時間:2023-09-20 16:57:33
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇常見的網絡安全防護手段,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
醫院信息化建設中網絡安全存在技術因素與人為因素的干擾,需要針對各醫院實際情況做管理制度的完善健全,提升技術手段,規范管理細節措施,提升全體人員對網絡安全維護的意識與能力,從而有效的保證醫院信息化建設的高效化、安全化,有序化。
關鍵詞:
醫院;信息化建設;網絡安全;防護
醫院信息化建設不斷加快與成熟,促使整體的醫療診治水平提升,保證了診療工作的準確與效率。但是隨著信息化的普遍性,相關網絡管理工作也日益復雜,尤其是我國惡意軟件與不良網絡攻擊情況嚴重,導致醫院網絡安全管理存在較大的威脅。網絡安全是醫院信息化建設中的重要工作,是保證信息化工作開展的基本保障。
1醫院信息化建設中的常見安全隱患
1.1技術因素
醫院信息化建設中,會廣泛的涉及到服務器、客戶端、鏈路、軟件系統、存儲與網絡設備等多種構成元素。醫院信息化建設有效的提升了整體的診療水平,提高工作效率與便捷性,但是網絡安全問題也日益突出,相關信息資源的泄露或者系統攻擊都極大的威脅了信息化建設的有序開展。在安全管理中,物理性環境安全、操作系統安全、數據備份安全等都是網絡系統建設的常見安全問題。而常規性的運用防火墻以及其他防病毒操作都無法有效的保證信息化平臺的安全性,容易引發數據泄露、損壞與丟失,進而干擾了醫院正常工作運轉,甚至也對患者個人信息構成泄露,急需要通過更強的防護技術來做保障。對于部分醫院而言,會簡單的認為設置一定安全防火墻就可以保障系統的安全性,甚至認為不需要其他安全防護來做安全保障,這主要是安全防護工作中缺乏與時俱進的先進意識,認識誤區較為明顯。而防火墻只是防護手段中的一種,能夠防御性的安全問題較為局限,對網絡內部與旁路攻擊都無法達到理想的防護效果,同時針對內容攻擊的問題也無法處理。部分設備中只是對攻擊行為進行警告,但是并不具備攻擊行為的防控能力。在數據庫升級中,可以到數據庫做用戶操作登錄記錄,可以達到操作源IP地址的定位,但是缺乏無法阻止其做惡性操作,例如對數據信息做惡意的竊取與篡改,甚至無法認定操作人員最終責任,因為賬戶登錄只需要賬戶與密碼就可以進行,但是這種登錄操作任何掌握信息的人都可以進行,無法達到全面的管控。此外,安全防護措施工作量大,操作復雜。在做IP與MAC地址綁定中,需要管理人員針對每臺交換機做操作,對綁定信息做逐條的輸入,工作負荷相對更大,操作缺乏高效便捷性。其次,如果有人懂得相關網絡基礎技術,可以輕易的做到IP與MAC地址的變更,從而引發綁定操作失效。此外,醫院主機裝備了殺毒軟件,然而由于數量較多,不能有效的對每個主機做殺毒軟件的統一性管控,對于病毒庫的更新以及軟件的開啟等情況都無法做有效確定,相應的系統補丁也不能及時有效更新,進而導致安全防護效果不能確定。雖然醫院投入大量的財力與人力做好安全防護措施處理,但是實際上缺乏可執行性,同時由于各設備間缺乏關聯性,從而對于實際效果無法做有效評估與管控,安全防護措施與手段的運用則流于形式。
1.2人為因素
醫院信息化建設更多的操作需要人為進行,因此人為因素是網絡安全管理的重要因素。醫院沒有將網絡安全明確到人,缺乏責任制管理,無論是安全管理人員還是普通工作人員,缺乏足夠的安全管理意識。沒有形成規范合理的信息系統建設制度規范,導致實際操作無章可循。沒有強效的安全檢查與監督機制,同時也沒有專業的第三方機構做安全性介入管理。相關工作人員缺乏專業資質認定,對于網絡安全沒有展開合宜的宣傳教育,同時也缺乏對應工作與行為考核,導致工作人員缺乏應有的安全責任觀念。因為工作人員缺乏安全意識與專業的安全能力,會出現將個人電腦接入醫院內部網絡,從而導致病毒攜帶入網,導致相關信息化系統運行故障。或則將醫療業務網絡電腦與互聯網、外網連通,導致相關網絡中的病毒、木馬程序進入到醫院的內部網絡,導致網絡病毒蔓延。工作人員會因為有職務的便利性,會訪問醫院有關數據庫,從而得到數據資料的竊取與篡改,進而導致相關經濟損失。同時黑客會通過技術手段接入到醫院內部網絡中,進行直接性的網絡攻擊,醫院與醫保網絡系統處于連通數據驗證操作所需,如果被攻擊則容易導致嚴重后果。
2醫院信息化建設中的網絡安全防護
2.1完善管理制度
醫院網絡運行保持安全性效果的基礎在于完善健全的制度管理,可以通過對醫院實際情況的了解,設置針對性安全管理操作制度、監督制度、用人制度、激勵制度等多種內容。確保所有有關工作的開展有章可循,提升操作的標準性、可執行性。要不斷的強化制度的權威性,讓工作人員對此保持謹慎態度,避免安全疏忽。
2.2安全管理細節措施
醫院網絡管理需要多方面的細節措施來保證。例如為了保證服務器能夠可靠穩定的持續工作,需要運用雙機容錯與雙機熱備對應方案,對于關鍵性設備需要運用UPS來達到對主備機系統的有效供電,確保供電電壓持續穩定供應,同時避免突發事件。網絡架構方面,需要將主干網絡鏈路采用冗余模式,這樣如果出現部分線路故障,其余的冗余線路可以有效繼續支持整個網絡的運轉。需要運用物理隔離處理來對相關信息數據傳輸設備保持一定的安全防護,避免其他非專業人員或者惡意破壞人員對設備進行破壞,需要做好業務內網與外網連通的隔離,避免網絡混合后導致的攻擊影響或者信息泄露。對于醫院內部的信息內容,需要做好數據與系統信息的備份容災體系構建,這樣可以有效的在機房失火或者系統運行受到破壞時快速的恢復系統運行。要展開網絡系統的權限設置,避免違規越權操作導致系統信息數據的修改有著竊取,要做好數據庫審計日志,對于相關數據做動態性的跟蹤觀察與預警。
2.3技術手段升級
在網絡安全防護措施上需要保持多樣化與多層次的防護管理,積極主動的尋找管理漏洞,有效及時的修補管理不足。對網絡設備做好殺毒軟件的有效管控,建立內外網間的防火墻,限制網絡訪問權限,做好網絡攻擊預警與防護處理。對于網絡系統各操作做有效記錄跟蹤,最安全漏洞做到及時發現并修復。要投入足夠人力與財力,優化工作人員技術水平,從而有效的保證技術手段的專業完善性。
結束語
醫院信息化建設中網絡安全需要醫院所有人員的配合,提升安全意識,規范安全管理制度與行為,確保網絡安全的有序進行。
作者:梁子 單位:廣州市番禺區中心醫院
參考文獻
[1]李騫.醫院信息化建設中的網絡安全與防護措施探析[J].網絡安全技術與應用,2015(9):43,45.
關鍵詞:網絡工程;安全防護;防護技術
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)21- 4790-02
隨著我國社會經濟的發展,信息化建設也發展較快,現代通信技術日新月異。通信網絡的推廣和普及使人們改變了信息交流的方式,逐漸成為人們日常生活信息獲取和交流的主要途徑。近年來,我國互聯網行業的飛速發展帶來了兩個方面的影響,一方面方便了人們的工作和生活,另一方面由于計算機網絡的開放性、互聯性以及分散性等特點,使得網絡工程中還不同程度地存在著一些安全隱患,威脅著網絡工程的通信網絡環境。網絡安全防護是一種網絡安全技術,加強網絡工程中安全防護技術,有利于保障通信網絡安全暢通。因此,研究網絡工程中的安全防護技術具有十分重要的現實意義。鑒于此,筆者對網絡工程中的安全防護技術進行了初步探討。
1 網絡工程安全存在的問題分析
當前,網絡工程安全現狀不容樂觀,還存在著諸多亟待解決的問題,這些問題主要表現在黑客的威脅攻擊、計算機病毒入侵、IP地址被盜用、垃圾郵件的泛濫和計算機系統風險五個方面,其具體內容如下:
1.1 黑客的威脅攻擊
黑客的威脅攻擊是網絡工程安全中存在的問題之一。黑客最早源自英文hacker,從黑客的定義上來看,黑客是指利用系統安全漏洞對網絡進行攻擊破壞或竊取資料的人。一般來說,黑客在對網絡工程進行攻擊時,按黑客攻擊的方式分類主要有兩種攻擊方式,即非破壞性攻擊和破壞性攻擊。非破壞性攻擊通常為了擾亂系統的運行,將阻礙系統正常運行作為目的, 并不盜竊系統資料,用拒絕服務和信息炸彈對系統進行攻擊;破壞性攻擊以侵入電腦系統、盜竊系統保密信息為目的,黑客會破壞電腦系統。
1.2 計算機病毒入侵
計算機病毒入侵在一定程度上制約著網絡工程安全的發展。計算機病毒具有破壞性,復制性和傳染性等特點,計算機病毒不是天然存在的,是編制者將指令、程序代碼植入到計算機系統中。所謂的病毒是人為造成的,通過影響計算機系統的正常運行,造成對其他用戶的危害。計算機病毒破壞力強、傳播迅速且不易被察覺,尤其是像木馬、震網、火焰這些通過網絡作為途徑傳播的病毒,一旦感染其他程序,將會對計算機資源進行破壞。不難看出,提高系統的安全性是確保網絡工程安全的過程中迫切需要解決的問題。
1.3 IP地址被盜用
IP地址被盜用也是網絡工程安全的瓶頸。對計算機網絡而言,被盜用IP地址的計算機不能正常使用網絡,致使用戶無法進行正常的網絡連接。區域網絡中常有lP被盜的情況,這種情況下用戶被告知lP地址已被占用,致使用戶無法進行正常的網絡連接。這些lP地址權限通常較高,竊取lP者一般會以不知名的身份來擾亂用戶的正常網絡使用,這會給用戶帶來很大的影響,使用戶的自身權益受到侵犯,也嚴重威脅網絡的安全性。
1.4 垃圾郵件的泛濫
垃圾郵件的泛濫,使得網絡工程安全陷入困境。垃圾郵件是指那些并非用戶自愿卻無法阻止收取的郵件。長期以來,垃圾郵件損害了郵件使用者的利益, 垃圾郵件的的日益嚴重讓網絡重負逐漸加大,對效率和安全性造成嚴重的威脅,一方面大量消耗網絡資源,減緩了系統運行效率;另一方面,數量繁多的垃圾郵件還侵害整個網絡工程的安全。
1.5 計算機系統風險
計算機系統風險也影響著網絡工程安全。在計算機網絡工程中,管理機構的體制不健全,各崗位分工不明確,對密碼及權限的管理不夠,這些因素使網絡安全日益受到外來的破壞且用戶自身安全防衛意識薄弱,無法有效地規避信息系統帶來的風險, 導致計算機系統的風險逐步嚴重,計算機系統不能正常工作,最終威脅到計算機網絡的安全。因此,加強網絡工程中安全防護技術勢在必行。
2 加強網絡工程中安全防護技術的策略
2.1 設置防火墻過濾信息
最直接的黑客防治辦法是運用防火墻技術,設置防火墻過濾信息是加強網絡工程中安全防護技術的關鍵。網絡工程中最有效的防護手段就是在外部網絡和局域網之間架設防火墻,網絡防火墻作為一個位于計算機和它所連接的網絡之間的軟件,可以將局域網與外部網的地址分割開,計算機流入流出的所有網絡通信均要經過此防火墻,經過防火墻的過濾,能夠過濾掉一些攻擊,以免其在目標計算機上被執行,增加內部網絡的安全性。另外,防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
2.2 加強病毒的防護措施
加強病毒的防護措施也是加強網絡工程中安全防護技術的重要組成部分。病毒防護是計算機系統日常維護與安全管理的重要內容,當前計算機病毒在形式上越來越難以辨別,計算機網絡病毒的防治,單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術手段和管理機制緊密結合起來,提高人們的防范意識,才有可能從根本上保護網絡系統的安全運行。常見的殺毒軟件有:360安全衛士,卡巴斯基,金山毒霸等。網絡工程在加強病毒的防護措施方面,對計算機網絡工程人員而言,相關人員都應該掌握使用殺毒軟件、防病毒卡等措施,一般情況下,要定期對計算進行病毒檢測與查殺,一旦發現病毒時應詢問后再處理,不僅如此,對計算機系統的重要文件還要進行備份,防止由于病毒對系統造成的破壞導致數據的丟失。
2.3 入侵檢測技術的植入
入侵檢測系統作為一種主動的安全防護技術,對于加強網絡工程中安全防護至關重要。對網絡工程而言,入侵檢測技術對計算機網絡資源及信息中隱藏或包含的惡意攻擊行為有效的識別,在網絡系統受到危害之前攔截和響應入侵。提供了對內部攻擊、外部攻擊和誤操作的實時保護,可以利用網絡安全入侵檢測采取相應的網絡安全防護措施。入侵檢測系統能夠從網絡安全的立體縱深、多層次防御的角度出發提供安全服務,從而有效的降低了來自網絡的威脅和破壞,必將進一步受到人們的高度重視。
2.4 拒絕垃圾郵件的收取
凡是未經用戶許可就強行發送到用戶的郵箱中的電子郵件,都被成為垃圾郵件。垃圾郵件一般具有批量發送的特征。垃圾郵件現在慢慢發展成為計算機網絡安全的又一公害。拒絕垃圾郵件的收取也是加強網絡工程中安全防護技術的重要環節,拒絕垃圾郵件的收取,要從保護自己的郵件地址做起,不要隨意的使用郵箱地址作為登記信息,避免垃圾郵件的擾亂。還可以使用outlookExPress和Faxmail中的郵件管理,將垃圾文件過濾處理,拒絕垃圾文件的收取。
2.5 加強網絡風險的防范
加強網絡風險的防范對于加強網絡工程安全也不容忽視。在網絡工程風險防范的過程中,利用數據加密技術是行之有效的途徑。數據加密技術是加密技術是最常用的安全保密手段,也是有效防范網絡與信息安全風險最直接,最為有效的方式。數據加密是一種限制對網絡上傳輸數據的訪問權的技術,具體說來,它是通過引導用戶對網絡傳輸中出現的、比較重要的數據進行設置密碼的過程。從網絡工程中數據加密的方式上來看,數據加密技術主要包括線路加密、端與端加密等等,各種方法都有各自的有點,線路加密主要是針對需要保密的信息進行的,在加密時使用加密密鑰來對信息進行保護。端與端加密主要是針對網絡信息的發出方,當網絡信息數據到達tcp/ip之后就利用數據包進行回封操作,以此對重要數據進行安全保護。
3 結束語
總之,網絡工程中的安全防護是一項綜合的系統工程,具有長期性和復雜性。網絡工程中安全防護技術,應設置防火墻過濾信息、加強病毒的防護措施、入侵檢測技術的植入、拒絕垃圾郵件的收取、加強網絡風險的防范,不斷探索加強網絡工程中安全防護技術的策略,只有這樣,才能不斷提高網絡工程的安全管理水平,進而確保計算機網絡的安全。
參考文獻:
[1] 李巍巍.計算機網絡安全的數據備份和容災系統[J].黑龍江科技信息,2010(33).
[2] 王薪凱,姚衡,王亨,常晶晶,喻星晨.計算機網絡信息安全與防范[J].硅谷,2011(4).
[3] 金金.2011年信息安全十大熱點預測[J].信息安全與通信保密,2011(3).
[4] 趙章界,李晨旸,劉海峰.信息安全策略開發的關鍵問題研究[J].信息網絡安全,2011(3).
[5] 陸文紅,蒙勁.小議通信網絡安全問題分析及維護措施[J].中小企業管理與科技(下旬刊),2010(10).
[6] 余斌.論計算機互聯網與通信網絡建設的安全性[J].科技經濟市場,2010(5).
【關鍵詞】 家庭寬帶 網絡安全 技術防范
家庭寬帶網絡在應用中容易產生安全隱患,輕則會致使文件損壞,系統崩潰,嚴重會致使網絡使用者產生相應的經濟損失與隱私泄露等。下文將對家庭寬帶網絡的一些常見的安全問題進行闡述,在分析問題的基礎之上,明確加強家庭寬帶網絡安全保護的重要意義,從而進一步提出加強家庭寬帶網絡安全保護的具體措施。
一、家庭寬帶網絡主要存在的安全問題
首先就是網絡開放性的問題,網絡要想實現有效的訪問就需要使得網絡開放于互聯網之中,不同的計算機設備能夠通過相應的硬件設備而實現通信,促進網絡與信息技術的緊密聯系。
根據目前我國的研究調查顯示,家庭寬帶網絡安裝已經實現了一半以上的覆蓋率,而使用寬帶上網的人數已經超過一億多。但是對于家庭寬帶的網絡安全問題,并不是所有的人都能夠樹立正確意識的,仍然缺乏安全防護措施,比如防火墻等,很多信息會在不經意之間實現私人信息的共享,另外也會因為網絡安全管理不當而致使私人信息的泄露。面臨的兩種主要威脅,一是電腦系統會遭遇非法入侵者,致使信息泄露的同時,也會造成一定的經濟損失等,二是病毒的入侵[1],主要利用計算機以及網絡中的實際漏洞,以編制好的程序和代碼進行擾亂,以此實現計算機網絡系統的崩潰以及電腦系統的崩潰。另外計算機病毒的種類成千上萬,并且每年還會有全新的病毒產生,影響電腦系統運行以及網絡安全,所以越來越多不能夠正確認識保護家庭寬帶網絡安全的網民成為了網絡安全難以維持的薄弱的群體。只有正確認識了家庭寬帶網絡中所存在的主要問題,才能夠針對問題進行家庭寬帶網絡安全的相應完善,從而實現對于家庭寬帶網絡安全的保護。
二、加強對于家庭寬帶網絡安全的保護
2.1提升網絡安全保護意識
想要加強對于家庭寬帶網絡安全的保護,最根本的還是需要提升安全保護的意識,意識到家庭寬帶網絡可能存在著信息安全隱患,隱私信息存在著泄露的風險。一些具有風險的網站不予瀏覽和點擊,不隨意下載網站上的沒有可信證明來源的文件,裝載相應的防火墻以及殺毒程序,正確理解網絡安全保護與網絡開放性與交互性之間的內在聯系[2]。只有從意識上進行轉變,才能夠有效促進對于家庭寬帶網絡安全的進一步保護。
2.2采取網絡安全保護手段
一般網絡安全的保護手段體現在對于相應軟件的裝載上,比如殺毒軟件以及防火墻的安裝。殺毒軟件往往家庭用戶偏向于免費的殺毒軟件,但無論是免費殺毒軟件還是收費的殺毒軟件,都能夠在一定程度上起到安全查殺病毒的實際作用。
另外一些軟件助手里還會存在著安全防護的功能,所以可以通過屏蔽不良的代碼編制的方式,促進系統增強免疫熊,避免系統收到侵擾。另外也可以將網絡瀏覽安全級別設置為最高,將Active中的空間與插件的設置,變成禁用的模式。這樣才能夠在一定程度上,避免在使用IE瀏覽器進行網頁瀏覽的過程中,被惡意網站中的病毒或者非法入侵者進行相應的攻擊。
這里還要著重介紹一下補丁安裝,以微軟的UPDATE程序為例[3],這個程序是所有微軟體系中所包括的重要系統內容,但是往往人們對于UPDATE沒能夠樹立正確的理解。UPDATE會實時更新關于系統的補丁,通過下載補丁的方式,強化系統安全。比如Windows XP安全更新程序這一補丁包,能夠防止攻擊者利用已存在的問題進行計算機的控制獲取,防止攻擊者在系統上執行黑代碼威脅到計算機的實際安全。另外家庭寬帶網絡使用者也需要做兩手準備,對于系統上所存在的重要信息及數據,要進行及時的備份,利用完全備份與追加備份有機結合的方式去進一步實現網絡安全的提升。最為基礎的就是設置開關機密碼等,關鍵文件設置隱藏,避免文件被人為查看。
從技術角度進行考慮,可以在上網的過程之中實現IP地址的隱藏,這樣不僅僅能夠避免人為的技g攻擊與電腦入侵,同時也能夠提升上網速度,促進系統安全性的增強。那么隱藏IP也可以通過以下幾個方式,比如更換管理員賬號等,運用相對較多的、難度系數高的密碼賬號,取消對于文件夾隱藏共享行為,關閉一些沒有用處的計算機端口,避免非法入侵者去掃描計算機端口。很多非法用戶使用家庭寬帶的無線網絡的時候,恰恰是利用了IP地址的合理分配方式,所以可以關閉DHCP服務器[4],手動設置無線網卡的IP地址,開啟MAC地址過濾。
無線網絡也要實現加密,雖然WEP加密方式、WPA加密方式以及WPA2加密方式是比較常用的,但是第一種加密方式更具有可破解性,所以不建議使用。另外,就是去修改SSID名稱也能夠實現無線網絡安全的提升。
2.3明確網絡接入方式,優化網絡結構
針對目前家庭寬帶網絡可能存在的問題,可以通過明確網絡接入方式,優化網絡結構。類似家庭寬帶接入網技術存在著多樣性,這里包括了數字用戶線接入、光纖接入、無源光網絡接入、WiMax接入方式等,這些都由相應的網絡架構組成。首先就是用戶自組網絡[5],這種網絡形式是以家庭為核心的實際局部的網絡,網絡屬于用戶個人,并且應用較為廣泛。
想要實現高密度多形式的有效的網絡接入,提升安全防護的能力,可以采取接入節點的方式。運營商針對家庭寬帶網絡安全問題,也了寬帶網絡網關、以太匯聚網絡等,但是一旦出現非法數據的傳送以及非法用戶接入等,從運營商的角度考慮,會直接造成收益的下降。所以在優化網絡結構中,為了阻止這一現象的產生,還需要提出多種用戶線路的識別方案,比如DHCP option82協議、PPoE+協議等。這些協議可以通過剝離字段信息、或是插入相應的端口信息的方式,來對目前的網絡使用以及用戶識別提出相應的規范[6]。虛擬的局域網棧以及虛擬MAC同樣也是利用雙標簽和內層網絡來唯一標示端口信息,以及從MAC地址信息中直接獲取端口信息等。這些方式都能夠實現用戶身份驗證,在避免非法應用的同時,保護了用戶的安全以及運營商的利益,從而促進了網絡接入方式的明確與網絡結構的實際優化。
三、結語
在家庭寬帶網絡廣泛應用的同時,也需要注重家庭寬帶網絡的應用安全,通過優化網絡結構,應用安全防護措施以及提升安全防護觀念等辦法,進一步實現家庭寬帶網絡的安全保護,實現家庭寬帶網絡安全防護效果的有效提升。
參 考 文 獻
[1]崔騰濤,張劍. OTN系統波道錯連預防及管理一體化解決方案[J]. 電信工程技術與標準化,2016,(11):20-23.
[2]強浩,陳常梅,萬昕. 傳送網與數據網協同部署情況下的家庭寬帶方案研究[J]. 郵電設計技術,2015,(05):65-68.
[3]房立,張雯,范樹凱. 家庭寬帶業務分場景探究[J]. 山東通信技術,2015,(01):25-27+30.
[4]夏雪玲,夏鵬志,廖振松,劉建功. 一種基于大數據的家庭寬帶售后服務保障系統[J]. 信息通信,2014,(07):26-27.
關鍵詞:計算機網絡;網絡安全;防范措施
中圖分類號:TP271文獻標識碼:A文章編號:1009-3044(2012)20-4806-02
Inspiration and Thinking of the Computer Network Security
LIU Dan
(Chongqing College of Electronic Engineering, Chongqing 401331, China)
Abstract: Computer network security can not be ignored under the complex information technology surroundings, which has been much concerned and taken seriously. This paper analyzed the current network security situation and explored the measures to prevent computer network security threats. Improving network security should be seriously thought.
Key words: computer network; network security; precautionary measure
據國家計算機網絡應急協調中心網絡安全報告,基礎設施和重要信息系統整體上運行基本正常,未出現造成影響嚴重的網絡安全事故,但是網絡攻擊的次數、頻率和復雜度均比往年大幅度增加,遭入侵和受控計算機數量巨大,潛在威脅繼續增加,信息數據安全問題日益突出,計算機網絡的安全形勢依舊十分嚴峻。主要表現在,一是政府網頁被篡改事件大幅度增加。據統計顯示,我國大陸地區被篡改網站總數比往年同期增長41%,占被篡改網站總數的比例達7%,而域名僅占cn域名總數的2.3%。二是感染木馬和僵尸網絡的主機數量巨大。國家互聯網應急協調中心抽樣檢測,境內外控制者利用木馬控制端對主機進行的控制事件中,木馬控制端IP網絡地址總數、被控制端IP地址總數均高舉不下。中國大陸地區有2百多萬個IP地址的主機被植入僵尸程序,有2270個境外控制服務器對大陸地區的主機進行了僵尸網絡控制。三是惡意代碼的肆虐傳播是造成木馬和僵尸網絡產生和擴大的一大途徑。國家互聯網應急中心通過技術平臺共捕獲惡意代碼約90萬個,比上年同期增長62.5%,其中有新的惡意代碼樣本,有通過國內外合作渠道接收到的惡意代碼。這些惡意代碼中,以惡意代碼下載器、灰鴿子家族系列,以及與網絡游戲有關的惡意程序居多,對終端用戶的威脅也最為突出。
1理性分析,網絡安全道路依然漫長
1)應用軟件漏洞是各種安全威脅的主要根源。在軟件系統漏洞的防護上,人們往往重視操作系統漏洞的查找和補丁升級。實際上,近年來,應用軟件安全漏洞的威脅越來越大,已經超過了操作系統漏洞。從目前所掌握的安全漏洞情況分析來看,有部分漏洞直接威脅到互聯網基礎設施的運行安全,更多的漏洞則嚴重威脅到廣大互聯網用戶的信息系統。如,Realplay播放器軟件漏洞、聯眾世界軟件漏洞等。同時,針對漏洞出現的攻擊程序、代碼也呈目的性強、時效性高的趨勢。
2)電子郵件成為達成精確控制的常用手段。對于電子郵件的安全威脅,人們通常只注意到盡量不打開陌生人發送過來的電子郵件,特別是不打開郵件中的附件,這的確是一種好的安全防范習慣。但據了解,目前互聯網上流行的電子郵件系統,其郵件用戶設置的復雜密碼無一例外地可以被專業人員破解,而用戶密碼一旦被他人獲得,即使是由熟悉人員所發送過來的郵件中,也可能在原有的郵件中被他人注入了木馬和病毒程序。利用電子郵件對待定目標主機實施遠程控制是當前最常見、最精確的滲透控制手段之一。
3)擺渡型攻擊技術逐漸成熟并廣泛應用于針對內部網絡的攻擊。擺渡型攻擊以移動存儲設備、光盤、電子文檔等為主要途徑,借助木馬、蠕蟲、病毒等惡意代碼,在與互聯網物理隔離的內網中交換數據、傳播病毒,進行破壞和癱瘓目標網絡。根據最新的網絡攻擊理論和實踐,所有的網絡都會與外部進行數據交換,已不存在絕對封閉的內部網絡。不論什么網絡,總要進行系統和應用軟件的更新,或進行防病毒系統補丁的更新,此時就相當于建立了對外連接的通道。就算是全封閉的物理隔離網絡,由于不能及時修補各種安全漏洞,一旦解決了進入問題,實施攻擊將更容易達成目的。因此,物理隔離固然重要,但未必能確保網絡的絕對安全。實際上,采用物理隔離的內部網絡中所出現的計算機病毒程序,基本上都是由移動存儲介質從外界帶入的。以往那種認為網絡只要物理隔離就可高枕無憂的想法是不正確的。需強調的是,即使是利用光盤進行內外網數據交換,病毒和木馬后門程序照樣可以通過OFFICE電子文檔、圖片文件等進行傳播。
4)分布式拒絕服務攻擊成為大規模網絡癱瘓攻擊的主要手段。所謂分布式拒絕服務攻擊就是在特定時刻由控制者向事先控制的、分布在不同地域的眾多網絡主機發出攻擊指令,受控主機收到攻擊指令后,會同時向指定的目標網絡節點或服務器發送類似于正常用戶訪問的數據包,使得目標網絡主機來不及響應處理,或致使目標網絡信道擁塞,進而造成目標網絡或主機無法(拒絕)提供正常服務。如發生在2007年4、5月間的俄羅斯對愛沙尼亞的大規模分布式拒絕服務攻擊,導致了愛沙尼亞由先期的政府、媒體網絡迅速蔓延到通信、銀行等各公共服務網絡,大量網站被迫關閉,就連其總統府網站也未能幸免。
2啟示思考,我國網絡安全防護任重道遠
對于復雜的因特網來說,事實上,有“網”必有“洞”,有“洞”就能鉆,我們必須居安思危,嚴密防范。
1)要強化安全憂患意識,堅持動態防御和體系保障理念。信息安全保障是一個復雜的系統工程,要從安全策略、隔離控制、密碼保護、授權認證、實體安全、檢測預警、響應恢復和安全管理等多個方面實行整體性防御。要破除密碼全能觀念,不能以為安裝了核心密碼設備的網絡就一定可以高枕無憂了。實際上,密碼只能解決數據交互過程中的保密問題,不能解決網絡安全所以問題;密碼僅對局外人員有效,用戶之間的信息交換只是在數據傳遞和存儲過程中的加密,而末端應用時是經過解密過的數據;病毒、木馬后門等攻擊程序通常是合法數據包裹在一起的。網絡安全必須從采集、加工、傳遞、存儲、應用的全過程,按照同一密級要求實行全程管理。
信息安全保障還是一種持續的動態發展過程,通常要通過策略、防護、檢測、響應和恢復構成一個完整的、動態螺旋式的循環上升鏈,進而不斷改進和完善。安全防范應貫穿于信息系統整個生命周期,只要信息系統存在,安全隱患也就永遠存在,安全防范就不能停止。
2)要注重系統頂層設計,重視應用軟件的安全性測試。網絡構建通常伴隨著重要的網絡應用,要通過頂層設計統籌考慮網絡應用與網絡防護的關系。在處理應用系統與安全防護系統可能存在的沖突時,要優先考慮安全問題,要在確保安全性的前提下實現業務系統的功能;在加強自研軟件安全性測試的同時,要加強對外協和外購軟件的安全測試,努力防止業務系統集成過程中出現安全漏洞。
3)要正視安全的相對性,積極應付各種可能復雜情況。網絡安全永遠是相對的,要有入侵容忍的思想,不應過分強調嚴防死守,因為防護手段永遠比進攻手段落后半拍;從費效比和網絡應用角度看,過度的防護也不可取。因此,要有防線一旦被攻破的思想準備,要通過響應、恢復、補救方案和措施,將損失降低到最小程度。
4)要采取主動防御戰略,注意加強攻擊溯源技術研究。保障網絡系統安全,不僅要查找自身的薄弱點,及時修補漏洞;同時,還應具備攻擊源速度定位能力。只有找到了攻擊的源頭,才能更有效地采取應對措施,更好地把握網絡防御的主動權。近幾次發生在因特網上的大規模網絡攻擊事件,都呈現出網絡攻擊手段多樣、手法隱蔽、源頭難以追溯等特點,即使是內部網絡中發生的病毒傳播現象,也很少有單位能夠鎖定到確切的傳播源,這些事件和現象突出反映了主動防御對保障網絡安全的重要性和緊迫性。加強對網絡攻擊溯源技術和手段的研究,迅速定位攻擊源頭,及時獲得并分析病毒、木馬等攻擊代碼程序樣本,研究反制措施,已成為網絡安全防護體系中不可或缺的重要組成部分。
5)要樹立人才第一觀念,高度重視核心骨干人才培養。網絡攻防拼的是技術、靠的是人才,要的是機制。事實上,網絡防御對抗時技術的較量、人才的博弈,沒有骨干人才就沒有良好的安全保障。安全防護不適安全產品的簡單堆砌,要運用綜合集成思想,將各種檢測、防護、響應手段圍繞安全策略的具體需求有序地組織,相互之間要形成協調、聯動的關系;要針對應用中發現的問題,根據實際需求或應用變化的情況,不斷地加以改進和完善;網絡安全絕不是單純一次性地購出來、建出來的,而是通過人配出來、改出來、管出來的,這就決定了人才是網絡安全的核心要素。
參考文獻:
[1]謝希仁.計算機網絡[M].北京:電子工業出版社,2003.
[2] Andraw S,Tanenbaum.計算機網絡[M].3版.熊桂喜,王小虎,譯.北京:清華大學出版社,1998.
[3]劉占全.網絡管理與防火墻技術[M].北京:人民郵電出版社,2005.
[4]肖軍模.網絡信安全與對抗[M].北京:出版社,1999.
關鍵詞:惡意軟件;計算機;安全防護
中圖分類號:TP309 文獻標識碼:A 文章編號:1674-7712 (2014) 02-0000-01
惡意軟件是一種以盜取用戶信息或破壞用戶操作軟件為目的的網絡,若不采用適當的防護手段對其進行檢測和處理,會對個人、企業等帶來嚴重的安全威脅和經濟損失。特別是隨著互聯網應用日趨廣泛,用戶資源共享越來越普遍,惡意軟件入侵用戶系統,竊取、泄露用戶數據的行為日發猖獗,因此對計算機惡意軟件進行分析,制定安靠可靠的防護策略具有十分重要的意義。
一、惡意軟件分類及其特點
惡意軟件按照其行為特點進行分類可以分為瀏覽器劫持類、信息竊取類、行為記錄類、廣告捆綁類等。
針對瀏覽器的惡意軟件可以通過隱蔽或非法的方式添加插件、BHO、LSP等對瀏覽器的配置進行篡改,獲取用戶端瀏覽器的控制權,進而利用瀏覽器劫持用戶網絡訪問行為。當用戶使用瀏覽器時會被靜默安裝不易卸載的插件或被引導訪問特定網站,影響用戶的網絡體驗。
針對用戶信息的惡意軟件會繞過用戶管理權限或誘騙用戶授權安裝某些軟件。這些軟件可以竊取用戶的私密信息并上傳到網絡中幫助入侵者非法獲利,常見的用戶私密資料有賬號、密碼、數據等。顯然這類惡意軟件會給用戶帶來非常嚴重的經濟損失。
針對行為記錄的惡意軟件會對用戶的計算機使用習慣和行為進行記錄,所記錄的數據可被用于分析用戶行為,針對用戶喜好采用誘騙、陷阱等方式引導用后安裝或注冊,收集用戶的隱私數據,或者達到推廣安裝的目的。
針對廣告銷售的惡意軟件則會在用戶未允許的情況下以彈窗的方式向用戶投放廣告,謀取商業利益。這類軟件通常具有強制安裝、難以卸載、彈窗頻繁、資源占用率高等特點,嚴重影響用戶計算機使用體驗。
從行為和影響等方面綜合考慮可以發現,惡意軟件具有兩方面特點:一是編寫方式病毒化,即以Rootkit技術等對自身進行保護或隱藏,防止殺毒軟件發現或者殺除。二是傳播方式病毒化,即利用計算機網絡資源共享和數據傳輸等特點進行惡意推廣或傳播,短時間內實現軟件的大范圍擴散。
二、計算機惡意軟件安全防范技術
(一)部署惡意軟件防護軟件
雖然惡意軟件與病毒程序等存在一定的差別,但是考慮到惡意軟件對用戶造成的影響越來越嚴重,現有的反病毒軟件或工具都會集成反惡意軟件功能模塊,這些模塊會對惡意行為、特征、類型等進行描述與總結,一旦發現計算機系統中存在符合條件的行為或操作,反病毒軟件就會對行為對象進行阻止、隔離或者清除。實際應用過程中,由于這類工具軟件所采用的是行為判別法,故其能夠很好的適應新種類的惡意軟件,還能夠對新種類的惡意軟件進行采集與比較,形成新的安全防御策略,為用戶提供安全有效的軟件防護。
(二)完善系統安全設置
惡意軟件的安全防護最主要的還是從計算機系統入手,做好系統漏洞修復和安全更新,最大程度的減少計算機系統中存在的安全漏洞,提升系統安全等級,控制系統訪問與管理權限。具體來說,完善系統的安全設置可以從身份驗證、漏洞修復、端口與服務監控等方面著手。
在身份驗證方面,常用的計算機安全驗證方式大多過于單一,且容易被記錄,因而在安全設置中可以采用多重身份認證、定期更改驗證方式、驗證密碼等方式提升系統安全性能。
在漏洞修復方面,用戶應該盡量采用正版系統和軟件,避免從不受信任的資源共享網站下載或共享資料,及時更新軟件或安裝修復補丁,減少計算機中存在的安全漏洞,維持系統處于最佳狀態。
在端口與服務監控方面,用戶可以依照安全軟件建議關閉存在安全隱患的服務和不必要的通信端口。
(三)提升用戶安防意識
計算機安全防護離不開用戶的自我意識和管理方式的提升,做好計算機惡意軟件的防護就必須從人的角度出發,增強用戶的專業知識儲備和技能儲備,為有效的管理奠定良好的基礎。首先,用戶應該養成良好的網絡行為習慣,避免訪問不信任網站,不隨意從資源共享網站下載軟件或資料,樹立良好的安全防護意識,做到意識先行。再次,要不斷學習計算機安全防范技術,通過接受培訓、交流的方式熟悉和掌握惡意軟件行為特征和處理方式。最后,要分層部署安全防護軟件并制定適當的安全防護策略,綜合利用多種手段來建立計算機安全防護體系。
三、結束語
隨著計算機網絡的發展和普及,惡意軟件對用戶的影響越來越大,甚至直接影響到用戶的經濟利益,為保護用戶數據安全,避免用戶所使用的軟件受到非法篡改,用戶必須在管理、監控、處理等層面建立完善的安全管理機制,避免惡意軟件入侵計算機系統,為用戶帶來損失。
參考文獻:
[1]韓桂杰.對計算機惡意軟件分析及防范技術研究[J].中國新技術新產品,2011(22):48-48
[2]張浩.計算機惡意軟件的分析及防御探討[J].電子技術與軟件工程,2013(13):99-99.
關鍵詞:互聯網;校園網;網絡安全;數據加解密技術
隨著網絡技術的發展,信息化技術的成熟,人們對計算機網絡的使用能力也越來越強,計算機網絡應用范圍也越來越廣。作為信息化交流的平臺,它的傳輸手段愈多,伴隨的信息安全隱患也愈多,數據的保護逐漸成為人們關注的焦點,而數據加解密技術是網絡安全問題的關鍵技術。計算機機房作為網絡管理的中心是整個校園網的中樞,一方面需要進行教學設備的日常管理,包括維護和恢復等;另一方面也要進行網路安全規范和管理。網絡建設作為學校科研以及教學實訓的關鍵一環,在功能上可能考慮得較為全面,但是安全問題考慮的尚少。尤其是隨著高職院校承擔越來越多的外來人員進行各種技能培訓和考核,使得進入機房的操作人員具有流動性大的特點,并隨外部攜帶的存儲設備如USB等進入計算機網絡中,帶來計算機病毒感染,外部黑客攻擊的危險,輕則導致系統文件的丟失,軟件的損壞,重則導致網絡犯罪,竊取帳號,入侵服務器等行為發生。因此,針對當前高職院校機房計算機網絡建設的特點和現狀,結合數據加解密技術,建設有效的院校網絡資源管理的安全防護體系,以此來確保學校網絡安全和使用。
1數據加密技術簡介
數據加解密又稱密碼學,它以偽裝信息為基本思路,通過對數據施加可逆數學變換進行信息隱藏和混淆。數據變換前的信息稱為明文,數據變化后的信息稱為密文。數據變換既包括加密技術又包括解密技術。密鑰作為因子參與加解密運算。加解密的目的是將數據以密文的方式存儲在計算機的文件中或者通過網絡設備進行傳輸,只有合理分配密鑰的用戶才能訪問資源。這樣一來,經非法密鑰不能逆向構造出正確的明文,從而達到確保數據真實性的目的。加解密技術分為對稱加解密和非對稱加解密。對稱加解密包括像DES、AES等傳統的加解密技術,而非對稱加解密包括像RSA、SMS4等算法。DES是一種分組密碼,包含了代數、置換、代替等多種密碼技術,密鑰長度為64位。其中明文、密文分組長度也是64位。DES是面向二進制的。密碼算法、因而能夠加解密任何形式的計算機數據。DES是對稱算法,因而加密和解密共用一套算法。RSA算法是1978年美國麻省理工學院的三名密碼學者R.L.Rivest,A.Shamir和L.Adleman提出了一種基于大合樹因子分解困難性的公開密鑰算法,簡稱RSA算法。RSA算法既可以做加密處理,又可以用于數字簽名,使用范圍更加廣。
2校園網網絡安全分析
目前伴隨著互聯網技術的不斷發展,提供的資源和服務也越來越多,相應的校園網絡應用的范圍也在不斷擴大,通過校園網絡上傳輸的數據和信息量也越來越多,伴隨的網絡欺詐和攻擊也越來越多,這直接影響到校園網絡的正常運行。計算機網絡管理中心作為計算機網絡的入口點之一,安全問題也越來越突顯,比如網絡資源濫用、安全審計不全、網絡維護管理困難,這些都是當前導致網絡安全問題的關鍵。
2.1高職院校網絡機房現狀
(1)服務類型不斷增加。隨著當前計算機機房所承擔的角色不斷增多,它不僅僅是傳統的網絡教學,而且包括教職工或校外人員的職能培訓。學院需要通過網絡設施開展各種類型的培訓班,而參與者的計算機技能水平參差不齊,可能造成計算機中的軟件和硬件資源使用不恰當導致的損壞或者丟失。(2)安全性欠考慮。機房作為科研教學的場所,需要完成各類教學與科研任務,包括實訓,考核、檢索、查閱資料、大型計算等,大多只注意網絡的功能性和流暢性,而安全性缺乏考慮。
2.2校園網網絡安全起因
2.2.1操作人員缺乏規范意識
在進行網絡教學中,很多學生不能正確地使用教學資源,而是利用網絡進行一些游戲或者娛樂,比如瀏覽新聞,打撲克等等。而在缺乏安全意識的情況下,經常會下載來歷不明的文件或者打開惡意鏈接。這些操作可能會修改一些系統設置和感染木馬病毒等。
2.2.2人員管理不善,導致維護困難
一方面,由于缺乏合理的上機審計管理,操作者在使用計算機的過程時,經常使用不當,通過攜帶的USB設備,使計算機感染病毒,進而得到傳播。另一方面上機的頻繁使用導致處理不及時,進而使計算機的維護困難。
2.2.3黑客的攻擊
一般而言,黑客的攻擊分為破壞性和非破壞性。破壞性攻擊,主要目的是入侵電腦,盜取他人帳號信息,破壞重要文件等,比如中間人攻擊。而非破壞性攻擊,一般是針對大型機器,比如服務器,達到干擾系統正常運行的目的,常見的比如DDOS拒絕服務。
2.2.4軟硬件更新管理不妥
硬件方面,由于機房開放的時間一般較長,使用較為頻繁,經常使用不妥會導致硬件出現故障。加之常年運行,設備會出現老化現象。軟件方面,由于教學軟件眾多,需要頻繁的應用升級,操作系統打補丁,或者殺毒軟件更新病毒庫等。如果操作不當,也會導致系統出現問題。這些都會給軟硬件的更新或者維護帶來了相應的困難。
3數據加密技術的應用
3.1鏈路加密技術
關于網絡安全建設的關鍵就是路由管理,通過拓撲發現,掌握網絡設備之間的連接狀況,及時發現網絡信息之前的數據交流路徑。這些網路連接狀況能夠很好地幫助管理人員確定網絡拓撲結構,當出現網絡狀況或者安全問題的時候,能夠及時準確地發現子網網絡,進行管理。清晰地對各個區段的計算機采用信息加密技術,保證資源不被越界。數據在不同鏈路傳輸的路徑中都是以不同的密鑰記性傳輸,確保信息不被獲取和篡改。
3.2身份認證技術
通過判斷計算機網絡使用者的身份信息,保證合理使用資源。只有通過了網絡安全身份認證系統的判斷,合法用戶才能進入當前的網絡環境。目前比較有名的銳捷軟件,就是對網絡管理的身份認證系統,它是訪問網絡資源的關鍵節點,避免網絡的惡意進入。另外通過密碼學技術通過非對稱加密,對用戶的身份進行證書管理,只有數字證書驗證通過才能訪問當前的網絡資源。
3.3數據庫管理技術
通過對當前網絡登錄的帳號信息進行管理,內部計算機網絡的所有網絡行為僅通過帳號登錄在當前的網絡環境中進行,而帳號信息不被外部獲取。安全管理人員通過分發帳號,管理網絡運行狀況以及信息的傳輸流向,并通過監控技術,定位網絡入侵或者惡意操作的非法人員,解決相應的安全隱患。利用這些技術,在硬件建設方面,也需要做出相應的措施。網絡防護方面,可以對計算機機房的關鍵信息進行數據備份,并保證這些數據的恢復操作是在合理的操作下進行,備份數據要在加密存儲下在數據庫中進行統一管理,當確認恢復的信息后,通過密文傳輸到目的主機后對數據進行解密并做恢復處理。另外,傳統的防火墻、網絡數據加密等方式,對數據的傳輸和訪問做出管理和限制。加密技術能夠保障黑客無法通過中間人攻擊篡改網絡訪問信息和資源。高職院校的網絡機房建設是一項復雜的系統工程。一方面需要結合計算機網路的特點,保障功能的完善性,另一方面需要結合當前的網絡資源環境,建立合理安全的防護體系。傳統的網絡安全防護由于是靜態的和被動的,因此防護手段已經無法適應今天的網絡環境。所以建立一套動態的、主動的安全防護體系非常重要,它不僅需要保障網絡環境的流暢合理,還要保障數據傳輸安全可靠。數據加密技術是加強網絡安全的一種有效形式。
作者:劉麗楊 單位:常州旅游商貿高等職業技術學校
參考文獻:
[1]劉宇平.數據加密技術在計算機安全中的應用分析[J].信息通信,2012,(02).
【關鍵詞】大學生;網絡素養;網絡安全
本文基于網絡素養視角下探究大學生網絡安全教育引導來源于2016年影響較為廣泛的“徐某某”電信詐騙事件。2016年8月,某省高考錄取新生徐某某的考生信息被犯罪分子通過網絡技術手段竊取,并假扮教育局、財政局工作人員以發放助學金名義騙取徐某某上大學的費用9900元。在得知被騙后,徐某某郁結于心,最終導致心臟驟停不幸離世。該事件發生后,立即引起了社會各界廣泛關注,大學生網絡安全又被推向輿論的浪尖。因此,如何開展大學生網絡安全教育引導,提高大學生的網絡安全防范意識是我們值得深思的問題。
一、網絡素養與網絡安全的關系
網絡素養主要由五個部分構成:信息接收、信息解讀、網絡安全、網絡利用、網絡倫理道德1。網絡安全與網絡素養的關系是包含、融合和發展的關系。網絡安全是構成網絡素養的重要部分之一,網絡安全進一步發展了網絡素養的內涵和外延;網絡素養包含了網絡安全,缺乏網絡安全的網絡素養注定是不完整的、不全面的,因此兩者相輔相成,相互影響,缺一不可。
二、大學生網絡安全意識缺失的表現
1.信息辨別能力不強
網絡信息浩如煙海,對信息判斷能力相對較弱的大學生而言一旦遇到虛假信息就有可能造成不可估計的后果。如網絡兼職,利用課余時間做兼職是在校大學生接觸社會鍛煉自己的一個很好途徑,而電腦、手機和網絡的普及,促使很多大學生不再局限于傳統的兼職手段,而是涌現了部分網絡兼職群體,也出現了很多網絡兼職網站。雖然網絡兼職具有不受地域限制、信息流通更快捷等優點,但遇到的不確定性因素卻增多,如個人信息被盜,騙取押金、冒充親人騙取錢財等。同時,大學生對二維碼風險、公共wifi、偽基站風險的認識還需要進一步加強。
2.網絡成癮
包括“游戲癮”、“購物癮”、“社交癮”等網絡成癮問題。長期處于網絡成癮會導致大學生學業荒廢、與家人朋友關系疏遠、身心受損等嚴重后果。如網絡購物,雖然突破了傳統商務模式的障礙,無論對消費者、市場都有著巨大的吸引力和影響力,網上商品的物美價廉和便捷性也極大吸引了大學生消費群體。但是網購是把雙刃劍,具有兩面性。雖然現在網絡支付手段和環境相對安全,但也難免有不法分子投機取巧,利用不法手段竊取用戶支付信息導致財產損失2。此外長期沉迷網絡購物、網絡游戲等,會造成大學生超前消費,意志消沉,從而構成網絡犯罪。
3.網絡犯罪
網絡犯罪也是大學生常見的網絡安全問題之一。在刷微博、朋友圈和其他APP上獲取資訊時候,“三觀”尚未成熟且理性思維尚缺的大學生容易產生從眾心理和嘗新心理,導致錯誤的信息判斷,網絡輿論暴力、網絡涉黃、網絡詐騙、網絡涉謠等現象出現。但是部分大學生不能合理規劃個人消費,盲目攀比,或者部分大學生需要資金支持個人創業,如果遇到不正規不合法的網貸渠道,風險意識較弱的大學生必定成為弱勢群體,倘若大學生欠下債務而無力償還就有可能走向犯罪。
三、開展大學生網絡安全教育引導
1.建立網絡安全防護
在國家政策的指導和保障下,要建立網絡安全產業鏈,構筑網絡安全壁壘。一是從法律保障和安全監管角度出發,與時俱進地推動和完善與網絡安全相關的法律法規、技術標準,做好法律保障;加強網絡安全監管和綜合治理能力,提升網絡安全事件應急力和打擊力度。基于此,《中華人民共和國網絡安全法》的推出為保障網絡安全,為信息化健康運行奠定了有法可依的基礎。二是從社會監督角度出發,充分發揮行業組織和專業機構的作用,建立健全網絡安全社會監督舉報機制,形成行業監管氛圍;三是從運營商的角度出發,無論是個體企業還是企業之間都要加強網絡安全防范意識,并嚴格自律。由此肅清網絡環境的不良行為,對凈化網絡環境,為互聯網良性健康發展保駕護航。
2.拓展高校網絡安全教育引導
將網絡安全教育引導與日常思想政治教育工作結合起來,充分發揮高校輔導員隊伍的作用。再次,網絡安全教育引導要貫穿于第一課堂和第二課堂,在課堂教育、教材融入和科研課題研究基礎上,在大學生之間廣泛開展網絡安全實踐教育,通過正反案例分析、情景再現互動、技能知識競賽等形式培養大學生網絡安全意識。大學生自我提升網絡安全意識雖然大學生的文化知識水平較高,但是由于尚未完全踏入社會,社會經驗不足,容易缺乏安全防范意識,加之法律觀念淡薄,從而導致一些不良事件發生。因此,大學生自我網絡安全意識培養是現實需要。首先,學習計算機使用知識。大學生要學會如何使用計算機、如何利用計算機為個人發展服務。在使用過程中能夠正確辨別那些是有害信息、有害軟件,通過知識的學習鑄造一道網絡安全心理防線。其次,加強自身法制觀念。因為必要的法律認知對于個人來說是一種約束,但也更是一種保護手段。再次,要提高社會實踐防范能力。大學生面臨著從學校過渡到社會人的關鍵階段,社會實踐作為大學生踴躍參加的活動之一,年齡的增長并不意味著思想的成熟,對危險預判的缺乏往往導致安全事故的發生。
四、結語
網絡的發展帶來的大學生網絡安全問題是現實問題,是一項緊迫且必需完成的任務。網絡安全作為網絡素養的重要組成部分之一,加強網絡安全引導是我們實施網絡素養教育的重要措施之一,關注和研究這一領域,將開辟網絡素養教育更多途徑,豐富網絡素養教育內容。
參考文獻
[1]中國互聯網絡信息中心.《中國互聯網絡發展狀況統計報告》,2017.
[2]吳澤鵬.大學生自身網絡安全問題研究,西安工業大學碩士學位論文,2016.
[3]中國互聯網絡信息中心.《2015年中國手機網民網絡安全狀況報告》,2015.
注釋
[關鍵詞]網絡 安全隱患 防護策略
中圖分類號:TP3 文獻標識碼:A 文章編號:1009-914X(2016)05-0369-01
近幾年,我國計算機網絡技術發展突飛猛進,在諸多領域有了長足進步,但由于起步較晚、基礎薄弱,與西方發達國家相比,仍有很多不足,特別是在網絡安全管理方面更是如此,無論是安全意識和防護能力都有較大差距。如何確保網絡與信息安全,把網絡信息安全管理工作抓到實處、抓出成效,已經成為當前網絡信息安全管理人員面臨的一個重要課題。
一、網絡的安全隱患
(一)人為破壞。一方面是來自于網絡外部的攻擊。互聯網為外部攻擊提供了便利條件,當內部網的對外接口沒有采取嚴格的安全管控措施時,網絡攻擊者就能夠很容易進入內部從事破壞活動。另一方面是來自于網絡內部的攻擊。當內部網規模較大時,用戶數量增多,如果安全管理不嚴格,就有可能遭到內部用戶的攻擊。由于內部用戶分別具有相應級別的使用權限,因此造成的破壞程度往往也最嚴重。
(二)管理失誤。一是分工不明確。少數管理者權限過大,從而造成行政管理權與網絡使用權不匹配,增大了安全隱患。二是職責不清楚。操作人員一般未經過系統的、全面的、專業的培訓,保密意識比較淡薄,管理員賬號及口令管理不嚴,致使網絡存在較大的安全威脅。三是制度不落實。安全教育、預測分析、定期排查等基本安全制度落實不力,缺乏有效監督,造成網絡安全性大大降低。
(三)技術漏洞。一是網絡服務隱患。操作系統都會提供各類服務供用戶使用,如遠程接入服務,當服務器對遠程用戶缺乏有效認證時,將無法監督其操作行為,造成的網絡威脅較大。二是操作系統隱患。不同的操作系統均存在一定程度的安全漏洞,特別是操作系統為開發人員提供的無口令入口,在帶來便捷的同時,也給網絡攻擊者留下了可乘之機。三是網絡協議隱患。現有網絡中TCP/IP協議使用最為廣泛,該協議在設計之初確立的目標不是安全,而是互連互通互操作,這種公開性為其實際應用埋下了安全隱患。
二、網絡的安全防護策略
(一)嚴格安全管理。網絡安全事故往往是由管理失誤引起的。建立完善和嚴格執行人員、機房、軟件及操作等安全制度,加大用戶管理力度,著力提升網絡安全性能,同時建立實時的監控系統,組織定期的安全培訓,能夠最大限度地降低安全風險,防止各類問題發生。
(二)構筑防火墻。防火墻處于本地網絡與外部網絡之間,可以對經過的網絡通信進行掃描,只有符合特定條件的用戶或數據才被允許通過,從而過濾掉大量攻擊。除此之外,防火墻還能夠關閉不使用的端口及特定的端口,禁止來自于特殊站點的訪問,防止“不速之客”非法訪問網絡。
(三)加密與認證。加密與認證是網絡安全技術的核心。加密是隱藏信息的過程,它能夠以較小的代價,對傳輸信息提供強有力的安全保護。借助加密手段,信息即使被截取或泄露,未被授權者也不能理解其真正含義。認證是檢驗用戶和數據正確性的過程,主要包括消息完整性認證、身份認證,以及消息序號和操作時間等認證。只有通過了認證,才可以上網訪問,這樣能夠有效阻止入侵者對信息系統進行主動攻擊。
(四)安全漏洞掃描。漏洞掃瞄技術是一種主動的防御措施,能夠有效阻止黑客的攻擊行為,做到防患于未然。通過網絡安全漏洞掃描,系統管理員能夠全面了解網絡設置參數和服務運行狀態,客觀評估系統風險等級,及時發現和堵塞安全漏洞,從而在入侵者攻擊前做好防范。
(五)訪問控制。通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。如果沒有訪問控制,那么用戶只要接入網絡,就可以隨意訪問網絡上的任何資源,這是非常危險的。在網絡入口處實施訪問控制,既可以保證合法用戶訪問授權保護的網絡資源,又可以防止非法主體進入受保護的網絡資源進行非授權的訪問。
(六)最小授權。關停安全策略中那些沒有經過定義的網絡服務,為用戶設置滿足需要的最小權限,并及時注銷非必要賬號,可以在相當大程度上減小網絡入侵的風險。目前最為常見的攻擊手段有主機掃描、用戶掃描、端口掃描以及破解用戶口令等等,最小授權原則可以極低的代價大幅提高網絡安全性。
(七)入侵檢測。能夠有效彌補防火墻技術在某些功能上的不足,是防火墻之后的第二道安全屏障。入侵檢測系統在幾乎不影響網絡性能的情況下實時監控網絡,自動檢測可疑的網絡活動,一旦發現有違反安全策略的行為和被攻擊的跡象將及時作出響應,包括切斷網絡連接、記錄事件和報警等。
(八)主機加固。網絡上的一切操作行為都是在操作系統的基礎上完成的,因此操作系統的安全性能直接決定了網絡的安全性能。現有的各種操作系統,如Windows等,在安全性方面都存在先天的不足。采取禁止一些非必要的服務等方式,并及時了解網絡安全方面的消息,下載系統安全補丁,可以把操作系統和應用平臺的安全隱患大大降低。
(九)病毒防范。計算機病毒借助網絡或移動存儲介質傳播,利用駐留內存、截取中斷向量等方式進行傳染和破壞,所造成的后果難以估計。為了降低病毒危害,必須建立合理的病毒防護體系和制度,及時更新病毒庫;當發現病毒侵入時,應立即采取有效手段阻止病毒進一步的破壞行為,并恢復受影響的計算機系統和數據。
(十)網絡隔離。按照數據的保密、功能等各項要求,通過使用專用的物理硬件和不同的安全協議在網絡之間架設安全隔離網墻,實現多個系統既在空間上物理隔離,又能過濾數據交換過程中的病毒、惡意代碼等內容,保證數據信息在可信的網絡環境中進行交換。網絡隔離技術具有高度的安全性,在理論與實踐上都要比防火墻高一個安全級別。
參考文獻
[1] 張輝.數據通信與網絡[M].北京:北京郵電大學出版社,2010.
[2] 網絡測試與故障診斷試驗教程[M].北京:清華大學出版社,2011.
關鍵詞:指紋系統,安全防范,防御機制
一、概述
指紋信息系統作為一種公安工作的局域網,有其特定含義和應用范疇,它積累信息為偵察破案提供線索,概括起來有四個方面的典型應用:第一,指紋系統是為公安工作服務的,是一種刑事偵察的工具,它是各地、市之間指紋交流工具,也是指紋信息資源的提供者。第二,指紋系統是為偵察破案提供線索,為案件進展提供便利服務的。第三,指紋系統積累犯罪嫌疑人信息,如嫌疑人的指紋管理、前科管理、基本信息管理等,為串、并案件提供可靠依據。第四,指紋系統是溝通與其他公安工作的窗口,利用它既可以獲取各種信息,也可以向其他公安工作相關信息。
二、指紋信息系統安全的主要問題
隨著網絡在公安工作各個方面的延伸,進入指紋系統的手段也越來越多,因此,指紋信息安全是目前指紋工作中面臨的一個重要問題。
1、物理安全問題
指紋信息系統安全首先要保障系統上指紋數據的物理安全。物理安全是指在物理介質層次上對存貯和傳輸的指紋數據安全保護。目前常見的不安全因素(安全威脅或安全風險)包括兩大類:第一類是自然災害(如雷電、地震、火災、水災等),物理損壞(如硬盤損壞、設備使用壽命到期、外力破損等),設備故障(如停電、斷電、電磁干擾等),意外事故。第二類是操作失誤(如刪除文件、格式化硬盤、線路拆除等),意外疏漏(如系統掉電、“死機”等)。
2、指紋操作系統及應用服務的安全問題
現在應用的主流操作系統為Windows 操作系統,該系統存在很多安全隱患。操作系統不安全也是系統不安全的重要原因。
3、非法用戶的攻擊
幾乎每天都可能聽到在公安網上眾多的非法攻擊事件,這些事件一再提醒我們,必須高度重視系統的安全問題。非法用戶攻擊的主要方法有:口令攻擊、網絡監聽、緩沖區溢出、郵件攻擊和其他攻擊方法。
4、計算機病毒威脅
計算機病毒將導致指紋系統癱瘓,系統程序和指紋數據嚴重破壞,使系統的效率和作用大大降低,系統的許多功能無法使用或不敢使用。雖然,至今還沒過出現災難性的后果,但層出不窮的各種各樣的計算機病毒活躍在公安網的各個角落,令人堪憂。計算機病毒是指人為制造的干擾和破壞計算機系統的程序,它具有傳染性、隱蔽性、潛伏性、破壞性等特點。通常,我們將計算機的病毒分為“良性”和“惡性”兩類。所謂良性病毒是指不對計算機數據進行破壞,但會造成計算機工作異常、變慢等。 惡性病毒往往沒有直觀表現,但會對計算機數據進行破壞,有的甚至會破壞計算機的硬件,造成整個計算機癱瘓。前段時間流行的沖擊波、震蕩波、狙擊波病毒,它們根據 Windows漏洞進行攻擊,電腦中毒后1分鐘重起。在重新啟動之前,沖擊波和震蕩波允許用戶操作,而狙擊波不允許用戶操作。病毒是十分狡猾的敵人,它隨時隨地在尋找入侵電腦的機會,因此,預防和清除計算機病毒是非常重要的,我們應提高對計算機病毒的防范意識,不給病毒以可乘之機。
三、指紋系統的安全防范措施
指紋信息系統是一個人機系統,需要多人參與工作,而系統操作人員是系統安全的責任主體,因此,要重視對各級系統操作人員進行系統安全的教育,做到專機專用,嚴禁操作人員進行工作以外的操作;下面就本人在實際工作中總結的一些經驗,談一 談對指紋信息系統的維護與病毒的預防。
1、 對指紋系統硬件設備和系統設施進行安全防護
(1)系統服務器安全:服務器是指紋系統的大腦和神經中樞,一旦服務器或硬盤有故障,輕者將導致系統的中斷,重者可能導致系統癱瘓或指紋數據丟失,因此在服務器端,可以采用雙機熱備份+異機備份方案。論文大全。在主服務器發生故障的情況下,備份服務器自動在 30 秒 內將所有服務接管過來,從而保證整個指紋系統不會因為服務器發生故障而影響到系統的正常運行,確保系統 24小時不間斷運行。在磁盤陣列柜,我們可安裝多塊服務器硬盤, 用其中一塊硬盤做備份,這樣可保證在其它硬盤發生故障時,直接用備份硬盤進行替換。
(2)異機數據備份:為防止單點故障(如磁盤陣列柜故障)的出現,可以另設一個備份服務器為,并給它的服務設置一個定時任務,在定置任務時,設定保存兩天的備份數據,這樣可保證當某天指紋數據備份過程中出現故障時也能進行指紋數據的安全恢復。通過異機備份,即使出現不可抗拒、意外事件或人為破壞等毀滅性災難時,也不會導致指紋信息的丟失,并可保證在1小時內將指紋數據恢復到最近狀態下,使損失降到最低。
(3)電路供應:中心機房電源盡量做到專線專供,同時采用UPS(不間斷電源),部分非窗口計算機采用300 W 延時20分鐘的 UPS進行備用,這樣可保證主服務器和各服務窗口工作站不會因電源故障而造成指紋信息的丟失或系統的癱瘓。
(4)避雷系統:由于通信設備尤其是裸露于墻體外的線路,易受雷擊等強電磁波影響而導致接口燒壞,為對整個系統進行防雷保護,分別對中心機房、主交換機、各分交換機和各工作站進行了分層次的防護。
(5)主機房的防盜、防火、防塵:主機房是系統中心,一旦遭到破壞將帶來不可估量的損失,可以安裝防盜門,或安排工作人員24小時值班。同時,由于服務器、交換機均屬于高精密儀器,對防塵要求很高,所以對主機房進行裝修時應鋪上防靜電地板,準備好(電火)滅火器,安裝上空調, 以保證機房的恒溫,并派專人對主機房的衛生、防塵等具體負責。論文大全。
(6)對移動存儲器,借出時要寫保護,借入時要先殺毒;
(7)不使用盜版或來歷不明的軟件,做到專機專用,在公安內網的機器不準聯到互聯網上使用;
2 、 全方位的系統防御機制
我們常說“病從口入”所以要做到防患于未然,必須切斷計算機病毒的傳播途徑,具體的預防措施如下:
(1)利用防病毒技術來阻止病毒的傳播與發作。
為了使系統免受病毒所造成的損失,采用多層的病毒防衛體系。在每臺PC機上安裝單機版反病毒軟件,在服務器上安裝基于服務器的反病毒軟件,并在網關上安裝基于網關的反病毒軟件。因為防止病毒的攻擊是每個工作人員的責任,人人都要做到自己使用的臺式機上不受病毒的感染,從而保證整個指紋系統不受病毒的感染。
(2)應用防火墻技術來控制訪問權限。
作為指紋系統內部網絡與外部公安網絡之間的第一道屏障,防火墻是最先受到重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著公安網絡安全技術的整體發展和公安工作中網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。 在系統出口處安裝防火墻后,系統內部與外部網絡進行了有效的隔離,所有來自外部的訪問請求都要通過防火墻的檢查,這樣系統的安全有了很大的提高。論文大全。防火墻可以通過源地址過濾,拒絕非法IP 地址,有效避免公安網上與指紋工作無關的主機的越權訪問;防火墻可以只保留有用的服務,將其他不需要的服務關閉,這樣做可以將系統受攻擊的可能性降低到最小限度,使非法用戶無機可乘;防火墻可以制定訪問策略,只有被授權的外部主機才可以訪問系統的有限IP地址,保證其它用戶只能訪問系統的必要資源,與指紋工作無關的操作將被拒絕;由于所有訪問都要經過防火墻,所以防火墻可以全面監視對系統的訪問活動,并進行詳細的記錄,通過分析可以發現可疑的攻擊行為;防火墻可以進行地址轉換工作,使外部用戶不能看到系統內部的結構,使攻擊失去目標。
(3)應用入侵檢測技術及時發現攻擊苗頭。
入侵檢測系統是提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要是因為它能夠對付來自系統內外的攻擊,縮短入侵的時間。
(4)應用安全掃描技術主動探測系統安全漏洞,進行系統安全評估與安全加固。安全掃描技術與防火墻、入侵檢測系統互相配合,能夠有效提高指紋系統的安全性。通過對系統的掃描,系統管理員可以了解系統的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估系統風險等級。系統管理員也可以根據掃描的結果及時消除系統安全漏洞和更正系統中的錯誤配置,在非法用戶攻擊前進行防范。
(5)應用系統安全緊急響應體系,防范安全突發事件。
指紋系統安全作為一項動態工程,意味著它的安全程度會隨著時間的變化而發生改變。 在信息技術日新月異的今天,即使昔日固若金湯的系統安全策略,也難免會隨著時間和環境的變化,變得不堪一擊。因此,我們需要隨時間和系統環境的變化或技術的發展而不斷調整自身的安全策略,并及時組建系統安全緊急響應體系,專人負責,防范安全突發事件。
參考文獻:
[1] JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104
[2] J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284
[3] 張 敏,徐 震,馮登國.基于安全策略模型的安全功能測試用例生成方法,軟件學報(已投稿),2006
[4] 何永忠.DBMS安全策略模型的研究:[博士學位論文],北京市石景山區玉泉路19號(甲):中國科學院研究生院,2005
[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992
[6]蔣平.計算機犯罪問題研究[M].北京:電子工業出版社,2002.
[7]高銘喧.新編中國刑法學[M].北京:中國科學技術出版社,2000.
[8]朱廣艷. 信息技術與課程整合的發展與實踐[J]. 中國電化教育,2003(194):8- 10.
[9]黃叔武 劉建新 計算機網絡教程 清華大學出版社 2004年11 月
[10]戴紅 王海泉 黃堅 計算機網絡安全 電子工業出版社2004.9.8
[11]丁志芳, 徐夢春. 評說防火墻和入侵檢測[J]. 網絡安全技術與應用, 2004,(4):37- 41.
[12]周國民. 黑客蘇南與用戶防御[J].計算機安全, 2005,(7):72-74.
[13]周筱連. 計算機網絡安全防護[J].電腦知識與技術( 學術交流) ,2007,(1).
[14]阿星. 網絡安全不容忽視[J]. 電腦采購周刊, 2002,(32).
[15]網絡安全新概念[J].計算機與網絡, 2004,(7).
[16]王銳. 影響網絡安全的因素及需要考慮的問題[J]. 計算機教育, 2005,(1).
1計算機網絡安全現狀
近年來,我國的計算機網絡技術得到了快速的發展,在人們的生活、工作和學習中的應用都非常廣泛,為人們帶來了很大的便捷,人們在日常生活中都喜歡采用計算機網絡來完成相關的工作和操作,可以提升工作的效率和質量,搜集相關的信息非常方便。計算機網絡有很強的便利性和開放性,人們不僅可以利用計算機網絡技術工作,還可以利用其完成網絡購物和娛樂,豐富了人們的生活。但是與此同時,計算機網絡技術也帶來了一定的威脅和風險。人們在使用計算機網絡時,常常需要留下自己的一些個人信息,如果這些信息沒有被保護好,一旦泄露出去將會對人們的財產安全和隱私安全造成重大的影響,例如存款被盜等。不僅如此,在使用計算機網絡的同時,如果收到計算機網絡病毒的入侵,就會破壞電腦程序,導致電腦系統癱瘓,不僅影響人們對計算機正常使用,甚至還會帶來很多麻煩。一些惡意的軟件也會導致計算機內部系統不能正常運行。從現在的情況來看,我國的計算機網絡存在著很多安全問題,已經嚴重影響了人們對計算機網絡的正常使用,帶來了很多的不良影響。
2計算機安全漏洞掃描技術
計算機安全漏洞掃描技術是計算機網絡的一種重要防護手段,可以對計算機網絡中的網絡設備和終端系統進行檢測,如果設備和系統中存在著一定的漏洞和安全問題,就可以及時找出來,此時管理人員就可以結合具體的漏洞類型和缺陷情況采取有效的方式來進行修復,避免系統漏洞造成嚴重的損害和威脅,從而實現計算機網絡的安全使用,提升其安全性能。從現在的情況來看,我國的安全漏洞掃描技術分為兩種,分別為被動式掃描技術和主動式掃描技術。其中被動式漏洞掃描技術可以使計算機網絡中的很多項內容都進行檢測和掃描,它是以服務器為基礎進行掃描和檢測的,并且檢測之后會形成檢測報告,網絡管理人員就可以通過對報告的分析和研究來了解計算機設備和系統存在的安全漏洞,并采取有效的方法來處理。主動式漏洞掃描技術體現在檢測的自動化,是一種更為先進的檢測技術,只要有網絡就可以實現自動化漏洞檢測,在自動檢測過程中,通過主機的響應來了解主機的操作系統、程序和服務器等是否存在著漏洞是需要修復的,從而實現對網絡漏洞的檢測。
3計算機網絡安全漏洞掃描技術的運用
3.1基于暴力的用戶口令破解法應用。基于暴力的用戶口令破解法也是計算機安全漏洞掃描的重要方法。從現在的情況來看,很多計算機網絡都會設置用戶名和登陸密碼,從而將網絡的操作權限分給不同的用戶,如果人們將用戶名破解,就可以獲得網絡的訪問權限,使網絡安全難以保障。針對這種情況,就可以采用基于暴力的用戶口令破解法。例如采用POP3弱口令漏洞掃描,通過用戶名和密碼來發送和接收郵件。在掃描漏洞時,建立用戶標識和密碼文檔,在文檔中儲存登陸密碼和用戶標識,可以實現及時更新。在漏洞掃描時,將目標端口連接,判斷這個協議是否為認證狀態,如果由失敗或者錯誤的信息,就說明這個標識是不可用的,如果所有的結果都是有用信息,則說明身份認證通過。根據這個指令來做出判斷,從而保障系統安全。此外,FTP弱口令漏洞掃描也是一種基于暴力的用戶口令破解法,其是一種文件傳輸協議,其原理和POP3弱口令漏洞掃描非常相似,只是其是通過SOCKET連接來掃描漏洞的。3.2基于端口掃描的漏洞分析法的應用。基于端口掃描的漏洞分析法是一種常見的計算機網絡漏洞檢測方法,當網絡系統中出現一些安全入侵行為之后,就可以對目標主機的一些端口進行掃描,就可以將端口的安全漏洞檢測出來。因此,在實際使用基于端口掃描的漏洞分析法時,對漏洞進行掃描時需要向網絡通向目標主機的一些端口發送特定的信息,就可以獲得關于這些端口的信息。此時,還需要對目標主機中存在的漏洞進行分析和判斷,根據已經掌握的信息來實現。例如,在實際的計算機網絡應用中,Finger服務和UNIX系統其允許入侵者獲得一些公共的信息,此時計算機網絡將會面臨著安全風險,利用基于端口掃描的漏洞分析法對服務和系統進行掃描,就可以判斷目標主機的Finger服務是開放還是關閉的,得出結果之后就可以采取一定的措施來對漏洞進行修復。
4結語
計算機網絡安全引起了人們的高度重視,為了保障計算機的網絡安全,可以通過安全漏洞掃描技術的應用來實現,在使用計算機網絡時通過基于端口掃描的漏洞分析法和基于暴力的用戶口令破解法的運用,就可以提升計算機網絡的安全性能。
作者:易永紅 單位:綿陽職業技術學院計算機科學系
參考文獻
[1]王勇.關于計算機網絡安全與漏洞掃描技術的分析探討[J].數字技術與應用,2016,21(04):211-211.
【 關鍵詞 】 虛擬化; 安全問題;計算機網絡;虛擬存儲
1 引言
虛擬化技術早在上世紀60年代由IBM提出。隨著互聯網發展和云計算的概念提出,在過去幾年內,虛擬化普及的速度迅速提高。據EMC公司CEO Joe Tucci稱,大部分VMware客戶已經計劃在未來3年內實現其50%的IT基礎設施的虛擬化。
虛擬化技術可以擴大硬件的容量,簡化軟件的重新配置過程,允許一個平臺同時運行多個操作系統,并且應用程序都可以在相互獨立的空間內運行而互不影響,從而顯著提高計算機的工作效率。虛擬化的好處是可以為多個項目和環境提供更快的速度和靈活性,但不利的方面主要是虛擬機和環境的安全一般并未被考慮,并不是因為這些實施項目的安全性有技術難度,而是因為安全問題是實施大范圍虛擬化的人員所未知的領域。換句話說,實施虛擬化時一般沒有考慮它所帶來的新安全風險。
2 虛擬化及虛擬化數據中心
2.1 虛擬化及其特點
虛擬化的含義非常廣泛, 一種比較通俗的定義就是: 虛擬化就是淡化用戶對于物理計算資源, 如處理器、內存、I/O 設備的直接訪問, 取而代之的是用戶訪問邏輯的資源, 而后臺的物理連接則由虛擬化技術來實現和管理。這個定義形象地說明了虛擬化的基本作用, 其實就是要屏蔽掉傳統方式下, 用戶部署應用時需要考慮的物理硬件資源屬性, 而是更著重于應用真正使用到的邏輯資源。虛擬化是分區組合, 因此在一個物理平臺上多個虛擬機可以同時運行, 每個虛擬機之間互不影響。
虛擬化的主要特點。
(1)封閉。虛擬單元的所有的環境被存放在一個單獨的文件中; 為應用展現的是標準化的虛擬硬件, 保證兼容性; 整個磁盤分區被存儲為一個文件,易于備份, 轉移和拷貝。
(2)隔離。虛擬化能夠提供理想化的物理機,每個虛擬機互相隔離; 數據不會在虛擬機之間泄露;應用只能在配置好的網絡連接上進行通訊。
(3)分區。大型的、擴展能力強的硬件能夠被用來作為多立的服務器使用; 在一個單獨的物理系統上可以運行多個操作系統和應用; 計算資源可以被放置在資源池中, 并能夠被有效地控制。
2.2 虛擬化數據中心及其特點
虛擬化數據中心是指采用虛擬化技術構建的基礎設施資源池化的數據中心,虛擬化后的數據中心將整個數據中心的計算、網絡、存儲等基礎資源當作可按需分割的資源供集中調配。
虛擬化數據中心的關鍵是服務器虛擬化。邏輯分割一臺X86服務器的CPU、內存、磁盤、I/O等硬件,構造多個虛擬機(VM)的技術發展迅猛,并大量部署在數據中心。服務器的虛擬化提供了計算資源按需調配的手段,而虛擬化的數據中心是計算與網絡、存儲等深度融合而成,因此,要使服務器虛擬化的優勢能順利實現,必須有合適的網絡、存儲與之匹配,并在一定層面還要制定虛擬化的管理策略。
3 虛擬化軟件自身的安全問題
從表面上講,虛擬化的BSD客戶端與真正的單個設備具有同樣的安全威脅和問題,這一點毋庸置疑。然而,主要的區別還在于額外的管理層:Hypervisor。Hypervisor實際上是另一個操作系統,它管理主機OC和客戶端OS之間的通信。管理員不用擔心單個設備上的單個BSD,而是必須關注第三個操作系統的安全。
在安全方面,我們不能對虛擬化想當然,而且應該比物理和專用操作系統及設備的日常威脅更加警惕。筆者認為虛擬軟件安全的現實影響主要有幾個方面。
3.1 攻擊管理接口
一般情況下,VMM/hypervisor采用非仿真硬件接入的通信模式管理主機和客戶端之間的用戶交互,例如控制鼠標在管理GUI中的虛擬事例上的移動。
我們看一個例子,從主機向客戶端上的虛擬CD加載ISO文件的情況。首先,主機上的VMware進程必須能夠接入ISO文件。這一般不是問題,因為VMware進程作為一個高級用戶運行,具有較高的權限。接下來,客戶端上必須有一個進程知道如何與主機上的進程通信。這要求在客戶端上安裝軟件,通過Hypervisor進行命令調用而與主機VMM通信。客戶端管理子系統向主機發起呼叫,一般通過指定的管道發起,要求主機代替客戶端啟動硬件調用,“欺騙”客戶端認為它正在通過物理驅動器接入物理CD。這是VMware從主機向客戶端加載CD的基本例子。
這個過程很簡單,但對安全性極為重要,因為我們創建了一個在主機和客戶端上作為超級用戶運行的未檢查的系統,可以被惡意攻擊者操縱和利用。這種延遲接入使惡意攻擊者能夠在客戶端上實施破壞性報復行動,最初簡單的數據攔截攻擊可能很快演變為對整個虛擬化數據基礎設施的全面攻擊。
3.2 避開虛擬機
要避開虛擬機,需要依次迂回進入硬件和操作系統設計。在基于X86的CPU,ring 0(通常指內核模式)是CPU的一部分,在這里管理內核級進程。同樣,ring 3(或用戶模式)是對用戶級進程分配處理空間的地方。虛擬化操作系統要求ring 0接入CPU,就如同真正的本地安裝的操作系統。物理和虛擬操作系統都需要一定數量的內核代碼(例如中斷表格和視圖)在ring 0中運行,并且始終知道這些代碼在RAM中位于何處。
與物理操作系統不同的是,虛擬客戶端不可能像獨立的機器那樣,將中斷表格放置在RAM中的同一個位置,主機的中斷表格已經占用了內存中的該位置。因此,盡管客戶端認為其中斷表格可能位于其虛擬RAM中的0x0000ffff處(表格始終存儲在這個特定操作系統中),但主機實際上已經通過透明的Hypervisor將這個位置映射到物理RAM中的0x1234abcd位置,對虛擬系統隱藏了實際位置。然而,這是一個內核級空間,即使主機Hypervisor已經針對客戶端處理了中斷表格的實際位置,虛擬表格仍必須從實際CPU上有權限的ring0運行(并駐留在其中)。
一般用戶也無法知道在虛擬ring 0中發生了什么,但是VMM翻譯該呼叫,并通過IPC將該呼叫交付給運行在主機上的超級用戶,如果攻擊者找到利用虛擬微代碼的方式,則他們可能會操縱主機內核和CPU。這叫做虛擬機躲避:跳出虛擬環境的限制,并進入物理環境。
3.3 虛擬機檢測
在攻擊者發起對虛擬環境的攻擊之前,攻擊者必須知道虛擬機在何處,以及他目前是否在一個虛擬機上。如果可以從本地接入平臺,例如通過SSH接入控制終端,就會有信號指出機器已被虛擬化。MAC地址、進程列表、機器上安裝的文件、驅動程序等容易檢測到的項目,只需敲擊幾下鍵盤即可訪問。然而,除了這些基本項目之外,有許多攻擊可幫助攻擊者檢測機器是否運行在虛擬環境中,有時甚至返回關鍵信息,例如客戶端的中斷表格的當前位置。
綜上,攻擊者只需花時間攻擊一臺虛擬機,這樣就可以破壞一個閉合網絡中的其它虛擬機,并最終避開虛擬VMM環境,接入主機。如果攻擊者的目的是攻擊盡可能多的機器,而且攻擊者知道某個系統組全是虛擬系統,則基于Hypervisor的攻擊將提供最有利的攻擊池。這種多個虛擬內核之間受保護的接入共享可能為所有類型的攻擊打開了方便之門。如果攻擊者可以操縱并控制多平臺虛擬化主機上的Hypervisor,則攻擊者就可以控制每個接入Hypervisor的客戶端的所有軟硬件命令。這種攻擊相當于擁有了數據中心內的每一臺服務器,可深入到CPU和總線級別。
4 虛擬化環境下的網絡安全問題
盡管Hypervisor是虛擬化的“主控制器程序”,但它不是具有安全風險的唯一虛擬化抽象層。對于任何虛擬化系統,另一個關鍵方面是網絡層。由于虛擬化的數據中心是計算、存儲、網絡三種資源深度融合而成,因此主機虛擬化技術能夠順利實現必須由合適的網絡安全策略與之匹配,否則一切都無從談起。
4.1 網絡安全挑戰
傳統數據中心網絡安全包含縱向安全策略和橫向安全策略,無論是哪種策略,傳統數據中心網絡安全都只關注業務流量的訪問控制,將流量安全控制作為唯一的規劃考慮因素。而虛擬化數據中心的網絡安全模型則需要由二維平面轉變為三維空間,即網絡安全策略能夠滿足動態遷移到其它物理服務器,并且實現海量用戶、多業務的隔離。
4.2 網絡安全策略
4.2.1 VLAN擴展
虛擬化數據中心作為集中資源對外服務,面對的是成倍增長的用戶,承載的服務是海量的,尤其是面向公眾用戶的運營云平臺。數據中心管理人員不但要考慮虛擬機或者物理機的安全,還需要考慮在大量用戶、不同業務之間的安全識別與隔離。
要實現海量用戶的識別與安全隔離,需要為虛擬化數據中心的每一個用戶提供一個唯一的標識。目前看VLAN是最好的選擇,但由于VLAN數最多只能達到4096,無法滿足虛擬化數據中心業務開展,因此需要對VLAN進行擴展。
4.2.2 隔離手段與網關選擇
虛擬化數據中心關注的重點是實現整體資源的靈活調配,因此在考慮網絡安全控制時必須考慮網絡安全能支撐計算資源調配的靈活性,只有將二者結合才能實現虛擬化數據中心網絡安全的最佳配置。當主機資源在同一個二層網絡內被調配時,多數應用才能保持連續性。為滿足計算資源的靈活調配,應該構建二層網絡,否則一旦跨網段將導致應用中斷或長時間的業務影響。
基于上述思想,網絡安全控制點盡量上移,并且服務器網關盡量不設在防火墻上。因為防火墻屬于強控制設施,網關一旦在防火墻上靈活性將大大地受到限制。
4.2.3 安全策略動態遷移
虛擬化數據中新帶來的最大挑戰就是網絡安全策略要跟隨虛擬機自動遷移。在創建虛擬機或虛擬機遷移時,虛擬機主機需要能夠正常運行,除了在服務器上的資源合理調度,其網絡連接的合理調度也是必須的。
例如,虛擬機1從pSrv1上遷移到pSrv2上,其網絡連接從原來的由pSRV1上vSwitchA的某個端口組接入到邊界Switch1,變成由pSRV2上vSwitchB的某個端口組接入到邊界 Switch2。若遷移后對應的邊界 Switch的網絡安全配置不合適,會造成虛擬機1遷移后不能正常使用。尤其是原先對虛擬機1的訪問設置了安全隔離ACL,以屏蔽非法訪問保障虛擬機1上業務運行服務質量。因此在發生虛擬機創建或遷移時,需要同步調整相關的網絡安全配置。為了保證虛擬機的業務連續性,除了虛擬化軟件能保證虛擬機在服務器上的快速遷移,相應的網絡連接配置遷移也需要實時完成。
5 存儲虛擬化的安全保護問題
存儲虛擬化允許同一個虛擬池上存儲設備的簡單數據遷移以及異構磁盤子系統的復制,因此,關鍵數據的第二份拷貝就必須有和第一份數據同樣的安全級別。舉個很簡單的例子,針對災難恢復的企業重要數據的第二份拷貝就需要和第一份數據同樣嚴格的安全級別,需要控制它的訪問級別和安全保護。
在存儲虛擬化后,虛擬化管理軟件應能全面管理IP SAN、FC SAN、NAS 等不同虛擬對象,通過上層應用封裝對用戶提供一致的管理界面,屏蔽底層對象的差異性。在存儲虛擬化環境中,針對不同的、異構的虛擬存儲對象,應根據各自存儲設備的特點,綜合運用不同存儲設備之間的安全防護機制構建全方位的安全防護體系。
5.1 資源隔離和訪問控制
在存儲虛擬化之后,應用不需要關心數據實際存儲的位置,只需要將數據提交給虛擬卷或虛擬磁盤,由虛擬化管理軟件將數據分配在不同的物理介質。這就可能導致不同保密要求的資源存在于同一個物理存儲介質上,安全保密需求低的應用/主機有可能越權訪問敏感資源或者高安全保密應用/主機的信息,為了避免這種情況的發生,虛擬化管理軟件應采用多種訪問控制管理手段對存儲資源進行隔離和訪問控制,保證只有授權的主機/應用能訪問授權的資源,未經授權的主機/應用不能訪問,甚至不能看到其他存儲資源的存在。
5.2 數據加密保護
在各類安全技術中,加密技術是最常見也是最基礎的安全防護手段,在存儲虛擬化后,數據的加密保護仍然是數據保護的最后一道防線。在存儲虛擬化實踐中,對數據的加密存在于數據的傳輸過程中和存儲過程中。對數據傳輸過程中的加密保護能保護數據的完整性、機密性和可用性,防止數據被非法截獲、篡改和丟失。對數據存儲的加密能實現數據的機密性,完整性和可用性,還能防止數據所在存儲介質意外丟失或者不可控的情況下數據自身的安全。
5.3 基于存儲的分布式入侵檢測系統
基于存儲的入侵檢測系統嵌入在存儲系統中,能對存儲設備的所有讀寫操作進行抓取、統計和分析,對可疑行為進行報警。由于基于存儲的入侵檢測系統是運行在存儲系統之上,擁有獨立的硬件和獨立的操作系統,與主機獨立,能夠在主機被入侵后繼續對存儲介質上的信息提供保護。在存儲虛擬化網絡中,應在系統的關鍵路徑上部署基于存儲的入侵檢測系統,建立全網統一的管理中心,統一管理入侵檢測策略,實現特征庫的實時更新和報警事件及時響應。
6 虛擬化數據中心的安全管理問題
虛擬化數據中心需要新類型的管理員,系統、網絡和安全管理員應進一步擴展他們所掌握的知識,了解虛擬化帶來的新概念。在虛擬世界中,不僅所有這些概念從硬件轉向軟件(許多情況下是從軟件內核領域向用戶領域轉移),而且這些概念一直處于混亂和“封閉狀態”,不適用于傳統接入方法。管理員不能走近虛擬交換機,插入筆記本電腦,添加一個網絡分路器,可靠地對一個端口進行映射,或者查看虛擬設備的統計信息。所有這些能力和知識已經超出專業管理員的能力范圍,而且對軟件控制器、管理GUI、專用內核模塊和二進制系統隱藏,已經進入了只有設計人員和開發人員知道如何真正管理設備的時代。
為此,虛擬化數據中心要制定可行的管理策略,并建議包括幾方面內容:1) 制定虛擬機管理制度,明確管理責任;2) 制定專門的虛擬機審核、追蹤流程,防止虛擬機蔓延而導致的管理受控;3) 所有物理機、管理程序、虛擬機的配置和數量都建在固定模板中,確保配置可控、可管,并將虛擬機管理放入安全策略;4) 利用虛擬化監控工具,檢測出未授權的拷貝和“克隆”虛擬機的行為,確保敏感信息在正確的管控中。
7 結束語
隨著企業級虛擬化軟件在市場上流行,企業IT部門用一臺容納20個獨立操作系統的4U機器全面取代容納單個操作系統的專用1U機器的現象非常普遍。虛擬操作環境與物理操作環境同樣安全的概念可能是代價極為高昂而且極具破壞性的謬論。虛擬化范例的變化引出了一套新的安全問題和風險。虛擬基礎設施管理員需要了解并且準備應對這些安全問題和風險,需要保證比威脅先行一步。
參考文獻
[1] 張志國.服務器虛擬化安全風險及其對策研究[J].晉中學院學報, 2010(3): 83-85.
[2] 計算機世界. 虛擬化改變網絡結構[N].計算機世界,2008-10-20.
[3] 杭州華三通信技術有限公司. 新一代網絡建設理論與實踐[M].北京: 電子工業出版社,53-393.
[4] 王彭.網絡存儲虛擬化的研究[D]. 西安科技大學,2004.
[5] 姚昌偉.基于網絡的存儲虛擬化技術的研究[D]. 電子科技大學,2010.
作者簡介:
通過對數字化校園建設中的網絡信息安全隱患,以及影響校園網絡安全因素進分析,針對校園網安全需求,制定相應的安全策略、產品選擇及部署方案,保障在數字化校園實施過程中的網絡信息安全。
【關鍵詞】
數字化校園;網絡;信息安全
數字化校園[1]建設是高校信息化建設的重要內容,數字化校園以網絡和數字化信息為基礎,在校園網絡的基礎上建立起來的對教學、管理、科研、技術服務等校園網信息的集合、處理、存儲、傳輸和應用,使得各種數字化的資源能夠通過信息平臺充分利用,實現學校教學管理的數字化,打破傳統的校園網絡概念,多維度拓展校園網的應用空間,提升校園網的運行效率,從而達到提高管理水平和效率的目的[2]。隨著數字校園建設的不斷深入發展,各大高校逐漸建立起了龐大的網絡系統與信息系統,如何在此基礎上構建一個安全的網絡信息環境,抵御各種潛在的風險,保障整個系統安全可靠的運轉,是數字化校園建設是最為重要的課題。
1.數字化校園網絡信息安全隱患
數字化校園相對來說是一個封閉的內部運行環境,它的應用主要來至于內部教職員工和學生,但同時也是一個開放的環境,其應用打破了時間和空間的限制,對于使用者來說隨時隨地都可以對系統進行訪問,所以其安全隱患既可來至學校內部也可以來至外部。通過分析數字化校園建設的安全隱患主要包括以下幾個方面:(1)外部闖入闖入是一種最常見的攻擊方式,不法分子為了達到某種不可告人的目的,闖入校園內部的計算機里,如普通合法用戶一樣使用學校內部的電腦,進行各種非法操作,如果闖進各種應用服務器里,其后果就不堪設想。(2)導致拒絕服務網絡攻擊者為了破壞學校各重要系統正常的運行,通過拒絕服務的方式攻擊系統,使系統無法正常運行。拒絕服務的攻擊方式原理就是攻擊者利用大量的數據包“淹沒”目標主機,耗盡可用的資源至系統崩潰,而無法對合法用戶作出響應[5]。如:往某遠程主機發大量數據或占用遠程主機資源,從而導致遠程主機癱瘓、重啟、死機或藍屏。(3)信息竊取攻擊者通過病毒程序、木馬程序、網絡工具,竊取校園網重要的數據信息。比如使用網絡嗅查器(Sniffer)監聽系統中傳輸的如用戶名、口令、或銀行賬號等重要信息等。在校園網絡中通過信息竊取獲得學校關鍵的數據,對數據的安全造成不可估量的損失。(4)內部泄密最危險的敵人潛伏在身邊,數字化校園建設的推進的過程中,內部泄密已經成為校園信息安全最直接的威脅。經權威機構統計發現:來自企業內部安全威脅有超過85%;來自內部未授權的訪問占16%;中國國內存網站存在安全隱患占到80%,其中20%的以上網站安全問題特別突出。
2.校園網安全考慮因素分析
通過對數字化校園的安全隱患的分析,結合現有網絡的安全狀況,在數字化校園建設過程中應主要從如下幾個方面入手來考慮安全因素及防范措施:
2.1從物理安全方面考慮
校園網中物理硬件包括:各種服務器、工作站、交換機、路由器、存儲器、通信設備、電源等,物理安全主要考慮的是避免這些設備人為的、自然環境的破壞。要保證校園網絡的物理安全應從機房的安全管理措施及安全環境等入手來加以考慮。
2.2分段隔離技術
根據校園網的各個部門功能、安全、保密等不同水平,要求將校園網絡進行差異分段隔離,通過安全隔離將攻擊和入侵造成的威脅限制在較小的子網范圍內,提高數字化校園網絡的整體安全水平。校園網絡可通過路由器、虛擬局域網VLAN、防火墻等技術分段來實現。
2.3信息加密認證
為了保證校園網內的數據、密碼、文件、網絡會話和控制信息等的完整性,信息加密的是必不可缺少的安全防護手段。通過各種認證與加密技術對數字化校園網絡重要的數據信息訪問請求進行認證加密,以防止重要信息的泄漏。
2.4安全漏洞掃描
安全漏洞掃描是校園網絡安全防御中常用的手段,就是采用模擬攻擊的方式對工作站、服務器、路由器、交換機、數據庫等各種目標對象,可能存在的已知安全漏洞進行逐項檢查。根據漏洞掃描結果提交安全性分析報告,供網絡管理員參考,為提高整體網絡安全水平提供依據。
2.5網絡反病毒
隨著新技術的進步,網絡病毒向綜合性方向發展,許多網絡病毒兼具文件感染、木馬、蠕蟲、黑客攻擊等功能,同時傳播途徑向多樣化方向發展,可通過電子郵件、共享目錄、瀏覽網頁、網絡漏洞進行傳播,甚至有些網絡病毒能夠跨平臺,可感染多種不同類型的操作系統。通過統計來看現在許多網絡安全事件都是由網絡病毒引起的,因此在數字化校園的建設中,可針對性的采用防毒軟件,實時掃描監控、查殺病毒來保護校園網系統的安全。
2.6網絡入侵檢測
校園網絡入侵檢是通過一定的監測手段,對網絡上發生的入侵行為進行監測,通過收集和分析網絡行為、審計數據、日志及其它網絡信息,檢測系統是否存在有違反安全策略的行為和被攻擊的對象,如果發現有攻擊或其它不正常現象就截斷網絡連接、記錄事件和報警。在校園網建設過程中網絡入侵檢測應結合防火墻、反病毒軟件聯動,有效的阻斷黑客與病毒對系統的攻擊。
2.7網絡最小化原則
從網絡安全的角度考慮問題,打開的服務越多,可能出現的安全問題就會越多,所以校園網安全應遵從“最小化原則”對服務器進行配置:首先在服務器上安裝系統要最小化,一些可有可無的應用程序不要安裝;在服務器部署單一的服務應用程序,這樣可把服務器的風險降低到最小范圍;在配置服務器使用權限時,有針對性的開放只需要的權限,從而限制用戶的操作行為在最小的范圍之內,不需要的賬號要及時刪除等。
3數字化校園安全策略
通過對數字化校園網絡拓撲結構的分析,可知校園網構成了一個Intranet系統,學校本部的主干網絡通過網絡運營商DDN專線與外網相連,在其中運行有學校網站服務器系統,各部門的網站服務系統,教務管理系統,招生就業系統,OA辦公自動化系統等及內部服務器系統。而學校本部的網絡系統和分校的子網絡系統的通過Internet公網來完成連接通信。
3.1校園網安全需求分析
通過對校園網絡安全因素及數字化校園體系結構分析,要保證校園網各重要服務器或部門子系統的安全,有如下安全需求:(1)保證服務器系統的安全。學校的服務器主要包括學校網站服務器、部門網站服務器、部門應用服務器、數據庫服務器、內部服務器等。這些服務器上運行有重要的應用系統,如學院的OA系統、教務管理系統、招生就業管理系統、財務系統、科研管理系統,所有這些系統的安全防護對學校正常的工作運轉起著關鍵作用。(2)學校總部和分部的內部網絡安全。學校內部的網絡會不時遭到黑客攻擊,還有各種木馬病毒的攻擊,內部網絡安全是數字系統能夠正常運行基本保證;(3)網絡用戶身份識別與認定。學校用戶量大,包括學校教職員工、學生、外訪客,要求必須有一套完整統一的身份認證與識別系統,保證合法用戶對系統的訪問;(4)重要數據傳輸安全問題。在學校總部與分部之間、內部用戶到服務器、應用服務器到數據庫服務器之間,要求傳輸數據的安全性與完整性,不受第三方截取、破壞。(5)保護學校重要部門。如財務部門、教務部門、招生就業部門等重要應用系統及資料文件,如果這些部門系統遭到破壞造成數據丟失,會造成不可估量的損失。
3.2安全策略制定
根據學校數字化校園安全需求分析制定如下安全策略:(1)校園網物理安全策略:包括學校服務器機房環境保護措施、出入管理制度的制定、安全責任制度、災難備份與恢復方案、應急電源啟用,突況預警等;通信線路、路由器、交換機,無線通信設備安全策略。(2)內外訪問控制策略:為學校本部與分部之間,學校內部網與互聯網之間、外部網絡用戶與校園網絡之間的實際需要制定訪問控制規則,保證相互通信的安全,禁止非法訪問;(3)安全配置及管理策略:對各服務器管理系統、安全產品、部署的應用服務系統,設置各級權限及信任關系,防止越權操作破壞系統;檢測漏洞及修補、設置安全規則、安全審計及日志分析等。(4)認證安全策略:建立統一身份認證系統,并制定密碼復雜規則,信息傳輸認證加密等規則;(5)突發事件應急策略:針對黑客攻擊入侵、各網絡病毒的破壞、自然災難導致的結果制定應急處理法和恢復計劃。
3.3選擇安全產品及部署
針對校園網的安全需求及相應的安全策略,選擇成熟有效的安全產品,把校園網的安全管理與安全產品有機的結合,解決數字化校園的網絡安全,使網絡的風險降到最低的限度。(1)交換機選擇:根據交換機傳輸率及品質選擇穩定可靠的交換機,部署在各個子網接點上,進行VLAN劃分使各個子網隔離、抵抗各種病毒與工具軟件的攻擊,盡量把風險控制在各個子網中。(2)防火墻選擇:防火墻是一種軟件與硬件的結合體,通過訪問規則控制內外網絡之間的信息交換,把不符合訪問規則的請求拒之于門外,從而保護系統的安全。在構建數字化校園的時,應選擇功能強大的防火墻部署在校園網與外網之間,重要部門的子網與內部網之間,或安裝個人防火墻于客戶端,從而阻斷各網絡之間的非法訪問,保障系統的最大安全。(3)建立虛擬私有網:在特殊情況下可以建立虛擬私有網(VPN)在兩點之間建立可靠的安全連接,保證數據安全傳輸。(4)網絡身份認證:網絡認證包括靜態密碼、智能卡、短信密碼、動態口令、生物識別等方式進行認證,可根據實際情況選擇相應的產品,部署在專用認證服務器或需要認證的服務器系統中。(5)反病毒軟件部署:包括金山、瑞星、360、卡巴斯基等防毒軟件能夠查殺大部分的各種流行病毒,可部署在校園網各應用服務器中及客戶端個人計算機中,防范各種病毒對系統的破壞,從而保證系統的安全。(6)入侵檢測系統:入侵檢測系統是對網絡安全攻擊的一種主動防御設備,可對網絡傳輸進行實時監控,對可疑的入侵采取主動反應措施或發出警報,主要部署在需要重點保護的服務器主機和子網中。
3.4安全教育與培訓
在數字化校園安全方案里面,需要對學校的全體教職員工,特別是網絡管理人員及部門負責人進行安全教育,掌握基本的安全知識,能夠熟練的掌握和應用安全產品,從思想上提高安全意識,阻止或避免可能發生的安全事故。培訓內容應包括以下知識:網絡基本知識掌握;各種計算機網絡病毒診斷與防治;掌握各種網絡入侵手段,分析解決應對辦法;各操作系統、應用服務器、安全產品的安裝和安全配置;校園網絡系統的安全管理和維護及重要數據備份與恢復。
4結束語
綜上所述,數字化校園建設是利用現代網絡科技手段實現學院信息化、管理科學化的重要手段,它是一個開放的過程,不斷發展變化逐漸完善的過程,在這個過程中,對于信息安全因素的分析及安全策略的制定與實施,具有非常重要的意義與價值,制定合理的安全策略是整個信息化建設中是必不可少的環節。
作者:唐權 周蓉 單位:四川職業技術學院
參考文獻:
[1]張新剛,田燕.數字化校園信息安全立體防御體系的探索與研究[J].實驗技術與管理,2012-10
[2]王楠,喬愛玲.高校數字化校園規劃體系結構與流程[J].中國電話教育,2008-1
[3]彭琣,高琣.計算機網絡安全及防護策略研究[J].計算機與數字工程,2011-1
