关键词:计算机;网络管理;趋势
中图分类号:TP393.07 文献标识码:A文章编号:1007-9599 (2012) 01-0000-02
Computer Network Management Study
Huang Yonggang
(Jiangxi Agricultural Engineering Vocational College,Zhangshu 331200)
Abstract:With the development of science and technology,computer technology and communication technology have been unprecedented progress,the computer network management integration of these two technologies,in order to more effectively enhance network efficiency,and its wide application in the field to play a greater role. This article from the computer network management concept as well as the composition content,discusses the computer network security management method, and computer network management of the status quo and future development trends described.
Keywords:Computer;Network management;Trend
一、计算机网络管理的概念和内容
随着计算机网络的快速发展,网络的业务量不断增加,因此,计算机网络的管理和维护对网络的正常高效运行起着至关重要的作用。从根本上来看,所谓计算机网络管理系统也就是利用软件系统对网络进行管理,不断获得网络相关信息,并根据这些信息对网络进行必要的调整。从上世纪80年代以来,人们开始意识到计算机网络管理的重要性。各种网络管理系统在结构上都具有各自的特点,人们也没有一个统一的认识规范,但是大体上计算机网络管理都包括下面的一些内容:
1.网络管理系统一些必备的功能或者服务项目;
2.计算机网络中含有的所有可利用资源的管理,如:系统中的各种软、硬件以及相应的服务功能的管理;
3.计算机网络管理中信息如何进行传递。
伴随着科技的进步,计算机网络不断发展变化,原有的网络管理技术已经出现了一定的缺陷,因此,一种新的网络管理技术随之诞生。但是由于新网络管理技术的复杂性以及昂贵的成本费用使得人们还不能广泛的认可这一技术,因此,还需要对网络管理系统进行不断的开发和研究。计算机网络管理不断的对网络中的信息进行收集,对网络资源进行合理的分配管理,保障计算机网络运行是具有更好的效率和安全性。
从传统意义上来讲,一个全面的计算机网络管理系统都会具备以下的功能:计费管理、故障管理、性能管理、配置管理和安全管理五个方面。而对于这些功能而言,网络故障管理是其中最复杂而且管理难度较大的功能管理。所以,一些诊断查找性的测试方法对于计算机网络管理而言就显得尤为重要,从而找到故障的原因和所在,针对这些问题进行一些必要的解决。另外,在计算机网络管理中,管理员的地位和作用也是不容忽视的,他能够对使用者的最大使用费用进行规定,对使用者占用网络资源的数量进行控制和调整,近而尽量降低网络资源的浪费,提升网络的整体效率。
另外,在计算机网络管理的功能中,性能管理可以促使某个测试过程或网络以维护网络的安全,它还能够对当前网络信息的准确性和安全性进行维持,从这点来看,计算机网络安全也是网路管理的一项重要内容。
二、保护计算机网络管理安全的方法策略
当前网络、科技等等都取得了飞速的发展,人们的生活已经紧密的与网络技术联系在一起。伴随着科技的进步,网络安全问题不仅仅关系到国家和企业的利益,而且与个人自身的利益紧密相连,涉及到技术和管理两个方面的问题。计算机网络安全涉及的方面多种多样,而且可能带来的影响和破坏更为严重,因此更有必要采取相应的技术和方法,来提升计算机网络管理系统对各种破坏因素的防范能力,从而使网络信息在传递过程中确保安全可靠。下面对几种常见的网络管理安全方法进行说明。
(一)数据加密技术
简单来讲,数据加密技术就是对网络中的数据进行加密处理,即,把数据进行必要的转换和位移,从而在算法上进行变换,从而达到对数据的保护目的,变换时需要特定的密钥,而这一密钥需要用户提供相应的密码才能够使用。
(二)防火墙技术
防火墙是一种利用隔离控制原则的技术,在计算机网络管理系统中防火墙技术有着广泛的应用,它主要由状态检测技术、应用网关技术、包过滤技术三者组成。状态检测技术能够把相同链接的所有包看做为统一的数据流程,并对这一链接的安全性进行区分和辨别;应用网关技术可以通过特定的软件对网络或网络系统进行有效的防护,特别是对主机和数据进行安全的保护;包过滤技术主要是针对网络中的数据包,对其进行选择性的使用,并能够对目标地址和端口进行检测,安全或可信任的信息能够通过。
(三)计算机桌面安全系统
现在许多的计算机网络使用者都习惯把一些重要的信息储存在计算机的硬盘中,这样做使得使用者在使用过程中变得更加简单和快捷,但同时也会产生一些其他方面的问题。重要信息在电脑硬盘中的储存,使得这些信息很容易被别人所获取,其安全性较低。针对这样的情况,一些计算机网络管理系统的使用就显得尤为重要,比如说清华紫光计算机信息安全保护系统就是一个很好的系统,它能够有效的防止破坏性数据的侵入以及原始文件的篡改,保护重要文件的安全。
(四)计算机网络安全管理队伍的建设
计算机网络安全对于信息的安全传递和网络的正常运行有着重要的意义,一套合理、科学的网络安全体系的建立就显得尤为重要。通常来讲,计算机网络中不可能存在绝对的安全,因此,为了更好的保障网络的安全,处理国家的特定法律保护外,还要求相关的网络安全人员加强网络安全管理,不断提升自身的专业技能以及保护网络安全的意识,为网络安全贡献自己的力量。
三、计算机网络管理技术的现状以及发展
(一)计算机网络管理技术的现状
随着信息时代的到来,信息化的重要性不断升级,对计算机网络管理者来说,充分利用网络资源并将它的价值不断扩大是一项严峻的任务,对于计算机网络的使用者来说,网络性能以及安全是其最为关心的话题,因此网络管理者应该不断的从软件设备管理和业务管理两个方面来满足使用者的要求。对于一些影响使用者,关系网络正常运转的问题,网络管理人员应该深入仔细的研究,寻找问题的根源,对症下药解决问题。
从目前我国计算机网络管理的现状来看,管理水平还有很多需要提高的地方,因此,要想推广和应用一个新的网络管理系统,首先要做的就是在管理技术方面进行提高。第一,我国当前的网络管理还处于一个比较低级的境地,与一些发达国家相比,差距明显,想要独立完成一套网络管理系统还不现实;第二,想要提高网络管理水平,简单的借鉴国外的先进经验和技术是远远不够的,因为,国外的一些实际情况与国内的存在很大的差异,网络管理技术肯定也会有这样或那样的不同。从上面两点来看,我国必须把开发自己的网络管理技术放在首位,与此同时,不断借鉴国外的先进经验和技术,弥补国内相关方面的不足,最终完成一套符合我国国情及环境,又具备国际先进技术的网络管理系统。
(二)计算机网络管理技术的发展方向
1.综合化的网络管理方向
所谓综合化的网络管理也就是说,网络管理系统可以具备更多的相关的管理方面的支持,进一步的利用操作对整个系统需要完成的业务进行处理和调整。随着网络管理在社会生产生活中的作用越来越大,多个网络共存的网络管理系统越来越普遍,对于这样的网络,第一,要对不同的网络进行单独的管理,第二,各个网络之间要相互联系,密切的结合在一起,从而使大的网络系统管理简便易于操作。
2.事项网络管理系统的智能监控管理
实现计算机网络管理对支持策略和管理系统的本身维护,可以采用人工智能技术来进行维护和排除故障以保证网络的正常运行。就目前的网络管理的服务内容来看,有些服务虽然已经停止,但对其监控管理还未停止。进一步加强业务的监测和管理是计算机网络管理的―个重要的发展趋势。
总之,随着计算机技术的不断发展,计算机网络管理将会是未来一段时间内,人们研究的热点和难点。
参考文献:
[1]张鹏.计算机网络管理研究现状与发展[J].中国高新技术企业,2009(6)
关键词:网络;安全;防火墙
1绪论
随着国家的快速发展,社会的需求等诸多问题都体现了互联网的重要性,各高校也都相继有了自己的内部和外部网络。致使学校网络安全问题是我们急需要解决的问题。小到别人的电脑系统瘫痪、帐号被盗,大到学校重要的机密资料,财政资料,教务处的数据被非法查看修改等等。学校机房网络安全也是一个很重要的地方。由于是公共型机房。对于公共机房的网络安全问题,提出以下几个方法去解决这类的一部分问题。
2PC机
2.1PC终端机
对于终端机来说,我们应该把一切的系统漏洞全部打上补丁。像360安全卫士(/)是一款不错的实用、功能强大的安全软件。里面有“修复系统漏洞”选项,我们只要点击扫描,把扫描到的系统漏洞,点击下载安装,并且都是自动安装,安装完就可以了。
2.2安装杀毒软件
比如说中国著名的瑞星2008杀毒软件,从瑞星官方网站(/)下载,下载完,安装简体版就可以了。安装完之后,就进行全盘查毒。做到客户机没有病毒。让电脑处于无毒环境中。也可以在【开始-运行】中输入【sigverif】命令,检查系统的文件有没有签名,没有签名的文件就有可能是被病毒感染了。可以上网查询之后,进行删除。
2.3防火墙
打好系统漏洞补丁,安装好杀毒软件之后,就是安装防火墙像瑞星防火墙,天网防火墙以及风云防火墙等。风云防火墙是一款功能强大的防火墙软件,它不仅仅能防病毒,还能防现在很是厉害的ARP病毒。
2.4用户设置
把Administrator超级用户设置密码,对不同的用户进行用户权限设置。
3网络安全分析
3.1网络安全分析
网络安全分析主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动等有害信息在网上传播等。
4解决方案
4.1防火墙技术
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:
(1)屏蔽路由器:又称包过滤防火墙。
(2)双穴主机:双穴主机是包过滤网关的一种替代。
(3)主机过滤结构:这种结构实际上是包过滤和的结合。
(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。
4.2VPN技术
VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。
4.3网络加密技术(Ipsec)
IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec提供的安全功能或服务主要包括:
(1)访问控制;
(2)无连接完整性;
(3)数据起源认证;
(4)抗重放攻击;
(5)机密性;
(6)有限的数据流机密性。
4.4身份认证
在一个更为开放的环境中,支持通过网络与其他系统相连,就需要“调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。”的策略来保护位于服务器中的用户信息和资源。像数字签名。
5结论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。本论文从多方面描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
参考文献
[1]雷震甲.网络工程师教程.[M].北京:清华大学出版社,2004.
[2]郭军.网络管理.[M].北京:北京邮电大学出版社,2001.
【关键词】网络设备;网络管理;网络;监管;集群管理;发展趋势
在网络安全上,网络监管一直被认为是一个比较敏感的话题,作为一个已经发展相对成熟的技术,网络监管在协助管理员进行网络数据检测、网络故障排除等方面都具有不可替代的作用,从而深受广大网络管理员的青睐。但是,从另外一个方面来讲,网络监管也给网络安全带来了巨大的隐患,在网络监管行为的同时往往会伴随着大量的网络若亲,从而导致了一系列的敏感数据被盗等安全事件的发生。
一、网络管理中网络监管的意义
网络监管,即对互联网网络的监督、监管和检查,以达到维护网络安全、保护网络上的公共利益的目的。任何事物的发展都要经历从萌芽到繁盛,互联网也不例外。我国的互联网发展经历了从1987年第一封“越过长城,走向世界”电子邮件到2009年12月底,网民规模达到3.84亿人,中国手机网民则达到了2.33亿人。网络的发展必然带来诸多问题的显现。
从个人行为上看,主要有通过网络诋毁他人、散布非法言论等。从单位行为上看,主要有通过网络进行虚假宣传、进行诋毁其他单位的行为等。针对这样的问题,国外已经有了值得我们借鉴的方案。例如,韩国设立有信息安全署(KISA),负责打击垃圾邮件、钓鱼网站、网络攻击,甚至是网络犯罪。新加坡的网络管理在法律上则更为严格,单从法律条文上看,在新加坡设立任何网站,原则上需要部长签名同意。即使在你建立了网站之后,如果了涉及黄、赌、毒的内容,则会被政府强制关闭。严重情况时,开办网站的当事人也会受到严厉的刑事处罚。
相对于技术的迅猛发展,法律总是相对滞后的。网络监管,就是要基于国家的强制力对网络中新问题加以解决。这种解决方式不仅是针对个人的网络危害行为,也是针对单位之间由于不正当竞争导致的对用户权益和整个互联网经济发展的危害行为。由360软件与QQ软件之间进行的不兼容事件正是这样的问题。单位在市场占有量上充斥着竞争。因此,必须充分考虑网络经济条件下垄断的具体特征及其影响,并采取相应措施,既能维护市场的有效竞争,又能促进经济效率和技术创新水平的提高,又有利于提高消费者的福利水平,实现尽可能好的市场绩效。因此,要实现上述的经济增长并不能单纯依靠相对滞后的法律,而必须辅之以政府出台的网络监管政策以及互联网民间协会的协助。也就是说,网络监管本身蕴含着来自网络法律的出台、国家政策的导向以及网络单位间互相监督的综合,而它的根本目的则是共同维护网络中安全、秩序、权利和自由这些价值。
其实,网络经营商之间的竞争直接关系到网络的普及与发展。在此期间,如果没有对网络经营商的监管,网络经营商对网络使用者的免责条款也会在一定程度上限制网络使用中的安全体验。比如,QQ2011 beta版软件中条款“4.2腾讯特别提请用户注意:腾讯为了保障公司业务发展和调整的自,腾讯拥有随时自行修改或中断软件授权而不需通知用户的权利,如有必要,修改或中断会以通告形式公布于腾讯网站重要页面上。”从中可以发现,网络经营商作为提供网络服务的一方,虽然它提供了对于用户免费的服务,但是它对建立在自己发展基础上而限制用户体验的免责条款的确很不公平。所以,无论是从互联网协会角度,还是政府角度,针对网络经营商的格式条款的监管必将成为一种趋势。
二、网络管理中网络监听的作用
(一)网络监听的定义
网络监听是通过利用计算机的网络接口将网络上的传输数据进行截获的一种工具。我们一般认为网络监听是指在运行以太网协议、TCP/IP协议、IPX协议或者其他协议的网络上,可以攫取网络信息流的软件或硬件。网络监听早期主要是分析网络的流量,以便找出所关心的网络中潜在的问题。网络监听的存在对网络系统管理员是至关重要的,网络系统管理员通过网络监听可以诊断出大量的不可见模糊问题(如网络瓶颈、错误配置等),监视网络活动,完善网络安全策略,进行行之有效的网络管理。
(二)网络监听的工作原理
Internet是由众多的局域网所组成,这些局域网一般是以太网、令牌网的结构。数据在这些网络上是以很小的称为帧(Frame)的单位传输的,帧通过特定的网络驱动程序进行成型,然后通过网卡发送到网线上。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,同一物理网段的所有主机的网卡都能接收到这些以太网帧。当网络接口处于正常状态时,网卡收到传输来的数据帧,网卡内的芯片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,如果认为是目的地址为本机地址的数据帧或是广播帧,则接收并在接收后产生中断信号通知CUP,否则就丢弃不管,CUP得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。通过修改网卡存在一种特殊的工作模式,在这种工作模式下,网卡不对目的地址进行判断,而直接将它收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式,称之为混杂模式。网络监听就是通过将网卡设置为混杂模式,它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。网络监听工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
(三)网络监听的用途
在网络安全领域中,网络监听占有极其重要的作用。网络监听程序通常有两种形式:一是商业网络监听,二是黑客所使用的。商业网络监听用于维护网络,对于网络管理者,监听也是监控本地网络状况的直接手段,监听还是基于网络的入侵检测系统的必要基础。具体来说就是:把网络中的数据流转化成可读格式。进行性能分析以发现网络瓶颈。入侵检测以发现外界入侵者。生成网络活动日志和安全审计。进行故障分析以发现网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器做出精确的问题判断。借助于网络监听,系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪一台主机、报文发送占用多少时间、或者相互主机的报文传送间隔时间等等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。对于黑客攻击而言,网络监听是一种有效信息收集手段,并且可以辅助进行IP欺骗,如收集科技情报、个人资料、技术成果、系统信息、用户的帐号和密码,一些商用机密数据等,目的是为进一步入侵系统做准备,或者是为了其他不可告人的目的。
三、浅析基于网络设备集群的网络管理的实现
随互联网络技术的迅速发展,单位网络的发展规模越来越大,网络设备的数量越来越多,单位网络的扩展使网络的管理变的越来越困难。其设备的数量变得越来越庞大,那么对网络地址的需求将也会变的越来越多。集群的网络管理方式可以很好地解决网络地址问题。集群是可以把一组网络设备看成一个单一实体进行管理,通常情况下,集群中的交换机中有一台被指定为命令交换机,其余称为成员交换机,对集群中各台成员交换机的配置和管理均在角色为命令交换机上进行。
(一)集群中网络设备的角色
命令交换机:单位网络中每个集群设备中必须指定唯一的一台命令交换机,集群的配置和管理均通过此命令交换机来完成,命令交换机要求具备的条件包括需要配置至少一个IP地址、在交换机上运行支持集群的相应软件和运行LLDP协议软件、必须只属于一个集群而不能是其它集群的命令交换机或者成员交换机。
成员交换机:集群中的所有交换机,包括命令交换机,都是该集群的成员交换机。不过若非特别指明,我们所说的成员交换机并不包括命令交换机。只有该集群的候选交换机才能加入集群,从而成为成员交换机,成员交换机要求具备如下条件:运行了集群支持软件,运行了LLDP协议软件,不能是其他集群的命令交换机或者成员交换机。
候选交换机:可以被命令交换机发现并且还没有加入集群的交换机。候选交换机要求具备如下条件:运行了集群支持软件,运行了LLDP协议软件,不能是任何集群的命令交换机或者成员交换机。使用接口配置模式下的命令来手动配置网络设备端口的所有安全地址。让该端口进行地址的互相学习,这些学习到的地址将自动成为该端口上的安全地址,直到安全地址数达到最大个数。但是,自动互相学习到的安全地址不会自动和IP地址进行绑定,如果在某一个设备端口上,已经设置了绑定IP地址的安全地址,则将不能通过自动学习地址来增加安全地址的个数。可以手工配置一部分安全地址,另外的安全地址可以让交换机自动学习到。
(二)集群管理的范围
集群的管理范围与跳数有关,跳数限定了命令交换机可以发现的候选交换机的范围。直接与命令交换机相连的交换机距前者的跳数为1,其余以此类推。默认情况下,命令交换机可以发现距其3跳范围以内的交换机。VLAN对集群的范围也有影响,为了保证与集群管理相关的帧的正确接收和转发,要求VLAN的划分应能保证在命令交换机、成员交换机和候选交换机之间存在可达的二层通道。如果这些端口中包括Trunk,则要求其本地虚拟局域网须为该虚拟局域网。但若该成员候选交换机已经处于路径的最末端,则对其上联端口的属性无要求。
交换机对LLDP的支持也将影响集群的范围,命令交换机借助LLDP协议来发现其他交换机。因此,不支持LLDP的交换机无法被发现,并且与之相连的其它换机也无法被发现,除非它们还连接到其他的支持LLDP的交换机上。如果在交换机上关闭LLDP或者在相关端口上禁用也会导致类似情况的发生。
(三)配置集群
默认情况下集群功能是打开的,在交换机上可以创建集群从而使之成为命令交换机,也可以将其加入一个集群中而成为成员交换机。如果想要关闭集群功能,在特权模式下则:进入全局配置模式,关闭集群功能,回到特权模式,验证配置,最后保存配置。如果交换机是命令交换机,关闭集群功能将删除集群,并且不能成为任何集群的候选交换机;如果是成员交换机,关闭集群功能将使之退出集群,并且不能成为任何集群的候选交换机;如果是候选交换机,关闭集群功能将使之不再能成为任何集群的候选交换机。
配置集群先要建立集群。在特权模式下,可以通过以下步骤来建立集群,同时使该交换机成为集群的命令交换机,还可以为其指定一个序号。进入全局配置模式后设置命令交换机的序号。如果集群已经建立,则使用命令更改集群的名称,但不能更改命令交换机的序号。若要删除集群,可以在命令交换机的全局配置模式下执行命令no cluster enable。
配置集群发现跳数时,其决定了命令交换机所能发现的候选交换机的范围,在交换机的特权模式下,可以通过以下步骤来配置发现跳数。首先进入全局配置模式设置发现跳数,若要恢复为缺省值,可以在全局配置模式下执行命令no cluster discovery。
配置集群timer。为及时地发现网络中的候选交换机,以及准确掌握成员交换机/候选交换机和命令交换机间的物理连接状况,命令交换机将每隔一段时间进行一次拓扑收集。该时间间隔由集群timer决定,缺省情况下为12秒。在特权模式下,可以通过以下步骤来配置集群time,先进入全局配置模式,再设置时间间隔,时间间隔的范围是1-300,缺省值为12秒。如果要恢复为缺省值,可以在全局配置模式下执行命令no cluster timer。
配置集群holdtime。holdtime值即时间值,是命令交换机所收集到的拓扑图以及所发现的候选交换机信息将会被保存一段时间,默认情况下为120秒。交换机的特权配置模式下,可以通过配置集群的holdtime:从特权模式进入全局配置模式后通过cluster holdtime命令进行holdtime时间的设置,时间范围是1-300,默认情况下的值为120秒。配置好后再回到特权模式,通过show cluster验证配置,如果要恢复其为缺省值,可以在交换机的全局配置模式下执行命令no cluster。
网络设备集群的网络管理方式可以大大提高单位网络运行维护的效率,不管单位网络设备处于任何具体的位置,集群的创建可以使多台网络设备不需要IP地址,从而成倍地节省了单位网络有限的地址空间。
参考文献:
[1]于玥.网络信息管理及其安全[J].计算机光盘软件与应用,2010.
[2]褚英国.关于Web应用层深度防御系统的研究与实践[J].计算机时代,2009.
[3]朱星伟.突破单一防御思路的Web安全[J].信息安全与通信保密,2008.
在21世纪后,已经进入了信息高速迅猛发展的时代节奏中,计算机网络通信一般在大众日常生活中形成了较大的影响。针对一个国家来说,我国利用计算机通信网络,在经济、文化等多个范畴中获得了较好的成绩。因技术中仍然现存部分难题与劣势无法解决,所以其中仍然存在很大的安全漏洞;需高效的增强计算机网络通信的安全,文章以计算机通信网络安全问题作为主体展开讨论,进一步建立具有针对性的保护方针。
关键词:
计算机通信网络安全问题;防护策略;讨论
1计算机通信网络安全的基本内容
1.1计算机通信网络安全的定义
计算机通信网络安全涵义指通过对应的网络管理技术方案,可以在网络环境中发挥一种保护,促使对应的核心数据等不会丢失。一般情况下,计算网络安全涉及到物理安全与逻辑安全。而所提及的物理安全是对应的运营设备与设施采取一定的保护;逻辑安全主要是维护信息的健全性与保密性。
2目前我国计算机通信网络中所存在的主要安全问题
2.1计算机通信网络系统自身不足
在时代进步中,计算机通信网络的出现是必然产物,因为可以为人们的生产与生活中提供一定的便利性,进一步使得我国信息化进程趋于更高的发展中,但计算机通信网络自身有待健全与解决的难题。从最新的统计数据发现:计算机通信网络中产生的漏洞一般有如下两个方面:一是网络实现开放性后,面临了巨大挑战。大家都了解到的是,互联网中最显著的优点则为开放性,即便其本身为客户创造了十分全面并在第一时间中供需了信息传递高效性,但也让用户的核心信息、资料等内容陷入不安全状态中。二是计算机通信网络系统软件自身存在不足。在互联网加快发展速度的前提下,本身角度科学性的设计,在发展节奏开始慢下来后,也逐渐将存在的不足与劣势表现了出来。从中可知,在计算机通信网络中现有的难题下,并非外界因素造成的不稳定,均为自身设计时未合理规划造成的。
2.2计算机通信网络的防范体系不够完善
在计算机信息技术逐渐进步后,计算机通信网络中发展也并非这么一帆风顺,其中在安全方面的难题开始涌现在大众眼前。不仅仅是由于计算机本身的系统建设不完善,还由于对应内容的防范体系缺乏健全。部分企业,为了合理掌握多余的运营成本,所以会控制在通信网络方面的资金投入,特别是企业内部中一般不重视网络防范结构的建设。进一步造成计算机通信网络安全问题一直得不到解决,从而问题涉及的面不断扩大。其实在表面中分析是控制了一定的人力、物力、财力,但从本质中而言,面临着更为显著的经济损耗。计算机通信网络安全难题的形成是发展中必然的结果,毕竟因健全的预防体系不足,所以造成网络安全难题出现的机率变高,一般表现在:病毒侵入、蓄意攻击与黑客暗箱操控。所以,提高计算机通信网络的安全防范是至关重要的。
2.3计算机通信我那个了技术人员专业能力有所欠缺
现展中,社会对人才的要求也逐渐开始需要更多复合型人才。因此为了实现社会每个行业中人才的需要,一些高校与中职院校中,逐渐将计算机网络技术打造为了王牌课程,所以社会中开始有大量素质水平无法达到一致的群众加入到培训学校中学习,所以造成本专业的人才,所掌握的专业技术水平与能力上高低不一。其实就是因为一些技术人员的专业水平无法达到现实应用要求,所以在维护企业计算机通信网络系统安全过程中,更会产生相应的安全故障,造成网络整体性无任何秩序可言。并且部分企业正式员工也不注意企业网络的安全,基本上每次处理时都是草草了事,造成计算机通信系统安全受到了较大的冲击。不仅如此,一些网络程序设计人员,最初在建设计算机通信网络基础部分时,为了未来方便开展维护工作,所以一般在设计系统时会保留部分接口,但这也是为不法分子提供了可钻的漏洞。总而言之,专业技术人员综合性水平高低,是决定计算机通信网络安全的重要因素。
3当前计算机通信网络安全管理的高效预防策略
3.1建立健全计算机网络安全技术体系
计算机通信网络安全防护技术,在计算机通信网络安全维护下所发挥的功能是大家亲眼所见的。所以从中可知,健全计算机网络通信安全体系是迫在眉睫需要处理的难题。详细的工作可以在如下三个方面展开:首先,增强密码的技术。而密码技术则指通过对信号技术的伪装,进一步作为辅助,从而建立好密码,其本质是有效防止别人利用这个缺点,侵袭计算机通信系统。其次是建立好防火墙。其实防火墙的建设,主要目的是为了保障计算机通信网络的安全,防火墙一般可做好数据筛选、等技术。不仅如此,防火墙可具有效力的辨别不是本机中的数据技术,利用数据展开研究,从而规避好外界对数据侵入的风险,进一步确保计算机网络安全。该类策略是增强鉴别技术,一般在问题未出现时进行防范,为鉴别技术进一步过滤计算机中有无潜藏并未发现的安全问题。通常若出现隐藏的安全难题,则需为技术人员供需充裕的时间应用高效手段来解决。
3.2增强相关技术人员的网络安全教育工作
若期望通过高效维护计算机通信网络的安全,则需要树立企业对应技术人才的安全预防理念。所以,针对企业工作人员与对应的网络技术人员从业标准存在差异性:处理企业平常工作的人员,日常工作中,需要提高本身的安全思想理念,自愿接受企业对应安全理念的培训工作。这样一旦爆发紧急安全难题,则还可以通过本身掌握的知识来处理,暂时确保计算机通信网络安全的稳定性。但对于一位技术人员来说,需要展开更深层次培训。不仅仅在通信网络应用中,有效降低软件系统中有可能出现问题的激励,还应慢慢健全并增强核心数据的保密性。而在企业招纳技术人员的阶段,应当全方面斟酌其有无存在较强的执业水平;而到企业就业后,需要提高管理人员对网络安全重要性的认知,企业中的对应管理层需要定时定期召集专业技术人员来共同探讨网络安全问题,从而在不断的沟通与交流下。该模式会打造出一批高级的网络技术人才,从而为日后计算机通信网络安全的防护工作创造一定的基础。
3.3出台相关的计算机网络安全管理措施
在确保计算机通信网络所运转的环境是安全的,所以在建立对应网络安全管理制度中,应当联合行政方式。通常来说,计算机网络安全策略由如下两个方面组成:网络安全管理策略与物理安全策略。例如:为了具有效力的处理好一些没有获得许可改动用户使用的企业内部网络资源,同时随意撰写当中十分核心的内容。公司能够利用网络管理的模式,建立相关的访问许可证书,同时打造高效的口令接口,只有赋予了权限的用户才有访问权,这样才可具有效力的把控访问权限,不会被不法之人趁机而入,有效的确保数据不会被随意的改动或删除,计算机通信网络中对于有关网络安全管理方案应当尽快健全,打造一个综合性数据信息识别体系。整体来说,在不同角度中不断斟酌,同时依照现在网络现状来制度对应的管理方针,这样计算机通信网络安全工作才能投入实践中。
4结语
针对大部分企业来说,计算机通信网络的安全,本身属于一项难度较高,需大量时间来累积的重任务。同时利用专业的技术人员实现维修、管理等工作,才可有效防止企业内部中产生各式各样的不稳定难题,进一步确保企业工作有序不紊的进行。所以,对于一名技术网络专业的人才而言,应当明确自己肩负的责任,并落实好自己的职能,这样才可以保证计算机通信网络安全,在运转的过程中无任何阻碍。
参考文献:
[1]张咏梅.计算机通信网络安全概述[J].中国科技信息,2006(4):71-71.
[2]朱振峰.浅谈计算机通信网络安全与防护策略的相关思考[J].工程技术:文摘版:00295-00295.
[3]陈渝.分析计算机通信网络安全与防护方法[J].科技与创新,2016(22):107-107.
第一章总则
第一条为了加强对计算机信息网络国际联网的安全保护,维护公共秩序和社会稳定,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定,制定本办法。
第二条中华人民共和国境内的计算机信息网络国际联网安全保护管理,适用本办法。
第三条公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全,维护从事国际联网业务的单位和个人的合法权益和公众利益。
第四条任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第五条任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
第六条任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第七条用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。
第二章安全保护责任
第八条从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
第九条国际出入口信道提供单位、互联单位的主管部门或者主管单位,应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。
第十条互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:
(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;
(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;
(三)负责对本网络用户的安全教育和培训;
(四)对委托信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;
(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;
(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告;
(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。
第十一条用户在接入单位办理入网手续时,应当填写用户备案表。备案表由公安部监制。
第十二条互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起三十日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时报告本网络中接入单位和用户的变更情况。
第十三条使用公用帐号的注册者应当加强对公用帐号的管理,建立帐号使用登记制度。用户帐号不得转借、转让。
第十四条涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时,应当出具其行政主管部门的审批证明。前款所列单位的计算机信息网络与国际联网,应当采取相应的安全保护措施。
第三章安全监督
第十五条省、自治区、直辖市公安厅(局),地(市)、县(市)公安局,应当有相应机构负责国际联网的安全保护管理工作。
第十六条公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。
第十七条公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。监督、检查网络安全保护管理以及技术措施的落实情况。公安机关计算机管理监察机构在组织安全检查时,有关单位应当派人参加。公安机关计算机管理监察机构对安全检查发现的问题,应当提出改进意见,作出详细记录,存档备查。
第十八条公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时,应当通知有关单位关闭或者删除。
第十九条公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件,对违反本办法第四条、第七条规定的违法犯罪行为,应当按照国家有关规定移送有关部门或者司法机关处理。
第四章法律责任
第二十条违反法律、行政法规,有本办法第五条、第六条所列行为之一的,由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款,情节严重的,并可以给予六个月以内停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格;构成违反治安管理行为的,依照治安管理处罚条例的规定处罚;构成犯罪的,依法追究刑事责任。
第二十一条有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款;情节严重的,并可以给予六个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。
(一)未建立安全保护管理制度的;
(二)未采取安全技术保护措施的;
(三)未对网络用户进行安全教育和培训的;
(四)未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的;
(五)对委托其的信息内容未进行审核或者对委托单位和个人未进行登记的;
(六)未建立电子公告系统的用户登记和信息管理制度的;
(七)未按照国家有关规定,删除网络地址、目录或者关闭服务器的;
(八)未建立公用帐号使用登记制度的;
(九)转借、转让用户帐号的。
第二十二条违反本办法第四条、第七条规定的,依照有关法律、法规予以处罚。
第二十三条违反本办法第十一条、第十二条规定,不履行备案职责的,由公安机关给予警告或者停机整顿不超过六个月的处罚。
第五章附则
【关键词】统计信息;管理;计算机;网络化
1当前统计信息管理过程中存在的几点问题
统计行业为我国的经济发展做出了非常大的贡献,作为各行各业运作必不可少的数据信息,在开展统计信息管理的时候应当充分的保障其有效性,合理地处理其中遇到的问题,充分的应用计算机网络化技术,提高统计的准确性,可见在统计信息管理过程中使用计算机网络哈技术是一件十分必要的事情,但是在实际的统计信息管理的过程中,计算机网络哈技术并不普及,传统的统计信息管理存在着以下几个问题。
1.1传统信息统计管理在产值工时管理中存在的问题
在传统的信息统计管理的过程中,手工操作是主流,但是手工统计存在着不可避免的工作效率低下的问题,最常见的问题还有在统计信息的时候速度较慢,统计不完整等等一系列的问题,尤其是面对产值工时的信息处理的时候,由于产品的产值工时在统计的时候存在着很多的种类,例如:按产品类型分类、按产品生产批次、按任务费用编号或者是按照项目类型分类等等,这些产值信息在传统的统计信息管理人员的眼中是大量复杂的数据,也蕴含着非常大的工作量,在统计记录的过程中出现任何的问题都会导致统计工作的结果出现疏漏或者是效率低下。其次,传统的产值工时信息统计的而过沉重,统计的效果常常受到多种因素的影响,例如其中车间的生产统计资料应当按照不同的生产需求进行分类,但是会遇到存储空间不足的问题,导致资料的长期不合理存储影响统计信息的有效性。最后,产值工时信息统计的时候面临着大量的信息管理工作,需要信息统计管理人员处理大量的工作,常常会引起统计成本的提升,这对于统计工作的优化有消极的影响。
1.2传统的统计行业在处理经济指标统计时存在的问题
经济指标的统计对于企业的长久战略决策有非常重要的影响,经济指标在进行统计的时候要求具有真实性以及完整性,统计的频率也要得到极高的保障,基本上是每个月都要进行的统计工作,因此需要统计信息的管理人员在一个月的中旬掌握企业的相关经济活动的信息,在月底对经济指标信息进行统计与回报,但是高频率、大工作量的统计使得信息管理人员的工作准确性无法得到保障,导致无法向企业的决策者提供最新以及最准确的经济指标管理信息。
1.3传统的信息统计管理在统计台账管理过程中存在的问题
企业的统计台账管理包括了车间以及子公司甚至是各个部门的账目管理,进行台账管理对于企业管理者全面掌握企业的经营状况有着非常重要的意义,根据台账的信息可以准确的了解到企业的生产经营状况、人力资源状况以及劳资状况,由此可见这些统计信息在处理的过程中存在着较大的难度,不仅信息的数量大,信息的内容比较琐碎,且统计信息管理人员无法完整的抓住所有的信息,在传统的统计信息管理的过程中,很容易出现统计不完整或者是统计不详细的状况。综上可见看出,传统的统计信息管理在处理信息的时候缺乏科学的方法,导致统计工作开展的效率低下,无法满足企业对于各类统计信息的需求,因此在信息统计管理方面需要进行方法的改革,引进计算机网络技术。
2计算机网络化技术在统计信息管理中的应用方式
由于计算机网络化技术的出现,简化了多项统计信息收集以及信息处理的工作,使得统计信息管理的工作量在一定程度上得到了缓解,工作的效率也得到了一定的保障,因此在统计信息的管理过程中引进计算机网路化技术的便利是一项非常有必要的事情,对于统计行业的未来发展有十分积极的意义,尤其是在大型数据库的建立方面,将企业内各类型的统计数据记录在计算机网络中,节约了实际的存储空间,强化了数据的安全性、保密性以及管理的便捷性。下文提出了几点在统计信息管理过程中计算机网络化技术的应用:
2.1在企业的信息网络上建设内外部信息的数据库
为了能够在企业经营的过程中实现计算机的网络化,企业对于各类信息的把握是十分必要的,为了实现对信息的高效处理以及搜集,企业应当基于统计信息管理的基础上,建立内外部信息的分类数据库,属于企业经营内部的数据,例如财务管理数据、人力资源管理数据以及生产资料数据等等存储在内部数据库中进行统计以及信息处理,在计算机网络化技术的辅助下,企业可以将内部生长过程中的人力、物理以及资金和信息巧妙的整合在一起,实现生产经营过程的规范化以及制度化,也以此为基础实现真正的信息资源共享。而对于企业外部的信息,例如国内外市场的状况、市场的走向以及产品的技术开发等等信息存储在外部的数据库中进行统计与分析,使得这些信息经过计算机的处理之后形成对决策者有利的战略性经营的消息,为企业的未来发展提供更加根本的保障,实现企业的优良发展。
2.2在计算机网络化技术的辅助下实现对信息资料的扩充
借助计算机网络化技术,企业在进行统计信息管理的时候所面临的范围扩展了,企业不再仅仅局限在定量的内部统计数据之中,而是将更多企业的生产经营以及决策扩展到了更为大量的定性统计信息资源之中,通过计算机网络化技术搜集到的各种信息将企业经营的内部统计信息以及外部统计信息有效的联合在一起,通过科学的计算机分析方法实现了实事求是的定性分析,从而掌握了对企业总体运行状态的全面监督、检查以及管理,一方面,可以在企业历年的管理信息的统计基础之上对企业的管理以及经营进行纵向的比较,还可以将根据信息资料的调查建立信息统计调查库、统计分析信息库以及统计信息报告库,这些信息的能够为企业的未来发在行业内进行纵向的比较,使得在制定企业发展的战略性决策的时候,企业的管理者能够更加理智的制定出未来的发展方向和发展的策略。同时,在使扩充完善信息的统计资料库的时候,统计信息的管理者能够在更广泛的途径上获得大量的统计信息资源,也就是说,通过计算机网络化技术,企业的统计信息管理人员能够在更短的时间内获得更为准确的、对于企业生产经营有利的信息,有效的提高了企业内部的统计信息管理的工作效率,提升了信息统计工作的准确性以及真实性。
3结语
当今时代是信息化的时代,各行各业的发展都离不开信息技术以及计算机网络化技术的辅助,尤其是计算机技术的出现为当今的统计信息的管理提供了非常大的便利,充分的提高了信息统计工作的准确性以及高效性,本文对传统信息统计管理企业存在的问题进行了深入的剖析,在此基础上提出了几点在统计信息管理行业中引进计算机网络化技术的策略,以期未来的统计信息管理向更加准确、科学以及有效的方向发展。
参考文献:
[1]刘佳.高校实验室信息统计工作的网络化管理探讨[J].宁德师范学院学报:自然科学版,2014,26(02):127-129.
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(smis)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(vlcc)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用hp compaq dx7400(pentium dual e2160/1.8ghz/ddr2 512m/80g);网关采用industrial computer 610(p4 2.8ghz/ddr333 512m/80g);交换机采用d-link des-1024d快速以太网交换机(10/100m 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用amos mail或rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义isms的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循pdca的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7 总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
关键词:船舶计算机 网络系统 网络安全管理
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(SMIS)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(VLCC)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);网关采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交换机采用D-LINK DES-1024D快速以太网交换机(10/100M 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用AMOS MAIL或Rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
