时间:2023-06-08 10:58:46
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全服务的价值,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、计算机网络的安全与攻击
计算机的网络安全攻击。计算机的网络安全是数据运行的重要任务,同时也是防火墙的重点内容。计算机的发展在时代的变迁中更加广泛,但同时运行过程中的威胁也会影响到计算机的使用。例如:数据方面、环境威胁、外力破坏、拒绝服务、程序攻击、端口破坏等。计算机网络的主体就是数据,在数据的运行中如果存在漏洞会给网络安全带来很大的隐患,比如在节点数据处若是进行攻击篡改会直接破坏数据的完整性,攻击者往往会选择数据内容进行操作、对其进行攻击泄露,还可植入木马病毒等,使得网络安全成为了问题;环境是网络运行的基础,用户在使用访问时会使用到网络环境,而环境却是开放共享的,攻击者可以对网络环境内的数据包进行处理,将攻击带入内网以破坏内网的防护功能;外力破坏主要就是木马、病毒的攻击,攻击者可以利用网站和邮箱等植入病毒,攻击使用者的计算机,导致网络系统故障;拒绝服务是攻击者利用系统的漏洞给计算机发送数据包,使得主机瘫痪不能使用任何服务,主要是由于计算机无法承担高负荷的数据存储因而休眠,无法对用户的请求作出反应;程序攻击是指攻击者应用辅助程序攻入程序内部,进而毁坏文件数据等;端口攻击却是攻击者从硬性的攻击路径着手,使得安全系统出现问题。以上的各种网络安全问题都需要使用防火墙技术,以减少被攻击的次数和程度,保证用户的数据及文件等的安全。
二、网络安全中的防火墙技术
(一)防火墙技术的基本概念
防火墙技术是保护内部网络安全的一道屏障,它是由多种硬件设备和软件的组合,是用来保障网络安全的装置。主要是根据预设的条件对计算机网络内的信息和数据进行监控,然后授权以及限制服务,再记录相关信息进行分析,明确每一次信息的交互以预防攻击。它具有几种属性:所以的信息都必须要经过防火墙、只有在受到网络安全保护的允许下才能通过它、并且能够对网络攻击的内容和信息进行记录并检测、而且它自身能够免疫各种攻击。防火墙有各种属性,能够对安全防护的策略进行筛选并让其通过、能够记录数据的信息并进行检测,以便及时预警、还能够容纳计算机的整体的信息并对其进行维护。而防火墙常用技术主要分为:状态检测、应用型防火墙和包过滤技术。前者是以网络为整体进行研究,分析数据流的信息并将其与网络中的数据进行区分,以查找不稳定的因素,但是时效性差;应用型的是用来保障内外网连接时的安全,使得用户在访问外网时能够更加的安全;包过滤技术就是将网络层作为保护的对象,按计算机网络的协议严格进行,以此来实现防护效果。
(二)防火墙的常用功能构件
它的常用功能构件主要是认证、访问控制、完整、审计、访问执行功能等。认证功能主要是对身份进行确认;访问控制功能是能够决定是否让此次文件传送经过防火墙到达目的地的功能,能够防止恶意的代码等;完整性功能是对传送文件时的不被注意的修改进行检测,虽然不能对它进行阻止,但是能进行标记,可以有效的防止基于网络上的窃听等;审计功能是能够连续的记录重要的系统事件,而重要事件的确定是由有效的安全策略决定的,有效的防火墙系统的所有的构件都需要统一的方式来记录。访问执行功能是执行认证和完整性等功能的,在通过这些功能的基础上就能将信息传到内网,这种功能能够减少网络边界系统的开销,使得系统的可靠性和防护能力有所提高。
三、防火墙的应用价值
防火墙在计算机网络安全中的广泛应用,充分的展现了它自身的价值。以下谈论几点:
(一)技术的价值
技术是防火墙技术中的一种,能够为网络系统提供服务,以便实现信息的交互功能。它是比较特殊的,能够在网络运行的各个项目中都发挥控制作用,分成高效。主要是在内外网信息交互中进行控制,只接受内网的请求而拒绝外网的访问,将内外网进行分割,拒绝混乱的信息,但是它的构建十分复杂,使得应用不易。虽然防护能力强,在账号管理和进行信息验证上十分有效,但是因使用复杂而无法广泛推广。
(二)过滤技术的价值
过滤技术是防火墙的选择过滤,能够对数据进行全面的检测,发现攻击行为或者危险的因素时及时的断开传送,因而能够进行预防并且有效控制风险信息的传送,以确保网络安全,这项技术不仅应用于计算机网络安全,而且在路由器使用上也有重要的价值。
(三)检测技术的价值
检测技术主要应用于计算机网络的状态方面,它在状态机制的基础上运行,能够将外网的数据作为整体进行准确的分析并将结果汇总记录成表,进而进行对比。如今检测技术广泛应用于各层次网络间获取网络连接状态的信息,拓展了网络安全的保护范围,使得网络环境能够更加的安全。
四、总结
随着计算机网络的使用愈加广泛,网络安全问题也需要重视。而防火墙技术是计算机网络安全的重要保障手段,科学的利用防火墙技术的原理,能够更加合理的阻止各种信息或数据的泄露问题,避免计算机遭到外部的攻击,确保网络环境的安全。将防火墙技术应用于计算机的网络安全方面能够更加有效的根据实际的情况对网络环境进行保护,发挥其自身的作用以实现保护计算机网络安全的目的。
计算机硕士论文参考文献
[1]马利.计算机网络安全中的防火墙技术应用研究[J].信息与电脑,2017,13(35):35.
关键词:计算机技术;网络安全;储存;云计算
在互联网信息技术快速发展的背景下,网络信息安全成为当下主要研究方向之一。云计算技术的有效应用,既为人们的需求带来较大的便利,同时也为用户的信息安全带来了一定的隐患。国家计算机网络与信息安全管理中心甘肃分中心作为地方网络安全治理的重要技术支撑单位,为了有效保护全省计算机网络储存信息的安全,必须要正确认识云计算技术,科学合理的应用,这样才能最大化保障数据的安全性[1],并且准确地监测、预警各类网络安全事件。现为对计算机网络安全存储中云计算技术的应用进行探究,本文将对云计算技术的概念及其发展现状进行论述,继而对计算机网络安全存储中云计算技术所涉及的关键技术进行分析,随后对其相关应用策略进行探究,以供广大计算机网络与信息安全管理从业者参考。
1 云计算技术的概念及发展现状
所谓“云计算技术”,即由分布式计算、网格计算、并行处理等技术发展而来的新型商业计算模型,在实际运作之时,其计算任务一般分布于大量计算机构成的资源池上,令各类应用系统能以实际需求为根据获取系统实际获取的计算能力、软件服务以及存储空间,并建立网络服务器集群,为各类用户提供硬件租借、各种类型的软件服务、数据存储、计算分析等各种类型的服务。举例而言,目前国内普遍使用的几类在线财务软件金蝶及用友等等,再例如国外谷歌曾的谷歌应用程序套装等,这些例子借可归纳入云计算技术的范畴之中,通俗来讲,云计算本身便是将本地计算机需求的计算任务“传送”至云端,由云端处储备的、运算能力远超本地计算机能力的计算机群对本地计算机需求的计算任务进行计算,进而将计算结果及其相关资源传送回本地计算机,这便是最初狭义的“云计算技术”。在发展现状方面,云计算技术通过其本身与以往模式大不相同的服务模式,在信息技术领域这滩“波澜不惊”的死水中惊起了漫天“波澜”,且这“波澜”一旦出现便几无休止,因而也在此领域内引起了社会各阶层的广泛关注。在实际应用一段时间后,其本身也逐渐划分为数大层次――基础设施安全层次、应用服务器安全层次、云端安全层次等等,由于层次较多,目前云计算技术也呈现出了“综合性”,而随着近年来我国社会与科技的不断进步与发展,云计算技术在网络安全方面的研究日渐推进,其中,目前国内外在云计算技术方面的建树主要存在以下案例:一是我国曾创建IBM云计算中心;二是除国家领域的云计算技术应用于网络安全的成功案例外,许多从事于网络安全及其相关领域的企业或公司纷纷基于“云计算技术”提出了针对网络安全的解决方法与策略,如目前在国内外比较出名的360 云、IBM云、Google云及Microsoft云等等。这些案例清楚地向人们展示着“云计算技术”在网络安全储存中的发展程度。同样,这些案例亦成为了将云计算技术应用于网络安全存储中的先行者,为云计算技术在网络安全性中的有效应用做出表率,进而推进网络安全储存的发展。
2 计算机网络安全储存中云计算技术的关键技术
在信息技术和网络技术快速发展的背景下,人们的需求日益增加且要求越来越多,云计算技术也因此诞生,是网络信息技术的衍生物,主要通过把各种技术有效整合起来,包括云储存技术、分布式计算、虚拟技术等等,将网络中的各种资源整合起来,然后为用户提供个性化服务,故云计算机数按照供需原则为用户提供个性化专业服务,随着社会的发展和人类文明的进步,云计算技术具有良好的发展前景,对推动整个信息行业发展具有重要意义,同时还会掀起信息产业发生革命性的浪潮,促使信息产业各项技术得到有效地创新[2]。所以,在计算机网络安全储存中科学合理应用云计算机技术至关重要。
2.1 云计算技术中的身份认证技术
在计算机网络安全储存中,身份认证是开启服务的关键钥匙,身份认证技术具体包括四种技术,分别为口令核对、IC卡的身份验证、PKI身份认证、Kerberos身份认证,具体如下:(1 )口令核对技术是确保信息安全的关键性技术。用户根据自身的需求在系统中获取对应的权限然后创建用户和登陆密码,在使用过程中,根据系统提示,在登陆窗口输入用户的账号和密码,一旦通过系统验证,通过系统验证即可获取对应的使用权限;否则视为非法用户,不能享受服务,在很大程度上保障了用户信息的安全性[3]。(2 )IC卡的身份验证主要应用在智能IC卡中。IC卡储存着用户的相关信息,包括用户ID和口令,用户根据自身的需求,将IC卡插入身份验证端口,通过对IC卡信息的提取然后输送到服务器中进行验证,确认用户ID与口令是否正确确保了网络的安全性,IC卡身份验证最大的优势在于稳定性较高[4]。(3 )PKI身份认证是在公钥基础设施上所研发出一种新型认证技术。利用公钥把基础数据经过一定的构造,同时配合秘钥的使用,才能完成对用户信息的加密和解密,因此在使用过程中必须要通过秘钥和公钥相互作用,才能实现解密的目的。目前PKI身份认证主要是为了维护系统的安全性,且在秘钥更新、秘钥备份、恢复机制等功能下使用[5]。(4 )Kerberos身份认证是建立在第三方可行协议之下,不同于上述三种的身份认证技术,享有授权服务器和资源访问系统的权利。通过加密用户的口令,才能享受对应的使用权限,然后在使用中进行身份验证,身份验证通过获取系统的合法操作权限,同时享受系统所带来的服务。
2.2 云计算技术中的云数据加密技术
在计算机网络安全储存中,数据加密是根本,也是保护数据安全的关键性技术,具体包括对称加密技术和非对称加密技术。(1 )对称加密技术。对称加密技术包括密钥、密文、明文、加密和解密等部分,该技术具有较高的解答难度,且具有较高的安全性,但是由于使用相同的密钥,因此在传递和管理过程中很难有效保障其安全性,另外也不具备同时签名功能。如图1 所示。(2 )非对称加密技术。与对称加密技术而言,非对称加密技术可以有效弥补其不足之处,从而大大提升了秘钥在传递和管理中的安全性,但是在传递与管理中的作用有限,加密解密方面的能力较弱,且复杂性较高,故使用率较低[6]。如图2 所示。
2.3 云计算技术中的纠删码技术
在计算机网络安全储存中,分布式储存系统是一种比较常用的安全存储系统。由于错误代码的固定位置存在较大差异,且不固定,因此为了有效避免这种问题所带来的安全性问题,纠删码技术得到有效的发展与应用。纠删码技术主要包括分组码、集码、码子、监督码元和信息码元等重要组成部分。其中最常用的纠删码分为级联低密度纠删码、无速率编码和RS纠删码,这些纠删码主要应用在计算机网络安全储存中,都具有较高的编解码效率,从而大幅度提升了网络的质量和安全性[7]。如图3-4 所示:
3 在计算机网络安全存储中加强云计算技术运用的策略
在科学技术全面发展的背景下,云计算技术的诞生和有效应用,在很大程度上促进我国社会经济的发展,并为人们的生活和工作带来较多的便利和价值,但同时也带来了一些问题,尤其是对网络安全储存的安全性和准确性。为了有效应用云计算技术,发挥出云计算技术的作用和价值,必须要掌握云计算技术的应用方法,这样才能有效提高计算机网络安全储存的安全性和准确性,并提高云计算技术的作用和价值。
3.1 在可取回性证明算法中加入冗余编码与纠删码
可取回性证明算法在计算机网络储存中主要是用来处理和验证相关数据信息。在可取回性证明算法中通过加入冗余纠错编码,实现对用户身份的准确验证,从而保障了网络数据信息的安全性。同样数据信息查询必须要进行云端验证,只有通过验证,才能实现查询数据信息的操作,并确认云端数据是否安全。如果用户在数据信息查询时,无法通过云端验证,则不能进行对应的数据信息查询操作,同时还会导致文件损坏,此时文件的恢复至关重要,可取回性证明算法可有效恢复因无法通过验证的数据信息。可恢复的数据信息必须要在可取回范围内,同时使用冗余编码对损坏数据进行二次利用,从而确保数据信息的完整性和安全性,可取回性证明发生具有较高的数据恢复效果[8]。另外,还能有效检验云端数据信息是否完整,并准确定位错误数据,分析出具体的地点。数据的恢复离不开冗余编码技术和纠删码技术的有效使用,并保证了系统的安全性和稳定性。可取回性证明算法基本都是根据用户需求,选择或者建立对应的安全机制和安全服务类型,满足用户的安全技术要求,构建出一套完善的网络安全信息系统。
3.2 在用户端和云端中应用
MC-ROMC-R对提高数据管理效率和数据信息控制效果具有重要作用,因此在计算机网络安全储存中有效应用OMC-R策略意义重大。(1 )首先使用MC公钥密码算法加密。在计算机网络安全储存中应用云计算机技术,就会有效降低数据信息的伪装性,此时可借助MC公钥密码算法,提高云端数据信息的伪装性,实现对隐藏模块、标记模块、行为模块的有效伪装,实现提高数据信息安全性的目标[9]。(2 )然后计算云端数据,前提是加密和校验核心数据,防止在应用过程中出现顺号问题。加密模版和解密模版是云端算法的主要模版,先根据系统指令操作,然后使用MC公钥密码算法加密技术,实现对数据的保存、加密,并将秘钥上传到云端中,接着云端对其进行二次加密处理。在使用这些数据时,使用加密程序用秘钥打开所需数据,在使用解密程度解除加密数据,用户则可以正确使用对应的数据[10]。
《中国金融电脑杂志》2015年第一期
一、主动式网络安全联动机制
传统的网络防护技术及产品在保障网络安全时发挥着各自的作用,但网络安全不是孤立问题,依靠任何一款单一的产品无法实现,只有将不同厂商、不同功能的产品统一管理,使它们联动运转、协同工作,才能充分发挥整体最佳性能,全方位保障网络安全。
1.联动概念联动指在一个系统的各个成员之间建立一种关联和互动机制,通过这种机制,各个成员自由交换各种信息,相互作用和影响。在主动式网络安全防御体系中,联动是一种新型的网络防护策略。通过联动策略,防火墙、入侵检测系统、反病毒系统、日志处理系统等安全技术和产品在“强强组合,互补互益”的基础上,充分发挥单一产品的优势,构建最强的防御系统。
2.传统联动模型网络安全联动机制中较为完善的安全联动模型有TopSEC模型、入侵检测产品、防火墙联动模型和基于策略的智能联动模型,下面主要介绍基于策略的智能联动模型(如图1所示)。该模型中防火墙、VPN、IDS等安全部件,通过智能进行整合,经过部件关联、智能推理传送给联动策略引擎,再根据事先设定好的策略进行联动,并将最终的策略应用到防火墙、VPN、IDS等安全部件中。
3.主动式网络安全联动模型通过部署诱骗系统,吸引攻击者,记录攻击行为,进而分析新型攻击的特点。同时,通过联动机制,使模型中的各安全部件协同工作,最终发挥主动性联动优点,构建一个自适应、动态的主动式防御系统。其中,蜜罐技术是防御体系内各安全部件实现主动式联动的核心技术。(1)蜜罐技术蜜罐是一种安全概念,美国Project Honeypot研究组的Lance Spitaner将其定义一种安全资源,它的价值就在于被扫描、攻击和摧毁。蜜罐可以是仿效的操作系统或应用程序,也可以是真实的系统或程序。通过蜜罐技术建立一个诱骗环境,吸引攻击者或入侵者,观察和记录攻击行为并形成日志,分析日志后追踪、识别入侵者的身份,进而学习新的入侵规则,主动分析新型攻击特点,不断加固自身防御能力。(2)蜜罐技术实现方式如图2所示,简单的实现方式是将蜜罐置于防火墙内部,通过防火墙与外部网络进行连接。蜜罐内部主要由网络服务、数据收集和日志记录模块组成。网络服务模块将蜜罐伪装成正常服务,吸引入侵者对其进行攻击;数据收集模块主要捕获入侵者行为信息,用于分析攻击者所使用的工具、策略以及攻击目的等;日志记录模块将捕获到的信息按照一定的格式生成日志文件,并记录到日志服务器。(3)基于蜜罐技术的主动式安全联动模型将蜜罐技术融合到传统安全联动模型,改进后形成的新模型,让蜜罐技术处于整个系统的核心地位,使整个安全联动模型由被动状态转变为主动状态,利用蜜罐技术在整个系统中的自学习、自进化的特点,克服传统安全联动模型无法主动捕获网络攻击行为、对未知攻击防御能力不足的问题。基于蜜罐技术的主动式安全联动模型(如图3所示)由防火墙、蜜罐系统、防病毒系统、IDS、策略库和联动系统控制中心组成。该模型通过蜜罐诱骗系统不断学习新的攻击手段,将处理后形成的新规则及策略上传至模型策略库,通过联动系统控制中心实现防火墙、IDS、反病毒等安全部件协同联动,及时更新防火墙、防病毒策略和IDS的检查规则。该模型较好地整合了各种安全防御产品的优点,借助于蜜罐技术“主动诱捕”的特点,提高了安全防御系统对于未知攻击的捕捉能力。
