防火墻技術(shù)論文范文

時(shí)間:2023-03-30 11:02:39

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇防火墻技術(shù)論文,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

防火墻技術(shù)論文

篇1

關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻

1從軟、硬件形式上分

如果從防火墻的軟、硬件形式來(lái)分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。

(1)軟件防火墻。

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過(guò)于Checkpoint。使用這類防火墻,需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。

(2)硬件防火墻。

這里說(shuō)的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻,他們都基于PC架構(gòu),就是說(shuō),它們和普通的家庭用的PC沒(méi)有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng),最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會(huì)受到OS(操作系統(tǒng))本身的安全性影響。

(3)芯片級(jí)防火墻。

芯片級(jí)防火墻基于專門(mén)的硬件平臺(tái),沒(méi)有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過(guò)價(jià)格相對(duì)比較高昂。

2從防火墻技術(shù)

防火墻技術(shù)雖然出現(xiàn)了許多,但總體來(lái)講可分為“包過(guò)濾型”和“應(yīng)用型”兩大類。前者以以色列的Checkpoint防火墻和美國(guó)Cisco公司的PIX防火墻為代表,后者以美國(guó)NAI公司的Gauntlet防火墻為代表。

(1)包過(guò)濾(Packetfiltering)型。

包過(guò)濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用,是因?yàn)樗皇轻槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式,適用于所有網(wǎng)絡(luò)服務(wù);之所以廉價(jià),是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過(guò)濾功能,所以這類防火墻多數(shù)是由路由器集成的;之所以有效,是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。

在整個(gè)防火墻技術(shù)的發(fā)展過(guò)程中,包過(guò)濾技術(shù)出現(xiàn)了兩種不同版本,稱為“第一代靜態(tài)包過(guò)濾”和“第二代動(dòng)態(tài)包過(guò)濾”。

包過(guò)濾方式的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序,因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無(wú)關(guān)。但其弱點(diǎn)也是明顯的:過(guò)濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過(guò)濾器中,過(guò)濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過(guò)濾如UDP、RPC(遠(yuǎn)程過(guò)程調(diào)用)一類的協(xié)議;另外,大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制,它只能依據(jù)包頭信息,而不能對(duì)用戶身份進(jìn)行驗(yàn)證,很容易受到“地址欺騙型”攻擊。對(duì)安全管理人員素質(zhì)要求高,建立安全規(guī)則時(shí),必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過(guò)濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。

(2)應(yīng)用(ApplicationProxy)型。

應(yīng)用型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流,通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門(mén)的程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

在型防火墻技術(shù)的發(fā)展過(guò)程中,它也經(jīng)歷了兩個(gè)不同的版本:第一代應(yīng)用網(wǎng)關(guān)型防火和第二代自適應(yīng)防火墻。

類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層,所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù),而不是像包過(guò)濾那樣,只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過(guò)濾。

另外型防火墻采取是一種機(jī)制,它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門(mén)的,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的,而都需先經(jīng)過(guò)服務(wù)器審核,通過(guò)后再由服務(wù)器代為連接,根本沒(méi)有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì),從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。

防火墻的最大缺點(diǎn)是速度相對(duì)比較慢,當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí),防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門(mén)的服務(wù),在自己的程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間,所以給系統(tǒng)性能帶來(lái)了一些負(fù)面影響,但通常不會(huì)很明顯。

3從防火墻結(jié)構(gòu)分

從防火墻結(jié)構(gòu)上分,防火墻主要有:?jiǎn)我恢鳈C(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機(jī)防火墻是最為傳統(tǒng)的防火墻,獨(dú)立于其它網(wǎng)絡(luò)設(shè)備,它位于網(wǎng)絡(luò)邊界。

這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多(如下圖),同樣包括CPU、內(nèi)存、硬盤(pán)等基本組件,主板更是不能少的,且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡,因?yàn)樗枰B接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤(pán)就是用來(lái)存儲(chǔ)防火墻所用的基本程序,如包過(guò)濾程序和服務(wù)器程序等,有的防火墻還把日志記錄也記錄在此硬盤(pán)上。雖然如此,但我們不能說(shuō)它就與我們平常的PC機(jī)一樣,因?yàn)樗墓ぷ餍再|(zhì),決定了它要具備非常高的穩(wěn)定性、實(shí)用性,具備非常高的系統(tǒng)吞吐性能。正因如此,看似與PC機(jī)差不多的配置,價(jià)格甚遠(yuǎn)。

隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高,原來(lái)作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能,還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體,而是由多個(gè)軟、硬件組成的系統(tǒng),這種防火墻,俗稱“分布式防火墻”。

原來(lái)單一主機(jī)的防火墻由于價(jià)格非常昂貴,僅有少數(shù)大型企業(yè)才能承受得起,為了降低企業(yè)網(wǎng)絡(luò)投資,現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級(jí)的包過(guò)濾型。這樣企業(yè)就不用再同時(shí)購(gòu)買(mǎi)路由器和防火墻,大大降低了網(wǎng)絡(luò)設(shè)備購(gòu)買(mǎi)成本。

分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界,而是滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī),對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中,通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理軟件,在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡,這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的,都需要嚴(yán)格過(guò)濾。而不是傳統(tǒng)邊界防火墻那樣,僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信請(qǐng)求“不信任”。

4按防火墻的應(yīng)用部署位置分

按防火墻的應(yīng)用部署位置分,可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。

邊界防火墻是最為傳統(tǒng)的,它們于內(nèi)、外部網(wǎng)絡(luò)的邊界,所起的作用的對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離,保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都屬于硬件類型,價(jià)格較貴,性能較好。

個(gè)人防火墻安裝于單臺(tái)主機(jī)中,防護(hù)的也只是單臺(tái)主機(jī)。這類防火墻應(yīng)用于廣大的個(gè)人用戶,通常為軟件防火墻,價(jià)格最便宜,性能也最差。

混合式防火墻可以說(shuō)就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個(gè)軟、硬件組件組成,分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間,既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過(guò)濾,又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過(guò)濾。它屬于最新的防火墻技術(shù)之一,性能最好,價(jià)格也最貴。

5按防火墻性能分

按防火墻的性能來(lái)分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。

因?yàn)榉阑饓νǔN挥诰W(wǎng)絡(luò)邊界,所以不可能只是十兆級(jí)的。這主要是指防火的通道帶寬(Bandwidth),或者說(shuō)是吞吐率。當(dāng)然通道帶寬越寬,性能越高,這樣的防火墻因包過(guò)濾或應(yīng)用所產(chǎn)生的延時(shí)也越小,對(duì)整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊,不能防止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來(lái)的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

參考文獻(xiàn)

[1]孫建華等.網(wǎng)絡(luò)系統(tǒng)管理-Linux實(shí)訓(xùn)篇[M].北京:人民郵電出版社,2003,(10).

篇2

關(guān)鍵詞:外墻保溫;安全措施;現(xiàn)場(chǎng)管理

中圖分類號(hào):TU97文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào):

1.外墻保溫材料的應(yīng)用

目前廣泛應(yīng)用的外墻外保溫技術(shù)體系主要有膨脹聚苯乙烯泡沫(EPS)板薄抹灰外保溫系統(tǒng)、擠塑聚苯乙烯泡沫(XPS)板薄抹灰外保溫系統(tǒng)、聚氨酯泡沫(PU)薄抹灰外保溫系統(tǒng)、膠粉 EPS顆粒保溫漿料外保溫系統(tǒng)、現(xiàn)澆混凝土復(fù)合無(wú)網(wǎng)EPS板外保溫系統(tǒng)等,其中,EPS板薄抹灰外墻外保溫系統(tǒng)為全國(guó)普遍推廣使用的技術(shù),幾乎占節(jié)能建筑的90%以上。

PU是目前世界上公認(rèn)的最佳保溫絕熱材料,導(dǎo)熱系數(shù)僅為0.018~0.023W/m。k,25mm厚的PU的保溫效果相當(dāng)于40mm厚的 EPS、45mm厚的巖棉、380mm厚的混凝土或860mm厚的普通磚。主要指標(biāo)對(duì)比如下。

保溫效果:PU最好,EPS次之,巖棉最差。

耐冷熱性能:巖棉最好,PU次之,EPS最差。

吸水率(性):PU最低,EPS次之,巖棉最易吸水。

使用壽命:巖棉最長(zhǎng),PU次之,苯板最差。

價(jià)格:PU最高,巖棉次之,EPS最低。

事實(shí)上,EPS、XPS、PU都屬于有機(jī)保溫材料,最大優(yōu)點(diǎn)是質(zhì)量輕保溫和隔熱性好,最大缺陷是防火安全性差,易老化易燃燒,在燃燒時(shí)產(chǎn)生大量煙霧,毒性很大,這些產(chǎn)品的承重性使用年限 防火性都不如無(wú)機(jī)保溫材料。

2.聚苯板外墻保溫材料的火災(zāi)危險(xiǎn)性

聚苯板薄抹灰系統(tǒng)在國(guó)內(nèi)的外墻外保溫中應(yīng)用相當(dāng)普遍,其危險(xiǎn)性在于:(1)一旦火災(zāi)發(fā)生,有機(jī)保溫板燃燒產(chǎn)生的有毒氣體和火焰會(huì)給逃生者帶來(lái)巨大危險(xiǎn);(2)因聚苯板受熱產(chǎn)生的熱熔縮變形以及網(wǎng)格布過(guò)熱折斷而導(dǎo)致瓷磚墜落,對(duì)逃生人員和救助人員造成的傷害也是致命的;(3)當(dāng)墻體保溫材料表面砂漿龜裂脫落后,也很快會(huì)引燃保溫材料,火災(zāi)迅速向大范圍蔓延;(4)外墻著火之后,由于室內(nèi)的自動(dòng)消防設(shè)施不能覆蓋外墻,特別是當(dāng)高層建筑外墻外保溫材料著火后,更是無(wú)計(jì)可施。

3.國(guó)內(nèi)外外墻保溫系統(tǒng)防火技術(shù)現(xiàn)狀

a)國(guó)外外墻保溫防火技術(shù)現(xiàn)狀:歐美等發(fā)達(dá)國(guó)家對(duì)外墻保溫系統(tǒng)均有嚴(yán)格的防火安全等級(jí)要求,不同的外墻保溫系統(tǒng)和保溫材料設(shè)有防火測(cè)試方法和分級(jí)標(biāo)準(zhǔn)(考慮燃燒時(shí)煙氣及毒性釋放),并對(duì)不同防火等級(jí)的外墻保溫系統(tǒng)的使用范圍有嚴(yán)格規(guī)定如歐洲標(biāo)準(zhǔn) E-TAG004《有抹面層的外墻外保溫復(fù)合系統(tǒng)歐洲技術(shù)標(biāo)準(zhǔn)認(rèn)證》中規(guī)定,對(duì)保溫防火性的測(cè)試方法要按照 CEN分級(jí)文件EN13501-1《建筑產(chǎn)品或組件的燃燒性能分級(jí)》進(jìn)行阻燃等級(jí)A1—E的測(cè)試防火等級(jí)的測(cè)定和相關(guān)的測(cè)試需進(jìn)行兩次:一次為整個(gè)體系,另一次僅為保溫材料同時(shí),對(duì)外墻外保溫的防火要求將依據(jù)法律法規(guī)和適用于建筑物最終使用的管理?xiàng)l例而定,德國(guó)有因聚苯板薄抹灰系統(tǒng)防火安全性達(dá)不到要求而不能在22m以上建筑物使用的相關(guān)規(guī)定;英國(guó)有18m以上建筑物不允許使用聚苯板薄抹灰外墻外保溫系統(tǒng)的規(guī)定;美國(guó)紐約州建筑指令中明確規(guī)定耐火極限低于2h的聚苯板薄抹灰外墻外保溫系統(tǒng)不允許用在高于22.86m的住宅建筑中,而由巖棉等不燃材料組成的外墻保溫系統(tǒng)則可廣泛應(yīng)用在各種類型的建筑中,該系統(tǒng)已經(jīng)成為目前世界上應(yīng)用范圍最廣的外墻保溫做法之一。

b)國(guó)內(nèi)外墻保溫防火技術(shù)現(xiàn)狀:聚苯板薄抹灰系統(tǒng)因其防火性能較差,發(fā)達(dá)國(guó)家對(duì)其使用范圍有嚴(yán)格的限制,而國(guó)內(nèi)高層超高層建筑采用聚苯板薄抹灰網(wǎng)格布粘貼面磚的外墻外保溫做法相當(dāng)普遍,主要原因是國(guó)內(nèi)沒(méi)有標(biāo)準(zhǔn)對(duì)此作出限制規(guī)定,如我國(guó)現(xiàn)有的 GB50016- 2006《建筑設(shè)計(jì)防火規(guī)范》和 GB50045-95《高層民用建筑設(shè)計(jì)防火規(guī)范》(2005年版)只規(guī)定了建筑構(gòu)件的燃燒性能和耐火極限,附錄 A(各類建筑構(gòu)件燃燒性能和耐火極限)對(duì)外墻的規(guī)定均為不燃燒體,但是其中卻沒(méi)規(guī)定外墻保溫材料的燃燒性能在JGJ144-2004《外墻保溫工程技術(shù)規(guī)程》的表 4.0.11外墻外保溫系統(tǒng)組成材料性能要求中,對(duì)膠粉EPS顆粒保溫漿料的燃燒性能級(jí)別標(biāo)注為B1(難燃性),但對(duì)EPS 板的燃燒性能級(jí)別標(biāo)注卻為“—”即沒(méi)有規(guī)定。

