前言:中文期刊网精心挑选了网络安全应对策略范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全应对策略范文1
引言
云计算是由谷歌公司以及IBM公司在校园内部进行推广,主要功能是通过网络来进行大规模的数据计算以及研究。当云计算被广泛应用之后,大量的IT企业注重对云计算的开发与研究。当前云计算已经在IT行业广泛推广并且大量使用,其中云计算的使用方法是将互联网技术与远程服务器结合来对计算机当中其他的应用程序或者数据进行一定的维护,从而降低系统维护或者软件硬件购置的成本。
1云计算的部署模式与服务模式
云计算包含四中部署模式,分别为:公有云、私有云、混合云与社区云。其中,公有云的使用最为广泛,例如网络的应用,将简单基础的服务通过网络提供给公共用户,由大众公用的机构进行建设与日常维护和管理,用户可以直接通过网络获取信息。私有云的使用则是针对某一私人企业或者机构提供服务,企业或者机构在使用私有云之后,非相关人员无法从中获取资源,私有云的服务器需要企业或者机构自行进行建设、管理与维护。混合云则是通过将多种云计算的特点以及优势进行混合,在使用的过程中可以集合混合云计算的优点进行使用。社区云则更倾向于社区管理,通过对应的企业或者有关机构进行承担成本,在所属的社区内进行共享。云计算的服务模式是由软件即服务(SaaS)、平台即服务(PaaS)与基础设施即服务(LaaS)三类组成。软件即服务是供应商通过云计算来向用户提供相关的软件服务模式,在服务的过程中用户不需要再次购买相关软件。平台即服务则是为用户提供计算环境或者开发环境的平台服务。供应商通过云计算将自我开发的系统环境或者系统的开发环境提供给用户,当用户在进行系统或软件开发时不必再次购买服务器。而基础设施即服务则是为用户提供储存工具、计算机硬件等设施。
2云计算的网络风险
2.1拒绝服务攻击
当服务器出现停止服务甚至主机死机的情况时,很有可能是由于攻击者对服务器发送了拒绝服务指令。当服务器频繁接受到攻击者的访问请求时,会造成网络消耗过大,并导致服务器内部的缓冲空间不足。
2.2端口扫描
端口扫描是网络攻击者最常用的攻击服务器方式,通过服务器当中持续开放的端口应用,对端口传输与收入的消息进行扫描,并通过反馈的信息来寻找服务器当中的弱点,进行网络攻击。
2.3网络嗅探
网络嗅探本身是网络管理人员对网络服务器进行维护、管理与监测网络性能的一种管理型工具。但是,网络攻击者可以使用网络嗅探对服务器进行网络攻击,造成网络服务器崩坏。
2.4SQL注入
网络攻击者通过分析网络服务器中的SQL网络安全漏洞,通过SQL注入的方式对网络服务器进行攻击。攻击者为了获得网络服务器的访问权,向网络表格输入框中输入SQL代码,从而操作Web界面的网站使网络服务器的数据库运行错误代码,从而获取攻击者所需要的信息。
2.5中间人攻击
中间人攻击是将正常的网络通信数据进行拦截,然后对拦截的数据进行篡改或窃取,但是通信的双方无法发现网络信息已经被网络攻击者窃取,是一种隐秘的网络攻击手段。
2.6跨站脚本攻击
当网站出现漏洞时,网络攻击者可以通过跨站脚本攻击的方式对网络漏洞进行利用,在用户浏览网页的过程中,通过篡改或者在网页链接中输入非法代码,将网路用户定向到其他非法页面当中,从而窃取网络用户的信息或者个人资料。
3云计算的安全风险
3.1可扩展标记语言签名包装
可扩展标记语言(XML)签名包装,是一种攻击漏洞,属于Web服务器,XML签名包装的原本功能是防止服务器的组件名或者属性遭受非法访问,但是由于本身性质特殊,在公文当中无法隐藏自身文职,导致网络攻击者可以通过简单对象访问协议(SOAP)中携带的内容对服务器中的组件进行攻击。
3.2云恶意软件注入攻击
当应用程序或者虚拟机遭受了云恶意软件注入而被破坏时,攻击者可以通过恶意软件强行生成服务命令,并将其放入到云架构当中。当云架构当中进入了恶意软件时,攻击者所使用的恶意软件就成为了系统当中的合法软件,当攻击者通过恶意软件对云架构进行攻击或者上传病毒时,云构架也会认为是合法服务,从而对云架构造成威胁。当用户察觉之后向恶意软件发送删除或者其他服务请求时,云平台会将病毒通过互联网传输给用户,将用户的计算机客户端破坏。
3.3洪流攻击
云平台系统使用最大的优势就是可以为用户提供大量的资源,用户在进行访问的过程中,云平台的规模也会随访问量增大,通过产生新的服务模式来满足客户所需要的服务需求。当攻击者对云平台系统进行攻击时,会向云平台的中央服务器发送大量的无意义服务请求,当云平台服务器接受了大量服务请求之后,会由于资源使用过量导致不能对正常用户提供服务。
3.4浏览器安全性
当用户采用Web浏览器向云端服务器发送服务请求的过程中,服务器需要通过SSL加密授权来对用户的身份进行验证,由于SSL可以通过点对点来进行通信,当用户在发送服务请求的过程中存在第三者时,可以通过窃取用户在云端服务器中的信息,从而使用该数据信息的用户成为合法用户。
3.5数据保护与删除
由于云计算当中的最重要的安全问题就是对云计算当中用户的数据信息进行保护。由于用户的个人信息或者数据通常是保存在网络云盘当中,管理人员在对网络云盘进行日常的维护过程中极易造成用户信息泄露从而造成损失。当用户在使用云计算之后需要对自身资料进行删除时很可能出现删除不彻底的情况,可能造成个人信息或者数据泄露。
4云计算网络安全威胁的应对措施
4.1恶意软件注入与洪流攻击问题
当云计算服务遭到恶意软件注入之后,由于当前技术没有有效的防御对策,只能通过用户对计算机接受到的信息真实性进行认真审查,及时发现并处理疑似恶意软件,避免攻击者对云计算进行攻击。当发生攻击者对云端服务器进行洪流攻击时,可以通过入侵监测系统过滤恶意请求,再启动防火墙防御攻击者的洪流攻击,从而保护云计算服务。
4.2XML签名包装与浏览器安全性问题
当云计算服务出现XML签名包装问题时,可以通过带有第三方授权的数字安全证书来拒绝带有恶意客户端的信息,从而保证云计算的安全。而关于浏览器的安全性问题同样可以借助第三方授权的数字安全证书来解决,由于有第三方数字安全证书的支持,XML在经过SOAP多次加密之后可以自行解决有关浏览器安全性的问题。
4.3数据存储与删除失败问题
通过加强管理人员综合素质与相关管理制度来解决与数据储存有关的安全问题是不够的。应当在日常的管理维护当中,采用加密技术对云计算用户的信息数据进行加密处理,避免数据被网络攻击者窃取,在用户个人信息无法被查看之后避免了工作人员“监守自盗”的情况。在对用户信息进行保存的过程中,需要采用私有网络进行虚拟化的保存,当数据被用户自己删除之后,需要通过特殊的查询工具来检查用户信息是否被彻底删除。当数据设备存在丢失风险的时候,用户需要通过改变管理工具,尽量采用以应用程序为主的相关服务,避免云计算服务器出现系统崩溃时对自身造成过大的损失。
5结束语
网络安全应对策略范文2
关键词: 计算机网络安全;攻击;安全策略
0 前言
截至2012年6月我国互联网网民数量已达5.38亿,2011年我国互联网产业产值高达2660亿元,可见互联已经深入到国民生活和国家社会的每一个领域。随着互联网的发展网络安全问题日益凸显,成为制约网络发展,威胁社会公共安全和私人财产安全的重大问题亟待解决。网络安全是指网络系统的硬件、软件及其中数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,保证系统连续可靠地运行,网络服务不中断的措施。目前网络安全面临的问题可以分成四个方面:管理制度问题、网络结构问题、黑客攻击问题和计算机病毒问题。本文分两部分阐述:第一部分,目前网络面临的问题及相应对策;第二部分,对网络安全问题及应对策略的总结和展望。
1 管理制度
管理制度造成的网络安全问题可以分为两种:人为有意泄密和管理漏洞泄密。主要需要加强对工作的制度培训和技能培训。
1)对网络中心机房硬件设施的保护。非机房工作人员不可轻易进入机房,注意机房的防火放水和防静电问题。
2)对移动存储设备的管控。U盘、光盘和移动硬盘等移动存储设备方便数据的移动,但不便于管理,删除的信息可由专业人员恢复因此应加强对移动存储设备的管控。
3)口令管理。管理人员的口令应定时更换不可使用有规律、有意义、易猜测的口令。
4)机密数据加密处理。目前常见的加密方式有两种:对称加密技术和非对称加密技术。对称机密技术是指加密密钥和解密密钥是相同的,算法简单速度快,但安全性相对较低;非对称加密技术的加密和解密密钥成对出现并不相同,算法复杂,但较适合网络传输使用。
威胁网络安全的事件多由内部人员有意行为或管理制度不完善造成,因此应加强内部的管理培训和工作人员的技能培训,降低网络运行风险。
2 网络结构
网络本身是一个开放性的平台,因此其本身存在一定的安全隐患。互联网信息在网络上公开传输,极易窃取,对于敏感数据需要进行加密处理。
网络协议本身同样存在安全漏洞。TCP/IP协议是IPv4版本网络的网络协议的基础。TCP/IP协议在诸多协议层存在着安全漏洞。在数据链路层CSMA/CD协议忽略不属于自己的数据帧,因此对数据帧做设置修改,可以使以太网接口接收不属于它的数据帧。可通过网络分段、利用交换器,动态集线器和桥等设备对数据流进行限制、加密(采用一次性口令技术)和禁用杂错接点等方式解决该漏洞。ARP协议工作在将目的IP地址转换成目的MAC地址的过程。当主机的IP地址映像到另一主机的ARP高速缓存中后,它就会被当作是可信任的计算机。该主机并不检验IP地址到MAC地址对应表真实性,因此大多数主机保存了映射但不检查其真实性、有效性,也不维护一致性,因此以ARP协议可能把几个IP地址映射到同一物理地址上,这就是ARP协议的安全隐患。可通过使用静态IP-MAC解析机制,ARP服务或使用高层交互方式解决该漏洞。
系统软件存在后门。软件提供商在提供的软件中经常留有后门,这些后门可能被黑客利用攻击系统,因此要经常更新系统中的软件、修补漏洞。
3 黑客攻击
3.1 黑客攻击的主要方法和技术
黑客攻击的基本过程可以大致分成:踩点,扫描,差点,成功访问,特权提升,偷窃,掩踪灭迹,创建后门和拒绝服务攻击等。如图1所示。
黑客进行踩点是进行攻击的第一步,目标地址范围的确定、名字空间查询和信息攫取是核心任务其关键在于漏掉任何细节。进行踩点的主要技术有:打开源查询、DNS区域传送和whois等。主要使用的工具有:USENet、搜索引擎和Edgar等。
进行踩点后开始扫描,目的是对目标系统所提供的监听服务评估、分析和确定,使攻击者将注意力集中在最有希望的途径上。此时使用的主要技术有Ping sweep,OS检测和TCP/UDP端口扫描等,使用的主要工具有fping,icmpenum,WS_Ping ProPack,fscan等。
从系统中抽取有效账号或导出资源名的过程称为查点。查点的方法有很多比如列出用户账号,列出共享文件和确定各种应用等。主要查点方式有“空会话”、NAT、NetBIOS线缆等。
当经过以上三步获得了足够的数据后,攻击者开始尝试访问目标,即攻击的第四步成功访问。在次阶段攻击住主要使用的手段有密码窃听,共享文件的蛮力攻击,攫取密码文件和缓冲区溢出等;可以使用的攻击有tcpdump,LOptcrack readsmb和frtp等。
如果上述步骤只获得了用户级的访问权限,攻击者就回寻求对系统的完全控制,即特权提升。进行特权提升主要的方法有密码破解、利用已知漏洞或脆弱点;可以利用的工具有john,lc_messages和sechole等。
偷窃,在此进行信息攫取以确定可信系统的入侵机制和途径。主要使用的方法有搜索明文密码;主要使用的信息有用户数据,配置文件和注册表等。
当目标系统已经全部控制之后,为了防止系统管理员发觉便应该进行掩踪灭迹。可以借助rootkits,zap等工具进行清除日志记录等操作来消除操作痕迹。
在系统的不同部分均布置陷阱和后门,方便攻击者需要时可以容易的获得攻击对象的特权访问权限。创建系统后门的方法很多如创建“无赖”账号,安排批处理作业,感染初启文件,安装监控机制和植置远程控制服务等,主要手段和使用攻击有remote.exe,VNC和BO2K等。
如果攻击着侵入不成功,那么攻击者可能会使用漏洞代码来使目标系统瘫痪这就是拒绝服务攻击。拒绝服务攻击主要应用的发放和技术有SYN flood,ICMP技术,同一Src/dst SYN请求和bugs。
3.2 应对黑客攻击的策略
应对黑客攻击确保网络安全,目前比较成有的网络安全技术有:防火墙技术、数据签名技术、入侵检测技术和虚拟专用网VPN技术等。
3.2.1 防火墙技术。防火墙是在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙可以分为软件防火墙和硬件防火墙。防火墙主要有服务访问规则、验证工具、包过滤和应用网关四部分组成。防火墙通过检测每个信息包判断是否接受该信息来限制网络外的访问,同时也可以限制内部网络未授权的访问。防火墙同时具备服务器的功能和包过滤器功能。防火墙在网络层的NAT技术将私有地址转化成合法的IP地址,隐藏了网络的内部机构。
3.2.2 数据签名技术。数字签名技术主要是基于公钥密码体制。对数据进行签名的用户通过自己的私钥进行加密,收到数据的一方通过对方的公开的公钥进行解密,如果可以得到明文则说明数据的真实性。数据签名具有抗抵赖性;在报文中加入时戳或流水号使具有防重放攻击性;在原文中加摘要可以实现数据的防篡改性和身份认证等特性。
3.2.3 入侵检测技术。入侵检测技术是一种动态的安全技术,提供了对内部攻击、外部攻击和误操作的实施保护。当攻击绕过防火墙进入内部时入侵检测技术可以看成防火墙技术的补充。入侵检测通过监视和分析用户、系统活动;审计系统构造和弱点;识别进攻活动模式并报警;统计分析异常的行为模式;评估系统数据完整性和审计跟踪管理系统并是被用户违反安全策略的行为来保护系统。
3.2.4 虚拟专用网VPN技术。VPN技术是利用公共网络实现类似私有专用网的数据传输功能的技术。VPN系统的关键技术有:隧道技术,一般分为两大类第二层隧道协议PPTP、L2F和L2TP等,第三层隧道协议GRE和IPSec;加密认证技术,为保证数据安全箱,在数据以密文形式传输;密钥管理技术,在网络环境中安全的传递密钥;访问控制技术,由VPN服务的提供者和最终网络信息资源的提供者决定特定用户对特定资源的访问权限。
4 计算机病毒
计算机病毒具有传染性、隐蔽性、潜伏性、破坏性、针对性、衍生性、寄生性和不可预见性。常见的计算机病毒可以分成以下几种:系统病毒,感染windows操作系统的.exe和.dll文件;蠕虫病毒,通过网络或系统漏洞传播;木马病毒,隐藏在系统内并向外界泄露用户信息;黑客病毒,可对用户系统进行远程控制;脚本病毒,是指利用脚本语言编写并通过网页传播的病毒;还有宏病毒、后门病毒、玩笑病毒、破坏性程序病毒和病毒种植程序病毒等。
计算机病毒的防范是一个整体的防范体系和制度,可以分为病毒的防范、病毒的检测、病毒的清除。
计算机防范和检测的基本技术有:特征代码技术是一种较简单的方法,通过分析病毒的病毒码,建立病毒的特征库,对现有数据进行扫描若匹配则认为改数据被感染;校验和法技术,计算计算机内数据的校验和并保存,使用数据前进行校验和对比,若不一致则认为数据感染病毒;行为检测技术,分析病毒共,运行系统时进行监视若发现病毒行为则认为有数据感染病毒和软件模拟技术等。
病毒的清除方法可以分为两种:简单工具治疗如Debug等工具和专用工具治疗。
5 计算机网络安全问题总结和展望
由于攻击手段和危害计算机网络安全行为的多样性,计算机信息和网络的安全需要整体的防护,不可能由单一的防护措施完成。计算机网络正融入人们生活,与人们的生活紧密的结合在一起,随之而来的是越来越多网络犯罪,通过窃取用户信息,妨碍网络正常服务,仿造用户信息等行为危害国家、社会和个人的利益。因此,维护计算机网络安全的技术将面临更多的挑战。需要投入更多的人力、物力发展计算机网络安全技术。
参考文献:
[1]曾琪,江西省萍乡市住房公积金管理中心,计算机网络安全维护策略,科技创新与应用,2012,10:68.
[2]马军、王岩,洛阳大学,ARP协议攻击及其解决方案,微计算机信息,2006.
网络安全应对策略范文3
【关键词】通信网络安全技术
通常所讲的计算机通信网络安全,是指利用当前网络安全科技和预防措施,防止计算机通信网络当中的硬件设施、操作系统、系列软件和传输数据受到破坏,防范非法取得服务。
一、网络安全出现的原因
(1)系统自身的缺点。为了计算机用户能够简单、方便的操作计算机,在进行网络软件和硬件开发时总会有一些漏洞,这些漏洞给不非程序的入侵提供了方便和可乘之机,这些都是因为系统存在缺点而造成的安全问题。
(2)网络传输信道上设计不规范。网络在传输数据过程中,传输信道上设计缺乏完整性,不存在屏蔽能力,从而使得数据在传输时会受到威胁,是由于传输信道上没有屏蔽能力,数据在传输过程中能够对外发出电磁辐射,如果对方有专用设施就能够接收。
(3)人的原因。一是没有安全思想和安全防范措施的内部工作人员,运用自己的特殊身份进入网络;二是专门具有破坏行为的人员、利用各种非法程序侵入他人电脑的网络黑客,专业的网上犯罪分子等都会给网络通信带来巨大的安全隐患。
二、网络安全问题的解决办法
(1)运用密码技术。密码技术的工作原理是转换信息显示形式,密码科技由四部分组成:明文、算法、密文和密钥。这当中的密钥部分最为重要,涉及应用范围非常广泛,这种科技手段关系到密钥的出现、验证、分配、传输、存储、运用和消钥等。密码的种类基本上有三种形式:移位、代替和乘积密码。在日常应用时,都不会只运用一种方法,而是三种密码类型综合运用形成新的密码。
(2)运用用户识别技术。为了保证网络的安全性能,在用户使用网络时,使网络能够判断用户是否具有处理数据的权力,防止各种不安全因素的出现,网络这时要运用识别技术,通常使用较多的识别办法有口令、唯一标识符和标记识别等。唯一标识符在一般情况下用于安全需求较高的网络系统,只允许一个用户进行数据处理和网络管理,这种唯一标识符是用户在建立网络时形成的一个字符,并且这个字符在一定时期内不会再被其他用户使用。标记识别是运用一个精确码卡片的识别形式,每个用户一定要有一个卡片,卡片能够随时生成口令,供用户输入计算机,每张卡片可以多次应用,安全性能较高。
(3)防范入侵技术。防范入侵技术又叫做IDS,它的功能主要是:准确识别非法入侵行为,马上发出警报并运用各种安全办法防御非法者的入侵,这种技术在网络安全中得到广泛应用。现在的计算机网络基本上都运用网络安全协议,非法入侵者侵入的手法存在一定的规律,现在存在多种多样的通信网络,各自具有不同的内部管理协议和通信协议,所以这种技术有着一定的针对性,能够运用这一特征,开发出非法入侵检测系统或者存在于网络当中的入侵检测系统,利用计算机的工作日志、安全审查数据和网络数据包进行筛选、处理、辨别入侵行为。
(4)运用通信网络内部协议安全。非法入侵者常常利用各种协议来侵入网络,实施破坏行为,这一非法入侵方式应该得到人们的高度重视。破坏网络安全协议的办法就是利用获取协议数据,运用各种方法获得协议信息,再把这种协议重新放回网络当中,冒充真正用户使用网络通信功能,也有对网络协议直接破坏或者改变的行为,从而使得网络通信不能正常运转,形成非法入侵行为,用户之间互相猜疑,各种网络服务无法进行,甚至断开服务等恶劣后果。要想使得网络安全协议落实安全变异和重新组建,就要利用数据的认证和数据的完整性鉴定科技手段,这种手段的运用工具是公钥密码算法和哈希函数,用这两种办法来完成协议数据的实体认证和鉴定数据的完整性。在开发安全协议过程中,假如可以一次加密每个完整信令,就能够有效提高协议的安全性。
总之,网络安全工作不是短时间内就能够得以解决的,它需要专家学者长期的不懈努力,是一个在网络形成初期就应该重点思考的问题,网络安全技术必将随着科技的不断进步,获得实质性的发展。
参考文献
[1]冯登国.计算机通信网络安全[M],清华大学出版社. 2001.
网络安全应对策略范文4
关键词:校园网络安全;网络管理;跟踪监测;端口管理
在信息化社会到来的今天,许多中学都建立了不同规模的校园网络,并以各种方式接入了Internet。网络的普及,弥补了传统教学的很多不足,促进了现代化教学手段的使用,但随之而来的校园网络安全也成了广大校园网络管理者比较头疼的问题。学校服务器被攻击,网站被篡改,教学数据被删除,甚至网络瘫痪等事件时有发生。所以,必须加强校园网络的安全维护,确保校园网安全、稳定、高效地运转。
要管理好所承担的网络管理工作,必须先了解目前中学网络拓扑图。
■
学校网络拓扑解析:校园网络的外接网路有两条,其一是电信百M光纤,另一条是地区教育城域网光纤,两条线路均通过防火墙过滤,所有网络中的外网访问由路由指向电信线路,教育网相关应用由路由指向教育城域网。
拓扑图危险等级分析:(1)A1,A2,A3处危险均来自校园网外部,尤其是A1处危险等级最高,因为黑客有可能以校园网WEB服务器为跳板,直接进入到学校内部网络进行破坏。(2)B处危险来自学校内部网络,相对容易监控。
就拓扑图分析该网络存在的安全隐患:(1)网络病毒;(2)黑客恶意攻击;(3)不良信息;(4)设备安全;(5)web服务器和数据库服务器的安全漏洞;(6)系统服务器的安全漏洞。
一、从技术手段上提高网络安全性
针对以上拓扑结构,结合实际操作经验就技术实现手段来谈谈如何改进中学校园网络安全维护。
(一)网络病毒防治
通过网络途径,病毒的传播速度快得惊人,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。对于学生机房里的电脑,可以采用安装硬件或软件还原系统来防止病毒的入侵。对于教师的办公电脑,要及时安装杀毒软件并及时更新,现在的免费杀毒软件很多,例如金山毒霸、360杀毒软件等。同时,办公区电脑的补丁安装也不能马虎。
现在校园网络中常见的病毒主要是“ARP木马”类的病毒。它发作时,中毒的机器会伪造某台电脑的MAC地址,如果伪造地址为网关服务器的地址,那么对整个网络就会造成影响,表现为用户上网时电脑不断弹出网络地址冲突的提示。对于此类病毒,在清除以后,可以采用在交换机内进行IP地址与MAC地址的双向绑定,也可以采用安装一些ARP防火墙软件的方来解决,如Anti ARP Sniffer和360安全卫士。笔者目前给学校的办公电脑做了个启动文件,来静态绑定网关IP,防止ARP欺骗,读者可以借鉴arpd、arps、 网关地址、网关MAC地址等。
(二)恶意攻击防御
恶意攻击,主要来自外网和内网。
1.外网的攻击。首先是路由器,它属于接入设备,必然要暴露在互联网黑客攻击的视野之中,因此需要采取严格的安全管理措施,比如口令加密、加载严格的访问列表,关闭无关的服务端口。如果厂家推出了新的软件升级包,要及时更新版本,尽量减少漏洞。
其次是服务器,服务器安全分为硬件方面和软件方面。硬件方面,要求该服务器具有较高的可用性、可靠性、可扩展性,最好还要有不间断电源UPS来供电,硬盘防护要采用软件或者硬件RAID(磁盘阵列),这样才能很好的保存我们放置在服务器里的文件数据。对于重要数据还要养成定时备份,存放到不同的服务器里或者进行刻录保存的习惯。软件方面,现在大部分中学的服务器安装的都是Windows 2003/2008,对于操作系统的安全补丁一定要及时更新,做好防范措施。同时,还要根据自已的实际,对操作系统进行安全配置,关闭不需要的服务。
2.校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的威胁将会更大一些。
首先,现在黑客攻击工具在网上泛滥成灾,而中学生的心理特点也决定着他们对此类工具充满好奇,极想尝试,所以不能忽视,必须防范。具体做法是在每个学生机中安装一个网络监控的客户端,教师就可在服务端随时监控学生机的流量,发现异常及时处理。同时,在平时也要在这方面多加强学生的教育,使他们明确“网络道德”、“网络犯罪”等概念。各办公室的计算机共享目录的设置也要注意,我们常利用共享目录进行传文件,一定要养成使用后把共享关闭的习惯,防止非法访问者对上面的资料、文档进行查看、修改、删除。网上就有这样一个例子,某中学教务处不注意把期末考试题放到了一个共享目录中,结果被上机的同学通过网上邻居发现了,造成了试题泄露的严重后果。所以,应加强目录共享安全意识。
其次,BT、电驴等P2P软件的普及使用,应引起广大网络管理员重视。这类软件的下载方式是以抢占带宽来达到下载目的,对于这一类软件的防范,可以通过防火墙功能,采用IP限速或者关闭服务实现。
最后,控制广播风暴的最好方式是划分VLAN。它除了能控制广播风暴,还能够帮助控制流量,提供更高的安全性。
(三)不良信息过滤
网络犹如打开的房门窗,在和煦的春风吹进来的同时,也会有讨厌的苍蝇飞进来。我们在带领学生接受网络信息的同时要做好对不良信息的防范。可以采用安装网络过滤器来过滤不良信息,或通过防火墙设置禁止访问网址列表,这样就能实现学生的绿色上网了。
(四)网络设备安全
网络设备设置安全是指对路由器、服务器、交换机等设备的安全配置,现在很多学校网络管理员会在路由器和服务器上加密码,但很容易忽略另外一种设备――可网管的交换机,一旦这种设备被人取得控制权,那就很容易造成网络瘫痪的严重后果。
(五)Web服务器和数据库服务器的安全漏洞的安全防范
1.Web服务器的安全防范。目前很多学校的校园网Web服务器均采用了微软的IIS服务器,我也就此做一些安全配置建议:(1)不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。(2)删除IIS默认创建的Inetpub目录(在安装系统的盘上)。(3)删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。(4)删除不必要的IIS扩展名映射。右键单击“默认Web站点属性主目录配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml,.shtm,.stm。(5)更改IIS日志的路径。右键单击“默认Web站点属性网站”在启用日志记录下点击属性。(6)使用UrlScan。UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析,可以拒绝任何可疑的通信量。目前最新的版本是2.5,如果是2000 Server需要先安装1.0或2.0的版本。如果没有特殊的要求,采用UrlScan默认配置就可以了。但是,如果要在服务器运行程序,并进行调试,需打开要%WINDIR%\System32\Inetsrv\URLscan,文件夹中的URLScan.ini文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。如果网页是.asp网页,需要在DenyExtensions删除.asp相关的内容。如果网页使用了非ASCII代码,就需要在Option节中将Allow HighBit Characters的值设为1。在对URLScan.ini文件做了更改后,需要重启IIS服务器才能生效,快速方法是在运行中输入iisreset。
2.数据库服务器的安全防范。以下防范主要针对使用范围很广的SQL数据库服务器:(1)System Administrators角色最好不要超过两个。(2)如果是在本机,最好将身份验证配置为Win登陆。(3)不要使用Sa账户,为其配置一个超级复杂的密码。(4)删除以下的扩展存储过程格式为use master;sp_dropextendedproc“扩展存储过程名”;xp_cmdshell是进入操作系统的最佳捷径,删除;访问注册表的存储过程,删除Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring;OLE自动存储过程,不需要删除Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop。(5)隐藏 SQL Server,更改默认的1433端口。右击实例选属性常规,在网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
(六)对系统服务器安全漏洞的安全配置
目前主流的系统服务器是Windows Server 2003或者Windows Server2008,以下也是针对此类服务器的安全配置建议:
1.隐藏重要文件/目录。可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0。
2.启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3.防止SYN洪水攻击:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为2。
4.禁止响应ICMP路由通告报文。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface新建DWORD值,名为PerformRouterDiscovery,值为0。
二、提高网络安全性的重要支撑――网管工作建议
1.定期更改系统服务器的密码,并使他够复杂,做好相关服务器的例行检查,确保服务器的运行状态正常,例如数据库服务器能否正常按计划备份。保持服务器的正常及时升级,及时打好补丁。
2.如有条件可以给网络用户进行不定期培训,培养用户正确安全使用网络终端设备的习惯。
3.去一些著名的杀毒软件网站看看,了解最新的系统漏洞、病毒资讯。利用黑客工具扫描网络,例如流光、sql注入扫描工具等。
4.做好网络终端行为的日志记录尤为重要,这里推荐一款免费的网络工具――“科来网络分析系统”,它对网络中所有传输的数据进行检测、分析、诊断,帮助用户排除网络事故,规避安全风险,提高网络性能,增大网络可用性价(上接第199页)值。
网络安全已经分化为一门独立的课程,安全技术和黑客技术就像是盾和矛,总在互相促进发展。网络没有绝对的安全,只有不断加强网络管理者的安全意识和自我学习的理念,才能把网络提高到一个相对安全的层次。
中学校园网络的安全维护是一个系统性工程,由于网络本身具有开放性、脆弱性等特点,加上校园网络前期的设计和后期的投入等诸多原因,都将会形成对校园网络安全的威胁。所以,校园网络的安全问题不能仅仅依靠相关设备和网络安全技术来维护,而是需要整体考虑系统的安全需求,建立相应的维护制度,将各种安全技术的维护手段结合在一起,才能生成一个高效、通用、安全的校园网络,才能更好地促进教育教学活动的开展。
参考文献:
网络安全应对策略范文5
关健词:局域网络信息资源数据加密
信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制,直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。
一、网络信息安全的孟要性
网络信息安全涉及到信息的机密性、完整性、可用性、可控性。它为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。信息保障依赖于人和技术实现组织的任务运作,针对技术信息基础设施的管理活动同样依赖于这三个因素,稳健的信息保障状态意味着信息保障和政策、步骤、技术和机制在整个组织的信息基础设施的所有层面上均能得到实施。
目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。单一的保密措施己很难保证通信和信息的安全,必须综合应用各种保密措施。
二、局域网内病毒防治问题
局域网病毒来源主要有以下几种方式:①从网站下载的软件带有病毒:浏览网站的时候ActiveX控件带来的病毒;②安装程序附带的流氓软件:不明邮件带来的病毒;③移动存储设备存储数据传染病毒等等方式。使用者日常使用时应尽量从正规网站下载软件、少浏览不正当网站、不明邮件应该尽量不打开等。处理方法主要有以下几类。
首先:在网关上的网络层时常进行病毒检测和扫描,及时清除明显的病毒封包,对病毒源客户机进行阻塞与隔离,大规模爆发网络病毒时也能够有效的隔离病毒疫区。
其次:监测每台计算机的杀毒软件安装情况和病毒库更新情况,以及操作系统或者其它应用软件的补丁安装情况,若发现客户机或者服务器存在严重的高危险性安全缺陷或者漏洞的话就应该将其暂时断开网络,拒绝其接入单位网络,直至缺陷或漏洞修复完毕,补丁安装完毕后再将其接入网络内。
再次:使用U盘、移动硬盘等移动存储设备传递各类数据,已经成为各类病毒传播的主要途径之一。由于U盘和移动硬盘使用方便,很多计算机用户都选择使用它来进行数据文件的存储和拷贝,无形中使得U盘和移动硬盘成为这些病毒和恶意木马程序传播的媒体,给计算机用户的数据安全和系统的正常使用带来很大危害。鉴于通过U盘和移动硬盘传播的计算机病毒在互联网络上的传播日趋增多,办公网络内用户可以按照以下几点,正确安全地使用U盘和移动硬盘进行数据文件的存储和拷贝。
最后:根据实际情况可进行数据加密,VPN系统VPN(虚拟专用网)可以通过一个公用网络(通常是互联网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。它可用于不断增长的移动用户的全球互联网接入,以实现安全连接;也可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
三、实现网络信息安全的策略
明确等级保护措施。合理划分安全域,确定各安全域的物理边界和逻辑边界,明确不同安全域之间的信任关系。在安全域的网络边界建立有效的访问控制措施。通过安全区域最大限度地实施数据源隐藏,结构化和纵深化区域防御,防止和抵御各种网络攻击,保证信息系统各个网络系统的持续、稳定、可靠运行。
1.系统安全策略
对操作系统、数据库及服务系统进行漏洞修补和安全加固,对关键业务的服务器建立严格的审核机制。最大限度解决由操作系统、数据库系统、服务系统、网络协议漏洞带来的安全问题,解决黑客入侵、非法访问、系统缺陷、病毒等安全隐患。:
2安全管理策略
针对企业信息系统安全管理需求,在安全管理上需要在完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理等方面机制、制度的同时,与管理技术紧密结合,形成一套比较完备的企业信息系统安全管理保障体系。
网络安全应对策略范文6
关键词:维护系统;漏洞;安全性;防火墙
中图分类号:TP393.18文献标识码:A文章编号:1007-9599 (2012) 05-0000-02
现阶段,计算机网络已经逐步信息化,正慢慢渗透进各经济范围中,融入到人类的生活、工作、学习环境中。短短几年时间之内,各类利用计算机进行网络犯罪的案件层出不穷,尤其是那些有着行业专业技能的犯罪,通常是针对金融、财务部门等,这些部门的损失是极其惨烈的。由此可知,对计算机网络信息存在的安全隐患加以分析是必须的,并要及时提出防范解决的策略。
一、现阶段,计算机网络信息中存在的一系列安全隐患
由于计算机网络本身开放、自由的特点,引起越来越多重要的信息资源受到入侵,并被破坏或恶意丢失,一般来讲,计算机网络存在下面几大安全隐患:
(一)网络运行系统相对脆弱。一般网络运行系统都会发生集成、扩散,而整个服务过程里都要求持续不断地变更远程的网络节点,还要求可以定期的对软件进行升级,对漏洞进行补丁。可事实却是,大多数网络系统管理工作者常常为了便捷,就留下很多这样那样的隐患,使得黑客可以抓到漏洞,侵入网络系统深层的核心地带,摧毁整个操作系统程序,进而使得系统瘫痪、报废。
(二)计算机存在病毒入侵现象。通常病毒都是可以不断蔓延、复制的,它可以对计算机内部数据进行破坏。而且计算机病毒还有着传播速度快、涉及范围广、引起损失严重等一系列的不利特性。一般情况下,计算机病毒都是从一部分网络程序慢慢延续到整个计算机系统,其威胁性很高。换句话讲,只要计算机染上某种病毒,整个系统就不能正常运作,内部文件有可能会丢失或被破坏,严重的会引起电脑死机或直接报废。
(三)黑客袭击网络用户。在所有计算机网络存在的安全威胁里,黑客攻击引起的破坏是最惨重的。黑客一般是隐蔽性的、可传染的以及破坏性大的。计算机网络系统存在的漏洞一般就会被黑客给利用。通常是应用各式各样的破译方法来获取用户的加密数据,有目标性地损毁用户信息,带给国家或个人不可估量的损失。
(四)网络软件存在众多漏洞。由(三)可知,黑客都是利用网络软件中存在的漏洞进行攻击的。所以只要计算机服务器没有对漏洞进行补丁的话,就会导致被黑客侵入、袭击,通常后果是不堪设想的。
(五)网络垃圾邮件众多。大多数人都是利用网络电子邮件地址通常的公开特性,将自己编辑的电子邮件突破“防守”发到别人使用的电子邮箱里,硬性逼迫别人邮箱里存在这种垃圾邮件。还有一些人利用专门的间谍软件去偷窃合法用户的信息资源,然后将原先的系统设置进行修改,这样的做法,不单单危害到了网络用户的隐私安全,还威胁到了整个计算机系统的正常运作。
(六)网络监管力度欠缺。部分网络站点都会潜移默化地将防火墙设立的访问权限给扩宽,进而使得那些攻击者可以趁虚而入,在一定程度上滥用了网络资源,使得整个计算机安全系统性能偏低,从而导致安全隐患的增多。
二、分析计算机网络信息存在安全隐患的主要原因
通常情况下,引起计算机网络存在安全隐患的常见原因是很多的,主要原因如下:
(一)网络环境构造不可靠
计算机因特网基本都是无数个地方局域网组合而成的。在使用一台主机跟其它地方局域网使用的主机进行通信的时候,在两个主机之间传送的数据一般都要经由无数地方局域网主机进行转发、传递才可以到达最终目的地的。这样的话,只要对一台正在传送用户数据信息的主机攻击成功的话,那攻击人就能轻而易举地取得网络用户的数据信息。
(二)TCP/IP计算机协议不完整
计算机因特网系统正常运作的基础就是 TCP/IP 这一协议,可惜对于这个协议来说,不管是什么组织,或者个人都能直接查阅得到,使得整个协议变得完全透明,换句话说,计算机间各种信息数据都是完全公开化的。由此可知,一些不良居心的攻击人就会很容易地利用这些漏洞来进攻网络用户的计算机。
(三)网络信息安全系数不高
计算机网络上有很多没加密的数据流资源,人们可以直接利用网上的探测工具去搜索网站用户所使用的电子邮件地址、口令密钥以及各类传输的重要文件等。使得网络信息安全系数整体偏低。
(四)网络信息技术系统不够稳定
不合规、不科学、缺乏安全稳定性的计算机网络系统程序编制,使得计算机肯定会受到不同程度的影响、破坏。
三、针对上述隐患,提出应对的安全防范措施
(一)防火墙计算机信息技术
防火墙计算机信息技术一般是用来强化网络信息间访问掌控力度的,避免外网用户利用一些非法的渠道进入内网,滥用内网信息数据,在一定程度上可以保护内网系统可以正常操作的一种网络互联技术。它一般对两个或两个以上的网络间传递的数据包遵循特定的安全技术措施进行链接式的检查工作,进而决定整个网络的通信是否允许正常进行,同时还对整个网络系统的运作状况进行有效地监控。这里介绍的“防火墙系统”通常是由过滤路由器跟应用层网关这两个基本部件组织形成的,防火墙在五层安全网络结构里处于最底一层,是内网跟外网中间最重要的一道保障。因此,防火墙始终都受到大众的关注,是最安全的网络产品之一。换句话来讲,即使防火墙是在整个网络安全系统中的最底层,仅仅负责各网络间有关安全棉麻方面的认证与信息的输送,可是由于社会对网络安全技术标准的不断提高,网络应用也在不断更新,使得防火墙技术慢慢地成为最基础的一道安全技术,突破了单调的网络层次,不单单要完成过滤目的,还要提供给各网络应用合理、科学的安全服务条件。另一方面,大多数防火墙产品目前正在发展数据信息安全跟网络用户认证以及阻挡病毒侵入等方面的安全技术。
(二)数据信息加密安全技术
对数据信息进行加密的安全技术是整个网络系统里最基本安全的管理技术,是信息资源安全的核心保证,刚开始的时候是用来严密保护存储、传递数据的。它将那些需要保护的信息数据转化成密文加以存储并传递,那样,就算加密的信息资源在存储传递的过程里不小心被非授权的工作者获取的话,也能确保流失的信息不被人知晓,进一步保护了信息资源的安全性。
在使用对称加密安全技术时,数据加密所使用的密码跟解密的密码一般都是相同的,换句话讲,其安全性全部都依赖于网络用户所持有的系统密钥的安全性这一方面。应用对称加密这一算法最重要的优势就是加密跟解密都很迅速,加密的强度值很高,而且整个算法都是公开、透明的。
而在使用非对称型的加密算法时,数据加密所使用的密码跟解密的密码都不尽相同,并且需要加密的嘻嘻资源必须要经由正确的解密密钥才可以破解、使用,最主要的就是解密这一环节是非常复杂的。在实际的使用过程里,网络用户一般会将加密的密钥公开使用,可是会保留解密的密钥。通常情况下,公钥体系在一定程度上方便了网络用户认证其身。也就是网络用户在传递信息之前,就先用私钥加密信息,而信息的接收人在收到传递的信息后,就用网络用户对外公开的公钥加以解密,只要可以解开,就表示信息资源确实是从网络用户那里传递过来的,在一定程度上就鉴别了信息发送者的确切身份。
(三)强化每一位网络工作管理者的整体素养,增强其网络安全责任意识
对每一位网络工作者的管理素养水平应有所要求,应该定期对工作者进行计算机软、硬件以及数据系统等方面的培训,增强他们的安全责任意识,并强化整个网络业务的培训力度,提高实际操作动手能力,重点强调网络系统安全的知识,尽可能避免发生人为操作失误。现阶段我国对于网络研究的步伐还是比较缓慢的,整个安全技术都是处于发展、更新阶段的。另一方面,如果要保证整个网络可以正常、安全地运作,就必须要设立完善、严谨的管理规章,制定稳定、科学的管理方针,提高每一位网络用户对安全技术的认知意识,进一步改善个人、社会对计算机网络的犯罪法律态度。
(四)访问跟监控
授权掌控各不相同网络用户对数据资源的访问限制,也就是说,哪些网络用户可以利用哪些资源,并且规定这些可访问的网络用户必须要具备怎样的权限标准。总而言之,对网络信息的访问跟监控加以技术方面的处理在一定程度上可以维护系统正常、稳定的运行,可以保护系统资源不被破坏。
(五)注重备份与恢复工作
备份管理工作通常是全面的、层次化的。最开始要做的就是用硬件网络设备来避免硬件发生故障;因为假如软件发生故障或者人为失误引起数据资源的逻辑行为破坏,就会影响软件、手工各方面的恢复系统程序。软硬件跟人为相结合的模式在一定程度上使得系统能够形成防护,不单单可以避免物理行为损害,还可以彻底杜绝逻辑性地损害。高质量的备份与恢复工作机制,在一定程度上能将网络损失降到最低,因为它在网络被损害的同时就已经在自身维护网络数据漏洞了。
四、结语
现在社会正逐渐趋向网络信息化,计算机正不断推动世界经济的发展,促进社会现代化的更新换代。同时,计算机网络存在的安全性问题也是综合性强的复杂难解的一大隐患。它不单单只要靠某些先进的网络技术去解决,更要综合其它各类制度、管理工作对隐患加以防范,尽可能的避免安全隐患的发生。
参考文献:
[1]杨盈.计算机网络安全隐患与防范策略探讨[J].科技致富向导,2010,(17)
