前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的談談對網(wǎng)絡安全的理解主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:校園局域網(wǎng);安全問題;解決措施
校園局域網(wǎng)的運用,既可以提高課堂教學效率,又能豐富學生的文化知識視野,網(wǎng)絡與信息系統(tǒng)的應用已經(jīng)成為高校課程教學必不可少的幫手。然而,校園局域網(wǎng)在使用過程中不可避免受到各個方面問題的困然,給課程教學帶來意想不到的麻煩?;谝陨蠁栴},校園局域網(wǎng)絡系統(tǒng)的完好運行除了必須依賴于完善的管理之外,還應該加強校園局域網(wǎng)的信息安全與病毒防治工作,才能為正常的課程教學提供良好的環(huán)境支持和保障。
1 校園局域網(wǎng)存在的安全問題
目前來說,互聯(lián)網(wǎng)存在的最大的安全問題就是病毒的入侵,對于電腦病毒,我們都不陌生,在正常的網(wǎng)絡情況下,只要有一臺主機有病毒,就可在幾十分鐘內(nèi)將病毒通過互聯(lián)網(wǎng)迅速的傳播開來,,從歷年來的“沖擊波”到“熊貓燒香”等病毒,都給我們的計算機用戶帶來了災難,使中毒的計算機工作癱瘓,用戶承受巨大經(jīng)濟損失。然而,很多人都存在一定的誤區(qū),以為局域網(wǎng)有防火墻,單機就可以很安全了,可以不需要再安裝防火墻,其實不然,在很多時候的網(wǎng)絡攻擊都來自局域網(wǎng)的內(nèi)部。當我們在進行一些文件共享以及移動儲存設備進行信息的傳輸及轉(zhuǎn)移時,往往就會把隱藏在文件或是系統(tǒng)中的病毒傳播到其他的主機,從而以類似的方式使病毒蔓延開來,電腦病毒又由于其具有傳染速度快、傳播形式復雜、破壞性大、難以徹底清除等特點讓計算機用戶談毒色變。
2 解決措施
2.1 安裝殺毒軟件和防火墻技術(shù)
隨著互聯(lián)網(wǎng)的發(fā)展及技術(shù)的更新,病毒的種類及傳播形式也在不斷的更新,越來越多的電腦可能遭受病毒的入侵,有些病毒如蠕蟲病毒等并不需要打開網(wǎng)頁都能在不知不覺中進入我們的電腦,所以安裝殺毒軟件及應用防火墻技術(shù)十分必要,防火墻技術(shù)一般將內(nèi)部局域網(wǎng)與Internet之間或與其它外部網(wǎng)絡互相隔離,采用硬件防火墻,其轉(zhuǎn)發(fā)速率和安全性較高。安裝后我們也要及時更新和升級,讓電腦時刻處于一個安全的網(wǎng)絡環(huán)境。另外由于許多的病毒和黑客軟件有關閉防火墻的功能,所以我們還要隨時注意和檢查我們電腦的防火墻所處的狀態(tài),一旦發(fā)現(xiàn)異常情況,應立即采用殺毒軟件進行病毒的查殺。
2.2 及時安裝系統(tǒng)補丁程序和應用軟件的補丁程序
病毒的制造者和殺毒軟件的制造者永遠都處于一個動態(tài)的博弈過程,新的病毒一出現(xiàn),馬上就會研制出想對應的殺毒軟件,相同的,一旦殺毒軟件存在安全漏洞,就有人制作最新的漏洞利用工具,因此,僅僅只是依靠系統(tǒng)自動安裝的補丁程序是遠遠不夠的?,F(xiàn)在研制殺毒軟件的公司往往會針對目前計算機網(wǎng)絡中流行的病毒和漏洞而特別研制系統(tǒng)補丁程序,修復存在的安全漏洞,如不及時安裝這些補丁程序,很容易使計算機感染最新的病毒,造成網(wǎng)絡的運行出現(xiàn)問題,因此,及時及時安裝系統(tǒng)補丁程序和應用軟件的補丁程序十分必要。
2.3 加強人員的網(wǎng)絡安全知識培訓
計算機安全匯集了硬件、軟件、網(wǎng)絡、人員及他們之間相互關系和接口的系統(tǒng)。在計算機應用過程來看,人起著最主打的作用,很多環(huán)節(jié)都離不開人工操作,正是由于在信息的傳遞過程中的具體操作者是人,所以人是影響網(wǎng)絡安全的主導者,同時人也是網(wǎng)絡安全中最薄弱的一個環(huán)節(jié),有些用戶可能沒有體會過電腦病毒所帶來的危害,所以對網(wǎng)絡安全的意識很單薄,在應用計算機的過程中顯得隨意,但歷史的教訓是裸的,網(wǎng)絡病毒帶來的災難時巨大的,通過培訓,要使每個應用者意識到重視網(wǎng)絡安全的必要性,讓每個工作人員明白數(shù)據(jù)信息安全的重要性,理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責任。很多局域網(wǎng)用戶喜歡將文件進行共享,以方便資源利用。一旦設置了共享,就為病毒和木馬留有后門,為局域網(wǎng)安全埋下很大隱患。因此,對人員進行網(wǎng)絡安全知識的培訓十分必要,這樣不僅能增強網(wǎng)絡應用人員的自身知識,同時也加強了他們的安全防范意識,使計算機在應用過程中最大程度的減少人為的危險因素。
2.4 限制非法用戶的訪問
隨著計算機的廣泛應用和辦公的需要,越來越多的單位都建立了自己的局域網(wǎng)絡,在局域網(wǎng)絡中,每臺計算機一般都擁有自己的固定的IP地址,但IP地址往往容易進行修改,給局域網(wǎng)的管理帶來一定的麻煩,所以,為了保證局域網(wǎng)的安全,應防治對網(wǎng)絡設備的隨意修改,限制某些IP地址對局域網(wǎng)絡的訪問,對一些試圖對網(wǎng)絡進行修改和訪問的用戶利用軟件進行預防或跟蹤,確保局域網(wǎng)安全。
本文針對局域網(wǎng)存在的安全問題,總結(jié)了幾點針對性的解決方法,但隨著網(wǎng)絡通信技術(shù)的發(fā)展,新的問題會不斷涌現(xiàn),網(wǎng)絡安全問題也會越來越復雜,所以局域網(wǎng)的維護是一個長期的、動態(tài)的過程,一刻都不容放松,不斷的進行學習,提高計算機網(wǎng)絡的管理水平,加強每個細節(jié)的管理,提高每個局域網(wǎng)用戶的安全防范意識,針對存在的安全問題建立對應的安全管理策略,采用和選擇適應的安全工具,是局域網(wǎng)信息安全的保證和前提。
[參考文獻]
[1]冉雪雷.關于計算機中心局域網(wǎng)病毒防治技術(shù)的探討[J].淮北職業(yè)技術(shù)學院學報,2010,1:74.
[2]王秀,楊明.計算機網(wǎng)絡安全技術(shù)淺析[J].中國教育技術(shù)設備,2007,5:93.
關鍵詞:虛擬機技術(shù);計算機網(wǎng)絡安全教學;實際應用
計算機網(wǎng)絡安全教學本身受制于短暫的教學周期,且其常常會涉及到大量略帶抽象性和邏輯性的知識概念,使得學生在學習和實踐運用的過程中經(jīng)常會存在理解障礙等問題,影響了教學效率與教學質(zhì)量的優(yōu)化和提升。為此,教師開始嘗試在計算機網(wǎng)絡安全教學中靈活運用虛擬機技術(shù),通過高度還原和逼真模仿真實的網(wǎng)絡環(huán)境,從而可以進一步強化學生的實踐體驗,從而幫助其達到內(nèi)化所學知識內(nèi)容的重要目的。
1計算機網(wǎng)絡安全教學現(xiàn)狀分析
計算機網(wǎng)絡安全教學的根本目的在于在幫助學生正確認識網(wǎng)絡環(huán)境的基礎之上,加深對計算機網(wǎng)絡安全知識的理解與認知,并且能夠掌握基本的維護計算機網(wǎng)絡安全的技能,從而在日后的計算機使用當中能夠有效避免其受到木馬病毒、惡意程序等攻擊。由此我們不難發(fā)現(xiàn),計算機網(wǎng)絡安全教學對實踐性有著極高的要求,但事實上,由于受到教學條件的限制,學校中實驗室數(shù)量比較少,而學生在上機操作時教師也很難進行統(tǒng)一管理,使得目前的計算機網(wǎng)絡安全教學實踐性表現(xiàn)略有不足。同時受到考試等因素的影響,在實際教學當中教師也更加側(cè)重于基礎理論知識的講解與教學,使得計算機網(wǎng)絡安全教學存在明顯的“紙上談兵”的現(xiàn)象[1]。
2虛擬機技術(shù)的簡單介紹
2.1基本內(nèi)涵
虛擬機也被稱之為邏輯機等,指的就是一種虛擬的主機。而虛擬機技術(shù)指的就是利用模擬的方式實現(xiàn)對主機的高度還原,構(gòu)建出一種可以進行實踐操作的虛擬系統(tǒng)技術(shù)。為了能夠更加具有逼真效果,虛擬機需要同時具備真實的計算機軟件環(huán)境,同時也需要各類虛擬硬件設備作為支撐。以VMware為例,其作為虛擬機軟件中的一種,可以通過占用同一臺計算機的部分內(nèi)置存儲即可實現(xiàn)多臺虛擬機的同步模擬。也就是說,多臺虛擬機均可以同時在一臺計算機中完成運行,并且在實際運行虛擬機的過程中,操作系統(tǒng)之間互不干擾具有良好的獨立性,一旦有聯(lián)網(wǎng)需求,隨時可以將多臺虛擬機并入其中[2]。
2.2重要作用
針對在當前計算機安全網(wǎng)絡教學當中學生上機實踐次數(shù)比較少、教師難以統(tǒng)一管理的問題,虛擬機技術(shù)無論是虛擬機的運行還是構(gòu)建均無需分別在各個計算機中完成,這也使得學校能夠有效節(jié)省一大筆用于建設建設實驗室的資金。而教師在教學網(wǎng)絡當中并入多個虛擬機,構(gòu)建起一個完整的聯(lián)機系統(tǒng)可以實現(xiàn)統(tǒng)一管理學生的上機操作行為。另外,虛擬機系統(tǒng)實際上只是計算機硬盤中的某一部分文件,因此如果收到病毒感染或是惡意程序的攻擊,通過刪除源文件即可有效解決,加之其在連接至計算機網(wǎng)絡之后能夠與實際計算機之間進行信息的交流訪問,因此對于優(yōu)化計算機安全網(wǎng)絡教學具有十分重要的幫助作用。
3虛擬機技術(shù)在計算機網(wǎng)絡安全教學中的應用及注意事項
3.1合理設置虛擬機數(shù)量
教師在計算機網(wǎng)絡安全教學中運用虛擬機技術(shù),首先需要結(jié)合實際情況合理設置虛擬機的數(shù)量,避免出現(xiàn)對硬件資源造成過度占用的情況。通常情況下,普通的實訓教學內(nèi)容通過兩個虛擬機即可完成,如果設置過多的虛擬機數(shù)量,將會使系統(tǒng)運行速度被迫減慢。另外,需要根據(jù)實際主機安裝的系統(tǒng),將其同樣安裝在虛擬機當中,并安裝好相應的虛擬軟件;最后教師需要利用網(wǎng)絡橋接等方式將虛擬機聯(lián)入教學網(wǎng)絡當中,使得其能夠更好地對計算機網(wǎng)絡環(huán)境進行模仿和再現(xiàn),為學生的實驗操作創(chuàng)造有利環(huán)境。而考慮到構(gòu)建、運行虛擬機需占用的內(nèi)存往往比較大,因此教師最后能夠選擇高配置的機房,避免操作系統(tǒng)出現(xiàn)卡頓等現(xiàn)象[3]。
3.2需結(jié)合具體教學內(nèi)容
立足于具體的計算機網(wǎng)絡安全教學內(nèi)容,教師需要靈活傳插運用虛擬機技術(shù)。譬如說在講解黑客工具及其使用時,教師可以通過使用PPT等教學課件向?qū)W生講解Y有關黑客使用工具的基礎理論知識,包括工具的種類、使用危害以及基本使用方法等等,在此之后教師可利用虛擬機技術(shù)進行分步驟展示,從而幫助學生更加清晰直觀地了解具體黑客工具的操作過程,并由此能夠?qū)诳凸ぞ弋a(chǎn)生一個更加全面、系統(tǒng)的認知,而根據(jù)學生的實際掌握情況,教師可以通過適當使用重復或是回放等功能,對某一步驟進行重點講解,使得教學能夠更加具有針對性和實踐性。在此基礎之上,教師可以積極引導學生結(jié)合自身的實際生活經(jīng)驗,談談應該如何應對黑客的攻擊,使得學生能夠不斷調(diào)動其學習計算機網(wǎng)絡安全知識技能的興趣與熱情[4]。
3.3與網(wǎng)絡實驗進行融合
在計算機網(wǎng)絡安全教學當中涉及了大量的網(wǎng)絡實驗,而以往受到種種因素的限制教師在網(wǎng)絡實驗教學方面表現(xiàn)不足,不僅學生參與實驗的機會和次數(shù)比較少,而且處于對網(wǎng)絡設備的維修和管理等角度,往往需要學生以小組的形式進行多人連網(wǎng)實驗,這在一定程度上也影響了學生獨立完成實驗。尤其是部分學習能力和實踐能力比較弱的學生,在與學習能力、實踐能力均比較強的學生為一組時,容易下意識對其產(chǎn)生依賴,無法實現(xiàn)獨立學習。而教師通過使用虛擬機技術(shù),在為學生模擬創(chuàng)造出幾乎真實的計算機網(wǎng)絡環(huán)境之下,學生可以單獨完成實驗。譬如說在黑客工具使用的網(wǎng)絡實驗當中,學生可以根據(jù)應用程序提供的虛擬機顯示器,結(jié)合自身的興趣等任意選擇一種黑客工具對系統(tǒng)進行“攻擊”操作,從而真切地感受到黑客對計算機系統(tǒng)以及網(wǎng)絡安全環(huán)境的破壞影響,而之后教師只需要引導學生找到計算機當中虛擬機對應的相關源文件并將其進行刪除即可使得計算機恢復原狀,從而有效避免了因?qū)W生在實際主機當中進行黑客工具使用的網(wǎng)絡實驗,而導致主機系統(tǒng)或其他網(wǎng)絡設備出現(xiàn)故障等問題。但教師在此過程中需要注意的是,在正式進入網(wǎng)絡實驗教學之前,需要提前設置好虛擬機的數(shù)量并進行啟動,從而避免造成教學時間的無謂浪費。
4結(jié)束語
總而言之,虛擬機技術(shù)能夠?qū)⒄鎸嵉木W(wǎng)絡環(huán)境進行再現(xiàn),使得學生可以通過在實體計算機上進行虛擬操作以及實例演示,進而實現(xiàn)將學習到的計算機網(wǎng)絡安全知識與技能進行靈活運用,對提升學生的學習成效、優(yōu)化教學成果等均具有積極的促進作用。尤其是在虛擬機技術(shù)的使用之下,用于設備維護等方面的費用得以有效控制,因此在未來,教師還需要在具體問題具體分析的理念之下,積極拓展虛擬機技術(shù)在計算機網(wǎng)絡安全教學中的運用方式方法等,并嘗試在其他和網(wǎng)絡環(huán)境有關的課程中引入虛擬機技術(shù),使其能夠充分發(fā)揮出有效作用。
作者:謝芳 單位:湖南省石油化工技工學校
參考文獻:
[1]孫愛梅,韓友蘭,趙博.計算機安全技術(shù)實驗教學中虛擬機技術(shù)的實踐應用[J].計算機教育,2016.
[2]鄧富強,馬選民.VMware虛擬機技術(shù)在計算機信息安全教學中的應用[J].網(wǎng)絡與信息,2016.
