第一篇:网络安全管理结业论文
网络安全管理
摘要:本文论述了网络安全问题的重要性,以及威胁网络安全的因素,并通过分
析作出相应的安全管理措施
关键词:网络 安全 管理
近年来,随着网络威胁的越来越多,人们的网络安全意识也逐步提高,很多企业部署了防火墙、防病毒和IDS等安全产品。有了这些措施,看起来好像一切问题都解决了,但是在面对网络攻击时我们依然损失惨重!这究竟是为什么?问题出在了哪里呢?
首先,我们从网络安全的产品看,网络安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等产品组成的,但是由于安全产品来自不同的厂商,没有统一的标准,因此安全产品之间无法进行信息交流,于是形成许多安全孤岛和安全盲区。这样所看到的永远只是一个相对独立的安全信息,就像是那个盲人摸象的故事,我们看问题只是看到了一个角,而没有看到问题的全部,而那些细节和隐藏在外表下的真相可能恰恰被我们所忽略。它们往往是问题的关键所在。对于电信运营商这样拥有庞大的全国性网络,网络中安全产品成千上万的大型企业,这种问题尤为突出。
同时,网络设备、安全设备、系统每天产生的日志可能有上千甚至几十万条,人工地对多个安全系统的大量日志进行实时审计、分析多流于形式,再加上误报(典型的如NIDS、IPS)、漏报(如未知病毒、未知网络攻击、未知系统攻击)等问题,造成安全事件不能及时准确发现。
此外,在日常的安全管理工作中,为了更好地了解各项设备的工作情况,我们需要统计出大量的报表,如某台服务器的安全情况报表、所有机房发生攻击事件的频率报表、网络中利用次数最多的攻击方式报表等。如果管理员人去对这些事件做统计分析,不但耗费大量人力,而且无法保证统计数据的准确。
还有,管理员发现安全问题后,往往因为安全知识的不足导致事件迟迟不能处理,信息部门主管也不了解哪些管理员对该事件做了处理,处理过程和结果有没有做记录,处理效率低下。
其次,从威胁网络安全的因素来看,总的来看威胁网络安全的因素主要有非法入侵、病毒的侵袭及对网络安全问题的认识不足三种:
一是非法入侵。非法入侵攻击的方式是多样的,如:以各种方式有选择地破坏信息的有效性和完整性,导致数据的丢失和泄密,系统资源的非法占有等;又如,在不影响网络正常工作的情况下截获、窃取、破译以获得重要机密信息;再如,拒绝服务攻击,此种攻击非法占用系统资源,导致系统服务停止崩溃,“蠕虫”病毒就是拒绝服务攻击的一个典型:常见的拒绝服务攻击还包括各种电子邮件炸弹。这些攻击均可对计算机网络构成极大的危害,并导致机密数据的泄露。
二是病毒的侵袭。计算机病毒是一类攻击性程序,它隐藏在计算机系统软件程序和数据资源中,利用系统的软件程序和数据资源进行繁殖并生存,并通过系统软件程序的运行和数据共享的途径进行传染。计算机病毒会影响计算机系统的正常运行,它会破坏系统软件和文件系统。尤其在网络环境下,计算机病毒的传播速度更快,破坏范围更广。它会导致网络效率急剧,系统资源严重破坏,甚至有可能造成整个网络系统的瘫坏,如:CIH病毒和“Iloveyou”等病毒所造成的破坏都说明了在网络环境下,计算机病毒有不可估量的威胁性和破坏力。
三是人们对网络安全问题的认识不足。通常人们将网络系统作为一个纯粹的技术或工程来实施,缺乏统一的安全管理策略和专门的网络安全管理人员。网络系统的安全环境是非常复杂并且不断变化的,很少有人去研究网络安全状态的发展变化、网络入侵手段、系统安全防范措施和安全策略。甚至更少有时间去监控网络的实际活动状态、入侵迹象或系统的错误使用等这就导致了网络系统实际安全状态和预期标准之间相差很远。另一方面,网络用户也只侧重于各类应用软件的操作上面,以期望方便。快捷、高效地使用网络,最大限度地获取有效的信息资源,而很少考虑实际存在的风险和低效率,很少学习密码保管、密码设置、信息保密的必备知识以及防止认为破坏系统和篡改数据的有关技术。
针对以上诸因素我们需设立完整的安全措施。完整的安全措施包括以下五个层面:
1、网络级
目前,在现代典型的计算机系统中,大都采用TCP/IP作为主要的网络通讯协议。TCP/IP结构的开放性、灵活性、易用性、开发性都很好,实施与硬件平台、操作平台无关,互联能力强、网络技术独立、支持多种应用协议。但正是其体系结构的开放性、互操作性的特点,以及该协议在制定时没有考虑安全因素,在安全性方面存在很多隐患,决定了其安全问题的复杂性和安全漏洞的多样性。
TCP/IP的网络结构没有集中的控制,每个节点的地址由自己配置,节点之间的路由可以任意改变,因此服务器很难验证某客户机的真实性。例如:IP欺骗,攻击者可以在一定的范围内直接修改节点的IP地址,冒充某节点的IP地址进行攻击就可能收集到网络、网络用户、网络配置等信息,使攻击者方便地拷贝、窃取、破坏数据;路由选择信息协议攻击,RIP协议用来在局部网中发布动态路由信息,它是为局部网中的节点提供一致路由选择和可达性信息而设计的,但节点对收到的信息不进行真实性检查,因此攻击者可以通过在网上发布错误路由信息,利用ICMP的重走向信息欺骗路由器或主机,实现对网络的攻击。
