時(shí)間:2023-10-07 09:14:42
緒論:在尋找寫(xiě)作靈感嗎?愛(ài)發(fā)表網(wǎng)為您精選了8篇數(shù)字安全與網(wǎng)絡(luò)安全,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享!
【 關(guān)鍵詞 】 數(shù)字化;數(shù)字化校園;安全;風(fēng)險(xiǎn);安全策略
Risk Analysis of the Network Security for the Digital Campus and the Countermeasures
Lei Yan-rui
(Hainan College of Software Technology HainanQionghai 571400)
【 Abstract 】 The continuous advancement in making digital campus has achieved enormously improved management efficiency. But it has also inflicted risks to the security of the campus network because of its open nature. In this paper, we provide several pieces of advice on the security of the campus network.
【 Keywords 】 digitization; digital campus; security; risk; security policy
1 引言
1998年,因美國(guó)前副總統(tǒng)戈?duì)栕钕忍岢觥皵?shù)字化地球”的概念而引出“數(shù)字化城市”和“數(shù)字化校園”的定義。數(shù)字化校園是指通過(guò)計(jì)算機(jī)相關(guān)技術(shù)、網(wǎng)絡(luò)通訊的相關(guān)技術(shù)對(duì)學(xué)校的教學(xué)、管理和生活等都進(jìn)行全面的數(shù)字化信息系統(tǒng)管理,在一定程度上最大限度地存儲(chǔ)、整合、利用和共享這些數(shù)據(jù),實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證、數(shù)據(jù)采集平臺(tái)和信息管理平臺(tái),從而簡(jiǎn)化傳統(tǒng)的工作流程,最終實(shí)現(xiàn)高效率、高競(jìng)爭(zhēng)力、數(shù)字化管理的校園平臺(tái)。
近十年來(lái),國(guó)內(nèi)各本科院校對(duì)于數(shù)字化校園的建設(shè)都比較重視,大中專(zhuān)院校也緊隨其后,進(jìn)行了數(shù)字化校園建設(shè)的思考和行動(dòng)。大家建設(shè)的目標(biāo)都以教學(xué)、管理、消費(fèi)和身份認(rèn)證等服務(wù)為一體的新型的工作、學(xué)習(xí)和生活環(huán)境為中心,并且在建設(shè)上已經(jīng)取得了一定的成效。
2 現(xiàn)狀
隨著信息化的進(jìn)一步發(fā)展和學(xué)校業(yè)務(wù)的不斷深化,海南軟件職業(yè)技術(shù)學(xué)院也開(kāi)始數(shù)字化校園建設(shè)的步伐。1996年即開(kāi)始使用食堂一卡通,隨著后來(lái)考勤系統(tǒng)、教務(wù)系統(tǒng)、財(cái)產(chǎn)管理系統(tǒng)的開(kāi)發(fā)使用,使用過(guò)程中暴露出的安全隱患問(wèn)題越來(lái)越多,而這些安全問(wèn)題在數(shù)字化校園的建設(shè)中值得我們深思。如表1所示。
3 初步解決方案
3.1 自然災(zāi)害
自然災(zāi)害是無(wú)法避免和預(yù)防的,對(duì)于天災(zāi)造成的任何風(fēng)險(xiǎn)我們都不可避免,也就無(wú)法通過(guò)任何技術(shù)降低風(fēng)險(xiǎn),只能在災(zāi)難發(fā)生后想辦法恢復(fù)或者提前備份等。
那么對(duì)于自然災(zāi)害發(fā)生之后的安全問(wèn)題,管理者需提前制定一套完整可行的事件救援、災(zāi)難恢復(fù)計(jì)劃及方案,做好計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用軟件及各種資料數(shù)據(jù)的備份,建立備份數(shù)據(jù)庫(kù)系統(tǒng)。
3.2 軟、硬件環(huán)境故障
校園網(wǎng)絡(luò)設(shè)備的正常工作對(duì)網(wǎng)絡(luò)安全的影響巨大,如果電力設(shè)備、UPS、空調(diào)等設(shè)備規(guī)劃設(shè)計(jì)出錯(cuò)、參數(shù)設(shè)置不當(dāng)、維護(hù)不及時(shí)或者維護(hù)方法不對(duì)等,都可能間接影響校園網(wǎng)絡(luò)的信息安全。
對(duì)于硬件故障,應(yīng)確保不超負(fù)荷運(yùn)行、建立完善完備的管理制度并且嚴(yán)格執(zhí)行,保證溫度、濕度、設(shè)備的參數(shù)設(shè)置等處于可監(jiān)管的狀態(tài),平時(shí)需定時(shí)審計(jì),以保證制度的執(zhí)行力度。軟件故障中的設(shè)計(jì)缺陷,一經(jīng)發(fā)現(xiàn)應(yīng)立即修正;安裝新軟件時(shí),充分考慮兼容性的要求,提前保護(hù)已經(jīng)存在的被共享使用的DLL文件,防止安裝過(guò)程中被其他文件覆蓋;出現(xiàn)非法操作提示或者藍(lán)屏等信息時(shí),仔細(xì)研究其原因并糾錯(cuò);對(duì)于系統(tǒng)的資源占用情況,及時(shí)監(jiān)察并進(jìn)行有效清理。
3.3 學(xué)校網(wǎng)站面臨的安全威脅
網(wǎng)站是學(xué)校對(duì)外信息交流的主要工作平臺(tái),但因其共享性較高,也易成為黑客的攻擊對(duì)象。部分學(xué)校的官方網(wǎng)站被惡意掛馬時(shí)有發(fā)生,經(jīng)調(diào)查掛馬率甚至達(dá)到3.15%。主要原因是服務(wù)程序本身存在漏洞,如Apache 或 IIS 的漏洞;也存在網(wǎng)頁(yè)程序編寫(xiě)不完善導(dǎo)致的安全漏洞,如 SQL 注入、緩沖區(qū)溢出等;同時(shí)也存在因管理缺失而導(dǎo)致的服務(wù)器感染病毒。
對(duì)于數(shù)字化校園網(wǎng)站安全面對(duì)的威脅,除了定期查殺分析原因,且需定期檢查訪問(wèn)流量,對(duì)于流量高峰要得隨時(shí)監(jiān)視處理,還有完善管理制度避免類(lèi)似問(wèn)題再次發(fā)生,用以保證網(wǎng)站安全。
3.4 應(yīng)用系統(tǒng)數(shù)據(jù)信息面臨的威脅
海南軟件職業(yè)技術(shù)學(xué)院的教務(wù)、人事、財(cái)務(wù)、一卡通等應(yīng)用系統(tǒng)的重要數(shù)據(jù)是數(shù)字化校園信息安全防護(hù)的重中之重。這些重要數(shù)據(jù)一旦被篡改甚至丟失,其后果是不堪設(shè)想。目前應(yīng)用系統(tǒng)數(shù)據(jù)信息面臨的主要風(fēng)險(xiǎn)有數(shù)據(jù)庫(kù)弱口令及默認(rèn)用戶(hù)名易被破解;DBA 的權(quán)限沒(méi)有嚴(yán)格的限制;有些權(quán)限控制功能嵌套在應(yīng)用程序中,攻擊者很可能利用程序編寫(xiě)的漏洞將普通用戶(hù)的權(quán)限轉(zhuǎn)化為管理員的權(quán)限;數(shù)據(jù)庫(kù)管理方式和管理流程編制不得當(dāng),造成數(shù)據(jù)不準(zhǔn)和修改錯(cuò)誤等。
對(duì)于這些系統(tǒng)數(shù)據(jù)面臨的威脅,我們所能處理的就是進(jìn)行數(shù)據(jù)訪問(wèn)控制、提醒用戶(hù)進(jìn)行密碼強(qiáng)口令、權(quán)限設(shè)置一定要合理合法,并且及時(shí)檢查日志,統(tǒng)計(jì)因操作不當(dāng)、密碼輸入錯(cuò)誤等原因引起的錯(cuò)誤,對(duì)錯(cuò)誤進(jìn)行及時(shí)統(tǒng)計(jì)分析,查清原因,從制度上杜絕此類(lèi)事件發(fā)生。
3.5 校園網(wǎng)內(nèi)部用戶(hù)的安全隱患
校園網(wǎng)內(nèi)部用戶(hù)的安全威脅不容忽視。一方面,校園網(wǎng)終端用戶(hù)的木馬、蠕蟲(chóng)、病毒等是校園網(wǎng)絡(luò)安全威脅之一;另一方面,校園網(wǎng)絡(luò)出口帶寬受限,有P2P應(yīng)用占用資源嚴(yán)重,可能造成正常工作時(shí)段網(wǎng)絡(luò)擁堵,影響了教學(xué)、科研、管理工作的正常運(yùn)行。
對(duì)于巨大流量問(wèn)題只能通過(guò)辦公時(shí)間限制端口等問(wèn)題進(jìn)行解決,而網(wǎng)絡(luò)擁堵則可通過(guò)限制網(wǎng)絡(luò)訪問(wèn)人數(shù)等解決,當(dāng)然這些都應(yīng)該形成正常的監(jiān)測(cè)程序和制度,不能因工作人員的變換等影響其執(zhí)行。
4 結(jié)束語(yǔ)
總之,校園網(wǎng)絡(luò)安全的保障應(yīng)從小做起,從細(xì)節(jié)做起,時(shí)刻保障校園網(wǎng)絡(luò)的正常進(jìn)行以為教學(xué)提供優(yōu)質(zhì)服務(wù)。
參考文獻(xiàn)
[1] 凌冠華.高校數(shù)字化校園的數(shù)據(jù)建設(shè)和安全管理研究[J].價(jià)值工程,2010(29):202-203.
[2] 王陽(yáng).高校數(shù)字化校園信息安全策略探討[J].中國(guó)教育信息化.2011(3):29-61.
[3] 皇甫斌.淺談數(shù)字化校園的網(wǎng)絡(luò)安全建設(shè)[J].信息科技,2009(18):96-103.
[4] 張升平. 高校數(shù)字化校園體系結(jié)構(gòu)研究及實(shí)踐[D]. 長(zhǎng)沙:湖南大學(xué),2008.32-38.
[5] 章晟.拒絕服務(wù)攻擊和自相似網(wǎng)絡(luò)流量研究[D]. 杭州:浙江大學(xué),2010.18-29.
【關(guān)鍵詞】網(wǎng)絡(luò)安全數(shù)字傳輸加密數(shù)字存儲(chǔ)加密密碼體制
Internet在世界各國(guó)都呈現(xiàn)飛速發(fā)展的態(tài)勢(shì),網(wǎng)絡(luò)正在帶動(dòng)一場(chǎng)信息革命,加快了信息在世界各地的傳播,促進(jìn)了經(jīng)濟(jì)的發(fā)展和信息的交流。同時(shí),我們應(yīng)該清醒地認(rèn)識(shí)到信息在網(wǎng)絡(luò)上存儲(chǔ)、處理和傳輸雖然做了一定的安全措施,但在數(shù)字信息安全方面很難達(dá)到人們理想的境界。另外,由于網(wǎng)絡(luò)本身存在的脆弱性(比如,TCP/IP―Transfer Control Protocol/Internet Protocol協(xié)議,在制訂之初也沒(méi)有把安全考慮在內(nèi),所以沒(méi)有安全可言)以及可能遭受來(lái)自各方面的威脅和攻擊,使得信息的安全保密在網(wǎng)絡(luò)環(huán)境下具有特別重要的意義。網(wǎng)絡(luò)安全已成為世界各國(guó)十分關(guān)注的熱點(diǎn)問(wèn)題,它是一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)的穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)的重要問(wèn)題,特別是隨著全球信息基礎(chǔ)設(shè)施和各個(gè)國(guó)家的信息基礎(chǔ)逐漸形成,信息電子化已經(jīng)成為現(xiàn)代社會(huì)的一個(gè)重要特征。信息本身就是財(cái)富、就是生命、就是時(shí)間、就是生產(chǎn)力。因此,各國(guó)開(kāi)始利用電子空間的無(wú)國(guó)界性和信息戰(zhàn)來(lái)實(shí)現(xiàn)其以前軍事、文化、經(jīng)濟(jì)侵略所達(dá)不到的戰(zhàn)略目的。另外,由于網(wǎng)絡(luò)的快速、普及、分布式處理、資源共享、開(kāi)放、遠(yuǎn)程管理化,電子商務(wù)、金融電子化成為網(wǎng)絡(luò)時(shí)代必不可少的產(chǎn)物。因此,這給人們帶來(lái)了許多新的課題。如何解決網(wǎng)絡(luò)安全問(wèn)題?有人估計(jì),未來(lái)計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題甚至比核威脅還要嚴(yán)重。大量事實(shí)表明:確保網(wǎng)絡(luò)安全已經(jīng)是一件刻不容緩的大事,它的安全性主要依賴(lài)于加密、網(wǎng)絡(luò)用戶(hù)身份鑒別、存取控制策略等技術(shù)手段。網(wǎng)絡(luò)安全課題具有十分重要的理論意義和實(shí)際背景。
一、網(wǎng)絡(luò)安全概述
1.網(wǎng)絡(luò)安全的含義
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行。它與所要保護(hù)的信息對(duì)象有關(guān),通過(guò)各種計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù),保護(hù)在公用通信網(wǎng)中傳輸、交換和存儲(chǔ)的信息的機(jī)密性、完整性和真實(shí)性,并對(duì)信息的傳播即內(nèi)容具有控制能力。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性概念,不僅包括信息傳輸過(guò)程的安全性,還要考慮計(jì)算機(jī)上信息存儲(chǔ)的安全性。具體說(shuō)來(lái)就是通信鏈路上的安全和網(wǎng)絡(luò)結(jié)點(diǎn)處的安全共同構(gòu)成了網(wǎng)絡(luò)系統(tǒng)的安全。如圖1所示:
因此,網(wǎng)絡(luò)安全的內(nèi)容涵蓋可以表述為:通信安全+主機(jī)安全網(wǎng)絡(luò)安全。
2.網(wǎng)絡(luò)安全涉及內(nèi)容
網(wǎng)絡(luò)安全應(yīng)該具有以下四個(gè)方面的特征:
保密性:信息不泄露給非授權(quán)用戶(hù)、實(shí)體或供其利用的特性。
完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性,及信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性,即當(dāng)需要時(shí)能否存取所需的信息。
可控性:對(duì)信息的傳播及內(nèi)容具有控制能力。
網(wǎng)絡(luò)安全從不同角度可以得到不同的劃分。按照保護(hù)對(duì)象分,網(wǎng)絡(luò)安全包含信息依存載體的安全問(wèn)題和信息本身的安全問(wèn)題。信息依存載體是指信息存儲(chǔ)、處理和傳輸?shù)慕橘|(zhì),主要是物理概念,包括計(jì)算機(jī)系統(tǒng)、傳輸電纜、光纖及電磁波等。信息載體的安全主要指介質(zhì)破壞、電磁泄露、聯(lián)網(wǎng)通信的截?cái)唷⒏蓴_和竊聽(tīng)等。信息本身的安全問(wèn)題主要指信息在存儲(chǔ)、處理和傳輸過(guò)程中受到破壞、泄露和丟失等,從而導(dǎo)致信息的保密性、完整性和可用性受到侵害。因此網(wǎng)絡(luò)安全按照受保護(hù)的對(duì)象可以分為硬體安全和軟體安全,硬體安全指信息依存載體的安全,軟體安全指信息本身的安全。
網(wǎng)絡(luò)安全的目標(biāo)是保密性、完整性、可用性,有的文獻(xiàn)中還增加了可靠性、真實(shí)性、不可抵賴(lài)性、可審查性等。所以,網(wǎng)絡(luò)安全與保密的核心是:通過(guò)計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和安全技術(shù),保護(hù)在公用網(wǎng)絡(luò)信息系統(tǒng)中傳輸、交換和存儲(chǔ)的消息,以實(shí)現(xiàn)這一目標(biāo)。
簡(jiǎn)言之,網(wǎng)絡(luò)安全就是借助于一定安全策略,使信息在網(wǎng)絡(luò)環(huán)境中的保密性、完整性及可用性受到保護(hù),其主要目標(biāo)是確保經(jīng)網(wǎng)絡(luò)傳輸?shù)男畔⒌竭_(dá)目的計(jì)算機(jī)后沒(méi)有任何改變或丟失,以及只有授權(quán)者可以獲取響應(yīng)信息。需要注意的是安全策略的基礎(chǔ)是安全機(jī)制,即數(shù)學(xué)原理決定安全機(jī)制,安全機(jī)制決定安全技術(shù),安全技術(shù)決定安全策略,最終的安全策略是各種安全手段的系統(tǒng)集成,如防火墻、加密等技術(shù)如何配合使用策略等。
二、計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅
網(wǎng)絡(luò)面臨的安全威脅大體可分為兩種:一是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的威脅;二是對(duì)網(wǎng)絡(luò)設(shè)備的威脅。這些威脅可能來(lái)源于各種各樣的因素:可能是有意的,也可能是無(wú)意的;可能是來(lái)源于單位外部的,也可能是內(nèi)部人員造成的;可能是人為的,也可能是自然力造成的。下面大致歸納幾種主要威脅:
1.因自然力原因而非人為操作造成的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷。
2.人為但屬于操作人員無(wú)意的失誤造成的數(shù)據(jù)丟失。
3.來(lái)自外部和內(nèi)部人員的惡意攻擊和入侵。主要表現(xiàn)在:(1)非授權(quán)訪問(wèn):沒(méi)有預(yù)先經(jīng)過(guò)授權(quán),就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn),如有意避開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制,對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用,或擅自擴(kuò)大權(quán)限,越權(quán)訪問(wèn)信息。它主要有以下幾種形式:假冒身份攻擊、非法用戶(hù)進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶(hù)以超越權(quán)限方式進(jìn)行操作等。(2)信息泄漏或丟失:指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏或丟失,它通常包括信息在傳輸中丟失或泄漏(如“黑客”們利用電磁泄漏或搭線竊聽(tīng)等方式可截獲機(jī)密信息,或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析,推出有用信息,如用戶(hù)口令、賬號(hào)等重要信息),信息在存儲(chǔ)介質(zhì)中丟失或泄漏,通過(guò)建立隱蔽隧道等竊取敏感信息等。(3)破壞數(shù)據(jù)完整性:以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán),刪除、修改、插入或重發(fā)重要信息,以取得有益于攻擊者的響應(yīng);惡意添加,修改數(shù)據(jù),以干擾用戶(hù)的正常使用。(4)拒絕服務(wù)攻擊:它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾,改變其正常的作業(yè)流程,執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓,影響正常用戶(hù)的使用,甚至使合法用戶(hù)被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。(5)利用網(wǎng)絡(luò)傳播病毒:通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒,其破壞性大大高于單機(jī)系統(tǒng),而且用戶(hù)很難防范。
針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中數(shù)據(jù)信息面臨的種種安全威脅(如泄漏、丟失、完整性被破壞等),為保障數(shù)據(jù)信息的安全,人們進(jìn)行了一系列卓有成效的探索。數(shù)字加密技術(shù)便是其中之一,其目的
就是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)絡(luò)會(huì)話的完整性。
三、數(shù)字加密與網(wǎng)絡(luò)安全
作為保障數(shù)據(jù)安全的一種方式,數(shù)字加密起源于公元前2000年。埃及人是最先使用特別的象形文字作為信息編碼的人。隨著時(shí)間的推移,巴比倫和希臘人都開(kāi)始使用一些方法來(lái)保護(hù)他們的書(shū)面信息。最廣為人知的編碼機(jī)器是German Enigma機(jī),在第二次世界中德國(guó)人利用它創(chuàng)建了加密信息。此后,由于Alan Turing和Ultra計(jì)劃以及其他人的努力,終于對(duì)德國(guó)人的密碼進(jìn)行了破解。當(dāng)初,計(jì)算機(jī)的研究就是為了破解德國(guó)人的密碼,當(dāng)時(shí)人們并沒(méi)有想到計(jì)算機(jī)給今天帶來(lái)的信息革命。隨著計(jì)算機(jī)的發(fā)展,運(yùn)算能力的增強(qiáng),過(guò)去的密碼都變得十分簡(jiǎn)單了,于是人們又不斷地研究出了新的數(shù)字加密方式,如私有密鑰算法和公共密鑰算法。可以說(shuō),是計(jì)算機(jī)推動(dòng)了數(shù)字加密技術(shù)的發(fā)展。
加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石,隨著計(jì)算機(jī)自身性能的不斷提高,使越來(lái)越復(fù)雜、可靠的數(shù)字加密技術(shù)得以實(shí)施,網(wǎng)絡(luò)以加密技術(shù)的應(yīng)用也更為廣泛、深入。
關(guān)鍵詞:網(wǎng)絡(luò)安全;城域網(wǎng);數(shù)字化
中圖分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-8937(2013)05-0068-01
隨著我國(guó)持續(xù)發(fā)展的社會(huì)經(jīng)濟(jì)、科技以及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的日益更新,提高城市數(shù)字化管理水平是保持城市可持續(xù)發(fā)展的必然要素之一,也是保證加速現(xiàn)代城市網(wǎng)絡(luò)化建設(shè)的保障。數(shù)字化城市網(wǎng)絡(luò)的安全運(yùn)行和管理在城市文明中起著舉足輕重的作用,加強(qiáng)城市數(shù)字化網(wǎng)絡(luò)的安全設(shè)計(jì)和管理,對(duì)城市數(shù)字化管理的規(guī)劃實(shí)施提供了安全保障,對(duì)保證城市數(shù)字化的硬件設(shè)備的正常運(yùn)行提供了有利條件,不但有利于對(duì)城市數(shù)字化環(huán)境的增強(qiáng),而且有利于促進(jìn)與其它城市的資源共享和城市綜合管理功能的增強(qiáng),當(dāng)今,快速迅猛的城市化建設(shè)讓城市景觀產(chǎn)生了非常大的變化,在城市建設(shè)的關(guān)鍵時(shí)期,數(shù)字化城市的網(wǎng)絡(luò)安全性滯后問(wèn)題也成為各個(gè)城市網(wǎng)絡(luò)系統(tǒng)普遍存在的問(wèn)題。隨著網(wǎng)絡(luò)開(kāi)放性、互連性、共享性程度的擴(kuò)大,使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大,網(wǎng)絡(luò)的安全問(wèn)題也變得越來(lái)越重要。由于網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)展,系統(tǒng)漏洞不斷發(fā)現(xiàn),整個(gè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)也越來(lái)越大。如何通過(guò)一個(gè)行之有效的方法,在安全隱患出現(xiàn)之前能夠未雨綢繆,防范于未然,缺乏網(wǎng)絡(luò)安全手段的數(shù)字化城域網(wǎng)顯然越來(lái)越不能滿足現(xiàn)代化城市發(fā)展的需要,利用網(wǎng)絡(luò)安全性高、數(shù)字化程度強(qiáng)的管理方式進(jìn)行現(xiàn)代化城市的管理已經(jīng)迫在眉睫。因此,針對(duì)當(dāng)前數(shù)字化城域網(wǎng)在運(yùn)行過(guò)程中表現(xiàn)出來(lái)的安全性不高等缺點(diǎn),構(gòu)建基于網(wǎng)絡(luò)安全的數(shù)字化城域網(wǎng)安全系統(tǒng),實(shí)現(xiàn)數(shù)字化城域網(wǎng)的安全可靠的運(yùn)行是非常必要的。
