第一篇:網絡安全性論文
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。小編收集了網絡安全性論文,歡迎閱讀。
網絡安全性論文【一】【摘要】隨著社會經濟的發展,電子支付在人們的日常生活與工作中,發揮著重要的作用。但是在具體的應用中,由于自身設計的缺陷性以及外界因素,存在一系列的安全問題,這些問題不及時采取對策解決,會對人們的電子商務工作、日常消費行為,帶來資金使用安全隱患。
【關鍵詞】電子支付;網絡安全;問題;對策
電子支付的出現,極大的便利了人們的工作與生活,因此依托網絡,進行安全的電子支付工作,是當前人們關注的焦點問題。
1電子支付網絡安全概述
1.1電子支付概述
電子支付是人們進行電子商務、日常生活消費的一個關鍵環節,其主要指的是電子交易的當事人,例如:消費者、商家、金融機構,這三者之間,通過網絡電子支付的手段,對貨幣、資金進行的流通,進而實現支付的一種形式[1]。
1.2電子支付帶來的網絡安全概述
目前電子支付帶來的安全隱患,主要包括技術層面、非技術層面兩個方面。技術層面的安全隱患主要是:對于具有電子支付功能的計算機系統,進行的靜態數據攻擊(口令猜測、IP地址的欺騙、制定路由進行信息的發送),以及動態數據攻擊(主動對其數據進行攻擊、攻擊者對于資金信息進行監控,進而被動的信息破壞),如圖1所示。非技術層面的安全隱患主要是:網絡交易支付款項存在著較多的安全風險,且未及時加強監督管理;基于網絡的電子交易缺乏完善的法律體系,進行支付安全的保護
2基于電子支付時代下的網絡安全問題以及改進對策分析
目前電子支付下網絡安全問題頻發,給人們的財產安全帶來了隱患,本文以第三電子支付平臺-支付寶、微信支付為例,分析了當前形勢下的網絡支付安全對策。支付寶是我國目前最受歡迎的電子支付形式之一,它可以為資金交易的雙方提供代收、代付的中介服務,以及資金交易的第三方擔保服務。微信支付,其是基于微信開放平臺,發出支付申請的。
2.1密碼保護
在現有的支付模式下,無論是支付寶電子支付、微信平臺支付,還是其他的借記卡交易方式,都需要用戶對其設置密碼,保障資金的安全,因此加強用戶的密碼保護,可有效的規避支付中的安全問題。在電子支付的環境下,用戶成功與商家進行資金交易的關鍵,就是密碼的輸入,因此可以使用數字簽名的方法,進行網絡支付。我國的銀行機構,目前多使用了RAS算法,進行數字簽名保護的。用戶可以向銀行提出申請,之后銀行可以對用戶發放一個數字證書,證書中包含著用戶的個人信息,其在進行電子支付時,通過證書,可以向銀行發送一個簽名。比對一致后,銀行可以根據客戶的要求,進行網絡電子支付。支付寶的款項支付也是如此,用戶依托網絡進行支付寶資金交易時,可以將需要支付的款項,從銀行卡支付到第三方平臺中去,由其代為保管,之后客戶收到商家的貨物且滿意之后,可以通過支付寶賬號,發出支付的指令,將貨款支付給商家。微信支付,使用的B2C即時到賬的接口,發出支付請求的,其還可以進行線下的POS機支付,即就是微POS。本地的生活服務商家,通過服務端口,輸入相應的支付金額之后,就會生成二維碼,用戶使用微信掃碼,即可進入支付頁面,之后輸入自己的密碼,即可進行款項的支付。因此通過這樣的數字簽名的形式,極大的保證了用戶電子支付的安全性.2.2病毒預防保護
用戶在進行網絡電子支付時,常會遇到盜竊用戶銀行網銀/支付寶賬戶/微信支付賬戶密碼的行為。攻擊者利用木馬病毒,對用戶的計算機系統進行攻擊,使其能夠對用戶的訪問頁面、個人網銀登錄界面、微信登錄界面、輸入銀行賬號/支付寶賬號/微信支付賬號、輸入的支付密碼,進行監視,進而通過技術手段,偽造出相應的登錄界面,誘騙用戶在含有木馬病毒的頁面進行相應支付信息的輸入,之后將其個人信息竊取。針對此種情況,用戶需要對計算機系統加強病毒的預防維護。在計算機中可以安裝病毒查殺應用軟件,及時更新系統。在應用聊天工具時,如果接收到陌生信息或者郵件、網頁時,切忌點開,或者是與發送方核對無誤后,再進行點擊處理。用戶盡量不要在公共電腦上,打開個人的支付登錄界面,或者是登入,避免公共電腦中病毒,對于用戶支付寶/微信支付賬戶的入侵攻擊。針對手機支付寶用戶,其在接到陌生支付信息、電話時,要保持警惕,避免登入釣魚網站,造成個人支付信息的泄露,給資金的使用造成安全隱患。
2.3法律保護
針對第三方交易平臺中,存在的諸種資金使用問題,我國雖然采取了一些相應的法律規范條文,但是由于其在具體的使用中,依靠的是用戶對于平臺的信賴,以及用戶與該平臺之間的約定,來進行業務處理的,因此在很多方面,用戶的個人資金權益,一旦遭遇到信任危機或是其他的問題,用戶的個人權益,很難得到法律的保護。第三方平臺,對于用戶的大量資金代為監管,存在著資金被挪用、資金利息計算等問題,這些問題缺乏相關的`法律保護,將會對用戶的財產安全造成危害。例如支付寶,其主營業務是用戶網絡交易資金的代收、代管、代付,用戶在使用資金的代管功能時,與該網站達成了以下的協議:用戶可以向本平臺,支付一定的資金,并且可以委托本平臺對其資金進行保管。使用代付功能時,約定:用戶可以要求本平臺,使用存入的資金,對其交易項目,進行支付,如果是非經法律程序,以及非由于本條款約定事宜的交易,該項支付形式,不可逆轉。這些協議,雖然符合當前用戶、第三方支付的現狀,但是從法律的角度來講是存在著缺陷的。微信支付中,存在著未按照法律的相關要求,與用戶簽署相關的協議,也沒有對安全驗證的有效性,進行規定,其存在著交易金額超額準許的情況。因此針對上述問題,需立法部門及時制定相應的法律規范,對第三方支付平臺進行有效的約束。此外,基于我國目前的電子支付形式,還缺乏一套較為完善的安全認證體系。
3結束語
在當今社會,電子支付給人們的工作、生活帶來了便利,但是與此同時也帶來了網絡支付安全問題,因此需要支付平臺、銀行等各個機構以及用戶,對電子支付的安全問題加強關注,及時找出改進對策,加以改進,避免安全問題出現。
參考文獻
[1]劉劍.電子支付及其網絡安全研究與實現[D].天津工業大學,2005.[2]譚漢元.電子商務網絡安全支付問題淺析[J].電子商務,2011(01):40-42.
網絡安全性論文【二】摘要:在經濟建設的不斷發展下,各個領域都得到了突飛猛進的發展,這樣也在某種程度上致使現代化設備在運行的時候存在諸多缺陷。倘若計算機安全受到影響,那么不但會對個人的財產安全帶來威脅,而且還會對國家帶來無法挽回的損失,嚴重的可能給社會的安全帶來破壞。基于此,主要從以下幾個方面進行分析,提出合理化建議,供以借鑒。
關鍵詞:計算機;網絡;安全;危害;加敏技術;防火墻
隨著我國經濟腳步的不斷前進,信息化時代已經到來,計算機網絡技術在我國的各個領域都得到了普遍得認可,這樣就會促使網絡信息傳遞的速度不斷上升,諸多企業以及有關機構在獲得豐厚效益的基礎上,所傳送的數據也會受到一定的損壞。一般情況下,對于常見信息安全問題來說,主要包含以下幾點:第一種事信息失真;第二種是竊取口令;第三種是數據庫信息被竊;第四種是篡改用戶信息等。嚴重的可能還會直接將網絡節點摧毀,這樣就會給財產安全以及國家帶來嚴重得影響。對此,本文需要從以下幾個方面進行探討,筆者依據多年經驗提出自己的一些建議,供以借鑒。
1計算機網絡安全及危害因素
由于互聯網自身就具有一定的開放性,其廣泛的作用極其便捷等優點能夠也信息失真創造有利條件。從當前的發展形勢來看,人們的生活以及生產等方面都與計算機有些密切的聯系。所以,怎樣開展好計算機網絡安全以及使用已經慢慢成為當前的關鍵所在。1.1計算機網絡安全問題分析。計算機網絡安全主要包含了計算機硬件保護、軟件維護、網絡系統安全管理等內容。因此只要我們正確有效的把握計算機網絡安全規律、切實做好計算機防護工作、提高計算機抵抗能力,那么各種外界侵害都是可以有效預防的。1.2計算機網絡安全的威脅因素。由于計算機網絡安全具有一定的繁瑣性,一般情況下包含以下兩方面因素:一方面是人為因素;另一方面是偶發性因素。對于人為因素來說,是威脅計算機安全的主要因素,經常出現的有對計算機內部信息進行篡改,制造病毒等。與此同時,計算機自身也存在一些不足之處,因為網絡自身具有國際性的特點,不是授權的用戶也能夠通過計算機本身存在的不足來對內部信息進行操作,從而致使計算機的安全性受到影響。通常情況下,對計算機網絡安全帶來影響的主要有以下幾方面構成:1)計算機病毒。病毒是威脅計算機安全的最常見因素,也是人為惡意攻擊的主要手段,它通常都是插入在計算機某一軟件當中的不良代碼,也有些是由人為制作且利用特殊途徑傳遞的,其最終結果都是對計算機內部數據進行破壞。目前常見的病毒主要分為惡性病毒和良性病毒兩種。但是不管哪種病毒,都具備十分強烈的自我復制性、感染性、隱蔽性以及破壞性。2)黑客。黑客一詞在當今社會可謂是耳熟能詳的詞匯了,主要指的是非法分子在未經過本人同意或者允許的前提下,擅自登陸他人的網絡服務器,并且對網絡內部的數據進行更改和破壞。通常情況下,黑客主要是通過木馬程序或者植入病毒的手段進行計算機信息竊取、奪取計算機控制權。3)計算機保護機制不夠。因為計算機網絡自身具有一定的開放性,所以在信息進行輸送的過程中會存在潛在的危險。相關人員沒有對計算機的傳輸引起必要的重視,這樣就致使計算機沒有較強的防御能力,進而致使信息出現丟失的情況。
