时间:2023-03-23 15:04:38
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇安全网络论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
1.2网络通信软件存在安全隐患由于客户在使用网络通信软件时需要通过下载补丁等方式让软件能够符合计算机终端操作系统的要求,而这些被广泛应用并下载的软件程序可能由于补丁程序等的引入而成为公开化的信息,这种公开化的软件信息一旦被不法分子利用则会给人们的网络通信带来严重影响,这种影响甚至会波及整个计算机网络系统,造成整个网络的通信安全隐患。
1.3人为的网络系统攻击在利益的驱使下,部分不法分子企图通过不合法的网络系统攻击方式对网络通信进行人为的攻击从而获取大量的网络资源。这些“黑客”的攻击不仅出现在商业管理终端等能够获取大量经济利益的领域,甚至还可能出现在个人的计算机中获取个体用户的信息,给用户的信息安全造成重大隐患。应该客观认识的是,我国网络通信在人们生活水平不断提升及通信方式变革的背景下发展速度一日千里,但是作为保障的信息安全维护工作却与网络通信的发展现状存在较大差距。再加上网络通信管理部门对于网络通信信息安全认识不足、网络通信管理制度不健全等问题也加剧了网络通信信息安全隐患,甚至给整个互联网通信系统带来安全隐患,给不法分子以利用的机会。正是基于当前我国网络通信中信息安全的严峻现状及在这一过程中所出现问题的原因,笔者认为,不断加强网络通信技术革新与网络通信制度建设,充分保障网络通信信息安全是时展的必然要求。
2保障网络通信信息安全的途径
2.1充分保障用户IP地址由于黑客对用户网络通信的侵入与攻击大都是以获取用户IP地址为目的的,因此,充分保障用户的IP地址安全是保护用户网络通信安全的重要途径。用户在使用互联网时也要特别注意对自身IP地址的保护,通过对网络交换机的严格控制,切断用户IP地址通过交换机信息树状网络结构传递被透露的路径;通过对路由器进行有效的隔离控制,经常关注路由器中的访问地址,对非法访问进行有效切断。
2.2完善信息传递与储存的秘密性信息传递与信息储存的两个过程是当前给网络通信信息安全造成隐患的两个主要途径,在网络信息的存储与传递过程中,黑客可能会对信息进行监听、盗用、恶意篡改、拦截等活动以达到其不可告人目的的需求。这就要求用户在使用网络通信技术时要对网络信息的传递与储存环节尽量进行加密处理,保证密码的多元化与复杂性能够有效甚至从根本上解决信息在传递与储存环节被黑客攻击利用的威胁。当前在网络通信过程中用户可以选择自身合适的加密方式对自身的信息进行加密处理,而网络维护工作者也要根据实际情况加强对信息的加密设置。
2.3完善用户身份验证对用户的身份进行有效的验证是保障网络通信信息安全的另一条重要途径。在进行网络通信之前对用户身份进行严格验证,确保是本人操作从而对用户的私人信息进行充分有效的保护。当前,用户的身份验证主要是通过用户名与密码的“一对一”配对实现的,只有二者配对成功才能获得通信权限,这种传统的验证方法能够满意一般的通信安全需求,但是在网络通信技术发展速度不断加快的背景下,传统的身份验证方法需要新的变化,诸如借助安全令牌、指纹检测、视网膜检测等具有较高安全性的方法进一步提升网络通信信息安全水平。此外,在保障网络通信信息安全的过程中还可以通过完善防火墙设置,增强对数据源及访问地址恶意更改的监测与控制,从源头上屏蔽来自外部网络对用户个人信息的窃取以及对计算机的攻击。加强对杀毒软件的学习与使用,定期对电脑进行安全监测,从而确保用户自身的信息安全。
二、访问控制
1.存取控制对于互联网而言,存取控制是其安全理论中较为重要的组成部分。它涵盖了风险分析、类型控制、权限控制以及数据标识和人员限制。它通常是与身份验证一起使用,因为身份验证可以通过数据标识对用户特性进行区分,这样才方便确定用户的存取权限。2.身份验证这种访问控制技术一般是通过验证一致性,来确定用户是否具有访问权限。它所需要验证的数据又验证依据和验证系统以及安全要求,这种访问控制技术被运用到计算机网络中的时间相当早,而且一直沿用至今。
三、常见的攻击手段和应对方法
(一)常见攻击手段
1.盗取用户口令这种网络攻击手段较为常见,它是通过一些非法手段盗取用户口令,然后接入、登陆用户主机,开始一些非法的操作、控制。2.设置特洛伊木马程序特洛伊木马程序是最常见的计算机病毒,它经常被伪装成工具程序或者游戏诱引用户打开该程序,如果用户不经意间打开、运行了此类程序,被预先编制好了的病毒就会不露声息的潜藏在计算机当中。当该用户打开电脑后,特洛伊木马程序就会通知攻击者,修改计算机程序,窃取信息,通过这样的方式来满足不良企图。3.网页欺骗当前,有些人通过劫持网页链接,来进行网页欺骗。如果网页链接被劫持,用户在浏览自己想访问的网页时,就已经踏入了这些人所设计的欺骗陷阱。
(二)网络攻击应对策略
1.加强安全意识对于发件人不详的电子邮件,不能随意打开。对于不了解的程序,避免运行。设置用户名和密码的时候要尽量做到字母和数字混合搭配,避免使用生日等常规信息。这样不容易被非法用户破译。作为合法用户应该经常下载更新补丁程序和杀毒程序,维护系统安全。2.使用防毒、防黑等防火墙软件防火墙是维护信息安全的屏障,它的功用在于组织黑客非法进入某个机构的内部信息网络。使用防火墙,只需要在适当位置上组建网络安全监控系统,并用此监控系统来控制内外信息交流,保证网络信息的安全性。3.隐藏自己的IP地址IP地址非常重要。如果,在用户还未察觉的状态下,计算机上被安装的木马程序。但是如果黑客没有该计算机的IP地址,那么对于信息安全的侵犯也是不能实施的。设置服务器是能够非常有效的对自身IP起到保护作用。使用服务器能够转接所有来自外部的访问申请,也可以控制特定用户访问特定服务器。4.定时升级更新防毒软件,把防毒防黑当成日常工作。5.及时备份重要个人信息和资料。
四、网络安全建设
(一)国外面对网络威胁采取的主要对策
(1)个人信息的泄露。在网络工程当中,对于系统硬件、软件的相关维护工作还不够完善,同时网络通信当中的许多登录系统需要借助远程终端来完成,造成系统远程终端和网络用户在用户运用互联网进入对应系统时存在长远的连接点,当信息在进行传输时,这些连接点很容易引起黑客对用户的入侵以及攻击,使得用户信息被泄露,个人信息安全得不到保障。
(2)网络通信结构不完善。网间网的技术给网络通信提供了技术基础,用户通过IP协议或TCP协议得到远程授权,登录相关互联网系统,通过点与点连接的方式来进行信息的传输。然而,网络结构间却是以树状形式进行连接的,当用户受到黑客入侵或攻击时,树状结构为黑客窃听用户信息提供了便利。
(3)相关网络维护系统不够完善。网络维护系统的不完善主要表现软件系统的安全性不足,我们现在所使用的计算机终端主要是依靠主流操作系统,在长时间的使用下需下载一些补丁来对系统进行相关的维护,导致了软件的程序被泄露。
2对于网络通信中存在的信息安全问题的应对方案
对于上述的种种网络通信当中存在的信息安全问题,我们应当尽快地采取有效的对策,目前主要可以从以下几个方面入手:
(1)用户应当保护好自己的IP地址。黑客入侵或攻击互联网用户的最主要目标。在用户进行网络信息传输时,交换机是进行信息传递的重要环节,因此,用户可以利用对网络交换机安全的严格保护来保证信息的安全传输。除此之外,对所使用的路由器进行严格的控制与隔离等方式也可以加强用户所使用的IP地址的安全。
(2)对信息进行加密。网络通信中出现的信息安全问题主要包括信息的传递以及存储过程当中的安全问题。在这两个过程当中,黑客通过窃听传输时的信息、盗取互联网用户的相关资料、对信息进行恶意的篡改、拦截传输过程中的信息等等多种方法来对网络通信当中信息的安全做出威胁。互联网用户如果在进行信息传递与存储时,能够根据具体情况选用合理的方法来对信息进行严格的加密处理,那么便可以有效地防治这些信息安全问题的产生。
(3)完善身份验证系统。身份验证是互联网用户进行网络通信的首要步骤。在进行身份验证时一般都需要同时具备用户名以及密码才能完成登录。在验证过程当中用户需要注意的是要尽量将用户名、密码分开储存,可以适当地使用一次性密码,同时还可以利用安全口令等方法来保证身份验证的安全。随着科技的快速发展,目前一些指纹验证、视网膜验证等先进生物检测方法也慢慢得到了运用,这给网络通信信息安全提供了极大的保障。
任何软件都有一定的生命周期,防火墙也有一定的生命周期,我们要正确的评估防火墙的使用效能,一旦防火墙失效,对网络安全造成的后果无法想象。防火墙使用具有一定的级别,在被外界病毒等侵入时候具有一定的防御,我们在设置防火墙的功能时候要具有一定的科学性,当防火墙受到攻击时候,能自动启动防御功能,因此,我们在设置防火墙功能时候,要正确检测防火墙是否失效功能要开启,达到防火墙失效状态正常评估。
1.2正确选择、科学配置防火墙
防火墙功能的科学配置,是对网络安全防御的重要保障,防火墙技术是网络安全技术基于防火墙网络安全技术的探究文/罗鹏 周哲韫进入新世纪以后,计算机网络技术发展迅速,尤其Internet的发展应用,计算机网络安全越来越重要,尤其一些政府部门网络,科研等机构网络如被黑客或病毒侵入,后果是非常严重的,在许多网络安全技术应用中,防火墙技术室比较成熟的,本论文是从不同层面阐述防火墙网络安全技术的应用。摘要中关键技术之一,在配置防火墙时候,要正确选择,科学配置。防火墙技术是计算机网络技术人才需要专门的培训与学习,才能进行科学的配置,在配置防火时候具有一定的技巧,在不同环境,不同时期具有一定的应用,因此正确科学的配置防火墙没有通式,必须在根据环境状态下进行科学合理的配置,这样才能使防火墙技术成为网络安全技术中最后一道保障。
1.3有赖于动态维护
防火墙技术在网络中应用,不是把防火墙软件在计算机中安装以后,进行一些配置以后就完事,管理员要对防火墙实时进行监控,看防火墙是否出现一些异常状况,管理员还要与厂商经常保持密切联系,是否有更新,任何在完美事物都有两面性,要及时更新,弥补防火墙漏洞,防止计算机网络被更新,因此防火墙技术是一种动态实时更新技术。
1.4搞好规则集的检测审计工作
网络安全技术最大的危险是自己,网络管理员不能出现一点大意,在防火墙技术的应用过程中,要适时进行更新,弥补漏洞,还要定期进行一定的检测和审计工作,用来评估网络现在的安全性,以及在未来一段时间网络的安全性,做好正确的评审工作,是网络能长时间保持稳定的重要条件,实时检测,实时维护是网络安全的基本法则。
2防火墙网络安全技术的实现方案
2.1设置内部防火墙,编制可靠的安全方案
在网络安全防范的过程中,内部局域网一定要重视,当局域网中一台机器出现病毒状况,可能瞬间整个网络出现瘫痪状态,因此利用防火墙技术作为网络安全的检测,内部局域网防火墙要进行科学合理的设置,制定一个可行的安全方案,对整个局域网的网络进行一定的保障。内部防火墙进行一定的分段,每个主机要有标准,但有一个统一的标准,标准时同样的,这样对网络的检测等有一定的依据,增强了网络的安全性。
2.2合理设定外部防火墙,防范外网攻击
经外部防火墙的设定,把内网同外网相分开,可防范外网攻击行为。外部防火墙通过编制访问策略,仅已被授权的主机方能访问内网IP,使外网仅能访问内网中同业务相关的所需资源。外部防火墙会变换地址,使外网无法掌握内网结构,阻断了黑客攻击的目标。外部防火墙的精确设定范围要在内网和外网之间,防火墙对获取的数据包加以剖析,把其中合法请求传导到对应服务主机,拒绝非法访问。
3防火墙技术的未来发展趋势及前景
防火墙技术是网络安全技术发展的必然产物,为不安全的网络搭建一个安全的网络平台,网络安全是不可预测的,防火墙技术也在日新月异的进行发展,防火墙技术的未来发展是广泛的,能为网络安全作出一定的贡献,下面阐述一下防火墙技术的未来发展趋势,引领网络安全技术的发展。
3.1智能化
现在计算机的未来发展是网络化、智能化,网络安全问题的发展也比较快,对网络安全的软件要求也是越来越高,网络上的病毒具有不可预见性,对防御病毒的软件提出一个崭新的要求,必须具有一定的智能化,就是防火墙自身具有很强的防御功能,不是人为的进行控制,智能化是网络安全专家对防火墙技术的期盼,也是防火墙技术自身发展的需要,但防火墙技术实现智能化需要一定的时间,需要网络安全专家不停努力的结果。
3.2扩展性能更佳
国际标准化组织(ISO)将网络安全[2]定义为:为数据处理系统建立相应的安全保护措施,保护运行在网络系统中的硬件、软件以及系统中的数据不被黑客更改、破坏或者泄露,从而保证了网络服务不中断,使得系统可靠安全地运行.上述网络安全的定义包含两方面内容:物理安全和逻辑安全.其中物理安全是指在构建网络系统的时候,保证物理线路能够防雷、放火、防水、防盗等,能够保证物理线路连续的进行数据传输.而逻辑安全通常指的是传输在网络上数据的信息安全,即对网络上传输信息的保密性、可用性和完整性的保护.另一方面,网络安全性的涵义也可以理解成是信息安全的一种引申,即网络安全是对网络信息的保密性、可用性和完整性提供相应的保护.概括的说,可以将网络安全定义为:为保证目前网络中运行的系统、信息数据、信道传输数据和信息内容的安全而采取相应的措施,从而保证网络中信息传输、交换以及处理的保密性、可用性、可控性、可审查性、完整性.
1.2网络安全基本特征
网络安全应具有保密性、可用性、可控性、可审查性、完整性等五个方面的特征.保密性:信息未经授权不泄露给任何用户,而且信息的特性也具有保密性,其它非授权用户、实体或过程无法利用其特征.可用性:用户经过授权后可按需使用,即授权用户当需要该信息时能否正常存取.网络环境下常见的可用性的攻击包括拒绝服务攻击、破坏网络或系统的正常运行等.可控性:对网络中传播的信息及其内容具有控制能力.可审查性:当网络中出现安全问题时可提供相应的依据与手段,便于追踪攻击源.完整性:用户未经授权不能随意改变数据的特性,即信息在保存或者传输的过程中拥有不被修改、破坏或丢失的特性,保证了信息的完整性.
2校园网建设概述及其安全威胁
随着互联网的快速普及,校园网建设已经成为学校的基础建设之一,教育信息化、数字化已经成为教育发展的主方向,校园网已成为学校日常教学、办公、科研、管理、生活主要的工具和手段之一,并发挥着越来越重要的作用[3].另一方面,随着国家科教兴国战略的实施,政府加强了对学校的投资,由此也加强了学校对校园网的建设.中国教育和科研计算机网(CER-NET)的成立,标志着教育网的形成.CERNET主干网络传输速率已达到2.5Gpbs,总容量达40Gpbs,它吸引超过1000所高校的鼎力加盟,覆盖全国超过200个城市.目前,大部分学校都已建成校园网,实现了校园网的整体覆盖,包括办公楼、教学楼、宿舍楼等.校园网同时与Internet对接,实现了校园办公教学的信息化、自动化.如图1所示,为一个简单的校园网组网模型.随着CERNET的建设不断提高,校园网已经成为互联网的重要组成部分之一,是学校信息化、数字化建设的基础设施,同时担任着科研与教学的重要任务.然而,目前国内大多数学校都缺乏对校园网建设的综合规划、缺乏相应的网络管理措施、以及对校园网络的认识不足,这些都极大阻碍了校园网的发展.因此合理地对校园网络升级,是目前学校校园网工程的首要目标之一[4].同时,校园网作为学校数字化、信息化的基础设施,安全问题不容忽视.在互联网开放程度很高的今天,校园网往往最容易成为黑客攻击的目标.威胁校园网安全的因素有很多,但主要的安全威胁有以下几类.
2.1TCP/IP协议漏洞造成的威胁
现在互联网上使用最多的协议就是TCP/IP协议了,这几乎是所有校园网采用的网络传输协议.TCP/IP协议在设计之初,就没有考虑安全问题,它只考虑如何把信息互相传输,因此存在很大的安全威胁.虽然国际标准化组织提出的OSI七层协议能够很好的保证网络安全,但是由于TCP/IP协议的开放性和通用性几乎占用了整个市场,使得OSI七层协议无法推广.所以,目前网络黑客针对TCP/IP漏洞攻击有很多,例如:数据窃听、源地址欺骗、ARP欺骗等等.
(1)数据窃听(PacketSniff).TCP/IP协议从设计之初,就采取的是数据包明码传输,这种传输模式使得数据包很容易被窃听、修改和伪造.黑客可以利用一系列工具获取网络中正在传输的数据包,窃取用户有利用价值的信息,如用户账户和密码等信息.同时,黑客也能修改和伪造数据包,让用户误入钓鱼网站或者窃取网上银行信息,给用户造成直接经济损失.特别是在校园网中,数据包流通比较集中,一旦获取了校园网服务器或管理员账号信息,将会给校园网络造成重大损失.
(2)源地址欺骗(SourceAddressSpoofing).在网络安全中,一个比较重要的安全问题就是源地址欺骗.这里的源地址,能够是IP地址,也能是MAC地址.但是MAC地址随着路由转发,信息会发生变化,而且在实际的网络系统中,也有一定的限制,改造欺骗难度比较大,所以一般的源地址欺骗是指IP地址伪造欺骗.攻击者通常伪造被攻击的主机IP地址,骗取防火墙信任,从而对校园网内部发起攻击.
(3)源路由选择欺骗(SourceRoutingSpoo-fing).在一个完整的IP数据包中,通常只包含源地址和目的地址,即路由器可以知道数据包从哪个主机发送出来,将要到达哪个主机.源路由是指数据包将会列出所要经过的路由,路由器将会根据这些指定的路由将数据包送达相应的主机,然后根据其反向路由进行应答,从而实现主机之间的通信.而源路由选择欺骗,则是攻击者通过伪造主机源路由,让数据包经过该主机必经路由,使受攻击主机出现错误判断,将某些被保护的数据提供给了攻击者.另一方面,由于路由器一般对接收到的路由信息是不经过检验的,这样就给攻击者提供便利,攻击者可以发送虚假数据包,改变某些重要数据包的传递路径,使得数据在传递到正常主机前,即可抓取分析,从而也达到攻击的目的.
(4)鉴别攻击(AuthenticationAttacks).由于TCP/IP协议还无法证明网络身份的真实有效性,因此黑客可以伪造他人合法身份入侵到网络系统或者获取密钥信息,从而达到攻击目的.
(5)ARP欺骗(AddressResolutionProtocolSpoofing).ARP即地址解析协议,作用是将网络中的IP地址转换成MAC物理地址的协议.因为在局域网中,尤其是在校园网中,使用最多的往往是MAC地址进行传输,而不是IP地址进行传输,所以ARP协议能够很快的让局域网中的两台主机进行通信.而黑客只需在局域网中进行网络监听,获取到一台主机A的节点信息(IP地址和MAC地址),就能伪造A的数据包,与B进行通信,获取有用信息.另一方面,黑客可以伪造一个不存在的MAC地址在局域网内传播,形成广播风暴,这样会造成网络不通,给局域网造成致命打击.
(6)DoS攻击(DenialofService).DoS攻击,即拒绝服务攻击,攻击者的目的是让目标主机或网络无法提供正常服务.因为TCP协议采用三次握手建立一次连接,而任何一次握手失败,则会重新发送.攻击者正是利用这一个协议漏洞,采取不断建立连接,然后丢弃该连接数据包,使得服务器处于等待状态,如果攻击者一直持续连接和丢弃的过程,则服务器和网络所有的资源会被完全消耗,导致计算机或网络无法正常工作,从而达到攻击目的.
(7)DDoS攻击(DistributedDenialofServ-ice).DDoS攻击,即分布式拒绝服务攻击,它是指攻击者借助一系列工具或手段,联合多个计算机组成攻击平台,对一个或数个目标发动DoS攻击.最基本的DoS是利用合法的服务请求,占用攻击目标主机大量服务资源,使得正常用户无法访问.然而DoS服务需要占用大量带宽,单个计算机攻击肯定无法达到攻击者想要的目标.因此网络黑客会抓取网络“肉鸡”,集合大量网络带宽,组成庞大的攻击平台,可以在瞬间让被攻击目标处于瘫痪状态.
(8)TCP序列号欺骗和攻击(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以伪造TCP序列号,形成一个TCP封包,对网络中可信节点进行攻击.而且最重要的是,黑客可能利用伪造的TCP封包发动SYN攻击,让服务器无法完成三次握手,造成服务器开放大量等待端口,影响正常网络访问,严重时,可直接造成服务器死机,如果该服务器是WEB服务器或者DNS服务器,那么可能导致网站主页无法链接或者校园网内部用户无法访问外部网络.
(9)ICMP攻击(InternetControlMessageProtocolAttacks).ICMP协议是Internet控制报文协议,它属于TCP/IP协议下的一个子协议,用于在IP主机和路由器之间传递控制消息.其中控制消息是指网络是否畅通、主机是否可连接、路由是否可用等一系列消息,它对数据传输有很重要的作用.而ICMP攻击是指利用操作系统ICMP的尺寸大小不得超过64KB这一规定,发动“PingofDeath”攻击,当主机ICMP数据包尺寸超过64KB时,主机会发生内存分配错误,导致TCP/IP堆栈崩溃,使得目标主机死机.虽然操作系统通过取消ICMP数据包大小限制来解决该漏洞,但是向目标主机发动持续、大规模的ICMP攻击,会消耗主机CPU、内存等资源,严重时也会导致目标主机瘫痪,无法提供正常服务.