外墻保溫材料的防火已引起國(guó)家的重視,公安部消防局會(huì)同住房和城鄉(xiāng)建設(shè)部標(biāo)準(zhǔn)定額司正在共同組織起草《建筑外保溫材料防火措施》,在征求意見(jiàn)稿中提出了外墻保溫材料燃燒性能要求:“(1)建筑體積大于10萬(wàn)立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑應(yīng)采用巖棉礦棉玻璃棉等無(wú)機(jī)材料制作的保溫材料;(2)建筑體積大于10萬(wàn)立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑外,其他建筑可采用可燃材料做外墻保溫,但應(yīng)采取相應(yīng)的防火構(gòu)造;(3)建筑外裝修材料應(yīng)采用不燃材料?!薄?/p>

4.外墻保溫材料防火安全措施

4.1提高外墻保溫材料的防火性能,設(shè)置相應(yīng)的防火構(gòu)造物

a)對(duì)于新建建筑:(1)建議在修訂的標(biāo)準(zhǔn)中, 對(duì)外墻保溫材料燃燒性能等級(jí)的規(guī)定,應(yīng)能滿足外保溫系統(tǒng)具有阻止火焰?zhèn)鞑サ哪芰Γ?2)建議在法律法規(guī)中明確規(guī)定推廣使用不燃材料組成的外墻保溫系統(tǒng);(3)消防部門(mén)應(yīng)加強(qiáng)對(duì)外墻保溫材料防火性能等級(jí)的監(jiān)管和測(cè)試;(4)對(duì)于使用聚苯板薄抹灰外保溫系統(tǒng),應(yīng)增設(shè)防火隔離帶、擋火梁等防火構(gòu)造物。

b)對(duì)于已采用可燃材料做保溫層的建筑:(1)保溫層應(yīng)采用不燃燒材料做水平和豎向分隔;(2)建筑外墻轉(zhuǎn)角兩側(cè)和門(mén)洞窗口等開(kāi)口周?chē)鷳?yīng)采用不燃燒材料進(jìn)行分隔;(3)建筑外表層應(yīng)采用不燃材料將保溫層完全覆蓋,可采用水泥砂漿涂抹;(4)當(dāng)建筑外墻采用幕墻時(shí),幕墻與每層樓板隔墻處的縫隙應(yīng)采用防火材料封堵。

4.2單位加強(qiáng)消防安全管理,消防部門(mén)加強(qiáng)監(jiān)管

單位要加強(qiáng)消防安全管理,認(rèn)真開(kāi)展消防安全自查自糾,針對(duì)自查中發(fā)現(xiàn)的用火用電不規(guī)范 胡亂堆放雜物等問(wèn)題,必須立即排除;單位要認(rèn)真落實(shí)安全生產(chǎn)的相關(guān)制度,落實(shí)防火制度和責(zé)任人,制定應(yīng)急機(jī)制,規(guī)范用火用電,正確設(shè)置安全出口指向標(biāo)志等;單位要加強(qiáng)對(duì)員工的消防安全培訓(xùn),特別是特殊工種,必須保證員工持證上崗,確保用火用電安全,預(yù)防火災(zāi)事故的發(fā)生。

消防部門(mén)應(yīng)加強(qiáng)監(jiān)管,定期深入各單位進(jìn)行監(jiān)督檢查,對(duì)存在的問(wèn)題及時(shí)指出,要求單位落實(shí)整改對(duì)拒絕整改或整改不到位的單位,消防部門(mén)將依法給予處罰。監(jiān)管的內(nèi)容包括施工現(xiàn)場(chǎng)、施工工人的生活區(qū)、明火作業(yè)區(qū)和外墻保溫材料、木料等易燃物品堆放區(qū)的消防設(shè)施的配備及監(jiān)管情況,臨時(shí)用電設(shè)施的防火、防水、防觸電裝置,外腳手架搭設(shè)和安全網(wǎng)的防火情況等。

4.3嚴(yán)格建設(shè)工程施工現(xiàn)場(chǎng)管理

強(qiáng)化施工現(xiàn)場(chǎng)管理應(yīng)根據(jù)現(xiàn)有的消防條例和保溫工程施工消防安全管理規(guī)定并結(jié)合實(shí)際情況制定出消防安全管理制度, 并認(rèn)真貫徹執(zhí)行:(1)保溫板材進(jìn)場(chǎng)后,不宜露天存放,應(yīng)遠(yuǎn)離火源露天存放時(shí),保溫板材應(yīng)采取可靠的防護(hù)措施。

(2)保溫板材應(yīng)在電焊等工序結(jié)束后進(jìn)行鋪設(shè)確需在保溫板材鋪設(shè)后進(jìn)行電焊等工序的,將電焊部位周?chē)鷳?yīng)采用防火毯進(jìn)行防火保護(hù),或在可燃保溫材料上涂刷水泥砂漿等不燃保護(hù)層進(jìn)行保護(hù);(3)不得直接在保溫板材上進(jìn)行防水材料的熱熔熱粘結(jié)法施工;(4)配足滅火器消防水泵消防水池等消防設(shè)施。

5.結(jié)束語(yǔ)

近年來(lái)由于外墻保溫引起或加速火勢(shì)蔓延的事故頻發(fā),國(guó)家有關(guān)部門(mén)對(duì)此類事故的重視上升到了一個(gè)新的高度。目前,作為施工單位要做的就是在現(xiàn)場(chǎng)施工階段的防控工作。通過(guò)大量的工程實(shí)踐,筆者認(rèn)為對(duì)于外墻保溫工程的施工階段只要用科學(xué)嚴(yán)謹(jǐn)?shù)膽B(tài)度進(jìn)行管理,火災(zāi)事故是可以避免的。隨著外墻保溫安全和技術(shù)規(guī)程標(biāo)準(zhǔn)的完善,建筑節(jié)能事業(yè)必將健康有序地發(fā)展。

【參考文獻(xiàn)】

篇3

關(guān)鍵詞:電子商務(wù),信息安全,防火墻,權(quán)限控制

 

0 引言

近年來(lái),隨著信息技術(shù)的發(fā)展,各行各業(yè)都利用計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)開(kāi)展業(yè)務(wù)工作。廣西百色田陽(yáng)縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術(shù)建有專門(mén)的網(wǎng)站,通過(guò)網(wǎng)站實(shí)施農(nóng)產(chǎn)品信息、電子支付等商務(wù)工作。但是基于互聯(lián)網(wǎng)的電了商務(wù)的安全問(wèn)題日益突出,并且該問(wèn)題已經(jīng)嚴(yán)重制約了農(nóng)產(chǎn)品電子商務(wù)的進(jìn)一步發(fā)展。

1 農(nóng)產(chǎn)品電子商務(wù)的安全需求

根據(jù)電子商務(wù)系統(tǒng)的安全性要求,田陽(yáng)農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)需要滿足系統(tǒng)的實(shí)體安全、運(yùn)行安全和信息安全三方面的要求。

1) 系統(tǒng)實(shí)體安全

系統(tǒng)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故(如電磁污染等)破壞的措施和過(guò)程。

2) 系統(tǒng)運(yùn)行安全系統(tǒng)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn),提供一套安全措施(如風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急)來(lái)保護(hù)信息處理過(guò)程的安全。項(xiàng)目組在實(shí)施項(xiàng)目前已對(duì)系統(tǒng)進(jìn)行了靜態(tài)的風(fēng)險(xiǎn)分析,防止計(jì)算機(jī)受到病毒攻擊,阻止黑客侵入破壞系統(tǒng)獲取非法信息,因此系統(tǒng)備份是必不可少的(如采用放置在不同地區(qū)站點(diǎn)的多臺(tái)機(jī)器進(jìn)行數(shù)據(jù)的實(shí)時(shí)備份)。為防止意外停電,系統(tǒng)需要配備多臺(tái)備用電源,作為應(yīng)急設(shè)施。

3) 信息安全

系統(tǒng)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)標(biāo)識(shí)、控制。系統(tǒng)的核心服務(wù)是交易服務(wù),因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性,即保護(hù)客戶的私人信息,不被非法竊取。同時(shí)系統(tǒng)要具有認(rèn)證性和完整性,即確??蛻羯矸莸暮戏ㄐ?,保證預(yù)約信息的真實(shí)性和完整性,系統(tǒng)要實(shí)現(xiàn)基于角色的安全訪問(wèn)控制、保證系統(tǒng)、數(shù)據(jù)和服務(wù)由合法的客戶、人員訪問(wèn),即保證系統(tǒng)的可控性。在這基礎(chǔ)上要實(shí)現(xiàn)系統(tǒng)的不可否認(rèn)性,要有效防止通信或交易雙方對(duì)已進(jìn)行的業(yè)務(wù)的否認(rèn)。

2 農(nóng)產(chǎn)品電子商和安全策略

為了滿足電子商務(wù)的安全要求,電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù),具體可采用的技術(shù)如下:

2.1基于多重防范的網(wǎng)絡(luò)安全策略

1) 防火墻技術(shù)

防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的,在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護(hù)屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過(guò)保護(hù)屏障,并在此進(jìn)行檢查和連接,只有被授權(quán)的信息才能通過(guò)此保護(hù)屏障,從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離,防止非法入侵、非法盜用系統(tǒng)資源,執(zhí)行安全管制機(jī)制,記錄可疑事件等。

防火墻具有很好的保護(hù)作用。論文大全,信息安全。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。

邊界防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。論文大全,信息安全。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。論文大全,信息安全。

2) VPN 技術(shù)

VPN 技術(shù)也是一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一,它是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò),數(shù)據(jù)通過(guò)建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線,連接上本地的公眾信息網(wǎng),其分支機(jī)構(gòu)就可以相互之間安全的傳遞信息。同時(shí),企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備,讓自己的用戶撥號(hào)到公眾信息網(wǎng)上,就可以進(jìn)入企業(yè)網(wǎng)中。使用VPN 技術(shù)可以節(jié)省成本、擴(kuò)展性強(qiáng)、提供遠(yuǎn)程訪問(wèn)、便于管理和實(shí)現(xiàn)全面控制,是當(dāng)前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。

VPN提供用戶一種私人專用(Private)的感覺(jué),因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問(wèn)題。VPN的安全性可通過(guò)隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Intranet VPN中,要有高強(qiáng)度的加密技術(shù)來(lái)保護(hù)敏感信息;在遠(yuǎn)程訪問(wèn)VPN中要有對(duì)遠(yuǎn)程用戶可*的認(rèn)證機(jī)制。

性能

VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高,但在Internet時(shí)代,隨著電子商務(wù)活動(dòng)的激增,網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生,這給VPN性能的穩(wěn)定帶來(lái)極大的影響。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來(lái)確保其性能。通過(guò)VPN平臺(tái),管理員定義管理政策來(lái)激活基于重要性的出入口帶寬分配。這樣既能確保對(duì)數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級(jí)應(yīng)用的性能,又不會(huì)“餓死”,低優(yōu)先級(jí)的應(yīng)用。

管理問(wèn)題

由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加,網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長(zhǎng),對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)管理,網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分。VPN是公司對(duì)外的延伸,因此VPN要有一個(gè)固定管理方案以減輕管理、報(bào)告等方面負(fù)擔(dān)。管理平臺(tái)要有一個(gè)定義安全政策的簡(jiǎn)單方法,將安全政策進(jìn)行分布,并管理大量設(shè)備。論文大全,信息安全。

2.2基于角色訪問(wèn)的權(quán)限控制策略

農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對(duì)象,與這些對(duì)象有關(guān)的用戶數(shù)量也非常多,所以用戶權(quán)限管理工作非常重要。

目前權(quán)根控制方法很多,我們采用基于RBAC演變的權(quán)限制制思路。在RBAC之中,包含用戶、角色、目標(biāo)、操作、許可權(quán)五個(gè)基本數(shù)據(jù)元素,權(quán)限被賦予角色,而不是用戶,當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí),此用戶就擁有了該角色所包含的權(quán)限。角色訪問(wèn)控制策略主要是兩方面的工作:

(1)確定角色

根據(jù)系統(tǒng)作業(yè)流程的任務(wù),并結(jié)合實(shí)際的操作崗位劃分角色。角色分為高級(jí)別角色和代級(jí)別角色,低級(jí)別角色可以為高級(jí)別角色的子角色,高級(jí)別角色完全繼承其子角色的權(quán)限。

(2)分配權(quán)限策略

根據(jù)系統(tǒng)的實(shí)際功能結(jié)構(gòu)對(duì)系統(tǒng)功能進(jìn)行編碼,系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權(quán)限,以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后,此時(shí)角色不發(fā)生沖突,對(duì)該角色的權(quán)限不能輕易進(jìn)行修改,以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突。論文大全,信息安全。論文大全,信息安全。對(duì)用戶的權(quán)限控制通過(guò)功能菜單權(quán)限控制或者激活權(quán)限控制來(lái)具體實(shí)現(xiàn)。用戶登陸系統(tǒng)時(shí),系統(tǒng)會(huì)根據(jù)用戶的角色的并集,從而得到用戶的權(quán)限,由權(quán)限得到菜單項(xiàng)對(duì)該用戶的可視屬性是true/false,從而得到用戶菜單。

2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略

在農(nóng)產(chǎn)品商務(wù)系統(tǒng)中,數(shù)據(jù)庫(kù)系統(tǒng)作為計(jì)算機(jī)信息系統(tǒng)核心部件,數(shù)據(jù)庫(kù)文件作為信息的聚集體,其安全性將是重中之重。

1)數(shù)據(jù)庫(kù)加密系統(tǒng)措施

(1)在用戶進(jìn)入系統(tǒng)進(jìn)行兩級(jí)安全控制

這種控制可以采用多種方式,包括設(shè)置數(shù)據(jù)庫(kù)用戶名和口令,或者利用IC卡讀寫(xiě)器或者指紋識(shí)別器進(jìn)行用戶身份認(rèn)證。

2)防止非法復(fù)制

對(duì)于服務(wù)器來(lái)說(shuō),可以采用軟指紋技術(shù)防止非法復(fù)制,當(dāng)然,權(quán)限控制、備份/復(fù)制和審計(jì)控制也是實(shí)行的一樣。

3)安全的數(shù)據(jù)抽取方式

提供兩種卸出和裝入數(shù)據(jù)庫(kù)中的加密數(shù)據(jù)的方式:其一是用密文式卸出,這種卸出方式不解密,卸出的數(shù)據(jù)還是密文,在這種模式下,可直接使用dbms提供的卸出、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密,卸出的數(shù)據(jù)明文,在這種模式下,可利用系統(tǒng)專用工具先進(jìn)行數(shù)據(jù)轉(zhuǎn)換,再使用dbms提供的卸出、裝入工具完成。

3結(jié)束語(yǔ)

隨著信息化技術(shù)的快速發(fā)展,農(nóng)產(chǎn)品電子商務(wù)創(chuàng)新必須適應(yīng)新的變化,必須充分考慮信息安全因素與利用信息安全技術(shù),這樣才能實(shí)現(xiàn)農(nóng)產(chǎn)品電子商務(wù)業(yè)務(wù)快速增長(zhǎng),本文所述的安全策略,對(duì)當(dāng)前實(shí)施電子商務(wù)有一定效果的,是值得推介應(yīng)用的。

參考文獻(xiàn):

[1]盧華玲.電子商務(wù)安全技術(shù)研究[J].重慶工學(xué)院學(xué)報(bào)(自然科學(xué)版),2007,(12):71-73.

[2]唐文龍.基于角色訪問(wèn)控制在農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)中的應(yīng)用[j]. 大眾科技.34-35

[3]張立克.電子商務(wù)及其安全保障技術(shù)[J].水利電力機(jī)械,2007,29(2):69-74.

篇4

1 傳統(tǒng)防火墻的不足

傳統(tǒng)防火墻是現(xiàn)代網(wǎng)絡(luò)安全防范的主要支柱,但在安全要求較高的大型網(wǎng)絡(luò)中存在一些不足,主要表現(xiàn)如下:

(1) 結(jié)構(gòu)性限制。傳統(tǒng)防火墻的工作原理依賴于網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu),如今,越來(lái)越多的跨地區(qū)企業(yè)利用Internet來(lái)架構(gòu)自己的網(wǎng)絡(luò),致使企業(yè)內(nèi)部網(wǎng)絡(luò)已基本上成為一個(gè)邏輯概念,因此,用傳統(tǒng)的方式來(lái)區(qū)別內(nèi)外網(wǎng)絡(luò)十分困難。

(2) 防外不防內(nèi)。雖然有些傳統(tǒng)防火墻可以防止內(nèi)部用戶的惡意破壞,但在大多數(shù)情況下,用戶使用和配置防火墻主要還是防止來(lái)自外部網(wǎng)絡(luò)的入侵。

(3) 效率問(wèn)題。傳統(tǒng)防火墻把檢查機(jī)制集中在網(wǎng)絡(luò)邊界處的單一接點(diǎn)上,因此,防火墻容易形成網(wǎng)絡(luò)的瓶頸。

(4) 故障問(wèn)題。傳統(tǒng)防火墻本身存在著單點(diǎn)故障問(wèn)題。一旦處于安全節(jié)點(diǎn)上的防火墻出現(xiàn)故障或被入侵,整個(gè)內(nèi)部網(wǎng)絡(luò)將完全暴露在外部攻擊者的前面。

2 分布式防火墻的概念

為了解決傳統(tǒng)防火墻面臨的問(wèn)題,美國(guó)AT&T實(shí)驗(yàn)室研究員Steven M.Bellovin于1999年在他的論文“分布式防火墻”中首次提出了分布式防火墻的定義,其系統(tǒng)由以下三部分組成:

(1) 網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)防火墻承擔(dān)著傳統(tǒng)防火墻相同的職能,負(fù)責(zé)內(nèi)外網(wǎng)絡(luò)之間不同安全域的劃分;同時(shí),用于對(duì)內(nèi)部網(wǎng)絡(luò)中各子網(wǎng)之間的防護(hù)。

(2) 主機(jī)防火墻。為了擴(kuò)大防火墻的應(yīng)用范圍,在分布式防火墻系統(tǒng)中設(shè)置了主機(jī)防火墻。主機(jī)防火墻駐留在主機(jī)中,并根據(jù)響應(yīng)的安全策略對(duì)網(wǎng)絡(luò)中的服務(wù)器及客戶端計(jì)算機(jī)進(jìn)行安全保護(hù)。

(3) 中心管理服務(wù)器。中心管理服務(wù)器是整個(gè)分布式防火墻的管理核心,主要負(fù)責(zé)安全策略的制定、分發(fā)及日志收集和分析等操作。

3 分布式防火墻的工作模式

分布式防火墻的工作模式:由中心策略服務(wù)器統(tǒng)一制定安全策略,然后將這些制定好的策略分發(fā)到各個(gè)相關(guān)節(jié)點(diǎn)。而安全策略的執(zhí)行則由相關(guān)主機(jī)節(jié)點(diǎn)獨(dú)立實(shí)施,再由各主機(jī)產(chǎn)生的安全日志集中保存在中心管理服務(wù)器上,其工作模式如圖所示。

分布式防火墻工作模式結(jié)構(gòu)

從圖中可以看出,分布式防火墻不再完全依賴于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來(lái)定義不同的安全域,可信賴的內(nèi)部網(wǎng)絡(luò)發(fā)生了概念上的變化,它已經(jīng)成為一個(gè)邏輯上的網(wǎng)絡(luò),從而打破了傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)拓?fù)涞囊蕾?。但是,各主機(jī)節(jié)點(diǎn)在處理數(shù)據(jù)時(shí),必須根據(jù)中心策略服務(wù)器所分發(fā)的安全策略來(lái)決定是否允許某一節(jié)點(diǎn)通過(guò)防火墻。

4 分布式防火墻的構(gòu)建

分布式防火墻的構(gòu)建主要有如下四個(gè)步驟:

(1) 策略的制定和分發(fā)。在分布式防火墻系統(tǒng)中,策略是針對(duì)主機(jī)制定的。在制定策略之后通過(guò)策略管理中心“推送”和主機(jī)“索取”兩種機(jī)制分發(fā)到主機(jī)。

(2) 日志的收集。在分布式防火墻中,日志可以通過(guò)管理中心“定期采集”、主機(jī)“定期傳送”、主機(jī)“定量傳送”由主機(jī)傳送到管理中心。

(3) 策略實(shí)施。策略在管理中心統(tǒng)一制定,通過(guò)分發(fā)機(jī)制傳送到終端的主機(jī)防火墻,主機(jī)防火墻根據(jù)策略的配置在受保護(hù)主機(jī)上進(jìn)行策略的實(shí)施。主機(jī)防火墻策略實(shí)施的有效性是分布式防火墻系統(tǒng)運(yùn)行的基礎(chǔ)。

(4) 認(rèn)證。在分布式防火墻系統(tǒng)中通常采用基于主機(jī)的認(rèn)證方式,即根據(jù)IP地址進(jìn)行認(rèn)證。為了避免IP地址欺騙,可以采用一些強(qiáng)認(rèn)證方法,例如Kerberos、X.509、IP Sec等。

5 分布式防火墻的主要優(yōu)勢(shì)

在新的安全體系結(jié)構(gòu)下,分布式防火墻代表新一代防火墻技術(shù)的潮流,它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏障,從而形成了一個(gè)多層次、多協(xié)議,內(nèi)外皆防的全方位安全體系。主要優(yōu)勢(shì)如下:

(1) 分布式防火墻增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能,加強(qiáng)了對(duì)來(lái)自內(nèi)部攻擊的防范,可以實(shí)施全方位的安全策略。

(2) 分布式防火墻消除了結(jié)構(gòu)性瓶頸問(wèn)題,提高了系統(tǒng)性能。

(3) 分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無(wú)限擴(kuò)充的能力。

6 結(jié)論

總之,在企事業(yè)單位的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中,分布式防火墻技術(shù)不僅克服了傳統(tǒng)邊界式防火墻的不足,而且把防火墻的安全防護(hù)系統(tǒng)延伸到網(wǎng)絡(luò)中的各臺(tái)主機(jī)。它在整個(gè)企事業(yè)網(wǎng)絡(luò)或服務(wù)器中,具有無(wú)限制的擴(kuò)展能力。隨著網(wǎng)絡(luò)的增長(zhǎng),它們的處理負(fù)荷也會(huì)在網(wǎng)絡(luò)中進(jìn)一步分布,從而持續(xù)地保持高性能,最終給網(wǎng)絡(luò)提供全面的安全防護(hù)。

參考文獻(xiàn)

[1],李臻,彭紀(jì)奎.基于入侵檢測(cè)的分布式防火墻的應(yīng)用研究[J].微電子學(xué)與計(jì)算機(jī),2011(6).

篇5

關(guān)鍵詞:計(jì)算機(jī),網(wǎng)絡(luò)安全,防火墻

 

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,網(wǎng)絡(luò)安全問(wèn)題日漸突出。網(wǎng)絡(luò)具有跨國(guó)界、無(wú)主管、不設(shè)防、開(kāi)放、自由、缺少法律約束力等特性,網(wǎng)絡(luò)的這些特性顯示了它的許多優(yōu)點(diǎn),但同時(shí)也使它容易受到來(lái)自各方面的入侵和攻擊。如果不很好地解決這個(gè)問(wèn)題,必將阻礙計(jì)算機(jī)網(wǎng)絡(luò)化發(fā)展的進(jìn)程。

1 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全從本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全,指網(wǎng)絡(luò)系統(tǒng)中流動(dòng)和保存的數(shù)據(jù),不受到偶然的或者惡意的破壞、泄露、更改,系統(tǒng)能連續(xù)正常的工作,網(wǎng)絡(luò)服務(wù)不中斷。從廣義上來(lái)說(shuō),凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。

2 網(wǎng)絡(luò)安全的威脅因素

歸納起來(lái),網(wǎng)絡(luò)安全的威脅主要有:

(1)網(wǎng)絡(luò)協(xié)議的局限性?!nternet的基石是TCP/IP協(xié)議簇,該協(xié)議簇在實(shí)現(xiàn)上力求效率,而沒(méi)有考慮安全因素,因?yàn)槟菢訜o(wú)疑增大代碼量,從而降低了TCP/IP的運(yùn)行效率,所以說(shuō)TCP/IP本身在設(shè)計(jì)上就是不安全的。并且,由于TCP/IP協(xié)議是公布于眾的,若人們對(duì)TCP/IP協(xié)議很熟悉,就可以利用它的安全缺陷來(lái)實(shí)施網(wǎng)絡(luò)攻擊。

(2) 人為的無(wú)意失誤。如操作員安全配置不當(dāng)造成的安全漏洞,用戶口令選擇不慎,用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。雖然網(wǎng)絡(luò)中設(shè)置了不少保護(hù)屏障,但由于人們的安全意識(shí)淡薄,從而使保護(hù)措施形同虛設(shè)。例如防火墻,它是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度,其主要目的就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過(guò)這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭受外界因素的干擾和破壞。如有人為了避開(kāi)防火墻服務(wù)器的額外認(rèn)證,進(jìn)行直接的PPP連接,就會(huì)使防火墻失去保護(hù)作用。

(3)計(jì)算機(jī)病毒的危害。 計(jì)算機(jī)病毒是一個(gè)能夠通過(guò)修改程序,把自身復(fù)制進(jìn)去進(jìn)而去傳染其它程序的程序。它并不獨(dú)立存在,而是寄生在其他程序之中,它具有能自我“復(fù)制”并能“傳播”這一基本特征,并在計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部反復(fù)地自我繁殖和擴(kuò)散,危及網(wǎng)絡(luò)系統(tǒng)正常工作,最終使計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)發(fā)生故障和癱瘓。目前全世界的計(jì)算機(jī)活體病毒達(dá)14萬(wàn)多種,其傳播途徑不僅通過(guò)軟盤(pán)、硬盤(pán)傳播,還可以通過(guò)網(wǎng)絡(luò)的電子郵件和下載軟件傳播。隨著計(jì)算機(jī)應(yīng)用的發(fā)展,人們深刻地認(rèn)識(shí)到病毒對(duì)計(jì)算機(jī)信息系統(tǒng)造成嚴(yán)重的破壞。

(4) 黑客的威脅和攻擊?!∵@是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為2種:一種是網(wǎng)絡(luò)攻擊,以各種方式有選擇地破壞對(duì)方信息的有效性和完整性;另一類是網(wǎng)絡(luò)偵察,他是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取、破譯以獲得對(duì)方重要的機(jī)密信息。這2種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄露。網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。黑客入侵的例子枚不勝舉,從某種意義上講,黑客對(duì)信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。

3計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施

針對(duì)網(wǎng)絡(luò)系統(tǒng)現(xiàn)實(shí)情況,處理好網(wǎng)絡(luò)的安全問(wèn)題是當(dāng)務(wù)之急。為了保證網(wǎng)絡(luò)安全采用如下方法:

(1)配置防火墻。防火墻將內(nèi)部網(wǎng)和公開(kāi)網(wǎng)分開(kāi),實(shí)質(zhì)上是一種隔離技術(shù)。它是網(wǎng)絡(luò)安全的屏障,是保護(hù)網(wǎng)絡(luò)安全最主要的手段之一。免費(fèi)論文。利用防火墻,在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問(wèn)控制尺度,允許防火墻同意訪問(wèn)的人與數(shù)據(jù)進(jìn)人自己的內(nèi)部網(wǎng)絡(luò),同時(shí)將不允許的用戶與數(shù)據(jù)拒之門(mén)外,最大限度地阻止網(wǎng)絡(luò)中的黑客隨意訪問(wèn)自己的網(wǎng)絡(luò)。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以,防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。免費(fèi)論文。

(2)安裝防病毒網(wǎng)關(guān)軟件。防病毒網(wǎng)關(guān)放置在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接處。當(dāng)在內(nèi)部網(wǎng)絡(luò)發(fā)現(xiàn)病毒時(shí),可能已經(jīng)感染了很多計(jì)算機(jī),防病毒網(wǎng)關(guān)可以將大部分病毒隔離在外部,它同時(shí)具有反垃圾郵件和反間諜軟件的能力。當(dāng)出現(xiàn)新的病毒時(shí),管理員只要將防病毒網(wǎng)關(guān)升級(jí)就可以抵御新病毒的攻擊。

(3)應(yīng)用入侵檢測(cè)系統(tǒng)。入侵檢測(cè)技術(shù)是近20年來(lái)出現(xiàn)的一種主動(dòng)保護(hù)自己免受黑客攻擊的新型網(wǎng)絡(luò)安全技術(shù)。它能夠檢測(cè)那些來(lái)自網(wǎng)絡(luò)的攻擊,檢測(cè)到超過(guò)授權(quán)的非法訪問(wèn)。一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不需要改變服務(wù)器等主機(jī)的配置。由于它不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)安裝額外的軟件,從而不會(huì)影響這些機(jī)器的CPU、I/O與磁盤(pán)等資源的使用,不會(huì)影響業(yè)務(wù)的性能。它從系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的或系統(tǒng)所處理的各種數(shù)據(jù)中查找出威脅系統(tǒng)安全的因素,并對(duì)威脅做出相應(yīng)的處理。免費(fèi)論文。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén),它在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng),則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。

(4)利用網(wǎng)絡(luò)監(jiān)聽(tīng)維護(hù)子網(wǎng)系統(tǒng)安全。對(duì)于網(wǎng)絡(luò)外部的入侵可以通過(guò)安裝防火墻來(lái)解決,但是對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲則無(wú)能為力。在這種情況下,可以采用對(duì)各個(gè)子網(wǎng)做一有一定功能的審計(jì)文件,為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)。設(shè)計(jì)一個(gè)子網(wǎng)專用的監(jiān)聽(tīng)程序。該軟件的主要功能為長(zhǎng)期監(jiān)聽(tīng)子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況,為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份。

(5)采用漏洞掃描技術(shù)。漏洞掃描是針對(duì)特定信息網(wǎng)絡(luò)中存在的漏洞而進(jìn)行的。信息網(wǎng)絡(luò)中無(wú)論是主機(jī)還是網(wǎng)絡(luò)設(shè)備都可能存在安全隱患,有些是系統(tǒng)設(shè)計(jì)時(shí)考慮不周而留下的,有些是系統(tǒng)建設(shè)時(shí)出現(xiàn)的。這些漏洞很容易被攻擊,從而危及信息網(wǎng)絡(luò)的安全。漏洞掃描是自動(dòng)檢測(cè)遠(yuǎn)端或本地主機(jī)安全的技術(shù),它查詢TCP/IP各種服務(wù)的端口,并記錄目標(biāo)主機(jī)的響應(yīng),收集關(guān)于某些特定項(xiàng)目的有用信息。它的具體實(shí)現(xiàn)是安全掃描程序,掃描程序可以在很短的時(shí)間內(nèi)查出現(xiàn)存的安全脆弱點(diǎn)。掃描程序開(kāi)發(fā)者利用可得到的攻擊方法,把它們集成到整個(gè)掃描中,掃描后以統(tǒng)計(jì)的格式輸出,便于參考和分析。

(6)應(yīng)用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)就是對(duì)信息進(jìn)行重新編碼,從而隱藏信息內(nèi)容,使非法用戶無(wú)法獲取信息的真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。

(7)常做數(shù)據(jù)備份。由于數(shù)據(jù)備份所占有的重要地位,它已經(jīng)成為計(jì)算機(jī)領(lǐng)域里相對(duì)獨(dú)立的分支機(jī)構(gòu)。時(shí)至今日,各種操作系統(tǒng)都附帶有功能較強(qiáng)的備份程序,但同時(shí)也還存在這樣或那樣的缺陷;各類數(shù)據(jù)庫(kù)管理系統(tǒng)也都有一定的數(shù)據(jù)復(fù)制的機(jī)理和功能,但對(duì)整個(gè)系統(tǒng)的數(shù)據(jù)備份來(lái)說(shuō)仍有不夠完備之處。所以,若想根本解決整個(gè)系統(tǒng)數(shù)據(jù)的可靠備份問(wèn)題,選擇專門(mén)的備份軟、硬件,建立專用的數(shù)據(jù)備份系統(tǒng)是不可缺少的。

結(jié)語(yǔ)

隨著網(wǎng)絡(luò)的迅速發(fā)展,網(wǎng)絡(luò)技術(shù)的日漸更新,網(wǎng)絡(luò)時(shí)代的計(jì)算機(jī)信息安全越來(lái)越重要,網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程,需要仔細(xì)考慮系統(tǒng)的安全需求,并將各種安全技術(shù)結(jié)合在一起,才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

f參考 文 獻(xiàn) ]

[1盧開(kāi)澄:《計(jì)算機(jī)密碼學(xué)一計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)預(yù)安全》(清華大學(xué)出版社1998).

[2余建斌:《黑客的攻擊手段及用戶對(duì)策》(北京人民郵電出版社1998).

[3〕蔡立軍:《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》(中國(guó)水利水電出版社2002).

[41鄧文淵、陳惠貞、陳俊榮:(ASP與網(wǎng)絡(luò)數(shù)據(jù)庫(kù)技術(shù)》(中國(guó)鐵道出版社2003.4).

篇6

隨著信息產(chǎn)業(yè)的高速發(fā)展,眾多企業(yè)都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng),以充分利用各類信息資源。但是我們?cè)谙硎苄畔a(chǎn)業(yè)發(fā)展帶給我們的便利的同時(shí),也面臨著巨大的風(fēng)險(xiǎn)。我們的系統(tǒng)隨時(shí)可能遭受病毒的感染、黑客的入侵,這都可以給我們?cè)斐删薮蟮膿p失。本文主要介紹了信息系統(tǒng)所面臨的技術(shù)安全隱患,并提出了行之有效的解決方案。

關(guān)鍵字:信息系統(tǒng)信息安全身份認(rèn)證安全檢測(cè)

Abstract:

Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.

Keywords:InformationsystemInformationsecurity

StatusauthenticationSafeexamination

一、目前信息系統(tǒng)技術(shù)安全的研究

1.企業(yè)信息安全現(xiàn)狀分析

隨著信息化進(jìn)程的深入,企業(yè)信息安全己經(jīng)引起人們的重視,但依然存在不少問(wèn)題。一是安全技術(shù)保障體系尚不完善,企業(yè)花了大量的金錢(qián)購(gòu)買(mǎi)了信息安全設(shè)備,但是技術(shù)保障不成體系,達(dá)不到預(yù)想的目標(biāo):二是應(yīng)急反應(yīng)體系沒(méi)有經(jīng)?;⒅贫然?三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。

2003年5月至2004年5月,在7072家被調(diào)查單位中有4057家單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件,占被調(diào)查總數(shù)的58%。調(diào)查結(jié)果表明,造成網(wǎng)絡(luò)安全事件發(fā)生的主要原因是安全管理制度不落實(shí)和安全防范意識(shí)薄弱。其中,由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的“%,登錄密碼過(guò)于簡(jiǎn)單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%.

對(duì)于網(wǎng)絡(luò)安全管理情況的調(diào)查:調(diào)查表明,近年來(lái),使用單位對(duì)信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高,80%的被調(diào)查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請(qǐng)信息安全服務(wù)企業(yè)提供專業(yè)化的安全服務(wù)。調(diào)查表明,認(rèn)為單位信息網(wǎng)絡(luò)安全防護(hù)能力“較高”和“一般”的比較多,分別占44%。但是,被調(diào)查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿足要求等問(wèn)題,也說(shuō)明目前安全管理水平和社會(huì)化服務(wù)的程度還比較低。

2.企業(yè)信息安全防范的任務(wù)

信息安全的任務(wù)是多方面的,根據(jù)當(dāng)前信息安全的現(xiàn)狀,制定信息安全防范的任務(wù)主要是:

從安全技術(shù)上,進(jìn)行全面的安全漏洞檢測(cè)和分析,針對(duì)檢測(cè)和分析的結(jié)果制定防范措施和完整的解決方案;正確配置防火墻、網(wǎng)絡(luò)防病毒軟件、入侵檢測(cè)系統(tǒng)、建立安全認(rèn)證系統(tǒng)等安全系統(tǒng)。

從安全管理上,建立和完善安全管理規(guī)范和機(jī)制,切實(shí)加強(qiáng)和落實(shí)安全管理制度,增強(qiáng)安全防范意識(shí)。

信息安全防范要確保以下幾方面的安全。網(wǎng)絡(luò)安全:保障各種網(wǎng)絡(luò)資源(資源、實(shí)體、載體)穩(wěn)定可靠地運(yùn)行、受控合法地使用。信息安全:保障存儲(chǔ)、傳輸、應(yīng)用的機(jī)密性(Confidentiality)、完整性(Integrity)、抗否認(rèn)性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預(yù)防內(nèi)部犯罪。

二、計(jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)的安全防范措施

(一)網(wǎng)絡(luò)層安全措施

①防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中,尤其以接入Internet網(wǎng)絡(luò)為甚。

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。

防火墻是網(wǎng)絡(luò)安全的屏障:一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì):如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。防止內(nèi)部信息的外泄:通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。除了安全作用,有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過(guò)VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng),有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路,而且為信息共享提供了技術(shù)保障。

②入侵檢測(cè)技術(shù)

IETF將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件:事件產(chǎn)生器(EventGenerators);事件分析器(EventAnalyzers);響應(yīng)單元(ResponseUnits)和事件數(shù)據(jù)庫(kù)(EventDataBases)。事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元,它可以做出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復(fù)雜的數(shù)據(jù)庫(kù),也可以是簡(jiǎn)單的文本文件。

根據(jù)檢測(cè)對(duì)象的不同,入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型?;谥鳈C(jī)的監(jiān)測(cè)。主機(jī)型入侵檢測(cè)系統(tǒng)就是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源,當(dāng)然也可以通過(guò)其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。這種系統(tǒng)經(jīng)常運(yùn)行在被監(jiān)測(cè)的系統(tǒng)之上,用以監(jiān)測(cè)系統(tǒng)上正在運(yùn)行的進(jìn)程是否合法。最近出現(xiàn)的一種ID(IntrusionDetection):位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測(cè)系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺(tái)。網(wǎng)絡(luò)型入侵檢測(cè)。它的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺(tái)機(jī)子的網(wǎng)卡設(shè)于混雜模式(PromiseMode),對(duì)所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行信息收集,并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)。

對(duì)各種事件進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。從技術(shù)上,入侵檢測(cè)分為兩類:一種基于標(biāo)志(CSignature-Based),另一種基于異常情況(Abnormally-Based)。

(二)服務(wù)器端安全措施只有正確的安裝和設(shè)置操作系統(tǒng),才能使其在安全方面發(fā)揮應(yīng)有的作用。下面以WIN2000SERVER為例。

①正確地分區(qū)和分配邏輯盤(pán)。

微軟的IIS經(jīng)常有泄漏源碼/溢出的漏洞,如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。本系統(tǒng)的配置是建立三個(gè)邏輯驅(qū)動(dòng)器,C盤(pán)20G,用來(lái)裝系統(tǒng)和重要的日志文件,D盤(pán)20G放IIS,E盤(pán)20G放FTP,這樣無(wú)論IIS或FTP出了安全漏洞都不會(huì)直接影響到系統(tǒng)目錄和系統(tǒng)文件。因?yàn)?,IIS和FTP是對(duì)外服務(wù)的,比較容易出問(wèn)題。而把IIS和FTP分開(kāi)主要是為了防止入侵者上傳程序并從IIS中運(yùn)行。

②正確

地選擇安裝順序。

一般的人可能對(duì)安裝順序不太重視,認(rèn)為只要安裝好了,怎么裝都可以的。很多時(shí)候正是因?yàn)楣芾韱T思想上的松懈才給不法分子以可乘之機(jī)。Win2000在安裝中有幾個(gè)順序是一定要注意的:

首先,何時(shí)接入網(wǎng)絡(luò):Win2000在安裝時(shí)有一個(gè)漏洞,在你輸入Administrator密碼后,系統(tǒng)就建立了ADMIN$的共享,但是并沒(méi)有用你剛剛輸入的密碼來(lái)保護(hù)它這種情況一直持續(xù)到你再次啟動(dòng)后,在此期間,任何人都可以通過(guò)ADMIN$進(jìn)入你的機(jī)器;同時(shí),只要安裝一完成,各種服務(wù)就會(huì)自動(dòng)運(yùn)行,而這時(shí)的服務(wù)器是滿身漏洞,非常容易進(jìn)入的,因此,在完全安裝并配置好Win2000SERVER之前,一定不要把主機(jī)接入網(wǎng)絡(luò)。

其次,補(bǔ)丁的安裝:補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后,因?yàn)檠a(bǔ)丁程序往往要替換/修改某些系統(tǒng)文件,如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩,卻很必要。

(三)安全配置

①端口::端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,從安全的角度來(lái)看,僅打開(kāi)你需要使用的端口會(huì)比較安全,配置的方法是在網(wǎng)卡屬性——TCP/IP——高級(jí)——選項(xiàng)——TCP/IP篩選中啟用TCP/IP篩選,不過(guò)對(duì)于Win2000的端口過(guò)濾來(lái)說(shuō),有一個(gè)不好的特性:只能規(guī)定開(kāi)哪些端口,不能規(guī)定關(guān)閉哪些端口;這樣對(duì)于需要開(kāi)大量端口的用戶就比較麻煩。

②IIS:IIS是微軟的組件中漏洞最多的一個(gè),平均兩三個(gè)月就要出一個(gè)漏洞,而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維,所以IIS的配置是我們的重點(diǎn),所以在本系統(tǒng)的WWW服務(wù)器采取下面的設(shè)置:

首先,把操作系統(tǒng)在C盤(pán)默認(rèn)安裝的Inetpub目錄徹底刪掉,在D盤(pán)建一個(gè)Inetpub在IIS管理器中將主目錄指向D:\Inetpub。

其次,在IIS安裝時(shí)默認(rèn)的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標(biāo)。我們雖然已經(jīng)把Inetpub從系統(tǒng)盤(pán)挪出來(lái)了,但這樣作也是完全必要的。如果需要什么權(quán)限的目錄可以在需要的時(shí)候再建,需要什么權(quán)限開(kāi)什么。特別注意寫(xiě)權(quán)限和執(zhí)行程序的權(quán)限,沒(méi)有絕對(duì)的必要千萬(wàn)不要給。

③應(yīng)用程序配置:在IIS管理器中刪除必須之外的任何無(wú)用映射,必須指出的是ASP,ASP和其它確實(shí)需要用到的文件類型。我們不需要IIS提供的應(yīng)用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機(jī)一屬性一WWW服務(wù)編輯一主目錄配置一應(yīng)用程序映射,然后就一個(gè)個(gè)刪除這些映射。點(diǎn)擊“確定”退出時(shí)要讓虛擬站點(diǎn)繼承剛才所設(shè)定的屬性。

經(jīng)過(guò)了Win2000Server的正確安裝與正確配置,操作系統(tǒng)的漏洞得到了很好的預(yù)防,同時(shí)增加了補(bǔ)丁,這樣子就大大增強(qiáng)了操作系統(tǒng)的安全性能。

雖然信息管理系統(tǒng)安全性措施目前已經(jīng)比較成熟,但我們切不可馬虎大意,只有不斷學(xué)習(xí)新的網(wǎng)絡(luò)安全知識(shí)、采取日新月異的網(wǎng)絡(luò)安全措施,才能保證我們的網(wǎng)絡(luò)安全防御真正金湯。

參考文獻(xiàn):

劉海平,朱仲英.一個(gè)基于ASP的在線會(huì)員管理信息系統(tǒng).微型電腦應(yīng)用.2002(10)

東軟集團(tuán)有限公司,NetEye防火墻使用指南3.0,1-3

賈晶,陳元,王麗娜編著,信息系統(tǒng)的安全與保密,第一版,1999.01,清華大學(xué)出版社

EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94

楊兵.網(wǎng)絡(luò)系統(tǒng)安全技術(shù)研究及其在寶鋼設(shè)備采購(gòu)管理系統(tǒng)中的應(yīng)用:(學(xué)位論文).遼寧:東北大學(xué),2002

劉廣良.建設(shè)銀行計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全管理策略研究:(學(xué)位論文).湖南:湖南大學(xué).2001

篇7

關(guān)鍵字:ASP

網(wǎng)絡(luò)安全

服務(wù)器 措施

The network security of the information system based on the ASP

Abstract:This article first introduced the basic principle of the ASP technology, then elaborated the common security loophole and the technical security hidden danger of information system based on the ASP technology. Finally,explained the safe guard measure of the information system based on the ASP from the network level, the server broke, the database level these three aspects in detail .

Keywords:ASP

network security

server

measures

隨著信息技術(shù)的高速發(fā)展,企業(yè)通過(guò)網(wǎng)絡(luò)建立了自己的信息管理系統(tǒng),但是大多數(shù)企業(yè)的信息管理系統(tǒng)卻另人擔(dān)憂。因此,了解并學(xué)習(xí)關(guān)于信息管理系統(tǒng)網(wǎng)絡(luò)安全方面的知識(shí)是非常有必要的。

一、ASP技術(shù)的基本原理

ASP(Microsoft Active Server Pages)是微軟開(kāi)發(fā)的一套服務(wù)端腳本環(huán)境,它是一系列對(duì)象和組件的集合。ASP文件就是嵌入可執(zhí)行腳本HTML文檔,將HTML和Active控件結(jié)合起來(lái),以產(chǎn)生和執(zhí)行動(dòng)態(tài)的、交互的、高性能的Web服務(wù)器應(yīng)用程序,擴(kuò)展名為.asp。 ASP技術(shù)是一種用以取代CGI(通用網(wǎng)關(guān)接口,Common Gateway Interface)的技術(shù)。簡(jiǎn)單講,ASP是位于服務(wù)器端的腳本運(yùn)行環(huán)境,通過(guò)這種環(huán)境,用戶可以創(chuàng)建和運(yùn)行動(dòng)態(tài)的交互式Web服務(wù)器應(yīng)用程序,如交互式的動(dòng)態(tài)網(wǎng)頁(yè),包括使用HTML表單收集和處理信息、上傳與下載等,就像用戶在使用自己的CGI程序一樣,但它比CGI簡(jiǎn)單得多。更重要的是,ASP使用的ActiveX技術(shù)基于開(kāi)放設(shè)計(jì)環(huán)境,用戶可以自己定義和制作組件加入其中,使自己的動(dòng)態(tài)網(wǎng)頁(yè)幾乎具有無(wú)限的擴(kuò)充能力,這是傳統(tǒng)的CGI等程序所遠(yuǎn)遠(yuǎn)不及的地方。此外,ASP可利用ADO (Active Date Object,微軟的一種新的數(shù)據(jù)訪問(wèn)模型,類似于DAO)方便地訪問(wèn)數(shù)據(jù)庫(kù),使開(kāi)發(fā)基于WWW的應(yīng)用系統(tǒng)成為可能。目前國(guó)內(nèi)有許多企業(yè)、部門(mén)正在使用ASP技術(shù)管理信息,但是網(wǎng)絡(luò)安全卻另人擔(dān)憂,下面從三個(gè)方面講解基于ASP的信息系統(tǒng)的安全防范措施。

二、基于ASP的信息系統(tǒng)的安全防范措施

(一)網(wǎng)絡(luò)層安全措施

①防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中,尤其以接入Internet網(wǎng)絡(luò)為甚。

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全 。

防火墻是網(wǎng)絡(luò)安全的屏障:一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì):如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。防止內(nèi)部信息的外泄:通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。除了安全作用,有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN 。通過(guò)VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng),有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路,而且為信息共享提供了技術(shù)保障。

對(duì)各種事件進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。從技術(shù)上,入侵檢測(cè)分為兩類:一種基于標(biāo)志(C Signature-Based ),另一種基于異常情況(Abnormally-Based )。

(二)服務(wù)器端安全措施 只有正確的安裝和設(shè)置操作系統(tǒng),才能使其在安全方面發(fā)揮應(yīng)有的作用。下面以WIN2000 SERVER 為例。

①正確地分區(qū)和分配邏輯盤(pán)。

微軟的IIS經(jīng)常有泄漏源碼/溢出的漏洞,如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。本系統(tǒng)的配置是建立三個(gè)邏輯驅(qū)動(dòng)器,C盤(pán)20G,用來(lái)裝系統(tǒng)和重要的日志文件,D盤(pán)20G放IIS, E盤(pán)20G放FTP,這樣無(wú)論IIS或FTP出了安全漏洞都不會(huì)直接影響到系統(tǒng)目錄和系統(tǒng)文件。因?yàn)?,IIS和FTP是對(duì)外服務(wù)的,比較容易出問(wèn)題。而把IIS和FTP分開(kāi)主要是為了防止入侵者上傳程序并從IIS中運(yùn)行。

②正確地選擇安裝順序。

一般的人可能對(duì)安裝順序不太重視,認(rèn)為只要安裝好了,怎么裝都可以的。很多時(shí)候正是因?yàn)楣芾韱T思想上的松懈才給不法分子以可乘之機(jī)。Win2000在安裝中有幾個(gè)順序是一定要注意的:

首先,何時(shí)接入網(wǎng)絡(luò):Win2000在安裝時(shí)有一個(gè)漏洞,在你輸入Administrator密碼后,系統(tǒng)就建立了ADMIN$的共享,但是并沒(méi)有用你剛剛輸入的密碼來(lái)保護(hù)它這種情況一直持續(xù)到你再次啟動(dòng)后,在此期間,任何人都可以通過(guò)ADMIN$進(jìn)入你的機(jī)器;同時(shí),只要安裝一完成,各種服務(wù)就會(huì)自動(dòng)運(yùn)行,而這時(shí)的服務(wù)器是滿身漏洞,非常容易進(jìn)入的,因此,在完全安裝并配置好Win2000 SERVER之前,一定不要把主機(jī)接入網(wǎng)絡(luò)。

其次,補(bǔ)丁的安裝:補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后,因?yàn)檠a(bǔ)丁程序往往要替換/修改某些系統(tǒng)文件,如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果,例如: IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩,卻很必要。

(三)安全配置

①端口::端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,從安全的角度來(lái)看,僅打開(kāi)你需要使用的端口會(huì)比較安全,配置的方法是在網(wǎng)卡屬性——TCP/IP——高級(jí)——選項(xiàng)——TCP/IP篩選中啟用TCP/IP篩選,不過(guò)對(duì)于Win2000的端口過(guò)濾來(lái)說(shuō),有一個(gè)不好的特性:只能規(guī)定開(kāi)哪些端口,不能規(guī)定關(guān)閉哪些端口;這樣對(duì)于需要開(kāi)大量端口的用戶就比較麻煩。

②IIS: IIS是微軟的組件中漏洞最多的一個(gè),平均兩三個(gè)月就要出一個(gè)漏洞,而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維,所以IIS的配置是我們的重點(diǎn),所以在本系統(tǒng)的WWW服務(wù)器采取下面的設(shè)置:

首先,把操作系統(tǒng)在C盤(pán)默認(rèn)安裝的Inetpub目錄徹底刪掉,在D盤(pán)建一個(gè)Inetpub在IIS管理器中將主目錄指向D: /Inetpub。

其次,在IIS安裝時(shí)默認(rèn)的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標(biāo)。我們雖然已經(jīng)把Inetpub從系統(tǒng)盤(pán)挪出來(lái)了,但這樣作也是完全必要的。如果需要什么權(quán)限的目錄可以在需要的時(shí)候再建,需要什么權(quán)限開(kāi)什么。特別注意寫(xiě)權(quán)限和執(zhí)行程序的權(quán)限,沒(méi)有絕對(duì)的必要千萬(wàn)不要給。

③應(yīng)用程序配置:在IIS管理器中刪除必須之外的任何無(wú)用映射,必須指出的是ASP, ASP和其它確實(shí)需要用到的文件類型。我們不需要IIS提供的應(yīng)用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機(jī)一屬性一WWW服務(wù)編輯一主目錄配置一應(yīng)用程序映射,然后就一個(gè)個(gè)刪除這些映射。點(diǎn)擊“確定”退出時(shí)要讓虛擬站點(diǎn)繼承剛才所設(shè)定的屬性。

經(jīng)過(guò)了Win2000 Server的正確安裝與正確配置,操作系統(tǒng)的漏洞得到了很好的預(yù)防,同時(shí)增加了補(bǔ)丁,這樣子就大大增強(qiáng)了操作系統(tǒng)的安全性能。

(三)數(shù)據(jù)庫(kù)系統(tǒng)安全控制

數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成的數(shù)據(jù)泄密和破壞。為了保證業(yè)務(wù)應(yīng)用系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)的安全性,采用基于Client/Server模式訪問(wèn)后臺(tái)數(shù)據(jù)庫(kù),為不同的應(yīng)用建立不同的服務(wù)進(jìn)程和進(jìn)程用戶標(biāo)識(shí),后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)以服務(wù)器進(jìn)程的用戶標(biāo)識(shí)作為訪問(wèn)主體的標(biāo)識(shí),以確定其訪問(wèn)權(quán)限。我們通過(guò)如下方法和技術(shù)來(lái)實(shí)現(xiàn)后臺(tái)數(shù)據(jù)庫(kù)的訪問(wèn)

控制。

①訪問(wèn)矩陣

訪問(wèn)矩陣就是以矩陣的方式來(lái)規(guī)定不同主體(用戶或用戶進(jìn)程)對(duì)于不同數(shù)據(jù)對(duì)象所允許執(zhí)行的操作權(quán)限,并且控制各主體只能存取自己有權(quán)存取的數(shù)據(jù)。它以主體標(biāo)行,訪問(wèn)對(duì)象標(biāo)列,訪問(wèn)類型為矩陣元素的矩陣。Informix提供了二級(jí)權(quán)限:數(shù)據(jù)庫(kù)權(quán)限和表權(quán)限,并且能為表中的特定字段授予Select和Update權(quán)限。因此,我們?cè)谠L問(wèn)矩陣中定義了精細(xì)到字段級(jí)的數(shù)據(jù)訪問(wèn)控制。

②視圖的使用

通過(guò)視圖可以指定用戶使用數(shù)據(jù)的范圍,將用戶限定在表中的特定字段或表中的特定記錄,并且視圖和基礎(chǔ)表一樣也可以作為授權(quán)的單位。針對(duì)不同用戶的視圖,在授權(quán)給一用戶的視圖中不包括那些不允許訪問(wèn)的機(jī)密數(shù)據(jù),從而提高了系統(tǒng)的安全性。

③數(shù)據(jù)驗(yàn)證碼DAC

對(duì)后臺(tái)數(shù)據(jù)庫(kù)中的一些關(guān)鍵性數(shù)據(jù)表,在表中設(shè)置數(shù)據(jù)驗(yàn)證碼DAC字段,它是由銀行密鑰和有關(guān)的關(guān)鍵性字段值生成。不同記錄的DAC字段值也不相同。如果用戶非法修改了數(shù)據(jù)庫(kù)中的數(shù)據(jù),則DAC效驗(yàn)將出錯(cuò),從而提高了數(shù)據(jù)的安全性。

雖然基于ASP技術(shù)的信息管理系統(tǒng)安全性措施目前已經(jīng)比較成熟,但我們切不可馬虎大意,只有不斷學(xué)習(xí)新的網(wǎng)絡(luò)安全知識(shí)、采取日新月異的網(wǎng)絡(luò)安全措施,才能保證我們的網(wǎng)絡(luò)安全防御真正金湯。

參考文獻(xiàn):

[1]劉海平,朱仲英.一個(gè)基于ASP的在線會(huì)員管理信息系統(tǒng).微型電腦應(yīng)用.2002 (10)

[2]東軟集團(tuán)有限公司,NetEye防火墻使用指南3.0,1-3

[3]賈晶,陳元,王麗娜編著,信息系統(tǒng)的安全與保密,第一版,1999.01,清華大學(xué)出版社

[4] Eric Maiwald, Security Planning & Disaster Recovery,2003,Posts & Telecommunications Press,

PP. 86-94

[5]楊兵.網(wǎng)絡(luò)系統(tǒng)安全技術(shù)研究及其在寶鋼設(shè)備采購(gòu)管理系統(tǒng)中的應(yīng)用:(學(xué)位論文).遼寧:東北大學(xué),2002

[6]劉廣良.建設(shè)銀行計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全管理策略研究:(學(xué)位論文).湖南:湖南大學(xué).2001

篇8

關(guān)鍵詞:建筑防火防火分離技術(shù)應(yīng)用

中圖分類號(hào): G267文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):

隨著我國(guó)經(jīng)濟(jì)額的不斷發(fā)展,現(xiàn)代建筑技術(shù)也不斷提高,相應(yīng)的對(duì)建筑的火災(zāi)預(yù)防工作的要求也越來(lái)越高。這就給建筑的火災(zāi)預(yù)防工作增加了難度,消防就需要更高的技術(shù)支持。在我們現(xiàn)在所應(yīng)用的建筑防火技術(shù)中,鋼化玻璃和窗玻璃的噴頭組合在一起就成了一種現(xiàn)在使用率很高的防火技術(shù),鋼化玻璃也可以用熱增強(qiáng)型玻璃來(lái)替代。

1 防火分隔的作用及其種類

防火分隔最早是在1986年出版的《消防基本術(shù)語(yǔ)》出現(xiàn),其中對(duì)他的定義就是,防火分隔就是用一些具有耐火特點(diǎn)的建筑構(gòu)件,將建筑進(jìn)行分隔,這樣才出現(xiàn)火災(zāi)之后就可以減緩蔓延的速度,火災(zāi)處理起來(lái)也比較方便,只需要將已經(jīng)被隔離的失火區(qū)域進(jìn)行滅火就行。這其中的耐火的材料一般有耐火的樓板、防火的卷簾門(mén)還有一些耐火隔墻等等。使用這些耐火的建筑材料可以將整體的建筑劃分成一個(gè)一個(gè)的防火區(qū)域,這樣就可以利用這些防火區(qū)域來(lái)阻止大火在建筑里面的蔓延,火災(zāi)也就不會(huì)對(duì)建筑產(chǎn)生多少的損失,以后修復(fù)起來(lái)也簡(jiǎn)單,另外,這些防火區(qū)域還可以作為安全疏散通道,火災(zāi)發(fā)生的時(shí)候,建筑里的人群可以從這些防火區(qū)域中逃生,消防人員也可以從這些區(qū)域進(jìn)入進(jìn)行滅火工作。

防火分隔根據(jù)其防止火災(zāi)的方向和防火區(qū)以外的空間的火勢(shì)蔓延情況可以分為兩種,一種就是豎向的防火分隔,這是用來(lái)阻隔那些小高層或是高層建筑的每個(gè)樓層之間的火災(zāi)蔓延,另外一種就是水平的防火分隔,這主要是用來(lái)防止火災(zāi)水平蔓延的。現(xiàn)在在我國(guó)已經(jīng)有很多成功運(yùn)用防火分隔的案例,取得了很好的防火效果。所以,在水平和垂直方向上來(lái)控制火災(zāi)的蔓延對(duì)于保護(hù)建筑以及建筑里面人群的生命財(cái)產(chǎn)安全具有非常重要的作用。

2 防火分隔的傳統(tǒng)運(yùn)用

在通常情況下,我們會(huì)采用防火墻、防火隔墻、防火卷簾、防火門(mén)窗、阻火圈等等一些防火分隔設(shè)施來(lái)進(jìn)行建筑的防火分隔,雖然都具有一定的效果,可是在使用的時(shí)候卻有著不一樣的應(yīng)用。

2.1 防火墻

防火墻就是那些直接用在混凝土框架上那些用來(lái)阻擋大火蔓延的墻,這個(gè)墻是用一些不能燃燒的普通的粘土磚、鋼筋混凝土還有天然的一些石料等等材料混合建筑的,為了讓它有防火的功能,防火墻上面是不能夠有洞口或者是門(mén)窗的,如果必須要在墻上開(kāi)設(shè),那也一定要是具有高品質(zhì)的防火門(mén)窗,這些門(mén)窗還是需要能夠自動(dòng)關(guān)閉的。另外,防火墻內(nèi)部不能夠設(shè)置排氣道,天然氣等一些可燃?xì)怏w絕不能從墻內(nèi)穿過(guò),如果必須穿過(guò)的話,還應(yīng)該用一些不可燃燒的材料,將管道旁邊的縫隙填滿。

2.2 防火隔墻

防火隔墻的種類比較多,一般都是用不易燃燒的材料包裹住不可燃燒的材料保護(hù)制作成的,它與防火墻有所不同,防火隔墻必須要經(jīng)過(guò)耐火極限的測(cè)試之后才可以按照一定的標(biāo)準(zhǔn)進(jìn)行生產(chǎn)和安裝使用的?,F(xiàn)在各類工業(yè)和建筑中使用的都是那些輕質(zhì)防火隔墻,因?yàn)檫@些輕質(zhì)防火隔墻具有質(zhì)量輕、隔熱隔聲效果良好、強(qiáng)度高以及抗震性好的特點(diǎn),所以,這種輕質(zhì)防火隔墻已經(jīng)成為高樓建筑中防火設(shè)施里必不可少的一種。