2計算機網絡安全防范措施
在不斷加速的信息化進程中,計算機應用不斷普及,由此也引發了人們對計算機信息安全的重視。如何更好的保證計算機網絡環境下信息傳輸安全、準確與完整已成為業界研究重點。為了更好、更有效的確保計算機網絡信息安全,目前我們常見的技術主要包含以下幾種。2.1強化防火墻。防火墻是當今計算機網絡安全防范的主要措施,其在具體設置中根據不同網絡之間要求組合而成,從而實現對計算機網絡信息的保護,起到組織外界非允許人員進入到計算機內部,同時有效管理計算機網絡訪問權限。2.2計算機信息加密。任何良好的安全系統必須包括加密!這已成為既定的事實。數字簽名是數據的接收者用來證實數據的發送者確實無誤的一種方法,它主要通過加密算法和證實協議而實現。2.3病毒的防范技術。由于計算機病毒作為威脅養過安的一種因素,這樣就要求相關人員應當對經常出現得病毒做到心中有數,并掌握恰當的預防措施,可以及時得對病毒進行妥善處理。通常情況下,對病毒的的預防可以措施可以采取以下幾種方法:第一種是利用計算機中的執行程序做好聊加密工作;第二種是對計算機系統進行監控;第三種是對讀寫內容加以控制。2.4開展計算機網絡安全教育。相關部門應當對計算機用戶做好適當的培訓工作,促使用戶可以對計算機的具體操作做到心中有數,繼而能夠遵守操作選擇,并積極的向違法犯罪抵抗,主動保護好網絡信息不受侵害。由于計算機網絡安全具有一定的繁瑣性,不是簡單得處理方式和個人就能夠處理好的問題。只有全面了解計算機的基本情況,并采用合理的技術來一起解決計算機出現得問題。就網民朋友而言,應當在開機的時候做好殺毒工作,在第一時間將需要的資料做好備份,并利用密碼等方式進行加密,在特定的時間對含有的網絡文件做好掃描,實現健康上網的目的,學習網絡知識,進而確保計算機能夠處于安全的狀態也為人們得生活以及工作創造有利條件。
3計算機應用
由于計算機網絡的快速發展,計算機信息的共享應用也逐漸深入人心。但是信息在公共的網絡平臺上進行傳播和共享,會被一些不法分子偷聽或盜取,這樣就導致了客戶信息的丟失,給人們帶來不必要的影響。所以我們必須運用一系列手段來增強計算機網絡的安全性,來保證系統的正常運作。而計算機身份認證技術、對計算機加密技術和防火墻技術等,這些都是保護計算機網絡安全的基礎,同時有效的提高網絡的安全性。計算機網絡安全的維護人人有責,對于計算機用戶來說,計算機有它的便利之處也有它的脆弱性,我們必須認真履行一個網民應有的義務和責任。從普及計算機安全知識到計算機科學合理操作真正做到網絡信息安全,杜絕網絡犯罪,增強政治意識,做一個自律合法的計算機使用者。
4結論
通過以上內容的論述,可以清楚的認識到,在當前計算機的大量使用下,不管是對于人類生活,還是工作以及生產都帶來了極大的便利。然而,計算機在被人們使用的時候也存在安全問題,這樣就要求相關人員應當不斷完善該技術,才能夠盡可能減少計算機出現安全問題的概率,從而在未來的發展中為經濟建設做出重要的貢獻。
參考文獻
[1]朱茂君.構建頂級網絡安全的可行性討論[J].計算機與網絡,2016(24):131.[2]商炳楠.圖書館計算機網絡安全及維護[J].科技創新與應用,2016(34):97.[3]王秀波.網絡安全解決方案[J].智能建筑,2016(7):106.[4]葉純青.從風險管理角度談網絡安全[J].金融科技時代,2017(3):33.[5]孫威.淺談網絡安全中的加密技術[J].信息系統工程,2017(2):9.
【網絡安全性論文】相關文章:
1.電子商務安全性論文
2.供電線路的供電安全性論文
3.關于網絡論文
4.網絡專業論文
5.網絡的總結論文
6.網絡安全論文
7.國際生產網絡論文
8.網絡的利與弊論文
第二篇:汽車安全性新技術論文
汽車安全技術
尤敏
(湖北汽車工業學院 汽車工程系,湖北 十堰 442002)
摘要:汽車行駛的安全性直接關系著人們的生命安全和財產安全。本文主要從汽車的主動安全技術和被動安全技術兩方面來闡述如何改善汽車行駛的安全性。
關鍵詞:汽車、主動安全技術、被動安全技術
Security technology of automobile
Youmin(Department of Automotive Engineering, Hubei Automotive Industries Institute, Hubei, Shiyan 442002)Abstract: The safety of car driving is directly related to people’s life and property.This paper mainly talks about initiative security technology and passivity security technology to express how to improve the security of driving.Key words: automobile、initiative security technology、passivity security technology
隨著交通工具的現代化和絕對數量的急劇增長,車禍也不斷增加。汽車交通事故已成為嚴峻的全球性社會問題。毋庸置疑,先進的汽車安全設施是行車安全不可缺少的保障。所以,我們要從技術上入手,努力研究開發高性能、高安全性的汽車,同時也要加強對在用汽車的定期檢查,以便及時維修調查,使汽車經常處于良好的技術狀況,以提高汽車行駛的安全性能。
一、汽車主動安全技術
1、ABS防抱死制動系統
防抱死制動系統(Anti-lock Braking System,簡稱ABS)由ABS電腦、液壓裝置、車輪轉速傳感器、制動液壓管路及電器配線等組成。
ABS統對于汽車在各種行駛條件下的制動性能及制動安全尤為重要,特是緊急制動,能夠充分利用輪胎和路面之間的峰值附著性能,提高汽車抗側滑性能并縮短制動距離,充分發揮制動效能,同時增加了汽車制動過程中的可控性。從而減少了汽車事故發生的可能性。
沒有安裝ABS的汽車,如果在行駛中用力踩踏制動踏板,車輪會急速降低轉速,最后車輪停止轉動,但車身由于慣性依然保持向前滑動。這種現象在車輪與路面之間發生較大的“滑移”,出現這種狀況時,汽車輪胎對路面的側滑摩差力幾乎消失,于是會出現下述現象:
(1)轉向穩定性下降:方向盤操縱不靈,車輛尾部上翹,嚴重時車輛打轉或出現折疊現象;(2)操縱性下降:操縱方向盤而達不到轉向要求;(3)制動距離延長:超過一般的制動距離。
所以,可想而知有無裝設ABS系統對汽車行駛的安全性是非常重要的。
2、ASR驅動防滑控制系統
ABS用于防止汽車制動過程中車輪抱死,將車輪的滑移率控制在理想的范圍內,以縮短制動距離,提高汽車制動時方向穩定性和轉向操縱性,從而提高汽車行駛的安全性。隨著對汽車性能要求的提高,不僅要求在制動過程中防止車輪抱死,而且要求在驅動過程中防止驅動輪滑轉,使汽車在驅動過程中的方向穩定性、轉向控制能力和加速性能都得到提高,因此采用了汽車驅動防滑轉向系統ASR(Acceleration Slip Regulation)。ASR是ABS的完善和補充,ASR可單獨設置,但大多數是與ABS組合一起,常用ABS/ASR表示,稱為防滑控制系統。
ASR主要用來防止汽車在起步、加速時車輪的滑轉,保證汽車在加速過程中的穩定性并改善在不良路面上的驅動附著條件。它可以使無差速鎖的汽車在冰雪路面和泥濘道路上起步并改善其通行能力,還可以防止在車速較高并通過滑溜路面又轉彎時汽車后部的側滑現象。
總之,ASR由于防止了車輪的滑轉,便可最大限度地利用發動機的驅動力矩,保證汽車有足夠的縱向力、側向力和操縱力,使汽車在起動、轉向和加速過程中,在滑溜和泥濘路面上、在山區上下坡過程中都能穩定地行駛,既保證了行車安全,減少輪胎磨損和燃油消耗,又改善了汽車的驅動性能。
3、VDC系統
ABS/ASR系統成功地解決了汽車在制動和驅動時的方向穩定性問題,但不能解決汽車轉向行駛的方向穩定性問題。例如當汽車轉向行駛時,不可避免地受到側向和縱向力的作用,只有當地面能夠提供充分的側向和縱向力時,駕駛員才能控制住車輛。如果地面側向附著能力比較低,就會損害汽車按預定方向行駛的能力。雨天汽車高速轉向行駛時,常常側向滑出,就是地面側向附著能力不足的緣故。為解決此問題,最近汽車工業發達國家又在 ABS/ASR系統的基礎上發展成汽車動態控制系統(Vehicle Dynamics Control,簡稱VDC)。這個系統把汽車的制動、驅動、懸架、轉向、發動機等各主要總成的控制系統在功能上、結構上有機地綜合在一起,可使汽車在各種惡劣工況下,如冰雪路面上、對開路面上、彎道路面上以及采取規避動作移線、制動、加速和下坡等工況時,對不同承載、不同輪胎氣壓和不同程度的輪胎磨損都有良好的方向穩定性,表現出最佳的行駛性能。VDC的應用,在制動、加速和轉向方面完全解脫對駕駛員的要求,是汽車的主動安全行駛方面的一個新的里程碑。
VDC系統對轉向行駛的控制主要是借助于對各個車輪的制動控制和發動機功率輸出控制來實現的。例如汽車左轉彎時,若前輪因轉向能力不足而趨于滑出彎道,VDC系統即可測知側滑即將發生,就采取適當制動左后輪的辦法。若在同一彎道上,因后輪趨于側向滑出而轉向過多,VDC系統即采取適當制動右前輪的辦法,維持車輛的穩定行駛。在極端情況下,VDC系統還可采取降低發動機功率輸出的辦法降低行駛車速,減少對地面側向附著能力的需求來維持車輛的穩定行駛。采用VDC系統后,汽車在對開路面上或彎道路面上的制動距離還可進一步縮短。
4、CCS汽車巡航控制系統
汽車巡航控制系統(Cruise Control System,縮寫為CCS)就是可使汽車工作在發動機有利的轉速范圍內,減輕駕駛員的駕駛操縱勞動強度,提高行駛舒適性的汽車自動行駛裝置。
汽車巡航系統(CCS)的作用是:按司機所要求的速度閉合開關后,不用踩油門踏板就可以自動地保持車速,使車輛以固定的速度行駛。采用了這種裝置,當在高速公路上長時間行車后,司機就不用再去控制油門踏板,減輕了疲勞,同時減少了不必要的車速變化,可以減省燃料。
在這個系統中,電子控制裝置可根據行駛阻力的變化,自動調節發動機油門開度,使行駛車速保持恒定。這樣既減少了不必要的車速變化,從而節省了燃料,同時也減輕了駕駛員的負擔。
二、汽車被動安全技術
1、安全帶
汽車安全帶是一種安全裝置,它能在汽車發生碰撞或急拐彎時,使乘員盡可能保持原有的位置而不移動和轉動,避免與車內堅硬部件發生碰撞而造成傷害。安全帶與安全氣囊一樣,都是現代轎車上的安全裝置,但是前者的歷史悠久,普及范圍廣。
看似簡簡單單的安全帶其實并不“簡單”。一直處在關注行車安全最前沿的通用汽車公司,通過分析大量意外事故后發現:汽車安全帶不但能使人保住性命,更能在超過半數的事故中減低甚至消除駕車者、乘車者受傷的機會。汽車發生碰撞或遇到意外緊急制動時產生的巨大慣性作用力,會使駕駛員、乘客與車內的方向盤、擋風玻璃、座椅靠背等物體發生二次碰撞,極易造成對駕乘員的嚴重傷害,甚至將駕乘員拋離座位或拋出車外,而安全帶能將駕乘人員束縛在座位上。發生意外時,它能有效防止二次碰撞,并且其緩沖作用能吸收大量動能,減輕駕乘人員的傷害程度。
2、安全氣囊
當汽車前部發生強烈的碰撞時,由于慣性,駕乘者的身體向前快速移動,這時安全帶便會盡力“拉住”駕乘者的身體,吸收部分沖擊能量,同時安全氣囊以“迅雷不及掩耳之勢”充氣并完全打開;接著駕乘者的身體上部便沉向安全氣囊,氣體也開始從氣囊的排氣口勻速逸出,并吸收了大部分沖擊能量;隨后,駕乘者身體向后并回到座椅上。以上整個過程幾乎都是發生在一瞬間的,駕乘者完全處于被動的局面,在這種情況下,被動的依靠輔助乘員保護系統是唯一的選擇。安全氣囊的開發設計就是基于安全帶有限的保護作用之上的,它們互相配合發揮對駕乘者的輔助保護作用。在乘員使用安全帶的情況下,氣囊有助于減輕胸、頭和面部在碰撞時受傷的嚴重性。當汽車發生前碰撞時,首先是汽車要停止運動,車內乘員的慣性力作用下仍以原速度繼續向前運動。不系安全帶的乘員將會與轉向盤、前擋風玻璃相碰,因而可能受到嚴重傷害;系安全帶的乘員可以隨著汽車停止運動而逐漸停止向前運動。如果碰撞劇烈,乘員向前運動更快,即使系了安全帶,在完全停止運動前,仍會與車內物相碰。如果此時裝在轉向盤或儀表板內的氣囊充氣彈出,它就可以保護乘員減少其與車內物相碰的可能性,更均勻的分散頭、胸的碰撞力,吸收乘員的運動能量,從而起到補充安全帶效果的作用。
除了安全帶和安全氣囊外汽車被動安全技術還包括汽車保險杠、汽車安全玻璃、安全車身、乘員頭頸保護系統(WHIPS)等。這些對提高汽車行駛的安全性能都有著非常重要的貢獻。
三、汽車主動安全新技術
1、Eye Car技術
Eye Car技術可使每位駕駛員的眼睛處于同樣的相對高度上,保證提供一個對路面和周圍車道的無阻礙視眼和最好的能見度。這一技術還能提供一個特定的駕駛環境。
Eye Car通過使用電動座椅自動將不同身材駕駛員的眼睛調到同一高度來解決能見度的問題,同時,可對轉向盤、制動與加速踏板、地板和中央控制臺進行調整,以構成各自適應的駕駛環境。同時對前立柱進行了重新的設計,將它從駕駛員的視線中移開。因為汽車駕駛員所收到的最關鍵的信息一般有90%以上是從車外通過眼睛觀察獲得的。所以,這一改進對于汽車的安全性具有重要的意義。
2、Cam Car技術
Cam Car技術旨在幫助提高駕駛員的感知能力。其技術特點是:
(1)安裝在汽車兩側的前向攝像系統,使駕駛員能夠繞過大型車輛提前看到隱蔽處的汽車或行人。在典型的行駛情景中,駕駛員在擁擠的車流中左轉彎時可以更容易地查看對面的車輛。(2)側置后視攝像機提供了更廣闊的側面視野。攝像機的覆蓋面比傳統的后視鏡要廣,特別是對于相鄰的車道。(3)安裝在車后、扇面形布置的四個微型攝像機可以獲得車后的全景視野。圖像經電子合成,具有變焦和160°廣角能力。(4)“夜眼”(Night Eye)攝像機可在低照度條件下,在汽車處于倒擋時工作,即使在近乎黑暗的情況下也能提供車后近距離內的細小影像。
四、汽車被動安全新技術
1、未來安全氣囊(1)可充氣式幕系統。這是一項全新的安全設計,其基本原理是為保護車內乘員的頭部,當碰撞發生時其會進行充氣,充氣后的形狀呈幕狀。(2)管狀充氣結構頭部空氣囊。此套系統為補足目前側邊防護系統,仍停留于保護人的胸部、腹部、臂部,對于頭部的保護較不足。它配合車身剛體結構、車門防護剛梁、側邊空氣囊,可構成較完整的側邊安全防護網,這也將是未來的安全防護趨勢。(3)頭部支撐系統。頭部支撐系統通稱為頭枕,車輛中座椅所配合的頭枕,其實不只是為了舒適,更重要的是為了安全。車輛如果遇到緊急狀況剎車時,車身會有強烈的前后擺動,由于慣性原理乘員身軀必然跟著擺動,尤其是頸部。如果沒有頭部的支撐緩沖的頭枕時,頸部受傷所引起的傷害是非常驚人的。
(4)外部安全氣囊。
2、自適應約束技術系統(ARTS)全新的自適應約束技術系統(ARTS)利用一系列傳感器來監測駕駛員座椅位置、安全帶使用情況、前排乘員乘坐質量和位置以及發生碰撞時的碰撞烈度和碰撞力的方向等信息,再根據具體的碰撞特點對每個前排乘員氣囊的展開進行調節。該系統可進一步減少由于氣囊展開不當對乘員造成的傷害,特別是對于身材較小的前排乘員。
3、汽車吸能方向管柱
汽車吸能方向管柱通過在汽車發生碰撞時重新分配傳到方向盤上的沖擊力,將沖擊力路徑迅速分流,使得傳遞到方向盤上的載荷最小。轉向管柱由空心管和轉向軸承構成。傳統轉向管柱的空心管和轉向軸承是整體式的,轉向軸上端和方向盤連接,下端與方向器連接。而吸能方向管柱的特點是將整體式轉向管柱一分為二,分為上轉向管柱和下轉向管柱兩部分;里面的轉向軸也分為兩截,它們之間用外向節機構連接。一旦發生碰撞令方向機構產生位移,外向節下端特制的轉向軸會折疊,上轉向管柱移入下轉向管柱內,實現“縮進”,從而擴大空間減低傷害。
五、胎壓力監視系統
在汽車的高速行駛過程中,輪胎故障是所有駕駛者最為擔心和最難預防的,也是突發性交通事故發生的重要原因。據統計,在中國高速公路上發生的交通事故中70%是由于爆胎引起的,而在美國這一比例則高達80%。怎樣防止爆胎已成為安全駕駛的一個重要課題。據國家橡膠輪胎質量監督中心的專家分析,保持標準的車胎氣壓行駛和及時發現車胎漏氣是防止爆胎的關鍵。而TPMS(Tire Pressure Monitoring System)----汽車胎壓監視系統毫無疑問將是理想的工具。該系統主要用在汽車行駛時實時的對輪胎氣壓進行自動監測,對輪胎漏氣和低氣壓進行報警,以保障行車安全。
駕駛者從監視器上就可以清楚的知道每個輪胎的氣壓值,當輪胎的氣壓低于社定的氣壓下限時,監視器將自動報警。
駕駛者可以根據顯示數據及時地對輪胎進行加氣或放氣,發現滲漏及時處理,減少意外的發生。
總之,汽車的主動安全技術和被動安全技術對汽車行駛的安全性是非常重要的,除此之外,還有環境因數、人為因數等對車輛行駛的安全性也是很重要的。因此,我們必須做好各方面的要求和技術,以保證車輛的安全行駛。
參考文獻:
[1] 《汽車安全檢測技術》.夏長高、曾發林、丁華 編著.化學工業出版社.[2] 《現代汽車安全技術》.錢宇彬、胡寧 編著.上海交通大學出版社.[3] 《 汽車安全與保養》.崔俊杰、張保成、續彥芳編著.冶金工業出版社.[4] 《汽車電子控制裝置與應用》.王旭東主編.機械工業出版社.[5] 白原新, 魏學顏.汽車主動安全性概述[J].世界汽車 , 1996,(03).[6] 李振玲.提高主動安全性 減少汽車交通事故[J].世界汽車 , 1996,(03).[7] 朱孔源.建立更加智能化的汽車安全系統[J].輕型汽車技術 , 2006,(02).[8] 豪彥.汽車主動安全制動系統的發展[J].汽車與配件 , 2004,(17).
第三篇:web安全性論文DOC
關于WEB服務及其安全性 的討論
學院名稱 __________________ 專業名稱 __________________ 學生姓名 學 號 __ 指導教師
**年**月**日
目 錄
第一章
WEB的基本簡介……………………………………1 1.1 WEB的起源…………………………………………..1 1.2 WEB的特點……………………………………………2 1.3 WEB的工作原理……………………………………3 第二章
關于WEB服務器…………………………………..4 2.1 WEB服務器的種類……………………………….4 2.1.1 WEB簡介………………………………………..4 2.1.2.3,服務器.服務器制作教程[引用日期2014/8/5].4,更好維護服務器安全的幾大安全措施.萬戶網絡[2014/8/7].5,全媒體時代是大技術,大數據時代.億恩資訊網[引用日期2014/8/5].6,孔凡飛.基于WS Security的電子商務 Web服務安全的概要設計[D]杭州:浙江大學.7,高鵬.Web安全手冊[M].北京:清華大學出版社,1998:29-33.
第四篇:防火墻的安全性分析論文
軟件學院
專 科 生 畢 業
實 踐 報 告
題 目: 防火墻的安全性分析
專 業: 計算機網絡技術 年(班)級: 學 號: 姓 名: 指導教師: 完成日期: 2010 年 03 月 17 日
防火墻的安全性分析
摘要:本文從防火墻的定義、為什么使用防火墻、防火墻的概念、防火墻的功能等方面介紹了防火墻的基本信息;并從防火墻的安全技術分析、防火墻的基本類型、防火墻的工作原理、防火墻的配置、防火墻的安全措施這五個方面來對防火墻的安全性進行分析。
關鍵詞:黑客,防火墻,網絡安全
目 錄
引言............................................................................................4
一、防火墻簡介................................................................................4 1.1防火墻的概念..........................................................................4 1.2防火墻出現的背景和意義......................................................5 1.3 防火墻的發展史.....................................................................5 1.4 防火墻的功能.........................................................................6
二、防火墻的基本類型......................................................................7 2.1 包過濾型.................................................................................7 2.2 網絡地址轉化型—NAT..........................................................7 2.3 代理型......................................................................................8 2.4 監測型......................................................................................8
三、防火墻的工作原理.......................................................................8
3.1相關術語...................................................................................8
3.2 防火墻的防御機理..................................................................9
四、防火墻的配置.............................................................................10
五、防火墻的安全技術分析.............................................................11
六、防火墻的安全措施.......................................................................14
七、總結.............................................................................................14 致謝.....................................................................................................參考文獻.............................................................................................引 言
在計算機技術和網絡技術普遍應用的今天,人們已經不再用腦子去記很多的東西了,而主要記載在計算機上或與之相關機器上,很多時候我們只需記載一些密碼便可,也方便查詢。但是,網絡也是不安全的,很多時候我們的計算機中的信息都有被盜的可能,因此,需要確保我們信息系統安全。以前,我們只需設置一些復雜的密碼就可以,但是上網后,黑客們還是能從各種途徑盜取我們的重要信息,包括我們的密碼和各種敏感信息。因此,我們不只要經常給系統打補丁,還要有一個好的防火墻。有防火墻可以更好的防范黑客攻擊。它可以控制端口的連接,將一些危險的端口屏蔽,防止他人對我們計算機的配置信息進行掃描;可以防范一些有攻擊性的病毒。因此,給我們的計算機安裝強有力的防火墻是很有必要的。我們可以根據自己愛好或用途選擇防火墻,如天網防火墻,諾頓安全特警,瑞星防火墻等。這里,我將運用自己所學知識,先介紹防火墻出現的背景、意義,防火墻的發展史,防火墻的概念及其功能。然后從防火墻的類型、工作原理、配置、安全技術分析及其安全措施對防火墻的安全性進行分析。
一、防火墻簡介
1.1防火墻的概念
防火墻是汽車中一個部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎一旦著火,防火墻不但能保護乘客安全,而同時還能讓司機繼續控制引擎。
在電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。它可 4 通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。
在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
防火墻的優點:
(1)防火墻能強化安全策略。
(2)防火墻能有效地記錄Internet上的活動。
(3)防火墻限制暴露用戶點。防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。
(4)防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外。
1.2防火墻出現的背景和意義
隨著計算機的發展,人們越來越意識到網絡的重要性,通過網絡,分散在各處的計算機被網絡聯系在一起。作為網絡的組成部分,把眾多的計算機聯系在一起,組成一個局域網,在這個局域網中,可以在它們之間共享程序、文檔等各種資源;還可以通過網絡使多臺計算機共享同一硬件,如打印機、調制解調器等;同時我們也可以通過網絡使用計算機發送和接收傳真,方便快捷而且經濟。21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范,而且還 從一種專門的領域變成了無處不在。信息安全是國家發展所面臨的一個重要問題。發展安全產業是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。
1.3防火墻的發展史
第一代防火墻:
第一代防火墻技術幾乎與路由器同時出現,采用了包過濾(Packet filter)技術。
第二、三代防火墻:
1989年,貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。
第四代防火墻:
1992年,USC信息科學院的BobBraden開發出了基于動態包過濾(Dynamic packet filter)技術的第四代防火墻,后來演變為目前所說的狀態監視(Stateful inspection)技術。1994年,以色列的CheckPoint公司開發出了第一個采用這種技術的商業化的產品。第五代防火墻:
1998年,NAI公司推出了一種自適應代理(Adaptive proxy)技術,并在其產品Gauntlet Firewall for NT中得以實現,給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。
1.4 防火墻的功能
防火墻最基本的功能就是控制在計算機網絡中,不同信任程度區域間傳送的數據流。典型信任的區域包括互聯網(一個沒有信任的區域)和一個內部網絡(一個高信任的區域)。最終目標是提供受控連通性在不同水平的信任區域通過安全政策的運行和連通性模型之間根據最少特權原則。
例如:TCP/IP Port 135~139是 Microsoft Windows 的【網上鄰居】所使用的。如果計算機有使用【網上鄰居】的【共享文件夾】,又沒使用任何防火墻相關的防護措施的話,就等于把自己的【共享文件夾】公開到Internet,供不特定的任何人有機會瀏覽目錄內的文件。防火墻的主要功能有以下幾點:
①防火墻對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。通過過濾不安全的服務,防火墻可以極大地提高網絡安全和減少子網中主機的風險。
②防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻同時可以保護網絡免受基于路由的攻擊。
③通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如在網絡訪問時,一次密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻一身上。
如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。
⑤除了安全作用,防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN(虛擬專用網)。
二、防火墻的基本類型
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT型、代理型和監測型。
2.1包過濾型
網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況 7 下,能夠以較小的代價在一定程度上保證系統的安全。
2.2網絡地址轉化—NAT型
網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。
在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
2.3代理型
代理型防火墻也稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。
代理型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
2.4監測型
監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分 8 析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。
雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理。
三、防火墻的工作原理
3.1 相關術語
①網關
網關是在兩上設備之間提供轉發服務的系統。網關的范圍可以從互聯網應用程序如公共網關接口(CGI)到在兩臺主機間處理流量的防火墻網關,這個術語是非常常見的。②電路級網關
電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火墻要高兩層。另外,電路級網關還提供一個重要的安全功能:網絡地址轉移(NAT)將所有公司內部的IP地址映射到一個“安全”的IP地址,這個地址是由防火墻使用的。③應用級網關
應用級網關可以工作在OSI七層模型的任一層上,能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜一些的訪問控制,并做精細的注冊。通常是在特殊的服務器上安裝軟件來實現的。④包過濾
包過濾是處理網絡上基于packet-by-packet流量的設備。包過濾設備允許或阻止包,典型的實施方法是通過標準的路由器。在上文的防火墻類型中做過介紹。
⑤代理服務器
代理服務器代表內部客戶端與外部的服務器通信。代理服務器這個術語通常是指一個應用級的網關,雖然電路級網關也可作為代理服務器的一種。⑥網絡地址翻譯(NAT)網絡地址解釋是對Internet隱藏內部地址,防止內部地址公開。這一功能可以克服IP尋址方式的諸多限制,完善內部尋址模式。把未注冊IP地址映射成合法地址,就可以對Internet進行訪問。
3.2防火墻的防御機理
①包過濾型防火墻:數據包過濾技術是在網絡層對數據包進行選擇、過濾,選擇、過濾的標準是以網絡管理員事先設置的過濾邏輯(即訪問控制表)為依據的。防火墻通過檢查數據流中每個數據包的源地址、目的地址、所用端口號、協議狀態等信息,來確定是否允許該數據包通過。包過濾型防火墻的優點是效率比較高。包過濾(PacketFliter)通常安裝在路由器上,而且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包信息為基礎,對IP源地址、目標地址、封裝協議、端口號等進行篩選。包過濾在網絡層進行。
②應用級網關型防火墻:應用級網關是在網絡應用層上建立協議、實現過濾和轉發功能的。它針對特定的網絡應用服務協議,采用不同的數據過濾邏輯,并在過濾的同時對數據包進行必要的分析、登記和統計,形成報告,大大提高了網絡的安全性。
特別需要指出的是:應用級網關型防火墻和包過濾型防火墻有一個共同的特點,它們僅僅依靠特定的邏輯判定是否允許數據包通過。一旦滿足邏輯,則防火墻內外的計算機系統就建立起直接的聯系,防火墻外部的用戶便有可能直接了解防火墻內部的網絡結構和運行狀態,從而使非法訪問和攻擊容易得逞。
③代理服務型防火墻:代理服務也稱鏈路級網關(Circuit Level Gateways)或TCP通道(TCP Tunnels),也有人將它歸于應用級網關一類。它是針對包過濾和應用級網關技術存在的缺陷而引入的防火墻技術,其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的“鏈接”由代理服務器實現,外部計算機的網絡鏈路只能到達代理服務器,從而起到了隔離防火墻內外計算機系統的作用。此外,代理服務器也對過往的數據包進行分析、注冊登記,形成報告。當發現被攻擊跡象時,代理服務器會向網絡管理員發出警報。應 用級網關型和代理服務型防火墻大多是基于主機的,價格比較貴,但性能很好,其安裝和使用也比采用數據包過濾技術的防火墻復雜一些。
四、防火墻的配置
防火墻配置有三種:Dual-homed方式、Screened-host方式和Screened-subnet方式。
Dual-homed方式最簡單。Dual-homedGateway放置在兩個網絡之間,這個Dual-omedGateway又稱為bastionhost。這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網絡安全的自我防衛能力,而它往往是受“黑客”攻擊的首選目標,它自己一旦被攻破,整個網絡也就暴露了。
Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost,并且只接受來自Bastionhost的數據作為出去的數據。這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網絡就暴露了。
Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。在公共網絡和私有網絡之間構成了一個隔離網,稱之為“停火區”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火區”內。這種結構安全性好,只有當兩個安全單元被破壞后,網絡才被暴露,但是成本也很昂貴。
五、防火墻的安全技術分析
防火墻產品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。
防火墻技術是指網絡之間通過預定義的安全策略,對內外網通信強制實施訪問控制的安全應用措施。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并并監視網絡運行狀態。(1)只有正確選用、合理配置防火墻,才能有效發揮其安全防護作用
防火墻作為網絡安全的一種防護手段,自多種實現方式。建立合理的防護系統,配置有效的防火墻應遵循這樣四個基本步驟:
1、風險分析.
2、需求分析:
3、確定安全政策:
4、選擇準確的防護手段,并使之與安全政策保持一致。(2)應正確評估防火墻的失效狀態
評價防火墻性能如何及能否起到安全防護作用,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡,而且要看到一旦防火墻被攻破,它的狀態如何?
按級別來分,它應有這樣4種狀態:
1、未受傷害能夠繼續正常工作;
2、關閉并重新啟動,同時恢復到正常工作狀態;
3、關閉并禁止所有的數據通行;
4、關閉并允許所有的數據通行。
前兩種狀態比較理想,而第4種最不安全。但是許多防火墻由于沒有條件進行失效狀態測試和驗證,無法確定其失效狀態等級,因此網絡必然存在安全隱患。防火墻能否起到防護作用,最根本、最有效的證明方法是對其進行測試,甚至站在“黑客”的角度采用各種手段對防火墻進行攻擊。然而具體執行時難度較大,原因是:
1、防火墻性能測試目前還是一種很新的技術,可用的工具和軟件較少。
2、防火墻測試技術尚不先迸,與防火墻設計并非完全吻合,使得測試工作難以達到既定的效果。
3、選擇“誰”進行公正的測試也是一個問題。可見,防火墻的性能測試決不是一件簡單的事情,但這種測試又相當重要。(3)防火墻必須進行動態維護
防火墻安裝和投入使用后,并非萬事大吉。要想充分發揮它的安全防護作用,必須對它進行跟蹤和維護,商家一旦發現其產品存在安全漏洞,就會盡快發布補救產品,此時應盡快確認真偽(防止特洛伊木馬等病毒),并對防火墻軟件進行更新。
(4)非法攻擊防火墻的基本“招數”
1、通常情況下,有效的攻擊都是從相關的子網進行的。因為這些網址得到了防火墻的信賴,雖說成功與否尚取決于機遇等其他因素,但對攻擊者而言很值得一試。許多防火墻軟件無法識別數據包到底來自哪個網絡接口,因此攻擊者無 12 需表明進攻數據包的真正來源,只需偽裝IP地址,取得目標的信任,使其認為來自網絡內部即可。IP地址欺騙攻擊正是基于這類防火墻對IP地址缺乏識別和驗證的機制。
通常主機A與主機B的TCP連接(中間有或無防火墻)是通過主機A向主機B提出請求建立起來的,而其間A和B的確認僅僅根據由主機A產生并經主機B驗證的初始序列號ISN。
具體分三個步驟:
1.主機A產生它的ISN,傳送給主機B,請求建立連接;
2.B接收到來自A的帶有SYN標志的ISN后,將自己本身的ISN連同應答信息ACK一同返回給A;
3.A再將B傳送來的ISN及應答信息ACK返回給B。至此,正常情況,主機A與B的TCP連接就建立起來了。
IP地址欺騙攻擊的第一步是切斷可信賴主機.這樣可以使用TCP淹沒攻擊,使得信賴主機處于“自顧不暇”的忙碌狀態,相當于被切斷,這時目標主機會認為信賴主機出現了故障,只能發出無法建立連接的RST包而無暇顧及其他。
攻擊者最關心的是猜測目標主機的ISN。為此,可以利用SMTP的端口(25),通常它是開放的,郵件能夠通過這個端口,與目標主機打開一個TCP連接,因而得到它的ISN。在此有效期間,重復這一過程若干次,以便能夠猜測和確定ISN的產生和變化規律,這樣就可以使用被切斷的可信賴主機的IP地址向目標主機發出連接請求。
請求發出后,目標主機會認為它是TCP連接的請求者,從而給信賴主機發送響應(包括SYN),而信賴主機目前仍忙于處理Flood淹沒攻擊產生的“合法”請求,因此目標主機不能得到來自于信賴主機的響應。
現在攻擊者發出回答響應,并連同預測的目標主機的ISN一同發給目標主機。
隨著不斷地糾正預測的ISN,攻擊者最終會與目標主機建立一個會晤。通過這種方式,攻擊者以合法用戶的身份登錄到目標主機而不需進一步的確認。如果反復試驗使得目標主機能夠接收對網絡的ROOT登錄,那么就可以完全控制整個網絡。
歸納起來,防火墻安全防護面臨威脅的幾個主要原因有:①SOCK的錯誤配置;②不適當的安全政策;③強力攻擊;④允許匿名的FTP協議;⑤允許TFTP協議;⑥允許Rlogin命令;⑦允許X-Windows或OpenWindows;⑧端口映射;⑨可加載的NFS協議;⑩允許Win95/NT文件共享。
破壞防火墻的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火墻始終處于繁忙的狀態。防火墻過分的繁忙有時會導致它忘記履行安全防護的職能,處于失效狀態。
需要特別注意的是,防火墻也可能被內部攻擊。因為安裝了防火墻后,隨意訪問被嚴格禁止了,這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息,個別人會對防火墻不滿進而可能攻擊它、破壞它,期望回到從前的狀態。這里,攻擊的目標常常是防火墻或防火墻運行的操作系統,因此不僅涉及網絡安全,還涉及主機安全問題。
以上分析表明,防火墻的安全防護性能依賴的因素很多。防火墻并非萬能,它最多只能防護經過其本身的非法訪問和攻擊,而對不經防火墻的訪問和攻擊則無能為力。
六、防火墻的安全措施
各種防火墻的安全性能不盡相同,以下是一些一般防火墻的常用安全措施:
1.防電子欺騙術
防電子欺騙術功能是保證數據包的IP地址與網關接口相符,防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別,并向網絡管理員報警。
2.網絡地址轉移
地址轉移是對Internet隱藏內部地址,防止內部地址公開。這一功能可以克服IP尋址方式的諸多限制,完善內部尋址模式。把未注冊IP地址映射成合法地址,就可以對Internet進行訪問。3.開放式結構設計
開放式結構設計使得防火墻與相關應用程序和外部用戶數據庫的連接相當容易,典型的應用程序連接如財務軟件包、病毒掃描、登錄分析等。
七、總結
第五篇:網絡論文
論計算機網絡的安全性設計
摘要
我在一家證券公司信息技術部分工作,我公司在9798年建成了與各公司總部及營業網點的企業網絡,并已先后在企業網絡上建設了交易系統、辦公系統,并開通了互聯網應用。因將對安全要求不同、安全可信度不同的各種應用運行在同一網絡上,給黑客的攻擊、病毒的蔓延打開了方便之門,給我公司的網絡安全造成了很大的威脅。作為信息技術中心部門經理及項目負責人,我在資金投入不足的前提下,充分利用現有條件及成熟技術,對公司網絡進行了全面細致的規劃,使改造后的網絡安全級別大大提高。本文將介紹我在網絡安全性和保密性方面采取的一此方法和策略,主要包括網絡安全隔離、網絡邊界安全控制、交叉病毒防治、集中網絡安全管理等,同時分析了因投入資金有限,我公司網絡目前仍存在的一些問題或不足,并提出了一些改進辦法。正文
我在一家證券公司工作,公司在98年就建成了與各公司總部及營業網點的企業網絡,隨著公司業務的不斷拓展,公司先后建設了集中報盤系統、網上交易系統、OA、財務系統、總部監控系統等等,為了保證各業務正常開展,特別是為了確保證券交易業務的實時高效,公司已于2002年已經將中心至各營業部的通訊鏈路由初建時的主鏈路64K的DDN作為備鏈路33.3KPSTN,擴建成主鏈路2M光纜作為主鏈路和256K的DDN作為備鏈路,實現了通訊線路及關鍵網絡設備的冗余,較好地保證了公司業務的需要。并且隨著網上交易系統的建設和網上辦公的需要,公司企業網與互聯網之間建起了橋梁。改造前,應用系統在用戶認證及加密傳輸方面采取了相應措施。如集中交易在進行身份確認后信息采用了Blowfish 128位加密技術,網上交易運用了對稱加密和非對稱加密相結合的方法進行身從好為人師證和數據傳輸加密,但公司辦公系統、交易系統、互聯網應用之間沒有進行安全隔離,只在互聯網入口安裝軟件防火墻,給黑客的攻擊、病毒的蔓延打開了方便之門。
作為公司信息技術中心運保部經理,系統安全一直是困擾著我的話題,特別是隨著公司集中報盤系統、網上交易系統的建設,以及風外辦公需要,網絡安全系統的建設更顯得猶為迫切。但公司考慮到目前證券市場疲軟,競爭十分激烈,公司暫時不打算投入較大資金來建設安全系統。作為部門經理及項目負責人,我在投入較少資金的前提下,在公司可以容忍的風險級別和可以接受的成本之間作為取舍,充分利用現有的條件及成熟的技術,對公司網絡進行了全面細致的規劃,并且最大限度地發揮管理功效,盡可能全方位地提高公司網絡安全水平。在網絡安全性和保密性方面,我采用了以下技術和策略:1.將企業網劃分成交易網、辦公網、互聯網應用網,進行網絡隔離。2.在網絡邊界采取防火墻、存取控制、并口隔離等技術進行安全控制。3.運用多版本的防病毒軟件對系統交叉殺毒。4.制定公司網絡安全管理辦法,進行網絡安全集中管理。
一.網絡安全隔離
為了達到網絡互相不受影響,最好的辦法是將網絡進行隔離,網絡隔離分為物理隔離 邏輯隔離,我主要是從系統的重要程度即安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問或有控制的進行訪問。針對我公司的網絡系統的應用特點把公司證券交易系統、業務公司系統之間進行邏輯分離,劃分成交易子網和辦公子網,將互聯網應用與公司企業網之間進行物理隔離,形成獨立的互聯網應用子網。公司中心與各營業部之間建有兩套網絡,中心路由器是兩臺CISCO7206,營業部是兩臺CISCO2612,一條通訊鏈路是聯通2M光纜,一條是電信256K DDN,改造前兩套鏈路一主一備,為了充分利用網絡資源實現兩條鏈路的均衡負載和線路故障的無縫切換,子網的的劃分采用VLAN技術,并將中心端和營業商的路由器分別采用兩組虛擬地址的HSRP技術,一組地址對應交易子網,一組地址對應辦公網絡,形成兩個邏輯上獨立的網絡。改造后原來一機兩用(需要同時訪問兩個網絡信息)的工作站采用雙硬盤網絡隔離卡的方法,在確保隔離的前提下實現雙網數據安全交換。
一、網絡邊界安全控制
網絡安全的需求一方面要保護網絡不受破壞,另一方面要確保網絡服務的可用性。將網絡進行隔離后,為了能夠滿足網絡內的授權用戶對相關子網資源的訪問,保證各業務不受影響,在各子網之間采取了不同的存取策略。
(1)互聯網與交易子網之間:為了保證網上交易業務的順利進行,互聯網與交易子網之間建有通訊鏈路,為了保證交易網不受互聯網影響,在互聯網與事心的專線之間安裝了NETSCREEN委托防火墻,并進行了以下控制:a)只允許股民訪問網上交易相應地址的相應端口。B)只允許信息技術中心的維護地址PING、TELNET委托機和路由器。C)只允許行情發送機向行情主站上傳行情的端口。D)其它服務及端口全部禁止。并且在互聯網和交易網之間還采用了SSL并口隔離,進一步保證了交易網的安全。
(2)辦公子網與互聯網之間:采用東大NETEYE硬件防火墻,并進行了以下控制:a)允許中心上網的地址訪問互聯網的任何地址和任何端口。B)允許股民訪問網上交易備份地址8002端口。C)允許短信息訪問公司郵件110、25端口,訪問電信SP的8001端口。D)其它的都禁止。
三、病毒防治
網絡病毒往往令人防不勝防,盡管對網絡進行網絡隔離,但網絡資源互防以及人為原因,病毒防治依然不可掉以輕心。因此,采用適當的措施防治病毒,是進一步提高網絡安全的重要手段。我分別在不同子網上部署了能夠統一分發、集中管理的熊貓衛士網絡病毒軟件,同時購置單機版kv3000和瑞星防病毒軟件進行交叉殺毒;限制共享目錄及讀寫權限的使用;限制網上軟件的下載和禁用盜版軟件;軟盤數據和郵件先查毒后使用等等。
四.集中網絡安全管理
網絡安全的保障不能僅僅依靠安全設備,更重要的是要制定一個全方位的安全策略,在 全網范圍內實現統一集中的安全管理。在網絡安全改造完成后,我制訂了公司網絡安全管理辦法,主要措施如下:1)多人負責原則,每一項與安全有關的活動,都必須有兩人或多人在場,并且一人操作一人復核。2)任期有限原則,技術人員不定期地輪崗。3)職責分離原則,非本崗人員不得掌握用戶、密碼等關鍵信息。4)營業進行網絡改造方案必須經過中心網絡安全小組審批后方可實施。5)跨網互防須綁定IP及MAC地址,增加互防機器時須經過中心批準并進行存取控制設置后方可運行。6)及時升級系統軟件補丁,關閉不用的服務和端口等等。
保障網絡安全性與網絡服務效率永遠是一對矛盾。在計算機應用日益廣泛的今天,要想網絡系統安全可靠,勢必會增加許多控制措施和安全設備,從而會或多或少的影響使用效率和使用方便性。如,我在互聯網和交易網之間設置了防火墻的前提下再進行了SSL并口隔離后,網上交易股民訪問交易網的并發人數達到一定量時就會出現延時現象,為了保證股民交易及時快捷,我只好采用增加通訊機的辦法來消除交易延時問題。
在進行網絡改造后,我公司的網絡安全級別大大提高。但我知道安全永遠只是一個相對概念,隨著計算機技術不斷進步,有關網絡安全的討論也將是一個無休無止的話題。審視改造后的網絡系統,我認為盡管我們在internet的入口處部署了防火墻,有效阻檔了來自外部的攻擊,并且將網絡分成三個子網減少了各系統之間的影響,但在公司內部的防問控制以及入侵檢測等方面仍顯不足,如果將來公司投資允許,我將在以下幾方面加強:
1. 在中心與營業部之間建立防火墻,通過訪問控制防止通過內網的非法入侵。
2. 中心與營業部之間的通訊,采用通過IP層加密構建證券公司虛擬專用網(VPN),保 證證券公司總部與各營業部之間信息傳輸的機密性。
3.建立由入侵監測系統、網絡掃描系統、系統掃描系統、信息審計系統、集中身份識別系統等構成的安全控制中心,作為公司網絡監控預警系統。
論計算機網絡的安全性設計 摘要
在計算機與網絡技術飛速發展的今天,醫院信息系統的建設已經成為醫院現代化管理的重要標志,同時也是醫院管理水平的一種體現。尤其是醫療保險制度的改革,與醫院信息系統形成了相互促進的態勢,我國很多醫院都建立了自己的信息系統。由于行業性質的緣故,醫院信息系統必須7x24小時不間斷運轉,因此對網絡系統的安全性和可靠性有很高的要求。本文通過一個醫院信息系統項目,闡述了醫院計算機網絡的安全性設計方面的一些具體措施,并就保障網絡的安全性與提高網絡服務效率之間的關系,談了自己的一點體會。正文
我于2001年4月至2003年10月參加了某醫院的醫院信息系統的建設工作,在項目中,我擔任了系統分析與系統設計工作。醫院信息系統是指利用計算機軟硬件技術、網絡通訊技術等現代化手段,對醫院及其屬各部門對人流、物流、財流進行綜合管理,對在醫療活動各階段產生的數據進行采集、存貯、處理、提取、傳輸、匯總、加工生成各種信息,從而為醫院的整體運行提供全面的、自動化的管理及各種服務的信息系統。由于行業性質的緣故,醫院信息系統必須7x24小時不間斷運轉,因此對網絡系統的安全性和可靠性有很好的要求,在該項目的系統設計階段,我們就將網絡系統的安全性作為一個重要的部分考慮在內。由于該信息系統是建立在一個物理上與公眾網完全隔離的局域網基礎上的,所以我們并沒有過多地考慮防御來自外部入侵者的威脅方面的安全問題,我們認為該系統的安全核心—是保證信息系統的正常運行,二是保證數據的安全,也就是說該醫院網絡信息系統的安全可以分為信息系統安全和數據安全。下面就我們在這兩方面所采取的措施加以論述。信息系統安全
信息系統安全涉及網絡安全、服務器組的安全、供電安全、病毒防范等。
1.網絡安全
對于醫院的業務局域網,威脅網絡安全的主要因素有:網絡設計缺陷、網絡設備損壞、非法訪問等。經過充分調研,認真分析,結合該醫院的實際情況,我們設計了一個主干為三層路由千兆交換以太網的網絡方案。
我們采用具有三層路由功能的兩臺核心交換機NORTEL PASSORT 8600、兩臺具有三層路由功能的NORTEL ACCLAR 1150交換機和千兆級光纖組成網絡主干,邊沿交換機為BAYSTACK450。本方案我們采用SMLT(Split Multi-Link Trunking)+VRRP(Virtual Router Redundancy Protocol)技術。NORTEL公司MLT(Multi-Link Trunking)是一種允許多條物理鏈路模擬成一條邏輯鏈路的取合鏈路虛擬為一條邏輯上的傳輸線路進行數據傳輸,進而可以成倍地提高兩個交換機之間(或交換機與服務器之間)的數據傳輸帶寬,同時提供了傳輸鏈路的冗余備份。當構成虛擬傳輸鏈路的幾條物理鏈路有一條由于端口或傳輸介質本身失效時,不會影響數據的正常傳輸,所受到的影響僅僅是虛擬鏈路的傳輸帶寬。SMLT,分離的多鏈路取作主干,同MLT相比,SMLT在構成上,不再是兩個交換機之間。SMLT的一端是一個支持MLT的交換機,而另一端則是由兩個交換機通過IST(Inter Switch Trunk,是連接兩臺聚合交換機以實現信息共享,使兩臺聚合交換機能作為一臺邏輯交換機運轉的點對點鏈路)形成的一個邏輯上的交換機。MLT交換機會別與這兩上SMLT交換機連接,因此,SMLT在增加帶寬的同時,可以提供最高級別的可靠性—交換機級別的可靠性。兩個SMLT交換機不論是端口失效還是端口模板失效,甚至是交換機失效都不會影響數據的正常傳輸,避免了單點失效對網絡正常連通帶來的影響。同時,傳輸負載由兩個交換機來均衡完成,可以大幅度提高網絡主干的傳輸性能。SMLT體系結構由SMLT Aggregation Switch、IST(Inter Switch Trunk)和SMLT Client構成,其結構圖如下:
在沒有使用SMLT的情況下啟動虛擬路由冗余協議(VRRP),通常只有主交換機進行數據包的轉發,如果主交換機出了故障,備用交換機什么樣自動頂替主交換機,完成數據包的轉發工具;使用SMLT,使得VRRP的性能得到擴展,除了主交換機進行數據包的轉發外,備用交換機也進行數據包的轉發,主交換機和備用交換機互為備份并互相偵聽,這樣即可以實現流量的負載均衡,也可以實現故障恢復,避免單點失效。為了避免邊沿交換機出現單點換效,我們采用了堆疊技術,把若干臺BAYSTACK450用堆疊電纜堆疊起來,在堆疊的某些交換機上加裝光纖模塊,由這些光纖端口捆綁成一條邏輯鏈路上聯到網絡主干,這樣就算堆疊的某些交換機上損壞了,整個堆疊還可以正常工作。特別地,門診收款處和門診藥房是醫院的窗口單位,為了避免由于門診樓交換機堆疊中的某臺交換機出現了故障而導致門診收款系統和門診發藥系統癱瘓,我們把門診收款工作站和門診發藥站發散地接到堆疊中的七臺交換機。
在防止非法訪問方面,我們采用了密碼管理、權限設置、虛擬子網(VLAN)的劃分等措施。
2.服務器組的安全
服務器是全院計算機網絡的大腦和神經中樞,保證服務器可靠長期有效的運行是網絡信息系統安全的一個特別重要的問題。
由于本方案中的應用程序是采用安全性較高的三層體系統結構,所以服務器組包括域控制器、應用服務器和數據庫服務器。
域控制我們采用了兩臺穩定性較好的IBM xserials 230服務器,一臺做主域控制器,另一臺做備份域控制器,這樣即可以實現登陸驗證的負載均衡,又可以避免域控制器的單點失效問題。
應用服務器部分我們采用了六臺HP 380G3服務器和一臺F5 BIG-IP5000控制器。BIG-IP控制器是針對企業本網站或數據中心的一種產品。它能夠提供高可用性和智能負載平衡功能。六臺HP380G3服務器可以通過F5 BIG-IP5000控制器連接到核心交換機PASSPORT 8600,F5 BIG-IP5000控制器可以持續監視六臺HP 380G3服務器,以確保服務器運行正常,然后再自動將輸入的服務請求路由到六臺中可用性最高的服務器。這樣接,只要有一臺HP380G3服務器不出現故障,中間層應用程序便可以正常運行。這樣設計即可以實現中間層應用程序的負載均衡,同時在F5 BIG-IP5000控制器不出現故障的前提下,又避免了應用服務器的單點失效問題。
數據庫服務器部分我們采用了一臺穩定性較高、存儲性能較好的HP DL760 G2服務器、一臺HP DL580 G2服務器和一臺HP MSA1000光纖磁盤陣列柜。兩臺服務器分別通過光纖通道連接到磁盤陣列柜,組成存儲局域網(SAN)。本方案采用了微軟的群集技術,實現了Active/Passive雙機熱備份模式,HP DL760 G2做主數據庫服務器,HP DL580 G2做備份數據庫服務器,在主服務器發生故障的情況下,備份服務器將自動在30秒內將所有服務接管過來,從而保證了數據庫服務器的正常運行。在磁盤陣列柜,我們安裝了5塊146G的scsi服務器硬盤,其中4塊硬盤做RAID5,一塊硬盤做Hot spare,這樣可以保證陣列柜在兩塊硬盤發生故障時,系統還可以正常運行。
3.供電安全
由于醫院許多大型診療議器設備啟動時有瞬間高壓、高磁場等,會對計算機產生影響因此我們要求院方做到中心機房的電源專線專供,同時采用功率足夠大的ups.4.病毒防范
我們通過設置VLAN和要求院方安裝網絡版殺毒軟件來防范病毒。數據安全
我們采用數據備份來保證數據安全。
本方案我們采用冗余備份策略。1.利用Vertias Backup Exec 9.1軟件將數據備份到磁帶庫中。Veritas Backup Exec能為跨網絡的服務器和工作站提供快速可靠的備份和恢復能力。我們利用Veritas Backup Exec的作業管理功能設置備份定時任務,每天進行一次數據庫數據完全備份,每三個月進行一次系統的災難備份。災難備份能在數據庫服務器崩潰時,避免重裝系統,利用最新的數據備份使系統盡快憂愁到運行狀態。2.利用MS SQL SERVER 2000自身的備份功能,每天定時自動地進行一次數據完全備份,備份數據存放到另一臺數據備份服務器HP ML570中,同時在HP ML570中設置一定時任務,對每天的備份數據進行一次完整性檢查,這樣可以保證備份數據是完整、可用的。
通過數據備份,能使醫院在破壞數據的災難事件中造成的損失降到最低。
計算機網絡安全是一個系統工程,除了采用保障網絡安全的技術外,還要加強安全教育和制度管理,因此我們強烈要求院方重視對各級計算機操作人員進行計算機網絡安全的教育,并制定較為完善的計算機網絡管理制度,如嚴禁非操作人員使用電腦;計算機中心指定專職系統管理員掌握服務器密碼,每次更新或升級計算機軟件必須有兩人同時在場,并做好記錄等。
在整個項目方案中,我們用于保障計算機網絡系統安全的措施主要是設備的冗余、鏈路的冗余。采用冗余的措施,除了可以避免單點失效問題,還可以增加網絡帶寬和實現業務流量的負載均衡。因此保障計算機網絡的安全性不僅可以保證網絡服務的持續不中斷,還可以更好地提高網絡服務效率。
在整個項目完成至今一年,從系統運行的情況來看,整個方案是合理的,高可靠性的,院方也感到滿意。當然,方案中也有不足的地方,如F5 BIG-IP5000控制器存在單點失效問題;隨著院方的網上掛號等業務的開展,本方案中沒有考慮到內網與公眾網相連的安全措施等。
長春經濟技術開發區的網絡安全建設
一、系統安全目標
保證電子政務內部網絡、外部網絡的信息傳輸、信息存儲是安全的、保密的,確保電子政務網絡系統安全、可靠、平穩地運行,我們要實現如下系統安全目標:
1.建成開發區完整的網絡安全體系,并建立一套可行的網絡安全與網絡管理策略; 2.采用防火墻系統對開發區電子政務內、外網絡進行安全訪問控制;
3.通過網絡監控系統,全面監視和跟蹤進、出網絡的所有訪問行為,發現不安全的操作和黑客攻擊行為,及時告警和拒絕;
4.建設網絡定期安全掃描系統,檢測網絡安全漏洞,及時了解和掌握計算機當前或近期使用情況,減少被黑客利用的不安全因素;
5.建立病毒防范體系,防止網絡系統被病毒的侵害;
6.通過 CA 認證和 PKI 數據加密技術進行用戶身份識別,為電子政務系統提供安全保障;
7.對內、外網絡的信息發布平臺 WEB 進行保護,防止網站網頁被非法人員篡改,為領導決策提供安全的文件傳輸服務;
8.利用安全評估系統進行系統審計、敏感信息檢查,確保電子政務信息的安全;
9.進行重要數據庫系統的冗余備份,以備不測或災難時快速恢復網絡系統。
二、實施方案
1、物理安全體系
物理安全是整個系統安全的前提,是保護設備、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤或各種計算機犯罪行為導致的破壞的過程。具體實施方案包括機房、通訊線路、物理隔離卡、設備和電源的安全措施。
(1)機房環境安全
接地系統:對政務中心所在的開發大廈內所有計算機和各種地線系統采用統一的防雷處理,即建筑物內共地系統,保證設備安全,并能防止電磁信息泄漏。
防雷措施:開發區在樓頂安裝了避雷設施,即在主機房外部安裝了接閃器、引下線和接地裝置,吸引雷電流,并為泄放提供了一條低阻值通道。機房內部采取屏蔽、合理布線、過電壓保護等技術措施,以此達到防雷的目的。另外,還采取相應的防盜、防靜電、防火、防水等措施。
(2)通信線路安全
主要是對電源線和信號線采取加裝性能良好的濾波器功能,減小阻抗和導線間的交叉耦合,阻止傳導發射。對機房水管、暖氣管、金屬門采用各種電磁屏蔽措施,阻止輻射發生。
3、物理隔離卡
物理隔離卡系統從安全的角度出發,提供了一種安全的用戶訪問機制,終端用戶可以在多網物理隔離的條件下安全自由地訪問其中任意一個網絡。為如何解決開發區管委會領導班子、機關處室、企事業、駐區單位等既要接入電子政務內網又要接入電子政務外網的實際需求提供了一套經濟、高效、安全的解決方案。根據開發區各部門接入的政務網絡類別和數量,選擇雙網線隔離卡來實現相關功能設計。
4.設備、電源安全
主要是加強對網絡系統硬件設備的使用管理,強調堅持做好硬件設備(如交換機、路由器、主機、顯示器等)的日常維護和保養工作,定期檢查供電系統的各種保護裝置及地線是否正常。電源系統電壓的波動、浪涌電流和突然斷電等意外情況的發生可能引起計算機系統存儲信息的丟失、存儲設備的損壞等情況的發生,必須依照國家的相關標準配備。
2、防火墻
將防火墻部署在路由器與受保護的內部網絡之間,作為數據包進/出的唯一通道。過濾進、出網絡的數據,管理進、出網絡的訪問行為,封堵某些禁止的業務,記錄通過防火墻的信息內容和活動,對網絡攻擊進行檢測和告警。同時,通過設置 DMZ(Demilitarized Zone)實現政府對外網站及信箱與外部暢通的訪問。它具體適用范圍包括:長春經濟技術開發區電子政務門戶網站的出入口處;長春經濟技術開發區管委會下屬各部門的電子政務辦公網與電子政務公共網的連接處;長春經濟技術開發區電子政務系統的資源中心、數據中心、管理中心、CA中心的邊緣。
在電子政務門戶網站的出、入口處,資源數據中心與電子政務連接處,各配置兩臺千兆防火墻,并對防火墻作雙機熱備、負載均衡。防火墻組位于電子政務網核心路由器和與 INTERNET 連接的前級路由器設備之間,該組防火墻一方面實現電子政務辦公網訪問門戶網站,另一方面實現 INTERNET 用戶訪問門戶網站,同時實現電子政務公眾服務網與電子政務辦公網的隔離。即 INTERNET 用戶可以通過防火墻訪問門戶網站,但是卻不能訪問電子政務辦公網。
同時考慮到穩定可靠性的問題,對防火墻作雙機熱備。確保當主防火墻被宕機后,能在最短時間內啟動從防火墻,不影響網絡的正常運轉和安全。為確保門戶網站的服務器群高效、穩定工作,應對服務器群實現負載均衡。負載均衡一般用于提高服務器的整體處理能力,并提高可靠性,可用性,可維護性,最終目的是加快服務器的響應速度,從而防火墻位于資源數據中心與核心交換機之間,實現電子政務外網與提供其辦公應用服務器區隔離。考慮到二者之間的服務量、訪問量很大,防火墻負擔過重,會出現瓶頸問題,因此,需要對防火墻作負載均衡,以此來增加網絡安全性,降低或消除瓶頸,增強防火墻甚至整個網絡的可用性。
電子政務網絡管理中心及數據容災備份中心分別配置一臺千兆防火墻設備,不使用雙機備份。綜上所述,我們在開發區電子政務門戶網站的出入口、電子政務對外應用服務處、資源數據中心、網絡管理中心處配置了高性能的千兆防火墻,并采用了負載均衡設備,實施相應的安全策略控制,保證網絡安全,提高整體功能。
3、IDS 針對長春經濟技術開發區電子政務系統,入侵檢測系統設置用于如下幾方面:政府門戶網站區域:由于電子政務網絡系統的涉密性,黑客會滲透到職能部門,內部人員也很容易通過網絡安全防護不嚴的特點使黑客直接攻擊系統漏洞、利用漏洞竊取信息、假冒身份、阻塞服務等。在政府門戶網站區域配備入侵檢測系統,將有效發現、抵御來自外部的惡意攻擊行為。內部辦公網絡各節點的網絡出入口:為對內部用戶的網絡行為進行審計時提供詳盡信息,識別內部用戶的非法操作,對內部用戶起到一定的約束作用,降低了內部攻擊的影響。內部辦公網關鍵區域:如內部主要服務器區域、網絡管理中心等。
內部辦公網關鍵區域,是內部網絡資源、管理的核心區域。在這些區域配備入侵檢測系統,將有利于進行網絡異常行為分析,為內部辦公網的正常運行和管理提供有力保障。入侵檢測設備是作為防火墻的合理補充,為每個監測區域根據實際安裝一臺符合相應帶寬需求的入侵檢測設備。通過交換機配置,選擇合適的入侵檢測點進行網絡信號的監測。
4、安全漏洞掃描系統
在網絡管理中心處配置一臺基于網絡掃描為主,同時輔以主機和數據庫掃描的綜合性漏洞掃描與評估系統,可掃描路由器、交換機、防火墻等網絡設備以及 Windows、Unix 和 Linux 操作系統、MS SQL Server 和Oracle 數據庫。
5、防病毒系統
采取統一集中管理和分級管理相結合,除了在政務中心安裝中央控管防毒軟件外,在各應用服務器及用戶端都要安裝相應的防毒軟件。電子政務網絡病毒防護是一個重要而復雜的任務,必須將技術、工具和管理三者結合才行。
6、頁面防篡改
頁面防篡改(InforGuard,簡稱 iGuard)系統用來保護開發區電子政務網站不發送被篡改的頁面內容,支持網頁的自動發布、篡改檢測、警告和自動恢復,保證傳輸、鑒別、審計等各個環節的安全。iGuard 使用先進和可靠的Web 服務器核心內嵌技術,在部分操作系統上輔助以事件觸發式技術,從而完全實時地杜絕篡改后的網頁被訪問的可能性。
Web服務器和內容管理系統(CMS)都沿用原來的機器,需在其間增加一臺發布服務器。iGuard自動同步機制完全與內容管理系統無關,與其協同工作,內容管理系統本身無須變動。
發布服務器上具有與Web服務器上的網站文件完全相同的結構,任何文件/目錄的變化都會自動映射到Web服務器的相應位置上。網頁的合法變更(包括增加、修改、刪除、重命名)都在發布服務器上進行,由自動發布子系統將其同步到Web服務器上。無論任何情況,不允許直接變更Web服務器上的頁面文件。
在開發區電子政務網絡中,Iguard 設計安裝在兩臺機器上:Web 服務器和發布服務器。發布服務器位于內網中,有著較高的安全防護級別,其上運行自動發布程序和管理子系統。Web 服務器位于 DMZ 中,容易受到篡改攻擊,其上運行防篡改模塊和同步服務器程序。
7、數據備份與容災方案的設計
根據開發區的網絡結構和應用系統的特點,我們從資源數據中心備份容災和門戶網站的備份與容災二方面目標,以及 RAID 保護、冗余結構、數據備份、故障預警等多方種方式來考慮,設計采用本地容災和異地容災兩套系統。
在數據中心采用磁盤陣列為主要設備,采用 SAN 方式進行本地數據存儲,支持 NAS 對遠程數據進行異地備份。對門戶網站的備份與容災體現在 Web 服務器和防火墻的冗余備份與流量負載均衡等方面。
三、應用及結果分析
分別采取物理安全、防火墻、入侵檢測、安全漏洞掃描、CA認證、病毒防范、網頁防篡改和數據備份與容災等八項措施進行系統安全保護和防范。每種防范措施都從不同的角度,針對不同層的結構,采取相應的應對設備和策略,來阻止來自黑客、網絡間諜、信息戰敵對分子和恐怖分子的違法犯罪行為。
開發區電子政務外網統一出口,這一措施已經最大限度地防止了網上泄密和入侵攻擊。防火墻、入侵檢測、漏洞掃描等設施有效地制止了黑客侵擾和對敏感信息破壞、修改或竊取。通過CA認證體系,控制了外部人員非法進入電子政務系統。病毒防治和網頁防篡改系統及時阻止惡意移動代碼等行徑的造訪,數據備份與容災系統為天災人禍作最后的保障。
本方案在實際應用過程中,已起到很好的安全防范效果,電子政務系統得以安全運作。實踐證明,使用更高、更強、更好的網絡安全工具和技術,配以更有效的安全管理機制,才會收到更好的安全效果。由于電子政務網絡的復雜性,必然導致電子政務網絡安全防護的復雜性。
“三分技術,七分管理”是對網絡安全狀況的客觀描述。任何網絡僅在技術上是做不到徹底的安全,還需要建立一套科學、嚴密的網絡安全管理體系,將工具、技術和管理三種手段結合起來,才能杜絕和防止因非法訪問或惡意攻擊而造成損失。
四、管理政策及目標
網絡安全管理目標是:采取集中控制、分級管理的模式,建立由專人負責安全事件定期報告和檢查制度,從而在管理上確保全方位、多層次、快速有效的網絡安全防護。
實踐證明,只有通過建立科學、嚴密的安全管理體系,不斷完善管理行為,形成一個動態的安全過程,才能為電子政務網絡提供制度上的保證。
總之,本文對電子政務網絡信息安全的主要安全防范措施進行了深入細致地研究,確定了具有較高性價比和實用價值的相應的解決方案。
由于能力和精力有限,有一些防范措施研究的不夠透徹,也有一些電子政務的安全措施沒有探討和使用,如郵件安全、遠程訪問、敏感信息檢查等,有待在將來的工程設計中更周全地考慮和利用。
總之,電子政務外網是政府面向公眾和社會服務的重要窗口,要加強對電子政務外網的網絡安全建設和管理。對網絡的重要區域,要增設防火墻、入侵檢測關卡,或加大防火墻的火力。對重要部門實行特殊保護。同時,加強安全管理意識,健全制度和定期培訓。通過對電子政務網絡信息安全的安全防范措施和報告深入細致地研究,發現問題和漏洞,及時采取措施加以解決,使電子政務更有效地行使政府職能。
另外,在電子政務安全建設中,需要權衡安全、成本、效率三者的關系。實際上,絕對的安全是沒有的,電子政務系統也不是“越安全越好”。不同的電子政務系統,需要根據對信息安全的不同要求而配置安全方案和設施。一個門配幾把鎖取決于門內放的東西的重要程度,因為鎖越多,門的安全成本也就越高,而門的使用效率就越低。因此,必須根據電子政務系統的實際要求做到恰到好處。內外網的劃分
![下載網絡安全性論文[范文大全]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 