时间:2023-09-20 16:57:33
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇常见的网络安全防护手段,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
医院信息化建设中网络安全存在技术因素与人为因素的干扰,需要针对各医院实际情况做管理制度的完善健全,提升技术手段,规范管理细节措施,提升全体人员对网络安全维护的意识与能力,从而有效的保证医院信息化建设的高效化、安全化,有序化。
关键词:
医院;信息化建设;网络安全;防护
医院信息化建设不断加快与成熟,促使整体的医疗诊治水平提升,保证了诊疗工作的准确与效率。但是随着信息化的普遍性,相关网络管理工作也日益复杂,尤其是我国恶意软件与不良网络攻击情况严重,导致医院网络安全管理存在较大的威胁。网络安全是医院信息化建设中的重要工作,是保证信息化工作开展的基本保障。
1医院信息化建设中的常见安全隐患
1.1技术因素
医院信息化建设中,会广泛的涉及到服务器、客户端、链路、软件系统、存储与网络设备等多种构成元素。医院信息化建设有效的提升了整体的诊疗水平,提高工作效率与便捷性,但是网络安全问题也日益突出,相关信息资源的泄露或者系统攻击都极大的威胁了信息化建设的有序开展。在安全管理中,物理性环境安全、操作系统安全、数据备份安全等都是网络系统建设的常见安全问题。而常规性的运用防火墙以及其他防病毒操作都无法有效的保证信息化平台的安全性,容易引发数据泄露、损坏与丢失,进而干扰了医院正常工作运转,甚至也对患者个人信息构成泄露,急需要通过更强的防护技术来做保障。对于部分医院而言,会简单的认为设置一定安全防火墙就可以保障系统的安全性,甚至认为不需要其他安全防护来做安全保障,这主要是安全防护工作中缺乏与时俱进的先进意识,认识误区较为明显。而防火墙只是防护手段中的一种,能够防御性的安全问题较为局限,对网络内部与旁路攻击都无法达到理想的防护效果,同时针对内容攻击的问题也无法处理。部分设备中只是对攻击行为进行警告,但是并不具备攻击行为的防控能力。在数据库升级中,可以到数据库做用户操作登录记录,可以达到操作源IP地址的定位,但是缺乏无法阻止其做恶性操作,例如对数据信息做恶意的窃取与篡改,甚至无法认定操作人员最终责任,因为账户登录只需要账户与密码就可以进行,但是这种登录操作任何掌握信息的人都可以进行,无法达到全面的管控。此外,安全防护措施工作量大,操作复杂。在做IP与MAC地址绑定中,需要管理人员针对每台交换机做操作,对绑定信息做逐条的输入,工作负荷相对更大,操作缺乏高效便捷性。其次,如果有人懂得相关网络基础技术,可以轻易的做到IP与MAC地址的变更,从而引发绑定操作失效。此外,医院主机装备了杀毒软件,然而由于数量较多,不能有效的对每个主机做杀毒软件的统一性管控,对于病毒库的更新以及软件的开启等情况都无法做有效确定,相应的系统补丁也不能及时有效更新,进而导致安全防护效果不能确定。虽然医院投入大量的财力与人力做好安全防护措施处理,但是实际上缺乏可执行性,同时由于各设备间缺乏关联性,从而对于实际效果无法做有效评估与管控,安全防护措施与手段的运用则流于形式。
1.2人为因素
医院信息化建设更多的操作需要人为进行,因此人为因素是网络安全管理的重要因素。医院没有将网络安全明确到人,缺乏责任制管理,无论是安全管理人员还是普通工作人员,缺乏足够的安全管理意识。没有形成规范合理的信息系统建设制度规范,导致实际操作无章可循。没有强效的安全检查与监督机制,同时也没有专业的第三方机构做安全性介入管理。相关工作人员缺乏专业资质认定,对于网络安全没有展开合宜的宣传教育,同时也缺乏对应工作与行为考核,导致工作人员缺乏应有的安全责任观念。因为工作人员缺乏安全意识与专业的安全能力,会出现将个人电脑接入医院内部网络,从而导致病毒携带入网,导致相关信息化系统运行故障。或则将医疗业务网络电脑与互联网、外网连通,导致相关网络中的病毒、木马程序进入到医院的内部网络,导致网络病毒蔓延。工作人员会因为有职务的便利性,会访问医院有关数据库,从而得到数据资料的窃取与篡改,进而导致相关经济损失。同时黑客会通过技术手段接入到医院内部网络中,进行直接性的网络攻击,医院与医保网络系统处于连通数据验证操作所需,如果被攻击则容易导致严重后果。
2医院信息化建设中的网络安全防护
2.1完善管理制度
医院网络运行保持安全性效果的基础在于完善健全的制度管理,可以通过对医院实际情况的了解,设置针对性安全管理操作制度、监督制度、用人制度、激励制度等多种内容。确保所有有关工作的开展有章可循,提升操作的标准性、可执行性。要不断的强化制度的权威性,让工作人员对此保持谨慎态度,避免安全疏忽。
2.2安全管理细节措施
医院网络管理需要多方面的细节措施来保证。例如为了保证服务器能够可靠稳定的持续工作,需要运用双机容错与双机热备对应方案,对于关键性设备需要运用UPS来达到对主备机系统的有效供电,确保供电电压持续稳定供应,同时避免突发事件。网络架构方面,需要将主干网络链路采用冗余模式,这样如果出现部分线路故障,其余的冗余线路可以有效继续支持整个网络的运转。需要运用物理隔离处理来对相关信息数据传输设备保持一定的安全防护,避免其他非专业人员或者恶意破坏人员对设备进行破坏,需要做好业务内网与外网连通的隔离,避免网络混合后导致的攻击影响或者信息泄露。对于医院内部的信息内容,需要做好数据与系统信息的备份容灾体系构建,这样可以有效的在机房失火或者系统运行受到破坏时快速的恢复系统运行。要展开网络系统的权限设置,避免违规越权操作导致系统信息数据的修改有着窃取,要做好数据库审计日志,对于相关数据做动态性的跟踪观察与预警。
2.3技术手段升级
在网络安全防护措施上需要保持多样化与多层次的防护管理,积极主动的寻找管理漏洞,有效及时的修补管理不足。对网络设备做好杀毒软件的有效管控,建立内外网间的防火墙,限制网络访问权限,做好网络攻击预警与防护处理。对于网络系统各操作做有效记录跟踪,最安全漏洞做到及时发现并修复。要投入足够人力与财力,优化工作人员技术水平,从而有效的保证技术手段的专业完善性。
结束语
医院信息化建设中网络安全需要医院所有人员的配合,提升安全意识,规范安全管理制度与行为,确保网络安全的有序进行。
作者:梁子 单位:广州市番禺区中心医院
参考文献
[1]李骞.医院信息化建设中的网络安全与防护措施探析[J].网络安全技术与应用,2015(9):43,45.
关键词:网络工程;安全防护;防护技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)21- 4790-02
随着我国社会经济的发展,信息化建设也发展较快,现代通信技术日新月异。通信网络的推广和普及使人们改变了信息交流的方式,逐渐成为人们日常生活信息获取和交流的主要途径。近年来,我国互联网行业的飞速发展带来了两个方面的影响,一方面方便了人们的工作和生活,另一方面由于计算机网络的开放性、互联性以及分散性等特点,使得网络工程中还不同程度地存在着一些安全隐患,威胁着网络工程的通信网络环境。网络安全防护是一种网络安全技术,加强网络工程中安全防护技术,有利于保障通信网络安全畅通。因此,研究网络工程中的安全防护技术具有十分重要的现实意义。鉴于此,笔者对网络工程中的安全防护技术进行了初步探讨。
1 网络工程安全存在的问题分析
当前,网络工程安全现状不容乐观,还存在着诸多亟待解决的问题,这些问题主要表现在黑客的威胁攻击、计算机病毒入侵、IP地址被盗用、垃圾邮件的泛滥和计算机系统风险五个方面,其具体内容如下:
1.1 黑客的威胁攻击
黑客的威胁攻击是网络工程安全中存在的问题之一。黑客最早源自英文hacker,从黑客的定义上来看,黑客是指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。一般来说,黑客在对网络工程进行攻击时,按黑客攻击的方式分类主要有两种攻击方式,即非破坏性攻击和破坏性攻击。非破坏性攻击通常为了扰乱系统的运行,将阻碍系统正常运行作为目的, 并不盗窃系统资料,用拒绝服务和信息炸弹对系统进行攻击;破坏性攻击以侵入电脑系统、盗窃系统保密信息为目的,黑客会破坏电脑系统。
1.2 计算机病毒入侵
计算机病毒入侵在一定程度上制约着网络工程安全的发展。计算机病毒具有破坏性,复制性和传染性等特点,计算机病毒不是天然存在的,是编制者将指令、程序代码植入到计算机系统中。所谓的病毒是人为造成的,通过影响计算机系统的正常运行,造成对其他用户的危害。计算机病毒破坏力强、传播迅速且不易被察觉,尤其是像木马、震网、火焰这些通过网络作为途径传播的病毒,一旦感染其他程序,将会对计算机资源进行破坏。不难看出,提高系统的安全性是确保网络工程安全的过程中迫切需要解决的问题。
1.3 IP地址被盗用
IP地址被盗用也是网络工程安全的瓶颈。对计算机网络而言,被盗用IP地址的计算机不能正常使用网络,致使用户无法进行正常的网络连接。区域网络中常有lP被盗的情况,这种情况下用户被告知lP地址已被占用,致使用户无法进行正常的网络连接。这些lP地址权限通常较高,窃取lP者一般会以不知名的身份来扰乱用户的正常网络使用,这会给用户带来很大的影响,使用户的自身权益受到侵犯,也严重威胁网络的安全性。
1.4 垃圾邮件的泛滥
垃圾邮件的泛滥,使得网络工程安全陷入困境。垃圾邮件是指那些并非用户自愿却无法阻止收取的邮件。长期以来,垃圾邮件损害了邮件使用者的利益, 垃圾邮件的的日益严重让网络重负逐渐加大,对效率和安全性造成严重的威胁,一方面大量消耗网络资源,减缓了系统运行效率;另一方面,数量繁多的垃圾邮件还侵害整个网络工程的安全。
1.5 计算机系统风险
计算机系统风险也影响着网络工程安全。在计算机网络工程中,管理机构的体制不健全,各岗位分工不明确,对密码及权限的管理不够,这些因素使网络安全日益受到外来的破坏且用户自身安全防卫意识薄弱,无法有效地规避信息系统带来的风险, 导致计算机系统的风险逐步严重,计算机系统不能正常工作,最终威胁到计算机网络的安全。因此,加强网络工程中安全防护技术势在必行。
2 加强网络工程中安全防护技术的策略
2.1 设置防火墙过滤信息
最直接的黑客防治办法是运用防火墙技术,设置防火墙过滤信息是加强网络工程中安全防护技术的关键。网络工程中最有效的防护手段就是在外部网络和局域网之间架设防火墙,网络防火墙作为一个位于计算机和它所连接的网络之间的软件,可以将局域网与外部网的地址分割开,计算机流入流出的所有网络通信均要经过此防火墙,经过防火墙的过滤,能够过滤掉一些攻击,以免其在目标计算机上被执行,增加内部网络的安全性。另外,防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
2.2 加强病毒的防护措施
加强病毒的防护措施也是加强网络工程中安全防护技术的重要组成部分。病毒防护是计算机系统日常维护与安全管理的重要内容,当前计算机病毒在形式上越来越难以辨别,计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。常见的杀毒软件有:360安全卫士,卡巴斯基,金山毒霸等。网络工程在加强病毒的防护措施方面,对计算机网络工程人员而言,相关人员都应该掌握使用杀毒软件、防病毒卡等措施,一般情况下,要定期对计算进行病毒检测与查杀,一旦发现病毒时应询问后再处理,不仅如此,对计算机系统的重要文件还要进行备份,防止由于病毒对系统造成的破坏导致数据的丢失。
2.3 入侵检测技术的植入
入侵检测系统作为一种主动的安全防护技术,对于加强网络工程中安全防护至关重要。对网络工程而言,入侵检测技术对计算机网络资源及信息中隐藏或包含的恶意攻击行为有效的识别,在网络系统受到危害之前拦截和响应入侵。提供了对内部攻击、外部攻击和误操作的实时保护,可以利用网络安全入侵检测采取相应的网络安全防护措施。入侵检测系统能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务,从而有效的降低了来自网络的威胁和破坏,必将进一步受到人们的高度重视。
2.4 拒绝垃圾邮件的收取
凡是未经用户许可就强行发送到用户的邮箱中的电子邮件,都被成为垃圾邮件。垃圾邮件一般具有批量发送的特征。垃圾邮件现在慢慢发展成为计算机网络安全的又一公害。拒绝垃圾邮件的收取也是加强网络工程中安全防护技术的重要环节,拒绝垃圾邮件的收取,要从保护自己的邮件地址做起,不要随意的使用邮箱地址作为登记信息,避免垃圾邮件的扰乱。还可以使用outlookExPress和Faxmail中的邮件管理,将垃圾文件过滤处理,拒绝垃圾文件的收取。
2.5 加强网络风险的防范
加强网络风险的防范对于加强网络工程安全也不容忽视。在网络工程风险防范的过程中,利用数据加密技术是行之有效的途径。数据加密技术是加密技术是最常用的安全保密手段,也是有效防范网络与信息安全风险最直接,最为有效的方式。数据加密是一种限制对网络上传输数据的访问权的技术,具体说来,它是通过引导用户对网络传输中出现的、比较重要的数据进行设置密码的过程。从网络工程中数据加密的方式上来看,数据加密技术主要包括线路加密、端与端加密等等,各种方法都有各自的有点,线路加密主要是针对需要保密的信息进行的,在加密时使用加密密钥来对信息进行保护。端与端加密主要是针对网络信息的发出方,当网络信息数据到达tcp/ip之后就利用数据包进行回封操作,以此对重要数据进行安全保护。
3 结束语
总之,网络工程中的安全防护是一项综合的系统工程,具有长期性和复杂性。网络工程中安全防护技术,应设置防火墙过滤信息、加强病毒的防护措施、入侵检测技术的植入、拒绝垃圾邮件的收取、加强网络风险的防范,不断探索加强网络工程中安全防护技术的策略,只有这样,才能不断提高网络工程的安全管理水平,进而确保计算机网络的安全。
参考文献:
[1] 李巍巍.计算机网络安全的数据备份和容灾系统[J].黑龙江科技信息,2010(33).
[2] 王薪凯,姚衡,王亨,常晶晶,喻星晨.计算机网络信息安全与防范[J].硅谷,2011(4).
[3] 金金.2011年信息安全十大热点预测[J].信息安全与通信保密,2011(3).
[4] 赵章界,李晨旸,刘海峰.信息安全策略开发的关键问题研究[J].信息网络安全,2011(3).
[5] 陆文红,蒙劲.小议通信网络安全问题分析及维护措施[J].中小企业管理与科技(下旬刊),2010(10).
[6] 余斌.论计算机互联网与通信网络建设的安全性[J].科技经济市场,2010(5).
【关键词】 家庭宽带 网络安全 技术防范
家庭宽带网络在应用中容易产生安全隐患,轻则会致使文件损坏,系统崩溃,严重会致使网络使用者产生相应的经济损失与隐私泄露等。下文将对家庭宽带网络的一些常见的安全问题进行阐述,在分析问题的基础之上,明确加强家庭宽带网络安全保护的重要意义,从而进一步提出加强家庭宽带网络安全保护的具体措施。
一、家庭宽带网络主要存在的安全问题
首先就是网络开放性的问题,网络要想实现有效的访问就需要使得网络开放于互联网之中,不同的计算机设备能够通过相应的硬件设备而实现通信,促进网络与信息技术的紧密联系。
根据目前我国的研究调查显示,家庭宽带网络安装已经实现了一半以上的覆盖率,而使用宽带上网的人数已经超过一亿多。但是对于家庭宽带的网络安全问题,并不是所有的人都能够树立正确意识的,仍然缺乏安全防护措施,比如防火墙等,很多信息会在不经意之间实现私人信息的共享,另外也会因为网络安全管理不当而致使私人信息的泄露。面临的两种主要威胁,一是电脑系统会遭遇非法入侵者,致使信息泄露的同时,也会造成一定的经济损失等,二是病毒的入侵[1],主要利用计算机以及网络中的实际漏洞,以编制好的程序和代码进行扰乱,以此实现计算机网络系统的崩溃以及电脑系统的崩溃。另外计算机病毒的种类成千上万,并且每年还会有全新的病毒产生,影响电脑系统运行以及网络安全,所以越来越多不能够正确认识保护家庭宽带网络安全的网民成为了网络安全难以维持的薄弱的群体。只有正确认识了家庭宽带网络中所存在的主要问题,才能够针对问题进行家庭宽带网络安全的相应完善,从而实现对于家庭宽带网络安全的保护。
二、加强对于家庭宽带网络安全的保护
2.1提升网络安全保护意识
想要加强对于家庭宽带网络安全的保护,最根本的还是需要提升安全保护的意识,意识到家庭宽带网络可能存在着信息安全隐患,隐私信息存在着泄露的风险。一些具有风险的网站不予浏览和点击,不随意下载网站上的没有可信证明来源的文件,装载相应的防火墙以及杀毒程序,正确理解网络安全保护与网络开放性与交互性之间的内在联系[2]。只有从意识上进行转变,才能够有效促进对于家庭宽带网络安全的进一步保护。
2.2采取网络安全保护手段
一般网络安全的保护手段体现在对于相应软件的装载上,比如杀毒软件以及防火墙的安装。杀毒软件往往家庭用户偏向于免费的杀毒软件,但无论是免费杀毒软件还是收费的杀毒软件,都能够在一定程度上起到安全查杀病毒的实际作用。
另外一些软件助手里还会存在着安全防护的功能,所以可以通过屏蔽不良的代码编制的方式,促进系统增强免疫熊,避免系统收到侵扰。另外也可以将网络浏览安全级别设置为最高,将Active中的空间与插件的设置,变成禁用的模式。这样才能够在一定程度上,避免在使用IE浏览器进行网页浏览的过程中,被恶意网站中的病毒或者非法入侵者进行相应的攻击。
这里还要着重介绍一下补丁安装,以微软的UPDATE程序为例[3],这个程序是所有微软体系中所包括的重要系统内容,但是往往人们对于UPDATE没能够树立正确的理解。UPDATE会实时更新关于系统的补丁,通过下载补丁的方式,强化系统安全。比如Windows XP安全更新程序这一补丁包,能够防止攻击者利用已存在的问题进行计算机的控制获取,防止攻击者在系统上执行黑代码威胁到计算机的实际安全。另外家庭宽带网络使用者也需要做两手准备,对于系统上所存在的重要信息及数据,要进行及时的备份,利用完全备份与追加备份有机结合的方式去进一步实现网络安全的提升。最为基础的就是设置开关机密码等,关键文件设置隐藏,避免文件被人为查看。
从技术角度进行考虑,可以在上网的过程之中实现IP地址的隐藏,这样不仅仅能够避免人为的技g攻击与电脑入侵,同时也能够提升上网速度,促进系统安全性的增强。那么隐藏IP也可以通过以下几个方式,比如更换管理员账号等,运用相对较多的、难度系数高的密码账号,取消对于文件夹隐藏共享行为,关闭一些没有用处的计算机端口,避免非法入侵者去扫描计算机端口。很多非法用户使用家庭宽带的无线网络的时候,恰恰是利用了IP地址的合理分配方式,所以可以关闭DHCP服务器[4],手动设置无线网卡的IP地址,开启MAC地址过滤。
无线网络也要实现加密,虽然WEP加密方式、WPA加密方式以及WPA2加密方式是比较常用的,但是第一种加密方式更具有可破解性,所以不建议使用。另外,就是去修改SSID名称也能够实现无线网络安全的提升。
2.3明确网络接入方式,优化网络结构
针对目前家庭宽带网络可能存在的问题,可以通过明确网络接入方式,优化网络结构。类似家庭宽带接入网技术存在着多样性,这里包括了数字用户线接入、光纤接入、无源光网络接入、WiMax接入方式等,这些都由相应的网络架构组成。首先就是用户自组网络[5],这种网络形式是以家庭为核心的实际局部的网络,网络属于用户个人,并且应用较为广泛。
想要实现高密度多形式的有效的网络接入,提升安全防护的能力,可以采取接入节点的方式。运营商针对家庭宽带网络安全问题,也了宽带网络网关、以太汇聚网络等,但是一旦出现非法数据的传送以及非法用户接入等,从运营商的角度考虑,会直接造成收益的下降。所以在优化网络结构中,为了阻止这一现象的产生,还需要提出多种用户线路的识别方案,比如DHCP option82协议、PPoE+协议等。这些协议可以通过剥离字段信息、或是插入相应的端口信息的方式,来对目前的网络使用以及用户识别提出相应的规范[6]。虚拟的局域网栈以及虚拟MAC同样也是利用双标签和内层网络来唯一标示端口信息,以及从MAC地址信息中直接获取端口信息等。这些方式都能够实现用户身份验证,在避免非法应用的同时,保护了用户的安全以及运营商的利益,从而促进了网络接入方式的明确与网络结构的实际优化。
三、结语
在家庭宽带网络广泛应用的同时,也需要注重家庭宽带网络的应用安全,通过优化网络结构,应用安全防护措施以及提升安全防护观念等办法,进一步实现家庭宽带网络的安全保护,实现家庭宽带网络安全防护效果的有效提升。
参 考 文 献
[1]崔腾涛,张剑. OTN系统波道错连预防及管理一体化解决方案[J]. 电信工程技术与标准化,2016,(11):20-23.
[2]强浩,陈常梅,万昕. 传送网与数据网协同部署情况下的家庭宽带方案研究[J]. 邮电设计技术,2015,(05):65-68.
[3]房立,张雯,范树凯. 家庭宽带业务分场景探究[J]. 山东通信技术,2015,(01):25-27+30.
[4]夏雪玲,夏鹏志,廖振松,刘建功. 一种基于大数据的家庭宽带售后服务保障系统[J]. 信息通信,2014,(07):26-27.
关键词:计算机网络;网络安全;防范措施
中图分类号:TP271文献标识码:A文章编号:1009-3044(2012)20-4806-02
Inspiration and Thinking of the Computer Network Security
LIU Dan
(Chongqing College of Electronic Engineering, Chongqing 401331, China)
Abstract: Computer network security can not be ignored under the complex information technology surroundings, which has been much concerned and taken seriously. This paper analyzed the current network security situation and explored the measures to prevent computer network security threats. Improving network security should be seriously thought.
Key words: computer network; network security; precautionary measure
据国家计算机网络应急协调中心网络安全报告,基础设施和重要信息系统整体上运行基本正常,未出现造成影响严重的网络安全事故,但是网络攻击的次数、频率和复杂度均比往年大幅度增加,遭入侵和受控计算机数量巨大,潜在威胁继续增加,信息数据安全问题日益突出,计算机网络的安全形势依旧十分严峻。主要表现在,一是政府网页被篡改事件大幅度增加。据统计显示,我国大陆地区被篡改网站总数比往年同期增长41%,占被篡改网站总数的比例达7%,而域名仅占cn域名总数的2.3%。二是感染木马和僵尸网络的主机数量巨大。国家互联网应急协调中心抽样检测,境内外控制者利用木马控制端对主机进行的控制事件中,木马控制端IP网络地址总数、被控制端IP地址总数均高举不下。中国大陆地区有2百多万个IP地址的主机被植入僵尸程序,有2270个境外控制服务器对大陆地区的主机进行了僵尸网络控制。三是恶意代码的肆虐传播是造成木马和僵尸网络产生和扩大的一大途径。国家互联网应急中心通过技术平台共捕获恶意代码约90万个,比上年同期增长62.5%,其中有新的恶意代码样本,有通过国内外合作渠道接收到的恶意代码。这些恶意代码中,以恶意代码下载器、灰鸽子家族系列,以及与网络游戏有关的恶意程序居多,对终端用户的威胁也最为突出。
1理性分析,网络安全道路依然漫长
1)应用软件漏洞是各种安全威胁的主要根源。在软件系统漏洞的防护上,人们往往重视操作系统漏洞的查找和补丁升级。实际上,近年来,应用软件安全漏洞的威胁越来越大,已经超过了操作系统漏洞。从目前所掌握的安全漏洞情况分析来看,有部分漏洞直接威胁到互联网基础设施的运行安全,更多的漏洞则严重威胁到广大互联网用户的信息系统。如,Realplay播放器软件漏洞、联众世界软件漏洞等。同时,针对漏洞出现的攻击程序、代码也呈目的性强、时效性高的趋势。
2)电子邮件成为达成精确控制的常用手段。对于电子邮件的安全威胁,人们通常只注意到尽量不打开陌生人发送过来的电子邮件,特别是不打开邮件中的附件,这的确是一种好的安全防范习惯。但据了解,目前互联网上流行的电子邮件系统,其邮件用户设置的复杂密码无一例外地可以被专业人员破解,而用户密码一旦被他人获得,即使是由熟悉人员所发送过来的邮件中,也可能在原有的邮件中被他人注入了木马和病毒程序。利用电子邮件对待定目标主机实施远程控制是当前最常见、最精确的渗透控制手段之一。
3)摆渡型攻击技术逐渐成熟并广泛应用于针对内部网络的攻击。摆渡型攻击以移动存储设备、光盘、电子文档等为主要途径,借助木马、蠕虫、病毒等恶意代码,在与互联网物理隔离的内网中交换数据、传播病毒,进行破坏和瘫痪目标网络。根据最新的网络攻击理论和实践,所有的网络都会与外部进行数据交换,已不存在绝对封闭的内部网络。不论什么网络,总要进行系统和应用软件的更新,或进行防病毒系统补丁的更新,此时就相当于建立了对外连接的通道。就算是全封闭的物理隔离网络,由于不能及时修补各种安全漏洞,一旦解决了进入问题,实施攻击将更容易达成目的。因此,物理隔离固然重要,但未必能确保网络的绝对安全。实际上,采用物理隔离的内部网络中所出现的计算机病毒程序,基本上都是由移动存储介质从外界带入的。以往那种认为网络只要物理隔离就可高枕无忧的想法是不正确的。需强调的是,即使是利用光盘进行内外网数据交换,病毒和木马后门程序照样可以通过OFFICE电子文档、图片文件等进行传播。
4)分布式拒绝服务攻击成为大规模网络瘫痪攻击的主要手段。所谓分布式拒绝服务攻击就是在特定时刻由控制者向事先控制的、分布在不同地域的众多网络主机发出攻击指令,受控主机收到攻击指令后,会同时向指定的目标网络节点或服务器发送类似于正常用户访问的数据包,使得目标网络主机来不及响应处理,或致使目标网络信道拥塞,进而造成目标网络或主机无法(拒绝)提供正常服务。如发生在2007年4、5月间的俄罗斯对爱沙尼亚的大规模分布式拒绝服务攻击,导致了爱沙尼亚由先期的政府、媒体网络迅速蔓延到通信、银行等各公共服务网络,大量网站被迫关闭,就连其总统府网站也未能幸免。
2启示思考,我国网络安全防护任重道远
对于复杂的因特网来说,事实上,有“网”必有“洞”,有“洞”就能钻,我们必须居安思危,严密防范。
1)要强化安全忧患意识,坚持动态防御和体系保障理念。信息安全保障是一个复杂的系统工程,要从安全策略、隔离控制、密码保护、授权认证、实体安全、检测预警、响应恢复和安全管理等多个方面实行整体性防御。要破除密码全能观念,不能以为安装了核心密码设备的网络就一定可以高枕无忧了。实际上,密码只能解决数据交互过程中的保密问题,不能解决网络安全所以问题;密码仅对局外人员有效,用户之间的信息交换只是在数据传递和存储过程中的加密,而末端应用时是经过解密过的数据;病毒、木马后门等攻击程序通常是合法数据包裹在一起的。网络安全必须从采集、加工、传递、存储、应用的全过程,按照同一密级要求实行全程管理。
信息安全保障还是一种持续的动态发展过程,通常要通过策略、防护、检测、响应和恢复构成一个完整的、动态螺旋式的循环上升链,进而不断改进和完善。安全防范应贯穿于信息系统整个生命周期,只要信息系统存在,安全隐患也就永远存在,安全防范就不能停止。
2)要注重系统顶层设计,重视应用软件的安全性测试。网络构建通常伴随着重要的网络应用,要通过顶层设计统筹考虑网络应用与网络防护的关系。在处理应用系统与安全防护系统可能存在的冲突时,要优先考虑安全问题,要在确保安全性的前提下实现业务系统的功能;在加强自研软件安全性测试的同时,要加强对外协和外购软件的安全测试,努力防止业务系统集成过程中出现安全漏洞。
3)要正视安全的相对性,积极应付各种可能复杂情况。网络安全永远是相对的,要有入侵容忍的思想,不应过分强调严防死守,因为防护手段永远比进攻手段落后半拍;从费效比和网络应用角度看,过度的防护也不可取。因此,要有防线一旦被攻破的思想准备,要通过响应、恢复、补救方案和措施,将损失降低到最小程度。
4)要采取主动防御战略,注意加强攻击溯源技术研究。保障网络系统安全,不仅要查找自身的薄弱点,及时修补漏洞;同时,还应具备攻击源速度定位能力。只有找到了攻击的源头,才能更有效地采取应对措施,更好地把握网络防御的主动权。近几次发生在因特网上的大规模网络攻击事件,都呈现出网络攻击手段多样、手法隐蔽、源头难以追溯等特点,即使是内部网络中发生的病毒传播现象,也很少有单位能够锁定到确切的传播源,这些事件和现象突出反映了主动防御对保障网络安全的重要性和紧迫性。加强对网络攻击溯源技术和手段的研究,迅速定位攻击源头,及时获得并分析病毒、木马等攻击代码程序样本,研究反制措施,已成为网络安全防护体系中不可或缺的重要组成部分。
5)要树立人才第一观念,高度重视核心骨干人才培养。网络攻防拼的是技术、靠的是人才,要的是机制。事实上,网络防御对抗时技术的较量、人才的博弈,没有骨干人才就没有良好的安全保障。安全防护不适安全产品的简单堆砌,要运用综合集成思想,将各种检测、防护、响应手段围绕安全策略的具体需求有序地组织,相互之间要形成协调、联动的关系;要针对应用中发现的问题,根据实际需求或应用变化的情况,不断地加以改进和完善;网络安全绝不是单纯一次性地购出来、建出来的,而是通过人配出来、改出来、管出来的,这就决定了人才是网络安全的核心要素。
参考文献:
[1]谢希仁.计算机网络[M].北京:电子工业出版社,2003.
[2] Andraw S,Tanenbaum.计算机网络[M].3版.熊桂喜,王小虎,译.北京:清华大学出版社,1998.
[3]刘占全.网络管理与防火墙技术[M].北京:人民邮电出版社,2005.
[4]肖军模.网络信安全与对抗[M].北京:出版社,1999.
关键词:恶意软件;计算机;安全防护
中图分类号:TP309 文献标识码:A 文章编号:1674-7712 (2014) 02-0000-01
恶意软件是一种以盗取用户信息或破坏用户操作软件为目的的网络,若不采用适当的防护手段对其进行检测和处理,会对个人、企业等带来严重的安全威胁和经济损失。特别是随着互联网应用日趋广泛,用户资源共享越来越普遍,恶意软件入侵用户系统,窃取、泄露用户数据的行为日发猖獗,因此对计算机恶意软件进行分析,制定安靠可靠的防护策略具有十分重要的意义。
一、恶意软件分类及其特点
恶意软件按照其行为特点进行分类可以分为浏览器劫持类、信息窃取类、行为记录类、广告捆绑类等。
针对浏览器的恶意软件可以通过隐蔽或非法的方式添加插件、BHO、LSP等对浏览器的配置进行篡改,获取用户端浏览器的控制权,进而利用浏览器劫持用户网络访问行为。当用户使用浏览器时会被静默安装不易卸载的插件或被引导访问特定网站,影响用户的网络体验。
针对用户信息的恶意软件会绕过用户管理权限或诱骗用户授权安装某些软件。这些软件可以窃取用户的私密信息并上传到网络中帮助入侵者非法获利,常见的用户私密资料有账号、密码、数据等。显然这类恶意软件会给用户带来非常严重的经济损失。
针对行为记录的恶意软件会对用户的计算机使用习惯和行为进行记录,所记录的数据可被用于分析用户行为,针对用户喜好采用诱骗、陷阱等方式引导用后安装或注册,收集用户的隐私数据,或者达到推广安装的目的。
针对广告销售的恶意软件则会在用户未允许的情况下以弹窗的方式向用户投放广告,谋取商业利益。这类软件通常具有强制安装、难以卸载、弹窗频繁、资源占用率高等特点,严重影响用户计算机使用体验。
从行为和影响等方面综合考虑可以发现,恶意软件具有两方面特点:一是编写方式病毒化,即以Rootkit技术等对自身进行保护或隐藏,防止杀毒软件发现或者杀除。二是传播方式病毒化,即利用计算机网络资源共享和数据传输等特点进行恶意推广或传播,短时间内实现软件的大范围扩散。
二、计算机恶意软件安全防范技术
(一)部署恶意软件防护软件
虽然恶意软件与病毒程序等存在一定的差别,但是考虑到恶意软件对用户造成的影响越来越严重,现有的反病毒软件或工具都会集成反恶意软件功能模块,这些模块会对恶意行为、特征、类型等进行描述与总结,一旦发现计算机系统中存在符合条件的行为或操作,反病毒软件就会对行为对象进行阻止、隔离或者清除。实际应用过程中,由于这类工具软件所采用的是行为判别法,故其能够很好的适应新种类的恶意软件,还能够对新种类的恶意软件进行采集与比较,形成新的安全防御策略,为用户提供安全有效的软件防护。
(二)完善系统安全设置
恶意软件的安全防护最主要的还是从计算机系统入手,做好系统漏洞修复和安全更新,最大程度的减少计算机系统中存在的安全漏洞,提升系统安全等级,控制系统访问与管理权限。具体来说,完善系统的安全设置可以从身份验证、漏洞修复、端口与服务监控等方面着手。
在身份验证方面,常用的计算机安全验证方式大多过于单一,且容易被记录,因而在安全设置中可以采用多重身份认证、定期更改验证方式、验证密码等方式提升系统安全性能。
在漏洞修复方面,用户应该尽量采用正版系统和软件,避免从不受信任的资源共享网站下载或共享资料,及时更新软件或安装修复补丁,减少计算机中存在的安全漏洞,维持系统处于最佳状态。
在端口与服务监控方面,用户可以依照安全软件建议关闭存在安全隐患的服务和不必要的通信端口。
(三)提升用户安防意识
计算机安全防护离不开用户的自我意识和管理方式的提升,做好计算机恶意软件的防护就必须从人的角度出发,增强用户的专业知识储备和技能储备,为有效的管理奠定良好的基础。首先,用户应该养成良好的网络行为习惯,避免访问不信任网站,不随意从资源共享网站下载软件或资料,树立良好的安全防护意识,做到意识先行。再次,要不断学习计算机安全防范技术,通过接受培训、交流的方式熟悉和掌握恶意软件行为特征和处理方式。最后,要分层部署安全防护软件并制定适当的安全防护策略,综合利用多种手段来建立计算机安全防护体系。
三、结束语
随着计算机网络的发展和普及,恶意软件对用户的影响越来越大,甚至直接影响到用户的经济利益,为保护用户数据安全,避免用户所使用的软件受到非法篡改,用户必须在管理、监控、处理等层面建立完善的安全管理机制,避免恶意软件入侵计算机系统,为用户带来损失。
参考文献:
[1]韩桂杰.对计算机恶意软件分析及防范技术研究[J].中国新技术新产品,2011(22):48-48
[2]张浩.计算机恶意软件的分析及防御探讨[J].电子技术与软件工程,2013(13):99-99.
关键词:互联网;校园网;网络安全;数据加解密技术
随着网络技术的发展,信息化技术的成熟,人们对计算机网络的使用能力也越来越强,计算机网络应用范围也越来越广。作为信息化交流的平台,它的传输手段愈多,伴随的信息安全隐患也愈多,数据的保护逐渐成为人们关注的焦点,而数据加解密技术是网络安全问题的关键技术。计算机机房作为网络管理的中心是整个校园网的中枢,一方面需要进行教学设备的日常管理,包括维护和恢复等;另一方面也要进行网路安全规范和管理。网络建设作为学校科研以及教学实训的关键一环,在功能上可能考虑得较为全面,但是安全问题考虑的尚少。尤其是随着高职院校承担越来越多的外来人员进行各种技能培训和考核,使得进入机房的操作人员具有流动性大的特点,并随外部携带的存储设备如USB等进入计算机网络中,带来计算机病毒感染,外部黑客攻击的危险,轻则导致系统文件的丢失,软件的损坏,重则导致网络犯罪,窃取帐号,入侵服务器等行为发生。因此,针对当前高职院校机房计算机网络建设的特点和现状,结合数据加解密技术,建设有效的院校网络资源管理的安全防护体系,以此来确保学校网络安全和使用。
1数据加密技术简介
数据加解密又称密码学,它以伪装信息为基本思路,通过对数据施加可逆数学变换进行信息隐藏和混淆。数据变换前的信息称为明文,数据变化后的信息称为密文。数据变换既包括加密技术又包括解密技术。密钥作为因子参与加解密运算。加解密的目的是将数据以密文的方式存储在计算机的文件中或者通过网络设备进行传输,只有合理分配密钥的用户才能访问资源。这样一来,经非法密钥不能逆向构造出正确的明文,从而达到确保数据真实性的目的。加解密技术分为对称加解密和非对称加解密。对称加解密包括像DES、AES等传统的加解密技术,而非对称加解密包括像RSA、SMS4等算法。DES是一种分组密码,包含了代数、置换、代替等多种密码技术,密钥长度为64位。其中明文、密文分组长度也是64位。DES是面向二进制的。密码算法、因而能够加解密任何形式的计算机数据。DES是对称算法,因而加密和解密共用一套算法。RSA算法是1978年美国麻省理工学院的三名密码学者R.L.Rivest,A.Shamir和L.Adleman提出了一种基于大合树因子分解困难性的公开密钥算法,简称RSA算法。RSA算法既可以做加密处理,又可以用于数字签名,使用范围更加广。
2校园网网络安全分析
目前伴随着互联网技术的不断发展,提供的资源和服务也越来越多,相应的校园网络应用的范围也在不断扩大,通过校园网络上传输的数据和信息量也越来越多,伴随的网络欺诈和攻击也越来越多,这直接影响到校园网络的正常运行。计算机网络管理中心作为计算机网络的入口点之一,安全问题也越来越突显,比如网络资源滥用、安全审计不全、网络维护管理困难,这些都是当前导致网络安全问题的关键。
2.1高职院校网络机房现状
(1)服务类型不断增加。随着当前计算机机房所承担的角色不断增多,它不仅仅是传统的网络教学,而且包括教职工或校外人员的职能培训。学院需要通过网络设施开展各种类型的培训班,而参与者的计算机技能水平参差不齐,可能造成计算机中的软件和硬件资源使用不恰当导致的损坏或者丢失。(2)安全性欠考虑。机房作为科研教学的场所,需要完成各类教学与科研任务,包括实训,考核、检索、查阅资料、大型计算等,大多只注意网络的功能性和流畅性,而安全性缺乏考虑。
2.2校园网网络安全起因
2.2.1操作人员缺乏规范意识
在进行网络教学中,很多学生不能正确地使用教学资源,而是利用网络进行一些游戏或者娱乐,比如浏览新闻,打扑克等等。而在缺乏安全意识的情况下,经常会下载来历不明的文件或者打开恶意链接。这些操作可能会修改一些系统设置和感染木马病毒等。
2.2.2人员管理不善,导致维护困难
一方面,由于缺乏合理的上机审计管理,操作者在使用计算机的过程时,经常使用不当,通过携带的USB设备,使计算机感染病毒,进而得到传播。另一方面上机的频繁使用导致处理不及时,进而使计算机的维护困难。
2.2.3黑客的攻击
一般而言,黑客的攻击分为破坏性和非破坏性。破坏性攻击,主要目的是入侵电脑,盗取他人帐号信息,破坏重要文件等,比如中间人攻击。而非破坏性攻击,一般是针对大型机器,比如服务器,达到干扰系统正常运行的目的,常见的比如DDOS拒绝服务。
2.2.4软硬件更新管理不妥
硬件方面,由于机房开放的时间一般较长,使用较为频繁,经常使用不妥会导致硬件出现故障。加之常年运行,设备会出现老化现象。软件方面,由于教学软件众多,需要频繁的应用升级,操作系统打补丁,或者杀毒软件更新病毒库等。如果操作不当,也会导致系统出现问题。这些都会给软硬件的更新或者维护带来了相应的困难。
3数据加密技术的应用
3.1链路加密技术
关于网络安全建设的关键就是路由管理,通过拓扑发现,掌握网络设备之间的连接状况,及时发现网络信息之前的数据交流路径。这些网路连接状况能够很好地帮助管理人员确定网络拓扑结构,当出现网络状况或者安全问题的时候,能够及时准确地发现子网网络,进行管理。清晰地对各个区段的计算机采用信息加密技术,保证资源不被越界。数据在不同链路传输的路径中都是以不同的密钥记性传输,确保信息不被获取和篡改。
3.2身份认证技术
通过判断计算机网络使用者的身份信息,保证合理使用资源。只有通过了网络安全身份认证系统的判断,合法用户才能进入当前的网络环境。目前比较有名的锐捷软件,就是对网络管理的身份认证系统,它是访问网络资源的关键节点,避免网络的恶意进入。另外通过密码学技术通过非对称加密,对用户的身份进行证书管理,只有数字证书验证通过才能访问当前的网络资源。
3.3数据库管理技术
通过对当前网络登录的帐号信息进行管理,内部计算机网络的所有网络行为仅通过帐号登录在当前的网络环境中进行,而帐号信息不被外部获取。安全管理人员通过分发帐号,管理网络运行状况以及信息的传输流向,并通过监控技术,定位网络入侵或者恶意操作的非法人员,解决相应的安全隐患。利用这些技术,在硬件建设方面,也需要做出相应的措施。网络防护方面,可以对计算机机房的关键信息进行数据备份,并保证这些数据的恢复操作是在合理的操作下进行,备份数据要在加密存储下在数据库中进行统一管理,当确认恢复的信息后,通过密文传输到目的主机后对数据进行解密并做恢复处理。另外,传统的防火墙、网络数据加密等方式,对数据的传输和访问做出管理和限制。加密技术能够保障黑客无法通过中间人攻击篡改网络访问信息和资源。高职院校的网络机房建设是一项复杂的系统工程。一方面需要结合计算机网路的特点,保障功能的完善性,另一方面需要结合当前的网络资源环境,建立合理安全的防护体系。传统的网络安全防护由于是静态的和被动的,因此防护手段已经无法适应今天的网络环境。所以建立一套动态的、主动的安全防护体系非常重要,它不仅需要保障网络环境的流畅合理,还要保障数据传输安全可靠。数据加密技术是加强网络安全的一种有效形式。
作者:刘丽杨 单位:常州旅游商贸高等职业技术学校
参考文献:
[1]刘宇平.数据加密技术在计算机安全中的应用分析[J].信息通信,2012,(02).
【关键词】大学生;网络素养;网络安全
本文基于网络素养视角下探究大学生网络安全教育引导来源于2016年影响较为广泛的“徐某某”电信诈骗事件。2016年8月,某省高考录取新生徐某某的考生信息被犯罪分子通过网络技术手段窃取,并假扮教育局、财政局工作人员以发放助学金名义骗取徐某某上大学的费用9900元。在得知被骗后,徐某某郁结于心,最终导致心脏骤停不幸离世。该事件发生后,立即引起了社会各界广泛关注,大学生网络安全又被推向舆论的浪尖。因此,如何开展大学生网络安全教育引导,提高大学生的网络安全防范意识是我们值得深思的问题。
一、网络素养与网络安全的关系
网络素养主要由五个部分构成:信息接收、信息解读、网络安全、网络利用、网络伦理道德1。网络安全与网络素养的关系是包含、融合和发展的关系。网络安全是构成网络素养的重要部分之一,网络安全进一步发展了网络素养的内涵和外延;网络素养包含了网络安全,缺乏网络安全的网络素养注定是不完整的、不全面的,因此两者相辅相成,相互影响,缺一不可。
二、大学生网络安全意识缺失的表现
1.信息辨别能力不强
网络信息浩如烟海,对信息判断能力相对较弱的大学生而言一旦遇到虚假信息就有可能造成不可估计的后果。如网络兼职,利用课余时间做兼职是在校大学生接触社会锻炼自己的一个很好途径,而电脑、手机和网络的普及,促使很多大学生不再局限于传统的兼职手段,而是涌现了部分网络兼职群体,也出现了很多网络兼职网站。虽然网络兼职具有不受地域限制、信息流通更快捷等优点,但遇到的不确定性因素却增多,如个人信息被盗,骗取押金、冒充亲人骗取钱财等。同时,大学生对二维码风险、公共wifi、伪基站风险的认识还需要进一步加强。
2.网络成瘾
包括“游戏瘾”、“购物瘾”、“社交瘾”等网络成瘾问题。长期处于网络成瘾会导致大学生学业荒废、与家人朋友关系疏远、身心受损等严重后果。如网络购物,虽然突破了传统商务模式的障碍,无论对消费者、市场都有着巨大的吸引力和影响力,网上商品的物美价廉和便捷性也极大吸引了大学生消费群体。但是网购是把双刃剑,具有两面性。虽然现在网络支付手段和环境相对安全,但也难免有不法分子投机取巧,利用不法手段窃取用户支付信息导致财产损失2。此外长期沉迷网络购物、网络游戏等,会造成大学生超前消费,意志消沉,从而构成网络犯罪。
3.网络犯罪
网络犯罪也是大学生常见的网络安全问题之一。在刷微博、朋友圈和其他APP上获取资讯时候,“三观”尚未成熟且理性思维尚缺的大学生容易产生从众心理和尝新心理,导致错误的信息判断,网络舆论暴力、网络涉黄、网络诈骗、网络涉谣等现象出现。但是部分大学生不能合理规划个人消费,盲目攀比,或者部分大学生需要资金支持个人创业,如果遇到不正规不合法的网贷渠道,风险意识较弱的大学生必定成为弱势群体,倘若大学生欠下债务而无力偿还就有可能走向犯罪。
三、开展大学生网络安全教育引导
1.建立网络安全防护
在国家政策的指导和保障下,要建立网络安全产业链,构筑网络安全壁垒。一是从法律保障和安全监管角度出发,与时俱进地推动和完善与网络安全相关的法律法规、技术标准,做好法律保障;加强网络安全监管和综合治理能力,提升网络安全事件应急力和打击力度。基于此,《中华人民共和国网络安全法》的推出为保障网络安全,为信息化健康运行奠定了有法可依的基础。二是从社会监督角度出发,充分发挥行业组织和专业机构的作用,建立健全网络安全社会监督举报机制,形成行业监管氛围;三是从运营商的角度出发,无论是个体企业还是企业之间都要加强网络安全防范意识,并严格自律。由此肃清网络环境的不良行为,对净化网络环境,为互联网良性健康发展保驾护航。
2.拓展高校网络安全教育引导
将网络安全教育引导与日常思想政治教育工作结合起来,充分发挥高校辅导员队伍的作用。再次,网络安全教育引导要贯穿于第一课堂和第二课堂,在课堂教育、教材融入和科研课题研究基础上,在大学生之间广泛开展网络安全实践教育,通过正反案例分析、情景再现互动、技能知识竞赛等形式培养大学生网络安全意识。大学生自我提升网络安全意识虽然大学生的文化知识水平较高,但是由于尚未完全踏入社会,社会经验不足,容易缺乏安全防范意识,加之法律观念淡薄,从而导致一些不良事件发生。因此,大学生自我网络安全意识培养是现实需要。首先,学习计算机使用知识。大学生要学会如何使用计算机、如何利用计算机为个人发展服务。在使用过程中能够正确辨别那些是有害信息、有害软件,通过知识的学习铸造一道网络安全心理防线。其次,加强自身法制观念。因为必要的法律认知对于个人来说是一种约束,但也更是一种保护手段。再次,要提高社会实践防范能力。大学生面临着从学校过渡到社会人的关键阶段,社会实践作为大学生踊跃参加的活动之一,年龄的增长并不意味着思想的成熟,对危险预判的缺乏往往导致安全事故的发生。
四、结语
网络的发展带来的大学生网络安全问题是现实问题,是一项紧迫且必需完成的任务。网络安全作为网络素养的重要组成部分之一,加强网络安全引导是我们实施网络素养教育的重要措施之一,关注和研究这一领域,将开辟网络素养教育更多途径,丰富网络素养教育内容。
参考文献
[1]中国互联网络信息中心.《中国互联网络发展状况统计报告》,2017.
