時間:2023-09-20 18:19:16
導語:在網絡安全入門的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
2007年,談劍峰發起成立眾人科技,投身于中國第一代動態密碼產品的研發和生產。眾人科技成立10年來,堅持“自主研發、 自主設計、 自主生產”的“國產化”發展戰略,申報國家專利過百項,核心技術填補多項國內空白,達到國際同類產品先進水平,是國產信息安全標準制定的積極參與者和推動者。
談起創辦眾人科技的初衷,談劍峰笑稱是打游戲打出來的。
“國產化”動態密碼第一人
1997年,作為核心創始人之一,談劍峰創建了當時被稱為中國網絡安全界“黃埔軍校”的民間網絡安全技術組織“綠色兵團”。之后他創辦過網站,到香港做過投行。2005年,網游“魔獸世界”登陸中國,談劍峰也和朋友們組隊競技。然而,打游戲的過程中,他發現“賬號+靜態密碼”的安全級別太低,“隊員經常玩著玩著人就沒了,一問才知道,號被盜了!”
受到國外動態密碼技術的啟發,談劍峰決定創業。
像絕大多數的創業公司一樣,眾人科技初創之路很艱辛。談劍峰和他的團隊窩在一個民宅里沒日沒夜地開發技術,當產品初具模型之后,后續的資質問題卻成了跨不過去的坎兒。
。“當時國內對信息安全的投入和重視都不夠。”劍峰向《中國經濟周刊》記者回憶道。
網絡安全密碼技術是個特殊的領域,國家有很高的準入門檻,當時眾人科技的動態密碼技術在國內尚屬首家,產品要想進入市場,必須通過層層評審和檢測,獲得各個主管部門的許可。
談劍峰帶領著他的團隊,跑了專家評審會、參加各項答辯,僅有關部門的技術測試,就做過297項。經過整整4年的努力,2010年,談劍峰終于拿齊所有牌照。
“iKEY多因素動態密碼身份認證系統”成為了中國第一代自主研發的動態密碼技術和產品,并通過中國科學院科技查新中心評定, 屬“填補國內空白”,達到“國際同類先進水平”。隨后,眾人科技又成功設計出國內第一款可應用于動態口令產品和挑戰應答產品的超低功耗專用安全芯片。
“填補空白”意味著是新技術、新產品,也必然會遭遇市場的質疑,尤其是在重要的金融領域。談客戶時,談劍峰被問到最多的一個問題就是:“你們有沒有案例?”他當時的回答很無奈:“你們不給我們機會,我們就永遠沒有案例啊!”
但是,懷著對自主研發的核心技術的信心,談劍峰選擇了堅持。終于,他成功將動態密碼技術和產品引入金融等各行業,實現了這一國產新技術從無到有,并最終廣泛應用,帶動了國產動態密碼產業的整體發展。作為動態密碼國產化的第一家企業,談劍峰帶領眾人科技,牽頭制定了該領域的國家標準和相關行業標準。“國家標準”榮獲2014年“國家黨政密碼科學技術進步三等獎”,并成為國內身份認證領域首個被國際上采用的技術標準。
SOTP技術填補國內空白
此后,眾人科技自主研發了基于云技術的統一身份認證平臺、智慧城市公共區域安全網絡系統等,均獲得業內好評。其中,SOTP移動互聯網創新密碼技術更是創新地實現了密鑰與算法的融合,再次填補了國內空白,并獲得國際發明專利,實現了認證安全性與便捷性的平衡。
1994年,中國第一次全功能接入國際互聯網,自此我國不斷加快互聯網建設的步伐。數據顯示,當前中國網民已逾7億,規模躍居世界第一。在網絡快速發展的今天,網絡身份管理體系正是網絡空間安全的基石。
然而,網絡身份管理體系面臨著個人信息泄露、身份冒用、賬號盜竊等一系列安全問題。據談劍峰提供的安全檢測平臺的數據顯示,2015年掃描的231.2萬個各類網站中,存在安全漏洞的網站有101.5萬個,占掃描總數的43.9%;存在高危安全漏洞的網站有30.8萬個,占掃描總數的13%。
《中國網民權益保護調查報告(2016)》顯示,2016年,有37%的網民因收到各類詐騙信息而遭受經濟損失,近一年來全國網民因權益被侵犯造成的經濟損失人均133元,總體經濟損失高達915億元。
談劍峰介紹,在我國網絡安全領域,一些重要網絡安全產品和技術依然有賴于進口,由于技術不掌握,很難做到安全可控的管理。保障互聯網安全,就必須突破核心技術這個難題。
眾人科技于2015年年底發明創新密碼技術SOTP(Super One-Time-Password),即多因素動態可重構的確定真實性認證技術,在無需增加硬件SE的前提下,采用軟件方式解決了移動設備中存儲密鑰的關鍵性問題。同時基于“一人一密”+“一次一密”+“一時一密”的安全特性,保護移動互聯網用戶的身份認證安全、個人信息安全以及應用數據安全,并實現了云端統一化認證。
關鍵詞:計算機 網絡 安全 防范措施
隨著計算機技術和Internet建設的發展與完善,計算機網絡安全問題逐步成為人們關注和討論的焦點。計算機網絡技術已經深入到社會的各個領域,比如政府機關、學校、醫院、社區及家庭等,人們對計算機網絡的依賴性越來越大,但隨之而來的是,計算機網絡安全也受到前所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。本文分析了影響網絡安全的主要因素及攻擊的主要方式,從管理和技術兩方面就加強計算機網絡安全提出相應的安全防范措施。
1 計算機網絡安全的定義
國際標準化組織(ISO)將“計算機安全”定義為:“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。計算機網絡安全包括物理安全、軟件安全、數據安全和運行安全四個方面。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。軟件安全是指網絡軟件以及各主機、服務器、工作站等設備所運行的軟件安全。信息安全是指網絡中所存儲和傳輸的數據的安全。運行安全是指網絡中各個信息系統能正常運行并能正常地通過網絡交流信息。
網絡安全的目的就是為了確保網絡系統的保密性、完整性和可用性。保護計算機、網絡系統的硬件、軟件及其系統中的數據,使之不遭到破壞、更改、泄露,確保系統能連續可靠正常地運行,使網絡服務不中斷。
2 計算機網絡面臨的威脅
計算機網絡所面臨的威脅是多方面的,既包括對網絡內部的威脅,也包括對網絡外部的威脅,同時也與計算機操作系統本身有關。歸結起來,主要有以下幾方面:
2.1 計算機網絡的脆弱性
計算機系統的脆弱性主要來自計算機操作系統的不安全性,在網絡環境下,還來源于網絡通信協議的不安全性,有的操作系統根本就沒有安全防護措施,如dos、windows95等操作系統,它們不能作為安全性要求高的服務器的操作系統。Unix和windows nt/2000server/2003
serve/2005serve操作系統主要用于服務器上,但它們也存在著安全漏洞,都存在著超級用戶,如果入侵者得到了超級用戶口令,那么整個系統將完全受制于人,這樣系統就面臨巨大的危險。
2.2 內部網用戶的安全威脅
來自內部用戶的安全威脅遠大于外部網用戶的安全威脅,這些用戶缺乏安全意識,無意識的操作失誤,使系統或網絡誤操作而崩潰,或安全意識不強,將用戶帳號泄漏,或操作員對系統安全配置不當造成安全漏洞等都會對網絡安全帶來威脅和隱患,給他人帶來可乘之機,對網絡系統造成危害。
2.3 網絡外部的安全威脅
除了受到網絡內部的安全威脅,網絡還受到外界的各種各樣的威脅:
2.3.1 物理威脅:有偷竊、垃圾搜尋和間諜活動。偷竊辦公室電腦是偷竊者的主要目標,計算機中存儲的數據信息的價值遠遠超過設備的價值,因此,必須做好嚴格的防盜措施保證計算機不被偷。有時辦公垃圾也會泄露商業機密。
2.3.2 網絡威脅:如局域網的電子竊聽,如假冒網站電子欺騙,網絡設備的因素也可以構成網絡的安全威脅,如通過電話線入侵網絡用戶等。
2.3.3 身份鑒別:是指計算機判斷用戶是否使用它的一種過程,它普遍存在于計算機系統中,實現的方式各種各樣,有的功能十分強大,有的比較脆弱。其中,口令就是一種比較脆弱的身份鑒別手段,功能不是很強,但實現起來比較簡單,所以被廣泛采用。身份鑒別造成的威脅有口令圈套、口令破解和算法缺陷等。口令圈套是網絡安全的一種詭計,與冒名頂替有關,靠欺騙來獲取口令。比如登錄欺騙,它通過編寫一個代碼模塊,運行起來和登錄屏幕一模一樣,并把它插入到登錄過程之前,這樣用戶就會把用戶名和登錄口令告知程序,這個程序就會把用戶名和口令保存起來,然后告訴用戶登錄失敗,并啟動真正的登錄程序,這樣用戶就不容易發現這個欺騙。口令破解是用密碼字典或其他工具軟件來暴力破解口令。如口令用生日、電話號碼、名字等很容易被破解。口令輸入過程必須滿足一定條件才能正常工作,當條件變化時,口令算法程序就可能工作不正常了,很容易被人破解,并進入系統,這就是算法缺陷帶來的安全隱患。
2.3.4 編程。是指通過編制程序代碼實施對系統的破壞。編程威脅主要有計算機病毒和特洛伊木馬等。病毒是一種能自我復制的程序代碼,具有感染性和破壞性,使系統癱瘓,也能在網絡上不斷傳播,危害Internet的安全。特洛伊木馬程序一旦被安裝到計算機上,便可按編制者的意圖行事。能摧毀數據,創建新用戶和口令等。
2.3.5 系統漏洞。系統漏洞是指應用軟件或操作系統軟件在邏輯設計上的缺陷或錯誤,被不法者利用,通過網絡植入木馬、病毒等方式來攻擊或控制整個電腦,竊取您電腦中的重要資料和信息,甚至破壞您的系統。在不同種類的軟、硬件設備,同種設備的不同版本之間,由不同設備構成的不同系統之間,以及同種系統在不同的設置條件下,都會存在各自不同的安全漏洞問題。產生漏洞的原因可以分成下面三種因素:
①人為因素:編程人員在編寫程序過程中,為了實現一些特殊的目的,有意在程序代碼的隱藏處保留后門。
②能力因素:受編程人員的能力、經驗和當時安全技術所限,在程序中難免會有不足之處,輕則影響程序效率,重則導致非授權用戶的權限提升。
③硬件因素:由于硬件的原因,使編程人員無法彌補硬件的漏洞,從而使硬件的問題通過軟件表現出來,例如軟件的不兼容問題。
3 計算機網絡安全的防范措施
3.1 操作系統安全技術
首先,及時安裝“補丁”程序。當系統后,發現有些程序中有漏洞,能被黑客利用而攻擊用戶,所以相應的措施來對付這些黑客,用一些應用程序來修復這些漏洞,稱為“補丁程序”,安裝這些補丁程序后,黑客就不會利用這些漏洞來攻擊用戶,從而杜絕同類型病毒的入侵。
其次,做好系統安全設置。如停掉guest帳號,限制不必要的用戶數量,創建兩個管理員帳號,將系統默認帳號改名,創建一個陷阱帳號(將默認管理員帳號的權限設置最低,什么事都干不了的那種),使用安全密碼,合理設置瀏覽器的安全屬性,徹底刪除掉缺省共享,停掉不必要的服務等。
3.2 防火墻應用技術。防火墻是目前最為流行、使用最廣泛的一種安全技術,它的核心思想是在不安全的網絡環境中構造一個相對安全的子網環境。它將內部網和外部網分開,限制被保護的網絡與互聯網及其他網絡之間進行信息存取、傳輸等操作。它一方面對經過他的網絡通信進行掃描,過濾掉一些可能攻擊內部網絡的數據。另一方面可以關閉不使用的端口,禁止特定端口監聽通信,封鎖特洛伊木馬。可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
3.3 網絡病毒的防范。與傳統類型的病毒相比,網絡類型病毒有其特殊性,在網絡環境下,網絡病毒可以按指數增長模式進行傳播。病毒侵入計算機網絡,可以導致計算機效率急劇下降、系統資源遭到嚴重破壞,短時間內造成網絡系統癱瘓。因此網絡環境下的病毒防治已經成為計算機防毒領域的研究重點。我們除了安裝全方位的網絡反病毒軟件,養成定期升級軟件和掃描文件系統的好習慣外,還應該對移動存儲設備,在使用前進行查毒,對從網上下載的文件和電子郵件中的附件打開前也要殺毒,不使用或下載來源不明的軟件,不上不正規的網站。一旦在網上發現病毒,立即通知所有用戶下網,關掉文件服務,設法立即清除,確信病毒被徹底清除后,重新啟動網絡和工作站。
3.4 數據加密技術。數據加密技術是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采取的主要手段之一。數據加密技術按作用不同可分為數據存儲,數據傳輸、數據完整性的鑒別,以及密鑰的管理技術。數據存儲加密技術是防止在存儲環節上的數據丟失為目的,可分為秘文存儲和存取兩種,數據傳輸加密技術的目的是對傳輸中的數據流加密。數據完整性鑒別是對介入信息的傳送、存取,處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。
3.5 網絡訪問控制。訪問控制室網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
3.6 數據庫的備份和恢復。數據庫的備份和恢復是數據庫管理員維護數據安全性和完整性的重要操作。備份是恢復數據庫最容易和最能防止意外的保證方法。恢復是在意外發生后利用備份來恢復數據的操作。有三種主要備份策略:只備份數據庫、備份數據庫和事務日志、增量備份。
3.7 防止黑客攻擊的措施。在網絡環境下,由于種種原因,網絡被入侵和攻擊是難免的,可謂是防不勝防,為了避免可能因入侵和攻擊而造成的各種損失,我們最好是防止其入侵,防患于未然,如果我們經常注意下面這些情況,我們就可以大大降低被木馬攻擊的幾率:不要執行任何來歷不明的軟件;不輕信他人;不要隨便下載軟件;不要隨便留下自己的個人資料;謹慎使用自己的郵箱;最好使用第三方郵件程序;始終顯示文件的擴展名;運用反木馬實時監控程序;給電子郵件加密;隱藏ip地址;不共享文件。當我們發現有黑客入侵后,我們一般采取的措施是:首先要殺死這個進程,切斷黑客與系統的聯系。必要時切斷網絡,同時注意保存現場,以便事后調查原因,或進行分析。其次,使用安全工具跟蹤這個鏈接,找出黑客的來路和身份,詢問其要做什么,并發出警示,如果破壞嚴重時,可向公安部門和信息安全部門報告,通過司法手段解決問題。再次,管理員也可以使用一些工具來監視黑客,觀察他們在做什么。還有就是修復安全漏洞并恢復系統,不給黑客可乘之機。
4 結束語
網絡安全問題是一個綜合性的問題,它涉及到技術、管理和使用等多方面的因素,因此網絡安全問題的解決方案也應該綜合多方面來考慮實施,不但有物理方面的措施,還要有邏輯技術方面的措施,當然還有系統本身的安全問題。只有完備的系統開發過程、嚴密的網絡安全風險分析、嚴謹的系統測試、綜合的防御技術實施、嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才等各方面的綜合應用,才能保證信息的完整性和正確性,為網絡提供強大的安全服務,這也是網絡安全領域的迫切需要。
參考文獻:
[1]高永強等.網絡安全應用技術大典.北京:人民郵電出版社,2007.
[2]龍冬陽.網絡安全技術及應用[M].廣州:華南理工大學出版社,2006.
[關鍵詞]windows 2000 安全漏洞 網絡安全
Microsoft Windows 2000(微軟視窗操作系統2000,簡稱Win2K),是由微軟公司發行于1999年底的Windows NT系列的32位視窗操作系統。起初稱為Windows NT 5.0。英文版于1999年12月19日上市,中文版于次年春上市。Windows 2000是一個可中斷的、圖形化的界面向商業環境的操作系統,為單一處理器或對稱多處理器的32位Intel x86電腦而設計。
一、windows2000網絡安全的設計
作為企業級網絡系統,windows2000在安全特性方面的設計注重了三個方面:(1)對于基于internet的新型企業的支持,幫助他們突破原有的企業網絡和internet的界限,滿足移動辦公、遠程工作和隨時隨地接入全球數字神經系統(internet)進行通信和電子商務的需要。新一代的Extranet應用由此應運而生。(2)微軟在windows2000中提供的是一個安全性框架,并不偏重于任何一種特定的安全特性。新的安全協議、加密服務提供者第三方的驗證技術,可以方便地結合到windows2000的“安全服務提供者接口”中,供用戶選用。通過安全服務者接口,windows2000實現了應用協議和底層安全驗證協議的分離.不管是NTLM、Key beros、Secure Channel(Schannel,是web訪問的常用的驗證方法),它們對于應用層來說都是一致的。應用廠商還可以通過微軟提供的Platform SDK產品包中Security API來發自己的驗證機制。(3)Windows2000意識到用戶對于向下兼容的需要,完全無縫地對windows NT4.0的網絡提供支持,提供對windows NT4.0中采用的NTLM(NT LAN Manager)安全驗證機制的支持。用戶可以選擇依照自己的步調遷移到windows2000中對替代NTLM的Kerberos安全驗證機制。
二、 Windows 2000網絡中的漏洞分析
當光標移至Windows 2000登錄界面的用戶名輸入框時,按下[ctrl+Shift[鍵,這時在默認的安裝狀態下會出現輸入法狀態條,用鼠標右鍵單擊輸入法狀態條,在出現的對話框中選擇[幫助]一[操作指南]或[輸入法入門](微軟的拼音輸入法和智能ABC沒有這個選項),在出現的操作指南或輸入法入門窗口中會出現幾個按鈕,關鍵是[選項]按鈕。
如果是未安裝Service Packl或IE5.5的Windows 2000系統,用鼠標左鍵單擊[選項]按鈕,在出現的對話框中選擇“主頁”,這時在已出現的幫助窗口的右側會出現IE瀏覽器幾面中的此頁不可顯示頁面,其中有個檢測網絡設置的鏈接,單擊它就會出現“網絡設置”選項,可以對網絡設置甚至控制面板做任何修改.用鼠標左鍵單擊[選項]按鈕,在出現的對話框中選擇“Internet”選項,也可以對主頁、聯結、安全、高級選項等做任何修改。最嚴重的是用鼠標右鍵單擊[選項]按鈕會出現一個對話框,選擇跳至URL,這時會出現一個對話框,其中有一個跳至該URL輸入框,在其中輸入想看到的路徑比如D:\那么這時在已出現的幫助窗口的右側會出現資源管理器D盤的界面,這時已經是系統管理員權限,可以對看到的數據做任何的操作,并且繞過了Windows 2000的登錄驗證機制。
此漏洞存在于一切具有多種輸人法的Windows 2000系統中,經過這樣不正常的操作,正常登陸以后還會隨即出現各種程序運行錯誤。解決方法:在控制面板中選擇區域選項中的輸入法區域選項,選中啟用任務欄上指示器復選框,留下最擅長的一種輸人法其余的輸入法全部刪除,其中內碼輸入法一定要刪除!因為下述方法對內碼輸入法無效,然后在任務欄上用鼠標左鍵單擊輸入法圖標的必行圖標選擇關閉輸入法狀態。
三、Windows 2000操作中存在的隱患
微軟遠程服務時一種用于遠程登錄到大學、政府機關以及其他機關網站的系統或郵件服務器上的協議。視窗2000內運行的遠程服務軟件所出現的安全漏洞可能導致3種截然不同的安全隱患:拒絕服務、權限濫用、信息泄露。盡管安全漏洞可能導致DOS攻擊,使得系統無法向合法用戶提供遠程登錄服務,但由于Windows 2000安全漏洞造成的DOS攻擊一般不會使服務器陷入崩潰狀態,或者使攻擊者進入系統的內部。最嚴重的情況是:可能會重新啟動遠程服務軟件14%。解決方法:到微軟網站下載補丁軟件進行修補。除了DOS攻擊之外,另外兩種安全權限都涉及到系統管理權限的問題.這個漏洞有可能幫助攻擊者通過鍵盤輸入的一個系統組建便在無需登錄的情況下就完全控制Windows 2000系統。這樣攻擊者便可以在計算機上執行任意操作。攻擊者可以在計算機上添加用戶、安裝或刪除系統組件、添加或刪除軟件、破壞數據,或執行其他操作解決方法是下載相應的補丁軟件來修補。
參考文獻:
[1]趙一鳴.計算機安全[M].北京:電子工業出版社,2003
1.1非授權型訪問,是指在沒有獲取相關批準的情況下就私自運用相關的計算機網絡和資源
主要是指用來編制與調試能夠將網絡的另一邊聯系起來的計算機程,從而獲得非法或缺少授權的訪問權限。比如故意跳過系統的訪問管控系統,利用不正當方式運用相關的網絡設施與資源,或缺少必要授權的訪問數據。主要有以下幾種類型:攻擊,偽造身份,在未經授權的合法用戶的非法操作,非法用戶的網絡接入系統的違法行為等。
1.2數據丟失,是指各類較為敏感的信息遭到泄露或丟失
信息的完整性遭到損壞,也就是運用不合法的手段對相關信息進行訪問于操作,對相關信息實施刪除、插入、修改等活動,從而令用戶不能夠順利工作,進而滿足攻擊者的非法目的。此外還有黑客攻擊,最終導致財務表格和各類重要數據均被修改或損壞,進而給相關企業造成巨大的經濟損失。更有甚者,令信息失效,系統崩潰,進而使整個網絡系統都無法順利運轉,這種情況所引發的后果比賬號被盜所遭受的后果還要嚴重。
1.3后門和木馬程序
所謂后門與木馬程序,主要是指那些能夠運用某種軟件實現對其余計算機進行管控的程序,其呈現出隱秘性強與非授權等特征。如果某臺計算機安裝了后門或木馬程序就能夠輕而易舉竊取用戶的信息,包括用戶輸入的賬號密碼,并發送這些信息,或者允許遠程計算機的用戶通過網絡竊取計算機中的文件,并通過網絡控制控制這臺計算機,更加恐怖的是,此計算機能夠對整個網絡系統實現全面管控,進而為黑客提供各種便利。
2關于計算機網絡的各類安全預防方法
關于計算機網絡安全技術,其是一項十分龐大且繁雜的系統工程。而不斷進步的技術與持續改進的安保方式能夠對網絡安全進行保障。從技術層面上講,網絡系統安全主要由如下部分構成:安全的應用機制、安全的操作系統、網絡監測、防火墻、入侵監察、數據加密、系統還原、安全檢測等。其中,無論哪一個單獨組件都不能確保計算機網絡安全。
2.1防火墻技術
關于防火墻技術,其能夠對網絡之間的互相訪問方面的管控進行強化,并避免其余用戶利用不法方式對內部網絡進行入侵和獲取相關的網絡資源,進而實現對內部網絡安全的保衛。此外,防火墻技術也有若干類,主要包括:包過濾型、型與監測型。(1)包過濾。包過濾型的防火墻產品屬于入門級產品,其中主要運用到網絡的分包輸送法。在網絡中,需要傳送的信息通常都是用“包”作為單位,從而實施信息傳送活動的,其中,信息會被分成若干個數據包,各個數據包內都存有一定量的數據,比如信息的目的地、信息源地址、目的端口等等。而防火墻則利用產看數據包中的實際數據的方式,對信息的信任度進行判定,如得出相關信息的來源是部分危險的網站,則禁止此部分信息進入。包過濾型防火墻技術的優點是簡單實用成本低,缺點是只根據特定的信息來確定數據包是否安全,無法識別惡意侵入。(2)型。關于型防火墻,其也叫服務器,在安全方面比包過濾型表現的更為優秀。此外,服務器處在服務器與客戶端中間的地方,在客戶端和服務器進行通信活動時,第一步是把相關請求傳送給服務器,之后由服務器結合實際需求向服務器進行信息索取活動,最終由服務器負責將獲取的信息傳送至客戶端。所以服務器實際上就是客戶端與服務器的媒介。型防火墻具有安全性和可靠性高的優勢,但也存在設置比較繁瑣,且在很大程度上影響到總體性能的劣勢。(3)監測型。關于監測型防火墻,其可以實現對各層信息的實時監測與自行解析,最終對是否存有攻擊現象進行明確。此外,這種產品通常會自帶探測裝置,并裝配在服務器與網絡的部分重要節點內,不但能夠監察到外部的攻擊活動,還能夠實現對內部的蓄意損壞活動的預防。
2.2數據加密技術
和防火墻同時運用的包括信息加密技術,對相關信息進行加密能夠對數據的機密性進行保障。從功能的角度出發,可以將信息加密技術分成信息傳送、信息保存、信息完整程度的判定、密鑰管控四種技術。信息加密技術屬于信息流傳送的加密方式;信息保存加密技術的主要目標是避免信息在存儲階段出現丟失現象,此技術可繼續分成存取管控與密文保存兩類,其中,存取管控主要是對用戶的各類權限與資格進行審核與限制,從而避免缺少相應授權的不法分子對相關信息進行非法訪問或部分合法用戶訪問或保存超越自身權限的信息,而密文保存通常是利用加密算法轉換、加密模塊與額外密碼等方式進行實施;信息完整程度的判定技術的主要目標是針對相關數據的保存、傳輸、操作者身份與相關的信息內容實施驗證活動,進而實現保密的目的,通常涵蓋口令、身份、信息等項判定,系統根據對驗證目標輸入的特征值和之前設置的參數是否相符,實現對數據的安全保護;密鑰管控技術的主要目標是實現信息的便捷運用,通常是保密與與盜竊的重要目標,此外,密鑰的媒體形式主要有磁卡、磁盤與半導體存儲器等,而密鑰的管控技術涵蓋了密鑰的出現、配置保存與替換、銷毀等各個步驟的保密活動。
2.3防病毒技術
當前,對信息安全威脅最大的是計算機病毒。在計算機網絡環境下,病毒能夠實現快速傳播,僅僅運用單機防病毒軟件難以實現對計算機病毒的徹底消除,所以,結合網絡中各類病毒攻擊的可能性設計出針對性的防毒與殺毒軟件,利用多層次與全方面的防毒系統配置,令網絡能夠在最大程度上實現對病毒的防御。此外,市場上的主流殺毒應用主要有瑞星殺毒軟件、360衛士、卡巴斯基殺毒軟件等,此類殺毒應用較為重視對病毒的防護,在檢測到有病毒侵入當前網絡后,殺毒應用會立即進行處理。
一、醫院網絡規劃建設原則
醫院網絡系統的建設必須基于各種相關的技術原則,符合相關的行業規范,網絡建設要遵循如下幾個原則:
1. 安全性和可靠性
為保證醫院各項業務能夠順利運行,必須保證網絡系統的安全性和可靠性,減少或者避免系統故障的發生。強化醫院網絡結構的可靠性建設。綜合運用硬件備份、冗余等技術來增強醫院網絡系統的安全性。
2. 先進性和實用性
在醫院內部系統的建設時,采用先進的技術,結合醫院其他設施,采用最新的網絡技術以適應更高的數據、圖像、視頻(多媒體)的傳輸需要,保證醫院網絡系統始終處于先進性,在醫院網絡系統保持先進性的同時,還應保證網絡系統的實用性,先進性建設不能脫離醫院實際。
3.靈活性和可擴展性
計算機網絡系統是一個處于動態變化中的系統,只有具備較強的靈活性和可擴展性的網絡系統才能夠滿足實踐發展的需要,靈活的網絡系統可以增強和提高網絡的韌性和可塑性。系統的可拓展性有利于系統的技術升級和更新換代。
4.開放性和互連性
網絡系統的多變性決定了網絡系統的開放性,開放性和互聯性原則可以確保網絡系統在結構上真正實現開放,包括各種局域網、廣域網等,堅持統一規范的原則,從而為未來的發展奠定基礎。
5.可管理性
由于醫院的網絡系統隨著業務的不斷發展,網絡管理的任務必定會日益繁重。因此,在醫院的網絡設計中,僵持可管理性的原則。網絡設備的智能化,設備的可替換性,同時結合先進的網絡管理軟件,實現網絡系統的有效管理。通過先進的管理理念和管理手段,最終提升網絡系統的資源配置效率。
二、不同功能區域信息點覆蓋
醫院的網絡規劃有別的簡單的辦公大樓的網絡建設,因為醫院的功能具有多樣性和復雜性。根據醫院的顯示特點和醫院未來業務的發展,同時在網絡規劃和建設過程中綜合使用部門與醫院基建部門的建議,不斷變更覆蓋需求,進行醫院網絡規劃與建設。在醫院網絡工程建設施工過程中,必須注重醫院信息點的覆蓋,一方面要考慮醫院未來信息系統的應用,另一方面也要也考慮醫療設備、智能設備的接入運用。總體來言,醫院網絡規劃建設的功能區域網絡信息點構建情況如表1。
結合醫院的現實業務特征,基于網絡建設安全性和可靠性的原則,此次方案的設計如圖2所示:
三、網絡構架結構情況
醫院網絡的構架必須運用二個核心交換機,同時結合交換機到核心交換機雙鏈路,以確保核心交換機的問題不妨礙醫院其他業務的運作。but根據業務性質的不同,可以將醫院的網絡設計細分為核心業務區、非關鍵業務區、服務器區、放射科區等四大部分,不同功能區的信息點覆蓋大體有優先和無線兩種,有線網主要用于滿足醫院醫生和辦公人員的工作需要,無線網主要用于滿足智能設備的接入使用,具體功能劃分如下。
(一)核心業務區:核心業務區必須保證網絡系統的安全性和可靠性,網絡的故障會嚴重影響醫院正常業務的運行。因此,應該在該業務區的接入層交換機上采用雙鏈路上行至會聚層交換機,這樣其他支鏈上的業務故障都不會影響核心業務區的運作。
(二)非關鍵業務區:該區域包括住院病區以及一些行政科室,網絡的微小故障對其業務的影響比核心業務要小。因此,該區域接入層交換機采用單鏈路上行至會聚層交換機,如鏈路中斷或上行模塊故障會導致業務中斷。
(三)服務器區:該區域交換機的故障會嚴重影響醫院其他業務的正常進行。因此,應該將這一區域的接入層交換機先堆疊后,再將雙鏈路與核心交換機萬兆聯接在一起,這樣主交換機的故障就不再影響主要業務的進行,若任一接入層交換機故障也可在短時間內將聯接服務器的網絡從故障交換機切換到非故障交換機。
(四)放射科區域:放射科PACS的信息傳輸量非常大,因此,接入層交換機采用二條萬兆線路不通過會聚層交換機直接與核心交換機相聯接,千兆傳輸帶寬到桌面,保障圖像傳輸的速度。
四、體會
(一)醫院在建設階段,醫院的信息系統管理部門就要提前介入,提前為醫院提供適合其自身特點的網絡建設方案。醫院功能的專業性決定了醫院網絡建設的復雜性,醫院必須在詳細了解醫院需求的前提條件下,再構建適合醫院自身業務特點的網絡構架,確保網絡系統的實用性。如今大多數醫療設施網絡接口是通過TCP/IP協議完成信息的傳遞工作的,因此醫院信息系統在建設規劃時除了關注計算機應用之外,最好考慮下監護儀、麻醉機、放射設備等這些醫療設施的信息傳遞與共享。此外,注入門禁、樓控、停車場以及機房的UPS等設備都需要保證的網絡的正常接入。
(二)隨著醫院門診、電子病歷等現代信息系統的在醫院的廣泛運用,這也就對醫院的網絡系統提出了更高的要求,必須確保計算機系統故障發生概率的最小化。因此,高效穩定的網絡對醫院業務的正常運作至關重要。醫院在網絡規劃時,除了要對門診等核心業務區進行交換設備與鏈路冗余建設,還要對非核心業務區域,采用接入層采用單鏈路的方法,將網絡系統故障發生的可能性降到最低響度。在醫院網絡規劃建設時,不僅要考慮醫院未來信息系統的應用,也要也考慮醫療設備接入運用情況。
醫院網絡規劃建設能否能達到預料中的效果,能否保障故障的發生不影響醫院核心業務的正常運作?這還需要對這些設計方案進行演練和試驗,模擬核心交換機、會聚層交換機故障或冗余鏈路中斷的情況下,能夠達到理想的效果。通過演練才能證明設計的可行性,其演練方案與測試文檔也可以為現實故障發生時提供經驗借鑒。
參考文獻:
[1] 于燕波.計算機網絡安全與防護[J]. 電腦編程技巧與維護.2008年17期
[2] 翟文學.關于數字圖書館信息安全策略的研究[J].科技致富向導.2009年06期
[3] 雷莉霞.淺談網絡安全技術-防火墻[J].科技廣場.2013年08期
[4] 趙睿.青島市政府部門虛擬網站群的信息安全實現[J].網絡與信息.2013年10期
[5] 鐘衛.中小型局域網的組建方案[J].科技廣場.2011年10期
隨著政務網絡的層次化、分組化以及寬帶化發展,政府部門越來越多的統計決策業務、日常監督檢查業務、OA等管理性業務以及面向多媒體的綜合業務都開始向數字化、網絡化轉變,這符合當前信息網絡融合發展的趨勢。多網融合對應用的安全性提出了更高的要求。
但目前政務網絡還存在一些常見的問題:一是沒有統一的網絡授權控制策略,僅采用簡單的口令控制,使用不便,而且難以確保口令的時效限制。二是機房中心訪問控制與未來跨主機業務之間的矛盾,如不同政府部門之間的業務開展和結算等。三是網絡規劃基本上還是以簡單辦公業務需求為主,沒有考慮到將來政府網絡支持的業務對網絡架構和安全要求提高后的平滑過渡。四是政務內網與政務外網之間的數據交換存在實時性與安全性之間的矛盾。因此,政務網絡需要整體性的安全解決方案。
安全策略
完整的安全體系結構應覆蓋系統的各個層面,由“網絡級安全、應用級安全、系統級安全和管理級安全”四大部分組成。
網絡級安全是指在物理層、鏈路層、網絡層采取各種安全措施來保障政務網絡的安全;應用級安全是指采用應用層安全產品和利用應用系統自身專有的安全機制,在應用層保證對政務網絡各種應用系統的信息訪問合法性;系統級安全主要是通過對操作系統(UNIX、NT)的安全設置和主機監控,防止不法分子利用操作系統的安全漏洞對政務網絡構成安全威脅;管理級安全主要是從建設內部安全管理、審計和計算機病毒防范三方面來保障政務網的安全。因此作為一個完整的系統,政務網絡必須對網絡系統進行全方位的考慮。
網絡的安全覆蓋系統的各個層面,包括網絡傳送、網絡服務、應用安全、安全識別、安全防御、安全監控、審計分析、集中管理等多個方面。這需要依靠安全保護和安全管理進行全面防護。
針對政府的現有網絡和業務的現狀,華為認為,一個完整的網絡安全方案應該由網絡層安全策略和應用層安全策略來構成,網絡層安全策略主要完成對非法使用網絡資源的控制,而應用層安全策略主要是針對通過合法的渠道來非法使用業務資源的控制,只有兩者的完美結合,才能構成一個安全的系統。
政務內網是政府部門的內部網絡,和外界網絡完全隔離,所以安全問題可能出現在局域網內部和政務內網的廣域網上。
解決方案
針對以太網存在的各種鏈路層和網絡層安全隱患,華為Quidway S系列以太網交換機采用多種網絡安全機制,包括訪問控制、用戶驗證、防地址假冒、入侵與防范、安全管理等技術,提供了一個有效的網絡安全解決方案。
在這個方案中,局域網內的訪問控制的原則是只允許授權的用戶訪問某個主機,通過網絡設備來提供這種保障。政務內網的數據庫、服務器等資源是受限訪問的。一般一個部門內的用戶的權限是相同的,可以將這些用戶劃分在一個VLAN內,只要設置基于VLAN的報文過濾策略就可以實現對這個VLAN內所有的用戶的報文過濾。這樣可以看出,基于VLAN的報文過濾是最簡單實用的某個用戶群的訪問控制策略。可以設定華為Quidway S系列以太網交換機端口禁止或允許轉發來自或去往某個VLAN的報文。Quidway S系列以太網交換機支持標準及擴展的ACL。可以通過標準的ACL只設定一個簡單的地址范圍,也可以使用擴展的ACL設定具體到協議、源地址范圍、目的地址范圍、源端口范圍以及優先級與服務類型等。這樣可以實現復雜的訪問控制策略。
用戶驗證是保證接入政務內網的用戶是合法的或通過某個以太網交換機端口接入政務內網局域網的用戶是預先配置的。華為解決方案可提供的用戶驗證包括PPPoE驗證、WEB驗證、802.1x端口驗證、VLAN驗證、CA驗證等等。
政務內網的局域網有可能受到入侵流量攻擊,對于一些連接關鍵部門的端口,特別是連接廣域網設備的端口和財務部門、領導部門的端口,可以將以太網交換機連接協議分析儀,通過報文鏡象、報文統計來監控端口流量和統計某個應用流的流量。Quidway系列以太網交換機支持端口鏡象和流鏡象,通過基于ACL的報文包數和字節數統計,從而了解網絡的運行狀況,發現網絡設備是否受到入侵攻擊。
通過在局域網出口路由器與局域網相連的接口上或與骨干IP網相連的接口上配置ISPKeeper,可很好地抵御黑客對ISP進行的流量攻擊,避免內部網絡受到外部網絡或骨干網的大流量訪問和攻擊而導致內網癱瘓。華為Quidway系列設備提供對多種系統信息的記錄功能。
內網廣域網的網絡安全
政務內網廣域網將省市縣政務內網連接在一起,為政府的內部辦公提供了極大的便利。但由于構成Internet的TCP/IP協議本身缺乏安全性,政務內網廣域網的網絡安全成為必須面對的一個實際問題。政務內網廣域網網絡上存在著各種類型的攻擊方式,包括網絡層攻擊、應用級攻擊和系統級攻擊。針對政務內網廣域網存在以上各種安全隱患,建議采取如下的網絡級、應用級和系統級安全措施來保證廣域網的安全。
在這種解決方案中,只有網絡管理員才有權訪問政務內網廣域網路由器,所以對訪問路由器的用戶需要進行身份認證。政務內網廣域網由骨干路由器組成,路由器之間需要對對端路由器的身份進行認證,對端路由器不僅僅指物理上的直接點對點相連的路由器,同時還包括虛擬的點對點(如通過隧道協議)相連的路由器。如縣政務內網廣域網路由器和省政務內網廣域網骨干路由器之間需要身份認證。
訪問控制分為對路由器的訪問控制、基于IP地址的訪問控制、基于用戶的訪問控制。為了保護政務內網廣域網路由器的配置,對路由器的訪問權限需要進行口令的分級保護。一般情況下,各級政府部門的政務內網的網絡用戶是通過IP地址來區分的,不同的用戶具有不同的權限。通過路由器的包過濾可以實現基于IP地址的訪問控制,可以實現對政務內網的重要資源的保護。另外,路由器也可以提供接人服務功能。對于已接入的用戶來說,他們之間的權限有可能是不一樣的。通過對用戶設置特定的過濾屬性,可實現對接入用戶的訪問控制。
為了避免政務內網廣域網因為數據竊聽而造成的信息泄漏,有必要對所傳輸的信息進行加密,只有與它通信的對端才能對此密文進行解密。通過對路由器所發送的報文進行加密,即使在廣域網上進行傳輸,也能保證數據的私有性、完整性以及報文內容的真實性。對于利用公網構建VPN的情況,數據加密能夠保證通過隧道傳輸的數據安全。MPLS VPN是實現VPN方案的技術之一,它使用基于標記的轉發模式,MPLS VPN可以實現DDN的安全性能,但配置、管理、調度更方便,同時也降低了用戶接入門檻。
政務內網的廣域網路由器作為一個政務內網對外的接口設備,是攻擊者進入政務內網的第一個攻擊目標。如果路由器不提供攻擊檢測和防范,則也是攻擊者進入內部網絡的一個橋梁。華為NE、R系列路由器、s系列交換機上可提供報文過濾、ASPF攻擊檢測等特性,可實現有效融合業務與安全思路的組網方案,在攻擊的第一階段阻止攻擊行為。
安全策略管理
內部網絡與外部網絡之間的每一個數據報文都會通過路由器,在路由器上進行報文的審計可以提供網絡運行的必要信息,有助于分析網絡的運行情況。
另一方面,路由器的安全運行牽涉到越來越多的安全策略,為了實現這些安全策略的有效利用,進行安全策略管理是必需的。
關鍵詞:防火墻;互聯網;日志
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 04-0000-02
一、引言
隨著計算機的普及和互聯網技術的發展,計算機的應用越來越廣泛,但是網絡安全問題也日益嚴重。據最新統計顯示,在美國,每年因互聯網安全問題所帶來的經濟損失高達100億美元,而在我國,計算機黑客入侵和病毒破壞每年也給我國帶來巨大經濟損失。如何建立確保網絡體系的安全是值得我們去關注的一個問題。本文從防火墻技術的角度對互聯網安全問題防火措施提出了自己的見解和意見。
二、防火墻技術淺析
隨著Internet的迅速發展,網絡應用涉及到越來越多的領域,網絡中各類重要的、敏感的數據逐漸增多;同時由于黑客入侵以及網絡病毒的問題,使得網絡安全問題越來越突出。因此,保護網絡資源不被非授權訪問,阻止病毒的傳播感染顯得尤為重要。就目前而言,對于局部網絡的保護,防火墻仍然不失為一種有效的手段,防火墻技術主要分為包過濾和應用兩類。其中包過濾作為最早發展起來的一種技術,其應用非常廣泛。
(一)防火墻的概念。防火墻是指設置在不同網絡安全域或者不同網絡安全之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻提供信息安全服務,是實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網絡和互聯網之間的任何活動,保證了內部網絡的安全。
(二)防火墻的主要功能。1.包過濾:包過濾屬于一種互聯網數據安全的保護機制,通過包過濾,可以有效的控制網絡數據的流入和流出。包過濾由不同的安全規則組成;2.地址轉換:地址轉換分為目的地質轉換和源地址轉換兩種。源地址轉換可以通過隱藏內部網絡結構和轉換外部網絡結構實現了避免外部網絡的惡意攻擊。3.認證和應用:所謂認證就是指對訪問防火墻的來訪者身份的確認。所謂是指防火墻內置的認證數據庫;4.透明和路由:主要是指把防火墻網管隱蔽起來以免遭到外來的攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問,同時阻止了外部未授權訪問者對專用網絡的非法訪問;防火墻還支持路由方式,提供靜態路由功能,支持內部多個子網之間的安全訪問。
(三)防火墻的原理及分類。根據國際計算機安全委員會的分類,防火墻分為三類,分別是包檢測防火墻、包過濾防火墻和應用及服務器。包過濾技術的防范手段。包過濾防火墻是指通過把收到的數據包和預先設定的包過濾規則進行比較判斷,決定是否允許通過。它主要工作在計算機的網絡層,過濾的規則就是通過和網絡層的IP包包頭進行信息比較。IP包包頭的主要信息有:封裝協議、IP地址、和ICMP信息類型等。通過比較,如果信息不匹配,則拒絕轉發。從速度來看,由于包括鋁處于網絡層,對連接的檢查也比較粗略,因此,它的速度是最快的。而且實現的要求比較低。從安全性角度來看,由于其過濾規則的不完善性,所以存在一系列的漏洞,安全性卻比較低。
(四)防火墻包過濾技術。隨著互聯網的發展,網絡安全問題變得越來越重要。而且,隨著黑客入侵技術的進一步提高,計算機網路安全問題也變得更加嚴峻。如何保護計算機網絡不受到攻擊和病毒感染已經成為人們普遍關心的問題,在對局域網進行保護的技術中,防火墻技術是一種非常有效的手段。而防火墻技術中的包過濾技術是發展比較早、比較廣泛的技術。包過濾就是指為確保網絡的安全,對每一個流經網絡的數據包進行檢查并根據相應的檢查規則確認是否允許通過。包過濾技術具有速度與透明性兩重優點。
(五)防火墻的配置。從硬件的角度看,防火墻和路由交換設備之間通常有多個借口哦,數據傳輸速度主要是由檔次與價格決定的。比如,一般的中小企業使用的出口帶寬都是100M以內的。防火墻在網絡拓撲圖中的位置非常關鍵,在網絡拓撲圖中,防火墻一般處于外網和內網之間互聯的區域。如果防火墻上有WAN接口,就可以把它直接與外網相連。防火墻和傳統的路由器在外觀上差別不大,和路由器交換機不同之處在于,在對防火墻進行配置時,需要把他們劃分成不同的權限和優先級。而且還要相關接口的隸屬區域進行相應的配置。在進行實際設置的時候,需要把各自端口劃分到某些區域時才可以進行訪問。在默認情況下對數據接口的通信是組織的。除了這些差別,防火墻的其他配置和路由器交換設備的配置差不多。
軟件的配置與實施,這里以H3C的F100防火墻為例,當企業外網IP地址固定并通過光纖連接的具體配置。先當企業外網出口指定IP時配置防火墻參數。選擇接口四連接外網,接口一連接內網。這里假設電信提供的外網IP地址為202.10.1.194 255.255.255.0。
第一步:通過CONSOLE接口以及本機的超級終端連接F100防火墻,執行system命令進入配置模式。
第二步:通過firewall packet default permit設置默認的防火墻策略為“容許通過”。
第三步:進入接口四設置其IP地址為202.10.1.194,命令為
int e0/4
ip add 202.10.1.194 255.255.255.0
第四步:進入接口一設置其IP地址為內網地址,例如192.168.1.1 255.255.255.0,命令為
int e0/1
ip add 192.168.1.1 255.255.255.0
第五步:將兩個接口加入到不同的區域,外網接口配置到非信任區untrust,內網接口加入到信任區trust――
fire zone untrust
add int e0/4
fire zone trust
add int e0/1
第六步:由于防火墻運行基本是通過NAT來實現,各個保護工作也是基于此功能實現的,所以還需要針對防火墻的NAT信息進行設置,首先添加一個訪問控制列表――
acl num 2000
rule per source 192.168.0.0 0.0.255.255
rule deny
第七步:接下來將這個訪問控制列表應用到外網接口通過啟用NAT――
int e0/4
nat outbound 2000
第八步:最后添加路由信息,設置缺省路由或者靜態路由指向外網接口或外網電信下一跳地址――
ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 (如下圖)
執行save命令保存退出后就可以在企業外網出口指定IP時實現防火墻數據轉發以及安全保護功能了。
三、防火墻發展趨勢
隨著計算機病毒的發展和黑客技術的提升,傳統的防火墻技術已經不能解決這些問題。從目前來看,防火墻技術正在向新的方向發展。
從防火墻的體系結構發展來看。為應對未來發展需要,人們相繼開發了基于ASIC的防火墻和基于網絡處理器的防火墻。這類防火墻對軟件的依賴度有所增加,但是卻可以大大的減輕CPU的壓力。在性能上比傳統防火墻有新的提升。然而從編程的角度來看,這種防火墻缺乏靈活性,要實現和軟件的配合使用,必須添加新的硬件。
從防火墻的包過濾技術發展來看,一些防火墻廠商在防火墻中添加了新的認證體系和方法。從而大大的提高了用戶的安全級別,但是在一定程度上也給網絡通信帶來了一定的負面影響。多包過濾技術的發展彌補了單獨過濾技術的不足和缺陷,而且這種技術具有分層清楚、擴展性強等特點。是將來防火墻技術發展的基礎。
四、結束語
互聯網技術的發展使得計算機應用越來越普及,但是隨之而來的是網絡安全問題也日益突出,網絡病毒對經濟社會生活帶來了極大的危害。通過采用新的防火墻技術,可以有效的確保互聯網的安全。本文正是基于這個背景進行探討和研究的。相信不久的將來,隨著防火墻技術的進一步發展,互聯網安全問題會逐步得到有效的控制和解決。
參考文獻:
[1]王艷.淺析計算機安全[J].電腦知識與技術,2010,(s):1054
[2]艾軍.防火墻體系結構及功能分析[J].電腦知識與技術.2004,(s):79
[2]孟濤,楊磊.防火墻和安全審計[M].計算機安全.2004,(4):17
在
對阿里進行常規滲透測試時,“90后”白帽子何詣莘發現阿里云盾的搜索引擎存在未授權訪問漏洞。不過,這個漏洞危害不大,當他嘗試進一步測試有沒有其他漏洞時,發現阿里的安全人員已經發現了漏洞并修補了。這樣的漏洞查找對白帽子而言是家常便飯,徒勞無功也是常見的結果。
然而,今年4月12日,“白帽子”袁煒因涉嫌非法獲取計算機信息系統數據罪被批捕的事件,讓白帽子們措手不及,挖掘漏洞的法律爭議使得“白帽子”這個群體也越來越引發各界關注。
成為白帽子很普通
在網絡世界中,白帽子是一個“來無影,去無蹤”的存在。何詣莘說:“我挖掘企業的網站安全漏洞時,基本不會留下行跡。換言之,如果我不說,他們根本不知道我來過。”
另一名白帽子張坤向記者證實了這一點,“確實是這樣,企業通常不會發現我們對他們的網站進行了滲透測試。”張坤是何詣莘的朋友,在金融第三方從事安全工作的他也是一名兼職白帽子。
除去白帽子這個身份,何詣莘的職業是成都一家大型數據公司的專職網絡安全工程師,收入不菲,生活優渥。談及為何對網絡安全感興趣,并成為一名白帽子,何詣莘告訴《方圓》記者:“少年男孩,總有一顆想成為黑客的心,卻苦于不知如何入門,所以最初我并未關注網絡安全問題,若不是一次意外,我現在最可能是一名‘碼農’。”
何詣莘口中的意外是某天在貼吧里看到某位大牛記錄自己的黑客生涯,“他的經歷看得我熱血沸騰,” 何詣莘崇拜地說,“當你看到一個牛人展示他的才華的時候,你就會想變得跟他一樣。”然而,他并未經過專業的網絡安全知識的學習,“我完全是野路子出身,我是從泡中國紅客聯盟開始學習安全知識的。” 何詣莘說。
然而,如今何詣莘在民間著名漏洞收集平臺漏洞盒子上卻是小有名氣,在排名榜上,他穩定在在二三十名之間,而漏洞盒子有近兩萬名的注冊白帽子。他曾經挖出某航空公司內網、江蘇十幾家銀行的安全漏洞,得到了這些廠商的致謝和不菲的獎勵。
張坤成為一名白帽子,完全是靠興趣。“我在大學的專業是網絡工程,但是早在大一的時候,我就對網絡安全產生了興趣。盡管二者都帶有‘網絡’,但是卻是兩個不同的領域。”“在興趣的指引下,我大量地閱讀相關書籍,不斷地與人切磋交流,不斷地嘗試挖掘網站安全漏洞,剛開始的時候沒有任何收獲,直到有一天我挖掘出一個企業的安全漏洞,我才從心里認為自己真正成為了一名白帽子。”
何詣莘等大多數白帽子認為自己一點都不神秘。在他們看來,他們跟普通人并無差別,只是自身興趣愛好不同而已。
挖掘漏洞進化史:從手動到自動
何為網絡安全漏洞?北京郵電大學互聯網治理與法律研究中心常務副主任謝永江認為:計算機網絡、硬件、軟件、服務或者是管理存在弱點,這個弱點能夠被別人利用來進行攻擊,即為用來實施威脅的落點,就是網絡安全漏洞。
那么白帽子是如何挖掘漏洞的呢?
何詣莘告訴《方圓》記者他如何發現的第一個漏洞。那是一個越權漏洞,“我剛開始嘗試找漏洞的時候,并沒有確定要找哪些廠商的漏洞,只是通過搜索引擎搜索關鍵字,也就是‘撒網撈魚’這種模式,通過在使用搜索引擎時的關鍵字設置(如搜索inurl:user_add.php,就可以查找存在身份驗證漏洞的網站),就可能會發現某些未做身份識別驗證的頁面,可以修改網站首頁顯示的新聞、圖片、管理員信息,可管理數據庫,甚至可以拿下網站服務器權限……我在搜索到頁面的第二、三頁的時候,就發現了這樣一個漏洞,當時心里非常激動,仿佛打開了通向新世界的大門,從此一發不可收拾。”
第一個漏洞讓何詣莘很欣喜,但是他并不否認這只是最初級的挖掘漏洞的模式。“現在挖掘漏洞,可以針對不同的功能進行手工測試。”張坤補充道。
與何詣莘、張坤靠自學成為白帽子不同,畢業于中北大學信息對抗專業的石濤成為一名白帽子是順理成章的事情,他是科班出身。他向記者介紹了一種自動的漏洞挖掘模式:白帽子利用自己寫的全自動化掃描程序,關注每天最新的廠商未發現的最新漏洞,然后把相應規則添加進自己寫的程序,填入域名,就可以自動掃描網站。之后,再把掃描出來的漏洞進行人工驗證。“這樣的漏洞挖掘模式效率是相當高的,也是很多業內高手的常用手法。”石濤說。
擁有挖掘漏洞能力的白帽子在確定挖掘哪些網站的漏洞時,帶有極強的個人色彩。
隨著技術的提高,何詣莘在查找漏洞時已經摒棄了“撒網撈魚”的原始模式,“現在確定挖掘目標,已經不是靠前期的關鍵字搜索了,有時是定點,比如說買機票的時候就會對航空公司的內網進行一個測試;有時是圈內朋友讓幫忙看看某個網站;有時是社會上的一些熱點現象涉及的網站;還有時是漏洞平臺的一些眾測項目。”而他有時一天就發現幾個漏洞,有時發現一些大型目標,他會認真研究,那時可能就一兩個月都沒發現漏洞。
身為某互聯網公司開發工程師的石濤在挖掘漏洞時,主要是偏重于互聯網企業,“身為一名IT開發工程師,相對于其他企業,我對互聯網企業會有更多的關注。” 石濤告訴《方圓》記者。
不同于何詣莘和石濤,張坤確定自己的挖掘目標就容易多了,“我主要去一些有SRC(安全應急響應中心)的企業那里找漏洞,或者是一些在漏洞收集平臺注冊過的企業。”
挖了漏洞給誰
白帽子挖掘出安全漏洞后,怎樣處置這些漏洞?事實上,官方與民間有很多漏洞披露平臺可供白帽子選擇。而選擇哪一種,不同的白帽子選擇各異。
據國家互聯網應急中心運行部副主任、正高級工程師嚴寒冰介紹:自從2009年以后,多家漏洞平臺陸陸續續地成立,這些漏洞報告平臺擔負著搜集漏洞、處置漏洞相關任務。國家層面成立的漏洞平臺有CNVD、CNNNVD;民間漏洞平臺有補天平臺、烏云網、漏洞盒子等;另外有一些企業成立了自己的安全應急響應中心(SRC),建立了企業與白帽子之間的直接溝通渠道,比如百度、阿里、騰訊、網易、京東等等。
何詣莘挖掘的漏洞大多在漏洞盒子提交,“跟漏洞盒子的人比較熟”是他選擇漏洞盒子的最重要的因素,“但是,我還是更喜歡烏云的模式,因為‘白帽子’崇尚共享,而烏云網是一個很好的共享平臺,它是很多‘白帽子’學習進步的好地方,在那里可以學習到很多挖掘漏洞的技術和思路,會讓人腦洞大開。”
因為張坤主要去一些有SRC的企業挖掘漏洞,所以他挖掘出來的漏洞可以直接提交給企業,相當高效快捷。
石濤挖掘的漏洞主要提交給烏云網,烏云網會給烏云幣以及烏云排名成績作為獎勵,利用烏云幣可以參看受限的內容,買安全會議的門票,這有利于他的技術的提高。烏云排名更是實力的體現,排名對白帽子是一種榮譽的體現,“排名高在圈子里會受尊重,找工作也能當成能力佐證。”石濤很看重rank值的高低。
白帽子根據自己的喜好選擇相應的平臺,不同平臺的特色亦有不同。與烏云網逐步公開漏洞細節不同,補天漏洞收集平臺在漏洞細節的公布策略上較為靈活。補天漏洞收集平臺是隸屬于360公司的漏洞收集平臺。補天負責人告訴《方圓》記者,平臺提供公有SRC和私有SRC兩種公益的服務模式。公有SRC是漏洞招領模式的互聯網安全協作平臺,當白帽子上交漏洞后,補天會進行審核,確認后會嘗試聯系企業,當聯系不上時,會在網站上進行漏洞招領,招領時只公布漏洞標題,不會公布細節。企業只要免費注冊就能認領漏洞,并得到漏洞的詳情和修復建議。而補天私有SRC是為企業提供自建SRC服務的互聯網安全協作平臺,企業在線充值后可以自助漏洞征集公告,白帽子提交的漏洞由360仲裁并被企業確認后,由企業發放獎金給白帽子。
也有企業不重視提交的漏洞
由于經常挖掘安全漏洞,談及漏洞的危害,何詣莘深有體會:“一些使用開放源代碼建立的網站或者網站安全防護設備的漏洞可以用來攻擊一批網站。因為這些網站的搭建用的是同樣的系統,只是由于界面有定制,所以表面看起來不一樣。但是一旦發現這種系統的漏洞,就能影響一批網站,可能導致的危害就是用戶信息被盜取,舉個例子,如果是金融系統的漏洞的話,就能修改銀行或者P2P金融系統中用戶金額這樣的敏感信息。”
“好在金融系統的安全意識比較強。”何詣莘介紹,他發現銀聯等企業的漏洞并且提交后,這些企業很快進行了修復,“還對我表示了感謝。”
但是,并非所有的企業面對漏洞的態度都是這么積極,“有時候我們白帽子發現漏洞,告訴企業之后,他們的態度相當不積極,有時甚至可以說對我們有敵意,可能這些企業認為,我們白帽子不發現漏洞、不提交漏洞,他們就可以自欺欺人地認為漏洞不存在,事實上,毫不夸張地說,一旦漏洞被某些居心叵測的人利用,就可能會造成大范圍的數據泄露,危害用戶的數據安全,嚴重的可能會造成重大金錢損失。”何詣莘對此很無奈,但是他坦承對此也是“束手無策”。
由于法律上對白帽子的行為尚無明確的界限,為了規避法律風險,他的底線是“不竊取數據、不擅自修復漏洞、不影響網站業務”,他直言:“我從沒把自己當成拯救網絡風險的英雄,發掘、查找漏洞是我的興趣所在,但是我絕不會為了某網站用戶數據不泄露,而擅自去修復漏洞,因為這樣會觸犯法律。”
石濤曾經挖掘出花瓣、人人、美團、歐美斯教育等企業的安全漏洞,據他介紹,歐美斯教育的那個安全漏洞危害極大,這個漏洞基本上暴露了公司內部的全部信息,例如公司員工信息、公司高管郵箱,更夸張的是公司高管的內部系統的密碼跟郵箱密碼是同一個密碼,這樣公司面臨的風險極大,一旦密碼被泄露,公司的商業機密很有可能被竊取。而花瓣網的漏洞更為嚴重,不法分子可以冒充任意用戶登錄,登錄之后,用戶在花瓣網上的隱私就全部被竊取。
關鍵詞:高職教育;計算機網絡專業;課程群;課程建設
一、課程群基礎
(一)課程群建設的內涵
課程群建設是近年來高等院校課程建設實踐中出現的一項新的課程開發技術,其基本思想是把內容聯系緊密、內在邏輯性強、屬同—個培養能力范疇的同一類課程作為—個課程群組進行建設,打破課程內容的歸屬性,從技能培養目標層次把握課程內容的分配、實施、保障和技能的實現。課程群建設是課程建設的超集(Superset),是專業建設的子集 (Subset)(課程群層次在教學建設中的層次見圖1)。在課程群中,最基本的教學單元是知識點(Knowledge Points),知識群(Knowledge Group)是知識點的集合,依此類推,圖中下層是上層的子集。
(二)課程群建設的基本思想
把傳統的高職教學組織由兩層架構進化為三層架構,使技能要求獨立于課程,形成目標明確的課程群層次,嵌在課程和培養方案之間。
由課程群承載技能培養目標,協調課程之間的關系,使目標明確化。弱化課程的獨立性,強化課程之間的親和性,凸顯它們為確定的共同技能的服務特征,突出各課程所蘊涵的技能定位,把圍繞一個技能培養目標的、含有若干課程中的技能點抽象出來,在一個更高層次上連貫起來,使該技能的培養隨課程教學的推進而不斷遞進、加深和拓展,逐步實現與培養目標的重合。
二、課程群的提出背景
(一)高職教育自身現狀的要求
高職教育是以技能培養為主的教育形式,其教學內容分基本理論、基本技能和應用技能三部分。技能的掌握和應用與必備的理論之間相對縫隙加大,對技能的掌握增加了壓力。基本技能由于受到實驗實訓環境、師資力量、學時要求等因素的限制,難以完成大綱的目標,掌握的技能一般具有片面性或設備、技術的依賴性,在知識技能空間上是一個支離破碎的技能映像。應用技能受基本技能“設備特殊性”約束,學生進行應用或針對具體設備解決實際問題的能力有限。
傳統教學以課程為本,課程之間界限分明,知識相對封閉。高職學生囿于個人的理解和認知能力,課程之間的關系、技能之間的關聯應由教師理順貫通,從而把各門課程的知識和技能融合成一個面向技能應用的知識空間。但是,因為教材、教師、學生自身都具有相當的特殊性,并存在一些不可調和的因素,如教師素質、教材難度等,所以教學目標很難實現。
課程實施目的明確,前后課程關系“魚型化” (Fish Model),過于注重課程內部的銜接和組織,忽視課程之間的關系,把二維的課程關系單維化。
(二)國家宏觀政策引導和社會需求
在保持培養技能和目標不變的前提下,高職教育存在“軟”學制逐漸減少的傾向,更多的學校與社會力量共同完成學生技能培養,盡量壓縮學生在校培養時間,最終向“硬”學制縮短轉化。
(三)技術本身演變的需求
各類新技術層出不窮,技術的普及和大眾化進
度加快,比較突出的是網絡安全技術與應用技術。這些技術的入門臺階在逐步升高,掌握傳統技能需要的基礎越來越雄厚,知識越來越寬泛。技術本身的應用環境和因素越來越復雜,與相對穩定的教學格局相比變數增大。技術之間的關聯度提高,知識和技能之間的親緣關系由原來的明顯、淺層逐漸向隱含、繼承等多維發展,原來沒有關聯或關聯較少的知識逐步向有關聯、關聯密切、相互滲透而不斷融合演化方向發展。同時,技術的共性化對技能的個性化產生了非常強的依賴性。
(四)學生自身現狀
學生平均基礎素質降低,必備基礎技能和高職入門技能之間存在縫隙,而且隨著高校規模的擴大,該縫隙有逐漸加大的趨勢。傳統單維課程教學過程教給學生的是一個個課程技能映像,依靠學生自身的能力貫通這些技能的難度逐漸加大。
(五)教材建設現狀
教材的發展落后于高職教育的發展,現有的高職教材已不能適應高職計算機網絡專業的發展,如定位不準確,教學要求不明確,課程內容之間缺乏聯系,內容相對封閉,程度深淺把握不好,印刷錯誤太多,新技術太少,缺乏必要的CAI,甚至部分教材思路混亂等。
三、課程群開發技術
(一)課程群的組成和要求
由為某一種確定技能服務的3門以上課程組成,各課程教學內容具有不可重復性,同時知識點之間存在相對獨立和離散性,知識點之間關系親和,內容可集群;實踐實訓環節或技能培養環節是連貫、遞進的。
(二)課程群化后的特點
群化是圍繞確定的職業技能教學,在組織、內容、結構等方面的教學規約,群化后的課程具有顯著的技能屬性。教學目的性更明確,培養方向性更突出,技能培養的過程連續,不斷加深,外延不斷拓寬,課程的開放性和界面更友好,技能培養在靜態呈現“扁平化”。
(三)與傳統課程模塊之間的關系
課程模塊是常用的針對不同技能進行多分支培養的課程組織技術,形式上同屬于一個確定的技能培養范疇,課程的獨立是課程模塊存在的前提。而課程群形式上與課程模塊相似,但它注重技能培養,弱化課程個性概念,強化課程內容之間的融合、交叉和關聯,即大課程觀念,由原來的“技能培養需要型”轉變為“技能培養決定型”。
組成課程模塊的課程之間的關系是線性的,課程教學分別組織,課程交流少,技能的培養與目標要求對比不連續,階段性突出。課程群是一個二維概念,在技能培養環節上強調連續、遞近和不斷加深,形成的技能養成軌跡是一個和時間保持同步、連續、正比變化的軌跡。
四、課程群建設的實踐
(一)建設歷程和方案
徐州建筑職業技術學院計算機網絡技術專業成立于1997年5月,課程規劃采用模塊化結構,定位于“多媒體技術”和“網絡技術”兩個專業技能培養方向。1999年5-8月,學院制訂了面向三年制高職學生以網絡技術及工程能力為主線、以網絡編程與應用能力為輔線的培養方案。我們發現在課程處于高職教學核心地位的教學環境下,培養目標很難實現。
2000年6月,在專業和課程建設中引入“系列課程”概念,把內容聯系緊密、內在邏輯性強的《數據通信與網絡》、《計算機網絡操作系統》、《網絡工程》和《網絡新技術》4門課程與相應的課程實習組成了一個規模相對較大的教學實體,對三年制網絡專業高職進行了教學探索。
2001年6月,引進課程群建設技術,首先用于計算機網絡專業。以“網絡技術及工程”為主要技能培養線,“網絡編程與應用”與“網絡安全技術與應用”為輔助技能培養線,貫穿于整個培養方案(見圖2)。
(二)課程群建設的優勢
1.內容具有科學性
課程群各組成課程之間關系密切、邏輯性強,知識具有遞進性,內容切塊相對科學,便于組織教
學。教學內容具有明顯的時代性、先進性;大量CAI的使用使教學效果明顯改善,教學內容容量和技術信息量增大。
2.結構具有合理性
整合教學內容保證了理論教學和實踐教學總學時數之比接近1∶1,應用技能為主的思想得到體現,技能和素質培養體系更趨完善。在1999年的培養方案中,實踐、實訓環節占總學時的比例為 37.4%,到2000年調整為50.2%,2002年調整為 48.5%。
例如,(網絡技術及工程)課程群原來教學總學時為291個(含實驗62學時),實習3周(每周折合教學學時為25),實踐教學占總學時的37.4%;2000年改革后,總學時為290個(含實驗71學時),實習6周,實踐教學占總學時的50.2%。2001年的方案主要考慮到網絡技術的發展,特別是網絡安全和Windows2000的應用需要,從《數據通信與網絡》中分離出《TCP/IP技術課程》,從《網絡工程》中分離出《計算機網絡管理和安全》,原來的3個實習分離為7個功能各自獨立的實習內容單元,總教學學時為380個(含實驗94學時),實習7周,實踐教學占總學時的48.5%。
3.實驗室高效利用
專業實驗室由原來的每學期7500人次提高到 14000人次,網絡實驗室由原來的每學期完成實驗工作量400學時提高到平均每學期700學時左右。
4.教學過程可控
課程群所有課程教與學狀態透明度提高,教學中隨意性、非計劃性減少,教學環節、質量可控性提高。
(三)課程群實踐中存在的問題和不足
1.培養方案制訂
在以課程群思想指導建設專業時,課程與課程之間傳統的單維關系被打破,代之以內容編排,對傳統培養方案的制訂方法施加一定的難度。具體包括網絡專業的技能定位、技能分化和整合、技能的培養有哪些主要技術和手段、技能對課程的依賴關系、承擔多項技能培養任務的課程地位和設置、實踐實訓環境如何滿足培養方案以及學生個性化培養的需要。
2.教材建設
完備的課程群建設需要一套相配套的教材,而教材建設本身又是一項耗費大、周期長、見效慢的工作,加上網絡技術本身“高、精、尖、快”的特點,保持教材建設和課程群建設相協調是進行課程群建設所面臨的兩難問題。
3.實踐環節的考核
整個課程群中,理論教學和實踐教學總學時已接近1:1,理論考核已具備了比較完備的體系,易操作和實現,但實踐教學的考核還呈粗線條進行,如何將考核精確化、系統化是一個值得研究的問題。
4.課程群結構和內容的完善
課程群是由內容相關的若干課程組成,任何課程內容的變化都需要課程群內其他課程內容的調整與之對應,否則體現不出針對性、先進性和應用性的高職教育特點。
5.經費
課程群一般包含數門課程,每一門課程都要進行教學內容、教學手段、教學方法、教學體系、教學管理、教材等建設,所以經費問題解決不了,課程群建設的目標很難實現。
[參考文獻]
[1]李冬,楊文安,李繼良等.網絡技術及工程課程群建設改革與探索[J].職業技術教育(教科版), 2002,(31).
[2]劉德恩.論高職課程特色[J].職業技術教育(教科版),2001,(16).