時間:2023-09-14 17:44:18
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇計算機網絡安全筆記,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網絡安全;網絡規劃管理;網民;信息技術
1 引言
網絡安全在互聯網發展中的重要性隨著電腦技術的發展,電腦的使用已經深入到社會生活的各個層面,服務、金融、管理、科技、國防等各個領域都已經得到了極其廣泛的應用,毫不夸張的說,計算機已經把人類帶入了一個全新的時代。在計算機網絡技術高速發達的今天,尤其是互聯網應用在人們的生活中已經變得越來越廣泛,在網絡給人們帶來了海量信息的同時,網絡安全的問題也應當值得深思。眾所周知,網絡本身就存在開放性和自由性的特點,因此,這一“雙刃劍”也為私有信息和數據被破壞或侵犯提供了犯罪機會,在安全隱私問題被高度重視的今天,網絡信息的安全性問題已經變得日益重要起來,成為了計算機應用領域中高度重視的問題。
2 計算機網絡應用中存在的安全隱患
(1)計算機網絡定位不準。按照有關保密的明確規定:機關和單位的內網不可儲存、傳輸、處理國家秘密信息,但是可以處理工作秘密。但是在具體的工作環境中,有很多機關和單位在建設網絡的過程中往往都忽略了網絡的根本性質,做不到對網絡的正確定位。不僅如此,內網的安全系數低是眾所周知的,一旦工作中出現重要機密,不法分子就很有可能通過不良手段竊取機密。
(2)違規使用和操作。在我國,有很多重要機構都建立了自己的網絡,其在內容上涉及了很多的重要機密。在這些機構當中之所以會出現泄密的問題,主要是因為違規使用計算機網絡信息系統所造成的,造成違規操作的原因主要有兩個:第一,機構內部沒有設立完善的保密論證;第二,系統未經技術測試。當然也不排除不良分子的惡意操作,故意盜取機密。
(3)移動設備的交叉使用。雖然移動設備給人們在工作和生活當中帶來了極大的方便,但與此同時,稍有懈怠就會導致泄密。我們把移動設備分成兩種:第一種是用來專門保存機密,此種是經過加密處理的;另一種則是保存個人信息,沒有,而且這種移動設備是不可以在計算機上使用的,但是一些機關單位并沒有意識到這一點,導致計算機感染病毒,從而使機密文件丟失。
(4)將的筆記本電腦帶出辦公室以外的地方使用。很多的單位和機關對于員工將筆記本帶出辦公室不給予重視,這樣的做法也很容易導致機密的泄漏和外傳。
3 如何加強計算機網絡應用中有關泄密隱患的防范措施
(1)將防火墻技術應用到計算機網絡的應用中。防火墻技術的開發給網絡安全維護帶來了重要支持,配置防火墻系統對于網絡安全來說,是保證計算機網絡安全的重要措施之一。簡單的說,當計算機與互聯網連接之后,系統識別自身的安全除了考慮計算機病毒、系統的健壯性的同時,其更加有效的作用是能夠防止非法用戶的入侵,而防火墻技術的應用則可以很好的做到這一點,不得不說,防火墻在一定的程度上,可以有效地提高內網的安全維護,并能夠通過過濾不安全的因素而降低風險。同時,防火墻還有警報功能,一旦可疑動作發生時,它便及時的進行監測和適時的發出預警。
(2)將數據加密與用戶授權訪問控制技術應用到計算機網絡應用中。與防火墻技術相比,該技術則顯得更為靈活,更加適用于開放的網絡的。此技術的主要應用方向是針對于靜態信息提供重要保護,但是用戶授權訪問控制技術唯一的缺陷就是對計算機的要求較高,需要系統級別的支持,在一般操作系統中則很難得到使用。
(3)將防病毒技術應用到計算機網絡應用中。計算機技術在當今社會突飛猛進的發展的同時,使得計算機病毒也變得更加的囂張、更加繁雜,因此也就加大了對計算機信息系統構的威脅。就大多數殺毒軟件而言,其在功能上大致可以分為兩種:網絡防病毒軟件和單機防病毒軟件。所謂的單機防病毒軟件,主要是指安裝在單臺計算機上,能夠對本地和本地工作站連接的網絡資源,采用分析掃描的方式檢測,在發現病毒的情況下能夠將其刪除。
(4)將入侵檢測技術應用到計算機網絡應用中。從多種計算機系統及網絡系統中收集信息,再通過這此信息分析入侵特征的網絡安全系統,這是入侵檢測技術的主要特點。其功能主要體現在以下方面:①能夠監視并分析用戶對計算機系統的操作,可以在短時間內查找非法用戶對計算機進行的違規操作。②可以有效的檢測出系統在配置中存在的安全漏洞,能夠及時的提示使用人員對漏洞進行修補。③對異常行為模式具有統計分析的功能。④能夠實時檢測到,最大程度阻止的入侵行為進行反應。
(5)建設一支網絡安全管理團隊。我們都知道,計算機網絡系統中不可能存在完全絕對的安全措施,因此,這也就要求管理人員制定出健全的安全管理體制,打造出專門管理網絡安全的團隊,與此同時,還要加強團隊內管理人員的培訓,讓其明白自身的責任感,提高工作人員的整體素質,從而更好的為網絡安全管理服務。
4 結語
互聯網時代的到來已勢不可擋,人們對網絡也產生了空前的依賴,生活、工作、娛樂等等,網絡已經越來越成為人們在現代生活中不可或缺的一部分,正因為如此,計算機網絡中的安全問題也顯得尤為重要,如何為網民們創造一個良好的上網環境;如何讓互聯網在工作中的安全性更加可靠;這就要靠不斷加強管理和網民共同努力了,希望在不久的將來,網絡環境可以更加的安全有序。
參考文獻:
[1] 李天鐸.因特網的信息保護[J].管理科學文摘,1998,(4)
[2] 向亦斌.淺談局域網的安全問題[J].軟件工程師,2000
關鍵詞:數據加密技術 計算機網絡安全 應用
中圖分類號:TP30 文獻標識碼:A 文章編號:1007-9416(2012)11-0191-01
1、數據加密技術簡介
1.1 數據加密技術的含義
所謂的數據加密技術主要就是通過密碼學中的一些技術將原來的明文信息進行加密,一般利用加密秘鑰和加密函數等方式對數據進行替換或是移位,把信息數據變成其他人無法直接讀取的或者是沒有意義的密文信息,而信息接收者則可以根據解密密鑰和解密函數等相應的程序還原加密密文,得到原來的信息,數據加密技術就實現了信息的隱蔽傳輸和完全傳輸,使得數據信息在傳輸過程中不丟失或損壞,達到數據信息安全性、保密性、完整性的要求,已經成為了保障計算機網絡安全的重要工具。
1.2 數據加密技術的種類
1.2.1 對稱加密技術
對稱加密又叫做共享密鑰加密,是指信息發送方和接收方使用相同的密鑰進行加密和解密數據,這要求通信雙方在安全傳輸密文之前必須商定一個公用密鑰。因此,只有密鑰未被雙方泄露的情況下,才能確保傳輸數據的安全性、機密性和完整性。
1.2.2 非對稱加密技術
非對稱加密又叫做公鑰加密,是指信息發送方和接收方使用不同的密鑰進行加密和解密數據,密鑰被分解為公開密鑰(加密)和私有密鑰(解密),現有的技術和設備均未能由公鑰推出私鑰。非對稱加密技術以密鑰交換協議為基礎,通信的雙方無須事先交換密鑰便可直接安全通信,消除了密鑰安全隱患,提高了傳輸數據的保密性。
2、計算機網絡安全的影響因素
隨著數據信息量的不斷增加和網絡開放程度的不斷提高,計算機網絡安全受到了越來越嚴重的威脅,主要影響因素有以下幾方面:
2.1 網絡安全漏洞
目前計算機的操作系統一般都支持多用戶和多進程操作,往往也是許多不同的集成同時在接收數據包的主機上同時運行,而這些進程中的任何一個都可能陳偉傳輸數據信息的對象,這就導致網絡操作系統的漏洞暴漏了出來,從而影響網絡安全,這些程序的同時運行有可能使整個計算機網絡系統的薄弱環節面臨著黑客攻擊的危險。
2.2 計算機病毒的威脅
計算機的廣泛應用之后,面臨著一個很嚴重的問題就是計算機病毒的威脅。計算機病毒有著蔓延速度快、影響范圍廣、難以徹底清除等特點,如果是傳輸的數據信息受到了病毒的入侵,一旦進行傳輸或是共享后,如果其他的計算機進行接收或瀏覽時就會受到病毒的感染,導致病毒傳輸的范圍越來越廣,最后以至于整個系統都會受到嚴重影響,嚴重時會出現系統死機情況,造成數據的損壞和丟失。
2.3 服務器信息的泄露
計算機系統程序本身并不是特別的完善,都存在著一些缺陷,當出現程序錯誤沒有正確處理時,部分服務器的信息有可能出現泄露,攻擊者就會利用這類漏洞來收集到對于進一步功績系統有用的信息來對系統進行破壞,對網絡安全造成進一步的威脅。
2.4 非法入侵計算機系統
非法入侵就是一些攻擊者或侵入者通過監視、偷盜等非法的行為來獲取帶有用戶名、口令、IP包或者其他的含有數據信息有關內容的文件,利用所獲得的信息私自登錄到系統之中,這些非法入侵者通常采用冒充一個被信任的主機或客戶進一步通過被信任客戶的IP地址取代自己的地址的方式,最終盜用網絡數據信息。
3、數據加密技術在計算機網絡安全中的具體應用
3.1 數據加密技術的操作步驟
3.1.1 加密目標的確定
加密技術應用的第一步就是對于加密目標的確定,明確加密目標主要就是要了解網絡安全中都有那些房米需要使用加密技術,也就是要明確下列的幾個問題:第一,在通常見到的服務器、筆記本、工作站等可移動存儲設備中會有哪些重要的信息進行加密;第二,一般重要信息在不同種類的存儲設備上通常儲存在什么位置或是通常以什么類型保存的;第三,用到的重要信息在局域網中的傳輸是否安全保密;第四,在一般的網頁或者是瀏覽器中是否含有中啊喲的信息需要加密。
3.1.2 選擇加密技術
前面對加密技術進行了介紹了對稱加密技術和非對稱加密技術兩種加密方法,通過對兩種加密技術進行認真分析,根據不同的需要選擇恰當的加密技術。
3.2 數據加密技術在不同對象中的應用
數據加密技術在不同應用對象中的應用也不同,下面就介紹一下在不同對象的具體應用。
3.2.1 數據加密技術應用于網絡數據庫加密
網絡數據庫管理系統平臺多為Windows NT或者Unix平臺操作系統的安全級別通常為C1級或C2級,故計算機存儲系統和數據傳輸公共信道極其脆弱,易
被PC機等類似設備以一定方式竊取或篡改有用數據以及各種密碼。因此,數據加密對于系統內外部的安全管理尤為必要,網絡數據庫用戶應當通過訪問權限或設定曰令字等方式對關鍵數據進行加密保護。
3.2.2 數據加密技術應用于電子商務
電子商務的興起和發展促進了社會進步的進程以及改變了人們的工作生活方式,安全的計算機網絡環境直接推動著電子商務的健康持續發展。電子商務的安全性集中體現在網絡平臺的安全和交易信息的安全,故在電子商務活動中應用ssl、set安全協議、數字證書、數字簽名等數據加密技術以確保交易雙方的信息不被泄密與破壞顯得至關重要。
3.2.3 數據加密技術應用于虛擬專用網絡 (VPN)
當前不少企事業單位都構建了自己的局域網,由于各分支機構可能處于不同地區,所以必須租用一個專用路線來聯結各個局域網以組建廣域網。數據加密技術在VPN的應用價值主要體現在數據離開發送者VPN時會自動在路由器進行硬件加密,然后以密文的形式傳輸于互聯網,當密文到達目的VPN時,其路由器將會自動進行解密,VPN接受者由此可以看到明文。
3.2.4 數據加密技術應用于軟件加密
如果殺毒軟件或反病毒軟件在加密過程中的程序感染了計算機病毒,那么它便無法檢查該程序或數據是否有數字簽名。所以,若要執行加密程序時,有必要檢查一下需要加密解密的文件及其自身是否被病毒感染。然而,這種檢查機制要求保密,故部分殺毒軟件或反病毒軟件有必要進行數據加密技術。
論文摘要:本文對船舶計算機網絡系統的安全現狀和問題原因進行了概括性的敘述,對網絡安全的需求進行了研究分析。從實施船舶計算機網絡系統安全管理的現實條件和實際要求出發,提出了船舶計算機網絡系統安全管理的策略和解決方案,針對不同情況的船舶提出了相應的實施建議。
1引言
進入二十一世紀以來,隨著船舶自動化和信息化程度不斷提高,船舶計算機網絡系統及其應用得到了迅速發展。越來越多的新造船舶采用計算機網絡技術將船舶輪機監控系統、航海駕駛智能化系統、船舶管理信息系統(SMIS)等應用納入一個統一的網絡系統,實現船岸管控一體化。
在我司近幾年建造的4萬噸級以上的油輪上,普遍安裝了計算機局域網。一方面,計算機網絡用于傳輸船上動力裝置監測系統與船舶航行等實時數據;另一方面,計算機網絡用于船舶管理信息系統(功能包括船舶機務、采購、海務、安全、體系管理與油輪石油公司檢查管理)并通過網絡中船舶通訊計算機實現船岸間的數據交換,實現船岸資源共享,有利于岸基他船舶管理人員對船舶的監控與業務指導。前者屬于實時系統應用,后者屬于船舶日常管理系統應用,在兩種不同類型的網絡應用(子網)之間采用網關進行隔離。目前,船舶計算機網絡系統采用的硬件設備和軟件系統相對簡單,因此,船舶計算機網絡的安全基礎比較薄弱。隨著船齡的不斷增長,船上計算機及網絡設備逐漸老化;并且,船上沒有配備專業的人員負責計算機網絡和設備的運行維護和管理工作,所以船舶計算機及網絡的技術狀況比較差,影響各類系統的正常使用與船岸數據的交換。究其原因,除了網絡設備和網絡線路故障問題之外,大多數問題是因各類病毒與管理不善等原因所引起的。
2船舶計算機網絡架構
目前在船舶上普遍采用工業以太網,船舶局域網大多采用星型結構。
有些船舶已經在所有船員房間布設了局域網網線,而有些船舶只是在高級船員房間布設了計算機局域網網線。圖表1是一艘30萬噸超級油輪(VLCC)的計算機局域網結構圖。
圖表2 是 船舶計算機網絡拓撲結構圖。其中,局域網服務器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);網關采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交換機采用D-LINK DES-1024D快速以太網交換機(10/100M 自適應,工作在二層應用層級)。
3船舶計算機網絡系統的安全問題
2005年以來,有很多的船舶管理公司推進實施船舶管理信息系統。對于遠洋船舶來說,船上需要安裝使用船舶管理信息系統的船舶版軟件。大多數的船舶版軟件都是采用客戶端/服務器兩層架構,高級船員的辦公計算機作為客戶端,通過聯網使用船舶管理信息系統。船上的船舶管理信息系統通過電子郵件(一般采用AMOS MAIL或Rydex電子郵件)與岸基的船舶管理信息系統交換數據,實現船、岸船舶數據庫的數據同步。
根據了解,目前船舶計算機網絡最主要的問題(也是最突出的現狀)是安全性和可用性達不到船舶管理信息系統運行使用的基本要求。船舶管理信息系統數據庫服務器與郵件服務器之間,以及船員的辦公計算機與船舶管理信息系統數據庫服務器之間經常無法聯通。經過上船檢查發現,影響船舶計算機網絡系統正常運行的主要原因是計算機病毒。大多數船舶的辦公計算機采用微軟操作系統,一方面沒有打補丁,另一方面尚未采取有效的防病毒措施,比如沒有安裝單機版或網絡版防病毒軟件。有些船舶雖然安裝了防病毒軟件,但是因為不能及時進行防毒軟件升級和病毒庫更新,所以無法查殺新病毒或新的變種病毒等,從而失去防病毒作用。經過調查分析,船上計算機病毒的主要來源是:(1)在局域網中的計算機上使用了帶有病毒的光盤、優盤、移動硬盤等存儲介質;(2)將帶有病毒的筆記本電腦接入了船上的局域網;(3)在局域網中的計算機上安裝有無線上網卡,通過無線上網(沿海航行或停靠港口時)引入了病毒/蠕蟲/木馬/惡意代碼等。
為了解決上述問題,有的企業在船舶辦公計算機上安裝了硬盤保護卡;也有一些企業在船舶辦公計算機上安裝了“一鍵恢復”軟件;另外還有企業開始在船舶計算機網絡系統中安裝部署專業的安全管理系統軟件和網絡版防病毒軟件。
若要從根本上增強船舶計算機網絡系統的安全性和可用性,則需要考慮以下條件的限制:(1)船上的計算機網絡架構在出廠時已經固定,除非船舶正在建造或者進廠修理,否則,凡是處于運營狀態的船舶,不可能立即為船舶管理信息系統專門建設一個物理上獨立的計算機局域網。(2)限于資金投入和船上安裝場所等原因,船上的計算機網絡設備或設施在短期內也不可能無限制按需增加。(3)從技術管理的角度看,在現階段,船舶仍不可能配備具有專業水平的網絡人員對計算機網絡系統進行管理。(4)因衛星通信通道和通信費用等原因,遠洋船舶的辦公計算機操作系統(微軟Windows 系列)不可能從因特網下載補丁和打補丁;船舶局域網中的防病毒軟件和病毒庫不可能及時升級和更新。總體上看,解決船舶計算機網絡安全方面的問題,與陸地上確實有許多不同之處。
4船舶計算機網絡系統的安全需求分析
為提高船舶計算機網絡系統的可用性,即船舶計算機網絡系統任何一個組件發生故障,不管它是不是硬件,都不會導致網絡、系統、應用乃至整個網絡系統癱瘓,為此需要增強船舶計算機網絡系統的可靠性、可恢復性和可維護性。其中:(1)可靠性是指針對船舶上的溫度、濕度、有害氣體等環境,提高網絡設備和線路的技術要求,有關的設計方案在船舶建造和船舶修理時進行實施和實現。(2)可恢復性,是指船舶計算機網絡中任一設備或網段發生故障而不能正常工作時,依靠事先的設計,網絡系統自動將故障進行隔離。(3)可維護性,是指通過對船舶計算機網絡系統和網絡的在線管理,及時發現異常情況,使問題或故障能夠得到及時處理。 轉貼于
研究解決船舶計算機網絡系統安全管理問題,必須考慮現實的條件和實現的成本。總的原則是:方案簡潔、技術成熟;經濟性好、實用性強;易于實施、便于維護。因此,在盡量利用現有設備和設施、擴充或提高計算機及網絡配置、增加必要的安全管理系統軟件、嚴格控制增加設備的前提下,通過采用邏輯域劃分、病毒防殺、補丁管理、網絡準入、外設接口管理、終端應用軟件管理和移動存儲介質管理等手段,以解決船舶計算機網絡系統最主要的安全問題。
在對船舶計算機網絡采取安全防護技術措施的同時,還需要制定船舶計算機網絡系統安全管理制度;定制船舶計算機網絡系統安全策略和安全管理框架;對船員進行計算機及網絡系統安全知識教育,增強船員遵守公司制定的計算機網絡安全管理規定的意識和自覺性。
(1)加強船舶計算機病毒的防護,建立全面的多層次的防病毒體系,防止病毒的攻擊;
(2)采用專用的設備和設施實現船舶安全策略的強制執行,配合防毒軟件的部署與應用;
(3)加強船舶計算機網絡管理,通過桌面管理工具實現船舶計算機網絡運行的有效控制;
(4)制定相關的網絡安全防護策略,以及網絡安全事件應急響應與恢復策略,在正常預防網絡安全事件的同時,做好應對網絡安全事件的準備。
5船舶計算機網絡系統安全管理要求
5.1確定船舶網絡系統安全管理目標
基于以上對船舶計算機網絡系統安全問題和可用性需求的分析,我們認為解決網絡系統安全問題的最終目標是:
通過船舶計算機網絡系統安全管理制度的制定,安全策略和安全管理框架的開發,定制開發和部署適合船舶計算機網絡系統特點的安全管理系統,確保船舶計算機網絡系統安全可靠的運行和受控合法的使用,滿足船舶管理信息系統正常運行、業務運營和日常管理的需要。
通過實施船舶計算機網絡系統安全技術措施,達到保護網絡系統的可用性,保護網絡系統服務的連續性,防范網絡資源的非法訪問及非授權訪問,防范人為的有意或無意的攻擊與破壞,保護船上的各類信息通過局域網傳輸過程中的安全性、完整性、及時性,防范計算機病毒的侵害,實現系統快速恢復,確保船舶計算機網絡的安全運行和有效管理。總體上從五方面考慮:
(1)針對管理級安全,建立一套完整可行的船舶計算機網絡系統安全管理制度,通過有效的貫徹實施和檢查考核,實現網絡系統的安全運行管理與維護;
(2)針對應用級安全,加強船舶計算機網絡防病毒、防攻擊、漏洞管理、數據備份、數據加密、身份認證等,采用適合的安全軟硬件,建設安全防護體系;
(3)針對系統級安全,加強對服務器、操作系統、數據庫的運行監測,加強系統補丁的管理,通過雙機(或兩套系統)的形式保證核心系統運行,當發生故障時,能及時提供備用系統和恢復;
(4)針對網絡級安全,保證船舶計算機網絡設備、網絡線路的運行穩定,對核心層的網絡設備和線路提供雙路的冗余;
(5)針對物理級安全,保證船舶計算機網絡系統數據的安全和系統及時恢復,加強信息和數據的備份和各類軟件介質的管理。
5.2網絡系統安全配置原則
船舶計算機網絡系統是一套移動的計算機網絡系統,沒有專業的安全管理人員,缺乏專業的安全管理能力;船舶數量多,船舶計算機網絡系統規模小和相對比較簡潔,因此,不能按照企業網絡的安全管理體系來構建船舶計算機網絡系統的安全管理體系,必須制定經濟實用的網絡安全設計原則。
需求、風險、代價平衡的原則
對船舶計算機網絡系統進行切合實際的分析與設計,對系統可能面臨的威脅或可能承擔的風險提出定性、定量的分析意見,并制定相應的規范和措施,確定系統的安全策略。
綜合性、整體性、系統性原則
船舶計算機網絡系統安全是一個比較復雜的系統工程,從網絡系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,制定具體措施。安全措施主要包括:行政法律手段、各種管理制度以及專業技術措施。
易于操作、管理和維護性原則
在現階段,船舶上不可能配備專業的計算機系統安全管理員,采用的安全措施和系統應保證易于安裝、實施、操作、管理和維護,并盡可能不降低對船舶計算機網絡系統功能和性能的影響。
可擴展性、適應性及靈活性原則
船舶計算機網絡安全管理系統必須組件化或模塊化,便于部署;安全策略配置靈活,具有較強的適應性,能夠適應各種船舶的計算機網絡系統復雜多樣的現狀;安全管理系統必須具有較好的可擴展性,便于未來進行安全功能的擴展。
標準化、分步實施、保護投資原則
依照計算機系統安全方面的有關法規與行業標準和企業內部的標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。限于計算機系統安全理論與技術發展的歷史原因和企業自身的資金能力,對不同情況的船舶要分期、分批建設一些整體的或區域的安全技術系統,配置相應的設施。因此,依據保護系統安全投資效益的基本原則,在合理規劃、建設新的網絡安全系統或投入新的網絡安全設施的同時,對現有網絡安全系統應采取完善、整合的辦法,使其納入總體的網絡安全技術體系,發揮更好的效能,而不是排斥或拋棄。
5.3網絡安全管理的演進過程
建立、健全船舶計算機網絡系統安全管理體系,首先要建立一個合理的管理框架,要從整體和全局的視角,從信息系統的管理層面進行整體安全建設,并從信息系統本身出發,通過對船上信息資產的分析、風險分析評估、網絡安全需求分析、安全策略開發、安全體系設計、標準規范制定、選擇安全控制措施等步驟,從整個網絡安全管理體系上來提出安全解決方案。
船舶計算機網絡系統安全管理體系的建設須按適當的程序進行,首先應根據自身的業務性質、組織特征、資產狀況和技術條件定義ISMS的總體方針和范圍,然后在風險分析的基礎上進行安全評估,同時確定信息安全風險管理制度,選擇控制目標,準備適用性聲明。船舶計算機網絡系統安全管理體系的建立應遵循PDCA的過程方法,必須循序漸進,不斷完善,持續改進。
6建立健全船舶計算機網絡安全管理制度
針對船舶計算機及網絡系統的安全,需要制定相關法規,結合技術手段實現網絡系統安全管理。制度和流程制定主要包括以下幾個方面:
制定船舶計算機及網絡系統安全工作的總體方針、政策性文件和安全策略等,說明機構安全工作的總體目標、范圍、方針、原則、責任等;
對安全管理活動中的各類管理內容建立安全管理制度,以規范安全管理活動,約束人員的行為方式;
對要求管理人員或操作人員執行的日常管理操作,建立操作規程,以規范操作行為,防止操作失誤;
形成由安全政策、安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系;
由安全管理團隊定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。
7 總結
對于船舶計算機網絡安全按作者的經驗可以針對不同類型、不同情況的具體船舶,可以結合實際需要和具體條件采取以下解決方案:
1.對于正在建造的船舶和準備進廠修理的船舶,建議按照較高級別的計算機網絡安全方案進行實施,全面加固船舶計算機及網絡的可靠性、可恢復性和可維護性,包括配置冗余的網絡設備和建設備用的網絡線路。
2.對于正在營運的、比較新的船舶,建議按照中等級別的計算機網絡安全方案進行實施,若條件允許,則可以增加專用的安全管理服務器設備,更新或擴充升級原有的路由器或交換機。
3.對于其它具備計算機局域網、船齡比較長的船舶,建議按照較低級別的計算機網絡安全方案進行實施,不增加專用的安全管理服務器設備,主要目標解決計算機網絡防病毒問題。
4.對于不具備計算機局域網的老舊船舶,可以進一步簡化安全問題解決方案,著重解決船舶管理信息系統服務器或單機的防病毒問題,以確保服務器或單機上的系統能夠正常運行使用。
參考文獻:
關鍵詞:計算機網絡技術;消防信息化工作;應用
中圖分類號:TN711 文獻標識碼:A
隨著計算機網絡技術的發展,在消防信息化工作中得以有效利用,但另一方面也造成了消防信息丟失、信息泄露等一系列嚴重問題,威脅著消防工作的安全。我們有必要認真分析這些問題的產生根源,并結合計算機技術的發展現狀,提出解決問題的有效對策。只有這樣,才能使計算機網絡技術更好地服務于消防信息化工作。
1計算機網絡技術與消防信息化
1.1計算機網絡技術
計算機網絡技術,指的是用一定的設備將多個不同地點的計算機連接成一個完整的網絡,并實現信息互通、資源共享的一種信息技術形式。這種技術是科技發展的產物,它的發展變化經歷了一個從簡單到復雜、從低級到高級的演變過程。計算機網絡是一個功能較齊全的高科技網絡,它的主要功能包括實現各用戶之間的資源共享、實現用戶之間的信息傳遞,以及協調用戶之間的工作進程,促進合作。計算機網絡技術可以節省數據與信息傳遞的成本,擴大數據與信息傳輸量,并能將世界各地的信息在短時間內傳遞到不同的用戶端,省去了用戶查找有用信息的麻煩。
1.2消防信息化
消防信息化,是指綜合運用計算機網絡技術、通訊技術、衛星定位技術和呼叫技術等現代技術手段,通過互聯網進行消防信息的收集、處理以及儲存等工作,實現消防信息的高效共享與消防資源的共同使用。消防信息化的實現有著重大意義:①消防信息化的發展,有助于提高消防工作人員的日常工作效率,提升日常工作的信息化水平,省去了以往許多高強度的體力勞動,從而提升了消防工作的質量和速度,增強了消防工作人員的應變能力和救援能力;②消防信息化在消防隊伍網絡內部實現了信息公開,提升了工作的透明度,有助于督促廣大消防官兵改善服務質量、提高自身綜合素質、增強自身競爭力。同時,信息公開也方便了廣大人民群眾對于消防工作的監督,使消防隊伍的良好形象得以進一步確立;③消防信息化大大提高了信息傳遞的速度,擴大了有效信息的獲取范圍,增加了信息傳送的準確程度,從而使消防工作走向規范消防安全化,有效地降低了工作誤差率。
加強消防信息化建設,主要應當從以下幾方面入手:①要加強信息化的基礎設施建設。要完善消防工作的通訊網絡,努力構造多層次的網絡體系,實現信息傳遞的網絡化和體系化;②要加強消防信息的安全保障工作,確保消防信息網絡運行安全、信息數據真實可靠。應當著重采取措施,防止外來人員對消防信息的竊取和騙取,為信息設置密碼和客戶訪問權限,防止信息出現被盜現象。在發生信息丟失等突發事件時,應當能夠啟動應急措施,將損失降至最低;③要加強對于消防信息網絡的管理。在確保網絡體系正常運轉的基礎上,完善網絡體系管理的相關制度,為消防信息的便捷高效傳遞提供制度保障。
2計算機網絡技術在消防信息化工作中的應用及存在的問題
2.1缺少信息安全監測措施
在計算機網絡技術剛剛興起的時候,網絡的設計者安全意識較為淡薄,建設資金也不夠充足,這導致計算機網絡建成以后,在信息安全的監管方面存在很大隱患:①計算機主機沒有得到有效監控。網絡設計者只考慮到了對一些接入計算機的外部設備進行安全監測,卻忽視了對主機本身的控制,從而對整個消防網絡的安全構成威脅;②可以移動的信息存儲設備沒有得到有效監控。很多消防官兵在使用消防計算機網絡時,習慣用硬盤等下載數據并存儲工作信息,而這些硬盤本身有可能是計算機病毒的攜帶者,它們一旦接入計算機,就可能造成整個網絡系統的癱瘓,并影響到其他網絡體系的正常運轉;③外部的來訪用戶沒有得到有效監控。由于消防網絡具有分布比較分散的特點,每一臺機器都有可能成為外部用戶訪問的對象,這些用戶自身攜帶的病毒和異常程序也會因此進入消防網絡系統內部,造成重要信息泄露或丟失、網絡癱瘓等一系列嚴重后果,影響消防部門的正常工作進程。
2.2缺少信息安全管理制度
從表面上看,大多數消防單位都有自身的安全管理制度體系,但實際上,這些制度在工作實際中的落實情況卻并不理想。這主要是因為有些消防單位對于信息安全不夠重視,沒有將信息安全責任落實到人,致使安全管理制度只停留在書面層次上,而沒有實際起到預防和監督作用。有些消防單位在遇到網絡安全威脅等突況時,就采用消極的方法進行回避,如干脆將網站的入口關閉,或者不讓用戶繼續使用信息等。這種做法實際上破壞了消防安全制度的嚴肅性,使制度的執行效果大打折扣。
2.3缺少信息安全教育培訓
很多消防官兵認為,自己的工作任務就是組織好與實施好具體的消防工作,至于消防信息安全知識,他們不需要掌握得太詳細,只要能看懂計算機上顯示的信息,會一些基本的計算機操作和網絡常識就可以了。實際上,這種認識是不對的。隨著計算機網絡技術的高速發展,計算機系統自身的安全問題也層出不窮,例如計算機病毒、黑客入侵等。如果廣大消防官兵不加強信息安全意識,不注意提高自己的信息安全知識水平,就有可能難以識別一些新型的消防系統信息安全問題,難以及時采取措施,防止危害的進一步擴大。從這個角度來講,消防官兵有必要接受專業的信息安全技術培訓,消防官兵可以利用業余時間參加一些網絡安全技術的培訓班,有條件的消防單位也可以組織官兵開展專門的消防信息安全學習,督促他們做好學習筆記,并開展一些實踐活動,切實提高他們的理論素養和實踐水平。
3保障消防信息網絡安全的具體對策
3.1技術對策
要解決消防信息化工作中存在的計算機網絡安全問題,改善技術是基礎。在技術層面,我們要全方位加強信息監管,確保系統內部的信息安全,并有效阻止外部的有害信息侵入計算機系統內部。具體來講,可以完善信息防火墻,隔離消防系統自身的網絡與外部的網絡,阻止外部的用戶違法進入消防信息系統,從而保護系統內部的信息不受侵害,又不妨礙信息之間的互通;可以定期更新和升級計算機殺毒專用軟件,使殺毒軟件的更新能夠趕得上計算機病毒種類的增加速度,從而有效實現殺毒功能;可以對于消防信息系統內部的重要信息進行加密處理,使信息的具體內容不會輕易暴露給外界,保障信息的安全性;
3.2管理對策
要解決消防信息化工作中存在的計算機網絡安全問題,規范管理是關鍵。規范消防安全網絡管理,主要應當從日常工作中的細節入手,落實各項規章制度,將制度責任具體化,確保規章制度能夠得到全面實施。例如,可以建立負責人制度,指派專人對信息系統的某個領域進行專項管理,帶領小組成員開展實在的網絡安全監管工作;可以確定信息安全監管重點,對于經常出現安全問題或者存在較大安全隱患的領域實施重點監管;可以進一步完善監管程序,保證消防官兵在信息化工作中按流程辦事,提高程序意識。
4總 結
計算機網絡技術在消防信息化工作中的應用,大大提高了消防工作的質量和效率,同時也造成了一些網絡安全方面的問題。在今后的工作過程中,廣大消防官兵有必要提高網絡安全意識、提升網絡安全知識水平,完善信息安全技術措施和信息安全管理措施,確保消防信息化工作安全開展、順利開展。
參考文獻
[1]付鵬.淺析計算機網絡技術在消防信息化工作中的應用及存在問題和對策[J].電腦知識與技術,2011(27).
[2]段秀紅.計算機網絡技術在消防信息化工作中的應用及存在問題和對策[J].科技傳播,2012(23).
[3]苑曉凡.消防信息化建設中的網絡安全問題[J].2006年中國科協年會論文集(下冊),2006(09).
關鍵詞:安全現狀 安全威脅 安全控制 病毒防治
中圖分類號:TP393.1文獻標識碼: A
0 引言
隨著信息化的不斷擴展,各類網絡版應用軟件推廣應用,計算機網絡在提高數據傳輸效率,實現數據集中、數據共享等方面發揮著越來越重要的作用,網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,保證網絡信息安全以及網絡硬件及軟件系統的正常順利運轉是基本前提,因此計算機網絡和系統安全建設就顯得尤為重要。
1 局域網安全現狀
廣域網絡已有了相對完善的安全防御體系,防火墻、漏洞掃描、防病毒、IDS等網關級別、網絡邊界方面的防御,重要的安全設施大致集中于機房或網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡,形成極大的安全隱患。目前,局域網絡安全隱患是利用了網絡系統本身存在的安全弱點,而系統在使用和管理過程的疏漏增加了安全問題的嚴重程度。
2 局域網安全威脅分析
局域網(LAN)是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。由于通過交換機和服務器連接網內每一臺電腦,因此局域網內信息的傳輸速率比較高,同時局域網采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。局域網的網絡安全威脅通常有以下幾類:
2.1 計算機病毒及惡意代碼的威脅 由于網絡用戶不及時安裝防病毒軟件和操作系統補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(crime ware)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。
2.2 局域網用戶安全意識不強 許多用戶使用移動存儲設備來進行數據的傳遞,經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網,同時將內部數據帶出局域網,這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在內外網之間平凡切換使用,許多用戶將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用,造成病毒的傳入和信息的泄密。
2.3 IP地址沖突 局域網用戶在同一個網段內,經常造成IP地址沖突,造成部分計算機無法上網。對于局域網來講,此類IP地址沖突的問題會經常出現,用戶規模越大,查找工作就越困難,所以網絡管理員必須加以解決。
3 局域網安全控制與病毒防治策略
3.1 加強人員的網絡安全培訓 安全是個過程,它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統。從行業和組織的業務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環節落實到每個層次上,而進行這種具體操作的是人,人正是網絡安全中最薄弱的環節,然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理,注意管理方式和實現方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。同時要加強法制建設, 進一步完善關于網絡安全的法律,以便更有利地打擊不法分子
3.2 局域網安全控制策略 安全管理保護網絡用戶資源與設備以及網絡管理系統本身不被未經授權的用戶訪問。目前網絡管理工作量最大的部分是客戶端安全部分,對網絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網絡內部的安全問題,才可以排除網絡中最大的安全隱患,對于內部網絡終端安全管理主要從終端狀態、行為、事件三個方面進行防御。利用現有的安全管理軟件加強對以上三個方面的管理是當前解決局域網安全的關鍵所在。
3.2.1 采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上,與網絡的其余部分隔開,它使內部網絡與Internet之間或與其他外部網絡互相隔離,限制網絡互訪,用來保護內部網絡資源免遭非法使用者的侵入,執行安全管制措施,記錄所有可疑事件。它是在兩個網絡之間實行控制策略的系統,是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。
3.2.2 封存所有空閑的IP地址,啟動IP地址綁定,采用上網計算機IP地址與MCA地址唯一對應,網絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略,可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。
3.2.3 啟用殺毒軟件強制安裝策略,監測所有運行在局域網絡上的計算機,對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。
3.3 病毒防治 病毒的侵入必將對系統資源構成威脅,影響系統的正常運行。特別是通過網絡傳播的計算機病毒,能在很短的時間內使整個計算機網絡處于癱瘓狀態,從而造成巨大的損失。因此,防止病毒的侵入要比發現和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網的防病毒系統上的,主要從以下幾個方面制定有針對性的防病毒策略:
3.3.1 增加安全意識。 杜絕病毒,主觀能動性起到很重要的作用。病毒的蔓延,經常是由于企業內部員工對病毒的傳播方式不夠了解,病毒傳播的渠道有很多種,可通過網絡、物理介質等。查殺病毒,首先要知道病毒到底是什么,它的危害是怎么樣的,知道了病毒危害性,提高了安全意識,杜絕毒瘤的戰役就已經成功了一半。平時,企業要從加強安全意識著手,對日常工作中隱藏的病毒危害增加警覺性,如安裝一種大眾認可的網絡版殺毒軟件,定時更新病毒定義,對來歷不明的文件運行前進行查殺,每周查殺一次病毒,減少共享文件夾的數量,文件共享的時候盡量控制權限和增加密碼等,都可以很好地防止病毒在網絡中的傳播。
3.3.2 小心郵件。 隨著網絡的普及,電子信箱成了人們工作中不可缺少的一種媒介。它方便快捷在提高了人們的工作效率的同時,也無意之中成為了病毒的幫兇。有數據顯示,如今有超過90%的病毒通過郵件進行傳播。盡管這些病毒的傳播原理很簡單,但這塊決非僅僅是技術問題,還應該教育用戶和企業,讓它們采取適當的措施。例如,如果所有的Windows用戶都關閉了VB腳本功能,像庫爾尼科娃這樣的病毒就不可能傳播。只要用戶隨時小心警惕,不要打開值得懷疑的郵件,就可把病毒拒絕在外。
3.3.3 小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺,也可把病毒拒絕在外。
3.3.4 挑選網絡版殺毒軟件。選擇一個功力高深的網絡版病毒"殺手"就至關重要了。一般而言,查殺是否徹底,界面是否友好、方便,能否實現遠程控制、集中管理是決定一個網絡殺毒軟件的三大要素。
4 結語
局域網安全控制與病毒防治是一項長期而艱巨的任務,需要不斷的探索。隨著網絡應用的發展計算機病毒形式及傳播途徑日趨多樣化,安全問題日益復雜化,網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系,要具備完善的管理系統來設置和維護對安全的防護策略。
參考文獻:
[1]鐘平;校園網安全防范技術研究[DB].CNKI系列數據庫.2007.
關鍵詞:網絡安全;信息安全;計算機安全;信息管理
隨著交通行業的科技信息化發展,交通行業各應用系統及計算機遭受病毒攻擊、垃圾郵件泛濫等問題威脅著行業信息安全。由于缺乏安全意識,出現了數據丟失、信息被盜等安全問題,給整個行業造成重大損失。保證行業內計算機及網絡信息系統的安全運行,不受病毒、黑客的侵擾極為重要。
1交通行業計算機信息安全存在的問題
現階段,交通行業內的計算機用戶群體復雜,存在的信息安全問題也很復雜。主要存在以下幾個方面的問題。(1)計算機軟硬件核心技術大多依賴進口目前,中國的軟硬件核心技術欠缺,例如美國的CPU芯片、美國微軟公司的WINDOWS操作系統、美國微軟公司的日常辦公通用軟件OPFICE、各大數據庫等軟硬件大多依賴國外。國外的系統固然會不定期更新,但肯定會存在大量的安全漏洞,留下隱藏性病毒、后門等隱患。這些漏洞使得計算機的安全性能大大降低,同時使網絡處于極脆弱的狀態。(2)缺乏安全有效的防護措施很多計算機用戶不設置系統登錄密碼,即便是設置了密碼但是密碼策略低,有的甚至設置成電話號碼、連續數字等。用戶雖然安裝了殺毒軟件,但缺乏安全意識,有的用戶的殺毒軟件根本沒有升級病毒庫,相當于是在裸機的狀態下使用,一旦感染病毒,再加上黑客攻擊,很可能直接造成網絡癱瘓,從而導致存儲在計算機中的大量敏感文件和工作文件信息被竊取,極易造成泄密事件。(3)重要數據缺少備份行業用戶的操作水平不高或者操作習慣不好,會導致經常誤刪一些重要文件。此外,各種自然災害、病毒、黑客攻擊、計算機硬件設備損壞等都會導致文件及數據遭遇毀滅性的損壞。如果用戶未對重要數據進行備份,一旦文件遭到破壞將很難恢復,對個人甚至國家都會造成嚴重后果,所以數據備份不容忽視。(4)電子郵箱密碼設置過于簡單某些單位的電子郵箱沒有相關管理制度,網絡管理者在分配郵箱的時候一般會設置一個較簡單的默認密碼,用戶在使用過程中很少有修改密碼的習慣。完全把郵箱變成一個網絡存儲空間使用,往來郵件長時間不清理。一旦電子郵箱被黑客攻破,后果不堪設想。(5)計算機網絡信息安全缺乏嚴格的管理制度行業內大部分單位雖然有信息安全管理制度,也明確了崗位職責及規范,但在實際工作中卻并未嚴格按照規范執行,有很多制度一成不變,已經跟不上時代的發展,與現階段國家的相關規定也存在很大差距,導致極大的信息安全隱患。此外,對于特定的賬戶密碼和管理員權限沒有監管,缺乏安全保障制度和預防措施。(6)對于計算機信息安全事故缺乏有效的應對措施防患于未然極其重要。一些行業內單位對于信息安全缺少防范措施,一旦出現重大網絡安全故障后,缺乏快速補救的措施和應急方案,不能及時排除安全故障和隱患,勢必會給單位和個人造成重大損失。(7)計算機信息使用和管理人員安全意識淡薄有的計算機信息使用和管理人員在日常生活和工作中缺乏安全保密意識,不能嚴格執行交通運輸部保密辦的“計算機不上網,上網計算機不”的保密要求,往往把U盤混用,接收資料也不殺毒處理,操作系統、殺毒軟件不及時升級,這些行為都會導致計算機感染病毒。外出時,個人手機和筆記本電腦經常會連接到各種無線網絡中,這對行業信息安全都有極大的風險。
2交通行業計算機信息安全管理對策
(1)推廣國內自主研發的核心設備和技術的應用按照國家相關要求和規范進行網絡信息安全和計算機信息化設備的采購和配置。涉及到重要的信息,盡量使用國內自主研發的經過國家保密局、安全局、公安部評測通過的計算機網絡安全設備。(2)對內部網絡及系統進行分級保護對行業內的計算機信息網絡,一定要按照國家有關要求和交通運輸部保密辦的要求,進行分級保護管理。對單位內網絡中的所有網絡終端進行系統加固,安裝安全登錄、主機審計、身份認證、主機監控、黑白名單、違規外聯、補丁分發、文件分發系統。對網絡內的終端計算機實行關閉刻錄、USB使用功能,禁止使用無線及藍牙等外設設備,采用紅黑電源插座。計算機只可進數據,嚴禁出數據。出數據必須要逐級審批,方可開通權限進行刻錄和打印。對網絡線路加裝線路保護儀,網絡設備和系統要放置在屏蔽機房和屏蔽機柜內。(3)對內部非的網絡和政務外網進行等級保護按照國家有關要求和標準規范,進行等級保護測評。全面安裝計算機安全登錄終端、主機審計和監控系統。對等級級別高的網路和系統要間隔不長時間再次測評。《中華人民共和國網絡安全法》現已實施,為了避免在國家重大活動信息安全保障中出現信息安全責任事故,盡量使用軟硬件設備關閉單位大樓內的無線信號。(4)安裝防病毒軟件、防火墻、入侵檢測系統對行業內的網絡計算機,要逐臺安裝防病毒軟件和木馬查殺軟件,要求對病毒進行定時或實時的掃描及漏洞檢測。對文件、郵件、內存、網頁進行全面實時監控,一旦發現異常情況,及時定位處理。要使用補丁分發系統及時針對系統和常用軟件漏洞進行分發安裝。網絡層一定要軟硬結合,使用防火墻和入侵檢測系統,對安全策略及過濾規則按照最高等級設置,以防御外部惡意攻擊。對網絡中的IP地址加裝ACK地址管理系統。為了安全起見,全部設置靜態IP地址,然后與MAC地址綁定,這樣可以有效預防IP地址欺騙。同時利用上網行為管理系統,屏蔽非法訪問的不良行為,禁止把內部敏感信息和數據傳播至公共網絡。使用網絡監控和預警平臺對網絡進行監測,及時有效地保護網絡安全。(5)完善行業計算機網絡安全管理體系為了加強網絡安全管理,將信息安全管理工作落到實處,必須對網絡中的每個管理環節進行監管,實現網絡信息安全的最終目標。為了提前發現網絡風險,將風險降至最小,避免黑客利用漏洞破壞網絡信息安全,必須從頂層設計入手,針對網絡信息安全制定全面的管理體系和網絡信息風險評估體系,這對建設安全的網絡環境十分重要,可以對網絡信息起到監管作用,更加有利于網絡信息安全管理。(6)提高思想認識,加強制度落實信息安全管理工作的首要基礎是通過加強思想教育、制度學習和落實,提高全員的網絡安全意識。認真學習各類信息安全法規和保密教材,尤其是要深入學習《中華人民共和國網絡安全法》,強化安全保密觀念,提高安全保密意識和素質,增強網絡安全保密知識,改善網絡安全保密環境。(7)制定嚴格的信息安全管理制度為了維護行業信息安全,每個行業單位應結合實際情況,完善內部網絡信息安全管理制度,確保信息處理、存儲、傳播的安全。對于的計算機應安排專人負責。文件應單獨保存在介質中。對于機房、計算機軟硬件、信息系統建設與運維、郵件服務器系統,也應制定不同的安全策略和管理制度,并在實際工作中嚴格執行落實。(8)制定網絡安全應急管理措施為了能夠及時快速地處置網絡安全事故,行業各單位需結合實際情況,制定本單位網絡安全應急管理措施,明確崗位職責和處置權限,并定期開展安全應急預演,提高技術人員的應急處理能力。網絡安全事故突發應急處置過程中,一旦發現問題要及時上報,規定報送流程、時間要求等,采取措施降低損害。每次的處理都要記錄并保存,以便追溯。按照應急處置程序,一旦發生信息安全事件,要立即向有關部門報告。(9)重視網絡信息安全人才的培養各單位應重視網絡信息安全人才的培養,建立一支信息安全管理技術過硬的團隊。每年制定不同的年度培訓計劃,通過每季度不少于一次的專業培訓來提高網絡信息安全人才的專業技術能力。