摘 要 隨著我國的信息科技的迅速發(fā)展和在交通行業(yè)的廣泛應用,對交通事業(yè)產(chǎn)生了重大的影響。因此,只有不斷推動交通管理的信息化建設,借助和使用現(xiàn)代信息技術(shù),我國交通行業(yè)才能適應交通建設、生產(chǎn)和管理等各個環(huán)節(jié)發(fā)展需求,更好服務公眾。
關鍵詞 交通管理 信息化 建設
隨著我國經(jīng)濟的快速發(fā)展,全國很多城市都在加大投入建立相應的管理系統(tǒng)和設施來改善城市的交通狀況,以高等科學技術(shù)為基礎的交通信息化建設對一個地區(qū)經(jīng)濟的發(fā)展影響越來越大,因此,我們必須加強交通管理的信息化建設,為城市道路基礎建設提供更多的信息服務,以全面提升整個交通行業(yè)的管理水平。
一、我國交通管理信息化建設的現(xiàn)狀分析
我國從上世紀80年代開始進行,交通管理信息化建設已經(jīng)有十年的發(fā)展歷程,經(jīng)歷了由無到有、從小到大、從單項業(yè)務到關聯(lián)集成的發(fā)展過程,建立起了一套比較完整、高效的體系。從發(fā)展狀況來看,當前的交通管理信息系統(tǒng)應用規(guī)模不斷擴大,應用水平不斷提高,信息系統(tǒng)正處在從滿足基本業(yè)務需求到追求深化應用、資源整合和信息共享的過渡轉(zhuǎn)變期,但在過渡轉(zhuǎn)變期內(nèi),交通信息管理化建設也存在一些問題:
(一)缺乏對信息化建設的統(tǒng)一認識
錯誤的把信息化建設簡單理解為網(wǎng)絡技術(shù)的改進,將信息化當作是信息技術(shù)部門的工作,與己無關。這些錯誤認識直接導致了信息系統(tǒng)建設水平處于一般事務處理和簡單信息管理的階段,呈現(xiàn)出信息孤立、資源不能共享、信息化建設綜合優(yōu)勢得不到有效發(fā)揮的局面。不注重思想與理念的轉(zhuǎn)變,對信息技術(shù)過分的依賴,認為高科技無所不能,花巨資構(gòu)建網(wǎng)絡系統(tǒng),能夠解決工作中的所有問題,因而在信息化建設過程中,忽視業(yè)務基礎和規(guī)范化管理工作,把平時工作簡單得搬上計算機平臺后,不愿在業(yè)務基礎建設方面多下大力氣,最終,影響了交通信息化的建設。
(二)交通管理信息化建設中缺乏對高素質(zhì)人才隊伍的建設
從本質(zhì)上講交通管理信息化建設就是信息化人才的培養(yǎng),人才隊伍的建設是交通信息化建設成敗的關鍵。交通管理信息化的實施和推進需要既懂交通管理業(yè)務,又熟悉信息技術(shù)和管理的復合型人才,目前各級交通管理部門非常缺少這種的人才。從信息化應用的實際看,專業(yè)人才缺乏已成為制約我國信息化發(fā)展的最重要因素。
(三)交通管理信息化建設中投入資金短缺、比例失調(diào)
信息化建沒絕不是像建一個網(wǎng)絡那么簡單,它是一個繁瑣的系統(tǒng)工程,投資量大,涉及面廣,應用環(huán)節(jié)多,其研發(fā)投入大,周期長,產(chǎn)出低,而目前資金的短缺嚴重影響了交通管理信息化建設。而且在實踐中,交通管理信息化投入結(jié)構(gòu)也很不合理,交通信息化投入主要花有三個部分:硬件費、軟件費和培訓推廣實施費,其合理比例大概是1:2:3。但根據(jù)對我國多個省區(qū)的調(diào)研發(fā)現(xiàn),目前各地用于硬件的投入遠遠超其它兩者,硬件費用占總投入的平均比例的百分之八九十,然而用于軟件費和培訓推廣實施費的投入相對偏低。
(四)信息安全體系建設不健全
信息安全系統(tǒng)是為了保障業(yè)務系統(tǒng)安全穩(wěn)定運行而配套的一個專門系統(tǒng),它與所支撐的業(yè)務系統(tǒng)是緊密相連的,但是又有其自己的獨立性。目前,交通管理業(yè)務系統(tǒng)建設已經(jīng)比較完善,但配套信息安全體系建設還是存在缺陷。主要表現(xiàn):1、系統(tǒng)應用和管理人員安全意識薄弱,不能夠適應嚴峻的信息安全形勢。2、安全備份建設滯后,應急反應機制不完備,安全事件得不到有效及時得處理。3、系統(tǒng)應用安全技術(shù)措施薄弱,安全隱患明顯。四是現(xiàn)有的安全防范措施缺乏系統(tǒng)規(guī)劃??傮w上還沒有掌握信息安全防范的主動權(quán)。
二、加強我國交通管理信息化建設的應對措施
(一)在交通管理信息化建設過程中要轉(zhuǎn)變觀念、提高認識
交通管理的目標是建立現(xiàn)代化的管理,而對現(xiàn)代信息運用則是現(xiàn)代化的重要體現(xiàn),管理觀念的科學化則是現(xiàn)代化的重要基礎、只有管理觀念的科學化才能有效促進管理手段的改進.在交通管理信息化建設過程中要保持先進性與實用性一致的原則,則需要做到信息技術(shù)不能脫離客觀實際去片面的追求高精尖或系統(tǒng)的大而全等,應結(jié)合實際情況.使之與其相匹配。
(二)打造一支高素質(zhì)的人才隊伍,為交通信息化建設提供人才保證
要加大交通管理信息化建設的專門人才的培養(yǎng)力度,特別注意培養(yǎng)既懂運輸管理業(yè)務、又懂信息技術(shù)的復合型人才。同時,有計劃地通過各種渠道,引進―批高水平的信息技術(shù)專門人才,井建立相應的人才激勵考核機制??傊?,加強信息技術(shù)人才隊伍建設,是交通管理信息化建設的一項長期任務。
(三)構(gòu)建信息安全體系,加強信息安全風險管理
目前,信息化正在深入滲透融合到交通管理業(yè)務的各個環(huán)節(jié).錯誤得操作或惡意得攻擊都會使系統(tǒng)癱瘓,業(yè)務得不到及時得辦理。信息安全體系建設是一個循序漸進、逐漸改善的復雜過程和龐大的系統(tǒng)工程,目前交管信息系統(tǒng)的安全管理處于規(guī)范建設的起步階段,今后我國還要盡快出臺有關法律法規(guī),從整體上對信息安全體系的內(nèi)容進行明確規(guī)定,有計劃得分階段實施,以提高防范信息安全風險的水平,有效識別并防范安全威脅和風險,確保信息系統(tǒng)安全穩(wěn)定運行,為交通管理信息業(yè)務的持續(xù)發(fā)展提供保障。
三、河南省的高速公路管理和信息建設
河南境內(nèi)主要高速公路通車總里程4841公里,全省18個省轄市中有17個省轄市形成了高速公路的十字交叉,全省109個縣(市)中有99個通達高速公路,通達率92%,其中45個縣有兩條高速通過。全省高速公路已基本形成了以鄭州為中心的1個半小時中原城市群經(jīng)濟圈,3小時可達全省任何一個省轄市,6小時可達周邊6省任何一個省會城市。目前全省高速公路在建里程596公里,到年底在建里程達到1000公里以上,到2010年通車總里程突破5000公里。河南省高速公路利用有限的資源迅速在中原崛起。
河南省高速公路信息管理中心是包括:聯(lián)網(wǎng)收費、全省監(jiān)控和通信業(yè)務的信息處理和數(shù)據(jù)管理的中心,是省公路信息網(wǎng)的最重要的一部分,其中收費業(yè)務的結(jié)算涉及到省、路公司的經(jīng)營收支,高速公路內(nèi)部局域網(wǎng)的數(shù)據(jù)傳輸、對外與INTERNET網(wǎng)絡的相連、與銀行系統(tǒng)的連接,正因為這樣,因此這些均要求網(wǎng)絡安全、可靠,同時對本中心的網(wǎng)絡系統(tǒng)建設的可靠性、實用性、可用性尤其是對網(wǎng)絡安全也提出了很高的要求。
河南省高速公路信息管理中心網(wǎng)絡拓撲采用星型放射結(jié)構(gòu)。系統(tǒng)具有高可靠性,省中心將省收費中心、一區(qū)拆賬中心、監(jiān)控中心統(tǒng)一管理,這樣也很好的避免了資源的浪費,最大程度的有效合理的利用設備,網(wǎng)絡交換機和路由器采用合用方式高速公路信息網(wǎng)絡的安全性取決于出色的系統(tǒng)集成、網(wǎng)絡安全和網(wǎng)管技術(shù),強大的安全服務力量和卓有成效的安全管理制度,但其中安全管理是最關鍵的。河南省信息管理中心和聯(lián)網(wǎng)收費網(wǎng)絡,在網(wǎng)絡安全方面做了細致工作。目前,網(wǎng)絡中存在的病毒已經(jīng)不計其數(shù),并且日有更新,由于工作需要,內(nèi)部網(wǎng)絡必然與外網(wǎng)連接,病毒也隨時準備毀壞數(shù)據(jù)、致癱網(wǎng)絡,影響正常的網(wǎng)絡運行是其次,也可能給企業(yè)帶來巨大的損失。也因此我們要及時的備份用戶的信息,快速及時的更新病毒庫,系統(tǒng)升級,更全面的保護我省的交通信息管理網(wǎng)絡。
合理有效的管理是信息技術(shù)網(wǎng)絡安全十分重要的部分。責權(quán)不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
在公路信息與管理中更要建立全新網(wǎng)絡安全機制,必須深刻理解網(wǎng)絡并能提供直接的解決方案。因此,最可行的做法是制定健全的管理制度和嚴格管理相結(jié)合。保障網(wǎng)絡的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡便成為了當前交通信息管理中的首要任務。一旦上述的安全隱患成為事實,所造成的對整個網(wǎng)絡的損失都是難以估計的。因此,網(wǎng)絡的安全建設是交通信息建設過程中重要的一環(huán)。
四、結(jié)語
現(xiàn)代交通管理的信息化建設雖然有了很大的進步,達到了前所未的高度,但在建設過程中由于受信息化意識、軟硬件條件、人員素質(zhì)等多方面因素制約 導致在信息化建設過程中出現(xiàn)了一系列問題并嚴重阻礙了交通管理信息化建設的發(fā)展,因此,在交通管理信息化建設的過程中,我們應結(jié)合實際情況制定相應措施加以解決。
參考文獻:
[1]林達銘.信息化是實現(xiàn)交通新的跨越式發(fā)展的必由之路.交通世界.2004(7).
1基本概念
既然信息與我們的生活的關系如此密切,我們不妨談談信息是指什么。信息是人類對世界感知的記錄。信息的表現(xiàn)形態(tài)有字符、聲光、圖形、影像,還有一些是人類的感官無法感知的,需借助儀器才能感知的表現(xiàn)形態(tài)。信息處理有記錄、計算、編輯、統(tǒng)計、還原、傳輸、存儲、審計和重現(xiàn)等形式。信息的記錄不得不依靠載體,而載體又可分為存儲載體,如在人類歷史上,人們曾用甲骨、竹片、紙張、膠片、磁帶、磁芯、光盤等作為存儲載體。還有傳輸載體,如電纜、光纖、電磁波、空氣和水等。信息是我們的無形資產(chǎn),它對我們?nèi)绱酥匾灾劣谖覀儗λ陌踩絹碓街匾?。因此,我們有必要知道信息安全的五個重要屬性:真實性(reliability)、保密性(confidentiality)、完整性(integrity)、可用性(availability)。不可抵賴性(non-repudiation)。也就是說,我們在信息的應用和處理時,都要從這五個方面去考慮和權(quán)衡信息的安全。
2以現(xiàn)實例子解讀信息安全術(shù)語
現(xiàn)實中對信息安全構(gòu)成的威脅就是對信息安全這五個屬性的可能的破壞。常見的破壞信息安全的情形有:未授權(quán)使用,竊取,偽裝,篡改,制造缺損,妨礙使用,否認發(fā)送過信息等。為更好地理解信息安全,我們列舉一些實例。例如,組織和個人的網(wǎng)站或主頁(例如網(wǎng)上銀行),需要密碼才能登錄;某些機密的區(qū)域通常會設置門禁。要是沒有磁卡、不通過生物信息(指紋、視網(wǎng)膜等)認證,人們無法進入;這些都屬于禁止未授權(quán)使用(在信息安全領域,未經(jīng)授權(quán)使用,窺探,破壞信息行為的人,通常被稱為黑客)。又例如,一些人通過在網(wǎng)站、軟件內(nèi)植入木馬,盜竊客戶的用戶密碼,從而偷竊用戶的信息,繼而盜取錢財,實施犯罪;也有人通過建立假網(wǎng)站,發(fā)送假電郵,在QQ中用別人的頭像冒名頂替他人,或通過電話冒充執(zhí)法部門進行執(zhí)法,從而詐騙錢財,這類就是典型的信息偽裝(字符的、圖案的、聲音的);有人將別人的付款、發(fā)貨、轉(zhuǎn)賬等指令的數(shù)額擅自改大或改小,以達到不當?shù)美姆欠康?。還有人暗中更改賬目,掩蓋瀆職,貪污等行為。這類行為稱為信息篡改;還有一些信息,必須完整才能應用。比如,銀行賬戶中,如果有一段時期的流水賬缺失,你就有可能無法查核你目前的賬上金額是否正確。一個企業(yè),假如丟失了一兩個月的收支記錄。那么,這個企業(yè)就無法完成年度月平均績效的計算。這表明信息缺損,可能是一個很嚴重的事件;信息如此重要,有時敵對的雙方會用計算機技術(shù)手段,令對方在收集信息和傳遞信息時受到障礙,使對方無法分辨哪些是有用信息或無法發(fā)出信息或接收信息,導致信息交流失敗。這種手法就是妨礙使用;還有一種破壞信息安全的行為是否認發(fā)送信息。例如,有人通過網(wǎng)上銀行或網(wǎng)站炒股,利用股票價格的波動,趁機低價買入或高價拋出,從而獲利。然而,有人因為沒有把握好交易的時機,結(jié)果損失慘重。這時,這些人就有可能矢口否認自己在網(wǎng)絡曾經(jīng)發(fā)出過要求交易機構(gòu)按其要求進行交易的指令,企圖不認賬,對發(fā)過的信息進行抵賴。以上列舉了常見的涉及信息安全問題的各種實例。那么,我們?nèi)绾稳シ婪讹L險和維護信息安全呢?我們將從以下幾個角度,探討在計算機技術(shù)的應用中常見的信息泄漏的風險以及為保護信息安全可采取的防御措施:
3從計算機網(wǎng)絡結(jié)構(gòu)的角度考慮信息安全
目前,單臺計算機應用已經(jīng)很少見。為了互聯(lián)互通,人們都是將計算機互聯(lián)成局域網(wǎng)、廣域網(wǎng)或互聯(lián)網(wǎng)使用,即按照不同的人群、機構(gòu)或區(qū)域,將計算機互相聯(lián)通,達到跨計算機,跨辦公室,跨建筑物,跨地區(qū),跨城市,跨國家,甚至跨星球來使用。從而達到跨空間跨時區(qū)進行信息交流,資源共享的目的。這使人類突破了本身器官能力的限制,仿佛有了千里眼、順風耳、無影手和超級腦。從計算機網(wǎng)絡的角度去保障信息安全,也就是要在信息傳播的途徑上排除存在的風險因素。信息可以轉(zhuǎn)換成數(shù)據(jù)。所以信息有時又被專業(yè)人士稱為數(shù)據(jù)。信息傳播的起點,通常是某臺計算機,它可以表現(xiàn)為個人計算機、服務器、數(shù)據(jù)中心。傳播的途徑我們稱為鏈路。人們以邏輯劃分的鏈路,被稱為虛擬鏈路。而實體可見的鏈路,稱為物理鏈路。這些鏈路由信息的傳播載體——電纜、光纖或電磁波(無線電波)構(gòu)成。信息的終點可以是另一臺計算機或展示信息的設備(如投影儀、打印機等)。要做到保障網(wǎng)絡安全,就等于要保障信息從起點/源主機——路途/鏈路——終點/目的主機,整個傳播過程的安全。信息在電腦網(wǎng)絡傳播中,在計算機技術(shù)領域,我們會用IP地址去標注信息的起點和終點。黑客在數(shù)據(jù)鏈路中截取或在數(shù)據(jù)終點提取數(shù)據(jù),都有可能獲悉信息起點的IP。這樣,他就可以有針對性地對信息的來源計算機進行入侵,盜竊信息或發(fā)動攻擊。
3.1網(wǎng)絡攻擊的種類
計算機網(wǎng)絡常見的攻擊有:竊取權(quán)限攻擊、服務癱瘓攻擊、響應探測攻擊、篡改攻擊、假冒攻擊、口令攻擊、緩沖區(qū)溢出。
3.1.1竊取權(quán)限攻擊這類型的攻擊是通過各種手段盜取用戶的用戶名和密碼,從事侵權(quán)或違法活動。最常見的有三種:口令猜測:黑客利用人們對信息安全的意識的淡薄和懶惰的弱點進行用戶名和密碼的試探。比如,不少人用自己的名字或機器默認的admin或administrator做用戶名,用單純的數(shù)字或自然數(shù)字排列順序的組合作密碼,如1、0、123、123456、生日日期等作密碼。這樣,在眾多的用戶中,就有相當可觀的幾率猜中密碼。另外,高級的黑客編一個并不復雜的程序,用字母(包括大小寫)和數(shù)字組合,去試探某用戶的密碼,最終破解密碼。一旦黑客猜中或破解一臺機器,例如識別了基于NetBIOS的口令,他就可以控制一臺微軟的客戶機/服務器;識別了基于Telnet的口令,黑客就可以控制一臺交換機或路由器或服務器;識別了基于NFS的服務的可利用的用戶帳號和口令,黑客可通過對某機器的控制,竊取與該機器共享文件的遠端系統(tǒng)上的文件。因此,要預防被黑客猜中或破解口令,要選用難以猜測的口令,比如用詞、字母(大小寫區(qū)別)、標點和符號的組合。定期更換。不在公共場合使用登錄密碼或口令。如果服務支持鎖定策略,就在機器中設置鎖定。木馬病毒:也稱為特洛伊木馬(取自希臘神話的典故),是一種由黑客編寫并在用戶不知情的情況下植入到客戶系統(tǒng)的程序。一旦成功獲取了用戶的權(quán)限,他就可以直接遠程控制用戶的系統(tǒng)。這種程序也稱為后門程序。有惡意的,包括:Trojan.QQ3344、Avp32.exe和Backdoor.IRCBot,為工作而善意設計的,如:第三只眼、VNC、向日葵、pcAnywhere。預防木馬的方法是不打開來路不明的電郵,不點擊誘惑性的彈出廣告,不下載不了解的程序,不運行不了解的程序。并且可以通過網(wǎng)絡掃描軟件定期監(jiān)測機器的TCP的服務。電子郵件轟炸電子郵件轟炸是一種有著悠久歷史的匿名攻擊。它是通過某臺主機連續(xù)不斷地向同一個IP地址發(fā)送電郵的方式。攻擊者使被攻擊者的網(wǎng)絡帶寬予以耗盡,致使被攻擊者無法進行電郵收發(fā)預防的手段有:在郵箱中的反垃圾或黑名單中設置攻擊者的郵件地址,達到自動刪除或拒絕來自同一電郵地址或同一主機的過量或重復的電郵。
3.1.2服務癱瘓攻擊服務癱瘓攻擊是利用計算機網(wǎng)絡傳輸數(shù)據(jù)的原理,通過制造異常的數(shù)據(jù)的傳遞,達到受害者的計算機服務崩潰而癱瘓。這類攻擊包括:Smurf攻擊:這種攻擊是用黑客最遲發(fā)起攻擊所用的程序名稱來命名的。其名稱來自最初發(fā)發(fā)動攻擊的程序名稱Smurf。這種攻擊是運用這樣一個原理:某個主機向另一臺主機發(fā)送一個ICMPecho請求包(例如PING)請求時,接受主機將要回應一個ICMPecho回應包。廣播地址可以同時向網(wǎng)絡中多臺主機發(fā)送ICMPecho請求包。因此smurf攻擊有兩種情形:
1)將受害主機地址作為源地址,向目的地址發(fā)送ICMPecho請求包,目的地址設為廣播地址。此時回復地址設置成受害主機。這樣就有大量的ICMPecho回應包淹沒受害主機,導致受害主機崩潰。此回應包的流量比ping-of-death洪水的流量高出一或兩個數(shù)量級。
2)將應答地址設置成受害網(wǎng)絡的,以IP地址為255結(jié)尾的廣播地址。廣播地址接收到ICMP應答包后,根據(jù)數(shù)據(jù)包傳輸協(xié)議,將向該網(wǎng)絡廣泛發(fā)送ICMPecho應答包來泛洪該網(wǎng)絡的多臺主機,導致網(wǎng)絡堵塞而無法傳送正常數(shù)據(jù)包。對于這類攻擊防范手段有:關閉外部入口的路由器或防火墻的廣播特性來阻止黑客利用某臺主機來攻擊某個網(wǎng)絡。也可在防火墻中設置策略,令其丟棄ICMP應答包。拼死它(ping-of-death):在研究計算機網(wǎng)絡的初期,科學家對路由器的數(shù)據(jù)包的最大尺寸設定了一個上限,不同廠商的操作系統(tǒng)對TCP/IP協(xié)議堆棧的實現(xiàn)在ICMP包上都是規(guī)定64KB,而且規(guī)定在對包的標題頭讀取后,根據(jù)該標題頭里所包含的信息來為有效載荷生成緩沖區(qū)。當產(chǎn)生ICMP包的尺寸超過上限或者說產(chǎn)生畸形的ICMP包時計算機就會出現(xiàn)內(nèi)存分配錯誤,進而發(fā)生TCP/IP堆棧崩潰,結(jié)果導致ICMP包接受方宕機。目前的TCP/IP堆棧的實現(xiàn)已能應付超上限的ICMP包,大多數(shù)防火墻都有自動過濾這些超上限ICMP包的能力。在微軟公司的WindowsNT后的操作系統(tǒng)、linux操作系統(tǒng)、Solaris操作系統(tǒng)和MacOS操作系統(tǒng)都已具備抵御“拼死它”的攻擊的能力。因此,只要將防火墻進行恰當?shù)呐渲?,都能阻止ICMP或未知協(xié)議的此類攻擊。淚滴(tear-drop):這類攻擊是攻擊者通過偽造數(shù)據(jù)包內(nèi)的IP分段或故意使IP分段位移造成TCP/IP堆棧的崩潰。原理是TCP/IP棧的實現(xiàn)是依賴于其信任的IP碎片的包的標題頭所含有的信息。這些信息表明IP碎片是原包的哪一段的信息。分段的次序一旦混亂。數(shù)據(jù)就無法正確重組。由于服務器的TCP/IP堆棧的實現(xiàn)受服務包的版本影響,要防范這類攻擊,需要更新最新服務包?;蛘咴诜阑饓Φ脑O置時,對IP分段進行重組,不設置成轉(zhuǎn)發(fā)。UDP洪水式攻擊(UDPflood):這類的攻擊利用TCP/IP服務中的通信規(guī)則,如Chargen和Echo傳送或應答來摻入毫無用處的數(shù)據(jù),并刻意使這些數(shù)據(jù)足夠大而占滿整個帶寬。使通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一臺主機,這樣就利用了Echo的收到數(shù)據(jù)包后必回復一個數(shù)據(jù)包的特性,也利用了Chargen每收到一個UDP數(shù)據(jù)包后發(fā)回一個包含包含長度為0~512字節(jié)之間隨機值的任意字符的數(shù)據(jù)包的特性。在兩臺主機之間生成足夠多的無用數(shù)據(jù)流,如果足夠多的數(shù)據(jù)流就會導致Dos攻擊。防御措施:關掉不必要的TCP/IP服務,或者用防火墻過濾19端口的數(shù)據(jù)包即可。SYN洪水式攻擊(SYNflood):一些TCP/IP棧的實現(xiàn)只能通過等待從有限數(shù)量的計算機發(fā)來的ACK消息,因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接。如果這一緩沖區(qū)充滿了虛假連接的初始信息,該服務器就會對接下來的連接停止響應。攻擊者就是利用“僵尸主機”向受害主機發(fā)送大量的無用的SYN數(shù)據(jù)包來占漫緩沖區(qū)時。使受攻擊主機無法創(chuàng)建連接。防御方法:在防火墻上過濾來自同一主機的后續(xù)連接。SYN洪水式攻擊被定義為DDos攻擊。比較難以防范。由于釋放洪水的并不尋求響應,難以鑒別出來。Land攻擊:其手段為:把SYN數(shù)據(jù)包的源地址和目標地址都設置為某個服務器地址。這使服務器向自身地址發(fā)送SYN-ACK包,結(jié)果自身地址又發(fā)出ACK消息。于是就產(chǎn)生一個空連接。這些空連接的累積,最終導致TIMEOUT.對Land攻擊的反應,不同的操作系統(tǒng)有不同。UNIX的許多實現(xiàn)會崩潰,WindowsNT系統(tǒng)會變得運行極其遲緩。防御:對防火墻進行配置,或者打最新的補丁,將那些在外部接口上進入的含有內(nèi)部源地址的SYN-ACK包濾掉。(比如,包括10域、127域、192.168域、172.16到172.31域)。Fraggle攻擊:利用UDP應答而不是ICMP應答,將Smurf攻擊作簡單的修改,就變形為Fraggle攻擊。防御手段:設置防火墻,使其過濾掉UDP應答消息。
3.1.3信息收集型攻擊此類攻擊是為非法入侵他人數(shù)據(jù)做準備而收集相關信息。主要包括:體系結(jié)構(gòu)刺探、利用信息服務、掃描技術(shù)。
3.1.3.1體系結(jié)構(gòu)探測運用數(shù)據(jù)庫中Banner抓包器,對已知響應與來自目標主機的、對壞數(shù)據(jù)包傳遞所作出發(fā)響應之間的分析對比,可以判斷出目標主機所運行的操作系統(tǒng)的類型。比如,WindowsNT或Solaris。這是由于不同操作系統(tǒng)的TCP/IP堆棧的具體實現(xiàn)有所不同。抵御方法:去除或修改Banner,包括操作系統(tǒng)和各種應用服務的Banner,阻斷黑客識別的端口,擾亂其的攻擊計劃。
3.1.3.2掃描技術(shù)地址掃描:應用ping這樣的命令探測目標地址,對命令產(chǎn)生響應的就證明目標主機存在。應對策略:在防火墻上過濾掉ICMP應答消息。端口掃描:通常使用掃描軟件,大范圍地連接主機的一系列的TCP端口,掃描軟件報告有多少主機所開斷開被成功連接。阻止手段:不少防火墻能檢測到是否被掃描,并自動阻斷掃描企圖。反響映射:通過向主機發(fā)送虛假消息,然后根據(jù)返回“hostunreachable”這一響應消息特征判斷出哪些主機是存在的。這些虛假消息通常是:RESET消息、SYN-ACK消息、DNS響應包。原因是如果黑客的常規(guī)掃描手段容易被防火墻阻斷。防御:NAT和非路由服務器能夠自動抵御此類攻擊,也可以在防火墻上過濾“hostunreachable”ICMP應答。慢速掃描:通常的掃描偵測器是通過監(jiān)視某個時間幀里主機發(fā)起的連接的數(shù)目(例如每秒10次)來決定是否在被掃描,這樣黑客利用掃描速度比常規(guī)慢一些的掃描軟件進行掃描,逃避掃描偵測器的發(fā)現(xiàn)。防御:通過引誘服務來對慢速掃描進行偵測。
3.1.3.3利用信息服務DNS域轉(zhuǎn)換:DNS協(xié)議不對域轉(zhuǎn)換或信息性的更新進行身份認證,這使得該協(xié)議被黑客以一些不同的方式加以利用。黑客只需實施一次域轉(zhuǎn)換操作就能得到一臺公共的DNS服務器的所有主機的名稱以及內(nèi)部IP地址。預防:設置防火墻規(guī)則,過濾掉域轉(zhuǎn)換請求。Finger服務:黑客使用finger命令來刺探一臺finger服務器以獲取關于該系統(tǒng)的用戶的信息。抵御手段:關閉finger服務并獲取嘗試連接該服務的刺探方的IP地址,然后根據(jù)該IP地址在防火墻設置策略,濾掉試圖建立服務連接請求。LDAP服務:黑客使用LDAP協(xié)議窺探網(wǎng)絡內(nèi)部的系統(tǒng)和它們的用戶信息。防御:在防火墻設置規(guī)則對刺探內(nèi)部網(wǎng)絡的LDAP進行阻斷并記錄。如果在公共主機上提供LDAP服務,那么應把LDAP服務器放入DMZ采取特別保護。
