【关键词】高校办公网络计算机实验室网络学生公寓网络网络安全问题
1前言
随着世界互联网技术的不断发展和信息技术的日新月异,计算机和网络服务已经渗入各行各业,俨然成了当今社会不可缺少的工具。对广大高校来说,校园网络的普及应用,实现了各高校的办公自动化、数字化和网络化,成了校园基础设施建设的重要组成部分。校园网络办公系统是学校教学和管理的强大保障,对提高工作效率、实现办公自动化和资源共享具有深远的意义,比如网络化教学应用、教务系统管理和运行、行政管理科学化、图书馆管理信息化、学生计算机实验室教学、学生公寓网络等等,可以说高校的各方面对网络的依赖程度都日益增强。然而,由于网络本身发展存在的不足以及校园网络的开放性和共享性,同时,高校本身网络管理手段的不完善和管理人员计算机网络专业技能不足等问题,导致校园网络环境也面临着严峻的挑战,极易受到计算机病毒入侵、黑客攻击等威胁,加强高校网络安全,提升高校网络的环境,防止信息被盗、泄露、修改和非法窃取,保证高校的网络安全,促进高校计算机网络的快速发展,为学校教学、管理提供良好的服务,是当今各大高校迫切需要解决的问题。
2高校计算机网络的发展现状
2.1高校办公网络现状
随着计算机技术的快速发展以及高校高等教育体制改革的不断深入,高校办公也逐步实现自动化和网络化,传统的学生和教师管理手段、办公条件和工作效率已经无法适应新的发展需求,也无法满足教学、行政、科研和学生工作等方面的要求。因此,各大高校在通过改变管理者的思想和增强管理者对科学管理活动的认知度来加强高校管理水平的同时,通过运用先进的信息网络技术,构建高校自动网络化办公系统也是深化高校教育体制改革的重要举措。目前,几乎所有高校都已经投入了大量资金,建立了针对高校部门日常职能工作的管理信息系统,如教务处的综合教务系统、房产科的房产管理信息系统、科研处的科研管理信息系统、计算机实验室的管理系统等等。这些系统大大提高了部门的管理水平以及工作效率,但是对于高校下属的各个院系而言,目前还缺乏有效的网络化信息管理,对网络安全方面,也是投入很少甚至无人问津。部分高校虽然设有专门的网络管理员,但其普遍的专业技术能力缺乏,职责也仅仅是故障修理和配置系统等方面。因此,作为管理教师和学生的最直接机构,高校各职能部门在统一管理人员信息的同时,更需要建立属于自己的信息库,将行政、教学、科研和学生工作等方面纳入信息化和网络化管理,同时加强对高校网络安全的重视。
2.2高校计算机实验室网络现状
近年来,随着高校招生规模的不断扩大,高校计算机实验室作为学生学习计算机课程的重要场所,在机房数量和计算机数量也都不断更新扩大。计算机实验室承担着各种计算机课程的教学实验任务,往往同一个实验室,要满足公共课、专业课等老师不同课程所面对的各种不同的上机要求,并且课后需要对外开放,以便提升学生的计算机应用水平和动手能力,来弥补教学课时的不足。因此,作为开放式的计算机实验室,任务重、人数多、人员流动性大导致上机操作频繁,同时拥有大量贵重的仪器设备和重要的技术资料存放在实验室,使实验室管理工作难度较大,经常会出现软硬件损坏等故障,在网络方面也存有极大的安全威胁。
2.3学生公寓网络现状
通过对公寓内学生的调查问卷结果分析发现,在接受调查结果的1000名大学生中,共有564名学生拥有个人电脑,比例占总人数的56.4%;在接受调查的564台电脑中,全部的学生都要求公寓内接通网络,其中要求学校开通校园网的521台,占总台数的92.5%;目前已经连接不同外网的电脑541台,占总数的96%。显而易见,随着学生使用个人电脑的普及,学生公寓内接通网络是不可阻挡的趋势。
然而,目前许多高校对公寓网络平台建设采取限制措施,导致学生们为了满足自己的学习和生活需要,采取各种措施,如偷拉网线,学校公寓安全检查时就拆除藏起来,不仅影响公寓的住宿环境,更严重影响了学生们的人身安全。其次,各大通信公司竞相出台各种政策来吸引学生,电信、联通、移动,有线、无线、3G的外网,可谓五花八门,导致学生私自乱接乱拉,有网络的部分高校公寓,也无法对网络信息进行有效过滤和统一管理,也使学生公寓网络在安全方面存在极大的隐患。
3高校计算机网络存在的安全隐患
随着我国高校计算机网络建设的不断发展,其信息网络安全问题也越来越层出不穷,所以分析高校计算机网络存在的安全隐患显得尤其重要。
3.1网络病毒入侵
计算机网络病毒正如其名采用的是病毒式的传播方式,其经常隐蔽在一个链接、图片甚至二维码的背后,对于很多非专业人事,甚至有些专业人士都防不胜防。计算机病毒通常采用的方式是破坏计算机系统文件,大量侵占网络带宽和资源,不断复制和衍生新的形式,最终导致整个网络的瘫痪;还有些病毒在感染后会不断的复制计算机的文件,秘密传送回服务器,而导致计算机信息的丢失和遗漏,而造成无法挽回的损失。
3.2黑客攻击
黑客一词最初进入大众的眼中还是在电影里面,但是随着计算机的发展,越来越多的计算机爱好者开始专研各个网站甚至系统的漏洞,并采用新的编程手段进行攻击或者将黑客程序植入其他电脑,在需要的时候调动大量电脑进行非法勾当,而这些被植入的电脑也就被冠以新的名称“肉鸡”,这些肉鸡中的信息被这些黑客采用非法拦截、破译、篡改、复制等形式进行盗取。对于国家重点高校,一般都会承担一些部级比较重要的科研项目,因此他们的电脑中所存储的相关数据就成为了黑客们的重点目标,如果不加以防范,那么数据泄露甚至丢失,将会造成不可挽回的后果。
3.3系统漏洞
由于学生的需求多种多样,因此在高校中电脑经常会安装多个操作系统,并且会安装很多应用程序,这就使得计算机的资源被大量的占用。而我们日常使用的各种系统也有着自身的系统漏洞,使得网络被攻击大开方便之门,简单归纳分为以下几点:一是操作系统的缺陷,大多数高校的服务器都是采用Windowsserver系列的视窗、操作系统进行管理,由于Windows系统的使用客户最多,操作系统本身就有很多管理模块,每个模块有自己的管理程序,因此在Windowsserver系统中不可避免会各种各样的漏洞,这就意味着系统开了后门,计算机病毒及非法入侵者就轻松地在实验室网。二是数据库的缺陷,因数据库缺陷可能引起的安全问题有:身份验证不足、数据错误输入、未经过授权可以任意修改和删除数据库信息、备份数据暴露等。三是防火墙的设置问题,防火墙是办公系统与外网连接的第一道屏障,但是有了防火墙也不意味着系统的绝对安全,它可以阻挡来自外面网络对系统的攻击,但如有人在校园网内搞破坏,防火墙就失去防范作用
3.4相关人员方法意识较弱
鉴于高校网络的开放性,很多学生和教师的相关防范意识和技术都不过关,他们随意使用校园网上传或者下载大量数据,甚至将个人或者带有病毒的文件上传到服务器,而加大了网络的不安全因素;而且高校中的计算机大多数是24小时运转,长时间不关机而导致机器损耗加大,缩短了计算机的寿命。
3.5网络安全管理人员技术不足
大部分高校的计算机网络管理教师的技术不过关,有的高校甚至没有设置相关的管理部门,而导致校园网络在运行的过程中混乱无序,缺乏专业的管理人员,而导致很多问题的初期不会注意或者忽略,往往是危害很严重了才会引起一些教师的注意,但是为时已晚。
3.6不良信息的传播
鉴于高校内部使用网络的人员各有不同,素质各有高低,因此经常有不良师生利用高校网络下载或者传递不良信息,虽然高校大学生都具备一定的辨别能力,但是这些不良信息的传递也会影响大学生的身心健康,进而威胁到高校的精神文明建设,更为网络安全带来隐患。
3.7学生操作不当
这个问题主要集中在新入校的学生或者刚刚开始接触电脑的学生中尤其的多,主要分为以下几点:
(1)格式化:错误的将硬盘当软盘进行格式化操作,造成硬盘数据全部丢失,导致机器无法启动。
(2)配置修改:有一定计算机水平的学生往往爱乱修改机器配置,却不懂如何恢复,导致计算机无法启动或启动后状态不对
(3)网络故障:因为网卡、网线接触问题、学生改动Windows网络的配置和标识,造成机房局域网发生故障。
(4)乱用删除命令:用Del命令删除了本地盘的系统文件,造成机器无法正常启动。
(5)玩游戏:学生将游戏、带有不健康内容的软件进入机房,这些软件往往深藏病毒,由于学生将游戏等目录隐藏,使杀毒软件无法找到或者消除其所带来的病毒,浪费了大量的硬盘资源。
4高校计算机网络安全的防护对策
通过对高校计算机网络存在的安全隐患进行分析,并针对这些问题,提些防护措施,对保证高校网络安全极为重要。
4.1建立健全高校网络安全体制
高校管理制度的严密性直接影响着高校网络办公的信息安全性,健全的管理制度就是为了给日常教学活动构建一道“防火墙”。要做到信息的安全有效管理,首先要从制度入手,制定相关的条文制度,让大家有法可依,便于统一管理;其次,聘请专业的系统管理人员,明确职责,定期为系统使用人员进行技术培训以及监督学校网络的安全运营。通过提高安全意识和技术水平,制定系统安全操作指南,达到减少和防止泄密事件的发生。
4.2加强专业人才队伍建设
加强网络管理人员的队伍建设,只有不断提升网络管理员的技术水平让网络的安全得到确切的保障。同时用先进的网络监测软件对网络中所产生访问数据机网络信息数据产生的动向进行及时的扫描监督,就能对存在的安全隐患进行及时发现并处理。
4.3根据不同的管理权限设置不同的数据库访问权限和量级
加强对系统使用人员的权限划分和管理,不同级别的人访问的数据量级和权限各不相同,有效的管理和规范对高校数据库的访问级别,同时便于监控不同级别的人在数据使用中的合法性,防止信息被人非法修改、篡改而造成的系统运行问题。利用数据加密的方法保障数据在传输、存储以及应用的过程中的安全性。数据加密通常包括:数据传输加密,数据存储加密,数据模块加密,数据完整性鉴别以及密钥管理。
4.4构建系统的安全立体防护网
鉴于高校中的系统复杂性和繁冗性,应该建立有效的防火墙体系,技术发现和修补系统漏洞,定期对系统内的电脑进行清理和维护,规范电子邮件附件格式,增加过滤可疑文件的屏障。关闭网络共享,防止非法入侵的可能性,对系统中的端口即使监督并且关闭一些不必要的端口;加强管理员账号的规范和管理,定期修改密码或者增加密码的难度,从而降低管理员权限被破译的可能性。优化浏览器的安全性,采用防范等级较高的浏览器,定期清理以及监督网络访问内容,过滤恶意插件等;最后保护好IP地址,此项措施主要是防止黑客恶意利用IP地址进行非法攻击,窃取资料或者其他的威胁到网络安全性的状况。
4.5对校园内网络的使用进行区域划分和区域管理
根据校园内部网络的信息安全重要性进行划分,安全区域和非安全区域,对于安全区域只有在特定的局域网内才可以登录访问,并对登陆者进行身份登记,信息追踪,做到可管可控;也就是说安全区域的网络安全级别也是最高的,监控力度也就最大,此区域可以理解为实验数据,图书馆等;非安全区域主要是指信息交流平台,也就是学生宿舍区域,此部分区域的信息传递的特点为散乱性,无规律性等,因此只要限定特定的访问路径,上传和下载资料的形式,内容扫描等,即可;但是需要注意的是非安全区域的网络监控同样需要做到监控登陆者的身份,信息追踪等;定期扫描和浏览内容便于掌握学生动向,监管非法内容等。
4.6加强师生的计算机水平和应用教育
针对广大师生进行计算机使用安全常识等的培训,纠正广大师生对学校计算机的使用目的和用途,定期组织宣讲会等校内活动,组织对计算机感兴趣或者有特长的学生参与到高校网络系统安全的维护上来,发挥学生的积极性,主动性和探索性,并对其加以引导,使这部分师生成为校园网络安全先锋。
5结语
