時間:2022-02-10 19:02:37
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
論文(設計)題目:中學校園網絡安全防護及對策初探---以昌吉市一中校園網絡為例
1、選題來源及意義
1.1選題來源
隨著信息時代的高速發展,以校園網絡為平臺的應用也越來越廣泛,例如校園一卡通服務、辦公自動化應用(OA)、教務管理、圖書管理、電子郵件服務、校校通服務、網上學習等。然而在開放式網絡環境下,校園網絡的使用過程中面臨著各種各樣的安全隱患,一方面,由于使用校園網絡最多的是學生和教師,學生對于網絡這樣的新鮮事物非常感興趣,可能會下載一些黑客軟件或帶有病毒的軟件,從而破壞校園網絡系統,加之學生不懂得愛惜,對于暴露在外界的網絡設備造成一定破壞,據統計,80%的校園網絡的攻擊都來自于校園網內部[1];另一方面,來自外部的網絡用戶對IP地址的盜用、黑客攻擊、病毒攻擊、系統漏洞、信息泄露等方面的隱患也會對校園網絡造成破壞。綜上所述,校園網絡的安全問題既有內部因素,也有外部攻擊。因此,如何在現有條件下,充分應用各種安全技術,有效的加強、鞏固校園網絡安全問題非常重要。通過筆者在昌吉市一中網絡中心實習的經歷,發現昌吉市一中校園網絡原有方案只是簡單地采用防火墻等有限措施來保護網絡安全。防火墻是屬于靜態安全技術范疇的外圍保護,需要人工實施和維護,不能主動跟蹤入侵者。而管理員無法了解網絡的漏洞和可能發生的攻擊,嚴重的影響的正常的教學工作。因此針對中學校園網絡安全的防護更不容輕視。[2-3]
1.2選題意義
校園網絡的安全建設極其重要,源于校園網一方面為各個學校提供各種本地網絡基礎性應用,另一方面它也是溝通學校校園網絡內部和外部網絡的一座橋梁。校園網絡應用遍及學校的各個角落,為師生提供了大量的數據資源,方便了師生網上教學、交流、專題討論等活動,為教學和科研提供了很好的平臺,因此存在安全隱患的校園網絡對學校的教學、科研和辦公管理都會造成嚴重的影響。根據學校的不同性質,保證網絡穩定、安全和高效運行是校園網絡建設的首要任務。因此做好校園網絡安全的防護及相應對策至關重要,即本論文選題意義。[4]
2、國內外研究狀況
2.1國外網絡安全現狀
由于筆者查閱文獻資料的有限性,沒有查到國外校園網絡安全現狀的資料,因此針對國外所采取的網絡安全措施進行如下概述:
(1)法律法規的制定。近年來,世界各國紛紛意識到網絡安全與信息安全的重要性,并制定相關的法律法規規范廣大網絡用戶的行為。美國、俄羅斯、英國、日本、法國等其他許多國家都相繼成立國家級信息安全機構,完善網絡防護管理體制,采取國家行為強化信息安全建設。
(2)網絡防護應急反應機制的建立。面對網絡反恐、黑客、信息的泄露、網絡入侵、計算機病毒及各類蠕蟲木馬病毒等一系列網絡危機,世界各國通過建立網絡防護應急反應機制。分別從防火墻技術、入侵檢測系統、漏洞掃描、防查殺技術等傳統的安全產品方面入手,防止各種安全風險,并加快網絡安全關鍵技術的發展和更新.動態提升網絡安全技術水平。
綜上所述,網絡安全的問題將隨著技術的不斷發展越來越受到重視。然而,網絡技術不斷發展的今天,網絡安全問題只能相對防御,卻無法真正的達到制止。[5-7]
2.2國內網絡安全現狀
由于我國在網絡安全技術方面起步比其他信息發達國家晚,發展時間較短,技術不夠純熟,面對各種網絡安全問題有些應接不暇,主要是由于自主的計算機網絡核心技術和軟件缺乏,信息安全的意識較為淺薄,不少事企單位沒有建立相應的網絡安全防范機制以及網絡安全管理的人才嚴重缺乏,無法跟上網絡的飛速發展。面對這一系列的問題,我國通過制定政策法規,如GB/T18336一2001(《信息技術安全性評估準則》)、GJB2646一96(《軍用計算機安全評估準則》等來規范網絡用戶的使用,還通過技術方面的措施進行防護,如加密認證、數字簽名、訪問控制列表、數據完整性、業務流填充等措施進行網絡安全的維護。然而通過技術措施進行網絡維護的過程中,網絡管理員對技術的偏好和運營意識的不足,普遍都存在“重技術、輕安全、輕管理”的傾向,致使在管理、維護網絡安全方面還有很大的漏洞。[5]國內網絡安全整體的現狀如上所述,通過大量文獻的閱讀,發現數據信息危害和網絡設備危害是校園網絡安全現在主要面臨的兩大問題,主要威脅有病毒的傳播與攻擊、黑客的入侵、信息的篡改等一系列安全隱患,通過采取加密認證、訪問控制技術、防火墻、漏洞掃描等措施進行防護。[3]中學校園網絡管理者如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個中學校園不可回避的問題,并且逐漸引起了各方面的重視。[8-10]
3、本選題的研究目標及內容創新點:
3.1研究目標:
本文在對當前校園網絡面臨的各類安全問題進行詳細分析的基礎上,深入、系統的探討了目前常用的各種網絡安全技術的功能以及優缺點,并以昌吉市一中等中學校園網絡為研究對象,分別從中學校園網絡的物理因素、技術因素、管理因素等角度分析威脅校園網絡安全的因素,并結合昌吉市一中校園網絡現有的條件,分別從設備管理、技術提供、管理人員意識等方面充分應用各種安全技術,有效加強、鞏固校園網絡安全,提出解決網絡安全問題的策略及防范措施。從而綜合利用各種網絡安全技術保障本校的校園網絡的安全、穩定、高效運行。
3.2內容創新點:
(1)通過對昌吉市一中的校園網絡進行分析,并結合文獻資料參考其他中學校園網絡安全的問題,總結出中學校園網絡安全存在常見的安全隱患,并制定出針對中學校園網絡隱患所采取的防范措施。
(2)將制定出的網絡安全防范措施運用于昌吉市一中校園網絡,制定出真正合理的、恰當的、適合現有條件的網絡安全防范措施,并對昌吉市一中的校園網絡進行展望,使得校園網絡可持續發展。
參考文獻
[1]段海新.CERNET校園網安全問題分析與對策[J].中國教育網絡,2005.03
[2]袁修春.校園網安全防范體系.[D].西北師范大學.計算機應用技術.2005,5
[3]鐘平.校園網安全技術防范研究[D].廣東.廣東工業大學.2007,4:3
[4]蔡新春.校園網安全防范技術的研究與實現[D].軟件工程2009,4
[5]董鈺.基于校園網的網絡安全體系結構研究與設計[D].山東.計算機軟件與理論.2005,5:11-12
[6]王先國.校園網絡安全系統的研究與設計.[D].南京.計算機技術.2009.12
[7]定吉安.常用網絡安全技術在校園網中的應用研究[D].山東.計算機軟件與理論.2011,4
[8]顧潤龍.影響校園網絡安全的主要因素及防范措施.[J].咸寧學院學報.2012,9(32):155-156
[9]張伯江.國外信息安全發展動向[J].信息安全動態,2002,8(7):36-38
[10]譚耀遠.新世紀中國信息安全問題研究.[D].大連.大連海事大學.2011,6
一、采用的研究方法及手段(1、內容包括:選題的研究方法、手段及實驗方案的可行性分析和已具備的實驗條件等。2、撰寫要求:宋體、小四號。)
1、文獻研究法:查找文獻資料時借助圖書館及網絡,搜集、鑒別、整理文獻。從前人的研究中得出對我們的研究有價值的觀點與例證。本研究采用文獻研究法的目的:
(1)查取大量校園網絡安全問題常見的問題,結合昌吉市一中的校園網絡現狀進行分析。
(2)對國內外的網絡安全防范措施進行分析,選擇適合昌吉市一中校園網絡安全所應對的策略。
2.訪談法:通過與昌吉市一中網絡信息中心的教師交流探討,以訪談的形式了解昌吉市一中校園網絡的現狀。
論文的框架結構(宋體、小四號)
第一章:緒論
第二章:影響中學校園網絡安全的因素
第三章:常用的校園網絡安全技術
第四章:校園網絡安全建設
-----以昌吉市一中校園網絡安全體系需求分析及設計
第五章:總結和展望。
論文寫作的階段計劃(宋體、小四號)
第一階段:20xx.10.1—20xx.11.20選定論文題目,學習論文寫作方法及注意項;
第二階段:20xx.11.20—20xx.12.25與孫老師見面,在孫教師的指導下,搜集材料閱讀有關文獻資料,按照開題報告的格式和要求完成《昌吉學院本科畢業論文(設計)開題報告》的撰寫;
第三階段:20xx.12.26—20xx.1.3寫出開題報告,并與指導教師充分溝通,做好開題報告答辯準備;
第四階段:20xx.1.5—20xx.1.13開題報告論證答辯;
第五階段:20xx.1.17—20xx.3.25在指導教師指導下,開始畢業論文的寫作,至3月25日完成初稿交指導教師;
第六階段:20xx.3.25—20xx.3.31寫出中期報告書,接受中期檢查。并根據指導教師建議完成初稿的修改;
第七階段:20xx.4.1—20xx.4.10根據指導教師建議完成二稿的修改;
第八階段:20xx.4.11—20xx.4.20根據指導教師建議完成三稿的修改;
第九階段:20xx.4.21—20xx.4.25完成初定稿,并復印3份交系畢業論文答辯小組;
1虛擬專用網絡的具體應用
1.1MPLS虛擬專用網絡的應用
在網絡安全中MPLS虛擬專用網絡是建立MPLS技術之上的一種IP專用網絡,其基礎是寬帶IP網絡,該技術可以有效實現數據、語音以及圖像的跨地區、高速通訊,且業務的可靠性以及安全性較高,并且該技術是也是建立在差別服務以及流量工程之上的新型技術。另外,在公眾網絡的擴展以及可靠性提高上具有較良好的作用,能夠有效提高專用網絡的優勢,使得專用網絡更加的安全可靠、靈活高效,為用戶提供最大限度的優質服務。而MPLS技術則是需要三個步驟予以實現。首先,需要建立分層服務的提供商,網絡首先需要在PE路由器間通過CR-LDP的方式首先建立起LSP,一般情況下LSP包含的業務都較多。主要包括呈對立關系的二、三層VPN,而這兩步對于網絡運營商較為關鍵的主要原因便是為其提供MPLS。其次,需要將虛擬專用網絡的信息在PE路由器上予以實現。Provide邊緣設備及PE路由器的作用是在于為服務商的骨干網絡提供邊緣路由器,這個步驟的關鍵就是在于對虛擬專用網絡中的數據傳輸進行控制,是對二層虛擬專用網絡實現的關鍵。通過在PE路由器上傳專用的虛擬網絡轉發數據表,以連接CE設備,數據表中主要包括CE設備的標記值范圍以及識別碼等。然后將轉發表中的數據都安裝到CE設備中,并且標記每一個數據轉發表中子接口ID。而PE2路由器則通過LDP協議向其它的虛擬專用網絡進行連接表的發送,連接表即虛擬專用網絡轉發表子集。最后,實現虛擬專用網絡數據傳輸。數據向PEI傳輸的主要形式為DLCI.33。繼而在PEl的位置找到對應的VFT,刪除數據幀的繼頭并壓入LSP標記和虛擬專用網絡數據標記,即虛擬專用網絡標記的存在是未知的,一直至出口后,執行最后第二個彈跳。最后PE2依照虛擬專用網絡標記的數據,進行對應的VFT表的搜尋轉發到CE3。
1.2IPSecVPN技術的應用
在IPSec協議中使用方式最常見的便是虛擬網絡,為計算機IP地址提供系統,并且保證系統的安全性能,這是IPSec協議最主要的作用。另外,虛擬專用網絡的構成部分包括ESP協議,該協議的應用范圍較廣,其提供的完整數據可以在同一時間段,具有抗重放攻擊以及數據保密的特點,ESP協議的加密算法較為常見主要包括AES以及3DES等,而數據的分析以及完整性識別主要是利用了MD5算法。第一種是Site-to-Site即網關到網關或者站點到站點,比如在一個單位中的三個部門或者三個機構的互聯網在三個不同的地方,而且每一個網絡中各使用一個網關相互建立VPN隧道,內部網絡(PC)之間的數據通過這些網關建立的IPSec隧道就能夠實現單位各個地方的網絡相關安全連接。第二種是End-to-End即端到端或者PC到PC,其主要是指兩個網絡端點或者兩個PC之間的通信主要是有兩個PC之間的IPSee會話保護,而不是通過網關進行保護。第三種是End-to-Site即為PC到網關,其主要是指兩個PC之間的通信由網關和異地PC之間的IPSee進行保護。IPSee傳輸模式主要有傳輸Transport模式和隧道Tunnel模式兩種,其中兩者之前的主要區別為:隧道模式在ESP和AH處理之后又封裝了一個外網的IP頭地址,其主要應用于站點到站點的場景中;而傳輸模式主要是在ESP和AH的處理前后部分,IP頭地址一直保持不變的態勢,其主要用于端到端的場景中。
1.3VPN技術在企業網絡信息安全中具體應用
現代企事業單位利用傳統的計算機信息安全管理方式已經無法滿足管理辦公的需要,特別實在信息管理方面。信息管理精細化管理急需沖破傳統的空間限制,把每個部門的信息管理系統進行有效連接,以實現單位各部門管理信息的同步性。通過VPN技術應用在企事業單位信息管理工作中,很好地解決了傳統空間約束的信息通路問題,而且利用VPN技術可以安全、有效的進行信息管理。現代化電子信息技術的發展使得企事業單位重要信息資料由傳統的空間限制到電子資源方向的發展,并且電子資源的完備使得信息技術發生了質的變化。現代化的電子信息資料以信息通路為傳輸載體、以專線方式為安全保證,通過檔案虛擬網絡的控制完成對信息以及資料的管理和加密,最終達到保護信息以及資料的安全性的目的。通過架設專用的虛擬網絡,讓企事業單位重要信息以及資料在安全環境下進行資源信息的傳輸,避免了信息傳遞錯誤造成的損失。
2結束語
對上述材料進行總結和分析,可知VPN技術正向著更加新興的方向發展,并不斷的取得進步,在這樣的條件下,應當將相關技術優勢進行集合,繼而會涉及到VPN的利用率。通過對相關數據比進行分析不難發現,信息技術應當首先以網絡信息安全作為前提,確保系統運行過程中的安全,虛擬專用網絡真正的優勢則是基于使用了VPN技術,在視訊、統籌以及財務等事業管理上發揮了重要作用。
作者:花逢春 劉冬姝 單位:國家廣播電影電視總局哈爾濱監測臺
[論文摘要]在網絡技術高速發展的時代,網絡安全成每個網絡使用者為關注的焦點,討論傳輸層安全性問題,分析了地址機制﹑通用的安全協議將逐步消失,取而代之的是融合安全技術應用的問題研究。
互聯網已經成了現代人生活中不可缺少的一部分,隨著互聯網規模的迅速擴大,網絡豐富的信息資源給用戶帶來了極大方便的同時,操作系統漏洞、計算機病毒、黑客人侵及木馬控制、垃圾郵件等也給廣大互聯網用戶帶來了越來越多的麻煩,網絡安全問題因此成為令人矚目的重要問題。
一、傳輸層安全
最常見的攻擊是TCP會話劫持,該劫持是劫持一個現存的會話,利用合法用戶進行連接并通過驗證,之后順其自然接管會話。TCP通過3次握手建立連接以后主要采用滑動窗口機制來驗證對方發送的數據,如果對方發送的數據不在自己的接收窗口內,則丟棄此數據,這種發送序號不在對方接收窗口的狀態稱為非同步狀態。當通信雙方進入非同步狀態后,攻擊者可以偽造發送序號在有效接收窗口內的報文也可以截獲報文。篡改內容后,再修改發送序號,而接收方會認為數據是有效數據。
TCP會話劫持的攻擊方式可以對基于TCP的任何應用發起攻擊,如HTTPFTP及Telnet等。攻擊者通過正在進行TCP通信的2臺主機之間傳送的報文得知該報文的源IP、源TCP端口號、目的IP、目的TCP端口號。從而可以得知其中一臺主機對將要收到的下一個TCP報文段中seq和ackseq值的要求。這樣,在該合法主機收到另一臺合法主機發送的TCP報文前,攻擊者根據所截獲的信息向該主機發出一個帶有凈荷的TCP報文,如果該主機先收到攻擊報文就可以把合法的TCP會話建立在攻擊主機與被攻擊主機之間。TCP會話劫持避開了被攻擊主機對訪問者的身份驗證和安全認證。使攻擊者直接進入對被攻擊主機的訪問狀態,因此對系統安全構成的威脅比較嚴重。
二、地址機制
IPv6采用128位的地址空間,其可能容納的地址總數高達2128,相當于地球表面每平方米擁有6.65×1023個。一方面可解決當前地址空間枯竭的問題,使網絡的發展不再受限于地址數目的不足;另一方面可容納多級的地址層級結構,使得對尋址和路由層次的設計更具有靈活性,更好地反映現代Internet的拓撲結構。IPv6的接口ID固定為64位,因此用于子網ID的地址空間達到了64位,便于實施多級路由結構和地址集聚。IPv6的前綴類型多樣,64位的前綴表示一個子網ID,小于64位的前綴要么表示一個路由,要么表示一個地址聚類。IPv6的地址類型包括單播、多播和任播地址,取消了廣播地址。IPv6的地址機制帶來的安全措施包括:
1)防范網絡掃描與病毒、蠕蟲傳播。傳統的掃描和傳播方式在IPv6環境下將難以適用,因為其地址空間太大。
2)防范IP地址欺騙。IPv6的地址構造為可會聚、層次化的地址結構,每一ISP可對其客戶范圍內的IPv6地址進行集聚,接入路由器在用戶進入時可對IP包進行源地址檢查,驗證其合法性,非法用戶將無法訪問網絡所提供的服務。另外,將一個網絡作為中介去攻擊其他網絡的跳板攻擊將難以實施,因為中介網絡的邊界路由器不會轉發源地址不屬其范圍之內的IPv6數據包。
3)防范外網入侵。IPv6地址有一個作用范圍,在這個范圍之內,它們是唯一的。在基于IPv6的網絡環境下,主機的一個網絡接El可配置多種IPv6地址,如鏈路本地地址、站點本地地址、單播全球地址等,這些不同地址有不同的作用域。IPv6路由器對IPv6地址的作用范圍是敏感的,絕不會通過沒有正確范圍的接El轉發數據包。因此,可根據主機的安全需求,為其配置相應的IPv6地址。例如,為保障本地子網或本地網絡內的主機的安全,可為其配置相應的鏈路本地或站點本地地址,使其通信范圍受限于所在鏈路或站點,從而阻斷外網入侵。
三、通用的安全協議將逐步消失,取而代之的是融合安全技術
當網絡安全還沒有成為網絡應用的重要問題時,制定的通信協議基本上不考慮協議和網絡的安全性。而當這些協議大規模使用出現諸多安全漏洞和安全威脅后,不得不采取補救措施,即發展安全協議保護通信的安全,因此IPSec、IKE、TLS等通用的安全協議應運而生,并獲得廣泛的應用,在充分重視安全重要性后,新的協議在設計過程中就充分考慮安全方面的需要,協議的安全性成了新的協議是否被認可的重要指標.因此新的通信協議普遍融入了安全技術,如SIP本身就附帶諸多安全機制,IPv6本身附帶了必要的安全字段,這種發展趨勢將會持續,由此可以預見,傳統的通用安全協議應用范圍將逐漸縮小,最終消失,取而代之的是所有通信協議都具備相應的安全機制。
四、總結
總之,隨著網絡的普及,網絡信息安全所面臨的危險已經滲透到社會各個方面,應深刻剖析各種不安全的因素,并采取相應的策略,確保網絡安全。解決信息網絡安全僅依靠技術是不夠的,還要結合管理、法制、政策及教育等手段,將信息網絡風險降低至最小程度。相信隨著網絡安全技術的不斷改進和提高,以及各項法律法規的不斷完善,將能構造出更加安全可靠的網絡防護體系。
網絡安全法律制度所要解決的問題,乃是人類進入信息社會之后才產生的特殊安全問題。正如為了適應時代所賦予的“正義觀念”必須調整為“科學發展觀”一樣,法律規范隨著信息社會的發展也應適應新的安全問題而作出結構性調整,以符合時代賦予的“科學發展觀”。
網絡安全監管應當以“快速反應和有效治理”為原則。從信息化發展的趨勢考察,政府部門職權的適當調整是網絡安全監管權力配置的必然選擇。因此,構建政府部門之間、政府與社會之間的“信息共享”機制便成為網絡安全監管法制建設的重點,應當注意到,只有政府和企業、個人密切配合,才能彌補政府網絡安全監管能力的不足,使其更好地履行職責,從而實現保障網絡安全的戰略目標。
參考文獻:
[1]鄭曉妹.信息系統安全模型分析[J]安徽技術師范學院學報,2006,(01).
[2]李雪青.論互聯網絡青年道德主體性的失落及其建設[J]北方工業大學學報,2000,(04).
[3]劉建永,杜婕.指揮控制系統的信息安全要素[J]兵工自動化,2004,(04).
[4]高攀,陳景春./GS選項分析[J]成都信息工程學院學報,2005,(03).
[5]劉穎.網絡安全戰略分析[J]重慶交通學院學報(社會科學版),2003,(S1).
[6]劉穎.析計算機病毒及其防范技術[J]重慶職業技術學院學報,2003,(04).
[7]王世明.入侵檢測技術原理剖析及其應用實例[J]燕山大學學報,2004,(04).
[8]劉曉宏.淺談航空電子系統病毒防范技術[J]電光與控制,2001,(03).
1.1網絡安全的定義
國際標準化組織(ISO)將網絡安全[2]定義為:為數據處理系統建立相應的安全保護措施,保護運行在網絡系統中的硬件、軟件以及系統中的數據不被黑客更改、破壞或者泄露,從而保證了網絡服務不中斷,使得系統可靠安全地運行.上述網絡安全的定義包含兩方面內容:物理安全和邏輯安全.其中物理安全是指在構建網絡系統的時候,保證物理線路能夠防雷、放火、防水、防盜等,能夠保證物理線路連續的進行數據傳輸.而邏輯安全通常指的是傳輸在網絡上數據的信息安全,即對網絡上傳輸信息的保密性、可用性和完整性的保護.另一方面,網絡安全性的涵義也可以理解成是信息安全的一種引申,即網絡安全是對網絡信息的保密性、可用性和完整性提供相應的保護.概括的說,可以將網絡安全定義為:為保證目前網絡中運行的系統、信息數據、信道傳輸數據和信息內容的安全而采取相應的措施,從而保證網絡中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性.
1.2網絡安全基本特征
網絡安全應具有保密性、可用性、可控性、可審查性、完整性等五個方面的特征.保密性:信息未經授權不泄露給任何用戶,而且信息的特性也具有保密性,其它非授權用戶、實體或過程無法利用其特征.可用性:用戶經過授權后可按需使用,即授權用戶當需要該信息時能否正常存取.網絡環境下常見的可用性的攻擊包括拒絕服務攻擊、破壞網絡或系統的正常運行等.可控性:對網絡中傳播的信息及其內容具有控制能力.可審查性:當網絡中出現安全問題時可提供相應的依據與手段,便于追蹤攻擊源.完整性:用戶未經授權不能隨意改變數據的特性,即信息在保存或者傳輸的過程中擁有不被修改、破壞或丟失的特性,保證了信息的完整性.
2校園網建設概述及其安全威脅
隨著互聯網的快速普及,校園網建設已經成為學校的基礎建設之一,教育信息化、數字化已經成為教育發展的主方向,校園網已成為學校日常教學、辦公、科研、管理、生活主要的工具和手段之一,并發揮著越來越重要的作用[3].另一方面,隨著國家科教興國戰略的實施,政府加強了對學校的投資,由此也加強了學校對校園網的建設.中國教育和科研計算機網(CER-NET)的成立,標志著教育網的形成.CERNET主干網絡傳輸速率已達到2.5Gpbs,總容量達40Gpbs,它吸引超過1000所高校的鼎力加盟,覆蓋全國超過200個城市.目前,大部分學校都已建成校園網,實現了校園網的整體覆蓋,包括辦公樓、教學樓、宿舍樓等.校園網同時與Internet對接,實現了校園辦公教學的信息化、自動化.如圖1所示,為一個簡單的校園網組網模型.隨著CERNET的建設不斷提高,校園網已經成為互聯網的重要組成部分之一,是學校信息化、數字化建設的基礎設施,同時擔任著科研與教學的重要任務.然而,目前國內大多數學校都缺乏對校園網建設的綜合規劃、缺乏相應的網絡管理措施、以及對校園網絡的認識不足,這些都極大阻礙了校園網的發展.因此合理地對校園網絡升級,是目前學校校園網工程的首要目標之一[4].同時,校園網作為學校數字化、信息化的基礎設施,安全問題不容忽視.在互聯網開放程度很高的今天,校園網往往最容易成為黑客攻擊的目標.威脅校園網安全的因素有很多,但主要的安全威脅有以下幾類.
2.1TCP/IP協議漏洞造成的威脅
現在互聯網上使用最多的協議就是TCP/IP協議了,這幾乎是所有校園網采用的網絡傳輸協議.TCP/IP協議在設計之初,就沒有考慮安全問題,它只考慮如何把信息互相傳輸,因此存在很大的安全威脅.雖然國際標準化組織提出的OSI七層協議能夠很好的保證網絡安全,但是由于TCP/IP協議的開放性和通用性幾乎占用了整個市場,使得OSI七層協議無法推廣.所以,目前網絡黑客針對TCP/IP漏洞攻擊有很多,例如:數據竊聽、源地址欺騙、ARP欺騙等等.
(1)數據竊聽(PacketSniff).TCP/IP協議從設計之初,就采取的是數據包明碼傳輸,這種傳輸模式使得數據包很容易被竊聽、修改和偽造.黑客可以利用一系列工具獲取網絡中正在傳輸的數據包,竊取用戶有利用價值的信息,如用戶賬戶和密碼等信息.同時,黑客也能修改和偽造數據包,讓用戶誤入釣魚網站或者竊取網上銀行信息,給用戶造成直接經濟損失.特別是在校園網中,數據包流通比較集中,一旦獲取了校園網服務器或管理員賬號信息,將會給校園網絡造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網絡安全中,一個比較重要的安全問題就是源地址欺騙.這里的源地址,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉發,信息會發生變化,而且在實際的網絡系統中,也有一定的限制,改造欺騙難度比較大,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機IP地址,騙取防火墻信任,從而對校園網內部發起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個完整的IP數據包中,通常只包含源地址和目的地址,即路由器可以知道數據包從哪個主機發送出來,將要到達哪個主機.源路由是指數據包將會列出所要經過的路由,路由器將會根據這些指定的路由將數據包送達相應的主機,然后根據其反向路由進行應答,從而實現主機之間的通信.而源路由選擇欺騙,則是攻擊者通過偽造主機源路由,讓數據包經過該主機必經路由,使受攻擊主機出現錯誤判斷,將某些被保護的數據提供給了攻擊者.另一方面,由于路由器一般對接收到的路由信息是不經過檢驗的,這樣就給攻擊者提供便利,攻擊者可以發送虛假數據包,改變某些重要數據包的傳遞路徑,使得數據在傳遞到正常主機前,即可抓取分析,從而也達到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協議還無法證明網絡身份的真實有效性,因此黑客可以偽造他人合法身份入侵到網絡系統或者獲取密鑰信息,從而達到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協議,作用是將網絡中的IP地址轉換成MAC物理地址的協議.因為在局域網中,尤其是在校園網中,使用最多的往往是MAC地址進行傳輸,而不是IP地址進行傳輸,所以ARP協議能夠很快的讓局域網中的兩臺主機進行通信.而黑客只需在局域網中進行網絡監聽,獲取到一臺主機A的節點信息(IP地址和MAC地址),就能偽造A的數據包,與B進行通信,獲取有用信息.另一方面,黑客可以偽造一個不存在的MAC地址在局域網內傳播,形成廣播風暴,這樣會造成網絡不通,給局域網造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務攻擊,攻擊者的目的是讓目標主機或網絡無法提供正常服務.因為TCP協議采用三次握手建立一次連接,而任何一次握手失敗,則會重新發送.攻擊者正是利用這一個協議漏洞,采取不斷建立連接,然后丟棄該連接數據包,使得服務器處于等待狀態,如果攻擊者一直持續連接和丟棄的過程,則服務器和網絡所有的資源會被完全消耗,導致計算機或網絡無法正常工作,從而達到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊,即分布式拒絕服務攻擊,它是指攻擊者借助一系列工具或手段,聯合多個計算機組成攻擊平臺,對一個或數個目標發動DoS攻擊.最基本的DoS是利用合法的服務請求,占用攻擊目標主機大量服務資源,使得正常用戶無法訪問.然而DoS服務需要占用大量帶寬,單個計算機攻擊肯定無法達到攻擊者想要的目標.因此網絡黑客會抓取網絡“肉雞”,集合大量網絡帶寬,組成龐大的攻擊平臺,可以在瞬間讓被攻擊目標處于癱瘓狀態.
(8)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號,形成一個TCP封包,對網絡中可信節點進行攻擊.而且最重要的是,黑客可能利用偽造的TCP封包發動SYN攻擊,讓服務器無法完成三次握手,造成服務器開放大量等待端口,影響正常網絡訪問,嚴重時,可直接造成服務器死機,如果該服務器是WEB服務器或者DNS服務器,那么可能導致網站主頁無法鏈接或者校園網內部用戶無法訪問外部網絡.
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協議是Internet控制報文協議,它屬于TCP/IP協議下的一個子協議,用于在IP主機和路由器之間傳遞控制消息.其中控制消息是指網絡是否暢通、主機是否可連接、路由是否可用等一系列消息,它對數據傳輸有很重要的作用.而ICMP攻擊是指利用操作系統ICMP的尺寸大小不得超過64KB這一規定,發動“PingofDeath”攻擊,當主機ICMP數據包尺寸超過64KB時,主機會發生內存分配錯誤,導致TCP/IP堆棧崩潰,使得目標主機死機.雖然操作系統通過取消ICMP數據包大小限制來解決該漏洞,但是向目標主機發動持續、大規模的ICMP攻擊,會消耗主機CPU、內存等資源,嚴重時也會導致目標主機癱瘓,無法提供正常服務.
2.2漏洞威脅
軟件和操作系統是由程序員編寫的,而在開發的過程中,多多少少會存在各種各樣的漏洞問題,這些漏洞如果不能及時修復,將會對主機造成重大安全威脅.一旦該主機被攻破,同時也會給該主機處在的局域網中的其它機器造成威脅,情況嚴重時,甚至會造成整個網絡癱瘓.近幾年來,無論是Windows操作系統,還是Linux操作系統,的補丁數目一直持續增加.特別是Windows操作系統,在校園網內擁有的用戶眾多,如果沒能及時修復各種漏洞,勢必會影響整個校園網安全.
2.3病毒、木馬威脅
近些年來,隨著互聯網的普及,網絡上各種各樣的開源軟件繁多,有些開源軟件打著免費的旗號,暗留后門或者對操作系統植入木馬,稍不注意,就會對整個系統造成重大影響.同時,網絡上黑客也會主動攻擊,種植木馬,抓取網絡肉雞,作為自己攻擊的跳板,對互聯網上其它的計算機造成嚴重威脅.
2.4初級黑客攻擊
校園網因為自身局限性,其網絡管理水平無法與企業相比,因此很容易受到網絡上初級黑客的攻擊,作為他們試手的目標.另外一方面,互聯網出現的一系列黑客教程、黑客工具,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡單,這讓許多初級黑客也能在一段時間內對網絡造成嚴重的攻擊.且根據心理學研究分析,很多普通攻擊者往往有炫耀心理,即把校園網作為自己攻擊的目標,以獲取所謂的成功感,這讓校園網增加更多的威脅.
3目前校園網網絡建設中存在的主要安全問題
目前在校園網網絡建設中主要存在的安全問題分為人為因素導致的安全問題和非人為因素導致的安全問題.
3.1人為因素導致的網絡安全問題
3.1.1校園網用戶數量龐大
校園網內用戶量眾多且處在同一個局域網中,同時,校園網內服務器數量也是別的局域網不能比擬的.用戶量加上數目可觀、功能強大的服務器,這些條件也吸引著互聯網上眾多黑客的攻擊,因此存在著很大的安全隱患.
3.1.2校園網用戶安全意識低
根據調查研究發現,校園網的用戶大部分都安全意識不強,用戶計算機整體水平偏低,有一部分校園網用戶基本上不安裝殺毒軟件,也沒能及時給系統打補丁,系統處于“裸奔”狀態.這對于當今如此開放的互聯網,將直接為黑客提供攻擊目標.而且校園網用戶極少學習相應的安全防范知識,在下載和使用軟件時,基本上不考慮其風險性,這些都將會給黑客制造攻擊機會,影響整個校園網安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權用戶,它在一定程度上破壞了計算機系統的保密性.目前,常見的信息泄密有:操作系統漏洞、流氓軟件、網絡監聽、病毒、木馬、業務流分析、網絡釣魚、電磁、物理入侵、射頻截獲、非法授權、計算機后門程序.
3.1.4拒絕服務攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計算機停止提供服務,讓合法的信息或資源訪問被拒絕或者嚴重推遲.常見的DoS攻擊有:SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統漏洞、病毒、木馬、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網絡濫用
由于授權的用戶因操作或行為不當,導致網絡濫用,從而導致網絡安全威脅,例如非法外聯、非法內聯、設備濫用、業務濫用、移動風險等等.
3.2非人為因素導致的網絡安全問題
網絡安全除去人為因素外,很大一部分安全威脅來自安全工具和操作系統自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應用范圍和環境,同時安全工具受到人為因素、系統漏洞、程序BUG的影響,這些因素反而給攻擊者帶來了一定的便利.對于操作系統而言,沒有絕對安全的操作系統,無論是微軟的Windows系列操作系統,還是開源的Linux操作系統,都有存在后門或漏洞的可能.世界上沒有絕對安全的操作系統,因此在搭建校園網時,要選擇安全性盡可能高的操作系統,而且要隨時提供校園網用戶漏洞補丁下載,以及殺毒軟件,保證用戶系統安全性始終最高.由上所述,我們可以說網絡安全問題絕大部分是由人為因素引起的.現在,國家也制定了相應的法律來保護網絡安全,打擊相應的網絡犯罪活動.但是校園網作為一個龐大的用戶群,如何防范這些網絡犯罪活動顯得尤為重要.我們不能等著整個網絡被攻擊導致癱瘓后再想著去防范,而是要在攻擊之前做好準備工作,讓校園網在安全中運行.
4加強校園網網絡安全建設的對策和建議
加強校園網網絡安全建設主要從以下幾個方面來進行.
4.1應重視校園網網絡的安全搭建
在校園網工程的建設中,網絡系統的搭建是屬于弱電工程,它的耐壓值比較低.由此,在校園網工程的設計和建設中,一定要首先考慮人以及網絡中物理設備的防火、防電以及防雷等安全問題;考慮網絡中布線系統與通信線路、照明線路、動力線路、空氣對流管道以及暖氣管道之間的距離;考慮網絡中物理電路的接地安全;考慮建設合理的防雷系統,保證建筑物、計算機以及其它物理設備的防雷[6].
4.2應加強校園網網絡的安全維護技術
從技術層面來說,網絡安全主要是由防火墻系統、入侵檢測系統、病毒監測系統等多個安全組件組成,單獨的一個組件是無法保證當前網絡信息安全的.最早的網絡安全技術是采用邊界閾值控制法,即通過對網絡邊界的數據包進行監測,符合規定的數據包可通過,不符合規定的數據包就拋棄,這種方式在一定程度上能阻止對網絡的入侵和攻擊,但是不能有效防止網絡攻擊.目前,應用比較廣泛的網絡安全基本技術有:防火墻技術、防病毒技術、數據加密技術等.防火墻[7]指的是一個由硬件和軟件混合組成的設備,用于將內部網絡和外部網絡隔離起來,建立一層安全保護屏障,它是一種隔離控制技術.常見的防火墻有包過濾技術、技術、狀態監測技術等.相對于防火墻來說,防病毒技術將是從計算機網絡內部進行防控,主要預防病毒程序、后門程序、網絡監聽等.目前采取比較多的防病毒手段是對系統進行監聽,阻止不合規定進程.而且防病毒技術永遠是滯后性的,即防病毒工具一直在病毒出現后才能組織.現在的防病毒技術和云平臺技術結合,已經對病毒起到了一定的控制作用.相對前面兩種技術來說,數據加密技術就比較靈活了.可以將用戶的信息經過加密后,再在網絡上傳輸,及時數據被黑客截獲,沒有有效的密鑰,數據對黑客來說也只是一堆無效數據而已.在開放的互聯網平臺,數據加密能夠有效的保證了用戶的隱私以及數據的安全[8].
4.3應建立科學的校園網網絡管理人員崗位職責
計算機網絡安全絕大部分是人為因素引起的.因此在校園網搭建過程中,關于對計算機系統管理員的培訓及管理,是校園網網絡安全中最重要的一部分.一個不合理的操作,很有可能讓整個網絡系統癱瘓,因此必須建立健全管理規范,明確管理員責任和權利.同時,要記錄管理員操作信息,當發現不合規定的記錄時,可以及時分析,如果發現黑客入侵,則及時采取必要措施杜絕黑客進一步入侵,必要時需向當地公安機關報案,減少學校損失.另外一方面,建立健全的管理制度以及嚴格的管理模式,可以保證校園網的正常、安全運行.總而言之,網絡安全涉及的領域很多,是一個綜合性的問題.只有合理的運用相關技術以及人員培訓,才能盡最大可能的把安全威脅降到最低.
5結語
1虛擬網絡技術在計算機網絡安全中的應用
1.1虛擬網絡技術在企業合作客戶和企業間的應用在企業合作中,企業客戶要和企業共享相當多的數據。但是,企業為了數據安全,又不會放心讓企業合作客戶訪問企業內部的所有數據。為了解決這一矛盾,企業可以通過虛擬網絡技術,將要與企業合作客戶共享的數據存放在數據共享的文件夾中,對企業內部不方便泄露的數據采用信息防火墻隔斷。這樣,既可以使企業合作客戶能夠在登陸虛擬網絡客戶端后訪問與企業共享的數據,又能保護好企業內部的數據不使其流失。
1.2虛擬網絡技術在遠程分支部門和企業部門間的應用為了使得企業信息在網絡中的信息資源能夠得到最大程度上的共享,企業在計算機網絡安全中使用虛擬網絡技術來將各地的分支性企業機構在局域網內進行連接,正因為如此,虛擬網絡技術在遠程分支部門和企業部門間的應用的范圍也被定義為企業虛擬局域網,這種局域網使用與跨區域性和跨國間的企業經營模式。在虛擬網絡技術中比較常見的是硬件式的虛擬網絡技術。它不但具有高速度的加密性,而且加密的密鑰不易損壞,因此其效率也相對較高。
1.3虛擬網絡技術在遠程員工和企業網之間的應用虛擬網絡技術把企業總部當做是虛擬專用網的中心連接點,在企業的內部設置具有網絡虛擬功能的防火墻,該防火墻被當做是企業的計算機網絡的出口的網關。這樣,移動的業務網點和辦公用戶要想進入防火墻設備中,就必須通過虛擬網絡客戶端進行登陸。通過這種方式,就大大提高了計算機網絡的安全。由于這種方式是通過讓采購人員和企業銷售人員一起在企業系統中傳入信息來實現遠程員工和其他企業間的信息和資源共享。所以,這種虛擬網絡技術的應用又被稱為遠程訪問式虛擬網絡技術。它在具有相當高的安全性的同時還具有低成本的優勢。
1.4虛擬網絡技術在計算機網絡信息中的應用隨著我國經濟和企業的快速發展,當前傳統的計算機安全管理模式已經不能滿足企業的發展需求。所以,在計算機網絡安全的管理中,要精簡細化企業的信息化管理,將企業各部門的信息管理系統達到有機地連接,打破傳統的企業信息化掛忙碌的空間限制,使企業管路信息同步化的目標得到實現。通過對虛擬網絡技術的應用,使得信息通路更加寬廣,打破了傳統空間的約束,企業的信息化管理也能夠更加有效。安全地進行。
2虛擬網絡技術的應用效果和發展前景
在計算機網絡安全中,虛擬網絡技術通過對企業信息化和寬帶技術的結合,使得企業的信息和資源的安全得到了最大程度上的保證,也使得虛擬網絡技術在計算機網絡的安全中發揮了巨大的作用。隨著寬帶技術和企業信息化的不斷發展,虛擬網絡技術憑借著自身的優點也擁有了相當大的發展空間。隨著虛擬網絡技術的不斷發展和成熟,虛擬網絡技術的安全性、穩定性和可靠性也不斷得到提升。在計算機網絡安全中,虛擬網絡技術已經不可獲缺,并且隨著我國電信行業的低迷,虛擬網絡技術已經成為了新興產業的亮點。現如今,虛擬網絡技術在市場上所占據的市場份額不斷上升。虛擬網絡技術的產品不斷匯集,在各種虛擬網絡技術的產品中,有效結合防火墻的軟件虛擬網絡產品和復合型的虛擬網絡設備逐步成為計算機網絡中的熱點。所以,在相當長的時間內,虛擬網絡技術會被廣泛運用到計算機網絡安全中,并且會成為計算機網絡安全中的一個新的熱點。
3結語
總而言之,在計算機網絡安全中,虛擬網絡技術憑借著自身在網絡信息安全管理中的突出優勢得以廣泛地推廣和運用。同時,我們也必須看到,虛擬網絡技術的發展的方向對新興產業的發展和進步有著極強的推進作用,因此,在虛擬網絡技術的發展中,必須對傳統的網絡信息技術進行分析研究,整合技術優勢,不斷提高計算機網絡的安全性和可靠性,為用戶提供一個安全、可靠的網絡環境,為企業的信息化管理做出突出的貢獻。
作者:任科單位:蘇州大學計算機科學與技術學院
1.1個人和集體的信息得不到保密。
在社會經濟飛速發展的今天,計算機網絡已經是人們工作和生活的一部分。計算機網絡的存在給人們的工作帶來便捷的同時也帶來了一定的安全隱患。目前,我國的大中小型企業都應用了計算機聯網技術,這樣給工作人員的工作帶來了很大的便利,但同時,由于聯網工作的原因,公司的一些內部文件和機密信息就得不到保護。入侵者完全可以通過網絡來竊取一切他所想要得到的內容,使得個人和集體的信息得不到保密。這也是為什么每個國家的軍事部門要有自己獨立的網絡以及防護措施的主要原因。因此,個人和集體的信息的保密工作將是計算機網絡安全監控首要解決的問題。
1.2計算機安全系統不完善。
隨著時代的發展和科技的不斷進步,導致計算機網絡的飛速發展。然而,在計算機網絡飛速發展的同時,計算機網絡安全監控系統卻不是很完善,其仍然存在很多問題有待我們解決。例如其防火墻做的不夠堅實,很容易就被入侵者攻破,沒能達到防護的作用。還有就是密碼方面容易讓人破解。目前很多的密碼設置都是過于簡單,而且對其保護的方法過于普遍,這樣一來就很容易被黑客識破,進而被其攻擊。完善計算機網絡安全控制系統將是未來計算機網絡安全監控系統工作中最重要的工作。
1.3個別網站對用戶個人信息不保密。
現代化科技的發展不僅帶動了社會經濟的蓬勃發展,同時也悄悄的改變著人們的生活方式。計算機網絡漸漸的成為了人們生活中不可缺少的一部分。并且,計算機網絡的快速發展也帶動了相關行業的發展。然而,在人們利用計算機網絡瀏覽網頁時,個人信息已經被一些網站給透漏出去,從而使得個人信息泄露等現象。例如,當我們用手機上網瀏覽了一些有關于房子的問題時,我們并沒有留任何有關個人的信息。但是過幾天就會有相關行業的人員給你發短信或者打電話,對你進行推銷。這種現象只能說明是你瀏覽網頁的時候,該網頁將你的個人信息透漏給了相關行業,以至于他們能很準確的知道你現在的需求并且對你進行針對性的推銷。個別網站對用戶個人信息不保密的這種行為也是當今計算機網絡安全監控中所要關注的重點問題。
2、對目前計算機網絡中存在的安全問題的一些解決辦法
2.1加強對個人和集體的信息的保密重視程度。
隨著計算機網絡技術的飛速發展,個人和集體信息被竊取的事件屢見不鮮。因此,要保護好個人和集體的信息就必須加強對這方面的重視程度。很多時候,個人和集體的信息泄露不是由于外來入侵導致的,而是由于內部人員對信息的保密程度的重視不夠,無意中就將信息透漏出去,從而導致了個人和集體的利益得到損失。因此,加強對個人和集體的信息的保密重視程度是計算機網絡安全監控系統中首要解決的問題。
2.2不斷對計算機安全系統進行研發。
科技的飛速發展帶動了人們生活水平的不斷提升,并且給人類的生產生活帶來了便利。在科技發展如此迅速的今天,不斷加強對計算機安全系統的研究才能使得計算機網絡更好更快的發展下去。在當今社會中,只有新型的計算機安全監控系統才能阻礙外來入侵者的入侵。還有要加強防火墻的防護和建立工作,從而使得防護工作更加牢靠穩固。在加強對計算機安全監控系統的研究方面,要注意以下幾點。首先,加強對密碼的保護。目前很多的密碼設置過于簡單,而且只有一個,這樣對于用戶來說很不安全,在計算機網絡安全監控系統設計中應該考慮到這一點,多設計幾道保護措施和密碼,并且幾道密碼在設置時應注意,最好設置為不同的密碼。從而使得用戶的個人信息得到大力保護;其次,加強團隊人才的建設,并且積極研發新型系統,使系統的防護性能達到最好,從而有力的阻礙外來者的入侵;最后,要讓計算機網絡安全系統不斷更新,以至于使得其更有利的阻擋新型病毒的入侵。
2.3加強對網站的管理力度。
目前由于網絡的快速發展,對網站的管理力度不夠等原因,導致了一些網站將其用戶的信息透漏給商人,從而導致了用戶的個人利益受到破壞。因此,為了更好的保護網絡用戶的個人信息不被泄露,就必須加強對網站的管理力度,當然這也需要政府職能部門設置相關的監管制度。只有這樣才能使用戶信息在計算機網絡安全監控的最后環節得到保護。
3、結語
關鍵詞:個人計算機網絡安全研究
0引言
網絡已經成為了人類所構建的最豐富多彩的虛擬世界,網絡的迅速發展,給我們的工作和學習生活帶來了巨大的改變。我們通過網絡獲得信息,共享資源。隨著網絡的延伸,安全問題受到人們越來越多的關注。在網絡日益復雜化,多樣化的今天,如何保護各類網絡和應用的安全,如何保護信息安全,成為了社會關注的重點。
1網絡的開放性帶來的安全問題
Internet的開放性以及其他方面因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現有的安全工具和機制的情況下,網絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結為以下幾點:
1.1每一種安全機制都有一定的應用范圍和應用環境
防火墻是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為,防火墻是很難發覺和防范的。
1.2安全工具的使用受到人為因素的影響
一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者和普通用戶,不正當的設置就會產生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面,可以通過靜態掃描工具來檢測系統是否進行了合理的設置,但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較,針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。
1.3系統的后門是傳統安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數情況下,這類入侵行為可以堂而皇之經過防火墻而很難被察覺;比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4.0以前一直存在,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而可以收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻是無法發覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區別是入侵訪問在請求鏈接中多加了一個后綴。
1.4只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用,而且這種攻擊通常不會產生日志,幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG,現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
1.5黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統安全問題出現
然而安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時,其他的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
2計算機網絡安全防范策略
計算機網絡安全是一個復雜的系統,國際上普遍認為,它不僅涉及到技術、設備、人員管理等范疇,還應該以法律規范作保證,只有各方面結合起來,相互彌補,不斷完善,才能有效地實現網絡信息安全。保障網絡信息系統的安全必須構建一個全方位、立體化的防御系統。這個防御體系應包括技術因素和非技術因素,其中技術防范措施主要包括:對計算機實行物理安全防范、防火墻技術、加密技術、密碼技術和數字簽名技術、完整性檢查、反病毒檢查技術、安全通信協議等等。非技術性因素則包括:管理方面的SSL安全措施、法律保護、政策引導等等。這里我們僅從主要技術的角度探討網絡信息安全的策略。
2.1防火墻技術
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施。它是一種將內部網絡和外部網絡分開的方法,實際上是一種隔離控制技術。用專業言來說,所謂防火墻就是一個或一組網絡設備計算機或路由器等。從理論上講,防火墻是由軟件和硬件兩部分組成。防火墻是在某個機構的內部網絡和不安全的外部網絡之間設置障礙,阻止對信息資源的非法訪問,也可以阻止保密信息從受保護的網絡上非法輸出。防火墻最有效的網絡安全措施之一。防火墻的是已成為實現安全策略的最有效工具之一,并被廣泛應用在Internet上。防火墻的基本實現技術主要有3種:包括過濾技術,應用層網關(服務)技術和狀態監視器技術。
2.2數據加密與用戶授權訪問控制技術
與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。
2.3入侵檢測技術
入侵檢測系統(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統及網絡系統中收集信息,再通過這此信息分析入侵特征的網絡安全系統。IDS被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊;在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統的知識,添加入策略集中,增強系統的防范能力,避免系統再次受到同類型的入侵。入侵檢測技術的功能主要體現在以下方面:監視分析用戶及系統活動,查找非法用戶和合法用戶的越權操作;檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞;識別反映已知進攻的活動模式并向相關人士報警;對異常行為模式的統計分析;能夠實時地對檢測到的入侵行為進行反應;評估重要系統和數據文件的完整性;可以發現新的攻擊模式。
2.4防病毒技術
隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機信息系統構成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其它資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。超級秘書網:
參考文獻:
[1]祁明.電子商務實用教程.北京:高等教育出版社.2000.
[2]蔡皖東.網絡與信息安全.西安:西北工業大學出版社.2004.
[3]李海泉.李健.計算機系統安全技術.北京.人民郵電出版社.2001.
[4]李安平.防火墻的安全性分析.[J].計算機安全.2007年07期.
[5]閆宏生,王雪莉,楊軍.計算機網絡安全與防護IM].2007.
眾所周知,只要是基于互聯網之下的系統,都要按時對其進行系統的升級。否則,該系統就會出現漏洞,從而導致黑客和惡意軟件的入侵,給系統造成嚴重的破壞。電力調度自動化的網絡系統也是如此,如果電力調度人員不能定期的給電力調度自動化的網絡系統進行升級,那么就會導致該系統出現漏洞。這個時候,黑客就可以借助一些高科技的技術,肆意的去修改或者是竊取電力調度傳輸過程中的信息。電力調度的信息一旦被修改或者是竊取,將會給電力企業造成無法挽回的經濟損失。
2電力調度人員沒有對電力調度自動化的網絡系統進行嚴格的管理
一方面,電力調度自動化具有復雜性,也正是因為它的這種復雜性,讓電力調度人員在對電力調度自動化的網絡系統進行管理的時候,出現了難以對其進行管理的現象。另一方面,隨著互聯網的不斷發展,更是增強了一些惡意軟件和黑客的技術手段,這就從很大程度上增加了電力調度自動化的網絡安全問題。隨著電力調度自動化網絡安全問題的加深,電力調度自動化在運行的過程當中,就會出現越來越多的問題,從而導致整個電力調度自動化不能正常的進行運轉。
3電力調度人員沒有盡到該盡的責任
電力調度人員自身的素質,在電力調度自動化管理的過程當中起著決定性的作用。因此,電力調度人員要是不具備很高的個人素質,那么他在工作的整個過程當中,就不會用嚴謹的態度去履行工作的義務,那就更別說是承擔起相應的責任了。于是,一旦網絡安全出現問題,他們也就無法及時找到造成這些問題出現的因素,從而導致問題越來越嚴重,以致于最后危及到了整個電力調度自動化的運行。
4探究解決電力調度自動化網絡安全問題的方法
通過對電力調度自動化的網絡安全問題進行仔細的分析和探究,現將能夠有效解決這一問題的方法列舉出來:
4.1為電力調度自動化建造一個基于科學之上的網絡結構
建設人員在為電力調度自動化建立網絡結構的時候,要嚴格的按照網絡安全中所規定的去進行,以確保網絡結構的一致性和完整性。
4.2安排專業的技術人員對電力調度自動化的網絡系統進行管理
當電力調度自動化在運行的時候,電力企業要安排專業的技術人員,對電力調度自動化網絡系統進行實時的監控和管理。一旦網絡系統出現了問題,那么技術人員就可以及時的發現,并找出造成這一問題出現的原因,然后對其進行全面的分析和探究,最后總結出一個能夠有效解決這一問題的辦法。其次,電力企業還要對這些技術人員進行定期的網絡安全管理知識的培訓,以提高他們的網絡管理水平。
4.3對電力調度自動化的網絡系統進行定期的維護
對網絡系統進行定期的維護,可以有效的減少網絡系統出現問題的概率。當然,在對網絡系統進行維護的時候,要對網絡系統進行全方位的檢查和維護,比如:可以用殺毒軟件清理網絡系統中的垃圾、對需要升級的軟件進行升級和檢查網絡系統中的信息等等。只有加強了對網絡系統的維護,才能夠從很大程度上避免網絡系統在運行的過程當中出現安全性問題。
5結束語
關鍵詞網絡安全系統安全網絡運行安全內部網絡安全防火墻
隨著網絡技術的不斷發展和Internet的日益普及,許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到了無法估量的作用。但教師和學生在使用校園網絡的同時卻忽略了網絡安全問題,登陸了一些非法網站和使用了帶病毒的軟件,導致了校園計算機系統的崩潰,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時,教師和學生都應加強對校園網絡的安全重視。正如人們經常所說的:網絡的生命在于其安全性。因此,如何在現有的條件下,如何搞好網絡的安全,就成了校園網絡管理人員的一個重要課題。
作為一位中學電腦教師兼負著校園網絡的維護和管理,我們一起來探討一下校園網絡安全技術。
網絡安全主要是網絡信息系統的安全性,包括系統安全、網絡運行安全和內部網絡安全。
一、系統安全
系統安全包括主機和服務器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術。
1、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并進行自我復制,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞。因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
1、訪問控制:在內外網隔離及訪問系統中,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進、出的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全。
另外,防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段,防止一個網段的問題穿過整個網絡傳播。針對某些網絡,在某些情況下,它的一些局域網的某個網段比另一個網段更受信任,或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。
2、網絡安全檢測:保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析,用實踐性的方法掃描分析網絡系統,檢查報告系存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。
以上只是對防范外部入侵,維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施,健康正常的校園網絡需要廣大師生共同來維護。
參考文獻
1.局域網組建與維護DIY.人民郵電出版社,2003.05
1網絡安全漏洞
嚴格意義上來說,網絡安全漏洞不是引發HIS系統網絡安全事故的直接因素,但卻是造成HIS系統面臨網絡安全風險的一大隱患。一般來說,醫院HIS系統的網絡安全漏洞包含以下幾個方面:(1)操作系統安全漏洞。HIS平臺的穩定運行往往需要基于一個操作系統,倘若操作系統本身就存在不確定的安全漏洞,則會給黑客攻擊、木馬病毒植入帶來可趁之機。例如,目前,我國很多醫院的HIS平臺仍基于WindowsXP系統,而微軟公司已在今年5月份宣布正式終止XP系統的升級服務,如此一來,上述醫院的HIS系統便會不斷暴露出新的漏洞,這給黑客的攻擊埋下了伏筆。(2)網絡管理疏忽。缺乏必要、定期的網絡管理和維護,也是造成HIS系統面臨網絡安全問題的主要因素。例如,系統缺乏必要的防火墻設備、缺少專業的管理安全管理維護人員、缺乏對系統安全管理硬件軟件的更新等,上述管理疏忽若長期存在,便會給黑客攻擊留下漏洞。
2醫院HIS系統網絡安全提升對策
2.1構建防火墻設備防火墻是防范黑客攻擊、病毒木馬入侵的重要屏障。它能夠通過對HIS系統所在網絡的安全性檢測,判定危險數據包的類型,并啟動隔離技術,將數據包隔離在系統外部,從而有效方式黑客、病毒的入侵。由于HIS系統大多為大中型網絡平臺系統,因此,在構建防火墻防范體系時,應采用包過濾技術和服務器技術整合的復合型防火墻體系,實現對入侵HIS內部非法數據包的有效攔截,并完成系統網絡通信鏈路隔離區域的構建,從而起到有效保障整合系統安全性的目的。
2.2采用動態口令認證技術動態口令認證技術是一種基于“不確定因子”的網絡數據驗證安全技術。應用該種技術,管理員和用戶在登陸HIS系統時,便會要求輸入動態的認證口令,而系統只有在接收到正確的動態口令之后,才會發送相應的權限,允許用戶登陸。上述技術能夠有效防止黑客的“試探性”攻擊,例如,黑客對HIS系統發送數量龐大的試探性攻擊時,倘若遇到動態口令認證技術構建起的網絡安全體系,試探性攻擊便難以識別動態變化的口令牌,從而難以侵入系統。
2.3強化系統網絡安全管理強化HIS系統的網絡安全管理,對提升系統的穩定性將起到至關重要的作用。筆者認為,醫院管理方應從以下幾方面入手,不斷提升系統網安全管理的級別。
2.3.1實時漏洞掃描一方面,定期開展HIS系統端口漏洞掃描。通過掃描系統內部的各個端口,實現對系統內部漏洞的監控。同時,應將掃描的信息與漏洞庫信息進行比對,一旦發現系統存在漏洞,應及時升級系統補丁。另一方面,采用模擬攻擊。管理員可模擬黑客的攻擊,對HIS系統展開定期的漏洞測試,這將有助于及時發現系統存在的潛在漏洞,為安全管理措施的制定奠定基礎。
2.3.2提升人為管理質量醫院應不斷強化HIS系統網絡安全管理意識,革新管理理念,聘請專職的HIS系統網絡安全維護人員,構建系統維護管理部門,制定相應的管理規章制度,例如,確定HIS系統的維護頻率、維護內容、維護操作流程等事項,逐漸構建起完善的系統安全管理制度,形成良好的系統安全管理習慣,不斷強化HIS系統的網絡安全管理水平,優化系統的網絡安全環境,以安全化、高效化的人為管理,構建起HIS系統網絡安全管理的屏障。
3結束語
本文詳細探究了醫院HIS系統網絡安全管理的方式方法。隨著計算機網絡技術的不斷發展,HIS系統也將得到不斷推廣,而系統面臨的網絡安全風險也將與日俱增,因此,對HIS系統網絡安全管理的研究工作也將進一步深入。
作者:陸波單位:淮安市婦幼保健院
1網絡安全與校園網安全
1.1網絡安全
網絡安全不是目的,只是一種保障。就網絡安全來說,其造成威脅的因素又可分為內因和外因。內因主要是計算機本身的問題所致,例如自身的系統缺陷、訪問控制中的安全隱患和漏洞、www等域名的服務漏洞、網絡操作系統的安全缺陷等。外因主要是指來自外界的威脅和干擾。包括計算機病毒、非授權的冒充使用、物理環境的安全性差等因素。
1.2校園網安全
校園網相對來說是一個比較特殊的環境,由于面向的群體主要是學生,因此除了要保證網絡的正常運行外,還必須做好對內容不健康信息的過濾功能以及應對個別同學喜歡嘗試各種試圖攻擊和入侵服務器的行為。通過分析目前校園網中存在的問題,應該從以下幾方面進行著手維護:制定和實施訪問安全,身份認證,禁止未授權的訪問者非法進入;對于電子閱覽室、網絡實驗室等學校人員經常使用的計算機,安裝上防火墻,過濾掉、暴力等不健康的網站;對重要或敏感的信息和數據進行加密,保證信息的內容的安全性,防止例如學生成績信息等重要數據被非法篡改;確保網絡運行設施的可靠性和安全監測手段的有效性,防范非法入侵而使系統功能受到影響情況的出現;學校可設立網絡安全管理機制,負責網絡安全管理和規劃等工作,加強學校安全管理教育工作的開展。
2防火墻技術
防火墻是一種為了保護內部網安全,在計算機的硬件和軟件相互搭配組合下,在互聯網和內部網之間形成安全屏障的技術,是確保網絡安全的重要手段。作為現代網絡時代不可或缺的安全產品,防火墻已經成為了校園網絡必要的存在。就目前來說,防火墻主要通過對未經證實的主機的TCP/IP進行分組過濾、利用IP地址進行偽裝、通過功能,斷絕內外部之間的連接等三個主要手段對內部網進行安全保護。
2.1防火墻的功能
(1)管理進出網絡的訪問行為作為雙向溝通間的控制點,防火墻可以利用自身的阻塞點,對訪問的信息進行管理和控制,并過濾掉不安全的服務和信息,只允許經過選擇的應用選擇通過防火墻,這在很大程度上降低了訪問的風險,提高了內部網絡的安全性。(2)記錄通過防火墻的信息內容和活動防火墻的建立使得所有信息的訪問在經過防火墻的時候都會留下記錄,防火墻內部會根據這些數據統計網絡的使用情況,并作出日志記錄。(3)監測和反饋網絡攻擊行為在信息監測的過程中,當有可疑的情況發生時,防火墻會適當的報警,并把詳細信息自動生成電子郵件發送給網絡維護者,提供網絡是否受到監測和攻擊的信息。(4)防止內部信息的泄漏在實施保護的過程中,可以通過防火墻的內部網絡劃分,將重點網段進行隔離,防止了局部重點或敏感段落出現問題對全局造成影響。
2.2防火墻特性
(1)是雙向網絡載體通信之間的中間存在點;(2)具有透明性,其存在不影響信息之間的交流和溝通;(3)它只對符合本地開放安全的信息進行授權,而只有經過授權的信息才可以自由出入網絡。
3防火墻技術在大學校園網中的應用
在目前,各種維護網絡的軟硬件層出不窮,但大多數只能解決學校網絡安全中的一部分,例如金山、瑞星等軟件解決病毒防范,天網、天融信等軟件解決網絡攻擊問題,這些軟件的存在都是以解決單一或部分問題為目標,并不能對學校的網絡安全形成整體的解決方案。由于學校的特殊性,學校對網絡的需求也有所不同,因此校園網絡應該根據學校的需求特點出發,以第一評價為標準,完善網絡體系,具體來說,有以下幾個步驟:
3.1入侵監測系統
入侵檢測是一種能夠及時監測和發現網絡系統中異常現象的實時監測技術。在監測過程中除了利用審計記錄,監測出任何不希望有的活動以外,它還可以實時防護來自IPSpoofing、PingofDeath以及其它外界的攻擊,以保護系統的安全。而在監測到攻擊行為時它還可以自動生成電子郵件通知系統管理員,使其可以在第一時間處理危機。
3.2建立用戶認證
建立和完善網絡的用戶認證機制,對于不可信網站的訪問,防火墻可以經過內建用戶數據庫或IP/MAC綁定資料等進行認證,并決定是否給予訪問的權限。而防火墻也可以限定授權用戶通過防火墻進行一些有限制的活動。
3.3防火墻系統的檢測和維護
在合理配置了防火墻后,必須要對防火墻進行經常性的檢測和監督,并對監測到的網絡流量進行分析,時刻關注異常流量的情況,做好日志備份等處理工作,以便日后信息的查閱。最后,防火墻的配置也要根據網絡結構的變化而變化,從而保證其能在保護校園網中發揮更好的作用。
3.4漏洞掃描系統
要想解決網絡中的安全問題,首先要清楚存在了哪些安全隱患。面對強大的網絡覆蓋面和不斷變化的網絡復雜性,如果僅僅只依靠網絡技術管理人員的技術去查找漏洞是存在著巨大困難的,也是不現實的。因此唯一的方法就是找出一種可以替代人工查詢漏洞,并做出及時評估、提出修改意見的安全掃描工具,它可以在系統優化的過程中彌補安全漏洞,消除安全隱患。
3.5利用網絡監聽維護子網安全
威脅校園網絡安全有內因和外因兩個部分,對于外因,我們可以通過安裝防火墻來解決,但是對于校園內部的入侵我們則無能為力,在這種情況下,學校可以在網絡監控部門中設立一個專門管理和分析網絡運作狀態的子網監聽程序,該監聽程序可以包含一定的審計功能,方便在長期監聽子網的情況中,為系統中各個服務器的審計文件提供備份,并在監聽的程序之間建立聯系,保證相互聯系的計算機,在其它服務器收不到聯系的情況下,會自動發出警報提示。
4結語
①存在大的攻擊消耗。作為現在人類日常生活中重要的部分,計算機網絡侵害和攻擊的主要對象就是網絡中的計算機,絕大時候都會給計算機用戶引入嚴重的毀壞,發生體系徹底無法恢復或者丟失許多數據的事故。②影響社會的整體安全。作為當今社會的必要設備,不只是我們每個公民個體,政府以及企業,也都使用計算機進行相應的工作。其攻擊的主要對象是著名企業或重要政府部門的計算機網絡,很容易給國家引入重大的安全危害。③不易發現的攻擊方式。伴隨計算機網絡先進技術的飛速成長,攻擊網絡的方式也越來越多。攻擊者一般是用獲取用戶登錄的密碼,完成攻擊計算機網絡;通過得到的數據,獲取重要的保密文件。這類方式給整個網絡引入了非常大的危害,而且非常不容易被發現,這給防備安全引入非常大的不便。
2構成網絡安全的緣由
(1)固有因素。在日常計算機利用進程中,肯定會受到自有的緣由或者人為操作的作用,發生安全故障。計算機自身的防備水平不夠,當受到攻擊時非常容易造成數據的丟失或者毀壞硬件的現象,影響了整個網絡的信息安全及其完善性。在固有因素當中大都屬于靜電危害,這也是最不好解決的危害。主要原因是,對于計算機核心器件CPU和ROM,因為其是利用MOS工藝進行設計的多功能電路,其很容易受到靜電的影響,而呈現很多方面的毀壞。(2)對網絡安全沒有足夠的認識。在計算機發展進程中,也出現了復雜的網絡框架,其也高要求網絡安全的整體管理。而從現實中考慮,每一個用戶對網絡安全沒有足夠的認識,意識非常匱乏。表現在,在進行網絡瀏覽時,沒有一定的操作規范,很有可能下載到對網絡安全構成危險的軟件。(3)計算機系統還有很多的Bug。這些Bug存在是,很容易讓黑客侵入,破壞整個通信網絡。沒有對系統Bug進行修補和排查,給黑客提供了便利的攻擊條件。因此及時修補系統中的Bug,養成良好的上網習慣,防范黑客攻擊。(4)安全管理也有很多漏洞。作為網絡安全的必要屏障,對網絡安全的匱乏認識,直接會導致整個網絡的癱瘓,特別是構建網絡安全防范體系,尚未有成熟的安全體系。基于計算機的關于網絡通信安全方面的問題愈來愈凸顯,表1是一般網絡安全的需求。
3網絡安全預防方法
對于網絡安全問題,其主要危害有很多方面,大部分都是黑客通過系統Bug對整個網絡進行攻擊。現在網絡安全預防手段中,大部分都是使用殺毒軟件和設置防火墻進行雙重保護。可是伴隨攻擊方式的多元性,殺毒和防火墻的雙重保護只能防范普通的病毒,并且在防火墻設置時也增加了相應的訪問權限,這給網絡安全留下了非常大的隱患。因此網絡安全預防中,既要配置殺毒和防火墻的雙重保護,也要切實進行網絡安全的系統管理工作。
3.1認真做好保護系統穩定性的工作
對于網絡系統,其本身肯定會有一些Bug存在,這些Bug就是網絡安全的危害。因此真人分析網絡系統中的每一個方面,針對每一個可能具有的Bug或者已經有的Bug進行防范和保護,盡可能地防止黑客和病毒的入侵。配置殺毒軟件和防火墻設置,主動地對整個網絡系統進行一定的防護,當病毒或者黑客還沒有入侵到網絡系統時,就要采取一定的防御措施。而且用戶可以在網絡系統中設置一個不易被發現的系統,當文件侵入網絡系統時,對其進行清除,防備網絡攻擊引入的危害。
3.2改進相應的四周環境
在日常的活動當中,四周環境非常容易影響計算機的正常運行。比如斷電及雷擊,都可能影響到整個網絡系統的安全。因此在日常使用進程中,經常對網絡系統進行線路的檢查,盡快處理已經出現了的相關問題;切實做好網絡系統的防雷措施,對于計算機工作室,配置避雷針或者相應的抗干擾裝置,盡可能保證固有因素對網絡系統的影響。而且作為網絡安全中重要的核心因素,相應的防備工作也要積極開展。比方計算機工作室內,配置防靜電的地板,同時保證其和裝備之間的接地,如此就有益于室內積累的靜電傳送到大地。
3.3基于計算機關于網絡通信安全的先進技術
對于防備網絡系統安全問題,其相應的先進技術非常多,主要有基于密碼學的先進技術,基于防火墻的先進技術,基于入侵探測的先進技術,其都為防備網絡系統安全中非常重要的部分。(1)對于基于密碼學的先進技術,在防范網絡系統安全進程中,其可以成功避免非正常用戶以及惡性文件和軟件的侵入,對于保護個人私人資料,密碼是最最基本的一條防線。而對于設置密碼方面,用戶還沒有足夠的認識,通常只進行簡單的密碼設置,這個簡單的形式提供給黑客攻擊的有利條件,很容易發生密碼被盜的事故。因此,不能簡單地對密碼進行設置,應該設置為沒有規律可循的字符和數字隨機組合的密碼,同時不定期地進行密碼更換,以防被黑客入侵。(2)對于基于防火墻的先進技術,用防火墻網絡系統劃分,構成不一樣級別的模塊。同時經過訪問控制判斷以及身份的鑒別方法,盡可能地控制不同區域的系統安全。而且對于網絡系統安全的需求,防火前也具有不一樣的職責,是因為防火前具有龐大的體系。(3)基于入侵探測的先進技術,對于防御整個網絡安全,入侵探測屬于主動保護的體系。這個系統可以分析所獲取的關鍵信息,隨時可以觀測到整個網絡的安全情況,并針對影響安全的行為進行一定的打擊。和防火墻相比,入侵探測可以成功提升整個網絡系統的安全。
4結束語