2.2漏洞威胁
软件和操作系统是由程序员编写的,而在开发的过程中,多多少少会存在各种各样的漏洞问题,这些漏洞如果不能及时修复,将会对主机造成重大安全威胁.一旦该主机被攻破,同时也会给该主机处在的局域网中的其它机器造成威胁,情况严重时,甚至会造成整个网络瘫痪.近几年来,无论是Windows操作系统,还是Linux操作系统,的补丁数目一直持续增加.特别是Windows操作系统,在校园网内拥有的用户众多,如果没能及时修复各种漏洞,势必会影响整个校园网安全.
2.3病毒、木马威胁
近些年来,随着互联网的普及,网络上各种各样的开源软件繁多,有些开源软件打着免费的旗号,暗留后门或者对操作系统植入木马,稍不注意,就会对整个系统造成重大影响.同时,网络上黑客也会主动攻击,种植木马,抓取网络肉鸡,作为自己攻击的跳板,对互联网上其它的计算机造成严重威胁.
2.4初级黑客攻击
校园网因为自身局限性,其网络管理水平无法与企业相比,因此很容易受到网络上初级黑客的攻击,作为他们试手的目标.另外一方面,互联网出现的一系列黑客教程、黑客工具,这些教程和工具可以自由查阅和下载,加上很多黑客工具属于使用简单,这让许多初级黑客也能在一段时间内对网络造成严重的攻击.且根据心理学研究分析,很多普通攻击者往往有炫耀心理,即把校园网作为自己攻击的目标,以获取所谓的成功感,这让校园网增加更多的威胁.
3目前校园网网络建设中存在的主要安全问题
目前在校园网网络建设中主要存在的安全问题分为人为因素导致的安全问题和非人为因素导致的安全问题.
3.1人为因素导致的网络安全问题
3.1.1校园网用户数量庞大
校园网内用户量众多且处在同一个局域网中,同时,校园网内服务器数量也是别的局域网不能比拟的.用户量加上数目可观、功能强大的服务器,这些条件也吸引着互联网上众多黑客的攻击,因此存在着很大的安全隐患.
3.1.2校园网用户安全意识低
根据调查研究发现,校园网的用户大部分都安全意识不强,用户计算机整体水平偏低,有一部分校园网用户基本上不安装杀毒软件,也没能及时给系统打补丁,系统处于“裸奔”状态.这对于当今如此开放的互联网,将直接为黑客提供攻击目标.而且校园网用户极少学习相应的安全防范知识,在下载和使用软件时,基本上不考虑其风险性,这些都将会给黑客制造攻击机会,影响整个校园网安全[5].
3.1.3信息泄密
信息泄密是指将信息透漏给非授权用户,它在一定程度上破坏了计算机系统的保密性.目前,常见的信息泄密有:操作系统漏洞、流氓软件、网络监听、病毒、木马、业务流分析、网络钓鱼、电磁、物理入侵、射频截获、非法授权、计算机后门程序.
3.1.4拒绝服务攻击(DoS)
攻击者使用一切办法让被攻击计算机停止提供服务,让合法的信息或资源访问被拒绝或者严重推迟.常见的DoS攻击有:SYNFlood、IP欺骗、UDP洪水攻击、Ping洪流攻击等.
3.1.5完整性破坏
攻击者通过系统漏洞、病毒、木马、后门程序等方式破坏信息的完整性,使得信息乱码.
3.1.6网络滥用
由于授权的用户因操作或行为不当,导致网络滥用,从而导致网络安全威胁,例如非法外联、非法内联、设备滥用、业务滥用、移动风险等等.
3.2非人为因素导致的网络安全问题
网络安全除去人为因素外,很大一部分安全威胁来自安全工具和操作系统自身的局限性.其具体特征为:每一种安全工具(如:杀毒软件)都有其自身的应用范围和环境,同时安全工具受到人为因素、系统漏洞、程序BUG的影响,这些因素反而给攻击者带来了一定的便利.对于操作系统而言,没有绝对安全的操作系统,无论是微软的Windows系列操作系统,还是开源的Linux操作系统,都有存在后门或漏洞的可能.世界上没有绝对安全的操作系统,因此在搭建校园网时,要选择安全性尽可能高的操作系统,而且要随时提供校园网用户漏洞补丁下载,以及杀毒软件,保证用户系统安全性始终最高.由上所述,我们可以说网络安全问题绝大部分是由人为因素引起的.现在,国家也制定了相应的法律来保护网络安全,打击相应的网络犯罪活动.但是校园网作为一个庞大的用户群,如何防范这些网络犯罪活动显得尤为重要.我们不能等着整个网络被攻击导致瘫痪后再想着去防范,而是要在攻击之前做好准备工作,让校园网在安全中运行.
4加强校园网网络安全建设的对策和建议
加强校园网网络安全建设主要从以下几个方面来进行.
4.1应重视校园网网络的安全搭建
在校园网工程的建设中,网络系统的搭建是属于弱电工程,它的耐压值比较低.由此,在校园网工程的设计和建设中,一定要首先考虑人以及网络中物理设备的防火、防电以及防雷等安全问题;考虑网络中布线系统与通信线路、照明线路、动力线路、空气对流管道以及暖气管道之间的距离;考虑网络中物理电路的接地安全;考虑建设合理的防雷系统,保证建筑物、计算机以及其它物理设备的防雷[6].
