网络安全技术的应用案例范例(12篇)
网络安全技术的应用案例范文篇1
[关键词]中国电信IMS网络运维综合能力提升对策
中图分类号:TN919.8文献标识码:A文章编号:1009-914X(2015)13-0306-01
随着网络融合的深入推进,中国电信未来将拥有庞大复杂的IMS融合网络。当前IMS网络发展机遇与挑战并存,鉴于IMS与传统网络的巨大差异性,中国电信运营商应充分认清当前IMS网络运营问题和挑战,以便有的放矢地加以应对,更好地促进IMS网络运维能力、运营水平的整体提升。
一、中国电信IMS网络运营面临的问题
1.IMS技术层面问题
从IMS技术层面来看,IMS网络彻底IP化内核的技术特征,会增加网络和业务的运营风险与维护难度,给网络运营带来更大挑战。IMS技术对运营挑战主要包括以下方面:第一,IMS网络架构较软交换而言更复杂,运营难度增加。IMS网络涉及多个专业设备,且设备种类更多、网元间接口更复杂,如增加了IMS-SIPDiameter等协议,为故障定位、服务质量保障带来挑战。第二,IMS是基于全IP网内核的网络技术,带来新挑战。IMS网络实现了端到端信令与媒体全面扁平化,即除了媒体流实现扁平化外,网元间通过域名查找DNS做到端到端无连接状态的信令路由寻址,这种动念寻址链路较传统静态链而言,更完美,但也带来互通、安全、维护等风险,对网络方案提出更高的技术要求。第三,IMS网元容量大,接入客户类更多,设备故障对业务影响更大,这就要求故障发现更快,切换更快,但技术、设备代价也更大,因此对网络容灾安仝技术提出更高要求。第四,智能终端风暴的挑战。终端智能化、多元化、个性化趋势加快,各类软硬终端、智能手机层出不穷,由于IMS支持终端漫游,接入方式多样化,如EV-DO、Wi-Fi、ADSL及PON等,网络接入互通兼容性问题比较突出,故障定位难度加大,若终端通过非信任域IP接入也给核心网络引入一定风险,因此,对网络安全、运维能力提出新要求。第五,端到端的QoS服务能力不足。目前虽有规范,但技术还不够成熟,端到端QoS保证体系不完善,宽带业务和窄带业务在资费模式、业务模式,甚至商业模式上都有所不同,为新型宽带业务的运营带来挑战。
2.IMS网络层面问题
IMS网络运营时,在IMS应用模式、网络业务实现方案、技术规范方面尚待研究和优化;在运行质量指标、网络互通、业务实现、可靠性、接入维护、管理能力、支撑系统、维护队伍建设方面带来挑战。日前影响IMS网络运行质量的原因主要包括以下方面:一是IMS技术在网络组织、应用方案、运维功能上还需要通过运营不断验证、优化完善;网络运行质量指标体系有待研究建立与试验,目前部分统计能力还不具备,尤其是端对端的业务质量评估指标,为网络质革优化带来挑战;统一接入及新型智能终端带来新的维护能力需求、方式的挑战。二是网络跨网络、跨机型、跨域、跨平台的互通能力与稳定性有待提升,对网络服务质量带来影响;跨网络体制的融合业务实现方案有待研究优化,对业务开放带来挑战;设备网管系统能力有待规范统一,维护能力有待提升。三是配套支撑系统有待升级改造支持与IMS网络衔接,可能会影响业务受理、开放;维护队伍IMS维护技能与维护经验不足的挑战。
3.IMS安全运营层面问题
IMS安全运营是网络运营的重要基础。目前IMS组网方式、安全机制还不完善,例如,存在较多薄弱安全风险,S-CSCF间缺少容灾倒回能力,S-CSCF负荷均衡机制欠缺,网络中断SIP用户恢复耗时长,且依赖终端重注册,IMS还不具备对业务平台、DNS或关键网元的Bypass功能,用户账号密码存系统没加密,维护手段不足等。因此,需要提出IMS可靠性提升关键技术和运维管理手段措施,形成相关规范和指导方案,这就对运维监控、防瘫、应急维护能力提出更高要求。
二、中国电信IMS网络运维综合能力提升对策
1.IMS网络集约化运营能力的提升策略
目前中国电信IMS网络运营刚开始,急需尽早建立合理、规范的集约化运营体制,提升高效运营能力。具体包括:
(1)加强集约化运维体制的建设。通过有序推进IMS集约化运营试点工作,不断完善相关维护制度、维护方式,明确维护职责和分界面,研究形成测试规范、运行质量指标、日常维护计划、数据配置规范、应急预案等满足常规运营需要。
(2)强化集约化维护管理。对厂商统一网管能力提升,针对设备种类多的问题,需要制定相应网管规范,将配套数通设备、IT设备纳入厂商网管统一管理,同时实现标准化北向接口与综合网管系统的对接;系统性推进配套支撑系统与IMS衔接的改造升级,包括综合网管系统、信令监测系统、10000申诉处理系统、计费系统、业务受理支撑系统等。
(3)实现IMS网络与业务的统一。针对融合业务实现复杂的问题,要形成统一解决方案、配置方案;鉴于网络互通的复杂性,研究制定规范和指导原则,加强网络联调、业务互通、贯穿测试,在上线前尽量消除主要问题隐患。
(4)增强网络运维技术手段。如针对终端的深度分析管理平台、IP网业务流监测系统、业务质量自动拨测系统及时发现问题,控制影响范同,及早消除故障。
(5)规范集约化故障处理流程。对跨专业、跨网络、跨域、漫游时故障要及时发现、快速定位和应急疏通要求更高,应重视做好日常定时拨测、安全防护、例行维护、应急预案等。
(6)加强维护专家队伍建设,除了熟练掌握IMS等融合核心网络维护技术和经验技巧外,还应提升在IP网络、综合接入、新流程和融合网络业务等方面维护技能和经验。
2.IMS网络安全性与可靠性的提升策略
IMS网络安全性及可靠性的提升,可从组网建设、网络技术、维护管理等方面加以综合考虑。
(1)IMS容灾组网技术方案。组网时应根据IMS安全的薄弱环节,对核心网元的安全等级进行划分,对HSS、S/I/P-CSCF、DNS等重要性最高的A类网元选择Pool或1+1互备等组网方式,支持容灾数据实时或准实时同步;对MGCF、AGCF和大型BAC等B类网元采用双归属或负荷分担方式组网;域内采用有心跳检测的静态链路,当域内网元出现故障时,可快速告警和路由切换;域间通过软交换网、传统长途网做好动态链路失效的迂回保护。
(2)IMS快速旁路Bypass应急恢复技术。针对A类网元瘫痪,研究试验DNSBypass、ASBypass、HSSBypass、CCFBypass机制和维护规范,使得网元瘫痪后业务不受影响或影响最小,另外还应提升维护人员网络防瘫、应急恢复能力和维护水平。
(3)IP安全防护与漏洞封堵。针对业务开放与IP化系统的安全漏洞问题,应通过安全扫描等手段,发现和封堵系统漏洞,服务端口最小化;在网络边缘层配置防火墙功能阻隔非信任区域的风险。
(4)用户信息安全加密技术。账号密码等用户关键信息录入、传送、存储、维护全流程采用加密算法进行加密。
总之,IMS网络作为未来统一核心网络,其运营质量问题将关系整个电信网络、业务运营的质量,应引起足够重视,并充分研究IMS网络运营的关键问题,提出解决对策,实现IMS网络规范、高效、安全的运营目标。
参考文献
网络安全技术的应用案例范文篇2
关键词:移动通信;网络;应急保障;方案
1移动通信网络应急保障的现状
我国移动通信网络中,各大运营商的应急保障建设,已经进入到了初步成熟的阶段,虽然应急保障方案已经成型,但是仍旧存在技术方面的问题,限制也应急保障方案的发展,在优化方面表现出了需求。应急通信网络的现状,突发事件的应对方面,比较薄弱,而且基站、设备的建设上,缺乏高效的技术支持,导致应急保障方案,存在一定的运行缺陷,降低了其在移动通信网络中的应急能力,在网络应急中形成漏洞。
2移动通信网络应急保障方案的原则
2.1安全原则
安全原则的应用,有利于提高应急保障的安全性,避免破坏移动通信网络的运行状态[1]。应急保障方案优化时,其目的就是维护通信的正常、安全,预防发生风险问题,方案优化的过程中,要深化安全原则,禁止发生通信异常或安全故障。
2.2制度原则
应急保障方案优化时,遵循相关的制度要求,同样以移动通信网络的制度为基础,防止优化方面有违规、违法的操作,促使应急保障方案的优化措施,符合国家及行业的规范标准。
2.3责任原则
应急保障方案的优化工作中,按照责任原则的要求,规范好各级原则,在移动通信网络的应急优化内,统一领导层,合理分配级别责任,发挥应急保障内各级别的责任,落实应急保障,树立应急保障的责任意识,不能破坏应急保护的责任,完善移动通信网络的运行。
2.4快速原则
移动通信网络的作用明显,在应急保障方案优化时,提出快速原则,致力于快速恢复有故障的通信网络,注重应急保障方案启动、运用的效率,在方案优化后,提升应急反应的能力,迅速保护移动通信网络的运行,缩小移动通信网络的事故范围。
2.5预防原则
应急保障方案的优化,实行预防原则,注重应急通信网络的故障预防,促使应急保障方案,具备预防的能力,提前监测移动通信网络的运行状态,采取日常维护的方法,还要设计应急演练,充分体现预防原则在方案优化中的作用。
2.6优质原则
移动通信网络对应急保障方案的优化,有着很大的需求,方案优化时,推行优质原则,确保应急保障时,能够提供最优质的方案[2]。应急保障方案在灾区重建方面,最能体现出优质原则的重要性,其可最大化的恢复移动通信网络,保障运营的稳定性,积极提高灾区移动通信网络的运行水平。
3移动通信网络应急保障方案的优化
3.1管理优化
应急保障方案中的管理优化,是指方案能够根据移动通信网络的运行情况,管理好应急时的资源和人力。在管理优化时,采用应急保障网格化制度,强调优化中的创新因素,确保应急方案启动后,能够合理的分配各项资源[3]。例如:某地区的移动通信网络内,应急保障方案的管理优化中,专门成立了网格化的应急保障队伍,队伍模块下,规划了网络维护中心、工程建设中心、网络优化中心、行政服务中心等多个网格,目的是完善应急保障的环境,管理优化中,规划了响应出发条件,当移动通信网络触发响应条件时,就会启动应急保障方案,管理优化中,提出了工作制度,规范了应急保障方案的运用,利用工作制度、信息流转制度等,严格的指挥应急保障方案的实施,管理优化的作用下,体现应急保障方案的作用,满足移动通信网络的应急需求。
3.2业务优化
移动通信网络的工作量非常大,面临着与日俱增的网络话务量,很容易出现网络业务堵塞、失控的问题,在移动通信网络的业务运行方面,实行应急保障方案的优化,避免在通信业务上发生问题。
3.3技术优化
移动通信网络应急保障方案中的技术优化,是指在现行的技术基础上,引入先进的应急技术,促使应急保障方案,能够高效、灵活的处理移动通信网络中的问题。技术优化中,要充分考虑到地震、台风、雷电等因素,对移动通信网络的影响,重点选择技术优化的点,加固通信网络的建设。例如:应急保障方案的技术优化,采取体系化的建设方法,在方案中,融合技术与体系,找出移动通信网络中的重点系统、设备,做备份处理,及时监督移动通信网络中的突发事件,监控通信渠道,管控流量,或者运用无线集群的方法,完善应急保障方案的技术运行[4]。我国在技术优化方面,可以借鉴国外的应急保障方案内的技术,目的是强化应急保障方案,充分发挥其在移动通信网络中的作用,完善移动通信的运行环境,降低突发事故的破坏力度。
4结束语
应急保障方案的优化,结合移动通信网络的实际情况,在此基础上,完善应急方案的应用,增强应急方案的实践性,全面保护移动通信网络的运行,在移动通信故障下,快速恢复正常的运行方式。应急保障方案,是移动通信网络中不可缺少的部分,优化应急保障,促使其满足移动通信的根本需求。
参考文献
网络安全技术的应用案例范文1篇3
关键词:网络环境;档案信息;安全管理
在对档案进行管理的过程中,有很大一部分是要对一些秘密性的资料进行管理,这就对安全性提出了更高的要求,随着我国网络信息技术越来越发达,档案信息在进行管理的过程中需要积极的应对新机遇与新挑战。因为这项技术自身具有一定的复杂性,不仅包含软件的内容,还包括硬件方面的内容,时代在进步,网络信息技术也在不断发展,所以在这一过程中值得我们深化研究,解决网络环境下档案信息存在的不足之处,建立起一个完善的网络安全系统,这样可以帮助我国的档案信息朝着科学化的方向发展。希望通过本文的论述能够对今后档案的信息化管理带来一定的帮助。
1网络环境下档案信息管理的内涵
在对档案进行管理的过程中,过去经常是在档案馆中进行的,主要针对的是实体档案,并且为档案管理提供一些服务,由此可知,档案管理不单纯的是管理方面的工作,同时也是一种服务性的工作,档案信息管理更是一种政治方面的工作。在现代社会的发展进程中,档案信息的数量不断攀升,传统的档案管理方式不仅需要占据大量的空间,也不能满足数据准确性的要求,所以在进行档案信息管理的过程中,应该采用网络技术,这一技术的作用是让档案信息管理变得更加准确,并且促进工作效率的有效提升,让档案信息管理的成本得到有效的控制,使其朝着数字化与现代化的方向发展。
2网络环境下档案信息管理现状及存在的安全隐患
网络技术在对档案信息管理带来便利的同时,也会带来一定的安全隐患,首先就是网络环境下的不稳定因素,网络环境的主要作用是为网络信息技g提供一定的支持,随着网络信息技术的发展,这是一个不断创新与发展的过程,并且网络系统设备也需要加以进一步的完善,一旦网络环境出现漏洞,那么就会严重影响到档案信息管理的安全性,出现信息泄露的情况。我国在网络化发展的进程中起步较晚,有很多问题是不够成熟的,所以由网络环境带来的网络信息技术产生的安全隐患值得人们深思。
其次是在设备层面上带来的安全隐患,在对档案信息进行管理的过程中,主要采用的技术手段是网络技术,并且这是以软件与硬件为主要载体的,我国现阶段的网络技术还存在一定的局限性,并且缺少相应的自主研发能力以及生产能力,很多设备还需要从国外引进,这样就受到了严重的牵制,不利于我国的自主发展。另外在进行档案输入时,传输软件比较单一,即便这类软件经过了加密处理,但是在很多较强技术的应用下,网络漏洞无足遁形,对档案信息管理造成了严重的威胁,所以这一问题也是值得注意的。
再次,在管理方法上,我国最初应用网络信息技术对档案进行管理时,需要先对档案管理人员进行培训,在经过培训以后合格才能正式上岗,但是在网络技术的快速发展以后,其对生活的影响十分大,很多档案管理人员在管理时就会变得更加困难,在管理的过程中,档案管理办法不够健全也是一个十分明显的问题,对于档案信息管理的安全问题造成十分严重的影响,我国虽然颁布了相关规定,但是没有在具体实践中得以实施,所以就会网络环境下档案管理造成一定的影响。
3加强网络环境下档案信息管理安全的策略
3.1加强电子档案的管理
由于目前我国网络环境存在漏洞,为了提高网络环境下档案信息管理的安全性,需要加强对电子档案的管理。(1)需要对电子档案进行专项的同步式管理。在对相关技术文件进行整理的过程中需要加强对档案的存储和管理,在整理原件档案信息的过程中需要对原件进行妥善的保管。(2)需要对同步管理加强控制。制定相关的制度,加大审核与研究的力度。(3)需要加大建设资金的投入。只有在保障资金充足的情况下,提高技术水平,改善网络环境,才能有效的降低档案信息管理的危险性。
3.2健全档案信息管理的制度体系
由于档案信息管理具有政治性的一面,因此在构建档案信息管理安全方面,不仅需要档案馆(室)自身的努力,同时还需要政府的大力支持。在健全档案信息管理制度体系的过程中,既需要从内部进行建设,同时还需要外部建设的支持。为了提供档案室的工作效率,还需要对未来档案室工作开展的管理方案及管理政策进行研究和制定。从外部政府方面来说,一方面需要在已经制定的规章制度的基础上,出台具体的实施方案,增强规章制度的可操作性;另一方面需要结合网络信息技术平台自身的特点,制定具有针对性的条例制度,以规范我国网络信息的发展和应用。
3.3提高防范能力
在档案信息管理过程中,管理人员的素质起着重要的作用,管理人员是否具备安全意识对于网络安全的监控至关重要。因此,档案馆(室)需要加强对档案信息管理从业人员的培养,强化其安全意识,提高其防范能力。作为负责档案信息管理安全的人员,需要明确自身的工作职责,必须要时刻保持冷静,注意排查各种潜在的危险。另外,国家信息安全部门需要发挥自身的作用,协助档案馆(室)加强安保队伍的建设,加大对档案信息安全员的培训力度,以促进档案信息安全员个人素质和能力的不断提高。
3.4克服系统的不足
档案馆(室)内的档案不仅有常规性的文件资料,还有一些档案资料是秘密性质的。保护秘密资料不外泄,也是档案信息管理的重要内容之一。随着科技的不断发展,移动存储设备应运而生,如U盘、移动硬盘、手机等。一旦存储设备与档案信息网络系统产生接触,那么很容易造成档案信息的损毁或者泄漏。如果是普通的档案信息后果还能够计算,但是如果是秘密资料被泄漏,后果将不堪设想。因此,在档案信息管理的过程中一定要严格禁止移动存储设备与档案信息网络系统中的系统接触。
结束语
综上所述,档案信息管理在网络环境下变得更加健全与完善,但是随之而来所产生的安全隐患也是值得注意的,只有加强对这方面的关注程度,加强政府的领导,才能实现档案管理的发展。
参考文献
[1]盛杨华.浅谈新形势下的档案创新管理与信息安全[J].办公室业务,2015,(5).
网络安全技术的应用案例范文篇4
异构数据库网络平台的共享与构建
Word文档形式的数据、Excel形式的数据和单机版数据库,这些数据难以进入我们的现有管理网络,不能实现异机异地检索和利用。因此,我们必须构建网络平台,使其达到共享服务的目的。这就需要针对所有单机式数据库的建设以及所使用的软件工具开发的网络系统进行具体分析。例如:软件系统分析;字段检索分析;载体结构分析。继而找出共享接口,构建网络连接从而实现网络服务,达到利用的目的。对已形成的现有数据库信息,如果要想达到利用的目的,必须对其结构一一进行分析。在日常管理中,由于所从事的职业和职能不同,就产生了不同的载体形式和不同书写模式。如学校宣传部所形成的新闻报道,从载体而言,除常用的文字信息以外最主要的是图文信息,模式有一般书写形式和表格形式,怎样将这些图文信息长期或永久性的管理和利用是我们当前有待考虑的问题。表格模式由于载体的不同和写入模式的不同给网络平台的构建带来了难题,为了充分利用这些现有的数据库信息,达到高效快捷的服务目的,构建数据库网络平台是我们当前的一个非常重要的任务。同时,对于大型网络系统采取网络嵌入式来实现快速检索及远程检索也是可取的途径。对于档案馆(室)来说,网络平台的构建,使档案工作零距离服务成为现实,其目的就是要方便服务、提高效率、减少劳动,借助于各部门已有的数据信息和网络,实现共享服务与利用。这种资源共享是档案工作最大的资源开发,极大地弥补了档案工作内部人力的缺陷。这不仅是馆室外资源的利用,也是馆室外人才的利用,不仅效率得到了较大的提高,而且劳动强度得到较大的减少。也在人力得到解放的同时,工作的重心可放在合理的目标上,其实也是档案人员工作手段的改革、技能的改变、服务方向的拓展。
数据库系统维护与信息安全保护
档案人员要站在发展的高度,不仅要学会网络应用,而且要强化网络防范意识,制定网络防范措施,提出网络管理目标和要求。有技术条件的档案馆室要掌握安全防入侵技术,无条件的档案馆室也要利用专门的软件工具随时进行防入侵检测(防窃取、防篡改、防破坏),以保证系统的正常运行和数据的安全有效,最好的方法要有专人进行网络安全维护,及时保存数据,定时更新软件系统,跟踪检查。由于各种基于网络的数据库应用系统的产生,面向网络用户提供各种信息服务是档案工作者必走的发展途径。所以网络安全也是档案人员必备的防入侵意识和必掌握的防入侵手段。下面将计算机网络系统开放式环境面临的威胁的入侵方式提供给大家参考与借鉴,包括欺骗(Masquerade);重发(Replay);报文修改(Modifi-cationofmessage);拒绝服务(De-nyofservice)陷阱门(Trapdoor);特洛伊木马(Trojanhorse);攻击,如透纳攻击(TunnelingAttack)、应用软件攻击等。这些安全威胁是无时、无处不在的,因此必须采取有效的措施来保障系统的安全。从技术角度讲,网络系统层次的安全防范技术有很多种,大致可以分为防火墙、入侵检测、协作式入侵检测技术等。前国家档案馆、研究所所长邱晓威在2011年11月底于厦门讲座“档案信息网络的安全”中提到:“计算机信息系统安全应当包括实体安全、运行安全、信息安全和人的安全。实体安全是指保护计算机设备、设施(含网络)等免遭自然和人为破坏;运行安全包括:系统风险管理、审计跟踪、备份与恢复、应急等;信息安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏等,即确保信息的可认证性、保密性、完整性和不可否认性等;人的安全主要是指计算机使用人员的安全意识、法律意识、安全技能等。”针对安全的提出和对发生在国内外多种案例的讲解让我们触目惊心,眼界大开,也是安全意识的提升。
网络安全技术的应用案例范文
论文关键词:网络安全技术;防范;教学模式
学习网络安全技术不仅是为了让学生掌握网络安全的理论知识,增强学生的网络安全意识,提高学生的法律意识和职业素养,更重要的是树立他们正确的人生观和价值观,把他们培养成为高技能的应用型网络人才。
一、网络安全的探析
网络安全是指网络系统的硬件、软件和数据受到保护,不因偶然的或恶意的原因遭到破坏、更改和泄露,确保网络系统正常的工作,网络服务不中断,确保网络系统中流动和保存的数据具有可用性、完整性和保密性。网络的安全在技术上应综合考虑到防火墙技术、入侵检测技术、漏洞扫描技术等多个要素。不断提高防范病毒的措施,提高系统抵抗黑客入侵的能力,还要提高数据传输过程中的保密性,避免遭受非法窃取。因此,对网络安全问题的研究总是围绕着信息系统进行的,主要包括以下几个方面:
(一)internet开放带来的数据安全问题。伴随网络技术的普及,internet所具有的开放性、国际性和自由性以及各方面因素导致的网络安全问题,对信息安全也提出了更高的要求。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用,但网络的安全仍然存在很大隐患,主要可归结为以下几点:1.就网间安全而言,防火墙可以起到十分有效的安全屏障作用,它可以按照网络安全的需要设置相关的策略,对于进出网络的数据包进行严密的监视,可以杜绝绝大部分的来自外网的攻击,但是对于防范内网攻击,却难以发挥作用。2.对于针对网络应用层面的攻击、以及系统后门而言,其攻击数据包在端口及协议方面都和非网络攻击包十分相似,这些攻击包可以轻易的通过防火墙的检测,防火墙对于这类攻击是难以发现的。3.网络攻击是开放性网络中普遍难以应对的一个问题,网络中的攻击手段、方法、工具几乎每天都在更新,让网络用户难以应对。为修复系统中存在的安全隐患,系统程序员也在有针对性的对系统开发安全补丁,但这些工作往往都是滞后于网络攻击,往往是被黑客攻击后才能发现安全问题。旧的安全问题解决了,新的攻击问题可能随时出现。因此,应对开放性网络中的黑客攻击是重要的研究课题。
(二)网络安全不仅仅是对外网,而对内网的安全防护也是不可忽视的。据统计,来自内部的攻击呈现着极具上升的趋势。这是因为内网用户对网络结构和应用系统更加熟悉。以高校的校园网为例,网络用户人数众多,而学生的好奇心和渴望攻击成功的心理,使得他们把校园网当作网络攻击的试验场地,且其中不乏计算机应用高手(特别是计算机专业的学生),防火墙对其无法监控,这种来自内部不安全因素对网络的破坏力往往更大。2008年7月的旧金山的网络系统内部的侵害事件,2008年6月深圳“泄密门”等网络内部的安全事件向我们警示着内网安全防范的重要性。
(三)网络中硬件设备的安全可靠性问题。对计算机网络而言网络硬件设备在其中起到了重要的作用。比如:路由器,交换机,以及为网络用户提供多种应用服务的服务器等,这些设备的可用性、可靠性,以及设备自身的高安全保护能力都是网络安全中应该加以研究和认真对待的问题。
二、通过教学研究,提高学生对网络安全体系的管理与防范
由于网络技术水平和人为因素,以及计算机硬件的“缺陷”和软件的“漏洞”的原因,让我们所依赖的网络异常脆弱。在教学过程中,我们必须加强对网络安全体系管理与防范意识的传授,才能提高学生的管理和防范能力,常用的方法如下:
(一)防火墙是在内外网之间建立的一道牢固的安全屏障,用来加强网络之间访问控制,提供信息安全服务,实现网络和信息安全的网络互联设备。能防止不希望的、未授权的信息流出入被保护的网络,具有较强的抗攻击能力,是对黑客防范最严、安全性较强的一种方式,是保护内部网络安全的重要措施。防火墙可以控制对特殊站点的访问,还能防范一些木马程序,并监视internet安全和预警的端点,从而有效地防止外部入侵者的非法攻击行为。
(二)入侵检测是指对入侵行为的发觉。它通过对网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现是否有被攻击的迹象。如果把防火墙比作是网络门卫的话,入侵检测系统就是网络中不间断的摄像机。在网络中部署入侵检测系统可以有效地监控网络中的恶意攻击行为。
(三)网络病毒的防范。对于单独的计算机而言,可以使用单机版杀毒软件来应对病毒的问题,由于其各自为政,在应对网络中的计算机群时,则无法应对网络病毒的防杀要求,且在升级方面也很难做到协调一致。要有效地防范网络病毒,应从两方面着手:一是加强网络安全意识,有效控制和管理内网与外网之间的数据交换;二是选择使用网络版杀毒软件,定期更新病毒库,定时查杀病毒,对来历不明的文件在运行前进行查杀。保障网络系统时刻处于最佳的防病毒状态。
(四)对于网络中的email,web,ftp等典型的应用服务的监控。在这些服务器中应当采用,应用层的内容监控,对于其中的传输的内容加以分析,并对其中的不安全因素加以及时发现与处理,比如可以利用垃圾邮件处理系统对email的服务加以实施的监控,该系统能发现其中的不安全的因素,以及垃圾内容并能自动的进行处理,从而可以杜绝掉绝大部分来自邮件的病毒与攻击。
(五)主动发现系统漏洞是减少网络攻击的一个重要手段。在网络中单靠网络管理人员人为的去发现并修复漏洞显然是不够的。因此主动的分析网络中的重点安全区域,掌握其主要的安全薄弱环节,利用漏洞扫描系统主动的去发现漏洞是十分总要的一个手段。同时在网络中配以系统补丁自动更新系统,对于网络中有类似安全隐患的主机主动的为其打上系统补丁。事实证明上述两种机制的结合可以有效地减少因为系统漏洞所带来的问题。
(六)ip地址盗用与基于mac地址攻击的解决,这个可以在三层交换机或路由器中总将ip和mac地址进行绑定,对于进出网络设备的数据包进行检查,如果ip地址与mac地址相匹配则放行,否则将该数据包丢弃。
三、通过教学改革,把学生培养成高技能应用型的网络人才
网络安全技术是非常复杂,非常庞大的,对初学者来说,如果直接照本宣科,学生肯定会觉得网络安全技术太多太深,从而产生畏学情绪。为了提高学生的学习兴趣,让他们更好地掌握网络安全技术的知识,就要培养学生的创新能力,就必须改革教学方法,经过几年的教学实践证明,以下几种教学方法能弥补传统教学中的不足。
(一)案例教学法
案例教学法是指在教师的指导下,根据教学目的的要求,通过教学案例,将学习者引入到教学实践的情景中,教会他们分析问题和解决问题的方法,进而提高他们分析问题和解决问题的能力,从而培养他们的职业能力。我们在教学实践中深深感受到,在计算机网络安全技术教学中,引入案例教学,将抽象的、枯燥的网络安全的理论知识和精湛的、深邃的网络安全技术涵寓于具体的案例中,打破传统理论教学中教师要么照本宣科,要么泛泛而谈,以至于学生学起来枯燥无味,用起来糊里糊涂的局面,变复杂为简单,变被动为主动的学习过程,调动了学生的学习积极性,培养了学生的职业能力。在具体案例中,将古城墙的功能和作用与防火墙比较;选择学生接触最多的校园网作为典型的案例,向学生系统地讲授网络安全体系结构、安全策略的制定、安全技术的应用、安全工具的部署,以及安全服务防范体系的建立等理论,从而降低网络安全的复杂度,使学生对网络安全体系有比较全面、透彻的理解。
(二)多媒体教学法
多媒体教学是指在教学过程中,根据教学目标和教学对象的特点,通过教学设计,合理选择和运用现代教学媒体,以多媒体信息作用于学生,形成合理的教学过程结构,达到最优化的教学效果。它具有交互性、集成性、可控性等特点。可以把抽象的、难理解的知识点直观地展示和动态地模拟,充分表达教学内容。例如:pgp技术的操作步骤、防火墙的配置和使用等。通过多媒体教学,边讲边操作,做到声像并行、视听并行,使学生在有限课堂时间内获得更多的信息,从而激发了学生的学习兴趣,提高了教学效果。
(三)实践教学
根据高职院校学生的岗位能力和培养目标,实践教学是职业技术教育的中重之重。运用学校提供的网络实验室和网络设备,为学生搭建良好的计算机网络学习平台,突出实用性,做到“专机专用”。例如,将3台计算机搭建一个小型局域网,安装微软网络监视器,使用网络监视器来嗅探ftp会话,解释捕获的数据,确定使用的用户名和口令。从抽象的概念上升到理性的认识,使学生真正体会到网络安全的重要性。为了使学生全面了解计算机网络,可带领学生到电信公司或网络公司进行参观学习和实训,培养学生的岗位技能和工程意识。
网络安全技术的应用案例范文
关键词:VPN技术;电视台;应用状况
中图分类号:TP393.1文献标识码:A文章编号:1674-7712(2012)10-0040-01
一、引言
网络技术迅猛发展是社会发展的必然趋势,随之衍生的是诸多宽带多媒体技术,在多媒体技术的影响下,电信网络的业务既包括传统业务,又包括新型业务,都在宽带数据网中被传输,这无疑颠覆了人们的生活,使得各类多媒体业务推广到社会诸多领域。这样的形式下,多种宽带网络传输交换技术出现,采用这样的技术大多高带宽、业务发展局限小,具备极大的发展前景,VPN技术就是其中的一种,VPN技术在电视台也被广泛应用。
二、VPN技术概述
(一)VPN技术含义
VPN是VirtualPrivateNetwork的缩写,又可以称之为“虚拟专用网络”,它是一种虚拟化的网络,是在公用网络中构建,被专门用来给某些企业所使用。
对于VPN技术进行研究分析可知,成功且高效的VPN一般具有如下特点:
1.专用性与安全性。VPN技术采用加密技术手段,对利用隧道所传输的数据予以加密保护,这实现了数据的指定发送与接收,从而实现数据的专用性与安全性。2.不同质量保证。从服务质量等级角度而言,VPN可以根据不同用户的需求,提供不同等级的服务质量。以移动办公用户为例,需要VPN保证连接的广泛性与覆盖性;以专线网络为例,因为拥有较多的分支机构,所以必须保证服务的稳定性;以电视台为例,因为对视频的码率传输有一定的要求,所以必须提供足够的带宽,以解决网络时延及误码的问题。3.可实现有效管理。从VPN管理角度而言,虽然服务提供商可以实现对次要网络任务的管理,但是VPN还是要求企业将其网络管理功能予以延伸的,实现对局域网、公用网,甚至是对客户、合作伙伴相关网络的有效管理。不能缺少完善的VPN管理系统,以此来实现对网络风险的规避,充分发挥VPN扩展性、经济性、可靠性的优势。4.可扩充性与灵活性。电视台、视频网站等的媒介对语音、图像、数据等的传输都有特殊的要求,而VPN能够充分满足这些要求,实现对网络资源的灵活配置,也能够满足其增加带宽的需求,这就是VPN的可扩充性与灵活性。
二、VPN技术在电视台的应用
现阶段,电视事业发展迅速,很多电视台具备不同频道,每个频道又具备新闻制作网、办公网、媒资系统等诸多系统,因为不能实现各系统间的协作,这增加了重复录入与播出的麻烦,不利于实现资源共享,也提高了投资成本。为了有效规避上述不利现象,必须充分利用VPN技术,唯有如此,才能更好地推动电视台各项工作的有序进行。
(一)成功VPN方案的要求
总的来说,一个成功的VPN方案应符合以下几项要求:
1.保证地址安全。成功的VPN方案,会给予用户专用网络的地址,并具备相应的措施,保证网络地址的安全性。2.需要用户验证。成功的VPN方案,必然具备验证用户身份的功能,那些经过授权的用户,才可以去访问VPN系统。除此之外,还可以设置计费与审计功能,通过运用这些功能,就可以清晰访问VPN时间及内容。3.对数据进行加密。因为VPN方案中采用了加密技术手段,对利用隧道所传输的数据予以加密保护,这实现了数据的指定发送与接收,未经授权的用户是无法接收这些数据的,从而实现数据的专用性与安全性。4.实行密钥管理。成功的VPN方案,还能够实行密钥管理,实现对客户端与服务器的维护。5.能支持多协议。在公用网络中,实施多种协议,成功的VPN方案能够对这些协议予以支持,如IP与IPX等,不但如此,成功的VPN方案还能够充分利用互联网的优势。
从服务类型来看,VPN主要有3种类型,即企业内部虚拟网、远程访问虚拟网、企业扩展虚拟网。
(二)电视台对VPN技术的应用
1.IPSecVPN技术。IPSec是对TnternetProtocolSecurity的缩写,又可以称之为网际协议安全。它范围广泛且具有开放性,是一个标准的框架结构。IPSec是一种安全模式,这种协议模式的设立,建立在对数据传输、网络通信不安全的假设基础之上,因为有了IPSec协议的存在,使数据传输经过加密流程,能够为网络数据传输提供透明安全保障,有效防范TCP/IP通信不受窃听或篡改的侵害,对于网络攻击也能有所防范。
电视台运用IPSecVPN技术,一般都是用在人员较为集中的台外办公地点。举例说明,采用互联的方式,将台外办公地点与电视台网络中心的两台M5400相联,再采用相应的管理功能,实现对VPN系统的管理,实现两台M5400的顺利运行,对于电视台网络中心的VPN而言,台外办公地点VPN的一个分支系统。因为台外办公人员自身职责,他们自身具备不同的权限,在自身权限所允许的范围内,通过访问局域网,可以实现对电视台内部网络资源的访问。
2.SSLVPN技术。SSLVPN是SecureSocketsLayer的缩写,又可以称为安全套接层协议。基于在外办公人员对单位内部网络资源的需求,SSLVPN技术得以迅猛发展,这是一项虚拟的专用技术,是适用于应用层的,SSLVPN技术的存在,为数据通讯的安全提供了有利的支持。
对于电视台那些在外办公又地点分散的办公人员,可以采取SSLVPN技术,通过对VPN系统管理功能的运用,实现对内网用户的有效管理,可以根据部门及职责的不同,实现不同工作组的划分与设置,给予不同工作组相应的权限。除此之外,还必须实施一定的安全策略,如微机硬件特征码认证、手机短信认证、邮件认证等,这样能够更为有效地保障电视台内网诸多系统的安全。如在电视台VPN系统的网址,可以设置电视台内部网的链接,这更方便对内部网资源的利用,有利于电视台工作效率的提升。
三、小结
在信息化建设日益发展的今天,VPN技术以其高效率、低成本的优点而被广为采用,且使用的效果良好,借着网络技术的推动作用,VPN技术具备着更大的发展前景。很多电视台顺应信息化建设的趋势,采用了VPN技术,并不断予以完善,新的业务与管理方式被启动,这必将推动电视事业的更大发展。
参考文献:
[1]程思,程家兴.VPN中的隧道技术研究[J].计算机技术与发展,2010,02
网络安全技术的应用案例范文1篇7
关键词:校园网;VPN(虚拟专用网);网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6689-04
ApplicationofVPNinExtendingCoverageofCampusNetwork
WANGYi-hong,LIUYi
(ShanghaiMedicalWorkers'College,Shanghai200237,China)
Abstract:IntroducingthecharacteristicsofVirtualPrivateNetwork,putsforwardaVPNbasednetworkingschemeofcampusnetworkaccordingtothedemandsofsecurelyinternetworkingandremoteaccesstocampusnetwork.Bytestingandanalyzingtheimplementresults,thefeasibilityandavailabilityoftheschemeareproved.
Keywords:campusnetwork;VPN;networksafety
近年来我校教育规模不断扩大,在重新整合、资源共享、联合办学的发展过程中形成了梅陇、市北、市东、崇明、松江的多校区合作办学模式。但是地理位置上的分散性,使得原先相互独立的校园网拓扑结构不能满足要求:如采用专线连接,将会增加网络运行的成本;如将校区间交换的数据直接通过Internet传送,数据的安全性又很难得到保证。
所以需要利用相应的技术手段实现安全可靠的校园网互连,实现统一管理和对资源的充分利用。此外,利用网络资源还能丰富办学手段,实现和开展远程教学和远程办公,提供个性化的学习支持服务和信息服务,也是学校网络建设发展的趋势。虚拟专用网(VirtualPrivateNetwork)正是满足这种要求的解决方案。
1VPN概念
虚拟专用网(VirtualPrivateNetwork,VPN)是在Internet中建立一条虚拟的专用通道,利用Internet来传输内部数据的虚拟专用网络。VPN技术采用隧道技术、数据加密技术和身份认证技术,从而保证构建于公共网络之上的虚拟内部网络的有效连通性和安全性[1]。如图1所示,虽然VPN通讯建立在公共互联网络的基础上,但用户在使用VPN时感觉如同在使用局域网。
1)VPN技术具有以下特点[2-3]:
(1)低成本。VPN利用了现有的线路,在其上构建了虚拟的通道,节省了建设专线的高昂造价及租金。
(2)易扩展。如果采用专线连接,当物理节点变化时,网络结构趋于复杂,费用增加。而VPN技术是通过虚拟通道来实现的。
(3)保证安全。VPN技术利用可靠的加密认证技术,在Internet上建立隧道,能够保证通信数据的机密性和完整性,保证信息不被泄露或暴露给未授权的组织或个人。
2基于校园网的VPN应用方案
根据校园网对安全互联、远程访问的需求,提出基于校园网的虚拟专用网应用方案。对方案的实现结果进行测试和分析,验证方案的可行性。
2.1需求分析
1)师生在校外无法访问校内资源
2)校区与校区之间的内部网络无法互访
解决方案:利用VPN技术建立远程用户到校园网的安全连接,数据通过公共Internet上的VPN隧道加密传输。并通过对用户身份的认证以及特定资源的访问控制,保证校园网的内部资源不被泄漏和非法访问。
2.2PPTPVPN解决方案
2.2.1什么是PPTPVPN
建立VPN隧道有多种方式,包括L2TP、IPSEC、PPTP、SSL等隧道,其中PPTP是VPN隧道中部署最为简单、方便的实现方式之一,Windows系统默认自带PPTPVPN客户端,只需几个步骤可以轻松完成VPN的设定[4-5]。
2.2.2应用环境说明
学校(VPN服务端)
架设VPN服务器,允许远程用户拨入,外网IP为211.x.x.x。
远程用户(VPN客户端)
经常需要和学校交换数据,通过VPN拨号到总校。拨入成功后虚拟通道被建立,获得虚拟IP:172.16.0.101。由VPN通道进入学校内部局域网,上传和下载文档。
出差人员(VPN客户端)
需要和学校交换数据时,通过VPN拨号到学校。拨入成功后虚拟通道被建立,获得虚拟IP:172.16.0.100。由VPN通道进入总部内部局域网,上传和下载文档,或和其他拨入点(如办事处或其他出差人员)相互通讯。
2.2.3PPTP_VPN服务端的设定
目前市场上有许多的防火墙附带VPN功能,本文以SHARETECHAW-5100为例,介绍PPTP_VPN的部署和实施。
1)激活PPTPVPN功能,设置客户端IP范围
进入“管制条例选项”->“VPN”->“PPTP服务器”->“客户端IP范围”,如图3。
VPN网络上使用的是内部保留IP地址,一般用192.168.x.x或172.16.x.x或10.X.X.X,这里我们使用172.16.0.X,可根据实际情况自行调整。VPN网络地址不能和本地局域网地址重复,也尽量不要和远程拨入端的局域网地址重复。为了防止冲突,建议把VPN网络地址设为比较特殊,比如172.16.100.X或192.168.123.X等。
2)新增PPTP服务器
激活PPTP后,按需添加PPTP服务器。比如允许使用者shzy可以访问学校所有资源,而只允许使用者guest访问部分资源,就需要设置多个PPTP服务器供不同用户使用。
进入“管制条例选项”->“VPN”->“PPTP服务器”->“新增PPTP服务器”,如图4。
使用者名称:shzy;密码:******。
如果需要让某个帐户拨号后始终获得一个固定的VPNIP,选择“使用特定IP地址”项输入想要分配的IP即可,比如这里可以是172.16.0.110。
3)添加VPN管制条例
设置完PPTP服务器后,需要添加管制条例。每一个封包在通过SHARETECHAW-5100时,需要逐条检查是否符合管制条例。当封包的条件符合某条管制条例时,就会按该管制条例的设定来通过SHARETECHAW-5100,如封包无法符合任何管制条例时,该封包就会被拦截。
进入“管制条例”->“内部至外部”->“新增”,如图5。
进入“管制条例”->“外部至内部”->“新增”,如图6。
设置好后,PPTPVPN的服务器端就可以运作了。另外,如需对VPN接入用户的访问权限做一定限制的话,可以在“来源网络地址”和“目的网络地址”进行设置,通过管制条例对来源网络地址进行管制,判断是否可以访问目的网络地址,这里不做详细说明。
2.2.4PPTPVPN客户端设置(Windows)[6-7]
Windows2000/XP/2003/Vista自带有PPTP_VPN的拨号客户端,无需另外安装软件。以WindowsXP为例,设置步骤如下:
1)启动新建连接向导
依次点击“开始”->“设置”->“网络连接”->“新建连接向导”即可。或右键单击桌面上的“网上邻居”图标,选择“属性”,在“向导”栏双击“新建连接向导”。
2)选择“连接到我的工作场所的网络”
3)选择“虚拟专用网络连接”
4)设置连接名pptp_vpn
5)VPN服务器端地址211.*.*.*
6)完成连接向导
7)设置拨号连接参数
打开建立的拨号连接,点击“属性”进入连接属性设置;选择“网络”选项卡->“Internet协议(TCP/IP)”;点击“属性”进入TCP/IP协议设置。
一般情况下,请去掉“在远程网络上使用默认网关”前面的勾,否则VPN拨号后将无法上网(访问Internet)。
8)开始VPN拨号
点击“连接”进行VPN拨号,用户名是shzy,密码是******。拨号成功后,点击“连接成功”的提示图标,查看详细的连接信息:可以看到拨号后本地VPN连接的IP:172.16.0.100,VPN服务器IP为172.16.0.1。
2.2.5测试VPN连接
1)在“开始”->“运行”输入cmd进入DOS命令提示符,使用ping测试VPN通道是否正常。
2)测试连接文件交换区(ip地址:172.16.0.11)
开始――>运行――>输入ip地址,比如文件交换区\\172.16.0.11
3VPN性能测试
以SHARETECHAW-5100为例,它的VPN技术参数如表1所示。
模拟学校VPN可能的使用情况,对VPN进行上传下载速度和网络延时的测试(学校租用科技网10M光纤),如表2所示。
测试是在网络空闲时进行的,传输速度基本上达到理想数值。在日常工作时,受各方面的因素影响,速度可能会有所下降,但能够满足校外人员利用VPN访问校园网的需要。
4使用PPTPVPN连接校区
在两个校区网络之间建立VPN连接,策略上允许两地的所有用户互访,像是一个网络,可以任意访问这两个校区网络的资源。因为并不需要让所有用户都能够访问两个网络,所以这样做即增加了VPN设备的负荷,也不便于VPN用户的管理。这里介绍一下方法,仅供参考:同样以SHARETECHAW-5100为例,主校区的AW-5100作为PPTP服务器端,分校区的AW-5100作为PPTP客户端。
4.1服务器端设置
同3.2.3,激活PPTP服务器,设置好客户端IP地址范围并新增PPTP服务器,设置PPTP服务器的使用者名称“PPTP”和密码“******”
4.2客户端设置
在分校区的设备上新增PPTP客户端,输入使用者名称、密码和服务器IP地址,如图11。
完成PPTPVPN联机,效果如图12。
设置好后,分校区的用户就可以访问总校区的资源了。想让总校区的用户也可以访问分校区,只需在分校区的设备上新增一个服务器端,在总校区的设备上新增一个客户端,两个校区就可以互相访问了。
5结论
VPN技术使得校园网内部的重要信息在有安全保证的情况下传输,如同建立了专用的网络连接,提高了校园网的可管理性、灵活性和安全性。
面对多校区合作办学模式带来的复杂的网络现状,网络建设和资源共享的问题将会日益突出。利用VPN技术有效组织和开发网上资源,以网络应用推动网络扩展,以资源共享促进信息资源建设,实现各校区之间网络建设统一规划和信息资源共享,必将成为今后信息化建设和发展的方向。
参考文献:
[1]王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
[2]JeffreyRichter,Windows核心编程[M].机械工业出版社,2000.
[3]JimOhlund,AnthonyJones,JamesOhlund.NetworkProgrammingforMicrosoftWindows[M].北京:清华大学出版社,2002,10.
[4]高鸿斌.VPN在多校区校园网络建设中的应用[J].中国科技信息,2007,20.
[5]王常亮.论高职院校如何推进校园信息化[J].职业教育研究,2005,9.
网络安全技术的应用案例范文篇8
一、计算机网络技术的发展是信息化水平的重要标志
凡是将分布在不同地理位置上具有独立性能的多台计算机、终端及其附属设备,用通信设备和通信线路连接起来,再配有相应的网络软件,以实现计算机资源共享的系统,叫做计算机网络。计算机网络实质上是一项社会信息系统工程,它把计算机和通讯结合起来,是涉及计算机硬软件、通信、信息处理和信息工程学科的综合性学科,主要提供共享设备资源、共享数据和程序及网络用户的通信和合作等三种服务。今天,就一个国家而言,全国性网络的建立是衡量一个国家的国力、科技水平和社会信息化的重要标志。就一个部门而言,网络化应用程度的高低是该部门计算机技术和现代化水平的重要标志。发达国家的政府从战略的高度来考虑,都十分重视计算机网络的发展,正在由政府出面组织、规划、投资,并采取一切优惠政策,鼓励扶持发展计算机、计算机网络技术和产品,建立所谓的“信息高速公路”,进行再一次的工业革命,作为增强国力的技术保证。例如:美国不惜巨资,投入大量人力、物力建设信息高速公路,具体发展计划包括四方面的内容:高性能计算机系统的开发,高级软件技术和算法的开发,计算机领域的基础研究和人才开发,全美研究教育网的开发等。日本从1993年财政年度开始3年内投入500亿日元,建立联结日本各研究机构的超高信息网,并拟于2015年将光纤送到每个企业与家庭。欧共体政府计划投资330亿法郎,企业投资4100亿法郎,10年内共将投资9000亿法郎,建设遍布欧洲的宽带信息通道。新加坡将投资20亿新元(约合12.5亿美元),建成16000km的光缆。我国经济基础还较薄弱,不可能像发达国家那样投入巨大的财力与资金,但是为了加速国民经济持续发展,有关部门考虑从我国国情出发,在投资、贷款、建设方面制订出切实的扶持政策。目前我国正在实施“三金工程”,其中的“金桥工程”,就是实施和建立中国的国家信息高速公路。为了扩大网络技术的应用,正加紧建设以光缆为主体、数字微波和卫星为辅助手段的全国数字干线网络。国内已有22条光缆干线,公用数据网已覆盖全国220个县市以上,总容量达15万个端口。信息网络工程正在如火如茶地发展,随着1997年国内网络建设向深度和广度的发展,网络信息系统工程技术将更好地发挥出应有的作用。
计算机网络技术的应用也给档案现代化事业的发展带来了勃勃生机。我国档案管理自动化已经走过了十几年的历程,一批优秀的档案计算机管理系统被推广应用,在档案工作中起着越来越重要的作用。近年来现有的一些系统,不仅推出单机版,同时开发出网络版,网络技术已经开始应用到档案管理系统中。例如,在档案馆内部建立局域网,可以连接本单位各科室,实现档案馆办公自动化;机关及企事业单位建立办公事务和档案管理网络,可以实现办公行文管理、办公事务管理和档案管理各环节的自动化及文、档一体化,以便协调全局性工作,共享网络信息;在各档案系统之间实现远程网,可以达到网络资源的共享,进一步提高档案现代化管理水平和档案利用的效率。可以断言,网络技术的应用将标志着档案自动化管理的一个新的里程碑。
二、__市档案馆网络信息管理系统
__市档案馆网络化计算机管理系统自1996年3月正式开始建设,计划分三个阶段完成。第一阶段目标为建设档案馆网络,主要解决档案检索、编目、库房管理、日常统计等需要,目前已基本完成。第二阶段目标为建设档案局网络,主要解决局业务处室及局馆综合部门的办公自动化的需要,目前正在建设中。第三阶段目标为建设包括区县档案馆、市直单位在内的全市档案系统计算机网络,主要解决目录中心及办公自动化的需要,目前正在进行试验。
__市档案馆为一地面15层的建筑,面积2万平米。土建时就已基本完成了计算机综合布线,后来又进行了大规模的改造,共有110个信息点分布在包括库房在内的所有房间。网络介质全部采用第五类非屏蔽双绞线(utp一5),点对点的通讯带宽可达100mbps(每秒钟100mb)。网络配置采用星型结构的快速交换以大网,网络中连接线缆的扩展设备——集线器(hub)采用一部switchhub(交换型hub)及四部stackhub(栈型hub),可供124台计算机同时上网。目前网络上共有服务器2台,各类计算机55台。网络操作系统采用windowsnt3.51中文版,工作站一端采用windows95,网络协议采用netbeui及tcp/ip,网络上的应用全部采用客户机/服务器(clients/server)方式,后台为关系型数据库mssqlserver6.5以及群件lo-tusnotes4.5中文版。目前所有已开发出的应用基本都是基于sqlserver的,例如检索编目系统、利用管理系统、库房管理系统等都已投入使用,notes目前主要用作电子邮件及一些简单的工作组应用,例如现在网络上有一个《计算机论坛》,供大家对计算机的相关问题自由发表见解。
档案局共有两座建筑,在改造时都完成了计算机布线,共有信息点60个。网络配置与档案馆的网络基本相同。目前网上共有服务器1台,各类计算机22台。网上主要运行一些办公自动化软件,例如收文管理、发文管理、信息管理、归档管理、催办管理等。局、馆两个网络目前采用拨号连接,主要解决电子邮件的传递以及工作组应用。就目前的通讯量而言,两台modem(调制解调器)提供14.4kbps(每秒钟14.4kb)的速度是足够的。考虑到将来的发展,目前选用的modem可支持同步、异步两种传输方式,在需要时可以顺利地过度到64k专线以及1sdn的高速连接。所有需要在两个网络上同时运行的软件,例如信息管理、归档管理、催办管理等都采用了对象通用技术ole,把电子邮件内嵌到应用系统中。实际上,其他一些软件像收文管理、发文管理、检索编目系统、图书资料管理系统,考虑到今后远程的应用,都已经内嵌了电子邮件。像《计算机论坛》这样已经开辟的以及今后准备开通的日程管理等工作组应用都使用notes提供的复制技术来保证两个网络的同步。
三、__市档案馆对internet的应用
internet是目前最大的国际计算机互联网络,联接着137个国家和地区的200多万台计算机,拥有20__万以上的用户,当前它仍在急速地增长着,差不多每个月扩大10%。它是唯一的世界性、开放性公用网络集合,其主干在美国,但分支遍布包括我国在内的世界各地。如果说1995年是windows95年,那么1996年可以说是internet年,1997年纵观国内外形势来看,将是网络进一步向深度和广度发展,internet更加成熟、应用更加广泛、应用平台更加丰富的一年。internet是世界性信息高速公路的主干,是提供远程通信连接的重要信息通道和信息来源。internet网是以tcp/p通讯协议联结各个国家、各个部门、各个机构计算机网络的数据通信网,它是一个集各个部门、各个领域的各种信息资源为一体的供网上用户共享的数据资源网,通过一根电话线与internet网相连,用户不但可以使用电子邮政与网上任何用户交换信件,还可以跨越地区,甚至于跨越国界使用远程计算机的资源,查询网上的各种数据库内容,获取各种资料。例如,从学术角度出发,可以通过internet很方便地检索到国外上百个国家和地区的上万所大学及科研机构和他们的学术研究成果、电子出版物、文献资料。真正实现了足不出户便知天下事。
internet拥有丰富的知识资源并提供了崭新的教育方式,它的主要服务有:电子邮件(e一mail)、网络新闻(newsnet)、信息查询(60pher)、网上漫步(www)、远程登录(ftp)等。如何利用internet,探索档案宣传、利用的新途径,将成为档案界今后面临的主要课题,__市档案馆在这方面已经进行了一些有效的尝试。__市档案馆通过__经济信息中心在internet上建立了主页(网址:bttp:/netmember/abma)。内容主要有《__市档案馆简介》、《开放全宗名单》、《档案编研成果介绍》、《档案利用办法》、《征集档案公告》等,像《档案咨询信箱》等一批新栏目也都在计划之中。主页建立后,《__日报》、《计算机世界》等一些报刊作了报导,在社会上引起了一定的反响,__市档案馆和经济信息中心都接到一些咨询电话,询问如何上网等。这个主页建立的时间不长,无论是形式还是内容都还比较单调,与国外一些利用internet较早的档案馆,如美国国家档案馆、加拿大国家档案馆、澳大利亚档案馆等相比还有一段差距。但随着时间的推移,经验的积累,我们相信这个主页会越办越好。
internet技术的成熟为档案的利用、管理提供了更为广阔的领域,它为一直困扰着档案界的档案现代化管理中的一些问题,诸如软件、数据的统一,软件使用的培训,以及在建设广域网中会遇到的基层单位硬件水平不同等提供了解决的办法。目前__市档案馆正在局馆内部的网络中进行尝试,计划利用notes中内置的dominoserver作为internet上的webserver,设计开发基于浏览器的统计查询系统,重点解决局馆领导使用计算机的问题,再进一步修改各个处室使用的多种软件,把其中统计信息自动转换为超文本格式,使整个系统从事物处理型向信息型转变,从而在合理授权的机制下使整个管理、办公系统更加紧密地结合。这一系统最终可推广到区县档案局,甚至市直单位,使全市档案工作成为一个整体。一个工作人员在一台计算机前使用一种浏览器软件就可以了解整个网络中所有他可以了解到的信息,这就是我们系统建设的方向。另外,网络化的目录中心也是可以采用internet技术的一个重要方面。它既可以跨越目前各单位已存在的软硬件平台,保护已有的投资,又可以充分运用全市档案系统硬件资源。在文件电子化日益发展的今天,在解决好如安全、法规、习惯等问题的基础上,这一网络完全可能超越传统的目录中心的范畴,发展成为一个档案系统内部的交换系统,一个真正的电子化的文件中心。__市档案馆正就这一问题展开调研。
四、网络技术在档案馆应用中的几点体会
综上所述,当今网络技术已走出实验室,许多成熟的技术、产品和系统被采纳,已深入到人们工作、生活的各个领域,并产生了巨大的影响,正如一位美国教授所言:“网络将地球变小了。”人们通过计算机网络每时每刻都能了解在世界每一角落里发生的事情,并对其采取行动。网络技术的发展对档案自动化提出了新的挑战,同时也创造进一步发展的机遇。档案馆由于其档案管理的重要地位,以其较充分的财力、物力,在计算机网络应用上应当走在各级档案部门的前面。近十几年来计算机应用和档案基础工作的成果,为网络通讯技术的应用创造了有利的条件。从__市档案馆网络化管理信息系统的应用,我们有以下几点体会:
1.以软件工程思想指导档案计算机网络系统的开发和维护。
引进、开发一个档案计算机网络系统,不同于购置一台计算机,也不只是简单地将计算机用网卡、电缆线连接起来,它与单机系统比较,涉及面广,技术要求高,需要考虑到方方面面的问题,是一个系统工程。因此,需以软件工程思想作指导,首先从现有资源出发,统一规划,确定近期目标和中长期目标,分阶段实施,最终建立一个高效、实用、安全的网络系统。在规划的同时还要考虑同国内外网络的接轨,实现更大范围内的数据共享。
2.从本单位实际情况出发,合理地规划网络模式。
网络技术是计算机协同工作的一种方式,不同的模式有不同的规模效益。一个房间内的工作组与整座建筑物内的局域网,以及跨越地域的广域网之间的作用可谓天壤之别。从本单位的实际出发,选择适当的网络模式是非常重要的,只有这样才能通过计算机通讯网络促进档案工作的发展,获得“立竿见影”的成效。
3.网络的安全问题是一个不可忽视的重要问题。
网络加强了各部门间的联系,但也相应地带来了像病毒传播、非法访问等安全问题。一般网络上运行的文件服务、数据库服务、电子邮件服务等多种应用各自都有自己的安全机制,例如用户分级管理等。在规划阶段就应当考虑到如何在几种并行的系统中合理地授权,否则这方面的维护量是相当可观的。此外,除了安全策略外,网络的流量控制和升级方案也是规划阶段必须考虑的问题。
4.要重视网络应用软件的设计,特别是数据库结构的设计。
网络安全技术的应用案例范文篇9
1.教学内容不够新颖,与社会实际应用不太适应
网络工程专业课程体系大多是由专业基础课和专业课构成,专业课基本上都是从计算机网络课开始,让学生先学习网络基本概念和分层体系结构等知识,然后逐步进入到专业方向课。在这个过程中,许多传统的教学方式往往只关注概念,实例或一般项目举例却讲解不够,这一方面使得学生不能较好地理解网络专业课基本理论,另一方面也难以体会课程理论在实际项目案例中的应用。而当前的网络技术日新月异、不断改进,课程教学内容却难以及时跟上,主要原因在于专业统编教材内容更新较慢以及教师自身知识更新不及时或者缺乏企业项目经历,这就直接导致大四学生在毕业实习或毕业工作应聘时,用人单位普遍感觉学生实际动手能力较差,对最新的网络工程知识了解较少。
2.教学模式和方法较单一,与社会实际项目结合较少
随着社会的发展,高校教师队伍的学历层次也越来越高,一般普通本科大学的博士教师比例大幅上升。然而,大多数博士教师以前主要从事较高强度的研究工作,对应用型大学本科教学模式和方法了解不够。并且,博士教师在读博期间大多在实验室做基础性研究,对社会实际项目开发和实施过程不太了解,进入高校从教后,如果没有高校单位的企业产学研践习经历,则会导致只按照教材知识点以及个人的理解教授课程,没有真正的实际项目支撑。然而,网络工程专业课程要求紧贴社会发展,培养的是高素质的工程应用人才,只有理论知识的讲授,没有实际项目导入是远远不够的。在教学模式和方法上,当前许多高校仍然采用传统的课堂加小实验的教学方式居多,对各类项目案例的操作和讨论课安排较少,学生只听不练,被动接受知识,主动参与的意识不够,不能够通过项目的讨论和实施来增强对课程知识的理解和掌握。针对上述问题,本着上海电机学院应用型技术人才的培养思想,通过网络工程专业课教学实际的总结和分析,设计了一种新的网络工程专业项目教学模式,应用在实际教学中,并且形成了一种反馈机制,对专业课教学起到较好的促进作用。
二网络工程专业项目教学模式设计
1.项目匹配和导入
上海电机学院网络工程专业开设的主要核心和特色专业课程有:计算机网络、网络工程设计、网络设备与配置、综合布线技术、网络协议与分析、网络管理与维护、网络编程技术、JAVAEE与中间件以及网络安全技术。这些课程在不同的学期开设,核心课程在前、专业特色课程在后。根据各门课程的主要内容、特点和教学实践分析,结合本校网络工程专业目前本科实践教学平台,我们构建了五大教学项目源:课程教材案例、校企合作平台项目、教师科研项目、开源社区平台项目以及优秀毕业设计案例。根据上述网络工程不同专业课程的内容和特点,从多项目源中选取与课程知识点相匹配的项目案例,比如计算机网络课程重理论,主要从相关教材中汲取丰富的案例以及教师科研项目充实课堂和实验教学;网络工程设计、网络设备与配置以及综合布线技术课程知识点偏重具体网络设备与技术、综合项目等,因此选择校企合作平台项目,导入合作企业的部分真实项目到课堂进行讲解。网络协议与分析、网络管理与维护中既有理论又有实践应用的知识点,选择教材案例和校企平台项目相结合的项目。网络编程技术、JAVAEE与中间件课程内容知识点更新较快且要求实际编程的应用,可以导入校企合作平台以及开源社区平台项目,可以最大程度地使课堂教学内容跟上现代技术发展的趋势。网络安全技术也是当前较新的课程,涵盖知识点较广,可以导入企业真实项目,这样对课程理论的理解比较直观。
2.项目教学实效反馈
在网络工程专业课教学中导入与课程内容匹配的项目源,教师在课堂理论教学时将项目案例贯穿入相应的知识点,增加项目讨论环节作为平时成绩的重要部分,在有课内实验的专业课程中,增加项目部分模块的练习,教师和企业工程技术人员共同指导,这样就解决了教学素材源和教学基本方法的问题。接下来就是分析多源项目教学的实际效果、学生对项目的理解和掌握程度,这些可以根据平时的测试和期末考试的结果进行总体分析。最后将总结分析以条文记录的形式反馈到相应的案例和项目源平台中,以使项目源能够更贴进本科课程的教学实际。
3.项目源自调整
根据网络工程专业课项目实际教学效果,对相应的案例和项目源平台进行更新调整,对难度较大、学生不易掌握的项目进行简化。例如,教师科研项目大多是理论性较强的课题,很多涉及研究生的课程理论,本科生不易理解,但对应用型本科学校来讲,主要强调的还是课程理论的应用,教师可以将自身科研课题中晦涩难懂的公式定理略去,保留一般性的直观的流程图和基本算法,使学生能够较好地结合教材和科研课题进行理解和讨论。对于那些应用性的企业项目,可以增加一些最新的项目实例,删除那些过时的案例,使学生能够接触到最新的网络技术应用,对教师来讲也能扩展教学思路和眼界。开源平台项目是一种能够很好学习与跟进最新技术的方式,需要教师知识和技能较强。这就要求教师在平时备课中,不断学习新的网络编程、开发以及设备配置技术等,以引导和发现学生的学习兴趣和方向,较好地跟踪网络专业最新技术应用。在平时的专业课程教学中,教师要善于总结项目案例,进行归纳和改进,充实到大四学生的毕业设计中,形成成功的毕业设计项目案例,同时,优秀的毕业设计成果也可以进一步在大二、大三的专业课教学中采纳,形成课堂—项目案例—毕业设计成果之间的良性循环。
三项目教学方法的具体实施
1.项目源确定
为推进专业课课堂和实验教学项目案例的建设,各高校大多根据自身优势和特点来构建各自的专业实践平台。上海电机学院网络工程专业经过多年的积累,已形成了市级和校级精品和重点课程建设资源库,教材项目案例较丰富。我们还与多个企业建立了长期的合作关系,共建校企合作平台,聘请了企业技术人员参与课程实践教学、毕业设计,使学生能尽可能直接通过项目进行学习。在教师能力提升、反哺教学方面,我们每年选拔一线教师进行产学研践习,直接参与企业单位项目开发和实施,这样不但能提高教师的项目实践能力,而且更重要的是教师可以在专业教学中传授实际的项目经验。教师平时也不断加强开源平台项目和技术的钻研,在课堂中讲解前沿项目案例,增加学生对专业课学习的兴趣。
2.项目的选取
项目源的选取可以基于我们提出的五个项目案例平台,通过分析网络工程专业课各自特点以及学生学习能力,从网络规划与设计、网络管理与安全以及网络应用开发三个方向来分类专业课程,进而对接五个项目案例平台,尽可能地选取与各门专业课相匹配的项目案例。
3.项目教学的内容和形式
根据本校网络工程专业培养本科生六方面能力的要求,我们优化了核心和特色专业课群,进行了“3+1”模式的实践项目教学改革研究:高校合作平台、校企合作平台、产学研合作平台一起构成一个本科实践教学平台。我们改进专业课课堂教学形式为教师讲授、项目小组讨论、课堂展示、教师评点以及学生参与度评测;课内和单开实验以及课程设计方面,我们充分利用本专业的网络工程实验室、综合布线实验室、协议仿真实验室、信息安全实验室四个实验平台,可以较好地满足本专业课程的项目实践需要。对于部分专业实践课程,我们还聘请了企业工程技术人员进行指导,通过实际项目的讲授,进一步加深学生对专业课程理论的理解。
4.项目教学评价
通过课堂和实践课中对学生参与项目讨论的积极性、项目展示、成果提交等进行评价,平时表现占40%,期末提交项目成果或考试占60%。通过评价,客观上反映出学生对项目教学模式的学习效果,同时也促进教师进一步改进教学过程和形式,反馈和调整项目源,进一步提高项目教学质量。
四结束语
网络安全技术的应用案例范文篇10
国家相关部门应当建立健全相关法律法规制度,为档案信息化中电子文件的信息安全提供有力的法律保障。目前,我国已了《全国人民代表大会常务委员会关于维护互联网安全的决定》、《电子计算机系统安全工作规范(试行草案)》、《计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机病毒防治办法》、《计算机软件保护条例》、《中国互联网络域名管理办法》等法律法规。这些法律法规我国是保护网络信息安全、打击网络违法犯罪行为的有力依据和基础,但目前,随着信息技术的不断发展,相关法律法规仍需要进一步健全和完善。首先,国家应当加大对保护电子档案信息安全的宣传力度,深入宣传《档案法》,增强社会的档案意识,将电子档案法制观念渗透到人们的思想理念当中。
其次,相关执法部门应当加大执法力度,做到违法必究,依法治党,有效保障档案信息化中电子文件的信息安全。再次,我国相关立法部门应当深入了解目前国内档案信息化中电子文件的信息安全问题,加大对相关法律法规的理论研究力度,更好地修订完善法律法规。最后,我国应当建立健全与档案信息化中电子文件的信息安全相关的法律体系,找出目前法律有待完善的地方,修改不适时宜的法律条款,增强对电子档案信息安全的保护与执法力度,制定专门的电子档案信息安全法。
二、采用先进的现代信息技术
我们应当采用先进的网络安全技术、数据安全技术等先进信息技术,保护档案信息化中电子文件的信息安全。首先,我们应当采用先进的网络安全技术,对网络资源进行访问控制,避免不法分子非法访问和非法使用网络资源。访问控制技术包括入网访问控制技术和网络权限控制技术。其中,入网访问控制技术应当在内部网与互联网之间建立防火墙,防止电脑遭到黑客攻击或病毒入侵,同时,访问者需要接受身份鉴别,经过电脑系统验证身份之后,才能进入网络。网络权限控制技术则应当给予特定的用户和用户组一定的访问和操作权限,使用户在自身权限范围内进行访问操作。其次,我们应当采用先进的安全检测技术,检测与监控网络入侵,阻止内部网络和外部黑客的攻击与入侵。安全检测应当做到实时监测和全面检测,为档案信息化中电子文件的信息安全提供有力保障。再次,我们应当采用先进的数据安全技术,它是保障档案信息化中电子文件信息安全的关键技术。我们应当选择合适的加密算法,如单匙加密算法和飞对称加密算法等,对关键电子档案采用加密技术,防止档案信息被他人窃取或篡改。同时,我们应当采用备份技术,有效落实灾难恢复策略,直接提高电子档案文件信息的安全系数,采用仿真技术、迁移技术、再生性技术,长期保存电子档案。除此之外,我们应当灵活运用真实保障技术,保护档案信息化中电子文件的信息安全。电子文件作者应当运用电子签署技术,在计算机屏幕上签名,并由收文方对档案信息进行信息认证,并在电子文件中嵌入文字、序列号等水印,有效保障电子文件作者的合法权益。
网络安全技术的应用案例范文篇11
关键词:双因素认证;动态口令;一次性口令;信息安全技术
0引言
目前最普遍采用的身份认证机制是结合用户ID和密码的身份认证方案,它已经被广泛的应用于各种网络和系统中。用户的密码过于简单或容易被猜中,用户使用密码存在不良习惯,都可能造成密码的失窃。许多企事业单位开始意识到密码已经不能满足他们对关键信息资源保护的需求,开始着手实施更可靠的身份认证方案来保护他们的信息资源。目前主要采用的强认证方案是动态口令双因素认证方案。
1双因素身份认证
在信息安全领域,对共享信息资源保护的第一步就是实施一种用户身份认证服务。通常这―服务基于指定的用户ID,系统或者网络通过某种方式识别出使用者,这个过程就是身份认证(Authentication)。身份认证是最重要的安全服务,也是其他安全控制的基础,比如访问控制机制基于用户ID来分配信息资源,日志记录机制基于用户ID控制用户的访问和使用信息”。
身份认证过程是基于“某种信息片段”如密码、指纹等进行的,这些信息片段被称为认证因素(Authenticationfactor)。认证因素通常可以分为以下三类:
第一类因素是指“你所具备的特征(somethingyouare)”,通常是使用者本身拥有的惟一生物特征,例如指纹、瞳孔、声音等。
第二类因素是指“你所知道的事物(somethingyouknow)”,通常是需要使用者记忆的身份认证内容,例如密码和身份证号码等。
第三类因素是指“你所拥有的事物(Somethingyouhave)”,通常是使用者拥有的特殊认证加强机制,例如动态密码卡,IC卡,磁卡等。
采用以上三类因素中任意两类因素的身份认证称为双因素认证(Two-factorauthentication)。双因素认证并不是新鲜事物,在日常生活中我们经常用到,例如我们通过银行ATM机提款的身份认证就是双因素认证,插入的银行卡是“你所拥有的”因素,输入的密码是“你所知道的”因素。
单独来看,这三个要素中的任何一个都有问题。“所拥有的物品”可以被盗走;“所知道的内容”可以被猜出、被分享,复杂的内容可能会忘记;“所具备的特征”最为强大,但是代价昂贵且拥有者本身易受攻击,一般用在顶级安全需求中。
双因素身份认证机制,通常是在静态密码的基础上,增加一个物理因素,构成一个他人无法复制和识破的安全密码。最常见的物理因素有:生物特征和智能卡。生物特征因技术及设备的复杂性而只在某些特殊的领域中使用。静态密码加智能卡是目前应用最广泛的双因素身份认证机制,又称为动态口令认证机制或一次性口令认证机制。动态口令认证机制主要思路是:在登录过程中加入不确定的变化因素用以生成随机用户口令,以一次性动态口令登录,使得每次登录的认证信息都不相同,从而提高登录过程的安全性。
2动态口令认证机制
动态口令是变动的口令,其变动来源于产生口令的运算因子是变化的。动态口令一般都使用两个运算因子生成:其一,为用户的私有密钥,它是代表用户身份的识别码,是固定不变的。其二,为变动因子,正是变动因子的不断变化,才产生了不断变动的动态口令。采用不同的变动因子形成了不同的动态口令认证技术:基于时间同步(TimeSynchronous)认证技术、基于事件同步(EventSynchronous)认证技术和挑战,应答方式的异步(Challenge/ResponseAsynchronous)认证技术。
基于时间同步认证技术。这是基于令牌和服务器的时间同步,通过运算来生成一致的动态口令的认证技术。基于时间同步的令牌,一般更新率为60s,每60s产生一个新口令。由于其同步的参照物是国际标准时间,因此要求服务器能够保持十分精确的时钟,同时对其令牌的晶振频率也有严格的要求。另一方面,基于时间同步的令牌在每次进行认证时,服务器端将会检测令牌的时钟偏移量,相应地不断微调自己的时间记录,从而保证了令牌和服务器的同步。由此可知,对于时间同步的设备,利用系统时钟进行保护是十分必要的,特别是对于软件令牌,由于其依赖的是用户终端PC机或移动电脑的系统时钟,当令牌数量分散,且终端属于多个不可控网络系统时,保证众多的终端同认证服务器的时钟同步十分重要。同样,对于基于时间同步的一台或多台服务器,应严格地保护其系统时钟,不得随意更改,以免发生同步差错。对于失去时间同步的令牌,目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步,确保其能够继续使用,降低对应用的影响;但对于超出默认值(共20分钟)的时间同步令牌,将无法继续使用或进行远程同步的,必须由系统管理员在服务器端另行处理。
基于事件同步认证技术。其原理是将某一特定的事件次序及相同的种子值作为输入,利用特定算法运算出一致的密码,其运算机理决定了整个工作流程与时钟无关,不受时钟的影响。令牌中不存在时间脉冲晶振,但由于其算法的一致性,其口令是预先可知的,通过令牌,可以预先知道多个密码,故当令牌遗失且没有使用PIN码对令牌进行保护时,存在非法登录的风险,故使用事件同步的令牌,对PIN码的保护是十分必要的。同样,基于事件同步的令牌也存在失去同步的风险,例如用户多次无目的地生成口令等。对于令牌的失去同步的情况,事件同步的服务器使用增大偏移量的方式进行再同步,服务器端自动向后推算一定次数的密码,来同步令牌和服务器;当失去同步的情况非常严重,大范围超出正常范围时,通过连续输入两次令牌计算出的密码,服务器将在较大的范围内进行令牌同步。一般情况下,令牌同步所需的次数不会超过3次,但在极端情况下,不排除失去同步的可能性,例如电力耗尽,在更换电池时操作失误等,此时,令牌仍可通过手工输入由管理员生成的一组序列值来实现远程同步,而无需返回服务器端重新同步。
挑战/应答方式的异步认证技术。对于异步令牌,由于在令牌和服务器之间除相同的算法外没有需要进行同步,故能够有效地解决令牌失去同步的问题,极大地增加了系统的可靠性。异步口令的缺点主要是在使用时,用户需多―个输入挑战值的步骤,对于操作人员,增加了复杂度,故在应用时,要根据用户应用的敏感程度和对安全的要求程度来选择密码的生成方式。
3应用案例
近年来,随着网络安全事件的大幅度上升,动态口令身份认证系统越来越受到青睐。目前,动态口令已经在各种网络上得到了广泛应用:通过动态口令,企业员工可安全地访问企业内部网,股民可放心地进行证券网上委托交易,银行用户可方便地进行网上银行交易,玩家可以有效地保护虚拟财产,其他
如电子报关、电子报税、电子政务等等也都采用了动态口令身份认证技术。下面将进一步分析一些具体应用案例。
网上银行案例:
随着电子商务的不断发展,越来越多的银行开展网上银行业务,无论是国际的银行巨头还是国内的四大银行都陆续推出了网上银行业务。为保证网上银行交易的安全性,应用了动态口令认证。
中国银行使用的动态口令牌是一种内置电源、密码生成芯片和显示屏的专用硬件,它根据专门的算法每隔一定时间自动更新动态口令。其使用十分简单,实现了与电脑的完全物理隔离,无需安装驱动和记忆密码,动态口令牌采取一次一密的方式,每60秒随机更新一次,使得不法分子难以仿冒合法用户的身份,大大提升了网上银行的安全性。具体使用要点如下:用户首先到中国银行营业点办理网上银行业务,注册开通相关帐号,申请动态口令牌并进行银行卡或银行存折的关联。用户登录网上银行时,除了使用用户名、密码之外,还需要输入动态口令牌显示的当前口令;对于高风险的业务操作,如向他人转账、密码找回等,均需要再输入动态口令牌显示的当前口令。
网络游戏案例:
网络游戏也是动态口令双因素认证技术应用的热门行业。网游盗号问题的存在,直接威胁玩家的虚拟财产(如装备、道具)安全,一旦玩家虚拟财产受损,会导致玩家的投诉或离开游戏,对游戏运营带来负面影响。因此国内主要的网络游戏运营商,包括盛大、网易、九城、腾讯等,都先后推出了各自的动态口令产品,包括一体化令牌(盛大密宝、网易将军令等)和矩阵式动态口令卡(密保卡),这些动态口令产品正在为越来越多的网游玩家提供账户和虚拟资产保护。
上海盛大网络发展有限公司推出了其自主研发的“盛大密宝”,它采用基于时间同步的动态密码认证技术,每分钟能够生成―个新的、且不能重复使用的动态密码。该产品在第二届中国网络游戏年会评选中获得了“2004年度最佳网络游戏帐号安全方案奖”。“盛大密宝”可以绑定各类互联网应用。目前盛大旗下传奇世界、起点中文网、泡泡堂、梦幻国度等不同产品均可使用,同时盛大公司还将其应用推广到了、金银岛、中商网、51Piao和智买道等等其他电子商务的网站上。
企业内部应用案例:
在企业内部应用领域,动态口令认证技术主要用于远程用户访问的身份认证、操作授权、技术人员进行系统和网络维护登录等。如当企业员工通过VPN远程接入到内部系统时,由于VPN接入使用静态密码帐号,黑客们可能通过木马、病毒等键盘窃听程序或者暴力破解程序从VPN使用者主机中获得VPNClient的帐号密码,冒充授权用户登录内部网;身份认证作为安全的第一道关口,如果密码被窃取,那么所有的保护措施都会失效。
从安全控制的角度看,上海超级计算中心网络系统,由网络、服务器、应用三个层次构成,每一层次又由若干部件构成。对于网管人员来说,为了记住众多服务器及网络设备的密码,常会使用重复并且简单的密码,而对于使用主机服务的用户来说,密码被破解将致使他们的重要数据被窃取,所以认证和密码管理是重要的安全问题。因此上海超级计算中心在高风险高价值的身份认证处理过程中采用了双因素身份认证技术。
4结束语
网络安全技术的应用案例范文篇12
[关键词]企业网络信息安全信息保障
计算机网络的多样性、终端分布不均匀性和网络的开放性、互连性使联入网络的计算机系统很容易受到黑客、恶意软件和非法授权的入侵和攻击,信息系统中的存储数据暴露无遗,从而使用户信息资源的安全和保密受到严重威胁。目前互联网使用TCP/IP协议的设计原则,只实现简单的互联功能,所有复杂的数据处理都留给终端承担,这是互联网成功的因素,但它也暴露出数据在网上传输的机密性受到威胁,任何人都可以通过监听的方法去获得经过自己网络传输的数据。在目前不断发生互联网安全事故的时候,对互联网的安全状况进行研究与分析已迫在眉睫。
一、国外企业信息安全现状
调查显示,欧美等国在网络安全建设投入的资金占网络建设资金总额的10%左右,而日韩两国则是8%。从国际范围来看,美国等西方国家网络基础设施的建设比中国完善,网络安全建设的起步时间也比中国早,因此发生的网络攻击、盗窃和犯罪问题也比国内严重,这也致使这些国家的企业对网络安全问题有更加全面的认识和足够的重视,但纵观全世界范围,企业的网络安全建设步伐仍然跟不上企业发展步伐和安全危害的升级速度。
国外信息安全现状具有两个特点:
(1)各行业的企业越来越认识到IT安全的重要性,并且意识到安全的必要性,并且把它作为企业的一项重要工作之一。
(2)企业对于网络安全的资金投入与网络建设的资金投入按比例增长,而且各项指标均明显高于国内水平。
二、国内企业网络信息安全现状分析
2005年全国各行业受众对网络安全技术的应用状况数据显示,在各类网络安全技术使用中,“防火墙”的使用率最高(占76.5%),其次为“防病毒软件”的应用(占53.1%)。2005年较2004年相比加大了其他网络安全技术的投入,“物理隔离”、“路由器ACL”等技术已经得到了应用。防火墙的使用比例较高主要是因为它价格比较便宜、易安装,并可在线升级等特点。值得注意的是,2005年企事业单位对“使用用户名和密码登陆系统”、“业务网和互联网进行物理隔离”等措施非常重视。其他防范措施的使用也比2004年都提高了一定的比例,对网络安全和信息的保护意识也越来越高。生物识别技术、虚拟专用网络及数字签名证书的使用率较低,有相当一部分人不清楚这些技术,还需要一些时间才能得到市场的认可。
根据调查显示,我国在网络安全建设投入的资金还不到网络建设资金总额的1%,大幅低于欧美和日韩等国。我国目前以中小型企业占多数,而中小型企业由于资金预算有限,基本上只注重有直接利益回报的投资项目,对于网络安全这种看不到实在回馈的资金投入方式普遍表现出不积极态度。另外,企业经营者对于安全问题经常会抱有侥幸的心理,加上缺少专门的技术人员和专业指导,致使国内企业目前的网络安全建设情况参差不齐,普遍处于不容乐观的状况。
三、企业网络信息系统安全对策分析
“三分技术,七分管理”是技术与管理策略在整个信息安全保障策略中各自重要性的体现,没有完善的管理,技术就是再先进,也是无济于事的。以往传统的网络安全解决方案是某一种信息安全产品的某一方面的应用方案,只能应对网络中存在的某一方面的信息安全问题。中国企业网络的信息安全建设中经常存在这样一种不正常的现象,就是企业的整体安全意识普遍不强,信息安全措施单一,无法抵御综合的安全攻击。随着上述网络安全问题的日益突显,国内网络的安全需求也日益提高,这种单一的解决方案就成为了信息安全建设发展的瓶颈。因此应对企业网络做到全方位的立体防护,立体化的解决方案才能真正解决企业网络的安全问题,立体化是未来企业网络安全解决方案的趋势,而信息保障这一思想就是这一趋势的体现。信息保障是最近几年西方一些计算机科学及信息安全专家提出的与信息安全有关的新概念,也是信息安全领域一个最新的发展方向。
信息保障是信息安全发展的新阶段,用保障(Assurance)来取代平时我们用的安全一词,不仅仅是体现了信息安全理论发展到了一个新阶段,更是信息安全理念的一种提升与转变。人们开始认识到安全的概念已经不局限于信息的保护,人们需要的是对整个信息和信息系统的保护和防御,包括了对信息的保护、检测、反应和恢复能力。为了保障信息安全,除了要进行信息的安全保护,还应该重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术,信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念。
所以一个全方位的企业网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,增加了恶意攻击的难度,并增加审核信息的数量,同时利用这些审核信息还可以跟踪入侵者。
参考文献:
[1]付正:安全――我们共同的责任[J].计算机世界,2006,(19)
[2]李理:解剖您身边的安全[N].中国计算机报,2006-4-13
