网络安全管理研究

网络安全管理研究（共12篇）

网络安全管理研究 篇1

摘要：一、强调建立网络文档和维护文档的重要性。二、针对网络安全, 网络故障的排除策略方法。三、网络设备维护方面的知识以及以太网的一些常识性问题。四、保持网络一致性, 如何着手解决网络故障问题以及深入网络故障并解决的方法。

关键词：网络安全

一、强调建立网络文档和维护文档的重要性

网络文档可以看作我们庞大的网络世界中的北极星, 对于我们具有导航的指导作用。没有网络文档资料的网络是极难理解的, 即使是最优秀的网络维护人员, 处于网络世界中也将会大大增加工作的难度。针对相同的故障, 如果有必要的文档资料, 可能在短期内即可解决问题, 而如果没有文档资料, 则可能需要很长时间, 因为从长远来看, 做一点前期的工作是极有必要的。每种类型的文档资料从自身来看都是很重要的。例如:电缆上的标记、网络电缆还按图和服务器位置的功能图。还有, 保持日志, 便是在记录历史, 也就是说当网络发生故障时, 日志可以提供参考。

二、网络故障的排除

1密切关注网络的变化

很多网络问题是人为改变造成的, 网络管理人员可以从备份文件以及与同事和网络公司的服务人员的交流中找到问题的所在, 甚至不经意的键盘误操作也会严重影响网络.因此, 网络管理人员经常性的考虑一下“最近针对网络都做了什么”, 是很有意义的, 无论这看起来与问题所在多么不相关。在使用一个网络新产品之前, 有必要考虑教学收益与教学风险的大小。

2网络故障的排除方法

A、分而治之

多种原因可以造成网络问题, 利用分而治之的方法, 可以作到:a、利用数学计算找出问题所在。b、通过二分法在很大范围内找出问题所在。c、通过把问题区域一分为二的方法找到问题 (或把一半的因素移出) 。d、几个人分工解决问题。

B、参照法

参照法犹如游戏一般, 是一种有趣的解决问题的方法。其原理在于:在一个网络上有两个或多个项目, 如果一个项目出现故障, 可以将它与正常工作的项目进行比较, 以此来排除故障。

C、SOAP方法:客观方法、主观方法、分析和计划

当考虑一个间歇性而且复杂的网络问题时, 网络管理人员要把主观事物进行分类, 这样有助于问题的解决:

●问题持续时间 (一直还是间歇)

●问题的出现 (日期和时间)

●地点 (在网上、物理位置)

●涉及的用户数量

●工作站的配置 (是否一样于其他)

●应用程序的数目和类型 (能同时运行吗)

●涉及的用户名称、所属的安全小组

●测试结果

●类似的应用程序的运行情况

即使网络管理人员有很多的客观数据, 也不一定能对正确的客观数据进行分析并得出正确的结论。因此, 对复杂的问题尝试几种不同的解决方案也许会带给网管更多的数据。不要放弃, 数据越多就越容易找出答案。

三、网络设备维护1硬件基础

A、针对PC机

一个用户的PC机通常是网络故障的主要症结, 虽然PC机基本上是可插线路板、芯片构成, 而且问题通常可以在它们身上解决, 但在故障排除时不要忽视低层的软件配置。PC机的低层的软件是BIOS (基本输入/输出系统) , 它负责所有的电路板与芯片的相互连接。

B、即插即用

当然, 每个PC机都有可插的扩展卡 (调制解调器、网卡、显卡等) 和微型芯片.这些微型芯片通常分两排, 每排8至l 6个脚, 并配有同样大小的插座。这类组件易物理损伤, 在受热或遇冷时会由于热胀冷缩而产生“芯片蠕变”。很多情况下, 按几下芯片或主板会消除不可靠或间歇性故障。如果这样还不行, 就把组件拔掉再插回, 通常芯片不必这样做, 按一接就行了。

C、系统资源不足

系统资源不够会使任何操作系统都无计可施, 在这种情况下无法进行正确的操作。知道如何证明是否是系统资源引起的故障, 有助于网络管理人员更好的解决此类问题。虽然磁盘内存是否用完会很容易看出来, 而剩余的自由空间的大小最好要周期性地进行检查。首先要记住的是:Windows是动态分配交换空间的, 因此, 如果磁盘空间很小, 交换就变的有些问题了。可以想象交换空间是计算机RAM的溢出区。

2以太网 (Ethernet)

针对本单位实际, 所以探讨的重点是以太网。以太网是一种计算机局域网组网技术, 是遵守一定规则的合用线网络。以太网很容易进行级联, 但不要过分。注意以太网的扩充方式, 如果添加的集线器大多, 就会带来麻烦, 要想得到最佳的效率和良好的可靠性, 需要用交换机将网段分成几个或更少的部分。以太网目前使用的电缆类型, 目前最简单、最可靠的是UTP, 而不是其他类型。

四、保持网络一致性, 深入网络故障并解决之方法。

使用网络组件意味着, 在解决很多局部 (而不是系统) 问题时, 无需了解故障排除技术。另外, 不同种类的组件倾向于有相同的行为。如果它们有一个已知是好的配置, 这将是一件很好的事情。

信息技术的发展为教育的发展插上了腾飞的翅膀, 作为网络世界组成部分的教育网络要继续取得长期有序的发展, 网络安全问题必须得到应有的重视。新形式、新特点, 作为教育网络, 机遇与挑战并存, 发展与进步同在, 在日趋严密与成熟的网络安全管理这一强有力的保障下, 我们坚信教育网络会取得更加深远的发展和壮大。

网络安全管理研究 篇2

由于配电的运行稳定性对人们的日常生活有一定的影响，为了进一步提高运行稳定性，需要解决其中存在的安全隐患，但部分配电企业对安全重视程度不足，导致安全问题频频发生，甚至对工作人员的安全有一定的威胁，为了改善这一现状，需要提高管理力度，完善安全保障体系，提高配电运行稳定性，保障人们能够正常用电。

1配电存在的安全问题

(1)安全意识不高。

配电运行的过程中，存在安全意识不高的问题，具体可以通过以下两个方面来了解，第一，部分配电工作人员的安全意识不强，甚至部分工作人员在线路上晾晒衣服，容易发生线路安全问题，影响人们的正常用电。第二，部分员工对配电工作的了解程度不高，进而在开展相关工作时，没有使用正确的方法进行工作，导致线路容易发生故障问题。

(2)线路存在安全问题。

配电运行的过程中，线路存在安全问题，具体可以通过以下两个方面来了解，第一，部分员工在配电工作中，没有合理控制配电工作量，部分设备在运行时，存在负荷运转、超时运转的问题，导致设备容易发生故障问题，影响正常供电。第二，部分配电企业施工设备过于老旧，甚至设备中的材料质量不达标，导致设备在运行时设备容易出现故障。

(3)安全管理不完善。

机电安全管理研究 篇3

关键词：机电；安全管理；煤业

一、煤业机电安全管理的重要性

随着我国煤矿机械化程度的提高，煤矿机电管理在我国煤矿生产过程中所起的作用日益增强。近现代煤矿机电安全管理不当所造成的煤矿机电事故成为了我制约我国煤矿产业发展的一个重要因素，机电事故多发影响着煤业工作和煤矿的安全生产。因此煤业机电安全管理是保证煤矿工人工作效率和人身安全的基石，对我国的煤炭工业发展水平有着很大的促进作用。

二、对于我国机电安全管理现状的分析

（一）设备管理机制不健全

对于机电管理机制在煤业公司的起步较晚，所以还不能引起管理者足够的重视，大部分煤业公司仍处于粗放式管理状态。尽管每个煤业集团都设立了机电管理科，但机电管理人员的主要精力主要放在应付生产上面，机电管理职能部门作用没有得到充分发挥[1]。相当一部分原因也有管理者在工作紧张时大量调用管理人员，以至于缺乏了机电安全管理的保障。

（二）机电安全培训不正规

尽管机电安全管理被日渐提上日程，并且得到越来越多公司的重视，但其大部分公司对机电安全管理的培训仅仅局限于走过场，抽象理论讲解，工人听不明白，实践操作方法不够具体等方面，因此培训的目的达不到，导致工人们对安全管理的意识淡薄，使机械事故频发。

（三）机电设备都比较老旧，管理不到位

机电安全管理除了制度上的问题，还有便是机电设备管理存在的问题。现在煤业公司对设备的管理还不到位，比如选型、购置、验收、试验、安装等等[2]。加上煤业公司资金短缺，购买新设备往往不能得到实现，且维修和定期维护也得不到经常实现。由于设备老旧，存在的安全隐患也较多，电气设备失爆现象屡见不鲜。

（四）特种意识人员机电安全管理意识淡薄

大部分的管理技术人员都自认为技术高超，安全第一的意识淡薄，时常违章操作，特种工作人员文化技术也不尽相同，安全管理意识贯彻不彻底。

（五）对机电化标准工作认识不足

机电科尽管设有机电标准化管理人员，但对电气管理、电缆管理、小型电器管理、防爆检查、设备管理、配件管理、油脂管理等管理不到位或放弃管理。部分人员也无法做到标准上岗，给安全管理带来极大隐患。

三、针对机电安全管理现状做出对策

（一）提高管理意识，重视机电管理安全

首先，煤业管理领导人要有强烈的机电安全管理意识，同时机电安全管理部门的人员要多向上级汇报工作情况，多提意见，而且管理人员要不断增强自我对机电知识的学习，不断提高自我的管理意识，其中要学习的内容包括对机电设备维修知识、现代设备管理理论和企业管理理论。煤业企业还要向国外或者好的公司学习他们先进的机电安全管理方式，将其应用于自己的企业中去。

（二）健全煤矿机电安全管理规章制度

煤业公司必须制定出符合自我公司的机电安全管理规章制度，主要包括机电设备定期检查机制、安全装置定期检查机制等等[3]。同时公司还需要健全机电设备管理人员工作责任制，保证管理人员能切实的做好检查管理工作，还要切实落实到机电设备是谁在使用，保证使用人员在使用后要进行维护和管理。

（三）提高职工业务技术素质

目前大多数煤业工人技术文化水平都不够，专业知识不够全面。所以公司经常要定期培训工人，培训工人既要学习基础知识，又要当前管理、使用和修理设备的专业技术知识。培训不能只凭空谈，要落实到个人，实现教室满员，每个员工都有学到东西。同时，公司还可以建立激励机制，评定专业技术人员奖并发放奖金，促进工人的学习积极性。

（四）认真考评机电工作质量

认真考评机电工作质量不仅能检验机电人员的工作质量还可以对设备近况有一个及时的反馈，减少机电事故的发生，使设备寿命能得到延长，设备综合利用率高。这也是机电设备管理的一种方式。

（五）加快建设机电信息化建设

对机电设备进行系统的信息化管理，企业可以对其建立起所有设备的检修、保养档案制度，逐步完善大量材料和设备的跟踪保养，建立、健全设备运行档案，逐步建立设备万吨和百万吨产量的材料、配件消耗档案。资料的信息化更有利于管理人员工作效率的提高。

四、结语

总之，机电安全设备不仅是提高我国煤业综合水平的一大重要因素，也是保障我国煤业工人人生安全的保证。健全机电安全设备管理制度不仅是对公司负责，也是对员工负责。作为一个煤业领导人，需要有强烈的安全管理意识和为员工设想的心，企业必须多在公司开展培训活动，加强员工的保护设备意识和提高员工的专业技术含量，加强员工们的安全意识，提高机电设备的利用率并进行合理的维护管理，延长其寿命，对老旧设备必须及早发现及早处理，减少机械事故的发生，为工作人员负责，同时还需要健全机电安全管理责任制，增强员工的责任心，这样不仅能减少设备老化率还能提高工作质量。因此将机电安全管理做好是煤矿企业发展得好的重要因素。

参考文献：

[1] 周忠均.如何减少煤矿机电事故[J].科技信息（科学教研），2007（17） .

[2] 刘利平.煤矿机电现代化的发展意义[J].科技信息（学术研究），2007（25） .

医院网络安全管理研究 篇4

关键词：医院,网络安全,管理

随着计算机技术以及网络技术的发展,网络的安全管理问题在各行业的信息管理工作中都占据着重要的地位。然而不同与其它的领域,网络安全涉及数据杂,端口多,且风险较大。所以网络安全问题需要经过多种手段,多方渠道的共同作用,它是一项动态化系统。近些年,作为主要的医疗服务机构,医院也正在大规模地投入人力、物力及财力进行网络信息系统的建设,从而也取得了重大的发展,并且已经初具规模。通过调查得知,医院的管理人员其计算机水平不高,对系统地安全维护能力差,并且安全意识相对淡薄,从而构成了计算机安全的潜在隐患。文章主要研究计算机网络安全问题,希望可以对医院的安全管理有所帮助。

1 医院网络存在的主要问题

1.1 医院工作人员拷贝数据的时候使用非办公程序从而导致安全隐患的发生

所有在医院的局域网范围电脑都没有安装光驱,并且进行了CMOS加密,无法去使用USB接口。通常来讲,所谓的系统层安全,主要是指在计算机网络操作系统方面存在的安全问题。而对于操作系统与应用程序,其往往会不幸成为黑客攻击的主要对象,同时也是黑客得手的主要渠道。由于在各种操作系统中存在着各式各样的系统漏洞,无论是微软的Windows系统还是其他各种商用的Unix操作系统其实都存在着自身系统的漏洞,这也就意味着在计算机网络安全系统中存在着大量的安全隐患。大部分的医院网络都在使用Windows系统进行业务的开展,而存在于操作系统的漏洞来说,其发现时间和被利用时间越来越短,所以针对操作系统的漏洞问题进行有效的准备是很有必要的。同时医院管理人员也应该积极的去下载并更新各种漏洞补丁,从而及时地有效地对漏洞进行修补完善。

1.2 病毒感染问题

其实每台计算机都存在着被病毒感染的风险。病毒往往有可能会隐藏在程序代码、文件夹等计算机数据中,所以在医院进行信息数据的网络传递及拷贝的过程中均可能会感染的隐藏在文件中的病毒,计算机病毒感染路径如图1所示。而病毒具有极大的危害性,一般型病毒会占用大量的存储空间,会严重地降低系统的运行速率,而有些病毒会导致文件数据的严重丢失,最为严重的就是会引发整个运行系统的瘫痪。医院中有较多的客户端口,如果不能进行及时的病毒查杀,一旦病毒侵蚀,医院中那些隐藏在文件或程序代码中的大量的病毒就会通过网络或者是移动型存储介质等多种途径进行大量的自我复制,实施危害性的传播。情况不算严重的一般就是会占用存储空间,是系统的运行效率明显降低,情况要是严重的话,就会毁坏数据,甚至是会删除所有数据,导致整个计算机系统的瘫痪。

1.3 黑客入侵问题

通常情况下,黑客是通过进行服务攻击或非法入侵等方式实施对计算机系统的入侵。前者会使单台计算机甚至是整个网络系统都陷入一种瘫痪的状态,而后者产生的后果就相对的有些严重。后者会在不同程度上破坏计算机数据,比如删除数据、毁坏数据等。如果医院少数的工作人员通过非法手段或者是黑客对系统进行访问,并且获取到密码,这样同样会严重地威胁到整个网络系统的安全。

2 医院计算机网络安全措施

2.1 防火墙技术

网络防火墙通常作为计算机系统的一道安全可靠的屏障。对于普通电脑来说,加装防火墙配置是最简单、最经济、而且是最有效的安全措施。对于防火墙,指的是由电脑软件与硬件共同构成的,在局域网范围内计算机通向外界之间架设的一道隔离墙,主要是对外界用户访问局域网信息的权限进行有效地限制,以及对内部用户访问外网的权限进行有效的限制。防火墙的设置大大提高了计算机的网络安全系数,一方面有利于对系统内部的网络安全进行有效提升,另一方面可对外界的非法侵入进行有效地阻止。医院可以通过进行防火墙的设置,来重新地划分局域网络的部分网段,对重要的网络区域进行重点有效地保护,进而有效地提升计算机系统的网络安全。

2.2 控制用户访问授权技术、数据的加密设置

用户授权访问控制的应用中最为重要的目的是为了保护系统内的静态数据不受到外界的恶意破坏。此项技术操作通常是在操作系统中进行完成的。而数据加密设置主要侧重于保护系统内的动态信息。更通俗地讲,数据加密技术是指基于符号单元来进行数据的移位或者是数据的置换。而所有的变换都是需要在“密钥”的控制下来有效完成的。DES就是一种非常典型的对称加密算法。在加密与解密过程中要是通过没有任何联系,即随机组成的加密/ 解密密钥对完成加密过程,那么则称之为“非对称加密算法”亦或是“公钥加密算法”,而与之相对应的加密、解密密钥则分别称为为“公钥”和“私钥”。公钥是对外公开的,所有人都能够提高公钥进行加密,然后将密文传递给私钥的持有者。而私钥则是对外保密的,主要用于解密接收到的由公钥加密过后的数据。

2.3 培训管理人员

网络安全是一门新时期的新型的技术,而医院的信息安全目标主要是提高医护、技检、行政等职业部门来共同实现的。网络的安全工作是需要全体工作人员的共同努力来有效完成的。因此,在一些相关的电脑应用软件和系统网络安全方面是很有必要对医院的全体工作人员进行适当地知识培训的,让医院的全体工作人员能够基本懂得对恶意代码的识别和病毒的辨别以及对病毒的查杀能力等计算机应用方面的技术,进而有效地保证医院的内部信息不受到恶意地侵犯,有效保障医院网络系统的安全性,促进医院更为有效的进行计算机网络安全管理工作,使医院能够更好进行医治病人工作。

2.4 加大对医院网络安全管理系统的投资力度

医院的负责人要认识到网络信息系统在整个医院工作中的重要性,医院应该加大投入,不断对系统的软件进行更新,进而来强化系统的功能。在硬件的配置方面,一定要选择有质量保证的设备,而且对于那些相对重要的计算机文件要进行有效地储存备份,严格避免因为硬件的问题而对系统造成影响;对于软件系统,最好是选用那些功能相对完善、且要具有一定抗病毒以及具有数据修复功能的软件,这样就可以在系统发生异常时,相关的有用信息也能够被及时地找回。此外,配备功能健全的杀毒软件同样是至关重要的,这样就能够对来自于病毒的威胁进行有效地防范,尽最大可能地避免客观原因所导致的信息系统受到破坏进而造成的不利影响。

3 结束语

网络社会研究管理的论文 篇5

关键词：网络、信息社会、社会结构、虚拟社会

影响社会变化和发展的重要因素之一是信息的传播。这种传播的决定性因素与其说是传播的内容，不如说是传播媒介本身。由于网络带来的强烈冲击，各国学者都在对网络出现以后的社会从各个角度展开研究探讨。

媒介的社会影响研究“网络”与“信息社会”是两个时髦而又神奇的概念。“信息社会”的概念产生在二、三十年以前，而“网络”则是近几年的新概念。网络从本质上来讲只是一种信息传播的工具或平台，网络的重大意义在于它把越来越多的媒介联系在一起、整合到一起，整出了一个网络时代。信息社会的概念最早由日本学者林雄二郎在60年代末提出。这一概念随着信息科技的发展也发生了几次变化。90年代的“信息社会”则意味着媒介的融合和网络的发展。

关于媒介与社会发展的研究，传统的传播效果研究理论总有些捉襟见肘。从60年代起，西方传播学家就在探索一条更宏观的综合社会研究的道路。这当中，勒纳等人的大众媒介与社会发展的研究，罗杰斯的创新扩散研究等值得重视，这些研究又被称为“发展传播学”。这个课题的提出和第二次世界大战后的东西方冷战有着密切的历史渊源。战后美国推行了“马歇尔计划”即全球发展计划和一系列援外协定。这是一项跨学科、跨国界的研究。丹尼尔·勒纳在其《传统社会的消逝——中东的现代化》(1958)，施拉姆在其《大众传播与国家发展——信息对发展中国家的作用》(1964)书中，他们都提出了基本的理论观点。

这类研究在90年代取得了新的突破进展，其代表人物是美国学者曼纽尔·卡斯泰尔。他给网络下的定义是：“网络就是一组相互联结的结点，结点到底是什么，要依赖于具体的网络而言。比如，在全球金融网络中，他们是股票交易所和其附属的`高级服务中心。网络是一个开放结构，能无限扩展，所有的结点，只要他们共享信息就能联系。一个以网络为基础的社会结构是高度动态、开放的系统，在不影响其平衡的情况下更易于创新”[i]。卡斯泰尔还在《网络社会的崛起》一书中指出：作为一种历史趋势，信息时代的主要功能和方法均是围绕网络构成的，网络构成了我们社会新的社会形态，是支配和改变我们社会的源泉。

日本的信息科学研究把信息技术、计算机科学和社会信息科学整合到一起的综合研究，也在国际学术界独树一帜，值得借鉴和学习。

网络的出现使一直玄玄乎乎的信息社会概念好象一下子找到了定位，似乎网络就是信息社会，一时间“网络社会”、“知识社会”、“信息社会”、“虚拟社会”等等等等，众说纷纭，令人眼花缭乱。那么，我们究竟面对的和即将进入的是一个什么样的社会呢?下面我们从历史发展、社会结构和社会现象等几个视角来审视和思考这一问题。

作为历史发展阶段的信息社会许多社会发展的研究都在致力于怎样清楚地解明从工业社会向信息社会转变的过程和轨迹，给信息社会描述一个清晰的轮廓。但是这似乎并不是一件容易的事。

一种观点认为信息社会是继工业化社会以后的新的社会发展阶段。丹尼尔·贝尔是其代表人物，他在70年代发表的《后工业社会的到来》一书，提出了“有关西方社会的社会结构变化的一种社会预测”[ii]。但是，贝尔显然把握不住这一历史转折的深刻程度，无法以准确概念加以概括，所以用“后工业社会”一词来表述。贝尔之后，有托夫勒的《第三次浪潮》、奈斯比特的《大趋势》、莱昂的《新信息社会论》等很多有关信息社会的研究，但大多数研究并没有在贝尔的基础上前进多少，并没有解释清楚这种转变的过程和环节，也没有弄清楚推动着社会和经济转变的动力是什么。

日本学者长谷川把一个国家的现代化过程分为若干个发展阶段。信息化是继工业化、城市化、民主化、国际化等社会发展过程后的一个新阶段和新课题。见图1的描述。

信息社会的概念与信息化的概念是有一定区别的。信息社会是对社会的静态的描述，而信息化则是对实现信息社会目标的社会动态变化过程的描述。然而，两者又不是截然分开的。信息社会是信息化的结果，信息化过程总是与一定的信息社会模式联系在一起。“条条道路通罗马”，信息社会可以采取不同的信息化模式来实现。信息化是一个世界潮流，每一个国家、每一个民族，都以自己的方式，按照不同的道路，或快或慢地，或是较顺利、或是非常艰难地向信息社会这一目标迈进，在这个过程中也形成了不同的信息化模式。

在信息化的研究方面，卡斯泰尔也提出了一些富有创见的观点。他认为信息社会的形成是由一种新型的社会技术组织和资本主义重组所决定的，而新技术的运用和它们对社会组织的影响又决定了重组过程的特色[iii]。我们通过他的信息化理论得到一个启示，即除了科学技术的发展对一个国家的信息化产生直接影响外，由科学技术所带动的社会发展本身也会对信息化的进程也产生深远影响。

作为经济发展模式的信息社会社会结构分析是社会学和经济学研究惯用的方法，一般可以从经济、政治、文化等几个方面来分析一个社会的结构和特征。信息社会的结构特征表现为以下几个方面。

1、经济结构

信息时代的经济结构将从以工业为中心转向以信息产业为中心。我们可以从三个产业的比例构成中分析出来，也可以从就业情况分析出来。信息化还将促进产业结构的优化，这主要表现为信息的产业化与产业的信息化。一方面，被称为“第四产业”的信息产业正在迅速扩张，一系列与之相关联的新行业正在从无到有地迅速发展起来;另一方面，传统产业在数字技术革命的推动下正在不断地被信息化。从而使国民经济中信息生产所占的份额和劳动力比率逐年增加，直到超过农业、工业或服务业的比例。比如，英国、美国和意大利这三个国家在1970-1990年间制造业迅速下降，其下降幅度分别为35%下降到23%，26%下降到18%、27%下降到22%，同时农业日趋萎缩甚至消失。

信息化也使社会劳动就业结构发生变化，这表现为从事物质生产和体力劳动的人员逐渐减少，而从事信息生产和信息服务的人员逐渐增多，因此，人们把信息劳动者占社会劳动力的比重超过半数当作衡量一个社会是否进入信息社会的标志之一。

信息化这不仅是发达国家所要达到的目标，也是广大发展中国家所要达到的目标，因此，信息化的过程在很多国家往往表现为一种积极的社会发展规划。

2、政治结构

网络时代的政治结构的主要特征表现为信息的权力化，社会组织结构将进行大调整、大重组。传统的金字塔型、铁板一块和官僚型的组织框架被打破，代之以快速应变、灵活机动的网络化组织机构和形式。信息和信息技术是社会发展的主要动力，它也是新的权力源。信息社会的权力斗争将会围绕着争夺信息源展开，现实政治将不可避免地受到信息流的冲击，并将在国家之间以及社会水平上普遍表现出来。由于不同团体、阶层和个人的条件的不同，掌握信息资源的机会和能力是不同的。正如美国里根政府所明确表白的：“我们知道在现代世界上，对信息的处理和控制是实行征服的最重要武器之一。”

3、文化结构

由于信息环境多元化，网络时代的文化结构从中心文化转向多元文化。这可以从社会思潮和社会时尚的多样化来分析。信息社会与工业社会相区别的一个关键特征是，它没有停留在产业、劳动、科学、技术研究领域内的深化上，而是向教育、福利、娱乐、交往等广泛的精神领域和日常社会生活领域扩展。也就是说，它正向我们的整个生活渗透，我们的生活也被信息化了。

信息时代人的生活方式的变化首先表现在人们对待社会生活态度上发生的变化。在工业社会时代，人们注重效率、追求物质享受，用世俗的、理性的态度来思考和安排自己的生活。而在信息社会时代，人们更注重精神、更注重情感、更崇尚冒险。

作为一种新社会现象的虚拟社会网络的发展不仅深刻地影响着我们的社会系统和经济结构的变化，同时还在影响着社会空间结构的变化，最显而易见的现象就是我们能看到的一些大都市的变化。纵横交错的网络使这些城市变为二元化，出现了一个虚拟的社会，信息化城市的崛起成为必然。在这个过程中，城市失去了原来的城区概念，突破了原有的物理空间，向郊区拓展，由信息网络构成的流动空间正逐渐取代原有的城市空间。在流动空间中，新的产业和新的服务性经济根据信息部门带来的动力运行，然后通过信息交流系统来重新整合;新的专业管理阶层控制了城市、乡村和世界之间相互联系的专用空间;生产和消费、劳动和资本、管理和信息之间发生着新的联系，从而创造出新的全球化经济。

虽然未来学研究的观点已经指出，由于卫星和光纤网络等通讯技术的发展，城市的版图在悄悄扩张的同时将逐步走向分散化，但这个变化的实际过程十分复杂，导致这一变化的因素也有很多，信息技术不过是其中的一种因素，我们必须深入地剖析这一变化过程和各种因素，才能理解新的空间结构的合理性和它的现代含义。

在网络社会的环境中，社会生产关系不再是一种实际存在，资本进入了单纯循环的多维空间，而劳动力由一个集中的实体变为千差万别的个体的存在。这也就是说，资本是在全球化的而劳动力则是个别化的。“从更广阔的历史前景看，网络社会代表了人类经验的巨大变化”。[iv]。那么，如何将原有的城市空间和新的流动空间连接起来呢?这需要在三个层面上把社会发展和空间规划进行同步结合：经济的、政治的和文化的。

在文化这一层面上，地方城市社会是从领土上加以界定的，应该保护它们的个性，保持它已建立的历史根基，而不管其经济和职能是否存在对信息空间的依赖。同时，城市也必须与其他城市保持充分的交流，克服部落主义的危险。

工业时代的社会机制在信息时代失去其意义和功能。财富、生产及金融的国际化使人们感到不安，他们无法适应公司的网络化和工作的个体化，而且又受到各种挑战。对家长制的挑战及家长制家庭的危机使文化失去了有序性，使个人不再感到安全，人们得不到心灵的慰藉和真实而神圣的东西，从而去寻求新的生活方式。

在对城市的虚拟空间进行管理和控制的过程中，政府仍然担当着重要角色。它只有通过强化自身角色才能对经济和政治组织施加影响，从而恢复地方社会在虚拟空间中的意义。

总之，网络等信息科技的发展把人类带入了一个新的时代。有些国家已经开始进入信息社会，更多的国家正在向信息社会过渡。这个过渡的过程一般被称之为“信息化”。信息化是一个深刻的社会变迁过程，在这个过程中，社会的政治、经济、文化等各个方面都将发生革命性的变化，经济结构从工业为中心转向信息产业为中心;政治结构从金字塔型转向网络型;文化结构从中心文化转向多元文化，后现代主义思潮是其代表。

因此，我们可以这样来理解信息化：信息化就是在现代信息科技发展的推动下，由工业化社会或其他发展阶段上的社会向以信息产业为主导和信息媒介高度普及的社会演进的过程。在这个过程中，，传统的物质生产方式逐渐收缩，被信息型、服务型生产方式所代替，知识和信息的作用大大突出。伴随着信息化进程的是整个社会的结构发生根本性变化，社会面貌和生活方式也发生巨大变化。

注释:

[i]ManuelCastells,TheRiseoftheNetworkSociety,p469,BasilBlackwellLtd.,.

[ii][美]丹尼尔·贝尔：《后工业社会的来临》P14，商务印书馆，1984年版。

[iii]ManuelCastells,theInformationalCity,p7,BasilBlackwellLtd.,1991.

计算机网络管理及安全技术研究 篇6

关键词：计算机网络；管理；安全技术；分析

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 (2012) 09-0000-02

随着科学技术的迅速发展，我国已步入以网络为支撑核心的信息时代。然而，在科学技术繁荣发展的背后，一系列安全问题也引起了人们的关注，可以说，计算机网络既是社会发展的有效推动力，其自身存在的安全问题也给人们带来了新的挑战，成为当前摆在计算机网络应用面前亟待解决的问题。因此，对计算机网络管理及安全技术进行研究，对其相关内容加以明确十分必要，对于计算机网络的长足、稳定发展和更好地服务社会具有积极的现实意义。

一、计算机网络管理

（一）故障管理分析

一个可靠、稳定的计算机网络是每个用户都希望的，当某个网络部件出现实效情况时，要求网络管理系统能够将故障源迅速排出，并作出及时地处理。通常来讲，故障管理包括检测故障、隔离故障、纠正故障三方面。其中故障检测是以对网络部件状态的相关检测为依据的，一般情况下，错误日志中记录简单的非严重故障，且不需作特别的处理。而对于一些严重故障时，则需要进行报警，即向网络管理操作员发送通知。网络管理应用应以相关信息为依据，来实施警报处理，当遇到较为复杂的网络故障时，网络管理系统应通过一系列的诊断测试来对故障原因加以辨别。

（二）计费管理分析

计费管理是对使用网络资源的记录，其目的在于对网络操作代价和费用的控制与检测。这一管理形式在一些公共网络的应用中表现的尤为重要。通过计费管理可对使用网络资源需要付出的代价与费用进行估算，并对所占用的资源加以明确。同时，网络管理员还可对用户最大使用费用进行规定，从而对用户对网络资源的过多占用进行控制，从而间接促进了网络效率的提高。

（三）配置管理分析

配置管理是计算机网络管理中的重要内容，它对网络进行初始化，并实施网络配置，从而实现网络服务的提供。配置管理是集辨别、定义、控制、监控于一体的管理形式，具备一个网络对象必需的功能，其管理实施的目的在于实现网络性能或某个特定功能的优化。

（四）性能管理分析

性能管理是对系统通信效率、资源运行等性能的相关统计，其性能机制是对被管网络及服务提供的监视与分析。对于性能的分析结果可使得某个诊断测试被处罚或网络重新配置，进而对网络性能进行维护。性能管理对当前被管网络的状态数据信息进行收集于分析，并进行对性能日志的维护与分析。

（五）安全管理分析

安全性向来是计算机网络的薄弱环节，加之用户对于安全性的高要求，使得网络安全管理的受重视程度也来越高，且扮演者越来越重要的角色，其管理的实施主要是应用网络安全技术，来为计算机网络的应用提供有力保障。

二、计算机网络安全影响因素

计算机网络的安全影响因素主要包括以下几个方面：第一，非授权访问。主要指的是对信息资源和网络设备进行的超权限使用或非正常使用；第二，假冒合法用户。主要指的是通过各种欺骗或假冒的非法手段来获取合法的使用权；第三，破坏数据完整性。第四，拒绝服务。当授权实体在进行应有权限访问或紧急操作时出现延迟时，其服务就会被拒绝；第五，病毒威胁。对信息系统进行有意、无意的破坏、修改，或在不能监听和非授权情况下进行数据的修改。随着计算机网络普及率日益提升，人们对计算机网络已形成一定的依赖性，而计算机病毒作为计算机发展的负面产物则对计算机网络的应用构成了严重的影响和威胁。

三、计算机网络管理安全技术

（一）身份认证技术

这一技术是确认通信方身份的过程，即用户在向系统发出服务清楚时，须对自身身份加以证明。通常情况下，身份认证技术以生物技术、电子技术或两种技术相结合的方式来对非授权用户作阻止进入处理。身份认证的常用方法有智能卡技术、基于认证第三方的认证机制、口令认证法等。通常来讲，授权机制是同身份认证相联系的，服务提供方在确认申请服务客户的身份后，就需对其访问动作授予相应权限，从而对客户访问范围进行规定。

（二）防火墙技术

综合性是这一技术的特点，其实质是对网络的出入权限进行控制，迫使全部链接均经过检查，来防止网络受到外界的破坏和干扰。作为一种控制隔离技术，防火墙技术通过在机构网络与不安全网络间相应屏障的设置，来对非法访问作出阻止，或应用防火墙来防止企业网络重要信息的非法输出。通常情况下，企业在企业网与互联网间设置防火墙软件的目的是为了维护企业内部信息系统的安全性，企业信息系统通过选择性的接受来应用来自互联网的访问，它可以禁止或允许一类的具体IP地址实施访问，也可拒绝或接收TCP/IP上某一类具体IP的应用。

（三）加密技术

电子文件具有易传播、易扩散的特点，容易造成信息的失密。为防止这一情况的发生，就需要应用加密技术来对网络中正在传播的电子文件或数据库存储的数据进行保密，从而使得非法借或者不能获悉文件中的内容。现行网络传输中，“双密钥码”加密是通常采用的形式，通信者同时掌握公开密钥和解密密钥，只要解密密钥不泄漏出去，第三者要想破密就存在很大的难度。所以，即使电子文件受到非法截取，其内容也不会被泄漏，从而避免了电子文件自身特性带来的弊端。

（四）入侵检测技术

入侵检测是对面向网络资源和系统资源的未授权行为作出识别与相应，从而对当前网络和系统的安全状况加以明确。入侵检测技术具有监视系统行为与用户、系统配置审计、数据完整性与敏感系统评估、攻击行为识别、统计异常行为、系统相关补丁的自动收集、违反规定行为的审计跟踪、黑客行为记录等功能，从而使系统管理员对可疑访问进行有效地监视、评估与审计。

（五）反病毒技术

计算机病毒的实质是一段破坏性极强的恶意代码，其将自身纳入到程序当中，从而在隐藏自己的同时，进行复制与传播，进而对用户数据与文件造成破坏。在反病毒技术中，存在一种特征值查毒法，通过对病毒样本的获取，来针对其特征值对内存和各个文件进行扫描，即针对性地病毒解除。随着反病毒技术的进一步发展，虚拟机杀毒技术、启发式扫描技术相应出现。其中启发式扫描技术是通过辨别病毒同普通程序的差异，来对每一类病毒特征进行加权，从而使得程序早遇到这类特征时，便会通知杀毒软件实施报警。

四、结语

当前，计算机网络的应用日益普及，其在带给人们巨大便利的同时，也带来了一定的隐患，网络安全问题愈加严峻起来。明确计算机网络管理内容，并基于网络安全影响因素，来强调计算机网络安全技术的合理有效应用，从而使得计算机网络安全问题得到有效地解决，为计算机网络日后的发展与应用奠定坚实的基础。

参考文献：

[1]常莉.计算机网络安全技术的探讨[J].中国管理信息化,2010,22

[2]邢运欣.关于当前计算机网络安全技术的相关探讨[J].中国电子商务,2011,12

[3]唐垒.计算机网络管理及相关安全技术分析[J].电子世界,2012,3

[4]王航.计算机网络管理的功能及应用之探讨[J].企业科技与发展,2011,8

[5]张丹.对计算机网络管理的认识[J].黑龙江科技信息,2011,33

[6]郑伟.计算机网络管理与安全探究[J].读写算（教育教学研究）,2011,17

[作者简介]

涉密网络安全管理对策研究 篇7

关键词：涉密网络,安全管理,对策

1 引言

信息网络广泛应用的同时,网络安全问题一直层出不穷,对涉密网络的安全提出了更高的要求。目前,大多数涉密网络对外安全防护程度较高,一般均综合配置了防火墙、安全网关、入侵检测、信息加密等设备,较好地实现了对来自外部入侵的安全防护,但来自内部网络的安全事件频频发生,使涉密网络内部管理面临着严峻挑战,因此,如何加强涉密网络安全管理值得深入研究。

2 应采取的对策

2.1 严格法规制度,筑牢思想防线

严格的规章制度是实现网络安全的重要保证,是规范涉密网络管理的依据和保障。一方面,要健全法规制度。依据国家相关法规和有关规定,有针对性地制定适合本单位实际的措施、制度,建立网络安全管理机制,细化原则性的规定、标准和要求,明确分工及相应的安全职责,将制度建设渗透到涉密网络建设、使用、维护、管理等各个环节,建立完善网络建设、终端接入、开通运行、涉密信息发布等制度,健全网络安全保密检查评估机制,实行涉密信息集中管控。另一方面,要抓好制度落实。制度关键要靠人来具体落实,许多单位在网络运行管理和使用中,更多的是考虑效益、速度和便捷,而对安全、保密重视不够,因此,要深层次地增强网络安全观念,认识到信息安全防护工作不仅仅是技术人员的“专利”,更需要所有相关人员来共同防护。

要教育培养网络安全意识, 掌握信息安全知识,学会“防什么、怎么防”,坚持不懈地抓好各项制度落实,调动人员的积极性和主动性,构筑牢固的思想防线。一是开展以提高技术防范能力为目标的知识教育,大力普及计算机信息安全保密知识, 增强网络安全防护意识,丰富安全防护知识。二是开展以规范涉密网络安全管理为重点的法规教育,熟悉相关规定和要求,提高遵章守纪的自觉性。三是开展以强化信息安全观念为主题的警示教育,认真汲取近年来网络和涉密载体失泄密案件的教训,营造群防群治的良好氛围。四是定期进行网络安全检查,排查隐患,及时整治,对发生频率较高、整治较困难的问题反复抓,直到彻底纠正。特别要严格涉密网络信息管控,使涉密信息从产生、流转、使用到销毁形成完整的“闭合回路”,将网络安全管理相关内容纳入单位及个人工作考评中,对发生的安全事件,依照有关规定进行问责。

2.2 配套人员设施,健全防护体系

合理调配人员,建立网络安全专职机构,主要负责网络安全系统配置、网络安全设备维护、网络安全监督检查等,对各类可能发生的网络安全事件制订相应的应急处置预案,并能够及时有效处置,针对存在的安全隐患提出整改意见。

构建涉密网络安全防护体系必须实现几个目标:网络系统稳定、可靠运行,具有可审查性,能够进行权限管理,杜绝非授权用户使用未授权信息;网络中的信息在传输、交换、存储和处理过程中保持完整性和原样性。当网络系统遭受攻击或破坏时,能快速响应、迅速恢复使用。据此来制定网络安全策略,对照安全策略查找安全“短板”,选用相应的安全软件、硬件加以弥补,构建覆盖用户终端的安全防护体系。

一是加强涉密服务器安全防护, 采取网络访问控制、包过滤、代理服务、审计跟踪、信息确认、密匙安全、身份鉴别、入侵检测、漏洞扫描、病毒防范等技术,操作系统进行安全配置,严格控制不同用户访问网络资源的权限,开启系统各类监控审核日志,确保服务器安全。

二是加强涉密终端安全防护,为涉密终端配备电子干扰器,配置IC卡或USB加密狗等用户认证设备,采取主机登录控制、端口权限绑定、外联监测封堵和安装内网综合防护系统等措施,对网络运行和终端操作行为进行实时监控,防止非授权计算机接入涉密网和“一机跨两网”;正确设置管理策略等措施,封堵外设接口,防止非授权电子设备接入拷贝数据。

三是加强网络设备安全防护,使用经过权威部门安全认证的设备, 通过网络接入控制系统, 为网络用户提供统一的身份认证和授权机制; 合理划分虚拟局域网, 实现对内网、外网和内网各区域间数据包的过滤;使用漏洞扫描定期检查系统安全隐患,针对安全分析报告组织整改;防火墙启用防抗网络攻击功能,交换机采取端口与IP地址绑定、网卡地址与机端口绑定、关闭远程登录、设置端口禁用、启用安全认证、更改默认密码等措施,增强网络整体安全性。

2.3 严格入网审批,规范终端管理

入网终端的管理是整个涉密网络安全管理工作的重头戏,主要目标是禁止未经授权计算机和移动设备违规接入, 防止涉密网络计算机与外部网络建立非法外连,控制移动存储载体在涉密网络的使用等。

一是严格把好终端用户入网审批关,实行入网申请审批制度。管理部门认真核查终端用户入网资格,对准许入网用户的使用人信息、位置坐落、计算机终端情况、IP地址、MAC地址、上联交换机端口等信息进行详细登记,建立实名制上网登录帐户,发放身份令牌。

二是严格IP地址管理, 明确IP地址申请和发放流程、IP地址变更流程、IP地址非法使用处罚制度,严格控制用户设备入网及网址变更。用户网络信息的改变必须提前上报,经主管部门审核批准后,方可更改。

三是建立终端用户信息基础数据库,信息项目设置尽可能详尽,一般可包括用户本人自然情况、使用终端的配置情况、网络资源分配记录、上网地点、终端维护记录及用户行为记录等信息,这些信息将成为用户信息管理、用户网上行为监控及安全事件定位的基本依据。

四是完善技术措施,及时监督和纠正用户在入网操作中的违规的行为。实行“全网先封闭,审批再开放,多参数捆绑,全时域监控”的管理模式,杜绝随意入网的问题,从开放式入网转变为封闭式管理。依托主机监控系统,对终端的登录、外设、网络、进程等实施精细管理控制,严把信息传递流程。定期对接入涉密网络的计算机终端进行身份鉴别,阻止未授权的计算机终端接入和访问内部网资源;通过建立违规外联特征行为模型,实时扫描内部网络所有在线主机情况,检测并确认违规外连主机, 实时监视网内受控计算机通过普通电话线、ISDN、ADSL等方式拨号上网行为, 检测通过无线方式非法上网的行为。强制推广使用“涉密电子文件标签和水印管理系统”,必要时禁用USB端口、光驱等外设接口,严防涉密计算机违规上网、涉密载体非法外连、个人存储载体随意拷贝等行为。采用口令加密、数字签名和指纹识别等技术手段,分级控制内网用户的使用和访问权限,防止非法用户窃取涉密资料。

2.4 加强安全监测,做好重点防范

根据网络安全形势的变化和技术的发展,不断调整和补充新的技术手段,建立一个综合监管平台,使既有的入侵检测、漏洞扫描、补丁分发、主机监控、防病毒等系统形成整体合力,对网络攻击、病毒传播、有害信息发布等内容进行全面监测, 实时采集整个网络的基础数据,通过对网络的信息汇总、统计和分析,为网络安全提供数据支持。通过网络可靠运行监测、漏洞扫描、木马检测、攻击事件监测等,查找网络中的薄弱环节,分析网络的安全状况, 有针对性地制订安全策略,一旦有安全事件发生,发出实时告警,迅速准确地定位事件来源,进行应急处置。

在全面防范的基础上,重点把住网络攻击和病毒破坏关口,紧盯移动载体使用。更新完善防火墙、入侵检测和防病毒系统,定期检查漏洞扫描、网络监测预警,对终端运行资源、异常流量、异常进程进行监控与管理,一旦发现网络病毒、对外扫描、对内攻击、流量异常等安全事件隐患,按照早发现、早报告、早处置的原则,快速有效地定位网络事件引入点,采取技术手段追查非法攻击来源,及时、准确分析、定位和隔离,恢复或重建被破坏的系统。重要系统须存有备份,一旦遭受破坏性攻击,应立即停止系统运行,检查日志资料,确认攻击来源,采取有效措施,恢复软件系统和数据。

还要规范移动存储体质使用管理,严格涉密计算机及存储介质管控, 实行淘汰报废涉密载体审批上交、离岗保密审计等措施, 实施全寿命户籍式精确化保密管控,严防在涉密网与非涉密网之间交叉使用,严格办公类电子设备保密管理,对涉密移动存储介质进行加密注册使用,区分明密,专网专用。确需在涉密网和非涉密网之间、内网和外网之间传递资料时,可采用文档打印法、U盘或移动硬盘转换法、安装数据单向传输设备、光盘刻录法进行间接操作,防止交叉感染病毒,遭受“摆渡”木马程序攻击泄密。

3 结束语

网络安全与管理技术的研究 篇8

专业的建设是为人才培养目标服务, 课程的建设是为专业课程体系服务。计算机网络技术专业从“建网”、“用网”和“管网”3个不同角度分别设置相应的课程, 如果用一棵树形容计算机网络专业的课程, 《网络安全与管理技术》课程相当于树干, 起到承上启下的作用, 无论“建网”中的设备管理, 还是“用网”中的网站设计、数据库设计, 都需要《网络安全与管理技术》课程中的知识作为支撑。《网络安全与管理技术》也对这些课程有更好地促进作用, 所以《网络安全与管理技术》课程在计算机网络技术专业课程体系中起着“核心”作用, 是专业核心课程。

2 课程设计的理念与思路

通过与企业的合作, 充分利用企业的资源, 与企业共建人才培养方案、课程体系和实训环境、模拟真实的工作环境、重现企业的工作过程。在具体的教学中, 采用多种教学方法和多种教学手段。实训室维护、参加校园网管理、顶岗实习、参加各种技能大赛;教师参加各种培训, 最终达到良好的教学效果。

2.1 与企业共建人才培养模式

通过聘请企业的专家、工程技术人员召开专业教学标准研讨会, 听取专家的建议, 根据企业用人的标准要求, 进行课程的开发, 并根据企业的工作过程和要求进行课程体系和内容的开发, 使得学生在学习的过程中就进行一定的职业教育和培养。

2.2 与企业共建先进的课程体系

通过与思科网络有限公司、神州数码网络有限公司和华为3COM有限公司等著名IT企业紧密合作, 通过他们的帮助, 获得最新的技术更新和对教师的培训, 并提供企业培训的课程体系和资源, 结合国际IT认证的课程体系标准, 以“网络安全管理”为核心能力, 形成了满足岗位能力需求、适应高职学生特点的课程体系。使学生认真完成本课程内容的学习后, 能更好地完成网络安全管理与维护方面的工作, 并为以后通过CIW、CCIE等国际认证打下基础。

2.3 与企业共建实训环境

为了满足教学和科研的需求, 我们与企业技术人员一起讨论实训室方案、设备的选择, 共同建设了实训室, 购进了神州数码网络有限公司的堡垒服务器、思科网络有限公司和星网锐捷网络有限公司等网络安全设备, 并进行了系统的攻击与防护技术实施, 满足了学生将来工作岗位与在校学习环境的一致性, 充分体现了职业性、实践性、开放性的要求。实训环境可以完成《网络安全与管理技术》的全部实训和教师科研的需求, 为教学和科研的发展提供了载体和平台。通过与企业的深层次合作, 在人才培养方案、职业岗位能力、课程体系、实训室建设方面都得到了提升, 为培养学生的职业能力奠定了良好的基础。

3 教学内容设计

3.1 确定工作领域

认识到加强全球网络安全的紧迫性和长期性, 国际电联提出把38届世界电信日的主体确定为“推进全球网络安全”。网络安全越来越受重视, 但是培养什么样的网络安全人才, 为学生培养什么样的能力, 怎么样实现这样的能力, 是课程设计中最为重要的部分。通过对社会和经济发展的分析, 通过与企业专家、行业协会和用人单位的讨论, 了解毕业生反馈信息等, 确定《网络安全与管理技术》课程的行动领域是“培养能够解决各行业中实际问题的网络安全管理员”。

3.2 岗位职业能力的分析

通过与企业专家的讨论, 并征求专业委员会专家的建议, 参考企业招聘“网络安全工程师”的能力要求, 结合国际权威认证的培训体系, 对计算机网络安全岗位的工作能力进行分析, 进而确定学生的学习能力。如图1所示。

在这些能力的培养中, 我们更注重学生基本素质的培养, 专业能力是发展的基础, 方法能力是发展的保证, 这些就构成学生的关键能力。

3.3 确定学习领域

确定学习领域的指导思想主要有:

(1) 从岗位能力要求出发, 决定学习领域内容。通过教学活动, 使学生获得工作过程中所需要的职业能力和职业素质。

(2) 基于工作过程选取教学内容。在网络安全中“攻与防”一直是矛盾的焦点。在工作中, 只有了解攻击的原理、方法, 才能更好地防范。因此, 首先安排一些黑客攻击方法的内容, 然后安排安全防护方面的知识。操作系统是网络应用的一个平台, 第3部分安排操作系统安全机制和安全配置, 完成了前3个部分的内容, 最后是网络安全工程实现, 完成一个完整的工作过程。

(3) 建立与真实工作环境一致的教学情境。确立校园网和实训室为工作平台, 再根据不同能力的需求, 设置教学情境。

(4) 教学内容的选取遵循“采用新技术”的指导思想, 根据学习领域更新快的特点, 保证教学平台和教学内容, 都要与行业的最新技术接轨。

(5) 教学内容的选取要考虑学生的可持续发展, 为学生提供自主学习的平台和资料, 鼓励有能力的学生考取安全工程师认证。基于这样的指导思想, 按照实际工作过程, 确定学习领域的内容, 突出实际操作, 强调实际工作过程, 注重培养学生的能力, 为学生设计好学习与工作一致的学习情境, 以真实的校园网和实训室为背景, 按照“攻击、防护、系统和管理”的顺序设计学习情境。

4 结论

本课程开发依据职业技能大赛经验, 以校园网和网络技术实训室为平台, 进行完整工作过程设计, 设计了攻击、防护、系统和管理4个学习情境, 做到了学习过程和工作过程的一致性, 以学生职业能力培养为中心, 实现“教、学、做”一体。每个学习情境以任务驱动方式进行实施。通过本课程的研究, 培养掌握最前沿高级信息安全的实用技能型人才, 突出网络信息安全事件处置能力的培养, 加强网络安全技术应用与管理能力、信息安全事件处置能力。通过该课程的开发建设, 学生通过课程的“教、学、做”合一的训练, 逐步完成从基本技能培养→岗位能力建立→岗位能力提升及强化3个层次职业能力的3次提升。

摘要：为了培养全方位信息安全技术人才, 在网络安全与管理技术教学课程中应该将“教、学、做”进行整合。在课件开发的过程中, 教师可以以实训室为平台, 通过进行完整的设计, 创建出四个学习情境, 有攻击、防护、管理、系统, 从而做到了在学习的过程中与实际工作过程的一致性, 网络安全与管理技术课程教学主要是以培养学生的职业能力为核心, 实现“教、学、做”三位一体的教学。

关键词：网络安全与管理技术,教学

参考文献

[1]万佳佳.网络安全管理技术研究[J].信息系统工程, 2014, 07:65.

高校网络安全管理问题与对策研究 篇9

在我国的高校中, 网络的普及和应用为广大师生的教学、科研及生活带来了极大的便利, 但是, 网络的应用也存在着一定的安全隐患, 尤其是近年来校园网络安全问题频发, 使我们不得不加强对高校网络安全问题的重视程度。在当前信息技术环境下, 高校正常工作的开展已经离不开网络, 因此, 对高校网络安全管理问题进行研究, 对于保障高校日常工作的开展、维护网络安全意义重大。

2 高校网络安全管理的概念

网络安全指的是在网络系统中, 一些相关的软硬件系统及数据不被恶意攻击、破坏或者篡改, 从而确保网络系统的正常运行, 保障网络能够持续高效地为使用者服务[1]。网络安全问题涉及多种学科知识, 其本质就是确保网络信息的安全可靠, 也就是要保证网络信息的完整性、保密性、可控性、可用性以及可审查性。网络信息安全的性质具体如图1所示。

3 高校网络安全管理中存在的问题

3.1 学校管理层对网络安全管理问题不重视

我国大部分的高校都有专门的网络中心或者专门负责网络信息的部门, 主要是对学校网络系统和技术、网络开发与维护等进行管理, 处理学校网络中出现的问题。然而, 很多高校领导阶层对网络信息管理的认识程度不够, 一般对网络的要求只是能够使用即可, 根本不关心安全问题。事实上, 对于校园网络安全管理的工作应该由校保卫处负责, 制定具体的管理方式。但是由于学校领导者的不重视, 使得学校保卫部门对这一问题更是忽视, 因此, 他们只负责学校日常的治安工作, 对于网络管理工作基本不参与, 在工作准则中也没有对该项工作做出规定。此外, 高校在人才引进时, 也没有选用一些网络安全技术高的人员, 导致学校中掌握网络安全管理技术的人员匮乏。

3.2 在校园网络安全管理中没有完善的组织机构和制度系统

正如前文所述, 高校保卫部门应该对此项工作负责, 但是他们大多难以胜任[2]。因此, 在高校中, 网络出现问题时一般是由网络中心管理人员负责, 但是该工作与其职能明显不符, 在工作的沟通与交接中存在很多问题。高校中这种组织机构的不完善、职责不清晰等问题的存在, 使得网络安全管理工作出现脱节现象。尽管部分高校制定了一些有关网络管理的规章制度, 但是涉及安全管理问题的方面少之又少, 而且专业性不强, 职责划分不清晰。这些都对高校的网络安全形成了极大的隐患。

3.3 校园信息网络安全防范技术和设施投入有限

在很多高校的网络管理问题中, 无论是对资金的投入还是对人员的配备都非常紧张, 很多学校在网络管理工作中只有网络中心和实验室管理人员, 负责整个学校计算机网络的安全, 工作量巨大, 使得这些少数的工作人员无法做好网络安全管理问题。此外, 在资金投入问题中, 我国高校普遍做得不足, 尤其是当前高校的扩招使得学校设备紧张, 对一些落后设备没有及时淘汰, 这些设备的网络承载能力不足, 也是一大安全隐患。在教学中, 不少软件使用盗版或者破解版, 很容易包含一些病毒, 使网络安全面临极大威胁。

3.4 网络用户安全意识淡薄

在高校中, 网络用户大部分为本校师生。对教师来讲, 由于他们有很多不是计算机专业出身, 加之学校方面对网络安全管理教育的缺失, 不少教师在教学中没有对使用的计算机设备进行保护, PC机中没有设置登录密码, 使计算机设备极易被不法分子入侵, 使很多重要资源丢失;对学生来讲, 他们有着极高的求知欲, 并且渴望获取新事物, 一些学生有时出于好奇有可能会做出一些威胁网络安全的行为。

4 加强高校网络安全管理问题的对策

4.1 加强宣传力度, 完善组织管理结构

第一, 学校方面应该加强有关网络安全的宣传力度, 可以多举办一些相关主题的讲座、印制宣传单页、张贴布告栏等, 使学校成员包括全体教师和学生在内加强网络安全意识, 并养成良好的网络使用习惯;第二, 动员全体师生参与到学校的网络安全管理与监督工作中来, 把网络安全意识与政治、责任及法律意识相联系, 保证学校每一成员责任意识的提升。

4.2 正确处理好网络安全技术与管理之间的关系

很多人在谈到网络安全防范问题时就把其与网络技术提升联系到一起, 认为该问题就是通过升级和开发新技术来防止恶意攻击, 过于重视网络安全技术的作用而没有意识到网络安全管理的重要性。在网络安全问题中, 必须要有技术作为保障, 但是如果缺乏了有效的安全管理, 技术再高端也无法发挥它的优势。在合法人员的日常操作中, 总会存在一些无意的过失等行为, 安全技术对此无能为力, 面对此种情况, 只有加强对网络安全的管理才能确保信息安全。换个角度看, 如果网络安全管理措施非常先进, 但是缺少了技术的支持, 那么它也无法发挥应有的作用。因此, 要想真正确保网络安全, 必须摒弃“重技术、轻管理”的思想。

4.3 加大资金和人员投入力度

我国高校普遍存在经费不足的问题, 面对这种情况, 高校管理者要保证资金投入的计划性和目的性。只有把有限的资金合理地投入到网络安全管理中, 放远眼光, 有步骤地投资, 才能够为网络安全提供物质保障[3]。

4.4 构建网络安全体系

网络安全体系主要包括以下几方面:第一, 防护机制。主要是通过采取一定的措施使网络系统免受攻击。例如加强网络运行记录工作, 使用实名制上网制度, 及时安装使用网络防范技术如防火墙、杀毒软件等;第二, 检测体系。定期对校园网络进行监测、诊断, 及时发现并处理潜在或者已经出现的问题, 形成以往严密的监查机制;第三, 响应机制。此机制在安全事故发生后发挥作用。系统如果发现有入侵者, 便开启相应机制。该工作必须由专门的响应小组来完成, 研究一系列紧急响应预案以备不时之需、通过三大机制的配合, 共同发挥作用, 使校园网络安全管理工作有条不紊地进行。

5 结语

当今高校日常的教学、科研及生活等各方面都离不开网络的作用, 同时网络的安全问题也是制约高校发展的一大因素, 各高校只有加大对网络安全的管理力度, 从资金投入、管理制度、思想意识等方面入手, 切实提升网络安全, 才能够保证网络能够更好地为学校师生服务。

参考文献

[1]王兴国.高校校园网络安全管理问题与策略研究[J].辽宁行政学院学报, 2015, (5) :50-53.

[2]张哲华.浅谈电力通信网络安全管理问题及其对策[J].大科技, 2013, (33) :188-189.

计算机网络安全管理研究 篇10

计算机网络不仅可以为人们的工作和生活提供便利,提高效率,也是各企业、机构正常运营的基础技术,这也加深了社会对于计算机网络的依赖程度。但正是由于计算机网络的规模巨大,且数据量信息众多,导致数据的保存和传输安全问题成为重点,一旦存在漏洞,就会导致信息的泄漏,为不法分子所用,使人们的财产安全和个人隐私信息遭受损失。

1 计算机网络安全管理的概念

计算机网络安全管理顾名思义就是保护个人或企业在其计算机网络中存储的信息和数据的安全,避免产生泄漏。计算机网络安全可以从狭义和广义两种概念上来进行分析,在狭义的角度上分析,计算机的网络安全管理的保护对象主要是计算机网络系统中的各种硬件设施和软件设施、系统中存储的各项数据,避免因为恶意篡改导致的数据信息的泄露、更改、删除等,同时保护计算机网络的正常运行,防止意外中断造成的信息丢失,保证信息传输顺畅。从广义的角度来分析,计算机网络安全管理的保护对象除了个人或企业的计算机信息外,还要保障整个网络虚拟环境的安全运行,防止不法分子利用病毒或恶意软件对网络进行攻击,同时修复和完善计算机网络中的各种漏洞,保护网络中所有计算机信息的安全传输,营造稳定的网络环境。总而言之,计算机网络安全管理主要有五个方面,即保密、完整、可用、可控、审查,五部分缺一不可的技术非常广泛,例如:信息安全技术、应用数学技术、通信技术等等,是一门综合性极强的管理技术。

2 计算机网络安全管理的重要性

计算机的普及使得人们认识到了网络的便利,目前我国各大企业、政府机构、个人的工作中都可以见到计算机的身影,由这些计算机构成的庞大网络也成为了人们交换信息和保存隐私的重要区域,但总有一些不法分子利用网络的漏洞对个人或企业甚至政府的计算机网络进行攻击,盗取重要信息,或者利用病毒的形式使计算机网络不能够正常运转而陷入瘫痪状态,由此可见,对计算机网络安全实施管理就显得尤为重要,网络的安全管理可以对计算机网络中的信息进行保护,避免遭受恶意的篡改、盗取和泄露、删除等,是维护网络秩序的重要环节。

现如今,人们由于生活圈固定,了解信息一般都通过各大网站和电视渠道,但由于电视机的位置固定,无法随身携带,网络就成了人们日常进行信息获取和传输的主要渠道,一旦有不法分子传输恶意信息或盗取个人隐私,就势必会造成混乱,更有甚者可能会威胁国家涉密信息和财产安全,不利于社会稳定和谐发展,因此,保证网络安全不仅是人们的需求,也是社会稳定发展的要求,网络安全管理也逐渐成为了信息安全技术研究领域中的重中之重。

3 计算机网络安全管理存在的问题

计算机网络的规模较大且包含大量专业技术,设计范围广,运作复杂,这就导致计算机网络在带给人们生活和工作便利的同时也具有一定的不稳定性,存在一定的漏洞,为了保护计算机网络的正常运行,及时修护漏洞,防止恶意攻击,就必须要认识到目前我国计算机网络中存在的主要问题,以便对症下药。

3.1 使用者的认知水平局限性

计算机不论是在企业还是政府机构或是个人购买,使用的主体都是用户本身,也是计算机便利的受惠者和网络隐患的受害者,由于与计算机接触频繁,对计算机的人至水平就成为了操控计算机的主要基础,但据数据显示,许多用户并不了解计算机网络,对网络安全管理也不够重视。

(1)由于使用者的知识水平有限,在使用计算机时,并未经过指导和培训,对计算机的功能也不够了解,很容易产生操作不当或错误,导致信息泄露,成为不法分子攻击的首选。

(2)许多使用者只认识到了计算机网络为生活和工作提供的巨大便利,而没有认识到网络安全问题可能产生的严重后果,使用者往往随意的将信息进行存放,没有适当的进行安全防护,也没有安装能够保护计算机网络的软件和程序,使得信息暴露在网络之中,造成网络安全隐患。我国的信息技术发展迅速,计算机网络成为了人们信息传输的首选,如果没有自我安全防护意识,很容易泄露个人隐私信息和重要数据,成为直接受害者。

3.2 系统安全漏洞

每一台计算机在购买后都会安装系统,这也是日后为计算机提供各种功能的基础,计算机系统的安全问题也就成为了管理的又一大重点。计算机系统是由专业的计算机制造商研发的,但是随着计算机技术的不断发展,研发的系统势必会跟不上最新的计算机网络技术,这就造成系统会存在一定的漏洞,这些漏洞一旦为不法分子所用,就势必为网络安全带来威胁。另外,这些漏洞若没有及时修复或安装最新的系统,就会为不发分析盗取隐私信息、攻击计算机系统带来便利,造成网络混乱,不利于安全管理。

4 计算机网络安全管理的措施

通过以上对计算机网络安全管理中存在的问题进行分析,可以发现人们对网络安全问题的不够重视以及计算机系统自身所带的问题都是影响网络安全稳定的主要因素。本文针对这些问题提出相应的管理措施,希望对我国网络安全提供参考和帮助。

4.1 加强计算机网络安全教育

提高计算机使用者对网络安全的认知水平是减少网络恶意攻击事件的基础,这不仅包括对网络病毒的认识,还要了解基本的网络保护措施。网络病毒是不法分子编写出的具有复制功能和删除功能等多种自带功能的程序,一般来讲,计算机系统会自带保护程序,也就是杀毒软件,但是杀毒的技术往往跟不上病毒的更新速度,导致计算机容易遭到病毒的侵袭,使得信息被复制盗取,甚至丢失重要数据,因此,使用者必须加强对病毒的认识,及时更新杀毒软件,在发现一些疑似病毒的网站或链接以及弹出的小窗口时,要有一定的分辨能力,不要打开或执行某些程序,避免计算机中毒后导致信息泄露。另外,使用者还需要对网络安全技术进行了解,例如:防火墙技术、网络入侵检测技术、计算机系统漏洞扫描和修复技术等等,引导使用者为计算机安装合适的网络安全保护程序是维护网络安全运行的基础。

4.2 研发先进的计算机系统

计算机系统是伴随计算机运作的主要程序,计算机制造商和开发商要对目前存在的各项病毒和攻击技术进行详细的了解和分析,与时俱进,研发出能够抵抗攻击的先进的计算机技术,作为保障网络安全的重要辅助手段,为使用者营造一个良好的网络环境。

5 结束语

计算机技术使人们的工作更加便利,但随之而来的问题也源源不断。本文对计算机网络问题进行剖析,希望对营造稳定网络运行环境提供帮助。

参考文献

[1]郝灵梅.计算机网络安全和防范策略研究[J].信息与电脑(理论版),2011.

[2]尹良原.关于计算机网络安全问题的浅析[J].电脑知识与技术,2011.

[3]龙灿.网络安全技术现状与趋势研究[J].福建电脑,2008.

[4]韦武超,黄镭.计算机网络安全技术的探讨与研究.企业科技与发展,2012.

信息安全管理体系研究 篇11

关键词：信息;安全;管理体系

1 概述

信息安全管理是指在信息的使用、存储、传输过程中做好安全保护工作，保持信息的保密性、完整性和可用性。其中，保密性是指保障信息仅能被具有使用权限的人获取或使用;完整性指为信息及其处理方法的准确性和完整性提供保护措施;可用性则指使用权限的人可在需要时获取和使用相关的信息资产。因此，做好信息安全管理体系的研究对于提升信息的安全性具有现实意义。

2 信息安全管理体系

2.1 信息安全管理体系介绍 根据网络安全相关统计表明，网络信息安全事故中由于管理问题导致出现安全事故的高达70%以上，因此解决网络信息的安全问题，除从技术层面进行改进外，还应加强网络信息的安全管理力度。信息安全管理体系的建设是一项长期的、系统的、复杂的工程，在建设信息安全管理体系时，应对整个网络系统的各个环节进行综合考虑、规划和构架，并根据各个要素的变化情况对管理体系进行必要的调整，任何环节存在安全缺陷都可能会影响整个体系的安全。

2.2 信息安全管理体系的功能 信息安全管理是指导企业对于信息安全风险相互协调的活动，这种指导性活动主要包括信息安全方针的制定、风险评估、安全保障、控制目标及方式选择等。企业要实现对信息资产进行安全、高效、动态的管理，就需要建立科学、完善、标准的信息安全管理体系。因此，一个有效的信息安全管理体系应该具备以下功能：对企业的重要信息资产进行全面的保护，维持企业的竞争优势;使企业能在预防和持续发展的观点上处理突发事件，当信息系统受到非法入侵时，能使相关的业务损失降到最低，并能维持基本的业务开展;使企业的合作伙伴和客户对企业充满信心;能使企业定期对系统进行更新和控制，以应对新的安全威胁。

3 信息安全管理体系的构建

3.1 信息安全管理框架的建立

信息安全管理框架是建设信息安全管理体系的基础和参照依据，企业应根据自身的生产情况或经营情况搭建适合企业自身发展的信息安全管理框架，并在具体的业务开展中对各安全管理制度进行实施，并建立各种与信息安全管理构架相一致的文件或文档，记录信息安全管理体系实施过程中出现的安全事件和异常状况，为后期建立严格的反馈制度提供参考。

3.1.1 信息安全管理策略。企业应制定信息安全管理策略，为企业的信息安全管理提供方向和依据。对于企业来说，不仅要建立总体的安全策略，还应在此基础上，根据风险评估结果，制定更加详细、具体、具有可行性的安全方针，对各部门及各职员的职责进行明确的划分和控制。如访问控制策略、桌面清理策略、屏幕清除策略等。

3.1.2 范围划分。企业应根据企业自身的特性，结合企业所在的地理位置、资产和技术等对信息安全管理体系的范围進行科学界定。一般来说，企业信息安全管理体系包括的项目主要有信息系统、信息资产、信息技术、实物场所等。

3.1.3 风险评估。 企业需要对风险评估和管理方案进行科学选择，在选择时应根据企业自身的实际情况进行规范评估，对目前所面临的信息安全风险和风险等级进行准确识别。企业的信息资产是风险评估的主要对象，评估时应考虑的因素有资产所受到的威胁、薄弱点及受到攻击后对企业的影响。风险评估的方法有多种，但无论选择哪种评估工具，其最终的评估结果是一致的。

3.1.4 风险管理。企业应根据信息安全策略和所要求的安全程度，对要管理的风险内容进行识别。风险管理主要是风险控制，企业可采取一定的安全措施，将风险降低到企业可接受的水平。除降低风险外，还可通过转移风险、规避风险的方法维护企业信息资产的安全。对于信息资产来说，风险并不是一成不变的，当企业发生变化、过程发生更改、技术进行革新或新风险出现后，原有的风险就会随之发生变化，这种变化也是对风险进行管理的重要参考。

3.1.5 控制方式的选择。风险评估后，企业应从已有的安全技术中寻求有效的控制方法降低已识别的风险，控制方式还可包括一些额外的控制，如企业新增加的控制方式或其他法律法规所要求的控制方式。

3.1.6 适用性声明。信息安全适用性声明主要是对企业内风险管理目标、针对每种风险所采取的控制措施等内容改进记录，这种记录的主要目的是企业向内部员工表明信息安全管理的重要性，同时也是企业向外部表明企业对信息安全及风险的态度和作为。

3.2 管理构架的实施 信息安全管理体系（ISMS）框架的构建只是建设信息安全管理体系的第一步，而框架的实施才是构建ISMS的重要步骤。在实施ISMS过程中，应对管理体系、实施的具体费用、企业职工的工作习惯、不同部门之间的合作等各个要素进行综合考虑。企业可按照既定目标和实施方式对信息的安全性进行有效控制，这种有效性主要通过两方面指标体现，一是控制活动执行的严格性;二是活动的结果与既定目标的一致性。

3.3 信息安全管理的文档化 在信息安全管理体系的建设和实施过程中，应建立相关的文件和文档，对ISMS管理范围、管理框架、控制方式、具体操作过程等进行记录备案。在对文档进行管理时，可根据文档的类型和重要性对其等级划分，并根据企业业务和规模的变化，对文档进行定期的修正和补充;而对于一些不再具有参考价值的文档，可定期进行废弃处理。

4 总结

随着信息时代的到来，信息在企业发展中的作用越来越强大，并且已经成为企业的一种重要资产，对于企业信息资产来说，做好信息的安全管理工作，对于企业的发展具有重要意义。在建立信息安全管理体系时，应对管理框架、管理范围、管理方式等内容进行科学选择，并做好相关的文档记录，为后期信息安全管理体系的进一步优化提供参考。

参考文献：

[1]高文涛.国内外信息安全管理体系研究[J].计算机安全，2008（12）：95-97.

[2]李慧.信息安全管理体系研究[D].西安电子科技大学，2005.

文档安全管理之安全实现研究 篇12

随着信息化的飞速发展,计算机和信息系统得到了广泛应用。在数据电子化、办公无纸化的同时,失泄密案件也层出不穷。分布存放于员工终端电脑的大量敏感信息文件成为日益需要关注的问题。文档的安全管理最初采用封堵的方式,通过制度纪律约束、涉密文档专机存储、禁用端口等措施,虽然在一定程度上阻止了数据外泄,但也给员工的日常工作带来了极大不便,因此以数据加密为核心的文档安全管理技术成为当前的主流方式。

目前的文档安全管理产品大多都集成了访问控制、数据加密、行为审计等多项安全功能,有的还将行为审计日志嵌于电子文档中,这样即使文档脱离系统的管控范围,当再次发现该文档后仍可对其泄密途径进行追根溯源,达到了真正的全生命周期管理。虽然这些产品在应用层面“貌似”为用户提供了安全的保证与使用的人性化,但其自身安全却存在不同程度的问题。大量软件应用实践表明,软件的自身安全问题无法通过安装另一个安全系统而解决。软件的安全缺陷是内在的,必须在实现上重新设计,以本质消除的方式来解决。

1 攻击面分析

所谓攻击面,就是暴露给攻击者的接口。

传统的软件生命周期分为需求分析、架构设计、代码编写、测试和运行维护五个阶段,在这五个阶段内,只关心模块正常模式下功能的正确实现,而很少关心代码的安全质量,也缺乏对安全的理解与重视。这样最直接的结果就是可能导致设计的“安全功能”实现以后不是“安全的功能”。安全开发必须要从攻击者的角度出发,考虑对一个软件系统可能采取的攻击方法,如功能、API、接口、资源、数据存储等,从而制定针对性的策略或措施。

首先可以肯定的是文档安全管理系统不可能对所有的文档都进行加密处理。在需要处理文档文件时,系统首先需对读取到的文档密文进行解密处理,返回给电子文档处理软件的应是解密后的文档明文。如果不是这样,电子文档处理软件将无法正常工作。因此文档安全管理系统必须制定完备的策略。明文保存在哪些区域,密文保存在哪些区域,必须定义严格的安全边界,防止攻击者利用。

其次,加密的文档是以二进制的形式存储于硬盘扇区中的。因此用户无需通过文件级进程去操作该文件,仅需利用扇区操作命令即可从底层读取该文件的数据。如果密文只是对明文的简单处理,就有可能被攻击者利用。

第三,作为软件,文档安全管理系统的安全功能皆是通过设计的API函数来实现的,如果程序编写不够安全,就可能被攻击者通过反编译获取其函数代码与软件逻辑,从而利用系统漏洞。

通过以上分析,攻击者对文档安全管理系统的攻击手段可能有三种:

(1)不借助任何工具,将系统作为一个黑盒,通过选择输入条件观察分析其输出结果,从而推测其运行机制,重找系统缺陷。

(2)针对文档密文使用16进制编辑器进行观察分析,尝试人工破解其加密逻辑。

(3)利用逆向分析技术,将软件代码反编译成可理解的汇编语言甚至更高级的语言,从而发现其API漏洞与执行逻辑缺陷。

2 系统安全建模

根据前述攻击面分析,结合文档安全管理系统的功能特性,分析系统在对象实体、数据流、处理以及数据存储等的各个环节,按照数据流的路径及方向,对系统安全建模如图1所示。

总体上,系统需要考虑存储安全、策略安全、编程安全三个方面。

2.1 存储安全

文档安全管理系统的存储安全是指电子文档经处理后以二进制形式储存于存储介质的数据安全。虽然处理后的文件密文在普通计算机上无法直接用电子文档处理软件打开,但攻击者可以用winhex等16进制编辑器对其密文进行分析。系统的最大风险是已知明文攻击。这是因为任意的文档明文都会有大量空闲空间以全0代码填充,所以密码分析者很容易获得由同一密钥加密“全0”字串的密文。

为保证存储安全,首先推荐使用强度较高的分组加密算法,以达到混淆与扩散的目的。混淆是使密文的统计特性与密钥的取值之间的关系尽可能复杂化,以使密钥和明文以及密文之间的依赖性对密码分析者来说是无法利用的。扩散是使每一位明文的影响尽可能迅速地作用到较多的输出密文位中,以便在大量的密文中消除明文的统计结构;并且也使每一位密钥的影响尽可能迅速地扩展到较多的密文位中,以防止对密钥进行逐段破译。目前AES-256算法是公认安全的分组加密算法。

但取决于软件编写者的水平,有时分组加密对于文档安全管理系统来说还是慢了一些,这就在实际使用中影响到系统的效率。一个替代的方法是使用流密码。与分组密码相比,流密码虽然混淆与扩散的能力不够,但它具有实现简单、加解密处理速度快的特点,类似于“一次一密”的密码体制。如果密钥产生的足够随机,或者不容易被攻击者获取其生成规律,则其安全性也能够得到保证。

2.2 策略安全

策略安全是指文档安全管理系统识别文档、识别安全边界、识别文档处理进程等功能所采取判断逻辑的严密性。这些策略是系统安全功能的核心所在,如果它们本身考虑的不够周全,则无需进行破解工作,只需要在应用层面“欺骗”系统即可绕过其安全阀。因此策略安全是最需要重视的。

(1)文档识别

后缀名为doc、xls等文档类型的文件应当认定为文档文件,但不能仅从后缀名来判断文件类型。首先在判断逻辑上不一定能涵盖全部后缀(假如office刚刚发布新的文档类型为docxx),其次文件后缀名本身可以任意修改(doc文档可以伪装成exe程序)。只要判断逻辑稍有漏洞,就可能找到如图2所示脱离系统监控的信息处理路径来。

为此,文档识别可以采取两种策略:一种是电子文档处理软件只能处理固定后缀名的文件,对其它文件拒绝服务;一种是电子文档处理软件可处理任意文件,但处理后需将该文件识别为文档,具体为在文件体上附加一文件类型识别标签,在用户处理某文件前,首先判断文件体上是否含有标签,执行“先判断标签后判断后缀名”的文档识别策略。考虑到用户使用的友好性,推荐使用第二种策略。

(2)安全边界识别

根据文档安全的管理需求及系统的功能特性,数据空间应该划分为三部分:文件敏感区、文档敏感区、安全区。

本地计算机存储以外的所有空间应被识别为外部域(文件敏感区)。写入到外部域的所有文件均应该进行加密处理。常见的数据泄漏途径主要是U口、网口这两大端口,因此需对访问它们的进程进行重点监控。

要保证足够的安全性,必须保证安全区足够小。安全区中的文档皆是以明文形式存在,因而无法避免将该明文复制到其它区域。安全区的最小范围应该设置为当前登录用户可用应用程序的默认临时目录,即:%TEMP%与%TMP%文件夹。

安全区以外的计算机本地存储应被识别为接入域(文档敏感区)。该区域中的文档文件应该进行加密处理,其它文件则不做处理。对于进入接入域的文件需首先启动文档识别策略,若从外部域读入,则对全部非文档文件进行解密存放;若从安全区读入,则对全部文档文件进行加密存放。

(3)进程识别

主要包括对电子文档处理进程与文件创建进程的识别。据前述分析可知,不管是文档识别还是安全边界识别,都是系统监控到相关进程进行文件操作时决定是否加解密而所采取的策略。但如果根本没有识别并监控这些进程的话,则文档安全管理系统形同虚设。图3所示为利用进程欺骗脱离系统监控的信息处理路径。

特征检测是进程识别的主要途径,但其有效性依赖于特征的选择。对原本未知的进程,对使用躲避技术伪装的进程,以及一些已知进程的变体来说效果不佳。有效的进程识别首先基于对特征点的有效提取。一个处于监控状态的正常进程应该遵循一系列的特征、条件、排列和关系,如果某未知进程吻合了这一系列特征、条件、排列和关系的某一点,就可纳入监控序列。因此有效的进程识别还需要通过手动或自学习更新知识库。

2.3 编程安全

编程安全是指系统在代码编写与编译过程中为防止攻击者破解并利用程序漏洞所采取的安全措施。主要分为编码安全、编译安全。

安全编码是减少和杜绝代码编写引入的安全漏洞。编写安全的代码是程序员应该养成的良好习惯,但也必须使用规程来约束。具体为:

(1)制定安全编程规范。需要结合项目开发语言和应用环境特性制定相关的安全编程规范。

(2)减少潜在可被利用的编码结构和设计。

(3)禁止使用不安全的函数。例如strcpy、sprintf、scanf等以往日常编程常用的函数都已被微软明确告知不安全,使用最新的Visual studio开发时软件会给出替代建议。

(4)代码审计。就是通过人工或自动化工具,查找违反前述规程的安全漏洞的过程。

安全编译主要是采用较新的加壳技术,防止程序破解人员对加壳代码进行脱壳与反汇编。同时程序在编译时打开一些安全编译选项,也可以将操作系统提供的一些底层安全机制应用到程序上。

3 现有产品常见问题

根据前面建立的安全模型对市场上一些文档安全管理产品进行了分析,发现问题还是普遍存在的。具体表现为:

(1)存储安全方面

只有部分产品使用分组加密。有些产品只是在原来明文基础上增加部分内容导致电子文档处理软件不能直接打开,只要扇区级读取后将原来的数据部分直接提取即可。

使用比较多的是异或加密XOR。异或加密是实现流密码的很好函数,但这些产品的问题是使用固定的密钥反复加解密。即使在没有明文的情况下,重复使用一个密钥加密多个密文后都无法防范统计学攻击(频率分析),何况在一台机器上可以同时获得明文和密文。

只需简单构建一明文txt文件,例如“1234567890”,保存后用winhex等16进制编辑器获得该文件的密文。然后修改其中一个字符,保存后再次读取密文,如果一个明文字符的改变引起16个字节的数据变化,则可以初判系统采用了分组为16字节的分组加密算法。如果一个字符的改变只引起一个字节的改变,则说明加密算法不是分组加密,而是按字节加密,就可以初判是广泛使用的异或算法或其变种。然后任意找一个较大的文件,用winhex打开其密文进行观察,如果大量重复出现固定长度的内容,就可以初步判定系统使用了该长度的固定密钥。而这些重复出现的内容,就是“全0”数据对应的密文。

(2)编程安全方面

产品普遍没有对软件进行加壳处理,可以使用ollydbg或IDA等反编译工具轻松获取其软件执行逻辑。编码上大量使用陈旧的应该禁用的危险函数。反映出很多厂商的安全编程意识亟待加强。

(3)策略安全方面

有些产品对安全边界定义模糊,导致不同级别的安全区域互相嵌套。有的产品甚至U盘这种应该定义为外部域(文件敏感区)的空间都能创建出安全区来。

有些产品进程识别功能表现得不够严谨,只是通过进程名来识别文档处理软件。有的产品甚至连日常使用频率极高的文档编辑软件都没有加入监控序列,导致文档管理形同虚设。只要新建一个非文档后缀名的文件使用该软件编辑即可。

有些产品将行为审计日志嵌于电子文档中,这是一个好的监控手段,但存在的问题是,如果日志只伴随文档,那只要把文件删除后,审计日志也就随文件销毁。因此还需要在系统级加入日志功能,对文件读写行为全面监控。

4 结束语