㈠ 南京理工大学江阴校区是几本
南京理工大学江阴校区是一本类院校。南京理工大学江阴校区(以下简称“江阴校区”)坐落在素有“春申旧封”、“忠义之邦”之称的“芙蓉城”江阴,地处苏锡常“几何中心”,北枕长江,南眺太湖,手挽运河,是学校落实工业和信息化部、教育部、江苏省人民政府共建南京理工大学的重要举措和服务“长三角一体化发展战略”的“桥头堡”。
南京理工大学江阴校区是学校不可分割的普通高等教育功能区和对外合作办学的主要校区,是学校“一校三区”办学布局的重点工程。校区坚持高起点、高标准、高质量办学,是学校服务“两个强国”的先行区、新兴交叉学科的先试区和国际化办学的示范区。
(1)桥头堡网络安全扩展阅读:
南京理工大学江阴校区设置基础教学与实验中心、中法工程师学院、网络空间安全学院、智能制造学院、新能源学院、工业互联网研究院、志道书院、鼎新研究院、国际教育学院、江阴学院、动商研究院等教学科研机构。
重点发展现代装备制造、新材料、新能源、微电子、网络空间安全、工商管理、公共管理、项目管理、社会工作等相关学科方向;建设机械工程、材料科学与工程、智能制造工程、网络空间安全、信息管理与信息系统、新能源科学与工程等特色专业。
㈡ 桥头堡建设是什么意思啊
2009年7月,国家主席锦涛考察云南后提出把云南建成中国面向东南亚、南亚及印度洋的桥头堡,把云南建成中国沿边开放经济区。云南具有良好的区位优势和对东南亚、南亚地区的辐射功能,拥有国内首屈一指的民航运输网络。目前,整个桥头堡的框架已大致清晰,即云南将在国际大通道与进出口加工基地建设,以及大湄公河次区域、中国-东盟自由贸易区、孟中印缅合作机制建设等主要方面取得新的突破。桥头堡建设即是经济需要也是国家安全需要,这条从云南经由缅甸直达印度洋的大通道,要比目前经东南沿海绕道马六甲海峡进入印度洋的行程短3000公里左右。据统计,目前中国出口货物有42%,原油进口的90%均经马六甲。一旦印度洋大通道贯通,云南将不再是一个传统意义上的边陲,而成为开放的前沿,使中国能够突破马六甲封锁,具有巨大的国家战略意义。
云南将借助桥头堡战略打造滇中城市经济圈、八个沿边经济区和四条经济走廊。
㈢ 防火墙是什么为什么只装杀毒软件不够还要有防火墙呢
1.什么是防火墙?
防火墙是一个或一组系统,它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问,你可以让其他人或某些产品根据他(它)们认为应当做的事来配置防火墙,然后他(它)们会为你的机构全面地制定访问策略。
2.为何需要防火墙?
同其它任何社会一样,Internet也受到某些无聊之人的困扰,这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。一些人试图通过Internet完成一些真正的工作,而另一些人则拥有敏感或专有数据需要保护。一般来说,防火墙的目是将那些无聊之人挡在你的网络之外,同时使你仍可以完成工作。
许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要,因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业,连接到Internet上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一条安全的毯子的重要作用。
最后,防火墙可以发挥你的企业驻Internet“大使”的作用。许多企业利用其防火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补以及其它一些文件的场所。这些系统当中的几种系统已经成为Internet服务结构(如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com)的重要组成部分,并且给这些机构的赞助者带来了良好的影响。
3.防火墙可以防范什么?
一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。
一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“电话监听”(Phone tap)和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传流输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。
4.防火墙不能防范什么?
防火墙不能防范不经过防火墙的攻击。许多接入到Internet的企业对通过接入路线造成公司专用数据数据泄露非常担心。不幸得是,对于这些担心来说,一盘磁带可以被很有效地用来泄露数据。许多机构的管理层对Internet接入非常恐惧,它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。当你住在一所木屋中,却安装了一扇六英尺厚的钢门,会被认为很愚蠢。然而,有许多机构购买了价格昂贵的防火墙,但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实,能够反映出整个网络安全的水平。例如,一个保存着超级机密或保密数据的站点根本不需要防火墙:首先,它根本不应当被接入到Internet上,或者保存着真正秘密数据的系统应当与这家企业的其余网络隔离开。
防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息,但他更有可能利用电话、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介!防火墙同样不能保护你避免愚蠢行为的发生。通过电话泄露敏感信息的用户是社会工程(social engineering)的好目标;如果攻击者能找到内部的一个“对他有帮助”的雇员,通过欺骗他进入调制解调器池,攻击者可能会完全绕过防火墙打入你的网络。
5.防火墙能否防止病毒的攻击?
防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本(ghostscript)和免费PostScript阅读器的这类攻击。
对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外,而是保证每个脆弱的桌面系统都安装上病毒扫描软件,只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的网络将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒,而绝大多数病毒是通过软盘传染上的。
尽管如此,还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。
6.在防火墙设计中需要做哪些基本设计决策?
在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前,有许多基本设计问题等着他去解决。
首先,最重要的问题是,它应体现你的公司或机构打算如何运行这个系统的策略:安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问("queuing" access)提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂;防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
第二个问题是:你需要何种程度的监视、冗余度以及控制水平?通过解决第一个问题,确定了可接受的风险水平(例如你的偏执到何种程度)后,你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说,你开始时先列出你的总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。
第三个问题是财务上的问题。在此,我们只能以模糊的表达方式论述这个问题,但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱,只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个人工月,它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说,在评估防火墙时,重要的是不仅要以防火墙目前的费用来评估它,而且要考虑到像支持服务这类后续费用。
出于实用目的,我们目前谈论的是网络服务提供商提供的路由器与你内部网络之间存在的静态传输流路由服务,因此基于为一事实,在技术上,还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。
需要做出的决定是,是否将暴露的简易机放置在外部网络上为telnet、ftp、news等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及可能提供的服务水平的降低(由于代理机需要针对每种需要的服务进行开发)。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。
7.防火墙的基本类型是什么?
在概念上,有两种类型的防火墙:
1、网络级防火墙
2、应用级防火墙
这两种类型的差异并不像你想象得那样大,最新的技术模糊了两者之间的区别,使哪个“更好”或“更坏”不再那么明显。同以往一样,你需要谨慎选择满足你需要的防火墙类型。
网络级防火墙一般根据源、目的地址做出决策,输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙,因为它不能做出复杂的决策,不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂,可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过,因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快,对用户很透明。
网络级防火墙的例子:在这个例子中,给出了一种称为“屏蔽主机防火墙”(screened host
firewall)的网络级防火墙。在屏蔽主机防火墙中,对单个主机的访问或从单个主机进行访问是通过运行在网络级上的路由器来控制的。这台单个主机是一台桥头堡主机(bastion host),是一个可以(希望如此)抵御攻击的高度设防和保险的要塞。
网络级防火墙的例子:在这个例子中,给出了一种所谓“屏蔽子网防火墙”的网络级防火墙。在屏蔽子网防火墙中,对网络的访问或从这个网络中进行访问是通过运行在网络级上的路由器来控制的。除了它实际上是由屏蔽主机组成的网络外,它与被屏蔽主机的作用相似。
应用级防火墙一般是运行代理服务器的主机,它不允许传输流在网络之间直接传输,并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件,因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地址翻译器,因为传输流通过有效地屏蔽掉起始接入原址的应用程序后,从一“面”进来,从另一面出去。在某些情况下,设置了应用级防火墙后,可能会对性能造成影响,会使防火墙不太透明。早期的应用级防火墙,如那些利用TIS防火墙工具包构造的防火墙,对于最终用户不很透明,并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告,比网络级防火墙实施更保守的安全模型。
应用级防火墙举例:这此例中,给出了一个所谓“双向本地网关”(al homed gateway)的应用级防火墙。双向本地网关是一种运行代理软件的高度安全主机。它有两个网络接口,每个网络上有一个接口,拦阻通过它的所有传输流。
防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。网络级防火墙可能对流经它们的信息越来越“了解”(aware),而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。越来越多的防火墙(网络和应用层)中都包含了加密机制,使它们可以在Internet上保护流经它们之间的传输流。具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用,这些机构可以将Internet作为“专用骨干网”,无需担心自己的数据或口令被偷看。
8.什么是“单故障点”?应当如何避免出现这种故障?
安全性取决于一种机制的结构具有单故障点。运行桥头堡主机的软件存在错误。应用程序存在错误。控制路由器的软件存在错误。使用所有这些组件建造设计安全的网络,并以冗余的方式使用它们才有意义。
如果你的防火墙结构是屏蔽子网,那么,你有两台包过滤路由器和一台桥头堡主机。(参见本节的问题2)Internet访问路由器不允许传输流从Internet进入你的专用网络。然而,如果你不在桥头堡主机以及(或)阻塞(choke)路由器上与其它任何机制一道执行这个规则(rule)的话,那么只要这种结构中的一个组件出现故障或遭到破坏就会使攻击者进入防火墙内部。另一方面,如果你在桥头堡主机上具有冗余规则,并在阻塞路由器上也有冗余规则,那么攻击者必须对付三种机制。
此外,如果这台桥头堡主机或阻塞路由器使用规则来拦阻外部访问进入内部网络的话,你可能需要让它触发某种报警,因为你知道有人进入了你的访问路由器。
9.如何才能将所有的恶意的传输拦在外面?
对于重点在于安全而非连接性的防火墙来说,你应当考虑缺省拦阻所有的传输,并且只特别地根据具体情况允许你所需要的服务通过。
如果你将除特定的服务集之外的所有东西都挡在外面,那么你已经使你的任务变得很容易了。你无需再为周围的每样产品和每件服务的各种安全问题担心了,你只需关注特定产品和服务存在的各种安全问题。:-)
在启动一项服务之前,你应当考虑下列问题:
*这个产品的协议是人们熟知的公开协议吗?
*为这个协议提供服务的应用程序的应用情况是否可供公开检查?
*这项服务和产品是否为人们熟知?
*使用这项服务会怎样改变防火墙的结构?攻击者会从不同的角度看待这些吗?攻击者能利用这点进入我的内部网络,或者会改变我的DMZ中主机上的东西吗?
在考虑上述问题时,请记住下列忠告:
*“不为人所知的安全性根本不安全。许多未公开的协议都被那些坏家伙研究并破解过。
*无论营销人员说些什么,不是所有的协议或服务在设计时考虑了安全性。事实上,真正在设计时考虑了安全性的协议或服务数量很少。
*甚至在考虑过安全性的情况下,并不是所有的机构都拥有合格的负责安全的人员。在那些没有称职负责安全的人员的机构中,不是所有的机构都愿意请称职的顾问参与工程项目。这样做的结果是那些其它方面还称职的、好心肠的开发者会设计出不安全的系统。
*厂商越不愿意告诉你他们系统的真正工作原理,它就越有可能可存安全性(或其它)问题。只有有什么东西需要隐瞒的厂商才有理由隐瞒他们的设计和实施情况。
10.有哪些常见的攻击?应当如何保护系统不受它们的攻击呢?
每个站点与其它站点遭受攻击的类型都略有不同。但仍有一些共同之处。
SMTP会话攻击(SMTP Session Hijacking)
在这种攻击中,垃圾邮件制造者将一条消息复制成千上万份,并按一个巨大的电子邮件地址清单发送这条消息。由于这些地址清单常常很糟糕,并且为了加快垃圾制造者的操作速度,许多垃圾制造者采取了将他们所有的邮件都发送到一台SMTP服务器上作法,由这台服务器负责实际发送这些邮件。
当然,弹回(bounces)消息、对垃圾制造者的抱怨、咒骂的邮件和坏的PR都涌入了曾被用作中继站的站点。这将着实要让这个站点破费一下了,其中大部分花费被用到支付以后清除这些信息的人员费用上。
《防止邮件滥用系统传输安全性建议》(The Mail Abuse Prevention System Transport Security Initiative)中对这个问题作了详尽的叙述,以及如何对每个寄信人进行配置防止这种攻击。
利用应用程序中的错误(bugs)
不同版本的web服务器、邮件服务器和其它Internet服务软件都存在各种错误,因此,远程(Internet)用户可以利用错误做从造成对计算机的控制到引起应用程序瘫痪等各种后果。
只运行必要的服务、用最新的补丁程序修补程序以及使用应用过一段时间的产品可以减少遭遇这种风险的可能。
利用操作系统中的错误
这类攻击一般也是由远程用户发起的。相对于IP网络较新的操作系统更易出现问题,而很成熟的操作系统有充分的时间来发现和清除存在的错误。攻击者经常可以使被攻击的设备不断重新引导、瘫痪、失去与网络通信的能力,或替换计算机上的文件。
因此,尽可能少地运行操作系统服务可以有助于防范对系统的攻击。此外,在操作系统前端安装一个包过滤器也可以大大减少受这类攻击的次数。
当然,选择一个稳定的操作系统也同样会有帮助。在选择操作系统时,不要轻信“好货不便宜”这类说法。自由软件操作系统常常比商用操作系统更强健。
11.我必须满足用户要求的各种要求吗?
对这个问题的答案完全有可能是“不”。对于需要什么,不需要什么,每个站点都有自己的策略,但是,重要的是记住作为一家机构的看门人的主要工作之一是教育。用户需要流视频、实时聊天,并要求能够向请求在内部网络上的活数据库进行交互查询的外部客户提供服务。
这意味着完成任何这类事情都会给机构造成风险,而造成的风险往往比想象中沿着这条路走下去的“价值”的回报更高。多数用户不愿使自己的机构遭受风险。他们只看一看商标,阅读一下广告,他们也愿意做上述那些事。重要的是了解用户真正想干些什么,帮助他们懂得他们可以以更安全的方式实现他们的真正目的。
你不会总受到欢迎,你可以甚至会发现自己收到了难以置信愚蠢的命令,让你做一些诸如“打开所有的口子”这样的事,但不要为此担心。在这种时刻,明智的做法是将你的交换数据全都保存起来,这样当一个十二岁的小孩闯入网络时,你至少能够使你自己远离混乱局面。
12.如何才能通过自己的防火墙运行Web/HTTP?
有三种办法做到这点:
1、如果你使用屏蔽路由器的话,允许“建立起的”连接经过路由器接入到防火墙外。
2、使用支持SOCKS的Web客户机,并在你的桥头堡主机上运行SOCKS。
3、运行桥头堡主机上的某种具有代理功能的Web服务器。一些可供选择的代理服务器包括Squid、Apache、Netscape Proxy和TIS防火墙工具包中的http-gw。这些选件中的多数还可以代理其它协议(如gopher和ftp),并可缓存捕获的对象。后者一般会提高用户的性能,使你能更有效地使用到Internet的连接。基本上所有的Web客户机(Mozilla、Internet Explorer、Lynx等等)都具有内置的对代理服务器的支持。
13.在使用防火墙时,怎样使用DNS呢?
一些机构想隐藏DNS名,不让外界知道。许多专家认为隐藏DNS名没有什么价值,但是,如果站点或企业的政策强制要求隐藏域名,它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为,如果隐藏了你的DNS名,在攻击者打入你的防火墙时,会给攻击者增加困难。有关你的网络的信息可以很容易地从网络层获得。假如你有兴趣证实这点的话,不妨在LAN上“ping”一下子网广播地址,然后再执行“arp -a”。还需要说明的是,隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。
这种方法是许多方法中的一个,它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实:即一台机器上的DNS客户机不必与在同一台机器上的DNS服务器对话。换句话说,正是由于在一台机器上有一个DNS服务器,因此,将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥(并且经常有好处)。
首先,你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上,这台服务器所了解的就是你想让外部世界所了解的:你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。
然后,在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力;与公共服务器不同,这台服务器“讲的是真话”。它是你的“正常”的命名服务器,你可以在这台服务器中放入你所有的“正常”DNS名。你再设置这台服务器,使它可以将它不能解决的查询转发到公共服务器(例如,使用Unix机上的/etc/
named.boot中的“转发器”行(forwarder line))。
最后,设置你所有的DNS客户机(例如,Unix机上的/etc/resolv.conf文件)使用内部服务器,这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。
询问有关一台内部主机信息的内部客户机向内部服务器提出问题,并得到回答;询问有关一部外部主机信息的内部客户机向内部服务器查询,内部客户机再向公共服务器进行查询,公共服务器再向Internet查询,然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是,一台询问关于一台内部主机信息的外部客户机,只能从公共服务器上得到“限制性”的答案。
这种方式假定在这两台服务器之间有一个包过滤防火墙,这个防火墙允许服务器相互传递DNS,但除此之外,限制其它主机之间的DNS。
这种方式中的另一项有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称”(address-to-name)的查找返回像“unknown.YOUR.DOMAIN”这样的信息,而非返回一个错误。这就满足了像ftp.uu.net匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时,这种方法就不灵了。在交叉检查中,主机名要与它的地址匹配,地址也要与主机名匹配。
14.怎样才能穿过防火墙使用FTP?
一般来说,可以通过使用像防火墙工具包中的ftp-gw这类代理服务器,或在有限的端口范围允许接入连接到网络上(利用如“建立的”屏蔽规则这样的规则来限制除上述端口外的接入),使FTP可以穿过防火墙工作。然后,修改FTP客户机,使其将数据端口连接在允许端口范围内的一个端口上。这样做需要能够修改在内部主机上的
FTP客户机应用。
在某些情况下,如果FTP的下载是你所希望支持的,你不妨考虑宣布FTP为“死协议”(dead protocol),并且让户通过Web下载文件。如果你选择FTP-via-Web方式,用户将不能使用FTP向外传输文件,这可能会造成问题,不过这取决你试图完成什么。
另一个不同的办法是使用FTP "PASV"选项来指示远程FTP服务器允许客户机开始连接。PASV方式假设远程系统上的FTP服务器支持这种操作。(详细说明请参看RFC1579)
另一些站点偏爱建立根据SOCKS库链接的FTP程序的客户机版本。
15.怎样才能穿过防火墙使用telnet?
利用像防火墙工具包中的tn-gw这类应用代理,或简单地配置一台路由器使它利用像“建立的”屏蔽规则等策略允许接出,一般都可以支持使用telnet。应用代理可以以运行在桥头堡主机上的独立代理的形式,或以SOCKS服务器和修改的客户机的形式存在。
16.怎样才能穿过防火墙使用RealAudio?
RealNetworks中含有关于如何使穿过防火墙RealAudio的一些说明。在没有清楚地了解做哪些改动,了解新的改动将带来什么样的风险的情况下,就改动你的防火墙,是很不明智的。
17.如何才能使web服务器作为专用网络上的一个数据库的前端呢?
实现这点的最佳途径是通过特定的协议在web服务器与数据库服务器之间允许很有限的连接。特定的协议只支持你将使用的功能的级别。允许原始SQL或其它任何可为攻击者利用来进行定制提取(extractions)的东西,一般来说不是一个好主意。
假设攻击者能够进入你的web服务器,并以web服务器同样的方式进行查询。难道没有一种机制能提取web服务器不需要的像信用卡信息这样的敏感信息吗?攻击者难道不能发出一次SQL选择,然后提取你整个的专用数据库吗?
同其它所有应用一样,“电子商务”应用从一开始设计时就充分考虑到了安全问题,而不是以后再想起来“增加”安全性。应当从一个攻击者的角度,严格审查你的结构。假设攻击者了解你的结构的每一个细节。现在,再问问自己,想要窃取你的数据、进行非授权的改动或做其它任何你不想让做的事的话,应当做些什么。你可能会发现,不需要增加任何功能,只需做出一些设计和实施上的决策就可大大地增加安全性。
下面是一些如何做到这点的想法:
以一般的原则,从数据库中提取你所需要的数据,使你不用对包含攻击者感兴趣的信息的整个数据库进行查询。对你允许在web服务器与数据库之间传输流实行严格的限制和审计。
㈣ 防火墙真的很重要吗如果不装会发生什么
要想知道它的作用,必须先了解它的工作原理。
防火墙是一个或一组系统,它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问,你可以让其他人或某些产品根据他(它)们认为应当做的事来配置防火墙,然后他(它)们会为你的机构全面地制定访问策略。
2.为何需要防火墙?
同其它任何社会一样,Internet也受到某些无聊之人的困扰,这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。一些人试图通过Internet完成一些真正的工作,而另一些人则拥有敏感或专有数据需要保护。一般来说,防火墙的目是将那些无聊之人挡在你的网络之外,同时使你仍可以完成工作。
许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要,因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业,连接到Internet上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一条安全的毯子的重要作用。
最后,防火墙可以发挥你的企业驻Internet“大使”的作用。许多企业利用其防火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补以及其它一些文件的场所。这些系统当中的几种系统已经成为Internet服务结构(如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com)的重要组成部分,并且给这些机构的赞助者带来了良好的影响。
3.防火墙可以防范什么?
一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。
一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“电话监听”(Phone tap)和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传流输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。
4.防火墙不能防范什么?
防火墙不能防范不经过防火墙的攻击。许多接入到Internet的企业对通过接入路线造成公司专用数据数据泄露非常担心。不幸得是,对于这些担心来说,一盘磁带可以被很有效地用来泄露数据。许多机构的管理层对Internet接入非常恐惧,它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。当你住在一所木屋中,却安装了一扇六英尺厚的钢门,会被认为很愚蠢。然而,有许多机构购买了价格昂贵的防火墙,但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实,能够反映出整个网络安全的水平。例如,一个保存着超级机密或保密数据的站点根本不需要防火墙:首先,它根本不应当被接入到Internet上,或者保存着真正秘密数据的系统应当与这家企业的其余网络隔离开。
防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息,但他更有可能利用电话、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介!防火墙同样不能保护你避免愚蠢行为的发生。通过电话泄露敏感信息的用户是社会工程(social engineering)的好目标;如果攻击者能找到内部的一个“对他有帮助”的雇员,通过欺骗他进入调制解调器池,攻击者可能会完全绕过防火墙打入你的网络。
5.防火墙能否防止病毒的攻击?
防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本(ghostscript)和免费PostScript阅读器的这类攻击。
对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外,而是保证每个脆弱的桌面系统都安装上病毒扫描软件,只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的网络将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒,而绝大多数病毒是通过软盘传染上的。
尽管如此,还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。
6.在防火墙设计中需要做哪些基本设计决策?
在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前,有许多基本设计问题等着他去解决。
首先,最重要的问题是,它应体现你的公司或机构打算如何运行这个系统的策略:安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问("queuing" access)提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂;防火墙的最终功能可能将是行政上的结果,而非工程上的决策。
第二个问题是:你需要何种程度的监视、冗余度以及控制水平?通过解决第一个问题,确定了可接受的风险水平(例如你的偏执到何种程度)后,你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说,你开始时先列出你的总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。
第三个问题是财务上的问题。在此,我们只能以模糊的表达方式论述这个问题,但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱,只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个人工月,它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说,在评估防火墙时,重要的是不仅要以防火墙目前的费用来评估它,而且要考虑到像支持服务这类后续费用。
出于实用目的,我们目前谈论的是网络服务提供商提供的路由器与你内部网络之间存在的静态传输流路由服务,因此基于为一事实,在技术上,还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。
需要做出的决定是,是否将暴露的简易机放置在外部网络上为telnet、ftp、news等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及可能提供的服务水平的降低(由于代理机需要针对每种需要的服务进行开发)。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。
7.防火墙的基本类型是什么?
在概念上,有两种类型的防火墙:
1、网络级防火墙
2、应用级防火墙
这两种类型的差异并不像你想象得那样大,最新的技术模糊了两者之间的区别,使哪个“更好”或“更坏”不再那么明显。同以往一样,你需要谨慎选择满足你需要的防火墙类型。
网络级防火墙一般根据源、目的地址做出决策,输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙,因为它不能做出复杂的决策,不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂,可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过,因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快,对用户很透明。
网络级防火墙的例子:在这个例子中,给出了一种称为“屏蔽主机防火墙”(screened host
firewall)的网络级防火墙。在屏蔽主机防火墙中,对单个主机的访问或从单个主机进行访问是通过运行在网络级上的路由器来控制的。这台单个主机是一台桥头堡主机(bastion host),是一个可以(希望如此)抵御攻击的高度设防和保险的要塞。
网络级防火墙的例子:在这个例子中,给出了一种所谓“屏蔽子网防火墙”的网络级防火墙。在屏蔽子网防火墙中,对网络的访问或从这个网络中进行访问是通过运行在网络级上的路由器来控制的。除了它实际上是由屏蔽主机组成的网络外,它与被屏蔽主机的作用相似。
应用级防火墙一般是运行代理服务器的主机,它不允许传输流在网络之间直接传输,并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件,因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地址翻译器,因为传输流通过有效地屏蔽掉起始接入原址的应用程序后,从一“面”进来,从另一面出去。在某些情况下,设置了应用级防火墙后,可能会对性能造成影响,会使防火墙不太透明。早期的应用级防火墙,如那些利用TIS防火墙工具包构造的防火墙,对于最终用户不很透明,并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告,比网络级防火墙实施更保守的安全模型。
应用级防火墙举例:这此例中,给出了一个所谓“双向本地网关”(al homed gateway)的应用级防火墙。双向本地网关是一种运行代理软件的高度安全主机。它有两个网络接口,每个网络上有一个接口,拦阻通过它的所有传输流。
防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。网络级防火墙可能对流经它们的信息越来越“了解”(aware),而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。越来越多的防火墙(网络和应用层)中都包含了加密机制,使它们可以在Internet上保护流经它们之间的传输流。具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用,这些机构可以将Internet作为“专用骨干网”,无需担心自己的数据或口令被偷看。
8.什么是“单故障点”?应当如何避免出现这种故障?
安全性取决于一种机制的结构具有单故障点。运行桥头堡主机的软件存在错误。应用程序存在错误。控制路由器的软件存在错误。使用所有这些组件建造设计安全的网络,并以冗余的方式使用它们才有意义。
如果你的防火墙结构是屏蔽子网,那么,你有两台包过滤路由器和一台桥头堡主机。(参见本节的问题2)Internet访问路由器不允许传输流从Internet进入你的专用网络。然而,如果你不在桥头堡主机以及(或)阻塞(choke)路由器上与其它任何机制一道执行这个规则(rule)的话,那么只要这种结构中的一个组件出现故障或遭到破坏就会使攻击者进入防火墙内部。另一方面,如果你在桥头堡主机上具有冗余规则,并在阻塞路由器上也有冗余规则,那么攻击者必须对付三种机制。
此外,如果这台桥头堡主机或阻塞路由器使用规则来拦阻外部访问进入内部网络的话,你可能需要让它触发某种报警,因为你知道有人进入了你的访问路由器。
9.如何才能将所有的恶意的传输拦在外面?
对于重点在于安全而非连接性的防火墙来说,你应当考虑缺省拦阻所有的传输,并且只特别地根据具体情况允许你所需要的服务通过。
如果你将除特定的服务集之外的所有东西都挡在外面,那么你已经使你的任务变得很容易了。你无需再为周围的每样产品和每件服务的各种安全问题担心了,你只需关注特定产品和服务存在的各种安全问题。:-)
在启动一项服务之前,你应当考虑下列问题:
*这个产品的协议是人们熟知的公开协议吗?
*为这个协议提供服务的应用程序的应用情况是否可供公开检查?
*这项服务和产品是否为人们熟知?
*使用这项服务会怎样改变防火墙的结构?攻击者会从不同的角度看待这些吗?攻击者能利用这点进入我的内部网络,或者会改变我的DMZ中主机上的东西吗?
在考虑上述问题时,请记住下列忠告:
*“不为人所知的安全性根本不安全。许多未公开的协议都被那些坏家伙研究并破解过。
*无论营销人员说些什么,不是所有的协议或服务在设计时考虑了安全性。事实上,真正在设计时考虑了安全性的协议或服务数量很少。
*甚至在考虑过安全性的情况下,并不是所有的机构都拥有合格的负责安全的人员。在那些没有称职负责安全的人员的机构中,不是所有的机构都愿意请称职的顾问参与工程项目。这样做的结果是那些其它方面还称职的、好心肠的开发者会设计出不安全的系统。
*厂商越不愿意告诉你他们系统的真正工作原理,它就越有可能可存安全性(或其它)问题。只有有什么东西需要隐瞒的厂商才有理由隐瞒他们的设计和实施情况。
10.有哪些常见的攻击?应当如何保护系统不受它们的攻击呢?
每个站点与其它站点遭受攻击的类型都略有不同。但仍有一些共同之处。
SMTP会话攻击(SMTP Session Hijacking)
在这种攻击中,垃圾邮件制造者将一条消息复制成千上万份,并按一个巨大的电子邮件地址清单发送这条消息。由于这些地址清单常常很糟糕,并且为了加快垃圾制造者的操作速度,许多垃圾制造者采取了将他们所有的邮件都发送到一台SMTP服务器上作法,由这台服务器负责实际发送这些邮件。
当然,弹回(bounces)消息、对垃圾制造者的抱怨、咒骂的邮件和坏的PR都涌入了曾被用作中继站的站点。这将着实要让这个站点破费一下了,其中大部分花费被用到支付以后清除这些信息的人员费用上。
《防止邮件滥用系统传输安全性建议》(The Mail Abuse Prevention System Transport Security Initiative)中对这个问题作了详尽的叙述,以及如何对每个寄信人进行配置防止这种攻击。
利用应用程序中的错误(bugs)
不同版本的web服务器、邮件服务器和其它Internet服务软件都存在各种错误,因此,远程(Internet)用户可以利用错误做从造成对计算机的控制到引起应用程序瘫痪等各种后果。
只运行必要的服务、用最新的补丁程序修补程序以及使用应用过一段时间的产品可以减少遭遇这种风险的可能。
利用操作系统中的错误
这类攻击一般也是由远程用户发起的。相对于IP网络较新的操作系统更易出现问题,而很成熟的操作系统有充分的时间来发现和清除存在的错误。攻击者经常可以使被攻击的设备不断重新引导、瘫痪、失去与网络通信的能力,或替换计算机上的文件。
因此,尽可能少地运行操作系统服务可以有助于防范对系统的攻击。此外,在操作系统前端安装一个包过滤器也可以大大减少受这类攻击的次数。
当然,选择一个稳定的操作系统也同样会有帮助。在选择操作系统时,不要轻信“好货不便宜”这类说法。自由软件操作系统常常比商用操作系统更强。
11.我必须满足用户要求的各种要求吗?
对这个问题的答案完全有可能是“不”。对于需要什么,不需要什么,每个站点都有自己的策略,但是,重要的是记住作为一家机构的看门人的主要工作之一是教育。用户需要流视频、实时聊天,并要求能够向请求在内部网络上的活数据库进行交互查询的外部客户提供服务。
这意味着完成任何这类事情都会给机构造成风险,而造成的风险往往比想象中沿着这条路走下去的“价值”的回报更高。多数用户不愿使自己的机构遭受风险。他们只看一看商标,阅读一下广告,他们也愿意做上述那些事。重要的是了解用户真正想干些什么,帮助他们懂得他们可以以更安全的方式实现他们的真正目的。
你不会总受到欢迎,你可以甚至会发现自己收到了难以置信愚蠢的命令,让你做一些诸如“打开所有的口子”这样的事,但不要为此担心。在这种时刻,明智的做法是将你的交换数据全都保存起来,这样当一个十二岁的小孩闯入网络时,你至少能够使你自己远离混乱局面。
12.如何才能通过自己的防火墙运行Web/HTTP?
有三种办法做到这点:
1、如果你使用屏蔽路由器的话,允许“建立起的”连接经过路由器接入到防火墙外。
2、使用支持SOCKS的Web客户机,并在你的桥头堡主机上运行SOCKS。
3、运行桥头堡主机上的某种具有代理功能的Web服务器。一些可供选择的代理服务器包括Squid、Apache、Netscape Proxy和TIS防火墙工具包中的http-gw。这些选件中的多数还可以代理其它协议(如gopher和ftp),并可缓存捕获的对象。后者一般会提高用户的性能,使你能更有效地使用到Internet的连接。基本上所有的Web客户机(Mozilla、Internet Explorer、Lynx等等)都具有内置的对代理服务器的支持。
13.在使用防火墙时,怎样使用DNS呢?
一些机构想隐藏DNS名,不让外界知道。许多专家认为隐藏DNS名没有什么价值,但是,如果站点或企业的政策强制要求隐藏域名,它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为,如果隐藏了你的DNS名,在攻击者打入你的防火墙时,会给攻击者增加困难。有关你的网络的信息可以很容易地从网络层获得。假如你有兴趣证实这点的话,不妨在LAN上“ping”一下子网广播地址,然后再执行“arp -a”。还需要说明的是,隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。
这种方法是许多方法中的一个,它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实:即一台机器上的DNS客户机不必与在同一台机器上的DNS服务器对话。换句话说,正是由于在一台机器上有一个DNS服务器,因此,将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥(并且经常有好处)。
首先,你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上,这台服务器所了解的就是你想让外部世界所了解的:你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。
然后,在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力;与公共服务器不同,这台服务器“讲的是真话”。它是你的“正常”的命名服务器,你可以在这台服务器中放入你所有的“正常”DNS名。你再设置这台服务器,使它可以将它不能解决的查询转发到公共服务器(例如,使用Unix机上的/etc/
named.boot中的“转发器”行(forwarder line))。
最后,设置你所有的DNS客户机(例如,Unix机上的/etc/resolv.conf文件)使用内部服务器,这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。
询问有关一台内部主机信息的内部客户机向内部服务器提出问题,并得到回答;询问有关一部外部主机信息的内部客户机向内部服务器查询,内部客户机再向公共服务器进行查询,公共服务器再向Internet查询,然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是,一台询问关于一台内部主机信息的外部客户机,只能从公共服务器上得到“限制性”的答案。
这种方式假定在这两台服务器之间有一个包过滤防火墙,这个防火墙允许服务器相互传递DNS,但除此之外,限制其它主机之间的DNS。
这种方式中的另一项有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称”(address-to-name)的查找返回像“unknown.YOUR.DOMAIN”这样的信息,而非返回一个错误。这就满足了像ftp.uu.net匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时,这种方法就不灵了。在交叉检查中,主机名要与它的地址匹配,地址也要与主机名匹配。
14.怎样才能穿过防火墙使用FTP?
一般来说,可以通过使用像防火墙工具包中的ftp-gw这类代理服务器,或在有限的端口范围允许接入连接到网络上(利用如“建立的”屏蔽规则这样的规则来限制除上述端口外的接入),使FTP可以穿过防火墙工作。然后,修改FTP客户机,使其将数据端口连接在允许端口范围内的一个端口上。这样做需要能够修改在内部主机上的
FTP客户机应用。
在某些情况下,如果FTP的下载是你所希望支持的,你不妨考虑宣布FTP为“死协议”(dead protocol),并且让户通过Web下载文件。如果你选择FTP-via-Web方式,用户将不能使用FTP向外传输文件,这可能会造成问题,不过这取决你试图完成什么。
另一个不同的办法是使用FTP "PASV"选项来指示远程FTP服务器允许客户机开始连接。PASV方式假设远程系统上的FTP服务器支持这种操作。(详细说明请参看RFC1579)
另一些站点偏爱建立根据SOCKS库链接的FTP程序的客户机版本。
15.怎样才能穿过防火墙使用telnet?
利用像防火墙工具包中的tn-gw这类应用代理,或简单地配置一台路由器使它利用像“建立的”屏蔽规则等策略允许接出,一般都可以支持使用telnet。应用代理可以以运行在桥头堡主机上的独立代理的形式,或以SOCKS服务器和修改的客户机的形式存在。
16.怎样才能穿过防火墙使用RealAudio?
RealNetworks中含有关于如何使穿过防火墙RealAudio的一些说明。在没有清楚地了解做哪些改动,了解新的改动将带来什么样的风险的情况下,就改动你的防火墙,是很不明智的。
17.如何才能使web服务器作为专用网络上的一个数据库的前端呢?
实现这点的最佳途径是通过特定的协议在web服务器与数据库服务器之间允许很有限的连接。特定的协议只支持你将使用的功能的级别。允许原始SQL或其它任何可为攻击者利用来进行定制提取(extractions)的东西,一般来说不是一个好主意。
假设攻击者能够进入你的web服务器,并以web服务器同样的方式进行查询。难道没有一种机制能提取web服务器不需要的像信用卡信息这样的敏感信息吗?攻击者难道不能发出一次SQL选择,然后提取你整个的专用数据库吗?
同其它所有应用一样,“电子商务”应用从一开始设计时就充分考虑到了安全问题,而不是以后再想起来“增加”安全性。应当从一个攻击者的角度,严格审查你的结构。假设攻击者了解你的结构的每一个细节。现在,再问问自己,想要窃取你的数据、进行非授权的改动或做其它任何你不想让做的事的话,应当做些什么。你可能会发现,不需要增加任何功能,只需做出一些设计和实施上的决策就可大大地增加安全性。
下面是一些如何做到这点的想法:
以一般的原则,从数据库中提取你所需要的数据,使你不用对包含攻击者感兴趣的信息的整个数据库进行查询。对你允许在web服务器与数据库之间传输流实行严格的限制和审计。
回答者:引力流 - 经理 四级 3-11 23:46
提问者对于答案的评价:
bn
其他回答
共 6 条
记得<一个馒头>中说无极=无聊X2,那我想现在普通网友认为的安全应该是 安全=防火墙+杀毒.鉴于普通网友不具备主动发现和手工清除病毒的能力,所以采用杀毒软件来清除病毒是很好的办法,但是有的时候杀毒软件确实也发现不了一些木马后门.而且经常因为清除病毒造成一些程序无法正常使用,防火墙是阻挡外界攻击的,网络上的攻击形形色色所以我们合理的配置好我们的防火墙还是很有必要的,你问题中提到了后台活动的程序那我推荐你安装反间谍程序,这样就一目了然了。 所以这些防护软件该怎么用,并没有严格限制,根据自己需求吧.
总而言之一句话,防火墙是守城的,是站岗放哨的,没有系统给他的命令是不
允许放不明身份的敌人(程序)进来的。而杀毒软件是把不小心潜入的敌人(程序)给消灭掉的。
㈤ 什么网络加密的算法
由于网络所带来的诸多不安全因素使得网络使用者不得不采取相应的网络安全对策。为了堵塞安全漏洞和提供安全的通信服务,必须运用一定的技术来对网络进行安全建设,这已为广大网络开发商和网络用户所共识。
现今主要的网络安全技术有以下几种:
一、加密路由器(Encrypting Router)技术
加密路由器把通过路由器的内容进行加密和压缩,然后让它们通过不安全的网络进行传输,并在目的端进行解压和解密。
二、安全内核(Secured Kernel)技术
人们开始在操作系统的层次上考虑安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。如S olaris操作系统把静态的口令放在一个隐含文件中, 使系统的安全性增强。
三、网络地址转换器(Network Address Translater)
网络地址转换器也称为地址共享器(Address Sharer)或地址映射器,初衷是为了解决IP 地址不足,现多用于网络安全。内部主机向外部主机连接时,使用同一个IP地址;相反地,外部主机要向内部主机连接时,必须通过网关映射到内部主机上。它使外部网络看不到内部网络, 从而隐藏内部网络,达到保密作用。
数据加密(Data Encryption)技术
所谓加密(Encryption)是指将一个信息(或称明文--plaintext) 经过加密钥匙(Encrypt ionkey)及加密函数转换,变成无意义的密文( ciphertext),而接收方则将此密文经过解密函数、解密钥匙(Decryti on key)还原成明文。加密技术是网络安全技术的基石。
数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。
专用密钥,又称为对称密钥或单密钥,加密时使用同一个密钥,即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式,通信双方必须交换彼此密钥,当需给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂,而且密钥本身的安全就是一个问题。
DES是一种数据分组的加密算法,它将数据分成长度为6 4位的数据块,其中8位用作奇偶校验,剩余的56位作为密码的长度。第一步将原文进行置换,得到6 4位的杂乱无章的数据组;第二步将其分成均等两段 ;第三步用加密函数进行变换,并在给定的密钥参数条件下,进行多次迭代而得到加密密文。
公开密钥,又称非对称密钥,加密时使用不同的密钥,即不同的算法,有一把公用的加密密钥,有多把解密密钥,如RSA算法。
在计算机网络中,加密可分为"通信加密"(即传输过程中的数据加密)和"文件加密"(即存储数据加密)。通信加密又有节点加密、链路加密和端--端加密3种。
①节点加密,从时间坐标来讲,它在信息被传入实际通信连接点 (Physical communication link)之前进行;从OSI 7层参考模型的坐标 (逻辑空间)来讲,它在第一层、第二层之间进行; 从实施对象来讲,是对相邻两节点之间传输的数据进行加密,不过它仅对报文加密,而不对报头加密,以便于传输路由的选择。
②链路加密(Link Encryption),它在数据链路层进行,是对相邻节点之间的链路上所传输的数据进行加密,不仅对数据加密还对报头加密。
③端--端加密(End-to-End Encryption),它在第六层或第七层进行 ,是为用户之间传送数据而提供的连续的保护。在始发节点上实施加密,在中介节点以密文形式传输,最后到达目的节点时才进行解密,这对防止拷贝网络软件和软件泄漏也很有效。
在OSI参考模型中,除会话层不能实施加密外,其他各层都可以实施一定的加密措施。但通常是在最高层上加密,即应用层上的每个应用都被密码编码进行修改,因此能对每个应用起到保密的作用,从而保护在应用层上的投资。假如在下面某一层上实施加密,如TCP层上,就只能对这层起到保护作用。
值得注意的是,能否切实有效地发挥加密机制的作用,关键的问题在于密钥的管理,包括密钥的生存、分发、安装、保管、使用以及作废全过程。
(1)数字签名
公开密钥的加密机制虽提供了良好的保密性,但难以鉴别发送者, 即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。
数字签名一般采用不对称加密技术(如RSA),通过对整个明文进行某种变换,得到一个值,作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。当然,签名也可以采用多种方式,例如,将签名附在明文之后。数字签名普遍用于银行、电子贸易等。
数字签名不同于手写签字:数字签名随文本的变化而变化,手写签字反映某个人个性特征, 是不变的;数字签名与文本信息是不可分割的,而手写签字是附加在文本之后的,与文本信息是分离的。
(2)Kerberos系统
Kerberos系统是美国麻省理工学院为Athena工程而设计的,为分布式计算环境提供一种对用户双方进行验证的认证方法。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户;如是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其验证是建立在对称加密的基础上的。
Kerberos系统在分布式计算环境中得到了广泛的应用(如在Notes 中),这是因为它具有如下的特点:
①安全性高,Kerberos系统对用户的口令进行加密后作为用户的私钥,从而避免了用户的口令在网络上显示传输,使得窃听者难以在网络上取得相应的口令信息;
②透明性高,用户在使用过程中,仅在登录时要求输入口令,与平常的操作完全一样,Ker beros的存在对于合法用户来说是透明的;
③可扩展性好,Kerberos为每一个服务提供认证,确保应用的安全。
Kerberos系统和看电影的过程有些相似,不同的是只有事先在Ker beros系统中登录的客户才可以申请服务,并且Kerberos要求申请到入场券的客户就是到TGS(入场券分配服务器)去要求得到最终服务的客户。
Kerberos的认证协议过程如图二所示。
Kerberos有其优点,同时也有其缺点,主要如下:
①、Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,假设只有合法用户拥有口令字。如攻击者记录申请回答报文,就易形成代码本攻击。
②、Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,假设只有合法用户拥有口令字。如攻击者记录申请回答报文,就易形成代码本攻击。
③、AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全。在AS和TGS前应该有访问控制,以增强AS和TGS的安全。
④、随用户数增加,密钥管理较复杂。Kerberos拥有每个用户的口令字的散列值,AS与TGS 负责户间通信密钥的分配。当N个用户想同时通信时,仍需要N*(N-1)/2个密钥
( 3 )、PGP算法
PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 从80年代中期开始编写的。公开密钥和分组密钥在同一个系统中,公开密钥采用RSA加密算法,实施对密钥的管理;分组密钥采用了IDEA算法,实施对信息的加密。
PGP应用程序的第一个特点是它的速度快,效率高;另一个显着特点就是它的可移植性出色,它可以在多种操作平台上运行。PGP主要具有加密文件、发送和接收加密的E-mail、数字签名等。
(4)、PEM算法
保密增强邮件(Private Enhanced Mail,PEM),是美国RSA实验室基于RSA和DES算法而开发的产品,其目的是为了增强个人的隐私功能, 目前在Internet网上得到了广泛的应用,专为E-mail用户提供如下两类安全服务:
对所有报文都提供诸如:验证、完整性、防抵 赖等安全服务功能; 提供可选的安全服务功能,如保密性等。
PEM对报文的处理经过如下过程:
第一步,作规范化处理:为了使PEM与MTA(报文传输代理)兼容,按S MTP协议对报文进行规范化处理;
第二步,MIC(Message Integrity Code)计算;
第三步,把处理过的报文转化为适于SMTP系统传输的格式。
身份验证技术
身份识别(Identification)是指定用户向系统出示自己的身份证明过程。身份认证(Authertication)是系统查核用户的身份证明的过程。人们常把这两项工作统称为身份验证(或身份鉴别),是判明和确认通信双方真实身份的两个重要环节。
Web网上采用的安全技术
在Web网上实现网络安全一般有SHTTP/HTTP和SSL两种方式。
(一)、SHTTP/HTTP
SHTTP/HTTP可以采用多种方式对信息进行封装。封装的内容包括加密、签名和基于MAC 的认证。并且一个消息可以被反复封装加密。此外,SHTTP还定义了包头信息来进行密钥传输、认证传输和相似的管理功能。SHTTP可以支持多种加密协议,还为程序员提供了灵活的编程环境。
SHTTP并不依赖于特定的密钥证明系统,它目前支持RSA、带内和带外以及Kerberos密钥交换。
(二)、SSL(安全套层) 安全套接层是一种利用公开密钥技术的工业标准。SSL广泛应用于Intranet和Internet 网,其产品包括由Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客户机和服务器,以及诸如Apa che-SSL等产品。
SSL提供三种基本的安全服务,它们都使用公开密钥技术。
①信息私密,通过使用公开密钥和对称密钥技术以达到信息私密。SSL客户机和SSL服务器之间的所有业务使用在SSL握手过程中建立的密钥和算法进行加密。这样就防止了某些用户通过使用IP packet sniffer工具非法窃听。尽管packet sniffer仍能捕捉到通信的内容, 但却无法破译。 ②信息完整性,确保SSL业务全部达到目的。如果Internet成为可行的电子商业平台,应确保服务器和客户机之间的信息内容免受破坏。SSL利用机密共享和hash函数组提供信息完整性服务。③相互认证,是客户机和服务器相互识别的过程。它们的识别号用公开密钥编码,并在SSL握手时交换各自的识别号。为了验证证明持有者是其合法用户(而不是冒名用户),SSL要求证明持有者在握手时对交换数据进行数字式标识。证明持有者对包括证明的所有信息数据进行标识以说明自己是证明的合法拥有者。这样就防止了其他用户冒名使用证明。证明本身并不提供认证,只有证明和密钥一起才起作用。 ④SSL的安全性服务对终端用户来讲做到尽可能透明。一般情况下,用户只需单击桌面上的一个按钮或联接就可以与SSL的主机相连。与标准的HTTP连接申请不同,一台支持SSL的典型网络主机接受SSL连接的默认端口是443而不是80。
当客户机连接该端口时,首先初始化握手协议,以建立一个SSL对话时段。握手结束后,将对通信加密,并检查信息完整性,直到这个对话时段结束为止。每个SSL对话时段只发生一次握手。相比之下,HTTP 的每一次连接都要执行一次握手,导致通信效率降低。一次SSL握手将发生以下事件:
1.客户机和服务器交换X.509证明以便双方相互确认。这个过程中可以交换全部的证明链,也可以选择只交换一些底层的证明。证明的验证包括:检验有效日期和验证证明的签名权限。
2.客户机随机地产生一组密钥,它们用于信息加密和MAC计算。这些密钥要先通过服务器的公开密钥加密再送往服务器。总共有四个密钥分别用于服务器到客户机以及客户机到服务器的通信。
3.信息加密算法(用于加密)和hash函数(用于确保信息完整性)是综合在一起使用的。Netscape的SSL实现方案是:客户机提供自己支持的所有算法清单,服务器选择它认为最有效的密码。服务器管理者可以使用或禁止某些特定的密码。
代理服务
在 Internet 中广泛采用代理服务工作方式, 如域名系统(DNS), 同时也有许多人把代理服务看成是一种安全性能。
从技术上来讲代理服务(Proxy Service)是一种网关功能,但它的逻辑位置是在OSI 7层协议的应用层之上。
代理(Proxy)使用一个客户程序,与特定的中间结点链接,然后中间结点与期望的服务器进行实际链接。与应用网关型防火墙所不同的是,使用这类防火墙时外部网络与内部网络之间不存在直接连接,因此 ,即使防火墙产生了问题,外部网络也无法与被保护的网络连接。
防火墙技术
(1)防火墙的概念
在计算机领域,把一种能使一个网络及其资源不受网络"墙"外"火灾"影响的设备称为"防火墙"。用更专业一点的话来讲,防火墙(FireW all)就是一个或一组网络设备(计算机系统或路由器等),用来在两个或多个网络间加强访问控制,其目的是保护一个网络不受来自另一个网络的攻击。可以这样理解,相当于在网络周围挖了一条护城河,在唯一的桥上设立了安全哨所,进出的行人都要接受安全检查。
防火墙的组成可以这样表示:防火墙=过滤器+安全策略(+网关)。
(2)防火墙的实现方式
①在边界路由器上实现;
②在一台双端口主机(al-homed host)上实现;
③在公共子网(该子网的作用相当于一台双端口主机)上实现,在此子网上可建立含有停火区结构的防火墙。
(3)防火墙的网络结构
网络的拓扑结构和防火墙的合理配置与防火墙系统的性能密切相关,防火墙一般采用如下几种结构。
①最简单的防火墙结构
这种网络结构能够达到使受保护的网络只能看到"桥头堡主机"( 进出通信必经之主机), 同时,桥头堡主机不转发任何TCP/IP通信包, 网络中的所有服务都必须有桥头堡主机的相应代理服务程序来支持。但它把整个网络的安全性能全部托付于其中的单个安全单元,而单个网络安全单元又是攻击者首选的攻击对象,防火墙一旦破坏,桥头堡主机就变成了一台没有寻径功能的路由器,系统的安全性不可靠。
②单网端防火墙结构
其中屏蔽路由器的作用在于保护堡垒主机(应用网关或代理服务) 的安全而建立起一道屏障。在这种结构中可将堡垒主机看作是信息服务器,它是内部网络对外发布信息的数据中心,但这种网络拓扑结构仍把网络的安全性大部分托付给屏蔽路由器。系统的安全性仍不十分可靠。
③增强型单网段防火墙的结构
为增强网段防火墙安全性,在内部网与子网之间增设一台屏蔽路由器,这样整个子网与内外部网络的联系就各受控于一个工作在网络级的路由器,内部网络与外部网络仍不能直接联系,只能通过相应的路由器与堡垒主机通信。
④含"停火区"的防火墙结构
针对某些安全性特殊需要, 可建立如下的防火墙网络结构。 网络的整个安全特性分担到多个安全单元, 在外停火区的子网上可联接公共信息服务器,作为内外网络进行信息交换的场所。
网络反病毒技术
由于在网络环境下,计算机病毒具有不可估量的威胁性和破坏力, 因此计算机病毒的防范也是网络安全性建设中重要的一环。网络反病毒技术也得到了相应的发展。
网络反病毒技术包括预防病毒、检测病毒和消毒等3种技术。(1) 预防病毒技术,它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术是:加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡)等。(2)检测病毒技术,它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。(3)消毒技术,它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
网络反病毒技术的实施对象包括文件型病毒、引导型病毒和网络病毒。
网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。
随着网上应用不断发展,网络技术不断应用,网络不安全因素将会不断产生,但互为依存的,网络安全技术也会迅速的发展,新的安全技术将会层出不穷,最终Internet网上的安全问题将不会阻挡我们前进的步伐
㈥ 筑牢思想防线不被攻破的决定因素是什么
生活在今天的人们,谁也无法离开网络。网络改变着人们的生活,也深刻影响着国家安全。
网络主权彰显国家主权。网上空间,也是国家的安全空间。网上阵地,自己不去占领,别人就会去占领;网上领土,自己不去守卫,就会丧失主权,甚至成为敌对势力侵蚀瓦解我们的“桥头堡”。
互联网已经成为意识形态领域斗争的主战场。有了网络,思想防线全面开放,心门成了国门,心防成了国防,心战成了暗战。谁掌握了网络,谁就抢占了意识形态斗争战场的制高点,谁就按住了信息时代国家安全和发展的命脉。
网络资源不是虚拟资源,而是关乎国家安全的实体资源。网络时代,一个国家信息、资料、人心、关键枢纽等也可以被掌握先进网络技术的敌对国家肆意掠夺。
网络安全,已经成为我国综合安全“大盘”的重要组成部分。可以说,没有网络安全就没有国家安全。
应对网络安全,我们除了加强技术力量外,强化“心防”力量应该成为重中之重。互联网是我们面临的“最大变量”,搞不好也会成为“心头之患”。特别是网上意识形态工作关乎旗帜、道路和国家政治安全,是我们必争必守必占的核心阵地。一位学者指出:“21世纪掌握制网权与19世纪掌握制海权、20世纪掌握制空权一样具有决定意义。”西方反华势力一直妄图利用互联网扳倒中国。多年前,有西方政要就声称,“有了互联网,对付中国就有了办法”“社会主义国家投入西方怀抱,将从互联网开始”。
于是,西方敌对势力和我国少数“思想叛国者”利用网络,借助电脑和手机等信息终端,恶毒攻击我们的党,抹黑新中国的开国领袖,诋毁我们的英雄人物,掀起历史虚无主义的错误思潮,其根本目的是想用“普世价值”迷惑我们,用“宪政民主”扰乱我们,用“颜色革命”颠覆我们,用负面舆论谣翻我们,用“军队非党化、非政治化”和“军队国家化”动摇我们。
在互联网这个战场上,我们能否拒敌于心门之外,直接关系我国意识形态安全和政权安全。这是一场没有刀光剑影却杀机重重的网上舆论战争。当年对付苏联,西方敌对势力采取的手段之一就是意识形态领域的网络渗透。后来在南联盟,在西亚、北非一些国家,他们故伎重演:通过颠覆对象国家的网络平台,采用断章取义、移花接木等手法攻击目标对象,从而以借刀杀人的方式,除掉现实世界的战略对手。
心胜则兴,心败则衰。一个政权的瓦解往往是从思想领域开始的,政治动荡、政权更迭可能在一夜之间发生,但思想演化是个长期过程。思想防线被攻破了,其他防线也就很难守住。我们必须把网上意识形态工作的领导权、管理权、话语权牢牢掌握在手中,任何时候都不能旁落,否则就要犯无可挽回的历史性错误。
然而,与敌对势力长期把持网络舆论主导权,有组织、有目标、有计划、有步骤地实施战略进攻相比,我军少数领导干部还没有在网络大潮中学会“游泳术”,缺乏对网上舆论斗争形势的清醒认识和忧患意识,缺乏在网上“领土”为党为国为军而战的主动意识和担当意识。
加强网上意识形态工作,就是捍卫国家和民族的最高利益,捍卫人民的根本利益。在这场斗争面前,我们不能退也退不起,不能输也输不起。如果不重视网络安全,不把网上意识形态工作摆上位、抓在手,群众就会被敌人拉走,军队就有变质变色的危险。可以说,我们最危险也危险在这个战场,最关键也关键在这个战场。
主战场还是要上主力军。在强国强军的征程上,我军不仅要在有形的传统战场上,坚决维护国家主权、安全和发展利益,也要在无形的网络战场上,坚决捍卫意识形态安全和政治安全,这是我们义不容辞的责任。只有像当年守卫上甘岭那样,铆在意识形态斗争的主阵地、战斗在最前沿,当好网上的“播种机、宣传队”,唤起“红军”千百万,才能在筑牢“网上长城”中当好突击队、生力军,在这场没有硝烟的持久战中顶得住、打得赢。
㈦ 传奇服务器安装防火墙,装什么防火墙,防护软件最好
服务器一般会有两种使用方式,一种是托管的服务器,或者是在IDC租用的服务器,此时需要的是单机防火墙;另外一种是公司学校的局域网服务器,这种一般是作为网络出口的桥头堡,保护整个局域网的安全,这时要使用专门的网关防火墙。
几款单机版防火墙比较适合于拥有IDC服务器的用户:
BlackICE Server Protection , Cyberwall PLUS-SV
KFW傲盾防火墙服务器版.
服务器网关防火墙: ISA Server
㈧ 清远桥头堡战略是什么意思
人家问的是清远,1楼的贴网络上云南桥头堡战略出来干啥?误导提问人啊!
以下是我在清远日报找到的答案,采不采纳没关系,关键是1楼这坑爹回答太气人了:
清远就是桥头堡
为了学习贯彻市第六次党代会精神,帮助广大读者深刻理解市第六次党代会关于全面实施“桥头堡”战略精神,16日,本报邀请社会各界汇聚一堂,就如何全面实施“桥头堡”战略举办论坛。请读者关注。
实施“桥头堡”战略开拓内地市场
林为民(市科协党组书记、副主席)
清远有着得天独厚的区域优势,一头紧临珠三角核心区,一头接壤国内市场腹地,地处珠三角与内地市场的结合部,承外启内,左右逢源,清远完全有条件成为珠三角地区和广大内地市场主体南融北拓的“桥头堡”。因此,葛长伟书记在党代会报告中提出“全面实施‘桥头堡’战略,推动清远经济社会发展实现新跨越”,非常切合当前国际国内经济形势和清远的实际情况。
“桥头堡”在路桥经济研究中,是一个有特定内涵的重要概念。港口的性质、运输线路的便捷和政府部门的定位,是确定“桥头堡”的主要依据。融国际运输中心、金融中心、信息中心为一体的国际商贸中心是桥头堡的主要功能定位。清远提出桥头堡的发展战略,具有划时代的眼光。咬文嚼字地讲,“桥头堡”一词在《现代汉语词典》里有三个意思,其中一个就是泛指作为进攻的据点。所以,“桥头堡”战略不是“守”,反而是进攻的态势。实施“桥头堡”战略突破了清远过去以珠三角为单一参照系的思维定势,着眼于新的历史发展时期和国内外经济发展格局调整的大背景,以更加开阔的视野和更主动的姿态,进一步审视和明晰清远的发展定位,调整我们的发展思路,确立我们今后新一轮发展的战略方向。
实施“桥头堡”战略是加快转型升级,建设幸福清远,实现我市经济社会发展新跨越的重要战略。我们必须紧紧抓住珠三角产业转移的机遇。深化研究与珠三角核心地区产业及城市功能的互补,提升清远的产业层次和城市发展水平,加快与广佛城市圈发展的对接。
另外值得一提的是,在实施“桥头堡”战略过程中,必须重视开拓潜力巨大的内地市场。当前内地有实力的企业正瞄准我市紧临珠三角核心地区的优势位置和相对低廉的要素成本,构建进入珠三角市场的前沿阵地。我们要把内地市场作为我市企业重点开拓的新领域,也把内陆省份的优势产业和企业作为我们招商引资的重要来源。这样来确立我们清远新一轮发展新的部署,才能形成清远新一轮跨越发展的新优势。
清远如何构建“桥头堡”
林海龙(市委党校常务副校长)
“桥头堡”发展战略继承了清远历届政府的发展理念,而且更重要的是有创新。理论创新是一切创新的先导,“桥头堡”战略就是个理论的创新,它标志着我们的发展方式从重视量的增加到重视质的提升。珠三角地区目前的发展空间已经很窄小,必然要扩散转移。清远如何来迎接,以什么优势来吸引珠三角以及内地的企业过来?我们提出“桥头堡”战略,正是为了抢占发展先机。
打造交通基础设施的立体网络,构建交通基础设施的“桥头堡”我们按照“一小时生活圈”的理念和要求,加强高铁、高速公路、北江黄金水道、机场快速等交通基础设施和珠三角的对接,此举将大大促进清远工业、会展业、旅游业、房地产业等现代服务业的大发展。
构建产业集聚,转型升级的“桥头堡”林海龙认为,清远要构建高端产业集聚,转型升级的“桥头堡”。清远经济发展必须与珠三角产业结构优势互补,错位发展。清远不能走珠三角发展的老路,承接珠三角的产业转移要从招商引资转变到招商选资,重点引进战略性新兴产业、绿色节能环保产业,引进产业链条的中高端企业,提高产业的技术含量,如深高速、碧桂园、约克空调、王老吉凉茶等;引进资金和技术改造陶瓷、水泥、再生铜等传统产业。
以城市化为抓手,把清远建设成为宜居、宜游、宜工、宜商的“桥头堡”首先要加快城市化进程。2010年,清远城市化率为47.5%,与全省的66.08%相差甚远。清远要通过发展教育事业,加快和提升工业化水平,发展现代服务业,促进清远城市化和服务水平的提升。按照“两区、两城”的城市定位,清远城市化要与珠三角的城市功能互补,提高城市化水平,争取到2015年城市化率达到55%以上。其次是要提高城市的承载能力。一要建设宜居城市,提高规划的层次和水平,完善城市的功能配套;保护好自然环境,实现绿色发展,这是清远未来发展的最大优势和特色。二要建设人文清远,加强社会管理、教育、文化、卫生以及城市基础设施的配套建设,提升清远的软实力,营造招商引资的软环境,把清远建设成为产业和人才集聚的高地、招商引资的洼地。
加强理论武装
每个新战略的提出,大众在了解和接受上需要一个过程,这要靠宣传(论坛就是一种形式),使各级领导干部、人民群众都明白“桥头堡”的内涵,并且如何实施。各个领域都要有贯彻落实“桥头堡”发展战略的任务和执行。我们还要形成文化的自觉、发展的理论和思路。
实施“桥头堡”战略的路径建设
刘庆国(市委党校主任)
市第六次党代会有一个最新的亮点,就是提出了“桥头堡”战略。以前我们眼睛一直瞄准珠三角,第六次党代会提出的“南融北拓”战略让我们的视野更加广阔。
在讲全面实施“桥头堡“战略的路径建设上,我的观点有三个。
优化环境是全面实施“桥头堡”战略的重要前提。清远是一个后发地区,也是一个新型城市,我们要避免一种“班加鲁尔”现象,即迅速地繁荣起来,又迅速地衰落下去。青山绿水是我们最大的优势,不能破坏。而且,我们还有能源优势,一定要有效利用,避免粗放型。对我市的稀土、水泥的发展,我认为应该谨慎、有序地发展。要避免污染。另外是社会环境,比如我们说的文化要大发展大繁荣,这个我们要抓住契机,毕竟教育和人才是经济发展的一个重要支撑。现在清远只有一个高职院,在提供智力支持,提供高熟练的技工人才方面我们没有优势。清远缺乏人才,与其天南地北的招聘人才,为什么我们不自己培养人才呢?再者,清远的交通环境,从空间来说是有优势的,但交通建设方面需要进一步完善。比如县与县之间,县与镇之间的道路是不好走的。再来是稳定的环境,没有稳定的环境,外来的企业家就难以安心地工作、发展、投资。
转型升级、追求自变是全面实施“桥头堡”战略的关键。我们要谨慎有序地发展传统产业,不能走东莞的老路;大力引进高新产业和世界500强企业;大力发展高端商贸服务业,提升产业的档次;加强自主创新能力,提高竞争能力;引进高端人才,大力发展教育。
注重民生,确保社会的公平正义,是全面实施“桥头堡”战略的重要保证。社科院做过一个调查报告,在10个城市150个富裕家庭、150个贫困家庭里展开一项调查,不管富的还是穷的家庭都对收入不满意。富人说:“我们应该给贫困者提供最基本的医疗、教育等待遇,不然我们感到不安全。”所以说,改善民生是众望所归的。葛书记在参加机关一团的讨论中也多次强调,落实“桥头堡”战略最重要的标准就是“富民强市”,要落实到群众身上。但这并不意味着群众收入高了,幸福感就强了。如果收入高了,但对周围的环境不满意,他的公平得不到伸张,自由得不到发挥、合法权益也得不到保障的话,那么这个社会也是有问题的。因此,只有每个人对自己的生活指数满意了,幸福感上升了,社会的经济发展也肯定会上去了。
开启新思路,适应新战略
刘国华(市委宣传部副部长、市文联主席)
刘国华认为,战略作为指导全局的总方针、总计划,它也应该应历史时期的不同而不同。这次党代会提出一个崭新的、适应当今清远实际的“桥头堡”战略,这是件非常好的事情。
视野要进一步扩大。“桥头堡”战略与扶贫战略、“后花园”战略、“三化一园”战略、“四个化”战略有很大的不同,最大的不同在于,“桥头堡”战略是站在清远建市23年的基础上,审时度势,综合天时地利因素来制定的,这就注定了它的立意比以往任何一个战略的立意都要高,所以我们要全面实施“桥头堡”战略,就要求广大干部群众进一步扩大视野,时时事事都要既看到清远、看到珠三角,还要看到邻近省份,更要看到广大的内地乃至国外。
思维方式要进一步转变。无论是考虑问题、制定政策,还是向上级申请相关的扶助,都要围绕“桥头堡”战略来进行,都要尽力争取珠三角地区跟广大内地的联动,争取做到一石二鸟。同时也要努力避免把“桥头堡”战略单纯地、片面地理解为经济发展战略,而应该理解成今后一段时期,清远经济社会的发展战略,教育、文化、科技、干部培训等方面都要早日实现与“桥头堡”战略的对接和对应。工作作风要进一步改进。要围绕“桥头堡”战略多做深入的、细致的、科学的、合理的调查、分析、研究、可行性论证,为全面实施“桥头堡”战略多进取、多作为、多贡献。
选择取舍要进一步讲究。“桥头堡”战略的提出,要求我们心胸要进一步宽阔,选择取舍都要站在“桥头堡”战略的高度,包括招商项目的选取、确立,重点扶持产业的调研、推销,政策措施的立、改、废等等,都要符合新的历史条件下,清远新的发展定位的性质,都要符合新的发展战略的要求。
体制机制要进一步改革。“桥头堡”战略肯定是要求我们进一步反对保守,不断加大改革开放的力度,那么今后我们的行政体制、用人机制、政绩考核机制等方面,都要围绕怎么样更有利于推进经济社会的转型升级、怎么样跟“桥头堡”战略更加协调,来进行一系列卓有成效的改革。
宣传能力要进一步增强。宣传本身是我们党的一大传统优势,但是宣传要因时而异、因地而异、因人而异、因发展战略的不同而异。清远在“桥头堡”战略中不仅要考虑到邻近的省份,还要迎合中原、西北等省份的口味,宣传的能力、文化的传播能力都要进一步加强,才能强势推进“桥头堡”发展战略。
通江达海的“桥头堡”
黄荣茂(清远市委党校副校长)
站在新的历史起点上的清远,需要一个高屋建瓴的战略,以汇聚八方要素,形成发展合力,持续成为南中国的投资热土。
清远位居广东,襟领东西,贯通南北,具有“桥头堡”的独特优势。
未来8年左右,清远将形成“五纵三横”的高速路网,海陆空立体交通条件具备。清远独特的区位交通条件,具有“桥头堡”的独特优势。正如葛长伟书记在报告中指出的那样,“清远作为粤东西北唯一一个一头紧临珠三角核心区,一头接壤国内市场腹地的地区,地处珠三角与内地市场的结合部,区位优势得天独厚,交通网络四通八达,承外启内,左右逢源。”清远的转型升级需要一个战略支点和超级平台,汇聚八方要素,形成新的增长极。
转型升级需要一个超级平台来聚汇国内外的高质量的要素,形成新的增长极,充分利用华南和珠三角两个不同的资源和优势,内外结合,双向出击,既可以利用珠三角产业、市场、信息,也可以利用华南地区蕴藏的人才、自然资源、技术优势,南北合作,实现互利共赢。珠三角和粤湘鄂赣积累了巨大的经济能量,并处于黄金发展期,清远可以发挥桥头堡的作用,一手挽起珠三角,一手挽起华南腹地。
清远利用“桥头堡”优势,发挥沟通、联系、汇聚、展示、共享功能,开发“两个资源,两个市场”,在“双向开放”中大展拳脚,拓展空间。清远的“桥头堡”作用充分发挥以后,可以沟通占全国五分之
一的经济分量,将为清远转型跨越提供充足的动力,将大大提升清远的发展空间。“桥头堡”战略的核心内容是“南融北拓”。
“南融”就是争取珠三角的入场券,可以借鉴肇庆、惠州的方式,争取“9+1”的方式加入珠三角,和广佛肇一起打造“广清佛肇”城市圈。
“北拓”主要抓好三件大事:一是解决切入产业链高端的技术支撑问题,利用华南地区人才技术密集、科研院所众多的优势,不求所有但求所用,有针对性地形成多层次、宽领域、多元化的技术联盟机制;二是拓展市场空间,开拓华南市场;三是吸引华南腹地及内陆地区高端人才,创新团队,为清远转型升级提供智力保障。
“桥头堡”战略不可忽视三个依据
邹锡恒(市社科联副主席)
党代会报告中提到,清远建市23年,如果说从建市到上世纪末的十几年是打基础,进入新世纪以来的十年经济快速增长,使我市从一个落后的山区市跻身全省经济总量的中游行列、成为粤北山区发展的排头兵,实现了第一次跨越。那么今后五到十年,我们的中心任务是围绕富民强市,加快转型升级,提升产业层次和发展质量,提高人民群众生活水平和幸福指数,实现清远发展的第二次跨越。
邹锡恒认为,第二次跨越的发展模式,与第一次跨越中基本上发展中低端产业为主的生产模式不同,不是将经济作为唯一的考核指标,而以建设幸福清远为核心,加快转型升级的步伐,把工作重点转移到社会管理服务,使经济建设、社会建设、政治建设、文化建设、生态建设和党的建设取得明显成效,并提出今后清远经济社会发展的战略———“桥头堡”战略。“桥头堡“战略的提出,邹锡恒认为必须要参考几个很重要的依据。
第一个依据是《珠江三角洲地区改革发展规划纲要》,里面最重要的精神就是中央赋予广东先行先试这把“尚方宝剑”。
第二个依据是省里对清远城市发展的战略定位———大广州卫星城、环珠三角高端产业成长新区、华南休闲宜居名城。华南休闲宜居名城是在后花园战略上的提升,清远作为桥头堡,在游客集散中心和集散服务方面也是很重要的,依托珠三角这么庞大的一个消费市场,使它的资源和财富流向清远。
第三个依据是主体功能区,根据划分,北部地区是生态发展区,南部地区是重点开发区,那么清远的布局和城市化建设就要做出相应的调整。调整以后,功能区就要通过桥头堡的作用,通过南北吸附和辐射的作用,形成相关的产业,比如都市农业就是城市的米袋子和菜篮子,北部地区最大的优势就是珠三角没有粮食产区,需要外地供应,我们形成一个优质的生产基地,就可以把大量的农副产品吸附过来,流向珠三角城市群,我们的生态农业就可以利用北边的地理气候条件等,生产绿色食品,以质量为优以价格为上。
本版笔谈由:黄慧祯黄蓓茵沈艳莉/整理张大岗/图
㈨ 政治问题。我们应该如何用好互联网,过健康自主的网络生活
一、优化小学生网络生活环境,提高小学生网络生活幸福度
网络这把“双刃剑”在开启一种全新文化空间的同时,正以常人难以想象的速度、力度、深度和广度影响着小学生的生活方式、价值观念、行为方式。面对网络的利弊,学校德育应兴其利、去其弊,在优化小学生网络生活环境,促进小学生身心健康成长方面进行积极探索和实践。一、优化小学生网络生活环境,提高小学生网络生活幸福度
网络这把“双刃剑”在开启一种全新文化空间的同时,正以常人难以想象的速度、力度、深度和广度影响着小学生的生活方式、价值观念、行为方式。面对网络的利弊,学校德育应兴其利、去其弊,在优化小学生网络生活环境,促进小学生身心健康成长方面进行积极探索和实践。
1.硬软环境两手抓
由于小学生的网络生活场所主要是校园和家庭,因此我们首先做的就是通过着力抓软环境建设,在教师、学生、家长三者的价值观中实现两个转变,树立新的网络观。即网络既不是什么“天使”,也不是什么“魔鬼”,它只是人类科学发展的产物,是我们认识改造自然和社会的工具,是师生学习的工具和手段,是我们生活方式和学习方式的一个方面。只要我们信守自己的信念和追求,恪守我们的道德和修养,牢记我们的使命和责任,勿忘小学生的品位与特质,就一定能做到文明上网,绿色上网,实现生命的健康成长。有了这样的科学网络观,教师和家长就能自觉地、有信心地为学生去营造一个生态的、和谐的网络生活环境,从而实现了从原本禁、堵为主的封闭式教育观念转到疏、导为主的开放式教育观念,从被动“救火”型的教育方式转到主动预防型的教育方式这两个转变。
如果说软环境建设是为学生营造了一种良好的网络生活氛围,那么硬环境建设则是让学生真正体验网络生活乐趣的实践基地。因此学校应重点抓好学生网络生活的桥头堡——“校园网”的建设,学校不但要经常向学生推荐优秀网络,如雏鹰网、科普网、中国儿童网、小精灵儿童网、中国公众科普网等对青少年儿童有益的网站,日益完善校园学习、德育、休闲等网站资源,而且还要利用校园网络实现学校管理自动化,如建立基于Moodle平台下的年段、班级信息数字化管理,使学生的学习、生活、成绩、评语、奖惩记录、身体发育等各方面成长轨迹在数字化管理系统中保存完好。学校做到班班有电脑,班班有班级管理网页、学生个人博客,校园大厅、连廊增设数码信息区的电脑数量,鼓励学生在课余积极上网进行探究性学习实践活动。学校分设校级和班级两级管理员并有计划地组织培训,使学生不但能在校园网络资源库中自由驰骋,还能参与校园网络自主管理,真正成为网络生活的小主人。
2.网络生活法制化
小学生年龄小,心智不够健全,往往是冲动多于理智,这就意味着家长和教师在进行科学、文明网络生活引领的同时,还需要基本的强制性他律来规范其行为,需要把法制教育与加强管理和道德教育结合起来。法治与科学化规范化管理,是小学生网络道德形成的基础和起点,也是小学生网络生活幸福的保障。
学习机制:学校在信息技术课上加强对小学生网络知识和技能的教育培训,开展网络小知识竞赛、师生辨论,举办主页设计、打字速度比赛等活动,让学生比较全面地了解网络知识,掌握网络技术,并懂得利用网络去获取知识、搜索信息、促进创新。
诚信机制:学校应定期组织学生开展学习《青少年网络公约》,宣读《中国青少年绿色网络宣言》并进行百人横幅签字,开展绿色网络夏令营等活动,通过教育激发和唤起学生内心的诚信,学生有了诚信内驱力,加上教师、家长的引导和同伴的提醒督促,就能在网络生活中较好地践行网络诚信,为网络的健康有序发展尽小网民应尽职责。
监控机制:学校可在校园网上构筑信息海关,拦截危害小学生的垃圾信息,建立先进的网络监控技术,利用网络自身先进的技术手段加强网络安全防范;学校还可以通过家校联动,为学生网络生活建章立制,指导孩子接触健康网络,现选择有效信息,共同创建一个有良好监督引导机制的网络教育环境。
评价机制:平时学校通过家校联合对学生上网行为进行监督,发现问题及时疏导、纠正,并建立相应的学生网络生活日常行为评价体系;期末学校可在学生成长手册——信息技术这门学科的评价中,把以往“基础知识”和“操作”两项评价改成了“网德表现”、“知识掌握”、“操作规范”三项评价,前一项重点由教师、家长、同伴根据学生在学校、家庭的网络生活态度、行为表现进行自评、互评及综合评议,后两项则由信息技术教师根据学生日常课堂表现综合评定。这样对学生的信息能力综合素养的评价显得更科学、合理。
二、加强学校网络德育队伍建设,提高自身素质和科学引领水平
网络德育队伍是引领小学生网络生活的骨干力量,是一支具有过硬的思想政治教育素质,兼备熟练的网络技术的德育工作者队伍。学校的网络德育队伍一般由班主任、思品教师、信息技术教师组成。他们一方面要加强对学生的正确引导,采取有力的措施,积极控制、净化信息资源,要教育学生正确认识网络,有责任地使用网络;另一方面要重视学生心理素质的培养,了解他们的心理需求,组织各种有益的活动帮助学生摆脱心理困境,提高对网络善恶是非的判断能力。
1.网络德育工作者自身素质提升
学校通过全员培训及理论知识竞赛、实践操作比赛等途径,促进教师先进网络技术和自身网络道德素养的提升,从而使德育工作者具备更强的信息技术能力,拥有更高的信息素养。有了这样一支德才兼备的校园网络德育工作队伍,就能以身垂范做学生网络生活的领路人。
2.网络德育工作者引领水平提升
在学校网络德育工作这支队伍中,往往是班主任、思品教师擅长通过集体谈话、个别谈心、情景创设、行为辨析等方式对学生思想、心理上进行导航,而信息技术教师则侧重从网络知识和技能方面对学生教育普及。为了提高网络德育工作者整体的育人水平,学校则更多的强调教师之间的相互学习、相互融合,并以课题科研论坛的形式促进相互提升,从而能使网络德育工作者从网络中发现更多积极的因素,因势利导,科学引领学生文明、规范上网,养成良好的网络生活习惯,促进学生健康成长。也能科学指导家长如何家校联动,创设良好的家庭网络环境,督促孩子在闲暇时间的上网行为,从小培养学生的网络信息素养。
3.网络道德教育走上正轨
学校通过组建校园网络德育队伍,通过科学、规范地有效培训和引领,使得原本对学生网络信息素养不够全面的局面得以彻底改观。学校把网络道德教育纳入学校的德育工作体系,并且借助网络的先进技术创新德育模式,开辟德育新途径,打开网络环境下学校德育新局面。学校对网络德育这一块工作有计划、有目标,并把班级学生的网络生活日常行为评价考核结果与网络德育队伍教师引领效绩考核挂钩,这样明确的工作方向就能极大地调动教师工作的自觉性、主动性和积极性,使校园网络道德教育走上正轨。
三、拓展教材隐性资源,开发学校网络德育课程
要上网先养德,这如同驾驶员要上路必须先考驾照一样的道理,然综观现实,小学生触网年龄在趋向低龄化,而相应的网络道德教育却呈滞后甚至缺乏现象。为了清扫目前这一德育盲区,学校应在保证原有设置课程不影响的情况下,挖掘整理现用信息技术课程中的德育资源,研究信息技术课德育渗透策略,同时在德育类课程(品生、品社、班队、晨间活动等)中充实网络道德素养教育,努力做到了学校网德教育进课堂。
当然,有条件的话,学校可以以“及时到位的德育关怀和正确引导”为口号,自编小学生网络生活引领教材,其内容体系涉及网络精神教育、网络学习教育、网络法纪教育、网络保健教育、网络休闲教育、网络交往教育、网络安全教育、网络礼仪教育、网络诚信教育、网络情感教育、网络语言教育等。这样,在校的每一位学生都可以接受较系统的网络生活科学引领。自编的网络德育教材内容应根据小学生不同年龄特点分层落实并逐步完善。
四、建立互联德育立体网络,增强网络生活引领实效
学校利用互联网络的快捷性、共享性等优势,克服传统德育网络联系不便,沟通不及时,受时间、空间和人员条件制约、可操作性不强等弊端,使真正的开放式德育立体网络的建立成为可能。
1.建立家长网络学校,利用社区论坛BBS功能,聘请专家或有经验教师担任辅导员,定期上网与学生交流,对学生进行心理。
2.开展网络心理辅导,开发BBS功能,利用E-mail开展网络心理辅导。
3.建立网络德育基地,开展网络综合实践活动,增强学生网上文明操作参与度,增强实践体验,提高德育实效。
4.建立健全学校、年级、班级的三级家长委员会,通过家校、警校、区校文明共建这样“三位一体”的管理机制,相互协调,形成一个网络化管理整体,从而使学校、家庭周边的网络环境得到优化。同时我们正在与中国移动通信公司合作建设的“校信通”管理平台,利用现代信息和通讯技术,通过互联网和移动通讯工具传播和交流学生的学习信息、行为规范信息,构筑学校与家庭和社区联系交流的便捷通道,实现对学生的即时监控和信息反馈。
综上所述,随着网络信息时代的迅速发展,学校教育将进一步关注小学生的网络生活,研究一种符合小学生身心发展的引领模式,本着科学的态度和人文情怀对小学生进行先进网络文化引领,并通过环境创设、实践活动等让小学生加强网络实践体验,增强网络德育内省,积极提升本校小学生“网商”,这是学校教育培养小学生网络生活品质的最终目标和归宿。