時間:2023-03-22 17:42:59
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇安全網絡論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
辦公網絡面臨的內部安全威脅
正如我們所知道的那樣,70%的安全威脅來自網絡內部,其形式主要表現在以下幾個方面。
內部辦公人員安全意識淡漠
內部辦公人員每天都專注于本身的工作,認為網絡安全與己無關,因此在意識上、行為上忽略了安全的規則。為了方便,他們常常會選擇易于記憶但同時也易于被猜測或被黑客工具破解的密碼,不經查殺病毒就使用來歷不明的軟件,隨便將內部辦公網絡的軟硬件配置、拓撲結構告之外部無關人員,給黑客入侵留下隱患。
別有用心的內部人員故意破壞
辦公室別有用心的內部人員會造成十分嚴重的破壞。防火墻、IDS檢測系統等網絡安全產品主要針對外部入侵進行防范,但面對內部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內上網瀏覽網頁,下載軟件或玩網絡游戲,但受到網絡安全管理規定的限制,于是繞過防火墻的檢測偷偷撥號上網,造成黑客可以通過這些撥號上網的計算機來攻入內部網絡。而有些辦公人員稍具網絡知識,又對充當網絡黑客感興趣,于是私自修改系統或找到黑客工具在辦公網絡內運行,不知不覺中開啟了后門或進行了網絡破壞還渾然不覺。更為嚴重的是一些人員已經在準備跳槽或被施利收買,辦公內部機密信息被其私自拷貝、復制后流失到外部。此外,還有那些被批評、解職、停職的內部人員,由于對內部辦公網絡比較熟悉,會借著各種機會(如找以前同事)進行報復,如使用病毒造成其傳播感染,或刪除一些重要的文件,甚至會與外部黑客相勾結,攻擊、控制內部辦公網絡,使得系統無法正常工作,嚴重時造成系統癱瘓。
單位領導對辦公網絡安全沒有足夠重視
有些單位對辦公網絡存在著只用不管的現象,有的領導只關心網絡有沒有建起來,能否連得上,而對其安全沒有概念,甚至對于網絡基本情況,包括網絡規模、網絡結構、網絡設備、網絡出口等概不知情。對內部辦公人員,公司平時很少進行安全技術培訓和安全意識教育,沒有建立相應的辦公網絡安全崗位和安全管理制度,對于黑客的攻擊和內部違規操作則又存在僥幸心理,認為這些是非常遙遠的事情。在硬件上,領導普遍認為只要安裝了防火墻、IDS、IPS,設置了Honeypot就可以高枕無憂。而沒有對新的安全技術和安全產品做及時升級更新,對網絡資源沒有進行細粒度安全級別的劃分,使內部不同密級的網絡資源處于同樣的安全級別,一旦低級別的數據信息出現安全問題,將直接影響核心保密信息的安全和完整。
缺乏足夠的計算機網絡安全專業人才
由于計算機網絡安全在國內起步較晚,許多單位缺乏專門的信息安全人才,使辦公信息化的網絡安全防護只能由一些網絡公司代為進行,但這些網絡安全公司必定不能接觸許多高級機密的辦公信息區域,因此依然存在許多信息安全漏洞和隱患。沒有內部信息安全專業人員對系統實施抗攻擊能力測試,單位則無法掌握自身辦公信息網絡的安全強度和達到的安全等級。同時,網絡系統的漏洞掃描,操作系統的補丁安裝和網絡設備的軟、硬件升級,對辦公網內外數據流的監控和入侵檢測,系統日志的周期審計和分析等經常性的安全維護和管理也難以得到及時的實行。
網絡隔離技術(GAP)初探
GAP技術
GAP是指通過專用硬件使兩個或兩個以上的網絡在不連通的情況下進行網絡之間的安全數據傳輸和資源共享的技術。簡而言之,就是在不連通的網絡之間提供數據傳輸,但不允許這些網絡間運行交互式協議。GAP一般包括三個部分:內網處理單元、外網處理單元、專用隔離交換單元。其內、外網處理單元各擁有一個網絡接口及相應的IP地址,分別對應連接內網(網)和外網(互聯網),專用隔離交換單元受硬件電路控制高速切換,在任一瞬間僅連接內網處理單元或外網處理單元之一。
GAP可以切斷網絡之間的TCP/IP連接,分解或重組TCP/IP數據包,進行安全審查,包括網絡協議檢查和內容確認等,在同一時間只和一邊的網絡連接,與之進行數據交換。
GAP的數據傳遞過程
內網處理單元內網用戶的網絡服務請求,將數據通過專用隔離硬件交換單元轉移至外網處理單元,外網處理單元負責向外網服務器發出連接請求并取得網絡數據,然后通過專用隔離交換單元將數據轉移回內網處理單元,再由其返回給內網用戶。
GAP具有的高安全性
GAP設備具有安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計和身份認證等安全功能。由于GAP斷開鏈路層并切斷所有的TCP連接,并對應用層的數據交換按安全策略進行安全檢查,因此能夠保證數據的安全性并防止未知病毒的感染破壞。
使用網絡隔離技術(GAP)進行內部防護
我們知道,單臺的計算機出現感染病毒或操作錯誤是難以避免的,而這種局部的問題較易解決并且帶來的損失較小。但是,在辦公信息化的條件下,如果這種錯誤在網絡所允許的范圍內無限制地擴大,則造成的損失和破壞就難以想象。因此,對辦公內部網絡的安全防范不是確保每一臺網絡內的計算機不發生安全問題,而是確保發生的安全問題只限于這一臺計算機或這一小范圍,控制其影響的區域。目前,對內網采取“多安全域劃分”的技術較好地解決了這個問題,而GAP系統的一個典型的應用就是對內網的多個不同信任域的信息交換和訪問進行控制。因此,使用GAP系統來實現辦公內網的“多安全域劃分”,是一個比較理想的方法。
“多安全域劃分”技術
“多安全域劃分”技術就是根據內網的安全需求將內網中具有不同信任度(安全等級)網段劃分成獨立的安全域,通過在這些安全域間加載獨立的訪問控制策略來限制內網中不同信任度網絡間的相互訪問。這樣,即使某個低安全級別區域出現了安全問題,其他安全域也不會受到影響。
利用網絡隔離技術(GAP)實現辦公內網的“多安全域劃分”
首先,必須根據辦公內網的實際情況將內網劃分出不同的安全區域,根據需要賦予這些安全區域不同的安全級別。安全級別越高則相應的信任度越高,安全級別較低則相應的信任度較低,然后安全人員按照所劃分的安全區域對GAP設備進行安裝。系統管理員依照不同安全區域的信任度高低,設置GAP設備的連接方向。GAP設備的內網處理單元安裝在高安全級別區域,GAP設備的外網處理單元安裝在低信任度的安全區域,專用隔離硬件交換單元則布置在這兩個安全區域之間。內網處理單元高安全級別區域(假設為A區域)用戶的網絡服務請求,外網處理單元負責從低安全級別區域(設為B區域)取得網絡數據,專用隔離硬件則將B區域的網絡數據轉移至A區域,最終該網絡數據返回給發出網絡服務請求的A區域用戶。這樣,A區域內用戶可通過GAP系統訪問B區域內的服務器、郵件服務器、進行郵件及網頁瀏覽等。同時,A區域內管理員可以進行A區域與B區域之間的批量數據傳輸、交互操作,而B區域的用戶則無法訪問A區域的資源。這種訪問的不對稱性符合不同安全區域信息交互的要求,實現信息只能從低安全級別區域流向高安全級別區域的“安全隔離與信息單向傳輸”。
這樣,較易出現安全問題的低安全區(包括人員和設備)就不會對高安全區造成安全威脅,保證了核心信息的機密性和完整性。同時,由于在GAP外網單元上集成了入侵檢測和防火墻模塊,其本身也綜合了訪問控制、檢測、內容過濾、病毒查殺,因此,GAP可限制指定格式的文件,采用專用映射協議實現系統內部的純數據傳輸,限定了內網局部安全問題只能影響其所在的那個安全級別區域,控制了其擴散的范圍。
“多安全域劃分”的防護效果
由于GAP實現內網的信任度劃分和安全區域設定,使辦公內網的安全性極大提高,辦公內網易出現的安全問題得到有效控制。
1.什么是數據信息加密這種技術是通過密匙和加密算法,將原本可讀的重要敏感信息轉換成并無實際意義的密文,而這種密文只有被指定的合法信息使用者才可以恢復原先的“消息”。數據加密技術對傳輸中的數據加密。常用的方式有線路加密和端對端加密兩種。有線路加密的重心作用發揮在線路上,而對于信源與信宿不考慮。端對端加密是指從發送者端發出的信息通過專業加密軟件,把明文(原文)加密成密文,隨后,進入TCP/IP數據包封裝透過互聯網。當這些經過加密的信息到達目的終端,由合法收件人使用對應的密匙進行解密,把密文恢復成可讀的信息語言。2.當前被廣泛使用的加密方式 就現階段而言,對稱加密與非對稱加密技術被運用得較為普遍。所謂的非對稱加密即信息加密與解密所使用的密匙想通,而相對的非對稱加密的解密的密匙則不同,分別稱為“公鑰”和“私鑰”。合法的信息使用者必須擁有私匙來解密用公匙加密的文件。
二、訪問控制
1.存取控制對于互聯網而言,存取控制是其安全理論中較為重要的組成部分。它涵蓋了風險分析、類型控制、權限控制以及數據標識和人員限制。它通常是與身份驗證一起使用,因為身份驗證可以通過數據標識對用戶特性進行區分,這樣才方便確定用戶的存取權限。2.身份驗證這種訪問控制技術一般是通過驗證一致性,來確定用戶是否具有訪問權限。它所需要驗證的數據又驗證依據和驗證系統以及安全要求,這種訪問控制技術被運用到計算機網絡中的時間相當早,而且一直沿用至今。
三、常見的攻擊手段和應對方法
(一)常見攻擊手段
1.盜取用戶口令這種網絡攻擊手段較為常見,它是通過一些非法手段盜取用戶口令,然后接入、登陸用戶主機,開始一些非法的操作、控制。2.設置特洛伊木馬程序特洛伊木馬程序是最常見的計算機病毒,它經常被偽裝成工具程序或者游戲誘引用戶打開該程序,如果用戶不經意間打開、運行了此類程序,被預先編制好了的病毒就會不露聲息的潛藏在計算機當中。當該用戶打開電腦后,特洛伊木馬程序就會通知攻擊者,修改計算機程序,竊取信息,通過這樣的方式來滿足不良企圖。3.網頁欺騙當前,有些人通過劫持網頁鏈接,來進行網頁欺騙。如果網頁鏈接被劫持,用戶在瀏覽自己想訪問的網頁時,就已經踏入了這些人所設計的欺騙陷阱。
(二)網絡攻擊應對策略
1.加強安全意識對于發件人不詳的電子郵件,不能隨意打開。對于不了解的程序,避免運行。設置用戶名和密碼的時候要盡量做到字母和數字混合搭配,避免使用生日等常規信息。這樣不容易被非法用戶破譯。作為合法用戶應該經常下載更新補丁程序和殺毒程序,維護系統安全。2.使用防毒、防黑等防火墻軟件防火墻是維護信息安全的屏障,它的功用在于組織黑客非法進入某個機構的內部信息網絡。使用防火墻,只需要在適當位置上組建網絡安全監控系統,并用此監控系統來控制內外信息交流,保證網絡信息的安全性。3.隱藏自己的IP地址IP地址非常重要。如果,在用戶還未察覺的狀態下,計算機上被安裝的木馬程序。但是如果黑客沒有該計算機的IP地址,那么對于信息安全的侵犯也是不能實施的。設置服務器是能夠非常有效的對自身IP起到保護作用。使用服務器能夠轉接所有來自外部的訪問申請,也可以控制特定用戶訪問特定服務器。4.定時升級更新防毒軟件,把防毒防黑當成日常工作。5.及時備份重要個人信息和資料。
四、網絡安全建設
(一)國外面對網絡威脅采取的主要對策
當前,網絡安全已經成為全球各個國家都相當關注的問題。就美國而言,1998年5月22日,其政府頒布了《保護美國關鍵基礎設施》總統令(PDD-63),并且成立了很多服務于信息安全保障的組織。其中包括全國信息保障委員會、全國信息保障同盟、關鍵基礎設施保障辦公室、首席信息官委員會、聯邦計算機事件響應能動組等10多個全國性機構。2000年1月,美國又了《保衛美國的計算機空間──保護信息系統的國家計劃》。該計劃分析了美國關鍵基礎設施所面臨的威脅,確定了計劃的目標和范圍,制定出聯邦政府關鍵基礎設施保護計劃(其中包括民用機構的基礎設施保護方案和國防部基礎設施保護計劃)以及私營部門、州和地方政府的關鍵基礎設施保障框架。
1.1給計算機網絡設備以及系統造成威脅的因素
這方面的威脅主要和計算機網絡關口安全設置以及內部系統漏洞的修復有著直接的關系。就目前而言,我們使用的很多計算機軟件本身都是具有安全漏洞的,這些漏洞的存在會遭到黑客的攻擊。如果網絡設備本身不夠規范也會給計算機的安全造成嚴重的威脅,特別是進行內部局域網端口設置的時候,必須重視權限方面的設置,不斷的提高用戶本身的安全意識。新形式下的網絡管理安全技術分析文/劉瑛隨著科技和計算機技術的不斷發展,在我們的生活和工作中,網絡已經成為了非常重要的組成部分,但是計算機的安全問題也與之俱來。在我們進行計算機管理的時候,各種安全隱患也層出不窮。本文主要對計算機網絡管理中存在的安全問題進行分析,并根據問題的癥結找到了一些措施,希望能夠提高計算機網絡管理的安全性。摘要
1.2第三方網絡攻擊
此處的第三方網絡攻擊,一般指的是計算機病毒、木馬植入以及黑客的攻擊等等。不法分子利用木馬能夠侵入計算機系統中去,破壞計算機內部的程序,而用戶卻很難察覺到。計算機病毒的生命力非常的頑強,并且隨著計算機的進步和發展,病毒也在不斷的更新。此外,計算機病毒有著隱蔽性、傳播性以及破壞性的特征,都給計算機造成了非常大的威脅。
2計算機網絡管理以及安全技術
在人們應用計算機網絡的時候,安全問題是不得不考慮的一個重要問題,只有做好網絡安全管理,才能夠保證人們在使用計算機網絡的時候,信息是相對安全的,而做好計算機網絡安全管理,也是計算機專業人才的一個重要責任。
2.1對網絡安全保障措施進行完善,確保其是完整的
計算機網絡本身并不是獨立存在的,其是一個完整的系統,所以在采取措施進行計算機網絡安全維護的時候必須考慮到計算機系統本身的整體性,采取措施確保網絡安全保障本身是完整的,這就需要做好各個環節的安全維護工作,比如說系統內部、應用程序、網絡端口、文件管理以及內網和外網的過渡帶等一些地方,都必須采取措施保證安全防范的嚴密性,這樣才能夠更好地保證安全技術本身的整體性能。
2.2網絡管理以及通信安全方面的技術
一般情況下,網絡管理指的便是全面監控計算機內部網絡的實際使用情況,比如說對計算機上網的流量進行監控、進行故障檢測報警、管理計算機網關。在進行工作的時候,網絡管理系統會職能自動化的檢測計算機的實際網絡情況,這樣能夠更好的提高計算機網絡本身的可信度和可靠性。
2.3計算機加密方面的技術
計算機加密技術主要是對計算機的一些內部信息進行一定的維護,從而確保計算機以及網絡信息本身是安全的。就目前而言,現在的加密技術已經有了一定的進步,結構不再像以往加密技術一樣的單一,并形成了計算機加密系統,新的系統已經將保密性、完整性、真實性以及可控性結合在了一起,這對計算機信息安全起到了重要的保護作用。
2.4計算機防火墻方面的技術
防火墻技術能夠更好的防止計算機網絡訪問非法的情況,其類型也比較多,比如說過濾型防火墻、網絡地址轉換型防火墻、型防火墻、監測型防火墻。雖然這些防火墻本身的類型有一定的區別,但是都可以對網絡訪問控制進行加強,在一定程度上避免外部網絡用戶非法侵入的出現,維護了用戶的網絡使用安全。
2.5計算機網絡防病毒的相關技術
一般情況下,網絡防病毒技術指的便是利用一些專門的技術或者手段來對計算機病毒造成的系統破壞進行一定的預防。目前的計算機防病毒技術一般包含了病毒的預防以及病毒的清理兩個重要方面,計算機病毒預防是和病毒檢測技術的實際發展情況有著直接聯系的,系統應該根據最新發現的病毒及時的進行病毒庫的更新。在計算機病毒檢測結束之后,就必須根據實際的情況進行計算機病毒的清理,由此我們也能夠發現計算機病毒清理的被動性比較的明顯。
3結語
[論文摘要]隨著計算機技術的發展,在計算機上處理業務已由單機處理功能發展到面向內部局域網、全球互聯網的世界范圍內的信息共享和業務處理功能。在信息處理能力提高的同時,基于網絡連接的安全問題也日益突出,探討了網絡安全的現狀及問題由來以及幾種主要網絡安全技術。
隨著計算機網絡的發展,其開放性,共享性,互連程度擴大,網絡的重要性和對社會的影響也越來越大。而網絡安全問題顯得越來越重要了。國際標準化組織(ISO)將“計算機安全”定義為:“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”,上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。
一、網絡的開放性帶來的安全問題
眾所周知,Internet是開放的,而開放的信息系統必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中,安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現有的安全工具和機制的情況下,網絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結為以下幾點:
(一)每一種安全機制都有一定的應用范圍和應用環境
防火墻是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為,防火墻是很難發覺和防范的。
(二)安全工具的使用受到人為因素的影響
一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者和普通用戶,不正當的設置就會產生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面,可以通過靜態掃描工具來檢測系統是否進行了合理的設置,但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較,針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。
(三)系統的后門是傳統安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4.0以前一直存在,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而可以收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻是無法發覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區別是入侵訪問在請求鏈接中多加了一個后綴。
(四)只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用,而且這種攻擊通常不會產生日志,幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG,現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
(五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統安全問題出現
然而安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時,其他的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
二、網絡安全的主要技術
安全是網絡賴以生存的保障,只有安全得到保障,網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展,其涉及的技術面非常廣,主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。
(一)認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息。
(二)數據加密
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
1.私匙加密。私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快,很容易在硬件和軟件中實現。
2.公匙加密。公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。
(三)防火墻技術
防火墻是網絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數據,它不同于只會確定網絡信息傳輸方向的簡單路由器,而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊,其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和服務器技術,它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網絡連接能力。此外,現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內外提供一致的安全策略;而且防火墻只實現了粗粒度的訪問控制,也不能與企業內部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(路由器、過濾器、服務器、網關、保壘主機)組成的防火墻,管理上難免有所疏忽。
(四)入侵檢測系統
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在校園網絡中采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
(五)虛擬專用網(VPN)技術
VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制,這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密匙管理技術(KeyManagement)和使用者與設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務,這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協議可分為第二層和第三層的;按發起方式可分成客戶發起的和服務器發起的。
(六)其他網絡安全技術
1.智能卡技術,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體,由授權用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。
2.安全脆弱性掃描技術,它為能針對網絡分析系統當前的設置和防御手段,指出系統存在或潛在的安全漏洞,以改進系統對網絡入侵的防御能力的一種安全技術。
3.網絡數據存儲、備份及容災規劃,它是當系統或設備不幸遇到災難后就可以迅速地恢復數據,使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。
4.IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告信息。
5.Web,Email,BBS的安全監測系統。在網絡的www服務器、Email服務器等中使用網絡安全監測系統,實時跟蹤、監視網絡,截獲Internet網上傳輸的內容,并將其還原成完整的www、Email、FTP、Telnet應用的內容,建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容,及時向上級安全網管中心報告,采取措施。
1.1網絡安全的定義
國際標準化組織(ISO)將網絡安全[2]定義為:為數據處理系統建立相應的安全保護措施,保護運行在網絡系統中的硬件、軟件以及系統中的數據不被黑客更改、破壞或者泄露,從而保證了網絡服務不中斷,使得系統可靠安全地運行.上述網絡安全的定義包含兩方面內容:物理安全和邏輯安全.其中物理安全是指在構建網絡系統的時候,保證物理線路能夠防雷、放火、防水、防盜等,能夠保證物理線路連續的進行數據傳輸.而邏輯安全通常指的是傳輸在網絡上數據的信息安全,即對網絡上傳輸信息的保密性、可用性和完整性的保護.另一方面,網絡安全性的涵義也可以理解成是信息安全的一種引申,即網絡安全是對網絡信息的保密性、可用性和完整性提供相應的保護.概括的說,可以將網絡安全定義為:為保證目前網絡中運行的系統、信息數據、信道傳輸數據和信息內容的安全而采取相應的措施,從而保證網絡中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性.
1.2網絡安全基本特征
網絡安全應具有保密性、可用性、可控性、可審查性、完整性等五個方面的特征.保密性:信息未經授權不泄露給任何用戶,而且信息的特性也具有保密性,其它非授權用戶、實體或過程無法利用其特征.可用性:用戶經過授權后可按需使用,即授權用戶當需要該信息時能否正常存取.網絡環境下常見的可用性的攻擊包括拒絕服務攻擊、破壞網絡或系統的正常運行等.可控性:對網絡中傳播的信息及其內容具有控制能力.可審查性:當網絡中出現安全問題時可提供相應的依據與手段,便于追蹤攻擊源.完整性:用戶未經授權不能隨意改變數據的特性,即信息在保存或者傳輸的過程中擁有不被修改、破壞或丟失的特性,保證了信息的完整性.
2校園網建設概述及其安全威脅
隨著互聯網的快速普及,校園網建設已經成為學校的基礎建設之一,教育信息化、數字化已經成為教育發展的主方向,校園網已成為學校日常教學、辦公、科研、管理、生活主要的工具和手段之一,并發揮著越來越重要的作用[3].另一方面,隨著國家科教興國戰略的實施,政府加強了對學校的投資,由此也加強了學校對校園網的建設.中國教育和科研計算機網(CER-NET)的成立,標志著教育網的形成.CERNET主干網絡傳輸速率已達到2.5Gpbs,總容量達40Gpbs,它吸引超過1000所高校的鼎力加盟,覆蓋全國超過200個城市.目前,大部分學校都已建成校園網,實現了校園網的整體覆蓋,包括辦公樓、教學樓、宿舍樓等.校園網同時與Internet對接,實現了校園辦公教學的信息化、自動化.如圖1所示,為一個簡單的校園網組網模型.隨著CERNET的建設不斷提高,校園網已經成為互聯網的重要組成部分之一,是學校信息化、數字化建設的基礎設施,同時擔任著科研與教學的重要任務.然而,目前國內大多數學校都缺乏對校園網建設的綜合規劃、缺乏相應的網絡管理措施、以及對校園網絡的認識不足,這些都極大阻礙了校園網的發展.因此合理地對校園網絡升級,是目前學校校園網工程的首要目標之一[4].同時,校園網作為學校數字化、信息化的基礎設施,安全問題不容忽視.在互聯網開放程度很高的今天,校園網往往最容易成為黑客攻擊的目標.威脅校園網安全的因素有很多,但主要的安全威脅有以下幾類.
2.1TCP/IP協議漏洞造成的威脅
現在互聯網上使用最多的協議就是TCP/IP協議了,這幾乎是所有校園網采用的網絡傳輸協議.TCP/IP協議在設計之初,就沒有考慮安全問題,它只考慮如何把信息互相傳輸,因此存在很大的安全威脅.雖然國際標準化組織提出的OSI七層協議能夠很好的保證網絡安全,但是由于TCP/IP協議的開放性和通用性幾乎占用了整個市場,使得OSI七層協議無法推廣.所以,目前網絡黑客針對TCP/IP漏洞攻擊有很多,例如:數據竊聽、源地址欺騙、ARP欺騙等等.
(1)數據竊聽(PacketSniff).TCP/IP協議從設計之初,就采取的是數據包明碼傳輸,這種傳輸模式使得數據包很容易被竊聽、修改和偽造.黑客可以利用一系列工具獲取網絡中正在傳輸的數據包,竊取用戶有利用價值的信息,如用戶賬戶和密碼等信息.同時,黑客也能修改和偽造數據包,讓用戶誤入釣魚網站或者竊取網上銀行信息,給用戶造成直接經濟損失.特別是在校園網中,數據包流通比較集中,一旦獲取了校園網服務器或管理員賬號信息,將會給校園網絡造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網絡安全中,一個比較重要的安全問題就是源地址欺騙.這里的源地址,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉發,信息會發生變化,而且在實際的網絡系統中,也有一定的限制,改造欺騙難度比較大,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機IP地址,騙取防火墻信任,從而對校園網內部發起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個完整的IP數據包中,通常只包含源地址和目的地址,即路由器可以知道數據包從哪個主機發送出來,將要到達哪個主機.源路由是指數據包將會列出所要經過的路由,路由器將會根據這些指定的路由將數據包送達相應的主機,然后根據其反向路由進行應答,從而實現主機之間的通信.而源路由選擇欺騙,則是攻擊者通過偽造主機源路由,讓數據包經過該主機必經路由,使受攻擊主機出現錯誤判斷,將某些被保護的數據提供給了攻擊者.另一方面,由于路由器一般對接收到的路由信息是不經過檢驗的,這樣就給攻擊者提供便利,攻擊者可以發送虛假數據包,改變某些重要數據包的傳遞路徑,使得數據在傳遞到正常主機前,即可抓取分析,從而也達到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協議還無法證明網絡身份的真實有效性,因此黑客可以偽造他人合法身份入侵到網絡系統或者獲取密鑰信息,從而達到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協議,作用是將網絡中的IP地址轉換成MAC物理地址的協議.因為在局域網中,尤其是在校園網中,使用最多的往往是MAC地址進行傳輸,而不是IP地址進行傳輸,所以ARP協議能夠很快的讓局域網中的兩臺主機進行通信.而黑客只需在局域網中進行網絡監聽,獲取到一臺主機A的節點信息(IP地址和MAC地址),就能偽造A的數據包,與B進行通信,獲取有用信息.另一方面,黑客可以偽造一個不存在的MAC地址在局域網內傳播,形成廣播風暴,這樣會造成網絡不通,給局域網造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務攻擊,攻擊者的目的是讓目標主機或網絡無法提供正常服務.因為TCP協議采用三次握手建立一次連接,而任何一次握手失敗,則會重新發送.攻擊者正是利用這一個協議漏洞,采取不斷建立連接,然后丟棄該連接數據包,使得服務器處于等待狀態,如果攻擊者一直持續連接和丟棄的過程,則服務器和網絡所有的資源會被完全消耗,導致計算機或網絡無法正常工作,從而達到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊,即分布式拒絕服務攻擊,它是指攻擊者借助一系列工具或手段,聯合多個計算機組成攻擊平臺,對一個或數個目標發動DoS攻擊.最基本的DoS是利用合法的服務請求,占用攻擊目標主機大量服務資源,使得正常用戶無法訪問.然而DoS服務需要占用大量帶寬,單個計算機攻擊肯定無法達到攻擊者想要的目標.因此網絡黑客會抓取網絡“肉雞”,集合大量網絡帶寬,組成龐大的攻擊平臺,可以在瞬間讓被攻擊目標處于癱瘓狀態.
(8)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號,形成一個TCP封包,對網絡中可信節點進行攻擊.而且最重要的是,黑客可能利用偽造的TCP封包發動SYN攻擊,讓服務器無法完成三次握手,造成服務器開放大量等待端口,影響正常網絡訪問,嚴重時,可直接造成服務器死機,如果該服務器是WEB服務器或者DNS服務器,那么可能導致網站主頁無法鏈接或者校園網內部用戶無法訪問外部網絡.
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協議是Internet控制報文協議,它屬于TCP/IP協議下的一個子協議,用于在IP主機和路由器之間傳遞控制消息.其中控制消息是指網絡是否暢通、主機是否可連接、路由是否可用等一系列消息,它對數據傳輸有很重要的作用.而ICMP攻擊是指利用操作系統ICMP的尺寸大小不得超過64KB這一規定,發動“PingofDeath”攻擊,當主機ICMP數據包尺寸超過64KB時,主機會發生內存分配錯誤,導致TCP/IP堆棧崩潰,使得目標主機死機.雖然操作系統通過取消ICMP數據包大小限制來解決該漏洞,但是向目標主機發動持續、大規模的ICMP攻擊,會消耗主機CPU、內存等資源,嚴重時也會導致目標主機癱瘓,無法提供正常服務.
2.2漏洞威脅
軟件和操作系統是由程序員編寫的,而在開發的過程中,多多少少會存在各種各樣的漏洞問題,這些漏洞如果不能及時修復,將會對主機造成重大安全威脅.一旦該主機被攻破,同時也會給該主機處在的局域網中的其它機器造成威脅,情況嚴重時,甚至會造成整個網絡癱瘓.近幾年來,無論是Windows操作系統,還是Linux操作系統,的補丁數目一直持續增加.特別是Windows操作系統,在校園網內擁有的用戶眾多,如果沒能及時修復各種漏洞,勢必會影響整個校園網安全.
2.3病毒、木馬威脅
近些年來,隨著互聯網的普及,網絡上各種各樣的開源軟件繁多,有些開源軟件打著免費的旗號,暗留后門或者對操作系統植入木馬,稍不注意,就會對整個系統造成重大影響.同時,網絡上黑客也會主動攻擊,種植木馬,抓取網絡肉雞,作為自己攻擊的跳板,對互聯網上其它的計算機造成嚴重威脅.
2.4初級黑客攻擊
校園網因為自身局限性,其網絡管理水平無法與企業相比,因此很容易受到網絡上初級黑客的攻擊,作為他們試手的目標.另外一方面,互聯網出現的一系列黑客教程、黑客工具,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡單,這讓許多初級黑客也能在一段時間內對網絡造成嚴重的攻擊.且根據心理學研究分析,很多普通攻擊者往往有炫耀心理,即把校園網作為自己攻擊的目標,以獲取所謂的成功感,這讓校園網增加更多的威脅.
3目前校園網網絡建設中存在的主要安全問題
目前在校園網網絡建設中主要存在的安全問題分為人為因素導致的安全問題和非人為因素導致的安全問題.
3.1人為因素導致的網絡安全問題
3.1.1校園網用戶數量龐大
校園網內用戶量眾多且處在同一個局域網中,同時,校園網內服務器數量也是別的局域網不能比擬的.用戶量加上數目可觀、功能強大的服務器,這些條件也吸引著互聯網上眾多黑客的攻擊,因此存在著很大的安全隱患.
3.1.2校園網用戶安全意識低
根據調查研究發現,校園網的用戶大部分都安全意識不強,用戶計算機整體水平偏低,有一部分校園網用戶基本上不安裝殺毒軟件,也沒能及時給系統打補丁,系統處于“裸奔”狀態.這對于當今如此開放的互聯網,將直接為黑客提供攻擊目標.而且校園網用戶極少學習相應的安全防范知識,在下載和使用軟件時,基本上不考慮其風險性,這些都將會給黑客制造攻擊機會,影響整個校園網安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權用戶,它在一定程度上破壞了計算機系統的保密性.目前,常見的信息泄密有:操作系統漏洞、流氓軟件、網絡監聽、病毒、木馬、業務流分析、網絡釣魚、電磁、物理入侵、射頻截獲、非法授權、計算機后門程序.
3.1.4拒絕服務攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計算機停止提供服務,讓合法的信息或資源訪問被拒絕或者嚴重推遲.常見的DoS攻擊有:SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統漏洞、病毒、木馬、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網絡濫用
由于授權的用戶因操作或行為不當,導致網絡濫用,從而導致網絡安全威脅,例如非法外聯、非法內聯、設備濫用、業務濫用、移動風險等等.
3.2非人為因素導致的網絡安全問題
網絡安全除去人為因素外,很大一部分安全威脅來自安全工具和操作系統自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應用范圍和環境,同時安全工具受到人為因素、系統漏洞、程序BUG的影響,這些因素反而給攻擊者帶來了一定的便利.對于操作系統而言,沒有絕對安全的操作系統,無論是微軟的Windows系列操作系統,還是開源的Linux操作系統,都有存在后門或漏洞的可能.世界上沒有絕對安全的操作系統,因此在搭建校園網時,要選擇安全性盡可能高的操作系統,而且要隨時提供校園網用戶漏洞補丁下載,以及殺毒軟件,保證用戶系統安全性始終最高.由上所述,我們可以說網絡安全問題絕大部分是由人為因素引起的.現在,國家也制定了相應的法律來保護網絡安全,打擊相應的網絡犯罪活動.但是校園網作為一個龐大的用戶群,如何防范這些網絡犯罪活動顯得尤為重要.我們不能等著整個網絡被攻擊導致癱瘓后再想著去防范,而是要在攻擊之前做好準備工作,讓校園網在安全中運行.
4加強校園網網絡安全建設的對策和建議
加強校園網網絡安全建設主要從以下幾個方面來進行.
4.1應重視校園網網絡的安全搭建
在校園網工程的建設中,網絡系統的搭建是屬于弱電工程,它的耐壓值比較低.由此,在校園網工程的設計和建設中,一定要首先考慮人以及網絡中物理設備的防火、防電以及防雷等安全問題;考慮網絡中布線系統與通信線路、照明線路、動力線路、空氣對流管道以及暖氣管道之間的距離;考慮網絡中物理電路的接地安全;考慮建設合理的防雷系統,保證建筑物、計算機以及其它物理設備的防雷[6].
4.2應加強校園網網絡的安全維護技術
從技術層面來說,網絡安全主要是由防火墻系統、入侵檢測系統、病毒監測系統等多個安全組件組成,單獨的一個組件是無法保證當前網絡信息安全的.最早的網絡安全技術是采用邊界閾值控制法,即通過對網絡邊界的數據包進行監測,符合規定的數據包可通過,不符合規定的數據包就拋棄,這種方式在一定程度上能阻止對網絡的入侵和攻擊,但是不能有效防止網絡攻擊.目前,應用比較廣泛的網絡安全基本技術有:防火墻技術、防病毒技術、數據加密技術等.防火墻[7]指的是一個由硬件和軟件混合組成的設備,用于將內部網絡和外部網絡隔離起來,建立一層安全保護屏障,它是一種隔離控制技術.常見的防火墻有包過濾技術、技術、狀態監測技術等.相對于防火墻來說,防病毒技術將是從計算機網絡內部進行防控,主要預防病毒程序、后門程序、網絡監聽等.目前采取比較多的防病毒手段是對系統進行監聽,阻止不合規定進程.而且防病毒技術永遠是滯后性的,即防病毒工具一直在病毒出現后才能組織.現在的防病毒技術和云平臺技術結合,已經對病毒起到了一定的控制作用.相對前面兩種技術來說,數據加密技術就比較靈活了.可以將用戶的信息經過加密后,再在網絡上傳輸,及時數據被黑客截獲,沒有有效的密鑰,數據對黑客來說也只是一堆無效數據而已.在開放的互聯網平臺,數據加密能夠有效的保證了用戶的隱私以及數據的安全[8].
4.3應建立科學的校園網網絡管理人員崗位職責
計算機網絡安全絕大部分是人為因素引起的.因此在校園網搭建過程中,關于對計算機系統管理員的培訓及管理,是校園網網絡安全中最重要的一部分.一個不合理的操作,很有可能讓整個網絡系統癱瘓,因此必須建立健全管理規范,明確管理員責任和權利.同時,要記錄管理員操作信息,當發現不合規定的記錄時,可以及時分析,如果發現黑客入侵,則及時采取必要措施杜絕黑客進一步入侵,必要時需向當地公安機關報案,減少學校損失.另外一方面,建立健全的管理制度以及嚴格的管理模式,可以保證校園網的正常、安全運行.總而言之,網絡安全涉及的領域很多,是一個綜合性的問題.只有合理的運用相關技術以及人員培訓,才能盡最大可能的把安全威脅降到最低.
5結語
(一)網絡系統的軟硬件及系統數據受到保護,不受外界因素或者惡意的破壞所影響,系統可以正常的運轉,網絡服務不會中斷就是網絡安全的定義。
(二)網絡安全具有一些鮮明的特征,其不同于其他技術,計算機網絡是一個虛擬的世界,其特征也是具有多樣性的特點。
1.保密性:計算機網絡技術應將信息嚴格保密,未經許可不能向非授權用戶及實體進行泄露,也絕對不允許非授權用戶使用。
2.完整性:當在網絡上進行存儲時要具有存儲過程中未經授權不能改變和破壞丟失數據的特點。
3.可用性:指的是可以在授權實體的要求下進行使用的特點,通俗的說也就是能夠隨時存取所需要的信息。網絡環境下破壞服務、拒絕服務的系統正常運行就屬于針對可用性這一特性的攻擊。
4.可控性:可以針對信息的傳播進行有效的控制。
5.可審查性:針對安全問題的發生提供有力的手段和依據。
二、購物網站安全現狀分析
當前的購物網站安全問題是商業網站發展中的突出問題,隨著網絡技術的普及和互聯網技術的迅速發展,購物網站的規模和復雜性也越來越大,其存在的安全漏洞也越來越多。而且目前的網絡攻擊現象也不斷增多,針對購物網站的漏洞進行惡意攻擊的現象不斷發生,也構成了購物網站的多種不安全因素。當前的網絡攻擊行為多種方法混合使用,復雜情況越來越多,隱蔽性也非常強,針對其的防范也越來越困難。黑客攻擊購物網站是為了獲取實際的經濟利益,木馬程序、惡意網站等危害網絡安全的手段越來越多,日趨泛濫;而且隨著人們手中的互聯網設備發展越來越迅速,手機等無線掌上終端的處理能力和功能通用性不斷提高,針對這些個人無線終端的網絡攻擊也開始出現,而且呈發展趨勢。當前的購物網站通常采用資金通過第三方支付或者網上銀行支付的方式來進行支付,這雖然增強了網上購物的支付快捷性,但是其交易的安全性還存在一定的風險。這一類的支付形式,通常很難保障消費者網上消費的安全,一旦在數據的傳輸過程遭到攻擊,消費者的銀行信息資料可能被黑客盜取,并為此遭受經濟或者隱私損失。隨著互聯網技術的發展,還有許多惡意程序攻擊用戶計算機來達到一些不法分子別用用心的目的,可能有計算機用戶在進行網上消費時落入惡意程序的陷阱,從而使得黑客通過用戶的網上銀行進入銀行數據庫盜取用戶信息,給用戶造成經濟損失。所以,網絡安全問題是一個高技術含量的復雜問題,而且越來越變得錯綜復雜,其造成的惡劣影響也是不斷擴大,短期內無法取得成效。因此在網絡安全日益嚴重的今天,必須重視對網絡安全的防范,只有做到防范到位,才能保障網絡應用的順利進行。購物網站根據網絡安全的防范要求,通常采取一些措施加以防范,保障用戶網絡安全,主要有以下幾點:第一,身份真實性的識別:保障通信實體具有真實的身份;第二,信息機密性:保證機密信息不會泄露給非授權實體;第三,信息的完整性:保證數據的完整性,防止非授權用戶對信息的破壞和使用;第四:服務可用性:防止合法用戶使用信息被非法拒絕;第五:不可否認性:有效地責任機制可以防止實體否認其行為;第六:系統可控性:可以控制使用資源的實體的使用方式;第七:系統易用性:安全要求滿足的情況下,系統的操作要盡量簡單;第八:可審查性:可以為出問題的網絡安全問題提供調查依據和手段。
三、保障網絡工作順暢的措施
當前階段,網絡工作要保障順暢,要采取以下措施加以保障:
(一)針對網絡病毒進行有效防范
網絡病毒是一種危害網絡安全的主要方式,其具有傳播快,擴散面廣、傳播載體多樣的特點,對于網絡病毒的清除也非常困難,其遺留的破壞力也相對較大。而且網絡病毒可以郵件附件、服務器、文件共享及郵件等方式進行傳播。針對網絡病毒要注意幾點進行防范,對于不明附件和文件擴展名不打開,不盲目運行程序也不盲目轉發不明郵件,在進行系統漏洞及其他操作時從正規的網站下載軟件,經常進行病毒的查殺,盡可能使用最新版本的殺毒軟件定期進行病毒查殺。
(二)積極采用入侵檢測系統
入侵檢測技術是一項有效防范網絡攻擊的手段。其通過對各種網絡資源和系統資源信息的采集,并對信息進行有效地判斷和分析,來檢測其是否具有攻擊性和異常行為,通過入侵檢測系統的檢測可以有效地將有害信息進行剔除,防止其進入網絡系統形成實際破壞和網絡隱私泄露情況發生。而且,入侵檢測系統還可以及時的將用戶信息及系統行為進行分析,針對系統漏洞進行檢測,及時將有害信息和攻擊行為及時通報和響應。
(三)進行防火墻的配置
防火墻是計算機網絡安全技術的重要方面。通過防火墻的設置,可以根據計算機系統的要求針對信息進行篩選,允許和限制數據傳輸的通過。防火墻是一項有效的保護措施。侵入計算機的黑客必須要先通過防火墻的安全警戒,才能到達計算機系統內部。防火墻還可以分成多個級別,形成多重保護。高級別的保護可以根據用戶自身要求來對信息進行針對性的保護,這樣可以有效保護用戶的個人隱私信息。
四、小結
1.1可用性
網絡系統的可用性是指計算機網絡系統要隨時隨地能夠為用戶服務,要保障合法用戶能夠訪問到想要瀏覽的網絡信息,不會出現拒絕合法用戶的服務要求和非合法用戶濫用的現象。計算機網絡系統最重要的功能就是為合法用戶提供多方面的、隨時隨地的網絡服務。
1.2完整性
網絡系統的完整性是指網絡信息在傳輸過程中不能因為任何原因,發生網絡信摻入、重放、偽造、修改、刪除等破壞現象[1],影響網絡信息的完整性。通過信息攻擊、網絡病毒、人為攻擊、誤碼、設備故障等原因都會造成網絡信息完整性的破壞。
1.3保密性
網絡系統的保密性是指網絡系統要保證用戶信息不能發生泄露,主要體現在網絡系統的可用性和可靠性,是網絡系統安全的重要指標。保密性不同于完整性,完整性強調的是網絡信息不能被破壞,保密性是指防止網絡信息的發生泄露[2]。
1.4真實性
網絡系統的真實性是指網絡用戶對網絡系統操作的不可抵賴性,任何用戶都不能抵賴或者否定曾經對網絡系統的承諾和操作。
1.5可靠性
網絡系統的可靠性是指系統的安全穩定運行,網絡系統要在一定的時間和條件下穩定的完成網絡用戶指定的任務和功能,網絡系統的可靠性是網絡安全最基本的要求。
1.6可控性
網絡系統的可控性是指網絡系統可以控制和調整網絡信息傳播方式和傳播內容的能力,為了保障國家和廣大人民的利益,為正常的社會管理秩序,網絡系統管理者有必要對網絡信息進行適當的監督和控制,避免外地侵犯和社會犯罪,維護網絡安全。
2網絡安全技術在校園網中的應用
2.1防火墻
防火墻是指管理校園網和外界互聯網之間用戶訪問權限的軟件和硬件的組合設備[3],防火墻處于校園網和外界互聯網之間的通道中,能夠有效地阻斷來自外界的病毒和非法訪問,能夠有效地提高校園網的網絡安全。防火墻可以有效攔截來自外界的不安全的訪問服務,同時還可以對防火墻進行設置,屏蔽有危害、不健康的網絡網站,降低校園網的安全危害。另外防火墻還可以有效地監控用戶對校園網的訪問,記錄用戶的訪問記錄,保存到網絡數據庫中,可以快速統計校園網的使用情況,在分析用戶訪問記錄如果發現用戶的操作存在安全問題,防火墻可以及時發出報警信號,提醒用戶的這個非法操作,防止校園網內部信息的泄露、另外,防火墻可以和NAT技術高效地結合起來,用于隱藏校園網的網絡結構信息,提高校園網的安全系數,同時防火墻和NAT技術的高效結合很好地解決了校園網IP不足的情況,提高了校園網的運行效率。防火墻在校園網中的應用,完善了校園網內部的網絡隔斷,即使校園網發生安全問題,也可以在短時間內控制問題擴散的速度和范圍。防火墻在校園網中發揮著重要的作用,能夠有效地阻斷來自外界互聯網的安全侵害,但是防火墻不能阻止校園網內部的安全問題,不能拒絕和控制校園網內部的感染病毒。
2.2VPN技術
VPN技術在校園網的應用,通過VPN設備將校內局域網和外部的互聯網連接起來,可以提高校園網的數據安全。VPN服務器經過設置后,只有符合相應條件的用戶經過連接VPN服務器才能獲得訪問特定網絡信息的權限,拒絕校園網內用戶的危險操作。VPN技術可以實現用戶驗證,通過驗證校內網用戶的身份,只有符合條件的授權用戶才能連接到VPN服務器,進行相關訪問。其次實現校園網數據加密,VPN技術可以將通過互聯網通道傳輸的數據進行加密,只有經過授權的用戶才能訪問這些信息。再次實現校園網密鑰管理,通過生成校園網和互聯網的基本協議,提高校園網的可靠性。并且VPN技術在校園網中的應用不需要安裝VPN的客戶端設備,降低了校園網安全管理的成本。通過VPN技術,校園網絡管理員可以對校園網內用戶的操作進行實時監控,及時發現校園網絡故障點,進行遠程維護,提高校園網維護管理能力。
2.3入侵檢測技術
入侵檢測技術在校園網中的應用,可以檢測校園網絡中一些不安全的網絡操作行為,一旦檢測到網絡系統中的一些異常現象和未授權的網絡操作,就會發出網絡報警信號。入侵檢測技術可以自動分析校園網絡的用戶活動,檢測出校園網中授權用戶的非法使用和未授權用戶的越權使用[4]。入侵檢測技術還可以監控校園網絡系統的配置情況,檢測出系統安全漏洞,提醒校園網絡管理人員及時進行維護。另外,入侵檢測技術在識別網絡攻擊和網絡威脅方面具有重要的作用,可以及時發出報警信號,并且拒絕和處理網絡攻擊入侵行為,結合發現的網絡攻擊模式,檢測校園網系統結構是否存在安全漏洞,提高校園網的數據完整性,進行系統評估。
2.4訪問控制技術
訪問控制技術主要是用來控制校園網用戶的非法訪問和非法操作,用戶想要進入校園網,首先要通過訪問控制,經過驗證識別用用戶口令、戶名、密碼等,確定該用戶是否具有訪問校園網的權限,當用戶進入校園網后,就會賦予用戶訪問操作權限,使校園網絡資源不會被未授權用戶非法使用和非法訪問。
2.5網絡數據恢復和備份技術
校園網中的網絡數據恢復和備份技術,可以防止校園網信息數據丟失,保護校園網重要信息資源。網絡數據恢復和備份技術可以實現集中式的網絡信息資源管理,對整個校園網系統中的信息資源進行備份管理,可以極大地提高校園網管理員的工作效率,實現網絡資源的統一管理,利用網絡備份設備實時監控校園網絡中的備份作業,結合校園網的運行情況,及時修改網絡備份策略[5],提高系統備份效率。校園網管理員可以利用網絡數據恢復和備份技術,定時對網絡數據庫中的數據進行備份,這是網絡管理重要環節。校園網的備份系統可以在用戶進行校園網訪問時,建立在線網絡索引,當用戶需要恢復網絡信息時,通過在線網絡索引中的備份系統就可以自動恢復網絡數據文件。網絡數據恢復和備份技術實現了校園網絡的歸檔管理,通過時間定期和項目管理對網絡信息數據進行歸檔管理,在網絡環境建立統一的數據備份和儲存格式,使所有網絡信息數據在統一格式中完成長時間的保存[6]。
2.6災難恢復技術
校園網中的災難恢復主要包括兩類:個別數據文件的恢復和所有信息數據的恢復。當校園網中的個別數據文件恢復可以利用網絡中備份系統完成個別受損數據文件的恢復,校園網絡管理員可以瀏覽目錄或者數據庫,觸動受損數據文件的恢復功能,系統會自動加載存儲軟件,恢復受損文件。所有信息數據的恢復主要應用在當發生意外災難時導致整個校園網系統重組、系統升級、系統崩潰和信息數據丟失等情況。
3結語
(一)網絡安全設施配備不夠
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技
術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
摘要:隨著“校校通”工程的深入實施,校園網作為學校重要的基礎設施,擔負著學校教學、教研、管理和對外交流等許多重要任務。校園網的安全問題,直接影響著學校的教學活動。文章結合十幾年來校園網絡使用安全及防范措施等方面的經驗,對如何加強校園網絡安全作了分析和探討。
關鍵詞:校園網;網絡安全;防范措施;防火墻;VLAN技術
校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.
通過建立技術先進、管理完善、機制健全建立醫院信息網絡安全管理體系,保證醫院信息網絡安全可靠暢通運行。
1.1醫院網絡內部管理
(1)建立網絡安全管理規章制度加強醫院網絡安全管理的重要措施之一就是建立健全網絡安全管理規章制度,提高醫院全員認識到醫院網絡安全管理重要性,設立以院領導為核心的信息安全領導小組,明確領導小組相應責任并落實信息管理人員責任,加大投入資金,對網絡安全管理軟硬件設備進行更新升級,對網絡安全管理專業隊伍需要加強建設,信息網絡人員必須要有責任心及熟練的網絡應用技術,同時要堅持管理創新及技術創新,根據本院信息網絡的運行情況,制定應對網絡危機的預案。(2)網絡安全教育網絡安全工作的主體是人,醫院的各級領導、組織和部門工作人員從思想和行動上都要重視醫院信息系統網絡安全,提高全員安全意識,樹立安全人人有責,由于醫院的內部網絡涉及臨床科室、醫技科室、職能科室等部門,計算機操作水平參差不齊,因此,必須定期培訓計算機網絡客戶端的使用人員,使他們具有一些計算機方面的專業知識,盡量減輕醫院計算機網絡信息系統管理人員的工作壓力,當其客戶端出現問題之后能得到及時的解決,減少人為的差錯及故障發生。(3)網絡設備管理網絡設備是整個信息網絡安全的基礎,整個網絡中的關鍵設備包括服務器、數據儲存、中心交換機、二級交換機、光纜等,因此這些設備的性能直接影響到整個信息系統的安全運行,從可靠性、穩定及容易升級等方面對網絡設備進行選擇,對重要設備最好采用雙機熱備份的方式實現系統集群,還要配備兩套UPS電源,避免突然斷電造成服務器數據流失,提高系統可用性,服務器以主從或互備方式工作,當一旦某臺設備發生故障,另外一臺設備可以立即自動接管,變成工作主機,將系統中斷影響降到最低;此外,使用物理隔離設備將外部互聯網和內部信息系統進行隔離,確保重要數據不外泄。(4)實時監控用戶上網行為應用主機安全監控系統,實現對用戶上網行為的實時監控,從而讓網管及時了解和控制局域網用戶的的上網行為,在加強安全防護的同時也可以提高工作效率。主機安全監控系統可以對內部人員上網行為日志、客戶端訪問行為、終端行為日志、醫院IT開發運維人員訪問行為等信息進行監控、記錄、審計能力,結合日志數據挖掘技術和關聯分析功能,實現對非法行為的實時告警,輸出符合醫院紀委監察部門要求的完整的事件報告,既能夠及時發現并阻斷非法行為,也可以監控某些人員利用其特權對敏感數據進行非法復制。(5)數據備份為了防止信息系統中的數據丟失,可以采用雙機備份方式。兩臺服務器采用相同的配置,安裝相同的系統和數據庫系統,實時將主服務器上數據庫備份到備用服務器上,當主服務器無法正常工作時,啟用備用服務器項替工作,同時信息系統管理部門可以采用一些有關的備份軟件對其醫院計算機網絡信息系統的數據進行及時的監測,當這些數據出現安全方面的問題時,及時對其數據進行備份;此外,也可采用實時備份數據庫,采用數據鏡像增量備份方式。(6)定期進行安全分析,對新發現的安全隱患進行整改運用技術手段定期進行安全分析,及時發現安全隱患并快速清除是完善醫院網絡安全管理的重要措施。定期進行安全分析是研究信息系統是否存在的漏洞缺陷,是否存在風險與威脅,針對發現的安全隱患,制定出相應的控制策略,主要是從軟件設置、物理環境、電源配送、權限分配、網絡管理、防火、防水、防盜、服務器交換機管理、溫度濕度粉塵、人員培訓及安全教育等各方面進行分析,尋找出當前的安全隱患,針對這些隱患提出有針對性的解決方案。
1.2防止外來入侵
(1)中心機房管理作為醫院信息系統的“神經中樞”及數據存儲中心的機房安全是整個信息系統安全的前提,中心機房的安全應注意機房用電安全技術、防火、計算機設備及場地的防雷和計算機機房的場地環境的要求等問題,為了避免人為或自然破壞設備,應盡可能保證各通信設備及相關設施的物理安全,使系統和設備處于良好的工作環境,對于信息網絡的可靠性,可以通過冗余技術實現,包括設備冗余、處理器冗余、鏈路冗余、模塊冗余、電源冗余等技術來實現。(2)計算機病毒防護杜絕病毒傳染源是防范病毒最有效的辦法,除特殊科室需要外,將所有網絡工作站的外部輸入設備(如光驅、軟驅等)撤除,所有內網的計算機不準接U盤,在服務器及每個工作站點采用多層的病毒防衛體系,此外,還可以使用桌面管理軟件來自動從系統廠商下載補丁,自動檢查客戶端需要安裝的補丁、已經安裝的補丁和未安裝的補丁,以及限制或禁止移動存儲介質的接入,減少病毒傳播的途徑,從而減少醫院網絡受到病毒的威脅。(3)防止黑客入侵防止黑客入侵是醫院網絡安全工作的重點,可以采用防火墻技術、身份認證與授權技術等技術防止黑客入侵。其中,防火墻技術是在醫院內部網和醫院外部網之間的界面上構造一個保護層,對出入醫院網絡的訪問和服務進行審計和控制;在防火墻基礎上,建立黑客入侵檢測系統,對黑客入侵、非法登錄、DDOS攻擊、病毒感染與傳播、非法外連等進行監控,對網絡設備、網絡通訊通道等進行監控,詳細掌控各類網絡設備的運行狀態,實時監督分析通道質量狀況,對各類終端用戶的補丁安裝、軟件安裝、外接設備(U盤)等操作進行實時監控管理,發現有違規行為及時報警,也可以自動啟動阻止機制來控制非法行為;在醫院信息系統中,采用數字簽名技術實現系統信息內容安全性,完整性和不可抵賴性等方面的要求,特別是通過采用安全審計或時間戳等技術手段解決傳統紙質病歷無法解決的信息可靠性問題,此外,還采用信息加密技術可以有效的保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。
2.結束語
