時間:2023-10-02 08:59:35
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡安全入門范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
IT業是知識更新十分快的行業,對吃技術飯的IT人士來說,不斷強化技能,及時掌握最新科技,才能不被淘汰出局。從目前的情況看,參加IT認證是提升專業能力最有效的途徑之一。
國際注冊信息安全專家(CISSP)認證
主辦機構:國際信息系統安全認證聯盟(ISC)。
適用人群:針對電信業、銀行證券業、系統集成與服務供應商、電子商務和電子政務及企業的信息系統安全專業人員。
報考條件:具備4年工作經驗或本科畢業3年者;如經驗不夠者,通過考試后需工作時間滿4年,才能申請CISSP資質。
考試內容:共250道全英文單選題,內容覆蓋信息安全公共知識體系的10個專業范疇,著重考核考生的實際專業能力和經驗。
CIW網絡安全專家認證
主辦機構:國際Webmaster協會(IWA)、互聯網專家協會(AIP)、國際互聯網證書機構(ICII)。
適用人群:適合于已熟練掌握互聯網管理技能并希望有效提高網絡安全技能的專業人士,如網絡服務器管理員、防火墻管理員、系統管理員、應用開發人員及IT安全管理人員。
報考條件:已參加CIW基礎培訓,或有MCSE、CCNA基礎證書者。
考試內容:涉及網絡安全與防火墻,Windows和Linux/Unix系統安全,安全審核、攻擊與威脅分析等內容,考試時間為90分鐘,共60題,以選擇題為主。
安全工程師(CCSE)認證
主辦機構:Check Point公司,是全球網絡安全領域的主流廠商,產品的市場占有率高達68%。
適用人群:從事VPN-1/Firewall-1基本安裝及配置的系統管理員、安全管理員及網絡工程師。
報考條件:報考者需掌握Windows NT或UNIX的操作知識,熟悉TCP/IP協議原理,并具有一定的TCP/IP與Internet知識和實際經驗。
考試內容:共安排兩次考試,分別為CCSA認證考和CCSE認證考,均為英文試題,內容涉及配置Internet防火墻、網絡拓撲結構、TCP/IP協議、DNS和DHCP等。
哪些證書門檻較高
CISSP
在信息安全認證考試中,CISSP的考試難度最大。CISSP采用全英文試題,需要考生具有扎實的英語基礎和豐富的專業英語詞匯。此外,考試時間較長,為6個小時,對考生的體力和耐力是一大考驗。
CIW
CIW的考試難度和思科考試差不多,難度偏高,而且都偏重實踐經驗。對考生來說,要想通過考試,多做實驗非常重要。
CCSE
總體來看,CCSE考試不太難,但需要考生熟悉Check Point的操作系統,并需要有一定的實踐經驗。
“十大熱門認證”
信息化安全占據三席
2004北美地區十大最熱門認證排行榜,僅關于信息化安全的認證就占據了其中三席:第一名:微軟MCSE:Security,第三名:美國計算機協會Security+認證,第七名:CISSP(Certified Information System Security Professional,信息系統安全認證專業人員)。可見,在北美地區安全類認證受到追捧。
第一名:MCSE:Security
2003年6月微軟該項認證時,大家都很看好這個由企業的專門的安全認證。它屬于升級考試,只需要在MCSE課程中多選2門安全升級課程,就可以得到MCSE:security。通過此認證,可以掌握微軟平臺的系統與安全知識,得到MCSE的title,開始網絡安全的職業生涯。基于每年眾多的MCSE認證應考者,2004年,MCSE:Security的大熱想必是肯定的。
不過也有人覺得這項認證的含金量不高,對于應考者的資質要求也太低,與其他安全認證相比,企業在選擇安全人員的時候,很少會選擇只有一年經驗的候選人即便是擁有MCSE: Security的title。
不過對于網絡安全知識的渴望,仍舊激發了大量網友的熱情,相比CISSP,MCSE: Security可以給你更多的實際的基礎知識。
第三名:美國計算機協會Security+認證
Security+是由全美計算機協會CompTIA頒發的證書,類似國內信息產業部的NCSE,也正是由于這個原因,所以在美國很多人都選擇這項帶有官方標準的安全認證,但是Security+的知識涵蓋面很廣,不是普通的入門考試,需要有一定的網絡知識,CCNA或者MCSE的基礎準備。
第七名:CISSP
安全認證持續走紅,CISSP作為權威的安全認證,入選這個排行實至名歸。由于是非廠商跨平臺的第三方認證,所以使得CISSP在企業市場越加受到歡迎。當然比起其他安全認證CISSP的要求也是最高的,一定程度上影響了人氣排名,否則這個認證的熱門程度也至少前五。
特別提醒
信息安全職業行情看漲,導致專業認證需求水漲船高,越來越多的人想通過認證躋身熱門人才行列。參加信息安全認證,需注意以下兩點:
(華南農業大學珠江學院,廣州 510900)
(Zhujiang College,South China Agricultural University,Guangzhou 510900,China)
摘要:網絡安全是計算機網絡相關專業的一門重要課程,然而很多院校缺乏該課程所需的實驗設備。為了提高教學效果,引入GNS3模擬器軟件來輔助實驗教學顯得非常重要。本文以時間ACL實驗為例,通過GNS3搭建實驗平臺,介紹了模擬器軟件在網絡安全實驗課程中的應用。
Abstract: Network security is an important course of computer network related field, however, many colleges and universities are lack of experimental equipment of the course. In order to improve the teaching effect, the introduction of GNS3 simulator software to assist in the experimental teaching is very important. This paper takes time ACL experiment for example, uses GNS3 to build the experimental platform and introduces the application of simulator software in the network security experiment course.
關鍵詞 :網絡安全;GNS3;ACL;實驗教學
Key words: network security;GNS3;ACL;experiment course
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2015)25-0176-02
基金項目:廣東省教育廳2014青年創新人才項目(2014KQNCX254)資助。
作者簡介:劉詩瑾(1981-),女,湖北武漢人,教師,講師,研究方向為網絡安全。
0 引言
隨著我國高等教育改革,應用技能型人才成為大部分高校的人才培養目標。網絡安全是網絡工程相關專業的一門理論與實踐并重的核心課程。對于大部分二本院校的學生,充足的高質量的實踐教學可以幫助他們理解“枯燥抽象”的理論知識,提升學習興趣,提高綜合實踐能力。
目前開展網絡安全實踐教學存在著一些困難和問題。第一,大部分的實驗設備(如路由器,防火墻,服務器等)價格昂貴,維護成本高,很多院校只能負擔少量的設備,不足以滿足日常教學需要。第二,學生作為初學者,對于硬軟件環境不熟悉,容易出現錯誤,無法再恢復實驗環境,從而影響實驗效果。第三,知識更新快,而實驗室設備往往不能做到及時更新。綜上的這些問題往往會導致實驗課時不夠,該做的實驗沒做,或只能進行簡單的實驗。
1 GNS3模擬器介紹
使用模擬器軟件搭建仿真實驗環境,可以降低投資成本,減少物理損耗,便于教師監控學生的實驗進行情況,也讓學生能在課下反復練習,提高實踐能力。
GNS3是可以運行在多平臺上的圖形界面網絡虛擬軟件。可以通過它完成CCNA,CCNP,CCIE等Cisco認證考試的實驗模擬操作。該軟件包含了路由器、交換機、防火墻、主機等模塊,用戶可以根據需求運用不同設備搭建網絡實驗環境。雖然思科的另一個模擬軟件PACKET TRACER更加簡單易學,但它有很多命令并不支持,只能作為網絡基礎的入門學習。GNS3是在計算機中虛擬出網絡設備并安裝相應的操作系統,雖然占用較多資源,但支持大部分命令,能真實模擬網絡設備的行為。下面的這個網絡安全實驗就是在GNS3環境下運行,但無法用PACKETTRACER軟件(PT軟件缺乏關鍵命令)。
2 實驗舉例—時間ACL仿真實驗
GNS3可以仿真很多PT軟件不能完成的網絡安全實驗,如訪問控制表ACL配置,PIX/ASA防火墻實驗,VPN實驗等等。在本例中,使用GNS3搭建實驗拓撲,進行時間ACL配置并驗證。
2.1 時間ACL實驗拓撲結構設計
首先按照實驗所要求的網絡拓撲圖(如圖1所示),在GNS3的工作區域中增加設備。本實驗需要1臺路由器,2臺交換機和3臺PC機。其中路由器為主要設備,可選2600或更高級的路由器,路由器需要有三個端口分別為E0,E1和S0。
2.2 時間ACL實驗配置
在GNS3中搭建好實驗環境,配置好相關設備IP地址后,可以在路由器上進行具體的時間訪問表配置。
①創建時間段,命名為myhttp。
Router(config)#time-range myhttp
Router(config)#absolute start 1:00 1 December 2014 end 24:00 31
December 2014 periodic Saturday 7:00 to Sunday 22:00
②創建擴展訪問表,將時間段附加在訪問規則中,在該時間段內除了主機10.10.10.50,禁止任何機器ping主機10.20.20.100。
Router(config)#ip access-listextended101
Router(config-ext-nacl)#permiticmphost 10.10.10.50 host 10.20.20.100 time-range myhttp
Router(config-ext-nacl)#deny icmp any host 10.20.20.100
time-range myhttp
Router(config-ext-nacl)#permitipanyany
③將規則應用到指定端口。
Router(config)# interface ethernet1
Router(config-if)#ip access-group 101 out
時間訪問列表還有很多模式和組合可以在這個實驗中進行,在本例的基礎上還能進行很多其他協議的實驗。使用GNS3模擬軟件可以方便學生在課下對本實驗進行補充和擴展,加深對訪問控制表的理解和掌握。
2.3 實驗結果驗證
首先使用show clock命令查看路由器的當前時間,再使用clock set命令將路由器時間改為試驗中的myhttp時間段。然后在另2臺PC上分別用ping命令測試到主機10.20.20.100的連通性。按照之前設置的ACL規則,主機10.10.10.50可以連通10.20.20.100,但另一臺機器不能。
3 結語
本文通過一個實驗演示了GNS3模擬軟件在網絡安全實驗教學中的應用。實驗表明GNS3可以快速搭建實驗環境,既能降低硬件設備的投資成本,又能滿足不斷更新的教學要求。學生在課外也可以利用GNS3鞏固和擴展已學知識,不斷創新和實踐,成為符合市場需要的應用技能型人才。
參考文獻:
[1]顧春峰,李偉斌,蘭秀鳳.基于VMware、GNS3實現虛擬網絡實驗室[J].實驗室研究與探索,2012,31(1):73-75.
【關鍵詞】檢察機關;網絡安全;信息化建設
檢察機關作為國家法律監督機關,站在現代科學技術前沿,建立科技型檢察院,運用高科技服務檢察工作,更好地打擊犯罪,維護司法統一和公正,已是勢在必行,刻不容緩。 近年來,全國檢察機關積極響應科技強檢戰略的號召,按照高檢察的統一要求和部署,絕大數基層檢察院都已經完成本單位檢察內網的建設和實現三級檢察專線網絡的建設,實現了全國檢察機關內部網絡的互聯,為檢察機關內部網絡資源共享提供了非常寶貴的平臺。
然而,網絡是一把“雙刃劍”,信息化在帶給我們高效率的同時,也給我們網絡安全工作帶來了前所未有的挑戰。基層檢察院在使用內網的過程中還存在一些問題,亟待我們解決。
一、缺乏網絡管理專業人員
檢察機關網絡安全存在最突出的問題,就是嚴重缺乏網絡維護管理專業人才。由于檢察機關的準入門檻較高,通過公務員考試招錄信息技術人才若要獲得檢察官資格還必須要通過國家司法考試,致使技術人才不能也不愿進入檢察系統工作,有的檢察院雖配備了專職技術人員,但不專業,只懂得電腦維護而不懂得網絡維護,面對信息技術出現的各種新情況新問題,常常束手無策。同時信息化技術方面的培訓機會較少,跟不上形勢的發展,只能在實踐中摸索。
二、局域網計算機與互聯網計算機混淆使用
檢察機關局域網,即檢察專線網,是與互聯網實行物理隔絕的專用網絡,局域網計算機專機專用。由于經費有限,部分檢察院沒有采取措施做到局域網與互聯網的物理隔離;部分檢察干警安全意識不強,存在用上局域網的計算機私自聯互聯網的現象,給病毒的侵入種下伏筆,為整個局域網埋下安全隱患。
三、移動存儲介質的使用不規范
造成局域網電腦受病毒感染甚至泛濫傳播的最初源頭都是從移動存儲中帶過來的。部分基層檢察院存在移動存儲介質內外網混用的現象,少數檢察干警安全意識不高、保密意識不強,將U盤插在互聯網上使用,感染了各種病毒,當這些感染了病毒的U盤未經過處理就直接插到局域網的電腦上使用,導致局域網的電腦感染病毒,程序和數據都遭到嚴重破壞,甚至病毒能攻擊局域網中的其它計算機,使整個單位的電腦都感染病毒造成單位網絡堵塞和癱瘓。
四、局域網網絡設備陳舊,網絡安全軟件更新速度緩慢
一方面部分基層檢察院由于經費緊張,網絡設備陳舊簡陋,網絡技術存在缺陷,導致網絡安全問題和故障屢屢發生;另一方面操作系統更新不及時,很多局域網用戶當操作系統的新漏洞產生時沒有采取相應的措施,而技術人員也很難保證每臺終端及時全面進行安裝。同時網上惡意程序,比如木馬和病毒的更新速度遠遠快于網絡安全軟件的更新速度,給內網引入了潛在的安全漏洞,嚴重降低了計算機系統的安全系數。
網絡安全工作是一個單位數據安全工作的核心內容,如何從源頭上保障網絡安全,一直是網絡安全管理人員不斷探索的問題,針對基層檢察院內網管理中存在的以上問題,建議采取以下幾種措施來解決存在的這些問題。
1.引進和培養專業技術人才,適應科技強檢發展的需要
檢察網絡安全至關重要,檢察機關必須把保證信息技術人才的開發擺上重要位置。一方面要積極爭取政策,大力引進技術人才,并努力營造一個適合技術人員發展的空間,發揮專業人員的技術專長,做到人盡其才,術業有專攻。另一方面要重視人才的培訓,技術工作專業性強,更新快,加強對技術人員的專業培訓尤為重要,同時要避免懂技術的人員不懂法律,構成信息技術在法律應用上的障礙,對其進行相關的法律知識的培訓,更好的將技術與工作的實際相結合,最大限度的發揮信息技術的作用。
2.建章立制,規范安全使用計算機流程
結合檢察工作實際,出臺檢察內網計算機使用管理辦法,真正從制度上規范安全使用計算機的方法。制定一個計算機使用管理辦法能在源頭上預防計算機病毒的入侵起到積極的作用,在管理辦法中必須嚴格規范保密計算機、移動存儲器的使用;計算機必須嚴格按照相關規定斷絕和外網的聯系;確實需要從外網拷貝數據進來的移動存儲器,一定不能攜帶有檢察工作秘密文件出去,應該在使用前格式化清除所有數據,并在接入本院計算機前進行殺毒,養成在資源管理器打開移動存儲器的習慣。
3.提高網絡應用與管理技術水平,彌補自身缺陷
在當前檢察信息網絡的安全威脅中,病毒及惡意攻擊是網絡安全存在危險的最主要的原因。技術部門應該根據本院實際,選購一套合適的企業版殺毒軟件,并及時更新病毒庫,使殺毒軟件的殺毒能力時刻保持在最新最強狀態。在網絡管理中,對操作系統的漏洞應及時的安裝安全補丁,并留意微軟定期的安全公告,關閉操作系統中并不常用的默認端口,防止為惡意攻擊或病毒感染留下漏洞。同時,盡量避免使用來歷不明的盜版軟件,將軟件的選擇導向正版化、網絡化的軌道。
4.加大對基層院內網設備的投入,及時維護更新設備
基層檢察院應本著開源節流,不鋪張、不浪費的原則,加大對內網設備的經濟投入,積極爭取國家技術裝備專項撥款,使之得到合理的利用。各基層檢察院信息化技術員要及時檢修內網設備,及時上報出現的問題,及時修復及時換新。確保檢察內網設備安全穩定的運行,確保機房的溫度、濕度在科學合理的范圍內,減慢內網設備的老化損壞速度,同時要確保機房和各部門的內網設備在雷雨天氣切斷電源,避免被雷電集中,引起火災或者導致損壞。
檢察機關在加強計算機網絡安全的工作中,要堅持技術層面的防范和管理并重的原則,全面提高檢察機關信息安全防護能力,確保信息網絡系統和數據的安全。
參考文獻
[1]李琳.計算機網絡技術、集成與應用[M].北京:北京航空航天大學出版社,2001.
[2]張民,潘勇,徐榮.寬帶城域網.[M].北京:北京郵電大學出版社,2003.
