第一篇:网络安全策略研究论文
计算机网络是一个开放和自由的网络,它在大大增强了网络信息服务灵活性的同时,也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围,而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术,当成一种新式犯罪工具和手段,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来,网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。
一、常见的几种网络入侵方法
由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法:
1.通过伪装发动攻击
利用软件伪造Ip包,把自己伪装成被信任主机的地址,与目标主机进行会话,一旦攻击者冒充成功,就可以在目标主机并不知晓的情况下成功实施欺骗或入侵;或者,通过伪造Ip地址、路由条目、DNS解析地址,使受攻击服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器Ip地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。
2.利用开放端口漏洞发动攻击
利用操作系统中某些服务开放的端口发动缓冲区溢出攻击。这主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。
3.通过木马程序进行入侵或发动攻击
木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植入到目标主机中,计算机就成为黑客控制的傀儡主机,黑客成了超级用户。木马程序可以被用来收集系统中的重要信息,如口令、账号、密码等。此外,黑客可以远程控制傀儡主机对别的主机发动攻击,如DDoS攻击就是大量傀儡主机接到攻击命令后,同时向被攻击目标发送大量的服务请求数据包。
4.嗅探器和扫描攻击
嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,作为实施下一步攻击的前奏。
为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、VpN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VpN属早期的被动防护技术,入侵检测、入侵防
御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。
二、网络的安全策略分析
早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括:
1.防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.VpN
VpN(Virtual private Network)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VpN技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。VpN技术可以在不同的传输协议层实现,如在应用层有SSL协议,它广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密;在会话层有Socks协议,在该协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VpN隧道;在网络层有IpSec协议,它是一种由IETF设计的端到端的确保Ip层通信安全的机制,对Ip包进行的IpSec处理有AH(Authentication Header)和ESp(Encapsulating Security payload)两种方式。
3.防毒墙
防毒墙是指位于网络入口处,用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的Ip/MAC地址,以及TCp/UDp端口和协议。
三、网络检测技术分析
人们意识到仅仅依靠防护技术是无法挡住所有攻击,于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有:
1.入侵检测
入侵检测系统(Intrusion Detection System,IDS)是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充,入侵检测技术能够帮助系统对付已知和未知网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
2.入侵防御
入侵防御系统(Intrusion prevention System,IpS)则是一种主动的、积极的入侵防范、阻止系统。IpS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术,IpS的检测功能类似于IDS,防御功能类似于防火墙。IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限;而IpS部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IpS就是防火墙加上入侵检测系统,但并不是说IpS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCp/Ip协议的过滤方面表现出色,同时具备网络地址转换、服务代理、流量统计、VpN等功能。
3.漏洞扫描
漏洞扫描技术是一项重要的主动防范安全技术,它主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(Honeypot)系统,它是故意让人攻击的目标,引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析,来发现攻击者的攻击方法及系统存在的漏洞。
四、结语
尽管传统的安全技术在保障网络安全方面发挥了重要作用,但在一个巨大、开放、动态和复杂的互联网中技术都存在着各种各样的局限性。安全厂商在疲于奔命的升级产品的检测数据库,系统厂商在疲于奔命的修补产品漏洞,而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒,防火墙只能对非法访问通信进行过滤,而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中,安全问题的炸弹随时都有爆炸的可能。用户必须针对每种安全威胁部署相应的防御手段,这样使信息安全工作的复杂度和风险性都难以下降。为了有效地解决日益突出的网络安全问题,网络安全研究人员和网络安全企业也不断推出新的网络安全技术和安全产品。
参考文献:
[1]周碧英:浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18~19
[2]潘号良:面向基础设施的网络安全措施探讨[J].软件导刊, 2008,(3):74~75
[3]刘爱国李志梅谈:电子商务中的网络安全管理[J].商场现代化,2007,(499):76~77
[4]孙晓南:防火墙技术与网络安全[J].科技信息,2008,(3): 199~120
[5]赵立志林伟:浅析网络安全技术[J].民营科技,2008,(3):193
第二篇:工业网络安全策略
工业网络安全策略
随着新一年的到来,发电厂和大型电力企业对网络安全的重视程度也迈上了一个新的台阶。NERC CIP(北美电力保障组织,关键基础设施保护)条例的生效意味着电力供应和输配电部门必须采取明确的安全防范措施,以确保持续供电。一旦有人违反了条例中的要求,就会被处以巨额罚款。
而许多行业外人士也正在密切关注电力行业的动态。他们期望自己的行业中也能够出现类似的法规,而且是越早越好。在过去的一、两年中,工业网络安全经历了迅猛的发展。大约一年前,美国中央情报局(CIA)的一份报告中记录了这样一起事件:一项勒索行动中,一部放置在海外的设备被网络黑客成功破坏。严重黑客攻击(如图所示)的性质,已经从单纯的娱乐,扩展到了犯罪、恐怖主义、甚至国家赞助的间谍活动。我们必须采取适当而有力的防御措施来应对黑客攻击行为的不断升级。
NERC CIP条例自2002年颁布以来,经常有人将其执行效果与那部在执行上充满混乱的Sarbanes-Oxley(SOX)法案相比较。艾默生电力和水力部门的SCADA及安全业务发展经理Eric Casteel承认,两者在执行效果上有相似之处。他说:“SOX法案颁布之后,相关的指导很少而且对该法案的理解差异很大。NERC CIP标准颁布之后,情况也是如此。有些客户正在走高质量线路,并希望采取最佳做法,以求在审查中获得‘A’。而有些客户则只想拿一个‘C’了事。更有些工厂的相关人员还会以‘我们不属于关键资产’为理由进行搪塞。如果他们的工厂没有停电启动设施,同时也不是重要的兆瓦级发电站,那么他们就可能以此作为理由。但是从整体来看,一组电网的整体安全性仅等同于其中最薄弱部分的安全性。在这种情况下,标准条例监管机构会对这些企业下达强制命令:每个发电、传输和配送部门,不论是否属于关键资产部门,都必须履行这些条例。”
