第一篇:淺析網(wǎng)絡(luò)安全的威脅因素及防范措施
淺析網(wǎng)絡(luò)安全的威脅因素及防范措施
摘要:
網(wǎng)絡(luò)安全問題一直是計(jì)算機(jī)良好發(fā)展的關(guān)鍵性因素。隨著網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)安全問題日趨凸現(xiàn)。本文通過對網(wǎng)絡(luò)安全的主要威脅因素進(jìn)行分析,著重闡述了幾種常用的網(wǎng)絡(luò)安全的防范措施。
關(guān)鍵詞:網(wǎng)絡(luò)安全;威脅因素;防范措施
一、網(wǎng)絡(luò)安全的威脅因素分析
隨著網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)安全問題日趨凸顯,目前的網(wǎng)絡(luò)安全技術(shù)主要有以下幾種:
1、計(jì)算機(jī)軟件的漏洞
每一個(gè)網(wǎng)絡(luò)軟件或操作系統(tǒng)的存在都不可能是沒有缺陷、沒有漏洞的,這就是說每一臺計(jì)算機(jī)都是不安全的,只要計(jì)算機(jī)室連接入網(wǎng)的,都將成為眾矢之的。
2、相關(guān)軟件配置不當(dāng)
對于沒有做好安全配置的電腦同樣會造成網(wǎng)絡(luò)安全的漏洞,諸如,如果防火墻軟件配置不正確,那防火墻就起不到應(yīng)有的作用。對計(jì)算機(jī)上的某些網(wǎng)絡(luò)應(yīng)用程序,當(dāng)它打開時(shí),就相應(yīng)的打開了一些安全缺口,同樣的與該軟件捆綁在一起的應(yīng)用軟件也會被打開。除非用戶不讓該程序運(yùn)行或?qū)ζ溥M(jìn)行正確配置,否則,計(jì)算機(jī)始終存在安全隱患。
3、用戶個(gè)人安全意識不強(qiáng)
安全意識的問題主要針對用戶本人,對與用戶口令選擇或?qū)①~號隨意告知他人或與別人共享等,都會給計(jì)算機(jī)帶來網(wǎng)絡(luò)安全威脅。
4、網(wǎng)絡(luò)病毒
目前計(jì)算機(jī)病毒是數(shù)據(jù)安全的頭號大敵,它是制造者在計(jì)算機(jī)程序中植入的損壞計(jì)算機(jī)數(shù)據(jù)或功能,對計(jì)算機(jī)軟硬件的正常運(yùn)行造成影響并能夠自我復(fù)制的計(jì)算機(jī)程序代碼或指令。計(jì)算機(jī)病毒具有觸發(fā)性、破壞性、寄生性、傳染性、隱蔽性等特點(diǎn)。因此,針對計(jì)算機(jī)病毒的防范尤為重要。
5、電腦黑客
電腦黑客(Cracker)是對計(jì)算機(jī)數(shù)據(jù)安全構(gòu)成威脅的另一個(gè)重要方面。電腦黑客是利用系統(tǒng)中的安全漏洞非法進(jìn)入他人的系統(tǒng),是一種甚至比病毒更危害的安全因素。
二、網(wǎng)絡(luò)安全的防范措施
目前常用的幾種網(wǎng)絡(luò)安全技術(shù)防范措施有以下幾種:
1、防火墻(Fire Wall)安全技術(shù)
防火墻是指Internet之間通過預(yù)定的安全策略,對計(jì)算機(jī)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施的訪問控制的安全應(yīng)用措施。它按照一定的安全策略對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包實(shí)施檢查,以裁決網(wǎng)絡(luò)之間的通信是否應(yīng)該被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。由于它透明度高且簡單實(shí)用,目前被廣泛應(yīng)用。據(jù)統(tǒng)計(jì),近五年防火墻需求的年增長率為174%。目前,市面上防火墻種類很多,有些廠商甚至把防火墻植入其硬件產(chǎn)品中。可以斷定,防火墻技術(shù)將得到進(jìn)一步發(fā)展。但是,防火墻也并非想象的那樣不可安全。統(tǒng)計(jì)顯示,曾被黑客入侵的網(wǎng)絡(luò)用戶有33%是有防火墻的,所以還必須有其它安全措施保證網(wǎng)絡(luò)信息,諸如對數(shù)據(jù)的加密處理。而且防火墻無法保護(hù)對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全,只能針對外部網(wǎng)絡(luò)的侵?jǐn)_。
2、用戶數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密是對數(shù)據(jù)信息重新編碼,從而隱匿信息內(nèi)容,讓非法用戶無法得知信息本身內(nèi)容的手段。信息系統(tǒng)及數(shù)據(jù)的安全性和保密性主要手段之一就是數(shù)據(jù)加密。數(shù)據(jù)加密的種類有數(shù)據(jù)傳輸、數(shù)據(jù)完整性鑒別、數(shù)據(jù)存儲以及密鑰管理四種。數(shù)據(jù)傳輸加密的目的是對傳輸中的數(shù)據(jù)流加密,常用的有線路加密和端口加密兩種;數(shù)據(jù)完整性鑒別的目的是對介入信息傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證,達(dá)到保密的要求,系統(tǒng)通過對比驗(yàn)證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù),實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù);數(shù)據(jù)存儲加密是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的,可分為密文存儲和存取控制兩種。數(shù)據(jù)加密技術(shù)現(xiàn)多表現(xiàn)為密鑰的應(yīng)用,密鑰管理實(shí)際上是為了數(shù)據(jù)使用方便。密鑰管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。另外,數(shù)字加密也廣泛地被應(yīng)用于數(shù)字簽名、信息鑒別等技術(shù)中,這對系統(tǒng)的信息處理安全起到尤為重要的作用。
3、計(jì)算機(jī)系統(tǒng)容災(zāi)技術(shù)
災(zāi)難容忍和系統(tǒng)恢復(fù)能力彌補(bǔ)了網(wǎng)絡(luò)安全體系僅有的防范和檢測措施的不足。由于沒有哪一種網(wǎng)絡(luò)安全設(shè)施是萬無一失的,一旦發(fā)生安全漏洞事件,其后果
將是不可設(shè)想的。還有,人為等不可預(yù)料導(dǎo)致的事件也會對信息系統(tǒng)造成巨大的毀壞。所以一個(gè)安全體系就算發(fā)生滅難,也能對系統(tǒng)和數(shù)據(jù)快速地恢復(fù),進(jìn)而完整地保護(hù)網(wǎng)絡(luò)信息系統(tǒng)。目前系統(tǒng)容災(zāi)技術(shù)主要有數(shù)據(jù)備份。但對于離線介質(zhì)不能保證系統(tǒng)安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)是在兩個(gè)存儲器(一個(gè)在本地,一個(gè)在異地)之間建立復(fù)制關(guān)系。本地存儲器供本地備份系統(tǒng)使用,異地存儲器對本地備份存儲器的關(guān)鍵數(shù)據(jù)實(shí)時(shí)復(fù)制。兩者通過IP相聯(lián)系,組成完整的數(shù)據(jù)容災(zāi)系統(tǒng)。系統(tǒng)容錯(cuò)技術(shù)還有一種就是集群技術(shù),是通過對系統(tǒng)的容錯(cuò)和整體冗余來解決不可用和系統(tǒng)死機(jī)問題。本地集群網(wǎng)絡(luò)、異地集群網(wǎng)絡(luò)和雙機(jī)熱備份是集群系統(tǒng)多種形式實(shí)現(xiàn),提供了不同的系統(tǒng)可用性和容災(zāi)性。其中容災(zāi)性是最好的是異地集群網(wǎng)絡(luò)。數(shù)據(jù)存儲系統(tǒng)集成了存儲、備份和容災(zāi)技術(shù)。是數(shù)據(jù)技術(shù)發(fā)展的重要階段。伴著存儲網(wǎng)絡(luò)化時(shí)代的發(fā)展, 一體化的多功能網(wǎng)絡(luò)存儲器勢必將取代傳統(tǒng)的功能單一的存儲器。
4、軟件漏洞掃描技術(shù)
自動檢測本地主機(jī)或遠(yuǎn)端安全的技術(shù)就是漏洞掃描,它隨時(shí)查詢TCP/IP服務(wù)的端口, 收集關(guān)于某些特定項(xiàng)目的有用信息,并記錄目標(biāo)主機(jī)的響應(yīng)。漏洞掃面技術(shù)是通過安全掃描程序來實(shí)現(xiàn)。掃描程序可以迅速的檢查出現(xiàn)存的安全脆弱點(diǎn)。掃描程序吧可得到的攻擊方法集成到整個(gè)掃描中,之后以統(tǒng)計(jì)的格式輸出供以后參考和分析。
5、物理安全技術(shù)
系統(tǒng)信息還有可能在空間擴(kuò)散,這就需要信息網(wǎng)絡(luò)系統(tǒng)的物理安全。為減少或干擾擴(kuò)散出去的空間信號,一般是在物理上采取一定的防護(hù)措施。物理安全方面一般的措施如下:
(1)產(chǎn)品保障:主要指產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施。
(2)運(yùn)行安全方:網(wǎng)絡(luò)中的產(chǎn)品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持和服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng),應(yīng)設(shè)置備份系統(tǒng)。
(3)防電磁輻射方面:針對所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品,如輻射干擾機(jī)等。
(4)安保方面:主要是防盜、防火等,還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。
計(jì)算機(jī)網(wǎng)絡(luò)安全是個(gè)具有復(fù)雜性和綜合性的問題。針對各種各樣的挑戰(zhàn)以及整個(gè)社會愈來愈快的信息化發(fā)展進(jìn)程,相關(guān)的網(wǎng)絡(luò)安全的各種新的防范措施將會不斷出現(xiàn)和應(yīng)用。
參考文獻(xiàn):
[1] 唐曦光.朱梅梅.計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅因素及防范技術(shù).現(xiàn)代化農(nóng)業(yè).2010.[2] 劉采利.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全隱患.科技天地.2010.[3] 張?zhí)N卿.丁際交.計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅因素及防范技術(shù).實(shí)用技術(shù).2010.[4] 劉學(xué)輝.計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅因素及防范技術(shù).信息科技.2007.
第二篇:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全威脅及防范措施
淺析計(jì)算機(jī)網(wǎng)絡(luò)安全威脅及防范措施
作者任 慧072701061
[摘要]隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)安全日益成為人們關(guān)注的焦點(diǎn)。本文分析了影響網(wǎng)絡(luò)安全的主要因素及攻擊的主要方式,從管理和技術(shù)兩方面就加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全提出了針對性的建議。
[關(guān)鍵詞]計(jì)算機(jī)網(wǎng)絡(luò) 安全 管理 技術(shù)
計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開放和自由的空間,它在大大增強(qiáng)信息服務(wù)靈活性的同時(shí),也帶來了眾多安全隱患,黑客和反黑客、破壞和反破壞的斗爭愈演愈烈,不僅影響了網(wǎng)絡(luò)穩(wěn)定運(yùn)行和用戶的正常使用,造成重大經(jīng)濟(jì)損失,而且還可能威脅到國家安全。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個(gè)國家的政治、經(jīng)濟(jì)、軍事和人民生活的重大關(guān)鍵問題。本文通過深入分析網(wǎng)絡(luò)安全面臨的挑戰(zhàn)及攻擊的主要方式,從管理和技術(shù)兩方面就加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全提出針對性建議。
1.影響網(wǎng)絡(luò)安全的主要因素
計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅是多方面的,既包括對網(wǎng)絡(luò)中信息的威脅,也包括對網(wǎng)絡(luò)中設(shè)備的威脅,但歸結(jié)起來,主要有三點(diǎn):一是人為的無意失誤。如操作員安全配置不當(dāng)造成系統(tǒng)存在安全漏洞,用戶安全意識不強(qiáng),口令選擇不慎,將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會給網(wǎng)絡(luò)安全帶來威脅。二是人為的惡意攻擊。這也是目前計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,比如敵手的攻擊和計(jì)算機(jī)犯罪都屬于
這種情況,此類攻擊又可以分為兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。三是網(wǎng)絡(luò)軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞,這些缺陷和漏洞恰恰就是黑客進(jìn)行攻擊的首選目標(biāo)。絕大部分網(wǎng)絡(luò)入侵事件都是因?yàn)榘踩胧┎煌晟疲瑳]有及時(shí)補(bǔ)上系統(tǒng)漏洞造成的。此外,軟件公司的編程人員為便于維護(hù)而設(shè)置的軟件“后門”也是不容忽視的巨大威脅,一旦“后門”洞開,別人就能隨意進(jìn)入系統(tǒng),后果不堪設(shè)想。
2.計(jì)算機(jī)網(wǎng)絡(luò)受攻擊的主要形式
計(jì)算機(jī)網(wǎng)絡(luò)被攻擊,主要有六種形式。①內(nèi)部竊密和破壞。內(nèi)部人員有意或無意的泄密、更改記錄信息或者破壞網(wǎng)絡(luò)系統(tǒng)。②截收信息。攻擊者可能通過搭線或在電磁輻射的范圍內(nèi)安裝截收裝置等方式,截獲機(jī)密信息或通過對信息流和流向、通信頻度和長度等參數(shù)的分析,推出有用的信息。③非法訪問。指未經(jīng)授權(quán)使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源,主要包括非法用戶進(jìn)入網(wǎng)絡(luò)或系統(tǒng)進(jìn)行違法操作和合法用戶以未授權(quán)的方式進(jìn)行操作。④利用TCP/IP 協(xié)議上的某些不安全因素。目前廣泛使用TCP/IP 協(xié)議存在大量安全漏洞,如通過偽造數(shù)據(jù)包進(jìn)行,指定源路由(源點(diǎn)可以指定信息包傳送到目的節(jié)點(diǎn)的中間路由)等方式,進(jìn)行APR 欺騙和IP 欺騙攻擊。⑤病毒破壞。利用病毒占用帶寬,堵塞網(wǎng)絡(luò),癱瘓服務(wù)器,造成系統(tǒng)崩潰或
讓服務(wù)器充斥大量垃圾信息,導(dǎo)致數(shù)據(jù)性能降低。⑥其它網(wǎng)絡(luò)攻擊方式。包括破壞網(wǎng)絡(luò)系統(tǒng)的可用性,使合法用戶不能正常訪問網(wǎng)絡(luò)資源,拒絕服務(wù)甚至摧毀系統(tǒng),破壞系統(tǒng)信息的完整性,還可能冒充主機(jī)欺騙合法用戶,非法占用系統(tǒng)資源等。
3.加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的對策措施
3.1 加強(qiáng)網(wǎng)絡(luò)安全教育和管理:對工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面安全問題,進(jìn)行安全教育,提高工作人員的安全觀念和責(zé)任心;加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn),提高操作技能;教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定,防止人為事故的發(fā)生。同時(shí),要保護(hù)傳輸線路安全。對于傳輸線路,應(yīng)有露天保護(hù)措施或埋于地下,并要求遠(yuǎn)離各種輻射源,以減少各種輻__射引起的數(shù)據(jù)錯(cuò)誤;線纜鋪設(shè)應(yīng)當(dāng)盡可能使用光纖,以減少各種輻射引起的電磁泄漏和對發(fā)送線路的干擾。要定期檢查連接情況,以檢測是否有搭線竊聽、非法外連或破壞行為。
3.2 運(yùn)用網(wǎng)絡(luò)加密技術(shù):網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種:①鏈接加密。在網(wǎng)絡(luò)節(jié)點(diǎn)間加密,在節(jié)點(diǎn)間傳輸加密的信息,傳送到節(jié)點(diǎn)后解密,不同節(jié)點(diǎn)間用不同的密碼。②節(jié)點(diǎn)加密。與鏈接加密類似,不同的只是當(dāng)數(shù)據(jù)在節(jié)點(diǎn)間傳送時(shí),不用明碼格式傳送,而是用特殊的加密硬件進(jìn)行解密和重加密,這種專用硬件通常放置在安全保險(xiǎn)箱中。③首尾加密。對進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)加密,然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進(jìn)行解密。網(wǎng)絡(luò)的加密技術(shù)很多,在實(shí)際應(yīng)用中,人們通常根據(jù)各種加密算法結(jié)合在一起使用,這樣可以更加有效地加強(qiáng)網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之
一。既可以對付惡意軟件攻擊,又可以防止非授權(quán)用戶的訪問。
3.3 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)訪問控制:訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問,也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級、網(wǎng)絡(luò)空間的環(huán)境不同,可靈活地設(shè)置訪問控制的種類和數(shù)量。
3.4 使用防火墻技術(shù):采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng),通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機(jī)制,并且本身具有較強(qiáng)的抗攻擊能力。在邏輯上,防火墻是一個(gè)分離器、限制器和分析器,可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet 之間的任何活動,保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運(yùn)行,它可以起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強(qiáng)化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲通信、授權(quán)、認(rèn)證等重要作用。
總之,網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等諸多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施。因此,只有綜合采取多種防范措施,制定嚴(yán)格的保密政策和明晰的安全策略,才能完好、實(shí)時(shí)地保證信息的機(jī)密性、完整性和可用性,為網(wǎng)絡(luò)提供強(qiáng)大的安全保證。
參考文獻(xiàn)
[1]吳鈺鋒,劉泉,李方敏.網(wǎng)絡(luò)安全中的密碼技術(shù)研究及其應(yīng)用[J].真空電子技術(shù),2004.[2]楊義先.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京:人民郵電出版社,2003.[3]李學(xué)詩.計(jì)算機(jī)系統(tǒng)安全技術(shù)[M].武漢:華中理工大學(xué)出版社,2003.
第三篇:威脅中小企業(yè)網(wǎng)絡(luò)安全的因素
威脅中小企業(yè)網(wǎng)絡(luò)安全的因素
如今,許多的中小型企業(yè)以其靈活多變的經(jīng)營方式、節(jié)奏快捷的信息管理方式已經(jīng)成為建構(gòu)市場經(jīng)濟(jì)的支撐力柱,也成為快速成長型企業(yè)的代名詞。而IT技術(shù)也已經(jīng)成了這些企業(yè)迅速成長的“促生劑”,但由于缺乏專業(yè)安全人員的緊密關(guān)注和有效防御,病毒和黑客卻又成了影響企業(yè)崛起的絆腳石。威脅等級從來就不會因?yàn)橐?guī)模的大小而變化,不論是上萬臺終端的大型網(wǎng)絡(luò),還是“十幾個(gè)人來七八條槍”的小型公司,病毒也從來不是“挑食”的家伙。概括起來,中小企業(yè)的威脅來源于兩個(gè)部分,即:Internet 上的Web威脅,以及內(nèi)部網(wǎng)絡(luò)中的交叉感染。
根據(jù)調(diào)查結(jié)果顯示,目前危害中小企業(yè)網(wǎng)絡(luò)安全的威脅80%來自病毒,同樣是這個(gè)數(shù)值,病毒的行為也正發(fā)生著改變,80%以上的病毒也都來源于Internet網(wǎng)絡(luò)。一旦惡意代碼進(jìn)入內(nèi)網(wǎng),就很有可能造成網(wǎng)絡(luò)的大面積癱瘓,Web訪問的信譽(yù)度大幅降低,使得安全管理出現(xiàn)了失控的情況,正常的業(yè)務(wù)往來隨時(shí)可能中斷。對于內(nèi)網(wǎng),安全防御更在乎管理的細(xì)節(jié),但由于缺少必要的管理手段,小型企業(yè)的終端用戶往往更容易遭到攻擊。終端管理表現(xiàn)出數(shù)量多、情況復(fù)雜、變化頻繁等特點(diǎn),因?yàn)榻K端安全隱患而帶給整個(gè)企業(yè)網(wǎng)絡(luò)安全威脅的情況屢見不鮮:“一臺終端因使用不慎感染病毒,從而成為一個(gè)病毒源,快速感染其他終端和服務(wù)器,并且阻塞辦公網(wǎng)絡(luò)”。結(jié)合上述考慮,中小企業(yè)如果要實(shí)現(xiàn)全面的防護(hù),必須“兩手都抓,兩手都要硬”。
任子行作為國內(nèi)領(lǐng)先的上網(wǎng)行為管理與網(wǎng)絡(luò)內(nèi)容安全解決方案提供商,建議中小企業(yè)應(yīng)采用適當(dāng)?shù)男姓侄尾⑤o之以先進(jìn)的上網(wǎng)行為管理技術(shù)措施,合理對員工上網(wǎng)行為進(jìn)行控制和管理,以加強(qiáng)對外網(wǎng)的使用監(jiān)管,保障公司網(wǎng)絡(luò)資源的有效合理使用,提高員工的工作效率,確保工作的正常高效開展,避免不當(dāng)上網(wǎng)行為所造成的負(fù)面影響,更好地維護(hù)企業(yè)形象。
第四篇:銀行網(wǎng)絡(luò)安全防范措施
銀行網(wǎng)絡(luò)安全防范措施
銀行網(wǎng)絡(luò)安全防范措施
□ 建行北京分行石景山支行郭亞力
隨著金融業(yè)務(wù)的拓展與金融電子化進(jìn)程的加快,計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)在金融領(lǐng)域中的應(yīng)用越來越廣。與此同時(shí),金融電子化也帶來了高科技下的新風(fēng)險(xiǎn)。計(jì)算機(jī)系統(tǒng)本身的不安全和人為的攻擊破壞,以及計(jì)算機(jī)安全管理制度的不完善都潛伏著很多安全隱患,嚴(yán)重的可能導(dǎo)致計(jì)算機(jī)系統(tǒng)的癱瘓,影響銀行的業(yè)務(wù)和聲譽(yù),造成巨大的經(jīng)濟(jì)損失和不良的社會影響。因此,加強(qiáng)銀行網(wǎng)絡(luò)系統(tǒng)安全體系的建設(shè),保證其正常運(yùn)行,防范犯罪分子對它的入侵,已成為金融電子化建設(shè)中極為重要的工作。
網(wǎng)絡(luò)安全的基本要求是保密、完整、可用、可控和可審查。從技術(shù)角度講,銀行網(wǎng)絡(luò)系統(tǒng)的安全體系應(yīng)包括: 操作系統(tǒng)和數(shù)據(jù)庫安全、加密技術(shù)、訪問控制、身份認(rèn)證、攻擊監(jiān)控、防火墻技術(shù)、防病毒技術(shù)、備份和災(zāi)難恢復(fù)等。從管理角度看,應(yīng)著力健全計(jì)算機(jī)管理制度和運(yùn)行規(guī)程,加強(qiáng)員工管理,不斷提高員工的安全防范意識和責(zé)任感,杜絕內(nèi)部作案的可能性,建立起良好的故障處理反應(yīng)機(jī)制。
網(wǎng)絡(luò)系統(tǒng)技術(shù)安全措施
1.操作系統(tǒng)及數(shù)據(jù)庫
操作系統(tǒng)是計(jì)算機(jī)最重要的系統(tǒng)軟件,它控制和管理著計(jì)算機(jī)系統(tǒng)的硬件和軟件資源,是計(jì)算機(jī)的指揮中樞。目前銀行網(wǎng)絡(luò)系統(tǒng)常用的操作系統(tǒng)有Unix、Windows NT等,安全等級都是C2級,可以說是相對安全、嚴(yán)密的系統(tǒng),但并非無懈可擊。
許多銀行業(yè)務(wù)系統(tǒng)使用Unix網(wǎng)絡(luò)系統(tǒng),黑客可利用網(wǎng)絡(luò)監(jiān)聽工具截取重要數(shù)據(jù);利用用戶使用telnet、ftp、rlogin等服務(wù)時(shí)監(jiān)聽這些用戶的明文形式的賬戶名和口令;利用具有suid權(quán)限的系統(tǒng)軟件的安全漏洞;利用Unix平臺提供的工具,如finger命令查找有關(guān)用戶的信息,獲得大部分的用戶名;利用IP欺騙技術(shù);利用exrc文件等獲得對系統(tǒng)的控制權(quán)。針對這些安全缺陷,我們應(yīng)定期檢查日志文件;檢查具有suid權(quán)限的文件;檢查/etc/passwd是否被修改;檢查系統(tǒng)網(wǎng)絡(luò)配置中是否有非法項(xiàng);檢查系統(tǒng)上非正常的隱藏文件;檢查/etc/inetd.conf和 /etc/rc2.d/*文件,并采取以下措施:
1)及時(shí)安裝操作系統(tǒng)的補(bǔ)丁程序;2)將系統(tǒng)的安全級別設(shè)置為最高,停止不必要的服務(wù),該關(guān)的功能關(guān)閉;3)安裝過濾路由器;4)加強(qiáng)賬號和口令的安全管理,定期檢查/etc/passwd和/etc/shadow文件,經(jīng)常更換各賬號口令,查看su日志文件和拒絕登錄消息日志文件。
對于Windows NT網(wǎng)絡(luò)系統(tǒng),可采取以下措施: 1)使用NTFS文件系統(tǒng),它可以對文件和目錄使用ACL存取控制表;2)將系統(tǒng)管理員賬號由原先的“Administrator”改名,使非法登錄用戶不但要猜準(zhǔn)口令,還要先猜出用戶名;3)對于提供Internet公共服務(wù)的計(jì)算機(jī),廢止Guest賬號,移走或限制所有的其他用戶賬號;4)打開審計(jì)系統(tǒng),審計(jì)各種操作成功和失敗的情況,及時(shí)發(fā)現(xiàn)問題前兆,定期備份日志文件;5)及時(shí)安裝補(bǔ)丁程序。
數(shù)據(jù)庫的安全就是要保證數(shù)據(jù)庫信息的完整、保密和可用。通常用安全管理、存取控制和數(shù)據(jù)加密來實(shí)現(xiàn)。安全管理一般分為集中控制和分散控制兩種方式。集中控制就是由單個(gè)授權(quán)者來控制系統(tǒng)的整個(gè)安全維護(hù),分散控制則是采用不同的管理程序控制數(shù)據(jù)庫的不同部分。存取控制包括最小特權(quán)策略(用戶只能了解與自己工作有關(guān)的信息,其他信息被屏蔽)、最大共享策略(信息在保密控制條件下得到最大共享,并不是隨意存取信息)、開放與封閉系統(tǒng)(開放: 不明確禁止,即可訪問;封閉: 明確授權(quán),才能訪問)、按名存取策略、按上下文存取策略、按存取歷史的存取策略等。數(shù)據(jù)加密可從三個(gè)方面進(jìn)行,即庫內(nèi)加密(庫內(nèi)的一條記錄或記錄的某一屬性作為文件被加密)、整庫加密(整個(gè)數(shù)據(jù)庫包括數(shù)據(jù)結(jié)構(gòu)和內(nèi)容作為文件被加密)和硬件加密。
2.網(wǎng)絡(luò)加密技術(shù)
網(wǎng)絡(luò)加密的目的是保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)、文件、口令和控制信息的安全。
(1)加密方式:
信息加密處理通常有兩種方式: 鏈路加密和端到端加密。
鏈路加密是對兩節(jié)點(diǎn)之間的鏈路上傳送的數(shù)據(jù)進(jìn)行加密,不適用于廣播網(wǎng)。
端到端加密是對源節(jié)點(diǎn)和目的節(jié)點(diǎn)之間傳送的數(shù)據(jù)所經(jīng)歷的各段鏈路和各個(gè)中間節(jié)點(diǎn)進(jìn)行全程加密。端到端加密不僅適用于互聯(lián)網(wǎng),也適用于廣播網(wǎng)。
基于鏈路加密和端到端加密各有特點(diǎn),為提高網(wǎng)絡(luò)的安全性,可綜合使用這兩種技術(shù)。具體說就是鏈路加密用來對控制信息進(jìn)行加密,而端到端加密僅對數(shù)據(jù)提供全程加密。
(2)加密算法
如果按收發(fā)雙方的密鑰是否相同來分類,可將這些加密算法分為常規(guī)密碼算法(對稱型加密)和公鑰密碼算法(非對稱型加密)。此外,還有一種加密算法是不可逆加密算法。
上述三種信息加密算法在實(shí)際工作中可單獨(dú)或結(jié)合使用。物理層、鏈路層和網(wǎng)絡(luò)層使用的加密設(shè)備一般運(yùn)用常規(guī)加密算法(如DES);遠(yuǎn)程訪問服務(wù)中使用的一次性口令技術(shù)和Cisco路由器的Enable Secret口令一般采用不可逆加密算法MD5;基于PKI認(rèn)證技術(shù)和SET協(xié)議則綜合采用了不可逆加密、非對稱加密、對稱加密和數(shù)字簽名等多種技術(shù)。
3.網(wǎng)絡(luò)安全訪問控制
訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問,也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全,保護(hù)網(wǎng)絡(luò)資源的重要手段。通過對特定的網(wǎng)段和服務(wù)建立有效的訪問控制體系,可在大多數(shù)的攻擊到達(dá)之前進(jìn)行阻止,從而達(dá)到限制非法訪問的目的。這包括鏈路層和網(wǎng)絡(luò)層的安全訪問控制,以及遠(yuǎn)程用戶訪問的安全訪問控制。可采取的安全措施有: VLAN劃分、訪問控制列表(ACL)、用戶授權(quán)管理、TCP同步攻擊攔截和路由欺騙防范等。
4.身份認(rèn)證
5.網(wǎng)絡(luò)入侵檢測系統(tǒng)
入侵檢測技術(shù)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù),是對入侵行為的監(jiān)控,它通過對網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或被攻擊的跡象。利用實(shí)時(shí)入侵檢測技術(shù),可對特定網(wǎng)段、主機(jī)和服務(wù)建立攻擊監(jiān)控體系,有效阻止外部黑客的入侵和來自內(nèi)部網(wǎng)絡(luò)的攻擊。
6.網(wǎng)絡(luò)防火墻技術(shù)
防火墻就是在內(nèi)部網(wǎng)與外部網(wǎng)之間建立的一種被動式防御的訪問控制技術(shù),它能夠在網(wǎng)絡(luò)的入口處,根據(jù)IP源地址、IP目標(biāo)地址、協(xié)議端口以及數(shù)據(jù)包的狀態(tài)等信息,對發(fā)送和接受的每一個(gè)數(shù)據(jù)包進(jìn)行過濾監(jiān)測,并根據(jù)用戶事先定義好的過濾規(guī)則,拒絕或允許IP數(shù)據(jù)包的通過,在必要時(shí)將有關(guān)信息反饋給上層應(yīng)用程序。
防火墻的主要技術(shù)類型包括網(wǎng)絡(luò)級數(shù)據(jù)包過濾和應(yīng)用代理服務(wù)(應(yīng)用網(wǎng)關(guān))。鑒于兩種防火墻技術(shù)的優(yōu)缺點(diǎn),在實(shí)際構(gòu)建防火墻系統(tǒng)時(shí),常將兩種技術(shù)配合使用,由過濾路由器提供第一級安全保護(hù),主要用于防止IP欺騙攻擊,再由代理服務(wù)器提供更高級的安全保護(hù)機(jī)制。
7.防病毒技術(shù)
8.備份和災(zāi)難恢復(fù)
備份和災(zāi)難恢復(fù)是對銀行網(wǎng)絡(luò)系統(tǒng)工作中可能出現(xiàn)的各種災(zāi)難情況(如計(jì)算機(jī)病毒、系統(tǒng)故障、自然災(zāi)害、人為破壞等)進(jìn)行的保證系統(tǒng)及數(shù)據(jù)連續(xù)性和可靠性的一種防范措施。銀行網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)主機(jī)和服務(wù)器的備份方式一般可采取雙機(jī)備份、磁盤鏡像或容錯(cuò)等技術(shù),備份機(jī)要遠(yuǎn)離生產(chǎn)機(jī)。可采用EMC智能存儲系統(tǒng)的SRDF遠(yuǎn)程磁盤鏡像技術(shù)等作為數(shù)據(jù)備份技術(shù),生產(chǎn)中心和備份中心之間通過直連光纜實(shí)現(xiàn)數(shù)據(jù)備份通道。
數(shù)據(jù)備份包括系統(tǒng)數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)、應(yīng)用數(shù)據(jù)等的備份,采用傳統(tǒng)的磁盤、磁帶、光盤作為介質(zhì),根據(jù)數(shù)據(jù)的重要程度和不同要求分不同的期限實(shí)行本地和異地雙備份保存。
網(wǎng)絡(luò)系統(tǒng)安全管理措施
銀行網(wǎng)絡(luò)系統(tǒng)的安全性不僅與硬件、網(wǎng)絡(luò)、系統(tǒng)等技術(shù)方面有關(guān),還與它的管理和使用有著極為密切的關(guān)系。
1. 加強(qiáng)基礎(chǔ)設(shè)施和運(yùn)行環(huán)境建設(shè)
計(jì)算機(jī)機(jī)房、配電室、交換機(jī)機(jī)房等計(jì)算機(jī)系統(tǒng)重要基礎(chǔ)設(shè)施應(yīng)嚴(yán)格管理,配備防盜、防火、防水等設(shè)備;安裝電視監(jiān)控系統(tǒng)、監(jiān)控報(bào)警等裝置;計(jì)算機(jī)設(shè)備采用UPS不間斷電源供電(重要機(jī)房可采用雙回路供電或配備發(fā)電機(jī)組);設(shè)備要可靠接地;供電、通信線路要布線整齊、規(guī)范、連接牢靠;機(jī)房環(huán)境要干凈、整潔,保持特定的溫度和濕度。
2. 加強(qiáng)設(shè)備管理和使用工作
建立包括設(shè)備購置管理、設(shè)備使用管理、設(shè)備維修管理和設(shè)備倉儲管理等內(nèi)容的規(guī)章制度。計(jì)算機(jī)管理部門要定期對設(shè)備運(yùn)行環(huán)境、設(shè)備運(yùn)行狀況、各項(xiàng)規(guī)章制度、操作規(guī)程的執(zhí)行情況進(jìn)行檢查,對發(fā)現(xiàn)的問題及時(shí)解決,確保計(jì)算機(jī)系統(tǒng)的安全、可靠運(yùn)行。
3. 建立健全安全管理內(nèi)控制度
建立業(yè)務(wù)部門計(jì)算機(jī)系統(tǒng)使用管理規(guī)定、部門主管和業(yè)務(wù)操作人員計(jì)算機(jī)密碼管理規(guī)定、違反計(jì)算機(jī)管理規(guī)章制度處理辦法等內(nèi)控管理制度;嚴(yán)格實(shí)行運(yùn)行、維護(hù)、開發(fā)分離的崗位責(zé)任制;禁止混崗和代崗,禁止公用和公開密碼;對重要數(shù)據(jù)的改賬處理要經(jīng)過授權(quán)由專人負(fù)責(zé),并登記日志;建立健全備份制度,核心程序及數(shù)據(jù)結(jié)構(gòu)要嚴(yán)格保密,實(shí)行專人分工保管;對已制定的規(guī)章制度,要專人負(fù)責(zé),真正落實(shí),從根本上杜絕內(nèi)部安全隱患。
4. 加強(qiáng)銀行員工思想和安全意識教育
一方面對員工要進(jìn)行經(jīng)常的思想道德水平和法制觀念教育,培養(yǎng)他們自覺抵制各種誘惑的能力,使他們不違法、不犯罪;另一方面要提高員工的安全防范意識和能力,不給犯罪分子以可乘之機(jī)。
第五篇:淺談校園網(wǎng)絡(luò)安全及防范措施
更多資料請?jiān)L問:豆丁 教育百科
淺談校園網(wǎng)絡(luò)安全及防范措施
高縣職校 楊兵
[摘要] 隨著校園網(wǎng)的不斷發(fā)展和應(yīng)用,網(wǎng)絡(luò)管理和安全防范問題也越來越復(fù)雜。Internet是一個(gè)信息的海洋,雖然給人們帶來了無盡的便捷,大大提高了工作效率,但是由于Intemet所具有的開放性、國際性和自由性,所以每個(gè)網(wǎng)絡(luò)用戶同時(shí)都面臨著嚴(yán)峻的安全問題。校園網(wǎng)絡(luò)通常是借助主干網(wǎng)絡(luò)將校園內(nèi)分處于不同地域的教學(xué)樓和機(jī)構(gòu)相連接構(gòu)成校園網(wǎng)絡(luò)的整體,然后通過一個(gè)出口與Intemet相連接。本文主要是結(jié)合校園網(wǎng)管理工作的實(shí)際,就校園網(wǎng)絡(luò)安全問題的特點(diǎn),提出一些防范校園網(wǎng)安全的措施。
[關(guān)鍵詞] 校園網(wǎng) 網(wǎng)絡(luò)安全
防范措施
一、前言
當(dāng)前,構(gòu)架在網(wǎng)絡(luò)環(huán)境之上的“校園網(wǎng)”,已成為學(xué)校信息化建設(shè)的焦點(diǎn)。校園網(wǎng)建設(shè)的宗旨,是服務(wù)于教學(xué)、科研和管理,其建設(shè)原則也無外乎先進(jìn)性、實(shí)用性、高性能性、開放性、可擴(kuò)展性、可維護(hù)性、可操作性,但人們大多都忽略了網(wǎng)絡(luò)的安全性,或者說在建設(shè)校園網(wǎng)過程中對安全性的考慮不夠。據(jù)美國FBI統(tǒng)計(jì),美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元,而全球平均每20秒鐘就發(fā)生一起Internet 計(jì)算機(jī)侵入事件。在我國,每年因黑客入侵、計(jì)算機(jī)病毒的破壞給企業(yè)造成的損失令人觸目驚心。人們在享受到網(wǎng)絡(luò)的優(yōu)越性的同時(shí),對網(wǎng)絡(luò)安全問題變得越來越重視。
由此可見,校園網(wǎng)的安全性問題貫穿于校園網(wǎng)建設(shè)、管理、使用的全過程,是非常重要的。
二、校園網(wǎng)絡(luò)安全問題的特點(diǎn)
由于學(xué)校是以教學(xué)活動為中心的場所,網(wǎng)絡(luò)的安全問題也有自己的特點(diǎn)。主要表現(xiàn)在:
1.不良信息的傳播。
在校園網(wǎng)接入Internet后,師生都可以通過校園網(wǎng)絡(luò)在自己的機(jī)器上進(jìn)入Internet。目前Internet上各種信息良莠不齊,有關(guān)色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫。這些有毒的信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī),對世界觀和人生觀正在形成的學(xué)生來說,危害非常大。如果安全措施不好,不僅會有部分學(xué)生進(jìn)入這些網(wǎng)站,還會把這些信息在校園內(nèi)傳播。2.病毒的危害。
通過網(wǎng)絡(luò)傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機(jī)病毒所不能比擬的。特別是在學(xué)校接入Internet后,為外面病毒進(jìn)入學(xué)校大開方便之門,下載的程序和電子郵件都可能帶有病毒。3.非法訪問。
學(xué)校涉及到的機(jī)密不是很多,來自外部的非法訪問的可能性要少一些,關(guān)鍵是內(nèi)部的非法訪問。一些學(xué)生可能會通過非正常的手段獲得習(xí)題的答案,使正常的教學(xué)練習(xí)失去意義。更有甚者,有的學(xué)生可能在考前獲得考試內(nèi)容,嚴(yán)重地破壞了學(xué)校的管理秩序。4.惡意破壞。
這包括對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個(gè)方面的破壞。
網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、通信媒體、工作站等,它們分布在更多資料請?jiān)L問:豆丁 教育百科
整個(gè)校園內(nèi),管理起來非常困難,某些人員可能出于各種目的,有意或無意地將它們損壞,這樣會造成校園網(wǎng)絡(luò)全部或部分癱瘓。
另一方面是利用黑客技術(shù)對校園網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞。表現(xiàn)在以下幾個(gè)方面:對學(xué)校網(wǎng)站的主頁面進(jìn)行修改,破壞學(xué)校的形象;向服務(wù)器發(fā)送大量信息使整個(gè)網(wǎng)絡(luò)陷于癱瘓;利用學(xué)校的BBS轉(zhuǎn)發(fā)各種非法的信息等。5.使用者自身的特點(diǎn)
校園網(wǎng)絡(luò)有別于一般的Intranet。首先,它的主要使用者為處于青少年階段的學(xué)生,他們好奇心強(qiáng)、求勝逞強(qiáng)心重、法律意識比較淡泊,大部分學(xué)校對他們的信息道德教育不到位,使他們產(chǎn)生崇拜黑客的想法,總想一試身手;其次,某些網(wǎng)站為了點(diǎn)擊率及自身的利益,提供黑客軟件及教程下載;此外,學(xué)生精力旺盛,掌握了大量的計(jì)算機(jī)和網(wǎng)絡(luò)專業(yè)知識,所以他們易產(chǎn)生黑客行為或編寫病毒程序。
三、校園網(wǎng)安全的防范措施
目前,比較成熟的網(wǎng)絡(luò)安全技術(shù)產(chǎn)品有:防火墻、入侵檢測、身份認(rèn)證、病毒防范、信息過濾、數(shù)據(jù)加密、VPN、VLAN、容錯(cuò)、數(shù)據(jù)備份、地址綁定等。但網(wǎng)絡(luò)安全不只是這些技術(shù)產(chǎn)品的簡單堆砌,它是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合。1.根據(jù)用戶的特性和需求劃分VLAN
校園局域網(wǎng)與其他企事業(yè)單位的局域網(wǎng)相比,聯(lián)網(wǎng)計(jì)算機(jī)及網(wǎng)絡(luò)用戶的群體更為復(fù)雜。有教師備課機(jī)、學(xué)生機(jī)房、學(xué)生宿舍、圖書館、家屬區(qū)以及人事、財(cái)務(wù)、后勤等行政辦公計(jì)算機(jī)等。不同的用戶對于網(wǎng)絡(luò)有著不同的需求,對于自身信息的安全性要求也不同,據(jù)此可以將校園網(wǎng)劃分為多個(gè)VLAN。2.在校園網(wǎng)出口設(shè)置防火墻網(wǎng)關(guān)
防火墻網(wǎng)關(guān)能有效隔離校園網(wǎng)和外部互聯(lián)網(wǎng),使校園網(wǎng)與互聯(lián)網(wǎng)之間的訪問連接得到有效控制,阻止黑客對校園網(wǎng)的非法訪問和攻擊。針對校園網(wǎng)中部分重要的網(wǎng)段(如院長辦公室、教務(wù)、財(cái)務(wù)、人事、科研中心、重要實(shí)驗(yàn)室等)設(shè)置防火墻網(wǎng)關(guān),將他們和學(xué)生機(jī)房、學(xué)生宿舍及家屬區(qū)的網(wǎng)段隔離,提供最基本的網(wǎng)絡(luò)層的訪問控制,使之不會受到來自校內(nèi)其他網(wǎng)段的攻擊。3.合理運(yùn)用入侵檢測技術(shù)
入侵檢測技術(shù)是主動保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充,入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、攻擊識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。可以利用入侵檢測技術(shù)構(gòu)架校園網(wǎng)的主動防御體系,加強(qiáng)對校園網(wǎng)特別是行政、教研、服務(wù)器等重點(diǎn)網(wǎng)段的保護(hù)。4.設(shè)置訪問控制管理系統(tǒng)和智能信息過濾系統(tǒng)
在學(xué)生上網(wǎng)比較集中的網(wǎng)段(如學(xué)生機(jī)房、學(xué)生宿舍、圖書館等),設(shè)置Internet訪問控制管理系統(tǒng)和智能信息過濾系統(tǒng),從技術(shù)上對學(xué)生的上網(wǎng)行為進(jìn)行管理和監(jiān)控,防止學(xué)生有意無意訪問含有黃、賭、毒、暴力、邪教等內(nèi)容的網(wǎng)站。另外,還要加強(qiáng)對學(xué)生的信息道德教育、法制教育及上網(wǎng)行為的管理,使他們不再主動上網(wǎng)瀏覽、下載、傳播這類信息。5.加強(qiáng)服務(wù)器安全設(shè)置
服務(wù)器是校園網(wǎng)的核心設(shè)備,也是黑客們的主要攻擊對象,所以它們要有最高的安全性。網(wǎng)絡(luò)操作系統(tǒng)是校園網(wǎng)服務(wù)器系統(tǒng)中最重要的組成部分,用戶通過使用網(wǎng)絡(luò)操作系統(tǒng)來使用校園網(wǎng)絡(luò)資源,所以服務(wù)器安全的前提是網(wǎng)絡(luò)操作系統(tǒng)更多資料請?jiān)L問:豆丁 教育百科 的安全。
6.加強(qiáng)防范,防止病毒泛濫
要建立一個(gè)有效合理的病毒預(yù)防和查殺機(jī)制。通過在網(wǎng)絡(luò)中部署分布式、網(wǎng)絡(luò)化的防病毒系統(tǒng),不僅可以讓單機(jī)有效地防止病毒侵害,還可以使管理員從中央位置對整個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)狀態(tài)下的病毒防護(hù)。
◆ 及時(shí)有效對病毒進(jìn)行查殺。
◆ 保證所有計(jì)算機(jī)都安裝了網(wǎng)絡(luò)版殺毒軟件的客戶端,不能漏掉一個(gè),否則就會出現(xiàn)“木桶效應(yīng)”,使整個(gè)網(wǎng)絡(luò)重新被病毒感染。
◆ 及時(shí)升級服務(wù)器端殺毒軟件的病毒庫,并要求客戶端也要及時(shí)升級病毒庫,并定期進(jìn)行全網(wǎng)計(jì)算機(jī)病毒掃描。
◆近年爆發(fā)的計(jì)算機(jī)病毒如沖擊波、震蕩波、QQ尾巴等都是利用操作系統(tǒng)或應(yīng)用軟件本身的漏洞進(jìn)行傳播,所以要及時(shí)安裝系統(tǒng)補(bǔ)丁,截?cái)嗖《緜鞑サ耐緩剑浜蠚⒍拒浖鸬诫p重防范病毒的效果。
◆ 要求校園網(wǎng)用戶在安裝了學(xué)校提供的網(wǎng)絡(luò)版殺毒軟件后,不得再私自安裝其他殺毒軟件,以免互相沖突。7.在防火墻內(nèi)口上捆綁IP和MAC地址,在匯聚交換機(jī)上捆綁IP和MAC地址,在接入交換機(jī)上捆綁端口和MAC地址。
通過MAC地址、IP地址、交換機(jī)端口的雙重捆綁,解決校園網(wǎng)中IP地址盜用問題和IP沖突問題。8.容錯(cuò)和備份
對于重要的服務(wù)器,可以進(jìn)行雙機(jī)熱備、磁盤鏡像;對于重要的數(shù)據(jù)信息,采用數(shù)據(jù)備份技術(shù),要定期進(jìn)行備份、存儲,做到防患于未然。一旦出現(xiàn)系統(tǒng)癱瘓、崩潰,可通過備份的數(shù)據(jù)信息快速地恢復(fù)系統(tǒng)。9.加強(qiáng)內(nèi)部安全管理,提高用戶的安全意識
為了確保網(wǎng)絡(luò)和系統(tǒng)的正常運(yùn)轉(zhuǎn),應(yīng)該建立嚴(yán)格的局域網(wǎng)管理制度和機(jī)房上機(jī)管理制度,杜絕人為因素造成網(wǎng)絡(luò)不安全。配備相應(yīng)的網(wǎng)絡(luò)管理人員負(fù)責(zé)整個(gè)網(wǎng)絡(luò)安全的日常管理及維護(hù)。
校園網(wǎng)絡(luò)安全問題的解決不僅僅需要先進(jìn)的網(wǎng)絡(luò)安全技術(shù)及網(wǎng)絡(luò)安全設(shè)備,更需要嚴(yán)格的校園網(wǎng)管理制度和校園網(wǎng)安全意識,是一個(gè)系統(tǒng)化的工程,涉及范圍很廣。隨著校園網(wǎng)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)應(yīng)用的發(fā)展,還會出現(xiàn)新的網(wǎng)絡(luò)安全問題,所以不會有絕對的和永久的安全,因此網(wǎng)絡(luò)管理員就需要不斷學(xué)習(xí),提高自身技術(shù)水平。
以上是從事網(wǎng)絡(luò)管理工作中得到的一些經(jīng)驗(yàn)和理論,但這些仍不足以完全杜絕網(wǎng)絡(luò)危險(xiǎn),維護(hù)網(wǎng)絡(luò)安全的核心是保證用戶數(shù)據(jù)不受損害,所以定期地備份網(wǎng)絡(luò)用戶數(shù)據(jù),是非常重要的手段,也是切實(shí)有效的方式。
點(diǎn)擊咨詢 