時間:2022-08-19 00:46:54
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全防范論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
校園網作為因特網的重要組成部分,為教學提供了極大的方便。由于管理和使用等因素,校園網面臨著嚴重的安全威脅。其中主要體現為水災、雷擊或者操作人員的操作不當而導致的硬件或者網絡系損壞,另外黑客攻擊是校園網系統的主要安全影響因素。近年來,隨著網絡技術的發達,木馬安裝程序也越來越精密,不但影響公共網絡,也給校園網的安全帶來極大的沖擊。學生作為主要操作者,缺乏專業的技術,因此容易出現操作失誤現象。另外,學生的好奇心會導致系IP被修改,或者進入不安全網頁,導致計算機系統被病毒侵害。另外,校園網系統還面臨著系統應用問題和管理風險。系統應用問題主要體現為操作系統安全隱患和數據庫安全隱患。由于系統自身設計不完善,將導致操作系統存在致命的安全隱患,這需要檢修人員和技術人員及時發現并對其進行處理,以免出現重大安全事故。計算機服務器終端安全風險將導致整個系統的安全系統下降,出現安全漏洞,影響計算機的使用壽命。從這一點上,確保操作系統的信息安全是管理者的重要任務。但在校園網管理上,由于受到高校制度和對網絡教學或者計算機實踐教學重視程度不夠的影響,管理安全隱患十分明顯。目前,校園網安全管理依然是人在管理,管理效率低下的主要原因在于管理人員的綜合素質不高,管理制度不明確。要解決這一問題,就需要對校園網管理制度進行調整。
2校園網絡安全防范設計方案
為了提高校園網的安全系數,應建立可靠的拓撲結構,其中包括備份鏈路、必要的網絡防火墻以及VPN的構建。具體過程如下:
2.1利用備份鏈路優化校園網的容錯能力
備份鏈路的使用可有效提高網絡的容錯能力,降低安全風險。主要應用于路由器同系統核心交換機之間,其作用在于對學生連接的外網進行檢驗和排查,控制非法連接,從而提高被訪問網頁的安全系數。在核心交換機之間同樣可進行雙鏈路連接和端口聚合技術,從而確保鏈路之間的備份,提高交換帶寬。
2.2計算機防火墻的合理應用
計算機防火墻在校園網安全中起著決定性的作用。通過防火墻的建立,可攔截存在安全隱患的網頁。操作人員可在防火墻上預設適當的安全規則ACL,對通過防火墻的數據信息進行檢測,處理存在安全隱患的信息,禁止其通過,這一原理使得防火墻具有安裝方便,效率高等特點。在計算機系統中,防火墻實際上是外網與內網之間連接的唯一出口,實現了二者之間的隔離,是一種典型的拓撲結構。根據校園網自身特點,可對這一拓撲進行調整,將防火墻放置于核心交換機與服務器群中間。其主要原因為:防止內部操作人員對計算機網絡系統發起攻擊;降低了黑客對網絡的影響,同時實現對計算機網絡系統的內部保護和外部保護,使流經防火墻的流量降低,實現其高效性。但是隨著科技的發達,網絡木馬的類型逐漸增多,這要求防火墻技術也要不斷的更新,以發揮其積極作用。將計算機防火墻同木馬入侵檢測緊密結合在一起,一旦入侵檢測系統捕捉到某一惡性攻擊,系統就會自動進行檢測。而這一惡性攻擊設置防火墻阻斷,則入侵檢測系統就會發給防火墻對應的動態阻斷方案。這樣能夠確保防火墻完全按照檢測系統所提供的動態策略來進行系統維護。
2.3VPN的構建
VPN主要針對校園網絡的外用,尤其是針對出差人員,要盡量控制其使用校內網絡資源。如必須使用,則要構建VPN系統,即在構建動態的外部網絡通往校園網的虛擬專用通道,也可建立多個校園網絡區域之間的VPN系統連接,提高安全防護效率。
2.4網絡層其他安全技術
網絡層其他安全技術主要體現為:防網絡病毒和防網絡攻擊。現在網絡病毒對網絡的沖擊影響已經越來越大,如:非常猖狂的紅色代碼、沖擊波等網絡病毒,所以有必要對網絡病毒繼續有效的控制;而網絡中針對交換機的攻擊和必須經過交換機的攻擊有如下幾種:MAC攻擊、DHCP攻擊、ARP攻擊、IP/MAC欺騙攻擊、STP攻擊、IP掃描攻擊和網絡設備管理安全。
3校園網的安全管理方案
計算機管理也是校園網安全的主要控制方案。在促進管理效率提高的過程中,主要可以采取VLAN技術、網絡存儲技術和交換機端口安全性能提高等方案,具體表現為以下幾個方面:
3.1應用VLAN技術提升網絡安全性能
VLAN技術是校園網安全管理中應用的主要技術,這一技術的應用有效的提高了計算機安全管理效率,優化了設備的性能。同時對系統的帶寬和靈活性都具有促進作用。VLAN可以獨立設計,也可以聯動設計,具有靈活性,并且這一技術操作方便有利于資源的優化管理,只要設置必要的訪問權限,便可實現其功能。
3.2利用網絡存儲技術,確保網絡數據信息安全
校園網絡數據信息安全一直是網絡安全管理中的主要任務之一。除了技術層面的防火墻,還要求采用合理的存儲技術,確保數據安全。這樣,不但可以防止數據篡改,還要防止數據丟失。目前,主要的存儲技術包括DAS、RAID和NAS等。
3.3配置交換機端口控制非法網絡接入
交換機端口安全可從限制接入端口的最大連接數、IP地址與接入的MAC地址來實現安全配置。對學生由于好奇而修改IP地址的行為具有控制作用。其原理在于一旦出現不合理操作,將會觸發和該設備連接的交換機端口產生一個違例并對其實施強制關閉。設置管理員權限,降低不合理操作。配置交換機端口可實現將非法接入的設備擋在最低層。
4總結
隨著信息產業的高速發展,眾多企業都利用互聯網建立了自己的信息系統,以充分利用各類信息資源。但是我們在享受信息產業發展帶給我們的便利的同時,也面臨著巨大的風險。我們的系統隨時可能遭受病毒的感染、黑客的入侵,這都可以給我們造成巨大的損失。本文主要介紹了信息系統所面臨的技術安全隱患,并提出了行之有效的解決方案。
關鍵字:信息系統信息安全身份認證安全檢測
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一、目前信息系統技術安全的研究
1.企業信息安全現狀分析
隨著信息化進程的深入,企業信息安全己經引起人們的重視,但依然存在不少問題。一是安全技術保障體系尚不完善,企業花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標:二是應急反應體系沒有經常化、制度化:三是企業信息安全的標準、制度建設滯后。
2003年5月至2004年5月,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%。調查結果表明,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的“%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%.
對于網絡安全管理情況的調查:調查表明,近年來,使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務企業提供專業化的安全服務。調查表明,認為單位信息網絡安全防護能力“較高”和“一般”的比較多,分別占44%。但是,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低。
2.企業信息安全防范的任務
信息安全的任務是多方面的,根據當前信息安全的現狀,制定信息安全防范的任務主要是:
從安全技術上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,增強安全防范意識。
信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預防內部犯罪。
二、計算機網絡中信息系統的安全防范措施
(一)網絡層安全措施
①防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚。
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
②入侵檢測技術
IETF將一個入侵檢測系統分為四個組件:事件產生器(EventGenerators);事件分析器(EventAnalyzers);響應單元(ResponseUnits)和事件數據庫(EventDataBases)。事件產生器的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。事件分析器分析得到的數據,并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的數據庫,也可以是簡單的文本文件。
根據檢測對象的不同,入侵檢測系統可分為主機型和網絡型。基于主機的監測。主機型入侵檢測系統就是以系統日志、應用程序日志等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。這種系統經常運行在被監測的系統之上,用以監測系統上正在運行的進程是否合法。最近出現的一種ID(IntrusionDetection):位于操作系統的內核之中并監測系統的最底層行為。所有這些系統最近已經可以被用于多種平臺。網絡型入侵檢測。它的數據源是網絡上的數據包。往往將一臺機子的網卡設于混雜模式(PromiseMode),對所有本網段內的數據包并進行信息收集,并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基于標志(CSignature-Based),另一種基于異常情況(Abnormally-Based)。
(二)服務器端安全措施只有正確的安裝和設置操作系統,才能使其在安全方面發揮應有的作用。下面以WIN2000SERVER為例。
①正確地分區和分配邏輯盤。
微軟的IIS經常有泄漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。本系統的配置是建立三個邏輯驅動器,C盤20G,用來裝系統和重要的日志文件,D盤20G放IIS,E盤20G放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。因為,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。
②正確
地選擇安裝順序。
一般的人可能對安裝順序不太重視,認為只要安裝好了,怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的:
首先,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼后,系統就建立了ADMIN$的共享,但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續到你再次啟動后,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝并配置好Win2000SERVER之前,一定不要把主機接入網絡。
其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩,卻很必要。
(三)安全配置
①端口::端口是計算機和外部網絡相連的邏輯接口,從安全的角度來看,僅打開你需要使用的端口會比較安全,配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選,不過對于Win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口,不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。
②IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,所以在本系統的WWW服務器采取下面的設置:
首先,把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉,在D盤建一個Inetpub在IIS管理器中將主目錄指向D:\Inetpub。
其次,在IIS安裝時默認的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標。我們雖然已經把Inetpub從系統盤挪出來了,但這樣作也是完全必要的。如果需要什么權限的目錄可以在需要的時候再建,需要什么權限開什么。特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給。
③應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指出的是ASP,ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射,然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。
經過了Win2000Server的正確安裝與正確配置,操作系統的漏洞得到了很好的預防,同時增加了補丁,這樣子就大大增強了操作系統的安全性能。
雖然信息管理系統安全性措施目前已經比較成熟,但我們切不可馬虎大意,只有不斷學習新的網絡安全知識、采取日新月異的網絡安全措施,才能保證我們的網絡安全防御真正金湯。
參考文獻:
劉海平,朱仲英.一個基于ASP的在線會員管理信息系統.微型電腦應用.2002(10)
東軟集團有限公司,NetEye防火墻使用指南3.0,1-3
賈晶,陳元,王麗娜編著,信息系統的安全與保密,第一版,1999.01,清華大學出版社
EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
楊兵.網絡系統安全技術研究及其在寶鋼設備采購管理系統中的應用:(學位論文).遼寧:東北大學,2002
劉廣良.建設銀行計算機網絡信息系統安全管理策略研究:(學位論文).湖南:湖南大學.2001
關鍵詞:長慶油田 網絡安全 防范
0 引言
隨著國家信息化建設的快速發展,信息網絡安全問題日益突出,信息網絡安全面臨嚴峻考驗。當前互聯網絡結構無序、網絡行為不規范、通信路徑不確定、IP地址結構無序、難以實現服務質量保證、網絡安全難以保證。長慶油田網絡同樣存在以上問題,可靠性與安全性是長慶油田網絡建設目標。文章以長慶油田網絡為例進行分析說明論文下載。
1 長慶油田網絡管理存在的問題
長慶油田公司計算機主干網是以西安為網絡核心,包括西安、涇渭、慶陽、銀川、烏審旗、延安、靖邊等7個二級匯聚節點以及咸陽等多個三級節點為架構的高速廣域網絡。網絡龐大,存在的問題也很多,這對日常網絡管理是一份挑戰,由于管理的不完善,管理存在以下幾個方面問題:
1.1 出現問題才去解決問 我們習慣人工戰術,習慣憑經驗辦事。網絡維護人員更像是消防員,哪里出現險情才去撲救。設備故障的出現主要依靠使用者報告的方式,網管人員非常被動,無法做到主動預防,無法在影響用戶使用之前就預見故障并將其消除在萌芽狀態。因此,這種維護模式已經很難保障網絡的平穩運行,能否平穩影響網絡安全與否。
1.2 突發故障難以快速定位 僅僅依靠人工經驗,難以對故障根源做出快速定位,影響故障處理。而且隨著網絡的復雜程度的提高,在故障發生時,難以快速全面的了解設備運行狀況,導致解決故障的時間較長,網絡黑客侵犯可以趁機而來,帶來網絡管理的風險。
1.3 無法對全網運行狀況作出分析和評估 在傳統模式下,這些都需要去設備近端檢查,或遠程登錄到設備上查看,不僅費時費力,而且對于歷史數據無法進行連續不間斷的監測和保存,不能向決策人員提供完整準確的事實依據,影響了對網絡性能及質量的調優處理,龐大的網絡系統,不能通盤管理,不能保證網絡運行穩定,安全性時刻面臨問題。
2 網絡安全防范措施
計算機網絡的安全性可以定義為保障網絡服務的可用性和網絡信息的完整性,為了有效保護網絡安全,應做好防范措施,保證網絡的穩定性,提高網絡管理的效率。
2.1 完善告警機制,防患于未然 告警監控是一種手段,設備維護人員、網絡分析人員需要通過告警信息去分析、判斷設備出現的問題并盡可能的找出設備存在隱患,通過對一般告警的處理將嚴重告警發生的概率降下來。告警機制的完善一般從告警信息、告警通知方式兩方面著手:
2.1.1 在告警信息的配置方面 目前,長慶油田計算機主干網包括的97臺網絡設備、71臺服務器,每臺設備又包含cpu、接口狀態、流量等等性能參數,每一種參數在不同的時間段正常值范圍也不盡相同。
例如同樣為出口防火墻,西安與銀川的各項性能閥值的設置也不盡相同,西安的會話數達到25萬,而銀川的超過20萬就發出同樣的告警。再比如,西安電信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因為這個時候在線用戶很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要發出告警信息。
因此必須根據監控的對象(設備或鏈路)、內容(各項性能指標)以及時間段,設置不同的觸發值及重置值。
2.1.2 告警通知方式的多樣化 任何時間我們都無法保證能全天候死盯著屏幕,所以一方面需要制定相應的運維管理制度和輪班值守職責,另一方面則需要選擇更加人性化的運維管理方式。維護人員不但需要頁面顯示的告警觸發通知,也迫切需要在移動辦公狀態或休假狀態第一時間得到預警,從而做出應有的反應,所以我們需要開發出例如聲音、郵件、短信等多種告警方式。
通過以上兩個方面,我們可以建成一個完善的故障告警系統,便于隱患的及時消除,提高了網絡的穩定性。
2.2 網絡拓撲的動態化 如果一個個設備檢查起來顯然費時費力,如果我們能將所有設備的狀態及其連接狀況用一張圖形實時動態的直觀顯示出來,那么無疑會大大縮短故障定位時間(見圖1,2)。
說明:2009-10-11日17:05,慶陽、延安、靖邊、銀川四個區域的T1200-02的連接西安的2.5GPOS口,涇渭T1200-01連西安的2.5GPOS口,以及西峰、吳起連接慶陽匯聚交換機Z8905-02的千兆光口,以上接口同時發出中斷告警。
因此,綜合告警信息與全網拓撲圖,當出現大規模告警的情況下能夠非常高效地找出故障源,避免了一步步繁瑣的人工排查,從而達到有效提高故障的解決效率,提高了網絡的穩定性。
2.3 全網資源管理的動態化
2.3.1 通過對網管系統的二次開發,實現全網動態資源分析,他的最重要特點就是動態,系統通過Polling Engine從設備上自動提取資料數據,如設備硬件信息、網絡運行數據、告警信息、發生事件等。定時動態更新,最大限度的保持與現網的一致性。
2.3.2 通過一個集中的瀏覽器界面上就可以快速、充分地了解現有網絡內各種動態和靜態資源的狀況,徹底轉變了傳統的網絡依賴于文字表格甚至是依賴于維護人員的傳統維護模式,變個人資料為共享資料。
2.4 提高安全防范意識 只要我們提高安全意識和責任觀念,很多網絡安全問題也是可以防范的。我們要注意養成良好的上網習慣,不隨意打開來歷不明的電子郵件及文件,不隨便運行陌生人發送的程序;盡量避免下載和安裝不知名的軟件、游戲程序;不輕易執行附件中的EXE和COM等可執行程序;密碼設置盡可能使用字母數字混排;及時下載安裝系統補丁程序等。
總之,影響網絡穩定的因素有很多,本文基于日常網絡安全管理經驗,從日常網絡管理的角度,提出一些安全防范措施,以期提高網絡穩定性。
參考文獻
[1]石志國,計算機網絡安全教程,北京:清華大學出版社,2008.
[2]張慶華,網絡安全與黑客攻防寶典,北京:電子工業出版社,2007.
[論文摘要]隨著高職院校數字校園建設的推進和信息系統的廣泛應用,網絡信息安全問題也隨之不斷涌現,這就要求我們必須對網絡危險信號的入侵有所預測。本文建立了一套高效、通用、安全的高職院校數字化校園網絡安全防控體系,確保高職院校數字化校園的網絡安全。
1 引言
隨著高職院校數字校園建設的推進和信息系統的廣泛應用,也產生了網絡信息安全的問題。信息時代,信息可以企業或個人受益,一些不法分子也會盜取破壞信息來謀利。因此,當今計算機網絡安全已經上升為焦點問題。
計算機網絡安全包括組成網絡系統的硬件、軟件及在網絡傳輸過程中信息的安全性,使其不遭受破壞。網絡安全既有技術方面的問題,也有管理方面的問題。本文建立一個高效、通用、安全的高職數字化校園網絡安全防控體系,進而提高工作效率,降低風險,減少不必要的損失。
2 高職數字化校園網絡安全防控體系
高職數字化校園網絡安全防控體系需要具有前瞻性,從而加強計算機的網絡安全性的防控。
2.1物理實體安全防控策略
物理實體安全策略目的是保護網絡服務器、計算機、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊等。
(1)硬件環境。服務器機房的建設要嚴格按照國家統一標準進行建設。并將配電室、空調間、計算機機房等連接計算機系統的重要部門進行嚴格管理,同時配備防火、防水、防雷、防震、防盜、防磁等設備。
(2)設備維護。建立維護日志管理系統。對計算機及網絡設備定期檢修、維護,并作好檢修、維護日志記錄。對突發安全事故處理有應急預案,對主要服務器及網絡設備,需要指派專人負責,發生故障確保及時修復,力求所有設備處于最佳運行狀態。
(3)安全管理制度。制定健全的安全管理體制,不斷地加強計算機信息網絡的安全規范化管理力度,強化使用人員和管理人員的安全防范意識,盡可能地把不安全的因素降到最低,從而使廣大用戶的利益得到保障。
2.2網絡安全隔離防控策略
網絡安全隔離防控策略具體如下:
(1)路由器。網絡架構的第一層設備就是路由器,它也是黑客攻擊的首要目標。所以,路由器必須設置一定的過濾規則,用以濾掉被屏蔽的1p地址及服務。
(2)防火墻。防火墻是用于限制被保護校園網內部網絡與外部網絡之間進行信息存取、傳遞操作,是防止“黑客”進入網絡的防御體系。它所處的位置在內部網絡與外部網絡之間。它是根據連接網絡的數據包來進行監控的,掌管系統的各端口,對其進行身份核實,限制外部用戶進入內部網,同時過濾掉危及網絡的不安全服務,拒絕非法用戶的進入。如分布式防火墻。
(3)ids(入侵監測系統)。它是安裝在計算機網絡的關鍵部位,負責監測網絡上所有的包,用來實時監測網絡和信息系統訪問的異常行為。其目的就是捕捉危險或有惡意的動作.并及時發出警告信息。與防火墻的區別之處是按用戶指定的規則對端口進行實時監測、掃描,及時發現入侵者,能識別防火墻通常不能識別的攻擊,如來自企業內部的攻擊。
(4)網閘。它是物理隔離與信息交換系統,運用物理隔離網絡安全技術設計的安全隔離系統。當企業網內部的生產系統因為信息化建設過程中對外網訪問的需求而影響內部網絡系統的安全性及可用性時,物理隔離與信息交換系統能夠對內部網絡與不可信網絡進行物理隔斷,可以及時阻止各種已知和未知的網絡層和操作系統層攻擊,提供比防火墻、入侵檢測等技術更好的安全性能。
(5)訪問控制。它是網絡安全防控的核心策略之一,其目的是保證網絡資源不被非法使用和訪問。訪問控制涉及的技術比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。傳統的訪問控制策略包括自主訪問和強制訪問,為考慮網絡安全和傳輸流,目前采用的是基于對象和任務的訪問控制。
2.3網絡主機安全防控策略
網絡主機的安全防控策略對保護數字化校園的網絡安全至關重要,具體包括如下幾個方面:
(1)操作系統的安全。網絡主機操作系統的安全極為重要,首先要確保是正版的操作系統,并實時更新。然后要保證以下幾個內容:操作系統的裁剪,不安裝或刪除不必要使用的系統組件;操作系統服務裁剪,關閉所有不使用的服務和端口,并清除不使用的磁盤文件;操作系統漏洞控制,在內網中建立操作系統漏洞管理服務器。
(2)數據庫的備份與恢復。數據庫的備份與恢復可以確保數據安全性和完整性,備份策略包括只備份數據庫、備份數據庫和事務日志、增量備份。做好數據的備份是解決數據安全問題的最直接與最有效措施之一,如雙機熱備份、異地備份。
(3)密碼技術。它是信息安全核心技術,為信息安全提供了可靠保證。基于密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一。
(4)病毒防護。安裝病毒防火墻、殺病毒軟件,進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監測,在工作站上采用防病毒卡,加強網絡目錄和文件訪問權限的設置。
(5)數字簽名與認證。應用系統須利用ca提供的數字證書進行應用級的身份認證,對文件和數據進行數字簽名和認證,保證文件和數據的完整性以及防止源發送者抵賴。
(6)虛擬機技術及其虛擬網絡環境。虛擬機是支持多操作系統并行在單個物理服務器上的一種系統,能夠提供更加有效的底層硬件使用。虛擬機能在同一臺電腦使用好幾個os,不但方便,而且可安全隔離。
3 結論
總之,高職院校數字化校園的發展及應用,方便了信息的共享、交流與獲取的同時,網絡安全的重要性也越顯突出。本文構建了一套網絡安全防控體系,全方位,多角度地實時防控,確保數字化校園的網絡安全。安全管理制度是安全的基石,技術是安全的保障,執行是安全的防線,從而提高網絡安全性,并不斷增強全意識,完善安全技術,補充安全策略,加強安全教育和安全管理,從而提高防范風險的能力。
參考文獻:
[1]熊晨潞.計算機網絡安全與防范措施的認識[j].華章,2008(18).
[2]吳建軍. 2010年計算機網絡安全前瞻[j].科技傳媒,2010(9).
[3]蘇姍娜.淺談計算機網絡安全[j].電工理工,2008(1).
關鍵詞 網絡安全 防火墻
中圖分類號:TP391 文獻標識碼:A
1網絡安全技術
網絡安全技術指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段。主要包括物理安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。
網絡安全技術分為:虛擬網技術、防火墻枝術、病毒防護技術、入侵檢測技術、安全掃描技術、認證和數字簽名技術、VPN技術以及應用系統的安全技術。
其中虛擬網技術防止了大部分基于網絡監聽的入侵手段。通過虛擬網設置的訪問控制,使在虛擬網外的網絡節點不能直接訪問虛擬網內節點。例如vlan,但是其安全漏洞相對更多,如IPsweep,teardrop,sync-flood,IPspoofing攻擊等。
防火墻枝術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。但是防火墻無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。防火墻的分類有包過濾型、地址轉換型、型、以及檢測型。
病毒防護技術是指阻止病毒的傳播、檢查和清除病毒、對病毒數據庫進行升級、同時在防火墻、服務器及PC上安裝Java及ActiveX控制掃描軟件,禁止未經許可的控件下載和安裝。
入侵檢測技術(IDS)可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。
安全掃描技術是為管理員能夠及時了解網絡中存在的安全漏洞,并采取相應防范措施,從而降低網絡的安全風險而發展起來的一種安全技術。
認證和數字簽名技術,其中的認證技術主要解決網絡通訊過程中通訊雙方的身份認可,而數字簽名作為身份認證技術中的一種具體技術,同時數字簽名還可用于通信過程中的不可抵賴要求的實現。
VPN技術就是在公網上利用隨到技術來傳輸數據。但是由于是在公網上進行傳輸數據,所以有一定的不安全性。
應用系統的安全技術主要有域名服務、WebServer應用安全、電子郵件系統安全和操作系統安全。
2防火墻介紹
所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。從而是一種獲取安全的形象說法,它是一種計算機硬件和軟件的結合,使Internet與Internet之間建立起一個安全網關(SecurityGateway),從而保護內部網免受非法用戶的侵入,防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。
3防火墻技術發展趨勢
防火墻技術的發展離不開社會需求的變化,著眼未來,我們注意到以下幾個新的需求:
遠程辦公的增長。全國主要城市先后受到SARS病毒的侵襲,直接促成大量的企事業在家辦公,這就要求防火墻既能抵抗外部攻擊,又能允許合法的遠程訪問,做到更細粒度的訪問控制。現在一些廠商推出的VPN(虛擬專用網)技術就是很好的解決方式。只有以指定方式加密的數據包才能通過防火墻,這樣可以確保信息的保密性,又能成為識別入侵行為的手段。
內部網絡“包廂化”(compartmentalizing)。人們通常認為處在防火墻保護下的內網是可信的,只有Internet是不可信的。由于黑客攻擊技術和工具在Internet上隨手可及,使得內部網絡的潛在威脅大大增加,這種威脅既可以是外網的人員,也可能是內網用戶,不再存在一個可信網絡環境。
由于無線網絡的快速應用以及傳統撥號方式的繼續存在,內網受到了前所未有的威脅。企業之前的合作將合作伙伴納入了企業網絡里,全國各地的分支機構共享一個論壇,都使可信網絡的概念變得模糊起來。應對的辦法就是將內部網細分成一間間的“包廂”,對每個“包廂”實施獨立的安全策略。
4結論
網絡安全問題越來越引起世界各國的嚴密關注,隨著計算機網絡在人類生活各個領域的廣泛應用,不斷出現網絡被非法入侵,重要資料被竊取,網絡系統癱瘓等嚴重問題,網絡、應用程序的安全漏洞越來越多,各種病毒泛濫成災。這一切,已給各個國家以及眾多商業公司造成巨大的經濟損失,甚至危害到國家安全,加強網絡安全管理已刻不容緩。
參考文獻
[1] 周良洪.信息網絡安全概論[M].群眾出版社,2009:89-100.
[2] 邵波.計算機安全技術及應用[M].電子工業出版社,2010:11-100.
[3] 龐南.信息安全管理教程[M].中國人民公安大學出版社,2011:45-78.
論文摘 要: 網絡安全建設是確保高職院校圖書館正常提供各種數字化服務的重要工作,也是構建高職院校安全穩定數字圖書館的重要組成部分。本文作者基于高職院校數字圖書館網絡安全影響因素分析,結合網絡安全管理工作的實際,提出了高職院校數字圖書館的網絡安全管理策略。
一、前言
隨著internet的普及和廣泛發展,當今社會已進入了網絡信息高速流通的時代,它使信息與信息之間的距離拉近了,計算機網絡被廣泛應用于越來越多的專業領域,包括傳統學科圖書館學。隨著數字圖書館的概念提出和在高職院校圖書館的廣泛應用,數字圖書館的網絡安全問題受到越來越多的關注,實現網絡安全是保證高職院校數字圖書館健康發展的基礎保障。因此,全面分析高職院校數字圖書館的網絡安全影響因素,制定和實施行之有效的網絡安全管理策略,對構建安全穩定的高職院校數字圖書館具有重要積極意義。
二、高職院校數字圖書館的網絡安全概述
網絡安全涉及的保護對象為網絡系統中的硬件、軟件及系統中的數據。因此,高職院校數字圖書館網絡安全管理也可以概括為對維護高職院校數字圖書館這一網絡系統中的硬件、軟件及數據的正常安全運行的一系列管理工作內容。
三、高職院校數字圖書館的網絡安全影響因素
當下,大部分高職院校搭建網絡時選擇采用樹型加星型的混合型拓撲結構,采用以太網標準,用五類或超五類雙絞線進行綜合布線,將寬帶或專線接入網絡中的路由器,從而與外網相聯,最終實現信息交換,同時在多校區院校多數采用光纖進行中長距離連接。而高職院校數字圖書館依建在學院的計算機大網絡系統中,成為其一部分,因此大網絡的安全管理對數字圖書館的安全存在著不可忽視的影響。除此之外,還有以下幾點涉及數字圖書館日常管理中的影響因素。
(一)計算機技術應用的影響因素
黑客、木馬、病毒這類危害網絡安全的計算機技術發展迅速,相應的各類防病毒技術也日新月異,計算機技術應用層次成為影響網絡安全的重要影響因素。
1.硬件技術因素。部分高職院校計算機網絡受舊有規劃、經費限制等原因制約,以致網絡設備老舊換代緩慢,致使網絡運行穩定性、兼容性差。
2.軟件技術因素。大量的計算機病毒和木馬在互聯網上傳播,而其中的大部分病毒和木馬都是利用了用戶計算機上的各種軟件系統的漏洞進行傳播與擴散。越來越多的通訊及共享軟件技術在系統普通用戶中推廣應用,加速了形式多樣的安全漏洞的出現。在新的軟件技術推廣應用過程中,往往忽略了對其安全管理的培訓。
(二)人員配備因素
雖然隨著圖書館信息化的進一步深入,不少高職院校圖書館采取了一系列措施來解決網絡安全人才配備的問題,如引進計算機專業人才、增加現有工作人員的網絡安全技術培訓等。但這些只是初步改善了網絡安全管理人才上的數量配置問題,而事實上由于人員所擁有的經驗、專業系統性等方面因素也存在著差異,最終影響網絡安全管理效果。同時各級管理人員及基層操作人員在安全水平與意識上也存在著一定的差異,往往造成上下理解不同,操作無法規范化,致使網絡安全方面的措施很難達到預期的成效。
四、高職院校數字圖書館的網絡安全管理策略
(一)建立和落實網絡安全管理制度
作為加強高職院校數字圖書館網絡安全管理的重要措施,必須提高全館對網絡安全管理規范化重要性的認識,從而建立健全網絡安全管理規章制度。網絡安全管理制度主要可從以下幾方面建立。
1.建立網絡硬件維護、使用及維修制度。
定期做好網絡安全管理系統硬件設備的維護和保養是加強數字圖書館網絡安全管理在硬件技術方面的重要措施。在日常工作體系中,針對中心機房、服務器、中心交換機、二級交換機和hub等網絡中的關鍵設備的維護和保養,建立周期性的檢查、維護制度,明確各類設備的管理與使用責任分工至具體管理人員,建立維修文檔跟蹤機制,確保網絡安全管理系統運轉順暢。
在周期性的維護工作期間,要重視設備所處環境的衛生狀況。良好的外部環境在一定程度上影響著這些硬件設備的使用壽命及效果。因此,要保持環境的通風低溫、電源常通電壓穩定,減少設備的意外斷電情況。定期進行環境清潔,盡可能保持密閉,避免過多的灰塵堆積。根據天氣的變化,對設備進行防潮防燥工作。
為數字圖書館系統配備相應的備份、系統恢復硬件設備,這些設備屬于保證網絡安全系統正常運行的核心。設備更新時,對整體設備的配置及時進行調整,以做到新舊結合合理,并達到物盡其用。
對于受客觀條件限制而必須設置在外部環境下使用的設備要進行定期的檢查,發現物理損壞要及時維修更替。
2.建立軟件維護及使用制度。
操作系統軟件作為支撐軟件是用戶和計算機的接口,控制網絡用戶對網絡系統的訪問及數據的存取,但無論是windows nt還是unix或linux都存在著后門,為病毒侵入和黑客攻擊留下了可乘之機[1]。每周應固定對服務器及操作機器進行殺毒、病毒庫升級及系統升級工作,及時填補安全漏洞。
數據庫系統軟件作為實際可運行存儲、維護和為應用系統提供數據的軟件系統,其具有一套獨立的安全認證體制[2]。在管理過程中可運用數據加密技術,設置嚴密的授權規則,例如:賬戶、口令和權限控制等訪問控制方法。同時,盡量避免與操作系統的安全認證體制捆綁,例如,避免數據庫系統與操作系統使用相同的管理員用戶名及密碼。保持數據庫系統在磁盤上與其他應用程序的相互獨立性,保證在操作系統不安全的情況下,數據庫系統中的數據最大限度地不被損壞。
應用軟件作為滿足用戶應用需求而提供的那部分軟件,拓寬了操作系統的應用領域。但同時在使用過程中,也增加了因其不完善性造成的網絡安全漏洞,因此在應用軟件使用及選擇上應進行規范控制,特別是針對基層計算機的應用軟件安裝管理上。在滿足業務需要的同時應適當規范使用范圍,例如:對于p2p軟件,應限制在少數業務計算機中使用。對于前臺檢索機的ie瀏覽器應設置嚴格的上網分級審查級別,避免讀者在使用時誤入不良網站而引起病毒及木馬感染,從而影響整個數字圖書館系統的網絡安全。
除對以上三類軟件建立日常維護制度外,同時把周期性的系統備份及數據備份列入軟件維護制度中。例如:對數字資源服務器的整體操作環境和重要的數據庫系統進行備份,以避免在出現重大網絡安全事故導致數字圖書館系統數據出現丟失時,無法盡快恢復或重建系統數據。
3.建立突況處理機制。
數字圖書館系統較常發生的突況分為:一是自然災害,指天災引起的網絡與系統的損壞;二是事故災難,指電力中斷、設備故障引起的網絡與系統的損壞;三是人為破壞,指人為破壞網絡設備設施,黑客攻擊等引起的系統無法正常運行。
網絡安全突發事件雖然有不可預見性,但在長期的實踐過程中,也可摸索出一般的發生規律。而針對其建立的處理機制,就是立足對規律的總結,做好事前的預防及事后的補救工作。例如:在特殊氣候來臨前,設備的提前轉移,環境的檢查加固;在系統無法正常運行時,起用備用系統的處理流程,等等。
4.制定網絡安全管理人員操作手冊。
在加強網絡安全管理專業隊伍的建設中,除了選派配備責任心強、網絡應用技術熟練的人員擔任管理職務外,并要建立一套有明確指引的網絡安全管理人員操作手冊,以保證管理人員在處理各項網絡安全事務時,有根可尋、有源可溯,以避免因失誤操作引起進一步的安全問題。
(二)加強各級用戶的網絡安全培訓
據權威部門統計結果表明,網絡上的安全攻擊事件有70%來自內部攻擊[3]。全館的各級領導、部門工作人員和讀者應加強數字圖書館系統的網絡安全意識,并首先從培訓開始。高職院校圖書館可以定期舉辦相關講座,培訓,考核等內容,這樣既可使工作人員學到更多的網絡安全知識,又可增強工作人員的責任心及參與感。
為達到最佳效果,各類培訓應根據人員特質來設定。專職專崗的管理人員多參與校外最新專業技能的培訓課程;部門工作人員的培訓內容以日常操作規范、防病毒及系統優化等內容為主。而普通讀者在每年的新生教育中,融入上網守則、計算機的信息安全保護和病毒防范等知識的培訓。
五、結語
隨著數字圖書館的快速發展,嚴防黑客入侵、努力保障網絡安全,不但是高職院校圖書館信息化發展的基本需求,而且對全院的整體數字信息化發展起著重要的作用,所以各級領導與工作人員應該對網絡安全問題給予高度的重視。通過實施有效的高職院校數字圖書館的網絡安全管理策略能有效減少數字圖書館系統受網絡安全隱患的困擾。但要構建和維護一個長期穩定的數字圖書館運行網絡環境和更好地為讀者提供優質服務,并不是幾個人或短期行為就能解決的事,更需要建立加強安全教育和培訓,增強安全防范的意識,采取安全防范技術措施,提高網絡安全水平和防范能力,降低各種不安全因素的長效工作機制。
參考文獻:
[1]孟慶昌,朱欣源.操作系統.北京:電子工業出版社,2009.
論文摘要:安全問題是目前發生在我國高校的常見重要問題,實施安全教育對于在校學生尤其重要。國內研究者對此已進行了大量的研究和探討, 本文根據大量文獻資料,從安全教育的定義、內容、存在的問題、對策四方面對已有研究進行了總結,探尋已有研究所取得的成果并分析已有研究中存在的問題,在此基礎上,預測高校安全教育研究的發展趨勢。
一、關于安全教育定義的研究
一般說來,關于高校安全教育有著統一規范的定義,所以關于安全教育的定義研究是非常少的。如古月娟、白海琦認為 “大學生的安全教育是指高校管理者和教育者以黨和國家的有關政策與法律為依據,以全面提高大學生的綜合素質為目標,以大學生在校期間以及步入社會面臨的安全問題為主要內容,以已涉及大學生的安全問題為典型案例,對學生進行法律知識、安全防范知識、學校安全管理制度和心理健康知識教育,使在校大學生系統地掌握安全知識和防范能力。”這一點黃維平、韋幫得也是認同的。而王能武認為“高校安全教育是指高等學校為維護大學生的人身、財產安全和身心健康,提高大學生的安全防范意識和自我保護技能,從學校實際情況出發,根據國家法律法規的規定,制定各種安全教育與管理的規章制度,并對大學生進行國家法律法規、學校安全規章和紀律、安全知識與防范技能的教育與管理活動。”總的說來,高校安全教育定義研究側重點不同,但這些研究主要認為高效安全教育是指主要針對在校大學生,為了確保在校大學生生活環境、心理環境等的安全而運用一些教育方法而實行的教育措施。
二、關于安全教育內容的研究
關于安全教育的內容的提法很多,很多研究者將安全教育內容分成不同的點,主要有以下幾種分類方法:
(一)高校安全教育內容分為三點
古月娟、白海琦在提出新時期大學生安全教育的內容主要為:大學生心理健康教育,大學生網絡安全教育,大學生文化安全教育。即認為大學生安全教育主要包括網絡安全、心理健康安全和文化安全。
(二)高校安全教育內容分為四點
張玉華、袁成龍提及高校安全教育的內容主要為:“國家安全教育、網絡安全教育、心理安全教育和自我保護教育”相比狹隘的高校安全教育,張玉華、袁成龍已拓寬了安全教育的內容,也把國家安全教育放在了重要位置,體現了對國家安全的重視,也有利于培養大學生愛國意識。另外,孫光輝也將新時期大學生安全教育的內容分為四點:“社會注意榮辱觀教育、法律法規和校規校紀教育、安全防范知識和技能教育、心理健康教育。”隨著現代社會科技發達,交通事業的進步,交通事故也越來越多,交通安全教育與消防安全教育也越來越重要所以關于這方面的研究也是非常必要的。
(三)高校安全教育內容分為五點
姬學民認為大學生安全教育的主要內容為:“基礎知識教育即有關安全的基礎知識的教育、安全防范和自我保護的教育、進行遵紀守法的教育、國家安全教育和心理健康教育。”法紀法規是為規范人們的行為,打擊不法分子制定的。教育大學生學法、知法、懂得依法辦事。作為一名大學生應該通過法紀法規學習,知道哪些事能做,哪些事不能做。加強對大學生的法律教育有利于大學生運用法律武器保護自己,所以安全教育中應該包含對大學生法律知識的教育。
(四)高校安全教育內容分為六點
李曉明認為:“自我保護能力的教育、心理安全教育、網絡安全和道德教育、消防安全教育、交通安全教育、規章制度教育。”各高校近幾年都非常重視制度建設,制定了一系列規章制度。這些規章制度在維護學生的合法權益,保障學生的安全方面發揮了積極的作用。但總有學生違反了這些 規章制度,從而造成了一些安全問題,因此,對學生的規章制度教育是非常重要的。楊緒霞,薛剛認為,高等安全教育包括國家安全教育、人身財產安全防范教育、網絡安全教育、消防安全教育、交通安全教育和心理安全教育。二者都將安全教育的內容劃分的更細更全面。
三、關于目前高校安全教育存在的問題的研究
袁健認為目前高校安全教育存在的問題包括:對大學生安全教育的重視程度不夠,安全教育的內容不夠,學生安全教育形式單一且缺乏創新。大學生安全教育運行機制不完善且沒有形成制度化和規范化。內容不夠全面且教育形式單一,導致了高校安全教育的一系列問題。張玉華、袁成龍也認為,目前大學生安全教育存在的主要問題為:大學生安全教育運行機制不完善,大學生安全教育的實施只是走過場,大學生安全教育內容不夠完整。譚汝媚認為當前高校對安全教育重視不夠,體制不健全,大學生心理健康問題嚴重,大學生減災和避災自救能力相對匱乏,網絡安全問題突出。宋江浩認為當前大學生安全教育存在的主要問題有:網絡化發展趨勢給高校學生安全教育帶來問題,大學生網絡安全意識相對薄弱;高校后勤社會化管理給高校學生安全教育帶來問題,校園外來人口增多,校園住宿條件等都會影響高校學生安全教育;國家教育改革發展給高校學生安全教育帶來問題,校外人員參觀、訪問等也給高校安全教育帶來問題;高校擴招給高校學生安全教育帶來的問題,在校生人數眾多,層次多樣,使得校園也更加復雜,安全教育的問題也就更多;交通安全、性安全等也影響校園安全問題。王能武對上述觀點也是認同的。
研究者羅列了很多高校安全教育中存在的問題,其中目前高校對于安全教育的重視不夠是導致一些安全事故發生的重要原因,高校只有在對安全教育有了足夠重視的情況下才能搞好安全教育;另外,研究者也看到了由于社會問題而引發的一些新問題如心理健康教育、網絡安全教育、性安全教育等,有利于高校從新的角度去認識安全教育中存在的問題。
四、關于高校安全教育對策研究
高菲提出高校安全教育的對策為:加強大學生安全教育,提高大學生的安全意識;加強大學生心理健康教育,培養大學生健康的心理;加強大學生法制教育,增強大學生法制意識;加強大學生的責任意識。袁健認為切實提高對大學生安全教育工作重要性的認識;大學生安全教育必須步入規范化和制度化的軌道;建立健全大學生安全教育運行機制;采用多種途徑開展大學生安全教育。張玉華、袁成龍認為提高大學生對安全教育的認識;加強大學生對安全教育的組織領導;建立大學生安全教育運行機制;做好大學生安全教育的“三進”工作即安全教育進宿舍進課堂進校園網絡。
譚汝媚認為高校黨政領導應給予足夠重視,加大安全投入,努力營造濃厚的校園安全文化氛圍;將安全教育納入高校課程教學計劃;加強心理健康檔案建設和建立、健全學校心理咨詢機構并充分發揮其作用;加強網絡知識安全教育。宋江浩認為加強對學生的網絡完全教育;加強對學生宿舍的安全管理;加強對高校學生的消防安全教育;加強對高校學生防盜竊、防詐騙安全教育;加強對學生的交通安全教育。王能武認為:動員各方面力量,切實提高大學生安全教育工作重要性的認識;建立、健全高校安全教育法律法規,為高校安全教育提供制度保障;安全教育應突出重點,注重教育效果;把安全教育納入教學計劃,編寫安全教育教材,開設系統的安全教育課程。姬學民認為把安全教育納入教學計劃,使之規范化、制度化;以案說法,有針對地教育;突出重點,有區別地教育。陶娟提出:首先要高度重視,齊抓共管。切實提高對大學生安全教育工作重要性的認識;調動一切積極因素,形成齊抓共管局面。其次,精編教材,規范教學。精編安全教育教材,將安全教育納入正規的教學管理中,利用已有的教學體系,強化安全教育。再次,突出重點,提高實效。抓好安全教育工作隊伍的建設如專業保衛隊伍,輔導員隊伍,學生骨干隊伍;轉好重點學生、重點時期和重點場所的安全教育。接著,創新形式,寓教于樂;關注心理,愛護學生;健全制度,落實責任。李曉明認為:加強宣傳教育,營造平安氛圍;突出重點,務求實效;安排學時,開設課程;明確內容,選編教材;設立心理咨詢室,加強心理輔導。
研究者對于高校安全教育建議主要針對安全教育中存在的問題的提出,宏觀方面與微觀方面都有涉及,但是具體可行性意見卻不夠。以后的研究可能會針對時展所出現的安全教育的新問題,進行非安全教育定義,而是安全教育存在的問題及安全教育措施的研究,而且這些研究也會越來越重視其實用性。
參考文獻:
當今,互聯網病毒、木馬橫行。校園網作為互聯網的一部分,其服務的對象主要是教師和學生,對于中職學校來說,學生好奇心強、動手能力較強,他們在學習過程中喜歡對校園網進行研究甚至是破壞,校園網絡安全受到了威脅,可謂是內憂外患。論文分析了中職校園網安全方面存在的問題,提出了管理的具體措施和策略。
【關鍵詞】
校園網;安全;措施;策略
1引言
近年隨著中職學校的快速發展,信息化建設在不斷推進,校園網的規模上在擴大,應用在增加,服務師生的能力在增強,我們通過校園網辦公更便捷,教學資源更豐富,教學效果更好。但我們清醒地看到校園網絡安全也存在很多問題:校園網絡擁塞引起的網絡崩潰;網絡規劃不科學,存在Bug;無線網絡開放,教室信息點開放,病毒泛濫;校園網建設中,安全性、可擴展性的需求較為明顯。
2校園網絡安全方面存在的問題
2.1病毒和木馬入侵
中職學校的網絡資源價值不高,但是安全防護技術低下,已經成為初級黑客實習訓練的重要場所。校園網絡奇慢,打開網頁慢,播放流媒體文件慢。ARP攻擊使網絡遭受到了ARP入侵,攻擊者通過IP地址與MAC地址綁定,在校園網中產生大量的通信量,使校園網絡阻塞,或者達到斷開其他用戶連接,增加被攻擊者帶寬的目的。
2.2APP攻擊
Android軟件開發的技術已經開始發酵,目前手機的應用越來越豐富,開發能力和水平越來越高,甚至APP開發和網絡應用越來越緊密。開發能夠控制網絡設備的APP應用已經很常見了,這樣就給校園WLAN帶來了很大壓力。學生的好奇心使然,通過某些APP控制學校的網絡設備,向網絡發送大量垃圾文件,就會形成APP攻擊,導致校園網絡出現擁塞。
2.3開放信息點
中職學校網絡大多采用核心、匯聚、接入三級,樹型與星星混合的拓撲結構模式的網絡結構相對簡單,教室、宿舍等公共場所存在大量開放信息點,通過連接終端,可直接進入校園網絡。以某校為例,校園WLAN信號覆蓋范圍有限,為了補充不足,老師自帶無線路由器,僅辦公樓四樓的路由器數量多達15臺,大部分教師將路由器的LAN口當作WAN口來用,連接方式錯誤,致使路由選擇路徑發生變化,網絡連接錯誤。教師使用的無線路由器發出的信號容易被學生或攻擊者接收,稍加分析,便可以接入校園網絡,輕松獲得網絡資源,登錄辦公管理平臺,甚至入侵網內其他主機。
2.4校園網擁塞
中職學校財力薄弱,為了節約成本,通常采取監控與網絡使用公共傳輸介質,公用同一網段,不建立獨立監控網絡。另外,近些年中職校的網絡教學設備不斷增多,多媒體一體機大量投入使用,獲取校內教學資源和互聯網教學資源占用大量帶寬。目前,師生使用手機數量已達每人一部,同時通過APP獲取互聯網多媒體資源和流媒體業務,導致校園網絡帶寬不足,網絡處理能力不夠,產生網絡擁塞現象。校園網絡崩潰。
2.5技術力量不足
中等職業學校網絡拓撲混亂,缺少科學規劃。缺少專業的網絡管理、網絡設計人員,現有技術人員技術能力急需提升。然而,學校網絡的規模在日益擴大,網絡的應用(業務)在不斷豐富,網絡結構越來越復雜,技術力量不足的問題也尤為凸顯。
3校園網安全管理的措施和策略
3.1網內主機
主機備份。網內重要主機、服務器恢復注冊表,不使用共享文件夾。對存放重要資源的主機服務器、應用服務器,要對系統和注冊表等信息進行備份。當遭受攻擊、癱瘓后可以快速恢復系統和注冊表,使系統正常工作。禁止網內使用文件夾共享的方式傳送問文件,此方式極容易被工具軟件檢測到,并利用共享機會向主機埋下病毒或木馬。清理僵尸節點。僵尸節點不但節點本身有病毒,反應慢,而且會感染相鄰節點,具有傳播特性。對網絡節點進行排查,清理帶有大量病毒的主機節點,關閉沒有重要業務的計算機和服務器。
3.2網絡本身
入網認證。使用校園網絡需要認證,使用防火墻技術,靜態IP與MAC地址綁定,增加MAC地址的過濾,將校園網絡的資源分類分級,建立開放網絡和認證網絡,并加強管理。杜絕隨意使用校園網絡,禁止未經身份認證的用戶登錄、獲得校園網絡重要資源。建立基于流量約束的網絡拓撲結構。網絡拓撲結構設計的合理與否,關系到網絡流量問題,同時也影響網絡安全。可以說網絡拓撲結構是網絡安全的基礎,改變傳統的核心、匯聚、接入三級的網絡模式,變為核心、接入二級網絡模式,既簡單又相對安全。此種模式減少了匯聚層對核心層流量壓力,同時實現了校園主干網絡的負載均衡,使整個校園網絡更加穩定、安全。增加網絡架構的冗余設計。目前,學校網絡應用(業務)越來越豐富,師生交流的平臺越來越重要,保護好數據資源十分重要。主要方法就是在使核心節點之間建立鏈路冗余,節點與核心節點間有至少兩條通路,當兩個核心節點之間斷掉,節點可以通過其他冗余鏈路連接到核心節點。
3.3策略
提高網絡安全意識。不斷培訓師生的信息技術知識,加強信息安全方面的教育,建立網絡安全防范機制,定期和隨機檢查關鍵主機的網絡連接,病毒防御狀態等情況。定期檢查校內網絡線路連接狀況,禁止私自連線。關鍵網絡節點、設備要進行監控。總之,要樹立網絡安全防范的思想,強化安全意識。建立高水平的管理團隊。通過聘請、培訓等方式組建和培養一批網絡管理、網絡設計能力強,網絡知識扎實,業務水平高的隊伍,通過開展網絡對抗賽等活動對網絡管理員進行強化訓練。建立網絡監管機制。在學校建立網絡安全管理制度。網絡管理是三分技術七分管理。建立管理員負責制度,鼓勵網絡管理員進行有針對性的培訓;建立獎勵制度,獎勵在學校網絡安全方面解決了實際問題的管理員。總之,不但要在網絡布局上,網絡設備上進行技術監管,還要在使用者的行為上進行監管,更要形成制度。
4結束語
校園網安全的提升,不要盲目擴大校園網絡規模,應該科學規劃學校的網絡,建立技術過硬的管理團隊,提升管理者和使用者的素質,采取有效的具體防范措施,使用恰當的網絡技術。
作者:張猛 單位:遼寧省北票市職教中心
關鍵詞:計算機網絡,防護技術,研究
隨著高新技術的不斷發展,計算機網絡已經成為我們生活中所不可缺少的概念,然而隨之而來的問題----網絡安全也毫無保留地呈現在我們的面前,不論是在軍事中還是在日常的生活中,網絡的安全問題都是我們所不得不考慮的,只有有了對網絡攻防技術的深入了解,采用有效的網絡防護技術,才能保證網絡的安全、暢通,保護網絡信息在存儲和傳輸的過程中的保密性、完整性、可用性、真實性和可控性,才能使我們面對網絡而不致盲從,真正發揮出網絡的作用。
一、計算機網絡防護技術構成
(一)被動防護技術
其主要采用一系列技術措施(如信息加密、身份認證、訪問控制、防火墻等)對系統自身進行加固和防護,不讓非法用戶進入網絡內部,從而達到保護網絡信息安全的目的。這些措施一般是在網絡建設和使用的過程中進行規劃設置,并逐步完善。因其只能保護網絡的入口,無法動態實時地檢測發生在網絡內部的破壞和攻擊的行為,所以存在很大的局限性。
( 1 )信息保密技術
密碼技術是網絡安全最有效的技術之一, 信息加密過程是由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。它通過信息的變換或編碼,將敏感信息變成難以讀懂的亂碼型信息,以此來保護敏感信息的安全。在多數情況下,信息加密是保證信息機密性的惟一方法。信息加密的主要目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。
網絡加密常用的方法有:鏈路加密、端點加密和節點加密3種。密碼體制主要有分組密碼體制和序列密碼體制。論文參考網。
( 2 ) 信息認證技術
認證技術是網絡安全的一個重要方面,屬于網絡安全的第一道防線。其認證機制是接收者接收信息的同時還要驗證信息是否來自合法的發送者,以及該信息是否被篡改過,計算機系統是基于收到的識別信息識別用戶。認證涉及多個步驟:收集認證信息、安全地傳輸認證信息、確定使用計算機的人(就是發送認證信息的人)。其主要目的是用來防止非授權用戶或進程侵入計算機系統,保護系統和數據的安全
其主要技術手段有:用戶名/密碼方式;智能卡認證方式;動態口令;USB Key認證;生物識別技術。
( 3 ) 訪問控制技術
訪問控制是保證網絡安全最重要的核心策略之一,是一種基于主機的防護技術。訪問控制技術通過控制與檢查進出關鍵服務器中的訪問,保護服務器中的關鍵數據,其利用用戶身份認證功能,資源訪問權限控制功能和審計功能來識別與確認訪問系統的用戶,決定用戶對系統資源的訪問權限,并記錄系統資源被訪問的時間和訪問者信息。其主要目的是保證網絡資源不被非法使用和訪問。
其主要方式有:自主訪問控制、強行訪問控制和信息流控制。
( 4 ) 防火墻技術
防火墻是一種網絡之間的訪問控制機制,它的主要目的是保護內部網絡免受來自外部網絡非授權訪問,保護內部網絡的安全。
其主要機制是在受保護的內部網和不被信任的外部網絡之間設立一個安全屏障,通過監測、限制、更改、抑制通過防火墻的數據流,盡可能地對外部網絡屏蔽內部網絡的信息和結構,防止外部網絡的未授權訪問,實現內部網與外部網的可控性隔離,保護內部網絡的安全。
防火墻的分類主要有:數據包過濾型防火墻、應用層網關型防火墻和狀態檢測型防火墻。
(二)主動防護技術
主動防護技術主要采取技術的手段如入侵取證、網絡陷阱、入侵檢測、自動恢復等,能及時地發現網絡攻擊行為并及時地采取應對措施,如跟蹤和反攻擊、設置網絡陷阱、切斷網絡連接或恢復系統正常工作。實現實時動態地監視網絡狀態,并采取保護措施,以提供對內、外部攻擊和誤操作的實時保護。
( 1 )入侵取證技術
入侵取證技術是指利用計算機軟硬件技術,按照符合法律規范的方式,對計算機網絡入侵、破壞、欺詐、攻擊等犯罪行為進行識別、保存、分析和提交數字證據的過程。
入侵取證的主要目的是對網絡或系統中發生的攻擊過程及攻擊行為進行記錄和分析,并確保記錄信息的真實性與完整性(以滿足電子證據的要求),據此找出入侵者或入侵的機器,并解釋入侵的過程,從而確定責任人,并在必要時,采取法律手段維護自己的利益。
入侵取證技術主要包括:網絡入侵取證技術(網絡入侵證據的識別、獲取、保存、安全傳輸及分析和提交技術等)、現場取證技術(內存快照、現場保存、數據快速拷貝與分析技術等)、磁盤恢復取證技術、數據還原取證技術(對網上傳輸的信息內容,尤其是那些加密數據的獲取與還原技術)、電子郵件調查取證技術及源代碼取證技術等。
( 2 ) 網絡陷阱技術
網絡陷阱技術是一種欺騙技術,網絡安全防御者根據網絡系統中存在的安全弱點,采取適當技術,偽造虛假或設置不重要的信息資源,使入侵者相信網絡系統中上述信息資源具有較高價值,并具有可攻擊、竊取的安全防范漏洞,然后將入侵者引向這些資源。同時,還可獲得攻擊者手法和動機等相關信息。這些信息日后可用來強化現有的安全措施,例如防火墻規則和IDS配置等。
其主要目的是造成敵方的信息誤導、紊亂和恐慌,從而使指揮決策能力喪失和軍事效能降低。論文參考網。靈活的使用網絡陷阱技術可以拖延攻擊者,同時能給防御者提供足夠的信息來了解敵人,將攻擊造成的損失降至最低。
網絡陷阱技術主要包括:偽裝技術(系統偽裝、服務偽裝等)、誘騙技術、引入技術、信息控制技術(防止攻擊者通過陷阱實現跳轉攻擊)、數據捕獲技術(用于獲取并記錄相關攻擊信息)及數據統計和分析技術等。
( 3 ) 入侵檢測技術
入侵檢測的基本原理是從各種各樣的系統和網絡資源中采集信息(系統運行狀態、網絡流經的信息等),對這些信息進行分析和判斷,及時發現入侵和異常的信號,為做出響應贏得寶貴時間,必要時還可直接對攻擊行為做出響應,將攻擊行為帶來的破壞和影響降至最低。它是一種主動的入侵發現機制,能夠彌補防火墻和其他安全產品的不足,為網絡安全提供實時的監控及對入侵采取相應的防護手段,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。入侵檢測系統已經被認為是維護網絡安全的第二道閘門。
其主要目的是動態地檢測網絡系統中發生的攻擊行為或異常行為,及時發現攻擊或異常行為并進行阻斷、記錄、報警等響應,彌補被動防御的不足之處。
入侵檢測技術主要包括:數據收集技術、攻擊檢測技術、響應技術。
( 4 ) 自動恢復技術
任何一個網絡安全防護系統都無法確保萬無一失,所以,在網絡系統被入侵或破壞后,如何盡快恢復就顯得非常關鍵了。這其中的一個關鍵技術就是自動恢復技術,他針對服務器上的關鍵文件和信息進行實時地一致性檢查,一旦發現文件或信息的內容、屬主、時間等被非法修改就及時報警,并在極短的時間內進行恢復。論文參考網。其性能的關鍵是資源占有量、正確性和實時性。
其主要目的是在計算機系統和數據受到攻擊的時候,能夠在極短的時間內恢復系統和數據,保障系統的正常運行和數據的安全。
自動恢復技術主要包括:備份技術、冗余技術、恢復技術、遠程控制技術、文件掃描與一致性檢查技術等。
二、計算機網絡防護過程模型
針對日益嚴重的網絡安全問題和愈來愈突出的安全需求,人們在研究防黑技術的同時,認識到網絡安全防護不是一個靜態過程,而是一個包含多個環節的動態過程,并相應地提出了反映網絡安全防護支柱過程的P2DR模型,其過程模型如圖1所示。
圖1 P2DR模型體系結構圖
其過程如下所述:
1.進行系統安全需求和安全風險分析,確定系統的安全目標,設計相應的安全策略。
2.應根據確定的安全策略,采用相應的網絡安全技術如身份認證技術、訪問控制、網絡技術,選擇符合安全標準和通過安全認證的安全技術和產品,構建系統的安全防線,把好系統的入口。
3.應建立一套網絡案例實時檢測系統,主動、及時地檢測網絡系統的安全漏洞、用戶行為和網絡狀態;當網絡出現漏洞、發現用戶行為或網絡狀態異常時及時報警。
4.當出現報警時應及時分析原因,采取應急響應和處理,如斷開網絡連接,修復漏洞或被破壞的系統。
隨著網絡技術的不斷發展,我們的生活中越來越離不開網絡,然而網絡安全問題也日趨嚴重,做好網絡防護已經是我們所不得不做的事情,只有采取合理有效的網絡防護手段才能保證我們網絡的安全、保證信息的安全,使我們真正能夠用好網絡,使網絡為我們的生活添光添彩。
[論文摘 要]電子商務是新興商務形式,信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題,實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施,完善電子商務發展的內外部環境,促進我國電子商務可持續發展。
隨著網絡的發展,電子商務的迅速崛起,使網絡成為國際競爭的新戰場。然而,由于網絡技術本身的缺陷,使得網絡社會的脆性大大增加,一旦計算機網絡受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構筑安全的電子商務信息環境,愈來愈受到國際社會的高度關注。
一、電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于技術的完善,包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。
1.防火墻技術。防火墻主要是加強網絡之間的訪問控制, 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。
2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據,當需要時可使用不同的密鑰將密文數據還原成明文數據。
3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發送者的公鑰才能解密被加密的摘要。
4.數字時間戳技術。時間戳是一個經加密后形成的憑證文檔,包括需加時間戳的文件的摘要、dts 收到文件的日期與時間和dis 數字簽名,用戶首先將需要加時間的文件用hash編碼加密形成摘要,然后將該摘要發送到dts,dts 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶。
二、電子商務安全防范措施
網絡安全是電子商務的基礎。網絡安全防范技術可以從數據的加密(解密)算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。
1.防火墻技術
用過internet,企業可以從異地取回重要數據,同時又要面對 internet 帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此,企業必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過,而且防火墻本身必須能夠免于滲透。
2. vpn技術
虛擬專用網簡稱vpn,指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網,依靠ips或 nsp在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能,從而實現基于 internet 安全傳輸重要信息的效應。目前vpn 主要采用四項技術來保證安全, 這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。
3.數字簽名技術
為了保證數據和交易的安全、防止欺騙,確認交易雙方的真實身份,電子商務必須采用加密技術。數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者,接收者用發送者的公鑰解開數據后,就可確認消息來自于誰,同時也是對發送者發送的信息真實性的一個證明,發送者對所發信息不可抵賴,從而實現信息的有效性和不可否認性。
三、電子商務的安全認證體系
隨著計算機的發展和社會的進步,通過網絡進行的電子商務活動當今社會越來越頻繁,身份認證是一個不得不解決的重要問題,它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要,它是用戶獲得訪問權限的關鍵步驟。現代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊,包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名。
身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系,最好是惟一對應的。身份認證是安全系統中的第一道關卡。
數字證書是在互聯網通信中標志通信各方身份信息的一系列數據。提供了一種 internet 上驗證用戶身份的方式,其作用類似于司機的駕駛執照或身份證。它是由一個權威機構ca機構,又稱為證書授權(certificate authority)中心發行的,人們可以在網上用它識別彼此的身份。
四、結束語
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
參考文獻:
[1] 勞幗齡.電子商務的安全技術[m].北京:中國水利水電出版社,2005.
[2] 趙泉.網絡安全與電子商務[m].北京:清華大學出版社,2005.
論文關鍵詞:網絡安全技術;防范;教學模式
學習網絡安全技術不僅是為了讓學生掌握網絡安全的理論知識,增強學生的網絡安全意識,提高學生的法律意識和職業素養,更重要的是樹立他們正確的人生觀和價值觀,把他們培養成為高技能的應用型網絡人才。
一、網絡安全的探析
網絡安全是指網絡系統的硬件、軟件和數據受到保護,不因偶然的或惡意的原因遭到破壞、更改和泄露,確保網絡系統正常的工作,網絡服務不中斷,確保網絡系統中流動和保存的數據具有可用性、完整性和保密性。網絡的安全在技術上應綜合考慮到防火墻技術、入侵檢測技術、漏洞掃描技術等多個要素。不斷提高防范病毒的措施,提高系統抵抗黑客入侵的能力,還要提高數據傳輸過程中的保密性,避免遭受非法竊取。因此,對網絡安全問題的研究總是圍繞著信息系統進行的,主要包括以下幾個方面:
(一)internet開放帶來的數據安全問題。伴隨網絡技術的普及,internet所具有的開放性、國際性和自由性以及各方面因素導致的網絡安全問題,對信息安全也提出了更高的要求。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用,但網絡的安全仍然存在很大隱患,主要可歸結為以下幾點:1.就網間安全而言,防火墻可以起到十分有效的安全屏障作用,它可以按照網絡安全的需要設置相關的策略,對于進出網絡的數據包進行嚴密的監視,可以杜絕絕大部分的來自外網的攻擊,但是對于防范內網攻擊,卻難以發揮作用。2.對于針對網絡應用層面的攻擊、以及系統后門而言,其攻擊數據包在端口及協議方面都和非網絡攻擊包十分相似,這些攻擊包可以輕易的通過防火墻的檢測,防火墻對于這類攻擊是難以發現的。3.網絡攻擊是開放性網絡中普遍難以應對的一個問題,網絡中的攻擊手段、方法、工具幾乎每天都在更新,讓網絡用戶難以應對。為修復系統中存在的安全隱患,系統程序員也在有針對性的對系統開發安全補丁,但這些工作往往都是滯后于網絡攻擊,往往是被黑客攻擊后才能發現安全問題。舊的安全問題解決了,新的攻擊問題可能隨時出現。因此,應對開放性網絡中的黑客攻擊是重要的研究課題。
(二)網絡安全不僅僅是對外網,而對內網的安全防護也是不可忽視的。據統計,來自內部的攻擊呈現著極具上升的趨勢。這是因為內網用戶對網絡結構和應用系統更加熟悉。以高校的校園網為例,網絡用戶人數眾多,而學生的好奇心和渴望攻擊成功的心理,使得他們把校園網當作網絡攻擊的試驗場地,且其中不乏計算機應用高手(特別是計算機專業的學生),防火墻對其無法監控,這種來自內部不安全因素對網絡的破壞力往往更大。2008年7月的舊金山的網絡系統內部的侵害事件,2008年6月深圳“泄密門”等網絡內部的安全事件向我們警示著內網安全防范的重要性。
(三)網絡中硬件設備的安全可靠性問題。對計算機網絡而言網絡硬件設備在其中起到了重要的作用。比如:路由器,交換機,以及為網絡用戶提供多種應用服務的服務器等,這些設備的可用性、可靠性,以及設備自身的高安全保護能力都是網絡安全中應該加以研究和認真對待的問題。
二、通過教學研究,提高學生對網絡安全體系的管理與防范
由于網絡技術水平和人為因素,以及計算機硬件的“缺陷”和軟件的“漏洞”的原因,讓我們所依賴的網絡異常脆弱。在教學過程中,我們必須加強對網絡安全體系管理與防范意識的傳授,才能提高學生的管理和防范能力,常用的方法如下:
(一)防火墻是在內外網之間建立的一道牢固的安全屏障,用來加強網絡之間訪問控制,提供信息安全服務,實現網絡和信息安全的網絡互聯設備。能防止不希望的、未授權的信息流出入被保護的網絡,具有較強的抗攻擊能力,是對黑客防范最嚴、安全性較強的一種方式,是保護內部網絡安全的重要措施。防火墻可以控制對特殊站點的訪問,還能防范一些木馬程序,并監視internet安全和預警的端點,從而有效地防止外部入侵者的非法攻擊行為。
(二)入侵檢測是指對入侵行為的發覺。它通過對網絡或計算機系統中的若干關鍵點收集信息,并對其進行分析,從中發現是否有被攻擊的跡象。如果把防火墻比作是網絡門衛的話,入侵檢測系統就是網絡中不間斷的攝像機。在網絡中部署入侵檢測系統可以有效地監控網絡中的惡意攻擊行為。
(三)網絡病毒的防范。對于單獨的計算機而言,可以使用單機版殺毒軟件來應對病毒的問題,由于其各自為政,在應對網絡中的計算機群時,則無法應對網絡病毒的防殺要求,且在升級方面也很難做到協調一致。要有效地防范網絡病毒,應從兩方面著手:一是加強網絡安全意識,有效控制和管理內網與外網之間的數據交換;二是選擇使用網絡版殺毒軟件,定期更新病毒庫,定時查殺病毒,對來歷不明的文件在運行前進行查殺。保障網絡系統時刻處于最佳的防病毒狀態。
(四)對于網絡中的email,web,ftp等典型的應用服務的監控。在這些服務器中應當采用,應用層的內容監控,對于其中的傳輸的內容加以分析,并對其中的不安全因素加以及時發現與處理,比如可以利用垃圾郵件處理系統對email的服務加以實施的監控,該系統能發現其中的不安全的因素,以及垃圾內容并能自動的進行處理,從而可以杜絕掉絕大部分來自郵件的病毒與攻擊。
(五)主動發現系統漏洞是減少網絡攻擊的一個重要手段。在網絡中單靠網絡管理人員人為的去發現并修復漏洞顯然是不夠的。因此主動的分析網絡中的重點安全區域,掌握其主要的安全薄弱環節,利用漏洞掃描系統主動的去發現漏洞是十分總要的一個手段。同時在網絡中配以系統補丁自動更新系統,對于網絡中有類似安全隱患的主機主動的為其打上系統補丁。事實證明上述兩種機制的結合可以有效地減少因為系統漏洞所帶來的問題。
(六)ip地址盜用與基于mac地址攻擊的解決,這個可以在三層交換機或路由器中總將ip和mac地址進行綁定,對于進出網絡設備的數據包進行檢查,如果ip地址與mac地址相匹配則放行,否則將該數據包丟棄。
三、通過教學改革,把學生培養成高技能應用型的網絡人才
網絡安全技術是非常復雜,非常龐大的,對初學者來說,如果直接照本宣科,學生肯定會覺得網絡安全技術太多太深,從而產生畏學情緒。為了提高學生的學習興趣,讓他們更好地掌握網絡安全技術的知識,就要培養學生的創新能力,就必須改革教學方法,經過幾年的教學實踐證明,以下幾種教學方法能彌補傳統教學中的不足。
(一)案例教學法
案例教學法是指在教師的指導下,根據教學目的的要求,通過教學案例,將學習者引入到教學實踐的情景中,教會他們分析問題和解決問題的方法,進而提高他們分析問題和解決問題的能力,從而培養他們的職業能力。我們在教學實踐中深深感受到,在計算機網絡安全技術教學中,引入案例教學,將抽象的、枯燥的網絡安全的理論知識和精湛的、深邃的網絡安全技術涵寓于具體的案例中,打破傳統理論教學中教師要么照本宣科,要么泛泛而談,以至于學生學起來枯燥無味,用起來糊里糊涂的局面,變復雜為簡單,變被動為主動的學習過程,調動了學生的學習積極性,培養了學生的職業能力。在具體案例中,將古城墻的功能和作用與防火墻比較;選擇學生接觸最多的校園網作為典型的案例,向學生系統地講授網絡安全體系結構、安全策略的制定、安全技術的應用、安全工具的部署,以及安全服務防范體系的建立等理論,從而降低網絡安全的復雜度,使學生對網絡安全體系有比較全面、透徹的理解。
(二)多媒體教學法
多媒體教學是指在教學過程中,根據教學目標和教學對象的特點,通過教學設計,合理選擇和運用現代教學媒體,以多媒體信息作用于學生,形成合理的教學過程結構,達到最優化的教學效果。它具有交互性、集成性、可控性等特點。可以把抽象的、難理解的知識點直觀地展示和動態地模擬,充分表達教學內容。例如:pgp技術的操作步驟、防火墻的配置和使用等。通過多媒體教學,邊講邊操作, 做到聲像并行、視聽并行,使學生在有限課堂時間內獲得更多的信息,從而激發了學生的學習興趣,提高了教學效果。
(三)實踐教學
根據高職院校學生的崗位能力和培養目標, 實踐教學是職業技術教育的中重之重。運用學校提供的網絡實驗室和網絡設備,為學生搭建良好的計算機網絡學習平臺,突出實用性,做到“專機專用”。例如,將3臺計算機搭建一個小型局域網,安裝微軟網絡監視器,使用網絡監視器來嗅探ftp會話,解釋捕獲的數據,確定使用的用戶名和口令。從抽象的概念上升到理性的認識,使學生真正體會到網絡安全的重要性。為了使學生全面了解計算機網絡,可帶領學生到電信公司或網絡公司進行參觀學習和實訓,培養學生的崗位技能和工程意識。
論文摘要:隨著計算機技術的飛速發展,網絡體系已成為社會發展的重要保障,隨之而來的網絡安全問題日趨嚴峻。本文全面分析了威脅網絡安全的因素,從而提出提高網絡安全相關措施,以確保網絡安全有效運行。
隨著計算機科學技術和網絡技術的飛速發展,網絡體系日漸強大,對社會發展起到了重要的作用。由于計算機網絡具有互通性、獨立性和廣泛性的特點,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的潛在威脅,黑客攻擊、病毒擴散、網絡犯罪的數量迅速增長,網絡的安全問題日趨嚴峻。因此,如何提高網絡安全,確保網絡安全有效運行,已成為目前迫切需要解決的問題。
1計算機網絡安全的重要性分析
網絡安全是一門涉及計算機科學、網絡技術、通訊技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。在信息化飛速發展的今天,計算機網絡得到了廣泛應用,但計算機用戶上網的數據也遭到了不同程度的攻擊和破壞。在我國,每年針對銀行、證券等金融領域的計算機系統的安全題目所造成的經濟損失金額已高達數億元,針對其他行業的網絡安全威脅也時有發生。可見,無論是有意的攻擊,還是無意的誤操縱,其產生的安全問題都將會給計算機用戶帶來不可估量的損失。所以計算機網絡必須有足夠強的安全措施,以確保網絡信息的保密性,完整性和可用性。
2 網絡安全現狀及面臨的威脅
2.1網絡安全現狀
網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學等多種學科的綜合性學科。它主要是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不中斷。我國網絡安全現狀不容樂觀,主要有:信息和網絡的安全防護能力差;網絡安全人才短缺;全社會的信息安全意識淡薄。
2.2計算機網絡安全面臨的威脅
網絡安全威脅既有信息威脅又有設備威脅,包括以下:一是人不經意的失誤。二是惡意的人為攻擊。三是網絡軟件的漏洞和“后門”。基本上每款軟件多少都會存在漏洞,大多網絡入侵事件都是由于沒有完善的安全防范措施,系統漏洞修補不及時等給黑客以攻擊目標。
黑客入侵通常扮演者以下角色: 一是政治工具;二是戰爭的應用;三是入侵金融、商業系統,盜取商業信息;四是侵入他人的系統,獲取他人個人隱私,便于進行敲詐、勒索或損害他人的名譽. 通過上述事件可以看出,網絡安全影響著國家的政治、軍事、經濟及文化的發展,同時也影響國際局勢的變化和發展。
3計算機網絡受攻擊的主要形式
計算機網絡被攻擊,主要有六種形式: 一是企業內部員工有意無意的竊密和網絡系統的破壞; 二是截收重要信息;三是非法訪問; 四是利用TCP/IP協議上的某些不安全因素; 五是病毒破壞; 六是其它類型的網絡攻擊方式。
4加強計算機網絡安全的防范對策
4.1加強內部監管力度
加強內部針對計算機網絡的監管力度,主要分為兩個方面: 一是硬件設備監管加強硬件設施的監管力度,做好硬件設備的備案、治理,包括主機、光纜、交換機、路由器,甚至光盤、軟盤等硬件設施,可以有效預防因硬件設施的破壞對計算機和網絡造成的損害; 二是局域網的監控網絡監視的執行者通稱為“網管”,主要是對整個網絡的運行進行動態地監視并及時處理各種事件。通過網絡監視可以簡單明了地找出并解決網絡上的安全題目,如定位網絡故障點,捉住IP盜用者,控制網絡訪問范圍等。
4.2配置防火墻
網絡防火墻技術的作為內部網絡與外部網絡之間的第一道安全屏障,是最先受人們重視的網絡安全技術。防火墻產品最難評估的是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部進侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判定,即使安裝好了防火墻,假如沒有實際的外部進侵,也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的,所以用戶在選擇防火墻產品時,應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。
4.3網絡病毒的防范
在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,因此,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統的配置,定期或不定期地自動升級,最大程度上使網絡免受病毒的侵襲。對于已感染病毒的計算機采取更換病毒防護軟件,斷網等技術措施,及時安裝針對性的殺毒軟件清理病毒,以保證系統的正常運行。
4.4系統漏洞修補
Windows操縱系統自以后,基本每月微軟都會安全更新和重要更新的補丁,已經的補丁修補了很多高風險的漏洞,一臺未及時更新補丁的計算機在一定程度上可以說是基本不設防的,因此建立補丁治理系統并分發補丁是非常重要的安全措施,可以對系統軟件進行修補從而最大限度減少漏洞,降低了病毒利用漏洞的可能,減少安全隱患。
4.5使用進侵檢測系統
進侵檢測技術是網絡安全研究的一個熱門,是一種積極主動的安全防護技術,提供了對內部進侵、外部進侵和誤操縱的實時保護。進侵檢測系統(Instusion Detection System,簡稱IDS)是進行進侵檢測的軟件與硬件的組合,其主要功能是檢測,除此之外還有檢測部分阻止不了的進侵;檢測進侵的前兆,從而加以處理,如阻止、封閉等;進侵事件的回檔,從而提供法律依據;網絡遭受威脅程度的評估和進侵事件的恢復等功能。采用進侵檢測系統,能夠在網絡系統受到危害之前攔截相應進侵,對主機和網絡進行監測和預警,進一步進步網絡防御外來攻擊的能力。
4.6加強網絡安全教育和管理
結合機房對員工進行、硬件、軟件和網絡數據等安全問題教育,加強對員工進行業務和技能方面的培訓,提高他的安全意識;避免發生人為事故,傳輸線路的過程中,要保證傳輸線路安全,要設置露天保護措施或埋于地下,和輻射源保持一定的距離,盡量減少各種輻射導致的數據錯誤;應當盡可能使用光纖鋪設線纜,減少輻射引起的干擾,定期檢查連接情況,檢查是否非法外連或破壞行為。 總之,網絡安全是一個系統化的工程,不能單獨的依靠防火墻等單個系統,而需要仔細且全面的考慮系統的安全需求,并將各種安全技術結合在一起,才能天生一個高效、通用、安全的網絡系統。
結語
計算機技術和網絡技術的飛速發展和廣泛應用,開創了計算機應用的新局面,對社會發展起到了重要的作用。與此同時,其互通性和廣泛性的特點也導致了網絡環境下的計算機系統存在諸多安全問題,并且愈演愈烈。為了解決這些安全問題,我們必須加強計算機的安全防護,提高網絡安全,以保障網絡安全有效運行,更好的為社會和人民服務。
參考文獻
[1]楚狂等.網絡安全與防火墻技術[M].北京:人民郵電出版社,2000.
[2]張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003.
[3]香方桂.軟件加密解密技術及應用[M].長沙:中南工業大學出版社,2004.
