前言:中文期刊网精心挑选了网络安全基本服务范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全基本服务范文1
关键词 园区网;安全体系;规划;运维
中图分类号 TN9 文献标识码 A 文章编号 2095-6363(2015)09-0050-02
校园网络变得更加开放的同时,网络安全正经受更加严格的挑战,网络管理者必须切实了解保护本地网络安全的手段。本文尝试对如何创建安全的校园网络环境并保持其稳定运行提出一些规划原则与管理方法。
1 常见网络安全威胁类型
1)病毒、木马、蠕虫等自动攻击工具。具备自我复制和传播能力的程序可破坏计算机系统,破坏某信息保密性和完整性,使得攻击者从中获得利益。早期一般通过系统漏洞或文件漏洞传播,随着操作系统安全代码的日趋完善,目前主要靠欺骗性下载(如网站挂马或植入恶意代码)并被简单触发。
2)拒绝服务攻击。拒绝服务是攻击者常用攻击手段之一。攻击者通较强计算能力的服务器或大规模肉鸡作为攻击跳板,对目标发起洪水一般的非法请求,使得服务方难以接受正常访问请求或造成缓冲区溢出,服务被迫关闭甚至崩溃。
3)基于服务代码和服务漏洞的攻击。作为官方的网络窗口,运行于服务之上的网站代码并不总是安全的。事实上,国内多数网站都没能做到足够安全的代码防护。运行于非标准的web服务器的web网站,对熟练的站点攻击者而言,仅需几分钟即可获得基本webshell,并据此进行权限提升。从互联网上下载的免费文章系统(如知名的动网模板),由于受到关注,攻击者更容易通过内部技术组织联络获取攻击手段。
笔者所在学校站点早期使用ACCESS数据库,攻击者便经常尝试直接下载数据库;升级为SQL SERVER数据库后,我们发现了大量的SQL注入攻击代码,如晚间的一次攻击尝试代码:
……
dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR(4000)):eXeC(@s):--%20aNd%20'%25'=' 80 - 211.117.95.48 ……
从日志中很容易看出,攻击者尝试渗透数据库获取关键数值,并对注入代码做了简单伪装。
4)社会工程学攻击渗透。近年来攻击者对攻击目标的检测方法变得多样化,攻击者通过多种渠道了解目标,利用社会工程学手段分析以获得敏感信息,攻击更具效率,大数据技术的快速发展则进一步加剧了此类风险的威胁水平。如网络管理者总是愿意使用有类似特征的密码体系同时管理公用设备和个人信息,一旦个人信息被猜解,所在网络的安全风险便极大增加。
当代网络面临的安全风险越来越多,攻击不可避免,网络攻击的原理趋向复杂,而攻击者更容易获取更具威胁的自动化攻击工具,这意味着攻击变得愈发容易。
2 学校园区网安全体系的规划和建设
1)园区网安全体系的基本涵义。网络安全体系由硬件安全、底层系统安全和服务/软件安全三个方面构成,任何方面存在漏洞,都会导致整个网络面临安全崩溃。我国当前正在推动关键设备国产化进程,即从硬件层面考虑,保护网络敏感信息不被国外生产厂非法商取。完整的网络安全体系应在硬件层面作出合理选择,在底层系统层面进行合理配置,减少系统漏洞暴露,在提供服务时建立多层次风险防控和数据过滤措施,保证网络安全运行。
2)园区网安全体系规划原则。网络安全与提供服务的性能存在矛盾,管理者应以保障网络服务正常提供为前提,评判网络安全风险,适度规划并保留升级弹性,以经济合理的方式规划安全防御系统。网络安全体系需要覆盖到整个网络,对高风险区域应设置网络边界,并指定数据流动规则(ACL)。
3)网段规划。根据功能区分,通常将整个网络划分几个功能独立的子网,至少包括网络设备与网络管理区域、停火区(DMZ)、学生机房、办公区域以及普通联网用户区域等,各子网间保持物理或逻辑上的网段隔离,不同区域用户一般禁止跨越子网互访。这是保护网络安全的最基本手段。
4)安全防护设备选择。传统网络安全体系基于P2DR模型,即策略、防护、检测和响应,设备组成一般包括终端安全(配置杀毒软件);ACL(设备、端口规则和数据流向规则);防火墙以及IDS/IPS(应用于DMZ);它可以实现对多数病毒和传统攻击的有效抵御,以包过滤为基本检测手段,具备部分协议检测能力;对网站注入、渗透等较新的攻击方式防御能力有限。
选择何种设备组建网络安防体系,取决于本地网络规模、提供的服务类型和网络管理者的技能水平。园区网可以考虑在传统安全体系基础上,根据本地网络运行特性有针对性增加管控设备,为保障带宽有效利用,针对内部用户可配置行为管理系统,对用户网络行为进行管控,对占据带宽资源和并发数资源的应用予以限制;针对WEB服务,可以配置WEB防护系统,对数据库注入、代码攻击、跨站脚本等作出有效防护;针对网络内部恶意行为,可以配置网络日志分析记录系统,在恶意行为发生时提供报警,在行为发生后提供记录。
3 学校园区网安全体系运维原则
1)安全网络要求全部终端用户参与。根据“木桶原理”,网络中任一端点的安全风险会扩大到整个网络。园区网络安全体系需要覆盖到整个网络的所有端点。考虑到难以对所有用户实行严格要求,管理者应考虑网络不同区域的安全等级,制定对应安全策略,在不同区域间设立网络边界,保证任意区域故障不会蔓延至其他区域。
2)制度优先。防患于未然,网络安全事件总是发生在未曾受到关注的制度角落。管理者应综合考虑网络整体状态,制定安全事件责任制度,制定应急预案,制定各类安全事件和风险事件的相应制度,制定网络使用制度等;完善的制度是保障网络稳定运行的必要条件。
3)数据备份。数据备份是网络运维的必需手段。精确计算当前数据容量,预估数据增量,考虑数据备份措施,必要时配备数据备份设备。外部攻击者在获取网络权限后,经常造成有意或无意的数据损害,超过50%的情况下数据损失不可逆转。设置数据备份机制,是保障网络服务的最后手段。
4)完善事件记录。园区网历经长期运行后,管理者将能够发现和总结本地网络常见威胁列表,建立网络运维事件日志,能极大节省管理者故障定位和解决问题的时间与精力。这些记录包括下述文件,网络日常监测记录、病毒流行记录、设备故障处置和维修记录、攻击处置记录等。
4 结论
尽管网络总是不安全的,管理者还是可以通过各种手段,以科学、合理的方式建设网络安全体系,不断学习提高技术水平,尽力保护本地网络和服务不受非法攻击侵害。作为多年工作经验的总结,笔者希望通过本文抛砖引玉,提供网络安全运维的方法和原则,谨与同行共同交流。
参考文献
网络安全基本服务范文2
【关键词】网络安全;计算机信息管理
人类社会在经历了机械化、电气化之后,进入了崭新的信息化时代。人们都工作和生活在信息空间中,社会的信息化使计算机和网络在军事、政治、金融、工业等生活和工作方面应用越来越广。当前,由于恶意软件的侵扰、黑客攻击、利用计算机犯罪等对信息安全造成了极大威胁,信息安全的形势严峻。因此对网络信息安全的维护是至关重要的,其中就可以利用计算机信息管理技术实现更安全的网络空间。
1网络信息安全管理类别
网络信息的安全管理主要内容包括服务和管理,所以其系统的设计需要准确地将管理内容分类。管理内容可以分为以下几种:(1)信息运行的基础阶段有两个部分,分别是自制的系统号和信息的IP地址地域名称。(2)网络信息服务的信息能够由服务器信息提供,包括服务器的访问状态和相关配置,以确保其负载平衡,让信息服务的完整性和实用性得以实现。(3)作为包括姓名、身份还有部门职位等一些基本信息的载体,用户信息是能够使信息可以安全的被访问并且控制的重要环节。(4)通过信息服务所提供的信息资源就是网络信息资源,主要包括信息的、过滤和导航等。
2计算机信息管理在网络安全中的应用现状
从1955年计算机管理系统的起源到今天,其功能经过逐步发展渐渐得到完善,功能也从单一变得广泛。计算机信息系统安全的一个重要环节就是系统的运行安全,因为需要计算机信息系统的运行过程中的安全得到保证,才能正确处理信息,发挥系统各项功能,其中主要的四个方面内容是审计跟踪、系统风险管理、应急处理、备份与恢复。网络信息管理技术中的信息除了基础信息还包括一些延伸性的网络信息,即域名、IP地址等方面,用于访问控制,提供用户所需信息,防御恶意信息,为用户日常使用提供安全服务。通常来说,计算机网络信息安全具有随着计算机系统的更新而更新的动态适应性。计算机网络信息运行过程中的威胁因素具有多样性和不确定性,致使其安全监控过程中存在混乱。建立健全网络信息安全系统要求每个系统内部环节相互配合,包括安全测试、需求分析、日常监理等。要防范攻击和病毒侵入,需要保证网络信息安全系统时刻处于动态保护中。由工业和信息化相关部门的数据可知,自2009年起,宽带注册频率逐年升高、普及率逐渐上升,迄今为止,我国网民的规模已达到4亿。然而与此同时,不法分子对浏览器的恶意篡改等行为使病毒泛滥威胁到了国内很多互联网用户,受到病毒威胁的用户所受到的损失巨大。因此,发展计算机管理系统在网络安全方面的应用是亟待解决的问题。
3计算机信息管理对于网络安全问题的解决对策
3.1加强操作系统的安全防护
在运用计算机信息管理技术时操作系统是不可或缺的。我们使用的网络操作系统在实际应用过程中容易出现纰漏,导致安全问题。所以对于操作系统需要实施特定的防护措施,提高网络安全性。例如,建立安全防护系统时时扫描安全漏洞,做到积极发现、迅速处理,继而提出有效的安全运行方案和补救方案。强化访问控制,确保网络上网口令的安全保存;完善相关验证制度法规;及时更新系统补丁,从而尽可能避免各种病毒入侵。此外,应该统一管理防火墙、VPN等网络中与安全性相关的产品,建立完善详细的操作系统日志,便于管理员对其行为进行分析,使其能够发现网络中潜在安全隐患,提早预防,使网络安全性得到保证。
3.2加强信息加密密码算法安全性
确保信息安全是一个系统工程,需要综合采取各种措施。而密码学是保证信息安全的关键技术。密码技术的基本思想是对信息进行隐藏以隐蔽信息,将数据以密文形式在信息系统中储存和传输,这样即使密文被非法窃取,未授权者也无法获知信息,从而达到对信息的保护。密码的发展经历了由简单到复杂、由古典到近代的历程。因此新时代里需要更完善的密码算法来保证网络信息安全。目前得到广泛应用且公认较安全的公开密钥密码有:基于大整数因子分解困难性的RSA密码、基于有限域上离散对数困难性的ELGamal密码和基于椭圆曲线离散对数问题困难性的ECC密码等。
3.3网络病毒及其防治
按照信息共享的方式可将计算机网络分为C/S(Client/Server)网络或B/S(Browser/Server)网络。客户机向服务器发出请求,如所需的信息,服务器接到命令对其进行分析处理,再把结果返还给客户机。在这个过程中主要的软件和硬件实体是工作站和服务器,即病毒可以通过“工作站--服务器--工作站”的方式在网络中传播。所以基本的病毒预防应该从服务器和工作站两条路线双管齐下。服务器是整个网络的核心成分,如果被病毒感染,就会使整个网络陷于瘫痪。因此基于服务器的防病毒技术十分关键。现在采用的技术包括实时在线扫描病毒,24小时监控网络检测进入服务器的文件是否带毒,及时追踪病毒的活动并向网络管理员提交报告。考虑到本地工作站不能被基于服务器扫描病毒技术保护,还可以同时在上网的工作站安装常驻扫毒程序,实时检测在工作站中运行的程序。基于工作站的防毒技术主要有安装防病毒芯片。这种方法是将防病毒功能集成于一个芯片安装在网络工作站上,保护工作站及其和服务器之间的通路。
3.4提高网络安全管理水平
从计算机网络应用实际情况来看,人们的安全防范意识比较缺乏,在实际应用过程中没有对网络安全问题产生重视。所以,为能够使计算机管理技术有效运用得到保证,有关工作人员应当提升安全防范方面的自身意识,科学提高网络安全管理水平;结合网络安全教育,科学引导网络用户思想和行为,减少基于社会工程学的网络攻击。其次应结合网络安全漏洞和信息管理技术,建设完善的安全管理分析体系,实现计算机信息管理系统的科学建设。
4小结
网络安全基本服务范文3
[关键词]网络;安全;信息
[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158(2013)06-0111-01
随着信息化建设的加快,计算机和通信技术的迅速发展,伴随着网络用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,网络安全问题越来越突出,需要良好的技术来保障网络安全,使得计算机网络面临着严峻的信息安全形势的挑战,传统的单一的防御设备或者检测设备已经无法满足安全需求,也需要新的方法和设备来进行更新。