高校计算机网络安全问题极为复杂,决定着整个学校内部信息的运行环境。只要建设安全的高校网络环境,才能保证高校的网络化管理,提高学校行政、管理、教学等效率,并为高校学生提供良好的网络环境,促进大学生良好的人生观和价值观的形成。
参考文献
[1]王剑锋.高校计算机网络安全问题与对策探析[J].电脑知识与技术,2007(4).
[2]过毕晖.浅谈高校办公网络安全[J].北方经贸,2013(3).
[3]周新秋.高校计算机实验室现状分析与安全管理对策[J].计算机与数字工程,2007(9).
[4]陆放.浅析高校网络协同办公自动化的安全问题[J].机电产品开发与创新,2010(11).
作者单位
关键词:活动目录;域网络技术
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)11-2514-03
近年来,随着计算机网络技术的发展,企业网中各种网络应用不断扩展。当前,在企业的日常工作过程中,有越来越多的工作和流程是可以通过企业网络来简化并提高效率。很多企业纷纷在企业局域网基础上建立企业网络系统,实现办公的自动化和无纸化,大大提高了办公效率,提升了企业网络应用的水平。基于工作组模式的企业办公网络虽然建立步骤简单,使用起来也很好上手,但是随着网络应用的深入,在网络管理方面的各种问题也日益突出。
1企业网络的现状
目前很多企业办公网络系统的运行仍然基于早期的对等网或工作组模式,因为没有对企业办公网络系统中的计算机进行有效的集中化管理,使得企业办公网络存在比较大的安全风险和管理缺陷,对企业网络中计算机操作无法进行有效控制,一定程度上限制了企业办公网络的进一步应用。
2利用域网络技术实现企业办公网络优化管理
2.1利用域网络技术实现企业集中化管理
基于工作组管理模式的企业办公网络已经不能完全满足现有的企业办公的应用需求,为了提高企业办公网络的管理和应用水平,有必要在网络中采用一种集中化的网络管理模式,对网络中的计算机进行更高效的管理,提高企业办公网络的安全性和资源的集中管理与控制。Windowsserver2003企业版的ActiveDirectory和域控制器就具备这样的网络功能。(见图1)
2.1.1活动目录(ActiveDirectory),域和域控制器
活动目录是Windows网络中的目录服务,有两方面内容:目录和与目录相关的服务。
1)目录其实是一个目录数据库
2)活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问。既提高了管理效率,又使网络应用更加方便。
域是在WindowsNT/2000/2003网络环境中组建客户机/服务器网络的实现方式。所谓域,是由网络管理员定义的一组计算机集合,实际上就是一个网络。在这个网络中,至少有一台称为域控制器的计算机,充当服务器角色。
在一台Windowsserver2003计算机上安装了ActiveDirectory后,计算机就成了域控制器,域网络的最大特点就是可以实现用户、计算机等对象账户,以及网络安全策略的集中管理和部署。
2.1.2ActiveDirectory和域控制器的应用
在办公网络中安装域控制器,要在企业办公网络实现和提供目录服务,就需要在网络中指定一台性能较高,物理存放位置较安全的计算机作为当前办公网络的域控制器。使用Windowsserver2003企业版的"ActiveDirectory安装向导"可安装和配置域控制器(也可运行dcpromo命令安装)。可以使用"ActiveDirectory安装向导"在指定计算机上上安装ActiveDirectory。(见图2)
2.1.3网络的集中化管理
