時間:2023-03-20 16:17:45
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇網絡安全設計論文范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
目前,許多學校的校園網都以WINDOWSNT做為系統平臺,由IIS(InternetInformationServer)提供WEB等等服務。下面本人結合自己對WINDOWSNT網絡管理的一點經驗與體會,就技術方面談談自己對校園網安全的一些看法。
一、密碼的安全
眾所周知,用密碼保護系統和數據的安全是最經常采用也是最初采用的方法之一。目前發現的大多數安全問題,是由于密碼管理不嚴,使"入侵者"得以趁虛而入。因此密碼口令的有效管理是非?;镜?,也是非常重要的。
在密碼的設置安全上,首先絕對杜絕不設口令的帳號存在,尤其是超級用戶帳號。一些網絡管理人員,為了圖方便,認為服務服務器只由自己一個人管理使用,常常對系統不設置密碼。這樣,"入侵者"就能通過網絡輕而易舉的進入系統。筆者曾經就發現并進入多個這樣的系統。另外,對于系統的一些權限,如果設置不當,對用戶不進行密碼驗證,也可能為"入侵者"留下后門。比如,對WEB網頁的修改權限設置,在WINDOWSNT4.0+IIS4.0版系統中,就常常將網站的修改權限設定為任何用戶都能修改(可能是IIS默認安裝造成的),這樣,任何一個用戶,通過互聯網連上站點后,都可以對主頁進行修改刪除等操作。
其次,在密碼口令的設置上要避免使用弱密碼,就是容易被人猜出字符作為密碼。筆者就猜過幾個這樣的站點,他們的共同特點就是利用自己名字的縮寫或6位相同的數字進行密碼設置。
密碼的長度也是設置者所要考慮的一個問題。在WINDOWSNT系統中,有一個sam文件,它是windowsNT的用戶帳戶數據庫,所有NT用戶的登錄名及口令等相關信息都會保存在這個文件中。如果"入侵者"通過系統或網絡的漏洞得到了這個文件,就能通過一定的程序(如L0phtCrack)對它進行解碼分析。在用L0phtCrack破解時,如果使用"暴力破解"方式對所有字符組合進行破解,那么對于5位以下的密碼它最多只要用十幾分鐘就完成,對于6位字符的密碼它也只要用十幾小時,但是對于7位或以上它至少耗時一個月左右,所以說,在密碼設置時一定要有足夠的長度。總之在密碼設置上,最好使用一個不常見、有一定長度的但是你又容易記得的密碼。另外,適當的交叉使用大小寫字母也是增加被破解難度的好辦法。
二、系統的安全
最近流行于網絡上的"紅色代碼"、"藍色代碼"及"尼姆達"病毒都利用系統的漏洞進行傳播。從目前來看,各種系統或多或少都存在著各種的漏洞,系統漏洞的存在就成網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。比如上面提及引起"紅色代碼"、"藍色代碼"及"尼姆達"病毒的傳播流行的Unicode解碼漏洞,早在去年的10月就被發現,且沒隔多久就有了解決方案和補丁,但是許多的網絡管理員并沒有知道及時的發現和補丁,以至于過了將近一年,還能掃描到許多機器存在該漏洞。
在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因些從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
在WINDOWSNT使用的IIS,是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,為了加大安全性,在安裝配置時可以注意以下幾個方面:
首先,不要將IIS安裝在默認目錄里(默認目錄為C:\Inetpub),可以在其它邏輯盤中重新建一個目錄,并在IIS管理器中將主目錄指向新建的目錄。
其次,IIS在安裝后,會在目錄中產生如scripts等默認虛擬目錄,而該目錄有執行程序的權限,這對系統的安全影響較大,許多漏洞的利用都是通過它進行的。因此,在安裝后,應將所有不用的虛擬目錄都刪除掉。
第三,在安裝IIS后,要對應用程序進行配置,在IIS管理器中刪除必須之外的任何無用映射,只保留確實需要用到的文件類型。對于各目錄的權限設置一定要慎重,盡量不要給可執行權限。
三、目錄共享的安全
在校園網絡中,利用在對等網中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但在設置過程中,要充分認識到當一個目錄共享后,就不光是校園網內的用戶可以訪問到,而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。筆者曾搜索過外地機器的一個C類IP網段,發現共享的機器就有十幾臺,而且許多機器是將整個C盤、D盤進行共享,并且在共享時將屬性設置為完全共享,且不進行密碼保護,這樣只要將其映射成一個網絡硬盤,就能對上面的資料、文檔進行查看、修改、刪除。所以,為了防止資料的外泄,在設置共享時一定要設定訪問密碼。只有這樣,才能保證共享目錄資料的安全。
四、木馬的防范
相信木馬對于大多數人來說不算陌生。它是一種遠程控制工具,以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬,它就變成了一臺傀儡機,對方可以在你的電腦上上傳下載文件,偷窺你的私人文件,偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前,隱私?不復存在!木馬,應該說是網絡安全的大敵。并且在進行的各種入侵攻擊行為中,木馬都起到了開路先鋒的作用。
木馬感染通常是執行了一些帶毒的程序,而駐留在你的計算機當中,在以后的計算機啟動后,木馬就在機器中打開一個服務,通過這個服務將你計算機的信息、資料向外傳遞,在各種木馬中,較常見的是"冰河",筆者也曾用冰河掃描過網絡上的計算機。發現每個C類IP網段中(個人用戶),偶爾都會發現一、二個感染冰河的機器。由此可見,個人用戶中感染木馬的可能性還是比較高的。如果是服務器感染了木馬,危害更是可怕。
關鍵詞:校園網 規劃 信息化
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1007-9416(2016)11-0162-01
近年來,某高職院校適應經濟社會發展對應用型高技能人才的需求,主動謀變,科學轉型,人才培養質量有了顯著提升,同時為了加快發展,于2015年征地800畝,開始建設新校區。新校園的網絡設施建設是基礎設施建設的重要環節,其規劃及設計既要充分考慮與老校網絡的互聯互通,技術方案、設備選型又要適當超前規劃,考慮未來學校的長遠規劃。
1 現狀與需求分析
1.1 校園網絡現狀
(1)網絡核心設備。目前該校的網絡核心設備主要是華為NE系列核心交換機組成,有少量采用h3c設備。華為NE系列交換機是具有三層交換功能的高端交換機,性能十分穩定。各網絡節點之間用高速光纖接入。服務器以采用IBM刀片服務器為主。
(2)主干線路。目前,該高職院校的校園網主干線路為千兆,主干線路連接主交換機與二級交換機,二級交換是各網絡節點與桌面電腦之間,大部分為百兆,擬升級為千兆。
(3)網絡覆蓋率及上網速度。該高職院校所有建筑單元均已覆蓋校園園,百分之百的公用電腦均已入網。學校網絡已接入中國教育教研骨干網絡。
(4)網絡拓撲結構。該院校目前的網絡拓撲結構以集中式為主,結構比較合理,但是隨著校園網網絡用戶數量的不斷擴大,現有的網絡負載量急劇增長,擴容十分必要。具體拓撲結構如圖1所示。
1.2 新校園網絡建設需求
該高職院校新校區目前在校生10000人,預計2020年要達到15000人的規模。教工用戶穩定在2000人左右。新校區按照電工、電子、機械、人文等專業群劃分為四個教學功能區,電工與電子專業集群共用實驗樓,機械與數控等專業共用一個實驗樓。
2 新校區網絡設計原則
新校區網絡建設與新校區基礎設施建設遵循同步設計、有序施工原則。在新校區土建方案中即考慮網絡管線設計,確定好核心點和匯聚點的位置、接入接式。網絡建設與中心機房建設同步進行,遵循一個數據標準。
3 系統總體方案設計
3.1 網絡拓撲結構設計
該院校網絡拓撲設計考慮兩種方案:
(1)星型結構。以圖文信息大樓為中心,兩臺核心交換設備構成核心層;文科組團、理工組團二、生活區、各建一個匯聚點,學生公寓設置3個匯聚點,以上7個匯聚點用雙鏈路接入核心層構成匯聚層;每個建筑體接入臨近匯聚點,構成接入層。網絡中心設在核心層圖文信息大樓中。
(2)環型結構。以圖文信息中心、文科組團、理工組團二、學生公寓四點建立一核心環,用雙鏈路連接保證可靠性,該環構成核心層。在公共教學組團、文科組團、理工組團一、理工組團二、生活區各設置一個匯聚點、學生公寓區設置三個匯聚點,各匯聚點用雙鏈路平均接入核心環結點構成匯聚層,保證負載平衡。每個建筑體接入臨近匯聚點,構成接入層。網絡中心設在核心環上圖文信息大樓中。
經與新校區建設指揮部協商,并征求施工方及專家的意見,確定該高職院校新校區網絡設計方案采用兩種方案結合的方式進行。即在網絡主干布線時采用第二種方案,在二級結點之間采用第二方案。
3.2 新、老校園網絡接入
由于該高職院校新、舊校區物理上相隔較遠,自成一體。在新校區網絡設計時,必須考慮租用第三方運營商線路。本院校租用了電信的萬兆級裸光纖,用以新、舊校區高速數據交互的需要。新校區的校園網與中國教育科研網的連接復用老校區的出口。
3.3 網絡安全保證
(1)建立電子身份體系。以該校一卡通管理為依托,為該校每一個學生建立一個網絡身份證,并與教工用戶使用不同的密鑰系統。實行“集中授權、統一認證”,保證用戶身份的真實性、唯一性和權威性。用戶密鑰采用硬件、軟件加密系統,并引入口令卡技術,確保用戶個人的信息安全。
(2)網絡安全系統。網絡安全系統主要有硬件防護和軟件防護組成。該高職院校硬件防護主要是在校心交換上布設了內外網隔離網閘、防火墻,在網絡服務器部設入侵檢測系統及資源管理系統,實時監測服務器CPU、內存、磁盤陣列的資源負載情況;軟件防護主要購買了綠盟病毒防護系統、安捷數據庫訪問審計系統。從硬件、軟件兩方面建立了該高職院校的校園網網絡安全防護體系。
4 結語
本論文主要結合某高職院校新校區的建筑部局,對該高職院校新校區的網絡建設需求進行了分析,并給出了新校區網絡拓撲的兩種方案,最后采用兩種方案融合進行的思路,充分考慮了未來新校區網絡建設的發展需求。網絡安全是網絡規劃與設計中需要考慮的重要內容。本論文也給出了該高職院校網絡安全保障的建設內容,包括建立電子身份體系、防火墻、入侵檢測、病毒防護、VPN等安全系統和網管系統,并給出了該高職院校網絡安全的防護結構示意圖。本論文的研究對于大學新、老校園的網絡建設具有重要的參考意義。
參考文獻
[1]周蘇,王文.高職院校數字化校園的規劃及其網絡系統的設計[J].信息化建設,2015.
關鍵詞:入侵誘騙技術;蜜罐;網絡安全
近年來計算機網絡發展異常迅猛,各行各業對網絡的依賴已越發嚴重。這一方面提高了信息的高速流動,但另一方面卻帶來了極大的隱患。由于網絡的開放性、計算機系統設計的非安全性導致網絡受到大量的攻擊。如何提高網絡的自我防護能力是目前研究的一個熱點。論文通過引入入侵誘騙技術,設計了一個高效的網絡防護系統。
一、入侵誘騙技術簡介
通過多年的研究表明,網絡安全存在的最大問題就是目前采用的被動防護方式,該方式只能被動的應對攻擊,缺乏主動防護的功能。為應對這一問題,就提出了入侵誘騙技術。該技術是對被動防護的擴展,通過積極的進行入侵檢測,并實時的將可疑目標引向自身,導致攻擊失效,從而有效的保護目標。
上個世紀80年代末期由stoll首先提出該思想。到上世紀90年代初期由Bill Cheswish進一步豐富了該思想。他通過在空閑的端口上設置一些用于吸引入侵者的偽造服務來獲取入侵者的信息,從而研究入侵者的規律。到1996年Fred Cohen 提出將防火墻技術應用于入侵誘騙技術中,實現消除入侵資源。為進一步吸引入侵目標,在研究中提出了引誘其攻擊自身的特殊目標“蜜罐”。研究者通過對蜜罐中目標的觀察,可清晰的了解入侵的方法以及自身系統的漏洞,從而提升系統的安全防護水平。
二、蜜罐系統的研究
在這個入侵誘騙技術中,蜜罐的設計是關鍵。按交互級別,可對蜜罐進行分類:低交互度蜜罐、中交互度蜜罐和高交互度蜜罐。低交互度蜜罐由于簡單的設計和基本的功能,低交互度的honeypot通常是最容易安裝、部署和維護的。在該系統中,由于沒有真正的操作系統可供攻擊者遠程登錄,操作系統所帶來的復雜性被削弱了,所以它所帶來的風險是最小的。但也讓我們無法觀察一個攻擊者與系統交互信息的整個過程。它主要用于檢測。通過中交互度蜜罐可以獲得更多有用的信息,同時能做出響應,是仍然沒有為攻擊者提供一個可使用的操作系統。部署和維護中交互度的蜜罐是一個更為復雜的過程。高交互度蜜罐的主要特點是提供了一個真實的操作系統。該系統能夠收集更多的信息、吸引更多的入侵行為。
構建一個有用的蜜罐系統是一個十分復雜的過程,主要涉及到蜜罐的偽裝、采集信息、風險控制、數據分析。其中,蜜罐的偽裝就是將一個蜜罐系統通過一定的措施構造成一個十分逼真的環境,以吸引入侵者。但蜜罐偽裝的難度是既不能暴露太多的信息又不能讓入侵者產生懷疑。最初采用的是偽造服務,目前主要采用通過修改的真實系統來充當。蜜罐系統的主要功能之一就是獲取入侵者的信息,通常是采用網絡sniffer或IDS來記錄網絡包從而達到記錄信息的目的。雖然蜜罐系統可以獲取入侵者的信息,并能有效的防護目標,但蜜罐系統也給系統帶來了隱患,如何控制這些潛在的風險十分關鍵。蜜罐系統的最后一個過程就是對采用數據的分析。通過分析就能獲得需要的相關入侵者規律的信息。
對于設計蜜罐系統,主要有三個步驟:首先,必須確定自己蜜罐的目標。因為蜜罐系統并不能完全代替傳統的網絡安全機制,它只是網絡安全的補充,所以必須根據自己的目標定位蜜罐系統。通常蜜罐系統可定位于阻止入侵、檢測入侵等多個方面。其次,必須確定自己蜜罐系統的設計原則。在這里不僅要確定蜜罐的級別還有確定平臺的選擇。目前,對用于研究目的的蜜罐系統一般采用高交互蜜罐系統,其目的就是能夠更加廣泛的收集入侵者的信息,獲取需要的資料。在平臺的選擇上,目前我們選擇的范圍很有限,一般采用Linux系統。其原因主要是Linux的開源、廣泛應用和卓越的性能。最后,就是對選定環境的安裝和配置。
三、蜜罐系統在網絡中的應用
為更清晰的研究蜜罐系統,將蜜罐系統應用于具體的網絡中。在我們的研究中,選擇了一個小規模的網絡來實現。當設計完整個網絡結構后,我們在網絡出口部分配置了設計的蜜罐系統。在硬件方面增加了安裝了snort的入侵檢測系統、安裝了Sebek的數據捕獲端。并且都構建在Vmware上實現虛擬蜜罐系統。在實現中,主要安裝并配置了Honeyd、snort和sebek.其蜜罐系統的結構圖,見圖1。
圖1 蜜罐結構圖
論文從入侵誘騙技術入手系統的分析了該技術的發展歷程,然后對入侵誘騙技術中的蜜罐系統進行了深入的研究,主要涉及到蜜罐系統的分類、設計原則、設計方法,最后,將一個簡易的蜜罐系統應用于具體的網絡環境中,并通過嚴格的測試,表明該系統是有效的。
1:長春廣播電視大學畢業設計題目.
2:吉林省森工集團信息化發展前景與規劃.
3:吉林省林業設計院網絡中心網絡改造與發展規劃.
4:吉林省林業系統生態信息高速公路構建課題.
二、論文撰寫與設計研究的目的
跟隨1946年第一臺計算機在美國誕生,人類文明發展到一個嶄新的時代.尤其是20世紀后10年,以計算機網絡的飛速發展為契機,我們進入了信息時代.人們的生活和工作逐漸以信息為中心,信息時代更離不開網絡,任何一個規模企業尤其開始依賴網絡,沒有網絡企業就面臨著落后.
吉林省的林業分布十分廣泛,以長白山系為主要脈絡的山地廣泛分布各種森林資源,而作為林業及林業環境的發展,林業生態信息則是一個更為龐大的系統,快捷,準確,合理,系統的采集,處理,分析,存儲這些信息是擺在我們面前的十分現實的問題.在信息交流的這個世界中,信息好比貨物,我們需要將這些貨物(信息)進行合理的處理,其中以硬件為主的計算機網絡系統是這些貨物(信息)交流的"公路"和"處理廠",我做這個題目,就是要為它畫出一條"公路"和若干"處理方法"的藍圖.
由于森工集團這樣的特定企業,其一,它是一個統一管理的企業,具有集團化的特點,網絡的構建具有統一性.其二,它又在地理上是一個分散的企業,網絡點也具有分散性.然而,分散中還具有集中的特點,它的網絡系統的設計就應該是板塊化的.從信息的角度來講,信息的種類多,各種信息的采集傳輸處理角度也不盡相同,我們在設計的過程中不僅要考慮硬件的地域布局,也要考慮軟件平臺的配合.
沒有最好,只有更好;更新觀念,大步向前.我相信,在導師的精心指導下,經過我的努力,我將為它們創造出一條平坦,寬闊的"高速公路".
1,論文(設計)研究的對象:
擬訂以吉林省林業系統為地理模型,以林業網絡綜合服務為基本需求,以網絡拓撲結構為設計方向,以軟件整合為應用方法,開發設計一套完整的基于集散集團企業的企業網絡系統.
2,論文(設計)研究預期達到目標:
通過設計,論文的撰寫,預期達到網絡設計全面化,軟件整合合理化,網絡性能最優化,資金應用最低化,工程周期最短化的目標.
3,論文(設計)研究的內容:
一),主要問題:
設計解決網絡地域規范與現有網絡資源的利用和開發.
設計解決集中單位的網絡統一部署.
設計解決多類型網絡的接口部署.
設計解決分散網絡用戶的接入問題.
設計解決遠程瘦用戶網絡分散點的性能價格合理化問題.
設計解決具有針對性的輸入設備的自動化信息采集問題.
合理部署網絡服務中心的網絡平衡.
優化網絡服務系統,營造合理的網絡平臺.
網絡安全問題.
10,基本應用軟件整合問題.
二),論文(設計)包含的部分:
1,地理模型與網絡模型的整合.
2,企業內部集中部門網絡設計.
3,企業內部分散單元網絡設計——總體分散.
4,企業內部分散單元網絡設計——遠程結點.
5,企業內部分散單元網絡設計——移動結點.
6,企業網絡窗口(企業外信息交流)設計.
7,企業網絡中心,服務平臺的設計.
8,企業網絡基本應用軟件結構設計.
9,企業網絡特定終端接點設計.
10,企業網絡整合設計.
5,論文(設計)的實驗方法及理由:
由于設計的過程并不是工程的施工過程,在設計過程中詳盡的去現場建設肯定有很大的難度,也不是十分可行的,那么我們在設計的階段就應該進行仿真試驗和科學計算.第一步,通過小型網絡測試軟件平臺,第二步,構建多個小型網絡搭建全局網絡模擬環境,第三步,構建干擾源利用小型網絡集總仿真測試.
6,論文(設計)實施安排表:
1.論文(設計)階段第一周次:相關理論的學習研究,閱讀參考文獻資料,制訂課題研究的實施方案,準備試驗用網絡硬件和軟件形成試驗程序表及試驗細則.
2.論文(設計)階段第二周次:開始第一輪實驗,進行小型網絡構建試驗,模擬網絡服務中心,模擬區域板塊,模擬遠程及移動網絡.
3.論文(設計)階段第三周次:進行接口模擬試驗,測試軟件應用平臺,完善課題研究方案.
4.論文(設計)階段第四周次:完成第一輪實驗,提交中期成果(實驗報告1).
5.論文(設計)階段第五周次:進行第二輪實驗,模擬環境(干擾仿真)實驗,提交實驗報告2.
6.論文(設計)階段第六周次:完成結題報告,形成論文.
三,論文(設計)實施工具及參考資料
小型網絡環境,模擬干擾環境,軟件平臺.
吳企淵《計算機網絡》.
鄭紀蛟《計算機網絡》.
陳濟彪丹青等《計算機局域網與企業網》.
christianhuitema《因特網路由技術》.
[美]othmarkyas《網絡安全技術——風險分析,策略與防火墻》.
其他相關設備,軟件的說明書.
1、論文(設計)的創新點:
努力實現網絡資源的全面應用,擺脫將單純的網絡硬件設計為企業網絡設計的模式,大膽實踐將軟件部署與硬件設計階段相整合的網絡設計方法.
題目可行性說明及預期成果:
2、可行性說明:
由于題目結合了"吉林省森工集團信息化發展前景與規劃""吉林省林業設計院網絡中心網絡改造與發展規劃""吉林省林業系統生態信息高速公路構建課題",使得題目緊密結合生產實際,于是進行《企業網絡設計——基于集散企業的綜合網絡設計》具有現實意義.超級秘書網:
1.1開放環境。目前,在網絡安全領域及智能規劃領域中,都沒有對開放環境予以明確的定義,而對于開放環境下的問題研究卻很多。在本論文中所研究的開放環境指的是,在計算機網絡對應用者開放使用的條件下,硬件系統能夠保障網絡的正常運行,操作系統及軟件能夠為管理員及普通用戶提供各個角色所需要的功能,即軟硬件系統能夠為應用者提供服務。
1.2網絡安全。網絡安全其從應用的角度包含設備安全、信息安全、軟件安全。網絡攻擊者通過以計算機網絡為基礎的入侵達到竊取重要信息的目的,同時,也有部分計算機高手為達到某種目的,通過使用計算機網絡攻擊競爭對手的服務器,進而造成網絡企業無法正常運營。本文所討論的網絡安全即是為了防范信息丟失或服務器攻擊所采取的措施。
1.3智能規劃。智能規劃是一個動作序列,是一個智能體agent在初始狀態(initialstate)下經過執行動作1,動作2,……,動作n這樣的一系列動作,最后到達目標狀態(goalstate),該一系列動作,我們也稱為是這個動作的序列所構成的整體叫做一個規劃。每一個規劃問題(planningproblem)都要涉及到以下四個集合:一個操作的集合operators、一個對象的集合objects、一個初始條件集合initialconditions和一個目標集合goals,其中初始條件集合和目標集合的每個元素都是一個命題。
1.4規劃識別。規劃識別是人工智能一個重要的研究領域,是多學科交叉的一個研究領域,涉及到了知識表達、知識推理、非單調邏輯和情景演算等。規劃識別問題是指從觀察到的某一智能體的動作或動作效果出發,推導出該智能體的目標/規劃的過程。
1.5入侵檢測。入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
1.6應對規劃。應對規劃是將規劃識別和智能規劃進行融合,實現識別與應對同時進行,針對敵方系統實施的敵意規劃,采取一個動作序列來阻止、破壞敵意規劃的執行,進而使我方系統不受到破壞或者將所受損失降到最小,這樣的動作序列就稱為應對規劃(counterplan)。在作者蔡增玉的《基于應對規劃的入侵防護系統設計與研究》一文中對應對規劃賦予的定義是:為Agent根據敵對Agent的動作,利用規劃識別技術發現敵對Agent的目標和將來的動作,并采取適當的響應措施阻止敵對Agent目標的實現,整個過程稱為應對規劃.在網絡安全領域,敵對Agent通常是指網絡的入侵者。
2識別及應對模型
對于計算機網絡安全的研究較多,但是,將智能規劃與規劃識別技術應用于該領域的研究卻并不多見。本文在前期的理論研究的基礎上,提出了開放環境下網絡安全規劃問題的識別與應對模型,進而得到了解決網絡安全問題的新的方法。具體模型如圖1所示。該模型的具體執行過程是根據針對服務器端或客戶端產生的人為攻擊,通過入侵檢測的方法,檢測到該動作后,對這一動作進行識別,并在此動作中提取該動作所導致的系統變化,將變化的結果作為當前系統工作的初始狀態,將此狀態傳遞至應對規劃器,此規劃器中以此狀態為初始狀態展開應對規劃的求解過程,應對規劃器均以系統安全為目標狀態,并按照規劃器得到的規劃步驟,觸發相關軟硬件設備,逐步執行規劃中的每個操作,使服務器端及客戶端達到安全狀態。該模型的核心在于攻擊動作的識別及應對規劃的產生。動作的識別主要依靠規劃識別器,應對規劃的產生則依靠應對規劃器,將這兩個部分進行組合,并應用到網絡安全的問題中,進而對人為攻擊計算機網絡的安全問題有了解決的方法。
3總結
關鍵詞:網絡安全;安全監控;網絡維護
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 20-0000-01
Research and Application about Monitoring and Maintaining of Network Security
Xia Qing
(Jiangsu Yancheng Product Quality Supervise Inspection Institute,Yancheng224005,China)
Abstract:This thesis had studied the Internet network security monitoring and maintenance of technology,from network security,content unless,according to the principles of network security monitoring,network security system design,and detail the use of firewalls and network intrusion detection technology,the establishment of joint monitoring and maintenance of network security system within the network and the Internet to complete the interaction between the security monitoring.
Keywords:Network security;Security monitoring;Network maintenance
一、網絡安全概述
信息時代,計算機網絡技術的發展和應用對人類生活方式的影響越來越大,Internet/Intranet技術廣泛應用于社會的各個領域,基于計算機網絡的安全問題己經成為非常嚴重的問題。確保網絡安全己經是一件刻不容緩的大事,解決網絡安全課題具有十分重要的理論意義和現實背景。本文針對網絡安全監控與維護的需求,進行了深入的研究與開發,按照建立的網絡安全應該是動態防護體系,是動態加靜態的防御,提出了一個全方位、各個層次、多種防御手段的網絡安全實現模型,構建了網絡監控和維護的安全系統體系結構。
二、網絡監控原理
網絡安全監控系統能夠分級建立監控系統和網絡數據庫,首先,需要使得網絡內部的各級監控系統,對所管轄的網絡區域內的計算機進行有效的監控,阻斷“一機兩用”的行為和想象;其次,要對轄區的下級監控系統的工作狀態進行監控,能夠對計算機之間的病毒入侵源進行分析和定位;同時還需要對網絡區域內的設備和個人計算機進行數據的管理、統計和數據登記,全面地進行網絡安全監控和維護。
三、網絡安全監控措施
(一)防火墻設置
在Internet與內網之間安裝防火墻,形成內外網之間的安全屏障[3]。其中WWW、MAIL、FTP、DNS對外服務器連接在安全,與內、外網間進行隔離。通過Internet進來的公眾用戶只能訪問到對外公開的一些服務,既保護內網資源不被外部非授權用戶非法訪問或破壞。
(二)入侵檢測系統配置
分布式入侵檢測系統一般采用分布監視、集中管理的結構,在每個網段里放置基于網絡的入侵檢測引擎,同時對于重要的服務器,例如MAIL服務器、WEB服務器放置基于主機的入侵檢測引擎。再通過遠程管理功能在一臺管理站點上實現統一的管理和監控。
