時間:2022-09-03 23:50:36
導語:在網絡安全論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
從廣義的程度上來講,金融網絡安全主要是指金融網絡體系中包括的軟件、硬件等設備不會因為偶然或者故意等原因而遭到破壞、泄露,保證系統可以連續的運行,網絡服務也可以持續的進行,從而有效的實現網絡金融交易。一般情況下,金融網絡安全主要包括兩個部分的安全,即系統安全與信息安全。系統安全主要就是指系統網絡中存在的硬件、應用軟件等方面的安全;信息安全則主要是指保證系統中信息的存儲、訪問的安全。此外,信息安全最基本的目標就是有效的實現信息的完整性、準確性以及合法可用性,通過這些方面可以看出金融網絡的安全風險主要有以下幾個方面:
1)信息泄露。信息泄露主要是指信息被泄露給規定機構意外的人員使用。導致信息出現泄露的原因可能是信息訪問的過程中被竊聽或是對信息進行探測等。
2)信息偽造。偽造主要是指不相關人員或機構對真實的信息進行偽造,從而獲取合法用戶的使用權利,使得信息的真實性遭到破壞。
3)信息篡改。篡改主要是指不相關的人員或機構對系統內的資源進行篡改,使得信息的完整以及真實性遭到損壞。
4)參與者對所作的行為進行否認。這主要是指參與者否認自己的行為,而從中獲取非法利益。
5)非法訪問。這主要是指無權對信息進行訪問的人員對系統內的信息資源進行非法使用,從而使得信息可能被濫用,而對金融網絡交易造成不利的影響。
2金融網絡安全服務的內容
通過以上對金融網絡存在的安全風險進行了分析,并在分析的基礎上提出了一些在保障網絡金融安全體系中必須做到的,主要包括以下幾點:
1)實現機密性保護。機密性主要是指對系統內的數據進行某種特定形式的轉換而保護真實的信息。要實現機密性保護,一般情況下是采用密碼防控技術,即對系統內的數據進行加密處理,對真實的信息進行隱藏,并轉換為密文。在這種情況下,即使外部使用者獲取到了數據也無法得到相關的信息;此外還要對數據流進行保護,做到對傳輸的數據源、頻率等情況進行加密,從而有效的避免外部使用者通過截取數據流而獲取信息內容。
2)對數據來源進行認證。這主要是指根據傳輸過來的數據中所包含的的信息進行驗證,從而確定所傳輸的數據是來自于發起方。而對數據來源進行認證,最主要的目的就是確定所傳輸數據與發起方之間的不可破壞的聯系。
3)對參與者的人身份進行認證。這主要是指保證參與者身份正確,一般情況下,對參與者的身份進行認證是在協商階段,一旦參與者的身份確認無誤,系統中的應用程序就會賦予參與者相應的權利,從而實現參與者的操作,而且對參與者的身份進行了認證科研作為以后系統訪問的控制提供設計依據。
4)確保數據的完整性與真實性。保證數據的完整性與真實性主要就是指數據在傳輸的過程中沒有被攻擊者修改。在金融網絡交易中,這兩個方面主要用于對數據流的處理過程中,充分的保證數據在傳輸的過程中沒有被修改等,從而確保收到的信息內容與發出時保持一致,一旦發現數據不完整或不真實,則說明該數據不可進行使用。
5)不可否認。這主要是為了有效的避免發收雙方對所傳輸的數據進行否認。在這種情況下,當數據進行傳輸時,必須對數據進行相應的處理,保證接收方所受到的信息是從特定的發送方所發出的,同時,當接收方對是、傳輸的數據進行接受后,也應進行相應的處理并告知發送方信息已被接受。
6)對訪問進行控制。訪問控制最主要的目標就是有效的防止外部使用者在未經授權的情況下對信息進行訪問,從而保證信息的保密,同時進行訪問控制好可以有效的保證敏感信息在安全的環境中進行傳輸。對于金融網絡安全服務內容與安全風險的對應關系如下表所示:
3金融網絡的安全體系設計的防護原則
從計算機的特性上來講,網絡安全包含了網絡中的所有層次,所有對于金融網絡的安全防護只單一的從一個層次去進行安全的保護是遠遠不夠的,所以必須從多個方面進行金融網絡安全的實施,根據對計算機的層次結構分析,金融網絡安全主要包括網絡安全、鏈路安全以及應用安全這三個部分。網絡安全的原則就是將需要進行保護的網絡獨立出來,從而成為一個可以進行獨立管理以及控制的內部網絡系統,而在此所以采用的就是防火墻來實現對內外部網絡的隔離與控制,進而保證金融網絡的安全。在這個方面,運用的技術設備主要是入侵檢測系統,通過對網絡中的漏洞進行掃描并進行正確的分析,實現網絡的安全。鏈路安全主要是保證數據在傳輸過程中安全,在這個方面主要是通過對鏈路進行加密,同時對參與者的身份進行驗證,有效的將內外部區域進性劃分,從而保證數據在傳輸過程中的安全。而應用安全則是三者中最高層次,主要是采用密碼技術來對參與者的身份進行驗證,并同時進行訪問的控制,保證數據的完整性,安全性。由于網絡的開發性以及資源的共享,使得信息極易被竊取,篡改,從而造成信息的的不安全,所以為了有效的保證信息的安全,必須采取有效的技術策略,進而充分的實現對金融網絡的安全防范。
4金融網絡安全體系的設計
對于金融網絡安全體系的設計,從技術層面上講,金融網絡安全體系中的組成部分主要有軟件系統、網絡監控、防火墻、信息加密,安全掃描等多個方面。而這些安全部分由于只能完成自己所要完成的功能,只有當所有的安全組件都有效的完成自己的任務,才能構成一個完整的金融網絡安全系統,而要真正實現安全保護這些構成組件缺一不可。從這里也可以看出金融網絡安全是一個系統整體的工程,要想真正的實現金融網絡交易的安全,就必須保證所涉及的網絡設備以及這些組件的安全。對金融網絡安全體系進行設計研究,最主要的目的就是為了對金融網絡的整個交易過程進行全程保護,這就使得對于金融網絡安全的保護并不只是某些安全設備就可以獨立完成的,必須充分的采用各種安全防范技術,設計出一個全方位、多層次的網絡安全體系,在上面提出的安全防護原則的基礎上,以及通過采用防火墻、個人安全平臺等多種安全技術來金融網絡安全體系進行了設計,金融網絡安全體系圖如下圖所示:在這個設計圖中,金融網絡安全體系所采用的安全設備主要有以下幾種:
1)防火墻。在入口的地方進行防火墻的設置,可以有效的控制外界對資源的訪問,從而有效的實現內部網絡與外部網絡上的相隔離以及資源的訪問控制,從而有效的保障系統內信息資源的安全性、完整性以及真實性。
2)外部入侵檢測系統。這種系統主要是及時的對違規信息進行識別并進行處理,它存在與任何存在數據風險的地方,通過及時的截取網絡數據流,對入侵的數據進行識別、記錄并破壞截取信息的代碼,從而額準確的判斷出未經授權的信息訪問,一旦發現存在這類情況,入侵檢測系統可以及時的根據系統內所設定的安全策略進行處理,從而阻止未經授權者對信息的繼續訪問。
3)虛擬專用網。虛擬專用網可以在各網絡連接點之間建立一個安全加密隧道,從而實現數據在傳輸的過程中不會被竊取或者篡改,從而及時,準確的將信息傳達給所需用戶,進而實現信息資源的共享。
4)個人安全平臺。個人安全平臺主要是為了實現對系統內的資源以及計算機進行保護,而在一些關鍵的設備上設置個人安全平臺可以有效的實現對系統內資源信息的訪問,從而有效的防止數據被竊取或者被篡改。對于這個金融網絡安全體系的設計與研究,可以對金融網絡安全中存在的內外部風險同時進行有效的防范,從而最大程度上保障金融網絡的安全。
5結束語
1.1網絡安全的定義
國際標準化組織(ISO)將網絡安全[2]定義為:為數據處理系統建立相應的安全保護措施,保護運行在網絡系統中的硬件、軟件以及系統中的數據不被黑客更改、破壞或者泄露,從而保證了網絡服務不中斷,使得系統可靠安全地運行.上述網絡安全的定義包含兩方面內容:物理安全和邏輯安全.其中物理安全是指在構建網絡系統的時候,保證物理線路能夠防雷、放火、防水、防盜等,能夠保證物理線路連續的進行數據傳輸.而邏輯安全通常指的是傳輸在網絡上數據的信息安全,即對網絡上傳輸信息的保密性、可用性和完整性的保護.另一方面,網絡安全性的涵義也可以理解成是信息安全的一種引申,即網絡安全是對網絡信息的保密性、可用性和完整性提供相應的保護.概括的說,可以將網絡安全定義為:為保證目前網絡中運行的系統、信息數據、信道傳輸數據和信息內容的安全而采取相應的措施,從而保證網絡中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性.
1.2網絡安全基本特征
網絡安全應具有保密性、可用性、可控性、可審查性、完整性等五個方面的特征.保密性:信息未經授權不泄露給任何用戶,而且信息的特性也具有保密性,其它非授權用戶、實體或過程無法利用其特征.可用性:用戶經過授權后可按需使用,即授權用戶當需要該信息時能否正常存取.網絡環境下常見的可用性的攻擊包括拒絕服務攻擊、破壞網絡或系統的正常運行等.可控性:對網絡中傳播的信息及其內容具有控制能力.可審查性:當網絡中出現安全問題時可提供相應的依據與手段,便于追蹤攻擊源.完整性:用戶未經授權不能隨意改變數據的特性,即信息在保存或者傳輸的過程中擁有不被修改、破壞或丟失的特性,保證了信息的完整性.
2校園網建設概述及其安全威脅
隨著互聯網的快速普及,校園網建設已經成為學校的基礎建設之一,教育信息化、數字化已經成為教育發展的主方向,校園網已成為學校日常教學、辦公、科研、管理、生活主要的工具和手段之一,并發揮著越來越重要的作用[3].另一方面,隨著國家科教興國戰略的實施,政府加強了對學校的投資,由此也加強了學校對校園網的建設.中國教育和科研計算機網(CER-NET)的成立,標志著教育網的形成.CERNET主干網絡傳輸速率已達到2.5Gpbs,總容量達40Gpbs,它吸引超過1000所高校的鼎力加盟,覆蓋全國超過200個城市.目前,大部分學校都已建成校園網,實現了校園網的整體覆蓋,包括辦公樓、教學樓、宿舍樓等.校園網同時與Internet對接,實現了校園辦公教學的信息化、自動化.如圖1所示,為一個簡單的校園網組網模型.隨著CERNET的建設不斷提高,校園網已經成為互聯網的重要組成部分之一,是學校信息化、數字化建設的基礎設施,同時擔任著科研與教學的重要任務.然而,目前國內大多數學校都缺乏對校園網建設的綜合規劃、缺乏相應的網絡管理措施、以及對校園網絡的認識不足,這些都極大阻礙了校園網的發展.因此合理地對校園網絡升級,是目前學校校園網工程的首要目標之一[4].同時,校園網作為學校數字化、信息化的基礎設施,安全問題不容忽視.在互聯網開放程度很高的今天,校園網往往最容易成為黑客攻擊的目標.威脅校園網安全的因素有很多,但主要的安全威脅有以下幾類.
2.1TCP/IP協議漏洞造成的威脅
現在互聯網上使用最多的協議就是TCP/IP協議了,這幾乎是所有校園網采用的網絡傳輸協議.TCP/IP協議在設計之初,就沒有考慮安全問題,它只考慮如何把信息互相傳輸,因此存在很大的安全威脅.雖然國際標準化組織提出的OSI七層協議能夠很好的保證網絡安全,但是由于TCP/IP協議的開放性和通用性幾乎占用了整個市場,使得OSI七層協議無法推廣.所以,目前網絡黑客針對TCP/IP漏洞攻擊有很多,例如:數據竊聽、源地址欺騙、ARP欺騙等等.
(1)數據竊聽(PacketSniff).TCP/IP協議從設計之初,就采取的是數據包明碼傳輸,這種傳輸模式使得數據包很容易被竊聽、修改和偽造.黑客可以利用一系列工具獲取網絡中正在傳輸的數據包,竊取用戶有利用價值的信息,如用戶賬戶和密碼等信息.同時,黑客也能修改和偽造數據包,讓用戶誤入釣魚網站或者竊取網上銀行信息,給用戶造成直接經濟損失.特別是在校園網中,數據包流通比較集中,一旦獲取了校園網服務器或管理員賬號信息,將會給校園網絡造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網絡安全中,一個比較重要的安全問題就是源地址欺騙.這里的源地址,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉發,信息會發生變化,而且在實際的網絡系統中,也有一定的限制,改造欺騙難度比較大,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機IP地址,騙取防火墻信任,從而對校園網內部發起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個完整的IP數據包中,通常只包含源地址和目的地址,即路由器可以知道數據包從哪個主機發送出來,將要到達哪個主機.源路由是指數據包將會列出所要經過的路由,路由器將會根據這些指定的路由將數據包送達相應的主機,然后根據其反向路由進行應答,從而實現主機之間的通信.而源路由選擇欺騙,則是攻擊者通過偽造主機源路由,讓數據包經過該主機必經路由,使受攻擊主機出現錯誤判斷,將某些被保護的數據提供給了攻擊者.另一方面,由于路由器一般對接收到的路由信息是不經過檢驗的,這樣就給攻擊者提供便利,攻擊者可以發送虛假數據包,改變某些重要數據包的傳遞路徑,使得數據在傳遞到正常主機前,即可抓取分析,從而也達到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協議還無法證明網絡身份的真實有效性,因此黑客可以偽造他人合法身份入侵到網絡系統或者獲取密鑰信息,從而達到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協議,作用是將網絡中的IP地址轉換成MAC物理地址的協議.因為在局域網中,尤其是在校園網中,使用最多的往往是MAC地址進行傳輸,而不是IP地址進行傳輸,所以ARP協議能夠很快的讓局域網中的兩臺主機進行通信.而黑客只需在局域網中進行網絡監聽,獲取到一臺主機A的節點信息(IP地址和MAC地址),就能偽造A的數據包,與B進行通信,獲取有用信息.另一方面,黑客可以偽造一個不存在的MAC地址在局域網內傳播,形成廣播風暴,這樣會造成網絡不通,給局域網造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務攻擊,攻擊者的目的是讓目標主機或網絡無法提供正常服務.因為TCP協議采用三次握手建立一次連接,而任何一次握手失敗,則會重新發送.攻擊者正是利用這一個協議漏洞,采取不斷建立連接,然后丟棄該連接數據包,使得服務器處于等待狀態,如果攻擊者一直持續連接和丟棄的過程,則服務器和網絡所有的資源會被完全消耗,導致計算機或網絡無法正常工作,從而達到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊,即分布式拒絕服務攻擊,它是指攻擊者借助一系列工具或手段,聯合多個計算機組成攻擊平臺,對一個或數個目標發動DoS攻擊.最基本的DoS是利用合法的服務請求,占用攻擊目標主機大量服務資源,使得正常用戶無法訪問.然而DoS服務需要占用大量帶寬,單個計算機攻擊肯定無法達到攻擊者想要的目標.因此網絡黑客會抓取網絡“肉雞”,集合大量網絡帶寬,組成龐大的攻擊平臺,可以在瞬間讓被攻擊目標處于癱瘓狀態.
(8)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號,形成一個TCP封包,對網絡中可信節點進行攻擊.而且最重要的是,黑客可能利用偽造的TCP封包發動SYN攻擊,讓服務器無法完成三次握手,造成服務器開放大量等待端口,影響正常網絡訪問,嚴重時,可直接造成服務器死機,如果該服務器是WEB服務器或者DNS服務器,那么可能導致網站主頁無法鏈接或者校園網內部用戶無法訪問外部網絡.
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協議是Internet控制報文協議,它屬于TCP/IP協議下的一個子協議,用于在IP主機和路由器之間傳遞控制消息.其中控制消息是指網絡是否暢通、主機是否可連接、路由是否可用等一系列消息,它對數據傳輸有很重要的作用.而ICMP攻擊是指利用操作系統ICMP的尺寸大小不得超過64KB這一規定,發動“PingofDeath”攻擊,當主機ICMP數據包尺寸超過64KB時,主機會發生內存分配錯誤,導致TCP/IP堆棧崩潰,使得目標主機死機.雖然操作系統通過取消ICMP數據包大小限制來解決該漏洞,但是向目標主機發動持續、大規模的ICMP攻擊,會消耗主機CPU、內存等資源,嚴重時也會導致目標主機癱瘓,無法提供正常服務.
2.2漏洞威脅
軟件和操作系統是由程序員編寫的,而在開發的過程中,多多少少會存在各種各樣的漏洞問題,這些漏洞如果不能及時修復,將會對主機造成重大安全威脅.一旦該主機被攻破,同時也會給該主機處在的局域網中的其它機器造成威脅,情況嚴重時,甚至會造成整個網絡癱瘓.近幾年來,無論是Windows操作系統,還是Linux操作系統,的補丁數目一直持續增加.特別是Windows操作系統,在校園網內擁有的用戶眾多,如果沒能及時修復各種漏洞,勢必會影響整個校園網安全.
2.3病毒、木馬威脅
近些年來,隨著互聯網的普及,網絡上各種各樣的開源軟件繁多,有些開源軟件打著免費的旗號,暗留后門或者對操作系統植入木馬,稍不注意,就會對整個系統造成重大影響.同時,網絡上黑客也會主動攻擊,種植木馬,抓取網絡肉雞,作為自己攻擊的跳板,對互聯網上其它的計算機造成嚴重威脅.
2.4初級黑客攻擊
校園網因為自身局限性,其網絡管理水平無法與企業相比,因此很容易受到網絡上初級黑客的攻擊,作為他們試手的目標.另外一方面,互聯網出現的一系列黑客教程、黑客工具,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡單,這讓許多初級黑客也能在一段時間內對網絡造成嚴重的攻擊.且根據心理學研究分析,很多普通攻擊者往往有炫耀心理,即把校園網作為自己攻擊的目標,以獲取所謂的成功感,這讓校園網增加更多的威脅.
3目前校園網網絡建設中存在的主要安全問題
目前在校園網網絡建設中主要存在的安全問題分為人為因素導致的安全問題和非人為因素導致的安全問題.
3.1人為因素導致的網絡安全問題
3.1.1校園網用戶數量龐大
校園網內用戶量眾多且處在同一個局域網中,同時,校園網內服務器數量也是別的局域網不能比擬的.用戶量加上數目可觀、功能強大的服務器,這些條件也吸引著互聯網上眾多黑客的攻擊,因此存在著很大的安全隱患.
3.1.2校園網用戶安全意識低
根據調查研究發現,校園網的用戶大部分都安全意識不強,用戶計算機整體水平偏低,有一部分校園網用戶基本上不安裝殺毒軟件,也沒能及時給系統打補丁,系統處于“裸奔”狀態.這對于當今如此開放的互聯網,將直接為黑客提供攻擊目標.而且校園網用戶極少學習相應的安全防范知識,在下載和使用軟件時,基本上不考慮其風險性,這些都將會給黑客制造攻擊機會,影響整個校園網安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權用戶,它在一定程度上破壞了計算機系統的保密性.目前,常見的信息泄密有:操作系統漏洞、流氓軟件、網絡監聽、病毒、木馬、業務流分析、網絡釣魚、電磁、物理入侵、射頻截獲、非法授權、計算機后門程序.
3.1.4拒絕服務攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計算機停止提供服務,讓合法的信息或資源訪問被拒絕或者嚴重推遲.常見的DoS攻擊有:SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統漏洞、病毒、木馬、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網絡濫用
由于授權的用戶因操作或行為不當,導致網絡濫用,從而導致網絡安全威脅,例如非法外聯、非法內聯、設備濫用、業務濫用、移動風險等等.
3.2非人為因素導致的網絡安全問題
網絡安全除去人為因素外,很大一部分安全威脅來自安全工具和操作系統自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應用范圍和環境,同時安全工具受到人為因素、系統漏洞、程序BUG的影響,這些因素反而給攻擊者帶來了一定的便利.對于操作系統而言,沒有絕對安全的操作系統,無論是微軟的Windows系列操作系統,還是開源的Linux操作系統,都有存在后門或漏洞的可能.世界上沒有絕對安全的操作系統,因此在搭建校園網時,要選擇安全性盡可能高的操作系統,而且要隨時提供校園網用戶漏洞補丁下載,以及殺毒軟件,保證用戶系統安全性始終最高.由上所述,我們可以說網絡安全問題絕大部分是由人為因素引起的.現在,國家也制定了相應的法律來保護網絡安全,打擊相應的網絡犯罪活動.但是校園網作為一個龐大的用戶群,如何防范這些網絡犯罪活動顯得尤為重要.我們不能等著整個網絡被攻擊導致癱瘓后再想著去防范,而是要在攻擊之前做好準備工作,讓校園網在安全中運行.
4加強校園網網絡安全建設的對策和建議
加強校園網網絡安全建設主要從以下幾個方面來進行.
4.1應重視校園網網絡的安全搭建
在校園網工程的建設中,網絡系統的搭建是屬于弱電工程,它的耐壓值比較低.由此,在校園網工程的設計和建設中,一定要首先考慮人以及網絡中物理設備的防火、防電以及防雷等安全問題;考慮網絡中布線系統與通信線路、照明線路、動力線路、空氣對流管道以及暖氣管道之間的距離;考慮網絡中物理電路的接地安全;考慮建設合理的防雷系統,保證建筑物、計算機以及其它物理設備的防雷[6].
4.2應加強校園網網絡的安全維護技術
從技術層面來說,網絡安全主要是由防火墻系統、入侵檢測系統、病毒監測系統等多個安全組件組成,單獨的一個組件是無法保證當前網絡信息安全的.最早的網絡安全技術是采用邊界閾值控制法,即通過對網絡邊界的數據包進行監測,符合規定的數據包可通過,不符合規定的數據包就拋棄,這種方式在一定程度上能阻止對網絡的入侵和攻擊,但是不能有效防止網絡攻擊.目前,應用比較廣泛的網絡安全基本技術有:防火墻技術、防病毒技術、數據加密技術等.防火墻[7]指的是一個由硬件和軟件混合組成的設備,用于將內部網絡和外部網絡隔離起來,建立一層安全保護屏障,它是一種隔離控制技術.常見的防火墻有包過濾技術、技術、狀態監測技術等.相對于防火墻來說,防病毒技術將是從計算機網絡內部進行防控,主要預防病毒程序、后門程序、網絡監聽等.目前采取比較多的防病毒手段是對系統進行監聽,阻止不合規定進程.而且防病毒技術永遠是滯后性的,即防病毒工具一直在病毒出現后才能組織.現在的防病毒技術和云平臺技術結合,已經對病毒起到了一定的控制作用.相對前面兩種技術來說,數據加密技術就比較靈活了.可以將用戶的信息經過加密后,再在網絡上傳輸,及時數據被黑客截獲,沒有有效的密鑰,數據對黑客來說也只是一堆無效數據而已.在開放的互聯網平臺,數據加密能夠有效的保證了用戶的隱私以及數據的安全[8].
4.3應建立科學的校園網網絡管理人員崗位職責
計算機網絡安全絕大部分是人為因素引起的.因此在校園網搭建過程中,關于對計算機系統管理員的培訓及管理,是校園網網絡安全中最重要的一部分.一個不合理的操作,很有可能讓整個網絡系統癱瘓,因此必須建立健全管理規范,明確管理員責任和權利.同時,要記錄管理員操作信息,當發現不合規定的記錄時,可以及時分析,如果發現黑客入侵,則及時采取必要措施杜絕黑客進一步入侵,必要時需向當地公安機關報案,減少學校損失.另外一方面,建立健全的管理制度以及嚴格的管理模式,可以保證校園網的正常、安全運行.總而言之,網絡安全涉及的領域很多,是一個綜合性的問題.只有合理的運用相關技術以及人員培訓,才能盡最大可能的把安全威脅降到最低.
5結語
借助網絡技術,計算機與各種終端設備連接在一起,形成各種類型的網絡系統,期間開放性的計算機網絡系統,通過傳輸介質和物理網絡設備組合而成,勢必存在不同的安全威脅問題。
1.1操作系統安全
操作系統是一種支撐性軟件,為其他應用軟件的應用提供一個運行的環境,并具有多方面的管理功能,一旦操作軟件在開發設計的時候存在漏洞的時候就會給網絡安全留下隱患。操作系統是由多個管理模塊組成的,每個模塊都有自己的程序,因此也會存在缺陷問題;操作系統都會有后門程序以備程序來修改程序設計的不足,但正是后門程序可以繞過安全控制而獲取對程序或系統的訪問權的設計,從而給黑客的入侵攻擊提供了入口;操作系統的遠程調用功能,遠程調用可以提交程序給遠程服務器執行,如果中間通訊環節被黑客監控,就會出現網絡安全問題。
1.2數據庫安全
數據庫相關軟件開發時遺漏的弊端,影響數據庫的自我防護水平,比如最高權限被隨意使用、平臺漏洞、審計記錄不全、協議漏洞、驗證不足、備份數據暴露等等。另外,數據庫訪問者經常出現的使用安全問題也會導致網絡安全隱患,比如數據輸入錯誤、有意蓄謀破壞數據庫、繞過管理策略非法訪問數據庫、未經授權任意修改刪除數據庫信息。
1.3防火墻安全
作為保護計算機網絡安全的重要系統軟件,防火墻能夠阻擋來自外界的網絡攻擊,過濾掉一些網絡病毒,但是部署了防火墻并不表示網絡的絕對安全,防火墻只對來自外部網絡的數據進行過濾,對局域網內部的破壞,防火墻是不起任何防范作用的。防火墻對外部數據的過濾是按照一定規則進行的,如果有網絡攻擊模式不在防火墻的過濾規則之內,防火墻也是不起作用的,特別是在當今網絡安全漏洞百出的今天,更需要常常更新防火墻的安全策略。
2計算機網絡系統安全軟件開發建議
基于計算機網絡系統的安全問題,為保護計算機網絡用戶和應用系統的安全,我們需要分別研討入侵防護軟件、數據庫備份與容災軟件、病毒防護軟件、虛擬局域網保護軟件等。
2.1入侵防護軟件
入侵防護軟件設置于防火墻后面,主要功能是檢查計算機網絡運行時的系統狀況,同時將運行狀況等記錄下來,檢測當前的網絡運行狀況,尤其是網絡的流量,可結合設定好的過濾規則來對網絡上的流量或內容進行監控,出現異常情況時會發出預警信號,它還可以協助防火墻和路由器的工作。該軟件的最大有點是當有病毒發生攻擊之前就可以實時捕捉網絡數據、檢測可以數據,并及時發出預警信號,收集黑客入侵行為的信息,記錄整個入侵事件的過程,而且還可以追蹤到發生入侵行為的具置,從而增強系統的防護入侵能力。
2.2數據備份和容災軟件
數據備份和容災軟件,可以安全備份需保護數據的安全性,在國外已經被廣泛應用,但是在國內卻沒有被得到重視。數據備份和容災軟件要求將RAID技術安裝到操作系統,將主硬盤文件備份到從硬盤;移動介質和光盤備份,計算機內的數據會隨著使用的時間發生意外損壞或破壞,采用移動介質和光盤可以將數據拷貝出來進行存儲;磁盤陣列貯存法,可大大提高系統的安全性能和穩定性能。隨著儲存、備份和容災軟件的相互結合,將來會構成一體化的數據容災備份儲存系統,并進行數據加密。
2.3病毒防護軟件
隨著計算機網絡被廣泛的應用,網絡病毒類型越來越多,由于計算機網絡的連通性,一旦感染病毒則會呈現快速的傳播速度,波及面也廣,而且計算機病毒的傳播途徑也日趨多樣化,因此,需要開發完善的病毒防護軟件,防范計算機網絡病毒。首先是分析病毒傳播規律和危害性,開發相對應的殺毒軟件,并在規定時間內掃描系統指定位置及更新病毒庫;其次是安裝防毒墻軟件,傳統的防火墻利用IP控制的方式,來禁止病毒和黑客的入侵,難以對實時監測網絡系統情況,而防毒墻則可以在網絡入口(即網關處)對病毒進行過濾,防止病毒擴散。最后是更各系統補丁,以提高系統的操作水平和應用能力,同時預防病毒利用系統漏洞入侵計算機。
2.4虛擬局域網軟件
采用虛擬局域網軟件,可以將不同需求的用戶隔離開來,并劃分到不同的VLAN,采用這種做法可以提高計算機網絡的安全性。具體做法是從邏輯上將計算機網絡分為一個個的子網,并將這些子網相互隔離,一旦發生入侵事故也不會導致網內上“廣播風暴”的發生。結合子網的控制訪問需求,將訪問控制列表設置在各個子網中間,以形成對具體方向訪問的允許條件、限制條件等,從而達到保護各個子網的目的。同時,把MAC地址和靜態IP地址上網的計算機或相關設備進行綁定,這樣就可以有效防止靜態IP地址或是MAC地址被盜用的問題出現。
2.5服務器安全軟件
服務器系統安全軟件分為兩種,一種是系統軟件,另外一種為應用軟件。計算機網絡在配置服務器系統軟件時要充分考慮到它的承受能力和安全功能性,承受能力是指安全設計、減少攻擊面、編程;安全功能涵蓋各種安全協議程序,并基于自身的使用需求,及時更新操作系統;服務器應用軟件的應用,要求考慮軟件在穩定性、可靠、安全等方面的性能,以避免帶入病毒,并定期及時更新。
3結束語
網絡安全技術概述
常永亮
(飛行試驗研究院測試所陜西西安710089)
【摘要】Internet是一種開放和標準的面向所有用戶的技術,其資源通過網絡共享,因此,資源共享和信息安全就成了一對矛盾。
【關鍵詞】網絡攻擊、安全預防、風險分析、網絡安全
1.引言
隨著網絡的迅速發展,網絡的安全性顯得非常重要,這是因為懷有惡意的攻擊者竊取、修改網絡上傳輸的信息,通過網絡非法進入遠程主機,獲取儲存在主機上的機密信息,或占用網絡資源,阻止其他用戶使用等。然而,網絡作為開放的信息系統必然存在眾多潛在的安全隱患,因此,網絡安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。
一般來說,計算機系統本身的脆弱性和通信設施的脆弱性再加上網際協議的漏洞共同構成了網絡的潛在威脅。隨著無線互聯網越來越普及的應用,互聯網的安全性又很難在無線網上實施,因此,特別在構建內部網時,若忽略了無線設備的安全性則是一種重大失誤。
2.網絡攻擊及其防護技術
計算機網絡安全是指計算機、網絡系統的硬件、軟件以及系統中的數據受到保護,不因偶然或惡意的原因遭到破壞、泄露,能確保網絡連續可靠的運行。網絡安全其實就是網絡上的信息存儲和傳輸安全。
網絡的安全主要來自黑客和病毒攻擊,各類攻擊給網絡造成的損失已越來越大了,有的損失對一些企業已是致命的,僥幸心里已經被提高防御取代,下面就攻擊和防御作簡要介紹。
2.1常見的攻擊有以下幾類:
2.1.1入侵系統攻擊
此類攻擊如果成功,將使你的系統上的資源被對方一覽無遺,對方可以直接控制你的機器。
2.1.2緩沖區溢出攻擊
程序員在編程時會用到一些不進行有效位檢查的函數,可能導致黑客利用自編寫程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾,這樣當發生緩沖區溢出時,從而破壞程序的堆棧,使程序轉而執行其它的指令,如果這些指令是放在有root權限的內存中,那么一旦這些指令得到了運行,黑客就以root權限控制了系統,這樣系統的控制權就會被奪取,此類攻擊在LINUX系統常發生。在Windows系統下用戶權限本身設定不嚴謹,因此應比在LINUX系統下更易實現。
2.1.3欺騙類攻擊
網絡協議本身的一些缺陷可以被利用,使黑客可以對網絡進行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。
2.1.4拒絕服務攻擊
通過網絡,也可使正在使用的計算機出現無響應、死機的現象,這就是拒絕服務攻擊,簡稱DoS(DenialofService)。
分布式拒絕服務攻擊采用了一種比較特別的體系結構,從許多分布的主機同時攻擊一個目標,從而導致目標癱瘓,簡稱DDoS(DistributedDenialofService)。
2.1.5對防火墻的攻擊
防火墻也是由軟件和硬件組成的,在設計和實現上都不可避免地存在著缺陷,對防火墻的攻擊方法也是多種多樣的,如探測攻擊技術、認證的攻擊技術等。
2.1.6利用病毒攻擊
病毒是黑客實施網絡攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預見性和破壞性等特性,而且在網絡中其危害更加可怕,目前可通過網絡進行傳播的病毒已有數萬種,可通過注入技術進行破壞和攻擊。
2.1.7木馬程序攻擊
特洛伊木馬是一種直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限,安裝此程序的人就可以直接遠程控制目標系統。
2.1.8網絡偵聽
網絡偵聽為主機工作模式,主機能接受到本網段在同一條物理通道上傳輸的所有信息。只要使用網絡監聽工具,就可以輕易地截取所在網段的所有用戶口令和帳號等有用的信息資料。
等等。現在的網絡攻擊手段可以說日新月異,隨著計算機網絡的發展,其開放性、共享性、互連程度擴大,網絡的重要性和對社會的影響也越來越大。計算機和網絡安全技術正變得越來越先進,操作系統對本身漏洞的更新補救越來越及時。現在企業更加注意企業內部網的安全,個人越來越注意自己計算機的安全。可以說:只要有計算機和網絡的地方肯定是把網絡安全放到第一位。
網絡有其脆弱性,并會受到一些威脅。因而建立一個系統時進行風險分析就顯得尤為重要了。風險分析的目的是通過合理的步驟,以防止所有對網絡安全構成威脅的事件發生。因此,嚴密的網絡安全風險分析是可靠和有效的安全防護措施制定的必要前提。網絡風險分析在系統可行性分析階段就應進行了。因為在這階段實現安全控制要遠比在網絡系統運行后采取同樣的控制要節約的多。即使認為當前的網絡系統分析建立的十分完善,在建立安全防護時,風險分析還是會發現一些潛在的安全問題,從整體性、協同性方面構建一個信息安全的網絡環境。可以說網絡的安全問題是組織管理和決策。
2.2防御措施主要有以下幾種
2.2.1防火墻
防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障,用于保護企業內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點,對進、出內部網絡的服務和訪問進行控制和審計。
2.2.2虛擬專用網
虛擬專用網(VPN)的實現技術和方式有很多,但是所有的VPN產品都應該保證通過公用網絡平臺傳輸數據的專用性和安全性。如在非面向連接的公用IP網絡上建立一個隧道,利用加密技術對經過隧道傳輸的數據進行加密,以保證數據的私有性和安全性。此外,還需要防止非法用戶對網絡資源或私有信息的訪問。
2.2.3虛擬局域網
選擇虛擬局域網(VLAN)技術可從鏈路層實施網絡安全。VLAN是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網,即一個邏輯廣播域,它可以覆蓋多個網絡設備,允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。該技術能有效地控制網絡流量、防止廣播風暴,還可利用MAC層的數據包過濾技術,對安全性要求高的VLAN端口實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網,也無法得到整個網絡的信息,但VLAN技術的局限在新的VLAN機制較好的解決了,這一新的VLAN就是專用虛擬局域網(PVLAN)技術。
2.2.4漏洞檢測
漏洞檢測就是對重要計算機系統或網絡系統進行檢查,發現其中存在的薄弱環節和所具有的攻擊性特征。通常采用兩種策略,即被動式策略和主動式策略。被動式策略基于主機檢測,對系統中不合適的設置、口令以及其他同安全規則相背的對象進行檢查;主動式策略基于網絡檢測,通過執行一些腳本文件對系統進行攻擊,并記錄它的反應,從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性的一個評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分。漏洞檢測系統是防火墻的延伸,并能有效地結合其他網絡安全產品的性能,保證計算機系統或網絡系統的安全性和可靠性。
2.2.5入侵檢測
入侵檢測系統將網絡上傳輸的數據實時捕獲下來,檢查是否有黑客入侵或可疑活動的發生,一旦發現有黑客入侵或可疑活動的發生,系統將做出實時報警響應。
2.2.6密碼保護
加密措施是保護信息的最后防線,被公認為是保護信息傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應用,但隨著計算機性能的飛速發展,破解部分公開算法的加密方法已變得越來越可能。因此,現在對加密算法的保密越來越重要,幾個加密方法的協同應用會使信息保密性大大加強。
2.2.7安全策略
安全策略可以認為是一系列政策的集合,用來規范對組織資源的管理、保護以及分配,已達到最終安全的目的。安全策略的制定需要基于一些安全模型。
2.2.8網絡管理員
網絡管理員在防御網絡攻擊方面也是非常重要的,雖然在構建系統時一些防御措施已經通過各種測試,但上面無論哪一條防御措施都有其局限性,只有高素質的網絡管理員和整個網絡安全系統協同防御,才能起到最好的效果。
以上大概講了幾個網絡安全的策略,網絡安全基本要素是保密性、完整性和可用,但網絡的安全威脅與網絡的安全防護措施是交互出現的。不適當的網絡安全防護,不僅可能不能減少網絡的安全風險,浪費大量的資金,而且可能招致更大的安全威脅。一個好的安全網絡應該是由主機系統、應用和服務、路由、網絡、網絡管理及管理制度等諸多因數決定的,但所有的防御措施對信息安全管理者提出了挑戰,他們必須分析采用哪種產品能夠適應長期的網絡安全策略的要求,而且必須清楚何種策略能夠保證網絡具有足夠的健壯性、互操作性并且能夠容易地對其升級。
隨著信息系統工程開發量越來越大,致使系統漏洞也成正比的增加,受到攻擊的次數也在增多。相對滯后的補救次數和成本也在增加,黑客與反黑客的斗爭已經成為一場沒有結果的斗爭。
3.結論
網絡安全的管理與分析現已被提到前所未有的高度,現在IPv6已開始應用,它設計的時候充分研究了以前IPv4的各種問題,在安全性上得到了大大的提高,但并不是不存在安全問題了。在WindowsVista的開發過程中,安全被提到了一個前所未有的重視高度,但微軟相關負責人還是表示,"即使再安全的操作系統,安全問題也會一直存在"。
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。因此只有完備的系統開發過程、嚴密的網絡安全風險分析、嚴謹的系統測試、綜合的防御技術實施、嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才等各方面的綜合應用才能完好、實時地保證信息的完整性和正確性,為網絡提供強大的安全服務——這也是網絡安全領域的迫切需要。
參考文獻
[1]《網絡綜合布線系統與施工技術》黎連業著
1.1校園網絡部件帶來的問題。高校需要的機器設備很多,導致很多高校由于經費的問題遲遲不更換老舊的設備,使得整個網絡處于崩潰的邊緣,主機使用的軟件并非正版軟件,甚至本身攜帶一些病毒,增大了網絡安全隱患。網絡設備在建設完成之后,需要專業技術人員的維護,而在大多數高校,缺乏專業的維護人員,出現問題之后只能找外包公司解決,錯過了避免事故的最佳時期。管理員不懂技術可能會導致很多計算機通過校園網絡接入病毒,甚至導致整個網絡的癱瘓。高校設計網絡環境時,出現硬件設計漏洞,不經過調試和改善就投入使用,導致無法適用于瞬息萬變的網絡世界而受到攻擊和破壞。另外,多數高校的計算機系統沒有使用較為安全的系統,在微軟宣布不再對XP系統支持后,沒有更換合適的操作系統,導致產生網絡漏洞。
1.2校園網絡管理員存在的問題。高校忽視網絡安全的建設,沒有基本防御措施,缺乏對一般性安全漏洞的防御能力,網絡設備建成后,需要專業的技術人員維護,校園網絡隨時都可能受到攻擊,需要技術人員具備解決問題的能力,而不少高校只有管理機房使用的老師,缺乏技術人員,面對問題,只能請維修企業處理。計算機操作系統并不是一直安全的,微軟公司一直根據病毒或者其他黑客攻擊手段,完善自己的系統,而高校日常的維護和更新也沒有專業的技術人員處理,機房計算機系統一直使用較老的操作系統版本,帶來很大隱患。另外,校園網絡管理者缺乏安全意識,泄露相關管理員密碼,使得別有用心的人獲取密碼,破壞校園網絡。
1.3校園網絡使用者帶來的隱患。作為校園網絡的使用者,學生自身不懂網絡安全,從網絡下載軟件的同時帶來了一些病毒。造成了網絡安全事件的發生。部分熱愛技術的學生甚至以校園網絡作為攻擊的對象,獲取他人的帳號和信息。這些行為都會給校園網絡帶來安全隱患,有些還可能導致網絡癱瘓。
2解決高校網絡安全問題的對策
2.1加大校園網絡的資金投入。高校應該購買新的網絡設備用于建設校園網絡,新設備具備更高的安全性,可以預防較為簡單的網絡攻擊。在教學上,更應該購買正版軟件,正版軟件沒有病毒,能夠得到廠家的技術支持。另外,高校應該招聘專門的網絡技術人員,維護校園網絡的正常運行,技術人員要具備網絡安全知識,能夠及時處理突發狀況,避免校園網絡受到攻擊。專業的技術人員更能提高網絡設備的使用效率和使用年限。
2.2建立健全網絡安全管理制度。高校要加強網絡安全的宣傳和教育,培訓網絡管理員安全意識,定期維護網絡設備和主機,提高師生的網絡道德,從根本杜絕來自內部的網絡攻擊。建立校園網使用規范,并用多種方式宣傳,例如通過學校網站,校內廣播,校內宣傳欄等,讓學生明白網絡安全的重要性,能夠按照國家網絡安全的相關法律法規約束自己,自覺加入維護校園網絡安全的陣營中來,為維護校園網絡安全貢獻自己的力量。宣傳不能解決所有的問題,高校要合理設置校園網絡的權限,在登陸環節,要制定安全的登陸方式,盡量采用實名驗證和學號驗證的方式,避免校外人員使用校園網帶來不安全因素。
2.3加強對于安全漏洞的防范。在網絡安全技術中,防火墻技術應用十分廣泛,防火墻是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入。在防火墻的設置中,要過濾內地址路由包,清楚錯誤地址的IP數據包,網絡管理員經常檢查安全日志,及時發現和處理不合法的登陸與外網的攻擊行為。通過設置防火墻的相關參數來提升安全等級。建立網絡各主機和對外服務器的安全保護措施,保證系統安全,利用防火墻對網上服務請求內容進行控制,使非法訪問在到達主機前被拒絕,利用防火墻加強合法用戶的訪問認證,同時在不影響用戶正常訪問的基技術人員的配備不完善,無法應對大規模的網絡攻擊,需要相關技術企業的幫助,因此,高校應該和社會企業進行長時間的合作,在事件發生的時候能夠及時處理。高校應該建立信息備份制度,對于重要的信息要保存在不受網絡入侵的物理設備中,以防因安全事件導致學校不能正常工作。引起學生和家長的不滿和恐慌。日常信息通信中,要使用數據加密技術,確保信息傳輸的安全。礎上將用戶的訪問權限控制在最低限度內,利用防火墻全面監視對公開服務器的訪問,及時發現和阻止非法操作;另外可以采用諸多技術來預防破壞,例如網絡入侵檢測技術,即是指通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖。可以在系統中按照網絡入侵檢測系統,在外網和內網都設立監測點,實時檢查,系統會提醒管理員是否有攻擊行為;還可以采用數據加密技術,在客戶端登陸檢查,校園網教務管理系統中都可以使用;每臺主機多要安裝防病毒軟件,用于檢測日常上網收到的病毒攻擊。
2.4建立網絡安全應急機制。校園網絡安全突發事件需要建立網絡安全應急機制,以防止事件引發更大的損失,應急機制需要高校和相關企業的聯動,高校網絡安全
3結束語
1.1以太網自身缺陷
當前廣電寬帶網絡采用光纖到戶(FiberToHome,FTTH)與無源光網絡(PassiveOpticalNetwork,PON)技術相結合的形態出現,此種技術形態對推動整個廣電網絡的發展有積極意義。在PON技術體系下,當前廣電網主要采用以太網無源光網絡(EthernetPassiveOpticalNetwork,EPON)形態加以實現。以太網的框架結構,從技術層面更容易被工作人員接受。因此,在應用和維護兩個角度都表現良好。但是,以太網以廣播的方式傳遞數據,交換機將數據包從一個端口向其他所有端口發送,這種傳送方式極易造成網絡堵塞,當數據頻繁交換時,會明顯降低網絡的使用效率,一旦有人惡意向網絡中發送大量數據,可能會導致整個網絡處于癱瘓狀態。廣播式以太網的最底層和上層同處于一個廣播域中,且匯聚層需要首先接入核心交換機,然后,再由路由器接入到外網,此種組網方式除易發生網絡癱瘓外,用戶間的病毒影響也成為重要問題。
1.2機房管理缺陷
廣電寬帶機房本身是集中存放各種服務器的環境,包括網站服務器、視頻服務器、DHCP服務器、寬帶計費認證服務器、網管服務器等都會集中存放在機房中,用以維持良好的工作環境,確保多種服務器正常運行。但是,眾多服務器運行在同一個子網段中,如果網絡出口沒有合理安裝必要的安全設備,就有可能遭受外界的攻擊。在此環境下,直接面向網絡外部提供信息服務的服務器則更容易遭受侵害,而類似DNS服務器和DHCP服務器等面向內部寬帶用戶服務的設備,其職能相對單一,因此,較為穩定。
2切實打造廣電網絡安全保障體系
廣電網絡的安全隱患來自多個方面,除本身固有的源于網絡技術層面的缺陷外,管理和人員也是造成安全問題的重要因素。就目前社會對信息的消費需求現狀來看,高質量和穩定的數據傳輸,已成為新的社會需求。因此,只有切實打造更具針對性的廣電網絡安全環境,才能切實實現穩定的廣電信號傳輸,不斷優化用戶體驗。具體而言,可以從以下幾方面入手。
2.1技術層面加強網絡安全特征
網絡的安全水平隨著網絡規模的擴大逐步降低,當網絡規模及復雜程度達到一定水平時,安全就會成為突出問題。基于此種考慮,可以將網絡進行進一步劃分,區隔出不同區域,通過縮小廣播域的手段來提升網絡安全水平。在匯聚層的端口和VLAN實現一一對應,使用戶在上聯第一個端口阻止廣播包發送,在用戶接入端盡量使用端口隔離交換機,用以實現底層用戶間的直接數據訪問隔離,確保整個網絡的廣播形態特征。此種方式本質上是把網絡的管理權限集中到核心部門,不僅便于加強用戶權限管理及計費管理,在防止ARP病毒攻擊方面也有積極作用。
2.2加強服務器群管理
當前服務器的集中存放,在一定程度上為服務器的安全管理提供一定有力支持,但是,機房相對密封的環境,會成為工作人員疏失的源頭。在實際工作中,考慮到服務器本身易遭受攻擊,應當切實制定并且落實服務器維護管理制度,定期升級安全補丁,安裝網絡版殺毒軟件,定期升級病毒庫,及時修改服務器安全配置,刪除所有無用端口,定期檢查網絡訪問日志,備份服務器的重要數據。同時,在服務器防火墻層面,加強對軟硬件的防范。加強對內網數據訪問的監督,避免授權過當等隱患存在。此外,使機房環境中的工作站和服務器的集群保持隔離狀態,分網段劃分,對公共終端設置還原功能,避免病毒擴散。
2.3加強人員管理
在網絡環境中,相關統計表明有超過60%的安全問題來源于對數據操作和使用不當。在實際工作中,控制和改善此種情況的首要做法是加強人員管理,確保為對應網絡體系配備合格的工作團隊,并且要加強人員授權管理工作力度,從組織和管理角度實現對網絡的保護。具體而言,要規范機房工作出入權限,并在此基礎上深化數據訪問權限。通過對工作人員行為的記錄和限制,實現對整個信息環境的凈化和安全水平的保證。
3結語
1.1氣象部門網絡安全的主要防御結構
一般情況下,在氣象網絡中,防火墻是最重要的硬件防御系統之一,根據臺站區域網絡的組成部件設置防火墻,并根據氣象部門業務安全需求采取相應的防控措施。在氣象信息中心,多個硬件防火墻被部署在區域網絡內重要的業務需求范圍內,確保該區域內的氣象觀測業務可順利、安全運行。對于突發網絡故障,可通過查詢網絡日志、查看網絡歷史詢問記錄等處理,從而使網絡恢復正常。同時,網絡入侵檢測系統也是網絡防護的重要手段,可定時對網絡中可能存在的入侵或攻擊進行檢測,查出存在的漏洞、攻擊模式和用戶行為模式的差別等,并對網絡及系統中出現的異常行為作出響應。此外,軟件防護系統也是不容忽視的重要環節,通過防病毒軟件對計算機網絡進行查殺,消除網絡中存在的威脅因素;網絡管理軟件可對連接的網絡設備進行監管,檢測網絡中存在的異常行為,有效防御病毒,從而切實做好氣象網絡安全防御工作。
1.2網絡安全現狀
隨著現代化氣象觀測信息的不斷增多,自動站長期不間斷運行,容易導致網絡負載量大,進而增加了局部網絡病毒木馬入侵的概率,且其對外開放的資源共享端口也容易出現網絡堵塞。此外,內部計算機人員的操作不當、對計算機終端安全意識較差的現象普遍存在,這都對氣象網絡安全造成了嚴重的威脅。
2氣象部門網絡安全中存在的威脅
2.1網絡安全漏洞
漏洞是氣象部門計算機網絡安全的重大隱患之一,主要包括操作系統漏洞和硬件產品漏。大多數的木馬病毒、非法入侵等都是基于計算機網絡中存在的漏洞而對其攻擊的,它是網絡安全的一大威脅。
2.2內部網絡防護措施不完善
氣象計算機網絡屬于獨立局域網,根據其具有的工作特性,需要實時對數據進行快速、便捷的傳遞,但這樣容易引起病毒的直接感染。由于防護措施不完善,如果操作某一個被病毒感染的移動硬盤時,會連帶服務器及其他電腦同時被感染。此時,即便設有防火墻裝置,也阻擋不了網絡內部遭受攻擊。
2.3惡意代碼威脅
需要及時對計算機中安裝的軟件防護殺毒系統升級和補丁修復。隨著網絡技術的發展,病毒的破壞力越來越強。如果沒有及時制止病毒的入侵,則可能會造成計算機徹底被控制或癱瘓。
2.4網絡黑客攻擊
網絡黑客一般為對計算機網絡較為精通的不法分子,他們通過網絡操作系統的漏洞對系統進行攻擊,可導致系統癱瘓或異常。網絡操作系統有多種,常用的為WindowsNT操作系統。因此,該系統已成為網絡黑客的重點攻擊對象。
2.5操作人員的安全意識較差
部分氣象計算機操作人員不具備專業的網絡知識,對于計算機網絡安全了解不足,存在在計算機上下載其他與氣象無關的資源的情況,或通過移動硬盤在局域網內進行各種數據資料的傳輸,這增加了病毒入侵的概率,容易造成數據丟失或泄露。如果將在Internet上使用過的筆記本電腦連接到氣象內部網絡中,也可能會增加氣象網絡病毒入侵的概率。
2.6IP地址沖突
氣象部門內部的計算機經常出現IP地址沖突的現象。1臺或多臺電腦常因測試或其他原因需要臨時修改IP地址,但修改后往往沒有及時改回,進而造成IP沖突無法聯網,這會對氣象觀測數據的傳輸等環節造成影響。
2.7缺乏內部網絡安全技術人員
目前,由于氣象臺站受到資金或其他因素的制約,導致氣象臺站缺乏相關的網絡安全專業技術人員。當出現網絡故障時,基本是由在職的其他工作人員進行維護的,但網絡管理員自身的水平較低,僅可以應付簡單的常見網絡安全故障,對于專業病毒防御、網絡區域設置等關鍵技術的掌握甚少,出現復雜的網絡安全故障無法及時解決,進而影響了臺站的正常、穩定運行。
3改善氣象部門網絡運行環境的措施
3.1加強網絡安全管理
應加強氣象部門全體人員的計算機網絡安全意識,針對重點網絡威脅進行分析,并對其可能造成的影響進行估算,從而使更多的職工關注網絡安全問題;制訂相關的計算機操作和日常網絡應用安全規范準則,使全體職工養成良好的上網和工作習慣;對在職的網絡管理人員進行技能培訓,提高其技能水平,以確保氣象業務在良好的環境中進行;引進復合型人才,加強技術人才隊伍的培養。網絡安全涉及的范圍廣、信息量大,對人才的需求也較大。因此,可通過參加高新技術學習、開展重點問題交流等途徑提高管理人員的業務水平,使他們能擔當起氣象網絡信息安全建設的重任。
3.2科學、合理配置網絡安全系統
1.1網絡系統漏洞
網絡系統設計為了使用的便捷性考慮,往往做不到內、外網絡完全分離,內網采用與Internet外網一致的TCP/IP通訊協議,當攻擊者利用TCP/IP通訊協議的漏洞對外網進行攻擊時,內網的安全同時也受到嚴重威脅。同時網絡系統補丁升級具有滯后性,往往是網絡系統先受到安全威脅與攻擊,而隨后一段時間才進行補丁升級,補丁升級解決舊的網絡安全問題的同時,又會面臨新的網絡安全問題。
1.2計算機病毒
計算機病毒是計算機軟件技術發展的負面衍生品,具有破壞性、復制性和傳染性。計算機病毒是人為的編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。隨著計算機技術的高度發展,計算機病毒也以迅猛的勢頭不斷發展,病毒型態越來越復雜多樣化,越來越具有攻擊性和破壞性,病毒侵入手段越來越隱蔽高明,因此導致近年來由計算機病毒引發的網絡系統癱瘓的案例越來越多。在這種發展形式下,近年來圖書館網絡系統遭受計算機病毒侵入或感染的機率不斷增長。
1.3人為管理失誤
無論是運行環境、系統漏洞、還是計算機病毒,歸根結底在所有影響和威脅圖書館網絡安全的因素中,都離不開人的因素,目前導致網絡安全問題的因素中,人為管理失誤約占80%,可見人為管理才是威脅圖書館網絡安全的最重要的因素。即使我們為圖書館網絡系統提供了穩定的運行環境、及時修復了系統漏洞、殺滅了計算機病毒,卻未使內部網絡安全管理制度與之配套,也會造成運行環境的不穩定、系統漏洞的涉繁出現、計算機病毒的肆虐等等。
2圖書館網絡安全防范策略
2.1運行環境安全策略
運行環境安全是圖書館網絡安全的基本保證,運行環境安全策略主要針對硬件環境、軟件環境及網絡線路環境三方面。首先硬件安全是保證軟件運行和網絡線路穩定發揮作用的基礎,因此要具有良好的機房環境保證硬件安全,做好防火防潮防盜工作,做好硬件設備散熱除塵保養。其次定期對軟件系統進行維護和更新升級,確保軟件系統的正常平穩運行。第三對于網絡線路的拓撲結構合理設計布局,定期巡檢網絡線路及線路上的交換設備工作狀態,發現故障及時排除,發現異常及時上報處理。
2.2計算機網絡系統安全策略
高安全性的計算機網絡系統是圖書館信息服務延伸與提高的保證,保證圖書館網絡安全的第一要素是科學合理的網絡拓撲結構,根據各部門實際工作職能劃分網絡架構,實現符合圖書館實際工作需求的網絡拓撲結構配置,滿足圖書館服務工作職能的同時,提高網絡系統安全等級。第二,科學嚴謹的設置網絡設備的安全參數,離不開安裝過程中手動安全參數的正確配置,選擇有安全保障的通訊協議,如對于邊界路由器的安全設置,要關閉或禁止不必要的訪問方式和服務。第三對于圖書館的數據服務器,要選擇安裝高安全性的操作系統,安裝必要的防御殺毒軟件,同時刪除或關閉系統中與圖書館正常的網絡業務服務無關的應用軟件。
2.3安全管理策略
人們常說“事在人為”,這強調了人為管理因素的重要作用,圖書館網絡安全管理充分突出了人為管理的重要性。一個有效的網絡安全防范體系不僅僅取決于技術因素,還取決于人為管理因素,技術能解決問題卻不能夠預防問題,而管理的意義在于事前預防,抑制問題的產生或者將問題消滅在最初的萌芽狀態,真正行之有效的安全管理策略是需要以安全策略為核心、以安全技術為支撐、以安全管理為預防。圖書館的安全管理覆蓋面較為廣泛,因此要制定全面的安全管理制度并有效的執行和落實,一套健全的安全管理制度體系是由機房管理制度、硬件設備管理維護制度、網絡系統安全管理制度、數據安全管理制度等等一系列精細嚴格的制度組成的,因此安全管理是一項具有系統性的工程,需要投入大量的精力。
3結論
遠程教育網絡遭到的攻擊主要分為下列幾種情況:一是拒絕服務攻擊DOS。這一情況的產生主要是由于攻擊使得一方用戶可用資源嚴重缺乏,造成系統資源可用性的降低,從而降低遠程教育系統的服務能力;二是邏輯炸彈。即通過攻擊,使遠程教育系統本來的資源被其他特殊功能服務所替代;三是特洛伊木馬。這一攻擊指系統被執行了超越規定程序以外的其他程序;四、計算機病毒和蠕蟲。即計算機受到病毒感染,使得自身程序被惡意篡改,從而使其他程序受到感染,最終導致網絡通信功能受損和遠程教育系統的癱瘓。
二、遠程成人教育系統網絡安全策略
(一)建立專用的虛擬網絡。專用的虛擬網絡以安全性能較低的網絡為信息媒介,并通過身份認證和加密,以及隧道技術等方式來建立專門的有針對性的網絡。通過這個網絡學習可以保障信息的安全性。通常,網絡防火墻所附帶的專用虛擬模塊可以實現虛擬網絡專用,從而保證了虛擬專用網的安全性能。
(二)數字加密方式。為了防止信息被非授權用戶竊聽,以及惡意軟件的攻擊,在數據傳輸時可以使用數字加密技術。數字加密技術在遠程教育系統中通過硬件加密和軟件加密來實現。硬件加密具有實現方便和兼容性好的特點,但也存在相應的缺點,例如密鑰管理復雜,而軟件加密由于是在計算機內部進行,從而使攻擊者更容易采取程序跟蹤等方式對遠程教育系統的網絡進行攻擊。
三、遠程成人教育系統服務器安全策略
(一)安全的遠程教育操作系統。Windows操作系統在成人教育的遠程教育系統中占大多數,而這一系統存在多種安全漏洞。因此,要定期進行補丁下載,如果寬帶速度受限,則可以通過相關程序設定來更新補丁,從而保障服務器的安全與正常使用。
(二)負載均衡技術。負載均衡技術可以平衡服務器群中的所有服務器,并通過實時數據的反應,均衡服務器之間的工作分配,使得服務器達到最佳的性能并且實現服務器的智能管理,從而保證了遠程教育系統的可靠性。
四、遠程成人教育系統訪問控制策略
遠程教育網絡的訪問控制可以分為以下兩種,第一,控制外部不知名用戶通過網絡服務對主機的訪問;第二,控制內部人員對遠程教育系統網絡的訪問。對于第一種情況,可以設置服務器程序來進行限制,比如限制來訪者的IP地址或只允許部分用戶訪問主機,堅決拒絕惡意用戶的訪問。而第二種情況,可以設置用戶的身份認證控制,核實訪問者的身份是否符合設備或進程所聲明的條件,構成網絡安全訪問的第一道防線。通常,會設置相關口令對訪問者身份進行核實。在此情況下,非授權的用戶就不能夠使用賬戶。但是這種方式也存在一定的弊端,因為其主要方式是明文傳輸或者靜態方式,所以會發生對字典的攻擊,網絡被竊聽,信息機密被泄露等情況,為此,必須對口令設置等相關程序進行更新或改進。
五、遠程成人教育系統網絡安全管理策略