時間:2023-09-22 15:31:47
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇網絡安全服務內容范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
【關鍵詞】網絡安全 J2EE JavaBean 主動防御
隨著數據庫、網絡技術的快速發展,其已經在電力通信、金融證券、電子商務、電子政務等領域得到了廣泛的普及和應用,提高了網絡用戶學習、生活和工作的便捷性,進而提高了社會信息化服務水平。
1 網絡安全管理面臨的現狀
(1)網絡攻擊渠道多樣化。
(2)網絡安全威脅智能化。
2 網絡安全管理系統功能分析
為了能夠更好地導出系統的邏輯業務功能,系統需求分析過程中詳細的對網絡安全管理的管理員、用戶和防御人員進行調研和分析,使用原型化方法和結構化需求分析技術導出了系統的邏輯業務功能,分別是系統配置管理功能、用戶管理功能、安全策略管理功能、網絡狀態監控管理功能、網絡運行日志管理功能、網絡運行報表管理功能等六個部分:
(1)網絡安全管理系統配置管理功能分析。
(2)用戶管理功能分析。
(3)安全策略管理功能分析。
(4)網絡狀態監控管理功能分析。
(5)網絡運行日志管理功能分析。
(6)網絡運行報表管理功能分析
3 網絡安全管理系統設計
3.1 系統服務器設計
網絡安全管理系統部署與運行過程中,其采用B/S體系架構,是一個功能較為完善的分布式管理系統,因此結合系統采用的架構,本文對系統服務器進行了設計,以便能夠更好地部署相關的網絡軟硬件環境。網絡拓撲結構部署的內容主要包括動態內容和靜態內容兩種模式,系統軟硬件平臺部署策略也分為兩種,分別是靜態系統部署和動態系統部署,如圖1所示。
3.2 系統架構設計
網絡安全管理系統采用B/S架構,該架構包括三個層次,分布式表示層、業務功能處理層和數據功能處理層,其適應現代互聯網的發展需求,用戶僅僅需要在瀏覽器上安裝一些插件或使用簡單的瀏覽器就可以登錄管理系統,并且向管理系統發出各種通信管理實時數據監控邏輯業務請求,以便能夠進行及時的處理,完成互聯網安全監控需求。
(1)表示層。
(2)業務功能處理層。
(3)數據功能處理層。
4 網絡安全管理系統實現
4.1 系統實現工具環境
網絡安全管理系統開發過程中,采用J2EE面向對象技術,實現環境采用Eclipse集成開發平臺,數據庫采用MySQL服務器,Web業務處理采用Tomcat服務器。本文對系統實施了詳細的需求分析和設計,導出了系統的邏輯業務功能,同時給出了系統的基本業務流程。為了能夠實現一個完整的網絡安全管理系統,本文在以下環境下實現了系統的各個邏輯業務功能,并對其進行了部署。
4.1.1 硬件服務器硬件要求
系統運行的服務器CPU最低配置為PIII 800,建議配置現代主流的雙核、四核CPU。內存最低配置為512M,建議內存配置在1G以上;系統服務器硬盤最低配置為80G,建議配置為120G以上。
4.1.2 服務器軟件需求
Tomcat服務器:系統采用新型的B/S體系架構,為了易于維護和管理,Web服務器采用Tomcat服務器,其能夠提供WWW、FTP等服務。
操作系統:由于系統的操作界面需要具有友好交互的特性,因此要求操作系統支持圖形化界面顯示,建議采用Window XP系統以上,具有集成網絡、系統容錯和高安全性的特點。
數據庫服務器:本文采用關系型數據庫,微軟開發的MySQL數據庫。
系統開發環境: Eclipse集成開發環境。
4.2 網絡安全主動防御策略
網絡運行過程中,安全管理系統可以采用主動、縱深防御模式,安全管理系統主要包括預警、響應、保護、防御、監測、恢復和反擊等六種關鍵技術,從根本上轉變信息系統使用人員的安全意識,改善系統操作規范性,進一步增強網絡安全防御性能。
(1)網絡安全預警。
(2)網絡安全保護。
(3)網絡安全監測。
(4)網絡安全響應。
(5)網絡恢復。
(6)網絡安全反擊。
4.3 網絡安全防御策略管理功能實現
網絡安全管理策略是網絡安全防御的關鍵內容,需要根據網絡安全防御的關鍵內容設置網絡訪問的黑白名單、應用封堵、流量封堵、行為審計、內容審計、策略分配等功能。
5 結束語
隨著網絡通信技術、云計算技術、移動計算技術的快速發展,網絡安全攻擊渠道逐漸呈現出多樣化、智能化等特點,并且網絡攻擊威脅潛藏的周期更長,安全威脅的感染速度更加迅速,影響網絡的正常運行。本文通過對網絡安全面臨的威脅現狀進行分析,導出了網絡安全管理系統需要實現的功能,并且對網絡安全管理系統服務器和系統架構進行了設計,描述了系統實現的核心技術,構建了一種多層次、深度安全防御體系,具有重要的作用和意義。
參考文獻
[1]王喜昌.計算機網絡管理系統及其安全技術分析[J].計算機光盤軟件與應用,2014,14(14):215-216.
[2]趙勤.使用移動存儲安全管理系統助力網絡安全[J].信息系統工程,2014, 2(2):87-87.
關鍵詞 網絡安全實驗 課程教學 實驗設計
中圖分類號:G424 文獻標識碼:A
0 引言
隨著網絡信息產業的快速發展,網絡安全成為亟需解決的問題,我院為了培養應用型本科人才,在網絡通信專業培養計劃中設置了網絡安全實驗這門選修課,因為開設時間較短,教學過程還處于探索階段。網絡安全實驗教學這門課無論在掌握計算機學科理論,還是鍛煉學生在實際工作生活中解決應用問題的能力方面,都起到了十分重要的作用。因為是實驗課程,所以在教學過程中,比較重視實踐操作過程。網絡安全實驗課程的內容比較集中在P2DR模型中說涉及的網絡安全防御、檢測、響應三大領域,以滿足在現實工作中所遇到的不同網絡安全問題。因此,本文從實驗項目的選擇,實驗平臺的建立,以及實驗教學方法等上對網絡安全實驗教學進行探索。
1 實驗平臺搭建
首先是虛擬機技術在實驗中的使用,網絡安全實驗中的實驗具有一定的破壞性,所以我們采用了虛擬機來進行實驗,在網絡安全實驗中,需要模擬網絡攻擊,使學生掌握怎樣防御的同時,也了解攻擊技術。所以在實驗中我們首先安排了Vmware虛擬機的安裝與配置。在虛擬機中我們安裝windowsserver2003服務器版操作系統,并且配置開啟相關服務。
因為硬件條件有限,所以我們的大量實驗還只能在虛擬機上進行,但為了使學生身臨其境的感受網絡安全技術,我們在綜合實訓中還是建立了基礎的網絡攻防實驗環境。
2 實驗項目設計
在我國,高校是培養網絡安全人才的核心力量。網絡攻擊與防護是網絡安全的核心內容,也是國內外各個高校信息安全相關專業的重點教學內容。所以在實驗項目設計上我們體現了實用性為主的觀念,要在實驗中更多的體現未來學生畢業后,會遇到的網絡安全問題。所以設置了以下實驗:
(1)安裝Vmware虛擬機,并配置完整的網絡環境。配置完善win2003server虛擬環境,為以后的實驗搭建平臺,習和掌握Vmware虛擬機的安裝與配置,以建立網絡攻防平臺。
(2)加密原理與技術,利用不同技術進行加密。了解和掌握各種加密方法,以實現信息加密。學習和掌握密碼技術,利用密碼技術對計算機系統的各種數據信息進行加密保護實驗,實現網絡安全中的數據信息保密。
(3)PPPoE的網絡通信原理及應用。學習和掌握基于PAP/CHAP的PPPOE的身份認證方法。學習和掌握利用身份認證技術對計算機和網絡系統的各種資源進行身份認證保護實驗,實現網絡安全中的信息鑒別。
(4)掌握Windows系統中基于PPTV VPN的功能、配置與使用操作。學習和掌握如何利用防火墻技術對網絡通信中的傳輸數據進行鑒別和控制實驗。
(5)學習掌握Windows系統中NAT防火墻的功能、配置與使用操作。學習和掌握網絡通信中的合法用戶數據信息的傳輸,以實現網絡安全中的保密性、鑒別性和完整。
(6)學習和掌握Superscan掃描工具對計算機進行端口掃描的方法,操作應用。學習和掌握各種網絡安全掃描技術和操作,并能有效運用網絡掃描工具進行網絡安全分析、有效避免網絡攻擊行為。
(7)學習和掌握如何利用Wireshark進行網絡安全監測與分析。學習各種網絡監聽技術的操作實驗,能利用網絡監聽工具進行分析、診斷、測試網絡安全性的能力。
(8)學習和掌握Snort網絡入侵監測系統的安裝、配置和操作。學習和掌握Snort入侵檢測系統的基本原理、操作與應用實驗。
3 綜合實訓
為了讓學生能適應真實的網絡環境,使之更貼近應用型人才的培養方案,最后我們設計了綜合實訓這個環節,讓學生在網絡通信系統中綜合運用各種網絡安全技術,設計一個整體的網絡安全系統。分析公司網絡需求,綜合運用網絡安全技術構建公司網絡的安全系統。通過一個實際網絡通信系統中的綜合運用,實現整體系統的有效設計和部署。
學生分組進行實訓,分為防御組與攻擊組,為了充分利用實驗資源讓防御組的同學在局域網環境下搭建服務器靶機,并讓防御組的同學配置VPN、NAT防火墻的技術并搭建SNORT入侵檢測系統。攻擊組同學操作學生終端嘗試攻擊服務器靶機,使用ARP欺騙等技術。防御組的學生使用Wireshark網絡監聽查看ARP欺騙源地址,并解決該威脅。
4 結論
隨著網絡技術的發展,網絡安全成為重中之重,為了培養本科應用型人才,實踐證明實驗必須貼近真實存在的案例才能提高學生的實際網絡攻防水平,使學生掌握網絡安全的新技術,而使用綜合實訓這種方式,更是提高了學生的參與積極性,使教學質量進一步提升。
參考文獻
[1] 常晉義.網絡安全實驗教程. 南京大學出版社,2010.12.
隨著全球信息化程度的加深,CDN已經成為互聯網上向用戶提供服務的重要系統之一,一方面由于CDN位于內容源站和終端用戶之間的特殊物理位置,能夠抵御一部分對源站的安全攻擊,從而提高源站的安全性;另外一方面,隨著CDN越來越多地服務于重要國家部門、金融機構、網絡媒體、商業大型網站,并經常承擔奧運會、國慶等重大活動,保障CDN自身的安全性、確保源站信息內容安全準確地分發給用戶也非常重要。一旦CDN出現業務中斷、數據被篡改等安全問題,可能對用戶使用互聯網服務造成大范圍嚴重影響,甚至可能影響社會穩定。
標準工作開展背景
一直以來,國際國內缺乏專門的標準明確CDN應滿足的安全要求,今年《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》在中國通信標準化協會(CCSA:ChinaCommunications StandardsAssociation)立項,“電信網安全防護標準起草組”討論了征求意見稿,相信CDN安全的標準化工作,能對促進CDN服務商規范安全地提供服務,從整體上提高CDN行業的安全防護水平提供指導。
美英等國家從20世紀70年代就開始研究等級保護、風險評估的相關內容,制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標準。隨著通信網絡在國家政治、經濟和社會發展過程中的基礎性和全局性作用與日俱增,這些發達國家越來越重視通信網絡安全,并上升到國家安全高度。我國也越來越重視網絡與信息安全保障,相繼了中辦【2003】27號《國家信息化領導小組關于加強信息安全保障工作的意見》、中辦發【2006】11號《2006―2020年國家信息化發展戰略》等文件指導基礎信息網絡和重要信息系統的安全保障體系建設。
近五年通信網絡安全防護工作取得很大成效,指導通信網絡從業務安全、網絡安全、系統安全、數據安全、設備安全、物理環境安全、管理安全等各方面加固,提高了通信網絡運行的穩定性和安全性、基礎電信運營企業安全管理的規范性,也促進了通信行業安全服務產業的快速發展。
隨著通信網絡安全防護工作逐步深入規范開展,2011年工業和信息化部組織開展了增值運營企業的安全防護試點,率先對新浪、騰訊、百度、阿里巴巴、萬網、空中信使運營管理的網絡單元進行定級備案、安全符合性評測和風險評估。
2011年,“電信網安全防護標準起草組”組織研究起草《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》等8項安全防護標準,工業和信息化部電信研究院、藍汛、網宿、清華大學、中國移動、中國電信、華為、中國互聯網協會等單位研究人員參與了標準的起草,目前這兩項標準的征求意見稿已經在CCSA討論通過。
根據《通信網絡安全防護管理辦法》,按照各通信網絡單元遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度,由低到高可劃分為一級、二級、三級、四級、五級。因此《互聯網內容分發網絡安全防護要求》明確了一級至五級CDN系統應該滿足的安全等級保護要求,級別越高,CDN需滿足的安全要求越多或越嚴格。《互聯網內容分發網絡安全防護檢測要求》明確了對CDN進行安全符合性評測的方法、內容、評價原則等,有助于深入檢查企業是否落實了安全防護要求。
CDN安全防護內容
CDN位于內容源站與終端用戶之間,主要通過內容的分布式存儲和就近服務提高內容分發的效率,改善互聯網絡的擁塞狀況,進而提升服務質量。通常CDN內部由請求路由系統、邊緣服務器、運營管理系統、監控系統組成,CDN外部與內容源站以及終端用戶相連。CDN是基于開放互聯網的重疊網,與承載網松耦合。
CDN主要是為互聯網上的各種業務應用提供內容分發服務,以顯著提高互聯網用戶的訪問速度,所以保障CDN分發的數據內容安全和CDN業務系統安全至關重要,保障CDN的基礎設施安全、管理安全,有效實施災難備份及恢復等也是CDN安全防護應該考慮的重要內容。因此CDN的安全防護可從數據內容安全、業務系統安全、基礎設施安全、管理安全、災難備份及恢復幾方面考慮。
(1)CDN數據內容安全
為保障CDN分發的數據內容安全,需要確保CDN與源站數據內容一致,并進行版權保護,記錄管理員的操作維護并定期審計,一旦發現不良信息能夠及時清除,同時提供防御來自互聯網的網絡攻擊并對源站進行保護的能力。
數據一致性:CDN企業提供對內容污染的防御能力,識別和丟棄污染的內容,保障重要數據內容的一致性和完整性;保證CDN平臺內部傳輸數據的一致性;防止分發的內容被非法引用(即防盜鏈)。
版權保護:按照源站要求提供內容鑒權、用戶鑒權、IP地址鑒權、終端鑒別以及組合鑒權等方式對源站內容進行版權保護。
安全審計:記錄管理員(含源站管理員和CDN系統內部管理員)對CDN系統的管理操作,留存日志記錄并定期審計。
不良信息清除:一旦發現CDN系統內部含不良信息,應在內容源站或主管部門要求時間內,完成全網服務器屏蔽或清除不良信息。
防攻擊和源站保護:引入CDN后不應降低內容源站的安全水平,同時CDN在一定程度上提供對內容源站的抗攻擊保護。
(2)CDN業務系統安全
為保障CDN的業務系統安全,需要從結構安全、訪問控制、入侵防范等方面進行安全保護,另外鑒于請求路由系統(即DNS系統)在CDN系統中的重要性以及目前DNS系統存在脆弱性,需要保障請求路由系統的安全。
結構安全:CDN企業在節點部署時應考慮防范安全攻擊,如為服務器單節點服務能力留出足夠的冗余度、配置實時備份節點等。
訪問控制:對管理員操作維護進行身份認證并進行最小權限分配,從IP地址等方面限制訪問。
入侵防范:關閉不必要的端口和服務,CDN能夠抵御一定的安全攻擊并快速恢復。
請求路由系統安全:部署多個內部DNS節點進行冗余備份,并對DNS進行安全配置。
(3)CDN基礎設施安全
保障CDN的基礎設施安全,可從主機安全、物理環境安全、網絡及安全設備防護等方面進行保護。
主機安全:企業對CDN的操作系統和數據庫的訪問進行訪問控制,記錄操作并定期進行安全審計;操作系統遵循最小授權原則,及時更新補丁,防止入侵;對服務器的CPU、硬盤、內存等使用情況進行監控,及時處置告警信息。
物理環境安全:機房應選擇合適的地理位置,對機房訪問應進行控制,防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護等方面均應采取一定的防護措施,并確保電力持續供應。
網絡及安全設備防護:IP承載網需要從網絡拓撲結構、網絡保護與恢復、網絡攻擊防范等方面進行保護。
(4)CDN管理安全
規范有效的管理對于保障信息系統的安全具有重要作用,可從機構、人員、制度等方面進行保障,同時應將安全管理措施貫穿系統建設、系統運維全過程。
機構:通過加強崗位設置、人員配備、授權審批、溝通合作等形成強有力的安全管理機構。
人員:在人員錄用、離崗、考核、安全意識教育和培訓、外部人員訪問等環節加強對人員的管理。
制度:對重要的安全工作制訂管理制度,確保制度貫徹執行,根據安全形勢的變化和管理需要及時修訂完善安全制度。
安全建設:在系統定級備案、方案設計、產品采購、系統研發、工程實施、測試驗收、系統交付、選擇安全服務商等環節進行安全管理,分析安全需求、落實安全措施。CDN企業在新建、改建、擴建CDN時,應當同步建設安全保障設施,并與主體工程同時驗收和投入運行。安全保障設施的新建、改建、擴建費用,需納入建設項目概算。
安全運維:在系統運行維護過程中對物理環境、介質、網絡、業務系統、安全監測、密碼、備份與恢復等加強安全管理,提高對惡意代碼防范、安全事件處置、應急預案制訂與演練的管理。
(5)災難備份及恢復
可通過配置足夠的冗余系統、設備及鏈路,備份數據,提高人員和技術支持能力、運行維護管理能力,制訂完善的災難恢復預案,提高CDN企業的抗災難和有效恢復CDN的能力。
冗余系統、設備及鏈路:運營管理系統、請求路由系統等核心系統應具備冗余能力,在多個省份備份,發生故障后能及時切換;CDN設備的處理能力應有足夠的冗余度;核心系統間的鏈路應有冗余備份。
備份數據:系統配置數據、源站托管數據等關鍵數據應定期同步備份。
人員和技術支持能力:應為用戶提供7×24小時技術支持,員工應經過培訓并通過考核才能上崗。
運行維護管理能力:運維人員應能及時發現系統異常事件,在規定事件內上報企業管理人員、客服人員,做好對客戶的解釋工作。
災難恢復預案:應根據可能發生的系統故障情況制訂詳細的災難恢復預案,組織對預案的教育、培訓和演練。
CDN標準展望
2011年制訂的CDN標準還只是一個嘗試,目前《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》僅對作為第三方對外提供互聯網內容分發服務的CDN提出安全防護要求和檢測要求,隨著后續CDN安全防護工作的深入開展、CDN面臨的安全風險不斷變化,CDN安全防護標準還會不斷修訂完善。
關鍵詞:校園網;防火墻技術;網絡安全
中圖分類號:TP309
因特網逐年普及,各類學校對于網絡的使用也更是廣泛,校園網的建設對于教育教學具有深遠意義,因而保證其信息安全尤為必要。但是,校園網絡的安全問題卻著實令人堪憂,其突出的安全問題值得研究分析。所以,基于當前現狀,在校園網絡中對其安全問題實施防火墻技術是當前最為普遍的建設性技術。保護計算機信息安全,結合當前計算機安全面臨的主要威脅,當仁不讓的核心技術就是防火墻技術,同時,對防火墻技術現狀的分析研究,對其做出未來的發展設想也是很必然的。
1 校園網絡安全
1.1 校園網絡的安全需求
校園網對于網絡安全的需求是很高的,是全面的,通常表現形式為:網絡安全隔離,網絡安全漏洞;有害信息過濾等多種多樣。校園網絡對于其網絡安全正常可靠運行的需求是很大的,總之,校園中整個網絡的全面性運行的前提是需要一套科學合理的方案做支持,方案制定之后繼而合理的實施在網絡安全上面,這對于分析和研究校園網絡的安全尤其有必要。與學校而言,制定一套安全管理方案和設備配備方案是最科學的,以此來保證校園整個網絡的全面安全可靠運行。
1.2 校園網絡面對的安全威脅
針對校園網絡的安全威脅,總結來說,包括冒充合法用戶,病毒與惡意攻擊,非授權進行信息訪問,或是干擾系統正常運行等。另一方面,對校園網絡安全性構成威脅的還有因特網自身的因素,類似網絡資源的性質,其資源信息良莠不齊,各式各樣,一旦沒有進行過濾篩選就放到網絡上,一定會造成校園網絡安全威脅,其中包含的大量流量資源,造成了網絡堵塞,緩慢不運行的上網速度,大量的非法內容出入,并且對于校園生活中的青少年的身心健康造成了極大危害。
2 防火墻技術概述
2.1 包過濾類型防火墻
防火墻技術總體來講就是一系列功能不一的軟硬件組合,其功能通常包括存取,控制等,它工作的原理就是在校園網以及因特網之間進行訪問控制策略的設置,從而決定哪些內容可被讀取,哪些內容被控制在瀏覽頁之外,如此一來,就保護了校園網絡內部非法用戶非法內容的入侵。防火墻技術的主要目的在于對數據組進行控制,只對合法的內容加以釋放,過濾掉網絡雜質。
包過濾類型的防火墻技術工作原理是直接通過轉發報文,工作領域是IP層,這是網絡的底層,在合適的位置對網絡數據進行有選擇的過濾,有一個形象的稱號稱呼這一防火墻技術即為“通信警察”。包過濾防火墻對每一個傳入保的基本信息進行瀏覽,進行過濾,一般查詢內容都包括源地址、協議狀態等,這些基本信息一般性情況下都能對其內容做出大致統籌,然后與系統源設定的信息規則進行比照,指引可行性信息,攔截網絡垃圾。
包過濾類型的防火墻其優點顯而易見,其選擇性過濾的功效著實對于校園網絡安全做出了保障,并且,這一類型的防火墻技術產品通常是廉價的,有效的,安全的,現在學校一般比較通用,這一手段的運行過程完全透明,并且其運行效率,工作性能也是很高,總體來講,就是指其性價比很是驚人。然而,其必然伴隨著不少的缺陷,尚未達到很完美的境地,類似于包過濾類型的防火墻技術不能保證絕對的安全性,對于其網絡欺騙行為不能進行徹底的制止,而且有些協議的數據包壓根不適合被過濾,譬如“RPC”、“X-WINDOW”等。
2.2 服務器類型防火墻
防火墻技術的主要特征就是在網絡周邊建立相關的監控系統,以此來保障網絡安全,達到網絡可靠運行的目的,它的工作原理是通過建立一套完整的規則和系統策略來進行網絡安全檢測,繼而改變穿過防火墻的數據流,來達到保護內部網絡安全的目的。由于校園網絡與防火墻的工作環境特別兼容,因而,學校網絡實現信息安全的一大重要保障就應當是采用實施防火墻技術。
服務器類型的防火墻就是基于服務器,服務器是一種程序,其主要形式就是客戶處理在服務器的連接請求。當服務器接收到客戶的連接意圖時,它將對此請求進行網絡核實,然后將處理完成的信息進行實質性傳遞,呈現在真實的服務器上,最后對發出請求的客戶做出應答。
基于服務器類型的防火墻,雖然其安全性能很高,但是它對于用戶而言是封閉的,不透明的,工作時有很大的工作量,對于真實服務器的要求較高,另外,服務器通常是需要身份驗證或者是注冊的,這樣一來,就必然會影響到期工作的速度。所以,針對這一缺陷,基于服務器類型的防火墻不太適合于高速下的網絡監控??傊?,防火墻對于網絡安全性是有很大的提高作用的,并不能絕對的根除網絡安全問題,除此以外,對于網絡內部自身攻擊或是病毒很難防御。要想保證網絡徹底安全,防火墻技術是核心,且需要輔以其他精準措施。
3 校園網絡安全方案及優缺點
3.1 專用的硬件防火墻設備
專用的硬件防火墻設備是以最先進的網絡技術和安全技術為基礎的,這一類型的防火墻速度極快,將校園內部網絡與外部網絡做出了極其有效的隔離。通過網絡控制,校園內部網絡被允許上網,而校園外的網絡用戶就被隔離,不能直接進行網絡訪問,當然,也會有其他的網絡瀏覽方式,類似加密然后授權等,這必然有效的保護了校園網絡的安全性。這一方案的防火墻,其特點就是基于硬件,并與路由器做“合體”技術,路由器購置中,便自動植入了防火墻設備,以此在很大程度上保證了網絡安全。但是,盡管這一設備安全,快速,但是如此專業的軟硬件一體設備,其價格自然可想而知,非常昂貴。
3.2 服務器及相關防火墻軟件
服務器及相關的防火墻軟件也能夠實現硬件防火墻的基本功能。采用“UNIX系統”以及該系統內部內核自帶的IP地址,當然也包括其中的防火墻軟件,能夠很好的實現硬件防火墻的基本功能。由于當下Windows 2000或是其他的操作系統自身存在著很多的漏洞,致使其對于IP地址的支持能力極為有限,存在著很大的局限性,對于病毒感染,或是漏洞頻出的現象不能很好的避免,所以對于這一安全方案,在服務器的選擇上盡量避免Windows 2000。服務器常年運行,若要保證校園網絡安全,其所有的出口流量等全都需要經過這一服務器,所以方案設備配置時,一個性能高的,經久耐用的專用服務器就顯得尤為重要了,以此加強其工作穩定性。這一配備的投資較為節省,而且性能很好,很大程度上保證了園網絡安全。因而,針對以上兩種方案,學校對投資校園網絡建設時,結合財力,性能,需求等多種因素進行防火墻方案選擇。
4 結束語
因特網的迅猛發展,必然伴隨著網絡攻擊手段的不斷跟進,保護其安全就顯得尤為迫切,防火墻技術已經基本能夠滿足計算機使用者對于其信息安全的需求,但是防火墻技術作為網絡信息安全的核心技術,它值得深入研究的課題以及項目還是很多,譬如如何對防火墻技術進行危險系數的評估等技術尚需得到研究開發,總之,防火墻技術為計算機尤其是校園網絡技術做出了巨大貢獻。
參考文獻:
[1]李欣.高校校園網絡安全探索[J].中國現代教育裝備,2012(10):45-46.
[2]唐震.校園網絡安全管理技術研究[J].硅谷,2013(08):33-34.
實現系統安全風險的全面識別,才能采取有效安全防范策略?;谶@種認識,本文對層次化網絡安全威脅態勢量化評估方法進行了分析,以期為關注網絡安全評估話題的人們提供參考。
【關鍵詞】
層次化網絡;安全威脅態勢;量化評估方法
引言
從服務和主機重要性角度出發對網絡安全態勢展開量化評估,將能提供直觀安全威脅態勢分析圖,從而在降低網絡安全管理人員的工作量的同時,為管理人員制定有針對性的安全策略提供科學依據。因此,相關人員還應該加強該種網絡安全威脅態勢量化評估方法的研究,以便更好的開展相關工作。
1網絡安全威脅態勢量化評估研究
所謂的網絡態勢,其實就是各種網絡裝備的運行狀況,是整個網絡當前狀態和變化趨勢。在用戶行為和網絡行為發生變化的情況下,網絡態勢則會隨之變化。而網絡安全態勢則是網絡安全狀態的變化趨勢,對其展開評估需要通過大范圍網絡監控完成大量網絡安全信息的收集。自計算機出現以來,網絡安全問題就一直存在,不僅將威脅個人權益,還將威脅國家安全。對網絡安全進行評估,則有利于加強網絡安全管理。目前,國內在網絡安全威脅態勢量化評估方面使用的指標比較片面,獲得信息的途徑也較為單一,很難滿足實際需求。在網絡空間狀態意識框架建立上,未能完成圓形系統構建,以至于較難實現有效評估網絡空間安全性的目標。得到廣泛使用的評估方法則為SSARE,可以檢測計算機攻擊狀態及呈現出的態勢[1]。而利用IDS日志庫開展取樣分析工作,則能加深對主機了解,從而完成層次化網絡安全威脅態勢量化評估體系的建立,繼而從網絡、主機和服務多方面完成評估。
2網絡安全威脅態勢量化的評估方法
2.1評估模型
按照網絡拓撲結構和規模,可以將網絡系統劃分為網絡、主機和服務三個層次,而網絡攻擊多針對主機提供的特定服務。根據這一特點,可以采取“自下而上”、“先局部后整體”和“橫向關聯”的策略開展網絡安全威脅態勢量化評估工作。采取該策略建立評估模型,可以IDS報警和漏洞掃描結果為原始數據,然后在服務層完成單次攻擊對信息安全造成的威脅的評估。通過對威脅的嚴重程度進行評估,則能夠完成量化分析。而DoS類攻擊主要會在主機層造成危害,該層別態勢由攻擊對信息和服務造成的威脅嚴重程度,需要分別結合單臺主機上攻擊路徑和給服務可用性造成的影響展開評估。完成各主機層態勢量化評估后,則可以通過計算態勢指數加權和完成網絡層態勢指數的計算。在這一過程中,需要對每個主機服務潛在的威脅展開全面分析,并對威脅攻擊的損失程度、網絡寬帶占用的數據和可能發起的攻擊次數等內容展開分析,以便完成主機系統安全性的綜合評定。
2.2定量分析
對于層次化網絡來講,網絡服務造成的威脅將成為影響網絡的重要因素。其中,威脅程度、嚴重后果和服務訪問量都會對網絡服務構成威脅。因為,受攻擊時間的影響,服務訪問量會產生一定差異性。所以在計算時,需要對時間窗口進行分析,并對具體某個時刻的服務威脅指數進行計算。在計算過程中,需完成時間段劃分。具體來講,就是將網絡時間劃分為晚上12點到8點、上午8點到6點、下午6點到晚上12點三個時間段,然后以各時間段的訪問量平均值為依據對正常訪問量向量進行賦值,即利用1、2、3、4、5分別代表超低級、低級、中級、高級、超高級這四個級別的訪問量。對原始數據進行歸一化處理后,則能夠得到正常訪問量向量值[2]。在此基礎上,需要按照攻擊事件嚴重程度開展一系列調查,以確定威脅指數的有效性,確保評估結果符合合理性標準。從有關研究來看,嚴重程度分別為1和2的分別發生100次和10次攻擊,可以獲得一致的威脅指數。所以在計算威脅指數時,應增加攻擊嚴重程度,以免威脅指數計算結果因特殊狀態而與現實之間出現偏差。
2.3參數確定
在對各層次的威脅指數進行計算時,需要對各層次的威脅程度指數、重要性權重和網絡寬帶占有率進行確定。確定威脅程度指數,可以將報警日志中的無效攻擊嘗試排除在外,從而使評估更加準確。因為,考慮無效攻擊嘗試,將導致成功攻擊次數減少,從而導致攻擊威脅指數減小。對網絡寬帶占有量進行測定,則可以為攻擊次數的威脅分析提供依據,因為有效攻擊將通過消耗網絡寬帶導致網絡拒絕服務[3]。此外,還要通過評估服務器上數據動態、量變和人為因素進行服務和主機重要性權重的確定。
3結論
使用層次化網絡安全威脅態勢量化評估方法,可以從多個層次直觀反映網絡安全威脅態勢,所以能夠幫助網絡管理人員更好掌握網絡安全動態,并制定有針對性的安全策略。
作者:李智勇 單位:吉林省人力資源和社會保障信息管理中心
參考文獻
[1]陳鋒,劉德輝,張怡,等.基于威脅傳播模型的層次化網絡安全評估方法[J].計算機研究與發展,2011,06:945~954.
【關鍵詞】校園網絡;網絡安全;防范體系
【中圖分類號】G40-057 【文獻標識碼】B 【論文編號】1009―8097(2011)11―0066-05
引言
隨著國內高校新一輪信息化建設的不斷深入,高校校園網規模越來越大,承載的應用系統越來越多,校園網絡的結構也變得越來越龐大和復雜。隨著人才培養、科學研究等各項工作對校園網的依賴性不斷增加,校園網及各類應用系統的服務質量也應不斷提高標準和要求,作為一個使用成熟技術和成熟設備的園區網絡,網絡安全是影響網絡服務質量的重要因素。
但目前各高校的校園網“重建設,輕管理”的現象仍然十分普遍。在社會信息化發展的大潮中,各高校都已清楚地認識到校園網在學校各項工作中的基礎地位,因此在校園網硬軟件系統建設上進行了大量的投入,而正是硬件和軟件系統的大規模快速增長,使得對網絡的管理難以跟上建設的步伐,而網絡管理是軟性的工作,是不能夠通過統計報表看得出問題或成績的,因此網絡管理工作很難引起學校領導的重視。但在實際工作中,相對滯后的網絡管理會導致網絡安全問題的頻頻發生,反言之,網絡安全防范也是網絡管理的重要內容。
本文根據目前高校校園網絡存在的安全隱患來分析其成因,并在實際工作經驗的基礎上提出構建一套基于分層控制的“IAAPNS”網絡安全防范體系,自底向上、由內到外、從技術到管理層面排查高校校園網絡中潛在的安全威脅并給出防護建議。
一 高校校園網絡的安全隱患及成因
目前高校校園網絡的主干網都是基于TCP/IP協議的以太網,與其他類型的Intranet網絡相比有其自身的特點,相應的安全隱患也就有其特定的成因。目前國內高校校園網絡普遍存在的安全隱患和漏洞主要來自以下幾個方面:
1 校園面積廣闊,網絡基礎設施管理困難
經過兼并和擴張,高校的校區面積動輒上千畝、幾千畝,許多高校還有地域上獨立的新老校區,作為樓宇間連線的光纖布線遍布校區各處,而且往往跟其他強電或弱電線纜共用走線溝槽。對這些光纖的管理要涉及基建、后勤等多個部門,需要協調的工作也很繁雜,如果缺少一個明確的安全管理體系,就不容易分清工作界限,在出現突發故障后往往互相推諉,導致難以在短時間內恢復網絡暢通。
另外一方面,校園內樓宇繁多,樓字里每幾層都會有樓層網絡設備間放置匯聚層或接入層網絡設備,這些設備間的數量眾多,但往往安全防范措施簡易,門鎖形同虛設,甚至有些設備間連門都沒有,極易出現人為破壞或私拉亂接網線的情況,嚴重影響網絡的運行安全。除此以外,雷擊等外界原因也容易造成對網絡設備的破壞。
2 網絡設備種類繁多,不利于統一管理
校園網的建設一般是分批建設,不同批次、不同層次的網絡設備使用的規格、品牌往往不盡相同,而這些網絡設備的管理軟件大多都是基于私有MIB庫進行開發,這就造成了很難有一套統一的全網管理軟件。病毒或黑客對網絡設備進行攻擊時,就很難在第一時間發現和應對,常常是在設備癱瘓之后才意識到出現了問題、進行緊急恢復。
3 網絡終端數量眾多,安全措施薄弱
一般高校的學生人數都是以萬計,教師以干計,密集的用戶群意味著網絡終端的數量巨大,絕大多數網絡終端以計算機為主,隨著無線的普及,智能手機和平板電腦也成為重要的網絡終端設備。數量眾多的用戶使用計算機或手機的技術水平差異很大,尤其是文科專業的師生對計算機的使用掌握得并不熟練,未裝防火墻和殺毒軟件的計算機比比皆是。而高校校園網只要一處出現漏洞,整個網絡就無安全可言。近年來智能手機上也出現了不少的病毒和木馬程序,智能手機的系統安全問題正變得日益嚴重。
4 系統軟件本身并不安全
在目前的校園網環境中,個人終端裝機占有率最高的仍然是Windows操作系統,由于使用面廣,研究其漏洞的人也就更多,不少黑客都是利用其系統漏洞侵入用戶的計算機,再以這些被控制的計算機作為跳板,攻擊整個網絡。
與個人計算機相比,服務器操作系統漏洞更具有災難性。服務器的操作系統種類較多,除Windows之外還有Linux、Solaris等Unix系列的操作系統,而高校網絡管理人才隊伍中,對此類操作系統熟悉的人員比例不高,包括打補丁、差錯、優化在內的各種操作系統管理手段很難周全到位。除了操作系統本身,其上所運行的各類服務軟件(如IIS、Tomc~等)也存在安全漏洞問題,需要管理人員投入大量的精力進行研究和學習。
5 應用系統的安全漏洞
由于建設成本的考慮,高校的網絡應用系統提供商的層次差異很大,有些就是自行組織教師或學生進行開發,缺少軟件開發過程中各個層次的安全規劃設計與實現,使得應用系統層面的漏洞層出不窮,這些漏洞很容易成為黑客攻擊最直接的目標。還有些高校在建立Web網站時使用了開源程序,這類系統的漏洞更是容易被利用,甚至不懂黑客原理的用戶經過幾分鐘的學習便可以掌握攻擊方法。
二 高校校園網絡的安全防范體系
由此可見,形成高校校園網絡安全隱患的原因是多層次的,也是相互關聯的,但目前各高校的網絡管理部門往往采用的是“頭痛醫頭、腳痛醫腳”的“救火式”解決辦法,只從某個方面或某個層次來應對。網絡管理人員每天都在疲于解決各種突發性的網絡安全事故,但問題還是與日俱增,網絡服務質量和用戶滿意度仍然處于較低的水平,這種“費力不討好”的現象迫使我們去思考更好的解決方案。
為此,針對目前高校校園網絡的安全現狀和威脅,結合實際工作經驗,我們運用系統論的分析方法,提出構建一套名為“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security,網絡安全集成關聯架構策略,同時也是體系中六個層次的英語詞組首字母組合)的網絡安全防范體系,為高校校園網絡安全提供一套完整的解決方案,以求由點到面、由“標”到“本”地系統地解決校園網絡的安全問題。該體系從六個層次和角度來闡述網絡安全的內容,并分析每個層次可能存在的隱患以及相應的應對策略,其中自底向上的五個層次分別是物理安全、網絡安全、系統安全、應用安全和信息安全,管理安全則融合、穿插于這五個層次之中。整個安全體系的示意圖如圖l所示。
該體系將現行的高校校園網絡安全性劃分為5個橫向層次和1個縱向層次,在5個橫向層次中,最底層的物理安全是基礎,網絡安全是關鍵,系統安全、應用安全、信息安全是重點,管理安全是保障。下面分別對六個層次的內容、隱患來源以及應對措施進行詳細闡述。
1 物理安全(Physical Security)
物理安全,主要工作是防止物理通路的損壞、竊聽和對物理通路的攻擊(干擾等)。保證高校校園網絡和信息系統各種設備的物理安全是網絡整體安全的前提,通常包括環境安全(系統所在環境的安全保護)、設備安全和媒體安全三個部分??垢蓴_、防竊聽是物理安全措施制定的重點。目前,物理實體的安全管理已有大量標準和規范,如GB9361-88《計算機場地安全要求》、GFB2887-88《計算機場地技術條件》、GB50173-93《電子計算機機房設計規范》等。
這一層次的安全威脅主要包括自然威脅和人為破壞等方面。自然威脅可能來自于各種自然災害、惡劣的場地環境、電磁輻射和干擾、網絡設備的自然老化等。這些無目的離散事件有時會直接或間接地威脅網絡的安全,影響信息的存儲和交換。人為破壞則主要來自于高校校園網周邊內外的人為性的損壞,這些損壞有時是主觀故意的(如學生發泄對網絡服務質量的不滿而對網絡設備或線路進行故意損壞),有時是客觀意外的(如園區周邊建筑施工導致挖斷網絡線路)。
面對以上威脅,為保證網絡的正常運行,在物理安全層次上應重點考慮兩個方面:
(1)校園網規劃、設計、建設時將物理安全作為重點工作對待,適當提高安全標準,為網絡設備或線路搭建防護設施、建立安全控制區域,盡量降低自然威脅可能帶來的風險。
(2)加強巡查,將重點網絡設備或線路所在地定為安全巡邏必到點,定期安排保衛人員在巡邏時查看網絡設備或線路的外觀和運行狀態(如各種狀態指示燈是否正常等),降低人為破壞的幾率。
2 網絡安全(Network Security)
網絡安全主要包括鏈路安全、傳輸安全和網絡訪問安全三個部分。鏈路安全需要保證通過網絡鏈路傳送的數據不被竊聽,主要針對共用信道的傳輸安全;傳輸安全需要保證信息的完整性、機密性、不可抵賴性和可用性等;網絡訪問安全需要保證網絡架構、網絡訪問控制、漏洞掃描、網絡監控與入侵檢測等。
這一層次的安全威脅主要包括:
(1)通信鏈路上的竊聽、篡改、重放、流量分析等攻擊。
(2)網絡架構設計問題、錯誤的路由配置、網絡設備與主機的漏洞、病毒等。
相應地應對措施主要有:
(1)在局域網內可以采用劃分VLAN(虛擬局域網)來對物理和邏輯網段進行有效的分割和隔離,消除不同安全級別邏輯網段間的竊聽可能;若是遠程網,可以采用鏈路加密等手段。
(2)加強網絡邊界的訪問控制。對于有明顯安全等級差別的網絡區域盡量增加防火墻設備進行隔離。如在校園內網、服務器區域之間設置防火墻;校園網出口處、與Intemet之間設置防火墻。
(3)在交換機上啟用DHCP-Snooping技術,使任何接入校園網的計算機只能動態獲得IP地址,同時杜絕未經批準建立的網站通過私自手工設置靜態IP地址來架設服務器。
(4)使用IDS(入侵檢測系統)。入侵檢測系統是近年出現的新型網絡安全技術,目的是提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊,其次它能夠阻止攻擊者的入侵。當檢測到有網絡攻擊或入侵時,可以實時發出報警,并詳細保存相關證據,以便用于追查或系統恢復。
(5)對網絡安全進行定期檢測,以實現安全的持續性??梢岳寐┒磼呙桀惖墓ぞ哕浖ㄆ趯ο到y進行掃描,根據掃描結果進行安全性評估,通過評估報告指出系統存在的安全漏洞,組織專家討論后給出補救措施和安全策略。
(6)建立網絡防病毒系統。在校園網中部署網絡版的防病毒系統,統一管理服務器和各類網絡終端的防毒軟件,定時自動升級與維護,以保護全網不被病毒侵害。通過對網絡中的病毒掃描集中控制,建立各種定時任務,統一集中觸發,然后由各被管理機器運行,同時可對日志文件的各種格式進行控制。在管理服務器上建立了集中的病毒分發報告、各被管機器的病毒掃描報告、所安裝軟件的版本等報告,所有病毒掃描狀態信息都可由控制臺得到。
3 系統安全(System Security)
系統安全即運行在網絡上的服務器、交換機、路由器、客戶端主機等具有完整網絡操作系統的設備的操作系統的安全。這一層次的安全威脅主要來自因操作系統本身的設計缺陷被攻擊者利用從而引發的后果。對于高校校園網絡而言,半數以上的攻擊往往屬于這一層次。這一層次的主要應對措施主要有:
(1)更新操作系統、安裝補丁程序。任何操作系統都有漏洞,因此,系統管理員的主要工作內容之一就是監控運行在網絡上的各類設備的狀態,發現異常應當及時解決、排除故障。對于交換機、路由器等設備而言,主要是更新操作系統的版本,這一類設備主要用于數據交換,因此其內置固化的操作系統往往功能簡單、體積很小,廠商的常規做法是新版本的系統,因此只需直接刷新即可。對于服務器、客戶端主機等設備,因其主要是用于數據處理,操作系統功能復雜、體積龐大,廠商通常是一些補丁程序來進行更新,因此直接安裝即可。
(2)優化系統。現代操作系統往往是多功能、多模塊、多組件的,可能一項系統設置可能會影響多個功能,也可能多個選項來共同作用于一個功能。因此,對操作系統進行優化是一項非常必要的工作,甚至個別系統的個別選項如果不加以優化可能會被攻擊者利用,從而產生威脅。實際當中包括關閉不需要的服務和端口并建立監測日志等。
(3)實行“最小授權”原則,分配正確和合適的權限。僅僅保持系統的版本最新、并做了優化是不夠的,試想如果網絡上的設備被設置了“123456”這樣的密碼,而且使用這個密碼登錄后還是最高權限的系統用戶帳號,那么整套網絡和信息系統的危險可想而知。實行“最小授權”原則(網絡中的帳號設置、服務配置、主機間信任關系配置等為網絡正常運行所需的最小限度),關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統的危險大大降低。例如,根據需要設置帳號和權限,并為帳號設置強密碼策略是必須完成的工作,如至少應該在8位以上,而且不要設置成容易猜測的密碼,并強制用戶每個月更改一次密碼等等。
(4)及時查殺服務器系統中的病毒、木馬和后門程序。
4 應用安全(Application Security)
應用安全主要是針對網絡中提供的各種功能和服務而提出的,例如Web服務:E-Mail服務、數據庫服務、各種業務系統、各種信息系統等等。應用安全的威脅主要有:應用系統缺陷、非法入侵等。這一層次的主要應對措施有:
(1)及時升級和更新各應用軟件和信息系統,降低因軟件設計缺陷引起的風險。若應用軟件或業務系統是高校自行開發,系統的使用部門(往往是業務部門)應聯系開發人員及時跟進,發現漏洞及時修補。
(2)對應用軟件和信息系統實行身份認證和安全審計。
與系統安全類似,應用軟件和信息系統也應對使用者進行分類、分配權限、認證身份并審計各種操作。例如可以按照需要在高校校園網內部建立基于PKI的身份認證體系(有條件還可以建立基于PMI的授權管理體系),實現增強型身份認證,并為實現內容完整性和不可抵賴性提供支持。在身份認證機制上還可以考慮采用IC卡、USB-Key、一次性口令、指紋識別器、虹膜識別器等輔助硬件實現雙因子或多因子的身份認證功能。同時,還應特別注意對移動用戶撥入的身份認證和授權訪問控制。
5 信息安全(Information Security)
信息安全注重的是網絡上各類數據、信息的內容安全。這一層次可能的威脅和相應的應對措施有:
(1)植入惡意代碼或其他有害信息。一部分攻擊者經常采用的攻擊方法是掃描網段找到有漏洞的主機,接著使用黑客軟件或攻擊程序進行刺探,在獲得系統權限后將惡意代碼植入到在該主機上運行的各應用軟件或信息系統中,待其他用戶正常使用時發作,或修改頁面的內容造成不良影響。針對這種情況,可以部署網頁防篡改系統,減少Web站點的內容被惡意更改植入惡意代碼或其他有害信息。
(2)垃圾郵件和病毒的傳播。目前,電子郵件已經成為垃圾信息和病毒的主要傳播途徑之一,采用垃圾郵件網關并部署電子郵件反病毒模塊能夠在一定程度上減輕危害,缺點是垃圾郵件識別模塊和反病毒模塊需要經常性升級,在查殺和攔截上有一定的滯后性。
(3)負面輿論導向。高校歷來是思想碰撞的場所,網絡作為新興載體己經發揮著越來越大的作用,因此,輿情監督和正面輿論導向將逐漸成為高校信息安全的重點工作內容。除了采取技術手段進行監督管理外,高校的信息化管理部門還應與宣傳部門一道培養輿論導向的專業人員或學生,主動將信息安全的風險降到最低。
6 管理安全(Administration Security)
目前,部分高校的網絡管理人員及其用戶的安全意識總的來說較為淡薄,且大多數高校的網絡管理制度不完善、管理技術落后、管理機構不健全。上述因素不僅使得校園網絡性能下降、運行成本提高,而且還會造成大量非正常訪問,導致整個網絡資源浪費,帶來極大的安全隱患,使得網絡受到攻擊的概率大幅提高。
管理安全是整個防范體系的主線和基礎,貫穿于整個體系的始終。如果僅有安全技術方面的防范,而無配套的安全管理體系,也難以保障網絡安全的。必須制訂相應的安全管理制度,對安全技術的實施落實到具體的執行者和執行程度。
網絡安全工作可以說是一項群體性的工作,網絡用戶的安全意識是網絡安全的決定因素,對校園網絡用戶安全意識的教育是安全防范體系中至關重要的環節,是形成高校校園網絡安全體系的基礎。尤其是在病毒泛濫的大環境下,需要通過定期培訓、及時通過各種手段病毒預警通知、監督和促使用戶盡快打補丁等方法,達到增強師生用戶的安全意識,提高必要的安全防范技能的目的。
以上便是我們提出的網絡安全防護體系的六個層次,除管理安全層次外,其余五層與TCP/IP協議的層次類似,上一層的安全是建立在其下一層的安全基礎之上,下一層的安全是上一層安全的重要保障,層次之間環環相扣,不留安全死角。
本體系中的六個層次也基本涵蓋了高校網絡管理工作的方方面面,將網絡安全工作的思路分層次清晰化,具有極強的實用價值和指導作用。
三 應用效果
重慶理工大學從2001年開始大規模建設校園網絡,2003年開始建設數字化校園系統。校園網按照核心層、匯聚層和接入層三個層次進行規劃設計,共有各類網絡設備600多臺,接入信息點18000個,活躍用戶大約2萬人,各類服務器40多臺,安裝有Windows、Linux和Solaris等操作系統,數據庫以Oracle和SQL Server為主。數字化校園系統覆蓋辦公、教務、學工、人事、財務、后勤等各個方面的工作,共計有各類系統模塊80余個。在大規模的硬件和軟件系統建設前期,缺乏對網絡安全的系統認識,在遭遇網絡安全事故時,常常只能采取臨時性的應對措施。隨著網絡和系統規模的不斷擴大,網絡安全已經成為影響網絡服務質量的重要根源,網絡信息中心的員工幾乎天天都在疲于應對各類突發性的網絡安全事件。
學校從2008年開始總結網絡安全工作的經驗與教訓,運用系統工程的分析方法,從整體和系統的角度提出網絡安全防范方案,形成了“IAAPNS”網絡安全防范體系,并應用到校園網的建設與維護工作中,經過三年多的運行,學校校園網絡安全工作進得了明顯的成績(如圖2所示):
對網絡設備攻擊(包括病毒)而導致網絡故障的次數由2008年的334次降到2010年的65次,2011年上半年為19次;利用操作系統漏洞(包括Web服務器漏洞)攻擊成功次數由2008年的46次降到2010年的6次,2011年上半年為2次;利用應用軟件的安全漏洞攻擊成功次數由2008年的125次降到2010年的43次,2011年上半年為15次。
隨著網絡安全防范工作的加強,網絡服務質量明顯提升,如圖3所示,用戶滿意度從2008年61%提升到2010年的73%,2011年上半年為78%。
一、從網絡用戶增長看待網絡安全的意義
據統計,截止2014年,我國網絡用戶總規模達到了6.49億,互聯網普及率達到了47.9%,相比2005年,十年間,普及率上漲了五倍。通過增長曲線可以看出,互聯網技術和信息技術的發展帶動了我國網絡使用率的增長。同時移動互聯網的使用量已經超過了傳統互聯網,使用人數達到了5.57億,占據整體網絡使用的85.8%,這說明隨著互聯網的使用場景的轉變,帶來了人們生活習慣的改變。碎片化的時間管理和信息獲取已經逐漸成為了人們生活的常態。而通過每周上網時間的統計,可以發現平均周上網時長大約在26小時左右,也就是說互聯網也成為了人們主要的娛樂方式和休閑方式。與此同時中國的網站數量達到了335萬個,網絡資源十分豐富。
正是由于規模大、使用人數多、普及率高和應用廣泛,網絡安全尤其引起廣大網民的重視。在隨著互聯網經濟的發展和移動支付的普及率增高之后,網絡安全的意義就不再只停留于網絡使用層面,更加上升到個人隱私和經濟安全層面,一旦網絡安全無法得到保障,其造成的后果不堪設想。因此,構建網絡安全的意義和價值除了是時展的需要之外,更是現實的需要。在構建網絡安全當中,需要時刻考慮網絡安全的保密、完整、可控、可用、可審查的特性,通過技術手段,從根本上避免網絡安全遭受侵害,從而使因網絡安全威脅所造成的損失降到最低。
二、信息技術發展中網絡安全受到的威脅和挑戰
想要構建起網絡安全的管理和維護,就首先需要了解信息技術發展的過程中容易對網絡安全造成威脅和挑戰的來源。
(一)互聯網隱私泄露
在互聯網使用的過程當中,因互聯網使用過程中的緩存和歷史記錄,都會留下使用痕跡,而這些痕跡所帶有的隱私內容可以被別有用心者通過系統裝入的cookies進行竊取。例如互聯網使用過程中用戶通過航空公司的官網訂購機票,其填寫的密碼和個人信息都會留下痕跡,如果沒有及時進行處理,很有可能會被竊取,從而造成隱私的泄露。
(二)黑客惡意攻擊
黑客是指一些利用網絡技術在不暴露自己身份的情況下供給計算機或者服務器的人,他們具有非常高端的計算機技術,熟悉編程,能夠搜集網絡信息、同時探測到網絡漏洞并將漏洞加以利用,通過模擬環境的建立進行模擬攻擊。在面對網絡犯罪尚缺乏針對性的反擊和跟蹤手段時,黑客們的隱蔽性非常強,同時也具有極高的“殺傷力”,同樣對網絡安全構成威脅。
(三)軟件設計漏洞和惡意陷阱
隨著發展,軟件設計和軟件系統的規模也在逐漸擴大,隨著新的軟件不斷產生,系統當中的安全漏洞和軟件設計漏洞對網絡安全造成的威脅也就隨之增大。在操作系統當中無論是Windows還是UNIX都或多或少地存在系統漏洞,而各類服務器、瀏覽器、桌面軟件其中的安全隱患也時有發現。面對這些漏洞,一些釣魚攻擊可以通過各種渠道實現傳播和對網絡用戶進行攻擊。例如前不久發生的wannacry勒索病毒的爆發,就是利用網絡渠道實現釣魚攻擊,致使全球20萬臺電腦遭受到嚴重損害。病毒利用對用戶電腦的控制提出勒索贖金的要求,在未能收到贖金時,病毒便會將用戶電腦所有文件進行刪除。在網絡安全影響的諸多因素當中,網絡病毒對網絡的侵害力度最大,影響也最為廣泛。而想要終止病毒傳播只能通過病毒制造者提供源代碼來完成。
三、計算機信息管理技術在網絡安全維護中存在的問題
在面對網絡安全受到多方面的威脅時,計算機信息管理技術是維護網絡安全的一道重要屏障。然而在現實情況當中,計算機信息管理技術卻并沒有發揮出其應該具有的效力。其主要原因很存在問題有以下幾個方面。
(一)安全監測功能缺乏實效
計算機信息管理技術最主要的技術在于對外來信息的內容進行檢測和安全分析,從而從源頭防止惡意攻擊對網絡安全造成影響,同時通過有效檢測手段可以做到實時發現網絡應用的過程中存在不安定和隱患因素,及時采取補救措施加以解決。然而,隨著網絡環境的發展,環境當中不安全因素逐漸增多,同時變得更加復雜,計算機信息管理技術如果不能夠進行及時更新,就會造成檢測手段無法適應發展而相對落后,對某些突發狀況、新型安全問題無法起到檢測作用,從而無法完成檢測的效用,無法從根源上防止網絡安全遭受侵害,而通過檢測來實現的網絡安全維護也不再具有意義。
(二)無法對網絡訪問進行控制
在過往的計算機信息管理技術當中,除了對外來信息內容進行檢測的手段之外,還有一種通過限制訪問權限和訪問量的方法來實現網絡安全維護。這種“一刀切”的做法在現實運行過程當中并沒有起到網絡安全維護的效用,很多訪問限制缺乏針對性,對正常訪問造成不必要的麻煩和影響,而部分情況下設置失誤除了增加訪問程序的繁瑣性之外,并沒有對網絡安全威脅起到限制作用,得不償失。
(三)缺乏應變能力
計算機信息管理技術對于網絡病毒的防范方法是通過病毒數據庫的建立,再將疑似網絡病毒的信息內容與已知病毒庫數據中相似病毒進行比較,以此來判斷信息內容的安全性。而數據庫的建立則是對已知病毒源代碼進行搜集。一旦病毒數據庫的建立過程中存在缺乏實效、技術處理能力不足以及應變能力差等現象,在應用的過程中就無法完成病毒信息內容的比對,無法做到對網絡安全進行維護?,F階段一般的計算機信息管理技術中管理方法還停留在一些常規性問題的處理,對突發問題尚缺乏完善的處理方案實施,是計算機信息管理技術應用于網絡安全時存在的重大問題。
四、計算機信息管理實現網絡安全維護的應用
面對在網絡安全中計算機信息管理技術存在的諸多問題,筆者認為可以從以下幾個方面進行處理。
(一)風險評估優先進行,加強網絡管理
網絡安全的維護實現需要計算機信息管理技術擁有完善的評估機制,通過機制運行,對網絡安全問題分時段進行評估,充分實現在網絡安全問題發生前、發生過程中、發生之后對其原因、傳播途徑、安全影響即處理效果等方面進行全面的評價和分析,從而實現網絡管理的加強化。在今后的網絡安全維護過程中,一旦出現了類似的安全問題,計算機風險評估系統可以率先啟動,根據事例對比、造成危害和危害發展趨勢分析,給出相應的處理手段和決策參考,同時對危險種類進行評級劃分,做好報警,幫助管理者追蹤至威脅目標所在地。在平時,風險評估還能夠對過往威脅處理的過程內容及時進行反饋,在保障網絡運行的基礎上做出根據實際情況的安全設施調整,防患于未然。
(二)網絡犯罪審查和凈網聯盟建立
國家和各級政府需要認識到影響網絡安全所帶來的危害,并對惡意攻擊網絡的行為嚴肅對待??梢灾贫ㄏ嚓P的法律法規,來明確網絡危害責任,以及危害網絡安全所要承擔的后果;此外還可以在各個地區有組織地建立起諸如“反黑客聯盟”、“網絡安全公益聯盟”、“反病毒聯盟”等公益性的社團組織,用于宣傳網絡安全,防止網絡侵害。面對社會公眾,要開展積極的網絡公益安全教育,使廣大的網絡用戶樹立起網絡安全相關意識,并敦促他們在網絡使用過程中時刻謹記網絡安全的相關規則,不訪問陌生網站、不打開陌生郵件等。在聯盟中還應該開展惡意代碼樣本、惡意程序的傳播鏈接內容的分享,利用聯盟內或者聯盟之間的交流共享,依靠互聯網行業的自律體制和監督體制,推動防治、治理互聯網病毒工作的發展,凈化網絡空間,維護公共互聯網安全。
(三)加強技術研發水平
計算機信息管理技術的運行機制的建立和發展需要依托于科學技術研發和實踐,面對日益復雜的網絡環境,科技水平需要不斷更新,研發方向需要面向最新情況和未來發展。一個依托于科技水平進步網絡安全運行機制需要構建網絡安全信息管理系統,創造完善的信息技術模型,從而實現網絡系統的安全。在目前市場當中已經出現了專業企業和廠家在網絡安全技術研發方面所生產的相應產品,并在保障網絡安全方面得到了國家的認可。同時計算機信息管理技術最主要的面向在于信息控制,通過技術實現信息內容的區分和限定,是未來計算機信息管理技術應用于網絡安全維護的主要發展道路。
(四)確立網絡審計等相關制度
為了保障網絡環境的純凈和安全,網絡審計也需要加入到計算機信息管理技術當中。通過互聯網使用者在網絡使用過程中的使用信息記錄,依照實際情況進行審查和管理,這對于網絡管理者和使用者來說有著更高的要求。通過網絡審計,可以對網絡當中存在的潛在危險者和攻擊者進行及時發現,并對網絡安全問題進行追蹤,查找出危險源,做到根本性的維護。此外,還應該加強網絡入侵的檢測系統構建和使用,將其作為計算機信息管理技術當中最為重要的技術之一進行研發和發展。通過系統檢測和數據統計為網絡安全問題提供可供參考的資料。
五、結論
綜上所述,在網絡使用頻率和網絡覆蓋范圍逐漸擴大的今天,網絡安全所存在的隱患和威脅也始終困擾著網絡使用者和網絡工作者。面對多種多樣的網絡病毒、黑客入侵以及系統漏洞,如何利用計算機信息管理技術將危險和損失降到最低,是每一個網絡工作者所必須面對的。隨著科技的不斷進步,計算機信息管理技術也將不斷完善,通過技術手段可以實現網絡安全的維護。
參考文獻:
[1]楊曙光.計算機信息管理技術在網絡安全中的應用[J].網絡安全技術與應用,2015,(4).
[2]葛曉凡.計算機信息管理技術在網絡安全中的應用[J].數字技術與應用,2015,(5).
[3]侯英杰.計算機信息管理技術在網絡安全中的應用分析[J].中國新通信,2016,(1).
[4]趙志鵬.淺論計算機信息管理技術在網絡安全中的應用[J].電子世界,2016,(7).