時間:2022-02-02 07:28:41
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全設計論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
一、消防信息化建設的主要內容
1.1消防信息化的范疇
消防信息化是利用先進可靠、實用有效的現代計算機、網絡及通信技術對消防信息進行采集、儲存、處理、分析和挖掘,以實現消防信息資源和基礎設施高程度、高效率、高效益的共享與共用的過程。
消防信息化建設的范疇包括通信網絡基礎設施建設、信息系統建設及應用、安全保障體系建設、運行管理體系建設和標準規范體系建設等內容。
1.2通信網絡基礎設施建設
全國消防通信網絡從邏輯上分為三級:一級網是從部消防局到各省(區、市)消防總隊以及相關的消防科研機構和消防院校;二級網是各省(區、市)消防總隊到市(地、州)消防支隊;三級網是各市(地、州)消防支隊到基層消防大隊及中隊。對北京、上海、天津、重慶等直轄市,二級網和三級網可合并考慮。每一級網絡所在機關均應建設本級局域網。
1.3安全保障體系建設
安全保障體系是實現公安消防機構信息共享、快速反應和高效運行的重要保證。安全保障體系首先應保證網絡的安全、可靠運行,在此基礎上保證應用系統和業務的保密性、完整性和高度的可用性,同時為將來的應用提供可擴展的空間。安全保障體系建設的基本要求是:
(1)保障網絡安全、可靠、持續運行,能夠防止來自外部的惡意攻擊和內部的惡意破壞;
(2)保障信息的完整性、機密性和信息訪問的不可否認性,要求采取必要的信息加密、信息訪問控制、訪問權限認證等措施;
(3)提供容災、容錯等風險保障;
(4)在確保安全的條件下盡量為網絡應用提供方便,實行全網統一的身份認證和基于角色的訪問控制;
(5)建立完備的安全管理制度。
二、消防信息化建設中面臨的網絡安全問題
2.1計算機網絡安全的定義
從狹義的保護角度來看,計算機網絡安全是指計算機及其網絡系統資源和信息資源不受自然和人為有害因素的威脅和危害;從其本質上來講就是系統上的信息安全。
從廣義來說,凡是涉及到計算機網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網絡安全的研究領域。
2.2網絡系統的脆弱性
2.2.1操作系統安全的脆弱性
操作系統不安全,是計算機不安全的根本原因。主要表現在:
(1)操作系統結構體制本身的缺陷;
(2)操作系統支持在網絡上傳輸文件、加載與安裝程序,包括可執行文件;
(3)操作系統不安全的原因還在于創建進程,甚至可以在網絡的結點上進行遠程的創建和激活;
(4)操作系統提供網絡文件系統(NFS)服務,NFS系統是一個基于RPC的網絡文件系統,如果NFS設置存在重大問題,則幾乎等于將系統管理權拱手交出;
(5)操作系統安排的無口令人口,是為系統開發人員提供的邊界入口,但這些入口也可能被黑客利用;
(6)操作系統還有隱蔽的信道,存在潛在的危險。
2.2.2網絡安全的脆弱性
由于Internet/Intmnet的出現,網絡安全問題更加嚴重。可以說,使用TCP/IP協議的網絡所提供的FTP、E-Mail、RPC和NFS都包含許多不安全的因素,存在許多漏洞。
同時,網絡的普及使信息共享達到了一個新的層次,信息被暴露的機會大大增多。Intemet網絡就是一個不設防的開放大系統,誰都可以通過未受保護的外部環境和線路訪問系統內部,隨時可能發生搭線竊聽、遠程監控、攻擊破壞。
2.2.3數據庫管理系統安全的脆弱性
當前,大量的信息存儲在各種各樣的數據庫中,而這些數據庫系統在安全方面的考慮卻很少。而且,數據庫管理系統安全必須與操作系統的安全相配套。
2.2.4防火墻的局限性
盡管利用防火墻可以保護安全網免受外部黑客的攻擊,但它只能提高網絡的安全性,不可能保證網絡絕對安全。
2.3基于消防通信網絡進行入侵的常用手段分析
由于消防工作的社會性,消防信息化建設很重要的一方面就是利用信息化手段強化為社會服務的功能,積極通過網絡媒體為社會提供各類消防信息,如消防法律法規、消防知識等,促進消防工作社會化;在網上受理消防業務,公布依法行政的有關信息,為社會提供服務,增強群眾對消防工作的滿意度。在利用網絡提高工作效率和簡化日常工作流程的同時,也面臨許多信息安全方面的問題,主要表現在:
2.3.1內部資料被竊取
現在消防機關上傳下達的各種資料基本上都要先經過電腦錄入并打印后再送發出去,電腦內一般都留有電子版的備份,若此電腦直接接入局域網或Intemet,就有可能受到來自內部或外部人員的威脅,其主要方式有:
(1)利用系統漏洞入侵,瀏覽、拷貝甚至刪除重要文件。前段時間在安全界流行一個名為DCOMRPC的漏洞,其涉及范圍非常之廣,從WindowsNT4.0、Windows2000、WindowsXP到WindowsServer2003。由于MicrosoftRPC的DCOM(分布式組件對象模塊)接口存在緩沖區溢出缺陷,如果攻擊者成功利用了該漏洞,將會獲得本地系統權限,并可以在系統上運行任何命令,如安裝程序,查看或更改、刪除數據或是建立系統管理員權限的帳戶等。目前關于該漏洞的攻擊代碼已經涉及到的相應操作系統和版本已有48種之多,其危害性可見一斑;
(2)電腦操作人員安全意識差,系統配置疏忽大意,隨意共享目錄;系統用戶使用空口令,或將系統帳號隨意轉借他人,都會導致重要內容被非法訪問,甚至丟失系統控制權。
2.3.2Web服務被非法利用
據統計,目前全國各級公安消防部門在因特網上已建立近100個網站,提供消防法規、危險物品基礎數據、產品質量信息、消防技術標準等重要信息,部分支隊還對轄區內重點單位開辟網上受理業務服務,極大地提高了工作效率,但基于網頁的入侵及欺詐行為也在威脅著網站數據的安全性及可信性。其主要表現在:
(1)Web頁面欺詐
許多提供各種法律法規及相關專業數據查詢的站點都提供了會員服務,這些會員一般需要繳納一定的費用才能正式注冊成為會員,站點允許通過信用卡在線付費的形式注冊會員。攻擊者可以通過一種被稱為Man-In-the-Middle的方式得到會員注冊中的敏感信息。
攻擊者可通過攻擊站點的外部路由器,使進出方的所有流量都經過他。在此過程中,攻擊者扮演了一個人的角色,在通信的受害方和接收方之間傳遞信息。人是位于正在同心的兩臺計算機之間的一個系統,而且在大多數情況下,它能在每個系統之間建立單獨的連接。在此過程中,攻擊者記錄下用戶和服務器之間通信的所有流量,從中挑選自己感興趣的或有價值的信息,對用戶造成威脅。
(2)CGI欺騙
CGI(CommonGatewayInterface)即通用網關接口,許多Web頁面允許用戶輸入信息,進行一定程度的交互。還有一些搜索引擎允許用戶查找特定信息的站點,這些一般都通過執行CGI程序來完成。一些配置不當或本身存在漏洞的CGI程序,能被攻擊者利用并執行一些系統命令,如創建具有管理員權限的用戶,開啟共享、系統服務,上傳并運行木馬等。在奪取系統管理權限后,攻擊者還可在系統內安裝嗅探器,記錄用戶敏感數據,或隨意更改頁面內容,對站點信息的真實性及可信性造成威脅。
(3)錯誤和疏漏
Web管理員、Web設計者、頁面制作人員、Web操作員以及編程人員有時會無意中犯一些錯誤,導致一些安全問題,使得站點的穩定性下降、查詢效率降低,嚴重的可導致系統崩潰、頁面被篡改、降低站點的可信度。
2.3.3網絡服務的潛在安全隱患
一切網絡功能的實現,都基于相應的網絡服務才能實現,如IIS服務、FTP服務、E-Mail服務等。但這些有著強大功能的服務,在一些有針對性的攻擊面前,也顯得十分脆弱。以下列舉幾種常見的攻擊手段。
(1)分布式拒絕服務攻擊
攻擊者向系統或網絡發送大量信息,使系統或網絡不能響應。對任何連接到Intemet上并提供基于TCP的網絡服務(如Web服務器、FrP服務器或郵件服務器)的系統都有可能成為被攻擊的目標。大多數情況下,遭受攻擊的服務很難接收進新的連接,系統可能會因此而耗盡內存、死機或產生其他問題。
(2)口令攻擊
基于網絡的辦公過程中不免會有利用共享、FTP或網頁形式來傳送一些敏感文件,這些形式都可以通過設置密碼的方式來提高文件的安全性,但多數八會使用一些諸如123、work、happy等基本數字或單詞作為密碼,或是用自己的生日、姓名作為口令,由于人們主觀方面的原因,使得這些密碼形同虛設,攻擊者可通過詞典、組合或暴力破解等手段得到用戶密碼,從而達到訪問敏感信息的目的。
(3)路由攻擊
攻擊者可通過攻擊路由器,更改路由設置,使得路由器不能正常轉發用戶請求,從而使得用戶無法訪問外網。或向路由器發送一些經過精心修改的數據包使得路由器停止響應,斷開網絡連接。
三、消防信息化建設中解決網絡安全問題的對策
3.1規范管理流程
網絡安全工作是信息化工作中的一個方面,信息化工作與規范化工作的根本目的一樣,就是要提高工作效率,只不過改變了規范化的手段。因此,在實行信息化的過程中,管理有著比技術更重要的作用,只有優化管理過程、強化管理基礎、細化管理流程、簡化管理冗余環節、提高管理效率,才能在達到信息化目的的同時,完善網絡安全建設。
3.2構建管理支持層
信息化是一項系統性工程,其實施自始至終需要單位最高層領導的重視和支持,包括對工作流程再造的支持、對協調各部門統一開展工作的支持、對軟件普及和培訓的支持。在實際工作中,應當建一個“信息化建設領導小組”,由各部門部長擔任成員,下設具體辦事部門,具體負責網絡建設和信息安全工作,這是一種較理想的做法。但要真正發揮其作用,促使信息工作的順利開展,不僅需要領導的重視,更重要的是需要負責人有能力充分協調與溝通各業務部門開展工作,更要與其他部門負責人有良好的協調配合關系。
3.3制定網絡安全管理制度
加強計算機網絡安全管理的法規建設,建立、健全各項管理制度是確保計算機網絡安全必不可少的措施。如制定人員管理制度,加強人員審查;組織管理上,避免單獨作業,操作與設計分離等。
3.4采取有效的安全技術措施
就當前消防信息化建設的程度來看,網絡的應用主要體現在局域網服務、Web服務和數據庫服務上。應當避免與Internet連接直接接入,而是配置一臺安全的服務器,整個局域網通過這個上網,這樣上網的終端在Internet上是沒有真實IP的,能避免大多數的常規攻擊。對基于Web服務的網上辦公、電子政務,應當安裝經公安部安全認證的網絡防火墻,由專人負責,盡量少開無用的服務,對系統用戶的數量和權限做嚴格限制,并可采用授權證書訪問或IP限制訪問,增強站點的安全性。在數據庫方面,現消防部門主要應用Microsoft的Access,此數據庫的網絡功能主要基于ASP、PHP等動態網頁平臺來實現,通過SQL查詢語句與頁面進行交互,在保證系統不被侵入、數據庫不能被直接下載的前提下,數據安全主要由頁面查詢語句的嚴密性來保證。除Access之外,應用較多的是Microsoft的SQLServer和Oracle,這兩套數據庫系統的網絡功能很強大,其安全性首先需要一個專業的數據庫操作員,對數據庫進行正確的配置、限制數據庫用戶的數量、根據用戶的職責范圍設定權限、對敏感數據進行加密、定時備份數據庫,保證數據的連續性和完整性。
本畢業設計(論文)、學位論文作者愿意遵守浙江科技學院 關于保留、使用學位論文的管理辦法及規定,允許畢業設計(論文)、學位論文被查閱。本人授權 浙江科技學院 可以將畢業設計(論文)、學位論文的全部或部分內容編入有關數據庫在校園網內傳播,可以采用影印、縮印或掃描等復制手段保存、匯編畢業設計(論文)、學位論文。
(保密的學位論文在解密后適用本授權書)
論文作者簽名: 導師簽名:
簽字日期: 年 月 日 簽字日期: 年 月 日
內 容 摘 要
本文針對浙江廣播電視集團網絡,以及集團網絡安全的建設、改造提出了相應的解決方案,并且從網絡和網絡安全兩個主要方面進行了相關的闡述。首先,對在本方案中可能使用到的計算機網絡、及網絡安全的相關技術進行了闡述、分析和比較。然后,對集團中的計算機網絡、以及網絡安全的現狀進行調查研究。其次,針對浙江廣播電視集團的網絡現狀進行了詳細的需求分析。最后,提出了一套針對浙江廣播電視集團計算機網絡、以及網絡安全實際情況的網絡、及網絡安全的詳細設計方案。實施本方案之后,有助于提高其計算機網絡系統的可靠性、以及網絡的安全性。
關鍵詞:網絡系統,數據安全,網絡安全,局域網
ABSTRACT
The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.
KEYWORDS:network system,data security, network security,LAN
目 錄
第一章 引言 1
第一節 選題背景與意義 1
第二節 集團網絡安全發展與現狀 1
第三節 網絡安全相關技術介紹 2
第二章 集團網絡安全系統概況及風險分析 4
第一節 集團網絡機房環境 4
第二節 網絡應用數據備份 4
第三節 網絡安全弱點分析 5
第四節 網絡安全風險分析 6
第三章 集團網絡安全需求與安全目標 7
第一節 網絡安全需求分析 7
第二節 網絡安全目標 7
第四章 集團網絡安全解決方案設計 9
第一節 網絡監控管理系統 9
第二節 電子郵件安全解決方案 9
第三節 遠程數據傳輸的加密 10
第四節 服務器的安全防護 11
第五節 計算機病毒防護的加強 14
第六節 網絡攻擊及防護演示效果圖 15
第五章 結束語 17
參考文獻 18
致 謝 19
第一章 引言
第一節 選題背景與意義
隨著互聯網的普及度越來越高,全世界的計算機都能通過互聯網連接到一起。各種網上活動的日益頻繁,使得網絡安全問題日益突出,信息安全成為了一個重要的課題。各種各樣的網絡攻擊層出不窮,如何防止網絡攻擊,保障各項業務的順利進行,為廣大用戶提供一個安全的網絡環境變得尤為重要。
本論文針對浙江廣播電視集團的計算機網絡、以及網絡安全的實際解決方案。在實施了本方案之后,有助于提高集團計算機網絡系統的可靠性、以及網絡的安全性。認真分析網絡面臨的威脅,計算機網絡系統的安全防范工作是一個極為復雜的系統工程,是一個安全管理和技術防范相結合的工程。首先是各計算機網絡應用部門領導的重視,加強工作人員的責任心和防范意識,自覺執行各項安全制度,在此基礎之上,再采用先進的技術和產品,構造全方位的防御機制,使系統在最理想的狀態下運行。
第二節 集團網絡安全發展與現狀
圖1-1網絡拓撲圖
浙江廣播電視集團作為省級廣電傳媒集團,現有計算機網絡于2002年10月建成,在集團的運作和管理中發揮著重要的作用。近年來隨著集團業務的發展,網絡應用的不斷深入,應用領域較以前傳統的、小型的業務系統逐漸向大型、關鍵業務系統方向擴展。大部分子系統已接入網絡,遠程數據傳輸、集團資料共享、動態數據查詢、流媒體數據業務、集團網站運營等都在該網絡上傳輸,整個網絡的用戶規模是原計算機網絡規模的數十倍。隨著網絡規模的不斷擴大、接入點數量的增多、內部網絡中存在的安全隱患問題就會愈加突出,安全日益成為影響網絡效能的重要問題,而互聯網所具有的開放性、國際性和自由性在增加應用自由度的同時,對自身網絡的安全性提出了更高的要求。雖然廣電集團前期的網絡建設有一定的安全措施,但因為網絡復雜性的逐步提高,網絡中存在隱患的可能性以及由此產生的危害性也大大提高,因此在網絡系統的進一步建設過程中,及時查清網絡隱患的必要性就體現了出來。
第三節 網絡安全相關技術介紹
要保證計算機網絡系統的安全性,還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。
一、防火墻技術
為保證網絡安全,防止外部網對內部網的非法入侵,在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統,該系統可以設定哪些內部服務可已被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。它可監測、限制、更改跨越防火墻的數據流,確認其來源及去處, 檢查數據的格式及內容,并依照用戶的規則傳送或阻止數據。其主要有:數據包過濾、監測型、服務器等幾大類型。
二、數據加密技術
與防火墻配合使用的安全技術還有數據加密技術,是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要技術手段之 一。隨著信息技術的發展,網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟件和硬件兩方面采取措施,推動著數據加密技術和物理防范技術的不斷發展。按作用不同, 數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
三、認證技術
認證技術是防止主動攻擊的重要手段,它對于開放環境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程,即認證建立信息的發送者或接收者的身份。認證的主要目的有兩個:第一,驗證信息的發送者是真正的,而不是冒充的,這稱為信號源識別;第二,驗證信息的完整性,保證信息在傳送過程中未被竄改或延遲等。目前使用的認證技術主要有:消息認證、身份認證、數字簽名。
四、虛擬專用網絡(VPN)技術
虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用,而事實上并非如此。
VPN技術主要提供在公網上的安全的雙向通訊,采用透明的加密方案以保證數據的完整性和保密性。
VPN技術的工作原理:VPN系統可使分布在不同地方的專用網絡在不可信任的公共網絡上實現安全通信,它采用復雜的算法來加密傳輸的信息,使得敏感的數據不會被竊聽。
五、計算機病毒的防范
首先要加強工作人員防病毒的意識,其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件:
(一)較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有4萬多種,在各種操作系統中包括Windows、 UNIX和Netware系統都有大量能夠造成危害的計算機病毒,這就要求安裝的防病毒軟件能夠查殺多種系統環境下的病毒,具有查毒、殺毒范圍廣、能力強的特點。
(二)完善的升級服務。與其它軟件相比,防病毒軟件更需要不斷地更新升級,以查殺層出不窮的計算機病毒。
第二章 集團網絡安全系統概況及風險分析
第一節 集團網絡機房環境
目前,浙江廣播電視集團計算機網絡絕大多數的設備都是安放在新大樓13樓機房內的,只有樓層交換機是分布在各樓層的設備機柜中。根據本文的現場勘察和了解,目前大多數信息機房在機房的裝修、溫度和濕度控制、消防、照明、防靜電、防雷等方面已經作了很多的考慮,主要有如下方面:
一、網絡機房都作了可靠的防雷措施,建設有防雷接地網,其接地電阻小于1歐姆;大樓頂部建設有避雷針。
二、所有從網絡機房大樓外接入網絡機房的數據信號,全部采用光纖接入。
三、網絡機房內大多配備UPS電源系統。
四、機房內鋪設防靜電地板、吊頂,對墻面進行了無塵處理。
五、安裝機房防盜監控系統。
六、配備機房消防系統和應急照明系統。
七、所有樓層交換機的供電都是由機房內 UPS 通過專用的線路直接供電,與樓層內的其它電源系統沒有任何連接。
第二節 網絡應用數據備份
在廣電集團的計算機網絡中大多己經有功能數據備份與恢復系統,它是一套基于磁帶介質的備份與恢復系統,有2套文件備份的License和1套Oracle數據庫備份的License,進行服務器的文件備份和Oracle數據庫的實時備份和恢復。
浙江廣電集團網絡中已經有了以下幾個網絡安全方面的考慮:
一、病毒防護
網絡中使用了諾頓病毒防護系統,該病毒防御系統是基于網絡的病毒防護系統,在網絡內能夠遠程的安裝網絡客戶端的病毒防護軟件,進行病毒特征庫的自動更新,集中控制和管理。但是,網絡中的病毒防護系統沒有集中控制和管理的控制臺,不能實時了解網絡中防病毒客戶端程序的安裝情況、病毒感染和爆發的情況。
二、外網接入安全防護
網絡目前大多沒有單獨的外網接入點,沒有自己的外網接入安全防護,使用統一的出口和安全策略。
三、入侵檢測系統
在集團總部局域網與其他網絡連接處采用的一套入侵檢測系統具體部署如圖2-1
圖2-1 廣電集團入侵檢測系統示意圖
第三節 網絡安全弱點分析
浙江廣電集團網絡系統安全弱點主要包括:
一、硬件弱點: 硬件隱患存在于服務器、終瑞、路由器、交換機和安全設備等設備中,一旦發生硬件的安全問題,將給主機和網絡系統的可靠性、可控性、可用性和安全性等造成嚴重損害。
二、操作系統弱點: 由于操作系統自身的漏洞和缺陷可能構成安全隱患。操作系統是計算機應用程序執行的基本平臺,一旦操作系統被滲透,就能夠破壞所有安全措施。靠打補丁開發的操作系統不能夠從根本上解決安全問題,動態連接給廠商提供開發空間的同時為黑客開啟了方便之門。
三、數據庫系統弱點: 由于數據庫系統本身的漏洞和缺陷可能構成的安全隱患。
四、網絡系統弱點: TCP/IP協議本身的開放性導致網絡存在安全隱患。如:TCP/IP 數據通信協議集本身就存在著安全缺點,如:大多數底層協議采用廣播方式,網上任何設備均可能竊聽到情報; 協議規程中缺乏可靠的對通信雙方身份認證手段,無法確定信息包地址真偽導致身份“假冒”可能;由于TCP 連接建立時服務器初始序號的可推測性,使得黑客可以由“后門”進入系統漏洞。
五、通用軟件系統弱點:如Web服務器等常用應用軟件本身可能存在的安全弱點。
六、業務系統弱點: 節目視頻業務系統等本身的“Bug”或缺陷可能構成弱點。
七、安全設計的弱點: 安全設計不周全可能構成系統防護的弱點,由于安全漏洞的動態性和安全威脅的增長性要求以及安全需求本身的限制,安全體系設計要求具有良好的可擴展性和動態自適應性。
八、管理弱點: 工具不多,技術水平不高,意識淡薄,人員不到位。
第四節 網絡安全風險分析
網絡本身所固有的結構復雜、高度開放、邊界脆弱和管理困難等特點,增加了廣電集團網絡系統的安全風險。
由于網絡自身的開放性和廣電集團網絡系統的特殊性使網絡系統存在很大的安全風險性,主要有:
一、人為因素:
未經授權訪問重要信息
惡意破壞重要數據
數據竊取、數據篡改
利用網絡設計和協議漏洞進行網絡攻擊
假冒、偽造、欺騙、敲詐、勒索
內部人員惡意泄露重要的信息
管理員失職
二、自然因素:
設備的老化
火災、水災 (包括供水故障)
爆炸、煙霧、灰塵
通風
供電中斷
電磁輻射、靜電
以上都可能引起設備的失效、損壞,造成線路擁塞和系統癱瘓等。
第三章 集團網絡安全需求與安全目標
第一節 網絡安全需求分析
為了確保廣電集團網絡系統的安全,其安全需求可以從安全管理層面、物理安全層面、系統安全層面、網絡安全層面、應用安全層面等方面來分析。
從安全管理要求來分析,要考慮政策、法規、制度、管理權限和級別劃分、安全培訓等,特別要考慮基層人員計算機水平不高,系統設計和培訓等方面要周密考慮,制定切實有效的管理制度和運行維護機制。
從物理安全要求來分析,要根據浙江廣電集團實際情況,確定各物理實體的安全級別,建立相應的安全防護機制。
從系統安全需求來分析,需要解決操作系統安全、數據庫系統安全、TCP/IP 等協議的安全、系統缺陷、病毒防范等問題。
從網絡安全需求來分析,要考慮系統掃描、入侵檢測、設備監控和安全審計等,要防范黑客入侵、身份冒充、非法訪問。要保證信息在公共傳輸通道上的機密性,撥號線路的保密性和身份鑒別。
從應用安全和信息安全需求來分析,要解決重要終端用戶數據的加密、數據的完整性、數據的訪問控制和授權以及數據承載終端設備 (各種計算機、筆記本電腦、無線WAP終端及其它終端設備) 以及其中運行的操作系統的安全可靠。
因此,廣電集團網絡系統安全要重點做好以下幾方面的工作,同時也是本安全方案的設計需要解決的問題:
一、解決內部外部系統間的入侵檢測、信息過濾 (防止有害信息的傳播)、網絡隔離問題;
二、解決內部外部黑客針對網絡基礎設施、主機系統和應用服務的各種攻擊所造成的網絡或系統不可用、信息泄密、數據篡改 等所帶來的問題;
三、解決重要信息的備份和系統的病毒防范等問題;
四、建立系統安全運行所匹配的管理制度和各種規范條例;
五、建立健全浙江廣電集團網絡系統安全培訓制度及程序等方面的問題;
六、解決浙江廣電集團和其它相關單位部門網絡信息交流帶來的安全問題。
第二節 網絡安全目標
計算機網絡的安全問題與單臺計算機的安全在實際中存在著非常大的差別。網絡不是分裝在一個機箱內,存在著傳輸系統的地域分布問題。這些傳輸通信系統可以是有線的,也可以是無線的。這類傳輸可以在中途被截獲,存在著“中間攻擊”的問題。從攻擊的手段來看,攻擊種類和機制非常多。訪問控制和鑒別也比單臺計算機困難,網絡安全要特別重視防截獲,防泄露和信息加密的實施。
目前所采用的網絡防護方法也就是在進入計算機操作系統控制中的網絡訪問和網絡協議上實施的。
網絡防護的基本服務: 網絡訪問控制(MAC)、鑒別、數據保密性、數據完整性、行為的完整性、抗抵賴性、可用性等。
網絡安全的目的是保護在網絡系統中存儲、傳輸和處理的信息的安全,概括為確保信息的完整性、保密性、可用性和不可抵賴性。
信息的保密性指的是在計算機網絡系統中存儲、傳輸和處理的信息不被非授權的查看;
信息的完整性指的是在計算機網絡系統中存儲、傳輸和處理的信息不被非授權的改變;
信息的可用性和可靠性指的是在計算機網絡系統中存儲、傳輸和處理的信息為授權用戶提供及時、方便、有效的服務;
信息的不可抵賴性指的是內部人員對信息的操作不可抵賴。
為了更加完整的執行上述網絡信息安全的思想,防止來自集團內部局域網上的攻擊,又由于浙江廣電集團網絡連接關系復雜、網絡設備多,使用租用的國內的通信線路,存在著傳輸線搭接竊聽或輻射接收竊聽等環節。因此要做到以下幾個要求:
1) 防止計算機病毒的蔓延
集團網絡眾多的用戶,可能由于內部管理上疏忽,裝入未經殺毒處理的軟
件或是從因特網上下載了帶病毒的文件。還可能來自外部黑客釋放病毒、邏輯炸彈的攻擊等,這些都對計算機網絡系統安全構成嚴重威脅。病毒廣泛地傳播,將造成網絡軟硬件設備的損害以至于整個網絡系統癱瘓。
2) 加強網絡安全的動態防護
網絡黑客攻擊手段、計算機病毒等都處于不斷的發展和變化中,使用目前的安全保密技術和產品是難以構造一種絕對安全、無縫隙和一勞永逸的網絡系統的。因此,安全的網絡系統必須具有網絡安全漏洞的檢測和監控功能。通過安全檢測、監控手段,及時發現網絡安全漏洞和各種惡意的攻擊手段,及時提供修補系統漏洞的建議并阻斷來自內外的非法使用和攻擊。
3) 保障集團內部業務系統的安全穩定
由于涉及省臺與各地方臺的視頻傳輸,不可避免的會遇上各種各樣的問題,因此,在網絡層對業務的安全要保障得力,并且要確認信息傳輸的安全穩定。
第四章 集團網絡安全解決方案設計
第一節 網絡監控管理系統
由于浙江廣電集團的網絡建設已有很多年的時間了,其很多網絡設備都自帶了監控及管理軟件或工具,但是這些工具在問題發生之后很難解決問題。而網絡監控管理系統的實時映射、網絡瓶頸通知和設備失敗通知卻可以幫助用戶快速隔離問題,并且在員工抱怨之前解決問題。
這里對推薦的美國 CA 公司的網絡監控管理系統 (Unicenter Network & System Management)所能夠達到的功能簡單地說明一下:通過 TCP/IP 協議,不需要專門的培訓,用戶就可以配置該網絡監控管理系統,啟動網絡監視管理功能后,能夠監控的網絡設備包括工作站、服務器、主機、網橋、路由器、集線器、打印機等在內的幾乎所有網絡元件。當用戶決定使用該網絡監控管理系統軟件時,首先可以通過該軟件的網絡探查功能,能夠全面查看用戶網絡的底層構件,確認整個網絡的體系結構,并以一種可描述可管理的模式定位所有的網絡設備,并將這些設備存儲起來,迅速繪出網絡結構圖,同時啟動設備的監控,而這些過程都是自動生成的,非常簡單易用,可操作性強,這對于網絡設備非常多、而專業網絡管理人員較少的企業來說就顯得非常重要。
在這個過程中,首先通過該網絡監控管理系統 24X7 的全時設備輪詢網絡監視功能,迅速識別網絡元件的任何問題,當監測到問題時,可以不同的顏色顯示出來,并以通過手機、e-mail、聲音警報通知管理人員,同時根據各網絡元件相互之間的依賴關系,自動關閉與 有問題網絡元件之后的所有網絡元件的連接,減少冗余數據數量,避免冗余通知。此外,還能對網絡元件的潛在問題、網頁的正確性、可用性、網絡的性能以及系統資源進行有效的監控管理。
當網絡監控管理系統識別網絡失效時,在向相關人員發送警報及通知時,該軟件還可啟動一個程序來定位網絡失效。因此,當狀況被隔離之后,一個特定的應用程序或者腳本程序就會被執行,或許是重啟這個服務或許是重啟計算機。這個進程是自動的,因此當相關人員收到設備失效的通知時,相應的措施已經采取了,管理人員不用回到辦公室,因為當管理人員在收到通知時已經知道問題己經解決了。
在這一系列監控與管理過程中,網絡監控管理系統都能自動生成監控及管理日志,并對系統的使用情況與趨勢形成報告,以便用戶形成較為完善的系統化管理,提升工作效率。
第二節 電子郵件安全解決方案
解決電子郵件安全問題,我們需要從三個方面來考慮如何應對:
1) 對帶病毒郵件、垃圾郵件等惡意郵件的過濾和封堵;
2) 對進出郵件系統的所有郵件進行備份,用于監控和備查;
3) 對敏感的郵件內容進行加密傳輸,防備在傳遞路徑上的惡意窺伺。
對集團來講,現實的方法是結合現有的成熟技術,組合出一個在經濟上和技術上合理的解決方案,同時要保證長期的維保成本。郵件系統的安全解決方案包括如下三個部分:
1、電子郵件安全網關技術方案
通過郵件安全網關的部署,在病毒程序、垃圾郵件等不良信息進入集團郵件系統之前,便對其進行遏制、阻截,從而保證集團電子郵件系統的安全穩定運行,節省郵件系統存儲空間,避免機密的泄漏。
在郵件網關硬件系統上整合郵件反病毒引擎,對進入集團郵件系統的電子郵件進行病毒檢測,采取郵件隔離、刪除以及清除病毒等操作,減少病毒對郵件服務器的攻擊。應根據互聯網最新病毒發展趨勢,定時升級郵件網關病毒庫。
2、郵件備份系統技術方案
在集團現有郵件系統的基礎上,實現對指定時間內(如最近一年)所有收發郵件的備份,并且管理員根據郵件信息摘要(例如:發件人、收件人、主題、日期、附件名稱等)進行檢索和查看郵件全部內容。
3、郵件加密系統技術方案
保護重要電子郵件不被泄密,防止內部人員未經許可將重要電子文檔以郵件的方式泄密,防止電子郵件被截取而引起的泄密。保證工作效率,在盡量不改變使用者收發郵件操作習慣的基礎上,保證電子郵件正常暢通使用。
考慮到文件安全擴展的需求,除電子郵件之外,信息泄密還有多種途徑。在保護郵件安全的基礎上,要考慮到日后系統的擴展性。
郵件安全管理系統綜合動態加解密技術、訪問權限控制技術、使用權限控制技術、期限控制技術、身份認證技術、操作日志管理技術、硬件綁定技術等多種技術對電子郵件進行保護。
第三節 遠程數據傳輸的加密
建立基于SSL VPN技術加密訪問系統,使得從Internet到內部網絡的訪問使用SSL VPN數據加密通道,保證數據在傳輸過程中保密性。
目前能夠提供 SSL VPN 加密產品的廠家很多,但是本文認為在SSL VPN技術的先進性、加密傳輸的速率、以及廠家的技術服務等方面,Juniper的Netscreen SA 1000具有相對的優勢,是其它廠家無法比的。
Juniper 網絡公司SSL VPN產品家族的Netscreen-SA 1000系列,使企業可以部署經濟高效的遠程接入、外聯網及內聯網安全性。用戶可從任何標準 Web瀏覽器接入企業網絡和應用。NetScreen-SA 1000系列使用SSL作為安全接入傳輸機制,SSL是所有標準Web瀏覽器中使用的安全協議。使用SSL使客戶無需部署客戶端軟件、無需更改內部服務器,也無需進行成本高昂的長期維護。NetScreen-SA 1000產品提供先進的合作伙伴喀戶外聯網特性,以控制用戶或用戶組的網絡訪問,無需更改基礎設施、無需部署DMZ 、也無需軟件。這項功能還允許公司安全接入企業內聯網,使管理員可以根據不同員工、承包商和訪問者所需的資源來限制他們的接入權限。
NetScreen-SA 1000系列解決方案的主要特性與優勢如下:
一、端到端分層安全性
端點客戶端、設備、數據和服務器的分層安全性控制,Juniper網絡公司 Endpoint Defense Initiative(端點防御計劃),用于提供最高的端點安全性可以根據用戶組或角色、網絡、設備及會話屬性來規定基于用戶身份的接入降低總擁有成本。不需要部署客戶端軟件或更改服務器,幾乎不需要長期維護。從單一平臺安全地遠程接入內聯網和外聯網安全的外聯網接入,無需構建 DMZ、無需加固服務器、無需復制資源、或無需增加部署來添加應用或用戶簡化
二、可管理性
(一)集中管理選項提供統一管理
(二)用戶自助服務功能,可降低技術支持服務窗口的支持成本
(三)細粒度的審計和日志記錄
(四)3 種不同的接入方法,允許管理員根據具體目的來設置接入權限
(五)基于角色分配管理任務
三、高可用性
群集對部署選項,可為整個LAN和WAN提供高可用性。
第四節 服務器的安全防護
一、業務服務器的安全防護
(一)防火墻的安裝
這里將在Catalyst 4506交換機與服務器群的交換機之間安裝一臺高性能的防火墻,并根據服務器群中的每臺服務器的應用系統的情況,在該防火墻上進行一對一的安全策略配置的工作。
(二)入侵檢測系統的安裝
這里將在服務器群的交換機上配置一個偵聽端口,將流經該交換機所有端口的數據包都復制一份傳送到偵聽端口上;再把入侵檢測系統連接到該偵聽端口,接收該端口輸出的所有數據包,并對這些數據包進行入侵分析、判斷和記錄。本文將負責完成入侵檢測安裝配置工作。
二、涉及到的設備選擇
(一)防火墻的選擇
防火墻的類型主要有:數據包過濾、監測型、服務器等幾大類型。
1)包過濾型
包過濾型防火墻是防火墻的較初級產品,其技術基于網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。如圖4-1所示:
圖4-1包過濾型防火 墻的工作原理
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2)型
型防火墻也能夠被稱為服務器,它的安全性要高過包過濾型產品,并已經開始向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到集團內部網絡系統。如圖4-2所示
圖4-2型防火墻的工作原理
型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。它的缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
本文將選用業界性能較好的、可靠性較高的Juniper 的NetScreen 5200防火墻,該防火墻的技術參數如表4-1
表 4-1 NetScreen 5200 防火墻技術參數表
物性/功能 NetScreen-5200
接口數 2個XFE 1OGigE,或8個Mini-GBIC, 或2個Mini-GBIC+24 10/100
最大吞吐量 1OG 防火墻
5G 3DES/AFS VPN
最多會話數 1,000,000
最多VPN 隧道數 30,000
最多策略數 4000,000
最多虛擬系統數 5
最多虛擬LAN 數 4000
最多安全區域數 默認設置為16個,最多增加1000個
最多虛擬路由器數 默認設置為3個,最多增加500個
支持的高可用性模式 主用/備用
支持的路由協議 OSPF, BGP, RIRV1/V2
深層檢測 是
集成/重新定向,Web過濾 是/否
(二)入侵檢測系統的選擇
這里選用國內擁有領先安全技術水平的天融信千兆級入侵檢測系統NGIDS-UF。其主要的技術指標如表4-2
表4-2 NGIDS-UF 入侵檢測系統技術指標表
型號 NGIDS-UF
類別 千兆IDS
規格 2U 機架式
網絡接口 1個10/100Base-TX: 2個千兆光纖
2wh 10/100/1000Base-TX
串口 1個RS-232C
第五節 計算機病毒防護的加強
一、在原有的病毒防護系統增加集中管理控制臺
新增一臺服務器,在上面安裝一套諾頓的病毒防護的集中管理控制臺。這里將安裝該服務器系統和諾頓的集中管理控制的軟件系統。
二、增加網絡病毒防火墻
在每個樓層交換機的上聯端接入一臺網絡病毒防火墻,對局域網內的病毒進行區域控制:在二級單位廣域網入口處安裝一臺網絡病毒防火墻,保障二級單位的廣域網線路不會受到病毒數據包的影響。
涉及到的設備選擇:
(一)諾頓的防病毒集中管理控制臺
只有選用諾頓的集中管理控制軟件才能控制和管理諾頓的網絡防病毒系統的客戶端軟件。
(二)網絡病毒防火墻
目前有趨勢相關的硬件產品出售,并且該產品還能夠與諾頓的網絡防病毒客戶端軟件進行聯動。所以本文選擇部署趨勢的NVW1200網路病毒防火墻。該網絡病毒防火墻的主要功能如下:
1.執行免的安全策略
網絡病毒墻對非兼容設備進行隔離修正,以確保所有設備在進入網絡前都安裝有最新的防病毒及關鍵的操作系統補丁。執行免的安全策略可減少管理負荷,并可同時降低被合作伙伴或VPN用戶的非兼容設備感染的風險。
2.漏洞隔離
網絡病毒墻根據Trend Micro的漏洞評估功能,隔離網絡蠕蟲可利用的潛在環節,使管理者有選擇地隔離薄弱(未安裝不定程序)的網絡段或設施,避免病毒的爆發。網絡病毒墻提供漏洞評估服務,并將該功能作為一個可選項。
3.靈活的、集中式管理
網絡病毒墻包括趨勢科技企業安全管控中心、及一個集中式、基于網絡的管理控制臺,它根據主機安裝永久的需要實施安全更新部署。該服務可以自動部署、或點擊管理控制臺的選項進行手工部署。
4.網絡掃描及偵測
網絡病毒墻通過掃描網絡流量查找蠕蟲及漏洞利用,并基于趨勢實驗室提供的最新病毒碼來自動清除感染的網絡數據包。另外,網絡病毒墻利用趨勢科技先進的啟發式技術對您的網絡實施監控,并提供威脅的早期預警。
5.網絡病毒爆發監控
網絡病毒墻通過實時監控網絡流量或可疑活動來提供早期的威脅預警。并在中心控制臺上發出病毒爆發通知,立即提示管理者蠕蟲攻擊目標、受感染的主機、或具體的受攻擊的漏洞。
6.網絡病毒爆發防御
網絡病毒墻部署了Trend Micro病毒爆發防御服務,通過阻絕任何蠕蟲傳播組合,包括8地址或地址范圍、端口及協議、即時通訊渠道、文件類型擴展名、及文件傳遞。
7.自動清除損害
網絡病毒墻通過隔離感染的網絡段、主機、或客戶,進行清除及修正,阻止了再次感染。憑借自動、免清除蠕蟲(木馬)痕跡、及系統文件配置(system.ini)修復功能,Trend Micro的清除損害服務可以防止再次感染,降低清除成本。
第六節 網絡攻擊及防護演示效果圖
圖4-3網絡攻擊及防護演示效果圖
針對浙江廣電集團的網絡結構,當出現如下各類情況時解決方案如圖4-3所示:
1、 漏洞掃描-識別攻擊行為
2、 上傳病毒/木馬-修復系統漏洞
3、 啟用后臺服務監聽-防病毒軟件
4、 遠程控制服務器-防火墻入侵檢測
5、 攻擊業務系統-防火墻、雙機容錯
6、 破壞系統數據-備份、災難恢復
7、 客戶端中毒-防病毒軟件
第五章 結束語
計算機網絡的可靠性和安全性是在不斷地變化的,不同的時期或者階段對網絡的可靠性和安全性方面的要求是不一樣的。在網絡的建設之初,集團網絡關心最多的是網絡的連通性,只需要網絡能夠傳送數據即可,對于網絡數據的延遲lunwen .1 kejian .com 一以及網絡短時間的中斷都沒有過多的要求:當網絡中存在著涉及到集團的關鍵性應用系統時,就對網絡數據的延遲時間、以及網絡的中斷時間上就有了很高的要求,在一般情況下,為了保障集團應用系統的連續運行,集團網絡系統是不允許發生網絡中斷的。因此,本文在方案的設計中就已經考慮到要符合目前的、以 及將來的網絡應用系統的需要,同時本文設計的網絡系統的可靠性和安全性可以根據集團網絡業務系統的需要進行相關的調整,滿足變化之后的網絡業務系統的要求。
本方案是一個針對浙江廣電集團目前計算機網絡現狀的網絡、及網絡安全的解決方案,在隨后的分期分批的項目實施過程中,由于集團網絡環境、以及網絡應用系統的變化,會在細節上根據實際情況進行相應的調整,如:安裝設備數量、設備安裝具體地點等,只要在總的布局、要求以及標準上保持不變,實施之后就能夠達到本方案的設計要求。同時,本方案在設計、以及設備的選型上,己經做了今后擴展的考慮。
本方案并沒有解決浙江廣電集團計算機網絡、以及網絡安全方面的所有問題,隨著計算機網絡、及網絡安全的技術不斷地發展,以及集團網絡應用系統不斷地新增,集團業務系統也會對集團的計算機網絡系統的結構和網絡安全方面提出更高的要求,實現后滿足集團實際的需要。
【參考文獻】
[1] 張國清.CCNP BSCI詳解.北京:電子工業出版社,2006.
[2] 拉斯特.網絡安全基礎[M].北京:中國郵電出版社,2006.
[3] 常曉波.CISCO網絡安全.北京:清華大學出版社,2004.
[4] 王達.網管員必讀——網絡安全.電子工業出版社. 2007.
[5] 《非常掌上寶系列》編委會.數據備份恢復與系統重裝一條龍.北京:科學出版社,2005.
[6] 張公忠.現代網絡技術教程北京:電子工業出版社,2004.
[7] 飛科研發中心.電腦防毒防黑急救.北京:電子工業出版社,2002
[8] 黃志暉.計算機網絡管理與維護全攻略.西安:西安電子科技大學出版社,2004.
[9] 歐陽江林.計算機網絡實訓教程,北京:電子工業出版社,2004.
[10] 金純.IEEE802.11無線局域網北京:電子工業出版社,2004
[11] 施裕琴.網絡安全的入侵檢測系統及發展研究.集團經濟研究2006,(27):25-26.
[12] 董凱虹.網絡監控管理系統的功能.計算機世界周刊.2006.(4):50-51
[13] 胡越明.Internet技術及其實現.北京:高等教育出版社,2005.
[14] 陳雪著.Windows XP的完善.上海理工大學出版社,2005.8
[15] 麥肯蘭勃.網絡安全評估.北京:中國電力出版社,2006.
[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.
[17] W Stallings , Cryptography And Network Security: Principles and Practice, 2006.
[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.
[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.
致 謝
在論文完成之際,謹向所有給予我指導、關心、支持和幫助的老師、領導、同學和親人致以崇高的敬意和深深的感謝!
首先感謝導師顧忠偉老師一直以來對我的學習、工作和生活所給予的無私關心、悉心指導和嚴格要求。尤其在論文的完成階段,得到顧老師的耐心指導和嚴格把關。顧老師嚴謹的治學態度、求實的工作作風、平易近人的處世風范都深深影響了我。在此謹向顧老師表示最衷心的感謝和最誠摯的敬意!
感謝浙江廣電集團科技管理部計算機科的同事,他們結合自己多年的計算機系統與網絡安全的相關經驗,給我提出了很多寶貴的建lunwen .1 kejian .com 一和對我實習中的幫助。在論文完成之際,在此特向各位同事表示深深的謝意!
在論文的材料收集期間,得到了負責集團網絡工作的蔣老師的大力支持,他根據自己多年實際工作的經驗,為我的論文寫作、改進工作提出了許多有價值的寶貴建議,在此對蔣老師表示感謝!
感謝經濟管理學院的各位老師、同學在學習工作等諸方面的支持和幫助,這一切使我在學習期間深受教益。
最后,深深地感謝我的家人旦他們在生活和學業上給了我無私的關懷,為了支持我的學業,付出了莫大犧牲。惟乞此文能夠回報這些無比的關心和厚愛!
1、計算機人工智能識別技術應用瓶頸探析
2、計算機科學與技術的應用現狀與未來趨勢
3、計算機信息處理技術在大數據時代背景下的滲透
4、計算機基礎課程應用教學思考和感悟
5、中職中藥專業計算機應用基礎教學改革實踐
6、淺談虛擬現實技術在中職計算機基礎教學中應用的必要性
7、計算機圖像處理技術在UI設計中的應用
8、計算機生成兵力行為建模發展現狀
9、智慧檔案館計算機網絡系統方案設計
10、淺談如何提高計算機網絡的安全穩定性
11、計算機應用技術與信息管理的整合探討
12、計算機科學技術小組合作學習研究
13、計算機科學與技術有效教學策略研究 >>>>>計算機網絡和系統病毒及其防范措施畢業論文
14、互聯網+背景下高校計算機教學改革的認識
15、藝術類應用型本科高校"計算機基礎"課程教學改革研究
16、計算機技術在石油工業中應用的實踐與認識
17、計算機技術在電力系統自動化中的應用研究
18、微課在中職計算機基礎教學中的應用探析
19、課程思政在計算機基礎課程中的探索
20、計算機服務器虛擬化關鍵技術探析
21、計算機網絡工程安全存在問題及其對策研究
22、人工智能在計算機網絡技術中的運用
23、慕課在中職計算機應用基礎教學中的運用
24、淺析如何提高高校計算機課程教學效率
25、項目教學在計算機基礎實訓課程中的應用分析
26、高職計算機網絡教學中項目式教學的應用
27、計算機信息安全技術在校園網絡的實踐思考
28、大數據背景下的計算機網絡安全現狀及優化策略
29、基于計算機網絡信息安全及防護對策簡析
關鍵詞:WiFi網絡,網絡安全,SSID網絡名
人們在構建家庭網絡的過程中,總是忙于讓網絡盡快的運行起來。這是可以理解的。但如果忽視了網絡安全問題,后果是十分危險的。對于Wi-Fi網絡設備進行安全配置通常是耗時費力的,網絡用戶因此不能妥善處理。正是基于這種情況,我們依據網絡安全技術和組網經驗,提出如下十點建議,以提高家庭無線網絡安全。
1. 及時和定期地修改管理員口令和用戶名
幾乎所有的無線接入點和路由器都準許管理員使用特別的管理帳號來管理WiFi網絡。這個帳號可以讓管理員使用用戶名和口令訪問設備的配置文件。缺省的用戶名和口令是由制造商所設置的,用戶名通常就是簡單的admin或administrator,而口令通常是空白的,或者也只是一些簡單詞匯而已。
為了增強WiFi網絡的安全性,在構建網絡時,你應該立刻修改無線接入點或路由器的管理口令。黑客十分清楚流行的無線網絡設備的缺省口令,并經常把它們到網上。大部分設備不允許修改管理員的用戶名,但如果你的設備可以的話,那么強烈建議你也應該及時修改管理員用戶名。
為了保證家庭網絡以后的安全,建議你要定期修改管理員口令,至少每隔一到三個月修改一次,并且要作到所使用的口令復雜難猜。
2. 啟用WPA/WEP加密
所有WiFi設備都支持某種加密技術。加密技術對通過無線網絡傳送的信息進行加密編碼,這樣會使黑客難以破解。目前有幾種針對WiFi網絡的加密技術,自然地,你應該為你的WiFi網絡設備選擇最強的加密技術。然而,一旦選定了某種加密技術,你的WiFi網絡上的所有設備都必須使用相同的加密設置。因此,在進行加密設置時,你還需要考慮其獨特性。
3. 修改缺省的SSID網絡名
接入點或路由器都采用被稱做SSID的網絡名。論文參考。制造商所推出的產品通常帶有同樣的SSID集。例如,Linksys產品的網絡名通常是“Linksys”。盡管,了解SSID網絡名本身并不能使黑客闖入你的網絡,但這是闖入你的網絡第一步。更重要的是,當黑客發現你仍然采用缺省的SSID網絡名時,他們會認為你的網絡設置很簡單,這樣他們會更愿意攻擊你的網絡。因此,當你為自己的無線網絡進行配置時,必須立刻修改缺省的SSID網絡名。
4. 啟用MAC地址過濾
每一個WiFi網絡設備都有自己唯一的標識,稱做物理地址或MAC地址。接入點和路由器跟蹤記錄所有連接到網絡上的設備的MAC地址。許多網絡設備都為主人提供選項,供主人鍵入它們的MAC地址。網絡也只允許這樣的設備接入。這樣做是提高網絡安全的步驟之一,并不是萬全之策,黑客和他們的軟件可以輕易的編造MAC地址,所以我們建議采用MAC地址過濾技術來加強這一防范措施。
5. 關閉SSID網絡名廣播
在WiFi網絡中,無線接入點和路由器每隔一定時間廣播自己的網絡名字(SSID)。論文參考。這是針對商業和移動熱點而設計的功能,因為它們通常在服務區內外游動。而在家庭中,經常是不需要游動的,所以關閉網絡名字廣播這項功能是明智之舉,大多數WiFi接入點也允許這樣做,這會減少黑客利用此特點闖入家庭網絡的可能性。
6. 關閉自動連接到開放的WiFi網絡的功能
大多數計算機都存在這樣一個設置,該設置可以自動地把你的計算機連接到一個開放的WiFi網絡上(:如:免費的無線熱點或鄰居的路由器),而不通知你本人。選擇關閉這項功能, 可以防止你的計算機無意中將自己的重要信息泄露給他人,避免你的計算機安全處于危險中。
7. 為網絡設備指定靜態IP地址
大多數構建家庭網絡的人都傾向于采用動態IP地址。動態主機配置協議(DHCP)的確容易設置。但網絡黑客也很容易利用這種方便,他們會很容易從你的網絡DHCP文件中獲取有效的IP地址。所以我們建議關閉接入點和路由器上的DHCP文件,同時設置固定的地址范圍,然后為每個連接設備配置相應的IP地址。采用保密的地址范圍可以防止互連網對計算機的直接接入。
8.在每個計算機和路由器上啟動防火墻
現代的網絡路由器都包含內置的防火墻功能,同時也存在關閉防火強的選項。必須保證你的路由器防火墻處于啟用狀態。如果想進一步增加保護性,建議在每個連接到路由器的計算機上安裝并運行各自的防火墻軟件。
9.為路由器和接入點選擇安全的地方擺放
WiFi無線網絡的信號通常可以傳播到戶外,如果在戶外仍具有一定的強度,就完全可能出現信號泄露的問題。信號傳播的越遠,就越容易被外人偵測和利用。WiFi網絡的信號強度通常可以達到附近的街區和住宅,所以在構建無線家庭網絡時,為接入點和路由器找到一個合適的擺放位子可以有效地減弱戶外的信號強度。為了使信號泄露最小化,我們建議盡量將這些設備放置在房屋的中心位子,不要靠近窗戶和門等房屋周邊。
10.在網絡不用期間,關閉網絡
無疑關閉網絡可以保證黑客無法闖入。如果頻繁的關閉網絡不現實的話,至少在外出旅行或長時間離線時要這樣做。盡管這樣做會對計算機硬盤造成一定的損害,但對于寬帶MODEM和路由器而言那是次要的。如果你擁有一個只在有線連接上使用的無線路由器,那么你也可以只關閉寬帶路由器上的WiFi網絡,而不必把整個網絡斷電。論文參考。
綜上,我們針對WiFi無線網絡的安全問題提供了十點建議,這些建議對于已經擁有或準備構建家庭無線網絡的人們無疑是有幫助和裨益的,對于保障家庭網絡的安全會起到十分重要的作用。
[參考文獻]
1.寬帶無線接入技術及應用:WiMAX與WiFi 唐雄燕電子工業出版社 (2006-05出版)
2.網絡安全講堂之全面防護Windows與無線網絡入侵 程秉輝、程秉輝清華大學出版社 (2009-07出版)
關鍵詞:氧化鋁 制造業執行系統 信息化管理 Java開發平臺
中圖分類號:TP3 文獻標識碼:A 文章編號:1672-3791(2014)03(c)-0027-02
現代網絡環境中,其安全體系的構建主要采取以技術為中心的應對式安全防護策略,需要在應用中根據需求不斷增加相應的設備或者軟件。現在,互聯網平臺為了能夠有效應對日益復雜和嚴重的網絡威脅,配置了大量的防火墻、防病毒軟件、入侵檢測、系統漏洞掃描、災難恢復等多種安全設備。雖然,所采用的這些安全解決方案和策略能夠有效解決大部分的網絡安全威脅,但是,也給網絡安全的管理造成了嚴重影響。究其根本,就是因為現在所采用的這些策略主要是消極被動地去解決出現的安全問題,網絡管理人員難以對采用和設計適合自己的安全管理策略,只能成為復雜新技術和產品的盲從者。現在的網絡安全產品還主要從某個側面對網絡安全進行靜態的防護,更沒有積極主動的網絡管理策略和能力。研究和應用結果表明,單靠網絡安全產品的簡單堆積和產品的缺省配置,是不能解決安全問題的,需要在具體的應用中根據網路偶的不同需求,為其制定相應的安全策略,并對安全組件進行靈活多樣的配置,這樣,就能夠在實現整體和動態安全功能的前提下,將網絡運行狀態調整到最優的狀態點。
1 總體設計
前面已經提到,現有的網絡環境主要采用以技術為中心的應對式網絡安全防護策略,也就是被動地去解決網絡運行中的問題。在本文中,對基于用戶網絡應為的主動網絡安全和管理方式進行研究,下面的圖1中,給出了該安全管理方式的總體設計圖。
在圖1中,網絡行為監控器的職責是對用戶的網絡行為進行監控,并將用戶的網絡行為監控結果存入數據庫中,在使用過程匯總,可以通過相應的技術和方法,將用戶所使用網絡的行為進行記錄,再將記錄結果寫入行為數據庫,從而為網絡行為分析器的具體分析過程提供第一手數據和資料。網絡行為分析器則需要從行為數據庫中對存儲的數據進行提取,找到需要的數據記錄后利用相應技術和方法對數據進行處理分析,對存在于網絡中的某些潛在危險行為進行挖掘,還可以針對危險行為的發展趨勢,以及這些危險行為有可能導致的安全問題進行剖析;在后獲取報警信息后,就能夠將相關信息傳送給網絡管理人員,為網絡管理人員的網絡管理和操作提供依據和決策參考。
由網絡行為分析器所發出的報警信息,包括了多種網絡威脅,比如常見的木馬、網絡病毒以及非法入侵等等。在收到這些報警信息后,網絡管理員需要根據這些報警信息的嚴重級別,對相應的網絡設備和軟件進行及時的查詢和配置,進而將有可能出現的網絡安全隱患消滅在萌芽狀態,而非在網絡威脅事件發生之后再對相應的網絡設備進行查詢和配置。這種網絡安全的管理模式,就是文中所要研究的主動網絡安全管理方式。完成了對網絡設備的參數修改后,還應該針對網絡用戶行為監控器中的監控標識進行相應的修改和設置,確保用戶網絡行為監控器的監控標識能夠與網絡管理模塊中的管理策略保持一致。
2 安全管理方式的技術分析與設計
2.1 Winpcap工具
Winpcap即Windows packet capture的簡稱,是Windows平臺下的一個公共網路訪問系統,可以為用戶提供免費服務,采用基于Win32平臺的網絡分析架構,能夠為Win32應用程序的設計提供高效的網絡底層訪問功能。采用Winpcap的一個明顯優勢就是能夠為用戶提供標準的抓包接口,對網路性能和各種效率優化情況進行綜合考慮,其中就包括對NPF內核層上的過濾器支持,以及對內核態的統計模式的支持等等,此外,還能夠為用戶提供數據包的發送功能。利用Winpcap,網絡行為監控器能夠對流過局域網的所有數據包進行采集,在對數據進行協議分析的基礎上,實現對數據包的起始地址、目的地址等網絡行為的實時獲取,最終實現對局域網內所有鏈接終端的上網行為的監控。
2.2 網絡行為監控器構成
利用網絡行為監控器,不僅要對網絡使用情況進行檢測,還應該將發現的潛在網絡危險行為進行記錄,并將其保存到數據庫。在網絡行為監控器中,包含有網絡嗅探器和協議分析器等兩個主要部分。
2.2.1 網絡嗅探器
通過對經過網絡監控器的所有數據進行采集,可以準確判斷各個數據包的源地址與目的地址,然后對所有數據包的網絡行為進行分類處理,將處理結果發送到協議分析器。
2.2.2 協議分析器
對網絡嗅探器所得到的初步分析結果進行進一步的深入分析,能夠對用戶的具體網絡行為進行判斷,在數據包與標識匹配成功的情況下,就能夠在網絡行為數據庫中進行記錄。
2.3 網絡行為分析器實現過程
2.3.1 對用戶網絡行為進行分析的現狀
在現有技術條件下,對用戶網絡行為的分析過程,主要通過對網絡行為數據庫中的數據進行統計分析所得到的,不過,此類分析過程對網絡管理員的經驗比較依賴,所以,在網絡管理員對用戶上網行為的數據庫結構、IP協議等不是特別清楚的話,就難以進行正確的統計與分析。
2.3.2 知識發現技術
文中的主要思路就是利用知識發現理論和技術對用戶的網絡行為進行分析。其實,知識發現技術就是從海量數據中發現有用知識的完整過程,也是一個人機進行反復交互的處理過程。要實現準確的知識發現,需要經過多個步驟,且很多決策過程都需要用戶的支持。從宏觀的層面來看,知識發現的過程主要包括數據整理、數據挖掘和結果評估等三個不同的部分。
在這三個構成部分中,數據挖掘是知識發現的核心,需要利用專門算法從大量數據中對模式進行抽取,也就是從當前數據中抽取潛在的、隱含的且具有應用價值信息的過程。作為知識發現中的核心內容,數據挖掘與傳統的分析工具相比,差距在于數據挖掘所采用的為基于發現的方法,通過模式匹配和其他算法來實現不同數據之間關系的確定。
現在,在數據挖掘技術中,還包括有其他方法,如統計分析方法、神經元方法、決策樹和遺傳方法等。其中,決策數一種經常用于預測模型的算法,該算法能夠將大量數據進行有目的分類,進而從數據中得到更加有價值的信息。所以,在用戶網絡行為分析過程中,就能夠采用決策樹算法來實現。現在所采用的決策樹算法主要有ID3、CART算法等等。
2.4 防護效果與分析
文中所采用的網絡安全管理模式與傳統的網絡安全防護技術相比,其根本區別就在于傳統防護技術著重于對外部攻擊的防護,而文中方式則更多的強調自身管理與外部方法的并重。
基于用戶網絡行為的主動網絡安全管理方式的根本出發點,就在于能夠對網絡上的各種非法網絡攻擊行為進行有效抑制和防護,比如針對常見的黑客攻擊活動,就能夠較好地解決現在網絡中所廣泛存在的網絡安全問題,有效解決和減少網絡上的攻擊行為,增加網絡使用的安全性。舉例,如果發現有潛在的黑客存在于網絡用戶中,在出現網絡安全問題的情況下,就能夠對非法攻擊者進行準確定位;特別是由于對本地網絡用戶對外部網絡的攻擊行為進行了有效監控,所以,在國際互聯網中,就能夠有效減少網絡的攻擊流量;在大部分網絡攻擊行為被本地監控系統發現的情況下,就可以將網絡安全管理的問題從網絡間向地區間進行限定。不過,文中所分析的基于用戶行為分析的網絡安全技術在網絡實現中,其關鍵問題還在于系統的部署。
只有在所有的接入網絡都采用此類安全管理模式的情況下,才能實現更加安全的網絡環境。基于現有網絡中的包括路由器在內的網絡連接設備,以及包括防火墻在內的網絡安全設備等,都可以增添安全功能,再與現有的網絡安全防護措施相結合,就能夠有效增強互聯網中的安全性能。
3 結語
基于現有的用戶網絡行為分析方法,采用了基于知識發現的決策樹選擇算法。論文最后,對需要進一步進行解決的問題進行說明,就是如何從用戶網絡行為數據庫中通過決策樹算法來構建適合網絡管理的模式。從基于用戶網絡行為監控的主動網絡安全管理方式中可以發現,對用戶的網絡行為進行分析是實現安全管理的前提,能夠為配置管理和修改奠定基礎。
參考文獻
[1] 莊小妹.計算機網絡攻擊和防范技術初探[J].科技資訊,2007(5).
[2] 鄧明林,魏文全.網絡反攻擊技術的研究[J].計算機與網絡,2009(2).
[3] 莊小妹.計算機網絡攻擊技術和防范技術初探[J].科技資訊,2006(23).
[4] 魯昭.計算機網絡攻擊常見方法[J].科技經濟市場,2006(5).
[5] 陸宗躍.網絡安全及安全技術的探討[J].湖北成人教育學院學報,2005(1).
[6] 伏曉,蔡圣聞,謝立.網絡安全管理技術研究[J].計算機科學,2009,36(2):15-19.
論文摘要計算機和通訊網絡的普及和發展從根本上改變了人類的生活方式與工作效率。網絡已經成為農業、工業、第三產業和國防工業的重要信息交換媒介,并且滲透到社會生活的各個角落。政府、企業、團體、個人的生活都發生了巨大改變。網絡的快速發展都得益于互聯網自身的獨特優勢:開放性和匿名性。然而也正是這些特征,同時還決定了網絡存在著不可避免的信息安全隱患。本文主要通過介紹目前在計算機網絡中存在的主要安全威脅并提出構建網絡安全的防護體系,從而對網絡安全的防護策略進行探討。
0引言
網絡給我們提供極大的方便的同時也帶來了諸多的網絡安全威脅問題,這些問題一直在困擾著我們,諸如網絡數據竊密、病毒攻擊、黑客侵襲、木馬掛馬、陷門等。為了有效防止網絡安全問題的侵害,計算機廣泛地推廣使用了各種復雜的軟件技術,如入侵檢測、防火墻技術、通道控制機制、服務器,然后盡管如此,計算機信息安全和網絡安全問題還是頻發。網絡hacker活動日益猖獗,他們攻擊網絡服務器,竊取網絡機密,進行非法入侵,對社會安全造成了嚴重的危害。本文就如何確保網絡信息安全特別是網絡數據安全進行了安全威脅分析并且提出了實現網絡安全的具體策略。
1目前網絡中存在的主要安全威脅種類
1.1計算機病毒
計算機病毒是編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它具有寄生性、傳染性、破壞性、潛伏性和可觸發性等特點。WWW.133229.COm計算機病毒主要是通過復制、傳送數據包以及運行程序等操作進行傳播,在日常的生活中,閃存盤、移動硬盤、硬盤、光盤和網絡等都是傳播計算機病毒的主要途經。計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然產物。
1.2特洛伊木馬
利用計算機程序漏洞侵入后竊取文件的程序程序被稱為木馬。它是一種具有隱藏性的、自發性的可被用來進行惡意行為的程序,多不會直接對電腦產生危害,而是以控制為主。
1.3拒絕服務攻擊
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之。其實對網絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬于拒絕服務攻擊。
1.4邏輯炸彈
邏輯炸彈引發時的癥狀與某些病毒的作用結果相似,并會對社會引發連帶性的災難。與病毒相比,它強調破壞作用本身,而實施破壞的程序不具有傳染性。邏輯炸彈是一種程序,或任何部分的程序,這是冬眠,直到一個具體作品的程序邏輯被激活。
1.5內部、外部泄密
由于黑客的目的一般都是竊取機密數據或破壞系統運行,外部黑客也可能入侵web或其他文件服務器刪除或篡改數據,致使系統癱瘓甚至完全崩潰。
1.6黑客攻擊
這是計算機網絡所面臨的最大威脅。些類攻擊又可以分為兩種,一種是網絡攻擊。即以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網絡偵察,它是在不影響網絡正常工作的情況下,進行截取、竊取、破譯以獲得對方重要的機密信息。這兩種攻擊均可對計算機網絡造成極大的危害
1.7軟件漏洞
操作系統和各類軟件都是認為編寫和調試的,其自身的設計和結構始終會出現問題,不可能無缺陷或者無漏洞,而這些漏洞會被計算機病毒和惡意程序所利用,這就使計算機處于非常危險的境地,一旦連接入互聯網,危險就悄然而至。
2網絡信息與網絡安全的防護對策
盡管計算機網絡信息安全受到威脅,但是采取恰當的防護措施也能有效的保護網絡信息的安全。本文總結了以下幾種方法并加以說明以確保在策略上保護網絡信息的安全。
2.1技術層面上的安全防護對策
1)升級操作系統補丁
操作系統因為自身的復雜性和對網絡需求的適應性,需要及時進行升級和更新,除服務器、工作站等需要操作系統升級外,也包括各種網絡設備,均需要及時升級并打上最新的系統補丁,嚴防網絡惡意工具和黑客利用漏洞進行入侵。
2)安裝網絡版防病殺毒軟件
防病毒服務器作為防病毒軟件的控制中心,及時通過internet更新病毒庫,并強制局域網中已開機的終端及時更新病毒庫軟件。
3)安裝入侵檢測系統
4)安裝網絡防火墻和硬件防火墻
安裝防火墻,允許局域網用戶訪問internet資源,但是嚴格限制internet用戶對局域網資源的訪問。
5)數據保密與安裝動態口令認證系統
信息安全的核似是數據保密,一般就是我們所說的密碼技術,隨著計算機網絡不斷滲透到各個領域,密碼學的應用也隨之擴大。數字簽名、身份鑒別等都是由密碼學派生出來新技術和應用。
6)操作系統安全內核技術
操作系統安全內核技術除了在傳統網絡安全技術上著手,人們開始在操作系統的層次上考慮網絡安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。
7)身份驗證技術身份驗證技術
身份驗證技術身份驗證技術是用戶向系統出示自己身份證明的過程嗎,能夠有效防止非法訪問。
2.2管理體制上的安全防護策略
1)管理制度的修訂及進行安全技術培訓;
2)加強網絡監管人員的信息安全意識,特別是要消除那些影響計算機網絡通信安全的主觀因素。計算機系統網絡管理人員缺乏安全觀念和必備技術,必須進行加強;
3)信息備份及恢復系統,為了防止核心服務器崩潰導致網絡應用癱瘓,應根據網絡情況確定完全和增量備份的時間點,定期給網絡信息進行備份。便于一旦出現網絡故障時能及時恢復系統及數據;
4)開發計算機信息與網絡安全的監督管理系統;
5)有關部門監管的力度落實相關責任制,對計算機網絡和信息安全應用與管理工作實行“誰主管、誰負責、預防為主、綜合治理、人員防范與技術防范相結合”的原則,逐級建立安全保護責任制,加強制度建設,逐步實現管理的科學化、規范化。
參考文獻
[1]簡明.計算機網絡信息安全及其防護策略的研究[j].科技資訊,2006(28).
[2]池瑞楠.windows緩沖區溢出的深入研究[j].電腦編程技巧與維護,2006(9).
[論文摘 要]隨著計算機網絡技術的不斷發展,高校計算機網絡也越來越普及,從而網絡安全問題也日益突出。本文對當前高校計算機網絡存在的問題進行了分析,并針對這些問題提出了一些防護措施,從而確保高校計算機網絡的安全暢通。
引言:隨著互聯網的迅速發展,計算機網絡已成為高校科研、管理和教學所必不可少的重要設施。計算機網絡通過網絡通信技術以及計算機技術,從而實現高校內計算機局域網互連,并通過中國科學院計算機網絡、中國教育和科研計算機網與國際互聯網絡互連,實現資源共享和對外交流。與此同時,計算機網絡也存在安全問題,高校網絡如果存在安全問題,從而停止運行、被惡意破壞或者中斷服務,將對高校的各項工作造成嚴重的影響,其損失也是難以估計的。因此,充分的了解高校計算機網絡存在的問題,并針對其提出解決措施,確保高校網絡安全暢通,已成各高校所關注的重點問題。
一、計算機網絡安全的概念
計算機網絡安全就是指網絡上的信息安全,即指網絡系統的數據受到保護,不受到惡意或偶然的更改、泄露、破壞,網絡服務不中斷,系統可以連續可靠正常的運行。從廣義的角度來說,凡是涉及到網絡上信息的真實性、可用性、完整性、可控性以及保密性的相關理論和技術都是網絡安全的研究領域。
二、高校計算機網絡存在的安全問題
1.硬件問題
高校計算機網絡設備分布范圍比較廣泛,尤其是室外設備,如電纜、電源、通信光纜等,從而不能進行封閉式管理。室內的設備經常發生損壞、破壞、被盜等情況,如果包含數據的主機、光碟、軟盤等被盜,將可能發生數據泄露或丟失。不管其中哪一個出現問題,都將導致校網的癱瘓,影響高校各項工作的正常開展。
2.技術問題
目前大多數高校都是利用Internet 技術構造的,且連接互聯網。首先互聯網的技術具有共享性及開放性,TCP/IP 協議是 Internet中的重要協議,由于最初設計時沒有考慮安全問題,導致IP 網在安全問題上的先天缺陷,使高校網落在運行過程中將面臨各種安全性威脅。其次,高校計算機網絡系統中存在“后門”或安全漏洞等。最后,在高校網絡上沒有采取正確安全機制的和安全策略,也是高校計算機網絡存在重要安全問題。
3.管理和使用的問題
網絡系統的是否能正常運行離不開系統管理人員對網絡系統的管理。很多高校對網絡安全保護不夠重視以及資金投入不足等問題,造成管理者心有余而力不足,在管理上無法跟上其他單位。另外,用戶有時因個人操作失誤也會對系統造成破壞。管理人員可以通過對用戶的權限進行設置,限制某些用戶的某些操作,從而避免用戶的故意破壞。由于對計算機系統的管理不當,會造成設備損壞、信息泄露等。因此科學合理的管理是必須的。
三、計算機網絡的安全防護措施
1.技術上的安全防護措施
目前, 網絡安全技術防護措施主要包括:防火墻技術、身份驗證、入侵檢測技術、殺毒技術加密技術、訪問控制等內容。針對高校網絡來說,應采取一下幾點措施:
(1)防火墻技術
按照某種規則對互聯網和專網,或者對互聯網的部分信息交換進監控和審計,從而阻止不希望發生的網絡間通信。它可以有效地將外部網與內網隔離開,從而保證校網不受到未經授權的訪問者侵入。
(2)VLAN 技術。VLAN 技術即虛擬局域網技術,其核心是網絡分段,按照不同的安全級別以及不同的應用業務,將網絡進行分斷并隔離,從而實現訪問的相互間控制,可以限制用戶的非法訪問。
(3)防病毒技術。選擇合適的網絡殺毒軟件,對網絡定期進行查毒、殺毒、網絡修復等。與此同時,對殺毒軟件要及時升級換代,從而確保其“殺傷力”。
(4)入侵檢測技術。入侵檢測技術是防火墻的合理補充, 幫助系統對付網絡攻擊, 擴展系統管理員的安全管理能力, 提高信息安全基礎結構的完整性。
2.管理上的安全防護措施
(1)網絡設備科學合理的管理。對網絡設備進行合理的管理,必定能增加高校網絡的安全性。比如將一些重要的設備盡量進行集中管理,如主干交換機、各種服務器等;對各種通信線路盡量進行架空、穿線或者深埋,并做好相應的標記;對終端設備實行落實到人,進行嚴格管理,如工作站以及其他轉接設備等。
(2)網絡的安全管理。制定一套安全管理制度,此外還必須對管理人員進行安全管理意識培訓。安全管理的工作相當復雜,涉及到各院系、部的人員和業務,因此學校必須成立信息安全管理委員會,建立起安全管理分級負責的組織體系。加強對管理員安全技術和用戶安全意識的培訓工作。
(3)建立安全實時響應和應急恢復的整體防護。設備壞了可以換,但是數據一旦丟失或被破壞是很難被修復或恢復的,從而造成的損失也是無法估計和彌補的。因此,必須建立一套完整的數據備分和恢復措施。從而確保網絡發生故障或癱瘓后數據丟失、不損壞。
(4)完善相關的法律法規,加強宣傳教育,普及安全常識。計算機網絡是一種新生事物。它的一些行為都是無章可循、無法可依的,從而導致計算機網絡上的犯罪十分猖獗。目前國內外都相繼出臺了一些關于計算機網絡安全的法律法規,各高校也制度了一些管理制度。與此同時還要進行大量的宣傳,使計算機網絡安全常識普及。
四、結束語
高校計算機網絡迅速的普及,為師生的科研、學習、工作中知識獲得和信息交流提供了巨大的幫助。雖然高校計算機網絡存在種種安全問題,但是各高校可以聽取專家的建議,
增大計算機網絡安全管理的投入,加強安全意識教育,進行相關技術培訓,靈活地運用多種安全策略,綜合提高高校網絡的安全性,從而建設一個可靠、安全的科研和教育網絡環境。
參考文獻
[1]翁葵陽.關于當前高校計算機網絡安全管理的思考[J].湖南醫學高等專科學校學報, 2001,(4):57.
[2]胡世昌.計算機網絡安全隱患分析與防范措施探討[J].信息與電腦,2010,(10):6.
[論文摘要]在網絡技術高速發展的時代,網絡安全成每個網絡使用者為關注的焦點,討論傳輸層安全性問題,分析了地址機制?通用的安全協議將逐步消失,取而代之的是融合安全技術應用的問題研究。
互聯網已經成了現代人生活中不可缺少的一部分,隨著互聯網規模的迅速擴大,網絡豐富的信息資源給用戶帶來了極大方便的同時,操作系統漏洞、計算機病毒、黑客人侵及木馬控制、垃圾郵件等也給廣大互聯網用戶帶來了越來越多的麻煩,網絡安全問題因此成為令人矚目的重要問題。
一、傳輸層安全
最常見的攻擊是TCP會話劫持,該劫持是劫持一個現存的會話,利用合法用戶進行連接并通過驗證,之后順其自然接管會話。TCP通過3次握手建立連接以后主要采用滑動窗口機制來驗證對方發送的數據,如果對方發送的數據不在自己的接收窗口內,則丟棄此數據,這種發送序號不在對方接收窗口的狀態稱為非同步狀態。當通信雙方進入非同步狀態后,攻擊者可以偽造發送序號在有效接收窗口內的報文也可以截獲報文。篡改內容后,再修改發送序號,而接收方會認為數據是有效數據。
TCP會話劫持的攻擊方式可以對基于TCP的任何應用發起攻擊,如HTTP FTP及Telnet等。攻擊者通過正在進行TCP通信的2臺主機之間傳送的報文得知該報文的源IP、源TCP端口號、目的IP、目的TCP端口號。從而可以得知其中一臺主機對將要收到的下一個TCP報文段中seq和ackseq值的要求。這樣,在該合法主機收到另一臺合法主機發送的TCP報文前,攻擊者根據所截獲的信息向該主機發出一個帶有凈荷的TCP報文,如果該主機先收到攻擊報文就可以把合法的TCP會話建立在攻擊主機與被攻擊主機之間。TCP會話劫持避開了被攻擊主機對訪問者的身份驗證和安全認證。使攻擊者直接進入對被攻擊主機的訪問狀態,因此對系統安全構成的威脅比較嚴重。
二、地址機制
IPv6采用128位的地址空間,其可能容納的地址總數高達2128,相當于地球表面每平方米擁有6.65×1023個。一方面可解決當前地址空間枯竭的問題,使網絡的發展不再受限于地址數目的不足;另一方面可容納多級的地址層級結構,使得對尋址和路由層次的設計更具有靈活性,更好地反映現代Internet的拓撲結構。IPv6的接口ID固定為64位,因此用于子網ID的地址空間達到了64位,便于實施多級路由結構和地址集聚。IPv6的前綴類型多樣,64位的前綴表示一個子網ID,小于64位的前綴要么表示一個路由,要么表示一個地址聚類。IPv6的地址類型包括單播、多播和任播地址,取消了廣播地址。IPv6的地址機制帶來的安全措施包括:
1)防范網絡掃描與病毒、蠕蟲傳播。傳統的掃描和傳播方式在IPv6環境下將難以適用,因為其地址空間太大。
2)防范IP地址欺騙。IPv6的地址構造為可會聚、層次化的地址結構,每一ISP可對其客戶范圍內的IPv6地址進行集聚,接入路由器在用戶進入時可對IP包進行源地址檢查,驗證其合法性,非法用戶將無法訪問網絡所提供的服務。另外,將一個網絡作為中介去攻擊其他網絡的跳板攻擊將難以實施,因為中介網絡的邊界路由器不會轉發源地址不屬其范圍之內的IPv6數據包。
3)防范外網入侵。IPv6地址有一個作用范圍,在這個范圍之內,它們是唯一的。在基于IPv6的網絡環境下,主機的一個網絡接El可配置多種IPv6地址,如鏈路本地地址、站點本地地址、單播全球地址等,這些不同地址有不同的作用域。IPv6路由器對IPv6地址的作用范圍是敏感的,絕不會通過沒有正確范圍的接El轉發數據包。因此,可根據主機的安全需求,為其配置相應的IPv6地址。例如,為保障本地子網或本地網絡內的主機的安全,可為其配置相應的鏈路本地或站點本地地址,使其通信范圍受限于所在鏈路或站點,從而阻斷外網入侵。
三、通用的安全協議將逐步消失,取而代之的是融合安全技術
當網絡安全還沒有成為網絡應用的重要問題時,制定的通信協議基本上不考慮協議和網絡的安全性。而當這些協議大規模使用出現諸多安全漏洞和安全威脅后,不得不采取補救措施,即發展安全協議保護通信的安全,因此IPSec、IKE、TLS等通用的安全協議應運而生,并獲得廣泛的應用,在充分重視安全重要性后,新的協議在設計過程中就充分考慮安全方面的需要,協議的安全性成了新的協議是否被認可的重要指標.因此新的通信協議普遍融入了安全技術,如SIP本身就附帶諸多安全機制,IPv6本身附帶了必要的安全字段,這種發展趨勢將會持續,由此可以預見,傳統的通用安全協議應用范圍將逐漸縮小,最終消失,取而代之的是所有通信協議都具備相應的安全機制。
四、總結
總之,隨著網絡的普及,網絡信息安全所面臨的危險已經滲透到社會各個方面,應深刻剖析各種不安全的因素,并采取相應的策略,確保網絡安全。解決信息網絡安全僅依靠技術是不夠的,還要結合管理、法制、政策及教育等手段,將信息網絡風險降低至最小程度。相信隨著網絡安全技術的不斷改進和提高,以及各項法律法規的不斷完善,將能構造出更加安全可靠的網絡防護體系。
網絡安全法律制度所要解決的問題,乃是人類進入信息社會之后才產生的特殊安全問題。正如為了適應時代所賦予的“正義觀念”必須調整為“科學發展觀”一樣,法律規范隨著信息社會的發展也應適應新的安全問題而作出結構性調整,以符合時代賦予的“科學發展觀”。
網絡安全監管應當以“快速反應和有效治理”為原則。從信息化發展的趨勢考察,政府部門職權的適當調整是網絡安全監管權力配置的必然選擇。因此,構建政府部門之間、政府與社會之間的“信息共享”機制便成為網絡安全監管法制建設的重點,應當注意到,只有政府和企業、個人密切配合,才能彌補政府網絡安全監管能力的不足,使其更好地履行職責,從而實現保障網絡安全的戰略目標。
參考文獻:
[1]鄭曉妹. 信息系統安全模型分析[J]安徽技術師范學院學報, 2006,(01).
[2]李雪青. 論互聯網絡青年道德主體性的失落及其建設[J]北方工業大學學報, 2000,(04).
[3]劉建永,杜婕. 指揮控制系統的信息安全要素[J]兵工自動化, 2004,(04).
[4]高攀,陳景春. /GS選項分析[J]成都信息工程學院學報, 2005,(03).
[5]劉穎. 網絡安全戰略分析[J]重慶交通學院學報(社會科學版), 2003,(S1).
[6]劉穎. 析計算機病毒及其防范技術[J]重慶職業技術學院學報, 2003,(04).
[7]王世明. 入侵檢測技術原理剖析及其應用實例[J]燕山大學學報, 2004,(04).
[8]劉曉宏. 淺談航空電子系統病毒防范技術[J]電光與控制, 2001,(03).
論文摘要:隨著計算機網絡技術在社會生活中的各個領域的廣泛應用,計算機網絡技術提供巨大的信息含量和交互功能,提高了各個領域的工作效率,但是計算機網絡安全問題也日益嚴重,該文通過對計算機網絡安全的分析,探討安全防范策略。
計算機技術的不斷發展,推動了社會的信息化進程,但是日益加劇的計算機網絡安全問題,導致計算機犯罪頻發以及給個人,單位甚至國家帶來極大損害。因此有必要加強計算機網絡安全的防范,為使用者提供一個安全的網絡空間。
1 計算機網絡安全
計算機網絡安全就是計算機網絡信息的安全。計算機網絡安全的內容包括管理與技術兩個方面。計算機安全管理包括計算機硬件軟件的維護和網絡系統的安全性維護,確保硬軟件的數據和信息不被破壞,保障計算機網絡系統中的數據信息不被隨意更改和泄露。而計算機網絡安全技術主要是指對外部非法用戶的攻擊進行防范,確保計算機網絡使其不被偶然和惡意攻擊破壞,保證計算機網絡安全有序的運行。計算機網絡安全管理和網絡安全技術相結合,構建計算機網絡安全體系,保證計算機網絡系統能夠連續正常的運行。
2 計算機網絡安全風險分析
1)計算機網絡安全問題主要集中在兩個方面,一是信息數據安全問題,包括信息數據被非法修改、竊取、刪除和非法使用。二是計算機網絡設備安全問題,包括設備不能正常運行、設備損壞、網絡癱瘓。
2)計算機網絡安全風險的特點主要表現在三方面。一是突發性和擴散性。計算機網絡攻擊經常是沒有征兆的,而且其造成的影響會迅速擴散到互聯網上的各個用戶,給整個計算機系統造成破壞。二是潛伏性和隱蔽性。計算機網絡攻擊造成破壞前,都會潛伏在程序里,如果計算機用戶沒有及時發現,攻擊就會在滿足條件時發起。另外由于計算機用戶疏于防范,也會為具有隱蔽性的計算機攻擊提供可乘之機。三是危害性和破壞性。計算機網絡遭受到攻擊都會給計算機網絡系統造成嚴重的破壞后果,造成計算機網絡癱瘓,給計算機用戶帶來損失,嚴重的會對社會和國家安全構成威脅。
3)造成計算機網絡安全風險的因素
(1)計算機網絡系統本身的安全隱患
網絡系統的安全隱患重要包括網絡結構設備和網絡系統自身缺陷。普遍應用的網絡結構是集線型,星型等多種結構為一體的混合型結構。每個結構的節點處采用不同的網絡設施,包括路由器、交換機、集線器等。每種設備受自身技術的制約都會在不同程度上給計算機網絡系統帶來安全隱患。另外網絡系統本身具有缺陷,網絡技術的優點是開放性和資源共享性。全球性復雜交錯的互聯網絡,其優點也成了容易遭受個攻擊的弱點,而且計算機網絡協議自身也存在不安全因素,例如出現欺騙攻擊,拒絕服務,數據截取和數據篡改等問題。
(2)計算機病毒安全風險
目前計算機病毒已經成為威脅計算機網絡安全的關鍵因素。計算機病毒是人為編制的,進入計算機程序中的能夠毀壞數據,破壞計算機功能的一組計算機指令或代碼。根據其破壞程度把計算機病毒劃分為優良性病毒與惡性病毒,計算機病毒顯著的特點是具有傳染性、寄生性、隱蔽性、觸發性、破壞性等。而且病毒能夠自我復制。在計算機網絡系統中普遍的傳播方式是通過光盤,U盤等存儲設備進行的,但是隨著計算機網絡的規模的擴大,網絡傳播成為病毒傳播的主要手段,計算機使用者上網瀏覽網頁,收發Email,下載資料等都可能感染計算機病毒,而且病毒能夠在局域網內傳播。計算機病毒對計算機程序和系統造成嚴重的破壞,使網絡無法正常運行。例如2007年1月的熊貓燒香病毒,就是通過下載檔案傳染的,在局域網迅速傳播,極短的時間內就能傳播給數千臺計算機,致使“熊貓燒香”病毒的感染范圍非常廣,包含了金融、稅務、能源等企業和政府機構,給國家造成的經濟損失,可見病毒的危害性巨大。
4)計算機網絡安全風險中的人為因素
(1)計算機網絡安全中的人為因素主要包括計算機使用者的操縱失誤和人為的惡意攻擊。計算機使用者的計算機技術水平良莠不齊,有些人員缺少安全防范意識,在應用過程里出現操作失誤和錯誤,也會給計算機安全帶來風險。另外,人為的惡意攻擊是計算機網絡安全的最大威脅。而人為惡意攻擊又分為主動攻擊和被動攻擊兩種。主動攻擊是指采用各種方式有選擇的破壞信息完整性和有效性。而被動攻擊是使攻擊者在不影響網絡正常工作的情況下,進行對信息的篡改,截取,竊取機密信息的活動。人為攻擊會給造成重要數據的泄漏,給計算機網絡帶來極大的破壞。
(2)人為攻擊里最為常見的是黑客攻擊。黑客最早源自英文hacker,是指利用系統安全漏洞對網絡進行攻擊破壞或竊取資料的人。由于網絡信息系統構建的脆弱性和不完備性,黑客通常會利用計算機網絡系統自身存在的安全隱患和漏洞,進行密碼探測并完成系統入侵的攻擊。黑客攻擊的手段主要包括:口令的攻擊、網絡監聽、盜取、緩沖區溢出攻擊、過載攻擊、隱藏指令、程序嵌入木馬攻擊、取得網站控制權、網頁篡改偽裝欺騙攻擊、電子郵件破壞攻擊和種植病毒等。給計算機用戶帶來極大危害。
5)計算機系統安全漏洞
計算機系統安全是指計算機操作系統的安全。而目前應用的DOS、WINDOWS(2000、XP、VISTA.WIN7)、UNIX、LINUX等操作系統,都存在一定的安全隱患。而系統漏洞產生的原因是應用軟件或操作系統軟件在邏輯設計上的缺陷或在編寫時產生錯誤。而系統漏洞本身不會對網絡系統造成危害,但是由于系統漏洞存在,會被不法分子和黑客利用,例如在計算機中植入木馬,其具有隱藏性的和自發性,是惡意行為的程序,雖不會直接對電腦產生危害,但是可以被黑客控制。黑客還能利用系統安全漏洞,使計算機感染病毒,破壞計算機及其系統造成數據信息丟失等。嚴重危害計算機網絡系統的安全。
6)計算機網絡完全技術有待提升
計算機網絡提供大量的數據信息傳輸,而且又具有開放性,共享性和廣泛性。所以數據信息的安全也面臨著巨大的挑戰。目前網絡數據信息的傳輸處理過程中安全性與保密性技術還不是十分完善,這也為網絡系統中進行的數據信息的傳輸和處理帶來極大的隱患。
3 計算機網絡安全防范對策
針對計算機網絡安全存在的風險分析,要加強計算機網絡的安全防范,除了采用的網絡安全技術和防范措施,還要加強網絡管理的措施,制定法律、法規增強計算機安全保護的執行力度,確保計算機網絡安全工作的確實有效。關于計算機網絡安全方法對策主要從以下幾個方面探討。
1)增強計算機網絡安全管理
(1)提高安全意識,建立專業的管理隊伍
對于計算機個人用戶而言,要不斷加強網絡安全意識的培養,對應用程序進行合法的操作,依據職責權利選擇不同的口令,杜絕其他的用戶越權訪問網絡資源。要重視對計算機病毒的防范,及時更新殺毒軟件和安裝補丁。而對于計算機網絡管理人員要求更高些,增強安全意識的同時加強職業道德和工作責任心的培養,還要不斷提升管理人員的專業技能,增強對網絡的監察和評估。
(2)落實網絡安全管理的各項工作
網絡安全維護除了應用先進的軟件防御需要把網絡管理的各項工作落到實處,加大網絡評估和監控力度,對網絡運行全過程進行監控,針對網絡安全存在的風險提出修改意見,完善網絡安全運行管理機制,營造優良的網絡環境,做好設備維護工作,制定應急預案,確保計算機網絡安全工作的科學性和時效性。
2)計算機網絡安全技術防范措施
(1)防火墻技術
防火墻指的是一個由軟件和硬件設備組合而成,在內部網和外部網之間,專用網與公共網之間的界面上構造的保護屏障。能夠限制外部用戶內部訪問,以及管理內部用戶訪問外界網絡。有效的控制信息輸入輸出是否符合安全規則,對包含不安全的信息數據進行過濾,防止內網數據和資源的外泄,強化計算機網絡的安全策略,是保障計算機網絡安全的基礎技術。
(2)計算機病毒防范技術
由于計算機病毒的破壞性和危害性很大,所以防毒工作是計算機網絡安全管理的重要部分,除了設置防火墻,還要在計算機上安裝正版的殺毒防毒軟件,并且及時的升級殺毒軟件,更新病毒庫,定期對磁盤進行安全掃描,同時計算機使用者還要主要上網安全,不打開不正常的網頁鏈接和下載可疑文件。
(3)信息加密技術
當信息數據技術通過網絡傳輸時,由于計算機網絡的復雜性和自身缺陷,容易造成信息數據泄露,所以要應用信息加密技術,保障信息數據傳輸的安全。計算機網絡數據加密主要有三個層次,鏈路加密、節點加密和端到端加密。而且在整個過程中都是以密文形式進行傳輸的,有效地保障了數據傳輸的安全。
(4)漏洞掃描和修復技術
由于計算機系統自身存在漏洞,為了不給黑客和不法分子帶來可乘之機,就要定期的對計算機網絡系統進行漏洞掃描,下載安全補丁,及時修復系統漏洞。
(5)系統備份和還原技術
數據的備份工作也是計算機網絡安全的內容之一,常用的Ghost工具,可以進行數據的備份和還原,但系統出現故障時,利用ghost,減少信息數據的損失。保障計算機系統的恢復使用。
4 總結
21世紀是網絡技術飛速發展的時代,隨著全球數字化和信息化的進程不斷加快,網絡的資源共享和開放性所帶來的安全隱患需要引起重視,為了增強信息的安全保障能力,有效的維護國家安全、社會穩定和公共利益,需要制定科學的計算機網絡防范體系,降低計算機網絡安全風險,提高計算機網絡安全技術,為營造安全的網絡環境和構建和諧社會提供技術支持和理論基礎。
參考文獻
[1] 金曉倩.基于計算機防火墻安全屏障的網絡防范技術[J].素質教育論壇,2009(11).
[2] 趙紅言,許柯,趙緒民.計算機網絡安全及防范技術[J].陜西師范大學學報,2007(9).
[3] 王小芹.計算機網絡安全的防范技術及策略[J].內蒙古科技與經濟,2005(15).
[4] 何莉,許林英,姚鵬海.計算機網絡概論[M].北京:高等教育出版社,2006(1).
論文摘要:隨著計算機技術和信息網絡技術的發展,全球信息化已成為人類發展的趨勢。行政部門信息網絡的互聯,最大限度地實現了信息資源的共享和提高行政部門對企事業單位監管監察的工作效率。然而網絡易受惡意軟件、黑客等的非法攻擊。如何保障計算機信息網絡的安全,已成為備受關注的問題。
行政機關的計算機網絡系統通常是跨區域的intranet網絡,提供信息管理、資源共享、業務窗口等應用服務的平臺,網絡內部建立數據庫,為各部門的業務應用提供資源、管理,實現數據的采集、信息、流程審批以及網絡視頻會議等應用,極大提高了日常工作效率,成為行政機關辦公的重要工具,因此要求計算機網絡具有很高的可操作性、安全性和保密性。
1、開放式網絡互連及計算機網絡存在的不安全要素
由于計算機網絡中存在著眾多的體系結構,體系結構的差異性,使得網絡產品出現了嚴重的兼容性問題,國際標準化組織iso制定了開放系統互聯(osi)模型,把網絡通信分為7個層次,使得不同結構的網絡體系在相應的層次上得到互聯。下面就根據網絡系統結構,對網絡的不安全因素分層次討論并構造網絡安全策略。
(1)物理層的安全要素:這一層的安全要素包括通信線路、網絡設備、網絡環境設施的安全性等。包括網絡傳輸線路、設備之間的聯接是否尊從物理層協議標準,通信線路是否可靠,硬件和軟件設施是否有抗干擾的能力,網絡設備的運行環境(溫度、濕度、空氣清潔度等),電源的安全性(ups備用電源)等。
(2)網絡層的安全要素:該層安全要素表現在網絡傳輸的安全性。包括網絡層的數據傳輸的保密性和完整性、資源訪問控制機制、身份認證功能、層訪問的安全性、路由系統的安全性、域名解析系統的安全性以及入侵檢測應用的安全性和硬件設備防病毒能力等。
(3)系統層的安全要素:系統層是建立在硬件之上軟環境,它的安全要素主要是體現在網絡中各服務器、用戶端操作系統的安全性,取決于操作系統自身的漏洞和不足以及用戶身份認證,訪問控制機制的安全性、操作系統的安全配置和來自于系統層的病毒攻擊防范手段。
(4)應用層的安全要素:應用層的安全要素主要考慮網絡數據庫和信息應用軟件的安全性,包括網絡信息應用平臺、網絡信息系統、電子郵件系統、web服務器,以及來自于病毒軟件的威脅。
(5)管理層的安全要素:網絡安全管理包括網絡設備的技術和安全管理、機構人員的安全組織培訓、安全管理規范和制度等。
2、網絡安全策略模型及多維的網絡安全體系
行政機關的網絡安全需要建立一個多維的安全策略模型,要從技術、管理和人員三位一體全方位綜合考慮。
技術:是指當今現有使用的設備設施產品、服務支持和工具手段,是網絡信息安全實現的基礎。
管理:是組織、策略和流程。行政機關信息網絡的安全建設關鍵取決于組織人員的判斷、決策和執行力,是安全成敗的必要措施。
人員:是信息網絡安全建設的決定性因素,不論是安全技術還是安全管理,人員是最終的操作者。人員的知識結構、業務水平是安全行為執行的關鍵。
基于網絡信息安全是一個不斷發現問題進而響應改進的循環系統,我們構造網絡安全策略模型為:防護-->檢測-->響應-->恢復-->改善-->防護。
運用這個安全體系我們解決網絡中的不安全要素,即在物理安全、網絡安全、系統安全、應用安全和管理安全等多個層次利用技術、組織和人員策略對設備信息進行防護、檢測、響應、恢復和改善。
(1)物理安全:采用環境隔離門禁系統、消防系統、溫濕度控制系統、物理設備保護裝置(防雷設備)等,設置監控中心、感應探測裝置,設置自動響應裝置,事故發生時,一方面防護裝置自動響應,另一方面人員發現處理,修復或更換設備的軟、硬件,必要時授權更新設備或設施。
(2)網絡安全:采用防火墻、服務器、訪問控制列表、掃描器、防病毒軟件等進行安全保護,采用網絡三層交換機通過劃分vlan,把網絡中不同的服務需求劃分成網段,采用入侵檢測系統(ids)對掃描、檢測節點所在網段的主機及子網掃描,根據制定的安全策略分析并做出響應,通過修改策略的方式不斷完善網絡的安全。
(3)系統安全:采用性能穩定的多用戶網絡操作系統linux作為服務器的基礎環境,使用身份認證、權限控制進行保護,用登陸控制、審計日志、文件簽名等方式檢測系統的安全性,進行接入控制審計響應,通過對系統升級、打補丁方式恢復系統的安全性,可以通過更新權限來改善用戶對系統操作的安全性。
(4)應用安全:采用身份認證、權限控制、組件訪問權限和加密的辦法進行保護,用文件、程序的散列簽名、應用程序日志等方式檢測應用程序的安全性,通過事件響應通知用戶,采用備份數據的辦法恢復數據,通過更新權限完善應用系統的安全性。
(5)管理安全:通過建立安全管理規章制度、標準、安全組織和人力資源,對違規作業進行統計,制定緊急響應預案,進行安全流程的變更和組織調整,加強人員技能培訓,修訂安全制度。
3、行政機關人員安全的重要性
行政機關網絡信息的安全,人員占據重要的地位,網絡安全的各要素中都涉及人員的參與,因此對人員的安全管理是行政機關網絡信息安全的重點。
首先組織領導要高度重視網絡信息的安全性,建立周密的安全制度(包括網絡機房安全制度、計算機操作員技術規范等),提高從業人員的素質和業務水平,防范人為因素造成的損失。
其次是組織員工進行信息安全培訓教育,提高安全意識。對專業技術人員做深入的安全管理和安全技術培訓。
再次是網絡技術人員要定期對設備巡檢維護,及時修改和更新與實際相應的安全策略(防火墻、入侵檢測系統、防病毒軟件等)。
最后是安全管理人員定期檢查員工的網絡信息方面的安全問題。
4、結語
行政機關網絡安全從其本質上講就是保障網絡上的信息安全,網絡安全是一個全方位的系統工程,需要我們不斷地在實踐和工作中發現問題和解決,仔細考慮系統的安全需求,將各種安全技術,人員安全意識級水平、安全管理等結合在一起,建立一個安全的信息網絡系統為行政機關工作服務。
參考文獻
[1]陳曉光.淺談計算機網絡教學[j].才智,2009,(08).
一,良好的思想政治表現
我為人處事的原則是“認認真真學習,踏踏實實工作,堂堂正正做人,開開心心生活”,對自己,我嚴格要求,工作認真,待人誠懇,言行一致,表里如一。做到遵紀守法,謙虛謹慎,作風正派,具有良好的思想素質和職業道德,能用“三個代表”的要求來指導自己的行動。積極要求進步,團結友善,明禮誠信。在黨員先進性教育主題演講比賽中獲得過三等獎,“知榮明恥愛報社”演講比賽中獲得過三等獎,“我為報社改革發展獻一策”活動中獲得過三等獎。連續四年被評為集團先進工作者,并獲得過“市屬機關優秀團員”稱號.
二,負重鍛煉,鼓勁挖潛,較好地完成本職工作
2002至2006年來是報業集團改革與發展的關鍵時期,集團正朝著規模化、多媒體化、多元化,網絡化的方向快速發展,生產規模、管理理念、業務流程等都發生了很大的變化,在報業快速變革時期,記者編輯的數量增加,集團辦公區域的擴大,并且在技術人員不足的環境條件下,集團采編流程,經營流程,網絡安全,機房建設,信息化成本研究等方面的都進行了較大規模的設計建設與完善。在信息建設的過程中,一方面在較少技術支持下獨立研究項目的合理性,科學性,安全性,另一方面又要面對很多系統與網絡核心維護,以及大量其他技術人員無法解決的問題。在報業集團這些日子里,較好的完成了集團領導下達的責任目標.
1.報業集團信息中心機房平臺安全運轉,沒有出現過重大事故,工作有序開展,集團網絡與系統總體正常運行,信息機房建設水平達到新的高度,空調通風系統,應急照明系統,消防系統,機房UPS配電系統,機房防雷接地系統的安全系數進一步得到提高.
2.報業系統集成,管理流程得到提高,報業采編流程系統逐步升級.淵博系統已為報人提供方便快捷的全文檢索功能,報社經略廣告系統的研究,使的廣告管理模式電腦化、科學化和規范化,廣告數據更加的準確性、完整性和安全性.報業集團的發行系統實施已大大推動報業自辦發行的進程與規模.二次開發報業業績考核管理系統,統計出記者和編輯業績情況,以便對其進行定期考核,提高全體員工辦報的熱情.
3.實現創建集團的域控制系統,采編數據庫系統,文件服務器系統,UPS不間斷電源監控系統,也同時協助設計與實施財務集中管理與監控,逐步完善財務經營管理一體化.
4.協助完成集團報業數字化大樓建設,監督與完善3樓發行中心,8樓商報7樓行政經營區域結構化布線子系統,,網絡系統接入性,擴展性,使其穩定性得到提升,讓區域需求得以改變,使的網絡能夠逐步向成熟期過渡.并且完成22個鎮區網絡接入,系統與報社中心整合運行已向多分支性機構過渡.
5.架設網絡版防病毒防御系統,并與硬件防病毒墻進行聯動,降低網絡的安全風險,提高網絡安全性。VPN遠程辦公系統與報社網關級別防毒墻設計與規劃實施為報人提供安全的信息多元化通道,完善的網絡存儲集中備份,為整個網絡中的數據實現統一的存儲控制管理,從而防止物理損壞,以及部分邏輯損壞,保護好集團的數據資源。實現核心交換機的雙機熱備份,維持核心網絡層安全、穩定的運行,最大限度的降低網絡的風險。上網行為監控的研究與設計實現。規范報人上網行為,使網絡資源合理利用,提高報業集團競爭力。磁盤陣列存儲系統,相關的災難恢復,數據庫管理,存儲策略得到進一步的擴展.加強了網絡安全,為報人服務,深度研究與準備架構一個動態的、整體的安全體系:安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全模塊.找出網絡,與系統運行規律,進而來預測未來可能發生趨勢.
三,加強責任感、發揚吃苦耐勞的精神、增強開拓創新的意識
這些年來,集團的技術領域特殊的環境使我能夠以大局為重、寬宏大量,不斤斤計較個人利益。由于工作的特殊性與重要性,這些年來很多時候都在超負荷工作,甚至幾天幾夜才能睡上幾個小時,每一次技術改造與創新,每一個項目的設計與架設都要付出巨大的艱辛,即要協調維護好集團及報人家庭將近上千萬的信息設備,又要進行預測,研究信息化過程中可能出現的問題,敢于嘗試,把新知識、新技術、新理念融入實施過程中,提出高效的解決方案,又要對集團技術管理進行階段深入研究。
四,不斷加強理論學習,拓展知識領域
潛心研究計算機技術領域的國內外現狀和發展趨勢,吸收豐富的計算機理論知識,提高解決本專業實際問題的能力,能將本專業與相關專業相互配合,協調解決有關技術難題,并且能指導工程師工作和學習。并且也加強了寫作能力、組織協調能力和判斷分析能力。為了加強自身計算機水平的提高,于2003年度在微軟授權培訓中心接受微軟系統工程師培訓,并獲得中國微軟頒發的MCSE系統工程師證書時.同年也獲得北大方正采編高級系統管理證書,在2004年在cisco授權培訓中心接受cisco網絡工程師培訓,同年獲得美國思科頒發的CCNA網絡工程師證書,并自學CCNP網絡專家課程.為了掌握更扎實的技術,充實自己的理論知識,從2003年開始就讀于電子科技大學軟件工程研究生專業,并且在2006年底順利拿到工程碩士文憑。在論文方面,,先后在電腦報,計算機世界,中國地市報人等報刊發表過論文.
五,今后努力方向
1.陷于較為嚴重的事務性工作的特殊情況,必須進行角色技術轉變,新時期的現代報業技術人員應是技術組織者,網絡,網絡安全建設者,新聞信息產品的開發員,信息技術服務咨詢專家,信息技術教師的身份.
2.要創新,技術管理更需要有潛意識加強,技術和管理應該并重.
論文關鍵詞:網絡安全 防范策略
論文摘要:危害計算機網絡安全的因素做種多樣,最長見的主要是犯罪分子通過惡意軟件、木馬病毒等進行網絡犯罪,該文主要是針對這種問題,在充分調研和具體考察的基礎上,分析了常見的幾種危害計算機網絡安全的方法,并在此基礎上提出了關于計算機網絡安全的幾種策略,有一定的現實指導意義。
計算機網絡安全主要是指計算機網絡系統的硬件系統、軟件系統以及網絡上的各種信息的安全。計算機網絡安全主要是指信息安全。
從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。
不管是出于何種動機,凡是對計算機網絡安全帶來攻擊的操作,不管是有意還是無意,都可能給計算機網絡帶來不可估量的損失。因此,必須有足夠的辦法和強有力的措施來確保計算機網絡的足夠安全。不管是針對局域網的安全還是針對廣域網的安全,計算機網絡的安全防護措施必須是全方位多領域的。可以針對不同的威脅和攻擊,采取不同的有效方法。只有這樣,才能確保計算機網絡安全和網絡信息安全。
1 影響計算機網絡安全的常見威脅
由于計算機網絡的設計初衷是資源共享、分散控制、分組交換,這決定了互聯網具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網絡,并將破壞行為迅速地在網絡中傳播。同時,計算機網絡還有著自然社會中所不具有的隱蔽性:無法有效識別網絡用戶的真實身份;由于互聯網上信息以二進制數碼,即數字化的形式存在,所以操作者能比較容易地在數據傳播過程中改變信息內容。計算機網絡的傳輸協議及操作系統也存在設計上的缺陷和漏洞,從而導致各種被攻擊的潛在危險層出不窮,這使網絡安全問題與傳統的各種安全問題相比面臨著更加嚴峻的挑戰,黑客們也正是利用這樣的特征研發出了各種各樣的攻擊和入侵方法。
2 網絡安全的技術和措施
起初,計算機網絡防護主要考慮的是劃分網絡邊界,通過明確網絡邊界,在網絡邊界處對網絡信息進行監測和控制。如果被檢測的信息不符合規定,那么就不能通過檢查進入網絡。通過這種方法來實現對計算機網絡安全的監督和防范。
常見的幾種計算機網絡防護措施有:
2.1 利用防火墻
防火墻主要是通過提前制定安全策略,來實現對計算機網絡的訪問控制和監測,本質上屬于是屬于通過隔離病毒來實現對網絡安全控制的技術。常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。
2.2 利用虛擬專用網絡
另一種計算機網絡防護措施是采用虛擬專用網絡,虛擬專用網絡又稱作VPN,這種技術主要是通過公共的核心網絡把分布在不同地點的網絡連接在一起。連接而成的邏輯上相連的虛擬子網。它可以幫助異地用戶、公司分支機構、商業伙伴及供應商與內部網建立可信的安全連接,并保證數據的安全傳輸。VPN技術采用了鑒別、訪問控制、保密性和完整性等措施,以防止信息被泄露、篡改和復制。以此確保信息的絕對安全。
2.3 利用防毒墻
防毒墻主要是用來對在網絡中進行傳輸的病毒進行過濾的一種安全設備,防毒墻一般處在網絡的入口處。防火墻雖然可以實現對計算機在計算機網絡上傳遞的數據的合法性進行檢查和分析,但它對從允許連接的電腦上發送過來的病毒數據流卻是無能為力的,因為它無法識別合法數據包中是否存在病毒這一情況;防毒墻主要是利用簽名技術,主要通過在網關處進行查毒操作。它主要是為了彌補防火墻在防毒方面存在缺陷的而產生的。通過防毒墻可以有效的阻止網絡蠕蟲(Worm)和僵尸網絡(BOT)的擴散。
2.4 利用摘要算法的認證
Radius(遠程撥號認證協議)、OSPF(開放路由協議)、SNMP Security Protocol等均使用共享的Security Key(密鑰),加上摘要算法(MD5)進行認證,但摘要算法是一個不可逆的過程,因此,在認證過程中,由摘要信息不能計算出共享的security key,所以敏感信息不能在網絡上傳輸。市場上主要采用的摘要算法主要有MD5和SHA-1。
3 網絡檢測技術淺析
由于計算機病毒千變萬化,單純的依靠防火墻或者防毒墻遠遠不能對付所有威脅計算機網絡安全的病毒。于是,人們開始采用以檢測為主要標志的技術來確保計算機網絡的安全。網絡檢測技術主要是通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統,或者更廣泛意義上的信息系統的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探,以及內部合法用戶的超越使用權限的非法活動。主要的網絡安全檢測技術有:
3.1 入侵檢測
入侵檢測系統(Intrusion Detection System,IDS)是用于檢測任何損害或企圖損害系統的保密性、完整性或可用性行為的一種網絡安全技術。它通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統,包括檢測外界非法入侵者的惡意攻擊或試探,以及內部合法用戶的超越使用權限的非法活動,提高了信息安全基礎結構的完整性。轉貼于
3.2 入侵防御
入侵防御系統是一種主動的、積極的入侵防范、阻止系統。IPS是基于IDS的、建立在IDS發展的基礎上的新生網絡安全技術,IPS的檢測功能類似于IDS,防御功能類似于防火墻。IDS是一種并聯在網絡上的設備,它只能被動地檢測網絡遭到了何種攻擊,它的阻斷攻擊能力非常有限;而IPS部署在網絡的進出口處,當它檢測到攻擊企圖后,會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。
3.3 利用漏洞掃描
漏洞掃描技術是一種安全防范技術,這種技術主要是利用以下兩種方法來檢查目標主機是否存在漏洞:在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務,將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標主機系統進行攻擊性的安全漏洞掃描,如測試弱勢口令等,若模擬攻擊成功,則表明目標主機系統存在安全漏洞。總的來說,計算機網絡安全不是一個簡單的問題。不但有技術方面的問題,更有管理方面和法律方面的問題。只有協調好三者之間的關系,構建完善的安全體系,才能有效地保護網絡安全。
4 結論
本文主要是針對計算機網絡安全問題進行了淺析和概述,從而讓大家對計算機網絡安全問題有個初步的認識。文章通過分析,簡要的說明了計算機網絡安全面臨的主要威脅。計算機網絡安全的主要是計算機網絡的信息安全。技術上采用的信息安全機制,網絡安全的威脅與攻擊的發展趨勢,及對應的網絡安全技術的發展。在充分吸收和借鑒國外先進技術經驗的基礎上,近些年來,國內開發了各種各樣的維護計算機網絡安全的軟件,例如防火墻,安全路電器,安全網點、網絡、入侵檢測,系統漏洞掃描等硬件或軟件的網絡安全設備,滿足了近期的應用急需,但要想滿足長遠的需要,猶豫平臺的兼容性以及網絡協議的多樣性等因素。這些技術和的完善性、規范性、實用性方面還存在不足,存在差距,自立的技術手段需要發展和強化。從這個意義上講,對住處網絡安全研究來源,自主創新是第一位的。
參考文獻:
[1] 黃惠烽.網絡安全與管理[J].內江科技,2008(7).
[2] 葛秀慧.計算機網絡安全管理[M].2版.北京:清華大學出版社,2008(5).
[3] 胡錚.網絡與信息安全[M].北京:清華大學出版社,2006(5).
[4] 華建軍.計算機網絡安全問題探究[J].科技信息,2007(9).
[5] 呂鐵軍.計算機網絡安全的幾點策略[J].產業與科技論壇,2007(3).
