時間:2022-11-02 10:26:29
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡安全設計論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
一、消防信息化建設的主要內容
1.1消防信息化的范疇
消防信息化是利用先進可靠、實用有效的現代計算機、網絡及通信技術對消防信息進行采集、儲存、處理、分析和挖掘,以實現消防信息資源和基礎設施高程度、高效率、高效益的共享與共用的過程。
消防信息化建設的范疇包括通信網絡基礎設施建設、信息系統建設及應用、安全保障體系建設、運行管理體系建設和標準規范體系建設等內容。
1.2通信網絡基礎設施建設
全國消防通信網絡從邏輯上分為三級:一級網是從部消防局到各省(區、市)消防總隊以及相關的消防科研機構和消防院校;二級網是各省(區、市)消防總隊到市(地、州)消防支隊;三級網是各市(地、州)消防支隊到基層消防大隊及中隊。對北京、上海、天津、重慶等直轄市,二級網和三級網可合并考慮。每一級網絡所在機關均應建設本級局域網。
1.3安全保障體系建設
安全保障體系是實現公安消防機構信息共享、快速反應和高效運行的重要保證。安全保障體系首先應保證網絡的安全、可靠運行,在此基礎上保證應用系統和業務的保密性、完整性和高度的可用性,同時為將來的應用提供可擴展的空間。安全保障體系建設的基本要求是:
(1)保障網絡安全、可靠、持續運行,能夠防止來自外部的惡意攻擊和內部的惡意破壞;
(2)保障信息的完整性、機密性和信息訪問的不可否認性,要求采取必要的信息加密、信息訪問控制、訪問權限認證等措施;
(3)提供容災、容錯等風險保障;
(4)在確保安全的條件下盡量為網絡應用提供方便,實行全網統一的身份認證和基于角色的訪問控制;
(5)建立完備的安全管理制度。
二、消防信息化建設中面臨的網絡安全問題
2.1計算機網絡安全的定義
從狹義的保護角度來看,計算機網絡安全是指計算機及其網絡系統資源和信息資源不受自然和人為有害因素的威脅和危害;從其本質上來講就是系統上的信息安全。
從廣義來說,凡是涉及到計算機網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網絡安全的研究領域。
2.2網絡系統的脆弱性
2.2.1操作系統安全的脆弱性
操作系統不安全,是計算機不安全的根本原因。主要表現在:
(1)操作系統結構體制本身的缺陷;
(2)操作系統支持在網絡上傳輸文件、加載與安裝程序,包括可執行文件;
(3)操作系統不安全的原因還在于創建進程,甚至可以在網絡的結點上進行遠程的創建和激活;
(4)操作系統提供網絡文件系統(NFS)服務,NFS系統是一個基于RPC的網絡文件系統,如果NFS設置存在重大問題,則幾乎等于將系統管理權拱手交出;
(5)操作系統安排的無口令人口,是為系統開發人員提供的邊界入口,但這些入口也可能被黑客利用;
(6)操作系統還有隱蔽的信道,存在潛在的危險。
2.2.2網絡安全的脆弱性
由于Internet/Intmnet的出現,網絡安全問題更加嚴重。可以說,使用TCP/IP協議的網絡所提供的FTP、E-Mail、RPC和NFS都包含許多不安全的因素,存在許多漏洞。
同時,網絡的普及使信息共享達到了一個新的層次,信息被暴露的機會大大增多。Intemet網絡就是一個不設防的開放大系統,誰都可以通過未受保護的外部環境和線路訪問系統內部,隨時可能發生搭線竊聽、遠程監控、攻擊破壞。
2.2.3數據庫管理系統安全的脆弱性
當前,大量的信息存儲在各種各樣的數據庫中,而這些數據庫系統在安全方面的考慮卻很少。而且,數據庫管理系統安全必須與操作系統的安全相配套。
2.2.4防火墻的局限性
盡管利用防火墻可以保護安全網免受外部黑客的攻擊,但它只能提高網絡的安全性,不可能保證網絡絕對安全。
2.3基于消防通信網絡進行入侵的常用手段分析
由于消防工作的社會性,消防信息化建設很重要的一方面就是利用信息化手段強化為社會服務的功能,積極通過網絡媒體為社會提供各類消防信息,如消防法律法規、消防知識等,促進消防工作社會化;在網上受理消防業務,公布依法行政的有關信息,為社會提供服務,增強群眾對消防工作的滿意度。在利用網絡提高工作效率和簡化日常工作流程的同時,也面臨許多信息安全方面的問題,主要表現在:
2.3.1內部資料被竊取
現在消防機關上傳下達的各種資料基本上都要先經過電腦錄入并打印后再送發出去,電腦內一般都留有電子版的備份,若此電腦直接接入局域網或Intemet,就有可能受到來自內部或外部人員的威脅,其主要方式有:
(1)利用系統漏洞入侵,瀏覽、拷貝甚至刪除重要文件。前段時間在安全界流行一個名為DCOMRPC的漏洞,其涉及范圍非常之廣,從WindowsNT4.0、Windows2000、WindowsXP到WindowsServer2003。由于MicrosoftRPC的DCOM(分布式組件對象模塊)接口存在緩沖區溢出缺陷,如果攻擊者成功利用了該漏洞,將會獲得本地系統權限,并可以在系統上運行任何命令,如安裝程序,查看或更改、刪除數據或是建立系統管理員權限的帳戶等。目前關于該漏洞的攻擊代碼已經涉及到的相應操作系統和版本已有48種之多,其危害性可見一斑;
(2)電腦操作人員安全意識差,系統配置疏忽大意,隨意共享目錄;系統用戶使用空口令,或將系統帳號隨意轉借他人,都會導致重要內容被非法訪問,甚至丟失系統控制權。
2.3.2Web服務被非法利用
據統計,目前全國各級公安消防部門在因特網上已建立近100個網站,提供消防法規、危險物品基礎數據、產品質量信息、消防技術標準等重要信息,部分支隊還對轄區內重點單位開辟網上受理業務服務,極大地提高了工作效率,但基于網頁的入侵及欺詐行為也在威脅著網站數據的安全性及可信性。其主要表現在:
(1)Web頁面欺詐
許多提供各種法律法規及相關專業數據查詢的站點都提供了會員服務,這些會員一般需要繳納一定的費用才能正式注冊成為會員,站點允許通過信用卡在線付費的形式注冊會員。攻擊者可以通過一種被稱為Man-In-the-Middle的方式得到會員注冊中的敏感信息。
攻擊者可通過攻擊站點的外部路由器,使進出方的所有流量都經過他。在此過程中,攻擊者扮演了一個人的角色,在通信的受害方和接收方之間傳遞信息。人是位于正在同心的兩臺計算機之間的一個系統,而且在大多數情況下,它能在每個系統之間建立單獨的連接。在此過程中,攻擊者記錄下用戶和服務器之間通信的所有流量,從中挑選自己感興趣的或有價值的信息,對用戶造成威脅。
(2)CGI欺騙
CGI(CommonGatewayInterface)即通用網關接口,許多Web頁面允許用戶輸入信息,進行一定程度的交互。還有一些搜索引擎允許用戶查找特定信息的站點,這些一般都通過執行CGI程序來完成。一些配置不當或本身存在漏洞的CGI程序,能被攻擊者利用并執行一些系統命令,如創建具有管理員權限的用戶,開啟共享、系統服務,上傳并運行木馬等。在奪取系統管理權限后,攻擊者還可在系統內安裝嗅探器,記錄用戶敏感數據,或隨意更改頁面內容,對站點信息的真實性及可信性造成威脅。
(3)錯誤和疏漏
Web管理員、Web設計者、頁面制作人員、Web操作員以及編程人員有時會無意中犯一些錯誤,導致一些安全問題,使得站點的穩定性下降、查詢效率降低,嚴重的可導致系統崩潰、頁面被篡改、降低站點的可信度。
2.3.3網絡服務的潛在安全隱患
一切網絡功能的實現,都基于相應的網絡服務才能實現,如IIS服務、FTP服務、E-Mail服務等。但這些有著強大功能的服務,在一些有針對性的攻擊面前,也顯得十分脆弱。以下列舉幾種常見的攻擊手段。
(1)分布式拒絕服務攻擊
攻擊者向系統或網絡發送大量信息,使系統或網絡不能響應。對任何連接到Intemet上并提供基于TCP的網絡服務(如Web服務器、FrP服務器或郵件服務器)的系統都有可能成為被攻擊的目標。大多數情況下,遭受攻擊的服務很難接收進新的連接,系統可能會因此而耗盡內存、死機或產生其他問題。
(2)口令攻擊
基于網絡的辦公過程中不免會有利用共享、FTP或網頁形式來傳送一些敏感文件,這些形式都可以通過設置密碼的方式來提高文件的安全性,但多數八會使用一些諸如123、work、happy等基本數字或單詞作為密碼,或是用自己的生日、姓名作為口令,由于人們主觀方面的原因,使得這些密碼形同虛設,攻擊者可通過詞典、組合或暴力破解等手段得到用戶密碼,從而達到訪問敏感信息的目的。
(3)路由攻擊
攻擊者可通過攻擊路由器,更改路由設置,使得路由器不能正常轉發用戶請求,從而使得用戶無法訪問外網。或向路由器發送一些經過精心修改的數據包使得路由器停止響應,斷開網絡連接。
三、消防信息化建設中解決網絡安全問題的對策
3.1規范管理流程
網絡安全工作是信息化工作中的一個方面,信息化工作與規范化工作的根本目的一樣,就是要提高工作效率,只不過改變了規范化的手段。因此,在實行信息化的過程中,管理有著比技術更重要的作用,只有優化管理過程、強化管理基礎、細化管理流程、簡化管理冗余環節、提高管理效率,才能在達到信息化目的的同時,完善網絡安全建設。
3.2構建管理支持層
信息化是一項系統性工程,其實施自始至終需要單位最高層領導的重視和支持,包括對工作流程再造的支持、對協調各部門統一開展工作的支持、對軟件普及和培訓的支持。在實際工作中,應當建一個“信息化建設領導小組”,由各部門部長擔任成員,下設具體辦事部門,具體負責網絡建設和信息安全工作,這是一種較理想的做法。但要真正發揮其作用,促使信息工作的順利開展,不僅需要領導的重視,更重要的是需要負責人有能力充分協調與溝通各業務部門開展工作,更要與其他部門負責人有良好的協調配合關系。
3.3制定網絡安全管理制度
加強計算機網絡安全管理的法規建設,建立、健全各項管理制度是確保計算機網絡安全必不可少的措施。如制定人員管理制度,加強人員審查;組織管理上,避免單獨作業,操作與設計分離等。
3.4采取有效的安全技術措施
就當前消防信息化建設的程度來看,網絡的應用主要體現在局域網服務、Web服務和數據庫服務上。應當避免與Internet連接直接接入,而是配置一臺安全的服務器,整個局域網通過這個上網,這樣上網的終端在Internet上是沒有真實IP的,能避免大多數的常規攻擊。對基于Web服務的網上辦公、電子政務,應當安裝經公安部安全認證的網絡防火墻,由專人負責,盡量少開無用的服務,對系統用戶的數量和權限做嚴格限制,并可采用授權證書訪問或IP限制訪問,增強站點的安全性。在數據庫方面,現消防部門主要應用Microsoft的Access,此數據庫的網絡功能主要基于ASP、PHP等動態網頁平臺來實現,通過SQL查詢語句與頁面進行交互,在保證系統不被侵入、數據庫不能被直接下載的前提下,數據安全主要由頁面查詢語句的嚴密性來保證。除Access之外,應用較多的是Microsoft的SQLServer和Oracle,這兩套數據庫系統的網絡功能很強大,其安全性首先需要一個專業的數據庫操作員,對數據庫進行正確的配置、限制數據庫用戶的數量、根據用戶的職責范圍設定權限、對敏感數據進行加密、定時備份數據庫,保證數據的連續性和完整性。
1.1內部網絡的操作系統要保證安全性
內部網絡的服務器在計算機的應用程序和計算機的終端操作上都以一定的應用系統和網絡安全技術來實現網絡操作的安全性,這些都是以操作系統的運行來實現的。所以,一定要保持內部網絡的操作系統實現安全、穩定的運行,才能保證內部網絡的整體安全基礎。既要加強操作系統的漏洞補丁安裝和實時監控系統,對用戶訪問的控制與授權都要進一步完善。
1.2內部網絡要通過路由器保證安全
內部網絡的數據傳輸要通過路由器等設備來實現,而數據的傳輸也要以報文廣播等技術,通過可靠控制的對策,而數據信息在傳輸中很容易受到非法的入侵,內部網絡的安全要由路由器來實現分段的管理,通過虛擬的局域網技術,在物理與邏輯的結構上隔離,完成內部網絡的安全性。
1.3內部網絡進行防火墻系統的設置
內部網絡安全威脅主要來自拒絕服務的網絡攻擊,所以,要使內部網絡的安全得到保證,就要盡可能的選擇功能強的防火墻。內部網絡對防火墻系統進行合理的配置,使數據可以充分過濾和攔截,實現有效的監控。一旦出現非法入侵,內部網絡就要立刻停止當前的服務,可以使非法入侵的行為得到制止,有效防止內部網絡中的數據和信息被獲取或者篡改。而防火墻也要進行有效的配置,才能使非法用戶在內部網絡之間的訪問得到有效的限制。對內部網絡要設置好有效的網絡地址,使網絡訪問的權限得到控制,對網絡設備各項配置和參數可以有效的控制,防止被篡改,使企業內部網絡安全得到保證。
1.4內部網絡入侵檢測的系統要做好部署工作,保證網絡的安全性
內部網絡出現安全威脅很多時候都是因為管理員疏忽導致的不規范操作引起的,而且有些工作人員會引起網絡的非法入侵,所以,只憑借防火墻是很難使內部網絡安全得到保證的。內部網絡要對入侵檢測的系統做好周密的部署,配合防火墻的工作,既可以及時的發現內部網絡安全威脅,還會對一些系統的漏洞和網絡的病毒及非法的攻擊及時發現和處理。使企業內部網絡各項管理系統可以得到穩定的運行。
1.5移動及無線設備
對于大多數中小企業而言,自帶設備辦公趨勢根本就不是啥新鮮事兒。不過正是由于這種輕信的態度,小企業沒有為嚴格控制并管理員工自有設備制定出切實有效的政策,這一點在無線網絡構建方面同樣非常明顯。企業Wi-Fi網絡作為移動設備辦公不可或缺的組成部分,過去也一直受到安全風險的威脅。首先,大家在實際應用中應該選擇那些安全性好的無線方案(例如WPA2、801.11或者VPN)、為網絡訪問設置高強度密碼,同時經常掃描各類接入終端、揪出惡意設備。除此之外,我們還需要制定政策,要求員工為自己的移動設備設置解鎖密碼,并在設備丟失時能夠及時鎖死或清除所保存的內容。
1.6內部網絡安全防范方案的設計
要真正解決內部網絡安全隱患,就要適應內部網絡業務信息系統擴展和應用,做好系統的更新和升級,對系統變化和網絡的變化及時做好調整。企業內部網絡的安全設計是有上下級區分的,這種設計方案是符合現代企業職能需要,而方案的設計也要實現內部網絡的安全防范任務,實現企業內部網絡的安全防范。企業內部網絡的安全防范設計中,既要設置好上方的企業下級部門,也要設置好企業的上級部門,通過內部網絡,企業的下級部門實現與上級部門的連接。可見,企業內部網絡進行安全防范的方案設計,下級部門盡量避免和外部的互聯網連接,下級部門若有需要一定要和外部的互聯網做出數據的傳輸或者交換,就要使用上級部門外網的路由器來完成。而流入和流出的各種數據包也要進行處理,通過外網的防火墻與入侵監測系統完成安全的過濾。企業把網絡安全重點工作設計在網關的設置與網絡邊界的防御設置上,所以,網絡安全的防范產品與制度都要在外部互聯網入口附近進行配置,這種配置方法,使內部網絡安全管理工作不能得到保障。
2結束語
計算機“病毒”與人們常說的生物學病毒具有極為相似的特征,其具有較強的傳染性、破壞性以及潛伏性。計算機的“病毒”一般都會隱藏在計算機系統中的某個文件當中,隨著文件的復制或是傳輸過程進而逐漸發生蔓延。也正因如此,才會導致2010年伊朗工程系統慘遭侵害,名為“震網”的病毒一時之間攻擊了伊朗國家工程系統的大量文件和數據,進而對其數據的采集和監控都造成巨大的影響和威脅。
2計算機網絡安全防護體系應用的主要技術
2.1系統的漏洞掃描技術
任何一臺計算機的網絡系統中都會存在大大小小的網絡漏洞或是缺陷,而這些漏洞一旦被惡意的侵害或是利用,就極有可能對計算機的網絡系統或是網絡的用戶造成不同程度的威脅。因此,為解決計算機網絡用戶這一困擾,降低網絡漏洞的危險性,預防各種可能發生的網絡侵害,用戶就應設置計算機網絡的定期漏洞掃描,一旦發現漏洞要及時進行全網的檢測,并及時對其進行修復。
2.2計算機網絡的管理技術
為增強計算機網絡的應用過程的規范性、提高計算機網絡問題的分析能力和追蹤能力,可以通過網絡身份的認證技術來對當前用戶進行認證,進而有效防止信息的泄露和病毒的侵害。身份認證技術不僅可以有效提升非法用戶對網絡訪問時的難度,還可以在網絡用戶發生異常操作時對其進行緊急的跟蹤和記錄,大大提高網絡使用的安全性。
2.3設置網絡防火墻的保護技術
所謂防火墻技術是指外網和內網進行通信過程中對網絡訪問實施控制的相關技術。防火墻技術具有較強的安全防護作用,其可以根據用戶專門設置的網絡保護策略對不同網絡或是網絡之間的訪問、信息的傳輸等行為進行實時的數據監控與檢測。當前,我國最常使用的防火墻技術包括三種,分別為包過濾的防火墻技術、地址轉換的防火墻技術以及防火墻的技術。
3建設計算機網絡安全防護體系的思路
根據當前計算機網絡所面臨的主要威脅和計算機網絡安全防護的相關技術可知,計算機網絡的內部及外部存在著一定風險,因而出現了不可信理念。對此,建立一種新型的網絡安全防護體系已經被逐漸提上日程。本文在相關技術的支持下,根據計算機網絡存在的主要問題和風險構建一個以“網絡信息的保護策略”為核心、以“網絡信息的加密技術”為依據、以“可信計算保護技術”為前提、以“入侵檢查技術”為基礎的網絡安全防護體系,以期有效增強計算網絡的安全性與可靠性。
3.1網絡信息的保護策略
制定網絡信息的保護策略應主要從四個方面著手。第一,是有關網絡分級的保護策略,該策略包括對管理的規范、方案的設計、技術的要求以及安全的評價等各項內容,是一套比較完整、符合標準的規范。第二,是保護網絡安全、落實網絡縱深的防御策略,即根據網絡信息的安全程度劃分網絡的區域,嚴格實施區域邊界的安全保護和密保控制,進而有效增設網絡縱向的多層部署。第三,實施安全密保的動態防護,該策略主要是加強對網絡的威脅檢測,進而提高邊界的防護、監控等行為的力度,設置相關的應急預案,構建“容災與恢復”的相關機制等。第四,強化計算機內網的安全防空與保護,加大力度提高相關人員的職業技能與網絡保護的意識,大力推行“強審計”策略的實施,建立健全我國網絡安全的法令法規。
3.2網絡信息的加密技術
網絡信息的加密技術一直被廣泛應用于網絡信息的傳輸方面,該技術可以有效控制或是阻止信息傳輸過程中他人的截取和對信息的惡意篡改。同時也防止信息被他人看到或是破壞。當前,我國使用最廣泛的網絡協議就是IP協議和TCP協議,然而這兩種協議也恰恰是兩個網絡的高危漏洞。例如,IP協議本身就存在許多的漏洞和弊端,其地址可以利用軟件自行設置,這就導致地址的假冒和地址的欺騙兩種類型安全隱患的產生。此外,IP協議還支持源點指定信息的方式,信息包可以傳送到節點路由,這也為源路由的攻擊創造了條件。因而設計網絡信息加密的防護機構時,必須要注意以下幾點要求:采用合適的密碼體制、選擇安全、合理的密鑰管理方法、對網絡接口進行數據加密、對應用層的數據進行加密。該方式下的網絡防護,可以有效抵制黑客和病毒的入侵。
3.3可信計算的保護技術
“可信”就是指實體再完成給定的目標時,總是會與預期的結果相同,同時也強調了行為結果的可預測性、可控制性。而“可信計算”就是指計算機網絡中一的組件,操作的行為在任意條件下都是可預測的,而且還可以很好的阻止不良代碼與其他物理形式的干擾及破壞。當前,可信計算的平臺主要具有如下幾項功能:為用戶建立唯一的身份驗證及權限、確保數據儲存以及傳輸等過程的機密性和安全性、確保計算機系統硬件以及相關環境的完整性、提高計算機系統的免疫能力,進而有效組織計算機病毒的入侵或是“黑客”的破壞。可信計算的平臺在建立過程中,是從最初可信性的建立,到后期的硬件平臺建立,再操作系統的應用,這些過程都是主機增加該平臺的可信程度,進而完成信任的傳遞和擴散。這種可信的計算機網絡系統,可以確保整個網絡環境的可信度。
3.4網絡的入侵檢測技術
網絡的入侵檢測技術是指計算機網絡本身自帶的一種防御技術,具有主動性。該技術可以與多種技術相互組合或是相互應用,進而制定出與網絡相互匹配的安全防御系統。入侵檢測技術通常會被分為兩種類型,一類是異常檢測,另一類是濫用監測。前者通常都是將統計作為習慣,進而判斷網絡的入侵行為。而后者是根據網絡的檢測規則來跟蹤網絡中的入侵行為。該技術的應用主要是針對已知攻擊行為的檢測。例如,攻擊者時常利用PHP程序的漏洞來入侵計算機網絡,或是利用Email、聊天室等植入大量的木馬或是病毒從而瀏覽被入侵者的瀏覽器等。對網絡實施監測和入侵監測主要的目的是分析用戶的系統活動,審計系統的整個構造進而了解系統的弱點,對系統中存在的異常行為或是模式進行分析和統計,最終評估系統和數據信息的完整性。該技術主要是通過收集網絡的相關行為、網絡安全日志、網絡審計的數據以及其他網絡的各種信息并對其進行分析,最終獲得計算機系統中的關鍵點信息,檢測網絡系統中是否有違反安全網絡安全策略的行為存在,進而在第一時間為網絡的內部和外部提供安全防護。
4總結
關鍵詞:高校;無線;網絡;設計;安全
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 13-0000-01
Wireless Network Design and Security Issues of China's Colleges and Universities
Chen Yiguo
(Zhejiang International Studies University,College of Information,Hangzhou310012,China)
Abstract:With information technology replacing the industrial,electronic and information technology has been extremely significant development,the traditional network cabling technology also entered into a continually wireless network to replace the development of the situation in which this paper to present our university wireless network design practice based on the application made to the university wireless LAN network design advantages of information and why, noting that China's colleges and universities wireless network security problems.
Keywords:Colleges and Universities;Wireless;Network;Design;
Security
一、我國高校無線網絡設計中的組成要素
(一)無線網卡。在高校網絡的設計當中,網絡的布線控制是技術中最為復雜的一點,也正是為了解決這一問題,無線網卡應運而生,它是一種通過將操作系統與無線產品的接口來創建一個網絡連接,主要用于短距離無線網絡設備之間的通訊,我們將它以網絡接口的不同類型來劃分,主要可分為三類,如表1所示:
無線網卡 應用范圍
PCMCIA卡 直接應用于終端設備
PCI+PCMCIA卡 主要應用于臺式機器
USB適配器 以上兩種類型皆可使用
表1:無線網卡分類及其應用范圍
(二)無線AP。在無線網絡的設計中,這是一項主要應用于無線交換機當中的核心技術,它借助于路由器的功能,能夠實現我國高校無線網絡中的internet共享,在使用中如果周圍的環境中仍存在著其他的無線網絡,應注意避免使用同樣的頻率段,防止沖突的發生。在進行連接時,應首先確保SSID號的設置保持與無線AP的一致性,保證能夠順利實現網絡的接入,無線AP的效用半徑通常取決于設備天線的置放方向與及增益情況。
(三)無線路由器。無線路由器,作為目前高校無線網絡中的一個重要設備,主要是擔當著兩個或兩個以上的局域網之間的數據傳輸的介質角色,能夠完成網絡傳輸中的網絡層中繼或第三層中繼任務。
二、安全防范措施的設計
為了解決不斷增長的無線上網需求與及電腦數量極其有線的矛盾,更好的將校園網絡服務于全校師生,在經過了多方面全方位的分析之后,我們采用WLAN作為網絡接入點對當前的網絡進行重新改造,以SWL-900AP+為無線局域網橋連接器為主要接入設備,其中我們已經內置了TCP/IP的功能,這是一項可實現自動為使用用戶自動分配IP地址的,可實現在網絡覆蓋范圍內依據穩定的數據傳輸為用戶提供更高的安全級別的網絡。通常,由于實現無線通信的手段各式各樣,無線上網技術也主要是以GPRS技術與3G網絡為典型代表,直至目前為止,較廣泛普及的是802.11b的無線網絡標準,網絡吞吐速率為54Mbps,同時,隨著科技的發展也有了較快的提升。
在進行高校無線網絡的設計時,不僅要考慮到WEP數據協議的加密問題以外,還應做好的工作有:(1)MAC地址的綁定,對非法用戶的訪問進行限制;(2)控制端口的訪問,進行AP隔離;(3)創建一個臨時用戶群組,限制費制定用戶的訪問,圖示1為高校網絡設計方案。
圖示1:高校網絡設計方案
四、我國高校無線網絡的設計完善措施
(一)要明確構建目標。在進行高校無線網絡的設計時。明確構建的目標也就是要明確為什么要構建無線校園網絡:
1.首先是由于傳統有線網絡布線工程量大,施工難度大、耗費時間較長等種種原因,使得無線網絡的運用已不僅僅只是為了引進新技術的問題,而是從節約控制成本與及工程量的有效措施。2.其次是由于高校無線網絡可實現教學的極大便捷性,促使教學資源的共享與整合利用,改變傳統教學中的理念方法,分享更多的教學資源。3.另外,傳統網絡節點明顯不足,無法滿足高校眾多師生的用網需求,炙手可熱的網絡接口成為目前的較大局限,有些學生自己購買了路由設備進行網絡連接,錯綜復雜的網線布置加強了公寓管理的難度,進行無線網絡的構建也是為了能夠更好的解決這一問題。
(二)要結合有線網絡進行方案的設計二十世紀開始。我國各高校均已陸續進行了有線局域網的架設工作,校園內的網絡擴建進一步完善了我國高校的網絡基礎設施建設。已形成了相當的格局。而運用無線網絡能夠提供的服務類型多樣,如WEB網絡服務,FTP文件傳輸協議服務,Email郵件服務與及撥號服務服務等等。
五、小結
綜上所述,我國高校引用無線網絡來解決校園網絡中存在的一系列弊端,是現代化校園的一個明顯的特征,在高校的無線網絡建設中,仍然存在著必然存在的安全問題,嚴重阻礙了我國高校網絡的無線化進程。合理的進行方案設計,不僅能夠大大的加快我國科學教育與及信息化教育的進程速度,有效的控制非法用戶的入侵,同時,也為我國高校的建設水平提高創建了前提條件,有著十分積極的意義。
參考文獻:
[1]應海盛.無線局域網的安全隱患與對策思考[J].浙江海洋學院學報(自然科學版),2008,1
網絡類畢業設計論文寫作方法及答辯要求
(試 行)
一、 網絡類題目的特點
學生絡類題目的特點主要以校園網、小型企業網、大型企業網(多地互聯)為應用場合,進行網絡工程設計類或網絡安全類論文的寫作。
二、 網絡工程設計類論文的寫作
1.論文寫作要求
類似于投標書,但有不同于投標書,不要有商務性質的內容(項目培訓、售后服務、產品說明書、產品報價……),也一般不考慮具體綜合布線(職院學校的要求),主要傾向于其技術實現。
2.論文寫作基本環節
采用工程業務流程,類似于軟件工程:
1)需求分析
2)功能要求
3)邏輯網絡設計(設計原則、拓撲結構圖、背景技術簡介、IP地址規劃表),也稱為總體設計
4)物理網絡設計(實現原則、技術方案對比,一般考慮結構化布線),也稱為詳細設計
5)網絡實現(設備選型和綜合布線屬于這個階段,但我們主要強調各種設備的配置與動態聯調以實現具體目標)
6)網絡測試(比較測試預期結果與實際結果)
具體實現通過采用Dynamips 模擬平臺和Cisco Packet Tracer(PT)模擬平臺。
3.注意事項
1)抓住題目主旨和側重點(類似題目的需求不同,取材角度不同、參考資料的取舍也不同。不同的應用場合會采用不同的拓撲結構、路由技術(BGP、RIP、單區域和多區域的OSPF)、交換技術(Vlan、生成樹、鏈路聚合、堆疊)、訪問(接入)技術、安全技術等,只有這樣題目才能各有千秋,否則就都變成了XX公司(校園)網絡設計。)
2)不要有商務性質的內容(項目培訓、售后服務……)
3)不要產品使用說明書和安裝調試說明書
4)不建議包含綜合布線的整個過程。
4.存在的問題與案例分析
1)結構不太清楚,有些環節沒有
2)不應有產品說明書,具體實現要更清楚
三、 網絡安全類論文的寫作
1.論文寫作基本環節與要求
從技術上講主要有:
1)Internet安全接入防火墻訪問控制;
2)用戶認證系統;
3)入侵檢測系統;
4)網絡防病毒系統;
5)VPN加密系統;
6)網絡設備及服務器加固;
7)數據備份系統;
從模型層次上講主要有:
1)物理層安全風險
2)網絡層安全風險
3)系統層安全風險
不同的應用需求采用不同的技術。
2. 存在的問題與案例分析
1)選題有些過于復雜而有些過于簡單
2)只是簡單敘述各種安全技術,沒有具體實現
四、 論文答辯要求
1)論文格式:從總體上,論文的格式是否滿足《韶關學院本科畢業設計規范》的要求?
2)論文提綱:設計條理是否清晰,思路是否明確;
關鍵詞:校園網 規劃 信息化
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1007-9416(2016)11-0162-01
近年來,某高職院校適應經濟社會發展對應用型高技能人才的需求,主動謀變,科學轉型,人才培養質量有了顯著提升,同時為了加快發展,于2015年征地800畝,開始建設新校區。新校園的網絡設施建設是基礎設施建設的重要環節,其規劃及設計既要充分考慮與老校網絡的互聯互通,技術方案、設備選型又要適當超前規劃,考慮未來學校的長遠規劃。
1 現狀與需求分析
1.1 校園網絡現狀
(1)網絡核心設備。目前該校的網絡核心設備主要是華為NE系列核心交換機組成,有少量采用h3c設備。華為NE系列交換機是具有三層交換功能的高端交換機,性能十分穩定。各網絡節點之間用高速光纖接入。服務器以采用IBM刀片服務器為主。
(2)主干線路。目前,該高職院校的校園網主干線路為千兆,主干線路連接主交換機與二級交換機,二級交換是各網絡節點與桌面電腦之間,大部分為百兆,擬升級為千兆。
(3)網絡覆蓋率及上網速度。該高職院校所有建筑單元均已覆蓋校園園,百分之百的公用電腦均已入網。學校網絡已接入中國教育教研骨干網絡。
(4)網絡拓撲結構。該院校目前的網絡拓撲結構以集中式為主,結構比較合理,但是隨著校園網網絡用戶數量的不斷擴大,現有的網絡負載量急劇增長,擴容十分必要。具體拓撲結構如圖1所示。
1.2 新校園網絡建設需求
該高職院校新校區目前在校生10000人,預計2020年要達到15000人的規模。教工用戶穩定在2000人左右。新校區按照電工、電子、機械、人文等專業群劃分為四個教學功能區,電工與電子專業集群共用實驗樓,機械與數控等專業共用一個實驗樓。
2 新校區網絡設計原則
新校區網絡建設與新校區基礎設施建設遵循同步設計、有序施工原則。在新校區土建方案中即考慮網絡管線設計,確定好核心點和匯聚點的位置、接入接式。網絡建設與中心機房建設同步進行,遵循一個數據標準。
3 系統總體方案設計
3.1 網絡拓撲結構設計
該院校網絡拓撲設計考慮兩種方案:
(1)星型結構。以圖文信息大樓為中心,兩臺核心交換設備構成核心層;文科組團、理工組團二、生活區、各建一個匯聚點,學生公寓設置3個匯聚點,以上7個匯聚點用雙鏈路接入核心層構成匯聚層;每個建筑體接入臨近匯聚點,構成接入層。網絡中心設在核心層圖文信息大樓中。
(2)環型結構。以圖文信息中心、文科組團、理工組團二、學生公寓四點建立一核心環,用雙鏈路連接保證可靠性,該環構成核心層。在公共教學組團、文科組團、理工組團一、理工組團二、生活區各設置一個匯聚點、學生公寓區設置三個匯聚點,各匯聚點用雙鏈路平均接入核心環結點構成匯聚層,保證負載平衡。每個建筑體接入臨近匯聚點,構成接入層。網絡中心設在核心環上圖文信息大樓中。
經與新校區建設指揮部協商,并征求施工方及專家的意見,確定該高職院校新校區網絡設計方案采用兩種方案結合的方式進行。即在網絡主干布線時采用第二種方案,在二級結點之間采用第二方案。
3.2 新、老校園網絡接入
由于該高職院校新、舊校區物理上相隔較遠,自成一體。在新校區網絡設計時,必須考慮租用第三方運營商線路。本院校租用了電信的萬兆級裸光纖,用以新、舊校區高速數據交互的需要。新校區的校園網與中國教育科研網的連接復用老校區的出口。
3.3 網絡安全保證
(1)建立電子身份體系。以該校一卡通管理為依托,為該校每一個學生建立一個網絡身份證,并與教工用戶使用不同的密鑰系統。實行“集中授權、統一認證”,保證用戶身份的真實性、唯一性和權威性。用戶密鑰采用硬件、軟件加密系統,并引入口令卡技術,確保用戶個人的信息安全。
(2)網絡安全系統。網絡安全系統主要有硬件防護和軟件防護組成。該高職院校硬件防護主要是在校心交換上布設了內外網隔離網閘、防火墻,在網絡服務器部設入侵檢測系統及資源管理系統,實時監測服務器CPU、內存、磁盤陣列的資源負載情況;軟件防護主要購買了綠盟病毒防護系統、安捷數據庫訪問審計系統。從硬件、軟件兩方面建立了該高職院校的校園網網絡安全防護體系。
4 結語
本論文主要結合某高職院校新校區的建筑部局,對該高職院校新校區的網絡建設需求進行了分析,并給出了新校區網絡拓撲的兩種方案,最后采用兩種方案融合進行的思路,充分考慮了未來新校區網絡建設的發展需求。網絡安全是網絡規劃與設計中需要考慮的重要內容。本論文也給出了該高職院校網絡安全保障的建設內容,包括建立電子身份體系、防火墻、入侵檢測、病毒防護、VPN等安全系統和網管系統,并給出了該高職院校網絡安全的防護結構示意圖。本論文的研究對于大學新、老校園的網絡建設具有重要的參考意義。
參考文獻
[1]周蘇,王文.高職院校數字化校園的規劃及其網絡系統的設計[J].信息化建設,2015.
關鍵詞:電子政務,信息安全,網絡安全,安全模型,信息安全體系結構
一、電子政務安全體系概述 網絡安全遵循“木桶原理”,即一個木桶的容積決定于它最短的一塊木板,一個系統的安全強度等于它最薄弱環節的安全強度。因此,電子政務必須建立在一個完整的多層次的安全體系之上,任何環節的薄弱都將導致整個安全體系的崩潰。 同時,由于電子政務的特殊性,也要求電子政務安全環境中重要的加密/密鑰交換算法等安全核心技術必須采用具有自主知識產權或原碼開放的產品。
一個完整的電子政務安全體系可由四部分構成,即:基礎安全設施、安全技術平臺、容災與恢復系統和安全管理,如圖:
基礎安全設施是一個為整個安全體系提供安全服務的基礎性平臺,為應用系統和網絡系統提供包括數據完整性、真實性、可用性、不可抵賴性、機密性在內的安全服務。有了這一基礎設施,整個電子政務的安全策略便有了實現的保證。這一平臺的實現主要包括CA/PKI。
網絡系統安全是一個組合現有安全產品和技術實現網絡安全策略的平臺。網絡系統安全的優劣取決與安全策略的合理性,電子政務的網絡安全策略是:劃分網絡安全域建立多層次的動態防御體系。
電子政務系統用戶類型復雜,劃分網絡安全域將具有相似權限的用戶劃分成獨立的管理域,管理域之間通過物理隔離與認證/加密技術實現有限可控的互連互通,有利于降低整個系統訪問權限控制的復雜性,降低系統性風險。
基于多層次的防御體系在各個層次上部署相關的網絡安全產品以增加攻擊都侵入時所需花費的時間、成本和資源,從而有效地降低被攻擊的危險,達到安全防護的目標。如訪問控制可部署在網絡層的接入路由器/VLAN交換機和應用層的身份認證系統兩層之上。
網絡信息安全具有動態性的特點:網絡和應用程序的未知漏洞具有動態產生的特點;電子政務的應用也會動態變化、網絡升級優化將導致系統配置動態更新。這些都要求我們的防御系統必須具有動態適應能力,包括建立入侵監測(IDS)系統,漏洞掃描系統和安全配置審計系統,并將它們與防火墻等設備結合成連動系統,以適應網絡環境的變化。
災難恢復系統在發生重大自然及人為災難時能迅速恢復數據資料,保證系統的正常運行并保護了政務歷史資料。電子政務的容災與恢復系統應該采用磁帶靜態備份與磁盤同步備份相結合的方式。磁帶靜態方式用于離線保存歷史記錄,保證了歷史信息的完整,而磁盤同步方式則用于災難數據恢復,保護了當前系統的所有數據。
安全管理也是電子政務安全體系的重要組成部分。網絡安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段,再好的技術手段都必須配合合理的制度才能發揮作用。需要制定的制度包括:日常系統操作及維護制度、審計制度、文檔管理制度、應急響應制度等。
二、電子政務安全體系的設計電子政務系統是一個復雜的多層次應用系統,根據不同的應用環境和安全要求一般可分為三個不同的網段:內網、專網、外網。免費論文。
內網包括內網的數據層、內網的業務層;內網數據層是政府信息的集中存儲與處理的域,該域必須具有極其嚴格的安全控制策略,信息必須通過中間處理才能獲得。內網的業務層是政府內部的電子辦公環境,該區域內的信息只能在內部流動。
專網連接政府不同的部門和不同部門的上下級部門。它把部分需要各部門交換的信息進行交換。該區域負責將信息從一個內網傳送到另一個內網區域,它不與外網域有任何信息交換。免費論文。
外網是政府部門的公共信息的場所,它實現政府與公眾的互操作。該 域應與內網和專網隔離。
不同的網絡連接示意圖如下:
根據不同網絡的不同安全需求,設計了如下一個電子政務的安全模型:
三、電子政務安全體系的部署
電子政務安全體系的部署應遵循確定安全需求、安全狀態評估、安全策略制定(含管理制度)、安全方案設計、安全方案實施、安全制度培訓的順序進行。免費論文。前期的確定安全需求和安全狀態評估是整個安全體系部署中最重要的兩個步驟,它們是后續制定安全策略和方案設計的依據,決定了整個安全體系的可靠性。
全面的安全需求調查包括兩個方面:系統安全的功能需求和安全置信度需求。系統安全的功能需求包括安全審計需求、安全連接需求、身份認證、信息機密需求、數據保護需求以及安全管理需求。安全置信度需求包括安全保護輪廓評估(PP)、安全目標(ST)評估、系統配置維護管理、用戶手冊規范、產品生命周期支持以及測試等內容。
安全狀態評估通常采用五種方式來了解安全漏洞:1) 對現有安全策略和制度進行分析;2) 參照一些通用的安全基線來考察系統安全狀態;3) 利用安全掃描工具來發現一些技術性的常見漏洞;4) 允許一些有經驗的人在監管之下對特定的機密信息和區域做模擬入侵系統,以確定特定區域和信息的安全等級;5) 對該系統的安全管理人員和使用者進行訪談,以確定安全管理制度的執行情況和漏洞。
同時應注意的是,安全體系的部署并非一勞永逸的事情,隨著系統安全狀態的動態變化,應定期對系統進行安全評估和審計,搜尋潛在的安全漏洞并修正錯誤安全配置。
總之,電子政務的安全系統是個容復雜組織和先進IT技術于一體的復合體,必須從管理和技術兩方面來加強安全性,以動態的眼光來管理安全,在嚴謹的安全需求分析和安全評估的基礎上運用合理的安全技術來實現電子政務的整體安全。
·參考文獻:
1. 電子政務總體設計與技術實現 《北京:電子工業出版社》 國家信息安全工程技術研究中心 2003
2.《國家信息化領導小組關于推進國家電子政務網絡建設的意見》國信辦 2006
3.電子政務安全解決方案要解決的主要問題 《信息安全與通信保密》 譚興烈 2004
4.電子政務安全體系 《信息安全與通信保密》 鄔賀銓 2003
關鍵詞:計算機,網絡安全,防火墻
隨著計算機網絡的廣泛應用,網絡安全問題日漸突出。網絡具有跨國界、無主管、不設防、開放、自由、缺少法律約束力等特性,網絡的這些特性顯示了它的許多優點,但同時也使它容易受到來自各方面的入侵和攻擊。如果不很好地解決這個問題,必將阻礙計算機網絡化發展的進程。
1 網絡安全概述
網絡安全從本質上來講就是網絡上的信息安全,指網絡系統中流動和保存的數據,不受到偶然的或者惡意的破壞、泄露、更改,系統能連續正常的工作,網絡服務不中斷。從廣義上來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全所要研究的領域。
2 網絡安全的威脅因素
歸納起來,網絡安全的威脅主要有:
(1)網絡協議的局限性。 Internet的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設計上就是不安全的。并且,由于TCP/IP協議是公布于眾的,若人們對TCP/IP協議很熟悉,就可以利用它的安全缺陷來實施網絡攻擊。
(2) 人為的無意失誤。如操作員安全配置不當造成的安全漏洞,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。雖然網絡中設置了不少保護屏障,但由于人們的安全意識淡薄,從而使保護措施形同虛設。例如防火墻,它是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目的就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭受外界因素的干擾和破壞。如有人為了避開防火墻服務器的額外認證,進行直接的PPP連接,就會使防火墻失去保護作用。
(3)計算機病毒的危害。 計算機病毒是一個能夠通過修改程序,把自身復制進去進而去傳染其它程序的程序。它并不獨立存在,而是寄生在其他程序之中,它具有能自我“復制”并能“傳播”這一基本特征,并在計算機網絡內部反復地自我繁殖和擴散,危及網絡系統正常工作,最終使計算機及網絡系統發生故障和癱瘓。目前全世界的計算機活體病毒達14萬多種,其傳播途徑不僅通過軟盤、硬盤傳播,還可以通過網絡的電子郵件和下載軟件傳播。隨著計算機應用的發展,人們深刻地認識到病毒對計算機信息系統造成嚴重的破壞。
(4) 黑客的威脅和攻擊。 這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為2種:一種是網絡攻擊,以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網絡偵察,他是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得對方重要的機密信息。這2種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄露。網絡軟件不可能是百分之百的無缺陷和無漏洞的,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。黑客入侵的例子枚不勝舉,從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。
3計算機網絡安全防范措施
針對網絡系統現實情況,處理好網絡的安全問題是當務之急。為了保證網絡安全采用如下方法:
(1)配置防火墻。防火墻將內部網和公開網分開,實質上是一種隔離技術。它是網絡安全的屏障,是保護網絡安全最主要的手段之一。免費論文。利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進人自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客隨意訪問自己的網絡。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。免費論文。
(2)安裝防病毒網關軟件。防病毒網關放置在內部網絡和互聯網連接處。當在內部網絡發現病毒時,可能已經感染了很多計算機,防病毒網關可以將大部分病毒隔離在外部,它同時具有反垃圾郵件和反間諜軟件的能力。當出現新的病毒時,管理員只要將防病毒網關升級就可以抵御新病毒的攻擊。
(3)應用入侵檢測系統。入侵檢測技術是近20年來出現的一種主動保護自己免受黑客攻擊的新型網絡安全技術。它能夠檢測那些來自網絡的攻擊,檢測到超過授權的非法訪問。一個網絡入侵檢測系統不需要改變服務器等主機的配置。由于它不會在業務系統的主機安裝額外的軟件,從而不會影響這些機器的CPU、I/O與磁盤等資源的使用,不會影響業務的性能。它從系統運行過程中產生的或系統所處理的各種數據中查找出威脅系統安全的因素,并對威脅做出相應的處理。免費論文。入侵檢測被認為是防火墻之后的第二道安全閘門,它在不影響網絡性能的情況下對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
(4)利用網絡監聽維護子網系統安全。對于網絡外部的入侵可以通過安裝防火墻來解決,但是對于網絡內部的侵襲則無能為力。在這種情況下,可以采用對各個子網做一有一定功能的審計文件,為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序。該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況,為系統中各個服務器的審計文件提供備份。
(5)采用漏洞掃描技術。漏洞掃描是針對特定信息網絡中存在的漏洞而進行的。信息網絡中無論是主機還是網絡設備都可能存在安全隱患,有些是系統設計時考慮不周而留下的,有些是系統建設時出現的。這些漏洞很容易被攻擊,從而危及信息網絡的安全。漏洞掃描是自動檢測遠端或本地主機安全的技術,它查詢TCP/IP各種服務的端口,并記錄目標主機的響應,收集關于某些特定項目的有用信息。它的具體實現是安全掃描程序,掃描程序可以在很短的時間內查出現存的安全脆弱點。掃描程序開發者利用可得到的攻擊方法,把它們集成到整個掃描中,掃描后以統計的格式輸出,便于參考和分析。
(6)應用數據加密技術。數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。
(7)常做數據備份。由于數據備份所占有的重要地位,它已經成為計算機領域里相對獨立的分支機構。時至今日,各種操作系統都附帶有功能較強的備份程序,但同時也還存在這樣或那樣的缺陷;各類數據庫管理系統也都有一定的數據復制的機理和功能,但對整個系統的數據備份來說仍有不夠完備之處。所以,若想根本解決整個系統數據的可靠備份問題,選擇專門的備份軟、硬件,建立專用的數據備份系統是不可缺少的。
結語
隨著網絡的迅速發展,網絡技術的日漸更新,網絡時代的計算機信息安全越來越重要,網絡安全是一個系統的工程,需要仔細考慮系統的安全需求,并將各種安全技術結合在一起,才能生成一個高效、通用、安全的網絡系統。
f參考 文 獻 ]
[1盧開澄:《計算機密碼學一計算機網絡中的數據預安全》(清華大學出版社1998).
[2余建斌:《黑客的攻擊手段及用戶對策》(北京人民郵電出版社1998).
[3〕蔡立軍:《計算機網絡安全技術》(中國水利水電出版社2002).
[41鄧文淵、陳惠貞、陳俊榮:(ASP與網絡數據庫技術》(中國鐵道出版社2003.4).
關鍵詞:入侵誘騙技術;蜜罐;網絡安全
近年來計算機網絡發展異常迅猛,各行各業對網絡的依賴已越發嚴重。這一方面提高了信息的高速流動,但另一方面卻帶來了極大的隱患。由于網絡的開放性、計算機系統設計的非安全性導致網絡受到大量的攻擊。如何提高網絡的自我防護能力是目前研究的一個熱點。論文通過引入入侵誘騙技術,設計了一個高效的網絡防護系統。
一、入侵誘騙技術簡介
通過多年的研究表明,網絡安全存在的最大問題就是目前采用的被動防護方式,該方式只能被動的應對攻擊,缺乏主動防護的功能。為應對這一問題,就提出了入侵誘騙技術。該技術是對被動防護的擴展,通過積極的進行入侵檢測,并實時的將可疑目標引向自身,導致攻擊失效,從而有效的保護目標。
上個世紀80年代末期由stoll首先提出該思想。到上世紀90年代初期由Bill Cheswish進一步豐富了該思想。他通過在空閑的端口上設置一些用于吸引入侵者的偽造服務來獲取入侵者的信息,從而研究入侵者的規律。到1996年Fred Cohen 提出將防火墻技術應用于入侵誘騙技術中,實現消除入侵資源。為進一步吸引入侵目標,在研究中提出了引誘其攻擊自身的特殊目標“蜜罐”。研究者通過對蜜罐中目標的觀察,可清晰的了解入侵的方法以及自身系統的漏洞,從而提升系統的安全防護水平。
二、蜜罐系統的研究
在這個入侵誘騙技術中,蜜罐的設計是關鍵。按交互級別,可對蜜罐進行分類:低交互度蜜罐、中交互度蜜罐和高交互度蜜罐。低交互度蜜罐由于簡單的設計和基本的功能,低交互度的honeypot通常是最容易安裝、部署和維護的。在該系統中,由于沒有真正的操作系統可供攻擊者遠程登錄,操作系統所帶來的復雜性被削弱了,所以它所帶來的風險是最小的。但也讓我們無法觀察一個攻擊者與系統交互信息的整個過程。它主要用于檢測。通過中交互度蜜罐可以獲得更多有用的信息,同時能做出響應,是仍然沒有為攻擊者提供一個可使用的操作系統。部署和維護中交互度的蜜罐是一個更為復雜的過程。高交互度蜜罐的主要特點是提供了一個真實的操作系統。該系統能夠收集更多的信息、吸引更多的入侵行為。
構建一個有用的蜜罐系統是一個十分復雜的過程,主要涉及到蜜罐的偽裝、采集信息、風險控制、數據分析。其中,蜜罐的偽裝就是將一個蜜罐系統通過一定的措施構造成一個十分逼真的環境,以吸引入侵者。但蜜罐偽裝的難度是既不能暴露太多的信息又不能讓入侵者產生懷疑。最初采用的是偽造服務,目前主要采用通過修改的真實系統來充當。蜜罐系統的主要功能之一就是獲取入侵者的信息,通常是采用網絡sniffer或IDS來記錄網絡包從而達到記錄信息的目的。雖然蜜罐系統可以獲取入侵者的信息,并能有效的防護目標,但蜜罐系統也給系統帶來了隱患,如何控制這些潛在的風險十分關鍵。蜜罐系統的最后一個過程就是對采用數據的分析。通過分析就能獲得需要的相關入侵者規律的信息。
對于設計蜜罐系統,主要有三個步驟:首先,必須確定自己蜜罐的目標。因為蜜罐系統并不能完全代替傳統的網絡安全機制,它只是網絡安全的補充,所以必須根據自己的目標定位蜜罐系統。通常蜜罐系統可定位于阻止入侵、檢測入侵等多個方面。其次,必須確定自己蜜罐系統的設計原則。在這里不僅要確定蜜罐的級別還有確定平臺的選擇。目前,對用于研究目的的蜜罐系統一般采用高交互蜜罐系統,其目的就是能夠更加廣泛的收集入侵者的信息,獲取需要的資料。在平臺的選擇上,目前我們選擇的范圍很有限,一般采用Linux系統。其原因主要是Linux的開源、廣泛應用和卓越的性能。最后,就是對選定環境的安裝和配置。
三、蜜罐系統在網絡中的應用
為更清晰的研究蜜罐系統,將蜜罐系統應用于具體的網絡中。在我們的研究中,選擇了一個小規模的網絡來實現。當設計完整個網絡結構后,我們在網絡出口部分配置了設計的蜜罐系統。在硬件方面增加了安裝了snort的入侵檢測系統、安裝了Sebek的數據捕獲端。并且都構建在Vmware上實現虛擬蜜罐系統。在實現中,主要安裝并配置了Honeyd、snort和sebek.其蜜罐系統的結構圖,見圖1。
圖1 蜜罐結構圖
論文從入侵誘騙技術入手系統的分析了該技術的發展歷程,然后對入侵誘騙技術中的蜜罐系統進行了深入的研究,主要涉及到蜜罐系統的分類、設計原則、設計方法,最后,將一個簡易的蜜罐系統應用于具體的網絡環境中,并通過嚴格的測試,表明該系統是有效的。
