時間:2023-06-08 10:58:46
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全服務的價值,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
一、計算機網絡的安全與攻擊
計算機的網絡安全攻擊。計算機的網絡安全是數據運行的重要任務,同時也是防火墻的重點內容。計算機的發展在時代的變遷中更加廣泛,但同時運行過程中的威脅也會影響到計算機的使用。例如:數據方面、環境威脅、外力破壞、拒絕服務、程序攻擊、端口破壞等。計算機網絡的主體就是數據,在數據的運行中如果存在漏洞會給網絡安全帶來很大的隱患,比如在節點數據處若是進行攻擊篡改會直接破壞數據的完整性,攻擊者往往會選擇數據內容進行操作、對其進行攻擊泄露,還可植入木馬病毒等,使得網絡安全成為了問題;環境是網絡運行的基礎,用戶在使用訪問時會使用到網絡環境,而環境卻是開放共享的,攻擊者可以對網絡環境內的數據包進行處理,將攻擊帶入內網以破壞內網的防護功能;外力破壞主要就是木馬、病毒的攻擊,攻擊者可以利用網站和郵箱等植入病毒,攻擊使用者的計算機,導致網絡系統故障;拒絕服務是攻擊者利用系統的漏洞給計算機發送數據包,使得主機癱瘓不能使用任何服務,主要是由于計算機無法承擔高負荷的數據存儲因而休眠,無法對用戶的請求作出反應;程序攻擊是指攻擊者應用輔助程序攻入程序內部,進而毀壞文件數據等;端口攻擊卻是攻擊者從硬性的攻擊路徑著手,使得安全系統出現問題。以上的各種網絡安全問題都需要使用防火墻技術,以減少被攻擊的次數和程度,保證用戶的數據及文件等的安全。
二、網絡安全中的防火墻技術
(一)防火墻技術的基本概念
防火墻技術是保護內部網絡安全的一道屏障,它是由多種硬件設備和軟件的組合,是用來保障網絡安全的裝置。主要是根據預設的條件對計算機網絡內的信息和數據進行監控,然后授權以及限制服務,再記錄相關信息進行分析,明確每一次信息的交互以預防攻擊。它具有幾種屬性:所以的信息都必須要經過防火墻、只有在受到網絡安全保護的允許下才能通過它、并且能夠對網絡攻擊的內容和信息進行記錄并檢測、而且它自身能夠免疫各種攻擊。防火墻有各種屬性,能夠對安全防護的策略進行篩選并讓其通過、能夠記錄數據的信息并進行檢測,以便及時預警、還能夠容納計算機的整體的信息并對其進行維護。而防火墻常用技術主要分為:狀態檢測、應用型防火墻和包過濾技術。前者是以網絡為整體進行研究,分析數據流的信息并將其與網絡中的數據進行區分,以查找不穩定的因素,但是時效性差;應用型的是用來保障內外網連接時的安全,使得用戶在訪問外網時能夠更加的安全;包過濾技術就是將網絡層作為保護的對象,按計算機網絡的協議嚴格進行,以此來實現防護效果。
(二)防火墻的常用功能構件
它的常用功能構件主要是認證、訪問控制、完整、審計、訪問執行功能等。認證功能主要是對身份進行確認;訪問控制功能是能夠決定是否讓此次文件傳送經過防火墻到達目的地的功能,能夠防止惡意的代碼等;完整性功能是對傳送文件時的不被注意的修改進行檢測,雖然不能對它進行阻止,但是能進行標記,可以有效的防止基于網絡上的竊聽等;審計功能是能夠連續的記錄重要的系統事件,而重要事件的確定是由有效的安全策略決定的,有效的防火墻系統的所有的構件都需要統一的方式來記錄。訪問執行功能是執行認證和完整性等功能的,在通過這些功能的基礎上就能將信息傳到內網,這種功能能夠減少網絡邊界系統的開銷,使得系統的可靠性和防護能力有所提高。
三、防火墻的應用價值
防火墻在計算機網絡安全中的廣泛應用,充分的展現了它自身的價值。以下談論幾點:
(一)技術的價值
技術是防火墻技術中的一種,能夠為網絡系統提供服務,以便實現信息的交互功能。它是比較特殊的,能夠在網絡運行的各個項目中都發揮控制作用,分成高效。主要是在內外網信息交互中進行控制,只接受內網的請求而拒絕外網的訪問,將內外網進行分割,拒絕混亂的信息,但是它的構建十分復雜,使得應用不易。雖然防護能力強,在賬號管理和進行信息驗證上十分有效,但是因使用復雜而無法廣泛推廣。
(二)過濾技術的價值
過濾技術是防火墻的選擇過濾,能夠對數據進行全面的檢測,發現攻擊行為或者危險的因素時及時的斷開傳送,因而能夠進行預防并且有效控制風險信息的傳送,以確保網絡安全,這項技術不僅應用于計算機網絡安全,而且在路由器使用上也有重要的價值。
(三)檢測技術的價值
檢測技術主要應用于計算機網絡的狀態方面,它在狀態機制的基礎上運行,能夠將外網的數據作為整體進行準確的分析并將結果匯總記錄成表,進而進行對比。如今檢測技術廣泛應用于各層次網絡間獲取網絡連接狀態的信息,拓展了網絡安全的保護范圍,使得網絡環境能夠更加的安全。
四、總結
隨著計算機網絡的使用愈加廣泛,網絡安全問題也需要重視。而防火墻技術是計算機網絡安全的重要保障手段,科學的利用防火墻技術的原理,能夠更加合理的阻止各種信息或數據的泄露問題,避免計算機遭到外部的攻擊,確保網絡環境的安全。將防火墻技術應用于計算機的網絡安全方面能夠更加有效的根據實際的情況對網絡環境進行保護,發揮其自身的作用以實現保護計算機網絡安全的目的。
計算機碩士論文參考文獻
[1]馬利.計算機網絡安全中的防火墻技術應用研究[J].信息與電腦,2017,13(35):35.
關鍵詞:計算機技術;網絡安全;儲存;云計算
在互聯網信息技術快速發展的背景下,網絡信息安全成為當下主要研究方向之一。云計算技術的有效應用,既為人們的需求帶來較大的便利,同時也為用戶的信息安全帶來了一定的隱患。國家計算機網絡與信息安全管理中心甘肅分中心作為地方網絡安全治理的重要技術支撐單位,為了有效保護全省計算機網絡儲存信息的安全,必須要正確認識云計算技術,科學合理的應用,這樣才能最大化保障數據的安全性[1],并且準確地監測、預警各類網絡安全事件。現為對計算機網絡安全存儲中云計算技術的應用進行探究,本文將對云計算技術的概念及其發展現狀進行論述,繼而對計算機網絡安全存儲中云計算技術所涉及的關鍵技術進行分析,隨后對其相關應用策略進行探究,以供廣大計算機網絡與信息安全管理從業者參考。
1 云計算技術的概念及發展現狀
所謂“云計算技術”,即由分布式計算、網格計算、并行處理等技術發展而來的新型商業計算模型,在實際運作之時,其計算任務一般分布于大量計算機構成的資源池上,令各類應用系統能以實際需求為根據獲取系統實際獲取的計算能力、軟件服務以及存儲空間,并建立網絡服務器集群,為各類用戶提供硬件租借、各種類型的軟件服務、數據存儲、計算分析等各種類型的服務。舉例而言,目前國內普遍使用的幾類在線財務軟件金蝶及用友等等,再例如國外谷歌曾的谷歌應用程序套裝等,這些例子借可歸納入云計算技術的范疇之中,通俗來講,云計算本身便是將本地計算機需求的計算任務“傳送”至云端,由云端處儲備的、運算能力遠超本地計算機能力的計算機群對本地計算機需求的計算任務進行計算,進而將計算結果及其相關資源傳送回本地計算機,這便是最初狹義的“云計算技術”。在發展現狀方面,云計算技術通過其本身與以往模式大不相同的服務模式,在信息技術領域這灘“波瀾不驚”的死水中驚起了漫天“波瀾”,且這“波瀾”一旦出現便幾無休止,因而也在此領域內引起了社會各階層的廣泛關注。在實際應用一段時間后,其本身也逐漸劃分為數大層次――基礎設施安全層次、應用服務器安全層次、云端安全層次等等,由于層次較多,目前云計算技術也呈現出了“綜合性”,而隨著近年來我國社會與科技的不斷進步與發展,云計算技術在網絡安全方面的研究日漸推進,其中,目前國內外在云計算技術方面的建樹主要存在以下案例:一是我國曾創建IBM云計算中心;二是除國家領域的云計算技術應用于網絡安全的成功案例外,許多從事于網絡安全及其相關領域的企業或公司紛紛基于“云計算技術”提出了針對網絡安全的解決方法與策略,如目前在國內外比較出名的360 云、IBM云、Google云及Microsoft云等等。這些案例清楚地向人們展示著“云計算技術”在網絡安全儲存中的發展程度。同樣,這些案例亦成為了將云計算技術應用于網絡安全存儲中的先行者,為云計算技術在網絡安全性中的有效應用做出表率,進而推進網絡安全儲存的發展。
2 計算機網絡安全儲存中云計算技術的關鍵技術
在信息技術和網絡技術快速發展的背景下,人們的需求日益增加且要求越來越多,云計算技術也因此誕生,是網絡信息技術的衍生物,主要通過把各種技術有效整合起來,包括云儲存技術、分布式計算、虛擬技術等等,將網絡中的各種資源整合起來,然后為用戶提供個性化服務,故云計算機數按照供需原則為用戶提供個性化專業服務,隨著社會的發展和人類文明的進步,云計算技術具有良好的發展前景,對推動整個信息行業發展具有重要意義,同時還會掀起信息產業發生革命性的浪潮,促使信息產業各項技術得到有效地創新[2]。所以,在計算機網絡安全儲存中科學合理應用云計算機技術至關重要。
2.1 云計算技術中的身份認證技術
在計算機網絡安全儲存中,身份認證是開啟服務的關鍵鑰匙,身份認證技術具體包括四種技術,分別為口令核對、IC卡的身份驗證、PKI身份認證、Kerberos身份認證,具體如下:(1 )口令核對技術是確保信息安全的關鍵性技術。用戶根據自身的需求在系統中獲取對應的權限然后創建用戶和登陸密碼,在使用過程中,根據系統提示,在登陸窗口輸入用戶的賬號和密碼,一旦通過系統驗證,通過系統驗證即可獲取對應的使用權限;否則視為非法用戶,不能享受服務,在很大程度上保障了用戶信息的安全性[3]。(2 )IC卡的身份驗證主要應用在智能IC卡中。IC卡儲存著用戶的相關信息,包括用戶ID和口令,用戶根據自身的需求,將IC卡插入身份驗證端口,通過對IC卡信息的提取然后輸送到服務器中進行驗證,確認用戶ID與口令是否正確確保了網絡的安全性,IC卡身份驗證最大的優勢在于穩定性較高[4]。(3 )PKI身份認證是在公鑰基礎設施上所研發出一種新型認證技術。利用公鑰把基礎數據經過一定的構造,同時配合秘鑰的使用,才能完成對用戶信息的加密和解密,因此在使用過程中必須要通過秘鑰和公鑰相互作用,才能實現解密的目的。目前PKI身份認證主要是為了維護系統的安全性,且在秘鑰更新、秘鑰備份、恢復機制等功能下使用[5]。(4 )Kerberos身份認證是建立在第三方可行協議之下,不同于上述三種的身份認證技術,享有授權服務器和資源訪問系統的權利。通過加密用戶的口令,才能享受對應的使用權限,然后在使用中進行身份驗證,身份驗證通過獲取系統的合法操作權限,同時享受系統所帶來的服務。
2.2 云計算技術中的云數據加密技術
在計算機網絡安全儲存中,數據加密是根本,也是保護數據安全的關鍵性技術,具體包括對稱加密技術和非對稱加密技術。(1 )對稱加密技術。對稱加密技術包括密鑰、密文、明文、加密和解密等部分,該技術具有較高的解答難度,且具有較高的安全性,但是由于使用相同的密鑰,因此在傳遞和管理過程中很難有效保障其安全性,另外也不具備同時簽名功能。如圖1 所示。(2 )非對稱加密技術。與對稱加密技術而言,非對稱加密技術可以有效彌補其不足之處,從而大大提升了秘鑰在傳遞和管理中的安全性,但是在傳遞與管理中的作用有限,加密解密方面的能力較弱,且復雜性較高,故使用率較低[6]。如圖2 所示。
2.3 云計算技術中的糾刪碼技術
在計算機網絡安全儲存中,分布式儲存系統是一種比較常用的安全存儲系統。由于錯誤代碼的固定位置存在較大差異,且不固定,因此為了有效避免這種問題所帶來的安全性問題,糾刪碼技術得到有效的發展與應用。糾刪碼技術主要包括分組碼、集碼、碼子、監督碼元和信息碼元等重要組成部分。其中最常用的糾刪碼分為級聯低密度糾刪碼、無速率編碼和RS糾刪碼,這些糾刪碼主要應用在計算機網絡安全儲存中,都具有較高的編解碼效率,從而大幅度提升了網絡的質量和安全性[7]。如圖3-4 所示:
3 在計算機網絡安全存儲中加強云計算技術運用的策略
在科學技術全面發展的背景下,云計算技術的誕生和有效應用,在很大程度上促進我國社會經濟的發展,并為人們的生活和工作帶來較多的便利和價值,但同時也帶來了一些問題,尤其是對網絡安全儲存的安全性和準確性。為了有效應用云計算技術,發揮出云計算技術的作用和價值,必須要掌握云計算技術的應用方法,這樣才能有效提高計算機網絡安全儲存的安全性和準確性,并提高云計算技術的作用和價值。
3.1 在可取回性證明算法中加入冗余編碼與糾刪碼
可取回性證明算法在計算機網絡儲存中主要是用來處理和驗證相關數據信息。在可取回性證明算法中通過加入冗余糾錯編碼,實現對用戶身份的準確驗證,從而保障了網絡數據信息的安全性。同樣數據信息查詢必須要進行云端驗證,只有通過驗證,才能實現查詢數據信息的操作,并確認云端數據是否安全。如果用戶在數據信息查詢時,無法通過云端驗證,則不能進行對應的數據信息查詢操作,同時還會導致文件損壞,此時文件的恢復至關重要,可取回性證明算法可有效恢復因無法通過驗證的數據信息。可恢復的數據信息必須要在可取回范圍內,同時使用冗余編碼對損壞數據進行二次利用,從而確保數據信息的完整性和安全性,可取回性證明發生具有較高的數據恢復效果[8]。另外,還能有效檢驗云端數據信息是否完整,并準確定位錯誤數據,分析出具體的地點。數據的恢復離不開冗余編碼技術和糾刪碼技術的有效使用,并保證了系統的安全性和穩定性。可取回性證明算法基本都是根據用戶需求,選擇或者建立對應的安全機制和安全服務類型,滿足用戶的安全技術要求,構建出一套完善的網絡安全信息系統。
3.2 在用戶端和云端中應用
MC-ROMC-R對提高數據管理效率和數據信息控制效果具有重要作用,因此在計算機網絡安全儲存中有效應用OMC-R策略意義重大。(1 )首先使用MC公鑰密碼算法加密。在計算機網絡安全儲存中應用云計算機技術,就會有效降低數據信息的偽裝性,此時可借助MC公鑰密碼算法,提高云端數據信息的偽裝性,實現對隱藏模塊、標記模塊、行為模塊的有效偽裝,實現提高數據信息安全性的目標[9]。(2 )然后計算云端數據,前提是加密和校驗核心數據,防止在應用過程中出現順號問題。加密模版和解密模版是云端算法的主要模版,先根據系統指令操作,然后使用MC公鑰密碼算法加密技術,實現對數據的保存、加密,并將秘鑰上傳到云端中,接著云端對其進行二次加密處理。在使用這些數據時,使用加密程序用秘鑰打開所需數據,在使用解密程度解除加密數據,用戶則可以正確使用對應的數據[10]。
《中國金融電腦雜志》2015年第一期
一、主動式網絡安全聯動機制
傳統的網絡防護技術及產品在保障網絡安全時發揮著各自的作用,但網絡安全不是孤立問題,依靠任何一款單一的產品無法實現,只有將不同廠商、不同功能的產品統一管理,使它們聯動運轉、協同工作,才能充分發揮整體最佳性能,全方位保障網絡安全。
1.聯動概念聯動指在一個系統的各個成員之間建立一種關聯和互動機制,通過這種機制,各個成員自由交換各種信息,相互作用和影響。在主動式網絡安全防御體系中,聯動是一種新型的網絡防護策略。通過聯動策略,防火墻、入侵檢測系統、反病毒系統、日志處理系統等安全技術和產品在“強強組合,互補互益”的基礎上,充分發揮單一產品的優勢,構建最強的防御系統。
2.傳統聯動模型網絡安全聯動機制中較為完善的安全聯動模型有TopSEC模型、入侵檢測產品、防火墻聯動模型和基于策略的智能聯動模型,下面主要介紹基于策略的智能聯動模型(如圖1所示)。該模型中防火墻、VPN、IDS等安全部件,通過智能進行整合,經過部件關聯、智能推理傳送給聯動策略引擎,再根據事先設定好的策略進行聯動,并將最終的策略應用到防火墻、VPN、IDS等安全部件中。
3.主動式網絡安全聯動模型通過部署誘騙系統,吸引攻擊者,記錄攻擊行為,進而分析新型攻擊的特點。同時,通過聯動機制,使模型中的各安全部件協同工作,最終發揮主動性聯動優點,構建一個自適應、動態的主動式防御系統。其中,蜜罐技術是防御體系內各安全部件實現主動式聯動的核心技術。(1)蜜罐技術蜜罐是一種安全概念,美國Project Honeypot研究組的Lance Spitaner將其定義一種安全資源,它的價值就在于被掃描、攻擊和摧毀。蜜罐可以是仿效的操作系統或應用程序,也可以是真實的系統或程序。通過蜜罐技術建立一個誘騙環境,吸引攻擊者或入侵者,觀察和記錄攻擊行為并形成日志,分析日志后追蹤、識別入侵者的身份,進而學習新的入侵規則,主動分析新型攻擊特點,不斷加固自身防御能力。(2)蜜罐技術實現方式如圖2所示,簡單的實現方式是將蜜罐置于防火墻內部,通過防火墻與外部網絡進行連接。蜜罐內部主要由網絡服務、數據收集和日志記錄模塊組成。網絡服務模塊將蜜罐偽裝成正常服務,吸引入侵者對其進行攻擊;數據收集模塊主要捕獲入侵者行為信息,用于分析攻擊者所使用的工具、策略以及攻擊目的等;日志記錄模塊將捕獲到的信息按照一定的格式生成日志文件,并記錄到日志服務器。(3)基于蜜罐技術的主動式安全聯動模型將蜜罐技術融合到傳統安全聯動模型,改進后形成的新模型,讓蜜罐技術處于整個系統的核心地位,使整個安全聯動模型由被動狀態轉變為主動狀態,利用蜜罐技術在整個系統中的自學習、自進化的特點,克服傳統安全聯動模型無法主動捕獲網絡攻擊行為、對未知攻擊防御能力不足的問題。基于蜜罐技術的主動式安全聯動模型(如圖3所示)由防火墻、蜜罐系統、防病毒系統、IDS、策略庫和聯動系統控制中心組成。該模型通過蜜罐誘騙系統不斷學習新的攻擊手段,將處理后形成的新規則及策略上傳至模型策略庫,通過聯動系統控制中心實現防火墻、IDS、反病毒等安全部件協同聯動,及時更新防火墻、防病毒策略和IDS的檢查規則。該模型較好地整合了各種安全防御產品的優點,借助于蜜罐技術“主動誘捕”的特點,提高了安全防御系統對于未知攻擊的捕捉能力。
二、網絡安全防御技術在數據中心的應用與展望
目前,國內大型銀行數據中心普遍使用的網絡安全防御技術是基于網絡監控參數基線的閾值預警方法和入侵檢測系統(Intrusion Detection Systems ,IDS)。閾值預警方法是在基線數值基礎上給予一定的冗余,計算出該監控參數的閾值數值,形成閾值線。當實際運行的數值超出閾值線,說明該監控參數運行異常,可以在事件發生之前提前干預,阻止事件發生,保障網絡服務連續性。這種防御技術支持動態改進,但出現誤報的幾率比較高。IDS主要通過監控網絡系統的狀態、行為以及使用情況,檢測系統用戶越權使用、系統外部入侵等情況。IDS具有一定的智能識別和攻擊功能,在檢測到入侵后能夠及時采取相應措施,是一項相對成熟的防御技術。但IDS主要通過特征庫判斷,面對新型攻擊無法識別,且攻擊識別只能在事中或事后階段進行,本質上仍然是被動防護。在入侵技術越來越成熟的形勢下,采用單一的網絡安全部件如IDS、防火墻、掃描器、病毒查殺、認證等已經滿足不了網絡安全防護的要求,將各種安全部件的功能和優點進行融合、實現聯動互補,進而發揮最大效力將成為必然趨勢。
與上述兩種現有防御技術相比,基于蜜罐的主動式網絡防御技術優勢明顯。基于蜜罐的主動式網絡聯動系統定義簡單,實力卻很強大,使用簡單設備和較少資源即可實現;能夠收集到小數據高價值信息,使得分析信息更容易,從中獲取的價值更大;能夠監控檢測、捕獲攻擊,降低傳統安全防御設備的誤報率和漏報率;適應能力強,可以在多種環境下使用。大型商業銀行數據中心網絡覆蓋范圍廣,若能將主動式網絡防御技術應用于實踐,實現由點及面、全方位檢測病毒動向,主動發現病毒威脅并自動采取應對方案,將有效解決本地和網絡入侵、外部非法接入等隱患,網絡安全防范將取得顯著成效。雖然目前還存在一些尚未解決的難點問題,但隨著新技術、新概念的引入和應用,主動式網絡安全防御將逐步走向實用化,在數據中心網絡安全防護中得到廣泛應用,成為應對網絡威脅的有力武器。
作者:李國金陳佳鶯單位:中國農業銀行股份有限公司數據中心
【關鍵詞】網絡安全技術 現狀分析 實現具體路徑
1 云計算的簡介
云計算就是各類計算為前提,其中主要包含網絡計算以及分布計算,創建出一類新型的計算方式。通過一種新型的具備共同分享性的方式,進行大數據的處理和計算,元計算的關鍵是計算機網絡的全套服務以及相關信息資源的儲存。云計算最主要的特征是:安全的數據儲存功能,對終端設備的標準要求不高、便捷的操作、具有較大的空間進行計算等。所以計算機網絡數據儲存安全維護,換句話說也就是網絡安全,能夠在技術方面以及管理水平層面上使用與計算的基礎方式,保障網絡信息數據的保密性,防止信息泄露或者受到黑客和攻擊者的破壞,最大限度的保障計算機網絡數據的完整性、安全性以及價值方面的安全層次設定。
2 云計算下網絡安全技術使用的價值
在新時期,運用云計算的方式,完成對網絡安全技術的使用,它的作用主要是:
2.1 主要表現在在網絡數據貯存的可信賴方面
不斷深化云計算下網絡安全技術的使用,能夠保證網絡的使用者的私密數據信息不丟失或者泄露。計算機的廣域網與局域網相互融合的模式形成的的數據中心,能夠以不同地域備份和多級互聯網備份為基礎,極大程度上保證計算機網絡使用者的信息安全,在一定程度上防止傳統計算機產生的信息遭到泄露的情況的出現。
2.2 主要表現在多個設備資源共同分享方面,能夠完成安全以及快捷的的共享
網絡安全技術的普遍使用,不但能夠在一定限度內減輕用戶裝備功能上的準則,當使用者的計算機連接到網絡,就能夠快速完成計算機之間的信息、以及軟件的共享。而且在使用者進行共享過程的有關應用時,鑒于提前在使用者信息安全性上實施了繁雜的融合加密手段,信息在網絡下的傳輸過程是以一種密碼保護的情況下開展的,唯有數據傳輸到指定的對象那里,才會以嚴密的使用者權限管理形式和融合密碼的安全驗證,就能夠完成指定用戶的信息共享,強化對網絡數據傳輸安全的保障。
2.3 在云計算環境下,網絡安全技術使用的含義還表現在對網絡安全的檢驗
云計算環境下的網絡安全技術,能夠最大限度的對大型移動終端中的軟件行動實施監督,檢測出網絡中隱藏的木馬程序以及病毒軟件等,經過服務終端的自行判斷以及分析后,為用戶制定相應的解決策略,保證使用者的信息安全。
3 云計算下網絡安全技術的當前狀況解析
其安全技術應用的問題主要包括技術、網絡使用的大環境以及相關的法令制度保護。
(1)技術層面的問題主要是終端服務停止時,用戶的使用受到限制,不能實施對數據和信息的保護。所以,怎么能夠在技術上保證使用者信息的安全,是一個需要快速解決關鍵問題;
(2)計算機網絡使用的環境方面。研究當前的計算機網絡運行環境,找出保護使用者終端計算機非法病毒在網絡上的散布和高效的阻止攻擊者的破壞,是當前網絡安全維護的關鍵問題。由于利益的驅使,黑客的數量逐步增加,然后通過倒賣公司的商業機密獲取經濟利益,以保證某些企業在競爭中處于有利地位。
(3)當前還沒有完善的計算機網絡安全上的法令規章制度的保護,所以攻擊者的行為難以得到制約,造成當前網絡環境的安全受到極大的威脅。
4 云計算下網絡安全技術的具體實現方式
4.1 提高使用者的安全防范思想,明確網絡安全技術發展的戰略目標
(1)深化網絡使用的實名制,確定網絡授予使用權限的對象,從用戶身份上提高網絡安全。防止外界攻擊者的非法入侵造成信息的丟失。
(2)要高效的保障網絡安全技術在使用上的系統準時性,此外還需強化對網絡信息散布方面的監管,針對網絡中的隱秘信息,必須定時審查和不定時的抽檢,對出現的問題要給予高度重視并快速解決,避免出現損失。
(3)使用數字簽名手段的方法,一般需要經過數字簽名的形式,對用戶的身份進行驗證,最大限度維護計算機網絡的安全。
4.2 極大在網絡安全技術上的支持,提升應對網絡安全隱患的處理水平和解決方法
網絡安全技術支持的含義包括網絡應用程序和服務的開發、網絡安全維護體系的規劃及檢驗和數字簽名技術手段的使用。在網絡應用程序和服務的開發方面上,必須高度重視殺毒程序上的安裝以及使用方法,提高計算機在網絡安全上防護能力。
4.3 實施加密的網絡安全上的有關前沿手段
經過應用針對于計算機網絡安全設計的篩選裝備,能夠有效的防止被計算機系統鑒別通過但是但是屬于非法信息和程序。挑選信用優秀的網絡運營商,供應有關的的云服務,保證使用者的信息不在自己的視野范圍內,也可以被專業能力強的企業監管,避免使用者的信息出現泄露的風險。另外,一定要深化使用者對密碼難度上的設置,以防使用者的信息被竊取或者私自篡改。
5 結語
社會的快速穩定發展,使我國的計算機網絡發展極其快速,網絡安全問題在使用中逐步顯現。云計算下的計算機網絡安全也有相當大的問題,主要包括計算機網絡技術水平、管理技能、使用效果等繁雜的、牽涉范疇較為廣泛等因素。本文針對完成云計算下網絡安全手段的使用,提供了具體的實現方法,終極目標是使我國的網絡安全使用環境更加規范化,創建一個管理有效、使用安全網絡秩序。
參考文獻
[1]邵曉慧,季元翔,樂歡.云計算與大數據環境下全方位多角度信息安全技術研究與實踐[J].科技通報,2017(01):76-79.
[2]劉伉伉.云計算環境下入侵檢測技術的研究[D].山東師范大學,2015.
[3]牛海春.基于移動Agent的移動云計算任務遷移機制研究[D].洛陽:河南科技大學,2015.
[4]莫偉志.基于云計算校園網絡信息安全技術的發展分析[J].信息安全與技術,2015(06):44-45+53.
[5]郭琪瑤.云計算技術下的網絡安全數據存儲系統設計[J].電腦知識與技術,2015(35):5-7.
關鍵詞: 蜜罐技術 虛擬蜜罐 定義和分類 關鍵技術 優缺點
1.引言
伴隨著網絡普及與發展,網絡安全問題日益嚴峻。面對不斷出現的新的攻擊方法和攻擊工具,傳統的、被動防御的網絡防護技術越來越無法適應網絡安全的需要,網絡安全防護體系由被動防御轉向主動防御是大勢所趨。作為一種新興的主動防御技術,蜜罐日益受到網絡安全工作者的重視。研究蜜罐及其關鍵技術對未來的網絡安全防護具有深遠的意義。
2.蜜罐的定義和分類
2.1蜜罐的定義
蜜罐(又稱為黑客誘騙技術)是一種受到嚴密監控的網絡誘騙系統,通過真實或模擬的網絡和服務,來吸引攻擊,從而在黑客攻擊蜜罐期間,對其行為和過程記錄分析,以搜集信息,對新攻擊發出預警,同時蜜罐可以延緩攻擊時間和轉移攻擊目標。蜜罐本身并不直接增強網絡的安全性,相反,它通過吸引入侵,來搜集信息。將蜜罐和現有的安全防衛手段,如入侵檢測系統(IDS)、防火墻(Firewall)、殺毒軟件等結合使用,可以有效提高系統安全性。
2.2蜜罐的分類
蜜罐有三種分類方法。
2.2.1從應用層面,可分為產品型和研究型。
2.2.1.1產品型蜜罐。指由網絡安全廠商開發的商用蜜罐,一般用來作為誘餌,把黑客的攻擊盡可能長時間地捆綁在蜜罐上,贏得時間,保護實際網絡環境,也用來搜集證據作為黑客的依據,但這種應用在法律方面仍然具有爭議。
2.2.1.2研究型的蜜罐。主要應用于研究,吸引攻擊,搜集信息,探測新型攻擊和新型黑客工具,了解黑客和黑客團體的背景、目的、活動規律,等等。在編寫新的IDS特征庫,發現系統漏洞,分析分布式拒絕服務攻擊等方面是很有價值的[1]。
2.2.2從技術層面,根據交互程度,可分為以下三種。
2.2.2.1低交互蜜罐。只是運行于現有系統上的一個仿真服務,在特定的端口監聽記錄所有進入的數據包,提供少量的交互功能,黑客只能在仿真服務預設的范圍內動作。低交互蜜罐上沒有真正的操作系統和服務,結構簡單,部署容易,風險很低,所能收集的信息也是有限的。
2.2.2.2中交互蜜罐:不提供真實的操作系統,而是應用腳本或小程序來模擬服務行為,提供的功能主要取決于腳本。在不同的端口進行監聽,通過更多和更復雜的互動,讓攻擊者產生是一個真正操作系統的錯覺,能夠收集更多數據。
2.2.2.3高交互蜜罐。由真實的操作系統來構建,提供給黑客的是真實的系統和服務,可以學習黑客運行的全部動作,獲得大量的有用信息,包括完全不了解的新的網絡攻擊方式。正因為高交互蜜罐提供了完全開放的系統給黑客,帶來了更高的風險,即黑客可能通過這個開放的系統去攻擊其他系統。
2.2.3從具體實現的角度,分為物理蜜罐和虛擬蜜罐。
2.2.3.1物理蜜罐:通常是一臺或多臺真實的在網絡上存在的主機操作,主機上運行著真實的操作系統,擁有自己的IP地址,提供真實的網絡服務來吸引攻擊。
2.2.3.2虛擬蜜罐:通常用的是虛擬的機器、虛擬的操作系統,它會響應發送到虛擬蜜罐的網絡數據流,提供模擬的網絡服務等。
3.蜜罐的關鍵技術
蜜罐的關鍵技術主要包括欺騙技術、數據捕獲技術、數據控制技術、數據分析技術,等等。其中,數據捕獲技術與數據控制技術是蜜罐技術的核心。
3.1欺騙技術
蜜罐的價值是在其被探測、攻擊或者攻陷的時候才得到體現的。將攻擊者的注意力吸引到蜜罐上,是蜜罐進行工作的前提。欺騙的成功與否取決于欺騙質量的高低。常用的欺騙技術有以下五種。
3.1.1IP空間欺騙。
IP空間欺騙利用計算機的多宿主能力,在一塊網卡上分配多個IP地址,來增加入侵者的搜索空間,從而顯著增加他們的工作量,間接實現了安全防護的目的。這項技術和虛擬機技術結合可建立一個大的虛擬網段,且花費極低。
3.1.2 漏洞模擬。
即通過模擬操作系統和各種應用軟件存在的漏洞,吸引入侵者進入設置好的蜜罐。入侵者在發起攻擊前,一般要對系統進行掃描,而具有漏洞的系統,最容易引起攻擊者攻擊的欲望。漏洞模擬的關鍵是要恰到好處,沒有漏洞會使入侵者望而生畏,漏洞百出又會使入侵者心生疑慮。
3.1.3 流量仿真。
蜜罐只有以真實網絡流量為背景,才能真正吸引入侵者長期停駐。流量仿真技術是利用各種技術使蜜罐產生欺騙的網絡流量,這樣即使使用流量分析技術,也無法檢測到蜜罐的存在。目前的方法:一是采用重現方式復制真正的網絡流量到誘騙環境;二是從遠程產生偽造流量,使入侵者可以發現和利用[2]。
3.1.4 服務偽裝。
進入蜜罐的攻擊者如發現該蜜罐不提供任何服務,就會意識到危險而迅速離開蜜罐,使蜜罐失效。服務偽裝可以在蜜罐中模擬Http、FTP、Telent等網絡基本服務并偽造應答,使入侵者確信這是一個正常的系統。
3.1.5 重定向技術[3]。
即在攻擊者不知情的情況下,將其引到蜜罐中,可以在重要服務器的附近部署蜜罐,當服務器發現可疑行為后,將其重定向到蜜罐。還可以使用蜜罐,以及多個蜜罐模擬真正的服務器,當對服務器的請求到來時,利用事先定義好的規則,將請求隨機發送到蜜罐和服務器中的一個,用以迷惑攻擊者,增大攻擊者陷入蜜罐的概率。
3.2數據捕獲技術
如果無法捕獲攻擊者的活動,蜜罐就失去了存在的意義。數據捕獲的目標是捕捉攻擊者從掃描、探測、發起攻擊,直到離開蜜罐的每一步動作。捕獲的數據來自三個層次:防火墻日志、網絡數據流和主機系統內核級的數據提取。第一層數據捕獲由防火墻日志根據設定的過濾規則,記錄入侵者出入蜜罐的行為信息,數據直接放在本地;第二層數據捕獲由入侵檢測系統捕獲網絡原始報文,并放在IDS本地,IDS報警信息可以讓系統管理員了解系統中正發生的狀況;第三層數據捕獲由蜜罐主機完成。主要是主機日志,用戶擊鍵序列和屏幕顯示,這些數據應異地存儲,以防攻擊者發現。隨著加密技術的發展,越來越多的攻擊者開始使用加密工具,保護和隱藏他們的通信。系統內核級的數據提取必須應對入侵者數據加密的情況,目前最先進的技術是開發特殊的內核數據處理模塊來替代系統內核函數,從而記錄下入侵者的行為。
3.3數據控制技術。
數據控制技術既控制數據流,又不引起攻擊者的懷疑。如攻擊者進入蜜罐,但不能向外發起連接,他們就會對系統產生懷疑,而完全開放的蜜罐資源在攻擊者手中會成為向第三方發起攻擊的攻擊跳板。目前數據控制技術主要從以下兩方面對攻擊者進行限制。[3]
3.3.1限制攻擊者從蜜罐向外的連接數量。
傳統的限制方法是通過配置防火墻,設置從蜜罐向外的連接數目,超過數量即中斷連接。這種方法較安全,但易被攻擊者識破。改進方法是將防火墻技術與入侵檢測技術結合,形成入侵檢測控制。即在系統上安裝一個包含已知攻擊模式的簽名數據庫,以檢測捕獲的攻擊是否與數據庫匹配。如果匹配,就切斷連接;如果不匹配,則根據需要設定連接次數。這樣既可以學習更多的未知攻擊,又可以迷惑攻擊者。
3.3.2限制攻擊者在蜜罐中的活動能力。
這包括連接限制、帶寬限制、沙箱技術等較新的技術。連接限制就是修改外出連接的網絡包,使其不能到達目的地,同時給入侵者造成網絡包已正常發出的假象,麻痹攻擊者。帶寬限制即通過控制帶寬利用率和網絡延時,限制入侵者由蜜罐向外發包的能力。這種方法往往使攻擊者認為網絡本身出現了問題,意識不到自己已身陷蜜罐。沙箱技術可對應用進程進行定量限制和定性限制,比如限制CPU的使用率和只允許訪問特定的資源等,這無疑降低了應用程序的訪問能力[5]。實踐證明,若要真正實現既控制數據流,又不引起攻擊者的懷疑的目的,單靠某一種技術是不行的,必須綜合而靈活地使用上述數據控制技術。
3.4數據分析技術。
數據分析包括網絡協議分析、網絡行為分析和攻擊特征分析等。要從大量的網絡數據中,提取攻擊行為的特征和模型是很難的。現有的蜜罐系統都沒有很好地解決使用數學模型自動分析和挖掘出網絡攻擊行為這一難題[4]。
4.蜜罐技術的優缺點
4.1蜜罐的優點。
4.1.1數據價值高。
當今,安全組織所面臨的一個問題就是怎樣從收集到的海量數據中獲取有價值的信息,從防火墻日志、系統日志和入侵檢測系統發出的警告信息中收集到的數據的量非常大,從中提取有價值的信息很困難。蜜罐不同于其他安全工具,每天收集到若干GB的數據,大多數Honeypot每天收集到的數據只有幾兆,并且這些數據的價值非常高,因為蜜罐沒有任何產品型的功能,所有對它的訪問都是非法的、可疑的。
4.1.2資源消耗少。
當前大多數安全組織所面臨的另一個難題就是有時會由于網絡資源耗盡,因而導致安全措施失去了作用。例如,當防火墻的狀態檢測表滿的時候,它就不能接受新的連接了,它會強迫防火墻阻斷所有的連接。同樣入侵檢測系統會因為網絡流量太大,使其緩沖區承受不起,所以導致IDS丟失數據包。因為Honeypot只需要監視對它自己的連接,需要捕獲和監視的網絡行為很少,很少會存在網絡流量大的壓力,所以一般不會出現資源耗盡的情況。我們不需要在充當蜜罐的主機的硬件配置上投入大量的資金,只需要一些相對便宜的計算機,就可以完成蜜罐的部署工作。
4.1.3實現簡單。
部署一個蜜罐,不需要開發復雜和新奇的算法,不需要維護特征數據庫,不需要配置規則庫。只要配置好蜜罐,把它放在網絡中,就可以靜觀其變。
4.2蜜罐的缺點。
4.2.1數據收集面狹窄。
如果沒有人攻擊蜜罐,它們就變得毫無用處。在某些情況下,攻擊者可能識別出蜜罐,就會避開蜜罐,直接進入網絡中的其他主機,這樣蜜罐就不會發現入侵者已經進入了你的網絡。
4.2.2有一定風險。
蜜罐可能會把風險帶入它所在的網絡環境。蜜罐一旦被攻陷,就有可能成為攻擊、潛入或危害其他的系統或組織的跳板。
5.結語
蜜罐技術的出現為整個安全界注入了新鮮的血液。它不僅可以作為獨立的信息安全工具,而且可以與其他安全工具協作使用,從而取長補短,對入侵者進行檢測。蜜罐可以查找并發現新型攻擊和新型攻擊工具,從而解決了入侵檢測系統和防火墻中無法對新型攻擊迅速做出反應的問題。蜜罐系統是一個有相當價值的資源,特別是對潛在的攻擊者和他們所使用工具相關信息的收集,沒有其他的機制比蜜罐系統更有效。
參考文獻:
[1]翟繼強,葉飛.蜜罐技術的研究與分析.網絡安全技術與應用,2006,(4):15-17.
[2]胡文廣,張穎江,蘭義華.蜜罐研究與應用.網絡安全技術與應用,2006,(5):48-49.
信息安全時代,大數據平臺承載了巨大數據資源,必然成為黑客組織、各類敵對勢力網絡攻擊的重要目標。因此,大數據時代的網絡安全問題,將是所有大數據利用的前提條件。與此同時,我們也可以利用大數據技術來提升我國網絡安全技術水平,在保障國家網絡空間安全方面發揮作用。
大數據時代
網絡安全的主要威脅
大數據時代,我國網絡安全面臨著多重安全威脅。
首先,網絡基礎設施及基礎軟硬件系統受制于人。大數據平臺依托于互聯網面向政府、企業及廣大公眾提供服務,但我國互聯網從基礎設施層面即已存在不可控因素。
另外,我國對大數據平臺的基礎軟硬件系統也未完全實現自主控制。在能源、金融、電信等重要信息系統的核心軟硬件實施上,服務器、數據庫等相關產品皆由國外企業占據市場壟斷地位。
其次,網站及應用漏洞、后門層出不窮。據我國安全企業網站安全檢測服務統計,我國高達60%的網站存在安全漏洞和后門。可以說,網站及應用系統的漏洞是大數據平臺面臨的最大威脅之一。而我國的各類大數據行業應用,廣泛采用了各種第三方數據庫、中間件,但此類系統的安全狀況不容樂觀,廣泛存在漏洞。更為堪憂的是,各類網站漏洞修復的情況難以令人滿意。
第三,系統問題之外,網絡攻擊手段更加豐富。其中,終端惡意軟件、惡意代碼是黑客或敵對勢力攻擊大數據平臺、竊取數據的主要手段之一。目前網絡攻擊越來越多地是從終端發起的,終端滲透攻擊也已成為國家間網絡戰的主要方式。另外,針對大數據平臺的高級持續性威脅(簡稱APT)攻擊非常常見。APT攻擊非常具有破壞性,是未來網絡戰的主要手段,也是對我國網絡空間安全危害最大的一種攻擊方式。近年來,具備國家和組織背景的APT攻擊日益增多,毫無疑問,大數據平臺也將成為APT攻擊的主要目標。
以大數據技術
對抗大數據平臺安全威脅
由上述分析可知,針對大數據平臺這種重要目標的網絡攻擊,其技術手段的先進性、復雜度、隱蔽性和持續性,以及背后的支持力量,都已超出了傳統網絡安全技術的應對能力。全球網絡安全行業都在研究探討應對這種高級威脅的新型技術體系,大數據技術成為其中重要的方面。包括360公司在內的互聯網安全企業,已經在利用大數據技術提供各種網絡安全服務,為提升大數據平臺的安全保障,增強國家網絡安全空間的安全防衛能力提供有力的支持。
利用大數據技術應對DNS安全威脅,積極推動基礎軟硬件自主控制。以DNS為例,作為互聯網基礎設施,我國首先應積極爭取獲得域名服務器的運營管理權,構筑完整的安全防范體系。另外,我們應該積極利用大數據技術,研發高性能、抗攻擊的安全DNS系統。依托大數據技術建立DNS應急災備系統,緩存全球DNS系統的各級數據。同時還可以利用DNS解析的大數據來分析網絡攻擊。
盡管在國家推動和產業參與下,我國在自主可控的基礎軟硬件產品的研發方面取得了一定成效。但由于我國在該領域起步較晚,在大數據時代,以操作系統等基礎軟硬件的國產化和自主知識產權化,仍然需要政府的推動、企業的投入和科研院校的參與,更有必要依托大數據技術實現研發數據的共享。
利用大數據技術防護網站攻擊,定位攻擊來源。一方面,開發并優化網站衛士服務。我國安全公司已針對網站漏洞、后門等威脅推出了相應的網站安全衛士服務,能夠利用大數據平臺資源,幫助網站實現針對各類應用層入侵、DDoS/CC流量型攻擊、DNS攻擊的安全防護,同時向網站提供加速、緩存、數據分析等功能。同時通過對海量日志大數據的分析,可以挖掘發現大量新的網站攻擊特征、網站漏洞等。另一方面,通過對日志大數據進行分析,還能進一步幫助我們溯源定位網站攻擊的來源、獲取黑客信息,為公安部門提供有價值的線索。
利用大數據技術防范終端惡意軟件和特種木馬、檢測和防御APT攻擊。基于大數據和云計算技術實現的云安全系統,可以為防范終端特種木馬攻擊起到有力的支持。目前我國的安全公司已經在為有關部門提供支持,利用其云安全系統的大數據資源,幫助有關部門分析定位終端特種木馬的分布、感染的目標終端,以及分析同源的特種木馬,為有關部門工作提供了有力的支持。
為了對抗APT攻擊,我們可以采用大數據分析技術研發APT攻擊檢測和防御產品。此類產品可以在大時間窗口下對企業內部網絡進行全流量鏡像偵聽,對所有網絡訪問請求實現大數據存儲,并對企業內部網絡訪問行為進行建模、關聯分析及可視化,自動發現異常的網絡訪問請求行為,溯源并定位APT攻擊過程。
另外,我國還應建立國家級APT防護聯動平臺。當前, 我國重要信息系統具有相互隔離、孤立的特點,針對APT攻擊難以形成關聯協同、綜合防御的效應,容易被各個擊破。因此,在重要信息系統單位部署APT攻擊檢測產品的基礎上,非常有必要建立國家級的APT防護聯動平臺,匯聚不同政府部門、重要信息系統中部署的APT防護產品所檢測的安全事件及攻擊行為數據,對其進行大數據分析挖掘,從而形成國家級針對APT攻擊的全面偵測、防護能力。
大數據時代網絡安全的建議
鑒于大數據資源在國家安全方面的戰略價值,除在基礎軟硬件設施建設、網絡攻擊監測、防護等方面努力之外,針對國內大數據服務及大數據應用方面還有如下建議。
對重要大數據應用或服務進行國家網絡安全審查。對于涉及國計民生、政府執政的重要大數據應用或服務,應納入國家網絡安全審查的范疇,盡快制定明確的安全評估規范,確保這些大數據平臺具備嚴格可靠的安全保障措施。
合理約束敏感和重要部門對社交網絡工具的使用。政府部門、央企及重要信息系統單位,應避免、限制使用社交網絡工具作為日常辦公的通信工具,并做到辦公用移動終端和個人移動終端的隔離,以防止國家重要和機密信息的泄露。
敏感和重要部門應謹慎使用第三方云計算服務。云計算服務是大數據的主要載體,越來越多的政府部門、企事業單位將電子政務、企業業務系統建立在第三方云計算平臺上。但由于安全意識不夠、安全專業技術力量缺乏、安全保障措施不到位,第三方云計算平臺自身的安全性往往無法保證。因此,政府、央企及重要信息系統單位,應謹慎使用第三方云服務,避免使用公共云服務。同時國家應盡快出臺云服務安全評估檢測的相關規范和標準。
嚴格監管、限制境外機構實施數據的跨境流動。對于境外機構在國內提供涉及大數據的應用或服務,應對其進行更為嚴格的網絡安全審核,確保其數據存儲于境內的服務器,嚴格限制數據的跨境流動。
關鍵詞 內部網絡;安全防范;企業
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)83-0207-02
1 企業內部網絡的安全現狀
傳統的企業網絡安全防范主要都是對網絡病毒、系統漏洞、入侵檢測等方面加以設置,安全措施和相關配置通常都在網絡與外部進行連接的端口處加以實施,采取這樣的網絡安全防范雖然能夠降低外部網絡帶來的安全威脅,但卻忽視了企業內部網絡潛在的安全問題。
目前,企業內部網絡的安全問題的嚴重程度已經遠遠超過了外部網絡帶來的安全威脅,企業內部網絡的安全威脅成為了企業信息安全面臨的重大難題。但是,由于企業管理人員的網絡安全防范意識不強,對于企業內部網絡的安全問題不夠重視,甚至沒有對企業內部網絡采取任何安全防范措施,因此導致了企業內部網絡安全事故不斷增加,給企業帶來了重大經濟損失和社會負面影響,怎樣能夠保證企業內部網絡不受到任何威脅和侵害,已經成為了企業在信息化發展建設過程中亟待解決的問題。
2 企業內部網絡的安全威脅
隨著計算機技術和網絡技術的飛速發展,企業內部網絡是其信息化建設過程中必不可少的一部分。而且,網絡應用程序的不斷增多也使得企業網絡正在面臨著各種各樣的安全威脅。
2.1內部網絡脆弱
企業內部網絡遭到攻擊通常是利用企業內部網絡安全防范的漏洞實現的,而且,由于部分網絡管理人員對于企業內部網絡安全防范不夠重視,使得大部分的計算機終端都面臨著嚴重的系統漏洞問題,隨著內部網絡中應用程序數量的日益增加,也給計算機終端帶來了更多的系統漏洞問題。
2.2用戶權限不同
企業內部網絡的每個用戶都擁有不同的使用權限,因此,對用戶權限的統一控制和管理非常難以實現,不同的應用程序都會遭到用戶密碼的破譯和非法越權操作。部分企業的信息安全部門對于內部網絡的服務器管理不到位,更容易給網絡黑客留下可乘之機。
2.3信息分散
由于部分企業內部網絡的數據存儲分布在不同的計算機終端中,沒有將這些信息統一存儲到服務器中,又缺乏嚴格有效的監督控制管理辦法。甚至為了方便日常辦公,對于數據往往不加密就在內部網絡中隨意傳輸,這就給竊取信息的人員制造了大量的攻擊機會。
3 企業內部網絡安全防范設計方案
3.1網絡安全防范總體設計
即使企業內部網絡綜合使用了入侵檢測系統、漏洞掃描系統等防護手段,也很難保證企業內部網絡之間數據通信的絕對安全。因此,在本文設計的企業內部網絡安全防范方案中,部署了硬件加密機的應用,能夠保證對企業內部網絡中的所有數據通信進行加密處理,從而加強企業內部網絡的安全保護。
3.2網絡安全體系模型構建
企業內部網絡安全體系屬于水平與垂直分層實現的,水平層面上包括了安全管理、安全技術、安全策略和安全產品,它們之間是通過支配和被支配的模式實現使用的;垂直層面上的安全制度是負責對水平層面上的行為進行安全規范。一個企業內部網絡安全體系如果想保持一致性,必須包括用戶授權管理、用戶身份認證、數據信息保密和實時監控審計這四個方面。這四個方面的管理功能是共同作用于同一個平臺之上的,從而構建成一個安全可靠、實時可控的企業內部網絡。
1)用戶身份認證
用戶身份認證是保證企業內部網絡安全穩定運行的基礎,企業內部網絡中的用戶身份認證包括了服務器用戶、網絡設備用戶、網絡資源用戶、客戶端用戶等等,而且,由于網絡客戶端用戶數量龐大,存在著更多的不安全、不確定性,因此,對于網絡客戶端用戶的身份認證至關重要。
2)用戶授權管理
用戶授權管理是以用戶身份認證作為基礎的,主要是對用戶使用企業內部網絡的數據資源時進行授權,每個用戶都對應著不用的權限,權限代表著能夠對企業內部網絡中的某些資源進行訪問和使用,包括服務器數據資源的使用權限、網絡數據資源使用權限和網絡存儲設備資源使用權限等等。
3)數據信息保密
數據信息保密作為企業內部網絡中信息安全的核心部分,需要對企業內部網絡中進行數據通信的所有數據進行安全管理,保證數據通信能夠在企業內部網絡中處于一個安全環境下進行,從而保證對企業內部網絡信息和知識產權信息的有效保護。
4)實時監控審計
實時監控審計作為企業內部網絡中必不可少的部分,主要實現的是對企業內部網絡的安全的實時監控,定期生成企業內部網絡安全評估報告,一旦企業內部網絡出現安全問題時,能夠及時匯總數據,為安全事故的分析判斷提供有效依據。
4結論
目前,關于企業內部網絡的安全防范問題一直是網絡信息安全領域研究的熱點問題,越來越多的企業將辦公系統應用于企業內部網絡中,但是由于企業工作人員的安全防范意識不強,或者網絡操作不規范,都給企業內部網絡帶來了更多的安全威脅。本文提出的企業內部網絡安全防范設計方案,能夠有效解決多種內部網絡的安全問題,具有一定的實踐應用價值。
參考文獻
近年來,全球頻發網絡安全事件。2015年5月,蘭德公司對6000余名美國成年人展開了一項調查,結果顯示:在2014年6月到2015年6月,26%的被調查者收到過個人信息遭泄露的通知。蘭德公司據此預測:僅過去一年,美國就有6400萬成年人的個人信息遭到泄露――這相當于超過1/4的美國成年人口。
針對日益突出的網絡安全問題,蘭德公司2016年6月發表了題為《網絡犯罪:你需要知道什么》的文章,對該公司今年的若干網絡安全系列報告進行了梳理和總結,主要從網絡黑客和防御者角度出發,探討網絡犯罪的現狀、網絡防御工作的困境及未來走向。
“網絡黑市”熱鬧而隱秘
蘭德公司的研究人員將售賣網絡犯罪工具和用戶信息的市場,形容為一個熱鬧的“集市”。在這個“網絡黑市”中,黑客和其他網絡犯罪者像商人一樣販賣各種服務與產品,并通過隱秘的聊天室或論壇接頭和交易。購買者可以很容易地在黑市里找到任何想要的東西:用戶的醫療記錄、可供雇傭的黑客、惡意軟件開發工具包、僵尸網絡病毒、勒索軟件等等。 據蘭德公司估算,目前“網絡黑市”的價值至少有數十億美元。
“網絡黑市”的內部運作復雜有序,且組織嚴密。在黑市中,參與者們分工明確、層級分明,包括維持秩序的管理員、從事犯罪工具研發的專家、中介、供應商、中間商、普通成員等。此外,黑客們按照專長不同,甚至已經打出了自己的“品牌”。俄羅斯的黑客們以提供高質量的產品與服務聞名;越南和中國的黑客群體分別主攻電子商務和知識產權領域;而美國的黑客們則主要從事金融犯罪。
蘭德公司在今年的網絡安全系列報告之一――《網絡犯罪工具與數據失竊的市場》中估算,目前,“網絡黑市”的價值至少有數十億美元。而造成“網絡黑市”迅猛發展的原因主要有三方面:
第一,“網絡黑市”的門檻相對較低。無論是黑客還是購買者,都可以通過互聯網較為容易地進入市場進行買賣。因此,相比非法藥品交易等犯罪市場而言,“網絡黑市”相關產品和服務的供應量和需求量都有增無減。
第二,大多“網絡黑市”所提供的產品和服務都能通過互聯網即時送達,這節省了運輸費用,從而降低了成本,使網絡犯罪成為“高盈利”的犯罪領域。
第三,如上文所述,“網絡黑市”擁有嚴密的組織形式,且市場運營嚴格遵守相關規章制度。蘭德公司的研究人員認為,“網絡黑市”在這方面甚至超越了許多合法市場。
網絡防御者的困境
為保護網絡安全,政府和企業每年都投入了大量資金。《網絡犯罪:你需要知道什么》一文估測:現在全世界每年在網絡安全領域的總投入約800億美元。然而,大量投入并不意味著實現了成功的網絡防御。
無論是從企業還是從政府的角度來看,較為成功的網絡防御就是將網絡安全的成本最小化,即把投入網絡安全領域的資源以及遭受網絡攻擊的損失,都降到最低。可是,蘭德公司的研究人員在對18名大型企業首席信息安全官進行調查采訪后發現,實際上網絡防御者們普遍面臨著這樣困境:他們不知道目前投入在網絡安全領域的資源(包括資金、人員配備等)是否夠用。這主要體現在兩方面――
首先,在網絡攻擊真正到來之前,信息安全官很難預估其可能帶來的損失。如何在“將投入最小化”和“將損失最小化”之間找到一個最理想的平衡點,成為一大難題。在蘭德公司的采訪中,沒有一位信息安全官可以清晰地闡釋“為什么將投入金額定為某一個具體數字”這類問題。甚至有信息安全官悲觀地表示,他們只有在又一次網絡攻擊成功之后,才知道此前投入的資金依舊不夠。
其次,相比于網絡攻擊帶來的直接經濟損失,名譽與公信力的受損才是政府和企業最為擔憂的事情。蘭德公司的文章中指出,由于涉及到名譽問題,許多政府和企業不惜斥巨資未雨綢繆。然而,這些防御投入是否必要,卻有待商榷。
以2014年摩根大通銀行賬戶泄露事件為例。盡管當時有約8000萬個客戶的信息遭遇泄露,但黑客們所做的只是將用戶的賬戶名稱、電話號碼和住址等信息收集起來。截止到2014年底,沒有任何關鍵信息被盜,也沒有任何賬戶被攻擊或者資金被轉移。這次事件并沒有造成實際的經濟損失,可摩根大通卻因為沒能保護好客戶信息,名譽大受影響。目前,摩根大通每年在網絡安全方面的投入是2.5億美元,且還有繼續增加的趨勢。
其實,許多時候網絡攻擊的風險往往被企業過分夸大,導致一樁無害的信息泄露事件也會引起極度恐慌。正如蘭德公司的高級管理學家、網絡安全系列報告作者之一馬丁?利比奇(Martin Libicki)所說:“許多網絡安全方面的花費都是出于我們的恐懼,但實際上,我們所恐懼的事情卻很少發生。”
網絡安全形勢愈加復雜
面對網絡犯罪市場和網絡防御工作的現狀,蘭德公司的研究人員在《網絡犯罪:你需要知道什么》一文中拋出了一個我們都無法回避的問題:網絡安全的未來將是怎樣的?
顯然,未來的網絡安全形勢將更為復雜。隨著物聯網的發展,除了手機和筆記本電腦,醫療設備、家用恒溫器,甚至是廚房用品都將逐步實現在線互聯功能。根據全球權威IT研究與咨詢公司高德納(Gartner)的預測:到2020年,聯網設備的數量將是全球人口數量的三倍。這意味著:每一個設備都有可能成為黑客們攻擊的目標,而這將為網絡防御工作帶來極大的挑戰。
關鍵詞:云計算 網絡安全 技術升級 實現路徑
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2015)04-0193-01
云計算是建立在互聯網基礎上的資源整合計算技術,將全部計算資源進行集中整合,通過云軟件進行統一的數據管理。在云計算環境下,用戶不用對底層問題進行考慮,而是專注于自身需求的達成。在云計算環境下,用戶資源具有無限延展性,信息使用不受時間地點限制,費用低廉,對于管理成本的下降以及運營成本控制起到了積極促進作用。但是在實際操作中,云計算的應用為網絡安全技術帶來的更大挑戰,而對這一問題進行研究有著積極的實踐意義和應用價值。
1 云計算環境下網絡安全威脅分析
1.1 網絡因素
在云計算環境下,由于網絡攻擊造成服務器運營失效,進而出現數據傳輸風險,風險類型主要有如下幾種:第一,數據被竊取。用戶數據在云環境下被竊取盜用或者監聽,使個人信息以及數據安全面臨巨大風險。第二,數據被篡改。云環境下未經用戶授權而對其數據進行篡改或刪除,使數據完整性受到破壞。第三,攻擊服務器。利用云計算BUG向服務器提出過獎數據請求,進而使服務器拒絕服務,極有可能造成用戶數據嚴重破壞。
1.2 存儲因素
數據存儲方面的威脅主要表現在以下幾個方面:第一,由于用戶數據保密措施不到位,一旦計算機遭遇惡意攻擊,將使數據安全受到極大威脅。第二,存儲介質被攻擊方控制,進而造成數據篡改、泄漏等。第三,由于數據備份缺失,一旦遭遇數據損壞,很難得到完整恢復。
1.3 身份認證及訪問限制因素
身份認證風險一般有三項,首先,對合法用戶已經認證的信息進行盜取,造成用戶信息泄漏,數據安全難以保障。第二,通過第三方信息服務設備盜取用戶信息,同樣會使用戶信息遭到破壞。第三,用戶利用非常規手段進行信息操作后,否認操作行為,出現身份抵賴現象。
同時,由于訪問限制因素,也會造成用戶信息受到威脅。對于第三方服務器進行惡意攻擊,造成攻擊者得到非法授權,并以此實現用戶數據破壞,或者對用戶正常使用造成干擾。再者,合法用戶利用非法權限進行操作,使數據信息的私密性、完整性受到威脅。再加上非法入侵者利用推理通道越權操作,造成用戶數據安全性下降。
1.4 虛擬環境與審計因素
云計算是依托虛擬環境構建的計算空間,不設置邊界安全,而是以防火墻以及數據監測等形式保障數據安全。在云計算領域,用戶以租用形式換取相應資源,在統一物理空間內,會有若干數量的虛擬機合租者,多用戶機制如果監管不到位,會造成數據安全隱患增加。
而在數據安全審計中,由于審計功能遭遇惡意關閉,或者被用戶主動關閉,都會造成運營日志缺失,從而使審計功能難以發揮應用作用。而審計記錄不清晰、有歧義,記錄不全等,也使系統無法獲得用戶的規范操作日志,進而為數據審計增加難度。
2 云計算環境下網絡安全防御措施
2.1 強化技術監督措施
通過一定的技術監控,能夠保障云計算環境下的用戶安全,通過安全孔家的構架,實現穩定、暢通、安全的云環境,主要技術手段有以下幾種:第一,及時更新軟件,消除軟件BUG造成的安全風險。第二,建立針對云計算體系的安全防御構架,實現風險事前防御。第三,以虛擬運行環境為基礎,進一步完善數據隔離制定,消除統一虛擬空間的多個服務器之間的惡意攻擊。第四,強化安全技術的研發和運營,例如“云加密”和“謂詞加密”技術的應用。根據存儲中存在的數據風險,建立起相應的數據存儲安全空間,從而保障數據存儲介質具有高度安全性。
2.2 完善身份認證以及訪問監控機制
對于由身份認證造成的威脅,可以將第三方認證體系的完善作為基礎,從而構建起更為多樣化的認證方式。利于引入指紋以及語音技術進行認證,利用電子口令建立安全防線,在CA服務基礎上進行安全認證,利用智能卡認證等,并建立有效的審計失敗監控,對于非法認證,要及時監督發現并進行追蹤。
在訪問安全控制中,要贏得那個進一步完善訪問控制機制,建立更為安全、穩定的云環境。由于在云空間內同時存在若干類型用戶,不同用戶的權限與空間功能需求具有明顯差異,尤其是在不同云環境下,同一用戶的權限也會發生不同變化。因此,在訪問控制方面需要建立更為完善的控制機制,便于用戶針對自身權限進行角色配置,從而消除訪問監控不利造成的網絡風險。
2.3 審計與網絡環境監測
建立完善的信息審計機制以及入侵檢測機制,對用戶的操作行為進行全面、客觀記錄,并能夠針對信息記錄進行日志分析,如果用戶出現非法操作,能夠及時發現并非報警追蹤。在審計制度的建立上,應當注重內部和外部的整合性,并且在用戶數據保密、完整的基礎上,建立起更為安全的、不可抵賴性的風險防御機制。
在網絡安全控制中,數據傳輸應當遵循網絡安全的相關協議,保證用戶數據安全不受破壞。在數據傳輸過程中,要采用更為嚴格的加密措施,對數據進行相應加密,避免在傳輸過程中數據泄漏。在網絡環境下建立起信任過濾模式,使網絡安全防御更為系統化和規范化,利用新型網絡安全工具實現低風險操作。
3 結語
云計算是網絡技術發展升級的必然需求,對互聯網的利用和發展有著劃時代的推動價值。雖然在現階段網絡應用中還存在一些漏洞和問題,但是,隨著網絡科技與云技術的不斷完善,這一性能優越、成本低廉的高科技形式必然會有更為廣闊的應用空間,云環境下的網絡安全技術也將得到長足發展,為公眾提供更為便利的信息使用環境。
參考文獻
[1]曾志峰,楊義先.網絡安全的發展與研究[J].計算機工程與應用,2000(10).
關鍵詞:校園網;數據中心;網絡安全
中圖分類號:TP393.08
本項目涉及的是某高校校園網的升級改造。近年來,隨著學校校園網應用的不斷增加,原學校核心網壓力越來越大。同時,隨著新的教學模式的應用,如很多學科視頻應用逐漸常規化,大量的視頻及圖像數據流對原校園網中服務器、存儲及核心網絡設備性能都提出了更高的要求,另外校園網的網絡安全也日益成為焦點。因此,該校決定對原有校園網進行改造。
1 項目需求
在此次校園網升級改造中,該校決定將各系業務進行整合,并建設一個獨立、高性能的數據中心。通過數據中心統一為全校提供靈活、高效的業務支撐,滿足各院系差異化需求,并保留未來強大的擴展能力。
由于新建立的數據中心需要為全校的各種視頻、網絡教學等關鍵業務提供服務,因此對數據中心服務器、存儲及網絡設備的性能和可靠性提出了很高的要求。
具體要求:
(1)數據中心服務器配置了大量高性能千兆網卡,因此要求新建數據中心網絡能夠滿足高密度千兆速率接入需求。
(2)新建數據中心網絡要求具備接口擴展等數據中心特性,以適應未來發展需求。
由于此次改造的重點是數據中心,因此對網絡安全也提出了相應的要求:
(1)防御來自網絡外部的DDoS攻擊,保障數據中心的可用性。
(2)對應用層攻擊進行預防和阻止。
(3)攻擊防范及訪問控制,抵御來自外部的各種攻擊;在校園內部根據部門的不同安全區域、級別進行隔離。
(4)高密度部署,具備虛擬化能力,低成本地滿足校園各部門專屬安全防護的需要。
2 項目解決方案
通過對客戶需求及應用場景的深入分析,最終將該公司數據中心建設的關注點放在了數據中心網絡安全防護上。經過分析最終選定華為公司為運營商。
通過對數據中心的分析,目前對數據經中心的安全需求基本包括以下方面:
數據中心鏈路普遍采用10G鏈路,將要向40G/100G鏈路進行遷移,同時,數據中心的發展,使得大二層數據中心快速發展,東西向流量的交換集中匯聚到數據中心核心交換機,這種趨勢必然要求信息安全產品需要有更高的處理能力,低性能的網絡安全防護產品如FW/IPS等必制約了數據中心的平滑升級;
數據中心的發展規模越來越大,業務越來越多,數據中心數據價值也越來越高,各種對數據的攻擊也日新月異,攻擊呈現持續性、高流量、異變性等,如何防護這些種類繁多的攻擊行為要求防護產品的快速反應和高性能的處理能力;
信息安全威脅的快速變化,需要網絡防護產品能快速的安全能力升級的能力,以及要求安全廠商有更積極的安全產品升級策略;
網絡安全產品能夠感知不同的應用類型,在網絡需要時可以對不同的應用給予不同的帶寬保障,保障高價值業務的用戶體驗;以緩和數據中心出口帶寬的壓力,提升用戶體驗。
2.1 外聯區安全防護
華為高端防火墻部署在大型數據中心出口,為客戶提供高性能、高密度、高可用性、高安全的網絡安全基礎架構。通過部署高性能的高端墻,實現了安全域隔離,將數據中心劃分為外鏈區和核心區,對各個域之間的流量進行安全防護,有效避免網絡風暴擴散,保障網絡安全。在外聯區部署IPS入侵防御系統,及時判斷網絡或系統中是否有違反安全策略的行為和遭到攻擊的跡象,并在發現威脅的情況進行阻斷或告警等措施實現對網絡的安全保護。通過在關鍵業務系統的入換機旁路部署NIP系統,對訪問系統的網絡流量進行實時入侵檢測,實現了統計分析、入侵檢測與防護、安全審計等功能。
同時在出口部署Anti-DDoS設備,可以有效識別DDoS攻擊,減少惡意流量的沖擊,實現對DDoS的攻擊防護。
2.2 核心區網絡安全解決方案
通過在核心交換機上部署各種安全業務,如防火墻、IPS/IDS等為數據中心的業務提供內部網絡安全解決方案。
在核心區部署高性能USG設備,將核心區按照業務模式劃分不同的區域,如測試區、托管區、運行管理區等,對不同的區域實現不同的安全策略,為不同的區域提供不同的安全防護能力。
在核心區部署高性能的IPS設備,以旁路IDS方式部署NIP產品,監控內部的攻擊行為,檢測異常的數據流量,同時在業務服務器群前,防御DDoS攻擊,以及各種黑客攻擊行為和蠕蟲等,以保護高安全業務區的業務安全。
2.3 方案的優勢
多種專業防護能力:采用“七層過濾”技術,秒級防御流量型、應用型、畸形報文等各種DoS/DDoS攻擊;方案集成業務感知模塊,超1200多種應用識別能力,能夠對業務做到應用層可視化管控。
高性能:針對數據中心大數據、大流量的特點,華為數據中心網絡安全解決方案依托電信級的硬件平臺,提供高性能、高可靠的安全防護。在業務吞吐量、接口能力、漏洞檢出率/誤報率、防護響應速度等安全設備關鍵指標上全面領先業界水平。
高可靠:方案涉及設備的電源/風扇/主控等關鍵部件冗余和可熱插拔,業務板間均衡負載流量,多種容錯設計保證在海量復雜網絡流量下可靠性和可用性,保證業務永續。
易擴展:采用插板式設計,安全隔離、IPS和Anti-DDoS的功能均能在同一硬件平臺上擴展,高密度,保護客戶已有投資。
虛擬化能力強:虛擬化能力是業界平均水平的4倍以上,低成本的提供多部門獨享安全服務的需求。
全面的IPv6攻擊防范能力:提供完善的IPv6過渡方案,確保IPv4向IPv6網絡過渡期間的安全、平滑升級。
3 結束語
本文對校園網的數據中心升級做了簡要的描述。在校園網的建設中,我們首先要做的是了解各項業務需求,然后從中選出最重要的點作為項目實現的重點,進行方案設計和設備選型,最后進行項目實施。
參考文獻:
[1]鄭葉來,陳世峻.分布式云數據中心的建設與管理[M].北京:清華大學出版社,2013.
[2]張廣明,陳冰,張彥和.數據中心基礎設施設計與建設[M].北京:電子工業出版社,2012.
[3]孟玲玲.校園網組建與維護[M].北京:中國人民大學出版社,2011.
關鍵詞 計算機技術;網絡安全;服務器;防御措施
中圖分類號 TP39 文獻標識碼 A 文章編號 1674-6708(2013)89-0212-02
0引言
隨著計算機技術的不斷發展以及網絡的不斷普及,網絡的重要性在人們日常生活和工作中的重要性則越來越突出,然而伴隨網絡的發展,網絡安全問題卻又困擾著網絡的應用發展以及人們的工作和生活,不斷出現的企業信息泄密事件就是最好的證明,也因此計算機網絡安全正成為人們日益關注的焦點,計算機網絡安全的威脅主要包括竊聽、篡改與重發、假冒、抵賴及病毒、特洛伊木馬等的威脅[1],入侵檢測系統是(Intrusion Detection Sys-tem,IDS)當前眾多安全技術手段中,能夠有效組織非法訪問行為的一種重要手段。但是,隨著有關病毒技術的發展以及網絡流量的快速增大,檢測系統的檢測能力也受到了挑戰。當前,入侵網絡服務器、威脅網絡服務器安全主要就是通過各種病毒進行入侵,其中使用比較多的就是木馬病毒。本文將主要探討網絡對計算機網路服務器造成的危害,并對相關的防御技術進行闡述,希望能為相關的研究提供部分參考價值。
1網絡木馬對計算機網絡服務器安全危害
木馬主要是指包含在一個合法程序中的非法程序,具體自我設置的能力,當前主要可以分為兩類:網游木馬和網銀木馬。當木馬運行時,黑客便可以隨時從他人的硬盤上查看、刪除相關的文件。對計算機存在著很大的危害,主要表現在:它對別人的電腦具有較強的控制功能和破壞能力,通過監控別人的電腦,可以獲取相關的密碼,盜取別人的信息文件,威脅別人的財產安全,網游木馬可以盜取游戲玩家的網游賬號,轉移其虛擬財產,網銀木馬則可以采用鍵盤記錄的方式盜取網銀賬號和密碼,使黑客能夠輕易的進入我們的網上銀行賬號,這將直接使我們的經濟受損。
2相關的防御措施探討
從上面的分析中,我們可以知道,網絡木馬病毒入侵計算機系統帶來的最大的損害就是使得個人的財產信息泄密,威脅個人的財產安全[2],因此,有必要采取相關的策略進行防御,筆者認為可以采取的策略主要有。
2.1 建立一個相對安全的服務器防護體系
服務器的安全,是保證整個網絡系統正常運行的重要保證,也是網絡管理人員的主要職責,但是不存在絕對的網絡安全防護體系,因為計算機技術是不斷發展的,網絡威脅的因素也在隨時的變化。筆者認為,要建立一個安全的防護體系,主要可以從以下幾點做起:第一,要建立一個強有力的網絡安全體系;即要將所有的服務器與周圍的其它設備相結合進行頭籌規劃,一般而言,一個完整的安全體系除了需要技術的支撐以外,最重要的就是管理制度方面的支撐。安全管理方面最基本的措施就是要完善相關的規章制度,岳蘇各種網絡行為;安全技術方面就是要利用各種殺毒軟件和硬件來對整個網絡進行安全管理;第二,建立穩固的防護基礎,計算機被入侵的一個重要原就是因為計算機的系統本身存在安全漏洞,因此必須要有一定的防護基礎;第三,對電腦中的數據進行定期備份,并做好密碼保護,因為一旦數據被損害或者是被竊取,將造成無可避免的損失;第四,做好遠程訪問的管理,計算機網絡的一個優點就是可以實現遠程訪問,但是卻為黑客的入侵打開了大門,因為只要知道遠程訪問的電話號碼,就可以很快實現入侵。
2.2 配置合適的安全服務器
服務器是網站的基礎、靈魂、尖兵。網站有了基礎,才會有接下來的網站排名,流量,品牌形象等等。所以在一開始建設網站的時候,一定要在域名注冊查詢選擇好適合自己網站的服務器,不管是虛擬主機還是VPS或者自己架立的服務器,差的服務器最后只有影響自己網站后期的發展。一般而言,服務器主要分為兩類:非x86服務器和x86服務器,按應用的層次劃分,則主要可以分為入門級服務器、工作組服務器、部門級服務器和企業級服務器四種,服務器的配置一定要根據自身使用和安全防護的需要進行配置。
2.3 建立安全管理規章制度
俗話說:“無規矩不成方圓。”完善的安全管理規章制度是保證計算機網絡安全的重要保證之一,也是計算機管理人員實行計算機網絡服務器安全管理的重要支撐。[3]安全管理規章制度的內容應該要包括以下幾個方面:1)要針對主要的管理人員設置基本的規則,2)本人用戶名、口令要自己保密,不得外泄與他人,沒有經過別人的同意不得私自進入別人的賬戶系統;3)不得惡意攻擊系統,獲取系統的管理權限;4)完善與計算機服務器安全管理有關的制度,比如計算機上機控制管理制度、計算機機房的安全管理規章制度、上網信息登記審核制度等相關的制度,以確保安全管理制度得到有效執行。
2.4 盡量減少文件共享
文件使用共享的好處就在于可以實現資源共享,所以有很多的人都喜歡將自己的計算機設計為文件共享狀態,安全隱患也隨之產生,很多的黑客就是通過共享文件,進入文件中進行破壞行動,所以應該要盡量減少文件的共享,以保證自己計算機的安全。
3 結論
綜上所述,我們可以知道,計算機信息技術的發展可以說是一把雙刃劍,在改變人們生活工作方式的同時,也給人們帶來了很多的信息安全隱患。木馬是入侵網絡服務器眾多病毒中的一種,其所帶來的危害是巨大的,直接威脅著廣大網民的個人財產信息,建立安全的防御系統十分的必要,如何維護計算機服務器的安全將成為未來計算機行業研究的重要課題。
參考文獻
[1]鄒峰.基于計算機網絡的入侵檢測與防御研究[J].煤炭技術,2011,1:92-94.
關鍵詞:安全策略 VLAN技術 計算機病毒 網絡資源 共享
教育信息網絡是教育信息系統運行的載體,是各級教育管理部門之間進行信息交換、實現信息共享的基礎平臺。教育信息網絡安全狀況直接影響著正常工作的運轉。在網絡建成的初期,安全問題可能還不突出,但隨著信息化應用的深入,網絡上的各種數據急劇增加,各種各樣的安全問題開始困擾我們。因此在網絡建設過程中,必須未雨綢繆,及時采取有效的安全措施,防范和清除各種安全隱患和威脅。
一、教育信息網絡面臨的安全威脅
教育信息網絡面臨的安全威脅大體可分為兩種:一是對網絡數據的威脅;二是對網絡設備的威脅。這些威脅可能來源于各種各樣的因素,總結起來,大致有下面幾種:
1、物理因素。從物理上講,教育信息網絡的安全是脆弱的,整個網絡涉及設備分布極為廣泛,任何個人或部門都不可能時刻對這些設備進行全面監控,任何安置在不能上鎖的地方的設施,包括光纜、電纜、局域網、遠程網等都有可能遭到破壞,從而引起網絡的癱瘓,影響正常工作的進行。如果是包含數據的軟盤、光碟、主機等被盜,更會引起數據的丟失和泄露。
2、技術脆弱性因素。目前教育信息網絡中局域網之間遠程互連線路混雜,有電信、廣電、聯通、移動等多家,因此缺乏相應的統一安全機制,在安全可靠、服務質量、帶寬和方便性等方面存在著不適應性。此外,隨著軟件交流規模的不斷增大,系統中的安全漏洞或“后門”也不可避免地存在。
3、操作人員的失誤因素。教育網絡是以用戶為中心的系統。一個合法的用戶在系統內可以執行各種操作。管理人員可以通過對用戶的權限分配限定用戶的某些行為,以免故意或非故意地破壞。更多的安全措施必須由使用者來完成。使用者安全意識淡薄,操作不規范是威脅網絡安全的主要因素。
4、管理因素。嚴格的管理是網絡安全的重要措施。事實上,很多網管都疏于這方面的管理,對網絡的管理思想麻痹,網絡管理員配置不當或者網絡應用升級不及時造成的安全漏洞、使用脆弱的用戶口令、隨意使用普通網絡站點下載的軟件、在防火墻內部架設撥號服務器卻沒有對賬號認證等嚴格限制,舍不得投入必要的人力、財力、物力來加強網絡的安全管理等等,都造成了網絡安全的隱患。
5、其他因素。一般來說,安全與方便通常是互相矛盾的。有些網管雖然知道自己網絡中存在的安全漏洞以及可能招致的攻擊,但是出于管理協調方面的問題,卻無法去更正。因為是大家一起在管理使用一個網絡,包括用戶數據更新管理、路由政策管理、數據流量統計管理、新服務開發管理、域名和地址管理等等。網絡安全管理只是其中的一部分,并且在服務層次上,處于對其他管理提供服務的地位上。這樣,在與其他管理服務存在沖突的時候,網絡安全往往需要作出讓步。
二、實現教育信息網絡安全的對策
網絡安全是指為了保護網絡不受來自網絡內外的各種危害而采取的防范措施的總和。不同屬性的網絡具有不同的安全需求。對于教育信息網絡,受投資規模等方面的限制,不可能全部最高強度的實施,但是正確的做法是分析網絡中最為脆弱的部分而著重解決,將有限的資金用在最為關鍵的地方。實現整體網絡安全需要依靠完備適當的網絡安全策略和嚴格的管理來落實。
網絡的安全策略就是針對網絡的實際情況(被保護信息價值、被攻擊危險性、可投入的資金),在網絡管理的整個過程,具體對各種網絡安全措施進行取舍。網絡的安全策略可以說是在一定條件下的成本和效率的平衡。
教育信息網絡包括各級教育數據中心和信息系統運行的局域網,連接各級教育內部局域網的廣域網,提供信息和社會化服務的國際互聯網。它具有訪問方式多樣,用戶群龐大,網絡行為突發性較高等特點。網絡的安全問題需要從網絡規劃設計階段就仔細考慮,并在實際運行中嚴格管理。為保證網絡的安全性,一般采用以下一些策略:
