前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的常見的網絡安全措施主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:無線網絡 安全 防范措施
隨著信息化技術的飛速發(fā)展,很多網絡都開始實現無線網絡的覆蓋以此來實現信息電子化交換和資源共享。無線網絡和無線局域網的出現大大提升了信息交換的速度和質量,為很多的用戶提供了便捷和子偶的網絡服務,但同時也由于無線網絡本身的特點造成了安全上的隱患。具體的說來,就是無線介質信號由于其傳播的開放性設計,使得其在傳輸的過程中很難對傳輸介質實施有效的保護從而造成傳輸信號有可能被他人截獲,被不法之徒利用其漏洞來攻擊網絡。因此,如何在組網和網絡設計的時候為無線網絡信號和無線局域網實施有效的安全保護機制就成為了當前無線網絡面臨的重大課題。
一、無線網絡的安全隱患分析
無線局域網的基本原理就是在企業(yè)或者組織內部通過無線通訊技術來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網區(qū)別于有線局域網的特點就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實施信息傳輸和聯系。對比傳統(tǒng)的有線局域網,無線網絡的構建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸的效率,但同時,也正是由于無線局域網的特性,使得其很難采取和有線局域網一樣的網絡安全機制來保護信息傳輸的安全,換句話無線網絡的安全保護措施難度原因大于有線網絡。
IT技術人員在規(guī)劃和建設無線網絡中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網絡遭到入侵或攻擊?在有線網絡階段,技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內部被攻破”。由于無線網絡具有接入方便的特點,使得我們原先耗資部署的有線網絡防范設備輕易地就被繞過,成為形同虛設的“馬奇諾防線”。
針對無線網絡的主要安全威脅有如下一些:
1.數據竊聽。竊聽網絡傳輸可導致機密敏感數據泄漏、未加保護的用戶憑據曝光,引發(fā)身份盜用。它還允許有經驗的入侵者手機有關用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數據。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。
2.截取和篡改傳輸數據。如果攻擊者能夠連接到內部網絡,則他可以使用惡意計算機通過偽造網關等途徑來截獲甚至修改兩個合法方之劍正常傳輸的網絡數據。
綜合上述針對無線網絡的各種安全威脅,我們不難發(fā)現,把好“接入關”是我們保障企業(yè)無線網絡安全性的最直接的舉措。目前的無線網絡安全措施基本都是在接入關對入侵者設防,常見的安全措施有以下各種。
1.MAC地址過濾
MAC地址過濾在有線網絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的物理地址(MAC地址)下發(fā)到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。
2.隱藏SSID
SSID(Service Set Identifier,服務標識符)是用來區(qū)分不同的網絡,其作用類似于有線網絡中的VLAN,計算機接入某一個SSID的網絡后就不能直接與另一個SSID的網絡進行通信了,SSID經常被用來作為不同網絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡,例如WINDOWSXP自帶掃描功能,可以將能聯系到的所有無線網絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實際存在的無線網絡,即便他知道有一個無線網絡存在,但猜不出SSID全名也是無法接入到這個網絡中去的。
三、無線網絡安全措施的選擇
應用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網絡的應用中,我們不能不考慮應用的方便性。因此,我們在對無線網路安全措施的選擇中應該均衡考慮方便性和安全性。
在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網絡中使用無線網絡入侵檢測設備進行主動防御,也是進一步加強無線網絡安全性的有效手段。
最后,任何的網絡安全技術都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網絡安全意識,才能真正實現無線網絡的安全。否則,黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2分鐘內使網絡管理人員配置的各種安全措施變得形同虛設。
現在,不少企業(yè)和組織都已經實現了整個的無線覆蓋。但在建設無線網絡的同時,因為對無線網絡的安全不夠重視,對局域網無線網絡的安全考慮不及時,也造成了一定的影響和破壞。做好無線網絡的安全管理工作,并完成全校無線網絡的統(tǒng)一身份驗證,是當前組建無線網必須要考慮的事情。只有這樣才能做到無線網絡與現有有線網絡的無縫對接,確保無線網絡的高安全性,提高企業(yè)的信息化的水平。
參考文獻:
[1]譚潤芳.無線網絡安全性探討[J].信息科技,2008,37(6):24-26.
【關鍵詞】操作系統(tǒng) 電子商務 密碼安全 病毒 防火墻
一、網絡安全技術體現的具體方面
(一)什么是網絡安全
可能有人會對什么是網絡安全不以為然,認為所謂的網絡安全,就是在使用網絡中保證安全。這樣等于沒有解釋什么是網絡安全,而且只有弄清楚怎樣的環(huán)境才算是安全的網絡,才能有的放矢,使用網絡技術去防范網絡犯罪,從而真正實現的網絡安全。網絡安全包含多個層面含義,是要讓用戶在網絡環(huán)境中能夠正常的傳輸數據信息,保證傳輸過程正常運行,不被認為或者自然的因素所影響。網絡安全既要保證網絡中軟件的安全更要保證網絡中硬件設備正常工作不被損壞。這是理論上的網絡安全環(huán)境,不可能完全避免認為和自然環(huán)境因素的影響,但是只要我們正確的認識網絡安全的重要,合理使用網絡安全技術,就能使得你的生活和工作的網絡環(huán)境避免收到侵害。
(二)網絡安全常見的體現:
網絡安全技術的應用越來越趨于完善,各個方面人們都已經使用或者正在嘗試使用網絡安全技術,最大程度的降低網絡犯罪所帶來的威脅。這里主要介紹幾個常見的網絡安全技術。首先,對于信息的傳送,我們使用了加密技術,這屬于計算機中密碼學的范疇。包括聊天信息的加密解密,個人帳戶隱私的加密,密碼的多重加密等等,不一而足。主要應用的領域主要在電子商務的財務往來和信息溝通軟件的保密方面(如騰訊QQ)。其次,主要是體現在殺毒軟件和防火墻兩方面。這兩種網絡安全技術針對性比較強,主要是針對來自網絡的病毒攻擊和一些非法的侵入行為。其實從原理角度講,殺毒軟件和防火墻并不相同,差異很大。殺毒軟件主要是針對進入到網絡的終端(計算機)中的病毒,進行查找與殺滅。讓病毒不能夠正常的復制、觸發(fā),不能實現危害計算機危害網絡的目的。而防火墻則如同守衛(wèi)大門的衛(wèi)士,利用柵欄阻攔不受信賴的訪客,讓危險信息無法傳送到內網。但兩者也有相同的目的,就是共同組織危險者的破壞行為。再進一步說,網站是人們關注信息的平臺和媒介。哪么建立網站的服務器的安全性保障要跟高。這就要從操作系統(tǒng)抓起,合理選用自身性能更加安全的操作系統(tǒng),進行操作系統(tǒng)安全設置,從根本上保證安全性進一步提高。
二、網絡安全技術的具體應用
(一)密碼學:
在電子商務和信息傳送中常常使用,利用的是密碼學的知識。但要實現具體應用就要以技術形式體現?,F在常用的加密技術有MD5技術、數字簽名技術、RSA、DESA算法相關技術等。這些是以使用較多為介紹,不是以具體標準進行分類的。比如在實現不可逆的軟件加密或者計算機應用工具機密,MD5技術就有較多的使用。在電子商務中數字簽名技術更方便的保障了買方和賣方的共同利益,防止資金支付抵賴。
(二)防火墻應用:
防火墻已經介紹了,如同門衛(wèi)一般,保障用戶和用戶間內網的安全。但從原理來說,其實防火墻歷經了幾個不同的階段,從早期利用數據包格式進行安全判定,到進一步電路級網關安全判定,再到應用層使用的安全判定。網絡安全性能一路攀升。但是不可否認的是,安全性能的攀升也付出了大量計算大量判定與時間的代價。從這些原理出發(fā),廠商也制作了不同原理的防火墻。成熟產品也日益增多,如果在公共場合使用的網絡終端,都最好配置一款防火墻產品。現在比較流行的有天網防火墻、安氏領信,聯想網御,天融信等。當然還有很多國外防火墻產品性能也很優(yōu)越。這里不再贅述。
(三)操作系統(tǒng)安全應用
WINDOWS已經是人們使用最多的操作系統(tǒng),但是有的操作系統(tǒng)只適合個人用戶,對于服務器級的安全是不夠的。當然也不乏幾款操作系統(tǒng)是針對安全性設計的。因為微軟的操作系統(tǒng)人們研究已經較多,這里討論下LIUNX平臺下安卓系統(tǒng)的安全。Android系統(tǒng)作一個安全開源的移動平臺,在系統(tǒng)內核層次與應用開發(fā)方面都提供了強大的安全措施。在系統(tǒng)內核層次,應用沙盒可以實現應用之間的隔離,防止一個應用的數據和代碼被其它沒有授權的應用存??;隨著系統(tǒng)版本的升級,內存管理功能隨之豐富;加密的文件系統(tǒng)可以保護丟失設備上的數據不被泄漏。在應用開發(fā)方面同,采用加密、授權和安全IPC等措施構建的應用程序框架具有強大的安全特性;授權模式可以限制應用對系統(tǒng)功能和用戶數據的存取;應用指定的權限級別可以控制其它應用對自己的訪問;數字簽名保證了程序開發(fā)者與應用之間的信任關系。Android在安全性設計方面還考慮了盡量減少應用開發(fā)人員的負擔問題。針對安全性要求高的開發(fā)者通過平臺提供的靈活的安全控制機制可以輕松開發(fā)應用程序。針對安全性要求不高的開發(fā)者,系統(tǒng)默認的安全措施也能夠對應用程序提供較好的保護。對于可能存在的惡意攻擊,系統(tǒng)提供了防范機制,一方面降低攻擊成功的概率,另一方面盡量限制攻擊后系統(tǒng)所受損失。
參考文獻:
[1]高學軍,凌捷.網絡安全現狀與趨勢探討[J].汕頭大學學報(自然科學版).2004(04).
[2]禹春東,薛質.淺析入侵檢測系統(tǒng)[J].中國科技信息.2005(24).
[3]葉宇光.淺談網絡安全[J].電腦知識與技術.2004(32).
[4]劉明,韓江.網絡安全現狀及其防范技術探討[J].科技信息.2006(S2).
關鍵詞:計算機網絡;安全
隨著計算機科學技術和網絡技術的飛速發(fā)展,網絡體系日漸強大,對社會發(fā)展起到了重要的作用。由于計算機網絡具有互通性、獨立性和廣泛性的特點,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的潛在威脅,黑客攻擊、病毒擴散、網絡犯罪的數量迅速增長,網絡的安全問題日趨嚴峻。因此,如何提高網絡安全,確保網絡安全有效運行,已成為目前迫切需要解決的問題。
一、計算機網絡安全的重要性分析
網絡安全是一門涉及計算機科學、網絡技術、通訊技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網絡服務不中斷。在信息化飛速發(fā)展的今天,計算機網絡得到了廣泛應用,但計算機用戶上網的數據也遭到了不同程度的攻擊和破壞。在我國,每年針對銀行、證券等金融領域的計算機系統(tǒng)的安全題目所造成的經濟損失金額已高達數億元,針對其他行業(yè)的網絡安全威脅也時有發(fā)生??梢?,無論是有意的攻擊,還是無意的誤操縱,其產生的安全問題都將會給計算機用戶帶來不可估量的損失。所以計算機網絡必須有足夠強的安全措施,以確保網絡信息的保密性,完整性和可用性。
二、網絡安全常見威脅
1.計算機病毒
計算機病毒指在計算機程序中插入的破壞計算機功能和數據、影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經常表現為:藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等,并且在短時間內傳播從而導致大量的計算機系統(tǒng)癱瘓,對企業(yè)或者個人造成重大的經濟損失。
2.非授權訪問
指利用編寫和調試計算機程序侵入到他方內部網或專用網,獲得非法或未授權的網絡或文件訪問的行為。如有意避開系統(tǒng)訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統(tǒng)進行違法操作、合法用戶以未授權方式進行操作等。
3.木馬程序和后門
木馬程序和后門是一種可以通過遠程控制別人計算機的程序,具有隱蔽性和非授權性的特點。企業(yè)的某臺計算機被安裝了木馬程序或后門后,該程序可能會竊取用戶信息,包括用戶輸入的各種密碼,并將這些信息發(fā)送出去,或者使得黑客可以通過網絡遠程操控這臺計算機,竊取計算機中的用戶信息和文件,更為嚴重的是通過該臺計算機操控整個企業(yè)的網絡系統(tǒng),使整個網絡系統(tǒng)都暴露在黑客間諜的眼前。
三、加強計算機網絡安全的防范對策
1.配置防火墻網絡防火墻技術的作為內部網絡與外部網絡之間的第一道安全屏障,是最先受人們重視的網絡安全技術。防火墻產品最難評估的是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部進侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判定,即使安裝好了防火墻,假如沒有實際的外部進侵,也無從得知產品性能的優(yōu)劣。但在實際應用中檢測安全產品的性能是極為危險的,所以用戶在選擇防火墻產品時,應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的
產品。
2.網絡病毒的防范在網絡環(huán)境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,因此,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,定期或不定期地自動升級,最大程度上使網絡免受病毒的侵襲。對于已感染病毒的計算機采取更換病毒防護軟件,斷網等技術措施,及時安裝針對性的殺毒軟件清理病毒,以保證系統(tǒng)的正常運行。
3.系統(tǒng)漏洞修補Windows操縱系統(tǒng)自以后,基本每月微軟都會安全更新和重要更新的補丁,已經的補丁修補了很多高風險的漏洞,一臺未及時更新補丁的計算機在一定程度上可以說是基本不設防的,因此建立補丁治理系統(tǒng)并分發(fā)補丁是非常重要的安全措施,可以對系統(tǒng)軟件進行修補從而最大限度減少漏洞,降低了病毒利用漏洞的可能,減少安全隱患。
4.使用進侵檢測系統(tǒng)進侵檢測技術是網絡安全研究的一個熱門,是一種積極主動的安全防護技術,提供了對內部進侵、外部進侵和誤操縱的實時保護。進侵檢測系統(tǒng)(Instusion Detection System,簡稱IDS)是進行進侵檢測的軟件與硬件的組合,其主要功能是檢測,除此之外還有檢測部分阻止不了的進侵;檢測進侵的前兆,從而加以處理,如阻止、封閉等;進侵事件的回檔,從而提供法律依據;網絡遭受威脅程度的評估和進侵事件的恢復等功能。采用進侵檢測系統(tǒng),能夠在網絡系統(tǒng)受到危害之前攔截相應進侵,對主機和網絡進行監(jiān)測和預警,進一步進步網絡防御外來攻擊的能力。
5.身份認證是提高網絡安全的主要措施之一。其主要目的是證實被認證對象是否屬實,常被用于通信雙方相互確認身份,以保證通信的安全。常用的網絡身份認證技術有: 靜態(tài)密碼、USB Key 和動態(tài)口令、智能卡牌等。其中,最常見的使用是用戶名加靜態(tài)密碼的方式。而在本方案中主要采用USB Key的方式?;赨SB Key 的身份認證方式采用軟硬件相結合,很好地解決了安全性與易用性之間的矛盾,利用USB Key 內置的密碼算法實現對用戶身份的認證。USB Key 身份認證系統(tǒng)主要有2 種應用模式: 一是基于沖擊、響應的認證模式; 二是基于PKI 體系的認證模式。
總之,計算機技術和網絡技術的飛速發(fā)展和廣泛應用,開創(chuàng)了計算機應用的新局面,對社會發(fā)展起到了重要的作用。與此同時,其互通性和廣泛性的特點也導致了網絡環(huán)境下的計算機系統(tǒng)存在諸多安全問題,并且愈演愈烈。為了解決這些安全問題,我們必須加強計算機的安全防護,提高網絡安全,以保障網絡安全有效運行,更好的為社會和人民服務。
參考文獻:
[1] 殷偉.計算機安全與病毒防治[M].合肥:安徽科學技術出版社。2004.
[關鍵詞]計算機;網絡;安全;必要性
中圖分類號:TN943.6 文獻標識碼:A 文章編號:1009-914X(2016)27-0201-01
前言:由于計算機網絡具有聯絡形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征,致使網絡易受黑客、惡意軟件等攻擊,所以網上信息的安全和保密是一個至關重要的問題。故此,網絡的安全措施應是能全方位的排除各種不同的威脅,這樣才能確保網絡信息的保密性、安全性。
一、計算機網絡安全
計算機網絡安全是一個涉及多專業(yè)的綜合性的學術研究問題,涵蓋物理、系統(tǒng)、信息安全等方面,涉及到計算機網絡、計算機科學、通信與加密等多門學科。目前計算機網絡安全的需求主要包括:
1、安全制度可用性
由計算機病毒或者其他人為原因所可能造成的信息被濫用、拒絕服務等情況。
2、完整性與非否認性
在網絡的虛擬環(huán)境中所確認信息的真實性,以及真實的發(fā)送者與接受者、確保在信息傳輸的過程中未被偽造、篡改等。
3、保密性與可控性
在網絡上與接受信息,往往會涉及到隱私問題。同時,所有的網絡應用環(huán)境也保護個人的隱私。
二、計算機網絡安全管理的必要性
從計算機網絡安全管理的含義我們不難得出,如果網絡安全中有任何一個安全部分受到威脅或者是發(fā)生故障,都會給正在使用計算機系統(tǒng)的人員帶來麻煩或者造成一系列的損失,因此,做好計算機網絡安全管理工作,便是在為眾多計算機使用者提供一個最基本的安全環(huán)境。
三、常用網絡安全技術
1、防火墻技術
防火墻技術是最常見的訪問控制技術,能夠有效防護內部網絡免受外部網絡的攻擊,輕松實現隔絕非法信息資源的訪問,實現對特殊站點的訪問控制,實現對易受攻擊對象的保護,實現對網絡訪問的審計。一般說來,防火墻技術主要有包過濾技術和技術兩種,這兩種技術各有優(yōu)劣,靈活使用,防護效果很好。
2、網絡安全掃描技術
使用網絡安全掃描技術,系統(tǒng)管理員能夠準確掌握計算機網絡系統(tǒng)中的安全漏洞,及時采取措施,有效規(guī)避系統(tǒng)安全風險。一般來說,Web站點安全漏洞、防火墻系統(tǒng)安全漏洞、局域網網絡安全漏洞以及主機操作系統(tǒng)安全漏洞都可以通過安全掃描系統(tǒng)進行檢查??茖W合理使用網絡安全掃描技術,我們能夠在第一時間內察覺網絡不安全因素,迅速處理。網絡安全掃描技術處理拒絕服務攻擊、緩沖區(qū)溢出攻擊以及竊聽程序十分有效,還能夠在檢測防火墻的配置是否正確。
3、入侵檢測技術
入侵檢測技術又被稱為網絡實時監(jiān)控技術,該技術對數據流進行實時監(jiān)控,并將所檢測數據流和相關特征數據流進行比對,甄別數據流類型,結合計算機用戶的設定,判定數據流屬性,及時反應,斷開網絡或者對防火墻進行相關設置。
四、計算機網絡安全的防范技術措施
1、操作系統(tǒng)與網絡設計
計算機用戶使用正版軟件,及時對系統(tǒng)漏洞打補丁,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在計算機網絡中,建立起統(tǒng)一的身份認證,供各種應用系統(tǒng)使用,實現用戶統(tǒng)一管理、認證和授權。網絡管理員和操作員根據本人的權限,輸入不同的口令,對應用程序數據進行合法操作,防止用戶越權訪問數據和使用網絡資源。
2、數據加密
數據加密技術是保障信息安全的最基本最核心的技術措施和理論基礎,由加密算法來具體實施。由于數據在傳輸過程中有可能遭到浸犯者的竊聽而失去保密信息, 如當一個企業(yè)在傳送涉及到自己的商業(yè)秘密的數據時,一定要用密文傳送,也就是利用技術手段把重要的數據變?yōu)閬y碼傳送,到達目的地后再用相同或不同的手段還原。以數據加密和用戶確認為基礎的開放型安全保障是利用現代化的數據加密技術來保護網絡系統(tǒng)中包括用戶數據在內的所有數據流,只有指定的用戶和網絡設備才能解譯加密數據。這樣,可以較小的代價獲得較大的安全保護。
3、設置防火墻
防火墻技術是指一個由軟件內部或和硬件設備組合而成,用在專用網(如企業(yè)網、校園網) 和Internet 之間設置的安全系統(tǒng)。防火墻主要有安全操作系統(tǒng)、過濾器、域名服務、網關和E-mail處理5部分組成。它的作用是限制外界用戶內部網絡訪問及管理內部用戶訪問外界網絡的權限,是設置在被保護網絡和外部網絡之間的一道屏障。根據防火墻的結構,它可以干預不同網絡的任何消息傳送。防火墻可以決定一個數據組成一種連接是否通過,這種結構能夠保護網絡的安全性。設置防火墻系統(tǒng)后,由于防火墻系統(tǒng)具有以上作用,內部網絡的安全才有了可靠的保證。比如我校校園網在2016年10月24日陸續(xù)發(fā)現網站存在XSS高危安全風險漏洞,經過設置華為主防火墻和網康WEB應用防火墻策略以后,問題得到了徹底的解決,保證了我校校園網的安全。
4、多層安全級別防護病毒系統(tǒng)
運用多層安全級別防病毒系統(tǒng),全面防護病毒病。防范病毒的方式從功能上可以分為網絡防病毒與單機防護病毒軟件。單機防病毒軟件一般是對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測以實現清除病毒。網絡防病毒軟件則主要傾向于網絡防病毒,當病毒通過網絡或者向網絡向其它資源迅速發(fā)展、傳染,網絡防范病毒軟件則會及時檢測確認到并加以消除。
5、網絡主機的操作系統(tǒng)安全和物理安全措施
防火墻作為網絡的第一道防線并不能完全保護內部網絡,必須結合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網絡主機的操作系統(tǒng)安全和物理安全措拖。按照級別從低到高,分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內核安全、系統(tǒng)服務安全、應用服務安全和文件系統(tǒng)安全:同時主機安全檢查和漏洞修補以及系統(tǒng)備份安全作為輔助安全措施。這些構成整個網絡系統(tǒng)的第二道安全防線,主要防范部分突破防火墻以及從內部發(fā)起的攻擊。系統(tǒng)備份是網絡系統(tǒng)的最后防線,用來遭受攻擊之后進行系統(tǒng)恢復。在防火墻和主機安全措施之后,是全局性的由系統(tǒng)安全審計、入侵檢測和應急處理機構成的整體安全檢查和反應措施。它從網絡系統(tǒng)中的防火墻、網絡主機甚至直接從網絡鏈路層上提取網絡狀態(tài)信息,作為輸人提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據一定的規(guī)則判斷是否有入侵事件發(fā)生,如果有入侵發(fā)生,則啟動應急處理措施,并產生警告信息。而且,系統(tǒng)的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統(tǒng)安全策略進行改進的信息來源。
五、結語
綜上,為保證計算機網絡系統(tǒng)的安全,應混合使用多種安全防護策略。使硬件和軟件相結合,使技術和管理相互補充,建立全方位的網絡安全管理體制,才能保證計算機網絡系統(tǒng)安全、穩(wěn)定、高效地運行。
參考文獻:
1 無線網絡現狀
從傳統(tǒng)有線傳輸介質的網絡數據通信到無線通信線路構成的網絡,不僅使校園網保持穩(wěn)定、高速的網絡環(huán)境,還提供了任何時刻、任何地點都能享受到網絡的便捷。無線網絡規(guī)避了網絡線路長度的局限性,使得無線網絡變得更加多元化,提高移動辦公能力,但是無線網絡的傳播介質一般采用紅外線、射頻信號等,導致數據信號易產生干擾,安全性無法保障,因此隨著無線網絡發(fā)展,需要綜合眾多環(huán)境因素提高對無線網絡性能及安全的研究。
1.1 高校校園網絡的特征
我國各大高校隨著無線網絡的普及,均建設了各自的無線網絡體系,已然成為龐大校園網絡的一大重要模塊,但是建設數字化校園過程中諸多問題的出現,一定程度上阻礙了校園網絡的發(fā)展,例如:(1)傳統(tǒng)有線網絡故障排除困難,隨著校園格局的不斷比那話,新建拓展網絡電纜的安裝與維護較復雜;(2)網絡設計費用較高,在不斷變更網絡設計過程中使得網絡體系構建的成本增加。但是,值得一提的是,無線網絡的覆蓋主要依托原有的有線網絡體系,是對有線網絡的拓展與延伸。因此,在目前校園網絡的構建中,主要是無線網絡與有線網絡的充分結合、無縫連接。
1.2 無線網絡協議與安全措施
網絡協議,作為互聯網數據傳輸基礎、實用的手段。無線網絡的數據傳輸協議一般采用以下:(1)802.11b協議。便攜設備所采用的網絡連接的標準方法之一,其運作模式分為點對點模式與基本模式,其中點對點模式主要通過無線網卡在兩臺不同的計算機之間進行網絡連接,實現數據傳輸。但是在接入點一定時,允許接入的計算機數量的增加會使得網絡數據存儲速率降低,工作網絡效率低下;(2)802.11g協議。根據網絡物理層定義新標準的802.11工作組得到的802.11g協議,在添加調制技術提高數據傳輸效率。在保證兼容性方面能與原有的無線網絡相互連通,較常用調制技術:DSSS技術、PBCC技術、OFDM技術;(3)WEP保密協議。為保護計算機設備之間進行傳輸數據的加密方式,相對于802.11i協議,能防止部分基本的非法訪問。
2 校園無線網絡安全問題
校園屬于知識信息量巨大的平臺,其信息流動也是龐大的,校園的特殊性質就鑄就了校園內師生對網絡的依賴,隨著互聯網技術發(fā)展,數據共享的優(yōu)勢逐漸顯露出來,在校園內每天都要接收新鮮事物,隨著用戶需求的增大,無線網絡的開放性也隨之增大,安全隱患不可避免。
校園無線網絡安全隱患:
(1)用戶非法訪問。無線網絡的開放性是其優(yōu)勢之一,同時也是其最容易收到網絡非法攻擊的一點。開放式的訪問導致網絡傳輸中的信息容易被第三方獲取,攔截、篡改,三方用戶訪問網絡資源同時也對無線信道資源進行了非法占用,損害了其他用戶正常訪問的權益,降低網絡服務質量;(2)WEP加密協議破解。WEP作為叫基本的保密協議,雖然能夠阻擋低程度的非法訪問,但是在網絡技術發(fā)展的同時,較低級的保密協議無法完全保障用戶數據,WEP密鑰的回復較為簡單,進行少量數據收集、分析,就能夠解密WEP密鑰;(3)地址協議(ARP)攻擊。第三方非法用戶操作,通過網絡監(jiān)聽截獲并篡改信息,利用信息物理MAC地址,對計算機發(fā)送錯誤的偽ARP答文來欺騙主機,導致正確的信息無法到達目標主機出,形成ARP欺騙;(4)AP服務攻擊。AP端攻擊是對網絡進行巨大損害的攻擊方式,AP服務為數據發(fā)送提供資源,非法用戶則通過不停對AP服務資源進行轉發(fā),反復占用,消耗資源,使得AP無法對其他端進行服務發(fā)送;(5)網絡體系的攻擊。在高程度的非法攻擊面前,不僅僅針對用戶端口服務信息的截取與篡改,高級攻擊者通過各種安全漏洞,打破整個校園無線網絡體系與有線網絡體系的有機結合,阻礙校園網絡與互聯網的信息交互,甚至造成更嚴重的后果。
3 校園無線網絡安全防范措施
3.1 網絡安全防范措施
針對上述常見的無線網絡的攻擊形式,保障網絡環(huán)境安全性,通過安全漏洞的特點分析提出以下優(yōu)化方案措施:首先針對WEP技術漏洞,人們研究出WPA(無線網絡安全接入)加密,兼容WEP包含的802.11協議,對網絡用戶進行單獨授權并允許訪問。為兼容性較差的WPA2雖然能提供更高級別的防御,但是在第一代接入點上無法使用,屬于后發(fā)展時期的主流,WPA2的AES算法通過計數器密碼鏈協議,使得密鑰無法被完整收集,破解難度成倍增長;其次,針對物理MAC地址進行過濾。為了防止MAC地址截獲產生的偽答文,對MAC地址進行過濾,在無線路由器中都具有MAC地址過濾的功能,將計算機用戶端設備MAC地址加入白名單,阻攔白名單以外所有的MAC地址,雖然方法比較單一,但是能夠有效阻止APR欺騙的發(fā)生,但是統(tǒng)計MAC地址工作量巨大,切MAC地址是可變的,當非法用戶獲得合法MAC地址同樣可以進行更改,MAC地址過濾方式還需要繼續(xù)完善;最后,通過隱藏SSID來保護無線網絡安全。通常無線網劃分為子網,但是路由器端的子網ID相同,容易被攻擊使用原來的ID字符串進入子網,一般建議更改SSID,或者隱藏網絡列表。
另外,在無線網絡中增加檢測系統(tǒng),對網絡數據進行實時監(jiān)測。入侵檢測系統(tǒng)(IDS)就是通過檢測無線信號來判別欺詐信號入侵。通過對數據包充分分析,檢查網絡接入點以及用戶定義標準。
3.2 網絡安全制度措施
在網絡安全的防范中,用戶自身應該加強對網絡安全的維護。不少用戶使用設備進行無線網絡設置時無法全面考慮網絡環(huán)境,采用默認設置進行操作,使得設備安全等級較低,及時網絡自身防范機制嚴格,用戶端的特殊性,使得系統(tǒng)無法判別用戶端口的合法性。安裝較常用的網絡防火墻軟件,提高客戶端的安全性;建立相應的網絡安全應對機制,一旦發(fā)生較嚴重的網絡安全問題,正確處理方式時將損失最小化的最好方法,這需要網絡管理員自身具有過硬的素質,另外,普及網絡安全知識,進行網絡安全相關講座,是校園環(huán)境下的宣傳優(yōu)勢,提高師生對網絡安全的認識;定期維護網絡服務器,網絡管理員對重要資料的檢查以備份,清理不需要的文件空出資源空間,保證服務器的穩(wěn)定運行。
近年來,隨著網路攻擊技術的泛濫,不少企業(yè)的信息系統(tǒng)會經常遭到黑客的攻擊和信息的篡改,針對網路信息系統(tǒng)攻擊的各種犯罪活動已經嚴重危害著社會的發(fā)展和企業(yè)的安全,給全球帶來了巨大的經濟損失??傊?,當前信息系統(tǒng)所面臨的各種各樣的威脅問題,已經成為普遍的國際性問題。
1信息系統(tǒng)安全概述
1.1信息系統(tǒng)安全的定義
所謂的信息系統(tǒng)安全就是依靠法律法規(guī)道德紀律、管理細則和保護措施、物理實體安全環(huán)境、硬件系統(tǒng)安全措施、通信網絡安全措施、軟件系統(tǒng)安全措施等實現信息系統(tǒng)的數據信息安全。
1.2信息系統(tǒng)安全的內容
信息系統(tǒng)的安全包括物理安全、網絡安全、操作系統(tǒng)安全、應用軟件安全、數據安全和管理安全,以下將分別給予詳細的說明。
第一,物理安全,主要包括環(huán)境安全、設備安全、媒體安全等;
第二,網絡安全,主要包括內外網隔離及訪問控制系統(tǒng)――防火墻、物理隔離或邏輯隔離;內部網不同網絡安全域的隔離及訪問控制;網絡安全測試與審計;網絡防病毒和網絡備份;
第三,網絡反病毒技術,主要包括預防病毒、檢測病毒和消毒;
第四,其他方面的安全,如操作系統(tǒng)安全、應用軟件安全以及數據庫的安全等。
2 信息系統(tǒng)安全威脅因素剖析
2.1信息系統(tǒng)軟硬件的內在缺陷
這些缺陷不僅直接造成系統(tǒng)停擺,還會為一些人為的惡意攻擊提供機會。最典型的例子就是微軟的操作系統(tǒng)。相當比例的惡意攻擊就是利用微軟的操作系統(tǒng)缺陷設計和展開的,一些病毒、木馬也是盯住其破綻興風作浪。由此造成的損失實難估量。應用軟件的缺陷也可能造成計算機信息系統(tǒng)的故障,降低系統(tǒng)安全性能。
2.2惡意攻擊
攻擊的種類有多種,有的是對硬件設施的干擾或破壞,有的是對數據的攻擊,有的是對應用的攻擊。前者,有可能導致計算機信息系統(tǒng)的硬件一過性或永久性故障或損壞。對數據的攻擊可破壞數據的有效性和完整性,也可能導致敏感數據的泄漏、濫用。對應用的攻擊會導致系統(tǒng)運行效率的下降,嚴重者會會導致應用異常甚至中斷。
2.3系統(tǒng)使用不當
如誤操作,關鍵數據采集質量存在缺陷,系統(tǒng)管理員安全配置不當,用戶安全意識不強,用戶口令選擇不慎甚至多個角色共用一個用戶口令,等等。因為使用不當導致系統(tǒng)安全性能下降甚至系統(tǒng)異常、停車的事件也有報道。
2.4自然災害
對計算機信息系統(tǒng)安全構成嚴重威脅的災害主要有雷電、鼠害、火災、水災、地震等各種自然災害。此外,停電、盜竊、違章施工也對計算機信息系統(tǒng)安全構成現實威脅。
3信息系統(tǒng)所面臨的威脅以及遭受威脅的主要方式
在現有的信息系統(tǒng)中,隨著相關技術的不斷發(fā)展,威脅的種類是層出不窮。當前信息系統(tǒng)所面臨的威脅主要有物理威脅、漏洞威脅、病毒威脅、入侵威脅和復合性威脅。
3.1物理威脅
物理威脅最為簡單,也最容易防范,更容易被忽略,許多信息機構服務被中止僅僅因停電、斷網和硬件損毀。例如,某處施工時無意破壞了通信電纜或是供電線路都會導致大規(guī)模的損失,所以保障企業(yè)信息系統(tǒng)的物理安全至關重要。
3.2漏洞威脅
僅次于物理威脅的是漏洞威脅,幾乎所有的安全事件都源于漏洞。漏洞主要分系統(tǒng)漏洞和軟件漏洞,網絡結構漏洞。系統(tǒng)漏洞相對常見,目前企業(yè)中常用的操作系統(tǒng)大致分為兩種,Windows和Unix/Linux?;贜T內核的Windows NT 4、Windows 2000、Windows Server 2003都是常見的操作系統(tǒng),只要有效利用組策略構建適合企業(yè)現狀的安全模型。必須重視Windows Update,保證系統(tǒng)最新,因為漏出的安全缺陷官方會迅速通過Windows Update布置到計算機上。另外對于Unix/Linux系統(tǒng)的企業(yè)安全漏洞也不容忽略,眾所周知,Linux為開源軟件,無數優(yōu)秀的特性被加入進來。但這個特性也相當致命,一個完全透明的系統(tǒng)對于黑客來說具有相當大的優(yōu)勢,作為Linux用戶,采用安全防御措施相當重要。同Windows一樣,最基本的措施是及時安裝安全補丁,留意近期的安全通告,同時根據業(yè)務需要,關閉不必要的系統(tǒng)服務。
3.3病毒威脅
操作系統(tǒng)的正確使用和配置很重要,操作系統(tǒng)安全是企業(yè)信息系統(tǒng)安全的基礎,對企業(yè)信息系統(tǒng)殺傷力比較大的是病毒威脅,作網絡通信服務病毒發(fā)生的概率還是比較高的。能夠引起計算機的故障,破壞計算機數據的程序統(tǒng)稱為計算機病毒,早期對病毒的定義,是一個比較狹隘的定義,現在的病毒特征更廣泛,間諜軟件、木馬、流氓軟件、廣告軟件、行為記錄軟件、惡意共享軟件等等,它們的危害遠遠超出了傳統(tǒng)定義中“占用系統(tǒng)資源”、“破壞數據”、“阻塞網絡”等經典危害。這些新型病毒可以導致重要機密泄露,甚至現有的安全機制全部崩潰。
3.4入侵威脅
大部分病毒攻擊已經被編寫者確定,只是機械性的執(zhí)行,但入侵則是人為攻擊策略靈活多變?,F在的黑客已經從業(yè)余發(fā)展到越來越專業(yè)化。動機已發(fā)生本質的變化,早期黑客僅為炫耀一下自己高超的技術或發(fā)泄一下情緒而已,現在的黑客憑借技術大發(fā)不義之財。網絡產業(yè)逐步走向規(guī)范化,相應的立法也日趨完善。但黑客還是廣泛存在的。一般來講,只要不給黑客創(chuàng)造成熟條件,一般的入侵或攻擊是難以實現的。
3.5復合性威脅
復合性威脅并非出現在規(guī)范的廣義里的,但現實應用中,任何威脅都以復合形式出現。試想,一次完美的入侵,并非一個單一的條件就可發(fā)生的,需要其他條件的配合。因此,多數的威脅屬于復合性威脅。
4結論
在當今信息化程度不斷提高的大背景下,信息系統(tǒng)所面臨的各種威脅也隨之增多,全面分析信息系統(tǒng)所面臨的威脅以及遭受威脅的主要方式,采取有效預防措施對提高信息系統(tǒng)的安全性具有非常重要的意義。
參考文獻
[l]劉利民.信息系統(tǒng)安全威脅及防范對策分析[J].計算機應用,2010(6).
關鍵詞:無線網絡;網絡安全;網絡風險
隨著移動設備飛速發(fā)展以及筆記本電腦的普及,無線網絡也得到了極其廣泛的應用。然而關于無線網絡的安全問題日益明顯,像是網絡信息遭遇非法竊聽、無線網絡遭受釣魚攻擊、無線網絡被盜用等等,這樣一來用戶在使用無線網絡時就將直接面對這些安全隱患,因此針對現有的無線網絡安全問題實施一定的應對策略是十分有必要的,否則這些問題將嚴重影響無線網絡的發(fā)展。
一、無線網絡存在的安全問題
就目前無線網絡日常應用中所遇到的網絡安全問題而言,它們可以細分為很多種,并且這些問題給正常的無線網絡的正常運行所造成的影響也各有不同,但是這些問題卻在無形中威脅到了無線網絡正常的運行。以無線網絡安全問題的表現來進行分類,大致可以分為以下4類:
1.安全問題――網絡遭遇盜用
這個無線網絡遭遇盜用是人們日常生活中最為常見的一種無線網絡安全問題,也常被人稱作“蹭網”,其實它所指的一般就是無線網絡遭遇非用戶授權的計算機或移動設備接入。這樣的“蹭網”行為對于正常用戶使用無線網絡帶的危害非常大,首先是這種行為能直接影響正常用戶在進行網絡訪問時的網絡運行速度;其次是對于一些使用無線上網卡的用戶來說,這樣的“蹭網”行為將直接造成正常用戶的經濟損失,因為很多無線上網卡都是按網絡流量來計費的;另外是一旦用戶的無線網絡遭遇非法盜用,那將加大其被非法攻擊以及入侵的可能性;最后就是無線網絡遭遇盜用后,如果這個被黑客利用并進行一系列的黑客行為,那樣最終所造成的安全事件,正常用戶也極有可能遭受牽連。
2.安全問題――通信遭遇竊聽
一般來說網絡通信遭遇竊聽所指的是用戶在正常使用無疑網絡時所進行的一系列網絡通信信息被同局域網里的其他設備所捕獲。絕大多數的用戶在進行網絡通信時,其通信內容在網絡上進行相互傳輸時都是采用的非加密方式,因此不法分子如果想要竊取正常用戶的通信信息,只需要以監(jiān)聽、觀察、分析用戶的通信信息數據以及他們的數據流模式就能達到對其網絡通信信息的竊取目的。比方說最為常見的一種竊取模式,不法分子通過一些專門用來監(jiān)視的軟件來實現盜取正常用戶的網絡使用信息以及其通信信息的上目的,再將這些盜取的信息在軟件中顯示出來,最終以非法獲取的用戶網絡通信信息來謀取不正當利益。
3.安全問題――遭遇釣魚攻擊
通常所說的無疑網絡遭遇釣魚攻擊指的就是用戶在正常使用無疑網絡的情況下,無意中接入了“釣魚”網絡接點,從而造成的無疑網絡被攻擊的網絡安全問題。一般來說無線網絡釣魚攻擊可以分為以下幾步,首先不法分子建立一個無線網絡虛假接入點,吸引用戶鏈接至該接入點。隨后一旦用戶誤入至此接入點,其所使用的計算機就很有可能被不法分子所控制,電腦系統(tǒng)被入侵或攻擊等,這樣的直接結果就是用戶電腦上的機密文件被竊取、網絡賬號與網銀賬號等被盜以及電腦系統(tǒng)被木馬感染等等一系列的網絡安全威脅。
4.安全問題――無線AP被控制
無線AP被控制一般指的是無線路由器管理權限被未授權的非法分子所竊取,而無線AP通常指的就是無線網絡的接入點,像是企業(yè)與家庭中都比較常見的無線路由器便是無線AP中的一種。一般最為常見的無線AP被控制現象多為用戶設置的無線AP密碼較為簡單所造成的,當用戶的無線網絡被他人所盜用后,其就可以通過無線網線直接訪問到無線AP的終端管理界面,如果用戶的無線AP密碼正好設置得十分簡單,那么非法入侵者就能隨意更改與設置用戶的無線AP的終端管理界面。
二、提高無線網絡安全問題的應對策略
由于無線網絡在日常使用中所存在的安全問題與安全隱患越來越明顯、越來越多樣化,因此我們只有采取有針對性的防范措施才能最大程度地降低無線網絡的威脅指數、提高其安全系數,減少被攻擊的可能性。
1.接入限制
這種方法一般指的是在無線路由器內的MAC地址中設置一定的條件要求,最終實現過濾并阻止非法入侵者的目的。通常這種方法多用計算機數較少同時比較固定的網絡環(huán)境,因此限制無線網絡接入的方法大多用在家庭網絡環(huán)境,在這種情況下用戶只需要將自己家中無線路由器的MAC地址設置成為家庭內計算機MAC地址,就可以簡單的實現這個目的。
2. SSID廣播隱藏
通常所說的SSID廣播隱藏其實就是關閉無線路由器的SSID廣播功能,因為一定關閉此功能就能使無線網絡信號達到隱身的效果,從而降低那些想要通過SSID功能查找到正常用戶無線網絡信號的機率,最終實現保護無線網絡安全的目的。關閉SSID廣播功能同樣也是對網絡環(huán)境有著一定的要求,因為在關閉無線路由器的SSID廣播功能后,如果需要正常使用無線網絡就必須定向尋找到無線網絡信號后方能使用,因此這個功能目前比較常用于一些客戶端較為穩(wěn)定的計算機環(huán)境以及家庭網絡環(huán)境。
3.安全標準的選擇
目前很多無線網絡用戶在設置無線路由器時,通常都是直接采用的WEP標準,然而WEP標準已經被業(yè)界公認為是非常不安全一種設置,遭受攻擊的可能性非常高,因此用戶在設置無線路由器時必須以自身網絡安全環(huán)境需要為前提,使用WPA標準。雖然說WPA標準也有著被破解與被入侵的可能性,但是相對WEP標準而言,其安全指數仍然要高出很多,所以建議正常用戶在使用無線網絡時可以將WPA設置成加密模式。
4.無線路由器密碼的修改
由于目前很多無線網絡用戶在使用無線路由器時,對于網絡技術以及網絡安全的知識都比較貧乏,因此關于無線路由器的用戶名和密碼設置都是直接采用其默認的用戶名和密碼,這樣一來就大大降低了無線網絡的安全系數,讓不法分子在實施破解時就變得非常簡單,不法分子在破解了無線網絡密碼后登陸其管理界面便不再是難事。因此正常用戶在使用無線路由器時,一定要及時更改無線網絡的用戶名和密碼。
5.無線AP功率降低
由于在無線網絡在使用時所采用的無線AP功率的大小能直接影響到無線網絡的使用范圍,因此很多用戶在選擇無線AP功率時會盲目的追求較大的功率,反而忽略了其他的相關要素。因為無線網絡的覆蓋面積越大,其網線環(huán)境的安全威脅也會隨之增長,遭到非法攻擊與入侵的機率也將上升,因此用戶在選擇無線AP時,應該在保證自身的網速需求的前提下,盡量減少網絡的覆蓋面積,最終實現保證正常用戶用網安全的目的。
6.強壯無線網絡密碼
曾有學者對無線網絡密碼的安全等級做過相關的評估,其結果顯示,雖然都是采用的WPA加密形式,但是由于這些密碼的設計難易程度有所不同,其被破解速度也會隨之增加,其中最為簡單的就是簡單數字排列密碼。因此為了保證用網安全,提高密碼安全程度,正常用戶在設置密碼時需要盡量將其復雜化,比如說將數字、字母以及符號相結合來設置密碼。
7.其他安全措施
其實不僅僅只有上述這些加強無線網絡安全的手段,還有很多一些其他的安全措施同樣也可以應用到這個上面,具體如下:
一是防火墻對于提升網絡安全性能來說是有著非常不錯的效果,它能夠更好的隔離病毒與漏洞,特別是如果是企業(yè)用戶,可以建立一個統(tǒng)一的防火墻來實現阻擋入侵者進入網絡的目的。
二是定期不定期的更換無線網絡的密碼,由于一個密碼的破解速度有著一定的時間限制,因此,無線用戶可以通過更換密碼與用戶名的方法來延長攻擊者的破解時間,消磨破解者的耐心,最終讓其自動放棄攻擊。
三是因為無線用戶在登陸至無線AP管理頁面后,就可以直接查看到所有使用的客戶端列表,因此我們可以通過這個方法直接排查非法入侵者,從而對其進行處理。
四是不法分子一般都是搜尋并利用正常用戶的網絡設置漏洞來進行攻擊或其他不法操作的,因此為了保障無線網絡的用網安全,應該定期檢查加固自身無線網絡的安全性能,及時排除網絡漏洞,減少被入侵的可能性。
結語
總之,隨著我國全民信息時代的到來,無線網絡的使用率與覆蓋面積也將逐漸擴大,由于其自身所擁有的一些獨特的特性,這些都將使無線網絡的安全問題更加嚴峻,因此我們在使用這個無線網絡的同時,必須要緊密關注其安全問題,并且適當地采取一些措施預防與解決這些安全問題。
參考文獻
[1]菊.關于加強無線網絡的信息安全的方法探究[J].科技創(chuàng)新導報,2015(5):222.
[2]澹臺建培,劉文佳,陳萬成,李斌.安全智能無線網絡通信系統(tǒng)設計與實現[J].郵電設計技術,2016(1):26-31.
論文摘要:通過對計算機網絡面臨威脅的分析,該文提出了網絡安全方面的一些具體防范措施,提高了計算機網絡的安全性。
Analysis of the Computer Network Security and its Preventive Tactics
ZHANG Jing
(College of Information Engineering,Inner Mongolia University of Science and Technology,Baotou 014010,China)
Abstract: Through analyzing threats against the computer network,this paper puts forward.some concrete preventive measures,raising the computer network safety.
Key words: network security;firewall;preventive tactic;network attack;computer virus
1 引言
隨著網絡時代的來臨,人們在享受著網絡帶來的無盡的快樂的同時,也面臨著越來越嚴重和復雜的網絡安全威脅和難以規(guī)避的風險,網上信息的安全和保密是一個至關重要的問題。網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性,計算機網絡的安全以及防范措施已迫在眉睫。
2 網絡安全面臨的威脅
由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、病毒、惡意軟件和其他意圖不軌的攻擊,常見的威脅主要來自以下幾個方面:
1) 非授權訪問非授權訪問指具有熟練編寫和調試計算機程序的技巧并使用這些技巧來獲得非法或未授權的網絡或文件訪問,侵入到他方內部網的行為。網絡入侵的目的主要是取得使用系統(tǒng)的存儲權限、寫權限以及訪問其他存儲內容的權限,或者是作為進一步進入其他系統(tǒng)的跳板,或者惡意破壞這個系統(tǒng),使其毀壞而喪失服務能力。
2) 自然威脅 自然威脅可能來自與各種自然災害、惡劣的場地環(huán)境、電磁輻射和干擾、網絡設備的自然老化等。這些無目的的事件有時也會直接或間接地威脅網絡的安全,影響信息的存儲和交換。
3) 后門和木馬程序 后門是一段非法的操作系統(tǒng)程序,其目的是為闖人者提供后門,它可以在用戶主機上沒有任何痕跡地運行一次即可安裝后門,通過后門實現對計算機的完全控制,而用戶可能莫名其妙地丟失文件、被篡改了數據等。木馬,又稱為特洛伊木馬,是一類特殊的后門程序,它是一種基于遠程控制的黑客工具,具有隱蔽性和非授權性的特點。木馬里一般有兩個程序,一個是服務器程序,一個是控制器程序。
4) 計算機病毒計算機病毒指編制或在計算機程序中插入的破壞計算機功能和數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。如常見的蠕蟲病毒,就是以計算機為載體,利用操作系統(tǒng)和應用程序的漏洞主動進行攻擊,是一種通過網絡傳統(tǒng)的惡性病毒。它具有病毒的一些共性,如傳播性、隱蔽性、破壞性和潛伏性等。
3 網絡安全的防范策略
1) 防火墻技術的作用是對網絡訪問實施訪問控制策略。使用防火墻(Firewall)是一種確保網絡安全的方法。防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的惟一出入口,能根據企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
2) 建立安全實時相應和應急恢復的整體防御沒有百分百安全和保密的網絡信息,因此要求網絡要在被攻擊和破壞時能夠及時發(fā)現,及時反映,盡可能快的恢復網絡信息中心的服務,減少損失,網絡安全系統(tǒng)包括安全防護機制、安全檢測機制、安全反映機制和安全恢復機制。
3) 建立分層管理和各級安全管理中心建立多級安全層次和和級別,將網絡安全系統(tǒng)分為不同的級別。包括,對信息保密程度的分級(絕密、機密、秘密、普密);對用戶操作權限分級;對網絡安全程度分級;對系統(tǒng)實現的結構分級等。從而針對不同級別的安全對象,提供全面、可選的安全算法和安全體制,以滿足網絡中不同層次的各種實際需求。
4) 阻止入侵或非法訪問入網訪問控制為網絡訪問提供第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許在哪臺工作站入網??刂朴脩舻卿浫刖W的站點、限制用戶入網的時間、限制用戶入網的工作站數量。對所有用戶的訪問進行審計,如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。設定用戶權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源??梢灾付ㄓ脩魧@些文件、目錄、設備執(zhí)行哪些操作。
5) 數據傳輸加密技術目的是對傳輸中的數據流加密,常用的方針有線路加密和端到端加密兩種。前者側重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護的。后者則指信息由發(fā)送者端自動加密,并進入TCP/IP數據包回封,然后作為不可閱讀和不可識別的數據穿過互聯網,當這些信息一旦到達目的地,將被自動重組、解密,成為可讀數據。數據存儲加密技術目的是防止在存儲環(huán)節(jié)的數據失密。可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉換、附加密碼、加密模塊等方法實現;后者則是對用戶資格、權限加以審查和限制,防止非法用戶存取數據或合法用戶越權存取數據。
6) 密鑰管理技術為了數據使用的方便,數據加密在許多場合集中表現為密鑰的應用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。
7) 加強網絡的安全管理、制定有效的規(guī)章制度,對于確保網絡的安全、可靠運行,將起到十分有效的作用。加強網絡的安全管理包括:確定安全管理等級和安全管理范圍;制定有關網絡操作使用規(guī)程和人員出入機房管理制度。制定網絡系統(tǒng)的維護制度和應急措施包括:加強立法,及時補充和修訂現有的法律法規(guī)。用法律手段打擊計算機犯罪;加強計算機人員安全防范意識,提高人員的安全素質;健全的規(guī)章制度和有效的、易于操作的網絡安全管理平臺。
4 結束語
解決安全的措施有很多,僅靠其中的某一項或幾項是很難解決好網絡安全問題的。在具體工作中還需要根據網絡的實際情況做出細致而全面的多級安全防范措施,盡可能提高網絡系統(tǒng)的安全可靠性。
參考文獻:
關鍵詞 校園網;網絡信息;安全措施;分析
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)97-0230-02
1校園網安全特性分析
通常來講,信息安全重點關注的是信息資源、通信資源以及計算機資源等被一些惡意的行為破壞,出現了信息泄露、被篡改、濫用的現象。信息網絡的安全特性主要有完整性、可用性、保密性以及未授權使用資源的安全威脅,這些安全特性也是校園網的安全特性。
目前,不少學校的校園網中使用的網絡沒有設置防護系統(tǒng),也沒有內部網絡和外部網絡的區(qū)別,可以說安全策略和安全措施的設置絲毫沒有受到學校的重視。
主要表現在網絡的應用管理系統(tǒng)較為分散、沒有設置完善的防毒策略、沒有采取數據備份措施以及尚未建立集中的身份驗證系統(tǒng)等等。
在教育信息化速度日益加快的今天,學校中的很多工作都需要通過網絡來完成,例如管理、科研方面的工作,除此之外,校內的諸多業(yè)務系統(tǒng)都需要通過校園網來建立,如教務系統(tǒng)、人事系統(tǒng)、辦公系統(tǒng)以及財務系統(tǒng)等。如果校園網網絡信息的安全問題再得不到足夠的重視,將會給校園網埋下嚴重的安全隱患。
2校園網網絡信息安全風險分析
校園網具有網絡連接形式復雜、設備種類數量多以及操作系統(tǒng)平臺不一致的特點,這就給校園網的網絡信息的安全帶來了很多威脅,風險主要來自一些幾個方面。
2.1互聯網導致的風險
校園網絡的構建幾乎都需要用到Internet技術,并且還需要連接到互聯網上。網絡用戶可以直接訪問互聯網的資源,同樣任何能上互聯網的用戶也可以直接訪問校園網的資源。
這樣的網絡構建方式對于提高學校的知名度、擴大學校的影響力具有十分重要的作用。然而互聯網具有網絡信息的開放性和共享性,這就導致了網絡信息存在一定的安全隱患,學校在獲得知名度的同時,也會出現一些安全問題。
互聯網上的信息都不能完全信任,因為網絡信息的安全性無法保證,是否會出現網絡攻擊更難以預料,這就需要學校在使用校園網時切實做好安全防范工作,預防和化解存在的安全風險。
2.2內部導致的風險
據相關統(tǒng)計顯示,有將近75%的網絡信息安全事件都是源于內部??梢?,內部網絡存在的安全風險十分嚴重。
因為內部人員比其他人員更熟悉內部網絡的應用系統(tǒng)和網絡結構,這就容易出現網絡內部人員攻擊內部網絡的事件,或者內部人員與外部人員聯手攻擊網絡,亦或是內部人員將網絡信息隨意泄露出去的行為,這都可能會給校園網的網絡系統(tǒng)帶來破壞性的打擊。
特別是近年來校園網絡的迅速發(fā)展,并且和一般性的局域網絡不同,校園網使用的用戶中網絡高手較多,更需要切實做好校園網的安全預防工作。
2.3病毒導致的安全風險
病毒是一種非法程序,它是為了達到某種企圖而秘密編寫的,它的復制能力非常強。病毒能夠給計算機網絡帶來毀滅性的破壞。
尤其是目前互聯網的發(fā)展速度日新月異,使用電子郵件系統(tǒng)的用戶變得越來越多,致使網絡成為了病毒擴散的重要載體,并且能夠借助計算機這一載體將病毒肆意地傳播開來。由此可見,校園網的網絡信息在病毒肆意蔓延的環(huán)境下存在著諸多安全隱患。
2.4管理導致的安全風險
在網絡安全中,管理占據著十分重要的地位。不少學校都將學校的建設放在重要的位置,而不太重視學校的管理工作,尤其是網絡安全管理。
可見,出現網絡安全的一個重要原因就是學校沒有制定完善的安全管理制度。
如,校園網的網絡用戶沒有樹立較強的安全意識,校園網缺乏完善的管理制度,校園網絡管理員設置不合理以及用戶口令設置不恰當等等,這些都給校園網帶來了嚴重的安全隱患。
2.5系統(tǒng)導致的安全風險
由系統(tǒng)導致的安全風險主要來自于數據庫系統(tǒng)、操作系統(tǒng)以及各種應用系統(tǒng)。大多數校園網一般使用三種系列的操作系統(tǒng),它們是Linux、Unix以及Windows,使用程度最高的系列是最后一種。
不言而喻,每一種操作系統(tǒng)都不可能是完美的,或多或少都會存在一些未知和已知的安全問題,并且國家安全組織也對系統(tǒng)中存在的大量漏洞給予了披露。系統(tǒng)中存在的有些漏洞能夠使攻擊者暢通無阻地進入到管理員的網絡系統(tǒng)中,進而破壞網絡系統(tǒng),還有些漏洞能夠為病毒的入侵提供便利的條件等等。
總之,系統(tǒng)中存在的風險也嚴重威脅著校園網的網絡信息的安全。
3保護校園網信息安全的對策
3.1重視網絡安全規(guī)劃
注重對校園網實施安全規(guī)劃的目標是為了從系統(tǒng)性的角度對網絡中的安全問題進行全面性的思考。網絡安全規(guī)劃的內容比較多,主要有病毒防御、加密技術、訪問攔截、認證技術以及攻擊檢測技術等安全預防措施;安全服務;安全管理制度,如工作流程、網絡工作人員以及維護保障制度等;安全防范策略;應用服務器、應用系統(tǒng)的分布情況、數據庫系統(tǒng)設置的位置;內部網絡的邏輯劃分以及外部網絡的邏輯劃分;安全評估、數據備份與恢復措施、減災措施以及實施計劃等。
在校園網建設規(guī)劃的同時,要同時做好校園網的信息規(guī)劃工作,并將其列入到校園網建設規(guī)劃中的重要事項當中。
3.2對網絡區(qū)域進行科學合理地劃分
站在安全的角度考慮,校園網對網絡區(qū)域進行科學合理地劃分是十分有必要的。在對網絡區(qū)域進行劃分時,需要充分考慮整體的安全規(guī)劃以及信息安全密級,運用邏輯思維對內網和外網進行劃分,劃分出安全區(qū)域(內網區(qū)域)、不安全區(qū)域以及非軍事區(qū)(DMZ),然后還要考慮到學校對網絡的需求情況,對虛擬專用網(VLAN)進行合理地劃分,如圖1所示。
圖1網絡區(qū)域的劃分
校園網的內部網絡區(qū)域屬于安全區(qū)域,這個區(qū)域是不允許外部用戶進行訪問的,因為其擁有較高的安全等級。
該區(qū)域運行的系統(tǒng)主要有OA系統(tǒng)以及各種應用系統(tǒng),而這個區(qū)域應該存放的服務器主要有數據庫服務器以及不同種類的內部服務器。
內部網絡和外部網絡用戶都可以對非軍事區(qū)進行訪問。這個區(qū)域能夠為外界提供Ftp服務、Web服務以及Email服務等多種服務。
因此,也需要為這個區(qū)域制定一些安全防護措施。校園網防火墻以外的網路接口處外部的區(qū)域被規(guī)定為了不安全區(qū)域。在認真分析了校園網用戶的特征之后,總結出該結構具有的特征如下:
1)通過校園網的入侵檢測系統(tǒng)和防火墻,校園網用戶都能對互聯網進行訪問,使廣大校園網的用戶能夠方便地使用網絡;
2)DMZ(demilitarized zone)與外部區(qū)間之間設有防火墻,能夠為校園網提供信息過濾以及訪問控制等防護措施。非軍事區(qū)域內提供的所有網絡服務,內部網絡用戶和外部網絡用戶都能夠享受,即都能夠對該區(qū)域進行訪問。
因此,需要在分析非軍事區(qū)域的特點,為其制定出行之有效的安全防護措施。在這些安全措施制定期間,要對內部網絡用戶和外部網絡用戶做出一些規(guī)定,對開放服務不設置權限,但是對內網的各種服務需要暫時設置一些權限,不能允許內外網用戶進行訪問;
3)內網區(qū)域具有較高的安全級別,在對其進行設置安全防護措施時,可以同時利用入侵檢測系統(tǒng)和防火墻,使二者進行相互配合,建立健全安全防御體系。
3.3運用行之有效的網絡安全防御技術
3.3.1防火墻安全技術
防火墻這種網絡設備能夠對網絡之間的訪問起到一定的控制作用,它主要是通過攔截認證資格的用戶進入內部網絡、篩選不安全信息的方式,以達到保護內部網絡的目的,實質上防火墻是一種位于內外網之間的安全防御系統(tǒng)。然而防火墻這種安全技術無法控制內部出現的沒有認證授權
就進行訪問的狀況。所以比較適合應用于相對較為獨立的內部網絡,并且和外網的連接的途徑受到一定的限制、網路服務種類比較集中的網絡。
在對外界入侵者進行防御時,防火墻應用的技術主要有應用網關、數據包過濾以及服務等,以達到維護校園網絡安全的目的。
3.3.2數據加密技術
數據加密技術可以提高網絡數據的安全系數,避免出現重要數據信息被濫用、篡改以及泄露的現象,從而為網絡的安全運行提供一個良好的環(huán)境。
而那些沒有運用加密技術的網絡數據容易在運行時受到外界的阻攔,給信息使用者帶來極大的經濟損失。數據加密技術主要有三大類:對稱型加密技術、不可逆加密技術以及不對稱型加密技術。
總之,在網絡上應用這三大類加密技術可以為網絡運行創(chuàng)造出一種安全可靠的環(huán)境。
3.3.3網絡入侵檢測技術
網絡入侵是指通過不合法的手段企圖使信息系統(tǒng)的完整性、機密性以及可信性受到嚴重破壞的任何網絡活動,對網絡環(huán)境的安全性造成了嚴重的威脅。
而入侵檢測(Intrusion Detection)技術能夠對網絡的外部環(huán)境進行檢測,而且還能對網絡內部用戶的未授權活動進行檢測,極大程度上提高了其安全性。網絡入侵技術通過利用新型的攻守結合戰(zhàn)略來對相關數據進行檢測,并及時驗證其是否具有合法利用特權,并且還能搜集相關證據,借此來追究入侵者的非法行為。
IDS是入侵檢測技術中常用的一種能夠為管理者提供安全可靠信息的檢測系統(tǒng),它能夠及時地檢測到網絡運行中出現的可疑或不安全因素,然后將其真實地告訴網絡管理者,以便于采取有效的措施進行防御。
市場上比較常見的IDS產品綜合采
用三個基本方法來檢測網絡入侵:即為追蹤分析、網包分析及實時活動監(jiān)控。
參考文獻
[1]鄧長春.淺談網絡信息安全面臨的問題和對策[J].電腦與電信,2007(3).
[2]陳文冠,曹亮,陳興華.高校校園網信息安全的研究[J].科技管理研究,2007(2).