发布时间:2022-09-12 19:41:08
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的信息安全总结样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
一、 自查工作的组织开展情况
根据济南市办关于开展网络信息安全考核的通知精神,我单位积极组织落实,对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查,对我单位的网络信息安全建设进行了深刻的剖析。
学校信息化建设基本情况
莱芜区雪野街道办事处中心小学,座落在美丽的雪野旅风景区。历经13年合并西峪河南小学、大厂小学、北栾宫小学、南栾宫小学组建新的中心小学。学校现辐射省扶贫村庄5个,涉及扶贫学生人数:125人 ,占比:27%。目前,在校学生 634名;43名教师都具备大专及以上学历。多年来,在上级部门的扶贫支持下,我校信息化建设有了飞跃提升,学校拥有2个50座网络计算机教室, 45台教师用计算机,50套教师用智能平板,180套学生用智能平板(配备了4个教学班),并且实现了智能平板与智能黑板的无线连接。6台办公用机,生机比为11:1,师机比达到1:1。学校有20套多媒体电子白板设备,15台智慧教室互动黑板,普通教室、学科专用教室、会议室均配备了现代化多媒体教学设备。学校建高标准录播室1个,录播系统功能完善。互联网100MB光纤接入,教学办公实现了自动化、网络化、信息化。学校建设了宽带数字化校园网络、学校网站、智能广播系统、监控系统、视频会议系统。
学校有各种教学光盘超过150GB,有教师自制课件光盘15GB,学校信息网拥有各学科教学资源超过100GB,教师在学校网站上可自己的博客,实现与校内外教师的交流与学习。
为推动学校课堂教学改革深化发展,全面提升课堂教学质量,打造精品课程,促进教师成长,我校于2014年2月建立了电子录课教室。录课室采用一机双模录播设备,既支持全自动录制方式,也支持半自动和手动人工导方式。录课室在天花板上分别设有6个声音采集器。录课室投入使用后,因为其具有抗干扰,使用方便,跟踪切换灵活的特点,一直受到老师们的青睐。录课室实现了同步录制、实时直播、在线点播、自动跟踪、多方交互、后期编辑等多种功能于一身,它让在录课室外看课的教师随机点评无拘束,也让室内上课的教师和学生积极投入无负担。在历年度的“一师一优课一课一名师”活动中,我校所有教师的课都是在录课室进行录制的。效果非常好,几位教师的课也脱颖而出。录课室的使用也提高了教师的信息技术水平。
在这些先进设备的使用中,智慧黑板、电子白板设备的使用,得到了最大化的运用,这也大大提高了教师的教育教学能力及教学效果,学生学习积极性也得到提高,接受知识的方法正逐步向多元化发展。
学校现配有1名专职信息技术教师,信息化设备使用率高,设备完好率达到95%以上.
信息化“三通”建设情况
1.微机室更新建设
2013年11月,政府投入扶贫资金 40万元,为我校配备当时新款联想台式机的微机室。全新的微机室配备50台学生机,1 台教师机,架构了100兆网络。2018年合并几处小学,组建了学校的电子阅览室,配备50台学生机,1 台教师机,架构了100兆网络。
2.“班班通”工程建设
2013年11月,为实施“班班通”工程建设,政府投入扶贫专项资金40万元,为 20个教学班全部配齐校园网终端计算机,配置了20块交互式电子白板配置EPSON D290教育用液晶投影仪。2016年在新教学楼启用之前投资148万元用于内部配套,购进15套智能黑板。在教学和学习中学空间、用空间,发挥教育信息化的强大功能,进一步提升了信息技术与课程融合的深度和广度,助力全校智慧教育快速发展。
3.“校校通”工程建设
我校现已经安装100兆带宽联通公司光纤设备与外网相连,实现了校园网与雪野教育系统局域网、互联网的连接。与上级主管部门、兄弟学校之间构成了“校校通”。时时网上接收通知,网络报送。节省了时间,提高了办事速度效率和准确率。
4.“人人通”工程建设
学校就强化网络安全和做好教育信息化工作的重要意义提出了明确要求,通过校本培训,老师们就空间基础架构、各大板块功能、后台数据搭建、资源建设应用等与学生进行了认真学习,并在开通和应用方面的操作技能也得到提高。广大教师和学生开通空间,充分感受利用空间开展教学、学习和互通交流带来的便利。
二、 网络安全等级保护工作开展情况
学校的网络未开展网络安全等级认定工作。但成立中心小学网络安全领导小组,成立由校长任组长,安全委员任副组长,班主任任安全员的领导机构。
三、关键信息基础设施安全保护工作开展情况
学校已经制定安全建设整改方案,对关键信息基础设施进行了防护,保证每一台电脑自带防护措施。关键网站,密码由专人管理。网站关键信息基础设施已加软件防护。
四、网络与信息安全信息通报工作开展情况
已就网络与信息安全信息通报工作开通了网络安全事件预警机制,做到了人尽其责,形成了机制。
五、网络安全防护类平台建设工作开展情况
学校就网络安全防护类制度已全部制定。形成人人有责,人人有任。制定了微机室、电子阅览室制度、网络运行运维制度。形成的制度规范成体系。
六、当前网络安全方面存在的突出问题
1、学校各类人员就网络安全意识还有欠缺。
2、设备防护缺乏专业化的指导,各种防护知识有欠缺。
七、下一步网络安全工作计划
1、加强信息化安全意识培训与提醒。
继县教育局xx月xx日召开全县教育系统安全工作业务培训会和xx月xx日召开教育系统五大重点领域安全专项整治行动推进会后,xx学区全体干部、学校领导和师生同心协力,狠抓整改,强化督查,落实责任,取得了一定成效,现将有关工作报告如下。
一、明确职责,制定学区百日安全整治活动行事历
xx月xx日,我赴xx学区参加安全综合整治工作专题动员会,会上强调三点意见:一要召开学校领导班子会议,传达县教育局安全工作会议精神,深刻领会“党政同责,一岗双责,齐抓共管”的新常态下责任体系要求,调整并完善学校安全工作领导小组名单,明确学校党政主要负责人均为安全生产第一责任人,校长为总责任人,其他负责人对分管领域的安全工作负直接监管责任。二要建立学校安全工作网格化责任制度,校级领导安全网格为校长为安全生产总负责人(明确校长、书记均为第一责任人),分管学校安全工作的副校长为分管领导,对学校安全工作负直接领导责任,各条线分管领导为安全监督管理领导。中层干部安全网格为各处室主任、副主任包括工会主席,团委书记,妇委会主任,少先大队辅导员等。三要根据“党政同责,一岗双责,齐抓共管”的责任体系要求和“管行业必须管安全,管业务必须管安全,管生产经营必须管安全”的原则,落实“谁主管、谁负责,谁审批、谁负责,谁检查、谁负责”的安全工作责任。会上,我还要求各级各类学校对校园安全工作进行认真自查,要求学区组织力量对校园周边环境、非法办学机构等进行全面排摸,同时将自查和排摸情况进行汇总并及时上报局安全科。
xx月xx日,根据上级有关安全工作会议和安全专项整治的文件精神要求,xx学区结合本学区安全工作实际,再次召开了学区干部安全工作会议,研讨、部署下阶段安全整治重点工作,并于5月22日印发了《xx学区教育系统五大重点领域百日安全整治活动行事历》,学区网格化责任人分工负责,明确任务,再次对校园周边环境、非法办学机构等进行摸底调查,决定对8家非法办学机构中的3家将予以重点打击,力保彻底消除xx学区教育系统安全隐患。
二、部门联动,安全隐患整治行动再发力
xx月xx日,我率局有关科室和学区负责人跟xx镇分管教育副镇长庄xx一起商讨学校安全“五大领域”综合整治方案。6月4日,xx学区再次联合派出所、城管、交警、安监、消防、卫生、市场监管等部门开展学校周边环境专项整治行动。本次行动重点针对非法办学机构及校园周边无证无照摊点、交通秩序、环境卫生等进行了集中大整治。
xx月xx日下午3时,在xx镇副镇长庄xx牵头下,在xx学区三楼会议室召开了联合整治行动协调会,我率局学生科、安全科和审批科负责同志参与了联合整治行动。随后,在庄副镇长带领下,联合整治小组一行30多人先后来到xx三小、xx高中,对其校园周边无证摊点进行查处、对有证饮食店进行随机抽查、对道路乱停车辆进行清理、对学校附近道路的减速带设置位置进行实地考察、对龙金大道与球新路口红绿灯运行时间进行现场测试,给xx三小、xx高中校园周边环境整治带来了福音。之后又先后来到了xx镇兴华街、东风街、镇中路现场查封了5家非法办学机构,责令停办2家,并责令他们将学生安全护送回家。
特写镜头回放:下午4时40分,县实验二小对面的浙鳌教育培训中心发现检查组来了,随即关掉铝合金门以拒绝检查,我们让城管切割其大门上的广告牌。然后联合整治小组一行转移地点去附近的必胜家教培训中心检查,逮了个正着,房子内有20多位孩子在不同房间里自学。该中心租用了一间上世纪80年代末90年代初的五层通天民房,破旧木制楼梯偏陡且护栏高度偏低,每间单门房间作为一间教室且窗户护栏高度偏低,房间内电线老化且电源插座口有短路痕迹,且有部分师生吃住在这里,存在严重的消防安全和饮食安全隐患。据现场检查发现房屋内三层楼以上房间东西堆放紊乱,一旦发生火灾,后果不堪设想。于是,我们联系社区驻点干部、房东一起到现场研究整改措施,向房东提出及时收回出租房并退还部分租金的要求。联合整治小组一边切割广告牌,一边督促其通知家长领回孩子,并告知家长该培训机构为非法办学机构,存在严重的安全隐患,请家长不要把孩子送来培训,同时责令该培训机构负责人立即停办。下午5时半,我们又打回马枪来到了浙鳌教育培训中心,此时也正逮了个正着,大门已打开,一位男性教师正在和一初中男生一对一辅导。当记者向男性教师了解时,他说自己不是该中心的负责人,只是一位普通辅导教师。后经进一步调查,该男性教师就是该中心的负责人,现场有近30名孩子将参加晚上集中辅导,且有部分学生吃住在这里。经检查,该中心存在的运作方式及存在的安全隐患跟必胜家教培训中心基本相似。刚开始,该中心负责人对联合整治小组的询问有些不耐烦,甚至有强烈的抵触情绪。后来,在我们的耐心说教下,他们开始认识到安全问题和非法办学的严重性,并主动通知家长领回孩子,我们也等到所有家长将孩子领回后,于晚上6时半才离开xx各自回家。
xx月xx日上午,xx学区联合派出所对xx月xx日查处的5家非法培训机构的教室大门张贴了封条,并将联合执法情况在xx镇电视台、xx学区微信群内及时进行宣传报道。6月8日至9日,为巩固打击非法办学行为效果,xx镇政府、xx学区、xx派出所组织精干人员进行巡查,新发现了两家非法办学机构,并对其发放告知书,责令停办,对拒不整改的名师教育培训机构负责人程敏进行了拘留,起到了强烈的震慑作用。xx月xx日,xx镇牵头,联合教育、交警、安监、卫生、市场监管等部门还组织有关人员对xx高中周边道路交通安全、食品卫生安全等进行检查,以确保中考能够顺利举行。截至目前,xx学区10家非法办学机构已全部停办,学区还帮助其讨回部分租金。
三、因地制宜,开展中小学生防溺水知识讲座
每年暑假是青少年溺水事件发生的高峰期,为让中小学生能够更多地了解自护自救知识,防止溺水事故发生,自xx月xx日至xx月xx日期间xx学区聘请xx海川应急救援队指导员、温州市防溺水安全宣传讲师、国家级游泳教练陈培声,志愿为初中七年级、小学高年级学生作防溺水知识讲座。活动中志愿者结合PPT生动讲授溺水救护办法,并现场模拟演练场景互动,大力宣传防溺水安全知识,向孩子们讲解了游泳和预防溺水的基础知识,以及救助溺水者的注意事项,教育和警示孩子们珍惜生命,提高防溺水事故安全意识。
四、严格管理,认真开展安全网格化责任督查活动
继xx月xx日学区组织五大重点领域检查中发现的安全隐患,根据安全网格化责任,将各单位存在的安全隐患进行登记,建立“xx学区安全网格化责任制督查记录表”,明确任务,责任到人,并建立好相关安全综合整治工作台账。xx月xx日至今,网格化责任人定期、不定期地对责任单位进行安全督查、临时抽查和随机回访,同时也发现了新的安全隐患,并责令有关单位做好限期整改工作。
五、主要问题与安全隐患
1.中小学:(1)学校周边仍有部分无证无照经营摊点和小食品流动摊点;(2)学生心理健康档案不健全;(3)xx一中北校简易房已超过使用期,沉降、开裂严重,已多次报告上级有关部门并要求鉴定。
2.幼儿园、托儿所:(1)厨房工作人员穿戴不规范,食品索证不及时,大部分厨房无监控;(2)大部分无专职保安;(3)环球幼儿园电子眼未拆迁至新园,台谊、百灵幼儿园交通警示标志无设置;(4)部分幼儿园周边还有流动摊点。
3.培训机构:(1)校内无安全教育宣传内容;(2)学生接送责任制和学生心理健康档案未建立;(3)艺苗艺术培训学校单楼梯,小红帽培训学校消防通道不规范,地处球山脚下并紧挨球山有安全隐患。
六、下一步工作设想
1.加强对当前安全形势的紧迫性的认识。学区主任要借助全县安全百日清剿活动之力,进一步做好安全网格化责任制的督查工作,树立“安全专项整治工作永远在路上”的意识,切实把日常安全监管工作常态化,杜绝校园及周边环境安全排查工作走过场的做法。
2.学区网格员要加强督查工作,限期限时消除安全隐患。根据学区排查的安全隐患内容和学区发放的整改通知书的时间,各网格员要根据自己所联系的学校、幼儿园、托儿所、办学机构,督促其在规定时间内做好整改工作,并敦促学校将自己不能排除的隐患,及时上报xx镇政府、县教育局等有关部门请求协助解决。
3.通过加强宣传报道,采取疏堵结合的办法,引导举办者走合法办学之路。目前,尽管10家非法培训机构已关停,但仍要保持高压态势,加大宣传力度,继续做好排查工作,一旦发现非法办学机构,立即下发行政处罚告知书,既防止已被关停的非法培训机构死灰复燃,又要做到发现一家取缔一家,不留死角。
4.针对校园周边存在的流动摊点、乱停车现象,各学校、幼儿园等要教育学生注意养成良好的安全饮食习惯,对学生加强道路交通安全的宣传教育。如果校园周边安全环境恶化,要及时向学区网格员联系,请求镇政府、教育局等联合开展有关专项安全隐患治理活动。
一、2019年工作总结
近年来,在互联网内容不断革新的新形势下,网络安全委员会始终认真贯彻落实各项法律法规的相关要求,结合实际情况,不断完善网络安全工作机制,提高基础管理和专业队伍技能水平,同时积极开展网络安全知识技能宣传和普及,努力提高安全管控能力,切实保障绿色、健康的互联网接入环境。现将2019年重点工作汇总如下:
1. 强化组织建设,坚决打击违规网站及违法犯罪行为
过去的一年,网络安全工作委员会带头强化自身组织建设,完善内部管理制度与规范;对有关单位接入网站的备案信息积极核查,紧紧围绕违法犯罪内容进行监督管理,及时接收并处理违法和不良信息举报,并积极协助执法机关对涉案网站调查取证。2019年全年,清理违规网站16083个,涉及链接2946013条,协助执法单位调查取证79起,有效处理不良信息举报7965个。
2. 积极参与2019河南省互联网大会、网络安全竞赛等活动
为加快科技创新,发展数字经济,助推实体经济与传统产业数字化转型,聚焦大数据时代网络安全、为互联网发展保驾护航,网络安全工作委员会积极参加2019河南省第六届互联网大会,并在主管部门领导的支持下参与承办了“安全护航 数创未来”分会;分会场上特邀中国科学院计算技术研究所大数据研究院院长王元卓、北京赛博英杰科技有限公司创始人兼董事长谭晓生、沃通电子认证服务有限公司 CTO王高华、阿里云华中大区安全总监马睿博、百度安全总经理马杰、中国网络空间安全协会副理事长杜跃进等网络安全领域专家及学者,分别作《大数据驱动数字经济》、《智能化安全运营,护航数字化未来》《解读<密码法>,数据加密保护是重点》《构安全生态,建AI未来》《云安全应用的新实践》《大安全亟待升级》等主题演讲,深度探讨以云计算、大数据、人工智能、5G等新一代信息技术为核心,以新时期网络安全为基石,助力企业数字化转型,构建并全力护航数字经济时代。
除此之外,网络安全委员会始终重视并坚持培养技术人才,2019年7月积极参加主管部门组织的网络安全竞赛,并积极为赛场提供场地、设备及网络环境等,以确保比赛的顺利进行。
3. 全力保障国家重要会议和活动安保工作
网络安全工作委员会积极开展安全教育学习工作,组织相关单位学习安全相关的法律法规,并开展考核。在2019年民族运动会和70周年大庆安保期间,及时将安保工作的目的、要求和内容传达到相关负责人,以确保安保工作的落地与执行。除此之外,安保期间相关企业单位专设专人值班,实行7*24工作制度,并适时信息安全安保工作的通知,设置紧急信息接收、反馈与处理通道,第一时间接收上级主管单位的指令、处理并反馈;全力完成重点阶段的安全保障工作。
二、目前存在的问题和建议
网民的网络安全技能仍需提高
自《网络安全法》普及以来,明显感觉到网民的网络安全意识有了显著提升,但是有些用户虽重视,但苦于未配置技术人员或技术人员能力达不到要求,导致即使知道网站存在安全隐患也不能及时得到解决。希望主管部门在宣传安全意识的基础上,增加一些基础安全防范技能方面的内容。
三、2020年工作设想
当下,随着《网络安全法》的普及,网民对打击网络有害信息和不法行为的呼声更为强烈,尤其是数据泄露、钓鱼网站等诈骗事件的频发,维护网络安全已是迫在眉睫、刻不容缓。基于此,2020年将从以下几个方面开展网络安全工作:
1. 做好自我规范,加强组织沟通
委员会将继续完善组织建设,通过组织会议、行业沙龙等形式为会员单位创造更多的交流机会,集中发挥各会员单位的优势,共同促进我省互联网行业健康,共同参与维护我省网络安全。除此之外,委员会始终坚持“坚决打击违规网站及违法犯罪行为”的决心,联合各成员单位,对发现可疑线索及时上报主管部门,并积极协助其锁定证据。
2. 坚持投入,大力培养技术人才
2020年委员会将继续强化网络安全队伍建设,完善网络与信息安全专业的学习、培训及考核平台;并积极组织相关单位参加各项网络安全技能大赛,切实提升网络安全保障能力和水平。
3. 做好重要时期的网络安全保障工作
2020年,国家网络安全宣传周将在郑州举办,网络安全工作委员会将全力领导各相关单位各尽其责,充分发挥“警务室”等机构在政企间的桥梁作用,共同为该活动做好准备工作,。
最后,委员会将牢记宗旨,通过组织网络安全培训、竞赛、行业会议及专项安保等多种工作方式,积极推进网络安全工作的顺利进行;加快科技创新,助推实体经济与传统产业数字化转型,争取在2020年将我省网络与信息安全工作再上一个新的台阶。
中图分类号:G642
信息技术是一个具有跨学科特性的学科,几乎所有的科学领域、技术领域、应用领域都可以和信息技术嫁接产生新的价值。在信息技术领域中,信息安全技术也具有这样的特点,安全几乎可以和信息技术的所有领域产生化学反应,如网络技术对应网络安全、操作系统存在主机安全、电子商务存在交易安全等。因此,在信息安全专业教学时,我们采用“跨学科思路”来设计信息安全的教学体系。
1 何謂“跨学科思路”?
所謂跨学科思路就是时刻考虑本学科与其他学科的跨接(跨界)。当然,这种跨接不是凌乱的,可以参考以下几个原则:
1)本学科要有贯彻始终的主线。
主线就是本学科的一些根本原理、基本原则、基础方法、核心技术、关键目标等等。把握主线能使我们达到跨而不离的效果。
2)掌握跨学科的规律。
通过研究本学科与其他几个关键学科的跨接模式,总结和提炼出跨学科的规律。从某种程度讲,这就是主线的具体印证,通过把握各种跨接规律,达到博而不散的效果。
3)要做到“既可上天,也可入地”。
跨学科常常会把理论性、抽象性、形式化的方法与实际应用、操作技能连接起来。这种上下兼顾的安排,能产生高而不虚、深而不呆的效果。
4)要包容一些自由的跨接。
跨学科是非常有活力的,时常展现出思维的跳跃和灵感,这些都是跨学科的特征所决定的。我们要刻意培养和包容这样奇特的跳跃,即使有些跳跃不合常理。因此,笔者常常把信息安金、身体安全(健康)、企业安全(企业的良性管理和治理)等进行比较研究。
笔者从跨学科思路的前三个特性(主线、跨接规律和理论实践),分析信息安全学科的跨学科思路教学。跨学科思路的第四特性,如果要引入到本科教学中目前还很不成熟,有相当的难度,故暂不探讨。
2 信息安全的学科主线——信息安全思维
笔者常说:“安全没有技术”。这是一个极端的比喻,意思是安全总是依附于其他学科和技术。安全表达的就是一种思想、一种思维方式。我们谈到的安全思维通常包括:
1)安全三要素。
一般技术门类常常涉及两个方面:需求和需求被满足。安全区别于一般技术种类的一个关键特性是:安全涉及资产、威胁和安全措施三方面,多了一个不受控制的“威胁”一方,从而形成了三方博弈关系。所以,单独谈安全措施是没有意义的,必须要谈这个安全措施是保护什么资产和业务,对抗什么样的威胁和危害。威胁是资产的函数,安全措施是威胁的函数。安全三要素思维其实充分体现了安全的依附性。
教学活动要让学生清楚地意识到,谈网络安全要先谈网络;谈云计算安全要先清楚什么是云计算;谈防守前先明白如何攻击。这样,那些网络、操作系统、程序设计等基础课程与信息安全专业方向的关系就清楚了,学习过程就会更有针对性。
2)安全是有立场的。
安全是有立场的,是一个多方关系的交互博弈。我的安全不意味着你的安全;他的不安全问题,可能正是我期望的。这种博弈关系可能是对抗、合作或支持。在教学活动中,要让学生感受到对抗的魅力。没有掌握对抗和攻防,信息安全就等于白学了。这种对抗的感觉是在演练实操中获得,甚至还可以在更高级的战略对抗中体会。
3)不同模式的安全手段。
笔者最近常常把信息安全的手段分成三类:基于密码技术的认证加密类、基于攻防技术的检测响应处置类、基于风险管理思想的体系化方法类。教学活动要覆盖这些安全方法,让学生对于安全有比较全面的认识,从而在今后的工作和研究中具有更好的适应性。
4)时空观念。
信息技术本身具有很强时空感,信息安全则更突出地体现了这种时空观念。典型的空间就是网络的分布和系统的层次,典型的时间就是对象的生命周期以及时序的流转。
在教学活动中,对于时空感的建立可以通过用例(Use-Case)来体现,这是借鉴敏捷软件开发中的用例思想。从安全三要素(资产、威胁、措施)出发,分析业务用例、威胁危害场景,最终搞清楚安全措施用例的实际作用。
5)知识价值。
信息安全是一个对于知识具有极高依赖度的领域。学生在实施攻击时,需要了解被攻击对象的系统形态、时空模式、漏洞、防御方式等;在进行防御时,也需要了解被保护对象,了解潜在攻击者的攻击企图、手法、弱点等;还要了解过往的战例。同时,教师要在不同的教学阶段,提炼出关键的知识聚集点,使学生了解安全的核心价值到底在何处。
安全思维丰富多彩,上面谈到的是一些典型的思维线索,通过这些线索,不管信息安全如何跨接到其他学科和技术领域,其主线都是围绕安全展开的。
3 掌握信息安全的跨学科规律
在信息安全领域中,跨接其他技术领域最主要的载体和技术形态就是“基于攻防技术的检测响应处置”。
1)跨接操作系统。
黑客攻防是信息安全中非常引人注目的话题,攻防所围绕的核心常常就是各种操作系统(如Windows、Linux、iOS、Android等)。要想研究高级攻防技术,就要对操作系统的底层有深刻的了解,包括内存分配、系统调用、设备驱动等。如Windows8操作系统就对内存地址分配增加了很多随机因素,用来对抗漏洞挖掘者对于程序区和数据区的猜测和碰撞。
在教学中,通过解释攻防博弈中操作系统关键技术的演变,可以帮助学生更深刻地理解操作系统,如Windows产品系统的内存管理变迁就是很好的教学例子。
2)跨接网络。
网络是攻防环境中的基本空间架构,所有的攻击都要通过网络来完成。在一般教学中,我们学到的是网络的基本知识,而实际应用环境中的网络已经大大超越了我们的课本,而从攻防的角度来认识各种新网络形态,是一个非常快捷的学习模式。
3)跨接程序设计。
所有的系统和应用都是通过程序实现的。程序设计是所有计算机相关专业的必备基础知识,对于程序设计能力的积累厚度,决定了一个人未来可能达到的技术高度。从安全的角度看,稍大些的系统都会有漏洞。这些漏洞有些是作为后门藏进去的,而更多的是程序编写的疏漏导致的Bug。程序员在未来的程序开发活动中,必须具备安全开发生命周期(Security Development Life-Cycle)的知识和能力。
在程序设计教学中,通过对“什么是好的安全的程序”的探讨,可以让学生更全面地掌握程序设计语言和方法,而且对于程序安全的审视也是串联各种程序语言的线索。
4 上可务虚、下可务实
信息安全是一个上可通天、下可入地的技术。在教学活动中,这两方面都不可偏废。
1)信息安全的理念修炼。
信息安全就其本身特点来说,既有很强的技术性,还有很高的哲学性。要想搞好一个实际有效的安全体系,需要很多辩证的思想、战略的意识、管理的方法、人性的把握等。修炼信息安全的理念境界不能仅靠教学,教学活动只是起一个头,创造一些修炼的环境,如在教学中,系统性地进行产业观察和讨论,对于学习非常有益。同时还要融入其他活动,如对于国际信息安全标准的研读和讨论,特别是ISO 27000系列标准,能够让我们很好地把管理的视角融合进来。
2)信息安全的实操演练。
信息安全的实操演练包括两个方面:攻防操练和工程实践。
在攻防教学中,模拟环境要提供接近实战的攻防训练:攻击方能够切身感受攻击的整个过程,特别是感受攻击所带来的成就;防御方要能够感到对抗过程中被攻击的紧张和不确定性,特别是感受到遭到损失时的挫败感。
工程教学要提供机会给学生去设计比较完备的防御体系,并且能够以沙盘方式操演防御体系的建立过程。信息安全是一个工程性很强的技术门类,必须培养学生出色的工程思维。
3)能力频谱模式。
个人能力完全覆盖信息安全各种向外跨接领域,上可务虚、下可务实,站起来可以演讲、蹲下来可以调设备……这样的全才虽然不现实,但信息安全领域的内容确实如此丰富,培养出来的人才绝对不是一个模子铸出来的。优秀的信息安全人才,应当按照频谱模式来培养和评价,如图1所示。
只要培养出来的每位学生,能够在各个频段都有一些能力,而且在1~2个频段有较突出的能力,就是一个非常出色的信息安全人才了。实施这种频谱模式需要培养目标、教育方式和评价机制相配合。
5 信息安全的德行教育
关键词:基层银行;信息系统安全;规划设计;实施
中图分类号:TP311.52
1 基层银行的信息系统遇到的主要安全威胁
由于银行的信息系统建设一直在不断地向纵深处发展,银行已经全面地进入了其业务的系统整合与数据集中的全新发展阶段。这种集约化经营数据不断集中的趋势,从一方面来讲是适应银行业务不断发展的要求,但是从另一方面来讲,却使银行信息系统的安全风险也集中起来,增加了安全的隐患。具体来讲基层银行信息系统的安全隐患主要包括互联网风险和外部机构风险以及不信任网络风险和结构内部风险,同时还包括灾难性的风险等五种安全隐患。
2 基层银行的信息系统安全规划设计与实施的主要原则和等级划分
2.1 基层银行的信息系统安全规划设计与实施的主要原则
银行的信息系统安全是一个涉及到规划与管理以及技术等很多因素的具有系统性的工程,其属于一种不断持续发展和动态发展的进程。对于基层银行的信息系统安全规划设计与实施来说。技术是实现安全保障的主体性因素,而管理是具备安全保障的灵魂性因素。在安全规划与设计中,只有把具有科学性与合理性的管理贯彻落实在信息安全的维护之中,才能够实现网络安全在稳定性与长期性方面的保证。而银行信息系统安全的具体原则主要包括了明确责任与安全保护并举,依照标准和自行保护同时进行,同步建设与动态调整相互促进,指导监督和重点保护齐头并进四条原则。
2.2 关于基层银行的信息系统安全等级的介绍
银行信息系统的安全等级具体指的是对于国家级别的秘密信息和法人以及替他组织和公民专有的信息与公开的信息,同时还包括存储和传输以及处理此类信息涉及到的信息系统的等级,对这些等级实施安全保护,对信息系统里面使用到的信息安全类产品进行一定安全等级的管理,对于信息系统里面出现的信息安全类事件需要分等级地进行回应和处置。依据信息系统和信息对于国家的安全和经济建设以及社会生活所起作用的重要性,在其遭到破坏以后就国家安全和社会秩序以及公共利益和公民,还包括法人以及其他各种组织在合法权益方面的危害性来讲,针对相关信息保密程度和完整程度以及实用性要求和信息系统所要达到的基本性安全保护的水准等因素,笔者总结出信息系统安全保护的五个等级:第一个等级是自主保护,第二个等级是指导保护,第三个等级是监督保护,第四个等级是强制保护,第五个等级是专控保护。
2.3 银行信息系统安全等级的评估
在对银行信息系统安全等级考量需要考虑到以下几个因素:第一个因素是安全系统的类型,也就是信息系统安全利益的主体。第二个因素是信息系统所要处理业务信息的类别。第三个因素是信息系统服务的范围,主要包括了其服务的对象与服务网络所涉及到的范围。第四个因素是信息系统业务依赖的程度,也就是手工作业可以替代信息系统进行业务处理的程度。
3 基层银行的信息系统安全设计规划和实施的主要内容
3.1 基层银行信息系统的安全体系和特点
基层银行信息的安全体系主要包含安全管理的体系与安全技术的体系,这两者对于银行信息系统安全维护来说,是两个不能分割的部分,通常情况下的技术与管理需要相互之间提供一定的支撑,以此来确保两种功能的有效实现。对安全管理的体系进行构建,其主要是出于信息系统里面各种角色的管理。以一种管理体系文档化的形式,监督和控制各种角色的种种活动,主要是在系统通常运行的维护工作过程中,主要涉及到各种政策和制度以及规范和流程,同时还包括日志方面的监督与控制。这种安全管理体系的组成部分通常分为五个部分,主要是安全管理的组织与人员的安全管理,系统建设的安全管理,系统运维的安全管理以及安全审计的管理。就安全技术的体系来讲,其主要功能是对信息系统提供技术安全类的机制设施,其实现形式是信息系统里面部署相应的软件与硬件,同时对其以正确的形式配置系统的安全功能,以此来实现。安全技术的体系组成部分也是五个部分,主要包括基础设施的安全和网络安全以及主机安全和应用安全,同时还有数据的安全。
3.2 基层银行的信息系统安全建设的方法论
依据国家标准的ISO17799/ISO27001中的信息安全维护的管理标准建立起信息安全的管理体系,其具体内容主要包括以下几个方面:
(1)计划,也就是建立ISMS,对于ISMS的相关政策和控制的措施以及过程与流程实施和操作等。
(2)执行,其主要是指实施和执行ISMS,对ISMS政策与控制措施以及过程和流程的实施和操作等。
(3)查核,其主要是指监督和审查ISMS,依照ISMS政策和目标及其实际的经验,用来评鉴和测量其过程的绩效,同时把评鉴与测量的结果回馈给相应的管理层,让其审查。
(4)行动,其主要指的是维持和改进ISMS,依照内部的ISMS稽核和管理层的审查以及其他相应信息的结果采取对应的校正和预防性措施,以便实现信息安全的管理系统的持续性改进。
3.3 基层银行的信息系统安全规划实施的主要内容
基层银行的信息系统安全规划实施的主要内容包括以下几个方面:
(1)信息安全的组织建设。其主要是指在组织的内部建立起跨部门式信息安全的协调与沟通的机制,为的是实现组织内的信息安全管理,同时能够识别和外部组织有关连的一类风险,对信息安全的职责进行定义与分配,对于信息安全的工作进行定期评审。另外需要建立起专门负责信息安全的管理委员会,不断地推动信息安全的规划与实施,主要出发点是组织架构层面,此机构主要负责以下事项:对信息系统的安全保障的体系建设进行有力推动;周期性地评估与识别信息系统的安全保障体系;对商业秘密与技术秘密进行保护,对企业的利益进行维护;制定出合适的信息系统安全性发展策略,以此来提高银行抵御风险的能力。
(2)对于从业人员的安全管理。其主要是指对全体员工要加强安全防范的意识培养,加强与信息安全相关的管理知识的宣传与普及,对各项安全管理的制度要积极地落实,集合全体员工的力量促进银行信息的安全保障。人员的安全管理实现形式主要是教育和培训,期培训的方式主要分为三种,其一是涉及到管理层的安全意识的教育,此举主要是针对管理层安全意识的教育和培训,帮助其了解国家信息安全的政策,同时提高其认识,进而能够指导好安全建设的工作。其二是技术人员的安全技能类培训,此举主要是让其学习更多的安全管理的理论性与技术性知识,以便其可以有效地掌握相关安全管理的理念,掌握好安全产品的操作与维护以及对于安全事件的处理能力,对信息系统安全进行较好的维护。其三是普通员工安全意识的培养,此举针对的是广大的信息系统的用户,对其进行安全培训,以此来增强其安全防范的意识,发挥集体的力量来维护系统安全。
(3)对于系统建设的管理,其主要是指信息安全要针对信息系统的集成项目和软件开发的项目,对这些项目进行相应的安全需求的分析与规划,对于系统的开发需要对输入的数据验证和处理过程信息的完整性以及输出数据进行确认,此举是为了预防应用系统的信息丢失和错误以及未授权信息的修改与误用。其主要的保护手段是加密。
(4)对于系统运维的管理,其主要是指对信息系统日常操作与维护的管理要加强。逐步地建立与完善相关文档化操作的流程和相应规范变更的管理流程。同时实行职责分离和分离开发以及测试和生产环境,对于第三方的服务交付需要提出相应的要求,以便确保其所提供服务符合相关协议要求。在系统的规划方面,需要对未来容量与性能要求进行考虑,同时还要对相关项目建设进行验收,验收时要依照具体标准。对于数据备份的策略制定方面,需要确保相关信息的实用性与完整性。此外还包括对于移动介质使用和处置方式的控制与管理。在与外部的组织进行信息交换时要确保其安全性能。此外还包括对于系统运行的监控与管理系统的日志记录工作和审核工作等。
(5)对于安全审计的管理,其主要的措施是建立起相关信息安全事故的报告流程和确保运用有效和持久的手段进行安全事故的管理。为了对信息系统符合相关法律规定进行确定,需要定期地进行相关信息安全的检查工作和及时地发现安全隐患,同时要坚持改进。
(6)有关基础设施的安全,其主要指的是机房环境与设备实体安全的保护,以防基础设施出现非法使用和物理性破坏以及被偷盗的情况发生,并且要保障这些设备正常运行时需要的电源和温度以及湿度和防水,同时还包括防尘等。技术设施的安全规划主要包括以下内容:中心机房与及其基础的设施的环境建设需要做好,具有防雷电的完整设施,同时还包括防电磁干扰的设施完备。主机房的电源需要设置双回路的备份机制等。
(7)对于信息系统中涉及到的网络安全问题。网络安全主要是以硬件和软件等形式实现数据和语音以及图像和传真网络传输时的安全保障,对安全域与安全区间的网络通讯私密性与完整性以及可靠性要进行提高。网络安全规划的主要内容包括:建立与完善网络防火墙的安全体系建设,对安全区域实行隔离,对网络安全的策略进行强化,监控和审计网络的访问,以防内部信息出现外泄情形。其具体措施包括以下几个方面:其一是对IIPS入侵的检测系统进行建立和完善,以特定检测技术来识别各种恶意攻击行为,同时及时的对其攻击行为进行阻断,以确保网络的安全;其二是运用VLAN对网络进行划分,对于不同的网络安全区域进行隔离;其三是以物理级和网络级以及系统级等认证手段对网络用户的访问权限实时控制,以便确认出使用者权限及其身份。其四是对于网络日志进行管理的记录,以此来保证网络安全具有审计性。其五是以SSL的安全联结机制来保证外部WEB的链接安全,比如说网上银行等。
(8)基层银行安全信息系统规划中涉及到主机的安全,主机系统安全的目标是对主机平台的系统优质高效的运行进行保障,以防主机系统会遭受到外部与内部破坏或者滥用,同时避免与降低因为主机系统问题而造成的影响,主要针对的是业务系统,另外还需要对访问的控制与安全审计进行协助应用。其主要规划内容包括对主机系统的安全管理进行完善,对账户系统的管理要严格化,对系统服务要实现有效控制,对系统安全配置进行优化。
4 结束语
通过上述分析,我们可以看到现带信息技术给人们生活带便利的同时,也给基层银行信息系统的安全设计规划和实施带来了挑战,本文提出了一些相应的举措,但是还远远不够,还需要在安全实践中不断摸索,不断改进,不断适应新的银行信息风险,保障银行信息系统的安全运行。
参考文献:
[1]邱安生.商业银行信息系统安全保障体系的设计和实现[D].电子科技大学,2011.
[2]傅志勇.国家开发银行企业银行信息系统安全解决方案设计与实现[D].山东大学,2008.
[3]赵立洋.商业银行信息系统安全审计问题研究[D].天津财经大学,2009.
[4]龙延军.国家开发银行信息系统安全总体方案设计[D].四川大学,2004.
[5]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京工业大学,2012.
[6]刘嘉.基于综合判定分析的信息系统安全检验技术研究[D].北京邮电大学,2011.
[7]杨峰.商业银行IT风险识别与评估研究[D].电子科技大学,2012.
随着信息技术的广泛应用,承载企业重要资料和信息的服务器扮演着极为重要的角色,很多企业和单位都搭建了服务器,一旦服务器受到破坏或发生故障,将会给企业带来巨大的经济损失,所以服务器的安全是十分重要的。
目前,由于很多具有攻击性的程序,如病毒、木马等大多是针对Windows系统开发,故Linux系统一直被认为是安全稳定的,很多大型的网站和公司都倾向于使用Linux操作系统作为服务器平台。但是安全总是相对的,目前针对Linux系统的入侵和攻击手段愈来愈多,Linux服务器本身的漏洞也愈来愈多,Linux服务器的安全风险正在日益增长,如何应对千变万化的攻击并保证Linux服务器的安全,已成为至关重要的课题。
本文将详细分析常见的Linux服务器安全隐患和攻击手段,并提出一些具体的防护措施。
2 Linux服务器的安全隐患(The security risks of
Linux server)
我们将Linux服务器的安全隐患总结为以下三点:
(1)Linux系统自身的安全漏洞;
(2)Linux服务的安全隐患;
(3)Linux的网络安全隐患。
下面详细分析这三点隐患。
2.1 Linux系统自身的安全漏洞
任何系统都不是绝对完美的,Linux系统也是如此,随着Linux应用的复杂化和开源化,Linux操作系统自身的漏洞也逐渐增多,我们将其分为以下几点:
(1)Linux账号漏洞
Linux账号漏洞也可以称为权限提升漏洞,这类漏洞一般都是来自系统自身或程序的缺陷,使得攻击者可以在远程登录时获得root管理员权限。以RedHat系统为例,其某个版本曾经存在账号漏洞,使得黑客入侵系统时通过执行特定的脚本可以轻松获得root级别的权限。此外,如果普通用户在重启系统后通过单用户模式进入Linux系统,通过修改Passwd账号文件,也可以获取root权限。
(2)Linux文件系统漏洞
Linux文件系统的安全保障是靠设置文件权限来实现的。Linux的文件权限包括三个属性,分别是所有者,用户组和其他人的权限,权限包括读、写、执行、允许SUID、允许SGID等。黑客会利用SUID和SGID获得某些程序的运行权限。另外黑客还可能修改一些可执行文件的脚本,让用户在登录时执行从而达到破坏系统的目的。
(3)Linux内核漏洞
系统内核出现漏洞往往是很危险的,Linux的内核短小精悍、稳定性和扩展性好,但是其内核的漏洞却不少。例如2003年9月份被发现的do_brk()边界检查不充分漏洞可以使攻击者可以绕过系统安全防护,直接对内核区域进行操作。再比如Linux内核中的整数溢出漏洞会导致内核中的数据被破坏,从而使得系统崩溃。
2.2 Linux服务的安全隐患
Linux系统上的服务种类繁多,其中网络服务最为重要,网络服务主要用来搭建各种服务器,下面我们就针对不同的网络服务探讨Linux系统的安全隐患。
(1)Apache服务的安全隐患
Apache是最为常见的开源WEB网站服务器程序,如果Apache服务出现漏洞将会对网站造成极大的威胁。目前Apache服务漏洞主要包括拒绝服务攻击、文件描述符泄露、日志记录失败等问题。
一些Apache服务的模块也可能存在漏洞,例如Apache的线程多处理模块(MPM)和Apache mod_cache模块中的cache_util.c可以引发服务器系统的崩溃。
(2)BIND域名服务的安全隐患
很多Linux域名服务器都采用BIND(Berkeley Internet Name Domain)软件包,据统计互联网上的DNS服务器有一半以上用的是有漏洞的BIND版本。常见的BIND漏洞有:solinger bug,黑客可以利用其让BIND服务产生间隔为120秒以上的暂停;fdmax bug,可以造成DNS服务器的崩溃;nxt bug,允许黑客以运行DNS服务的身份(默认为root)进入系统。
(3)SNMP服务的安全隐患
SNMP的全称是简单网络管理协议,Linux中SNMP服务的作用是管理监控整个核心网络,黑客利用SNMP的漏洞可以控制整片区域的网络。常见的SNMP漏洞有:Net-SNMP安全漏洞,黑客通过发送畸形的SNMP报文使服务器程序发生溢出,而导致系统崩溃[1];SNMP口令漏洞,SNMPv1版本使用明文口令,默认情况下系统自动开启并使用默认口令public,这是很多管理者经常忽略的问题[2]。
2.3 Linux的网络安全隐患
Linux作为网络操作系统,要频繁的与网络交互数据包,很多数据包经过伪装进入系统内部,会给系统带来破坏。较为常见的Linux网络安全隐患有:
(1)口令隐患
口令是操作系统的首道屏障,黑客入侵服务器的第一步往往就是破解口令。Linux操作系统的口令以文件的形式保存在系统中,例如RedHat版本中口令保存在/etc/passwd中。如果文件中存在不设口令或者弱口令的账号,就很容易被黑客破解。
(2)TCP/IP隐患
TCP/IP协议栈是网络操作系统内核中的重要模块,从应用层产生的网络数据都要经过TCP/IP协议的逐层封装才能发送到网络中去。当协议栈收到一些特殊的网络数据时就会发生异常。例如TCP模块收到SYN报文后,会回复一个ACK报文并稍带自己的SYN序号,这时如果黑客再回复一个RST报文,服务器就会重置TCP信息,这样黑客就可以在不暴露自己信息情况下对服务器进行端口扫描。
还有一些黑客给服务器的某个端口发送大量的SYN报文,而自己不回复确认,这样就会消耗服务器的资源而造成其瘫痪[3]。
3 针对Linux服务器的攻击手段(The means of
attack to Linux server)
在信息安全领域,攻击是指在未经授权的情况下进入信息系统,对系统进行更改、破坏或者窃取信息等行为的总称。在Linux服务器中,攻击行为主要可以概括为:
(1)口令入侵:对于一些采用弱口令的账户,黑客可以很轻松的通过暴力破解穷举口令以获得账户的权限。目前有很多口令破解的工具,例如字典破解工具将常见的口令和有意义的词组录入到字典库中,破解的时候优先选择这些常见的口令,可以大大的减少穷举的时间。另外,随着计算机处理能力的发展,口令破解对于普通人来说已经不是难事,如果口令长度不长,组合不复杂,破解时间都在可以接受的范围内。
(2)木马病毒:木马病毒是指植入到计算机系统中可以破坏或窃据机密信息的隐藏程序,木马一般常见于客户端主机,但也可能潜伏在Linux服务器中,例如Linux.Plupii .C木马可以通过系统漏洞传播,打开服务器的UDP端口27015以允许黑客远程控制服务器。
(3)端口扫描:端口扫描是黑客入侵服务器的第一步,通过端口扫描,黑客可以获知服务器的相关信息。端口是应用层网络进程的标识,入侵计算机系统的实质是入侵系统中的进程,所以获知端口是否开启后才能实施真正的攻击。端口扫描的原理是利用系统的网络漏洞,绕过防火墙并获得服务器的回复,例如常见的S扫描就是利用TCP建立连接时三次握手的漏洞,在最后一次握手时发给服务器重置命令,在获得服务器端口信息后让服务器删除和自己相关的连接信息。
(4)拒绝服务攻击:拒绝服务攻击是指通过某种手段使得服务器无法向客户端提供服务,拒绝服务攻击可能是最不容易防护的攻击手段,因为对于服务器而言向外提供服务的形式是开放的,我们很难判断请求服务的主机是否为入侵者,当大量的主机发送请求时,服务器就会因为资源耗光而陷入瘫痪。
(5)缓冲区溢出:缓冲区溢出是指经过精心设计的程序将系统内执行程序的缓冲区占满而发生溢出,溢出的数据可能会使系统跳转执行其他非法程序或造成系统崩溃。缓冲区溢出的原因是程序员编写程序时没有检查数据长度造成的。
(6)僵尸网络:僵尸网络是指受黑客控制的大量主机,这些主机可以同时对一个服务器发起攻击,而自身却不知情。这种攻击手段是很隐秘的,很难查到攻击者的真实身份。
(7)网络监听:网络监听是指通过某种手段截获主机之间的通信数据以获得口令等重要信息。一些常见网络监听工具可以解析网段内的所有数据,此时如果主机之间的通信是明文传输的,黑客就可轻而易举地读取包括口令在内的所有信息资料。
(8)网络欺骗:网络欺骗包括IP地址欺骗、WWW欺骗、DNS欺骗、ARP欺骗等一系列欺骗方法。其主要目的是通过虚假的网络信息欺骗目的主机,已达到扰乱通信的目的。
4 Linux服务器的防护措施(The protective
measures of Linux server)
针对以上漏洞和攻击,Linux服务器的防护措施主要可以分为系统安全防护和网络安全防护两类,下面逐一介绍:
4.1 Linux系统安全防护措施
(1)系统账号及口令安全:对于网络服务器而言,很多账户都是不必要的,账号越多,系统就越易受攻击。所以应该最大限度的删除多余账户,并对用户账号设置安全级别,以保证每个账号的权限都被限制在被允许的范围内。
另外还要确保每个已有账户都设置了复杂度高的口令,口令的复杂度设置可以通过修改/etc/login.defs文件来实现,其中的PASS_MAX_DAYS表示密码最长的过期天数,PASS_MIN_DAYS用来设置密码最小的过期天数,PASS_MIN_LEN表示密码最小的长度,PASS_WARN_AGE表示密码过期后的警告天数。
口令文件的安全性也至关重要,我们可以通过chattr命令给口令文件加入只读属性:chattr+i/etc/passwd,这样口令文件就不能随意被修改了。
(2)文件安全设置:Linux的文件系统提供了访问控制的功能,访问控制的客体是文件和目录,主体是用户,包括文件或目录的所有者,用户所在组及其他组。访问控制的操作包括读(r)、写(w)和执行(x),管理员根据不同的权限设置关于主体的能力表以及关于客体的访问控制列表。
(3)系统日志:Linux服务器的系统日志也是应该被关注的设置,因为日志文件详细的记录了系统发生的各类事件,例如系统的错误记录,每次用户登录系统记录,各种服务的运行记录以及网络用户的访问记录等等。如果服务器遭受到攻击,管理员可以通过日志追踪到黑客留下的痕迹,另外,当涉及到法律纠纷时,系统日志经过专业人员提取还可以作为电子证据。
(4)服务安全:Linux服务器中往往开启了很多服务,首先应该确定的是哪些服务是不必要的,可以通过chkconfig命令关闭系统自启动的服务。接下来要在必须启动的服务中找到存在的风险,例如apache服务的目录浏览功能会使访问者进入网站的根目录,并能浏览其中的所有文件。
(5)安全工具:Linux服务器中带有很多安全工具方便管理员的使用,例如SSH可以加密传输数据,Tcpdump可以用来检查网络通讯的原始数据。
4.2 Linux网络安全防护措施
Linux网络服务器也采用了传统的网络安全防护手段,即防火墙与入侵检测系统。防火墙是保护内网的屏障,它过滤并分析网络数据包,阻止有威胁的数据进入;入侵检测是内网和系统内部的监控器,它分析异常数据并作出报警,有些入侵检测还会与防火墙联动,一同保护服务器的安全。Linux系统中的Iptables和Snort是比较成熟的防火墙和入侵检测系统,下面我们逐一介绍:
(1)防火墙:Iptables,目前使用的最新版本是Linux 2.4内核中的Netfilter/Iptables包过滤机制。
(2)入侵检测:Snort是一个免费的轻量级网络入侵检测系统。它能兼容多个不同的操作系统平台,可以用于监视小型网络或者服务器系统内部的服务,在进行网络监控时Snort可以将网络数据与入侵检测规则做模式匹配,从而检测出可能的入侵数据,同时Snort也可以使用统计学的方法对网络数据进行异常检测[6]。
5 结论(Conclusion)
针对Linux的攻击手段日益增多,Linux服务器的安全隐患也随之增大,对于企业而言,总结出一整套有效且规范的防护措施是极为必要的。本文结合实际工作经验,分析并总结了Linux服务器存在的安全隐患和常见的攻击手段,提出了一些措施与方法。
参考文献(References)
[1] 思科系统公司.网络互联故障排除手册[R].北京:电子工业出版社,2002:120-125.
[2] 胡冠宇,陈满林,王维.SNMP网络管理安全性研究与应用[J].哈尔滨师范大学自然科学学报,2010,26(3):95-98.
[3] 刘晓萍.Linux2.4内核TCP/IP协议栈安全性研究[D].中国信息工程大学,2004:10-11.
[4] 董剑安,王永刚,吴秋峰.iptables防火墙的研究与实现[J].计算机工程与应用,2003,39(17):161-163.
[5] 王波.Linux网络技术[M].北京:机械工业出版社,2007.
[6] 郭兆丰,徐兴元,刑静宇.Snort在入侵检测系统中的应用[J].大众科技,2007(2):69-71.
作者简介:
