序論:在您撰寫網(wǎng)絡系統(tǒng)安全論文時��,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度�����。
第1篇
關鍵詞:計算機網(wǎng)絡���;安全威脅����;維護策略;預防措施
計算機的系統(tǒng)安全性歷來都是人們討論的主要話題之一。在計算機網(wǎng)絡日益擴展和普及的今天���,計算機系統(tǒng)安全的要求更高����,涉及面更廣。不但要求防治病毒�,還要提高系統(tǒng)抵抗外來非法黑客入侵的能力��,還要提高對遠程數(shù)據(jù)傳輸?shù)谋C苄?��,避免在傳輸途中遭受非法竊取�。
一���、主要威脅
計算機網(wǎng)絡系統(tǒng)被攻擊的原因來自多方面的因素���,可以分為以下若干類型:黑客入侵、來自內部的攻擊��、計算機病毒的侵入��、秘密信息的泄漏和修改網(wǎng)絡的關鍵數(shù)據(jù)等�,這些都可以造成損失等等����。目前,計算機信息系統(tǒng)的安全威脅主要來自于以下幾類:
(一)計算機病毒
病毒是對軟件�、計算機和網(wǎng)絡系統(tǒng)的最大威脅之一。所謂病毒����,是指一段可執(zhí)行的程序代碼,通過對其他程序進行修改�,可以感染這些程序,使他們成為含有該病毒程序的一個拷貝����。計算機病毒技術在快速地發(fā)展變化之中,而且在一定程度上走在了計算機網(wǎng)絡安全技術的前面�����。專家指出�,從木馬病毒的編寫�、傳播到出售�,整個病毒產(chǎn)業(yè)鏈已經(jīng)完全互聯(lián)網(wǎng)化。計算機感染上病毒后��,輕則使系統(tǒng)工作效率下降,重則造成系統(tǒng)死機或毀壞�����,使部分文件或全部數(shù)據(jù)丟失�。甚至造成計算機主板等部件的損壞���,導致硬件系統(tǒng)完全癱瘓��。
(二)黑客的威脅和攻擊
計算機信息網(wǎng)絡上的黑客攻擊事件越演越烈,據(jù)(2008瑞星中國大陸地區(qū)互聯(lián)網(wǎng)安全報告》披露��,以牟利為目的的黑客產(chǎn)業(yè)鏈已經(jīng)形成并成為新的暴利產(chǎn)業(yè)��。在2006的五一“中美黑客大戰(zhàn)”中�,中美各有上千的網(wǎng)站被涂改���。曾專門跟蹤網(wǎng)站的攻破后的頁面,最后由于這種事件太多���,有時一天會接到上百個網(wǎng)站被涂改的報告���。
(三)其他
其他威脅因素還包括來自內部的攻擊、網(wǎng)絡犯罪���、系統(tǒng)漏洞以及秘密信息的泄漏和修改網(wǎng)絡的關鍵數(shù)據(jù)等��。
二��、系統(tǒng)安全維護策略
(一)計算機病毒的防御
巧用主動防御技術防范病毒入侵��,用戶一般都是使用殺毒軟件來防御病毒的侵入�,但現(xiàn)在年增加千萬個未知病毒新病毒���,病毒庫已經(jīng)落后了����。因此�,靠主動防御對付未知病毒新病毒是必然的�。實際上��,不管什么樣的病毒�,當其侵入系統(tǒng)后,總是使用各種手段對系統(tǒng)進行滲透和破壞操作�����。所以對病毒的行為進行準確判斷�����,并搶在其行為發(fā)生之前就對其進行攔截�。
很多計算機系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問,這是防病毒進程中����,最容易和最經(jīng)濟的方法之一。網(wǎng)絡管理員和終端操作員根據(jù)自己的職責權限��,選擇不同的口令�����,對應用程序數(shù)據(jù)進行合法操作���,防止用戶越權訪問數(shù)據(jù)和使用網(wǎng)絡資源��。操作員應定期變一次口令���;不得寫下口令或在電子郵件中傳送口令。
當計算機病毒對網(wǎng)上資源的應用程序進行攻擊時�,這樣的病毒存在于信息共享的網(wǎng)絡介質上,因此就要在網(wǎng)關上設防�,在網(wǎng)絡前端進行殺毒?���;诰W(wǎng)絡的病毒特點,應該著眼于網(wǎng)絡整體來設計防范手段�����。在計算機硬件和軟件����,LAN服務器�,服務器上的網(wǎng)關����,Inter層層設防,對每種病毒都實行隔離�����、過濾�,而且完全在后臺操作。例如:某一終端機如果通過軟盤感染了計算機病毒���,勢必會在LAN上蔓延�,而服務器具有了防毒功能�����,病毒在由終端機向服務器轉移的進程中就會被殺掉��。為了引起普覺�,當在網(wǎng)絡中任何一臺工作站或服務器上發(fā)現(xiàn)病毒時,它都會立即報警通知網(wǎng)絡管理員�����。
(二)對黑客攻擊的防御
黑客攻擊等威脅行為為什么能經(jīng)常得逞呢����?主要原因在于計算機網(wǎng)絡系統(tǒng)內在安全的脆弱性;其次是人們思想麻痹����,沒有正視黑客入侵所造成的嚴重后果,因而舍不得投入必要的人力��、財力和物力來加強計算機網(wǎng)絡的安全性���,沒有采取有效的安全策略和安全機制��。
首先要加強系統(tǒng)本身的防御能力����,完善防護設備�,如防火墻構成了系統(tǒng)對外防御的第一道防線。防火墻作為網(wǎng)絡的第一道防線并不能完全保護內部網(wǎng)絡����,必須結合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡主機的操作系統(tǒng)安全和物理安全措施。按照級別從低到高�,分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內核安全��、系統(tǒng)服務安全�����、應用服務安全和文件系統(tǒng)安全�����;同時主機安全檢查和漏洞修補以及系統(tǒng)備份安全作為輔助安全措施�����。
堵住系統(tǒng)漏洞要比與安全相關的其它任何策略更有助于確保網(wǎng)絡安全���。及時地安裝補丁程序是很好的維護網(wǎng)絡安全的方法���。對于系統(tǒng)本身的漏洞,可以安裝軟件補?。涣硗饩W(wǎng)絡管理員還需要做好漏洞防護工作�,保護好管理員賬戶�,只有做到這兩個基本點才能讓我們的網(wǎng)絡更加安全����。:
三、預防措施
從實際應用上看��,即使采用了種種安全防御手段�����,也不能說就萬無一失或絕對安全����,因此還需要有一些預防措施����,�以保證當系統(tǒng)出現(xiàn)故障時,能以最快的速度恢復正常����,將損失程度降到最底。這類措施應有:
對日?�?赡艹霈F(xiàn)的緊急情況要制定相應的應急計劃和措施�,發(fā)生運行故障時��,要能快速搶修恢復����。
將操作系統(tǒng)CD盤留副本保存�。由于有一個或者多個備份集,因此可以減少原版CD丟失(損壞)所造成的損失���。
當網(wǎng)絡管理員或系統(tǒng)管理員調動以后立即修改所有的系統(tǒng)管理員口令�����。
堅持數(shù)據(jù)的日常備份制度���,系統(tǒng)配置每次修改后及時備份,對于郵件服務器等實時更新的服務器應堅持每日多次備份(至少每小時一次)�����。
四�����、結語
網(wǎng)絡系統(tǒng)安全作為一項動態(tài)工程�����,它的安全程度會隨著時間的變化而發(fā)生變化。在信息技術日新月異的今天����,需要隨著時間和網(wǎng)絡環(huán)境的變化或技術的發(fā)展而不斷調整自身的安全策略。
參考文獻:
[1]錢蓉.黑客行為與網(wǎng)絡安全,電力機車技術,2002,1,25
[2]關義章����,戴宗坤.信息系統(tǒng)安全工程學.四川大學信息安全研究所,2002,12,10
[3]文衛(wèi)東,李旭暉,朱驍峰,呂慧,余辰,何炎祥.Internet的安全威脅與對策[J].計算機應用.2001年07期
第2篇
關鍵詞網(wǎng)絡安全管理防范
一.銀行系統(tǒng)主要面臨的網(wǎng)絡安全問題
1.計算機網(wǎng)絡系統(tǒng)的實體遭到破壞
實體是指網(wǎng)絡中的關鍵設備,包括各類計算機(服務器���、工作站等)、網(wǎng)
絡通信設備(路由器�、交換機、集線器�����、調制解調器�����、加密機等)���、存放數(shù)據(jù)的媒體(磁帶機����、磁盤機、光盤等)�����、傳輸線路���、供配電系統(tǒng)以及防雷系統(tǒng)和抗電磁干擾系統(tǒng)等�。這些設備不管哪一個環(huán)節(jié)出現(xiàn)問題��,都會給整個網(wǎng)絡帶來災難性的后果���。這類問題�,一部分由于系統(tǒng)設計不合理造成�����,一部分由于內部工作人員責任心不強�����、不按規(guī)定操作、麻痹大意造成����,一部分是來自外部的惡意破壞。
2.內部人員利用網(wǎng)絡實施金融犯罪
據(jù)有關調查顯示����,在已破獲的采用計算機技術進行金融犯罪的人員中
,內部人員占到75%����,其中內部授權人員占到58%。他們方便地利用所授的權利�,輕松地對網(wǎng)絡中的數(shù)據(jù)進行刪除、修改����、增加��,轉移某些帳戶的資金���,達到挪用����、盜用的目的。更為嚴重的是預設“后門”�,“后門”就是信息系統(tǒng)中未公開的通道,在用戶未授權的情況下�,系統(tǒng)的設計者或其他技術人員可以通過這些通道出入系統(tǒng)而不被用戶發(fā)覺,這類行為不僅損害客戶的利益�,大大影響銀行在民眾中的信譽,更為嚴重的是“后門”成為黑客入侵系統(tǒng)的突破口危及整個系統(tǒng)的安全性和數(shù)據(jù)的安全性�����。
3.遭受各類黑客的侵犯和破壞
存儲和運行在銀行計算機網(wǎng)絡系統(tǒng)中的信息��、數(shù)據(jù)�,不僅本質上代表著資金的運動,而且從微觀上能反映某些企業(yè)的經(jīng)濟活動����,從宏觀上能折射出國家的經(jīng)濟運行情況。因此����,在經(jīng)濟競爭如此激烈的當今時代,銀行網(wǎng)絡系統(tǒng)必然遭到各類黑客的“親睞”��。有的通過監(jiān)視網(wǎng)絡數(shù)據(jù)截取信息,從事經(jīng)濟領域的間諜活動����;有的未經(jīng)授權擅自對計算機系統(tǒng)的功能進行修改;有的進行信用卡詐騙和盜用資金���;有的進行惡意破壞��,造成通信流量堵塞��;我國的電子商務工作屢遭挫折���,很多原因是遭遇黑客,如2000年3月30日金融CA認證中心(由國內12家銀行發(fā)起的保障企業(yè)進行電子商務交易的組織)試發(fā)證書的消息公布不到1小時�����,認證中心就遭到黑客的攻擊���。
4.面臨名目繁多的計算機病毒的威脅
計算機病毒數(shù)據(jù),將導致計算機系統(tǒng)癱瘓�,程序和數(shù)據(jù)嚴重破壞,使網(wǎng)絡的效率和作用大大降低�,使許多功能無法使用或不敢使用。雖然���,至今尚未出現(xiàn)災難性的后果���,但層出不窮的各種各樣的計算機病毒活躍在各個角落��,大有一觸即發(fā)之勢�����,令人堪憂���。
二.銀行計算機網(wǎng)絡系統(tǒng)的安全防范工作
筆者認為,銀行計算機網(wǎng)絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)
工程�����,是人防和技防相結合的工程方案�。在目前法律法規(guī)尚不完善的情況下,首先是各級領導的重視���,加強工作人員的責任心和防范意識���,自覺執(zhí)行各項安全制度,在此基礎上,再采用一些先進的技術和產(chǎn)品���,構造全方位的防御機制����,使系統(tǒng)在理想的狀態(tài)下運行�����。
1.加強安全制度的建立和落實工作
安全制度的建立也是一門科學���。一定要根據(jù)本單位的實際情況和所采用
的技術條件����,參照有關的法規(guī)��、條例和其他單位的版本�����,制定出切實可行又比較全面的各類安全管理制度�����。主要有:操作安全管理制度�����、場地與實施安全管理制度�、設備安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫安全管理制度��、計算機網(wǎng)絡安全管理制度�、軟件安全管理制度、密鑰安全管理制度����、計算機病毒防治管理制度等。
制度的建立切不能流于形式��,重要的是落實和監(jiān)督�。尤其是在一些細小的環(huán)節(jié)上更要注意���。如系統(tǒng)管理員應定期及時審查系統(tǒng)日志和記錄���。重要崗位人員調離時,應進行注銷�����,并更換業(yè)務系統(tǒng)的口令和密鑰,移交全部技術資料���,但不少人往往忽視執(zhí)行這一措施的及時性����。還有防病毒制度規(guī)定���,要使用國家有關主管部門批準的正版查毒殺毒軟件適時查毒殺毒�,而不少人使用盜版殺毒軟件��,使計算機又染上了其他病毒��。另外����,要強化工作人員的安全教育和法制教育,真正認識到計算機網(wǎng)絡系統(tǒng)安全的重要性和解決這一問題的長期性�����、艱巨性及復雜性���。決不能有依賴于先進技術和先進產(chǎn)品的思想�����。技術的先進永遠是相對的�����。俗話說:“道高一尺�����,魔高一丈”��,今天有矛�����,明天就有盾���。安全工作始終在此消彼長的動態(tài)過程中進行。只有依靠人的安全意識和主觀能動性���,才能不斷地發(fā)現(xiàn)新的問題�����,不斷地找出解決問題的對策�。
2.構造全方位的防御機制
筆者認為,衡量一個網(wǎng)絡系統(tǒng)的安全性如何����,至少應能保證其數(shù)據(jù)的保
密性�、完整性、可使用性及可審計性等�。為達到這些要求應采用如下的防御機制:
要保證處于聯(lián)機數(shù)據(jù)文件系統(tǒng)或數(shù)據(jù)庫之中的以及網(wǎng)絡傳輸當中的保密信息不會非法地主動地或被動地提供給非授權人員,系統(tǒng)資源只能被擁有資源訪問權的用戶所訪問���,能鑒別訪問用戶身份����,保證合法用戶對系統(tǒng)資源的訪問和使用�。其防御機制是:除了對關鍵數(shù)據(jù)進行級別較高的加密外,還要建立訪問控制體系��,根據(jù)信息密級和信息重要性劃分系統(tǒng)安全域�,在安全域之間用安全保密設備(加密機�����、防火墻、保密網(wǎng)關等)�,通過存取矩陣來限制用戶使用方式,如只讀�����、只寫��、可讀寫��、可修改�、可完全控制等���。
要使信息的安全性��、精確性����、有效性不因種種不安全因素而降低�,不會使存儲在數(shù)據(jù)庫中以及在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)遭受任何形式的插入����、刪除�����、修改或重發(fā),保證合法用戶讀取��、接收或使用的數(shù)據(jù)的真實性�。其防御機制是除了安裝“防火墻”和計算機病毒防治措施之外��,還要建立良好的備份和恢復機制����,形成多層防線。主要設備��、軟件�����、數(shù)據(jù)�、電源等都有備份,并具有在較短時間內恢復系統(tǒng)運行的能力�����。
要使合法的用戶能正常訪問網(wǎng)絡的資源�,有嚴格時間要求的服務能得到及時響應���,不會因系統(tǒng)的某些故障或誤操作而使資源丟失����,或妨礙對資源的使用�,即使在某些不正常條件下也能正常運行���。其防御機制主要靠系統(tǒng)本身所設計的功能來實現(xiàn)����。
要使網(wǎng)絡系統(tǒng)中的每一項操作都留有痕跡����,記錄下操作的各種屬性,并保留必要的時限��,以使各種犯罪行為有案可查。其關鍵是建立監(jiān)控體系和審計系統(tǒng)���。集中式審計系統(tǒng)將各服務器和安全保密設備中的審計信息收集�����、整理��、分析匯編成審計報表�����,用來處理絕密級信息或信息內容�����,特別重要的系統(tǒng)���,分布式審計系統(tǒng)的審計存放在各服務器和安全保密設備上,用于系統(tǒng)安全保密管理員審查����。
3.采用先進的技術和產(chǎn)品
要構造上述的防御機制,保證計算機網(wǎng)絡系統(tǒng)的安全性��,還要采用一些先進的技術和產(chǎn)品。目前主要采用的相關技術和產(chǎn)品有以下幾種�。
①“防火墻”技術
“防火墻”是近年發(fā)展起來的一種重要安全技術,是通過對網(wǎng)絡作拓撲結構和服務類型上的隔離來加強網(wǎng)絡安全的一種手段�����,它是電腦網(wǎng)絡之間的一種特殊裝置�,主要用來接收數(shù)據(jù),確認其來源及去處�,檢查數(shù)據(jù)的格式及內容,并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)��。其類別主要有:應用層網(wǎng)關��、包過濾網(wǎng)關��、服務器等�,它可與路由器結合����,按不同要求組成配置功能各異的防火墻。
②加密型網(wǎng)絡安全技術
這一類技術的特征是利用現(xiàn)代的數(shù)據(jù)加密技術來保護網(wǎng)絡系統(tǒng)中包括用
戶數(shù)據(jù)在內的所有數(shù)據(jù)流���,只有指定的用戶或網(wǎng)絡設備才能夠解譯加密數(shù)據(jù)��,從而在不對網(wǎng)絡環(huán)境作特殊要求的前提下從根本上保證網(wǎng)絡信息的完整性和可用性�。這種以數(shù)據(jù)和用戶確認為基礎的開放型安全保障技術是比較適用的,是對網(wǎng)絡服務影響較小的一種途徑�,可望成為網(wǎng)絡安全問題的最終的一體化解決途徑。
③漏洞掃描技術
漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術�,通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊并記錄它的反應,從而發(fā)現(xiàn)其中的漏洞����。它查詢TCP/IP端口,并記錄目標的響應�,收集關于某些特定項目的有用信息,如正在進行的服務�,擁有這些服務的用戶,是否支持匿名登錄���,是否有某些網(wǎng)絡服務需要鑒別等���,可以用來為審計收集初步的數(shù)據(jù)。