1 數(shù)字城域網(wǎng)發(fā)展現(xiàn)狀
網(wǎng)絡(luò)技術(shù)應(yīng)用到城市管理給城市管理的網(wǎng)絡(luò)化和數(shù)字化帶來(lái)很大的方便,但是據(jù)各大城市的網(wǎng)絡(luò)化運(yùn)行的現(xiàn)狀反應(yīng)出來(lái)的一系列問(wèn)題是不可否認(rèn)的,城市的數(shù)字化網(wǎng)絡(luò)化管理還存在或多或少的一些問(wèn)題,長(zhǎng)效的管理和高效的管理機(jī)制不但需要基于安全性高的網(wǎng)絡(luò)技術(shù)支撐,而且還需要城市管理數(shù)字化的理念和網(wǎng)絡(luò)化的體制以及網(wǎng)絡(luò)化的管理方式的創(chuàng)新。據(jù)初步調(diào)查城市的數(shù)字網(wǎng)絡(luò)化管理方面還存在如下問(wèn)題。問(wèn)題發(fā)現(xiàn)及處理不夠及時(shí),雖然目前城市有部分單位有自己的巡查隊(duì)伍,并且進(jìn)行數(shù)字化管理,例如環(huán)保監(jiān)察部門(mén)、交通管理部門(mén)、環(huán)境衛(wèi)生管理部門(mén)、城建監(jiān)察部門(mén)等,還有部分專(zhuān)業(yè)部門(mén)沒(méi)有專(zhuān)業(yè)的巡查隊(duì)。在巡查管理過(guò)程中,這些管理部門(mén)不僅受人員、管理時(shí)間等方面的限制,而且由于缺乏數(shù)字信息系統(tǒng)的有效支持,對(duì)問(wèn)題的定位,發(fā)現(xiàn)問(wèn)題的處理有時(shí)速度較慢,不能夠及時(shí)準(zhǔn)確的發(fā)現(xiàn)和解決問(wèn)題。特別是涉及不同部門(mén)協(xié)同性工作程序的流轉(zhuǎn),如果沒(méi)有工作流信息系統(tǒng)的有效支持,問(wèn)題的處理速度、效率都顯得相對(duì)滯后。
{1}問(wèn)題發(fā)現(xiàn)手段比較單一。目前城市數(shù)字化管理問(wèn)題主要依靠巡查隊(duì)和群眾舉報(bào)發(fā)現(xiàn),而且只是少數(shù)部門(mén)有自己的巡查隊(duì),問(wèn)題發(fā)現(xiàn)手段比較單一,未能實(shí)現(xiàn)全方位、快速的發(fā)現(xiàn)問(wèn)題。
{2}部門(mén)協(xié)調(diào)比較困難。調(diào)研中發(fā)現(xiàn)基本每個(gè)部門(mén)都提到了部門(mén)間工作協(xié)調(diào)的問(wèn)題,在實(shí)際操作和實(shí)施過(guò)程中經(jīng)常會(huì)遇到需要幾個(gè)部門(mén)協(xié)同處理、需要其他部門(mén)提供信息資源的情況或者是需要幾個(gè)部門(mén)聯(lián)合執(zhí)法的情況,在這種情況下,由于缺乏一個(gè)統(tǒng)一的協(xié)調(diào)機(jī)構(gòu),各部門(mén)的協(xié)調(diào)配合比較少,而且比較困難,對(duì)實(shí)際工作造成了不便,花費(fèi)時(shí)間多,處理問(wèn)題效率低。
在涉及單位與單位工作銜接過(guò)程以及兩部門(mén)間涉及工作職權(quán)和工作范圍交匯的地方,存在諸如多頭管無(wú)人管等的情況,工作職責(zé)和職權(quán)劃分不清晰。存在城市管理工作分工不明,部門(mén)和部門(mén)之間信息溝通不暢的問(wèn)題。
{3}信息化程度較低。就目前情況來(lái)看,各單位的信息化建設(shè)都不盡如人意,大部分的單位都還沒(méi)有信息化系統(tǒng)和信息化建設(shè)的經(jīng)驗(yàn),而且各單位之間信息化建設(shè)差別很大,部分單位信息化建設(shè)和對(duì)整個(gè)工作信息化管理的認(rèn)知度不夠。
通過(guò)調(diào)研發(fā)現(xiàn)大部分的部門(mén)除了有局域網(wǎng)以外,都沒(méi)有業(yè)務(wù)系統(tǒng),基本都是手工辦公,檔案記錄也都是紙質(zhì)居多,有些部門(mén)雖然有信息系統(tǒng),但是工作人員對(duì)信息系統(tǒng)認(rèn)知程度比較低,基本沒(méi)有使用,處于閑置狀態(tài)。
{4}信息共享程度較低。目前缺乏暢通的渠道共享各部門(mén)的數(shù)據(jù)及信息資源。
{5}資源利用程度較低。在調(diào)研中發(fā)現(xiàn)資源利用程度比較低,某些數(shù)據(jù)、信息系統(tǒng)都是單一部門(mén)在使用,而且沒(méi)有暢通的渠道提供給其他想使用這些資源的部門(mén),造成資源使用率低,無(wú)法共享。可利用的資源包括:水質(zhì)在線監(jiān)測(cè)系統(tǒng)等。
{6}視頻監(jiān)控資源缺乏。目前除了公安系統(tǒng)有視頻監(jiān)控,其他部門(mén)基本沒(méi)有,但是,很多部門(mén)對(duì)視頻監(jiān)控的需求是非常強(qiáng)烈的,如:市環(huán)保局、市交通局、氣象局、城建監(jiān)察大隊(duì)、城市廣場(chǎng)物業(yè)公司。
{7}管理機(jī)制、監(jiān)督評(píng)價(jià)機(jī)制有待完善。目前,在城市管理方面還沒(méi)有形成一套完整的、有效的長(zhǎng)效管理機(jī)制,致使問(wèn)題屢禁不止。類(lèi)似公共設(shè)施遭到破壞等問(wèn)題,年年都有發(fā)生,造成不良的社會(huì)影響和國(guó)有財(cái)產(chǎn)嚴(yán)重?fù)p失。在監(jiān)督評(píng)價(jià)方面,只有部分單位、部門(mén)有監(jiān)督評(píng)價(jià)機(jī)制,而且都是自成一體,沒(méi)有一個(gè)統(tǒng)一的部門(mén)進(jìn)行監(jiān)督評(píng)價(jià),不能充分調(diào)動(dòng)各部門(mén)的積極性,沒(méi)有協(xié)調(diào)機(jī)構(gòu),無(wú)法綜合實(shí)施城市管理的組織領(lǐng)導(dǎo)監(jiān)督檢查職能。
綜上所述,城市管理需要建設(shè)一個(gè)實(shí)用的城市管理信息化平臺(tái),進(jìn)而實(shí)現(xiàn)多級(jí)聯(lián)動(dòng)、協(xié)同指揮,最終提高城市綜合管理能力。
2 設(shè)計(jì)方案
基于網(wǎng)絡(luò)安全的數(shù)字化城域網(wǎng)安全的設(shè)計(jì)首先要構(gòu)建基于網(wǎng)絡(luò)安全的數(shù)字化的管理模式,主要應(yīng)用空間網(wǎng)格的網(wǎng)絡(luò)技術(shù),選定適合的單位作為網(wǎng)格的節(jié)點(diǎn),實(shí)現(xiàn)每個(gè)節(jié)點(diǎn)對(duì)其所屬的單元網(wǎng)格能夠進(jìn)行任何時(shí)段的全面監(jiān)控。組建基于網(wǎng)絡(luò)安全的城市數(shù)字化管理和處理中心,能夠利用不同的方法準(zhǔn)確收集信息,以便對(duì)城市數(shù)字化管理中出現(xiàn)的各類(lèi)突況和處理情況進(jìn)行全面動(dòng)態(tài)實(shí)時(shí)監(jiān)控。主要從以下方面進(jìn)行方案設(shè)計(jì)。
①基于空間網(wǎng)格技術(shù)的單元網(wǎng)格的設(shè)計(jì)。單元網(wǎng)格的分配規(guī)則以方便數(shù)字化城市管理為前提,利用網(wǎng)格技術(shù)設(shè)計(jì)一個(gè)合理的地理位置編碼管理體系。按照空間網(wǎng)格技術(shù)的原理建立模型,根據(jù)城市中的實(shí)際狀況,城市結(jié)構(gòu)、城市社區(qū)分布情況以方便安全管理為原則進(jìn)行單元網(wǎng)格的設(shè)計(jì)。進(jìn)行單元網(wǎng)格設(shè)計(jì)要同時(shí)考慮到城市建筑及部件的完整性以及日常監(jiān)督管理的時(shí)效性。按照城市地理位置及實(shí)際情況設(shè)計(jì)單元網(wǎng)格可以完全實(shí)現(xiàn)社區(qū)、建筑物、企事業(yè)單位等城市節(jié)點(diǎn)直接建立關(guān)系模型,單元網(wǎng)格的設(shè)計(jì)全面實(shí)現(xiàn)城市要素與地理信息之間建立動(dòng)態(tài)關(guān)系的重要編碼。
②設(shè)計(jì)基于網(wǎng)格的地理編碼技術(shù)對(duì)現(xiàn)代城市各部件的分類(lèi)、分項(xiàng)管理進(jìn)行實(shí)施。在充分對(duì)城市進(jìn)行調(diào)研的基礎(chǔ)上將城市的各個(gè)部件分別處理,再對(duì)城市部件的地理編碼進(jìn)行設(shè)計(jì)并分別在相應(yīng)的地圖上進(jìn)行標(biāo)注,從而實(shí)現(xiàn)城市管理全部基于計(jì)算機(jī)網(wǎng)絡(luò)數(shù)字化的安全管理。設(shè)計(jì)基于網(wǎng)格的地理編碼技術(shù)可以將城市的現(xiàn)代化管理進(jìn)行全面的細(xì)化,并且通過(guò)網(wǎng)格技術(shù)能夠?qū)崟r(shí)準(zhǔn)確的確定相應(yīng)的責(zé)任單位,有效的實(shí)現(xiàn)了城市管理真正的數(shù)字化和網(wǎng)絡(luò)化。
③基于網(wǎng)絡(luò)安全的無(wú)線網(wǎng)在城域網(wǎng)中的設(shè)計(jì),利用無(wú)線網(wǎng)絡(luò)技術(shù)能夠創(chuàng)建全新的信息實(shí)時(shí)傳遞方式。可以保證現(xiàn)代信息技術(shù)全面應(yīng)用于數(shù)字化的城市管理,有效的實(shí)現(xiàn)信息共享。通過(guò)無(wú)線網(wǎng)絡(luò)技術(shù)的應(yīng)用,可以實(shí)現(xiàn)信息源的全方位采集,以保證對(duì)城市實(shí)行全區(qū)域、全時(shí)段監(jiān)控與管理。
④基于網(wǎng)絡(luò)安全的數(shù)字化城域網(wǎng)的設(shè)計(jì)還需要組建城市管理監(jiān)督中心和處置中心,同時(shí)按照數(shù)字監(jiān)控、評(píng)價(jià)與管理分離的原則,根據(jù)數(shù)字化城市管理的發(fā)展變化,適時(shí)調(diào)整設(shè)置和職能。
3 結(jié) 語(yǔ)
隨著互聯(lián)網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)展,傳統(tǒng)的數(shù)字化城域網(wǎng)不能適應(yīng)網(wǎng)絡(luò)安全的要求。本文主要對(duì)當(dāng)前數(shù)字化城域網(wǎng)在運(yùn)行過(guò)程中集成能力差、擴(kuò)展性差、柔性差、關(guān)系繁瑣、結(jié)構(gòu)冗余、模型缺乏對(duì)分布環(huán)境的支持等缺點(diǎn)進(jìn)行了論述,在此基礎(chǔ)上提出構(gòu)建基于網(wǎng)絡(luò)安全的數(shù)字化城域網(wǎng)安全系統(tǒng)的解決方案和設(shè)計(jì)思路。
參考文獻(xiàn):
1 概述
隨著以網(wǎng)絡(luò)為核心的高新技術(shù)突飛猛進(jìn)的發(fā)展,信息傳播的方式發(fā)生了重大的變革,作為文獻(xiàn)信息中心的圖書(shū)館也基本具備了采訪、編目、書(shū)刊流通、公共查詢(xún)和讀者咨詢(xún)服務(wù)等主要功能的計(jì)算機(jī)網(wǎng)絡(luò)管理,逐步實(shí)現(xiàn)了自動(dòng)化、網(wǎng)絡(luò)化、數(shù)字化的操作和管理,在由傳統(tǒng)圖書(shū)館逐步向數(shù)字圖書(shū)館轉(zhuǎn)變。在數(shù)字圖書(shū)館的建設(shè)過(guò)程中,網(wǎng)絡(luò)安全問(wèn)題會(huì)顯得越來(lái)越突出,數(shù)據(jù)資源的共享與網(wǎng)絡(luò)安全兩者之間的矛盾也將會(huì)越來(lái)越突出。保障數(shù)字圖書(shū)館網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行,在其現(xiàn)代化的管理中具有非常重要的地位。
2 數(shù)字圖書(shū)館網(wǎng)絡(luò)與數(shù)據(jù)安全面臨的主要問(wèn)題
凡事預(yù)則立,不預(yù)則廢。做好數(shù)字圖書(shū)館網(wǎng)絡(luò)安全管理的前提是對(duì)網(wǎng)絡(luò)安全威脅和存在的問(wèn)題有充分的認(rèn)識(shí)和預(yù)見(jiàn)性。數(shù)字圖書(shū)館在帶來(lái)各種便利的同時(shí),也帶來(lái)很多新的安全問(wèn)題,如黑客攻擊、病毒爆發(fā)、非法用戶(hù)入侵等。另外,數(shù)字圖書(shū)館網(wǎng)絡(luò)中存在不安全因素,包括:非法登陸、竊取信息、安全漏洞、內(nèi)部的攻擊、病毒的侵害、非法使用網(wǎng)絡(luò)、來(lái)自外來(lái)計(jì)算機(jī)和電子郵件的破壞等。