二、网络安全防御技术在数据中心的应用与展望
目前,国内大型银行数据中心普遍使用的网络安全防御技术是基于网络监控参数基线的阈值预警方法和入侵检测系统(Intrusion Detection Systems ,IDS)。阈值预警方法是在基线数值基础上给予一定的冗余,计算出该监控参数的阈值数值,形成阈值线。当实际运行的数值超出阈值线,说明该监控参数运行异常,可以在事件发生之前提前干预,阻止事件发生,保障网络服务连续性。这种防御技术支持动态改进,但出现误报的几率比较高。IDS主要通过监控网络系统的状态、行为以及使用情况,检测系统用户越权使用、系统外部入侵等情况。IDS具有一定的智能识别和攻击功能,在检测到入侵后能够及时采取相应措施,是一项相对成熟的防御技术。但IDS主要通过特征库判断,面对新型攻击无法识别,且攻击识别只能在事中或事后阶段进行,本质上仍然是被动防护。在入侵技术越来越成熟的形势下,采用单一的网络安全部件如IDS、防火墙、扫描器、病毒查杀、认证等已经满足不了网络安全防护的要求,将各种安全部件的功能和优点进行融合、实现联动互补,进而发挥最大效力将成为必然趋势。
与上述两种现有防御技术相比,基于蜜罐的主动式网络防御技术优势明显。基于蜜罐的主动式网络联动系统定义简单,实力却很强大,使用简单设备和较少资源即可实现;能够收集到小数据高价值信息,使得分析信息更容易,从中获取的价值更大;能够监控检测、捕获攻击,降低传统安全防御设备的误报率和漏报率;适应能力强,可以在多种环境下使用。大型商业银行数据中心网络覆盖范围广,若能将主动式网络防御技术应用于实践,实现由点及面、全方位检测病毒动向,主动发现病毒威胁并自动采取应对方案,将有效解决本地和网络入侵、外部非法接入等隐患,网络安全防范将取得显著成效。虽然目前还存在一些尚未解决的难点问题,但随着新技术、新概念的引入和应用,主动式网络安全防御将逐步走向实用化,在数据中心网络安全防护中得到广泛应用,成为应对网络威胁的有力武器。
作者:李国金陈佳莺单位:中国农业银行股份有限公司数据中心
【关键词】网络安全技术 现状分析 实现具体路径
1 云计算的简介
云计算就是各类计算为前提,其中主要包含网络计算以及分布计算,创建出一类新型的计算方式。通过一种新型的具备共同分享性的方式,进行大数据的处理和计算,元计算的关键是计算机网络的全套服务以及相关信息资源的储存。云计算最主要的特征是:安全的数据储存功能,对终端设备的标准要求不高、便捷的操作、具有较大的空间进行计算等。所以计算机网络数据储存安全维护,换句话说也就是网络安全,能够在技术方面以及管理水平层面上使用与计算的基础方式,保障网络信息数据的保密性,防止信息泄露或者受到黑客和攻击者的破坏,最大限度的保障计算机网络数据的完整性、安全性以及价值方面的安全层次设定。
2 云计算下网络安全技术使用的价值
在新时期,运用云计算的方式,完成对网络安全技术的使用,它的作用主要是:
2.1 主要表现在在网络数据贮存的可信赖方面
不断深化云计算下网络安全技术的使用,能够保证网络的使用者的私密数据信息不丢失或者泄露。计算机的广域网与局域网相互融合的模式形成的的数据中心,能够以不同地域备份和多级互联网备份为基础,极大程度上保证计算机网络使用者的信息安全,在一定程度上防止传统计算机产生的信息遭到泄露的情况的出现。
2.2 主要表现在多个设备资源共同分享方面,能够完成安全以及快捷的的共享
网络安全技术的普遍使用,不但能够在一定限度内减轻用户装备功能上的准则,当使用者的计算机连接到网络,就能够快速完成计算机之间的信息、以及软件的共享。而且在使用者进行共享过程的有关应用时,鉴于提前在使用者信息安全性上实施了繁杂的融合加密手段,信息在网络下的传输过程是以一种密码保护的情况下开展的,唯有数据传输到指定的对象那里,才会以严密的使用者权限管理形式和融合密码的安全验证,就能够完成指定用户的信息共享,强化对网络数据传输安全的保障。
2.3 在云计算环境下,网络安全技术使用的含义还表现在对网络安全的检验
云计算环境下的网络安全技术,能够最大限度的对大型移动终端中的软件行动实施监督,检测出网络中隐藏的木马程序以及病毒软件等,经过服务终端的自行判断以及分析后,为用户制定相应的解决策略,保证使用者的信息安全。
3 云计算下网络安全技术的当前状况解析
其安全技术应用的问题主要包括技术、网络使用的大环境以及相关的法令制度保护。
(1)技术层面的问题主要是终端服务停止时,用户的使用受到限制,不能实施对数据和信息的保护。所以,怎么能够在技术上保证使用者信息的安全,是一个需要快速解决关键问题;
(2)计算机网络使用的环境方面。研究当前的计算机网络运行环境,找出保护使用者终端计算机非法病毒在网络上的散布和高效的阻止攻击者的破坏,是当前网络安全维护的关键问题。由于利益的驱使,黑客的数量逐步增加,然后通过倒卖公司的商业机密获取经济利益,以保证某些企业在竞争中处于有利地位。
(3)当前还没有完善的计算机网络安全上的法令规章制度的保护,所以攻击者的行为难以得到制约,造成当前网络环境的安全受到极大的威胁。
4 云计算下网络安全技术的具体实现方式
4.1 提高使用者的安全防范思想,明确网络安全技术发展的战略目标
(1)深化网络使用的实名制,确定网络授予使用权限的对象,从用户身份上提高网络安全。防止外界攻击者的非法入侵造成信息的丢失。
(2)要高效的保障网络安全技术在使用上的系统准时性,此外还需强化对网络信息散布方面的监管,针对网络中的隐秘信息,必须定时审查和不定时的抽检,对出现的问题要给予高度重视并快速解决,避免出现损失。
(3)使用数字签名手段的方法,一般需要经过数字签名的形式,对用户的身份进行验证,最大限度维护计算机网络的安全。
4.2 极大在网络安全技术上的支持,提升应对网络安全隐患的处理水平和解决方法
网络安全技术支持的含义包括网络应用程序和服务的开发、网络安全维护体系的规划及检验和数字签名技术手段的使用。在网络应用程序和服务的开发方面上,必须高度重视杀毒程序上的安装以及使用方法,提高计算机在网络安全上防护能力。
4.3 实施加密的网络安全上的有关前沿手段
经过应用针对于计算机网络安全设计的筛选装备,能够有效的防止被计算机系统鉴别通过但是但是属于非法信息和程序。挑选信用优秀的网络运营商,供应有关的的云服务,保证使用者的信息不在自己的视野范围内,也可以被专业能力强的企业监管,避免使用者的信息出现泄露的风险。另外,一定要深化使用者对密码难度上的设置,以防使用者的信息被窃取或者私自篡改。
5 结语
社会的快速稳定发展,使我国的计算机网络发展极其快速,网络安全问题在使用中逐步显现。云计算下的计算机网络安全也有相当大的问题,主要包括计算机网络技术水平、管理技能、使用效果等繁杂的、牵涉范畴较为广泛等因素。本文针对完成云计算下网络安全手段的使用,提供了具体的实现方法,终极目标是使我国的网络安全使用环境更加规范化,创建一个管理有效、使用安全网络秩序。
参考文献
[1]邵晓慧,季元翔,乐欢.云计算与大数据环境下全方位多角度信息安全技术研究与实践[J].科技通报,2017(01):76-79.
[2]刘伉伉.云计算环境下入侵检测技术的研究[D].山东师范大学,2015.
[3]牛海春.基于移动Agent的移动云计算任务迁移机制研究[D].洛阳:河南科技大学,2015.
[4]莫伟志.基于云计算校园网络信息安全技术的发展分析[J].信息安全与技术,2015(06):44-45+53.
[5]郭琪瑶.云计算技术下的网络安全数据存储系统设计[J].电脑知识与技术,2015(35):5-7.
关键词: 蜜罐技术 虚拟蜜罐 定义和分类 关键技术 优缺点
1.引言
伴随着网络普及与发展,网络安全问题日益严峻。面对不断出现的新的攻击方法和攻击工具,传统的、被动防御的网络防护技术越来越无法适应网络安全的需要,网络安全防护体系由被动防御转向主动防御是大势所趋。作为一种新兴的主动防御技术,蜜罐日益受到网络安全工作者的重视。研究蜜罐及其关键技术对未来的网络安全防护具有深远的意义。
2.蜜罐的定义和分类
2.1蜜罐的定义
蜜罐(又称为黑客诱骗技术)是一种受到严密监控的网络诱骗系统,通过真实或模拟的网络和服务,来吸引攻击,从而在黑客攻击蜜罐期间,对其行为和过程记录分析,以搜集信息,对新攻击发出预警,同时蜜罐可以延缓攻击时间和转移攻击目标。蜜罐本身并不直接增强网络的安全性,相反,它通过吸引入侵,来搜集信息。将蜜罐和现有的安全防卫手段,如入侵检测系统(IDS)、防火墙(Firewall)、杀毒软件等结合使用,可以有效提高系统安全性。
2.2蜜罐的分类
蜜罐有三种分类方法。
2.2.1从应用层面,可分为产品型和研究型。
2.2.1.1产品型蜜罐。指由网络安全厂商开发的商用蜜罐,一般用来作为诱饵,把黑客的攻击尽可能长时间地捆绑在蜜罐上,赢得时间,保护实际网络环境,也用来搜集证据作为黑客的依据,但这种应用在法律方面仍然具有争议。
2.2.1.2研究型的蜜罐。主要应用于研究,吸引攻击,搜集信息,探测新型攻击和新型黑客工具,了解黑客和黑客团体的背景、目的、活动规律,等等。在编写新的IDS特征库,发现系统漏洞,分析分布式拒绝服务攻击等方面是很有价值的[1]。
2.2.2从技术层面,根据交互程度,可分为以下三种。
2.2.2.1低交互蜜罐。只是运行于现有系统上的一个仿真服务,在特定的端口监听记录所有进入的数据包,提供少量的交互功能,黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务,结构简单,部署容易,风险很低,所能收集的信息也是有限的。
2.2.2.2中交互蜜罐:不提供真实的操作系统,而是应用脚本或小程序来模拟服务行为,提供的功能主要取决于脚本。在不同的端口进行监听,通过更多和更复杂的互动,让攻击者产生是一个真正操作系统的错觉,能够收集更多数据。
2.2.2.3高交互蜜罐。由真实的操作系统来构建,提供给黑客的是真实的系统和服务,可以学习黑客运行的全部动作,获得大量的有用信息,包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客,带来了更高的风险,即黑客可能通过这个开放的系统去攻击其他系统。
2.2.3从具体实现的角度,分为物理蜜罐和虚拟蜜罐。
2.2.3.1物理蜜罐:通常是一台或多台真实的在网络上存在的主机操作,主机上运行着真实的操作系统,拥有自己的IP地址,提供真实的网络服务来吸引攻击。
2.2.3.2虚拟蜜罐:通常用的是虚拟的机器、虚拟的操作系统,它会响应发送到虚拟蜜罐的网络数据流,提供模拟的网络服务等。
3.蜜罐的关键技术
蜜罐的关键技术主要包括欺骗技术、数据捕获技术、数据控制技术、数据分析技术,等等。其中,数据捕获技术与数据控制技术是蜜罐技术的核心。
3.1欺骗技术
蜜罐的价值是在其被探测、攻击或者攻陷的时候才得到体现的。将攻击者的注意力吸引到蜜罐上,是蜜罐进行工作的前提。欺骗的成功与否取决于欺骗质量的高低。常用的欺骗技术有以下五种。
3.1.1IP空间欺骗。
IP空间欺骗利用计算机的多宿主能力,在一块网卡上分配多个IP地址,来增加入侵者的搜索空间,从而显著增加他们的工作量,间接实现了安全防护的目的。这项技术和虚拟机技术结合可建立一个大的虚拟网段,且花费极低。
3.1.2 漏洞模拟。
即通过模拟操作系统和各种应用软件存在的漏洞,吸引入侵者进入设置好的蜜罐。入侵者在发起攻击前,一般要对系统进行扫描,而具有漏洞的系统,最容易引起攻击者攻击的欲望。漏洞模拟的关键是要恰到好处,没有漏洞会使入侵者望而生畏,漏洞百出又会使入侵者心生疑虑。
3.1.3 流量仿真。
蜜罐只有以真实网络流量为背景,才能真正吸引入侵者长期停驻。流量仿真技术是利用各种技术使蜜罐产生欺骗的网络流量,这样即使使用流量分析技术,也无法检测到蜜罐的存在。目前的方法:一是采用重现方式复制真正的网络流量到诱骗环境;二是从远程产生伪造流量,使入侵者可以发现和利用[2]。
3.1.4 服务伪装。
进入蜜罐的攻击者如发现该蜜罐不提供任何服务,就会意识到危险而迅速离开蜜罐,使蜜罐失效。服务伪装可以在蜜罐中模拟Http、FTP、Telent等网络基本服务并伪造应答,使入侵者确信这是一个正常的系统。
3.1.5 重定向技术[3]。
即在攻击者不知情的情况下,将其引到蜜罐中,可以在重要服务器的附近部署蜜罐,当服务器发现可疑行为后,将其重定向到蜜罐。还可以使用蜜罐,以及多个蜜罐模拟真正的服务器,当对服务器的请求到来时,利用事先定义好的规则,将请求随机发送到蜜罐和服务器中的一个,用以迷惑攻击者,增大攻击者陷入蜜罐的概率。
3.2数据捕获技术
如果无法捕获攻击者的活动,蜜罐就失去了存在的意义。数据捕获的目标是捕捉攻击者从扫描、探测、发起攻击,直到离开蜜罐的每一步动作。捕获的数据来自三个层次:防火墙日志、网络数据流和主机系统内核级的数据提取。第一层数据捕获由防火墙日志根据设定的过滤规则,记录入侵者出入蜜罐的行为信息,数据直接放在本地;第二层数据捕获由入侵检测系统捕获网络原始报文,并放在IDS本地,IDS报警信息可以让系统管理员了解系统中正发生的状况;第三层数据捕获由蜜罐主机完成。主要是主机日志,用户击键序列和屏幕显示,这些数据应异地存储,以防攻击者发现。随着加密技术的发展,越来越多的攻击者开始使用加密工具,保护和隐藏他们的通信。系统内核级的数据提取必须应对入侵者数据加密的情况,目前最先进的技术是开发特殊的内核数据处理模块来替代系统内核函数,从而记录下入侵者的行为。
3.3数据控制技术。
数据控制技术既控制数据流,又不引起攻击者的怀疑。如攻击者进入蜜罐,但不能向外发起连接,他们就会对系统产生怀疑,而完全开放的蜜罐资源在攻击者手中会成为向第三方发起攻击的攻击跳板。目前数据控制技术主要从以下两方面对攻击者进行限制。[3]
3.3.1限制攻击者从蜜罐向外的连接数量。
传统的限制方法是通过配置防火墙,设置从蜜罐向外的连接数目,超过数量即中断连接。这种方法较安全,但易被攻击者识破。改进方法是将防火墙技术与入侵检测技术结合,形成入侵检测控制。即在系统上安装一个包含已知攻击模式的签名数据库,以检测捕获的攻击是否与数据库匹配。如果匹配,就切断连接;如果不匹配,则根据需要设定连接次数。这样既可以学习更多的未知攻击,又可以迷惑攻击者。
3.3.2限制攻击者在蜜罐中的活动能力。
这包括连接限制、带宽限制、沙箱技术等较新的技术。连接限制就是修改外出连接的网络包,使其不能到达目的地,同时给入侵者造成网络包已正常发出的假象,麻痹攻击者。带宽限制即通过控制带宽利用率和网络延时,限制入侵者由蜜罐向外发包的能力。这种方法往往使攻击者认为网络本身出现了问题,意识不到自己已身陷蜜罐。沙箱技术可对应用进程进行定量限制和定性限制,比如限制CPU的使用率和只允许访问特定的资源等,这无疑降低了应用程序的访问能力[5]。实践证明,若要真正实现既控制数据流,又不引起攻击者的怀疑的目的,单靠某一种技术是不行的,必须综合而灵活地使用上述数据控制技术。
3.4数据分析技术。
数据分析包括网络协议分析、网络行为分析和攻击特征分析等。要从大量的网络数据中,提取攻击行为的特征和模型是很难的。现有的蜜罐系统都没有很好地解决使用数学模型自动分析和挖掘出网络攻击行为这一难题[4]。
4.蜜罐技术的优缺点
4.1蜜罐的优点。
4.1.1数据价值高。
当今,安全组织所面临的一个问题就是怎样从收集到的海量数据中获取有价值的信息,从防火墙日志、系统日志和入侵检测系统发出的警告信息中收集到的数据的量非常大,从中提取有价值的信息很困难。蜜罐不同于其他安全工具,每天收集到若干GB的数据,大多数Honeypot每天收集到的数据只有几兆,并且这些数据的价值非常高,因为蜜罐没有任何产品型的功能,所有对它的访问都是非法的、可疑的。
4.1.2资源消耗少。
当前大多数安全组织所面临的另一个难题就是有时会由于网络资源耗尽,因而导致安全措施失去了作用。例如,当防火墙的状态检测表满的时候,它就不能接受新的连接了,它会强迫防火墙阻断所有的连接。同样入侵检测系统会因为网络流量太大,使其缓冲区承受不起,所以导致IDS丢失数据包。因为Honeypot只需要监视对它自己的连接,需要捕获和监视的网络行为很少,很少会存在网络流量大的压力,所以一般不会出现资源耗尽的情况。我们不需要在充当蜜罐的主机的硬件配置上投入大量的资金,只需要一些相对便宜的计算机,就可以完成蜜罐的部署工作。
4.1.3实现简单。
部署一个蜜罐,不需要开发复杂和新奇的算法,不需要维护特征数据库,不需要配置规则库。只要配置好蜜罐,把它放在网络中,就可以静观其变。
4.2蜜罐的缺点。
4.2.1数据收集面狭窄。
如果没有人攻击蜜罐,它们就变得毫无用处。在某些情况下,攻击者可能识别出蜜罐,就会避开蜜罐,直接进入网络中的其他主机,这样蜜罐就不会发现入侵者已经进入了你的网络。
4.2.2有一定风险。
蜜罐可能会把风险带入它所在的网络环境。蜜罐一旦被攻陷,就有可能成为攻击、潜入或危害其他的系统或组织的跳板。
5.结语
蜜罐技术的出现为整个安全界注入了新鲜的血液。它不仅可以作为独立的信息安全工具,而且可以与其他安全工具协作使用,从而取长补短,对入侵者进行检测。蜜罐可以查找并发现新型攻击和新型攻击工具,从而解决了入侵检测系统和防火墙中无法对新型攻击迅速做出反应的问题。蜜罐系统是一个有相当价值的资源,特别是对潜在的攻击者和他们所使用工具相关信息的收集,没有其他的机制比蜜罐系统更有效。
参考文献:
[1]翟继强,叶飞.蜜罐技术的研究与分析.网络安全技术与应用,2006,(4):15-17.
