前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的常見的網(wǎng)絡(luò)安全措施主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:無線網(wǎng)絡(luò) 安全 防范措施
隨著信息化技術(shù)的飛速發(fā)展,很多網(wǎng)絡(luò)都開始實現(xiàn)無線網(wǎng)絡(luò)的覆蓋以此來實現(xiàn)信息電子化交換和資源共享。無線網(wǎng)絡(luò)和無線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質(zhì)量,為很多的用戶提供了便捷和子偶的網(wǎng)絡(luò)服務(wù),但同時也由于無線網(wǎng)絡(luò)本身的特點造成了安全上的隱患。具體的說來,就是無線介質(zhì)信號由于其傳播的開放性設(shè)計,使得其在傳輸?shù)倪^程中很難對傳輸介質(zhì)實施有效的保護從而造成傳輸信號有可能被他人截獲,被不法之徒利用其漏洞來攻擊網(wǎng)絡(luò)。因此,如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計的時候為無線網(wǎng)絡(luò)信號和無線局域網(wǎng)實施有效的安全保護機制就成為了當(dāng)前無線網(wǎng)絡(luò)面臨的重大課題。
一、無線網(wǎng)絡(luò)的安全隱患分析
無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術(shù)來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實施信息傳輸和聯(lián)系。對比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡(luò)的構(gòu)建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?但同時,也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機制來保護信息傳輸?shù)陌踩?換句話無線網(wǎng)絡(luò)的安全保護措施難度原因大于有線網(wǎng)絡(luò)。
IT技術(shù)人員在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中面臨兩大問題:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段,技術(shù)人員可以通過部署防火墻硬件安全設(shè)備來構(gòu)建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無線網(wǎng)絡(luò)具有接入方便的特點,使得我們原先耗資部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過,成為形同虛設(shè)的“馬奇諾防線”。
針對無線網(wǎng)絡(luò)的主要安全威脅有如下一些:
1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)傳輸可導(dǎo)致機密敏感數(shù)據(jù)泄漏、未加保護的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗的入侵者手機有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進行社會工程學(xué)攻擊的一系列商信息。
2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計算機通過偽造網(wǎng)關(guān)等途徑來截獲甚至修改兩個合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。
二、常見的無線網(wǎng)絡(luò)安全措施
綜合上述針對無線網(wǎng)絡(luò)的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關(guān)”是我們保障企業(yè)無線網(wǎng)絡(luò)安全性的最直接的舉措。目前的無線網(wǎng)絡(luò)安全措施基本都是在接入關(guān)對入侵者設(shè)防,常見的安全措施有以下各種。
1.MAC地址過濾
MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設(shè)置。
2.隱藏SSID
SSID(Service Set Identifier,服務(wù)標(biāo)識符)是用來區(qū)分不同的網(wǎng)絡(luò),其作用類似于有線網(wǎng)絡(luò)中的VLAN,計算機接入某一個SSID的網(wǎng)絡(luò)后就不能直接與另一個SSID的網(wǎng)絡(luò)進行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識。一個SSID最多有32個字符構(gòu)成,無線終端接入無線網(wǎng)路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實際存在的無線網(wǎng)絡(luò),即便他知道有一個無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個網(wǎng)絡(luò)中去的。
三、無線網(wǎng)絡(luò)安全措施的選擇
應(yīng)用的方便性與安全性之間永遠(yuǎn)是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網(wǎng)絡(luò)的應(yīng)用中,我們不能不考慮應(yīng)用的方便性。因此,我們在對無線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。
在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實意義。來訪用戶所關(guān)心的是方便和快捷,對安全性的要求不高。強制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測設(shè)備進行主動防御,也是進一步加強無線網(wǎng)絡(luò)安全性的有效手段。
最后,任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網(wǎng)絡(luò)安全意識,才能真正實現(xiàn)無線網(wǎng)絡(luò)的安全。否則,黑客或攻擊者的一次簡單的社會工程學(xué)攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)。
現(xiàn)在,不少企業(yè)和組織都已經(jīng)實現(xiàn)了整個的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時,因為對無線網(wǎng)絡(luò)的安全不夠重視,對局域網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時,也造成了一定的影響和破壞。做好無線網(wǎng)絡(luò)的安全管理工作,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗證,是當(dāng)前組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對接,確保無線網(wǎng)絡(luò)的高安全性,提高企業(yè)的信息化的水平。
參考文獻:
[1]譚潤芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技,2008,37(6):24-26.
【關(guān)鍵詞】操作系統(tǒng) 電子商務(wù) 密碼安全 病毒 防火墻
一、網(wǎng)絡(luò)安全技術(shù)體現(xiàn)的具體方面
(一)什么是網(wǎng)絡(luò)安全
可能有人會對什么是網(wǎng)絡(luò)安全不以為然,認(rèn)為所謂的網(wǎng)絡(luò)安全,就是在使用網(wǎng)絡(luò)中保證安全。這樣等于沒有解釋什么是網(wǎng)絡(luò)安全,而且只有弄清楚怎樣的環(huán)境才算是安全的網(wǎng)絡(luò),才能有的放矢,使用網(wǎng)絡(luò)技術(shù)去防范網(wǎng)絡(luò)犯罪,從而真正實現(xiàn)的網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全包含多個層面含義,是要讓用戶在網(wǎng)絡(luò)環(huán)境中能夠正常的傳輸數(shù)據(jù)信息,保證傳輸過程正常運行,不被認(rèn)為或者自然的因素所影響。網(wǎng)絡(luò)安全既要保證網(wǎng)絡(luò)中軟件的安全更要保證網(wǎng)絡(luò)中硬件設(shè)備正常工作不被損壞。這是理論上的網(wǎng)絡(luò)安全環(huán)境,不可能完全避免認(rèn)為和自然環(huán)境因素的影響,但是只要我們正確的認(rèn)識網(wǎng)絡(luò)安全的重要,合理使用網(wǎng)絡(luò)安全技術(shù),就能使得你的生活和工作的網(wǎng)絡(luò)環(huán)境避免收到侵害。
(二)網(wǎng)絡(luò)安全常見的體現(xiàn):
網(wǎng)絡(luò)安全技術(shù)的應(yīng)用越來越趨于完善,各個方面人們都已經(jīng)使用或者正在嘗試使用網(wǎng)絡(luò)安全技術(shù),最大程度的降低網(wǎng)絡(luò)犯罪所帶來的威脅。這里主要介紹幾個常見的網(wǎng)絡(luò)安全技術(shù)。首先,對于信息的傳送,我們使用了加密技術(shù),這屬于計算機中密碼學(xué)的范疇。包括聊天信息的加密解密,個人帳戶隱私的加密,密碼的多重加密等等,不一而足。主要應(yīng)用的領(lǐng)域主要在電子商務(wù)的財務(wù)往來和信息溝通軟件的保密方面(如騰訊QQ)。其次,主要是體現(xiàn)在殺毒軟件和防火墻兩方面。這兩種網(wǎng)絡(luò)安全技術(shù)針對性比較強,主要是針對來自網(wǎng)絡(luò)的病毒攻擊和一些非法的侵入行為。其實從原理角度講,殺毒軟件和防火墻并不相同,差異很大。殺毒軟件主要是針對進入到網(wǎng)絡(luò)的終端(計算機)中的病毒,進行查找與殺滅。讓病毒不能夠正常的復(fù)制、觸發(fā),不能實現(xiàn)危害計算機危害網(wǎng)絡(luò)的目的。而防火墻則如同守衛(wèi)大門的衛(wèi)士,利用柵欄阻攔不受信賴的訪客,讓危險信息無法傳送到內(nèi)網(wǎng)。但兩者也有相同的目的,就是共同組織危險者的破壞行為。再進一步說,網(wǎng)站是人們關(guān)注信息的平臺和媒介。哪么建立網(wǎng)站的服務(wù)器的安全性保障要跟高。這就要從操作系統(tǒng)抓起,合理選用自身性能更加安全的操作系統(tǒng),進行操作系統(tǒng)安全設(shè)置,從根本上保證安全性進一步提高。
二、網(wǎng)絡(luò)安全技術(shù)的具體應(yīng)用
(一)密碼學(xué):
在電子商務(wù)和信息傳送中常常使用,利用的是密碼學(xué)的知識。但要實現(xiàn)具體應(yīng)用就要以技術(shù)形式體現(xiàn)?,F(xiàn)在常用的加密技術(shù)有MD5技術(shù)、數(shù)字簽名技術(shù)、RSA、DESA算法相關(guān)技術(shù)等。這些是以使用較多為介紹,不是以具體標(biāo)準(zhǔn)進行分類的。比如在實現(xiàn)不可逆的軟件加密或者計算機應(yīng)用工具機密,MD5技術(shù)就有較多的使用。在電子商務(wù)中數(shù)字簽名技術(shù)更方便的保障了買方和賣方的共同利益,防止資金支付抵賴。
(二)防火墻應(yīng)用:
防火墻已經(jīng)介紹了,如同門衛(wèi)一般,保障用戶和用戶間內(nèi)網(wǎng)的安全。但從原理來說,其實防火墻歷經(jīng)了幾個不同的階段,從早期利用數(shù)據(jù)包格式進行安全判定,到進一步電路級網(wǎng)關(guān)安全判定,再到應(yīng)用層使用的安全判定。網(wǎng)絡(luò)安全性能一路攀升。但是不可否認(rèn)的是,安全性能的攀升也付出了大量計算大量判定與時間的代價。從這些原理出發(fā),廠商也制作了不同原理的防火墻。成熟產(chǎn)品也日益增多,如果在公共場合使用的網(wǎng)絡(luò)終端,都最好配置一款防火墻產(chǎn)品。現(xiàn)在比較流行的有天網(wǎng)防火墻、安氏領(lǐng)信,聯(lián)想網(wǎng)御,天融信等。當(dāng)然還有很多國外防火墻產(chǎn)品性能也很優(yōu)越。這里不再贅述。
(三)操作系統(tǒng)安全應(yīng)用
WINDOWS已經(jīng)是人們使用最多的操作系統(tǒng),但是有的操作系統(tǒng)只適合個人用戶,對于服務(wù)器級的安全是不夠的。當(dāng)然也不乏幾款操作系統(tǒng)是針對安全性設(shè)計的。因為微軟的操作系統(tǒng)人們研究已經(jīng)較多,這里討論下LIUNX平臺下安卓系統(tǒng)的安全。Android系統(tǒng)作一個安全開源的移動平臺,在系統(tǒng)內(nèi)核層次與應(yīng)用開發(fā)方面都提供了強大的安全措施。在系統(tǒng)內(nèi)核層次,應(yīng)用沙盒可以實現(xiàn)應(yīng)用之間的隔離,防止一個應(yīng)用的數(shù)據(jù)和代碼被其它沒有授權(quán)的應(yīng)用存??;隨著系統(tǒng)版本的升級,內(nèi)存管理功能隨之豐富;加密的文件系統(tǒng)可以保護丟失設(shè)備上的數(shù)據(jù)不被泄漏。在應(yīng)用開發(fā)方面同,采用加密、授權(quán)和安全IPC等措施構(gòu)建的應(yīng)用程序框架具有強大的安全特性;授權(quán)模式可以限制應(yīng)用對系統(tǒng)功能和用戶數(shù)據(jù)的存??;應(yīng)用指定的權(quán)限級別可以控制其它應(yīng)用對自己的訪問;數(shù)字簽名保證了程序開發(fā)者與應(yīng)用之間的信任關(guān)系。Android在安全性設(shè)計方面還考慮了盡量減少應(yīng)用開發(fā)人員的負(fù)擔(dān)問題。針對安全性要求高的開發(fā)者通過平臺提供的靈活的安全控制機制可以輕松開發(fā)應(yīng)用程序。針對安全性要求不高的開發(fā)者,系統(tǒng)默認(rèn)的安全措施也能夠?qū)?yīng)用程序提供較好的保護。對于可能存在的惡意攻擊,系統(tǒng)提供了防范機制,一方面降低攻擊成功的概率,另一方面盡量限制攻擊后系統(tǒng)所受損失。
參考文獻:
[1]高學(xué)軍,凌捷.網(wǎng)絡(luò)安全現(xiàn)狀與趨勢探討[J].汕頭大學(xué)學(xué)報(自然科學(xué)版).2004(04).
[2]禹春東,薛質(zhì).淺析入侵檢測系統(tǒng)[J].中國科技信息.2005(24).
[3]葉宇光.淺談網(wǎng)絡(luò)安全[J].電腦知識與技術(shù).2004(32).
[4]劉明,韓江.網(wǎng)絡(luò)安全現(xiàn)狀及其防范技術(shù)探討[J].科技信息.2006(S2).
關(guān)鍵詞:計算機網(wǎng)絡(luò);安全
隨著計算機科學(xué)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)體系日漸強大,對社會發(fā)展起到了重要的作用。由于計算機網(wǎng)絡(luò)具有互通性、獨立性和廣泛性的特點,無論是在局域網(wǎng)還是在廣域網(wǎng)中,都存在著自然和人為等諸多因素的潛在威脅,黑客攻擊、病毒擴散、網(wǎng)絡(luò)犯罪的數(shù)量迅速增長,網(wǎng)絡(luò)的安全問題日趨嚴(yán)峻。因此,如何提高網(wǎng)絡(luò)安全,確保網(wǎng)絡(luò)安全有效運行,已成為目前迫切需要解決的問題。
一、計算機網(wǎng)絡(luò)安全的重要性分析
網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。在信息化飛速發(fā)展的今天,計算機網(wǎng)絡(luò)得到了廣泛應(yīng)用,但計算機用戶上網(wǎng)的數(shù)據(jù)也遭到了不同程度的攻擊和破壞。在我國,每年針對銀行、證券等金融領(lǐng)域的計算機系統(tǒng)的安全題目所造成的經(jīng)濟損失金額已高達數(shù)億元,針對其他行業(yè)的網(wǎng)絡(luò)安全威脅也時有發(fā)生。可見,無論是有意的攻擊,還是無意的誤操縱,其產(chǎn)生的安全問題都將會給計算機用戶帶來不可估量的損失。所以計算機網(wǎng)絡(luò)必須有足夠強的安全措施,以確保網(wǎng)絡(luò)信息的保密性,完整性和可用性。
二、網(wǎng)絡(luò)安全常見威脅
1.計算機病毒
計算機病毒指在計算機程序中插入的破壞計算機功能和數(shù)據(jù)、影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經(jīng)常表現(xiàn)為:藍(lán)屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等,并且在短時間內(nèi)傳播從而導(dǎo)致大量的計算機系統(tǒng)癱瘓,對企業(yè)或者個人造成重大的經(jīng)濟損失。
2.非授權(quán)訪問
指利用編寫和調(diào)試計算機程序侵入到他方內(nèi)部網(wǎng)或?qū)S镁W(wǎng),獲得非法或未授權(quán)的網(wǎng)絡(luò)或文件訪問的行為。如有意避開系統(tǒng)訪問控制機制,對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用,或擅自擴大權(quán)限,越權(quán)訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。
3.木馬程序和后門
木馬程序和后門是一種可以通過遠(yuǎn)程控制別人計算機的程序,具有隱蔽性和非授權(quán)性的特點。企業(yè)的某臺計算機被安裝了木馬程序或后門后,該程序可能會竊取用戶信息,包括用戶輸入的各種密碼,并將這些信息發(fā)送出去,或者使得黑客可以通過網(wǎng)絡(luò)遠(yuǎn)程操控這臺計算機,竊取計算機中的用戶信息和文件,更為嚴(yán)重的是通過該臺計算機操控整個企業(yè)的網(wǎng)絡(luò)系統(tǒng),使整個網(wǎng)絡(luò)系統(tǒng)都暴露在黑客間諜的眼前。
三、加強計算機網(wǎng)絡(luò)安全的防范對策
1.配置防火墻網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是最先受人們重視的網(wǎng)絡(luò)安全技術(shù)。防火墻產(chǎn)品最難評估的是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部進侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判定,即使安裝好了防火墻,假如沒有實際的外部進侵,也無從得知產(chǎn)品性能的優(yōu)劣。但在實際應(yīng)用中檢測安全產(chǎn)品的性能是極為危險的,所以用戶在選擇防火墻產(chǎn)品時,應(yīng)該盡量選擇占市場份額較大同時又通過了權(quán)威認(rèn)證機構(gòu)認(rèn)證測試的
產(chǎn)品。
2.網(wǎng)絡(luò)病毒的防范在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,因此,針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,定期或不定期地自動升級,最大程度上使網(wǎng)絡(luò)免受病毒的侵襲。對于已感染病毒的計算機采取更換病毒防護軟件,斷網(wǎng)等技術(shù)措施,及時安裝針對性的殺毒軟件清理病毒,以保證系統(tǒng)的正常運行。
3.系統(tǒng)漏洞修補Windows操縱系統(tǒng)自以后,基本每月微軟都會安全更新和重要更新的補丁,已經(jīng)的補丁修補了很多高風(fēng)險的漏洞,一臺未及時更新補丁的計算機在一定程度上可以說是基本不設(shè)防的,因此建立補丁治理系統(tǒng)并分發(fā)補丁是非常重要的安全措施,可以對系統(tǒng)軟件進行修補從而最大限度減少漏洞,降低了病毒利用漏洞的可能,減少安全隱患。
4.使用進侵檢測系統(tǒng)進侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱門,是一種積極主動的安全防護技術(shù),提供了對內(nèi)部進侵、外部進侵和誤操縱的實時保護。進侵檢測系統(tǒng)(Instusion Detection System,簡稱IDS)是進行進侵檢測的軟件與硬件的組合,其主要功能是檢測,除此之外還有檢測部分阻止不了的進侵;檢測進侵的前兆,從而加以處理,如阻止、封閉等;進侵事件的回檔,從而提供法律依據(jù);網(wǎng)絡(luò)遭受威脅程度的評估和進侵事件的恢復(fù)等功能。采用進侵檢測系統(tǒng),能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)進侵,對主機和網(wǎng)絡(luò)進行監(jiān)測和預(yù)警,進一步進步網(wǎng)絡(luò)防御外來攻擊的能力。
5.身份認(rèn)證是提高網(wǎng)絡(luò)安全的主要措施之一。其主要目的是證實被認(rèn)證對象是否屬實,常被用于通信雙方相互確認(rèn)身份,以保證通信的安全。常用的網(wǎng)絡(luò)身份認(rèn)證技術(shù)有: 靜態(tài)密碼、USB Key 和動態(tài)口令、智能卡牌等。其中,最常見的使用是用戶名加靜態(tài)密碼的方式。而在本方案中主要采用USB Key的方式?;赨SB Key 的身份認(rèn)證方式采用軟硬件相結(jié)合,很好地解決了安全性與易用性之間的矛盾,利用USB Key 內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。USB Key 身份認(rèn)證系統(tǒng)主要有2 種應(yīng)用模式: 一是基于沖擊、響應(yīng)的認(rèn)證模式; 二是基于PKI 體系的認(rèn)證模式。
總之,計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用,開創(chuàng)了計算機應(yīng)用的新局面,對社會發(fā)展起到了重要的作用。與此同時,其互通性和廣泛性的特點也導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計算機系統(tǒng)存在諸多安全問題,并且愈演愈烈。為了解決這些安全問題,我們必須加強計算機的安全防護,提高網(wǎng)絡(luò)安全,以保障網(wǎng)絡(luò)安全有效運行,更好的為社會和人民服務(wù)。
參考文獻:
[1] 殷偉.計算機安全與病毒防治[M].合肥:安徽科學(xué)技術(shù)出版社。2004.
[關(guān)鍵詞]計算機;網(wǎng)絡(luò);安全;必要性
中圖分類號:TN943.6 文獻標(biāo)識碼:A 文章編號:1009-914X(2016)27-0201-01
前言:由于計算機網(wǎng)絡(luò)具有聯(lián)絡(luò)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征,致使網(wǎng)絡(luò)易受黑客、惡意軟件等攻擊,所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。故此,網(wǎng)絡(luò)的安全措施應(yīng)是能全方位的排除各種不同的威脅,這樣才能確保網(wǎng)絡(luò)信息的保密性、安全性。
一、計算機網(wǎng)絡(luò)安全
計算機網(wǎng)絡(luò)安全是一個涉及多專業(yè)的綜合性的學(xué)術(shù)研究問題,涵蓋物理、系統(tǒng)、信息安全等方面,涉及到計算機網(wǎng)絡(luò)、計算機科學(xué)、通信與加密等多門學(xué)科。目前計算機網(wǎng)絡(luò)安全的需求主要包括:
1、安全制度可用性
由計算機病毒或者其他人為原因所可能造成的信息被濫用、拒絕服務(wù)等情況。
2、完整性與非否認(rèn)性
在網(wǎng)絡(luò)的虛擬環(huán)境中所確認(rèn)信息的真實性,以及真實的發(fā)送者與接受者、確保在信息傳輸?shù)倪^程中未被偽造、篡改等。
3、保密性與可控性
在網(wǎng)絡(luò)上與接受信息,往往會涉及到隱私問題。同時,所有的網(wǎng)絡(luò)應(yīng)用環(huán)境也保護個人的隱私。
二、計算機網(wǎng)絡(luò)安全管理的必要性
從計算機網(wǎng)絡(luò)安全管理的含義我們不難得出,如果網(wǎng)絡(luò)安全中有任何一個安全部分受到威脅或者是發(fā)生故障,都會給正在使用計算機系統(tǒng)的人員帶來麻煩或者造成一系列的損失,因此,做好計算機網(wǎng)絡(luò)安全管理工作,便是在為眾多計算機使用者提供一個最基本的安全環(huán)境。
三、常用網(wǎng)絡(luò)安全技術(shù)
1、防火墻技術(shù)
防火墻技術(shù)是最常見的訪問控制技術(shù),能夠有效防護內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的攻擊,輕松實現(xiàn)隔絕非法信息資源的訪問,實現(xiàn)對特殊站點的訪問控制,實現(xiàn)對易受攻擊對象的保護,實現(xiàn)對網(wǎng)絡(luò)訪問的審計。一般說來,防火墻技術(shù)主要有包過濾技術(shù)和技術(shù)兩種,這兩種技術(shù)各有優(yōu)劣,靈活使用,防護效果很好。
2、網(wǎng)絡(luò)安全掃描技術(shù)
使用網(wǎng)絡(luò)安全掃描技術(shù),系統(tǒng)管理員能夠準(zhǔn)確掌握計算機網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,及時采取措施,有效規(guī)避系統(tǒng)安全風(fēng)險。一般來說,Web站點安全漏洞、防火墻系統(tǒng)安全漏洞、局域網(wǎng)網(wǎng)絡(luò)安全漏洞以及主機操作系統(tǒng)安全漏洞都可以通過安全掃描系統(tǒng)進行檢查??茖W(xué)合理使用網(wǎng)絡(luò)安全掃描技術(shù),我們能夠在第一時間內(nèi)察覺網(wǎng)絡(luò)不安全因素,迅速處理。網(wǎng)絡(luò)安全掃描技術(shù)處理拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊以及竊聽程序十分有效,還能夠在檢測防火墻的配置是否正確。
3、入侵檢測技術(shù)
入侵檢測技術(shù)又被稱為網(wǎng)絡(luò)實時監(jiān)控技術(shù),該技術(shù)對數(shù)據(jù)流進行實時監(jiān)控,并將所檢測數(shù)據(jù)流和相關(guān)特征數(shù)據(jù)流進行比對,甄別數(shù)據(jù)流類型,結(jié)合計算機用戶的設(shè)定,判定數(shù)據(jù)流屬性,及時反應(yīng),斷開網(wǎng)絡(luò)或者對防火墻進行相關(guān)設(shè)置。
四、計算機網(wǎng)絡(luò)安全的防范技術(shù)措施
1、操作系統(tǒng)與網(wǎng)絡(luò)設(shè)計
計算機用戶使用正版軟件,及時對系統(tǒng)漏洞打補丁,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在計算機網(wǎng)絡(luò)中,建立起統(tǒng)一的身份認(rèn)證,供各種應(yīng)用系統(tǒng)使用,實現(xiàn)用戶統(tǒng)一管理、認(rèn)證和授權(quán)。網(wǎng)絡(luò)管理員和操作員根據(jù)本人的權(quán)限,輸入不同的口令,對應(yīng)用程序數(shù)據(jù)進行合法操作,防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。
2、數(shù)據(jù)加密
數(shù)據(jù)加密技術(shù)是保障信息安全的最基本最核心的技術(shù)措施和理論基礎(chǔ),由加密算法來具體實施。由于數(shù)據(jù)在傳輸過程中有可能遭到浸犯者的竊聽而失去保密信息, 如當(dāng)一個企業(yè)在傳送涉及到自己的商業(yè)秘密的數(shù)據(jù)時,一定要用密文傳送,也就是利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼傳送,到達目的地后再用相同或不同的手段還原。以數(shù)據(jù)加密和用戶確認(rèn)為基礎(chǔ)的開放型安全保障是利用現(xiàn)代化的數(shù)據(jù)加密技術(shù)來保護網(wǎng)絡(luò)系統(tǒng)中包括用戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流,只有指定的用戶和網(wǎng)絡(luò)設(shè)備才能解譯加密數(shù)據(jù)。這樣,可以較小的代價獲得較大的安全保護。
3、設(shè)置防火墻
防火墻技術(shù)是指一個由軟件內(nèi)部或和硬件設(shè)備組合而成,用在專用網(wǎng)(如企業(yè)網(wǎng)、校園網(wǎng)) 和Internet 之間設(shè)置的安全系統(tǒng)。防火墻主要有安全操作系統(tǒng)、過濾器、域名服務(wù)、網(wǎng)關(guān)和E-mail處理5部分組成。它的作用是限制外界用戶內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限,是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障。根據(jù)防火墻的結(jié)構(gòu),它可以干預(yù)不同網(wǎng)絡(luò)的任何消息傳送。防火墻可以決定一個數(shù)據(jù)組成一種連接是否通過,這種結(jié)構(gòu)能夠保護網(wǎng)絡(luò)的安全性。設(shè)置防火墻系統(tǒng)后,由于防火墻系統(tǒng)具有以上作用,內(nèi)部網(wǎng)絡(luò)的安全才有了可靠的保證。比如我校校園網(wǎng)在2016年10月24日陸續(xù)發(fā)現(xiàn)網(wǎng)站存在XSS高危安全風(fēng)險漏洞,經(jīng)過設(shè)置華為主防火墻和網(wǎng)康WEB應(yīng)用防火墻策略以后,問題得到了徹底的解決,保證了我校校園網(wǎng)的安全。
4、多層安全級別防護病毒系統(tǒng)
運用多層安全級別防病毒系統(tǒng),全面防護病毒病。防范病毒的方式從功能上可以分為網(wǎng)絡(luò)防病毒與單機防護病毒軟件。單機防病毒軟件一般是對本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測以實現(xiàn)清除病毒。網(wǎng)絡(luò)防病毒軟件則主要傾向于網(wǎng)絡(luò)防病毒,當(dāng)病毒通過網(wǎng)絡(luò)或者向網(wǎng)絡(luò)向其它資源迅速發(fā)展、傳染,網(wǎng)絡(luò)防范病毒軟件則會及時檢測確認(rèn)到并加以消除。
5、網(wǎng)絡(luò)主機的操作系統(tǒng)安全和物理安全措施
防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護內(nèi)部網(wǎng)絡(luò),必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機的操作系統(tǒng)安全和物理安全措拖。按照級別從低到高,分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全:同時主機安全檢查和漏洞修補以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的第二道安全防線,主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線,用來遭受攻擊之后進行系統(tǒng)恢復(fù)。在防火墻和主機安全措施之后,是全局性的由系統(tǒng)安全審計、入侵檢測和應(yīng)急處理機構(gòu)成的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)絡(luò)主機甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息,作為輸人提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生,如果有入侵發(fā)生,則啟動應(yīng)急處理措施,并產(chǎn)生警告信息。而且,系統(tǒng)的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統(tǒng)安全策略進行改進的信息來源。
五、結(jié)語
綜上,為保證計算機網(wǎng)絡(luò)系統(tǒng)的安全,應(yīng)混合使用多種安全防護策略。使硬件和軟件相結(jié)合,使技術(shù)和管理相互補充,建立全方位的網(wǎng)絡(luò)安全管理體制,才能保證計算機網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定、高效地運行。
參考文獻:
1 無線網(wǎng)絡(luò)現(xiàn)狀
從傳統(tǒng)有線傳輸介質(zhì)的網(wǎng)絡(luò)數(shù)據(jù)通信到無線通信線路構(gòu)成的網(wǎng)絡(luò),不僅使校園網(wǎng)保持穩(wěn)定、高速的網(wǎng)絡(luò)環(huán)境,還提供了任何時刻、任何地點都能享受到網(wǎng)絡(luò)的便捷。無線網(wǎng)絡(luò)規(guī)避了網(wǎng)絡(luò)線路長度的局限性,使得無線網(wǎng)絡(luò)變得更加多元化,提高移動辦公能力,但是無線網(wǎng)絡(luò)的傳播介質(zhì)一般采用紅外線、射頻信號等,導(dǎo)致數(shù)據(jù)信號易產(chǎn)生干擾,安全性無法保障,因此隨著無線網(wǎng)絡(luò)發(fā)展,需要綜合眾多環(huán)境因素提高對無線網(wǎng)絡(luò)性能及安全的研究。
1.1 高校校園網(wǎng)絡(luò)的特征
我國各大高校隨著無線網(wǎng)絡(luò)的普及,均建設(shè)了各自的無線網(wǎng)絡(luò)體系,已然成為龐大校園網(wǎng)絡(luò)的一大重要模塊,但是建設(shè)數(shù)字化校園過程中諸多問題的出現(xiàn),一定程度上阻礙了校園網(wǎng)絡(luò)的發(fā)展,例如:(1)傳統(tǒng)有線網(wǎng)絡(luò)故障排除困難,隨著校園格局的不斷比那話,新建拓展網(wǎng)絡(luò)電纜的安裝與維護較復(fù)雜;(2)網(wǎng)絡(luò)設(shè)計費用較高,在不斷變更網(wǎng)絡(luò)設(shè)計過程中使得網(wǎng)絡(luò)體系構(gòu)建的成本增加。但是,值得一提的是,無線網(wǎng)絡(luò)的覆蓋主要依托原有的有線網(wǎng)絡(luò)體系,是對有線網(wǎng)絡(luò)的拓展與延伸。因此,在目前校園網(wǎng)絡(luò)的構(gòu)建中,主要是無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的充分結(jié)合、無縫連接。
1.2 無線網(wǎng)絡(luò)協(xié)議與安全措施
網(wǎng)絡(luò)協(xié)議,作為互聯(lián)網(wǎng)數(shù)據(jù)傳輸基礎(chǔ)、實用的手段。無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸協(xié)議一般采用以下:(1)802.11b協(xié)議。便攜設(shè)備所采用的網(wǎng)絡(luò)連接的標(biāo)準(zhǔn)方法之一,其運作模式分為點對點模式與基本模式,其中點對點模式主要通過無線網(wǎng)卡在兩臺不同的計算機之間進行網(wǎng)絡(luò)連接,實現(xiàn)數(shù)據(jù)傳輸。但是在接入點一定時,允許接入的計算機數(shù)量的增加會使得網(wǎng)絡(luò)數(shù)據(jù)存儲速率降低,工作網(wǎng)絡(luò)效率低下;(2)802.11g協(xié)議。根據(jù)網(wǎng)絡(luò)物理層定義新標(biāo)準(zhǔn)的802.11工作組得到的802.11g協(xié)議,在添加調(diào)制技術(shù)提高數(shù)據(jù)傳輸效率。在保證兼容性方面能與原有的無線網(wǎng)絡(luò)相互連通,較常用調(diào)制技術(shù):DSSS技術(shù)、PBCC技術(shù)、OFDM技術(shù);(3)WEP保密協(xié)議。為保護計算機設(shè)備之間進行傳輸數(shù)據(jù)的加密方式,相對于802.11i協(xié)議,能防止部分基本的非法訪問。
2 校園無線網(wǎng)絡(luò)安全問題
校園屬于知識信息量巨大的平臺,其信息流動也是龐大的,校園的特殊性質(zhì)就鑄就了校園內(nèi)師生對網(wǎng)絡(luò)的依賴,隨著互聯(lián)網(wǎng)技術(shù)發(fā)展,數(shù)據(jù)共享的優(yōu)勢逐漸顯露出來,在校園內(nèi)每天都要接收新鮮事物,隨著用戶需求的增大,無線網(wǎng)絡(luò)的開放性也隨之增大,安全隱患不可避免。
校園無線網(wǎng)絡(luò)安全隱患:
(1)用戶非法訪問。無線網(wǎng)絡(luò)的開放性是其優(yōu)勢之一,同時也是其最容易收到網(wǎng)絡(luò)非法攻擊的一點。開放式的訪問導(dǎo)致網(wǎng)絡(luò)傳輸中的信息容易被第三方獲取,攔截、篡改,三方用戶訪問網(wǎng)絡(luò)資源同時也對無線信道資源進行了非法占用,損害了其他用戶正常訪問的權(quán)益,降低網(wǎng)絡(luò)服務(wù)質(zhì)量;(2)WEP加密協(xié)議破解。WEP作為叫基本的保密協(xié)議,雖然能夠阻擋低程度的非法訪問,但是在網(wǎng)絡(luò)技術(shù)發(fā)展的同時,較低級的保密協(xié)議無法完全保障用戶數(shù)據(jù),WEP密鑰的回復(fù)較為簡單,進行少量數(shù)據(jù)收集、分析,就能夠解密WEP密鑰;(3)地址協(xié)議(ARP)攻擊。第三方非法用戶操作,通過網(wǎng)絡(luò)監(jiān)聽截獲并篡改信息,利用信息物理MAC地址,對計算機發(fā)送錯誤的偽ARP答文來欺騙主機,導(dǎo)致正確的信息無法到達目標(biāo)主機出,形成ARP欺騙;(4)AP服務(wù)攻擊。AP端攻擊是對網(wǎng)絡(luò)進行巨大損害的攻擊方式,AP服務(wù)為數(shù)據(jù)發(fā)送提供資源,非法用戶則通過不停對AP服務(wù)資源進行轉(zhuǎn)發(fā),反復(fù)占用,消耗資源,使得AP無法對其他端進行服務(wù)發(fā)送;(5)網(wǎng)絡(luò)體系的攻擊。在高程度的非法攻擊面前,不僅僅針對用戶端口服務(wù)信息的截取與篡改,高級攻擊者通過各種安全漏洞,打破整個校園無線網(wǎng)絡(luò)體系與有線網(wǎng)絡(luò)體系的有機結(jié)合,阻礙校園網(wǎng)絡(luò)與互聯(lián)網(wǎng)的信息交互,甚至造成更嚴(yán)重的后果。
3 校園無線網(wǎng)絡(luò)安全防范措施
3.1 網(wǎng)絡(luò)安全防范措施
針對上述常見的無線網(wǎng)絡(luò)的攻擊形式,保障網(wǎng)絡(luò)環(huán)境安全性,通過安全漏洞的特點分析提出以下優(yōu)化方案措施:首先針對WEP技術(shù)漏洞,人們研究出WPA(無線網(wǎng)絡(luò)安全接入)加密,兼容WEP包含的802.11協(xié)議,對網(wǎng)絡(luò)用戶進行單獨授權(quán)并允許訪問。為兼容性較差的WPA2雖然能提供更高級別的防御,但是在第一代接入點上無法使用,屬于后發(fā)展時期的主流,WPA2的AES算法通過計數(shù)器密碼鏈協(xié)議,使得密鑰無法被完整收集,破解難度成倍增長;其次,針對物理MAC地址進行過濾。為了防止MAC地址截獲產(chǎn)生的偽答文,對MAC地址進行過濾,在無線路由器中都具有MAC地址過濾的功能,將計算機用戶端設(shè)備MAC地址加入白名單,阻攔白名單以外所有的MAC地址,雖然方法比較單一,但是能夠有效阻止APR欺騙的發(fā)生,但是統(tǒng)計MAC地址工作量巨大,切MAC地址是可變的,當(dāng)非法用戶獲得合法MAC地址同樣可以進行更改,MAC地址過濾方式還需要繼續(xù)完善;最后,通過隱藏SSID來保護無線網(wǎng)絡(luò)安全。通常無線網(wǎng)劃分為子網(wǎng),但是路由器端的子網(wǎng)ID相同,容易被攻擊使用原來的ID字符串進入子網(wǎng),一般建議更改SSID,或者隱藏網(wǎng)絡(luò)列表。
另外,在無線網(wǎng)絡(luò)中增加檢測系統(tǒng),對網(wǎng)絡(luò)數(shù)據(jù)進行實時監(jiān)測。入侵檢測系統(tǒng)(IDS)就是通過檢測無線信號來判別欺詐信號入侵。通過對數(shù)據(jù)包充分分析,檢查網(wǎng)絡(luò)接入點以及用戶定義標(biāo)準(zhǔn)。
3.2 網(wǎng)絡(luò)安全制度措施
在網(wǎng)絡(luò)安全的防范中,用戶自身應(yīng)該加強對網(wǎng)絡(luò)安全的維護。不少用戶使用設(shè)備進行無線網(wǎng)絡(luò)設(shè)置時無法全面考慮網(wǎng)絡(luò)環(huán)境,采用默認(rèn)設(shè)置進行操作,使得設(shè)備安全等級較低,及時網(wǎng)絡(luò)自身防范機制嚴(yán)格,用戶端的特殊性,使得系統(tǒng)無法判別用戶端口的合法性。安裝較常用的網(wǎng)絡(luò)防火墻軟件,提高客戶端的安全性;建立相應(yīng)的網(wǎng)絡(luò)安全應(yīng)對機制,一旦發(fā)生較嚴(yán)重的網(wǎng)絡(luò)安全問題,正確處理方式時將損失最小化的最好方法,這需要網(wǎng)絡(luò)管理員自身具有過硬的素質(zhì),另外,普及網(wǎng)絡(luò)安全知識,進行網(wǎng)絡(luò)安全相關(guān)講座,是校園環(huán)境下的宣傳優(yōu)勢,提高師生對網(wǎng)絡(luò)安全的認(rèn)識;定期維護網(wǎng)絡(luò)服務(wù)器,網(wǎng)絡(luò)管理員對重要資料的檢查以備份,清理不需要的文件空出資源空間,保證服務(wù)器的穩(wěn)定運行。
近年來,隨著網(wǎng)路攻擊技術(shù)的泛濫,不少企業(yè)的信息系統(tǒng)會經(jīng)常遭到黑客的攻擊和信息的篡改,針對網(wǎng)路信息系統(tǒng)攻擊的各種犯罪活動已經(jīng)嚴(yán)重危害著社會的發(fā)展和企業(yè)的安全,給全球帶來了巨大的經(jīng)濟損失。總之,當(dāng)前信息系統(tǒng)所面臨的各種各樣的威脅問題,已經(jīng)成為普遍的國際性問題。