④入侵檢測技術
入侵檢測可被定義為對計算機和網(wǎng)絡資源上的惡意使用行為進行識別和
第3篇
隨著信息產(chǎn)業(yè)的高速發(fā)展��,眾多企業(yè)都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)���,以充分利用各類信息資源�����。但是我們在享受信息產(chǎn)業(yè)發(fā)展帶給我們的便利的同時�����,也面臨著巨大的風險����。我們的系統(tǒng)隨時可能遭受病毒的感染、黑客的入侵���,這都可以給我們造成巨大的損失����。本文主要介紹了信息系統(tǒng)所面臨的技術安全隱患�����,并提出了行之有效的解決方案����。
關鍵字:信息系統(tǒng)信息安全身份認證安全檢測
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一���、目前信息系統(tǒng)技術安全的研究
1.企業(yè)信息安全現(xiàn)狀分析
隨著信息化進程的深入�����,企業(yè)信息安全己經(jīng)引起人們的重視���,但依然存在不少問題���。一是安全技術保障體系尚不完善,企業(yè)花了大量的金錢購買了信息安全設備�����,但是技術保障不成體系��,達不到預想的目標:二是應急反應體系沒有經(jīng)?��;⒅贫然?三是企業(yè)信息安全的標準�����、制度建設滯后��。
2003年5月至2004年5月,在7072家被調查單位中有4057家單位發(fā)生過信息網(wǎng)絡安全事件����,占被調查總數(shù)的58%。調查結果表明�����,造成網(wǎng)絡安全事件發(fā)生的主要原因是安全管理制度不落實和安全防范意識薄弱����。其中,由于未修補或防范軟件漏洞導致發(fā)生安全事件的占安全事件總數(shù)的“%���,登錄密碼過于簡單或未修改密碼導致發(fā)生安全事件的占19%.
對于網(wǎng)絡安全管理情況的調查:調查表明����,近年來���,使用單位對信息網(wǎng)絡安全管理工作的重視程度普遍提高���,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織���,有2%的單位請信息安全服務企業(yè)提供專業(yè)化的安全服務��。調查表明����,認為單位信息網(wǎng)絡安全防護能力“較高”和“一般”的比較多����,分別占44%。但是����,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓���、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題�,也說明目前安全管理水平和社會化服務的程度還比較低�。
2.企業(yè)信息安全防范的任務
信息安全的任務是多方面的,根據(jù)當前信息安全的現(xiàn)狀����,制定信息安全防范的任務主要是:
從安全技術上,進行全面的安全漏洞檢測和分析�,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻���、網(wǎng)絡防病毒軟件、入侵檢測系統(tǒng)���、建立安全認證系統(tǒng)等安全系統(tǒng)�。
從安全管理上�����,建立和完善安全管理規(guī)范和機制���,切實加強和落實安全管理制度�,增強安全防范意識�����。
信息安全防范要確保以下幾方面的安全����。網(wǎng)絡安全:保障各種網(wǎng)絡資源(資源、實體�、載體)穩(wěn)定可靠地運行、受控合法地使用。信息安全:保障存儲��、傳輸�����、應用的機密性(Confidentiality)����、完整性(Integrity)�、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治����、預防內部犯罪。
二���、計算機網(wǎng)絡中信息系統(tǒng)的安全防范措施
(一)網(wǎng)絡層安全措施
①防火墻技術
防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術����,越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境之中����,尤其以接入Internet網(wǎng)絡為甚。
防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口����,能根據(jù)企業(yè)的安全政策控制(允許、拒絕�、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力���。它是提供信息安全服務��,實現(xiàn)網(wǎng)絡和信息安全的基礎設施�。在邏輯上�����,防火墻是一個分離器���,一個限制器����,也是一個分析器���,有效地監(jiān)控了內部網(wǎng)和Internet之間的任何活動�,保證了內部網(wǎng)絡的安全。
防火墻是網(wǎng)絡安全的屏障:一個防火墻(作為阻塞點��、控制點)能極大地提高一個內部網(wǎng)絡的安全性���,并通過過濾不安全的服務而降低風險��。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻�,所以網(wǎng)絡環(huán)境變得更安全���。防火墻可以強化網(wǎng)絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令�����、加密��、身份認證����、審計等)配置在防火墻上。對網(wǎng)絡存取和訪問進行監(jiān)控審計:如果所有的訪問都經(jīng)過防火墻��,那么����,防火墻就能記錄下這些訪問并做出日志記錄���,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。防止內部信息的外泄:通過利用防火墻對內部網(wǎng)絡的劃分��,可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離���,從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響��。除了安全作用���,有的防火墻還支持具有Internet服務特性的企業(yè)內部網(wǎng)絡技術體系VPN。通過VPN�,將企事業(yè)單位在地域上分布在全世界各地的LAN或專用子網(wǎng),有機地聯(lián)成一個整體�����。不僅省去了專用通信線路��,而且為信息共享提供了技術保障���。
②入侵檢測技術
IETF將一個入侵檢測系統(tǒng)分為四個組件:事件產(chǎn)生器(EventGenerators)����;事件分析器(EventAnalyzers);響應單元(ResponseUnits)和事件數(shù)據(jù)庫(EventDataBases)���。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件���,并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)�,并產(chǎn)生分析結果。響應單元則是對分析結果做出反應的功能單元����,它可以做出切斷連接��、改變文件屬性等強烈反應�,也可以只是簡單的報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱���,它可以是復雜的數(shù)據(jù)庫����,也可以是簡單的文本文件�����。
根據(jù)檢測對象的不同,入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡型����。基于主機的監(jiān)測���。主機型入侵檢測系統(tǒng)就是以系統(tǒng)日志���、應用程序日志等作為數(shù)據(jù)源,當然也可以通過其他手段(如監(jiān)督系統(tǒng)調用)從所在的主機收集信息進行分析�。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上�,用以監(jiān)測系統(tǒng)上正在運行的進程是否合法。最近出現(xiàn)的一種ID(IntrusionDetection):位于操作系統(tǒng)的內核之中并監(jiān)測系統(tǒng)的最底層行為��。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺�����。網(wǎng)絡型入侵檢測����。它的數(shù)據(jù)源是網(wǎng)絡上的數(shù)據(jù)包�����。往往將一臺機子的網(wǎng)卡設于混雜模式(PromiseMode)�,對所有本網(wǎng)段內的數(shù)據(jù)包并進行信息收集�,并進行判斷。一般網(wǎng)絡型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)段的任務�����。
對各種事件進行分析���,從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能���。從技術上,入侵檢測分為兩類:一種基于標志(CSignature-Based)��,另一種基于異常情況(Abnormally-Based)�����。
(二)服務器端安全措施只有正確的安裝和設置操作系統(tǒng)����,才能使其在安全方面發(fā)揮應有的作用。下面以WIN2000SERVER為例��。
①正確地分區(qū)和分配邏輯盤��。
微軟的IIS經(jīng)常有泄漏源碼/溢出的漏洞�����,如果把系統(tǒng)和IIS放在同一個驅動器會導致系統(tǒng)文件的泄漏甚至入侵者遠程獲取ADMIN��。本系統(tǒng)的配置是建立三個邏輯驅動器���,C盤20G����,用來裝系統(tǒng)和重要的日志文件�����,D盤20G放IIS,E盤20G放FTP�,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件。因為����,IIS和FTP是對外服務的���,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行�����。
②正確
地選擇安裝順序����。
一般的人可能對安裝順序不太重視,認為只要安裝好了���,怎么裝都可以的��。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機�。Win2000在安裝中有幾個順序是一定要注意的:
首先��,何時接入網(wǎng)絡:Win2000在安裝時有一個漏洞��,在你輸入Administrator密碼后���,系統(tǒng)就建立了ADMIN$的共享,但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續(xù)到你再次啟動后����,在此期間�,任何人都可以通過ADMIN$進入你的機器�����;同時�,只要安裝一完成,各種服務就會自動運行�,而這時的服務器是滿身漏洞,非常容易進入的�,因此,在完全安裝并配置好Win2000SERVER之前����,一定不要把主機接入網(wǎng)絡。
其次�����,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后�����,因為補丁程序往往要替換/修改某些系統(tǒng)文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果���,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝���,盡管很麻煩,卻很必要�。
(三)安全配置
①端口::端口是計算機和外部網(wǎng)絡相連的邏輯接口,從安全的角度來看�,僅打開你需要使用的端口會比較安全,配置的方法是在網(wǎng)卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選����,不過對于Win2000的端口過濾來說,有一個不好的特性:只能規(guī)定開哪些端口�,不能規(guī)定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。
②IIS:IIS是微軟的組件中漏洞最多的一個�,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維��,所以IIS的配置是我們的重點�����,所以在本系統(tǒng)的WWW服務器采取下面的設置:
首先����,把操作系統(tǒng)在C盤默認安裝的Inetpub目錄徹底刪掉��,在D盤建一個Inetpub在IIS管理器中將主目錄指向D:\Inetpub。
其次�,在IIS安裝時默認的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標����。我們雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來了,但這樣作也是完全必要的�。如果需要什么權限的目錄可以在需要的時候再建,需要什么權限開什么����。特別注意寫權限和執(zhí)行程序的權限,沒有絕對的必要千萬不要給�����。
③應用程序配置:在IIS管理器中刪除必須之外的任何無用映射����,必須指出的是ASP,ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射����,刪除所有的映射�����,具體操作:在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射��,然后就一個個刪除這些映射����。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性���。
經(jīng)過了Win2000Server的正確安裝與正確配置��,操作系統(tǒng)的漏洞得到了很好的預防�,同時增加了補丁��,這樣子就大大增強了操作系統(tǒng)的安全性能��。
雖然信息管理系統(tǒng)安全性措施目前已經(jīng)比較成熟��,但我們切不可馬虎大意�����,只有不斷學習新的網(wǎng)絡安全知識、采取日新月異的網(wǎng)絡安全措施�����,才能保證我們的網(wǎng)絡安全防御真正金湯�����。
參考文獻:
劉海平����,朱仲英.一個基于ASP的在線會員管理信息系統(tǒng).微型電腦應用.2002(10)
東軟集團有限公司�,NetEye防火墻使用指南3.0,1-3
賈晶���,陳元����,王麗娜編著����,信息系統(tǒng)的安全與保密,第一版��,1999.01,清華大學出版社
EricMaiwald��,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
楊兵.網(wǎng)絡系統(tǒng)安全技術研究及其在寶鋼設備采購管理系統(tǒng)中的應用:(學位論文).遼寧:東北大學����,2002
劉廣良.建設銀行計算機網(wǎng)絡信息系統(tǒng)安全管理策略研究:(學位論文).湖南:湖南大學.2001
第4篇
隨著我國地鐵建設迅速發(fā)展,加之地鐵工程規(guī)模大����,周邊建筑物與地下管線情況復雜,地面交通繁忙����,地質條件不確定性因素多,而安全管理沒有跟上����,缺少實時監(jiān)測和風險評估,安全事故時有發(fā)生�����。文獻[1]統(tǒng)計了我國2003—2011年地鐵隧道施工事故數(shù)據(jù)資料�����,坍塌、物體打擊���、高處墜落是地鐵隧道施工中的主要事故類型�����,上述事故約占總數(shù)的40%����,同時�����,事故造成的經(jīng)濟損失和人員傷亡十分嚴重���。安全無小事,細節(jié)決定成敗�����。目前安全管理比以前有了很大的進步����,例如文獻[2-16]介紹了幾款施工安全監(jiān)控管理信息系統(tǒng)����,主要實現(xiàn)位移監(jiān)測����、軸力監(jiān)測、測斜監(jiān)測��、視頻監(jiān)測等數(shù)據(jù)的遠程傳輸��、監(jiān)測數(shù)據(jù)分析預警�����、門禁等功能��;文獻[16-18]介紹了施工安全風險自動識別�、風險的信息化管理等技術與實現(xiàn)效果;文獻[19]介紹了一款用于應急組織����、培訓演練、響應調度��、輔助決策的基于GIS的網(wǎng)絡系統(tǒng)。從查閱的大量文獻來看���,目前絕大部分的系統(tǒng)主要實現(xiàn)安全監(jiān)測預警功能�����,也有關于施工風險的自動識別����、應急響應的相關研究����,大大降低了地鐵施工風險程度。在信息共享的今天�����,只有實現(xiàn)多功能的集成�����,才能發(fā)揮安全管理的效率最大化����。目前地鐵施工信息化管理還未實現(xiàn)人員、機械設備�、環(huán)境、工程結構物�����、臨時設施�、周圍既有設施設備等的精細化管理,不安全狀態(tài)與不安全行為的智能化評判�����,以及人-機��、機-機�����、機-建之間等的智能沖突分析���,在風險預測預警����、隱患辨識等方面也有待進一步研發(fā)��。因此,有必要研究開發(fā)能夠實現(xiàn)人員���、機械設備�、工程結構物���、臨時設施的安全管理���,以及沖突分析和可視化動態(tài)監(jiān)測預測預警等功能于一體的地鐵施工安全風險分析與管理遠程網(wǎng)絡系統(tǒng)(以下簡稱系統(tǒng))。
1系統(tǒng)功能需求
