時間:2023-09-12 17:10:12
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇局域網網絡安全措施,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:局域網;安全;體系結構;管理制度
中圖分類號:TP393.08 文獻標識碼:A 文章編號:2095-1302(2016)10-00-03
0 引 言
隨著計算機技術和信息技術的進步和發展,特別是近年來移動互聯網的迅猛發展,越來越多的單位、企業和家庭都建立了屬于自己的局域網。局域網為用戶內部信息資源共享提供了方便,在人們的工作和生活中發揮著不可替代的作用。但由于網絡本身的開放性和共享性,在網絡為大家帶來便利的同時,網絡本身存在的不安全因素也給各企業單位和家庭帶來了信息泄露的風險,為實現社會穩定,保證計算機網絡安全,人們迫切需要解決目前計算機局域網應用中存在的安全問題[1,2]。
1 局域網中主要的安全問題
網絡安全問題主要由網絡的開放性和共享性造成。網絡安全問題的實質是對網絡安全缺陷的潛在利用,這些缺陷可能導致網絡的非法訪問、信息泄露、資源耗盡、資源被盜或者被破壞等;網絡安全問題產生的根源在于網絡協議的不完整性、網絡操作系統的漏洞缺陷、應用程序漏洞、物理設備損壞及人為因素等。歸納起來,目前局域網安全問題主要來源于物理設備的安全威脅、來自互聯網的安全威脅、來自局域網內部用戶的安全威脅這三個方面[3-5]。
1.1 物理設備的安全威脅
來自物理設備的安全威脅主要有如下幾項:
(1)自然災害或非人為故意造成的軟、硬件故障或沖突以及水災火災等;
(2)人為操作不當(屬意外事件)導致數據信息的錯誤、丟失或其它一些硬件故障等。
1.2 來自互聯網的安全威脅
一般情況下,局域網都與Internet進行了互聯。由于Internet的開放性、國際性與自由性,來自Internet的世界各地的黑客都可以通過Internet和一些黑客工具來探測和掃描網絡上存在的各種安全問題,如操作系統的類型及其它是否為弱口令、服務器開放的各種易于攻擊的端口號及服務器應用程序是否存在開放權限或存在弱用戶弱口令等,并采取相應的攻擊手段進行攻擊。同時還可以通過協議分析軟件等手段監聽并獲得局域網內部用戶的用戶名、口令及一些敏感數據等信息,從而假冒內部的合法用戶進行非法操作,竊取內部網絡中的重要信息。而這些黑客也能通過控制大量肉機向網絡中的服務器發送大量的數據包進行DDoS攻擊,使服務器不能正常工作而拒絕為正常用戶服務。
1.3 來自局域網內部用戶的安全威脅
內部的網絡管理人員有時為了對外進行宣傳,會不經意間把內部網絡拓撲結構及系統的一些重要信息(如設備型號、操作系統的類型等)放在網站上,這就致使網絡內部信息嚴重泄露,網絡上的不法分子可以利用這些包括網絡拓撲、網絡設備信息及應用系統信息等內部信息,制定有針對性的入侵策略,從而大大增加被攻破的機率,給內部局域網造成巨大的安全隱患。由于內部網絡的大多數用戶對計算機的操作及網絡運行不熟悉,不知道哪些軟件是安全的,若下載并使用了帶有病毒或木馬的軟件,那么這些病毒或木馬會收集并泄漏內部用戶的重要信息,尤其是用戶名及密碼等重要信息,或是對計算機操作不當,誤刪除了重要數據等,這些都將給網絡造成極大的安全威脅。
2 安全體系結構的設計
2.1 局域網安全總體設計思路
局域網安全是一項系統工程,需要充分考慮各層次各方面的安全因素。根據局域網運行所涉及到的層次,建立一個全方位的、可持續循環改進的局域網安全解決方案。以網絡安全技術為主導,輔以法律法規和規章制度的安全管理,設計一個包含五個層次(物理安全、網絡安全、系統安全、應用安全、數據安全)的局域網安全體系結構,如圖1所示。
2.1.1 物理安全
在局域網安全系統中,物理安全是最基本的安全。如果物理安全得不到保證,那么其它一切安全措施都變得毫無意義。如果網絡設備遭到破壞或被人非法接觸,將會給局域網造成毀滅性的破壞,若安裝有數據庫的服務器被非法人員或是自然災害損壞,就可能致使數據丟失且不可恢復,這同樣是毀滅性的破壞。因此,要確保局域網有一個安全的物理環境,就應對接觸到的網絡設備及系統人員有一套完善的技術控制手段和規章制度約束,并且還要充分考慮自然災害可能對局域網中的網絡設備及線路等造成的威脅并加以規避。
2.1.2 網絡安全
網絡安全主要是整個數據傳輸網的安全,包括數據鏈路層、網絡層及傳輸層等的安全。
(1)數據鏈路安全主要是保障通信鏈路不被非法竊聽并防止借助鏈路的連接進行各種類型的攻擊。
(2)網絡層的安全主要包括網絡訪問控制、各種網絡協議本身的缺陷和對這些協議的攻擊等問題。
(3)傳輸層的安全與鏈路層的安全類型涉及的層次不一樣,但也是關于數據被非法竊聽的問題。
2.1.3 系統安全
系統安全主要是操作系統本身的安全問題,體現在系統是否完整堅固,是否存在漏洞,以避免攻擊者通過系統漏洞實施入侵,主要涉及到以下兩個問題:
(1)病毒和木馬對局域網中系統的威脅。
(2)Internet上的黑客入侵了局域網中的系統后通過該系統對其它局域網設備和系統進行入侵和破壞。
2.1.4 應用安全
應用安全主要是應用平臺和應用程序的安全。主要涉及到以下兩方面問題:
(1)應用程序對數據的合法權限,即應用程序對數據的訪問是否合法。
(2)應用程序對用戶的合法權限,即用戶是否有合法的權限訪問該應用程序。
2.1.5 數據安全
數據安全是這些安全中最重要的一項,所有采取的措施都以數據安全為目標。保證信息資源的機密性、完整性、真實性、不可抵賴性以及可用性是安全防護的最終目標。
2.1.6 安全管理
安全管理包括國家制訂的法律法規和單位組織制定的管理和技術操作規范,從法律和管理層面對人的行為進行規范。
2.1.7 網絡結構設計
網絡結構設計是為局域網設計的一個高安全性網絡結構,涉及各種網絡安全設備與技術的有機結合、綜合應用與部署。
2.2 局域網安全方案設計
2.2.1 各層次技術解決方案設計
局域網工作的每個層次都有相應的安全措施,每個層次在大技術層面上常用的安全措施如圖2所示。
2.2.1.1 物理安全技術與措施
物理安全最重要的就是選擇地理位置安全的場所建設網絡機房,應盡量遠離生產或儲存易燃、易爆物品和強電磁場場所的周圍及低洼地帶。對于網絡設備應配備防電磁泄漏機柜或屏蔽機房等;關鍵設備要配備UPS電源;機房要配備空調以保持機房的恒溫恒濕環境,并配備消防報警和滅火設施;建立嚴格的機房準入制度等。如果有更高級別的安全需要,需對機房中的網絡設備及線路做遠程的冗余備份。
2.2.1.2 網絡安全技術與措施
網絡安全技術與措施較多,主要涉及網絡安全設備和技術及安全協議。常用的有各種防火墻設備和技術、入侵檢測設備和技術、VPN設備和技術以及入侵防御設備和技術等。
(1)防火墻是常用的網絡設備和技術,根據策略控制進出網絡的數據權限,并可強制檢查所有進出網絡的各種鏈接,以避免局域網遭受外界入侵和破壞。因此,通過建立防火墻安全策略,可在內部網(局域網)和外網(Internet)之間,或者在內部網的各部分之間(即不同安全域之間)實施安全防護。
(2)入侵檢測系統(IDS)對那些異常的、可能是入侵行為的數據進行檢測和報警,實時監測局域網的運行狀況,常與防火墻聯動運作。常用的安全協議有PPTP,L2TP,IPSec及SSL協議等。
除此之外,還有其它訪問控制技術,常用的有VLAN劃分技術和訪問列表控制(ACL)技術等。
2.2.1.3 系統安全技術與措施
系統安全措施主要為系統安裝防病毒和防木馬軟件以及為系統打補丁,加固系統的安全性,設置用戶的訪問權限等級和口令,可對系統的訪問進行訪問權限控制。安裝分布式的網絡防病毒軟件,對局域網內的服務器和個人計算機進行有效防護,使局域網上的各個節點都不受病毒的侵害。同時,應盡量實時更新系統補丁和殺毒軟件,確保系統和殺毒軟件處于最新狀態,并定期更換用戶密碼,使用戶口令被破解的可能性降至最低。
2.2.1.4 應用安全技術與措施
應用安全包括應用平臺和應用程序的安全性。可以通過身份認證來判別用戶使用系統的合法性。身份認證一般通過用戶名和口令來驗證。身份認證可以有效防止數據被篡改及非法用戶訪問網絡資源。同時還能通過審計用戶相關的活動信息進行記錄、存儲和分析,系統通過分析網絡信息系統的實際使用狀況來對應用服務器的安全事件進行有效監控。
2.2.1.5 數據安全技術與措施
采用數據安全技術與措施的最終目的在于確保網絡數據的可用性、完整性和保密性。為了確保數據的安全性,可以采用多種數據備份技術來確保數據的可用性和完整性,如磁盤冗余陣列技術、雙機容錯技術及SAN技術等。同時,為了增強數據的保密性,可采用加密技術對數據進行加密,如DES加密算法、IDEA加密算法及RSA加密算法等。
2.2.2 網絡結構設計
一個設計合理的網絡拓撲結構可以大大增加局域網的安全性,如圖3所示的網絡拓撲結構綜合運用了多種安全技術,對局域網起到了很好的保護作用,大大提高了局域網的安全性。
圖3所示為雙路由單防火墻的拓撲設計,對外網(Internet)進入局域網內部的訪問起到了三層過濾的作用,大大增強了局域網的安全性。對于一些常用的對外服務,設置一個DMZ區域,盡量減少外網用戶對內網的訪問,這也是增強局域網安全的一種措施。同時,DMZ為了保證服務器的安全,使用了入侵檢測系統以提高DMZ區域的安全性。
2.2.3 安全管理規范
人是局域網安全中最不穩定的因素,也是最主要的因素。因此,規范人的行為對局域網的安全起到了至關重要的作用。建立健全的法律法規對入侵網絡的不法分子有極大的震懾作用,使之不敢輕易破壞網絡。同時,對于網絡的管理也要建立規范的管理制度,嚴格機房管理。可采取如下措施:
(1)建立完整的計算機運行日志、操作記錄及其它與安全有關的資料;
(2)機房必須有當班值班人員;
(3)嚴禁易燃易爆和強磁物品及其它與機房工作無關的物品進入機房,重要技術資料應有副本并異地存放等。
3 結 語
局域網安全是一項系統工程,涉及到網絡工作的各個層次,任何一個層次都可以通過安全技術措施來加強局域網的安全,但任何層次也有可能成為局域網的弱點。因此,在綜合應用安全措施的同時應全面考慮各層次的特點,采用相應的安全技術措施,建立一個較完善合理的安全機制。同時還要運用技術之外的管理措施,從制度方面確保局域網的安全。
參考文獻
[1]王坤曉.局域網網絡安全存在的問題及對策探討[J].網絡安全技術與應用,2015,15(1):109.
[2]張梅馨,崔志云.實驗室局域網的安全及防護[J].實驗技術與管理,2010,27(2):86-88.
[3]張志國.計算機局域網網絡安全問題以及相應對策探析[J].科技風,2014(15):197.
關鍵詞:局域網;交換機;維護管理;網絡安全
1 概述
局域網是指由一臺或多臺計算機組成的計算機組,在指定區域內具有打印共享、辦公軟件應用和文件管理等多種功能。局域網的出現和應用提高了企業的生產效率,節約了成本支出,有利于企業經濟效益的提升;同時局域網在使用過程中也存在一些問題,如使用者安全意識不高,容易被黑客攻擊或被病毒傳染,給企業生產和管理帶來極大的損失。鑒于此,加強局域網的維護和管理,確保網絡的安全性就顯得十分必要。
2 局域網的維護和管理
2.1 局域網的維護 局域網維護的主要目的是確保網絡的穩定,避免網絡故障的發生,維護工作涉及的主要內容有交換機和網絡鏈路的保護和性能維護,這是整個維護工作的核心內容。首先,交換機是局域網的核心,因此也是局域網維護的關鍵設備。核心層交換機和匯聚層交換機在局域網中起路由轉發、數據交換和網關的重要作用,因此,交換機的管理工作十分重要,要有專門的網絡管理人員對交換機進行管理和維護,交換機命令配置好之后要進行數據備份,在交換機故障時能夠快速地恢復數據,保證網絡運行。網管人員對交換機要設置用戶名和密碼,不允許其他人員對交換機隨意操作。其次,是網絡鏈路的維護,網絡鏈路的暢通是網絡安全平穩運行的基礎,網管人員應按時對網絡鏈路進行巡檢。最后,局域網的系統維護應通過軟件和硬件兩方面進行。軟件維護是指使用功能強大的信息管理和安全管理軟件,通過專業的軟件掃描及時查找和排除局域網中軟件或者硬件中的安全隱患,并根據提示采取合適的解決方案;硬件維護主要是對傳統的傳輸媒介進行改進升級,采用光纖傳輸數據,提高信息傳輸質量和傳輸效率。
2.2 局域網的管理 局域網的功能能夠正常發揮主要依靠管理,按照管理內容的不同,可將局域網管理分為人員管理和局域網管理兩個方面。人員管理主要是對使用局域網的人員進行管控,要求局域網使用人員不得破壞局域網內的計算機硬件及配套軟件,確保硬件和軟件功能的正常性;網絡管理主要是對局域網結構選擇、功能擴展、網絡所處環境的優化等內容進行管理。局域網的網絡結構主要是由規劃功能決定的,企業可根據自身需求選擇不同的網絡拓撲結構;局域網功能會隨著企業的發展顯現出一定的不適應性,在對功能進行擴展時,應對實際需求、經濟效益、實現方法等內容進行綜合考慮,確保企業能使用最低的經濟投入,獲得最全面的網絡功能;對局域網所處環境進行改進時,要考慮網絡使用人員的技術水平與局域網性能之間的匹配性,確保網絡資源得到充分利用。
3 局域網安全
3.1 物理安全措施 物理安全措施是指通過局域網硬件安全保護,提高局域網的安全性。第一,企業可制定一系列局域網安全防護措施,加強對局域網內網絡設備的保護,避免設備受到外界因素的破壞。以交換機的保護為例,企業可設置使用權限,減少無權限人員使用交換機。第二,提高局域網使用人員的管理,通過制定完善的工作制度,杜絕外來人員使用局域網,禁止外來人員利用局域網安裝非法軟件,拆卸硬件,影響局域網的正常使用。第三,提高局域網使用人員的安全防范意識。企業應組織員工參與專業的網絡安全培訓,使員工意識到網絡攻擊的危害,提高員工的網絡安全防范技巧,做好企業內部局域網安全防范工作。
3.2 加強訪問控制 防止局域網被惡意攻擊、病毒感染的主要手段是加強訪問控制。第一,做好局域網入網訪問控制工作。入網訪問應輸入正確的用戶名和密碼,只有二者同時正確時才能進入局域網,獲取自己所需資源,若用戶名或密碼不符,則被拒絕訪問,這樣就能有效避免非法人員訪問。第二,給用戶設置不同的訪問權限。用戶登錄到局域網服務器后,只能對其所擁有權限內的資源進行查閱或使用,無法獲取或使用權限外的信息資源。將資源按照其重要程度進行等級劃分,使具有查閱權限的人員可方便使用,同時避免權限外人員的非法攻擊,保護了信息資源的安全。第三,加強網絡監測。局域網網絡管理人員應利用先進的技術對網絡用戶形成全程監測,對用戶的訪問記錄進行登記,一旦發現用戶對局域網網絡進行攻擊或其他不法行為,就應立即采取措施,限制用戶的進一步訪問。第四,加強硬件安全保護工作。企業可將信息資源進行劃分,根據不同的保密等級設置不同的安全防護措施,目前常用的安全防護措施可從數據庫層面、應用層以及網絡層設置防火墻,為企業重要的信息資源構建有效的安全防護保障體系。數據庫防火墻主要是對訪問進行控制,一旦發現能對數據庫構成威脅的行為時,發出阻斷指令,另外該技術還具有對用戶行為進行自動審計的功能,能快速有效地判斷用戶行為是否會對數據庫信息構成破壞;應用層防火墻可以實現對程序所有包的攔截,對防止木馬、蠕蟲病毒的屏蔽效果較好;網絡層防火墻是以TCP/IP協議為基礎,根據協議規定對訪問行為進行是否被允許的判斷;協議規則主要由管理員設定,并且規則內容可執行修訂、刪除和增加操作。
3.3 加強安全管理 網絡病毒的危害是巨大的,為避免病毒給局域網造成破壞性損害,管理員可通過以下措施加強網絡病毒的防范工作。第一,局域網內用戶不可擅自下載、安裝可以軟件,不接受不明郵件,切斷隱藏在某文件或某程序中病毒的入口。第二,用戶在使用U盤時,應先對其進行病毒掃描,確保無誤后方可插入使用。第三,安裝病毒查殺軟件,并對安裝的軟件進行及時的更新,為病毒的查殺提供技術保障。第四,安裝入侵檢測系統,利用該系統對網絡信息資源的傳輸情況進行檢測,一旦發現可疑文件立即執行中斷命令,并發出警報,保護局域網的安全。
4 結語
局域網在很多企業的生產和管理中得到廣泛應用,很大程度上提高了企業的信息化管理水平,為保障企業生產和管理工作的正常進行,應對局域網進行全方位的安全保護,確保網絡的穩定性和安全性,防止不法分子或網絡病毒的入侵,給企業帶來不必要的經濟損失。
參考文獻:
[1]胡石林.論計算機局域網的維護管理與網絡安全[J].科技資訊,2011.
[2]馬一楠.淺析計算機局域網的安全保密與管理措施[J].價值工程,2010.
關鍵詞:局域網;網絡安全;網絡體系結構
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2007)16-30985-02
Shallowly Discusses the Unit Local Area Network Security Sometentative Plans
GONG Lan,WEI Liang-xiu
(SichuanZigong meteorological bureau,Zigong 643000,China)
Abstract:Develops the unceasing application along with the computer network atthe meteorological enterprise, the computer has become themeteorological system processing data and the supervisory workimportant constituent. This article will act according to this unitexisting local area network, will carry on the analysis to itssecurity, and will propose this unit local area network networksecurity solution.
Key words:LAN;network security;Network Architecture
1 引言
Internet的廣泛使用為氣象事業的發展帶來了前所未有的高效和快捷,但諸如病毒侵襲、黑客入侵、拒絕服務、密碼破解、網絡竊聽、數據篡改、垃圾郵件和惡意掃描等大量的非法操作或信息堵塞合法的網絡通信,導致網絡崩潰而無法進行辦公乃至威脅到辦公信息的安全,因此必須系統地規劃和部署本單位的網絡。本文以單位局域網為例,設計單位局域網的安全解決方案,該方案的目標是在不影響本單位局域網當前業務的前提下,實現對局域網全面的安全管理。
2 單位網絡系統現狀
目前本單位局域網采用的是總線型結構,這種網絡拓撲結構雖然比較簡單,但是局域網絡內的各工作站和服務器均掛在一條總線上,各工作站地位平等,無中心節點控制,因此存在以下問題:
(1)維護難,分支節點故障查找難;
(2)采用資源共享的訪問機制,經常造成網絡擁塞;
(3)如果總線一斷,則整個網絡就斷了;
(4)這種網絡因為各節點是共用總線帶寬的,所以在傳輸速度上會隨著接入網絡的用戶的增多而下降;
(5)由于防毒性差等諸多原因,造成了辦公網絡常為“病毒多發區”的現狀。
3 網絡系統安全要解決的問題
(1)局域網的主服務器作為信息平臺,它的地位是至關重要的。所以應該將它與內部網絡和外部網絡進行隔離。要采取相應的安全措施杜絕安全隱患,公開服務器的安全保護、防止黑客從外部攻擊、入侵檢測與監控、病毒防護、數據安全保護、數據備份與恢復、網絡的安全管理等。
(2)在用戶管理方面要把用戶分成不同的用戶組,不同的用戶組擁有不同的權限級別,以控制可訪問的資源范圍及對資源的存取方式、可訪問的網絡區域等,同時應考慮到用戶狀態的動態性,做到及時更新用戶狀態及保持各子系統間用戶狀態的一致性。可將信息資源分成不同組,針對各組資源的特性制定其相應的服務方式、導航與協調方式、供各類用戶的存取方式、加密與保護方式等。
(3)要進行網絡分段,這樣就能將非法用戶與網絡資源相互隔離,從而達到限制用戶非法訪問的目的。
3.1防火墻[1]技術
防火墻技術也是針對非法用戶入侵內部局域網絡、對網絡造成破壞的防御性技術。它應當具有以下幾種功能:
(1) 限制他人進入氣象內部網絡,過濾掉不安全的服務和非法用戶;
(2)限定無關用戶訪問特殊的資源;
(3)對發送和接收的數據進行甄別,過濾外方利用特殊手段搭載在數據里的病毒或其他非法的信息;
(4)為監視整個氣象網絡的安全提供便利的條件;
(5)實施監控氣象內部局域網的通信數據,嚴防病毒等破壞性數據的流通。
3.2防病毒技術
由于在網絡環境下,計算機病毒有不可估量的威脅性和破壞力,計算機病毒的防范是網絡安全性建設中重要的一環。網絡反病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測、在工作站上用防病毒軟件對網絡目錄及文件設置訪問權限等。
3.3加密技術
與防火墻配合使用的安全技術還有數據加密技術,是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破譯所采用的主要技術手段之一。現在的網絡用戶大幅度增加,在這些人當中,不乏有網絡的破壞者或不懷好意的人即所謂的黑客。他們常常會潛進系統,做違規的操作如篡改消息,盜取數據等。所以要對系統內的信息進行加密,在信息的傳輸過程防止被篡改或盜取。
3.4易操作性
安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。其次,措施的采用不能影響系統的正常運行。
4 網絡安全設計方案
(1)根據以上對網絡安全的全面分析了解,按照安全策略的要求,以及對整個網絡的安全目標,設計了一個適合氣象部門網絡特點的安全系統體系。它由物理安全、網絡安全、系統安全、信息安全、應用安全和安全管理等方面組成,見圖1。
(2)考慮設計本單位的計算機網絡結構為:總線+星型的混合結構,這樣的拓撲結構更能滿足現有網絡的拓展和安全維護,見圖2:兩臺IBM專用服務器,一臺作為主服務器及一臺作為備份服務器,由中心交換機連接,一旦主服務器受到攻擊崩潰,迅速由備份服務器接入,保證系統網絡的正常運行。中心交換機支持VLAN,中心交換機通過VPN路由器接入省局局域網,中心交換機通過寬帶路由器接入Internet,各個科室自己組建各自虛擬局域網(VLAN)分別接入二級交換機。二級交換機再和中心交換機連接。每個虛擬局域網用戶擁有不同的管理權限和訪問權限,各工作組的用戶既獨立又互相進行數據交換,此外局域網可以為用戶提供的功能包括:辦公自動化、電子郵件服務、文件的管理、對外建立企業門戶網站等。
圖1 安全體系結構
圖2 單位局域網拓撲結構設計圖
4.1實現網絡中內網訪問控制[2]
目前,氣象網絡的局域網大多采用以交換機為中心、路由器為邊界的網絡格局,應重點設置中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法來實現對氣象局域網的安全控制。
局域網的訪問控制技術的安全部署,可以有效的防御來自于內部破壞分子的攻擊和數據篡改等威脅。采用訪問控制技術,建立安全合理的訪問列表,可以通過對數據通訊的源地址、目的地址以及應用類型的分類,控制流入網絡的數據流,保證內、外網用戶訪問的安全性。虛擬局域網(VLAN)可以不考慮用戶的地理位置,根據功能、應用等因素將網絡從邏輯上劃分為一個個功能相對獨立的工作組。如果附加上VLAN間的訪問控制技術可以使一個個功能相對獨立的工作組變成不同的安全區,互不影響,一個工作組里出現病毒、掉線等問題,不會影響整個局域網絡的運行。使核心主服務器和重要部門(如氣象臺、財務科)的安全得到充分的保障。
4.2構建局域網安全監控中心
為了確保局域網的正常運行,及時發現和處理網絡異常事件,需要在局域網中構建局域網安全監控中心。它的主要任務是針對網絡資源、網絡性能和密鑰進行管理,對網絡進行監視和訪問控制。這個監控中心可以在主服務器上通過安裝網絡版殺毒軟件來實現,主要負責網內所有工作站的可視化管理和控制,及時發現并處理網絡攻擊和異常行為。
4.3信息傳輸的安全措施
數據信息的安全是整個系統正常運行的保障,因此把數據信息的安全放到首要的位置來進行保護,由于網絡的開放型和TCP/IP的不安全性,不法人員完全有可能通過一些技術手段竊取,再通過一些技術讀出數據信息,造成信息泄漏或者做一些修改來破壞數據的完整性,對網絡信息的傳輸構成威脅。VPN技術也被稱為網絡加密機,己經被證明是一種成熟的網絡安全互聯技術,可以有效地保證信息傳輸的安全。這個技術已經運用到市局和省局,市局和縣局的數據信息傳送上,取得很好的效果。如果再綜合利用防火墻的訪問控制技術、VPN的隧道技術、完整性保護和加密技術,不僅可以實現虛擬專網內的信息安全傳輸,同時可以在專網上進行更為嚴格的訪問控制,從而構建起基于VPN的網絡安全通信平臺,實現完整的網絡通信平臺安全解決方案。
4.4安全的管理制度
安全的管理制度是氣象網絡安全問題得以實現的重要保證,也是防止內部攻擊最有效的方法,我認為應該包含以下內容:
(1)建立嚴格的安全監督機制,網絡管理員和操作員都要受到監督和制約;
(2)根據數據的安全性要求對用戶權限進行嚴格劃分,用戶的操作應有詳細的操作明細記錄;定期檢查安全報警信息, 監視網絡運行狀態;
(3)完善日志記錄,安全策略的建立或修改、設備或系統配置文件建立或修改必須記錄文檔并保存,完整的數據備份制度;
(4)提高氣象員工的業務素質,增強防范意識和防攻擊的能力;加強氣象員工的思想道德教育,從根源上杜絕內部攻擊行為。
5 小結
造成網絡不安全的因素很多,歸結不外乎管理和技術兩個方面上的問題。我們要做到管理上的標準化,同時讓管理安全策略強化到系統之中,尋求相應的技術支持,由計算機幫助去強制執行。
參考文獻:
[1]楊永增.談防火墻技術的發展趨勢[J].電腦學習,2007(2),15-16.
關鍵詞:局域網安全防止策略
一、引言
隨著信息化的不斷擴展,各類網絡版應用軟件推廣應用,計算機網絡在提高數據傳輸效率,實現數據集中、數據共享等方面發揮著越來越重要的作用,網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,計算機網絡和系統的安全與管理工作就顯得尤為重要。
二、局域網安全的威脅分析
局域網主機間大多以局域網的方式進行互連,這些主機形成以物理互連,邏輯隔離的方式共存,但為實現主機間的資料共享及數據通信需求,又不得讓其之間建立各種互信關系,因此某臺主機的有意或無意的誤操作都會對整網主機的安全性造成威脅。局域網安全威脅主要分為以下幾類:
(一)缺乏有效身份認證機制
內部主機使用者缺乏特定的身份識別機制,只需一根網線或者在局域網AP信號覆蓋的范圍之內,即可連入內部網絡獲取機密文件資料。局域網猶如一座空門大宅,任何人都可以隨意進入。
(二)缺乏訪問權限控制機制
企業或政府單位網絡大體上可以分為兩大區域:其一是辦公或生產區域,其二是服務資源共享區域,目前上述兩大邏輯網絡物理上共存,并且尚未做明確的邏輯上的隔離。辦公區域的人員可隨意對服務資源共享區域的資源進行訪問,另外需要的注意的是,來賓用戶在默認情況下,只要其接入內部網絡并開通其網絡訪問權限,相應的內部服務資源的訪問權限也將一并開通,局域網機密文件資源此時將暴露于外部。
(三)局域網主機漏洞
現有企業中大多采用微軟系列的產品,而微軟系列產品的特點就是補丁特別多,包括IE補丁、office辦公軟件、以及操作系統等。如果這些補丁不及時打上的話,一旦被黑客所利用,將會作為進一步攻擊局域網其他主機的跳板,引發更大的局域網安全事故,如近年來爆發的各種蠕蟲病毒大都是利用這種攻擊方式。
三、局域網安全策略控制與管理
(一)網絡系統的安全控制
為保護網絡的安全,必須對訪問系統及其數據的人進行識別,并檢查其合法身份,對進入網絡系統進行控制。訪問控制首先要把用戶和數據進行分類,然后根據需要把二者匹配起來,把數據的不同訪問權限授予用戶,只有被授權的用戶才能訪問相應的數據。通過用戶識別和驗證、用戶口令識別和驗證以及用戶賬號的默認限制檢查進入系統,選擇性訪問控制是基于主體或者主體所在組的身份,這種訪問控制是可選擇性的,如果一個主體具有某種訪問權,則它可以直接或簡接地把這種控制權傳遞給別的主體。選擇性訪問控制被內置于許多操作系統當中,是任何安全措施的重要組成部分。文件擁有著可以授予一個用戶或一組用戶訪問權。
(二)網絡互連設備的安全管理
網絡中的互連設備包括集線器、交換機、路由器等設備,這些設備在網絡中起著非常重要的鏈接作用,因此,這些設備的安全性更是關系到整個網絡的關鍵命脈。實際中,一定對網絡中這些設備的登錄有嚴格的控制管理,登錄方式只能掌握在網絡的管理人員手中,網絡的管理人言要正確配置設備的參數,運行過程中,能夠順利連接局域網中的各個環節,使整個網絡運行順暢。
四、病毒防治策略
防病毒體系是建立在每個局域網的防病毒系統上的,主要從以下幾個方面制定有針對性的防病毒策略:
(一)提高安全意識和安全知識,對工作人員定期培訓
如果技術人員對網絡安全產品一只半解,就不能正確配置,甚至根本配置錯誤,不但安全得不到保護,而且還帶來虛假的安全,因此,在網絡中,首先對技術人員進行專業的培訓。只有真正掌握安全管理各方面的知識,才能使整套的安全策略得到充分的執行和實施。
(二)小心使用移動存儲設備
日常工作過程中,數據的傳輸、備份,難免使用移動存儲設備,那么,在局域網中使用這些設備時,注意的問題有:使用是保證存儲設備的安全性,在使用移動存儲設備時,要做到不把病毒帶到網絡中,以防發生網絡故障,同時,也注意網絡中某臺計算機上的病毒感染移動存儲設備,防止數據的丟失。
(三)挑選網絡版殺毒軟件
我們在選擇殺毒軟件時需要注意到以下幾個方面:首先,殺毒軟件對客戶端設備的要求不是很高,能夠保證網絡中層次不齊的客戶端都能安裝該軟件,并且運行起來順暢。其次,殺毒軟件病毒庫升級比較方便,在出現新的病毒時,病毒庫能夠第一時間更新,確保客戶端不被侵犯。最后,殺毒軟件使用比較靈活,網絡中的客戶端都安裝殺毒軟件,但如果依靠人為手動進行查殺,運行起來比較麻煩,選擇殺毒軟件,一定能夠設置某時間點進行自動查殺。
五、信息化安全管理制度
局域網網絡的安全管理制度是網絡的安全運行的保障,在制定安全管理制度中,最重要的是關于網絡各種文檔的制定。其中有網絡建設方案文檔、機房管理制度文檔、各類人員職責分工、安全保密文檔、網絡安全方案、安全策略文檔、口令管理制度、安全防護記錄、應急響應方案等等制度。實際中,通過以上各種文檔,在網絡運行過程中,隨時可以用到,只有健全的管理制度,才能確保更快地處理遇到的各類問題。
六、結語
要想保證計算機局域網的安全,在做好邊界防護的同時,更要做好內部網絡的管理。所以,目前在安全業界,安全重在管理的觀念已被廣泛接受。沒有好的管理思想,嚴格的管理制度,負責的管理人員和實施到位的管理程序,就沒有真正的安全。在有了“法治”的同時,還要有“人治”,即經驗豐富的安全管理人員和先進的網絡安全工具,有了這兩方面的治理,才能得到一個真正安全的網絡。
參考文獻:
關鍵詞:局域網;網絡安全;防治策略
Abstract: With the expansion of information, promotion and application of Internet application software, computer network to improve the efficiency of data transmission, is playing an increasingly important role to realize data integrity, data sharing aspects, the construction of network and information system has gradually become an important infrastructure of the work. In order to ensure the safe and efficient operation of the work, work safety and management of computer systems and network is particularly important. This paper first analyses the security threat, secondly analyzes the control and management of network security strategy.
Key words: LAN; network security; prevention strategy
中圖分類號:TP393.1
一、局域網安全的威脅分析
局域網是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。由于通過交換機和服務器連接網內每一臺電腦,因此局域網內信息的傳輸速率比較高,同時局域網采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。一般的情況下,局域網的網絡安全威脅通常有以下幾類:
1.核心設備自身的安全威脅
軟交換網絡采用呼叫與承載控制相分離的技術,網絡設備的處理能力有了很大的提高。可以處理更多的話務和承載更多的業務負荷,但隨之而來是安全問題。對于采用板卡方式設計的網絡設備,一塊單板在正常情況下能夠承載更多的話務和負荷,那么在發生故障時就有可能造成更大范圍的業務中斷。
目前,軟交換設備安全完全依賴廠商的軟硬件的安全設計,主要通過主備、1+1、N+1備份和自動倒換以及軟硬件模塊化設計等方式實現故障情況下的切換和隔離。但備份和倒換的可靠性無法保障:關鍵設備的倒換(特別是一些關鍵接口板)一般會影響業務或者設備運行,倒換的成功率目前無法保障,可能在緊急情況下無法順利進行倒換。
2.網絡層面的安全威脅
雖然單個或者區域核心節點的安全可以通過負荷分擔或者備份來保證,但是從網絡層面來看仍然存在安全隱患。在現有的軟交換網絡中,各種平臺類設備很多,而且往往都是以單點的形式存在,這些節點一旦失效,將嚴重影響網絡業務。目前網絡層面的威脅主要是重要業務節點癱瘓造成的業務中斷、擁塞和溢出,其中SHLR、通用號碼轉換(一號通平臺)等關鍵平臺的影響最大。因此,應該重視突發話務沖擊導致話務資源耗盡等現象。
3.承載網的安全威脅
軟交換系統的承載網絡采用的是IP分組網絡,通信協議和媒體信息主要以IP數據包的形式進行傳送。承載網面臨的安全威脅主要有網絡風暴、病毒(蠕蟲病毒)泛濫和黑客攻擊。黑客攻擊網絡中的關鍵設備,篡改其路由和用戶等數據,導致路由異常,網絡無法訪問等。從實際運行情況來看,承載網對軟交換網絡的影響目前是最大的,主要是IP網絡質量不穩定引起的。
4.接入網的安全威脅
軟交換網絡提供了靈活、多樣的網絡接入手段,任何可以接入IP網絡的地點均可以接入終端。這種特性在為用戶提供方便的同時帶來了安全隱患,一些用戶利用非法終端或設備訪問網絡,占用網絡資源,非法使用業務和服務,甚至向網絡發起攻擊。另外,接入與地點的無關性,使得安全事件發生后很難定位發起安全攻擊的確切地點,無法追查責任人。
正是由于局域網內在應用上存在這些獨特的特點,造成局域網內的病毒快速傳遞,數據安全性低,網內電腦相互感染,病毒屢殺不盡,數據經常丟失。根據這些存在的安全隱患,在局域網中采取如何策略進行防范呢?
二、局域網安全策略控制與管理
(1)網絡系統的安全控制
為保護網絡的安全,必須對訪問系統及其數據的人進行識別,并檢查其合法身份,對進入網絡系統進行控制。訪問控制首先要把用戶和數據進行分類,然后根據需要把二者匹配起來,把數據的不同訪問權限授予用戶,只有被授權的用戶才能訪問相應的數據。通過用戶識別和驗證、用戶口令識別和驗證以及用戶賬號的默認限制檢查進入系統,選擇性訪問控制是基于主體或者主體所在組的身份,這種訪問控制是可選擇性的,如果一個主體具有某種訪問權,則它可以直接或簡接地把這種控制權傳遞給別的主體。選擇性訪問控制被內置于許多操作系統當中,是任何安全措施的重要組成部分。文件擁有著可以授予一個用戶或一組用戶訪問權。
(2)網絡互連設備的安全管理
網絡中的互連設備包括集線器、交換機、路由器等設備,這些設備在網絡中起著非常重要的鏈接作用,因此,這些設備的安全性更是關系到整個網絡的關鍵命脈。實際中,一定對網絡中這些設備的登錄有嚴格的控制管理,登錄方式只能掌握在網絡的管理人員手中,網絡的管理人言要正確配置設備的參數,運行過程中,能夠順利連接局域網中的各個環節,使整個網絡運行順暢。
三、病毒防治策略
防病毒體系是建立在每個局域網的防病毒系統上的,主要從以下幾個方面制定有針對性的防病毒策略:
(1)增加安全意識和安全知識,對工作人員定期培訓。如果技術人員對網絡安全產品一只半解,就不能正確配置,甚至根本配置錯誤,不但安全得不到保護,而且還帶來虛假的安全,因此,在網絡中,首先對技術人員進行專業的培訓。只有真正掌握安全管理各方面的知識,才能使整套的安全策略得到充分的執行和實施。
(2)小心使用移動存儲設備。日常工作過程中,數據的傳輸、備份,難免使用移動存儲設備,那么,在局域網中使用這些設備時,注意的問題有:使用是保證存儲設備的安全性,在使用移動存儲設備時,要做到不把病毒帶到網絡中,以防發生網絡故障,同時,也注意網絡中某臺計算機上的病毒感染移動存儲設備,防止數據的丟失。
(3)挑選網絡版殺毒軟件。目前市面上殺毒軟件比較多,但任何一個殺毒軟件都不能對所有病毒都起作用,我們在選擇殺毒軟件時需要注意到以下幾個方面:首先,殺毒軟件對客戶端設備的要求不是很高,能夠保證網絡中層次不齊的客戶端都能安裝該軟件,并且運行起來順暢。其次,殺毒軟件病毒庫升級比較方便,在出現新的病毒時,病毒庫能夠第一時間更新,確保客戶端不被侵犯。最后,殺毒軟件使用比較靈活,網絡中的客戶端都安裝殺毒軟件,但如果依靠人為手動進行查殺,運行起來比較麻煩,選擇殺毒軟件,一定能夠設置某時間點進行自動查殺。
通過以上策略的設置,能夠及時發現網絡運行中存在的問題,快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點,及時、準確的切斷安全事件發生點和網絡。
四、信息化安全管理制度
局域網網絡的安全管理制度是網絡的安全運行的保障,在制定安全管理制度中,最重要的是關于網絡各種文檔的制定。其中有網絡建設方案文檔、機房管理制度文檔、各類人員職責分工、安全保密文檔、網絡安全方案、安全策略文檔、口令管理制度、安全防護記錄、應急響應方案等等制度。實際中,通過以上各種文檔,在網絡運行過程中,隨時可以用到,只有健全的管理制度,才能確保更快地處理遇到的各類問題。
五、結束語
局域網安全控制與病毒防治是一項長期而艱巨的任務,需要不斷的研究和探索。隨著網絡應用的發展計算機病毒形式及傳播途徑日趨多樣化,安全問題日益復雜化,網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系, 要具備完善的管理系統來設置和維護對安全的防護策略。
參考文獻:
關鍵詞:無線局域網;網絡安全;入侵檢測;分布式系統
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2007)05-11247-02
1 引言
無線局域網(WLAN)是指以無線信道作為傳輸媒介的計算機局域網絡,是計算機網絡與無線通信技術相結合的產物。它無需線纜介質,利用電磁波在空氣中發送和接收數據,提供傳統有線局域網的功能,能夠使用戶真正實現隨時、隨地、隨意的寬帶網絡接入。它是對有線聯網方式的一種補充和擴展,使網上的計算機具有可移動性,使傳統的計算機網絡由有線走向無線,由固定走向移動,達到“信息隨身化、便利走天下”的理想境界。
雖然無線網絡正成為市場的熱點,在企事業單位等得到了廣泛的應用,但是,由于無線網絡的特殊性,使WLAN的安全問題顯得尤為如出。安全問題始終是無線局域網的軟肋,一直制約著無線局域網技術的進一步推廣
2 無線局域網的網絡現狀、所面臨的安全問題
2.1 無線局域網的基本架構
無線局域網由無線網卡(NetworkI nterfaceC ard,NI C)、無線接入點(Access Point, AP)、無線終端和其他相關設備組成。
無線局域網按照其拓撲結構可以劃分為兩種:對等網絡和結構化網絡。通常主要采用第二種組網方式。
2.2無線局域網的安全技術
訪問控制和數據加密是兩種常用的無線局域網安全技術。訪問控制保證系統資源只能由授權用戶進行訪問,而數據加密則保證被發送數據的安全性和保密性,使得該數據只能被期望的用戶接收和理解。無線網絡的數據傳輸利用紅外線或者無線電波在空氣中進行傳播,因此只要在網絡的覆蓋范圍內,所有的無線終端都可以接收到無線信號,AP無法將無線信號定向到一個特定的接收設備,因此無線的安全保密問題就顯得尤為突出。
為了提高無線網絡的安全性,IEEE802.11b協議中包含了一些基本的安全措施,包括無線網絡設備的服務區域認證ID (ESSID), MAC地址訪問控制以及WEP加密等技術。IEEE802.l1b利用設置無線終端的ESSID來限制非法接入。利用ESSID,可以很好地進行用戶群體分組,避免任意漫游帶來的安全問題。
另一種限制訪問的方法就是限制接入終端的MAC地址以確保只有經過注冊的設備才可以接入無線網絡。由于每一塊無線網卡擁有唯一的MAC地址,在AP內部可以建立一張“MAC地址控制表”,只有在表中列出的MAC才是合法可以連接的無線網卡,否則將會被拒絕接入。MAC地址控制可以有效地防止未經過授權的用戶侵入無線網絡。
無線網絡安全的另一重要方面數據加密可以通過WEP(Wired Equivalent Privacy)協議來進行,WEP是IEEE802.11 b協議中最基本的無線安全加密措施,其主要用途是:提供接入控制,防止未授權用戶訪問網絡;應用加密算法對數據進行加密,防止數據被攻擊者竊聽、中途惡意纂改或偽造。
2.4無線局域網的安全問題
雖然無線局域網的應用擴展了網絡用戶的自由,但是自由也同時帶來了安全性的挑戰,無線局域網存在著比有線局域網更復雜的安全威脅:
(1)傳統有線局域網存在的安全威脅和隱患
由于無線局域網只是傳輸方式上和有線網絡有差異,因此,常規威脅:病毒、木馬、漏洞利用、掃描攻擊及拒絕服務等都是存在的
(2)無線網絡信息傳輸在空氣中的擴散性意味著傳統的防火墻等手段阻止無線電波的網絡通訊都是徒勞的。
(3)非授權訪問威脅:從理論上講無線網絡采用服務區域認證ID 、WAC地址訪問控制等技術為無線網絡提供了相當的安全性, 然而事實并非如此,攻擊者通過嗅探竊取到授權客戶的MAC 地址, 并將其網卡的MAC 地址進行修改, 偽裝成授權的客戶, 通過訪問控制。另外還存在欺騙AP攻擊。
(4)安全威脅,網絡竊聽、密碼破解
由于無線網絡在通訊區域中傳輸信息可以被竊聽,并且很多用戶對自己的網絡系統采用的默認配置和弱配置,導致黑客很容易就可以進行網絡欺騙和破解,對無線網絡信息進行竄改和插入等。
(5)無線環境拒絕服務攻擊
基于802.11標準的網絡還有可能遭到拒絕服務攻擊(DoS)的威脅,從而使得無線局域網難于正常工作。另外,黑客還能通過上文提到的欺騙WAP發送非法請求來干擾正常用戶使用無線局域網。
從上面對無線局域網安全問題的分析來看,采用入侵檢測系統來加強WLAN的安全性將是一種很好的選擇。
3 無線入侵檢測系統的設計和實現
3.1入侵檢測技術
入侵是指有關試圖破壞資源完整性、機密性和可用性的活動。
入侵檢測是指發現非授權用戶使用計算機系統或企圖使用計算機系統的行為一級發現合法用戶濫用其特權行為的過程,是用來防范各種入侵的一種安全措施。
入侵檢測根據數據分析方法的不同分為誤用入侵檢測和異常入侵檢測。誤用入侵檢測也稱基于知識或基于特征的入侵檢測,是收集非正常操作即入侵行為的特征,建立相關特征庫,之后運用該特征庫對收集到的數據進行比較,根據比較的結果得出是否入侵的結論;異常入侵檢測也稱基于知識或基于行為的入侵檢測,是對正常操作特征進行總結,得出正常操作的模型后,對后續的操作進行監視,一旦發現偏離統計學意義上的操作模式,即認為該操作是入侵行為。完成入侵檢測的計算機系統稱為入侵檢測系統IDS(Intrusion Detection System)。
3.2入侵檢測系統模型
目前無線局域網大多采用結構化網絡(基礎結構模式網絡)組網方式,針對其無線網絡的特點,本文提出了一個分布式無線入侵檢測系統,對來自無線網絡的攻擊進行檢測,系統架構如圖1所示,系統總體分為兩個部分:中心控制臺和檢測。
圖1 系統整體架構
圖2系統邏輯結構圖
中央控制臺對檢測單元進行配置,并對檢測結果進行綜合決策分析;檢測單元由信息收集模塊、分析檢測模塊、通信模塊組成。信息收集模塊捕獲相應數據后,傳給分析檢測模塊后,首先進行協議解碼,然后對協議解碼后的數據進行檢測,若發現入侵,將產生報警,記錄攻擊特征,并通過安全的通道,將報警信息發給中央控制臺,中央控制臺根據各檢測單元上報的報警信息進行綜合分析,判斷入侵情況,進行相應處理。
3.3入侵檢測系統實現
(1)信息收集模塊擁有較高的權限,可以網絡數據包進行收集和過濾并將收集到的信息交給檢測模塊進行分析。
根據網絡布線與否,可以采用兩種模式:一種是使用1張無線網卡再加一張以太網卡,無線網卡設置為“雜湊”模式,監聽所有無線數據包,以太網卡則用于與中心控制臺通信;另一種模式是使用2張無線網卡,其中一張網卡設置成“雜湊”模式,另一張則與中心控制臺通信。
為了能夠對網絡數據進行實時分析,必須實現對網絡數據包的捕獲。Winpcap是windows平臺下一個免費,公共的網絡訪問系統。開發Winpcap這個項目的目的在于為win32應用程序提供訪問網絡底層的能力。
它提供了以下的各項功能:捕獲原始數據包;設定數據包的過濾規則;發送原始數據包;收集網絡通信過程中的統計信息等。
使用pcap捕獲數據包的流程分為幾個階段:選擇網絡監聽接口、建立監聽會話、編譯過濾器、設置過濾器和捕獲符合要求的數據包
(2)分析檢測模塊,是模型的基本檢測單元,包含一個入侵檢測模型,分布在網絡的關鍵節點,負責利用信息收集模塊提供的網絡數據進行入侵檢測,它是系統實施業務功能核心,執行主要的業務邏輯。各檢測模塊的行為模式是很相似的,一般都經過一下幾個步驟:
a.對捕獲的數據進行檢測,確定是否為入侵;b.若為入侵,調用響應單元,執行相應措施;c.若無法判斷為入侵,將可疑事件交給通信模塊送中央控制臺進行處理;d.記錄信息,存入臨時事件庫。
信息捕獲完成后,信息收集模塊將信息送至檢測引擎進行檢測,目前最常用的實時檢測技術手段是模式匹配和統計分析。
模式匹配:模式匹配就是將收集到的信息與一致的網絡入侵和系統已有模式數據庫進行比較,從而發現違背安全策略的行為。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
入侵規則數據庫的建立:制定一套完善的入侵檢測策略是建立黑的規則數據庫的前提。策略初步制定如下:
a.是否出現新增無線設備;b.網絡設備所在的位置;c.入侵數據包的特征值;d.入侵行為的統計特性;e.網絡中AP是否安全;f.數據量是否異常增多。
統計分析:統計分析發放首先對系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用過的一些測量屬性(如訪問次數、操作失敗次數和延時等)。在比較這一點上與模式匹配有些相象支出。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值在正常值范圍外時,就認為有入侵發生。例如,本來都默認用GUEST帳號登陸時,突然用ADMIN帳號登陸。這樣做的優點是可以檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。
在系統中,考慮到兩者的互補性,兩種分析方式結合使用。
模式匹配檢測算法技術:為了提高檢測效率及系統性能,本系統采Aho_Crasick自動機匹配算法,此算法是多模式匹配算法中最著名的算法之一,和其他模式匹配算法相比檢測速度比較快。
統計分析檢測算法技術:在統計模型中常用的測量參數包括審計事件的數量、間隔時間、資源消耗情況等。目前提出了可用于入侵檢測的5種統計模型包括:
a.操作模型:該模型假設異常可通過測量結果與一些固定指標相比較得到,固定指標可以根據經驗值或一段時間內的統計平均得到,舉例來說,在短時間內的多次失敗的登錄很可能是口令嘗試攻擊。
b.方差:計算參數的方差,設定其置信區間,當測量值超過置信區間的范圍時表明有可能是異常。
c.多元模型:操作模型的擴展,通過同時分析多個參數實現檢測。
d.馬爾柯夫過程模型:將每種類型的事件定義為系統狀態,用狀態轉移矩陣來表示狀態的變化,若對應于發生事件的狀態矩陣中轉移概率較小,則該事件可能是異常事件。
e.時間序列分析:將事件計數與資源耗用根據時間排成序列,如果一個新事件在該時間發生的概率較低,則該事件可能是入侵。
通常發現入侵之后,監測會記錄攻擊特征,根據入侵檢測之后反映字段做出的“通過”“報警”“審計”“聯動”等措施,并通過安全通道(采用一定強度的加密算法加密,無線網絡通常采用無線加密協議(WEP))將告警信息發給中心控制臺進行顯示和進一步關聯分析等
(3)中央控制臺由決策響應模塊和管理模塊組成
a.決策模塊:決策對收到的信息進行融合及態勢分析,把整個分析系統聯合分析,進一步進行態勢評估,從而得出整個網絡區域的安全情況以及評價。決策模塊功能如下:
1)對檢測上報的可以入侵信息進行進一步分析,降低系統誤報率。決策內部實現了一個投票機,對于同一數據只有當大多數檢測都判定其為入侵時,才認為它是真正的入侵,之后,決策發送確認消息給各個檢測;
2)執行響應功能,對入侵進行物理定位;
3)提供與管理模塊的通信接口,通過該接口,管理模塊可以對檢測的行為和狀態進行控制。管理員界面的信息也是通過決策模塊提供的通信接口來發送和接收。
b.管理模塊:進行人機對話,控制管理,入侵信息的數據庫更新等。
本系統是在Windows 操作系統下實現的一個無線網絡入侵檢測系統,采用多模式匹配的AC 自動機匹配算法和統計分析技術, 能快速檢測出目前針對無線網絡的經常的一些入侵行為,具有低誤報率和實時處理的特點,對無線局域網的安全提供基本的保障。但隨著無線網絡技術的普及和提高,對于無線網絡的攻擊行為也會越來越多,采用的攻擊技術也會越來越先進,本系統需要不斷更新特征庫才能檢測新的攻擊。下一步需要深入研究的是:怎樣解決好無線加密環境中有效入侵檢測和怎樣有效融合分析結果的問題
參考文獻:
[1]李慶超,紹志清,無線網絡的安全架構于入侵檢測的研究[M].計算機工程,2005.405-412.
[2]蔣見春,馮登國,網絡入侵檢測原理與技術[M].北京:國防工業出版社,2001.200-302.
[3]王斌,孔璐譯.HoldenG.防火墻與網絡安全入侵檢測和VPNs[M].清華大學出版社,2004:106-214.
[4]唐謙,張大方,入侵檢測中模式匹配算法的性能分析[J].計算機工程與應用,2005:136-137.
[5]柴平u,龔向陽,程時端,分布式入侵檢測技術的研究[J].北京郵電大學學報,2002.
[6]張濤,網絡安全管理技術專家門診[M].清華大學出版社,2005.50-64.
[7]夏春和,張欣,網絡入侵檢測系統RIDS的研究[J].北京郵電大學學報,2002.200-255.
[8]唐正軍網絡入侵檢測系統的設計與實現[M].北京:電子工業出版社,2002.
[9]韓東海,王超,李群,入侵監測系統實例剖析[M].清華大學出版社,2002.
[關鍵詞]VPN技術無線局域網SSL VPN
[中圖分類號]TP3[文獻標識碼]A[文章編號]1007-9416(2010)03-0091-02
隨著信息產業的飛速發展,通信技術和計算機技術的融合越來越快。無線通信已經成為我們生活不可缺少的一部分。但由于其無線通信設備采用的是無線信號的空中傳輸,使得在無線鏈路中傳輸的信息很容易被竊聽,存在很不安全的因素。嚴重的話甚至導致整個網絡的癱瘓。為此在一個企業當中建立一個無線局域網,安全性應是頭號要解決的問題。VPN是無線網絡建設當中解決無線通信安全問題的一個很好的方案。本文試圖就VPN技術在無線局域網中的應用做出一定的探討。
1 VPN技術概述
VPN (Virtual Private Network,虛擬專用網)是專用網絡在公共網絡如Internet上的擴展。VPN通過隧道技術在公共網絡上仿真一條點到點的專線,從而達到安全的數據傳輸目的,基于Internet的VPN也稱為IP-VPN。所以從本質上說,虛擬專用網(VPN)是一種能夠通過公用網絡安全地對內部專用網進行遠程訪問的技術。其要點是在遠程用戶和VPN服務器之間建立一條加密隧道,將原始數據包加密,并在外面封裝新的協議包頭。這樣只有知道密鑰的通信雙方能夠解開數據包,保證了數據包在公共媒質上傳送的時候,不會被非VPN 用戶截取。
2 VPN技術在無線局域網中的應用分析
無線局域網因其傳輸介質、訪問方式等原因,使得其很容易受到攻擊。無線局域網常用的安全方式,如MAC地址過濾、服務區標識符(SSID)匹配等存在很多明顯的弊端。利用VPN技術可以為無線局域網提供更可靠的安全解決方案。但是從目前現狀來看,VPN在無線局域網中應用實現方式主要有兩種,一種是基于IPSec 的無線VPN設計,另外一種是基于SSL的無線VPN設計。但是IPSec 的無線VPN設計是較早時期VPN在無線局域網中的實現方式,隨著近年來無線局域網以及VPN技術的逐漸成熟,基于SSL的無線局域網實現技術已經成為主流,本文將重點探討基于SSL的VPN技術在無線局域網中的應用。
2.1 SSL VPN在無線局域網中應用原理及功能特點
SSL(Secure Socket Layer,安全套接層)是一種在兩臺機器間提供安全通道的協議,它具有保護傳輸數據以及識別通信機器的功能。SSL VPN是解決遠程用戶訪問敏感公司數據最簡單最安全的解決技術。SSL VPN使用SSL協議和為終端用戶提供基于HTTP, C/S和共享文件資源的認證和安全訪問。與復雜的IPSec VPN相比,SSL通過簡單易用的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN,這是因為SSL內嵌在瀏覽器中,它不需要象傳統IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。SSL VPN的工作原理如圖1所示:
SSL VPN的功能特點主要體現在以下幾個方面:一是無需安裝客戶端軟件。大多數執行基于SSL協議的遠程訪問不需要在遠程客戶端設備上安裝軟件,只需使用標準Web瀏覽器即可訪問到企業內部的網絡資源。這樣無論是從軟件協議購買成本上,還是從維護、管理成本上都可以節省一大筆資金,從而大幅降低VPN網絡的實施成本。二是適用于大多數設備及系統。由于Web方式的開放性,支持標準瀏覽器的任何設備都可以使用SSLVPN進行遠程訪問,包括非傳統設備,如PDA等。三是適用于大多數操作系統。任何支持標準Web瀏覽器的操作系統都可以作為S SL VPN的客戶端進行遠程訪問。不管用戶使用的操作系統是Windows、Macintosh、UNIX還是Linux。都可以非常容易地訪問到企業內部網站的資源。
2.2 SSL VPN在無線局域網中的具體應用
通過圖1的示意圖可以看出,SSL VPN在無線局域網網中應用的整個系統由SSL網關和Web服務器以及AP組成,其中最重要的是SSL網關。網關由多個服務器組成,LDAP服務器負責證書以及證書吊銷列表的保存,RADIUS服務器負責訪問控制策略,DHCP服務器負責為接入網關的局域網計算機分配IP地址,AD是證書驗證服務器。
對于SSL VPN來說,要保證通信的安全,必須要做到保密性、消息完整性和端點的認證。保密性是指傳輸的數據必須經過加密,消息完整性是指傳輸的數據能夠確認是沒有被黑客或攻擊者篡改過,端點認證是指客戶端或者服務器端能夠對另一方確認是否是正確的通信者。SSL協議通過SSL握手來確定密鑰并用該對稱密鑰來對通信的數據進行加密。在握手期間通過公鑰技術對雙方進行認證,并用密鑰交換技術交換通信使用的對稱密鑰,然后使用對稱密鑰加密通信數據。SSL的安全依賴于所使用的加密套件,每個加密套件使用四種算法,即:數字簽名算法,消息摘要算法,密鑰確立算法以及數據加密算法。
SSL VPN在無線局域網中具體應用需要重點解決以下幾個方面的問題:一是客戶端安全接入問題。對于SSL VPN服務器來說,有效地保證自身的安全和對客戶端接入的控制是最重要的。應該具備一個專門的子系統來負責對客戶端的認證,它的功能是針對不同的客戶端選擇相應的策略進行認證;二是有效的訪問控制策略。當用戶通過了系統的認證之后,如何有效而靈活控制客戶的訪問權限,是非常重要的問題,同時也是SSL VPN系統最具特色的特點之一。如何實施用戶的集中化管理,通過SSL VPN控制臺進行管理,更加有效的監控用戶使用權限,如何做到能夠基于內容的訪問控制策略等等都需要更多的關注。三是傳輸性能問題。對于一個SSL VPN服務器來說,傳輸在整個SSL VPN系統中是一個性能的瓶頸點。
總之,隨著我國網絡用戶的快速增長,無線網絡作為有效網絡的有效補充,在人們的網絡生活中將會占據更加重要的地位。而VPN技術作為無線局域網的一種有效安全措施,在無線局域網中具有非常廣泛的應用。
[參考文獻]
[1] 劉乃安.無線局域網(WLAN)――原理、技術與應用[M].西安:電子科技大學出版社,2004.
[2] 周明.SSL VPN體系結構在無線局域網中的應用與設計[J].電子科技大學.2006(4).
【關鍵詞】醫院;網絡信息;安全因素;防護
【中圖分類號】R197.324【文獻標識碼】A【文章編號】1006-4222(2016)01-0048-01
引言
在我國,信息化建設起步較晚,這無疑就造成了我國計算機網絡信息安全技術的相對落后,安全措施方面的局限性也是暴漏無疑。好在隨著全球化網絡安全技術的不斷發展,我國的網絡安全技術也隨之得到一定的提高,再加上新的醫改方案的落實實施,更是使醫院的信息化管理得到了巨大的發展,這不僅在很大程度上提高了廣大醫護人員的工作效率,也在一定程度上給醫院的管理帶來了極大的方便,更是使醫院的各項工作順以有序的進行。現階段醫院的各項工作都依賴于網絡信息系統的正常運轉,其安全性在很大程度上直接關系到醫院工作的正常運行,因此確保醫院網絡系統的安全工作勢在必行。
1網絡安全概述
網絡安全是指系統中的數據受到保護,不論是網絡系統的硬件、軟件還是其系統中的數據都不因任何原因被惡意更改,也不因偶然的原因而遭受到重大的破壞,甚至泄露;網絡安全還要求網絡系統能夠連續可靠的正常運行,不出現網絡服務中斷的現象。網絡安全顧名思義究其本質上來講就是指網絡上的信息安全。但從廣義來說,任何涉及到網絡上信息的保密性,或是其完整性和可用性,亦或是其真實性和可控性的相關技術及其理論都在網絡安全的研究范疇。
2醫院網絡信息的不安全因素
2.1管理因素
管理在網絡安全中扮演著至關重要的角色,其地位不容動搖。安全管理中的責權不明,會給安全管理工作帶來混亂的局面,當然不健全的安全管理制度以及缺乏可操作性的管理制度都可能在不同程度上引起管理安全的風險。
2.2硬件因素
硬件安全是網絡信息安全工作中的重要組成部分,其主要是指信息系統中的硬件設備的相關性能,如果其硬件性能不能夠穩定的工作或者存在這樣那樣的故障問題:①就會使醫院的各項工作受到不同程度的影響;②還會使整個網絡信息系統的服務器出現問題,緊接著交換機等設備也會相繼出現這樣那樣的問題,嚴重時導致醫院整個網絡處于癱瘓狀態也是不無可能。
2.3軟件因素
軟件安全也是網絡安全中不可或缺的因素。其主要是指計算機病毒或是黑客的侵入。在過去一段時間,醫院的網絡信息系統大多都采用封閉式的局域網,這樣雖然避免了外來病毒以及黑客的侵入,但是就醫院整體而言在很大程度上還是有局限性。現如今,現代醫院網絡信息系統不再使用以前封閉式的局域網,而是采用開放式的互聯網網絡,這樣一來雖然醫院的工作效率得到了明顯提高,但是很容易受到外來病毒或者是黑客的侵入,致使醫院網絡信息系統的不安全性大大提高。
3醫院網絡信息的有效防護措施
3.1安全管理制度
不斷完善醫院網絡安全管理制度是確保醫院網絡信息安全的有效措施之一。在執行安全策略時要制度化,確保信息化設備及系統各項工作過程中的相關管理制度的落實,并嚴格實施與執行。
3.2硬件安全措施
在硬件安全方面,服務器是醫院網絡信息系統的中心,所以加強服務器的安全管理工作十分重要。為進一步確保服務器的安全運行,需要在服務器以及安全性要求較高的設備上安裝入侵檢測系統,這樣就能在很大程度上避免病毒的侵入。此外,外在環境也能在一定程度上對醫院網絡信息的安全造成一定的影響,因此就要求我們控制好設備運行的環境、濕度、溫度等外在環境,從而達到確保醫院網絡系統安全運行的目的。
3.3軟件安全措施
在軟件安全方面,數據庫在安全管理工作中扮演著核心角色,因此對于數據庫的選擇也是至關重要,目前現有醫院計算機網絡系統中常見的數據庫有SQLSERVER、ORACLE數據庫。在數據庫的管理工作中嚴格操作以及規范管理是最基本的要求,對數據庫進行及時的備份才是數據庫管理工作的重中之重,備份能夠有效的預防數據的丟失,確保數據庫的整體完整。目前在醫院中常用的數據備份方法有以下幾種;雙機熱備、異地備份和磁帶備份。雙機熱備是指書庫從主服務器備份到備份服務器上,能夠實時有效的進行,另外其每天進行三次將數據分別備份在主服務器和備份服務器上,這樣一來即使其中的一臺服務器出現了故障,啟動另一臺服務器就能保證系統的正常運轉,數據的完整性也不會遭到破壞。磁帶備份也是較常用的備份方式,高容量、易攜帶以及易保存是其較為顯著的特點,在數據的異地保存中工作中具有很大的靈活性和可靠性,能夠有效的預防醫院中心機房發生災難性的事故,使丟失的恢復完整。
4結語
綜上所述,為了確保醫院各項工作順利有序的進行,提高醫院各項工作的工作效率,就要做好醫院網絡信息安全的防護工作,提高醫院網絡信息的安全性及穩定性。
參考文獻
[1]王淑梅,朱芮穎.電子文件管理中的不安全因素及防護措施[J].黑龍江檔案,2002,06:47.
[2]宋穎杰,于明臻.醫院信息系統的網絡安全管理與維護[J].中國現代醫生,2007,17:104+110.
(一)網絡安全設施配備不夠
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技
術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
摘要:隨著“校校通”工程的深入實施,校園網作為學校重要的基礎設施,擔負著學校教學、教研、管理和對外交流等許多重要任務。校園網的安全問題,直接影響著學校的教學活動。文章結合十幾年來校園網絡使用安全及防范措施等方面的經驗,對如何加強校園網絡安全作了分析和探討。
關鍵詞:校園網;網絡安全;防范措施;防火墻;VLAN技術
校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.
關鍵詞:校園網安全;端口綁定;端口隔離;最大連接數
中圖分類號:TP39 文獻識別碼:A 文章編號:1001-828X(2015)024-0000-01
一、引言
隨著國家網絡信息化建設的飛速發展,網絡已成為人們生活中不可或缺的工具并享受著更便捷的生活方式,隨著數字化校園建設的不斷推進,越來越多的學校利用自己的校園網絡進行教學和管理,通過Internet的形式來實現遠程教育教學,教育不再受地域、學校、學科的限制,學習者也能夠充分享受教育的多樣性、多面性提高學習者的趣味性、選擇性。鑒于校園網特殊的使用群體,日常師生較多訪問量校園網,因此安全問題已為各類學校所關注,校園網安全狀況直接影響著學校學習、教學的方方面面,作為局域網中不可或缺的交換設備-“交換機”就成為安全防范的著眼點。
為了保證網絡的安全,一般我們需要在網絡的邊緣――接入層進行安全控制。在接入層所能的實施安全措施主要包括以下幾個方面:Mac-ip地址綁定技術、端口接入認證技術、端口隔離技術 報文過濾技術。
二、 MAC-IP地址綁定技術
首先談一下MAC地址與端口綁定,進行綁定操作后,只有指定MAC地址和IP地址的計算機發出的報文才能通過指定端口轉發,提高了系統的安全性,增強了對網絡安全的監控,同時也防止內部人員進行非法IP盜用,以H3C交換機為例(網絡拓撲如圖所示):
參數配置命令:
[JX]interface ethernet1/0/2
[JX-Ethernet1/0/2] user-bind ip-address 10.1.1.1 mac-address 0001-0201-2123
[JX]interface ethernet1/0/3
[JX-Ethernet1/0/3] user-bind ip-address 10.2.1.1 mac-address 0001-0401-2126
[JX]interface ethernet1/0/4
[JX-Ethernet1/0/4] user-bind ip-address 10.3.1.1 mac-address 0002-0261-2562
三、端口隔離技術概述
所謂端口隔離技術是指在客戶端的端口間實現足夠的隔離度從而確保一個客戶端不會收到另外客戶端的流量的技術。所實現的方法為用戶將受控端口加入到某個隔離組中,進而達到實現組中的端口間二層、三層的數據隔離,進一步增加網絡的靈活性和安全性。使用該技術后單播、廣播和組播便不會在隔離端口間產生,ARP 病毒也就不會在被隔離計算機之間傳播。(參照網絡拓撲如上圖)。
配置參數命令:
[JX]interface ethernet1/0/2
[JX-Ethernet1/0/2] port-isolate enable
[JX]interface ethernet1/0/3
[JX-Ethernet1/0/3] port-isolate enable
[JX]interface ethernet1/0/4
[JX-Ethernet1/0/4] port-isolate enable
[JX]interface ethernet1/0/1
[JX-Ethernet1/0/1] port-isolate uplink-port
四、端口接入認證技術802.1x
802.1X身份驗證協議由最初的無線網絡應用,后來擴展到在二層交換機和路由器等網絡設備上使用。它對用戶身份進行認證可基于端口來完成,也就是說當用戶的數據流量試圖通過配置過802.1X協議的端口時,必須要進行身份的驗證,只有合法則允許其訪問網絡。這樣的做的有點可以對內網用戶進行認證,并且配置簡化,在一定的程度上可以取代Windows的AD。
802.1X身份驗證協議的配置,首先必須要全局啟用aaa認證,這與在邊界網絡上使用aaa認證沒有過多的區別,只不過認證的協議是802.1X;其次則需要在相應的接口上啟用802.1X身份驗證。(建議在所有的端口上啟用802.1X身份驗證協議,并使用radius服務器來管理用戶名和密碼)
下面的配置aaa認證,所使用的為本地用戶名和密碼。
3560#config
3560(config)#aaa new-model /啟用aaa認證。
3560(config)#aaa authentication dot1x default local /啟用802.1X協議認證,并使用本地用戶名與密碼。
3560(config)# interface range fastethernet 0/1-24
3560(config-if-range)#dot1x port-control auto /在所有接口上啟用802.1X身份驗證。
五、結束語
綜上所述,在校園網環境中,為能夠實現用戶穩定、安全、高效的上網,更好地服務于教育教學,網絡管理人員都應當采用多元化的管理模式,對地址綁定技術、端口接入認證技術、端口隔離技術 報文過濾技術的分析,明確了交換機端口管理技術的特點,結合自己工作實際和我校的網絡應用現狀,選擇合理的模式來管理交換機的端口。為校園網絡的安全管理和有效實踐奠定了良好的基礎。
參考文獻:
[1]陳程,歐陽昌華.互聯網網絡安全性及其對策[J].企業技術開發,2007(09).
關鍵詞 醫院;計算機;網絡;病毒攻擊
中圖分類號:V355.1 文獻標識碼:A 文章編號:1671-7597(2013)11-0000-00
隨著社會信息化水平的不斷提高,信息化已經逐漸滲透到各行各業,人們變得更加的依賴計算機網絡帶來的信息化服務,計算機網絡的成熟與發展引起了醫療行業的高度關注[1],經過多年的不斷發展,大部分的醫院基本上實現了網絡化的全面普及,醫院所有的數據信息都存儲在自身的計算機網絡環境中,計算機網絡給予人民帶來方便的同時,也使得計算機網絡的正常運行時刻遭受著各種因素的威脅,因此必須總結出一套足以保障醫院計算機網絡安全的措施以及方法,才能使得醫院的計算機網絡環境更加安全、更加高效。
1 醫院計算機網絡存在的安全隱患
1.1 計算機病毒感染
計算機病毒(Computer Virus)是造成計算機網絡中大量信息資源泄漏的主要途徑,醫院內部的所有計算機都存在著感染到計算機病毒的可能性,計算機病毒與醫學中的病毒完全不同,計算機病毒具體指的是制造者在計算機應用程序中植入的具備破壞數據信息資源或者計算機功能的程序,該計算機程序能夠對計算機產生一定的影響,通常具備自我復制性、極大的破壞性以及極強的傳染性。
計算機病毒隱蔽性非常強,通常隱蔽在文件、網上下載的程序、不健康的網頁等,這種形式再借助互聯網網絡、移動存儲介質、電子郵件等傳播媒介進行復制傳播。一旦計算機遭受到病毒的攻擊,輕的情況下會影響到計算機系統的運行效率、占用被攻擊計算機的存儲空間等,重的情況下則會造成重要數據信息資源的丟失,用戶帳號以及密碼等信息的丟失則會直接造成用戶財產的不安全性,此外,計算機病毒還能夠刪除以及篡改計算機內部的數據信息,造成信息數據的丟失以及不準確性,醫院的局域網由于具備較多的客戶端機器,因此在安全維護上存在著諸多問題,當計算機遭受到類似蠕蟲一樣的計算機病毒的時候,則會造成整個醫院計算機服務器以及網絡出現癱瘓的嚴重現象。
1.2 黑客攻擊
黑客攻擊通常采取的攻擊技術手段便是非法入侵以及拒絕服務(DOS,DENIAL-OF-SERVICE)攻擊,非法入侵攻擊手段的主要措施便是對攻擊的計算機中的數據進行刪除、篡改以及復制等[3],有的醫療工作人員借助黑客軟件或者其他的一些非法措施竊取到數據庫訪問密碼以及帳號,并通過該帳號以及密碼對醫院的核心數據庫進行修改,給醫院的數據信息的安全帶來極大的隱患。拒絕服務攻擊也是黑客攻擊最為常用的攻擊手段,具體指的是攻擊者通過各種技術措施使得目標計算機停止提供服務,進而造成被攻擊目標出現癱瘓的現象,或者使得整個醫院的網絡出現癱瘓。
1.3 軟件自身漏洞
計算機系統的組成通常離不開軟件以及硬件,其中不完善的軟件系統通常會存在著巨大的安全隱患,攻擊者針對軟件系統的漏洞能夠迅速的找到攻擊策略,進而成功對計算機進行攻擊。
1.4 計算機網絡物理硬件安全
硬件物理設備的安全是整個醫院計算機網絡安全的基礎,物理安全的最終目標是確保計算機網絡設備不會遭受到環境事故或人為操作失誤以及犯罪等行為而導致的物理破壞。
2 醫院計算機網絡安全保障措施以及方法研究
醫院計算機網絡安全的保障措施非常多,本文針對前面提到的幾點安全隱患給出了對應的安全防范措施以及方法。
2.1 計算機病毒防治方法
計算機病毒是目前醫院計算機網絡中防護的重點對象,計算機病毒的不定時攻擊對醫院的計算機網絡帶來了極大的安全隱患,針對此種現象,本文提出統一管理、統一防護以及統一升級的防范措施,統一管理具體指的是對醫院的所有計算機進行統一全面管理,統一防護指的是采用同樣的防治策略能夠確保醫院網絡中的計算機都能夠得到防護,統一升級指的是對于計算機病毒庫的升級同樣采取統一策略,并且病毒庫的升級盡量避免人為因素的干擾,可以采取自動下載升級的策略更新病毒庫系統[4]。除此之外計算機病毒防護還需要軟件以及硬件相結合的防治策略,硬件指的是在整個醫院計算機網絡拓撲中添加防火墻、三層交換機等設備,從物理角度防范病毒軟件的植入等安全攻擊,軟件系統指的是則可以借助現有的比較流行的安全防護軟件系統對計算機進行安全保護,定時掃描計算機。時刻監控計算機是否遭受到計算機病毒的攻擊。
2.2 數據信息資源備份
醫院計算機網絡中的數據信息資源量比較大,可以對醫院的數據庫服務器數據采用雙機熱備份措施,本文建議對于醫院的數據可以采取每五個小時進行一次差異備份,數據完全備份的時間間隔建議在一天以內,在數據完全備份的同時將數據轉存到數據庫備份服務器上,如果醫院條件允許,則建議將備份數據進行異地存儲。
2.3 安裝網絡實時監控軟件系統
實時監控軟件系統的部署能夠有效的幫助醫院計算機管理工作人員實時監控所有的操作,能夠第一時間發現用戶的非法操作,并且能夠將用戶非法操作的畫面進行截圖存儲到控制臺中,畫面可以作為證據,此外還能夠發送警告等指令提醒用戶正在進行非法操作。通過實時監控軟件系統能夠很大程度上降低用戶非法操作所產生的安全隱患。此外,還可以對整個醫院網絡進行信息偵聽,借助信息偵聽軟件能夠迅速的捕獲非授權的違規訪問以及網絡嘗試訪問,進而第一時間偵聽到系統所遭受到的攻擊危害。信息偵聽技術是現階段防范黑客攻擊效果最好的技術措施。
2.4 計算機網絡物理隔離
物理隔離指的是對于醫院中的計算機網絡則采用三層交換機、防火墻以及虛擬網絡技術等措施進行隔離,通過虛擬網絡的分割劃分能夠有效的實現子網段的物理隔離,這樣某個網段的安全隱患則不會滲透到整個網段。
2.5 數據信息加密以及訪問控制
數據信息資源以及網絡資源是醫院計算機網絡中最為珍貴的資源,因此可以對數據信息采取加密的措施,與此同時,還必須對數據信息資源的訪問進行安全控制,對于所有的非授權訪問全部拒絕。
2.6 建立完善的計算機網絡安全管理制度
醫院的計算機網絡的安全防護必須建立在一套完善的計算機網絡安全管理規章制度上,制度與技術的結合才能夠有效的保障醫院計算機網絡信息系統的安全,才能夠確保醫院的計算機網絡安全、穩定、高效的運行。
3 總結
隨著計算機網絡技術的不斷進步,以全球互聯網網絡作為代表的互聯網技術瞬間滲透到了世界的每個角落,這同時也給計算機網絡帶來了潛在的安全隱患。醫院的計算機網絡安全防護是一個巨大而艱巨的工程,需要依賴于一個全面的、整體的技術保障,與此同時也是一個動態以及長期的防護過程,醫院計算機網絡安全措施的研究需要緊密的將醫院實際情況以及技術結合起來,并制定有效的保證措施以及規章制度才能逐步提升醫院計算機網絡系統的安全。
參考文獻
[1]周薇.醫院網絡系統中病毒防范策略研究[J].中國醫療設備,2009(02).
[2]張真真.大型醫院網絡安全防護體系的架構[J].現代醫院管理,2008(06).
[3]劉莉.醫院信息網絡系統的安全維護[J].中國醫療設備,2008(12).
[4]毛曄沁.醫院網絡安全的技術實現與改進[J].信息安全與技術,2011(06).
關鍵詞 校園網;網絡信息;安全措施;分析
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)97-0230-02
1校園網安全特性分析
通常來講,信息安全重點關注的是信息資源、通信資源以及計算機資源等被一些惡意的行為破壞,出現了信息泄露、被篡改、濫用的現象。信息網絡的安全特性主要有完整性、可用性、保密性以及未授權使用資源的安全威脅,這些安全特性也是校園網的安全特性。
目前,不少學校的校園網中使用的網絡沒有設置防護系統,也沒有內部網絡和外部網絡的區別,可以說安全策略和安全措施的設置絲毫沒有受到學校的重視。
主要表現在網絡的應用管理系統較為分散、沒有設置完善的防毒策略、沒有采取數據備份措施以及尚未建立集中的身份驗證系統等等。
在教育信息化速度日益加快的今天,學校中的很多工作都需要通過網絡來完成,例如管理、科研方面的工作,除此之外,校內的諸多業務系統都需要通過校園網來建立,如教務系統、人事系統、辦公系統以及財務系統等。如果校園網網絡信息的安全問題再得不到足夠的重視,將會給校園網埋下嚴重的安全隱患。
2校園網網絡信息安全風險分析
校園網具有網絡連接形式復雜、設備種類數量多以及操作系統平臺不一致的特點,這就給校園網的網絡信息的安全帶來了很多威脅,風險主要來自一些幾個方面。
2.1互聯網導致的風險
校園網絡的構建幾乎都需要用到Internet技術,并且還需要連接到互聯網上。網絡用戶可以直接訪問互聯網的資源,同樣任何能上互聯網的用戶也可以直接訪問校園網的資源。
這樣的網絡構建方式對于提高學校的知名度、擴大學校的影響力具有十分重要的作用。然而互聯網具有網絡信息的開放性和共享性,這就導致了網絡信息存在一定的安全隱患,學校在獲得知名度的同時,也會出現一些安全問題。
互聯網上的信息都不能完全信任,因為網絡信息的安全性無法保證,是否會出現網絡攻擊更難以預料,這就需要學校在使用校園網時切實做好安全防范工作,預防和化解存在的安全風險。
2.2內部導致的風險
據相關統計顯示,有將近75%的網絡信息安全事件都是源于內部。可見,內部網絡存在的安全風險十分嚴重。
因為內部人員比其他人員更熟悉內部網絡的應用系統和網絡結構,這就容易出現網絡內部人員攻擊內部網絡的事件,或者內部人員與外部人員聯手攻擊網絡,亦或是內部人員將網絡信息隨意泄露出去的行為,這都可能會給校園網的網絡系統帶來破壞性的打擊。
特別是近年來校園網絡的迅速發展,并且和一般性的局域網絡不同,校園網使用的用戶中網絡高手較多,更需要切實做好校園網的安全預防工作。
2.3病毒導致的安全風險
病毒是一種非法程序,它是為了達到某種企圖而秘密編寫的,它的復制能力非常強。病毒能夠給計算機網絡帶來毀滅性的破壞。
尤其是目前互聯網的發展速度日新月異,使用電子郵件系統的用戶變得越來越多,致使網絡成為了病毒擴散的重要載體,并且能夠借助計算機這一載體將病毒肆意地傳播開來。由此可見,校園網的網絡信息在病毒肆意蔓延的環境下存在著諸多安全隱患。
2.4管理導致的安全風險
在網絡安全中,管理占據著十分重要的地位。不少學校都將學校的建設放在重要的位置,而不太重視學校的管理工作,尤其是網絡安全管理。
可見,出現網絡安全的一個重要原因就是學校沒有制定完善的安全管理制度。
如,校園網的網絡用戶沒有樹立較強的安全意識,校園網缺乏完善的管理制度,校園網絡管理員設置不合理以及用戶口令設置不恰當等等,這些都給校園網帶來了嚴重的安全隱患。
2.5系統導致的安全風險
由系統導致的安全風險主要來自于數據庫系統、操作系統以及各種應用系統。大多數校園網一般使用三種系列的操作系統,它們是Linux、Unix以及Windows,使用程度最高的系列是最后一種。
不言而喻,每一種操作系統都不可能是完美的,或多或少都會存在一些未知和已知的安全問題,并且國家安全組織也對系統中存在的大量漏洞給予了披露。系統中存在的有些漏洞能夠使攻擊者暢通無阻地進入到管理員的網絡系統中,進而破壞網絡系統,還有些漏洞能夠為病毒的入侵提供便利的條件等等。
總之,系統中存在的風險也嚴重威脅著校園網的網絡信息的安全。
3保護校園網信息安全的對策
3.1重視網絡安全規劃
注重對校園網實施安全規劃的目標是為了從系統性的角度對網絡中的安全問題進行全面性的思考。網絡安全規劃的內容比較多,主要有病毒防御、加密技術、訪問攔截、認證技術以及攻擊檢測技術等安全預防措施;安全服務;安全管理制度,如工作流程、網絡工作人員以及維護保障制度等;安全防范策略;應用服務器、應用系統的分布情況、數據庫系統設置的位置;內部網絡的邏輯劃分以及外部網絡的邏輯劃分;安全評估、數據備份與恢復措施、減災措施以及實施計劃等。
在校園網建設規劃的同時,要同時做好校園網的信息規劃工作,并將其列入到校園網建設規劃中的重要事項當中。
3.2對網絡區域進行科學合理地劃分
站在安全的角度考慮,校園網對網絡區域進行科學合理地劃分是十分有必要的。在對網絡區域進行劃分時,需要充分考慮整體的安全規劃以及信息安全密級,運用邏輯思維對內網和外網進行劃分,劃分出安全區域(內網區域)、不安全區域以及非軍事區(DMZ),然后還要考慮到學校對網絡的需求情況,對虛擬專用網(VLAN)進行合理地劃分,如圖1所示。
圖1網絡區域的劃分
校園網的內部網絡區域屬于安全區域,這個區域是不允許外部用戶進行訪問的,因為其擁有較高的安全等級。
該區域運行的系統主要有OA系統以及各種應用系統,而這個區域應該存放的服務器主要有數據庫服務器以及不同種類的內部服務器。
內部網絡和外部網絡用戶都可以對非軍事區進行訪問。這個區域能夠為外界提供Ftp服務、Web服務以及Email服務等多種服務。
因此,也需要為這個區域制定一些安全防護措施。校園網防火墻以外的網路接口處外部的區域被規定為了不安全區域。在認真分析了校園網用戶的特征之后,總結出該結構具有的特征如下:
1)通過校園網的入侵檢測系統和防火墻,校園網用戶都能對互聯網進行訪問,使廣大校園網的用戶能夠方便地使用網絡;
2)DMZ(demilitarized zone)與外部區間之間設有防火墻,能夠為校園網提供信息過濾以及訪問控制等防護措施。非軍事區域內提供的所有網絡服務,內部網絡用戶和外部網絡用戶都能夠享受,即都能夠對該區域進行訪問。
因此,需要在分析非軍事區域的特點,為其制定出行之有效的安全防護措施。在這些安全措施制定期間,要對內部網絡用戶和外部網絡用戶做出一些規定,對開放服務不設置權限,但是對內網的各種服務需要暫時設置一些權限,不能允許內外網用戶進行訪問;
3)內網區域具有較高的安全級別,在對其進行設置安全防護措施時,可以同時利用入侵檢測系統和防火墻,使二者進行相互配合,建立健全安全防御體系。
3.3運用行之有效的網絡安全防御技術
3.3.1防火墻安全技術
防火墻這種網絡設備能夠對網絡之間的訪問起到一定的控制作用,它主要是通過攔截認證資格的用戶進入內部網絡、篩選不安全信息的方式,以達到保護內部網絡的目的,實質上防火墻是一種位于內外網之間的安全防御系統。然而防火墻這種安全技術無法控制內部出現的沒有認證授權
就進行訪問的狀況。所以比較適合應用于相對較為獨立的內部網絡,并且和外網的連接的途徑受到一定的限制、網路服務種類比較集中的網絡。
在對外界入侵者進行防御時,防火墻應用的技術主要有應用網關、數據包過濾以及服務等,以達到維護校園網絡安全的目的。
3.3.2數據加密技術
數據加密技術可以提高網絡數據的安全系數,避免出現重要數據信息被濫用、篡改以及泄露的現象,從而為網絡的安全運行提供一個良好的環境。
而那些沒有運用加密技術的網絡數據容易在運行時受到外界的阻攔,給信息使用者帶來極大的經濟損失。數據加密技術主要有三大類:對稱型加密技術、不可逆加密技術以及不對稱型加密技術。
總之,在網絡上應用這三大類加密技術可以為網絡運行創造出一種安全可靠的環境。
3.3.3網絡入侵檢測技術
網絡入侵是指通過不合法的手段企圖使信息系統的完整性、機密性以及可信性受到嚴重破壞的任何網絡活動,對網絡環境的安全性造成了嚴重的威脅。
而入侵檢測(Intrusion Detection)技術能夠對網絡的外部環境進行檢測,而且還能對網絡內部用戶的未授權活動進行檢測,極大程度上提高了其安全性。網絡入侵技術通過利用新型的攻守結合戰略來對相關數據進行檢測,并及時驗證其是否具有合法利用特權,并且還能搜集相關證據,借此來追究入侵者的非法行為。
IDS是入侵檢測技術中常用的一種能夠為管理者提供安全可靠信息的檢測系統,它能夠及時地檢測到網絡運行中出現的可疑或不安全因素,然后將其真實地告訴網絡管理者,以便于采取有效的措施進行防御。
市場上比較常見的IDS產品綜合采
用三個基本方法來檢測網絡入侵:即為追蹤分析、網包分析及實時活動監控。
參考文獻
[1]鄧長春.淺談網絡信息安全面臨的問題和對策[J].電腦與電信,2007(3).
[2]陳文冠,曹亮,陳興華.高校校園網信息安全的研究[J].科技管理研究,2007(2).