分布式入侵檢測系統的總體結構系統由三個主要組件組成:主管傳感器、邊界傳感器、中央控制臺[5]。這三層結構中的任一個結點均可對攻擊以不同的方式進行響應。分布式入侵檢測系統支持不同的鏈路,如TCP專用鏈路和TCP加密鏈路。主管傳感器由控制臺決定上報信息的存儲、顯示、管理,將匯總信息報告給控制臺。邊界傳感器每個組有一個主管傳感器,負責信息的收集、精簡。如果網絡連接通過公用網,則使用加密鏈路。
四、網絡監控與維護應用
典型的網絡安全監控應用,如VRV(Virus Removed Victory成功清除病毒)[6]網絡防病毒體系,為網絡每個層面提供防病毒保護,通過對病毒在網絡中存儲、傳播、感染的各種方式和途徑進行分析,提供桌面應用、服務器系統、郵件系統、群件服務器、Internet網關級別的全面防毒保護。這種全方位、多層次的防毒系統配置,能使政府、企業網絡免遭所有病毒的入侵和危害。
基于局域網、廣域網多級管理:網絡終端殺毒-局域網集中監控-廣域網總部管理,在局域網中用VRV各防毒組件構架本地網防毒系統的基礎上構建廣域網總部控制系統:(1)監控本地、遠程異地局域網病毒防御情況;(2)統計分析廣域網病毒爆發種類、發生頻度、易發生源等信息;(3)病毒信息匯總,進行病毒安全風險評估;(4)整體網絡統一策略、統一升級、統一控制。
主動式病毒防護機制:企業安全防護策略是針對網絡內部安全推出的最新解決方案。不用等到病毒碼更新,就能主動防御。透過VRV防病毒管理中心管理整個病毒爆發周期。讓企業在面臨病毒爆發的威脅時,通過VRVAMC主動獲得完整防毒策略,有效降低因為病毒疫情帶來的人力損失及成本。防毒系統本身更能自動識別未知病毒,通過對文件和網絡流量異常監視,提出報警。
五、結束語
本文通過分析了網絡安全的現狀與概況,提出建立網絡安全監控與維護體系的重要性,在此基礎上,利用網絡安全監控和管理手段,首先建立的網絡的防火墻配置,在防火墻配置的基礎上,配置了網絡入侵檢測系統,利用這兩項配置,完成網絡內部與Internet之間的交互安全監控。論文最后分析了一個實際的VRV網絡安全監控與維護系統,通過該系統的配置與應用,說明網絡安全監控技術的具體實施,對網絡安全具有一定研究價值。
參考文獻:
[1]張杰.因特網安全及其防范措施[J].信息安全技術,2002,3:20-23
關鍵詞:教務管理系統;安全隱患;安全策略
Study on Safety Strategies of University Education Management System
ZHANG Yan
(Examination Center, Chongqing Radio & TV University, Chongqing 400052, China)
Abstract: University education management system not only takes on most of tasks of university management but also saves so much important data like academic achievement. Therefore, it is very important to guarantee the safety of education management system. The paper introduces the safety model of computer, and discusses hidden safety troubles on education management system, and puts forward safety strategies to guarantee the safety of education management system.
Key words: education management system; hidden safety troubles; safety strategy
1 概述
隨著信息技術的飛速發展以及高校信息建設特別是數字校園建設的快速推進,各高校相繼建設了數字化校園的核心應用系統――教務管理系統。它包括教學計劃管理、學籍管理、考務管理、教材管理、網絡上選課和學費清算等子系統,其不僅涵蓋了高校日常運行的大部分功能,而且存儲著學生成績等大量重要數據。因此,為教務系統的數據安全和穩定運行構建完善的安全策略顯得尤其重要[1]。
2 計算機安全模型
計算機安全模型是建立于安全策略之上[2],其基本結構如圖1所示,包括主機安全、網絡安全、組織安全和法律安全。安全策略是指為達到預期安全目標而制定的一系列安全準則。安全策略主要建立在認證、授權、數據加密和訪問控制等技術之上。
主機安全主要包括用戶身份的認證,系統資源訪問權限控制,安全存儲、處理系統數據,跟蹤審計用戶行為,系統漏洞檢測和信息恢復等。網絡安全主要包括有效的接入控制,數據傳輸的安全性,網絡傳輸的安全服務和安全機制,網絡安全的檢測和恢復等。組織安全包括建立完善的安全管理規范。由于計算機最終由計算機理人員決定,因此,加強人的管理是網絡安全的重要措施。法律安全主要包括隱私權、知識產權、數據簽名和不可抵賴。在計算機安全模型中,組織安全是重要的組織保障,主機安全和網絡安全是重要的技術保障手段,只有將組織保障和技術保障有機結合,才能形成一個完整的安全保障體系。
3 教務管理系統安全隱患
3.1 服務器安全隱患
服務器安全隱患主要包括:1)教務系統幾乎要面對高校中所有的學生和教師,使用人群非常龐大而復雜。這既增加了服務器被使用者有意或無意的破壞幾率,又增加了用戶終端病毒感染服務器的可能性;2)服務器的硬件故障(如硬盤故障等)也會給系統帶來很大的安全隱患;3)服務器自身的安全措施不到位存在的安全隱患,如未及時給操作系統打補丁,未及時升級殺毒軟件病毒庫等;4)用戶身份認證機制缺陷造成的安全隱患, 如用戶的身份證僅靠密碼識別,由于用戶密碼泄漏而給系統帶來安全隱患;5)管理系統自身的軟件漏洞(如SQL注入漏洞)帶來的安全隱患。
3.2 網絡安全隱患
網絡安全隱患主要包括以下幾方面:1)數據傳輸隱患。如果敏感數據不使用加密傳輸,入侵者就可通過網絡嗅探工具獲得用戶的賬號和口令;2)網絡負載隱患。隨著高校的大規模擴招,教務管理系統的用戶急劇增加,這可能因并發用戶太多而造成服務器不能及時響應。同時,惡意的DDOS(分布式拒絕服務)攻擊也會給服務器帶來很大的負載壓力,影響服務器的正常運行。
3.3 管理安全隱患
由于管理制度不健全、不完整、不到位,給系統運行、使用帶來制度性安全隱患。
4 教務系統的安全策略
針對上文提到的各種安全隱患,必須制定相應的安全策略,才能保障教務管理系統的安全、穩定運行。
4.1 用戶安全策略
用戶安全策略主要包括:1)用戶口令安全策略。對用戶的口令進行檢查,對于口令強度不夠的,強制要求用戶更改;2)用戶權限分級和信息處理保密策略。對用戶權限分級和保密進行精心設計,減少用戶無意或惡意操作給系統帶來的破壞;3)對用戶行為進行詳細記錄和審計,并定期進行日志分析,以利于及時查找系統漏洞和用戶破壞行為;4)要求服務器管理人員定期對服務器病毒庫進行升級,并及時給操作系統打補丁。
4.2 數據備份與恢復策略
備份的主要目的是當數據受到破壞時,使用備份數據可以快速恢復受損數據,減少損失。備份設備主要有磁帶庫、磁盤陣列、光盤、SAN等。數據備份策略有全備份和增量備份。全備份即備份所有數據;增量備份只備份上次備份后有變化的數據。全備份所需時間長,但恢復時間短,操作最方便,當系統中數據量不大時,采用全備份最可靠。數據恢復是指用備份數據恢復損壞的系統。恢復操作通??煞譃槿P恢復和增量恢復。為了盡快恢復數據,必須制定數據恢復應急預案,并進行相應預演,以確保在規定的時間內恢復數據。
為了減少因服務器故障造成管理系統停止運行,除采用數據備份措施外,還經常使用雙機熱備的方式來提高系統運行的可靠性和穩定性。雙機熱備不僅可以提高系統可靠性,還可通過服務器負載均衡提高系統的響應速度和并發處理能力。
4.3 網絡安全策略
為了防止敏感數據(如賬號和密碼)在網絡中傳輸時受到破壞,更改、泄露,在教務管理系統設計和實現時,必須在敏感數據進入網絡傳輸前進行加密,以防止數據被竊聽、被破壞[3]。由于數據加密、解密將增加客戶端和服務器的負荷和處理時間。因此,建議只對敏感數據進行加密傳輸,對于其他數據可直接用明文在網絡中傳輸,以增加系統的響應速度和并發處理能力。
為了防止網絡惡意用戶、黑客工具軟件和病毒對服務器的攻擊,必須在服務器前端安裝防火墻(Firewall)。防火墻是安裝在客戶端和服務器之間的一道“防護墻”,它允許客戶端對服務器的合法訪問,阻止非法訪問,從而保護服務器免遭非法入侵,提高服務器的安全性[4]。
4.4 管理安全策略
僅僅依賴技術安全措施,并不能完全保障系統的安全,還需建立完善的安全管理策略,也只有配合完善的安全管理策略,才能使技術防范手段的效能最大化。安全管理策略包括物理安全策略,如關鍵計算設備的安全策略;邏輯安全策略,如數據訪問的安全策略;行政制約方面的安全策略,如人員安全管理策略。安全策略的一個重要組成部分是定期對安全策略的實施過程與結果進行分析,并根據分析結果對安全策略進行動態的修改。
5 結束語
論文分析了高校教務管理系統存在的安全隱患,并針對這些安全隱患,提出了完整、系統的安全策略。通過安全策略的實施,能最大限度地保障系統的安全、穩定運行。文中提出的安全策略不僅適用于教務管理系統,也適用于其他信息管理系統,具有一定的推廣價值。值得注意的是,安全策略不是一成不變的,它會隨著信息技術的發展而動態的發展。因此,必須經常對已有安全策略的運行效果進行分析,以便及時發現安全策略的薄弱環節,修補安全漏洞。
參考文獻:
[1] 王樹利. 高校教務管理系統數據備份與安全審計方案設計[J]. 科教文匯,2009(9):222-223.
[2] 鄒新國. 計算機信息與網絡安全技術[M]. 濟南:黃河出版社,2008:10-14.