系統(tǒng)應實現(xiàn)以下功能���。1)基礎信息管理�。①人員安全基礎信息管理���。有專家對事故發(fā)生原因進行統(tǒng)計分析��,結果表明人為因素導致的事故占80%以上�,而性別���、年齡、是否飲酒�����、睡眠情況、反應敏捷性�、性情等有差異的人員發(fā)生安全事故的概率亦有不同,即使是同一個人���,其各種狀態(tài)也經(jīng)常變化[20]�。因此��,系統(tǒng)應能動態(tài)管理施工人員的上述信息�����。②機械設備安全基礎信息管理���。任何一種機械由于自身的性能�����、結構等特性���,都有一定的使用技術要求,機械設備在使用過程中��,其性能狀態(tài)是動態(tài)變化的。因此����,系統(tǒng)應動態(tài)把握機械設備的性能狀態(tài)。③環(huán)境安全基礎信息管理�。工作環(huán)境不僅影響著施工人員的工作質量,還會影響施工人員在工作中的精神狀態(tài)����。特殊的自然環(huán)境如雨雪天氣、大風天氣���、高低溫環(huán)境���、密閉空間等對施工人員的安全行為和心理會造成很大的危害和影響[20]。以特殊天氣條件為例:雪天時路面�、工程結構物、機械設備上濕滑��,設備移動過程中制動困難易發(fā)生沖撞與傾覆事故�����,工人在工程結構物和機械設備上作業(yè)易發(fā)生高處墜落事故��;雨天易發(fā)生城市內澇�����,若排水不暢�,車站基坑易積水發(fā)生坍塌事故;若高聳機械設備防雷措施不當����,則雷雨天還可能發(fā)生雷擊事故;霧霾天氣能見度變小��,也易引發(fā)安全事故�����;6級強風以上則易引起高聳設備��、圍擋被風吹倒并進一步造成路面社會交通事故�����。因此�,系統(tǒng)應能實現(xiàn)對環(huán)境信息的動態(tài)管理。④工程結構物信息管理�。工程結構物的三維地理信息�����、工程進度信息等與安全風險分析有極為密切的關系��,因此��,系統(tǒng)應能動態(tài)管理工程結構物的基本信息和進度信息�。⑤臨時設施信息管理�����。主要包括施工圍擋���、豎井��、斜井����、施工材料堆放場�、臨時辦公與生活用房等。正是由于臨時設施的臨時性�����,往往易被忽略而引發(fā)安全事故,因此應納入系統(tǒng)進行動態(tài)管理����。⑥周邊既有建(構)筑物���、市政管線�����、路面等既有設備設施信息管理����。2)監(jiān)控信息管理�����。系統(tǒng)應能為施工開展提供及時的反饋信息���,為車站基坑周圍環(huán)境進行及時�、有效的保護提供依據(jù)���,并將監(jiān)測結果用于反饋優(yōu)化設計�,為改進設計提供依據(jù);通過對監(jiān)測數(shù)據(jù)與理論值的比較分析���,可以檢驗設計理論的正確性�����;在施工全過程中�����,通過對既有地面和地下建(構)筑物各項指標的監(jiān)測�����,將結構變形嚴格控制在標準限值內��,保證既有建(構)筑物的安全等[2-5]�。3)不安全狀態(tài)與不安全行為分析評判�。人員、機械設備的不安全狀態(tài)和人員的不安全行為是導致施工事故的關鍵[20]�,因此,系統(tǒng)應能輔助安全管理人員對人員的不安全狀態(tài)和行為進行分析評判�����,并將施工人員(尤其是安全人員)安排到最合適的工作崗位上。系統(tǒng)還應能輔助安全管理人員分析機械設備���,尤其是高聳機械����、大型施工裝備的不安全狀態(tài)��,以便對機械設備故障進行有效預防�,并對可能的安全事故進行防控�����。4)沖突風險分析�。人員與機械混合作業(yè)、多機混合作業(yè)時�����,人員與機械設備之間���、機械設備與機械設備之間�����、機械設備與工程結構物之間��、機械設備與地面社會交通之間可能發(fā)生沖突事故�,系統(tǒng)應能進行三維沖突分析,以便輔助安全管理人員分析高風險點�����、高風險區(qū)域以及高危作業(yè)的基本情況�。5)風險預測與事故預警。6)安全隱患辨識與管理�����。7)應急處理方案管理與智能選擇��。8)事故逃生與救援指揮�。
2系統(tǒng)開發(fā)思路
從前述的系統(tǒng)功能需求來看,施工人員���、機械設備����、工程結構物、既有建(構)筑物�����、既有市政管線�����、地面社會交通之間的空間沖突分析�,人員逃生路線分析,事故救援方案分析����,救援物資調配方案研究等功能的實現(xiàn)�,都離不開三維空間位置信息的采集、存儲��、管理�、描述以及對空間數(shù)據(jù)信息的操作、分析����、模擬和可視化顯示。因此�����,系統(tǒng)應運用三維地理信息系統(tǒng)(3DGIS)來實現(xiàn),例如采用ArcGIS3D�����。因需要進行遠程監(jiān)控與管理��,還應采用網(wǎng)絡系統(tǒng)[11]�����?���?梢暬_發(fā)環(huán)境主要考慮系統(tǒng)的反應速度、健壯性以及快速開發(fā)����,例如采用C#,VB.NET等作為集成開發(fā)環(huán)境�����?���?紤]到空間數(shù)據(jù)和屬性數(shù)據(jù)之間的無縫連接�����,系統(tǒng)宜利用Oracle等大型空間數(shù)據(jù)庫管理系統(tǒng)來管理空間數(shù)據(jù)和屬性數(shù)據(jù)�����。從控制系統(tǒng)開發(fā)成本來考慮����,在滿足系統(tǒng)性能基本要求的前提下�,也可以采用MicrosoftSQLServer等數(shù)據(jù)庫管理系統(tǒng)對屬性數(shù)據(jù)進行管理,空間數(shù)據(jù)����、施工圖和竣工圖等則以文件形式進行管理���。
3系統(tǒng)總體結構設計
系統(tǒng)通過對屬性數(shù)據(jù)庫和空間數(shù)據(jù)庫的數(shù)據(jù)訪問�,實現(xiàn)數(shù)據(jù)錄入和管理�,并可對其進行分析統(tǒng)計和查詢,實現(xiàn)不安全狀態(tài)與行為評判��、沖突風險分析、特殊天氣風險分析��、預測預警��、應急處理方案智能選擇�、事故逃生救援指揮等功能。除此以外���,為了維護系統(tǒng)安全和方便用戶使用�����,還應設計系統(tǒng)維護功能����。系統(tǒng)總體結構如圖1所示��。1)基礎信息管理�。①人員安全基礎信息管理:應包括所屬單位、所屬標段���、人員類型(項目經(jīng)理�����、安全總監(jiān)����、安全員、技術人員�、施工隊長、施工小組長����、普通工人、特種作業(yè)人員等)�、出生年月、性別���、職務(或工種)�����、學歷����、工作經(jīng)驗����、身體狀態(tài)、心理狀態(tài)�、安全培訓考核情況、作業(yè)地點(針對作業(yè)人員)等信息����。②機械設備安全基礎信息管理:應包括機械設備與裝備的類別(盾構機、土石方機械�、混凝土機械、起重及運輸機械���、鋼筋加工及焊接機械��、裝飾裝修機械����、腳手架等)�����、名稱�����、型號�����、所屬單位、性能狀態(tài)�、責任人、檢修情況��、驗收記錄�、安全交底情況等信息。③環(huán)境安全基礎信息管理:應區(qū)分自然環(huán)境和社會環(huán)境����,自然環(huán)境應包括特殊天氣類型、風力等級��、風向��、能見度���、氣溫����、密閉空間含氧量����、地下空間潮濕程度等信息,社會環(huán)境應包括項目部安全文化建設情況�、安全制度制定情況、安全獎懲制度實施情況����、安全交底通暢情況、施工人員之間是否和諧等信息��。④工程結構物信息管理:應包括結構物各部位的三維地理信息����、工程進度信息、結構強度增長信息等�。⑤臨時設施信息管理:應包括臨時設施類型、地理位置����、平面布置、高度等動態(tài)信息��。⑥既有設備設施信息管理:應區(qū)分建筑物����、構筑物、路面、市政管線����。建(構)筑物應包括基礎類型、基礎埋深��、結構形式���、建筑物高度���、建筑物與地鐵水平距離、監(jiān)測斷面距開挖面水平距離����、已用年限、裂縫和傾斜度等信息�;路面應包括路面類型、路面寬度�、交通荷載情況、路面距離基坑邊緣的距離�;市政管線則應包括管線材質、接頭類型�、管線壓力、管線埋深�、管線外徑��、管線與基坑邊緣水平距離���、監(jiān)測斷面與開挖面水平距離以及管線張開角、埋設年代����、鋪設方法����、截面形狀等信息。2)監(jiān)控信息管理�。利用高清音視頻采集、傳輸和處理技術���,直觀且全方位地了解施工現(xiàn)場情況����,輔助決策和指揮��。利用位移傳感器���、溫度傳感器�、濕度傳感器、氧含量傳感器等測得鄰近建(構)筑物變形�����、車站基坑變形�、區(qū)間隧道變形、工作環(huán)境溫度��、工作環(huán)境濕度����、地下空間氧含量等信息,通過光纖等傳輸介質實時傳輸給系統(tǒng)�。3)不安全狀態(tài)與不安全行為分析評判。利用專家模糊評價法對人員和機械設備不安全狀態(tài)進行分析�����,根據(jù)變形監(jiān)測信息對基坑坍塌��、鄰近建(構)筑物開裂傾覆等進行風險分析���,采用模糊評價法����、計算分析法等評價風險嚴重程度等級和概率等級。4)沖突風險分析����。