安全网络论文精品(七篇)
安全网络论文篇(1)
1)局域网的维护。局域网维护的目标在于通过采取有效的维护措施,避免局域网故障的发生,确保局域网稳定的工作。局域网维护工作包括较多内容,其中服务器保护、性能的维护是较为重要的内容,因此日常维护时应将其当做重点,认真落实维护措施。一方面,服务器是整个局域网的核心,保护时应引起足够的重视。保护操作时尤其应避免数据的丢失,即对重要信息进行备份,目前可借助云服务提供商提供的平台,将备份数据上传到云服务中,如此无论服务器出现软件还是硬件故障,均可通过云服务重新下载。同时,不要轻易删除服务器中的信息,当进行删除操作时应进行核对,确保无用后再进行删除。另一方面,对局域网性能进行维护时,应从硬件与软件两方面入手。在硬件方面,对原有传输媒介进行升级,使用光纤作为信息传输媒介,以提高局域网信息传输效率与质量。在软件方面,使用功能强大的信息管理、安全管理软件,通过软件扫描及时查找出局域网存在的软、硬件故障,采用专门技术加以解决。
2)局域网的管理。局域网管理是影响局域网功能能否充分发挥的重要因素。依据对象的不同可将管理内容分为人的管理与局域网的管理,其中对人的管理主要体现在:要求局域网使用人员严格按照制定的规章制度使用局域网,要求其不人为破坏局域网的软、硬件,以及其他重要设施。而对局域网的管理则包括局域网结构的选择、局域网功能的扩展以及局域网所处环境的优化等内容,一方面根据局域网的规划功能选择合理的局域网拓扑结构。另一方面扩展局域网功能时应综合考虑经济投入,实现目标等内容,要求在实现局域网相关功能的基础上最大限度的降低经济投入。另外,优化局域网环境时应重点考虑人员配备与局域网性能的匹配,以确保局域网资源的充分利用。
2局域网网络安全研究
局域网网络安全是业内人士讨论的经典话题,而且随着互联网攻击的日益频繁,以及病毒种类的不断增加与衍生,使人们不得不对局域网安全问题进行重新审视。采取何种防范手段确保局域网安全仍是人们关注的重点。那么为确保局域网网络安全究竟该采取何种措施呢?接下来从物理安全与访问控制两方面进行探讨。
1)物理安全策略。物理安全策略侧重在局域网硬件以及使用人员方面对局域网进行保护。首先,采取针对性措施,加强对局域网中服务器、通信链路的保护,尤其避免人为因素带来的破坏。例如,保护服务器时可设置使用权限,避免无权限的人员使用服务器,导致服务器信息泄露;其次,加强局域网使用人员的管理。通过制定完善的工作制度,避免外来人员使用局域网,尤其禁止使用局域网时随意安装相关软件,拆卸局域网硬件设备;最后,提高工作人员局域网安全防范意识。通过专业培训普及局域网安全技术知识,使局域网使用者掌握有效的安全防范技巧与方法,从内部入手做好局域网安全防范工作。
2)加强访问控制。访问控制是防止局域网被恶意攻击、病毒传染的有效手段,因此,为进一步提高局域网安全性,应加强访问控制。具体应从以下几方面入手实现访问控制。首先,做好入网访问控制工作。当用户试图登录服务器访问相关资源时,应加强用户名、密码的检查,有效避免非法人员访问服务器;其次,给用户设置不同的访问权限。当用户登录到服务器后,为防止无关人员获取服务器重要信息,应给予设置对应的权限,即只允许用户在权限范围内进行相关操作,访问相关子目录、文件夹中的文件等,避免其给局域网带来安全威胁;再次,加强局域网的监测。网络管理员应密切监视用户行为,详细记录其所访问的资源,一旦发现用户有不法行为应对其进行锁定,限制其访问;最后,从硬件方面入手提高网络的安全性。例如,可根据保护信息的重要程度,分别设置数据库防火墙、应用层防火墙以及网络层防火墙。其中数据库防火墙可对访问进行控制,一旦发现给数据库构成威胁的行为可及时阻断。同时,其还具备审计用户行为的功能,判断中哪些行为可能给数据库信息构成破坏等。应用层防火墙可实现某程序所有程序包的拦截,可有效防止木马、蠕虫等病毒的侵入。网络层防火墙工作在底层TCP/IP协议堆栈上,依据制定的规则对访问行为进行是否允许访问的判断。而访问规则由管理员结合实际进行设定。
3)加强安全管理。网络病毒由来已久而且具有较大破坏性,因此,为避免其给网络造成破坏,管理员应加强管理做好病毒防范工作。一方面要求用户拒绝接受可疑邮件,不擅自下载、安装可疑软件。另一方面,在使用U盘、软盘时应先进行病毒查杀。另外,安装专门的杀毒软件,如卡巴斯基、360杀毒等并及时更新病毒库,定期对系统进行扫描,以及时发现病毒将其杀灭。另外,安装入侵检测系统。该系统可即时监视网络传输情况,一旦发现可疑文件传输时就会发出警报或直接采用相关措施,保护网络安全。依据方法可将其分为误用入侵检测与异常入侵检测,其中异常检测又被细分为多种检测方法,以实现入侵行为检测,而误用入侵检测包括基于状态转移分析的检测法、专家系统法以及模式匹配法等。其中模式匹配法指将收集的信息与存在于数据路中的网络入侵信息进行对比,以及时发现入侵行为。
3总结
安全网络论文篇(2)
[论文摘要]探讨无线网络中实现安全通信的若干手段,并对比它们之间的差异,供同行参考。
一、引言
无线通信采用无线电波传输,具有保密性强、移动性高、抗干扰性好、架设与维护容易等特点,还能支持移动计算,越来越成为室外通信的最佳方案。目前无线通信可以实现计算机局域网、无线接入、网际互联、图文传真、电子邮件、互联网浏览、数据采集和遥测遥控等,已经成为现代通信手段的重要组成部分。因此,无线网络的安全通信技术成为业界的研究热点。
二、无线网络的安全通信措施
(一)WLAN的安全保障
虽然目前广泛使用的跳频扩频技术可以让人难于截取,但也只是对普通人难而已,随着通信技术的飞速发展,相信很快就会普及起来。
IEEE802.11标准制定了如下3种方法来为WLAN的数据通信提供安全保障:
1.使用802.11的服务群标识符SSID。但是,在一个中等规模的WLAN上,即使每年只进行两次基本群标识符的人工修改,也足以证明这是一个低效的不可靠的安全措施。
2.使用设备的MAC地址来提供安全防范,显然这也是一个低水平的防护手段。
3.安全机制相比前两种效果要好得多,即WEP(WiredEquivalentPrivacy)。它是采用RC4算法来加密传输的网络分组,通过WEP协议来保护进入无线网的身份验证过程。但从有线网连接到无线网是通过使用某些网络设备进行连接(即网络适配器验证,而不是利用网络资源进行加密的),还有其他的一些不可靠问题,人们在重要点的加密场合,都不使用WEP安全协议。
(二)VPN与IPSec的作用
VPN首先是用于在Internet上扩展一个公司的网络当然公司的部门或子公司在地理上位于不同的地域,甚至在不同的国家。VPN是一个加密了的隧道,在隧道中它对IP中的所有数据进行封装。在VPN中最常用的两种隧道协议是,点对点隧道协议PPTP和第二层隧道化协议LTP,它们分别是由微软和Cisco公司开发的。还有一种现在也在VPN中广泛使用的有隧道功能的协议即IPSec,它还是一个IETF建议IP层安全标准。IPSec首先是作为IPv4的附加系统实现的,而IPv6则将该协议功能作为强制配置了。
(三)IPSec协议及其实施
IPSec协议包括如下:验证头AH(Authentication),封装安全载荷ESP(EncapsulationSecurityPayload),Internet密钥交换IKE(InternetKeyExchange),Internet安全关联和密钥管理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)及转码。IPSec体系定义了主机和网关应该提供的各科能力,讨论了协议的语义,以及牵涉到IPSec协议同TCP/IP协议套件剩余部分如何进行沟通的问题。封装安全载荷和验证头文档定义了协议、载荷头的格式以及它们提供的服务,还定义了包的处理规则。转码方式定义了如何对数据进行转换,以保证其安全。这些内容包括:算法、密钥大小、转码程序和算法专用信息。IKE可以为IPSec协议生成密钥。还有一个安全策略的问题,它决定了两个实体间是否能够通信,采取哪一种转码方式等。
IPSec的工作模式有如下2种:
1.通道模式:这种模式特点是数据包的最终目的地不是安全终点。路由器为自己转发的数据包提供安全服务时,也要选用通道模式。在通道模式中,IPSec模块在一个正常的普通IP数据包内封装了IPSec头,并增加了一个外部IP头。
2.传送模式:在传送模式中,AH和ESP保护的是传送头,在这种模式中,AH和ESP会拦截从传送层到网络层的数据包,并根据具体情况提供保护。例如:A、B是两个已配置好的主机,它们之间流通的数据包均应予以加密。在这种情况采用的是封装安全载荷(ESP)的传送模式。若只是为了对传送层数据包进行验证,则应采用“验证头(AH)”传送模式。IPSec可以在终端主机、网关/路由器或两者之间进行实施和配置。
(四)一个实现无线通信加密的方法
在给出下面加密方案之前,首先确定加密的位置:综前所述,选择在TCP/IP协议的IP层进行加密(当然也含了解密功能,下同)处理,可以达到既便利又满足尽可能与上下游平台无关性。为了叙述方便,笔者定义一个抽象实体:加密模块,当它是一台PC或工控机时,它就是具备基本网络协议解析与转换功能的安全(加密)网关;当它是一个DSP或FPGA芯片时,它就是一个具备网络协议功能的加密芯片;当它是一个与操作系统内核集成的软件模块时,它就是一个加密模块。至此,就形成如下加密方案的雏形:
1.在无线网络的桥路器或是无线Hub与有线LAN间置一加密模块,这时可用一台功能强劲的PC或是工控机(方便户外携带使用),最好是双CPU的,具备强大的数学运算能力,实现网络层到链路层之间的功能和IP数据包的加解密功能。
2.BlackBox:对FPGA(FieldProgrammableGateArray)进行集群,初定为由3块FPGA芯片构成,1块加密,1块解密,1块进行协议处理。之所以要求集群,是基于这样一个事实:由独立的一块100-1000MIPS的FPGA芯片完成协议处理和加解密这样超强度的运算处理,缺乏可行性。
3.在购买第三方厂商的无线HUB及桥路器时,与厂商进行技术合作,要求他们在设备上提供FPGA的接口,逻辑上FPGA只完成IP包数据的加解密功能,不涉及协议处理(由厂商的软硬件平成)。但这涉及知识产权归属的问题,对厂商来说,由他们来实现这一点是非常容易的。
三、小结
网络协议是数据传输安全的基础,加密技术是数据传输完全的核心技术,通讯传输机制是数据传输安全的实现方式,网络管理是数据传输安全的保障,网络数据的安全传输是在多方面机制的共同作用下实现的。因此,研究网络安全机制也应从网络协议、网络管理、网络传输、数据加密及安全认证机制等多方面进行探讨,网络的安全性应当在网络运行机制中的各个环节中得到保障。
参考文献:
[1]赵冬梅、徐宁、马建峰,无线网络安全的风险评估[J].网络安全技术与应用,2006.(03).
[2]张东黎,无线网络安全与认证[J].网络安全技术与应用,2005.(04).
安全网络论文篇(3)
1.1系统功能
在网络安全态势感知系统中,网络服务评估系统的数据源是最重要的数据源之一。一方面,它能向上层管理者提供目标网络的安全态势评估。另一方面,服务数据源为其它传感器(Log传感器、SNMP传感器、Netflow传感器)的数据分析提供参考和依据[1]。
1.2主要功能
(1)风险评估,根据国家安全标准并利用测试系统的数据和主要的风险评估模型,获取系统数据,定义系统风险,并提出应对措施[2]。
(2)安全态势评估与预测,利用得到的安全测试数据,按照预测、随机和综合量化模型,对信息系统作出安全态势评估与预测,指出存在的安全隐患并提出安全解决方案。
(3)建立数据库支撑,包括评估模型库、专家知识库、标准规范库等。
(4)输出基于图表样式和数据文件格式的评估结果。
2系统组成和总体架构
2.1系统组成
网络安全评估系统态势评估系统是在Windows7平台下,采用C++builder2007开发的。它的数据交互是通过核心数据库来运行的,为了使评估的计算速度和读写数据库数据更快,应将子系统与核心数据库安装在同一机器上。子系统之间的数据交互方式分别为项目数据交互和结果数据交互。前者分发采用移动存储的形式进行,而后者的提交获取是通过核心数据库运行。
2.2总体架构
系统包括人机交互界面、控制管理、数据整合、漏洞扫描、安全态势评估和预测、本地数据库等六个模块组成。网络安全评估系统中的漏洞扫描部分采用插件技术设计总体架构。扫描目标和主控台是漏洞扫描子系统的主要部分,后者是漏洞扫描子系统运行的中心,主控台主要是在用户打开系统之后,通过操作界面与用户进行交流,按照用户下达的命令及调用测试引擎对网络上的主机进行漏洞测试,测试完成后调取所占用的资源,并取得扫描结果,最后形成网络安全测试评估报告,通过这个测试,有利于管理人员发现主机有可能会被黑客利用的漏洞,在这些薄弱区被黑客攻击之前对其进行加强整固,从而提高主机网络系统的安全性。
3系统工作流程
本系统首先从管理控制子系统获取评估任务文件[3],然后根据任务信息从中心数据库获取测试子系统的测试数据,再对这些数据进行融合(加权、去重),接着根据评估标准、评估模型和支撑数据库进行评估[4],评估得到网络信息系统的安全风险、安全态势,并对网络信息系统的安全态势进行预测,最后将评估结果进行可视化展示,并生成相关评估报告,以帮助用户进行最终的决策[5]。
4系统部分模块设计
4.1网络主机存活性识别的设计
“存活”是用于表述网络主机状态[6],在网络安全评估系统中存活性识别流程对存活主机识别采用的方法是基于ARP协议。它的原理是当主机或路由器正在寻找另外主机或路由器在此网络上的物理地址的时候,就发出ARP查询分组。由于发送站不知道接收站的物理地址,查询便开始进行网络广播。所有在网络上的主机和路由器都会接收和处理分组,但仅有意图中的接收者才会发现它的IP地址,并响应分组。
4.2网络主机开放端口/服务扫描设计
端口是计算机与外界通讯交流的出口[7],软件领域的端口一般指网络中面向连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和FO(基本输入输出)缓冲区[8]。
4.3网络安全评估系统的实现
该实现主要有三个功能,分别是打开、执行和退出系统[9]。打开是指打开系统分发的评估任务,显示任务的具体信息;执行任务指的是把检测数据融合,存入数据库;退出系统是指关闭系统。然后用户在进行扫描前可以进行选择扫描哪些项,对自己的扫描范围进行设置。进入扫描后,界面左边可以显示扫描选项,即用户选中的需要扫描的项[10]。界面右边显示扫描进程。扫描结束后,用户可以点击“生成报告”,系统生成用户的网络安全评估系统检测报告,最终评定目标主机的安全等级[11]。
5结束语
(1)系统研究还不够全面和深入。网络安全态势评估是一门新技术[12],很多问题如规划和结构还没有解决。很多工作仅限于理论,设计方面存在争论,没有统一的安全态势评估系统模型[13]。
(2)网络安全状况评估没有一致的衡量标准。网络安全是一个全面统一的概念[14],而网络安全态势的衡量到现在还没有一个全面的衡量机制[15]。这就导致现在还没有遵守的标准,无法判断方法的优劣。
安全网络论文篇(4)
通过将内部网络间接连接到网络上就可以实现物理隔离,这就是物理安全防范措施。通过物理安全防范可以实现保护工作站、网络服务器以及路由器等硬件免受自然灾害以及人为因素的影响。唯有将公共网与内部网物理隔离开,才能够保证内部网络免受黑客等的入侵,在一定程度上保证安全,并且更有利于管理人员的控制、管理。
2防病毒技术
计算机病毒难以根除,具有强大的攻击性,可以破坏计算机中的应用程序,甚至可以删除文件、格式化硬盘,因此现阶段防范计算机病毒是保障信息网络安全的重点。通过多年的科学研究,现阶段已经有三种常见的病毒防范技术,分别是预防病毒、检测病毒和网络消毒。
3施行身份认证
通过确认操作者身份来保证网络安全的技术称之为身份认证技术。常见的身份认证有两种方式,分别是主机之间的认证、主机与用户间的认证。主机与用户之间的认证可以通过设置密码、用户生理特征、智能卡等多种方式进行设置。
4防火墙技术
防火墙技术是现阶段使用频率最高的安全防范技术。防火墙技术的技术核心就是通过构建一个比较安全的环境来尽量保证用户的网络安全。防火墙可以根据用户的个人需求来控制网络域间的信息安全,并且防火墙本身也具有一定的攻击能力。现阶段防火墙主要有三种,分别是:全状态包过滤型、包过滤型以及服务器型。
5采用入侵检测技术
用户采用入侵检测技术后,就可以及时检测到系统中的异常现象,并及时报告,继而达到保障网络安全的目的。漏洞扫描技术。通过对电脑进行全方位的检测,及时更新漏洞补丁,完成修复就可以减少黑客利用漏洞发动攻击的几率,继而达到保护用户网络的目的。
6合理的管理措施
通过多方面的安全管理措施,例如:完善计算机管理技术,建立管理机构,加强用户安全教育等方式来预防和控制病毒与黑客给用户带来的影响。使用信息加密技术。在网络中,每个用户都使用了大量的应用程序以便于工作、生活,因此为了保证个人、工作方面的隐私被泄露要采用信息加密技术来保障网络安全。
7结论
安全网络论文篇(5)
关键词:无线网络;数据安全;思考
一、无线网络安全问题的表现
1.1插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2漫游攻击者攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4双面恶魔攻击这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5窃取网络资源有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6对无线通信的劫持和监视正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
二、保障无线网络安全的技术方法
2.1隐藏SSIDSSID,即ServiceSetIdentifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般SOHO环境当作简单口令安全方式。
2.2MAC地址过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4AP隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点HotSpot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
2.5802.1x协议802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。WPA率先使用802.11i中的加密技术-TKIP(TemporalKeyIntegrityProtocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。
2.7WPA2WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。
2.802.11iIEEE正在开发的新一代的无线规格,致力于彻底解决无线网络的安全问题,草案中包含加密技术AES(AdvancedEncryptionStandard)与TKIP,以及认证协议IEEE802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题,适用于所有企业网络的无线部署,但是目前为止尚未有支持此协议的产品问世。
安全网络论文篇(6)
关键词互联网+医疗网络安全网络安全防护案例
0引言
互联网+医疗健康模式下要求医院的信息系统功能向外扩展,实现在线预约、挂号、缴费和诊疗服务。为了实现在线服务的功能,势必要将医院局域网与互联网打通,来进行数据交互,但只有在网络与安全的建设达标的情况下,才能开展相关业务。同国内一些大型企业比较,医院的网络安全建设相对薄弱,这与医院信息系统的特殊性和信息化的发展历程有关。最初的网络建设是为局域网系统提供服务,没有与外部系统互联的需求。如今面对越来越开放的服务需求,信息网络的安全性面临着极大的挑战。网络安全作为信息化建设的基石,如何在现有医院网络基础上实施安全防护,为互联网医院需要开展的业务提供高速、可靠的网络环境,是管理者面临的又一挑战。
1医院网络安全发展历程
医院信息系统发展[1]的不同时期,对网络安全建设要求不同。
1.1最初的内外网隔离时期
医院在建设信息系统初期,多数选择内外网隔离的网络方案,内网负责承载医疗业务,外网负责承载办公业务。内网常见有数据库服务器、文件服务器,外网有邮件服务器和网站服务器等。当时的信息系统多为客户端/服务器(C/S)架构,信息系统功能局限在局域网内,数据不用穿越防火墙,信息系统架构简洁,实施与维护方便。网络上通常采用二层树状架构,结构简单、部署迅速。内外网隔离的方式,可以阻断全部来自外网的攻击,将防护重点集中在内网终端上。采用的方法是在服务器与客户端安装杀毒软件。虽然,在这个时期网络安全风险低,但是面对一波又一波的网络病毒,如蓝色代码、熊猫烧香、冲击波、震荡波等病毒,还是暴露了医院终端防护水平低、安全建设滞后的问题。
1.2接入专线网络外联
医院的信息系统发展很快,为了方便患者就医,优化就医流程,新的应用、功能需求层出不穷。其中,包括医保实时结算、银医结算与医疗数据共享等应用。由于早期完全隔离的网络使得系统无法与外界交互,这就需要在独立封闭的网络中“开孔出气”。网络的基础上,与外界系统交互只通过专线的方式,边界清晰、业务明确。在这个时期的应用中,院方系统作为请求发起方即客户端,院内系统不需要对外部系统开放接口或者服务,并且与内网系统联通的专线网络属于“可信”环境。在此基础上,只需要在前置服务器外联边界设置防火墙,阻断由外向内的所有连接,允许由内向外的请求。
1.3划分虚拟专网方式接入
随着医院信息系统的进一步发展,医生远程办公、分院业务系统交互,以及患者自助查询、缴费等新需求应运而生,简单的外联已经不能满足新业务开展的要求。此时,就需要进一步对网络进行开放。远程办公可以使用互联网虚拟专用网络(VPN)接入,患者检查结果查询方式为互联网接入。与以往不同,这些应用的开展,都是以内网信息系统的数据为最终请求目标。不管数据包如何跳转,最终需要到达内网服务端。这一时期的服务从面向医务工作者,扩展到了面向部分就诊患者,请求量有所提升。但最根本的转变在于内网系统面向部分外网客户端,提供多样化的服务。虽然,服务对象是特定人群,但是面向互联网开放了“窗口”,见图2。不管是通过前置机中转,还是地址变换、隐藏等手段提供服务,都不能回避互联网上存在的扫描、攻击等潜在风险。这类应用一般为非必要医疗业务环节,面对互联网上的威胁、风险,还可以忍受一定程度上的服务中断。通过接入物理专线的方式,将医保中心、银行及相关卫生主管部门联通。在相关业务系统外围增加前置服务器,作为院方与互联单位的数据中转站,并负责将相关数据、表格保持同步,将上报数据、业务请求发送至外网服务端。这个时期的网络防护也较为轻松。因为在原有封闭但在网络安全方面,是不能允许存在任何非授权访问和入侵破坏的。
1.4互联网+医疗背景下的网络融合
在互联网+医疗时代背景下,医院信息系统将达到前所未有的开放程度。医院将从医疗、公共卫生、家庭医生签约、药品供应保障、医保结算、医学教育和科普等方面推动互联网与医疗健康服务相融合,涵盖医疗、医药、医保“三医联动”诸多方面[2]。医院还将制订、完善相关配套政策,加快实现医疗健康信息互通互享,提高医院管理和便民服务水平[3]。这就需要医院要将网络大门打开,将网络进行融合设计,让患者可以通过互联网上的多种方式享受就医服务。在医疗业务不断向互联网开放后,对于系统中断服务的容忍度基本为零。医院既要保障服务的敏捷性和持续性,又要保障数据的安全性和保密性,还要防止原有系统被入侵和攻击行为所破坏。同时,需要从多角度、多层次对系统进行网络防护。
2网络安全措施
在已有医院信息系统(HIS)等系统的情况下,医院如何进行“开放系统”的防护工作。保护的指导方针是根据国家信息安全等级保护要求,按等保要求系统应具备抗分布式拒绝服务(distributeddenialofservice,DDOS)攻击、入侵、病毒的防御能力和控制端口、行为等控制能力[4].
2.1流量清洗
在互联网上众多的网络请求中,充斥着大量的无用请求、恶意访问[5]。如果不对互联网中的流量进行清洗,将对系统的可用性构成极大威胁。该部分清洗主要是针对DDOS攻击流量。常见DDOS攻击类型有SYNfloods、Land-Base、PINGofdeath、Teardrop、Smurf等。应根据自身情况选择专用设备或运营商服务进行DDOS攻击流量清洗。
2.2入侵防御
清洗完的流量中还存在着扫描、嗅探、恶意代码等威胁,它们通过系统漏洞,绕过防护,对系统实施入侵行为,达到控制主机的目的。一旦入侵成功,造成的后果和损失是巨大的。通过部署入侵防御系统(intrusionpreventionsystem,IPS)对那些被明确判断为攻击行为,会对网络、主机造成危害的恶意行为进行检测和防御。深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包[6]。基于特征的入侵防御系统无法对高级持续性威胁(advancedpersistentthreat,APT)攻击进行防护,因此在建设入侵防御系统时,要特别注意该类型的攻击防护。可增加态势感知系统辅助IPS,将全网流量威胁可视化,进一步消除0day漏洞隐患。
2.3防病毒
根据国际著名病毒研究机构国际计算机安全联盟(internationalcomputersecurityassociation,ICSA)的统计,目前通过磁盘传播的病毒仅占7%,剩下93%的病毒来自网络。其中,包括Email、网页、QQ和MSN等传播渠道。计算机病毒网络化的趋势愈加明显,需要企业部署防毒墙/防病毒网关,以进一步保障网络的安全。防毒墙/防毒网关能够检测进出网络内部的数据,对HTTP、FTP、SMTP、IMAP等协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀,在防护病毒方面可起到非常大的作用.
2.4访问控制
在经过流量清洗、入侵防御、防病毒3道工序处理后,访问控制系统是主机最“贴身”的一道防线。它是帮助保护服务器,按照个体情况来制定防护策略,精细防护到开几扇门,允许什么人、什么时间、什么方式访问主机。通常用硬件防火墙来进行访问控制[7]。常见防火墙类型有网络层防火墙、应用层防火墙以及数据库防火墙,可实现针对来源IP地址、来源端口号、目的IP地址、目的端口号、数据库语句、应用层指令、速率等属性进行控制。还有一种特殊的访问控制系统——“安全隔离与信息交换系统”即网闸[8]。主要功能有安全隔离、协议转换、内核防护功能。由于网闸在所连接的两个独立系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议;不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。网闸设备通常由3部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内、外部处理单元连接,从而创建一个内、外网物理断开的环境,从物理上隔离、阻断了具有潜在攻击可能的连接,使“黑客”无法入侵、无法攻击、无法破坏。
2.5负载均衡
在面对互联网中大量的网络请求时,必须要增加负载均衡设备,扩展网络设备和服务器的带宽、吞吐量、数据处理能力,从而提高网络的灵活性和可用性[9]。负载均衡有多种算法,可以实现基于轮询、连接数、源IP和端口、响应时间的算法。负载均衡设备增加了应用系统处理能力,不法分子想要攻瘫系统的难度将成倍增加。
2.6日志审计与事后分析
日志审计与事后分析非常重要[10],必须将拦截和放行的网络请求记录下来。一方面,统计攻击日志,分析网络运行风险;另一方面,记录放行的流量,对各个防护环节进行查漏、补缺,优化防护策略。日志审计越全面,对优化网络、提升系统服务水平的帮助越大。日志审计的范围包括:应用系统日志、数据库日志、操作系统日志、网络安全防护日志等。还可将日志系统与网络安全态势感知系统相结合,使分析结果更全面、更准确。日志存储时间应大于6个月。
3具体实例
根据以上的防护要求,本文给出了一个内外网融合并进行防护的具体案例。按照重要程度与功能将网络划分为多个区域,总体原则:首先是按照应用系统划分区域;其次是实施严格的边界访问控制;最后是完善监控、审计等辅助能力建设。由此,形成了包括三级域、二级域、安全管理域、专线接入域、数据交换域、互联网服务接入域在内的6个主要区域。将医院最重要的HIS系统、集成平台、数据仓库等系统接入在三级域,进行最严格的保护;其他业务应用系统放在二级域,网站、VPN、线上业务等放在互联网服务接入域。边界分别部署下一代防火墙、Web应用防火墙(webapplicationfirewal,WAF)。防火墙开启入侵防御、防病毒等防护模块,只放行应用系统对外提供服务的端口流量,对每个源IP的新建连接数、并发连接数、半开连接数进行限制。WAF针对应用实际情况,开启对数据库、中间件、开发语言的防护规则。由于三级域系统业务量大,采用多台应用服务器并行架构,通过旁挂负载均衡器实现应用引流、负载分担,保障应用系统处理能力。将应用服务器与数据库服务器用数据库防火墙进行隔离、控制,从SQL语句、角色权限等角度对数据进行保护。数据交换域的主要功能为数据中转与应用代理,边界同样部署下一代防火墙,开启入侵防御、防病毒等防护模块,对出入流量进行严格管控。当互联网服务或线上医疗业务需要与HIS等核心系统产生数据请求时,需要通过中转服务器完成数据中转功能;当来自低安全级别系统向HIS等核心系统请求服务时,需要通过中转服务器完成应用代理功能。这样,在保证系统互联互通的同时,解决了不同系统间的信任问题。安全管理区中放置防病毒软件、堡垒主机、日志审计、态势感知平台、认证系统和监控平台等用于网络管理的服务器,与业务系统隔离,在边界严格控制此区域系统进出流量。在互联网出口处,设置有抗DDOS设备、IPS、防毒墙、下一代防火墙、负载均衡器,全方位对互联网实时流量进行过滤。国家卫生健康委员会、医保中心、银行等业务通过物理专线接入至专线接入域,通过前置机与防火墙对这类业务进行访问控制。总之,通过多种设备和全面的管理,形成一个边界清晰、管控严格、监控全面、审计详实、可感知态势的网络系统。这样,在快速开展互联网线上业务的同时,还能够最大限度地进行网络防护。
安全网络论文篇(7)
一、引言
随着网络技术日新月异的发展,网络文化正以一种新型的文化形态,悄然改变着社会,改变着人们的生活。网络文化是一把双刃剑,它在给人们带来乐趣的同时,也带来一些负面影响。发达国家凭借信息传播技术、资源的巨大优势,向发展中国家进行文化渗透,导致网络信息霸权、文化侵略和数字鸿沟等现象的出现。著名学者塞缪尔?亨廷顿指出:“当今我们的世界正经历着一场文化领域的长期的地震,文化全球化正在进行之中,……文化全球化可以导致文化多元化的趋势,而文化多元化就意味着传统文化受到冲击,价值观念呈多样化状态,生活方式也会各异。[1]”
由此,网络文化安全问题应运而生。我们要以战略思维和全局视野清醒地认识到,维护我国网络文化安全,不仅是文化领域的事情,而且关系到中国特色社会主义事业的成败,不容丝毫懈怠。
笔者认为,维护我国网络文化安全存在两个向度:一是重在防范,网络文化安全防范体系的建立是一项系统工程,包括网络技术防范、完善立法和规范管理的制度防范、网络主体的意识防范等;二是重在建设,维护我国网络文化安全的重心必须基于网络文化建设,只有建设发展中的文化才能具有免疫力。
二、网络文化安全问题防范
(一)技术防范
网络文化安全水平的提高,首先依赖于技术手段。网络文化是一种技术文化,技术在防范网络文化的偏向问题上发挥着不可替代的作用。如,通过Web信息获取技术、入侵检测系统、网关型安全产品等可实现对邮件监控、网页监控、即时消息监控(MSN、ICQ)、手机短信监控等;通过防病毒产品、反垃圾邮件产品、员工上网过滤产品等可实现对网络文化内容的检测和过滤,以有效阻断黄色、暴力等不良网络文化内容传播;通过IP地址阻断、涉密内容过滤等,可阻止或中断用户的访问。目前,虽然已有防止病毒入侵的技术,但新的病毒随时都在产生,如何及时阻止病毒侵蚀是技术开发的关键;随着多媒体信息传播的迅猛发展及网络用户的大幅增加,音频、图像过滤技术的开发及应用显得尤为重要。我们不但要研制和开发先进的软硬件技术,努力提高我国网络信息技术的国产化率,而且要提高技术水平,加强对信息技术产品尤其是进口技术产品的监控与管理。一句话,要为我国网络文化安全构筑坚固的技术防线。
(二)制度防范
1.完善网络立法
网络文化的健康发展离不开法律的规范作用,网络文化安全面临的种种威胁呼唤着我国完善的网络立法。目前我国已制定了多部电信网络法规,它们对促进我国互联网的健康发展、维护国家网络文化安全发挥了重要作用。但我国的网络立法还存在许多问题:我国现在还没有严格意义上的网络法律,与网络有关的规章、办法、通知、规定等,法律效力层次低;缺少统一明确的实施法律的责任主体;只规定了义务,缺少相应的责任条款,法律规范技术含量低,操作性差;法律真空地带较多,如对网络侵权、网络色情、网络暴力等网上行为缺少法律规定等等。这种立法现状及网络文化安全隐患急切期待着完整健全、可操作性强的网络法律为网络文化的健康发展保驾护航。
2.规范网络管理
目前,在网络管理方面,我国虽然已经规范了一系列审批制度、审核制度及处罚制度等,这些制度在维护网络文化安全方面也发挥了相当大的作用,但还存在一些问题,需要继续完善网络管理制度。当前,由于网络管理主体分散,存在多头管理的情况,因此,管理主体根本不可能根据各种制度进行有效管理,管理效果不容乐观,导致网络管理制度权威的降低,也造成网络管理体系的混乱。可见,设立一个目标明确、统一管理网络安全的专门机构势在必行。这种专门的网络管理机构,可以根据长远规划,制定系统完善的网络管理制度,合理配置网络资源,有步骤、有计划地促进网络文化管理方法的改革,克服当前存在的应急式管理弊端,逐步消除网络管理的结构性矛盾、体制性障碍,不断赋予网络文化管理新的内涵。
(三)意识防范
维护网络文化安全,起决定作用的不是网络信息技术,而是掌握和运用网络技术的人。人的安全意识对网络文化安全具有决定作用。许多网络行政管理部门和业务部门安全意识淡薄,安全防范措施不够或缺失;多数网民常常只顾各种网络应用,而对网络安全威胁往往缺乏警觉,麻痹大意。所以进行网民媒介素养教育,增强其网络文化安全意识非常重要。网络媒介素养教育。能够赋予人们完善的知识结构,提供人们解读媒介信息的正确视角,培养人们不被媒介信息所牵制的能力,以及控制自己信念和行为的能力,使人们成为积极的信息使用者。提高网民的媒介素养,能够提高其对各种网络信息的解读和批判能力。
批判能力是网络运用中一项必不可少的能力。“批判是真理的生命,人类精神与文化如果要有未来的话,就不能没有真正的批判,人类不仅需要娱乐,也需要真理和思想。[2]”现代网络社会,媒介素养是一个人整体文化修养的重要体现,具备批判意识和批判性思维能力,往往就能够正确判断网络文化的主流社会价值,识别网络文化安全威胁,规避各种网络文化安全风险。可以通过网络视频等多方面的教育手段普及网络伦理道德、社会主义核心价值观、信息安全意识等内容,提高网民对网络不良文化的免疫力,使之成为真正健康的网民。
据统计,18~30岁的网民是我国网民的主体,网络对青少年世界观、人生观和价值观的形成产生了非常重要的影响。因此,对广大青少年进行媒介素养教育,是媒介素养教育的重中之重,也应该是现代学校教育的应有内容之一。通过对青少年进行系统的媒介素养教育,一是培养其正确使用网络传播信息、发展自我的能力;二是培养其对网络信息的批判质疑、分析评价的能力,使青少年学会判断网络信息的多重意义,认识网络文化对网民的影响和操控。其中,批判性思维能力的培养和提高,是青少年媒介素养教育的核心,使青少年能够避免对形形色色网络文化的绝对信任和被动接受,而是能够对网上信息进行主动选择,以理性、成熟的态度支配自己的网络行为。
三、我国网络文化安全建设
要使我国网络文化达到一种积极性安全状态,必须加强网络文化建设。任何一种文化都有其主流社会价值观,我们进行网络文化建设,首先必须着眼于长远规划,从中国特色社会主义事业总体布局和文化发展战略出发,慎重把握其价值取向和社会效益,以社会主义核心价值观为指引,努力建设符合时代潮流的有中国特色的网络文化。
中国特色的网络文化建设,要坚持社会主义先进文化的前进方向[3]。也就是说,现阶段,中国特色的网络文化建设应当坚持以包括邓小平理论、“三个代表”重要思想和科学发展观在内的中国特色社会主义理论体系为指导,既坚持科学社会主义基本原则,又根据时代条件赋予我国的网络文化鲜明的中国特色。它决定了我国网络文化建设的社会主义性质和发展方向。文化是民族的血脉,文化建设方向关乎国家前途、民族命运,我国的网络文化建设必须提倡多样化,反对多元化,提倡在社会主义核心价值观和中国特色社会主义文化指导下,多种文化形式、思想观念同时并存。正如胡锦涛在十八大报告中所说:加强和改进网络内容建设,唱响网上主旋律。和平演变的最早提出者美国国务卿杜勒斯曾说:“如果我们教会苏联年轻人唱我们的歌曲,跳我们的舞蹈,那么我们迟早会教会他们按照我们的方式思考问题。[4]”这个预言在1989年不幸应验了。这就是多元化的危害,如果在多样文化中缺少主旋律,最终必将导致文化建设的变质、转向。而只有坚持中国特色社会主义这一指导思想,才能在世界形形色色的意识形态、文化价值观的相互冲击中,保持清醒的头脑,自觉抵制自由主义、无政府主义等的侵蚀,永葆网络文化建设的社会主义本色。对人们广泛关注的社会热点、突发性事件等,用有说服力的事实真相如录音、录像及相关数据等来引导网民,使他们理性地讨论问题、表达意见,而不是狂热盲躁。要以爱国主义、集体主义、社会主义为指导,创造传统文化与现代精神相结合的新模式,通过各种各样的艺术手段,提高网络文化的吸引力、感染力,从而潜移默化地提高网民的思想道德素质和科学文化素质。
中国特色的网络文化建设,要从中华民族传统文化中汲取营养。伟大的中华文化,是世界文化中绚丽多姿的一束艺术奇葩。我们要为源远流长的优秀传统文化插上网络的翅膀,使之成为具有中国特色的网络文化的有机组成部分,并在世界文化整合中,显示自己独特的魅力;我们要从那令西方国家神往不已的东方文化思想中汲取智慧和力量,注入到网络文化建设中,使中国特色的网络文化之树根深叶茂,永葆青春。在网络文化建设中,我们要以网民为本位,制作一些令网民喜闻乐见的文化节目,制作文化精品,让广大网民在赖以生存的网络空间中沐浴着和谐文化的阳光雨露,回归精神家园。
中国特色的网络文化建设,要借鉴和吸收国外的一切优秀文化成果。在网络文化建设中,我们要立足于马克思主义中国化的伟大实践,以开阔的视野、恢宏的气度包容一切,以批判的眼光、辩证的思想反观一切,吸收和借鉴人类社会创造的一切文明成果,并加以融会贯通、创新发展。在多种思想文化的碰撞中,以高度的文化自觉和文化自信,继承我国传统文化的优势,发展我国的网络文化事业,为社会主义文化大发展大繁荣做出贡献。
有理由相信,有中国特色的和谐网络文化之树,一定能够枝繁叶茂,成功抵御各种思想病虫害的侵蚀,以更加开放的心态,积极容纳异质文化,在世界文化整合中彰显东方文化的独特魅力。(来源:今传媒 文/李献惠 编选:)
参考文献
[1] (美)塞缪尔?亨廷顿,彼得?伯杰.全球化的文化动力:当今世界的文化多样性[M].北京:新华出版社,2004.
[2]周祥林.当代大众文化成因及其双重效应探析[J].邵阳学院学报,2003(4).
