前言:中文期刊网精心挑选了网络安全与网络管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全与网络管理范文1
【 关键词 】 医院;网络安全;管理
Hospital Network Security and Management
Gao Fang
( Yan'an People's Hospital of Shaanxi Province ShanxiYan'an 716099)
【 Abstract 】 the hospital because of development needs to undertake informatization construction, but after the construction must face various problems of network security, this paper mainly discusses the hospital network security and management.
【 Keywords 】 hospital; network security; management
0 引言
随着信息技术的不断进步,网络已经成为了人们进行信息传播的重要工具之一。随着信息技术优越性的体现,信息化建设已经逐渐被推动到一个新的高度,这也就推动了网络建设的发展。医院是重要的学术研究基地和治病救人的专业机构,为了自身发展的需要,对信息化建设的需求较高,而且信息化建设的程度也较高,这为医院的发展有着十分重要的作用。但是因为在信息化建设的过程中缺乏充足的技术力量以及其他方面的原因,使得医院现有的网络安全状况并不是很令人满意,这就提出了如何加强医院网络安全管理的问题。
1 当前医院网络所面临的主要安全威胁
因为医院的特殊性,当医院信息系统在通过测试正式投入使用后,就必须要24小时不间断地进行运行,但是这个过程中必须要面对的问题就是各种网络安全威胁,当这些安全威胁一旦爆发出来就会对医院的网络与信息系统产生影响,严重的就会导致网络和信息系统无法正常运转。当医院的网络和信息系统出现瘫痪,那么不仅仅是带来各种经济上的损失,最严重的是有可能会对医院的声誉带来影响。
医院网络系统所面临的安全威胁主要有两类:一类是对网络中的数据与信息产生的威胁;另一类是对各种硬件设备所带来的威胁。
1.1 网络传输以及网络设备所面临的安全威胁
医院在开始信息化建设时,并没有能够考虑到今后网络以及通信技术发展的速度以及发展的方向,这就使得其建设肯定会存在着一些缺陷,虽然在当时并没有问题。例如在进行网络线路的铺设时没有能够考虑到今后的扩展;在增加网点时十分随意,没有对整体的网络结构进行考虑,网络的传输效率不高;同时随着时间的推移,很多网络设备都不同程度的老化,并且可靠性也不强,与新设备的兼容性也不好;设备的备份不到位,如果出现故障容易造成大范围的瘫痪。
1.2 计算机病毒的威胁
计算机病毒是对医院网络所面临的威胁中较为重要的一种威胁。它不仅仅能够消耗网络与主机资源,严重的会对数据以及硬件造成不可逆的损害,其所造成的损失也就难以估量。现在病毒传播的途径主要有几种。
通过各种可移动存储媒介进行传播,例如U盘、光盘等。如今基本已经不再使用软盘,U盘的使用则十分的广泛,因此U盘往往也是很多计算机病毒传播的主要途径。还有一些盗版的光盘,其上面的软件或者是游戏也有可能会含有病毒。随着各种大容量可移动存储设备的广泛使用,这些存储设备成为了各种计算机病毒进行寄生的主要场所。但是这些大容量的可移动存储设备为用户带来了很多方便,这就使得用户需要经常使用,而且很多用户在使用时并没有考虑到其安全性,这就为病毒通过这些可移动设备进行传播提供了途径,进而为计算机用户的数据安全与网络安全带来了十分严重的威胁。
通过数据的共享与计算机之间的相互协作来进行传播。医院内的计算机基本都是属于一个局域网内,或者是通过虚拟网技术划分为多个内网,但是每一台计算机都会与其他的计算机相连接,并且很多计算机都在进行数据的共享。在这种情况下如果是有一台计算机的数据感染了病毒,那么其他与其相连并进行数据共享的计算机就容易感染病毒,进而继续传播,最后感染整个医院网络中的计算机。局域网技术虽然十分好用,但是也为计算机病毒的传播提供了途径。
2 提高医院网络安全性的方法和措施
2.1 对当前的医院网络进行科学规划与改造
在当前,基本上每一家医院中的网络设备都是通过一个核心交换机来进行数据的交换处理的,如果这个交换机出现故障,那么就会整个医院的网络都陷入到瘫痪之中。因此为了能提高安全性,在进行网络布线时以及核心层的交换机都需要考虑冗余模式的建立,对于汇聚层的交换机以及接入层的交换机都可以考虑备用机的购置。这样当核心机或者是汇聚层与接入层的交换机出现问题时,就能够通过备用的来进行更换,保证医院的网络不会出现瘫痪状态。
2.2 划分出科学合理的VLAN
提高网络安全的一项重要措施就是划分VLAN,特别是对于医院来说这更是一项经济实惠的措施。通过交换机所基本的VLAN功能能够局域网内的各种设备从逻辑上进行划分,这样有助于提高网络的传播效率提高带宽的使用效率,同时还能够防止广播风暴的产生。通过VLAN的划分有助于提高网络的安全性,并且通过访问权限的设定,能够使得网络的管理更加的方便。医院中可以根据具体的职能来将网段分为门诊、住院和机关三个子网。
2.3 注重对计算机病毒的预防
通常来说,如果是新型的计算机病毒,那么很多时候杀毒软件也无能为力,因此应该要以预防为主。当然对计算机病毒的预防通常是以杀毒软件与防火墙为主要基础。对于内部的局域网需要将医疗网络系统与外部网络系统从物理上进行分割,并要将医疗系统的所有对外的借口都进行封闭,防止各种来自外部的网络安全威胁。注重对U盘的使用,对于出现病毒的科室必须要进行重点检查,如果有违规使用U盘或者是其他可移动存储媒介的科室,必须要进行严肃处理。
2.4 加强内部管理
在医院中有很多人都没有信息安全的意识,这就为医院的网络安全造成了严重的隐患。因此必须要从内部加强管理。必须要禁止随意使用U盘或者是其他的可移动存储设备,如有需要必须要经过审批并进行安全性检查。禁止通过网络进行数据共享,特别是完全共享。需要制定计算机的检查制度,定期进行检查,及时的发现并解决问题。向医院的内部人员普及各种网络安全知识。
3 结束语
总之,医院要加强现代化建设就不可能离开信息化建设,进而离不开电脑网络,因此我们医院网络管理工作人员就必须要做好好医院的网络软硬件维护管理这项工作,为医院的发展提供一个良好的网络环境,使之能够保证医院各业务的有条不紊的运行,为医院的发展贡献自己的力量。
参考文献
[1] 孙平波.基于医院的网络安全解决方案[J].电脑知识与技术,2009,(06).
[2] 张真真.大型医院网络安全防护体系的架构[J].现代医院管理,2008,(06).
[3] 王寰.浅议医院网络安全的隐患及其防治策略[J].科技信息,2010,(14).
网络安全与网络管理范文2
论文摘要:随着计算机网络和通信技术的迅猛发展,以及网络技术的广泛应用,Web在为人们带来快捷的同时也增加了一定的不安全因素,文章从web网络的管理、Web服务器的安全特性以及web网络的防御措施等方面进行了探讨与分析。
1、引言
Web起源于1991年,伯纳斯-李制作了一个网络工作所必须的所有工具:第一个万维网浏览器和第一个网页服务器,标志着因特网上万维网公共服务的首次亮相。
Web是图形化的和易于导航的,它非常流行的一个很重要的原因就在于它可以在一页上同时显示色彩丰富的图形和文本的性能。Web可以提供将图形、音频、视频信息集合于一体的特性。同时,Web是非常易于导航的,只需要从一个连接跳到另一个连接,就可以在各页各站点之间进行浏览了。基于Web的优势,以及计算机网络和通信技术的迅猛发展,Web网络技术倍受青睐,广泛应用于各个行业,Web网络的管理与安全防御也凸显其重要地位。下面,将对Web网络的管理及其安全防御技术进行一些表述和探讨。
2、网络管理的作用及发展趋势
2.1、网络管理的作用
网络的作用在于实现信息的传播与共享。为了确保正确、高效和安全的通信,我们必须对网络的运行状态进行监测和控制,进而提出了网络管理的概念。
网络管理是指对网络的运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。网络管理包含两个任务,一是对网络的运行状态进行监测,二是对网络的运行状态进行控制。通过监测可以了解当前状态是否正常,是否存在瓶颈和潜在的危机;通过控制可以对网络状态进行合理调节或配置,提高性能,保证服务。
2.2、网络管理的发展趋势
网络管理的根本目标是满足运营商及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。随着网络互连技术的飞速发展,网络管理技术自身也在不断发展。目前计算机网络管理技术的发展主要表现在以下三方面:
(一)网络管理集成化:允许用户从单一平台管理各种协议的多种网络,通过一个操作平台实现对多个互连的异构网络的管理。基于WEB的网络管理模式融合了WEB功能和网络管理技术,允许网络管理人员通过与WWW同样形式去监视网络系统,通过使用WEB浏览器,管理人员在网络的任何节点上都可以方便配置、控制及访问网络,这种新的网络管理模式同时还可以解决异构平台产生的互操作问题。基于WEB的网络管理提供比传统网管界面更直接,更易于使用的界面,降低了对网络管理操作和维护人员的要求。
(二)网络管理的智能化:采用人工智能技术进行自动维护、诊断、排除故障以及维持网络运行在最佳状态,如处理不确定问题、协同工作、适应系统变化并能通过解释和推理对网络实施管理和控制。现代网络管理正朝着网管智能化方向发展。智能化网络有能力综合解释底层信息,对网络进行管理和控制。同时,智能化网管能够根据已有的不很完全、不很精确的信息对网络的状态做出判断。
(三)网络管理层次化。随着网络规模的扩大,SNMP管理机制的弱点被充分暴露出来。SNMP是一种平面型网管架构,管理者容易成为瓶颈。传输大量的原始数据既浪费带宽,又消耗管理者大量的CPU时间,使网管效率降低。解决这个问题,可以在管理者与之间增加中间管理者,实现分层管理,将集中式的网管架构改变为层次化的网管架构。
3、Web网络的安全防御
每个Web站点都有一个安全策略,这些策略因需而异,必须根据实际需要和目标来设置安全系统,估计和分析风险。在制定安全策略之前,首先要做威胁分析,其中包括:有多少外部入口点存在;威胁是否来自网络内部;威胁是否来自工业间谍;入侵者将访问哪些数据库、表、目录或信息;威胁是网络内部的非授权使用还是移动数据;数据被破坏还是遭受攻击,或是网络内外非授权的访问、地址欺骗、IP欺骗、协议欺骗等。根据威胁程度的大小做相应的评价分析,以作为设计网络安全系统的基本依据。
3.1、Web服务器的安全特性
Web服务器是整个网络的关键,它的安全性则成为重中之重。首先,分析用户与站点联接时会发生哪些事件和动作。每次用户与站点建立联接,其客户机会向服务器传送机器的IP地址、有时,Web站点接到的IP地址可能不是客户的地址,而是它们请求所经过的服务器地址。服务器看到的是代表客户索要文档的服务器的地址。由于使用HTTP协议,客户也可以向Web服务器表明发出请求的用户名。
如果不要求服务器获得消息,服务首先会将IP地址转换为客户的域名。为了将IP地址转化为域名,服务器与一个域名服务器联系,向其提供这个IP地址,并获得相应的域名。通常,如果IP地址设置不正确,就不能转换。一旦Web服务器获得IP地址和客户可能的域名,它就开始一系列的验证手段以决定客户是否有所要求的访问文档。这就存在一定的安全漏洞:客户可能永远得不到要求的信息,因为服务器伪造了域名,客户可能无法获得授权访问信息,服务器可能向另一用户发送信息;误认闯入者为合法用户,服务器允许其进入访问,Web服务器的安全也将会受到威胁。
3.2、监视控制Web站点出入情况
为了防止和追踪黑客闯入和内部滥用,需要对Web站点上的出入情况进行监视控制。可以借助一些工具提供帮助,如,假定Web服务器置于防火墙之后,可将一种Web统计软件“Wusage”装在服务器上,监控通过服务器的信息情况,这一工具可以列出被访问次数最多的站点及站点上来往最频繁的用户。为了加强安全性,必须监控出入站点的情况、访问请求及命中次数,这样可以更好的显示站点的状态。
3.3、Web网络的防御措施
为了确保Web服务的安全,通常采用以下几种技术措施:
在现有的网络上安装防火墙,对需要保护的资源建立隔离区;
对机密敏感的信息进行加密存储和传输;
在现有网络协议的基础上,为C/S通信双方提供身份认证并通过加密手段建立秘密通道;
对没有安全保证的软件实施数字签名,提供审计、追踪手段,确保一旦出现问题可立即根据审计日志进行追查等。
其中,防火墙是位于内部网络与因特网之间的计算机或网络设备中的一个功能模块,是按照一定的安全策略建立起来的硬件和软件的有机结合体,其目的是为内部网络或主机提供安全保护,控制可以从外表访问内部受保护的对象。按运行机制可以分为包过滤和两种。
包过滤主要是针对特定地址主机提供的服务,其基本原理是在网络传输的TCP层截获IP包,查找出IP包的源和目的地址及端口号,还有包头中的其他信息,并根据一定的过滤原则,确定是否对此包进行转发。
在应用层实现,其基本原理是对Web服务单独构造一个程序,它不允许客户程序与服务器程序直接交互,必须通过双方程序才能进行信息的交互;还可以在程序中实现其他的安全控制措施,如用户认证和报文加密等,从而达到更高的安全性能。
参考文献:
[1]褚英国.《关于Web应用层深度防御系统的研究与实践》.计算机时代,2009
网络安全与网络管理范文3
关键词 数据加密 网络 安全防护
中图分类号:TP393.08 文献标识码:A
现阶段,全球已经进入了网络化的时代,人们对于网络的依赖程度变得越来越高。算机上面的数据和信息已经能够满足人们全部的生活。为此,很多的个人信息被不法分子窃取,给人们带来很大的危险。文章从互联网使用的角度论述了如何加密与加强网络安全管理问题。数据加密技术对于现阶段的互联网有很大的帮助作用。这一技术就是将有关密码的相关技术进行加密处理,之后再经过处理将密码进行隐蔽传输。这实际上是计算机安全的核心技术问题。为计算机网络的数据提供更高的安全保障。
1网络加密技术类型
1.1存储加密技术
现阶段的很多操作上需要上传自己的数据和信息,所以现在的互联网需要采取一定的方式对信息进行加密技术的应用。存储加密技术的应用实际上就是需要对相应的模块或计算机算法进行加密使用者的用户信息实际上就是最需要保证的东西。采取这样的措施实际上就是为了能够预防用户的有效信息被利用和被非法的获取。
1.2网络信息加密
互联网就是一个共享的空间,很多的资源和数据都会在这一平台上得到分享。一般来说,对于信息的接受者来说,在这种情况下就能够保证自己接收到准确的信息,对于之前的不法分子来说也将面临一个残酷的现实。他们的手段将会被很快的识破,当他们进行资料篡改的时候就会对他们的信息进行拦截,使得这样的信息不会直接的传达到使用者的手中。
1.3网络传输加密
在网络传输过程中的信息加密措施是非常常见的安全保护方式,实际上就是对数据进行自动的加密,只能够针对特定的用户,其他与之无关的用户是不能够接收和识别的'这些加密之后的信息传到相应的客户端之后还要对其进行解密,使用者再获取相关的有效地信息。这种方式实际上就是在信息的传播过程中起到了保护和屏障的作用,保证了信息的安全传输。
1.4网络密钥管理
除了上述三种方式之外,还有一种就是网络的密钥管理。实际上,这一方式是网络安全中最为常见的一种方式,最大的优点就是能够使得相应的数据传输和获取变得更加的方便,同时也为使用者提供更大的便捷。这一技术包括很多的关键环节,包括密钥的产生、分配、保存和销毁四个步骤。同时,它需要的媒体也是非常的复杂。
2网络安全防护措施
2.1加强互联网管理体系
计算机网络环境是网络安全的重要组成部分,加强网络安全的方式也是构件良好网络环境的关键。建立良好的网络管理体系不但能够保证良好纯净的网络环境,最主要的就是能够保证网络的安全。在很大程度上能够降低网络数据传输的风险,使得网络平台和数据的接收者邡将处在一个良好的环境之中。
2.2加强访问控制
实际上,现在互联网上的很多网站存在访问权限的问题。实际上,存在访问权限的原因就是保证网络上的相关资源不被非法的利用和篡改,它也是网络安全管理中的重要组成部分。这样的网站在登录时,需要对相关人员的身份进行验证,当身份验证通过之后才能够正常的访问相应的资源、所以说,这种方式对于网络的数据有很大的保障。
2.3实行文件加密技术
对于文件的加密木质就是将文件的明文变成密文,这实际上是解决网络安全问题的最主要的措施。当文件变成密文时,就不容易被人们所识别,就算能够识别也将花费很多的时间。这也就有效地保证的数据的隐秘性和安全性。现阶段,这一措施之所以被广泛地应用到网络安全管理中去,就会因为它存在很多的优点,保证了文件的安全性和真实性。
3信息加密技术的应用
传统的信息加密技术主要包括对称和非对称两种加密方式。
3.1数字签名技术
这一技术实际上就是将传统的非对称加密技术做了进一步的发确保信息安全性能,在广泛的互联网之中保证电子商务和电子支付的安全性能。这一技术应用最为广泛的也就仅局限于这一操作过程。当进行互联网交易时,数字签名必须保证使用的是私人密钥,这一密钥他人是不能够复制和使用的。
3.2信息隐藏技术
网络安全与网络管理范文4
1.l计算机网络安全隐患分析
由于计算机网络的开放性和互动性,导致计算机网络安全存在很多问题。主要表现在以下几个方面:
第一,网络系统存在问题。主要表现在三个方面:一是操作系统存在漏洞,由于操作系统比较庞大且需要不断进行升级更新,而操作系统的漏洞并不能通过补丁程序来完善,因此,操作系统存在很大漏洞,增加了网络系统的安全隐患。二是网络协议存在漏洞,包括Intemet传输协议、通信协议不完善,网络协议的漏洞,增加了网络安全隐患。三是由于处于开放状态的网络平台由于缺乏有效的保护,导致计算机网络在存储处理、数据传输方面容易受到攻击。
第二,人为原因。人为原因主要有两点:一是由于病毒人侵、黑客攻击行为,对网络安全造成很大威胁。计算机网络的开放性和快捷性,在病毒人侵等情况下,能够迅速扩散开来,导致计算机硬件受损或是系统整体瘫痪,对计算机信息和文件造成损坏。二是由于网络管理人员的素质较低,不能及时采取有效措施,预防和控制计算机网络的安全问题。在计算机病毒人侵和各种非法访问情况下,不能进行有效抑制和排除,导致计算机网络安全防护不到位。
1.2计算机网络安全技术分析
计算机网络安全技术主要包括以下几种:
第一,防火墙技术。防火墙技术是当前应用最为普遍的计算机网络安全技术,能够刊计算机硬件和软件进行有效防护。防火墙位于网络连接边界,能够对进出网络的信息安全进行有效保护,结合访问控制措施,能够对信息进行有效控制。从防火墙的功能来看,防火墙技术不仅能对网络外部攻击行为进行有效控制,还能够采用拦截方式来保证信息安全传输。再者,防火墙能够将Interllet和内网进行隔离,在内网隔离上,还可以通过不同网段距离来保证内网安全。从目前防火墙技术应用来看,可以分为两种:一是过滤防火墙。过滤防火墙主要适用于数据包的过滤,能够对网络数据包进行分析和选择,根据数据包地址、协议等因素判断数据包的安全与否。换句话说,该项过滤技术能够通过网络允许和阻止功能,形成了多层次的网络安全机制。二是应用级网关。应用级网关主要用于特殊网络中,如对网络服务协议下的指定数据进行过滤,在数据包统计和分析的过程中,形成完整的安全报告。通过应用级网关的防护作用,能够对注册信息进行精细化管理,对复杂访问进行有效控制。
第二,数字加密技术。数字加密技术作为最安全最基本的安全技术之一,对复杂网络的安全防护有重要的作用。数字加密技术即将受保护的数据源通过密文转换的按时,以密文形式将该信息进行存储或者传输。通过这样的过程,能够保证数据信息在存储或者传输状态下,不被外界获取或者攻击,对该信息源进行有效保护。数字加密技术防护级别的高低,与密码长度有很大关系,在不同网络状态下,密码的保护性有很大不同。从目前来看,密码技术主要有两种算法:对称密码和非对称密码。对称密码算法指的是数据包加密、解密的密匙是一样的,安全系数高低和密匙安全有紧密联系。非对称密码算法指的是数据包加密、解密的密匙是不同的,通过破解加密密匙比较困难,数据信息安全性比较高。
第三,人侵检测技术。人侵检测技术时通过刊计算机网络资源存在的安全问题进行有效识别,并及时做出反应的过程。在计算机网络运行过程中,人侵检测技术通过对计算机网络的关键信息、网络行为、安全日志、审计数据进行收集和分析,对网络中是否存在违法行为和攻击现象进行确认。与防火墙技术相比,人侵检测技术是一种主动性较强的安全防护技术,能够对计算机网络遭受的各种内部攻击、误操作、外部攻击行为进行防护,在计算机网络遭受危害之前进行有效拦截,能够弥补防火墙技术和数字加密技术防护中的不足。人侵检测技术作为一种重要的计算机网络安全防护技术,在不影响系统正常使用的前提下,能够对计算机系统运行中所面临的安全问题进行监测,不仅扩展了计算机系统的管理能力,也增强了计算机系统信息保护的合理性。从人侵检测技术的功能来看,具有以下功能:一是能够对用户的各种网络操作行为进行统计分析;二是能够对计算机系统的运行情况及构造变化情况进行掌握,进而采取必要措施消除网络安全问题;三是在攻击行为出现后,人侵检测技术在识别之后及时发出警报;四是对各种网络异常问题进行分析,进而评估各种网络安全信息。五是能够对操作系统的运行情况进行有效管理。第四,访问控制技术和网络追踪技术。在计算机网络运行中,可以通过合理控制网络访问行为,建立访问网络准则,结合素质签名技术来保证数据的有效性,对用户的访问行为进行有效控制,以降低网络运行的安全隐患。同时,对计算机网络运行信息进行收集,锁定计算机网络攻击行为的IP地址,来分析攻击者在网络中的活动轨迹,从而采取措施以防止网络安全事故发生。
二、计算机网络管理技术
2.1网络配置管理
网络配置对计算机网络系统的运行状况有重要的影响,因此,应加强网络配置管理,通过初始化网络并配置相应的网络系统,能够为网络系统提供各种服务。网络配置管理是通过监视组、控制组、定义组、辨别组组成的通信网络对象,为计算机网络提供各种必需的功能,以优化网络性能或者实现网络系统的某种特定的功能。
2.2网络性能管理
网络性能管理是主要是对网络系统的各种资源配置情况和通信效率情况进行分析和评估。性能管理的能力主要应包括分析和监视计算机网络系统及服务性能。性能分析结果对整个网络的运行情况有很大影响,通过网络重新配置和触及某处诊断测试点,以维护计算机网络系统的性能。在性能管理和搜集分析上,通过被管网络的运行状况数据的搜集,能够分析和维持网络性能日志。
2.3网络故障管理
网络故障管理是计算机网络管理的重要内容。在计算机网络技术的应用上,网络用户对计算机网络的可靠性要求非常高。当计算机网络系统某个组成部件出现问题时,网络管理器应迅速查找出故障源,并进行排除。在通常经常下,由于隔离时间会有很大限制,且网络故障原因比较复杂,网络故障可能会因为多个原因共同引起。因此,在网络故障管理时,应先对网络进行修复,通过网络故障产生的原因再采取相应的措施,还能预防同类故障的重复发生。在网络故障管理时,可以分为故障检测、故障隔离、故障纠正三项内容。故障检测是通过对网络部件的运行状态进行实时监测,将不严重的故障列人错误日志,不进行特殊处理。对于一些比较严重的故障,应该及时通知相应的网络管理器,及时发出警报,根据警报信息对故障进行有效排除。在故障非常复杂难以处理时,应通过网络管理器的诊断测试来判断故障出现的原因。
2.4网络安全管理
计算机网络的开放性和互动性等特点,决定了计算机网络系统存在很大漏洞,容易遭受各种网络攻击行为,对计算机网络的正常运行造成破坏和干扰。因此,为了对计算机网络系统的安全问题进行有效防护,对各种非法访问和步伐操作进行控制,需要刊计算机网络安全进行管理,保证计算机网络信息的完整性和机密性。
三、网络管理的未来发展趋势
从总体上看,新型综合网管软件的系统开放性更强,具有易用性、可伸缩性、可移植性、兼容性等优点,是未来网络管理软件和网络管理技术的发展趋势。从网络管理技术的发展历程来看,分布式技术作为网络管理技术最核心的内容,在推定网络管理技术发展方面产生了重要的影响,因而越来越受到社会的关注。同时,基于远程管理目标的B/S结构逐渐发展起来,逐渐成为了计算机网络管理的主要结构。计算机网络管理软件体系的框架也呈现出集中式、分布式、集中分布式等结构并存的局面,能够适应规模不同的网络管理的需要。故障自动诊断及排除、智能模拟等人工智能技术在网络管理软件中的应用也大大增加。在网络底层技术标准化、网络应用不断增多和增多的情况下,网络管理的发展方向也更加倾向于业务、应用和系统管理。网络管理软件在网络规划决策支持方面的作用也日益显现出来,逐渐发展成为除网络故障和安全以外的最重要的职能。随着网络安全与网络管理的有机结合,推动了网络综合化管理的发展,越来越多的网络用户更加希望能够将网络安全与网络管理应用到同一管理平台上,通过这样的整合实现对网络资源的有效整合。
四、结束语
网络安全与网络管理范文5
[关键词] 网络; 安全; 防火墙; 包过滤; 密钥; 安全套接字
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 19. 051
[中图分类号] TP311.5 [文献标识码] A [文章编号] 1673 - 0194(2013)19- 0092- 03
1 概 述
在人类进入信息时代的今天,计算机技术与通信技术已趋于成熟,人们对计算机网络已不陌生。作为信息社会的基础设施的计算机网络渗透到了社会的各个方面,如政府部门、商业、军事、教育和科研等领域都离不开网络技术的支持[1-2]。随着信息社会对计算机网络的依赖程度越来越高,对网络的安全管理也提出了更高的要求[3]。
随着时代的进步和科技的发展,不同国家和地区的人们在网络上开展多种多样的应用与服务;同时出于各种目的盗用资源、窃取机密、破坏网络的人也越来越多,商业、政府、军事部门的许多重要信息在传输、存储的过程中,有可能被窃听、篡改和破坏[4]。另外,计算机网络系统本身存在的安全漏洞,使它经常成为被攻击的对象,导致整个网络的瘫痪。安全问题已经成为影响网络应用发展的主要问题之一,并直接威胁着国家和社会的安全[5]。
计算机网络安全问题从技术上涉及网络系统的各个层次;从管理上涉及用户、管理员及整个网络安全策略的制定;从用户需求上主要是数据传输和存储过程中的通信安全问题;从网络运营者的角度还包括网络资源的使用授权、抵御攻击等[6]。具体地说,网络面临的安全威胁包括窃听、篡改与重发、假冒、抵赖以及其他恶意攻击,如计算机病毒、计算机蠕虫和特洛伊木马等[7]。
为解决各种网络安全问题,应提供一定的安全服务以保证数据通信的安全和网络自身的可靠运行。因此,网络安全管理有两层含义,即网络安全管理和安全的网络管理。网络安全管理要确保各被管资源,包括路由器等互连设备和主机、服务器等端系统及网络服务本身的安全和它们之间的数据通信安全。另一方面,网络的信息存储和传输的管理与控制对网络运行和管理至关重要,一旦出现信息泄露、篡改和被伪造,会给网络造成灾难性的破坏,这要求网络管理采用相应的措施和技术确保自身的安全。
本文首先说明了实施网络安全管理的过程,然后从保证网络安全和网络管理系统安全的角度论述计算机网络安全管理的实施及所采用的对策。
2 网络安全管理过程
要实现网络安全管理,需要4个管理过程:首先,应确定所要保护的敏感信息;然后,找出敏感信息的网络访问点;采用各种安全策略对网络访问点进行保护;最后,定期对网络访问点进行检查,以维护网络安全。
2.1 确定所要保护的敏感信息
实现网络安全管理的第一步就是要确定网络中哪些主机上有敏感信息。对于多数网络用户来说,敏感信息一般包括账户、财政、顾客、市场、工程和雇员信息等。对于网络管理部门来说,网络的运行状态信息、提供的网络服务、网络传输协议使用的服务端口是要保护的敏感信息。在应用中,每个特定的网络环境都会有其特定的敏感信息。
另外,网络地址、名字、操作系统版本、运行时间等看似无关紧要的信息,也会存在着影响安全管理的漏洞。大多数公司的网络管理者都不希望外部人员了解其内部网络有关信息,如拓扑结构、子网划分、IP地址分配等,都采用网络防火墙技术来解决这一问题。
2.2 网络访问点
网络管理中,不但知道了要保护的数据信息、网络服务和存放主机的位置,还要知道其他网络用户如何访问信息和如何访问相应主机。在网络安全管理中,需常对网络设备和主机的所有网络服务进行检查,尤其是用户远程登录服务和文件传输服务。主机向用户提供远程登录服务,用户可在主机上进行权限范围内的操作。如果系统不能识别用户,或不能将用户的操作权限限制,就会对网络安全带来不安全因素,可能导致主机上的敏感信息被破坏,严重的可能让恶意用户攻击整个网络上的主机。
网络中还有的主机提供文件传输服务,由于存在匿名登录用户选项,允许网络用户以用户名“anonymous”登录和操作,从而不需要密码,这种登录方式会给文件系统带来毁灭性的灾难。对于提供文件传输服务的主机,网络管理者要小心控制可以访问目录应包括什么信息和“anonymous”用户的操作权限。
另外,对于WWW访问服务、电子邮件、远程过程调用、域名服务等可以提供进入主机和进入网络的服务访问点,都需要提供有效的安全保护。
2.3 网络访问点保护方法
要实现网络安全管理,需采用各种安全技术对网络访问点进行可靠的保护。常用的网络安全保护措施主要有以下几种:
2.3.1 数据加密技术
数据加密其最常用、最有效的安全保护机制。数据在网络中传输时对其进行加密,即由明码改为密码,接收方要通过解密才能看到原始信息,这样可阻止对敏感信息的非法访问[8]。
网络中,具有固定密钥的加密机制有被破译的可能性,在一个既定规则的基础上,经常改变加密密钥和解密密钥可进一步提高数据的安全性。
2.3.2 包过滤技术
在网络中,路由器、交换机、网桥等设备担负着转发网络数据的重要任务。包过滤就是在转发功能的基础上根据发送或接收数据包的网络设备的网络地址或媒体访问控制(MAC)地址对数据包进行检查并过滤来自不安全主机的数据,从而有效地保护网络的安全。
由于包过滤机制是通过网络设备的网络地址或MAC地址来完成的,网络设备地址或MAC地址发生改变,相应的过滤机制也要发生改变。如果主机的地址改变了而用户并不知道,那么过滤机制就不再有效。在网络中,若要保护的主机很多,过滤规则会过于复杂,那么设备的转发效率和速度就会大大降低,影响网络的性能。
2.3.3 主机认证
主机认证方法就是检查发起请求的源主机的标识符,以确定是否允许源主机访问本地的某一网络服务。标识符通常是网络地址,即IP地址或MAC地址。
主机认证对授权的主机或某一地址范围内的计算机提供相应的网络服务,没有授权的主机则拒绝。但主机认证不能有效地对付恶意用户的“源地址欺骗”,即用非法主机借用经过授权的网络地址来访问网络。因此,对一台提供敏感信息访问服务的计算机来说,仅知道源主机的标志符并不意味着就可以安全地进行通信。
2.3.4 用户认证
用户认证是一种网络访问点安全保护的方式,它使设备能在用户登录之前验明用户的身份,具有合法身份的网络用户才能使用网络,具有比主机认证更高安全程度的登录控制。
网络中用来验证使用者常见的方法是用户名/口令(密码),虽说对安全有效,但通常密码会被人通过技术手段和重复尝试而获取,造成系统的不安全。
2.3.5 密钥认证
密钥认证就是给合法用户分发密钥,其要依赖网络上的密钥服务器来实现。网络中某一项服务被请求时,源计算机向密钥服务器请求密钥,则服务器要求用户输入用于认证合法性的密钥,这样密钥服务器既能识别源计算机,又能识别要求服务的用户。只有在访问请求时伴有合法密钥,目的计算机才会允许服务。
在密钥认证服务中,密钥服务器是关键。密钥服务器的正确配置和管理也是极其重要的,在网络中并不是简单地安装一个密钥服务器就可以使用密钥认证了,要对所有的应用和服务进行修改,以容纳使用密钥服务器。
2.4 定期检查
维护网络安全,除了采用技术防护措施外,还要定期检查所有的安全访问点。
网络管理者可利用安全管理工具来监视所有对网络服务的访问,并记录下可能的安全问题。另外,网络管理者也可用有关的网络安全攻击程序来检查自己网络的安全问题,用于确定可能或实际存在的安全漏洞。
还有,对网络运行状态进行监视,通过对网络服务访问来判定是否有用户攻击,若存在攻击要及时采取措施。做好数据传输的保密工作,对网络中敏感信息的传输,特别是密码信息的传输,要尽可能采取加密机制。
3 网络管理系统安全
网络系统的正常运行离不开网络管理系统自身的安全,对该系统的管理措施不当,会造成设备的损坏和保密信息的泄露。因此,加强网络管理系统的安全性十分重要,管理中主要从以下几个方面来考虑。
3.1 管理员身份认证方法
对管理员的认证均采用公开密钥的证书认证机制,这样在很大程度上减少安全事故。对于信任级别低的用户,可用简单的口令认证方法,这样可确保用户有更好的可用性。
3.2 数据安全性
对所有信息的存储、传输均通过加密散列,以保证其安全性与完整性。通过Web浏览器访问的信息,Web浏览器与网络服务器之间采用安全套接字层(SSL)传输协议,并对传输的数据和内部存储的机密信息加密以保证其完整性。
3.3 用户管理
对网络管理用户进行分组管理和访问控制,要对管理员按任务的不同分成若干用户组,授予相应的权限范围,并对用户的操作进行访问控制检查,保证用户不能越权使用网络管理操作。目前网络中通常采用公开密钥的证书认证机制来认证用户,并用用户的私有密钥对网络管理信息进行加密和数字签名,在网络中要有证书颁发机构(CA)服务器,专门负责为用户签发证书。用户的个人证书信息要做到详细完整,并由证书的签发者(CA)用自己的私有密钥进行数字签名,没有CA的私有密钥,任何人无法伪造和篡改信息。
证书认证时,首先要求CA服务器建立自签名的CA证书和私人密钥,用于签发证书。在服务器和客户端各自产生一个证书,服务器端的证书用于向客户认证服务器,客户端的证书认证用于向服务器认证客户,这样可使客户与服务器之间通过交换证书实现相互认证,使服务器防止假冒的用户访问,客户也可识别访问的是一个真正的服务器还是一个陷阱。
在认证通过后,用户和服务器之间的通信就可以使用安全套接字层(SSL)传输协议进行,保证在网络上传输的数据不被窃听和篡改,实现安全快捷的通信。
3.4 日志分析
记录用户所有的操作,并对用户访问日志进行分析,使系统的操作和对网络对象的操作有据可查,同时也有助于故障的跟踪与恢复。
4 网络安全管理
网络安全管理就是通过网络安全防护和管理,使网络传输的数据安全保密;使网络中所有信息、数据及系统中各种程序完整和准确;使合法访问者接受正常的服务;使网络中各方面的工作符合法律、规则、许可证、合同等规定。
4.1 网络安全防护
网络要使用安全,需对网络进行有效的安全防护,网络安全防护主要包括:物理安全防护、周界安全防护、信息加密与验证3个方面。
4.1.1 物理安全防护
主要是保护路由器、交换机、工作站、服务器及打印机等硬件设备和通信设备链路免受自然灾害、人为破坏和搭线窃听等攻击,确保网络设备有一个良好的工作环境,使网络线路和访问点不被非法使用。
一般采用的措施是对电源线和信号线加装性能良好的滤波器,减少导线间的交叉耦合,采用各种电磁屏蔽措施防止和抑制外界对系统的电磁干扰;安装防静电地板防静电干扰;安装电磁干扰装置掩盖系统的电磁泄漏;健全管理体系,规范行为。
4.1.2 周界安全防护
周界安全防护就是根据安全等级要求的差异将网络进行分段隔离,把对网络攻击和入侵造成的威胁限制在较小的范围之内,提高网络整体的安全水平。周界安全防护一般使用虚拟网技术和防火墙技术。
虚拟网技术是通过交换机,根据安全策略,把位于同一交换机的工作站划分到不同的虚拟网络中,或者把位于不同交换机的工作站划分到同一虚拟网络中。虚拟网技术是目前局域网采用的主要隔离措施,但不能有效防止来自内部的攻击。
防火墙技术是网络间的一道安全之墙,它根据网络安全等级和信任关系,将网络划分成一些相对独立的子网,使网络对外通信和对内通信都受到防火墙的检查控制。防火墙允许符合安全策略的数据包通过,而把不符合安全策略的数据包隔离开来。
防火墙分为网络层防火墙和应用层防火墙。网络层防火墙主要获取数据包的包头信息,如协议号、源地址、目的地址和目的端口等,或者直接获取包头的一段数据。而应用层防火墙则对整个信息流进行分析。网络中常用的防火墙技术有:应用网关、电路网关、包过滤、网关和网络地址转换等技术。
4.1.3 信息加密与验证
信息加密主要是保护网络中的数据、文件、密码和控制信息,保护网络会话的完整性。信息加密可在网络的链路级、网络级、应用级上进行,加密技术是网络安全最有效的技术之一。
信息加密根据算法方式分为对称密码算法和非对称密码算法两大类。在对称密码算法中,加密和解密使用相同的密钥,即加密密钥和解密密钥是相同的或是等价的,具有很强的保密性,但其密钥须通过安全的途径传送。而非对称算法中,加密和解密使用的密钥不相同,加密和解密都依靠一个公钥(公开的密钥)和对应的私钥来完成,不要求通信双方事先传递密钥或有任何约定就能完成保密通信,密钥管理方便,可实现防止假冒和抵赖。因此,更适合网络通信中的保密通信要求。
认证是指对网络用户的用户名和密码进行验证,防止非法访问的一道防线。用户注册时首先输入用户名和密码,服务器校验证所输入的用户名是否合法,如果验证合法,则又验证用户输入的密码是否合法。二者不合法,用户将被拒于网络之外。
用于认证的密码是用户使用网络的关键,不能显示在显示屏上,通常是经过加密后存储在主机系统中。对于远程通信,则首先要通过身份验证和授权,信息才能以明文或加密的形式在客户机和服务器之间进行传送。
4.2 网络的安全管理
要实现网络的安全管理,除了进行有效的安全防护外,还要认真做好以下几个方面的工作。
4.2.1 配置好网络资源的访问控制
通过管理路由表的访问控制列表,完成防火墙的管理功能,从网络层和传输层控制对网络资源的访问,保护网络内部的设备和应用服务,防止外来攻击。
4.2.2 认真对待告警事件分析
对网络对象所发出的告警事件,管理员要认真分析与安全相关的信息(如路由器登录信息、认证失败信息),并从历史安全事件中进行检索和分析,及时发现正在进行的攻击或可疑的攻击迹象。
4.2.3 加强对主机系统安全漏洞的检测
实时地监测主机系统重要服务的状态。利用安全监测工具,经常搜索系统可能存在的安全漏洞或安全隐患,并设计好弥补的方案或措施。
4.2.4 做好数据的备份
主要是对网络中的重要数据或敏感信息要经常备份,当数据或信息不幸遭受病毒或是黑客破坏时,可以用备份来恢复丢失的数据。
总之,对于网络安全,只要网络用户树立安全意识,明确网络管理的步骤,做好各种防护措施,使用新的安全技术手段,就能降低网络安全风险,使网络能提供安全可靠的通信服务。
主要参考文献
[1] 赵悦红,王栋,邹立坤. 计算机网络安全防范技术浅析[J]. 煤炭技术,2013,32(1):224-225.
[2] 桑书娟. 计算机网络安全与防护探析[J]. 计算机光盘软件与应用,2012(17).
[3] 王大鹏. 计算机网络安全与防范策略研究[J]. 科技视界,2012(26):226-227.
[4] 李思维. 浅谈计算机网络安全影响因素及防范措施[J]. 科技创新与应用,2013(5).
[5] 彭沙沙,张红梅,卞东亮. 计算机网络安全分析研究[J]. 现代电子技术,2012,35(4):109-112,116.
[6] 唐明双. 论对计算机网络安全及建设的研究[J]. 数字技术与应用,2012(12).
网络安全与网络管理范文6
关键词:计算机网络安全;体系管理;网络机制
一.计算机网络发展存在的威胁
目前计算机网络的现状是面临着多方面的攻击与威胁。第一种威胁的表现形式为伪装,指的就是威胁源在特定时刻装扮成另一个实体的形式,并借助这个实体的权利进行操控;第二种威胁的表现形式为非法连接,指的是威胁源利用非法的手段建立一个合法的身份,再通过将网络实体与网络源两者之间建立非法的连接达到最终的目的;第三种威胁的表现形式为非法授权访问,指的就是威胁源采用一定的手段破坏访问并控制服务,最终实现了越权访问;第四种威胁的表现形式为拒绝服务,指的是通过一定手段的利用阻止合法的网络用户或者拥有其他合法权限的用户使用某项服务;上述种种威胁的形成原因大多数是人为造成的,威胁源可以来自于用户,也可以来自于部分程序,也可以来自于某些潜在的威胁等。所以加强对于计算机网络安全的管理和研究的目的就是最大限度地消除这些威胁。
二.计算机网络安全认证体系的完善
首先表现为安全服务系统的建立。第一,身份认证。身份认证作为访问控制的基础,是解决主动攻击威胁的重要防御措施之一。因为验证身份的方式一般采用网络进行的模式而不是直接参与,而且常规验证身份的方式在网络上也不是十分地适用,同时大量的黑客还会随时随地以冒名顶替的身份向网络渗透,所以网络环境下的身份认证特别复杂,而“身份认证如果想要做到准确无误地对来访者进行辨别,同时还必须提供双向的认证”,必须采用高强度的密码技术来进行身份认证的建立与完善。第二,访问控制。进行访问控制是为了达到控制不同的用户对信息资源的访问权限的目的,实质上是针对越权使用资源的一种防御措施。而访问控制的种类亦可从方式上分为自主式访问控制和强制式访问控制两类。实现的机制可以是通过对访问属性控制的访问控制表的控制,也可以是根据安全标签、用户分类以及资源分档等三类控制实现的多级控制。第三,数据保密。数据保密是为了防止信息泄露所采取的防御措施。数据加密是最为常见的确保通信安全的手段,但是随着计算机网络技术的迅猛发展,传统的加密方法不断地被用户以及黑客们破译,所以不得不加强对更高强度的加密算法的研究,以实现最终的数据保密的目的。
其次表现为安全机制的发展与完善。在经过了对于计算机网络的安全认证提的创建之后,完善与健全与安全服务有关的安全机制也是必不可少的。第一方面是安全服务方面的安全机制的发展,具体表现为加密机机制、认证交换机制、数字签名机制、数据完整性机制、访问控制机制、路由控制机制等多个方面;第二方面是对于与管理有关的安全机制的健全,主要包含有安全审核机制、安全标记机制以及安全恢复机制等三个方面。1989年,为了实现开放系统的互联网环境下对于信息安全的要求,国际标准化组织ISO/TC97的技术委员会专门制订了对于计算机网络安全与管理ISO7498-2的国际标准。这一标准的建立不仅实现了对于OSI参考模型之间的安全通信所必须的安全服务和安全机制的开建,同时也建立了“开放系统互联标准的安全体系结构框架”,为网络安全与管理的系统研究奠定了坚实的基础。同时也开创了网络安全的保证需要进行认证的先河。
三.计算机网络当前的管理功能
针对计算机网络的管理一共可分为两类:第一类指的是计算机网络应用的程序、用户帐号以及存取权限的管理,属性上归类为与软件有关的计算机网络管理问题;第二类指的是针对组成计算机网络的硬件方面的管理,主要包括有对工作站、路由器、网卡、服务器、网桥和集线器等多方面、多角度的管理。在应用计算机网络进行管理时需要遵循以下原则: 一是不能因为管理信息而带来的通信量增加而增加网络的通信量;而是注意不应增加被管理设备上的协议进行系统处理时的额外开销,从而导致削弱设备的主要功能的现象发生。而当前的计算机网络管理的功能主要表现为以下几个方面。
(一)对于故障的管理:故障管理指的是对网络中出现的问题或者故障进行检测、隔离和纠正的过程。通过对故障管理技术的使用,可以使得网络管理者在最快的时间内确定问题和故障点,以达到最终排除问题故障的目的。而故障管理的过程主要包括发现问题、分离问题、找出故障的原因三个方面,所以,想要保证计算机网络管理的安全,应该在尽可能地情况下,尽量地保证故障的排除。
(二)配置管理:配置管理是在进行计算机网络管理的过程中发现并进行设置网络设备的过程。配置管理的主要功能指的是通过快速提供设备的配置数据从而实现快速的访问的目的,同时在一定程度上行加强管理人员对于网络的整体制,可以采用正在使用中的配置数据与存储于系统中的数据相比较的方式发现问题,进而根据需要尽可能地修改配置。对于计算机网络的配置管理主要包括有获取关于目前网络配置的信息,提供远程修改设备配置的手段和存储数据以及维护最新的设备清单并据此产生报告等三方面的内容。