[2]胡文广,张颖江,兰义华.蜜罐研究与应用.网络安全技术与应用,2006,(5):48-49.
信息安全时代,大数据平台承载了巨大数据资源,必然成为黑客组织、各类敌对势力网络攻击的重要目标。因此,大数据时代的网络安全问题,将是所有大数据利用的前提条件。与此同时,我们也可以利用大数据技术来提升我国网络安全技术水平,在保障国家网络空间安全方面发挥作用。
大数据时代
网络安全的主要威胁
大数据时代,我国网络安全面临着多重安全威胁。
首先,网络基础设施及基础软硬件系统受制于人。大数据平台依托于互联网面向政府、企业及广大公众提供服务,但我国互联网从基础设施层面即已存在不可控因素。
另外,我国对大数据平台的基础软硬件系统也未完全实现自主控制。在能源、金融、电信等重要信息系统的核心软硬件实施上,服务器、数据库等相关产品皆由国外企业占据市场垄断地位。
其次,网站及应用漏洞、后门层出不穷。据我国安全企业网站安全检测服务统计,我国高达60%的网站存在安全漏洞和后门。可以说,网站及应用系统的漏洞是大数据平台面临的最大威胁之一。而我国的各类大数据行业应用,广泛采用了各种第三方数据库、中间件,但此类系统的安全状况不容乐观,广泛存在漏洞。更为堪忧的是,各类网站漏洞修复的情况难以令人满意。
第三,系统问题之外,网络攻击手段更加丰富。其中,终端恶意软件、恶意代码是黑客或敌对势力攻击大数据平台、窃取数据的主要手段之一。目前网络攻击越来越多地是从终端发起的,终端渗透攻击也已成为国家间网络战的主要方式。另外,针对大数据平台的高级持续性威胁(简称APT)攻击非常常见。APT攻击非常具有破坏性,是未来网络战的主要手段,也是对我国网络空间安全危害最大的一种攻击方式。近年来,具备国家和组织背景的APT攻击日益增多,毫无疑问,大数据平台也将成为APT攻击的主要目标。
以大数据技术
对抗大数据平台安全威胁
由上述分析可知,针对大数据平台这种重要目标的网络攻击,其技术手段的先进性、复杂度、隐蔽性和持续性,以及背后的支持力量,都已超出了传统网络安全技术的应对能力。全球网络安全行业都在研究探讨应对这种高级威胁的新型技术体系,大数据技术成为其中重要的方面。包括360公司在内的互联网安全企业,已经在利用大数据技术提供各种网络安全服务,为提升大数据平台的安全保障,增强国家网络安全空间的安全防卫能力提供有力的支持。
利用大数据技术应对DNS安全威胁,积极推动基础软硬件自主控制。以DNS为例,作为互联网基础设施,我国首先应积极争取获得域名服务器的运营管理权,构筑完整的安全防范体系。另外,我们应该积极利用大数据技术,研发高性能、抗攻击的安全DNS系统。依托大数据技术建立DNS应急灾备系统,缓存全球DNS系统的各级数据。同时还可以利用DNS解析的大数据来分析网络攻击。
尽管在国家推动和产业参与下,我国在自主可控的基础软硬件产品的研发方面取得了一定成效。但由于我国在该领域起步较晚,在大数据时代,以操作系统等基础软硬件的国产化和自主知识产权化,仍然需要政府的推动、企业的投入和科研院校的参与,更有必要依托大数据技术实现研发数据的共享。
利用大数据技术防护网站攻击,定位攻击来源。一方面,开发并优化网站卫士服务。我国安全公司已针对网站漏洞、后门等威胁推出了相应的网站安全卫士服务,能够利用大数据平台资源,帮助网站实现针对各类应用层入侵、DDoS/CC流量型攻击、DNS攻击的安全防护,同时向网站提供加速、缓存、数据分析等功能。同时通过对海量日志大数据的分析,可以挖掘发现大量新的网站攻击特征、网站漏洞等。另一方面,通过对日志大数据进行分析,还能进一步帮助我们溯源定位网站攻击的来源、获取黑客信息,为公安部门提供有价值的线索。
利用大数据技术防范终端恶意软件和特种木马、检测和防御APT攻击。基于大数据和云计算技术实现的云安全系统,可以为防范终端特种木马攻击起到有力的支持。目前我国的安全公司已经在为有关部门提供支持,利用其云安全系统的大数据资源,帮助有关部门分析定位终端特种木马的分布、感染的目标终端,以及分析同源的特种木马,为有关部门工作提供了有力的支持。
为了对抗APT攻击,我们可以采用大数据分析技术研发APT攻击检测和防御产品。此类产品可以在大时间窗口下对企业内部网络进行全流量镜像侦听,对所有网络访问请求实现大数据存储,并对企业内部网络访问行为进行建模、关联分析及可视化,自动发现异常的网络访问请求行为,溯源并定位APT攻击过程。
另外,我国还应建立国家级APT防护联动平台。当前, 我国重要信息系统具有相互隔离、孤立的特点,针对APT攻击难以形成关联协同、综合防御的效应,容易被各个击破。因此,在重要信息系统单位部署APT攻击检测产品的基础上,非常有必要建立国家级的APT防护联动平台,汇聚不同政府部门、重要信息系统中部署的APT防护产品所检测的安全事件及攻击行为数据,对其进行大数据分析挖掘,从而形成国家级针对APT攻击的全面侦测、防护能力。
大数据时代网络安全的建议
鉴于大数据资源在国家安全方面的战略价值,除在基础软硬件设施建设、网络攻击监测、防护等方面努力之外,针对国内大数据服务及大数据应用方面还有如下建议。
对重要大数据应用或服务进行国家网络安全审查。对于涉及国计民生、政府执政的重要大数据应用或服务,应纳入国家网络安全审查的范畴,尽快制定明确的安全评估规范,确保这些大数据平台具备严格可靠的安全保障措施。
合理约束敏感和重要部门对社交网络工具的使用。政府部门、央企及重要信息系统单位,应避免、限制使用社交网络工具作为日常办公的通信工具,并做到办公用移动终端和个人移动终端的隔离,以防止国家重要和机密信息的泄露。
敏感和重要部门应谨慎使用第三方云计算服务。云计算服务是大数据的主要载体,越来越多的政府部门、企事业单位将电子政务、企业业务系统建立在第三方云计算平台上。但由于安全意识不够、安全专业技术力量缺乏、安全保障措施不到位,第三方云计算平台自身的安全性往往无法保证。因此,政府、央企及重要信息系统单位,应谨慎使用第三方云服务,避免使用公共云服务。同时国家应尽快出台云服务安全评估检测的相关规范和标准。
严格监管、限制境外机构实施数据的跨境流动。对于境外机构在国内提供涉及大数据的应用或服务,应对其进行更为严格的网络安全审核,确保其数据存储于境内的服务器,严格限制数据的跨境流动。
关键词 内部网络;安全防范;企业
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0207-02
1 企业内部网络的安全现状
传统的企业网络安全防范主要都是对网络病毒、系统漏洞、入侵检测等方面加以设置,安全措施和相关配置通常都在网络与外部进行连接的端口处加以实施,采取这样的网络安全防范虽然能够降低外部网络带来的安全威胁,但却忽视了企业内部网络潜在的安全问题。
目前,企业内部网络的安全问题的严重程度已经远远超过了外部网络带来的安全威胁,企业内部网络的安全威胁成为了企业信息安全面临的重大难题。但是,由于企业管理人员的网络安全防范意识不强,对于企业内部网络的安全问题不够重视,甚至没有对企业内部网络采取任何安全防范措施,因此导致了企业内部网络安全事故不断增加,给企业带来了重大经济损失和社会负面影响,怎样能够保证企业内部网络不受到任何威胁和侵害,已经成为了企业在信息化发展建设过程中亟待解决的问题。
2 企业内部网络的安全威胁
随着计算机技术和网络技术的飞速发展,企业内部网络是其信息化建设过程中必不可少的一部分。而且,网络应用程序的不断增多也使得企业网络正在面临着各种各样的安全威胁。
2.1内部网络脆弱