3.1.4假消息攻擊用于攻擊配置不正確消息的目標。主要手段包括:DNS高速緩存污染、偽造電子郵件。DNS高速緩存污染:黑客可以將虛假信息摻入DNS服務器并把用戶引向黑客自己的主機。因DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證。防御:在防火墻上過濾入站的DNS更新,不讓外部DNS服務器更改內(nèi)部服務器對內(nèi)部機器的認識。偽造電子郵件:梗概:由于SMTP并不對郵件的發(fā)送者的身份進行鑒定,因此黑客可以對你的內(nèi)部客戶偽造電子郵件,聲稱是來自某客戶認識并相信的人,郵件內(nèi)容可能有詐騙內(nèi)容,并附帶上可安裝的特洛伊木馬程序,或者是一個引向惡意網(wǎng)站的連接。預防方式:使用PGP等安全工具并安裝電子郵件證書??诹罟簦罕I竊的手段有對登錄密碼的破解,制造假登錄界面騙取密碼等。發(fā)動攻擊的手段有ARP攻擊、病毒攻擊等,目的就是讓信息發(fā)源地的電腦癱瘓,無法正常發(fā)送信息。防止源IP地址輕易被黑客知悉,防御:對傳輸?shù)男畔⑦M行加密,用密文傳送信息。緩沖區(qū)溢出:因為在許多服務程序中不少粗心的程序員經(jīng)常應用strcpy(),strcat()類型的不進行有效位檢查的函數(shù),導致黑客編寫一小段利用程序就可以打開安全缺口,然后再惡意代碼綴加在有效載荷的末尾。這使當緩沖區(qū)溢出時,返回指針將指向惡意代碼,令系統(tǒng)控制權(quán)被黑客奪取。防御:利用SafeLib、tripwire這樣的程序保護系統(tǒng),或者瀏覽最新的安全公告不斷更新操作系統(tǒng)?;蜗⒐簦翰煌N類的操作系統(tǒng)在提供服務,處理信息之前沒有進行錯誤校驗,導致系統(tǒng)收到惡意用戶制造的畸形消息時崩潰。防御:打最新的服務補丁。上述的情形,多數(shù)發(fā)生在互聯(lián)網(wǎng)的計算機網(wǎng)絡中。而企業(yè)或機構(gòu)級的局域網(wǎng),也就是在企業(yè)內(nèi),主要防范的對象是社會上的黑客。這種情形通常是把業(yè)務網(wǎng)和互聯(lián)網(wǎng)做物理隔離,即業(yè)務網(wǎng)完全與互聯(lián)網(wǎng)沒有物理通路。
4從硬件發(fā)展的角度考慮信息安全
隨著計算機技術(shù)從單機應用到互聯(lián)成計算機網(wǎng)絡,越來越多的重要信息在互聯(lián)網(wǎng)上傳播。因此,防止信息泄露的手段和設備應用到計算機網(wǎng)絡。常用的手段和設備如下:考慮到物理安全,人們針對重要信息可能通過電磁輻射等泄漏。需要對存放絕密信息的機房進行必要的設計,如構(gòu)建屏蔽室。采用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要數(shù)據(jù)庫且有實時要求的服務器必須采用UPS(不間斷穩(wěn)壓電源),且數(shù)據(jù)庫服務器采用虛擬化,雙機熱備份,數(shù)據(jù)異地存儲等方式保證數(shù)據(jù)庫服務器實時對外部用戶提供服務并且能快速恢復。在計算機網(wǎng)絡上增設防火墻。防火墻是一個硬件設備,是網(wǎng)絡安全最基本、最經(jīng)濟、最有效的手段之一。防火墻可以實現(xiàn)內(nèi)部、外部網(wǎng)或不同信任域網(wǎng)絡之間的虛擬隔離,達到有效的控制對網(wǎng)絡訪問的作用。通常有兩種形式:
1)總部與各下屬機構(gòu)的隔離和訪問控制。防火墻可以做到網(wǎng)絡間的單向訪問需求,過濾一些不安全服務;可以針對服務、協(xié)議、具有某種特征或類型的數(shù)據(jù)包、端口號、時間、流量等條件實現(xiàn)安全的訪問控制;具有很強的記錄日志的功能,可以按管理者所要求的策略來記錄所有不安全的訪問行為。
2)公開服務器與內(nèi)部其他子網(wǎng)的隔離與訪問控制。利用防火墻可以做到單向訪問控制的功能,僅允許內(nèi)部網(wǎng)用戶及合法外部用戶可以通過防火墻來訪問公開服務器,而公開服務器不可以主動發(fā)起對內(nèi)部網(wǎng)絡的訪問,這樣,若公開服務器造受攻擊,內(nèi)部網(wǎng)由于有防火墻的保護,依然是安全的。在網(wǎng)絡中應用安全路由器。路由器作為內(nèi)外網(wǎng)之間數(shù)據(jù)通信的核心設備,安全路由器與普通路由器的區(qū)別在于安全路由器本身具有安全防范能力。其功能相當于“防火墻+路由器”。就網(wǎng)絡而言,其面臨的安全威脅主要源自于未經(jīng)授權(quán)的非法網(wǎng)絡訪問、網(wǎng)絡傳輸過程中可能出現(xiàn)的敏感信息泄漏與遺失、數(shù)據(jù)完整性破壞及計算機病毒的傳播等幾個方面。而解決這類問題的途徑只有用法律和預防,計算機技術(shù)為預防提供了預防的可能和方法,這就產(chǎn)生了安全路由器。這其中,路由器作為不斷接收和轉(zhuǎn)發(fā)路由信息與IP數(shù)據(jù)報,而防火墻則是對信息及數(shù)據(jù)報的檢查篩選。只要符合安全要求的數(shù)據(jù)包才能通過內(nèi)部與外部網(wǎng)絡之間閘口。并且對允許通過的數(shù)據(jù)包進行加密處理,強化了數(shù)據(jù)傳輸?shù)陌踩D軌蛴行z測及防范各類攻擊事件的發(fā)生。在網(wǎng)絡中使用應用安全管理器(ASM:ApplicationSecurityManager)。網(wǎng)絡安全產(chǎn)品ASM是一款基于最先進的第三代準入控制技術(shù)的純硬件設備,秉承“不改變網(wǎng)絡、不裝客戶端”的特性,旨在解決網(wǎng)絡的合規(guī)性要求,達到“違規(guī)不入網(wǎng)、入網(wǎng)必合規(guī)”的管理規(guī)范,滿足安全等級對網(wǎng)絡邊界、主機保護的相應要求,同時提供更高效的、智能式的網(wǎng)絡防護功能。
5從軟件應用的角度考慮信息安全
這是人們通過設計一些專業(yè)的程序去檢測網(wǎng)絡及主機的安全隱患,防止信息泄露。而這些程序可能直接在計算機中運行,也有在專門建造的設備中運行。黑客通過軟件技術(shù)非法使用或盜竊信息的常見手法有:在運行的應用程序或鏈接中植入木馬,運用程序破解密碼,刻意傳播病毒,進行包嗅探(packetsniffing)、DHCP窺探(DHCPSnooping)、IP地址瞞騙等。首先,我談談如何避免中木馬計。當需要登錄高度保密的網(wǎng)站(例如,網(wǎng)銀等)時。打開高度保密網(wǎng)站前,最好重啟計算機,啟動應用程序越少越好(一些木馬是伴隨應用程序的啟動而啟動的),其他的網(wǎng)頁不打開或打開的網(wǎng)頁越少越好(部分網(wǎng)頁被植入了帶木馬的鏈接)。另外,打開網(wǎng)頁后,一定要確認網(wǎng)址是否正確或異常。千萬不要在不正確或有異常的登錄頁面輸入用戶名和密碼。還有,在與別人或機構(gòu)交流信息時,不熟悉的人的電子郵件,不熟悉的人提供的鏈接,都不要去點擊打開。以免被誘導訪問陷阱頁面或被對方控制你的計算機。其次,我們?nèi)绾稳シ婪睹艽a被輕易破解?這就要求我們在設置密碼時。密碼的位數(shù)應盡可能多,盡可能復雜。應由數(shù)字、字母(區(qū)分大小寫)和字符三方面組合而成。密碼的越復雜,破解就越難,破解所需的時間也越長。密碼要定期更換。而且,密碼不能存放在有機會被人發(fā)現(xiàn)的媒介中(紙條、無密碼的光盤,無密碼的電子文檔)。我們必須重視信息安全,不厭其煩。在登錄程序或網(wǎng)站時,絕不通過別人發(fā)送的鏈接登錄,只通過直接點擊自己電腦的運行文件(自建的快捷方式)登錄程序或自己輸入網(wǎng)址(或自己已確認過,預先收藏的網(wǎng)頁)登錄重要網(wǎng)站。若打開別人提供的鏈接來登錄程序或網(wǎng)站,就給黑客提供了向你推介假登錄界面的機會。即使按上述嚴謹?shù)姆椒ù蜷_登錄界面后,也要留意與平常打開的是否有異常。必須注意每一個細節(jié),包括數(shù)字、字母、字符、界面的版面風格等。確認沒異常才輸入密碼。值得注意的是,一旦在假登錄界面輸入了密碼,你的密碼就已泄漏。如果你登錄后發(fā)現(xiàn)自己登錄了假系統(tǒng)或網(wǎng)站,需馬上登錄正常的系統(tǒng)或網(wǎng)站,立即修改密碼,盡可能搶先在盜賊實施盜竊行動之前。再次,我們來談論病毒傳播。計算機病毒是一些對網(wǎng)絡設備的設置和信息產(chǎn)生損害的程序。這些程序是一些懂編程的人員故意制造的。動機通常有以下幾種:針對性地進行信息破壞;通過傳播病毒造成的影響來成名,顯示自己的編程能力;對所制造的程序的危害認識不足,試驗性的把一些破壞性的程序在網(wǎng)絡里傳播,看看其破壞力,有進行惡作劇的心態(tài)。對于計算機病毒的防御,我們可以各種手段。例如,掃描查殺,隔斷傳播通路。目前計算機的使用前都應該安裝專業(yè)的查病毒殺病毒軟件,把病毒庫更新為最新病毒庫。計算機使用者應定期對計算機進行全盤掃描,查找病毒。如果查到有病毒,可以根據(jù)情況采取刪除,隔離病毒。殺毒軟件還有預防和及時提醒病毒入侵的作用。另一個防病毒的手段是切斷交叉感染的途徑。我們要有一個清晰的概念,凡是有信息交流,就有病毒傳播的機會。因此,在機構(gòu)內(nèi)的業(yè)務網(wǎng),通常是禁止與互聯(lián)網(wǎng)交流信息,同時也禁止個人在業(yè)務網(wǎng)下載和上傳信息。這種禁止的手段,最常用的就是業(yè)務網(wǎng)和互聯(lián)網(wǎng)的物理隔離,將USB接口和光盤驅(qū)動器的禁用。通過BIOS和注冊表的設置,我們可以禁止U盤、移動硬盤和光驅(qū)的使用。也可以使用一些專業(yè)的應用軟件來禁止USB接口和光盤驅(qū)動器的使用。當然,禁止了U盤、移動硬盤和光驅(qū)的使用,在當代的信息時代,會給業(yè)務操作員的個人業(yè)務總結(jié)、業(yè)務匯報、業(yè)務技術(shù)交流帶來諸多不便。業(yè)務網(wǎng)的使用者會以各種的理由和特權(quán)企圖突破封鎖。但這種措施確實能保障業(yè)務信息的安全,阻斷了病毒的傳播途徑。是一種兩害相權(quán)取其輕的折中方案。因此,要保障業(yè)務網(wǎng)的信息安全,上至高層領導,下至普通員工,都很有必要嚴格遵守業(yè)務網(wǎng)的信息下載和上傳的安全守則。業(yè)務網(wǎng)的信息交流必須有專人管控。下載和上傳信息到業(yè)務網(wǎng)的介質(zhì)(U盤、移動硬盤、可刷寫的光盤)在使用前都要查殺病毒,確保所用介質(zhì)是不帶病毒或相對安全的。接下來,我們再來探討通過軟件竊取信息的手段和預防。包嗅探(PacketSniffing)是一種用于計算機網(wǎng)絡的竊聽形式,類似于電話網(wǎng)絡的搭線竊聽(Wire-tap)。它是以太網(wǎng)流行的一種竊聽手段。以太網(wǎng)是一種共享媒介網(wǎng)絡。這就意味著,連接于同一網(wǎng)段的主機的數(shù)據(jù)流(Traffic)都要經(jīng)過以太網(wǎng)卡的過濾器。這個過濾器的作用是防止某臺主機看到已編址的數(shù)據(jù)流發(fā)送到其他站點。而嗅探程序可以關閉過濾器,使得黑客可以看到該網(wǎng)段所有主機數(shù)據(jù)流的行蹤。在當代的計算機網(wǎng)絡,某些公司的產(chǎn)品甚至已內(nèi)置了嗅探模塊。大多數(shù)的集線器支持遠程監(jiān)控協(xié)議(RMONstandard),這協(xié)議允許入侵者使用SNMP進行遠程嗅探。而SNMP具有較弱的認證能力。不少大公司也使用網(wǎng)絡聯(lián)盟的“分布式嗅探服務器”。有了這種服務器就能容易猜到用戶的密碼。WindowsNT的機器常常裝有“網(wǎng)絡監(jiān)控”,它也允許遠程嗅探。這種嗅探功能在信息安全的應用中是一把雙刃劍。正義方可以利用它在信息安全中發(fā)揮監(jiān)控作用。邪惡方可以利用它造成對信息安全的威脅。當今的計算機網(wǎng)絡越來越依賴于交換技術(shù)。妨礙包嗅探在交換技術(shù)中的發(fā)展,計算機網(wǎng)絡的研究人員取得了一定的成功。這些研究成果,在越來越容易在交換數(shù)據(jù)流的服務器和路由器上遠程裝入嗅探程序的今天,依然有用。然而,包嗅探程序很難探測。人們依然在堅持進行深入研究,但目前還沒有根本的解決方案。包嗅探流行的原因是它能一覽無遺。典型的嗅探項目有:SMTP,POP,IMAP數(shù)據(jù)流。它們使入侵者能讀取實際的電郵。POP,IMAP,HTTPBasic,Telnetauthentication數(shù)據(jù)流。它們使入侵者能離線讀取明文的密碼。SMB,NFS,FTP數(shù)據(jù)流。它們使入侵者能在線讀取文件。SQL數(shù)據(jù)庫。它們讓入侵者能獲悉金融交易和信用卡號。嗅探不僅能讀取信息攻破一個系統(tǒng)。而且可以干預一個系統(tǒng)。因為入侵者利用嗅探可閱讀每一個感興趣的文件。還有一種通過軟件竊取信息的手段稱為“IP哄騙”(IPSpoofing)。這是黑客在某個網(wǎng)段的兩個通信端點之間植入嗅探程序,扮演其中一方來劫持聯(lián)系。這通常用作發(fā)動拒絕服務攻擊,并且偽裝的IP不受干擾。從上述的分析來看,要抵御包嗅探,我們需要安裝電子證書以便進行身份認證;對傳輸?shù)男畔⑦M行加密,用密文傳送信息;加強對數(shù)據(jù)庫的日志的察看和審計。
6小結(jié)
關鍵詞:跨國經(jīng)營核心競爭力
隨著社會經(jīng)濟的發(fā)展,人們對于統(tǒng)計信息的需求日益增強。統(tǒng)計信息化建設的不斷加快,為更多用戶通過網(wǎng)絡獲取統(tǒng)計信息提供了便利條件。統(tǒng)計信息產(chǎn)品作為一種勞動的結(jié)晶,具有價值和使用價值,具備了一般商品的性質(zhì)。因此,筆者認為,可以借助電子商務的經(jīng)營模式進行統(tǒng)計信息產(chǎn)品的交易來更好地滿足人們對統(tǒng)計信息的需求。本文就統(tǒng)計信息產(chǎn)品在電子商務化過程中所涉及的問題作些討論。
統(tǒng)計信息產(chǎn)品的界定
根據(jù)國家統(tǒng)計局、國家工商行政管理局頒發(fā)的《統(tǒng)計信息咨詢服務管理暫行規(guī)定》中規(guī)定:統(tǒng)計信息是指運用統(tǒng)計方法所取得的以數(shù)據(jù)形式反映社會、經(jīng)濟、科技情況的各種統(tǒng)計資料,包括以書面文字、磁帶、磁盤等物理介質(zhì)為載體的數(shù)據(jù)匯總資料及據(jù)此進行分析研究提出的咨詢意見和對策建議。但對于什么是統(tǒng)計信息產(chǎn)品,卻沒有明確的定義,只是在湖南省統(tǒng)計局制定的《湖南省統(tǒng)計局統(tǒng)計產(chǎn)品管理制度》中提出了統(tǒng)計產(chǎn)品的概念和范圍,此規(guī)定中指出統(tǒng)計產(chǎn)品是指在統(tǒng)計調(diào)查、統(tǒng)計整理、統(tǒng)計分析、資料編輯、數(shù)據(jù)庫建設、網(wǎng)頁制作、統(tǒng)計信息等統(tǒng)計活動中形成的各種統(tǒng)計成果,主要形式包括統(tǒng)計報表數(shù)據(jù)、加工整理或編印成冊的統(tǒng)計資料和書籍、統(tǒng)計分析資料和報告等。筆者認為,這里所說的統(tǒng)計產(chǎn)品就可以理解為統(tǒng)計信息產(chǎn)品。統(tǒng)計信息產(chǎn)品從形態(tài)上可分為兩類,即無形產(chǎn)品和有形產(chǎn)品,無形產(chǎn)品主要是指存儲計算機中提供下載和瀏覽的統(tǒng)計信息產(chǎn)品,而有形產(chǎn)品是指各種存儲在磁盤、磁帶、光盤等存儲介質(zhì)中的一切成型的數(shù)據(jù)或者信息產(chǎn)品,也包括各種紙質(zhì)的各類統(tǒng)計產(chǎn)品。
統(tǒng)計信息產(chǎn)品電子商務化交易模式
一般商品的電子商務交易模式主要有4種方式,即企業(yè)對企業(yè)(B2B)、企業(yè)對政府(B2G)、企業(yè)對消費者(B2C)以及消費者對消費者(C2C)。參與統(tǒng)計信息產(chǎn)品的交易市場主體主要有:政府(G)、企業(yè)(B)和消費者(C),由于統(tǒng)計信息產(chǎn)品需求者和信息供給者的不同,因此它可能的交易模式及實現(xiàn)途徑:
B2G,是企業(yè)與政府之間交易的一種模式。各級政府中的統(tǒng)計部門擁有大量的統(tǒng)計數(shù)據(jù),這些數(shù)據(jù)的所有者應該是大眾。但由于各種原因,目前大量的數(shù)據(jù)依然為政府所有。因此實現(xiàn)這種交易模式可取的途徑是政府提供數(shù)據(jù)并委托專門從事統(tǒng)計信息處理和分析的公司進行科學的處理和分析,并為政府決策提供必要的信息支持,這種模式可以通過政府招投標的方式實現(xiàn)。
B2B,是企業(yè)與企業(yè)之間進行統(tǒng)計信息產(chǎn)品交易的模式。其交易途徑應該是專業(yè)的統(tǒng)計數(shù)據(jù)分析和處理公司,接受委托或者自主開發(fā)面向特定企業(yè)或者行業(yè)的統(tǒng)計信息產(chǎn)品,以收取處理費用或者銷售產(chǎn)品的方式實現(xiàn)自己的價值。
B2C,是企業(yè)對消費者的交易模式。這種模式類似與B2B,唯一不同的是面向的對象是一般的統(tǒng)計信息產(chǎn)品需求者。
C2C,是消費者與消費者之間的交易。這種模式的活躍程度很高,交易的統(tǒng)計信息產(chǎn)品的價格是由市場決定的。
C2B,是消費者對企業(yè)的交易。這種模式可以是專業(yè)人士接受委托或者自行研究推出的適合于某企業(yè)或者行業(yè)的統(tǒng)計信息產(chǎn)品,以收取委托單位費用或者自行銷售實現(xiàn)價值和使用價值。
C2G,是消費者對政府的交易行為。這種模式類似與B2G,唯一不同的是專業(yè)人士與專業(yè)公司的區(qū)別,這種模式比較少見,但作為一種模式也是存在的。
統(tǒng)計信息產(chǎn)品電子商務交易平臺
統(tǒng)計信息產(chǎn)品的電子商務化要借助網(wǎng)站才能得以更好的進行。統(tǒng)計信息產(chǎn)品的交易平臺可以有三種方式:第一是政府(主要指各級統(tǒng)計部門)通過政府網(wǎng)站進行有關的交易,第二是企業(yè)自身建立統(tǒng)計信息產(chǎn)品交易網(wǎng)站,第三是個人通過自己建立網(wǎng)站或者借助他人的網(wǎng)站進行統(tǒng)計信息產(chǎn)品的加工和銷售。在平臺建設方面和推廣中,需要考慮以下問題:
網(wǎng)站功能設計問題。在網(wǎng)站建設中首先考慮的就是網(wǎng)站功能,統(tǒng)計信息產(chǎn)品交易網(wǎng)站,應該包括產(chǎn)品的檢索和展示,增值服務業(yè)務,產(chǎn)品采購管理,訂單支付,客戶服務和系統(tǒng)管理。在產(chǎn)品的檢索和展示模塊中,應將統(tǒng)計信息產(chǎn)品按照一定的標準(比如行業(yè))分類,以便訪問者檢索,也可以將重要的或者比較成功的產(chǎn)品進行展示和介紹,吸引訪問者的眼球。在增值服務業(yè)務方面,可以通過網(wǎng)站接受單位和個人的委托,專門對委托者提供的數(shù)據(jù)進行處理,形成產(chǎn)品并交付委托者的一種增值服務形式,這將是統(tǒng)計信息產(chǎn)品商務交易發(fā)展很有發(fā)展?jié)摿Φ男问健TO置產(chǎn)品采購管理模塊,可以幫助信息需求者通過檢索和瀏覽對網(wǎng)站提供的產(chǎn)品進行采購,包括有形產(chǎn)品的采購和無形產(chǎn)品的采購。定單支付管理是網(wǎng)站必不可少的一個功能,它對客戶的定單進行及時、準確、有效的管理,并根據(jù)定單完成產(chǎn)品的生產(chǎn)和服務的提供。根據(jù)定單和所提供的產(chǎn)品和服務,實現(xiàn)交易支付過程。客戶服務模塊是為客戶提供各種服務,這些服務包括咨詢服務、售后服務以及免費提供各種信息等。系統(tǒng)管理模塊是網(wǎng)站系統(tǒng)得以正常運行的必備功能,具體包括統(tǒng)計信息產(chǎn)品網(wǎng)站的產(chǎn)品更新、系統(tǒng)維護和升級等,又可分為前臺管理和后臺管理兩個方面。前臺主要是面向顧客,顧客通過前臺頁面完成對統(tǒng)計信息產(chǎn)品的采購,而后臺主要有系統(tǒng)維護和數(shù)據(jù)更新等功能,同時還有網(wǎng)站服務器等硬件系統(tǒng)。
網(wǎng)站營銷策略。網(wǎng)站營銷是網(wǎng)站得以生存和發(fā)展的一個很重要的因素,同時也是經(jīng)營產(chǎn)品銷售宣傳的必要措施。網(wǎng)站營銷的方式很多,但對于統(tǒng)計信息網(wǎng)站的營銷策略的選擇可以重點從兩個角度去考慮:一是顧客群的選擇,由于統(tǒng)計信息產(chǎn)品具有一定的專業(yè)性,一般都是一些決策者和研究者,所以網(wǎng)站營銷應該面向政府、企業(yè)和一些研究者;二是可以選擇可靠的ISP以提供穩(wěn)定安全的技術(shù)服務,還可以將自己網(wǎng)站的“亮點”,綜合成關鍵字,提供給著名的搜索引擎,比如百度、雅虎等,便于人們搜索,從而提高本網(wǎng)站的知名度和效益。
統(tǒng)計信息產(chǎn)品交易安全性問題
統(tǒng)計信息產(chǎn)品源于存放在各級政府、企業(yè)和部門中的統(tǒng)計數(shù)據(jù),這些數(shù)據(jù)均涉及到了政府、企業(yè)和個人的機密或者隱私,所以對于數(shù)據(jù)的安全保障尤為重要??梢詮膬蓚€方面進行有效的防范,一是從技術(shù)上加強系統(tǒng)安全建設,保證系統(tǒng)的正常運行和數(shù)據(jù)的安全,充分利用防火墻的技術(shù),防范非法用戶的侵入以及合法用戶的未授權(quán)操作,為此可以建立三個系統(tǒng):統(tǒng)計信息網(wǎng)絡災難恢復備份系統(tǒng)、統(tǒng)計信息網(wǎng)絡安全管理系統(tǒng)、統(tǒng)計信息網(wǎng)絡系統(tǒng)防病毒系統(tǒng);二是從法律方面加以約束和懲治,統(tǒng)計信息產(chǎn)品具有可復制性容易泄密,為了數(shù)據(jù)的安全性就要求參與各方信守合同,做好數(shù)據(jù)或者方法的保密工作,可以采取的措施為:參與各方在交易前必須簽訂信息保密協(xié)議,把責任和義務明確,甚至可以和信息產(chǎn)品價格掛鉤,也就是說將保密的成本計算入產(chǎn)品價格中,如果違背了合同、協(xié)議或者法律,造成的一切后果由違犯者承擔。
統(tǒng)計信息產(chǎn)品提供方式及定價問題
由于統(tǒng)計信息產(chǎn)品有無形和有形的區(qū)別,所以在產(chǎn)品提供方式方面,對于有形的產(chǎn)品就需要物流配送,對于無形的產(chǎn)品可以借鑒網(wǎng)絡圖書,采取免費贈予、付費瀏覽和付費下載等多種方式。
統(tǒng)計信息產(chǎn)品電子商務化后,傳統(tǒng)的定價不再適用,取而代之的是用戶更能接受的以成本來定價,并依據(jù)成本來組織生產(chǎn)和銷售。通過網(wǎng)絡,可以預測用戶的需求以及對價格認同的標準。用戶通過網(wǎng)絡提出接受的成本后,信息產(chǎn)品的生產(chǎn)者便可根據(jù)用戶的成本提品的設計方案供用戶選擇,直到用戶認可后再生產(chǎn)和銷售。另外,還可以在網(wǎng)上公布行業(yè)定價規(guī)定。有關統(tǒng)計信息產(chǎn)品定價問題,比較復雜,需另外專門研究。
總之,統(tǒng)計信息產(chǎn)品電子化的發(fā)展是一個逐步完善的過程,需要解決以上這些問題,促進統(tǒng)計信息產(chǎn)品的電子商務化順利發(fā)展。
參考文獻: