安全網絡論文匯總十篇
時間:2023-03-23 15:04:38
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇安全網絡論文范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
1.2網絡通信軟件存在安全隱患由于客戶在使用網絡通信軟件時需要通過下載補丁等方式讓軟件能夠符合計算機終端操作系統的要求,而這些被廣泛應用并下載的軟件程序可能由于補丁程序等的引入而成為公開化的信息,這種公開化的軟件信息一旦被不法分子利用則會給人們的網絡通信帶來嚴重影響,這種影響甚至會波及整個計算機網絡系統,造成整個網絡的通信安全隱患。
1.3人為的網絡系統攻擊在利益的驅使下,部分不法分子企圖通過不合法的網絡系統攻擊方式對網絡通信進行人為的攻擊從而獲取大量的網絡資源。這些“黑客”的攻擊不僅出現在商業管理終端等能夠獲取大量經濟利益的領域,甚至還可能出現在個人的計算機中獲取個體用戶的信息,給用戶的信息安全造成重大隱患。應該客觀認識的是,我國網絡通信在人們生活水平不斷提升及通信方式變革的背景下發展速度一日千里,但是作為保障的信息安全維護工作卻與網絡通信的發展現狀存在較大差距。再加上網絡通信管理部門對于網絡通信信息安全認識不足、網絡通信管理制度不健全等問題也加劇了網絡通信信息安全隱患,甚至給整個互聯網通信系統帶來安全隱患,給不法分子以利用的機會。正是基于當前我國網絡通信中信息安全的嚴峻現狀及在這一過程中所出現問題的原因,筆者認為,不斷加強網絡通信技術革新與網絡通信制度建設,充分保障網絡通信信息安全是時展的必然要求。
2保障網絡通信信息安全的途徑
2.1充分保障用戶IP地址由于黑客對用戶網絡通信的侵入與攻擊大都是以獲取用戶IP地址為目的的,因此,充分保障用戶的IP地址安全是保護用戶網絡通信安全的重要途徑。用戶在使用互聯網時也要特別注意對自身IP地址的保護,通過對網絡交換機的嚴格控制,切斷用戶IP地址通過交換機信息樹狀網絡結構傳遞被透露的路徑;通過對路由器進行有效的隔離控制,經常關注路由器中的訪問地址,對非法訪問進行有效切斷。
2.2完善信息傳遞與儲存的秘密性信息傳遞與信息儲存的兩個過程是當前給網絡通信信息安全造成隱患的兩個主要途徑,在網絡信息的存儲與傳遞過程中,黑客可能會對信息進行監聽、盜用、惡意篡改、攔截等活動以達到其不可告人目的的需求。這就要求用戶在使用網絡通信技術時要對網絡信息的傳遞與儲存環節盡量進行加密處理,保證密碼的多元化與復雜性能夠有效甚至從根本上解決信息在傳遞與儲存環節被黑客攻擊利用的威脅。當前在網絡通信過程中用戶可以選擇自身合適的加密方式對自身的信息進行加密處理,而網絡維護工作者也要根據實際情況加強對信息的加密設置。
2.3完善用戶身份驗證對用戶的身份進行有效的驗證是保障網絡通信信息安全的另一條重要途徑。在進行網絡通信之前對用戶身份進行嚴格驗證,確保是本人操作從而對用戶的私人信息進行充分有效的保護。當前,用戶的身份驗證主要是通過用戶名與密碼的“一對一”配對實現的,只有二者配對成功才能獲得通信權限,這種傳統的驗證方法能夠滿意一般的通信安全需求,但是在網絡通信技術發展速度不斷加快的背景下,傳統的身份驗證方法需要新的變化,諸如借助安全令牌、指紋檢測、視網膜檢測等具有較高安全性的方法進一步提升網絡通信信息安全水平。此外,在保障網絡通信信息安全的過程中還可以通過完善防火墻設置,增強對數據源及訪問地址惡意更改的監測與控制,從源頭上屏蔽來自外部網絡對用戶個人信息的竊取以及對計算機的攻擊。加強對殺毒軟件的學習與使用,定期對電腦進行安全監測,從而確保用戶自身的信息安全。
篇(2)
二、訪問控制
1.存取控制對于互聯網而言,存取控制是其安全理論中較為重要的組成部分。它涵蓋了風險分析、類型控制、權限控制以及數據標識和人員限制。它通常是與身份驗證一起使用,因為身份驗證可以通過數據標識對用戶特性進行區分,這樣才方便確定用戶的存取權限。2.身份驗證這種訪問控制技術一般是通過驗證一致性,來確定用戶是否具有訪問權限。它所需要驗證的數據又驗證依據和驗證系統以及安全要求,這種訪問控制技術被運用到計算機網絡中的時間相當早,而且一直沿用至今。
三、常見的攻擊手段和應對方法
(一)常見攻擊手段
1.盜取用戶口令這種網絡攻擊手段較為常見,它是通過一些非法手段盜取用戶口令,然后接入、登陸用戶主機,開始一些非法的操作、控制。2.設置特洛伊木馬程序特洛伊木馬程序是最常見的計算機病毒,它經常被偽裝成工具程序或者游戲誘引用戶打開該程序,如果用戶不經意間打開、運行了此類程序,被預先編制好了的病毒就會不露聲息的潛藏在計算機當中。當該用戶打開電腦后,特洛伊木馬程序就會通知攻擊者,修改計算機程序,竊取信息,通過這樣的方式來滿足不良企圖。3.網頁欺騙當前,有些人通過劫持網頁鏈接,來進行網頁欺騙。如果網頁鏈接被劫持,用戶在瀏覽自己想訪問的網頁時,就已經踏入了這些人所設計的欺騙陷阱。
(二)網絡攻擊應對策略
1.加強安全意識對于發件人不詳的電子郵件,不能隨意打開。對于不了解的程序,避免運行。設置用戶名和密碼的時候要盡量做到字母和數字混合搭配,避免使用生日等常規信息。這樣不容易被非法用戶破譯。作為合法用戶應該經常下載更新補丁程序和殺毒程序,維護系統安全。2.使用防毒、防黑等防火墻軟件防火墻是維護信息安全的屏障,它的功用在于組織黑客非法進入某個機構的內部信息網絡。使用防火墻,只需要在適當位置上組建網絡安全監控系統,并用此監控系統來控制內外信息交流,保證網絡信息的安全性。3.隱藏自己的IP地址IP地址非常重要。如果,在用戶還未察覺的狀態下,計算機上被安裝的木馬程序。但是如果黑客沒有該計算機的IP地址,那么對于信息安全的侵犯也是不能實施的。設置服務器是能夠非常有效的對自身IP起到保護作用。使用服務器能夠轉接所有來自外部的訪問申請,也可以控制特定用戶訪問特定服務器。4.定時升級更新防毒軟件,把防毒防黑當成日常工作。5.及時備份重要個人信息和資料。
四、網絡安全建設
(一)國外面對網絡威脅采取的主要對策
篇(3)
(1)個人信息的泄露。在網絡工程當中,對于系統硬件、軟件的相關維護工作還不夠完善,同時網絡通信當中的許多登錄系統需要借助遠程終端來完成,造成系統遠程終端和網絡用戶在用戶運用互聯網進入對應系統時存在長遠的連接點,當信息在進行傳輸時,這些連接點很容易引起黑客對用戶的入侵以及攻擊,使得用戶信息被泄露,個人信息安全得不到保障。
(2)網絡通信結構不完善。網間網的技術給網絡通信提供了技術基礎,用戶通過IP協議或TCP協議得到遠程授權,登錄相關互聯網系統,通過點與點連接的方式來進行信息的傳輸。然而,網絡結構間卻是以樹狀形式進行連接的,當用戶受到黑客入侵或攻擊時,樹狀結構為黑客竊聽用戶信息提供了便利。
(3)相關網絡維護系統不夠完善。網絡維護系統的不完善主要表現軟件系統的安全性不足,我們現在所使用的計算機終端主要是依靠主流操作系統,在長時間的使用下需下載一些補丁來對系統進行相關的維護,導致了軟件的程序被泄露。
2對于網絡通信中存在的信息安全問題的應對方案
對于上述的種種網絡通信當中存在的信息安全問題,我們應當盡快地采取有效的對策,目前主要可以從以下幾個方面入手:
(1)用戶應當保護好自己的IP地址。黑客入侵或攻擊互聯網用戶的最主要目標。在用戶進行網絡信息傳輸時,交換機是進行信息傳遞的重要環節,因此,用戶可以利用對網絡交換機安全的嚴格保護來保證信息的安全傳輸。除此之外,對所使用的路由器進行嚴格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。
(2)對信息進行加密。網絡通信中出現的信息安全問題主要包括信息的傳遞以及存儲過程當中的安全問題。在這兩個過程當中,黑客通過竊聽傳輸時的信息、盜取互聯網用戶的相關資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網絡通信當中信息的安全做出威脅。互聯網用戶如果在進行信息傳遞與存儲時,能夠根據具體情況選用合理的方法來對信息進行嚴格的加密處理,那么便可以有效地防治這些信息安全問題的產生。
(3)完善身份驗證系統。身份驗證是互聯網用戶進行網絡通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當中用戶需要注意的是要盡量將用戶名、密碼分開儲存,可以適當地使用一次性密碼,同時還可以利用安全口令等方法來保證身份驗證的安全。隨著科技的快速發展,目前一些指紋驗證、視網膜驗證等先進生物檢測方法也慢慢得到了運用,這給網絡通信信息安全提供了極大的保障。
篇(4)
任何軟件都有一定的生命周期,防火墻也有一定的生命周期,我們要正確的評估防火墻的使用效能,一旦防火墻失效,對網絡安全造成的后果無法想象。防火墻使用具有一定的級別,在被外界病毒等侵入時候具有一定的防御,我們在設置防火墻的功能時候要具有一定的科學性,當防火墻受到攻擊時候,能自動啟動防御功能,因此,我們在設置防火墻功能時候,要正確檢測防火墻是否失效功能要開啟,達到防火墻失效狀態正常評估。
1.2正確選擇、科學配置防火墻
防火墻功能的科學配置,是對網絡安全防御的重要保障,防火墻技術是網絡安全技術基于防火墻網絡安全技術的探究文/羅鵬 周哲韞進入新世紀以后,計算機網絡技術發展迅速,尤其Internet的發展應用,計算機網絡安全越來越重要,尤其一些政府部門網絡,科研等機構網絡如被黑客或病毒侵入,后果是非常嚴重的,在許多網絡安全技術應用中,防火墻技術室比較成熟的,本論文是從不同層面闡述防火墻網絡安全技術的應用。摘要中關鍵技術之一,在配置防火墻時候,要正確選擇,科學配置。防火墻技術是計算機網絡技術人才需要專門的培訓與學習,才能進行科學的配置,在配置防火時候具有一定的技巧,在不同環境,不同時期具有一定的應用,因此正確科學的配置防火墻沒有通式,必須在根據環境狀態下進行科學合理的配置,這樣才能使防火墻技術成為網絡安全技術中最后一道保障。
1.3有賴于動態維護
防火墻技術在網絡中應用,不是把防火墻軟件在計算機中安裝以后,進行一些配置以后就完事,管理員要對防火墻實時進行監控,看防火墻是否出現一些異常狀況,管理員還要與廠商經常保持密切聯系,是否有更新,任何在完美事物都有兩面性,要及時更新,彌補防火墻漏洞,防止計算機網絡被更新,因此防火墻技術是一種動態實時更新技術。
1.4搞好規則集的檢測審計工作
網絡安全技術最大的危險是自己,網絡管理員不能出現一點大意,在防火墻技術的應用過程中,要適時進行更新,彌補漏洞,還要定期進行一定的檢測和審計工作,用來評估網絡現在的安全性,以及在未來一段時間網絡的安全性,做好正確的評審工作,是網絡能長時間保持穩定的重要條件,實時檢測,實時維護是網絡安全的基本法則。
2防火墻網絡安全技術的實現方案
2.1設置內部防火墻,編制可靠的安全方案
在網絡安全防范的過程中,內部局域網一定要重視,當局域網中一臺機器出現病毒狀況,可能瞬間整個網絡出現癱瘓狀態,因此利用防火墻技術作為網絡安全的檢測,內部局域網防火墻要進行科學合理的設置,制定一個可行的安全方案,對整個局域網的網絡進行一定的保障。內部防火墻進行一定的分段,每個主機要有標準,但有一個統一的標準,標準時同樣的,這樣對網絡的檢測等有一定的依據,增強了網絡的安全性。
2.2合理設定外部防火墻,防范外網攻擊
經外部防火墻的設定,把內網同外網相分開,可防范外網攻擊行為。外部防火墻通過編制訪問策略,僅已被授權的主機方能訪問內網IP,使外網僅能訪問內網中同業務相關的所需資源。外部防火墻會變換地址,使外網無法掌握內網結構,阻斷了黑客攻擊的目標。外部防火墻的精確設定范圍要在內網和外網之間,防火墻對獲取的數據包加以剖析,把其中合法請求傳導到對應服務主機,拒絕非法訪問。
3防火墻技術的未來發展趨勢及前景
防火墻技術是網絡安全技術發展的必然產物,為不安全的網絡搭建一個安全的網絡平臺,網絡安全是不可預測的,防火墻技術也在日新月異的進行發展,防火墻技術的未來發展是廣泛的,能為網絡安全作出一定的貢獻,下面闡述一下防火墻技術的未來發展趨勢,引領網絡安全技術的發展。
3.1智能化
現在計算機的未來發展是網絡化、智能化,網絡安全問題的發展也比較快,對網絡安全的軟件要求也是越來越高,網絡上的病毒具有不可預見性,對防御病毒的軟件提出一個嶄新的要求,必須具有一定的智能化,就是防火墻自身具有很強的防御功能,不是人為的進行控制,智能化是網絡安全專家對防火墻技術的期盼,也是防火墻技術自身發展的需要,但防火墻技術實現智能化需要一定的時間,需要網絡安全專家不停努力的結果。
3.2擴展性能更佳
篇(5)
國際標準化組織(ISO)將網絡安全[2]定義為:為數據處理系統建立相應的安全保護措施,保護運行在網絡系統中的硬件、軟件以及系統中的數據不被黑客更改、破壞或者泄露,從而保證了網絡服務不中斷,使得系統可靠安全地運行.上述網絡安全的定義包含兩方面內容:物理安全和邏輯安全.其中物理安全是指在構建網絡系統的時候,保證物理線路能夠防雷、放火、防水、防盜等,能夠保證物理線路連續的進行數據傳輸.而邏輯安全通常指的是傳輸在網絡上數據的信息安全,即對網絡上傳輸信息的保密性、可用性和完整性的保護.另一方面,網絡安全性的涵義也可以理解成是信息安全的一種引申,即網絡安全是對網絡信息的保密性、可用性和完整性提供相應的保護.概括的說,可以將網絡安全定義為:為保證目前網絡中運行的系統、信息數據、信道傳輸數據和信息內容的安全而采取相應的措施,從而保證網絡中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性.
1.2網絡安全基本特征
網絡安全應具有保密性、可用性、可控性、可審查性、完整性等五個方面的特征.保密性:信息未經授權不泄露給任何用戶,而且信息的特性也具有保密性,其它非授權用戶、實體或過程無法利用其特征.可用性:用戶經過授權后可按需使用,即授權用戶當需要該信息時能否正常存取.網絡環境下常見的可用性的攻擊包括拒絕服務攻擊、破壞網絡或系統的正常運行等.可控性:對網絡中傳播的信息及其內容具有控制能力.可審查性:當網絡中出現安全問題時可提供相應的依據與手段,便于追蹤攻擊源.完整性:用戶未經授權不能隨意改變數據的特性,即信息在保存或者傳輸的過程中擁有不被修改、破壞或丟失的特性,保證了信息的完整性.
2校園網建設概述及其安全威脅
隨著互聯網的快速普及,校園網建設已經成為學校的基礎建設之一,教育信息化、數字化已經成為教育發展的主方向,校園網已成為學校日常教學、辦公、科研、管理、生活主要的工具和手段之一,并發揮著越來越重要的作用[3].另一方面,隨著國家科教興國戰略的實施,政府加強了對學校的投資,由此也加強了學校對校園網的建設.中國教育和科研計算機網(CER-NET)的成立,標志著教育網的形成.CERNET主干網絡傳輸速率已達到2.5Gpbs,總容量達40Gpbs,它吸引超過1000所高校的鼎力加盟,覆蓋全國超過200個城市.目前,大部分學校都已建成校園網,實現了校園網的整體覆蓋,包括辦公樓、教學樓、宿舍樓等.校園網同時與Internet對接,實現了校園辦公教學的信息化、自動化.如圖1所示,為一個簡單的校園網組網模型.隨著CERNET的建設不斷提高,校園網已經成為互聯網的重要組成部分之一,是學校信息化、數字化建設的基礎設施,同時擔任著科研與教學的重要任務.然而,目前國內大多數學校都缺乏對校園網建設的綜合規劃、缺乏相應的網絡管理措施、以及對校園網絡的認識不足,這些都極大阻礙了校園網的發展.因此合理地對校園網絡升級,是目前學校校園網工程的首要目標之一[4].同時,校園網作為學校數字化、信息化的基礎設施,安全問題不容忽視.在互聯網開放程度很高的今天,校園網往往最容易成為黑客攻擊的目標.威脅校園網安全的因素有很多,但主要的安全威脅有以下幾類.
2.1TCP/IP協議漏洞造成的威脅
現在互聯網上使用最多的協議就是TCP/IP協議了,這幾乎是所有校園網采用的網絡傳輸協議.TCP/IP協議在設計之初,就沒有考慮安全問題,它只考慮如何把信息互相傳輸,因此存在很大的安全威脅.雖然國際標準化組織提出的OSI七層協議能夠很好的保證網絡安全,但是由于TCP/IP協議的開放性和通用性幾乎占用了整個市場,使得OSI七層協議無法推廣.所以,目前網絡黑客針對TCP/IP漏洞攻擊有很多,例如:數據竊聽、源地址欺騙、ARP欺騙等等.
(1)數據竊聽(PacketSniff).TCP/IP協議從設計之初,就采取的是數據包明碼傳輸,這種傳輸模式使得數據包很容易被竊聽、修改和偽造.黑客可以利用一系列工具獲取網絡中正在傳輸的數據包,竊取用戶有利用價值的信息,如用戶賬戶和密碼等信息.同時,黑客也能修改和偽造數據包,讓用戶誤入釣魚網站或者竊取網上銀行信息,給用戶造成直接經濟損失.特別是在校園網中,數據包流通比較集中,一旦獲取了校園網服務器或管理員賬號信息,將會給校園網絡造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網絡安全中,一個比較重要的安全問題就是源地址欺騙.這里的源地址,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉發,信息會發生變化,而且在實際的網絡系統中,也有一定的限制,改造欺騙難度比較大,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機IP地址,騙取防火墻信任,從而對校園網內部發起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個完整的IP數據包中,通常只包含源地址和目的地址,即路由器可以知道數據包從哪個主機發送出來,將要到達哪個主機.源路由是指數據包將會列出所要經過的路由,路由器將會根據這些指定的路由將數據包送達相應的主機,然后根據其反向路由進行應答,從而實現主機之間的通信.而源路由選擇欺騙,則是攻擊者通過偽造主機源路由,讓數據包經過該主機必經路由,使受攻擊主機出現錯誤判斷,將某些被保護的數據提供給了攻擊者.另一方面,由于路由器一般對接收到的路由信息是不經過檢驗的,這樣就給攻擊者提供便利,攻擊者可以發送虛假數據包,改變某些重要數據包的傳遞路徑,使得數據在傳遞到正常主機前,即可抓取分析,從而也達到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協議還無法證明網絡身份的真實有效性,因此黑客可以偽造他人合法身份入侵到網絡系統或者獲取密鑰信息,從而達到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協議,作用是將網絡中的IP地址轉換成MAC物理地址的協議.因為在局域網中,尤其是在校園網中,使用最多的往往是MAC地址進行傳輸,而不是IP地址進行傳輸,所以ARP協議能夠很快的讓局域網中的兩臺主機進行通信.而黑客只需在局域網中進行網絡監聽,獲取到一臺主機A的節點信息(IP地址和MAC地址),就能偽造A的數據包,與B進行通信,獲取有用信息.另一方面,黑客可以偽造一個不存在的MAC地址在局域網內傳播,形成廣播風暴,這樣會造成網絡不通,給局域網造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務攻擊,攻擊者的目的是讓目標主機或網絡無法提供正常服務.因為TCP協議采用三次握手建立一次連接,而任何一次握手失敗,則會重新發送.攻擊者正是利用這一個協議漏洞,采取不斷建立連接,然后丟棄該連接數據包,使得服務器處于等待狀態,如果攻擊者一直持續連接和丟棄的過程,則服務器和網絡所有的資源會被完全消耗,導致計算機或網絡無法正常工作,從而達到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊,即分布式拒絕服務攻擊,它是指攻擊者借助一系列工具或手段,聯合多個計算機組成攻擊平臺,對一個或數個目標發動DoS攻擊.最基本的DoS是利用合法的服務請求,占用攻擊目標主機大量服務資源,使得正常用戶無法訪問.然而DoS服務需要占用大量帶寬,單個計算機攻擊肯定無法達到攻擊者想要的目標.因此網絡黑客會抓取網絡“肉雞”,集合大量網絡帶寬,組成龐大的攻擊平臺,可以在瞬間讓被攻擊目標處于癱瘓狀態.
(8)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號,形成一個TCP封包,對網絡中可信節點進行攻擊.而且最重要的是,黑客可能利用偽造的TCP封包發動SYN攻擊,讓服務器無法完成三次握手,造成服務器開放大量等待端口,影響正常網絡訪問,嚴重時,可直接造成服務器死機,如果該服務器是WEB服務器或者DNS服務器,那么可能導致網站主頁無法鏈接或者校園網內部用戶無法訪問外部網絡.
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協議是Internet控制報文協議,它屬于TCP/IP協議下的一個子協議,用于在IP主機和路由器之間傳遞控制消息.其中控制消息是指網絡是否暢通、主機是否可連接、路由是否可用等一系列消息,它對數據傳輸有很重要的作用.而ICMP攻擊是指利用操作系統ICMP的尺寸大小不得超過64KB這一規定,發動“PingofDeath”攻擊,當主機ICMP數據包尺寸超過64KB時,主機會發生內存分配錯誤,導致TCP/IP堆棧崩潰,使得目標主機死機.雖然操作系統通過取消ICMP數據包大小限制來解決該漏洞,但是向目標主機發動持續、大規模的ICMP攻擊,會消耗主機CPU、內存等資源,嚴重時也會導致目標主機癱瘓,無法提供正常服務.
2.2漏洞威脅
軟件和操作系統是由程序員編寫的,而在開發的過程中,多多少少會存在各種各樣的漏洞問題,這些漏洞如果不能及時修復,將會對主機造成重大安全威脅.一旦該主機被攻破,同時也會給該主機處在的局域網中的其它機器造成威脅,情況嚴重時,甚至會造成整個網絡癱瘓.近幾年來,無論是Windows操作系統,還是Linux操作系統,的補丁數目一直持續增加.特別是Windows操作系統,在校園網內擁有的用戶眾多,如果沒能及時修復各種漏洞,勢必會影響整個校園網安全.
2.3病毒、木馬威脅
近些年來,隨著互聯網的普及,網絡上各種各樣的開源軟件繁多,有些開源軟件打著免費的旗號,暗留后門或者對操作系統植入木馬,稍不注意,就會對整個系統造成重大影響.同時,網絡上黑客也會主動攻擊,種植木馬,抓取網絡肉雞,作為自己攻擊的跳板,對互聯網上其它的計算機造成嚴重威脅.
2.4初級黑客攻擊
校園網因為自身局限性,其網絡管理水平無法與企業相比,因此很容易受到網絡上初級黑客的攻擊,作為他們試手的目標.另外一方面,互聯網出現的一系列黑客教程、黑客工具,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡單,這讓許多初級黑客也能在一段時間內對網絡造成嚴重的攻擊.且根據心理學研究分析,很多普通攻擊者往往有炫耀心理,即把校園網作為自己攻擊的目標,以獲取所謂的成功感,這讓校園網增加更多的威脅.
3目前校園網網絡建設中存在的主要安全問題
目前在校園網網絡建設中主要存在的安全問題分為人為因素導致的安全問題和非人為因素導致的安全問題.
3.1人為因素導致的網絡安全問題
3.1.1校園網用戶數量龐大
校園網內用戶量眾多且處在同一個局域網中,同時,校園網內服務器數量也是別的局域網不能比擬的.用戶量加上數目可觀、功能強大的服務器,這些條件也吸引著互聯網上眾多黑客的攻擊,因此存在著很大的安全隱患.
3.1.2校園網用戶安全意識低
根據調查研究發現,校園網的用戶大部分都安全意識不強,用戶計算機整體水平偏低,有一部分校園網用戶基本上不安裝殺毒軟件,也沒能及時給系統打補丁,系統處于“裸奔”狀態.這對于當今如此開放的互聯網,將直接為黑客提供攻擊目標.而且校園網用戶極少學習相應的安全防范知識,在下載和使用軟件時,基本上不考慮其風險性,這些都將會給黑客制造攻擊機會,影響整個校園網安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權用戶,它在一定程度上破壞了計算機系統的保密性.目前,常見的信息泄密有:操作系統漏洞、流氓軟件、網絡監聽、病毒、木馬、業務流分析、網絡釣魚、電磁、物理入侵、射頻截獲、非法授權、計算機后門程序.
3.1.4拒絕服務攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計算機停止提供服務,讓合法的信息或資源訪問被拒絕或者嚴重推遲.常見的DoS攻擊有:SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統漏洞、病毒、木馬、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網絡濫用
由于授權的用戶因操作或行為不當,導致網絡濫用,從而導致網絡安全威脅,例如非法外聯、非法內聯、設備濫用、業務濫用、移動風險等等.
3.2非人為因素導致的網絡安全問題
網絡安全除去人為因素外,很大一部分安全威脅來自安全工具和操作系統自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應用范圍和環境,同時安全工具受到人為因素、系統漏洞、程序BUG的影響,這些因素反而給攻擊者帶來了一定的便利.對于操作系統而言,沒有絕對安全的操作系統,無論是微軟的Windows系列操作系統,還是開源的Linux操作系統,都有存在后門或漏洞的可能.世界上沒有絕對安全的操作系統,因此在搭建校園網時,要選擇安全性盡可能高的操作系統,而且要隨時提供校園網用戶漏洞補丁下載,以及殺毒軟件,保證用戶系統安全性始終最高.由上所述,我們可以說網絡安全問題絕大部分是由人為因素引起的.現在,國家也制定了相應的法律來保護網絡安全,打擊相應的網絡犯罪活動.但是校園網作為一個龐大的用戶群,如何防范這些網絡犯罪活動顯得尤為重要.我們不能等著整個網絡被攻擊導致癱瘓后再想著去防范,而是要在攻擊之前做好準備工作,讓校園網在安全中運行.
4加強校園網網絡安全建設的對策和建議
加強校園網網絡安全建設主要從以下幾個方面來進行.
4.1應重視校園網網絡的安全搭建
在校園網工程的建設中,網絡系統的搭建是屬于弱電工程,它的耐壓值比較低.由此,在校園網工程的設計和建設中,一定要首先考慮人以及網絡中物理設備的防火、防電以及防雷等安全問題;考慮網絡中布線系統與通信線路、照明線路、動力線路、空氣對流管道以及暖氣管道之間的距離;考慮網絡中物理電路的接地安全;考慮建設合理的防雷系統,保證建筑物、計算機以及其它物理設備的防雷[6].
4.2應加強校園網網絡的安全維護技術
從技術層面來說,網絡安全主要是由防火墻系統、入侵檢測系統、病毒監測系統等多個安全組件組成,單獨的一個組件是無法保證當前網絡信息安全的.最早的網絡安全技術是采用邊界閾值控制法,即通過對網絡邊界的數據包進行監測,符合規定的數據包可通過,不符合規定的數據包就拋棄,這種方式在一定程度上能阻止對網絡的入侵和攻擊,但是不能有效防止網絡攻擊.目前,應用比較廣泛的網絡安全基本技術有:防火墻技術、防病毒技術、數據加密技術等.防火墻[7]指的是一個由硬件和軟件混合組成的設備,用于將內部網絡和外部網絡隔離起來,建立一層安全保護屏障,它是一種隔離控制技術.常見的防火墻有包過濾技術、技術、狀態監測技術等.相對于防火墻來說,防病毒技術將是從計算機網絡內部進行防控,主要預防病毒程序、后門程序、網絡監聽等.目前采取比較多的防病毒手段是對系統進行監聽,阻止不合規定進程.而且防病毒技術永遠是滯后性的,即防病毒工具一直在病毒出現后才能組織.現在的防病毒技術和云平臺技術結合,已經對病毒起到了一定的控制作用.相對前面兩種技術來說,數據加密技術就比較靈活了.可以將用戶的信息經過加密后,再在網絡上傳輸,及時數據被黑客截獲,沒有有效的密鑰,數據對黑客來說也只是一堆無效數據而已.在開放的互聯網平臺,數據加密能夠有效的保證了用戶的隱私以及數據的安全[8].
4.3應建立科學的校園網網絡管理人員崗位職責
計算機網絡安全絕大部分是人為因素引起的.因此在校園網搭建過程中,關于對計算機系統管理員的培訓及管理,是校園網網絡安全中最重要的一部分.一個不合理的操作,很有可能讓整個網絡系統癱瘓,因此必須建立健全管理規范,明確管理員責任和權利.同時,要記錄管理員操作信息,當發現不合規定的記錄時,可以及時分析,如果發現黑客入侵,則及時采取必要措施杜絕黑客進一步入侵,必要時需向當地公安機關報案,減少學校損失.另外一方面,建立健全的管理制度以及嚴格的管理模式,可以保證校園網的正常、安全運行.總而言之,網絡安全涉及的領域很多,是一個綜合性的問題.只有合理的運用相關技術以及人員培訓,才能盡最大可能的把安全威脅降到最低.
篇(6)
計算機系統的正常運行以計算機操作系統程序為主要依據,與之相關的各類程序也必須以此為標準,操作系統理所當然地成為了計算機系統中的基本程序。計算機操作系統具有較強的拓展性,開發商很容易完成計算機系統的開發工作。但是,在優化和升級計算機系統的過程中,相關操作技術仍存在較大問題,這是計算機技術快速發展的難點,也是黑客入侵計算機系統的主要切入點。
1.2計算機病毒安全問題
計算機一旦受到病毒的入侵,將會出現嚴重的運行問題,如系統癱瘓、傳輸數據失真以及數據庫信息丟失等。計算機病毒具有典型的潛伏性、傳染性、隱蔽性和破環性,目前,計算機病毒種類主要有以下四種:第一,木馬病毒。該類病毒的主要目的是竊取計算機上的數據信息,具有典型的誘騙性;第二,蠕蟲病毒。熊貓燒香是該類病毒的典型代表,以用戶計算機上出現的漏洞為切入點,綜合使用攻擊計算機終端的方式控制計算機系統,該病毒具有較強的傳播性和變異性;第三,腳本病毒。該病毒主要發生在互聯網網頁位置;第四,間諜病毒。要想提升某網頁的訪問量,強制要求計算機用戶主頁預期鏈接。伴隨著科技的發展,計算機網絡應用范圍不斷擴大,各種類型病毒的破壞性也隨之增加。
1.3黑客
通過網絡攻擊計算機目前,我國仍存在著大量非法人員對計算機系統進行攻擊等行為,這類人員大都掌握著扎實的計算機和計算機安全漏洞技術,對計算機用戶終端與網絡做出強有力的破壞行為是他們的主要目的。黑客攻擊計算機網絡的主要形式有三種:第一,利用虛假的信息攻擊網絡;第二,利用木馬或者病毒程序對計算機用戶的電腦進行控制;第三,結合計算機用戶瀏覽網頁的腳本漏洞對其進行攻擊。
2計算機網絡安全技術在企業網中的應用
2.1防火墻技術
防護墻技術是計算機網絡安全技術在企業網中應用的主要表現形式之一。防火墻技術的應用能夠從根本上解決計算機病毒安全問題,在實際應用過程中,計算機網絡安全中心的防火墻技術被分為應用級防火墻和包過濾防火墻兩種形式。其中應用型防護墻的主要目的是保護服務器的安全,在掃描終端服務器的數據后,如果發現有意或者不合常理等攻擊行為,系統應該及時切斷服務器與內網服務器之間的交流,采用終端病毒傳播的方式保護企業網的安全。包過濾防火墻的主要工作任務是及時過濾路由器傳輸給計算機的數據信息,這種過濾手段可以阻擋病毒信息入侵計算機系統,并第一時間內通知用戶攔截病毒信息,為提高企業網的安全性提供技術保障。下圖1是企業網防護墻配置示意圖。Intranet周邊網絡InternetInternet防火墻周邊防火墻內部網絡服外部網絡務器服務器圖1防火墻配置
2.2數據加密技術
數據加密技術是計算機網絡安全技術在企業網中應用的另一種表現形式。在企業發展建設過程中,要想提高企業發展信息的安全性和可靠性,企業必須在實際運行的計算機網絡中綜合使用數據加密技術。數據加密技術要求將企業網內的相關數據進行加密處理,在傳輸和接收數據信息的過程中必須輸入正確的密碼才能打開相關文件,這為提高企業信息的安全性提供了技術保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種,其中對稱加密算法中使用的加密和加密信息保持一致,非對稱加密算法中加密方法和解密方法存在較大的差異,通常很難被黑客破解,這兩種加密形式在企業網中均得到了廣泛應用。
2.3病毒查殺技術
病毒查殺技術是計算機網絡安全技術在企業網中應用的表現形式之一。病毒對計算機安全有極大的威脅,該技術要求企業技術對計算機操作系統進行檢測和更新,減少系統出現漏洞的頻率;杜絕用戶在不經允許的情況下私自下載不正規的軟件;安裝正版病毒查殺軟件的過程中還應該及時清理病毒數據庫;控制用戶瀏覽不文明的網頁;在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理,確定文件的安全性后才能投入使用。
2.4入侵檢測技術
入侵檢測技術在企業網安全運行中發揮著至關重要的作用,其作用主要表現在以下幾方面:第一,收集計算機操作系統、網絡數據及相關應用程序中存在的信息數據;第二,找尋計算機系統中可能存在的侵害行為;第三,自動發出病毒侵害報警信號;第四,切斷入侵途徑;第五,攔截入侵。入侵檢測技術在企業網中的應用具有較強的安全性特征,該技術的主要任務是負責監視企業網絡運行狀況,對網絡的正常運行不會產生任何影響。入侵檢測技術使用的網絡系統以基于主機系統和基于網絡的入侵系統為主。基于主機系統的入侵檢測技術主要針對企業網的主機系統、歷史審計數據和用戶的系統日志等,該檢測技術具有極高的準確性,但是,實際檢測過程中很容易引發各種問題,如數據失真和檢測漏洞等;基于網絡入侵檢測技術以其自身存在的特點為依據,以網絡收集的相關數據信息為手段,在第一時間將入侵分析模塊里做出的測定結果發送給網絡管理人,該技術具有較強的抗攻擊能力、能在短時間內做出有效的檢測,但是,由于該技術能對網絡數據包的變化狀況進行監控,在實際過程中會給加密技術帶來一定程度影響。入侵檢測技術在企業網的應用過程中通常表現為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經確定的入侵模式為主,在實際檢測過程中,該檢測方法具有響應速度快和誤警率低等特點,但是,該檢測技術需要較長的檢測時間為支撐,實際耗費的工作量比較大。異常檢測的主要對象是計算機資源中用戶和系統非正常行為和正常行為情況,該檢測法誤警率較高,在實際檢測過程中必須對整個計算機系統進行全盤掃描,因此,必須有大量的檢測時間作支撐。
篇(7)
計算機網絡工程是由通信線路、通信設備、計算機相互連接而構成的具有遠程通信與遠程數據傳輸等功能的數據通信和資源共享系統。計算機網絡工程中無論是局域網、廣域網、城域網或者是互聯網都與網絡工程硬件設備密不可分,其網絡連計算機網絡工程物理硬件設備安全問題涉及到兩個方面,一方面是硬件功能是否正常工作方面的安全問題,另一方面是物理攻擊方便的問題。在計算機網絡完成數據通信和資源共享時,由于自然因素或者是人為因素造成硬件設備出現故障所導致不能正常應用的問題。物理攻擊是黑客通過計算機硬件漏洞進行攻擊,通過網絡TCP/IP等硬件接口漏洞控制計算機BIOS以至于導致計算機出現死機、藍屏、黑屏等問題。
1.2計算機網絡工程系統安全問題
目前,計算機系統并不安全,常見的計算機系統漏洞主要包括:RDP漏洞、VM漏洞和UPNP服務漏洞等,并且計算機系統漏洞不斷的被挖掘,這導致我們計算機應用安全面臨著嚴重的威脅。
1.3網絡病毒安全問題
計算機病毒是由編程人員在軟件中或者是數據中插入破壞計算機系統及數據的代碼,這類代碼具有寄生性、隱藏性、傳染性和潛伏性,常見的計算機病毒包括引導區病毒、文件寄生病毒、宏病毒、腳本病毒、蠕蟲病毒、特洛伊木馬等。
1.4黑客攻擊安全問題
目前有一類專門針對于計算機網絡進行攻擊的犯罪人員,這類人可以分為兩種,一種是以攻擊和破壞他人網絡系統和計算機,竊取他人機密數據為盈利目的,另一種是以破壞網絡系統為樂趣,證明自身破壞能力,這兩種人被統稱為“黑客”。
2計算機網絡工程安全對策
以技術手段進行計算機網絡工程安全防范,首先需要建立計算機網絡工程安全評估機制,利用系統工具對計算機網絡工程漏洞進行掃描,計算機漏洞掃描一方面挖掘計算機網絡工程可能存在的漏洞,另一方面可發現系統中的薄弱環節。計算機網絡工程安全評估需要定期進行的,因為隨著計算機應用的不斷發展,計算機網絡工程漏洞隨時會增加,一次安全評估只能代表某一時刻的評估結果,也許下一秒就會出現新的漏洞。計算機網絡工程安全評估機制建立。計算機網絡工程安全評估可以依據已經發現的網絡漏洞建立數據庫進行比對掃描分析,漏洞數據庫中包含了最新的已經發現的計算機網絡工程漏洞,并且能夠通過漏洞的關聯性挖掘可能存在薄弱的環節,通過對漏洞的分析,作出相應的修補方案,并通過反復的試驗最終修補漏洞,并重新做安全評估。于計算機用戶疏于安全應用防范意識,導致個人信息被竊取或者是財產受到損失的事件時有發生,這主要是因為計算機用戶對計算機網絡的使用不夠了解,對計算機網絡漏洞認知度不夠,一些用戶認為計算機中安裝了殺毒軟件和防火墻就可以完全安全上網,對網絡上的資源不認真辨別就進行下載,甚至認為如果遇到病毒殺毒軟件和防火墻一定會替他攔截的,但是,一些高危的病毒和木馬往往偽裝成應用程序或者是依附于下載資源,殺毒軟件和防火墻很難甄別,這就導致不法分子利用計算機的漏洞獲取到用戶的信息資源。因此,提高計算機用戶自我防范意識是計算機漏洞處置措施中的重要環節,用戶在下載或者安裝軟件過程中,要時刻警惕,安裝軟件過程中,一些選擇性安裝的插件如不需要無需勾選,如安裝軟件過程中發現問題,立即停止安裝。在網絡上下載資源時要到正規網站下載,如有提示“風險”謹慎下載。
篇(8)
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技
術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
摘要:隨著“校校通”工程的深入實施,校園網作為學校重要的基礎設施,擔負著學校教學、教研、管理和對外交流等許多重要任務。校園網的安全問題,直接影響著學校的教學活動。文章結合十幾年來校園網絡使用安全及防范措施等方面的經驗,對如何加強校園網絡安全作了分析和探討。
關鍵詞:校園網;網絡安全;防范措施;防火墻;VLAN技術
校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
篇(9)
一、無線網絡安全問題的表現
1.1插入攻擊插入攻擊以部署非授權的設備或創建新的無線網絡為基礎,這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業建筑物內部,他們可以使用網絡掃描器,如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網絡,這種活動稱為“wardriving”;走在大街上或通過企業網站執行同樣的任務,這稱為“warwalking”。
1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段,創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害,但它卻可以構造出一個無保護措施的網絡,并進而充當了入侵者進入企業網絡的開放門戶。
1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”,雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然后竊取個別網絡的數據或攻擊計算機。
1.5竊取網絡資源有些用戶喜歡從鄰近的無線網絡訪問互聯網,即使他們沒有什么惡意企圖,但仍會占用大量的網絡帶寬,嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件,或下載盜版內容,這會產生一些法律問題。
1.6對無線通信的劫持和監視正如在有線網絡中一樣,劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況,一是無線數據包分析,即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶,并劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視,這種監視依賴于集線器,所以很少見。
二、保障無線網絡安全的技術方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對不同無線網絡的識別,類似我們的手機識別不同的移動運營商的機制。參數在設備缺省設定中是被AP無線接入點廣播出去的,客戶端只有收到這個參數或者手動設定與AP相同的SSID才能連接到無線網絡。而我們如果把這個廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡的。需要注意的是,如果黑客利用其他手段獲取相應參數,仍可接入目標網絡,因此,隱藏SSID適用于一般SOHO環境當作簡單口令安全方式。
2.2MAC地址過濾顧名思義,這種方式就是通過對AP的設定,將指定的無線網卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數據包都會做出判斷,只有符合設定標準的才能被轉發,否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網絡,一般SOHO,小型企業工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經過WIFI認證的設備都支持該安全協定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數據不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼,部署比較麻煩;使用靜態非交換式密鑰,安全性也受到了業界的質疑,但是它仍然可以阻擋一般的數據截獲攻擊,一般用于SOHO、中小型企業的安全加密。
2.4AP隔離類似于有線網絡的VLAN,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網絡。該方法用于對酒店和機場等公共熱點HotSpot的架設,讓接入的無線客戶端保持隔離,提供安全的Internet接入。
2.5802.1x協議802.1x協議由IEEE定義,用于以太網和無線局域網中的端口訪問與控制。802.1x引入了PPP協議定義的擴展認證協議EAP。作為擴展認證協議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規格802.11i之前的過渡方案,也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP(TemporalKeyIntegrityProtocol),這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協議,而且TKIP加密仍不能滿足高端企業和政府的加密需求,該方法多用于企業無線網絡部署。
2.7WPA2WPA2與WPA后向兼容,支持更高級的AES加密,能夠更好地解決無線網絡的安全問題。由于部分AP和大多數移動客戶端不支持此協議,盡管微軟已經提供最新的WPA2補丁,但是仍需要對客戶端逐一部署。該方法適用于企業、政府及SOHO用戶。
篇(10)
數據安全和隱私數據是用戶考慮是否采用云計算模式的一個重要因素。安全保護框架方面,最常見的數據安全保護體系是DSLC(DataSecurityLifeCycle),通過為數據安全生命周期建立安全保護體制,確保數據在創建、存儲、使用、共享、歸檔和銷毀等六個生命周期的安全。Roy等人提出了一種基于MapReduce平臺的隱私保護系統Airavat,該平臺通過強化訪問控制和區分隱私技術,為處理關鍵數據提供安全和隱私保護。靜態存儲數據保護方面,Muntes-Mulero等人對K匿名、圖匿名以及數據預處理等現有的隱理技術進行了討論和總結,提出了一些可行的解決方案。動態存儲數據保護方面,基于沙箱模型原理,采用Linux自帶的chroot命令創建一個獨立的軟件系統的虛擬拷貝,保護進程不受到其他進程影響。
1.2虛擬化云安全技術
虛擬化技術是構建云計算環境的關鍵。在云網絡中,終端用戶包括潛在的攻擊者都可以通過開放式的遠程訪問模式直接訪問云服務,虛擬機系統作為云的基礎設施平臺自然成為這些攻擊的主要目標。虛擬機安全管理方面:Garfinkel等人提出在Hypervisor和虛擬系統之間構建虛擬層,用以實現對虛擬機器的安全管理。訪問控制方面:劉謙提出了Virt-BLP模型,這一模型實現了虛擬機間的強制訪問控制,并滿足了此場景下多級安全的需求。Revirt利用虛擬機監控器進行入侵分析,它能收集虛擬機的信息并將其記錄在虛擬機監控器中,實時監控方面LKIM利用上下文檢查來進行內核完整性檢驗。
1.3云安全用戶認證與信任研究
云網絡中存在云服務提供商對個人身份信息的介入管理、服務端無法解決身份認證的誤判,以及合法的惡意用戶對云的破壞等問題,身份認證機制在云網絡下面臨著諸多挑戰。Bertino提出了基于隱私保護的多因素身份屬性認證協議,采用零知識證明協議認證用戶且不向認證者泄露用戶的身份信息。陳亞睿等人用隨機Petri網對用戶行為認證進行建模分析,通過建立嚴格的終端用戶的認證機制以及分析不同認證子集對認證效果的影響,降低了系統對不可信行為的漏報率。林闖、田立勤等針對用戶行為可信進行了一系列深入的研究和分析,將用戶行為的信任分解成三層,在此基礎上進行用戶行為信任的評估、利用貝葉斯網絡對用戶的行為信任進行預測、基于行為信任預測的博弈控制等。
1.4安全態勢感知技術
自態勢感知研究鼻祖Endsley最早提出將態勢感知的信息出路過程劃分為察覺、理解、預測三個階段后,許多的研究學者和機構在此基礎上開始進行網絡安全臺式感知,其中最著名的是TimBass提出的基于數據融合的入侵檢測模型,一共分為六層,包括數據預處理、對象提取、狀態提取、威脅提取、傳感控制、認知和干預,全面的將安全信息的處理的階段進行了歸納。網絡安全態勢感知框架模型方面:趙文濤等人針對大規模網絡環境提出用IDS設備和系統狀態監測設備代替網絡安全態勢感知中的傳感器,用于收集網絡安全信息,并從設備告警和日志信息中還原攻擊手段和攻擊路徑,同時利用圖論基礎建立的認知模型。網絡安全態勢感知評估方面:陳秀真利用系統分解技術將網絡系統分解為網絡系統、主機、服務、脆弱點等四個層次,利用層次間的相關安全信息,建立層次化網絡系統安全威脅態勢評估模型,綜合分析網絡安全威脅態勢。之后該架構做出了改進,量化了攻擊所造成的風險,同時考慮了弱點評估和安全服務評估兩種因素,加入了網絡復雜度的影響因素,該框架更加體現網絡安全態勢真實情況。
2研究現狀中存在的不足
以上這些研究對全面推動云安全技術的迅猛發展具有重要的作用。但是目前的研究,對幾個領域還存在不足:(1)云網絡中虛擬機間因關聯而引起的安全威脅較為忽視;(2)云網絡中可信計算與虛擬化的結合研究不足;(3)云網絡環境下云/端動態博弈狀態下安全方案和策略研究較少;(4)云網絡下安全態勢感知鮮有研究。我們須知云網絡最大的安全問題在于不可信用戶利用云平臺強大的計算能力及其脆弱性發動極具破壞力的組合式或滲透式攻擊,而這種攻擊要比在局域網上的危害大得多,因此在這方面需要投入更多的關注,即:立足于某個特定的“云網絡”系統,剖析不可信用戶和網絡自身脆弱性所帶來的風險,時刻預測網絡上的風險動向。要做到這一點,就要對云網絡中終端用戶的訪問行為和云網絡的服務行為進行實時觀測,實時評估。
