時間:2024-03-20 10:16:06
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇網絡安全之常見的漏洞,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
關鍵詞:計算機;網絡;安全技術
Abstract: With the rapid development of computer network technology, network has been applied into thousands of households, online entertainment, online payment, online shopping has become an indispensable part of people's life. Due to the lack of home computer user security awareness, which brought many hidden safety dangers, not only affects the stable operation of the network and the normal users, but also may cause significant losses on the economy. Based on the current status of home computer users, through the network security knowledge to strengthen its safety coefficient has become a pressing matter of the moment.
Key words: computer; network; security technology
中圖分類號:G623.58
1、網絡安全的定義
1.1網絡安全是指保護網絡系統中的軟件、硬件及信息資源,使之免受偶然或惡意的破壞篡改和泄露,保證網絡系統的正常運行、網絡服務不中斷。
1.2從廣義上說,網絡安全包括網絡硬件資源和信息資源的安全性。硬件資源包括通信線路、通信設備(交換機、路由器等)、主機等,要實現信息快速、安全地交換,一個可靠的物理網絡是必不可少的。信息資源包括維持網絡服務運行的系統軟件和應用軟件,以及在網絡中存儲和傳輸的用戶信息數據等。網絡信息安全涉及到信息的保密性、完整性、可用性、真實性、可控性。
2、網絡安全的重要性
網絡安全技術是指針對數據處理系統而采取的技術和管理的安全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、泄露。隨著計算機網絡的發展,已涉及到個人信息和財產的安全,當網絡安全因素遭到破壞時,不僅影響計算穩定運行,更有可能使個人財產受到巨大損失,因此家庭計算機用戶加強安全管理,保證網絡環境安全是十分必要的。
3、影響網絡安全的因素
3.1計算機網絡所面臨的威脅是多方面的,既包括對網絡中信息的威脅,也包括對網絡中設備的威脅。針對目前家庭計算機用戶,網絡安全主要來自網絡中信息的威脅性。
網絡信息的威脅主要來自以下幾點:
用戶自身失誤。用戶安全意識不強,設置空控制或口令選擇不慎(如使用自己的名字、出生年月等作為安全密碼),隨意將密碼告訴他人等都會給網絡安全帶來威脅,甚至有可能造成財產的損失。
人為的惡意攻擊。此類攻擊又可以分為兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。這也是目前計算機網絡所面臨的最大威脅。
網絡軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞,這些缺陷和漏洞恰恰就是黑客進行攻擊的首選目標。絕大部分網絡入侵事件都是因為安全措施不完善,沒有及時補上系統漏洞造成的。由于家庭計算機用戶安全意識和技術知識的缺乏,一般不主動修復漏洞,因此網絡軟件的漏洞和后門造成的網絡威脅也占有很大的比例。
4、增強網絡安全的措施
4.1使用正版系統。盡量購買使用使用正版操作系統。開啟自動更新。開啟系統更新,及時修補系統漏洞,防止惡意攻擊者利用系統漏洞,竊取個人機密信息。
4.2開啟防火墻。采用防火墻技術是解決網絡安全問題的主要手段。防火墻的應用可最大限度地保障網絡的正常運行,它可以起著提高內部網絡的安全性、強化網絡安全策略、防止內部信息泄漏、網絡防毒、信息加密、存儲通信、授權、認證等重要作用。
4.3設置安全密碼。不用空密碼或弱口令,應使用強口令,密碼要包含大小寫字母、數字、符號等,密碼不使用姓名縮寫、生日日期、電話號碼等。定期或不定期地更改密碼。
安裝殺毒軟件。安裝并啟動殺毒軟件,并及時更新病毒庫,定期查殺病毒。不瀏覽不安全網頁。不上非法、不可靠網站,不隨意點擊鏈接,以防網頁木馬侵入。
4.4不打開可疑郵件。不隨意打開郵件附件和別人發來的文件,要先檢查文件是否有偽裝、捆綁。注意文件擴展名、是否捆綁其他木馬文件。電子郵件方便快捷在提高了人們的工作效率的同時,也無意之中成為了病毒的幫兇。為了減少病毒帶來的損失,在平時應注意操作習慣。
4.5正確使用移動存儲設備。不隨意使用移動存儲設備;使用移動存儲設備之前進行病毒的掃描和查殺;不設置移動設備的自動運行;避免雙擊打開移動設備。
4.6關閉不必要的端口。黑客在入侵時常常會掃描你的計算機端口,關閉用不到的網絡端口,可以有效提供計算機的安全系數。
4.7更換管理員帳戶。Administrator帳戶作為系統的超級用戶擁有最高的系統權限,黑客入侵的常用手段之一就試圖獲得該帳戶的密碼。為了避免Administrator用戶留下的安全隱患,首先應為Administrator帳戶設置強壯的密碼,然后重命名Administrator帳戶。
4.8設置Guest帳戶。禁用或刪除Guest帳戶。做好IE的安全設置。ActiveX控件和Java Applet有較強的功能,但網頁中的惡意代碼往就是利用這些控件編寫的小程序,只要打開網頁就會被運行,因此必須做好IE的安全設置。
5、計算機網絡攻擊的常見手法及防范措施
互聯網發展至今,除了它表面的繁榮外,也出現了一些不良現象,其中黑客攻擊是最令廣大網民頭痛的事情,它是計算機網絡安全的主要威脅。下面著重分析黑客進行網絡攻擊的幾種常見手法及其防范措施。
5.1利用網絡系統漏洞進行攻擊
許多網絡系統都存在著這樣那樣的漏洞,這些漏洞有可能是系統本身所有的,如WindowsNT、UNIX等都有數量不等的漏洞,也有可能是由于網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。
5.2通過電子郵件進行攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。對于遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟件來解決,其中常見的有SpamEater、Spamkiller等,Outlook等收信軟件同樣也能達到此目的。
5.3解密攻擊
在互聯網上,使用密碼是最常見并且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗。一般系統在傳送密碼時都進行了加密處理,即黑客所得到的數據中不會存在明文的密碼,這給黑客進行破解又提了一道難題。這種手法一般運用于局域網,一旦成功攻擊者將會得到很大的操作權益。
另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟件對嘗試所有可能字符所組成的密碼,這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。而且要經常更換密碼,這樣使其被破解的可能性又下降了不少。
5.4后門軟件攻擊
后門軟件攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。
當在網上下載數據時,一定要在其運行之前進行病毒掃描,并使用一定的反編譯軟件,查看來源數據是否有其他可疑的應用程序,從而杜絕這些后門軟件。
5.5拒絕服務攻擊
互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊(DDoS)的難度比較小,但它的破壞性卻很大。它的具體手法就是向目的服務器發送大量的數據包,幾乎占取該服務器所有的網絡寬帶,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或服務器癱瘓。
1.1系統漏洞
若計算機的操作系統以及應用軟件存在系統漏洞,間諜就會利用這一安全漏洞來遠程控制計算機,致使計算機中的重要文件資料被輕易竊取。當然這種攻擊方式是將口令作為攻擊對象,對計算機中的程序進行猜測破譯,若需要驗證口令時,將會自行避開,并冒名頂替合法的用戶,從而輕易的潛入目標計算機中,控制計算機。當然許多計算機用戶為了彌補這一安全漏洞,通過“打補丁”的方式來解決系統漏洞的問題,但是還是有部分計算機用戶沒有這種安全意識,使得計算機系統漏洞長期存在,導致網絡間諜能夠遠程操控計算機。
1.2口令簡單
隨著網絡技術的發展,為了防止網絡信息的泄露,大多計算機用戶都會在計算機中設置密碼,從而禁止陌生人的訪問權限,一般計算機用戶會設置開機密碼,也會對電子郵箱設置密碼從而來限制訪問權限。但是有部分計算機用戶沒有設置密碼,致使攻擊者能夠輕而易舉地在計算機上建立空鏈接來遠程控制計算機。當然若設置的密碼較為簡單也能夠使計算機輕易被攻擊。
1.3木馬程序
計算機中木馬程序是由木馬和控守中心組成,在計算機中是一種較為隱蔽的遠程控制軟件。一般為了防止計算機被追蹤,會在計算機程序中增加跳板,從而更好的連接控守中心和木馬。木馬利用跳板來聯系控守中心,而操作控守中心的人可以利用網絡來控制用戶的計算機,從而來監視用戶的舉動,竊取用戶的文件資料,甚至是監聽用戶的談話內容。計算機系統漏洞會導致木馬病毒攻擊計算機,其攻入計算機的途徑多樣,如利用用戶瀏覽網頁的空隙潛伏在連接上,藏于郵件的附件以及程序中,從而來攻擊計算機。當然木馬很善于隱藏技術,有些木馬利用代碼注入技術潛伏在計算機系統程序中,有些木馬改變名字如window.exe等,利用用戶不了解計算機系統來隱藏自己。木馬病毒攻擊計算機可能會導致計算機系統的崩潰。
1.4嗅探器
網絡嗅探就是網絡監聽,是利用計算機中的網絡共享通道來獲取數據,是較為高端的網絡技術。當然嗅探器進行監聽的途徑有兩種:一是利用網絡連接設備來進行監聽活動,如將監聽軟件放置在網關服務器上;二是利用具有安全漏洞的局域網來進行監聽活動。在一般的網絡環境中,網絡信息是以明文的方式進行傳輸,間諜只要獲取一臺主機的管理員權限,就可以對局域網的數據進行監聽活動,操控計算機。而網絡監聽軟件可以將用戶的聊天記錄以及電子郵件密碼全部監聽,在互聯網上較為盛行的監聽軟件是MSN,一般安裝MSN軟件之后,可以對本地局域網中使用MSN軟件用戶的聊天內容進行監聽活動。
2網關攻擊技術對網絡安全的作用
網絡技術的發展,使得網絡攻擊技術越來越高端,要想減少黑客以及間諜的攻擊,保證網絡的安全,必須要對網絡攻擊技術進行深入剖析,使其能有效保障網絡安全。
2.1網絡攻擊技術的雙重性
互聯網具有開放性,由于網絡技術的發展,很多網絡技術開始進行跨國攻擊,竊取別國的機密文件,為此不僅要積極防御網絡攻擊,還要努力提高自身的網絡安全技術。雖然網絡攻擊技術有著一定的缺點,但是我們要用發展的眼光來看待網絡攻擊技術,網絡攻擊技術有利于網絡的安全。網絡攻擊技術的發展,使得我們必須要去研究了解它,保證網絡的安全,隨著信息技術的發展,要想保證國家信息的安全,必須要不斷開發具有知識自主產權的網絡安全產品。
2.2網絡攻擊技術促進了網絡技術的發展
網絡攻擊技術的發展,使得網絡產品不斷改善,從而促進了網絡安全。黑客和間諜利用網絡技術對計算機進行攻擊,從一定程度上促使了網絡安全產業的發展,從而推動了互聯網的發展,網絡攻擊技術能夠帶來技術的創新。當然網絡管理人員能夠充分利用網絡攻擊技術來找出網絡系統的安全漏洞,采取一定的措施來加強網絡的安全,從而使網絡攻擊技術服務于網絡安全。
2.3網絡攻擊技術為國家安全服務
隨著社會經濟的發展,信息化程度日益加深,人們的日常生活越來越離不開網絡,許多網絡都存在著管理漏洞,容易使機密文件泄露,因此網絡安全對于國家的國防安全以及經濟發展十分重要。必須要防御網絡攻擊技術,增強網絡安全,這樣才能在未來的信息戰中取得勝利。
3結束語
關鍵詞: 局域網 安全性 防范策略
隨著網絡技術的發展,網絡正成為市場熱點,其中局域網正廣泛應用于校園、各類展覽會、公司內部乃至家用網絡等場合。主要用于共享打印機、應用軟件、電子郵件或者文件傳真。它給辦公工作帶來了相當大的便利。但是,目前局域網的安全問題也給企業的信息安全帶來了一定隱患。因此,消除局域網中的安全隱患便顯得十分重要。1.物理安全隱患。物理安全是保證局域網安全最基礎的,也最容易被忽視的部分。局域網的物理安全主要包括兩個方面:一是環境安全,二是設備安全。環境安全是指局域網的建立應當遠離網絡干擾,如震動或者強磁場,還應當盡力避免自然災害對局域網造成的破壞,如雷擊、火災等。設備安全要做好電源和靜電兩方面的防護工作。電源防護是指要防止局域網在使用的過程中突然停電。突然斷電不僅會影響磁盤壽命,而且會造成數據丟失。靜電對網絡的危害也很大,靜電可以在短時間內放出大亮電流。數據表明,如果靜電超過2KV,就會造成磁盤故障和數據損失。2.軟件漏洞。無論是Windows、Linux等操作系統,還是日常用的應用軟件都會存在一些漏洞,這些漏洞往往會成為攻擊者利用的對象。攻擊者一般會掃描電腦中存在的漏洞,然后根據漏洞的信息下載攻擊軟件進行攻擊。相應的,我們可以通過漏洞修補防止這種情況的發生。修補漏洞的方法主要有:一是安裝更新補丁并升級程序;二是安裝防火墻;三是用MBSA、sxid等軟件修復系統漏洞。
首先是殺木馬、殺病毒。從2011年下半年開始,木馬病毒的數量呈直線下降趨勢,因為百分之九十以上用戶的電腦都安裝了合格的安全軟件,木馬確實無處藏身。所以木馬產業鏈通過木馬偷竊用戶電腦數據的這種行為,成本越來越高,也就是說獲利的空間越來越小,從業人員逐漸退出,木馬病毒的數量和電腦感染木馬病毒的數量都呈直線下降趨勢,而且到現在為止,這個下降的曲線還在持續當中,我們相信未來這種好的現象還會持續下去。也就是說互聯網安全攻防的重點將逐漸從信息的攻防轉向信息內容的攻防,即在技術上的突破,因為有安全公司,安全軟件及系統不斷加固,網民安全意識的提高,都會給這個黑色產業鏈在技術上的突破增加難度。
其次是常見的網絡安全防御技術。面對嚴峻的網絡安全形勢,針對不斷出現的網絡攻擊手段,研究相應的網絡安全防御技術顯得越來越重要。常見的網絡安全防御技術主要包括信息加密、防火墻、入侵檢測技術、漏洞掃描和數據備份等。1.信息加密技術。信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。目前世界上最流行的加密算法有兩大類:一種是常規算法,其特征是收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼算法有:美國的DES及其各種變形;另外一種是公鑰加密算法,其特征是收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導解密密鑰。比較著名的公鑰密碼算法有:RSA、Diffe Hellman、EIGamal算法等。2.防火墻。防火墻是一項協助確保信息安全的設備,會依照特定的規則,允許或是限制傳輸的數據通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件。它對兩個網絡之間的通信進行控制,通過強制實施統一的安全策略,限制外界用戶對內部網絡的訪問,管理內部用戶訪問外部網絡,防止對重要信息資源的非法存取和訪問,以達到保護內部網絡系統安全的目的。3.入侵檢測技術。入侵檢測是用于檢測任何損害或企圖損害系統的保密性、完整性或可用性的一種網絡安全技術。它通過監視受保護系統的狀態和活動,采用誤用檢測(Misuse Detection)或異常檢測(Anomaly Detection)的方式,發現非授權的或惡意的系統及網絡行為,為防范入侵行為提供有效的手段。按照數據源所處的位置不同,入侵檢測技術(IDS)可以分為兩大類:基于主機的IDS和基于網絡的IDS。4.漏洞掃描。漏洞掃描是對系統進行全方位的掃描,檢查當前的系統是否有漏洞,如果有漏洞則需要馬上進行修復,否則系統很容易受到網絡的傷害甚至被黑客借助于系統的漏洞進行遠程控制,所以漏洞掃描對于保護系統安全是必不可少的。5.數據備份。數據備份是容災的基礎,是指為防止系統出現操作失誤或系統故障導致數據丟失,而將全部或部分數據集合從應用主機的硬盤或陣列復制到其他的存儲介質的過程。隨著技術的不斷發展,數據的海量增加,常用的技術有網絡備份,它通過專業的數據存儲管理軟件結合相應的硬件和存儲設備實現。
1 網絡防火墻與防毒墻技術
防火墻技術是計算機網絡信息安全領域最為常用的一種方法。
它是在計算機網絡兩個節點,或者是計算機和外部網絡線連接的接口處安置的一套機制,通過對通過這個環節的信息安全性進行辨識,只允許安全通過確認的安全信息通過,阻止認為是不安全的信息,以此來達到保護計算機不受非法侵害的目的。網絡防火墻的有效實施,能夠對目標計算機網絡訪問行為予以監視和控制,確保計算機網絡服務的安全實現。由于網絡防火墻是以進出計算機的網絡信息為工作對象,所以防火墻通常設置在計算機和網絡的接口部分。這是防火墻對局域網和互聯網交接過程中網絡信息傳輸中病毒檢測與過濾功能的必然要求。需要注意的是,防火墻對網絡病毒的清除是以掃描網關信息為基礎的。由于防火墻的運行機制的原因,防火墻在保護計算機內部信息安全的同時,必然會對與之鏈接的其它網絡節點的信息傳輸速度造成一定影響。從防火墻的功能實現方式上看,防火墻只有關、開兩種形態,這就限制了防火墻對計算機網絡安全狀況的實時監測能力。而防毒墻的實施則彌補了這個缺點。
隨著計算機網絡技術的發展與成熟,防毒墻已經成為現代計算機網絡安全防護,阻斷外界對計算機的非法入侵的首要措施。目前,防毒墻的研究與開發已經成為計算機殺毒軟件企業的重要工作內容。
2 建立完善的網絡漏洞特征信息庫
計算機網絡的構成主要包括軟件和硬件兩大部分。限于技術水平,目前的計算機網絡難免會存在不同程度的漏洞、缺陷,給計算機信息安全帶來威脅。那么,從源頭入手,查找并消除這些計算機網絡漏洞,就成為提高網絡信息安全的一項重要手段。具體實施過程中的重要一個內容,就是收集計算機網絡安全漏洞特征,建立并不斷完善計算機網絡安全漏洞特征信息庫。一是要對現已發現的計算機網絡安全漏洞的各類特征信息進行整理、分類,編碼匯總。在以之為參照對計算機網絡信息安全情況進行檢測,這就給計算機網絡漏洞特征信息的準確性和高效性提出了很高的要求。二是計算機網絡信息安全漏洞的具體類型和特點種類繁多,導致數據庫的規模很大。
為了保障檢測工作效率,必須保證數據庫編碼的準確性。這是建立計算機網絡漏洞特征數據庫時必須高度重視的問題。三是使用計算機網絡安全漏洞數據庫的編碼數據作為計算機網絡安全掃描、檢測的參照標準,以此判斷目標是否存在安全漏洞以及存在漏洞程度。
由于計算機技術一直在發展,計算機網絡安全漏洞特征也在不斷變化,所以對特征數據庫進行及時維護、更新是必須的。
3 用戶身份認證技術在計算機網絡安全領域的應用情況
對計算機使用者身份合法性管控是計算機網絡信息安全防護體系中的重要一環。目前通常采用的方法是對計算機使用者身份權限進行分級,再依照其權限采取不同的管理措施的方法。使用者身份的管理是計算機安全管理的重中之重,通過對使用者身份的辨別和確認,可以在很大程度上防止不法分子對計算機資源的非法使用,從而保證計算機信息安全。對使用者身份進行認證,包括使用者身份信息采集和將采集到的身份信息與系統中存儲的標準信息進行對比認證兩個環節。計算機用戶身份認證技術的關鍵是對使用者身份是否合法性的確認,這個環節越完善、周密,技術水平越高,不法分子越難偽裝、冒充,則計算機的信息安全越能得到保證。
4 反病毒技術在計算機網絡信息安全領域的應用情況
從計算機病毒出現的那一天開始,其就與計算機網絡信息安全緊密聯系到一起。計算機信息安全體系的建立,離不開對計算機病毒的查殺與防范。計算機病毒是當前對計算機網絡信息安全威脅最為嚴重的因素。憑借其自我增殖的能力和變化多端的特性,其一旦進入計算機系統,會迅速利用計算機系統存在的安全漏洞進行破壞。為了確保計算機網絡安全,就必須對計算機病毒采取針對性措施加以防范,對計算機可能感染的計算機病毒進行查殺。殺毒軟件是目前最常見的計算機病毒防治措施。計算機病毒對系統進行實時防護,發現非法文件立即隔離,如確認為是病毒文件會提示用戶刪除;殺毒軟件還會定期、不定期對計算機系統進行掃描,對于發現的病毒文件提示用戶做出相應措施。殺毒軟件的核心是病毒庫,殺毒軟件在掃描時,會將目標文件和病毒庫進行對比,從而判斷文件的合法性以及實現對病毒文件的確認。由于計算機病毒種類繁多,并且不斷在變化、發展出新的種類,所以病毒庫也要經常更新。病毒庫的內容是否全面,更新速度的高低,在很大程度上決定了殺毒軟件的工作效率,也是衡量計算機安全水平的一個重要標志。
5 計算機存儲數據的加密與備份技術
對計算機或網絡上存儲的數據進行加密,防止他人未經允許進行獲取或使用,是計算機網絡信息安全的又一常見策略。基于專用算法進行加密的數據,即使被人竊取也難以知道其中具體內容,從而避免了因為信息泄露造成的損失。此外,對計算機上的信息進行備份,可以有效避免因為人為或其他因素造成的計算機存儲介質損壞而導致的重要信息丟失。備份的方式多種多樣,主要包括儲存的備份、儲存硬件的備份以及儲存軟件的備份等。
6 結束語
如今人類社會已經進入信息時代,網絡的普及和與人類生活結合程度日益加深。計算機網絡信息安全問題作為計算機網絡的必然屬性之一,必須受到人們的重視和正確對待。人們在使用計算機時,必須辯證的看待計算機網絡安全問題,不能因噎廢食,也不能無動于衷。要通過正確的、規范和科學的使用方式,在充分利用計算機多樣化、高效率的服務同時,也要做好安全防護措施,防止因為信息安全事故造成的不必要損失。
參考文獻:
【關鍵詞】網絡安全;威脅風險;安全漏洞;防范策略
引言
經濟多元化發展的今天,人們的生活越來越離不開信息網絡世界,對網絡空間的安全也提出了更高的要求。網絡安全問題可以造成的嚴重危害有目共睹,僅以2016年為例,就有OpenSSL新型安全漏洞“水牢”威脅我國十余萬家網站、315晚會上曝光不法分子利用公共WIFI漏洞盜取他人銀行賬戶資產、俄羅斯黑客盜取2.7億郵箱賬號密碼并在黑市交易、山東臨沂準大一新生徐玉玉因電信詐騙死亡、國家電網掌上電力及電e寶等App泄露大量用戶數據等重大網絡安全事件發生。因此,提高全民的網絡安全意識、普及網絡安全威脅防范知識已成為當務之急。只有在全民做好防范應對的前提下,才真正能夠抵御來自于互聯網的絕大部分威脅和風險,營造一個健康和諧、更好地為人類生活服務的網絡社會。
1網絡安全三類威脅
根據國家互聯網應急中心(CNCERT)網絡安全信息與動態監測結果,2016年12月12日至12月18日,我國境內被篡改網站數量達3438個(其中政府網站79個);境內被植入后門的網站數量達1614個(其中政府網站33個);針對境內網站的仿冒頁面數量達2486個。境內感染網絡病毒的主機數量達94.8萬,其中包括被木馬或被僵尸程序控制主機72.8萬,感染飛客(conficker)蠕蟲主機22萬;新增信息安全漏洞274個,其中高危漏洞98個。與前一周相比,被篡改網站、仿冒頁面、感染病毒主機、新增信息安全漏洞等數量都在增加[1]。可見,互聯網安全威脅普遍、大量存在,而且有不斷增加的趨勢。這些威脅依據安全三要素“人、機、環境”可分類為:人為威脅、計算機威脅和網絡威脅。1.1人為威脅人為威脅[2]即由用戶非正常操作引起的威脅,包括:(1)無意識的操作失誤,如系統管理員安全配置不當、系統登錄口令強度太弱、長時間離開未鎖定計算機、重要賬號隨意轉借他人、下載運行存在安全風險的軟件程序等;(2)有意識的主動攻擊,如通過釣魚郵件、社會工程學等方法竊取重要數據信息,或者利用病毒木馬傳播、惡意代碼植入、拒絕服務攻擊等方式對系統和數據進行篡改甚至破壞。
1.2計算機威脅
計算機威脅主要是由計算機自身部署的軟硬件產生的威脅,包括:(1)因操作系統、數據庫或其他應用系統未及時升級至最新版本導致存在可被利用的漏洞或者“后門”[3];(2)因需要提供某些特定服務而開啟相應端口,這些服務和端口同時也可能被攻擊者利用;(3)因接入外部設備(如U盤、攝像頭、打印機等)導致敏感信息泄露或計算機被感染等問題。
1.3網絡威脅
網絡威脅是三類威脅中存在最廣泛、危害性最強的。互聯網上充斥著各種各樣、不計其數的病毒、木馬和惡意代碼,未作任何防護措施的計算機直接接入網絡中的危險不言而喻;網絡通信協議使得具有不同硬件架構和操作系統的計算機能夠互聯互通,但許多早期協議在設計之初并未考慮網絡安全問題,不可避免會存在安全隱患;除此之外,互聯網中還遍布各種具有攻擊能力的網絡工具,攻擊者可以操縱這些工具并結合一些攻擊命令實現各種攻擊目的,輕則竊取重要文件或造成目標計算機運行異常,重則完全控制目標計算機甚至造成物理性嚴重破壞。
2常用網絡安全防范策略
為有效防范上述網絡安全威脅,結合生活生產實際,常用且有效的一些應對策略和措施包括以下方面。
2.1完善用戶賬戶口令安全
包括操作系統(如Windows、Linux/Unix)、數據庫(如SQLServer、Oracle、MySQL)、中間件(如Tomcat、Weblogic、JBoss)、遠程連接和文件共享服務(如Ftp、Telnet、SSH)、網絡設備(如網關、交換機、路由器、攝像頭、打印機)等重要軟硬件資源的管理員口令都應設置為大小寫字母、數字及特殊字符的強組合,且應達到一定長度并定期更換(如8位以上、每3月更換)。研究表明,暴力破解8位強組合口令的時間是8位純數字口令的7.2*107倍,是6位強組合口令的9.2*103倍,長度越長、組合越復雜的口令被破解成功的概率將以指數級減小。對于Windows操作系統,應特別注意禁用Guest來賓賬戶,有為數不少的成功入侵案例就是利用這個賬號存在的漏洞來達到入侵目的。為進一步加強反入侵效果,還可以將系統默認的管理員用戶名administrator修改為其他名稱,同時再創建一個具有極小權限的administrator賬戶,從而對攻擊者造成干擾和迷惑,爭取時間組織有效防御。
2.2禁用不常用的端口
操作系統一般會默認開放一些網絡服務,如果確認不會用到這些服務,就應該禁用服務對應的端口,減少計算機暴露在網絡中的安全風險。對于個人終端計算機,可以禁用的常見端口包括:21(Ftp服務)、23(Telnet服務)、80/8080(Http服務)、139/445(網絡共享服務)、443(Https服務)、3389(遠程連接服務)等,這樣可以阻止相當一部分網絡攻擊。對于部署了數據庫和中間件的服務器計算機,應該更改以下默認端口:1433(SQLServer)、1521(Oracle)、3306(MySQL)、7001(Weblogic)、8080(Tomcat/JBoss)等,達到在網絡中隱藏自身的目的。
2.3及時更新最新升級補丁
任何軟件系統都不可能是絕對安全的,總會被有意者發現新的安全問題,因此開發商需要不斷升級補丁和重大版本更新來修復和封堵漏洞,保持系統的安全性和穩定性。如果不及時更新至最新的版本,就很容易被攻擊者利用已知漏洞獲得系統控制權限或致使系統癱瘓。因此,應定期檢要的軟件系統如操作系統、數據庫、中間件、辦公軟件、開發環境(如Java、PHP)等是否存在重要升級補丁或重大版本更新,及時選擇合適的時機完成升級更新,封堵來自于軟件本身的威脅。
2.4部署安裝必要的安全軟、硬件
要保證計算機安全接入互聯網,以下安全軟件和硬件是必須部署安裝的:(1)防火墻/安全網關,用于實現對網絡的訪問控制,過濾不安全的流量數據包,禁用指定端口的通信和來自特定ip地址的訪問等[4];(2)防病毒軟件,用于防范、攔截、查殺、隔離計算機病毒、木馬和惡意代碼;(3)加密U盤,用于防止他人在未通過身份鑒別的情況下直接獲取U盤中的文件數據。企業級用戶還應部署如下系統以達到更高的安全防護級別:(1)入侵檢測系統/入侵防御系統,用于自動檢測和防御來自外部網絡的可能的攻擊行為,并為網絡安全管理人員提供日志審計以追溯攻擊來源、識別較隱蔽的攻擊行為等;(2)漏洞掃描系統,通過掃描等方式檢測本地或遠程計算機系統存在的安全脆弱性,發現可被利用的安全漏洞隱患并提供相應的修復和加固建議;(3)災備系統,用于對信息系統進行數據、軟件和硬件備份,使得在災難發生導致系統損毀時,能夠迅速、可靠地恢復到正常運行狀態。
2.5應用加密技術存儲、傳輸文件
對于具有密級級別的文件資料,如國家、商業、企業的絕密、機密和秘密文件,應當進行加密存儲,防止攻擊者在成功入侵獲得文件后輕易解讀。目前的加密存儲方式可分為硬件加密、軟件加密和智能加密三類,其中使用最廣泛、最便捷的是軟件加密方式,常見如壓縮軟件WinRAR提供的加密壓縮包功能,以及一些專業加密軟件如“超級加密3000”、“文件夾超級加密大師”、“隱身俠”等。密級很高的文件不建議使用軟件加密,應選擇安全性更高的硬件和智能加密方式。重要文件和信息在網絡中的傳輸也應該進行加密。一些早期的網絡傳輸協議如ftp、telnet等均以明文方式傳輸信息,只要傳輸的網絡數據包被截獲,所有信息都將徹底暴露,毫無安全性可言,也正因如此,ftp和telnet服務已經逐漸被相對安全得多的ssh服務所代替。除了信息傳輸方式應設置為密文外,被傳輸的文件本身也應當加密,以防傳輸通道被劫持或中間節點服務器被控制導致文件被他人獲得后可無限制訪問。
3結語
1計算機網絡安全問題
計算機網絡安全問題主要表現在計算機遭受惡意病毒攻擊、IP地址被非法盜用、計算機被非法訪問以及操作系統或者應用軟件本身的安全漏洞等。
1.1計算機病毒和惡意程序的存在
計算機病毒是本質是一種常見的侵害網絡安全的一種代碼,這種代碼具有語言無關性(C、C++或者其他語言編寫的計算機程序)。其主要通過附著在其他程序代碼上進行傳播,傳播速度較快,并且可以進行自我復制和隱藏,危害性較大。隨著網絡的發展,計算機病毒不可能被殺毒軟件徹底的清除,我們只能做好防治工作。就現實來看,導致網絡存在安全隱患,主要表現在以下兩個方面:
(1)人為因素。病毒來源于人,因為人是計算機病毒的編寫者,當然,人也是計算機病毒的防護者,很多計算機病毒的傳播都是由于人為的安全意識淡薄所致,等到網絡安全受到威脅時才進行技術防護,采取被動式的網絡安全防護策略,這種方式不能進行有效的網絡安全防護。
(2)技術問題。計算機病毒防護是一門學問,做計算機安全維護問題的工作人員,首先需要了解病毒(要求高的地方,需要能寫病毒),只有了解了病毒才能防止,而了解病毒就需要我們去學習計算機技術,計算機原理,甚至是操作系統的計算機專業技術。
1.2非法訪問網絡
對于一個企業而言,其網絡結構一般可分為內網和外網結構。一般外網是企業的門戶網站,或者商務交流平臺,其到達內網需要通過多層數據訪問。而網絡受到攻擊,可以分為來自企業內部的內網攻擊以及來自企業外部的外網攻擊。對于企業級的非法訪問網絡,主要目的就是下載用戶商務數據其過程主要為搜集信息作為企業數據目標選擇,實施網絡訪問攻擊,下載需要的企業數據[1]。
1.3操作系統安全問題
隨著信息技術的發展,操作系統存在安全隱患因素越來越低,但是不可否認,其還是存在一定的安全風險。
第一,操作系統支持的文件中隱含不安全因素。操作系統是傳送所有類型文件的一個通道平臺,為不安全因素的隱藏提供了有利條件。在絕大多的安裝程序中都會包含可執行文件,這些可執行文件容易出現漏洞,這主要是因為這些文件基本上都是人為編程實現的二進制代碼,了解了程序邏輯結構后,完全可以在可執行文件中,添加必要的可執行病毒代碼段,而這些漏洞會導致整個系統癱瘓。一般而言,系統安全問題很容易在程序安裝和加載中產生,因此,為了確保網絡安全性,在程序安裝和加載時需謹慎。
第二,守護進程的好與壞。一般而言,在系統引導裝入時守護進程被啟動,在系統關閉時守護進程被終止。守護進程有好有壞,如防病毒軟件就說明守護進程是好的,但是進程本身就是一種病毒,其也具有一定的危害性。
第三,遠程調用。進行遠程調用的程序基本上都存在于大型服務器中,雖然遠程調用這項功能,操作系統本身就有,但是在遠程調用過程中,非法者也能夠進行非法活動,進而給操作系統帶了威脅。第四,操作系統的漏洞。漏洞無時無刻存在于操作系統中,一般解決這些漏洞的方式就是對軟件進行升級,但是如果此時你的操作系統已經升級到最高級別,還有漏洞存在,那么操作系統就會因為這個漏洞的存在而崩潰。
2計算機網絡安全防范策略
2.1計算機病毒安全防范策略
針對目前多種形式的計算機病毒,如果僅僅采取一種方法對其進行防范,那么無法保證網絡安全性,因此需要配合一些全方位的防病毒產品來徹底清除計算機病毒[2]。如,在清除內網計算機病毒時,需要的防病毒軟件必須具有服務器操作系統平臺的功能以及必須具有針對性(主要針對各種桌面操作系統);在清除外網的計算機病毒時,需要防病毒軟件的支持以及確保聯網所有計算機的安全。另外,提高網絡安全意識非常重要,不用盜版軟件,病毒在盜版軟件的傳播速度非常快;下載資料時必須先進行病毒掃描,在無病毒的環境下進行下載等等,這些都是防范計算機病毒的有效管理策略。
2.2身份認證技術
身份認證顧名思義就是對訪問網絡的合法用戶進行鑒別,確保合法用戶能夠正常使用網絡,防止非法用戶攻擊網絡,總之保證網絡的安全性。隨著用戶密碼被非法用戶截獲案件越來越多。合法用戶的相關信息被竊的事件也越來越多,合法用戶的安全受到越來越多的威脅,用戶已經充分認識到身份認證的重要性[3]。
合法用戶一般都具有兩種身份,一種是物理身份和數字身份,身份認證就是對這兩種身份是否一致進行鑒別。身份認證系統最重要的技術指標就是看合法用戶被他人冒充的難易度。合法用戶身份如果被非法用戶所冒充,那么將會直接損害合法用戶利益,并且會對整個系統造成威脅。由此可見,身份認證不僅是權限管理的基礎,而且它更是網絡安全的一種基礎策略。
2.3入侵檢測技術
入侵檢測是檢測非法入侵網絡的行為,這些非法行為都會威脅到網絡安全。入侵檢測技術一般屬于事前措施,將威脅網絡安全的非法行為扼殺在搖籃中,這種網絡安全技術屬于一種主動策略。一般而言,誤用檢測技術和異常監測技術是入侵檢測所采用的技術。
(1)誤用檢測技術。這種技術的前提條件是假設所有的入侵行為都能認為是一種特征,分析已知的入侵行為,根據分析結果構建相應特征模型,此時對入侵行為的檢測就轉換成搜索與之匹配的特征模型,結果匹配,即表示是非法行為。誤用檢測技術在對已知入侵檢測方面準確性較高,但是對于一些未知入侵檢測效率不高;
(2)異常檢測技術。這種技術的前提條件就是假設所有的入侵行為與正常活動不同,對正常用戶活動進行分析,根據分析結果構建相應的模型,統計與正常用戶活動不同的數量,如果此行為與統計出來的規律不符,則證明是入侵行為。對于誤用檢測技術不能檢測到未知入侵這一不足之處,通常采用異常檢測技術來進行補充。由此可見,誤用檢測技術與異常檢測技術是目前入侵檢測的兩種主要技術。入侵檢測在構建模型時有一種通用入侵檢測模型,如圖1所示。另外,除了上述兩種技術支持外,入侵檢測還需要入侵檢測系統的支持。入侵檢測系統是以一種安全設備的形式來進行入侵檢測,它主要通過發出警報等形式來檢測網絡,它是一種積極主動的安全防護設備。
計算機硬件漏洞計算機的服務器、路由器、防火墻、交換機等硬件在設置時,由于管理人員技術問題或疏忽,配置不當也會造成安全漏洞。比如,計算機的服務器的配置如果沒有適當地進行安全設置,沒有注意其合理的使用,導致它成為網絡的瓶頸,存在極大的安全隱患,嚴重影響網絡的傳輸效率。再如,網絡系統前的路由器,如果對它的配置沒有設置好,或者是設置不正確將導致客戶端無法上網,給用戶造成不可估量的損失。計算機軟件漏洞計算機的操作系統或者是應用軟件在設置上如果出現缺陷或在編寫時由于不嚴密出現漏洞,就會給電腦黑客分子可趁之機。系統漏洞可以被不法者或者電腦黑客利用,通過植入木馬、病毒等方式來攻擊或控制整個電腦,從而竊取電腦中的重要資料和信息,甚至破壞系統。這就使我們的計算機處于威險的境地,一旦連入網絡,將嚴重威脅網絡的安全。
具體來說,有如下幾種是行之有效的方法與手段。設置網絡防火墻防火墻在網絡安全中像一座城墻阻擋著病毒的入侵,是一種保持邊界安全的手段,起著保護與防守的作用。它可以限制網絡互訪,阻隔內部網與外界網絡之間,使之成為一道屏障,從而起來了保護內部網絡不受外界程序的進入。也可以掃描通過網絡傳入自己電腦來的信息,以達到把哪些有害的無用的信息過慮掉,從而讓病毒在外;也可以不使用端口,不讓這些端口輸出信息,保護電腦中的信息;也可以拒絕某些特殊站點發來的訪問信息,讓它們在外,從而防止病毒入侵,過濾掉有害的信息、不安全的服務、排除非法用戶的入侵;也可以控制本電腦內部人去訪問某些特色站點,保持電腦網絡純潔性。可見防火墻既提供預警作用,又可以監視網絡的安全,讓電腦在網絡中安全行駛。防火墻達到完成防護的目的,從層次上來看,可以分三個層次:防火墻和復合型防火墻。其一,包過濾防火墻是通過路由器來達到目的的,當然也有是在IP層來實現,其優勢是透明度強,用戶隨便可以登陸,不用輸入用戶名與密碼。但這樣導致的弊端是沒有保密性,很容易成為黑客攻擊的對象,后臺查不到用戶使用情況,也查不到黑客攻擊的記錄。不用輸入用戶名就可以登陸的弱點是不能過濾不同的用戶,不能識別用戶,也不能防止IP地址被黑客盜用。如果黑客所他所使用的電腦設置為一臺合法的IP地址,就會輕而易舉地越過過濾的防火墻,從而導致計算機的不安全性。防火墻通過包過濾的防火墻達到禁止未受權者的訪問,是按照IP地址來實現的,也稱應用層網關防火墻。它適用于企業對外防護網絡黑客的侵入,不適合單位內部人去訪問網絡外部網絡,服務一般是設置在Internet防火墻網關上的應用,是有網絡管理人員的授權或拒絕的特定服務或特定應用程序,可以在大部分場合下應用的互聯網服務,如遠程文件與本地地超文本的傳輸過程,也可以用于較強的數據流記錄、監控、報告、過濾等方面。復合型防火墻是將數據包過濾和服務結合在一起使用。從而實現了網絡安全性、性能和透明度的優勢互補。總之,防火墻是網絡安全的關口設備,安裝防火墻的原則是:只要有惡意侵入的可能,無論是內部網還是外部網的連接處都應安裝防火墻。計算機網絡不安全因素的防治,單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術手段和管理機制緊密結合起來,提高人們的防范意識,才有可能從根本上保護網絡系統的安全運行。
數據備份數據備份是保護網絡安全中行之有效的方法之一,一個完整的網絡安全體系,不僅僅只有防洪大堤,還必須有能蓄積洪水的場所,這個蓄水池就是對數據進行備份,從而擁有數據的還原能力,讓電腦具有安全最基本層面。進行數據備份是容災的前提與基礎,當電腦出現故障或系統因誤操作而出現突然關機或死機丟失數據時,把哪些有用的數據從硬盤上復制到其它存儲介質上。常見的數據備份有遠程數據備份,有遠程光盤庫、磁帶庫備份,有遠程鏡像磁盤,有定期磁帶備份,也有網絡數據鏡像備份。有了這些備份,就可以從這些介質中提出恢復到硬盤上,達到不丟失數據的目的。在進行數據備份時,要定期備份,定期恢復,特別是網絡中的重要數據,要不定時檢查,養成定期備份的習慣。漏洞掃描及修復漏洞掃描是對電腦進行全方位的掃描,檢查當前的系統是否有漏洞,如果有漏洞則需要馬上進行修復,否則電腦很容易受到網絡的傷害甚至被黑客借助于電腦的漏洞進行遠程控制。所以漏洞掃描對于保護電腦和上網安全是必不可少的,而且需要每星期就進行一次掃描,一旦發現有漏洞就要馬上修復。有的漏洞系統自身就可以修復,而有些則需要手動修復。物理安全物理安全是指其硬件方面能為系統提高保障,它是整個網絡安全的最基礎的前提。網絡系統是弱電工程,而且不耐壓,在校園網的建設中,要優先重視整個使用環境的安全性,要注意用戶與網絡設備不受外界因素,如雷電水火等因素的侵害,也要考慮到人為因素的破壞,如被盜擾等。綜合地講,物理因素有自然因素水火災、地震、雷電等;人為因素有人為操作不當或出現錯誤操作,小偷盜竊設備、外界其它人的電磁干擾;其它因素有機房環境與報警系統的設置,這些都是導致網絡不安全的因素,要盡可能地避免這些物理安全帶來的風險。隨著網絡和計算機技術日新月益的飛速發展,新的安全問題不斷產生和變化。因此網絡信息的安全必須依靠不斷創新的技術進步與應用、自身管理制度的不斷完善和加強、網絡工作人員素質的不斷提高等措施來保障。同時要加快網絡信息安全技術手段的研究和創新,從而使網絡信息能安全可靠地為廣大用戶服務。
作者:萬祎 單位:荊州職業技術學院
【關鍵詞】校園網絡 隱患 安全管理 對策
互聯網起源于1969年的ARPANet最初用于軍事目的,1993年開始應用于商業。現今隨著計算機技術的廣泛發展,計算機應用領域不斷擴大,特別是在教育機構,校園網成為教學、辦公科研、資源共享的重要工具。校園網帶來方便的同時,網絡本身的開放、共享、廣泛、復雜性也帶來了一系列令人擔心的問題,網絡安全已經被提到了重要日程。無論我們是否愿意承認,只要連接了Internet,都是容易受攻擊的。因而在網絡本身的開放性、共享性的前提下,如何保證校園網絡的安全性,以抵抗入侵、防范網絡攻擊等,成為目前校園網絡建立健全的關鍵。
1 安全隱患
近幾年來,隨著高校規模的不斷擴大,新校區或者合并校區的擴建,高校校園網普遍存在網絡規模較大,上網地點較分散,網絡監管困難,上網行為不夠規范等現象,因而加大了校園網絡在使用過程中的安全隱患。
1.1網絡自身的安全缺陷
網絡是一個開放的環境,TCP/IP是一個通用的協議,即通過IP地址作為網絡節點的唯一標識,基于IP地址進行多用戶的認證和授權,并根據IP包中源IP地址判斷數據的真實和安全性,但該協議的最大缺點就是缺乏對IP地址的保護,缺乏對源IP地址真實性的認證機制,這就是TCP/IP協議不安全的根本所在。通過TCP/IP協議缺陷進行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協議攻擊、SYN攻擊等等。
1.2網絡結構、配置、物理設備不安全
最初的互聯網只是用于少數可信的用戶群體,因此設計時沒有充分考慮安全威脅,互聯網和所連接的計算機系統在實現階段也留下了大量的安全漏洞。并且網絡使用中由于所連接的計算機硬件多,一些廠商可能將未經嚴格測試的產品推向市場,留下大量安全隱患。同時,由于操作人員技術水平有限,所以在網絡系統維護階段會產生某些安全漏洞,盡管某些系統提供了一些安全機制,但由于種種原因使這些安全機制沒有發揮其作用。
1.3內部用戶的安全威脅
系統內部人員存心攻擊、惡作劇或無心之失等原因對網絡進行破壞或攻擊的行為,將會給網絡信息系統帶來更加難以預料的重大損失。U盤、移動硬盤等移動介質交叉使用和在聯接互聯網的電腦上使用,造成病毒交叉感染等等,都會給校園網絡帶來較大的安全威脅。特別是近年來利用ARP協議漏洞進行竊聽、流量分析、DNS劫持、資源非授權使用、植入木馬病毒不斷增加,嚴重影響了網絡安全。
1.4軟件的漏洞
一般認為,軟件中的漏洞和軟件的規模成正比,軟件越復雜其漏洞也就越多。在網絡系統運行過程中,由于操作系統自身不夠完善,針對系統漏洞本身的攻擊較多,且影響也較嚴重。再加之,目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目標。
1.5病毒的傳播
網絡的發展使資源的共享更加方便,移動設備使資源利用顯著提高,但卻帶來病毒泛濫、網絡性能急劇下降,許多重要的數據因此受到破壞或丟失,也就是說,網絡在提供方便的同時,也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼”、“尼姆達”、“沖擊波”、“震蕩波”、“歡樂時光”、“熊貓燒香”的爆發無不使成千上萬的用戶受到影響,再加之,近幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因而網絡病毒的防范任務越來越嚴峻。
1.6各種非法入侵和攻擊
由于校園網接入點較多,擁有眾多的公共資源,并且使用者安全意識淡薄,安全防護比較薄弱,使得校園網成為易受攻擊的目標。非法入侵者有目的的破壞信息的有效性和完整性,竊取數據,非法搶占系統控制權、占用系統資源。比如:漏洞、薄弱點掃描,口令破解;非授權訪問或在非授權和不能監測的方式下對數據進行修改;通過網絡傳播病毒或惡意腳本,干擾用戶正常使用或者占用過多的系統資源導致授權的用戶不能獲得應有的訪問或操作被延遲產生了拒絕服務等。
2 校園網安全管理和維護的措施與建議
通過以上安全缺陷分析,校園網絡安全的形式依然非常嚴峻。制定整體的安全部署解決安全隱患和漏洞,是校園網安全、健康運行的保障。
2.1配備高性能的防火墻產品
防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。一般來說,防火墻設置在可信賴的內部網絡和不可信賴的外部網絡之間。防火墻相當于分析器,可用來監視或拒絕應用層的通信業務,防火墻也可以在網絡層和傳輸層運行,根據預先設計的報文分組過濾規則來拒絕或允許報文分組通過。所以對防火墻作好安全設置,設定恰當的訪問控制策略,保障網絡資源不被非法使用和訪問。
2.2網絡設計、使用更合理化
在網絡設計之初,需要理解終端設備安全事件對網絡的影響,確定需要采取的安全措施,通過已知身份驗證的設備訪問網絡,防范未經授權的接觸,讓入侵者難以進入。這樣網絡才能提供可預測、可衡量、有保證的安全服務。
2.3軟件漏洞修復
在校園網絡系統運行過程中,一方面對用戶進行分類,劃分不同的用戶等級,規定不同的用戶權限;另一方面對資源進行區分,劃分不同的共享級別,例如:只讀、安全控制、備份等等。同時,給不同的用戶分配不同的帳戶、密碼,規定密碼的有效期,對其進行動態的分配和修改,保證密碼的有效性;配合防火墻使用的情況下,對一些IP地址進行過濾,以防止惡意破壞者入侵;建立補丁更新服務器,部署全局更新機制,實時、高效更新軟件漏洞。
2.4防殺毒軟件系統
在互聯網技術飛速發展的今天,病毒以每年兩千種新病毒的速度遞增。在校園網中使用帶防火墻的企業版殺毒軟件,就能對整個校園網絡的起到安全防護的作用,使計算機免受病毒入侵。
2.5配備入侵檢測系統(IDS)并建立蜜罐陷阱系統
入侵檢測就是對入侵行為的檢測,通過收集和分析計算機網絡或計算機系統中若干關鍵點的信息,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象,而蜜罐的目的在于吸引攻擊者、然后記錄下一舉一動的計算機系統,攻擊者入侵后,可以隨時了解其針對服務器發出的最新的攻擊和漏洞,這樣系統就可以及時、有針對性的防范攻擊和修復漏洞。
2.6系統安全風險評估
互聯網的不安全因素無時無刻的威脅著網絡安全,只有在網絡系統所面臨的風險進行了有效評估的基礎上,才能掌握網絡安全中存在的漏洞和威脅,從而采取有效措施控制網絡風險。風險評估過程是一個動態循環的,因此必須進行周期性、長期的評估。
2.7災難恢復計劃
1996年報道的網絡攻擊方式只有400種,1998年達到4000種。 CERT/CC公布的漏洞數據為,2000年1090個,2002年已經增加至4129個。可以想象,對管理員來說要跟上補丁的步伐是很困難的。而且,入侵者往往能夠在軟件廠商修補這些漏洞之前首先發現這些漏洞。尤其是緩沖區溢出類型的漏洞,其危害性非常大而又無處不在,是計算機安全的最大的威脅。我們無論怎么想辦法都不可能防止災難的發生,但為了使災難發生造成的損失減到最小,就應該在災難發生之前建立意外事件計劃,記錄各種災難發生所產生的影響,并為此作出相應的應對措施。
2.8加強管理
隨著網絡技術的迅速發展、應用領域的廣泛性以及用戶對網絡的了解程度加深,惡意破壞者或者非法入侵者對網絡安全的影響會越來越大,這就使得網絡安全管理工作任務更加艱巨而重要。因而,在網絡安全管理工作中必須做到及時進行漏洞的修補和日志的查看,保證網絡的穩定性。另外,高校也應該頒布網絡行為的相關規范和處罰條例,這樣才能更有效的控制和減少來自內部網絡的安全隱患。
3 結束語
網絡技術的普及,使人們對網絡的依賴程度加大,對網絡的破壞造成的損失和混亂會比以往任何時候都大。這也就使得高校需要對網絡安全做更高的要求,也使得網絡安全的地位將越來越重要,網絡安全必然會隨著網絡應用的發展而不斷發展。
參考文獻:
