時間:2022-08-19 18:30:40
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡設備安全范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
[關鍵詞]網絡、設備、管理、安全
中圖分類號:TN 文獻標識碼:A 文章編號:1009-914X(2016)01-010-01
1、企業網絡設備的定義和分類概述
企業網絡設備其實就是網絡互聯設備,就是在網間的連接路徑中進行協議和功能的轉換,它具有很強的層次性。遵循OSI模型,在OSI的每一層對應不同的網絡設備產品,每層網絡設備產品用于執行某種主要功能,并具有自己的收集整理一套通信指令(協議),相同層的網絡設備之間共享這些協議。
企業網絡設備主要分為交換機、路由器、防火墻。交換機就是一種在通信系統中完成信息交換的功能,交換機擁有一條很高帶寬的背部總線和內部交換矩陣,交換機的所有端口都掛接在這條背部總線上,制動電路收到數據包后,處理端口會查找內存中的地址對照表以確定目的的網卡掛接在哪個端口上,通過內部交換矩陣迅速將數據包傳送到目的端口。路由器就是一種連接多個網絡或網段的網絡設備,它能將不同網絡或網段之間的數據信息進行翻譯,使它們相互讀懂對方的數據,從而構成一個更大的網絡。其功能是對用戶提供最佳的通信路徑,利用路由表查找數據包從當前位置到目的地址的正確路徑。防火墻就是隔離在本地網絡和外界網絡之間的一道防御系統,防火墻可使用內部網絡與因特網之間或者與其他外部網絡相互隔離、限制網絡互訪,以保護企業內部網絡,其主要功能是隔離不同的網絡,防止企業內部信息的泄露;強化網絡安全策略;包過濾和流量控制及網絡地址轉換等。
2、企業網絡設備網絡安全管理模式研究
2.1安全管理PC直接與安全設備進行連接是最常見的,也就是傳統的對網絡安全設備要進行配置管理就必須把管理的計算機直接連接到安全設備上,常見的是將安全管理PC的串口與安全設備的CONSOLE口連接,然后在PC機上運行終端仿真程序,如Windows系統中的超級終端或者使用SecureCRT應用程序。然后在終端仿真程序上建立新連接,選擇實際連接安全設備時,使用的安全管理PC上的串口,配置終端通信參數,安全設備進行上電自檢,系統自動進行配置,自檢結束后提示用戶鍵入回車,直到出現命令行提示符。然后就可鍵入命令,配置安全設備或者查看其運行狀態。但對于不同設備可能會有不同的設置,例如對于防火墻0的連接參數就和上面不一致,對于這種情況我們可以采用WEB方式管理。就是用網線連接安全管理設備和計算機上的網卡接口,同時對管理計算機和安全設備的管理接口的IP地址進行配置,以便讓它們位于同一個網段。開啟安全設備的本地SSH服務,并且允許管理賬號使用SSH。這是因為對大多數安全設備的WEB管理都是通過SSH連接設備的,這樣安全管理PC和安全設備之間傳輸的數據都是通過加密的,安全性比較高。在安全管理PC的瀏覽器地址欄中輸入https://192.168.1.1回車,輸入用戶名和密碼后就可登陸到網絡安全設備的WEB管理界面,對其參數和性能進行配置。
2.2安全管理PC通過交換機管理安全設備,只需把安全管理PC直接連接到交換機上,PC和安全設備就都位于同一網段中。除了采用WEB方式對安全設備進行管理配置外,還可以使用Telnet方式管理。用這種方式對安全設備進行管理時,必須首先保證安全管理PC和安全設備之間有路由可達,并且可以用Telnet方式登錄到安全設備上,也可以采用SSH方式管理。當用戶在一個不能保證安全的網絡環境中時,卻要遠程登錄到安全設備上。這時,SSH特性就可以提供安全的信息保障以及認證功能,起到保護安全設備不受諸如IP地址欺詐、明文密碼截取等攻擊。
2.3通過安全中心服務器管理安全設備,就是把“安全管理計算機”升級成了“安全中心服務器”。在服務器上就可以對網絡中所有的安全設備進行管理配置,而不用再把安全管理計算機逐個的連接到安全設備或安全設備所在VLAN的交換機上。在這種管理模式中,除了不能直接連接到安全設備的CONSOLE口上對其進行管理配置外,WEB、Telnet和SSH在安全中心服務器上都可以使用。
總之,以上三種網絡安全設備的管理模式主要是根據網絡的規模和安全設備的多少來決定使用哪一種管理模式。三種模式之間沒有完全的優劣之分。若是網絡中只有一兩臺安全設備,顯然采用第一種模式比較好,只需要一臺安全管理PC就可以,若是采用架設安全中心服務器的話就有些得不償失。如果安全設備較多,并且都分布在不同的網段,那選擇第二種模式即可,用兩三臺安全管理PC管理安全設備,比架設兩臺服務器還是要經濟很多。若是安全設備很多就采用第三種模式,它至少能給網絡管理員節省很多的時間,因為在一臺服務器上就可以對所有的安全設備進行管理。
3、企業網絡安全研究
企業的網絡拓撲結構比較復雜、網絡節點繁多,這就要求企業需要有一套行之有效的IT運維管理模式。IT運維管理是企業IT部門采用相關的方法、技術、制度、流程和文檔等,對IT使用人員、IT業務系統和IT運行環境(軟硬件環境和網絡環境)進行綜合的管理以達到提升信息化項目使用,可起到提高IT運維人員對企業網絡故障的排查效率。接下來通過下面兩個實例來驗證:
3.1 企業內部ARP斷網攻擊
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中IP-MAC列表造成網絡中斷或中間人攻擊。基本原理就是在局域網中,假如有一臺計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其他計算機的通信信息,并因此造成網內其他計算機的通信故障。
3.2 非法DHCP服務器的快速定位
在DHCP的選擇Request過程中,網絡上可能有DHCP服務器都會對Discover的廣播回應,但新加計算機只選擇最先回應的所取得的IP地址。并與DHCP服務器再次確認要用此IP。如果網絡上有多個可提供IP地址的DHCP服務器,新加計算機會選擇最先回應廣播的DHCP服務器所提供的IP地址,但現實中往往非法DHCP服務器回應廣播速度比合法DHCP服務器快。
結束語
企業網絡設備與網絡安全問題主要是利用網絡管理措施保證網絡環境中數據的機密性、完整性和可用性。確保經過網絡傳送的信息,在到達目的地時沒有任何增加、改變、丟失或被非法讀取。而且要從以前單純的以防、堵、隔為主,發展到現在的攻、防結合,注重動態安全。在網絡安全技術的應用上,要注意從正面防御的角度出發,控制好信息通信中數據的加密、數字簽名和認證、授權、訪問等。而從反面要做好漏洞掃描評估、入侵檢測、病毒防御、安全報警響應等。要對網絡安全有一個全面的了解,不僅需要掌握防護,也需要掌握檢測和響應等各個環節。
參考文獻
1.張立濤,錢省三,應力;網絡安全管理策略研究[J];網絡安全技術與應用;2001年08期
關鍵詞 網絡設備;加固;電力
中圖分類號TM7 文獻標識碼A 文章編號 1674-6708(2010)33-0226-02
0引言
隨著電力行業信息化的不斷發展,網絡在日常工作中變得不可缺少,但同時網絡中存在的各種安全問題也給影響日常工作帶來了很大影響。為了更好的將網絡為工作所用,就必須很好解決網絡帶來的安全問題。本文作者結合“奧運保電”及“上海世博會保電”電力信息安全保障工作,就國家電網公司對電力網絡設備進行安全加固的規范要求為例,重著闡述了網絡設備加固的目的及重要性同時介紹了網絡加固的具體做法。
1網絡設備安全防護
網絡設備安全包括在基礎網絡及各安全域中提供網絡運營支撐及安全防衛的路由器、交換機、無線設備以及防火墻、安全網關等安全設備自身的安全防護,對于為各域均提供網絡支撐服務的設備,按滿足等級保護三級基本要求進行安全防護,各域的網絡設備按該域所確定的安全域的等級進行安全防護。
2加固形式與加固對象
2.1加固形式
加固形式主要分為自加固與專業安全加固:自加固是指電力系統業務主管部門或電力系統運行維護單位依靠自身的技術力量,對電力系統在日常維護過程中發現的脆弱性進行修補的安全加固工作;專業安全加固是指在信息安全風險評估或安全檢查后,由信息管理部門或系統業務主管部門組織發起,開展的電力系統安全加固工作[1]。
2.2加固對象
加固對象主要包括:網絡系統、主機操作系統、通用應用系統、現有安全防護措施、電力業務應用系統。
3 網絡設備加固內容
3.1 帳號權限加固
加強用戶認證,對網絡設備的管理權限進行劃分和限制;修改帳號存在的弱口令(包括SNMP社區串),設置網絡系統的口令長度>8位;禁用不需要的用戶;對口令進行加密存儲。
3.2網絡服務加固
禁用http server,或者對http server進行訪問控制;關閉不必要的SNMP服務,若必須使用,應采用SNMPv3以上版本并啟用身份驗證,更改默認社區串;禁用與承載業務無關的服務(例如DHCP-relay、IGMP、CDP RUN、bootp服務等)。
3.3網絡訪問控制加固
對可管理配置網絡設備的網段通過訪問控制列表進行限制;使用SSH等安全方式登陸,禁用TELNET方式;對SNMP進行ACL控制。
3.4審計策略加固
為網絡設備指定日志服務器;合理配置日志緩沖區大小。
3.5惡意代碼防范
屏蔽病毒常用的網絡端口;使用TCP keepalives服務;禁止IP源路由功能。
4 網絡設備加固實施
以思科網絡設備為例,對方案進行詳細的說明[2]。
4.1帳號和口令
4.1.1登錄超時設置
實施方案:
Router#config terminal
Router(Config)#line con 0配置控制口
Router(Config-line)#exec-timeout 5 0設置超時5min
Router(Config-line)#exit
Router(Config)#exit
Router#write
實施目的:防止獲得權限用戶會通過con口登錄控制交換機,如果沒有進行登錄時間限制,如果管理者在登錄后沒有斷開,就被黑客利用登錄。
4.1.2交換機vty口配置加固
實施方案:
line vty 0 4
password ######
logint
access-class X in
exec-timeout 5 0
transport input telnet
防止獲得權限用戶會通過vty進行登錄控制交換機,如果沒有進行登錄時間限制,如果管理者在登錄后沒有斷開,就被黑客利用登錄。如果沒有訪問控制列表就會擴大telenet登錄權限范圍
4.1.3密碼加密
實施方案:
service password-encryption
實施目的:防止在配置文件里以明文方式顯示密碼,暴漏主機信息。
4.2網絡與服務
4.2.1交換機服務和協議的加固
實施方案:
no ip http server
no cdp enable
實施目的:http 服務沒有被關掉,任何獲得權限的人都可以對交換機進行WEB方式的管理。cdp 協議沒有關掉,任何人都可以在與之相連的設備上進行察看本交換機的版本,設備端口等相關信息。
4.2.2修改交換機SNMP口令串
實施方案:
Router#config terminal
Router(config)# no snmp-server community COMMUNITY-NAME1 RO (刪除原來具有RO權限的COMMUNITY-NAME1)
Router(config)# snmp-server community COMMUNITY-NAME RO(如需要通過snmp進行管理,則創建一個具有讀權限的COMMUNITY-NAME,若COMMUNITY-NAME權限為RW,則將命令行中RO更改為RW)
Router(config)# snmp-server enable traps (允許發出Trap)
Router(config)#exit
Router#write
實施目的:提高SNMP的安全性
4.2.3設置Telnet訪問控制策略,或啟用SSH
實施方案:
Router#config terminal
Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any(只允許10.144.99.120機器telnet登錄,如需配置某一網段可telnet遠程管理,可配置為:access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any)
Router(config)#line vty 0 4(配置端口0-4)
Router(Config-line)#Transport input telnet(開啟telnet協議,如支持ssh,可用ssh替換telnet)
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#access-class 10 in
Router(Config-line)#end
Router#config terminal
Router(config)#line vty 5 15
Router(Config-line)#no login(建議vty開放5個即可,多余的可以關閉)
Router(Config-line)#exit
Router(Config)#exit
Router#write
實施目的:提高遠程管理的安全性
5結論
網絡設備在電力系統的廣泛使用,給電力信息從業人員帶來了前所未用的挑戰, 網絡設備安全加固無疑是保障電力信息安全的重要措施之一。如何確保電力企業網絡安全穩定運行,將安全漏洞、威脅和風險降到最小化,將成為電力信息人永遠追求的目標。
參考文獻
[摘 要]C£程測量》是港口工程等專業的一門重要專業基礎課程,集“測、算、繪”于一體,具有技術含量高、實踐操作性強等特點。基于此特點,嘗試采用“教、學、做”一體化教學模式來培養學生的職業技能。
[
關鍵詞 ]工程測量;教學傲一體化;教學改革
中圖分類號:G642.3 文獻標識碼:《 文章編號:1671-0568(2014)35-0061-02
基金項目:本文系廣州航海高等專科學校教改項目“面向現代測繪新技術的(工程測量)教學改革的探討” (編號:2012C06)的科研成果。
高職高專人才培養模式改革是一項系統工程,探索“教、學、做”一體化的教學模式,是促進高職高專教育教學質量不斷提高的重要措施,其實質是教學過程的實踐性,內涵是教學與生產勞動、與社會實踐相結合的學習模式。以此帶動課程建設、專業調整、教學內容和教學方法的改革。 《工程測量》是港口工程、道路橋梁、建工等工程類專業的一門重要專業技術基礎課,其課程教學隨著專業的發展而發展,它具有應用廣泛、實踐性強、技術革新快、與工程結合緊密等特點。著名教育家陶行知先生早就提出“教學做合一”的教學法,他認為“行動(實踐)是一切創造性的開始,行動一思想一新價值的產生是創造的基本模式。-根據這一思想,我們對測量課堂教學模式進行了一次嘗試性改革,在課堂教學中引入了“做”的環節,把測量儀器操作作為課堂教學的基礎,將測量理論教學與實驗教學有機結合在一起,讓學生在當測量員的過程中學習測量理論,在當測量員的過程中學測量,以便克服理論教學與實驗教學分開進行的缺憾。
一、具體實施
1.構建任務驅動的“教學做”合一教學模式。工程測量是一門實踐性很強的課程,要求學生具有較強的專業技能。為了適應這種要求,我們嘗試采用任務驅動的“教、學、做”一體化教學模式來培養學生的職業技能。例如,測量中水準儀、全站儀、gps等儀器的操作技能,這些技能都需要學生通過反復訓練才能掌握,用一般的教學模式很難達到預期的效果,使用任務驅動的“教、學、做”一體化教學模式則解決了這個難題。具體做法是:給定一個教學項目,分階段實施教學,使學生從理論到實操全面掌握本次項目所設計的專業技能。我們以水準儀的認識使用為例來講解實施過程:第一階段,在一體化教室里教師提出讓學生自己操作儀器去了解儀器的各個零部件、螺旋的作用。第二階段,首先組織學生分組輪流動手操作儀器,通過操作儀器自己去觀察、思考、記錄。然后分組展開討論,并推薦代表來回答任務的問題。最后,教師點評各組的答案并作出總結。通過各個零部件的作用,提出各個螺旋的名稱和使用方法,教師邊操作儀器邊進行講解。第三階段,學生到實訓場地去練習操作儀器。通過提出任務和問題,激發了學生的學習興趣和求知欲;通過學生小組合作學習和探索,以及討論、發現、總結,達到首腦并用,做起來,學起來,真正做到了“教、學、做”合一。
2.建立“教學做”一體化教室。教育家陶行知先生指出:教學做是一件事,不是三件事。要在做中教,在做中學。教師是任務的提出者,學生則是實踐任務的指導者。建立一體化教室,不僅要有多媒體,還要有多套課堂需要的儀器等設備。在課堂教學中,儀器就在學生身邊,教師邊教邊做,學生邊學邊做,邊做邊學。教師在做中教,學生在做中學,大大調動了學生的學習積極性和主動性。
3.開放實驗室。有限的課堂時間,不能滿足學生提升測量能力的目標。可向系里申請開放實驗室,在沒有課的平日、節假日等向學生的免費借儀器。給學生很充沛的練習時間,既提升了學生的測量水平,又增強了學生的學習興趣。可鼓勵高年級學生去指導低年級學生。高年級學生已經擁有一些測量經驗,且測量速度也較快。還可組織高年級學生對低年級學生進行答疑,或者做現場演示。這樣教師的工作相對輕松,學生的積極性也被激發出來,同時加強了學生的溝通能力。
4.以證代考的考核模式。為了在課程教學改革中取得實效,促進學生真正學有所得,學有所用。在考核環節中嘗試“以證代考”,對通過考證的學生視同通過期末考試,給予相應的期末成績。通過測繪行業特有工種職業鑒定站,對學生進行“工程測量”職業技能鑒定。學生通過理論與實操的考核,可取得相應級別的證書,該證書全國認可。
5.通過競賽讓學生真正做起來。從每次實訓任務后的小組競賽,到每年一次系里的技能競賽,再到省里市里的技能競賽,都鼓勵學生積極參與,從而激發學生的學習熱情,讓學生掌握實際操作技能。
二、教學效果
“教、學、做”一體化教學模式的探究,是高職高專院校深化教學改革的重要內容,是推進素質教育的重要途徑,是培養技術應用型人才的基本途徑。打破了過去在教學中實踐過分依賴于理論的狀況,將理論與實踐密切結合起來,在教學中邊講邊練、講練結合,使理論在實踐中得以消化。通過“教、學、做”一體化教學的實施,取得了一定的效果。
1.明顯提高了學生的學習積極性,加深了專業認識,培養了吃苦耐勞的精神,增強了學生的團隊意識,培養了畢業后融人社會的能力。從學生成績來看,平均成績高出往年10分左右,特別是實操能力大大提高。
2.一體化教學要求教師不僅要有深厚的基礎理論和廣博的專業知識,還應有一定的生產實踐、科學研究能力。面對現代快速發展的測繪科學技術,要求教師注重調整知識結構,拓寬知識面,學習新技術,掌握新方法。特別是在實際工程方面,要提高學生的工程意識,必須教師先行。為了適應、提高教學質量,教師不得不向“雙師型”教師轉變。這對“雙師型”教師隊伍的培養起到很好的效果。
三、存在的問題
1.教師隊伍素質還有待提高。一體化教學對教師的素質提出了更高的要求,在整個教學過程中,教師要既能講授理論知識,又能指導學生實踐,每位教師都必須具有“雙師”素質,目前學校教師隊伍素質還沒達到要求,應加快對“雙師”隊伍的培養。通過參加培訓,到生產單位進行學習鍛煉,與企業技術人員合作等形式,加快師資隊伍的培養。另外,也可外聘一些生產單位的專家等來充實師資,促進學習提高。
2.教學設備還需完善。一體化教學要有良好的教學設施,與教學方法,手段同等重要,相輔相成。隨著招生規模的擴大,現有的儀器設備不能滿足教學要求,許多老儀器需要更換淘汰,新的現代化設備不足,需要購置。
3.實訓基地還需完善。實訓教學基地是實訓教學的基礎和保障,一個固定的校內基地能提供系統的測量實訓場所,與生產單位聯合組織的校外實訓基地能使學生深入工程實踐。根據工程測量的連續性,在校園建立了閉合導線、閉合水準路線實訓場;水準儀訓練場、經緯儀訓練場、全站儀訓練場、GPS訓練場等,提供學生實驗和實習。另外,系里還與工程施工單位簽訂校企合作協議,學生可以到施工單位進行頂崗實習等。隨著學生人數的增加,再加上校區的搬遷等原因,校內外實訓基地都有待完善。
隨著互聯網的高速發展和IT網絡設備的更新,IT網絡設備技術的成熟應用使計算機網絡深入到人們生活的各個方面。網絡帶給人們諸多好處的同時,也帶來了很多隱患。企業面臨著信息外泄,服務器遭受黑客攻擊,大量數據遭受篡改,特別是從事電子商務的企業,信息的安全問題成了瓶頸問題。隨著企業網絡中安全設備使用的增多,相應的使用設備的管理變得更加復雜。而企業的信息管理者和信息用戶對網絡安全認識不足,他們把大量的時間和精力用于提升網絡的性能和效率,結果導致了黑客攻擊、惡意代碼、郵件炸彈等越來越多的安全威脅。為了防范各種各樣的安全問題,本文將從企業內部的IT設備產品入手,對企業的網絡安全進行研究。
2企業IT設備的定義和分類概述
企業IT設備其實就是網絡互聯設備,就是在網間的連接路徑中進行協議和功能的轉換,它具有很強的層次性。遵循OSI模型,在OSI的每一層對應不同的IT設備產品,每層IT設備產品用于執行某種主要功能,并具有自己的一套通信指令(協議),相同層的IT設備之間共享這些協議。企業IT設備主要分為交換機、路由器、防火墻。交換機就是一種在通信系統中完成信息交換的功能,交換機擁有一條很高帶寬的背部總線和內部交換矩陣,交換機的所有端口都掛接在這條背部總線上,制動電路收到數據包后,處理端口會查找內存中的地址對照表以確定目的的網卡掛接在哪個端口上,通過內部交換矩陣迅速將數據包傳送到目的端口。路由器就是一種連接多個網絡或網段的網絡設備,它能將不同網絡或網段之間的數據信息進行翻譯,使它們相互讀懂對方的數據,從而構成一個更大的網絡。其功能是對用戶提供最佳的通信路徑,利用路由表查找數據包從當前位置到目的地址的正確路徑。防火墻就是隔離在本地網絡和外界網絡之間的一道防御系統,防火墻可使用內部網絡與因特網之間或者與其他外部網絡相互隔離、限制網絡互訪,以保護企業內部網絡,其主要功能是隔離不同的網絡,防止企業內部信息的泄露;強化網絡安全策略;包過濾和流量控制及網絡地址轉換等。
3企業IT設備網絡安全管理模式研究
在企業IT設備網絡安全管理中,網絡管理安全模式包括以下三種:第一,安全管理PC直接與安全設備進行連接是最常見的,也就是傳統的對網絡安全設備要進行配置管理就必須把管理的計算機直接連接到安全設備上,常見的是將安全管理PC的串口與安全設備的CONSOLE口連接,然后在PC機上運行終端仿真程序,如Windows系統中的超級終端或者使用SecureCRT應用程序。然后在終端仿真程序上建立新連接,選擇實際連接安全設備時,使用的安全管理PC上的串口,配置終端通信參數,安全設備進行上電自檢,系統自動進行配置,自檢結束后提示用戶鍵入回車,直到出現命令行提示符。然后就可鍵入命令,配置安全設備或者查看其運行狀態。但對于不同設備可能會有不同的設置,例如對于防火墻,聯想KingGuard8000的連接參數就和上面不一致,對于這種情況我們可以采用WEB方式管理。就是用網線連接安全管理設備和計算機上的網卡接口,同時對管理計算機和安全設備的管理接口的IP地址進行配置,以便讓它們位于同一個網段。開啟安全設備的本地SSH服務,并且允許管理賬號使用SSH。這是因為對大多數安全設備的WEB管理都是通過SSH連接設備的,這樣安全管理PC和安全設備之間傳輸的數據都是通過加密的,安全性比較高。在安全管理PC的瀏覽器地址欄中輸入192.168.1.1回車,輸入用戶名和密碼后就可登陸到網絡安全設備的WEB管理界面,對其參數和性能進行配置。第二,安全管理PC通過交換機管理安全設備,只需把安全管理PC直接連接到交換機上,PC和安全設備就都位于同一網段中。除了采用WEB方式對安全設備進行管理配置外,還可以使用Telnet方式管理。用這種方式對安全設備進行管理時,必須首先保證安全管理PC和安全設備之間有路由可達,并且可以用Telnet方式登錄到安全設備上,也可以采用SSH方式管理。當用戶在一個不能保證安全的網絡環境中時,卻要遠程登錄到安全設備上。這時,SSH特性就可以提供安全的信息保障以及認證功能,起到保護安全設備不受諸如IP地址欺詐、明文密碼截取等攻擊。第三,通過安全中心服務器管理安全設備,就是把“安全管理計算機”升級成了“安全中心服務器”。在服務器上就可以對網絡中所有的安全設備進行管理配置,而不用再把安全管理計算機逐個的連接到安全設備或安全設備所在VLAN的交換機上。在這種管理模式中,除了不能直接連接到安全設備的CONSOLE口上對其進行管理配置外,WEB、Telnet和SSH在安全中心服務器上都可以使用。總之,以上三種網絡安全設備的管理模式主要是根據網絡的規模和安全設備的多少來決定使用哪一種管理模式。三種模式之間沒有完全的優劣之分。若是網絡中只有一兩臺安全設備,顯然采用第一種模式比較好,只需要一臺安全管理PC就可以,若是采用架設安全中心服務器的話就有些得不償失。如果安全設備較多,并且都分布在不同的網段,那選擇第二種模式即可,用兩三臺安全管理PC管理安全設備,比架設兩臺服務器還是要經濟很多。若是安全設備很多就采用第三種模式,它至少能給網絡管理員節省很多的時間,因為在一臺服務器上就可以對所有的安全設備進行管理。
4企業IT設備網絡安全應用研究
4.1企業內部ARP斷網攻擊
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中IP-MAC列表造成網絡中斷或中間人攻擊。基本原理就是在局域網中,假如有一臺計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其他計算機的通信信息,并因此造成網內其他計算機的通信故障。ARP攻擊源向電腦用戶1發送一個偽造的ARP響應,告訴電腦用戶1,電腦用戶2的IP地址192.168.0.2和對應的MAC地址是00-aa-00-62-c6-03,電腦用戶1信以為真,將這個對應關系寫入自己的ARP緩存表中,以后發送數據時,將本應該發往電腦用戶2的數據發送給了攻擊者。同樣的,攻擊者向電腦用戶2也發送一個偽造的ARP響應,告訴電腦用戶2。電腦用戶1的IP地址192.168.0.1對應的MAC地址是00-aa-00-62-c6-03,電腦用戶2也會將數據發送給攻擊者。至此攻擊者就控制了電腦用戶1和電腦用戶2之間的流量,它可以選擇被動地監測流量,獲取密碼和其他信息,也可以偽造數據,改變電腦用戶1和電腦用戶2之間的通信內容。
4.2非法DHCP服務器的快速定位
【關鍵詞】IPSec;ESP;VPN;網絡安全設備
0 引言
TCP/IP協議的開放性、靈活性使得基于IP技術的通信系統成為各類通信網絡的主要構成部分,但網絡上的IP數據包幾乎都是用明文傳輸的,非常容易遭到竊聽、篡改等攻擊。特別是傳輸重要數據的通信IP網,網絡的安全性尤其重要。
IPSec(Internet Protocol Security)在IP層提供安全服務,使得一個系統可以選擇需要的協議,決定為這些服務而使用的算法,選擇提供要求的服務所需要的任何密鑰。IPSec可保障主機之間、網絡安全網關(如路由器或防火墻)之間或主機與安全網關之間的數據包的安全。因此,采用基于IPSec的網絡安全設備可為重要數據安全傳輸提供保障。
1 IPSec概述
IPSec協議是IETF提供的在Internet上進行安全通信的一系列規范,提供了在局域網、專用和公用的廣域網和Internet上的安全通信的能力,保證了IP數據報的高質量性、保密性和可操作性,它為私有信息通過公用網提供了安全保障。通過IKE(IPSec Key Exchange,自動密鑰交換)將IPSec協議簡化使用和管理,使IPSec協議自動協商交換密鑰、建立和維護安全聯盟服務。使用IPSec協議來設計實現的VPN(Virtual Private Network,虛擬專用網)網關具有數據安全性、完整性、成本低等幾方面的優勢。
使用IPSec協議是用來對IP層傳輸提供各種安全服務,主要包括兩種安全協議,即AH(Authentication Header,驗證頭)協議和ESP(Encapsulating Security Payload,封裝安全載荷)協議。AH協議通過使用數據完整性檢查,可判定數據包在傳輸過程中是否被修改;通過使用驗證機制,終端系統或網絡設備可對用戶或應用進行驗證,過濾通信流,還可防止地址欺騙攻擊及重放攻擊。ESP協議包含凈負荷封裝與加密,為IP層提供的安全服務包括機密性、數據源驗證、抗重播、數據完整性和有限的流量控制等。兩者比較之下,ESP協議安全性更高,與此同時其實現復雜性也較高,本文設計的網絡安全設備采用ESP協議。
2 網絡安全設備設計
2.1 設備加解密原理
圖1 設備加密工作原理
為確保重要數據傳輸安全可靠,需在通信IP網中增加保密措施,因此本文設計了基于IPSec的網絡安全設備。設備采用軟件和硬件相結合的方式實現IPSec協議體系。軟件模塊主要完成控制層面的功能,包括網絡管理、密鑰管理、策略管理、配置管理、熱備管理、信道協商等功能;硬件模塊主要完成數據處理層面的功能,包括數據包的協議分析、保密策略和加解密密鑰的搜索、加解密處理、IPSec隧道頭的封裝和拆封裝等功能,設備加密工作原理如圖1所示。
當設備收到用戶IP包時,先判斷其是否為保密數據,如果是,則在該IP數據前加入一個ESP頭,然后發送到公網。ESP頭緊跟在IP頭后面,ESP占用IP協議標識值為50。對IP包的處理遵守以下規則:對于要發送到公網的IP包,先加密,后驗證;對于從公網上收到的IP包,先驗證,后解密。
當設備要發送一個IP包時,它在原IP頭前面插入一個ESP頭,并將ESP頭中的下一個頭字段改為4,根據密鑰管理協議協商得到的SPI(Security Parameters Index,安全參數索引)值填入到ESP頭中,并分配一個序列號,同時根據算法要求插入填充字段,并計算填充長度。在ESP頭的前面插入一個新的IP頭,源地址為設備的IP地址,目的地址為對端設備的IP地址,并對相應的字段賦值,在做完以上處理后,對IP包加密,并進行驗證,將驗證數據插入ESP尾部。最后計算最前面的IP頭的校驗和。
遠端設備接收到一個ESP包后,首先檢查這個包是否有相關的SA(Security Association,安全關聯)存在,如果不存在,則將該包丟棄。如果存在,則進行下一步處理。首先檢查序列號,如果序列號無效(一個重復的包),則將該包丟棄。如果有效,則進行下一步處理。根據對應的SA對這個包進行驗證,并將驗證結果與IP包中的驗證字段比較,若不一致,則丟棄,若一致,下面就進行解密,并根據填充內容來判斷解密是否正確,因為填充數據可以通過約定事先知道。在驗證和解密成功后,就對IP包進行初步地有效性檢驗,這個IP包的格式與SA要求的工作模式是否一致,若不一致,則丟棄該包,若一致,就準備從ESP包中解出原IP包,刪除外面的IP頭和ESP頭,然后檢查這個IP包與SA所要求的地址和端口是否符合,若不符合,則丟棄,若符合,則設備將該IP包轉發出去。
2.2 硬件結構設計
網絡安全設備采用模塊化的設計思路,各硬件功能模塊之間采用接插件方式連接,各模塊的連接關系如圖2所示。
圖2 設備硬件結構及連接關系
設備主板是數據處理核心模塊,其他各模塊通過接插件與其連接。承載了業務安全處理、加解密等設備的核心功能。其上的主控模塊運行Vxworks操作系統,承載設備嵌入式軟件,全面管理設備軟硬件運行狀態。板載密碼模塊完成業務數據的高速加解密處理。
接口板包括用戶口和網絡口兩塊接口板,通過高(下轉第64頁)(上接第65頁)速接插件插在設備主板上。接口板上的千兆MAC芯片通過業務和控制線纜連接到后接線板。
IC卡讀卡器通過RS232接口線纜與設備主板上的主控模塊相連。電源模塊使用電源接插件為各功能模塊提供相應的直流電源。后接線板提供千兆口、100/1000自適應電口的用戶業務接入,本地控制接入。
3 VPN構建
網絡安全設備專門用于在TCP/IP體系的網絡層提供鑒別、隧道傳輸和加解密功能。通過對IP層加解密,可以支持大多數用戶業務,對局域網重要數據進行加密保護,通過公共通信網絡構建自主安全可控的內部VPN,集成一定的包過濾功能,使各種重要數據安全、透明地通過公共通信環境,是信息系統安全保障體系的基礎平臺和重要組成部分。設備部署在局域網出口處,通過對IP數據的加解密,可以保證局域網數據在公共信道上傳輸的安全性。
與設備相連的內部網受到IPSec保護,這個內部網可連入不安全的公用或專用網絡,如衛星通信、海事和專用光纖等。在一個具體的通信中,兩個設備建立起一個安全通道,通信就可通過這個通道從一個本地受保護內部網發送到另一個遠程保護內部網,就形成了一個安全虛擬網。當位于某個安全內部網的主機要向另一個位于安全內部網的主機發送數據包時,源端網絡安全設備通過IPSec對數據包進行封裝,封裝后的數據包通過隧道穿越公用網絡后到達對端網絡安全設備。由于事先已經經過協商,收端網絡安全設備知道發端所使用的加密算法及解密密鑰,因此可以對接收數據包進行封裝。解封裝后的數據包則轉發給真正的信宿主機,反之亦然。
4 結束語
在設計網絡安全設備時采用IPSec協議,使用ESP對傳輸的數據進行嚴格的保護,可大大增強IP站點間安全性。在傳輸重要數據的通信IP網中使用本文設計的基于IPSec的網絡安全設備構建VPN能很好地防止數據被更改或竊取,確保數據傳輸的安全性。
【參考文獻】
[1]藍集明,陳林.對IPSec中AH和ESP協議的分析與建議[J].計算機技術與發展,2009,11(19):15-17.
[2]郭旭展.基于IPSec的VPN安全技術研究[J].電腦知識與技術,2009,8(24):52-54.
關鍵詞:計算機網路安全 硬件系統 硬件維護 安全策略
網絡安全在網絡中有著保障合法用戶正常使用真實有效網絡資源的重要作用,它可以有效避免遠程控制、病毒侵犯等網絡安全威脅,給網絡用戶提供更加安全有效的的網絡信息資源。然而由于大型網絡系統中由多種網絡協議支持,如TCP/IP、IPX/SPX等,而這些網絡協議并非網絡系統中專門為安全通訊而設計。因此,網絡運行中可能存在以下兩種網絡安全威脅:(1)網絡中的設備安全威脅;(2)網絡中信息的安全威脅。其硬件性能維護是前提,硬件設備作為保障網絡安全的前提基礎,唯有加強對其的維護措施,才能從根本上為單位的正常運行提供一個良好的網絡環境。
1.硬件系統對網絡安全的影響分析
計算機網絡安全運行中,硬件設備包括路由器、交換機、硬件防火墻等。計算機網絡中各硬件設備只有通過相應的安全設置,才能維持網絡的安全。要想確保網絡硬件設備能夠安全有序運行,其所處的工作環境是否優良也很重要,若網絡運行環境不穩定也會給網絡的安全運行留下隱患。此處所說的環境因素主要有空氣的濕度、空氣的溫度、空氣的塵埃、電磁波等,這些環境因素都會給硬件設備帶來一定的影響,進而影響到網絡的安全。
計算機網絡運行過程中,一旦硬件設備所環境溫度過高,很容易引起設備技術參數偏離問題出現,甚至造成邏輯出錯,內部電源燒壞電氣元件等問題。而運行環境溫度過低,則會造成水汽凝聚或結露等問題,進而造成腐蝕生銹等問題,使得計算機熱敏期間出現損壞,致使網絡硬件無法正常工作。除此之外,網絡運行中,網絡硬件所處的環境中若有過多的塵埃,則會造成絕緣電阻減小等問題,使得機器出現一些錯誤動作,若此時空氣再遇潮濕問題,很容易造成網絡元器件間相互放電等障礙,甚至引發火災事故。另外,靜電、電磁波、輻射等都會給網絡系統造成一定的干擾,輕者造成網絡設備出現一些誤操作,重者則會出現一些信息混亂傳輸的現象,甚至造成整個網絡硬件設備癱瘓。網絡電纜、光纖等傳輸介質的安裝和選擇不當,同樣會影響網絡的正常運行。因此,合理的選擇隔離技術,也是用戶安全策略的一塊基石。
2.通過維護硬件來保障網絡安全運行
2.1 通過路由器來確保內網的安全
路由器根據IP地址來智能化地路由數據包,比集線器更具安全性。通過恰當的對路由器進行設置,邊緣路由器可以將最頑固的壞分子幾乎全部擋在網絡之外。可通過以下設置來實現路由器的安全保護功能:
(1)關閉路由器HTTP設置和SNMP。路由器可允許通過WEB界面進行配置,然而這種方式帶給管理員方便的同時,也給整個單位內部網絡帶來了安全隱患。
HTTP協議中沒有一次性口令或用于驗證口令的相關規定,因此HTTP使用的身份識別協議就如同向整個網絡發送一個未加密的口令。這種未加密的口令對于你從遠程位置設置你的路由器十分方便,但別人也照樣可以如此“方便”。因此,這就給整個網絡安全運行留下很大的隱患。
(2)網絡中的薄弱口令予以更新。相關統計數據顯示,80%的網絡安全事故均是由網絡上路由器默認口令這一薄弱環節引起。因此必須通過對口令予以更新,將該環節引起的安全事故消滅于萌芽狀態。
(3)保持路由器的物理安全。路由器根據IP地址智能化地路數據包,而集線器則向所有節點播出數據,從網絡嗅探角度來講,路由器更安全。確保物理訪問網絡設置是安全的,以防未經允許的嗅探設備放在你的本地子網中。
(4)禁止IP定向廣播。
(5)包過濾。
(6)將ICMP(互聯網控制消息協議)ping請求進行封鎖。
(7)永遠禁用一些不必要的服務,無論是服務器、路由器還是工作站等。
(8)將CDP服務關閉。通常情況下,系統會默認將路由器發現協議啟動,作為一種獨立的媒體協議,它可以運行在該路由器制造的所有設備之上。其功能為獲取相鄰設備協議地質同時發現這些設備平臺,但同時也存在一定缺陷,即它可以對所有發出的設備請求進行應答,能發現臨近路由設備、軟件版本及型號,對路由器安全帶來了嚴重威脅,同時給系統產生了額外的負擔,因此應盡量關閉該項服務。
2.2 利用硬件加速方法提高網絡安全性能
商用、家用或校園中的網絡傳輸中充滿了大量重要的數據流,且這些數據流被盡可能的高效的在網絡各節點之間進行傳輸。然而網絡中也有一些不可小覷的大量垃圾數據流伴隨著重要數據流的傳輸,消耗著節點機器和網絡帶寬。除消耗網絡帶寬,這些垃圾數據還會消耗掉大量寶貴時間去處理這些問題。已成為制約現代網絡發展的重要“瓶頸”問題(如接入鏈路等)。通過利用目標硬件加速方法,則可將其性能等級從每秒數百兆比特提升至每秒數吉比特。另外,它還可以釋放通用CPU周期,使之更好的執行其它需要更多靈活性的功能。
3.小結
網絡系統的安全保護涉及各種軟件系統支持,以及硬件環境的支持等,確保各項安全措施相輔相成,以此來確保網絡的安全有效運行。硬件安全維護作為網絡安全的基礎和前提,其維護工作對網絡安全的支持作用顯得十分重要。
參考文獻:
[1]張劍.淺談計算機局域網硬件維護與網絡安全[J].計算機光盤軟件與應用, 2011(22)
【關鍵詞】校園網 網絡硬件設備 安全維護
網絡硬件設備是校園網絡建設中花銷最大,鋪設范圍最廣,消耗人員和物力最多的部分。例如,校園內部辦公網絡的服務器系統,實驗室、圖書館和閱覽室的公共用計算機,會議室和辦公室的多媒體設備,連接校內網絡的路由器,網卡,集線器等,都屬于校園網絡硬件設備。硬件設備是校園網絡的基礎,最為直觀的直接決定了校園網絡建設的等級和情況。良好的硬件設備可以提高校園網絡應用的廣泛程度,更加有利于信息之間的交流和傳播,有利于學校教學、科研、辦公工作發展。但是,由于硬件設備具有開放性、對外在環境要求高、共享性的特點,而且,硬件設備需要接觸很多人,所以可能出現一系列的安全問題。因此,維護校園網絡硬件設備的安全十分必要。
1 校園網絡硬件設備
校園網絡的硬件主要包括校園內部事物辦公和交流的服務器和交換機,圖書館和閱覽室的公共用查詢信息資料的電腦,實驗室、會議室、機房和辦公室的多媒體設備,連接校內網絡的路由器,集線器、工作站、各種連接線等。這些硬件設備的特點是分散廣,接觸的人和信息繁多、儲存環境復雜,并且這些硬件設備的置備和更換都需要投資一定的財力,管理和維消耗一定的人力資源。因此,需要對其安全維護工作進行詳細的討論和部署,采取有效的防護和解決措施。
2 校園網絡硬件設備安全存在的隱患
物理安全,即設備硬件自身的安全。它是網絡安全的基礎,直接關系到對軟件的承載能力。影響校園網絡硬件設備安全的隱患主要有以下幾點:
2.1 環境影響
硬件設備對其所處的自然環境具有一定要求,周遭環境溫度應該保持在10攝氏度~40攝氏度,較為干燥,通風效果好,干凈,噪聲和電磁干擾小,此外,應遠離火源和水源,避免接觸食物等殘渣碎片。任何一點環境要求的不滿足都會對硬件設備的使用壽命產生影響,造成損傷。
2.2 設備性能
一些基本硬件設備本身由于配置的原因,可能存在一些漏洞;計算機等設備由于品牌和價格的不同,也存在質量和性能的差異。由于校園網絡硬件設備使用流量大,品質不好的設備可能最早出現設備老化等安全問題。
2.3 人為因素
校園硬件設備分布較為廣泛,用戶眾多,所以可能有人為破壞或者使用不當的情況出現,結果造成設備的損壞。此外,硬件設備出現小問題時,沒有及時發現存在的漏洞并進行修正,也有可能導致其提前報廢。
3 校園網絡硬件設備安全維護的措施
針對上述問題,需要制定和采取相應的措施,對校園網絡硬件設備的安全加以維護。可以保證其使用年限,使硬件設備的利用率最大化。維護工作可以從設備的選擇,管理制度,用戶教育,環境控制等方面著手展開。
3.1 設備選擇
對于校園網絡硬件設備,應該選擇有品質保證的廠家生產的正規產品。要求效率高,內存大,適應商業辦公用途或者公用,產品具有一定普遍性,操作明確,適合群體用戶使用。此外,設備公司對設備應該有保修和維護年限,當設備出現問題,有相應的零部件予以替換,有專業的技術維修師給以調整或者技術指導,不會出現“一次性”的問題。
3.2 用戶教育
校園網絡硬件設備的使用者多是在校學生、老師和教職工家屬,人群比較集中。學校可以對其進行集中教育和安全培訓,包括硬件設備的正常使用流程,簡單問題的維修和檢查,硬件設備的簡單清理。此外,還可進行一些思想教育,例如,不隨意人為破壞硬件設施,養成使用后主動檢查和關閉系統,整理設備配件,保持環境清潔等良好習慣。這樣,使每個使用設備的人都能夠成為它的保護者。
3.3 管理制度
完善的管理制度是硬件設備安全維護工作的重要保證。首先,針對設備,需要進行設備的登記和管理:校園網絡硬件設備屬于學校的固定資產,要對學校收納和購買的設備進行詳細的記錄,包括型號,尺寸,收納時間,存放地點,維修保質期,監管人,適用人群等。其次,針對用戶,需要進行用戶管理:有專職工作人員負責用戶信息的管理,例如,需出示學生證或者教師證才可以使用設備,并記錄下使用時間段;對某些需求量較高的設備需提前預約;當硬件設備連續工作時間過長,應給與適當的斷電保護。最后,還需要明確的維護和賠償損失條例:加強校園公共網絡硬件設備的監控,對于由于不正當操作行為或者惡意破壞而造成的設備損傷,應該要求使用者給以一定額度的現金賠償和合適的懲罰措施。 一套完善的安全管理方案可以保障硬件設備安全維護工作的順利進行。
4 結語
校園網絡硬件設備的安全維護是校園網絡建設的硬件保證,對于校園網絡建設對的作用至關重要。因此詳細的了解安全維護工作存在的隱患和隱患來源,針對這些隱患來源采取相應的防護手段,維護措施,補救工作是每一個學校都應該重視的問題。良好的硬件設備條件和環境條件、充分的使用者培訓、完善的規章制度和賠償措施、明確的管理人員和合理的監控系統共同作用,一定能夠圓滿完成校園網絡硬件設備的安全維護工作,建立可靠安全的、快捷高效的、全面開放的校園網絡環境。
參考文獻
[1]歐陽文慧.高校數字化校園構建策略探究[J].電子制作,2014.
[2]周美君.建設數字化校園助推教育信息化[J].湖南教育,2014.
[3]魏鵬.校園網絡服務器的安全維護淺析[J].中國科技信息,2011(12):93-94.
[4]羅來俊.高校校園網安全隱患及應對策略[J].南昌高專學報,2006(06):110-111.
-軟件傳銷引出網絡傳銷
據磁縣公安局介紹,今年3月19日,磁縣一通訊門市經營者張某到該縣公安局報案稱:2009年6月,李某到其門市,以高利潤回報為誘餌,讓其銷售MDG國際科技集團的麥庫軟件,通過發展下線進行傳銷。
依據報案人張某提供的案件線索,警方立即展開偵查,并依法傳喚李某。犯罪嫌疑人李某不僅供述了他加入麥庫軟件傳銷組織并進行傳銷活動的犯罪事實,還供述出,他伙同犯罪嫌疑人郭某于今年5月加入另一傳銷組織——“全國興村富民互助社”。
經調查,“全國興村富民互助社”的傳銷人員遍及全國各地。由于案情重大,磁縣公安機關迅速成立了由經偵、刑偵、網監等多部門組成的專案組,同時,將案情上報公安部,因涉及地區、人員較多,該案被公安部列為督辦案件。公安部要求全國公安系統協同配合,協助磁縣公安局破獲此案。
-誰是網絡背后黑手
專案組在邯鄲市公安局網監支隊的配合下,對“全國興村富民互助社”的網站IP地址進行了監控,鎖定了該網站服務器的位置。同時,專案組民警先后到山東濰坊、江蘇南通、河南鄭州等地查找該服務器。
根據在江蘇南通電信機房獲取的該網站的一些數據,磁縣公安局成功破解了該傳銷網絡系統后臺管理的最高權限,直接鎖定了這一網絡傳銷組織的骨干人員信息。
獲取大量有力證據后,磁縣公安局迅速展開抓捕。7月26日,專案組民警在北京朝陽區傲城融富中心將“全國興村富民互助社”的負責人何某抓捕歸案,并查扣了“全國興村富民互助社”公章、財務章、互助社銅牌、4個省級分社的銅牌等。
據了解,自今年3月該傳銷網站建成開通后,傳銷網絡迅速膨脹。截至案發,該傳銷組織已發展社員近7000人,廣泛分布于30個省、自治區、直轄市,涉案金額近600萬元。
網絡傳銷如何“營利”
據透露,2009年底,“全國興村富民互助社”負責人何某與鄭州儒脈網絡公司法人代表黎某,在北京經過洽談達成合作事宜,由何某出資,黎某按照何某授意的傳銷模式制作專門的傳銷網站。
其具體模式為,一般會員通過網站注冊和繳納880元即可成為正式社員,獲得VIP1社員資格,同時擁有500元網站積分。VIP1發展4個下線,達到2000積分時,再無償交給上一級,就可以升級為VIP2社員資格。VIP2再如法炮制捐出2000積分時,即可升級為VIP3社員資格。
“該網站服務器連接某支付平臺,最終的返利金額都由電腦程序自動生成,并通過易寶支付平臺自動轉到社員銀行卡上。”辦案民警說。
據介紹,該傳銷組織中最大的理論“亮點”就是“出局制”。該傳銷組織系統設置中只有取得VIP3的社員才有資格對返利金額進行提現。如果一旦提現,該社員會立即“出局”。如不提現,通過積分的積累,該傳銷組織承諾最高提現金額為340萬元。
-終極優待是場騙局
據介紹,社員達到VIP3級別后,可以免費申領該組織自制的“農聯一卡通”,可以辦理無息小額貸款及融資,解決“借錢難”、“融資難”的問題。利用“農聯一卡通”,社員可實現消費打折、消費積分、消費回饋、消費創富的目的。經查證實,“農聯一卡通”只是該傳銷組織吸納會員入社的一個誘餌,并無實物。
據辦案民警介紹,該網絡傳銷由于使用了隱秘的不公開的手段,利用網站作為傳銷平臺,打著服務三農的旗號,吸引會員,掩人耳目,存在虛擬性、欺騙性、隱蔽性更強的特點,并且屬于快區域傳播,調查取證難度重重。
摘要:隨著網絡普及度的深化和大學生對網絡依賴程度的加強,網絡背景下的高校意識形態安全建設面臨的挑戰壓力越來越大。高校黨建工作人員應加強相關問題的應對能力培養,不斷探索制度創新與路徑建設。
關鍵詞 :網絡背景 高校意識形態 安全建設
一、加強高校意識形態安全建設的極端重要性
1.關乎黨的執政安全。通過高校意識形態安全建設,可以使我國大學生對域外國家的思想滲透與攻擊進行有效的防御,不受域外國家某些不良思想的干擾,逐漸提高高校教師與大學生的思想政治素質,使高校師生堅定信念,與我黨保持同樣的思想方向,從而為執政安全提供強有力的保障,鞏固基層基礎。
2.構建和諧校園的必然需要。某些高校沒有正確認識高校意識形態安全建設的重要性與作用,沒有將高校意識形態安全建設與和諧校園的構建相聯系,從而導致思想建設遠遠達不到黨建工作的要求。有些干部對工作持敷衍態度,甚至對自己的意識形態也放松要求,影響了高校的穩定發展。因此,高校教師以及黨員干部都應對高校意識形態安全建設提起足夠的重視,將高校意識形態安全建設工作與和諧校園的構建工作相聯系。
3.促進大學生個人全面發展。高校大學生是我國發展的后備力量,決定了我國的命運與發展前途。一些有著不良居心的域外國家也對這一點有著深刻的認識,導致我國某些大學生出現了較為極端的思想意識。因此,高校意識形態安全建設必須得到持續加強,以此來保障我國大學生的思想意識不受到不良思想的影響,促進我國大學生的全面發展。
二、網絡背景下高校意識形態安全建設面臨的新挑戰
隨著我國信息建設的不斷完備,現代化信息技術、網絡技術、計算機技術對我國國民的生活、學習、工作產生的影響也逐漸變大。高校是我國互聯網發展的前沿,在網絡背景下,高校意識形態安全建設主要面臨著三個方面的挑戰。
第一,網絡化對我國社會主義意識形態的主導權,以及高校意識形態安全建設的工作環境帶來了強烈的沖擊。每種意識形態都是與國家和社會發展的階段相適應的,在我國現階段,正確的意識形態是社會經濟持續發展,社會文化不斷積淀的重要保障,不適應現階段經濟社會的意識形態會破環社會發展的自然規律,延緩發展進程。
第二,由于網絡傳播對傳統媒體傳播的強力沖擊,意識形態的管控方式面臨著新的挑戰。隨著網絡的不斷普及和移動終端的廣泛應用,其便利性和普及性不斷提高,大量的網民加入到這個群體中,大學生作為新觀念、新思想的傳導者,是新型媒體的主力使用群體。而新型網絡的自由性又給意識形態的管理和建設帶來了諸多挑戰。
第三,在網絡環境下,域外國家的思想滲透變得更加直接,意識形態的防御能力面臨著巨大的挑戰。網絡環境的自由性與西方國家的經濟發展階段相適應,但是這套體系并不一定適合我國現階段的經濟社會發展。一些域外國家的思想利用了網絡思想的自由性,將其思想和觀念強加給我國的大學生,這對意識形態和價值觀還沒有成熟的大學生群體來說,是有巨大風險的,因而給防御體系帶來了新的挑戰。
三、網絡背景下高校意識形態安全建設的途徑
1.強化高校意識形態安全建設的組織保障。網絡背景下的高校意識形態安全建設應注意強化高校意識形態安全建設的組織保障。對此,應從三個方面進行:第一,我黨應注意加強對高校意識形態安全建設問題的科學決策能力、洞察預測能力以及調查分析能力;第二,加強高校黨建工作隊伍建設;第三,加強高校思想政治工作隊伍建設。
2.強化高校意識形態安全建設的載體保障。網絡背景下的高校意識形態安全建設應注意強化高校意識形態安全建設的載體保障。對此,應從三個方面進行:第一,借助網絡技術,通過互聯網進行意識形態教育;第二,增加網絡意識形態信息資源,加大“紅色”網絡資源論壇、網站的建設力度;第三,我國政府相關部門應注意加大網絡監管力度,盡量排除不良信息。
3.加強思想建設。網絡背景下的高校意識形態安全建設應注意加強思想建設。對此,應從兩個方面進行:第一,參照社會主義核心價值觀進行高校意識形態安全建設;第二,堅持意識形態中排他性與兼容性的統一,繼承性與批判性的統一,以及實踐性與理論性的統一。
4.注意制定完整的規章制度。網絡背景下的高校意識形態安全建設應注意制定完整的規章制度。對此,應從兩個方面進行:第一,構建高校意識形態安全運行機制,確保意識形態教育工作的有序進行;第二,建立高校意識形態安全建設制度體系,確保高校意識形態建設的可持續發展。
總而言之,高校的管理者要充分認識大學生意識形態建設的重要性,不斷適應新型媒體的發展,在網絡背景下強化高校意識形態安全建設的組織保障、載體保障,加強思想建設,制定完整的規章制度,為大學生意識形態建設和價值觀形成提供制度保障和環境基礎。
參考文獻
