首页 > 文章中心 > 网络安全

网络安全范文精选

网络安全

网络安全范文第1篇

[论文摘要]随着计算机互联网技术的飞速发展,网络信息已经成为社会发展的重要组成部分。它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击,因此,网络信息资源的安全与保密成为一个重要的话题。详细阐述常见的计算机网络安全威胁,进而提出几种常用的网络安全防范措施.

一、引言

计算机网络是以共享资源(硬件、软件和数据等)为目的而连接起来的,在协议控制下,由一台或多台计算机、若干台终端设备、数据传输设备、以及便于终端和计算机之间或者若干台计算机之间数据流动的通信控制处理机等组成的系统的集合,这些计算机系统应当具有独立自治的能力。计算机网络的最主要功能是向用户提供资源的共享,而用户本身无需考虑自己以及所用资源在网络中的位置。资源共享包括硬件共享、软件共享和数据共享。

随着网络技术在全球迅猛发展,网络信息化在给人们带来种种的方便同时,我们也正受到日益严重的来自网络的安全威胁。尽管我们广泛地使用各种复杂的安全技术,如防火墙、数据加密技术、访问控制技术、通道控制机制,但是,仍然有很多黑客的非法入侵,对社会造成了严重的危害。如何解决各种来自网络上的安全威胁,怎样才能确保网络信息的安全性。本文通过对网络安全存在的威胁进行分析,总结出对威胁网络安全的几种典型表现形式,从而归纳出常用的网络安全的防范措施。

二、计算机网络安全存在的威胁

由于计算机网络计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络容易受到来自黑客、恶意软件和其它种种攻击。

(一)常见的计算机网络安全威胁主要有:信息泄露、完整性破坏、拒绝服务、网络滥用。

信息泄露:信息泄露破坏了系统的保密性,他是指信息被透漏给非授权的实体。常见的,能够导致信息泄露的威胁有:网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵犯、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼。

完整性破坏:可以通过漏洞利用、物理侵犯、授权侵犯、病毒,木马,漏洞来等方式实现。

拒绝服务攻击:对信息或资源可以合法的访问却被非法的拒绝或者推迟与时间密切相关的操作。

网络滥用:合法的用户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。

(二)常见的计算机网络络安全威胁的表现形式主要有:窃听、重传、伪造、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒。

窃听:攻击者通过监视网络数据的手段获得重要的信息,从而导致网络信息的泄密。

重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。

篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者的破坏作用最大。

拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。

行为否认:通讯实体否认已经发生的行为。

电子欺骗:通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的.

非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。

传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。

三、计算机网络安全的防护措施

在当今网络化的世界中,网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易遭受到攻击,而攻击的后果是严重的,诸如数据被人窃取、服务器不能提供服务等等。随着信息技术的高速发展,网络安全技术也越来越受到重视,由此推动了物理措施、防火墙、访问控制、数据加密、病毒的防护等各种网络安全的防护措施蓬勃发展。

物理措施:比如,保护网络关键设备,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源等措施。

防火墙:目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问对专用网络的非法访问。

访问控制:对用户访问网络资源的权限进行严格的认证和控制。

数据加密:对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。

病毒的防护:在企业培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。

其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近几年来,都是围绕网络安全问题提出了许多解决办法,例如数据加密技术、防火墙技术安、安全审计技术、安全管理技术、系统漏洞检测技术等等。

目前市场普遍被采用的网络安全技术有:主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术。但是,有了安全技术还是远远不够,许多网络安全事件的发生都与缺乏安全防范意识有关,所以,我们要有网络安全防范意识并建立起相应的安全机制(比如:加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、信息流填充机制、路由控制机制、公正机制等)就可以使网络安全得到保障。

四、结束语

在网络信息化时代,网络安全已越来越受重视了。虽然现在用于网络安全防护的产品有很多,但是黑客他们仍然无孔不入,对社会造成了严重的危害。根本原因是网络自身的安全隐患无法根除,这就使得黑客进行入侵有机可乘。尽管如此,随着网络安全技术日趋完善,降低黑客入侵的可能性,使网络信息安全得到保障。如何把握网络技术给人们带来方便的同时,又能使信息安全得到保证,这将是我们培养新一代网络管理人员的目标。

参考文献:

[1]张民、徐跃进,网络安全实验教程,清华大学出版社,2007,6.

[2]许治坤、王伟、郭添森、杨冀龙,网络渗透技术,电子工业出版社,2005-5-11.

网络安全范文第2篇

[论文摘要]近几年来,随着气象信息对人们生产、生活作用的不断加大,它的安全也备受关注。从气象网络的概念、安全的必要性出发,逐一探讨了气象网络安全存在的问题,以及相关的解决措施。

一、气象网络的概念及其结构形式

气象网络,简而言之,指的是将计算机网络技术应用于气象领域,使气象信息网络化,信息化,方便人们的使用。目前,气象网络按照不同的安全等级划分成三种网络结构形式:(1)内部局域网(含机要内网),此网要求安全等级极高,各个部门的计算机均在此网上;(2)通过数字专线与相关政府职能机构构成的政务专网,通过不同授权等级共享各级数据资源;(3)公众互联网,通过电信宽带接入气象网站,供广大用户浏览。现代社会气象信息的大量应用,越来越彰显其重要性,然而与此同时,网络的应用也给气象信息安全带来了大量的潜在隐患,因此,加强气象网络的安全性就非常有必要。

(一)气象技术的保障需求。当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。

(二)气象网站的安全需要。全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。

二、气象网络安全存在的问题

其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:

(一)气象网络管理缺陷。由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:

(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。

(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。

(3)相关工作人员的失职。气象部门工作人员的职责不到位,玩忽职守,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。

(二)病毒侵入。目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。

三、解决对策

(一)严格的安全管理制度。面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:

(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。

(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。

(二)防范各种非法软件攻击和入侵。网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。

目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。

(三)病毒防护策略。对于网络病毒的防范是气象网络的重要组成部分。目前,气象网络的覆盖面广,病毒的危害也越来越大,加之传统的单机杀毒已无法满足需求,因此急需一个完善的病毒防护体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。

主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。

参考文献:

[1]张剑平等,《地理信息系统与MapInfo应用》.科学出版社.1999.

网络安全范文第3篇

第二条本规定所称互联网安全保护技术措施,是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法。

第三条互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施,并保障互联网安全保护技术措施功能的正常发挥。

第四条互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息,但法律、行政法规另有规定的除外。

互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施,不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。

第五条公安机关公共信息网络安全监察部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。

第六条互联网安全保护技术措施应当符合国家标准。没有国家标准的,应当符合公共安全行业技术标准。

第七条互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施:

(一)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;

(二)重要数据库和系统主要设备的冗灾备份措施;

(三)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;

(四)法律、法规和规章规定应当落实的其他安全保护技术措施。

第八条提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:

(一)记录并留存用户注册信息;

(二)使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系;

(三)记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。

第九条提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:

(一)在公共信息服务中发现、停止传输违法信息,并保留相关记录;

(二)提供新闻、出版以及电子公告等服务的,能够记录并留存的信息内容及时间;

(三)开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复;

(四)开办电子公告服务的,具有用户注册信息和信息审计功能;

(五)开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。

第十条提供互联网数据中心服务的单位和联网使用单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:

(一)记录并留存用户注册信息;

(二)在公共信息服务中发现、停止传输违法信息,并保留相关记录;

(三)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。

第十一条提供互联网上网服务的单位,除落实本规定第七条规定的互联网安全保护技术措施外,还应当安装并运行互联网公共上网服务场所安全管理系统。

第十二条互联网服务提供者依照本规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。

第十三条互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。

第十四条互联网服务提供者和联网使用单位不得实施下列破坏互联网安全保护技术措施的行为:

(一)擅自停止或者部分停止安全保护技术设施、技术手段运行;

(二)故意破坏安全保护技术设施;

(三)擅自删除、篡改安全保护技术设施、技术手段运行程序和记录;

(四)擅自改变安全保护技术措施的用途和范围;

(五)其他故意破坏安全保护技术措施或者妨碍其功能正常发挥的行为。

第十五条违反本规定第七条至第十四条规定的,由公安机关依照《计算机信息网络国际联网安全保护管理办法》第二十一条的规定予以处罚。

第十六条公安机关应当依法对辖区内互联网服务提供者和联网使用单位安全保护技术措施的落实情况进行指导、监督和检查。

公安机关在依法监督检查时,互联网服务提供者、联网使用单位应当派人参加。公安机关对监督检查发现的问题,应当提出改进意见,通知互联网服务提供者、联网使用单位及时整改。

公安机关在监督检查时,监督检查人员不得少于二人,并应当出示执法身份证件。

第十七条公安机关及其工作人员违反本规定,有滥用职权,徇私舞弊行为的,对直接负责的主管人员和其他直接责任人员依法给予行政处分;构成犯罪的,依法追究刑事责任。

第十八条本规定所称互联网服务提供者,是指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位。

本规定所称联网使用单位,是指为本单位应用需要连接并使用互联网的单位。

网络安全范文第4篇

1.1漏洞扫描

漏洞扫描是通过扫描网络系统有关硬软件要素或者网络系统应用的安全策略错误引起的安全隐患。当漏洞扫描程序发现未经许可的系统访问或者企图破坏网络系统正常运行的行为来评判网络系统所面临的安全威胁,其主要针对由于网络协议、参数配置不当或者应用系统缺陷引起的安全漏洞。目前,针对漏洞扫描的方法主要有漏洞库的特征匹配法和插件技术2种。其中,漏洞库的特征匹配法是采用基于规则的匹配技术,由扫描程序自动运行进行的漏洞扫描工作;插件技术又称为功能模块技术,是通过脚本语言编写的扫描程序来检测系统漏洞,这种技术使漏洞扫描软件的生机维护变得相对简单,插件的形式也大大提高了漏洞扫描软件的扩展性。

1.2端口扫描

端口扫描是指对网络潜在通信通道的扫描,主要通过2种手段来实现。

①向目标主机的TCP/IP服务端口发送扫描探测数据包,并记录目标主机的反馈信息,通过分析反馈信息判断主机应用端口的开关,以此来获得端口运行的相关信息;

②通过网络主机/服务器的出入数据包来监视本地主机运行情况。第二种手段再应用过程中只可以分析接收到的数据,而不会重新产生系统应用程序,这样可以防止产生新的安全威胁,有效帮助网络管理员及时发现网络安全隐患。典型的端口扫描方式主要有TCP全连接扫描和TCP半连接扫描。其中,TCP全连接扫描的工作流程是通过向主机端口发送Syn报文,然后接收端口的反馈信息Syn/Ack,最后再向目标端口发送Ack报文;TCP半连接扫描又叫"半开放扫描",它的工作流程是通过扫描程序向目标端口发送Syn报文,通过分析反馈信息来判断端口是出于侦听还是关闭状态,其过程的建立不是建立在完全连接的基础之上,所以不会在网络主机上保存记录,只需要开放相关权限即可。

1.3操作系统探测

操作系统探测是通过检查操作系统类型或版本信息来确保网络信息安全的一种手段。随着操作系统应用功能的不断强大,其系统构建越来越复杂,导致操作系统的安全隐患也越来越多。许多网络攻击者都将操作系统作为攻击首选,但要达成攻击目的,收集主机操作系统信息是必要条件,因此运用操作系统探测技术来探测目标主机信息可以做到针对操作系统安全隐患的未雨绸缪。目前,应用的操作系统探测技术主要有TCP/IP协议栈指纹探测和应用层探测2种。TCP/IP协议栈指纹探测是通过探测操作系统TCP/IP协议栈实现过程中的差别来判定操作系统类别;应用层探测技术是通过与目标主机建立联系,以发送服务连接或访问主机记录的方式来探测目标主机操作系统的有关信息。

2应用原则及需求分析

网络安全扫描系统是网络安全扫描技术应用的重要形式,其应用效果的好坏直接影响到整个网络应用系统的信息安全,因此,在专用网络安全扫描系统应用过程中需要把握以下原则:

①要把握人机工效原则,具有友好用户界面,使用户能够对扫描过程进行灵活控制,并反馈清晰有效的扫描结果;

②要把握效率提升原则,具备并行扫描能力,能够采用多线程技术对网络系统进行并行扫描,确保网络安全扫描的效率;

③要把握灵活扩展原则,具备良好扩展性能,能够根据网络安全扫描的应用需求及时增加或者优化功能模块;

④把握稳定可靠原则,确保扫描结果准确,为网络安全分析提供可靠依据。需求分析是专用网络安全扫描系统设计应用的基石,根据当前专用网络面临的主要安全威胁,网络安全扫描技术在应用过程中应该灵活采用弱口令扫描、漏洞扫描、端口扫描以及操作系统探测等关键技术,确保专用网络系统的各个信息安全相关要素都能够在网络安全扫描的范围内,使隐患减少到最低。

3专用网络安全扫描系统设计

3.1系统架构

在现有网络安全环境下,网络安全扫描系统在设计过程中应该优选模块化设计方案,在架构构建过程中需要确保主要功能模块能够动态加载,关键硬件实现即插即用,以确保专用网络安全扫描系统的体系架构具有良好的功能拓展能力。根据网络安全扫描技术的综合应用需求,专用网络安全扫描系统主要包括主程序以及4大关键技术的功能应用模块。主程序模块用于支撑专用网络安全扫描系统的体系架构,同时具备调度线程的启动能力,在专用网络安全扫描系统中它主要包括4项基本功能,即系统初始化功能、用户请求信息处理功能、安全扫描功能模块的加载功能和检测制定范围内主机存活的功能等。功能应用模块主要针对弱口令扫描、漏洞扫描、端口扫描以及操作系统探测4大关键技术的应用,在设计过程中既要保证各功能应用模块应用优势的充分发挥,又要保证功能模块的实时加载,使专用网络安全扫描系统能够针对不同的网络安全威胁加载相应的功能应用模块,确保整个专用网络系统的安全。通常功能应用模块以网络安全扫描各关键技术的应用模块形式存在,主要包括端口扫描模块、弱口令扫描模块、操作系统探测模块和漏洞扫描模块等。

3.2系统运行流程

专用网络安全扫描系统在运行过程中通常根据采用技术体制的不同而有所区别,但是结合专用网络安全扫描系统的基本任务情况,基本都包括以下几个步骤:

①运行系统主程序,加载业务功能模块,使各模块的基本信息倍主程序识别;

②设置系统参数和业务功能模块参数。系统参数包括扫描范围、业务功能模块选择以及信息传输路径和格式等,业务功能模块参数主要包括各模块在运行过程中所需要的相关参数,主要包括端口种类数量、文件路径等;

③主程序加载业务功能模块的应用参数,并将其保存在主程序服务列表中,以方便各个业务功能模块及时调用;

④判断用户主机存活与否,根据判断结果来决定是否启动扫描行为;

⑤选取需要使用的业务功能模块,并将该模块的功能函数地址存入系统主程序,以启用调度线程队扫描线程进行管控;

⑥扫描线程结束之后,通过调度线程发送消息通知系统主程序模块(在扫描过程中用户可以通过调度线程随时暂停、继续和停止扫描,各扫描模块也可以调用消息函数与系统主程序交互,以实时显示扫描进度和结果);

⑦系统主程序收到扫描结束信息后,可以自动生成网络安全扫描报告并将结果反馈用户。

4结束语

网络安全范文第5篇

病毒和黑客攻击是糖厂局域网面临的两大威胁,现实中糖厂局域网经常遭到黑客或病毒的攻击,黑客入侵网络系统对信息进行删除、修改、窃取,计算机病毒也对网络造成干扰和破坏。这些安全问题存在的主要原因,一是糖厂局域网的网络防护体系不严密,用户的网络安全意识不强。二是网络系统本身的脆弱性以及网络安全技术的缺陷。三是网络安全管理制度不健全。

局域网使用的TCP/IP协议在设计之初并没有考虑安全问题,存在许多的安全缺陷,主要表现在IP欺骗、路由选择欺骗、TCP序列号欺骗、TCP序列号轰炸攻击这几方面。黑客入侵糖厂局域网的方式可以分为被动式和主动式两类,被动式进攻是入侵者仅仅窃听信息,并不修改网络的信息。主动式进攻是入侵者与目标系统交互,一般会修改网络中的数据,具体的攻击技术主要有:Sniffer探测、端口扫描、特洛伊木马、拒绝服务攻击等。

糖厂网络安全的威胁还可能来自内部,主要表现在两方面,一是企业员工人为的失误,包括密码不设口令或者口令过于简单、没有及时对系统进行升级或打补丁、保留缺省账号等。二是企业员工的蓄意破坏,比如在计算机中植入木马以获得非法访问权。这些都会给糖厂的正常生产和经营带来严重的破坏。

2糖厂局域网络的结构模型

糖厂属于流程型企业,甘蔗是主要的原材料,生产具有季节性,制糖企业的兴旺与当地种植业有着密切的联系,使其管理上与其他类型企业有明显不同。制糖企业制造成本只占到制糖全部成本的30,而原料、运输、销售等方面的成本占了比较大的比重,糖厂必须从甘蔗原料的种植、运输、生产到成品糖销售等环节全面地进行成本管理,在信息管理系统中要集成各种农务软件。另外,糖厂广泛应用着多种信息化技术,主要有智能优化控制技术、传感检测技术、数控技术、DCS技术、PLC技术、嵌入式控制器等,这些技术都需要计算机网络来进行集成,糖厂的局域网络必须适应上述的特点。

糖厂局域网一般有Web、FTP、电子邮件、DNS等服务器以及十几至几百台的工作站,比较先进的制糖企业还把嵌入式控制系统集成在网络中。下图是糖厂目前采用比较普遍的一种局域网结构模型。

3解决糖厂网络安全问题的对策

网络安全不仅是一个技术问题,还是一个社会问题和管理问题,这里只是从技术的层面上探讨解决糖厂网络安全问题的一些对策。

3.1实行严格的网络访问控制

网络访问控制是保证网络安全的核心策略,它主要是保证网络资源不被非法访问。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等,各种安全策略必须相互配合才能真正起到保护作用。

对于糖厂的网络系统而言,其访问控制可分为对内访问控制和对外访问控制。对外访问控制指外部用户必须经过防火墙才能访问内部网络资源,防火墙一般由过滤路由器、服务器或堡垒主机组成,过滤路由器根据TCP/IP报头来过滤信息,然后把信息转发到堡垒主机,堡垒主机再根据不同的应用协议转发信息流。这种体系结构下的防火墙提供了多层安全保护,因此是比较安全的。因为很多安全问题都来自内部,因此必须对网络内部用户的访问采取适当的控制措施,下图是网络内部用户对网络资源的访问控制模型。

3.2把较新的网络安全技术应用在网络系统中

在糖厂局域网的建设与管理中,要逐步融入一些网络安全新技术,使网络系统更加安全可靠。目前常用的网络安全技术主要有数据加密、身份验证,存取控制、虚拟网络、防火墙技术等,此外还有入侵检测技术、蜜罐技术、取证技术、物理隔离技术等几种新的网络安全技术。入侵检测系统(IDS)是主动保护系统免受攻击的一种网络安全技术,当前已经出现了不少实用的入侵检测系统。蜜罐(HoneyPot)是诱骗攻击者的一种有效方法,它可以查找并发现新型的攻击工具,解决了IDS无法对新型攻击快速作出反应的缺点。蜜网(Honeynet)作为一种研究型蜜罐,是目前获取攻击者信息的主要来源之一。同时,基于IDS和蜜罐的计算机取证技术也得到了发展,开发了很多计算机取证的工具,如Encase、SafeBack等。物理隔离技术是近几年出现的一个

全新的安全防御手段,正逐步成为网络安全体系中不可缺少的环节,新一代的物理隔离产品能实现动态的隔断,并能对信息进行筛选。

3.3一种实用的网络安全解决方案

网络安全解决方案主要包括两方面,一是风险评估,二是安全策略。安全策略是网络安全体系的核心,它包括需求分析、安全管理制度、技术防护、紧急响应等几个方面。从技术的角度看,目前网络安全技术及其产品的种类很多,从底层到应用都有相应的网络安全产品可以选用,比如瑞星公司、Nod32公司的系列安全产品都能提供比较好的安全保障。

保证网络设备的正常运行,特别是保证关键业务系统的安全,是糖厂网络系统安全需求的核心,主要包括:访问控制,确保网络系统不被非法访问;数据安全,保证数据库系统的安全性和可靠性;入侵检测,对于破坏网络系统的恶意行为能够及时发现、记录和跟踪;完善的防病毒措施等。

下面介绍一个对于糖厂比较完善和实用的网络安全解决方案,这个方案能比较彻底地解决糖厂局域网的安全问题,其安全网络拓扑结构如图3所示。以下具体介绍这个方案的基本策略。

3.3.1设置防火墙在Internet与糖厂局域网之间部署一台防火墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,使内、外网相互隔离。局域网通过路由器与Internet连接,外网的用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS),这样既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。防火墙技术有多种,这里最好选用状态检测型防火墙,它能在不同层中对数据进行检测,从而提高了效率,简化了规则。

3.3.2设置入侵检测系统将入侵检测引擎接入核心交换机,对网络系统进行实时检测。入侵检测是防火墙之后的第二道安全闸门,在发现入侵行为后,会及时作出响应,包括切断网络连接、记录事件和报警等,扩展了系统管理员的安全管理能力。

3.3.3安装杀毒软件杀毒软件不仅要部署在应用服务器上,网络内部各个环节也要安装杀毒软件,并且要及时更新病毒代码库。在选择杀毒软件时要考虑病毒查杀能力、病毒代码更新能力、实时监控能力、占用系统资源情况等因素,国内的产品如瑞星、江民等都是不错的选择。

3.3.4设置漏洞扫描器在局域网内设置一个漏洞扫描器,它能帮助管理员发现网络中存在的安全隐患和漏洞,并生成报告和安全建议。扫描器的放置位置一般分为两种:网络内部或网络外部,本方案将扫描器软件放置在网络内部,这样可以检测网络中存在的所有安全隐患。

3.3.5设置专用的备份服务器在局域网中设置一个专用的备份服务器,连接大容量的存储设备(磁带库、光盘库等),利用第三方存储备份软件系统,可以实现自动备份、数据分级存储以及灾难恢复,是保障数据安全的有效措施。

4小结

糖厂网络系统的安全隐患隐藏在各个角落,网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,把这些安全组件进行适当地配置,就能有效地保障糖厂网络系统的安全。

参考文献

[1]王亚原.企业网络安全问题及对策.太原师范学院学报(自然科学版),2005,4(1).

[2]田茂熙.构建企业网络安全体系.贵州化工,2005,30(1).