時間:2022-02-02 07:28:41
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡安全設計論文,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
一、消防信息化建設的主要內(nèi)容
1.1消防信息化的范疇
消防信息化是利用先進可靠、實用有效的現(xiàn)代計算機、網(wǎng)絡及通信技術對消防信息進行采集、儲存、處理、分析和挖掘,以實現(xiàn)消防信息資源和基礎設施高程度、高效率、高效益的共享與共用的過程。
消防信息化建設的范疇包括通信網(wǎng)絡基礎設施建設、信息系統(tǒng)建設及應用、安全保障體系建設、運行管理體系建設和標準規(guī)范體系建設等內(nèi)容。
1.2通信網(wǎng)絡基礎設施建設
全國消防通信網(wǎng)絡從邏輯上分為三級:一級網(wǎng)是從部消防局到各省(區(qū)、市)消防總隊以及相關的消防科研機構和消防院校;二級網(wǎng)是各省(區(qū)、市)消防總隊到市(地、州)消防支隊;三級網(wǎng)是各市(地、州)消防支隊到基層消防大隊及中隊。對北京、上海、天津、重慶等直轄市,二級網(wǎng)和三級網(wǎng)可合并考慮。每一級網(wǎng)絡所在機關均應建設本級局域網(wǎng)。
1.3安全保障體系建設
安全保障體系是實現(xiàn)公安消防機構信息共享、快速反應和高效運行的重要保證。安全保障體系首先應保證網(wǎng)絡的安全、可靠運行,在此基礎上保證應用系統(tǒng)和業(yè)務的保密性、完整性和高度的可用性,同時為將來的應用提供可擴展的空間。安全保障體系建設的基本要求是:
(1)保障網(wǎng)絡安全、可靠、持續(xù)運行,能夠防止來自外部的惡意攻擊和內(nèi)部的惡意破壞;
(2)保障信息的完整性、機密性和信息訪問的不可否認性,要求采取必要的信息加密、信息訪問控制、訪問權限認證等措施;
(3)提供容災、容錯等風險保障;
(4)在確保安全的條件下盡量為網(wǎng)絡應用提供方便,實行全網(wǎng)統(tǒng)一的身份認證和基于角色的訪問控制;
(5)建立完備的安全管理制度。
二、消防信息化建設中面臨的網(wǎng)絡安全問題
2.1計算機網(wǎng)絡安全的定義
從狹義的保護角度來看,計算機網(wǎng)絡安全是指計算機及其網(wǎng)絡系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害;從其本質(zhì)上來講就是系統(tǒng)上的信息安全。
從廣義來說,凡是涉及到計算機網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網(wǎng)絡安全的研究領域。
2.2網(wǎng)絡系統(tǒng)的脆弱性
2.2.1操作系統(tǒng)安全的脆弱性
操作系統(tǒng)不安全,是計算機不安全的根本原因。主要表現(xiàn)在:
(1)操作系統(tǒng)結(jié)構體制本身的缺陷;
(2)操作系統(tǒng)支持在網(wǎng)絡上傳輸文件、加載與安裝程序,包括可執(zhí)行文件;
(3)操作系統(tǒng)不安全的原因還在于創(chuàng)建進程,甚至可以在網(wǎng)絡的結(jié)點上進行遠程的創(chuàng)建和激活;
(4)操作系統(tǒng)提供網(wǎng)絡文件系統(tǒng)(NFS)服務,NFS系統(tǒng)是一個基于RPC的網(wǎng)絡文件系統(tǒng),如果NFS設置存在重大問題,則幾乎等于將系統(tǒng)管理權拱手交出;
(5)操作系統(tǒng)安排的無口令人口,是為系統(tǒng)開發(fā)人員提供的邊界入口,但這些入口也可能被黑客利用;
(6)操作系統(tǒng)還有隱蔽的信道,存在潛在的危險。
2.2.2網(wǎng)絡安全的脆弱性
由于Internet/Intmnet的出現(xiàn),網(wǎng)絡安全問題更加嚴重。可以說,使用TCP/IP協(xié)議的網(wǎng)絡所提供的FTP、E-Mail、RPC和NFS都包含許多不安全的因素,存在許多漏洞。
同時,網(wǎng)絡的普及使信息共享達到了一個新的層次,信息被暴露的機會大大增多。Intemet網(wǎng)絡就是一個不設防的開放大系統(tǒng),誰都可以通過未受保護的外部環(huán)境和線路訪問系統(tǒng)內(nèi)部,隨時可能發(fā)生搭線竊聽、遠程監(jiān)控、攻擊破壞。
2.2.3數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性
當前,大量的信息存儲在各種各樣的數(shù)據(jù)庫中,而這些數(shù)據(jù)庫系統(tǒng)在安全方面的考慮卻很少。而且,數(shù)據(jù)庫管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套。
2.2.4防火墻的局限性
盡管利用防火墻可以保護安全網(wǎng)免受外部黑客的攻擊,但它只能提高網(wǎng)絡的安全性,不可能保證網(wǎng)絡絕對安全。
2.3基于消防通信網(wǎng)絡進行入侵的常用手段分析
由于消防工作的社會性,消防信息化建設很重要的一方面就是利用信息化手段強化為社會服務的功能,積極通過網(wǎng)絡媒體為社會提供各類消防信息,如消防法律法規(guī)、消防知識等,促進消防工作社會化;在網(wǎng)上受理消防業(yè)務,公布依法行政的有關信息,為社會提供服務,增強群眾對消防工作的滿意度。在利用網(wǎng)絡提高工作效率和簡化日常工作流程的同時,也面臨許多信息安全方面的問題,主要表現(xiàn)在:
2.3.1內(nèi)部資料被竊取
現(xiàn)在消防機關上傳下達的各種資料基本上都要先經(jīng)過電腦錄入并打印后再送發(fā)出去,電腦內(nèi)一般都留有電子版的備份,若此電腦直接接入局域網(wǎng)或Intemet,就有可能受到來自內(nèi)部或外部人員的威脅,其主要方式有:
(1)利用系統(tǒng)漏洞入侵,瀏覽、拷貝甚至刪除重要文件。前段時間在安全界流行一個名為DCOMRPC的漏洞,其涉及范圍非常之廣,從WindowsNT4.0、Windows2000、WindowsXP到WindowsServer2003。由于MicrosoftRPC的DCOM(分布式組件對象模塊)接口存在緩沖區(qū)溢出缺陷,如果攻擊者成功利用了該漏洞,將會獲得本地系統(tǒng)權限,并可以在系統(tǒng)上運行任何命令,如安裝程序,查看或更改、刪除數(shù)據(jù)或是建立系統(tǒng)管理員權限的帳戶等。目前關于該漏洞的攻擊代碼已經(jīng)涉及到的相應操作系統(tǒng)和版本已有48種之多,其危害性可見一斑;
(2)電腦操作人員安全意識差,系統(tǒng)配置疏忽大意,隨意共享目錄;系統(tǒng)用戶使用空口令,或?qū)⑾到y(tǒng)帳號隨意轉(zhuǎn)借他人,都會導致重要內(nèi)容被非法訪問,甚至丟失系統(tǒng)控制權。
2.3.2Web服務被非法利用
據(jù)統(tǒng)計,目前全國各級公安消防部門在因特網(wǎng)上已建立近100個網(wǎng)站,提供消防法規(guī)、危險物品基礎數(shù)據(jù)、產(chǎn)品質(zhì)量信息、消防技術標準等重要信息,部分支隊還對轄區(qū)內(nèi)重點單位開辟網(wǎng)上受理業(yè)務服務,極大地提高了工作效率,但基于網(wǎng)頁的入侵及欺詐行為也在威脅著網(wǎng)站數(shù)據(jù)的安全性及可信性。其主要表現(xiàn)在:
(1)Web頁面欺詐
許多提供各種法律法規(guī)及相關專業(yè)數(shù)據(jù)查詢的站點都提供了會員服務,這些會員一般需要繳納一定的費用才能正式注冊成為會員,站點允許通過信用卡在線付費的形式注冊會員。攻擊者可以通過一種被稱為Man-In-the-Middle的方式得到會員注冊中的敏感信息。
攻擊者可通過攻擊站點的外部路由器,使進出方的所有流量都經(jīng)過他。在此過程中,攻擊者扮演了一個人的角色,在通信的受害方和接收方之間傳遞信息。人是位于正在同心的兩臺計算機之間的一個系統(tǒng),而且在大多數(shù)情況下,它能在每個系統(tǒng)之間建立單獨的連接。在此過程中,攻擊者記錄下用戶和服務器之間通信的所有流量,從中挑選自己感興趣的或有價值的信息,對用戶造成威脅。
(2)CGI欺騙
CGI(CommonGatewayInterface)即通用網(wǎng)關接口,許多Web頁面允許用戶輸入信息,進行一定程度的交互。還有一些搜索引擎允許用戶查找特定信息的站點,這些一般都通過執(zhí)行CGI程序來完成。一些配置不當或本身存在漏洞的CGI程序,能被攻擊者利用并執(zhí)行一些系統(tǒng)命令,如創(chuàng)建具有管理員權限的用戶,開啟共享、系統(tǒng)服務,上傳并運行木馬等。在奪取系統(tǒng)管理權限后,攻擊者還可在系統(tǒng)內(nèi)安裝嗅探器,記錄用戶敏感數(shù)據(jù),或隨意更改頁面內(nèi)容,對站點信息的真實性及可信性造成威脅。
(3)錯誤和疏漏
Web管理員、Web設計者、頁面制作人員、Web操作員以及編程人員有時會無意中犯一些錯誤,導致一些安全問題,使得站點的穩(wěn)定性下降、查詢效率降低,嚴重的可導致系統(tǒng)崩潰、頁面被篡改、降低站點的可信度。
2.3.3網(wǎng)絡服務的潛在安全隱患
一切網(wǎng)絡功能的實現(xiàn),都基于相應的網(wǎng)絡服務才能實現(xiàn),如IIS服務、FTP服務、E-Mail服務等。但這些有著強大功能的服務,在一些有針對性的攻擊面前,也顯得十分脆弱。以下列舉幾種常見的攻擊手段。
(1)分布式拒絕服務攻擊
攻擊者向系統(tǒng)或網(wǎng)絡發(fā)送大量信息,使系統(tǒng)或網(wǎng)絡不能響應。對任何連接到Intemet上并提供基于TCP的網(wǎng)絡服務(如Web服務器、FrP服務器或郵件服務器)的系統(tǒng)都有可能成為被攻擊的目標。大多數(shù)情況下,遭受攻擊的服務很難接收進新的連接,系統(tǒng)可能會因此而耗盡內(nèi)存、死機或產(chǎn)生其他問題。
(2)口令攻擊
基于網(wǎng)絡的辦公過程中不免會有利用共享、FTP或網(wǎng)頁形式來傳送一些敏感文件,這些形式都可以通過設置密碼的方式來提高文件的安全性,但多數(shù)八會使用一些諸如123、work、happy等基本數(shù)字或單詞作為密碼,或是用自己的生日、姓名作為口令,由于人們主觀方面的原因,使得這些密碼形同虛設,攻擊者可通過詞典、組合或暴力破解等手段得到用戶密碼,從而達到訪問敏感信息的目的。
(3)路由攻擊
攻擊者可通過攻擊路由器,更改路由設置,使得路由器不能正常轉(zhuǎn)發(fā)用戶請求,從而使得用戶無法訪問外網(wǎng)。或向路由器發(fā)送一些經(jīng)過精心修改的數(shù)據(jù)包使得路由器停止響應,斷開網(wǎng)絡連接。
三、消防信息化建設中解決網(wǎng)絡安全問題的對策
3.1規(guī)范管理流程
網(wǎng)絡安全工作是信息化工作中的一個方面,信息化工作與規(guī)范化工作的根本目的一樣,就是要提高工作效率,只不過改變了規(guī)范化的手段。因此,在實行信息化的過程中,管理有著比技術更重要的作用,只有優(yōu)化管理過程、強化管理基礎、細化管理流程、簡化管理冗余環(huán)節(jié)、提高管理效率,才能在達到信息化目的的同時,完善網(wǎng)絡安全建設。
3.2構建管理支持層
信息化是一項系統(tǒng)性工程,其實施自始至終需要單位最高層領導的重視和支持,包括對工作流程再造的支持、對協(xié)調(diào)各部門統(tǒng)一開展工作的支持、對軟件普及和培訓的支持。在實際工作中,應當建一個“信息化建設領導小組”,由各部門部長擔任成員,下設具體辦事部門,具體負責網(wǎng)絡建設和信息安全工作,這是一種較理想的做法。但要真正發(fā)揮其作用,促使信息工作的順利開展,不僅需要領導的重視,更重要的是需要負責人有能力充分協(xié)調(diào)與溝通各業(yè)務部門開展工作,更要與其他部門負責人有良好的協(xié)調(diào)配合關系。
3.3制定網(wǎng)絡安全管理制度
加強計算機網(wǎng)絡安全管理的法規(guī)建設,建立、健全各項管理制度是確保計算機網(wǎng)絡安全必不可少的措施。如制定人員管理制度,加強人員審查;組織管理上,避免單獨作業(yè),操作與設計分離等。
3.4采取有效的安全技術措施
就當前消防信息化建設的程度來看,網(wǎng)絡的應用主要體現(xiàn)在局域網(wǎng)服務、Web服務和數(shù)據(jù)庫服務上。應當避免與Internet連接直接接入,而是配置一臺安全的服務器,整個局域網(wǎng)通過這個上網(wǎng),這樣上網(wǎng)的終端在Internet上是沒有真實IP的,能避免大多數(shù)的常規(guī)攻擊。對基于Web服務的網(wǎng)上辦公、電子政務,應當安裝經(jīng)公安部安全認證的網(wǎng)絡防火墻,由專人負責,盡量少開無用的服務,對系統(tǒng)用戶的數(shù)量和權限做嚴格限制,并可采用授權證書訪問或IP限制訪問,增強站點的安全性。在數(shù)據(jù)庫方面,現(xiàn)消防部門主要應用Microsoft的Access,此數(shù)據(jù)庫的網(wǎng)絡功能主要基于ASP、PHP等動態(tài)網(wǎng)頁平臺來實現(xiàn),通過SQL查詢語句與頁面進行交互,在保證系統(tǒng)不被侵入、數(shù)據(jù)庫不能被直接下載的前提下,數(shù)據(jù)安全主要由頁面查詢語句的嚴密性來保證。除Access之外,應用較多的是Microsoft的SQLServer和Oracle,這兩套數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡功能很強大,其安全性首先需要一個專業(yè)的數(shù)據(jù)庫操作員,對數(shù)據(jù)庫進行正確的配置、限制數(shù)據(jù)庫用戶的數(shù)量、根據(jù)用戶的職責范圍設定權限、對敏感數(shù)據(jù)進行加密、定時備份數(shù)據(jù)庫,保證數(shù)據(jù)的連續(xù)性和完整性。
本畢業(yè)設計(論文)、學位論文作者愿意遵守浙江科技學院 關于保留、使用學位論文的管理辦法及規(guī)定,允許畢業(yè)設計(論文)、學位論文被查閱。本人授權 浙江科技學院 可以將畢業(yè)設計(論文)、學位論文的全部或部分內(nèi)容編入有關數(shù)據(jù)庫在校園網(wǎng)內(nèi)傳播,可以采用影印、縮印或掃描等復制手段保存、匯編畢業(yè)設計(論文)、學位論文。
(保密的學位論文在解密后適用本授權書)
論文作者簽名: 導師簽名:
簽字日期: 年 月 日 簽字日期: 年 月 日
內(nèi) 容 摘 要
本文針對浙江廣播電視集團網(wǎng)絡,以及集團網(wǎng)絡安全的建設、改造提出了相應的解決方案,并且從網(wǎng)絡和網(wǎng)絡安全兩個主要方面進行了相關的闡述。首先,對在本方案中可能使用到的計算機網(wǎng)絡、及網(wǎng)絡安全的相關技術進行了闡述、分析和比較。然后,對集團中的計算機網(wǎng)絡、以及網(wǎng)絡安全的現(xiàn)狀進行調(diào)查研究。其次,針對浙江廣播電視集團的網(wǎng)絡現(xiàn)狀進行了詳細的需求分析。最后,提出了一套針對浙江廣播電視集團計算機網(wǎng)絡、以及網(wǎng)絡安全實際情況的網(wǎng)絡、及網(wǎng)絡安全的詳細設計方案。實施本方案之后,有助于提高其計算機網(wǎng)絡系統(tǒng)的可靠性、以及網(wǎng)絡的安全性。
關鍵詞:網(wǎng)絡系統(tǒng),數(shù)據(jù)安全,網(wǎng)絡安全,局域網(wǎng)
ABSTRACT
The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.
KEYWORDS:network system,data security, network security,LAN
目 錄
第一章 引言 1
第一節(jié) 選題背景與意義 1
第二節(jié) 集團網(wǎng)絡安全發(fā)展與現(xiàn)狀 1
第三節(jié) 網(wǎng)絡安全相關技術介紹 2
第二章 集團網(wǎng)絡安全系統(tǒng)概況及風險分析 4
第一節(jié) 集團網(wǎng)絡機房環(huán)境 4
第二節(jié) 網(wǎng)絡應用數(shù)據(jù)備份 4
第三節(jié) 網(wǎng)絡安全弱點分析 5
第四節(jié) 網(wǎng)絡安全風險分析 6
第三章 集團網(wǎng)絡安全需求與安全目標 7
第一節(jié) 網(wǎng)絡安全需求分析 7
第二節(jié) 網(wǎng)絡安全目標 7
第四章 集團網(wǎng)絡安全解決方案設計 9
第一節(jié) 網(wǎng)絡監(jiān)控管理系統(tǒng) 9
第二節(jié) 電子郵件安全解決方案 9
第三節(jié) 遠程數(shù)據(jù)傳輸?shù)募用?nbsp;10
第四節(jié) 服務器的安全防護 11
第五節(jié) 計算機病毒防護的加強 14
第六節(jié) 網(wǎng)絡攻擊及防護演示效果圖 15
第五章 結(jié)束語 17
參考文獻 18
致 謝 19
第一章 引言
第一節(jié) 選題背景與意義
隨著互聯(lián)網(wǎng)的普及度越來越高,全世界的計算機都能通過互聯(lián)網(wǎng)連接到一起。各種網(wǎng)上活動的日益頻繁,使得網(wǎng)絡安全問題日益突出,信息安全成為了一個重要的課題。各種各樣的網(wǎng)絡攻擊層出不窮,如何防止網(wǎng)絡攻擊,保障各項業(yè)務的順利進行,為廣大用戶提供一個安全的網(wǎng)絡環(huán)境變得尤為重要。
本論文針對浙江廣播電視集團的計算機網(wǎng)絡、以及網(wǎng)絡安全的實際解決方案。在實施了本方案之后,有助于提高集團計算機網(wǎng)絡系統(tǒng)的可靠性、以及網(wǎng)絡的安全性。認真分析網(wǎng)絡面臨的威脅,計算機網(wǎng)絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程,是一個安全管理和技術防范相結(jié)合的工程。首先是各計算機網(wǎng)絡應用部門領導的重視,加強工作人員的責任心和防范意識,自覺執(zhí)行各項安全制度,在此基礎之上,再采用先進的技術和產(chǎn)品,構造全方位的防御機制,使系統(tǒng)在最理想的狀態(tài)下運行。
第二節(jié) 集團網(wǎng)絡安全發(fā)展與現(xiàn)狀
圖1-1網(wǎng)絡拓撲圖
浙江廣播電視集團作為省級廣電傳媒集團,現(xiàn)有計算機網(wǎng)絡于2002年10月建成,在集團的運作和管理中發(fā)揮著重要的作用。近年來隨著集團業(yè)務的發(fā)展,網(wǎng)絡應用的不斷深入,應用領域較以前傳統(tǒng)的、小型的業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)方向擴展。大部分子系統(tǒng)已接入網(wǎng)絡,遠程數(shù)據(jù)傳輸、集團資料共享、動態(tài)數(shù)據(jù)查詢、流媒體數(shù)據(jù)業(yè)務、集團網(wǎng)站運營等都在該網(wǎng)絡上傳輸,整個網(wǎng)絡的用戶規(guī)模是原計算機網(wǎng)絡規(guī)模的數(shù)十倍。隨著網(wǎng)絡規(guī)模的不斷擴大、接入點數(shù)量的增多、內(nèi)部網(wǎng)絡中存在的安全隱患問題就會愈加突出,安全日益成為影響網(wǎng)絡效能的重要問題,而互聯(lián)網(wǎng)所具有的開放性、國際性和自由性在增加應用自由度的同時,對自身網(wǎng)絡的安全性提出了更高的要求。雖然廣電集團前期的網(wǎng)絡建設有一定的安全措施,但因為網(wǎng)絡復雜性的逐步提高,網(wǎng)絡中存在隱患的可能性以及由此產(chǎn)生的危害性也大大提高,因此在網(wǎng)絡系統(tǒng)的進一步建設過程中,及時查清網(wǎng)絡隱患的必要性就體現(xiàn)了出來。
第三節(jié) 網(wǎng)絡安全相關技術介紹
要保證計算機網(wǎng)絡系統(tǒng)的安全性,還要采用一些先進的技術和產(chǎn)品。目前主要采用的相關技術和產(chǎn)品有以下幾種。
一、防火墻技術
為保證網(wǎng)絡安全,防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵,在被保護的網(wǎng)絡和外部公共網(wǎng)絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng),該系統(tǒng)可以設定哪些內(nèi)部服務可已被外界訪問,外界的哪些人可以訪問內(nèi)部的哪些服務,以及哪些外部服務可以被內(nèi)部人員訪問。它可監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,確認其來源及去處, 檢查數(shù)據(jù)的格式及內(nèi)容,并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有:數(shù)據(jù)包過濾、監(jiān)測型、服務器等幾大類型。
二、數(shù)據(jù)加密技術
與防火墻配合使用的安全技術還有數(shù)據(jù)加密技術,是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要技術手段之 一。隨著信息技術的發(fā)展,網(wǎng)絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外,從技術上分別在軟件和硬件兩方面采取措施,推動著數(shù)據(jù)加密技術和物理防范技術的不斷發(fā)展。按作用不同, 數(shù)據(jù)加密技術主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術四種。
三、認證技術
認證技術是防止主動攻擊的重要手段,它對于開放環(huán)境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程,即認證建立信息的發(fā)送者或接收者的身份。認證的主要目的有兩個:第一,驗證信息的發(fā)送者是真正的,而不是冒充的,這稱為信號源識別;第二,驗證信息的完整性,保證信息在傳送過程中未被竄改或延遲等。目前使用的認證技術主要有:消息認證、身份認證、數(shù)字簽名。
四、虛擬專用網(wǎng)絡(VPN)技術
虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸,通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構、公司業(yè)務伙伴等與公司的企業(yè)網(wǎng)連接起來,構成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡的存在,仿佛所有的機器都處于一個網(wǎng)絡之中。公共網(wǎng)絡似乎只由本網(wǎng)絡在獨占使用,而事實上并非如此。
VPN技術主要提供在公網(wǎng)上的安全的雙向通訊,采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。
VPN技術的工作原理:VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡在不可信任的公共網(wǎng)絡上實現(xiàn)安全通信,它采用復雜的算法來加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會被竊聽。
五、計算機病毒的防范
首先要加強工作人員防病毒的意識,其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件:
(一)較強的查毒、殺毒能力。在當前全球計算機網(wǎng)絡上流行的計算機病毒有4萬多種,在各種操作系統(tǒng)中包括Windows、 UNIX和Netware系統(tǒng)都有大量能夠造成危害的計算機病毒,這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒,具有查毒、殺毒范圍廣、能力強的特點。
(二)完善的升級服務。與其它軟件相比,防病毒軟件更需要不斷地更新升級,以查殺層出不窮的計算機病毒。
第二章 集團網(wǎng)絡安全系統(tǒng)概況及風險分析
第一節(jié) 集團網(wǎng)絡機房環(huán)境
目前,浙江廣播電視集團計算機網(wǎng)絡絕大多數(shù)的設備都是安放在新大樓13樓機房內(nèi)的,只有樓層交換機是分布在各樓層的設備機柜中。根據(jù)本文的現(xiàn)場勘察和了解,目前大多數(shù)信息機房在機房的裝修、溫度和濕度控制、消防、照明、防靜電、防雷等方面已經(jīng)作了很多的考慮,主要有如下方面:
一、網(wǎng)絡機房都作了可靠的防雷措施,建設有防雷接地網(wǎng),其接地電阻小于1歐姆;大樓頂部建設有避雷針。
二、所有從網(wǎng)絡機房大樓外接入網(wǎng)絡機房的數(shù)據(jù)信號,全部采用光纖接入。
三、網(wǎng)絡機房內(nèi)大多配備UPS電源系統(tǒng)。
四、機房內(nèi)鋪設防靜電地板、吊頂,對墻面進行了無塵處理。
五、安裝機房防盜監(jiān)控系統(tǒng)。
六、配備機房消防系統(tǒng)和應急照明系統(tǒng)。
七、所有樓層交換機的供電都是由機房內(nèi) UPS 通過專用的線路直接供電,與樓層內(nèi)的其它電源系統(tǒng)沒有任何連接。
第二節(jié) 網(wǎng)絡應用數(shù)據(jù)備份
在廣電集團的計算機網(wǎng)絡中大多己經(jīng)有功能數(shù)據(jù)備份與恢復系統(tǒng),它是一套基于磁帶介質(zhì)的備份與恢復系統(tǒng),有2套文件備份的License和1套Oracle數(shù)據(jù)庫備份的License,進行服務器的文件備份和Oracle數(shù)據(jù)庫的實時備份和恢復。
浙江廣電集團網(wǎng)絡中已經(jīng)有了以下幾個網(wǎng)絡安全方面的考慮:
一、病毒防護
網(wǎng)絡中使用了諾頓病毒防護系統(tǒng),該病毒防御系統(tǒng)是基于網(wǎng)絡的病毒防護系統(tǒng),在網(wǎng)絡內(nèi)能夠遠程的安裝網(wǎng)絡客戶端的病毒防護軟件,進行病毒特征庫的自動更新,集中控制和管理。但是,網(wǎng)絡中的病毒防護系統(tǒng)沒有集中控制和管理的控制臺,不能實時了解網(wǎng)絡中防病毒客戶端程序的安裝情況、病毒感染和爆發(fā)的情況。
二、外網(wǎng)接入安全防護
網(wǎng)絡目前大多沒有單獨的外網(wǎng)接入點,沒有自己的外網(wǎng)接入安全防護,使用統(tǒng)一的出口和安全策略。
三、入侵檢測系統(tǒng)
在集團總部局域網(wǎng)與其他網(wǎng)絡連接處采用的一套入侵檢測系統(tǒng)具體部署如圖2-1
圖2-1 廣電集團入侵檢測系統(tǒng)示意圖
第三節(jié) 網(wǎng)絡安全弱點分析
浙江廣電集團網(wǎng)絡系統(tǒng)安全弱點主要包括:
一、硬件弱點: 硬件隱患存在于服務器、終瑞、路由器、交換機和安全設備等設備中,一旦發(fā)生硬件的安全問題,將給主機和網(wǎng)絡系統(tǒng)的可靠性、可控性、可用性和安全性等造成嚴重損害。
二、操作系統(tǒng)弱點: 由于操作系統(tǒng)自身的漏洞和缺陷可能構成安全隱患。操作系統(tǒng)是計算機應用程序執(zhí)行的基本平臺,一旦操作系統(tǒng)被滲透,就能夠破壞所有安全措施。靠打補丁開發(fā)的操作系統(tǒng)不能夠從根本上解決安全問題,動態(tài)連接給廠商提供開發(fā)空間的同時為黑客開啟了方便之門。
三、數(shù)據(jù)庫系統(tǒng)弱點: 由于數(shù)據(jù)庫系統(tǒng)本身的漏洞和缺陷可能構成的安全隱患。
四、網(wǎng)絡系統(tǒng)弱點: TCP/IP協(xié)議本身的開放性導致網(wǎng)絡存在安全隱患。如:TCP/IP 數(shù)據(jù)通信協(xié)議集本身就存在著安全缺點,如:大多數(shù)底層協(xié)議采用廣播方式,網(wǎng)上任何設備均可能竊聽到情報; 協(xié)議規(guī)程中缺乏可靠的對通信雙方身份認證手段,無法確定信息包地址真?zhèn)螌е律矸?ldquo;假冒”可能;由于TCP 連接建立時服務器初始序號的可推測性,使得黑客可以由“后門”進入系統(tǒng)漏洞。
五、通用軟件系統(tǒng)弱點:如Web服務器等常用應用軟件本身可能存在的安全弱點。
六、業(yè)務系統(tǒng)弱點: 節(jié)目視頻業(yè)務系統(tǒng)等本身的“Bug”或缺陷可能構成弱點。
七、安全設計的弱點: 安全設計不周全可能構成系統(tǒng)防護的弱點,由于安全漏洞的動態(tài)性和安全威脅的增長性要求以及安全需求本身的限制,安全體系設計要求具有良好的可擴展性和動態(tài)自適應性。
八、管理弱點: 工具不多,技術水平不高,意識淡薄,人員不到位。
第四節(jié) 網(wǎng)絡安全風險分析
網(wǎng)絡本身所固有的結(jié)構復雜、高度開放、邊界脆弱和管理困難等特點,增加了廣電集團網(wǎng)絡系統(tǒng)的安全風險。
由于網(wǎng)絡自身的開放性和廣電集團網(wǎng)絡系統(tǒng)的特殊性使網(wǎng)絡系統(tǒng)存在很大的安全風險性,主要有:
一、人為因素:
未經(jīng)授權訪問重要信息
惡意破壞重要數(shù)據(jù)
數(shù)據(jù)竊取、數(shù)據(jù)篡改
利用網(wǎng)絡設計和協(xié)議漏洞進行網(wǎng)絡攻擊
假冒、偽造、欺騙、敲詐、勒索
內(nèi)部人員惡意泄露重要的信息
管理員失職
二、自然因素:
設備的老化
火災、水災 (包括供水故障)
爆炸、煙霧、灰塵
通風
供電中斷
電磁輻射、靜電
以上都可能引起設備的失效、損壞,造成線路擁塞和系統(tǒng)癱瘓等。
第三章 集團網(wǎng)絡安全需求與安全目標
第一節(jié) 網(wǎng)絡安全需求分析
為了確保廣電集團網(wǎng)絡系統(tǒng)的安全,其安全需求可以從安全管理層面、物理安全層面、系統(tǒng)安全層面、網(wǎng)絡安全層面、應用安全層面等方面來分析。
從安全管理要求來分析,要考慮政策、法規(guī)、制度、管理權限和級別劃分、安全培訓等,特別要考慮基層人員計算機水平不高,系統(tǒng)設計和培訓等方面要周密考慮,制定切實有效的管理制度和運行維護機制。
從物理安全要求來分析,要根據(jù)浙江廣電集團實際情況,確定各物理實體的安全級別,建立相應的安全防護機制。
從系統(tǒng)安全需求來分析,需要解決操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全、TCP/IP 等協(xié)議的安全、系統(tǒng)缺陷、病毒防范等問題。
從網(wǎng)絡安全需求來分析,要考慮系統(tǒng)掃描、入侵檢測、設備監(jiān)控和安全審計等,要防范黑客入侵、身份冒充、非法訪問。要保證信息在公共傳輸通道上的機密性,撥號線路的保密性和身份鑒別。
從應用安全和信息安全需求來分析,要解決重要終端用戶數(shù)據(jù)的加密、數(shù)據(jù)的完整性、數(shù)據(jù)的訪問控制和授權以及數(shù)據(jù)承載終端設備 (各種計算機、筆記本電腦、無線WAP終端及其它終端設備) 以及其中運行的操作系統(tǒng)的安全可靠。
因此,廣電集團網(wǎng)絡系統(tǒng)安全要重點做好以下幾方面的工作,同時也是本安全方案的設計需要解決的問題:
一、解決內(nèi)部外部系統(tǒng)間的入侵檢測、信息過濾 (防止有害信息的傳播)、網(wǎng)絡隔離問題;
二、解決內(nèi)部外部黑客針對網(wǎng)絡基礎設施、主機系統(tǒng)和應用服務的各種攻擊所造成的網(wǎng)絡或系統(tǒng)不可用、信息泄密、數(shù)據(jù)篡改 等所帶來的問題;
三、解決重要信息的備份和系統(tǒng)的病毒防范等問題;
四、建立系統(tǒng)安全運行所匹配的管理制度和各種規(guī)范條例;
五、建立健全浙江廣電集團網(wǎng)絡系統(tǒng)安全培訓制度及程序等方面的問題;
六、解決浙江廣電集團和其它相關單位部門網(wǎng)絡信息交流帶來的安全問題。
第二節(jié) 網(wǎng)絡安全目標
計算機網(wǎng)絡的安全問題與單臺計算機的安全在實際中存在著非常大的差別。網(wǎng)絡不是分裝在一個機箱內(nèi),存在著傳輸系統(tǒng)的地域分布問題。這些傳輸通信系統(tǒng)可以是有線的,也可以是無線的。這類傳輸可以在中途被截獲,存在著“中間攻擊”的問題。從攻擊的手段來看,攻擊種類和機制非常多。訪問控制和鑒別也比單臺計算機困難,網(wǎng)絡安全要特別重視防截獲,防泄露和信息加密的實施。
目前所采用的網(wǎng)絡防護方法也就是在進入計算機操作系統(tǒng)控制中的網(wǎng)絡訪問和網(wǎng)絡協(xié)議上實施的。
網(wǎng)絡防護的基本服務: 網(wǎng)絡訪問控制(MAC)、鑒別、數(shù)據(jù)保密性、數(shù)據(jù)完整性、行為的完整性、抗抵賴性、可用性等。
網(wǎng)絡安全的目的是保護在網(wǎng)絡系統(tǒng)中存儲、傳輸和處理的信息的安全,概括為確保信息的完整性、保密性、可用性和不可抵賴性。
信息的保密性指的是在計算機網(wǎng)絡系統(tǒng)中存儲、傳輸和處理的信息不被非授權的查看;
信息的完整性指的是在計算機網(wǎng)絡系統(tǒng)中存儲、傳輸和處理的信息不被非授權的改變;
信息的可用性和可靠性指的是在計算機網(wǎng)絡系統(tǒng)中存儲、傳輸和處理的信息為授權用戶提供及時、方便、有效的服務;
信息的不可抵賴性指的是內(nèi)部人員對信息的操作不可抵賴。
為了更加完整的執(zhí)行上述網(wǎng)絡信息安全的思想,防止來自集團內(nèi)部局域網(wǎng)上的攻擊,又由于浙江廣電集團網(wǎng)絡連接關系復雜、網(wǎng)絡設備多,使用租用的國內(nèi)的通信線路,存在著傳輸線搭接竊聽或輻射接收竊聽等環(huán)節(jié)。因此要做到以下幾個要求:
1) 防止計算機病毒的蔓延
集團網(wǎng)絡眾多的用戶,可能由于內(nèi)部管理上疏忽,裝入未經(jīng)殺毒處理的軟
件或是從因特網(wǎng)上下載了帶病毒的文件。還可能來自外部黑客釋放病毒、邏輯炸彈的攻擊等,這些都對計算機網(wǎng)絡系統(tǒng)安全構成嚴重威脅。病毒廣泛地傳播,將造成網(wǎng)絡軟硬件設備的損害以至于整個網(wǎng)絡系統(tǒng)癱瘓。
2) 加強網(wǎng)絡安全的動態(tài)防護
網(wǎng)絡黑客攻擊手段、計算機病毒等都處于不斷的發(fā)展和變化中,使用目前的安全保密技術和產(chǎn)品是難以構造一種絕對安全、無縫隙和一勞永逸的網(wǎng)絡系統(tǒng)的。因此,安全的網(wǎng)絡系統(tǒng)必須具有網(wǎng)絡安全漏洞的檢測和監(jiān)控功能。通過安全檢測、監(jiān)控手段,及時發(fā)現(xiàn)網(wǎng)絡安全漏洞和各種惡意的攻擊手段,及時提供修補系統(tǒng)漏洞的建議并阻斷來自內(nèi)外的非法使用和攻擊。
3) 保障集團內(nèi)部業(yè)務系統(tǒng)的安全穩(wěn)定
由于涉及省臺與各地方臺的視頻傳輸,不可避免的會遇上各種各樣的問題,因此,在網(wǎng)絡層對業(yè)務的安全要保障得力,并且要確認信息傳輸?shù)陌踩€(wěn)定。
第四章 集團網(wǎng)絡安全解決方案設計
第一節(jié) 網(wǎng)絡監(jiān)控管理系統(tǒng)
由于浙江廣電集團的網(wǎng)絡建設已有很多年的時間了,其很多網(wǎng)絡設備都自帶了監(jiān)控及管理軟件或工具,但是這些工具在問題發(fā)生之后很難解決問題。而網(wǎng)絡監(jiān)控管理系統(tǒng)的實時映射、網(wǎng)絡瓶頸通知和設備失敗通知卻可以幫助用戶快速隔離問題,并且在員工抱怨之前解決問題。
這里對推薦的美國 CA 公司的網(wǎng)絡監(jiān)控管理系統(tǒng) (Unicenter Network & System Management)所能夠達到的功能簡單地說明一下:通過 TCP/IP 協(xié)議,不需要專門的培訓,用戶就可以配置該網(wǎng)絡監(jiān)控管理系統(tǒng),啟動網(wǎng)絡監(jiān)視管理功能后,能夠監(jiān)控的網(wǎng)絡設備包括工作站、服務器、主機、網(wǎng)橋、路由器、集線器、打印機等在內(nèi)的幾乎所有網(wǎng)絡元件。當用戶決定使用該網(wǎng)絡監(jiān)控管理系統(tǒng)軟件時,首先可以通過該軟件的網(wǎng)絡探查功能,能夠全面查看用戶網(wǎng)絡的底層構件,確認整個網(wǎng)絡的體系結(jié)構,并以一種可描述可管理的模式定位所有的網(wǎng)絡設備,并將這些設備存儲起來,迅速繪出網(wǎng)絡結(jié)構圖,同時啟動設備的監(jiān)控,而這些過程都是自動生成的,非常簡單易用,可操作性強,這對于網(wǎng)絡設備非常多、而專業(yè)網(wǎng)絡管理人員較少的企業(yè)來說就顯得非常重要。
在這個過程中,首先通過該網(wǎng)絡監(jiān)控管理系統(tǒng) 24X7 的全時設備輪詢網(wǎng)絡監(jiān)視功能,迅速識別網(wǎng)絡元件的任何問題,當監(jiān)測到問題時,可以不同的顏色顯示出來,并以通過手機、e-mail、聲音警報通知管理人員,同時根據(jù)各網(wǎng)絡元件相互之間的依賴關系,自動關閉與 有問題網(wǎng)絡元件之后的所有網(wǎng)絡元件的連接,減少冗余數(shù)據(jù)數(shù)量,避免冗余通知。此外,還能對網(wǎng)絡元件的潛在問題、網(wǎng)頁的正確性、可用性、網(wǎng)絡的性能以及系統(tǒng)資源進行有效的監(jiān)控管理。
當網(wǎng)絡監(jiān)控管理系統(tǒng)識別網(wǎng)絡失效時,在向相關人員發(fā)送警報及通知時,該軟件還可啟動一個程序來定位網(wǎng)絡失效。因此,當狀況被隔離之后,一個特定的應用程序或者腳本程序就會被執(zhí)行,或許是重啟這個服務或許是重啟計算機。這個進程是自動的,因此當相關人員收到設備失效的通知時,相應的措施已經(jīng)采取了,管理人員不用回到辦公室,因為當管理人員在收到通知時已經(jīng)知道問題己經(jīng)解決了。
在這一系列監(jiān)控與管理過程中,網(wǎng)絡監(jiān)控管理系統(tǒng)都能自動生成監(jiān)控及管理日志,并對系統(tǒng)的使用情況與趨勢形成報告,以便用戶形成較為完善的系統(tǒng)化管理,提升工作效率。
第二節(jié) 電子郵件安全解決方案
解決電子郵件安全問題,我們需要從三個方面來考慮如何應對:
1) 對帶病毒郵件、垃圾郵件等惡意郵件的過濾和封堵;
2) 對進出郵件系統(tǒng)的所有郵件進行備份,用于監(jiān)控和備查;
3) 對敏感的郵件內(nèi)容進行加密傳輸,防備在傳遞路徑上的惡意窺伺。
對集團來講,現(xiàn)實的方法是結(jié)合現(xiàn)有的成熟技術,組合出一個在經(jīng)濟上和技術上合理的解決方案,同時要保證長期的維保成本。郵件系統(tǒng)的安全解決方案包括如下三個部分:
1、電子郵件安全網(wǎng)關技術方案
通過郵件安全網(wǎng)關的部署,在病毒程序、垃圾郵件等不良信息進入集團郵件系統(tǒng)之前,便對其進行遏制、阻截,從而保證集團電子郵件系統(tǒng)的安全穩(wěn)定運行,節(jié)省郵件系統(tǒng)存儲空間,避免機密的泄漏。
在郵件網(wǎng)關硬件系統(tǒng)上整合郵件反病毒引擎,對進入集團郵件系統(tǒng)的電子郵件進行病毒檢測,采取郵件隔離、刪除以及清除病毒等操作,減少病毒對郵件服務器的攻擊。應根據(jù)互聯(lián)網(wǎng)最新病毒發(fā)展趨勢,定時升級郵件網(wǎng)關病毒庫。
2、郵件備份系統(tǒng)技術方案
在集團現(xiàn)有郵件系統(tǒng)的基礎上,實現(xiàn)對指定時間內(nèi)(如最近一年)所有收發(fā)郵件的備份,并且管理員根據(jù)郵件信息摘要(例如:發(fā)件人、收件人、主題、日期、附件名稱等)進行檢索和查看郵件全部內(nèi)容。
3、郵件加密系統(tǒng)技術方案
保護重要電子郵件不被泄密,防止內(nèi)部人員未經(jīng)許可將重要電子文檔以郵件的方式泄密,防止電子郵件被截取而引起的泄密。保證工作效率,在盡量不改變使用者收發(fā)郵件操作習慣的基礎上,保證電子郵件正常暢通使用。
考慮到文件安全擴展的需求,除電子郵件之外,信息泄密還有多種途徑。在保護郵件安全的基礎上,要考慮到日后系統(tǒng)的擴展性。
郵件安全管理系統(tǒng)綜合動態(tài)加解密技術、訪問權限控制技術、使用權限控制技術、期限控制技術、身份認證技術、操作日志管理技術、硬件綁定技術等多種技術對電子郵件進行保護。
第三節(jié) 遠程數(shù)據(jù)傳輸?shù)募用?/p>
建立基于SSL VPN技術加密訪問系統(tǒng),使得從Internet到內(nèi)部網(wǎng)絡的訪問使用SSL VPN數(shù)據(jù)加密通道,保證數(shù)據(jù)在傳輸過程中保密性。
目前能夠提供 SSL VPN 加密產(chǎn)品的廠家很多,但是本文認為在SSL VPN技術的先進性、加密傳輸?shù)乃俾省⒁约皬S家的技術服務等方面,Juniper的Netscreen SA 1000具有相對的優(yōu)勢,是其它廠家無法比的。
Juniper 網(wǎng)絡公司SSL VPN產(chǎn)品家族的Netscreen-SA 1000系列,使企業(yè)可以部署經(jīng)濟高效的遠程接入、外聯(lián)網(wǎng)及內(nèi)聯(lián)網(wǎng)安全性。用戶可從任何標準 Web瀏覽器接入企業(yè)網(wǎng)絡和應用。NetScreen-SA 1000系列使用SSL作為安全接入傳輸機制,SSL是所有標準Web瀏覽器中使用的安全協(xié)議。使用SSL使客戶無需部署客戶端軟件、無需更改內(nèi)部服務器,也無需進行成本高昂的長期維護。NetScreen-SA 1000產(chǎn)品提供先進的合作伙伴喀戶外聯(lián)網(wǎng)特性,以控制用戶或用戶組的網(wǎng)絡訪問,無需更改基礎設施、無需部署DMZ 、也無需軟件。這項功能還允許公司安全接入企業(yè)內(nèi)聯(lián)網(wǎng),使管理員可以根據(jù)不同員工、承包商和訪問者所需的資源來限制他們的接入權限。
NetScreen-SA 1000系列解決方案的主要特性與優(yōu)勢如下:
一、端到端分層安全性
端點客戶端、設備、數(shù)據(jù)和服務器的分層安全性控制,Juniper網(wǎng)絡公司 Endpoint Defense Initiative(端點防御計劃),用于提供最高的端點安全性可以根據(jù)用戶組或角色、網(wǎng)絡、設備及會話屬性來規(guī)定基于用戶身份的接入降低總擁有成本。不需要部署客戶端軟件或更改服務器,幾乎不需要長期維護。從單一平臺安全地遠程接入內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)安全的外聯(lián)網(wǎng)接入,無需構建 DMZ、無需加固服務器、無需復制資源、或無需增加部署來添加應用或用戶簡化
二、可管理性
(一)集中管理選項提供統(tǒng)一管理
(二)用戶自助服務功能,可降低技術支持服務窗口的支持成本
(三)細粒度的審計和日志記錄
(四)3 種不同的接入方法,允許管理員根據(jù)具體目的來設置接入權限
(五)基于角色分配管理任務
三、高可用性
群集對部署選項,可為整個LAN和WAN提供高可用性。
第四節(jié) 服務器的安全防護
一、業(yè)務服務器的安全防護
(一)防火墻的安裝
這里將在Catalyst 4506交換機與服務器群的交換機之間安裝一臺高性能的防火墻,并根據(jù)服務器群中的每臺服務器的應用系統(tǒng)的情況,在該防火墻上進行一對一的安全策略配置的工作。
(二)入侵檢測系統(tǒng)的安裝
這里將在服務器群的交換機上配置一個偵聽端口,將流經(jīng)該交換機所有端口的數(shù)據(jù)包都復制一份傳送到偵聽端口上;再把入侵檢測系統(tǒng)連接到該偵聽端口,接收該端口輸出的所有數(shù)據(jù)包,并對這些數(shù)據(jù)包進行入侵分析、判斷和記錄。本文將負責完成入侵檢測安裝配置工作。
二、涉及到的設備選擇
(一)防火墻的選擇
防火墻的類型主要有:數(shù)據(jù)包過濾、監(jiān)測型、服務器等幾大類型。
1)包過濾型
包過濾型防火墻是防火墻的較初級產(chǎn)品,其技術基于網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。如圖4-1所示:
圖4-1包過濾型防火 墻的工作原理
包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2)型
型防火墻也能夠被稱為服務器,它的安全性要高過包過濾型產(chǎn)品,并已經(jīng)開始向應用層發(fā)展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務器,服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到集團內(nèi)部網(wǎng)絡系統(tǒng)。如圖4-2所示
圖4-2型防火墻的工作原理
型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。它的缺點是對系統(tǒng)的整體性能有較大的影響,而且服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。
本文將選用業(yè)界性能較好的、可靠性較高的Juniper 的NetScreen 5200防火墻,該防火墻的技術參數(shù)如表4-1
表 4-1 NetScreen 5200 防火墻技術參數(shù)表
物性/功能 NetScreen-5200
接口數(shù) 2個XFE 1OGigE,或8個Mini-GBIC, 或2個Mini-GBIC+24 10/100
最大吞吐量 1OG 防火墻
5G 3DES/AFS VPN
最多會話數(shù) 1,000,000
最多VPN 隧道數(shù) 30,000
最多策略數(shù) 4000,000
最多虛擬系統(tǒng)數(shù) 5
最多虛擬LAN 數(shù) 4000
最多安全區(qū)域數(shù) 默認設置為16個,最多增加1000個
最多虛擬路由器數(shù) 默認設置為3個,最多增加500個
支持的高可用性模式 主用/備用
支持的路由協(xié)議 OSPF, BGP, RIRV1/V2
深層檢測 是
集成/重新定向,Web過濾 是/否
(二)入侵檢測系統(tǒng)的選擇
這里選用國內(nèi)擁有領先安全技術水平的天融信千兆級入侵檢測系統(tǒng)NGIDS-UF。其主要的技術指標如表4-2
表4-2 NGIDS-UF 入侵檢測系統(tǒng)技術指標表
型號 NGIDS-UF
類別 千兆IDS
規(guī)格 2U 機架式
網(wǎng)絡接口 1個10/100Base-TX: 2個千兆光纖
2wh 10/100/1000Base-TX
串口 1個RS-232C
第五節(jié) 計算機病毒防護的加強
一、在原有的病毒防護系統(tǒng)增加集中管理控制臺
新增一臺服務器,在上面安裝一套諾頓的病毒防護的集中管理控制臺。這里將安裝該服務器系統(tǒng)和諾頓的集中管理控制的軟件系統(tǒng)。
二、增加網(wǎng)絡病毒防火墻
在每個樓層交換機的上聯(lián)端接入一臺網(wǎng)絡病毒防火墻,對局域網(wǎng)內(nèi)的病毒進行區(qū)域控制:在二級單位廣域網(wǎng)入口處安裝一臺網(wǎng)絡病毒防火墻,保障二級單位的廣域網(wǎng)線路不會受到病毒數(shù)據(jù)包的影響。
涉及到的設備選擇:
(一)諾頓的防病毒集中管理控制臺
只有選用諾頓的集中管理控制軟件才能控制和管理諾頓的網(wǎng)絡防病毒系統(tǒng)的客戶端軟件。
(二)網(wǎng)絡病毒防火墻
目前有趨勢相關的硬件產(chǎn)品出售,并且該產(chǎn)品還能夠與諾頓的網(wǎng)絡防病毒客戶端軟件進行聯(lián)動。所以本文選擇部署趨勢的NVW1200網(wǎng)路病毒防火墻。該網(wǎng)絡病毒防火墻的主要功能如下:
1.執(zhí)行免的安全策略
網(wǎng)絡病毒墻對非兼容設備進行隔離修正,以確保所有設備在進入網(wǎng)絡前都安裝有最新的防病毒及關鍵的操作系統(tǒng)補丁。執(zhí)行免的安全策略可減少管理負荷,并可同時降低被合作伙伴或VPN用戶的非兼容設備感染的風險。
2.漏洞隔離
網(wǎng)絡病毒墻根據(jù)Trend Micro的漏洞評估功能,隔離網(wǎng)絡蠕蟲可利用的潛在環(huán)節(jié),使管理者有選擇地隔離薄弱(未安裝不定程序)的網(wǎng)絡段或設施,避免病毒的爆發(fā)。網(wǎng)絡病毒墻提供漏洞評估服務,并將該功能作為一個可選項。
3.靈活的、集中式管理
網(wǎng)絡病毒墻包括趨勢科技企業(yè)安全管控中心、及一個集中式、基于網(wǎng)絡的管理控制臺,它根據(jù)主機安裝永久的需要實施安全更新部署。該服務可以自動部署、或點擊管理控制臺的選項進行手工部署。
4.網(wǎng)絡掃描及偵測
網(wǎng)絡病毒墻通過掃描網(wǎng)絡流量查找蠕蟲及漏洞利用,并基于趨勢實驗室提供的最新病毒碼來自動清除感染的網(wǎng)絡數(shù)據(jù)包。另外,網(wǎng)絡病毒墻利用趨勢科技先進的啟發(fā)式技術對您的網(wǎng)絡實施監(jiān)控,并提供威脅的早期預警。
5.網(wǎng)絡病毒爆發(fā)監(jiān)控
網(wǎng)絡病毒墻通過實時監(jiān)控網(wǎng)絡流量或可疑活動來提供早期的威脅預警。并在中心控制臺上發(fā)出病毒爆發(fā)通知,立即提示管理者蠕蟲攻擊目標、受感染的主機、或具體的受攻擊的漏洞。
6.網(wǎng)絡病毒爆發(fā)防御
網(wǎng)絡病毒墻部署了Trend Micro病毒爆發(fā)防御服務,通過阻絕任何蠕蟲傳播組合,包括8地址或地址范圍、端口及協(xié)議、即時通訊渠道、文件類型擴展名、及文件傳遞。
7.自動清除損害
網(wǎng)絡病毒墻通過隔離感染的網(wǎng)絡段、主機、或客戶,進行清除及修正,阻止了再次感染。憑借自動、免清除蠕蟲(木馬)痕跡、及系統(tǒng)文件配置(system.ini)修復功能,Trend Micro的清除損害服務可以防止再次感染,降低清除成本。
第六節(jié) 網(wǎng)絡攻擊及防護演示效果圖
圖4-3網(wǎng)絡攻擊及防護演示效果圖
針對浙江廣電集團的網(wǎng)絡結(jié)構,當出現(xiàn)如下各類情況時解決方案如圖4-3所示:
1、 漏洞掃描-識別攻擊行為
2、 上傳病毒/木馬-修復系統(tǒng)漏洞
3、 啟用后臺服務監(jiān)聽-防病毒軟件
4、 遠程控制服務器-防火墻入侵檢測
5、 攻擊業(yè)務系統(tǒng)-防火墻、雙機容錯
6、 破壞系統(tǒng)數(shù)據(jù)-備份、災難恢復
7、 客戶端中毒-防病毒軟件
第五章 結(jié)束語
計算機網(wǎng)絡的可靠性和安全性是在不斷地變化的,不同的時期或者階段對網(wǎng)絡的可靠性和安全性方面的要求是不一樣的。在網(wǎng)絡的建設之初,集團網(wǎng)絡關心最多的是網(wǎng)絡的連通性,只需要網(wǎng)絡能夠傳送數(shù)據(jù)即可,對于網(wǎng)絡數(shù)據(jù)的延遲lunwen .1 kejian .com 一以及網(wǎng)絡短時間的中斷都沒有過多的要求:當網(wǎng)絡中存在著涉及到集團的關鍵性應用系統(tǒng)時,就對網(wǎng)絡數(shù)據(jù)的延遲時間、以及網(wǎng)絡的中斷時間上就有了很高的要求,在一般情況下,為了保障集團應用系統(tǒng)的連續(xù)運行,集團網(wǎng)絡系統(tǒng)是不允許發(fā)生網(wǎng)絡中斷的。因此,本文在方案的設計中就已經(jīng)考慮到要符合目前的、以 及將來的網(wǎng)絡應用系統(tǒng)的需要,同時本文設計的網(wǎng)絡系統(tǒng)的可靠性和安全性可以根據(jù)集團網(wǎng)絡業(yè)務系統(tǒng)的需要進行相關的調(diào)整,滿足變化之后的網(wǎng)絡業(yè)務系統(tǒng)的要求。
本方案是一個針對浙江廣電集團目前計算機網(wǎng)絡現(xiàn)狀的網(wǎng)絡、及網(wǎng)絡安全的解決方案,在隨后的分期分批的項目實施過程中,由于集團網(wǎng)絡環(huán)境、以及網(wǎng)絡應用系統(tǒng)的變化,會在細節(jié)上根據(jù)實際情況進行相應的調(diào)整,如:安裝設備數(shù)量、設備安裝具體地點等,只要在總的布局、要求以及標準上保持不變,實施之后就能夠達到本方案的設計要求。同時,本方案在設計、以及設備的選型上,己經(jīng)做了今后擴展的考慮。
本方案并沒有解決浙江廣電集團計算機網(wǎng)絡、以及網(wǎng)絡安全方面的所有問題,隨著計算機網(wǎng)絡、及網(wǎng)絡安全的技術不斷地發(fā)展,以及集團網(wǎng)絡應用系統(tǒng)不斷地新增,集團業(yè)務系統(tǒng)也會對集團的計算機網(wǎng)絡系統(tǒng)的結(jié)構和網(wǎng)絡安全方面提出更高的要求,實現(xiàn)后滿足集團實際的需要。
【參考文獻】
[1] 張國清.CCNP BSCI詳解.北京:電子工業(yè)出版社,2006.
[2] 拉斯特.網(wǎng)絡安全基礎[M].北京:中國郵電出版社,2006.
[3] 常曉波.CISCO網(wǎng)絡安全.北京:清華大學出版社,2004.
[4] 王達.網(wǎng)管員必讀——網(wǎng)絡安全.電子工業(yè)出版社. 2007.
[5] 《非常掌上寶系列》編委會.數(shù)據(jù)備份恢復與系統(tǒng)重裝一條龍.北京:科學出版社,2005.
[6] 張公忠.現(xiàn)代網(wǎng)絡技術教程北京:電子工業(yè)出版社,2004.
[7] 飛科研發(fā)中心.電腦防毒防黑急救.北京:電子工業(yè)出版社,2002
[8] 黃志暉.計算機網(wǎng)絡管理與維護全攻略.西安:西安電子科技大學出版社,2004.
[9] 歐陽江林.計算機網(wǎng)絡實訓教程,北京:電子工業(yè)出版社,2004.
[10] 金純.IEEE802.11無線局域網(wǎng)北京:電子工業(yè)出版社,2004
[11] 施裕琴.網(wǎng)絡安全的入侵檢測系統(tǒng)及發(fā)展研究.集團經(jīng)濟研究2006,(27):25-26.
[12] 董凱虹.網(wǎng)絡監(jiān)控管理系統(tǒng)的功能.計算機世界周刊.2006.(4):50-51
[13] 胡越明.Internet技術及其實現(xiàn).北京:高等教育出版社,2005.
[14] 陳雪著.Windows XP的完善.上海理工大學出版社,2005.8
[15] 麥肯蘭勃.網(wǎng)絡安全評估.北京:中國電力出版社,2006.
[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.
[17] W Stallings , Cryptography And Network Security: Principles and Practice, 2006.
[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.
[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.
致 謝
在論文完成之際,謹向所有給予我指導、關心、支持和幫助的老師、領導、同學和親人致以崇高的敬意和深深的感謝!
首先感謝導師顧忠偉老師一直以來對我的學習、工作和生活所給予的無私關心、悉心指導和嚴格要求。尤其在論文的完成階段,得到顧老師的耐心指導和嚴格把關。顧老師嚴謹?shù)闹螌W態(tài)度、求實的工作作風、平易近人的處世風范都深深影響了我。在此謹向顧老師表示最衷心的感謝和最誠摯的敬意!
感謝浙江廣電集團科技管理部計算機科的同事,他們結(jié)合自己多年的計算機系統(tǒng)與網(wǎng)絡安全的相關經(jīng)驗,給我提出了很多寶貴的建lunwen .1 kejian .com 一和對我實習中的幫助。在論文完成之際,在此特向各位同事表示深深的謝意!
在論文的材料收集期間,得到了負責集團網(wǎng)絡工作的蔣老師的大力支持,他根據(jù)自己多年實際工作的經(jīng)驗,為我的論文寫作、改進工作提出了許多有價值的寶貴建議,在此對蔣老師表示感謝!
感謝經(jīng)濟管理學院的各位老師、同學在學習工作等諸方面的支持和幫助,這一切使我在學習期間深受教益。
最后,深深地感謝我的家人旦他們在生活和學業(yè)上給了我無私的關懷,為了支持我的學業(yè),付出了莫大犧牲。惟乞此文能夠回報這些無比的關心和厚愛!
1、計算機人工智能識別技術應用瓶頸探析
2、計算機科學與技術的應用現(xiàn)狀與未來趨勢
3、計算機信息處理技術在大數(shù)據(jù)時代背景下的滲透
4、計算機基礎課程應用教學思考和感悟
5、中職中藥專業(yè)計算機應用基礎教學改革實踐
6、淺談虛擬現(xiàn)實技術在中職計算機基礎教學中應用的必要性
7、計算機圖像處理技術在UI設計中的應用
8、計算機生成兵力行為建模發(fā)展現(xiàn)狀
9、智慧檔案館計算機網(wǎng)絡系統(tǒng)方案設計
10、淺談如何提高計算機網(wǎng)絡的安全穩(wěn)定性
11、計算機應用技術與信息管理的整合探討
12、計算機科學技術小組合作學習研究
13、計算機科學與技術有效教學策略研究 >>>>>計算機網(wǎng)絡和系統(tǒng)病毒及其防范措施畢業(yè)論文
14、互聯(lián)網(wǎng)+背景下高校計算機教學改革的認識
15、藝術類應用型本科高校"計算機基礎"課程教學改革研究
16、計算機技術在石油工業(yè)中應用的實踐與認識
17、計算機技術在電力系統(tǒng)自動化中的應用研究
18、微課在中職計算機基礎教學中的應用探析
19、課程思政在計算機基礎課程中的探索
20、計算機服務器虛擬化關鍵技術探析
21、計算機網(wǎng)絡工程安全存在問題及其對策研究
22、人工智能在計算機網(wǎng)絡技術中的運用
23、慕課在中職計算機應用基礎教學中的運用
24、淺析如何提高高校計算機課程教學效率
25、項目教學在計算機基礎實訓課程中的應用分析
26、高職計算機網(wǎng)絡教學中項目式教學的應用
27、計算機信息安全技術在校園網(wǎng)絡的實踐思考
28、大數(shù)據(jù)背景下的計算機網(wǎng)絡安全現(xiàn)狀及優(yōu)化策略
29、基于計算機網(wǎng)絡信息安全及防護對策簡析
關鍵詞:WiFi網(wǎng)絡,網(wǎng)絡安全,SSID網(wǎng)絡名
人們在構建家庭網(wǎng)絡的過程中,總是忙于讓網(wǎng)絡盡快的運行起來。這是可以理解的。但如果忽視了網(wǎng)絡安全問題,后果是十分危險的。對于Wi-Fi網(wǎng)絡設備進行安全配置通常是耗時費力的,網(wǎng)絡用戶因此不能妥善處理。正是基于這種情況,我們依據(jù)網(wǎng)絡安全技術和組網(wǎng)經(jīng)驗,提出如下十點建議,以提高家庭無線網(wǎng)絡安全。
1. 及時和定期地修改管理員口令和用戶名
幾乎所有的無線接入點和路由器都準許管理員使用特別的管理帳號來管理WiFi網(wǎng)絡。這個帳號可以讓管理員使用用戶名和口令訪問設備的配置文件。缺省的用戶名和口令是由制造商所設置的,用戶名通常就是簡單的admin或administrator,而口令通常是空白的,或者也只是一些簡單詞匯而已。
為了增強WiFi網(wǎng)絡的安全性,在構建網(wǎng)絡時,你應該立刻修改無線接入點或路由器的管理口令。黑客十分清楚流行的無線網(wǎng)絡設備的缺省口令,并經(jīng)常把它們到網(wǎng)上。大部分設備不允許修改管理員的用戶名,但如果你的設備可以的話,那么強烈建議你也應該及時修改管理員用戶名。
為了保證家庭網(wǎng)絡以后的安全,建議你要定期修改管理員口令,至少每隔一到三個月修改一次,并且要作到所使用的口令復雜難猜。
2. 啟用WPA/WEP加密
所有WiFi設備都支持某種加密技術。加密技術對通過無線網(wǎng)絡傳送的信息進行加密編碼,這樣會使黑客難以破解。目前有幾種針對WiFi網(wǎng)絡的加密技術,自然地,你應該為你的WiFi網(wǎng)絡設備選擇最強的加密技術。然而,一旦選定了某種加密技術,你的WiFi網(wǎng)絡上的所有設備都必須使用相同的加密設置。因此,在進行加密設置時,你還需要考慮其獨特性。
3. 修改缺省的SSID網(wǎng)絡名
接入點或路由器都采用被稱做SSID的網(wǎng)絡名。論文參考。制造商所推出的產(chǎn)品通常帶有同樣的SSID集。例如,Linksys產(chǎn)品的網(wǎng)絡名通常是“Linksys”。盡管,了解SSID網(wǎng)絡名本身并不能使黑客闖入你的網(wǎng)絡,但這是闖入你的網(wǎng)絡第一步。更重要的是,當黑客發(fā)現(xiàn)你仍然采用缺省的SSID網(wǎng)絡名時,他們會認為你的網(wǎng)絡設置很簡單,這樣他們會更愿意攻擊你的網(wǎng)絡。因此,當你為自己的無線網(wǎng)絡進行配置時,必須立刻修改缺省的SSID網(wǎng)絡名。
4. 啟用MAC地址過濾
每一個WiFi網(wǎng)絡設備都有自己唯一的標識,稱做物理地址或MAC地址。接入點和路由器跟蹤記錄所有連接到網(wǎng)絡上的設備的MAC地址。許多網(wǎng)絡設備都為主人提供選項,供主人鍵入它們的MAC地址。網(wǎng)絡也只允許這樣的設備接入。這樣做是提高網(wǎng)絡安全的步驟之一,并不是萬全之策,黑客和他們的軟件可以輕易的編造MAC地址,所以我們建議采用MAC地址過濾技術來加強這一防范措施。
5. 關閉SSID網(wǎng)絡名廣播
在WiFi網(wǎng)絡中,無線接入點和路由器每隔一定時間廣播自己的網(wǎng)絡名字(SSID)。論文參考。這是針對商業(yè)和移動熱點而設計的功能,因為它們通常在服務區(qū)內(nèi)外游動。而在家庭中,經(jīng)常是不需要游動的,所以關閉網(wǎng)絡名字廣播這項功能是明智之舉,大多數(shù)WiFi接入點也允許這樣做,這會減少黑客利用此特點闖入家庭網(wǎng)絡的可能性。
6. 關閉自動連接到開放的WiFi網(wǎng)絡的功能
大多數(shù)計算機都存在這樣一個設置,該設置可以自動地把你的計算機連接到一個開放的WiFi網(wǎng)絡上(:如:免費的無線熱點或鄰居的路由器),而不通知你本人。選擇關閉這項功能, 可以防止你的計算機無意中將自己的重要信息泄露給他人,避免你的計算機安全處于危險中。
7. 為網(wǎng)絡設備指定靜態(tài)IP地址
大多數(shù)構建家庭網(wǎng)絡的人都傾向于采用動態(tài)IP地址。動態(tài)主機配置協(xié)議(DHCP)的確容易設置。但網(wǎng)絡黑客也很容易利用這種方便,他們會很容易從你的網(wǎng)絡DHCP文件中獲取有效的IP地址。所以我們建議關閉接入點和路由器上的DHCP文件,同時設置固定的地址范圍,然后為每個連接設備配置相應的IP地址。采用保密的地址范圍可以防止互連網(wǎng)對計算機的直接接入。
8.在每個計算機和路由器上啟動防火墻
現(xiàn)代的網(wǎng)絡路由器都包含內(nèi)置的防火墻功能,同時也存在關閉防火強的選項。必須保證你的路由器防火墻處于啟用狀態(tài)。如果想進一步增加保護性,建議在每個連接到路由器的計算機上安裝并運行各自的防火墻軟件。
9.為路由器和接入點選擇安全的地方擺放
WiFi無線網(wǎng)絡的信號通常可以傳播到戶外,如果在戶外仍具有一定的強度,就完全可能出現(xiàn)信號泄露的問題。信號傳播的越遠,就越容易被外人偵測和利用。WiFi網(wǎng)絡的信號強度通常可以達到附近的街區(qū)和住宅,所以在構建無線家庭網(wǎng)絡時,為接入點和路由器找到一個合適的擺放位子可以有效地減弱戶外的信號強度。為了使信號泄露最小化,我們建議盡量將這些設備放置在房屋的中心位子,不要靠近窗戶和門等房屋周邊。
10.在網(wǎng)絡不用期間,關閉網(wǎng)絡
無疑關閉網(wǎng)絡可以保證黑客無法闖入。如果頻繁的關閉網(wǎng)絡不現(xiàn)實的話,至少在外出旅行或長時間離線時要這樣做。盡管這樣做會對計算機硬盤造成一定的損害,但對于寬帶MODEM和路由器而言那是次要的。如果你擁有一個只在有線連接上使用的無線路由器,那么你也可以只關閉寬帶路由器上的WiFi網(wǎng)絡,而不必把整個網(wǎng)絡斷電。論文參考。
綜上,我們針對WiFi無線網(wǎng)絡的安全問題提供了十點建議,這些建議對于已經(jīng)擁有或準備構建家庭無線網(wǎng)絡的人們無疑是有幫助和裨益的,對于保障家庭網(wǎng)絡的安全會起到十分重要的作用。
[參考文獻]
1.寬帶無線接入技術及應用:WiMAX與WiFi 唐雄燕電子工業(yè)出版社 (2006-05出版)
2.網(wǎng)絡安全講堂之全面防護Windows與無線網(wǎng)絡入侵 程秉輝、程秉輝清華大學出版社 (2009-07出版)
關鍵詞:氧化鋁 制造業(yè)執(zhí)行系統(tǒng) 信息化管理 Java開發(fā)平臺
中圖分類號:TP3 文獻標識碼:A 文章編號:1672-3791(2014)03(c)-0027-02
現(xiàn)代網(wǎng)絡環(huán)境中,其安全體系的構建主要采取以技術為中心的應對式安全防護策略,需要在應用中根據(jù)需求不斷增加相應的設備或者軟件。現(xiàn)在,互聯(lián)網(wǎng)平臺為了能夠有效應對日益復雜和嚴重的網(wǎng)絡威脅,配置了大量的防火墻、防病毒軟件、入侵檢測、系統(tǒng)漏洞掃描、災難恢復等多種安全設備。雖然,所采用的這些安全解決方案和策略能夠有效解決大部分的網(wǎng)絡安全威脅,但是,也給網(wǎng)絡安全的管理造成了嚴重影響。究其根本,就是因為現(xiàn)在所采用的這些策略主要是消極被動地去解決出現(xiàn)的安全問題,網(wǎng)絡管理人員難以對采用和設計適合自己的安全管理策略,只能成為復雜新技術和產(chǎn)品的盲從者。現(xiàn)在的網(wǎng)絡安全產(chǎn)品還主要從某個側(cè)面對網(wǎng)絡安全進行靜態(tài)的防護,更沒有積極主動的網(wǎng)絡管理策略和能力。研究和應用結(jié)果表明,單靠網(wǎng)絡安全產(chǎn)品的簡單堆積和產(chǎn)品的缺省配置,是不能解決安全問題的,需要在具體的應用中根據(jù)網(wǎng)路偶的不同需求,為其制定相應的安全策略,并對安全組件進行靈活多樣的配置,這樣,就能夠在實現(xiàn)整體和動態(tài)安全功能的前提下,將網(wǎng)絡運行狀態(tài)調(diào)整到最優(yōu)的狀態(tài)點。
1 總體設計
前面已經(jīng)提到,現(xiàn)有的網(wǎng)絡環(huán)境主要采用以技術為中心的應對式網(wǎng)絡安全防護策略,也就是被動地去解決網(wǎng)絡運行中的問題。在本文中,對基于用戶網(wǎng)絡應為的主動網(wǎng)絡安全和管理方式進行研究,下面的圖1中,給出了該安全管理方式的總體設計圖。
在圖1中,網(wǎng)絡行為監(jiān)控器的職責是對用戶的網(wǎng)絡行為進行監(jiān)控,并將用戶的網(wǎng)絡行為監(jiān)控結(jié)果存入數(shù)據(jù)庫中,在使用過程匯總,可以通過相應的技術和方法,將用戶所使用網(wǎng)絡的行為進行記錄,再將記錄結(jié)果寫入行為數(shù)據(jù)庫,從而為網(wǎng)絡行為分析器的具體分析過程提供第一手數(shù)據(jù)和資料。網(wǎng)絡行為分析器則需要從行為數(shù)據(jù)庫中對存儲的數(shù)據(jù)進行提取,找到需要的數(shù)據(jù)記錄后利用相應技術和方法對數(shù)據(jù)進行處理分析,對存在于網(wǎng)絡中的某些潛在危險行為進行挖掘,還可以針對危險行為的發(fā)展趨勢,以及這些危險行為有可能導致的安全問題進行剖析;在后獲取報警信息后,就能夠?qū)⑾嚓P信息傳送給網(wǎng)絡管理人員,為網(wǎng)絡管理人員的網(wǎng)絡管理和操作提供依據(jù)和決策參考。
由網(wǎng)絡行為分析器所發(fā)出的報警信息,包括了多種網(wǎng)絡威脅,比如常見的木馬、網(wǎng)絡病毒以及非法入侵等等。在收到這些報警信息后,網(wǎng)絡管理員需要根據(jù)這些報警信息的嚴重級別,對相應的網(wǎng)絡設備和軟件進行及時的查詢和配置,進而將有可能出現(xiàn)的網(wǎng)絡安全隱患消滅在萌芽狀態(tài),而非在網(wǎng)絡威脅事件發(fā)生之后再對相應的網(wǎng)絡設備進行查詢和配置。這種網(wǎng)絡安全的管理模式,就是文中所要研究的主動網(wǎng)絡安全管理方式。完成了對網(wǎng)絡設備的參數(shù)修改后,還應該針對網(wǎng)絡用戶行為監(jiān)控器中的監(jiān)控標識進行相應的修改和設置,確保用戶網(wǎng)絡行為監(jiān)控器的監(jiān)控標識能夠與網(wǎng)絡管理模塊中的管理策略保持一致。
2 安全管理方式的技術分析與設計
2.1 Winpcap工具
Winpcap即Windows packet capture的簡稱,是Windows平臺下的一個公共網(wǎng)路訪問系統(tǒng),可以為用戶提供免費服務,采用基于Win32平臺的網(wǎng)絡分析架構,能夠為Win32應用程序的設計提供高效的網(wǎng)絡底層訪問功能。采用Winpcap的一個明顯優(yōu)勢就是能夠為用戶提供標準的抓包接口,對網(wǎng)路性能和各種效率優(yōu)化情況進行綜合考慮,其中就包括對NPF內(nèi)核層上的過濾器支持,以及對內(nèi)核態(tài)的統(tǒng)計模式的支持等等,此外,還能夠為用戶提供數(shù)據(jù)包的發(fā)送功能。利用Winpcap,網(wǎng)絡行為監(jiān)控器能夠?qū)α鬟^局域網(wǎng)的所有數(shù)據(jù)包進行采集,在對數(shù)據(jù)進行協(xié)議分析的基礎上,實現(xiàn)對數(shù)據(jù)包的起始地址、目的地址等網(wǎng)絡行為的實時獲取,最終實現(xiàn)對局域網(wǎng)內(nèi)所有鏈接終端的上網(wǎng)行為的監(jiān)控。
2.2 網(wǎng)絡行為監(jiān)控器構成
利用網(wǎng)絡行為監(jiān)控器,不僅要對網(wǎng)絡使用情況進行檢測,還應該將發(fā)現(xiàn)的潛在網(wǎng)絡危險行為進行記錄,并將其保存到數(shù)據(jù)庫。在網(wǎng)絡行為監(jiān)控器中,包含有網(wǎng)絡嗅探器和協(xié)議分析器等兩個主要部分。
2.2.1 網(wǎng)絡嗅探器
通過對經(jīng)過網(wǎng)絡監(jiān)控器的所有數(shù)據(jù)進行采集,可以準確判斷各個數(shù)據(jù)包的源地址與目的地址,然后對所有數(shù)據(jù)包的網(wǎng)絡行為進行分類處理,將處理結(jié)果發(fā)送到協(xié)議分析器。
2.2.2 協(xié)議分析器
對網(wǎng)絡嗅探器所得到的初步分析結(jié)果進行進一步的深入分析,能夠?qū)τ脩舻木唧w網(wǎng)絡行為進行判斷,在數(shù)據(jù)包與標識匹配成功的情況下,就能夠在網(wǎng)絡行為數(shù)據(jù)庫中進行記錄。
2.3 網(wǎng)絡行為分析器實現(xiàn)過程
2.3.1 對用戶網(wǎng)絡行為進行分析的現(xiàn)狀
在現(xiàn)有技術條件下,對用戶網(wǎng)絡行為的分析過程,主要通過對網(wǎng)絡行為數(shù)據(jù)庫中的數(shù)據(jù)進行統(tǒng)計分析所得到的,不過,此類分析過程對網(wǎng)絡管理員的經(jīng)驗比較依賴,所以,在網(wǎng)絡管理員對用戶上網(wǎng)行為的數(shù)據(jù)庫結(jié)構、IP協(xié)議等不是特別清楚的話,就難以進行正確的統(tǒng)計與分析。
2.3.2 知識發(fā)現(xiàn)技術
文中的主要思路就是利用知識發(fā)現(xiàn)理論和技術對用戶的網(wǎng)絡行為進行分析。其實,知識發(fā)現(xiàn)技術就是從海量數(shù)據(jù)中發(fā)現(xiàn)有用知識的完整過程,也是一個人機進行反復交互的處理過程。要實現(xiàn)準確的知識發(fā)現(xiàn),需要經(jīng)過多個步驟,且很多決策過程都需要用戶的支持。從宏觀的層面來看,知識發(fā)現(xiàn)的過程主要包括數(shù)據(jù)整理、數(shù)據(jù)挖掘和結(jié)果評估等三個不同的部分。
在這三個構成部分中,數(shù)據(jù)挖掘是知識發(fā)現(xiàn)的核心,需要利用專門算法從大量數(shù)據(jù)中對模式進行抽取,也就是從當前數(shù)據(jù)中抽取潛在的、隱含的且具有應用價值信息的過程。作為知識發(fā)現(xiàn)中的核心內(nèi)容,數(shù)據(jù)挖掘與傳統(tǒng)的分析工具相比,差距在于數(shù)據(jù)挖掘所采用的為基于發(fā)現(xiàn)的方法,通過模式匹配和其他算法來實現(xiàn)不同數(shù)據(jù)之間關系的確定。
現(xiàn)在,在數(shù)據(jù)挖掘技術中,還包括有其他方法,如統(tǒng)計分析方法、神經(jīng)元方法、決策樹和遺傳方法等。其中,決策數(shù)一種經(jīng)常用于預測模型的算法,該算法能夠?qū)⒋罅繑?shù)據(jù)進行有目的分類,進而從數(shù)據(jù)中得到更加有價值的信息。所以,在用戶網(wǎng)絡行為分析過程中,就能夠采用決策樹算法來實現(xiàn)。現(xiàn)在所采用的決策樹算法主要有ID3、CART算法等等。
2.4 防護效果與分析
文中所采用的網(wǎng)絡安全管理模式與傳統(tǒng)的網(wǎng)絡安全防護技術相比,其根本區(qū)別就在于傳統(tǒng)防護技術著重于對外部攻擊的防護,而文中方式則更多的強調(diào)自身管理與外部方法的并重。
基于用戶網(wǎng)絡行為的主動網(wǎng)絡安全管理方式的根本出發(fā)點,就在于能夠?qū)W(wǎng)絡上的各種非法網(wǎng)絡攻擊行為進行有效抑制和防護,比如針對常見的黑客攻擊活動,就能夠較好地解決現(xiàn)在網(wǎng)絡中所廣泛存在的網(wǎng)絡安全問題,有效解決和減少網(wǎng)絡上的攻擊行為,增加網(wǎng)絡使用的安全性。舉例,如果發(fā)現(xiàn)有潛在的黑客存在于網(wǎng)絡用戶中,在出現(xiàn)網(wǎng)絡安全問題的情況下,就能夠?qū)Ψ欠ü粽哌M行準確定位;特別是由于對本地網(wǎng)絡用戶對外部網(wǎng)絡的攻擊行為進行了有效監(jiān)控,所以,在國際互聯(lián)網(wǎng)中,就能夠有效減少網(wǎng)絡的攻擊流量;在大部分網(wǎng)絡攻擊行為被本地監(jiān)控系統(tǒng)發(fā)現(xiàn)的情況下,就可以將網(wǎng)絡安全管理的問題從網(wǎng)絡間向地區(qū)間進行限定。不過,文中所分析的基于用戶行為分析的網(wǎng)絡安全技術在網(wǎng)絡實現(xiàn)中,其關鍵問題還在于系統(tǒng)的部署。
只有在所有的接入網(wǎng)絡都采用此類安全管理模式的情況下,才能實現(xiàn)更加安全的網(wǎng)絡環(huán)境。基于現(xiàn)有網(wǎng)絡中的包括路由器在內(nèi)的網(wǎng)絡連接設備,以及包括防火墻在內(nèi)的網(wǎng)絡安全設備等,都可以增添安全功能,再與現(xiàn)有的網(wǎng)絡安全防護措施相結(jié)合,就能夠有效增強互聯(lián)網(wǎng)中的安全性能。
3 結(jié)語
基于現(xiàn)有的用戶網(wǎng)絡行為分析方法,采用了基于知識發(fā)現(xiàn)的決策樹選擇算法。論文最后,對需要進一步進行解決的問題進行說明,就是如何從用戶網(wǎng)絡行為數(shù)據(jù)庫中通過決策樹算法來構建適合網(wǎng)絡管理的模式。從基于用戶網(wǎng)絡行為監(jiān)控的主動網(wǎng)絡安全管理方式中可以發(fā)現(xiàn),對用戶的網(wǎng)絡行為進行分析是實現(xiàn)安全管理的前提,能夠為配置管理和修改奠定基礎。
參考文獻
[1] 莊小妹.計算機網(wǎng)絡攻擊和防范技術初探[J].科技資訊,2007(5).
[2] 鄧明林,魏文全.網(wǎng)絡反攻擊技術的研究[J].計算機與網(wǎng)絡,2009(2).
[3] 莊小妹.計算機網(wǎng)絡攻擊技術和防范技術初探[J].科技資訊,2006(23).
[4] 魯昭.計算機網(wǎng)絡攻擊常見方法[J].科技經(jīng)濟市場,2006(5).
[5] 陸宗躍.網(wǎng)絡安全及安全技術的探討[J].湖北成人教育學院學報,2005(1).
[6] 伏曉,蔡圣聞,謝立.網(wǎng)絡安全管理技術研究[J].計算機科學,2009,36(2):15-19.
論文摘要計算機和通訊網(wǎng)絡的普及和發(fā)展從根本上改變了人類的生活方式與工作效率。網(wǎng)絡已經(jīng)成為農(nóng)業(yè)、工業(yè)、第三產(chǎn)業(yè)和國防工業(yè)的重要信息交換媒介,并且滲透到社會生活的各個角落。政府、企業(yè)、團體、個人的生活都發(fā)生了巨大改變。網(wǎng)絡的快速發(fā)展都得益于互聯(lián)網(wǎng)自身的獨特優(yōu)勢:開放性和匿名性。然而也正是這些特征,同時還決定了網(wǎng)絡存在著不可避免的信息安全隱患。本文主要通過介紹目前在計算機網(wǎng)絡中存在的主要安全威脅并提出構建網(wǎng)絡安全的防護體系,從而對網(wǎng)絡安全的防護策略進行探討。
0引言
網(wǎng)絡給我們提供極大的方便的同時也帶來了諸多的網(wǎng)絡安全威脅問題,這些問題一直在困擾著我們,諸如網(wǎng)絡數(shù)據(jù)竊密、病毒攻擊、黑客侵襲、木馬掛馬、陷門等。為了有效防止網(wǎng)絡安全問題的侵害,計算機廣泛地推廣使用了各種復雜的軟件技術,如入侵檢測、防火墻技術、通道控制機制、服務器,然后盡管如此,計算機信息安全和網(wǎng)絡安全問題還是頻發(fā)。網(wǎng)絡hacker活動日益猖獗,他們攻擊網(wǎng)絡服務器,竊取網(wǎng)絡機密,進行非法入侵,對社會安全造成了嚴重的危害。本文就如何確保網(wǎng)絡信息安全特別是網(wǎng)絡數(shù)據(jù)安全進行了安全威脅分析并且提出了實現(xiàn)網(wǎng)絡安全的具體策略。
1目前網(wǎng)絡中存在的主要安全威脅種類
1.1計算機病毒
計算機病毒是編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它具有寄生性、傳染性、破壞性、潛伏性和可觸發(fā)性等特點。WWW.133229.COm計算機病毒主要是通過復制、傳送數(shù)據(jù)包以及運行程序等操作進行傳播,在日常的生活中,閃存盤、移動硬盤、硬盤、光盤和網(wǎng)絡等都是傳播計算機病毒的主要途經(jīng)。計算機病毒的產(chǎn)生是計算機技術和以計算機為核心的社會信息化進程發(fā)展到一定階段的必然產(chǎn)物。
1.2特洛伊木馬
利用計算機程序漏洞侵入后竊取文件的程序程序被稱為木馬。它是一種具有隱藏性的、自發(fā)性的可被用來進行惡意行為的程序,多不會直接對電腦產(chǎn)生危害,而是以控制為主。
1.3拒絕服務攻擊
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之。其實對網(wǎng)絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠?qū)δ繕嗽斐陕闊鼓承┓毡粫和I踔林鳈C死機,都屬于拒絕服務攻擊。
1.4邏輯炸彈
邏輯炸彈引發(fā)時的癥狀與某些病毒的作用結(jié)果相似,并會對社會引發(fā)連帶性的災難。與病毒相比,它強調(diào)破壞作用本身,而實施破壞的程序不具有傳染性。邏輯炸彈是一種程序,或任何部分的程序,這是冬眠,直到一個具體作品的程序邏輯被激活。
1.5內(nèi)部、外部泄密
由于黑客的目的一般都是竊取機密數(shù)據(jù)或破壞系統(tǒng)運行,外部黑客也可能入侵web或其他文件服務器刪除或篡改數(shù)據(jù),致使系統(tǒng)癱瘓甚至完全崩潰。
1.6黑客攻擊
這是計算機網(wǎng)絡所面臨的最大威脅。些類攻擊又可以分為兩種,一種是網(wǎng)絡攻擊。即以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網(wǎng)絡偵察,它是在不影響網(wǎng)絡正常工作的情況下,進行截取、竊取、破譯以獲得對方重要的機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害
1.7軟件漏洞
操作系統(tǒng)和各類軟件都是認為編寫和調(diào)試的,其自身的設計和結(jié)構始終會出現(xiàn)問題,不可能無缺陷或者無漏洞,而這些漏洞會被計算機病毒和惡意程序所利用,這就使計算機處于非常危險的境地,一旦連接入互聯(lián)網(wǎng),危險就悄然而至。
2網(wǎng)絡信息與網(wǎng)絡安全的防護對策
盡管計算機網(wǎng)絡信息安全受到威脅,但是采取恰當?shù)姆雷o措施也能有效的保護網(wǎng)絡信息的安全。本文總結(jié)了以下幾種方法并加以說明以確保在策略上保護網(wǎng)絡信息的安全。
2.1技術層面上的安全防護對策
1)升級操作系統(tǒng)補丁
操作系統(tǒng)因為自身的復雜性和對網(wǎng)絡需求的適應性,需要及時進行升級和更新,除服務器、工作站等需要操作系統(tǒng)升級外,也包括各種網(wǎng)絡設備,均需要及時升級并打上最新的系統(tǒng)補丁,嚴防網(wǎng)絡惡意工具和黑客利用漏洞進行入侵。
2)安裝網(wǎng)絡版防病殺毒軟件
防病毒服務器作為防病毒軟件的控制中心,及時通過internet更新病毒庫,并強制局域網(wǎng)中已開機的終端及時更新病毒庫軟件。
3)安裝入侵檢測系統(tǒng)
4)安裝網(wǎng)絡防火墻和硬件防火墻
安裝防火墻,允許局域網(wǎng)用戶訪問internet資源,但是嚴格限制internet用戶對局域網(wǎng)資源的訪問。
5)數(shù)據(jù)保密與安裝動態(tài)口令認證系統(tǒng)
信息安全的核似是數(shù)據(jù)保密,一般就是我們所說的密碼技術,隨著計算機網(wǎng)絡不斷滲透到各個領域,密碼學的應用也隨之擴大。數(shù)字簽名、身份鑒別等都是由密碼學派生出來新技術和應用。
6)操作系統(tǒng)安全內(nèi)核技術
操作系統(tǒng)安全內(nèi)核技術除了在傳統(tǒng)網(wǎng)絡安全技術上著手,人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡安全性,嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去,從而使系統(tǒng)更安全。
7)身份驗證技術身份驗證技術
身份驗證技術身份驗證技術是用戶向系統(tǒng)出示自己身份證明的過程嗎,能夠有效防止非法訪問。
2.2管理體制上的安全防護策略
1)管理制度的修訂及進行安全技術培訓;
2)加強網(wǎng)絡監(jiān)管人員的信息安全意識,特別是要消除那些影響計算機網(wǎng)絡通信安全的主觀因素。計算機系統(tǒng)網(wǎng)絡管理人員缺乏安全觀念和必備技術,必須進行加強;
3)信息備份及恢復系統(tǒng),為了防止核心服務器崩潰導致網(wǎng)絡應用癱瘓,應根據(jù)網(wǎng)絡情況確定完全和增量備份的時間點,定期給網(wǎng)絡信息進行備份。便于一旦出現(xiàn)網(wǎng)絡故障時能及時恢復系統(tǒng)及數(shù)據(jù);
4)開發(fā)計算機信息與網(wǎng)絡安全的監(jiān)督管理系統(tǒng);
5)有關部門監(jiān)管的力度落實相關責任制,對計算機網(wǎng)絡和信息安全應用與管理工作實行“誰主管、誰負責、預防為主、綜合治理、人員防范與技術防范相結(jié)合”的原則,逐級建立安全保護責任制,加強制度建設,逐步實現(xiàn)管理的科學化、規(guī)范化。
參考文獻
[1]簡明.計算機網(wǎng)絡信息安全及其防護策略的研究[j].科技資訊,2006(28).
[2]池瑞楠.windows緩沖區(qū)溢出的深入研究[j].電腦編程技巧與維護,2006(9).