黑客能够以各种手段和动机闯入你的系统。他们的特征具有普遍性,但也有特别之处。
要抵御业余爱好者的入侵并不困难,但是若想抵御训练有素和有目的的恐怖、犯罪分子入侵就全然不是那么回事了。
从何入手?
如果你是从事电力或其他行业工作的,那么你应该如何在你的DCS(集散控制系统)、SCADA(监控与数据采集系统)、或其它工业控制网络中实施基本的网络安全措施呢?通常在一个项目开始之前,应该首先对当前的情况进行一次评估,尤其要对网络中的所有设备做一次清查。你需要弄清楚设备是怎样连接的,以及设备上运行着何种软件。如果你希望找出黑客从外部进入系统的方式并建立起适当的屏障,那么这就是你要做的第一件事。
“用户对他们系统的实际架构和连接方式的认识往往非常肤浅,”西门子能源与自动化集团过程自动化系统市场营销经理Todd Stauffer说道,“很多设备通过直接或间接的方式连接到控制网络中,而生产过程负责人几乎无法控制它们。因此,相关人员首先要做的事情之一,就是确认系统的实际架构。应该说,实际架构很可能与他们想象中的大相径庭。可以肯定的是,相关人员在确认系统架构的过程中几乎总会发现意想不到的连接。”
艾默生过程管理的数据管理解决方案高级顾问David Rehbein,在Microsoft任职期间,从事了很多年网络评估工作。他也认为进行评估是关键的第一步。“在系统清查过程中,你可以发觉网络上的每个IP地址,一些IP地址往往是在无人知晓的情况下悄然出现的。有些人连进网络、在上面放了点东西,却忘了告诉管理员(IT)。于是,你的系统上就有了一个非法客户端或服务器。如果你对它的存在一无所知,那么你就无法知道它是否打了正确的安全补丁。你更无法知道它是否安全,有没有运行查毒软件。
了解你的连接
独立的控制系统很容易保护,但这样的系统已经很少存在了。如果管理员要了解工厂当前的情况,那么他获取信息的最简单方法就是查看控制系统。这样的话,控制系统就要连接到公司的网络中,而公司网络毫无疑问是连接互联网的。如果这类连接没有得到很好的保护,那么就可能成为了一个主要的突破口。控制系统与公司网络结合得越全面,潜在的突破口就越多。这就是所谓的攻击面积。
Rehbein回顾了一个他在微软工作时参与的项目:“我们一天就完成了第一次评估,因为那是一个非常简单的连接。他们没有把工厂网络连接到其他地方,能够进入该网络的唯一方式是进到建筑内部。与这种情况形成鲜明对比的是:有些人希望和客户或是位于瑞士的公司IT部门分享项目清单或者目前的生产水平。这就需要直接的互联网连接,这也为其他任何人进入你的系统打开了方便之门。
出于商业目的的连接会可能会招来更多潜在的攻击,这给操作人员和控制系统带来了更多的压力。霍尼韦尔过程解决方案开放系统服务的全球项目经理Shawn Gold担心各企业正在失去自行处理问题的能力。日益依赖外部支持就意味着增加突破口。“任何与外部世界的连接都是有风险的,”他警告说,“但是为了获得有帮助的服务和资源,你又必须连接到外部,这在当今的经济环境下更是如此。你可能已经记录了所有的连接,这是一件好事。但也会有潜在的未被记录的连接,或为应对紧急情况而特设的连接,可能造成安全风险。因此你必须知道在紧急情况下该做些什么,以及在遇到困难时,如何保护自己。”
监控软件
除了连接之外,你还需要知道网络上有什么软件。这一点至关重要的,主要的原因有两个:一些软件存在可以被黑客利用的漏洞;编写不良的程序可能会引起内部问题。
“每次增加软件的同时,你也增加了被攻击范围。” 霍尼韦尔过程解决方案的全球安全架构师Kevin Staggs建议道,“你安装的一些不必要的软件可能会与其他一些必要的控制软件形成冲突,导致系统失灵。有些故障甚至是你无法看到的。有时候,软件在编写时的错误会造成内存溢出。我们发现一个反病毒系统补丁里有内存溢出,而运行该程序的控制系统在出现内存不足前大约能运行35天。到那时候,系统就会出现严重的减速或者显示警告,而操作人员会不知所措。”
Staggs补充说,这些有问题的程序可以产生和黑客引入的恶意软件同样的后果。如果软件没有被你的控制系统供应商完全核实,那么就可能导致隐性冲突。他建议:“你应该遵循一个非常良好的变化执行过程。在你执行一个变化之前,务必先检查其基本的性能;在执行
变化之后,立刻再检查一次,并观察一段时间。如果你严谨到这种程度,应该就能够侦测到任何可能发生的问题。”
当你了解了自己网络的情况之后,如果出现了问题,你就会知道是否需要处理它了。西门子的Stauffer提到,白帽(white hat)组织发布了他们在公用软件平台上发现的漏洞,敦促供应商修正它们,并警告说:“他们没有意识到,他们的这一举动是在为系统添乱,当传统系统的漏洞被公布在互联网上供所有人浏览的时候,相关人员不得不去做那些他们原先不准备做的事情。这足以告诉黑客,对于一个给定的系统应该从何着手实施攻击。你还打算通过隐藏漏洞以保证安全吗?忘了它吧。你的系统弱点早已经被公布在网上了。”
咨询你的供应商
你可以采取的一个最简单方法,就是向最初为你打造系统的供应商进行咨询。大多数公司会提供指导、案例研究、最佳做法以及根据积累的经验得出的其他意见。
网络安全还包含了许多方面,但在此处讨论并不合适。人事政策,外部管理收购,实体安全,纵深防御等等,都会对网络安全策略产生影响。许多组织和公司为工业系统提供了网络安全资源。如果你希望对此作深入研究,那么最好看一下这篇文章的边栏。你应该始终牢记,没有解决一切的答案,也没有绝对的安全。你能够指望的最好情况是你的保护等级强于攻击者的攻击力度。
你的网络安全实施资源
我们需要利用多种资源,或者说通过适当的纵深防御控制来“保障”过程控制系统的安全。譬如获取管理支持,进行评估,确定风险因素,选择修复方案,在获取管理支持后对适当的技术、程序和安全意识作高效整合并开展培训计划。总之,请千万记得获取管理支持。
网络安全的学习方式是多种多样的,要根据具体的过程而定。但是,最佳出发点无疑是先回顾并深入理解以下内容:
1.NERC CIP(北美电力保障组织,关键基础设施保护)条例:这套重要的网络安全标准对大型电力系统组织有着深远的影响。它还牵扯到其他涉及过程控制的领域,如航空、铁路、废水处理、天然气、炼油、化工和制造业。因为这些领域在国际上也被公认是关键的基础设施。NERC CIP是第一部具有制裁力的网络安全标准。不符合该标准的情况一经发现,可能被处以高达每天100万美元的罚款。由于该标准被界定为一套大型关键基础设施保护标准,其他用到SCADA和DCS的领域也正在对它进行审核。NERC CIP标准可在获得。该标准需要结合具体的情况解释执行,遵守标准的方式不止一种。
2.美国爱达荷国家实验室的国家SCADA系统试验平台和DHS控制系统安全计划:这项计划提供了许多关于安全意识、安全评估和安全架构方面的细节。它涉及的范围非常广泛,其中,我们特别推荐的一项是控制系统的网络安全获取语言,相应链接为:www.xiexiebang.com/isasp99。
5.传统的IT解决方案,譬如信息及相关技术的控制目标(CObIT),ISO 27005和ISO 17799标准:许多现有的IT控制和安全框架能够在工业控制系统环境内提供基本的操作。传统IT业务系统和过程控制系统的连接往往要考虑到效率和成本控制。因此,最好的做法是对特定的IT和过程控制系统进行优势互补。关键问题是如何划定连接系统与独立操作系统之间的界限?寻找这一答案对相关组织和行业来说无疑是个挑战,却有着特别的意义。www.xiexiebang.com;www.xiexiebang.com。
许多组织为SCADA系统特别制定了标准,包括:ISA,ISO,IEC,API,AGA,ChemITC,DHS CSSP,PCSF,CIGRE,NSTB,IEEE,EPRI,I3P,NERC和NIST。Control Engineering将继续通过其网络安全博客,以实践和应用的方式解读这些标准,从而为解决所有基础设施普遍面临的安全挑战助一臂之力。
纵深防御的一个关键参考
由David Kuipers和Mark Fabro撰写的 《控制系统的网络安全:纵深防御策略》(2006年5月)一文被看作是工业网络安全方面的经典之作。Fabro是Lofty Perch总裁兼首席安全科学家,并曾经与美国DHS和INL(爱达荷国家实验室)开展过广泛的合作。关于撰写这篇报告,他这样说道:
“随着DHS的控制系统安全计划(CSSP)在私营部门密切开展,其中一个主要的想法是探讨如何在以前独立的大型系统内建立有效的网络安全。考虑到其中一些‘专用’技术的‘年龄’和操作上的差别,我们无法用当代的网络安全解决方案对它们进行合并。这些资产所有者和经营者已经告诉我们,诸如IDS(入侵检测系统)和防火墙之类的措施在起到积极效果的同时,又不会对操作造成任何影响。资产所有者需要一种平衡的安全策略,既不会打乱他们的系统,又能够减少网络风险。”
“纵深防御模型工作的理念是:针对控制架构中不同层次采用与其相适的安全水平等级,并将各层次的安全元素结合在一起构成一个全面的安全防御态势。编写这本实践指南主要是为了指导读者一些在控制系统环境中处理较常见的漏洞,以及如何部署适当的安全解决方案以帮助弥补这些漏洞。该计划的目标是综合CSSP收集的来自利益相关者的反馈,深入研究如何满足他们的需求,并建立指导以备相关部门进行评估。最终的指导经过寻求它的利益相关者核实和审查,必定能够产生非常积极的影响。目前,我们推荐的做法是对那些经过论证确实能对控制系统架构起到保护作用的方法作深入分析,尽量在提升安全性的同时不降低原有性能。”
第三篇:浅谈管理信息系统安全策略研究
浅谈管理信息系统安全策略研究
本文重点探讨信息系统的安全措施,及影响计算机网络安全的主要因素,增强防范意思,确保计算机网络信息安全性、保密性、完整性和可靠性。
关键词: 管理系统 系统安全 信息科学 加密技术 防火墙
随着信息时代的发展,计算机网络得到了广泛应用,网络的安全性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能更加安全可靠地运行。但随着网络信息传输量的急剧增长,一些机构和部门上网的数据也会遭到不同程度的破坏。攻击者可以窃取网络上的信息,窃用口令、篡改数据库内容,释放计算机病毒等。这致使数据的安全性和自身的利益受到了严重的威胁,所以解决好网络的安全性、可靠性问题,是确保网络正常运行的前提和保障,更好地为企事业单位提供信息咨询、信息检索、信息存取等服务。
一、管理信息系统的发展历史
管理信息系统的概念起源很早。早在20世纪初,随着科学技术和社会经济的迅速发展,人们迫切要求文献信息管理工作的发展速度与之相互适应。20世纪30年代,柏德就强调了决策在组织管理中的作用。50年代,西蒙提出了管理依赖于信息和决策的概念。同一时代维纳发表了控制论与管理,他把管理过程当成一个控制过程,此时计算机已用于会计工作。
管理信息系统已经逐步成为一个独立的学科分支,它继承了其他众多学科的理论及其应用技术,它与信息科学、系统科学、计算机科学、控制理论、统计学、会计学、经济学、管理科学有着十分密切的联系。同时,它又广泛地应用于工业、农业、交通、运输、文化、教育、卫生、体育以及各种社会经济活动的信息管理之中,并起着极其重要的作用,显示出强大的生命力。
随着社会的不断进步、科学技术快速发展,管理工作越来越重要。在现代管理科学体系中,管理信息系统正不断发展、逐步完善,它已被公认为是一门不可替代的崭新学科。计算机作为现代化的工具与手段,已成为信息处理的重要工具。计算机的应用范围越来越广,最终导致了管理信息系统的产生。
管理信息系统依赖于管理和科学技术的发展而形成、依赖于电子计算机的发展而发展的,管理信息系统是与电子计算机同步发展的,它是现代化管理的标志。
二、国内信息系统发展现状、存在问题
企业是国民经济的基础,而企业信息系统建设是企业走向现代化的必由之路。我国目前各类企业在近20年来,不同程度上都遇到了企业信息系统建设的问题。80年代以来,国家有关部门就一直非常重视企业信息化的推进。90年代以后,随着微型计算机、互连网等迅速普及,计算机技术对企业的影响越来越大,企业信息化进一步为人们所重视。
在信息化快速发展的时代,我们在充分肯定这些已经取得的成果同时也不能忽视一些普遍存在的问题。在过去10年左右,我国企业信息系统建设虽然轰轰烈烈地发展,但其成功率并不是很理想。一些企业已经投入使用的模块,实际中并未发挥作用,它只是针对一些局部系统,或特定类型的产品处于试运行阶段。一些企业中的计算机的97%是用来做文字处理工作,有1/5的计算机是经常用来玩游戏的。这些调查、结果分析都说明:我国企业目前虽然使用计算机已经比较普遍,但许多信息系统的应用情况却并没有达到预想的效果。
三、信息系统开发的紧迫性
随着企业规模的扩大和市场竞争的更加激烈,各行各业都愈来愈认识到人力资源管理的重要性及提升企业自身人力资源管理水平的迫切性,而人力资源管理水平的提升不仅需要高素质的管理人员,而且也需要信息化工具进行辅助。随着中国企业管理水平的提高,人才的争夺与管理已成为中国所面临的严重问题。要面对高强度的竞争无疑是需要优秀的管理人才,而科学管理的实施是离不开数字化的工具做辅助。特别在组织规模不断扩大的今天,做为管理人员和单位领导者要想对单位进行有效的管理和正确的决策就必须借助于数字化管理工具。
四、网络安全应具备的功能及影响信息系统安全的主要因素
1、计算机网络应用系统必须具备以下功能:
(1)访问控制(2)检查安全漏洞(3)攻击监控(4)加密通讯(5)认证(6)备份和恢复(7)多层防御(8)?设立安全监控中心
2、影响信息系统安全的主要因素
(1)信息系统在稳定性和可扩充性方面存在。由于设计系统的不规范、不合理以及缺乏安全性考虑,因而使其受到影响。
(2)网络硬件的配置不协调。主要是文件服务器,它是网络的中枢,其运行稳定性、功能完善性直接影响信息系统的质量。设计和选型考虑欠周密,影响网络的可靠性、扩充性和升级换代。
(3)缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。
(4)管理制度不健全,网络管理、维护不力。
五、?网络安全应具备的防范措施
1.信息系统结构设计合理与否是网络安全运行的关键。全面分析信息系统设计的每个环节是企事业单位建立安全可靠的信息工程的首要任务。在总体设计方面要注意以下几个问题:对接入以太网上任一节点进行侦听,捕获发生在这个以太网上的所有数据包,对其进行解包分析,窃取关键信息。为了解除这个信息系统固有的安全隐患,可采取以下措施:(1)网络分段技术的应用从源头杜绝网络的安全隐患问题。局域网采取物理分段与逻辑分段,来实现对局域网的安全控制,目的就是将非法用户与敏感的网络资源相互隔离,防止非法侦听,保证信息的安全畅通。(2)解除隐患的另一方法是交换式集线器代替共享式集线器。
2.强化计算机管理是信息系统安全的保证
(1)加强设施管理,确保计算机网络系统实体安全。健全安全管理制度,防止非法用户进入计算机控制室和其它各种非法行为的发生。在保护计算机系统、打印机、网络服务器等外部设备和能信链路上下大功夫,并不定期的对运行温度、湿度、清洁度、供电接头、三防措施、志线、设备等进行检查、测试和维护。着力改善抑制、防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。
(2)强化访问控制,力求计算机网络系统正常运行。
第一,建立入网访问功能模块。通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为3个过程:用户名的识别与验证;用户口令的识别与验证;用户账号的检查。在3个过程中如果其中一个不能成立,系统就视为非法用户,则不能访问。
第二,建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提
出的一种安全保护措施。可以根据访问权限将用户分为3种类型:特殊用户、一般用户、审计用户。
第三,建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。网络属性可以控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录、文件的查看、执行、隐含、共享及系统属性等,还可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
第四,建立档案信息加密制度。主动地加密通讯,可使攻击者不能了解、修改敏感信息。良好的认证体系可防止攻击者假冒合法用户,防止数据非法泄漏。第五,建立完善的备份及恢复机制。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。
第六,建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装防火墙。
第七、建立安全监控设施。为信息系统提供安全体系管理、监控、保护及紧急情况服务。
综上所述,对于计算机网络传输的安全问题,我们必须要做到以下几点。第一,应严格限制上网用户所访问的系统信息和资源,这一功能可通过在访问服务器上防火墙来实现。第二,应加强对上网用户的身份认证,使用RADIUS等专用身份验证服务器。可以实现对上网用户帐号的统一管理;在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。
参考文献
[1]??计算机网络技术.西安电子科技大学出版社,?2001
[2]??计算机网络与通信.北京大学出版社,?1999.[3]??计算机学报.?2001-2006.[4]?电脑报.?2000-2002.??
第四篇:网络环境下,电子商务安全策略的研究
网络环境下,电子商务安全策略的研究
[摘要]计算机仿真是指通过实验模型去研究一个已经存在的或者正在设计的系统的过程。仿真实验不仅是对实验原型的再现,而且是按照实验的侧重点对模型进行研究,最终建立在模型系统上的实验技术。
[关键词]仿真实验实验教学
一、计算机仿真
计算机仿真就是将一个描述实际系统的数学模型通过第二次模型化,变成一个能够采用计算机运算求解的仿真模型,并在计算机内进行运转的过程,以此获得有关实际系统的定量信息、数据或资料,深化对实际系统的认识和研究。
计算机仿真的全过程:①建立描述实际系统的数学模型。②经二次模型化建立仿真模型。③仿真模型在计算机内运行,有必要再根据技术要求修改仿真模型并校验。④分析仿真运行结果,为研究、分析,设计和调整所研究的实际系统提供可靠的信息、数据。
根据仿真中所采用的计算机类型的不同,计算机仿真可分为模拟仿真和数字仿真。
1.模拟仿真
模拟仿真是采用模拟计算机作为仿真工具进行仿真,模拟计算机是一种连续变量的解算装置。它将被研究系统的各种物理量用机器电压来表示,通过由模拟电子器件构成的各种运算部件,进行模拟量的连续解算。
模拟仿真时,首先根据所研究系统的数学模型,用连续积分、降阶求解的方法变成仿真模型——模拟结构图,再选择合适的变量幅值比例尺,使实际系统变量与机器电压之间建立数量上的折算关系,然后将计算机中有关的运算部件按比例尺化后的模拟结构图进行连接。通过上机调试、运行,获得仿真结果。
模拟仿真的突出特点是仿真结果非常接近于实际系统的真实情况。这是因为模拟计算机采用机器电压代表实际系统的变量参加运算和输出结果,它是一个有正、负极性和连续变化的量,用它来描述连续系统的动态过程就显得逼真,和真实系统在测试设备上观察到的波形几乎完全相同。此外,模拟计算机运算部件采用的电路及所用的信号很简单,人们可以通过系数电位器的设置、调节和运算部件连接关系的改变,方便而迅速地改变系统的参数和修改系统的仿真模型,人机联系很方便。
2.数字仿真
数字仿真是使用数字计算机作为仿真工具进行仿真。数字计算机是一种离散量的计算装置,它将实际系统数学模型中连续变化的物理量离散成一组组二进制码表示的数字量,经过机器码的运算求得数学模型的解答,输出一组组时间离散节点上的数值解答。
数字仿真的大致过程:①建立被仿真系统的数学模型。②将数学模型经数值计算方法改造成仿真模型。③编写仿真程序。④键入并运行仿真程序,获得仿真结果。
二、仿真实验在教学中的应用
仿真实验是开放式实验教学的重要资源组成。所谓“仿真实验”,是相对于实物实验而言的,两者的主要差别在于:实验过程中所触及的对象与事物是否真实。在实物实验中所采用的实验工具、实验对象都是以实物形态出现的;而在仿真实验中,不存在实物形态的实验工具与实验对象,实验过程主要是对虚拟的实验仪器及设备进行操作。仿真实验虽然难以达到与实物实验完全一样的程度,但其良好的教学效果仍显而易见,其表现如下。
1.营造多样化教学环境,提高学习兴趣
对大多数学生来说,在预习实验的时候,会感到书上一些概念性的介绍很抽象。虽然有些仪器附有图片,但是仍然显得很单调。学生预习起来容易缺乏兴趣,对实验原理并不能真正理解。如果学生以前没有接触过该实验的仪器,实验中就有可能因使用方法不当而进行误操作,造成实验中断、仪器损坏。仿真实验可以提供形象直观、内容丰富的学习环境,图文并茂、动静结合、节奏有序的实验内容,并以声音、图像等丰富的表现力帮助学生进行多感官的学习,这样无疑会增加学生的兴趣,调动他们学习的积极性,促进学生对实验仪器的熟悉和对实验原理的理解。特别是一些对学生来说陌生而复杂的仪器,经过仿真实验的练习,操作起来既轻松又胸有成竹,从而提高教学效率。同时,降低了大大了损坏率。
2.打破时间和空间的局限,确保开放式实验教学的实施
将仿真实验与网络相结合,以网络为平台开展仿真实验教学。学生可以利用校园网或Internet对实验教学内容进行课前预习和课后复习,使教学内容在时间和空间上得到延伸,学生能够充分的学习和掌握实验教学内容。作为一个“开放的实验室”,学生可以根据自己的时间,在任何地点自主学习,利于学生根据兴趣选择,并能满足不同层次学生的学习需求。同时,给学生提供了自学实验的环境,培养了学生对实验的自学能力。公务员之家
3.节省实验经费,提供无惧环境,保证实验的项目和数量
自然科学前沿领域的高新技术设备价格昂贵,目前伴随着高校办学规模的不断扩大,受教育资金的限制,高校仪器设备的数量和种类相对匮乏,传统单一的实验教学模式已远远不能满足实验教学的需求。多媒体仿真实验以较少的投入,更大灵活性的缓解了上述的矛盾。同时学生可以按自己的设想在多种实验环境中搭建自己的实验。另一方面,部分实验还具有一定的危险性,因此许多学校在开设实验项目时常有所保留,学生也不敢大胆尝试实验。这在很大程度上扼杀了学生创造能力的发展。仿真实验系统认错性很强,在模拟的过程中学生操作一旦出错,系统立即指出调节错误,如果前一步调整不好就不允许进行下一步,迫使学生反复演练直至成功,学生的创造性思维会得到良好的发展。从而保证了实验的项目和数量。
4.真正实现理论教学与实验教学的结合仿真实验可以经过设置或再开发,作为理论教学的辅助工具。一些在学科发展中做出了历史性贡献的典型实验都可以利用仿真实验展现于课堂教学中,通过实验的方法引入新的概念和规律,把理论教学与实验教学有机的融为一体,按照科学探索和研究的过程进行教学,这样可以开阔学生的视野,提高学生实验的学习兴趣。仿真实验以仿真的仪器为主要器材,它所仿真的元器件、仪器仪表和系统功能与真实的硬件存在着必然的差异。仿真实验虽然新颖有趣,但与真实实验仍有距离感。并且,将仿真实验应用于教学,它的整个教学过程都是在计算机上操作完成的,在教学应用中不可避免地具有一定的局限性。
参考文献:
[1]戴君化.电子仿真实验网络化管理的实现[J].科技经济市场,2006,11.[2]彭斌,崔益和.工科院校跨学科实验教学示范中心的建设与实践[J].实验室研究与探索,2008,10.[3]曹越,孟宪纪.建立实验教学质量控制体系的探索[J].理工高教研究,2003,6.[4]夏冰.实验教学目标管理初探[J].交通高教研究.
第五篇:企业网络信息安全策略
企业网络信息安全策略
随着计算机技术和网络的快速发展,网络管理也越来越受到人们的重视,企业的发展更离不开网络,但是网络的质量又直接影响着企业的信息安全管理,因此,企业需要制定一种网络和数据安全策略,提高网络管理员的信息掌控能力,为了把企业网络管理做到安全合理,翔羚科技给广大企业做出以下几点建议。
评估企业网络完整性
评估网络的完整性。“了解自己 IT 基础架构的起点和终点,但仍有为数众多的企业不清楚其网络的整体性。还要了解自己的„正常状态‟是什么,这样能够便于你快速确定问题并作出响应。”重新评估您的可接受使用策略和商业行为准则。“抛弃那种冗长的安全政策清单的做法,只将焦点放在那些您知道自己必须实施且能够实施的政策上。”
做好企业内部人员数据管理
确定必须保护哪些数据。“如果不知道必须保护企业内部的哪些信息,您就无法构建有效的 DLP 计划。您还必须确定企业内部哪些人有权访问这些信息,以及必须采用什么方式。”了解数据所在位置,目前采用什么方式进行保护(以及是否正进行保护)。“确定哪些第三方有权存储您公司的数据(从云服务提供商到电邮营销企业),确保您的信息正得到适当的保护。合规要求,以及当前网络犯罪领域„牵一发而动全身‟的发展趋势都表明,企业绝对不能假设自己的数据是安全的,即便是这些我要走了,今天就早!你给我的工资太高了我受不起啊,我每天都迟到自己感到十分的内疚,不过每天都是我来最早的!合同我已经撕了,你的那份我也帮你偷偷的撕了。我不会怪你的老板,要怪就怪那个宝宝,她怎么就在贵州了呢?我决定了去贵州了解我的下半辈子了!还有你把工资打我卡上吧。信息掌握在可信任的人手里。”
合理采用监控
采用出口监控。“这是一项基本要求,但是很多企业都不够重视,出口监控是一种监控重心的转变,而不是仅侧重于阻止„坏人‟进来。您应该监控那些由内向外发送的内容,包括发送者是谁、发往何处,并拦截那些不允许外泄的内容。”准备迎接必然到来的 BYOD。“企业不要再去想何时转变到 BYOD 模式,而是要开始思考如何转变。”
做好企业应变决策
制定事件响应计划。“IT 方面的风险应该像任何其他业务风险一样对待。这意味着企业需要预先制定明确的计划,以便对任何类型的安全事件迅速作出适当的反应,无论这些事件属于有针对性攻击所造成的数据泄露、员工疏忽导致的违规还是黑客行动主义事件。”实施安全措施帮助弥补对社交网络控制的不足。“不要低估技术控制的强大力量,比如用于抵御网络威胁的入侵防御系统。声誉过滤系统也是一种用于检测可疑活动和内容的基本工具。”监控风险形势的动态变化,及时向用户通报。“企业及其安全团队需要对范围更广的风险来源保持警惕,包括移动设备、云和社交网络,以及未来新技术可能伴随的任何威胁。他们应该采用双管齐下的方法:对安全漏洞泄露作出反应,同时主动教育员工如何保护自身和企业抵御持久、严重的网络威胁。”
点击咨询 