電大本科計算機論文
當代高校計算機資訊科技是現代資訊科學技術的基礎,計算機資訊科技的發展,對高校計算機資訊科技基礎教育也提出了新的挑戰和要求。下面是小編為大家推薦的,供大家參考。
範文一:單位網路資訊保安建設思路
0引言
隨著時代的發展,在當前的勞動就業服務管理體系中,網路資訊科技的運用非常廣泛,但在享受資訊科技便捷性的同時,網路資訊的安全問題也日益突出,想要真正解決這一問題,就要構建起完善的網路資訊保安防護體系,因此,對單位網路資訊保安建設的思路進行探討非常有必要,本文主要從技術與管理兩個層面進行研究。
1當前單位網路資訊保安問題
在現階段的勞動就業服務管理體系中,主要存在的網路資訊保安問題有以下幾方面:
1.1技術層面
第一,核心技術欠缺。當前我國在進行資訊化建設的過程中,普遍借鑑國外的成功方法與技術,而欠缺自主性的核心技術,也正因如此,單位在構建資訊保安防護系統時沒有針對性,不能以單位實際情況為基礎,進行相關軟硬體平臺的構建,系統中一部分加解密技術也大多源自我國對手國家。這便會在很大程度上降低單位的網路資訊保安,容易被人監視與竊聽,甚至可以對我國網路進行干擾與欺詐,使網路資訊保安處於危險狀態。第二,病毒感染威脅。病毒是計算機網路中常見的安全威脅,實際上也是一種計算機程式,很多計算機病毒都能夠對計算機網路進行破壞與傳染,且普遍具有潛伏性與隱蔽性,有些還能夠變異。計算機病毒通常會以檔案或磁碟作為載體,在計算機網路中傳播,隨著網路資訊科技的快速發展,病毒種類與傳播方式也呈現出多元化趨勢,對單位網路資訊的威脅越來越大。絕大多數病毒在進入到計算機網路中以後,都能夠實現自啟動,破壞計算機的程式與系統,並將其中的重要資訊洩露出去。一旦計算機受到病毒感染,它就會成為攻擊者的控制平臺,對其硬碟這種的引數進行修改,也可以破壞網路資訊系統中的重要資料,使網路資料無法完成正常傳輸,進而造成整個系統的癱瘓,這種現象在勞動就業服務管理體系中並不是沒有發生過。第三,涉密資訊沒有保障。在網路資訊傳輸的過程中,一般會運用通訊通道,而通訊通道在整個安全系統中是相對薄弱的部分,因此,在傳輸資訊時就很容易在通道中出現篡改與竊聽情況,從而降低網路資訊的安全性,侵害單位與使用者的切實利益。
1.2管理層面
第一,安全意識滯後。在勞動就業服務管理體系中,一部分人沒有真正認識到網路資訊保安的重要意義,沒有正視當前網路資訊保安鎖面對的嚴峻形勢,認為網路資訊發展速度太快,傳統途徑太多,網路資訊洩密問題是不可避免的,而對網路安全體系的投資很難見到效果,沒有建設意義,因此,只注重建設網路,卻輕視網路安全。第二,管理機制欠缺。當前我國尚沒有構建起健全的網路安全管理機制,雖然國家已經出臺了一些相關法規,但仍然無法滿足現階段網路安全管理的管理需求,法規建立沒有針對性、組織管理不完善、缺乏統一標準等問題,都阻礙了單位網路資訊保安的發展,使得單位網路資訊建設分散、功能缺乏、管理低下、資源浪費。第三,相關人才不足。隨著網路資訊的快速發展,勞動就業服務管理體系對相關人才與裝置的要求也更高,但當前我國在這方面的人才還遠遠無法滿足發展需求,而且,由於專項資金不足,相關裝置的發展也相對緩慢,絕大多數網路資訊系統都無法實現健全的安全保密建設。
2建設單位網路資訊保安思路
想要真正解決當前網路資訊系統存在的安全問題,就需要有針對性的從技術與管理兩方面進行網路安全相關制度的制定。
2.1技術層面
第一,安裝病毒防護軟體。在勞動就業服務管理單位中,需要引入安裝病毒防護軟體來保證單位內部的資訊保安。防火牆是現階段各單位普遍運用的一種防病毒軟體,主要存在於單位的內網與外網之間,運用相關的安全策略構建起軟硬體的組成體,能夠實現對單位內網與主題的保護。另外,防火牆還能夠幫助單位系統實現網路安全隔離,以安全過濾規則為依託,實現對非法使用者的有效控制,抑制網路中的外來攻擊。另外,在系統中裝置防病毒軟體可以對系統中的病毒進行實時監測,及時發現系統中的異常情況,將傳統意義上的被動防毒轉變為主動清除。一般單位會運用SNMP進行防火牆管理,也就是簡單的網路管理協議,將其嵌入到交換機中,便能夠從中心站對裝置進行管理,還可以通過圖形的方式對資訊進行檢視。第二,裝置入侵檢測系統。在勞動就業服務管理單位中,還需要引用入侵檢測系統來保證單位內部的資訊保安,該系統主要由硬體與軟體兩部分組成,當前單位中廣泛運用的是規範濫用與靜態異常兩種模型,這兩種模型都是以網路故障或伺服器為基礎的。入侵檢測裝置一般需要建立MySQL,通過身份驗證以後,便可以進行入侵檢測。日常管理時需要安排專門的檢測管理員,定期對裝置進行重啟。根據實際網路環境,對檢測介面進行定義,包括檢測策略、阻斷級別、事件報警、管理許可權等。還需要進行模擬攻擊,以確保入侵檢測系統的效能完好。健全的入侵檢測系統能夠在很大程度上彌補防火牆的防護缺陷。
2.2管理層面
第一、針對人為可控因素的管理。從某種意義上講,缺少安全管理是造成系統不安全的最直接因素。因此,必須制定一套完全的安全管理制。
***1***專注內部管理—對內網的監控。內部區域網的監控是通過監控伺服器對網路中所有主機資料進行檢測,並將網路中的資料收集到伺服器,對正常資料流伺服器不採取動作,當發現有敏感資料時即迅速將其隔離儲存,再報警,網路管理員通過操作和檢驗後對使用者電腦進行處理。
***2***兼顧外部管理—對外網的監控。除了要監控區域網內的資料,更需要對廣域網和網際網路的控制。要對單位內部的各種應用和流量實施不同的區分和限制,對FTP和BT等應用嚴格監管。第二,建立網路安全領導小組。成立安全管理領導監督小組,安全管理領導監督小組監督網路安全專案的建設並參與管理,負責貫徹國家有關網路安全的法律、法規,落實各項網路安全措施。建立完善的安全保障體系,如管理人員安全培訓、可靠的資料備份、緊急事件相應措施、定期系統的安全評估及更新升級系統,確保系統一直處於最佳的安全狀態。第三,啟用相關科技與人才。在單位進行網路資訊保安建設的過程中,要運用先進的科學技術,構建起高水平的網路資訊保安體系,以提升單位中重要資訊與資料的安全性。而二十一世紀的發展中,人才是單位中必不可少的發展要素,啟用具有法律知識、網路知識、管理能力的綜合性人才能夠起到事半功倍的效果,單位還需要對相關人才進行定期培訓,保證人才學習最前沿的網路安全技術,從而使單位中的網路資訊更安全。
3結論
綜上所述,隨著資訊時代的到來,網路技術在勞動就業服務管理體系中的運用也越來越普遍,網路安全問題也層出不窮,在面對各種問題的過程中,單位需要從技術與管理兩個角度出發,建設單位網路資訊保安體系,提升單位網路系統的安全水平,運用先進技術、提升思想認識、啟用相關人才、構建健全機制,真正意義上使網路資訊得到保障,促進勞動就業服務管理體系的進一步發展。
範文二:企業資訊保安管理中資料加密技術應用
對於生產企業來說,最為重要的無疑是設計文件的安全。一個企業投入巨大的人力物力成本,產生了大量的無形資產和成果,而這些資產和成果與傳統的紙質文件、紙質藍圖、固定資產不同的是,它們普遍以數字的形式儲存在企業的各種資訊載體中。而這些數字化的資訊資源具有易複製和易傳播的弱點,很容易造成資訊的流失。這些資訊中包含的關鍵技術、核心工藝、研究成果關係整個企業的生存競爭。除重要的設計文件、檔案外,企業的客戶資料、採購成本、合同文書、商業計劃等也是承載著有關商業祕密的資訊資料。
1單一文件加密技術應用的不足
國家乾燥技術及裝備工程技術研究中心是由國家科技部批准專門從事幹燥技術及裝備工程化研發的國家級專業科研中心。該中心主要從事幹燥、焙燒、粉塵回收、尾氣處理、重力摻混及氣力輸送、塔器、壓力容器、成套裝置的工程設計及製造。工程中心國產化大型乾燥技術和裝備成功取代進口裝置,提升了我國乾燥行業技術進步。中心很早就採用了文件加密系統用於保護自身的資料安全。該系統主要使用應用層加密技術將重要的CAD、DOC、XLS、PPT、TXT等技術文件進行加密處理,保證了相關資料資源不被洩露。隨著時間的推移和技術的進步,這一系統也暴露出了諸多問題和不足。
***1***該系統嚴重依賴於應用程式,保密策略必須區別不同的文件型別、版本進行逐一單獨加密,當遇到應用程式不斷增多或升級變化時,保密策略的二次開發性變得愈加複雜和不可控。
***2***當用戶使用多種應用程式互動工作***如在CAD和WORD文件間進行復制、貼上操作***時,加密系統對不同文件型別的強制保護阻止應用程式間的聯絡,從而進一步妨礙了多個使用者***組***進行協同工作的需求,而這種需求在近些年來變得日益頻繁。
***3***由於操作失誤、計算機錯誤***如意外斷電***而造成的加密文件錯誤迫使管理人員投入大量的時間去處理加密系統的不穩定和故障頻發。
***4***由於文件加密本身針對單一文件進行加密和解密,隨著技術檔案數量呈指數性增長,以上問題和整個系統的維護工作量日漸龐雜。為解決以上問題,工程中心於2014年採用了Chi-nasec***安元***可信網路安全平臺,全面升級和改造了原有的單一文件加密系統,有利的保障了關鍵資訊資料和內網安全,取得了良好的應用效果。
2網路安全平臺的技術特點
2.1系統的體系結構
Chinasec***安元***可信網路安全平臺,是基於內網安全和可信計算理論研發的內網安全管理產品,以密碼技術為支撐,以身份認證為基礎,以資料安全為核心,以監控審計為輔助,可靈活全面的定製並實施各種安全策略,實現對內網中使用者、計算機和資訊的安全管理,達到有效的使用者身份管理、計算機裝置管理、資料安全保密儲存和防止機密資訊洩漏等目標。整個平臺體系包括網路認證系統***TIS***、網路保密系統***VCN***、資料管理系統***DMS***、應用保護系統***APS***和移動儲存裝置管理系統***RSM***六大子系統。這些子系統均採用模組化設計,根據安全機制的需求既可以單獨使用,又可以靈活組合。國家乾燥工程中心採用的該保密系統主要由兩個子系統,分別是可信網路認證系統***TIS***、可信網路保密系統***VCN***。在該系統中,子系統擁有共同的工作平臺和基礎,其基本結構分為伺服器***Server***、客戶端代理***Agent***和控制檯***ManagementConsole***三部分,全部為軟體系統。其它各個子系統都執行在這個共同的平臺上,使用共同的伺服器、共同的控制檯和共同的核心客戶端代理。它們的通訊體系和通道也是共同的,從而保證了佔用最少的系統資源和網路資源。Server是可信網路安全平臺的核心組成部分,是所有策略的儲存中心,也是系統執行和維護的中心。在Server上,儲存著使用者資訊、計算機資訊、組織體系、策略資訊及日誌資訊。伺服器軟體需要一個授權的硬體USB令牌,才能夠正常執行。Agent執行在可信網路安全平臺需要控制的計算機終端上,該代理採用安全的方式接收伺服器的統一管理,接收伺服器下發的策略,並通知相應的功能模組執行,其功能模組都通過平臺的核心代理引擎與伺服器進行通訊。Console是可信網路安全平臺的使用者介面,用於實現對伺服器端的遠端管理,它是整個平臺的控制中心,平臺中的各個系統都可以集中體現在該控制檯中。網路認證子系統***TIS***是一套基於PKI技術和公開金鑰技術實現的網路資源認證的軟體機制,是整個系統中的安全管理機構,其主體架構與可信網路安全平臺相似,其安全性也得到了該平臺的有力支撐。它主要採用口令***或USB令牌***的方式,對被控計算機終端的登入和使用許可權進行“雙因素認證”管理;可以對伺服器進行訪問控制和保護,只有經過授權的客戶端和使用者才能夠訪問受保護的伺服器。網路保密子系統***VCN***是基於密碼技術、網路驅動技術和系統檔案核心驅動技術,針對內部網路和主機資訊保密開發的軟體機制,也是整個系統中最重要的應用和執行機構。同樣基於可信網路安全平臺進行開發,其主體架構依賴安全平臺,主要用於構造內網保密網路,隔離內外網間的資料傳輸,對網路傳輸和儲存裝置兩個主要資料交換途徑進行有效控制和管理。能夠提供網路傳輸加密和控制、本地磁碟加密、外設控制和U盤管理等功能,並可以對需要外發的檔案提供檔案審批和本地終端的檔案加密功能,從而防止機密資訊從網路途徑或者儲存裝置的途徑洩漏出去,這裡的儲存裝置,包括行動硬碟、固定硬碟、U盤和軟盤等。
2.2儲存加密技術特點
加密技術在該系統中佔有重要的組成部分。其加密體系分為網路加密體系和儲存加密體系,其中,網路加密體系通過對IP層資料包的改造和特殊保密格式的封裝,實現了網路途徑的保密,客戶端代理***Agent***對所有IP包採用特殊格式進行封裝,然後才傳送到網路中進行傳輸。而對於儲存加密體系考慮更加周全,採用了目前主流的驅動級加密技術,很大程度上提高了系統的執行效率。驅動級技術與單一文件加密技術的區別在於前者採用透明加解密技術,使用者感覺不到系統的存在,不改變使用者的操作習慣;而資料一旦脫離安全環境,則無法使用,有效的提高了資料的安全性。
2.3加密演算法技術特點
對於加密技術來說,加密演算法是整個技術體系賴以運作的關鍵核心。Chinasec可信網路平臺在資料儲存控制中支援DES、3DES、AES和SMS4多種演算法。DES演算法是分組密碼的典型代表,也是第一個被公佈出來的加密標準演算法。在1976年11月被美國國家標準和技術研究所***NIST***採納為美國聯邦標準,並被批准用於非軍事場合的各個政府機構。DES同時採用了代換和置換兩種技巧,用56位金鑰加密64位明文,最後輸出64位密文,整個過程由兩大部分組成,一個是加密過程,另一個是子金鑰產生過程,見圖1所示。DES加密過程共迭代16輪,每輪用一個不同的48位子金鑰。這些子金鑰由演算法的56位金鑰產生。DES演算法的輸入金鑰長度是64位,但只用了其中的56位,其餘位數主要用於奇偶校驗。由於DES將Lucifer演算法作為基礎,而Lucifer演算法的金鑰長度為128位,但DES將金鑰長度改為56位,因此金鑰共有256=7.2×1016個可能值,這不能抵抗窮盡金鑰搜尋攻擊和破解。由於DES演算法本身的缺陷和安全問題,NIST在1999年釋出了新版本的DES標準***FIPSPUB46-3***,即通常所說的三重DES***3DES***標準。3DES的金鑰長度是128位,足以抵抗窮舉攻擊和破解。其次,3DES的底層加密演算法與DES的加密演算法相同,該加密演算法比任何其他加密演算法受到分析的時間要長得多,但迄今為止卻沒有發現有比窮舉攻擊更有效的密碼分析方法。當然,由於3DES迭代的輪數是DES的3倍,因此執行速度要慢很多。為了彌補DES在安全性上的不足和3DES的執行效率問題,NIST在2000年公佈了新的高階加密標準***AdvancedEncryptionStandards,AES***。AES標準支援新的準則:
***1***安全性:由於AES最短的金鑰長度是128位,在現有技術條件下,窮舉攻擊和破解是無法實現的;
***2***代價:由於AES具有很高的計算效率,因此可以廣泛應用於各種實際應用中;
***3***演算法和執行特徵:演算法的靈活性、簡潔性以及硬體與軟體平臺的適應性方面遠比DES和3DES更高。SMS4演算法是中國國家商用密碼管理辦公室於2006年公佈的用於無線區域網的分組對稱密碼演算法,是國內官方公佈的第一個商用密碼演算法,具有較好的抗破解能力。它的分組長度和金鑰長度為128Bit,具有較好的平衡性和非線性。
3應用中的安全特性和優點
3.1系統的安全特性
整個系統總的來說就是提供了一種有效的資源控制手段,根據管理需要和規則對內部網路資訊系統的各種資源進行有效的控制。具體來說,計算機系統本身就是一種資源,計算機裡面的各種外設、硬碟空間、應用程式、網路埠、網路連線和檔案等,而伺服器系統本身也是資源。系統對所有這些有價值的資源都進行控制,採用了授權使用、違規記錄及審計等多種手段結合,確保了所有資源的可控性,從而提高了內網資訊系統的安全性和可管理性。授權使用是指所有資源必須是經過管理員授權的使用者在指定的狀態下才能使用。例如,要使用某臺計算機,必須是經過管理員授權的使用者才能進入該計算機作業系統;又如要使用一臺計算機上的USB埠,那麼也只有經過管理員授權。違規記錄則是將使用者違反管理規則,試圖使用沒經過授權的資源。比如一個使用者在一臺計算機上沒有被授權使用光碟機,該計算機上的光碟機在該使用者登入系統後會被禁用,如果使用者試圖從裝置管理器強行啟用該裝置***當然其行為會失敗***,保密系統將記錄該使用者的違規行為。審計則是對使用者行為和資訊系統的一些重要資訊進行記錄。記錄的資訊包括了詳細描述、使用者、計算機及時間等要素,可以作為以後查證使用。整個系統資源控制,都以策略的方式實現,包括了使用者、計算機、資源授權內容和狀態幾個要素。尤其是可信網路保密子系統***VCN***由於同時使用了儲存加密和網路加密傳輸,部署VCN的所有計算機,啟用網路策略後,其傳輸的資料都經過加密,且每兩臺計算機使用的通訊金鑰都不一樣,從而有效防止了網內使用惡意偵聽軟體的行為。網路加密的金鑰由VCN伺服器統一管理。VCN強制加密所有本地磁碟儲存的檔案,只能在VCN系統啟動的情況下才能正常使用本地磁碟,有效防止了因為硬碟丟失、多作業系統和光碟啟動等造成的資料洩密事件的發生。有效防止了非法外連和非法接入,VCN內的計算機不能與VCN外的計算機進行網路通訊,阻止了各種形式的非法接入。
3.2實際應用中的優點
3.2.1開機認證保護即使用者和安全平臺之間的認證是優先於作業系統啟動之前發生。在BIOS啟動後通過密碼進行認證,合法授權才能啟動您的電腦正常使用本地磁碟資料,等於是在底層控制,確保硬碟資料的安全性是萬無一失。
3.2.2加密方式靈活儲存磁碟加密的實際運用手段分為快速加密和深度加密。快速加密方式僅加密磁碟分割槽表,特點是部署時間短;深度加密方式加密全盤資料,特點是安全性高。企業可根據自身的實際情況來採取更合理的加密方式。
3.2.3後臺無感知自動加解密所有加密過程均在後臺全自動完成,對硬碟的每一個扇區加密,全面而徹底;而對使用者完全透明,整個過程使用者毫無感知。使用者檢視檔案時將不會看到檔案帶有任何與“加密”有關的屬性;但如果換個角度,將裝有系統的硬碟拆掉,連線到其他計算機上,在試圖訪問應用了硬碟加密的系統所在的分割槽時,則只能看到未經格式化的硬碟分割槽資訊。
3.2.4支援斷點加解密客戶端在加密或解密過程中,發生系統關機、斷電等異常操作後,重啟計算機,客戶端仍繼續執行相應的加解密動作。
3.2.5集中部署,統一安全的策略系統集中下發安全策略,客戶端統一受控於管理端。策略在執行時,使用者沒有修改安全策略的控制權限,在客戶端強制性設定安全策略變得更容易,後期維護更簡單方便。
3.2.6資料恢復措施完善伺服器會實時記錄當前客戶端狀態,當發生客戶端斷電、使用者忘記密碼、遺失或者離開本單位後,客戶端都能安全的恢復到當前狀態;還可建立網上恢復工具的幫助桌面,通過幫助桌面遠端重新設定使用者密碼。
4結束語
大資料時代,無論是政府還是企業都離不開資料的採集、儲存和使用,資料資產是企業發展的生命線,捍衛資料安全成為企業的重要任務。網路安全平臺的投入使用,通過儲存強制加密、保護控制策略、記錄審計等多種手段相結合,可以達到外部入侵進不來、非法外接出不去、內外勾結拿不走、拿走東西看不懂的效果,有效防止機密敏感資訊的洩漏。它的投入使用,全面提升了國家乾燥技術及裝備工程技術研究中心的資料安全性和綜合資訊管理的水平,保護了企業的智力資產。這一系統的成功應用,為其他企業的資訊資料安全管理也有很好的借鑑。