第一篇:銀行網絡安全防范措施
銀行網絡安全防范措施
銀行網絡安全防范措施
□ 建行北京分行石景山支行郭亞力
隨著金融業務的拓展與金融電子化進程的加快,計算機網絡通信技術在金融領域中的應用越來越廣。與此同時,金融電子化也帶來了高科技下的新風險。計算機系統本身的不安全和人為的攻擊破壞,以及計算機安全管理制度的不完善都潛伏著很多安全隱患,嚴重的可能導致計算機系統的癱瘓,影響銀行的業務和聲譽,造成巨大的經濟損失和不良的社會影響。因此,加強銀行網絡系統安全體系的建設,保證其正常運行,防范犯罪分子對它的入侵,已成為金融電子化建設中極為重要的工作。
網絡安全的基本要求是保密、完整、可用、可控和可審查。從技術角度講,銀行網絡系統的安全體系應包括: 操作系統和數據庫安全、加密技術、訪問控制、身份認證、攻擊監控、防火墻技術、防病毒技術、備份和災難恢復等。從管理角度看,應著力健全計算機管理制度和運行規程,加強員工管理,不斷提高員工的安全防范意識和責任感,杜絕內部作案的可能性,建立起良好的故障處理反應機制。
網絡系統技術安全措施
1.操作系統及數據庫
操作系統是計算機最重要的系統軟件,它控制和管理著計算機系統的硬件和軟件資源,是計算機的指揮中樞。目前銀行網絡系統常用的操作系統有Unix、Windows NT等,安全等級都是C2級,可以說是相對安全、嚴密的系統,但并非無懈可擊。
許多銀行業務系統使用Unix網絡系統,黑客可利用網絡監聽工具截取重要數據;利用用戶使用telnet、ftp、rlogin等服務時監聽這些用戶的明文形式的賬戶名和口令;利用具有suid權限的系統軟件的安全漏洞;利用Unix平臺提供的工具,如finger命令查找有關用戶的信息,獲得大部分的用戶名;利用IP欺騙技術;利用exrc文件等獲得對系統的控制權。針對這些安全缺陷,我們應定期檢查日志文件;檢查具有suid權限的文件;檢查/etc/passwd是否被修改;檢查系統網絡配置中是否有非法項;檢查系統上非正常的隱藏文件;檢查/etc/inetd.conf和 /etc/rc2.d/*文件,并采取以下措施:
1)及時安裝操作系統的補丁程序;2)將系統的安全級別設置為最高,停止不必要的服務,該關的功能關閉;3)安裝過濾路由器;4)加強賬號和口令的安全管理,定期檢查/etc/passwd和/etc/shadow文件,經常更換各賬號口令,查看su日志文件和拒絕登錄消息日志文件。
對于Windows NT網絡系統,可采取以下措施: 1)使用NTFS文件系統,它可以對文件和目錄使用ACL存取控制表;2)將系統管理員賬號由原先的“Administrator”改名,使非法登錄用戶不但要猜準口令,還要先猜出用戶名;3)對于提供Internet公共服務的計算機,廢止Guest賬號,移走或限制所有的其他用戶賬號;4)打開審計系統,審計各種操作成功和失敗的情況,及時發現問題前兆,定期備份日志文件;5)及時安裝補丁程序。
數據庫的安全就是要保證數據庫信息的完整、保密和可用。通常用安全管理、存取控制和數據加密來實現。安全管理一般分為集中控制和分散控制兩種方式。集中控制就是由單個授權者來控制系統的整個安全維護,分散控制則是采用不同的管理程序控制數據庫的不同部分。存取控制包括最小特權策略(用戶只能了解與自己工作有關的信息,其他信息被屏蔽)、最大共享策略(信息在保密控制條件下得到最大共享,并不是隨意存取信息)、開放與封閉系統(開放: 不明確禁止,即可訪問;封閉: 明確授權,才能訪問)、按名存取策略、按上下文存取策略、按存取歷史的存取策略等。數據加密可從三個方面進行,即庫內加密(庫內的一條記錄或記錄的某一屬性作為文件被加密)、整庫加密(整個數據庫包括數據結構和內容作為文件被加密)和硬件加密。
2.網絡加密技術
網絡加密的目的是保護網上傳輸的數據、文件、口令和控制信息的安全。
(1)加密方式:
信息加密處理通常有兩種方式: 鏈路加密和端到端加密。
鏈路加密是對兩節點之間的鏈路上傳送的數據進行加密,不適用于廣播網。
端到端加密是對源節點和目的節點之間傳送的數據所經歷的各段鏈路和各個中間節點進行全程加密。端到端加密不僅適用于互聯網,也適用于廣播網。
基于鏈路加密和端到端加密各有特點,為提高網絡的安全性,可綜合使用這兩種技術。具體說就是鏈路加密用來對控制信息進行加密,而端到端加密僅對數據提供全程加密。
(2)加密算法
如果按收發雙方的密鑰是否相同來分類,可將這些加密算法分為常規密碼算法(對稱型加密)和公鑰密碼算法(非對稱型加密)。此外,還有一種加密算法是不可逆加密算法。
上述三種信息加密算法在實際工作中可單獨或結合使用。物理層、鏈路層和網絡層使用的加密設備一般運用常規加密算法(如DES);遠程訪問服務中使用的一次性口令技術和Cisco路由器的Enable Secret口令一般采用不可逆加密算法MD5;基于PKI認證技術和SET協議則綜合采用了不可逆加密、非對稱加密、對稱加密和數字簽名等多種技術。
3.網絡安全訪問控制
訪問控制的主要任務是保證網絡資源不被非法使用和非法訪問,也是維護網絡系統安全,保護網絡資源的重要手段。通過對特定的網段和服務建立有效的訪問控制體系,可在大多數的攻擊到達之前進行阻止,從而達到限制非法訪問的目的。這包括鏈路層和網絡層的安全訪問控制,以及遠程用戶訪問的安全訪問控制。可采取的安全措施有: VLAN劃分、訪問控制列表(ACL)、用戶授權管理、TCP同步攻擊攔截和路由欺騙防范等。
4.身份認證
5.網絡入侵檢測系統
入侵檢測技術是近年出現的新型網絡安全技術,是對入侵行為的監控,它通過對網絡或計算機系統中的若干關鍵點收集信息并進行分析,從中發現網絡或系統中是否有違反安全策略的行為或被攻擊的跡象。利用實時入侵檢測技術,可對特定網段、主機和服務建立攻擊監控體系,有效阻止外部黑客的入侵和來自內部網絡的攻擊。
6.網絡防火墻技術
防火墻就是在內部網與外部網之間建立的一種被動式防御的訪問控制技術,它能夠在網絡的入口處,根據IP源地址、IP目標地址、協議端口以及數據包的狀態等信息,對發送和接受的每一個數據包進行過濾監測,并根據用戶事先定義好的過濾規則,拒絕或允許IP數據包的通過,在必要時將有關信息反饋給上層應用程序。
防火墻的主要技術類型包括網絡級數據包過濾和應用代理服務(應用網關)。鑒于兩種防火墻技術的優缺點,在實際構建防火墻系統時,常將兩種技術配合使用,由過濾路由器提供第一級安全保護,主要用于防止IP欺騙攻擊,再由代理服務器提供更高級的安全保護機制。
7.防病毒技術
8.備份和災難恢復
備份和災難恢復是對銀行網絡系統工作中可能出現的各種災難情況(如計算機病毒、系統故障、自然災害、人為破壞等)進行的保證系統及數據連續性和可靠性的一種防范措施。銀行網絡系統業務主機和服務器的備份方式一般可采取雙機備份、磁盤鏡像或容錯等技術,備份機要遠離生產機。可采用EMC智能存儲系統的SRDF遠程磁盤鏡像技術等作為數據備份技術,生產中心和備份中心之間通過直連光纜實現數據備份通道。
數據備份包括系統數據、基礎數據、應用數據等的備份,采用傳統的磁盤、磁帶、光盤作為介質,根據數據的重要程度和不同要求分不同的期限實行本地和異地雙備份保存。
網絡系統安全管理措施
銀行網絡系統的安全性不僅與硬件、網絡、系統等技術方面有關,還與它的管理和使用有著極為密切的關系。
1. 加強基礎設施和運行環境建設
計算機機房、配電室、交換機機房等計算機系統重要基礎設施應嚴格管理,配備防盜、防火、防水等設備;安裝電視監控系統、監控報警等裝置;計算機設備采用UPS不間斷電源供電(重要機房可采用雙回路供電或配備發電機組);設備要可靠接地;供電、通信線路要布線整齊、規范、連接牢靠;機房環境要干凈、整潔,保持特定的溫度和濕度。
2. 加強設備管理和使用工作
建立包括設備購置管理、設備使用管理、設備維修管理和設備倉儲管理等內容的規章制度。計算機管理部門要定期對設備運行環境、設備運行狀況、各項規章制度、操作規程的執行情況進行檢查,對發現的問題及時解決,確保計算機系統的安全、可靠運行。
3. 建立健全安全管理內控制度
建立業務部門計算機系統使用管理規定、部門主管和業務操作人員計算機密碼管理規定、違反計算機管理規章制度處理辦法等內控管理制度;嚴格實行運行、維護、開發分離的崗位責任制;禁止混崗和代崗,禁止公用和公開密碼;對重要數據的改賬處理要經過授權由專人負責,并登記日志;建立健全備份制度,核心程序及數據結構要嚴格保密,實行專人分工保管;對已制定的規章制度,要專人負責,真正落實,從根本上杜絕內部安全隱患。
4. 加強銀行員工思想和安全意識教育
一方面對員工要進行經常的思想道德水平和法制觀念教育,培養他們自覺抵制各種誘惑的能力,使他們不違法、不犯罪;另一方面要提高員工的安全防范意識和能力,不給犯罪分子以可乘之機。
第二篇:淺談校園網絡安全及防范措施
更多資料請訪問:豆丁 教育百科
淺談校園網絡安全及防范措施
高縣職校 楊兵
[摘要] 隨著校園網的不斷發展和應用,網絡管理和安全防范問題也越來越復雜。Internet是一個信息的海洋,雖然給人們帶來了無盡的便捷,大大提高了工作效率,但是由于Intemet所具有的開放性、國際性和自由性,所以每個網絡用戶同時都面臨著嚴峻的安全問題。校園網絡通常是借助主干網絡將校園內分處于不同地域的教學樓和機構相連接構成校園網絡的整體,然后通過一個出口與Intemet相連接。本文主要是結合校園網管理工作的實際,就校園網絡安全問題的特點,提出一些防范校園網安全的措施。
[關鍵詞] 校園網 網絡安全
防范措施
一、前言
當前,構架在網絡環境之上的“校園網”,已成為學校信息化建設的焦點。校園網建設的宗旨,是服務于教學、科研和管理,其建設原則也無外乎先進性、實用性、高性能性、開放性、可擴展性、可維護性、可操作性,但人們大多都忽略了網絡的安全性,或者說在建設校園網過程中對安全性的考慮不夠。據美國FBI統計,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鐘就發生一起Internet 計算機侵入事件。在我國,每年因黑客入侵、計算機病毒的破壞給企業造成的損失令人觸目驚心。人們在享受到網絡的優越性的同時,對網絡安全問題變得越來越重視。
由此可見,校園網的安全性問題貫穿于校園網建設、管理、使用的全過程,是非常重要的。
二、校園網絡安全問題的特點
由于學校是以教學活動為中心的場所,網絡的安全問題也有自己的特點。主要表現在:
1.不良信息的傳播。
在校園網接入Internet后,師生都可以通過校園網絡在自己的機器上進入Internet。目前Internet上各種信息良莠不齊,有關色情、暴力、邪教內容的網站泛濫。這些有毒的信息違反人類的道德標準和有關法律法規,對世界觀和人生觀正在形成的學生來說,危害非常大。如果安全措施不好,不僅會有部分學生進入這些網站,還會把這些信息在校園內傳播。2.病毒的危害。
通過網絡傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機病毒所不能比擬的。特別是在學校接入Internet后,為外面病毒進入學校大開方便之門,下載的程序和電子郵件都可能帶有病毒。3.非法訪問。
學校涉及到的機密不是很多,來自外部的非法訪問的可能性要少一些,關鍵是內部的非法訪問。一些學生可能會通過非正常的手段獲得習題的答案,使正常的教學練習失去意義。更有甚者,有的學生可能在考前獲得考試內容,嚴重地破壞了學校的管理秩序。4.惡意破壞。
這包括對網絡設備和網絡系統兩個方面的破壞。
網絡設備包括服務器、交換機、集線器、通信媒體、工作站等,它們分布在更多資料請訪問:豆丁 教育百科
整個校園內,管理起來非常困難,某些人員可能出于各種目的,有意或無意地將它們損壞,這樣會造成校園網絡全部或部分癱瘓。
另一方面是利用黑客技術對校園網絡系統進行破壞。表現在以下幾個方面:對學校網站的主頁面進行修改,破壞學校的形象;向服務器發送大量信息使整個網絡陷于癱瘓;利用學校的BBS轉發各種非法的信息等。5.使用者自身的特點
校園網絡有別于一般的Intranet。首先,它的主要使用者為處于青少年階段的學生,他們好奇心強、求勝逞強心重、法律意識比較淡泊,大部分學校對他們的信息道德教育不到位,使他們產生崇拜黑客的想法,總想一試身手;其次,某些網站為了點擊率及自身的利益,提供黑客軟件及教程下載;此外,學生精力旺盛,掌握了大量的計算機和網絡專業知識,所以他們易產生黑客行為或編寫病毒程序。
三、校園網安全的防范措施
目前,比較成熟的網絡安全技術產品有:防火墻、入侵檢測、身份認證、病毒防范、信息過濾、數據加密、VPN、VLAN、容錯、數據備份、地址綁定等。但網絡安全不只是這些技術產品的簡單堆砌,它是包括從系統到應用、從設備到服務的比較完整的、體系性的安全系列產品的有機結合。1.根據用戶的特性和需求劃分VLAN
校園局域網與其他企事業單位的局域網相比,聯網計算機及網絡用戶的群體更為復雜。有教師備課機、學生機房、學生宿舍、圖書館、家屬區以及人事、財務、后勤等行政辦公計算機等。不同的用戶對于網絡有著不同的需求,對于自身信息的安全性要求也不同,據此可以將校園網劃分為多個VLAN。2.在校園網出口設置防火墻網關
防火墻網關能有效隔離校園網和外部互聯網,使校園網與互聯網之間的訪問連接得到有效控制,阻止黑客對校園網的非法訪問和攻擊。針對校園網中部分重要的網段(如院長辦公室、教務、財務、人事、科研中心、重要實驗室等)設置防火墻網關,將他們和學生機房、學生宿舍及家屬區的網段隔離,提供最基本的網絡層的訪問控制,使之不會受到來自校內其他網段的攻擊。3.合理運用入侵檢測技術
入侵檢測技術是主動保護自己免受攻擊的一種網絡安全技術。作為防火墻的合理補充,入侵檢測技術能夠幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應),提高了信息安全基礎結構的完整性。可以利用入侵檢測技術構架校園網的主動防御體系,加強對校園網特別是行政、教研、服務器等重點網段的保護。4.設置訪問控制管理系統和智能信息過濾系統
在學生上網比較集中的網段(如學生機房、學生宿舍、圖書館等),設置Internet訪問控制管理系統和智能信息過濾系統,從技術上對學生的上網行為進行管理和監控,防止學生有意無意訪問含有黃、賭、毒、暴力、邪教等內容的網站。另外,還要加強對學生的信息道德教育、法制教育及上網行為的管理,使他們不再主動上網瀏覽、下載、傳播這類信息。5.加強服務器安全設置
服務器是校園網的核心設備,也是黑客們的主要攻擊對象,所以它們要有最高的安全性。網絡操作系統是校園網服務器系統中最重要的組成部分,用戶通過使用網絡操作系統來使用校園網絡資源,所以服務器安全的前提是網絡操作系統更多資料請訪問:豆丁 教育百科 的安全。
6.加強防范,防止病毒泛濫
要建立一個有效合理的病毒預防和查殺機制。通過在網絡中部署分布式、網絡化的防病毒系統,不僅可以讓單機有效地防止病毒侵害,還可以使管理員從中央位置對整個網絡進行實時狀態下的病毒防護。
◆ 及時有效對病毒進行查殺。
◆ 保證所有計算機都安裝了網絡版殺毒軟件的客戶端,不能漏掉一個,否則就會出現“木桶效應”,使整個網絡重新被病毒感染。
◆ 及時升級服務器端殺毒軟件的病毒庫,并要求客戶端也要及時升級病毒庫,并定期進行全網計算機病毒掃描。
◆近年爆發的計算機病毒如沖擊波、震蕩波、QQ尾巴等都是利用操作系統或應用軟件本身的漏洞進行傳播,所以要及時安裝系統補丁,截斷病毒傳播的途徑,配合殺毒軟件起到雙重防范病毒的效果。
◆ 要求校園網用戶在安裝了學校提供的網絡版殺毒軟件后,不得再私自安裝其他殺毒軟件,以免互相沖突。7.在防火墻內口上捆綁IP和MAC地址,在匯聚交換機上捆綁IP和MAC地址,在接入交換機上捆綁端口和MAC地址。
通過MAC地址、IP地址、交換機端口的雙重捆綁,解決校園網中IP地址盜用問題和IP沖突問題。8.容錯和備份
對于重要的服務器,可以進行雙機熱備、磁盤鏡像;對于重要的數據信息,采用數據備份技術,要定期進行備份、存儲,做到防患于未然。一旦出現系統癱瘓、崩潰,可通過備份的數據信息快速地恢復系統。9.加強內部安全管理,提高用戶的安全意識
為了確保網絡和系統的正常運轉,應該建立嚴格的局域網管理制度和機房上機管理制度,杜絕人為因素造成網絡不安全。配備相應的網絡管理人員負責整個網絡安全的日常管理及維護。
校園網絡安全問題的解決不僅僅需要先進的網絡安全技術及網絡安全設備,更需要嚴格的校園網管理制度和校園網安全意識,是一個系統化的工程,涉及范圍很廣。隨著校園網規模的擴大和網絡應用的發展,還會出現新的網絡安全問題,所以不會有絕對的和永久的安全,因此網絡管理員就需要不斷學習,提高自身技術水平。
以上是從事網絡管理工作中得到的一些經驗和理論,但這些仍不足以完全杜絕網絡危險,維護網絡安全的核心是保證用戶數據不受損害,所以定期地備份網絡用戶數據,是非常重要的手段,也是切實有效的方式。
第三篇:淺析計算機網絡安全威脅及防范措施
淺析計算機網絡安全威脅及防范措施
作者任 慧072701061
[摘要]隨著計算機網絡技術的快速發展,網絡安全日益成為人們關注的焦點。本文分析了影響網絡安全的主要因素及攻擊的主要方式,從管理和技術兩方面就加強計算機網絡安全提出了針對性的建議。
[關鍵詞]計算機網絡 安全 管理 技術
計算機網絡是一個開放和自由的空間,它在大大增強信息服務靈活性的同時,也帶來了眾多安全隱患,黑客和反黑客、破壞和反破壞的斗爭愈演愈烈,不僅影響了網絡穩定運行和用戶的正常使用,造成重大經濟損失,而且還可能威脅到國家安全。如何更有效地保護重要的信息數據、提高計算機網絡系統的安全性已經成為影響一個國家的政治、經濟、軍事和人民生活的重大關鍵問題。本文通過深入分析網絡安全面臨的挑戰及攻擊的主要方式,從管理和技術兩方面就加強計算機網絡安全提出針對性建議。
1.影響網絡安全的主要因素
計算機網絡所面臨的威脅是多方面的,既包括對網絡中信息的威脅,也包括對網絡中設備的威脅,但歸結起來,主要有三點:一是人為的無意失誤。如操作員安全配置不當造成系統存在安全漏洞,用戶安全意識不強,口令選擇不慎,將自己的帳號隨意轉借他人或與別人共享等都會給網絡安全帶來威脅。二是人為的惡意攻擊。這也是目前計算機網絡所面臨的最大威脅,比如敵手的攻擊和計算機犯罪都屬于
這種情況,此類攻擊又可以分為兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。三是網絡軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞,這些缺陷和漏洞恰恰就是黑客進行攻擊的首選目標。絕大部分網絡入侵事件都是因為安全措施不完善,沒有及時補上系統漏洞造成的。此外,軟件公司的編程人員為便于維護而設置的軟件“后門”也是不容忽視的巨大威脅,一旦“后門”洞開,別人就能隨意進入系統,后果不堪設想。
2.計算機網絡受攻擊的主要形式
計算機網絡被攻擊,主要有六種形式。①內部竊密和破壞。內部人員有意或無意的泄密、更改記錄信息或者破壞網絡系統。②截收信息。攻擊者可能通過搭線或在電磁輻射的范圍內安裝截收裝置等方式,截獲機密信息或通過對信息流和流向、通信頻度和長度等參數的分析,推出有用的信息。③非法訪問。指未經授權使用網絡資源或以未授權的方式使用網絡資源,主要包括非法用戶進入網絡或系統進行違法操作和合法用戶以未授權的方式進行操作。④利用TCP/IP 協議上的某些不安全因素。目前廣泛使用TCP/IP 協議存在大量安全漏洞,如通過偽造數據包進行,指定源路由(源點可以指定信息包傳送到目的節點的中間路由)等方式,進行APR 欺騙和IP 欺騙攻擊。⑤病毒破壞。利用病毒占用帶寬,堵塞網絡,癱瘓服務器,造成系統崩潰或
讓服務器充斥大量垃圾信息,導致數據性能降低。⑥其它網絡攻擊方式。包括破壞網絡系統的可用性,使合法用戶不能正常訪問網絡資源,拒絕服務甚至摧毀系統,破壞系統信息的完整性,還可能冒充主機欺騙合法用戶,非法占用系統資源等。
3.加強計算機網絡安全的對策措施
3.1 加強網絡安全教育和管理:對工作人員結合機房、硬件、軟件、數據和網絡等各個方面安全問題,進行安全教育,提高工作人員的安全觀念和責任心;加強業務、技術的培訓,提高操作技能;教育工作人員嚴格遵守操作規程和各項保密規定,防止人為事故的發生。同時,要保護傳輸線路安全。對于傳輸線路,應有露天保護措施或埋于地下,并要求遠離各種輻射源,以減少各種輻__射引起的數據錯誤;線纜鋪設應當盡可能使用光纖,以減少各種輻射引起的電磁泄漏和對發送線路的干擾。要定期檢查連接情況,以檢測是否有搭線竊聽、非法外連或破壞行為。
3.2 運用網絡加密技術:網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。加密數據傳輸主要有三種:①鏈接加密。在網絡節點間加密,在節點間傳輸加密的信息,傳送到節點后解密,不同節點間用不同的密碼。②節點加密。與鏈接加密類似,不同的只是當數據在節點間傳送時,不用明碼格式傳送,而是用特殊的加密硬件進行解密和重加密,這種專用硬件通常放置在安全保險箱中。③首尾加密。對進入網絡的數據加密,然后待數據從網絡傳送出后再進行解密。網絡的加密技術很多,在實際應用中,人們通常根據各種加密算法結合在一起使用,這樣可以更加有效地加強網絡的完全性。網絡加密技術也是網絡安全最有效的技術之
一。既可以對付惡意軟件攻擊,又可以防止非授權用戶的訪問。
3.3 加強計算機網絡訪問控制:訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非正常訪問,也是維護網絡系統安全、保護網絡資源的重要手段。訪問控制技術主要包括入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制。根據網絡安全的等級、網絡空間的環境不同,可靈活地設置訪問控制的種類和數量。
3.4 使用防火墻技術:采用防火墻技術是解決網絡安全問題的主要手段。防火墻技術是建立在現代通信網絡技術和信息技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中。防火墻是在網絡之間執行訪問控制策略的系統,通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機制,并且本身具有較強的抗攻擊能力。在邏輯上,防火墻是一個分離器、限制器和分析器,可以有效地監控內部網和Internet 之間的任何活動,保證內部網絡的安全。防火墻的應用可最大限度地保障網絡的正常運行,它可以起著提高內部網絡的安全性、強化網絡安全策略、防止內部信息泄漏、網絡防毒、信息加密、存儲通信、授權、認證等重要作用。
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等諸多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施。因此,只有綜合采取多種防范措施,制定嚴格的保密政策和明晰的安全策略,才能完好、實時地保證信息的機密性、完整性和可用性,為網絡提供強大的安全保證。
參考文獻
[1]吳鈺鋒,劉泉,李方敏.網絡安全中的密碼技術研究及其應用[J].真空電子技術,2004.[2]楊義先.網絡安全理論與技術[M].北京:人民郵電出版社,2003.[3]李學詩.計算機系統安全技術[M].武漢:華中理工大學出版社,2003.
第四篇:機房網絡安全防范措施
機房網絡安全防范措施
因為服務器的IP對外是透明的,如何防止網絡服務器不被黑客入侵。
對網絡服務器的惡意網絡行為包括兩個方面:一是惡意的攻擊行為,如拒絕服務攻擊,網絡病毒等等,這些行為旨在消耗服務器資源,影響服務器的正常運作,甚至服務器所在網絡的癱瘓;另外一個就是惡意的入侵行為,這種行為更是會導致服務器敏感信息泄露,入侵者更是可以為所欲為,肆意破壞服務器。所以我們要保證網絡服務器的安全可以說就是盡量減少網絡服務器受這兩種行為的影響。
基于windows做操作系統的服務器系統的了解程度,對維護windows網絡服務器安全的一些安全措施。如何避免網絡服務器受網上那些惡意的攻擊行為。
一、NTFS是微軟Windows NT內核的系列操作系統支持的、一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。NTFS文件系統里你可以為任何一個磁盤分區單獨設置訪問權限。把你自己的敏感信息和服務信息分別放在不同的磁盤分區。這樣即使黑客通過某些方法獲得你的服務文件所在磁盤分區的訪問權限,還需要想方設法突破系統的安全設置才能進一步訪問到保存在其他磁盤上的敏感信息,重要的數據每天都備份。
二、關閉不必要開的服務,做好本地管理和組管理。Windows系統有很多默認的服務其實沒必要開的,甚至可以說是危險的,比如:默認的共享遠程注冊表訪問(Remote RegistryService),系統很多敏感的信息都是寫在注冊表里的,如pcanywhere的加密密碼等。
三、關閉不必要的端口。一些看似不必要的端口,確可以向黑客透露許多操作系統的敏感信息,如windows 2000 server默認開啟的IIS服務就告訴對方你的操作系統是windows 2000。69端口告訴黑客你的操作系統極有可能是linux或者unix系統,因為69是這些操作系統下默認的tftp服務使用的端口。對端口的進一步訪問,還可以返回該服務器上軟件及其版本的一些信息,這些對黑客的入侵都提供了很大的幫助。此外,開啟的端口更有可能成為黑客進入服務器的門戶。
四、做好TCP/IP端口過濾不但有助于防止黑客入侵,而且對防止病毒也有一定的幫助。
五、防火墻保護
防火墻在安全系統中扮演一個保安的角色,可以很大程度上保證來自網絡的非法訪問以及數據流量攻擊,如拒絕服務攻擊等;入侵檢測系統則是扮演一個監視器的角色,監視你的服務器出入口,非常智能地過濾掉那些帶有入侵和攻擊性質的訪問。
第五篇:探究網絡安全與防范措施論文
探究網絡安全與防范措施
我們生活在科學技術迅猛發展而社會急劇變化的時代,在網絡廣泛發展的今天,網絡提供的業務不斷豐富其給人類的生活、工作等方面帶來便利的同時,基于網絡連接的安全問題也日益突出,網絡安全成為人類無法忽視的棘手難題。黑客,病毒,網絡詐騙,不良信息等問題的存在,正時刻威脅我們的電腦安全,網絡安全令人擔憂。我們應采取及時的防范措施去維護網絡安全并營造綠色健康的網絡環境。
當今,互聯網已成為我們社會結構的一個基本組成部分。網絡被應用于各個方面,包括電子銀行、電子商務、現代化的企業管理、信息服務業等都以計算機網絡系統為基礎。安全性是互聯網技術中很關鍵的也是很容易被忽略的問題。
一、網絡安全的含義、本質及特征
(一)含義
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。
網絡安全是一個關系國家安全和主權、社會的穩定、民族文化的繼承和發揚的重要問題。其重要性,正隨著全球信息化步伐的加快而變得越來越重要。其也是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。
(二)本質
指網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。
(三)特征
1、保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
2、完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
3、可用性:可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊;
4、可控性:對信息的傳播及內容具有控制能力。
5、可審查性:出現的安全問題時提供依據與手段。
二、國外
1996年初,據美國舊金山的計算機安全協會與聯邦調查局的一次聯合調查統計,有53%的企業受到過計算機病毒的侵害,42%的企業的計算機系統在過去的12個月被非法使用過。而五角大樓的一個研究小組稱美國一年中遭受的攻擊就達25萬次之多。
1994年末,俄羅斯黑客弗拉基米爾?利文與其伙伴從圣彼得堡的一家小軟件公司的聯網計算機上,向美國CITYBANK銀行發動了一連串攻擊,通過電子轉帳方式,從CITYBANK銀行在紐約的計算機主機里竊取1100萬美元。
1996年8月17日,美國司法部的網絡服務器遭到黑客入侵,并將“ 美國司法部” 的主頁改為“ 美國不公正部”,將司法部部長的照片換成了阿道夫?希特勒,將司法部徽章換成了納粹黨徽,并加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。
1996年9月18日,黑客又光顧美國中央情報局的網絡服務器,將其主頁由“中央情報局” 改為“ 中央愚蠢局”。
1996年12月29日,黑客侵入美國空軍的全球網網址并將其主頁肆意改動,其中有關空軍介紹、新聞發布等內容被替換成一段簡短的黃色錄象,且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關閉了其他80多個軍方網址。
國內
1996年2月,剛開通不久的Chinanet受到攻擊,且攻擊得逞。
1997年初,北京某ISP被黑客成功侵入,并在清華大學“ 水木清華” BBS站的“ 黑客與解密” 討論區張貼有關如何免費通過該ISP進入Internet的文章。網絡安全技術案例
1997年4月23日,美國德克薩斯州內查德遜地區西南貝爾互聯網絡公司的某個PPP用戶侵入中國互聯網絡信息中心的服務器,破譯該系統的shutdown帳戶,把中國互聯網信息中心的主頁換成了一個笑嘻嘻的骷髏頭。
1996年初CHINANET受到某高校的一個研究生的攻擊;96年秋,北京某ISP和它的用戶發生了一些矛盾,此用戶便攻擊該ISP的服務器,致使服務中斷了數小時。
2010年,Google發布公告稱將考慮退出中國市場,而公告中稱:造成此決定的重要原因是因為Google被黑客攻擊。
三、(一)每一種安全機制都有一定的應用范圍和應用環境
防火墻是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為,防火墻是很難發覺和防范的。
(二)安全工具的使用受到人為因素的影響
一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者和普通用戶,不正當的設置就會產生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面,可以通過靜態掃描工具來檢測系統是否進行了合理的設置,但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較,針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。
(三)系統的后門是傳統安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4.0以前一直存在,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而可以收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻是無法發覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區別是入侵訪問在請求鏈接中多加了一個后綴。
(四)只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現引起網絡安全問題的主要原因 和公布出來,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用,而且這種攻擊通常不會產生日志,幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG,現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
(五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統安全問題出現
然而安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時,其他的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
四、關于網絡安全的主要防范措施
網絡安全技術隨著人們網絡實踐的發展而發展,其涉及的技術面非常廣,主要的技術如認證、加密、防火墻、殺毒軟件及入侵檢測是網絡安全的重要防線。
(一)認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息。
(二)數據加密
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
1.私匙加密。私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快,很容易在硬件和軟件中實現。
2.公匙加密。公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。
(三)防火墻技術
“防火墻”是一種形象的說法,其實它是一種計算機硬件和軟件的組合,使互聯網與內部網之間建立起 一個安全網關,從而保護內部網免受非法用戶的侵入。
能夠完成“防火墻”工作的可以是簡單的隱蔽路由器,這種“防火墻”如果是一臺普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在互聯網協議端口級上阻止網間或主機間通信,起到一定的過濾作用。由于隱蔽路由器僅僅是對路由器的參數做些修改,因而也有人不把它歸入“防火墻”一級的措施。
真正意義的“防火墻”有兩類,一類被稱為標準“防火墻”;另一類叫雙家網關。標準“防火墻”系統包括一個Unix工作站,該工作站的兩端各有一個路由器進行緩沖。其中一個路由器的接口是外部世界,即公用網;而另一個則聯接內部網。標準“防火墻”使用專門的軟件,并要求較高的管理水平,而且在信息傳輸上有一定的延遲。而雙家網關則是對標準“防火墻”的擴充。雙家網關又稱堡壘主機或應用層網關,它是一個單個的系統,但卻能同時完成標準“防火墻”的所有功能。其優點是能運行更復雜的應用,同時防止在互聯網和內部系統之間建立的任何直接的連接,可以確保數據包不能直接從外部網絡到達內部網絡,反之亦然。
此外,現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。
1.入侵檢測系統
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在校園網絡中采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
2.虛擬專用網(VPN)技術
VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制,這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密匙管理技術(Key Management)和使用者與設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務,這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協議可分為第二層和第三層的;按發起方式可分成客戶發起的和服務器發起的。
(四)其他網絡安全技術
1.智能卡技術。智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體,由授權用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。
2.安全脆弱性掃描技術。它為能針對網絡分析系統當前的設置和防御手段,指出系統存在或潛在的安全漏洞,以改進系統對網絡入侵的防御能力的一種安全技術。
3.網絡數據存儲、備份及容災規劃。它是當系統或設備不幸遇到災難后就可以迅速地恢復數據,使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。
4.IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給這個IP廣播包的工作站返回發出一個警告信息。
5.Web,Email,BBS的安全監測系統。在網絡的
4、中國民間網絡 http://www.tmdps.cn
6、楊寅春-《網絡安全技術》(高職高專計算機專業規劃教材)西安電子科技大學出版社 2009年
7、趙安軍、曾應元、徐邦海、學春藤-《網絡安全技術與應用》 人民郵電出版社 2007年
點擊咨詢 