建立信息安全体系统来进行网络安全的管理是应对这些困难的重中之重。应该考虑网络安全帐号口令管理安全系统建设,实现终端安全管理系统的扩容,同时完善网络设备、安全管理系统、网络审计系统、安全设备、主机和应用系统的部署。此阶段需要部署一套合理化、职能化、科学化的帐号口令统一管理系统,有效实现一人一帐号。这个过程完成以后基本上能够保证全网安全基本达到规定的标准,接下来就需要进行系统体系架构图编辑等工作以实现安全管理建设,主要内容包括专业安全服务、审计管理、授权管理、认证管理、账号管理、平台管理等基本内容,各种相应的配套设施如安全服务顾问、管理部门等也要跟上。
目前的网络病毒攻击越来越朝着混合性的方向发展,网络安全建设管理系统需要在各分支节点交换进行边界防护,部署入侵检测系统,主要的应用技术是网络边界防病毒、网络边界入侵防护、网络边界隔离、内容安全管理等。加强对内部流量的检测,对访问业务系统的流量进行集中的管控。但是因为深度检测和防御的采用还并不能保证最大化的效果,可以实现静态的深度过滤和防护,目前很多的病毒和安全威胁是动态变化的,入侵检测系统要对流量进行动态的检测,将入侵检测系统产生的事件进行有效的呈现。此外还可以考虑将新增的服务器放置到服务器区域防护,防护IPS入侵进行intemet出口位置的整合。
任何的网络安全事件都不确定的,但是在异常和正常之间平滑的过渡,我们能够发现某些蛛丝马迹。在现代的网络安全事件中都会使用模糊集理论,并寻找关联算法来挖掘网络行为的特征,异常检测会尽可能多对网络行为进行全面的描述。
首先,无折叠出现的频繁度研究中,网络安全异常事件模式被定义为频繁情节,并针对这种情节指出了一定的方法,提出了频繁度密度概念,其设计算法主要利用事件流中滑动窗口,这改变了将网络属性划分不同的区间转化为“布尔型”关联规则算法以及其存在的明显的边界问题,对算法进行实验证明网络时空的复杂性、漏报率符合网络安全事件流中异常检测的需求。这种算法利用网络安全防火墙建保护内外网的屏障,采用复合攻击模式方法,利用事件流中滑动窗口设计算法,对算法进行科学化的测试。
其次,在入侵检测系统中,有时候使用网络连接记录中的基本属性效果并不明显,必要时采用系统连接方式检测网络安全基本属性,这可以提高系统的灵活性和检测精度,这种方式是数据化理论与关联规则算法结合起来的方法,能够挖掘网络行为的特征,既包含低频率的模式同时也包含着频率高的模式。
不同的攻击类型产生的日志记录分布情况也不同,某些攻击只产生一些孤立的比例很小记录,某些攻击会产生占总记录数的比例很大的大量的连续记录。针对网络数据流中属性值分布,采用关联算法将其与数据逻辑结合起来用于检测系统能够更精确的去应对不均匀性和网络事件发生的概率不同的情况。实验结果证明,设计算法的引入显著提高了网络安全事件异常检测效率,减少了规则库中规则的数量,不仅可以提高异常检测的能力。
最后,建立整体的网络安全感知系统,提高异常检测的效率。作为网络安全态势感知系统的一部分,为了提高异常检测的效率,建立整体的网络安全感知系统能够解决传统单点的问题、流量分析方法效率低下以及检测对分布式异常检测能力弱的问题。主要的方式是基于netflow的异常检测,过网络数据设计公式推导出高位端口计算结果,最后采集局域网中的数据,通过对比试验进行验证。大规模网络数据流的特点是速度快、数据持续到达、规模宏大。因此,目前需要解决的重要问题是如何在大规模网络环境下提供预警信息,进行检测网络异常。可以结合数据流挖掘技术和入侵检测技术,设计大规模网络数据流频繁模式挖掘和检测算法,可以有效的应对网络流量异常的行为。
还有的研究者提出一种可控可管的网络智能体模型来增强网络抵御智能攻击的能力,能够主动识别潜在异常,及时隔离被攻击节点阻止危害扩散,并报告攻击特征实现信息共享。这种方法综合了网络危险理论和选择原理,提出了一种新的网络智能体训练方法,使其在网络中能更有效的识别节点上的攻击行为。通过分析智能体与对抗模型,表明网络智能体模型能够更好的保障网络安全。网络安全安全检测技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据,而目前针对网络的安全态势感知研究也已经成为网络安全领域的热点。
网络安全基本服务范文4
论文摘要:随着计算机和互联网的广泛普及,层出不穷的信息安全事件也受到了大家的关注。高校计算机系大都开设了信息安全专业,而网络安全基础是该专业的一门实践性较强的重要的课程,如何设计好该门课程的实践学习是掌握网络安全方面知识的一个重要环节,建立虚拟机的实验环境、选择合适的实验工具可以帮助教师更好的完成教学、帮助学生更好地完成课程的学习。
1引言
进入21世纪,随着信息技术的逐步普及和发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,已取得了许多成果,并得以推广应用。目前国内已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了我国信息安全产业的雏形,但由于国内专门从事信息安全工作技术人才严重短缺,阻碍了我国信息安全事业的发展。在国家教育部门的宏观指导下,我国在一些高校已经设置了本科、专科信息安全专业,我国信息安全学科建设已经拉开序幕。
网络安全基础是一门具有普及性意义的实践性很强的课程,是信息安全专业中一门非常重要的课程。通过学习要求学生具有全面的信息安全专业知识,使得学生有较宽的知识面和进一步发展的基本能力;使学生具有本学科科学研究所需的基本素质,为学生今后的发展、创新打下良好的基础;使学生具有较强的应用能力,具有应用已掌握的基本知识解决实际应用问题的能力,不断增强系统的应用、开发以及不断获取新知识的能力。该门课程对实践操作要求较高,因此如何安排好实验环境、选择合适的实验工具软件对学好这门课程显得十分重要。
2实验环境的建立
通常具备条件的大学应该建立相应的信息安全专业实验室,专门用于信息安全相关课程的学习和实践,来完善和加强理论知识。而无法建立专门的网络安全实验室的学校就要利用现有的条件来完成课程实践部分内容的传授和学习。由于在课程实践过程中,会涉及大量的实验内容,这些内容大部分都是与网络攻击与防范有关,因此为避免影响实验室的正常运转,不能直接在现有的环境下进行。这就需要以现有的普通计算机实验室为基础,建立专门用于网络安全实验的环境。利用虚拟机软件建立虚拟实验环境是一种有效且实用的方法。
常用的虚拟机软件由VirualPC,Vmware等。这里主要介绍一下VMware虚拟机软件。VMwareWorkstation是VMware公司的专业虚拟机软件,可以虚拟现有任何操作系统,而且使用简单、容易上手。在现有的实验室人手一机的环境下,利用该软件组建一个小规模的双机实验环境,在课程实验的过程中,由物理机充当攻击主机或客户端,虚拟机充当被攻击主机或服务器端,这样既不会影响现有的实验室配置,又可以完成课程的实验,是一种有效的方法。
VMwareWorkstation软件的完整安装过程如下:
1.建立一个新的虚拟机,利用软件的安装向导创建一个新的虚拟机并选择在该环境下要安装的操作系统;
2.配置安装好的虚拟机:设置虚拟机磁盘容量,内存的大小,网络连接方式等;
3.配置虚拟机的网络,这部分比较重要,是整个安装过程的重点和难点。虚拟机的三种网络连接方式如下:
(1)Bridged模式(VMnet0):桥接方式,结构如图1所示。
相当于在计算机上搭建一个虚拟网桥,如果物理机上有网卡(IP地址固定),而且位于一个物理网络,可以使用该选项。虚拟机通过虚拟网卡直接和外部局域网相连,有自己的IP地址,和物理机所在的局域网处于同一个网段,在外部看来,虚拟机和物理机地位相等,物理机和虚拟机都使用本地连接。
设置方法:将虚拟机的TCP/IP属性设置为与物理机的TCP/IP属性在同一物理网段即可。
(2)NAT(VMnet8):网络地址转换方式,结构如图2所示。
虚拟机使用本地连接与物理机的VMnet8之间通信并连接到外部网络,用此方式连网的话可以不必与主机真实网卡的地址在同一个网段中。设置方法:将虚拟机的本地连接为自动获取即可。
(3)Host-Only(VMnet1):仅为主机网络,结构如图3所示。这种模式是一种封闭的方式,适合在一个独立的环境中进行各种网络实验。这种方式下Host主机的“网络连接”中出现了一个虚拟的网卡VMnet1(默认情况下)。和NAT的不同的是:此种方式下,没有地址转换服务。因此这种情况下,虚拟机只能访问到主机,不想和外部网络连接,只与物理机之间搭建一个虚拟专有网络,则使用该项。
设置方法:将虚拟机的IP地址设置为与物理机VMnet1的IP地址为同一网段即可。
在实际教学的过程中,根据课程内容的不同可以灵活的选择虚拟机的网络连接方式来完成实验。
3实验工具的选择
在课程的教学过程中要培养学生学习信息安全方面的基本理论和基本知识,要使学生既有扎实的理论基础,又有较强的应用能力,因此要选择合适的教学内容和实验工具。在教学内容中以网络安全的基础知识为主。课程主要的学习内容包括:网络安全的基本框架;网络安全体系结构;密码技术;计算机扫描技术;网络攻击技术;入侵检测技术;计算机病毒及反病毒技术;防火墙技术;WWW安全;E-mail安全等知识。实验工具也是学习课程的一个重要辅助手段,可以帮助学生迅速有效的掌握所学的理论知识。根据课程的实际内容选择相应的实验工具,这里根据网络安全基础课程的内容分成几个部分分别介绍一下在学习实验过程中用到的实验工具。
(1)网络安全基本框架和体系结构部分实验以网络命令和数据包捕获为主。网络命令主要是让学生熟悉一些网络测试基本命令的使用。数据包捕获部分使用工具软件Sniffer让学生了解网络体系结构中网络层与传输层中信息的传输情况。Sniffer是利用计算机的网络接口截获数据报文的一种工具。使用该工具把网络中传输流动的数据报抓下来,然后查看并分析其中的内容,得到有用的信息。
(2)密码技术中除学习基本的密码算法之外,实验工具可以选择PGP软件。PGP加密软件是美国NetworkAssociateInc.出产的免费软件,可用它对文件、邮件进行加密,该软件采用的是由对称加密算法(IDEA)、非对称加密算法(RSA)、单向散列算法(MD5)以及随机数产生器(从用户击键频率产生伪随机数序列的种子)组成的混合加密算法,可以帮助学生加深对密码理论知识的学习和掌握。
(3)计算机扫描技术则通过一些常用的端口扫描工具的使用来让学生了解如何通过端口扫描来收集目标主机的信息、漏洞。工具软件可以选择SuperScan、X-Scan之类的扫描软件。
(4)网络攻击技术部分介绍一些常见的网络攻击与防御方法。如木马攻击与防御选择不同类型的比较常见的木马工具如冰河、广外男生、灰鸽子等来进行攻击和防御,让学生通过实验了解木马程序如何对目标进行攻击以及如何清除木马的方法;DDOS攻击则通过SYN-FLOOD、UPD-FLOOD等工具了解拒绝服务攻击的过程和预防。
(5)入侵检测技术则通过使用SessionWall工具了解入侵检测的基本过程和原理。SessionWall是ComputerAssociates公司的入侵检测产品。可以自动识别网络使用模式,特殊网络应用,并能够识别各种基于网络的入侵、攻击和滥用活动,可以对网络安全事件进行监听、对事件进行侦测、提前预警、在侦测出不正常的网络行为时,可自动发出处理动作、记录统计报告等。
(6)计算机病毒及反病毒技术则选择最新的病毒或由学生根据实际体会来对病毒的危害、处理方式进行学习。并选择瑞星杀毒软件来学习防病毒软件的安装和使用。
(7)防火墙技术由于实验环境的限制选择个人版防火墙如天网防火墙或瑞星防火墙来完成实验,通过实验要求学生掌握防火墙的基本设置。
(8)WWW的安全则主要以Win2000系统的Web服务为例来学习Web服务器和浏览器的安全配置以及如何启动SSL通道获取数字证书来保证站点安全的整个设置过程。
(9)E-Mail安全部分主要通过对OutlookExpress客户端编辑软件的设置来对保证邮件的安全。OutlookExpress是微软公司的一个基于Internet标准的电子邮件和新闻阅读程序。它的邮件接收规则定义、邮件加密和签名等机制可以可以帮助用户发送和接收安全的电子邮件。通过该工具帮助学生学习关于电子邮件安全方面的知识,拒绝垃圾邮件和恶意邮件。
4结束语
信息安全是国家信息化健康发展的基础,是国家安全的重要组成部分。国家对信息安全人才的要求也是极其迫切的,这就要求高校能够更好的培养信息安全方面的应用型人才,培养能利用所学知识解决具体问题的人才。网络安全基础课程是信息安全专业的一门基础课程,如何更好的完成网络安全基础课程的教学,让学生尽可能的将所学知识有效的结合到实际应用中,根据所学知识解决具体的安全问题,是该门课程要解决的主要问题。本文从教学实践出发,讨论了信息安全基础课程的教学过程中实验环境的建立、实验内容和实验工具的选择。对如何更好的完成网络安全基础课程的教学进行了探讨。
参考文献:
[1]彭爱华.实战多操作系统与虚拟机[M].北京:人民邮电出版社,2004.
网络安全基本服务范文5
[关键词] 计算机网络安全 黑客技术 防火墙 人侵检测技术 基本对策
一、引言
随着信息技术广泛应用和飞速发展,计算机网络已成为现代信息社会的基础设施。计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,它作为进行信息交流、开展各种社会活动的工具,已经深人到人们生活的各个领域。同时,计算机安全问题也随之日益突出,存在着自然和人为等诸多因素的脆弱性和潜在威胁,网络安全问题已经成为人们普遍关注的问题。
二、网络面临的威胁
1.物理安全威胁
物理安全是指在物理介质层次上对存储和传输信息的安全保护,这方面的威胁主要有自然灾害、设备故障、电磁辐射、操作失误和意外事件。
2.操作系统的缺陷
全球软件巨擎微软公司曾经宣布,其Windows操作系统的大多数版本中都存在一个重大瑕疵,利用这个缺陷,攻击者可以在个人计算机上运行恶意程序。微软在其每月的安全公告中警告说,Windows NT, Windows 2000, Windows XP和WindowsServer 2003都面临着危险。
3.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有全面考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。TCP/IP是被公布于世的,了解它的人越多,被人破坏的可能性越大。
4.用户安全使用的缺陷
操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,密码易于被破解,软件使用的错误,系统备份不完整,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
三、黑客入侵技术
黑客利用计算机某些程序的设计缺陷,可以利用多种方法实现对网络的攻击,在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。
1.端口扫描
一个端口就是一个潜在的通信通道,也就是一个人侵通道,通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞。扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器可以不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。
2.网络监听
网络监听给网络安全带来了极大的隐患,当信息传播的时候,可以利用工具将网络接口设置在监听的模式,便可将网络中正在传播的信息截获或者捕获到,从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行。而黑客一般都是利用网络监听来截取用户口令。
3.IP电子欺骗
IP欺骗的最基本形式是搞清楚一个网络的配置,然后改变自己的IP地址,伪装成别人的IP地址。这样做会使所有被发送的数据包都带有假冒的源地址。所有的应答都回到了被盗用了地址的机器上,而不是攻击者的机器。
4.拒绝服务攻击
拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。
5.特洛伊木马
特洛伊木马是一种非常危险的恶性程序,它无休止地窃取用户的信息,从而给用户造成了巨大的损失。
6.缓冲区溢出
缓冲区溢出,简单地说就是程序对接受的输人数据没有进行有效的检测导致错误,后果可能造成程序崩溃或者是执行攻击者的命令。
四、计算机网络安全的基本对策
1.信息加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
2.防火墙技术
防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。
3.入侵检测技术
随着网络安全风险系数的不断提高,作为对防火墙及其有益的补充,IDS(人侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。人侵检测系统是一种对网络活动进行实时监测的专用系统,该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进人的恶意流量。人侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,通过集中控制台来管理、检测。
4.系统容灾技术
一个完整的网络安全体系,只有“防范”和“检测”措施是不够的。还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失,一旦发生漏防漏检事件,其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的安全。
5.网络安全管理策略
除了使用上述技术措施之外,在网络安全中,通过制定相关的规章制度来加强网络的安全管理,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:首先,要制定有关人员出人机房管理制度和网络操作使用规程;其次,确定安全管理等级和安全管理范围;再次,是制定网络系统的维护制度和应急措施等。
参考文献:
[1]贾花萍:浅析网络安全技术――防火墙技术[J].科技信息,2007,(6)
[2]柴争义:入侵容忍技术及其实现[J].计算机技术与发展,2007,(2)
网络安全基本服务范文6
关键词:金融计算机;综合业务;网络安全体系
中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01
Financial Computer Network Security System and Its Application
Huang Cheng,Chen Jiguo
(Postal Savings Bank Of China,Haikou570206,China)
Abstract:Financial activities in the computer more and more widely,and in the process of network financial computer network security has become an important issue.This paper analyzes the financial computer network security system construction and implementation of the depth of the financial network security issues.
Keywords:Financial computer;Integrated services;Network Security System
金融全球化是世界金融发展的必然趋势。网络金融和金融网络化交易,以巨大的力量推动着国际金融的发展。但是网络金融是一把双刃剑,它在带来繁荣与高效的同时也带来了风险与危机。
一、金融计算机网络的安全体系分析
从信息即金钱的层面上看,网络环境下的金融安全威胁主要表现为以下几个方面:
(一)金融数字化引起的风险。网络金融的威胁首先来自于其自身的数字化特性。数字信息可以容易地被复制,而且复制所产生的替代品不会因此而降级。
(二)双向互联引起的金融信息安全风险。互联网作为一种商业工具具有若干个突出的特点,这些特点给金融服务机构带来了新的安全挑战。其中最突出的是双向互联特性。
(三)银行-客户互联的共享风险。目前金融服务机构的产品和服务范围较以往大大扩展,服务时间也已延长到全天24小时以及全年无间歇,而且提供服务的渠道和途径已实现多元化,并打破了地域界限。
二、金融计算机综合业务网络安全体系需求
(一)安全服务。在商业系统中,机密性也包括隐私性的要求,如银行中储户的个人资料和账目往来情况等敏感性信息不能被其他人所获取。在商业数据交换环境中,有两种基本方法可以提供机密性:(1)路由控制。使用路由控制进行访问控制,可防止入侵者观察到敏感数据。一些依赖于系统的机制能够也可用于机密性保护,受这些机制保护的数据只有在控制失效或者控制被旁路时才可以被读取。(2)加密。加密和解密提供了从明文流到密文流的一种变换方法,密码技术通过编码数据,使数据内容变得难以理解。采取这种信息隐藏方法,可以防止入侵者从数据表示中推出所表示的信息内容或提炼出其他有用信息。
(二)安全机制。通常,电子金融活动的信息安全体系包括基本加密技术、安全认证技术以及安全应用标准与协议3大层次,在此安全体系之上便可以建立电子金融与商务活动的支付体系和各种业务系统。
三、金融计算机综合业务网络安全体系设计研究
计算机网络安全是网络金融与电子商务活动安全的基础,一个完整的应用系统应建立在安全的网络基础设施之上。网络安全技术所涉及到如下技术:
(一)加密技术:加密技术是保证网络金融与商务信息安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用密钥来对敏感信息进行加密,从而保证网络数据的机密性。
(二)防火墙技术:防火墙将内部网络与外部公网(不可信任的网络)隔离开来,它建立在通信技术和信息安全技术之上,用于在网络之间建立一个安全屏障,根据指定的策略对网络数据进行过滤、分析和审计,并对各种攻击提供有效的防范。它是企业内部网应用的一项重要技术。
(三)入侵检测、漏洞检测技术:入侵检测、漏洞检测技术是防范黑客入侵或病毒破坏等网络攻击的重要手段之一。
(四)网络安全标准:网络金融的一个主要特征是在线金融交易,为了保证在线交易的安全,需要采用各种加密技术和身份认证技术,从而创造一种值得信赖的电子交易环境。
四、金融计算机综合业务网络安全体系的实现
(一)安全机制。网络安全的具体措施有:隔离技术、加密技术、备份技术、日志和审计、身份鉴别、访问控制、防范计算机病毒技术和防范计算机黑客技术等。
(二)身份鉴别和验证。系统的安全性常常依赖于对终端用户身份的正确识别与检验,以防止用户的欺诈行为。对计算机系统的存取访问也必须根据访问者的身份加以一定的限制,这些都是最基本的安全要求。
(三)数据传输加密及完整性保护。加密技术是保证电子金融与商务信息安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用密钥来对敏感信息进行加密,从而保证网络数据的机密性。通过数字签名的密码技术可同时保证网络数据的完整性和真实性。
(四)数据库系统安全控制。当系统变得越来越大时,其人员、资源以及安全的管理和维护会变得越来越复杂,也越来越困难。特别是在因特网(Internet)环境中。这就使得数据库资源和安全管理变得极为重要。
五、金融计算机网络的安全体系的审计和评估
为堵死安全策略和安全措施之间的缺口,必须从以下3方面对网络安全状况进行评估:从企业外部进行评估,考察企业计算机基础设施中的防火墙;从企业内部进行评估,考察内部网络系统中的计算机;从应用系统进行评估,考察每台硬件设备上运行的操作系统。
六、结语
电子金融与商务活动的安全体系包括网络信息传输安全、信息加密技术以及交易的安全,涉及诸如基本加密算法,数字信封、数字签名等安全认证技术以及各种安全协议等。加强金融计算机网络的安全体系研究对于金融网络化的安全性保障有着重要的积极作用。
参考文献:
[1]熊建宇.网络金融的特点及安全体系构建[J].科技信息,2010,31