实际上,从TCP/IP的网络层,人们很难区分合法信息流和入侵数据流拒绝服务就是明显的例子:通过使用系统关键资源过载,从而使受害工作站停止部分或全部服务。
网络级的安全控制包括:什么人对什么内容具有访问权;查明任何非法访问
或偶然访问的入侵者;保证只有授权许可的通信才可以在客户机和服务器之间建立连接;以及传输当中的数据不能被读取和改变。这些就是通常所说的防火墙和虚拟专用网。
所谓的“防火墙”就是综合采用适当技术在被保护网络周边建立一个网络协议,并通过网络配置、主机系统、路由器以及诸如省份认证等手段来实现安全协议。防火墙是一个或一组系统,它在两个网络之间完成访问控制任务。它的主要作用是通过安全控制与监视系统几工作记录文件,阻止未经过授权的交互式登录,这要求管理员必须对要控制和监视的文件做一个设定,以防止记录不必要文件。防火墙的另一个用途是可以监视自身文件系统的完整性,以实现自我保护。利用防火墙的安全屏蔽,可以在防火墙内部构建一个内部网,完整数据的内部处理。一般来说,必须要把数据库服务器置于防火墙内,这样才能阻止未经授权登录;让每个用户都访问的Web服务器放在防火墙内,以达到较好的交互式目的;至于其它服务器,则视情况而定。防火墙也可置于在网络系统内部,将带有不同类型的目的和特性的网络彼此隔离。
值得注意的是,防火墙也有自身的缺点,它是一种被动防御,对于不通过防火墙的攻击它就显得无能为力。
2.系统级
系统的安全防护就是保证整个系统不受外来的入侵,以免受到损失。目前,常见的操作系统主要有Windows、Netware、Unix、Linux等几大家族,而这些系统各自的安全问题随着不同的版本层出不穷。对操作系统平台采取的安全措施包括:采用较高安全强度的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞;如果有需要,甚至可以把系统内核中可能引起安全性问题的部分除掉:增强网络内部合法用户的安全检查素质,提高管理人员的技术水平。
由于是微软出品的原因,WindowsNT使用较广泛,但人们普遍认为WindowsNT的安全性不如Unix,事实上这要取决于管理员的水平,要使WindowsNT也能在复杂的网络环境中实现安全服务,管理员对WindowsNT的功能设置应遵循以下几点原则:
1)系统的管理员帐号改名
对于试图猜测口令的用户,可以设置一定次数的口令输入错误忽略,如三次输入错误日令便禁止再次尝试。但若想探知管理员Administrator的口令,则不能设置此项功能。为此,将Administrator这个管理员登录帐号该为其他,如该为以Controller登录,这就相当于加了双保险,相对安全多了。
2)采用NTFS(NTFileSystem)
NTFS可对文件和目录使用存取控制表(ACL),它可以管理共享目录的合理使用,当共享级权限为“只读”时,某分区所有的权限也将是只读。而FAT(文
件分配表)则只能管理共享级的安全。值得注意的是,NTFS对文件的合理分区是很重要的。对于NTFS,如果权限没有设定好的话,会造成严重的漏洞,比如,一台提供虚拟主机服务的Web,如果权限没有设定好,用户可以轻而易举地篡改删除机器上的任何文件,甚至让WindowsNT崩溃。所以管理员应当对文件权限的设定严格划分,如将Web目录建立在NTFS分区上,非Web目录建立在NTFS分区上,非Web目录不要使用everyonefullcontrol,而应使用
Administratorfullcontrol。
3)打开审计系统
打开审计系统,这样可以知道WindowsNT环境中的安全性是否被攻击。激活该系统的方法是:选择“域用户管理器”中“规则”菜单中的“审核”命令,设置相应的功能收集有用信息。
系统级的安全控制包括:谁能访问服务器或访问者可以干些什么;防止病毒和特洛伊木马的侵入;检测有意或偶然闯入系统的不速之客;进行风险评估,查系统安全配置的缺陷,发现安全漏洞;进行政策审计。这些就是防病毒产品、入侵检测工具和评估审计工具的功能。
3.用户级
动态执行程序破坏浏览器、危害用户系统、窃取用户秘密,最终用户个人信息的滥用,这些都是常见的安全问题。非法的用户利用用户认证系统的脆弱性和疏漏获得一定的权利,实现对目标系统的非法授权访问是常用的手段。用户级的安全主要通过管理用户帐号实现,在用户获得访问特权时设置用户功能或在他们的访问特权不在有效时限制用户帐号是该级安全控制的关键。这项工作主要依靠管理员来完成,而借助于专业的评估审计工具将会使的管理员更加有的放矢。
审计工具使信息系统自动记录下网络中机器的使用时间、敏感操作和违纪操作等。审计类似于飞机上的“黑匣子”,它为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的时时处理提供详细可靠的依据或支持。审计对用户的正常操作也有记载,因为往往有些“正常”操作(如修改数据等)恰恰是攻击系统的非法操作。
对网络进行管理,不能为了追求用户的信赖在安全防护上投机取巧。对安全的风险评估分析很重要,给尽可能多的用户尽可能大的权限可以方便用户,增加网站的利用性和知名度,但同时也使安全系数降低,引起不必要的风险,而严密的安全性则有限制了用户的权限,使得可能失去一些潜在的用户。
4.应用级
随着计算机应用的发展,应用级的功能不断扩展,其地位越来越显著。基于HTTP、FTP、Telnet、Wais、Mailto、SMTP、POP3等协议的各种应用是大家比较熟悉的。这些应用的协议本身存在着这样或那样的安全问题,具体到某一种协议的应用各不相同。因此由于应用级的安全弱点导致的各种网络攻击令人防不胜防。例如:HTTP是TCP应用层的协议,低层TCP的安全与否直接影响HTTP的安全;在HTTP协议方面,攻击着可以利用它的脆弱性进行攻击,如CGI程序、E-mail攻击,HTML中的隐含Format域。
在Web环境下,由于所在的位置无关、无状态性、代码和用户的移动性、通信双方为陌生或不可信,使应用级的安全防护研究工作变的很复杂。现在,应用级的安全控制主要是应用程序和服务的口令和授权的管理,这需要借助于专业的数据访问控制工具。
数据访问控制工具允许用户对其常用的信息库进行适当权利的访问,限制随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围内之外的任何权利。Kerberos存取控制是访问控制技术的一个代表,它由数据库、验证服务器和票据授权服务器三部分组成。其中,数据库包括用户名称、口令和授权进行存取的区域,验证服务器验证存取的人是否有此资格,票据授权服务器在验证之后发给票据允许用户进行存取。
5.数据级
对于网络来说,数据的安全最为重要,保证数据的安全是网络安全的核心。由于TCP/IP自身的性质决定了其上各种应用的数据在传输的过程中都是在不可信的通道中以文明的形式进行,就导致数据在传输过程中存在极大的安全风险,别有用心的攻击者可以监听网络传输中的文明数据,甚至对其进行修改和破坏。数据级的安全主要是指保持数据的保密性和完整性,这需要借助于专业的数据加密工具加:SHTTP,SHEN,SSL。现在我们通过介绍SSL来对数据加密工具有所认识:
IIS(InterInformationSever)提供了一种在其服务协议HTTP和TCP/IP协议之间提供分层数据安全性的协议,称为SSL(SecureSocketLayer),既安全套接层。它是Netscape通信协议制定的HTTP安全标准,它的顶层应用协议不需改变就能安全传输应用信息。SSL本身采用了共用密钢与传统对称加密相结合的方法并加强算法,它有4中加密操作:数据签名、序列加密、分组加密和共用密钥,其目标依次为:加密安全、互操作性、可扩展性、相对高效。它作为专业的数据加密工具,实现身份鉴别、密钥分配、数据加密、防止信息重传和不可否认等安全机制,至今来说仍相当安全。SSL的作用是加密、解密应用程序的字节流,这样,任何HTTP请求和相应中的所有信息,如客户正在请求的URL、任何提交形式内容(E-mail、信用卡号等)、任何HTTP访问身份认证信息和从服务器返回到客户的信息被加密。这样,用户提供的资料就被安全的传输了。当然,使用SSL加密传输的数据要比未加密的要慢,如果太多的信息被加密,则降低整个节点的性能。因此,权衡一下,可用它来加密比较重要的数据和虚拟文件夹。除了使用专业的数据加密工具,加强日常工作中的数据防护非常重要,如:(1)做好数据备份。如今服务器功能越来越大,集中的数据处理越来越多,数据备份
必不可少;计算机硬件系统应有稳定可靠的电源,能够预测故障、保证数据的完整性和数据恢复。一旦遭到破坏,能利用备用计算机继续正常运行。(2)内部管理上制定合理的安全检查规范。明确每位工作人员的权限,杜绝误操作和恶意破坏引起的严重后果。
总之,我们生活在一个网络时代,网络对社会的影响越来越大,与我们的生活越来越不可分,网络经济激发了人类历史上最活跃的生产力,但同时也使的网络的安全问题日渐突出而且情况也越来越复杂。从大的方面来说,网络安全问题已威胁到国家的政治、经济、军事、文化、意识形态等领域,网络时代急切呼唤安全。新的攻击手段和方法层出不穷,使网络安全工作显得很艰巨,网络安全的五个层面其安全风险是交叉重叠的,网络安全作为一个复杂的工程,需要我们深入地加以研究。
参考文献:
谢希仁,《计算机网络》,第三版,大连,大连理工出版社 2000年6月 301页-319页
雷震甲,《网络工程师教程》,第二版,北京,清华大学出版社,2006年6月 249-301页
戚文静,《网络安全与管理》,第一版,北京,中国水利水电出版社,2003年8月1日,参考全书
第二篇:计算机网络安全管理论文.
网络安全管理
[摘要] 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
关键词信息安全;网络;安全性 1 引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。2 信息系统现状 2.1 信息化整体状况
1计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
2应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2 信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
3.1 标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
3.2 系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
3.3 多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
3.4 分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。5 设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
4.1 网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication:确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality:对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity:确保通信信息不被破坏(截断或篡改,通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation:防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
4.2 安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK 支持的S/MIME(Secure Multipurpose Internet Mail Extensions ,它是从 PEM(Privacy Enhanced Mail 和MIME(Internet 邮件的附件标准 发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书 之间相互认证,整个信任关系基本是树状的。其次, S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
4.3 桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效
手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
4.4 身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的
层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
参考文献
[1] 国家信息安全基础设施研究中心、国家信息安全工程技术研究中心.《电子政务总体设计与技术实现》
[2]顾巧论,贾春福《计算机网络安全》 耿立杰109010314
第三篇:网络安全技术及防护管理论文
1网络安全的重要性
计算机网络分布广,体系结构具有开放性,这一点也为网络系统带来了安全性问题,从广义上来说,凡是涉及到网络信息的完整性、可用性、保密性的相关技术与理论都是网络安全的研究领域。
2网络安全的风险探析
(1)用户使用的风险
网络安全风险与用户的使用有直接联系,用户在使用计算机时缺乏一定的安全意识,在具体操作中会产生一些操作失误,容易将不必要的软件安装到计算机中,从而出现安全漏洞,给入侵者创造了机会。
(2)操作系统的安全风险
部分单位企业在利用网络技术操作时很少去考虑系统的安全性、可靠性,对操作系统安全机制设置不足,长此以往,安全风险会逐渐增大,本文将对计算机软件中的安全漏洞进行分析,增加安全机制,净化网络环境。
(3)网络结构安全风险
网络结构安全风险,一般都是由一些不良入侵者闯入企业单位内部进行信息盗取,使大多数企业面临极大安全威胁。电脑高手的入侵手段多种多样,如,远程攻击、内部攻击。远程攻击手段可以利用任意一台机器连接网络实现,内部攻击是指来自本地系统中的攻击,例如“特洛伊木马”、Sniff监听、缓冲区溢出攻击等。“特洛伊木马”是指看起来像是执行用户所需要的功能,但实际上通常是有害的功能程序。而Sniff监听是一种以被动方式在网络上窃取数据的攻击工具,电脑高手利用Sniff可以轻而易举获取有用信息,再通过信息的分析达到控制网络的最终目的。缓冲区溢出攻击是指当目标系统服务程序存在缓冲溢出漏洞时,通过向服务程序缓冲区写入超出一定长度的内容,以至于破坏程序的堆栈。
(4)安全漏洞的出现
计算机软件漏洞的出现与很多因素有关。主要是由于设计人员在对软件进行开发研制时操作失误而产生,安全漏洞在一般情况下不会对计算机软件工作造成影响,一旦漏洞被电脑高手所利用,便会导致软件运行错误,使计算机无法正常工作。漏洞的特性有四点:①在数据处理中由于粗心而造成的逻辑错误;②技术人员在编码中遇到逻辑性错误而产生;③计算机本身环境不稳定,使漏洞频繁出现;④在不同软硬件版本上设置的不同也会导致漏洞产生。安全漏洞的出现对网络安全起到了致命的影响。
3网络安全技术分类研究
(1)虚拟网技术
虚拟网技术的发展基于ATM与以太网技术,它对于网络设置访问有一定控制作用,为网络安全的运行带来了显著效果。然而随着虚拟网交换设备越来越复杂,该技术也带来了新的安全问题。
(2)防火墙技术
防火墙技术是一种用于加强网络控制的技术。它对于网络互联设备的保护、内部网络资源的访问以及网络数据之间的传输都有一定作用。防火墙技术对于电脑高手的袭击有一定效果,然而该技术在实际应用中也逐渐呈现出一些安全问题,对于病毒软件的传送不能完全阻止,为用户带来了极大的威胁。
(3)安全漏洞检测技术
安全漏洞检测技术包括静态检测技术与动态检测技术,静态检测技术主要是利用程序分析技术来对二进制代码进行全面的分析,分析方法有五种:①词法分析;②规则检测,规则检测技术主要是对程序本身进行检查;③类型推导,它主要是通过程序的变量来推导变量访问的正常与否;④模型检测,模型检测主要是利用隐式不动点来对系统状态进行验证;⑤定理证明,这种技术通常是用来判断被检测程序公式的正确与否。动态检测技术是指在源代码不变的情况下对计算机程序进行动态检测,它对电脑高手的恶意代码能够进行有效拦截。
(4)混合检测技术
混合检测技术充分结合了两种技术的优点,同时又避免了二者的缺点,在一定程度上提高了检测效率及准确率,它主要是通过自动化漏洞挖掘器Fuzzing检测技术来实现,对程序运行中出现的异常信息进行分析,漏洞挖掘器根据挖掘对象的不同而不同,大大提高自动化检测效率。
4网络安全技术的有效应用
(1)虚拟网技术的有效应用
VPN技术是虚拟网技术的重要组成部分,它能有效地控制网络专用线路的投入资金,对于设备的要求也相对简单,尽管其复杂性对于网络安全的保障有一定影响,但是该技术具有较高的应用价值,其发展空间也非常广泛。MPLS技术也是虚拟网技术的组成部分之一,该技术的应用需要建立分层服务的提供商,通过CR-LDP方式来建立LSP,为用户提供更多的优质服务,而这个步骤的关键就在于必须对网络中的数据进行传输,与CE设备进行连接,传输形式为DLCL.33。在虚拟网络技术中最为常用的应该是IPSecVPN技术,该技术对于网络系统的安全性能有一定保障作用,为用户提供完整的数据。
(2)防火墙技术的有效应用
防火墙技术分为代理、NAT、包过滤、状态监测等几种技术。以包过滤技术的应用为例。包过滤技术对于网络安全的改善有一定作用它能将网络运行过程的一些问题呈现出来,不遗余力地将网络虚假的安全感破坏掉,对网络安全进行修复,我们在利用该技术时,必须对其优势及确缺点充分了解,让其有效性得到完全发挥。
(3)安全漏洞技术的有效应用
安全漏洞的出现具有随机性,技术人员很难对其进行把控,检测技术则可以随时对安全漏洞的出现进行预防。对于在竞争条件下形成的漏洞,我们可以采取将竞争的编码应用原子化来进行操作,在执行单位中,编码是最小的。因此,在程序运行过程中,不会对其造成干扰。这种检测技术主要是在数码中直接应用,电脑高手在这种技术下不会有任何创建格式串的机会,它能够在一定程度上做好预防安全漏洞的工作。安全漏洞检测技术在计算机软件中的运用十分普遍,它使计算机的安全性能得到了充分保证,可以对随机出现、难以掌控的漏洞进行预防,对于电脑高手的破坏、入侵也能起到很好的防范作用,它是现代计算机软件中不可或缺的部分,它对信息技术发展起到至关重要的作用。
(4)混合检测技术的有效应用
混合检测技术具有实用性好、自动化程度高等特点,它是静态检测技术与动态检测技术的结合,然而我们在该技术的实际应用依然停留在某一单一功能检测上,容易造成漏报等情况,从而在实际应用中并某一取得预期的效果,仍然有待改进。
5结束语
随着网络技术的普及,它在生产生活中的应用逐渐广泛起来,为人们带来许多便利,人们可以利用该技术网购、看电影等等。网络技术的先进在一定程度上改变了人们的生活方式,然而,正是因为该技术的覆盖率相对广泛,导致在实际应用过程中呈现出越来越多的安全问题,据此,我们必须采取相应防护措施加以改善,尽管我国目前的安全防护技术不够完善,但相信随着科技的发展,我国在网络安全防护技术上一定会取得更大的进步,确保网络良好运行。
第四篇:物流管理选修课结业论文(范文模版)
《物流管理》期末考查大作业
学号: 姓名: 专业: 分数:
2011~2012第二学期 物流中的“物”是物质资料世界中同时具备物质实体特点和可以进行物理性位移的那一部分物质资料。“流”是物理性运动,这种运动有其限定的含义,就是以地球为参照系,相对于地球而发生的物理性运动,称之为“位移”。流的范围可以是地理性的大范围,也可以是在同一地域、同一环境中的微观运动,小范围位移。“物”和“流”的组合,是一种建立在自然运动基础上的高级的运动形式。其互相联系是在经济目的和实物之间,在军事目的和实物之间,甚至在某种社会目的和实物之间,寻找运动的规律。因此,物流不仅是上述限定条件下的“物”和“流”的组合,而更重要在于,是限定于军事、经济、社会条件下的组合,是从军事、经济、社会角度来观察物的运输,达到某种军事、经济、社会的要求。
物流是指为了满足客户的需要,以最低的成本,通过运输、保管、配送等方式,实现原材料、半成品、成品及相关信息由商品的产地到商品的消费地所进行的计划、实施和管理的全过程。
零库存是一种特殊的库存概念,零库存并不是等于不要储备和没有储备。所谓的零库存,是指物料(包括原材料、半成品和产成品等)在采购、生产、销售、配送等一个或几个经营环节中,不以仓库存储的形式存在,而均是处于周转的状态。它并不是指以仓库储存形式的某种或某些物品的储存数量真正为零,而是通过实施特定的库存控制策略,实现库存量的最小化。所以“零库存”管理的内涵是以仓库储存形式的某些种物品数量为“零”,即不保存经常性库存,它是在物资有充分社会储备保证的前提下,所采取的一种特殊供给方式。实现零库存管理的目的是为了减少社会劳动占用量(主要表现为减少资金占用量)和提高物流运动的经济效益。如果把零库存仅仅看成是仓库中存储物的数量减少或数量变化趋势而忽视其他物质要素的变化,那么,上述的目的则很难实现。因为在库存结构、库存布局不尽合理的状况下,即使某些企业的库存货物数量趋于零或等于零,不存在库存货物,但是,从全社会来看,由于仓储设施重复存在,用于设置仓库和维护仓库的资金占用量并没有减少。因此,从物流运动合理化的角度来研究,零库存管理应当包含以下两层意义:(1)库存货物的数量趋于零或等于零;(2)库存设施、设备的数量及库存劳动耗费同时趋于零或等于零。后一层意义上的零库存,实际上是社会库存结构的合理调整和库存集中化的表现。供应链目前尚未形成统一的定义,许多学者从不同的角度出发给出了许多不同的定义。
早期的观点认为供应链是制造企业中的一个内部过程,它是指把从企业外部采购的原材料和零部件,通过生产转换和销售等活动,再传递到零售商和用户的一个过程。传统的供应链概念局限于企业的内部操作层上,注重企业自身的资源利用。
有些学者把供应链的概念与采购、供应管理相关联,用来表示与供应商之间的关系,这种观点得到了研究合作关系、JIT关系、精细供应、供应商行为评估和用户满意度等问题的学者的重视。但这样一种关系也仅仅局限在企业与供应商之间,而且供应链中的各企业独立 3 运作,忽略了与外部供应链成员企业的联系,往往造成企业间的目标冲突。
后来供应链的概念注意了与其他企业的联系,注意了供应链的外部环境,认为它应是一个“通过链中不同企业的制造、组装、分销、零售等过程将原材料转换成产品,再到最终用户的转换过程”,这是更大范围、更为系统的概念。例如,美国的史迪文斯(Stevens)认为:“通过增值过程和分销渠道控制从供应商的供应商到用户的用户的流就是供应链,它开始于供应的源点,结束于消费的终点”。伊文斯(Evens)认为:“供应链管理是通过前馈的信息流和反馈的物料流及信息流,将供应商、制造商、分销商、零售商,直到最终用户连成一个整体的模”。这些定义都注意了供应链的完整性,考虑了供应链中所有成员操作的一致性(链中成员的关系)。
而到了最近,供应链的概念更加注重围绕核心企业的网链关系,如核心企业与供应商、供应商的供应商乃至与一切前向的关系,与用户、用户的用户及一切后向的关系。此时对供应链的认识形成了一个网链的概念,像丰田、耐克、尼桑、麦当劳和苹果等公司的供应链管理都从网链的角度来实施。哈理森(Harrison)进而将供应链定义为:“供应链是执行采购原材料、将它们转换为中间产品和成品、并且将成品销售到用户的功能网”。这些概念同时强调供应链的战略伙伴关系问题。菲力浦(Phillip)和温德尔(Wendell)认为供应链中战略伙伴关系是很重要的,通过建立战略伙伴关系,可以与重要的供应商 4 和用户更有效地开展工作。在研究分析的基础上,我们给出一个供应链的定义:供应链是围绕核心企业,通过对信息流、物流、资金流的控制,从采购原材料开始,制成中间产品以及最终产品,最后由销售网络把产品送到消费者手中的将供应商、制造商、分销商、零售商、直到最终用户连成一个整体的功能网链结构模式。它是一个范围更广的企业结构模式,它包含所有加盟的节点企业,从原材料的供应开始,经过链中不同企业的制造加工、组装、分销等过程直到最终用户。它不仅是一条联接供应商到用户的物料链、信息链、资金链,而且是一条增值链,物料在供应链上因加工、包装、运输等过程而增加其价值,给相关企业都带来收益
供应链管理(Supply Chain Management ,简称SCM):就是指在满足一定的客户服务水平的条件下,为了使整个供应链系统成本达到最小而把供应商、制造商、仓库、配送中心和渠道商等有效地组织在一起来进行的产品制造、转运、分销及销售的管理方法。供应链管理包括计划、采购、制造、配送、退货五大基本内容。
计划:这是SCM的策略性部分。你需要有一个策略来管理所有的资源,以满足客户对你的产品的需求。好的计划是建立一系列的方法监控供应链,使它能够有效、低成本地为顾客递送高质量和高价值的产品或服务。
采购:选择能为你的产品和服务提供货品和服务的供应商,和供应商建立一套定价、配送和付款流程并创造方法监控和改善管 理,并把对供应商提供的货品和服务的管理流程结合起来,包括提货、核实货单、转送货物到你的制造部门并批准对供应商的付款等。
制造:安排生产、测试、打包和准备送货所需的活动,是供应链中测量内容最多的部分,包括质量水平、产品产量和工人的生产效率等的测量。
配送:很多“圈内人”称之为“物流”,是调整用户的定单收据、建立仓库网络、派递送人员提货并送货到顾客手中、建立货品计价系统、接收付款。
退货:这是供应链中的问题处理部分。建立网络接收客户退回的次品和多余产品,并在客户应用产品出问题时提供支持。
现代商业环境给企业带来了巨大的压力,不仅仅是销售产品,还要为客户和消费者提供满意的服务,从而提高客户的满意度,让其产生幸福感。科特勒表示:“顾客就是上帝,没有他们,企业就不能生存。一切计划都必须围绕挽留顾客、满足顾客进行。”要在国内和国际市场上赢得客户,必然要求供应链企业能快速、敏捷、灵活和协作地响应客户的需求。面对多变的供应链环境,构建幸福供应链成为现代企业的发展趋势。
团队(Team)是由员工和管理层组成的一个共同体,它合理利用每一个成员的知识和技能协同工作,解决问题,达到共同的目标。团队的构成要素总结为5P,分别为目标、人、定位、权限、计划。团队 和群体有着根本性的一些区别,群体可以向团队过渡。一般根据团队存在的目的和拥有自主权的大小将团队分为三种类型:问题解决型团队、自我管理型团队、多功能型团队。
团队的定义:乐意的为既定的目标相互协作,提供自己的知识和技能的一群人。
在学校:班级、少先队或团支部 在家庭:亲情维系系统 在社会:生产关系中支配与服从
第五篇:网络安全论文(定稿)
网络信息安全与应用
论文
课程:计算机网络信息安全与应用 课题:计算机网络安全及其防范
学院:
专业: 班级: 姓名: 学号:
2016年10月25日
摘 要
伴随网络技术使用范围的不断扩大,它在各行各业的应用越来越广泛,我们在看到网络技术所带来的巨大经济效益的同时也不应忽视网络安全现状的思考,计算机网络中的一些不安全因素正逐渐威胁到正常的网络秩序,网络安全问题亟需引起人们的高度重视。作为互联网的基础设置,计算机信息网络的安全防护工作至关重要,安全防护意识的缺乏不仅会加剧计算机病毒和网络黑客的肆意入侵,同时对于网络用户也存在着重大的威胁。因此,采取必要的措施来防范计算机网络的安全漏洞有着极其重要的现实意义。
关键词:计算机网络;安全漏洞;网络黑客;防范措施
目前计算机网络技术的高速发展对人们的日常动作生活产生了极大冲击,随着计算机网络技术应用范围的不断扩大,网络的重要性不容忽视。然而,网络技术的发展也随之产生的一些问题,网络黑客和网络病毒的肆意泛滥给我们的网络安全带来了巨大威胁,与此同时网络信息资源的开放性也使得信息安全问题很难从根本上得到保障,由于网络安全事故导致的各项损失正成倍增长,针对计算机网络安全漏洞的防范迫在眉睫。作为一项系统化工程,计算机网络的安全防护问题是长期性的,需要我们在实践中积累经验,切实做好网络安全的规划与落实。
一、计算机网络安全漏洞
网络安全主要侧重指网络信息方面的安全性,涉及到网络系统的数据流动与存储问题。网络系统遭遇外界环境攻击时,信息数据的破坏不可避免。除此之外,网络病毒和木马的肆意泛滥也阻碍了网络安全工作。现阶段掌上电脑和手机等无线终端的出现更加偏向于个人计算机,这些无线终端领域的网络攻击问题也正在扩大,网络安全的复杂化成为必然趋势。当前计算机网络安全漏洞集中表现在以下几方面:
(1)网络系统的脆弱性。由于计算机网络的开放性特征,错综复杂的网络体系中存在成千上万的计算机网络用户,而这一开放性特征也使得网络系统本身更加脆弱,在防范病毒及黑客入侵方面表现出明显的不足,这也导致计算机网络的安全隐患就此形成。TCP/IP协议本身就存在着数据得篡改等问题。
(2)用户网络安全意识的缺乏。安全意识缺乏是当前计算机网络用户普遍存在的问题,失误性操作使得用户账号泄露问题常常发生。由于安全意识不够,不少计算机网络工作着并没有认识到网络安全防范的必要性,信息系统管理方面缺少对应的安全技术规范,无论是信息监测还是网络维护都显得不够到位。
(3)互联网协议的安全。在TCP/TP协议族中,包含的协议20多种,随着新的网络应用不断出现,很多公司都应用了自主知识产权的网络通信协议。每种协议都有自己特定功能,因此存在一定的安全漏洞。很多网络攻击正是利用了这些漏洞才导致了协议安全受到了威胁。
(4)恶意软件的存在。利用计算机操作系统和程序的脆弱性及漏洞进行攻击的恶意软件,这里所说的程序包括一般的应用程序,也包括工具程序,如编译器和编辑器等。
二、计算机网络安全的防范措施
2.1 防火墙、入侵检测系统(IDS)和入侵保护系统(IPS)
1)防火墙控制内网用户可以访问互联网的服务类型,网络层防火墙可以通过IP包中的IP地址和传输层端口号来过滤数据流;可使用代理服务软件,它在转发每个服务求之前对其接收和转换;或者直接控制Web或电子邮件等服务器软件。确定进出局域网的数据流方向,可发起某类服务请求并允许经过防火墙。对不同的用户允许访问互联网的不同服务,主要针对防火墙内侧的本地用户。也可以用于控制外部用户发向局域内的流量,这需要采用如IPSec等所提供的身份认证技术。
2)入侵检测系统(IDS)用于监测网络或主机通信行为的设备或软件,当发现有恶意的或违反了网络安全策略的行为就向管理站发送报告。入侵保护的过程包含了入侵检测以及阻止检测到的安全事件进程两个步骤。入侵检测和入侵保护系统的基本功能是:识别网络数据流中可疑的安全事件,记录安全事件的信息,阻止恶意行为的进程,将安全事件向管理员报告。
3)入侵保护系统(IPS)使用3类检测方法:基于已知数据特征的检测,基于统计分析的检测,基于全状态的协议数据分析检测。IPS的主要功能:
一、入侵防御:实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、DDoS等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏。
二、流量控制:阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用的全天候畅通无阻。
三、上网行为监管:全面检测和管理用户的IM及时通信、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。2.2 网络漏洞特征信息库的构建
对于计算机网络安全检测工作而言,安全防护的高效性还体现在网络漏洞特征信息库的建设方面,借助网络漏洞信息库来提升安全漏洞验证的准确性。因此,每一个网络漏洞都应对应特征码,通过对网络数据包的实践检测来保证数据包测试的效率。网络漏洞本身千差万别,漏洞种类极其繁多,这就更加突出特征码提取的重要性,准确的特征码是对安全漏洞进行分析的必要前提。从漏洞扫描方式分析,科学扫描代码分离技术在漏洞特征信息库中的应用能够更好地实现对网络信息系统的安全维护。2.3 主机的安全访问控制系统
安全访问控制策略应当在访问者和被访问者两个方面都实施。访问控制模型的基本元素:主题、对象、访问权限。一个高安全级别的主体不能将信息传位于低安全级别或非可比等级的主体,除非这些信息流准确的反映了某一个授权用户的意愿。多级别安全系统必须增强两个方面的控制:禁止一个主体阅读高于自己安全级别的对象;禁止主体书写低于自己安全级别的对象。
2.4 数据加密与备份技术
计算机网络数据保密的最常见方法表现为数据加密,其中加密算法是加密技术的核心要点,它主要包括异或加密法、循环移位加密法、替换加密法和换位加密法四种形式。数据加密能够有效保障计算机网络的数据信息安全。然而一些潜在的因素,比如人为破坏、系统故障或是自然灾害等也会对网络系统造成威胁,因此数据存储备份技术的应用也不可忽视。通常数据备份包括存储备份策略、存储硬件备份以及存储软件备份等方面,产品选择过程应当考虑其自动化存储性能,降低人工参与度。
总结:
全球化信息时代的到来使得计算机网络技术逐渐得到普及,人们对于网络安全的关注度也不断提高。随着网络安全事故的频繁发生,网络系统破坏、网络黑客入侵、网络病毒蔓延等问题对于计算机网络安全造成了重大威胁。由于计算机网络覆盖率全球几乎所有的生活与工作领域,因此网络安全威胁所造成的后果自然是不可想象的,网络安全是当前计算机网络技术研究的核心与根源问题。除了必要的安全策略与防护措施之外,关于高素质网络管理人才的培养也不容忽视,只有切实贯彻落实计算机网络安全防范制度,才能从根本上保障计算机网络系统的安全与稳定,这对于网络信息安全而言至关重要。
参考文献:
[1]杜林,李世运.计算机网络安全及防护策略[J].电脑知识与技术,2009(21).[2]乌小茜,王千龙,马星.浅析计算机网络安全[J].网络与信息,2009(05).[3]赵丽.计算机网络安全与防火墙技术[J].新疆农业职业技术学院学报,2007(01).[4]朱咆玲.计算机安全漏洞研究[J].通信市场,2009(07).
点击咨询 