1信息系統(tǒng)安全概述
1.1信息系統(tǒng)安全的定義
所謂的信息系統(tǒng)安全就是依靠法律法規(guī)道德紀(jì)律、管理細(xì)則和保護措施、物理實體安全環(huán)境、硬件系統(tǒng)安全措施、通信網(wǎng)絡(luò)安全措施、軟件系統(tǒng)安全措施等實現(xiàn)信息系統(tǒng)的數(shù)據(jù)信息安全。
1.2信息系統(tǒng)安全的內(nèi)容
信息系統(tǒng)的安全包括物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應(yīng)用軟件安全、數(shù)據(jù)安全和管理安全,以下將分別給予詳細(xì)的說明。
第一,物理安全,主要包括環(huán)境安全、設(shè)備安全、媒體安全等;
第二,網(wǎng)絡(luò)安全,主要包括內(nèi)外網(wǎng)隔離及訪問控制系統(tǒng)――防火墻、物理隔離或邏輯隔離;內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制;網(wǎng)絡(luò)安全測試與審計;網(wǎng)絡(luò)防病毒和網(wǎng)絡(luò)備份;
第三,網(wǎng)絡(luò)反病毒技術(shù),主要包括預(yù)防病毒、檢測病毒和消毒;
第四,其他方面的安全,如操作系統(tǒng)安全、應(yīng)用軟件安全以及數(shù)據(jù)庫的安全等。
2 信息系統(tǒng)安全威脅因素剖析
2.1信息系統(tǒng)軟硬件的內(nèi)在缺陷
這些缺陷不僅直接造成系統(tǒng)停擺,還會為一些人為的惡意攻擊提供機會。最典型的例子就是微軟的操作系統(tǒng)。相當(dāng)比例的惡意攻擊就是利用微軟的操作系統(tǒng)缺陷設(shè)計和展開的,一些病毒、木馬也是盯住其破綻興風(fēng)作浪。由此造成的損失實難估量。應(yīng)用軟件的缺陷也可能造成計算機信息系統(tǒng)的故障,降低系統(tǒng)安全性能。
2.2惡意攻擊
攻擊的種類有多種,有的是對硬件設(shè)施的干擾或破壞,有的是對數(shù)據(jù)的攻擊,有的是對應(yīng)用的攻擊。前者,有可能導(dǎo)致計算機信息系統(tǒng)的硬件一過性或永久性故障或損壞。對數(shù)據(jù)的攻擊可破壞數(shù)據(jù)的有效性和完整性,也可能導(dǎo)致敏感數(shù)據(jù)的泄漏、濫用。對應(yīng)用的攻擊會導(dǎo)致系統(tǒng)運行效率的下降,嚴(yán)重者會會導(dǎo)致應(yīng)用異常甚至中斷。
2.3系統(tǒng)使用不當(dāng)
如誤操作,關(guān)鍵數(shù)據(jù)采集質(zhì)量存在缺陷,系統(tǒng)管理員安全配置不當(dāng),用戶安全意識不強,用戶口令選擇不慎甚至多個角色共用一個用戶口令,等等。因為使用不當(dāng)導(dǎo)致系統(tǒng)安全性能下降甚至系統(tǒng)異常、停車的事件也有報道。
2.4自然災(zāi)害
對計算機信息系統(tǒng)安全構(gòu)成嚴(yán)重威脅的災(zāi)害主要有雷電、鼠害、火災(zāi)、水災(zāi)、地震等各種自然災(zāi)害。此外,停電、盜竊、違章施工也對計算機信息系統(tǒng)安全構(gòu)成現(xiàn)實威脅。
3信息系統(tǒng)所面臨的威脅以及遭受威脅的主要方式
在現(xiàn)有的信息系統(tǒng)中,隨著相關(guān)技術(shù)的不斷發(fā)展,威脅的種類是層出不窮。當(dāng)前信息系統(tǒng)所面臨的威脅主要有物理威脅、漏洞威脅、病毒威脅、入侵威脅和復(fù)合性威脅。
3.1物理威脅
物理威脅最為簡單,也最容易防范,更容易被忽略,許多信息機構(gòu)服務(wù)被中止僅僅因停電、斷網(wǎng)和硬件損毀。例如,某處施工時無意破壞了通信電纜或是供電線路都會導(dǎo)致大規(guī)模的損失,所以保障企業(yè)信息系統(tǒng)的物理安全至關(guān)重要。
3.2漏洞威脅
僅次于物理威脅的是漏洞威脅,幾乎所有的安全事件都源于漏洞。漏洞主要分系統(tǒng)漏洞和軟件漏洞,網(wǎng)絡(luò)結(jié)構(gòu)漏洞。系統(tǒng)漏洞相對常見,目前企業(yè)中常用的操作系統(tǒng)大致分為兩種,Windows和Unix/Linux?;贜T內(nèi)核的Windows NT 4、Windows 2000、Windows Server 2003都是常見的操作系統(tǒng),只要有效利用組策略構(gòu)建適合企業(yè)現(xiàn)狀的安全模型。必須重視Windows Update,保證系統(tǒng)最新,因為漏出的安全缺陷官方會迅速通過Windows Update布置到計算機上。另外對于Unix/Linux系統(tǒng)的企業(yè)安全漏洞也不容忽略,眾所周知,Linux為開源軟件,無數(shù)優(yōu)秀的特性被加入進來。但這個特性也相當(dāng)致命,一個完全透明的系統(tǒng)對于黑客來說具有相當(dāng)大的優(yōu)勢,作為Linux用戶,采用安全防御措施相當(dāng)重要。同Windows一樣,最基本的措施是及時安裝安全補丁,留意近期的安全通告,同時根據(jù)業(yè)務(wù)需要,關(guān)閉不必要的系統(tǒng)服務(wù)。
3.3病毒威脅
操作系統(tǒng)的正確使用和配置很重要,操作系統(tǒng)安全是企業(yè)信息系統(tǒng)安全的基礎(chǔ),對企業(yè)信息系統(tǒng)殺傷力比較大的是病毒威脅,作網(wǎng)絡(luò)通信服務(wù)病毒發(fā)生的概率還是比較高的。能夠引起計算機的故障,破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒,早期對病毒的定義,是一個比較狹隘的定義,現(xiàn)在的病毒特征更廣泛,間諜軟件、木馬、流氓軟件、廣告軟件、行為記錄軟件、惡意共享軟件等等,它們的危害遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)定義中“占用系統(tǒng)資源”、“破壞數(shù)據(jù)”、“阻塞網(wǎng)絡(luò)”等經(jīng)典危害。這些新型病毒可以導(dǎo)致重要機密泄露,甚至現(xiàn)有的安全機制全部崩潰。
3.4入侵威脅
大部分病毒攻擊已經(jīng)被編寫者確定,只是機械性的執(zhí)行,但入侵則是人為攻擊策略靈活多變。現(xiàn)在的黑客已經(jīng)從業(yè)余發(fā)展到越來越專業(yè)化。動機已發(fā)生本質(zhì)的變化,早期黑客僅為炫耀一下自己高超的技術(shù)或發(fā)泄一下情緒而已,現(xiàn)在的黑客憑借技術(shù)大發(fā)不義之財。網(wǎng)絡(luò)產(chǎn)業(yè)逐步走向規(guī)范化,相應(yīng)的立法也日趨完善。但黑客還是廣泛存在的。一般來講,只要不給黑客創(chuàng)造成熟條件,一般的入侵或攻擊是難以實現(xiàn)的。
3.5復(fù)合性威脅
復(fù)合性威脅并非出現(xiàn)在規(guī)范的廣義里的,但現(xiàn)實應(yīng)用中,任何威脅都以復(fù)合形式出現(xiàn)。試想,一次完美的入侵,并非一個單一的條件就可發(fā)生的,需要其他條件的配合。因此,多數(shù)的威脅屬于復(fù)合性威脅。
4結(jié)論
在當(dāng)今信息化程度不斷提高的大背景下,信息系統(tǒng)所面臨的各種威脅也隨之增多,全面分析信息系統(tǒng)所面臨的威脅以及遭受威脅的主要方式,采取有效預(yù)防措施對提高信息系統(tǒng)的安全性具有非常重要的意義。
參考文獻
[l]劉利民.信息系統(tǒng)安全威脅及防范對策分析[J].計算機應(yīng)用,2010(6).
關(guān)鍵詞:無線網(wǎng)絡(luò);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)風(fēng)險
隨著移動設(shè)備飛速發(fā)展以及筆記本電腦的普及,無線網(wǎng)絡(luò)也得到了極其廣泛的應(yīng)用。然而關(guān)于無線網(wǎng)絡(luò)的安全問題日益明顯,像是網(wǎng)絡(luò)信息遭遇非法竊聽、無線網(wǎng)絡(luò)遭受釣魚攻擊、無線網(wǎng)絡(luò)被盜用等等,這樣一來用戶在使用無線網(wǎng)絡(luò)時就將直接面對這些安全隱患,因此針對現(xiàn)有的無線網(wǎng)絡(luò)安全問題實施一定的應(yīng)對策略是十分有必要的,否則這些問題將嚴(yán)重影響無線網(wǎng)絡(luò)的發(fā)展。
一、無線網(wǎng)絡(luò)存在的安全問題
就目前無線網(wǎng)絡(luò)日常應(yīng)用中所遇到的網(wǎng)絡(luò)安全問題而言,它們可以細(xì)分為很多種,并且這些問題給正常的無線網(wǎng)絡(luò)的正常運行所造成的影響也各有不同,但是這些問題卻在無形中威脅到了無線網(wǎng)絡(luò)正常的運行。以無線網(wǎng)絡(luò)安全問題的表現(xiàn)來進行分類,大致可以分為以下4類:
1.安全問題――網(wǎng)絡(luò)遭遇盜用
這個無線網(wǎng)絡(luò)遭遇盜用是人們?nèi)粘I钪凶顬槌R姷囊环N無線網(wǎng)絡(luò)安全問題,也常被人稱作“蹭網(wǎng)”,其實它所指的一般就是無線網(wǎng)絡(luò)遭遇非用戶授權(quán)的計算機或移動設(shè)備接入。這樣的“蹭網(wǎng)”行為對于正常用戶使用無線網(wǎng)絡(luò)帶的危害非常大,首先是這種行為能直接影響正常用戶在進行網(wǎng)絡(luò)訪問時的網(wǎng)絡(luò)運行速度;其次是對于一些使用無線上網(wǎng)卡的用戶來說,這樣的“蹭網(wǎng)”行為將直接造成正常用戶的經(jīng)濟損失,因為很多無線上網(wǎng)卡都是按網(wǎng)絡(luò)流量來計費的;另外是一旦用戶的無線網(wǎng)絡(luò)遭遇非法盜用,那將加大其被非法攻擊以及入侵的可能性;最后就是無線網(wǎng)絡(luò)遭遇盜用后,如果這個被黑客利用并進行一系列的黑客行為,那樣最終所造成的安全事件,正常用戶也極有可能遭受牽連。
2.安全問題――通信遭遇竊聽
一般來說網(wǎng)絡(luò)通信遭遇竊聽所指的是用戶在正常使用無疑網(wǎng)絡(luò)時所進行的一系列網(wǎng)絡(luò)通信信息被同局域網(wǎng)里的其他設(shè)備所捕獲。絕大多數(shù)的用戶在進行網(wǎng)絡(luò)通信時,其通信內(nèi)容在網(wǎng)絡(luò)上進行相互傳輸時都是采用的非加密方式,因此不法分子如果想要竊取正常用戶的通信信息,只需要以監(jiān)聽、觀察、分析用戶的通信信息數(shù)據(jù)以及他們的數(shù)據(jù)流模式就能達到對其網(wǎng)絡(luò)通信信息的竊取目的。比方說最為常見的一種竊取模式,不法分子通過一些專門用來監(jiān)視的軟件來實現(xiàn)盜取正常用戶的網(wǎng)絡(luò)使用信息以及其通信信息的上目的,再將這些盜取的信息在軟件中顯示出來,最終以非法獲取的用戶網(wǎng)絡(luò)通信信息來謀取不正當(dāng)利益。
3.安全問題――遭遇釣魚攻擊
通常所說的無疑網(wǎng)絡(luò)遭遇釣魚攻擊指的就是用戶在正常使用無疑網(wǎng)絡(luò)的情況下,無意中接入了“釣魚”網(wǎng)絡(luò)接點,從而造成的無疑網(wǎng)絡(luò)被攻擊的網(wǎng)絡(luò)安全問題。一般來說無線網(wǎng)絡(luò)釣魚攻擊可以分為以下幾步,首先不法分子建立一個無線網(wǎng)絡(luò)虛假接入點,吸引用戶鏈接至該接入點。隨后一旦用戶誤入至此接入點,其所使用的計算機就很有可能被不法分子所控制,電腦系統(tǒng)被入侵或攻擊等,這樣的直接結(jié)果就是用戶電腦上的機密文件被竊取、網(wǎng)絡(luò)賬號與網(wǎng)銀賬號等被盜以及電腦系統(tǒng)被木馬感染等等一系列的網(wǎng)絡(luò)安全威脅。
4.安全問題――無線AP被控制
無線AP被控制一般指的是無線路由器管理權(quán)限被未授權(quán)的非法分子所竊取,而無線AP通常指的就是無線網(wǎng)絡(luò)的接入點,像是企業(yè)與家庭中都比較常見的無線路由器便是無線AP中的一種。一般最為常見的無線AP被控制現(xiàn)象多為用戶設(shè)置的無線AP密碼較為簡單所造成的,當(dāng)用戶的無線網(wǎng)絡(luò)被他人所盜用后,其就可以通過無線網(wǎng)線直接訪問到無線AP的終端管理界面,如果用戶的無線AP密碼正好設(shè)置得十分簡單,那么非法入侵者就能隨意更改與設(shè)置用戶的無線AP的終端管理界面。
二、提高無線網(wǎng)絡(luò)安全問題的應(yīng)對策略
由于無線網(wǎng)絡(luò)在日常使用中所存在的安全問題與安全隱患越來越明顯、越來越多樣化,因此我們只有采取有針對性的防范措施才能最大程度地降低無線網(wǎng)絡(luò)的威脅指數(shù)、提高其安全系數(shù),減少被攻擊的可能性。
1.接入限制
這種方法一般指的是在無線路由器內(nèi)的MAC地址中設(shè)置一定的條件要求,最終實現(xiàn)過濾并阻止非法入侵者的目的。通常這種方法多用計算機數(shù)較少同時比較固定的網(wǎng)絡(luò)環(huán)境,因此限制無線網(wǎng)絡(luò)接入的方法大多用在家庭網(wǎng)絡(luò)環(huán)境,在這種情況下用戶只需要將自己家中無線路由器的MAC地址設(shè)置成為家庭內(nèi)計算機MAC地址,就可以簡單的實現(xiàn)這個目的。
2. SSID廣播隱藏
通常所說的SSID廣播隱藏其實就是關(guān)閉無線路由器的SSID廣播功能,因為一定關(guān)閉此功能就能使無線網(wǎng)絡(luò)信號達到隱身的效果,從而降低那些想要通過SSID功能查找到正常用戶無線網(wǎng)絡(luò)信號的機率,最終實現(xiàn)保護無線網(wǎng)絡(luò)安全的目的。關(guān)閉SSID廣播功能同樣也是對網(wǎng)絡(luò)環(huán)境有著一定的要求,因為在關(guān)閉無線路由器的SSID廣播功能后,如果需要正常使用無線網(wǎng)絡(luò)就必須定向?qū)ふ业綗o線網(wǎng)絡(luò)信號后方能使用,因此這個功能目前比較常用于一些客戶端較為穩(wěn)定的計算機環(huán)境以及家庭網(wǎng)絡(luò)環(huán)境。
3.安全標(biāo)準(zhǔn)的選擇
目前很多無線網(wǎng)絡(luò)用戶在設(shè)置無線路由器時,通常都是直接采用的WEP標(biāo)準(zhǔn),然而WEP標(biāo)準(zhǔn)已經(jīng)被業(yè)界公認(rèn)為是非常不安全一種設(shè)置,遭受攻擊的可能性非常高,因此用戶在設(shè)置無線路由器時必須以自身網(wǎng)絡(luò)安全環(huán)境需要為前提,使用WPA標(biāo)準(zhǔn)。雖然說WPA標(biāo)準(zhǔn)也有著被破解與被入侵的可能性,但是相對WEP標(biāo)準(zhǔn)而言,其安全指數(shù)仍然要高出很多,所以建議正常用戶在使用無線網(wǎng)絡(luò)時可以將WPA設(shè)置成加密模式。
4.無線路由器密碼的修改
由于目前很多無線網(wǎng)絡(luò)用戶在使用無線路由器時,對于網(wǎng)絡(luò)技術(shù)以及網(wǎng)絡(luò)安全的知識都比較貧乏,因此關(guān)于無線路由器的用戶名和密碼設(shè)置都是直接采用其默認(rèn)的用戶名和密碼,這樣一來就大大降低了無線網(wǎng)絡(luò)的安全系數(shù),讓不法分子在實施破解時就變得非常簡單,不法分子在破解了無線網(wǎng)絡(luò)密碼后登陸其管理界面便不再是難事。因此正常用戶在使用無線路由器時,一定要及時更改無線網(wǎng)絡(luò)的用戶名和密碼。
5.無線AP功率降低
由于在無線網(wǎng)絡(luò)在使用時所采用的無線AP功率的大小能直接影響到無線網(wǎng)絡(luò)的使用范圍,因此很多用戶在選擇無線AP功率時會盲目的追求較大的功率,反而忽略了其他的相關(guān)要素。因為無線網(wǎng)絡(luò)的覆蓋面積越大,其網(wǎng)線環(huán)境的安全威脅也會隨之增長,遭到非法攻擊與入侵的機率也將上升,因此用戶在選擇無線AP時,應(yīng)該在保證自身的網(wǎng)速需求的前提下,盡量減少網(wǎng)絡(luò)的覆蓋面積,最終實現(xiàn)保證正常用戶用網(wǎng)安全的目的。
6.強壯無線網(wǎng)絡(luò)密碼
曾有學(xué)者對無線網(wǎng)絡(luò)密碼的安全等級做過相關(guān)的評估,其結(jié)果顯示,雖然都是采用的WPA加密形式,但是由于這些密碼的設(shè)計難易程度有所不同,其被破解速度也會隨之增加,其中最為簡單的就是簡單數(shù)字排列密碼。因此為了保證用網(wǎng)安全,提高密碼安全程度,正常用戶在設(shè)置密碼時需要盡量將其復(fù)雜化,比如說將數(shù)字、字母以及符號相結(jié)合來設(shè)置密碼。
7.其他安全措施
其實不僅僅只有上述這些加強無線網(wǎng)絡(luò)安全的手段,還有很多一些其他的安全措施同樣也可以應(yīng)用到這個上面,具體如下:
一是防火墻對于提升網(wǎng)絡(luò)安全性能來說是有著非常不錯的效果,它能夠更好的隔離病毒與漏洞,特別是如果是企業(yè)用戶,可以建立一個統(tǒng)一的防火墻來實現(xiàn)阻擋入侵者進入網(wǎng)絡(luò)的目的。
二是定期不定期的更換無線網(wǎng)絡(luò)的密碼,由于一個密碼的破解速度有著一定的時間限制,因此,無線用戶可以通過更換密碼與用戶名的方法來延長攻擊者的破解時間,消磨破解者的耐心,最終讓其自動放棄攻擊。
三是因為無線用戶在登陸至無線AP管理頁面后,就可以直接查看到所有使用的客戶端列表,因此我們可以通過這個方法直接排查非法入侵者,從而對其進行處理。
四是不法分子一般都是搜尋并利用正常用戶的網(wǎng)絡(luò)設(shè)置漏洞來進行攻擊或其他不法操作的,因此為了保障無線網(wǎng)絡(luò)的用網(wǎng)安全,應(yīng)該定期檢查加固自身無線網(wǎng)絡(luò)的安全性能,及時排除網(wǎng)絡(luò)漏洞,減少被入侵的可能性。
結(jié)語
總之,隨著我國全民信息時代的到來,無線網(wǎng)絡(luò)的使用率與覆蓋面積也將逐漸擴大,由于其自身所擁有的一些獨特的特性,這些都將使無線網(wǎng)絡(luò)的安全問題更加嚴(yán)峻,因此我們在使用這個無線網(wǎng)絡(luò)的同時,必須要緊密關(guān)注其安全問題,并且適當(dāng)?shù)夭扇∫恍┐胧╊A(yù)防與解決這些安全問題。
參考文獻
[1]菊.關(guān)于加強無線網(wǎng)絡(luò)的信息安全的方法探究[J].科技創(chuàng)新導(dǎo)報,2015(5):222.
[2]澹臺建培,劉文佳,陳萬成,李斌.安全智能無線網(wǎng)絡(luò)通信系統(tǒng)設(shè)計與實現(xiàn)[J].郵電設(shè)計技術(shù),2016(1):26-31.
論文摘要:通過對計算機網(wǎng)絡(luò)面臨威脅的分析,該文提出了網(wǎng)絡(luò)安全方面的一些具體防范措施,提高了計算機網(wǎng)絡(luò)的安全性。
Analysis of the Computer Network Security and its Preventive Tactics
ZHANG Jing
(College of Information Engineering,Inner Mongolia University of Science and Technology,Baotou 014010,China)
Abstract: Through analyzing threats against the computer network,this paper puts forward.some concrete preventive measures,raising the computer network safety.
Key words: network security;firewall;preventive tactic;network attack;computer virus
1 引言
隨著網(wǎng)絡(luò)時代的來臨,人們在享受著網(wǎng)絡(luò)帶來的無盡的快樂的同時,也面臨著越來越嚴(yán)重和復(fù)雜的網(wǎng)絡(luò)安全威脅和難以規(guī)避的風(fēng)險,網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性,計算機網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。
2 網(wǎng)絡(luò)安全面臨的威脅
由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他意圖不軌的攻擊,常見的威脅主要來自以下幾個方面:
1) 非授權(quán)訪問非授權(quán)訪問指具有熟練編寫和調(diào)試計算機程序的技巧并使用這些技巧來獲得非法或未授權(quán)的網(wǎng)絡(luò)或文件訪問,侵入到他方內(nèi)部網(wǎng)的行為。網(wǎng)絡(luò)入侵的目的主要是取得使用系統(tǒng)的存儲權(quán)限、寫權(quán)限以及訪問其他存儲內(nèi)容的權(quán)限,或者是作為進一步進入其他系統(tǒng)的跳板,或者惡意破壞這個系統(tǒng),使其毀壞而喪失服務(wù)能力。
2) 自然威脅 自然威脅可能來自與各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的的事件有時也會直接或間接地威脅網(wǎng)絡(luò)的安全,影響信息的存儲和交換。
3) 后門和木馬程序 后門是一段非法的操作系統(tǒng)程序,其目的是為闖人者提供后門,它可以在用戶主機上沒有任何痕跡地運行一次即可安裝后門,通過后門實現(xiàn)對計算機的完全控制,而用戶可能莫名其妙地丟失文件、被篡改了數(shù)據(jù)等。木馬,又稱為特洛伊木馬,是一類特殊的后門程序,它是一種基于遠(yuǎn)程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點。木馬里一般有兩個程序,一個是服務(wù)器程序,一個是控制器程序。
4) 計算機病毒計算機病毒指編制或在計算機程序中插入的破壞計算機功能和數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。如常見的蠕蟲病毒,就是以計算機為載體,利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行攻擊,是一種通過網(wǎng)絡(luò)傳統(tǒng)的惡性病毒。它具有病毒的一些共性,如傳播性、隱蔽性、破壞性和潛伏性等。
3 網(wǎng)絡(luò)安全的防范策略
1) 防火墻技術(shù)的作用是對網(wǎng)絡(luò)訪問實施訪問控制策略。使用防火墻(Firewall)是一種確保網(wǎng)絡(luò)安全的方法。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
2) 建立安全實時相應(yīng)和應(yīng)急恢復(fù)的整體防御沒有百分百安全和保密的網(wǎng)絡(luò)信息,因此要求網(wǎng)絡(luò)要在被攻擊和破壞時能夠及時發(fā)現(xiàn),及時反映,盡可能快的恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù),減少損失,網(wǎng)絡(luò)安全系統(tǒng)包括安全防護機制、安全檢測機制、安全反映機制和安全恢復(fù)機制。
3) 建立分層管理和各級安全管理中心建立多級安全層次和和級別,將網(wǎng)絡(luò)安全系統(tǒng)分為不同的級別。包括,對信息保密程度的分級(絕密、機密、秘密、普密);對用戶操作權(quán)限分級;對網(wǎng)絡(luò)安全程度分級;對系統(tǒng)實現(xiàn)的結(jié)構(gòu)分級等。從而針對不同級別的安全對象,提供全面、可選的安全算法和安全體制,以滿足網(wǎng)絡(luò)中不同層次的各種實際需求。
4) 阻止入侵或非法訪問入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供第一層訪問控制,它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許在哪臺工作站入網(wǎng)??刂朴脩舻卿浫刖W(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。對所有用戶的訪問進行審計,如果多次輸入口令不正確,則認(rèn)為是非法用戶的入侵,應(yīng)給出報警信息。設(shè)定用戶權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源??梢灾付ㄓ脩魧@些文件、目錄、設(shè)備執(zhí)行哪些操作。
5) 數(shù)據(jù)傳輸加密技術(shù)目的是對傳輸中的數(shù)據(jù)流加密,常用的方針有線路加密和端到端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護的。后者則指信息由發(fā)送者端自動加密,并進入TCP/IP數(shù)據(jù)包回封,然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng),當(dāng)這些信息一旦到達目的地,將被自動重組、解密,成為可讀數(shù)據(jù)。數(shù)據(jù)存儲加密技術(shù)目的是防止在存儲環(huán)節(jié)的數(shù)據(jù)失密??煞譃槊芪拇鎯痛嫒】刂苾煞N。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實現(xiàn);后者則是對用戶資格、權(quán)限加以審查和限制,防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。
6) 密鑰管理技術(shù)為了數(shù)據(jù)使用的方便,數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應(yīng)用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導(dǎo)體存儲器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。
7) 加強網(wǎng)絡(luò)的安全管理、制定有效的規(guī)章制度,對于確保網(wǎng)絡(luò)的安全、可靠運行,將起到十分有效的作用。加強網(wǎng)絡(luò)的安全管理包括:確定安全管理等級和安全管理范圍;制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度。制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施包括:加強立法,及時補充和修訂現(xiàn)有的法律法規(guī)。用法律手段打擊計算機犯罪;加強計算機人員安全防范意識,提高人員的安全素質(zhì);健全的規(guī)章制度和有效的、易于操作的網(wǎng)絡(luò)安全管理平臺。
4 結(jié)束語
解決安全的措施有很多,僅靠其中的某一項或幾項是很難解決好網(wǎng)絡(luò)安全問題的。在具體工作中還需要根據(jù)網(wǎng)絡(luò)的實際情況做出細(xì)致而全面的多級安全防范措施,盡可能提高網(wǎng)絡(luò)系統(tǒng)的安全可靠性。
參考文獻:
關(guān)鍵詞 校園網(wǎng);網(wǎng)絡(luò)信息;安全措施;分析
中圖分類號TP39 文獻標(biāo)識碼A 文章編號 1674-6708(2013)97-0230-02
1校園網(wǎng)安全特性分析
通常來講,信息安全重點關(guān)注的是信息資源、通信資源以及計算機資源等被一些惡意的行為破壞,出現(xiàn)了信息泄露、被篡改、濫用的現(xiàn)象。信息網(wǎng)絡(luò)的安全特性主要有完整性、可用性、保密性以及未授權(quán)使用資源的安全威脅,這些安全特性也是校園網(wǎng)的安全特性。
目前,不少學(xué)校的校園網(wǎng)中使用的網(wǎng)絡(luò)沒有設(shè)置防護系統(tǒng),也沒有內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的區(qū)別,可以說安全策略和安全措施的設(shè)置絲毫沒有受到學(xué)校的重視。
主要表現(xiàn)在網(wǎng)絡(luò)的應(yīng)用管理系統(tǒng)較為分散、沒有設(shè)置完善的防毒策略、沒有采取數(shù)據(jù)備份措施以及尚未建立集中的身份驗證系統(tǒng)等等。
在教育信息化速度日益加快的今天,學(xué)校中的很多工作都需要通過網(wǎng)絡(luò)來完成,例如管理、科研方面的工作,除此之外,校內(nèi)的諸多業(yè)務(wù)系統(tǒng)都需要通過校園網(wǎng)來建立,如教務(wù)系統(tǒng)、人事系統(tǒng)、辦公系統(tǒng)以及財務(wù)系統(tǒng)等。如果校園網(wǎng)網(wǎng)絡(luò)信息的安全問題再得不到足夠的重視,將會給校園網(wǎng)埋下嚴(yán)重的安全隱患。
2校園網(wǎng)網(wǎng)絡(luò)信息安全風(fēng)險分析
校園網(wǎng)具有網(wǎng)絡(luò)連接形式復(fù)雜、設(shè)備種類數(shù)量多以及操作系統(tǒng)平臺不一致的特點,這就給校園網(wǎng)的網(wǎng)絡(luò)信息的安全帶來了很多威脅,風(fēng)險主要來自一些幾個方面。
2.1互聯(lián)網(wǎng)導(dǎo)致的風(fēng)險
校園網(wǎng)絡(luò)的構(gòu)建幾乎都需要用到Internet技術(shù),并且還需要連接到互聯(lián)網(wǎng)上。網(wǎng)絡(luò)用戶可以直接訪問互聯(lián)網(wǎng)的資源,同樣任何能上互聯(lián)網(wǎng)的用戶也可以直接訪問校園網(wǎng)的資源。
這樣的網(wǎng)絡(luò)構(gòu)建方式對于提高學(xué)校的知名度、擴大學(xué)校的影響力具有十分重要的作用。然而互聯(lián)網(wǎng)具有網(wǎng)絡(luò)信息的開放性和共享性,這就導(dǎo)致了網(wǎng)絡(luò)信息存在一定的安全隱患,學(xué)校在獲得知名度的同時,也會出現(xiàn)一些安全問題。
互聯(lián)網(wǎng)上的信息都不能完全信任,因為網(wǎng)絡(luò)信息的安全性無法保證,是否會出現(xiàn)網(wǎng)絡(luò)攻擊更難以預(yù)料,這就需要學(xué)校在使用校園網(wǎng)時切實做好安全防范工作,預(yù)防和化解存在的安全風(fēng)險。
2.2內(nèi)部導(dǎo)致的風(fēng)險
據(jù)相關(guān)統(tǒng)計顯示,有將近75%的網(wǎng)絡(luò)信息安全事件都是源于內(nèi)部??梢?,內(nèi)部網(wǎng)絡(luò)存在的安全風(fēng)險十分嚴(yán)重。
因為內(nèi)部人員比其他人員更熟悉內(nèi)部網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu),這就容易出現(xiàn)網(wǎng)絡(luò)內(nèi)部人員攻擊內(nèi)部網(wǎng)絡(luò)的事件,或者內(nèi)部人員與外部人員聯(lián)手攻擊網(wǎng)絡(luò),亦或是內(nèi)部人員將網(wǎng)絡(luò)信息隨意泄露出去的行為,這都可能會給校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)帶來破壞性的打擊。
特別是近年來校園網(wǎng)絡(luò)的迅速發(fā)展,并且和一般性的局域網(wǎng)絡(luò)不同,校園網(wǎng)使用的用戶中網(wǎng)絡(luò)高手較多,更需要切實做好校園網(wǎng)的安全預(yù)防工作。
2.3病毒導(dǎo)致的安全風(fēng)險
病毒是一種非法程序,它是為了達到某種企圖而秘密編寫的,它的復(fù)制能力非常強。病毒能夠給計算機網(wǎng)絡(luò)帶來毀滅性的破壞。
尤其是目前互聯(lián)網(wǎng)的發(fā)展速度日新月異,使用電子郵件系統(tǒng)的用戶變得越來越多,致使網(wǎng)絡(luò)成為了病毒擴散的重要載體,并且能夠借助計算機這一載體將病毒肆意地傳播開來。由此可見,校園網(wǎng)的網(wǎng)絡(luò)信息在病毒肆意蔓延的環(huán)境下存在著諸多安全隱患。
2.4管理導(dǎo)致的安全風(fēng)險
在網(wǎng)絡(luò)安全中,管理占據(jù)著十分重要的地位。不少學(xué)校都將學(xué)校的建設(shè)放在重要的位置,而不太重視學(xué)校的管理工作,尤其是網(wǎng)絡(luò)安全管理。
可見,出現(xiàn)網(wǎng)絡(luò)安全的一個重要原因就是學(xué)校沒有制定完善的安全管理制度。
如,校園網(wǎng)的網(wǎng)絡(luò)用戶沒有樹立較強的安全意識,校園網(wǎng)缺乏完善的管理制度,校園網(wǎng)絡(luò)管理員設(shè)置不合理以及用戶口令設(shè)置不恰當(dāng)?shù)鹊?,這些都給校園網(wǎng)帶來了嚴(yán)重的安全隱患。
2.5系統(tǒng)導(dǎo)致的安全風(fēng)險
由系統(tǒng)導(dǎo)致的安全風(fēng)險主要來自于數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)。大多數(shù)校園網(wǎng)一般使用三種系列的操作系統(tǒng),它們是Linux、Unix以及Windows,使用程度最高的系列是最后一種。
不言而喻,每一種操作系統(tǒng)都不可能是完美的,或多或少都會存在一些未知和已知的安全問題,并且國家安全組織也對系統(tǒng)中存在的大量漏洞給予了披露。系統(tǒng)中存在的有些漏洞能夠使攻擊者暢通無阻地進入到管理員的網(wǎng)絡(luò)系統(tǒng)中,進而破壞網(wǎng)絡(luò)系統(tǒng),還有些漏洞能夠為病毒的入侵提供便利的條件等等。
總之,系統(tǒng)中存在的風(fēng)險也嚴(yán)重威脅著校園網(wǎng)的網(wǎng)絡(luò)信息的安全。
3保護校園網(wǎng)信息安全的對策
3.1重視網(wǎng)絡(luò)安全規(guī)劃
注重對校園網(wǎng)實施安全規(guī)劃的目標(biāo)是為了從系統(tǒng)性的角度對網(wǎng)絡(luò)中的安全問題進行全面性的思考。網(wǎng)絡(luò)安全規(guī)劃的內(nèi)容比較多,主要有病毒防御、加密技術(shù)、訪問攔截、認(rèn)證技術(shù)以及攻擊檢測技術(shù)等安全預(yù)防措施;安全服務(wù);安全管理制度,如工作流程、網(wǎng)絡(luò)工作人員以及維護保障制度等;安全防范策略;應(yīng)用服務(wù)器、應(yīng)用系統(tǒng)的分布情況、數(shù)據(jù)庫系統(tǒng)設(shè)置的位置;內(nèi)部網(wǎng)絡(luò)的邏輯劃分以及外部網(wǎng)絡(luò)的邏輯劃分;安全評估、數(shù)據(jù)備份與恢復(fù)措施、減災(zāi)措施以及實施計劃等。
在校園網(wǎng)建設(shè)規(guī)劃的同時,要同時做好校園網(wǎng)的信息規(guī)劃工作,并將其列入到校園網(wǎng)建設(shè)規(guī)劃中的重要事項當(dāng)中。
3.2對網(wǎng)絡(luò)區(qū)域進行科學(xué)合理地劃分
站在安全的角度考慮,校園網(wǎng)對網(wǎng)絡(luò)區(qū)域進行科學(xué)合理地劃分是十分有必要的。在對網(wǎng)絡(luò)區(qū)域進行劃分時,需要充分考慮整體的安全規(guī)劃以及信息安全密級,運用邏輯思維對內(nèi)網(wǎng)和外網(wǎng)進行劃分,劃分出安全區(qū)域(內(nèi)網(wǎng)區(qū)域)、不安全區(qū)域以及非軍事區(qū)(DMZ),然后還要考慮到學(xué)校對網(wǎng)絡(luò)的需求情況,對虛擬專用網(wǎng)(VLAN)進行合理地劃分,如圖1所示。
圖1網(wǎng)絡(luò)區(qū)域的劃分
校園網(wǎng)的內(nèi)部網(wǎng)絡(luò)區(qū)域?qū)儆诎踩珔^(qū)域,這個區(qū)域是不允許外部用戶進行訪問的,因為其擁有較高的安全等級。
該區(qū)域運行的系統(tǒng)主要有OA系統(tǒng)以及各種應(yīng)用系統(tǒng),而這個區(qū)域應(yīng)該存放的服務(wù)器主要有數(shù)據(jù)庫服務(wù)器以及不同種類的內(nèi)部服務(wù)器。
內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶都可以對非軍事區(qū)進行訪問。這個區(qū)域能夠為外界提供Ftp服務(wù)、Web服務(wù)以及Email服務(wù)等多種服務(wù)。
因此,也需要為這個區(qū)域制定一些安全防護措施。校園網(wǎng)防火墻以外的網(wǎng)路接口處外部的區(qū)域被規(guī)定為了不安全區(qū)域。在認(rèn)真分析了校園網(wǎng)用戶的特征之后,總結(jié)出該結(jié)構(gòu)具有的特征如下:
1)通過校園網(wǎng)的入侵檢測系統(tǒng)和防火墻,校園網(wǎng)用戶都能對互聯(lián)網(wǎng)進行訪問,使廣大校園網(wǎng)的用戶能夠方便地使用網(wǎng)絡(luò);
2)DMZ(demilitarized zone)與外部區(qū)間之間設(shè)有防火墻,能夠為校園網(wǎng)提供信息過濾以及訪問控制等防護措施。非軍事區(qū)域內(nèi)提供的所有網(wǎng)絡(luò)服務(wù),內(nèi)部網(wǎng)絡(luò)用戶和外部網(wǎng)絡(luò)用戶都能夠享受,即都能夠?qū)υ搮^(qū)域進行訪問。
因此,需要在分析非軍事區(qū)域的特點,為其制定出行之有效的安全防護措施。在這些安全措施制定期間,要對內(nèi)部網(wǎng)絡(luò)用戶和外部網(wǎng)絡(luò)用戶做出一些規(guī)定,對開放服務(wù)不設(shè)置權(quán)限,但是對內(nèi)網(wǎng)的各種服務(wù)需要暫時設(shè)置一些權(quán)限,不能允許內(nèi)外網(wǎng)用戶進行訪問;
3)內(nèi)網(wǎng)區(qū)域具有較高的安全級別,在對其進行設(shè)置安全防護措施時,可以同時利用入侵檢測系統(tǒng)和防火墻,使二者進行相互配合,建立健全安全防御體系。
3.3運用行之有效的網(wǎng)絡(luò)安全防御技術(shù)
3.3.1防火墻安全技術(shù)
防火墻這種網(wǎng)絡(luò)設(shè)備能夠?qū)W(wǎng)絡(luò)之間的訪問起到一定的控制作用,它主要是通過攔截認(rèn)證資格的用戶進入內(nèi)部網(wǎng)絡(luò)、篩選不安全信息的方式,以達到保護內(nèi)部網(wǎng)絡(luò)的目的,實質(zhì)上防火墻是一種位于內(nèi)外網(wǎng)之間的安全防御系統(tǒng)。然而防火墻這種安全技術(shù)無法控制內(nèi)部出現(xiàn)的沒有認(rèn)證授權(quán)
就進行訪問的狀況。所以比較適合應(yīng)用于相對較為獨立的內(nèi)部網(wǎng)絡(luò),并且和外網(wǎng)的連接的途徑受到一定的限制、網(wǎng)路服務(wù)種類比較集中的網(wǎng)絡(luò)。
在對外界入侵者進行防御時,防火墻應(yīng)用的技術(shù)主要有應(yīng)用網(wǎng)關(guān)、數(shù)據(jù)包過濾以及服務(wù)等,以達到維護校園網(wǎng)絡(luò)安全的目的。
3.3.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)可以提高網(wǎng)絡(luò)數(shù)據(jù)的安全系數(shù),避免出現(xiàn)重要數(shù)據(jù)信息被濫用、篡改以及泄露的現(xiàn)象,從而為網(wǎng)絡(luò)的安全運行提供一個良好的環(huán)境。
而那些沒有運用加密技術(shù)的網(wǎng)絡(luò)數(shù)據(jù)容易在運行時受到外界的阻攔,給信息使用者帶來極大的經(jīng)濟損失。數(shù)據(jù)加密技術(shù)主要有三大類:對稱型加密技術(shù)、不可逆加密技術(shù)以及不對稱型加密技術(shù)。
總之,在網(wǎng)絡(luò)上應(yīng)用這三大類加密技術(shù)可以為網(wǎng)絡(luò)運行創(chuàng)造出一種安全可靠的環(huán)境。
3.3.3網(wǎng)絡(luò)入侵檢測技術(shù)
網(wǎng)絡(luò)入侵是指通過不合法的手段企圖使信息系統(tǒng)的完整性、機密性以及可信性受到嚴(yán)重破壞的任何網(wǎng)絡(luò)活動,對網(wǎng)絡(luò)環(huán)境的安全性造成了嚴(yán)重的威脅。
而入侵檢測(Intrusion Detection)技術(shù)能夠?qū)W(wǎng)絡(luò)的外部環(huán)境進行檢測,而且還能對網(wǎng)絡(luò)內(nèi)部用戶的未授權(quán)活動進行檢測,極大程度上提高了其安全性。網(wǎng)絡(luò)入侵技術(shù)通過利用新型的攻守結(jié)合戰(zhàn)略來對相關(guān)數(shù)據(jù)進行檢測,并及時驗證其是否具有合法利用特權(quán),并且還能搜集相關(guān)證據(jù),借此來追究入侵者的非法行為。
IDS是入侵檢測技術(shù)中常用的一種能夠為管理者提供安全可靠信息的檢測系統(tǒng),它能夠及時地檢測到網(wǎng)絡(luò)運行中出現(xiàn)的可疑或不安全因素,然后將其真實地告訴網(wǎng)絡(luò)管理者,以便于采取有效的措施進行防御。
市場上比較常見的IDS產(chǎn)品綜合采
用三個基本方法來檢測網(wǎng)絡(luò)入侵:即為追蹤分析、網(wǎng)包分析及實時活動監(jiān)控。
參考文獻
[1]鄧長春.淺談網(wǎng)絡(luò)信息安全面臨的問題和對策[J].電腦與電信,2007(3).
[2]陳文冠,曹亮,陳興華.高校校園網(wǎng)信息安全的研究[J].科技管理研究,2007(2).