3結語
總之,交通運輸行業對計算機及各種網絡的依賴性越來越強,遭受各種病毒侵擾、黑客攻擊也是不可避免的。交通行業計算機及網絡信息安全問題,必須引起各單位高度重視。人人都應從自我做起,提高個人的信息安全意識,養成良好的計算機使用習慣。只有完善制度、嚴格落實執行、提高監管力度,才能從根本上解決網絡信息安全問題,建立穩定、和諧、安全的網絡信息環境。
作者:郭俊杰 單位:中國交通通信信息中心
參考文獻:
[1]趙輝,樊杰,徐京渝.分布式行業電子政務網絡信息安全問題及對策[J].中國交通信息化,2013(2):36-38.
[2]李治國.淺析計算機網絡信息安全存在的問題及對策[J].計算機光盤軟件與應用,2012(21):47-48.
關鍵詞:LAN;威脅;安全控制;病毒防治
隨著信息化的不斷擴展,各類網絡版應用軟件推廣應用,計算機網絡在提高數據傳輸效率,實現數據集中、數據共享等方面發揮著越來越重要的作用,網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,保證網絡信息安全以及網絡硬件及軟件系統的正常順利運轉是基本前提,因此計算機網絡和系統安全建設就顯得尤為重要。
一、局域網安全現狀
廣域網絡已有了相對完善的安全防御體系,防火墻、漏洞掃描、防病毒、IDS等網關級別、網絡邊界方面的防御,重要的安全設施大致集中于機房或網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡,形成極大的安全隱患。目前,局域網絡安全隱患是利用了網絡系統本身存在的安全弱點,而系統在使用和管理過程的疏漏增加了安全問題的嚴重程度。
二、局域網安全威脅分析
局域網(LAN)是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。由于通過交換機和服務器連接網內每一臺電腦,因此局域網內信息的傳輸速率比較高,同時局域網采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。局域網的網絡安全威脅通常有以下幾類:
(一)欺騙性的軟件使數據安全性降低
由于局域網很大的一部分用處是資源共享,而正是由于共享資源的“數據開放性”,導致數據信息容易被篡改和刪除,數據安全性較低。例如“網絡釣魚攻擊”,釣魚工具是通過大量發送聲稱來自于一些知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息:如用戶名、口令、賬號ID、ATM PIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網站來騙取用戶的敏感的數據。以往此類攻擊的冒名的多是大型或著名的網站,但由于大型網站反應比較迅速,而且所提供的安全功能不斷增強,網絡釣魚已越來越多地把目光對準了較小的網站。同時由于用戶缺乏數據備份等數據安全方面的知識和手段,因此會造成經常性的信息丟失等現象發生。
(二)服務器區域沒有進行獨立防護
局域網內計算機的數據快速、便捷的傳遞,造就了病毒感染的直接性和快速性,如果局域網中服務器區域不進行獨立保護,其中一臺電腦感染病毒,并且通過服務器進行信息傳遞,就會感染服務器,這樣局域網中任何一臺通過服務器信息傳遞的電腦,就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊,但無法抵擋來自局域網內部的攻擊。
(三)計算機病毒及惡意代碼的威脅
由于網絡用戶不及時安裝防病毒軟件和操作系統補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(crime ware)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。2007年,兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年,預計犯罪軟件社區對寄生軟件的興趣將繼續增長,寄生軟件的總量預計將增長20%。
(四)局域網用戶安全意識不強
許多用戶使用移動存儲設備來進行數據的傳遞,經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網,同時將內部數據帶出局域網,這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在內外網之間平凡切換使用,許多用戶將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用,造成病毒的傳入和信息的泄密。
(五)IP地址沖突
局域網用戶在同一個網段內,經常造成IP地址沖突,造成部分計算機無法上網。對于局域網來講,此類IP地址沖突的問題會經常出現,用戶規模越大,查找工作就越困難,所以網絡管理員必須加以解決。
正是由于局域網內應用上這些獨特的特點,造成局域網內的病毒快速傳遞,數據安全性低,網內電腦相互感染,病毒屢殺不盡,數據經常丟失。
三、局域網安全控制與病毒防治策略
(一)加強人員的網絡安全培訓
安全是個過程,它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統。從行業和組織的業務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環節落實到每個層次上,而進行這種具體操作的是人,人正是網絡安全中最薄弱的環節,然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理,注意管理方式和實現方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。同時要加強法制建設, 進一步完善關于網絡安全的法律,以便更有利地打擊不法分子。對局域網內部人員,從下面幾方面進行培訓:
1、加強安全意識培訓,讓每個工作人員明白數據信息安全的重要性,理解保證數據信息安全是所有計算機使用者共同的責任。
2、加強安全知識培訓,使每個計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數據,保證本地數據信息的安全可靠。
3、加強網絡知識培訓,通過培訓掌握一定的網絡知識,能夠掌握IP地址的配置、數據的共享等網絡基本知識,樹立良好的計算機使用習慣。
(二)局域網安全控制策略
安全管理保護網絡用戶資源與設備以及網絡管理系統本身不被未經授權的用戶訪問。目前網絡管理工作量最大的部分是客戶端安全部分,對網絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網絡內部的安全問題,才可以排除網絡中最大的安全隱患,對于內部網絡終端安全管理主要從終端狀態、行為、事件三個方面進行防御。利用現有的安全管理軟件加強對以上三個方面的管理是當前解決局域網安全的關鍵所在。
1、利用桌面管理系統控制用戶入網。入網訪問控制是保證網絡資源不被非法使用,是網絡安全防范和保護的主要策略。它為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限,網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設備能夠執行的操作。啟用密碼策略,強制計算機用戶設置符合安全要求的密碼,包括設置口令鎖定服務器控制臺,以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據,提高系統安全行,對密碼不符合要求的計算機在多次警告后阻斷其連網。
2、采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上,與網絡的其余部分隔開,它使內部網絡與Internet之間或與其他外部網絡互相隔離,限制網絡互訪,用來保護內部網絡資源免遭非法使用者的侵入,執行安全管制措施,記錄所有可疑事件。它是在兩個網絡之間實行控制策略的系統,是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發現及封阻應用攻擊所采用的技術有:(1)深度數據包處理。深度數據包處理在一個數據流當中有多個數據包,在尋找攻擊異常行為的同時,保持整個數據流的狀態。深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量,以避免應用時帶來時延。(2)IP/URL過濾。一旦應用流量是明文格式,就必須檢測HTTP請求的URL部分,尋找惡意攻擊的跡象,這就需要一種方案不僅能檢查RUL,還能檢查請求的其余部分。其實,如果把應用響應考慮進來,可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作,可以阻止通常的腳本類型的攻擊。(3)TCP/IP終止。應用層攻擊涉及多種數據包,并且常常涉及不同的數據流。流量分析系統要發揮功效,就必須在用戶與應用保持互動的整個會話期間,能夠檢測數據包和請求,以尋找攻擊行為。至少,這需要能夠終止傳輸層協議,并且在整個數據流而不是僅僅在單個數據包中尋找惡意模式。系統中存著一些訪問網絡的木馬、病毒等IP地址,檢查訪問的IP地址或者端口是否合法,有效的TCP/IP終止,并有效地扼殺木馬。時等。(4)訪問網絡進程跟蹤。訪問網絡進程跟蹤。這是防火墻技術的最基本部分,判斷進程訪問網絡的合法性,進行有效攔截。這項功能通常借助于TDI層的網絡數據攔截,得到操作網絡數據報的進程的詳細信息加以實現。
3、封存所有空閑的IP地址,啟動IP地址綁定,采用上網計算機IP地址與MCA地址唯一對應,網絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略,可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。
4、屬性安全控制。它能控制以下幾個方面的權限:防止用戶對目錄和文件的誤刪除、執行修改、查看目錄和文件、顯示向某個文件寫數據、拷貝、刪除目錄或文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件。
5、啟用殺毒軟件強制安裝策略,監測所有運行在局域網絡上的計算機,對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。
(三)病毒防治
病毒的侵入必將對系統資源構成威脅,影響系統的正常運行。特別是通過網絡傳播的計算機病毒,能在很短的時間內使整個計算機網絡處于癱瘓狀態,從而造成巨大的損失。因此,防止病毒的侵入要比發現和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網的防病毒系統上的,主要從以下幾個方面制定有針對性的防病毒策略:
1、增加安全意識和安全知識,對工作人員定期培訓。首先明確病毒的危害,文件共享的時候盡量控制權限和增加密碼,對來歷不明的文件運行前進行查殺等,都可以很好地防止病毒在網絡中的傳播。這些措施對杜絕病毒,主觀能動性起到很重要的作用。
2、小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺,也可把病毒拒絕在外。
3、挑選網絡版殺毒軟件。一般而言,查殺是否徹底,界面是否友好、方便,能否實現遠程控制、集中管理是決定一個網絡殺毒軟件的三大要素。瑞星殺毒軟件在這些方面都相當不錯,能夠熟練掌握瑞星殺毒軟件使用,及時升級殺毒軟件病毒庫,有效使用殺毒軟件是防毒殺毒的關鍵。
通過以上策略的設置,能夠及時發現網絡運行中存在的問題,快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點,及時、準確的切斷安全事件發生點和網絡。
局域網安全控制與病毒防治是一項長期而艱巨的任務,需要不斷的探索。隨著網絡應用的發展計算機病毒形式及傳播途徑日趨多樣化,安全問題日益復雜化,網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系,要具備完善的管理系統來設置和維護對安全的防護策略。
參考文獻:
1、鐘平.校園網安全防范技術研究[DB].CNKI系列數據庫,2007.
2、王秀和,楊明.計算機網絡安全技術淺析[J].中國教育技術設備,2007(5).
關鍵詞:計算機 局域網 信息安全 病毒防治
伴隨信息化的迅猛擴張,各種網絡應用軟件也得以快速應用推廣,如今計算機網絡的作用越來越重要。為了確保網絡信息安全和網絡軟、硬件的正常工作運轉,加強計算機網絡和系統安全建設勢在必行。本文主要對如何實現局域網的信息安全及其病毒防治措施進行了論述。
1、局域網信息安全的現狀
相比局域網而言,廣域網目前較為完善的安全防御體系已經建立,可以利用防火墻、查殺病毒、漏洞掃描、設置IDS等網關級別、網絡邊界等方法進行防御,由于重要安全設施主要是在機房以及網絡入口等地點,通過以上設備的密切監控,使網絡外部的安全威脅大幅降低。然而,由于對計算機客戶端的安全管理措施相對較少,使得網絡內部的安全威脅得以增加。某些未經授權的網絡設備以及用戶很容易通過鏈接局域網的相關網絡設備而自動進入網絡,造成網絡安全隱患問題。從目前來看,局域網信息安全的隱患主要是網絡系統本身的安全漏洞問題,還有就是網絡系統管理使用不利而導致的安全問題的增加。
2、局域網信息安全的主要威脅
我們所說的局域網(LAN)就是為了工作需要,在特定的范圍內通過服務器與多臺電腦而組成的工作組互聯網絡。因為需要經由交換機和服務器與網內的所有電腦相連,所以局域網內的信息傳輸速率相對較高,但是,由于局域網應用的技術單一,沒有更多的安全措施,因此很容易成為病毒傳播的主要通道,為數據信息的安全帶來嚴重的隱患問題。綜合分析局域網信息安全的主要威脅有下面幾種:
2.1 黑客軟件影響數據安全
資源共享是局域網的主要用途之一,然而共享資源必然要對數據開放,這就會使得篡改和刪除數據信息變得極其容易,造成了數據的安全性較低。比如,一些黑客利用網絡釣魚工具進行攻擊,其主要是以某些知名機構的名義向用戶發送大量帶有欺騙性質的垃圾郵件信息,其目的是要以此引誘收信人透露個人的敏感信息內容,例如用戶名、密碼、ID賬號、個人聯系方式以及信用卡等信息,冒用某些正規網站的進行騙取用戶敏感數據信息是其最常見的手段,過去進行該類攻擊的大部分為大型網站或知名網站等,然而因為大型網站相對反應迅速較快,且其提供的各項安全措施也在加強增大,因此網絡釣魚只能逐漸將目光瞄準一些小型網站和不知名網站來進行。
2.2 服務器區域未做好有效防御
由于局域網內各計算機之間可以快速方便的進行傳遞數據信息,這就直接導致了病毒能夠直接而快速地感染計算機,一旦局域網的服務器區域未做好有效出版物,沒有采取獨立保護措施,如果其中某臺計算機感染了病毒,再經過服務器傳遞數據信息時則會直接造成服務器感染,如此,局域網內的所有計算機通過服務器進行數據信息傳遞時,都容易成為病毒感染對象。盡管網絡出口處設立了防火墻來對外來攻擊進行阻斷,然而局域網內部的攻擊卻往往不能抵擋。
2.3 各種計算機病毒和惡意代碼威脅網絡安全
許多網絡用戶沒有安裝防病毒軟件或者安裝不及時,以及沒有及時進行操作系統補丁的更新,還有部分用戶雖然安裝了防病毒軟件,但沒有及時更新病毒庫,這些情況都容易給計算機病毒入侵帶來便利。很多網絡寄生犯罪軟件進行攻擊時,都是利用網絡用戶的這些弱點和問題。網絡寄生軟件能夠做到修改磁盤上的現有軟件而將其寄生的相關文件內注入一些新代碼來實現攻擊。
2.4 局域網用戶缺乏安全意識
很多用戶在進行數據信息傳遞時喜歡使用移動存儲設備,習慣性地將外部數據信息在沒有經過安全檢查的情況下就將移動存儲設備直接與內部局域網鏈接,并且將存儲設備內部的數據信息傳遞到局域網計算機中,如此做法很容易給木馬和蠕蟲等各種病毒感染計算機提供方便條件,而且使數據信息泄密的機率增加。此外,還有個人筆記本電腦隨意地在內外網之間進行切換使用以及一機兩用、多用等現象也經常遇到,很多用戶的筆記本電腦鏈接Internet網后就直接在未經許可的前提下直接在內部局域網內鏈接,也極易導致各類病毒入侵以及造成數據信息泄密等問題。
2.5 局域網IP地址發生沖突
如果局域網用戶處于同一個網段,就會導致IP地址沖突現象經常發生,使部分計算機無法鏈接網絡。就局域網而言,發生這類IP地址沖突的現象經常遇到,局域網內的用戶越多,就會給查找工作帶來更大的難題,因此,局域網的網絡管理員需要密切關注之一問題并及時加以解決處理。
綜上所述,局域網內在應用上擁有這些獨特的特點,導致了局域網內的一些病毒能夠進行快速的傳遞,給數據信息的安全帶來危害,形成了局域網內各計算機間相互感染的問題,雖然經常進行病毒查殺,卻仍然經常發生數據信息丟失等現象。
3、局域網的信息安全控制策略及其病毒防治措施
關鍵詞:計算機網絡技術;電子信息工程;應用
電子信息工程是當前科技發展的重要產物,人們的生產生活已逐步離不開它。計算機網絡技術的發展和應用,給電子信息工程的創新和發展給予了重要基礎,兩者的融合讓人們更加重視電子信息技術的應用,這直接推動了現代科技和生產技術的發展。
1相關概念闡述
1.1計算機網絡技術
所謂計算機網絡技術,就是計算機技術和互聯網通信技術結合形成的技術,需要遵循一定的網絡協議,把某些獨立、分散的計算機予以連接,進而實現信息的傳輸和共享,在此過程中,電纜、光釬等均為網絡介質[1]。在計算機網絡中,具有性能極佳的共享軟、硬件,在實際的資源共享過程中,此種網絡技術可對相關數據進行整合和處理,使電子信息工程的文字、視頻等信息傳輸中,具有很高的安全性和可行性。
1.2電子信息工程
電子信息工程是伴隨信息技術發展而來的,主要有數據的采集及處理、創建合理的電子設備信息系統,并予以使用[2]。從現階段的發展水平看,其在人們生產和生活中有著廣泛應用,且產生積極效應,因此它能夠為人們給予更為便捷的服務,有助于改善和提升人們的生產效率和生活質量。當前,人們應用的智能手機、筆記本電腦等均應用到電子信息技術。實際上,電子信息工程屬于大而雜的信息系統工程,涵蓋了通信、信息及網絡等技術。
2計算機網絡技術在電子信息工程中的應用分析
2.1信息傳遞方面
在信息時代的今天,每天會有海量信息產生,而人們對這些信息是有需求的。在此種狀況下,電子信息工程所具備的高效率、容量大的信息傳遞功能就可電子計算機網絡技術的應用性能更優。在應用計算機網絡技術進行信息傳遞中,安全性和可靠性更高,這就在電子信息工程中有著不可替代的效用。而兩者均處于不斷創新和完善中,可更好的促進社會和經濟的發展。這兩者的共同發展和應用,會給人們的生產和生活帶去更多的便利,因此,必須重視并應用好計算機網絡技術。
2.2安全防護方面
當前,存在諸多的網絡安全風險,如傳輸線路、系統漏洞等。大部分黑客可通過不同手段對某些電子信息工程漏洞實施侵入和攻擊。而此種行為危害性是極大的,不但會危害用戶利益,通過經計算機實現信息傳遞,會給整個電子信息工程造成重大損失[3]。因此,有關專業人員應充分認識并掌握好計算機網絡技術,把各種危險有效隔離于電子工程系統外,即便整個系統中用戶的網絡存在危險,也可及時經電子計算機網絡系統把危害降至最低,通過防火墻避免危害的擴大。比如:在電子信息工程中,有關人員應重視并加強電子信息工程安全防護工資,創建有效的防火墻,構成保護屏障。安全方面通常需要在內、外網間予以維護,這就在專用和公共兩個網絡間創建安全有效的防護網,確保計算機技術得以穩定應用,而其硬、軟件經安全網絡口,保障計算機網絡的安全。
2.3技術應用方面
現階段,計算機網絡技術在電子信息工程的應用主要是廣域網(WAN)技術,該技術有著較廣的服務范圍,可將不同城市、企業的通信網絡予以連接。從當前的發展情況看,廣域網的用戶量日益增加,此種現象對帶寬技術提出了更高要求。從電子信息工程應用計算機網絡技術的實際情況看,光纖具有較高的帶寬,可更為有效的抵抗不同干擾,具傳輸質量高,基本上沒有噪聲,還可以適用于遠距離信息傳輸,因此,廣域網的關鍵線路都是以光纜為主。另外,衛星網絡通信技術有著其獨到優勢,可安裝衛星地面收發站,易拆裝,因此可以將此種技術應用到偏遠山區或未鋪設光纜的區域,進而有效拓展廣域通信網絡。為有效應對地震、水災等災害,應用計算機網絡技術可以實現特殊情況下的應急需要。
2.4設備開發方面
電子信息工程在進行新的電子設備的開發及實現設備間信息共享時,必須應用到計算機網絡技術。可以說,計算機網絡技術直接關系到電子信息的網絡化、一體化,因此技術人員應充分了解電子信息工程的專業知識,掌握好不同數字信號的運行機制。一是通信干線。電子信息工程通常是處在廣域網通信干線后,對于用戶的企業網接口以及接入線是極為重要的組成。在實際應用中,技術人員應明確專用線路和公用線路間的真正區別,并要認真做好相應防護工作[4]。UNIX及其相關衍生系統,現階段在電子信息工程中有極為廣泛的應用,但該網絡體系并未有統一、規范的結構和協議標準,以致于不同計算機網絡間通信越發復雜,很難實現,因此有關技術人員應充分利用好計算機網絡技術,可更好的解決此方面的問題。二是傳播媒體。在郵件傳輸、信息查詢及共享資源等工作中計算機網絡技術發揮著不可替代的作用。當前,大部分科研機構、政府單位和高校,均有應用傳播媒體,該項技術的使用價值得到充分體現,從某種層面上講,計算機網絡技術是現階段國際信息公路的主要代表。三是WEB瀏覽器。計算機網絡技術在互聯網上可實現超文本文件的閱讀,此種過程通過了HTTP超文本傳輸協議,進而可在企業機構內部網絡的各工作站用戶可更好更迅速的查詢到網絡上的各種信息。
3結語
綜上而言,電子信息工程中應用計算機網絡技術日益廣泛,對其創新和發展有著極大的積極影響影響。在實際應用中,應充分把握電子信息工程的性能需求和特點,應用好計算機網絡技術,進一步推進電子信息工程的發展。
作者:董晶晶 單位:河南藝術職業學院
參考文獻:
[1]范習松,張勇.淺析計算機網絡技術在電子信息工程中的實踐[J].科技與創新,2014,11(09):420-421.
[2]趙可佳.淺析計算機網絡技術在電子信息工程中的實踐[J].電腦與電信,2015,14(07):571-572.
隨著信息化的不斷擴展,各類網絡版應用軟件推廣應用,計算機網絡在提高數據傳輸效率,實現數據集中、數據共享等方面發揮著越來越重要的作用,網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,保證網絡信息安全以及網絡硬件及軟件系統的正常順利運轉是基本前提,因此計算機網絡和系統安全建設就顯得尤為重要。
1局域網安全現狀
廣域網絡已有了相對完善的安全防御體系,防火墻、漏洞掃描、防病毒、IDS等網關級別、網絡邊界方面的防御,重要的安全設施大致集中于機房或網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡,形成極大的安全隱患。目前,局域網絡安全隱患是利用了網絡系統本身存在的安全弱點,而系統在使用和管理過程的疏漏增加了安全問題的嚴重程度。
2局域網安全威脅分析
局域網(LAN)是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。由于通過交換機和服務器連接網內每一臺電腦,因此局域網內信息的傳輸速率比較高,同時局域網采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。局域網的網絡安全威脅通常有以下幾類:
2.1欺騙性的軟件使數據安全性降低
由于局域網很大的一部分用處是資源共享,而正是由于共享資源的“數據開放性”,導致數據信息容易被篡改和刪除,數據安全性較低。例如“網絡釣魚攻擊”,釣魚工具是通過大量發送聲稱來自于一些知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息:如用戶名、口令、賬號ID、ATMPIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網站來騙取用戶的敏感的數據,以往此類攻擊的冒名的多是大型或著名的網站,但由于大型網站反應比較迅速,而且所提供的安全功能不斷增強,網絡釣魚已越來越多地把目光對準了較小的網站。同時由于用戶缺乏數據備份等數據安全方面的知識和手段,因此會造成經常性的信息丟失等現象發生。
2.2服務器區域沒有進行獨立防護
局域網內計算機的數據快速、便捷的傳遞,造就了病毒感染的直接性和快速性,如果局域網中服務器區域不進行獨立保護,其中一臺電腦感染病毒,并且通過服務器進行信息傳遞,就會感染服務器,這樣局域網中任何一臺通過服務器信息傳遞的電腦,就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊,但無法抵擋來自局域網內部的攻擊。
2.3計算機病毒及惡意代碼的威脅
由于網絡用戶不及時安裝防病毒軟件和操作系統補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(crimeware)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。2007年,兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年,預計犯罪軟件社區對寄生軟件的興趣將繼續增長,寄生軟件的總量預計將增長20%。
2.4局域網用戶安全意識不強
許多用戶使用移動存儲設備來進行數據的傳遞,經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網,同時將內部數據帶出局域網,這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在內外網之間平凡切換使用,許多用戶將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用,造成病毒的傳入和信息的泄密。
2.5IP地址沖突
局域網用戶在同一個網段內,經常造成IP地址沖突,造成部分計算機無法上網。對于局域網來講,此類IP地址沖突的問題會經常出現,用戶規模越大,查找工作就越困難,所以網絡管理員必須加以解決。
正是由于局域網內應用上這些獨特的特點,造成局域網內的病毒快速傳遞,數據安全性低,網內電腦相互感染,病毒屢殺不盡,數據經常丟失。
3局域網安全控制與病毒防治策略
3.1加強人員的網絡安全培訓
安全是個過程,它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統。從行業和組織的業務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環節落實到每個層次上,而進行這種具體操作的是人,人正是網絡安全中最薄弱的環節,然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理,注意管理方式和實現方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。同時要加強法制建設,進一步完善關于網絡安全的法律,以便更有利地打擊不法分子。對局域網內部人員,從下面幾方面進行培訓:
3.1.1加強安全意識培訓,讓每個工作人員明白數據信息安全的重要性,理解保證數據信息安全是所有計算機使用者共同的責任。
3.1.2加強安全知識培訓,使每個計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數據,保證本地數據信息的安全可靠。
3.1.3加強網絡知識培訓,通過培訓掌握一定的網絡知識,能夠掌握IP地址的配置、數據的共享等網絡基本知識,樹立良好的計算機使用習慣。
3.2局域網安全控制策略
安全管理保護網絡用戶資源與設備以及網絡管理系統本身不被未經授權的用戶訪問。目前網絡管理工作量最大的部分是客戶端安全部分,對網絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網絡內部的安全問題,才可以排除網絡中最大的安全隱患,對于內部網絡終端安全管理主要從終端狀態、行為、事件三個方面進行防御。利用現有的安全管理軟件加強對以上三個方面的管理是當前解決局域網安全的關鍵所在。
3.2.1利用桌面管理系統控制用戶入網。入網訪問控制是保證網絡資源不被非法使用,是網絡安全防范和保護的主要策略。它為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限,網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設備能夠執行的操作。啟用密碼策略,強制計算機用戶設置符合安全要求的密碼,包括設置口令鎖定服務器控制臺,以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據,提高系統安全行,對密碼不符合要求的計算機在多次警告后阻斷其連網。
3.2.2采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上,與網絡的其余部分隔開,它使內部網絡與Internet之間或與其他外部網絡互相隔離,限制網絡互訪,用來保護內部網絡資源免遭非法使用者的侵入,執行安全管制措施,記錄所有可疑事件。它是在兩個網絡之間實行控制策略的系統,是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發現及封阻應用攻擊所采用的技術有:
①深度數據包處理。深度數據包處理在一個數據流當中有多個數據包,在尋找攻擊異常行為的同時,保持整個數據流的狀態。深度數據包處理要求以極高的速度分析、檢測及重新組裝應用流量,以避免應用時帶來時延。
②IP?URL過濾。一旦應用流量是明文格式,就必須檢測HTTP請求的URL部分,尋找惡意攻擊的跡象,這就需要一種方案不僅能檢查RUL,還能檢查請求的其余部分。其實,如果把應用響應考慮進來,可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作,可以阻止通常的腳本類型的攻擊。
③TCP?IP終止。應用層攻擊涉及多種數據包,并且常常涉及不同的數據流。流量分析系統要發揮功效,就必須在用戶與應用保持互動的整個會話期間,能夠檢測數據包和請求,以尋找攻擊行為。至少,這需要能夠終止傳輸層協議,并且在整個數據流而不是僅僅在單個數據包中尋找惡意模式。系統中存著一些訪問網絡的木馬、病毒等IP地址,檢查訪問的IP地址或者端口是否合法,有效的TCP?IP終止,并有效地扼殺木馬。時等。
④訪問網絡進程跟蹤。訪問網絡進程跟蹤。這是防火墻技術的最基本部分,判斷進程訪問網絡的合法性,進行有效攔截。這項功能通常借助于TDI層的網絡數據攔截,得到操作網絡數據報的進程的詳細信息加以實現。
3.2.3封存所有空閑的IP地址,啟動IP地址綁定采用上網計算機IP地址與MCA地址唯一對應,網絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略,可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數據泄密。
3.2.4屬性安全控制。它能控制以下幾個方面的權限:防止用戶對目錄和文件的誤刪除、執行修改、查看目錄和文件、顯示向某個文件寫數據、拷貝、刪除目錄或文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件。
3.2.5啟用殺毒軟件強制安裝策略,監測所有運行在局域網絡上的計算機,對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。
3.3病毒防治
病毒的侵入必將對系統資源構成威脅,影響系統的正常運行。特別是通過網絡傳播的計算機病毒,能在很短的時間內使整個計算機網絡處于癱瘓狀態,從而造成巨大的損失。因此,防止病毒的侵入要比發現和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網的防病毒系統上的,主要從以下幾個方面制定有針對性的防病毒策略:
3.3.1增加安全意識和安全知識,對工作人員定期培訓。首先明確病毒的危害,文件共享的時候盡量控制權限和增加密碼,對來歷不明的文件運行前進行查殺等,都可以很好地防止病毒在網絡中的傳播。這些措施對杜絕病毒,主觀能動性起到很重要的作用。
3.3.2小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺,也可把病毒拒絕在外。
3.3.3挑選網絡版殺毒軟件。一般而言,查殺是否徹底,界面是否友好、方便,能否實現遠程控制、集中管理是決定一個網絡殺毒軟件的三大要素。瑞星殺毒軟件在這些方面都相當不錯,能夠熟練掌握瑞星殺毒軟件使用,及時升級殺毒軟件病毒庫,有效使用殺毒軟件是防毒殺毒的關鍵。
關鍵詞:證券行業;網絡防御;網絡安全
引言
網上證券交易作為當前證券公司最重要的交易渠道之一,交易額比重逐年上升,為證券業務快速發展做出了非常大的貢獻。然而,計算機網絡具有很強的開放性和交互性,因此,在網上證券交易過程中,往往存在了諸多不確定的因素,很可能被他人惡意攻擊,惡意攻擊的方式很多,比如“網絡釣魚”、黑客攻擊或是病毒等等,都會威脅到用戶的安全,因此,加強計算機網絡防御對于證券行業來說,是很必要的。
一、“網絡釣魚”現象的防御
(一)“網絡釣魚”的實施過程
網絡釣魚的原理其實很簡單,就是利用人性的弱點,加之網絡工程的漏洞,通過欺騙手段,騙取用戶的相關信息。(1)建立假冒網上證券交易網站,用戶點擊進入網站,輸入賬號密碼等信息時,這些信息就會被騙走,用于非法活動;(2)惡意分子會通過各種手段誘導用戶方位釣魚網站,而后通過木馬、后門等程序,盜竊信息,而后冒充客戶盜竊資金。
(二)“網絡釣魚”防范思路
(1)黑白名單技術
對有賬號密碼的用戶,將賬號密碼輸入網址與數據庫中的黑名單網站地址和白名單地址進行比對。如果說該網址能再黑名單網址中找得到,那就說明該網站是有問題的,就及時的提醒用戶“可能是釣魚網站”,阻止用戶繼續輸入更多信息訪問該網站。如果該網站中能在白名單中找到,那就說明該網站那是安全的,不提示警告信息,用戶可以放心使用。如果輸入網站地址不在黑白名單中,不提示,但繼續監測。防釣魚檢測的原理如圖1 所示。
(2)嚴格滲透測試交易系統
由于跨站腳本攻擊的事件頻繁發生,因此,交易系統就要進行嚴格的滲透測試,對交易系統的編碼、設計程序等的安全性、完整性都提出了更好的要求。要在數據的輸入點上進行嚴格的數據輸入檢查,避免被輸入惡意的代碼,避免交易網站成為一個重要的風險來源。
二、網絡監聽與加密應對方法
據相關統計數據顯示,程序員編碼過程中,每寫一千行代碼就至少會出現一個漏洞,而這些漏洞就成了黑客們的攻擊點,在證券行業中,黑客們會利用這些漏洞盜取用戶信息,危害客戶財產安全。網絡監聽就是常見的利用系統漏洞進行用戶信息偷竊的方式。
網絡監聽是利用監聽嗅探技術獲取對方網絡上傳輸的有用信息。將網卡設置為混雜模式,對以太網上流通的所有數據包進行監聽,并將符合一定條件的數據包(如包含了字“username”或“password”的數據包)記錄到日志文件中去,以獲取敏感信息。
針對網絡監聽的應對辦法主要是“加密”:一方面可以對數據流中的部分重要信息進行加密,另一方面也可只對應用層加密,但是后者將使大部分與網絡和操作系統有關的敏感信息失去保護。
加密函數的程序如下:
此函數支持的最大密碼長度是16 字節,密文以字符形式的16 進制數輸出,密文長度為明文長度*4。程序使用變量i 控制外層循環,每次循環生成4 個16 進制位。變量j 用于控制內層循環,每次循環將第i個明文字符加上第j 個明文字符的信息共同轉化成中間信息,累加到本次i 循環所處理的中間信息上。每次i 循環所得到的中間信息用取余和求平方的方法進行隨機化,再用取余的方法得到4 個16 進制位。
三、證券行業中網絡病毒防御體系
病毒是影響計算機網絡安全的最主要因素,是危害證券行業網絡的最大隱患,現在木馬、蠕蟲等病毒以及網頁嵌入病毒和惡意軟件等時刻威脅著計算機網絡的安全,因此,加強證券行業網絡安全迫在眉捷。
(一)網絡版殺毒軟件
隨著病毒越來越多,殺毒軟件也就越來越齊全,殺毒軟件是計算機安全防護的重要工具,針對證券行業的特點,可以采用集中與分級相統一的殺毒管理系統,在核心服務器區設置共總部用戶和二級管理層使用的以及管理中心;在各個接入分部部署二級分中心,一級中心統一制定網絡的防殺毒策略,并到各個二級分中心,這些策略包括殺毒策略、報警策略、和升級策略。
(二)硬件防毒墻
網絡版殺毒軟件部署在證券企業網絡內部,它是面向主機設計的,它可以對證券企業內部的病毒進行查殺,能夠在一定程度上保證證券企業網絡系統的安全,但仍然存在很大的局限性,即不能保證病毒從互聯網進入局域網。因此,在證券企業網絡出口增加了硬件防毒墻,防止來自網絡外界的入侵,把病毒拒之門外。硬件防毒墻為企業網絡提供了一個堅固的保護層,是防御病毒、木馬、蠕蟲和惡意軟件攻擊的硬件網絡防護平臺,對采用HTTP、FTP、SMTP和POP3 協議進入內部網絡的文件進行病毒掃描和惡意代碼過濾。防毒墻不但可以保護內部資源不受外部網絡的侵犯,同時可以阻止內部用戶對外部不良資源的濫用。
(三)網絡準入控制(NAC)
移動計算設備(筆記本電腦、PDA 等)很容易在企業網外部感染病毒、蠕蟲和間諜軟件等,當它們接入企業網絡的時候,就會將病毒等惡意代碼在不經意之間帶入企業網絡環境。因此,可以著重從邊界防御、系統加固、認證授權、集中管理四個方面進行設計,將防病毒一級中心服務器與NAC 服務器合并在一起,邊界接入采用支持802.1X 的設備來部署網絡準入控制 (NAC)。網絡準入控制 (NAC)的部署可以防止病毒、蠕蟲和間諜軟件等新興黑客技術對企業安全造成危害。
總結
網上證券交易的發展前景極為廣闊,隨著國民金融意識的增強,未來會有越來越多的金融業務通過在線方式完成,這給網上交易系統帶來了巨大的運行壓力。打造安全性更高的網上證券交易系統,保證信息系統能夠為業務運行提供穩定可靠的有力支撐,就要加強網絡防御的建設。
參考文獻:
關鍵詞:LAN;威脅;安全控制;病毒防治
隨著信息化的不斷擴展,各類網絡版應用軟件推廣應用,計算機網絡在提高數據傳輸效率,實現數據集中、數據共享等方面發揮著越來越重要的作用,網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,保證網絡信息安全以及網絡硬件及軟件系統的正常順利運轉是基本前提,因此計算機網絡和系統安全建設就顯得尤為重要。
一、局域網安全現狀
廣域網絡已有了相對完善的安全防御體系,防火墻、漏洞掃描、防病毒、IDS等網關級別、網絡邊界方面的防御,重要的安全設施大致集中于機房或網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。相反來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡,形成極大的安全隱患。目前,局域網絡安全隱患是利用了網絡系統本身存在的安全弱點,而系統在使用和管理過程的疏漏增加了安全問題的嚴重程度。
二、局域網安全威脅分析
局域網(LAN)是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。由于通過交換機和服務器連接網內每一臺電腦,因此局域網內信息的傳輸速率比較高,同時局域網采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。局域網的網絡安全威脅通常有以下幾類:
(一)欺騙性的軟件使數據安全性降低
由于局域網很大的一部分用處是資源共享,而正是由于共享資源的“數據開放性”,導致數據信息容易被篡改和刪除,數據安全性較低。例如“網絡釣魚攻擊”,釣魚工具是通過大量發送聲稱來自于一些知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息:如用戶名、口令、賬號ID、ATM PIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網站來騙取用戶的敏感的數據。以往此類攻擊的冒名的多是大型或著名的網站,但由于大型網站反應比較迅速,而且所提供的安全功能不斷增強,網絡釣魚已越來越多地把目光對準了較小的網站。同時由于用戶缺乏數據備份等數據安全方面的知識和手段,因此會造成經常性的信息丟失等現象發生。
(二)服務器區域沒有進行獨立防護
局域網內計算機的數據快速、便捷的傳遞,造就了病毒感染的直接性和快速性,如果局域網中服務器區域不進行獨立保護,其中一臺電腦感染病毒,并且通過服務器進行信息傳遞,就會感染服務器,這樣局域網中任何一臺通過服務器信息傳遞的電腦,就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊,但無法抵擋來自局域網內部的攻擊。
(三)計算機病毒及惡意代碼的威脅
由于網絡用戶不及時安裝防病毒軟件和操作系統補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(crime ware)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。2007年,兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年,預計犯罪軟件社區對寄生軟件的興趣將繼續增長,寄生軟件的總量預計將增長20%。
(四)局域網用戶安全意識不強
許多用戶使用移動存儲設備來進行數據的傳遞,經常將外部數據不經過必要的安全檢查通過移動存儲設備帶入內部局域網,同時將內部數據帶出局域網,這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數據泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在內外網之間平凡切換使用,許多用戶將在Internet網上使用過的筆記本電腦在未經許可的情況下擅自接入內部局域網絡使用,造成病毒的傳入和信息的泄密。
(五)IP地址沖突
局域網用戶在同一個網段內,經常造成IP地址沖突,造成部分計算機無法上網。對于局域網來講,此類IP地址沖突的問題會經常出現,用戶規模越大,查找工作就越困難,所以網絡管理員必須加以解決。
正是由于局域網內應用上這些獨特的特點,造成局域網內的病毒快速傳遞,數據安全性低,網內電腦相互感染,病毒屢殺不盡,數據經常丟失。
三、局域網安全控制與病毒防治策略
(一)加強人員的網絡安全培訓
安全是個過程,它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統。從行業和組織的業務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環節落實到每個層次上,而進行這種具體操作的是人,人正是網絡安全中最薄弱的環節,然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理,注意管理方式和實現方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。同時要加強法制建設, 進一步完善關于網絡安全的法律,以便更有利地打擊不法分子。對局域網內部人員,從下面幾方面進行培訓:
1、加強安全意識培訓,讓每個工作人員明白數據信息安全的重要性,理解保證數據信息安全是所有計算機使用者共同的責任。
2、加強安全知識培訓,使每個計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數據,保證本地數據信息的安全可靠。
3、加強網絡知識培訓,通過培訓掌握一定的網絡知識,能夠掌握IP地址的配置、數據的共享等網絡基本知識,樹立良好的計算機使用習慣。
(二)局域網安全控制策略