[論文摘 要]隨著計算機網(wǎng)絡技術的不斷發(fā)展,高校計算機網(wǎng)絡也越來越普及,從而網(wǎng)絡安全問題也日益突出。本文對當前高校計算機網(wǎng)絡存在的問題進行了分析,并針對這些問題提出了一些防護措施,從而確保高校計算機網(wǎng)絡的安全暢通。
引言:隨著互聯(lián)網(wǎng)的迅速發(fā)展,計算機網(wǎng)絡已成為高校科研、管理和教學所必不可少的重要設施。計算機網(wǎng)絡通過網(wǎng)絡通信技術以及計算機技術,從而實現(xiàn)高校內(nèi)計算機局域網(wǎng)互連,并通過中國科學院計算機網(wǎng)絡、中國教育和科研計算機網(wǎng)與國際互聯(lián)網(wǎng)絡互連,實現(xiàn)資源共享和對外交流。與此同時,計算機網(wǎng)絡也存在安全問題,高校網(wǎng)絡如果存在安全問題,從而停止運行、被惡意破壞或者中斷服務,將對高校的各項工作造成嚴重的影響,其損失也是難以估計的。因此,充分的了解高校計算機網(wǎng)絡存在的問題,并針對其提出解決措施,確保高校網(wǎng)絡安全暢通,已成各高校所關注的重點問題。
一、計算機網(wǎng)絡安全的概念
計算機網(wǎng)絡安全就是指網(wǎng)絡上的信息安全,即指網(wǎng)絡系統(tǒng)的數(shù)據(jù)受到保護,不受到惡意或偶然的更改、泄露、破壞,網(wǎng)絡服務不中斷,系統(tǒng)可以連續(xù)可靠正常的運行。從廣義的角度來說,凡是涉及到網(wǎng)絡上信息的真實性、可用性、完整性、可控性以及保密性的相關理論和技術都是網(wǎng)絡安全的研究領域。
二、高校計算機網(wǎng)絡存在的安全問題
1.硬件問題
高校計算機網(wǎng)絡設備分布范圍比較廣泛,尤其是室外設備,如電纜、電源、通信光纜等,從而不能進行封閉式管理。室內(nèi)的設備經(jīng)常發(fā)生損壞、破壞、被盜等情況,如果包含數(shù)據(jù)的主機、光碟、軟盤等被盜,將可能發(fā)生數(shù)據(jù)泄露或丟失。不管其中哪一個出現(xiàn)問題,都將導致校網(wǎng)的癱瘓,影響高校各項工作的正常開展。
2.技術問題
目前大多數(shù)高校都是利用Internet 技術構造的,且連接互聯(lián)網(wǎng)。首先互聯(lián)網(wǎng)的技術具有共享性及開放性,TCP/IP 協(xié)議是 Internet中的重要協(xié)議,由于最初設計時沒有考慮安全問題,導致IP 網(wǎng)在安全問題上的先天缺陷,使高校網(wǎng)落在運行過程中將面臨各種安全性威脅。其次,高校計算機網(wǎng)絡系統(tǒng)中存在“后門”或安全漏洞等。最后,在高校網(wǎng)絡上沒有采取正確安全機制的和安全策略,也是高校計算機網(wǎng)絡存在重要安全問題。
3.管理和使用的問題
網(wǎng)絡系統(tǒng)的是否能正常運行離不開系統(tǒng)管理人員對網(wǎng)絡系統(tǒng)的管理。很多高校對網(wǎng)絡安全保護不夠重視以及資金投入不足等問題,造成管理者心有余而力不足,在管理上無法跟上其他單位。另外,用戶有時因個人操作失誤也會對系統(tǒng)造成破壞。管理人員可以通過對用戶的權限進行設置,限制某些用戶的某些操作,從而避免用戶的故意破壞。由于對計算機系統(tǒng)的管理不當,會造成設備損壞、信息泄露等。因此科學合理的管理是必須的。
三、計算機網(wǎng)絡的安全防護措施
1.技術上的安全防護措施
目前, 網(wǎng)絡安全技術防護措施主要包括:防火墻技術、身份驗證、入侵檢測技術、殺毒技術加密技術、訪問控制等內(nèi)容。針對高校網(wǎng)絡來說,應采取一下幾點措施:
(1)防火墻技術
按照某種規(guī)則對互聯(lián)網(wǎng)和專網(wǎng),或者對互聯(lián)網(wǎng)的部分信息交換進監(jiān)控和審計,從而阻止不希望發(fā)生的網(wǎng)絡間通信。它可以有效地將外部網(wǎng)與內(nèi)網(wǎng)隔離開,從而保證校網(wǎng)不受到未經(jīng)授權的訪問者侵入。
(2)VLAN 技術。VLAN 技術即虛擬局域網(wǎng)技術,其核心是網(wǎng)絡分段,按照不同的安全級別以及不同的應用業(yè)務,將網(wǎng)絡進行分斷并隔離,從而實現(xiàn)訪問的相互間控制,可以限制用戶的非法訪問。
(3)防病毒技術。選擇合適的網(wǎng)絡殺毒軟件,對網(wǎng)絡定期進行查毒、殺毒、網(wǎng)絡修復等。與此同時,對殺毒軟件要及時升級換代,從而確保其“殺傷力”。
(4)入侵檢測技術。入侵檢測技術是防火墻的合理補充, 幫助系統(tǒng)對付網(wǎng)絡攻擊, 擴展系統(tǒng)管理員的安全管理能力, 提高信息安全基礎結(jié)構的完整性。
2.管理上的安全防護措施
(1)網(wǎng)絡設備科學合理的管理。對網(wǎng)絡設備進行合理的管理,必定能增加高校網(wǎng)絡的安全性。比如將一些重要的設備盡量進行集中管理,如主干交換機、各種服務器等;對各種通信線路盡量進行架空、穿線或者深埋,并做好相應的標記;對終端設備實行落實到人,進行嚴格管理,如工作站以及其他轉(zhuǎn)接設備等。
(2)網(wǎng)絡的安全管理。制定一套安全管理制度,此外還必須對管理人員進行安全管理意識培訓。安全管理的工作相當復雜,涉及到各院系、部的人員和業(yè)務,因此學校必須成立信息安全管理委員會,建立起安全管理分級負責的組織體系。加強對管理員安全技術和用戶安全意識的培訓工作。
(3)建立安全實時響應和應急恢復的整體防護。設備壞了可以換,但是數(shù)據(jù)一旦丟失或被破壞是很難被修復或恢復的,從而造成的損失也是無法估計和彌補的。因此,必須建立一套完整的數(shù)據(jù)備分和恢復措施。從而確保網(wǎng)絡發(fā)生故障或癱瘓后數(shù)據(jù)丟失、不損壞。
(4)完善相關的法律法規(guī),加強宣傳教育,普及安全常識。計算機網(wǎng)絡是一種新生事物。它的一些行為都是無章可循、無法可依的,從而導致計算機網(wǎng)絡上的犯罪十分猖獗。目前國內(nèi)外都相繼出臺了一些關于計算機網(wǎng)絡安全的法律法規(guī),各高校也制度了一些管理制度。與此同時還要進行大量的宣傳,使計算機網(wǎng)絡安全常識普及。
四、結(jié)束語
高校計算機網(wǎng)絡迅速的普及,為師生的科研、學習、工作中知識獲得和信息交流提供了巨大的幫助。雖然高校計算機網(wǎng)絡存在種種安全問題,但是各高校可以聽取專家的建議,
增大計算機網(wǎng)絡安全管理的投入,加強安全意識教育,進行相關技術培訓,靈活地運用多種安全策略,綜合提高高校網(wǎng)絡的安全性,從而建設一個可靠、安全的科研和教育網(wǎng)絡環(huán)境。
參考文獻
[1]翁葵陽.關于當前高校計算機網(wǎng)絡安全管理的思考[J].湖南醫(yī)學高等專科學校學報, 2001,(4):57.
[2]胡世昌.計算機網(wǎng)絡安全隱患分析與防范措施探討[J].信息與電腦,2010,(10):6.
[論文摘要]在網(wǎng)絡技術高速發(fā)展的時代,網(wǎng)絡安全成每個網(wǎng)絡使用者為關注的焦點,討論傳輸層安全性問題,分析了地址機制?通用的安全協(xié)議將逐步消失,取而代之的是融合安全技術應用的問題研究。
互聯(lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分,隨著互聯(lián)網(wǎng)規(guī)模的迅速擴大,網(wǎng)絡豐富的信息資源給用戶帶來了極大方便的同時,操作系統(tǒng)漏洞、計算機病毒、黑客人侵及木馬控制、垃圾郵件等也給廣大互聯(lián)網(wǎng)用戶帶來了越來越多的麻煩,網(wǎng)絡安全問題因此成為令人矚目的重要問題。
一、傳輸層安全
最常見的攻擊是TCP會話劫持,該劫持是劫持一個現(xiàn)存的會話,利用合法用戶進行連接并通過驗證,之后順其自然接管會話。TCP通過3次握手建立連接以后主要采用滑動窗口機制來驗證對方發(fā)送的數(shù)據(jù),如果對方發(fā)送的數(shù)據(jù)不在自己的接收窗口內(nèi),則丟棄此數(shù)據(jù),這種發(fā)送序號不在對方接收窗口的狀態(tài)稱為非同步狀態(tài)。當通信雙方進入非同步狀態(tài)后,攻擊者可以偽造發(fā)送序號在有效接收窗口內(nèi)的報文也可以截獲報文。篡改內(nèi)容后,再修改發(fā)送序號,而接收方會認為數(shù)據(jù)是有效數(shù)據(jù)。
TCP會話劫持的攻擊方式可以對基于TCP的任何應用發(fā)起攻擊,如HTTP FTP及Telnet等。攻擊者通過正在進行TCP通信的2臺主機之間傳送的報文得知該報文的源IP、源TCP端口號、目的IP、目的TCP端口號。從而可以得知其中一臺主機對將要收到的下一個TCP報文段中seq和ackseq值的要求。這樣,在該合法主機收到另一臺合法主機發(fā)送的TCP報文前,攻擊者根據(jù)所截獲的信息向該主機發(fā)出一個帶有凈荷的TCP報文,如果該主機先收到攻擊報文就可以把合法的TCP會話建立在攻擊主機與被攻擊主機之間。TCP會話劫持避開了被攻擊主機對訪問者的身份驗證和安全認證。使攻擊者直接進入對被攻擊主機的訪問狀態(tài),因此對系統(tǒng)安全構成的威脅比較嚴重。
二、地址機制
IPv6采用128位的地址空間,其可能容納的地址總數(shù)高達2128,相當于地球表面每平方米擁有6.65×1023個。一方面可解決當前地址空間枯竭的問題,使網(wǎng)絡的發(fā)展不再受限于地址數(shù)目的不足;另一方面可容納多級的地址層級結(jié)構,使得對尋址和路由層次的設計更具有靈活性,更好地反映現(xiàn)代Internet的拓撲結(jié)構。IPv6的接口ID固定為64位,因此用于子網(wǎng)ID的地址空間達到了64位,便于實施多級路由結(jié)構和地址集聚。IPv6的前綴類型多樣,64位的前綴表示一個子網(wǎng)ID,小于64位的前綴要么表示一個路由,要么表示一個地址聚類。IPv6的地址類型包括單播、多播和任播地址,取消了廣播地址。IPv6的地址機制帶來的安全措施包括:
1)防范網(wǎng)絡掃描與病毒、蠕蟲傳播。傳統(tǒng)的掃描和傳播方式在IPv6環(huán)境下將難以適用,因為其地址空間太大。
2)防范IP地址欺騙。IPv6的地址構造為可會聚、層次化的地址結(jié)構,每一ISP可對其客戶范圍內(nèi)的IPv6地址進行集聚,接入路由器在用戶進入時可對IP包進行源地址檢查,驗證其合法性,非法用戶將無法訪問網(wǎng)絡所提供的服務。另外,將一個網(wǎng)絡作為中介去攻擊其他網(wǎng)絡的跳板攻擊將難以實施,因為中介網(wǎng)絡的邊界路由器不會轉(zhuǎn)發(fā)源地址不屬其范圍之內(nèi)的IPv6數(shù)據(jù)包。
3)防范外網(wǎng)入侵。IPv6地址有一個作用范圍,在這個范圍之內(nèi),它們是唯一的。在基于IPv6的網(wǎng)絡環(huán)境下,主機的一個網(wǎng)絡接El可配置多種IPv6地址,如鏈路本地地址、站點本地地址、單播全球地址等,這些不同地址有不同的作用域。IPv6路由器對IPv6地址的作用范圍是敏感的,絕不會通過沒有正確范圍的接El轉(zhuǎn)發(fā)數(shù)據(jù)包。因此,可根據(jù)主機的安全需求,為其配置相應的IPv6地址。例如,為保障本地子網(wǎng)或本地網(wǎng)絡內(nèi)的主機的安全,可為其配置相應的鏈路本地或站點本地地址,使其通信范圍受限于所在鏈路或站點,從而阻斷外網(wǎng)入侵。
三、通用的安全協(xié)議將逐步消失,取而代之的是融合安全技術
當網(wǎng)絡安全還沒有成為網(wǎng)絡應用的重要問題時,制定的通信協(xié)議基本上不考慮協(xié)議和網(wǎng)絡的安全性。而當這些協(xié)議大規(guī)模使用出現(xiàn)諸多安全漏洞和安全威脅后,不得不采取補救措施,即發(fā)展安全協(xié)議保護通信的安全,因此IPSec、IKE、TLS等通用的安全協(xié)議應運而生,并獲得廣泛的應用,在充分重視安全重要性后,新的協(xié)議在設計過程中就充分考慮安全方面的需要,協(xié)議的安全性成了新的協(xié)議是否被認可的重要指標.因此新的通信協(xié)議普遍融入了安全技術,如SIP本身就附帶諸多安全機制,IPv6本身附帶了必要的安全字段,這種發(fā)展趨勢將會持續(xù),由此可以預見,傳統(tǒng)的通用安全協(xié)議應用范圍將逐漸縮小,最終消失,取而代之的是所有通信協(xié)議都具備相應的安全機制。
四、總結(jié)
總之,隨著網(wǎng)絡的普及,網(wǎng)絡信息安全所面臨的危險已經(jīng)滲透到社會各個方面,應深刻剖析各種不安全的因素,并采取相應的策略,確保網(wǎng)絡安全。解決信息網(wǎng)絡安全僅依靠技術是不夠的,還要結(jié)合管理、法制、政策及教育等手段,將信息網(wǎng)絡風險降低至最小程度。相信隨著網(wǎng)絡安全技術的不斷改進和提高,以及各項法律法規(guī)的不斷完善,將能構造出更加安全可靠的網(wǎng)絡防護體系。
網(wǎng)絡安全法律制度所要解決的問題,乃是人類進入信息社會之后才產(chǎn)生的特殊安全問題。正如為了適應時代所賦予的“正義觀念”必須調(diào)整為“科學發(fā)展觀”一樣,法律規(guī)范隨著信息社會的發(fā)展也應適應新的安全問題而作出結(jié)構性調(diào)整,以符合時代賦予的“科學發(fā)展觀”。
網(wǎng)絡安全監(jiān)管應當以“快速反應和有效治理”為原則。從信息化發(fā)展的趨勢考察,政府部門職權的適當調(diào)整是網(wǎng)絡安全監(jiān)管權力配置的必然選擇。因此,構建政府部門之間、政府與社會之間的“信息共享”機制便成為網(wǎng)絡安全監(jiān)管法制建設的重點,應當注意到,只有政府和企業(yè)、個人密切配合,才能彌補政府網(wǎng)絡安全監(jiān)管能力的不足,使其更好地履行職責,從而實現(xiàn)保障網(wǎng)絡安全的戰(zhàn)略目標。
參考文獻:
[1]鄭曉妹. 信息系統(tǒng)安全模型分析[J]安徽技術師范學院學報, 2006,(01).
[2]李雪青. 論互聯(lián)網(wǎng)絡青年道德主體性的失落及其建設[J]北方工業(yè)大學學報, 2000,(04).
[3]劉建永,杜婕. 指揮控制系統(tǒng)的信息安全要素[J]兵工自動化, 2004,(04).
[4]高攀,陳景春. /GS選項分析[J]成都信息工程學院學報, 2005,(03).
[5]劉穎. 網(wǎng)絡安全戰(zhàn)略分析[J]重慶交通學院學報(社會科學版), 2003,(S1).
[6]劉穎. 析計算機病毒及其防范技術[J]重慶職業(yè)技術學院學報, 2003,(04).
[7]王世明. 入侵檢測技術原理剖析及其應用實例[J]燕山大學學報, 2004,(04).
[8]劉曉宏. 淺談航空電子系統(tǒng)病毒防范技術[J]電光與控制, 2001,(03).
論文摘要:隨著計算機網(wǎng)絡技術在社會生活中的各個領域的廣泛應用,計算機網(wǎng)絡技術提供巨大的信息含量和交互功能,提高了各個領域的工作效率,但是計算機網(wǎng)絡安全問題也日益嚴重,該文通過對計算機網(wǎng)絡安全的分析,探討安全防范策略。
計算機技術的不斷發(fā)展,推動了社會的信息化進程,但是日益加劇的計算機網(wǎng)絡安全問題,導致計算機犯罪頻發(fā)以及給個人,單位甚至國家?guī)順O大損害。因此有必要加強計算機網(wǎng)絡安全的防范,為使用者提供一個安全的網(wǎng)絡空間。
1 計算機網(wǎng)絡安全
計算機網(wǎng)絡安全就是計算機網(wǎng)絡信息的安全。計算機網(wǎng)絡安全的內(nèi)容包括管理與技術兩個方面。計算機安全管理包括計算機硬件軟件的維護和網(wǎng)絡系統(tǒng)的安全性維護,確保硬軟件的數(shù)據(jù)和信息不被破壞,保障計算機網(wǎng)絡系統(tǒng)中的數(shù)據(jù)信息不被隨意更改和泄露。而計算機網(wǎng)絡安全技術主要是指對外部非法用戶的攻擊進行防范,確保計算機網(wǎng)絡使其不被偶然和惡意攻擊破壞,保證計算機網(wǎng)絡安全有序的運行。計算機網(wǎng)絡安全管理和網(wǎng)絡安全技術相結(jié)合,構建計算機網(wǎng)絡安全體系,保證計算機網(wǎng)絡系統(tǒng)能夠連續(xù)正常的運行。
2 計算機網(wǎng)絡安全風險分析
1)計算機網(wǎng)絡安全問題主要集中在兩個方面,一是信息數(shù)據(jù)安全問題,包括信息數(shù)據(jù)被非法修改、竊取、刪除和非法使用。二是計算機網(wǎng)絡設備安全問題,包括設備不能正常運行、設備損壞、網(wǎng)絡癱瘓。
2)計算機網(wǎng)絡安全風險的特點主要表現(xiàn)在三方面。一是突發(fā)性和擴散性。計算機網(wǎng)絡攻擊經(jīng)常是沒有征兆的,而且其造成的影響會迅速擴散到互聯(lián)網(wǎng)上的各個用戶,給整個計算機系統(tǒng)造成破壞。二是潛伏性和隱蔽性。計算機網(wǎng)絡攻擊造成破壞前,都會潛伏在程序里,如果計算機用戶沒有及時發(fā)現(xiàn),攻擊就會在滿足條件時發(fā)起。另外由于計算機用戶疏于防范,也會為具有隱蔽性的計算機攻擊提供可乘之機。三是危害性和破壞性。計算機網(wǎng)絡遭受到攻擊都會給計算機網(wǎng)絡系統(tǒng)造成嚴重的破壞后果,造成計算機網(wǎng)絡癱瘓,給計算機用戶帶來損失,嚴重的會對社會和國家安全構成威脅。
3)造成計算機網(wǎng)絡安全風險的因素
(1)計算機網(wǎng)絡系統(tǒng)本身的安全隱患
網(wǎng)絡系統(tǒng)的安全隱患重要包括網(wǎng)絡結(jié)構設備和網(wǎng)絡系統(tǒng)自身缺陷。普遍應用的網(wǎng)絡結(jié)構是集線型,星型等多種結(jié)構為一體的混合型結(jié)構。每個結(jié)構的節(jié)點處采用不同的網(wǎng)絡設施,包括路由器、交換機、集線器等。每種設備受自身技術的制約都會在不同程度上給計算機網(wǎng)絡系統(tǒng)帶來安全隱患。另外網(wǎng)絡系統(tǒng)本身具有缺陷,網(wǎng)絡技術的優(yōu)點是開放性和資源共享性。全球性復雜交錯的互聯(lián)網(wǎng)絡,其優(yōu)點也成了容易遭受個攻擊的弱點,而且計算機網(wǎng)絡協(xié)議自身也存在不安全因素,例如出現(xiàn)欺騙攻擊,拒絕服務,數(shù)據(jù)截取和數(shù)據(jù)篡改等問題。
(2)計算機病毒安全風險
目前計算機病毒已經(jīng)成為威脅計算機網(wǎng)絡安全的關鍵因素。計算機病毒是人為編制的,進入計算機程序中的能夠毀壞數(shù)據(jù),破壞計算機功能的一組計算機指令或代碼。根據(jù)其破壞程度把計算機病毒劃分為優(yōu)良性病毒與惡性病毒,計算機病毒顯著的特點是具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等。而且病毒能夠自我復制。在計算機網(wǎng)絡系統(tǒng)中普遍的傳播方式是通過光盤,U盤等存儲設備進行的,但是隨著計算機網(wǎng)絡的規(guī)模的擴大,網(wǎng)絡傳播成為病毒傳播的主要手段,計算機使用者上網(wǎng)瀏覽網(wǎng)頁,收發(fā)Email,下載資料等都可能感染計算機病毒,而且病毒能夠在局域網(wǎng)內(nèi)傳播。計算機病毒對計算機程序和系統(tǒng)造成嚴重的破壞,使網(wǎng)絡無法正常運行。例如2007年1月的熊貓燒香病毒,就是通過下載檔案傳染的,在局域網(wǎng)迅速傳播,極短的時間內(nèi)就能傳播給數(shù)千臺計算機,致使“熊貓燒香”病毒的感染范圍非常廣,包含了金融、稅務、能源等企業(yè)和政府機構,給國家造成的經(jīng)濟損失,可見病毒的危害性巨大。
4)計算機網(wǎng)絡安全風險中的人為因素
(1)計算機網(wǎng)絡安全中的人為因素主要包括計算機使用者的操縱失誤和人為的惡意攻擊。計算機使用者的計算機技術水平良莠不齊,有些人員缺少安全防范意識,在應用過程里出現(xiàn)操作失誤和錯誤,也會給計算機安全帶來風險。另外,人為的惡意攻擊是計算機網(wǎng)絡安全的最大威脅。而人為惡意攻擊又分為主動攻擊和被動攻擊兩種。主動攻擊是指采用各種方式有選擇的破壞信息完整性和有效性。而被動攻擊是使攻擊者在不影響網(wǎng)絡正常工作的情況下,進行對信息的篡改,截取,竊取機密信息的活動。人為攻擊會給造成重要數(shù)據(jù)的泄漏,給計算機網(wǎng)絡帶來極大的破壞。
(2)人為攻擊里最為常見的是黑客攻擊。黑客最早源自英文hacker,是指利用系統(tǒng)安全漏洞對網(wǎng)絡進行攻擊破壞或竊取資料的人。由于網(wǎng)絡信息系統(tǒng)構建的脆弱性和不完備性,黑客通常會利用計算機網(wǎng)絡系統(tǒng)自身存在的安全隱患和漏洞,進行密碼探測并完成系統(tǒng)入侵的攻擊。黑客攻擊的手段主要包括:口令的攻擊、網(wǎng)絡監(jiān)聽、盜取、緩沖區(qū)溢出攻擊、過載攻擊、隱藏指令、程序嵌入木馬攻擊、取得網(wǎng)站控制權、網(wǎng)頁篡改偽裝欺騙攻擊、電子郵件破壞攻擊和種植病毒等。給計算機用戶帶來極大危害。
5)計算機系統(tǒng)安全漏洞
計算機系統(tǒng)安全是指計算機操作系統(tǒng)的安全。而目前應用的DOS、WINDOWS(2000、XP、VISTA.WIN7)、UNIX、LINUX等操作系統(tǒng),都存在一定的安全隱患。而系統(tǒng)漏洞產(chǎn)生的原因是應用軟件或操作系統(tǒng)軟件在邏輯設計上的缺陷或在編寫時產(chǎn)生錯誤。而系統(tǒng)漏洞本身不會對網(wǎng)絡系統(tǒng)造成危害,但是由于系統(tǒng)漏洞存在,會被不法分子和黑客利用,例如在計算機中植入木馬,其具有隱藏性的和自發(fā)性,是惡意行為的程序,雖不會直接對電腦產(chǎn)生危害,但是可以被黑客控制。黑客還能利用系統(tǒng)安全漏洞,使計算機感染病毒,破壞計算機及其系統(tǒng)造成數(shù)據(jù)信息丟失等。嚴重危害計算機網(wǎng)絡系統(tǒng)的安全。
6)計算機網(wǎng)絡完全技術有待提升
計算機網(wǎng)絡提供大量的數(shù)據(jù)信息傳輸,而且又具有開放性,共享性和廣泛性。所以數(shù)據(jù)信息的安全也面臨著巨大的挑戰(zhàn)。目前網(wǎng)絡數(shù)據(jù)信息的傳輸處理過程中安全性與保密性技術還不是十分完善,這也為網(wǎng)絡系統(tǒng)中進行的數(shù)據(jù)信息的傳輸和處理帶來極大的隱患。
3 計算機網(wǎng)絡安全防范對策
針對計算機網(wǎng)絡安全存在的風險分析,要加強計算機網(wǎng)絡的安全防范,除了采用的網(wǎng)絡安全技術和防范措施,還要加強網(wǎng)絡管理的措施,制定法律、法規(guī)增強計算機安全保護的執(zhí)行力度,確保計算機網(wǎng)絡安全工作的確實有效。關于計算機網(wǎng)絡安全方法對策主要從以下幾個方面探討。
1)增強計算機網(wǎng)絡安全管理
(1)提高安全意識,建立專業(yè)的管理隊伍
對于計算機個人用戶而言,要不斷加強網(wǎng)絡安全意識的培養(yǎng),對應用程序進行合法的操作,依據(jù)職責權利選擇不同的口令,杜絕其他的用戶越權訪問網(wǎng)絡資源。要重視對計算機病毒的防范,及時更新殺毒軟件和安裝補丁。而對于計算機網(wǎng)絡管理人員要求更高些,增強安全意識的同時加強職業(yè)道德和工作責任心的培養(yǎng),還要不斷提升管理人員的專業(yè)技能,增強對網(wǎng)絡的監(jiān)察和評估。
(2)落實網(wǎng)絡安全管理的各項工作
網(wǎng)絡安全維護除了應用先進的軟件防御需要把網(wǎng)絡管理的各項工作落到實處,加大網(wǎng)絡評估和監(jiān)控力度,對網(wǎng)絡運行全過程進行監(jiān)控,針對網(wǎng)絡安全存在的風險提出修改意見,完善網(wǎng)絡安全運行管理機制,營造優(yōu)良的網(wǎng)絡環(huán)境,做好設備維護工作,制定應急預案,確保計算機網(wǎng)絡安全工作的科學性和時效性。
2)計算機網(wǎng)絡安全技術防范措施
(1)防火墻技術
防火墻指的是一個由軟件和硬件設備組合而成,在內(nèi)部網(wǎng)和外部網(wǎng)之間,專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障。能夠限制外部用戶內(nèi)部訪問,以及管理內(nèi)部用戶訪問外界網(wǎng)絡。有效的控制信息輸入輸出是否符合安全規(guī)則,對包含不安全的信息數(shù)據(jù)進行過濾,防止內(nèi)網(wǎng)數(shù)據(jù)和資源的外泄,強化計算機網(wǎng)絡的安全策略,是保障計算機網(wǎng)絡安全的基礎技術。
(2)計算機病毒防范技術
由于計算機病毒的破壞性和危害性很大,所以防毒工作是計算機網(wǎng)絡安全管理的重要部分,除了設置防火墻,還要在計算機上安裝正版的殺毒防毒軟件,并且及時的升級殺毒軟件,更新病毒庫,定期對磁盤進行安全掃描,同時計算機使用者還要主要上網(wǎng)安全,不打開不正常的網(wǎng)頁鏈接和下載可疑文件。
(3)信息加密技術
當信息數(shù)據(jù)技術通過網(wǎng)絡傳輸時,由于計算機網(wǎng)絡的復雜性和自身缺陷,容易造成信息數(shù)據(jù)泄露,所以要應用信息加密技術,保障信息數(shù)據(jù)傳輸?shù)陌踩S嬎銠C網(wǎng)絡數(shù)據(jù)加密主要有三個層次,鏈路加密、節(jié)點加密和端到端加密。而且在整個過程中都是以密文形式進行傳輸?shù)模行У乇U狭藬?shù)據(jù)傳輸?shù)陌踩?/p>
(4)漏洞掃描和修復技術
由于計算機系統(tǒng)自身存在漏洞,為了不給黑客和不法分子帶來可乘之機,就要定期的對計算機網(wǎng)絡系統(tǒng)進行漏洞掃描,下載安全補丁,及時修復系統(tǒng)漏洞。
(5)系統(tǒng)備份和還原技術
數(shù)據(jù)的備份工作也是計算機網(wǎng)絡安全的內(nèi)容之一,常用的Ghost工具,可以進行數(shù)據(jù)的備份和還原,但系統(tǒng)出現(xiàn)故障時,利用ghost,減少信息數(shù)據(jù)的損失。保障計算機系統(tǒng)的恢復使用。
4 總結(jié)
21世紀是網(wǎng)絡技術飛速發(fā)展的時代,隨著全球數(shù)字化和信息化的進程不斷加快,網(wǎng)絡的資源共享和開放性所帶來的安全隱患需要引起重視,為了增強信息的安全保障能力,有效的維護國家安全、社會穩(wěn)定和公共利益,需要制定科學的計算機網(wǎng)絡防范體系,降低計算機網(wǎng)絡安全風險,提高計算機網(wǎng)絡安全技術,為營造安全的網(wǎng)絡環(huán)境和構建和諧社會提供技術支持和理論基礎。
參考文獻
[1] 金曉倩.基于計算機防火墻安全屏障的網(wǎng)絡防范技術[J].素質(zhì)教育論壇,2009(11).
[2] 趙紅言,許柯,趙緒民.計算機網(wǎng)絡安全及防范技術[J].陜西師范大學學報,2007(9).
[3] 王小芹.計算機網(wǎng)絡安全的防范技術及策略[J].內(nèi)蒙古科技與經(jīng)濟,2005(15).
[4] 何莉,許林英,姚鵬海.計算機網(wǎng)絡概論[M].北京:高等教育出版社,2006(1).
論文摘要:隨著計算機技術和信息網(wǎng)絡技術的發(fā)展,全球信息化已成為人類發(fā)展的趨勢。行政部門信息網(wǎng)絡的互聯(lián),最大限度地實現(xiàn)了信息資源的共享和提高行政部門對企事業(yè)單位監(jiān)管監(jiān)察的工作效率。然而網(wǎng)絡易受惡意軟件、黑客等的非法攻擊。如何保障計算機信息網(wǎng)絡的安全,已成為備受關注的問題。
行政機關的計算機網(wǎng)絡系統(tǒng)通常是跨區(qū)域的intranet網(wǎng)絡,提供信息管理、資源共享、業(yè)務窗口等應用服務的平臺,網(wǎng)絡內(nèi)部建立數(shù)據(jù)庫,為各部門的業(yè)務應用提供資源、管理,實現(xiàn)數(shù)據(jù)的采集、信息、流程審批以及網(wǎng)絡視頻會議等應用,極大提高了日常工作效率,成為行政機關辦公的重要工具,因此要求計算機網(wǎng)絡具有很高的可操作性、安全性和保密性。
1、開放式網(wǎng)絡互連及計算機網(wǎng)絡存在的不安全要素
由于計算機網(wǎng)絡中存在著眾多的體系結(jié)構,體系結(jié)構的差異性,使得網(wǎng)絡產(chǎn)品出現(xiàn)了嚴重的兼容性問題,國際標準化組織iso制定了開放系統(tǒng)互聯(lián)(osi)模型,把網(wǎng)絡通信分為7個層次,使得不同結(jié)構的網(wǎng)絡體系在相應的層次上得到互聯(lián)。下面就根據(jù)網(wǎng)絡系統(tǒng)結(jié)構,對網(wǎng)絡的不安全因素分層次討論并構造網(wǎng)絡安全策略。
(1)物理層的安全要素:這一層的安全要素包括通信線路、網(wǎng)絡設備、網(wǎng)絡環(huán)境設施的安全性等。包括網(wǎng)絡傳輸線路、設備之間的聯(lián)接是否尊從物理層協(xié)議標準,通信線路是否可靠,硬件和軟件設施是否有抗干擾的能力,網(wǎng)絡設備的運行環(huán)境(溫度、濕度、空氣清潔度等),電源的安全性(ups備用電源)等。
(2)網(wǎng)絡層的安全要素:該層安全要素表現(xiàn)在網(wǎng)絡傳輸?shù)陌踩浴0ňW(wǎng)絡層的數(shù)據(jù)傳輸?shù)谋C苄院屯暾浴①Y源訪問控制機制、身份認證功能、層訪問的安全性、路由系統(tǒng)的安全性、域名解析系統(tǒng)的安全性以及入侵檢測應用的安全性和硬件設備防病毒能力等。
(3)系統(tǒng)層的安全要素:系統(tǒng)層是建立在硬件之上軟環(huán)境,它的安全要素主要是體現(xiàn)在網(wǎng)絡中各服務器、用戶端操作系統(tǒng)的安全性,取決于操作系統(tǒng)自身的漏洞和不足以及用戶身份認證,訪問控制機制的安全性、操作系統(tǒng)的安全配置和來自于系統(tǒng)層的病毒攻擊防范手段。
(4)應用層的安全要素:應用層的安全要素主要考慮網(wǎng)絡數(shù)據(jù)庫和信息應用軟件的安全性,包括網(wǎng)絡信息應用平臺、網(wǎng)絡信息系統(tǒng)、電子郵件系統(tǒng)、web服務器,以及來自于病毒軟件的威脅。
(5)管理層的安全要素:網(wǎng)絡安全管理包括網(wǎng)絡設備的技術和安全管理、機構人員的安全組織培訓、安全管理規(guī)范和制度等。
2、網(wǎng)絡安全策略模型及多維的網(wǎng)絡安全體系
行政機關的網(wǎng)絡安全需要建立一個多維的安全策略模型,要從技術、管理和人員三位一體全方位綜合考慮。
技術:是指當今現(xiàn)有使用的設備設施產(chǎn)品、服務支持和工具手段,是網(wǎng)絡信息安全實現(xiàn)的基礎。
管理:是組織、策略和流程。行政機關信息網(wǎng)絡的安全建設關鍵取決于組織人員的判斷、決策和執(zhí)行力,是安全成敗的必要措施。
人員:是信息網(wǎng)絡安全建設的決定性因素,不論是安全技術還是安全管理,人員是最終的操作者。人員的知識結(jié)構、業(yè)務水平是安全行為執(zhí)行的關鍵。
基于網(wǎng)絡信息安全是一個不斷發(fā)現(xiàn)問題進而響應改進的循環(huán)系統(tǒng),我們構造網(wǎng)絡安全策略模型為:防護-->檢測-->響應-->恢復-->改善-->防護。
運用這個安全體系我們解決網(wǎng)絡中的不安全要素,即在物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全和管理安全等多個層次利用技術、組織和人員策略對設備信息進行防護、檢測、響應、恢復和改善。
(1)物理安全:采用環(huán)境隔離門禁系統(tǒng)、消防系統(tǒng)、溫濕度控制系統(tǒng)、物理設備保護裝置(防雷設備)等,設置監(jiān)控中心、感應探測裝置,設置自動響應裝置,事故發(fā)生時,一方面防護裝置自動響應,另一方面人員發(fā)現(xiàn)處理,修復或更換設備的軟、硬件,必要時授權更新設備或設施。
(2)網(wǎng)絡安全:采用防火墻、服務器、訪問控制列表、掃描器、防病毒軟件等進行安全保護,采用網(wǎng)絡三層交換機通過劃分vlan,把網(wǎng)絡中不同的服務需求劃分成網(wǎng)段,采用入侵檢測系統(tǒng)(ids)對掃描、檢測節(jié)點所在網(wǎng)段的主機及子網(wǎng)掃描,根據(jù)制定的安全策略分析并做出響應,通過修改策略的方式不斷完善網(wǎng)絡的安全。
(3)系統(tǒng)安全:采用性能穩(wěn)定的多用戶網(wǎng)絡操作系統(tǒng)linux作為服務器的基礎環(huán)境,使用身份認證、權限控制進行保護,用登陸控制、審計日志、文件簽名等方式檢測系統(tǒng)的安全性,進行接入控制審計響應,通過對系統(tǒng)升級、打補丁方式恢復系統(tǒng)的安全性,可以通過更新權限來改善用戶對系統(tǒng)操作的安全性。
(4)應用安全:采用身份認證、權限控制、組件訪問權限和加密的辦法進行保護,用文件、程序的散列簽名、應用程序日志等方式檢測應用程序的安全性,通過事件響應通知用戶,采用備份數(shù)據(jù)的辦法恢復數(shù)據(jù),通過更新權限完善應用系統(tǒng)的安全性。
(5)管理安全:通過建立安全管理規(guī)章制度、標準、安全組織和人力資源,對違規(guī)作業(yè)進行統(tǒng)計,制定緊急響應預案,進行安全流程的變更和組織調(diào)整,加強人員技能培訓,修訂安全制度。
3、行政機關人員安全的重要性
行政機關網(wǎng)絡信息的安全,人員占據(jù)重要的地位,網(wǎng)絡安全的各要素中都涉及人員的參與,因此對人員的安全管理是行政機關網(wǎng)絡信息安全的重點。
首先組織領導要高度重視網(wǎng)絡信息的安全性,建立周密的安全制度(包括網(wǎng)絡機房安全制度、計算機操作員技術規(guī)范等),提高從業(yè)人員的素質(zhì)和業(yè)務水平,防范人為因素造成的損失。
其次是組織員工進行信息安全培訓教育,提高安全意識。對專業(yè)技術人員做深入的安全管理和安全技術培訓。
再次是網(wǎng)絡技術人員要定期對設備巡檢維護,及時修改和更新與實際相應的安全策略(防火墻、入侵檢測系統(tǒng)、防病毒軟件等)。
最后是安全管理人員定期檢查員工的網(wǎng)絡信息方面的安全問題。
4、結(jié)語
行政機關網(wǎng)絡安全從其本質(zhì)上講就是保障網(wǎng)絡上的信息安全,網(wǎng)絡安全是一個全方位的系統(tǒng)工程,需要我們不斷地在實踐和工作中發(fā)現(xiàn)問題和解決,仔細考慮系統(tǒng)的安全需求,將各種安全技術,人員安全意識級水平、安全管理等結(jié)合在一起,建立一個安全的信息網(wǎng)絡系統(tǒng)為行政機關工作服務。
參考文獻
[1]陳曉光.淺談計算機網(wǎng)絡教學[j].才智,2009,(08).