[2]吴泽鹏.大学生自身网络安全问题研究,西安工业大学硕士学位论文,2016.
[3]中国互联网络信息中心.《2015年中国手机网民网络安全状况报告》,2015.
注释
[关键词]网络 安全隐患 防护策略
中图分类号:TP3 文献标识码:A 文章编号:1009-914X(2016)05-0369-01
近几年,我国计算机网络技术发展突飞猛进,在诸多领域有了长足进步,但由于起步较晚、基础薄弱,与西方发达国家相比,仍有很多不足,特别是在网络安全管理方面更是如此,无论是安全意识和防护能力都有较大差距。如何确保网络与信息安全,把网络信息安全管理工作抓到实处、抓出成效,已经成为当前网络信息安全管理人员面临的一个重要课题。
一、网络的安全隐患
(一)人为破坏。一方面是来自于网络外部的攻击。互联网为外部攻击提供了便利条件,当内部网的对外接口没有采取严格的安全管控措施时,网络攻击者就能够很容易进入内部从事破坏活动。另一方面是来自于网络内部的攻击。当内部网规模较大时,用户数量增多,如果安全管理不严格,就有可能遭到内部用户的攻击。由于内部用户分别具有相应级别的使用权限,因此造成的破坏程度往往也最严重。
(二)管理失误。一是分工不明确。少数管理者权限过大,从而造成行政管理权与网络使用权不匹配,增大了安全隐患。二是职责不清楚。操作人员一般未经过系统的、全面的、专业的培训,保密意识比较淡薄,管理员账号及口令管理不严,致使网络存在较大的安全威胁。三是制度不落实。安全教育、预测分析、定期排查等基本安全制度落实不力,缺乏有效监督,造成网络安全性大大降低。
(三)技术漏洞。一是网络服务隐患。操作系统都会提供各类服务供用户使用,如远程接入服务,当服务器对远程用户缺乏有效认证时,将无法监督其操作行为,造成的网络威胁较大。二是操作系统隐患。不同的操作系统均存在一定程度的安全漏洞,特别是操作系统为开发人员提供的无口令入口,在带来便捷的同时,也给网络攻击者留下了可乘之机。三是网络协议隐患。现有网络中TCP/IP协议使用最为广泛,该协议在设计之初确立的目标不是安全,而是互连互通互操作,这种公开性为其实际应用埋下了安全隐患。
二、网络的安全防护策略
(一)严格安全管理。网络安全事故往往是由管理失误引起的。建立完善和严格执行人员、机房、软件及操作等安全制度,加大用户管理力度,着力提升网络安全性能,同时建立实时的监控系统,组织定期的安全培训,能够最大限度地降低安全风险,防止各类问题发生。
(二)构筑防火墙。防火墙处于本地网络与外部网络之间,可以对经过的网络通信进行扫描,只有符合特定条件的用户或数据才被允许通过,从而过滤掉大量攻击。除此之外,防火墙还能够关闭不使用的端口及特定的端口,禁止来自于特殊站点的访问,防止“不速之客”非法访问网络。
(三)加密与认证。加密与认证是网络安全技术的核心。加密是隐藏信息的过程,它能够以较小的代价,对传输信息提供强有力的安全保护。借助加密手段,信息即使被截取或泄露,未被授权者也不能理解其真正含义。认证是检验用户和数据正确性的过程,主要包括消息完整性认证、身份认证,以及消息序号和操作时间等认证。只有通过了认证,才可以上网访问,这样能够有效阻止入侵者对信息系统进行主动攻击。
(四)安全漏洞扫描。漏洞扫瞄技术是一种主动的防御措施,能够有效阻止黑客的攻击行为,做到防患于未然。通过网络安全漏洞扫描,系统管理员能够全面了解网络设置参数和服务运行状态,客观评估系统风险等级,及时发现和堵塞安全漏洞,从而在入侵者攻击前做好防范。
(五)访问控制。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。如果没有访问控制,那么用户只要接入网络,就可以随意访问网络上的任何资源,这是非常危险的。在网络入口处实施访问控制,既可以保证合法用户访问授权保护的网络资源,又可以防止非法主体进入受保护的网络资源进行非授权的访问。
(六)最小授权。关停安全策略中那些没有经过定义的网络服务,为用户设置满足需要的最小权限,并及时注销非必要账号,可以在相当大程度上减小网络入侵的风险。目前最为常见的攻击手段有主机扫描、用户扫描、端口扫描以及破解用户口令等等,最小授权原则可以极低的代价大幅提高网络安全性。
(七)入侵检测。能够有效弥补防火墙技术在某些功能上的不足,是防火墙之后的第二道安全屏障。入侵检测系统在几乎不影响网络性能的情况下实时监控网络,自动检测可疑的网络活动,一旦发现有违反安全策略的行为和被攻击的迹象将及时作出响应,包括切断网络连接、记录事件和报警等。
(八)主机加固。网络上的一切操作行为都是在操作系统的基础上完成的,因此操作系统的安全性能直接决定了网络的安全性能。现有的各种操作系统,如Windows等,在安全性方面都存在先天的不足。采取禁止一些非必要的服务等方式,并及时了解网络安全方面的消息,下载系统安全补丁,可以把操作系统和应用平台的安全隐患大大降低。
(九)病毒防范。计算机病毒借助网络或移动存储介质传播,利用驻留内存、截取中断向量等方式进行传染和破坏,所造成的后果难以估计。为了降低病毒危害,必须建立合理的病毒防护体系和制度,及时更新病毒库;当发现病毒侵入时,应立即采取有效手段阻止病毒进一步的破坏行为,并恢复受影响的计算机系统和数据。
(十)网络隔离。按照数据的保密、功能等各项要求,通过使用专用的物理硬件和不同的安全协议在网络之间架设安全隔离网墙,实现多个系统既在空间上物理隔离,又能过滤数据交换过程中的病毒、恶意代码等内容,保证数据信息在可信的网络环境中进行交换。网络隔离技术具有高度的安全性,在理论与实践上都要比防火墙高一个安全级别。
参考文献
[1] 张辉.数据通信与网络[M].北京:北京邮电大学出版社,2010.
[2] 网络测试与故障诊断试验教程[M].北京:清华大学出版社,2011.
关键词:指纹系统,安全防范,防御机制
一、概述
指纹信息系统作为一种公安工作的局域网,有其特定含义和应用范畴,它积累信息为侦察破案提供线索,概括起来有四个方面的典型应用:第一,指纹系统是为公安工作服务的,是一种刑事侦察的工具,它是各地、市之间指纹交流工具,也是指纹信息资源的提供者。第二,指纹系统是为侦察破案提供线索,为案件进展提供便利服务的。第三,指纹系统积累犯罪嫌疑人信息,如嫌疑人的指纹管理、前科管理、基本信息管理等,为串、并案件提供可靠依据。第四,指纹系统是沟通与其他公安工作的窗口,利用它既可以获取各种信息,也可以向其他公安工作相关信息。
二、指纹信息系统安全的主要问题
随着网络在公安工作各个方面的延伸,进入指纹系统的手段也越来越多,因此,指纹信息安全是目前指纹工作中面临的一个重要问题。
1、物理安全问题
指纹信息系统安全首先要保障系统上指纹数据的物理安全。物理安全是指在物理介质层次上对存贮和传输的指纹数据安全保护。目前常见的不安全因素(安全威胁或安全风险)包括两大类:第一类是自然灾害(如雷电、地震、火灾、水灾等),物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等),设备故障(如停电、断电、电磁干扰等),意外事故。第二类是操作失误(如删除文件、格式化硬盘、线路拆除等),意外疏漏(如系统掉电、“死机”等)。
2、指纹操作系统及应用服务的安全问题
现在应用的主流操作系统为Windows 操作系统,该系统存在很多安全隐患。操作系统不安全也是系统不安全的重要原因。
3、非法用户的攻击
几乎每天都可能听到在公安网上众多的非法攻击事件,这些事件一再提醒我们,必须高度重视系统的安全问题。非法用户攻击的主要方法有:口令攻击、网络监听、缓冲区溢出、邮件攻击和其他攻击方法。
4、计算机病毒威胁
计算机病毒将导致指纹系统瘫痪,系统程序和指纹数据严重破坏,使系统的效率和作用大大降低,系统的许多功能无法使用或不敢使用。虽然,至今还没过出现灾难性的后果,但层出不穷的各种各样的计算机病毒活跃在公安网的各个角落,令人堪忧。计算机病毒是指人为制造的干扰和破坏计算机系统的程序,它具有传染性、隐蔽性、潜伏性、破坏性等特点。通常,我们将计算机的病毒分为“良性”和“恶性”两类。所谓良性病毒是指不对计算机数据进行破坏,但会造成计算机工作异常、变慢等。 恶性病毒往往没有直观表现,但会对计算机数据进行破坏,有的甚至会破坏计算机的硬件,造成整个计算机瘫痪。前段时间流行的冲击波、震荡波、狙击波病毒,它们根据 Windows漏洞进行攻击,电脑中毒后1分钟重起。在重新启动之前,冲击波和震荡波允许用户操作,而狙击波不允许用户操作。病毒是十分狡猾的敌人,它随时随地在寻找入侵电脑的机会,因此,预防和清除计算机病毒是非常重要的,我们应提高对计算机病毒的防范意识,不给病毒以可乘之机。
三、指纹系统的安全防范措施
指纹信息系统是一个人机系统,需要多人参与工作,而系统操作人员是系统安全的责任主体,因此,要重视对各级系统操作人员进行系统安全的教育,做到专机专用,严禁操作人员进行工作以外的操作;下面就本人在实际工作中总结的一些经验,谈一 谈对指纹信息系统的维护与病毒的预防。
1、 对指纹系统硬件设备和系统设施进行安全防护
(1)系统服务器安全:服务器是指纹系统的大脑和神经中枢,一旦服务器或硬盘有故障,轻者将导致系统的中断,重者可能导致系统瘫痪或指纹数据丢失,因此在服务器端,可以采用双机热备份+异机备份方案。论文大全。在主服务器发生故障的情况下,备份服务器自动在 30 秒 内将所有服务接管过来,从而保证整个指纹系统不会因为服务器发生故障而影响到系统的正常运行,确保系统 24小时不间断运行。在磁盘阵列柜,我们可安装多块服务器硬盘, 用其中一块硬盘做备份,这样可保证在其它硬盘发生故障时,直接用备份硬盘进行替换。
(2)异机数据备份:为防止单点故障(如磁盘阵列柜故障)的出现,可以另设一个备份服务器为,并给它的服务设置一个定时任务,在定置任务时,设定保存两天的备份数据,这样可保证当某天指纹数据备份过程中出现故障时也能进行指纹数据的安全恢复。通过异机备份,即使出现不可抗拒、意外事件或人为破坏等毁灭性灾难时,也不会导致指纹信息的丢失,并可保证在1小时内将指纹数据恢复到最近状态下,使损失降到最低。
(3)电路供应:中心机房电源尽量做到专线专供,同时采用UPS(不间断电源),部分非窗口计算机采用300 W 延时20分钟的 UPS进行备用,这样可保证主服务器和各服务窗口工作站不会因电源故障而造成指纹信息的丢失或系统的瘫痪。
