时间:2023-06-08 15:42:36
导言:作为写作爱好者,不可错过为您精心挑选的10篇网络安全应对与防范,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
随着信息技术的发展,计算机网络应用越来越广泛,它在为人们带来便利的同时也带来了安全问题。计算机网络安全问题受到政府、学校以及企业公司的高度重视,然而计算机网络存在的互连性、开放性等特征,使网络信息的安全成为一个重要的课题。因此,要确保计算机网络信息安全的完整性、可靠性和保密性,必须做好全方位的网络信息安全措施,预防各种网络威胁。
1 计算机网络安全问题
1.1 网络安全的威胁体现
网络安全的威胁主要体现在以下三个方面:第一,操作人员的失误。操作人员由于缺少安全意识,将自己的账号随意转借他人或与别人共享等行为带来对网络安全的威胁。第二,人为的恶意攻击。人为的主动攻击,产生有选择性的信息破坏或窃取;被动攻击,截获、窃取或破译来获得重要机密信息。第三,网络软件漏洞。各种软件存在的漏洞为给黑客的攻击提供了方便,给用户带来了不可估量的风险。
1.2 网络攻击的常见形式
计算机病毒、系统漏洞攻击、欺骗类攻击以及黑客攻击是计算机网络攻击常见的几种形式。计算机网络病毒具有传播性、隐蔽性、破坏性和潜伏性等特点,其影响计算机的功能实现和数据的保密性。漏洞可以是攻击者访问和破坏系统,造成计算机信息的窃取。在网络中,欺骗性攻击以用以伪装信任,破坏系统。黑客攻击网络,造成病毒种植,破坏服务器和网络上的主机。这些都为计算机网络用户带来了潜在的隐患和巨大的伤害。
1.3 网络安全的基本原则
面临计算机网络安全的挑战,我们需要清除认识到基本的网络安全采用规则:安全性和复杂性成反比、安全性和可用性成正比、安全问题的解决是动态过程、需要正确认识安全、详尽的检查和评估是必要的、网络威胁要详加分析等。面对网络安全管理,要以全面、动态、计划的态度来应对。确保所制定的计算机网络安全策略是全面的、有效实施的、性能可靠的以及可以评估的。只有遵循网络安全的基本原则,采取合理的网络安全应对措施才可以更好的实现计算机网络安全的防范,才能确保广大用户的利益。
2 网络安全问题应对策略
2.1 访问控制策略
安全是网络得以生存和发展的保障,保障网络安全才能实现网络自身的价值。访问控制策略主要包括,入网访问控制、网络权限控制、属性安全控制、服务器安全控制以及网络监测控制等。对于访问控制策略,我们需要加强各方面的认证措施,比如身份认证、报文认证、以及访问认证等。从整体方面做好,用户对于网络信息资源的访问权限。通过访问控制策略做好网络安全防范和保护,确保计算机网络资源不被非法访问。各种网络安全策略需要相互配合才能够真正的实现网络安全的防范,而访问控制是保证网络安全的重要措施之一。
2.2 信息加密策略
信息的加密旨在保护网上传输的数据。通常网络加密常用的方法有链路加密、端点加密和节点加密三种。用户需要根据网络的实际情况采取相应的加密方式。信息的加密过程是由形形的加密算法来具体实施的,它以很小的代价提供很大的安全,信息加密是保证信息机密性的唯一方法。同时密码技术作为计算机网络安全最有效的技术之一,它不但可以防止非授权用户的窃听,也可以有效的对付恶意软件。
2.3 病毒攻击的应对策略
在网络环境下,病毒传播具有扩散性和快速性。针对病毒,需要有适合于局域网的全方位病毒预防产品。针对病毒攻击的方向设置相应的防病毒软件,只有通过全方位、多层次的防御病毒系统才能实现免受病毒侵袭。防病毒措施具体包括:杜绝传染渠道、防止“电磁辐射式”病毒攻击、设置传染对象属性、不要非法复制他人软件、进行实时监控病毒功能等。
2.4 系统漏洞攻击的应对策略
漏洞是系统本身所固有的,针对于系统漏洞,管理人员应该时常进行网络安全漏洞监测,帮助及时发现各种不安全因素以及各种网络安全漏洞,并做好及时处理。主要通过以下几种方式:网络漏洞扫面,对整个网络进行扫描和分析,发现其中可能存在的安全问题或是缺陷,并提出相对应的修补建议。系统安全扫描,实现寻找黑客攻击的系统迹象,从而提出相应的修补建议。数据库系统安全扫描,实现对整个数据库的扫描、检查和评估服务。
2.5 黑客攻击的应对策略
计算机网络安全的实现离不开入侵检测,进行入侵检测发现在网络中的恶意和可疑行径,如若发现,则及时进行拦截和阻止,构架起完整的主动防御体系,以此来确保网络的正常运行。黑客攻击等网络入侵造成的损害有时候是难以想象的,所以一旦检测到网络被入侵后,要立即采取有效措施来阻止。比如可以通过修改防火墙、主机、应用系统等配置阻断黑客攻击等,并在此基础上进行攻击源头定位。另外,加密型网络安全技术的应用对计算机网络安全的实现也起着保障作用。
2.6 网络安全管理策略
首先,在网络中,我们需要进行备份和恢复技术的应用。数据的备份与恢复应该作为一种网络使用习惯,这样管理员在遇到不可知或者紧急的情况时可以利用备份的数据实现数据库的恢复,确保数据库的完整性和一致性。其次,计算机网络安全离不开相关规章制度的制定,确定相关网络安全管理等级制度和范围管理制度,这对于确保网络的安全、可靠运行起着十分有效的作用。最后,加强网络系统的维护,制定相关应急措施,提高管理人员的管理水平,加强计算机网络安全防范宣传教育等都对于计算机网络安全都有着十分重要的作用。
3 总结
随着计算机技术的不断发展,计算机网络安全作为一个十分重大的系统工程,网络的共享性和通信的安全缺陷使得网络传输的数据信息造成泄露和破坏。此外,网络问题不仅仅是技术问题,同时也是一个安全管理问题,我们必须综合考虑各方面因素并作出合理全面的安全预防策略。随着计算机网络技术的进一步发展,相信网络安全防护技术也必然随着网络应用的发展而不断发展。
【参考文献】
为响应县教育局发《黄陵县教育系统网络安全宣传周活动实施方案》,增强我校师生员工的网络安全意识,提高网络安全防护技能,按照县教育局网络安全宣传周活动实施方案的要求并结合我校实际情况,特制定我院网络安全宣传周活动实施方案:
一、指导思想
为深入贯彻落实党的xx大和xx届三中、四中全会精神,学习贯彻关于网络安全和信息化系列重要讲话精神,增强广大师生的网络安全意识,提高自我保护意识,维护国家网络安全。
二、活动主题
“网络安全知识进校园”
三、活动时间
2019年11月24日至30日
四、活动内容
采用多种形式进行网络安全宣传,普及基本的网络安全知识,使教师、学生增强网络安全防范意识,具备识别和应对网络危险的能力。
五、活动形式
本次网络安全宣传周活动拟采取以下形式开展:
(一)悬挂网络安全宣传横幅。
在我校部室楼悬挂内容为“共建网络安全,共享网络文明”的横幅,
(二)开办网络安全宣传专栏。
11月25日在学校宣传报栏开辟网络安全宣传专栏,以宣传该活动的方案、计划等相关资料以及宣传活动所取得的成果。
(三)开展全校范围内的《网络安全知识普及有奖问答》,
11月26日大活动时间开展全校范围内《网络安全知识普及有奖问答》,引导师生主动学习网络安全知识,加强网络安全自我保护意识。对参与积极,网络安全知识丰富的位个人给予适当的奖品奖励。
(四)召开网络安全知识主题班会。
11月27日在全校在召开“共建网络安全,共享网络文明”主题班会,讨论宣传网络安全知识,提高学生网络安全意识,增强识别和应对网络危险的能力。同时在教室播放以下国家网络安全周公益短片的功能。
《电脑病毒?要防范!》 、《自主密码 国之重器》 、《网络文明行》 、《网络安全你知道吗》 、《网络安全靠大家》 、《个人信息泄露?要防范!》 、《全民参与 网络更安全》
(五)发放网络安全宣传单。
11月28日制作电子版网络安全宣传单放于学校qq群,同时印刷纸质版网络安全宣传单,向同学家长发放。
六、活动要求
(一)学校本次活动中统一使用“国家网络安全宣传周”标识,突出宣传周主题。
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 18-0000-02
1 网络安全现状
计算机网络以难以想象的速度发展至今,网络应用也复杂到一定程度,社会、民众乃至国家对网络的依赖日渐加深。利用计算机网络进行黑客攻击的不法分子或以危害别国安全为目的的不法势力越来越猖獗,计算机网络安全问题日渐凸显,表现在:(1)网民的安全意识还很薄弱,计算机网络防范技术还处于不完善阶段;(2)计算机犯罪和网络侵权名列现代社会犯罪榜首。网络安全问题可能影响到整个国家的经济发展,甚至国家的社会稳定。必须认清网络安全现状,提前部署计算机网络安全防范对策。
2 应对计算机网络安全危机
如今科技进步离不开网络,信息交流离不开网络,计算机网络安全工作在我国社会发展过程中有着非常重要的地位和作用。应对计算机网络安全危机必须坚持管理手段和技术防范并重。管理上立足我国网络实际情况,逐步完善相应法律法规,加强监督监管;网络防护技术上加大研发力度,与时俱进。能够始终贯穿最新的网络安全管理规范,保证计算机网络的安全管理。坚持管理和技术防范并重的原则,下面介绍应对计算机网络安全的几个对策:
2.1 构建网络安全保障机构
计算机网络体系复杂,给全社会提供便捷的网络服务。要构建一套有效的网络安全保障系统也离不开全体社会,是一个需要聚全社会之力完成的社会工程。非常有必要建立有执行力的组织机构。下面结合实际从两个方面进行网络安全保障机构构建:
2.1.1 建立地方的网络安全组织
国家对于计算机网络安全方面有组织机构,如国家计算机病毒应急处理中心,定期做病毒预报和病毒监测,网民可以从互联网上获取到信息,但是广大民众并没有习惯关注这些信息,因此有必要建立地方的网络安全组织机构。该组织机构由地方多个相关的部门人员组成,地方信息办办及时掌握最新的网络安全信息,应当列入组织。地方公安部门对地方网络安全使用进行监控,地方国家安全局对境外敌对势力的网络侵袭进行监控,都属于该组织机构的成员。该组织的责任是更有效的防范计算机网络安全隐患,建立地方的网络安全法律法规和网络行为规范。在地方范围内更有效的开发计算机网络安全防范技术培训,让更多的民众了解计算机网络安全存在的危机,提高网络安全防范技术,推动地方计算机网络安全提高到一个新的水平。
2.1.2 建立本单位基层网络安全组织
使用网络的基层单位组织本单位的网络安全组织,负责人由单位主管领导担任,成员应该由各领域的人才组成,首先需要熟悉本单位计算机网络信息系统的计算机技术人员,对本单位网络的安全有基本的了解,对计算机网络漏洞和系统及时进行升级和病毒防护,同时根据实际情况制定本单位的关于计算机安全方面的制度和规范;其次需要负责单位教育培训的人事部门人员,不定期在单位开展关于网络安全方面的培训教育,增强本单位人员网络安全防范意识;还要有参与单位安防的人员组成,对计算机机房重地进行重点防护;单位的计算机机房是比较重要的网络设施,该地域的网络安全管理应该能够更加重视,因此对于本单位的基层网络建设而言,需要建立健全完善的网络安全组织。
2.2 突出重点工作领域
我国目前使用计算机网络的数量非常庞大,网络安全性在不同行业重要性有强弱之分,关系国计民生的行业,如金融、证券、铁路等国家经济命脉部门行业和国家要害部门的企业网络安全尤为重要。国家要将有限的人财物资源投入到优先保护的计算机网络,以更好的保障社会安定平稳运行。计算机网络安全由于应用非常广泛,因此在很多重要领域都有着计算机网络的身影。类似于国家政府机关的网络管理设施,需要相关部门对此进行更加深入的安全管理。因此,在网络化、信息化不断发展的今天,越来越多的信息开始变得网络化,一些国有企业、安全管理部门等也将信息放在网络这样的大平台上。原因在于通过网络平台可以更加安全方便的进行管理。也正是这样的原因,造成在网络上的信息过于重要,其所在领域的网络安全也更加得以重视。安全部门的网络安全管理,重点在于如果建立完善的网络管理机制,在管理过程中如何做到内部与外部的管理安全。
2.3 有针对性的开展技术防范工作
计算机网络是计算机技术发展到一定水平的高科技产品,网络发展同时推动了计算机软硬件技术的高速发展,计算机网络安全是建立在高科技软硬件平台上。符合标准的计算机机房及机房内性能良好的硬件设备是计算机网络运行良好的物理前提。机房建设应该按照GB50174-2008《电子信息系统机房建设规范》、GB50462-2008《电子信息系统机房施工及验收规范》标准规定执行,操作系统不定期补丁程序,计算机网络管理员要定期关注更新操作系统,及时打补丁完善网络操作系统,增加计算机网络的安全性。目前计算机网络上的应用软件门类繁多,存在不同程度的安全隐患,系统管理员同样要关注应用软件的更新。
对于单位性质不同,计算机网络的安全性要求高低不同。对重要单位的机房有各种要求,消防设施需要安装自动灭火装置,监控系统,报警系统等。计算机网络由专业机构进行等级评估,设置与单位性质匹配的安全防护策略及安全防护体系。建立必要的防火墙平台、入侵检测平台、漏洞扫描平台。防病毒软件选用公安部认可的产品,定时升级,设置定时更新和定时查杀,完善计算机网络系统。
2.4 逐步完善监管法律法规
互联网安全立法是非常紧迫的,由于计算机网络发展的速度非常快,运用网络防护技术保障计算机网络安全和社会提供立法保障应同步。立法规范网络安全要用相当长一段时间,只能逐步完善网络安全监管法律法规。有了相应的网络安全法律、法规,国家执法机关能充分运用法律手段履行国家赋予的职权,对影响安全的各种行为进行查处,震慑不法分子。
2.5 网络安全教育培训到位
网络不安全会危害广大网民,公众对网络安全有了充分认识后自我防范意识加强,网络安全性也会相应提高。定期开展网络安全教育培训,宣传网络犯罪行为表现,增强网民自我保护意识。有关单位和个人通过网络安全教育培训,了解网络使用规范,学习网络防护技术,对提高计算机网络监测和抗击能力,迅速应对和预警网络安全,推动我国信息化建设起到积极的作用。
3 结束语
计算机网络安全问题是值得全社会关注并采取措施的社会系统工程,采用先进的技术手段结合科学的管理模式,全民参与,提高社会整体的防范意识,并且要通过坚持不懈的努力,才能使我国的计算机网络安全问题改善,使我国计算机网络安全达到健康发展的水平。
参考文献
[1]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003
【中图分类号】TP393【文献标识码】A【文章编号】1672-5158(2013)02-0084-01
1 网络安全的形式和特点
1.1 网络安全的形式
在当前这样一个网络环境开放的形势下,计算机网络安全的主要表现形式是计算机系统的安全稳定运行,特别是网络信息系统的安全运行,它是网络安全的核心形式。计算机网络安全受影响的因素是多方面的,在计算机网络的发展过程中,只有保证网络系统的安全,才能够保证计算机和互联网的稳定发展。
1.2 网络安全的特点
第一,多元化的特点。网络安全多元化的特点主要表现在安全隐患的形式和内容的多样化,以至于网络安全体系逐渐完善化和技术化。在今天的网络安全体系中,以多技术多系统模式来应对网络安全的多元化;第二,体系化的特点。这种体系化主要是网络安全制度的系统化和安全技术的体系化,面对复杂的网络安全环境,完善网络安全体系,构建完整的网络安全系统,从而保证计算机网络的安全,与此同时,应对当前这样多变的网络环境,对于计算机网络的安全防范措施也必须不断进行更新;第三,复杂化的特点。互联网的发展让客户端的联网模式更加复杂多样,从而让网络安全的外界因素增多,计算机网络安全逐渐延伸到互联网的各个层面,这就要求我们要不断探索网络安全技术,才能适应日益复杂的网络环境。
2 计算机网络存在的安全问题
2.1 系统层的安全问题
由操作系统带来的网络安全风险是最为普遍的,由于我国目前对于计算机操作系统的管理不是很强,而大多数用户使用的微软 XP、 windows7操作系统都属于盗版系统,存在着很多安全漏洞,大部分计算机用户对这些漏洞往往不是很重视,黑客就会利用操作系统的安全漏洞进行网络攻击,给计算机网络安全带来很大的安全风险。
2.2 网络层的安全问题
目前有关于计算机网络服务的相关使用权限的规定还不是很明朗,也不够严格,从而导致计算机网络常常会受到互联网上的攻击,如一些黑客的恶意攻击、窃取数据资料等。网络层的安全问题通常是由于网络管理员在对计算机进行网络配置时操作不当造成的网络安全漏洞引起的,另一方面,计算机用户的使用不当,安全意识不强也给计算机网络的网络层带来了安全威胁。
2.3 物理层的安全问题
计算机网络结构基本上都是属于拓扑型网络,而不同的网络设施却是为不同的节点服务的,网络设施主要包括有服务器、路由器和交换机等计算机网络机房的设备,有些还包括 UPS等维持设备,另外计算机的各种硬件与网络传输线路也都是物理层安全问题的范畴。计算机网络安全的物理层问题一般表现在物理通道的损坏、物理通信线路的破坏和干扰等。
2.4 病毒带来的安全问题
计算机病毒不仅会破坏计算机中的数据,破坏性强的病毒甚至会影响计算机硬件的运行,一旦这些病毒流到网络之中,会造成不可估量的严重后果。
3 计算机网络安全的防范措施
3.1 加强物理层的安全防范
当前,物理层的网络安全问题是很多企业在网络安全防范中尤为突出的问题,要有效解决物理层的网络安全问题,就必须加强对计算机机房的安全防范,因为计算机硬件设备安全是保证网络安全的前提条件。在修建计算机机房时,必须按照相关标准严格建造,机房的建造地址一般要选择在干燥通风处,同时要注意避光,可以配置窗帘等遮蔽物遮挡阳光;另外,计算机机房的防火措施也要加强,有条件的企业可以配置精密空调来调节机房的温度和湿度,使用UPS稳压电源等,通过一系列的措施保证物理层不出现任何安全问题。
3.2 加强技术层的安全防范
一是要加强计算机网络的入侵检测技术,通过对计算机系统程序等数据信息的收集分析,来监测各种可能存在的入侵行为,并自动进行报警或入侵线路切断。当前检测入侵的方法主要是对用户不正常行为和网络资源的非正常使用的异常情况检测,这种方法的优点是响应快、误查率低,但是需要花费大量的时间来制定入侵模型,因此我们必须努力探索,研究出更好的更具有针对性的检测技术来防范计算机网络威胁。二是要加强计算机病毒的防范技术,病毒防范技术主要分为对病毒的预防、检测和查杀三个方面,通过对计算机病毒的有效防范,我们可以保持计算机处于正常运行状态,保证网络环境的稳定,这种方法也是技术层的有效防范途径之一。
3.3 加强用户的安全意识
计算机用户是计算机网络安全的直接受益人和受害人,加强用户的网络安全意识,提高他们对计算机网络安全的防范能力,对防范计算机网络安全问题有相当重大的意义。首先要养成良好的上网习惯,及时更新杀毒软件病毒库,更新操作系统的漏洞,保证计算机处于安全运行状态,用户要避免浏览陌生网页,接收陌生人的邮件,不从来源不明的网站下载软件,对计算机进行定期杀毒等;其次,计算机用户要加强对网络账号和密码的管理,以防止被黑客窃取而造成不必要的损失,如对系统管理员帐号的设置和管理,这个账号默认是没有密码的,用户可以给自己的计算机设置密码,对于网络中的各种账号密码尽量不要使用相同的数字或字母,以防止黑客盗取一个密码之后破解出其他账号。此外用户还可以通过其他一些方法来加强自我防范,让计算机网络环境更加纯净。
4 结束语
当前,计算机与互联网已经成为我们学习、工作乃至生活中必不可少的组成部分,其重要性已经上升到了一个前所未有的高度。但在计算机与互联网覆盖面积越来越广、应用越来越深以及人们对其的依耐性越来越强的同时,其各种安全问题也逐渐暴露了出来,在很大程度上对我们的信息安全造成了隐患。我们应当不断升级防范措施、强化安全意识,这样才能够确保自身网络与数据信息稳定和安全。
网络安全是指网络系统的硬件、软件和数据受到保护,不因偶然的或恶意的原因遭到破坏、更改和泄露,确保网络系统正常的工作,网络服务不中断,确保网络系统中流动和保存的数据具有可用性、完整性和保密性。网络的安全在技术上应综合考虑到防火墙技术、入侵检测技术、漏洞扫描技术等多个要素。不断提高防范病毒的措施,提高系统抵抗黑客入侵的能力,还要提高数据传输过程中的保密性,避免遭受非法窃取。因此,对网络安全问题的研究总是围绕着信息系统进行的,主要包括以下几个方面:
(一)Internet开放带来的数据安全问题。伴随网络技术的普及,Internet所具有的开放性、国际性和自由性以及各方面因素导致的网络安全问题,对信息安全也提出了更高的要求。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用,但网络的安全仍然存在很大隐患,主要可归结为以下几点:1.就网间安全而言,防火墙可以起到十分有效的安全屏障作用,它可以按照网络安全的需要设置相关的策略,对于进出网络的数据包进行严密的监视,可以杜绝绝大部分的来自外网的攻击,但是对于防范内网攻击,却难以发挥作用。2.对于针对网络应用层面的攻击、以及系统后门而言,其攻击数据包在端口及协议方面都和非网络攻击包十分相似,这些攻击包可以轻易的通过防火墙的检测,防火墙对于这类攻击是难以发现的。3.网络攻击是开放性网络中普遍难以应对的一个问题,网络中的攻击手段、方法、工具几乎每天都在更新,让网络用户难以应对。为修复系统中存在的安全隐患,系统程序员也在有针对性的对系统开发安全补丁,但这些工作往往都是滞后于网络攻击,往往是被黑客攻击后才能发现安全问题。旧的安全问题解决了,新的攻击问题可能随时出现。因此,应对开放性网络中的黑客攻击是重要的研究课题。
(二)网络安全不仅仅是对外网,而对内网的安全防护也是不可忽视的。据统计,来自内部的攻击呈现着极具上升的趋势。这是因为内网用户对网络结构和应用系统更加熟悉。以高校的校园网为例,网络用户人数众多,而学生的好奇心和渴望攻击成功的心理,使得他们把校园网当作网络攻击的试验场地,且其中不乏计算机应用高手(特别是计算机专业的学生),防火墙对其无法监控,这种来自内部不安全因素对网络的破坏力往往更大。2008年7月的旧金山的网络系统内部的侵害事件,2008年6月深圳“泄密门”等网络内部的安全事件向我们警示着内网安全防范的重要性。
(三)网络中硬件设备的安全可靠性问题。对计算机网络而言网络硬件设备在其中起到了重要的作用。比如:路由器,交换机,以及为网络用户提供多种应用服务的服务器等,这些设备的可用性、可靠性,以及设备自身的高安全保护能力都是网络安全中应该加以研究和认真对待的问题。
二、通过教学研究,提高学生对网络安全体系的管理与防范
由于网络技术水平和人为因素,以及计算机硬件的“缺陷”和软件的“漏洞”的原因,让我们所依赖的网络异常脆弱。在教学过程中,我们必须加强对网络安全体系管理与防范意识的传授,才能提高学生的管理和防范能力,常用的方法如下:
(一)防火墙是在内外网之间建立的一道牢固的安全屏障,用来加强网络之间访问控制,提供信息安全服务,实现网络和信息安全的网络互联设备。能防止不希望的、未授权的信息流出入被保护的网络,具有较强的抗攻击能力,是对黑客防范最严、安全性较强的一种方式,是保护内部网络安全的重要措施。防火墙可以控制对特殊站点的访问,还能防范一些木马程序,并监视Internet安全和预警的端点,从而有效地防止外部入侵者的非法攻击行为。
(二)入侵检测是指对入侵行为的发觉。它通过对网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现是否有被攻击的迹象。如果把防火墙比作是网络门卫的话,入侵检测系统就是网络中不间断的摄像机。在网络中部署入侵检测系统可以有效地监控网络中的恶意攻击行为。
(三)网络病毒的防范。对于单独的计算机而言,可以使用单机版杀毒软件来应对病毒的问题,由于其各自为政,在应对网络中的计算机群时,则无法应对网络病毒的防杀要求,且在升级方面也很难做到协调一致。要有效地防范网络病毒,应从两方面着手:一是加强网络安全意识,有效控制和管理内网与外网之间的数据交换;二是选择使用网络版杀毒软件,定期更新病毒库,定时查杀病毒,对来历不明的文件在运行前进行查杀。保障网络系统时刻处于最佳的防病毒状态。
(四)对于网络中的Email,Web,FTP等典型的应用服务的监控。在这些服务器中应当采用,应用层的内容监控,对于其中的传输的内容加以分析,并对其中的不安全因素加以及时发现与处理,比如可以利用垃圾邮件处理系统对Email的服务加以实施的监控,该系统能发现其中的不安全的因素,以及垃圾内容并能自动的进行处理,从而可以杜绝掉绝大部分来自邮件的病毒与攻击。
(五)主动发现系统漏洞是减少网络攻击的一个重要手段。在网络中单靠网络管理人员人为的去发现并修复漏洞显然是不够的。因此主动的分析网络中的重点安全区域,掌握其主要的安全薄弱环节,利用漏洞扫描系统主动的去发现漏洞是十分总要的一个手段。同时在网络中配以系统补丁自动更新系统,对于网络毕业中有类似安全隐患的主机主动的为其打上系统补丁。事实证明上述两种机制的结合可以有效地减少因为系统漏洞所带来的问题。
(六)IP地址盗用与基于MAC地址攻击的解决,这个可以在三层交换机或路由器中总将IP和MAC地址进行绑定,对于进出网络设备的数据包进行检查,如果IP地址与MAC地址相匹配则放行,否则将该数据包丢弃。
三、通过教学改革,把学生培养成高技能应用型的网络人才
网络安全技术是非常复杂,非常庞大的,对初学者来说,如果直接照本宣科,学生肯定会觉得网络安全技术太多太深,从而产生畏学情绪。为了提高学生的学习兴趣,让他们更好地掌握网络安全技术的知识,就要培养学生的创新能力,就必须改革教学方法,经过几年的教学实践证明,以下几种教学方法能弥补传统教学中的不足。
(一)案例教学法
案例教学法是指在教师的指导下,根据教学目的的要求,通过教学案例,将学习者引入到教学实践的情景中,教会他们分析问题和解决问题的方法,进而提高他们分析问题和解决问题的能力,从而培养他们的职业能力。我们在教学实践中深深感受到,在计算机网络安全技术教学中,引入案例教学,将抽象的、枯燥的网络安全的理论知识和精湛的、深邃的网络安全技术涵寓于具体的案例中,打破传统理论教学中教师要么照本宣科,要么泛泛而谈,以至于学生学起来枯燥无味,用起来糊里糊涂的局发表面,变复杂为简单,变被动为主动的学习过程,调动了学生的学习积极性,培养了学生的职业能力。在具体案例中,将古城墙的功能和作用与防火墙比较;选择学生接触最多的校园网作为典型的案例,向学生系统地讲授网络安全体系结构、安全策略的制定、安全技术的应用、安全工具的部署,以及安全服务防范体系的建立等理论,从而降低网络安全的复杂度,使学生对网络安全体系有比较全面、透彻的理解。
(二)多媒体教学法
多媒体教学是指在教学过程中,根据教学目标和教学对象的特点,通过教学设计,合理选择和运用现代教学媒体,以多媒体信息作用于学生,形成合理的教学过程结构,达到最优化的教学效果。它具有交互性、集成性、可控性等特点。可以把抽象的、难理解的知识点直观地展示和动态地模拟,充分表达教学内容。例如:PGP技术的操作步骤、防火墙的配置和使用等。通过多媒体教学,边讲边操作,做到声像并行、视听并行,使学生在有限课堂时间内获得更多的信息,从而激发了学生的学习兴趣,提高了教学效果。
(三)实践教学
现在,人们虽然都对网络安全问题有一定的了解,但是却只有部分人群真正认识网络安全威胁从何而来。许多人认为,企业的内部网络威胁主要是外界的网络攻击,但是实际上企业的内部网络安全威胁往往更大。
由于许多企业都对局域网和互联网实行各种信息共享,使得企业的内部网络往往在“众目睽睽之下”,虽然大多数企业都有采取各类防火墙来作为护盾,但是黑客的手段也随之提高,不时的出现各类网络入侵进和攻击。许多发达国家的企业在内部网络安全方面,投资相当之多,可见内部网络安全威胁,对于公司防范措施的选择上有着必要的关系。
一、内部网络存在的安全威胁
(一)交换机的安全隐患。交换机是每个企业网络中必然存在的设备,也正因为此设备的广泛使用,使得其在网络中,被攻击的次数最多。
(二) windows更新不及时。由于各个企业公司的网络电脑众多,所以很难保证将每台电脑都能及时对windows软件进行更新安装,这也就无形中增多了安全的漏洞,使得整个内部网络安全处于威胁当中。
(三)防病毒软件的更新。黑客的攻击手段,每天都在因为防病毒软件的日益完善,而不断提高,所以就需要企业的内部网络及时对防病毒软件进行更新,以便应对最新的网络病毒。
(四)USB的使用问题。USB设备的使用频繁度是惊人的,据相关统计,每个企业每天使用USB的频率是所有设备最多的,但是USB设备的特殊性,使得对它的安全防范过低。Win
dows系统的USB保护措施很少,大部分系统只能使用简单的启用和禁用USB来作为防范措施,这显然是不够的,所以很多黑客都把USB存储设备当成攻击和入侵的主要着手点。
(五)企业内部网络账号密码设置过于简单。许多企业的内部操作者,对于账号和密码设置的都非常简单,这样给入侵者带来极大的方便,可以说,使用这样的屏障如履薄冰。
(六)无线网络的使用。现在多数电脑都有无线访问功能,但是无线连接的同时,会对有线网络安全构成极大的威胁。
二、内部网络安全常见的防范技术
(一)安装防病毒软件和防火墙。安装防病毒软件和防火墙,能有效保护网络安全,但是并不能完全使得网络处于绝对安全之中。
(二)认证技术。认证可以对各种消息系统的安全起到重要作用,它是防止各类网络黑客入侵和攻击的有效技术。
(三)访问控制。访问控制的主要功能是,使得网络资源不会被非法访问,更不会被非法使用,对于访问控制的设置,可以根据网络环境自由选择。
(四)计算机取证技术。许多电脑本身有对黑客的入侵和攻击行为,会有计算机取证技术对其进行重建,以便于使用法律武器打击犯罪分子。但是现在相关法律还在不断完善当中。
三、内部网络安全防范的重要措施
(一)加强网络交换机的安全防范。首先要将VLAN ID在每个端口上都有设置,对不常使用的端口禁止使用。其次要通过合理设置,关闭每个终端端口的DTP。另外对限制用户的网访问设置为非授权用户。
(二)完善USB设备的安全管理。由于USB设备是最大的网络隐患之一,因此,要作出相应应对措施。
可以将每台电脑的USB接口封死。也可以利用相关软件,对每个终端电脑进行管理。另外内部网络安全系统软件,大多拥有控制接口的功能,可以加以利用,以便控制USB设备安全威胁。
(三)进行内部网络操作培训。可以定期对内部员工计算机的操作进行相关培训,减少失误带来的安全隐患。
(四)建立可靠的无线访问。对整个网络进行审查,将对工作没有任何用处的无线网络排除,使其处于防火墙之外。
(五)及时升级windows软件。Windows不时就会对漏洞进行维护,并对软件进行更新,所以,要让内部网络计算机及时升级更新微软相关软件,保障网络安全。
(六)使用正版杀毒软件。各类杀毒软件,都有破解版本出现,但是离正版软件有很大差距,所以要求企业购买比较知名的杀毒软件。并对软件的更新作出及时升级。
结语:网络安全防范措施,是从不断的日常工作经验中,积累总结而得出的,因此要根据企业的内部实际,采用适当的相关技术,来完善补充,才能真正起到保护内部网络安全的目的。
网络安全是指在网络环境中,为确保信息传输及存储的安全性、保密性和完整性,采取一系列技术手段及管理方法,对网络数据信息形成保护作用。大数据时代的到来,虽然使得人们生活及生产更加便利,但是网络安全问题也变得更加严峻和突出。计算机网络本身有着较高的开放程度及自由性,再加上自然灾害、操作失误等多种因素的影响,都使得网络安全面临较大威胁,并且,在网络全球化发展趋势下,还需要应对来自国际上的网络安全问题。如何在大数据背景下加强网络安全防范,是现阶段互联网行业发展的当务之急。
一、大数据基本含义
大数据指的是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。与传统数据相比,大数据的管理和处理难度更大,无论是采集和分析,还是分析和挖掘,都很难借助一般的软件工具实现,需要与云计算相结合,依托云计算平台建立数据库,进而完成对海量、复杂数据的高效处理。对大数据进行分析,可以发现其具有数据体量大、数据类型多样化、数据处理速度快、数据价值密度低等特点,并且已经逐步与各行各业相融合,构建形成了庞大的数字世界,为人们提供了丰富的数据资源,对决策的制定起到了辅助作用,加快了社会发展和进步。
二、基于大数据背景的网络安全影响因素
在大数据背景下,网络环境变得越来越复杂,会受到多种因素的影响而发生网络安全问题,常见影响因素主要包括以下几种。
2.1网络自身特征计算机网络属于一个高度开放的环境,充斥着各种各样的信息,导致计算机网络系统比较脆弱,安全防范能力较弱,经常出现网络安全问题。一方面,数据信息是借助HTTP、IPX/SPX、TCP/IP等各类通信协议进行传播的,但是在构建网络通信协议时,对数据传输安全考虑不周,缺乏科学系统的数据保护机制[1]。另一方面,在网络环境中,信息的和传播都是比较自由的,导致数据管理难度较大,安全性得不到保证。
2.2病毒入侵和黑客攻击病毒是最为常见的网络安全隐患。当前计算机软件和系统更新换代速率较快,很容易因漏洞问题而受到病毒侵袭,再加上电脑杀毒软件能力有限,病毒破坏力和公共机型不断增强,计算机经常会出现因病毒感染而出现瘫痪甚至是崩溃现象。另外,一些具备较强专业能力的黑客,受利益的驱动往往会有目的性的供攻击计算机网络,获取用户私密信息,如当前频发的网络诈骗犯罪事件,黑客通常会利用网络获取用户信任,然后再通过截获用户个人信息盗取钱财,严重影响了网络环境和社会的稳定性。
2.3系统软件漏洞计算机网络系统和软件存在漏洞,是无法避免的现实问题,也会对网络安全造成不利影响。任何一种计算机系统,包括Windows系统、Linux系统、Solaris系统等,在设计时都会存在缺陷,随着网络环境的变化以及计算机功能的增多,这些缺陷将会逐渐显露出来形成系统漏洞,给予了不法分子可乘之机[2]。同时,用户所安装使用的各类软件,尤其是盗版软甲,也会存在漏洞,会对计算机系统造成严重破坏,导致用户信息泄露,存在较大的网络安全隐患。
2.4人为操作失误计算机已经渗透到了生活生产中的方方面面,计算机用户数量较多,但是大多数用户都没有接受过专业性、系统性的培训,仅仅只是掌握计算机基本的操作技能,对于比较复杂的操作则不够熟悉,使用计算机过程中经常出现操作失误现象,比如没有按照相关规定规范输入操作指令等,埋下了网络安全隐患。并且,部分计算机用户网络安全意识薄弱,所设置的口令和密码比较简单,安全等级较低,容易被其他人破解,也会引发网络安全问题。
三、基于大数据背景的网络安全实践应对策略
针对大数据背景下所存在的网络安全问题,需要从其影响因素入手,采取有效应对策略加以防范,提高网路安全防护能力和管理力度。
3.1合理运用防火墙和安全检测技术防火墙技术是一种利用拓扑结构的隔离方式,来提升计算机网络防护的安全度的一种技术手段,在公共网络和企业网络安全管理中有着良好的应用效果。利用防火墙可以在内部网络和外部网络之间形成一道屏障,抵御外部病毒木马的入侵和攻击,并对内部网络起到了实时监控作用,可以及时消除安全隐患,保证内部网络的安全性。另外,还应该将防火墙技术与计算机安全检测技术相结合,包括口令安全、杀毒软件、U盘管理软件等技术,通过对网络动态进行检测,实现对病毒的全面防范,确保网络数据信息安全[3]。
3.2加强病毒及黑客攻击防范力度针对网络病毒入侵现象,应构建完善的防范机制,既要在电脑上下载安装正版杀毒软件,如电脑管家、360卫士、金山毒霸等,对病毒进行定期查杀,防止恶意软件干扰,杜绝安全隐患,又要从病毒发展特点出发,加大对杀毒软件的研发力度,增强其杀毒能力,以更好地应对更为复杂且危害更严重的病毒。而对于黑客恶意攻击行为,需要对海量数据整合分析后,建立行之有效的黑客攻击模型,实现对黑客攻击的快速识别,并推广运用数字认证技术,控制访问数据的门禁,建立科学合理认证渠道,避免非法用户访问,有效地保护计算机网络安全。
3.3及时修复计算机系统和软件漏洞要想降低计算机系统和软件漏洞对网络安全造成的影响,便需要从系统和软甲设计入手,采取有效对策修复漏洞。在系统和软件设计环节,需要充分考虑漏洞问题,编制科学的系统和软件设计方案,明确修补漏洞的设计理念与应用方法,以便发现漏洞后迅速作出反应,在最短的时间内将其加以修复,避免病毒和黑客趁机侵入。同时,应根据漏洞特点,定期对系统进行升级,及时更新软件,增强计算机系统和软件的安全防护能力,以便更好的适应越来越复杂的网络环境,避免因漏洞引发网络安全问题。
3.4规范用户操作行为,强化网络安全意识用户操作是否规范,也会影响到网络安全,所以便需要规范用户操作行为,增强其网络安全意识。一方面,计算机用户应学习专业网络技术知识,比如企业员工,需要掌握计算机杀毒、漏洞修复、垃圾清理等各项基本操作技能,并熟悉计算机硬件与软件组成和功能,按照规范手法正确使用计算机,避免误操作行为的出现。另一方面,计算机用户应设置更加复杂的口令和密码,运用身份认证、口令加密、文件权限设置、网络设备权限控制等各项技术,加强用户权限管理。
四、结束语
大数据时代的道到来,使得人们获取数据资源的途径发生了重大变化,为生活生活生产带来了更多便利,但是也对网络安全防护提出了更高的要求。只有深刻理解大数据的含义,从影响网络安全的主要因素出发,通过合理运用防火墙和安全检测技术、加强病毒及黑客攻击防范力度、及时修复计算机系统和软件漏洞、规范用户操作行为,强化网络安全意识等措施,才能有效应对网络安全问题,降低风险隐患,为计算机的安全稳定运行及价值作用的充分发挥提供保障。
参考文献
[1]熊海青.大数据背景下计算机网络安全防范措施[J].计算机光盘软件与应用,2015,(2):160-160.
一、大数据的相关知识
在信息时代,计算机技术及互联网技术解决了信息储存问题,其将巨大的信息量安全、稳定地储存起来,有利于有效管理企业。大数据时代不仅要求通过网络储存海量信息,同时也对信息的传播速度提出了新的要求。近年来大数据作为存储信息的重要方式,得到了社会的广泛关注,科研人员在这方面加大了研究力度。
二、大数据时代下网络安全问题的基本内容
网络环境安全是海量信息传递的重要保障。在网络安全问题上主要包括两个方面,一是信息的保护问题,二是信息的高效传播。在信息传递的过程中,一些不法分子用不正当手段窃取信息,导致客户信息遭到泄露,给用户带来了不必要的损失。另外,在信息的传播过程中,需要有强大的网络硬件功能提供支持,这就需要在软件中加入监督管理的功能,避免外界病毒的侵袭。
三、大数据时代下网络安全现状
近些年大数据信息技术在社会各行各业中得到了广泛应用,其在给人们生活带来便捷的同时,在网络安全问题方面仍存在很多不足之处,网络环境安全性较差,给人们的信息带来了安全隐患。据相关调查显示,网络黑客仍然严重威胁着社会经济的正常发展,主要表现为对大数据信息的窃取,对网站的攻击等。由此可见,大数据时代下的网络安全问题不容忽视,其中还有很多问题有待解决。
四、大数据背景下应对网络安全问题的对策
1.树立安全防范意识
社会的不断进步,信息量的不断增加,需要专业技术人员的科学管理,因此树立安全防范意识是确保信息安全的第一步。树立安全防范意识,首先要了解W络安全对信息安全传播的必要性。比如客户数据信息的隐私保护方面,应明确信息对客户的重要性,要对承载信息输送的网络环境进行全方位的保护,在安全防护中降低风险,提高效率。
2.完善网络安全中的数据加密
客户信息的绝对安全是新时代大数据背景下的关键性问题,主要体现在客户信息的安全传递方面。网络技术虽然在不断发展,但在信息的输送中仍然存在着很多安全隐患,特别是在存储安全方面。因此在信息数据的加密方面,要基于网络技术设定较为高级的密码模式,可以设置多种密码。在密码的设定中,利用计算机硬件的监管功能抵御病毒的侵袭,充分确保用户信息的完整与安全。
3.做好病毒入侵检验以及防范工作
网络安全问题是当今十分热门的话题,新时期下的网络安全问题主要是指对网络病毒的监管防治。很多大型网站被不法分子攻破的主要原因是抓住了网站的漏洞,将病毒导入其中,从而进行大规模的破坏,最终导致网站瘫痪,给客户造成了无法挽回的经济损失。不难看出,病毒对侵袭网站所造成的后果是难以预计的,因此我们必须在网站运行期间开展安全防范工作。病毒的防范工作主要从两方面进行:一方面,要对外界可能入侵的病毒进行监管,提早发现病毒,利用先进的网络监测技术进行全方位的检查;另一方面,在病毒侵入后,计算机的杀毒软件应自动修复漏洞,查杀病毒,保证网络信息安全。
五、结语
综上所述,网络安全问题是大数据时代亟须解决和完善的重点问题。大数据时代下的信息安全输送是客户信息的重要保障,因此要树立网络安全意识,对病毒的侵袭进行有效的监管和防范,不仅要保证信息传输的高效、完整,还要在信息加密上确保绝对安全,采取针对性较强的安全防范手段,保证客户信息的安全、稳定。
参考文献:
[1]张传勇.基于大数据时代下的网络安全问题分析[J].网络安全技术与应用,2015(1):101.
【中图分类号】G40-057 【文献标识码】B 【论文编号】1009―8097(2011)11―0066-05
引言
随着国内高校新一轮信息化建设的不断深入,高校校园网规模越来越大,承载的应用系统越来越多,校园网络的结构也变得越来越庞大和复杂。随着人才培养、科学研究等各项工作对校园网的依赖性不断增加,校园网及各类应用系统的服务质量也应不断提高标准和要求,作为一个使用成熟技术和成熟设备的园区网络,网络安全是影响网络服务质量的重要因素。
但目前各高校的校园网“重建设,轻管理”的现象仍然十分普遍。在社会信息化发展的大潮中,各高校都已清楚地认识到校园网在学校各项工作中的基础地位,因此在校园网硬软件系统建设上进行了大量的投入,而正是硬件和软件系统的大规模快速增长,使得对网络的管理难以跟上建设的步伐,而网络管理是软性的工作,是不能够通过统计报表看得出问题或成绩的,因此网络管理工作很难引起学校领导的重视。但在实际工作中,相对滞后的网络管理会导致网络安全问题的频频发生,反言之,网络安全防范也是网络管理的重要内容。
本文根据目前高校校园网络存在的安全隐患来分析其成因,并在实际工作经验的基础上提出构建一套基于分层控制的“IAAPNS”网络安全防范体系,自底向上、由内到外、从技术到管理层面排查高校校园网络中潜在的安全威胁并给出防护建议。
一 高校校园网络的安全隐患及成因
目前高校校园网络的主干网都是基于TCP/IP协议的以太网,与其他类型的Intranet网络相比有其自身的特点,相应的安全隐患也就有其特定的成因。目前国内高校校园网络普遍存在的安全隐患和漏洞主要来自以下几个方面:
1 校园面积广阔,网络基础设施管理困难
经过兼并和扩张,高校的校区面积动辄上千亩、几千亩,许多高校还有地域上独立的新老校区,作为楼宇间连线的光纤布线遍布校区各处,而且往往跟其他强电或弱电线缆共用走线沟槽。对这些光纤的管理要涉及基建、后勤等多个部门,需要协调的工作也很繁杂,如果缺少一个明确的安全管理体系,就不容易分清工作界限,在出现突发故障后往往互相推诿,导致难以在短时间内恢复网络畅通。
另外一方面,校园内楼宇繁多,楼字里每几层都会有楼层网络设备间放置汇聚层或接入层网络设备,这些设备间的数量众多,但往往安全防范措施简易,门锁形同虚设,甚至有些设备间连门都没有,极易出现人为破坏或私拉乱接网线的情况,严重影响网络的运行安全。除此以外,雷击等外界原因也容易造成对网络设备的破坏。
2 网络设备种类繁多,不利于统一管理
校园网的建设一般是分批建设,不同批次、不同层次的网络设备使用的规格、品牌往往不尽相同,而这些网络设备的管理软件大多都是基于私有MIB库进行开发,这就造成了很难有一套统一的全网管理软件。病毒或黑客对网络设备进行攻击时,就很难在第一时间发现和应对,常常是在设备瘫痪之后才意识到出现了问题、进行紧急恢复。
3 网络终端数量众多,安全措施薄弱
一般高校的学生人数都是以万计,教师以干计,密集的用户群意味着网络终端的数量巨大,绝大多数网络终端以计算机为主,随着无线的普及,智能手机和平板电脑也成为重要的网络终端设备。数量众多的用户使用计算机或手机的技术水平差异很大,尤其是文科专业的师生对计算机的使用掌握得并不熟练,未装防火墙和杀毒软件的计算机比比皆是。而高校校园网只要一处出现漏洞,整个网络就无安全可言。近年来智能手机上也出现了不少的病毒和木马程序,智能手机的系统安全问题正变得日益严重。
4 系统软件本身并不安全
在目前的校园网环境中,个人终端装机占有率最高的仍然是Windows操作系统,由于使用面广,研究其漏洞的人也就更多,不少黑客都是利用其系统漏洞侵入用户的计算机,再以这些被控制的计算机作为跳板,攻击整个网络。
与个人计算机相比,服务器操作系统漏洞更具有灾难性。服务器的操作系统种类较多,除Windows之外还有Linux、Solaris等Unix系列的操作系统,而高校网络管理人才队伍中,对此类操作系统熟悉的人员比例不高,包括打补丁、差错、优化在内的各种操作系统管理手段很难周全到位。除了操作系统本身,其上所运行的各类服务软件(如IIS、Tomc~等)也存在安全漏洞问题,需要管理人员投入大量的精力进行研究和学习。
5 应用系统的安全漏洞
由于建设成本的考虑,高校的网络应用系统提供商的层次差异很大,有些就是自行组织教师或学生进行开发,缺少软件开发过程中各个层次的安全规划设计与实现,使得应用系统层面的漏洞层出不穷,这些漏洞很容易成为黑客攻击最直接的目标。还有些高校在建立Web网站时使用了开源程序,这类系统的漏洞更是容易被利用,甚至不懂黑客原理的用户经过几分钟的学习便可以掌握攻击方法。
二 高校校园网络的安全防范体系
由此可见,形成高校校园网络安全隐患的原因是多层次的,也是相互关联的,但目前各高校的网络管理部门往往采用的是“头痛医头、脚痛医脚”的“救火式”解决办法,只从某个方面或某个层次来应对。网络管理人员每天都在疲于解决各种突发性的网络安全事故,但问题还是与日俱增,网络服务质量和用户满意度仍然处于较低的水平,这种“费力不讨好”的现象迫使我们去思考更好的解决方案。
为此,针对目前高校校园网络的安全现状和威胁,结合实际工作经验,我们运用系统论的分析方法,提出构建一套名为“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security,网络安全集成关联架构策略,同时也是体系中六个层次的英语词组首字母组合)的网络安全防范体系,为高校校园网络安全提供一套完整的解决方案,以求由点到面、由“标”到“本”地系统地解决校园网络的安全问题。该体系从六个层次和角度来阐述网络安全的内容,并分析每个层次可能存在的隐患以及相应的应对策略,其中自底向上的五个层次分别是物理安全、网络安全、系统安全、应用安全和信息安全,管理安全则融合、穿插于这五个层次之中。整个安全体系的示意图如图l所示。
该体系将现行的高校校园网络安全性划分为5个横向层次和1个纵向层次,在5个横向层次中,最底层的物理安全是基础,网络安全是关键,系统安全、应用安全、信息安全是重点,管理安全是保障。下面分别对六个层次的内容、隐患来源以及应对措施进行详细阐述。
1 物理安全(Physical Security)
物理安全,主要工作是防止物理通路的损坏、窃听和对物理通路的攻击(干扰等)。保证高校校园网络和信息系统各种设备的物理安全是网络整体安全的前提,通常包括环境安全(系统所在环境的安全保护)、设备安全和媒体安全三个部分。抗干扰、防窃听是物理安全措施制定的重点。目前,物理实体的安全管理已有大量标准和规范,如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》、GB50173-93《电子计算机机房设计规范》等。
这一层次的安全威胁主要包括自然威胁和人为破坏等方面。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的离散事件有时会直接或间接地威胁网络的安全,影响信息的存储和交换。人为破坏则主要来自于高校校园网周边内外的人为性的损坏,这些损坏有时是主观故意的(如学生发泄对网络服务质量的不满而对网络设备或线路进行故意损坏),有时是客观意外的(如园区周边建筑施工导致挖断网络线路)。
面对以上威胁,为保证网络的正常运行,在物理安全层次上应重点考虑两个方面:
(1)校园网规划、设计、建设时将物理安全作为重点工作对待,适当提高安全标准,为网络设备或线路搭建防护设施、建立安全控制区域,尽量降低自然威胁可能带来的风险。
(2)加强巡查,将重点网络设备或线路所在地定为安全巡逻必到点,定期安排保卫人员在巡逻时查看网络设备或线路的外观和运行状态(如各种状态指示灯是否正常等),降低人为破坏的几率。
2 网络安全(Network Security)
网络安全主要包括链路安全、传输安全和网络访问安全三个部分。链路安全需要保证通过网络链路传送的数据不被窃听,主要针对共用信道的传输安全;传输安全需要保证信息的完整性、机密性、不可抵赖性和可用性等;网络访问安全需要保证网络架构、网络访问控制、漏洞扫描、网络监控与入侵检测等。
这一层次的安全威胁主要包括:
(1)通信链路上的窃听、篡改、重放、流量分析等攻击。
(2)网络架构设计问题、错误的路由配置、网络设备与主机的漏洞、病毒等。
相应地应对措施主要有:
(1)在局域网内可以采用划分VLAN(虚拟局域网)来对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能;若是远程网,可以采用链路加密等手段。
(2)加强网络边界的访问控制。对于有明显安全等级差别的网络区域尽量增加防火墙设备进行隔离。如在校园内网、服务器区域之间设置防火墙;校园网出口处、与Intemet之间设置防火墙。
(3)在交换机上启用DHCP-Snooping技术,使任何接入校园网的计算机只能动态获得IP地址,同时杜绝未经批准建立的网站通过私自手工设置静态IP地址来架设服务器。
(4)使用IDS(入侵检测系统)。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够阻止攻击者的入侵。当检测到有网络攻击或入侵时,可以实时发出报警,并详细保存相关证据,以便用于追查或系统恢复。
(5)对网络安全进行定期检测,以实现安全的持续性。可以利用漏洞扫描类的工具软件定期对系统进行扫描,根据扫描结果进行安全性评估,通过评估报告指出系统存在的安全漏洞,组织专家讨论后给出补救措施和安全策略。
(6)建立网络防病毒系统。在校园网中部署网络版的防病毒系统,统一管理服务器和各类网络终端的防毒软件,定时自动升级与维护,以保护全网不被病毒侵害。通过对网络中的病毒扫描集中控制,建立各种定时任务,统一集中触发,然后由各被管理机器运行,同时可对日志文件的各种格式进行控制。在管理服务器上建立了集中的病毒分发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告,所有病毒扫描状态信息都可由控制台得到。
3 系统安全(System Security)
系统安全即运行在网络上的服务器、交换机、路由器、客户端主机等具有完整网络操作系统的设备的操作系统的安全。这一层次的安全威胁主要来自因操作系统本身的设计缺陷被攻击者利用从而引发的后果。对于高校校园网络而言,半数以上的攻击往往属于这一层次。这一层次的主要应对措施主要有:
(1)更新操作系统、安装补丁程序。任何操作系统都有漏洞,因此,系统管理员的主要工作内容之一就是监控运行在网络上的各类设备的状态,发现异常应当及时解决、排除故障。对于交换机、路由器等设备而言,主要是更新操作系统的版本,这一类设备主要用于数据交换,因此其内置固化的操作系统往往功能简单、体积很小,厂商的常规做法是新版本的系统,因此只需直接刷新即可。对于服务器、客户端主机等设备,因其主要是用于数据处理,操作系统功能复杂、体积庞大,厂商通常是一些补丁程序来进行更新,因此直接安装即可。
(2)优化系统。现代操作系统往往是多功能、多模块、多组件的,可能一项系统设置可能会影响多个功能,也可能多个选项来共同作用于一个功能。因此,对操作系统进行优化是一项非常必要的工作,甚至个别系统的个别选项如果不加以优化可能会被攻击者利用,从而产生威胁。实际当中包括关闭不需要的服务和端口并建立监测日志等。
(3)实行“最小授权”原则,分配正确和合适的权限。仅仅保持系统的版本最新、并做了优化是不够的,试想如果网络上的设备被设置了“123456”这样的密码,而且使用这个密码登录后还是最高权限的系统用户帐号,那么整套网络和信息系统的危险可想而知。实行“最小授权”原则(网络中的帐号设置、服务配置、主机间信任关系配置等为网络正常运行所需的最小限度),关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险大大降低。例如,根据需要设置帐号和权限,并为帐号设置强密码策略是必须完成的工作,如至少应该在8位以上,而且不要设置成容易猜测的密码,并强制用户每个月更改一次密码等等。
(4)及时查杀服务器系统中的病毒、木马和后门程序。
4 应用安全(Application Security)
应用安全主要是针对网络中提供的各种功能和服务而提出的,例如Web服务:E-Mail服务、数据库服务、各种业务系统、各种信息系统等等。应用安全的威胁主要有:应用系统缺陷、非法入侵等。这一层次的主要应对措施有:
(1)及时升级和更新各应用软件和信息系统,降低因软件设计缺陷引起的风险。若应用软件或业务系统是高校自行开发,系统的使用部门(往往是业务部门)应联系开发人员及时跟进,发现漏洞及时修补。
(2)对应用软件和信息系统实行身份认证和安全审计。
与系统安全类似,应用软件和信息系统也应对使用者进行分类、分配权限、认证身份并审计各种操作。例如可以按照需要在高校校园网内部建立基于PKI的身份认证体系(有条件还可以建立基于PMI的授权管理体系),实现增强型身份认证,并为实现内容完整性和不可抵赖性提供支持。在身份认证机制上还可以考虑采用IC卡、USB-Key、一次性口令、指纹识别器、虹膜识别器等辅助硬件实现双因子或多因子的身份认证功能。同时,还应特别注意对移动用户拨入的身份认证和授权访问控制。
5 信息安全(Information Security)
信息安全注重的是网络上各类数据、信息的内容安全。这一层次可能的威胁和相应的应对措施有:
(1)植入恶意代码或其他有害信息。一部分攻击者经常采用的攻击方法是扫描网段找到有漏洞的主机,接着使用黑客软件或攻击程序进行刺探,在获得系统权限后将恶意代码植入到在该主机上运行的各应用软件或信息系统中,待其他用户正常使用时发作,或修改页面的内容造成不良影响。针对这种情况,可以部署网页防篡改系统,减少Web站点的内容被恶意更改植入恶意代码或其他有害信息。
(2)垃圾邮件和病毒的传播。目前,电子邮件已经成为垃圾信息和病毒的主要传播途径之一,采用垃圾邮件网关并部署电子邮件反病毒模块能够在一定程度上减轻危害,缺点是垃圾邮件识别模块和反病毒模块需要经常性升级,在查杀和拦截上有一定的滞后性。
(3)负面舆论导向。高校历来是思想碰撞的场所,网络作为新兴载体己经发挥着越来越大的作用,因此,舆情监督和正面舆论导向将逐渐成为高校信息安全的重点工作内容。除了采取技术手段进行监督管理外,高校的信息化管理部门还应与宣传部门一道培养舆论导向的专业人员或学生,主动将信息安全的风险降到最低。
6 管理安全(Administration Security)
目前,部分高校的网络管理人员及其用户的安全意识总的来说较为淡薄,且大多数高校的网络管理制度不完善、管理技术落后、管理机构不健全。上述因素不仅使得校园网络性能下降、运行成本提高,而且还会造成大量非正常访问,导致整个网络资源浪费,带来极大的安全隐患,使得网络受到攻击的概率大幅提高。
管理安全是整个防范体系的主线和基础,贯穿于整个体系的始终。如果仅有安全技术方面的防范,而无配套的安全管理体系,也难以保障网络安全的。必须制订相应的安全管理制度,对安全技术的实施落实到具体的执行者和执行程度。
网络安全工作可以说是一项群体性的工作,网络用户的安全意识是网络安全的决定因素,对校园网络用户安全意识的教育是安全防范体系中至关重要的环节,是形成高校校园网络安全体系的基础。尤其是在病毒泛滥的大环境下,需要通过定期培训、及时通过各种手段病毒预警通知、监督和促使用户尽快打补丁等方法,达到增强师生用户的安全意识,提高必要的安全防范技能的目的。
以上便是我们提出的网络安全防护体系的六个层次,除管理安全层次外,其余五层与TCP/IP协议的层次类似,上一层的安全是建立在其下一层的安全基础之上,下一层的安全是上一层安全的重要保障,层次之间环环相扣,不留安全死角。
本体系中的六个层次也基本涵盖了高校网络管理工作的方方面面,将网络安全工作的思路分层次清晰化,具有极强的实用价值和指导作用。
三 应用效果
重庆理工大学从2001年开始大规模建设校园网络,2003年开始建设数字化校园系统。校园网按照核心层、汇聚层和接入层三个层次进行规划设计,共有各类网络设备600多台,接入信息点18000个,活跃用户大约2万人,各类服务器40多台,安装有Windows、Linux和Solaris等操作系统,数据库以Oracle和SQL Server为主。数字化校园系统覆盖办公、教务、学工、人事、财务、后勤等各个方面的工作,共计有各类系统模块80余个。在大规模的硬件和软件系统建设前期,缺乏对网络安全的系统认识,在遭遇网络安全事故时,常常只能采取临时性的应对措施。随着网络和系统规模的不断扩大,网络安全已经成为影响网络服务质量的重要根源,网络信息中心的员工几乎天天都在疲于应对各类突发性的网络安全事件。
学校从2008年开始总结网络安全工作的经验与教训,运用系统工程的分析方法,从整体和系统的角度提出网络安全防范方案,形成了“IAAPNS”网络安全防范体系,并应用到校园网的建设与维护工作中,经过三年多的运行,学校校园网络安全工作进得了明显的成绩(如图2所示):
对网络设备攻击(包括病毒)而导致网络故障的次数由2008年的334次降到2010年的65次,2011年上半年为19次;利用操作系统漏洞(包括Web服务器漏洞)攻击成功次数由2008年的46次降到2010年的6次,2011年上半年为2次;利用应用软件的安全漏洞攻击成功次数由2008年的125次降到2010年的43次,2011年上半年为15次。
一、学校信息安全网络防范的内涵及特征
1.校园网络安全的基本内涵。校园网络安全指的是在学校范围内对已经接入互联网的软件、硬件、操作系统和相关数据库实施的技术保护,从而保证它们不会被恶意攻击或破坏。校园网络由系统管理平台、教学资源系统、学校管理系统、学生使用系统等部分组成。高中校园网络主要用于教学信息,宣传各种教研活动,以及对学生档案、资料等进行管理。高中应当采用有效的技术手段促进校园网络的正常有效运行。2.校园网络安全的基本特点。高中校园网主要以局域网和网站的形式存在,具有安全风险日益提高,抗风险能力弱,损失无法弥补等特点。高中校园网络的信息安全主要维护系统平台的安全,信息传输过程的安全,信息内容的安全和对访问权限进行设置。主要工作任务在于防止校园网系统出现崩溃或损坏等现象,设置好对不同权限用户的访问限制,有效对学生个人数据信息进行加密,切实保证信息的真实、有效、完整。由于高中校园网日渐庞大,传输量日渐增多,不仅要求高中校园网络有较好的硬件设备,还要能根据学生的使用需求,为学生提供个性化的服务,一旦校园网络安全出现问题,不仅影响正常教学活动的开展,而且很可能使学生个人的学籍档案、一卡通财务数据、招生报考信息等重要资料丢失,造成难以想象的严重后果。
二、学校信息安全网络防范的现状及问题
1.高中互联网的建设漏洞。计算机接入互联网的目的是为实现信息资源的共享。在资源共享的过程中,给高中校园网极大增加了不安全因素。为了有效的控制学生对互联网的使用,使高中互联网资源更有利的向教学方向倾斜,高中的校园网络平台在系统设计上加装了更多的限制,这些限制代码或指令使学校网络平台更加复杂,很有可能存在着未被发现的问题,如果这些问题被黑客发现,就可能会对学校的网络进行攻击,轻则使整个网络瘫痪,重则破坏教学数据信息。由于高中互联网是多台机器共用一根网线,只要一台机器下载了病毒,那么很有可能相关多台电脑都会受到牵连。2.病毒对校园网的攻击。在上级教育主管部门的支持下,近年来高中校园网的硬件建设取得了较快的发展,但网络安全技术仍没有取得实质性的进展,校园网络发展的越快,存在的风险和问题也就越高。目前,我国高中校园网不少都没有安装防火墙或是防火墙的级别太低,一旦有病毒入侵就会给整个网络带来极大的安全隐患,而且会大量的消耗网络资源,使高中校园网络拥堵等问题频发。特别是在校园共用电脑,由于缺乏有效的隔离措施,任意U盘的随意使用,随意安装来路不明的软件,这些行为都可能为校园网带来病毒,而且病毒传播的隐蔽性强,学校网络管理人员不易察觉。这种情况常常导致校园网络防不胜防,极大的影响了学生和教师的正常使用,而且使高中校园网络中的硬件设备有惊人的淘汰率和故障维修率。3.硬件设施设备的陈旧。虽然近年来我国高中阶段的计算机硬件设备取得了快速发展,但主要集中在补齐上而不是更新上。国家对高中的投入,主要倾向于没有计算机设备或硬件设备短缺的学校,学校已有计算机设备往往要使用十年以上才能达到报废期。学校主要由上级教育主管部门拨付绝大部分资金,学校自己再自筹部分资金解决校园网络的建设问题。硬件设备的不足,更新换代较慢,网络建设过程上使用较低版本的校园网络系统。这些问题常常导致高中的校园网络处于半开放的状态,网络中的数据丢失甚至成为了常见现象,在这种情况下,对校园网络安全预警和有效防范更是无从谈起。
三、学校信息安全网络防范存在问题原因
高中校园信息安全网络防范工作面临着严峻的挑战,既有来自对高中网站的威胁,也有对校园网的应用系统的威胁。一旦发生招生考试信息被篡改,校园财务、教务信息错误等问题,都会造成严重的后果。从高中信息安全的建设来看,高中自身在管理上存在的问题,是网络安全防范缺失的重要原因。1.网络安全意识淡薄。高中校园网络管理者素质,管理者的技术水平,广大师生是否有意识的围护校园网络安全,都对校园信息安全防范起到重要作用。遗憾的是,我国高中的校园网络建设往往都是一次性建设,一次性投入使用,学校及教育管理部门普遍对校园网络安全不重视,认为学校不是部门,没有必要在网络安全上加大投入力度,学校能用于校园网的安全经费更是十分有限。学校管理者认为只要能接入互联网就可以,通常只注重网络速度快不快,能不能使学校正常的教学活动顺利进行。还有的校领导通常认为网络安全只是技术部门的事,与学校的运行没有太大的关系。殊不知,一旦出现了类似于招生考试报名泄露事件,学生一卡通财务数据被篡改等问题,后果甚至将是学校难以承担的。2.学校网络技术水平有限。目前,我国大多数高中的网络安全工作都由学校自己维护,由于高中的技术实力相较大学等高等院校有较大差距,因此高中的校园网络也只能维持在保证硬件不损坏的水平上。但是,在高中校园数据的传输是依托公共网络实现的,高中校园数据有较大的被截获的风险。在日常管理维护中,高中主要依靠的是计算机教师。这些教师忙于教学一线任务,并非专业的计算机安全操作和管理员,他们只具备丰厚的理论知识,缺乏对计算机病毒的系统的研究,更无暇每天对校园网进行全天候监测。临时性的校园网络安全管理人员也不具备相关的专业知识,不能对校园网络进行合理的维护,发现问题时的处置方式也较为随意,还有的校园网自建立起就没有更新过病毒库,没有对校园网系统进行必要的升级,学校各班级的终端计算机的系统漏洞长期得不到更新的现象十分普遍。3.管理制度不完善。高中校园信息安全网络防范不仅有技术层面的原因,在管理制度上也存在着较大的问题,没能建立起有效的校园网络使用和维护管理制度,缺乏有效的校园网络监督管理措施,不能有效的对相关的技术人员进行合理调配使用,校园网计算机使用无据可依,校园网的使用随意性过大,有的班级为了防止出现网络安全事故,长期将计算机与互联网断开,还有的班级在接入互联的机器上随意下载各种盗版软件。而且,随着高中大量学生不停的在使用公用计算机,使全校师生都遵守一项共同的校园网络安全管理制度也变得越发困难,而且一旦出现网络安全问题,也很难具体分清问题的源头和责任,这使校园网络安全防范工作变得更加困难。
四、保障学校信息安全的有效措施及对策
围护高中校园网络信息安全是一项系统的工作,不仅需要调动广大师生的共同参与,更需要针对具体问题采用具体的监管措施,从而使高中校园网络在充分依靠技术力量的前提下,使师生自觉的围绕校园网络安全。具体来说,保障学校信息安全的措施和应对方法有以下几种可供选择:1.加强对师生的有效引导。为了有效发挥全校师生在促进校园网络安全上的合力,应当从围护校园网络安全的系统运行、数据保密、网络使用等方面建立必要的规章制度,有条件的学校要建立专门的网络安全监管部门,要对网络安全责任进行明确的划分,要建立起教师和学生共同参与的校园网络安全监管体系,要多在校园内采用讲座、论坛等方式,积极引导广大师生提高网络安全的防范意识,号召广大师生不使用盗版软件,不浏览不安全网站,不随便共享文件,不轻易打开来历不明邮件,不执行不明程序。2.对校园网站进行定期维护。高中校园网络作为一个半开放的系统,不仅需要师生有正确的使用方法,还要定期的对校园局域网和网站进行定期的维护,要定期按照安全检查制度逐一进行检查,要针对学校各班级、教师办公室、学校计算机房等的不同设备采用不同的检查方式,切实做到检查和维护工作有具体的可操作性。要定期为各班级和公共电脑下载安装杀毒程序,要及时电及操作系统的漏洞补丁通知,要聘请专业人员定期来学校进行专业的技术维护,从而确保校园网络在安全的环境下正常高效运行。3.对校园网进行层级限制。高中校园是全体师生的重要学习工具,是十分有限和珍贵的教育教学资源,为了保证校园网络的有效性和安全性,应对校园网络的访问层级进行限制,要对校园网的可访问区域进行加密限制,例如要将校园的重要信息变为乱码的加密信息,要禁止对未经授权许可的人开放网络系统,要对所有的网络操作步骤进行可跟踪调取,从而使网络信息使用有可追溯的机制,这样不仅限制了浪费校园网络资源的现象发生,而且可以使校园网络资源的利用效率更高,更有效促进学生安全文明的使用网络。4.加强数据备份和保护工作。对最重要的信息进行保护和备份工作,可以在校园网络出现安全问题时,将损失降低到最低程度。因此,高中校园网络上的数据应当由专人进行定期备份,有条件的学校最好能备份两份数据,一份用于使用更新,一份用于长期保存,同时还要定期对网络上的数据进行恢复,从而保证校园网络上数据的长期有效性,备份后的数据还要定期进行检测,一旦出现网络安全问题,可以及时对网络上的数据进行恢复,以保证网络流通数据的安全性。
结语
学校信息安全网络防范的措施应当在现有技术条件下,采用有效的网络安全防范管理制度,定期对校园网进行维护,对校园网使用进行层级限制,以及做好数据备份等方式尽可能的加强校园网络安全,使校园网有效应对攻击。
参考文献