3 構(gòu)建數(shù)字圖書(shū)館網(wǎng)絡(luò)安全體系的基本原則
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的各個(gè)組成部分不因偶然或惡意的原因而遭到破壞、篡改和泄露,網(wǎng)絡(luò)系統(tǒng)正常可靠運(yùn)行、網(wǎng)絡(luò)服務(wù)持續(xù)不中斷。它包括物理安全、軟件安全、數(shù)據(jù)安全和運(yùn)行安全, 如圖l所示。物理安全是指整個(gè)圖書(shū)館網(wǎng)絡(luò)系統(tǒng)中硬件設(shè)備的安全;軟件安全是指網(wǎng)絡(luò)平臺(tái)及應(yīng)用程序的安全;數(shù)據(jù)安全是指數(shù)據(jù)存儲(chǔ)和傳輸?shù)陌踩〝?shù)據(jù)的完整性、可用性、可靠性;運(yùn)行安全是指整個(gè)圖書(shū)館網(wǎng)絡(luò)系統(tǒng)各部分都能正常運(yùn)行。圖書(shū)館網(wǎng)絡(luò)安全體系的構(gòu)建就是以物理安全、軟件安全、數(shù)據(jù)安全為內(nèi)容,在保證數(shù)據(jù)安全的前提下,為讀者提供優(yōu)質(zhì)的網(wǎng)絡(luò)信息服務(wù),同時(shí)必須充分考慮安全體系的經(jīng)濟(jì)性。
3.1 數(shù)據(jù)安全
圖書(shū)館數(shù)據(jù)庫(kù)中存儲(chǔ)數(shù)據(jù)或信息是其賴(lài)以存在的物質(zhì)基礎(chǔ)。如圖書(shū)管理系統(tǒng)中的流通數(shù)據(jù)庫(kù),包括讀者借閱信息、讀者個(gè)人信息,一旦發(fā)生數(shù)據(jù)丟失或損壞,必將會(huì)影響圖書(shū)館流通工作的正常開(kāi)展;電子閱覽室管理系統(tǒng)數(shù)據(jù)庫(kù)中同樣也存儲(chǔ)著讀者存款信息、上機(jī)信息、計(jì)費(fèi)信息,這些數(shù)據(jù)的丟失或損壞必將會(huì)給讀者和圖書(shū)館造成損失。因此,構(gòu)建數(shù)字圖書(shū)館網(wǎng)絡(luò)安全體系的首要原則就是維護(hù)數(shù)據(jù)的安全。
3.2 服務(wù)質(zhì)量
網(wǎng)絡(luò)安全不能以犧牲服務(wù)質(zhì)量為代價(jià), 在注重網(wǎng)絡(luò)安全的同時(shí)必須保持優(yōu)質(zhì)的網(wǎng)絡(luò)信息服務(wù)。在網(wǎng)絡(luò)受到攻擊或遇到其它意外情況時(shí), 輕易切斷網(wǎng)絡(luò)或停止部分功能以保障網(wǎng)絡(luò)安全的做法是不可取的。在信息膨脹、節(jié)奏加快的現(xiàn)代社會(huì),服務(wù)意味著承諾與信譽(yù)。必須保證網(wǎng)絡(luò)的強(qiáng)壯性,即使遭受攻擊,也能在最短的時(shí)間內(nèi)恢復(fù)服務(wù)。
3.3 經(jīng)濟(jì)性
關(guān)鍵的網(wǎng)絡(luò)設(shè)備與安全軟件比較昂貴, 在使用中并非多多益善, 否則將超出經(jīng)費(fèi)預(yù)算, 給圖書(shū)館其它工作的正常運(yùn)行帶來(lái)影響。對(duì)數(shù)字圖書(shū)館而言,經(jīng)濟(jì)性是選用網(wǎng)絡(luò)安全方案的一個(gè)重要參考因素。可以采用優(yōu)化的網(wǎng)絡(luò)安全策略,最大限度地發(fā)揮網(wǎng)絡(luò)各部分安全措施的功效,達(dá)到立體防御的效果。
4 數(shù)字圖書(shū)館數(shù)據(jù)安全的實(shí)現(xiàn)
4.1 采用.NET技術(shù)的數(shù)據(jù)安全保障功能
微軟所開(kāi)發(fā)的.NET技術(shù)是完全基于XML數(shù)據(jù)交換的革命性平臺(tái)。微軟這一平臺(tái)的設(shè)計(jì)意圖十分明確,就是要把網(wǎng)上所有可用資源通過(guò)統(tǒng)一的數(shù)據(jù)格式整合為一個(gè)解決方案。這個(gè)設(shè)計(jì)意圖使得.NET技術(shù)在對(duì)數(shù)字圖書(shū)館數(shù)據(jù)的處理方面有著很好的優(yōu)勢(shì)。.NET提供了多種符合W3C標(biāo)準(zhǔn)的命名空間和類(lèi)來(lái)實(shí)現(xiàn)數(shù)據(jù)加密、數(shù)字簽名和XKMS服務(wù)的功能。利用.NET所提供的安全功能可以有效的在數(shù)字圖書(shū)館信息系統(tǒng)中保護(hù)數(shù)據(jù)的安全。
4.2 數(shù)據(jù)加密功能
數(shù)字圖書(shū)館框架中,有三個(gè)命名空間涉及到數(shù)據(jù)的加密:
1) System.Security.Cryptography
這是一個(gè)提供密碼服務(wù)的命名空間,在這個(gè)加密命名空間中有支持多種加密算法的類(lèi)。密碼服務(wù)程序類(lèi)的列表如表1所示。
2) System.Security.Cryptography.X5O9Certificates
包含了W3C規(guī)范中.X509證書(shū)檢索等的有關(guān)功能。
3) System.Security.Cryptography.Xml
應(yīng)用在.NET框架下的特有的數(shù)據(jù)加密安全系統(tǒng),可對(duì)數(shù)字圖書(shū)館流程信息文檔部分或全部?jī)?nèi)容進(jìn)行加密。
上述的三個(gè)命名空間使得數(shù)據(jù)加密功能在使用的方便性方面有了很大的提高,這也是.NET在實(shí)現(xiàn)數(shù)據(jù)安全方面的優(yōu)勢(shì)。例如在數(shù)字圖書(shū)館信息系統(tǒng)中需要對(duì)XML的數(shù)據(jù)進(jìn)行加密,可以通過(guò)例程1實(shí)現(xiàn)(例程1以.NET中的C#語(yǔ)言編寫(xiě))。
例程1:加密XML數(shù)據(jù)
using System.Xml;
using System.Security.Cryptography;//引用加密算法的命名空間 RSACryptoServiceProvider crypt=new RSACryptoServiceProvider();
//創(chuàng)建加密算法類(lèi)的實(shí)現(xiàn)對(duì)象
System.Text.UTF8Encoding enc=new System.Text.UTF8Encoding();
//把數(shù)據(jù)字符串轉(zhuǎn)換為字節(jié)數(shù)組
Byte[]bytes=enc.GetBytes(“數(shù)字圖書(shū)館信息系統(tǒng)中的XML數(shù)據(jù)”);
Bytes=Crypt.Encrypt(bytes,false);//)加密XML數(shù)據(jù)
在上述例程中直接使用了.NET在System.Security.Cryptography命名空間中所提供的加密算法類(lèi)RSACryptoServiceProvider來(lái)加密XMI 數(shù)據(jù),即快捷又安全。
4.3 數(shù)字簽名功能
數(shù)字圖書(shū)館還采用了.NET框架在System.Security.Cryptography.Xml命名空間中對(duì)數(shù)字簽名所需的全方位支持。在System.Security.Cryptography.Xml命名空間中可直接創(chuàng)建、、和等XML數(shù)字簽名元素的對(duì)象,并可使用SignedXml類(lèi)和它的ComputeSignature()和CheckSignature()方法來(lái)實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證數(shù)字簽名的功能。例程2用C#語(yǔ)言實(shí)現(xiàn)了對(duì)一個(gè)包含數(shù)字圖書(shū)館信息的XML數(shù)據(jù)文檔進(jìn)行簽名的處理。
例程2:數(shù)字圖書(shū)館文檔的簽名處理
using System.Xml;
using System.Security.Cryptography;
using System.Security.Cryptography.Xml;//引用加密算法的命名空間
SignedXml SignedXml=new SignedXml();//創(chuàng)建XML簽名
Reference reference=new Reference();//指定要簽名的數(shù)字圖書(shū)館文檔
Reference.Uri=@ “file://”+“@數(shù)字圖書(shū)館文檔”;
SignedXm1.AddReference(reference):
RSA crypt=RSA.Create();//使用RSA算法進(jìn)行加密
SignedXm1.SigningKey=crypt;//生成RSA簽名的密鑰信息
Keylnfo keylnfo= new Keylnfo();
RSAKeyValue rsaKey=new RSAKeyValue(crypt);
KeyInfo.AddClause(rsaKey);
SignedXm1.Keylnfo=keyinfo;
SignedXm1.ComputeSignature();//正式簽名
XmlElement xmlSignature=signedXm1.GetXml();//把簽名放入XML文檔
XmlDocument doc=new XmlDocument();
在上述例程中使用了.NET的XML數(shù)字簽名類(lèi)創(chuàng)建了一個(gè)獨(dú)立的數(shù)字圖書(shū)館文檔的數(shù)字簽名。
4.4 數(shù)字圖書(shū)館密鑰管理規(guī)范服務(wù)(XKMS)
在.NET框架下,XML密鑰管理規(guī)范服務(wù)是以Web服務(wù)的形式實(shí)現(xiàn)的,它允許客戶(hù)端應(yīng)用程序訪問(wèn)PKI服務(wù),但客戶(hù)端應(yīng)用程序不需要關(guān)心底層PKI的語(yǔ)法,從而減少客戶(hù)機(jī)應(yīng)用程序的復(fù)雜性。XKMS服務(wù)幫助數(shù)字圖書(shū)館輕松地將網(wǎng)絡(luò)安全措施(如數(shù)據(jù)加密和數(shù)字簽字)和圖書(shū)館信息系統(tǒng)的應(yīng)用結(jié)合起來(lái)。XML安全標(biāo)準(zhǔn)措施是建基于XKMS服務(wù)所提供的網(wǎng)絡(luò)交易中的信任關(guān)系上,XKMS服務(wù)是實(shí)現(xiàn)XML數(shù)字加密和簽名服務(wù)的媒介。
4.4.1 創(chuàng)建XKMS服務(wù)
數(shù)字圖書(shū)館使用Web服務(wù)描述語(yǔ)言(WSDL)來(lái)定義Web服務(wù),WSDL定義了用于與服務(wù)通訊的SOAP消息和XML類(lèi)型,而使用WSDL創(chuàng)建XKMS服務(wù)分兩個(gè)步驟:
1) 用WSDL創(chuàng)建XKMS對(duì)象模型。WSDI 實(shí)用工具可創(chuàng)建一個(gè)適當(dāng)類(lèi)型的字段,該字段的名稱(chēng)與XML元素或?qū)傩缘拿Q(chēng)對(duì)應(yīng),這些類(lèi)型直接映射為.NET公共語(yǔ)言運(yùn)行庫(kù)(CLR)類(lèi)型。利用這些字段構(gòu)建出XKMS對(duì)象模型。
例程3:構(gòu)建XKMS的對(duì)象模型
public class Keylnfo{
[System.Xm1.Serialization.XmlElementAttribute(“KeyName”,typeof(string))]
[System.Xm1.Serialization.XmlElementAttribute(“KeyValue”,typeof(KeyValue))]
[System.Xm1.Serialization.XmlElementAttribute(“RetrievalMethod”,typeofRetrievalMethod))]
[System.Xml.Serialization.XmlElementAttribute(“XS09Data”,typeof(X509Data))]
[System.Xml.Serialization.XmlElementAttribute(“PGPData”,typeof(PGPData))]
[System.Xml.Serialization.XmlElementAttribute(“SPKIData”,typeof(string))]
[System.Xml.Serialization.XmlElementAttribute(“MgmtData”,typeof(string))]
[System.Xml.Serialization.XmlChoiceIdentifierAttribute(“ItemsElementName”)]
public object[]Items;
[System.Xml.Serialization.XmlElementAttribute(“ItemsElementName”)]
[System.Xml.Serialization.XmlIgnoreAttribute()]
public ItemsChoiceType2[]ItemsElementName;
[System. Xml.Serialization.XmlAnyElementAttribute()]
public XmlElement[]Any;
[System. Xml.Serialization.XmlAttributeAttribute(DataType=“ID”)]
public string Id;}
2) 用WSDL實(shí)用工具生成的原型代碼可以使XKMS服務(wù)得以實(shí)現(xiàn)。這些原型代碼可以控制Web服務(wù)名稱(chēng)、XML命名空間和參數(shù)序列化的屬性,以該代碼創(chuàng)建一個(gè)XKMS服務(wù)實(shí)現(xiàn)非常簡(jiǎn)單。只需把KeyService類(lèi)定義和相關(guān)聯(lián)的屬性復(fù)制到一個(gè)ASMX文件并添加必需的Web服務(wù)聲明:< @WebService Language=“C#”class=“XKMS.KeyService” >。另外還需把KeyService類(lèi)放置在命名空間‘XKMS’中,這有助于清楚‘KeyService’的用途。
4.4.2 構(gòu)建XKMS客戶(hù)端
有了用于XKMS服務(wù),構(gòu)建客戶(hù)端應(yīng)用程序很簡(jiǎn)單。XKMS服務(wù)包含了客戶(hù)端服務(wù)需要的方法以及使用那些方法所需要的所有類(lèi)型。構(gòu)建KXMS客戶(hù)端包括:
1) 使用服務(wù)注冊(cè)RSA公鑰值
2) 根據(jù)KeyName值查找RSA公鑰
3) 根據(jù)KeyID或KeyName值驗(yàn)證RSA公鑰
通過(guò)客戶(hù)端應(yīng)用程序交互式地收集任何所需的輸人,用戶(hù)可以執(zhí)行一系列這些操作,調(diào)用XKMS服務(wù)。
4.4.3 數(shù)字圖書(shū)館的安全機(jī)制
大部分的數(shù)字圖書(shū)館信息系統(tǒng)是分布式應(yīng)用程序環(huán)境,分布式協(xié)作存在巨大的安全隱患。所以現(xiàn)在除了采用XML加密、XML數(shù)字簽名和XKMS等方法來(lái)解決數(shù)據(jù)一級(jí)的安全保障外,還提供了一個(gè)可伸縮的、由權(quán)限驅(qū)動(dòng)的安全機(jī)制來(lái)保障應(yīng)用程序的安全。這種程序級(jí)的安全機(jī)制進(jìn)一步加強(qiáng)了XML數(shù)據(jù)的安全,適合在物流信息系統(tǒng)中廣泛應(yīng)用。
1) 程序訪問(wèn)安全性
為確保應(yīng)用程序的安全,需要限制授予程序的權(quán)限。當(dāng)調(diào)用受保護(hù)的資源或操作時(shí),.NET要求程序有一個(gè)確定的權(quán)限。除檢查程序的權(quán)限外,也可以為程序請(qǐng)求必要的運(yùn)行權(quán)限以實(shí)現(xiàn)具伸縮性的安全機(jī)制。
2) 角色安全性
在.NET運(yùn)行時(shí)(runtime)系統(tǒng)里,每一個(gè)正在執(zhí)行的線程都有一個(gè)身份叫管理員,這是安全環(huán)境的一部分。管理員執(zhí)行基于角色的檢查,對(duì)每一個(gè)要求連編的線程進(jìn)行對(duì)象角色的檢查以確定線程的合法性。
5 結(jié)論
綜上所述,結(jié)合本市數(shù)字圖書(shū)館網(wǎng)絡(luò)安全體系的實(shí)踐,我們認(rèn)識(shí)到,由于數(shù)字圖書(shū)館的最終目標(biāo)是建設(shè)圖書(shū)訂閱自動(dòng)化、面向統(tǒng)籌管理、面向公眾服務(wù)的資源共享的綜合信息系統(tǒng),系統(tǒng)的復(fù)雜性和特殊性便決定了其安全問(wèn)題的多層次性、重要性和迫切性。
網(wǎng)絡(luò)安全管理應(yīng)技術(shù)措施和管理措施并重,建立數(shù)字圖書(shū)館安全體系,應(yīng)從物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用系統(tǒng)安全、安全制度建設(shè)、安全教育培訓(xùn)等多方面進(jìn)行全面規(guī)劃和周密部署。另外,在構(gòu)建數(shù)字圖書(shū)館安全體系的同時(shí),還需要注意結(jié)合本市數(shù)字圖書(shū)系統(tǒng)實(shí)際進(jìn)行設(shè)計(jì),安全思路清晰、安全體系全面、安全重點(diǎn)突出等相關(guān)問(wèn)題,使網(wǎng)絡(luò)和數(shù)據(jù)安全建設(shè)即符合現(xiàn)代化圖書(shū)管理工作的需要,又符合公共服務(wù)部門(mén)相關(guān)的安全保密要求。
關(guān)鍵詞:網(wǎng)絡(luò)安全;數(shù)字化校園;虛擬局域網(wǎng)
隨著網(wǎng)絡(luò)的普及以及新應(yīng)用的出現(xiàn),信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源。數(shù)字化校園網(wǎng)作為學(xué)校信息化建設(shè)的基礎(chǔ),引起了教學(xué)方法、教學(xué)手段、教學(xué)工具的重大革新,在教學(xué)、科研、管理等方面起著舉足輕重的作用。與此同時(shí),校園網(wǎng)絡(luò)的安全保障就變得十分重要。本文重點(diǎn)闡述了網(wǎng)絡(luò)安全系統(tǒng)的規(guī)劃及方案的實(shí)施,目的是建立一個(gè)完整、立體、多層次的網(wǎng)安全防御體系。
一、數(shù)字化校園網(wǎng)安全現(xiàn)狀
目前,世界上70%以上的學(xué)校都擁有自己的數(shù)字化校園網(wǎng),并將其融入到教學(xué)中,但大部分校園網(wǎng)建設(shè)都對(duì)網(wǎng)絡(luò)安全有所忽視,逐漸使校園網(wǎng)的安全受到來(lái)自?xún)?nèi)部和外部的威脅與危害。校園網(wǎng)的主要安全問(wèn)題分為下述幾方面:
1.物理層方面安全。由于網(wǎng)絡(luò)中物理設(shè)備的位置不合理、規(guī)章制度的不健全及防范措施不科學(xué),導(dǎo)致網(wǎng)絡(luò)資源受到自然災(zāi)害的毀壞、人為或意外事故的破壞,造成了數(shù)字化校園網(wǎng)不能夠正常的運(yùn)行。因此,物理層安全問(wèn)題是需要重視的。
2.未經(jīng)受權(quán)訪問(wèn)。沒(méi)有經(jīng)過(guò)授權(quán)或者假冒合法的用戶(hù)獲得了權(quán)限進(jìn)而訪問(wèn)網(wǎng)絡(luò)資源,造成獲取所需資料、篡改有關(guān)數(shù)據(jù)或利用有關(guān)資源從事非法活動(dòng)的情況。在校園網(wǎng)上,最常見(jiàn)的是盜用合法IP地址,給合法的用戶(hù)直接帶來(lái)了經(jīng)濟(jì)損失,造成網(wǎng)絡(luò)沖突,使網(wǎng)絡(luò)不能夠正常工作,嚴(yán)重的甚至造成主機(jī)崩潰,影響到整個(gè)校園網(wǎng)運(yùn)行。
3.計(jì)算機(jī)病毒。互聯(lián)網(wǎng)現(xiàn)在是病毒肆虐最大的來(lái)源,互聯(lián)網(wǎng)上發(fā)現(xiàn)了各色新病毒,感染快、危害嚴(yán)重,而且使用者難以防范。校園網(wǎng)由于計(jì)算機(jī)用戶(hù)眾多并且水平差距很大,容易感染病毒且消除困難。
4.帶寬管理。對(duì)于每個(gè)學(xué)校來(lái)說(shuō),它的帶寬資源都是有限的。而上網(wǎng)人數(shù)的急增和各種各樣在線游戲的流行使有限的帶寬資源不堪重負(fù)。由于沒(méi)有帶寬限制和優(yōu)先級(jí)設(shè)置,一些重要用戶(hù)和重要應(yīng)用得不到必要的帶寬保證而影響了正常的教學(xué)和科研工作。
二、校園網(wǎng)安全方案的實(shí)現(xiàn)
1.網(wǎng)絡(luò)防火墻的部署。在核心交換機(jī)與Internet之間、核心交換機(jī)和服務(wù)器群之間部署了一道防火墻,進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)控,實(shí)現(xiàn)虛擬的網(wǎng)絡(luò)隔離。在部署防火墻之前,需要對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)以及網(wǎng)絡(luò)應(yīng)用作詳細(xì)的了解,然后根據(jù)網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的實(shí)際需求制訂防火墻策略,以便能夠在提高網(wǎng)絡(luò)安全的同時(shí)不影響業(yè)務(wù)系統(tǒng)的性能。通過(guò)進(jìn)行網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析,確定防火墻的部署方式以及部署位置;根據(jù)實(shí)際的應(yīng)用和安全的要求,劃定不同的安全功能區(qū)域,并制訂各個(gè)安全功能區(qū)域之間的訪問(wèn)控制策略;制訂管理策略,特別是對(duì)于防火墻的日志管理、本身安全性管理。
2.路由器的設(shè)置。路由器是校園網(wǎng)主要設(shè)備之一,其位置在校園網(wǎng)與Internet接入口處。通過(guò)對(duì)路由器相關(guān)設(shè)置,可以實(shí)現(xiàn)帶寬限制,特定訪問(wèn)規(guī)則,流量控制等,進(jìn)一步保證了網(wǎng)絡(luò)安全。路由器主要功能是對(duì)IP地址進(jìn)行設(shè)置,設(shè)置要恪守的基本原則如下:路由器的物理網(wǎng)絡(luò)端口需要有一個(gè)IP地址;相鄰路由器的相鄰端口IP地址在同一網(wǎng)段;同一路由器不同端口在不同網(wǎng)段上,IP地址設(shè)置的主要任務(wù)是配置端口IP地址;配置廣域網(wǎng)線路協(xié)議,配置IP地址與物理網(wǎng)絡(luò)地址如何映射;配置路由;其他設(shè)置。
3.三層交換機(jī)設(shè)置。三層交換機(jī)的出現(xiàn)解決了路由器的速度和二層交換機(jī)的VLAN間路由的問(wèn)題,既滿足了速度的要求,還可以實(shí)現(xiàn)劃分VLAN,是目前數(shù)字化校園網(wǎng)中必不可少的網(wǎng)絡(luò)設(shè)備。三層交換機(jī)通過(guò)劃分VLAN有效地隔離了局域網(wǎng)的廣播風(fēng)暴,有效地提高了網(wǎng)絡(luò)管理速度,很好地實(shí)現(xiàn)了網(wǎng)絡(luò)安全。劃分VLAN的基本策略從技術(shù)角度講,VLAN的劃分可依據(jù)不同原則,一般有以下三種劃分方法:(1)基于端口的VLAN部分。這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組,這種方案只需要管理者對(duì)網(wǎng)絡(luò)設(shè)備的交換接口重新分配就可以,不必考慮該端口所連接的設(shè)備。(2)基于MAC地址的VLAN劃分。MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符,每一塊網(wǎng)卡的MAC地址都是唯一且固化在網(wǎng)卡上的,網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。(3)基于路由的VLAN劃分。路由協(xié)議工作在網(wǎng)絡(luò)層,相應(yīng)的工作設(shè)備有路由器和路由交換機(jī),該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī),或一個(gè)端口位于多個(gè)VLAN中。
建設(shè)數(shù)字化校園網(wǎng)為信息資源共享提供了有力的工具和手段,將校園中的各PC機(jī)、終端設(shè)備與局域網(wǎng)相連接,同時(shí)與國(guó)際互聯(lián)網(wǎng)連接起來(lái),構(gòu)建可以滿足教學(xué)、科研以及管理工作所需的各種環(huán)境,及時(shí)收集各種反饋信息,為學(xué)校的長(zhǎng)遠(yuǎn)發(fā)展提供決策依據(jù)。
參考文獻(xiàn):
[1]鄧尚民,袁玉珍.淺談對(duì)校園網(wǎng)建設(shè)中存在問(wèn)題的幾點(diǎn)認(rèn)識(shí)[J].中國(guó)遠(yuǎn)程教育,2000(2).
[2]方欣澤.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成[M].北京:中國(guó)水利電利出版社,2005.
人們的生活隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展,得到了非常顯著的提高,并且讓人們的生活方式以及生活習(xí)慣,都有了非常巨大的改變。互聯(lián)網(wǎng)已經(jīng)成為了人們交流各種信息的一個(gè)重要平臺(tái)。因此,互聯(lián)網(wǎng)的安全問(wèn)題也逐漸的暴露了出現(xiàn),成為了我國(guó)當(dāng)下的一個(gè)重要的研究領(lǐng)域。
1網(wǎng)絡(luò)信息資源的安全管理之中存在的問(wèn)題
1.1操作系統(tǒng)中存在的漏洞
計(jì)算機(jī)擁有龐大的軟件系統(tǒng),但是其中最基本也最重要的系統(tǒng)就是計(jì)算機(jī)的操作系統(tǒng)。操作系統(tǒng)是提供一個(gè)用戶(hù)正常使用計(jì)算機(jī)或者對(duì)其他程序進(jìn)行安裝的一個(gè)可以運(yùn)行的平臺(tái)。并且,操作系統(tǒng)還能夠?qū)τ?jì)算機(jī)之中儲(chǔ)存的資源進(jìn)行管理。例如,對(duì)于計(jì)算機(jī)的硬件和軟件之中存在的問(wèn)題,利用一定的操作就能夠輕松的進(jìn)行查看和管理。在這個(gè)過(guò)程之中,就有可能會(huì)涉及到一個(gè)模塊或者程序的安全問(wèn)題。如果這些程序之中,存在著一些問(wèn)題,但沒(méi)有被發(fā)現(xiàn)和及時(shí)解決的化,可能就會(huì)造成計(jì)算機(jī)的整個(gè)系統(tǒng)崩潰,從而影響用戶(hù)對(duì)計(jì)算機(jī)的正常使用。信息的傳輸、程序的加載等功能都能通過(guò)操作系統(tǒng)進(jìn)行實(shí)現(xiàn),尤其是通過(guò)ftp傳輸一些特殊的文件。而當(dāng)這些特殊文件之中包括了一些可執(zhí)行的文件,對(duì)于計(jì)算機(jī)也會(huì)造成不安全的影響。這些ftp文件,大都是由程序員編寫(xiě)出來(lái)的,在編寫(xiě)的過(guò)程之中可能會(huì)出現(xiàn)很多的漏洞,這些漏洞就會(huì)造成計(jì)算機(jī)資源的安全威脅,甚至引起系統(tǒng)的崩潰。計(jì)算機(jī)操作系統(tǒng)的不安全因素出現(xiàn)的原因,主要是操作系統(tǒng)會(huì)允許用戶(hù)在計(jì)算機(jī)上創(chuàng)建一定的進(jìn)程,并且能夠?qū)ζ溥M(jìn)行遠(yuǎn)程激活。這種手段一旦被一些不法分子所利用,就有可能造成計(jì)算機(jī)被遠(yuǎn)程控制的威脅,也就是俗稱(chēng)的被“黑”。操作系統(tǒng)還能夠?qū)崿F(xiàn)對(duì)計(jì)算機(jī)的遠(yuǎn)程硬件和軟件調(diào)用,從而通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)流失很多相關(guān)的信息,從而帶來(lái)一定的損失和安全威脅。
1.2網(wǎng)絡(luò)開(kāi)放性存在的問(wèn)題
計(jì)算機(jī)最顯著的特點(diǎn)就是其具有開(kāi)放性,這是互聯(lián)網(wǎng)技術(shù)發(fā)展的必然趨勢(shì),但是這種趨勢(shì)卻會(huì)給網(wǎng)絡(luò)的安全帶來(lái)比較大的隱患。首先,由于網(wǎng)絡(luò)開(kāi)放性的存在,就使得網(wǎng)絡(luò)接入的門(mén)檻比較低,來(lái)自不同地區(qū),不同身份的人都能夠接入網(wǎng)絡(luò)來(lái)交流一些信息或者問(wèn)題。因此,在這些接入的人群之中,很有可能會(huì)存在一些圖謀不軌的人,從而使得網(wǎng)絡(luò)受到攻擊,有可能會(huì)是針對(duì)計(jì)算機(jī)一些軟件漏洞所發(fā)起的攻擊,也有可能是針對(duì)網(wǎng)絡(luò)之中的傳輸協(xié)議發(fā)起的攻擊。并且這些攻擊的范圍包括本地的用戶(hù),也包括外地甚至國(guó)外的用戶(hù)。這種入侵行為,在國(guó)家之間的存在早已經(jīng)屢見(jiàn)不鮮,有些攻擊行為一旦得逞可能會(huì)讓某個(gè)國(guó)家造成嚴(yán)重的損失。所以,互聯(lián)網(wǎng)的安全問(wèn)題不僅僅是個(gè)人的問(wèn)題,也是國(guó)家和世界的問(wèn)題。
2網(wǎng)絡(luò)安全技術(shù)
在我國(guó)比較常見(jiàn)的網(wǎng)絡(luò)安全技術(shù)主要有入侵檢測(cè)、可視化、防火墻、漏洞掃描、數(shù)據(jù)加密等技術(shù)。這些技術(shù)的應(yīng)用,讓當(dāng)前的互聯(lián)網(wǎng)安全有了一個(gè)比較好的保障,為用戶(hù)提供了一個(gè)相對(duì)安全的上網(wǎng)環(huán)境。入侵檢測(cè)技術(shù)主要指通過(guò)對(duì)審計(jì)數(shù)據(jù)的收集,從而將對(duì)網(wǎng)絡(luò)安全日志以及網(wǎng)絡(luò)行為進(jìn)行分析,進(jìn)而判斷在近期的計(jì)算機(jī)系統(tǒng)之中是否存在被攻擊或者一些違法的網(wǎng)絡(luò)行為。這是一種積極主動(dòng)的安全防御技術(shù),是除了防火墻之外的第一道安全防護(hù)的閘門(mén),該技術(shù)在檢測(cè)時(shí)能夠避免對(duì)網(wǎng)絡(luò)性能的影響,從而更好的檢測(cè)出網(wǎng)絡(luò)供給的行為。進(jìn)行入侵檢測(cè),可以隨時(shí)對(duì)來(lái)自外部以及內(nèi)部的網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控,讓計(jì)算機(jī)資源的安全性得到有效的提高。目前的計(jì)算機(jī)入侵檢測(cè)方法主要有混合入侵檢測(cè),基于主機(jī)以及網(wǎng)絡(luò)的入侵檢測(cè)等。入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)資源安全的應(yīng)用中,屬于應(yīng)用比較廣泛的技術(shù)之一。可視化技術(shù)是建立在入侵檢測(cè)、防火墻和漏洞掃描技術(shù)基礎(chǔ)上的一種技術(shù)。該技術(shù)是網(wǎng)絡(luò)安全可視操作的一種延伸,是各種安全技術(shù)的一種補(bǔ)充。該技術(shù)可以讓網(wǎng)絡(luò)數(shù)據(jù)之中的比較抽象的網(wǎng)絡(luò)結(jié)構(gòu),以圖像化的形式,被人們所觀察,并且對(duì)網(wǎng)絡(luò)中出現(xiàn)的一些特殊信息,進(jìn)行實(shí)時(shí)的反應(yīng)。該技術(shù)可以監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài),并且能夠向網(wǎng)絡(luò)安全管理員提示網(wǎng)絡(luò)之中可能會(huì)出現(xiàn)的一些安全風(fēng)險(xiǎn),使網(wǎng)絡(luò)安全工作得到了便利。網(wǎng)絡(luò)安全的管理人員,可以將網(wǎng)絡(luò)的具體狀況采用高維信息技術(shù)進(jìn)行展開(kāi),從而使網(wǎng)絡(luò)入侵行為更加清晰的暴露在管理人員的眼前。同時(shí),采用可視化技術(shù),還能夠?qū)ξ磥?lái)網(wǎng)絡(luò)安全事件的發(fā)展形勢(shì)進(jìn)行估計(jì)和判斷,并且采取相應(yīng)的針對(duì)措施來(lái)進(jìn)行預(yù)防。可視化技術(shù)的應(yīng)用,使得網(wǎng)絡(luò)資源安全的防護(hù)更加的方便、智能。防火墻技術(shù)是普通大眾最為熟悉的一種網(wǎng)絡(luò)安全技術(shù)。該技術(shù)事先制定好一定的網(wǎng)絡(luò)安全規(guī)則,然后強(qiáng)制性的檢查內(nèi)外網(wǎng)之間的信息交流行為,對(duì)不安全的外網(wǎng)訪問(wèn)行為進(jìn)行限制。這種技術(shù)主要是根據(jù)實(shí)際情況對(duì)外網(wǎng)的訪問(wèn)權(quán)限進(jìn)行設(shè)定,從而防止外網(wǎng)之中一些非法行為對(duì)計(jì)算機(jī)的入侵,使網(wǎng)絡(luò)資源的安全得到保證。同時(shí),防火墻技術(shù)還能夠?qū)?nèi)網(wǎng)之間的訪問(wèn)行為進(jìn)行一定的規(guī)范,保證內(nèi)部網(wǎng)絡(luò)資源的真正安全。當(dāng)前的防火墻技術(shù)主要有網(wǎng)絡(luò)層防火墻以及應(yīng)用層防火墻這兩種類(lèi)型的技術(shù)。網(wǎng)絡(luò)層防火墻,可以被當(dāng)作是在最底層的TCP/IP協(xié)議上工作的一種IP封包過(guò)濾器。網(wǎng)絡(luò)管理員在對(duì)其進(jìn)行設(shè)置的時(shí)候,可以設(shè)置成只允許自己需要的或者符合要求的封包通過(guò),這樣就可以禁止其他封包穿過(guò)防火墻。雖然,在理論上來(lái)說(shuō)防火墻技術(shù)能夠防止所有的外界數(shù)據(jù)流對(duì)計(jì)算機(jī)的入侵,但是防火墻并不能夠?qū)Σ《镜娜肭钟行У姆乐埂B┒磼呙杓夹g(shù),是通過(guò)漏洞掃描的程序,對(duì)計(jì)算機(jī)的本地主機(jī)或者遠(yuǎn)程設(shè)備進(jìn)行安全掃描,從而發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)之中存在的一些安全漏洞,并對(duì)這些漏洞進(jìn)行打補(bǔ)丁形式的修補(bǔ)。以這種形式來(lái)保證整個(gè)系統(tǒng)的安全。漏洞掃描程序,通過(guò)對(duì)TCP/IP的相關(guān)服務(wù)端口監(jiān)控主機(jī)系統(tǒng)的掃描,并利用模擬網(wǎng)絡(luò)攻擊記錄目標(biāo)主機(jī)的響應(yīng)情況,從而對(duì)有用的數(shù)據(jù)信息進(jìn)行收集。漏洞掃描能夠?qū)⒂?jì)算機(jī)之中存在的一些安全漏洞及時(shí)的掌握和發(fā)現(xiàn),讓網(wǎng)絡(luò)運(yùn)行的狀況得到有效的反應(yīng),為用戶(hù)提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。并且,漏洞掃描還能夠針對(duì)一些漏洞及時(shí)的做出有效的彌補(bǔ)措施,進(jìn)行漏洞的修復(fù),使漏洞引起的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降到最低。數(shù)據(jù)加密技術(shù),是目前比較常用的一種安全技術(shù),是通過(guò)制定一定的規(guī)則,從而使得明文能夠重新進(jìn)行編碼,變成別人沒(méi)有辦法識(shí)別的數(shù)據(jù)。這樣在傳輸?shù)倪^(guò)程之中即使被不法人員所截獲,但是沒(méi)有相應(yīng)的密鑰就不能夠破解加密的信息,從而無(wú)法知道信息的具體內(nèi)容。數(shù)據(jù)加密的技術(shù)主要是應(yīng)用在對(duì)信息以及動(dòng)態(tài)數(shù)據(jù)保存的方面。計(jì)算機(jī)的數(shù)據(jù)加密系統(tǒng),主要包括密鑰集合、明文集合、密文集合以及相關(guān)的算法所構(gòu)成。而算法以及數(shù)據(jù)是數(shù)據(jù)加密系統(tǒng)之中最基本的組成部分,采用一系列的數(shù)學(xué)法則形成的算法,是數(shù)據(jù)加密能夠?qū)崿F(xiàn)的真正核心。
3提升網(wǎng)絡(luò)信息資源管理的策略
3.1提升管理人員的業(yè)務(wù)技能
對(duì)于網(wǎng)絡(luò)信息資源的安全而言,所面臨的大部分威脅都是來(lái)自人為的威脅,包括黑客攻擊等威脅。按照網(wǎng)絡(luò)信息資源受到攻擊的形式,主要可以分為主動(dòng)攻擊和被動(dòng)攻擊兩種形式。主動(dòng)攻擊指的是一些不法分子,利用非法手段將信息的完整性進(jìn)行破壞,并對(duì)數(shù)據(jù)包之中的內(nèi)容進(jìn)行更改,從而讓接收者受到誤導(dǎo)。或者是不法分子,進(jìn)入計(jì)算機(jī)系統(tǒng)之中,將系統(tǒng)的大量資源進(jìn)行占用,讓系統(tǒng)不能夠?yàn)橛脩?hù)提供正常的服務(wù)。被動(dòng)攻擊主要指的是,不對(duì)信息的傳輸造成影響的截取并破解傳遞信息的手段,這種手段具有極大的危險(xiǎn)性。所以針對(duì)網(wǎng)絡(luò)資源被攻擊的形式,網(wǎng)絡(luò)安全管理部門(mén)應(yīng)該定期對(duì)管理人員進(jìn)行專(zhuān)業(yè)技能水平的訓(xùn)練,并且讓管理人員加強(qiáng)對(duì)安全網(wǎng)絡(luò)的監(jiān)測(cè)力度。同時(shí)制定不同攻擊形式下的防御措施,讓管理人員熟練掌握應(yīng)對(duì)的方式,并且加強(qiáng)與國(guó)內(nèi)外先進(jìn)技術(shù)部門(mén)的合作,共同探討防止網(wǎng)絡(luò)攻擊的新技術(shù)和新方法。
3.2加強(qiáng)計(jì)算機(jī)軟硬件的管理
計(jì)算機(jī)的軟件管理在計(jì)算機(jī)的網(wǎng)絡(luò)信息資源安全保障方面,存在著非常重要的作用,所以在平時(shí),網(wǎng)絡(luò)安全管理人員要注重對(duì)軟件的管理。對(duì)于計(jì)算機(jī)軟件而言,主要的威脅是存在于計(jì)算機(jī)之中,或者一些外來(lái)的病毒,管理員應(yīng)該定期的對(duì)計(jì)算機(jī)進(jìn)行殺毒,并且注重殺毒軟件的更新和補(bǔ)丁的下載等。對(duì)于計(jì)算機(jī)的硬件管理,主要需要從兩個(gè)方面進(jìn)行,首先是要為計(jì)算機(jī)的運(yùn)行創(chuàng)造出一個(gè)非常良好的外部環(huán)境,要注重計(jì)算機(jī)的防火以及防潮等工作,避免外部環(huán)境對(duì)計(jì)算機(jī)造成一些不良影響。其次,對(duì)于機(jī)箱等硬件的管理,要制定一個(gè)詳細(xì)、嚴(yán)格的管理制度,規(guī)定在沒(méi)有經(jīng)過(guò)系統(tǒng)管理員允許的情況之下,不能夠打開(kāi)機(jī)箱進(jìn)行硬件的更換。此外,在平時(shí),管理人員還需要對(duì)計(jì)算機(jī)的硬件進(jìn)行定期的檢測(cè),使出現(xiàn)問(wèn)題的硬件能夠及時(shí)的發(fā)現(xiàn)并進(jìn)行修理。
4結(jié)束語(yǔ)
總而言之,在當(dāng)前的社會(huì)形式和時(shí)代背景之下,網(wǎng)絡(luò)信息資源的安全管理技術(shù)的研究是非常重要的一件事情。所以有關(guān)部門(mén)要加強(qiáng)對(duì)技術(shù)的創(chuàng)新,加強(qiáng)對(duì)管理人員的培訓(xùn),并且加強(qiáng)對(duì)計(jì)算機(jī)軟硬件的良好管理,讓我國(guó)的互聯(lián)網(wǎng)處在一個(gè)安全、干凈的環(huán)境之中,讓每一位用戶(hù)都能夠放心的使用互聯(lián)網(wǎng)技術(shù)。
作者:趙杰 單位:晉中職業(yè)技術(shù)學(xué)院電子信息系
引用:
[1]汪江.談網(wǎng)絡(luò)安全技術(shù)與電力企業(yè)網(wǎng)絡(luò)安全解決方案研究[J].價(jià)值工程,2012.
[2]楊嶺.基于網(wǎng)絡(luò)安全維護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J].信息系統(tǒng)工程,2015.
【關(guān)鍵詞】網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)信息資源 安全管理
隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,計(jì)算機(jī)的應(yīng)用也越來(lái)越普及,在給用戶(hù)生活和工作帶來(lái)極大便利的同時(shí),也帶來(lái)安全管理方面的風(fēng)險(xiǎn)。互聯(lián)網(wǎng)信息資源的安全管理問(wèn)題已經(jīng)成為了如今網(wǎng)絡(luò)安全探討的重點(diǎn)。如何加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防護(hù),增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息資源安全管理性能,防止網(wǎng)絡(luò)信息在通信過(guò)程中被入侵和破壞,為計(jì)算機(jī)的正常運(yùn)行營(yíng)造一個(gè)良好的內(nèi)外部環(huán)境也成為了一個(gè)重要的課題。
1 網(wǎng)絡(luò)信息資源管理中的安全技術(shù)問(wèn)題
1.1 網(wǎng)絡(luò)信息資源開(kāi)放性帶來(lái)的安全隱患
信息網(wǎng)絡(luò)最大的優(yōu)勢(shì)便是其提供了開(kāi)放互動(dòng)的平臺(tái),開(kāi)放性是互聯(lián)網(wǎng)絡(luò)的顯著特點(diǎn),同時(shí)也是信息資源的發(fā)展必然趨勢(shì)。但開(kāi)放性給人們帶來(lái)便利的同時(shí),也對(duì)網(wǎng)絡(luò)安全帶來(lái)極大的隱患。首先,目前網(wǎng)絡(luò)實(shí)名制并未完全實(shí)行,互聯(lián)網(wǎng)絡(luò)使用人群的身份判別存在難度,同時(shí)由于如今移動(dòng)設(shè)備的廣泛應(yīng)用,開(kāi)放性極強(qiáng),而泛在化互聯(lián)網(wǎng)絡(luò)的使用成本并不太高,因此對(duì)于使用人群來(lái)說(shuō),便利地傳遞信息資源固然能提供方便,但也會(huì)對(duì)互聯(lián)網(wǎng)的穩(wěn)定維護(hù)帶來(lái)隱患;其次,在互聯(lián)網(wǎng)這個(gè)開(kāi)放的大環(huán)境之中,難免會(huì)存在對(duì)網(wǎng)絡(luò)安全管理具有威脅的不軌行為。這樣的行為可能是針對(duì)于互聯(lián)網(wǎng)軟件中的漏洞,或是針對(duì)于互聯(lián)網(wǎng)網(wǎng)層結(jié)構(gòu)中的傳輸協(xié)議。既有可能是出于炫耀目的的本地用戶(hù),有也可能是其他國(guó)家或組織的黑客。因此網(wǎng)絡(luò)信息資源管理中的安全技術(shù)問(wèn)題,不僅關(guān)系每個(gè)用戶(hù)的信息保密,還涉及到一個(gè)地區(qū)或是一個(gè)國(guó)家的整體網(wǎng)絡(luò)安全防護(hù)問(wèn)題。因此網(wǎng)絡(luò)安全問(wèn)題不僅僅是行業(yè)性安全保障問(wèn)題,更是一個(gè)世界性的安全保障問(wèn)題。
1.2 計(jì)算機(jī)操作系統(tǒng)漏洞帶來(lái)的安全隱患
計(jì)算機(jī)的操作系統(tǒng)是最為基本也是最為重要的運(yùn)行平臺(tái),用戶(hù)通過(guò)操作系統(tǒng)得以正常使用計(jì)算機(jī)以及安裝其他軟件程序,同時(shí)還能針對(duì)計(jì)算機(jī)內(nèi)部的信息資源進(jìn)行有效管理。對(duì)計(jì)算機(jī)所需的硬件和軟件而言,操作系統(tǒng)能夠幫助用戶(hù)迅速進(jìn)行管理和使用,但如果在軟硬件程序之中存在漏洞和問(wèn)題的話,如果沒(méi)有及時(shí)解決,極有可能造成系統(tǒng)崩潰以至于直接影響對(duì)于計(jì)算機(jī)本身的整體使用。導(dǎo)致計(jì)算機(jī)操作系統(tǒng)存在漏洞的重要原因在于允許使用者自行創(chuàng)建進(jìn)程,并且還可以支持遠(yuǎn)程激活。這樣的特性一旦被有心的不法分子利用,則會(huì)給計(jì)算機(jī)信息資源的安全管理帶來(lái)威脅和隱患,甚至?xí)霈F(xiàn)被他人遠(yuǎn)程控制的情況,這將有可能對(duì)使用者帶來(lái)極大的損失。
2 主要網(wǎng)絡(luò)安全技術(shù)
2.1 內(nèi)部防御安全技術(shù)
針對(duì)于網(wǎng)絡(luò)信息資源安全管理的內(nèi)部防御安全技術(shù)主要是防火墻和漏洞掃描這兩種類(lèi)型。防火墻技術(shù)是一種基于預(yù)先已經(jīng)定義好的安全規(guī)則之上,針對(duì)于計(jì)算機(jī)的內(nèi)網(wǎng)與外網(wǎng)之間的通信行為進(jìn)行強(qiáng)制性檢查和防范,加強(qiáng)內(nèi)外網(wǎng)之間相互通信的訪問(wèn)控制。防火墻技術(shù)需要根據(jù)實(shí)際發(fā)生的情況針對(duì)計(jì)算機(jī)外網(wǎng)的訪問(wèn)權(quán)限進(jìn)行限制,防止非法和違規(guī)行為通過(guò)外網(wǎng)進(jìn)行入侵,以此來(lái)保障計(jì)算機(jī)內(nèi)部的網(wǎng)絡(luò)信息管理的安全,另外也需要針對(duì)計(jì)算機(jī)內(nèi)網(wǎng)之間的訪問(wèn)行文進(jìn)行規(guī)范,以此來(lái)優(yōu)化內(nèi)部防御安全技術(shù),從而提高網(wǎng)絡(luò)信息資源的安全管理程度。
另外一種技術(shù)類(lèi)型則是漏洞掃描。這是一種通過(guò)打補(bǔ)丁的方式針對(duì)計(jì)算機(jī)本地的主機(jī)或是遠(yuǎn)程設(shè)備進(jìn)行整體安全掃描,發(fā)現(xiàn)安全漏洞的同時(shí)進(jìn)行修補(bǔ),從而達(dá)到保障整體系統(tǒng)安全的目的。在漏洞掃描過(guò)程中,掃描程序通過(guò)對(duì)TCP/TP相關(guān)的服務(wù)端口進(jìn)行掃描,從而監(jiān)控主機(jī)的系統(tǒng),同時(shí)通過(guò)記錄相應(yīng)的相應(yīng)情況來(lái)收集相關(guān)的有效信息,以此通過(guò)漏洞掃描來(lái)對(duì)整體系統(tǒng)存在的安全漏洞和隱患進(jìn)行整體把控,從而增強(qiáng)網(wǎng)絡(luò)信息資源管理的安全性,同時(shí)也能降低安全風(fēng)險(xiǎn)值,提升系統(tǒng)防御性能。
2.2 外部監(jiān)測(cè)安全技術(shù)
維護(hù)網(wǎng)絡(luò)信息資源安全管理的外部檢測(cè)安全技術(shù)包括入侵檢測(cè)行為以及可視化的安全技術(shù)。入侵檢測(cè)是基于審計(jì)大數(shù)據(jù)的收集和整合,以此來(lái)分析網(wǎng)絡(luò)通信和安全日志相關(guān)行為的安全性,判斷整個(gè)計(jì)算機(jī)系統(tǒng)中是否存在被攻擊和被入侵等不法行為。如果存在入侵行為的可能性,那么入侵檢測(cè)可以在系統(tǒng)被攻擊之前進(jìn)行攔截,這是一種針對(duì)于外部監(jiān)測(cè)的安全技術(shù),同時(shí)也是一種比較積極的防御功能。這項(xiàng)入侵檢測(cè)技術(shù)是針對(duì)于就是外部攻擊,同時(shí)也會(huì)對(duì)內(nèi)部攻擊進(jìn)行監(jiān)控,因此能起到增強(qiáng)計(jì)算機(jī)安全性能防護(hù)的作用,但同時(shí)也不會(huì)對(duì)計(jì)算機(jī)本身的網(wǎng)絡(luò)通信性能造成影響。這同時(shí)也是入侵檢測(cè)技術(shù)的優(yōu)勢(shì)所在。
另外一種安全技術(shù)便是針對(duì)于網(wǎng)絡(luò)安全而衍生發(fā)展的可視化安全技術(shù)。它是基于內(nèi)部防御和外部監(jiān)測(cè)安全技術(shù)之上,將計(jì)算機(jī)網(wǎng)絡(luò)中涉及到的系統(tǒng)數(shù)據(jù)以及網(wǎng)絡(luò)結(jié)構(gòu)以可視化的圖像形式表現(xiàn)出來(lái),同時(shí)這也是實(shí)時(shí)動(dòng)態(tài)監(jiān)測(cè),為計(jì)算機(jī)整個(gè)網(wǎng)絡(luò)通信使用過(guò)程保駕護(hù)航,一旦出現(xiàn)安全漏洞或潛在風(fēng)險(xiǎn),會(huì)以某種特定方式提示用戶(hù),同時(shí)還能為網(wǎng)絡(luò)安全技術(shù)人員處理計(jì)算機(jī)系統(tǒng)安全問(wèn)題而提供幫助,促進(jìn)針對(duì)性地處理安全風(fēng)險(xiǎn)問(wèn)題,從而增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息資源的安全和智能管理。
3 加強(qiáng)網(wǎng)絡(luò)信息資源安全管理的策略
3.1 培養(yǎng)專(zhuān)業(yè)的網(wǎng)絡(luò)安全維護(hù)人才
目前對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息資源安全管理存在潛在威脅的攻擊行為大多集中在人為性的入侵行為方面。無(wú)論是針對(duì)于有目的性的黑客入侵或是計(jì)算機(jī)網(wǎng)絡(luò)犯罪,大多屬于人為入侵和攻擊的范疇。而這種人為攻擊分為兩個(gè)類(lèi)型,主動(dòng)攻擊和被動(dòng)攻擊。兩者區(qū)別在于是否對(duì)截取到的網(wǎng)絡(luò)信息資源進(jìn)行更改,前者會(huì)利用不法行為來(lái)更改截取到的信息以達(dá)到誤導(dǎo)信息接受者,而后者則是對(duì)傳輸?shù)男畔①Y源直接進(jìn)行截取和破解,但這兩者都對(duì)信息的安全保障造成了重大風(fēng)險(xiǎn)和威脅,極易為組織和單位帶來(lái)重大的經(jīng)濟(jì)損失。因此針對(duì)這樣的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)形式,需要從人員上優(yōu)化知識(shí)結(jié)構(gòu),增強(qiáng)安全防護(hù)的技能,培養(yǎng)專(zhuān)業(yè)的網(wǎng)絡(luò)安全維護(hù)人才,從而在加強(qiáng)現(xiàn)有網(wǎng)絡(luò)監(jiān)測(cè)和維護(hù)力度的基礎(chǔ)上,對(duì)網(wǎng)絡(luò)信息的安全發(fā)展未來(lái)趨勢(shì)進(jìn)行專(zhuān)業(yè)性地判斷和預(yù)測(cè),從而幫助網(wǎng)絡(luò)信息資源安全管理工作往更加智能和可把控的方向去發(fā)展。
3.2 加強(qiáng)計(jì)算機(jī)軟硬件設(shè)備安全管理
首先就計(jì)算機(jī)的硬件設(shè)備而言,最基本的是需要營(yíng)造安全的計(jì)算機(jī)運(yùn)行環(huán)境,對(duì)于電壓穩(wěn)定,防火防潮,防蟲(chóng)蛀等外部風(fēng)險(xiǎn)進(jìn)行把控,降低外部環(huán)境對(duì)計(jì)算機(jī)硬件運(yùn)行的風(fēng)險(xiǎn)影響。同時(shí)還需要相關(guān)安全技術(shù)性管理人員針對(duì)計(jì)算機(jī)硬件設(shè)備定期進(jìn)行檢測(cè)和維護(hù),定期進(jìn)行問(wèn)題排查,另外還需要對(duì)相關(guān)人員未經(jīng)允許不得擅自更換計(jì)算機(jī)硬件進(jìn)行規(guī)范規(guī)定。其次是對(duì)于計(jì)算機(jī)的軟件而言,網(wǎng)絡(luò)信息資源安全管理人員應(yīng)該定期利用計(jì)算機(jī)安全防護(hù)技術(shù)對(duì)軟件進(jìn)行病毒查殺和和漏洞修復(fù)。對(duì)于威脅到系統(tǒng)安全的計(jì)算機(jī)病毒或是其他風(fēng)險(xiǎn),需要及時(shí)下載補(bǔ)丁進(jìn)行修補(bǔ)和防護(hù),以增強(qiáng)系統(tǒng)軟件的安全性,同時(shí)還需要注意的是,對(duì)于重要的相關(guān)網(wǎng)絡(luò)信息資源需建立有效的備份機(jī)制,以防止在系統(tǒng)出現(xiàn)安全風(fēng)險(xiǎn)時(shí)造成數(shù)據(jù)丟失等問(wèn)題。
4 結(jié)語(yǔ)
在如今網(wǎng)絡(luò)信息技術(shù)以及計(jì)算機(jī)新興技術(shù)飛速發(fā)展的時(shí)代,人們利用計(jì)算機(jī)和網(wǎng)絡(luò)信息資源進(jìn)行工作和交流,從中得到了極大的便利,但另一方面,網(wǎng)絡(luò)信息資源的安全問(wèn)題也成為了一個(gè)重要課題。因此針對(duì)于網(wǎng)絡(luò)信息資源安全管理的隱患和風(fēng)險(xiǎn)問(wèn)題進(jìn)行分析,同時(shí)有針對(duì)性地提出相應(yīng)的應(yīng)對(duì)策略,以期能促進(jìn)網(wǎng)絡(luò)信息資源管理向更為安全性的方向發(fā)展。這需要不斷加強(qiáng)對(duì)于網(wǎng)絡(luò)信息資源的安全管理意識(shí),同時(shí)需要通過(guò)培養(yǎng)專(zhuān)業(yè)性安全維護(hù)人才來(lái)提高相關(guān)技術(shù),加強(qiáng)網(wǎng)絡(luò)信息資源管理,為計(jì)算機(jī)的整體安全運(yùn)行提供穩(wěn)定和良好的大環(huán)境,能夠更好地為用戶(hù)的生活和工作提供便利和幫助。
參考文獻(xiàn):
[1]孫暉.網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)信息資源管理研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2012,v.15;No.20522:44-45.
[2]史亞巍.我國(guó)政府信息資源管控研究[D].中央民族大學(xué),2015.
[3]梁宏斌.基于SMDP的移動(dòng)云計(jì)算網(wǎng)絡(luò)安全服務(wù)與資源優(yōu)化管理研究[D].西南交通大學(xué),2012.
[4]王浩羽.網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)信息資源管理探討[J].硅谷,2013,v.6;No.13414:86-87.
[關(guān)鍵詞] 計(jì)算機(jī)網(wǎng)絡(luò) 電子商務(wù) 安全技術(shù)
一、引言
近幾年來(lái),電子商務(wù)的發(fā)展十分迅速,電子商務(wù)可以降低成本,增加貿(mào)易機(jī)會(huì),簡(jiǎn)化貿(mào)易流通過(guò)程,提高生產(chǎn)力,改善物流和金流、商品流、信息流的環(huán)境與系統(tǒng)。雖然電子商務(wù)發(fā)展勢(shì)頭很強(qiáng),但其貿(mào)易額所占整個(gè)貿(mào)易額的比例仍然很低。影響其發(fā)展的首要因素是安全問(wèn)題,網(wǎng)上的交易是一種非面對(duì)面交易,因此“交易安全”在電子商務(wù)的發(fā)展中十分重要。可以說(shuō),沒(méi)有安全就沒(méi)有電子商務(wù)。電子商務(wù)的安全從整體上可分為兩大部分:計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全包括計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題,實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案,以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)安全則緊緊圍繞傳統(tǒng)商務(wù)在Internet上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題,在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過(guò)程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性,完整性,可鑒別性,不可偽造性和不可依賴(lài)性。
二、電子商務(wù)網(wǎng)絡(luò)的安全隱患
1.竊取信息:由于未采用加密措施, 數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送, 入侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過(guò)多次竊取和分析, 可以找到信息的規(guī)律和格式, 進(jìn)而得到傳輸信息的內(nèi)容, 造成網(wǎng)上傳輸信息泄密。
2.篡改信息:當(dāng)入侵者掌握了信息的格式和規(guī)律后, 通過(guò)各種技術(shù)手段和方法, 將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改, 然后再發(fā)向目的地。這種方法并不新鮮, 在路由器或者網(wǎng)關(guān)上都可以做此類(lèi)工作。
3.假冒:由于掌握了數(shù)據(jù)的格式, 并可以篡改通過(guò)的信息, 攻擊者可以冒充合法用戶(hù)發(fā)送假冒的信息或者主動(dòng)獲取信息, 而遠(yuǎn)端用戶(hù)通常很難分辨。
4.惡意破壞:由于攻擊者可以接入網(wǎng)絡(luò), 則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改, 掌握網(wǎng)上的機(jī)要信息, 甚至可以潛入網(wǎng)絡(luò)內(nèi)部, 其后果是非常嚴(yán)重的。
三、電子商務(wù)交易中應(yīng)用的網(wǎng)絡(luò)安全技術(shù)
為了提高電子商務(wù)的安全性,可以采用多種網(wǎng)絡(luò)安全技術(shù)和協(xié)議,這些技術(shù)和協(xié)議各自有一定的使用范圍,可以給電子商務(wù)交易活動(dòng)提供不同程度的安全保障。
1.防火墻技術(shù)。防火墻是目前主要的網(wǎng)絡(luò)安全設(shè)備。防火墻通常使用的安全控制手段主要有包過(guò)濾、狀態(tài)檢測(cè)、服務(wù)。由于它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù),對(duì)內(nèi)部的非法訪問(wèn)難以有效地控制。因此,最適合于相對(duì)獨(dú)立的與外部網(wǎng)絡(luò)互連途徑有限、網(wǎng)絡(luò)服務(wù)種類(lèi)相對(duì)集中的單一網(wǎng)絡(luò)(如常見(jiàn)的企業(yè)專(zhuān)用網(wǎng))。防火墻的隔離技術(shù)決定了它在電子商務(wù)安全交易中的重要作用。目前,防火墻產(chǎn)品主要分為兩大類(lèi):基于服務(wù)方式的和基于狀態(tài)檢測(cè)方式的。例如Check Point Firewall-1 4.0是基于Unix、WinNT平臺(tái)上的軟件防火墻,屬狀態(tài)檢測(cè)型;Cisco PIX 是硬件防火墻,也屬狀態(tài)檢測(cè)型。由于它采用了專(zhuān)用的操作系統(tǒng),因此減少了黑客利用操作系統(tǒng)G)H 攻擊的可能性;Raptor完全是基于技術(shù)的軟件防火墻。由于互聯(lián)網(wǎng)的開(kāi)放性和復(fù)雜性,防火墻也有其固有的缺點(diǎn):(1)防火墻不能防范不經(jīng)由防火墻的攻擊。例如,如果允許從受保護(hù)網(wǎng)內(nèi)部不受限制地向外撥號(hào),一些用戶(hù)可以形成與Internet的直接連接,從而繞過(guò)防火墻;造成一個(gè)潛在的后門(mén)攻擊渠道,所以應(yīng)該保證內(nèi)部網(wǎng)與外部網(wǎng)之間通道的唯一性。(2)防火墻不能防止感染了病毒的軟件或文件的傳輸,這只能在每臺(tái)主機(jī)上裝反病毒的實(shí)時(shí)監(jiān)控軟件。(3)防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí),就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊,所以對(duì)于來(lái)歷不明的數(shù)據(jù)要先進(jìn)行殺毒或者程序編碼辨證,以防止帶有后門(mén)程序。
2.數(shù)據(jù)加密技術(shù)。防火墻技術(shù)是一種被動(dòng)的防衛(wèi)技術(shù),它難以對(duì)電子商務(wù)活動(dòng)中不安全的因素進(jìn)行有效的防衛(wèi)。因此,要保障電子商務(wù)的交易安全,就應(yīng)當(dāng)用當(dāng)代密碼技術(shù)來(lái)助陣。加密技術(shù)是電子商務(wù)中采取的主要安全措施, 貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前, 加密技術(shù)分為兩類(lèi), 即對(duì)稱(chēng)加密/對(duì)稱(chēng)密鑰加密/專(zhuān)用密鑰加密和非對(duì)稱(chēng)加密/公開(kāi)密鑰加密。現(xiàn)在許多機(jī)構(gòu)運(yùn)用PKI(publickeyInfrastructur 的縮寫(xiě), 即“公開(kāi)密鑰體系”)技術(shù)實(shí)施構(gòu)建完整的加密/簽名體系, 更有效地解決上述難題, 在充分利用互聯(lián)網(wǎng)實(shí)現(xiàn)資源共享的前提下從真正意義上確保了網(wǎng)上交易與信息傳遞的安全。在PKI 中, 密鑰被分解為一對(duì)(即一把公開(kāi)密鑰或加密密鑰和一把專(zhuān)用密鑰或解密密鑰)。這對(duì)密鑰中的任何一把都可作為公開(kāi)密鑰(加密密鑰)通過(guò)非保密方式向他人公開(kāi), 而另一把則作為專(zhuān)用密鑰(解密密鑰)加以保存。公開(kāi)密鑰用于對(duì)機(jī)密的加密, 專(zhuān)用密鑰則用于對(duì)加信息的解密。專(zhuān)用密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握, 公開(kāi)密鑰可廣泛, 但它只對(duì)應(yīng)用于生成該密鑰的貿(mào)易方。貿(mào)易方利用該方案實(shí)現(xiàn)機(jī)密信息交換的基本過(guò)程是: 貿(mào)易方甲生成一對(duì)密鑰并將其中的一把作為公開(kāi)密鑰向其他貿(mào)易方公開(kāi); 得到該公開(kāi)密鑰的貿(mào)易方乙使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲; 貿(mào)易方甲再用自己保存的另一把專(zhuān)用密鑰對(duì)加密后的信息進(jìn)行解密。貿(mào)易方甲只能用其專(zhuān)用密鑰解密由其公開(kāi)密鑰加密后的任何信息。
3.身份認(rèn)證技術(shù)。身份認(rèn)證又稱(chēng)為鑒別或確認(rèn),它通過(guò)驗(yàn)證被認(rèn)證對(duì)象的一個(gè)或多個(gè)參數(shù)的真實(shí)性與有效性,來(lái)證實(shí)被認(rèn)證對(duì)象是否符合或是否有效的一種過(guò)程,用來(lái)確保數(shù)據(jù)的真實(shí)性。防止攻擊者假冒、篡改等。一般來(lái)說(shuō)。用人的生理特征參數(shù)(如指紋識(shí)別、虹膜識(shí)別)進(jìn)行認(rèn)證的安全性很高。但目前這種技術(shù)存在實(shí)現(xiàn)困難、成本很高的缺點(diǎn)。目前,計(jì)算機(jī)通信中采用的參數(shù)有口令、標(biāo)識(shí)符、密鑰、隨機(jī)數(shù)等。而且一般使用基于證書(shū)的公鑰密碼體制(PK I) 身份認(rèn)證技術(shù)。要實(shí)現(xiàn)基于公鑰密碼算法的身份認(rèn)證需求。就必須建立一種信任及信任驗(yàn)證機(jī)制。即每個(gè)網(wǎng)絡(luò)上的實(shí)體必須有一個(gè)可以被驗(yàn)證的數(shù)字標(biāo)識(shí),這就是“數(shù)字證書(shū)(Certifi2cate)”。數(shù)字證書(shū)是各實(shí)體在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明。具有唯一性。證書(shū)基于公鑰密碼體制,它將用戶(hù)的公開(kāi)密鑰同用戶(hù)本身的屬性(例如姓名,單位等)聯(lián)系在一起。這就意味著應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu),專(zhuān)門(mén)負(fù)責(zé)對(duì)各個(gè)實(shí)體的身份進(jìn)行審核,并簽發(fā)和管理數(shù)字證書(shū),這個(gè)機(jī)構(gòu)就是證書(shū)中心(certificate authorities,簡(jiǎn)稱(chēng)CA)。CA用自己的私鑰對(duì)所有的用戶(hù)屬性、證書(shū)屬性和用戶(hù)的公鑰進(jìn)行數(shù)字簽名,產(chǎn)生用戶(hù)的數(shù)字證書(shū)。在基于證書(shū)的安全通信中,證書(shū)是證明用戶(hù)合法身份和提供用戶(hù)合法公鑰的憑證,是建立保密通信的基礎(chǔ)。因此,作為網(wǎng)絡(luò)可信機(jī)構(gòu)的證書(shū)管理設(shè)施,CA主要職能就是管理和維護(hù)它所簽發(fā)的證書(shū),提供各種證書(shū)服務(wù), 包括: 證書(shū)的簽發(fā)、更新、回收、歸檔等。
4.數(shù)字簽名技術(shù)。數(shù)字簽名也稱(chēng)電子簽名,在信息安全:包括身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性以及匿名性等方面有重要應(yīng)用。數(shù)字簽名是非對(duì)稱(chēng)加密和數(shù)字摘要技術(shù)的聯(lián)合應(yīng)用。其主要方式為:報(bào)文發(fā)送方從報(bào)文文本中生成一個(gè)128b it的散列值(或報(bào)文摘要),并用自己的專(zhuān)用密鑰對(duì)這個(gè)散列值進(jìn)行加密,形成發(fā)送方的數(shù)字簽名;然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方;報(bào)文接收方首先從接收到的原始報(bào)文中計(jì)算出128bit位的散列值(或報(bào)文摘要),接著再用發(fā)送方的公開(kāi)密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的,通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴(lài)性。
四、結(jié)束語(yǔ)
電子商務(wù)安全對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)安全提出了雙重要求,其復(fù)雜程度比大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)都高。在電子商務(wù)的建設(shè)過(guò)程中涉及到許多安全技術(shù)問(wèn)題,制定安全技術(shù)規(guī)則和實(shí)施安全技術(shù)手段不僅可以推動(dòng)安全技術(shù)的發(fā)展,同時(shí)也促進(jìn)安全的電子商務(wù)體系的形成。當(dāng)然,任何一個(gè)安全技術(shù)都不會(huì)提供永遠(yuǎn)和絕對(duì)的安全,因?yàn)榫W(wǎng)絡(luò)在變化,應(yīng)用在變化,入侵和破壞的手段也在變化,只有技術(shù)的不斷進(jìn)步才是真正的安全保障。
參考文獻(xiàn):
[1]肖滿梅羅蘭娥:電子商務(wù)及其安全技術(shù)問(wèn)題.湖南科技學(xué)院學(xué)報(bào),2006,27
