綜合課程設計實施過程的改革思路是:采用自主團隊方式,選擇并完成一個網絡管理與安全項目。對于相關專業本科生而言,因為是自由組成團隊,項目角色劃分顯得尤為重要。在這一背景下,提出基于項目角色劃分的網絡管理與安全綜合課程設計實施方案。

網絡管理與安全綜合課程設計并不是要求本科生在短時間內便可以完成一個很大的網絡管理與安全項目,主要是希望他們能夠利用已有網絡管理與安全課程群的知識基礎,按照軟件工程的思路合作完成一個規模適中的網絡管理與安全項目,提高網絡管理與安全綜合實踐能力。基于不太大的項目規模,網絡管理與安全綜合課程設計的項目角色劃分與相應職責見表1。

三、網絡工程專業與物聯網工程專業的協同設計

作為一所地方工科院校,我校自2008年開始面向本科生開設網絡工程專業,并于2012年面向本科生開設物聯網工程專業,同時已獲批“湖北省高等學校戰略性新興(支柱)產業人才培養計劃本科項目”。網絡工程專業與物聯網工程專業雖然是兩個不同的專業,卻具有一定的關聯性,如何保證網絡管理與安全綜合課程設計的實施方案對于這兩個專業的協同設計,是專業改革實踐過程中需要考慮的問題。圖1給出網絡管理與安全綜合課程設計在實施過程中網絡工程專業與物聯網工程專業的協同設計方案:

如圖1所示,網絡工程專業的網絡管理與安全綜合課程設計的選題主要包括四個方向,即“信息安全與密碼學”、“網絡防御技術”、“計算機網絡管理”與“統一網絡安全管理”。其基本的選題思路在于幫助本科生熟悉常用的網絡管理與安全編程開發包,并掌握網絡管理與安全項目實踐的基本技術,為將來從事網絡管理與安全方面的研發工作打下一定的基礎,各方向的參考選題見表2。

更進一步,較之網絡工程專業,物聯網工程專業具有更強的整合性與自身的特色,見圖1,物聯網工程專業的網絡管理與安全綜合課程設計的選題主要包括兩個方向,即“物聯網安全”與“物聯網管理”,各方向的參考選題如表3所示。[1,2]

按照我校“721”梯級、分類、多元人才培養模式改革思路,作為實踐教學體系中提高層次到綜合層次過渡階段的一個重要環節,網絡管理與安全綜合課程設計在改革實踐過程中,考慮采用基于項目角色劃分的實施方案,并嘗試實現該方案在網絡工程專業與物聯網工程專業的協同設計,同時給出這兩個專業不同方向的參考選題。

參考文獻:

篇9

【關鍵詞】網絡;安全;方案

【中圖分類號】G412.65 【文章標識碼】B 【文章編號】1326-3587(2012)11-0091-02

一、前言

近來,隨著信息化的發展和普及,危害網絡安全的事情時常發生。例如,越權訪問、病毒泛濫、網上隨意信息,甚至發表不良言論。這些問題需要我們引起足夠的重視,規劃并建設一個方便、高效、安全、可控的信息系統成為當前系統建設的重要工作。

信息系統安全建設項目,應該嚴格按照網絡和信息安全工程學的理論來實施;嚴格按照信息安全工程的規律辦事,做到“安全規劃前瞻、行業需求明確、技術手段先進、工程實施規范、管理措施得力、系統效率明顯”,因此,將按照信息安全工程學的理論指導實施用戶信息網絡系統安全項目的建設,從政策法規、組織體系、技術標準、體系架構、管理流程等方面入手,按照科學規律與方法論,從理論到實踐、從文檔到工程實施等方面,著手進行研究、開發與實施。

信息系統安全建設是一項需要進行長期投入、綜合研究、從整體上進行運籌的工程。該工程學主要從下列幾個方面入手來構造系統安全:

1、對整個信息系統進行全面的風險分析與評估,充分了解安全現狀;

2、根據評估分析報告,結合國家及行業標準,進行安全需求分析;

3、根據需求分析結果,制定統一的安全系統建設策略及解決方案;

4、根據解決方案選擇相應的產品、技術及服務商,實施安全建設工程;

5、在安全建設工程實施后期,還要進行嚴格的稽核與檢查。

二、安全系統設計要點

有些用戶對網絡安全的認識存在一些誤區:認為網絡運行正常,業務可以正常使用,就認為網絡是安全的,是可以一直使用的;網絡安全幾乎全部依賴于所安裝的防火墻系統和防病毒軟件,認為只要安裝了這些設備,網絡就安全了;他們沒有認識到網絡安全是動態的、變化的,不可能僅靠單一安全產品就能實現。所以,我們必須從網絡安全可能存在的危機入手,分析并提出整體的網絡安全解決方案。

1、建設目標。

通過遼寧地區網絡及應用安全項目的建設目標來看,構建一個安全、高效的網絡及應用安全防護體系,充分保障業務系統穩定可靠地運行勢在必行。

2、設計思想。

一個專業的網絡及應用安全解決方案必須有包含對網絡及應用安全的整體理解。它包括理論模型和眾多項目案例實施的驗證。該方案模型應是參照國際、國內標準,集多年的研發成果及無數項目實施經驗提煉出來的,同時方案需要根據這個理論模型及眾多的專業經驗幫助客戶完善對其業務系統安全的認識,最終部署安全產品和實施安全服務以保證客戶系統的安全。

為什么要實施安全體系?

內因,也就是根本原因,是因為其信息有價值,網絡健康高效的運行需求迫切。客戶的信息資產值越來越大,信息越來越電子化、網絡化,越來越容易泄漏、篡改和丟失,為了保護信息資產不減值,網絡行為正常、穩定,必須要適當的保護,因此要有安全投入。

其次才是我們耳熟能詳的外因,如遭受攻擊。當前在網絡信息領域中,入侵的門檻已經越來越低(攻擊條件:簡單化;攻擊方式:工具化;攻擊形式:多樣化;攻擊后果:嚴重化;攻擊范圍:內部化;攻擊動機:目的化;攻擊人群:低齡化和低層次化),因此當入侵者采用技術方式攻擊,客戶必須采用安全技術防范。隨著我國安全技術的逐步深入研究,已經把各種抽象的安全技術通過具體的安全產品和安全服務體現了出來。

時間和空間是事物的兩個根本特性,即一經一緯構成了一個立體的整體概念,安全系統的設計也可以這么理解。

從時間角度部署安全系統,如圖一,基于時間的防御模型。

該模型的核心思想是從時間方面考慮,以入侵者成功入侵一個系統的完整步驟為主線,安全方案的設計處處與入侵者爭奪時間,趕在入侵者前面對所保護的系統進行安全處理。在入侵前,對入侵的每一個時間階段,即下一個入侵環節進行預防處理。也就是說,與入侵者賽跑,始終領先一步。

從空間角度部署安全系統,如圖二,基于空間的防御模型。

一個具體的網絡系統可以根據保護對象的重要程度(信息資產值的大小)及防護范圍,把整個保護對象從網絡空間角度劃分成若干層次,不同層次采用具有不同特點的安全技術,其突出的特點是對保護對象“層層設防、重點保護”。

一個基本的網絡系統按防護范圍可以分為邊界防護、區域防護、節點防護、核心防護四個層次。

邊界防護是指在一個系統的邊界設立一定的安全防護措施,具體到系統中邊界一般是兩個不同邏輯或物理的網絡之間,常見的邊界防護產品有防火墻等。

區域防護相較于邊界是一個更小的范圍,指在一個重要區域設立的安全防護措施,常見的區域防護產品有網絡入侵檢測系統等。

節點防護范圍更小,一般具體到一臺服務器或主機的防護措施,它主要是保護系統的健壯性,消除系統的漏洞,常見的節點防護產品主機監控與審計系統。

核心防護的作用范圍最小但最重要,它架構在其它網絡安全體系之上,能夠保障最核心的信息系統安全,常見的核心防護產品有身份認證系統、數據加密、數據備份系統等。

3、設計原則。

1) 實用性。

以實際業務系統需求為基礎,充分考慮未來幾年的發展需要來確定系統規模。以平臺化、系統化來構造安全防護體系,各安全功能模塊以組件方式擴展。

2) 標準化。

安全體系設計、部署符合國家 相關標準,各安全產品之間實現無縫連接,確實不能實現的必需采用其他技術手段予以解決,并與內部的網絡平臺兼容,使安全體系的設備能夠方便的接入到現有網絡系統中。

篇10

【關鍵詞】網絡安全 等級保護 實施方案

信息等級保護是我國踐行的一項主要制度,在實踐中通過對信息系統的相關重要程度與危害程度進行等級劃分的形式開展保護,保障其信息的最大安全性,避免各種不同因素導致安全事故問題的產生,因此本文對具體的安全等級保護以及實施方案進行了探究分析。

1 三級安全系統模型的構建

1.1 安全計算環境的具體實施

安全計算環境就是對相關等級系統進行詳細的管理,通過對相關信息的存儲、處理以及安全策略的實施,掌握信息系統的核心情況。安全計算環境在其有效的區域邊界安全防護之下,可以有針對性的避免各種外界網絡攻擊行為以及一些非授權的訪問。對此,安全計算機環境的整體安全防范工作就是有計劃有標準的提升系統整體安全性改造,避免出現系統因為自身的安全漏洞、系統缺陷等原因導致的攻擊問題。

同時,安全計算環境自身安全防護工作的開展,主要是實現對系統內部產生的相關攻擊以及非授權訪問的各種各樣行為進行防范與控制,避免內部人員因自身的數據以及信息處理方式導致的各種破壞行為的產生。

1.2 安全網絡環境的具體實施

信息系統中的各個計算機與計算域、用戶與用戶域主要是通過網絡進行系統的銜接,網絡對不同系統之間的相關信息傳輸有著承載通道的主要作用。網絡在應用中可以位于系統之內也可以位于系統之外,其中一些網絡數據信息流,或多或少會通過或者經過一些不穩定的網絡環境進行傳輸。對此,網絡安全防護工作在實際操作過程中,首先要保障整個網絡設備自身的安全性,要對設備進行定期的維護,避免其受到各種網絡攻擊,進而在最大程度上提升網絡中信息流的整體安全健壯性,之后在此基礎上逐步提升其整體通信架構的實用性、完整性以及保密性。

基于網絡自身的保密要求,在應用中要使用網絡加密技術與應用本身進行融合,進而實現三級保護中的相關要求。網絡安全域要具有自身的網絡結構安全范圍,同時可以對相關網絡的具體訪問操作進行系統的控制,進一步提升對安全審計工作的重視,保障相關邊界的完整性,避免各種網絡入侵以及網絡攻擊問題的出現,杜絕惡意代碼問題的產生,進而實現整體網絡設備的有效防護與相關網絡信息保護功能。

1.3 安全區域邊界的具體實施

邊界安全防護是指在相關信息安全系統的各種業務流程上對其進行區分與劃分,是不同應用與數據內容的安全域的系統邊界。一般狀況之下,邊界安全的防護邊界與相關防御工作的開展就是通過依托于相關隔離設備與防護技術進行完成的,并且將其作為安全保護的切入點,邊界防護主要實現網絡隔離、地址綁定以及訪問控制管理等相關功能。其主要目標是對相關邊界內外部的各種攻擊進行檢測、告警與防御,可以有效的避免內部相關工作人員出現惡意或者無意的跨越邊界造成攻擊與泄露行為隱患。相關管理人員通過對相關日志的審核,可對一些違規事件進行詳細的審計追蹤。

1.4 安全管理中心的具體實施

安全管理中心是整個信息系統的核心安全管理系統,對于整個系統的安全機制管理有著重要的作用,作為信息系統的核心安全管理平臺,是對相關信息系統不同的安全機制進行有效高效的管理,安全管理中心將相關系統中的較為分散的安全機制進行系統化的管理后,通過集中管理模式提升其整體效能與作用。

安全管理中心可以將其作為整個信息系統中與相關體系域中的整體安全計算域、相關安全用戶域以及各個網絡安全域等流程進行系統的進行統籌記錄與分析管理,進而對其進行整體的統一調度,有效實現相關用戶身份與授權、用戶訪問與控制、用戶操作與審計的過程管理,最終達到對其存在的風險進行控制、通信架構運行情況得到實施展現于掌握,充分地凸顯整體安全防護系統的內在效能與作用。

2 信息安全系統的有效實現

2.1 系統定級實現

系統定級在操作中主要涵蓋了系統識別與相關描述,利用風險評估,基于相關標準對整個信息系統的實際等級標準進行確定,在通過相關部門批準之后形成一個定級報告,在此基礎上最后完成相關信息系統的等級劃分與具體的定級工作。

2.2 總體的安全建設規劃

總體的安全建設規劃主要是基于相關信息系統,承載相關業務的狀況,根據風險評估數據,明確其具體結構,綜合實踐中存在的安全風險,結合相關系統的具體安全要求,并制定出一個具體的安全實施計劃,為今后的信息系統安全建設工程的相關內容實施提供參考依據與指導。對處于一些已經開展的信息系統,要對其具體的需求進行分析,判斷其整體狀況與要求,明確差距后再開展工作。

2.3 安全實施

安全實施的過程就是根據信息系統的整體方案的相關要求,綜合信息系統的項目建設計劃與目的,分期分步的落實各項安全措施,同時將根據具體的等級需求,制定符合其對應等級的安全需求方案,對整個系統進行評估,使其滿足各種不同等級的保護需求。

2.4 運行與維護工作

在系統的整體運行期間,需對全網整體的安全風險進行監控,對其變化進行分析,進而對其安全運行狀況進行系統化的評估。基于具體的評估結果對整個系統中存在安全[患的架構部分進行優化設計與改造,進而制定相應的安全措施。

3 結束語

信息安全系統的實施對于網絡安全等級的優化有著重要的意義,對此要提升對其工作的重視度,全面踐行相關等級保護與實施方案中的各項措施,提升整體的網絡安全性。

參考文獻

[1]陳華智,張聞,張華磊.網絡安全等級保護實施方案的實施及應用實踐[J].浙江電力,2011(03):54-57.

[2]張都樂,何淼,張洋,王照付.信息系統等級保護實施方案研究與分析[J].網絡安全技術與應用,2012(08):5-7.

[3]李洪民.淺談網絡安全等級保護信息建設方案[J].現代工業經濟和信息化,2016(13):85-87+89.

作者簡介

趙晶晶(1983-),女,北京市人。工程師。碩士研究生學歷。研究方向為網絡安全。