构建网络安全体系范例6篇

前言:中文期刊网精心挑选了构建网络安全体系范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。

构建网络安全体系

构建网络安全体系范文1

关键词:ACL;IP;计算机网络安全

中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)29-0336-02

Computer Network Security System Building on ACL

MA Ting

(Jiangsu Union Technical Institute,Lianyungang Vocational Technology Academy of Finance & Economics,Lianyungang 222003,China)

Abstract: Inorder to reinforce and control the data coming from a consumer,we must authorize a consumer to be able to visit the specially appointed network resource by safety tactics.Therefore,fliterating the information of network by ACL under the router become a technology means of structuring network security system.

Key words: ACL; IP; safety of network

1 引言

如今,网络信息安全越来越受到大家的重视,构建网络安全系统的技术手段,管理制度等方面都在逐步加强。网络用户通过实施ACL技术来控制对局域网内部资源的访问能力,保障内部资源的安全性,进而可以有效地部署网络安全。ACL技术是一种基于包过滤的流控制技术,可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。所以,本文就路由器下通过访问控制列表(ACL)实现计算机网络安全体系的应用加以分析。

2 ACL访问控制列表及类型

ACL(access control list)即访问控制列表,是路由器接口的指令列表,由一系列语句组成,这些语句主要包括匹配条件和采取的动作,即允许或禁止两个内容。ACL是基于某种协议的,如IP协议等,用户必须针对路由器所支持的协议定义ACL,从而控制这些协议的数据包。分类:

1) 标准ACL:检查数据包源地址,允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。这样就可以允许或阻止来自某一网络的所有通信流量。

2) 扩展ACL:检查数据包的源地址和目的地址,还可以检查数据包的特定协议类型、源端口号、目的端口号等。对同一个地址,扩展访问控制列表可以允许使用某些协议的通信流量通过,而拒绝使用其他协议的流量通过。

3 ACL的执行过程(见图1)

ACL通过过滤数据包并且丢弃不允许的数据包来控制与管理流量。一个端口执行哪条ACL,需要按照列表中的条件语句执行顺序来判断。在路由选择进行以前,应用在接口进入方向的ACL(内向ACL)起作用;在路由选择决定以后,应用在接口离开方向的ACL(外向ACL)起作用。数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配,则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。在执行到访问列表的最后,还没有与其相匹配的语句,数据包将被隐含的deny语句所丢弃。

4 ACL的配置

4.1 通配符掩码

ACL中IP地址和通配符掩码要配合使用,通配符掩码告诉路由器只允许那些与ACL中设定的地址匹配的地址通过。32位的IP地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP地址的对应位必须匹配,为1的位所对应的IP地址位不必匹配,例如表1所示。

通配符掩码的两种特殊形式:通配符掩码0.0.0.0,只表示一个IP地址,可以用host简写形式;而通配符掩码255.255.255.255,表示所有IP地址,用any简写形式。

4.2 访问列表配置

1) 第一步是在全局配置模式下,使用access-list命令,在实现过程中应给每一条访问控制列表加上相应的编号,使通过接口的数据包进行匹配,然后决定被通过还是拒绝。

标准ACL的语法为:Router(config)#access-list[access-list-number] [deny|

permit] [source-address][source-wildcard][log];

扩展ACL的语法为:Router(config)#access-list[access-list-number] [deny|

permit] [protocol] [source-address][destination-ip-address][操作符][protocol-information][log]

其中:access-list-number:为ACL的编号。常用的是标准IP ACL(1~99)或(1300~1999)之间的一个数字。扩展IP ACL(100~199)或(2000~2699)之间的一个数字。

deny|permit:deny表示匹配的数据包将被过滤,permit表示允许匹配的数据包通过;

source-address:源地址;

destination-ip-address:目标地址;

source-wildcard:通配符掩码;

protocol:协议,如ICMP,TCP,UDP等;

protocol-information:表示协议信息(如端口号、消息类型);

操作符号:eq(表等于),gt(大于),lt(小于)和neq(非等于)等;

Log:访问列表日志,如果出现该关键字,则对匹配访问列表中条件的报文作日志。

2) 第二步是在接口配置模式下,使用access-group命令,把配置好的访问列表应用到某个接口上。语法为:

Router (config-if)# [protocol]access-group[access-list-number][in|out]

其中, in|out表示通过接口进入或离开路由器的报文,缺省为out。

例如:要阻止源主机为192.168.0.24的一台主机通过Ethernet 0,而允许其他的通信流量通过该端口,可以采用标准IP访问控制列表。

首先我们在全局配置模式下定义一条拒绝192.168.0.24主机通过的语句,通配符掩码可以使用0.0.0.0:

Router(config)#access-list 1 deny 192.168.0.24 0.0.0.0

构建网络安全体系范文2

随着企业数量的不断增多,企业各自的网站管理及浏览量也都面对着严峻的考验,而其中网络安全方面更引起了社会的强烈关注,因此,构建企业网络信息安全体系成为当务之急,寻找一些安全有效的途径势在必行。

1 挖掘网络科技人才,增强企业网络信息加密防护

企业大幅增加导致大量的网站逐渐增多,而来自不同环境中的浏览次数也在不断攀升,这些都会对企业网络信息安全造成一定的影响,轻者导致网络系统失常,重者促使整个公司的网络崩溃,一些重要的信息外泄,后果不堪设想。因此,杜绝企业网络信息的流失才是根本之道,这也就需要大量的网络科技人才,通过网络编程与内容编辑等各种方法增强企业网络信息加密防护。

大量的网络科技人才通过一套完整的信息编程加密措施,能够保证企业网站在大量的浏览量下,几乎不会感染病毒木马,同时保证整个公司的网络应用顺畅快捷。一些新的技术出现,其背后都存在团队的巨大付出,因此整个网络科技团队的质量也是企业网络信息安全体系建立的关键因素,是整个公司网络安全保障的基石。我们也可以仿效银行网站的管理方式,虽然企业网站的浏览量不及银行网站,或者企业网站的应用性更狭窄一些,但是我们在企业网站的制作中加入银行网站的几个安全特性,这样也会巩固整个企业网络安全屏障。企业网站也具备一定的注册和登录功能,此处我们就可以仿效银行网站,在登录时针对每个用户实习密码加密,这样就会避免木马等通过键盘痕迹等盗走用户密码,从而进一步导致公司信息遭受重创的现象。

2 企业内部人员对网站的不断更新升级

目前,我国很多企业存在一个很严重的问题,企业网站建成后基本上就不怎么用,只将其当成一项业务完成,而没有对其以后的持续管理及更新升级产生重视,置之不理。这种做法是极其错误的,企业网站的一个最大的作用就是宣传,让广大客户群体能够对企业有一个充分的认识,及时把握公司的一些新的信息动态。大多数企业的这种针对企业网站置之不理的行为,不但对自身的发展制造了障碍,对整个社会的网络体系也构成了污染,网站发挥不到应有的作用,还占有域名,让一些想通过网站大量宣传自己的企业不能申请。这些现象都应该引起国家有关网络管理部门和企业内部人员的重视,积极提出建议及正确做法,做到企业网络信息的不断更新与升级,这样才会保证网站的永久创新,也减少了安全信息危害的危险。

当然,现在很多企业已经成立了网络部门,目的就是针对网络速度和安全威胁方面提高警惕,采取措施积极阻止。企业内部人员在网站管理方面不但要有一定的理论知识外,更要将其应用与实践,达到两者之间的巧妙结合。纯网站技术人员还需要积极参与到整个公司的轮岗经验实习过程中,了解其他部门的工作事项及内容,全面学习网站编辑工作,促使真个公司的近期动态呈现在网站上面,这样可以保证客户群体明晰企业的发展动态,也做到了对客户负责任的目的。企业内部员工应力求保证积极的心态,参与到企业网站建设当中去,针对各自部门的安全信息一定要加密防护,防止外泄,保证网站建设顺利进行的同时,公司的工作状态及安全信息也能够妥当处置,对公司内部和外部的客户群体都有一个很好的交代,促进整个企业的发展顺利向前。

构建网络安全体系范文3

关键词:局域网;诱因;办法

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2013) 02-0000-02

随着社会前进的步伐,计算机网络诞生了。它的诞生彻底改变了人们的生活,也把社会推向了一个新的。并且现在它在人们生活中占据了越来越重要的位置。但同时它的存在也给社会带来了更大的挑战。尤其是在局域网络中出现的不安全因子倍受关注。而怎样让这些不安全因子不再成为障碍物就成了众人不断探索的问题。

1 概述局域网

所谓局域网(Local Area Network,LAN)是指在一个局部的地理范围内(如一个学校、工厂和机关内),一般是方圆几千米以内,将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网[1]。一般来说,只有无线局域网与有线局域网是它的分集。局域网通常是利用专门的数据电路或者是通信网,同其它的局域网或者处理中心等等进行衔接,从而形成一个覆盖面较宽的系统。通常情况下,它是由本系统内众多的计算机组合而成的非开放性的网络。在局域网内,进行文件管理、扫描仪的共享、日程安排、电子邮件等等操作不是难题。而网络拓扑、介质访问的控制方法以及传输介质是局域网络的非常重要的技术决定要素。之所以局域网受到大众的喜爱,不仅仅是因为它价格便宜,能够活跃在较小的地理范围中,关键是它对数据的传输率很高,传输时延误的时间小,并且误码率很低,对各大企业来说,是个很好的选择。

2 致使局域网络存在安全隐患的诱因

造成网络存在安全隐患的内因与外因,只要人们稍微不注意便会如雨后般春笋似的出现。

2.1 内部局域网络相关机制不完善

曾有一份关于利用计算机进行犯罪的调查报告称,网络安全的犯罪有83%的是由于内部的人员勾结外面的人所犯下的,并且这数值一直呈居高不下的趋势[2]。在内部局域网络中,由于相关的管理机制的缺乏,再加上网络管理人员对网络的安全管理的严重忽视,操作极不规范,甚至其他人员的非法进入等等,从而引起失密等事件的发生。

2.2 网络设备及运行环境的好坏对网络是否安全也产生很大的影响

往常,很少有人能够注意到网络设备、自然环境等对网络的影响。就因为这样才会造成许多不必要的浪费与损失。更为严重的是,这种破坏极有可能导致网络系统成为一摊烂泥。再有就是因为被放置在开放性的位置的某些通信的设备等没有得到较好的保护,致使泄密事件发生的可能性得到大幅提高,从而也让网络安全系数无法保持在较高的位置。

2.3 快速更新的各种网络系统成了引起网络安全系数低的又一诱因

随着快节奏的生活,各种网络系统的更新速度也是相当的惊人。而越新的产品,它的功能性就强,客户们也会觉得更加好上手。操作系统、软件等无法避免地让安全漏洞存活于其中。只要漏洞不显现,人们就会任其存在。只有待其如刺猬般扎人,大家才会醒悟,然后想办法去弥补,去修复。而往往到了那个时候,网络早已受到了或轻或重的不可挽回的损伤。

3 采用良好办法,成就安全网络防护体系的构建

要构建强大的安全网络防护系统并非易事,还需从导致其产生不安全隐患的诱因来着手解决。

3.1 加强局域网络管理

局域网络管理存在重大缺陷,对此我们必须做出相应的调整。

(1)要有相应的法律来提高人们的意识。有法律的约束,就可尽量避免人为因素带来的影响。(2)对于单位内的员工,让其提高意识。必须加大对安全网络管理的宣传力度,并且对员工进行必要的培训,以使员工掌握正确的操作方法,减少不规范操作。(3)加大对服务器等各大网络设备的管理与监测。应该明文规定对于网络中的重要物件,如磁带等等物件,其他人不可接触,只能由专门人士保管或销毁。只有确立安全负责制,对设备的监管到位,才能降低安全隐患的存在。(4)对于重要物件,实行加密。对物件进行加密,比如路由器等,可以减少数据泄露的可能,降低危险度。(5)建立工作档案。采用工作记录制,对所有行为人都进行详细的记录并且经常性给予抽查,这样做可达到遇到问题能找得人的目的。

3.2 针对存有安全漏洞的网络系统必须采取有效的方法来规避

网络系统的漏洞无所不在,要想尽量让它不带来麻烦,就必须做些工作。

(1)安装良好的杀毒软件。网络病毒几乎每天都有出新。它能够经过多种途径来袭,就像瘟疫一样来得快,常让人措手不及。可以它的杀伤力有多大。为了减少它引起的麻烦,通常我们都是安装一个较好的杀毒软件,并且开启实时的监控功能,让病毒无懈可击。但是在Windows下单一运行的杀毒软件无法在被破坏了的系统中运行。因此,最好使用在同一操作系统中能进行双模式杀毒的跨平台双模式杀毒[3]。(2)相关软件不能滞后,要随时进行更新。现在我们都知道无论是操作系统,亦或是服务器,每天都被那些不安全的因素包围着,随时它们都有被侵袭的危险。因此,倘若我们不时刻关注与其相关的软件,并随时进行更新、升级,那么它们被安全漏洞恶意利用的命运就无法摆脱。(3)对网络的安全问题进行检测。拥有良好的检测系统对保证网络的安全会起到有效的作用。通常我们把这种系统叫做入侵检测系统,它是一种能对计算机进行主动防御的软件,能够回应各种网络访问,对那些应用系统如财物软件等起到不错的保护作用。它通常是通过对计算机网络系统的检测来发现系统中所存在的各种对网络安全构成威胁的漏洞,然后提出相关的拯救办法,减少黑客对数据的侵袭。(4)在进行数据的传输过程中,要保证其封闭性。一般情况下,我们都是使用很明显的传送方式来传输数据,再加上对其的验证阵容不够强大,这就为那些有所企图的黑客提供了方便。为了保证数据的安全性,我们需要对传输数据进行适当的加密,加强其验证功能,这样就可以较好地处于一种完全地带,同时也可以让传输速度得到提高。

3.3 应用防火墙技术等来加强网络安全性

众所周知,应用访问控制等技术能更好地保障局域网络的安全系数。

(1)充分利用虚拟局域网(VLAN)手段。这种手段能够得到很好发展,是因为它能够使网络流量得到良好控制。而且一个子网的攻破并不能让所有的子网都受到影响,能有效地控制黑客对子网的访问。(2)设立防火墙。防火墙的利用现在是非常普遍的事情,它的作用相等同于网络系统的入口的门卫,因为它能够有效地建立监控系统,对各种非法的访问进行阻断,从而形成一个有效的屏障,同时防火墙还可有效地过滤出现在网络中的各种数据包,对网络中的访问行为进行有效的管理,还可有效地堵截网络中的一些访问行为,对通过了防火墙的信息进行详细记录,对网络中的攻击行为发出警告与定期的检查[4]。从而对外部的侵入与内部重要信息的泄露起到防控作用。对防火墙的使用,我们都要遵循一个基本的守则:通常情况下实行禁止,除非它已明确允许操作。(3)实行身份验证制,保证网络安全。为了控制访问权限,减少不必要的浪费与损失,对内部使用用户都必须进行身份验证,这样才能更好地降低网络安全危险系数,让非法分子没有可乘之机。

4 总结

局域网的安全问题越来越受到广大人们的关注。对我们来说,保障它的足够安全是件不。并且无论我们做什么,只是要为了提高局域网络的安全,降低它的危险度,那都必须得让网络效率成为牺牲品,还要以加大各种投入作为代价。在如今的形势下,我们只有从人员管理与各种技术管理及技术的应用方面等来进行综合考衡,以求能够有效地构建一个良好的局域网络防护体系,创造一个和谐的网络环境。

参考文献:

[1]胡道元.计算机局域网[M].北京:清华大学出版社,2010,11.

[2]宋莹莹.构建安全的局域网策略[J].电脑知识与技术,2009(16):49.

[3]谭再峰,刘彩玉.企业级局域网网络安全技术探讨[J].黑龙江科技信息.2010(30):95.

构建网络安全体系范文4

关键词:无线网络;军队;安全;物理层安全;可见光通信

中图分类号:TN 929.3

文献标识码:A

DOI: 10.3969/j.issn.1003-6970.2015.08.004

0 引言

进入二十一世纪的第二个十年以来,信息已经成为人类社会文明进步的要素资源,成为现代社会持续发展的基本条件。信息网络空间已经成为继陆、海、空、天之后的第五大国家疆域,成为世界各国战略竞争的重要领域。信息安全已成为与国防安全、能源安全、粮食安全并列的四大国家安全领域之一。

近些年来,以美国为代表的信息技术强国利用自身所垄断的全球信息技术优势,加紧构建信息安全保障和攻击体系,以进一步巩固其在网络空间的统治地位。在美国现有的国家信息安全体系中,政府、IT企业和社会团体分工协作,相互配合,共同推进美国国家和军队的信息安全体系建设。当前,美国政府部门作为信息安全战略制定、网络和信息安全项目策划、网络情报侦查、网络防御以及网络进攻的主导者,引领了整个美国信息安全领域的发展和规划。其主要部门包括国土安全部、国防部、美军网电司令部、商务部、联邦调查局以及中央情报局;美国的IT企业则是网络攻防的具体实施机构和重要支撑单位,是美国政府和军队海量情报数据的来源,同时也是实施网络作战的实施主体;而美国及其盟国中一些非营利性团体和学术组织则为美国政府和军队提供了舆论和技术层面的支持,同时进行了人才的输出,以支撑日益强大的美国信息作战部队。

随着无线与移动通信技术的高速发展,抛开有线束缚的无线通信技术为国家和军队的指挥和作战带来了极大的便利性,然而也埋下了极大的安全隐患。截至2014年年底,美国情报和军队相关部门在无线网络中侦收和攻击获得的情报已经占到美国情报总量的约57.6%,凸显了当前国家和军队无线网络安全的严峻态势。美军网电司令部2015年战略规划指南显示,未来美军网电部队将把无线领域作为网络攻防作战的重点,这对我国国防和军队网络安全体系和技术提出了新的考验。本论文从历史出发,对交换技术进行了简要的回顾,指出了当前交换网络发展的瓶颈以及问题,并基于前沿的下一代智能网络以及大数据交换网络提出了展望和设想。

1 军队无线网络安全现状

我国的互联网、电信网、广电网和各类专网(包含军网)组成的国家基础网络是国家和军队信息安全防护的重要对象,但是这些基础社会建设过程中普遍存在着重建轻防,甚至只建不防的问题,造成网络信息安全体系构建的极大障碍。

当前,我军无线网络通信手段主要包含战场卫星通信、短波电台通信、水下潜艇长波通信等战时通信手段,以及军队日常办公所使用的蜂窝网移动手机通信、单位无线局域网(Wi-Fi)以及家庭使用的宽带及家庭无线局域网等非战时通信手段。由于战时通信技术具有较强的应用层加密以及物理层跳频和扩频保障,传统的窃密和攻击手段并不能很快奏效,反而是和平时期工作用无线局域网、个人手机、家庭Wi-Fi等上网和通话极易被侦听和窃密,导致无意识泄密。据不完全统计,2014年以来军队、军工企业等军事相关单位因手机、家庭宽带/Wi-Fi等被攻击及窃听的事件约470起,造成不可估量的军事、经济以及国家核心技术损失。

美国凭借其在信息领域的绝对优势,不断将其技术和设备输出到中国,而国产化设备的低性能、高价格等不足进一步导致了党政军系统中日常无线网络通信设备国产化程度极低,使得日常无线网络的安全防线处于近乎失灵的状态。在美国IT跨国公司和美国网络部队等诸如“棱镜”项目面前,我军的基础网络和重要信息系统几乎完全处于不设防状态。诸如思科、微软、英特尔、IBM等IT企业几乎完全控制了我国高端IT产品的生产及应用。据Gartner数据显示,Windows系列操作系统在我国市场占有率超过9成,英特尔在微处理器市场上占有率也超过8成,谷歌的安卓操作系统在我国市场占有率达到8成。即使是国产的联想、酷派等手机,其核心芯片和操作系统也多是国外生产,使得我国无法从技术层面根除安全隐患。

2 解决方案:物理层安全技术和可见光通信技术

针对目前日常军队无线网络安全性的问题,本文提出了两种可行的改进方案,能够在现有技术的基础上,从防止无线信号被侦收和泄漏的角度实现日常状态下部队营区无线通信的安全保密。

在现有的通信系统中,通信的保密性主要依赖于基于计算密码学的加密体制,早在20世纪初就已有人提出将传输的信息与密钥取异或的方法来增强信息传递的安全性。这种基于密钥的加密方法首次由Shannon于1949年给出了数学的理论分析。假设发送者希望把信息M秘密地发送给接收者,称M为明文信息。则加密的过程为,在发送端,发送者通过密钥K以及加密算法f对所要传输的明文M进行加密,得到密文S。在接收端,接收者通过密钥K以及与加密算法相应的解密算法,我们用f-1标记,来进行解密,从而得到明文M。通过对加解密过程的观察,可以得知,有两个方法防止窃听者从窃听到的S中获取明文M: 一个是窃听者不知道密钥K,另外一个是解密算法非常困难,窃听者难以在有限的时间用有限的资源进行解密。基于这两个方法,延伸出了现代通信系统中非常常见的两种加密形式,一个是对称密钥加密,一个是非对称密钥加密。

现代密码学的加密体制主要是在物理层之上的几层来实现的,譬如MAC层、网络层、应用层等等,故有时也称基于现代密码学的安全为上层安全。物理层对于现代密码学加密体制来说是透明的,即物理层安全与上层安全是独立的。下面分别介绍物理层安全的两个基础知识,分别是:窃听信道模型和安全传输速率。窃听信道模型是物理层安全所研究的基本信道模型,安全传输速率是衡量物理层安全系统性能的重要指标。

物理层安全主要是利用特殊的信道编码和无线信道的随机特性使得秘密通信得以进行,它与现代密码学不同之处在于,其安全程度并不依赖于Eve的计算强度,而是依赖无线信道环境的随机特性。但是,从保密环节上来说,物理层安全与传统的计算密码学的安全却有着本质的相似之处。如图1所示。物理层安全中的编码调制环节和信道的随机性是安全通信的必要条件,正如现代密码学体制中的加密算法和密钥。编码调制环节是指Alice根据Alice-Bob和Alice-Eve信道的信道条件,通过独特的信道编码来保证Alice与Bob之间安全又可靠的通信。从安全的角度来说,编码调制环境可以被看作现代密码学中的加密过程,信息加密后生成的密文记为Xn。密文经过无线信道和解调译码可以等同为现代密码学中的解密环节,其中信道信息{h,g}可以看作公共密钥,而Bob接收端的噪声可以看作Bob的私钥,Eve是没有办法获得的。因此密文通过Bob的无线信道和解调译码,可以被Bob正确地译码解密;而此密文通过Eve的无线信道和解调译码,Eve是不能获得任何信息的。由此可见,虽然物理层安全与传统的基于现代密码学的加密原理是完全不同的,但是它们在实现框架上却也能够找到共同点。物理层安全可以看作是以调制编码等发送端的技术为“加密算法”,充分利用Alice-Bob和Alice-Eve之间无线信道的差异性,把无线信道看作“加密密钥”,从而使得Alice与Bob之间形成了安全可靠的通信。

物理层安全技术由于可以独立于上层而单独实现秘密通信,因此在无线通信系统中,可以在保证现有上层安全措施不变的情况下,补充物理层传输的安全。这使得通信系统的安全性能得到额外一层的保护。另一方面,将物理层安全用来传输现代密码学中的密钥,也是增强系统的安全性的一种方法。

从实现的角度讲,当前传统的无线路由器等均使用了全向天线进行传输,有可能导致无线信号泄漏至营区外部造成泄密。由于物理层安全技术方案的存在,除了进行传统的上层密码和传输加密以外,考虑利用物理层定向天线和波束赋形技术使得无线信号定向的向营区内部辐射,使得窃听者获取的信息量近乎为0,从而进一步降低失泄密的风险,这是物理层安全技术在现有无线网络中的应用改进。

根据香农公式,假设发射端信号表示为:y=hx+z,那么正常接收者bob收到的信号可以表示为:

此时人造噪声设计对Bob没有产生干扰的方向上均匀分布,从而实现了对目标用户的正常信号发送,但是使得窃听用户获得的干扰最大化,可用信息最小。

可见光通信(Visible Light Communications)是指利用可见光波段的光作为信息载体,不使用光纤等有线信道的传输介质,而在空气中直接传输光信号的通信方式,简称“VLC”。

普通的灯具如白炽灯、荧光灯(节能灯)不适合当作光通信的光源,而LED灯非常适合做可见光通信的光源。可见光通信技术可以通过LED灯在完成照明功能的同时,实现数据网络的覆盖,用户可以方便地使用自己的手机、平板电脑等移动智能终端接收这些灯光发送的信息。该技术可广泛用于导航定位、安全通信与支付、智能交通管控、智能家居、超市导购、灯箱广告等领域,特别是在不希望或不可能使用无线电传输网络的场合比如飞机上、医院里更能发挥它的作用。可见光通信兼顾照明与通信,具有传输数据率高、安全性强、无电磁干扰、节能、无需频谱认证等优点,带宽是Wi-Fi的1万倍、第四代移动通信技术的100倍,是理想的室内高速无线接人方案之一。

据美国DAPRA报道,美军已经生产出军用可见光网络及相关设备,用于国防部等军事机关和设施的高速无线网络通信。由于可见光室内传输光源直接指向用户且传输距离远小于传统的微波无线通信,在不考虑人为主动泄密的情况下,可见光通信信号是无法截获的,从技术上为通信的有效性和可靠性提供了强有力的支撑。

图2给出了微波无线通信和可见光通信之间的比较。对于手机、Wi-Fi等微波无线通信手段,除了目标用户能够接收到无线信号以外,由于无线电波是全向发射的,窃听者完全可以收到相同的信号,从而进行破译或者攻击,带来安全隐患;而可见光通信依赖于室内的LED灯具,通常灯具会直接部署在工位上方,而照明具有定向发射的特点,因此位于营区外部的窃听者无法收到任何信号,不能进行窃听。从实现上讲,可见光通信可以方便的利用LED台灯、屋顶灯等照明灯具,通过加装调制解调模块即可使得灯具具有高速数据传输功能,可供营区内台式机、笔记本电脑、平板电脑等高速无线上网,满足高清视频会议等高带宽需求。

目前,关于可见光通信在室内外各种复杂环境下的信道测量与建模的工作还很欠缺,只有少量的研究结果。尤其是在有强光干扰、烟雾和灰尘遮挡的环境下的信道干扰模型,更是需要亟待解决的问题。

3 结论

军队作为国家的武装力量,其信息安全问题尤为重要。在和平时期,如何从技术手段保证军队手机、Wi-Fi等无线通信安全,防止和平时期敌对势力进行的无线网络信号侦收和网络攻击,是当前要重点关注的问题。

构建网络安全体系范文5

关键词: 会计信息系统;系统安全体系;金融会计

一、网络金融会计信息系统的含义

网络金融会计信息系统是指建立在网络环境基础上的会计信息系统网络环境,包括两部分:一是金融企业内部网络环境,即内网,通过组建金融企业内部网络结构实现内部各部门之间的信息交流和共享;二是国际网络环境,即通过互联网使金融企业同外部进行信息交流与共享,基于互联网的会计信息系统,也可以说是基于内联网的会计信息系统,即金融企业的内联网和互联网连接,为金融企业内各部门之间,金融企业与客户、税务、审计等部门之间建立开放、分布、实时的双向多媒体信息交流环境创造了条件,也使金融企业会计与业务一体化处理和实时监管成为现实,原来封闭的局域网会计信息系统被推上开放的互联网世界后,一方面给金融企业带来了前所未有的会计与业务一体化处理和实时监管的优越性,另一方面由于互联网系统的分布式、开放性等特点,其与原有集中封闭的会计信息系统比较,系统在安全上的问题也更加突出,互联网会计信息系统的风险性更大。

二、当前网络金融会计信息系统存在安全隐患

(一)金融会计信息安全组织管理体系不完善

目前,金融企业尚未建立起一套完整的计算机安全管理组织体系,金融会计信息系统的建设在安全设计方面缺乏总体考虑和统一规划部署,各系统根据自己的理解进行规划建设,技术要求不规范,技术标准各异,技术体制混乱。国家标准制定严重滞后,法律法规不能满足金融会计信息系统的安全需求,现行计算机安全法律法规不能为金融会计信息系统安全管理提供完整配套的法律依据,在一定程度上存在法律漏洞、死角和非一致性。

(二)网络金融会计信息数据不安全

网络金融会计数据是记录在各种单、证、账、表原始记录或初步加工后的会计资料,它反映企业的经营情况和经营成果,对外具有较高的保密性,连接互连网后,会计数据能迅速传播,其安全性降低,风险因素大大增加,网络金融会计的信息工作平台是互联网,在其运作过程中,正确性、有效性会受到技术障碍的限制和网络与应用软件接口的限制,如网络软件选配不合适,网络操作系统和应用软件没有及时升级,或安全配置参数不规则,网络线路故障导致工作站瘫痪、操作失误等,系统间数据的大量流动还可能使金融企业机密数据无形中向外开放,数据通过线路传输,某个环节出现微小的干扰或差错,都会导致严重的后果,互连网结构的会计信息系统,由于其分布式、开放性、远程实时处理的特点,系统的一致性、可控性降低,一旦出现故障,影响面更广,数据在国际线路上传输,数据的一致性保障更难,系统恢复处理的成本更高。

(三) 网络金融信息泄露导致金融会计信息失真

在信息技术高速发展的今天,信息己经成为金融企业的一项重要资本,甚至决定了金融企业在激烈的市场竞争中的成败。而金融会计信息的真实、完整、准确是对金融会计信息处理的基本要求。由于金融会计信息是金融企业生产经营活动的综合、全面的反映。金融会计信息的质量不仅仅关系到金融会计信息系统,还影响到金融企业管理的其他系统,目前利用高技术手段窃取金融企业机密是当今计算机犯罪的主要目的之一,也是构成金融会计信息系统安全风险的重要形式。其主要原因:一是电信网络本身安全级别低,设备可控性差,且多采用开放式操作系统,很难抵御黑客攻击;二是由于电信网络不负责对金融企业应用系统提供安全访问控制,通信系统己成为信息安全的严重漏洞,但许多金融企业对此未加以足够重视而采取有效的防护措施。由于这些原因导致了金融会计信息系统的安全受到侵害,造成了信息的泄露,使金融会计信息失真。

构建网络安全体系范文6

关键词:校园计算机;网络安全;安全防护

中图分类号:TP393.08

二十一世纪的今天,信息技术在不断地发展进步。为适应信息化潮流,教育也开始向信息化的方向发展,校园网络也随之建设发展起来。许多学校在教学管理活动中充分运用计算机网络通信的便利作用,久而久之,学校对计算机网络的依懒性也越来越高。如果不能保证校园网络的安全,校园的各种重要信息将会被泄露,学校教学管理活动也将不能正常进行。因此,构建校园计算机网络安全防护体系显得至关重要。

1 校园计算机网络的不安全因素

校园计算机网络存在很多不安全因素,这些不安全因素来自以下三个方面:人为因素、偶发因素和自然因素。人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。自然因素是指,各种自然灾害对计算机系统构成严重的威胁。偶发因素是指,电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。其中,人为因素是最大的不安全因素,主要原因在于以下几个方面。

1.1 网络自身的不安全性

网络的最大特点是共享,这个特点也决定了网络的开放性,各种网络技术都是对外开放的。开放的网络技术增加了网络攻击的多样性。有些攻击专门针对物理传输线路,还有一些攻击是针对网络通信协议的,最常见的攻击主要针对计算机软件的漏洞。网络系统并不局限于校园这种小范围地区,它是国际性的,因此,计算机网络系统不仅仅受本地用户的攻击,它受世界各地黑客的威胁,即使是校园网络也可能被别的地区的黑客攻击。我们目前的计算机网络系统是很自由的,即使是没有技术的人员也可以不受约束的使用,用户可以在网络上获得各种信息。网络的这些特性增加了系统的不安全性。

1.2 操作系统存在安全问题

计算机网络系统的正常运行需要操作系统提供一个稳定的环境,只有在这种稳定的环境中计算机的运用系统才能正常运行。所以操作系统的安全性对计算机网络系统的安全起着至关重要的作用。操作系统主要负责对系统的软件资源和硬件资源进行管理,由于开发人员的技术问题在操作系统方面造成的不安全性增加了计算机网络的危险性。

计算机的操作系统结构体系也不够完善,还存在着一些缺陷。操作系统对计算机内部进行着多处管理,每一处管理都会涉及到一系列的程序,这些程序哪怕出现很小的问题都会使计算机系统受到巨大的影响。外部网络一旦接入出现问题的部分,有可能引起计算机系统的彻底崩溃,这将会使校园的教学管理系统毁坏,教学活动随之受到巨大影响。

操作系统具有网络传输功能,这个功能也增加了网络的不安全因素,一些病毒可能会在接受文件的时候攻击计算机系统。创建进程是操作系统的一大特色,它可以使进程进行远程创建和激活,被创建的进程可以继续进行创建,有些黑客会利用操作系统的这一特性摆脱操作系统的监视,进而对系统进行破坏。

目前的计算机操作系统依然存在后门和漏洞。通过避开安全控制的方式对系统进行访问的程序被称为后门程序。这些后门程序是程序员们在软件开发阶段所编制的,编制这些程序是为了完善程序设计中的不足之处。有些后门程序在软件删除之后并没有被删掉,这就使得一些黑客乘虚而入,对系统进行破坏。

2 构建安全的校园计算机网络防护体系

2.1 技术层面的对策

校园计算机网络系统在技术层面需要提高,实时扫描技术、防火墙、完整性检验保护技术是目前存在的计算机网络系统技术。所以在加强技术方面,我们可以采取以下几种对策。

2.1.1 建立安全的校园计算机网络管理制度

加强校园网络用户的道德修养,提高系统管理员的技术。对系统进行定期检查,同时要对重要的数据进行备份。学校还要控制网络访问,尽量减小网络访问量。控制网络的访问量对于保护网络安全是很重要的一种方式,校园网络的资源可以通过这种方式得以保护。控制网络访问是目前保护系统的主要策略。访问控制要从多个方面进行,同时也涉及了多方面的技术,入网访问控制、网络权限控制、目录级控制都在控制访问之列。同时还要注意对数据库及时进行备份和恢复。数据库管理员对数据进行管理的时候重要的操作就是对数据进行备份和恢复,其中的备份是最能防治系统发生意外的方式,恢复则是在数据受到破坏后减小损失的最主要方式。另外还要提高校园计算机网络系统的应用密码技术。信息安全核心技术就是密码技术,通过密码技术可以保证信息安全。当前保证信息完整性方法就是密码的数字签名和身份认证。

2.1.2 提高校园计算机网络反病毒技术

病毒对计算机网络具有很大的破坏作用,所以提高反病毒技术对于建立安全防护系统非常重要。学校可以安排管理人员安装病毒防火墙,对带有病毒进的文件行过滤。防火墙会对网络服务器中的文件进行扫描检测,一旦发现可疑文件将采取相应措施进行控制。此外,还要完善操作系统,加大操作系统对病毒的检测力度,坚决不让病毒钻空子,保证系统的安全。

2.2 管理层面的对策

计算机网络的安全管理包括很多个方面,它不仅仅只是建立安全管理机构,它还包括了提高计算机网络用户网络的安全意识。校园网络的用户多数为在校师生,所以学校可以开设有关的课程,让网络用户明白自己该干什么不该干什么,提高学生在网络使用方面的法律意识。这样将会使校园网络的威胁减少,对于那些试图攻破网络系统的人员要采取法律手段对他们进行惩罚。加大网络安全方面的宣传,让校园用户明确自己的权利和义务。同时学校还要调动网络用户的责任心,如果发现对网络系统做破坏的人要及时举报,坚决维护校园计算机网络的安全,还要建立相应的制度,包括资料管理制度、机房保卫管理制度、严格分工等管理制度。

3 结束语

计算机网络已经成为校园发展中不可缺少的一部分,保证校园计算机网络的安全性问题也成了很重要的问题。校园网络的不安全因素来自多个方面,所以在建立安全防护体系的时候也要考虑到多方面因素。校园计算机网络在不断地发展变化,网络的安全问题也不是一成不变的,所以网络安全防护体系也要根据新的安全问题及时更新变化,要保证校园网络安全防护系统的有效性和先进性。

参考文献:

[1]罗森林.高平.信息系统安全与对抗技术实验教程[M].哈尔滨:黑龙江大学出版社,2012(49):50.

[2]潘瑜.计算机网络安全技术[M].北京:中国铁道出版社科学出版社,2010(23):214.

[3]华师傅资讯.黑客攻防疑难解析与技巧[M].北京:北京理工大学出版社,2012:24.

[4]郭俊珍.浅析计算机网络安全[J].武汉大学报,2011.