(4)避雷系统:由于通信设备尤其是裸露于墙体外的线路,易受雷击等强电磁波影响而导致接口烧坏,为对整个系统进行防雷保护,分别对中心机房、主交换机、各分交换机和各工作站进行了分层次的防护。
(5)主机房的防盗、防火、防尘:主机房是系统中心,一旦遭到破坏将带来不可估量的损失,可以安装防盗门,或安排工作人员24小时值班。同时,由于服务器、交换机均属于高精密仪器,对防尘要求很高,所以对主机房进行装修时应铺上防静电地板,准备好(电火)灭火器,安装上空调, 以保证机房的恒温,并派专人对主机房的卫生、防尘等具体负责。论文大全。
(6)对移动存储器,借出时要写保护,借入时要先杀毒;
(7)不使用盗版或来历不明的软件,做到专机专用,在公安内网的机器不准联到互联网上使用;
2 、 全方位的系统防御机制
我们常说“病从口入”所以要做到防患于未然,必须切断计算机病毒的传播途径,具体的预防措施如下:
(1)利用防病毒技术来阻止病毒的传播与发作。
为了使系统免受病毒所造成的损失,采用多层的病毒防卫体系。在每台PC机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,并在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个工作人员的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个指纹系统不受病毒的感染。
(2)应用防火墙技术来控制访问权限。
作为指纹系统内部网络与外部公安网络之间的第一道屏障,防火墙是最先受到重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着公安网络安全技术的整体发展和公安工作中网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。 在系统出口处安装防火墙后,系统内部与外部网络进行了有效的隔离,所有来自外部的访问请求都要通过防火墙的检查,这样系统的安全有了很大的提高。论文大全。防火墙可以通过源地址过滤,拒绝非法IP 地址,有效避免公安网上与指纹工作无关的主机的越权访问;防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降低到最小限度,使非法用户无机可乘;防火墙可以制定访问策略,只有被授权的外部主机才可以访问系统的有限IP地址,保证其它用户只能访问系统的必要资源,与指纹工作无关的操作将被拒绝;由于所有访问都要经过防火墙,所以防火墙可以全面监视对系统的访问活动,并进行详细的记录,通过分析可以发现可疑的攻击行为;防火墙可以进行地址转换工作,使外部用户不能看到系统内部的结构,使攻击失去目标。
(3)应用入侵检测技术及时发现攻击苗头。
入侵检测系统是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要是因为它能够对付来自系统内外的攻击,缩短入侵的时间。
(4)应用安全扫描技术主动探测系统安全漏洞,进行系统安全评估与安全加固。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高指纹系统的安全性。通过对系统的扫描,系统管理员可以了解系统的安全配置和运行的应用服务,及时发现安全漏洞,客观评估系统风险等级。系统管理员也可以根据扫描的结果及时消除系统安全漏洞和更正系统中的错误配置,在非法用户攻击前进行防范。
(5)应用系统安全紧急响应体系,防范安全突发事件。
指纹系统安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生改变。 在信息技术日新月异的今天,即使昔日固若金汤的系统安全策略,也难免会随着时间和环境的变化,变得不堪一击。因此,我们需要随时间和系统环境的变化或技术的发展而不断调整自身的安全策略,并及时组建系统安全紧急响应体系,专人负责,防范安全突发事件。
参考文献:
[1] JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104
[2] J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284
[3] 张 敏,徐 震,冯登国.基于安全策略模型的安全功能测试用例生成方法,软件学报(已投稿),2006
[4] 何永忠.DBMS安全策略模型的研究:[博士学位论文],北京市石景山区玉泉路19号(甲):中国科学院研究生院,2005
[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992
[6]蒋平.计算机犯罪问题研究[M].北京:电子工业出版社,2002.
[7]高铭喧.新编中国刑法学[M].北京:中国科学技术出版社,2000.
[8]朱广艳. 信息技术与课程整合的发展与实践[J]. 中国电化教育,2003(194):8- 10.
[9]黄叔武 刘建新 计算机网络教程 清华大学出版社 2004年11 月
[10]戴红 王海泉 黄坚 计算机网络安全 电子工业出版社2004.9.8
[11]丁志芳, 徐梦春. 评说防火墙和入侵检测[J]. 网络安全技术与应用, 2004,(4):37- 41.
[12]周国民. 黑客苏南与用户防御[J].计算机安全, 2005,(7):72-74.
[13]周筱连. 计算机网络安全防护[J].电脑知识与技术( 学术交流) ,2007,(1).
[14]阿星. 网络安全不容忽视[J]. 电脑采购周刊, 2002,(32).
[15]网络安全新概念[J].计算机与网络, 2004,(7).
[16]王锐. 影响网络安全的因素及需要考虑的问题[J]. 计算机教育, 2005,(1).
1计算机网络安全现状
近年来,我国的计算机网络技术得到了快速的发展,在人们的生活、工作和学习中的应用都非常广泛,为人们带来了很大的便捷,人们在日常生活中都喜欢采用计算机网络来完成相关的工作和操作,可以提升工作的效率和质量,搜集相关的信息非常方便。计算机网络有很强的便利性和开放性,人们不仅可以利用计算机网络技术工作,还可以利用其完成网络购物和娱乐,丰富了人们的生活。但是与此同时,计算机网络技术也带来了一定的威胁和风险。人们在使用计算机网络时,常常需要留下自己的一些个人信息,如果这些信息没有被保护好,一旦泄露出去将会对人们的财产安全和隐私安全造成重大的影响,例如存款被盗等。不仅如此,在使用计算机网络的同时,如果收到计算机网络病毒的入侵,就会破坏电脑程序,导致电脑系统瘫痪,不仅影响人们对计算机正常使用,甚至还会带来很多麻烦。一些恶意的软件也会导致计算机内部系统不能正常运行。从现在的情况来看,我国的计算机网络存在着很多安全问题,已经严重影响了人们对计算机网络的正常使用,带来了很多的不良影响。
2计算机安全漏洞扫描技术
计算机安全漏洞扫描技术是计算机网络的一种重要防护手段,可以对计算机网络中的网络设备和终端系统进行检测,如果设备和系统中存在着一定的漏洞和安全问题,就可以及时找出来,此时管理人员就可以结合具体的漏洞类型和缺陷情况采取有效的方式来进行修复,避免系统漏洞造成严重的损害和威胁,从而实现计算机网络的安全使用,提升其安全性能。从现在的情况来看,我国的安全漏洞扫描技术分为两种,分别为被动式扫描技术和主动式扫描技术。其中被动式漏洞扫描技术可以使计算机网络中的很多项内容都进行检测和扫描,它是以服务器为基础进行扫描和检测的,并且检测之后会形成检测报告,网络管理人员就可以通过对报告的分析和研究来了解计算机设备和系统存在的安全漏洞,并采取有效的方法来处理。主动式漏洞扫描技术体现在检测的自动化,是一种更为先进的检测技术,只要有网络就可以实现自动化漏洞检测,在自动检测过程中,通过主机的响应来了解主机的操作系统、程序和服务器等是否存在着漏洞是需要修复的,从而实现对网络漏洞的检测。
3计算机网络安全漏洞扫描技术的运用
3.1基于暴力的用户口令破解法应用。基于暴力的用户口令破解法也是计算机安全漏洞扫描的重要方法。从现在的情况来看,很多计算机网络都会设置用户名和登陆密码,从而将网络的操作权限分给不同的用户,如果人们将用户名破解,就可以获得网络的访问权限,使网络安全难以保障。针对这种情况,就可以采用基于暴力的用户口令破解法。例如采用POP3弱口令漏洞扫描,通过用户名和密码来发送和接收邮件。在扫描漏洞时,建立用户标识和密码文档,在文档中储存登陆密码和用户标识,可以实现及时更新。在漏洞扫描时,将目标端口连接,判断这个协议是否为认证状态,如果由失败或者错误的信息,就说明这个标识是不可用的,如果所有的结果都是有用信息,则说明身份认证通过。根据这个指令来做出判断,从而保障系统安全。此外,FTP弱口令漏洞扫描也是一种基于暴力的用户口令破解法,其是一种文件传输协议,其原理和POP3弱口令漏洞扫描非常相似,只是其是通过SOCKET连接来扫描漏洞的。3.2基于端口扫描的漏洞分析法的应用。基于端口扫描的漏洞分析法是一种常见的计算机网络漏洞检测方法,当网络系统中出现一些安全入侵行为之后,就可以对目标主机的一些端口进行扫描,就可以将端口的安全漏洞检测出来。因此,在实际使用基于端口扫描的漏洞分析法时,对漏洞进行扫描时需要向网络通向目标主机的一些端口发送特定的信息,就可以获得关于这些端口的信息。此时,还需要对目标主机中存在的漏洞进行分析和判断,根据已经掌握的信息来实现。例如,在实际的计算机网络应用中,Finger服务和UNIX系统其允许入侵者获得一些公共的信息,此时计算机网络将会面临着安全风险,利用基于端口扫描的漏洞分析法对服务和系统进行扫描,就可以判断目标主机的Finger服务是开放还是关闭的,得出结果之后就可以采取一定的措施来对漏洞进行修复。
4结语
计算机网络安全引起了人们的高度重视,为了保障计算机的网络安全,可以通过安全漏洞扫描技术的应用来实现,在使用计算机网络时通过基于端口扫描的漏洞分析法和基于暴力的用户口令破解法的运用,就可以提升计算机网络的安全性能。
作者:易永红 单位:绵阳职业技术学院计算机科学系
参考文献
[1]王勇.关于计算机网络安全与漏洞扫描技术的分析探讨[J].数字技术与应用,2016,21(04):211-211.