4.2应加强校园网网络的安全维护技术
从技术层面来说,网络安全主要是由防火墙系统、入侵检测系统、病毒监测系统等多个安全组件组成,单独的一个组件是无法保证当前网络信息安全的.最早的网络安全技术是采用边界阈值控制法,即通过对网络边界的数据包进行监测,符合规定的数据包可通过,不符合规定的数据包就抛弃,这种方式在一定程度上能阻止对网络的入侵和攻击,但是不能有效防止网络攻击.目前,应用比较广泛的网络安全基本技术有:防火墙技术、防病毒技术、数据加密技术等.防火墙[7]指的是一个由硬件和软件混合组成的设备,用于将内部网络和外部网络隔离起来,建立一层安全保护屏障,它是一种隔离控制技术.常见的防火墙有包过滤技术、技术、状态监测技术等.相对于防火墙来说,防病毒技术将是从计算机网络内部进行防控,主要预防病毒程序、后门程序、网络监听等.目前采取比较多的防病毒手段是对系统进行监听,阻止不合规定进程.而且防病毒技术永远是滞后性的,即防病毒工具一直在病毒出现后才能组织.现在的防病毒技术和云平台技术结合,已经对病毒起到了一定的控制作用.相对前面两种技术来说,数据加密技术就比较灵活了.可以将用户的信息经过加密后,再在网络上传输,及时数据被黑客截获,没有有效的密钥,数据对黑客来说也只是一堆无效数据而已.在开放的互联网平台,数据加密能够有效的保证了用户的隐私以及数据的安全[8].
4.3应建立科学的校园网网络管理人员岗位职责
计算机网络安全绝大部分是人为因素引起的.因此在校园网搭建过程中,关于对计算机系统管理员的培训及管理,是校园网网络安全中最重要的一部分.一个不合理的操作,很有可能让整个网络系统瘫痪,因此必须建立健全管理规范,明确管理员责任和权利.同时,要记录管理员操作信息,当发现不合规定的记录时,可以及时分析,如果发现黑客入侵,则及时采取必要措施杜绝黑客进一步入侵,必要时需向当地公安机关报案,减少学校损失.另外一方面,建立健全的管理制度以及严格的管理模式,可以保证校园网的正常、安全运行.总而言之,网络安全涉及的领域很多,是一个综合性的问题.只有合理的运用相关技术以及人员培训,才能尽最大可能的把安全威胁降到最低.
计算机系统的正常运行以计算机操作系统程序为主要依据,与之相关的各类程序也必须以此为标准,操作系统理所当然地成为了计算机系统中的基本程序。计算机操作系统具有较强的拓展性,开发商很容易完成计算机系统的开发工作。但是,在优化和升级计算机系统的过程中,相关操作技术仍存在较大问题,这是计算机技术快速发展的难点,也是黑客入侵计算机系统的主要切入点。
1.2计算机病毒安全问题
计算机一旦受到病毒的入侵,将会出现严重的运行问题,如系统瘫痪、传输数据失真以及数据库信息丢失等。计算机病毒具有典型的潜伏性、传染性、隐蔽性和破环性,目前,计算机病毒种类主要有以下四种:第一,木马病毒。该类病毒的主要目的是窃取计算机上的数据信息,具有典型的诱骗性;第二,蠕虫病毒。熊猫烧香是该类病毒的典型代表,以用户计算机上出现的漏洞为切入点,综合使用攻击计算机终端的方式控制计算机系统,该病毒具有较强的传播性和变异性;第三,脚本病毒。该病毒主要发生在互联网网页位置;第四,间谍病毒。要想提升某网页的访问量,强制要求计算机用户主页预期链接。伴随着科技的发展,计算机网络应用范围不断扩大,各种类型病毒的破坏性也随之增加。
1.3黑客
通过网络攻击计算机目前,我国仍存在着大量非法人员对计算机系统进行攻击等行为,这类人员大都掌握着扎实的计算机和计算机安全漏洞技术,对计算机用户终端与网络做出强有力的破坏行为是他们的主要目的。黑客攻击计算机网络的主要形式有三种:第一,利用虚假的信息攻击网络;第二,利用木马或者病毒程序对计算机用户的电脑进行控制;第三,结合计算机用户浏览网页的脚本漏洞对其进行攻击。
2计算机网络安全技术在企业网中的应用
2.1防火墙技术
防护墙技术是计算机网络安全技术在企业网中应用的主要表现形式之一。防火墙技术的应用能够从根本上解决计算机病毒安全问题,在实际应用过程中,计算机网络安全中心的防火墙技术被分为应用级防火墙和包过滤防火墙两种形式。其中应用型防护墙的主要目的是保护服务器的安全,在扫描终端服务器的数据后,如果发现有意或者不合常理等攻击行为,系统应该及时切断服务器与内网服务器之间的交流,采用终端病毒传播的方式保护企业网的安全。包过滤防火墙的主要工作任务是及时过滤路由器传输给计算机的数据信息,这种过滤手段可以阻挡病毒信息入侵计算机系统,并第一时间内通知用户拦截病毒信息,为提高企业网的安全性提供技术保障。下图1是企业网防护墙配置示意图。Intranet周边网络InternetInternet防火墙周边防火墙内部网络服外部网络务器服务器图1防火墙配置
2.2数据加密技术
数据加密技术是计算机网络安全技术在企业网中应用的另一种表现形式。在企业发展建设过程中,要想提高企业发展信息的安全性和可靠性,企业必须在实际运行的计算机网络中综合使用数据加密技术。数据加密技术要求将企业网内的相关数据进行加密处理,在传输和接收数据信息的过程中必须输入正确的密码才能打开相关文件,这为提高企业信息的安全性提供了技术保障。加密算法的常用形式有对称加密算法和非对称加密算法两种,其中对称加密算法中使用的加密和加密信息保持一致,非对称加密算法中加密方法和解密方法存在较大的差异,通常很难被黑客破解,这两种加密形式在企业网中均得到了广泛应用。
2.3病毒查杀技术
病毒查杀技术是计算机网络安全技术在企业网中应用的表现形式之一。病毒对计算机安全有极大的威胁,该技术要求企业技术对计算机操作系统进行检测和更新,减少系统出现漏洞的频率;杜绝用户在不经允许的情况下私自下载不正规的软件;安装正版病毒查杀软件的过程中还应该及时清理病毒数据库;控制用户浏览不文明的网页;在下载不明邮件或者软件后立即对不良文件进行病毒查杀处理,确定文件的安全性后才能投入使用。
2.4入侵检测技术
入侵检测技术在企业网安全运行中发挥着至关重要的作用,其作用主要表现在以下几方面:第一,收集计算机操作系统、网络数据及相关应用程序中存在的信息数据;第二,找寻计算机系统中可能存在的侵害行为;第三,自动发出病毒侵害报警信号;第四,切断入侵途径;第五,拦截入侵。入侵检测技术在企业网中的应用具有较强的安全性特征,该技术的主要任务是负责监视企业网络运行状况,对网络的正常运行不会产生任何影响。入侵检测技术使用的网络系统以基于主机系统和基于网络的入侵系统为主。基于主机系统的入侵检测技术主要针对企业网的主机系统、历史审计数据和用户的系统日志等,该检测技术具有极高的准确性,但是,实际检测过程中很容易引发各种问题,如数据失真和检测漏洞等;基于网络入侵检测技术以其自身存在的特点为依据,以网络收集的相关数据信息为手段,在第一时间将入侵分析模块里做出的测定结果发送给网络管理人,该技术具有较强的抗攻击能力、能在短时间内做出有效的检测,但是,由于该技术能对网络数据包的变化状况进行监控,在实际过程中会给加密技术带来一定程度影响。入侵检测技术在企业网的应用过程中通常表现为误用检测和异常检测两种形式。误用检测通常以已经确定的入侵模式为主,在实际检测过程中,该检测方法具有响应速度快和误警率低等特点,但是,该检测技术需要较长的检测时间为支撑,实际耗费的工作量比较大。异常检测的主要对象是计算机资源中用户和系统非正常行为和正常行为情况,该检测法误警率较高,在实际检测过程中必须对整个计算机系统进行全盘扫描,因此,必须有大量的检测时间作支撑。
计算机网络工程是由通信线路、通信设备、计算机相互连接而构成的具有远程通信与远程数据传输等功能的数据通信和资源共享系统。计算机网络工程中无论是局域网、广域网、城域网或者是互联网都与网络工程硬件设备密不可分,其网络连计算机网络工程物理硬件设备安全问题涉及到两个方面,一方面是硬件功能是否正常工作方面的安全问题,另一方面是物理攻击方便的问题。在计算机网络完成数据通信和资源共享时,由于自然因素或者是人为因素造成硬件设备出现故障所导致不能正常应用的问题。物理攻击是黑客通过计算机硬件漏洞进行攻击,通过网络TCP/IP等硬件接口漏洞控制计算机BIOS以至于导致计算机出现死机、蓝屏、黑屏等问题。
1.2计算机网络工程系统安全问题
目前,计算机系统并不安全,常见的计算机系统漏洞主要包括:RDP漏洞、VM漏洞和UPNP服务漏洞等,并且计算机系统漏洞不断的被挖掘,这导致我们计算机应用安全面临着严重的威胁。
1.3网络病毒安全问题
计算机病毒是由编程人员在软件中或者是数据中插入破坏计算机系统及数据的代码,这类代码具有寄生性、隐藏性、传染性和潜伏性,常见的计算机病毒包括引导区病毒、文件寄生病毒、宏病毒、脚本病毒、蠕虫病毒、特洛伊木马等。
1.4黑客攻击安全问题
目前有一类专门针对于计算机网络进行攻击的犯罪人员,这类人可以分为两种,一种是以攻击和破坏他人网络系统和计算机,窃取他人机密数据为盈利目的,另一种是以破坏网络系统为乐趣,证明自身破坏能力,这两种人被统称为“黑客”。
2计算机网络工程安全对策
以技术手段进行计算机网络工程安全防范,首先需要建立计算机网络工程安全评估机制,利用系统工具对计算机网络工程漏洞进行扫描,计算机漏洞扫描一方面挖掘计算机网络工程可能存在的漏洞,另一方面可发现系统中的薄弱环节。计算机网络工程安全评估需要定期进行的,因为随着计算机应用的不断发展,计算机网络工程漏洞随时会增加,一次安全评估只能代表某一时刻的评估结果,也许下一秒就会出现新的漏洞。计算机网络工程安全评估机制建立。计算机网络工程安全评估可以依据已经发现的网络漏洞建立数据库进行比对扫描分析,漏洞数据库中包含了最新的已经发现的计算机网络工程漏洞,并且能够通过漏洞的关联性挖掘可能存在薄弱的环节,通过对漏洞的分析,作出相应的修补方案,并通过反复的试验最终修补漏洞,并重新做安全评估。于计算机用户疏于安全应用防范意识,导致个人信息被窃取或者是财产受到损失的事件时有发生,这主要是因为计算机用户对计算机网络的使用不够了解,对计算机网络漏洞认知度不够,一些用户认为计算机中安装了杀毒软件和防火墙就可以完全安全上网,对网络上的资源不认真辨别就进行下载,甚至认为如果遇到病毒杀毒软件和防火墙一定会替他拦截的,但是,一些高危的病毒和木马往往伪装成应用程序或者是依附于下载资源,杀毒软件和防火墙很难甄别,这就导致不法分子利用计算机的漏洞获取到用户的信息资源。因此,提高计算机用户自我防范意识是计算机漏洞处置措施中的重要环节,用户在下载或者安装软件过程中,要时刻警惕,安装软件过程中,一些选择性安装的插件如不需要无需勾选,如安装软件过程中发现问题,立即停止安装。在网络上下载资源时要到正规网站下载,如有提示“风险”谨慎下载。
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
摘要:随着“校校通”工程的深入实施,校园网作为学校重要的基础设施,担负着学校教学、教研、管理和对外交流等许多重要任务。校园网的安全问题,直接影响着学校的教学活动。文章结合十几年来校园网络使用安全及防范措施等方面的经验,对如何加强校园网络安全作了分析和探讨。
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
一、无线网络安全问题的表现
1.1插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2漫游攻击者攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4双面恶魔攻击这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5窃取网络资源有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6对无线通信的劫持和监视正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
二、保障无线网络安全的技术方法
2.1隐藏SSIDSSID,即ServiceSetIdentifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般SOHO环境当作简单口令安全方式。
2.2MAC地址过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4AP隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点HotSpot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
2.5802.1x协议802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。WPA率先使用802.11i中的加密技术-TKIP(TemporalKeyIntegrityProtocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。
2.7WPA2WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。
数据安全和隐私数据是用户考虑是否采用云计算模式的一个重要因素。安全保护框架方面,最常见的数据安全保护体系是DSLC(DataSecurityLifeCycle),通过为数据安全生命周期建立安全保护体制,确保数据在创建、存储、使用、共享、归档和销毁等六个生命周期的安全。Roy等人提出了一种基于MapReduce平台的隐私保护系统Airavat,该平台通过强化访问控制和区分隐私技术,为处理关键数据提供安全和隐私保护。静态存储数据保护方面,Muntes-Mulero等人对K匿名、图匿名以及数据预处理等现有的隐理技术进行了讨论和总结,提出了一些可行的解决方案。动态存储数据保护方面,基于沙箱模型原理,采用Linux自带的chroot命令创建一个独立的软件系统的虚拟拷贝,保护进程不受到其他进程影响。
1.2虚拟化云安全技术
虚拟化技术是构建云计算环境的关键。在云网络中,终端用户包括潜在的攻击者都可以通过开放式的远程访问模式直接访问云服务,虚拟机系统作为云的基础设施平台自然成为这些攻击的主要目标。虚拟机安全管理方面:Garfinkel等人提出在Hypervisor和虚拟系统之间构建虚拟层,用以实现对虚拟机器的安全管理。访问控制方面:刘谦提出了Virt-BLP模型,这一模型实现了虚拟机间的强制访问控制,并满足了此场景下多级安全的需求。Revirt利用虚拟机监控器进行入侵分析,它能收集虚拟机的信息并将其记录在虚拟机监控器中,实时监控方面LKIM利用上下文检查来进行内核完整性检验。
1.3云安全用户认证与信任研究
云网络中存在云服务提供商对个人身份信息的介入管理、服务端无法解决身份认证的误判,以及合法的恶意用户对云的破坏等问题,身份认证机制在云网络下面临着诸多挑战。Bertino提出了基于隐私保护的多因素身份属性认证协议,采用零知识证明协议认证用户且不向认证者泄露用户的身份信息。陈亚睿等人用随机Petri网对用户行为认证进行建模分析,通过建立严格的终端用户的认证机制以及分析不同认证子集对认证效果的影响,降低了系统对不可信行为的漏报率。林闯、田立勤等针对用户行为可信进行了一系列深入的研究和分析,将用户行为的信任分解成三层,在此基础上进行用户行为信任的评估、利用贝叶斯网络对用户的行为信任进行预测、基于行为信任预测的博弈控制等。
1.4安全态势感知技术
自态势感知研究鼻祖Endsley最早提出将态势感知的信息出路过程划分为察觉、理解、预测三个阶段后,许多的研究学者和机构在此基础上开始进行网络安全台式感知,其中最著名的是TimBass提出的基于数据融合的入侵检测模型,一共分为六层,包括数据预处理、对象提取、状态提取、威胁提取、传感控制、认知和干预,全面的将安全信息的处理的阶段进行了归纳。网络安全态势感知框架模型方面:赵文涛等人针对大规模网络环境提出用IDS设备和系统状态监测设备代替网络安全态势感知中的传感器,用于收集网络安全信息,并从设备告警和日志信息中还原攻击手段和攻击路径,同时利用图论基础建立的认知模型。网络安全态势感知评估方面:陈秀真利用系统分解技术将网络系统分解为网络系统、主机、服务、脆弱点等四个层次,利用层次间的相关安全信息,建立层次化网络系统安全威胁态势评估模型,综合分析网络安全威胁态势。之后该架构做出了改进,量化了攻击所造成的风险,同时考虑了弱点评估和安全服务评估两种因素,加入了网络复杂度的影响因素,该框架更加体现网络安全态势真实情况。
2研究现状中存在的不足
以上这些研究对全面推动云安全技术的迅猛发展具有重要的作用。但是目前的研究,对几个领域还存在不足:(1)云网络中虚拟机间因关联而引起的安全威胁较为忽视;(2)云网络中可信计算与虚拟化的结合研究不足;(3)云网络环境下云/端动态博弈状态下安全方案和策略研究较少;(4)云网络下安全态势感知鲜有研究。我们须知云网络最大的安全问题在于不可信用户利用云平台强大的计算能力及其脆弱性发动极具破坏力的组合式或渗透式攻击,而这种攻击要比在局域网上的危害大得多,因此在这方面需要投入更多的关注,即:立足于某个特定的“云网络”系统,剖析不可信用户和网络自身脆弱性所带来的风险,时刻预测网络上的风险动向。要做到这一点,就要对云网络中终端用户的访问行为和云网络的服务行为进行实时观测,实时评估。
免责声明以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。
