序言:寫作是分享個人見解和探索未知領域的橋梁��,我們為您精選了8篇的網絡安全解決方案樣本,期待這些樣本能夠為您提供豐富的參考和啟發�����,請盡情閱讀�。
第1篇
隨著網絡技術的不斷發展�,社交網絡逐漸融入到人們的生活中,一定程度上改變人們的交流方式�。人們在利用社交網絡過程中常常會涉及一些重要信息���,甚至是用戶的隱私�����。怎樣提高社交網絡安全性,營造良好的社交網絡環境��,是業內值得深思的重要問題����。本文對社交網絡安全問題進行分析,提出相關的解決方案����,為營造安全的社交網絡環境提供參考�。
關鍵詞:
社交網絡�����;安全問題�����;解決方案;分析
0引言
社交網絡的出現給人們彼此之間的交流提供了前所未有的便利��。利用社交網絡不僅可與親朋好友交流感情�,而且還可結識一些新朋友擴大交際圈。因此����,人們不可避免的在社交網絡上留下一些重要信息��,如何確保社交網絡安全問題,引起越來越多人的關注��。
1社交網絡安全問題分析
社交網絡已成為人們生活中的重要組成部分���,尤其在科技飛速發展推動下�,社交網站及軟件逐漸向服務的多元化方向發展,其功能越來越強大����,不僅僅局限在溝通交流方面�����。這一發展無疑給社交網絡安全提出更高要求。因此���,對社交網絡出現的安全問題進行匯總,為提出針對性解決方案提供指導�,對促進社交網站及軟件的長遠發展意義重大。
1.1網絡安全問題
網絡安全是社交軟件或社交網站面臨的重要問題�,而且每年都會發生一些網絡安全事件��,給企業及用戶帶來嚴重不良影響。分析發現�,導致社交網絡安全問題出現的因素非常之多����,有些是無意的��,如通信光纖被挖斷����,有些則是有預謀的�。例如,部分不法分子攻擊社交網絡,以獲得一些重要信息從中牟利�,不僅影響社交網絡工作穩定性��,而且引起用戶重要信息的泄露。另外,一些不法分子竊聽社交網絡���,竊取用戶重要的聊天信息,尤其針對一些企業社交賬戶,一旦因網絡攻擊而泄漏重要信息����,導致企業機密的泄漏�,給企業造成嚴重經濟損失�����。
1.2信息安全問題
一些不法分分子攻擊社交網站或軟件的數據庫���,竊取用戶的賬戶信息�,能夠輕而易舉的登錄社交網站及軟件���,竊取用戶的個人信息���、瀏覽用戶的聊天記錄等��,導致用戶隱私泄漏�����。另外,社交網站開發過程中因考慮不周存在bug,這些bug一旦受到蠕蟲及黑客攻擊,會惡意添加一些下載文件的鏈接或植入不良代碼���,當用戶點擊后會下載一些病毒,或將重要信息發送給黑客,如此黑客便輕而易舉的竊取用戶相關賬戶信息,從事某些非法活動,嚴重損害用戶利益。
1.3網絡犯罪問題
一些不法分子通過攻擊���、監聽等手段獲得用戶信息后會從事一些網絡犯罪活動。例如,當獲得用戶的賬戶信息后�����,在用戶空間一些不良信息��,引誘用戶好友點擊��,以達到傳播目的。同時�,一些用戶為便于好友識別���,常常將個人信息填寫在社交網站或軟件上�����,當不法分析運用相關手段獲得用戶的個人信息后,常常冒充用戶好友、企業老板等���,給用戶好友或企業財務人員發信息,以達到騙取錢財的目的。另外,部分不法分子竊取用戶的賬戶信息后,一些虛假信息��,威脅國家安全�����,甚至引發社會恐慌等。
2社交網絡安全問解決方案
社交網絡極大的方便了人們的溝通與交流����,拉近了人們之間的距離��,使人們充分享受到了信息時代的樂趣。但人們在享受這一新的交流方式時�,不能忽略安全方面的考慮���,應積極提出有效的解決方案����,以解決社交網絡面臨的安全問題����。
2.1加強社交網絡管理
在網絡技術發展推動下,我國社交網絡發展迅速����,出現了一大批社交網站及軟件��,如豆瓣、人人網��、新浪微博等�����,尤其以騰訊的QQ�����、微信為代表����,其擁有龐大的用戶群。這些社交網站及軟件一旦出現安全問題�,后果不堪設想��。因此,為避免社交網絡出現安全問題���,無論企業內部還是國家職能部門應加強社交網絡管理��。一方面,企業內部應將社交網絡管理當做重要工作加以落實�����,尤其注重對網絡的監控�,及時發現網絡攻擊行為。同時���,與網絡運營商建立良好的合作伙伴關系,針對出現的網絡安全問題及時與運營商溝通�����,共同解決網絡安全問題�����。另一方面�,國家職能部門應充分認識到當前社交網絡擁有的龐大用戶群�,無論從我國信息化發展角度,還是從輿論引導角度�,均應重視對社交網絡的管理��。因此,國家職能部門應做好社交網絡立法工作�����,加大對破壞網絡安全行為的處罰力度�����,營造安全、健康的社交網絡氛圍,尤其針對利用社交網絡坑蒙拐騙的行為�����,應督促企業鎖定賬戶�����,情節嚴重的給予封號處理�,或追究刑事責任��。
2.2采取安全防護策略
社交網站及軟件運營企業應從用戶的利益出發����,切實維護用戶權益����,采取針對性防護策略,避免用戶信息的泄漏。一方面,立足企業內部���,充分分析社交網站及軟件特點,從安全角度分析社交網站及軟件存在的bug,定期向外界���,供用戶下載,及時修補存在的bug,不給不法分子留下機會。另一方面,做好數據庫的安全管理。眾多周知,對社交網站及軟件而言,數據庫存儲大量的用戶資料、用戶聊天信息����,保護用戶資料安全是企業的職責��,一定程度上關系著企業的長遠發展�。因此,企業可采取硬件與軟件相結合的方式提高數據庫安全性���。在硬件方面,應設計出合理的硬件架構�,以屏蔽大量的安全隱患���。同時�����,與實力強的服務器提供商合作。企業應根據用戶數量及自身業務狀況,與綜合實力較強的服務器提供商合作��。原因在于綜合實力較強的服務器提供商���,不僅能保證服務器工作穩定性,而且在機房管理方面更為嚴格,避免機房原因引起服務器故障的產生�。在軟件方面��,社交網站及軟件運營企業,同樣需進行軟件架構的合理設計,良好的軟件架構可明顯提升服務器運行安全性,防止數據庫出現不良問題�����。同時�,還應使用數據庫安全策略,最大限度的提高服務器的防攻擊性能。
2.3不斷更新安全技術
眾多周知,網絡技術發展迅速����,更新周期比較短����,一些新的安全技術不斷涌現���。為此����,社交網站及軟件運營企業應不斷更新安全技術��,提高社交網站及軟件整個系統的安全性�����。首先,企業應綜合分析當前運用的安全技術存在的不足���,尋找其與新安全技術的契合點,有針對性的應用新安全技術���。其次,企業應加強與國際間安全技術企業的交流與合作��,把握安全技術發展動向���,引進新的網絡安全思路與方法�,做好用戶聊天信息的保護。最后��,在社交網絡及軟件改版時�,將安全問題當做重要內容加以考慮,最大限度的提高社交網站及軟件安全性�,避免安全漏洞的出現�,讓不法分子有機可乘���。另外�����,考慮到社交網絡安全性�,參與的角色很多如�����,社交網站及軟件運營企業、網絡運營商���、服務器提供商等,除運營企業更新安全技術外����,網絡運營商及服務器提供商同樣應注重安全技術的更新�。尤其對于網絡運營商而言����,提高網絡安全性是其重要職責,為此�,網絡運營商應增加在網絡安全方面的投入�,及時更新網絡設備�����,及安全管理系統���,加強對網絡運營的監控����,尤其應結合大數據思想分析出不法分子的活動規律,及時鎖定異常流量�����,洞察發生的網絡安全問題�。另外,服務器提供商應定期更新管理技術��,不斷提高服務器安全技術水平�,將攻擊服務器的發生機率降到最低。
3總結
社交網絡已經融入到人們的生產生活中�,拉近了人與人之間的距離,使得人與人之間的交流更為方便���。但隨之而來的社交網絡安全問題,給用戶及社交網站及軟件運營企業帶來諸多意想不到的麻煩���。因此如何確保社交網絡安全也引起了人們的高度重視。為確保社交網絡安全性��,企業及國家職能部門應結合當前我國社交網絡安全實際����,積極尋找有效的解決方案,不斷提高我國社交網絡安全水平,為人們安全的使用社交網絡及軟件保駕護航。
作者:李永亮 單位:山東交通職業學院
引用:
[1]劉建偉�,李為宇���,孫鈺.社交網絡安全問題及其解決方案[J].中國科學技術大學學報���,2011.
[2]吳振強.社交網絡安全問題及其對策[J].網絡安全技術與應用����,2014.
[3]周禹江.淺談社交網絡安全問題與解決方案[J].技術與市場����,2015.
第2篇
Abstract: Information and network technology plays an important role in manufacturing and operations of power enterprise, especially as the internet develops rapidly, informatization and digital technology have been extensively applied in power industry .Power companies have established a large and complex scheduling data networks and integrated information network, computer network, information systems have become an increasingly important and necessary technical support system, which result the risk that faced with information, network security may also penetrate into all aspects of power production and operation. Current information and network security has become a big issue that impacting on electricity safety.
關鍵詞:電力;網絡;安全;方案
Key words: power;network;security;plan
中圖分類號:TP39 文獻標識碼:A文章編號:1006-4311(2010)27-0165-01
1電力行業的特點
電力行業與其他行業相比具有分散控制、統一聯合運行的特點。系統的運行涉及到電網調度自動化,繼電保護及安全裝置、廠、站自動化,配電網自動化,電力負荷控制分析、電力市場交易�、電力營銷��、信息網絡系統等,發、輸、配電系統一體化,系統中包括了各種獨立系統和聯合電網的控制保護技術�����、通信技術���、運行管理技術等��。隨著電力行業的不斷發展,電力的關鍵業務不斷增長,因此信息化應用也不斷增強,網絡系統中的應用越來越多。
2網絡安全分析
一般說來,在電力網絡系統中的安全防護主要包括三個方面:一是網絡拓撲的結構防護,即在后期當網絡的結構調整時,要注意增刪節點的合理性;二是硬件方面的防護,即組成網絡系統中的各類設備;三是軟件方面的防護,即網絡系統中存儲和傳輸的信息數據����。
3網絡安全的防范技術
①配備安全評估系統,定期對電力網絡系統進行掃描,主動發現安全漏洞,及時修補�����。②采用全網統一的網絡防病毒系統,保護網絡中的各類服務器、工作站等不受病毒的干擾和對其上文件的破壞,以保證系統的可用性��。③作為防火墻的補充,須在內部關鍵業務網段配備入侵檢測系統和防御系統,以防備來自內部的攻擊及外部通過防火墻的攻擊��。④對關鍵業務信息跨地區的傳輸,采用VPN產品進行加密,保證傳輸過程中的信息安全����。⑤對于網絡設備����、服務器等管理員的身份認證,采用諸如令牌口令的增強身份認證系統。⑥配備災難恢復系統及冗余,防備意外的發生���。⑦建立完善的網絡安全管理制度,防止出現人為的安全隱患。
4安全解決方案
4.1 總體設計思路和原則����。在基本的訪問控制,身份鑒別和安全審計方面采用合理的技術手段���。使用防火墻產品劃分網絡區域,對需要保護的區域進行網絡層的訪問控制��。正確使用系統中已有的安全機制,各系統通常包含了基本的安全機制,如身份認證�����、訪問控制和審計功能。正確的使用這些安全功能可以減少系統可被利用的漏洞。采用專用產品強化系統中對安全構成威脅的薄弱環節(包括防病毒)�。用必要和有效的監控和審查機制保證安全機制的有效性,安全策略的正確性;定期審查。持續監控,部署必要的技術和產品在安全機制失效和災難的情況下采取正確�、及時��、有效的措施。及時報警,以爭取管理和技術人員的及時介入���。在入侵正在進行時自動或通過人員干預終止威脅系統安全的行動。系統遭到破壞是在盡可能短的時間內回復系統的運行�����。
4.2 網絡安全產品的部署
①防火墻的配置:作為保護電力系統內部網免遭外部攻擊,最有效的措施就是分別在電力系統各級內部網與外部廣域網之間放置防火墻,通過設置有效的安全策略,做到對電力系統內部網的訪問控制�����。不改變原來網絡拓撲結構,且保證通訊速度不受較大影響,可以配置使用基于狀態檢測包過濾技術上的流過濾技術的防火墻――硬件防火墻系統����。
②入侵監測系統的配置:為了防范來自電力系統內部網絡的攻擊,及來自外部透過防火墻的攻擊,作為防火墻的補充,須在電力系統內部網各重要網段配備入侵檢測系統,通過對網絡行為的監視,來識別網絡的入侵的行為���。實時監視網絡上正在進行通信的數據流,分析網絡通訊會話軌跡,反映出內外網的聯接狀態;通過內置已知網絡攻擊模式數據庫,能夠根據網絡數據流和網絡通訊的情況,查詢網絡事件,進行相應的響應;能根據所發生的網絡安全事件,啟用配置好的報警方式,比如Email�、聲音報警等;提供網絡數據流量統計功能,能夠記錄網絡通信的所有數據包,對統計結果提供數表與圖形兩種顯示結果,為事后分析提供依據;默認預設了很多的網絡安全事件,保障客戶基本的安全需要;提供全面的內容恢復,支持多種常用協議;支持分布式結構,安裝于大型網絡的各個物理子網中,一臺管理器可管理多臺服務器,達到分布安裝,全網監控,集中管理。
③信息傳輸加密產品的配置:為了保護數據信息從發起端到接收端傳輸過程的安全性,在每一級網絡配備的防火墻系統與邊界路由器之間配備網絡層加密機,由于網絡層加密設備可以實現網關到網關的加密與解密,因此,在每個有重要傳輸數據的網點只需配備一臺網絡層加密機����。利用加密技術以及安全認證機制,保護信息在網絡上傳輸的機密性�、真實性���、完整性及可靠性�。高加密強度的安全隧道,認證通信雙方的身份,實現基于應用的訪問控制。有詳細的日志和審計記錄,對所處理的每一次通信或服務都可以進行詳細的記錄��。提供穿越防火墻的VPN應用模式,可以用直連的方式把通過認證的數據直接傳送到主機的應用程序;可以與第三方認證產品集成,提供更強的身份認證和訪問控制功能��。
④防病毒系統部署�?���?傊娏ζ髽I網絡的安全保障可從以下幾方面考慮:a.在電力企業網絡各節點處構筑防御(如防火墻),防止外網影響內網��。b.建立一個統一�、完善的安全防護體系,該體系不僅包括防火墻�、網關、防病毒及殺毒軟件等產品,還有對運營商安全保障的各種綜合措施,通過對網絡的管理和監控,可以在第一時間發現問題,解決問題,防患于未然。c.在互聯網日益廣泛應用的今天,為保障電力企業網絡的安全,必需樹立全程安全的觀念��。
參考文獻:
[1]CCNA DISCOVERY企業中的路由��、交換技術[C]//思科網絡技術學院教程.
第3篇
【 關鍵詞 】 網絡安全�����;安全隱患;解決方案
Research on Network Security Technology and Solution
He Mao-hui
(Wuhan Bioengineering Institute HubeiWuhan 430415)
【 Abstract 】 With the rapid development of computer technology and network security, security, integrity����, availability�, controllability and can be reviewed and other features make the network security increasingly become the focus of public attention. In this paper�����, the importance of network security is discussed�, and the main forms of network security risks are analyzed��, and the solution of network security is put forward.
【 Keywords 】 network security���; hidden danger�����; solution
1 引言
隨著網絡時代的發展,網絡安全問題成了當今社會不得不注意的重要問題,防范網絡安全隱患應該從每個細節抓起��,提高網絡安全技術水平����,加強網絡信息管理,從根本上塑造一個和諧的網絡環境。
2 網絡安全的重要性
2.1 網絡安全隱患的危害
(1)泄露私人信息。在信息化時代里����,由于電腦等網絡工具不斷普及���,網絡也滲透到各行業以及私人生活中�。人們利用網絡進行資料的收集����、上傳、保存,在共享的資源模式中����,形成了信息的一體化��。同時,網絡中也儲存著大量的私人信息���,一旦信息泄密,就會飛速流傳于互聯網中,帶來網絡輿論,惡劣情況下還會造成網絡人身攻擊�����。
(2)危及財產安全�����。隨著網絡一卡化的運用�����,人們不用麻煩的隨身攜帶大量財物��,只需要幾張卡片就能進行各類消費�,在一卡化模式的運作下��,網絡也最大化地便利了人們����。如今��,由網絡芯卡衍生出了更高端的消費方式�����,常見的微信轉賬、微信紅包�����、支付寶等支付手段�,只需在手機網絡中就能實現網絡消費,為網絡數字時展撐起了一片天�。而在這樣的環境背后�����,網絡消費卻潛藏著巨大的財產安全隱患。密碼是數字時代的重要組成部分�,網絡中的眾多信息都牽涉著密碼�����,但是密碼并非不可破譯的,一旦被危險的木馬軟件抓到漏洞�,無疑等于是鑿開了保險柜的大門��。在以牟取利益為宗旨的經濟犯罪中,網絡經濟犯罪占據著極大的比例�����,無論個人還是企業����,其經濟財產安全都受到網絡安全隱患嚴重的威脅。
2.2 提高網絡安全技術水平的必要性
首先��,提高網絡安全技術水平有利于塑造一個干凈的網絡氛圍�����,可以使各行業在安全的網絡環境中和諧發展�����。其次,提高網絡安全技術水平有利于打擊網絡違法犯罪�,保護公民隱私權��、財產權,維護社會安定����。最后��,提高網絡安全技術水平就是保障國家經濟不受損害,保證國家國防安全����,是國家科學技術水平的綜合體現�����。
3 對網絡安全隱患主要形式的分析
3.1 操作系統的漏洞
任何計算機操作系統都有著自身的脆弱性,因此其被稱之為操作系統的漏洞����。操作系統自身的脆弱性一旦被放大,就會導致計算機病毒通過系統漏洞直接入侵。不僅如此����,操作系統的漏洞具有推移性�����,會根據時間的推移,在不斷解決問題的過程中不斷衍生��,從解決了的舊漏洞中又產生新的漏洞�����,周而復始���,長期存在于計算機系統之中���。不法者通過系統漏洞可以利用木馬����、病毒等方式控制電腦����,從而竊取電腦中重要的信息和資料,是當今網絡安全隱患存在的主要形式之一。
3.2 惡意代碼的攻擊
惡意代碼的概念并不單指病毒�����,而是一種更大的概念��。病毒只是惡意代碼所包含的一種,網絡木馬���、網絡蠕蟲、惡意廣告也從屬于惡意代碼����。惡意代碼的定義是不必要的�����、危險的代碼,也就是說任何沒有意義的軟件都可能與某個安全策略組織產生沖突���,惡意代碼包含了一切的此類軟件�����。通常情況下,黑客就是惡意代碼的撰寫者,一般黑客受人雇傭�,旨在通過非法的侵入盜取機密信息����,或者通過破壞企業計算機系統�,非法獲取經濟利益,形成行業惡性競爭。現在的網絡環境中����,惡意代碼是最常見的網絡安全隱患�,常隱藏在正常的軟件或網站之中�����,并且不易被發現���,滲透性和傳播性都非常強,具有極大的威脅性�。
4 網絡安全的解決方案
4.1 設置防火墻
防火墻是一種集安全策略和控制機制為一體的有效防入侵技術��,是指通過網絡邊界所建立的安全檢測系統來分隔外部和內部網絡,并明確限制內部服務與外部服務的權限�����,可以實際阻擋相關攻擊性網絡入侵��。防火墻的基本類型有六種�,分別是復合型����、過濾型、電路層網關���、應用層網關、服務及自適應技術��。在目前的大多數企業中����,都運用到了防火墻技術。
4.2 對訪問進行監控
訪問監控是在對網絡線路的監視和控制中�����,檢查服務器中的關鍵訪問���,從而保護網絡服務器重要數據的一種防護技術�。訪問監控技術通過主機本身的訪問控制,與防火墻��、安全防護軟件等形成聯動�����,對所有通過網路的訪問進行嚴密監視和審核,以達到對計算機網絡安全的保護��。
4.3 采用多重加密
網絡安全的威脅途徑主要來源于數據的內部傳送����、中轉過程以及線路竊聽,采用多重加密技術����,可以有效地提高信息數據及系統的保密性和安全性��。多重加密技術主要分為幾個過程:首先是傳輸數據的加密,這是保證傳輸過程的嚴密�����,主要有端口加密和線路加密兩種方式�����;其次是數據儲存的加密�,目的是為了防范數據在儲存中失密��,主要方式是儲存密碼控制;最后是數據的鑒別和驗證�����,這包括了對信息傳輸��、儲存、提取等多過程的鑒別����,是一種以密鑰����、口令為鑒別方式的綜合數據驗證��。日常的網絡生活中,加密技術也常能看見�����,比如在微信��、微博���、游戲賬號��、郵箱等各大社交軟件中,都設有個人密碼,這是多重加密技術的第一層屏障,隨著高級別威脅的出現���,第一層的密碼保護無法滿足數據安全的需要。因此,在社交軟件中就出現了動態碼���、驗證碼、密保信息等更高級的數據保護措施,在多元的數據保護手段下就形成了多重加密的安全技術。
4.4 實名身份認證
網絡作為一種虛幻的構成�����,并沒有形成良好的秩序�����,要防范網絡安全隱患����,就要加強現實生活對網絡信息的干預�。采用實名身份認證能夠從實際生活中規范網絡言行,從另一個角度說,這是一種法律意義上的監控��。在實名身份制的網絡認證下���,便于法律的約束和治理����,可以有效控制網絡犯罪�,從根本上促進網絡世界的安全化與和諧化。
5 結束語
安全是一種概率性的詞�,沒有絕對的安全���,只有相對的安全��。網絡世界也是一樣,絕對安全的網絡環境是不存在的�����,就好比只要有利益�����,就會有犯罪�,網絡犯罪是會不斷滋生的��。但是����,網絡安全的隱患是可以防范的,正確的運用信息技術,加強網絡安全的管理�,在網絡法律的有效制約中���,就能拒各種“網絡毒瘤”于網絡的大門之外��,共同塑造一個干凈安全的新信息時代。
參考文獻
[1] 李春曉.校園網網絡安全技術及解決方案分析[J].電子測試,2013�����,18:100-101.
[2] 關勇.網絡安全技術與企業網絡安全解決方案研究[J].電子技術與軟件工程�����,2015,05:227.
[3] 任戎.網絡安全技術與校園網絡安全解決方案芻探[J].四川文理學院學報��,2008�,05:43-45.
第4篇
隨著網絡時代的發展,人們已經進入了一個全新的信息世界���,世界連成了一個整體,實現了“雙腳不出門�����,盡知天下事”的時展目標�。計算機技術的快速發展以及網絡安全所具有的保密性、完整性�、可用性����、可控性和可審查性等特征使得網絡安全愈發成為各界關注焦點���。網絡安全能夠做到防范于未然�����,將潛在的網絡安全隱患扼殺在搖籃中�,以使各自的利益得到保障����。不同應用環境有不同的網絡安全類型,最常見的網絡安全類型有系統安全�,網絡的安全����、網絡傳播安全和信息內容安全等�。計算機技術的快速發展使得網絡安全技術相關工作不斷面臨挑戰�,網絡安全隱患大大增多。因此,利用網絡安全技術����,解決相關問題����,減少安全隱患���,提升網絡安全性迫在眉睫�。
1網絡安全問題簡析
現階段的網絡安全問題主要體現在存在較多網絡隱患上,具體表現為以下六個方面。(1)Internet作為一個沒有控制機構的開放網絡��,其計算機系統很容易遭到黑客入侵�,最終導致特權被盜用、重要數據被破壞�����、機密數據被竊取甚至是系統癱瘓的后果�����。(2)TCP/IP是一種沒有信息安全措施的通信協議���,而Internet所有的數據傳輸都是在此基礎上進行的��,所以存在一定安全隱患���。(3)Unix是一種安全性較弱的操作系統�,而Internet中大部分的通信業務都是由該系統支持完成的��,因此仍舊存在一定安全隱患。(4)由計算機存儲、傳輸及處理的電子信息的真實性和可靠性還不能保證���,其在應用層中的相關服務協議全靠彼此間的君子協定維系,安全性有待加強。(5)電子郵件被誤投���、拆看以及偽造的情況大量存在,用其傳輸機密性的信息文件時,安全系數將會大大降低���。(6)Internet在傳播過程中容易帶來計算機病毒,進而導致數據文件丟失、系統癱瘓等較為嚴重的后果��。
2網絡安全技術簡介
2.1防火墻
防火墻通常被放置在網絡邊界地帶����,用于隔離網絡內外兩部,發揮安全隔離作用�����,以此監控審核通信信息�����,確保網絡安全�。防火墻結合相關安全策略�,對網絡傳輸數據進行檢測分析,改變所檢測到的較為機密的數據,將內部的數據結構以及運行狀態等隱藏起來��,進而使網絡安全得以保障��。包過濾技術����、技術�、狀態檢測技術以及地址轉換技術是最為常見的四種防火墻技術,是依據其所采用的技術標準劃分的。防火墻是網絡安全的屏障,能夠阻止與安全策略不相符合的較為危險的網絡信息的傳播,進而提高網絡安全防護能力�����。防火墻對用戶權限的訪問以及數據內容的控制也是其的重要功能��。除此之外,防火墻還具有網絡訪問審計和地址轉換的功能����,作為連接網絡內外兩部的唯一通道���,防火墻能夠記錄有關網絡的所有訪問記錄�,再對其進行了較為仔細的審計和分析�����,并以日志信息的形式呈現出來��。在此過程中,NAT服務協助防火墻實現內外部網絡的地址交換�����,共享資源�����,提高其安全性能����。
2.2入侵檢測
與防火墻不同的是�����,入侵檢測技術在安全防御這個過程中顯得更為主動,其實質是一種自我防御技術。入侵檢測技術通過“整理收集分析”這一流程對網絡中那些較為關鍵的節點信息進行處理�����,再判斷其是否被人入侵或者攻擊。此外��,該技術還能監督系統的運轉狀況�,發覺各種各樣的進攻計劃、行為或者后果�����,進而保障系統的完整性�、機密性以及可用性。入侵檢測技術主要有使用主機入侵的檢測和使用網絡入侵的檢測兩種方式�。前者是以主機為檢測對象��,將入侵檢測設置于系統之上,以避免因網絡遭到外部攻擊而造成系統不能正常運行的狀況發生���。后者是以網絡為檢測對象,又可以稱是硬件檢測�����,該檢測是將網絡中的數據包安插在相對重要的地方�����,再對其進行分析和配置��,一旦發現有攻擊行為存在,系統便根據有之前配置的相關安全策略阻斷網絡����,以保證網絡安全����。
2.3VPN
VPN是一種利用公用網絡架設虛擬專用網絡的遠程訪問技術����,其實質通過共享網絡建立一個能夠連接內部網絡的隧道��。對遠程用戶來說����,VPN非常實用����,不僅成本較低,還能夠通過其獲取可靠安全的資源���,并且在此過程中傳輸數據時的安全性也能夠得到相應保障。隧道技術、加密和解密技術、密鑰管理技術以及身份認證技術是VPN中最主要的四種安全技術����。VPN技術最主要的特點有兩個����,一是能夠保障安全性����,二是能夠保證QoS的服務質量。前者主要體現在VPN能夠保證網絡傳輸中所傳輸數據的可靠性和保密性。而后者主要體現在能夠預測網絡在高峰期的使用情況,并建立一定策略機制����,設置相關權限以控制執行先后順序���,避免出現擁塞現象�。
3網絡安全解決方案
3.1構建網絡安全體系
網絡服務的保密性���、完整性和持續性是網絡安全體系的最主要體現�,現階段的網絡應用中存在不少安全隱患����,這在一定程度上影響了網絡服務的質量。所以�����,要提升網絡安全系數,保證網絡安全質量就不得不首先從構建網絡安全體系著手。例如�,要構建一個圖書館的網絡安全體系����,其具體操作流程如下���。第一����,對具體的業務、系統、網絡等實際應用情況做一個全面具體的分析���,建立一個初步的、具有一定整體性的安全體系結構框架。圖書館的網絡安全體系結構框架可以從存儲系統��、網絡結構和自動化系統這三個方面設計���。第二���,再對以上三個方面進行詳細分點設計��,整理出每一方面需要設計的內容��。具體如下���。(1)存儲系統方面��,DAS系統的技術相對而言更具成熟性和穩定性����,故而該圖書館的存儲系統可采用該系統�����。(2)網絡結構方面�����,為免受設備物理位置的限制,可采用VLAN劃分技術�����,實現每一個職能部門計算機的邏輯劃分���。(3)自動化系統方面�����,服務器對應用訪問的熱備份需求日益增加����,為滿足這一需求���,圖書館在自動化系統方面可以采用雙機熱備技術�。
3.2技術與管理相結合
技術和管理的有機結合能夠更好地實現網絡安全���,控制網絡內部的不安全因素的產生�。此處仍以圖書館為例,具體操作如下所示�。(1)使用防火墻��。DDoS和DoS的攻擊可能會使得PC機和關鍵服務器受到損害,這個時候就需要設置防火墻���,并制定相關的限制訪問策略,以響應各種網絡攻擊�����。圖書館可以根據自身實際情況配置防火墻,以防止外部非法用戶在該圖書館網絡中自由出入�����,獲取資源����。另外,為了保證計算機網絡系統安全�,圖書館還應該隨時對系統進行升級����。(2)安裝防毒軟件����。安裝防毒軟件防止病毒入侵的重要方式之一,桌面��、服務器��、郵件以及網關等隨時都有可能遭病毒入侵��,所以設置防病毒軟件尤為必要��。在選擇時�����,一定要選擇公認的質量較好的、升級服務較為及時的、響應和跟蹤新病毒速度較快的防病毒軟件。(3)多重加密技術�。網絡安全的威脅途徑主要來源于數據的內部傳送����、中轉過程以及線路竊聽�,采用多重加密技術,可以有效地提高信息數據及系統的保密性和安全性。多重加密技術主要分為幾個過程���,首先是傳輸數據的加密,這是保證傳輸過程的嚴密,主要有端口加密和線路加密兩種方式��。其次是數據儲存的加密�,目的是為了防范數據在儲存中失密,主要方式是儲存密碼控制。最后是數據的鑒別和驗證���,這包括了對信息傳輸、儲存、提取等多過程的鑒別,是一種以密鑰����、口令為鑒別方式的綜合數據驗證�����。日常的網絡生活中,加密技術也常能看見。比如各大社交軟件����、游戲賬號����、郵箱等����,都設有個人密碼���,只不過多重加密技術是一種更高級的滲透入網絡數據傳輸各環節的一種加密形式���,有效地采用多重加密技術將極大促進網絡重要數據的安全性��。
3.3制定安全問題應急策略
網絡安全事故在所難免���,但是可以通過一定的措施控制其發生的頻率���。制定應急措施便是不錯的方法之一�����。應急策略包括緊急響應計劃和災難恢復計劃���。前者主要是指出在事故發生之時系統和網絡可能遭到的破壞和故障有哪些�,而后者主要是指明如何及時地應對這些破壞和故障�����,使其恢復到正常狀態�����。
3.4注重相關人員技術培訓
培訓不能僅僅只針對相關技術人員,非技術管理人員的培訓也尤為重要。現階段���,無論是技術性還是非技術性員工�,對網絡安全的重視程度仍舊不夠。所以���,加強其網絡安全意識勢在必行。對非技術人員的培訓而言�����,主要是使其了解基本安全技術�、能夠分辨網絡或系統中存在的安全隱患等。而對于技術人員而言���,要求則相對較高,必須使其掌握相關的黑客攻擊技術���,找到應對方法,并將其應用于實際工作中���,以保證網絡安全等。
4結束語
第5篇
關鍵詞:計算機網絡�;安全�����;安全管理;防火墻
中圖分類號:TP393.08
隨著科技的迅猛發展�,計算機信息化建設在醫院的高效管理中體現出日益重要的作用�����。借助計算機網絡及管理軟件,可以對醫療收費進一步規范����、減少資產的惡意流失���,同時能促進醫院工作的有效提高,加強醫院的管理水平,也能對領導提供合理的決策數據,讓醫院朝著更好的方向發展[1][2]���。完善的醫院信息管理系統,對醫院醫務工作的正常運行起著很重要的作用,關系著醫院工作的正常開展��,如果計算機網絡出現問題�,那么整個醫院的工作將會出現混亂,嚴重的導致病人的治療受到延誤,給醫院也會帶來一定的損失,可以說,計算機網絡與信息管理系統的安全運行對醫院的有序工作極其重要。
1 醫院計算機網絡安全風險分析
對于醫院這個重要的單位來說�����,信息化的管理系統包括醫院信息管理系統�����,這個系統主要提供了醫院內部工作人員進行自動化辦公�����,實現醫院各部門之間信息的共享,醫院相關信息的統一管理��;另外���,還需要網絡的支持��,可以接入因特網�,允許醫院在需要的時候通過外部網絡來搜索相關的資料��、數據���,同時也能夠將醫院的一些數據到網上��,給病人與醫院提供一個交互的平臺�,讓病人能夠更好的了解醫院�����,宣傳醫院,實現醫院的社會與經濟效益雙豐收。由于網絡與信息管理系統的安全構成了醫院正常開展工作的瓶頸���,這也使得醫院的工作受到網絡攻擊的極大威脅[3]。
1.1 TCP/IP協議存在的安全隱患
TCP/IP協議是計算機上網必須的通訊協議,這個協議規定了計算機與網絡進行通信的各種規則,其實現原理比較簡單�,具有較強的擴展性����,這也相應的使得該協議存在各種不安全患�,比如IP包的劫持,利用Smuff進行攻擊等�。由于TCP序列號有一定的規律�,因此��,網絡入侵者可以借助預測方法來找到正常連接的一個TCP序列號變化規律�����,從而實現IP劫持,并將惡意數據插入TCP連接中,導致網絡的中斷或破壞。
1.2 IP協議存在的隱患
IP協議是互聯網協議,其本身比較安全�,但是�����,其功能實現都有這兩個問題:(1)一般用戶的口令與寄錄口令一樣,且沒有經過加密,這就帶來了網絡被攻擊的風險。如果有惡意程序在網絡內進行監聽���,那就可以直接得到網絡中的所有口令,從而導致入侵產生。當然����,在郵件的POP3協議中也存在相同的問題�����。(2)對于網絡中應用的FTP服務,匿名連接可導致網絡攻擊,比如RP服務實現的是上傳數據,這可以讓入侵者通過上傳來放置木馬����,既然能上傳,其他的惡意篡改過的文件也能放置到網絡中��,這樣�,如果有客戶端下載了這種文件,那會導致客戶端受到惡意攻擊破壞�。同時�,FTP匿名上下載文件�,還能使得賬戶與口令無形泄露。另外��,匿名FTP無法記錄信息���,所以無法監控攻擊源[4]�。
1.3 DNS解析隱患
DNS實現的是IP數字與網絡字符化域名之間的轉換等多種服務,在這些服務中����,也存在著多方面漏洞���。比如域名的假冒性攻擊:如R類服務�,網絡中的入侵攻擊可以冒充真正的域名解析服務器來給出一個回應�����,目的主機受到信息后并不做判斷�����,將會誤認為這個回應是信任的。這樣��,入侵者一旦掌握了這些信息���,就可以連接到網絡中監聽網絡通信,給網絡造成很大的威脅�����。比如一個zolletransfer請求����,會得到一部分數據庫信息�����,如果連續進行請求��,那就可以獲得一份完整的數據庫信息,從而知道網絡中的所有主機信息���,從而實現控制各個主機。
1.4 路由尋址協議缺陷
常見的網絡中的ARP攻擊就是利用路由協議的缺陷�����,除此外還有ospf攻擊��、rip攻擊等���。ARP欺騙利用了目的主機的IP以及以太網地址進行路由攻擊���,形成一種IPspoof�����。在交換式的以太網中經常發生,主要是交換機具有轉發功能����,將收到的ARP欺騙包更新了交換機的CACHE后,開始向網絡中的各個主機發送ARP包�����,這樣各種響應信息都會匯集到入侵者�。
2 醫院的網絡安全管理主要解決的問題
在信息化的推動下,醫院也在加快建設醫療管理系統����,網絡成為這中間不能缺少的關鍵一環���。通過建設網絡����,使得醫院開始從封閉走向了開放���,信息在各部門之間實現了共享����,部門之間需要查閱數據變得很快捷,但是為了保證各部門之間的信息安全,在實現的時候一個部門是作為一個完整的單元來建設的,這樣可以保證它們之間相對的物理隔絕,并能獨立運行����,如果在需要的時候����,可以將這些網絡進行連接�,從而實現內外互連。但是,這會給醫院的運行管理帶來額外的負擔�,網絡運行會存在較大的隱患���。
安全管理在醫院的管理中最主要的一項工作�����,對于網絡安全管理來說���,由于網絡涉及到各種信息的泄露與破壞,因此需要制定一些策略與規程?����?梢钥吹?�,這些管理是一項更為復雜的工作���,需要一個完整的系統來實現�����。醫院的計算機網絡安全需要解決以下這些,例如:安全策略集中化、實時安全監聽��、建立安全聯動機制�、做好系統漏洞補丁管理、設置合理的權限管理和設備管理這六部分的安全管理。
3 醫院網絡安全及解決方案
3.1 防火墻技術
網絡中的防火墻本來是實現將內網與外網進行隔斷,是一種保障外網不能侵入內網,但是內網的信息可以傳送到外網的一道屏障���。在網絡中配置防火墻是最為基本的一個措施。從設備來看,可以用硬件實現���,也可以使用軟件來達到這個功能,或者將這兩者結合起來�,這樣可以達到更好的效果��。
3.2 數據加密與用戶授權訪問控制技術
防火墻從數據傳送上保障了網絡的安全,但是對于一些開放的網絡,必須將防火墻設置為最低限制�,那要保證網絡中傳送的信息安全����,需要通過數據加密或者對用戶權限進行設定來實現�。對用戶權限設置可以保證靜態信息的訪問安全�,這主要在計算機系統中來實現。而保證傳送的信息不能被直接獲取利用����,這可以使用數據加密來實現�。
數據加密是保護網絡中傳送的數據不被他人直接看到�,而采用的一種轉換編碼方式,一般的原理就是對要傳送的信息進行某個算法的重新計算��,從而得到另一種信息����,這個信息從字面上不能直接看出要傳送信息的本意。算法中變換信息的值用到一個密鑰���,常分為公鑰和私鑰兩類。公鑰可以公開����,但是私鑰則必須保密�,且只能是信息解密著唯一擁有�。在各種算法中RSA是使用較廣的一個加密算法。
3.3 防病毒技術
由于計算機新技術的出現和投入使用�����,病毒也隨著變得日趨復雜�����,這對計算機內部文件的管理和系統的安全形成了巨大的威脅���。為了防止其受到病毒的破壞�����,必須使用殺毒軟件����。
3.4 安全管理隊伍的建設
建立完善的網絡安全管理系統,只有通過工作人員和殺毒軟件的共同努力��,才能高效���、合理的將影響系統穩定的危險原因減到最少�����。
4 總結
計算機信息的安全問題是醫院現代化管理中的核心問題�,而網絡安全能否做到最好主要取決于網絡數據的安全和完整性,只有采取最有效的方法保障數據的安全和完整性�����,才能為醫院的現代化建設管理提供良好優質的服務���。
參考文獻:
[1]任忠敏��,馬國勝����,姚鳴紅.醫院信息系統安全體系的建立[J].醫學信息����,2004,17(7):408-410.
[2]宋穎杰�����,于明臻.醫院信息系統的網絡安全管理與維護[J].中國現代醫生��,2007,45(17):l04,ll0.
[3]張會芹.醫院網絡的安全維護措施[J].中國醫院統計,2006��,12(2):191-192.
[4]張震江�����,趙軍平.醫院網絡與信息安全的問題和對策[J].醫院數字化����,2006��,27(16):32-34.
第6篇
當我們看到這位讀者的戶型圖時��,著實嚇了我們一跳,整整四層樓的別墅,對于家庭網絡布線來說這的確算是一個大工程。不過我們很高興王先生來信告訴他遇到的問題,一方面是因為這代表了王先生對我們的信任,另外一方面我們也可以利用王先生的這個案例向其他有同樣問題的朋友解惑。
負一層
負一層有四個功能房間:車庫��、酒窖�����、影音室以及儲藏室��。從房間的功能來看,只有影音室需要網絡接口。目前各種可以連接網絡的影音設備越來越多����,如功放�、藍光播放機����、電視機、高清播放機等等。需要有些影音設備也可以支持無線接入�����,但是相比來說有線網絡更加穩定可靠�。因此��,我們認為影音室需要的有線網絡接口至少為4個�。
第一層
第一層有4個功能房間:客廳���、茶廳���、餐廳和廚房�����?��?蛷d要放置電視機���、播放機等影音設備��,因此客廳電視墻處需要留至少2個有線網絡接口����。茶廳是和朋友喝茶聊天的地方���,按理說這里沒有必要安裝有線網絡接口�����,但是考慮到茶室位于整個一層的中間位置�����,正好是無線路由器的放置位置�,所以在茶室我們建議留有兩個有線網絡接口(一個用于連接有線網絡,一個用于連接無線路由器)����,并在附近預留電源接口���。剩下的房間還有餐廳和廚房���,如果在幾年前這兩個地方幾乎沒人考慮會預留有線網絡接口�,然而如今不同了�����,各種智能家電已經開始有了雛形����,所以我們認為現在廚房和餐廳���,王先生一定要考慮預留2個左右的網絡接口��。至于有線網絡接口的位置我們建議是電冰箱位置���、微波爐位置等����。另外����,我們暫時不清楚王先生的洗衣機擺放位置�����,但我們還是要建議王先生在洗衣機位置安裝一個網絡接口��。
第二層
第二層的有線網絡接口的確定就相對比較簡單了,因為這里房間的功能性較為單一,只有三間臥室和一個休閑廳。三間臥室肯定每一個房間需要一個有線網絡接口。家庭休閑廳位于這一樓層的中間位置,正好用來放置無線路由器。因此���,在這里也需要1個有線網絡接口。如果王先生在就家庭休閑廳有放置電視機的打算,那么在電視機的位置需要1~2個有線網絡接口�。
第三層
第三層的房間功能性與第二層相近��,有兩間臥室和一個書房。很顯然�,和樓下幾層一樣��,用于覆蓋全樓層的無線路由器應該放置在樓層中間的房間書房中。再加上書房本身需要1~2個有線網絡接口���,因此位于第三層的書房肯定至少2~3個有線網絡接口。第三層的主臥室和另外一個臥室�����,當然也各自需要一個有線網絡接口���。
找準網絡中心
按照王先生的要求,這套別墅要實現無線網絡全覆蓋�,肯定要采用有線+無線的網絡布局方式�。確定了方向�,那么我們首先就是要確定網絡中心的位置。別墅戶型與平層戶型不同�,一般別墅都是2層以上的樓房�,因此網絡a每層樓的具體功能:負一層是影音室和車庫�����;第一層是客廳�、餐廳以及茶廳���,這里是平時招待朋友聚會的主要場所�����;第二層是次臥室和兒童房等,是休息的地方;第三層主臥室和書房。從各方面綜合考慮����,我們認為負一層應該是最好的網絡中心所在地����。因為負一層平時來客不多�����,而且可供隱藏有很多網線的網絡中心的地方較多�,比如車庫��、儲藏室等�����。恰好的是,經過我們和王先生的電話溝通,王先生這套別墅的弱電箱正好位于負一層的車庫,于是網絡中心就定下來在車庫了。
網絡節點宜多不宜少
網絡中心確定后���,接下來就要確定每一個有線網絡接口的位置,這樣才能知道怎樣去布設網絡線。現在我們需要根據每一層每一個房間的功能以及具體需求來確定每一個網絡接口的位置����。
建一個完善的弱電控制中心
鑒于每一樓層的情況�����,到這里我們基本可以總結出整個別墅大致需要20個左右�����?���?梢韵胂?0根網線同時有各個房間到車庫弱電箱處匯集�����,將是很大一捆線纜�����。一般的弱電箱恐怕難以滿足需求。所以我們建議王先生放棄原有開發商提供的弱電箱�,而單獨購置一個網絡機柜用作網絡控制中心����,用于放置所有的弱電設備�,如電話交換機、有線電視分配器��、網絡交換機��、ADSL Modem以及無線路由器����。
TIPS
臥室的有線網絡接口安裝在哪里?
解決這個問題需要解析臥室的網絡使用情況����,一般情況我們在臥室里需要使用到網絡的設備是智能手機�、筆記本電腦以及電視機��。而智能手機和筆記本電腦都可以通過覆蓋到臥室的無線網絡信號達到上網的目的,因此有線網絡接口的位置應該安裝在臥室電視機的位置����。
機柜圖
目前網絡商城上有很多網絡機柜出售�,大家可以根據需要購買����。購買時,盡量購買一個12U左右的機柜��。
選擇適合自己的網絡設備
到現在����,我們基本上已經為王先生確定好了整個別墅的網絡布線方案的90%,剩下的就是網絡設備的確定了���。前面我們提到,在王先生的網絡解決方案中����,需要用的有線網絡接口預計有20個左右�,所以王先生首先需要的是一個24口的網絡交換機�����,用于連接每一個網絡接口�。其次����,是網絡中心的無線網絡路由器,這個無線網絡路由器將擔負ASDL Modem的撥號���、負一層的無線網絡覆蓋以及連接網絡交換機的作用。最后是每一樓層的無線網絡路由器的選擇��,考慮到美觀和便于隱藏��,我們建議王先生在除負一層之外的其他樓層的無線路由器均采用小巧的無線路由AP來承擔每一樓層的無線網絡信號覆蓋。
D-LINK DGS-1024T 24口機架型千兆交換機
DGS-1024T是D-Link了具有環保綠色以太網技術的非網管型千兆級交換機����,雖然這是一款專門針對企業級用戶設的計交換機�,不過對于家庭用來說使用這款產品更加確保了產品長時間工作的可靠性�����。DGS-1024T的端口都可以在無連接時自動休眠以降低電源功率�����,并且能夠根據不同以太網線纜長度來預先估計功率輸出以達到環保的目的。 DGS-1024T支持IEEE 802.1p QoS,能夠在數據包爆發期間����,對時間效應敏感的數據被有效發送��,確保游戲玩家和要求優先權的數據包優先發送,保證用戶的最佳使用效果。DGS-1024T具備的D-Link診斷功能帶有連續的驅動器來適合于家庭和Soho千兆級用戶���,使他們僅通過查看前面板的LED指示燈顯示就可以來檢測線纜狀況。
D-Link DIR-605無線寬帶路由器
DIR-605 無線寬帶路由器集有線/無線網絡連接于一體,符合IEEE 802.11n標準��,最高無線傳輸速率可達300M��。以前11g的由于技術的限制可能無法對家庭做到完全的無線覆蓋����。隨著11n的出現����,在傳輸距離和無線信號的穿透力方面有了明顯的提升,完全可以滿足現在3居室、復式、躍層戶型的無線覆蓋��,對于別墅也可以基本保證無線信號覆蓋整個家庭���。
DIR-605安裝也非常簡單��,它具備的快速安裝功能能夠快速配置��,能夠一步一步的引導用戶進行安裝,指導用戶配置互聯網連接、無線網絡設置和安全設置��,以及其他所有運行網絡所必須的東西��。這樣�,即便您不是一個互聯網專家也可以讓您的網絡運行起來�����。
TP-LINK TL-WR800N無線AP
第7篇
關鍵詞:EPC�����;對象命名服務;混合加密
中圖分類號:TP309 文獻標識碼:A 文章編號:1672-7800(2013)005-0130-03
0、引言
EPC網絡(又稱為物聯網)是當今的熱門研究領域��,在此網絡中�,可以識別任何事物及其在物流鏈中的位置,以達到降低成本��、提高物流供應鏈管理水平的目的����。近年來物聯網飛速發展,其通信安全也受到了廣泛關注。
物聯網的安全研究主要分為兩類:一類研究RFID閱讀器通訊和RFID標簽;另一類研究EPC Global網絡安全�。文獻分析了EPC G10bal網絡體系中0NS系統存在的安全隱患�,并給出了解決方案����,由于此方案需要與VPN技術結合,因此局限于大規模應用;文獻提出了基于DNS安全擴展的解決方案,以加強ONS系統內部的安全,此方案能夠保證0NS內部的安全���,但當0NS與EPC系統中的其它組件進行交互時�,可能會出現竊聽、欺騙等安全威脅���。
目前數據加密技術有兩種:一是對稱加密,采用相同的密鑰加解密�����,如DES�、IDEA、AES算法等�����;二是非對稱加密�,加密解密使用不同的密鑰,如RSA���、橢圓曲線算法等。這兩類加密算法在速度��、安全性和密鑰的管理上各有優缺點�,優勢互補。因此�����,本文提出了基于DES和RSA的混合加密方案��,并將DES—RSA混合加密技術應用于ONS查詢過程中的數據通信�����,使得各ONS組件之間交互時更加可信和安全。
1��、EPC網絡
EPC網絡由EPC編碼標準�����、射頻識別系統及信息網絡系統組成,如圖1所示��。
(1)EPC編碼標準�����。EPC編碼標準是由版本號����、廠商識別代碼、對象分類代碼及序列號等字段組成的一串數字�,其作用是為每個對象提供唯一標識���。
(2)射頻識別(RFID)系統��。射頻識別系統用于實現EPC代碼的自動采集,由EPC標簽和閱讀器組成����。EPC標簽是產品電子代碼的載體����,附于可跟蹤的物品上���,在各地流轉����。閱讀器與信息網絡系統相連,用來讀取EPC標簽并寫入信息網絡系統中�。EPC標簽與閱讀器之間采用無線感應方式交換信息���。
(3)信息網絡系統。信息網絡系統由本地網絡和全球互聯網組成,用于實現信息管理及流通���。EPC中間件是連接標簽閱讀器和企業應用程序的紐帶,其功能是處理來自于閱讀器的數據流,任務是校對數據���、閱讀器協調、數據傳送存儲和任務管理。對象名解析服務(ONS)類似于域名解析服務DNS��,它將一個EPC映射到一個或多個URI���,據此可以找到該產品的詳細信息�����,這些信息存放在EPCIS服務器上�。EPC信息服務(EPCIS)存放了大量制造商生產的所有物品相關數據信息的PML文件���。
2��、對象名解析服務(ONS)
2.1 ONS概述
ONS根據DNS的基本原理�����,實現產品電子編碼與相應的EPCIS信息服務器PML地址的映射管理和查詢,其組成部分如下:
(1)映射信息。映射信息分布地存儲在各層ONS服務器中���,其內容包含了URI和EPC編碼的映射關系。
(2)ONS服務器。若本地客戶端要求查詢某個EPC對應的PML服務器的IP地址�����,則由ONS服務器處理此請求��,若查詢成功則返回相應信息����。ONS服務器具有與DNS服務器相似的結構�����,最頂層為根ONS服務器,其下為子ONS服務器���,每臺ONS服務器都存儲著部分EPC的權威映射信息和緩存映射信息。
(3)本地ONS解析器��。本地ONS解析器向ONS服務器發出請求�����,查詢PML服務器所在的位置��。
(4)ONS本地緩存���。ONS本地緩存保存頻繁及最近查詢的“查詢-響應”值��,當應用程序進行EPC代碼查詢時,首先查看ONS緩存中是否包含相應的記錄,若有則直接獲取,這樣可以減少外查詢的次數����,提高查詢效率�����。
2.2 ONS工作過程
ONS查詢過程如圖2所示。
①閱讀器從RFID標簽上讀取EPC編碼,如64位的EPC編碼(01000000000000000000010 00000000000000011000000000000000000011100)���;②閱讀器將EPC編碼發送給本地服務器;③本地服務器將二進制的EPC編碼轉換為十進制整數,并在首部添加“urn:epc:”,轉換為URI格式(urn:epc:1.2.3.28)�����,然后將其發送到本地ONS解析器����;④本地ONS解析器將URI轉換成DNS域名��,方法為:清除urn:epc�����,得1.2.3.28;清除EPC序列號��,得到1.2.3����;顛倒數列,得到3.2.1�;添加“”���,得到��,本地ONS解析器訪問本地ONS服務器,若找到相關的ONS記錄��,則直接返回DNSNAPTR記錄����;否則轉發給上級ONS服務器做進一步處理;⑤通過ONS基礎架構����,將EPC域名對應的PML服務器的IP地址返回給本地ONS解析器���;⑥本地ONS解析器將IP地址返回給本地ONS服務器���;⑦本地服務器根據IP地址找到PML服務器,并與其建立連接,獲取EPC信息。
2.3 ONS安全分析
當ONS系統與客戶端應用程序交互時,存在一定的安全隱患�����,如圖2中的步驟①和⑥��。常見的攻擊有欺騙��、偷聽、篡改等�����。假如攻擊者非法獲取了某產品的EPC標簽���,就可以通過ONS系統來查詢此產品的詳細信息�����,這就是偽裝身份進行欺騙從而獲取信息�����;攻擊者也可以截取ONS與客戶端通信的信息���,這就是偷聽行為����;還可以將截獲的信息進行修改后再發送����,從而導致信息交互出錯���,這就是篡改行為����。
3、基于DES和RSA的混合加密技術
3.1 DES算法
DES是一個分組加密算法,它以64位為分組對數據進行加密���,其中有8位奇偶校驗,有效密鑰長度為56位。DES算法的加密和解密采用同一算法�����,其安全性依賴于所用的密鑰�。DES對64位的明文分組進行操作,通過一個初始置換,將明文分成左半部分L。和右半部分Rt���,各32位長;然后進行16輪完全相同的運算,運算公式為:L��。=Ri-1�����,Rt=Li-1+f(Ri-1����,Ki��。)�����,在運算過程中數據與密鑰結合;經過16輪后����,左、右半部分合在一起經過一個逆置換(初始置換的逆置換)�����,完成算法�。
3.2 RSA算法
RSA算法使用兩個密鑰:加密密鑰(公開)和解密密鑰(保密)。其過程如下:①隨機選擇兩個大素數a和b(均保密)�����;②計算n=ab(公開)�;③計算歐拉函數ω(η)=(a-1)(b-1)(保密);④隨機選取一整數e����,滿足O
3.3 算法比較
(1)加解密速度�。DES算法的密鑰僅為56位�,進行的是簡單位處理,加解密速度快�,適合長數據的加密�����;RSA算法需要進行多位整數乘冪和求模等多字長處理,運算量大且復雜���,速度明顯慢于DES算法�,只適合于少量數據的加密���。
(2)安全性�����。DES算法的密鑰一旦丟失��,任何人都可以破解密文���,安全性差�;RSA算法用不同的密鑰來加密和解密,難以破解���,安全性相對較高。
(3)密鑰的分配和管理����。RSA算法公開分配加密密鑰��,加密密鑰容易更新,與不同的對象通信時����,只需保管好解密密鑰��,密鑰的分配和管理容易;DES算法在通信前就要秘密分配密鑰���,密鑰難以更換,與不同的對象通信時���,要分配和保管不同的密鑰,密鑰分配和管理相對困難��。
3.4 基于DES和RSA的混合加密
通過以上分析���,DES和RSA算法各具優勢����,優缺點正好互補?���?梢越Y合兩者的優點,避免缺點�,因此本文提出了基于DES和RSA的混合加密�����,思路是:加解密采用DES,密鑰傳遞采用RSA,這樣既可以利用DES運算速度快的優勢,也可以利用RSA密鑰管理容易的優勢�,克服了各自的弱點�����。
DES-RSA混合加密的思路是:先用DES算法加密消息明文,再用RSA算法加密DES的密鑰,然后將數據發送給接收方。接收方收到密文和被加密的密鑰后,先用RSA算法解密密鑰����,再用此密鑰解密密文���?��;旌霞用艿倪^程如圖3所示�。
4�����、DES-RSA混合加密在ONS中的應用
在ONS服務器與客戶端交互時�����,將DES-RSA混合加密應用到圖2中的①和⑥,客戶端發送信息的過程為:
將要發送的EPC編碼M用DES算法加密,得到密文C。①客戶端生成一個DES方式的密鑰K;②采用RSA算法,客戶端用ONS服務器端的公鑰對K進行加密�����,得到K1;③將密文C和K1發送到ONS服務器����。
ONS服務器端收到客戶端的請求后,作以下處理:①服務器端用私鑰對K1解密,得到K���;②服務器端用K作為密鑰,對C進行解密,得到原始EPC編碼M,并銷毀K���;③進行下一步查詢。
獲取不到真正的信息明文,即可以防止攻擊者利用非法得到的信息進行攻擊�。
第8篇
關鍵詞:電子政務�;信息安全�; OA ERP
1.背景
隨著電子政府的飛速發展,在帶來辦公便利的同事,也使政務信息面臨前所未有的網絡信息安全的威脅�����。電子政務系統一旦發生信息被竊取�,網絡癱瘓,將癱瘓政府職能的履行,對政府職能部門以及社會公眾產生嚴重的危害����。
2.系統安全現狀
根據省電子政務內外網的建設目標和建設原則����,充分利用現有網絡資源����,充分整合市政府原有的辦公資源網,公務外網, 將原辦公系統整合到統一的辦公業務資源平臺上��。將辦公業務資源網與公務外網���、互聯網實施物理隔離����,公務外網與國際互聯網實施邏輯隔離。
電子政務的網絡平臺,承載多個業務單位系統數據傳輸,核心交換區應具有良好的安全可控性,實現各業務網絡的安全控制�。由于安全防護為整個網絡提供NET、防火墻�、VPN�����、IDS、上網行為管理�、防病毒����、防垃圾郵件等功能�,因此,政府建立辦公業務資源網的工程雖是非涉密網���,但安全保密仍然是工程建設的重點內容。存在的問題如下圖:
圖2.1
(1)缺乏統一的訪問控制平臺����,各系統分別管理所屬的系統資源����,隨著用戶數增加�,權限管理愈發復雜,系統安全難以得到充分保障�;
(2)缺乏集中統一的訪問審計���,無法進行綜合分析�����,因此不能及時發現入侵行為;
(3)缺乏統一的權限管理��,各應用系統有一套獨立的授權管理��,隨著用戶數據量的增多���,角色定義的日益復雜,用戶授權的任務越來越重;
(4)缺乏統一內部安全規范。為了保證生產�、辦公系統的穩定運行��,總部及各部門制定了大量的安全管理規定����,這些管理規定的執行和落實與標準的制定初衷存在一定距離���。
3.網絡與信息安全平臺設計方案
3.1設計思路
信息保障強調信息系統整個生命周期的防御和恢復���,同時安全問題的出現和解決方案也超越了純技術范疇�����。由此形成了包括預警���、保護����、檢測����、反應和恢復五個環節的信息保障概念,即信息保障的WPDRR模型��。
3.2 安全體系設計方案
綜合安全體系結構主要考慮安全對象和安全機制���,安全對象主要有網絡安全�、系統安全、數據庫安全�、信息安全��、設備安全����、信息介質安全和計算機病毒防治等。目前,政府網絡中心安全設計主要包括:信息安全基礎設施和網絡安全防護體系的建設。
3.3.1信息安全基礎設施設計方案
信息安全基礎設施總體設計方案架構如下圖:
圖3.1 信息安全基礎設施設計方案
基于PKI/PMI的信任體系和授權體系提供了基本PKI數字證書認證機制的試題身份鑒別服務��,建立全系統范圍一致的新人基準�,為整個政府信息化提供支撐。
網絡病毒防治服務體系采取單機防病毒和網絡防病毒兩類相結合的形式來實施。網絡防病毒用來檢測網絡各節點病毒入侵情況����,保護網絡操作系統不受病毒破壞�����。作為網絡防病毒的補充,在終端部署單機反病毒軟件��,實現動態防御與靜態殺毒相結合����,有效防止病毒入侵。
邊界訪問采取防火墻和網閘來實施。網閘可以切斷網絡之間的通用協議連接�����;將數據包進行分解或重組為靜態數據��;對靜態數據進行安全審查�����,包括網絡協議檢查和代碼掃描等;確認后的安全數據流入內部單元;內部用戶通過嚴格的身份認證機制獲取所需數據�?�?梢愿鶕枨蟛扇〔煌姆桨浮?/p>
3.3.2網絡安全防護體系設計方案
圖3.2 網絡安全防護體系設計方案
由于網絡是承載各種應用系統的載體,因而網絡系統的安全是十分重要的,必須從訪問控制���、入侵檢測�����、安全掃描�����、安全審計����、VPN等方面來進行網絡安全設計��。
在應用層�,根據網絡的業務和服務�,采用身份認證技術、防病毒技術、網站監控與恢復系統以及對各種應用服務的安全性增強配置服務來保障網絡系統在應用層的安全。
在應用系統的開發過程中����,要充分考慮到系統安全��,采用先進的身份認證和加密技術,為整個系統提供一套完整的安全身份認證機制,以確保每個用戶在合法的授權范圍內對系統進行相應的操作。
3.3.3 災難備份系統設計方案
災難備份是為在生產中心現場整體發生癱瘓故障時����,備份中心以適當方式接管工作���,從而保證業務連續性的一種解決方案���。
備份中心具備與主中心相似的網絡環境���,例如光纖�����,E3/T3����,ATM,確保數據的實時備份���;具備日常維護條件;與主中心相距足夠安全的距離���。
當災難情況發生,可以立即在備份中心的備份服務器上重新啟動主中心應用系統�,依靠實時備份數據恢復主中心業務���。
4.網絡架構
針對辦公業務資源網和公務外網既要相互隔離又有數據交互的特點��,在兩網之間部署網閘;為了分別保證兩網的安全��,在核心交換區分別進行防火墻的部署��,在核心交換區和應用服務器區分別部署IDS���;建立智能安全管理中心�����,在辦公業務資源、公務外網部署流量檢測系統��,于公務外網設置流量清洗系統��,抗DDOS攻擊��。在系統安全方面部署防病毒系統,另外公務外網部署了Web應用防火墻���、網頁防篡改系統�����。通過安全集成在辦公業務資源�����、公務外網各部署一套網絡管理平臺系統和安全管理平臺系統。為防止外來終端接入對內部網絡安全的影響�,將引入終端準入產品��。
5.電子政務公務外網安全設計總結
綜上所述,根據市政府網絡中心功能需求,我們在網絡中心建立入侵監測系統���、防火墻系統�、防病毒系統�、內網管理系統����。在通過一系列技術手段對電子政務網絡防護的同事,加強了安全管理手段���。實現技術和行政雙重方式來維護整個系統的安全,在通過對網絡使用人員����、管理人員進行信息安全知識培訓���,有效的發揮了網絡安全防護效果����,達到了放牧目的�����。
參考文獻:
[1]龔儉.計算機網絡安全導論[M].東南大學出版社.
[2]閆宏生,等.計算機網絡安全與防護[M].電子工業出版社.