2.3 防火卷簾

現(xiàn)在這種空間比較大的建筑是越來(lái)越多,有些地區(qū)要是設(shè)置防火墻的話會(huì)很不方便而且也不美觀,所以很多建筑都選用了防火卷簾。在一些單層的產(chǎn)房還有一些底層的建筑可以使用防火水幕或者是那種防火卷簾再加一層水幕進(jìn)行分隔。在高層建筑中使用的是包括背火面溫升和不包括背火面溫升兩種情況時(shí)使用不同的防火卷簾。

2.4 防火門(mén)窗

防火門(mén)窗主要是用在防火墻的開(kāi)口處、樓梯的入口、疏散走道還有就是空調(diào)自動(dòng)滅火系統(tǒng)等一些重要設(shè)備間開(kāi)口的地方,防火門(mén)是面向疏散方向開(kāi)啟的平開(kāi)門(mén),在關(guān)閉防火門(mén)之后需要用手來(lái)開(kāi)啟防火門(mén),在防火墻、疏散通道、樓梯口等等地方使用的防火門(mén)都應(yīng)該是可以自動(dòng)關(guān)閉的,如果安裝了多扇的防火門(mén)之后,這些門(mén)應(yīng)該要能夠按照順序關(guān)閉。對(duì)于那些經(jīng)常開(kāi)的防火門(mén),如果發(fā)生火災(zāi),一定要能夠自行關(guān)閉,并且及時(shí)反饋火災(zāi)的信息,還有那些設(shè)置在變形縫附近的防火門(mén),應(yīng)該是設(shè)在樓層比較多的那一側(cè),并且把門(mén)打開(kāi)之后,不能夠超過(guò)那條變形縫。

2.5 防火排煙閥

在很多建筑里都設(shè)置了一些通風(fēng)排煙或者是空調(diào)系統(tǒng),如果發(fā)生火災(zāi),那這些系統(tǒng)中的管道就會(huì)成為大火燃燒所產(chǎn)生的煙霧火苗蔓延的通道,為了防止這種情況發(fā)生,就必須在這些系統(tǒng)相應(yīng)的位置設(shè)置防火閥或者是排煙防火閥。防火閥是那些安裝在通風(fēng)空調(diào)等系統(tǒng)管道上的平常是開(kāi)啟狀態(tài)的閥門(mén),這些閥門(mén)若是在溫度達(dá)到70攝氏度以上就會(huì)自動(dòng)關(guān)閉,而且這些閥門(mén)都是具有很高的耐火穩(wěn)定性和完整性。排煙防火閥是安裝在排煙系統(tǒng)管道上的,平時(shí)是關(guān)閉的狀態(tài),它是可以根據(jù)需要,按照控制中心所發(fā)出的信號(hào)來(lái)將排煙閥打開(kāi),既可以排除在火災(zāi)初期所產(chǎn)生的火焰,還可以將管道內(nèi)的濃煙進(jìn)行排除。

3 防火分隔新技術(shù)的運(yùn)用

3.1 新技術(shù)的概況

防火卷簾會(huì)在高溫的情況下發(fā)生脫落,無(wú)法達(dá)到防火效果,耐火隔墻會(huì)讓建筑失去美感,現(xiàn)在所使用的防火分隔的技術(shù)都存在著一些欠缺,而有鋼化玻璃和窗玻璃噴頭組合形成的新的防火分隔卻能夠在一定程度上改善這種局面。這是一種新的技術(shù),在這組合中的鋼化玻璃可以用熱增型的玻璃來(lái)代替,不過(guò)這種玻璃的厚度不應(yīng)該少于6毫米,玻璃與玻璃之間使用硅密封劑或者是不可燃的豎框進(jìn)行連接。窗玻璃噴頭是為了能夠在發(fā)生火災(zāi)時(shí)給玻璃降溫,同時(shí)還為了保證整個(gè)系統(tǒng)的一個(gè)完整性,這樣既能夠控制玻璃背面的溫度,還可以防止玻璃背面的可燃物被點(diǎn)燃。

3.2 該新技術(shù)的有關(guān)試驗(yàn)

這種將鋼化玻璃和窗玻璃噴頭相組合形成的新的防火分隔,是已經(jīng)得到了相關(guān)的權(quán)威機(jī)構(gòu)的認(rèn)證,包括:BMEC (BuildingMaterialsEvaluation Commission)、UL (Underwriters Laboratories) 以及ICC―ES (ICCEvaluationService) 等等,要知道這些機(jī)構(gòu)可是北美甚至是全世界比較權(quán)威的對(duì)建筑耐火構(gòu)建以及灑水噴頭等等進(jìn)行認(rèn)證的機(jī)構(gòu),這足以說(shuō)明這項(xiàng)技術(shù)是可行的。目前世界上已經(jīng)開(kāi)展過(guò)的有關(guān)這線技術(shù)的實(shí)驗(yàn)差不多有三個(gè)方面,這三個(gè)方面基本上是UL認(rèn)證機(jī)構(gòu)根據(jù)ASTME.119《建筑構(gòu)件和材料火災(zāi)試驗(yàn)標(biāo)準(zhǔn)方法》中有關(guān)要求進(jìn)行的,所以可信度很高。

4 使用新型防火分隔所需要注意的事項(xiàng)

在對(duì)高層建筑所需的防火分隔進(jìn)行設(shè)計(jì)的時(shí)候,一定要先考慮建筑對(duì)防火等級(jí)的要求,然后再根據(jù)這個(gè)防火等級(jí)去考慮其他的內(nèi)容。第一,系統(tǒng)的類型。在選擇窗玻璃頭的時(shí)候,應(yīng)該選擇那些具有獨(dú)立噴淋系統(tǒng)的窗玻璃頭,噴頭需要設(shè)置在鋼化玻璃的兩側(cè),而且必須是均勻分布,這樣才能夠達(dá)到阻止火災(zāi)通過(guò)鋼化玻璃的一側(cè)蔓延到另一側(cè),選擇的噴淋系統(tǒng)可以是雨淋系統(tǒng)或者是濕式系統(tǒng)。第二,鋼化玻璃的安裝。鋼化玻璃應(yīng)該是不能夠開(kāi)啟的,而且安裝鋼化玻璃所選用的框架必須是防火的不可燃材料,將玻璃和框架之間的縫隙進(jìn)行密封所選的應(yīng)該是三元乙丙橡膠條,另外使用不可燃豎框或者硅密封劑連接兩塊窗玻璃之間的垂直接縫。第三,水力計(jì)算。若是那些建筑空間沒(méi)有設(shè)置噴淋系統(tǒng)來(lái)進(jìn)行保護(hù),那么就需要計(jì)算最不利玻璃的那邊所有的噴頭的水力,若是有采用噴淋系統(tǒng)保護(hù)措施,那就應(yīng)該計(jì)算所有雨淋閥能夠控制的噴頭。

5 結(jié)語(yǔ)

隨著我國(guó)經(jīng)濟(jì)的不斷發(fā)展,人們對(duì)高層建筑的防火也是越來(lái)越關(guān)注,對(duì)其提出的要求也是越來(lái)越多,不但防火效果要好,還要能夠符合人們的審美觀,要讓人們覺(jué)得這是人性化的設(shè)計(jì)。所以,防火分隔的技術(shù)也是在不斷的進(jìn)步,在未來(lái),防火分隔的技術(shù)一定能夠用優(yōu)美的外形,實(shí)質(zhì)的用處博得所有建筑設(shè)計(jì)師的親睞,獲得國(guó)民的喜愛(ài)。

參考文獻(xiàn)

[1] 伊國(guó)明.水幕防火分隔技術(shù)[期刊論文]消防科技,1992.

篇9

關(guān)鍵詞:防火墻;校園網(wǎng);網(wǎng)絡(luò)安全

1引言

科學(xué)技術(shù)的飛速發(fā)展,人們已經(jīng)生活在信息時(shí)代。計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)深入到社會(huì)的各個(gè)領(lǐng)域,因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來(lái)因特網(wǎng)的飛速發(fā)展,給人們的生活帶來(lái)了全新地感受,人類社會(huì)各種活動(dòng)對(duì)信息網(wǎng)絡(luò)地依賴程度已經(jīng)越來(lái)越大。然而,凡事“有利必有弊”,人們?cè)诘靡嬗谛畔⑺鶐?lái)的新的巨大機(jī)遇的同時(shí),也不得不面對(duì)信息安全問(wèn)題的嚴(yán)峻考驗(yàn)。“黑客攻擊”網(wǎng)站被“黑”,“CIH病毒”無(wú)時(shí)無(wú)刻不充斥在網(wǎng)絡(luò)中?!半娮討?zhàn)”已成為國(guó)與國(guó)之間,商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全,網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)引起各國(guó),各部門(mén),各行各業(yè)以及每個(gè)計(jì)算機(jī)用戶的充分重視。因特網(wǎng)提供給人們的不僅僅是精彩,還無(wú)時(shí)無(wú)刻地存在各種各樣的危險(xiǎn)和陷阱。對(duì)此,我們既不能對(duì)那些潛在的危險(xiǎn)不予重視,遭受不必要的損失;也不能因?yàn)楹ε履承┪kU(xiǎn)而拒絕因特網(wǎng)的各種有益的服務(wù),對(duì)個(gè)人來(lái)說(shuō)這樣會(huì)失去了了解世界、展示自己的場(chǎng)所,對(duì)企業(yè)來(lái)說(shuō)還失去了拓展業(yè)務(wù)、提高服務(wù)、增強(qiáng)競(jìng)爭(zhēng)力的機(jī)會(huì)。不斷地提高自身網(wǎng)絡(luò)的安全才是行之有效地辦法。

2防火墻的概念

防火墻一詞最早源于建筑行業(yè),當(dāng)構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候,為防止火災(zāi)的發(fā)生和蔓延,人們將堅(jiān)固的石塊堆砌在房屋周?chē)鳛槠琳?,這種防護(hù)構(gòu)筑物被稱之為防火墻。在今日的電子信息世界里,人們借助了這個(gè)概念,使用防火墻來(lái)保護(hù)敏感的數(shù)據(jù)不被竊取和篡改,不過(guò)這些防火墻是由先進(jìn)的計(jì)算機(jī)系統(tǒng)構(gòu)成的。今天的防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),隔在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間,用來(lái)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵。

3防火墻的相關(guān)參數(shù)

1)樣式:標(biāo)準(zhǔn)1U——4U機(jī)箱,根據(jù)接口數(shù)量、處理性能等不同而異。

2)網(wǎng)絡(luò)接口數(shù)量:標(biāo)準(zhǔn)一般配置3個(gè)10/100M自適應(yīng)接口,根據(jù)需要可以定制更多接口,有些還可熱拔插。

3)網(wǎng)絡(luò)接口類型:標(biāo)準(zhǔn)一般是10/100-Base-TX接口,也有其他類型接口。

4.電源:一般是單電源,特殊場(chǎng)合可以配置雙電源,但需要定制。

5.硬件平臺(tái)架構(gòu):大多基于X86工控平臺(tái),也有基于NP加速的產(chǎn)品6.處理器:多數(shù)的是CPU,極少數(shù)是CPU+NPU7.軟件平臺(tái):WindowsNT,也有直接基于開(kāi)放LINUX架構(gòu)改造,使用免費(fèi)代碼構(gòu)建。

4校園網(wǎng)面對(duì)的安全威脅

4.1物理安全

保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提。計(jì)算機(jī)網(wǎng)絡(luò)的物理安全是在物理介質(zhì)層次上數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)訪問(wèn)安全。計(jì)算機(jī)網(wǎng)絡(luò)的物理安全包括構(gòu)成網(wǎng)絡(luò)的相關(guān)基礎(chǔ)設(shè)施的安全,網(wǎng)絡(luò)的運(yùn)行環(huán)境比如溫度、濕度、電源等,自然環(huán)境的影響以及人的因素等對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的物理安全和運(yùn)行的影響。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。其目的是保護(hù)計(jì)算機(jī)系統(tǒng)、web服務(wù)器、打印機(jī)等硬件實(shí)體和網(wǎng)絡(luò)通信設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。

4.2自然威脅

自然威脅主要是指由于自然原因造成的對(duì)網(wǎng)絡(luò)設(shè)備硬件的損壞和網(wǎng)絡(luò)運(yùn)行的影響。主要包括以下幾方面:

①自然災(zāi)害自然災(zāi)害對(duì)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備或其它相關(guān)設(shè)施造成的損壞,或?qū)W(wǎng)絡(luò)運(yùn)行造成的影響。如:雷擊、火災(zāi)、水災(zāi)、地震等不可抗力造成的網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)通信線路的損壞,大霧對(duì)無(wú)線傳輸?shù)挠绊憽?/p>

②正常使用情況下的設(shè)備損壞在網(wǎng)絡(luò)設(shè)中,所有的網(wǎng)絡(luò)設(shè)備都是電子設(shè)備,任何電子元件也都會(huì)老化,因此由電子元件構(gòu)成的網(wǎng)絡(luò)設(shè)備都一個(gè)有限的正常使用年限,即使嚴(yán)格按照設(shè)備的使用環(huán)境要求使用,在設(shè)備達(dá)到使用壽命后均可能出現(xiàn)硬件故障或不穩(wěn)定現(xiàn)象,從而威脅計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行。

③設(shè)備運(yùn)行環(huán)境網(wǎng)絡(luò)的運(yùn)行是不間斷的。保證網(wǎng)絡(luò)設(shè)備的安全運(yùn)行,運(yùn)行環(huán)境是一個(gè)很重要的因素。任何計(jì)算機(jī)網(wǎng)絡(luò)都需要一個(gè)可靠的運(yùn)行環(huán)境來(lái)保證其可靠地運(yùn)行,其中主要包括周邊環(huán)境和電源系統(tǒng)兩大要素。

5高校校園網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)安全策略

1)拒絕訪問(wèn)除明確許可以外的任何一種服務(wù),即拒絕一切未予特許的東西。

2)允許訪問(wèn)除明確拒絕以外的任何一種服務(wù),即允許一切未被特別拒絕的東西校園網(wǎng)防火墻的網(wǎng)絡(luò)安全策略采取第一種安全控制的方針,確定所有可以被提供的服務(wù)以及它們的安全特性,然后開(kāi)放這些服務(wù),并將所有其它未被列入的服務(wù)排斥在外,禁止訪問(wèn)。

6防火墻的基本配置

學(xué)院采用的是防火墻,它的初始配置也是通過(guò)控制端口(Console)與PC機(jī)的串口連接,再通過(guò)超級(jí)終端(HyperTerminal)程序進(jìn)行選項(xiàng)配置。也可以通過(guò)telnet和Tffp配置方式進(jìn)行高級(jí)配置,但必需先由Console將防火墻的這些功能打開(kāi)。

NETSCREEN防火墻有四種用戶配置模式,即:普通模式(Unprivilegedmode)、特權(quán)模式(PrivilegedMode)、配置模式(ConfigurationMode)和端口模式(InterfaceMode)。

顯示基本信息:

命令行基本信息收集:

netscreen>getsyst(得到系統(tǒng)信息)

netscreen>getconfig(得到config信息)

netscreen>getlogevent(得到日志)

功能問(wèn)題需收集下列信息:

netscreen>setffiliter?(設(shè)置過(guò)濾器)

netscreen>debugflowbasic是開(kāi)啟基本的debug功能

netscreen>cleardb是清除debug的緩沖區(qū)

netscreen>getdbufstream就可以看到debug的信息了

性能問(wèn)題需收集下列信息:

得到下列信息前,請(qǐng)不要重新啟動(dòng)機(jī)器,否則信息都會(huì)丟失,無(wú)法判定問(wèn)題所在。netscreen>Getpercpudetail(得到CPU使用率)

netscreen>Getsessioninfo(得到會(huì)話信息)

netscreen>Getpersessiondetail(得到會(huì)話詳細(xì)信息)

netscreen>Getmac-learn(透明方式下使用,獲取MAC硬件地址)

netscreen>Getalarmevent(得到告警日志)

netscreen>Gettech>tftp202.101.98.36tech.txt(導(dǎo)出系統(tǒng)信息)

netscreen>Getlogsystem(得到系統(tǒng)日志信息)

netscreen>Getlogsystemsaved(得到系統(tǒng)出錯(cuò)后,系統(tǒng)自動(dòng)記錄信息,該記錄重啟后不會(huì)丟失。設(shè)置接口-帶寬,網(wǎng)關(guān)設(shè)置所指定的各個(gè)端口的帶寬速率,單位為kb/s

Setinterfaceinterfacebandwidthnumber

unsetinterfaceinterfacebandwidth

設(shè)置接口的網(wǎng)關(guān)

setinterfaceinterfacegatewayip_addr

unsetinterfaceinterfacegateway

設(shè)置接口的接口的區(qū)域,IP地址zone就是網(wǎng)絡(luò)邏輯上劃分成區(qū),可以在安全區(qū)或安全區(qū)內(nèi)部接口之間實(shí)施策略:

設(shè)置接口的接口的區(qū)域

setinterfaceinterfacezonezone

unsetinterfaceinterfacezone

設(shè)置接口的IP地址

setinterfaceinterfaceipip_addr/mask

setinterfaceinterfaceipunnumberedinterfaceinterface2

unsetinterfaceinterfaceipip_addr

7總結(jié)

網(wǎng)絡(luò)安全問(wèn)題越來(lái)越引起世界各國(guó)的嚴(yán)密關(guān)注,隨著計(jì)算機(jī)網(wǎng)絡(luò)在人類生活各個(gè)領(lǐng)域的廣泛應(yīng)用,不斷出現(xiàn)網(wǎng)絡(luò)被非法入侵,重要資料被竊取,網(wǎng)絡(luò)系統(tǒng)癱瘓等嚴(yán)重問(wèn)題,網(wǎng)絡(luò)、應(yīng)用程序的安全漏洞越來(lái)越多;各種病毒泛濫成災(zāi)。這一切,已給各個(gè)國(guó)家以及眾多商業(yè)公司造成巨大的經(jīng)濟(jì)損失,甚至危害到國(guó)家安全,加強(qiáng)網(wǎng)絡(luò)安全管理已刻不容緩。

參考文獻(xiàn) 

[1] 朱雁輝.WINDOWS 防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].北京:電子工業(yè)出版社,2015 

[2] 常紅等.網(wǎng)絡(luò)安全技術(shù)與反黑客[M].長(zhǎng)春:冶金工業(yè)出版社,2011 

篇10

論文摘要:隨著計(jì)算機(jī)信息化建設(shè)的飛速發(fā)展,計(jì)算機(jī)已普遍應(yīng)用到日常工作、生活的每一個(gè)領(lǐng)域,比如政府機(jī)關(guān)、學(xué)校、醫(yī)院、社區(qū)及家庭等。但隨之而來(lái)的是,計(jì)算機(jī)網(wǎng)絡(luò)安全也受到全所未有的威脅,計(jì)算機(jī)病毒無(wú)處不在,黑客的猖獗, 都防不勝防。

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個(gè)網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。從技術(shù)上來(lái)說(shuō), 計(jì)算機(jī)網(wǎng)絡(luò)安全主要由防病毒、防火墻等多個(gè)安全組件組成,一個(gè)單獨(dú)的組件無(wú)法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、PKI技術(shù)等。

一、計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

(一)防火墻技術(shù)。防火墻是指一個(gè)由軟件或硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間,限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)及管理內(nèi)部用戶訪問(wèn)外界網(wǎng)絡(luò)的權(quán)限。防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。當(dāng)一個(gè)網(wǎng)絡(luò)接上Internet之后,系統(tǒng)的安全除了考慮計(jì)算機(jī)病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。

(二)數(shù)據(jù)加密技術(shù)。與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開(kāi)放的網(wǎng)絡(luò)。數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù),對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。對(duì)于主動(dòng)攻擊,雖無(wú)法避免,但卻可以有效地檢測(cè);而對(duì)于被動(dòng)攻擊,雖無(wú)法檢測(cè),但卻可以避免,實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)分為兩類:即對(duì)稱加密和非對(duì)稱加密。

1.對(duì)稱加密技術(shù)。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密密鑰與解密密鑰是相同的,或者可以由其中一個(gè)推知另一個(gè),這種加密方法可簡(jiǎn)化加密處理過(guò)程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機(jī)密性和報(bào)文完整性就可以得以保證。目前,廣為采用的一種對(duì)稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)DES,DES的成功應(yīng)用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域中。2.非對(duì)稱加密。在非對(duì)稱加密體系中,密鑰被分解為一對(duì)(即公開(kāi)密鑰和私有密鑰)。這對(duì)密鑰中任何一把都可以作為公開(kāi)密鑰通過(guò)非保密方式向他人公開(kāi),而另一把作為私有密鑰加以保存。公開(kāi)密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開(kāi)密鑰可廣泛公布,但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。

(三)PKI技術(shù)。PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸,因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)作為一種相對(duì)安全的技術(shù),恰恰成為了電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)的首要選擇,在實(shí)際的操作過(guò)程中他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問(wèn)題,而進(jìn)一步保護(hù)客戶的資料安全。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問(wèn)題

(一)互聯(lián)網(wǎng)絡(luò)的不安全性。1.1網(wǎng)絡(luò)的開(kāi)放性,由于現(xiàn)代網(wǎng)絡(luò)技術(shù)是全開(kāi)放的,所以在一定程度上導(dǎo)致了網(wǎng)絡(luò)面臨著來(lái)自多方面的攻擊。這其中可能存在來(lái)自物理傳輸線路的攻擊,也有肯那個(gè)來(lái)自對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊,也包括來(lái)自于本地網(wǎng)絡(luò)的用戶,還可以是互聯(lián)網(wǎng)上其他國(guó)家的黑客等等。1.2網(wǎng)絡(luò)的自由性,大多數(shù)的網(wǎng)絡(luò)對(duì)用戶的使用沒(méi)有技術(shù)上的約束,用戶可以自由的上網(wǎng),和獲取各類信息。 這也為了影響網(wǎng)絡(luò)安全的一個(gè)主要因素。

(二)操作系統(tǒng)存在的安全問(wèn)題。操作系統(tǒng)作為一個(gè)支撐軟件,使得你的程序或別的運(yùn)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開(kāi)發(fā)設(shè)計(jì)的不周而留下的破綻,都給網(wǎng)絡(luò)安全留下隱患。

1.操作系統(tǒng)結(jié)構(gòu)體系的缺陷。操作系統(tǒng)本身有內(nèi)存管理、CPU管理、外設(shè)的管理,每個(gè)管理都涉及到一些模塊或程序,如果在這些程序里面存在問(wèn)題,比如內(nèi)存管理的問(wèn)題,外部網(wǎng)絡(luò)的一個(gè)連接過(guò)來(lái),剛好連接一個(gè)有缺陷的模塊,可能出現(xiàn)的情況是,計(jì)算機(jī)系統(tǒng)會(huì)因此崩潰。所以,有些黑客往往是針對(duì)操作系統(tǒng)的不完善進(jìn)行攻擊,使計(jì)算機(jī)系統(tǒng),特別是服務(wù)器系統(tǒng)立刻癱瘓。2.操作系統(tǒng)支持在網(wǎng)絡(luò)上傳送文件、加載或安裝程序,包括可執(zhí)行文件,這些功能也會(huì)帶來(lái)不安全因素。網(wǎng)絡(luò)很重要的一個(gè)功能就是文件傳輸功能,比如FTP,這些安裝程序經(jīng)常會(huì)帶一些可執(zhí)行文件,這些可執(zhí)行文件都是人為編寫(xiě)的程序,如果某個(gè)地方出現(xiàn)漏洞,那么系統(tǒng)可能就會(huì)造成崩潰。3.操作系統(tǒng)不安全的一個(gè)原因在于它可以創(chuàng)建進(jìn)程,支持進(jìn)程的遠(yuǎn)程創(chuàng)建和激活,支持被創(chuàng)建的進(jìn)程繼承創(chuàng)建的權(quán)利,這些機(jī)制提供了在遠(yuǎn)端服務(wù)器上安裝“間諜”軟件的條件。若將間諜軟件以打補(bǔ)丁的方式“打”在一個(gè)合法用戶上,特別是“打”在一個(gè)特權(quán)用戶上,黑客或間諜軟件就可以使系統(tǒng)進(jìn)程與作業(yè)的監(jiān)視程序監(jiān)測(cè)不到它的存在。

(三)防火墻的局限性。防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.它是一種計(jì)算機(jī)硬件和軟件的結(jié)合,使內(nèi)部網(wǎng)與外部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)(Security Gateway),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。

三、結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程,涉及技術(shù)、設(shè)備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進(jìn)行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù),將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)等綜合起來(lái),形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系。我們必須做到管理和技術(shù)并重,安全技術(shù)必須結(jié)合安全措施,并加強(qiáng)計(jì)算機(jī)立法和執(zhí)法的力度,建立備份和恢復(fù)機(jī)制,制定相應(yīng)的安全標(biāo)準(zhǔn)。此外,由于計(jì)算機(jī)病毒、計(jì)算機(jī)犯罪等技術(shù)是不分國(guó)界的,因此必須進(jìn)行充分的國(guó)際合作,來(lái)共同對(duì)付日益猖獗的計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒等問(wèn)題。

參考文獻(xiàn):