因为域网络可以实现在一台服务器上对用户/计算机账户和安全策略的集中管理,对于管理员来说,就可以更方便地管理整个网络的用户账户(包括用户账户权限和权利)和安全策略。而不必分别到各用户计算机上分别配置。这对于网络规模较大的网络来说,优势更加明显。所以说,一般来说,域网络比较适用于较大型的网络,但也不是从性能上来考虑的。
例如:可以在域安全策略中设置域用户帐户的密码策略,确保所有域用户设置的密码具有一定复杂性,在非法用户试图探测域用户密码时,可以限制密码的重输次数,超过指定次数锁定帐户,避免非法用户的攻击。在一个工作组模式的网络中,本地用户可以随意地更改或设置自己的桌面应用环境,并且用户从不同的计算机中登录就有不同的桌面应用环境,导致企业网络中各计算机桌面风格各异,不利于办公网络环境的一致性设置。在包含域控制器的办公网络中可以通过给域用户帐户设置漫游的用户配置文件,同时在组策略中限制域用户对桌面环境的修改,可以保证用户登录域以后具有统一的桌面风格,并且在不同的位置用同一域帐户登录域将有一致的桌面应用环境,较好地实现工作的连续性。通过在域控制器中设置组策略,可以影响整个域的工作环境,同时可以降低布置用户和计算机环境的总体费用,并且可以在指定网络区域中推行本校使用计算机的统一规范,包括桌面环境规范和计算机安全策略设置等(见图3域安全策略,图4组策略编辑器)。
在域中创建的组策略设置包含在组策略对象(GPO)中。通过将GPO与所选的ActiveDirectory系统容器-站点、域和组织单位相关联,可以将GPO策略设置应用于那些ActiveDirectory容器中的用户和计算机。例如:网络管理员可以企业网络域中设置企业GPO,并且打开组策略编辑器,选择阻止更改墙纸,可以限制所有登录到本域的成员计算机对计算机桌面墙纸进行修改。在企业办公网络中,一些用户可能会频繁地进行软件安装、升级、删除等操作,庞大工作量,以及由此可能产生的安全问题一直都是令网络管理员疲于应付。通过在域中使用组策略对象GPO的软件分发策略,还可以实现对域中所有计算机的软件管理,减少管理员在域中计算机上安装软件的工作量并且降低软件安装、更新、删除过程中出错的可能性。在企业办公网络中如果有很多共享文件夹分布在网络中的多台服务器上,网络用户在访问这些共享文件资源时需要在多台计算机上进行查找,而在一个域中创建的分布式文件系统DFS能很好地实现了资源的分散存放和集中管理,同时减轻了用户记忆许多共享文件夹的困难,大大方便了企业网络中资源库的建设与应用。
3利用域网络技术实现网络安全
3.1网络用户接入及登录的限制。
实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,就可以访问共享资源,如共享ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows9x构成的对等网中,数据是非常不安全的。
在“域”模式下,至少有一台服务器负责每一入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(DomainController,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。
想把一台电脑加入域,仅仅使它和服务器在“网上邻居”能够相互看到是远远不够的,必须要由网络管理员进行把这台电脑加入域的相关操作。操作过程由服务器端设置和客户端设置构成。
1)服务器端设置
以系统管理员身份在已经设置好ActiveDirectory(活动目录)的Windows2000Server上登录,点击“开始/程序/管理工具/ActiveDirectory用户和计算机”,在程序界面中右击“computers”(计算机),在弹出的菜单中单击“新建/计算机”,填入想要加入域的计算机名即可。要加入域的计算机名最好为英文,否则系统会提示中文计算机名可能会引起一些问题。
2)客户端设置
首先要确认计算机名称是否正确,然后在桌面“网上邻居”上右击鼠标,点击“属性”出现网络属性设置窗口,确认“主网络登录”为“Microsoft网络用户”。
选中窗口上方的“Microsoft网络用户”(如果没有此项,说明没有安装,点击[添加]安装“Microsoft网络用户”项)。点击[属性]按钮,出现“Microsoft网络用户属性”对话框,选中“登录到WindowsNT域”复选框,在“WindowsNT域”中输入要登录的域名。
Windows98会提示需要重新启动计算机,重新启动后,会出现一个登录对话框。在输入正确的域用户账号、密码以及登录域之后,就可以使用Windows2000Server域中的资源了。请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。如果没有将计算机加入域,或者登录的域名、用户名、密码有一项不正确,就会出现错误信息
3.2实现了办公网络资源的授权访问
在域网络中,域账户和安全策略可以有多级,最小的安全策略边界是域中的“组织单位”(OU),最大的安全边界是林;而用户账户可以是子域中的,也可以是父域中的。不同安全级别的配置应用是按照先本地,后域的规则进行的。在域层次中,则是按照精确度由低到高的顺序进行应用的。而最后应用的级别最高。如组策略的应用顺序是:本地组策略站点组策略域组策略子域组策略组织单位组策略。
因为存在多级账户和安全策略,所以在域网络中存在一个信任关系。也就是一个域可以与同一林中的其他域建立单向或者双向信任关系,不同林之间也可以建立单向或者双向信任关系。这样一来,就可以实现单向或者双向访问的目的。
所有企业VLAN中的办公电脑都可以登陆到当前办公网络的域控制器,同时可以配置办公网络中相关网络服务如:文件服务器,打印服务器,DNS服务器,邮件服务器等基于域用户帐户提供服务。创建了域控制器后,我们就可以在活动目录中为企业网络的用户创建登录域的域用户账户了,通过域用户帐户能够实现"单一账号单录,普遍资源访问"。同时通过设置域安全策略,既可以保证不让非法接入网络的用户访问企业网络的网络资源,又能让本校合法用户根据他们实际具有的域访问权限对企业办公网络的资源进行访问,较好实现了办公网络资源的授权访问和网络安全风险的控制。
4需要注意的问题
虽然在企业办公网络管理中,相对于工作组管理模式,域的集中管理模式有着巨大的优势,但也有其不足之处,网络性能较低。因为在域网络中的用户账户和安全策略都是在网络中的服务器上进行统一部署的,而且域网络中可能存在多级安全策略,所以用户在登录和进行网络访问时的性能不如工作组网络,存在一定的延时,特别是在大的域网络,或者安全策略配置复杂(安全级别太多,采用的安全通信协议太多,安全策略设置启用太多等)、安全策略配置不合理(如存在许多冲突设置项)的域网络中表现尤其突出。
5小结
作个比较工作组就象是免费的旅馆,而域则象是一个星级宾馆。工作组中客户机可以随便出入工作组并且访问网络共享资源,而在域中需要DC的验证才能加入这个域中。
企业网络现有的工作组管理方式,虽然比较简单,易于实现,但是在网络权限分配、资源管理和网络安全控制等方面存在较大问题,而在企业网络中引入域控制器,进而采用域的方式对网络进行集中化管理,较好地解决了工作组网络中存在的问题。当然在使用域控制器的过程中也需要注意域控制器本身的安全,并且对域用户帐户及域安全策略进行合理定义,确保办公网络用户对网络资源的访问。
参考文献:
[1]北大青鸟信息技术公司.Windows系统管理[M],2007.
[2]平寒,杨云.网络服务器搭建、配置与管理项目实训―WindowsServer[M].北京:清华大学出版社,2010.
[3]微软技术支持网站[DB/Ol].http://.china/technet_,2007.
关键词:局域网;病毒;安全风险
中图分类号TP39文献标识码A文章编号1674-6708(2011)53-0167-01
局域网络是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个企业内的上千台计算机组成。组建于同一局域网络内的计算机可以实现文件管理、应用软件共享、打印机共享等诸多功能。
我们知道,组建局域网是为了更好发挥办公效益、加快信息传递、实现资源共享。办公局域网在推动办公效率的同时,也带来了不容忽视的安全风险。如何实现局域网的安全防护和信息保密机制,成为当前一个重要问题。为达到企业内网的安全需求,网络管理必须针对网络结构、应用及安全风险,依据国家有关计算机信息系统安全标准和规定,从技术和管理等方面设计网络安全体系的功能结构。
1办公局域网的安全需求
1)机密性:信息不暴露给未授权实体或进程;
2)完整性:保证数据不被未授权修改;
3)可用性:授权实体有权访问数据;
4)可控性:控制授权范围内的信息流向及操作方式;
5)可审查性:对出现的安全问题提供依据与手段;
6)访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制;
7)数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段;
8)安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏。
2网络系统的风险分析与安全防控措施
2.1物理安全
一般说来,网络的物理安全的风险是多种多样的,计算机系统本身的脆弱性和通信设施脆弱性共同构成了计算机网络的潜在威胁。一是计算机系统硬件和通信设施极易遭受到自然环境因素的影响,如地震、水灾、火灾等自然灾害影响;二是易受温度、适度、灰尘度等因素影响;三是计算机系统软件的自然损耗和自然失效等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故;四是介质安全包括媒体数据安全及媒体自身安全。将各类媒体按所存储信息分类标识,采取限制使用、归口管理及集中销毁等措施。同时,电源故障、人为操作失误或错误、线路截获等因素也是不可忽视的问题。
物理安全是整个局域网络的安全前提。在局域网内,由于网络的物理跨度不大,只要制定健全的网络安全管理制度,做好数据备份,并且加强网络设备设施和机房的管理,这些风险是可以避免的。
2.2运行安全
首先,局域网内部系统的主要设备、软件、数据、电源等有备份,并具有在短时间内恢复运行的能力。
其次,要重于病毒防治。一个完整的网络防病毒系统通常由以下几个部分组成:客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。网络防病毒系统可以实现的基本功能是:对文件服务器和工作站进行查毒扫描、检查、隔离、报警,当发现病毒时,由网络管理员负责清除病毒。
再次,硬件设备应满足国家电磁兼容标准GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》的要求。
最后,注意介质安全,它包括媒体数据安全及媒体自身安全。将各类媒体按所存储信息分类标识,采取限制使用、归口管理及集中销毁等措施。
2.3信息安全
要想杜绝网络安全问题,只有从两方面着手,防止外部黑客攻击或防止内部违规使用。防止外部黑客攻击的技术手段很多,典型的有防火墙、安全服务器、身份认证等,其核心思想,是外部用户在使用内部资源时必须出示用户的身份,在得到系统的确认后,根据相应的身份赋予不同的资源访问权限,而防止内部违规使用的技术手段并不多。目前内部网的安全防护主要集中在以下几个方面:重点资源监控;网络设备使用监控;内部网网络信息采集、分析;对来自内部网攻击的报警、阻断;基于主机的集中式访问控制管理。
2.4管理安全
不完善的制度滋长了网络管理者和内部人士自身的违法行为。同时,政策法规难以适应网络发展的需要,政府部门信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。制度管理是根据实际情况设计一套包括组织管理、职能管理和安全管理制度的综合管理系统。有关局域网安全的政策、计划和管理手段等最终都应在安全管理机制上体现出来。
综上所述,网络安全的管理是过程管理,是实现全网安全和动态安全的关键。要使网络有序、安全的运行,必须加强网络使用方法、网络安全技术与道德教育,完善网络管理的各个层面以便更有效地保护重要的信息数据、提高计算机网络系统的安全性。
参考文献
[1][美]PatriciaWallace著.谢影,苟新建,译.互联网心理学.北京:中国轻工业出版社,2001,1.
[2]项立刚.手机中心:技术推动媒体产业发展.新闻战线,2011(2).