企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的,而且,由于部分网络管理人员对于企业内部网络安全防范不够重视,使得大部分的计算机终端都面临着严重的系统漏洞问题,随着内部网络中应用程序数量的日益增加,也给计算机终端带来了更多的系统漏洞问题。
2.2用户权限不同
企业内部网络的每个用户都拥有不同的使用权限,因此,对用户权限的统一控制和管理非常难以实现,不同的应用程序都会遭到用户密码的破译和非法越权操作。部分企业的信息安全部门对于内部网络的服务器管理不到位,更容易给网络黑客留下可乘之机。
2.3信息分散
由于部分企业内部网络的数据存储分布在不同的计算机终端中,没有将这些信息统一存储到服务器中,又缺乏严格有效的监督控制管理办法。甚至为了方便日常办公,对于数据往往不加密就在内部网络中随意传输,这就给窃取信息的人员制造了大量的攻击机会。
3 企业内部网络安全防范设计方案
3.1网络安全防范总体设计
即使企业内部网络综合使用了入侵检测系统、漏洞扫描系统等防护手段,也很难保证企业内部网络之间数据通信的绝对安全。因此,在本文设计的企业内部网络安全防范方案中,部署了硬件加密机的应用,能够保证对企业内部网络中的所有数据通信进行加密处理,从而加强企业内部网络的安全保护。
3.2网络安全体系模型构建
企业内部网络安全体系属于水平与垂直分层实现的,水平层面上包括了安全管理、安全技术、安全策略和安全产品,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。一个企业内部网络安全体系如果想保持一致性,必须包括用户授权管理、用户身份认证、数据信息保密和实时监控审计这四个方面。这四个方面的管理功能是共同作用于同一个平台之上的,从而构建成一个安全可靠、实时可控的企业内部网络。
1)用户身份认证
用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等,而且,由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。
2)用户授权管理
用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。
3)数据信息保密
数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络信息和知识产权信息的有效保护。
4)实时监控审计
实时监控审计作为企业内部网络中必不可少的部分,主要实现的是对企业内部网络的安全的实时监控,定期生成企业内部网络安全评估报告,一旦企业内部网络出现安全问题时,能够及时汇总数据,为安全事故的分析判断提供有效依据。
4结论
目前,关于企业内部网络的安全防范问题一直是网络信息安全领域研究的热点问题,越来越多的企业将办公系统应用于企业内部网络中,但是由于企业工作人员的安全防范意识不强,或者网络操作不规范,都给企业内部网络带来了更多的安全威胁。本文提出的企业内部网络安全防范设计方案,能够有效解决多种内部网络的安全问题,具有一定的实践应用价值。
参考文献
近年来,全球频发网络安全事件。2015年5月,兰德公司对6000余名美国成年人展开了一项调查,结果显示:在2014年6月到2015年6月,26%的被调查者收到过个人信息遭泄露的通知。兰德公司据此预测:仅过去一年,美国就有6400万成年人的个人信息遭到泄露――这相当于超过1/4的美国成年人口。
针对日益突出的网络安全问题,兰德公司2016年6月发表了题为《网络犯罪:你需要知道什么》的文章,对该公司今年的若干网络安全系列报告进行了梳理和总结,主要从网络黑客和防御者角度出发,探讨网络犯罪的现状、网络防御工作的困境及未来走向。
“网络黑市”热闹而隐秘
兰德公司的研究人员将售卖网络犯罪工具和用户信息的市场,形容为一个热闹的“集市”。在这个“网络黑市”中,黑客和其他网络犯罪者像商人一样贩卖各种服务与产品,并通过隐秘的聊天室或论坛接头和交易。购买者可以很容易地在黑市里找到任何想要的东西:用户的医疗记录、可供雇佣的黑客、恶意软件开发工具包、僵尸网络病毒、勒索软件等等。 据兰德公司估算,目前“网络黑市”的价值至少有数十亿美元。
“网络黑市”的内部运作复杂有序,且组织严密。在黑市中,参与者们分工明确、层级分明,包括维持秩序的管理员、从事犯罪工具研发的专家、中介、供应商、中间商、普通成员等。此外,黑客们按照专长不同,甚至已经打出了自己的“品牌”。俄罗斯的黑客们以提供高质量的产品与服务闻名;越南和中国的黑客群体分别主攻电子商务和知识产权领域;而美国的黑客们则主要从事金融犯罪。
兰德公司在今年的网络安全系列报告之一――《网络犯罪工具与数据失窃的市场》中估算,目前,“网络黑市”的价值至少有数十亿美元。而造成“网络黑市”迅猛发展的原因主要有三方面:
第一,“网络黑市”的门槛相对较低。无论是黑客还是购买者,都可以通过互联网较为容易地进入市场进行买卖。因此,相比非法药品交易等犯罪市场而言,“网络黑市”相关产品和服务的供应量和需求量都有增无减。
第二,大多“网络黑市”所提供的产品和服务都能通过互联网即时送达,这节省了运输费用,从而降低了成本,使网络犯罪成为“高盈利”的犯罪领域。
第三,如上文所述,“网络黑市”拥有严密的组织形式,且市场运营严格遵守相关规章制度。兰德公司的研究人员认为,“网络黑市”在这方面甚至超越了许多合法市场。
网络防御者的困境
为保护网络安全,政府和企业每年都投入了大量资金。《网络犯罪:你需要知道什么》一文估测:现在全世界每年在网络安全领域的总投入约800亿美元。然而,大量投入并不意味着实现了成功的网络防御。
无论是从企业还是从政府的角度来看,较为成功的网络防御就是将网络安全的成本最小化,即把投入网络安全领域的资源以及遭受网络攻击的损失,都降到最低。可是,兰德公司的研究人员在对18名大型企业首席信息安全官进行调查采访后发现,实际上网络防御者们普遍面临着这样困境:他们不知道目前投入在网络安全领域的资源(包括资金、人员配备等)是否够用。这主要体现在两方面――
首先,在网络攻击真正到来之前,信息安全官很难预估其可能带来的损失。如何在“将投入最小化”和“将损失最小化”之间找到一个最理想的平衡点,成为一大难题。在兰德公司的采访中,没有一位信息安全官可以清晰地阐释“为什么将投入金额定为某一个具体数字”这类问题。甚至有信息安全官悲观地表示,他们只有在又一次网络攻击成功之后,才知道此前投入的资金依旧不够。
其次,相比于网络攻击带来的直接经济损失,名誉与公信力的受损才是政府和企业最为担忧的事情。兰德公司的文章中指出,由于涉及到名誉问题,许多政府和企业不惜斥巨资未雨绸缪。然而,这些防御投入是否必要,却有待商榷。
以2014年摩根大通银行账户泄露事件为例。尽管当时有约8000万个客户的信息遭遇泄露,但黑客们所做的只是将用户的账户名称、电话号码和住址等信息收集起来。截止到2014年底,没有任何关键信息被盗,也没有任何账户被攻击或者资金被转移。这次事件并没有造成实际的经济损失,可摩根大通却因为没能保护好客户信息,名誉大受影响。目前,摩根大通每年在网络安全方面的投入是2.5亿美元,且还有继续增加的趋势。
其实,许多时候网络攻击的风险往往被企业过分夸大,导致一桩无害的信息泄露事件也会引起极度恐慌。正如兰德公司的高级管理学家、网络安全系列报告作者之一马丁・利比奇(Martin Libicki)所说:“许多网络安全方面的花费都是出于我们的恐惧,但实际上,我们所恐惧的事情却很少发生。”
网络安全形势愈加复杂
面对网络犯罪市场和网络防御工作的现状,兰德公司的研究人员在《网络犯罪:你需要知道什么》一文中抛出了一个我们都无法回避的问题:网络安全的未来将是怎样的?
显然,未来的网络安全形势将更为复杂。随着物联网的发展,除了手机和笔记本电脑,医疗设备、家用恒温器,甚至是厨房用品都将逐步实现在线互联功能。根据全球权威IT研究与咨询公司高德纳(Gartner)的预测:到2020年,联网设备的数量将是全球人口数量的三倍。这意味着:每一个设备都有可能成为黑客们攻击的目标,而这将为网络防御工作带来极大的挑战。
关键词:云计算 网络安全 技术升级 实现路径
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)04-0193-01
云计算是建立在互联网基础上的资源整合计算技术,将全部计算资源进行集中整合,通过云软件进行统一的数据管理。在云计算环境下,用户不用对底层问题进行考虑,而是专注于自身需求的达成。在云计算环境下,用户资源具有无限延展性,信息使用不受时间地点限制,费用低廉,对于管理成本的下降以及运营成本控制起到了积极促进作用。但是在实际操作中,云计算的应用为网络安全技术带来的更大挑战,而对这一问题进行研究有着积极的实践意义和应用价值。
1 云计算环境下网络安全威胁分析
1.1 网络因素
在云计算环境下,由于网络攻击造成服务器运营失效,进而出现数据传输风险,风险类型主要有如下几种:第一,数据被窃取。用户数据在云环境下被窃取盗用或者监听,使个人信息以及数据安全面临巨大风险。第二,数据被篡改。云环境下未经用户授权而对其数据进行篡改或删除,使数据完整性受到破坏。第三,攻击服务器。利用云计算BUG向服务器提出过奖数据请求,进而使服务器拒绝服务,极有可能造成用户数据严重破坏。
1.2 存储因素
数据存储方面的威胁主要表现在以下几个方面:第一,由于用户数据保密措施不到位,一旦计算机遭遇恶意攻击,将使数据安全受到极大威胁。第二,存储介质被攻击方控制,进而造成数据篡改、泄漏等。第三,由于数据备份缺失,一旦遭遇数据损坏,很难得到完整恢复。
1.3 身份认证及访问限制因素
身份认证风险一般有三项,首先,对合法用户已经认证的信息进行盗取,造成用户信息泄漏,数据安全难以保障。第二,通过第三方信息服务设备盗取用户信息,同样会使用户信息遭到破坏。第三,用户利用非常规手段进行信息操作后,否认操作行为,出现身份抵赖现象。
同时,由于访问限制因素,也会造成用户信息受到威胁。对于第三方服务器进行恶意攻击,造成攻击者得到非法授权,并以此实现用户数据破坏,或者对用户正常使用造成干扰。再者,合法用户利用非法权限进行操作,使数据信息的私密性、完整性受到威胁。再加上非法入侵者利用推理通道越权操作,造成用户数据安全性下降。
1.4 虚拟环境与审计因素
云计算是依托虚拟环境构建的计算空间,不设置边界安全,而是以防火墙以及数据监测等形式保障数据安全。在云计算领域,用户以租用形式换取相应资源,在统一物理空间内,会有若干数量的虚拟机合租者,多用户机制如果监管不到位,会造成数据安全隐患增加。
而在数据安全审计中,由于审计功能遭遇恶意关闭,或者被用户主动关闭,都会造成运营日志缺失,从而使审计功能难以发挥应用作用。而审计记录不清晰、有歧义,记录不全等,也使系统无法获得用户的规范操作日志,进而为数据审计增加难度。
2 云计算环境下网络安全防御措施
2.1 强化技术监督措施
通过一定的技术监控,能够保障云计算环境下的用户安全,通过安全孔家的构架,实现稳定、畅通、安全的云环境,主要技术手段有以下几种:第一,及时更新软件,消除软件BUG造成的安全风险。第二,建立针对云计算体系的安全防御构架,实现风险事前防御。第三,以虚拟运行环境为基础,进一步完善数据隔离制定,消除统一虚拟空间的多个服务器之间的恶意攻击。第四,强化安全技术的研发和运营,例如“云加密”和“谓词加密”技术的应用。根据存储中存在的数据风险,建立起相应的数据存储安全空间,从而保障数据存储介质具有高度安全性。
2.2 完善身份认证以及访问监控机制
对于由身份认证造成的威胁,可以将第三方认证体系的完善作为基础,从而构建起更为多样化的认证方式。利于引入指纹以及语音技术进行认证,利用电子口令建立安全防线,在CA服务基础上进行安全认证,利用智能卡认证等,并建立有效的审计失败监控,对于非法认证,要及时监督发现并进行追踪。
在访问安全控制中,要赢得那个进一步完善访问控制机制,建立更为安全、稳定的云环境。由于在云空间内同时存在若干类型用户,不同用户的权限与空间功能需求具有明显差异,尤其是在不同云环境下,同一用户的权限也会发生不同变化。因此,在访问控制方面需要建立更为完善的控制机制,便于用户针对自身权限进行角色配置,从而消除访问监控不利造成的网络风险。
2.3 审计与网络环境监测
建立完善的信息审计机制以及入侵检测机制,对用户的操作行为进行全面、客观记录,并能够针对信息记录进行日志分析,如果用户出现非法操作,能够及时发现并非报警追踪。在审计制度的建立上,应当注重内部和外部的整合性,并且在用户数据保密、完整的基础上,建立起更为安全的、不可抵赖性的风险防御机制。
在网络安全控制中,数据传输应当遵循网络安全的相关协议,保证用户数据安全不受破坏。在数据传输过程中,要采用更为严格的加密措施,对数据进行相应加密,避免在传输过程中数据泄漏。在网络环境下建立起信任过滤模式,使网络安全防御更为系统化和规范化,利用新型网络安全工具实现低风险操作。
3 结语
云计算是网络技术发展升级的必然需求,对互联网的利用和发展有着划时代的推动价值。虽然在现阶段网络应用中还存在一些漏洞和问题,但是,随着网络科技与云技术的不断完善,这一性能优越、成本低廉的高科技形式必然会有更为广阔的应用空间,云环境下的网络安全技术也将得到长足发展,为公众提供更为便利的信息使用环境。
参考文献
[1]曾志峰,杨义先.网络安全的发展与研究[J].计算机工程与应用,2000(10).
关键词:校园网;数据中心;网络安全
中图分类号:TP393.08
本项目涉及的是某高校校园网的升级改造。近年来,随着学校校园网应用的不断增加,原学校核心网压力越来越大。同时,随着新的教学模式的应用,如很多学科视频应用逐渐常规化,大量的视频及图像数据流对原校园网中服务器、存储及核心网络设备性能都提出了更高的要求,另外校园网的网络安全也日益成为焦点。因此,该校决定对原有校园网进行改造。
1 项目需求
在此次校园网升级改造中,该校决定将各系业务进行整合,并建设一个独立、高性能的数据中心。通过数据中心统一为全校提供灵活、高效的业务支撑,满足各院系差异化需求,并保留未来强大的扩展能力。
由于新建立的数据中心需要为全校的各种视频、网络教学等关键业务提供服务,因此对数据中心服务器、存储及网络设备的性能和可靠性提出了很高的要求。
具体要求:
(1)数据中心服务器配置了大量高性能千兆网卡,因此要求新建数据中心网络能够满足高密度千兆速率接入需求。
(2)新建数据中心网络要求具备接口扩展等数据中心特性,以适应未来发展需求。
由于此次改造的重点是数据中心,因此对网络安全也提出了相应的要求:
(1)防御来自网络外部的DDoS攻击,保障数据中心的可用性。
(2)对应用层攻击进行预防和阻止。
(3)攻击防范及访问控制,抵御来自外部的各种攻击;在校园内部根据部门的不同安全区域、级别进行隔离。
(4)高密度部署,具备虚拟化能力,低成本地满足校园各部门专属安全防护的需要。
2 项目解决方案
通过对客户需求及应用场景的深入分析,最终将该公司数据中心建设的关注点放在了数据中心网络安全防护上。经过分析最终选定华为公司为运营商。
通过对数据中心的分析,目前对数据经中心的安全需求基本包括以下方面:
数据中心链路普遍采用10G链路,将要向40G/100G链路进行迁移,同时,数据中心的发展,使得大二层数据中心快速发展,东西向流量的交换集中汇聚到数据中心核心交换机,这种趋势必然要求信息安全产品需要有更高的处理能力,低性能的网络安全防护产品如FW/IPS等必制约了数据中心的平滑升级;
数据中心的发展规模越来越大,业务越来越多,数据中心数据价值也越来越高,各种对数据的攻击也日新月异,攻击呈现持续性、高流量、异变性等,如何防护这些种类繁多的攻击行为要求防护产品的快速反应和高性能的处理能力;
信息安全威胁的快速变化,需要网络防护产品能快速的安全能力升级的能力,以及要求安全厂商有更积极的安全产品升级策略;
网络安全产品能够感知不同的应用类型,在网络需要时可以对不同的应用给予不同的带宽保障,保障高价值业务的用户体验;以缓和数据中心出口带宽的压力,提升用户体验。
2.1 外联区安全防护
华为高端防火墙部署在大型数据中心出口,为客户提供高性能、高密度、高可用性、高安全的网络安全基础架构。通过部署高性能的高端墙,实现了安全域隔离,将数据中心划分为外链区和核心区,对各个域之间的流量进行安全防护,有效避免网络风暴扩散,保障网络安全。在外联区部署IPS入侵防御系统,及时判断网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,并在发现威胁的情况进行阻断或告警等措施实现对网络的安全保护。通过在关键业务系统的入换机旁路部署NIP系统,对访问系统的网络流量进行实时入侵检测,实现了统计分析、入侵检测与防护、安全审计等功能。
同时在出口部署Anti-DDoS设备,可以有效识别DDoS攻击,减少恶意流量的冲击,实现对DDoS的攻击防护。
2.2 核心区网络安全解决方案
通过在核心交换机上部署各种安全业务,如防火墙、IPS/IDS等为数据中心的业务提供内部网络安全解决方案。
在核心区部署高性能USG设备,将核心区按照业务模式划分不同的区域,如测试区、托管区、运行管理区等,对不同的区域实现不同的安全策略,为不同的区域提供不同的安全防护能力。
在核心区部署高性能的IPS设备,以旁路IDS方式部署NIP产品,监控内部的攻击行为,检测异常的数据流量,同时在业务服务器群前,防御DDoS攻击,以及各种黑客攻击行为和蠕虫等,以保护高安全业务区的业务安全。
2.3 方案的优势
多种专业防护能力:采用“七层过滤”技术,秒级防御流量型、应用型、畸形报文等各种DoS/DDoS攻击;方案集成业务感知模块,超1200多种应用识别能力,能够对业务做到应用层可视化管控。
高性能:针对数据中心大数据、大流量的特点,华为数据中心网络安全解决方案依托电信级的硬件平台,提供高性能、高可靠的安全防护。在业务吞吐量、接口能力、漏洞检出率/误报率、防护响应速度等安全设备关键指标上全面领先业界水平。
高可靠:方案涉及设备的电源/风扇/主控等关键部件冗余和可热插拔,业务板间均衡负载流量,多种容错设计保证在海量复杂网络流量下可靠性和可用性,保证业务永续。
易扩展:采用插板式设计,安全隔离、IPS和Anti-DDoS的功能均能在同一硬件平台上扩展,高密度,保护客户已有投资。
虚拟化能力强:虚拟化能力是业界平均水平的4倍以上,低成本的提供多部门独享安全服务的需求。
全面的IPv6攻击防范能力:提供完善的IPv6过渡方案,确保IPv4向IPv6网络过渡期间的安全、平滑升级。
3 结束语
本文对校园网的数据中心升级做了简要的描述。在校园网的建设中,我们首先要做的是了解各项业务需求,然后从中选出最重要的点作为项目实现的重点,进行方案设计和设备选型,最后进行项目实施。
参考文献:
[1]郑叶来,陈世峻.分布式云数据中心的建设与管理[M].北京:清华大学出版社,2013.
[2]张广明,陈冰,张彦和.数据中心基础设施设计与建设[M].北京:电子工业出版社,2012.
[3]孟玲玲.校园网组建与维护[M].北京:中国人民大学出版社,2011.
关键词 计算机技术;网络安全;服务器;防御措施
中图分类号 TP39 文献标识码 A 文章编号 1674-6708(2013)89-0212-02
0引言
随着计算机技术的不断发展以及网络的不断普及,网络的重要性在人们日常生活和工作中的重要性则越来越突出,然而伴随网络的发展,网络安全问题却又困扰着网络的应用发展以及人们的工作和生活,不断出现的企业信息泄密事件就是最好的证明,也因此计算机网络安全正成为人们日益关注的焦点,计算机网络安全的威胁主要包括窃听、篡改与重发、假冒、抵赖及病毒、特洛伊木马等的威胁[1],入侵检测系统是(Intrusion Detection Sys-tem,IDS)当前众多安全技术手段中,能够有效组织非法访问行为的一种重要手段。但是,随着有关病毒技术的发展以及网络流量的快速增大,检测系统的检测能力也受到了挑战。当前,入侵网络服务器、威胁网络服务器安全主要就是通过各种病毒进行入侵,其中使用比较多的就是木马病毒。本文将主要探讨网络对计算机网路服务器造成的危害,并对相关的防御技术进行阐述,希望能为相关的研究提供部分参考价值。
1网络木马对计算机网络服务器安全危害
木马主要是指包含在一个合法程序中的非法程序,具体自我设置的能力,当前主要可以分为两类:网游木马和网银木马。当木马运行时,黑客便可以随时从他人的硬盘上查看、删除相关的文件。对计算机存在着很大的危害,主要表现在:它对别人的电脑具有较强的控制功能和破坏能力,通过监控别人的电脑,可以获取相关的密码,盗取别人的信息文件,威胁别人的财产安全,网游木马可以盗取游戏玩家的网游账号,转移其虚拟财产,网银木马则可以采用键盘记录的方式盗取网银账号和密码,使黑客能够轻易的进入我们的网上银行账号,这将直接使我们的经济受损。
2相关的防御措施探讨
从上面的分析中,我们可以知道,网络木马病毒入侵计算机系统带来的最大的损害就是使得个人的财产信息泄密,威胁个人的财产安全[2],因此,有必要采取相关的策略进行防御,笔者认为可以采取的策略主要有。
2.1 建立一个相对安全的服务器防护体系
服务器的安全,是保证整个网络系统正常运行的重要保证,也是网络管理人员的主要职责,但是不存在绝对的网络安全防护体系,因为计算机技术是不断发展的,网络威胁的因素也在随时的变化。笔者认为,要建立一个安全的防护体系,主要可以从以下几点做起:第一,要建立一个强有力的网络安全体系;即要将所有的服务器与周围的其它设备相结合进行头筹规划,一般而言,一个完整的安全体系除了需要技术的支撑以外,最重要的就是管理制度方面的支撑。安全管理方面最基本的措施就是要完善相关的规章制度,岳苏各种网络行为;安全技术方面就是要利用各种杀毒软件和硬件来对整个网络进行安全管理;第二,建立稳固的防护基础,计算机被入侵的一个重要原就是因为计算机的系统本身存在安全漏洞,因此必须要有一定的防护基础;第三,对电脑中的数据进行定期备份,并做好密码保护,因为一旦数据被损害或者是被窃取,将造成无可避免的损失;第四,做好远程访问的管理,计算机网络的一个优点就是可以实现远程访问,但是却为黑客的入侵打开了大门,因为只要知道远程访问的电话号码,就可以很快实现入侵。
2.2 配置合适的安全服务器
服务器是网站的基础、灵魂、尖兵。网站有了基础,才会有接下来的网站排名,流量,品牌形象等等。所以在一开始建设网站的时候,一定要在域名注册查询选择好适合自己网站的服务器,不管是虚拟主机还是VPS或者自己架立的服务器,差的服务器最后只有影响自己网站后期的发展。一般而言,服务器主要分为两类:非x86服务器和x86服务器,按应用的层次划分,则主要可以分为入门级服务器、工作组服务器、部门级服务器和企业级服务器四种,服务器的配置一定要根据自身使用和安全防护的需要进行配置。
2.3 建立安全管理规章制度
俗话说:“无规矩不成方圆。”完善的安全管理规章制度是保证计算机网络安全的重要保证之一,也是计算机管理人员实行计算机网络服务器安全管理的重要支撑。[3]安全管理规章制度的内容应该要包括以下几个方面:1)要针对主要的管理人员设置基本的规则,2)本人用户名、口令要自己保密,不得外泄与他人,没有经过别人的同意不得私自进入别人的账户系统;3)不得恶意攻击系统,获取系统的管理权限;4)完善与计算机服务器安全管理有关的制度,比如计算机上机控制管理制度、计算机机房的安全管理规章制度、上网信息登记审核制度等相关的制度,以确保安全管理制度得到有效执行。
2.4 尽量减少文件共享
文件使用共享的好处就在于可以实现资源共享,所以有很多的人都喜欢将自己的计算机设计为文件共享状态,安全隐患也随之产生,很多的黑客就是通过共享文件,进入文件中进行破坏行动,所以应该要尽量减少文件的共享,以保证自己计算机的安全。
3 结论
综上所述,我们可以知道,计算机信息技术的发展可以说是一把双刃剑,在改变人们生活工作方式的同时,也给人们带来了很多的信息安全隐患。木马是入侵网络服务器众多病毒中的一种,其所带来的危害是巨大的,直接威胁着广大网民的个人财产信息,建立安全的防御系统十分的必要,如何维护计算机服务器的安全将成为未来计算机行业研究的重要课题。
参考文献
[1]邹峰.基于计算机网络的入侵检测与防御研究[J].煤炭技术,2011,1:92-94.
关键词:安全策略 VLAN技术 计算机病毒 网络资源 共享
教育信息网络是教育信息系统运行的载体,是各级教育管理部门之间进行信息交换、实现信息共享的基础平台。教育信息网络安全状况直接影响着正常工作的运转。在网络建成的初期,安全问题可能还不突出,但随着信息化应用的深入,网络上的各种数据急剧增加,各种各样的安全问题开始困扰我们。因此在网络建设过程中,必须未雨绸缪,及时采取有效的安全措施,防范和清除各种安全隐患和威胁。
一、教育信息网络面临的安全威胁
教育信息网络面临的安全威胁大体可分为两种:一是对网络数据的威胁;二是对网络设备的威胁。这些威胁可能来源于各种各样的因素,总结起来,大致有下面几种:
1、物理因素。从物理上讲,教育信息网络的安全是脆弱的,整个网络涉及设备分布极为广泛,任何个人或部门都不可能时刻对这些设备进行全面监控,任何安置在不能上锁的地方的设施,包括光缆、电缆、局域网、远程网等都有可能遭到破坏,从而引起网络的瘫痪,影响正常工作的进行。如果是包含数据的软盘、光碟、主机等被盗,更会引起数据的丢失和泄露。
2、技术脆弱性因素。目前教育信息网络中局域网之间远程互连线路混杂,有电信、广电、联通、移动等多家,因此缺乏相应的统一安全机制,在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件交流规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在。
3、操作人员的失误因素。教育网络是以用户为中心的系统。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配限定用户的某些行为,以免故意或非故意地破坏。更多的安全措施必须由使用者来完成。使用者安全意识淡薄,操作不规范是威胁网络安全的主要因素。
4、管理因素。严格的管理是网络安全的重要措施。事实上,很多网管都疏于这方面的管理,对网络的管理思想麻痹,网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对账号认证等严格限制,舍不得投入必要的人力、财力、物力来加强网络的安全管理等等,都造成了网络安全的隐患。
5、其他因素。一般来说,安全与方便通常是互相矛盾的。有些网管虽然知道自己网络中存在的安全漏洞以及可能招致的攻击,但是出于管理协调方面的问题,却无法去更正。因为是大家一起在管理使用一个网络,包括用户数据更新管理、路由政策管理、数据流量统计管理、新服务开发管理、域名和地址管理等等。网络安全管理只是其中的一部分,并且在服务层次上,处于对其他管理提供服务的地位上。这样,在与其他管理服务存在冲突的时候,网络安全往往需要作出让步。
二、实现教育信息网络安全的对策
网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。不同属性的网络具有不同的安全需求。对于教育信息网络,受投资规模等方面的限制,不可能全部最高强度的实施,但是正确的做法是分析网络中最为脆弱的部分而着重解决,将有限的资金用在最为关键的地方。实现整体网络安全需要依靠完备适当的网络安全策略和严格的管理来落实。
网络的安全策略就是针对网络的实际情况(被保护信息价值、被攻击危险性、可投入的资金),在网络管理的整个过程,具体对各种网络安全措施进行取舍。网络的安全策略可以说是在一定条件下的成本和效率的平衡。
教育信息网络包括各级教育数据中心和信息系统运行的局域网,连接各级教育内部局域网的广域网,提供信息和社会化服务的国际互联网。它具有访问方式多样,用户群庞大,网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为保证网络的安全性,一般采用以下一些策略:
