前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全問題主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:網(wǎng)絡安全;破譯口令;IP欺騙;DNS欺騙;黑客攻擊
中圖分類號:TP393.08
文獻標識碼:A
文章編號:1672-3198(2009)13-0245-02
1 網(wǎng)絡攻擊和入侵的主要途徑
網(wǎng)絡入侵是指網(wǎng)絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權(quán)限,并通過使用這些非法的權(quán)限使網(wǎng)絡攻擊者能對被攻擊的主機進行非授權(quán)的操作。網(wǎng)絡入侵的主要途徑有:破譯口令、IP欺騙和DNS欺騙。
口令是計算機系統(tǒng)抵御入侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多,如:利用目標主機的Finger功能:當用Finger命令查詢時,主機系統(tǒng)會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;利用目標主機的X.500服務:有些主機沒有關(guān)閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑;從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;查看主機是否有習慣性的帳號;有經(jīng)驗的用戶都知道,很多系統(tǒng)會使用一些習慣性的帳號,造成帳號的泄露。
IP欺騙是指攻擊者偽造別人的IP地址,讓一臺計算機假冒另一臺計算機以達到蒙混過關(guān)的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網(wǎng)絡協(xié)議的脆弱性。在TCP的三次握手過程中。入侵者假冒被入侵主機的信任主機與被入侵主機進行連接,并對被入侵主機所信任的主機發(fā)起淹沒攻擊,使被信任的主機處于癱瘓狀態(tài)。當主機正在進行遠程服務時,網(wǎng)絡入侵者最容易獲得目標網(wǎng)絡的信任關(guān)系,從而進行IP欺騙。IP欺騙是建立在對目標網(wǎng)絡的信任關(guān)系基礎之上的。同一網(wǎng)絡的計算機彼此都知道對方的地址,它們之間互相信任。由于這種信任關(guān)系,這些計算機彼此可以不進行地址的認證而執(zhí)行遠程操作。
域名系統(tǒng)(DNS)是一種用于TCP/IP應用程序的分布式數(shù)據(jù)庫,它提供主機名字和IP地址之間的轉(zhuǎn)換信息。通常,網(wǎng)絡用戶通過UDP協(xié)議和DNS服務器進行通信,而服務器在特定的53端口監(jiān)聽。并返回用戶所需的相關(guān)信息。DNS協(xié)議不對轉(zhuǎn)換或信息性的更新進行身份認證,這使得該協(xié)議被人以一些不同的方式加以利用。當攻擊者危害DNS服務器并明確地更改主機名―IP地址映射表時,DNS欺騙就會發(fā)生。這些改變被寫入DNS服務器上的轉(zhuǎn)換表。因而,當一個客戶機請求查詢時,用戶只能得到這個偽造的地址,該地址是一個完全處于攻擊者控制下的機器的IP地址。因為網(wǎng)絡上的主機都信任DNS服務器,所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器。也可以欺騙服務器相信一個IP地址確實屬于一個被信任客戶。
2 計算機網(wǎng)絡中的安全缺陷及產(chǎn)生的原因
(1)網(wǎng)絡安全天生脆弱。
計算機網(wǎng)絡安全系統(tǒng)的脆弱性是伴隨計算機網(wǎng)絡一同產(chǎn)生的,換句話說,安全系統(tǒng)脆弱是計算機網(wǎng)絡與生俱來的致命弱點。在網(wǎng)絡建設中,網(wǎng)絡特性決定了不可能無條件、無限制的提高其安全性能。要使網(wǎng)絡更方便快捷,又要保證網(wǎng)絡安全,這是一個非常棘手的“兩難選擇”,而網(wǎng)絡安全只能在“兩難選擇”所允許的范圍中尋找支撐點??梢哉f世界上任何一個計算機網(wǎng)絡都不是絕對安全的。
(2)黑客攻擊后果嚴重。
近幾年,黑客猖狂肆虐,四面出擊,使交通通訊網(wǎng)絡中斷,軍事指揮系統(tǒng)失靈,電力供水系統(tǒng)癱瘓,銀行金融系統(tǒng)混亂……危及國家的政治、軍事、經(jīng)濟的安全與穩(wěn)定,在世界各國造成了難以估量的損失。
(3)網(wǎng)絡殺手集團化。
目前,網(wǎng)絡殺手除了一般的黑客外,還有一批具有高精尖技術(shù)的“專業(yè)殺手”,更令人擔憂的是出現(xiàn)了具有集團性質(zhì)的“網(wǎng)絡”甚至政府出面組織的“網(wǎng)絡戰(zhàn)”、“黑客戰(zhàn)”,其規(guī)?;?、專業(yè)性和破壞程度都使其他黑客望塵莫及??梢哉f,由政府組織的“網(wǎng)絡戰(zhàn)”、“黑客戰(zhàn)”是當前網(wǎng)絡安全的最大隱患。目前,美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡方式把病毒植入敵方計算機主機或各類傳感器、網(wǎng)橋中的研究以伺機破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡系統(tǒng)。另外,為達到預定目的,對出售給潛在敵手的計算機芯片進行暗中修改,在CPU中設置“芯片陷阱”,可使美國通過因特網(wǎng)指令讓敵方電腦停止工作,以起到“定時炸彈”的作用。
(4)破壞手段多元化。
目前,“網(wǎng)絡”除了制造、傳播病毒軟件、設置“郵箱炸彈”,更多的是采取借助工具軟件對網(wǎng)絡發(fā)動襲擊,令其癱瘓或者盜用一些大型研究機構(gòu)的服務器,使用“拒絕服務”程序,如TFN和與之相近的程序等,指揮它們向目標網(wǎng)站傳輸遠遠超出其帶寬容量的垃圾數(shù)據(jù),從而使其運行中斷。多名黑客甚至可以借助同樣的軟件在不同的地點“集中火力”對一個或者多個網(wǎng)絡發(fā)起攻擊。而且,黑客們還可以把這些軟件神不知鬼不覺地通過互聯(lián)網(wǎng)安裝到別人的電腦上,然后,在電腦主人根本不知道的情況下“借刀殺人”。
3 安全防范措施
(1)提高思想認識。
近年來,中國的網(wǎng)絡發(fā)展非常迅速,同時,中國的網(wǎng)絡安全也越來越引起人們的關(guān)注,國家權(quán)威部門曾對國內(nèi)網(wǎng)站的安全系統(tǒng)進行測試,發(fā)現(xiàn)不少單位的計算機系統(tǒng)都存在安全漏洞,有些單位還非常嚴重,隨時可能被黑客入侵。當前,世界各國對信息戰(zhàn)十分重視,假如我們的網(wǎng)絡安全無法保證,這勢必影響到國家政治、經(jīng)濟的安全。因此,從思想上提高對計算機網(wǎng)絡安全重要性的認識,是我們當前的首要任務。
(2)加強管理制度。
任何網(wǎng)站都不是絕對安全的,值得一提的是,當前一些單位在急忙趕搭“網(wǎng)絡快車”時,只管好用,不管安全,這種短視必然帶來嚴重的惡果,與“網(wǎng)絡”的較量是一場“看不見硝煙的戰(zhàn)爭”,是高科技的較量,是“硬碰硬”的較量。根據(jù)這一情況,當前工作的重點,一是要狠抓日常管理制度的落實,要把安全管理制度落實到第一個環(huán)節(jié)中;二是要加強計算機從業(yè)人員的行業(yè)歸口管理,對這些人員要強化安全教育和法制教育,建立人員管理檔案并進行定期的檢查和培訓;三是要建立一支反黑客的“快速反應部隊”,同時加快加緊培養(yǎng)高水平的網(wǎng)絡系統(tǒng)管理員,并盡快掌握那些關(guān)鍵技術(shù)和管理知識。
(3)強化防范措施。
一般來說,影響計算機網(wǎng)絡安全的因素很多,但目前最主要的因素是接受電子郵件和下載軟件兩種。下面就這兩種方式談談基本的防范措施:切實保護電子郵件的安全:做好郵件帳戶的選擇?,F(xiàn)在互聯(lián)網(wǎng)上提供的E-MAIL帳戶
主要都是免費帳戶,這些免費的服務不提供任何有效的安全保障而且有的免費郵件服務器常常會導致郵件受損。所以,單位用戶應該選擇收費郵件帳戶。做好郵件帳戶的安全防范。一定要保護好郵箱的密碼。在WEB方式中,不要使用IB的自動完成功能,不要使用保存密碼功能以圖省事,入網(wǎng)帳號與口令應該是需要保護的重中之重,密碼要取得有技巧、有難度,密碼最好能有8位數(shù),且數(shù)字字母相間,中間還代“*”號之類的允許怪符號。
防止郵件炸彈。下面介紹幾種對付電子郵件炸彈(E-MAIL BOMB)的方法:
①過濾電子郵件。凡可疑的E-MAIL盡量不要開啟:如果懷疑信箱有炸彈,可以用郵件程序的遠程郵箱管理功能來過濾信件,如國產(chǎn)的郵件程序Foxmail。在進行郵箱的遠程管理時,仔細檢查郵件頭信息,如果發(fā)現(xiàn)有來歷可疑的信件或符合郵件炸彈特征的信件,可以直接把它從郵件服務器上刪除。
②使用殺毒軟件。一是郵件有附件的話,不管是誰發(fā)過來的,也不管其內(nèi)容是什么(即使是文檔,也往往能成為病毒的潛伏場所,像著名的Melissa),都不要立即執(zhí)行,而是先存盤,然后用殺毒軟件檢查一番,以確保安全。二是注意目前網(wǎng)上有一些別有用心的人以網(wǎng)站的名義,讓你接受他們通過郵件附件推給你的軟件,并以種種借口要求你立即執(zhí)行。對此,凡是發(fā)過來的任何程序、甚至文檔都應用殺毒軟件檢查一番。
③使用轉(zhuǎn)信功能。用戶一般都有幾個E-mail地址。最好申請一個容量較大的郵箱作為收信信箱,如777信箱(mail.省略)速度也很快。對于其它各種信箱,最好支持轉(zhuǎn)信功能的,并設置轉(zhuǎn)信到大信箱。所有其它郵件地址的信件都會自動轉(zhuǎn)寄到大信箱內(nèi),可以很好地起到保護信箱的作用。
④申請郵件數(shù)字簽證?,F(xiàn)在國內(nèi)的首都在線(省略)提供了郵件數(shù)字簽證的服務。數(shù)字簽證不但能夠保護郵件的信息安全,而且通過它可以確認信件的發(fā)送者。最后要注意對本地的已收發(fā)郵件進行相應的刪除處理。切實保障下載軟件的安全。對于網(wǎng)絡軟件,需要指出的是,我們對下載軟件和接受的E-MAIL決不可大意。在下載軟件時應該注意:下載軟件應盡量選擇客流大的專業(yè)站點。大型的專業(yè)站點,資金雄厚,技術(shù)成熟,水平較高,信譽較佳,大都有專人維護,安全性能好,提供的軟件問題較少。
⑤此外,從網(wǎng)上下載來的軟件要進行殺毒處理。對下載的任何軟件,不要立即使用,WORD文檔也不宜直接打開,而應先用殺毒軟件檢測一番,進行殺毒處理。殺毒軟件應當始終保持最新版本,最好每月升級一次,防止染上“木馬”。一旦染上木馬后,它就會給你的Windows留下后門,秘密監(jiān)視網(wǎng)絡信息,一旦發(fā)現(xiàn)遠方控制指令,就會會秘密地予以回應,可以讓遠方的控制者掌握對機器的完全控制權(quán)。此后在你完全不知的情況下,遠方的侵入者可以隨時在因特網(wǎng)上無限制地訪問你的計算機,因此它的危害是不育而喻的。最簡便有效的預防措施是,避免啟動服務器端(S端)消除木馬的具體操作是,首先拜訪注冊表,獲取木馬的裝入信息,找出S端程序放于何處。然后先將注冊表中的木馬配置鍵刪掉,重新啟動計算機,再將程序也刪掉。
【關(guān)鍵詞】無線網(wǎng)絡;安全問題;解決策略
1.引言
近些年來,我國的無線網(wǎng)絡技術(shù)得到了快速的發(fā)展,無線網(wǎng)絡相對于有線網(wǎng)絡在成本以及方便性方面有著非常大的優(yōu)勢,這也是當代企業(yè)青睞無線網(wǎng)絡的重要原因?,F(xiàn)代的無線網(wǎng)幾乎覆蓋到每一個企事業(yè)單位,例如:高速鐵路全覆蓋的無線網(wǎng)絡給旅客在長途旅行當中網(wǎng)上沖浪帶來非常大便利;相關(guān)的服務行業(yè)可以利用無線網(wǎng)絡實現(xiàn)隨時隨地的記賬登記服務,這在很大程度上提高了整個服務行業(yè)的服務質(zhì)量等等。從社會整體上來看,無線網(wǎng)絡的時代已經(jīng)慢慢的滲入到人們的日常生活當中,給人們的生活帶翻天覆地的變化,但是,我們在享受無線網(wǎng)絡給人們生活帶來很大便利的同時,也必須認識到無線網(wǎng)絡中存在的對用戶非常重要的安全問題,下面從無線網(wǎng)絡的特點、無線網(wǎng)絡存在的安全問題以及相應的解決策略做出簡要的探析。
2.無線網(wǎng)絡的特點
2.1 無線網(wǎng)絡可移動性更好
無線網(wǎng)絡傳遞網(wǎng)絡信號是通過發(fā)射無線電波實現(xiàn)的,只要人們在無線網(wǎng)絡發(fā)射設備的有效射程之內(nèi)都可以通過相應的接受設備,進入相應的網(wǎng)絡之內(nèi)。在很大程度上擺脫了傳統(tǒng)網(wǎng)絡空間和時間方面的限制。
2.2 無線網(wǎng)絡設備安裝簡易、成本低廉
眾所周知,有線網(wǎng)絡的安裝是非常復雜的,整個過程必須布置大量的網(wǎng)線以及網(wǎng)線接頭,有線網(wǎng)絡后期的維護費用也是比較大的。相對有線網(wǎng)絡,無線網(wǎng)絡省去了大量的布線工作,僅僅需要一個無線網(wǎng)絡發(fā)射設備,這就在很多方面也減少了后期網(wǎng)絡維護的難度以及布置整個網(wǎng)絡的成本費用。此外整個網(wǎng)絡通信范圍也擺脫了地理環(huán)境帶來的限制。
2.3 網(wǎng)絡使用更加靈便且擴展性能強
由于無線網(wǎng)絡不受網(wǎng)線電纜的約束,這就給無線網(wǎng)絡工作站的配置和增加帶來非常大隨意性。大大增加了人們對于整個無線網(wǎng)絡使用的范圍,同時也提升了整個網(wǎng)絡的使用率。
3.無線網(wǎng)絡安全特點
無線網(wǎng)絡在安全方面的特點也是無線網(wǎng)絡區(qū)別于有線網(wǎng)絡的重要方面。
3.1 首先,在開放性方面無線網(wǎng)絡要遠遠大于有線網(wǎng)絡,這就造成整個無線網(wǎng)絡容易收到外界干擾以及惡意的攻擊的可能性大幅度增加。這在很大程度上就增加了整個無線網(wǎng)絡安全工作維護的難易程度,其維護措施的可行性在沒有專業(yè)人員指導的情況下是比較難的,尤其是無線網(wǎng)絡當中的物理終端其自由行性也比較大,這就對資源端的安全管理工作帶來難度,如果自由端的管理不到位且非法侵入的是某一個接入口,那么造成的損失非常巨大的。
3.2 即使有一整套完備的安全管理方案,在具體的實施過程中也是有非常大難度的,因為整個無線網(wǎng)絡維護方案相對于有線網(wǎng)絡維護方案是比較分散的,整個實施過程也具有非常大的依賴性。此外,由于無線網(wǎng)絡信號是一種電磁波,這就導致信號在傳輸?shù)倪^程當中容易受到外界干擾,這就對于無線網(wǎng)絡的安全維護工作的技術(shù)性帶來更高的挑戰(zhàn)。
總之,無線網(wǎng)絡在安全性方面相對于有線網(wǎng)絡是比較差的,其安全管理工作以及相關(guān)技術(shù)措施的實施也是比較困難的。
4.無線網(wǎng)絡安全方面存在的相關(guān)問題
隨著我國網(wǎng)絡工程的快速發(fā)展,無線網(wǎng)絡的進一步普及,其安全性問題在無線網(wǎng)絡的使用當中越來越突出,造成的損失也越來越大。從表面看來無線網(wǎng)絡的問題是多種多樣的,但是從無線網(wǎng)絡的技術(shù)本質(zhì)來講,其安全問題可以分為以下幾類,現(xiàn)簡述如下:
4.1 無線網(wǎng)絡中的非法盜竊聽問題
由于在整個無線網(wǎng)絡當中,其全部的網(wǎng)絡信息是通過無線電波完成的,如果在無線電波的傳播過程當中,一些不法分子利用相關(guān)的網(wǎng)絡技術(shù)裝備,盜竊聽無線網(wǎng)絡的無線電波信號,并通過相關(guān)的設備予以顯示,這在很大程度上就會造成企事業(yè)單位以及個人的相關(guān)信息泄露,如果出現(xiàn)一些重要信息的泄露帶來的后果更是非常嚴重的。
4.2 無線網(wǎng)絡的假冒、冒充攻擊問題
無線網(wǎng)絡的假冒攻擊問題就是一些不法分子冒充成一個假裝的實體對無線網(wǎng)絡進行訪問,這是無線網(wǎng)絡收到不法攻擊最常見的方法。因為在整個無線網(wǎng)絡當中其通訊設備的移動信號站、網(wǎng)絡信息控制中心以及移動信號站與其他設備之間沒有任何的實物鏈接,移動信號站只能通過無線網(wǎng)絡中的無線電波進行傳播,不法分子常常利用無線電波在傳播的過程當中竊聽到一個無線網(wǎng)絡合法用戶的詳細信息,不法分子接收到這些真實詳細信息之后就可以利用這些真實的信息對整個無線網(wǎng)絡開始攻擊。
4.3 無線網(wǎng)絡當中的信息篡改問題
無線網(wǎng)絡當中的信息篡改問題就是指一些不法單位或者個人利用上述得到的真實信息進入無線網(wǎng)絡內(nèi)部,然后將用戶的真實信息進行篡改,然后將篡改后的數(shù)據(jù)傳輸?shù)綗o線網(wǎng)絡的接受端,這樣會造成兩方面的破壞,首先,由于真實的用戶信息被篡改這就造成當真實的用戶使用自己真實的信息登錄無線網(wǎng)絡時出現(xiàn)信息錯誤的問題,導致真實的用戶無法訪問無線網(wǎng)絡,第二就是由于無線網(wǎng)絡的接收端接收到不法分子篡改的用戶信息,使得接收端將篡改后的信息數(shù)據(jù)信以為真這就對整個無線網(wǎng)絡系統(tǒng)的安全都會造成很大的威脅,如果上述過程出現(xiàn)在銀行等金融機構(gòu)當中帶來的經(jīng)濟損失將是非常巨大的。
4.4 無線網(wǎng)絡當中主機設備存在的安全問題
無線網(wǎng)絡當中的主機設備一般情況下是由多臺的主機串聯(lián)而成的,不法分子對于無線網(wǎng)絡主機的攻擊一般以電子病毒的形式進行攻擊,除了人們有一定了解的有線網(wǎng)絡病毒以外,目前市場上出現(xiàn)一種專門針對無線網(wǎng)絡的病毒,這種無線網(wǎng)絡病毒就是在無線網(wǎng)絡和互聯(lián)網(wǎng)絡鏈接時無線病毒就會瞬時侵入無線網(wǎng)絡,據(jù)我們調(diào)查發(fā)現(xiàn)這中無線病毒給無線網(wǎng)絡造成的傷害是巨大的,特別是電腦系統(tǒng)存在一些高危漏洞時更加巨大。
5.針對當前無線網(wǎng)絡出現(xiàn)的問題應采取的相關(guān)策略
無線網(wǎng)絡從誕生到現(xiàn)在,其方便性和安全隱患就一直存在,無線網(wǎng)絡的安全問題也在很大程度上影響著無線網(wǎng)絡的進一步發(fā)展,為了使無線網(wǎng)絡更好的為人們服務我們應做好以下幾點:
5.1 禁止SSID的相應廣播
5.2 設置更高級的用戶名以及用戶密碼
無線網(wǎng)絡設置的用戶名以及用戶密碼是整個無線網(wǎng)絡抵抗外界侵入的第一道防線,設置更高級別的用戶名和用戶密碼能夠增加不法分子破解的難度,增加無線網(wǎng)絡的安全性。
5.3 設置恰當?shù)臒o線網(wǎng)絡監(jiān)視參數(shù)
用戶設置恰當?shù)臒o線網(wǎng)絡監(jiān)視參數(shù)能夠在保證整個無線網(wǎng)絡運行狀態(tài)以及實現(xiàn)動態(tài)監(jiān)控方面有著非常大的作用,無線網(wǎng)絡監(jiān)視參數(shù)包括:網(wǎng)絡故障點定位、ip盜竊者捕抓、限制無線網(wǎng)絡進入范圍等。
5.4 對無線網(wǎng)絡傳輸?shù)南嚓P(guān)數(shù)據(jù)進行加密設置
無線網(wǎng)絡用戶在利用無線網(wǎng)絡進行資料傳輸時,最好對傳輸?shù)臄?shù)據(jù)進行一定的加密設置,整個文檔的秘鑰應增加到256位,這對于保證整個無線網(wǎng)絡傳輸數(shù)據(jù)的安全性有著很大的幫助。即使不法分子盜取了相關(guān)的技術(shù)文件也無法正常使用。
6.結(jié)束語
隨著我國的進一步發(fā)展,無線網(wǎng)絡的覆蓋了一定會大幅度增加,同時不法分子侵入無線網(wǎng)絡的機會也大幅度增加,我們作為網(wǎng)絡安全的技術(shù)人員,一定要認識到現(xiàn)實的嚴峻性,努力鉆研,已全面保證我國無線網(wǎng)絡的安全。
參考文獻
[1]閆韜.物聯(lián)網(wǎng)隱私保護及密鑰管理機制中若干關(guān)鍵技術(shù)研究[D].北京郵電大學,2012.
[2]陳濤.無線網(wǎng)絡的物理層安全問題研究[D].華南理工大學,2013.
[3]張淑嫻.基于Emulab架構(gòu)的無線網(wǎng)絡安全模擬技術(shù)的研究[D].北京郵電大學,2013.
[4]沈士根.基于博弈論的無線傳感器網(wǎng)絡安全若干關(guān)鍵問題研究[D].東華大學,2013.
[5]彭清泉.無線網(wǎng)絡中密鑰管理與認證方法及技術(shù)研究[D].西安電子科技大學,2010.
[6]歐陽熹.基于節(jié)點信譽的無線傳感器網(wǎng)絡安全關(guān)鍵技術(shù)研究[D].北京郵電大學,2013.
1)使用靈活:組網(wǎng)靈活,無線網(wǎng)絡可隨時增加和減少移動主機在無線網(wǎng)中相當容易。2)安裝便捷:一般情況下一個區(qū)域內(nèi)安裝一個或幾個接入點即可完全覆蓋該區(qū)域,而且對周圍的環(huán)境基本上不產(chǎn)生影響。3)易于擴展:與傳統(tǒng)網(wǎng)絡一樣,無線網(wǎng)絡具備了多種配置方式,能因地制宜的靈活選擇、合理搭配,另外在提供像漫游等有線網(wǎng)絡無法比擬的特性。4)經(jīng)濟節(jié)約:無線網(wǎng)絡布線的投資維護成本很小,一個AP可使原來的信息點同時接入數(shù)十乃至數(shù)百個終端設備.
2無線網(wǎng)絡的安全威脅
目前無線網(wǎng)絡面臨的主要安全威脅是,非授權(quán)用戶對資源的保密性、完整性、可用性或合法使用所造成的危險是。有線網(wǎng)絡與無線網(wǎng)絡相比只是在傳輸方式上有所不同,但由于其傳輸載體的特性,不僅需要加強常規(guī)的網(wǎng)絡安全措,還要應對一些特殊的安全威脅,原因是電磁波作為無線局域網(wǎng)傳輸介質(zhì),由于其良好的穿透性使電磁波能夠穿過玻璃、天花板、等物體,在一個無線接入點(AccessPoint)所覆蓋的區(qū)域內(nèi),電磁波信號被該區(qū)域內(nèi)無線客戶端都接收,這其中也可能會包括一些非法惡意用戶,這些非法的惡意用戶通過無線局域網(wǎng)中滲透到有線局域網(wǎng)當中去,達到其非法目的。由上可知無線網(wǎng)絡與有線網(wǎng)絡相比由于其傳輸載體的特殊性,除存在傳統(tǒng)的安全外,無線網(wǎng)絡面臨特殊的安全威脅,具體分為兩種,一種是針對數(shù)據(jù)完整性和數(shù)據(jù)機密性保護、網(wǎng)絡訪問控制進行的攻擊。傳輸介質(zhì)的開放性導致其具有更大的脆弱性,這是無線網(wǎng)絡的另一種安全威脅,而且這種威脅很可能會波及原有的有線網(wǎng)絡。具體來講無線網(wǎng)絡面臨的安全威脅主要表現(xiàn)以下幾個方面。1)信息重放:無線網(wǎng)絡在防范疏漏時,經(jīng)常會受到中間人欺騙攻擊,對授權(quán)客戶和合法AP進行雙重欺騙是這種攻擊的特點,可以達到竊取和篡改信息的目的。應對的方法是采取基于應用層的加密認證或進行雙向認證方法來避免.2)wep密鑰破解:為破解WEP弱密鑰加密的包,一些非法入侵都經(jīng)常利用互聯(lián)網(wǎng)上非法程序,放在合法AP信號覆蓋范圍內(nèi)捕捉該范圍內(nèi)傳輸?shù)臄?shù)據(jù)包以獲取WEP密鑰。最快可以在兩個小時內(nèi)攻破WEP密鑰,其破解速取決于無線網(wǎng)內(nèi)發(fā)射信號的主機數(shù)量、無線通信的機器速度,以及重發(fā)的初始化向IV數(shù)量。3)網(wǎng)絡竊聽:由于無線網(wǎng)絡傳輸介質(zhì)是共享的而完全暴露在竊聽者面前,而無線網(wǎng)絡不能像傳統(tǒng)網(wǎng)絡那樣采用物理隔離的手段減少竊聽,因此發(fā)生竊聽的事不在少數(shù)。另外由于網(wǎng)絡通信大多數(shù)都以明文方式進行,而大多數(shù)網(wǎng)卡都支持的一種模式——“混雜模式”,它帶有的蛻殼軟件可捕捉網(wǎng)絡上的每個數(shù)據(jù)包,能對處于無線信號覆蓋范圍內(nèi)無線網(wǎng)絡通信實施監(jiān)聽破解。4)物理地址欺騙:一些非法用戶通過非法軟件分析截獲的數(shù)據(jù),獲得AP允許通信客戶端的MAC地址,這樣就能偽裝成合法用戶客戶端MAC地址入侵網(wǎng)絡了,即使無線接入點AP起用了MAC地址過濾,也無法阻止使未授權(quán)的用戶連接AP。5)拒絕服務:傳統(tǒng)的DDOS洪泛攻擊,迫使AP拒絕服務,通常也稱為能源消耗攻擊這是一種后果最為嚴重的針對AP進行的攻擊方式,可以對無線網(wǎng)絡內(nèi)的任意節(jié)點進行攻擊,導致的后果是讓被攻擊節(jié)點不停地提供服務或進行數(shù)據(jù)包轉(zhuǎn)發(fā),耗盡其能源不能正常工作。[1]6)假冒合法網(wǎng)絡和AP:一些非授權(quán)用戶部署假冒AP設備引誘合法用戶訪問,如偽裝登錄頁面獵取用戶輸入合法口令,還有另外一種偽裝成DNS或DHCP服務器重定向用戶通信數(shù)據(jù)到其他網(wǎng)絡,這是一種威脅最嚴的攻方式,但是成本也最高。[1]
3針對無線網(wǎng)絡安全的機制與技術(shù)措施的設計
通常應該從以下幾個安全因素制定無線網(wǎng)絡的安全機制與相關(guān)措施。1)身份認證:通過共享的有線等效保密(WEP)密鑰來實現(xiàn)基于設備認證的無線網(wǎng)絡?;谟脩舻恼J證也可使用擴展認證協(xié)議EAP來實現(xiàn),可以通過EAP-TLS、EAP-TTLS、LEAP和PEAP多種方式來實現(xiàn)無線EAP,最大化的確保網(wǎng)絡安全性是通過設備認證和用戶認證在無線網(wǎng)絡中實施。為保障加密用戶交換認證信息,必須通過安全隧道傳輸用戶認證信息,最好選擇支持EAP-TTLS或PEAP的設備,這樣可以保障網(wǎng)絡環(huán)境認證的安全性。2)訪問控制:網(wǎng)絡用戶的訪問控制主要通過服務器AAA(AAA是驗證、授權(quán)和記賬(Authentication、Authorization、Accounting))來實現(xiàn)無線網(wǎng)格的連接。802.1x的各安全端口上提供了機器認證在服務器上,而且這種方式可以提供更好的可擴展性。3)機密性,完整性:有線等效保密(WEP)協(xié)議是由802.11標準定義的,用于在無線局域網(wǎng)中保護鏈路層數(shù)據(jù)能夠提供高等級的安全加密。無線網(wǎng)絡通過使用WEP或TKIP,可以確保數(shù)據(jù)包原始完整性。TKIP:TemporalKeyIntegrityProtocol(暫時密鑰集成協(xié)議)是不是負責處理無線安全問題的加密部分,在IEEE802.11i規(guī)范中。由于WEP的密鑰存在長度過短的問題,而TKIP中密碼使用的密鑰長度為128位,解決了WEP存在的問題。另外通過WEP、TKIP或VPN(VirtualPrivateNetwork,虛擬專用網(wǎng)絡)來實現(xiàn)保證數(shù)據(jù)的機密性。4)可用性:確保網(wǎng)絡無故障提高網(wǎng)絡的可靠性,可用性,是所有網(wǎng)絡要達到的最終目標。,無線基礎設施中的關(guān)鍵部分無論是出現(xiàn)黑客攻擊、病毒肆虐、設備故障,仍然要能夠提供無線客戶端的訪問。5)審計:所謂審計工作就是確定無線網(wǎng)絡配置的必要步驟,無線網(wǎng)絡的AP及網(wǎng)橋的信息通常需要一整套方法來存儲、配置、收集和檢索,來實現(xiàn)對無線網(wǎng)絡的審計。假如需要對通信數(shù)據(jù)進行了加密,而不必須要只依賴設備計數(shù)器來顯示通信數(shù)據(jù)正在被加密,就像在VPN網(wǎng)絡中一樣,應該在網(wǎng)絡中使用通信分析器來檢查通信的機密性,并保證任何有意無意嗅探網(wǎng)絡的用戶不能看到通信的內(nèi)容。
4無線網(wǎng)絡安全性解決方措施
具體地講,為了有效保障無線局域網(wǎng)(WLAN)的安全性,就必須實現(xiàn)以下幾個安全目標:1)拒絕非法用戶接入,驗證用戶授權(quán)他們接入特定的資源,提供接入控制。2)為防止未經(jīng)授權(quán)的用戶竊聽、插入或修改通過無線網(wǎng)絡傳輸?shù)臄?shù)據(jù),可以采取加密和校驗技術(shù),確保連接的保密與完好。3)確保用戶的正常接入防止非法用戶占用某個接入點的所有可用帶寬,也就是防止拒絕服務(DoS)攻擊。根據(jù)上述安全目標對無線網(wǎng)絡采取相應措施,可以采取SSID訪問控制,更改每個AP出廠時的默認SSID非特殊需要可屏蔽ssid廣播,把無線網(wǎng)絡的安全威脅降低,禁用DHCP這樣惡意入侵者將不得不破譯企業(yè)內(nèi)部的IP地址相關(guān)參數(shù)。增加入侵難度。配置用戶認證口令控制采用wep加密機制并采用TKIP增加其功能保證數(shù)據(jù)的機密性和完整性。基于MAC地址的認證系統(tǒng)"把企業(yè)內(nèi)的無線終端加入MAC地址表保證無線終端數(shù)量及無線終端的可控性。也限制了不明無線終端使用企業(yè)網(wǎng)絡資源的可能性。要想達到企業(yè)更高安全性需求,能準確可靠的進行用戶認證,就應該阻止服務盜用的問題。這時就需要通過后臺RADIUS服務器進行認證計費,也就是企業(yè)學校經(jīng)常使用IEEE802.1x的認證方式。要想進一步完善網(wǎng)絡的安全性,解決遠程網(wǎng)絡辦公問題對于大型企業(yè)來說,可以在使用802.1x認證機制的基礎上,利用現(xiàn)有的VPN設施使用戶能夠安全的訪問公司內(nèi)部網(wǎng)絡信息的要求。為了防止發(fā)生潛在威脅,應當考慮添加一些入侵檢測系統(tǒng)(IDS),以掌握無線網(wǎng)絡經(jīng)常發(fā)生的活動,把IDS放置在無線AP的相同網(wǎng)段。
5結(jié)束語
關(guān)鍵詞:3G;通信安全;防范與對策;網(wǎng)絡安全
截止目前,中國移動通信、中國聯(lián)合通信和中國電信三大通訊運營商同時展開3G業(yè)務,向全世界宣告了中國3G時代的到來。3G將無線通信與國際互聯(lián)網(wǎng)等多媒體通信結(jié)合起來,成為了新一代的移動通信系統(tǒng)。它功能強大,支持高速下載和視像通話,能夠處理復雜的音樂格式和流媒體等多種媒體形式,還能提供包括電視電話會議、電子商務政務等多種信息服務。在3G提供給人們更多的快捷和便利之時,同時也意味著3G所包含的信息資源的空前,這也預示著3G網(wǎng)絡的安全問題將會是最為迫切和緊急的問題。
一、3G網(wǎng)絡的主要結(jié)構(gòu):
1.CDMA 20001X operation system的網(wǎng)絡結(jié)構(gòu)
CDMA2000 1X是最符合移動通信系統(tǒng)的典型網(wǎng)絡結(jié)構(gòu), CDMA2000 IX網(wǎng)絡主要由MS、RN、NSS、OMS4個部分構(gòu)成:
MS即 移動臺:是用戶終端,是用戶接入無線網(wǎng)絡和使用各類應用服務的工具。
RN即 無線網(wǎng)絡:其能夠為移動用戶提供無線接入點服務,實現(xiàn)WTT(無線傳輸)到CTT(有線傳輸)的轉(zhuǎn)換。
NSS即 網(wǎng)絡交換系統(tǒng):為移動用戶提供以電路交換和分組交換技術(shù)為基礎的網(wǎng)際服務。
OMS即 操作維護系統(tǒng):能夠維護網(wǎng)絡設備同時提供網(wǎng)絡維護人員與網(wǎng)絡設備之間多人機接口。
2.UMTS系統(tǒng)的網(wǎng)絡結(jié)構(gòu)
UMTS系統(tǒng)主要業(yè)務是提供多媒體服務和高速網(wǎng)絡,其融合了TN(電話網(wǎng)絡)和CN(計算機網(wǎng)絡)的全新網(wǎng)絡形式;UMTS網(wǎng)絡必須要和其他電話網(wǎng)和計算機通信網(wǎng)之間進行通信才能夠?qū)崿F(xiàn)滿足用戶的需求。
二、3G系統(tǒng)面臨的安全問題:
3G網(wǎng)絡面臨的安全問題和以往的網(wǎng)絡有著本質(zhì)的不同,根據(jù)IS074982的定義,安全問題的產(chǎn)生主要有兩個方面的原因:1.系統(tǒng)和網(wǎng)絡本身設計上存在的缺陷,容易被人利用,造成數(shù)據(jù)的丟失;2.非法入侵和破壞的客觀存在,由于網(wǎng)絡中的巨大潛在利益驅(qū)使,很多的人利用互聯(lián)網(wǎng)進行入侵和信息竊取。就目前而言,3G網(wǎng)絡的主要安全問題還是IP網(wǎng)絡安全和以IP技術(shù)為基礎的技術(shù)應用。按照安全為題存在的物理位置的不同,我們暫且可以將3G通信的安全問題分為無線鏈路問題、服務網(wǎng)絡問題和移動終端問題三個大類。而具體問題的表現(xiàn)則為如下幾種形式:
(1)偽裝成網(wǎng)絡單元獲取用戶數(shù)據(jù)、信令數(shù)據(jù)及控制數(shù)據(jù),偽裝成終端欺騙網(wǎng)絡獲取資源服務。
(2)進行流量分析以獲取信息的時間、速率、長度、來源等信息
(3)否認業(yè)務費用、業(yè)務數(shù)據(jù)來源及發(fā)送或接收到的其他用戶的數(shù)據(jù),網(wǎng)絡單元否認提供的網(wǎng)絡服務。
(4)通過使網(wǎng)絡服務過載耗盡網(wǎng)絡資源,使合法用戶無法訪問。
(5)竊聽用戶數(shù)據(jù)、控制數(shù)據(jù)和信息數(shù)據(jù)以及數(shù)據(jù)包。
(6)破壞數(shù)據(jù)的完整性,對處于傳送過程中的數(shù)據(jù)包進行修改、編輯、刪除等操作。
(7)用戶濫用權(quán)限獲取對非授權(quán)服務的訪問。
(8) 在協(xié)議上干擾數(shù)據(jù)包在鏈路層的傳輸,以實現(xiàn)拒絕服務攻擊。
除此之外,在我國目前的通訊網(wǎng)絡方面的相關(guān)法律法規(guī)還不健全,管理模式尚不成熟,同時還缺乏有力的監(jiān)督機制。
三、針對3G網(wǎng)絡安全問題的主要對策:
3G網(wǎng)絡的安全邏輯結(jié)構(gòu),是目前最為主流的安全設計,一般而言,和一個WAN或者LAN一樣,網(wǎng)絡可以分為幾個層面:傳輸層(傳輸數(shù)據(jù)),服務層(提供主要的服務業(yè)務),應用層(提供特點的應用服務)。根據(jù)攻擊類型的不同,可以分成四個大類:
1.網(wǎng)絡接入安全2.用戶安全3.應用安全4.核心網(wǎng)安全
對網(wǎng)絡安全問題的主要解決辦法從兩個方面入手
(一) 技術(shù)層面上:
1. 路由器技術(shù):使用安全路由器,利用路由器訪問控制列表技術(shù)來控制網(wǎng)絡中的信息流問題。
2. VPN技術(shù):VPN能夠加密網(wǎng)絡數(shù)據(jù)并控制網(wǎng)絡中IP對節(jié)點的訪問,從而實現(xiàn)多個內(nèi)部網(wǎng)絡的互聯(lián)和協(xié)調(diào)。
3. IDS技術(shù):入侵檢測系統(tǒng)作為最普遍使用的保護機制,其效率高,操作方便,在信息系統(tǒng)管理中不可或缺。
4. SDB(安全數(shù)據(jù)庫)技術(shù):SDB技術(shù)目前為大多數(shù)ANTI-VIRUS廠商使用,它自身能夠快速適應網(wǎng)絡變化,保證數(shù)據(jù)完整性和安全性。
5. SOS(安全操作系統(tǒng))技術(shù):WWW協(xié)議、SMTP協(xié)議、FTP協(xié)議時目前網(wǎng)絡傳輸?shù)闹髁鲄f(xié)議,而這些協(xié)議也需要在一個安全穩(wěn)定的平臺中去運行,SOS技術(shù)能夠為各個網(wǎng)絡安全產(chǎn)品做好堅實的基礎。
6. 防火墻技術(shù):能夠有效阻止外網(wǎng)對內(nèi)部網(wǎng)絡的感染和攻擊的有力武器就是防火墻,這種防御為主的機制能夠高效的防止外界的入侵,阻斷各類攻擊,防患于未然。
(二) 管理層面上:
1. 建立健全通訊網(wǎng)絡管理機制,將責任問責制度推廣到其中來,對網(wǎng)站的運營商和服務供應商做好登記和備案。完善相關(guān)法律法規(guī),增強網(wǎng)絡安全問題的管理。
2. 建立3G高速通訊系統(tǒng)的安全模型:OSI模型和TCP/IP模型是主要適用于計算機網(wǎng)絡的模型,而通訊系統(tǒng)有其自身的特點和發(fā)展方向。因此,大力推廣IP技術(shù)和Adhoc技術(shù)才是實現(xiàn)3G網(wǎng)絡高效、安全的主要方式。
3. 完善3G安全運行的保障體系,包括地面服務器,網(wǎng)絡服務器,服務協(xié)議硬件配置,網(wǎng)絡覆蓋,結(jié)構(gòu)規(guī)劃等都能夠有序的運作。
結(jié)束語:
伴隨著3G的普及和發(fā)展,3G網(wǎng)絡安全問題正受到越來越多的關(guān)注,人們對移動通信中的信息安全也提出了更高的要求。在新形勢、新時代的背景下,網(wǎng)絡安全的研究與探討具有十分的前瞻性和現(xiàn)實意義。
參考文獻:
[1]鄧娟,蔣磊.3G網(wǎng)絡時代移動電子商務安全淺析[J].電腦知識與技術(shù),2009(06)
關(guān)鍵詞:TCP/IP協(xié)議;網(wǎng)絡安全;分析
TCP/IP協(xié)議是指一個允許不同軟硬件結(jié)構(gòu)計算機進行通信的協(xié)議族,是能將各個不同結(jié)構(gòu)計算機連接起來的主要技術(shù)平臺,也是實現(xiàn)計算機資源共享的技術(shù)支持。其中我們常說的Internet互聯(lián)網(wǎng)就是建立在協(xié)議之上的計算機信息技術(shù)。TCP/IP協(xié)議主要有包括四個層次,第一層是應用層,是實現(xiàn)使用者去訪問、去具體使用的平臺,比如說常用的后綴網(wǎng)址等;第二層是傳輸層,是將用戶使用平臺與計算機信息網(wǎng)內(nèi)部數(shù)據(jù)結(jié)合的通道,實現(xiàn)數(shù)據(jù)的傳輸與共享,有TCP、FTP等;第三層就是網(wǎng)絡層,是負責網(wǎng)絡中的數(shù)據(jù)包傳送,并提供鏈接導向以及相關(guān)的數(shù)據(jù)報服務等;最后一層是網(wǎng)絡訪問層,是網(wǎng)絡的接口層,也稱數(shù)據(jù)鏈路層,能處理不同通信媒介的相關(guān)信息細節(jié)問題,比如說常見的以太網(wǎng)、ARP等。基于TCP/IP協(xié)議上互聯(lián)網(wǎng)的信息傳輸范圍變得更廣泛,且傳輸?shù)膬?nèi)容來源更多,對傳輸對象以及輸送對象的信息安全要求降低,且多個端口使得數(shù)據(jù)信息被處理的步驟較多,不能對其保密性起到保障作用,TCP是使用一種介乎集中與動態(tài)分配之間的端口分配,端口也被分為保密與自由端口,這在一定程度上又大大增加了網(wǎng)絡信息安全風險。下面就幾個網(wǎng)絡安全的主要問題進行分析。
1基于TCP/IP協(xié)議分析的網(wǎng)絡安全問題
1.1應用程序?qū)拥腡CP/IP協(xié)議。首先在應用程序?qū)拥腡CP/IP協(xié)議,可能產(chǎn)生的網(wǎng)絡安全問題PTP的網(wǎng)絡接口接收到原本不屬于主機的數(shù)據(jù),通常使用在應用程序?qū)拥脑O計是一個共享的端口,由于特定類型的端口設計成本費用較高,因此在接收數(shù)據(jù)共享平臺很容易得到不屬于應用平臺的相關(guān)收據(jù),因此引入一些木馬病毒,導致里面的數(shù)據(jù),網(wǎng)絡安全問題。為此,我們可以在應用平臺設置特殊的加密文件,可以設置一個密碼特殊信息內(nèi)容可以允許接受和運輸,在完全接受所有信息的情況下,減少信息被惡意攻擊的風險。此外,網(wǎng)絡分割處理,應用平臺上設置更多的新聞發(fā)現(xiàn)信息渠道,一層一層過濾不符合安全信息,并沒有一個可靠的信息來源,從而減少網(wǎng)絡信息安全問題。1.2傳輸層TCP/IP協(xié)議。其次在傳輸層TCP/IP協(xié)議也有網(wǎng)絡安全問題的風險,例如在ICMP傳輸通道,ICMP是IP層的一部分,是在軟件和機器之間的傳輸和控制信息無連接協(xié)議。任何端口的計算機IP軟件發(fā)送一個PINGICMP文件,文件傳輸,申請是否可以允許ICMP將源主機對應的響應,這個命令可以檢測是否合法的消息?;旧纤袘贸绦驍?shù)據(jù)的傳輸層同意,軟件編程的主要原因不能智能識別惡意信息,在TCP/IP網(wǎng)絡和以太網(wǎng),常見防火墻和網(wǎng)絡安全防護系統(tǒng)通常是自動默認端,而忽視可能存在安全風險。1.3TCP/IP協(xié)議在網(wǎng)絡層。然后在TCP/IP協(xié)議在網(wǎng)絡層也有網(wǎng)絡安全的風險問題,主要表現(xiàn)為IP欺騙,因為TCP/IP協(xié)議的信任機制非常簡單和方便,所以很多的IP欺騙利用這一特點,利用虛假信息來假裝重要的數(shù)據(jù)信息。許多身份只有所有者的IP地址,這里篡改的IP地址可以攻擊主機數(shù)據(jù)管理中心。我們可以設置更多的IP地址來識別不同的檢查點,在確定正確后可以給IP流量,除了加強網(wǎng)絡防火墻的防護功能,網(wǎng)絡信息安全。1.4ARP欺騙的TCP/IP網(wǎng)絡層。最后,在TCP/IP協(xié)議和ARP欺騙的網(wǎng)絡層的網(wǎng)絡安全問題。主機IP數(shù)據(jù)包的過程中會有一個或多個主機使用網(wǎng)絡級別的第一層,和ARP源主機第一個查詢工具,在沒有找到對應的物理地址的IP地址將發(fā)送主機包含物理地址與IP地址的主機的信息。與此同時,源主機到目的主機將包含它自己的IP地址和ARP檢測應答。如果在ARP識別鏈接錯誤,直接應用到目標主機的可疑信息,如攜帶病毒,如果惡意攻擊使用ARP欺騙會導致網(wǎng)絡信息安全漏洞。為此,應加強其保護功能的ARP識別鏈接,建立更多的識別水平,不僅按照名稱作為主要依據(jù)識別IP,也指IP的相關(guān)屬性,等等。
2TCP/IP協(xié)議安全問題的防范
對于SYNFlood攻擊,目前還沒有完全有效的方法,但可以從以下幾個方面加以防范:(1)對系統(tǒng)設定相應的內(nèi)核參數(shù),使得系統(tǒng)強制對超時的SYN請求連接數(shù)據(jù)包的復位,同時通過縮短超時常數(shù)和加長等候隊列使得系統(tǒng)能迅速處理無效的SYN請求數(shù)據(jù)包。(2)建議在該網(wǎng)段的路由器上做些配置的調(diào)整,這些調(diào)整包括限制SYN半開數(shù)據(jù)包的流量和個數(shù)。(3)建議在路由器的前端TCP攔截,使得只有完成TCP三次過程的數(shù)據(jù)包才可以進入該網(wǎng)段,這樣可以有效的保護本網(wǎng)段內(nèi)的服務器不受此類攻擊。
3TCP/IP各層的安全性和提高各層安全性
網(wǎng)絡層的安全性;傳輸層的安全性;應用層的安全性。一般來說,在應用層提供安全服務有幾種可能的做法,一個是對每個應用(及應用協(xié)議)分別進行修改。一些重要的TCP/IP應用已經(jīng)這樣做了。在RFC1421至1424中,IETF規(guī)定了私用強化郵件(PEM)來為基于SMTP的電子郵件系統(tǒng)提供安全服務。Internet業(yè)界采納PEM的步子太慢的原因是PEM依賴于一個既存的、完全可操作的PKI(公鑰基礎結(jié)構(gòu))。建立一個符合PEM規(guī)范的PKI需要多方在一個共同點上達成信任。作為一個中間步驟,PhilZimmermann開發(fā)了一個軟件包,叫做PGP(PrettyGoodPrivacy)。PGP符合PEM的絕大多數(shù)規(guī)范,但不必要求PKI的存在。相反,它采用了分布式的信任模型,暨由每個用戶自己決定該信任哪些其他用戶。因此,PGP不是去推廣一個全局的PKI,而是讓用戶自己建立自己的信任之網(wǎng)。
4總結(jié)
最重要的是,在一些基于TCP/IP協(xié)議的網(wǎng)絡安全問題的分析和討論,我們了解到應用程序?qū)?、傳輸層、網(wǎng)絡層、傳輸層可能有幾個方面,如網(wǎng)絡安全風險。風險的主要原因是由于信任機制的協(xié)議設計相對簡單,審定的信息來源不到位,使大量的惡意內(nèi)容利用漏洞,導致很多軟件欺騙。在解決這些問題,因此,我們需要在網(wǎng)絡信息傳輸通道和信息識別單元和數(shù)據(jù)存儲信息鏈接中增加安全保護,增強警惕詐騙信息的意識,建立更多的保護環(huán)節(jié),避免之間信息傳輸?shù)目稍L問性。在未來,我們將繼續(xù)進一步探索相關(guān)結(jié)構(gòu)的網(wǎng)絡信息安全保護功能,提出更科學、有效的措施,加強我國網(wǎng)絡信息安全,促進我國網(wǎng)絡信息產(chǎn)業(yè)的發(fā)展。
作者:張帥亮 張向磊 馬鵬博 單位:河南科技學院
參考文獻:
[1]基于ARP數(shù)據(jù)包調(diào)度系統(tǒng)連接狀態(tài)檢測[J].電力系統(tǒng)自動化,2006.
[2]基于技術(shù)PVLAN針對ARP欺騙技術(shù)研究[J].計算機知識和技術(shù)(學術(shù)),2007.
[3]校園網(wǎng)的ARP欺騙攻擊和保護[J].福建計算機學報,2007.
1數(shù)據(jù)備份
所謂數(shù)據(jù)備份是指對重要數(shù)據(jù)進行定期備份,通過數(shù)據(jù)備份免除因信息存儲設備的物理損壞或者非法訪問信息造成的信息丟失和破壞,數(shù)據(jù)備份可以說是保證數(shù)據(jù)安全的重要舉措。數(shù)據(jù)備份的方式有兩種,分別是采用磁盤陣列、磁帶庫和建立備份記錄。采用磁盤陣列、磁帶庫進行備份主要是著眼于計算機系統(tǒng)自身的安全性而言的,采用磁盤陣列、磁帶庫進行備份旨在提高計算機系統(tǒng)自身的安全性以及可靠性,進而達到保護計算機數(shù)據(jù)安全的目的。建立備份記錄則是通過對備份的數(shù)據(jù)信息進行及時記錄,以此來防止因備份錯誤所導致的數(shù)據(jù)信息不安全問題。
2防病毒技術(shù)
所謂防病毒技術(shù)旨在通過對計算機系統(tǒng)進行定期查殺,以免除因病毒入侵給計算機系統(tǒng)自身安全所帶來的隱患,計算機病毒技術(shù)大致分為三部分,分別是:對計算機病毒進行預防、對計算機病毒進行檢測以及對計算機病毒進行查殺。從防病毒技術(shù)的發(fā)展歷程來看,大約經(jīng)歷了三個階段,第一階段是單機病毒第二階段是網(wǎng)絡病毒第三階段是網(wǎng)關(guān)病毒。透過計算機病毒防治手段可以看出,計算機病毒對計算機系統(tǒng)所造成的危害范圍呈現(xiàn)出不斷擴大的趨勢。計算機病毒歷經(jīng)數(shù)年的發(fā)展已從單一的單機病毒發(fā)展到可以威脅整個計算機網(wǎng)絡的病毒,因此對于計算機病毒的預防、檢測以及查殺手段也要不斷的進行更新,從而使之能夠適應新形勢下計算機病毒發(fā)展的實際需要。就目前網(wǎng)絡飛速的發(fā)展而言,使用網(wǎng)關(guān)病毒對計算機病毒進行預防、檢測以及查殺仍然是今后防病毒道路上不可或缺的一種防病毒手段。
3防火墻技術(shù)
防火墻技術(shù)是一種將內(nèi)部網(wǎng)絡和外部網(wǎng)絡分開的設備,是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的重要基礎設施,主要用于限制被保護的內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間進行的信息存取、信息傳遞等操作。就其結(jié)構(gòu)可以將防火墻分為軟件防火墻與硬件防火墻兩類。軟件防火墻主要用于個人用戶,在使用時一般將其直接安裝到用戶的電腦上,進而通過相應的設置來對計算機和網(wǎng)絡之間的信息交換進行控制,軟件防火墻的優(yōu)勢在于成本不高,但其功能也是相對有限的。目前常見的軟件防火墻主要有天網(wǎng)防火墻、卡巴斯基防火墻以及瑞星防火墻等。與軟件防火墻不同的是,硬件防火墻在使用時需要將其安裝到內(nèi)部網(wǎng)絡與外網(wǎng)交接處,硬件防火墻在企事業(yè)單位中使用最多,硬件防火墻的功能和軟件防火墻相比也更為強大,但其成本相對較高。
4加強計算機網(wǎng)絡訪問權(quán)限控制
訪問權(quán)限控制是指對合法用戶進行的對存儲信息的文件或數(shù)據(jù)操作權(quán)限控制,這種權(quán)限主要對信息資源的讀、寫、執(zhí)行等。信息存儲訪問權(quán)限控制主要采用以下方法,分別是:確定合法用戶對信息的訪問權(quán)限、定期檢查存儲信息的訪問權(quán)限和操作權(quán)限。
5加強網(wǎng)絡安全教育
[關(guān)鍵詞]WSN;網(wǎng)絡攻擊;應對措施
中圖分類號:TN929.5 文獻標識碼:A 文章編號:1009-914X(2016)19-0052-02
1.引言
無線傳感器網(wǎng)絡(WSN)是由一組傳感器以自組織、多跳方式構(gòu)成的無線網(wǎng)絡,它集傳感器技術(shù)、嵌入式計算技術(shù)、無線通信技術(shù)以及分布式信息處理技術(shù)于一體。隨著WSN網(wǎng)絡滲入到人們生活的各個領(lǐng)域,其安全問題也越來越受到人們的重視。
2.WSN易受到的攻擊
(1)物理層攻擊
物理層主要負責提供通路,在鏈接通路上傳輸二進制比特流。攻擊者最常采用擁塞攻擊、物理篡改等方式攻擊WSN。例如,發(fā)射無線干擾信號來攻擊網(wǎng)絡,此種攻擊方式對于采用單一頻率通信的WSN非常有效。
(2)鏈路層的攻擊
數(shù)據(jù)鏈路層或介質(zhì)訪問控制層為鄰居節(jié)點提供可靠的通信通道,在MAC協(xié)議中,節(jié)點通過監(jiān)測鄰居節(jié)點是否發(fā)送數(shù)據(jù)來確定自身是否能訪問通信信道。這種載波監(jiān)聽方式特別容易遭到碰撞沖突攻擊,攻擊者對數(shù)據(jù)進行破壞,就會造成接受者發(fā)送數(shù)據(jù)沖突的應答控制信號,造成發(fā)送者不斷重發(fā),繼而使阻塞,耗盡節(jié)點能量,達到攻擊目的。
(3)網(wǎng)絡層攻擊
網(wǎng)絡層常受到的攻擊主要是針對路由的,甚至會導致整個網(wǎng)絡癱瘓。常見的攻擊有虛假路由信息、選擇轉(zhuǎn)發(fā)、sinkhole攻擊、sybil攻擊、Woemholes攻擊、Hello攻擊等。例如,虛假路由信息主要是通過欺騙,更改和重發(fā)路由信息,攻擊者可以創(chuàng)建路由環(huán),吸引或者拒絕網(wǎng)絡信息流通量,延長或者縮短路由路徑,形成虛假的錯誤消息,分割網(wǎng)絡,增加端到端的時延。
(4)傳輸層攻擊
傳輸層主要用于建立端到端的連接,此層容易受到泛洪攻擊。
(5)應用層
應用層主要為WSN提供各種實際應用,應用層的研究主要集中在為整個WSN提供安全支持的研究。
3.安全應對措施
(1)對于物理層受到的擁塞攻擊可采用優(yōu)先級消息、低占空比、跳頻或擴頻技術(shù)等手段來防御。但會增加節(jié)點的耗能,目前采用較多以逸待勞的策略,例如給節(jié)點加入睡眠機制,即節(jié)點并不是同時工作,以此來降低攻擊的影響。
(2)對于數(shù)據(jù)鏈路層的碰撞攻擊,采用時分多路復用技術(shù)。此方法會對MAC的準入控制進行限速,自動忽略過多的網(wǎng)絡請求,以避免惡意節(jié)點無休止干擾導致能源耗盡。
(3)對于網(wǎng)絡層虛假路由攻擊,可以通過認證源路由的方式確認接受者收到的數(shù)據(jù)包是否來自網(wǎng)絡中的合法節(jié)點,從而達到保護網(wǎng)絡中合法節(jié)點的目的。
(4)對于傳輸層的攻擊,可以采用客戶端認證的方法加以抵御。
(5)對于應用層,密鑰管理和安全組播為整個WSN的安全機制提供安全基礎設施。例如,通常給傳感器節(jié)點加入預置密鑰,例如加入預置全局密鑰、預置節(jié)點對密鑰等,達到給網(wǎng)絡提供機密性的安全服務。
4.總結(jié)
本文淺析了網(wǎng)絡安全方面的相關(guān)知識,WSN的特點對網(wǎng)絡的安全與實現(xiàn)構(gòu)成了挑戰(zhàn)。若不具備可靠的安全保障,就不能得到用戶的信賴和推廣。網(wǎng)絡安全性研究對于網(wǎng)絡設計具有深遠意義。
參考文獻
[1] 徐力,李擁軍.無線傳感器網(wǎng)絡安全方案分析與設計,科技資訊,2008.
[2] 趙琴.淺談網(wǎng)絡的安全性研究,機械管理開發(fā),2008,23(1):89-90.
[3] 任偉.無線網(wǎng)絡安全問題初探,信息網(wǎng)絡安全,2012(1):10-13.
【關(guān)鍵詞】云計算;計算機網(wǎng)絡;安全問題;應對措施
引言
云計算的出現(xiàn)標志著計算機網(wǎng)絡的發(fā)展進入一個新的領(lǐng)域。云計算的應用在一定程度上滿足了用戶對計算機硬件以及軟件的要求,從而促進了網(wǎng)絡技術(shù)的進一步發(fā)展。然而,在應用云計算的過程中,由網(wǎng)絡資源共享所帶來的網(wǎng)絡安全在日益加深,使得我國萬羅性習受到嚴重威脅,需要相關(guān)技術(shù)人員加強對云計算環(huán)境下網(wǎng)絡安全問題的重視程度,通過全面探討,提出有效解決這些問題的應對措施,保障我國網(wǎng)絡信息化技術(shù)在云計算環(huán)境下得到長期穩(wěn)定的發(fā)展。
1.云計算的基本概念極其特征
狹義上的云計算指的是通過使用易擴展的方法獲取網(wǎng)絡資源,其支付和使用是建立在IT設施的基礎上的;而廣義上的云計算指的是通過擴展的方式在網(wǎng)絡上收索并獲取所需服務信息,在狹義云計算定義的基礎上,加入服務與相關(guān)軟件、互聯(lián)網(wǎng)或者其他任意服務之間的聯(lián)系定義,體現(xiàn)的是超大規(guī)模、虛擬化和安全可靠等特點[1]。一般,云計算具有如下幾方面特征:
第一,云計算系統(tǒng)具有超大的運行規(guī)模。本地計算機管理系統(tǒng)的運行規(guī)模十分復雜,而云計算管理系統(tǒng)的運行規(guī)模相較于本地計算機管理系統(tǒng)而言,其規(guī)模遠遠強于后者。大多數(shù)企業(yè)的云計算管理系統(tǒng)擁有成千上萬臺服務器,以確保企業(yè)資源信息的安全。
第二,云計算管理系統(tǒng)是一個虛擬化的系統(tǒng)。應用云計算管理系統(tǒng)的用戶可在任意終端的任意位置處獲取所需服務,用戶無需確定準確的云計算位置,只需要一個用戶終端即可實現(xiàn)用戶借助網(wǎng)絡獲取服務的需求。
第三,具有較高的安全可靠性。云計算采用的是數(shù)據(jù)多副本容錯以及網(wǎng)絡節(jié)點之間可進行互換同構(gòu)的分支,提高系統(tǒng)的安全可靠性。
第四,云計算管理系統(tǒng)還具有一定的通用性。不同的應用程序之間被允許在同一云計算中同時運行,并構(gòu)造出其他類型的應用。
第五,云計算提供按需服務。在云計算中可以實現(xiàn)按需購買等服務,只是需要像日常用水用電一樣付費處理,才能確保企業(yè)具有龐大的網(wǎng)絡資源池[2]。
2.云計算存在的計算機網(wǎng)絡安全問題
云計算管理系統(tǒng)促進了我國計算機網(wǎng)絡信息技術(shù)的發(fā)展。但由于網(wǎng)絡信息資源的共享性和開放性,使得云計算網(wǎng)絡安全受到威脅,主要體現(xiàn)在以下幾個方面。
2.1 網(wǎng)絡通信因素
網(wǎng)通通信因素對云計算網(wǎng)絡產(chǎn)生安全性威脅主要表現(xiàn)為當云計算網(wǎng)絡受到攻擊時,服務器會立即拒絕提供用戶服務,且在傳輸數(shù)據(jù)過程中容易遭受到安全性威脅。
首先,云計算環(huán)境下,當計算機網(wǎng)絡受到攻擊時,用戶的數(shù)據(jù)信息有可能會受到監(jiān)聽或竊取,使得用戶的基本信息受到安全性威脅。
其次,云計算環(huán)境下如果對用戶數(shù)據(jù)進行修改、刪除、增加等篡改處理,且沒有獲得權(quán)限,那么就有可能會造成用戶數(shù)據(jù)的損壞。
最后,拒絕服務攻擊方式。主要是運用云計算來處理瓶頸問題,當發(fā)送過量的通信請求給云計算服務器時,系統(tǒng)會自動拒絕正常服務請求,使得用戶的數(shù)據(jù)信息再次遭到破壞。
2.2 訪問控制因素
訪問控制因素對云計算網(wǎng)絡產(chǎn)生安全性威脅主要表現(xiàn)為借助非法手段獲取合法用戶的訪問權(quán)限,實現(xiàn)竊取數(shù)據(jù)信息的目的。首先,通過不斷非法攻擊合法用戶的第三方授權(quán)服務器,使得授權(quán)系統(tǒng)錯誤的將訪問權(quán)限授權(quán)給非法用戶,造成數(shù)據(jù)的泄露,由于系統(tǒng)的損壞,有可能會拒絕合法用戶的正常操作。其次,當合法授權(quán)用戶使用非法手段對用戶的數(shù)據(jù)進行修改、刪除或增加等篡改處理時,會造成用戶信息的泄露,嚴重影響用戶數(shù)據(jù)的安全性[3]。最后,推理通道。聰明的非法用戶利用自己的邏輯推理能力,使得自己能夠?qū)τ脩舻臄?shù)據(jù)進行越權(quán)操作處理,降低了用戶數(shù)據(jù)的安全性。
2.3 存儲因素
存儲因素對云計算網(wǎng)絡產(chǎn)生安全性威脅主要表現(xiàn)為云計算環(huán)境中數(shù)據(jù)的存儲容易受到威脅,使得用戶數(shù)據(jù)的保密性下降。首先,對數(shù)據(jù)存儲時并未做加密處理,使得當云計算網(wǎng)絡受到攻擊時,用戶數(shù)據(jù)的保密性會受到威脅,從而加大了信息泄露的風險。其次,攻擊者如果直接與存放數(shù)據(jù)的介質(zhì)相互接觸,那么就能直接對數(shù)據(jù)進行修改、刪除處理,甚至能夠竊取用戶信息,造成用戶數(shù)據(jù)的泄露,降低了用戶信息的保密性以及完整性。最后,缺乏健全的數(shù)據(jù)備份機制,使得當遭受到攻擊時,無法及時進行恢復數(shù)據(jù)處理,降低了用戶數(shù)據(jù)的可用性。
2.4 身份認證因素
身份認證威脅對云計算網(wǎng)絡產(chǎn)生安全性威脅主要表現(xiàn)為云計算環(huán)境下黑客通過攻擊系統(tǒng)的認證服務器,來竊取用戶信息,降低用戶數(shù)據(jù)的安全性。首先,攻擊者利用非法手段竊取合法用戶的相關(guān)認證信息,并將信息泄露,使得用戶數(shù)據(jù)失去安全保護。其次,通過攻擊第三方認證服務器,達到竊取用戶認證信息的目的,也使得用戶數(shù)據(jù)的安全遭受到威脅。最后,某些用戶在使用非法手段完成相關(guān)操作后,不想對其非法操作行為負責,而采取身份認證抵賴,使得自身的數(shù)據(jù)信息難以受到保護。
【關(guān)鍵詞】高校校園網(wǎng)絡安全;具體問題;治理路徑
1認識高校校園網(wǎng)絡安全的重要意義
計算機技術(shù)的迅猛發(fā)展,使得人們從利用簡單的內(nèi)部網(wǎng)絡聯(lián)機處理業(yè)務發(fā)展到利用互聯(lián)網(wǎng)計算機處理系統(tǒng)進行數(shù)據(jù)處理和資源共享,互聯(lián)網(wǎng)成為了人們生產(chǎn)生活所必備的工具。通過互聯(lián)網(wǎng)絡平臺,人們可以進行自由交流,建立各種社會關(guān)系。同時,網(wǎng)絡也成為社會生產(chǎn)總過程中生產(chǎn)、分配、交換、消費的重要媒介。時至今日,我國網(wǎng)民數(shù)量已經(jīng)躍居世界第一?;ヂ?lián)網(wǎng)的迅速發(fā)展使高等教育在信息化基礎設施、資源建設、信息化應用、人才培養(yǎng)、管理體制等方面均發(fā)生了歷史性變革,高校運用互聯(lián)網(wǎng)進行教務管理,搭建教師服務器輔助教學,利用網(wǎng)絡的協(xié)作學習平臺輔助教學,彌補課堂教學不足。但與之相伴隨而來的卻是校園網(wǎng)絡安全問題。近年來,大學校園電信主干網(wǎng)絡不斷遭受到病毒入侵、黑客攻擊等威脅,導致校園網(wǎng)速過慢或者甚至造成了整個網(wǎng)絡的癱瘓,嚴重影響著學校辦公系統(tǒng)、學生的正常學習。高校校園網(wǎng)絡安全是指校園網(wǎng)絡系統(tǒng)硬件、軟件及系統(tǒng)數(shù)據(jù)受到保護而不因偶然的或者惡意的原因遭到破壞、更改、泄露,系統(tǒng)可正常運行,網(wǎng)絡服務不中斷。目前高校校園網(wǎng)絡存在的安全隱患主要有:第一,通信協(xié)議不安全。Internet數(shù)據(jù)傳輸基于TCP/IP通信協(xié)議進行,難以避免通信協(xié)議被竊取;第二,病毒感染并傳播。病毒能使網(wǎng)絡癱瘓、數(shù)據(jù)和文件丟失,在網(wǎng)絡上傳播的病毒通過公共匿名FTP文件傳送能夠使病毒附加彌漫;第三,傳遞偽信息。通過網(wǎng)絡傳播信息,信息的內(nèi)容有可能被篡改。因為信息的來源和去向是否真實,內(nèi)容是否被改動,以及是否泄露等無法用傳統(tǒng)的保護手段來運行;第四,系統(tǒng)配置問題。系統(tǒng)的安全配置不當會導致安全漏洞。例如防火墻軟件的配置不正確。因此,重視高校校園網(wǎng)絡安全,強化治理措施有著重要的意義。
2高校校園網(wǎng)絡安全存在的具體問題
高校校園網(wǎng)絡安全存在的具體問題具有一般網(wǎng)絡安全的共性,如網(wǎng)絡系統(tǒng)安全即計算機和網(wǎng)絡本身存在的安全問題;網(wǎng)絡信息安全即信息在網(wǎng)絡的傳遞過程中面臨的信息被竊取、信息被篡改、信息被假冒和信息被惡意破壞等問題;網(wǎng)絡交易安全即商品交易過程中存在的交易主體真實性、資金的被盜用、合同的法律效應、交易行為被抵賴等問題,這些問題在高校校園網(wǎng)絡運用過程中時常發(fā)生。另外,高校校園網(wǎng)絡安全還具有獨特性,主要表現(xiàn)為:第一,網(wǎng)絡病毒肆虐。高校行政人員、教師和學生收發(fā)電子郵件、瀏覽網(wǎng)頁、使用U盤等移動存儲設備網(wǎng)絡的頻率較社會其他人員高很多,而網(wǎng)絡病毒編造者很容易讓使用者下載、傳播病毒,導致網(wǎng)絡病毒肆虐,嚴重影響校園網(wǎng)絡正常運行。第二,終端系統(tǒng)漏洞。不法分子通過網(wǎng)絡植入木馬、病毒等方式攻擊或控制電腦,竊取電腦中的重要資料和信息,甚至破壞系統(tǒng)。第三,網(wǎng)絡安全設施配備不足。大多數(shù)高校網(wǎng)絡建設經(jīng)費嚴重不足,所撥的有限經(jīng)費也是投在基本的網(wǎng)絡設備上,網(wǎng)絡安全建設方面投入很少,所以高校校園網(wǎng)幾乎處于開放狀態(tài),安全預警和防范措施沒有跟上,致使校園網(wǎng)屢受攻擊。第四,網(wǎng)管缺位。高校網(wǎng)絡管理松散,制度松弛,社會閑雜人員趁機誘騙學生,借用學生證件混入機房,盜用他人賬號進行不法活動。第五,網(wǎng)管人員安全意識淡薄。網(wǎng)管人員只是注重設備的日常護理和簡單防范,多數(shù)不精于技術(shù)的學習和研究,對于技術(shù)性強的問題束手無策,因此導致網(wǎng)絡管理出現(xiàn)管而不理的局面。
3高校校園網(wǎng)絡安全治理的路徑
網(wǎng)絡技術(shù)是運行的硬件,網(wǎng)絡管理是運行的軟件,高校校園網(wǎng)絡安全治理必須從技術(shù)和管理兩方面入手,提高技術(shù)防范能力,加強制度管理。
3.1提高高校校園網(wǎng)絡技術(shù)治理
(1)強化防火墻。防火墻技術(shù)是通過加強網(wǎng)絡之間訪問,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡訪問內(nèi)部網(wǎng)絡資源,保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。主要是通過對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡之間的通信是否被允許,并監(jiān)視網(wǎng)絡運行狀態(tài)[1]。其技術(shù)運用是在校園網(wǎng)的入口處架設防火墻,實時對校園網(wǎng)絡進行監(jiān)測分析,將檢測結(jié)果告知管理人員,有效保護內(nèi)部網(wǎng)絡遭受外部攻擊。(2)安裝殺毒軟件。高校校園網(wǎng)絡使用十分普遍,網(wǎng)絡節(jié)點日益增多,多數(shù)節(jié)點未采取安全措施,部分用戶也只是私自下載不同版本的殺毒軟件,很容易造成病毒感染及傳播,網(wǎng)絡管理員必須安裝適應的殺毒軟件并須及時有效地升級、掃描系統(tǒng)。(3)數(shù)據(jù)加密。通過數(shù)據(jù)加密提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破壞。特別是高校的教務處、財務處等重要部門,必須采用相應的技術(shù)以保證數(shù)據(jù)的準確性、完整性。(4)訪問控制。對用戶訪問網(wǎng)絡資源權(quán)限進行嚴格認證和控制。如學生上網(wǎng)查詢課程成績需進行身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的權(quán)限,控制網(wǎng)絡設備配置的權(quán)限等,是校園的網(wǎng)絡資源不會被未授權(quán)的非法用戶使用和訪問。(5)認證技術(shù)。用電子手段證明發(fā)送者和接收者身份及文件的完整性,確認雙方身份信息在傳送或存儲過程中未被篡改過。
3.2加強高校校園網(wǎng)絡規(guī)范管理
(1)規(guī)范出口管理。對原有網(wǎng)絡設施、機房環(huán)境、報警系統(tǒng)等管理制度進行升級改造,對校園教職工、學生進出網(wǎng)絡進行統(tǒng)一的管理。(2)強化網(wǎng)絡軟件安裝管理。要求所有計算機設備安裝高性能防火墻、合適的殺毒軟件,管理人員要及時發(fā)現(xiàn)網(wǎng)絡病毒入侵,及時向所有計算機用戶相關(guān)信息。(3)建立統(tǒng)一身份認證系統(tǒng)。要求高校管理機構(gòu)、教學機構(gòu)、教輔機構(gòu)及其他部門建立上網(wǎng)身份認證制度,各部門必須有統(tǒng)一、對應的身份認證系統(tǒng),保證只允許本部門職工才能查看各自對應的相關(guān)信息。(4)加強上網(wǎng)場所監(jiān)管。建立嚴格的上網(wǎng)場所制度,要求教職工、學生使用統(tǒng)一的管理軟件、統(tǒng)一的身份認證系統(tǒng)進行上網(wǎng),杜絕了非法用戶的入侵。(5)規(guī)范電子郵件傳遞方式。要求電子郵件用戶采用加密措施或簡單加密傳送文件或采用認證技術(shù)中的數(shù)字簽名機制來解決偽造、抵賴、冒充、篡改等問題。(6)加強網(wǎng)絡管理人才隊伍建設。加強網(wǎng)絡管理人員技能培訓,及時拓展專業(yè)技能,提高網(wǎng)絡管理能力。
【參考文獻】