[3]劉國林.綜合布線設計與施工[M].廣州:華南理工大學出版社,2001.
根據基于工作過程的課改思想,每堂課都圍繞一個完整的工作情景進行設計,主要是一些典型的網絡攻防任務,包括教師的演示和隨后要求學生完成的實驗任務。這里的關鍵是設計的題目必須切合實際并難度適中,太難會讓學生無從下手而氣餒,太容易則讓學生只簡單重復教師演示而不動腦筋。具體設計自然要結合每個學校具體條件,以下是一些經驗原則。
1.完整的攻防過程模擬
每次教學都是先構建出一個網絡環境,然后在此基礎上進行具體網絡攻防任務的演示和練習。這樣做有兩個好處,首先是構建網絡會牽涉到前導課程例如網絡基礎和互聯、操作系統、網頁制作的知識,先配置出網絡環境有利于復習那些知識和技能。另外這樣做讓學生從頭至尾清晰地觀察到任務的操作步驟,能盡快進入學校狀態。
實踐證明,課堂上講到某個情景任務時,如能講授理論的同時,親自進行完整的演示,教學效果是非常好的,當然這會考驗教師自己的水平和應變能力,并存在一些不可控的風險,例如發生了意料之外的故障導致演示失敗。因此,教師本人也需要不斷提高自己的水平,即使水平已經足夠,也需要更新知識與時俱進,并經常操作保持熟練度,才能在課堂上游刃有余地向學生講授和演示。
通常沒有專門網絡安全實訓室情況下,可以綜合VMwareWorkstation、GNS3等虛擬機和模擬器軟件構建全仿真網絡攻防環境。實際上,合理設計加熟練使用,完全可以仿真出足夠復雜和逼真的網絡環境,演示和練習效果也很好。
2.保持趣味性
不少學生對網絡安全有認識誤區,一種常見的想法是認為網絡入侵技術都很神秘和高端,只有最聰明的黑客才有能力做到。對此可以在教學過程一開始就演示Sniffer嗅探密碼、木馬植入和遠程控制等實驗,可以起到先聲奪人的效果,讓學生被有趣的實驗任務吸引,并認識到其實某些網絡攻擊技術并沒有想象的那么難,自己完全可以學會。另外先學習入侵,可以切實感悟到網絡安全的脆弱性,有利于后面認真學習安全防護技術。
教學過程中還可以盡量聯系現實世界和最新時事,例如講到密碼學知識,聯系到現實世界上的情報戰。講到MD5等散列技術,提及CSDN網站用戶泄露事件等,都是保持學生學習興趣的好方法。
3.直面難點
另一個常見認識誤區是,有些學生了解了一些網絡攻防的基本原理,并在實驗環境學會了一些工具的簡單使用后,就認為網絡安全其實也沒什么稀奇,即使不懂原理的拿現成的工具也能完成任務,可一旦面臨實際環境中稍微復雜一點情況,又束手無策了。
因此,也需要給學生講授一些類似驅動編寫、反匯編、反編譯等高級安全技術。雖然,現在很多學生已經不學匯編、編譯原理、操作系統原理這些基礎課程了,在有限的課時里無法將技術講深講透,但實踐證明做一些最簡單演示和練習讓學生入門是可能的也是有益的。例如,簡單使用動態調試工具OllyDBG和反匯編工具IDAPro去爆破一個簡單的軟件,用開源的MetaSploit漏洞測試平臺在沒有賬號密碼的情況下直接入侵一個有漏洞的系統等。
4.適當緊跟最新技術
網絡安全領域很多基本原理和方法是多年來沒有多大變化的,所以并不需要刻意追求采用最新的平臺和版本進行教學。不過對一些過于古老的系統和技術,例如Windows2000、RedhatLinux9及更早的操作系統,IE6以前的安全漏洞之類就確實沒必要再講了。而對于像無線網絡、智能手機之類較新領域的安全課題則可以根據條件適當提及。
學習環節的設計
教的環節設計的再好,也無法面面俱到解決所有問題。網絡安全的特點是知識點特多,更新快,一些微妙的特定技巧還很難用語言講清楚,基本只能靠自己去摸索領悟。因此需要創造條件鼓勵學生自主學習和進修。
1.設計的實驗實訓題目不完全定死,保留一定的靈活性,必要時給出思考題和提高難度的操作題。
2.利用目前硬件資源比以前普及和便宜得多的優勢,鼓勵學生在課外時間用自己的計算機或購買的服務資源進行相關的系統構建或項目開發。例如我院的一個社團曾通過自己購買VPS服務器、DNS域名,自己開發宣傳用網站等,使負責網絡建設和維護的同學得到了極大的鍛煉。
關鍵詞: 校園網絡平安 系統平安 網絡運行平安 內部網絡平安 防火墻
許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到了無法估量的作用。但校園網用戶在使用校園網絡的同時卻忽略了網絡安全問題,登陸了一些非法網站和使用了帶病毒的軟件,導致了校園計算機系統的癱瘓,嚴重影響了校園網的正常運行。所以在積極發展辦公自動化,實現資源共享的同時,校園網用戶都應加強對校園網絡安全的重視。因此,如何在現有的條件下,搞好網絡安全,就成了校園網絡管理人員的一個重要課題。
高校網絡管理員肩負著校園網絡的維護和管理責任,同時也承擔維護系統安全、網絡運行安全和內部網絡安全的責任。維護好網絡安全,我們可從以下幾個方面著手。
一、系統安全
主要措施有反病毒、入侵檢測、審計分析等技術。系統安全包括主機和服務器運行安全。我們可采用以下措施來保護系統的安全。
1.反病毒技術。計算機病毒是引起計算機故障、破壞計算機數據的主要原因之一。特別是在網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等,從中發現是否有違反安全策略的行為和被攻擊的跡象,
2.入侵檢測。入侵檢測指對入侵行為的發現。通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它進行分析,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞,統計分析異常行為,等等。
發現并及時修補漏洞是每個網絡管理人員的主要任務。當然,從目前來看,系統漏洞的存在成為網絡安全的首要問題。從系統中發現漏洞不是一般網絡管理人員所能做到的,但是,及早地發現有報告的漏洞,并進行升級補丁卻是應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于已使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多網絡管理員對此認識不夠,以致于過了幾年,還能掃描到機器存在許多漏洞。校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統存在的漏洞也就越多,也就有更多的危險。因此從安全角度考慮,網絡管理員應將不必要的服務關閉,只向公眾提供所需的基本的服務。最典型的校園網服務器中對公眾通常只提供Web服務功能,而沒有必要向公眾提供FTP功能,這樣,服務器的服務配置中,只開放Web服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3.審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程。它還能指出系統正被怎樣地使用。在確定是否有網絡攻擊的情況時,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處置的重要依據。另外,通過對安全事件的不時收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能發生的破壞。除使用一般的網管軟件系統、監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的罕見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。
二、網絡運行安全
要保證網絡運行安全,除采用各種安全檢測和控制技術來防止各種安全隱患外,我們還應該具備盡快地全盤恢復運行計算機系統所需的數據的功能,即將所有文件寫入備份介質。一般數據備份操作有兩種:一是全盤備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法。二是差分備份,備份上次全盤備份之后更改過的所有文件,有“冷備份”和“熱備份”兩種方案。“熱備份”指下載備份的數據還在整個計算機系統和網絡中,根據備份的存儲媒介不同,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,系統恢復時重新安裝。其特點是便于保管,用以彌補“熱備份”的一些不足。進行備份的過程中常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離。常用的措施是內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
采用防火墻技術是目前維護內部網安全的最主要的同時也是最在效和最經濟的措施之一。防火墻不同網絡或網絡安全域之間信息的唯一出入口,防火墻在內外網隔離及訪問系統中,能根據平安政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進出的數據,管理進出網絡的訪問行為,封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全維護融合到系統的整體安全戰略中,才能實現真正的平安。
保證網絡系統安全最有效的方法是定期對網絡系統進行安全性評估分析,檢查系統存在弱點和漏洞,采取彌補措施和安全策略,達到增強網絡安全性的目的。
參考文獻:
關鍵詞:網絡;安全;防火墻
1 常見的網絡安全威脅
所謂網絡安全,主要是指對網絡系統中存有的軟、硬件和相關的信息進行保衛,使其不會受到各類因素的影響,進而令整個系統能夠順利、持續的運轉。此外,所謂計算機網絡安全,實際上是指基于整個系統的數據安全。當前,網絡中可能會遇到的主要安全問題如下。
1.1 非授權型訪問,是指在沒有獲取相關批準的情況下就私自運用相關的計算機網絡和資源
主要是指用來編制與調試能夠將網絡的另一邊聯系起來的計算機程,從而獲得非法或缺少授權的訪問權限。比如故意跳過系統的訪問管控系統,利用不正當方式運用相關的網絡設施與資源,或缺少必要授權的訪問數據。主要有以下幾種類型:攻擊,偽造身份,在未經授權的合法用戶的非法操作,非法用戶的網絡接入系統的違法行為等。
1.2 數據丟失,是指各類較為敏感的信息遭到泄露或丟失
信息的完整性遭到損壞,也就是運用不合法的手段對相關信息進行訪問于操作,對相關信息實施刪除、插入、修改等活動,從而令用戶不能夠順利工作,進而滿足攻擊者的非法目的。此外還有黑客攻擊,最終導致財務表格和各類重要數據均被修改或損壞,進而給相關企業造成巨大的經濟損失。更有甚者,令信息失效,系統崩潰,進而使整個網絡系統都無法順利運轉,這種情況所引發的后果比賬號被盜所遭受的后果還要嚴重。
1.3 后門和木馬程序
所謂后門與木馬程序,主要是指那些能夠運用某種軟件實現對其余計算機進行管控的程序,其呈現出隱秘性強與非授權等特征。如果某臺計算機安裝了后門或木馬程序就能夠輕而易舉竊取用戶的信息,包括用戶輸入的賬號密碼,并發送這些信息,或者允許遠程計算機的用戶通過網絡竊取計算機中的文件,并通過網絡控制控制這臺計算機,更加恐怖的是,此計算機能夠對整個網絡系統實現全面管控,進而為黑客提供各種便利。
2 關于計算機網絡的各類安全預防方法
關于計算機網絡安全技術,其是一項十分龐大且繁雜的系統工程。而不斷進步的技術與持續改進的安保方式能夠對網絡安全進行保障。從技術層面上講,網絡系統安全主要由如下部分構成:安全的應用機制、安全的操作系統、網絡監測、防火墻、入侵監察、數據加密、系統還原、安全檢測等。其中,無論哪一個單獨組件都不能確保計算機網絡安全。
2.1 防火墻技術
關于防火墻技術,其能夠對網絡之間的互相訪問方面的管控進行強化,并避免其余用戶利用不法方式對內部網絡進行入侵和獲取相關的網絡資源,進而實現對內部網絡安全的保衛。此外,防火墻技術也有若干類,主要包括:包過濾型、型與監測型。
(1)包過濾。包過濾型的防火墻產品屬于入門級產品,其中主要運用到網絡的分包輸送法。在網絡中,需要傳送的信息通常都是用“包”作為單位,從而實施信息傳送活動的,其中,信息會被分成若干個數據包,各個數據包內都存有一定量的數據,比如信息的目的地、信息源地址、目的端口等等。而防火墻則利用產看數據包中的實際數據的方式,對信息的信任度進行判定,如得出相關信息的來源是部分危險的網站,則禁止此部分信息進入。包過濾型防火墻技術的優點是簡單實用成本低,缺點是只根據特定的信息來確定數據包是否安全,無法識別惡意侵入。
(2)型。關于型防火墻,其也叫服務器,在安全方面比包過濾型表現的更為優秀。此外,服務器處在服務器與客戶端中間的地方,在客戶端和服務器進行通信活動時,第一步是把相關請求傳送給服務器,之后由服務器結合實際需求向服務器進行信息索取活動,最終由服務器負責將獲取的信息傳送至客戶端。所以服務器實際上就是客戶端與服務器的媒介。型防火墻具有安全性和可靠性高的優勢,但也存在設置比較繁瑣,且在很大程度上影響到總體性能的劣勢。
(3)監測型。關于監測型防火墻,其可以實現對各層信息的實時監測與自行解析,最終對是否存有攻擊現象進行明確。此外,這種產品通常會自帶探測裝置,并裝配在服務器與網絡的部分重要節點內,不但能夠監察到外部的攻擊活動,還能夠實現對內部的蓄意損壞活動的預防。
2.2 數據加密技術
和防火墻同時運用的包括信息加密技術,對相關信息進行加密能夠對數據的機密性進行保障。從功能的角度出發,可以將信息加密技術分成信息傳送、信息保存、信息完整程度的判定、密鑰管控四種技術。信息加密技術屬于信息流傳送的加密方式;信息保存加密技術的主要目標是避免信息在存儲階段出現丟失現象,此技術可繼續分成存取管控與密文保存兩類,其中,存取管控主要是對用戶的各類權限與資格進行審核與限制,從而避免缺少相應授權的不法分子對相關信息進行非法訪問或部分合法用戶訪問或保存超越自身權限的信息,而密文保存通常是利用加密算法轉換、加密模塊與額外密碼等方式進行實施;信息完整程度的判定技術的主要目標是針對相關數據的保存、傳輸、操作者身份與相關的信息內容實施驗證活動,進而實現保密的目的,通常涵蓋口令、身份、信息等項判定,系統根據對驗證目標輸入的特征值和之前設置的參數是否相符,實現對數據的安全保護;密鑰管控技術的主要目標是實現信息的便捷運用,通常是保密與與盜竊的重要目標,此外,密鑰的媒體形式主要有磁卡、磁盤與半導體存儲器等,而密鑰的管控技術涵蓋了密鑰的出現、配置保存與替換、銷毀等各個步驟的保密活動。
2.3 防病毒技術
當前,對信息安全威脅最大的是計算機病毒。在計算機網絡環境下,病毒能夠實現快速傳播,僅僅運用單機防病毒軟件難以實現對計算機病毒的徹底消除,所以,結合網絡中各類病毒攻擊的可能性設計出針對性的防毒與殺毒軟件,利用多層次與全方面的防毒系統配置,令網絡能夠在最大程度上實現對病毒的防御。此外,市場上的主流殺毒應用主要有瑞星殺毒軟件、360衛士、卡巴斯基殺毒軟件等,此類殺毒應用較為重視對病毒的防護,在檢測到有病毒侵入當前網絡后,殺毒應用會立即進行處理。
綜上,網絡安全這個課題較為復雜,其涵蓋了管理、技術與運用等各方面內容,不僅包括信息系統的自身安保問題,還包括物理與邏輯方面的技術方法。在國內,關于數據網絡安全技術與產品的探究歷程才剛剛開始,還有很多的工作需要我們去解析與探究。
參考文獻
隨著經濟的發展、技術的進步,電力已經成為社會發展、人們生活的重要資源,成為推動社會發展的重要動力。伴隨著電力系統的自動化、網絡化、智能化技術的發展和廣泛應用,如何確保電力系統的安全性、穩定性成為保障社會發展的重要問題。雖然當前我國在電力系統網絡管理和控制方面,為保障電力專網的安全、降低外網攻擊電力系統信息通信網絡的風險,采用了信息內、外網的雙網運行模式,但是這種網絡安全防護模式在運用和管理過程中仍然存在許多風險和漏洞,在通信設備運維、網絡管理方面仍有許多問題亟待解決。
2電力系統國內外信息通信網絡設備使用現狀分析
電力系統信息通信網絡是一個覆蓋全面的網絡,其各項通信和控制活動需要大量硬件設備的運轉和工作。然而,在當前技術水平下,我國自主知識產權、自主核心技術設備的比重相對較小,在網絡管理和運行上大量依賴從國外進口技術和設備,這種狀況導致我國電力系統的安全防護工作存在很大的安全隱患,因此鑒于網絡設備功能和操作的特殊性以及國家對電力部門的重要程度,必須加強網絡安全管理和防護。一方面為保障電力系統運行的穩定可靠,電力系統通信網絡部分技術和設備必須使用;另一方面,國外供應商,尤其是有政治背景的供應商,提供所謂“質量安全”的技術、產品的供應商,可能會在產品上留有“后門”,在軟、硬件上存在固有的漏洞,隱藏了可能導致通信中斷、錯誤、設備癱瘓等情況的惡意程序,威脅我國電力系統的安全。
3電力系統信息通信網絡安全風險分析
經過多年的發展,我國為提高電力系統的運行效率,積極構建了電力系統管理專用網絡。為防止電力系統網絡受到互聯網的攻擊,造成電力系統故障、癱瘓等重大安全事故,我國在構建電力系統網絡時采用內、外網雙網模式,通過邏輯強隔離或物理隔離的方法構建信息通信網絡安全防護的基礎。然而,隨著技術手段的不斷升級和更新,新的網絡安全問題不斷出現,即使是在內、外網采用物理隔離的情況下,也可以通過各種方式實現對電力系統信息網絡的入侵和破壞。
3.1設備與系統方面
在網絡設備的選擇上,由于當前過度依賴國外進口設備,一旦供應商在供應的網絡設備上植入后門、木馬等程序,將導致電力系統信息通信網絡完全、局部對外部網絡開放,最終導致電力系統信息通信網的安全風險。隨著科技的不斷發展,網絡入侵和控制手段也不斷增加,通過采用電磁輻射或者無線電信號可以實現對電力系統信息通信網絡的入侵;通過利用供應商預設在硬件設備中的木馬程序,使其發射出特有的輻射或者無線電信號,攻擊者可利用這些信號實現對信息通信網絡的偵測、破譯和控制,從而實現對內網的破壞。同時,在系統設備的缺陷、漏洞上的防護不全面,也是極容易被攻擊者利用的。由于部分系統漏洞被供應商公開或者電網系統修復不及時,使服務器等網絡設備可能遭至頻繁的攻擊和利用,更加大了我國電力系統信息通信網絡的安全風險。
3.2人員控制方面
我國電力系統內外網分離的策略取得了一定的成效,降低和消除了一部分由網絡攻擊等造成的系統故障。但是,在內網管理和運營上,管理和操作人員在運行維護過程中存在大量風險。一方面,由于部分核心設備依賴進口,其故障、維護、升級等過程過度依賴外來的技術人員,在進行內網系統監測維護期間大量敏感數據可能為他人所得進行非法研究;另一方面,電網公司內部的管理人員、操作人員也可以通過移動存儲介質、終端等數據通訊時,利用設備預留的后門、漏洞等植入病毒或木馬,使電力系統信息通信網絡遭受內網式攻擊。
4電力系統信息通信網絡安全防護的措施
4.1設備供應國產化
設備安全是電力系統信息通信網絡安全的基礎,確保設備供應的國產化,尤其是核心設備的國產化可以在一定程度上規避進口設備的安全風險,降低由于進口設備存在預留后門、開放漏洞等隱患造成的各類設備風險,防止設備安全隱患威脅整個電力系統通信網絡安全。
4.2設備供應審查化
在針對設備供應商的選擇上進行嚴格的審查化,通過對供應企業的資質審核、設備選型、安全準入、企業投資人、操作人員、企業背景等進行嚴格的審查,提高供應商準入門檻,確保供應商在政治和經濟利益上與國家的一致性。
4.3設備投運管控化
首先,在設備選購、實用分析階段,對網絡設備進行全方位的安全檢測,降低和消除各類后門、策略配置以及代碼等潛在的風險,對設備運行進行可行性分析,針對后門、策略配置以及代碼等問題,與供應商一起積極協作,消除風險。其次,在使用過程中,針對系統和設備出現的各類問題和漏洞,與供應商積極溝通,升級消除,并通過完善漏洞數據庫,實現漏洞監測和跟蹤修復工作。同時,在實際控制過程中建立防范預警模式,優化電力系統信息網絡安全監測系統,對系統運行狀況、操作記錄等進行日記化備份,對系統的重要內容進行隔離備份,以防遭受攻擊后系統不能正常恢復。
4.4人員控制嚴格化
在人員控制方面,建立相關人員的管理和控制制度,對人員進行審查、教育,完善隊伍管理工作,保障在電力系統通信網絡操控過程中的安全,在內網獨立的基礎上,保障人員控制質量,消除人員控制失誤和惡意攻擊風險,同時做好離線設備的信息處理和消除教育工作,防止重要信息的泄漏。
5結論
我國處在發展階段,各項技術仍不完善,電力系統信息通信網絡的安全存在問題較多。電力系統信息通信網絡的安全直接關系到電力系統的有效運行,直接關系到我國電網的調度使用和安全,是關系到社會生產、國家命運的重大安全問題。只有保障電力系統信息通信網絡的安全,才能為社會發展提供強大的動力。
【關鍵詞】計算機網絡安全 網絡威脅 安全 防護
現代生活網絡已經成為一種必需品,無論是生活還是工作都需要網絡的協助。因此,計算機網絡的信息量也逐步的增加,管理這些信息成為一大難題。網絡上的數據不斷的受到破壞,這給我們的生活和學習帶來很大的損失。本文通過對計算機網絡威脅做了簡單的敘述,來給出了集中加強網絡信息安全的防護方法。
一、計算機網絡安全面臨的威脅
我國現階段的網絡還存在很大的隱患,很多方面的安全隱患極大。加強安全防護和確保信息安全以及數據的完整和可用性,成為計算機網絡的防護重點。對于這些安全問題,主要可以分為兩種:對信息的破壞和對設備的破壞。從攻擊的方法上可以分為三種:操作失誤、人為的破壞、軟件漏洞和“后門”。
(一)操作失誤
由于操作的失誤所造成的安全問題成為現在計算機網絡一個不可忽視的問題。這些往往是由于用戶的安全意識不夠強,對于操作的不熟悉,或者不小心把自己的信息給別人分享導致的。但是這些問題一般只存在于使用初期,隨著使用者的安全意識的加強和操作的越來越熟悉,此類問題會逐步的消除,其不會成為網絡安全的主要安全隱患。
(二)人為的攻擊
這是計算機網絡的主要的安全隱患和威脅,涉及到網絡犯罪和敵手的攻擊。這種人為的攻擊主要可以分為兩種:一種是主動攻擊,另一種是被動攻擊。主動攻擊的目的是破壞信息的完整和有效。被動攻擊是在正常工作運轉的情況下進行信息的竊取或破壞等等。隨著計算機技術的不斷發展,網絡中的黑客和病毒對網絡形成巨大的威脅,這也成為網絡安全防護的重點。
(三)軟件漏洞和“后門”
這里的軟件主要是只網絡軟件。一款軟件不可能是完美的,往往都存在著一定的漏洞,這些漏洞是黑客進行網絡攻擊的入門,進一步侵入網絡的內部,這都是因為軟件的漏洞所導致的。軟件除了漏洞外,還有“后門”。這些只有軟件的設計者才知道,是為了設計者對軟件進行維護所設置的,但是這些后門也稱為了很大的隱患。不但是設計的自便之門,更是攻擊者的攻擊之門,對于這些,軟件要不斷的通過補丁對這些后門進行修補,防止外來的攻擊和侵害。
二、計算機網絡的防護
(一)防火墻
防火墻的設置是現代計算機網絡的必要設置,所有的網絡都有自己的防火墻設置。防火墻對于網絡數據進行過濾,這對于一些病毒的阻斷具有重要的作用,同時防火墻對于整個網絡的信息交換和所有用戶的行為進行一定的記錄,相關的記錄日志進行記錄,同時,一旦有威脅產生,就會發出一定的警告。
(二)入侵檢測系統
防火墻的設置只是針對黑客的攻擊來說的,是為了防止其對一些安全漏洞進行攻擊,但是針對一些防火墻上的一些正常服務來說也是可以進行攻擊的。由于這些攻擊是繞過防火墻的,所以防火墻也起不到作用了。另外,對于網絡內部的攻擊也是存在的,這也是防火墻所不能起到作用的。因此這對這些威脅,可以通過入侵檢測系統來進行防護,這個系統的主要任務有:對網絡內的設配進行檢測和查找安全漏洞、監視用戶的行為和辨別非法的操作、提出漏洞修補的策略、分析一些非法的用戶行為、檢測數據的完整性以及能夠及時的對網絡攻擊進行相應的響應。
(三)網絡漏洞掃描
計算機網絡是一個復雜的系統,對于網絡的拓撲結構式不斷的發生變化的,這個過程是動態的。由于網絡內部的軟件的不斷更新與變化,因此需要網絡漏洞的掃描進行必要的檢測和分析總結,主要是對網絡中的服務器進行的掃描,包括萬維網服務器、郵件服務器、域名服務器、數據庫的服務器、交換機和路由器以及所有的應用服務器,除了掃描和分析漏洞,還要對一些攻擊進行演練,例如模仿黑客的攻擊,以此來發現網絡中存在的漏洞和安全隱患,進而使網絡的管理者能夠不斷的對網絡進行安全的維護,以此來減少網絡中的安全隱患。
(四)防病毒系統
對于計算機網絡上的病毒抑制以來都是網絡的重大威脅,病毒的產生和傳播對計算機網絡的破壞可以說是非常巨大的,也給一些企業和個人帶來了很大的財產損失。如何有效的遏制病毒的傳播成為計算機網絡安全的重要研究問題,只要有效的防止病毒在網絡上的產生和傳播和破壞,才能消除其帶來的巨大破壞。對于病毒安全隱患的防止措施,主要要從以下的幾個地方來切斷其來源,主要是服務器和終端,所謂的終端就是指客戶端,服務器主要包括因特網服務器、郵件服務器和文件服務器等等主要的服務器。只有從源頭上進行防護才能有效的遏制其進一步的傳播。
病毒的傳播都有其載體,對于病毒的消除要從病毒的載體入手。例如,這對一些垃圾信息,要全面的阻止和檢測,然后進行清除,可以說利用網絡來進行查和殺是進行病毒防護的有效措施。另外,對于病毒庫要不斷的進行更新,只有這樣才能及時有效的查殺。
三、結論
計算機網絡的安全是整個網絡正常運行的重要的保障,對于計算機網絡中的安全問題不僅是計算機行業所需要迫切解決的問題,還是企業需要迫切解決的問題。要不斷的利用先進的技術對計算機網絡進行不斷的維護和保護。同時還要建立一套完整的機制措施,讓技術與措施進行雙重的保障。
參考文獻:
[1]姚渝春,李杰,王成紅等.網絡型病毒與計算機網絡安全[J].重慶大學學報(自然科學版),2003,26(9):141-144.DOI:10.3969.
關鍵詞:網絡安全系統安全網絡運行安全內部網絡安全防火墻
隨著網絡技術的不斷發展和Internet的日益普及,許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到了無法估量的作用。但教師和學生在使用校園網絡的同時卻忽略了網絡安全問題,登陸了一些非法網站和使用了帶病毒的軟件,導致了校園計算機系統的崩潰,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時,教師和學生都應加強對校園網絡的安全重視。正如人們經常所說的:網絡的生命在于其安全性。因此,如何在現有的條件下,如何搞好網絡的安全,就成了校園網絡管理人員的一個重要課題。
作為一位中學電腦教師兼負著校園網絡的維護和管理,我們一起來探討一下校園網絡安全技術。
網絡安全主要是網絡信息系統的安全性,包括系統安全、網絡運行安全和內部網絡安全。
一、系統安全
系統安全包括主機和服務器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術。
1、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并進行自我復制,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞。
因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。
二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
1、訪問控制:在內外網隔離及訪問系統中,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進、出的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全。
另外,防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段,防止一個網段的問題穿過整個網絡傳播。針對某些網絡,在某些情況下,它的一些局域網的某個網段比另一個網段更受信任,或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。
2、網絡安全檢測:保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析,用實踐性的方法掃描分析網絡系統,檢查報告系存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。
以上只是對防范外部入侵,維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施,健康正常的校園網絡需要廣大師生共同來維護。
參考文獻
1.局域網組建與維護DIY.人民郵電出版社,2003.05
