首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 网络安全小论文范文

网络安全小论文范文

前言:我们精心挑选了数篇优质网络安全小论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

网络安全小论文

第1篇

1.1可用性

网络系统的可用性是指计算机网络系统要随时随地能够为用户服务,要保障合法用户能够访问到想要浏览的网络信息,不会出现拒绝合法用户的服务要求和非合法用户滥用的现象。计算机网络系统最重要的功能就是为合法用户提供多方面的、随时随地的网络服务。

1.2完整性

网络系统的完整性是指网络信息在传输过程中不能因为任何原因,发生网络信掺入、重放、伪造、修改、删除等破坏现象[1],影响网络信息的完整性。通过信息攻击、网络病毒、人为攻击、误码、设备故障等原因都会造成网络信息完整性的破坏。

1.3保密性

网络系统的保密性是指网络系统要保证用户信息不能发生泄露,主要体现在网络系统的可用性和可靠性,是网络系统安全的重要指标。保密性不同于完整性,完整性强调的是网络信息不能被破坏,保密性是指防止网络信息的发生泄露[2]。

1.4真实性

网络系统的真实性是指网络用户对网络系统操作的不可抵赖性,任何用户都不能抵赖或者否定曾经对网络系统的承诺和操作。

1.5可靠性

网络系统的可靠性是指系统的安全稳定运行,网络系统要在一定的时间和条件下稳定的完成网络用户指定的任务和功能,网络系统的可靠性是网络安全最基本的要求。

1.6可控性

网络系统的可控性是指网络系统可以控制和调整网络信息传播方式和传播内容的能力,为了保障国家和广大人民的利益,为正常的社会管理秩序,网络系统管理者有必要对网络信息进行适当的监督和控制,避免外地侵犯和社会犯罪,维护网络安全。

2网络安全技术在校园网中的应用

2.1防火墙

防火墙是指管理校园网和外界互联网之间用户访问权限的软件和硬件的组合设备[3],防火墙处于校园网和外界互联网之间的通道中,能够有效地阻断来自外界的病毒和非法访问,能够有效地提高校园网的网络安全。防火墙可以有效拦截来自外界的不安全的访问服务,同时还可以对防火墙进行设置,屏蔽有危害、不健康的网络网站,降低校园网的安全危害。另外防火墙还可以有效地监控用户对校园网的访问,记录用户的访问记录,保存到网络数据库中,可以快速统计校园网的使用情况,在分析用户访问记录如果发现用户的操作存在安全问题,防火墙可以及时发出报警信号,提醒用户的这个非法操作,防止校园网内部信息的泄露、另外,防火墙可以和NAT技术高效地结合起来,用于隐藏校园网的网络结构信息,提高校园网的安全系数,同时防火墙和NAT技术的高效结合很好地解决了校园网IP不足的情况,提高了校园网的运行效率。防火墙在校园网中的应用,完善了校园网内部的网络隔断,即使校园网发生安全问题,也可以在短时间内控制问题扩散的速度和范围。防火墙在校园网中发挥着重要的作用,能够有效地阻断来自外界互联网的安全侵害,但是防火墙不能阻止校园网内部的安全问题,不能拒绝和控制校园网内部的感染病毒。

2.2VPN技术

VPN技术在校园网的应用,通过VPN设备将校内局域网和外部的互联网连接起来,可以提高校园网的数据安全。VPN服务器经过设置后,只有符合相应条件的用户经过连接VPN服务器才能获得访问特定网络信息的权限,拒绝校园网内用户的危险操作。VPN技术可以实现用户验证,通过验证校内网用户的身份,只有符合条件的授权用户才能连接到VPN服务器,进行相关访问。其次实现校园网数据加密,VPN技术可以将通过互联网通道传输的数据进行加密,只有经过授权的用户才能访问这些信息。再次实现校园网密钥管理,通过生成校园网和互联网的基本协议,提高校园网的可靠性。并且VPN技术在校园网中的应用不需要安装VPN的客户端设备,降低了校园网安全管理的成本。通过VPN技术,校园网络管理员可以对校园网内用户的操作进行实时监控,及时发现校园网络故障点,进行远程维护,提高校园网维护管理能力。

2.3入侵检测技术

入侵检测技术在校园网中的应用,可以检测校园网络中一些不安全的网络操作行为,一旦检测到网络系统中的一些异常现象和未授权的网络操作,就会发出网络报警信号。入侵检测技术可以自动分析校园网络的用户活动,检测出校园网中授权用户的非法使用和未授权用户的越权使用[4]。入侵检测技术还可以监控校园网络系统的配置情况,检测出系统安全漏洞,提醒校园网络管理人员及时进行维护。另外,入侵检测技术在识别网络攻击和网络威胁方面具有重要的作用,可以及时发出报警信号,并且拒绝和处理网络攻击入侵行为,结合发现的网络攻击模式,检测校园网系统结构是否存在安全漏洞,提高校园网的数据完整性,进行系统评估。

2.4访问控制技术

访问控制技术主要是用来控制校园网用户的非法访问和非法操作,用户想要进入校园网,首先要通过访问控制,经过验证识别用用户口令、户名、密码等,确定该用户是否具有访问校园网的权限,当用户进入校园网后,就会赋予用户访问操作权限,使校园网络资源不会被未授权用户非法使用和非法访问。

2.5网络数据恢复和备份技术

校园网中的网络数据恢复和备份技术,可以防止校园网信息数据丢失,保护校园网重要信息资源。网络数据恢复和备份技术可以实现集中式的网络信息资源管理,对整个校园网系统中的信息资源进行备份管理,可以极大地提高校园网管理员的工作效率,实现网络资源的统一管理,利用网络备份设备实时监控校园网络中的备份作业,结合校园网的运行情况,及时修改网络备份策略[5],提高系统备份效率。校园网管理员可以利用网络数据恢复和备份技术,定时对网络数据库中的数据进行备份,这是网络管理重要环节。校园网的备份系统可以在用户进行校园网访问时,建立在线网络索引,当用户需要恢复网络信息时,通过在线网络索引中的备份系统就可以自动恢复网络数据文件。网络数据恢复和备份技术实现了校园网络的归档管理,通过时间定期和项目管理对网络信息数据进行归档管理,在网络环境建立统一的数据备份和储存格式,使所有网络信息数据在统一格式中完成长时间的保存[6]。

2.6灾难恢复技术

校园网中的灾难恢复主要包括两类:个别数据文件的恢复和所有信息数据的恢复。当校园网中的个别数据文件恢复可以利用网络中备份系统完成个别受损数据文件的恢复,校园网络管理员可以浏览目录或者数据库,触动受损数据文件的恢复功能,系统会自动加载存储软件,恢复受损文件。所有信息数据的恢复主要应用在当发生意外灾难时导致整个校园网系统重组、系统升级、系统崩溃和信息数据丢失等情况。

3结语

第2篇

关键词:校园网;网络安全;防范措施;防火墙;VLAN技术

校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。

一、校园网络安全现状分析

(一)网络安全设施配备不够

学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。

(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善

学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。

(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”

大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。

(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失

网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。

综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。

二、校园网络的主要防范措施

(一)服务器

学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。

(二)防火墙

防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。

(三)防治网络病毒

校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。

(四)口令加密和访问控制

校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。

(五)VLAN(虚拟局域网)技术

VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。

(六)系统备份和数据备份

虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。

(七)入侵检测系统(IntrusionDetectionSystem,IDS)

IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。

(八)增强网络安全意识、健全学校统一规范管理制度

根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。

三、结论

校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。

参考文献:

1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.

2、张公忠.现代网络技术教程[M].清华大学出版社,2004.

3、刘清山.网络安全措施[M].电子工业出版社,2000.

4、谢希仁.计算机网络[M].大连理工大学出版社,2000.

5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).

6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.

第3篇

1.1校园网络部件带来的问题。高校需要的机器设备很多,导致很多高校由于经费的问题迟迟不更换老旧的设备,使得整个网络处于崩溃的边缘,主机使用的软件并非正版软件,甚至本身携带一些病毒,增大了网络安全隐患。网络设备在建设完成之后,需要专业技术人员的维护,而在大多数高校,缺乏专业的维护人员,出现问题之后只能找外包公司解决,错过了避免事故的最佳时期。管理员不懂技术可能会导致很多计算机通过校园网络接入病毒,甚至导致整个网络的瘫痪。高校设计网络环境时,出现硬件设计漏洞,不经过调试和改善就投入使用,导致无法适用于瞬息万变的网络世界而受到攻击和破坏。另外,多数高校的计算机系统没有使用较为安全的系统,在微软宣布不再对XP系统支持后,没有更换合适的操作系统,导致产生网络漏洞。

1.2校园网络管理员存在的问题。高校忽视网络安全的建设,没有基本防御措施,缺乏对一般性安全漏洞的防御能力,网络设备建成后,需要专业的技术人员维护,校园网络随时都可能受到攻击,需要技术人员具备解决问题的能力,而不少高校只有管理机房使用的老师,缺乏技术人员,面对问题,只能请维修企业处理。计算机操作系统并不是一直安全的,微软公司一直根据病毒或者其他黑客攻击手段,完善自己的系统,而高校日常的维护和更新也没有专业的技术人员处理,机房计算机系统一直使用较老的操作系统版本,带来很大隐患。另外,校园网络管理者缺乏安全意识,泄露相关管理员密码,使得别有用心的人获取密码,破坏校园网络。

1.3校园网络使用者带来的隐患。作为校园网络的使用者,学生自身不懂网络安全,从网络下载软件的同时带来了一些病毒。造成了网络安全事件的发生。部分热爱技术的学生甚至以校园网络作为攻击的对象,获取他人的帐号和信息。这些行为都会给校园网络带来安全隐患,有些还可能导致网络瘫痪。

2解决高校网络安全问题的对策

2.1加大校园网络的资金投入。高校应该购买新的网络设备用于建设校园网络,新设备具备更高的安全性,可以预防较为简单的网络攻击。在教学上,更应该购买正版软件,正版软件没有病毒,能够得到厂家的技术支持。另外,高校应该招聘专门的网络技术人员,维护校园网络的正常运行,技术人员要具备网络安全知识,能够及时处理突发状况,避免校园网络受到攻击。专业的技术人员更能提高网络设备的使用效率和使用年限。

2.2建立健全网络安全管理制度。高校要加强网络安全的宣传和教育,培训网络管理员安全意识,定期维护网络设备和主机,提高师生的网络道德,从根本杜绝来自内部的网络攻击。建立校园网使用规范,并用多种方式宣传,例如通过学校网站,校内广播,校内宣传栏等,让学生明白网络安全的重要性,能够按照国家网络安全的相关法律法规约束自己,自觉加入维护校园网络安全的阵营中来,为维护校园网络安全贡献自己的力量。宣传不能解决所有的问题,高校要合理设置校园网络的权限,在登陆环节,要制定安全的登陆方式,尽量采用实名验证和学号验证的方式,避免校外人员使用校园网带来不安全因素。

2.3加强对于安全漏洞的防范。在网络安全技术中,防火墙技术应用十分广泛,防火墙是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。在防火墙的设置中,要过滤内地址路由包,清楚错误地址的IP数据包,网络管理员经常检查安全日志,及时发现和处理不合法的登陆与外网的攻击行为。通过设置防火墙的相关参数来提升安全等级。建立网络各主机和对外服务器的安全保护措施,保证系统安全,利用防火墙对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝,利用防火墙加强合法用户的访问认证,同时在不影响用户正常访问的基技术人员的配备不完善,无法应对大规模的网络攻击,需要相关技术企业的帮助,因此,高校应该和社会企业进行长时间的合作,在事件发生的时候能够及时处理。高校应该建立信息备份制度,对于重要的信息要保存在不受网络入侵的物理设备中,以防因安全事件导致学校不能正常工作。引起学生和家长的不满和恐慌。日常信息通信中,要使用数据加密技术,确保信息传输的安全。础上将用户的访问权限控制在最低限度内,利用防火墙全面监视对公开服务器的访问,及时发现和阻止非法操作;另外可以采用诸多技术来预防破坏,例如网络入侵检测技术,即是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。可以在系统中按照网络入侵检测系统,在外网和内网都设立监测点,实时检查,系统会提醒管理员是否有攻击行为;还可以采用数据加密技术,在客户端登陆检查,校园网教务管理系统中都可以使用;每台主机多要安装防病毒软件,用于检测日常上网收到的病毒攻击。

2.4建立网络安全应急机制。校园网络安全突发事件需要建立网络安全应急机制,以防止事件引发更大的损失,应急机制需要高校和相关企业的联动,高校网络安全

3结束语

第4篇

关键词:SNMP;RRDTOOL;CACTI;流量监控

1引言

随着网络技术的迅速发展和各种网络业务应用的普及,用户对网络资源的需求不断增长,网络已成为人们日常工作生活中不可或缺的信息承载工具,同时人们对网络性能的要求也越高,在众多影响网络性能的因素中网络流量是最为重要的因素之一,它包含了用户利用网络进行活动的所有的信息。通过对网络流量的监测分析,可以为网络的运行和维护提供重要信息,对于网络性能分析、异常监测、链路状态监测、容量规划等发挥着重要作用。

SNMP(简单网络维护管理协议)是Internet工程任务组(IETF)在SGMP基础上开发的,SNMP是由一系列协议组和规范组成的,SNMP的体系结构包括SNMP管理者(SNMPManager)、SNMP者(SNMPAgent)和管理信息库(MIB)。每个支持SNMP的网络设备中都包含一个,不断地收集统计数据,并把这些数据记录到一个管理信息库(MIB)中,网络维护管理程序再通过SNMP通信协议查询或修改所纪录的信息。从被管理设备中收集数据有两种方法:轮询方法和基于中断的方法。SNMP最大的特点是简单性,容易实现且成本低,利用SNMP协议能够对被监视的各个网络端口输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等进行采集。

2RRDTOOL的工作原理

RRDTOOL代表“RoundRobinDatabasetool”,是TobiasOetiker设计的一个基于Perl的功能强大的数据储存和图形生成工具,最初设计目的是为流量统计分析工具MRTG提供更好的数据存储性能和更强的图形生成功能。所谓的“RoundRobin”其实是一种存储数据的方式,使用固定大小的空间来存储数据,并有一个指针指向最新的数据的位置。我们可以把用于存储数据的数据库的空间看成一个圆,上面有很多刻度。这些刻度所在的位置就代表用于存储数据的地方。所谓指针,可以认为是从圆心指向这些刻度的一条直线。指针会随着数据的读写操作自动移动。要注意的是,这个圆没有起点和终点,所以指针可以一直移动,而不用担心到达终点后就无法前进的问题。在一段时间后,当所有的空间都存满了数据,就又从头开始存放。这样整个存储空间的大小就是一个固定的数值。所以RRDtool就是使用类似的方式来存放数据的工具,RRDtool所使用的数据库文件的后缀名是''''.rrd''''。

和其它数据库工具相比,它具有如下特点:

首先RRDtool存储数据,扮演了一个后台工具的角色。但同时RRDtool又允许创建图表,这使得RRDtool看起来又像是前端工具。其他的数据库只能存储数据,不能创建图表。

RRDtool的每个rrd文件的大小是固定的,而普通的数据库文件的大小是随着时间而增加的。

其他数据库只是被动的接受数据,RRDtool可以对收到的数据进行计算,例如前后两个数据的变化程度(rateofchange),并存储该结果。

RRDtool要求定时获取数据,其他数据库则没有该要求。如果在一个时间间隔内(heartbeat)没有收到值,则会用UNKN代替,其他数据库则不会这样做。

3监测系统的安装与配置

(1)配置路由器和交换机:

开始配置RRDTool之前,必须对需要监测的网络及设备进行良好的规划、设计与配置,包括配置设备互联地址、网管地址及路由,保证流量监测计算机可以与被监测设备网络层的互通;配置SNMP通信字符串和端口号,掌握需要的监测对象号(SNMPOID),确保流量监测计算机可以获取正确的SNMP信息。在路由器和交换机上启动SNMP,并设置只读团体名。命令如下:

(config)#snmp-serverenabletraps

(config)#snmp-servercommunitytestro

(2)安装配置RRDTool:

我们以Debian平台来安装配置RRDTOOL系统,在安装RRDTOOL前首先要安装支持RRDTOOL运行的环境:Zlib、libart_lgpl、cgilib、Libpng、freetype软件包。

①安装apache、mysql、php:apt-getinstallapache2php4mysql-serverphp4-mysql;安装成功后通过浏览器访问客户器,可以得到“Itworks!”的提示;利用mysqladmin工具给mysql添加好管理员密码。

②安装RRDTOOL:apt-getinstallrrdtool。

③安装NET-SNMP:apt-getinstallsnmp。

④安装Cacti:apt-getinstallcacti,在安装过程中会提示你输入mysql管理员密码和cacti数据库管理员密码。

(3)系统配置:

安装好系统后就要进行简单的初始化和配置,步骤如下:

①访问x.x.x.x/cacti,按照向导提示进行cacti的初始化安装;

②利用crontab-e添加计划任务:

*/5****/usr/bin/php/usr/share/cacti/site/poller.php>/dev/null2>&1

③利用cacti进行设备的添加;

④利用cacti进行绘图管理。

cacti其实是一套php程序,它运用snmpget采集数据,使用rrdtool绘图。它的界面非常漂亮,能让你根本无需明白rrdtool的参数能轻易的绘出漂亮的图形。更难能可贵的是,它提供了强大的数据管理和用户管理功能,一张图是属于一个host的,每一个host又可以挂载到一个树状的结构上。用户的管理上,作为一个开源软件,它居然做到为指定一个用户能查看的“树”、host、甚至每一张图,还可以与LDAP结合进行用户的验证!我不由得佩服作者考虑的周到!Cacti还提供自己增加模板的功能,让你添加自己的snmp_query和script!可以说,cacti将rrdtool的所有“缺点”都补足了!

网络地图

第5篇

数据链层位于物理层和网络层之间,数据链层受到的破坏会直接作用到其他各层。数据链层的安全隐患又容易被忽略,数据链层的安全问题有:MAC地址泛洪攻击、ARP攻击、存取控制地址欺骗、VLAN攻击、VTP攻击和VLAN跳跃攻击。

2网络层的安全

网络层处于数据链层和传输层之间,是网络体系结构中的第三层,TCP/IP协议族中最核心的IP协议就在网络层,广泛应用的TCP、UDP、IGMP及ICMP数据包,都以IP数据报文形式传输。网络层封装IP数据包,并路由转发,解决机器之间的通信问题。网络层常见安全问题有:明文传输面临的威胁、IP地址欺骗、源路由欺骗和ICMP攻击。

3传输层的安全

传输层在OSI模型中起着关键作用,负责端到端可靠的交换数据传输和数据控制。在传输层使用最广泛的有两种协议:传输控制协议和用户数据报协议。传输层常见安全问题有:TCP"SYN"攻击、Land攻击、TCP会话劫持和端口扫描攻击。

4操作系统的安全

目前在职业院校,除了服务器是使用UNIX、Linux外,其它工作站基本是使用微软操作系统,存在以下风险。(1)安全隐患的产生,主要是操作系统配置不合理,例如:没有管理员口令,用户弱口令,未删除和禁用不必要的帐号,设置完全共享的目录、没有防病毒软件、不合理的访问控制,资源共享的访问权限配置不当等。(2)操作系统的正常运行需要很多系统服务支撑,这些系统服务向用户和应用程序提供功能接口,有些是操作系统正常运行必需的,有些则是不必要的。不必要的服务不仅会占用系统资源,还会给操作系统带来安全威胁。如果用户不知道自已的操作系统,哪些服务是可以访问网络的,就容易被入侵者利用。

5业务应用的安全

职业院校为了满足科研、教学、办公的需要,校园网搭建了很多网络应用系统,如:信息、教务管理、办公自动化、图书管理等。这些应用系统很重要,但也存在风险如下:(1)身份认证:操作系统和应用系统为了保证安全,采取了身份认证措施,这些机制各有特点,但是入侵者仍可以利用网络窃听、非法数据库访问、穷举攻击、重放攻击手段获取口令。用户安全意识淡薄,使用系统默认或者弱密码,并且长期不改动,形同虚设。(2)WEB服务:WEB服务是学校用于对外宣传、开展网络远程教学的重要手段,应用极其普遍,使得Web服务经常成为非法攻击的首选目标。存在的安全隐患较多,网页代码本身就存在后门和一些缺陷,比如IIS漏洞、ASP的上传漏洞、SQL注入、缓冲区溢出等。入侵者一旦攻陷WEB服务器,可以把WEB服务器作为跳板,通过中间件或数据库连接部件,非法访问学校内部应用系统和数据库,并可利用网页脚本访问本地文件系统和网络系统中其它资源。(3)数据库:数据库是信息系统的核心,校园网内的业务应用依赖于各种数据库系统,保证数据的安全和完整,正确配置数据库系统显得至关重要。数据库是个复杂的系统。非专业人员是无法正确配置数据库系统的。关系型数据库是可从端口寻址的,通过查询工具就可建立与数据库的连接,例如通过TCP1521和1526端口,就能侵入一个弱防护的数据库;数据库运行过程中,出现的错误信息,可以泄漏数据库结构,分析这些信息就能实施攻击。(4)网络资源共享:为了工作方便,内部人员经常会使用网络共享,如果没有对资源共享,作必要的访问控制策略,重要的数据信息,就无防护地暴露在网络中。

6网络管理的安全

安全管理对于有一定规模的职业院校网络来说是极其重要的。如果没有相应制度约束,就会带来风险:网络管理人员把校园网络结构、系统的一些重要信息传播给外人,会造成信息泄漏;密码和密钥管理风险,管理员账户及密码被外人窃取;在约束缺失的情况下,利用网络和系统的弱点,实施入侵、修改、删除数据等非法行为;审计不力或无审计,当网络受到攻击或其它威胁时,没有相应的检测、监控、报告与预警机制。事件发生后,不能提供任何记录,无法追踪线索,缺乏对网络的可控和可审查性。

7结束语

第6篇

高校校园网安全问题分析

某高校对校园网存在的问题进行调查得出的分析图。其中涉及到的很多问题都可能是由校园网的安全隐患所引起的,例如:网络攻击、无法认证等。一些看似无关的问题也不能排除安全隐患的影响因素在里面,例如:很多“黑客”就经常制造一些“病毒”影响系统的正常运行,导致系统运行速度变慢甚至断线。

(一)用户数量大而密集目前,校园网的使用者大多数是来自高校的学生,这就导致了高校的校园网用户群体庞大而且分布相对密集,容易引高校计算机网络安全管理工作初探文/王红云发内外两方面的安全隐患。一方面,由于校园网与因特网相连接,运行速度快、使用规模大,在使用因特网服务的时候,很容易面临一些“黑客”的群体攻击;另一方面,校园网用户由于多数以大学生为主,对新鲜事物以及网络新技术比较好奇,敢于尝试,成为网络上最活跃的用户,正是这一特点很容易对网络产生一定的影响和破坏,而且其自身也很有可能成为一些“病毒”的攻击目标。

(二)网络环境架构问题校园网的主要服务对象就是教学与科研应用。在这些应用中,相对安全管理意识不强,管理制度也比较宽松,从而导致存在很多的安全管理漏洞。并且,目前大多使用的操作系统普遍存在着一些安全漏洞,这无疑为网络安全造成了不小的威胁。例如:WindowsNT/2000是一种常用且易于操作的,这反而失去成为最不安全的网络系统。

(三)校园网系统管理过程中存在的问题由于高校的计算机管理系统不可能在同一时间内将所有的计算机等设备全部统一购买,加上对设备的后期管理工作也是异常复杂,所以,很难将制定的安全政策在所有的端系统统一实施。进而使得网络的维护与管理工作难度增大,这对于原本就人员不足网络管理部门更是雪上加霜。安全隐患的存在也就不可避免了。

(四)缺乏完善的网络使用以及管理制度相对宽松的管理模式,导致校园网的管理者在制定相应的管理制度以及监督办法时过于随意,从而很难有效的进行网络用户行为的监督管理工作。

高校网络安全管理工作改革

未来的信息技术发展将成为广大高校的核心竞争力之一,势必以科研以及教学等工作的核心支持呈现。因此,对于确保高校的网络安全、可靠、顺畅是网络安全管理工作的重点。

(一)端点设备的接入目前,广大高校已经基本实现了入网用户的身份认证管理系统的建立。但是,却无法判断出系统用户的计算机是否处于安全状态,从而也就很难对其网络行为进行管理。端点设备安全接入能够对入网用户的网络行为进行有效的安全控制。其工作原理如下:首先,身份验证,当用户的电脑进入到系统时,系统会对其身份进行安全检测,一旦确认其身份违法,则会禁图1校园网问题分析图止其入网行为,然后,对其的安全状态进行监测,如果存在漏洞则需隔离处理。只有符合要求的方可进入。

(二)确保网络出入口安全目前,防火墙技术主要作用于三到四层的检测与筛查,而对应用层的病毒攻击效果不明显,致使在校园网以及数据中心的输入口经常受到病毒的威胁。因此,需要对其进行有效的安全防御手段。并与防火墙技术相配合,保证校园网的应用安全。

(三)实现校园网透明化对网络的管理以及应用进行优化,必须做到网络的高度透明,并对大规模的流量数据进行分析,利用实时状态信息的收集与整体,对流量的分布详细掌握,从而为各种优化措施以及QoS方案的执行做好准备,确保关键业务的顺利运行。

(四)IP技术的存储整合目前,存储资源主要是依靠服务器和应用,多数都是分散存在的,很难实现资源共享,因此,对存储资源的整合是解决资源和信息孤立的重要环节。利用高校数据中心的深入建设,能够实现资源的存储、整合以及共享。从而为数据和应用系统的整合提供支撑平台。校园数据中心的特点不同于其他行业,是分布式数据中心的建设,这既是高校管理模式的需要,也是实现异地容灾备份的需要。同时,不同区域的数据分布式多物理位置存放可满足校园应用对资料的高速访问的特点需求,即大多数的应用需要对于数据的高速并发访问。那么在多数据中心的建设需求下,基于IP技术将大大降低数据和存储资源的整合难度,并极大地降低了总体拥有成本。安全数据网络是与校园网络物理融合、逻辑分离的安全VPN网络,在充分保证数据安全性的前提下,复用校园的基础网络资源,降低基础建设的投资,同时也解决了存储系统在物理距离方面的限制,最终以低成本实现了效果满意的数据备份、容灾。

(五)完善校园网的安全管理制度无论是先进的网络安全技术,还是最新的软硬件设备支撑,都需要有优秀的管理人才进行管理。而管理人才更是离不开完善的网络安全管理制度与其配合。因此,管理人员要对网络安全进行深入、全面的研究,并不断的对现有网络管理制度进行完善,使其做到与时俱进。并在高校当中进行安全管理培训,帮助用户提升网络安全防范意识,自觉遵守和维护网络管理规章制度,将网络安全隐患降到最低。

第7篇

(一)中小学学生网络安全防范意识薄弱,不良信息肆意传播

中小学学校网络的主要用户是在校学生,他们对网络安全不够重视,法律意识也不是很强。对网络新技术充满好奇。在好奇心的驱使,在网络中随意浏览网页和访问陌生网络地址,致使电脑受到病毒、木马有害程序的攻击而导致数据丢失、机器瘫痪,还会传播一些不良的文化,影响到学生的学习和生活。

(二)校园网网络病毒广泛存在

校园网与internet相连且速度快和规模大,在享受internet方便快捷的同时,也面临着来自internet攻击的风险。网络病毒的危害性是极大的,其传播速度快,波及范围广,造成的危害都是很大的。病毒侵入某一网络以后,根据其设定的程序,有效地收集相关有价值的信息,然后通过自动探测网内的其它计算机的漏洞,进行攻击。

(三)校园网管理存在问题

很多学校的网络管理员的都具有一定的专业水平,基本可以胜任本职工作,但是可能是学校对网络安全不是很重视,或者因为个人某些方面的原因,造成工作热情不高、责任心不强,所以很少花心思去维护网络、维护硬件。同时学校对学生的网络规范使用教育也缺乏足够的宣传力度,还有的学校缺乏必要的网络信息监控措施,允许学生通过校园网直接访问互联网,导致一些学生无意的接触到大量的非法网站,不但造成数据和信息的丢失,而且严重影响了学生的身心健康,同时也对建立和谐校园产生不良影响。

(四)校园网管理技术较为单一

当前,很多的中小学校都只是依靠单一的技术或者独立的安全产品来保证校园网络的安全。随着网络安全风险的逐步提高,当校园网络受到安全隐患时,这些较为独立的安全产品一般会各自为战,使得原有的安全防范措施不能够发挥应有的作用,这很难满足目前中小学校校园网对于安全的需求。

(五)校园网维护存在问题

维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有较系统的投入。

二、如何加强校园网络安全管理

(一)加强学生的网络安全教育和管理

中小学学校要对学生进行网络规范教育,使学生充分认识到网络的利与弊,同时学校也应加强对学生的法制教育,增强学生的法律意识,进而减少网络犯罪行为。中小学学校应加强校园文化建设,正确的指导学生多从事一些有益身心的社会活动,避免学生迷恋于虚拟的网络,迷失了自我。只有这样,才能净化网络环境,培养学生的自律意识,使网络在学校的教育工作上,发挥其积极作用。使网络更好的服务于教育,服务于信息科技的发展,服务于社会的前进。

(二)制定可行的校园网络安全管理制度

为了确保整个校园网络的安全有效运行,制定出可行的校园网络安全管理制度。

1)建立一个信息安全管理机构,制定统管全局的网络信息安全规定;

2)制定激励制度,增强网管人员的责任心并激发网管人员的工作热情;

3)加强网管人员的专业技能培训工作,从技术上提升他们对网络攻击的应对能力;

4)学校其它专业也应安排网络安全基本知识的教育,普及非计算机专业师生信息安全知识的教育;

5)加大网络安全建设的资金投入。

(三)对学生实施上网行为管理

在教学开放网络的同时,使用网络行为管理软件(例:海蜘蛛软路由)进行管理。如设定网页关键词过滤;过滤具有不良信息的网站;控制学生所上的网站。做到不允许的网站不能访问,一旦学生访问不允许访问的网站时,强制跳到预定的网站。真正达到允许上的网学生能上网,不允许上的网学生不能上网。

(四)实现域用户身份认证的过程

在校园网提供更高层次服务时,对于用户身份的认证及其服务权限的管理需求也在不断提高。以前较为独立的系统很难达到身份认证的需求,因此需要一个完备的系统,对整个校园网用户进行身份的认证和管理。配备网关认证流控设备,要求所有的内网用户假如想要访问外网都需要进行用户认证。对非法接入的用户和设备应该严厉打击。这种办法不但可以确保网络的安全性,同时还能够很好的提升网络带宽的利用率,极大的提高了效率。

三、结语

第8篇

我们平时所熟知的的病毒攻击和计算机犯罪就属于这一类。此类攻击可以分为两种类型:一种是网络攻击,以各种网络攻击技术有选择和针对性地破坏对方信息的有效性和完整性,以达到其不同的目的;另一类是网络侦察,这种也是在网络犯罪中经常遇到的,网络侦察的主要目的是在不影响侦察目标正常使用网络的情况下,进行截获、窃取、破译,以获得对方重要的机密信息,包括账号、密码,甚至是网上银行的账号和密码,以盗窃他人的财产等目的。这两种攻击均可对计算机网络以及用户造成极大的危害,并导致机密数据的泄露。

高校机房的网络安全的防范措施

(1)建立安全防范意识:提高系统管理人员的技术素质和职业道德修养。具体做法为对机房的电脑装上功能强大的杀毒软件和防火墙,及时查毒和备份重要的数据,以免造成不必要的损失。

(2)网络访问控制:进行对网络的控制访问是保障网络安全的一个主要方法,网络访问控制的主要目的是确保网络资源不被非法使用和访问,它是保证网络安全最重要的范畴之一。

(3)数据库的备份与恢复:数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。在我们平时所用到的备份方法中,一般采用的有三种方法:只备份数据库、备份数据库和事务日志、增量备份。

(4)应用密码访问技术:在高校的计算机机房中可能前来使用网络的人员比较杂,甚至有可能存在很多非该校的老师或者学生,为了防止一些非法人员在高校计算机机房中进行恶意操作,植入病毒进行攻击等有违网络安全管理的操作的行为。因此,在用户进入系统之前一定要使用合法的身份登入系统,而对网络安全至关重要的文件和资源进行访问和操作时也一定要做好密码访问技术。

(5)杜绝传播途径:对可能被病毒感染的硬盘和计算机进行彻底杀毒处理以清除安全隐患,不要使用可疑的U盘和程序,也不要访问一些非法网站,防止计算机被植入病毒。

(6)提高网络系统的抗病毒能力:病毒入侵是高校计算机网络安全中最重要的一部分,我们日常所指的网络安全在绝大程度上就是指的病毒危害,因此安装病毒防火墙,实时的对可能入侵的计算机病毒进行过滤是高校计算机机房安全管理的一项重要举措。另外,对网络中的资源进行定期的扫描和监测。

第9篇

相比于分析单个弱点的脆弱性,基于模型的评估方法能更好的模拟攻击者行为、表达弱点关联性。尽管这些方法改善了网络安全评估的效果,但当前工作仍有以下缺陷:

(1)非自动化。虽然攻击图生成已经实现了自动化,具备高可扩展性,但是网络安全评估的其他部分仍需手动完成。评估依赖的数据库(Bugtraq,/)并不包含弱点的“前提”和“结果”属性,弱点关联关系需要从弱点描述字段手动提取。

(2)评估效率。当前的网络安全评估仍集中在机器数比较少的小规模网络,为了获取比较准确的分析结果,必须使用较复杂的评估模型,计算复杂度也会随之提高。在评估有效性和评估规模之间,大部分工作选择的是前者。因而,如何简化评估模型,将评估方法推广到大规模网络是一个亟待解决的问题。本文提出了一种高效的网络安全评估方法。在已有工作基础上解决了三个关键问题:

(1)将变量消元算法应用到贝叶斯网中,不构建联合概率分布表,直接计算评估结果。通过变量消元使提高了评估的效率,评估规模从原有的数十台提升到数千台。

(2)提取弱点信息,构建弱点的前提和结果集,同时整合当前主流的弱点数据库,形成一个包含弱点详细信息的量化关联数据库。

(3)提出一种基于原子域的攻击图计算方法,简化了攻击图生成和评估模型的计算。本文组织结构如下:第2章介绍基本思想;第3章讨论弱点关联数据库的构建;第4章给出原子域的攻击图生成方法;第5章提出基于变量消元的贝叶斯网评估模型;第6章通过真实环境下大量实验,验证本方法的有效性;第7章是总结与进一步工作。

基本思想

获取当前网络脆弱性信息是安全评估的前提,在此基础上利用攻击图模拟入侵者行为,进而通过量化评估模型分析攻击者在当前安全策略下所有可能的行为和后果,评价网络的脆弱性,提出加固建议。

图1是本评估方法的简单流程。数据存储池包括弱点数据库和从网络管理员获得的配置信息(如网络拓扑、访问控制策略等)。此部分信息是生成攻击图,构建网络评估模型的基础。弱点扫描器包括控制服务器端和客户端。客户端安装在每台待评估机器上,由服务器端控制,对系统进行扫描,获得当前网络包含的所有弱点和它们的量化概率信息。之后,攻击图生成系统将弱点关联,利用基于原子域的攻击图生成方法生成攻击图和贝叶斯网。以此为基础,通过变量消元和贝叶斯推理,计算评估维度并显示评估结果,给出安全加固策略。

弱点关联数据库

1弱点数据库创建

计算机的弱点通常指软硬件设计或策略上的缺陷,使得攻击者可以在未授权的情况下访问系统。一个好的弱点数据库不仅能从多方面描述一个弱点的详细信息,而且是攻击图生成和网络安全评估的基础。虽然有的研究工作根据经验手动构建漏洞库,能较准确的反映弱点某一方面的特征。但是此类数据库由于人力有限,不可能包含当前所有弱点的详细信息。同时,弱点信息不断更新,新的弱点会不断出现,如何保证数据库的实时性是一个难点。

另一个构建漏洞库的难点是如何提取弱点的关联信息。攻击图的生成是一个将网络中一系列弱点进行关联的过程,通过攻击路径模拟攻击者可能的攻击行为。因此,为了自动化生成攻击图,必须有一个能反映弱点关联关系的数据库。一个弱点的前提集是指攻击者要利用这个弱点实施攻击,必须满足的前提条件。弱点的结果集是指攻击者利用这个弱点成功完成攻击后,所能取得的权限提升或对主机和网络造成的破坏。如果数据库中的每一个记录(弱点)都有前提和结果信息,就可称之为关联数据库。

本文采用美国国家漏洞库(NationalVulnerabilityDatabase,)中,攻击复杂度是一个包含三个值的枚举变量,即:0.31(H),0.61(M)和0.71(L)。所以,攻击者成功利用该弱点的概率为0.71。

单个弱点的概率信息是进行概率推理、计算评估结果的基础,一些研究者利用经验设定一个弱点被利用的概率。但是弱点数据库可能包含上万条记录并不断更新,手动部署量化信息比较困难。虽然本数据库设定的弱点利用概率值只能是0.31、0.61或0.71,但弱点的重要程度是相对的。通过这种方式构建量化数据库不仅能使评估自动化,而且能比较准确得反映弱点的相对重要程度。基于以上技术,系统使用MySQL创建了包含46953条记录的弱点数据库,每条记录包括弱点的基本信息、前提结果集和量化信息。

3基于弱点数据库的扫描器

为了分析待评估网络的脆弱性,系统以开源弱点评估语言(openvulnerabilityandsssessmentlanguage,OVAL,/)为核心构建弱点扫描器。选择开源弱点评估语言的原因在于它是通用的弱点描述语言,描述方式符合CVE标准,方便从数据库中提取信息。其次,扫描客户端安装在每台机器上,能以管理员身份查找漏洞。考虑到评估网络的重要性和安全性,安装扫描器的代价是可接受的。除了主机扫描,系统还集成了网络扫描器Nessus,从单个系统和整体网络两方面检查漏洞信息,为网络评估提供详细的弱点列表。

攻击图生成

攻击图描述了入侵者利用弱点逐步达到目标的过程。本文提出了一种原子域构建攻击图的方法,简化了攻击图生成过程。该方法分两步:原子域初始化和攻击图生成。

1原子域初始化

原子域指的是特定主机的特定权限。为了对网络建模,首先设定每个原子域的可用弱点集合。通过分析与攻击者相连的所有主机组成的小网络,可以初始化攻击者的原子域。接着按照同样的步骤初始化其他原子域,通过把一个大网络分解成一组原子域,实现攻击图生成的简化。当网络结构或配置发生改变时,只需要更改相应的原子域,图3是一个例子网络[8]。表2是这个网络包含的所有弱点信息,包括它们的利用条件和所在主机。表3显示的是原子域初始化结果,也就是每个原子域的可用弱点集合。其中IpDUser表示了IpD机器的User权限。按照攻击图生成的单调性假设:攻击者不会发动不能使他权限提升的攻击,因此ipWRoot的可用弱点集合不包含“ap”。

2攻击图生成

当所有原子域初始化完毕,系统就可以通过原子域间的通信生成攻击图。首先从攻击者所能访问的原子域开始,分析攻击者所能发起的攻击,激活和当前原子域相邻的子网络中包含的原子域。接着以相同的方式,按广度优先原则激活每个原子域和它相邻的原子域组。当所有的原子域激活,攻击图生成过程结束。图4是该网络的攻击图。每个节点代表一个原子域(ip3Root表示主机3上的Root权限),每条边代表攻击者利用弱点实施的一次权限提升攻击。由于采用单调性假设,所以攻击图中没有回边。

基于优化贝叶斯网的评估方法

1评估模型的建立

为了进行网络安全评估,需要一个定量分析模型计算当前网络的脆弱性,本文使用贝叶斯网结合贝叶斯推理完成这一任务。为了方便将攻击图和贝叶斯推理结合,引入贝叶斯攻击图的概念,并做如下定义:定义1设X表示一组离散变量集{X1,…,Xn},集合中每个变量的祖先变量是Pa1,…,Pan。条件概率分布表(CPT)指明了每个变量所包含的条件概率分布(CPD)如果攻击图和用概率分布表表示的量化信息结合,就可称为“贝叶斯攻击图”。图中的每个变量代表一个伯努利随机变量Xi,P(Xi=T)表示攻击者成功达到目标的概率,每条边表示入侵者利用弱点发动的攻击,而概率分布表表示了节点之间的概率依赖关系。正如前面所述,本文使用通用弱点评分系统中的“攻击复杂度”表示一个弱点被成功利用的概率。虽然这种方法只能表示0.31,0.61和0.71三个值,但这并不影响评估结果。因为我们更关注一组弱点的相对威胁程度,而不是单个弱点的重要度。一些已有的工作使用通用弱点评分系统的“基本分”(BasicScore,BS)表示弱点被利用的难易度。他们将基本分除以10,用得到的0到1之间的值表示该弱点被攻击者成功攻击的概率。虽然此方法能从扫描结果中自动提取量化信息,但弱点的基本分除了包含一个弱点被利用的难易程度,还表示该弱点被攻击后可能造成的破坏程度和影响。很多弱点的基本分是10,并不表示这些弱点被成功利用的概率是1。

在构建贝叶斯网过程中,应用了一个通用的假设:给定一个变量X,X的祖先节点独立影响X的状态,即,每个节点的条件概率不受其他节点的影响。已有的工作通过修改概率信息消除上述假设,Bobbio等通过关联条件概率分布表解决这一问题。为了方便起见,本文不讨论这种情况。图5是一个包含三个原子域A、B、C的贝叶斯攻击图,e1和e2表示原子域之间的依赖关系,每条边对应主机C上一个弱点。图的右边表示节点C的条件概率表,其中C=1表示该原子域激活成功,P(e1)和P(e2)是从数据库中提取的弱点攻击概率。当每个节点部署完概率信息后,就可以通过贝叶斯推理计算评估维度。

2评估维度

评估维度决定了评估的方向和结果,为管理员加固网络提供了重要的依据。由于网络安全分析和故障分析有相同的目标和类似的过程,所以借用故障分析理论提出两个评估维度:顶事件不可靠度和底事件重要度。定义3(顶事件不可靠度)在一个贝叶斯网中,顶事件指一个与管理员规定的安全属性有关的状态,表示攻击者成功达到目标的可能性。给定一个贝叶斯顶事件不可靠度表示了当前网络的整体安全状态。如果网络管理员根据系统给出的安全建议,应用了加固策略,再次运行评估系统,将会发现顶事件不可靠度降低,系统整体安全性提高。

定义4(底事件关键度)底事件是造成网络不安全状态的根本原因。在一个贝叶斯攻击图(S,τ,S0,ss)中,底事件对应于S0。不失一般性,我们假设系统中存在多个状态s10,s20,…,sj0。底事件sk0的重要度是一个后验概率:本文提出的底事件计算方法不同于文献。

Wang等人用逻辑表达式表示顶事件,式中的每个谓词代表一个初始条件(即底事件)。虽然他们的评估方法能给出加固策略,但仍是一种定性评估。在贝叶斯评估模型中,底事件关键度是一个量化值,表达了对顶事件的影响程度。通过比较可知道如果攻击者完成攻击目标,最有可能从哪个底事件发起攻击。另一个不同点是本文提出的计算方法不是通过图搜索而是贝叶斯推理。如果当前网络弱点信息发生改变,不需要重新生成攻击图,只需要改变相应节点的条件概率表再进行一次推理。相比于攻击图生成,贝叶斯推理代价更小,简化了评估维度的计算。

3基于变量消元的评估维度计算算法

本节首先介绍变量消元的原理和使用变量消元降低推理复杂度的原因,接着给出评估算法。

3.1消元运算以图6中的贝叶斯网为例,考虑计算P(D),有假设所有变量均为二值,则上式的计算复杂度如下:P(A)与P(B|A)需要做4次数字乘法,其结果与P(C|B)相乘需要做8次数字乘法,它的结果再与P(D|C)相乘需要做16次数字乘法。所以总共需做28次数字乘法。

为了利用联合概率分布的分解来降低推理的计算复杂度,注意到在式4右边的4个因子中,只有P(A)和P(B|A)与变量A有关,而变量C也只出现在因子P(C|B)和P(D|C)中,所以有式(5)的计算复杂度如下:P(A)与P(B|A)相乘需要做4次数字乘法,然后消去A需要做两次数字加法,同样的,消去变量B和变量C也分别需要4次乘法和两次加法,所以乘法总次数为12,加法总次数为6。

比式4复杂度低。变量消元之所以能降低复杂度,主要是因为它使得运算可以局部化,每一步计算只关注单个变量和与它直接相连的变量。在上面的例子中,运算局部化大约节省了一半的运算量。在变量众多的网络中,节省可能是指数级的。

3.2评估算法

图7给出的是基于变量消元的网络安全评估算法。开始时为每个节点构建条件概率分布表,接着利用变量消元计算底事件不可靠度,在计算过程中得到顶事件不可靠度。

3.3算法复杂度分析

变量消元的复杂度与消元顺序有关,本文使用最小缺边搜索确定消元顺序。在变量消元算法中,最耗费事件和空间的步骤是对消元操作的调用(图7算法中第8到第13行)。从f中挑出所有涉及X的函数{f1,f2,…,fk},将它们相乘得到中间函数g,再将X从g中消去。设X1,…,Xl是g中除X之外的变量,如果把函数表示成多维表,则g所存储的函数值的个数这便是变量X的消元成本。因此,算法的复杂度与当前的贝叶斯网结构有关。相比于通过联合概率分布分析网络脆弱性,这种局部化推理简化了计算过程。大量真实环境下的测试表明,基于变量消元的评估方法能使评估复杂度降低,评估规模从原有的数十台提升到数千台。

测试

本章通过一个真实环境下的实验,验证所提出的方法有效性。试验网络环境如图8所示,其中防火墙将网络分为2个部分:攻击者所在的网络和运行关键数据服务的局域网。假设攻击者从防火墙外部发起攻击,防火墙设定的访问规则如下:攻击者只能直接访问四台机器:Ip1,Ip2,Ip3和Ip4。Ip15是数据库服务器,攻击者最终的目标是破坏作用数据库,因此Ip15是目标主机。基本事件的先验概率设置如下时基于原子域的攻击图也随着扫描进行而产生。图9显示了该实验环境下的攻击图。它包含了4个底事件(图中椭圆形阴影标注)和1个顶事件(图中最底部节点)。通过使用前面的算法,我们建立了贝叶斯攻击图。然后,使用贝叶斯推理来计算评估指标。整个过程耗时29秒。实验结果如下:1)网络的可靠度是0.4。

也就是说,攻击者能达到攻击目标的概率是0.4;2)最关键的主机是IP3(图10)。修补这一主机上的漏洞将能有效地提升网络安全性。我们在网络中增加了5台主机,然后重复上述实验。图10显示的结果如下:1)顶事件的可靠度是0.31。

说明当主机数目增加时,攻击者实现攻击目标的可能性随之增大。2)最关键的底事件是ip3;和15台机器的实验相比,底事件之间的重要度差距明显增大了。

说明随着主机数的增加,底事件对顶事件的影响被弱化了。我们基于本方法开发了一个评估系统,在北京邮电大学校园网络环境下对系统做了测试,测试结果如图11所示。横坐标表示待评估网络中包含的主机数,从300到3000。纵坐标代表网络评估阶段所需时间,单位是秒。结果显示系统整体性能符合线性增长,评估时间随主机数的增大而增加,3000台机器需要16秒左右的评估时间。

第10篇

1.1网络信息安全规章制度落实不力

《公安信息网“八条纪律”和“四个严禁”》、《禁止公安业务用计算机“一机两用”的规定》、《公安网计算机使用管理规定》、网络信息系统日巡检、系统日志周检查和数据库备份制度等一系列网络信息安全规章制度未有效落实在日常工作中,麻痹大意思想不同程度存在,造成了基层公安消防部队网络信息安全隐患事件。

1.2网络安全教育组织不到位

大多数基层部队官兵电脑、网络方面的维护知识较少,对于查杀病毒、杀毒软件升级、设置更改密码等一些基本操作都不精通,工作中普遍存在只使用、不懂维护现象,这些因素致使网络信息安全得不到保障有效。多数基层消防部队开展网络安全教育手段较为单一,多是照本宣科的传达上级规章制度,不少单位甚至将士兵上网行为视作洪水猛兽,这种一味去“堵”“、防”的安全教育管理模式,显然不能从根本上解决问题,也达不到提升官兵自身网络安全意识的效果。另外基层消防部队的合同制消防员和文职人员流动性大,也增加了消防部队网络安全教育的复杂因素。

1.3网络安全技术防范措施和手段较为单一

基层公安消防部队的网络信息安全系统建设普遍不到位,网络安全管理平台、威胁管理(UTM)、防病毒、入侵侦测、安全审计、漏洞扫描、数据备份等安全设备缺口较大。受经费制约,不少基层消防部队在信息化项目建设时不能按照有关规定进行网络安全设计,无法同步建设网络信息安全系统。这种现象致使基层部队网络安全技术防范措施和手段较单一,不能及早发现、消除一些网络安全隐患。

2加强基层公安消防部队网络信息安全的对策

2.1加强网络信息安全教育

基层消防部队要组织官兵经常性地学习部队网络信息安全规章及禁令,积极开展反面警示及法制教育,从中汲取教训,举一反三,使官兵充分认识到网上违纪违规行为的严重性和危害性。针对网络违纪的倾向性问题,加强思想政治教育、革命人生观教育和忧患意识教育,让青年官兵做到正确认识看待网络技术,正确把握自己的言行。可以邀请保密部门进行专题培训、组织案例剖析以及窃密攻防演示等多种形式,进一步强化官兵依法保护国家秘密的自觉性。要加强对文员和合同制队员的岗前培训与安全保密教育工作,对于日常工作中经常接触公安网和内部信息的人员要严格监督和指导,贯彻落实各项安全管理制度,杜绝违纪泄密事件发生,最大限度地消除隐患,确保网络信息安全。

2.2规范日常网络安全检查

应配责任心强、计算机素质较高的官兵为单位网络安全管理员,严格落实网络信息系统日巡检、系统日志周检查和数据库定期备份制度,并将设备运行参数、安全运行情况、故障处理信息等检查、巡检结果造册登记。同时要定期组织开展计算机网络安全自查,确保不漏一人、一机、一盘、一网,对排查出来的问题要逐项登记,落实整改措施,消除隐患,堵塞漏洞。通过经常性的检查评比,在部队内部营造浓厚的网络信息安全氛围,不断提升官兵做好网络信息安全工作的自觉意识,杜绝各类网络信息违纪泄密事件发生,把隐患消灭在萌芽状态,确保网络信息安全稳定。

2.3加强公安信息网接入边界管理

每台接入公安网的计算机必须安装“一机两用”监控程序、防病毒软件,及时更新操作系统补丁程序,坚决杜绝未注册计算机接入公安网络。计算机、公安信息网、互联网必须实行物理隔离。严禁具有WIFI、蓝牙功能的3G手机连接公安网电脑。除移动接入应用外,严禁笔记本电脑接入公安网。严格落实各类应用系统和网站的登记、备案制度,严格上网内容的审批,防止非网管人员随意登录服务器篡改业务系统程序、开设论坛、聊天室、架设游戏网站、非工作视频下载等违规行为。

2.4加强网络信息安全技术保障

基层消防部队要依据《全国公安消防部队安全保障系统建设技术指导意见》,在建设信息化项目时,制定切实可行的网络安全保障规划,加大投入,确保用于网络安全与保密系统方面的投入不低于信息化建设项目投资总额的10%,逐步配备必要的网络信息安全系统,研究网络安全防范技术,建立网上巡查监控机制,提高计算机网络和信息系统的整体防范能力和水平。

2.5建立健全网络信息责任机制

第11篇

在高职院校中,已经开设的网络安全类课程包含有信息安全基础、网络安全技术、电子商务安全、网络攻防技术、信息安全管理实践等课程。这些课程都具有以下共同的特点:

1.1涉及的知识面广,内容更新快学习网络安全技术,需要对计算机领域各方面的知识都要略懂,如操作系统、计算机网络、程序设计、数据库等。网络安全相关的新技术、新问题层出不穷,课程的内容更新很快。

1.2实践性强网络安全类课程都需要将基础知识和实践能力进行紧密结合,注重实际的实践技术能力的培养与提升。另外,在动手实践的同时也需要去掌握背后的基础技术原理,以免知其然而不知其然。

1.3特殊性此类课程中所需的实验环境(设备)价格都十分昂贵,且同时在线实验的人数有限。另外部分实验会用到恶意程序或黑客工具进行验证和对抗,学生对此类实验很感兴趣,但这些具有危害性的程序扩散使用会造成一些法律问题。所以应该先进行法律法规教育。

2.教学改革思路

理论教学采用实例方法,充分讲解网络信息安全基本属性、安全模型、安全机制以及当前信息安全技术要点,同时列举有特色的信息安全产品或工具。课程中列举经典和最新的网络安全案例,讲解案例中攻击目标和攻击手段,讨论得出解决和防范方法,给学生敲起警钟并提高其解决问题的能力。将网络攻击分成若干步骤,然后针对攻击活动中每个步骤的目标、方法以及工具进行讲解,从而达到知己知彼,以实现更加有效的网络信息安全防护。借助网络,进行课程资源共享和在线答疑讨论,拓展学生学习的时间和空间。

3.教学改革的探索

3.1教学加入网络手段,法律教育融入课堂网络安全类课程包含丰富的教学内容,而安排的课时大都不足,这样如果教师在课堂上一味地灌输知识点,学生艰难被动地接受,教与学的效果都难以尽如人意。采用网络教学方法,教师把大量的背景知识、相关的话题如当前研究进展及热点、案例等放到网络上供学生自学,在课堂上只要讲授难点和重点,这样就有充足的时间把这些问题讲透。同时在互联网开启课程学习的论坛和微信,让学生关注,可以提前布置作业、在线答疑和讨论。在上第一节时要和学生一起学习网络安全实训相关的规定和法律知识,同时打印出网络信息安全实训操作承诺书,学生逐个签字,使学生意识要实训室内学习和实训室外犯罪的区别。同时在案例教学过程中,强调其中违法者所承担的法律责任,使学生时时感受到警钟长鸣。

3.2教学环节引入游戏机制,激发学习动力现在的90后是伴随着电脑和游戏成长起来的一代,电脑游戏对他们的影响必然是很深远的。将游戏与教学结合起来,可以使学习过程变得简单容易、丰富有趣,做到寓教于乐,将会对教学产生巨大的影响。作者尝试将部分游戏机制引入教学,如积分、勋章和晋级等,期末转化成分数计入成绩。学生的考勤、回答问题、演讲、完成任务等行为都进行积分,如果学生通过一些小测试、发现服务器漏洞、搭建较复杂的实验环境、为学校和老师解决疑难的网络安全问题等都可以获得不同的勋章。在执行过程中,游戏积分规则制定的合理性、记分的准确及时、实时公布查询等将会影响游戏式教学的效果,总的原则是要区分难度、公开、公平、公正。

3.3改变教学思路,提高教学效率改变过去以教师为中心的传统教学思路,要以学生为本,评判教学的唯一标准便是学生的学习效果。从教学内容编排、教学手段等方面都要从学生的实际情况出发。比如对课程的知识点、重点、难点最好能录制微课,且时间长度少于10分钟,对学生上传自己制作的学习资源要给予奖励等。努力营造“学生请上台、教师到幕后”的氛围。在开课之初就将各章内容的作用和关系告诉学生,让学生自己建构网络安全知识体系,将各部分内容分解后当做任务,让学生提前准备,在课堂上,教师主要是在引导,创造环境条件。这样有利于培养学生的协作能力、思考和表达能力。

3.4构建虚拟化网络安全实训环境通过VMwareWorkstation等虚拟机软件可以搭建多个不同类型的计算机系统,从而也可以搭建出所需的网络安全实训环境,包含靶机、攻击机、检测分析与防御平台等部分。由于这样的网络安全实训环境在一台高性能计算机上就可以搭建,它具有硬件成本低、易管理、可以独立完成实训等特点,并且网络安全实训是可控、可重复的,学生再实训过程中也可以深入理解相关基础知识和底层机制、安全技术方法,并掌握安全管理和攻防技能。

3.5以赛促教,以赛促学我校网络专业的学生连续四年都组队参加全国职业院校技能大赛的省赛和国赛,取得了不错的成绩。因为参赛训练,购买了多套先进的网络设备和安全设备,同时老师也获得了最新的安全技术和产品应用实例,已经实现技能大赛在实训教学上的常态化和普及化建设。为全国职业院校技能大赛选拔队员,并结合校级的技能比赛,激励更多学生去主动的学习和实训,达到较好的引导效果。

4.结束语

第12篇

为了制定详细而有针对性的教案,笔者做了一个有关学生上网情况的调查。关于上网地点:有80.97%的学生在家,12.97%的学生到网吧,3.95%的学生到同学或亲友家,2.11%的学生在学校微机室。在网上做得相对最多的事项:37.00%的学生获取资讯、查找学习资料,1.41%的学生休闲购物,16.16%的学生聊天、交友,45.43%的学生游戏娱乐。如何处理有害信息:27.63%的学生随它去,21.55%的学生非常担心但很无奈,2.11%的学生有时会将它故意传给他人,48.71%的学生安装绿色上网软件。从统计结果可以看出,学生上网面对的安全隐患很多。大部分学生选择在家或网吧上网,在家或网吧上网缺少同龄人或者家长的引导监督。很多学生通过网络玩游戏或者聊天,将网络用于学习的只占不到一半的比例,遇到有害信息时,很多学生束手无策,任不良信息传播。

二、对学生进行网络安全教育的方法

根据以上情况,笔者在安全教育课堂中,采取了多种教育方法帮助学生认识网络,规避不安全的网络隐患。

1.案例植入,情景展演给学生大量的青少年犯罪案例,通过理清案例的来龙去脉帮助学生认识到,接触不良网络信息,是诱发其犯罪的主要原因之一。同时,将学生们身边及媒体上曝光的大量因网络而导致青少年误入歧途的案例改编成情景剧,在课上进行展演,使学生有切身的体验。

2.开放网络资源,积极创设绿色上网环境很多老师都发现,学生沉迷于网络世界,往往不能自拔耽误学业。老师们往往建议家长不要购置计算机,不要开通网络。但是,学生们上网的现象还是屡禁不绝。家中计算机、网络关闭了,但学生还可以通过手机、网吧等其他的方式上网。在学校的倡导下,我们将安全课与计算课相结合,共同创设绿色网络直通车,教会学生怎样规避网络不良信息,教会他们使用一些绿色上网软件。同时,利用一切机会,与家长共同创设家庭绿色网络环境。如将有关网络的安全事项印发成宣传单派发给家长,将绿色上网软件打包进行资源共享等。对于这点的认识,经过了由堵到疏的过程。通过在安全课上开放网络资源,更多的学生学会了文明安全地上网,有选择地处理网络与生活的关系。

第13篇

关键词:网络安全系统安全网络运行安全内部网络安全防火墙

随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。

作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。

网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。

一、系统安全

系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。

1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。

2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。

从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。

因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。

三、内部网络安全

为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。

1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。

另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。

以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。

参考文献

1.局域网组建与维护DIY.人民邮电出版社,2003.05

第14篇

1.1网络管理人员误操作图书馆网络系统的权限由网络管理人员全权掌握,一切关键设备均由他们进行操作。一般而言,大专院校的网络管理人员技术水平有限,对当前信息系统的安全状况不太了解,由于误操作所带来的后果往往非常严重。图书馆其他工作人员的误操作也可能造成数据库系统的破坏。

1.2校内学生的内部攻击有很少一部分学生在好奇心的驱动下,从各种途径学习了网络攻击手段以后,将图书馆网络作为攻击对象。这是因为在校学生通过内网能够轻而易举地获知学校的IP地址,进而很容易运用ARP欺骗等攻击手段对学校图书馆网络的网段进行破坏,而且破坏效果很快就可呈现。

1.3图书馆网络系统漏洞的威胁目前,高校图书馆使用的系统软件主要有目前比较流行的WindowsNT,Windows2000Server,Linux,UNIX等[3]。病毒或人为因素往往利用系统自身存在的漏洞进行破坏。以Windows2000为例,它的IIS5.0对“htr”文件的映射请求处理就存在堆溢出漏洞,远程攻击者可利用该漏洞获取主机普通用户的访问权限,还有当Narrator登录至终端服务进程时,会将用户名、域名和相关的密码以语音方式输出,导致密码信息泄露[4]。如果没有相应的补丁进行修补,建议不要开启此类有漏洞的功能。

1.4计算机软硬件问题计算机的软件系统程序如果被篡改或盗窃,就会损害系统功能,以至整个系统瘫痪,造成数据破坏甚至丢失。计算机硬件设备容易遭遇破坏或盗窃,其安全存取控制功能较弱,而信息或数据要通过通信线路在主机间或主机与终端及网络之间传送,在传送过程中也可能被截取。此外,计算机等硬件系统的产品质量和老化磨损等也是危害计算机网络安全的因素。

2应对策略

2.1对黑客和病毒的防范(1)为防止黑客和病毒的攻击,所有计算机都要安装防病毒软件和防火墙软件,并及时更新。安装防火墙的作用是将内网和外网进行分离,只允许合法用户透明访问网络资源,通过将非法数据过滤掉的方式禁止非授权用户访问数据,以保护网络资源的安全。黑客、非法入侵者、病毒、木马会从系统的小小漏洞中汹涌而入,重要的数据很可能被别有用心者从这些小漏洞中偷取,甚至还会让整个网络遭到灭顶之灾,因此及时给系统打好补丁成为网络安全管理工作中的重要内容。补丁的作用主要有四个方面,一是可以将大多数非法入侵拒之门外,二是减少病毒入侵的机会,三是减少或杜绝面向网站的恶意攻击,四是有效避免或减少不兼容问题。(2)禁止使用服务器直接上网,并设置为自动更新和查杀病毒,定期对其进行监测。对于很多机构来说,采用服务器端杀毒是较为经济实用的防病毒方案。可以采用@MESSAGE杀毒软件,它是由全球最大的网络商务信息系统专家3RSoftInc[5].推出的网络商务信息系统,安装在邮件服务器上,所有的查杀病毒操作都在服务器上进行。在用户浏览器端收发邮件附件时,会及时触发查杀病毒操作,获知所收发的邮件是否携带病毒,而且基本不会影响服务器的整体使用空间,每一位用户收发邮件时才触发查杀病毒操作,如果在一个时间,没有人使用该邮件系统,则查毒杀毒工作暂停,一旦有人使用,则杀毒系统立即投入工作[2],这样就区别于网关杀毒方式,能够做到对服务器的资源占有较小。而且由于病毒引擎每周自动更新,维护十分方便。(3)禁止打开系统服务不会用到的服务和端口,防止黑客通过这些系统默认的服务或者打开的一些没有用的端口侵入高校图书馆网络。(4)使用正版软件。由于盗版软件很容易携带病毒,所以应严禁随意下载、上传、复制和使用未经过微软认证的软件。在访问网站时应访问可靠的网站,下载电子邮件附件时要扫描病毒,并对邮件网页等进行电子监控,最重要的就是要对数据库数据随时进行备份。

2.2构建安全的存储系统构建一个安全的存储系统是十分必要的,它不仅协助我们存储大量数据,更是在图书馆网络系统遭遇攻击后防止数据丢失的最佳措施。如下图所示,这一存储系统中,SAN光纤阵列中的信息管理系统数据每天可以进行定时自动备份,系统数据通过局域网的光纤通道写入磁带库,不经过LAN传输,可以实现LAN-free备份,避免了LAN传输过程中的危险性。其次,NAS备份将存储系统独立起来了,作为一个网络设备放在网络节点上,这样既大大减少了服务器的数据存储负荷,又极大地扩展了磁盘存储系统,不仅可以设置在分校区图书馆或分馆机房中,而且还可以进行实时异地热备份,绝对保证数据的安全。

2.3应用数字签名防止学生破坏数字签名又叫公钥数字签名或电子签章,数字签名的原理是,只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。现在数字签名已经是很成熟的技术,对合法用户应用数字签名也是很有力的防范措施,并且数字签名运用了非对称的RSA加密,这样既保证了合法用户的权利,也对非法入侵用户起到了有效的防范的作用,并可以有效的防范校内学生对高校图书馆的内部攻击。

2.4内部人员的管理对内部人员的管理应注意,在单机环境下工作人员除了应禁止更改系统设置之外,其他绝大多数操作都可以允许;在网络环境下,则应由系统管理员在服务器上通过管理工具对用户的权限加以设定,还要禁止用户改变工作用机的设置,更不能擅自从工作站上安装和删除软件。(1)工作人员不得从软盘启动机器。工作人员可以使用软盘启机直接进入单机环境操作,因此需要在CMOS设置中将引导顺序改为从C到A,并设置SupeRvisoR超级用户口令,防止工作人员修改CMOS设置[5]。(2)禁止工作人员在WIN95启动时按功能键切换到MSDOS模式。为此,需要打开C盘根目录下的系统文件MS-DOS.SYS,并对其中的[options]节作以下更改:BootDelay=0(即禁止WIN95启动延迟)BootCUI=0(启动WIN95至图形界面)BootKeys=0(禁止在启动时使用功能键)通过以上设置可以防止工作人员将工作站启动到DOS下进行操作。(3)为工作人员设置账号和权限。为保证信息安全,系统管理员应在NT服务器上使用管理工具为每一个工作人员和其他用户设置账号,要求在启动到桌面时用户必须进行登录,只有用户名和密码相一致时才可以进入,除此之外还要设置相应的操作权限,以免对不能随意访问的资料造成损坏[2]。

3结束语

第15篇

系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。

1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。

2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。

从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。

因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。

三、内部网络安全

为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。

1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。

另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。

以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。

参考文献

扩展阅读
推荐期刊
精品推荐