利用3DGIS的空間分析功能,分析某一正進行人工作業(yè)的工人是否位于機械設備(例如挖掘機)的回轉半徑����、傾覆半徑之內,對2個及以上的大型施工裝備(機械)進行回轉半徑重疊分析和傾覆半徑?jīng)_突分析���,對大型施工裝備(機械)和工程結構物(或臨時設施)之間的沖撞可能性進行分析,對高聳機械設備傾倒半徑與地面社會交通之間進行重疊分析�����,對事故的多米諾骨牌效應(即某一事故可能引發(fā)一連串事故)風險進行分析��,采用模糊評價法���、計算分析法等評價風險嚴重程度等級和概率等級�。以塔式起重機和履帶式起重機之間的沖撞為例進行分析���,當塔式起重機和履帶式起重機同時作業(yè)時�,塔式起重機起重臂旋轉空域與履帶式起重機吊臂的變幅和轉動空域有重疊,如圖2所示�。若將GPS接收機OEM板分別安裝于履帶吊和塔式起重機的回轉中心(便于安裝且不易損壞的位置),則可即時獲得履帶吊和塔式起重機的回轉中心的的坐標����,當兩者的距離小到一定值時,履帶式起重機和塔式起重機空間區(qū)域可能有重疊�����,即兩者存在沖撞的風險��。由于信號傳輸需要時間導致OEM版接收數(shù)據(jù)會有滯后性�,所以當兩者趨于接近時,就應該觸發(fā)警報��,提醒司機注意����,若司機未采取相應措施,系統(tǒng)可控制起重機停車�。5)特殊天氣風險分析。利用從氣象部門獲取的天氣預報信息�,分析特殊天氣可能導致的風險,并分析特殊天氣最不利組合(例如:強風+暴雨+雷電�����、強風+暴雪、強風+霧霾)可能導致的風險����,采用模糊評價法、計算分析法等評價風險嚴重程度等級和概率等級���。6)風險預測�、事故預警����。系統(tǒng)根據(jù)各種數(shù)據(jù)(基礎信息����、監(jiān)測信息、天氣信息��、風險嚴重程度等級和概率等級�、沖突分析結果)生成報表、變形曲線圖��、變形速率圖等�����,并對風險進行綜合分析預測,計算各項風險的風險值���,與系統(tǒng)預設的分級預警值進行比較���,一旦達到預設的某一級別預警值,系統(tǒng)立即發(fā)出相應級別警告�,可供選擇的警告方式有:①電腦音響警報(針對系統(tǒng)管理員);②手機警報(該方式需要與移動通訊服務商簽訂協(xié)議���,系統(tǒng)可實現(xiàn)群呼叫����。手機內設置多種風險語音報警鈴聲�,不同類型風險按照通訊錄群組來劃分�,不同通訊錄群組設置不同的風險報警鈴聲�����,一旦系統(tǒng)監(jiān)測或分析出來某種事故征兆或安全隱患,立即自動撥打相應施工人員手機��。這種方式用于地下空間時��,可能因為信號不暢而需要在地下空間設置手機信號站)��;③對講機報警(系統(tǒng)設計網(wǎng)絡模擬對講機功能���,一旦系統(tǒng)監(jiān)測或分析出來某種事故征兆或安全隱患���,立即通過預設語音自動進行對講機呼叫,也可以由系統(tǒng)管理員手持實體對講機進行呼叫)��;④通過埋設在隧道和基坑內的警報器發(fā)出報警�����。7)安全隱患辨識與管理����。應包括隱患編號����、隱患名稱、狀態(tài)描述��、現(xiàn)場照片、危害等級����、位置、辨識人�����、責任人����、責任單位、是否解決��、解決措施����、解決效果等信息��。8)應急處理方案選擇���。系統(tǒng)應能根據(jù)險情位置、類型等從應急預案庫中自動調出可供選用的應急預案,安全管理人員可根據(jù)現(xiàn)場實際情況選擇合適的應急預案�,并由現(xiàn)場具體實施。9)事故逃生與救援指揮�。系統(tǒng)能夠指導施工人員在事故前進行緊急避險,指導施工人員在事故發(fā)生后進行安全逃生����,并能夠立即調出救援預案,利用GIS的網(wǎng)絡分析功能為施工救援提供物資調配��、救援人員調遣等參考信息[19]�����。10)系統(tǒng)維護��。包括系統(tǒng)軟硬件安全維護�����、用戶權限等數(shù)據(jù)維護����、系統(tǒng)使用幫助���。
4與現(xiàn)有系統(tǒng)的對比
基于3DGIS的地鐵施工安全風險遠程網(wǎng)絡系統(tǒng)與現(xiàn)有可視化監(jiān)控系統(tǒng)(包括視頻監(jiān)控系統(tǒng)�����、考勤定位系統(tǒng)�、LED顯示系統(tǒng)、無卡報警系統(tǒng)�、管理系統(tǒng)等)相比,功能進一步拓展�,更加智能化、集成化����、可視化,具體的功能比較見表1�����。安全資金投入方面����,前者主要增加的投入是3DGIS系統(tǒng)平臺軟件的購買和開發(fā)費用,以ArcGIS3D為例�,購買費用約3.1萬元�。前者比后者還需要增加系統(tǒng)開發(fā)費用約30萬元,但軟件系統(tǒng)可復制在多個施工項目部使用�,因此系統(tǒng)開發(fā)費用是可以接受的����。位移����、溫度�、濕度、氧含量監(jiān)控可采用光纖傳感器�,也可采用無線傳輸�����,所需增加的只有溫度��、濕度�、氧含量傳感器的購置費用���,對資金投入影響不大。適用性方面�,前者主要是硬件系統(tǒng)��,未實現(xiàn)智能集成��,在信息共享方面也有所欠缺,仍需要人員在監(jiān)控室全方位安全監(jiān)視���、高強度地分析�,人為因素偏大�����,更不利于安全風險的綜合分析與評判預警�����;后者則可軟硬件良好配合�����,軟件系統(tǒng)充分集成各硬件監(jiān)測信息���,并將監(jiān)測信息與基礎信息進行綜合管理與分析,可大大減輕監(jiān)視人員的工作強度���,提高風險監(jiān)控的工作效率��,真正實現(xiàn)“人機環(huán)基礎信息管理—動態(tài)監(jiān)控信息管理—沖突分析—隱患辨識與管理—風險預測預警—事故救援指揮”的全流程�、全方位的安全精細化管理。
5結論與建議
第5篇
1.1公安網(wǎng)絡系統(tǒng)中軟件設計問題
由于公安網(wǎng)絡系統(tǒng)的安全防護軟件的開發(fā)周期與早期的系統(tǒng)分析不適合當前安全防護形勢的原因。其公安網(wǎng)絡操作系統(tǒng)與應用軟件中存在很多的安全樓同����,這些漏洞的存在將對網(wǎng)絡的正常運行構成很大的隱患����。
1.2病毒的防護漏洞
公安網(wǎng)絡目前對網(wǎng)絡病毒的防護手段十分有限,沒有建立專用的計算及病毒防護中心�����、監(jiān)控中心,這同樣對公安網(wǎng)絡的安全造成巨大隱患�,“尼姆達”與“2003蠕蟲王”等網(wǎng)絡病毒曾對公安網(wǎng)絡造成想打的危害��,造成網(wǎng)絡擁堵���、降低性能���,嚴重擾亂了公安系統(tǒng)的正常工作秩序����。
1.3信息安全的管理體制不完善
公安網(wǎng)絡系統(tǒng)是與公共網(wǎng)絡物理隔離的系統(tǒng),但是還未在整體上建立完善的安全結構體系�����,在管理上缺乏安全標準以及使用條例��,甚至有些地方公安網(wǎng)絡中的計算機出現(xiàn)公安網(wǎng)絡與公共網(wǎng)絡同時使用的現(xiàn)象,這都對公安網(wǎng)絡的信息安全帶來不可忽視的安全威脅�,使非法入侵者有著可乘之機�。
2公安網(wǎng)絡的信息安全體系結構設計
公安網(wǎng)絡的信息安全體系結構設計�,是一項非常復雜的系統(tǒng)工程�,該體系對安全的需求是多層次�����,多方面的�����。因此本文設計了比較完整的安全體系結構模型,以保障整個系統(tǒng)的完備性以及安全性���,為公安網(wǎng)絡的信息安全提供切實有效的安全服務保障���。本文在借鑒了多種成熟的信息網(wǎng)絡安全體系結構�����,并且根據(jù)國家公安部提出的具體保障體系的指導思想��,設計了適應我國公安網(wǎng)絡的信息安全體系。該體系從安全服務��、協(xié)議層次以及系統(tǒng)單元三個維度�,綜合立體的對公安信息網(wǎng)絡的安全體系進行了設計�。這個三個層次均包含了安全管理模塊���。
2.1協(xié)議層次維度
本文從網(wǎng)絡的七層協(xié)議模型來設計公安網(wǎng)絡的安全體系結構中的協(xié)議層次。每一個協(xié)議層次都有專屬的安全機制���。對于某一項安全服務�,安全實現(xiàn)機制隨著協(xié)議層次的不同而不同���。例如,審計跟蹤的安全服務項目在網(wǎng)絡層�����,主要對審計記錄與登錄主機之間的流量進行分析��,對非法入侵進行實時監(jiān)測���。病毒防護層一般在應用層實現(xiàn)��,一般用來對訪問事件進行監(jiān)控���,監(jiān)控內容為用戶身份,訪問IP��,訪問的應用等等進行日志統(tǒng)計��。
2.2安全服務維度
公安網(wǎng)絡的信息安全體系中包括的安全服務有����,身份識別認證、訪問控制權限��、數(shù)據(jù)完整性和保密性以及抗抵賴組成了安全服務模型����。在安全服務模型中,每一個安全服務對應著不同類別的應用���。這幾種安全服務模型不是獨立的是互相聯(lián)系著的���。進入公安網(wǎng)絡安全體系的主體登錄系統(tǒng)時,要進行身份識別認證��,并且查找授權數(shù)據(jù)庫,以獲得主體訪問的權限�����,如果通過驗證與授權���,則對訪問信息進行加密返回至主體���,主體通過解析進行信息獲取。并且�,主體訪問的過程被審計跟蹤監(jiān)測模塊記錄,生成訪問日志���,以便日后進行查驗�����。
2.3系統(tǒng)單元維度
公安網(wǎng)絡的信息安全體系的實施階段�����,上述安全服務與協(xié)議等要集成在物理單元上�����,從系統(tǒng)單元的維度看����,可分為以下幾個層次�����。首先��,物理環(huán)境安全��,該層次保護計算機信息系統(tǒng)的基本設施安全��,能夠有能力應對自然災害以及人為物理誤操作對安全體系的基礎設施的干擾以及破壞���。其次���,網(wǎng)絡平臺的安全,主要保證網(wǎng)絡的安全可靠運行���,保障通過交換機等網(wǎng)絡設備的信息的安全����。最后是應用系統(tǒng)的安全,該層次提供了訪問用戶的身份認證��、數(shù)據(jù)的保密性以及完整性��,權限訪問等��。
3總結
第6篇
2通信網(wǎng)絡安全的定義及其重要性
可以從不同角度對網(wǎng)絡安全作出不同的解釋��。一般意義上��,網(wǎng)絡安全是指信息安全和控制安全兩部分�。國際標準化組織把信息安全定義為“信息的完整性、可用性����、保密性和可靠性”;控制安全則指身份認證���、不可否認性�����、授權和訪問控制����。
當今社會,通信網(wǎng)絡的普及和演進讓人們改變了信息溝通的方式����,通信網(wǎng)絡作為信息傳遞的一種主要載體�����,在推進信息化的過程中與多種社會經(jīng)濟生活有著十分緊密的關聯(lián)�。這種關聯(lián)一方面帶來了巨大的社會價值和經(jīng)濟價值,另一方面也意味著巨大的潛在危險--一旦通信網(wǎng)絡出現(xiàn)安全事故����,就有可能使成千上萬人之間的溝通出現(xiàn)障礙,帶來社會價值和經(jīng)濟價值的無法預料的損失��。
3通信網(wǎng)絡安全現(xiàn)狀
互聯(lián)網(wǎng)與生俱有的開放性����、交互性和分散性特征使人類所憧憬的信息共享、開放����、靈活和快速等需求得到滿足。網(wǎng)絡環(huán)境為信息共享、信息交流���、信息服務創(chuàng)造了理想空間�����,網(wǎng)絡技術的迅速發(fā)展和廣泛應用����,為人類社會的進步提供了巨大推動力����。然而,正是由于互聯(lián)網(wǎng)的上述特性�,產(chǎn)生了許多安全問題。
計算機系統(tǒng)及網(wǎng)絡固有的開放性��、易損性等特點使其受攻擊不可避免�����。
計算機病毒的層出不窮及其大范圍的惡意傳播�,對當今日愈發(fā)展的社會網(wǎng)絡通信安全產(chǎn)生威脅。
現(xiàn)在企業(yè)單位各部門信息傳輸?shù)牡奈锢砻浇?��,大部分是依靠普通通信線路來完成的���,雖然也有一定的防護措施和技術�,但還是容易被竊取��。
通信系統(tǒng)大量使用的是商用軟件�,由于商用軟件的源代碼,源程序完全或部分公開化���,使得這些軟件存在安全問題。
4通信網(wǎng)絡安全分析
針對計算機系統(tǒng)及網(wǎng)絡固有的開放性等特點��,加強網(wǎng)絡管理人員的安全觀念和技術水平�,將固有條件下存在的安全隱患降到最低。安全意識不強��,操作技術不熟練�,違反安全保密規(guī)定和操作規(guī)程,如果明密界限不清����,密件明發(fā),長期重復使用一種密鑰�,將導致密碼被破譯,如果下發(fā)口令及密碼后沒有及時收回,致使在口令和密碼到期后仍能通過其進入網(wǎng)絡系統(tǒng)���,將造成系統(tǒng)管理的混亂和漏洞�。為防止以上所列情況的發(fā)生���,在網(wǎng)絡管理和使用中���,要大力加強管理人員的安全保密意識。
軟硬件設施存在安全隱患�����。為了方便管理����,部分軟硬件系統(tǒng)在設計時留有遠程終端的登錄控制通道,同時在軟件設計時不可避免的也存在著許多不完善的或是未發(fā)現(xiàn)的漏洞(bug)����,加上商用軟件源程序完全或部分公開化,使得在使用通信網(wǎng)絡的過程中�,如果沒有必要的安全等級鑒別和防護措施,攻擊者可以利用上述軟硬件的漏洞直接侵入網(wǎng)絡系統(tǒng)��,破壞或竊取通信信息。
傳輸信道上的安全隱患����。如果傳輸信道沒有相應的電磁屏蔽措施,那么在信息傳輸過程中將會向外產(chǎn)生電磁輻射�����,從而使得某些不法分子可以利用專門設備接收竊取機密信息���。
另外�����,在通信網(wǎng)建設和管理上,目前還普遍存在著計劃性差��。審批不嚴格�����,標準不統(tǒng)一�,建設質量低,維護管理差���,網(wǎng)絡效率不高��,人為因素干擾等問題�����。因此���,網(wǎng)絡安全性應引起我們的高度重視��。
5通信網(wǎng)絡安全維護措施及技術
當前通信網(wǎng)絡功能越來越強大��,在日常生活中占據(jù)了越來越重要的地位�����,我們必須采用有效的措施�,把網(wǎng)絡風險降到最低限度����。于是,保護通信網(wǎng)絡中的硬件����、軟件及其數(shù)據(jù)不受偶然或惡意原因而遭到破壞�����、更改�����、泄露����,保障系統(tǒng)連續(xù)可靠地運行�����,網(wǎng)絡服務不中斷���,就成為通信網(wǎng)絡安全的主要內容。
為了實現(xiàn)對非法入侵的監(jiān)測����、防偽、審查和追蹤��,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛(wèi)措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網(wǎng)絡系統(tǒng)權限分級����,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽��,從而達到網(wǎng)絡分級機制的效果;“網(wǎng)絡授權”通過向終端發(fā)放訪問許可證書防止非授權用戶訪問網(wǎng)絡和網(wǎng)絡資源;“數(shù)據(jù)保護”利用數(shù)據(jù)加密后的數(shù)據(jù)包發(fā)送與訪問的指向性����,即便被截獲也會由于在不同協(xié)議層中加入了不同的加密機制��,將密碼變得幾乎不可破解;“收發(fā)確認”用發(fā)送確認信息的方式表示對發(fā)送數(shù)據(jù)和收方接收數(shù)據(jù)的承認����,以避免不承認發(fā)送過的數(shù)據(jù)和不承認接受過數(shù)據(jù)等而引起的爭執(zhí);“保證數(shù)據(jù)的完整性”,一般是通過數(shù)據(jù)檢查核對的方式達成的��,數(shù)據(jù)檢查核對方式通常有兩種��,一種是邊發(fā)送接收邊核對檢查����,一種是接收完后進行核對檢查;“業(yè)務流分析保護”阻止垃圾信息大量出現(xiàn)造成的擁塞,同時也使得惡意的網(wǎng)絡終端無法從網(wǎng)絡業(yè)務流的分析中獲得有關用戶的信息��。
為了實現(xiàn)實現(xiàn)上述的種種安全措施�����,必須有技術做保證,采用多種安全技術���,構筑防御系統(tǒng)�����,主要有:
防火墻技術����。在網(wǎng)絡的對外接口采用防火墻技術�����,在網(wǎng)絡層進行訪問控制��。通過鑒別��,限制����,更改跨越防火墻的數(shù)據(jù)流�����,來實現(xiàn)對網(wǎng)絡的安全保護,最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡��,防止他們隨意更改�、移動甚至刪除網(wǎng)絡上的重要信息。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制����,防止Internet上的不安全因素蔓延到局域網(wǎng)內部,所以�����,防火墻是網(wǎng)絡安全的重要一環(huán)���。
入侵檢測技術����。防火墻保護內部網(wǎng)絡不受外部網(wǎng)絡的攻擊���,但它對內部網(wǎng)絡的一些非法活動的監(jiān)控不夠完善��,IDS(入侵檢測系統(tǒng))是防火墻的合理補充�����,它積極主動地提供了對內部攻擊��、外部攻擊和誤操作的實時保護��,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵�����,提高了信息安全性���。
網(wǎng)絡加密技術����。加密技術的作用就是防止公用或私有化信息在網(wǎng)絡上被攔截和竊取���,是網(wǎng)絡安全的核心�。采用網(wǎng)絡加密技術���,對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝實現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄?�、完整性�����,它可解決網(wǎng)絡在公網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩詥栴}也可解決遠程用戶訪問內網(wǎng)的安全問題���。
身份認證技術。提供基于身份的認證��,在各種認證機制中可選擇使用�。通過身份認證技術可以保障信息的機密性、完整性���、不可否認性及可控性等功能特性����。
虛擬專用網(wǎng)(VPN)技術����。通過一個公用網(wǎng)(一般是因特網(wǎng))建立一個臨時的、安全的連接��,是一條穿過混亂的公用網(wǎng)絡的安全����、穩(wěn)定的隧道��。它通過安全的數(shù)據(jù)通道將遠程用戶�、公司分支機構����、公司業(yè)務伙伴等跟公司的內網(wǎng)連接起來,構成一個擴展的公司企業(yè)網(wǎng)����。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡的存在,仿佛所有的機器都處于一個網(wǎng)絡之中��。
漏洞掃描技術�����。面對網(wǎng)絡的復雜性和不斷變化的情況���,僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞��、做出風險評估�����,顯然是不夠的�,我們必須通過網(wǎng)絡安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患��。在要求安全程度不高的情況下�����,可以利用各種黑客工具�����,對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞��。
第7篇
關鍵詞:網(wǎng)絡安全����;病毒防范����;防火墻
0引言
如何保證合法網(wǎng)絡用戶對資源的合法訪問以及如何防止網(wǎng)絡黑客的攻擊,已經(jīng)成為網(wǎng)絡安全的主要內容���。
1網(wǎng)絡安全威脅
1.1網(wǎng)絡中物理的安全威脅例如空氣溫度�、濕度�、塵土等環(huán)境故障���、以及設備故障、電源故障���、電磁干擾���、線路截獲等。
1.2網(wǎng)絡中信息的安全威脅①蠕蟲和病毒����。計算機蠕蟲和病毒是最常見的一類安全威脅。蠕蟲和病毒會嚴重破壞業(yè)務的連續(xù)性和有效性�����。隨著病毒變得更智能�、更具破壞性,其傳播速度也更快��,甚至能在片刻間使信息處理處于癱瘓狀態(tài)��,而要清除被感染計算機中的病毒所要耗費的時一間也更長����。②黑客攻擊���。“黑客”一詞由英語Hacker英譯而來�����,原意是指專門研究�����、發(fā)現(xiàn)計算機和網(wǎng)絡漏洞的計算機愛好者?��,F(xiàn)如今主要用來描述那些掌握高超的網(wǎng)絡計算機技術竊取他人或企業(yè)部門重要數(shù)據(jù)從中獲益的人。黑客攻擊主要包括系統(tǒng)入侵��、網(wǎng)絡監(jiān)聽�、密文破解和拒絕服務(DtS)攻擊等。
2網(wǎng)絡安全技術
為了消除上述安全威脅����,企業(yè)、部門或個人需要建立一系列的防御體系���。目前主要有以下幾種安全技術:
2.1密碼技術在信息傳輸過程中���,發(fā)送方先用加密密鑰����,通過加密設備或算法����,將信息加密后發(fā)送出去,接收方在收到密文后�,用解密密鑰將密文解密,恢復為明文��。如果傳輸中有人竊取���,也只能得到無法理解的密文��,從而對信息起到保密作用��。
2.2身份認證技術通過建立身份認證系統(tǒng)可實現(xiàn)網(wǎng)絡用戶的集中統(tǒng)一授權�����,防止未經(jīng)授權的非法用戶使用網(wǎng)絡資源�����。在網(wǎng)絡環(huán)境中�����,信息傳至接收方后�����,接收方首先要確認信息發(fā)送方的合法身份�,然后才能與之建立一條通信鏈路。身份認證技術主要包括數(shù)字簽名����、身份驗證和數(shù)字證明�。
2.3病毒防范技術計算機病毒實際上是一種惡意程序,防病毒技術就是識別出這種程序并消除其影響的一種技術�。從防病毒產(chǎn)品對計算機病毒的作用來講,防病毒技術可以直觀地分為病毒預防技術��、病毒檢測技術和病毒清除技術���。
①病毒預防技術�。計算機病毒的預防是采用對病毒的規(guī)則進行分類處理,而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒�。病毒預防技術包括磁盤引導區(qū)保護、加密可執(zhí)行程序�、讀寫控制技術和系統(tǒng)監(jiān)控技術等。②病毒檢測技術�。它有兩種:一種是根據(jù)計算機病毒的關鍵字、特征程序段內容����、病毒特征及傳染方式、文件長度的變化��,在特征分類的基礎上建立的病毒檢測技術�����;另一種是不針對具體病毒程序的自身校驗技術����,即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結果,以后定期或不定期地以保存的結果對該文件或數(shù)據(jù)段進行檢驗�����,若出現(xiàn)差異���,即表示該文件或數(shù)據(jù)段完整性己遭到破壞���,感染上了病毒����,從而檢測到病毒的存在�����。③病毒清除技術����。計算機病毒的清除技術是計算機病毒檢測技術發(fā)展的必然結果,是計算機病毒傳染程序的一個逆過程�����。目前���,清除病毒大都是在某種病毒出現(xiàn)后,通過對其進行分析研究而研制出來的具有相應解毒功能的軟件�����。這類軟件技術發(fā)展往往是被動的,帶有滯后性�。而且由于計算機軟件所要求的精確性,殺毒軟件有其局限性����,對有些變種病毒的清除無能為力。
2.4入侵檢測技術入侵檢測技術是一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?��,F(xiàn)象的技術�����,也是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術�。
入侵檢測系統(tǒng)所采用的技術可分為特征檢測與異常檢測兩種���。
①特征檢測的假設是入侵者活動可以用一種模式來表示���,系統(tǒng)的目標是檢測主體活動是否符合這些模式。它可以將己有的入侵方法檢查出來���,但對新的入侵方法無能為力���。其難點在于如何設計模式既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含進來���。②異常檢測的假設是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正?�;顒拥摹盎顒雍啓n”����,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統(tǒng)計規(guī)律時���,認為該活動可能是“入侵”行為���。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統(tǒng)計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為��。
2.5漏洞掃描技術漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)���、文件等進行檢查�,發(fā)現(xiàn)其中可被黑客所利用的漏洞��。漏洞檢測技術就是通過對網(wǎng)絡信息系統(tǒng)進行檢查��,查找系統(tǒng)安全漏洞的一種技術�。它能夠預先評估和分析系統(tǒng)中存在的各種安全隱患,換言之����,漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)、文件等進行檢查�����,發(fā)現(xiàn)其中可被黑客所利用的漏洞�����。隨著黑客人侵手段的日益復雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷�,預先評估和分析網(wǎng)絡系統(tǒng)中存在的安全問題已經(jīng)成為網(wǎng)絡管理員們的重要需求。漏洞掃描的結果實際上就是系統(tǒng)安全性能的評估報告�����,它指出了哪些攻擊是可能的�����,因此成為網(wǎng)絡安全解決方案中的一個重要組成部分�����。
漏洞掃描技術主要分為被動式和主動式兩種:
①被動式是基于主機的檢測,對系統(tǒng)中不合適的設置����、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進行檢查。②主動式則是基于對網(wǎng)絡的主動檢測����,通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊,并記錄它的反應�����,從而發(fā)現(xiàn)其中的漏洞�����。
2.6慝�。防火墻能極大地提高一個內部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險�����。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻���,所以網(wǎng)絡環(huán)境變得更安全�。