【 关键词 】 虚拟化; 安全问题;计算机网络;虚拟存储
1 引言
虚拟化技术早在上世纪60年代由IBM提出。随着互联网发展和云计算的概念提出,在过去几年内,虚拟化普及的速度迅速提高。据EMC公司CEO Joe Tucci称,大部分VMware客户已经计划在未来3年内实现其50%的IT基础设施的虚拟化。
虚拟化技术可以扩大硬件的容量,简化软件的重新配置过程,允许一个平台同时运行多个操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。虚拟化的好处是可以为多个项目和环境提供更快的速度和灵活性,但不利的方面主要是虚拟机和环境的安全一般并未被考虑,并不是因为这些实施项目的安全性有技术难度,而是因为安全问题是实施大范围虚拟化的人员所未知的领域。换句话说,实施虚拟化时一般没有考虑它所带来的新安全风险。
2 虚拟化及虚拟化数据中心
2.1 虚拟化及其特点
虚拟化的含义非常广泛, 一种比较通俗的定义就是: 虚拟化就是淡化用户对于物理计算资源, 如处理器、内存、I/O 设备的直接访问, 取而代之的是用户访问逻辑的资源, 而后台的物理连接则由虚拟化技术来实现和管理。这个定义形象地说明了虚拟化的基本作用, 其实就是要屏蔽掉传统方式下, 用户部署应用时需要考虑的物理硬件资源属性, 而是更着重于应用真正使用到的逻辑资源。虚拟化是分区组合, 因此在一个物理平台上多个虚拟机可以同时运行, 每个虚拟机之间互不影响。
虚拟化的主要特点。
(1)封闭。虚拟单元的所有的环境被存放在一个单独的文件中; 为应用展现的是标准化的虚拟硬件, 保证兼容性; 整个磁盘分区被存储为一个文件,易于备份, 转移和拷贝。
(2)隔离。虚拟化能够提供理想化的物理机,每个虚拟机互相隔离; 数据不会在虚拟机之间泄露;应用只能在配置好的网络连接上进行通讯。
(3)分区。大型的、扩展能力强的硬件能够被用来作为多立的服务器使用; 在一个单独的物理系统上可以运行多个操作系统和应用; 计算资源可以被放置在资源池中, 并能够被有效地控制。
2.2 虚拟化数据中心及其特点
虚拟化数据中心是指采用虚拟化技术构建的基础设施资源池化的数据中心,虚拟化后的数据中心将整个数据中心的计算、网络、存储等基础资源当作可按需分割的资源供集中调配。
虚拟化数据中心的关键是服务器虚拟化。逻辑分割一台X86服务器的CPU、内存、磁盘、I/O等硬件,构造多个虚拟机(VM)的技术发展迅猛,并大量部署在数据中心。服务器的虚拟化提供了计算资源按需调配的手段,而虚拟化的数据中心是计算与网络、存储等深度融合而成,因此,要使服务器虚拟化的优势能顺利实现,必须有合适的网络、存储与之匹配,并在一定层面还要制定虚拟化的管理策略。
3 虚拟化软件自身的安全问题
从表面上讲,虚拟化的BSD客户端与真正的单个设备具有同样的安全威胁和问题,这一点毋庸置疑。然而,主要的区别还在于额外的管理层:Hypervisor。Hypervisor实际上是另一个操作系统,它管理主机OC和客户端OS之间的通信。管理员不用担心单个设备上的单个BSD,而是必须关注第三个操作系统的安全。
在安全方面,我们不能对虚拟化想当然,而且应该比物理和专用操作系统及设备的日常威胁更加警惕。笔者认为虚拟软件安全的现实影响主要有几个方面。
3.1 攻击管理接口
一般情况下,VMM/hypervisor采用非仿真硬件接入的通信模式管理主机和客户端之间的用户交互,例如控制鼠标在管理GUI中的虚拟事例上的移动。
我们看一个例子,从主机向客户端上的虚拟CD加载ISO文件的情况。首先,主机上的VMware进程必须能够接入ISO文件。这一般不是问题,因为VMware进程作为一个高级用户运行,具有较高的权限。接下来,客户端上必须有一个进程知道如何与主机上的进程通信。这要求在客户端上安装软件,通过Hypervisor进行命令调用而与主机VMM通信。客户端管理子系统向主机发起呼叫,一般通过指定的管道发起,要求主机代替客户端启动硬件调用,“欺骗”客户端认为它正在通过物理驱动器接入物理CD。这是VMware从主机向客户端加载CD的基本例子。
这个过程很简单,但对安全性极为重要,因为我们创建了一个在主机和客户端上作为超级用户运行的未检查的系统,可以被恶意攻击者操纵和利用。这种延迟接入使恶意攻击者能够在客户端上实施破坏性报复行动,最初简单的数据拦截攻击可能很快演变为对整个虚拟化数据基础设施的全面攻击。
3.2 避开虚拟机
要避开虚拟机,需要依次迂回进入硬件和操作系统设计。在基于X86的CPU,ring 0(通常指内核模式)是CPU的一部分,在这里管理内核级进程。同样,ring 3(或用户模式)是对用户级进程分配处理空间的地方。虚拟化操作系统要求ring 0接入CPU,就如同真正的本地安装的操作系统。物理和虚拟操作系统都需要一定数量的内核代码(例如中断表格和视图)在ring 0中运行,并且始终知道这些代码在RAM中位于何处。
与物理操作系统不同的是,虚拟客户端不可能像独立的机器那样,将中断表格放置在RAM中的同一个位置,主机的中断表格已经占用了内存中的该位置。因此,尽管客户端认为其中断表格可能位于其虚拟RAM中的0x0000ffff处(表格始终存储在这个特定操作系统中),但主机实际上已经通过透明的Hypervisor将这个位置映射到物理RAM中的0x1234abcd位置,对虚拟系统隐藏了实际位置。然而,这是一个内核级空间,即使主机Hypervisor已经针对客户端处理了中断表格的实际位置,虚拟表格仍必须从实际CPU上有权限的ring0运行(并驻留在其中)。
一般用户也无法知道在虚拟ring 0中发生了什么,但是VMM翻译该呼叫,并通过IPC将该呼叫交付给运行在主机上的超级用户,如果攻击者找到利用虚拟微代码的方式,则他们可能会操纵主机内核和CPU。这叫做虚拟机躲避:跳出虚拟环境的限制,并进入物理环境。
3.3 虚拟机检测
在攻击者发起对虚拟环境的攻击之前,攻击者必须知道虚拟机在何处,以及他目前是否在一个虚拟机上。如果可以从本地接入平台,例如通过SSH接入控制终端,就会有信号指出机器已被虚拟化。MAC地址、进程列表、机器上安装的文件、驱动程序等容易检测到的项目,只需敲击几下键盘即可访问。然而,除了这些基本项目之外,有许多攻击可帮助攻击者检测机器是否运行在虚拟环境中,有时甚至返回关键信息,例如客户端的中断表格的当前位置。
综上,攻击者只需花时间攻击一台虚拟机,这样就可以破坏一个闭合网络中的其它虚拟机,并最终避开虚拟VMM环境,接入主机。如果攻击者的目的是攻击尽可能多的机器,而且攻击者知道某个系统组全是虚拟系统,则基于Hypervisor的攻击将提供最有利的攻击池。这种多个虚拟内核之间受保护的接入共享可能为所有类型的攻击打开了方便之门。如果攻击者可以操纵并控制多平台虚拟化主机上的Hypervisor,则攻击者就可以控制每个接入Hypervisor的客户端的所有软硬件命令。这种攻击相当于拥有了数据中心内的每一台服务器,可深入到CPU和总线级别。
4 虚拟化环境下的网络安全问题
尽管Hypervisor是虚拟化的“主控制器程序”,但它不是具有安全风险的唯一虚拟化抽象层。对于任何虚拟化系统,另一个关键方面是网络层。由于虚拟化的数据中心是计算、存储、网络三种资源深度融合而成,因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配,否则一切都无从谈起。
4.1 网络安全挑战
传统数据中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统数据中心网络安全都只关注业务流量的访问控制,将流量安全控制作为唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,即网络安全策略能够满足动态迁移到其它物理服务器,并且实现海量用户、多业务的隔离。
4.2 网络安全策略
4.2.1 VLAN扩展
虚拟化数据中心作为集中资源对外服务,面对的是成倍增长的用户,承载的服务是海量的,尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑虚拟机或者物理机的安全,还需要考虑在大量用户、不同业务之间的安全识别与隔离。
要实现海量用户的识别与安全隔离,需要为虚拟化数据中心的每一个用户提供一个唯一的标识。目前看VLAN是最好的选择,但由于VLAN数最多只能达到4096,无法满足虚拟化数据中心业务开展,因此需要对VLAN进行扩展。
4.2.2 隔离手段与网关选择
虚拟化数据中心关注的重点是实现整体资源的灵活调配,因此在考虑网络安全控制时必须考虑网络安全能支撑计算资源调配的灵活性,只有将二者结合才能实现虚拟化数据中心网络安全的最佳配置。当主机资源在同一个二层网络内被调配时,多数应用才能保持连续性。为满足计算资源的灵活调配,应该构建二层网络,否则一旦跨网段将导致应用中断或长时间的业务影响。
基于上述思想,网络安全控制点尽量上移,并且服务器网关尽量不设在防火墙上。因为防火墙属于强控制设施,网关一旦在防火墙上灵活性将大大地受到限制。
4.2.3 安全策略动态迁移
虚拟化数据中新带来的最大挑战就是网络安全策略要跟随虚拟机自动迁移。在创建虚拟机或虚拟机迁移时,虚拟机主机需要能够正常运行,除了在服务器上的资源合理调度,其网络连接的合理调度也是必须的。
例如,虚拟机1从pSrv1上迁移到pSrv2上,其网络连接从原来的由pSRV1上vSwitchA的某个端口组接入到边界Switch1,变成由pSRV2上vSwitchB的某个端口组接入到边界 Switch2。若迁移后对应的边界 Switch的网络安全配置不合适,会造成虚拟机1迁移后不能正常使用。尤其是原先对虚拟机1的访问设置了安全隔离ACL,以屏蔽非法访问保障虚拟机1上业务运行服务质量。因此在发生虚拟机创建或迁移时,需要同步调整相关的网络安全配置。为了保证虚拟机的业务连续性,除了虚拟化软件能保证虚拟机在服务器上的快速迁移,相应的网络连接配置迁移也需要实时完成。
5 存储虚拟化的安全保护问题
存储虚拟化允许同一个虚拟池上存储设备的简单数据迁移以及异构磁盘子系统的复制,因此,关键数据的第二份拷贝就必须有和第一份数据同样的安全级别。举个很简单的例子,针对灾难恢复的企业重要数据的第二份拷贝就需要和第一份数据同样严格的安全级别,需要控制它的访问级别和安全保护。
在存储虚拟化后,虚拟化管理软件应能全面管理IP SAN、FC SAN、NAS 等不同虚拟对象,通过上层应用封装对用户提供一致的管理界面,屏蔽底层对象的差异性。在存储虚拟化环境中,针对不同的、异构的虚拟存储对象,应根据各自存储设备的特点,综合运用不同存储设备之间的安全防护机制构建全方位的安全防护体系。
5.1 资源隔离和访问控制
在存储虚拟化之后,应用不需要关心数据实际存储的位置,只需要将数据提交给虚拟卷或虚拟磁盘,由虚拟化管理软件将数据分配在不同的物理介质。这就可能导致不同保密要求的资源存在于同一个物理存储介质上,安全保密需求低的应用/主机有可能越权访问敏感资源或者高安全保密应用/主机的信息,为了避免这种情况的发生,虚拟化管理软件应采用多种访问控制管理手段对存储资源进行隔离和访问控制,保证只有授权的主机/应用能访问授权的资源,未经授权的主机/应用不能访问,甚至不能看到其他存储资源的存在。
5.2 数据加密保护
在各类安全技术中,加密技术是最常见也是最基础的安全防护手段,在存储虚拟化后,数据的加密保护仍然是数据保护的最后一道防线。在存储虚拟化实践中,对数据的加密存在于数据的传输过程中和存储过程中。对数据传输过程中的加密保护能保护数据的完整性、机密性和可用性,防止数据被非法截获、篡改和丢失。对数据存储的加密能实现数据的机密性,完整性和可用性,还能防止数据所在存储介质意外丢失或者不可控的情况下数据自身的安全。
5.3 基于存储的分布式入侵检测系统
基于存储的入侵检测系统嵌入在存储系统中,能对存储设备的所有读写操作进行抓取、统计和分析,对可疑行为进行报警。由于基于存储的入侵检测系统是运行在存储系统之上,拥有独立的硬件和独立的操作系统,与主机独立,能够在主机被入侵后继续对存储介质上的信息提供保护。在存储虚拟化网络中,应在系统的关键路径上部署基于存储的入侵检测系统,建立全网统一的管理中心,统一管理入侵检测策略,实现特征库的实时更新和报警事件及时响应。
6 虚拟化数据中心的安全管理问题
虚拟化数据中心需要新类型的管理员,系统、网络和安全管理员应进一步扩展他们所掌握的知识,了解虚拟化带来的新概念。在虚拟世界中,不仅所有这些概念从硬件转向软件(许多情况下是从软件内核领域向用户领域转移),而且这些概念一直处于混乱和“封闭状态”,不适用于传统接入方法。管理员不能走近虚拟交换机,插入笔记本电脑,添加一个网络分路器,可靠地对一个端口进行映射,或者查看虚拟设备的统计信息。所有这些能力和知识已经超出专业管理员的能力范围,而且对软件控制器、管理GUI、专用内核模块和二进制系统隐藏,已经进入了只有设计人员和开发人员知道如何真正管理设备的时代。
为此,虚拟化数据中心要制定可行的管理策略,并建议包括几方面内容:1) 制定虚拟机管理制度,明确管理责任;2) 制定专门的虚拟机审核、追踪流程,防止虚拟机蔓延而导致的管理受控;3) 所有物理机、管理程序、虚拟机的配置和数量都建在固定模板中,确保配置可控、可管,并将虚拟机管理放入安全策略;4) 利用虚拟化监控工具,检测出未授权的拷贝和“克隆”虚拟机的行为,确保敏感信息在正确的管控中。
7 结束语
随着企业级虚拟化软件在市场上流行,企业IT部门用一台容纳20个独立操作系统的4U机器全面取代容纳单个操作系统的专用1U机器的现象非常普遍。虚拟操作环境与物理操作环境同样安全的概念可能是代价极为高昂而且极具破坏性的谬论。虚拟化范例的变化引出了一套新的安全问题和风险。虚拟基础设施管理员需要了解并且准备应对这些安全问题和风险,需要保证比威胁先行一步。
参考文献
[1] 张志国.服务器虚拟化安全风险及其对策研究[J].晋中学院学报, 2010(3): 83-85.
[2] 计算机世界. 虚拟化改变网络结构[N].计算机世界,2008-10-20.
[3] 杭州华三通信技术有限公司. 新一代网络建设理论与实践[M].北京: 电子工业出版社,53-393.
[4] 王彭.网络存储虚拟化的研究[D]. 西安科技大学,2004.
[5] 姚昌伟.基于网络的存储虚拟化技术的研究[D]. 电子科技大学,2010.
作者简介:
通过对数字化校园建设中的网络信息安全隐患,以及影响校园网络安全因素进分析,针对校园网安全需求,制定相应的安全策略、产品选择及部署方案,保障在数字化校园实施过程中的网络信息安全。
【关键词】
数字化校园;网络;信息安全
数字化校园[1]建设是高校信息化建设的重要内容,数字化校园以网络和数字化信息为基础,在校园网络的基础上建立起来的对教学、管理、科研、技术服务等校园网信息的集合、处理、存储、传输和应用,使得各种数字化的资源能够通过信息平台充分利用,实现学校教学管理的数字化,打破传统的校园网络概念,多维度拓展校园网的应用空间,提升校园网的运行效率,从而达到提高管理水平和效率的目的[2]。随着数字校园建设的不断深入发展,各大高校逐渐建立起了庞大的网络系统与信息系统,如何在此基础上构建一个安全的网络信息环境,抵御各种潜在的风险,保障整个系统安全可靠的运转,是数字化校园建设是最为重要的课题。
1.数字化校园网络信息安全隐患
数字化校园相对来说是一个封闭的内部运行环境,它的应用主要来至于内部教职员工和学生,但同时也是一个开放的环境,其应用打破了时间和空间的限制,对于使用者来说随时随地都可以对系统进行访问,所以其安全隐患既可来至学校内部也可以来至外部。通过分析数字化校园建设的安全隐患主要包括以下几个方面:(1)外部闯入闯入是一种最常见的攻击方式,不法分子为了达到某种不可告人的目的,闯入校园内部的计算机里,如普通合法用户一样使用学校内部的电脑,进行各种非法操作,如果闯进各种应用服务器里,其后果就不堪设想。(2)导致拒绝服务网络攻击者为了破坏学校各重要系统正常的运行,通过拒绝服务的方式攻击系统,使系统无法正常运行。拒绝服务的攻击方式原理就是攻击者利用大量的数据包“淹没”目标主机,耗尽可用的资源至系统崩溃,而无法对合法用户作出响应[5]。如:往某远程主机发大量数据或占用远程主机资源,从而导致远程主机瘫痪、重启、死机或蓝屏。(3)信息窃取攻击者通过病毒程序、木马程序、网络工具,窃取校园网重要的数据信息。比如使用网络嗅查器(Sniffer)监听系统中传输的如用户名、口令、或银行账号等重要信息等。在校园网络中通过信息窃取获得学校关键的数据,对数据的安全造成不可估量的损失。(4)内部泄密最危险的敌人潜伏在身边,数字化校园建设的推进的过程中,内部泄密已经成为校园信息安全最直接的威胁。经权威机构统计发现:来自企业内部安全威胁有超过85%;来自内部未授权的访问占16%;中国国内存网站存在安全隐患占到80%,其中20%的以上网站安全问题特别突出。
2.校园网安全考虑因素分析
通过对数字化校园的安全隐患的分析,结合现有网络的安全状况,在数字化校园建设过程中应主要从如下几个方面入手来考虑安全因素及防范措施:
2.1从物理安全方面考虑
校园网中物理硬件包括:各种服务器、工作站、交换机、路由器、存储器、通信设备、电源等,物理安全主要考虑的是避免这些设备人为的、自然环境的破坏。要保证校园网络的物理安全应从机房的安全管理措施及安全环境等入手来加以考虑。
2.2分段隔离技术
根据校园网的各个部门功能、安全、保密等不同水平,要求将校园网络进行差异分段隔离,通过安全隔离将攻击和入侵造成的威胁限制在较小的子网范围内,提高数字化校园网络的整体安全水平。校园网络可通过路由器、虚拟局域网VLAN、防火墙等技术分段来实现。
2.3信息加密认证
为了保证校园网内的数据、密码、文件、网络会话和控制信息等的完整性,信息加密的是必不可缺少的安全防护手段。通过各种认证与加密技术对数字化校园网络重要的数据信息访问请求进行认证加密,以防止重要信息的泄漏。
2.4安全漏洞扫描
安全漏洞扫描是校园网络安全防御中常用的手段,就是采用模拟攻击的方式对工作站、服务器、路由器、交换机、数据库等各种目标对象,可能存在的已知安全漏洞进行逐项检查。根据漏洞扫描结果提交安全性分析报告,供网络管理员参考,为提高整体网络安全水平提供依据。
2.5网络反病毒
随着新技术的进步,网络病毒向综合性方向发展,许多网络病毒兼具文件感染、木马、蠕虫、黑客攻击等功能,同时传播途径向多样化方向发展,可通过电子邮件、共享目录、浏览网页、网络漏洞进行传播,甚至有些网络病毒能够跨平台,可感染多种不同类型的操作系统。通过统计来看现在许多网络安全事件都是由网络病毒引起的,因此在数字化校园的建设中,可针对性的采用防毒软件,实时扫描监控、查杀病毒来保护校园网系统的安全。
2.6网络入侵检测
校园网络入侵检是通过一定的监测手段,对网络上发生的入侵行为进行监测,通过收集和分析网络行为、审计数据、日志及其它网络信息,检测系统是否存在有违反安全策略的行为和被攻击的对象,如果发现有攻击或其它不正常现象就截断网络连接、记录事件和报警。在校园网建设过程中网络入侵检测应结合防火墙、反病毒软件联动,有效的阻断黑客与病毒对系统的攻击。
2.7网络最小化原则
从网络安全的角度考虑问题,打开的服务越多,可能出现的安全问题就会越多,所以校园网安全应遵从“最小化原则”对服务器进行配置:首先在服务器上安装系统要最小化,一些可有可无的应用程序不要安装;在服务器部署单一的服务应用程序,这样可把服务器的风险降低到最小范围;在配置服务器使用权限时,有针对性的开放只需要的权限,从而限制用户的操作行为在最小的范围之内,不需要的账号要及时删除等。
3数字化校园安全策略
通过对数字化校园网络拓扑结构的分析,可知校园网构成了一个Intranet系统,学校本部的主干网络通过网络运营商DDN专线与外网相连,在其中运行有学校网站服务器系统,各部门的网站服务系统,教务管理系统,招生就业系统,OA办公自动化系统等及内部服务器系统。而学校本部的网络系统和分校的子网络系统的通过Internet公网来完成连接通信。
3.1校园网安全需求分析
通过对校园网络安全因素及数字化校园体系结构分析,要保证校园网各重要服务器或部门子系统的安全,有如下安全需求:(1)保证服务器系统的安全。学校的服务器主要包括学校网站服务器、部门网站服务器、部门应用服务器、数据库服务器、内部服务器等。这些服务器上运行有重要的应用系统,如学院的OA系统、教务管理系统、招生就业管理系统、财务系统、科研管理系统,所有这些系统的安全防护对学校正常的工作运转起着关键作用。(2)学校总部和分部的内部网络安全。学校内部的网络会不时遭到黑客攻击,还有各种木马病毒的攻击,内部网络安全是数字系统能够正常运行基本保证;(3)网络用户身份识别与认定。学校用户量大,包括学校教职员工、学生、外访客,要求必须有一套完整统一的身份认证与识别系统,保证合法用户对系统的访问;(4)重要数据传输安全问题。在学校总部与分部之间、内部用户到服务器、应用服务器到数据库服务器之间,要求传输数据的安全性与完整性,不受第三方截取、破坏。(5)保护学校重要部门。如财务部门、教务部门、招生就业部门等重要应用系统及资料文件,如果这些部门系统遭到破坏造成数据丢失,会造成不可估量的损失。
3.2安全策略制定
根据学校数字化校园安全需求分析制定如下安全策略:(1)校园网物理安全策略:包括学校服务器机房环境保护措施、出入管理制度的制定、安全责任制度、灾难备份与恢复方案、应急电源启用,突况预警等;通信线路、路由器、交换机,无线通信设备安全策略。(2)内外访问控制策略:为学校本部与分部之间,学校内部网与互联网之间、外部网络用户与校园网络之间的实际需要制定访问控制规则,保证相互通信的安全,禁止非法访问;(3)安全配置及管理策略:对各服务器管理系统、安全产品、部署的应用服务系统,设置各级权限及信任关系,防止越权操作破坏系统;检测漏洞及修补、设置安全规则、安全审计及日志分析等。(4)认证安全策略:建立统一身份认证系统,并制定密码复杂规则,信息传输认证加密等规则;(5)突发事件应急策略:针对黑客攻击入侵、各网络病毒的破坏、自然灾难导致的结果制定应急处理法和恢复计划。
3.3选择安全产品及部署
针对校园网的安全需求及相应的安全策略,选择成熟有效的安全产品,把校园网的安全管理与安全产品有机的结合,解决数字化校园的网络安全,使网络的风险降到最低的限度。(1)交换机选择:根据交换机传输率及品质选择稳定可靠的交换机,部署在各个子网接点上,进行VLAN划分使各个子网隔离、抵抗各种病毒与工具软件的攻击,尽量把风险控制在各个子网中。(2)防火墙选择:防火墙是一种软件与硬件的结合体,通过访问规则控制内外网络之间的信息交换,把不符合访问规则的请求拒之于门外,从而保护系统的安全。在构建数字化校园的时,应选择功能强大的防火墙部署在校园网与外网之间,重要部门的子网与内部网之间,或安装个人防火墙于客户端,从而阻断各网络之间的非法访问,保障系统的最大安全。(3)建立虚拟私有网:在特殊情况下可以建立虚拟私有网(VPN)在两点之间建立可靠的安全连接,保证数据安全传输。(4)网络身份认证:网络认证包括静态密码、智能卡、短信密码、动态口令、生物识别等方式进行认证,可根据实际情况选择相应的产品,部署在专用认证服务器或需要认证的服务器系统中。(5)反病毒软件部署:包括金山、瑞星、360、卡巴斯基等防毒软件能够查杀大部分的各种流行病毒,可部署在校园网各应用服务器中及客户端个人计算机中,防范各种病毒对系统的破坏,从而保证系统的安全。(6)入侵检测系统:入侵检测系统是对网络安全攻击的一种主动防御设备,可对网络传输进行实时监控,对可疑的入侵采取主动反应措施或发出警报,主要部署在需要重点保护的服务器主机和子网中。
3.4安全教育与培训
在数字化校园安全方案里面,需要对学校的全体教职员工,特别是网络管理人员及部门负责人进行安全教育,掌握基本的安全知识,能够熟练的掌握和应用安全产品,从思想上提高安全意识,阻止或避免可能发生的安全事故。培训内容应包括以下知识:网络基本知识掌握;各种计算机网络病毒诊断与防治;掌握各种网络入侵手段,分析解决应对办法;各操作系统、应用服务器、安全产品的安装和安全配置;校园网络系统的安全管理和维护及重要数据备份与恢复。
4结束语
综上所述,数字化校园建设是利用现代网络科技手段实现学院信息化、管理科学化的重要手段,它是一个开放的过程,不断发展变化逐渐完善的过程,在这个过程中,对于信息安全因素的分析及安全策略的制定与实施,具有非常重要的意义与价值,制定合理的安全策略是整个信息化建设中是必不可少的环节。
作者:唐权 周蓉 单位:四川职业技术学院
参考文献:
[1]张新刚,田燕.数字化校园信息安全立体防御体系的探索与研究[J].实验技术与管理,2012-10
[2]王楠,乔爱玲.高校数字化校园规划体系结构与流程[J].中国电话教育,2008-1
[3]彭琣,高琣.计算机网络安全及防护策略研究[J].计算机与数字工程,2011-1
