時間:2023-09-20 16:57:33
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇常見的網(wǎng)絡安全防護手段,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
醫(yī)院信息化建設(shè)中網(wǎng)絡安全存在技術(shù)因素與人為因素的干擾,需要針對各醫(yī)院實際情況做管理制度的完善健全,提升技術(shù)手段,規(guī)范管理細節(jié)措施,提升全體人員對網(wǎng)絡安全維護的意識與能力,從而有效的保證醫(yī)院信息化建設(shè)的高效化、安全化,有序化。
關(guān)鍵詞:
醫(yī)院;信息化建設(shè);網(wǎng)絡安全;防護
醫(yī)院信息化建設(shè)不斷加快與成熟,促使整體的醫(yī)療診治水平提升,保證了診療工作的準確與效率。但是隨著信息化的普遍性,相關(guān)網(wǎng)絡管理工作也日益復雜,尤其是我國惡意軟件與不良網(wǎng)絡攻擊情況嚴重,導致醫(yī)院網(wǎng)絡安全管理存在較大的威脅。網(wǎng)絡安全是醫(yī)院信息化建設(shè)中的重要工作,是保證信息化工作開展的基本保障。
1醫(yī)院信息化建設(shè)中的常見安全隱患
1.1技術(shù)因素
醫(yī)院信息化建設(shè)中,會廣泛的涉及到服務器、客戶端、鏈路、軟件系統(tǒng)、存儲與網(wǎng)絡設(shè)備等多種構(gòu)成元素。醫(yī)院信息化建設(shè)有效的提升了整體的診療水平,提高工作效率與便捷性,但是網(wǎng)絡安全問題也日益突出,相關(guān)信息資源的泄露或者系統(tǒng)攻擊都極大的威脅了信息化建設(shè)的有序開展。在安全管理中,物理性環(huán)境安全、操作系統(tǒng)安全、數(shù)據(jù)備份安全等都是網(wǎng)絡系統(tǒng)建設(shè)的常見安全問題。而常規(guī)性的運用防火墻以及其他防病毒操作都無法有效的保證信息化平臺的安全性,容易引發(fā)數(shù)據(jù)泄露、損壞與丟失,進而干擾了醫(yī)院正常工作運轉(zhuǎn),甚至也對患者個人信息構(gòu)成泄露,急需要通過更強的防護技術(shù)來做保障。對于部分醫(yī)院而言,會簡單的認為設(shè)置一定安全防火墻就可以保障系統(tǒng)的安全性,甚至認為不需要其他安全防護來做安全保障,這主要是安全防護工作中缺乏與時俱進的先進意識,認識誤區(qū)較為明顯。而防火墻只是防護手段中的一種,能夠防御性的安全問題較為局限,對網(wǎng)絡內(nèi)部與旁路攻擊都無法達到理想的防護效果,同時針對內(nèi)容攻擊的問題也無法處理。部分設(shè)備中只是對攻擊行為進行警告,但是并不具備攻擊行為的防控能力。在數(shù)據(jù)庫升級中,可以到數(shù)據(jù)庫做用戶操作登錄記錄,可以達到操作源IP地址的定位,但是缺乏無法阻止其做惡性操作,例如對數(shù)據(jù)信息做惡意的竊取與篡改,甚至無法認定操作人員最終責任,因為賬戶登錄只需要賬戶與密碼就可以進行,但是這種登錄操作任何掌握信息的人都可以進行,無法達到全面的管控。此外,安全防護措施工作量大,操作復雜。在做IP與MAC地址綁定中,需要管理人員針對每臺交換機做操作,對綁定信息做逐條的輸入,工作負荷相對更大,操作缺乏高效便捷性。其次,如果有人懂得相關(guān)網(wǎng)絡基礎(chǔ)技術(shù),可以輕易的做到IP與MAC地址的變更,從而引發(fā)綁定操作失效。此外,醫(yī)院主機裝備了殺毒軟件,然而由于數(shù)量較多,不能有效的對每個主機做殺毒軟件的統(tǒng)一性管控,對于病毒庫的更新以及軟件的開啟等情況都無法做有效確定,相應的系統(tǒng)補丁也不能及時有效更新,進而導致安全防護效果不能確定。雖然醫(yī)院投入大量的財力與人力做好安全防護措施處理,但是實際上缺乏可執(zhí)行性,同時由于各設(shè)備間缺乏關(guān)聯(lián)性,從而對于實際效果無法做有效評估與管控,安全防護措施與手段的運用則流于形式。
1.2人為因素
醫(yī)院信息化建設(shè)更多的操作需要人為進行,因此人為因素是網(wǎng)絡安全管理的重要因素。醫(yī)院沒有將網(wǎng)絡安全明確到人,缺乏責任制管理,無論是安全管理人員還是普通工作人員,缺乏足夠的安全管理意識。沒有形成規(guī)范合理的信息系統(tǒng)建設(shè)制度規(guī)范,導致實際操作無章可循。沒有強效的安全檢查與監(jiān)督機制,同時也沒有專業(yè)的第三方機構(gòu)做安全性介入管理。相關(guān)工作人員缺乏專業(yè)資質(zhì)認定,對于網(wǎng)絡安全沒有展開合宜的宣傳教育,同時也缺乏對應工作與行為考核,導致工作人員缺乏應有的安全責任觀念。因為工作人員缺乏安全意識與專業(yè)的安全能力,會出現(xiàn)將個人電腦接入醫(yī)院內(nèi)部網(wǎng)絡,從而導致病毒攜帶入網(wǎng),導致相關(guān)信息化系統(tǒng)運行故障。或則將醫(yī)療業(yè)務網(wǎng)絡電腦與互聯(lián)網(wǎng)、外網(wǎng)連通,導致相關(guān)網(wǎng)絡中的病毒、木馬程序進入到醫(yī)院的內(nèi)部網(wǎng)絡,導致網(wǎng)絡病毒蔓延。工作人員會因為有職務的便利性,會訪問醫(yī)院有關(guān)數(shù)據(jù)庫,從而得到數(shù)據(jù)資料的竊取與篡改,進而導致相關(guān)經(jīng)濟損失。同時黑客會通過技術(shù)手段接入到醫(yī)院內(nèi)部網(wǎng)絡中,進行直接性的網(wǎng)絡攻擊,醫(yī)院與醫(yī)保網(wǎng)絡系統(tǒng)處于連通數(shù)據(jù)驗證操作所需,如果被攻擊則容易導致嚴重后果。
2醫(yī)院信息化建設(shè)中的網(wǎng)絡安全防護
2.1完善管理制度
醫(yī)院網(wǎng)絡運行保持安全性效果的基礎(chǔ)在于完善健全的制度管理,可以通過對醫(yī)院實際情況的了解,設(shè)置針對性安全管理操作制度、監(jiān)督制度、用人制度、激勵制度等多種內(nèi)容。確保所有有關(guān)工作的開展有章可循,提升操作的標準性、可執(zhí)行性。要不斷的強化制度的權(quán)威性,讓工作人員對此保持謹慎態(tài)度,避免安全疏忽。
2.2安全管理細節(jié)措施
醫(yī)院網(wǎng)絡管理需要多方面的細節(jié)措施來保證。例如為了保證服務器能夠可靠穩(wěn)定的持續(xù)工作,需要運用雙機容錯與雙機熱備對應方案,對于關(guān)鍵性設(shè)備需要運用UPS來達到對主備機系統(tǒng)的有效供電,確保供電電壓持續(xù)穩(wěn)定供應,同時避免突發(fā)事件。網(wǎng)絡架構(gòu)方面,需要將主干網(wǎng)絡鏈路采用冗余模式,這樣如果出現(xiàn)部分線路故障,其余的冗余線路可以有效繼續(xù)支持整個網(wǎng)絡的運轉(zhuǎn)。需要運用物理隔離處理來對相關(guān)信息數(shù)據(jù)傳輸設(shè)備保持一定的安全防護,避免其他非專業(yè)人員或者惡意破壞人員對設(shè)備進行破壞,需要做好業(yè)務內(nèi)網(wǎng)與外網(wǎng)連通的隔離,避免網(wǎng)絡混合后導致的攻擊影響或者信息泄露。對于醫(yī)院內(nèi)部的信息內(nèi)容,需要做好數(shù)據(jù)與系統(tǒng)信息的備份容災體系構(gòu)建,這樣可以有效的在機房失火或者系統(tǒng)運行受到破壞時快速的恢復系統(tǒng)運行。要展開網(wǎng)絡系統(tǒng)的權(quán)限設(shè)置,避免違規(guī)越權(quán)操作導致系統(tǒng)信息數(shù)據(jù)的修改有著竊取,要做好數(shù)據(jù)庫審計日志,對于相關(guān)數(shù)據(jù)做動態(tài)性的跟蹤觀察與預警。
2.3技術(shù)手段升級
在網(wǎng)絡安全防護措施上需要保持多樣化與多層次的防護管理,積極主動的尋找管理漏洞,有效及時的修補管理不足。對網(wǎng)絡設(shè)備做好殺毒軟件的有效管控,建立內(nèi)外網(wǎng)間的防火墻,限制網(wǎng)絡訪問權(quán)限,做好網(wǎng)絡攻擊預警與防護處理。對于網(wǎng)絡系統(tǒng)各操作做有效記錄跟蹤,最安全漏洞做到及時發(fā)現(xiàn)并修復。要投入足夠人力與財力,優(yōu)化工作人員技術(shù)水平,從而有效的保證技術(shù)手段的專業(yè)完善性。
結(jié)束語
醫(yī)院信息化建設(shè)中網(wǎng)絡安全需要醫(yī)院所有人員的配合,提升安全意識,規(guī)范安全管理制度與行為,確保網(wǎng)絡安全的有序進行。
作者:梁子 單位:廣州市番禺區(qū)中心醫(yī)院
參考文獻
[1]李騫.醫(yī)院信息化建設(shè)中的網(wǎng)絡安全與防護措施探析[J].網(wǎng)絡安全技術(shù)與應用,2015(9):43,45.
關(guān)鍵詞:網(wǎng)絡工程;安全防護;防護技術(shù)
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)21- 4790-02
隨著我國社會經(jīng)濟的發(fā)展,信息化建設(shè)也發(fā)展較快,現(xiàn)代通信技術(shù)日新月異。通信網(wǎng)絡的推廣和普及使人們改變了信息交流的方式,逐漸成為人們?nèi)粘I钚畔@取和交流的主要途徑。近年來,我國互聯(lián)網(wǎng)行業(yè)的飛速發(fā)展帶來了兩個方面的影響,一方面方便了人們的工作和生活,另一方面由于計算機網(wǎng)絡的開放性、互聯(lián)性以及分散性等特點,使得網(wǎng)絡工程中還不同程度地存在著一些安全隱患,威脅著網(wǎng)絡工程的通信網(wǎng)絡環(huán)境。網(wǎng)絡安全防護是一種網(wǎng)絡安全技術(shù),加強網(wǎng)絡工程中安全防護技術(shù),有利于保障通信網(wǎng)絡安全暢通。因此,研究網(wǎng)絡工程中的安全防護技術(shù)具有十分重要的現(xiàn)實意義。鑒于此,筆者對網(wǎng)絡工程中的安全防護技術(shù)進行了初步探討。
1 網(wǎng)絡工程安全存在的問題分析
當前,網(wǎng)絡工程安全現(xiàn)狀不容樂觀,還存在著諸多亟待解決的問題,這些問題主要表現(xiàn)在黑客的威脅攻擊、計算機病毒入侵、IP地址被盜用、垃圾郵件的泛濫和計算機系統(tǒng)風險五個方面,其具體內(nèi)容如下:
1.1 黑客的威脅攻擊
黑客的威脅攻擊是網(wǎng)絡工程安全中存在的問題之一。黑客最早源自英文hacker,從黑客的定義上來看,黑客是指利用系統(tǒng)安全漏洞對網(wǎng)絡進行攻擊破壞或竊取資料的人。一般來說,黑客在對網(wǎng)絡工程進行攻擊時,按黑客攻擊的方式分類主要有兩種攻擊方式,即非破壞性攻擊和破壞性攻擊。非破壞性攻擊通常為了擾亂系統(tǒng)的運行,將阻礙系統(tǒng)正常運行作為目的, 并不盜竊系統(tǒng)資料,用拒絕服務和信息炸彈對系統(tǒng)進行攻擊;破壞性攻擊以侵入電腦系統(tǒng)、盜竊系統(tǒng)保密信息為目的,黑客會破壞電腦系統(tǒng)。
1.2 計算機病毒入侵
計算機病毒入侵在一定程度上制約著網(wǎng)絡工程安全的發(fā)展。計算機病毒具有破壞性,復制性和傳染性等特點,計算機病毒不是天然存在的,是編制者將指令、程序代碼植入到計算機系統(tǒng)中。所謂的病毒是人為造成的,通過影響計算機系統(tǒng)的正常運行,造成對其他用戶的危害。計算機病毒破壞力強、傳播迅速且不易被察覺,尤其是像木馬、震網(wǎng)、火焰這些通過網(wǎng)絡作為途徑傳播的病毒,一旦感染其他程序,將會對計算機資源進行破壞。不難看出,提高系統(tǒng)的安全性是確保網(wǎng)絡工程安全的過程中迫切需要解決的問題。
1.3 IP地址被盜用
IP地址被盜用也是網(wǎng)絡工程安全的瓶頸。對計算機網(wǎng)絡而言,被盜用IP地址的計算機不能正常使用網(wǎng)絡,致使用戶無法進行正常的網(wǎng)絡連接。區(qū)域網(wǎng)絡中常有l(wèi)P被盜的情況,這種情況下用戶被告知lP地址已被占用,致使用戶無法進行正常的網(wǎng)絡連接。這些lP地址權(quán)限通常較高,竊取lP者一般會以不知名的身份來擾亂用戶的正常網(wǎng)絡使用,這會給用戶帶來很大的影響,使用戶的自身權(quán)益受到侵犯,也嚴重威脅網(wǎng)絡的安全性。
1.4 垃圾郵件的泛濫
垃圾郵件的泛濫,使得網(wǎng)絡工程安全陷入困境。垃圾郵件是指那些并非用戶自愿卻無法阻止收取的郵件。長期以來,垃圾郵件損害了郵件使用者的利益, 垃圾郵件的的日益嚴重讓網(wǎng)絡重負逐漸加大,對效率和安全性造成嚴重的威脅,一方面大量消耗網(wǎng)絡資源,減緩了系統(tǒng)運行效率;另一方面,數(shù)量繁多的垃圾郵件還侵害整個網(wǎng)絡工程的安全。
1.5 計算機系統(tǒng)風險
計算機系統(tǒng)風險也影響著網(wǎng)絡工程安全。在計算機網(wǎng)絡工程中,管理機構(gòu)的體制不健全,各崗位分工不明確,對密碼及權(quán)限的管理不夠,這些因素使網(wǎng)絡安全日益受到外來的破壞且用戶自身安全防衛(wèi)意識薄弱,無法有效地規(guī)避信息系統(tǒng)帶來的風險, 導致計算機系統(tǒng)的風險逐步嚴重,計算機系統(tǒng)不能正常工作,最終威脅到計算機網(wǎng)絡的安全。因此,加強網(wǎng)絡工程中安全防護技術(shù)勢在必行。
2 加強網(wǎng)絡工程中安全防護技術(shù)的策略
2.1 設(shè)置防火墻過濾信息
最直接的黑客防治辦法是運用防火墻技術(shù),設(shè)置防火墻過濾信息是加強網(wǎng)絡工程中安全防護技術(shù)的關(guān)鍵。網(wǎng)絡工程中最有效的防護手段就是在外部網(wǎng)絡和局域網(wǎng)之間架設(shè)防火墻,網(wǎng)絡防火墻作為一個位于計算機和它所連接的網(wǎng)絡之間的軟件,可以將局域網(wǎng)與外部網(wǎng)的地址分割開,計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻,經(jīng)過防火墻的過濾,能夠過濾掉一些攻擊,以免其在目標計算機上被執(zhí)行,增加內(nèi)部網(wǎng)絡的安全性。另外,防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
2.2 加強病毒的防護措施
加強病毒的防護措施也是加強網(wǎng)絡工程中安全防護技術(shù)的重要組成部分。病毒防護是計算機系統(tǒng)日常維護與安全管理的重要內(nèi)容,當前計算機病毒在形式上越來越難以辨別,計算機網(wǎng)絡病毒的防治,單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術(shù)手段和管理機制緊密結(jié)合起來,提高人們的防范意識,才有可能從根本上保護網(wǎng)絡系統(tǒng)的安全運行。常見的殺毒軟件有:360安全衛(wèi)士,卡巴斯基,金山毒霸等。網(wǎng)絡工程在加強病毒的防護措施方面,對計算機網(wǎng)絡工程人員而言,相關(guān)人員都應該掌握使用殺毒軟件、防病毒卡等措施,一般情況下,要定期對計算進行病毒檢測與查殺,一旦發(fā)現(xiàn)病毒時應詢問后再處理,不僅如此,對計算機系統(tǒng)的重要文件還要進行備份,防止由于病毒對系統(tǒng)造成的破壞導致數(shù)據(jù)的丟失。
2.3 入侵檢測技術(shù)的植入
入侵檢測系統(tǒng)作為一種主動的安全防護技術(shù),對于加強網(wǎng)絡工程中安全防護至關(guān)重要。對網(wǎng)絡工程而言,入侵檢測技術(shù)對計算機網(wǎng)絡資源及信息中隱藏或包含的惡意攻擊行為有效的識別,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,可以利用網(wǎng)絡安全入侵檢測采取相應的網(wǎng)絡安全防護措施。入侵檢測系統(tǒng)能夠從網(wǎng)絡安全的立體縱深、多層次防御的角度出發(fā)提供安全服務,從而有效的降低了來自網(wǎng)絡的威脅和破壞,必將進一步受到人們的高度重視。
2.4 拒絕垃圾郵件的收取
凡是未經(jīng)用戶許可就強行發(fā)送到用戶的郵箱中的電子郵件,都被成為垃圾郵件。垃圾郵件一般具有批量發(fā)送的特征。垃圾郵件現(xiàn)在慢慢發(fā)展成為計算機網(wǎng)絡安全的又一公害。拒絕垃圾郵件的收取也是加強網(wǎng)絡工程中安全防護技術(shù)的重要環(huán)節(jié),拒絕垃圾郵件的收取,要從保護自己的郵件地址做起,不要隨意的使用郵箱地址作為登記信息,避免垃圾郵件的擾亂。還可以使用outlookExPress和Faxmail中的郵件管理,將垃圾文件過濾處理,拒絕垃圾文件的收取。
2.5 加強網(wǎng)絡風險的防范
加強網(wǎng)絡風險的防范對于加強網(wǎng)絡工程安全也不容忽視。在網(wǎng)絡工程風險防范的過程中,利用數(shù)據(jù)加密技術(shù)是行之有效的途徑。數(shù)據(jù)加密技術(shù)是加密技術(shù)是最常用的安全保密手段,也是有效防范網(wǎng)絡與信息安全風險最直接,最為有效的方式。數(shù)據(jù)加密是一種限制對網(wǎng)絡上傳輸數(shù)據(jù)的訪問權(quán)的技術(shù),具體說來,它是通過引導用戶對網(wǎng)絡傳輸中出現(xiàn)的、比較重要的數(shù)據(jù)進行設(shè)置密碼的過程。從網(wǎng)絡工程中數(shù)據(jù)加密的方式上來看,數(shù)據(jù)加密技術(shù)主要包括線路加密、端與端加密等等,各種方法都有各自的有點,線路加密主要是針對需要保密的信息進行的,在加密時使用加密密鑰來對信息進行保護。端與端加密主要是針對網(wǎng)絡信息的發(fā)出方,當網(wǎng)絡信息數(shù)據(jù)到達tcp/ip之后就利用數(shù)據(jù)包進行回封操作,以此對重要數(shù)據(jù)進行安全保護。
3 結(jié)束語
總之,網(wǎng)絡工程中的安全防護是一項綜合的系統(tǒng)工程,具有長期性和復雜性。網(wǎng)絡工程中安全防護技術(shù),應設(shè)置防火墻過濾信息、加強病毒的防護措施、入侵檢測技術(shù)的植入、拒絕垃圾郵件的收取、加強網(wǎng)絡風險的防范,不斷探索加強網(wǎng)絡工程中安全防護技術(shù)的策略,只有這樣,才能不斷提高網(wǎng)絡工程的安全管理水平,進而確保計算機網(wǎng)絡的安全。
參考文獻:
[1] 李巍巍.計算機網(wǎng)絡安全的數(shù)據(jù)備份和容災系統(tǒng)[J].黑龍江科技信息,2010(33).
[2] 王薪凱,姚衡,王亨,常晶晶,喻星晨.計算機網(wǎng)絡信息安全與防范[J].硅谷,2011(4).
[3] 金金.2011年信息安全十大熱點預測[J].信息安全與通信保密,2011(3).
[4] 趙章界,李晨旸,劉海峰.信息安全策略開發(fā)的關(guān)鍵問題研究[J].信息網(wǎng)絡安全,2011(3).
[5] 陸文紅,蒙勁.小議通信網(wǎng)絡安全問題分析及維護措施[J].中小企業(yè)管理與科技(下旬刊),2010(10).
[6] 余斌.論計算機互聯(lián)網(wǎng)與通信網(wǎng)絡建設(shè)的安全性[J].科技經(jīng)濟市場,2010(5).
【關(guān)鍵詞】 家庭寬帶 網(wǎng)絡安全 技術(shù)防范
家庭寬帶網(wǎng)絡在應用中容易產(chǎn)生安全隱患,輕則會致使文件損壞,系統(tǒng)崩潰,嚴重會致使網(wǎng)絡使用者產(chǎn)生相應的經(jīng)濟損失與隱私泄露等。下文將對家庭寬帶網(wǎng)絡的一些常見的安全問題進行闡述,在分析問題的基礎(chǔ)之上,明確加強家庭寬帶網(wǎng)絡安全保護的重要意義,從而進一步提出加強家庭寬帶網(wǎng)絡安全保護的具體措施。
一、家庭寬帶網(wǎng)絡主要存在的安全問題
首先就是網(wǎng)絡開放性的問題,網(wǎng)絡要想實現(xiàn)有效的訪問就需要使得網(wǎng)絡開放于互聯(lián)網(wǎng)之中,不同的計算機設(shè)備能夠通過相應的硬件設(shè)備而實現(xiàn)通信,促進網(wǎng)絡與信息技術(shù)的緊密聯(lián)系。
根據(jù)目前我國的研究調(diào)查顯示,家庭寬帶網(wǎng)絡安裝已經(jīng)實現(xiàn)了一半以上的覆蓋率,而使用寬帶上網(wǎng)的人數(shù)已經(jīng)超過一億多。但是對于家庭寬帶的網(wǎng)絡安全問題,并不是所有的人都能夠樹立正確意識的,仍然缺乏安全防護措施,比如防火墻等,很多信息會在不經(jīng)意之間實現(xiàn)私人信息的共享,另外也會因為網(wǎng)絡安全管理不當而致使私人信息的泄露。面臨的兩種主要威脅,一是電腦系統(tǒng)會遭遇非法入侵者,致使信息泄露的同時,也會造成一定的經(jīng)濟損失等,二是病毒的入侵[1],主要利用計算機以及網(wǎng)絡中的實際漏洞,以編制好的程序和代碼進行擾亂,以此實現(xiàn)計算機網(wǎng)絡系統(tǒng)的崩潰以及電腦系統(tǒng)的崩潰。另外計算機病毒的種類成千上萬,并且每年還會有全新的病毒產(chǎn)生,影響電腦系統(tǒng)運行以及網(wǎng)絡安全,所以越來越多不能夠正確認識保護家庭寬帶網(wǎng)絡安全的網(wǎng)民成為了網(wǎng)絡安全難以維持的薄弱的群體。只有正確認識了家庭寬帶網(wǎng)絡中所存在的主要問題,才能夠針對問題進行家庭寬帶網(wǎng)絡安全的相應完善,從而實現(xiàn)對于家庭寬帶網(wǎng)絡安全的保護。
二、加強對于家庭寬帶網(wǎng)絡安全的保護
2.1提升網(wǎng)絡安全保護意識
想要加強對于家庭寬帶網(wǎng)絡安全的保護,最根本的還是需要提升安全保護的意識,意識到家庭寬帶網(wǎng)絡可能存在著信息安全隱患,隱私信息存在著泄露的風險。一些具有風險的網(wǎng)站不予瀏覽和點擊,不隨意下載網(wǎng)站上的沒有可信證明來源的文件,裝載相應的防火墻以及殺毒程序,正確理解網(wǎng)絡安全保護與網(wǎng)絡開放性與交互性之間的內(nèi)在聯(lián)系[2]。只有從意識上進行轉(zhuǎn)變,才能夠有效促進對于家庭寬帶網(wǎng)絡安全的進一步保護。
2.2采取網(wǎng)絡安全保護手段
一般網(wǎng)絡安全的保護手段體現(xiàn)在對于相應軟件的裝載上,比如殺毒軟件以及防火墻的安裝。殺毒軟件往往家庭用戶偏向于免費的殺毒軟件,但無論是免費殺毒軟件還是收費的殺毒軟件,都能夠在一定程度上起到安全查殺病毒的實際作用。
另外一些軟件助手里還會存在著安全防護的功能,所以可以通過屏蔽不良的代碼編制的方式,促進系統(tǒng)增強免疫熊,避免系統(tǒng)收到侵擾。另外也可以將網(wǎng)絡瀏覽安全級別設(shè)置為最高,將Active中的空間與插件的設(shè)置,變成禁用的模式。這樣才能夠在一定程度上,避免在使用IE瀏覽器進行網(wǎng)頁瀏覽的過程中,被惡意網(wǎng)站中的病毒或者非法入侵者進行相應的攻擊。
這里還要著重介紹一下補丁安裝,以微軟的UPDATE程序為例[3],這個程序是所有微軟體系中所包括的重要系統(tǒng)內(nèi)容,但是往往人們對于UPDATE沒能夠樹立正確的理解。UPDATE會實時更新關(guān)于系統(tǒng)的補丁,通過下載補丁的方式,強化系統(tǒng)安全。比如Windows XP安全更新程序這一補丁包,能夠防止攻擊者利用已存在的問題進行計算機的控制獲取,防止攻擊者在系統(tǒng)上執(zhí)行黑代碼威脅到計算機的實際安全。另外家庭寬帶網(wǎng)絡使用者也需要做兩手準備,對于系統(tǒng)上所存在的重要信息及數(shù)據(jù),要進行及時的備份,利用完全備份與追加備份有機結(jié)合的方式去進一步實現(xiàn)網(wǎng)絡安全的提升。最為基礎(chǔ)的就是設(shè)置開關(guān)機密碼等,關(guān)鍵文件設(shè)置隱藏,避免文件被人為查看。
從技術(shù)角度進行考慮,可以在上網(wǎng)的過程之中實現(xiàn)IP地址的隱藏,這樣不僅僅能夠避免人為的技g攻擊與電腦入侵,同時也能夠提升上網(wǎng)速度,促進系統(tǒng)安全性的增強。那么隱藏IP也可以通過以下幾個方式,比如更換管理員賬號等,運用相對較多的、難度系數(shù)高的密碼賬號,取消對于文件夾隱藏共享行為,關(guān)閉一些沒有用處的計算機端口,避免非法入侵者去掃描計算機端口。很多非法用戶使用家庭寬帶的無線網(wǎng)絡的時候,恰恰是利用了IP地址的合理分配方式,所以可以關(guān)閉DHCP服務器[4],手動設(shè)置無線網(wǎng)卡的IP地址,開啟MAC地址過濾。
無線網(wǎng)絡也要實現(xiàn)加密,雖然WEP加密方式、WPA加密方式以及WPA2加密方式是比較常用的,但是第一種加密方式更具有可破解性,所以不建議使用。另外,就是去修改SSID名稱也能夠?qū)崿F(xiàn)無線網(wǎng)絡安全的提升。
2.3明確網(wǎng)絡接入方式,優(yōu)化網(wǎng)絡結(jié)構(gòu)
針對目前家庭寬帶網(wǎng)絡可能存在的問題,可以通過明確網(wǎng)絡接入方式,優(yōu)化網(wǎng)絡結(jié)構(gòu)。類似家庭寬帶接入網(wǎng)技術(shù)存在著多樣性,這里包括了數(shù)字用戶線接入、光纖接入、無源光網(wǎng)絡接入、WiMax接入方式等,這些都由相應的網(wǎng)絡架構(gòu)組成。首先就是用戶自組網(wǎng)絡[5],這種網(wǎng)絡形式是以家庭為核心的實際局部的網(wǎng)絡,網(wǎng)絡屬于用戶個人,并且應用較為廣泛。
想要實現(xiàn)高密度多形式的有效的網(wǎng)絡接入,提升安全防護的能力,可以采取接入節(jié)點的方式。運營商針對家庭寬帶網(wǎng)絡安全問題,也了寬帶網(wǎng)絡網(wǎng)關(guān)、以太匯聚網(wǎng)絡等,但是一旦出現(xiàn)非法數(shù)據(jù)的傳送以及非法用戶接入等,從運營商的角度考慮,會直接造成收益的下降。所以在優(yōu)化網(wǎng)絡結(jié)構(gòu)中,為了阻止這一現(xiàn)象的產(chǎn)生,還需要提出多種用戶線路的識別方案,比如DHCP option82協(xié)議、PPoE+協(xié)議等。這些協(xié)議可以通過剝離字段信息、或是插入相應的端口信息的方式,來對目前的網(wǎng)絡使用以及用戶識別提出相應的規(guī)范[6]。虛擬的局域網(wǎng)棧以及虛擬MAC同樣也是利用雙標簽和內(nèi)層網(wǎng)絡來唯一標示端口信息,以及從MAC地址信息中直接獲取端口信息等。這些方式都能夠?qū)崿F(xiàn)用戶身份驗證,在避免非法應用的同時,保護了用戶的安全以及運營商的利益,從而促進了網(wǎng)絡接入方式的明確與網(wǎng)絡結(jié)構(gòu)的實際優(yōu)化。
三、結(jié)語
在家庭寬帶網(wǎng)絡廣泛應用的同時,也需要注重家庭寬帶網(wǎng)絡的應用安全,通過優(yōu)化網(wǎng)絡結(jié)構(gòu),應用安全防護措施以及提升安全防護觀念等辦法,進一步實現(xiàn)家庭寬帶網(wǎng)絡的安全保護,實現(xiàn)家庭寬帶網(wǎng)絡安全防護效果的有效提升。
參 考 文 獻
[1]崔騰濤,張劍. OTN系統(tǒng)波道錯連預防及管理一體化解決方案[J]. 電信工程技術(shù)與標準化,2016,(11):20-23.
[2]強浩,陳常梅,萬昕. 傳送網(wǎng)與數(shù)據(jù)網(wǎng)協(xié)同部署情況下的家庭寬帶方案研究[J]. 郵電設(shè)計技術(shù),2015,(05):65-68.
[3]房立,張雯,范樹凱. 家庭寬帶業(yè)務分場景探究[J]. 山東通信技術(shù),2015,(01):25-27+30.
[4]夏雪玲,夏鵬志,廖振松,劉建功. 一種基于大數(shù)據(jù)的家庭寬帶售后服務保障系統(tǒng)[J]. 信息通信,2014,(07):26-27.
關(guān)鍵詞:計算機網(wǎng)絡;網(wǎng)絡安全;防范措施
中圖分類號:TP271文獻標識碼:A文章編號:1009-3044(2012)20-4806-02
Inspiration and Thinking of the Computer Network Security
LIU Dan
(Chongqing College of Electronic Engineering, Chongqing 401331, China)
Abstract: Computer network security can not be ignored under the complex information technology surroundings, which has been much concerned and taken seriously. This paper analyzed the current network security situation and explored the measures to prevent computer network security threats. Improving network security should be seriously thought.
Key words: computer network; network security; precautionary measure
據(jù)國家計算機網(wǎng)絡應急協(xié)調(diào)中心網(wǎng)絡安全報告,基礎(chǔ)設(shè)施和重要信息系統(tǒng)整體上運行基本正常,未出現(xiàn)造成影響嚴重的網(wǎng)絡安全事故,但是網(wǎng)絡攻擊的次數(shù)、頻率和復雜度均比往年大幅度增加,遭入侵和受控計算機數(shù)量巨大,潛在威脅繼續(xù)增加,信息數(shù)據(jù)安全問題日益突出,計算機網(wǎng)絡的安全形勢依舊十分嚴峻。主要表現(xiàn)在,一是政府網(wǎng)頁被篡改事件大幅度增加。據(jù)統(tǒng)計顯示,我國大陸地區(qū)被篡改網(wǎng)站總數(shù)比往年同期增長41%,占被篡改網(wǎng)站總數(shù)的比例達7%,而域名僅占cn域名總數(shù)的2.3%。二是感染木馬和僵尸網(wǎng)絡的主機數(shù)量巨大。國家互聯(lián)網(wǎng)應急協(xié)調(diào)中心抽樣檢測,境內(nèi)外控制者利用木馬控制端對主機進行的控制事件中,木馬控制端IP網(wǎng)絡地址總數(shù)、被控制端IP地址總數(shù)均高舉不下。中國大陸地區(qū)有2百多萬個IP地址的主機被植入僵尸程序,有2270個境外控制服務器對大陸地區(qū)的主機進行了僵尸網(wǎng)絡控制。三是惡意代碼的肆虐傳播是造成木馬和僵尸網(wǎng)絡產(chǎn)生和擴大的一大途徑。國家互聯(lián)網(wǎng)應急中心通過技術(shù)平臺共捕獲惡意代碼約90萬個,比上年同期增長62.5%,其中有新的惡意代碼樣本,有通過國內(nèi)外合作渠道接收到的惡意代碼。這些惡意代碼中,以惡意代碼下載器、灰鴿子家族系列,以及與網(wǎng)絡游戲有關(guān)的惡意程序居多,對終端用戶的威脅也最為突出。
1理性分析,網(wǎng)絡安全道路依然漫長
1)應用軟件漏洞是各種安全威脅的主要根源。在軟件系統(tǒng)漏洞的防護上,人們往往重視操作系統(tǒng)漏洞的查找和補丁升級。實際上,近年來,應用軟件安全漏洞的威脅越來越大,已經(jīng)超過了操作系統(tǒng)漏洞。從目前所掌握的安全漏洞情況分析來看,有部分漏洞直接威脅到互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的運行安全,更多的漏洞則嚴重威脅到廣大互聯(lián)網(wǎng)用戶的信息系統(tǒng)。如,Realplay播放器軟件漏洞、聯(lián)眾世界軟件漏洞等。同時,針對漏洞出現(xiàn)的攻擊程序、代碼也呈目的性強、時效性高的趨勢。
2)電子郵件成為達成精確控制的常用手段。對于電子郵件的安全威脅,人們通常只注意到盡量不打開陌生人發(fā)送過來的電子郵件,特別是不打開郵件中的附件,這的確是一種好的安全防范習慣。但據(jù)了解,目前互聯(lián)網(wǎng)上流行的電子郵件系統(tǒng),其郵件用戶設(shè)置的復雜密碼無一例外地可以被專業(yè)人員破解,而用戶密碼一旦被他人獲得,即使是由熟悉人員所發(fā)送過來的郵件中,也可能在原有的郵件中被他人注入了木馬和病毒程序。利用電子郵件對待定目標主機實施遠程控制是當前最常見、最精確的滲透控制手段之一。
3)擺渡型攻擊技術(shù)逐漸成熟并廣泛應用于針對內(nèi)部網(wǎng)絡的攻擊。擺渡型攻擊以移動存儲設(shè)備、光盤、電子文檔等為主要途徑,借助木馬、蠕蟲、病毒等惡意代碼,在與互聯(lián)網(wǎng)物理隔離的內(nèi)網(wǎng)中交換數(shù)據(jù)、傳播病毒,進行破壞和癱瘓目標網(wǎng)絡。根據(jù)最新的網(wǎng)絡攻擊理論和實踐,所有的網(wǎng)絡都會與外部進行數(shù)據(jù)交換,已不存在絕對封閉的內(nèi)部網(wǎng)絡。不論什么網(wǎng)絡,總要進行系統(tǒng)和應用軟件的更新,或進行防病毒系統(tǒng)補丁的更新,此時就相當于建立了對外連接的通道。就算是全封閉的物理隔離網(wǎng)絡,由于不能及時修補各種安全漏洞,一旦解決了進入問題,實施攻擊將更容易達成目的。因此,物理隔離固然重要,但未必能確保網(wǎng)絡的絕對安全。實際上,采用物理隔離的內(nèi)部網(wǎng)絡中所出現(xiàn)的計算機病毒程序,基本上都是由移動存儲介質(zhì)從外界帶入的。以往那種認為網(wǎng)絡只要物理隔離就可高枕無憂的想法是不正確的。需強調(diào)的是,即使是利用光盤進行內(nèi)外網(wǎng)數(shù)據(jù)交換,病毒和木馬后門程序照樣可以通過OFFICE電子文檔、圖片文件等進行傳播。
4)分布式拒絕服務攻擊成為大規(guī)模網(wǎng)絡癱瘓攻擊的主要手段。所謂分布式拒絕服務攻擊就是在特定時刻由控制者向事先控制的、分布在不同地域的眾多網(wǎng)絡主機發(fā)出攻擊指令,受控主機收到攻擊指令后,會同時向指定的目標網(wǎng)絡節(jié)點或服務器發(fā)送類似于正常用戶訪問的數(shù)據(jù)包,使得目標網(wǎng)絡主機來不及響應處理,或致使目標網(wǎng)絡信道擁塞,進而造成目標網(wǎng)絡或主機無法(拒絕)提供正常服務。如發(fā)生在2007年4、5月間的俄羅斯對愛沙尼亞的大規(guī)模分布式拒絕服務攻擊,導致了愛沙尼亞由先期的政府、媒體網(wǎng)絡迅速蔓延到通信、銀行等各公共服務網(wǎng)絡,大量網(wǎng)站被迫關(guān)閉,就連其總統(tǒng)府網(wǎng)站也未能幸免。
2啟示思考,我國網(wǎng)絡安全防護任重道遠
對于復雜的因特網(wǎng)來說,事實上,有“網(wǎng)”必有“洞”,有“洞”就能鉆,我們必須居安思危,嚴密防范。
1)要強化安全憂患意識,堅持動態(tài)防御和體系保障理念。信息安全保障是一個復雜的系統(tǒng)工程,要從安全策略、隔離控制、密碼保護、授權(quán)認證、實體安全、檢測預警、響應恢復和安全管理等多個方面實行整體性防御。要破除密碼全能觀念,不能以為安裝了核心密碼設(shè)備的網(wǎng)絡就一定可以高枕無憂了。實際上,密碼只能解決數(shù)據(jù)交互過程中的保密問題,不能解決網(wǎng)絡安全所以問題;密碼僅對局外人員有效,用戶之間的信息交換只是在數(shù)據(jù)傳遞和存儲過程中的加密,而末端應用時是經(jīng)過解密過的數(shù)據(jù);病毒、木馬后門等攻擊程序通常是合法數(shù)據(jù)包裹在一起的。網(wǎng)絡安全必須從采集、加工、傳遞、存儲、應用的全過程,按照同一密級要求實行全程管理。
信息安全保障還是一種持續(xù)的動態(tài)發(fā)展過程,通常要通過策略、防護、檢測、響應和恢復構(gòu)成一個完整的、動態(tài)螺旋式的循環(huán)上升鏈,進而不斷改進和完善。安全防范應貫穿于信息系統(tǒng)整個生命周期,只要信息系統(tǒng)存在,安全隱患也就永遠存在,安全防范就不能停止。
2)要注重系統(tǒng)頂層設(shè)計,重視應用軟件的安全性測試。網(wǎng)絡構(gòu)建通常伴隨著重要的網(wǎng)絡應用,要通過頂層設(shè)計統(tǒng)籌考慮網(wǎng)絡應用與網(wǎng)絡防護的關(guān)系。在處理應用系統(tǒng)與安全防護系統(tǒng)可能存在的沖突時,要優(yōu)先考慮安全問題,要在確保安全性的前提下實現(xiàn)業(yè)務系統(tǒng)的功能;在加強自研軟件安全性測試的同時,要加強對外協(xié)和外購軟件的安全測試,努力防止業(yè)務系統(tǒng)集成過程中出現(xiàn)安全漏洞。
3)要正視安全的相對性,積極應付各種可能復雜情況。網(wǎng)絡安全永遠是相對的,要有入侵容忍的思想,不應過分強調(diào)嚴防死守,因為防護手段永遠比進攻手段落后半拍;從費效比和網(wǎng)絡應用角度看,過度的防護也不可取。因此,要有防線一旦被攻破的思想準備,要通過響應、恢復、補救方案和措施,將損失降低到最小程度。
4)要采取主動防御戰(zhàn)略,注意加強攻擊溯源技術(shù)研究。保障網(wǎng)絡系統(tǒng)安全,不僅要查找自身的薄弱點,及時修補漏洞;同時,還應具備攻擊源速度定位能力。只有找到了攻擊的源頭,才能更有效地采取應對措施,更好地把握網(wǎng)絡防御的主動權(quán)。近幾次發(fā)生在因特網(wǎng)上的大規(guī)模網(wǎng)絡攻擊事件,都呈現(xiàn)出網(wǎng)絡攻擊手段多樣、手法隱蔽、源頭難以追溯等特點,即使是內(nèi)部網(wǎng)絡中發(fā)生的病毒傳播現(xiàn)象,也很少有單位能夠鎖定到確切的傳播源,這些事件和現(xiàn)象突出反映了主動防御對保障網(wǎng)絡安全的重要性和緊迫性。加強對網(wǎng)絡攻擊溯源技術(shù)和手段的研究,迅速定位攻擊源頭,及時獲得并分析病毒、木馬等攻擊代碼程序樣本,研究反制措施,已成為網(wǎng)絡安全防護體系中不可或缺的重要組成部分。
5)要樹立人才第一觀念,高度重視核心骨干人才培養(yǎng)。網(wǎng)絡攻防拼的是技術(shù)、靠的是人才,要的是機制。事實上,網(wǎng)絡防御對抗時技術(shù)的較量、人才的博弈,沒有骨干人才就沒有良好的安全保障。安全防護不適安全產(chǎn)品的簡單堆砌,要運用綜合集成思想,將各種檢測、防護、響應手段圍繞安全策略的具體需求有序地組織,相互之間要形成協(xié)調(diào)、聯(lián)動的關(guān)系;要針對應用中發(fā)現(xiàn)的問題,根據(jù)實際需求或應用變化的情況,不斷地加以改進和完善;網(wǎng)絡安全絕不是單純一次性地購出來、建出來的,而是通過人配出來、改出來、管出來的,這就決定了人才是網(wǎng)絡安全的核心要素。
參考文獻:
[1]謝希仁.計算機網(wǎng)絡[M].北京:電子工業(yè)出版社,2003.
[2] Andraw S,Tanenbaum.計算機網(wǎng)絡[M].3版.熊桂喜,王小虎,譯.北京:清華大學出版社,1998.
[3]劉占全.網(wǎng)絡管理與防火墻技術(shù)[M].北京:人民郵電出版社,2005.
[4]肖軍模.網(wǎng)絡信安全與對抗[M].北京:出版社,1999.
關(guān)鍵詞:惡意軟件;計算機;安全防護
中圖分類號:TP309 文獻標識碼:A 文章編號:1674-7712 (2014) 02-0000-01
惡意軟件是一種以盜取用戶信息或破壞用戶操作軟件為目的的網(wǎng)絡,若不采用適當?shù)姆雷o手段對其進行檢測和處理,會對個人、企業(yè)等帶來嚴重的安全威脅和經(jīng)濟損失。特別是隨著互聯(lián)網(wǎng)應用日趨廣泛,用戶資源共享越來越普遍,惡意軟件入侵用戶系統(tǒng),竊取、泄露用戶數(shù)據(jù)的行為日發(fā)猖獗,因此對計算機惡意軟件進行分析,制定安靠可靠的防護策略具有十分重要的意義。
一、惡意軟件分類及其特點
惡意軟件按照其行為特點進行分類可以分為瀏覽器劫持類、信息竊取類、行為記錄類、廣告捆綁類等。
針對瀏覽器的惡意軟件可以通過隱蔽或非法的方式添加插件、BHO、LSP等對瀏覽器的配置進行篡改,獲取用戶端瀏覽器的控制權(quán),進而利用瀏覽器劫持用戶網(wǎng)絡訪問行為。當用戶使用瀏覽器時會被靜默安裝不易卸載的插件或被引導訪問特定網(wǎng)站,影響用戶的網(wǎng)絡體驗。
針對用戶信息的惡意軟件會繞過用戶管理權(quán)限或誘騙用戶授權(quán)安裝某些軟件。這些軟件可以竊取用戶的私密信息并上傳到網(wǎng)絡中幫助入侵者非法獲利,常見的用戶私密資料有賬號、密碼、數(shù)據(jù)等。顯然這類惡意軟件會給用戶帶來非常嚴重的經(jīng)濟損失。
針對行為記錄的惡意軟件會對用戶的計算機使用習慣和行為進行記錄,所記錄的數(shù)據(jù)可被用于分析用戶行為,針對用戶喜好采用誘騙、陷阱等方式引導用后安裝或注冊,收集用戶的隱私數(shù)據(jù),或者達到推廣安裝的目的。
針對廣告銷售的惡意軟件則會在用戶未允許的情況下以彈窗的方式向用戶投放廣告,謀取商業(yè)利益。這類軟件通常具有強制安裝、難以卸載、彈窗頻繁、資源占用率高等特點,嚴重影響用戶計算機使用體驗。
從行為和影響等方面綜合考慮可以發(fā)現(xiàn),惡意軟件具有兩方面特點:一是編寫方式病毒化,即以Rootkit技術(shù)等對自身進行保護或隱藏,防止殺毒軟件發(fā)現(xiàn)或者殺除。二是傳播方式病毒化,即利用計算機網(wǎng)絡資源共享和數(shù)據(jù)傳輸?shù)忍攸c進行惡意推廣或傳播,短時間內(nèi)實現(xiàn)軟件的大范圍擴散。
二、計算機惡意軟件安全防范技術(shù)
(一)部署惡意軟件防護軟件
雖然惡意軟件與病毒程序等存在一定的差別,但是考慮到惡意軟件對用戶造成的影響越來越嚴重,現(xiàn)有的反病毒軟件或工具都會集成反惡意軟件功能模塊,這些模塊會對惡意行為、特征、類型等進行描述與總結(jié),一旦發(fā)現(xiàn)計算機系統(tǒng)中存在符合條件的行為或操作,反病毒軟件就會對行為對象進行阻止、隔離或者清除。實際應用過程中,由于這類工具軟件所采用的是行為判別法,故其能夠很好的適應新種類的惡意軟件,還能夠?qū)π路N類的惡意軟件進行采集與比較,形成新的安全防御策略,為用戶提供安全有效的軟件防護。
(二)完善系統(tǒng)安全設(shè)置
惡意軟件的安全防護最主要的還是從計算機系統(tǒng)入手,做好系統(tǒng)漏洞修復和安全更新,最大程度的減少計算機系統(tǒng)中存在的安全漏洞,提升系統(tǒng)安全等級,控制系統(tǒng)訪問與管理權(quán)限。具體來說,完善系統(tǒng)的安全設(shè)置可以從身份驗證、漏洞修復、端口與服務監(jiān)控等方面著手。
在身份驗證方面,常用的計算機安全驗證方式大多過于單一,且容易被記錄,因而在安全設(shè)置中可以采用多重身份認證、定期更改驗證方式、驗證密碼等方式提升系統(tǒng)安全性能。
在漏洞修復方面,用戶應該盡量采用正版系統(tǒng)和軟件,避免從不受信任的資源共享網(wǎng)站下載或共享資料,及時更新軟件或安裝修復補丁,減少計算機中存在的安全漏洞,維持系統(tǒng)處于最佳狀態(tài)。
在端口與服務監(jiān)控方面,用戶可以依照安全軟件建議關(guān)閉存在安全隱患的服務和不必要的通信端口。
(三)提升用戶安防意識
計算機安全防護離不開用戶的自我意識和管理方式的提升,做好計算機惡意軟件的防護就必須從人的角度出發(fā),增強用戶的專業(yè)知識儲備和技能儲備,為有效的管理奠定良好的基礎(chǔ)。首先,用戶應該養(yǎng)成良好的網(wǎng)絡行為習慣,避免訪問不信任網(wǎng)站,不隨意從資源共享網(wǎng)站下載軟件或資料,樹立良好的安全防護意識,做到意識先行。再次,要不斷學習計算機安全防范技術(shù),通過接受培訓、交流的方式熟悉和掌握惡意軟件行為特征和處理方式。最后,要分層部署安全防護軟件并制定適當?shù)陌踩雷o策略,綜合利用多種手段來建立計算機安全防護體系。
三、結(jié)束語
隨著計算機網(wǎng)絡的發(fā)展和普及,惡意軟件對用戶的影響越來越大,甚至直接影響到用戶的經(jīng)濟利益,為保護用戶數(shù)據(jù)安全,避免用戶所使用的軟件受到非法篡改,用戶必須在管理、監(jiān)控、處理等層面建立完善的安全管理機制,避免惡意軟件入侵計算機系統(tǒng),為用戶帶來損失。
參考文獻:
[1]韓桂杰.對計算機惡意軟件分析及防范技術(shù)研究[J].中國新技術(shù)新產(chǎn)品,2011(22):48-48
[2]張浩.計算機惡意軟件的分析及防御探討[J].電子技術(shù)與軟件工程,2013(13):99-99.
關(guān)鍵詞:互聯(lián)網(wǎng);校園網(wǎng);網(wǎng)絡安全;數(shù)據(jù)加解密技術(shù)
隨著網(wǎng)絡技術(shù)的發(fā)展,信息化技術(shù)的成熟,人們對計算機網(wǎng)絡的使用能力也越來越強,計算機網(wǎng)絡應用范圍也越來越廣。作為信息化交流的平臺,它的傳輸手段愈多,伴隨的信息安全隱患也愈多,數(shù)據(jù)的保護逐漸成為人們關(guān)注的焦點,而數(shù)據(jù)加解密技術(shù)是網(wǎng)絡安全問題的關(guān)鍵技術(shù)。計算機機房作為網(wǎng)絡管理的中心是整個校園網(wǎng)的中樞,一方面需要進行教學設(shè)備的日常管理,包括維護和恢復等;另一方面也要進行網(wǎng)路安全規(guī)范和管理。網(wǎng)絡建設(shè)作為學校科研以及教學實訓的關(guān)鍵一環(huán),在功能上可能考慮得較為全面,但是安全問題考慮的尚少。尤其是隨著高職院校承擔越來越多的外來人員進行各種技能培訓和考核,使得進入機房的操作人員具有流動性大的特點,并隨外部攜帶的存儲設(shè)備如USB等進入計算機網(wǎng)絡中,帶來計算機病毒感染,外部黑客攻擊的危險,輕則導致系統(tǒng)文件的丟失,軟件的損壞,重則導致網(wǎng)絡犯罪,竊取帳號,入侵服務器等行為發(fā)生。因此,針對當前高職院校機房計算機網(wǎng)絡建設(shè)的特點和現(xiàn)狀,結(jié)合數(shù)據(jù)加解密技術(shù),建設(shè)有效的院校網(wǎng)絡資源管理的安全防護體系,以此來確保學校網(wǎng)絡安全和使用。
1數(shù)據(jù)加密技術(shù)簡介
數(shù)據(jù)加解密又稱密碼學,它以偽裝信息為基本思路,通過對數(shù)據(jù)施加可逆數(shù)學變換進行信息隱藏和混淆。數(shù)據(jù)變換前的信息稱為明文,數(shù)據(jù)變化后的信息稱為密文。數(shù)據(jù)變換既包括加密技術(shù)又包括解密技術(shù)。密鑰作為因子參與加解密運算。加解密的目的是將數(shù)據(jù)以密文的方式存儲在計算機的文件中或者通過網(wǎng)絡設(shè)備進行傳輸,只有合理分配密鑰的用戶才能訪問資源。這樣一來,經(jīng)非法密鑰不能逆向構(gòu)造出正確的明文,從而達到確保數(shù)據(jù)真實性的目的。加解密技術(shù)分為對稱加解密和非對稱加解密。對稱加解密包括像DES、AES等傳統(tǒng)的加解密技術(shù),而非對稱加解密包括像RSA、SMS4等算法。DES是一種分組密碼,包含了代數(shù)、置換、代替等多種密碼技術(shù),密鑰長度為64位。其中明文、密文分組長度也是64位。DES是面向二進制的。密碼算法、因而能夠加解密任何形式的計算機數(shù)據(jù)。DES是對稱算法,因而加密和解密共用一套算法。RSA算法是1978年美國麻省理工學院的三名密碼學者R.L.Rivest,A.Shamir和L.Adleman提出了一種基于大合樹因子分解困難性的公開密鑰算法,簡稱RSA算法。RSA算法既可以做加密處理,又可以用于數(shù)字簽名,使用范圍更加廣。
2校園網(wǎng)網(wǎng)絡安全分析
目前伴隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,提供的資源和服務也越來越多,相應的校園網(wǎng)絡應用的范圍也在不斷擴大,通過校園網(wǎng)絡上傳輸?shù)臄?shù)據(jù)和信息量也越來越多,伴隨的網(wǎng)絡欺詐和攻擊也越來越多,這直接影響到校園網(wǎng)絡的正常運行。計算機網(wǎng)絡管理中心作為計算機網(wǎng)絡的入口點之一,安全問題也越來越突顯,比如網(wǎng)絡資源濫用、安全審計不全、網(wǎng)絡維護管理困難,這些都是當前導致網(wǎng)絡安全問題的關(guān)鍵。
2.1高職院校網(wǎng)絡機房現(xiàn)狀
(1)服務類型不斷增加。隨著當前計算機機房所承擔的角色不斷增多,它不僅僅是傳統(tǒng)的網(wǎng)絡教學,而且包括教職工或校外人員的職能培訓。學院需要通過網(wǎng)絡設(shè)施開展各種類型的培訓班,而參與者的計算機技能水平參差不齊,可能造成計算機中的軟件和硬件資源使用不恰當導致的損壞或者丟失。(2)安全性欠考慮。機房作為科研教學的場所,需要完成各類教學與科研任務,包括實訓,考核、檢索、查閱資料、大型計算等,大多只注意網(wǎng)絡的功能性和流暢性,而安全性缺乏考慮。
2.2校園網(wǎng)網(wǎng)絡安全起因
2.2.1操作人員缺乏規(guī)范意識
在進行網(wǎng)絡教學中,很多學生不能正確地使用教學資源,而是利用網(wǎng)絡進行一些游戲或者娛樂,比如瀏覽新聞,打撲克等等。而在缺乏安全意識的情況下,經(jīng)常會下載來歷不明的文件或者打開惡意鏈接。這些操作可能會修改一些系統(tǒng)設(shè)置和感染木馬病毒等。
2.2.2人員管理不善,導致維護困難
一方面,由于缺乏合理的上機審計管理,操作者在使用計算機的過程時,經(jīng)常使用不當,通過攜帶的USB設(shè)備,使計算機感染病毒,進而得到傳播。另一方面上機的頻繁使用導致處理不及時,進而使計算機的維護困難。
2.2.3黑客的攻擊
一般而言,黑客的攻擊分為破壞性和非破壞性。破壞性攻擊,主要目的是入侵電腦,盜取他人帳號信息,破壞重要文件等,比如中間人攻擊。而非破壞性攻擊,一般是針對大型機器,比如服務器,達到干擾系統(tǒng)正常運行的目的,常見的比如DDOS拒絕服務。
2.2.4軟硬件更新管理不妥
硬件方面,由于機房開放的時間一般較長,使用較為頻繁,經(jīng)常使用不妥會導致硬件出現(xiàn)故障。加之常年運行,設(shè)備會出現(xiàn)老化現(xiàn)象。軟件方面,由于教學軟件眾多,需要頻繁的應用升級,操作系統(tǒng)打補丁,或者殺毒軟件更新病毒庫等。如果操作不當,也會導致系統(tǒng)出現(xiàn)問題。這些都會給軟硬件的更新或者維護帶來了相應的困難。
3數(shù)據(jù)加密技術(shù)的應用
3.1鏈路加密技術(shù)
關(guān)于網(wǎng)絡安全建設(shè)的關(guān)鍵就是路由管理,通過拓撲發(fā)現(xiàn),掌握網(wǎng)絡設(shè)備之間的連接狀況,及時發(fā)現(xiàn)網(wǎng)絡信息之前的數(shù)據(jù)交流路徑。這些網(wǎng)路連接狀況能夠很好地幫助管理人員確定網(wǎng)絡拓撲結(jié)構(gòu),當出現(xiàn)網(wǎng)絡狀況或者安全問題的時候,能夠及時準確地發(fā)現(xiàn)子網(wǎng)網(wǎng)絡,進行管理。清晰地對各個區(qū)段的計算機采用信息加密技術(shù),保證資源不被越界。數(shù)據(jù)在不同鏈路傳輸?shù)穆窂街卸际且圆煌拿荑€記性傳輸,確保信息不被獲取和篡改。
3.2身份認證技術(shù)
通過判斷計算機網(wǎng)絡使用者的身份信息,保證合理使用資源。只有通過了網(wǎng)絡安全身份認證系統(tǒng)的判斷,合法用戶才能進入當前的網(wǎng)絡環(huán)境。目前比較有名的銳捷軟件,就是對網(wǎng)絡管理的身份認證系統(tǒng),它是訪問網(wǎng)絡資源的關(guān)鍵節(jié)點,避免網(wǎng)絡的惡意進入。另外通過密碼學技術(shù)通過非對稱加密,對用戶的身份進行證書管理,只有數(shù)字證書驗證通過才能訪問當前的網(wǎng)絡資源。
3.3數(shù)據(jù)庫管理技術(shù)
通過對當前網(wǎng)絡登錄的帳號信息進行管理,內(nèi)部計算機網(wǎng)絡的所有網(wǎng)絡行為僅通過帳號登錄在當前的網(wǎng)絡環(huán)境中進行,而帳號信息不被外部獲取。安全管理人員通過分發(fā)帳號,管理網(wǎng)絡運行狀況以及信息的傳輸流向,并通過監(jiān)控技術(shù),定位網(wǎng)絡入侵或者惡意操作的非法人員,解決相應的安全隱患。利用這些技術(shù),在硬件建設(shè)方面,也需要做出相應的措施。網(wǎng)絡防護方面,可以對計算機機房的關(guān)鍵信息進行數(shù)據(jù)備份,并保證這些數(shù)據(jù)的恢復操作是在合理的操作下進行,備份數(shù)據(jù)要在加密存儲下在數(shù)據(jù)庫中進行統(tǒng)一管理,當確認恢復的信息后,通過密文傳輸?shù)侥康闹鳈C后對數(shù)據(jù)進行解密并做恢復處理。另外,傳統(tǒng)的防火墻、網(wǎng)絡數(shù)據(jù)加密等方式,對數(shù)據(jù)的傳輸和訪問做出管理和限制。加密技術(shù)能夠保障黑客無法通過中間人攻擊篡改網(wǎng)絡訪問信息和資源。高職院校的網(wǎng)絡機房建設(shè)是一項復雜的系統(tǒng)工程。一方面需要結(jié)合計算機網(wǎng)路的特點,保障功能的完善性,另一方面需要結(jié)合當前的網(wǎng)絡資源環(huán)境,建立合理安全的防護體系。傳統(tǒng)的網(wǎng)絡安全防護由于是靜態(tài)的和被動的,因此防護手段已經(jīng)無法適應今天的網(wǎng)絡環(huán)境。所以建立一套動態(tài)的、主動的安全防護體系非常重要,它不僅需要保障網(wǎng)絡環(huán)境的流暢合理,還要保障數(shù)據(jù)傳輸安全可靠。數(shù)據(jù)加密技術(shù)是加強網(wǎng)絡安全的一種有效形式。
作者:劉麗楊 單位:常州旅游商貿(mào)高等職業(yè)技術(shù)學校
參考文獻:
[1]劉宇平.數(shù)據(jù)加密技術(shù)在計算機安全中的應用分析[J].信息通信,2012,(02).
【關(guān)鍵詞】大學生;網(wǎng)絡素養(yǎng);網(wǎng)絡安全
本文基于網(wǎng)絡素養(yǎng)視角下探究大學生網(wǎng)絡安全教育引導來源于2016年影響較為廣泛的“徐某某”電信詐騙事件。2016年8月,某省高考錄取新生徐某某的考生信息被犯罪分子通過網(wǎng)絡技術(shù)手段竊取,并假扮教育局、財政局工作人員以發(fā)放助學金名義騙取徐某某上大學的費用9900元。在得知被騙后,徐某某郁結(jié)于心,最終導致心臟驟停不幸離世。該事件發(fā)生后,立即引起了社會各界廣泛關(guān)注,大學生網(wǎng)絡安全又被推向輿論的浪尖。因此,如何開展大學生網(wǎng)絡安全教育引導,提高大學生的網(wǎng)絡安全防范意識是我們值得深思的問題。
一、網(wǎng)絡素養(yǎng)與網(wǎng)絡安全的關(guān)系
網(wǎng)絡素養(yǎng)主要由五個部分構(gòu)成:信息接收、信息解讀、網(wǎng)絡安全、網(wǎng)絡利用、網(wǎng)絡倫理道德1。網(wǎng)絡安全與網(wǎng)絡素養(yǎng)的關(guān)系是包含、融合和發(fā)展的關(guān)系。網(wǎng)絡安全是構(gòu)成網(wǎng)絡素養(yǎng)的重要部分之一,網(wǎng)絡安全進一步發(fā)展了網(wǎng)絡素養(yǎng)的內(nèi)涵和外延;網(wǎng)絡素養(yǎng)包含了網(wǎng)絡安全,缺乏網(wǎng)絡安全的網(wǎng)絡素養(yǎng)注定是不完整的、不全面的,因此兩者相輔相成,相互影響,缺一不可。
二、大學生網(wǎng)絡安全意識缺失的表現(xiàn)
1.信息辨別能力不強
網(wǎng)絡信息浩如煙海,對信息判斷能力相對較弱的大學生而言一旦遇到虛假信息就有可能造成不可估計的后果。如網(wǎng)絡兼職,利用課余時間做兼職是在校大學生接觸社會鍛煉自己的一個很好途徑,而電腦、手機和網(wǎng)絡的普及,促使很多大學生不再局限于傳統(tǒng)的兼職手段,而是涌現(xiàn)了部分網(wǎng)絡兼職群體,也出現(xiàn)了很多網(wǎng)絡兼職網(wǎng)站。雖然網(wǎng)絡兼職具有不受地域限制、信息流通更快捷等優(yōu)點,但遇到的不確定性因素卻增多,如個人信息被盜,騙取押金、冒充親人騙取錢財?shù)取M瑫r,大學生對二維碼風險、公共wifi、偽基站風險的認識還需要進一步加強。
2.網(wǎng)絡成癮
包括“游戲癮”、“購物癮”、“社交癮”等網(wǎng)絡成癮問題。長期處于網(wǎng)絡成癮會導致大學生學業(yè)荒廢、與家人朋友關(guān)系疏遠、身心受損等嚴重后果。如網(wǎng)絡購物,雖然突破了傳統(tǒng)商務模式的障礙,無論對消費者、市場都有著巨大的吸引力和影響力,網(wǎng)上商品的物美價廉和便捷性也極大吸引了大學生消費群體。但是網(wǎng)購是把雙刃劍,具有兩面性。雖然現(xiàn)在網(wǎng)絡支付手段和環(huán)境相對安全,但也難免有不法分子投機取巧,利用不法手段竊取用戶支付信息導致財產(chǎn)損失2。此外長期沉迷網(wǎng)絡購物、網(wǎng)絡游戲等,會造成大學生超前消費,意志消沉,從而構(gòu)成網(wǎng)絡犯罪。
3.網(wǎng)絡犯罪
網(wǎng)絡犯罪也是大學生常見的網(wǎng)絡安全問題之一。在刷微博、朋友圈和其他APP上獲取資訊時候,“三觀”尚未成熟且理性思維尚缺的大學生容易產(chǎn)生從眾心理和嘗新心理,導致錯誤的信息判斷,網(wǎng)絡輿論暴力、網(wǎng)絡涉黃、網(wǎng)絡詐騙、網(wǎng)絡涉謠等現(xiàn)象出現(xiàn)。但是部分大學生不能合理規(guī)劃個人消費,盲目攀比,或者部分大學生需要資金支持個人創(chuàng)業(yè),如果遇到不正規(guī)不合法的網(wǎng)貸渠道,風險意識較弱的大學生必定成為弱勢群體,倘若大學生欠下債務而無力償還就有可能走向犯罪。
三、開展大學生網(wǎng)絡安全教育引導
1.建立網(wǎng)絡安全防護
在國家政策的指導和保障下,要建立網(wǎng)絡安全產(chǎn)業(yè)鏈,構(gòu)筑網(wǎng)絡安全壁壘。一是從法律保障和安全監(jiān)管角度出發(fā),與時俱進地推動和完善與網(wǎng)絡安全相關(guān)的法律法規(guī)、技術(shù)標準,做好法律保障;加強網(wǎng)絡安全監(jiān)管和綜合治理能力,提升網(wǎng)絡安全事件應急力和打擊力度。基于此,《中華人民共和國網(wǎng)絡安全法》的推出為保障網(wǎng)絡安全,為信息化健康運行奠定了有法可依的基礎(chǔ)。二是從社會監(jiān)督角度出發(fā),充分發(fā)揮行業(yè)組織和專業(yè)機構(gòu)的作用,建立健全網(wǎng)絡安全社會監(jiān)督舉報機制,形成行業(yè)監(jiān)管氛圍;三是從運營商的角度出發(fā),無論是個體企業(yè)還是企業(yè)之間都要加強網(wǎng)絡安全防范意識,并嚴格自律。由此肅清網(wǎng)絡環(huán)境的不良行為,對凈化網(wǎng)絡環(huán)境,為互聯(lián)網(wǎng)良性健康發(fā)展保駕護航。
2.拓展高校網(wǎng)絡安全教育引導
將網(wǎng)絡安全教育引導與日常思想政治教育工作結(jié)合起來,充分發(fā)揮高校輔導員隊伍的作用。再次,網(wǎng)絡安全教育引導要貫穿于第一課堂和第二課堂,在課堂教育、教材融入和科研課題研究基礎(chǔ)上,在大學生之間廣泛開展網(wǎng)絡安全實踐教育,通過正反案例分析、情景再現(xiàn)互動、技能知識競賽等形式培養(yǎng)大學生網(wǎng)絡安全意識。大學生自我提升網(wǎng)絡安全意識雖然大學生的文化知識水平較高,但是由于尚未完全踏入社會,社會經(jīng)驗不足,容易缺乏安全防范意識,加之法律觀念淡薄,從而導致一些不良事件發(fā)生。因此,大學生自我網(wǎng)絡安全意識培養(yǎng)是現(xiàn)實需要。首先,學習計算機使用知識。大學生要學會如何使用計算機、如何利用計算機為個人發(fā)展服務。在使用過程中能夠正確辨別那些是有害信息、有害軟件,通過知識的學習鑄造一道網(wǎng)絡安全心理防線。其次,加強自身法制觀念。因為必要的法律認知對于個人來說是一種約束,但也更是一種保護手段。再次,要提高社會實踐防范能力。大學生面臨著從學校過渡到社會人的關(guān)鍵階段,社會實踐作為大學生踴躍參加的活動之一,年齡的增長并不意味著思想的成熟,對危險預判的缺乏往往導致安全事故的發(fā)生。
四、結(jié)語
網(wǎng)絡的發(fā)展帶來的大學生網(wǎng)絡安全問題是現(xiàn)實問題,是一項緊迫且必需完成的任務。網(wǎng)絡安全作為網(wǎng)絡素養(yǎng)的重要組成部分之一,加強網(wǎng)絡安全引導是我們實施網(wǎng)絡素養(yǎng)教育的重要措施之一,關(guān)注和研究這一領(lǐng)域,將開辟網(wǎng)絡素養(yǎng)教育更多途徑,豐富網(wǎng)絡素養(yǎng)教育內(nèi)容。
參考文獻
[1]中國互聯(lián)網(wǎng)絡信息中心.《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》,2017.
[2]吳澤鵬.大學生自身網(wǎng)絡安全問題研究,西安工業(yè)大學碩士學位論文,2016.
[3]中國互聯(lián)網(wǎng)絡信息中心.《2015年中國手機網(wǎng)民網(wǎng)絡安全狀況報告》,2015.
注釋
[關(guān)鍵詞]網(wǎng)絡 安全隱患 防護策略
中圖分類號:TP3 文獻標識碼:A 文章編號:1009-914X(2016)05-0369-01
近幾年,我國計算機網(wǎng)絡技術(shù)發(fā)展突飛猛進,在諸多領(lǐng)域有了長足進步,但由于起步較晚、基礎(chǔ)薄弱,與西方發(fā)達國家相比,仍有很多不足,特別是在網(wǎng)絡安全管理方面更是如此,無論是安全意識和防護能力都有較大差距。如何確保網(wǎng)絡與信息安全,把網(wǎng)絡信息安全管理工作抓到實處、抓出成效,已經(jīng)成為當前網(wǎng)絡信息安全管理人員面臨的一個重要課題。
一、網(wǎng)絡的安全隱患
(一)人為破壞。一方面是來自于網(wǎng)絡外部的攻擊。互聯(lián)網(wǎng)為外部攻擊提供了便利條件,當內(nèi)部網(wǎng)的對外接口沒有采取嚴格的安全管控措施時,網(wǎng)絡攻擊者就能夠很容易進入內(nèi)部從事破壞活動。另一方面是來自于網(wǎng)絡內(nèi)部的攻擊。當內(nèi)部網(wǎng)規(guī)模較大時,用戶數(shù)量增多,如果安全管理不嚴格,就有可能遭到內(nèi)部用戶的攻擊。由于內(nèi)部用戶分別具有相應級別的使用權(quán)限,因此造成的破壞程度往往也最嚴重。
(二)管理失誤。一是分工不明確。少數(shù)管理者權(quán)限過大,從而造成行政管理權(quán)與網(wǎng)絡使用權(quán)不匹配,增大了安全隱患。二是職責不清楚。操作人員一般未經(jīng)過系統(tǒng)的、全面的、專業(yè)的培訓,保密意識比較淡薄,管理員賬號及口令管理不嚴,致使網(wǎng)絡存在較大的安全威脅。三是制度不落實。安全教育、預測分析、定期排查等基本安全制度落實不力,缺乏有效監(jiān)督,造成網(wǎng)絡安全性大大降低。
(三)技術(shù)漏洞。一是網(wǎng)絡服務隱患。操作系統(tǒng)都會提供各類服務供用戶使用,如遠程接入服務,當服務器對遠程用戶缺乏有效認證時,將無法監(jiān)督其操作行為,造成的網(wǎng)絡威脅較大。二是操作系統(tǒng)隱患。不同的操作系統(tǒng)均存在一定程度的安全漏洞,特別是操作系統(tǒng)為開發(fā)人員提供的無口令入口,在帶來便捷的同時,也給網(wǎng)絡攻擊者留下了可乘之機。三是網(wǎng)絡協(xié)議隱患。現(xiàn)有網(wǎng)絡中TCP/IP協(xié)議使用最為廣泛,該協(xié)議在設(shè)計之初確立的目標不是安全,而是互連互通互操作,這種公開性為其實際應用埋下了安全隱患。
二、網(wǎng)絡的安全防護策略
(一)嚴格安全管理。網(wǎng)絡安全事故往往是由管理失誤引起的。建立完善和嚴格執(zhí)行人員、機房、軟件及操作等安全制度,加大用戶管理力度,著力提升網(wǎng)絡安全性能,同時建立實時的監(jiān)控系統(tǒng),組織定期的安全培訓,能夠最大限度地降低安全風險,防止各類問題發(fā)生。
(二)構(gòu)筑防火墻。防火墻處于本地網(wǎng)絡與外部網(wǎng)絡之間,可以對經(jīng)過的網(wǎng)絡通信進行掃描,只有符合特定條件的用戶或數(shù)據(jù)才被允許通過,從而過濾掉大量攻擊。除此之外,防火墻還能夠關(guān)閉不使用的端口及特定的端口,禁止來自于特殊站點的訪問,防止“不速之客”非法訪問網(wǎng)絡。
(三)加密與認證。加密與認證是網(wǎng)絡安全技術(shù)的核心。加密是隱藏信息的過程,它能夠以較小的代價,對傳輸信息提供強有力的安全保護。借助加密手段,信息即使被截取或泄露,未被授權(quán)者也不能理解其真正含義。認證是檢驗用戶和數(shù)據(jù)正確性的過程,主要包括消息完整性認證、身份認證,以及消息序號和操作時間等認證。只有通過了認證,才可以上網(wǎng)訪問,這樣能夠有效阻止入侵者對信息系統(tǒng)進行主動攻擊。
(四)安全漏洞掃描。漏洞掃瞄技術(shù)是一種主動的防御措施,能夠有效阻止黑客的攻擊行為,做到防患于未然。通過網(wǎng)絡安全漏洞掃描,系統(tǒng)管理員能夠全面了解網(wǎng)絡設(shè)置參數(shù)和服務運行狀態(tài),客觀評估系統(tǒng)風險等級,及時發(fā)現(xiàn)和堵塞安全漏洞,從而在入侵者攻擊前做好防范。
(五)訪問控制。通常用于系統(tǒng)管理員控制用戶對服務器、目錄、文件等網(wǎng)絡資源的訪問。如果沒有訪問控制,那么用戶只要接入網(wǎng)絡,就可以隨意訪問網(wǎng)絡上的任何資源,這是非常危險的。在網(wǎng)絡入口處實施訪問控制,既可以保證合法用戶訪問授權(quán)保護的網(wǎng)絡資源,又可以防止非法主體進入受保護的網(wǎng)絡資源進行非授權(quán)的訪問。
(六)最小授權(quán)。關(guān)停安全策略中那些沒有經(jīng)過定義的網(wǎng)絡服務,為用戶設(shè)置滿足需要的最小權(quán)限,并及時注銷非必要賬號,可以在相當大程度上減小網(wǎng)絡入侵的風險。目前最為常見的攻擊手段有主機掃描、用戶掃描、端口掃描以及破解用戶口令等等,最小授權(quán)原則可以極低的代價大幅提高網(wǎng)絡安全性。
(七)入侵檢測。能夠有效彌補防火墻技術(shù)在某些功能上的不足,是防火墻之后的第二道安全屏障。入侵檢測系統(tǒng)在幾乎不影響網(wǎng)絡性能的情況下實時監(jiān)控網(wǎng)絡,自動檢測可疑的網(wǎng)絡活動,一旦發(fā)現(xiàn)有違反安全策略的行為和被攻擊的跡象將及時作出響應,包括切斷網(wǎng)絡連接、記錄事件和報警等。
(八)主機加固。網(wǎng)絡上的一切操作行為都是在操作系統(tǒng)的基礎(chǔ)上完成的,因此操作系統(tǒng)的安全性能直接決定了網(wǎng)絡的安全性能。現(xiàn)有的各種操作系統(tǒng),如Windows等,在安全性方面都存在先天的不足。采取禁止一些非必要的服務等方式,并及時了解網(wǎng)絡安全方面的消息,下載系統(tǒng)安全補丁,可以把操作系統(tǒng)和應用平臺的安全隱患大大降低。
(九)病毒防范。計算機病毒借助網(wǎng)絡或移動存儲介質(zhì)傳播,利用駐留內(nèi)存、截取中斷向量等方式進行傳染和破壞,所造成的后果難以估計。為了降低病毒危害,必須建立合理的病毒防護體系和制度,及時更新病毒庫;當發(fā)現(xiàn)病毒侵入時,應立即采取有效手段阻止病毒進一步的破壞行為,并恢復受影響的計算機系統(tǒng)和數(shù)據(jù)。
(十)網(wǎng)絡隔離。按照數(shù)據(jù)的保密、功能等各項要求,通過使用專用的物理硬件和不同的安全協(xié)議在網(wǎng)絡之間架設(shè)安全隔離網(wǎng)墻,實現(xiàn)多個系統(tǒng)既在空間上物理隔離,又能過濾數(shù)據(jù)交換過程中的病毒、惡意代碼等內(nèi)容,保證數(shù)據(jù)信息在可信的網(wǎng)絡環(huán)境中進行交換。網(wǎng)絡隔離技術(shù)具有高度的安全性,在理論與實踐上都要比防火墻高一個安全級別。
參考文獻
[1] 張輝.數(shù)據(jù)通信與網(wǎng)絡[M].北京:北京郵電大學出版社,2010.
[2] 網(wǎng)絡測試與故障診斷試驗教程[M].北京:清華大學出版社,2011.
關(guān)鍵詞:指紋系統(tǒng),安全防范,防御機制
一、概述
指紋信息系統(tǒng)作為一種公安工作的局域網(wǎng),有其特定含義和應用范疇,它積累信息為偵察破案提供線索,概括起來有四個方面的典型應用:第一,指紋系統(tǒng)是為公安工作服務的,是一種刑事偵察的工具,它是各地、市之間指紋交流工具,也是指紋信息資源的提供者。第二,指紋系統(tǒng)是為偵察破案提供線索,為案件進展提供便利服務的。第三,指紋系統(tǒng)積累犯罪嫌疑人信息,如嫌疑人的指紋管理、前科管理、基本信息管理等,為串、并案件提供可靠依據(jù)。第四,指紋系統(tǒng)是溝通與其他公安工作的窗口,利用它既可以獲取各種信息,也可以向其他公安工作相關(guān)信息。
二、指紋信息系統(tǒng)安全的主要問題
隨著網(wǎng)絡在公安工作各個方面的延伸,進入指紋系統(tǒng)的手段也越來越多,因此,指紋信息安全是目前指紋工作中面臨的一個重要問題。
1、物理安全問題
指紋信息系統(tǒng)安全首先要保障系統(tǒng)上指紋數(shù)據(jù)的物理安全。物理安全是指在物理介質(zhì)層次上對存貯和傳輸?shù)闹讣y數(shù)據(jù)安全保護。目前常見的不安全因素(安全威脅或安全風險)包括兩大類:第一類是自然災害(如雷電、地震、火災、水災等),物理損壞(如硬盤損壞、設(shè)備使用壽命到期、外力破損等),設(shè)備故障(如停電、斷電、電磁干擾等),意外事故。第二類是操作失誤(如刪除文件、格式化硬盤、線路拆除等),意外疏漏(如系統(tǒng)掉電、“死機”等)。
2、指紋操作系統(tǒng)及應用服務的安全問題
現(xiàn)在應用的主流操作系統(tǒng)為Windows 操作系統(tǒng),該系統(tǒng)存在很多安全隱患。操作系統(tǒng)不安全也是系統(tǒng)不安全的重要原因。
3、非法用戶的攻擊
幾乎每天都可能聽到在公安網(wǎng)上眾多的非法攻擊事件,這些事件一再提醒我們,必須高度重視系統(tǒng)的安全問題。非法用戶攻擊的主要方法有:口令攻擊、網(wǎng)絡監(jiān)聽、緩沖區(qū)溢出、郵件攻擊和其他攻擊方法。
4、計算機病毒威脅
計算機病毒將導致指紋系統(tǒng)癱瘓,系統(tǒng)程序和指紋數(shù)據(jù)嚴重破壞,使系統(tǒng)的效率和作用大大降低,系統(tǒng)的許多功能無法使用或不敢使用。雖然,至今還沒過出現(xiàn)災難性的后果,但層出不窮的各種各樣的計算機病毒活躍在公安網(wǎng)的各個角落,令人堪憂。計算機病毒是指人為制造的干擾和破壞計算機系統(tǒng)的程序,它具有傳染性、隱蔽性、潛伏性、破壞性等特點。通常,我們將計算機的病毒分為“良性”和“惡性”兩類。所謂良性病毒是指不對計算機數(shù)據(jù)進行破壞,但會造成計算機工作異常、變慢等。 惡性病毒往往沒有直觀表現(xiàn),但會對計算機數(shù)據(jù)進行破壞,有的甚至會破壞計算機的硬件,造成整個計算機癱瘓。前段時間流行的沖擊波、震蕩波、狙擊波病毒,它們根據(jù) Windows漏洞進行攻擊,電腦中毒后1分鐘重起。在重新啟動之前,沖擊波和震蕩波允許用戶操作,而狙擊波不允許用戶操作。病毒是十分狡猾的敵人,它隨時隨地在尋找入侵電腦的機會,因此,預防和清除計算機病毒是非常重要的,我們應提高對計算機病毒的防范意識,不給病毒以可乘之機。
三、指紋系統(tǒng)的安全防范措施
指紋信息系統(tǒng)是一個人機系統(tǒng),需要多人參與工作,而系統(tǒng)操作人員是系統(tǒng)安全的責任主體,因此,要重視對各級系統(tǒng)操作人員進行系統(tǒng)安全的教育,做到專機專用,嚴禁操作人員進行工作以外的操作;下面就本人在實際工作中總結(jié)的一些經(jīng)驗,談一 談對指紋信息系統(tǒng)的維護與病毒的預防。
1、 對指紋系統(tǒng)硬件設(shè)備和系統(tǒng)設(shè)施進行安全防護
(1)系統(tǒng)服務器安全:服務器是指紋系統(tǒng)的大腦和神經(jīng)中樞,一旦服務器或硬盤有故障,輕者將導致系統(tǒng)的中斷,重者可能導致系統(tǒng)癱瘓或指紋數(shù)據(jù)丟失,因此在服務器端,可以采用雙機熱備份+異機備份方案。論文大全。在主服務器發(fā)生故障的情況下,備份服務器自動在 30 秒 內(nèi)將所有服務接管過來,從而保證整個指紋系統(tǒng)不會因為服務器發(fā)生故障而影響到系統(tǒng)的正常運行,確保系統(tǒng) 24小時不間斷運行。在磁盤陣列柜,我們可安裝多塊服務器硬盤, 用其中一塊硬盤做備份,這樣可保證在其它硬盤發(fā)生故障時,直接用備份硬盤進行替換。
(2)異機數(shù)據(jù)備份:為防止單點故障(如磁盤陣列柜故障)的出現(xiàn),可以另設(shè)一個備份服務器為,并給它的服務設(shè)置一個定時任務,在定置任務時,設(shè)定保存兩天的備份數(shù)據(jù),這樣可保證當某天指紋數(shù)據(jù)備份過程中出現(xiàn)故障時也能進行指紋數(shù)據(jù)的安全恢復。通過異機備份,即使出現(xiàn)不可抗拒、意外事件或人為破壞等毀滅性災難時,也不會導致指紋信息的丟失,并可保證在1小時內(nèi)將指紋數(shù)據(jù)恢復到最近狀態(tài)下,使損失降到最低。
(3)電路供應:中心機房電源盡量做到專線專供,同時采用UPS(不間斷電源),部分非窗口計算機采用300 W 延時20分鐘的 UPS進行備用,這樣可保證主服務器和各服務窗口工作站不會因電源故障而造成指紋信息的丟失或系統(tǒng)的癱瘓。
(4)避雷系統(tǒng):由于通信設(shè)備尤其是裸露于墻體外的線路,易受雷擊等強電磁波影響而導致接口燒壞,為對整個系統(tǒng)進行防雷保護,分別對中心機房、主交換機、各分交換機和各工作站進行了分層次的防護。
(5)主機房的防盜、防火、防塵:主機房是系統(tǒng)中心,一旦遭到破壞將帶來不可估量的損失,可以安裝防盜門,或安排工作人員24小時值班。同時,由于服務器、交換機均屬于高精密儀器,對防塵要求很高,所以對主機房進行裝修時應鋪上防靜電地板,準備好(電火)滅火器,安裝上空調(diào), 以保證機房的恒溫,并派專人對主機房的衛(wèi)生、防塵等具體負責。論文大全。
(6)對移動存儲器,借出時要寫保護,借入時要先殺毒;
(7)不使用盜版或來歷不明的軟件,做到專機專用,在公安內(nèi)網(wǎng)的機器不準聯(lián)到互聯(lián)網(wǎng)上使用;
2 、 全方位的系統(tǒng)防御機制
我們常說“病從口入”所以要做到防患于未然,必須切斷計算機病毒的傳播途徑,具體的預防措施如下:
(1)利用防病毒技術(shù)來阻止病毒的傳播與發(fā)作。
為了使系統(tǒng)免受病毒所造成的損失,采用多層的病毒防衛(wèi)體系。在每臺PC機上安裝單機版反病毒軟件,在服務器上安裝基于服務器的反病毒軟件,并在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件。因為防止病毒的攻擊是每個工作人員的責任,人人都要做到自己使用的臺式機上不受病毒的感染,從而保證整個指紋系統(tǒng)不受病毒的感染。
(2)應用防火墻技術(shù)來控制訪問權(quán)限。
作為指紋系統(tǒng)內(nèi)部網(wǎng)絡與外部公安網(wǎng)絡之間的第一道屏障,防火墻是最先受到重視的網(wǎng)絡安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡安全的最底層,負責網(wǎng)絡間的安全認證與傳輸,但隨著公安網(wǎng)絡安全技術(shù)的整體發(fā)展和公安工作中網(wǎng)絡應用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務,同時還能為各種網(wǎng)絡應用提供相應的安全服務。 在系統(tǒng)出口處安裝防火墻后,系統(tǒng)內(nèi)部與外部網(wǎng)絡進行了有效的隔離,所有來自外部的訪問請求都要通過防火墻的檢查,這樣系統(tǒng)的安全有了很大的提高。論文大全。防火墻可以通過源地址過濾,拒絕非法IP 地址,有效避免公安網(wǎng)上與指紋工作無關(guān)的主機的越權(quán)訪問;防火墻可以只保留有用的服務,將其他不需要的服務關(guān)閉,這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度,使非法用戶無機可乘;防火墻可以制定訪問策略,只有被授權(quán)的外部主機才可以訪問系統(tǒng)的有限IP地址,保證其它用戶只能訪問系統(tǒng)的必要資源,與指紋工作無關(guān)的操作將被拒絕;由于所有訪問都要經(jīng)過防火墻,所以防火墻可以全面監(jiān)視對系統(tǒng)的訪問活動,并進行詳細的記錄,通過分析可以發(fā)現(xiàn)可疑的攻擊行為;防火墻可以進行地址轉(zhuǎn)換工作,使外部用戶不能看到系統(tǒng)內(nèi)部的結(jié)構(gòu),使攻擊失去目標。
(3)應用入侵檢測技術(shù)及時發(fā)現(xiàn)攻擊苗頭。
入侵檢測系統(tǒng)是提供實時的入侵檢測及采取相應的防護手段,如記錄證據(jù)用于跟蹤和恢復、斷開網(wǎng)絡連接等。實時入侵檢測能力之所以重要是因為它能夠?qū)Ω秮碜韵到y(tǒng)內(nèi)外的攻擊,縮短入侵的時間。
(4)應用安全掃描技術(shù)主動探測系統(tǒng)安全漏洞,進行系統(tǒng)安全評估與安全加固。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合,能夠有效提高指紋系統(tǒng)的安全性。通過對系統(tǒng)的掃描,系統(tǒng)管理員可以了解系統(tǒng)的安全配置和運行的應用服務,及時發(fā)現(xiàn)安全漏洞,客觀評估系統(tǒng)風險等級。系統(tǒng)管理員也可以根據(jù)掃描的結(jié)果及時消除系統(tǒng)安全漏洞和更正系統(tǒng)中的錯誤配置,在非法用戶攻擊前進行防范。
(5)應用系統(tǒng)安全緊急響應體系,防范安全突發(fā)事件。
指紋系統(tǒng)安全作為一項動態(tài)工程,意味著它的安全程度會隨著時間的變化而發(fā)生改變。 在信息技術(shù)日新月異的今天,即使昔日固若金湯的系統(tǒng)安全策略,也難免會隨著時間和環(huán)境的變化,變得不堪一擊。因此,我們需要隨時間和系統(tǒng)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略,并及時組建系統(tǒng)安全緊急響應體系,專人負責,防范安全突發(fā)事件。
參考文獻:
[1] JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104
[2] J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284
[3] 張 敏,徐 震,馮登國.基于安全策略模型的安全功能測試用例生成方法,軟件學報(已投稿),2006
[4] 何永忠.DBMS安全策略模型的研究:[博士學位論文],北京市石景山區(qū)玉泉路19號(甲):中國科學院研究生院,2005
[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992
[6]蔣平.計算機犯罪問題研究[M].北京:電子工業(yè)出版社,2002.
[7]高銘喧.新編中國刑法學[M].北京:中國科學技術(shù)出版社,2000.
[8]朱廣艷. 信息技術(shù)與課程整合的發(fā)展與實踐[J]. 中國電化教育,2003(194):8- 10.
[9]黃叔武 劉建新 計算機網(wǎng)絡教程 清華大學出版社 2004年11 月
[10]戴紅 王海泉 黃堅 計算機網(wǎng)絡安全 電子工業(yè)出版社2004.9.8
[11]丁志芳, 徐夢春. 評說防火墻和入侵檢測[J]. 網(wǎng)絡安全技術(shù)與應用, 2004,(4):37- 41.
[12]周國民. 黑客蘇南與用戶防御[J].計算機安全, 2005,(7):72-74.
[13]周筱連. 計算機網(wǎng)絡安全防護[J].電腦知識與技術(shù)( 學術(shù)交流) ,2007,(1).
[14]阿星. 網(wǎng)絡安全不容忽視[J]. 電腦采購周刊, 2002,(32).
[15]網(wǎng)絡安全新概念[J].計算機與網(wǎng)絡, 2004,(7).
[16]王銳. 影響網(wǎng)絡安全的因素及需要考慮的問題[J]. 計算機教育, 2005,(1).
1計算機網(wǎng)絡安全現(xiàn)狀
近年來,我國的計算機網(wǎng)絡技術(shù)得到了快速的發(fā)展,在人們的生活、工作和學習中的應用都非常廣泛,為人們帶來了很大的便捷,人們在日常生活中都喜歡采用計算機網(wǎng)絡來完成相關(guān)的工作和操作,可以提升工作的效率和質(zhì)量,搜集相關(guān)的信息非常方便。計算機網(wǎng)絡有很強的便利性和開放性,人們不僅可以利用計算機網(wǎng)絡技術(shù)工作,還可以利用其完成網(wǎng)絡購物和娛樂,豐富了人們的生活。但是與此同時,計算機網(wǎng)絡技術(shù)也帶來了一定的威脅和風險。人們在使用計算機網(wǎng)絡時,常常需要留下自己的一些個人信息,如果這些信息沒有被保護好,一旦泄露出去將會對人們的財產(chǎn)安全和隱私安全造成重大的影響,例如存款被盜等。不僅如此,在使用計算機網(wǎng)絡的同時,如果收到計算機網(wǎng)絡病毒的入侵,就會破壞電腦程序,導致電腦系統(tǒng)癱瘓,不僅影響人們對計算機正常使用,甚至還會帶來很多麻煩。一些惡意的軟件也會導致計算機內(nèi)部系統(tǒng)不能正常運行。從現(xiàn)在的情況來看,我國的計算機網(wǎng)絡存在著很多安全問題,已經(jīng)嚴重影響了人們對計算機網(wǎng)絡的正常使用,帶來了很多的不良影響。
2計算機安全漏洞掃描技術(shù)
計算機安全漏洞掃描技術(shù)是計算機網(wǎng)絡的一種重要防護手段,可以對計算機網(wǎng)絡中的網(wǎng)絡設(shè)備和終端系統(tǒng)進行檢測,如果設(shè)備和系統(tǒng)中存在著一定的漏洞和安全問題,就可以及時找出來,此時管理人員就可以結(jié)合具體的漏洞類型和缺陷情況采取有效的方式來進行修復,避免系統(tǒng)漏洞造成嚴重的損害和威脅,從而實現(xiàn)計算機網(wǎng)絡的安全使用,提升其安全性能。從現(xiàn)在的情況來看,我國的安全漏洞掃描技術(shù)分為兩種,分別為被動式掃描技術(shù)和主動式掃描技術(shù)。其中被動式漏洞掃描技術(shù)可以使計算機網(wǎng)絡中的很多項內(nèi)容都進行檢測和掃描,它是以服務器為基礎(chǔ)進行掃描和檢測的,并且檢測之后會形成檢測報告,網(wǎng)絡管理人員就可以通過對報告的分析和研究來了解計算機設(shè)備和系統(tǒng)存在的安全漏洞,并采取有效的方法來處理。主動式漏洞掃描技術(shù)體現(xiàn)在檢測的自動化,是一種更為先進的檢測技術(shù),只要有網(wǎng)絡就可以實現(xiàn)自動化漏洞檢測,在自動檢測過程中,通過主機的響應來了解主機的操作系統(tǒng)、程序和服務器等是否存在著漏洞是需要修復的,從而實現(xiàn)對網(wǎng)絡漏洞的檢測。
3計算機網(wǎng)絡安全漏洞掃描技術(shù)的運用
3.1基于暴力的用戶口令破解法應用。基于暴力的用戶口令破解法也是計算機安全漏洞掃描的重要方法。從現(xiàn)在的情況來看,很多計算機網(wǎng)絡都會設(shè)置用戶名和登陸密碼,從而將網(wǎng)絡的操作權(quán)限分給不同的用戶,如果人們將用戶名破解,就可以獲得網(wǎng)絡的訪問權(quán)限,使網(wǎng)絡安全難以保障。針對這種情況,就可以采用基于暴力的用戶口令破解法。例如采用POP3弱口令漏洞掃描,通過用戶名和密碼來發(fā)送和接收郵件。在掃描漏洞時,建立用戶標識和密碼文檔,在文檔中儲存登陸密碼和用戶標識,可以實現(xiàn)及時更新。在漏洞掃描時,將目標端口連接,判斷這個協(xié)議是否為認證狀態(tài),如果由失敗或者錯誤的信息,就說明這個標識是不可用的,如果所有的結(jié)果都是有用信息,則說明身份認證通過。根據(jù)這個指令來做出判斷,從而保障系統(tǒng)安全。此外,F(xiàn)TP弱口令漏洞掃描也是一種基于暴力的用戶口令破解法,其是一種文件傳輸協(xié)議,其原理和POP3弱口令漏洞掃描非常相似,只是其是通過SOCKET連接來掃描漏洞的。3.2基于端口掃描的漏洞分析法的應用。基于端口掃描的漏洞分析法是一種常見的計算機網(wǎng)絡漏洞檢測方法,當網(wǎng)絡系統(tǒng)中出現(xiàn)一些安全入侵行為之后,就可以對目標主機的一些端口進行掃描,就可以將端口的安全漏洞檢測出來。因此,在實際使用基于端口掃描的漏洞分析法時,對漏洞進行掃描時需要向網(wǎng)絡通向目標主機的一些端口發(fā)送特定的信息,就可以獲得關(guān)于這些端口的信息。此時,還需要對目標主機中存在的漏洞進行分析和判斷,根據(jù)已經(jīng)掌握的信息來實現(xiàn)。例如,在實際的計算機網(wǎng)絡應用中,F(xiàn)inger服務和UNIX系統(tǒng)其允許入侵者獲得一些公共的信息,此時計算機網(wǎng)絡將會面臨著安全風險,利用基于端口掃描的漏洞分析法對服務和系統(tǒng)進行掃描,就可以判斷目標主機的Finger服務是開放還是關(guān)閉的,得出結(jié)果之后就可以采取一定的措施來對漏洞進行修復。
4結(jié)語
計算機網(wǎng)絡安全引起了人們的高度重視,為了保障計算機的網(wǎng)絡安全,可以通過安全漏洞掃描技術(shù)的應用來實現(xiàn),在使用計算機網(wǎng)絡時通過基于端口掃描的漏洞分析法和基于暴力的用戶口令破解法的運用,就可以提升計算機網(wǎng)絡的安全性能。
作者:易永紅 單位:綿陽職業(yè)技術(shù)學院計算機科學系
參考文獻
[1]王勇.關(guān)于計算機網(wǎng)絡安全與漏洞掃描技術(shù)的分析探討[J].數(shù)字技術(shù)與應用,2016,21(04):211-211.
【 關(guān)鍵詞 】 虛擬化; 安全問題;計算機網(wǎng)絡;虛擬存儲
1 引言
虛擬化技術(shù)早在上世紀60年代由IBM提出。隨著互聯(lián)網(wǎng)發(fā)展和云計算的概念提出,在過去幾年內(nèi),虛擬化普及的速度迅速提高。據(jù)EMC公司CEO Joe Tucci稱,大部分VMware客戶已經(jīng)計劃在未來3年內(nèi)實現(xiàn)其50%的IT基礎(chǔ)設(shè)施的虛擬化。
虛擬化技術(shù)可以擴大硬件的容量,簡化軟件的重新配置過程,允許一個平臺同時運行多個操作系統(tǒng),并且應用程序都可以在相互獨立的空間內(nèi)運行而互不影響,從而顯著提高計算機的工作效率。虛擬化的好處是可以為多個項目和環(huán)境提供更快的速度和靈活性,但不利的方面主要是虛擬機和環(huán)境的安全一般并未被考慮,并不是因為這些實施項目的安全性有技術(shù)難度,而是因為安全問題是實施大范圍虛擬化的人員所未知的領(lǐng)域。換句話說,實施虛擬化時一般沒有考慮它所帶來的新安全風險。
2 虛擬化及虛擬化數(shù)據(jù)中心
2.1 虛擬化及其特點
虛擬化的含義非常廣泛, 一種比較通俗的定義就是: 虛擬化就是淡化用戶對于物理計算資源, 如處理器、內(nèi)存、I/O 設(shè)備的直接訪問, 取而代之的是用戶訪問邏輯的資源, 而后臺的物理連接則由虛擬化技術(shù)來實現(xiàn)和管理。這個定義形象地說明了虛擬化的基本作用, 其實就是要屏蔽掉傳統(tǒng)方式下, 用戶部署應用時需要考慮的物理硬件資源屬性, 而是更著重于應用真正使用到的邏輯資源。虛擬化是分區(qū)組合, 因此在一個物理平臺上多個虛擬機可以同時運行, 每個虛擬機之間互不影響。
虛擬化的主要特點。
(1)封閉。虛擬單元的所有的環(huán)境被存放在一個單獨的文件中; 為應用展現(xiàn)的是標準化的虛擬硬件, 保證兼容性; 整個磁盤分區(qū)被存儲為一個文件,易于備份, 轉(zhuǎn)移和拷貝。
(2)隔離。虛擬化能夠提供理想化的物理機,每個虛擬機互相隔離; 數(shù)據(jù)不會在虛擬機之間泄露;應用只能在配置好的網(wǎng)絡連接上進行通訊。
(3)分區(qū)。大型的、擴展能力強的硬件能夠被用來作為多立的服務器使用; 在一個單獨的物理系統(tǒng)上可以運行多個操作系統(tǒng)和應用; 計算資源可以被放置在資源池中, 并能夠被有效地控制。
2.2 虛擬化數(shù)據(jù)中心及其特點
虛擬化數(shù)據(jù)中心是指采用虛擬化技術(shù)構(gòu)建的基礎(chǔ)設(shè)施資源池化的數(shù)據(jù)中心,虛擬化后的數(shù)據(jù)中心將整個數(shù)據(jù)中心的計算、網(wǎng)絡、存儲等基礎(chǔ)資源當作可按需分割的資源供集中調(diào)配。
虛擬化數(shù)據(jù)中心的關(guān)鍵是服務器虛擬化。邏輯分割一臺X86服務器的CPU、內(nèi)存、磁盤、I/O等硬件,構(gòu)造多個虛擬機(VM)的技術(shù)發(fā)展迅猛,并大量部署在數(shù)據(jù)中心。服務器的虛擬化提供了計算資源按需調(diào)配的手段,而虛擬化的數(shù)據(jù)中心是計算與網(wǎng)絡、存儲等深度融合而成,因此,要使服務器虛擬化的優(yōu)勢能順利實現(xiàn),必須有合適的網(wǎng)絡、存儲與之匹配,并在一定層面還要制定虛擬化的管理策略。
3 虛擬化軟件自身的安全問題
從表面上講,虛擬化的BSD客戶端與真正的單個設(shè)備具有同樣的安全威脅和問題,這一點毋庸置疑。然而,主要的區(qū)別還在于額外的管理層:Hypervisor。Hypervisor實際上是另一個操作系統(tǒng),它管理主機OC和客戶端OS之間的通信。管理員不用擔心單個設(shè)備上的單個BSD,而是必須關(guān)注第三個操作系統(tǒng)的安全。
在安全方面,我們不能對虛擬化想當然,而且應該比物理和專用操作系統(tǒng)及設(shè)備的日常威脅更加警惕。筆者認為虛擬軟件安全的現(xiàn)實影響主要有幾個方面。
3.1 攻擊管理接口
一般情況下,VMM/hypervisor采用非仿真硬件接入的通信模式管理主機和客戶端之間的用戶交互,例如控制鼠標在管理GUI中的虛擬事例上的移動。
我們看一個例子,從主機向客戶端上的虛擬CD加載ISO文件的情況。首先,主機上的VMware進程必須能夠接入ISO文件。這一般不是問題,因為VMware進程作為一個高級用戶運行,具有較高的權(quán)限。接下來,客戶端上必須有一個進程知道如何與主機上的進程通信。這要求在客戶端上安裝軟件,通過Hypervisor進行命令調(diào)用而與主機VMM通信。客戶端管理子系統(tǒng)向主機發(fā)起呼叫,一般通過指定的管道發(fā)起,要求主機代替客戶端啟動硬件調(diào)用,“欺騙”客戶端認為它正在通過物理驅(qū)動器接入物理CD。這是VMware從主機向客戶端加載CD的基本例子。
這個過程很簡單,但對安全性極為重要,因為我們創(chuàng)建了一個在主機和客戶端上作為超級用戶運行的未檢查的系統(tǒng),可以被惡意攻擊者操縱和利用。這種延遲接入使惡意攻擊者能夠在客戶端上實施破壞性報復行動,最初簡單的數(shù)據(jù)攔截攻擊可能很快演變?yōu)閷φ麄€虛擬化數(shù)據(jù)基礎(chǔ)設(shè)施的全面攻擊。
3.2 避開虛擬機
要避開虛擬機,需要依次迂回進入硬件和操作系統(tǒng)設(shè)計。在基于X86的CPU,ring 0(通常指內(nèi)核模式)是CPU的一部分,在這里管理內(nèi)核級進程。同樣,ring 3(或用戶模式)是對用戶級進程分配處理空間的地方。虛擬化操作系統(tǒng)要求ring 0接入CPU,就如同真正的本地安裝的操作系統(tǒng)。物理和虛擬操作系統(tǒng)都需要一定數(shù)量的內(nèi)核代碼(例如中斷表格和視圖)在ring 0中運行,并且始終知道這些代碼在RAM中位于何處。
與物理操作系統(tǒng)不同的是,虛擬客戶端不可能像獨立的機器那樣,將中斷表格放置在RAM中的同一個位置,主機的中斷表格已經(jīng)占用了內(nèi)存中的該位置。因此,盡管客戶端認為其中斷表格可能位于其虛擬RAM中的0x0000ffff處(表格始終存儲在這個特定操作系統(tǒng)中),但主機實際上已經(jīng)通過透明的Hypervisor將這個位置映射到物理RAM中的0x1234abcd位置,對虛擬系統(tǒng)隱藏了實際位置。然而,這是一個內(nèi)核級空間,即使主機Hypervisor已經(jīng)針對客戶端處理了中斷表格的實際位置,虛擬表格仍必須從實際CPU上有權(quán)限的ring0運行(并駐留在其中)。
一般用戶也無法知道在虛擬ring 0中發(fā)生了什么,但是VMM翻譯該呼叫,并通過IPC將該呼叫交付給運行在主機上的超級用戶,如果攻擊者找到利用虛擬微代碼的方式,則他們可能會操縱主機內(nèi)核和CPU。這叫做虛擬機躲避:跳出虛擬環(huán)境的限制,并進入物理環(huán)境。
3.3 虛擬機檢測
在攻擊者發(fā)起對虛擬環(huán)境的攻擊之前,攻擊者必須知道虛擬機在何處,以及他目前是否在一個虛擬機上。如果可以從本地接入平臺,例如通過SSH接入控制終端,就會有信號指出機器已被虛擬化。MAC地址、進程列表、機器上安裝的文件、驅(qū)動程序等容易檢測到的項目,只需敲擊幾下鍵盤即可訪問。然而,除了這些基本項目之外,有許多攻擊可幫助攻擊者檢測機器是否運行在虛擬環(huán)境中,有時甚至返回關(guān)鍵信息,例如客戶端的中斷表格的當前位置。
綜上,攻擊者只需花時間攻擊一臺虛擬機,這樣就可以破壞一個閉合網(wǎng)絡中的其它虛擬機,并最終避開虛擬VMM環(huán)境,接入主機。如果攻擊者的目的是攻擊盡可能多的機器,而且攻擊者知道某個系統(tǒng)組全是虛擬系統(tǒng),則基于Hypervisor的攻擊將提供最有利的攻擊池。這種多個虛擬內(nèi)核之間受保護的接入共享可能為所有類型的攻擊打開了方便之門。如果攻擊者可以操縱并控制多平臺虛擬化主機上的Hypervisor,則攻擊者就可以控制每個接入Hypervisor的客戶端的所有軟硬件命令。這種攻擊相當于擁有了數(shù)據(jù)中心內(nèi)的每一臺服務器,可深入到CPU和總線級別。
4 虛擬化環(huán)境下的網(wǎng)絡安全問題
盡管Hypervisor是虛擬化的“主控制器程序”,但它不是具有安全風險的唯一虛擬化抽象層。對于任何虛擬化系統(tǒng),另一個關(guān)鍵方面是網(wǎng)絡層。由于虛擬化的數(shù)據(jù)中心是計算、存儲、網(wǎng)絡三種資源深度融合而成,因此主機虛擬化技術(shù)能夠順利實現(xiàn)必須由合適的網(wǎng)絡安全策略與之匹配,否則一切都無從談起。
4.1 網(wǎng)絡安全挑戰(zhàn)
傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡安全包含縱向安全策略和橫向安全策略,無論是哪種策略,傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡安全都只關(guān)注業(yè)務流量的訪問控制,將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化數(shù)據(jù)中心的網(wǎng)絡安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間,即網(wǎng)絡安全策略能夠滿足動態(tài)遷移到其它物理服務器,并且實現(xiàn)海量用戶、多業(yè)務的隔離。
4.2 網(wǎng)絡安全策略
4.2.1 VLAN擴展
虛擬化數(shù)據(jù)中心作為集中資源對外服務,面對的是成倍增長的用戶,承載的服務是海量的,尤其是面向公眾用戶的運營云平臺。數(shù)據(jù)中心管理人員不但要考慮虛擬機或者物理機的安全,還需要考慮在大量用戶、不同業(yè)務之間的安全識別與隔離。
要實現(xiàn)海量用戶的識別與安全隔離,需要為虛擬化數(shù)據(jù)中心的每一個用戶提供一個唯一的標識。目前看VLAN是最好的選擇,但由于VLAN數(shù)最多只能達到4096,無法滿足虛擬化數(shù)據(jù)中心業(yè)務開展,因此需要對VLAN進行擴展。
4.2.2 隔離手段與網(wǎng)關(guān)選擇
虛擬化數(shù)據(jù)中心關(guān)注的重點是實現(xiàn)整體資源的靈活調(diào)配,因此在考慮網(wǎng)絡安全控制時必須考慮網(wǎng)絡安全能支撐計算資源調(diào)配的靈活性,只有將二者結(jié)合才能實現(xiàn)虛擬化數(shù)據(jù)中心網(wǎng)絡安全的最佳配置。當主機資源在同一個二層網(wǎng)絡內(nèi)被調(diào)配時,多數(shù)應用才能保持連續(xù)性。為滿足計算資源的靈活調(diào)配,應該構(gòu)建二層網(wǎng)絡,否則一旦跨網(wǎng)段將導致應用中斷或長時間的業(yè)務影響。
基于上述思想,網(wǎng)絡安全控制點盡量上移,并且服務器網(wǎng)關(guān)盡量不設(shè)在防火墻上。因為防火墻屬于強控制設(shè)施,網(wǎng)關(guān)一旦在防火墻上靈活性將大大地受到限制。
4.2.3 安全策略動態(tài)遷移
虛擬化數(shù)據(jù)中新帶來的最大挑戰(zhàn)就是網(wǎng)絡安全策略要跟隨虛擬機自動遷移。在創(chuàng)建虛擬機或虛擬機遷移時,虛擬機主機需要能夠正常運行,除了在服務器上的資源合理調(diào)度,其網(wǎng)絡連接的合理調(diào)度也是必須的。
例如,虛擬機1從pSrv1上遷移到pSrv2上,其網(wǎng)絡連接從原來的由pSRV1上vSwitchA的某個端口組接入到邊界Switch1,變成由pSRV2上vSwitchB的某個端口組接入到邊界 Switch2。若遷移后對應的邊界 Switch的網(wǎng)絡安全配置不合適,會造成虛擬機1遷移后不能正常使用。尤其是原先對虛擬機1的訪問設(shè)置了安全隔離ACL,以屏蔽非法訪問保障虛擬機1上業(yè)務運行服務質(zhì)量。因此在發(fā)生虛擬機創(chuàng)建或遷移時,需要同步調(diào)整相關(guān)的網(wǎng)絡安全配置。為了保證虛擬機的業(yè)務連續(xù)性,除了虛擬化軟件能保證虛擬機在服務器上的快速遷移,相應的網(wǎng)絡連接配置遷移也需要實時完成。
5 存儲虛擬化的安全保護問題
存儲虛擬化允許同一個虛擬池上存儲設(shè)備的簡單數(shù)據(jù)遷移以及異構(gòu)磁盤子系統(tǒng)的復制,因此,關(guān)鍵數(shù)據(jù)的第二份拷貝就必須有和第一份數(shù)據(jù)同樣的安全級別。舉個很簡單的例子,針對災難恢復的企業(yè)重要數(shù)據(jù)的第二份拷貝就需要和第一份數(shù)據(jù)同樣嚴格的安全級別,需要控制它的訪問級別和安全保護。
在存儲虛擬化后,虛擬化管理軟件應能全面管理IP SAN、FC SAN、NAS 等不同虛擬對象,通過上層應用封裝對用戶提供一致的管理界面,屏蔽底層對象的差異性。在存儲虛擬化環(huán)境中,針對不同的、異構(gòu)的虛擬存儲對象,應根據(jù)各自存儲設(shè)備的特點,綜合運用不同存儲設(shè)備之間的安全防護機制構(gòu)建全方位的安全防護體系。
5.1 資源隔離和訪問控制
在存儲虛擬化之后,應用不需要關(guān)心數(shù)據(jù)實際存儲的位置,只需要將數(shù)據(jù)提交給虛擬卷或虛擬磁盤,由虛擬化管理軟件將數(shù)據(jù)分配在不同的物理介質(zhì)。這就可能導致不同保密要求的資源存在于同一個物理存儲介質(zhì)上,安全保密需求低的應用/主機有可能越權(quán)訪問敏感資源或者高安全保密應用/主機的信息,為了避免這種情況的發(fā)生,虛擬化管理軟件應采用多種訪問控制管理手段對存儲資源進行隔離和訪問控制,保證只有授權(quán)的主機/應用能訪問授權(quán)的資源,未經(jīng)授權(quán)的主機/應用不能訪問,甚至不能看到其他存儲資源的存在。
5.2 數(shù)據(jù)加密保護
在各類安全技術(shù)中,加密技術(shù)是最常見也是最基礎(chǔ)的安全防護手段,在存儲虛擬化后,數(shù)據(jù)的加密保護仍然是數(shù)據(jù)保護的最后一道防線。在存儲虛擬化實踐中,對數(shù)據(jù)的加密存在于數(shù)據(jù)的傳輸過程中和存儲過程中。對數(shù)據(jù)傳輸過程中的加密保護能保護數(shù)據(jù)的完整性、機密性和可用性,防止數(shù)據(jù)被非法截獲、篡改和丟失。對數(shù)據(jù)存儲的加密能實現(xiàn)數(shù)據(jù)的機密性,完整性和可用性,還能防止數(shù)據(jù)所在存儲介質(zhì)意外丟失或者不可控的情況下數(shù)據(jù)自身的安全。
5.3 基于存儲的分布式入侵檢測系統(tǒng)
基于存儲的入侵檢測系統(tǒng)嵌入在存儲系統(tǒng)中,能對存儲設(shè)備的所有讀寫操作進行抓取、統(tǒng)計和分析,對可疑行為進行報警。由于基于存儲的入侵檢測系統(tǒng)是運行在存儲系統(tǒng)之上,擁有獨立的硬件和獨立的操作系統(tǒng),與主機獨立,能夠在主機被入侵后繼續(xù)對存儲介質(zhì)上的信息提供保護。在存儲虛擬化網(wǎng)絡中,應在系統(tǒng)的關(guān)鍵路徑上部署基于存儲的入侵檢測系統(tǒng),建立全網(wǎng)統(tǒng)一的管理中心,統(tǒng)一管理入侵檢測策略,實現(xiàn)特征庫的實時更新和報警事件及時響應。
6 虛擬化數(shù)據(jù)中心的安全管理問題
虛擬化數(shù)據(jù)中心需要新類型的管理員,系統(tǒng)、網(wǎng)絡和安全管理員應進一步擴展他們所掌握的知識,了解虛擬化帶來的新概念。在虛擬世界中,不僅所有這些概念從硬件轉(zhuǎn)向軟件(許多情況下是從軟件內(nèi)核領(lǐng)域向用戶領(lǐng)域轉(zhuǎn)移),而且這些概念一直處于混亂和“封閉狀態(tài)”,不適用于傳統(tǒng)接入方法。管理員不能走近虛擬交換機,插入筆記本電腦,添加一個網(wǎng)絡分路器,可靠地對一個端口進行映射,或者查看虛擬設(shè)備的統(tǒng)計信息。所有這些能力和知識已經(jīng)超出專業(yè)管理員的能力范圍,而且對軟件控制器、管理GUI、專用內(nèi)核模塊和二進制系統(tǒng)隱藏,已經(jīng)進入了只有設(shè)計人員和開發(fā)人員知道如何真正管理設(shè)備的時代。
為此,虛擬化數(shù)據(jù)中心要制定可行的管理策略,并建議包括幾方面內(nèi)容:1) 制定虛擬機管理制度,明確管理責任;2) 制定專門的虛擬機審核、追蹤流程,防止虛擬機蔓延而導致的管理受控;3) 所有物理機、管理程序、虛擬機的配置和數(shù)量都建在固定模板中,確保配置可控、可管,并將虛擬機管理放入安全策略;4) 利用虛擬化監(jiān)控工具,檢測出未授權(quán)的拷貝和“克隆”虛擬機的行為,確保敏感信息在正確的管控中。
7 結(jié)束語
隨著企業(yè)級虛擬化軟件在市場上流行,企業(yè)IT部門用一臺容納20個獨立操作系統(tǒng)的4U機器全面取代容納單個操作系統(tǒng)的專用1U機器的現(xiàn)象非常普遍。虛擬操作環(huán)境與物理操作環(huán)境同樣安全的概念可能是代價極為高昂而且極具破壞性的謬論。虛擬化范例的變化引出了一套新的安全問題和風險。虛擬基礎(chǔ)設(shè)施管理員需要了解并且準備應對這些安全問題和風險,需要保證比威脅先行一步。
參考文獻
[1] 張志國.服務器虛擬化安全風險及其對策研究[J].晉中學院學報, 2010(3): 83-85.
[2] 計算機世界. 虛擬化改變網(wǎng)絡結(jié)構(gòu)[N].計算機世界,2008-10-20.
[3] 杭州華三通信技術(shù)有限公司. 新一代網(wǎng)絡建設(shè)理論與實踐[M].北京: 電子工業(yè)出版社,53-393.
[4] 王彭.網(wǎng)絡存儲虛擬化的研究[D]. 西安科技大學,2004.
[5] 姚昌偉.基于網(wǎng)絡的存儲虛擬化技術(shù)的研究[D]. 電子科技大學,2010.
作者簡介:
通過對數(shù)字化校園建設(shè)中的網(wǎng)絡信息安全隱患,以及影響校園網(wǎng)絡安全因素進分析,針對校園網(wǎng)安全需求,制定相應的安全策略、產(chǎn)品選擇及部署方案,保障在數(shù)字化校園實施過程中的網(wǎng)絡信息安全。
【關(guān)鍵詞】
數(shù)字化校園;網(wǎng)絡;信息安全
數(shù)字化校園[1]建設(shè)是高校信息化建設(shè)的重要內(nèi)容,數(shù)字化校園以網(wǎng)絡和數(shù)字化信息為基礎(chǔ),在校園網(wǎng)絡的基礎(chǔ)上建立起來的對教學、管理、科研、技術(shù)服務等校園網(wǎng)信息的集合、處理、存儲、傳輸和應用,使得各種數(shù)字化的資源能夠通過信息平臺充分利用,實現(xiàn)學校教學管理的數(shù)字化,打破傳統(tǒng)的校園網(wǎng)絡概念,多維度拓展校園網(wǎng)的應用空間,提升校園網(wǎng)的運行效率,從而達到提高管理水平和效率的目的[2]。隨著數(shù)字校園建設(shè)的不斷深入發(fā)展,各大高校逐漸建立起了龐大的網(wǎng)絡系統(tǒng)與信息系統(tǒng),如何在此基礎(chǔ)上構(gòu)建一個安全的網(wǎng)絡信息環(huán)境,抵御各種潛在的風險,保障整個系統(tǒng)安全可靠的運轉(zhuǎn),是數(shù)字化校園建設(shè)是最為重要的課題。
1.數(shù)字化校園網(wǎng)絡信息安全隱患
數(shù)字化校園相對來說是一個封閉的內(nèi)部運行環(huán)境,它的應用主要來至于內(nèi)部教職員工和學生,但同時也是一個開放的環(huán)境,其應用打破了時間和空間的限制,對于使用者來說隨時隨地都可以對系統(tǒng)進行訪問,所以其安全隱患既可來至學校內(nèi)部也可以來至外部。通過分析數(shù)字化校園建設(shè)的安全隱患主要包括以下幾個方面:(1)外部闖入闖入是一種最常見的攻擊方式,不法分子為了達到某種不可告人的目的,闖入校園內(nèi)部的計算機里,如普通合法用戶一樣使用學校內(nèi)部的電腦,進行各種非法操作,如果闖進各種應用服務器里,其后果就不堪設(shè)想。(2)導致拒絕服務網(wǎng)絡攻擊者為了破壞學校各重要系統(tǒng)正常的運行,通過拒絕服務的方式攻擊系統(tǒng),使系統(tǒng)無法正常運行。拒絕服務的攻擊方式原理就是攻擊者利用大量的數(shù)據(jù)包“淹沒”目標主機,耗盡可用的資源至系統(tǒng)崩潰,而無法對合法用戶作出響應[5]。如:往某遠程主機發(fā)大量數(shù)據(jù)或占用遠程主機資源,從而導致遠程主機癱瘓、重啟、死機或藍屏。(3)信息竊取攻擊者通過病毒程序、木馬程序、網(wǎng)絡工具,竊取校園網(wǎng)重要的數(shù)據(jù)信息。比如使用網(wǎng)絡嗅查器(Sniffer)監(jiān)聽系統(tǒng)中傳輸?shù)娜缬脩裘⒖诹睢⒒蜚y行賬號等重要信息等。在校園網(wǎng)絡中通過信息竊取獲得學校關(guān)鍵的數(shù)據(jù),對數(shù)據(jù)的安全造成不可估量的損失。(4)內(nèi)部泄密最危險的敵人潛伏在身邊,數(shù)字化校園建設(shè)的推進的過程中,內(nèi)部泄密已經(jīng)成為校園信息安全最直接的威脅。經(jīng)權(quán)威機構(gòu)統(tǒng)計發(fā)現(xiàn):來自企業(yè)內(nèi)部安全威脅有超過85%;來自內(nèi)部未授權(quán)的訪問占16%;中國國內(nèi)存網(wǎng)站存在安全隱患占到80%,其中20%的以上網(wǎng)站安全問題特別突出。
2.校園網(wǎng)安全考慮因素分析
通過對數(shù)字化校園的安全隱患的分析,結(jié)合現(xiàn)有網(wǎng)絡的安全狀況,在數(shù)字化校園建設(shè)過程中應主要從如下幾個方面入手來考慮安全因素及防范措施:
2.1從物理安全方面考慮
校園網(wǎng)中物理硬件包括:各種服務器、工作站、交換機、路由器、存儲器、通信設(shè)備、電源等,物理安全主要考慮的是避免這些設(shè)備人為的、自然環(huán)境的破壞。要保證校園網(wǎng)絡的物理安全應從機房的安全管理措施及安全環(huán)境等入手來加以考慮。
2.2分段隔離技術(shù)
根據(jù)校園網(wǎng)的各個部門功能、安全、保密等不同水平,要求將校園網(wǎng)絡進行差異分段隔離,通過安全隔離將攻擊和入侵造成的威脅限制在較小的子網(wǎng)范圍內(nèi),提高數(shù)字化校園網(wǎng)絡的整體安全水平。校園網(wǎng)絡可通過路由器、虛擬局域網(wǎng)VLAN、防火墻等技術(shù)分段來實現(xiàn)。
2.3信息加密認證
為了保證校園網(wǎng)內(nèi)的數(shù)據(jù)、密碼、文件、網(wǎng)絡會話和控制信息等的完整性,信息加密的是必不可缺少的安全防護手段。通過各種認證與加密技術(shù)對數(shù)字化校園網(wǎng)絡重要的數(shù)據(jù)信息訪問請求進行認證加密,以防止重要信息的泄漏。
2.4安全漏洞掃描
安全漏洞掃描是校園網(wǎng)絡安全防御中常用的手段,就是采用模擬攻擊的方式對工作站、服務器、路由器、交換機、數(shù)據(jù)庫等各種目標對象,可能存在的已知安全漏洞進行逐項檢查。根據(jù)漏洞掃描結(jié)果提交安全性分析報告,供網(wǎng)絡管理員參考,為提高整體網(wǎng)絡安全水平提供依據(jù)。
2.5網(wǎng)絡反病毒
隨著新技術(shù)的進步,網(wǎng)絡病毒向綜合性方向發(fā)展,許多網(wǎng)絡病毒兼具文件感染、木馬、蠕蟲、黑客攻擊等功能,同時傳播途徑向多樣化方向發(fā)展,可通過電子郵件、共享目錄、瀏覽網(wǎng)頁、網(wǎng)絡漏洞進行傳播,甚至有些網(wǎng)絡病毒能夠跨平臺,可感染多種不同類型的操作系統(tǒng)。通過統(tǒng)計來看現(xiàn)在許多網(wǎng)絡安全事件都是由網(wǎng)絡病毒引起的,因此在數(shù)字化校園的建設(shè)中,可針對性的采用防毒軟件,實時掃描監(jiān)控、查殺病毒來保護校園網(wǎng)系統(tǒng)的安全。
2.6網(wǎng)絡入侵檢測
校園網(wǎng)絡入侵檢是通過一定的監(jiān)測手段,對網(wǎng)絡上發(fā)生的入侵行為進行監(jiān)測,通過收集和分析網(wǎng)絡行為、審計數(shù)據(jù)、日志及其它網(wǎng)絡信息,檢測系統(tǒng)是否存在有違反安全策略的行為和被攻擊的對象,如果發(fā)現(xiàn)有攻擊或其它不正常現(xiàn)象就截斷網(wǎng)絡連接、記錄事件和報警。在校園網(wǎng)建設(shè)過程中網(wǎng)絡入侵檢測應結(jié)合防火墻、反病毒軟件聯(lián)動,有效的阻斷黑客與病毒對系統(tǒng)的攻擊。
2.7網(wǎng)絡最小化原則
從網(wǎng)絡安全的角度考慮問題,打開的服務越多,可能出現(xiàn)的安全問題就會越多,所以校園網(wǎng)安全應遵從“最小化原則”對服務器進行配置:首先在服務器上安裝系統(tǒng)要最小化,一些可有可無的應用程序不要安裝;在服務器部署單一的服務應用程序,這樣可把服務器的風險降低到最小范圍;在配置服務器使用權(quán)限時,有針對性的開放只需要的權(quán)限,從而限制用戶的操作行為在最小的范圍之內(nèi),不需要的賬號要及時刪除等。
3數(shù)字化校園安全策略
通過對數(shù)字化校園網(wǎng)絡拓撲結(jié)構(gòu)的分析,可知校園網(wǎng)構(gòu)成了一個Intranet系統(tǒng),學校本部的主干網(wǎng)絡通過網(wǎng)絡運營商DDN專線與外網(wǎng)相連,在其中運行有學校網(wǎng)站服務器系統(tǒng),各部門的網(wǎng)站服務系統(tǒng),教務管理系統(tǒng),招生就業(yè)系統(tǒng),OA辦公自動化系統(tǒng)等及內(nèi)部服務器系統(tǒng)。而學校本部的網(wǎng)絡系統(tǒng)和分校的子網(wǎng)絡系統(tǒng)的通過Internet公網(wǎng)來完成連接通信。
3.1校園網(wǎng)安全需求分析
通過對校園網(wǎng)絡安全因素及數(shù)字化校園體系結(jié)構(gòu)分析,要保證校園網(wǎng)各重要服務器或部門子系統(tǒng)的安全,有如下安全需求:(1)保證服務器系統(tǒng)的安全。學校的服務器主要包括學校網(wǎng)站服務器、部門網(wǎng)站服務器、部門應用服務器、數(shù)據(jù)庫服務器、內(nèi)部服務器等。這些服務器上運行有重要的應用系統(tǒng),如學院的OA系統(tǒng)、教務管理系統(tǒng)、招生就業(yè)管理系統(tǒng)、財務系統(tǒng)、科研管理系統(tǒng),所有這些系統(tǒng)的安全防護對學校正常的工作運轉(zhuǎn)起著關(guān)鍵作用。(2)學校總部和分部的內(nèi)部網(wǎng)絡安全。學校內(nèi)部的網(wǎng)絡會不時遭到黑客攻擊,還有各種木馬病毒的攻擊,內(nèi)部網(wǎng)絡安全是數(shù)字系統(tǒng)能夠正常運行基本保證;(3)網(wǎng)絡用戶身份識別與認定。學校用戶量大,包括學校教職員工、學生、外訪客,要求必須有一套完整統(tǒng)一的身份認證與識別系統(tǒng),保證合法用戶對系統(tǒng)的訪問;(4)重要數(shù)據(jù)傳輸安全問題。在學校總部與分部之間、內(nèi)部用戶到服務器、應用服務器到數(shù)據(jù)庫服務器之間,要求傳輸數(shù)據(jù)的安全性與完整性,不受第三方截取、破壞。(5)保護學校重要部門。如財務部門、教務部門、招生就業(yè)部門等重要應用系統(tǒng)及資料文件,如果這些部門系統(tǒng)遭到破壞造成數(shù)據(jù)丟失,會造成不可估量的損失。
3.2安全策略制定
根據(jù)學校數(shù)字化校園安全需求分析制定如下安全策略:(1)校園網(wǎng)物理安全策略:包括學校服務器機房環(huán)境保護措施、出入管理制度的制定、安全責任制度、災難備份與恢復方案、應急電源啟用,突況預警等;通信線路、路由器、交換機,無線通信設(shè)備安全策略。(2)內(nèi)外訪問控制策略:為學校本部與分部之間,學校內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間、外部網(wǎng)絡用戶與校園網(wǎng)絡之間的實際需要制定訪問控制規(guī)則,保證相互通信的安全,禁止非法訪問;(3)安全配置及管理策略:對各服務器管理系統(tǒng)、安全產(chǎn)品、部署的應用服務系統(tǒng),設(shè)置各級權(quán)限及信任關(guān)系,防止越權(quán)操作破壞系統(tǒng);檢測漏洞及修補、設(shè)置安全規(guī)則、安全審計及日志分析等。(4)認證安全策略:建立統(tǒng)一身份認證系統(tǒng),并制定密碼復雜規(guī)則,信息傳輸認證加密等規(guī)則;(5)突發(fā)事件應急策略:針對黑客攻擊入侵、各網(wǎng)絡病毒的破壞、自然災難導致的結(jié)果制定應急處理法和恢復計劃。
3.3選擇安全產(chǎn)品及部署
針對校園網(wǎng)的安全需求及相應的安全策略,選擇成熟有效的安全產(chǎn)品,把校園網(wǎng)的安全管理與安全產(chǎn)品有機的結(jié)合,解決數(shù)字化校園的網(wǎng)絡安全,使網(wǎng)絡的風險降到最低的限度。(1)交換機選擇:根據(jù)交換機傳輸率及品質(zhì)選擇穩(wěn)定可靠的交換機,部署在各個子網(wǎng)接點上,進行VLAN劃分使各個子網(wǎng)隔離、抵抗各種病毒與工具軟件的攻擊,盡量把風險控制在各個子網(wǎng)中。(2)防火墻選擇:防火墻是一種軟件與硬件的結(jié)合體,通過訪問規(guī)則控制內(nèi)外網(wǎng)絡之間的信息交換,把不符合訪問規(guī)則的請求拒之于門外,從而保護系統(tǒng)的安全。在構(gòu)建數(shù)字化校園的時,應選擇功能強大的防火墻部署在校園網(wǎng)與外網(wǎng)之間,重要部門的子網(wǎng)與內(nèi)部網(wǎng)之間,或安裝個人防火墻于客戶端,從而阻斷各網(wǎng)絡之間的非法訪問,保障系統(tǒng)的最大安全。(3)建立虛擬私有網(wǎng):在特殊情況下可以建立虛擬私有網(wǎng)(VPN)在兩點之間建立可靠的安全連接,保證數(shù)據(jù)安全傳輸。(4)網(wǎng)絡身份認證:網(wǎng)絡認證包括靜態(tài)密碼、智能卡、短信密碼、動態(tài)口令、生物識別等方式進行認證,可根據(jù)實際情況選擇相應的產(chǎn)品,部署在專用認證服務器或需要認證的服務器系統(tǒng)中。(5)反病毒軟件部署:包括金山、瑞星、360、卡巴斯基等防毒軟件能夠查殺大部分的各種流行病毒,可部署在校園網(wǎng)各應用服務器中及客戶端個人計算機中,防范各種病毒對系統(tǒng)的破壞,從而保證系統(tǒng)的安全。(6)入侵檢測系統(tǒng):入侵檢測系統(tǒng)是對網(wǎng)絡安全攻擊的一種主動防御設(shè)備,可對網(wǎng)絡傳輸進行實時監(jiān)控,對可疑的入侵采取主動反應措施或發(fā)出警報,主要部署在需要重點保護的服務器主機和子網(wǎng)中。
3.4安全教育與培訓
在數(shù)字化校園安全方案里面,需要對學校的全體教職員工,特別是網(wǎng)絡管理人員及部門負責人進行安全教育,掌握基本的安全知識,能夠熟練的掌握和應用安全產(chǎn)品,從思想上提高安全意識,阻止或避免可能發(fā)生的安全事故。培訓內(nèi)容應包括以下知識:網(wǎng)絡基本知識掌握;各種計算機網(wǎng)絡病毒診斷與防治;掌握各種網(wǎng)絡入侵手段,分析解決應對辦法;各操作系統(tǒng)、應用服務器、安全產(chǎn)品的安裝和安全配置;校園網(wǎng)絡系統(tǒng)的安全管理和維護及重要數(shù)據(jù)備份與恢復。
4結(jié)束語
綜上所述,數(shù)字化校園建設(shè)是利用現(xiàn)代網(wǎng)絡科技手段實現(xiàn)學院信息化、管理科學化的重要手段,它是一個開放的過程,不斷發(fā)展變化逐漸完善的過程,在這個過程中,對于信息安全因素的分析及安全策略的制定與實施,具有非常重要的意義與價值,制定合理的安全策略是整個信息化建設(shè)中是必不可少的環(huán)節(jié)。
作者:唐權(quán) 周蓉 單位:四川職業(yè)技術(shù)學院
參考文獻:
[1]張新剛,田燕.數(shù)字化校園信息安全立體防御體系的探索與研究[J].實驗技術(shù)與管理,2012-10
[2]王楠,喬愛玲.高校數(shù)字化校園規(guī)劃體系結(jié)構(gòu)與流程[J].中國電話教育,2008-1
[3]彭琣,高琣.計算機網(wǎng)絡安全及防護策略研究[J].計算機與數(shù)字工程,2011-1