一,良好的思想政治表現(xiàn)
我為人處事的原則是“認認真真學習,踏踏實實工作,堂堂正正做人,開開心心生活”,對自己,我嚴格要求,工作認真,待人誠懇,言行一致,表里如一。做到遵紀守法,謙虛謹慎,作風正派,具有良好的思想素質(zhì)和職業(yè)道德,能用“三個代表”的要求來指導自己的行動。積極要求進步,團結(jié)友善,明禮誠信。在黨員先進性教育主題演講比賽中獲得過三等獎,“知榮明恥愛報社”演講比賽中獲得過三等獎,“我為報社改革發(fā)展獻一策”活動中獲得過三等獎。連續(xù)四年被評為集團先進工作者,并獲得過“市屬機關優(yōu)秀團員”稱號.
二,負重鍛煉,鼓勁挖潛,較好地完成本職工作
2002至2006年來是報業(yè)集團改革與發(fā)展的關鍵時期,集團正朝著規(guī)模化、多媒體化、多元化,網(wǎng)絡化的方向快速發(fā)展,生產(chǎn)規(guī)模、管理理念、業(yè)務流程等都發(fā)生了很大的變化,在報業(yè)快速變革時期,記者編輯的數(shù)量增加,集團辦公區(qū)域的擴大,并且在技術人員不足的環(huán)境條件下,集團采編流程,經(jīng)營流程,網(wǎng)絡安全,機房建設,信息化成本研究等方面的都進行了較大規(guī)模的設計建設與完善。在信息建設的過程中,一方面在較少技術支持下獨立研究項目的合理性,科學性,安全性,另一方面又要面對很多系統(tǒng)與網(wǎng)絡核心維護,以及大量其他技術人員無法解決的問題。在報業(yè)集團這些日子里,較好的完成了集團領導下達的責任目標.
1.報業(yè)集團信息中心機房平臺安全運轉(zhuǎn),沒有出現(xiàn)過重大事故,工作有序開展,集團網(wǎng)絡與系統(tǒng)總體正常運行,信息機房建設水平達到新的高度,空調(diào)通風系統(tǒng),應急照明系統(tǒng),消防系統(tǒng),機房UPS配電系統(tǒng),機房防雷接地系統(tǒng)的安全系數(shù)進一步得到提高.
2.報業(yè)系統(tǒng)集成,管理流程得到提高,報業(yè)采編流程系統(tǒng)逐步升級.淵博系統(tǒng)已為報人提供方便快捷的全文檢索功能,報社經(jīng)略廣告系統(tǒng)的研究,使的廣告管理模式電腦化、科學化和規(guī)范化,廣告數(shù)據(jù)更加的準確性、完整性和安全性.報業(yè)集團的發(fā)行系統(tǒng)實施已大大推動報業(yè)自辦發(fā)行的進程與規(guī)模.二次開發(fā)報業(yè)業(yè)績考核管理系統(tǒng),統(tǒng)計出記者和編輯業(yè)績情況,以便對其進行定期考核,提高全體員工辦報的熱情.
3.實現(xiàn)創(chuàng)建集團的域控制系統(tǒng),采編數(shù)據(jù)庫系統(tǒng),文件服務器系統(tǒng),UPS不間斷電源監(jiān)控系統(tǒng),也同時協(xié)助設計與實施財務集中管理與監(jiān)控,逐步完善財務經(jīng)營管理一體化.
4.協(xié)助完成集團報業(yè)數(shù)字化大樓建設,監(jiān)督與完善3樓發(fā)行中心,8樓商報7樓行政經(jīng)營區(qū)域結(jié)構化布線子系統(tǒng),,網(wǎng)絡系統(tǒng)接入性,擴展性,使其穩(wěn)定性得到提升,讓區(qū)域需求得以改變,使的網(wǎng)絡能夠逐步向成熟期過渡.并且完成22個鎮(zhèn)區(qū)網(wǎng)絡接入,系統(tǒng)與報社中心整合運行已向多分支性機構過渡.
5.架設網(wǎng)絡版防病毒防御系統(tǒng),并與硬件防病毒墻進行聯(lián)動,降低網(wǎng)絡的安全風險,提高網(wǎng)絡安全性。VPN遠程辦公系統(tǒng)與報社網(wǎng)關級別防毒墻設計與規(guī)劃實施為報人提供安全的信息多元化通道,完善的網(wǎng)絡存儲集中備份,為整個網(wǎng)絡中的數(shù)據(jù)實現(xiàn)統(tǒng)一的存儲控制管理,從而防止物理損壞,以及部分邏輯損壞,保護好集團的數(shù)據(jù)資源。實現(xiàn)核心交換機的雙機熱備份,維持核心網(wǎng)絡層安全、穩(wěn)定的運行,最大限度的降低網(wǎng)絡的風險。上網(wǎng)行為監(jiān)控的研究與設計實現(xiàn)。規(guī)范報人上網(wǎng)行為,使網(wǎng)絡資源合理利用,提高報業(yè)集團競爭力。磁盤陣列存儲系統(tǒng),相關的災難恢復,數(shù)據(jù)庫管理,存儲策略得到進一步的擴展.加強了網(wǎng)絡安全,為報人服務,深度研究與準備架構一個動態(tài)的、整體的安全體系:安全的操作系統(tǒng)、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通信加密、災難恢復、安全掃描等多個安全模塊.找出網(wǎng)絡,與系統(tǒng)運行規(guī)律,進而來預測未來可能發(fā)生趨勢.
三,加強責任感、發(fā)揚吃苦耐勞的精神、增強開拓創(chuàng)新的意識
這些年來,集團的技術領域特殊的環(huán)境使我能夠以大局為重、寬宏大量,不斤斤計較個人利益。由于工作的特殊性與重要性,這些年來很多時候都在超負荷工作,甚至幾天幾夜才能睡上幾個小時,每一次技術改造與創(chuàng)新,每一個項目的設計與架設都要付出巨大的艱辛,即要協(xié)調(diào)維護好集團及報人家庭將近上千萬的信息設備,又要進行預測,研究信息化過程中可能出現(xiàn)的問題,敢于嘗試,把新知識、新技術、新理念融入實施過程中,提出高效的解決方案,又要對集團技術管理進行階段深入研究。
四,不斷加強理論學習,拓展知識領域
潛心研究計算機技術領域的國內(nèi)外現(xiàn)狀和發(fā)展趨勢,吸收豐富的計算機理論知識,提高解決本專業(yè)實際問題的能力,能將本專業(yè)與相關專業(yè)相互配合,協(xié)調(diào)解決有關技術難題,并且能指導工程師工作和學習。并且也加強了寫作能力、組織協(xié)調(diào)能力和判斷分析能力。為了加強自身計算機水平的提高,于2003年度在微軟授權培訓中心接受微軟系統(tǒng)工程師培訓,并獲得中國微軟頒發(fā)的MCSE系統(tǒng)工程師證書時.同年也獲得北大方正采編高級系統(tǒng)管理證書,在2004年在cisco授權培訓中心接受cisco網(wǎng)絡工程師培訓,同年獲得美國思科頒發(fā)的CCNA網(wǎng)絡工程師證書,并自學CCNP網(wǎng)絡專家課程.為了掌握更扎實的技術,充實自己的理論知識,從2003年開始就讀于電子科技大學軟件工程研究生專業(yè),并且在2006年底順利拿到工程碩士文憑。在論文方面,,先后在電腦報,計算機世界,中國地市報人等報刊發(fā)表過論文.
五,今后努力方向
1.陷于較為嚴重的事務性工作的特殊情況,必須進行角色技術轉(zhuǎn)變,新時期的現(xiàn)代報業(yè)技術人員應是技術組織者,網(wǎng)絡,網(wǎng)絡安全建設者,新聞信息產(chǎn)品的開發(fā)員,信息技術服務咨詢專家,信息技術教師的身份.
2.要創(chuàng)新,技術管理更需要有潛意識加強,技術和管理應該并重.
論文關鍵詞:網(wǎng)絡安全 防范策略
論文摘要:危害計算機網(wǎng)絡安全的因素做種多樣,最長見的主要是犯罪分子通過惡意軟件、木馬病毒等進行網(wǎng)絡犯罪,該文主要是針對這種問題,在充分調(diào)研和具體考察的基礎上,分析了常見的幾種危害計算機網(wǎng)絡安全的方法,并在此基礎上提出了關于計算機網(wǎng)絡安全的幾種策略,有一定的現(xiàn)實指導意義。
計算機網(wǎng)絡安全主要是指計算機網(wǎng)絡系統(tǒng)的硬件系統(tǒng)、軟件系統(tǒng)以及網(wǎng)絡上的各種信息的安全。計算機網(wǎng)絡安全主要是指信息安全。
從廣義來說,凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。
不管是出于何種動機,凡是對計算機網(wǎng)絡安全帶來攻擊的操作,不管是有意還是無意,都可能給計算機網(wǎng)絡帶來不可估量的損失。因此,必須有足夠的辦法和強有力的措施來確保計算機網(wǎng)絡的足夠安全。不管是針對局域網(wǎng)的安全還是針對廣域網(wǎng)的安全,計算機網(wǎng)絡的安全防護措施必須是全方位多領域的。可以針對不同的威脅和攻擊,采取不同的有效方法。只有這樣,才能確保計算機網(wǎng)絡安全和網(wǎng)絡信息安全。
1 影響計算機網(wǎng)絡安全的常見威脅
由于計算機網(wǎng)絡的設計初衷是資源共享、分散控制、分組交換,這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網(wǎng)絡,并將破壞行為迅速地在網(wǎng)絡中傳播。同時,計算機網(wǎng)絡還有著自然社會中所不具有的隱蔽性:無法有效識別網(wǎng)絡用戶的真實身份;由于互聯(lián)網(wǎng)上信息以二進制數(shù)碼,即數(shù)字化的形式存在,所以操作者能比較容易地在數(shù)據(jù)傳播過程中改變信息內(nèi)容。計算機網(wǎng)絡的傳輸協(xié)議及操作系統(tǒng)也存在設計上的缺陷和漏洞,從而導致各種被攻擊的潛在危險層出不窮,這使網(wǎng)絡安全問題與傳統(tǒng)的各種安全問題相比面臨著更加嚴峻的挑戰(zhàn),黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法。
2 網(wǎng)絡安全的技術和措施
起初,計算機網(wǎng)絡防護主要考慮的是劃分網(wǎng)絡邊界,通過明確網(wǎng)絡邊界,在網(wǎng)絡邊界處對網(wǎng)絡信息進行監(jiān)測和控制。如果被檢測的信息不符合規(guī)定,那么就不能通過檢查進入網(wǎng)絡。通過這種方法來實現(xiàn)對計算機網(wǎng)絡安全的監(jiān)督和防范。
常見的幾種計算機網(wǎng)絡防護措施有:
2.1 利用防火墻
防火墻主要是通過提前制定安全策略,來實現(xiàn)對計算機網(wǎng)絡的訪問控制和監(jiān)測,本質(zhì)上屬于是屬于通過隔離病毒來實現(xiàn)對網(wǎng)絡安全控制的技術。常用的防火墻技術有包過濾技術、狀態(tài)檢測技術、應用網(wǎng)關技術。
2.2 利用虛擬專用網(wǎng)絡
另一種計算機網(wǎng)絡防護措施是采用虛擬專用網(wǎng)絡,虛擬專用網(wǎng)絡又稱作VPN,這種技術主要是通過公共的核心網(wǎng)絡把分布在不同地點的網(wǎng)絡連接在一起。連接而成的邏輯上相連的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機構、商業(yè)伙伴及供應商與內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN技術采用了鑒別、訪問控制、保密性和完整性等措施,以防止信息被泄露、篡改和復制。以此確保信息的絕對安全。
2.3 利用防毒墻
防毒墻主要是用來對在網(wǎng)絡中進行傳輸?shù)牟《具M行過濾的一種安全設備,防毒墻一般處在網(wǎng)絡的入口處。防火墻雖然可以實現(xiàn)對計算機在計算機網(wǎng)絡上傳遞的數(shù)據(jù)的合法性進行檢查和分析,但它對從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻是無能為力的,因為它無法識別合法數(shù)據(jù)包中是否存在病毒這一情況;防毒墻主要是利用簽名技術,主要通過在網(wǎng)關處進行查毒操作。它主要是為了彌補防火墻在防毒方面存在缺陷的而產(chǎn)生的。通過防毒墻可以有效的阻止網(wǎng)絡蠕蟲(Worm)和僵尸網(wǎng)絡(BOT)的擴散。
2.4 利用摘要算法的認證
Radius(遠程撥號認證協(xié)議)、OSPF(開放路由協(xié)議)、SNMP Security Protocol等均使用共享的Security Key(密鑰),加上摘要算法(MD5)進行認證,但摘要算法是一個不可逆的過程,因此,在認證過程中,由摘要信息不能計算出共享的security key,所以敏感信息不能在網(wǎng)絡上傳輸。市場上主要采用的摘要算法主要有MD5和SHA-1。
3 網(wǎng)絡檢測技術淺析
由于計算機病毒千變?nèi)f化,單純的依靠防火墻或者防毒墻遠遠不能對付所有威脅計算機網(wǎng)絡安全的病毒。于是,人們開始采用以檢測為主要標志的技術來確保計算機網(wǎng)絡的安全。網(wǎng)絡檢測技術主要是通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡系統(tǒng),或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探,以及內(nèi)部合法用戶的超越使用權限的非法活動。主要的網(wǎng)絡安全檢測技術有:
3.1 入侵檢測
入侵檢測系統(tǒng)(Intrusion Detection System,IDS)是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡安全技術。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡系統(tǒng),包括檢測外界非法入侵者的惡意攻擊或試探,以及內(nèi)部合法用戶的超越使用權限的非法活動,提高了信息安全基礎結(jié)構的完整性。轉(zhuǎn)貼于
3.2 入侵防御
入侵防御系統(tǒng)是一種主動的、積極的入侵防范、阻止系統(tǒng)。IPS是基于IDS的、建立在IDS發(fā)展的基礎上的新生網(wǎng)絡安全技術,IPS的檢測功能類似于IDS,防御功能類似于防火墻。IDS是一種并聯(lián)在網(wǎng)絡上的設備,它只能被動地檢測網(wǎng)絡遭到了何種攻擊,它的阻斷攻擊能力非常有限;而IPS部署在網(wǎng)絡的進出口處,當它檢測到攻擊企圖后,會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。
3.3 利用漏洞掃描
漏洞掃描技術是一種安全防范技術,這種技術主要是利用以下兩種方法來檢查目標主機是否存在漏洞:在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡服務,將這些相關信息與網(wǎng)絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描,如測試弱勢口令等,若模擬攻擊成功,則表明目標主機系統(tǒng)存在安全漏洞。總的來說,計算機網(wǎng)絡安全不是一個簡單的問題。不但有技術方面的問題,更有管理方面和法律方面的問題。只有協(xié)調(diào)好三者之間的關系,構建完善的安全體系,才能有效地保護網(wǎng)絡安全。
4 結(jié)論
本文主要是針對計算機網(wǎng)絡安全問題進行了淺析和概述,從而讓大家對計算機網(wǎng)絡安全問題有個初步的認識。文章通過分析,簡要的說明了計算機網(wǎng)絡安全面臨的主要威脅。計算機網(wǎng)絡安全的主要是計算機網(wǎng)絡的信息安全。技術上采用的信息安全機制,網(wǎng)絡安全的威脅與攻擊的發(fā)展趨勢,及對應的網(wǎng)絡安全技術的發(fā)展。在充分吸收和借鑒國外先進技術經(jīng)驗的基礎上,近些年來,國內(nèi)開發(fā)了各種各樣的維護計算機網(wǎng)絡安全的軟件,例如防火墻,安全路電器,安全網(wǎng)點、網(wǎng)絡、入侵檢測,系統(tǒng)漏洞掃描等硬件或軟件的網(wǎng)絡安全設備,滿足了近期的應用急需,但要想滿足長遠的需要,猶豫平臺的兼容性以及網(wǎng)絡協(xié)議的多樣性等因素。這些技術和的完善性、規(guī)范性、實用性方面還存在不足,存在差距,自立的技術手段需要發(fā)展和強化。從這個意義上講,對住處網(wǎng)絡安全研究來源,自主創(chuàng)新是第一位的。
參考文獻:
[1] 黃惠烽.網(wǎng)絡安全與管理[J].內(nèi)江科技,2008(7).
[2] 葛秀慧.計算機網(wǎng)絡安全管理[M].2版.北京:清華大學出版社,2008(5).
[3] 胡錚.網(wǎng)絡與信息安全[M].北京:清華大學出版社,2006(5).
[4] 華建軍.計算機網(wǎng)絡安全問題探究[J].科技信息,2007(9).
[5] 呂鐵軍.計算機網(wǎng)絡安全的幾點策略[J].產(chǎn)業(yè)與科技論壇,2007(3).
