发布时间:2022-11-30 06:09:22
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的安全网络论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
信息安全的概念在20世纪90年代以来逐渐得到了深化,它建立在以密码论作为理论基础的计算机安全领域,并辅以计算机、通信网络技术与编程等相关内容,是指包含硬件、软件、人、数据等在内的信息系统受到保护,不受偶然或恶意原因受到破坏、泄露、更改,保证系统能够连续可靠正常地运行以及信息服务不中断,并实现网络通信业务的连续性。信息安全主要包括对信息的保密性、完整性、真实性、未授权拷贝以及所寄生系统的安全性的保证。要做到网络通信的安全,就要去除其中影响安全的因素,保证信息传输的安全与稳定。目前,网络已融入到了社会、经济、生活等各个领域当中,当网络通信安全出现问题时,不仅会造成个人隐私的泄露,对于社会的稳定也会产生不利影响。目前网络通信当中存在的信息安全问题主要包括:
(1)个人信息的泄露。在网络工程当中,对于系统硬件、软件的相关维护工作还不够完善,同时网络通信当中的许多登录系统需要借助远程终端来完成,造成系统远程终端和网络用户在用户运用互联网进入对应系统时存在长远的连接点,当信息在进行传输时,这些连接点很容易引起黑客对用户的入侵以及攻击,使得用户信息被泄露,个人信息安全得不到保障。
(2)网络通信结构不完善。网间网的技术给网络通信提供了技术基础,用户通过IP协议或TCP协议得到远程授权,登录相关互联网系统,通过点与点连接的方式来进行信息的传输。然而,网络结构间却是以树状形式进行连接的,当用户受到黑客入侵或攻击时,树状结构为黑客窃听用户信息提供了便利。
(3)相关网络维护系统不够完善。网络维护系统的不完善主要表现软件系统的安全性不足,我们现在所使用的计算机终端主要是依靠主流操作系统,在长时间的使用下需下载一些补丁来对系统进行相关的维护,导致了软件的程序被泄露。
2对于网络通信中存在的信息安全问题的应对方案
对于上述的种种网络通信当中存在的信息安全问题,我们应当尽快地采取有效的对策,目前主要可以从以下几个方面入手:
(1)用户应当保护好自己的IP地址。黑客入侵或攻击互联网用户的最主要目标。在用户进行网络信息传输时,交换机是进行信息传递的重要环节,因此,用户可以利用对网络交换机安全的严格保护来保证信息的安全传输。除此之外,对所使用的路由器进行严格的控制与隔离等方式也可以加强用户所使用的IP地址的安全。
(2)对信息进行加密。网络通信中出现的信息安全问题主要包括信息的传递以及存储过程当中的安全问题。在这两个过程当中,黑客通过窃听传输时的信息、盗取互联网用户的相关资料、对信息进行恶意的篡改、拦截传输过程中的信息等等多种方法来对网络通信当中信息的安全做出威胁。互联网用户如果在进行信息传递与存储时,能够根据具体情况选用合理的方法来对信息进行严格的加密处理,那么便可以有效地防治这些信息安全问题的产生。
(3)完善身份验证系统。身份验证是互联网用户进行网络通信的首要步骤。在进行身份验证时一般都需要同时具备用户名以及密码才能完成登录。在验证过程当中用户需要注意的是要尽量将用户名、密码分开储存,可以适当地使用一次性密码,同时还可以利用安全口令等方法来保证身份验证的安全。随着科技的快速发展,目前一些指纹验证、视网膜验证等先进生物检测方法也慢慢得到了运用,这给网络通信信息安全提供了极大的保障。
3总结
(一)网络系统的软硬件及系统数据受到保护,不受外界因素或者恶意的破坏所影响,系统可以正常的运转,网络服务不会中断就是网络安全的定义。
(二)网络安全具有一些鲜明的特征,其不同于其他技术,计算机网络是一个虚拟的世界,其特征也是具有多样性的特点。
1.保密性:计算机网络技术应将信息严格保密,未经许可不能向非授权用户及实体进行泄露,也绝对不允许非授权用户使用。
2.完整性:当在网络上进行存储时要具有存储过程中未经授权不能改变和破坏丢失数据的特点。
3.可用性:指的是可以在授权实体的要求下进行使用的特点,通俗的说也就是能够随时存取所需要的信息。网络环境下破坏服务、拒绝服务的系统正常运行就属于针对可用性这一特性的攻击。
4.可控性:可以针对信息的传播进行有效的控制。
5.可审查性:针对安全问题的发生提供有力的手段和依据。
二、购物网站安全现状分析
当前的购物网站安全问题是商业网站发展中的突出问题,随着网络技术的普及和互联网技术的迅速发展,购物网站的规模和复杂性也越来越大,其存在的安全漏洞也越来越多。而且目前的网络攻击现象也不断增多,针对购物网站的漏洞进行恶意攻击的现象不断发生,也构成了购物网站的多种不安全因素。当前的网络攻击行为多种方法混合使用,复杂情况越来越多,隐蔽性也非常强,针对其的防范也越来越困难。黑客攻击购物网站是为了获取实际的经济利益,木马程序、恶意网站等危害网络安全的手段越来越多,日趋泛滥;而且随着人们手中的互联网设备发展越来越迅速,手机等无线掌上终端的处理能力和功能通用性不断提高,针对这些个人无线终端的网络攻击也开始出现,而且呈发展趋势。当前的购物网站通常采用资金通过第三方支付或者网上银行支付的方式来进行支付,这虽然增强了网上购物的支付快捷性,但是其交易的安全性还存在一定的风险。这一类的支付形式,通常很难保障消费者网上消费的安全,一旦在数据的传输过程遭到攻击,消费者的银行信息资料可能被黑客盗取,并为此遭受经济或者隐私损失。随着互联网技术的发展,还有许多恶意程序攻击用户计算机来达到一些不法分子别用用心的目的,可能有计算机用户在进行网上消费时落入恶意程序的陷阱,从而使得黑客通过用户的网上银行进入银行数据库盗取用户信息,给用户造成经济损失。所以,网络安全问题是一个高技术含量的复杂问题,而且越来越变得错综复杂,其造成的恶劣影响也是不断扩大,短期内无法取得成效。因此在网络安全日益严重的今天,必须重视对网络安全的防范,只有做到防范到位,才能保障网络应用的顺利进行。购物网站根据网络安全的防范要求,通常采取一些措施加以防范,保障用户网络安全,主要有以下几点:第一,身份真实性的识别:保障通信实体具有真实的身份;第二,信息机密性:保证机密信息不会泄露给非授权实体;第三,信息的完整性:保证数据的完整性,防止非授权用户对信息的破坏和使用;第四:服务可用性:防止合法用户使用信息被非法拒绝;第五:不可否认性:有效地责任机制可以防止实体否认其行为;第六:系统可控性:可以控制使用资源的实体的使用方式;第七:系统易用性:安全要求满足的情况下,系统的操作要尽量简单;第八:可审查性:可以为出问题的网络安全问题提供调查依据和手段。
三、保障网络工作顺畅的措施
当前阶段,网络工作要保障顺畅,要采取以下措施加以保障:
(一)针对网络病毒进行有效防范
网络病毒是一种危害网络安全的主要方式,其具有传播快,扩散面广、传播载体多样的特点,对于网络病毒的清除也非常困难,其遗留的破坏力也相对较大。而且网络病毒可以邮件附件、服务器、文件共享及邮件等方式进行传播。针对网络病毒要注意几点进行防范,对于不明附件和文件扩展名不打开,不盲目运行程序也不盲目转发不明邮件,在进行系统漏洞及其他操作时从正规的网站下载软件,经常进行病毒的查杀,尽可能使用最新版本的杀毒软件定期进行病毒查杀。
(二)积极采用入侵检测系统
入侵检测技术是一项有效防范网络攻击的手段。其通过对各种网络资源和系统资源信息的采集,并对信息进行有效地判断和分析,来检测其是否具有攻击性和异常行为,通过入侵检测系统的检测可以有效地将有害信息进行剔除,防止其进入网络系统形成实际破坏和网络隐私泄露情况发生。而且,入侵检测系统还可以及时的将用户信息及系统行为进行分析,针对系统漏洞进行检测,及时将有害信息和攻击行为及时通报和响应。
(三)进行防火墙的配置
防火墙是计算机网络安全技术的重要方面。通过防火墙的设置,可以根据计算机系统的要求针对信息进行筛选,允许和限制数据传输的通过。防火墙是一项有效的保护措施。侵入计算机的黑客必须要先通过防火墙的安全警戒,才能到达计算机系统内部。防火墙还可以分成多个级别,形成多重保护。高级别的保护可以根据用户自身要求来对信息进行针对性的保护,这样可以有效保护用户的个人隐私信息。
四、小结
商业银行计算机网络安全与网络规模、结构、通信协议、应用业务程序的功能和实现方式紧密相关,一个优秀的安全设计应当整合当前网络和业务特殊之处并全面考虑发展要求。商业银行的网络安全保护应选择分层次保护的优点,使用多级拓扑防护方式,设置不同级别的防御方法。访问控制是网络安全防护和防御的首要方式之一,其重要目标是保证网络资源不被非法访问。访问控制技术所包括内容相对广泛,其中有网络登录控制、网络使用权限控制、目录级安全控制以及属性安全控制等多种手段。结合某些商业银行的网络系统和部分商业银行的网络和业务规划,谈商业银行计算机网络安全解决的原则。
1.1实行分级和分区防护的原则商业银行的计算机网络绝大多数是分层次的,即总行中心、省级中心、网点终端,计算机网络安全防护对应实行分级防护的原则,实现对不同层次网络的分层防护。防火墙也根据访问需求被分为不同的安全区域:内部核心的TRUST区域,外部不可信的Untrust区域,第三方受限访问的DMZ区域。
1.2风险威胁与安全防护相适应原则商业银行面对的是极其复杂的金融环境,要面临多种风险和威胁,然而商业银行计算机网络不容易实现完全的安全。需要对网络及所处层次的机密性及被攻击的风险性程度开展评估和研究,制定与之匹配的安全解决方式。
1.3系统性原则商业银行计算机网络的安全防御必须合理使用系统工程的理论进而全面分析网络的安全及必须使用的具体方法。第一,系统性原则表现在各类管理制度的制定、落实和补充和专业方法的落实。第二,要充分为综合性能、安全性和影响等考虑。第三,关注每个链路和节点的安全性,建立系统安防体系。
2计算机网络安全采取的措施
商业银行需要依据银监会的《银行业金融机构信息系统风险管理指引》,引进系统审计专家进行评估,结合计算机网络系统安全的解决原则,建立综合计算机网络防护措施。
2.1加强外部安全管理网络管理人员需要认真思考各类外部进攻的形式,研究贴近实际情况的网络安全方法,防止黑客发起的攻击行为,特别是针对于金融安全的商业银行网络系统。通过防火墙、入侵检测系统,组成多层次网络安全系统,确保金融网络安全。入侵检测技术是网络安全技术和信息技术结合的新方法。通过入侵检测技术能够实时监视网络系统的相关方位,当这些位置受到进攻时,可以马上检测和立即响应。构建入侵检测系统,可以马上发现商业银行金融网络的非法入侵和对信息系统的进攻,可以实时监控、自动识别网络违规行为并马上自动响应,实现对网络上敏感数据的保护。
2.2加强内部安全管理内部安全管理可以利用802.1X准入控制技术、内部访问控制技术、内部漏洞扫描技术相结合,构建多层次的内部网络安全体系。基于802.1x协议的准入控制设计强调了对于交换机端口的接入控制。在内部用户使用客户端接入局域网时,客户端会先向接入交换机设备发送接入请求,并将相关身份认证信息发送给接入交换机,接入交换机将客户端身份认证信息转发给认证服务器,如果认证成功该客户端将被允许接入局域网内。如认证失败客户端将被禁止接入局域网或被限制在隔离VLAN中。[4]内部访问控制技术可以使用防火墙将核心服务器区域与内部客户端区域隔离,保证服务器区域不被非法访问。同时结合访问控制列表(ACL)方式,限制内部客户端允许访问的区域或应用,保证重要服务器或应用不被串访。同时结合内部漏洞扫描技术,通过在内部网络搭建漏洞扫描服务器,通过对计算机网络设备进行相关安全扫描收集收集网络系统信息,查找安全隐患和可能被攻击者利用的漏洞,并针对发现的漏洞加以防范。
2.3加强链路安全管理对于数据链路的安全管理目前常用方法是对传输中的数据流进行加密。对于有特殊安全要求的敏感数据需要在传输过程中进行必要的加密处理。常用的加密方式有针对线路的加密和服务器端对端的加密两种。前者侧重在线路上而不考虑信源与信宿,通过在线路两端设置加密机,通过加密算法对线路上传输的所有数据进行加密和解密。后者则指交易数据在服务器端通过调用加密软件,采用加密算法对所发送的信息进行加密,把相应的敏感信息加密成密文,然后再在局域网或专线上传输,当这些信息一旦到达目的地,将由对端服务器调用相应的解密算法解密数据信息。随着加密技术的不断运用,针对加密数据的破解也越来越猖獗,对数据加密算法的要求也越来越高,目前根据国家规定越来越多的商业银行开始使用国密算法。
2.4建立商业银行网络安全审计评估体系通过建立商业银行网络安全审计评估体系,保证计算机信息系统的正常运行。对商业银行的核心业务系统和计算机网络数据进行安全风险评估,发掘风险隐患,制订相关的措施。[5]
网络安全通信是实现信息系统互联互通的主要手段,因此建立多级安全网络通信模型是实现网络信息系统安全互联的重要保障。当前,虽然正对多级安全模型的研究已经取得了一定的效果,但是依旧不能够满足多级安全网络通信的实际需求,存在着灵活性较差、客体信息聚合推导泄密、传输信息泄密干扰等问题。因此,实现多级安全网络信息系统间的安全互联互通的关键是支持具有多级安全属性的网络通信安全机制。
二、安全标记绑定技术
在网络信息系统中,安全标记是强制访问控制实施的基础。实现安全标记与课堂之间的绑定是多级安全网络中实现数据安全共享的关键。实现安全标记与客体的绑定包括信息客体、进程等,当前的安全标记与客体的绑定并不能够满足多级安全控制的需要,需要对存在的问题进行分析,在此基础上提出基于数据树统一化描述的安全标志与课堂的绑定方式,从而实现了绑定的统一性,确保了安全标记的安全性,为实施更为细粒度的访问控制提供了保障。
三、信息客体聚合推导控制方法
多级安全网络中存在着客体信息聚合导致了信息泄密问题。需要对客体之间的关系进行分析,通过多级安全网络信息课堂聚合推导控制方法实现对多级安全网络访问控制策略的制定。通过对关联客体与相似客体的角度研究了客体聚合推导控制。信息客体聚合推导控制方法包括两个方面,一方面是基于属性关联的客体聚合信息级别推演方法,另一方面是基于聚类分析的客体聚合信息级别推演方法。通过这两种方式实现多级安全网络防护基本原则的改变,对多级安全网络中主体对客体的访问进行有效的控制,降低或者消除泄密的风险。
四、通信协议簇设计
通信的基础就是协议,只有通过安全协议才能够实现安全互联。在多级安全网络中,存在着通信关系比较复杂的现象,其灵活性较差。尤其是在实现了信息系统互联之后,容易引起攻击者兴趣的往往是具有了一定安全级别的信息。在对多级安全网络的特点进行分析了基础上,对多级安全网络的通信协议簇进行了设计,产生了MLN-SCP,这种通信协议簇包括两个方面,一方面是多级安全通道建立协议ML-STEP,主要的作用是建立多级安全通道,对通道的秘钥材料进行协商,从而确保数据传输过程中的安全,另一方面是多级安全网络传输协议MLN-STP,主要的作用是通过安全通道模式与UDP封装通道模式实现数据的安全封装与安全标记的携带,对通道内数据传输的安全进行保障。通信协议簇MLN-SCP更加适合与多级安全网络信息系统之间的安全互联。
五、总结
关键词:网络安全;病毒防范;防火墙
0引言
如何保证合法网络用户对资源的合法访问以及如何防止网络黑客的攻击,已经成为网络安全的主要内容。
1网络安全威胁
1.1网络中物理的安全威胁例如空气温度、湿度、尘土等环境故障、以及设备故障、电源故障、电磁干扰、线路截获等。
1.2网络中信息的安全威胁①蠕虫和病毒。计算机蠕虫和病毒是最常见的一类安全威胁。蠕虫和病毒会严重破坏业务的连续性和有效性。随着病毒变得更智能、更具破坏性,其传播速度也更快,甚至能在片刻间使信息处理处于瘫痪状态,而要清除被感染计算机中的病毒所要耗费的时一间也更长。②黑客攻击。“黑客”一词由英语Hacker英译而来,原意是指专门研究、发现计算机和网络漏洞的计算机爱好者。现如今主要用来描述那些掌握高超的网络计算机技术窃取他人或企业部门重要数据从中获益的人。黑客攻击主要包括系统入侵、网络监听、密文破解和拒绝服务(DtS)攻击等。
2网络安全技术
为了消除上述安全威胁,企业、部门或个人需要建立一系列的防御体系。目前主要有以下几种安全技术:
2.1密码技术在信息传输过程中,发送方先用加密密钥,通过加密设备或算法,将信息加密后发送出去,接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,也只能得到无法理解的密文,从而对信息起到保密作用。
2.2身份认证技术通过建立身份认证系统可实现网络用户的集中统一授权,防止未经授权的非法用户使用网络资源。在网络环境中,信息传至接收方后,接收方首先要确认信息发送方的合法身份,然后才能与之建立一条通信链路。身份认证技术主要包括数字签名、身份验证和数字证明。
2.3病毒防范技术计算机病毒实际上是一种恶意程序,防病毒技术就是识别出这种程序并消除其影响的一种技术。从防病毒产品对计算机病毒的作用来讲,防病毒技术可以直观地分为病毒预防技术、病毒检测技术和病毒清除技术。
①病毒预防技术。计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。病毒预防技术包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。②病毒检测技术。它有两种:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术;另一种是不针对具体病毒程序的自身校验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性己遭到破坏,感染上了病毒,从而检测到病毒的存在。③病毒清除技术。计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一个逆过程。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的,带有滞后性。而且由于计算机软件所要求的精确性,杀毒软件有其局限性,对有些变种病毒的清除无能为力。
2.4入侵检测技术入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术,也是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
①特征检测的假设是入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将己有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。②异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
2.5漏洞扫描技术漏洞扫描就是对系统中重要的数据、文件等进行检查,发现其中可被黑客所利用的漏洞。漏洞检测技术就是通过对网络信息系统进行检查,查找系统安全漏洞的一种技术。它能够预先评估和分析系统中存在的各种安全隐患,换言之,漏洞扫描就是对系统中重要的数据、文件等进行检查,发现其中可被黑客所利用的漏洞。随着黑客人侵手段的日益复杂和通用系统不断发现的安全缺陷,预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。漏洞扫描的结果实际上就是系统安全性能的评估报告,它指出了哪些攻击是可能的,因此成为网络安全解决方案中的一个重要组成部分。
漏洞扫描技术主要分为被动式和主动式两种:
①被动式是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查。②主动式则是基于对网络的主动检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。
2.6慝。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
1.1系统功能
在网络安全态势感知系统中,网络服务评估系统的数据源是最重要的数据源之一。一方面,它能向上层管理者提供目标网络的安全态势评估。另一方面,服务数据源为其它传感器(Log传感器、SNMP传感器、Netflow传感器)的数据分析提供参考和依据[1]。
1.2主要功能
(1)风险评估,根据国家安全标准并利用测试系统的数据和主要的风险评估模型,获取系统数据,定义系统风险,并提出应对措施[2]。
(2)安全态势评估与预测,利用得到的安全测试数据,按照预测、随机和综合量化模型,对信息系统作出安全态势评估与预测,指出存在的安全隐患并提出安全解决方案。
(3)建立数据库支撑,包括评估模型库、专家知识库、标准规范库等。
(4)输出基于图表样式和数据文件格式的评估结果。
2系统组成和总体架构
2.1系统组成
网络安全评估系统态势评估系统是在Windows7平台下,采用C++builder2007开发的。它的数据交互是通过核心数据库来运行的,为了使评估的计算速度和读写数据库数据更快,应将子系统与核心数据库安装在同一机器上。子系统之间的数据交互方式分别为项目数据交互和结果数据交互。前者分发采用移动存储的形式进行,而后者的提交获取是通过核心数据库运行。
2.2总体架构
系统包括人机交互界面、控制管理、数据整合、漏洞扫描、安全态势评估和预测、本地数据库等六个模块组成。网络安全评估系统中的漏洞扫描部分采用插件技术设计总体架构。扫描目标和主控台是漏洞扫描子系统的主要部分,后者是漏洞扫描子系统运行的中心,主控台主要是在用户打开系统之后,通过操作界面与用户进行交流,按照用户下达的命令及调用测试引擎对网络上的主机进行漏洞测试,测试完成后调取所占用的资源,并取得扫描结果,最后形成网络安全测试评估报告,通过这个测试,有利于管理人员发现主机有可能会被黑客利用的漏洞,在这些薄弱区被黑客攻击之前对其进行加强整固,从而提高主机网络系统的安全性。
3系统工作流程
本系统首先从管理控制子系统获取评估任务文件[3],然后根据任务信息从中心数据库获取测试子系统的测试数据,再对这些数据进行融合(加权、去重),接着根据评估标准、评估模型和支撑数据库进行评估[4],评估得到网络信息系统的安全风险、安全态势,并对网络信息系统的安全态势进行预测,最后将评估结果进行可视化展示,并生成相关评估报告,以帮助用户进行最终的决策[5]。
4系统部分模块设计
4.1网络主机存活性识别的设计
“存活”是用于表述网络主机状态[6],在网络安全评估系统中存活性识别流程对存活主机识别采用的方法是基于ARP协议。它的原理是当主机或路由器正在寻找另外主机或路由器在此网络上的物理地址的时候,就发出ARP查询分组。由于发送站不知道接收站的物理地址,查询便开始进行网络广播。所有在网络上的主机和路由器都会接收和处理分组,但仅有意图中的接收者才会发现它的IP地址,并响应分组。
4.2网络主机开放端口/服务扫描设计
端口是计算机与外界通讯交流的出口[7],软件领域的端口一般指网络中面向连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和FO(基本输入输出)缓冲区[8]。
4.3网络安全评估系统的实现
该实现主要有三个功能,分别是打开、执行和退出系统[9]。打开是指打开系统分发的评估任务,显示任务的具体信息;执行任务指的是把检测数据融合,存入数据库;退出系统是指关闭系统。然后用户在进行扫描前可以进行选择扫描哪些项,对自己的扫描范围进行设置。进入扫描后,界面左边可以显示扫描选项,即用户选中的需要扫描的项[10]。界面右边显示扫描进程。扫描结束后,用户可以点击“生成报告”,系统生成用户的网络安全评估系统检测报告,最终评定目标主机的安全等级[11]。
5结束语
(1)系统研究还不够全面和深入。网络安全态势评估是一门新技术[12],很多问题如规划和结构还没有解决。很多工作仅限于理论,设计方面存在争论,没有统一的安全态势评估系统模型[13]。
(2)网络安全状况评估没有一致的衡量标准。网络安全是一个全面统一的概念[14],而网络安全态势的衡量到现在还没有一个全面的衡量机制[15]。这就导致现在还没有遵守的标准,无法判断方法的优劣。
1.1加强网络安全教育,增强校园网用户安全意识及防护技能
目前,所有高校基本都普及了校园网络,高校学生在校园内部随处都可以上网,教师和其它人员的工作也离不开网络的辅助,高校内部的网络端口日益增多,上网的人数也是与日俱增,其中大多数人并不具备网络安全方面相关知识,这为高校信息安全埋下了隐患,信息安全方面的教育势在必行。用户的流动性强是校园网用户群体的一个显著特征,因此,学生的信息安全教育是一项重要并且需要长期坚持的工作。学校应将信息安全知识和防护技能的培训纳入学生计算机基础课程中,并将有关的教学内容、实验与学校的信息安全工作联系起来,在实现教学目标的同时,也可以起到对学校信息安全的促进与保障作用。目前,高校虽然已经普遍开设了计算机应用基础课程,仍然有必要选择性地开设网络安全课程或专题讲座,宣传网络安全知识和网络道德教育,提高所有学生和教师的网络安全意识,并且可以开展有针对性的实践技能培训,提高学生和教师的网络防护技能。新形势下,高校学生应当具备一定的网络基础知识,让学生学会正确对待各类网络信息、合理使用网络资源的能力,形成正确的价值观,维护网络道德规范。此外,对校园网中其他用户的信息安全教育与培训也是一项需要长期坚持的工作。
1.2加强校园网安全维护,增强网络管理人员的安全意识和技能
校园网信息安全既有管理方面的漏洞,也有技术层面的风险。专业的网络管理人员负责整个校园网络的维护、网络系统的更新、升级及新技术的研发。建立一支既懂管理又有技术的信息安全人才队伍是很有必要的,保障网络的信息安全首先应当提升这部分专业人士的安全意识及专业技术水平,定期进行培训和考核。其次要从技术层面做好信息安全防御工作。使用必要的网络安全防护技术,如:身份认证技术、入侵检测技术、防火墙技术、防病毒网关技术、垃圾邮件过滤系统以及安全审计等技术来防御来自外部或内部的攻击,有效地对校园网的进行防护。另外,现在市场上网络安全的新产品、新技术非常多,也可以为校园网提供更好的保护功能。
1.3建立健全校园网安全保障体系
健全的信息安全管理体制,对于在管理层面维护信息安全至关重要。除了建立一支高素质的网络管理专业技术人员队伍外,还必须建立一套严格的管理规章制度。有了技术水平足够高的设备、软件支持,再加上有针对其网络建设和应用设计的完善的规章制度,整个网络安全体系才有了根本保障。此外,在科学合理的信息安全管理机制中,应急响应机制尤为重要,因为,没有绝对安全的网络系统,关键在于发现或发生安全风险时,能否及时正确做出应对,进行防御,采取措施消除风险,或将损失降到最低,使网络系统能够快速恢复正常运行。
2结语
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
一、校园网络安全现状分析
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.
