時間:2022-09-03 23:50:36
導(dǎo)語:在網(wǎng)絡(luò)安全論文的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能。
從廣義的程度上來講,金融網(wǎng)絡(luò)安全主要是指金融網(wǎng)絡(luò)體系中包括的軟件、硬件等設(shè)備不會因為偶然或者故意等原因而遭到破壞、泄露,保證系統(tǒng)可以連續(xù)的運行,網(wǎng)絡(luò)服務(wù)也可以持續(xù)的進行,從而有效的實現(xiàn)網(wǎng)絡(luò)金融交易。一般情況下,金融網(wǎng)絡(luò)安全主要包括兩個部分的安全,即系統(tǒng)安全與信息安全。系統(tǒng)安全主要就是指系統(tǒng)網(wǎng)絡(luò)中存在的硬件、應(yīng)用軟件等方面的安全;信息安全則主要是指保證系統(tǒng)中信息的存儲、訪問的安全。此外,信息安全最基本的目標(biāo)就是有效的實現(xiàn)信息的完整性、準(zhǔn)確性以及合法可用性,通過這些方面可以看出金融網(wǎng)絡(luò)的安全風(fēng)險主要有以下幾個方面:
1)信息泄露。信息泄露主要是指信息被泄露給規(guī)定機構(gòu)意外的人員使用。導(dǎo)致信息出現(xiàn)泄露的原因可能是信息訪問的過程中被竊聽或是對信息進行探測等。
2)信息偽造。偽造主要是指不相關(guān)人員或機構(gòu)對真實的信息進行偽造,從而獲取合法用戶的使用權(quán)利,使得信息的真實性遭到破壞。
3)信息篡改。篡改主要是指不相關(guān)的人員或機構(gòu)對系統(tǒng)內(nèi)的資源進行篡改,使得信息的完整以及真實性遭到損壞。
4)參與者對所作的行為進行否認(rèn)。這主要是指參與者否認(rèn)自己的行為,而從中獲取非法利益。
5)非法訪問。這主要是指無權(quán)對信息進行訪問的人員對系統(tǒng)內(nèi)的信息資源進行非法使用,從而使得信息可能被濫用,而對金融網(wǎng)絡(luò)交易造成不利的影響。
2金融網(wǎng)絡(luò)安全服務(wù)的內(nèi)容
通過以上對金融網(wǎng)絡(luò)存在的安全風(fēng)險進行了分析,并在分析的基礎(chǔ)上提出了一些在保障網(wǎng)絡(luò)金融安全體系中必須做到的,主要包括以下幾點:
1)實現(xiàn)機密性保護。機密性主要是指對系統(tǒng)內(nèi)的數(shù)據(jù)進行某種特定形式的轉(zhuǎn)換而保護真實的信息。要實現(xiàn)機密性保護,一般情況下是采用密碼防控技術(shù),即對系統(tǒng)內(nèi)的數(shù)據(jù)進行加密處理,對真實的信息進行隱藏,并轉(zhuǎn)換為密文。在這種情況下,即使外部使用者獲取到了數(shù)據(jù)也無法得到相關(guān)的信息;此外還要對數(shù)據(jù)流進行保護,做到對傳輸?shù)臄?shù)據(jù)源、頻率等情況進行加密,從而有效的避免外部使用者通過截取數(shù)據(jù)流而獲取信息內(nèi)容。
2)對數(shù)據(jù)來源進行認(rèn)證。這主要是指根據(jù)傳輸過來的數(shù)據(jù)中所包含的的信息進行驗證,從而確定所傳輸?shù)臄?shù)據(jù)是來自于發(fā)起方。而對數(shù)據(jù)來源進行認(rèn)證,最主要的目的就是確定所傳輸數(shù)據(jù)與發(fā)起方之間的不可破壞的聯(lián)系。
3)對參與者的人身份進行認(rèn)證。這主要是指保證參與者身份正確,一般情況下,對參與者的身份進行認(rèn)證是在協(xié)商階段,一旦參與者的身份確認(rèn)無誤,系統(tǒng)中的應(yīng)用程序就會賦予參與者相應(yīng)的權(quán)利,從而實現(xiàn)參與者的操作,而且對參與者的身份進行了認(rèn)證科研作為以后系統(tǒng)訪問的控制提供設(shè)計依據(jù)。
4)確保數(shù)據(jù)的完整性與真實性。保證數(shù)據(jù)的完整性與真實性主要就是指數(shù)據(jù)在傳輸?shù)倪^程中沒有被攻擊者修改。在金融網(wǎng)絡(luò)交易中,這兩個方面主要用于對數(shù)據(jù)流的處理過程中,充分的保證數(shù)據(jù)在傳輸?shù)倪^程中沒有被修改等,從而確保收到的信息內(nèi)容與發(fā)出時保持一致,一旦發(fā)現(xiàn)數(shù)據(jù)不完整或不真實,則說明該數(shù)據(jù)不可進行使用。
5)不可否認(rèn)。這主要是為了有效的避免發(fā)收雙方對所傳輸?shù)臄?shù)據(jù)進行否認(rèn)。在這種情況下,當(dāng)數(shù)據(jù)進行傳輸時,必須對數(shù)據(jù)進行相應(yīng)的處理,保證接收方所受到的信息是從特定的發(fā)送方所發(fā)出的,同時,當(dāng)接收方對是、傳輸?shù)臄?shù)據(jù)進行接受后,也應(yīng)進行相應(yīng)的處理并告知發(fā)送方信息已被接受。
6)對訪問進行控制。訪問控制最主要的目標(biāo)就是有效的防止外部使用者在未經(jīng)授權(quán)的情況下對信息進行訪問,從而保證信息的保密,同時進行訪問控制好可以有效的保證敏感信息在安全的環(huán)境中進行傳輸。對于金融網(wǎng)絡(luò)安全服務(wù)內(nèi)容與安全風(fēng)險的對應(yīng)關(guān)系如下表所示:
3金融網(wǎng)絡(luò)的安全體系設(shè)計的防護原則
從計算機的特性上來講,網(wǎng)絡(luò)安全包含了網(wǎng)絡(luò)中的所有層次,所有對于金融網(wǎng)絡(luò)的安全防護只單一的從一個層次去進行安全的保護是遠遠不夠的,所以必須從多個方面進行金融網(wǎng)絡(luò)安全的實施,根據(jù)對計算機的層次結(jié)構(gòu)分析,金融網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)安全、鏈路安全以及應(yīng)用安全這三個部分。網(wǎng)絡(luò)安全的原則就是將需要進行保護的網(wǎng)絡(luò)獨立出來,從而成為一個可以進行獨立管理以及控制的內(nèi)部網(wǎng)絡(luò)系統(tǒng),而在此所以采用的就是防火墻來實現(xiàn)對內(nèi)外部網(wǎng)絡(luò)的隔離與控制,進而保證金融網(wǎng)絡(luò)的安全。在這個方面,運用的技術(shù)設(shè)備主要是入侵檢測系統(tǒng),通過對網(wǎng)絡(luò)中的漏洞進行掃描并進行正確的分析,實現(xiàn)網(wǎng)絡(luò)的安全。鏈路安全主要是保證數(shù)據(jù)在傳輸過程中安全,在這個方面主要是通過對鏈路進行加密,同時對參與者的身份進行驗證,有效的將內(nèi)外部區(qū)域進性劃分,從而保證數(shù)據(jù)在傳輸過程中的安全。而應(yīng)用安全則是三者中最高層次,主要是采用密碼技術(shù)來對參與者的身份進行驗證,并同時進行訪問的控制,保證數(shù)據(jù)的完整性,安全性。由于網(wǎng)絡(luò)的開發(fā)性以及資源的共享,使得信息極易被竊取,篡改,從而造成信息的的不安全,所以為了有效的保證信息的安全,必須采取有效的技術(shù)策略,進而充分的實現(xiàn)對金融網(wǎng)絡(luò)的安全防范。
4金融網(wǎng)絡(luò)安全體系的設(shè)計
對于金融網(wǎng)絡(luò)安全體系的設(shè)計,從技術(shù)層面上講,金融網(wǎng)絡(luò)安全體系中的組成部分主要有軟件系統(tǒng)、網(wǎng)絡(luò)監(jiān)控、防火墻、信息加密,安全掃描等多個方面。而這些安全部分由于只能完成自己所要完成的功能,只有當(dāng)所有的安全組件都有效的完成自己的任務(wù),才能構(gòu)成一個完整的金融網(wǎng)絡(luò)安全系統(tǒng),而要真正實現(xiàn)安全保護這些構(gòu)成組件缺一不可。從這里也可以看出金融網(wǎng)絡(luò)安全是一個系統(tǒng)整體的工程,要想真正的實現(xiàn)金融網(wǎng)絡(luò)交易的安全,就必須保證所涉及的網(wǎng)絡(luò)設(shè)備以及這些組件的安全。對金融網(wǎng)絡(luò)安全體系進行設(shè)計研究,最主要的目的就是為了對金融網(wǎng)絡(luò)的整個交易過程進行全程保護,這就使得對于金融網(wǎng)絡(luò)安全的保護并不只是某些安全設(shè)備就可以獨立完成的,必須充分的采用各種安全防范技術(shù),設(shè)計出一個全方位、多層次的網(wǎng)絡(luò)安全體系,在上面提出的安全防護原則的基礎(chǔ)上,以及通過采用防火墻、個人安全平臺等多種安全技術(shù)來金融網(wǎng)絡(luò)安全體系進行了設(shè)計,金融網(wǎng)絡(luò)安全體系圖如下圖所示:在這個設(shè)計圖中,金融網(wǎng)絡(luò)安全體系所采用的安全設(shè)備主要有以下幾種:
1)防火墻。在入口的地方進行防火墻的設(shè)置,可以有效的控制外界對資源的訪問,從而有效的實現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)上的相隔離以及資源的訪問控制,從而有效的保障系統(tǒng)內(nèi)信息資源的安全性、完整性以及真實性。
2)外部入侵檢測系統(tǒng)。這種系統(tǒng)主要是及時的對違規(guī)信息進行識別并進行處理,它存在與任何存在數(shù)據(jù)風(fēng)險的地方,通過及時的截取網(wǎng)絡(luò)數(shù)據(jù)流,對入侵的數(shù)據(jù)進行識別、記錄并破壞截取信息的代碼,從而額準(zhǔn)確的判斷出未經(jīng)授權(quán)的信息訪問,一旦發(fā)現(xiàn)存在這類情況,入侵檢測系統(tǒng)可以及時的根據(jù)系統(tǒng)內(nèi)所設(shè)定的安全策略進行處理,從而阻止未經(jīng)授權(quán)者對信息的繼續(xù)訪問。
3)虛擬專用網(wǎng)。虛擬專用網(wǎng)可以在各網(wǎng)絡(luò)連接點之間建立一個安全加密隧道,從而實現(xiàn)數(shù)據(jù)在傳輸?shù)倪^程中不會被竊取或者篡改,從而及時,準(zhǔn)確的將信息傳達給所需用戶,進而實現(xiàn)信息資源的共享。
4)個人安全平臺。個人安全平臺主要是為了實現(xiàn)對系統(tǒng)內(nèi)的資源以及計算機進行保護,而在一些關(guān)鍵的設(shè)備上設(shè)置個人安全平臺可以有效的實現(xiàn)對系統(tǒng)內(nèi)資源信息的訪問,從而有效的防止數(shù)據(jù)被竊取或者被篡改。對于這個金融網(wǎng)絡(luò)安全體系的設(shè)計與研究,可以對金融網(wǎng)絡(luò)安全中存在的內(nèi)外部風(fēng)險同時進行有效的防范,從而最大程度上保障金融網(wǎng)絡(luò)的安全。
5結(jié)束語
1.1網(wǎng)絡(luò)安全的定義
國際標(biāo)準(zhǔn)化組織(ISO)將網(wǎng)絡(luò)安全[2]定義為:為數(shù)據(jù)處理系統(tǒng)建立相應(yīng)的安全保護措施,保護運行在網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不被黑客更改、破壞或者泄露,從而保證了網(wǎng)絡(luò)服務(wù)不中斷,使得系統(tǒng)可靠安全地運行.上述網(wǎng)絡(luò)安全的定義包含兩方面內(nèi)容:物理安全和邏輯安全.其中物理安全是指在構(gòu)建網(wǎng)絡(luò)系統(tǒng)的時候,保證物理線路能夠防雷、放火、防水、防盜等,能夠保證物理線路連續(xù)的進行數(shù)據(jù)傳輸.而邏輯安全通常指的是傳輸在網(wǎng)絡(luò)上數(shù)據(jù)的信息安全,即對網(wǎng)絡(luò)上傳輸信息的保密性、可用性和完整性的保護.另一方面,網(wǎng)絡(luò)安全性的涵義也可以理解成是信息安全的一種引申,即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息的保密性、可用性和完整性提供相應(yīng)的保護.概括的說,可以將網(wǎng)絡(luò)安全定義為:為保證目前網(wǎng)絡(luò)中運行的系統(tǒng)、信息數(shù)據(jù)、信道傳輸數(shù)據(jù)和信息內(nèi)容的安全而采取相應(yīng)的措施,從而保證網(wǎng)絡(luò)中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性.
1.2網(wǎng)絡(luò)安全基本特征
網(wǎng)絡(luò)安全應(yīng)具有保密性、可用性、可控性、可審查性、完整性等五個方面的特征.保密性:信息未經(jīng)授權(quán)不泄露給任何用戶,而且信息的特性也具有保密性,其它非授權(quán)用戶、實體或過程無法利用其特征.可用性:用戶經(jīng)過授權(quán)后可按需使用,即授權(quán)用戶當(dāng)需要該信息時能否正常存取.網(wǎng)絡(luò)環(huán)境下常見的可用性的攻擊包括拒絕服務(wù)攻擊、破壞網(wǎng)絡(luò)或系統(tǒng)的正常運行等.可控性:對網(wǎng)絡(luò)中傳播的信息及其內(nèi)容具有控制能力.可審查性:當(dāng)網(wǎng)絡(luò)中出現(xiàn)安全問題時可提供相應(yīng)的依據(jù)與手段,便于追蹤攻擊源.完整性:用戶未經(jīng)授權(quán)不能隨意改變數(shù)據(jù)的特性,即信息在保存或者傳輸?shù)倪^程中擁有不被修改、破壞或丟失的特性,保證了信息的完整性.
2校園網(wǎng)建設(shè)概述及其安全威脅
隨著互聯(lián)網(wǎng)的快速普及,校園網(wǎng)建設(shè)已經(jīng)成為學(xué)校的基礎(chǔ)建設(shè)之一,教育信息化、數(shù)字化已經(jīng)成為教育發(fā)展的主方向,校園網(wǎng)已成為學(xué)校日常教學(xué)、辦公、科研、管理、生活主要的工具和手段之一,并發(fā)揮著越來越重要的作用[3].另一方面,隨著國家科教興國戰(zhàn)略的實施,政府加強了對學(xué)校的投資,由此也加強了學(xué)校對校園網(wǎng)的建設(shè).中國教育和科研計算機網(wǎng)(CER-NET)的成立,標(biāo)志著教育網(wǎng)的形成.CERNET主干網(wǎng)絡(luò)傳輸速率已達到2.5Gpbs,總?cè)萘窟_40Gpbs,它吸引超過1000所高校的鼎力加盟,覆蓋全國超過200個城市.目前,大部分學(xué)校都已建成校園網(wǎng),實現(xiàn)了校園網(wǎng)的整體覆蓋,包括辦公樓、教學(xué)樓、宿舍樓等.校園網(wǎng)同時與Internet對接,實現(xiàn)了校園辦公教學(xué)的信息化、自動化.如圖1所示,為一個簡單的校園網(wǎng)組網(wǎng)模型.隨著CERNET的建設(shè)不斷提高,校園網(wǎng)已經(jīng)成為互聯(lián)網(wǎng)的重要組成部分之一,是學(xué)校信息化、數(shù)字化建設(shè)的基礎(chǔ)設(shè)施,同時擔(dān)任著科研與教學(xué)的重要任務(wù).然而,目前國內(nèi)大多數(shù)學(xué)校都缺乏對校園網(wǎng)建設(shè)的綜合規(guī)劃、缺乏相應(yīng)的網(wǎng)絡(luò)管理措施、以及對校園網(wǎng)絡(luò)的認(rèn)識不足,這些都極大阻礙了校園網(wǎng)的發(fā)展.因此合理地對校園網(wǎng)絡(luò)升級,是目前學(xué)校校園網(wǎng)工程的首要目標(biāo)之一[4].同時,校園網(wǎng)作為學(xué)校數(shù)字化、信息化的基礎(chǔ)設(shè)施,安全問題不容忽視.在互聯(lián)網(wǎng)開放程度很高的今天,校園網(wǎng)往往最容易成為黑客攻擊的目標(biāo).威脅校園網(wǎng)安全的因素有很多,但主要的安全威脅有以下幾類.
2.1TCP/IP協(xié)議漏洞造成的威脅
現(xiàn)在互聯(lián)網(wǎng)上使用最多的協(xié)議就是TCP/IP協(xié)議了,這幾乎是所有校園網(wǎng)采用的網(wǎng)絡(luò)傳輸協(xié)議.TCP/IP協(xié)議在設(shè)計之初,就沒有考慮安全問題,它只考慮如何把信息互相傳輸,因此存在很大的安全威脅.雖然國際標(biāo)準(zhǔn)化組織提出的OSI七層協(xié)議能夠很好的保證網(wǎng)絡(luò)安全,但是由于TCP/IP協(xié)議的開放性和通用性幾乎占用了整個市場,使得OSI七層協(xié)議無法推廣.所以,目前網(wǎng)絡(luò)黑客針對TCP/IP漏洞攻擊有很多,例如:數(shù)據(jù)竊聽、源地址欺騙、ARP欺騙等等.
(1)數(shù)據(jù)竊聽(PacketSniff).TCP/IP協(xié)議從設(shè)計之初,就采取的是數(shù)據(jù)包明碼傳輸,這種傳輸模式使得數(shù)據(jù)包很容易被竊聽、修改和偽造.黑客可以利用一系列工具獲取網(wǎng)絡(luò)中正在傳輸?shù)臄?shù)據(jù)包,竊取用戶有利用價值的信息,如用戶賬戶和密碼等信息.同時,黑客也能修改和偽造數(shù)據(jù)包,讓用戶誤入釣魚網(wǎng)站或者竊取網(wǎng)上銀行信息,給用戶造成直接經(jīng)濟損失.特別是在校園網(wǎng)中,數(shù)據(jù)包流通比較集中,一旦獲取了校園網(wǎng)服務(wù)器或管理員賬號信息,將會給校園網(wǎng)絡(luò)造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網(wǎng)絡(luò)安全中,一個比較重要的安全問題就是源地址欺騙.這里的源地址,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉(zhuǎn)發(fā),信息會發(fā)生變化,而且在實際的網(wǎng)絡(luò)系統(tǒng)中,也有一定的限制,改造欺騙難度比較大,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機IP地址,騙取防火墻信任,從而對校園網(wǎng)內(nèi)部發(fā)起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個完整的IP數(shù)據(jù)包中,通常只包含源地址和目的地址,即路由器可以知道數(shù)據(jù)包從哪個主機發(fā)送出來,將要到達哪個主機.源路由是指數(shù)據(jù)包將會列出所要經(jīng)過的路由,路由器將會根據(jù)這些指定的路由將數(shù)據(jù)包送達相應(yīng)的主機,然后根據(jù)其反向路由進行應(yīng)答,從而實現(xiàn)主機之間的通信.而源路由選擇欺騙,則是攻擊者通過偽造主機源路由,讓數(shù)據(jù)包經(jīng)過該主機必經(jīng)路由,使受攻擊主機出現(xiàn)錯誤判斷,將某些被保護的數(shù)據(jù)提供給了攻擊者.另一方面,由于路由器一般對接收到的路由信息是不經(jīng)過檢驗的,這樣就給攻擊者提供便利,攻擊者可以發(fā)送虛假數(shù)據(jù)包,改變某些重要數(shù)據(jù)包的傳遞路徑,使得數(shù)據(jù)在傳遞到正常主機前,即可抓取分析,從而也達到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協(xié)議還無法證明網(wǎng)絡(luò)身份的真實有效性,因此黑客可以偽造他人合法身份入侵到網(wǎng)絡(luò)系統(tǒng)或者獲取密鑰信息,從而達到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協(xié)議,作用是將網(wǎng)絡(luò)中的IP地址轉(zhuǎn)換成MAC物理地址的協(xié)議.因為在局域網(wǎng)中,尤其是在校園網(wǎng)中,使用最多的往往是MAC地址進行傳輸,而不是IP地址進行傳輸,所以ARP協(xié)議能夠很快的讓局域網(wǎng)中的兩臺主機進行通信.而黑客只需在局域網(wǎng)中進行網(wǎng)絡(luò)監(jiān)聽,獲取到一臺主機A的節(jié)點信息(IP地址和MAC地址),就能偽造A的數(shù)據(jù)包,與B進行通信,獲取有用信息.另一方面,黑客可以偽造一個不存在的MAC地址在局域網(wǎng)內(nèi)傳播,形成廣播風(fēng)暴,這樣會造成網(wǎng)絡(luò)不通,給局域網(wǎng)造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務(wù)攻擊,攻擊者的目的是讓目標(biāo)主機或網(wǎng)絡(luò)無法提供正常服務(wù).因為TCP協(xié)議采用三次握手建立一次連接,而任何一次握手失敗,則會重新發(fā)送.攻擊者正是利用這一個協(xié)議漏洞,采取不斷建立連接,然后丟棄該連接數(shù)據(jù)包,使得服務(wù)器處于等待狀態(tài),如果攻擊者一直持續(xù)連接和丟棄的過程,則服務(wù)器和網(wǎng)絡(luò)所有的資源會被完全消耗,導(dǎo)致計算機或網(wǎng)絡(luò)無法正常工作,從而達到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊,即分布式拒絕服務(wù)攻擊,它是指攻擊者借助一系列工具或手段,聯(lián)合多個計算機組成攻擊平臺,對一個或數(shù)個目標(biāo)發(fā)動DoS攻擊.最基本的DoS是利用合法的服務(wù)請求,占用攻擊目標(biāo)主機大量服務(wù)資源,使得正常用戶無法訪問.然而DoS服務(wù)需要占用大量帶寬,單個計算機攻擊肯定無法達到攻擊者想要的目標(biāo).因此網(wǎng)絡(luò)黑客會抓取網(wǎng)絡(luò)“肉雞”,集合大量網(wǎng)絡(luò)帶寬,組成龐大的攻擊平臺,可以在瞬間讓被攻擊目標(biāo)處于癱瘓狀態(tài).
(8)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號,形成一個TCP封包,對網(wǎng)絡(luò)中可信節(jié)點進行攻擊.而且最重要的是,黑客可能利用偽造的TCP封包發(fā)動SYN攻擊,讓服務(wù)器無法完成三次握手,造成服務(wù)器開放大量等待端口,影響正常網(wǎng)絡(luò)訪問,嚴(yán)重時,可直接造成服務(wù)器死機,如果該服務(wù)器是WEB服務(wù)器或者DNS服務(wù)器,那么可能導(dǎo)致網(wǎng)站主頁無法鏈接或者校園網(wǎng)內(nèi)部用戶無法訪問外部網(wǎng)絡(luò).
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協(xié)議是Internet控制報文協(xié)議,它屬于TCP/IP協(xié)議下的一個子協(xié)議,用于在IP主機和路由器之間傳遞控制消息.其中控制消息是指網(wǎng)絡(luò)是否暢通、主機是否可連接、路由是否可用等一系列消息,它對數(shù)據(jù)傳輸有很重要的作用.而ICMP攻擊是指利用操作系統(tǒng)ICMP的尺寸大小不得超過64KB這一規(guī)定,發(fā)動“PingofDeath”攻擊,當(dāng)主機ICMP數(shù)據(jù)包尺寸超過64KB時,主機會發(fā)生內(nèi)存分配錯誤,導(dǎo)致TCP/IP堆棧崩潰,使得目標(biāo)主機死機.雖然操作系統(tǒng)通過取消ICMP數(shù)據(jù)包大小限制來解決該漏洞,但是向目標(biāo)主機發(fā)動持續(xù)、大規(guī)模的ICMP攻擊,會消耗主機CPU、內(nèi)存等資源,嚴(yán)重時也會導(dǎo)致目標(biāo)主機癱瘓,無法提供正常服務(wù).
2.2漏洞威脅
軟件和操作系統(tǒng)是由程序員編寫的,而在開發(fā)的過程中,多多少少會存在各種各樣的漏洞問題,這些漏洞如果不能及時修復(fù),將會對主機造成重大安全威脅.一旦該主機被攻破,同時也會給該主機處在的局域網(wǎng)中的其它機器造成威脅,情況嚴(yán)重時,甚至?xí)斐烧麄€網(wǎng)絡(luò)癱瘓.近幾年來,無論是Windows操作系統(tǒng),還是Linux操作系統(tǒng),的補丁數(shù)目一直持續(xù)增加.特別是Windows操作系統(tǒng),在校園網(wǎng)內(nèi)擁有的用戶眾多,如果沒能及時修復(fù)各種漏洞,勢必會影響整個校園網(wǎng)安全.
2.3病毒、木馬威脅
近些年來,隨著互聯(lián)網(wǎng)的普及,網(wǎng)絡(luò)上各種各樣的開源軟件繁多,有些開源軟件打著免費的旗號,暗留后門或者對操作系統(tǒng)植入木馬,稍不注意,就會對整個系統(tǒng)造成重大影響.同時,網(wǎng)絡(luò)上黑客也會主動攻擊,種植木馬,抓取網(wǎng)絡(luò)肉雞,作為自己攻擊的跳板,對互聯(lián)網(wǎng)上其它的計算機造成嚴(yán)重威脅.
2.4初級黑客攻擊
校園網(wǎng)因為自身局限性,其網(wǎng)絡(luò)管理水平無法與企業(yè)相比,因此很容易受到網(wǎng)絡(luò)上初級黑客的攻擊,作為他們試手的目標(biāo).另外一方面,互聯(lián)網(wǎng)出現(xiàn)的一系列黑客教程、黑客工具,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡單,這讓許多初級黑客也能在一段時間內(nèi)對網(wǎng)絡(luò)造成嚴(yán)重的攻擊.且根據(jù)心理學(xué)研究分析,很多普通攻擊者往往有炫耀心理,即把校園網(wǎng)作為自己攻擊的目標(biāo),以獲取所謂的成功感,這讓校園網(wǎng)增加更多的威脅.
3目前校園網(wǎng)網(wǎng)絡(luò)建設(shè)中存在的主要安全問題
目前在校園網(wǎng)網(wǎng)絡(luò)建設(shè)中主要存在的安全問題分為人為因素導(dǎo)致的安全問題和非人為因素導(dǎo)致的安全問題.
3.1人為因素導(dǎo)致的網(wǎng)絡(luò)安全問題
3.1.1校園網(wǎng)用戶數(shù)量龐大
校園網(wǎng)內(nèi)用戶量眾多且處在同一個局域網(wǎng)中,同時,校園網(wǎng)內(nèi)服務(wù)器數(shù)量也是別的局域網(wǎng)不能比擬的.用戶量加上數(shù)目可觀、功能強大的服務(wù)器,這些條件也吸引著互聯(lián)網(wǎng)上眾多黑客的攻擊,因此存在著很大的安全隱患.
3.1.2校園網(wǎng)用戶安全意識低
根據(jù)調(diào)查研究發(fā)現(xiàn),校園網(wǎng)的用戶大部分都安全意識不強,用戶計算機整體水平偏低,有一部分校園網(wǎng)用戶基本上不安裝殺毒軟件,也沒能及時給系統(tǒng)打補丁,系統(tǒng)處于“裸奔”狀態(tài).這對于當(dāng)今如此開放的互聯(lián)網(wǎng),將直接為黑客提供攻擊目標(biāo).而且校園網(wǎng)用戶極少學(xué)習(xí)相應(yīng)的安全防范知識,在下載和使用軟件時,基本上不考慮其風(fēng)險性,這些都將會給黑客制造攻擊機會,影響整個校園網(wǎng)安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權(quán)用戶,它在一定程度上破壞了計算機系統(tǒng)的保密性.目前,常見的信息泄密有:操作系統(tǒng)漏洞、流氓軟件、網(wǎng)絡(luò)監(jiān)聽、病毒、木馬、業(yè)務(wù)流分析、網(wǎng)絡(luò)釣魚、電磁、物理入侵、射頻截獲、非法授權(quán)、計算機后門程序.
3.1.4拒絕服務(wù)攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計算機停止提供服務(wù),讓合法的信息或資源訪問被拒絕或者嚴(yán)重推遲.常見的DoS攻擊有:SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統(tǒng)漏洞、病毒、木馬、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網(wǎng)絡(luò)濫用
由于授權(quán)的用戶因操作或行為不當(dāng),導(dǎo)致網(wǎng)絡(luò)濫用,從而導(dǎo)致網(wǎng)絡(luò)安全威脅,例如非法外聯(lián)、非法內(nèi)聯(lián)、設(shè)備濫用、業(yè)務(wù)濫用、移動風(fēng)險等等.
3.2非人為因素導(dǎo)致的網(wǎng)絡(luò)安全問題
網(wǎng)絡(luò)安全除去人為因素外,很大一部分安全威脅來自安全工具和操作系統(tǒng)自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應(yīng)用范圍和環(huán)境,同時安全工具受到人為因素、系統(tǒng)漏洞、程序BUG的影響,這些因素反而給攻擊者帶來了一定的便利.對于操作系統(tǒng)而言,沒有絕對安全的操作系統(tǒng),無論是微軟的Windows系列操作系統(tǒng),還是開源的Linux操作系統(tǒng),都有存在后門或漏洞的可能.世界上沒有絕對安全的操作系統(tǒng),因此在搭建校園網(wǎng)時,要選擇安全性盡可能高的操作系統(tǒng),而且要隨時提供校園網(wǎng)用戶漏洞補丁下載,以及殺毒軟件,保證用戶系統(tǒng)安全性始終最高.由上所述,我們可以說網(wǎng)絡(luò)安全問題絕大部分是由人為因素引起的.現(xiàn)在,國家也制定了相應(yīng)的法律來保護網(wǎng)絡(luò)安全,打擊相應(yīng)的網(wǎng)絡(luò)犯罪活動.但是校園網(wǎng)作為一個龐大的用戶群,如何防范這些網(wǎng)絡(luò)犯罪活動顯得尤為重要.我們不能等著整個網(wǎng)絡(luò)被攻擊導(dǎo)致癱瘓后再想著去防范,而是要在攻擊之前做好準(zhǔn)備工作,讓校園網(wǎng)在安全中運行.
4加強校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)的對策和建議
加強校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)主要從以下幾個方面來進行.
4.1應(yīng)重視校園網(wǎng)網(wǎng)絡(luò)的安全搭建
在校園網(wǎng)工程的建設(shè)中,網(wǎng)絡(luò)系統(tǒng)的搭建是屬于弱電工程,它的耐壓值比較低.由此,在校園網(wǎng)工程的設(shè)計和建設(shè)中,一定要首先考慮人以及網(wǎng)絡(luò)中物理設(shè)備的防火、防電以及防雷等安全問題;考慮網(wǎng)絡(luò)中布線系統(tǒng)與通信線路、照明線路、動力線路、空氣對流管道以及暖氣管道之間的距離;考慮網(wǎng)絡(luò)中物理電路的接地安全;考慮建設(shè)合理的防雷系統(tǒng),保證建筑物、計算機以及其它物理設(shè)備的防雷[6].
4.2應(yīng)加強校園網(wǎng)網(wǎng)絡(luò)的安全維護技術(shù)
從技術(shù)層面來說,網(wǎng)絡(luò)安全主要是由防火墻系統(tǒng)、入侵檢測系統(tǒng)、病毒監(jiān)測系統(tǒng)等多個安全組件組成,單獨的一個組件是無法保證當(dāng)前網(wǎng)絡(luò)信息安全的.最早的網(wǎng)絡(luò)安全技術(shù)是采用邊界閾值控制法,即通過對網(wǎng)絡(luò)邊界的數(shù)據(jù)包進行監(jiān)測,符合規(guī)定的數(shù)據(jù)包可通過,不符合規(guī)定的數(shù)據(jù)包就拋棄,這種方式在一定程度上能阻止對網(wǎng)絡(luò)的入侵和攻擊,但是不能有效防止網(wǎng)絡(luò)攻擊.目前,應(yīng)用比較廣泛的網(wǎng)絡(luò)安全基本技術(shù)有:防火墻技術(shù)、防病毒技術(shù)、數(shù)據(jù)加密技術(shù)等.防火墻[7]指的是一個由硬件和軟件混合組成的設(shè)備,用于將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離起來,建立一層安全保護屏障,它是一種隔離控制技術(shù).常見的防火墻有包過濾技術(shù)、技術(shù)、狀態(tài)監(jiān)測技術(shù)等.相對于防火墻來說,防病毒技術(shù)將是從計算機網(wǎng)絡(luò)內(nèi)部進行防控,主要預(yù)防病毒程序、后門程序、網(wǎng)絡(luò)監(jiān)聽等.目前采取比較多的防病毒手段是對系統(tǒng)進行監(jiān)聽,阻止不合規(guī)定進程.而且防病毒技術(shù)永遠是滯后性的,即防病毒工具一直在病毒出現(xiàn)后才能組織.現(xiàn)在的防病毒技術(shù)和云平臺技術(shù)結(jié)合,已經(jīng)對病毒起到了一定的控制作用.相對前面兩種技術(shù)來說,數(shù)據(jù)加密技術(shù)就比較靈活了.可以將用戶的信息經(jīng)過加密后,再在網(wǎng)絡(luò)上傳輸,及時數(shù)據(jù)被黑客截獲,沒有有效的密鑰,數(shù)據(jù)對黑客來說也只是一堆無效數(shù)據(jù)而已.在開放的互聯(lián)網(wǎng)平臺,數(shù)據(jù)加密能夠有效的保證了用戶的隱私以及數(shù)據(jù)的安全[8].
4.3應(yīng)建立科學(xué)的校園網(wǎng)網(wǎng)絡(luò)管理人員崗位職責(zé)
計算機網(wǎng)絡(luò)安全絕大部分是人為因素引起的.因此在校園網(wǎng)搭建過程中,關(guān)于對計算機系統(tǒng)管理員的培訓(xùn)及管理,是校園網(wǎng)網(wǎng)絡(luò)安全中最重要的一部分.一個不合理的操作,很有可能讓整個網(wǎng)絡(luò)系統(tǒng)癱瘓,因此必須建立健全管理規(guī)范,明確管理員責(zé)任和權(quán)利.同時,要記錄管理員操作信息,當(dāng)發(fā)現(xiàn)不合規(guī)定的記錄時,可以及時分析,如果發(fā)現(xiàn)黑客入侵,則及時采取必要措施杜絕黑客進一步入侵,必要時需向當(dāng)?shù)毓矙C關(guān)報案,減少學(xué)校損失.另外一方面,建立健全的管理制度以及嚴(yán)格的管理模式,可以保證校園網(wǎng)的正常、安全運行.總而言之,網(wǎng)絡(luò)安全涉及的領(lǐng)域很多,是一個綜合性的問題.只有合理的運用相關(guān)技術(shù)以及人員培訓(xùn),才能盡最大可能的把安全威脅降到最低.
5結(jié)語
借助網(wǎng)絡(luò)技術(shù),計算機與各種終端設(shè)備連接在一起,形成各種類型的網(wǎng)絡(luò)系統(tǒng),期間開放性的計算機網(wǎng)絡(luò)系統(tǒng),通過傳輸介質(zhì)和物理網(wǎng)絡(luò)設(shè)備組合而成,勢必存在不同的安全威脅問題。
1.1操作系統(tǒng)安全
操作系統(tǒng)是一種支撐性軟件,為其他應(yīng)用軟件的應(yīng)用提供一個運行的環(huán)境,并具有多方面的管理功能,一旦操作軟件在開發(fā)設(shè)計的時候存在漏洞的時候就會給網(wǎng)絡(luò)安全留下隱患。操作系統(tǒng)是由多個管理模塊組成的,每個模塊都有自己的程序,因此也會存在缺陷問題;操作系統(tǒng)都會有后門程序以備程序來修改程序設(shè)計的不足,但正是后門程序可以繞過安全控制而獲取對程序或系統(tǒng)的訪問權(quán)的設(shè)計,從而給黑客的入侵攻擊提供了入口;操作系統(tǒng)的遠程調(diào)用功能,遠程調(diào)用可以提交程序給遠程服務(wù)器執(zhí)行,如果中間通訊環(huán)節(jié)被黑客監(jiān)控,就會出現(xiàn)網(wǎng)絡(luò)安全問題。
1.2數(shù)據(jù)庫安全
數(shù)據(jù)庫相關(guān)軟件開發(fā)時遺漏的弊端,影響數(shù)據(jù)庫的自我防護水平,比如最高權(quán)限被隨意使用、平臺漏洞、審計記錄不全、協(xié)議漏洞、驗證不足、備份數(shù)據(jù)暴露等等。另外,數(shù)據(jù)庫訪問者經(jīng)常出現(xiàn)的使用安全問題也會導(dǎo)致網(wǎng)絡(luò)安全隱患,比如數(shù)據(jù)輸入錯誤、有意蓄謀破壞數(shù)據(jù)庫、繞過管理策略非法訪問數(shù)據(jù)庫、未經(jīng)授權(quán)任意修改刪除數(shù)據(jù)庫信息。
1.3防火墻安全
作為保護計算機網(wǎng)絡(luò)安全的重要系統(tǒng)軟件,防火墻能夠阻擋來自外界的網(wǎng)絡(luò)攻擊,過濾掉一些網(wǎng)絡(luò)病毒,但是部署了防火墻并不表示網(wǎng)絡(luò)的絕對安全,防火墻只對來自外部網(wǎng)絡(luò)的數(shù)據(jù)進行過濾,對局域網(wǎng)內(nèi)部的破壞,防火墻是不起任何防范作用的。防火墻對外部數(shù)據(jù)的過濾是按照一定規(guī)則進行的,如果有網(wǎng)絡(luò)攻擊模式不在防火墻的過濾規(guī)則之內(nèi),防火墻也是不起作用的,特別是在當(dāng)今網(wǎng)絡(luò)安全漏洞百出的今天,更需要常常更新防火墻的安全策略。
2計算機網(wǎng)絡(luò)系統(tǒng)安全軟件開發(fā)建議
基于計算機網(wǎng)絡(luò)系統(tǒng)的安全問題,為保護計算機網(wǎng)絡(luò)用戶和應(yīng)用系統(tǒng)的安全,我們需要分別研討入侵防護軟件、數(shù)據(jù)庫備份與容災(zāi)軟件、病毒防護軟件、虛擬局域網(wǎng)保護軟件等。
2.1入侵防護軟件
入侵防護軟件設(shè)置于防火墻后面,主要功能是檢查計算機網(wǎng)絡(luò)運行時的系統(tǒng)狀況,同時將運行狀況等記錄下來,檢測當(dāng)前的網(wǎng)絡(luò)運行狀況,尤其是網(wǎng)絡(luò)的流量,可結(jié)合設(shè)定好的過濾規(guī)則來對網(wǎng)絡(luò)上的流量或內(nèi)容進行監(jiān)控,出現(xiàn)異常情況時會發(fā)出預(yù)警信號,它還可以協(xié)助防火墻和路由器的工作。該軟件的最大有點是當(dāng)有病毒發(fā)生攻擊之前就可以實時捕捉網(wǎng)絡(luò)數(shù)據(jù)、檢測可以數(shù)據(jù),并及時發(fā)出預(yù)警信號,收集黑客入侵行為的信息,記錄整個入侵事件的過程,而且還可以追蹤到發(fā)生入侵行為的具置,從而增強系統(tǒng)的防護入侵能力。
2.2數(shù)據(jù)備份和容災(zāi)軟件
數(shù)據(jù)備份和容災(zāi)軟件,可以安全備份需保護數(shù)據(jù)的安全性,在國外已經(jīng)被廣泛應(yīng)用,但是在國內(nèi)卻沒有被得到重視。數(shù)據(jù)備份和容災(zāi)軟件要求將RAID技術(shù)安裝到操作系統(tǒng),將主硬盤文件備份到從硬盤;移動介質(zhì)和光盤備份,計算機內(nèi)的數(shù)據(jù)會隨著使用的時間發(fā)生意外損壞或破壞,采用移動介質(zhì)和光盤可以將數(shù)據(jù)拷貝出來進行存儲;磁盤陣列貯存法,可大大提高系統(tǒng)的安全性能和穩(wěn)定性能。隨著儲存、備份和容災(zāi)軟件的相互結(jié)合,將來會構(gòu)成一體化的數(shù)據(jù)容災(zāi)備份儲存系統(tǒng),并進行數(shù)據(jù)加密。
2.3病毒防護軟件
隨著計算機網(wǎng)絡(luò)被廣泛的應(yīng)用,網(wǎng)絡(luò)病毒類型越來越多,由于計算機網(wǎng)絡(luò)的連通性,一旦感染病毒則會呈現(xiàn)快速的傳播速度,波及面也廣,而且計算機病毒的傳播途徑也日趨多樣化,因此,需要開發(fā)完善的病毒防護軟件,防范計算機網(wǎng)絡(luò)病毒。首先是分析病毒傳播規(guī)律和危害性,開發(fā)相對應(yīng)的殺毒軟件,并在規(guī)定時間內(nèi)掃描系統(tǒng)指定位置及更新病毒庫;其次是安裝防毒墻軟件,傳統(tǒng)的防火墻利用IP控制的方式,來禁止病毒和黑客的入侵,難以對實時監(jiān)測網(wǎng)絡(luò)系統(tǒng)情況,而防毒墻則可以在網(wǎng)絡(luò)入口(即網(wǎng)關(guān)處)對病毒進行過濾,防止病毒擴散。最后是更各系統(tǒng)補丁,以提高系統(tǒng)的操作水平和應(yīng)用能力,同時預(yù)防病毒利用系統(tǒng)漏洞入侵計算機。
2.4虛擬局域網(wǎng)軟件
采用虛擬局域網(wǎng)軟件,可以將不同需求的用戶隔離開來,并劃分到不同的VLAN,采用這種做法可以提高計算機網(wǎng)絡(luò)的安全性。具體做法是從邏輯上將計算機網(wǎng)絡(luò)分為一個個的子網(wǎng),并將這些子網(wǎng)相互隔離,一旦發(fā)生入侵事故也不會導(dǎo)致網(wǎng)內(nèi)上“廣播風(fēng)暴”的發(fā)生。結(jié)合子網(wǎng)的控制訪問需求,將訪問控制列表設(shè)置在各個子網(wǎng)中間,以形成對具體方向訪問的允許條件、限制條件等,從而達到保護各個子網(wǎng)的目的。同時,把MAC地址和靜態(tài)IP地址上網(wǎng)的計算機或相關(guān)設(shè)備進行綁定,這樣就可以有效防止靜態(tài)IP地址或是MAC地址被盜用的問題出現(xiàn)。
2.5服務(wù)器安全軟件
服務(wù)器系統(tǒng)安全軟件分為兩種,一種是系統(tǒng)軟件,另外一種為應(yīng)用軟件。計算機網(wǎng)絡(luò)在配置服務(wù)器系統(tǒng)軟件時要充分考慮到它的承受能力和安全功能性,承受能力是指安全設(shè)計、減少攻擊面、編程;安全功能涵蓋各種安全協(xié)議程序,并基于自身的使用需求,及時更新操作系統(tǒng);服務(wù)器應(yīng)用軟件的應(yīng)用,要求考慮軟件在穩(wěn)定性、可靠、安全等方面的性能,以避免帶入病毒,并定期及時更新。
3結(jié)束語
網(wǎng)絡(luò)安全技術(shù)概述
常永亮
(飛行試驗研究院測試所陜西西安710089)
【摘要】Internet是一種開放和標(biāo)準(zhǔn)的面向所有用戶的技術(shù),其資源通過網(wǎng)絡(luò)共享,因此,資源共享和信息安全就成了一對矛盾。
【關(guān)鍵詞】網(wǎng)絡(luò)攻擊、安全預(yù)防、風(fēng)險分析、網(wǎng)絡(luò)安全
1.引言
隨著網(wǎng)絡(luò)的迅速發(fā)展,網(wǎng)絡(luò)的安全性顯得非常重要,這是因為懷有惡意的攻擊者竊取、修改網(wǎng)絡(luò)上傳輸?shù)男畔ⅲㄟ^網(wǎng)絡(luò)非法進入遠程主機,獲取儲存在主機上的機密信息,或占用網(wǎng)絡(luò)資源,阻止其他用戶使用等。然而,網(wǎng)絡(luò)作為開放的信息系統(tǒng)必然存在眾多潛在的安全隱患,因此,網(wǎng)絡(luò)安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。
一般來說,計算機系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性再加上網(wǎng)際協(xié)議的漏洞共同構(gòu)成了網(wǎng)絡(luò)的潛在威脅。隨著無線互聯(lián)網(wǎng)越來越普及的應(yīng)用,互聯(lián)網(wǎng)的安全性又很難在無線網(wǎng)上實施,因此,特別在構(gòu)建內(nèi)部網(wǎng)時,若忽略了無線設(shè)備的安全性則是一種重大失誤。
2.網(wǎng)絡(luò)攻擊及其防護技術(shù)
計算機網(wǎng)絡(luò)安全是指計算機、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然或惡意的原因遭到破壞、泄露,能確保網(wǎng)絡(luò)連續(xù)可靠的運行。網(wǎng)絡(luò)安全其實就是網(wǎng)絡(luò)上的信息存儲和傳輸安全。
網(wǎng)絡(luò)的安全主要來自黑客和病毒攻擊,各類攻擊給網(wǎng)絡(luò)造成的損失已越來越大了,有的損失對一些企業(yè)已是致命的,僥幸心里已經(jīng)被提高防御取代,下面就攻擊和防御作簡要介紹。
2.1常見的攻擊有以下幾類:
2.1.1入侵系統(tǒng)攻擊
此類攻擊如果成功,將使你的系統(tǒng)上的資源被對方一覽無遺,對方可以直接控制你的機器。
2.1.2緩沖區(qū)溢出攻擊
程序員在編程時會用到一些不進行有效位檢查的函數(shù),可能導(dǎo)致黑客利用自編寫程序來進一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾,這樣當(dāng)發(fā)生緩沖區(qū)溢出時,從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它的指令,如果這些指令是放在有root權(quán)限的內(nèi)存中,那么一旦這些指令得到了運行,黑客就以root權(quán)限控制了系統(tǒng),這樣系統(tǒng)的控制權(quán)就會被奪取,此類攻擊在LINUX系統(tǒng)常發(fā)生。在Windows系統(tǒng)下用戶權(quán)限本身設(shè)定不嚴(yán)謹(jǐn),因此應(yīng)比在LINUX系統(tǒng)下更易實現(xiàn)。
2.1.3欺騙類攻擊
網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用,使黑客可以對網(wǎng)絡(luò)進行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。
2.1.4拒絕服務(wù)攻擊
通過網(wǎng)絡(luò),也可使正在使用的計算機出現(xiàn)無響應(yīng)、死機的現(xiàn)象,這就是拒絕服務(wù)攻擊,簡稱DoS(DenialofService)。
分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu),從許多分布的主機同時攻擊一個目標(biāo),從而導(dǎo)致目標(biāo)癱瘓,簡稱DDoS(DistributedDenialofService)。
2.1.5對防火墻的攻擊
防火墻也是由軟件和硬件組成的,在設(shè)計和實現(xiàn)上都不可避免地存在著缺陷,對防火墻的攻擊方法也是多種多樣的,如探測攻擊技術(shù)、認(rèn)證的攻擊技術(shù)等。
2.1.6利用病毒攻擊
病毒是黑客實施網(wǎng)絡(luò)攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預(yù)見性和破壞性等特性,而且在網(wǎng)絡(luò)中其危害更加可怕,目前可通過網(wǎng)絡(luò)進行傳播的病毒已有數(shù)萬種,可通過注入技術(shù)進行破壞和攻擊。
2.1.7木馬程序攻擊
特洛伊木馬是一種直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限,安裝此程序的人就可以直接遠程控制目標(biāo)系統(tǒng)。
2.1.8網(wǎng)絡(luò)偵聽
網(wǎng)絡(luò)偵聽為主機工作模式,主機能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅰV灰褂镁W(wǎng)絡(luò)監(jiān)聽工具,就可以輕易地截取所在網(wǎng)段的所有用戶口令和帳號等有用的信息資料。
等等。現(xiàn)在的網(wǎng)絡(luò)攻擊手段可以說日新月異,隨著計算機網(wǎng)絡(luò)的發(fā)展,其開放性、共享性、互連程度擴大,網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。計算機和網(wǎng)絡(luò)安全技術(shù)正變得越來越先進,操作系統(tǒng)對本身漏洞的更新補救越來越及時。現(xiàn)在企業(yè)更加注意企業(yè)內(nèi)部網(wǎng)的安全,個人越來越注意自己計算機的安全。可以說:只要有計算機和網(wǎng)絡(luò)的地方肯定是把網(wǎng)絡(luò)安全放到第一位。
網(wǎng)絡(luò)有其脆弱性,并會受到一些威脅。因而建立一個系統(tǒng)時進行風(fēng)險分析就顯得尤為重要了。風(fēng)險分析的目的是通過合理的步驟,以防止所有對網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。因此,嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險分析是可靠和有效的安全防護措施制定的必要前提。網(wǎng)絡(luò)風(fēng)險分析在系統(tǒng)可行性分析階段就應(yīng)進行了。因為在這階段實現(xiàn)安全控制要遠比在網(wǎng)絡(luò)系統(tǒng)運行后采取同樣的控制要節(jié)約的多。即使認(rèn)為當(dāng)前的網(wǎng)絡(luò)系統(tǒng)分析建立的十分完善,在建立安全防護時,風(fēng)險分析還是會發(fā)現(xiàn)一些潛在的安全問題,從整體性、協(xié)同性方面構(gòu)建一個信息安全的網(wǎng)絡(luò)環(huán)境。可以說網(wǎng)絡(luò)的安全問題是組織管理和決策。
2.2防御措施主要有以下幾種
2.2.1防火墻
防火墻是建立在被保護網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障,用于保護企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個網(wǎng)絡(luò)之間建立一個安全控制點,對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進行控制和審計。
2.2.2虛擬專用網(wǎng)
虛擬專用網(wǎng)(VPN)的實現(xiàn)技術(shù)和方式有很多,但是所有的VPN產(chǎn)品都應(yīng)該保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個隧道,利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密,以保證數(shù)據(jù)的私有性和安全性。此外,還需要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。
2.2.3虛擬局域網(wǎng)
選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實施網(wǎng)絡(luò)安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng),即一個邏輯廣播域,它可以覆蓋多個網(wǎng)絡(luò)設(shè)備,允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴,還可利用MAC層的數(shù)據(jù)包過濾技術(shù),對安全性要求高的VLAN端口實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網(wǎng),也無法得到整個網(wǎng)絡(luò)的信息,但VLAN技術(shù)的局限在新的VLAN機制較好的解決了,這一新的VLAN就是專用虛擬局域網(wǎng)(PVLAN)技術(shù)。
2.2.4漏洞檢測
漏洞檢測就是對重要計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進行檢查,發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略,即被動式策略和主動式策略。被動式策略基于主機檢測,對系統(tǒng)中不合適的設(shè)置、口令以及其他同安全規(guī)則相背的對象進行檢查;主動式策略基于網(wǎng)絡(luò)檢測,通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊,并記錄它的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性的一個評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分。漏洞檢測系統(tǒng)是防火墻的延伸,并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能,保證計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。
2.2.5入侵檢測
入侵檢測系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實時捕獲下來,檢查是否有黑客入侵或可疑活動的發(fā)生,一旦發(fā)現(xiàn)有黑客入侵或可疑活動的發(fā)生,系統(tǒng)將做出實時報警響應(yīng)。
2.2.6密碼保護
加密措施是保護信息的最后防線,被公認(rèn)為是保護信息傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應(yīng)用,但隨著計算機性能的飛速發(fā)展,破解部分公開算法的加密方法已變得越來越可能。因此,現(xiàn)在對加密算法的保密越來越重要,幾個加密方法的協(xié)同應(yīng)用會使信息保密性大大加強。
2.2.7安全策略
安全策略可以認(rèn)為是一系列政策的集合,用來規(guī)范對組織資源的管理、保護以及分配,已達到最終安全的目的。安全策略的制定需要基于一些安全模型。
2.2.8網(wǎng)絡(luò)管理員
網(wǎng)絡(luò)管理員在防御網(wǎng)絡(luò)攻擊方面也是非常重要的,雖然在構(gòu)建系統(tǒng)時一些防御措施已經(jīng)通過各種測試,但上面無論哪一條防御措施都有其局限性,只有高素質(zhì)的網(wǎng)絡(luò)管理員和整個網(wǎng)絡(luò)安全系統(tǒng)協(xié)同防御,才能起到最好的效果。
以上大概講了幾個網(wǎng)絡(luò)安全的策略,網(wǎng)絡(luò)安全基本要素是保密性、完整性和可用,但網(wǎng)絡(luò)的安全威脅與網(wǎng)絡(luò)的安全防護措施是交互出現(xiàn)的。不適當(dāng)?shù)木W(wǎng)絡(luò)安全防護,不僅可能不能減少網(wǎng)絡(luò)的安全風(fēng)險,浪費大量的資金,而且可能招致更大的安全威脅。一個好的安全網(wǎng)絡(luò)應(yīng)該是由主機系統(tǒng)、應(yīng)用和服務(wù)、路由、網(wǎng)絡(luò)、網(wǎng)絡(luò)管理及管理制度等諸多因數(shù)決定的,但所有的防御措施對信息安全管理者提出了挑戰(zhàn),他們必須分析采用哪種產(chǎn)品能夠適應(yīng)長期的網(wǎng)絡(luò)安全策略的要求,而且必須清楚何種策略能夠保證網(wǎng)絡(luò)具有足夠的健壯性、互操作性并且能夠容易地對其升級。
隨著信息系統(tǒng)工程開發(fā)量越來越大,致使系統(tǒng)漏洞也成正比的增加,受到攻擊的次數(shù)也在增多。相對滯后的補救次數(shù)和成本也在增加,黑客與反黑客的斗爭已經(jīng)成為一場沒有結(jié)果的斗爭。
3.結(jié)論
網(wǎng)絡(luò)安全的管理與分析現(xiàn)已被提到前所未有的高度,現(xiàn)在IPv6已開始應(yīng)用,它設(shè)計的時候充分研究了以前IPv4的各種問題,在安全性上得到了大大的提高,但并不是不存在安全問題了。在WindowsVista的開發(fā)過程中,安全被提到了一個前所未有的重視高度,但微軟相關(guān)負責(zé)人還是表示,"即使再安全的操作系統(tǒng),安全問題也會一直存在"。
總之,網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題,而不是萬能的。因此只有完備的系統(tǒng)開發(fā)過程、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險分析、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測試、綜合的防御技術(shù)實施、嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用才能完好、實時地保證信息的完整性和正確性,為網(wǎng)絡(luò)提供強大的安全服務(wù)——這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。
參考文獻
[1]《網(wǎng)絡(luò)綜合布線系統(tǒng)與施工技術(shù)》黎連業(yè)著
1.1校園網(wǎng)絡(luò)部件帶來的問題。高校需要的機器設(shè)備很多,導(dǎo)致很多高校由于經(jīng)費的問題遲遲不更換老舊的設(shè)備,使得整個網(wǎng)絡(luò)處于崩潰的邊緣,主機使用的軟件并非正版軟件,甚至本身攜帶一些病毒,增大了網(wǎng)絡(luò)安全隱患。網(wǎng)絡(luò)設(shè)備在建設(shè)完成之后,需要專業(yè)技術(shù)人員的維護,而在大多數(shù)高校,缺乏專業(yè)的維護人員,出現(xiàn)問題之后只能找外包公司解決,錯過了避免事故的最佳時期。管理員不懂技術(shù)可能會導(dǎo)致很多計算機通過校園網(wǎng)絡(luò)接入病毒,甚至導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。高校設(shè)計網(wǎng)絡(luò)環(huán)境時,出現(xiàn)硬件設(shè)計漏洞,不經(jīng)過調(diào)試和改善就投入使用,導(dǎo)致無法適用于瞬息萬變的網(wǎng)絡(luò)世界而受到攻擊和破壞。另外,多數(shù)高校的計算機系統(tǒng)沒有使用較為安全的系統(tǒng),在微軟宣布不再對XP系統(tǒng)支持后,沒有更換合適的操作系統(tǒng),導(dǎo)致產(chǎn)生網(wǎng)絡(luò)漏洞。
1.2校園網(wǎng)絡(luò)管理員存在的問題。高校忽視網(wǎng)絡(luò)安全的建設(shè),沒有基本防御措施,缺乏對一般性安全漏洞的防御能力,網(wǎng)絡(luò)設(shè)備建成后,需要專業(yè)的技術(shù)人員維護,校園網(wǎng)絡(luò)隨時都可能受到攻擊,需要技術(shù)人員具備解決問題的能力,而不少高校只有管理機房使用的老師,缺乏技術(shù)人員,面對問題,只能請維修企業(yè)處理。計算機操作系統(tǒng)并不是一直安全的,微軟公司一直根據(jù)病毒或者其他黑客攻擊手段,完善自己的系統(tǒng),而高校日常的維護和更新也沒有專業(yè)的技術(shù)人員處理,機房計算機系統(tǒng)一直使用較老的操作系統(tǒng)版本,帶來很大隱患。另外,校園網(wǎng)絡(luò)管理者缺乏安全意識,泄露相關(guān)管理員密碼,使得別有用心的人獲取密碼,破壞校園網(wǎng)絡(luò)。
1.3校園網(wǎng)絡(luò)使用者帶來的隱患。作為校園網(wǎng)絡(luò)的使用者,學(xué)生自身不懂網(wǎng)絡(luò)安全,從網(wǎng)絡(luò)下載軟件的同時帶來了一些病毒。造成了網(wǎng)絡(luò)安全事件的發(fā)生。部分熱愛技術(shù)的學(xué)生甚至以校園網(wǎng)絡(luò)作為攻擊的對象,獲取他人的帳號和信息。這些行為都會給校園網(wǎng)絡(luò)帶來安全隱患,有些還可能導(dǎo)致網(wǎng)絡(luò)癱瘓。
2解決高校網(wǎng)絡(luò)安全問題的對策
2.1加大校園網(wǎng)絡(luò)的資金投入。高校應(yīng)該購買新的網(wǎng)絡(luò)設(shè)備用于建設(shè)校園網(wǎng)絡(luò),新設(shè)備具備更高的安全性,可以預(yù)防較為簡單的網(wǎng)絡(luò)攻擊。在教學(xué)上,更應(yīng)該購買正版軟件,正版軟件沒有病毒,能夠得到廠家的技術(shù)支持。另外,高校應(yīng)該招聘專門的網(wǎng)絡(luò)技術(shù)人員,維護校園網(wǎng)絡(luò)的正常運行,技術(shù)人員要具備網(wǎng)絡(luò)安全知識,能夠及時處理突發(fā)狀況,避免校園網(wǎng)絡(luò)受到攻擊。專業(yè)的技術(shù)人員更能提高網(wǎng)絡(luò)設(shè)備的使用效率和使用年限。
2.2建立健全網(wǎng)絡(luò)安全管理制度。高校要加強網(wǎng)絡(luò)安全的宣傳和教育,培訓(xùn)網(wǎng)絡(luò)管理員安全意識,定期維護網(wǎng)絡(luò)設(shè)備和主機,提高師生的網(wǎng)絡(luò)道德,從根本杜絕來自內(nèi)部的網(wǎng)絡(luò)攻擊。建立校園網(wǎng)使用規(guī)范,并用多種方式宣傳,例如通過學(xué)校網(wǎng)站,校內(nèi)廣播,校內(nèi)宣傳欄等,讓學(xué)生明白網(wǎng)絡(luò)安全的重要性,能夠按照國家網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)約束自己,自覺加入維護校園網(wǎng)絡(luò)安全的陣營中來,為維護校園網(wǎng)絡(luò)安全貢獻自己的力量。宣傳不能解決所有的問題,高校要合理設(shè)置校園網(wǎng)絡(luò)的權(quán)限,在登陸環(huán)節(jié),要制定安全的登陸方式,盡量采用實名驗證和學(xué)號驗證的方式,避免校外人員使用校園網(wǎng)帶來不安全因素。
2.3加強對于安全漏洞的防范。在網(wǎng)絡(luò)安全技術(shù)中,防火墻技術(shù)應(yīng)用十分廣泛,防火墻是一種計算機硬件和軟件的結(jié)合,使Internet與Intranet之間建立起一個安全網(wǎng)關(guān),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。在防火墻的設(shè)置中,要過濾內(nèi)地址路由包,清楚錯誤地址的IP數(shù)據(jù)包,網(wǎng)絡(luò)管理員經(jīng)常檢查安全日志,及時發(fā)現(xiàn)和處理不合法的登陸與外網(wǎng)的攻擊行為。通過設(shè)置防火墻的相關(guān)參數(shù)來提升安全等級。建立網(wǎng)絡(luò)各主機和對外服務(wù)器的安全保護措施,保證系統(tǒng)安全,利用防火墻對網(wǎng)上服務(wù)請求內(nèi)容進行控制,使非法訪問在到達主機前被拒絕,利用防火墻加強合法用戶的訪問認(rèn)證,同時在不影響用戶正常訪問的基技術(shù)人員的配備不完善,無法應(yīng)對大規(guī)模的網(wǎng)絡(luò)攻擊,需要相關(guān)技術(shù)企業(yè)的幫助,因此,高校應(yīng)該和社會企業(yè)進行長時間的合作,在事件發(fā)生的時候能夠及時處理。高校應(yīng)該建立信息備份制度,對于重要的信息要保存在不受網(wǎng)絡(luò)入侵的物理設(shè)備中,以防因安全事件導(dǎo)致學(xué)校不能正常工作。引起學(xué)生和家長的不滿和恐慌。日常信息通信中,要使用數(shù)據(jù)加密技術(shù),確保信息傳輸?shù)陌踩5A(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi),利用防火墻全面監(jiān)視對公開服務(wù)器的訪問,及時發(fā)現(xiàn)和阻止非法操作;另外可以采用諸多技術(shù)來預(yù)防破壞,例如網(wǎng)絡(luò)入侵檢測技術(shù),即是指通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進行操作,檢測到對系統(tǒng)的闖入或闖入的企圖。可以在系統(tǒng)中按照網(wǎng)絡(luò)入侵檢測系統(tǒng),在外網(wǎng)和內(nèi)網(wǎng)都設(shè)立監(jiān)測點,實時檢查,系統(tǒng)會提醒管理員是否有攻擊行為;還可以采用數(shù)據(jù)加密技術(shù),在客戶端登陸檢查,校園網(wǎng)教務(wù)管理系統(tǒng)中都可以使用;每臺主機多要安裝防病毒軟件,用于檢測日常上網(wǎng)收到的病毒攻擊。
2.4建立網(wǎng)絡(luò)安全應(yīng)急機制。校園網(wǎng)絡(luò)安全突發(fā)事件需要建立網(wǎng)絡(luò)安全應(yīng)急機制,以防止事件引發(fā)更大的損失,應(yīng)急機制需要高校和相關(guān)企業(yè)的聯(lián)動,高校網(wǎng)絡(luò)安全
3結(jié)束語
1.1以太網(wǎng)自身缺陷
當(dāng)前廣電寬帶網(wǎng)絡(luò)采用光纖到戶(FiberToHome,F(xiàn)TTH)與無源光網(wǎng)絡(luò)(PassiveOpticalNetwork,PON)技術(shù)相結(jié)合的形態(tài)出現(xiàn),此種技術(shù)形態(tài)對推動整個廣電網(wǎng)絡(luò)的發(fā)展有積極意義。在PON技術(shù)體系下,當(dāng)前廣電網(wǎng)主要采用以太網(wǎng)無源光網(wǎng)絡(luò)(EthernetPassiveOpticalNetwork,EPON)形態(tài)加以實現(xiàn)。以太網(wǎng)的框架結(jié)構(gòu),從技術(shù)層面更容易被工作人員接受。因此,在應(yīng)用和維護兩個角度都表現(xiàn)良好。但是,以太網(wǎng)以廣播的方式傳遞數(shù)據(jù),交換機將數(shù)據(jù)包從一個端口向其他所有端口發(fā)送,這種傳送方式極易造成網(wǎng)絡(luò)堵塞,當(dāng)數(shù)據(jù)頻繁交換時,會明顯降低網(wǎng)絡(luò)的使用效率,一旦有人惡意向網(wǎng)絡(luò)中發(fā)送大量數(shù)據(jù),可能會導(dǎo)致整個網(wǎng)絡(luò)處于癱瘓狀態(tài)。廣播式以太網(wǎng)的最底層和上層同處于一個廣播域中,且匯聚層需要首先接入核心交換機,然后,再由路由器接入到外網(wǎng),此種組網(wǎng)方式除易發(fā)生網(wǎng)絡(luò)癱瘓外,用戶間的病毒影響也成為重要問題。
1.2機房管理缺陷
廣電寬帶機房本身是集中存放各種服務(wù)器的環(huán)境,包括網(wǎng)站服務(wù)器、視頻服務(wù)器、DHCP服務(wù)器、寬帶計費認(rèn)證服務(wù)器、網(wǎng)管服務(wù)器等都會集中存放在機房中,用以維持良好的工作環(huán)境,確保多種服務(wù)器正常運行。但是,眾多服務(wù)器運行在同一個子網(wǎng)段中,如果網(wǎng)絡(luò)出口沒有合理安裝必要的安全設(shè)備,就有可能遭受外界的攻擊。在此環(huán)境下,直接面向網(wǎng)絡(luò)外部提供信息服務(wù)的服務(wù)器則更容易遭受侵害,而類似DNS服務(wù)器和DHCP服務(wù)器等面向內(nèi)部寬帶用戶服務(wù)的設(shè)備,其職能相對單一,因此,較為穩(wěn)定。
2切實打造廣電網(wǎng)絡(luò)安全保障體系
廣電網(wǎng)絡(luò)的安全隱患來自多個方面,除本身固有的源于網(wǎng)絡(luò)技術(shù)層面的缺陷外,管理和人員也是造成安全問題的重要因素。就目前社會對信息的消費需求現(xiàn)狀來看,高質(zhì)量和穩(wěn)定的數(shù)據(jù)傳輸,已成為新的社會需求。因此,只有切實打造更具針對性的廣電網(wǎng)絡(luò)安全環(huán)境,才能切實實現(xiàn)穩(wěn)定的廣電信號傳輸,不斷優(yōu)化用戶體驗。具體而言,可以從以下幾方面入手。
2.1技術(shù)層面加強網(wǎng)絡(luò)安全特征
網(wǎng)絡(luò)的安全水平隨著網(wǎng)絡(luò)規(guī)模的擴大逐步降低,當(dāng)網(wǎng)絡(luò)規(guī)模及復(fù)雜程度達到一定水平時,安全就會成為突出問題。基于此種考慮,可以將網(wǎng)絡(luò)進行進一步劃分,區(qū)隔出不同區(qū)域,通過縮小廣播域的手段來提升網(wǎng)絡(luò)安全水平。在匯聚層的端口和VLAN實現(xiàn)一一對應(yīng),使用戶在上聯(lián)第一個端口阻止廣播包發(fā)送,在用戶接入端盡量使用端口隔離交換機,用以實現(xiàn)底層用戶間的直接數(shù)據(jù)訪問隔離,確保整個網(wǎng)絡(luò)的廣播形態(tài)特征。此種方式本質(zhì)上是把網(wǎng)絡(luò)的管理權(quán)限集中到核心部門,不僅便于加強用戶權(quán)限管理及計費管理,在防止ARP病毒攻擊方面也有積極作用。
2.2加強服務(wù)器群管理
當(dāng)前服務(wù)器的集中存放,在一定程度上為服務(wù)器的安全管理提供一定有力支持,但是,機房相對密封的環(huán)境,會成為工作人員疏失的源頭。在實際工作中,考慮到服務(wù)器本身易遭受攻擊,應(yīng)當(dāng)切實制定并且落實服務(wù)器維護管理制度,定期升級安全補丁,安裝網(wǎng)絡(luò)版殺毒軟件,定期升級病毒庫,及時修改服務(wù)器安全配置,刪除所有無用端口,定期檢查網(wǎng)絡(luò)訪問日志,備份服務(wù)器的重要數(shù)據(jù)。同時,在服務(wù)器防火墻層面,加強對軟硬件的防范。加強對內(nèi)網(wǎng)數(shù)據(jù)訪問的監(jiān)督,避免授權(quán)過當(dāng)?shù)入[患存在。此外,使機房環(huán)境中的工作站和服務(wù)器的集群保持隔離狀態(tài),分網(wǎng)段劃分,對公共終端設(shè)置還原功能,避免病毒擴散。
2.3加強人員管理
在網(wǎng)絡(luò)環(huán)境中,相關(guān)統(tǒng)計表明有超過60%的安全問題來源于對數(shù)據(jù)操作和使用不當(dāng)。在實際工作中,控制和改善此種情況的首要做法是加強人員管理,確保為對應(yīng)網(wǎng)絡(luò)體系配備合格的工作團隊,并且要加強人員授權(quán)管理工作力度,從組織和管理角度實現(xiàn)對網(wǎng)絡(luò)的保護。具體而言,要規(guī)范機房工作出入權(quán)限,并在此基礎(chǔ)上深化數(shù)據(jù)訪問權(quán)限。通過對工作人員行為的記錄和限制,實現(xiàn)對整個信息環(huán)境的凈化和安全水平的保證。
3結(jié)語
1.1氣象部門網(wǎng)絡(luò)安全的主要防御結(jié)構(gòu)
一般情況下,在氣象網(wǎng)絡(luò)中,防火墻是最重要的硬件防御系統(tǒng)之一,根據(jù)臺站區(qū)域網(wǎng)絡(luò)的組成部件設(shè)置防火墻,并根據(jù)氣象部門業(yè)務(wù)安全需求采取相應(yīng)的防控措施。在氣象信息中心,多個硬件防火墻被部署在區(qū)域網(wǎng)絡(luò)內(nèi)重要的業(yè)務(wù)需求范圍內(nèi),確保該區(qū)域內(nèi)的氣象觀測業(yè)務(wù)可順利、安全運行。對于突發(fā)網(wǎng)絡(luò)故障,可通過查詢網(wǎng)絡(luò)日志、查看網(wǎng)絡(luò)歷史詢問記錄等處理,從而使網(wǎng)絡(luò)恢復(fù)正常。同時,網(wǎng)絡(luò)入侵檢測系統(tǒng)也是網(wǎng)絡(luò)防護的重要手段,可定時對網(wǎng)絡(luò)中可能存在的入侵或攻擊進行檢測,查出存在的漏洞、攻擊模式和用戶行為模式的差別等,并對網(wǎng)絡(luò)及系統(tǒng)中出現(xiàn)的異常行為作出響應(yīng)。此外,軟件防護系統(tǒng)也是不容忽視的重要環(huán)節(jié),通過防病毒軟件對計算機網(wǎng)絡(luò)進行查殺,消除網(wǎng)絡(luò)中存在的威脅因素;網(wǎng)絡(luò)管理軟件可對連接的網(wǎng)絡(luò)設(shè)備進行監(jiān)管,檢測網(wǎng)絡(luò)中存在的異常行為,有效防御病毒,從而切實做好氣象網(wǎng)絡(luò)安全防御工作。
1.2網(wǎng)絡(luò)安全現(xiàn)狀
隨著現(xiàn)代化氣象觀測信息的不斷增多,自動站長期不間斷運行,容易導(dǎo)致網(wǎng)絡(luò)負載量大,進而增加了局部網(wǎng)絡(luò)病毒木馬入侵的概率,且其對外開放的資源共享端口也容易出現(xiàn)網(wǎng)絡(luò)堵塞。此外,內(nèi)部計算機人員的操作不當(dāng)、對計算機終端安全意識較差的現(xiàn)象普遍存在,這都對氣象網(wǎng)絡(luò)安全造成了嚴(yán)重的威脅。
2氣象部門網(wǎng)絡(luò)安全中存在的威脅
2.1網(wǎng)絡(luò)安全漏洞
漏洞是氣象部門計算機網(wǎng)絡(luò)安全的重大隱患之一,主要包括操作系統(tǒng)漏洞和硬件產(chǎn)品漏。大多數(shù)的木馬病毒、非法入侵等都是基于計算機網(wǎng)絡(luò)中存在的漏洞而對其攻擊的,它是網(wǎng)絡(luò)安全的一大威脅。
2.2內(nèi)部網(wǎng)絡(luò)防護措施不完善
氣象計算機網(wǎng)絡(luò)屬于獨立局域網(wǎng),根據(jù)其具有的工作特性,需要實時對數(shù)據(jù)進行快速、便捷的傳遞,但這樣容易引起病毒的直接感染。由于防護措施不完善,如果操作某一個被病毒感染的移動硬盤時,會連帶服務(wù)器及其他電腦同時被感染。此時,即便設(shè)有防火墻裝置,也阻擋不了網(wǎng)絡(luò)內(nèi)部遭受攻擊。
2.3惡意代碼威脅
需要及時對計算機中安裝的軟件防護殺毒系統(tǒng)升級和補丁修復(fù)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,病毒的破壞力越來越強。如果沒有及時制止病毒的入侵,則可能會造成計算機徹底被控制或癱瘓。
2.4網(wǎng)絡(luò)黑客攻擊
網(wǎng)絡(luò)黑客一般為對計算機網(wǎng)絡(luò)較為精通的不法分子,他們通過網(wǎng)絡(luò)操作系統(tǒng)的漏洞對系統(tǒng)進行攻擊,可導(dǎo)致系統(tǒng)癱瘓或異常。網(wǎng)絡(luò)操作系統(tǒng)有多種,常用的為WindowsNT操作系統(tǒng)。因此,該系統(tǒng)已成為網(wǎng)絡(luò)黑客的重點攻擊對象。
2.5操作人員的安全意識較差
部分氣象計算機操作人員不具備專業(yè)的網(wǎng)絡(luò)知識,對于計算機網(wǎng)絡(luò)安全了解不足,存在在計算機上下載其他與氣象無關(guān)的資源的情況,或通過移動硬盤在局域網(wǎng)內(nèi)進行各種數(shù)據(jù)資料的傳輸,這增加了病毒入侵的概率,容易造成數(shù)據(jù)丟失或泄露。如果將在Internet上使用過的筆記本電腦連接到氣象內(nèi)部網(wǎng)絡(luò)中,也可能會增加氣象網(wǎng)絡(luò)病毒入侵的概率。
2.6IP地址沖突
氣象部門內(nèi)部的計算機經(jīng)常出現(xiàn)IP地址沖突的現(xiàn)象。1臺或多臺電腦常因測試或其他原因需要臨時修改IP地址,但修改后往往沒有及時改回,進而造成IP沖突無法聯(lián)網(wǎng),這會對氣象觀測數(shù)據(jù)的傳輸?shù)拳h(huán)節(jié)造成影響。
2.7缺乏內(nèi)部網(wǎng)絡(luò)安全技術(shù)人員
目前,由于氣象臺站受到資金或其他因素的制約,導(dǎo)致氣象臺站缺乏相關(guān)的網(wǎng)絡(luò)安全專業(yè)技術(shù)人員。當(dāng)出現(xiàn)網(wǎng)絡(luò)故障時,基本是由在職的其他工作人員進行維護的,但網(wǎng)絡(luò)管理員自身的水平較低,僅可以應(yīng)付簡單的常見網(wǎng)絡(luò)安全故障,對于專業(yè)病毒防御、網(wǎng)絡(luò)區(qū)域設(shè)置等關(guān)鍵技術(shù)的掌握甚少,出現(xiàn)復(fù)雜的網(wǎng)絡(luò)安全故障無法及時解決,進而影響了臺站的正常、穩(wěn)定運行。
3改善氣象部門網(wǎng)絡(luò)運行環(huán)境的措施
3.1加強網(wǎng)絡(luò)安全管理
應(yīng)加強氣象部門全體人員的計算機網(wǎng)絡(luò)安全意識,針對重點網(wǎng)絡(luò)威脅進行分析,并對其可能造成的影響進行估算,從而使更多的職工關(guān)注網(wǎng)絡(luò)安全問題;制訂相關(guān)的計算機操作和日常網(wǎng)絡(luò)應(yīng)用安全規(guī)范準(zhǔn)則,使全體職工養(yǎng)成良好的上網(wǎng)和工作習(xí)慣;對在職的網(wǎng)絡(luò)管理人員進行技能培訓(xùn),提高其技能水平,以確保氣象業(yè)務(wù)在良好的環(huán)境中進行;引進復(fù)合型人才,加強技術(shù)人才隊伍的培養(yǎng)。網(wǎng)絡(luò)安全涉及的范圍廣、信息量大,對人才的需求也較大。因此,可通過參加高新技術(shù)學(xué)習(xí)、開展重點問題交流等途徑提高管理人員的業(yè)務(wù)水平,使他們能擔(dān)當(dāng)起氣象網(wǎng)絡(luò)信息安全建設(shè)的重任。
3.2科學(xué)、合理配置網(wǎng)絡(luò)安全系統(tǒng)
1.1網(wǎng)絡(luò)系統(tǒng)漏洞
網(wǎng)絡(luò)系統(tǒng)設(shè)計為了使用的便捷性考慮,往往做不到內(nèi)、外網(wǎng)絡(luò)完全分離,內(nèi)網(wǎng)采用與Internet外網(wǎng)一致的TCP/IP通訊協(xié)議,當(dāng)攻擊者利用TCP/IP通訊協(xié)議的漏洞對外網(wǎng)進行攻擊時,內(nèi)網(wǎng)的安全同時也受到嚴(yán)重威脅。同時網(wǎng)絡(luò)系統(tǒng)補丁升級具有滯后性,往往是網(wǎng)絡(luò)系統(tǒng)先受到安全威脅與攻擊,而隨后一段時間才進行補丁升級,補丁升級解決舊的網(wǎng)絡(luò)安全問題的同時,又會面臨新的網(wǎng)絡(luò)安全問題。
1.2計算機病毒
計算機病毒是計算機軟件技術(shù)發(fā)展的負面衍生品,具有破壞性、復(fù)制性和傳染性。計算機病毒是人為的編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。隨著計算機技術(shù)的高度發(fā)展,計算機病毒也以迅猛的勢頭不斷發(fā)展,病毒型態(tài)越來越復(fù)雜多樣化,越來越具有攻擊性和破壞性,病毒侵入手段越來越隱蔽高明,因此導(dǎo)致近年來由計算機病毒引發(fā)的網(wǎng)絡(luò)系統(tǒng)癱瘓的案例越來越多。在這種發(fā)展形式下,近年來圖書館網(wǎng)絡(luò)系統(tǒng)遭受計算機病毒侵入或感染的機率不斷增長。
1.3人為管理失誤
無論是運行環(huán)境、系統(tǒng)漏洞、還是計算機病毒,歸根結(jié)底在所有影響和威脅圖書館網(wǎng)絡(luò)安全的因素中,都離不開人的因素,目前導(dǎo)致網(wǎng)絡(luò)安全問題的因素中,人為管理失誤約占80%,可見人為管理才是威脅圖書館網(wǎng)絡(luò)安全的最重要的因素。即使我們?yōu)閳D書館網(wǎng)絡(luò)系統(tǒng)提供了穩(wěn)定的運行環(huán)境、及時修復(fù)了系統(tǒng)漏洞、殺滅了計算機病毒,卻未使內(nèi)部網(wǎng)絡(luò)安全管理制度與之配套,也會造成運行環(huán)境的不穩(wěn)定、系統(tǒng)漏洞的涉繁出現(xiàn)、計算機病毒的肆虐等等。
2圖書館網(wǎng)絡(luò)安全防范策略
2.1運行環(huán)境安全策略
運行環(huán)境安全是圖書館網(wǎng)絡(luò)安全的基本保證,運行環(huán)境安全策略主要針對硬件環(huán)境、軟件環(huán)境及網(wǎng)絡(luò)線路環(huán)境三方面。首先硬件安全是保證軟件運行和網(wǎng)絡(luò)線路穩(wěn)定發(fā)揮作用的基礎(chǔ),因此要具有良好的機房環(huán)境保證硬件安全,做好防火防潮防盜工作,做好硬件設(shè)備散熱除塵保養(yǎng)。其次定期對軟件系統(tǒng)進行維護和更新升級,確保軟件系統(tǒng)的正常平穩(wěn)運行。第三對于網(wǎng)絡(luò)線路的拓撲結(jié)構(gòu)合理設(shè)計布局,定期巡檢網(wǎng)絡(luò)線路及線路上的交換設(shè)備工作狀態(tài),發(fā)現(xiàn)故障及時排除,發(fā)現(xiàn)異常及時上報處理。
2.2計算機網(wǎng)絡(luò)系統(tǒng)安全策略
高安全性的計算機網(wǎng)絡(luò)系統(tǒng)是圖書館信息服務(wù)延伸與提高的保證,保證圖書館網(wǎng)絡(luò)安全的第一要素是科學(xué)合理的網(wǎng)絡(luò)拓撲結(jié)構(gòu),根據(jù)各部門實際工作職能劃分網(wǎng)絡(luò)架構(gòu),實現(xiàn)符合圖書館實際工作需求的網(wǎng)絡(luò)拓撲結(jié)構(gòu)配置,滿足圖書館服務(wù)工作職能的同時,提高網(wǎng)絡(luò)系統(tǒng)安全等級。第二,科學(xué)嚴(yán)謹(jǐn)?shù)脑O(shè)置網(wǎng)絡(luò)設(shè)備的安全參數(shù),離不開安裝過程中手動安全參數(shù)的正確配置,選擇有安全保障的通訊協(xié)議,如對于邊界路由器的安全設(shè)置,要關(guān)閉或禁止不必要的訪問方式和服務(wù)。第三對于圖書館的數(shù)據(jù)服務(wù)器,要選擇安裝高安全性的操作系統(tǒng),安裝必要的防御殺毒軟件,同時刪除或關(guān)閉系統(tǒng)中與圖書館正常的網(wǎng)絡(luò)業(yè)務(wù)服務(wù)無關(guān)的應(yīng)用軟件。
2.3安全管理策略
人們常說“事在人為”,這強調(diào)了人為管理因素的重要作用,圖書館網(wǎng)絡(luò)安全管理充分突出了人為管理的重要性。一個有效的網(wǎng)絡(luò)安全防范體系不僅僅取決于技術(shù)因素,還取決于人為管理因素,技術(shù)能解決問題卻不能夠預(yù)防問題,而管理的意義在于事前預(yù)防,抑制問題的產(chǎn)生或者將問題消滅在最初的萌芽狀態(tài),真正行之有效的安全管理策略是需要以安全策略為核心、以安全技術(shù)為支撐、以安全管理為預(yù)防。圖書館的安全管理覆蓋面較為廣泛,因此要制定全面的安全管理制度并有效的執(zhí)行和落實,一套健全的安全管理制度體系是由機房管理制度、硬件設(shè)備管理維護制度、網(wǎng)絡(luò)系統(tǒng)安全管理制度、數(shù)據(jù)安全管理制度等等一系列精細嚴(yán)格的制度組成的,因此安全管理是一項具有系統(tǒng)性的工程,需要投入大量的精力。
3結(jié)論
遠程教育網(wǎng)絡(luò)遭到的攻擊主要分為下列幾種情況:一是拒絕服務(wù)攻擊DOS。這一情況的產(chǎn)生主要是由于攻擊使得一方用戶可用資源嚴(yán)重缺乏,造成系統(tǒng)資源可用性的降低,從而降低遠程教育系統(tǒng)的服務(wù)能力;二是邏輯炸彈。即通過攻擊,使遠程教育系統(tǒng)本來的資源被其他特殊功能服務(wù)所替代;三是特洛伊木馬。這一攻擊指系統(tǒng)被執(zhí)行了超越規(guī)定程序以外的其他程序;四、計算機病毒和蠕蟲。即計算機受到病毒感染,使得自身程序被惡意篡改,從而使其他程序受到感染,最終導(dǎo)致網(wǎng)絡(luò)通信功能受損和遠程教育系統(tǒng)的癱瘓。
二、遠程成人教育系統(tǒng)網(wǎng)絡(luò)安全策略
(一)建立專用的虛擬網(wǎng)絡(luò)。專用的虛擬網(wǎng)絡(luò)以安全性能較低的網(wǎng)絡(luò)為信息媒介,并通過身份認(rèn)證和加密,以及隧道技術(shù)等方式來建立專門的有針對性的網(wǎng)絡(luò)。通過這個網(wǎng)絡(luò)學(xué)習(xí)可以保障信息的安全性。通常,網(wǎng)絡(luò)防火墻所附帶的專用虛擬模塊可以實現(xiàn)虛擬網(wǎng)絡(luò)專用,從而保證了虛擬專用網(wǎng)的安全性能。
(二)數(shù)字加密方式。為了防止信息被非授權(quán)用戶竊聽,以及惡意軟件的攻擊,在數(shù)據(jù)傳輸時可以使用數(shù)字加密技術(shù)。數(shù)字加密技術(shù)在遠程教育系統(tǒng)中通過硬件加密和軟件加密來實現(xiàn)。硬件加密具有實現(xiàn)方便和兼容性好的特點,但也存在相應(yīng)的缺點,例如密鑰管理復(fù)雜,而軟件加密由于是在計算機內(nèi)部進行,從而使攻擊者更容易采取程序跟蹤等方式對遠程教育系統(tǒng)的網(wǎng)絡(luò)進行攻擊。
三、遠程成人教育系統(tǒng)服務(wù)器安全策略
(一)安全的遠程教育操作系統(tǒng)。Windows操作系統(tǒng)在成人教育的遠程教育系統(tǒng)中占大多數(shù),而這一系統(tǒng)存在多種安全漏洞。因此,要定期進行補丁下載,如果寬帶速度受限,則可以通過相關(guān)程序設(shè)定來更新補丁,從而保障服務(wù)器的安全與正常使用。
(二)負載均衡技術(shù)。負載均衡技術(shù)可以平衡服務(wù)器群中的所有服務(wù)器,并通過實時數(shù)據(jù)的反應(yīng),均衡服務(wù)器之間的工作分配,使得服務(wù)器達到最佳的性能并且實現(xiàn)服務(wù)器的智能管理,從而保證了遠程教育系統(tǒng)的可靠性。
四、遠程成人教育系統(tǒng)訪問控制策略
遠程教育網(wǎng)絡(luò)的訪問控制可以分為以下兩種,第一,控制外部不知名用戶通過網(wǎng)絡(luò)服務(wù)對主機的訪問;第二,控制內(nèi)部人員對遠程教育系統(tǒng)網(wǎng)絡(luò)的訪問。對于第一種情況,可以設(shè)置服務(wù)器程序來進行限制,比如限制來訪者的IP地址或只允許部分用戶訪問主機,堅決拒絕惡意用戶的訪問。而第二種情況,可以設(shè)置用戶的身份認(rèn)證控制,核實訪問者的身份是否符合設(shè)備或進程所聲明的條件,構(gòu)成網(wǎng)絡(luò)安全訪問的第一道防線。通常,會設(shè)置相關(guān)口令對訪問者身份進行核實。在此情況下,非授權(quán)的用戶就不能夠使用賬戶。但是這種方式也存在一定的弊端,因為其主要方式是明文傳輸或者靜態(tài)方式,所以會發(fā)生對字典的攻擊,網(wǎng)絡(luò)被竊聽,信息機密被泄露等情況,為此,必須對口令設(shè)置等相關(guān)程序進行更新或改進。
五、遠程成人教育系統(tǒng)網(wǎng)絡(luò)安全管理策略