引言:易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐,為您精心挑選了九篇安全網(wǎng)絡(luò)論文范例�。如需獲取更多原創(chuàng)內(nèi)容�����,可隨時(shí)聯(lián)系我們的客服老師��。
第1篇
辦公網(wǎng)絡(luò)面臨的內(nèi)部安全威脅
正如我們所知道的那樣��,70%的安全威脅來自網(wǎng)絡(luò)內(nèi)部����,其形式主要表現(xiàn)在以下幾個(gè)方面���。
內(nèi)部辦公人員安全意識(shí)淡漠
內(nèi)部辦公人員每天都專注于本身的工作,認(rèn)為網(wǎng)絡(luò)安全與己無關(guān)���,因此在意識(shí)上��、行為上忽略了安全的規(guī)則����。為了方便,他們常常會(huì)選擇易于記憶但同時(shí)也易于被猜測(cè)或被黑客工具破解的密碼��,不經(jīng)查殺病毒就使用來歷不明的軟件�����,隨便將內(nèi)部辦公網(wǎng)絡(luò)的軟硬件配置��、拓?fù)浣Y(jié)構(gòu)告之外部無關(guān)人員,給黑客入侵留下隱患。
別有用心的內(nèi)部人員故意破壞
辦公室別有用心的內(nèi)部人員會(huì)造成十分嚴(yán)重的破壞����。防火墻���、IDS檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品主要針對(duì)外部入侵進(jìn)行防范,但面對(duì)內(nèi)部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內(nèi)上網(wǎng)瀏覽網(wǎng)頁�,下載軟件或玩網(wǎng)絡(luò)游戲����,但受到網(wǎng)絡(luò)安全管理規(guī)定的限制,于是繞過防火墻的檢測(cè)偷偷撥號(hào)上網(wǎng),造成黑客可以通過這些撥號(hào)上網(wǎng)的計(jì)算機(jī)來攻入內(nèi)部網(wǎng)絡(luò)。而有些辦公人員稍具網(wǎng)絡(luò)知識(shí)�,又對(duì)充當(dāng)網(wǎng)絡(luò)黑客感興趣����,于是私自修改系統(tǒng)或找到黑客工具在辦公網(wǎng)絡(luò)內(nèi)運(yùn)行,不知不覺中開啟了后門或進(jìn)行了網(wǎng)絡(luò)破壞還渾然不覺。更為嚴(yán)重的是一些人員已經(jīng)在準(zhǔn)備跳槽或被施利收買�����,辦公內(nèi)部機(jī)密信息被其私自拷貝���、復(fù)制后流失到外部�。此外�����,還有那些被批評(píng)、解職��、停職的內(nèi)部人員,由于對(duì)內(nèi)部辦公網(wǎng)絡(luò)比較熟悉����,會(huì)借著各種機(jī)會(huì)(如找以前同事)進(jìn)行報(bào)復(fù)�����,如使用病毒造成其傳播感染��,或刪除一些重要的文件�����,甚至?xí)c外部黑客相勾結(jié)����,攻擊����、控制內(nèi)部辦公網(wǎng)絡(luò)�,使得系統(tǒng)無法正常工作�����,嚴(yán)重時(shí)造成系統(tǒng)癱瘓���。
單位領(lǐng)導(dǎo)對(duì)辦公網(wǎng)絡(luò)安全沒有足夠重視
有些單位對(duì)辦公網(wǎng)絡(luò)存在著只用不管的現(xiàn)象,有的領(lǐng)導(dǎo)只關(guān)心網(wǎng)絡(luò)有沒有建起來���,能否連得上,而對(duì)其安全沒有概念�����,甚至對(duì)于網(wǎng)絡(luò)基本情況����,包括網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)����、網(wǎng)絡(luò)設(shè)備�、網(wǎng)絡(luò)出口等概不知情。對(duì)內(nèi)部辦公人員�����,公司平時(shí)很少進(jìn)行安全技術(shù)培訓(xùn)和安全意識(shí)教育��,沒有建立相應(yīng)的辦公網(wǎng)絡(luò)安全崗位和安全管理制度,對(duì)于黑客的攻擊和內(nèi)部違規(guī)操作則又存在僥幸心理,認(rèn)為這些是非常遙遠(yuǎn)的事情�。在硬件上�,領(lǐng)導(dǎo)普遍認(rèn)為只要安裝了防火墻�����、IDS�、IPS��,設(shè)置了Honeypot就可以高枕無憂��。而沒有對(duì)新的安全技術(shù)和安全產(chǎn)品做及時(shí)升級(jí)更新,對(duì)網(wǎng)絡(luò)資源沒有進(jìn)行細(xì)粒度安全級(jí)別的劃分,使內(nèi)部不同密級(jí)的網(wǎng)絡(luò)資源處于同樣的安全級(jí)別���,一旦低級(jí)別的數(shù)據(jù)信息出現(xiàn)安全問題���,將直接影響核心保密信息的安全和完整��。
缺乏足夠的計(jì)算機(jī)網(wǎng)絡(luò)安全專業(yè)人才
由于計(jì)算機(jī)網(wǎng)絡(luò)安全在國內(nèi)起步較晚,許多單位缺乏專門的信息安全人才��,使辦公信息化的網(wǎng)絡(luò)安全防護(hù)只能由一些網(wǎng)絡(luò)公司代為進(jìn)行,但這些網(wǎng)絡(luò)安全公司必定不能接觸許多高級(jí)機(jī)密的辦公信息區(qū)域���,因此依然存在許多信息安全漏洞和隱患。沒有內(nèi)部信息安全專業(yè)人員對(duì)系統(tǒng)實(shí)施抗攻擊能力測(cè)試,單位則無法掌握自身辦公信息網(wǎng)絡(luò)的安全強(qiáng)度和達(dá)到的安全等級(jí)����。同時(shí)����,網(wǎng)絡(luò)系統(tǒng)的漏洞掃描�����,操作系統(tǒng)的補(bǔ)丁安裝和網(wǎng)絡(luò)設(shè)備的軟、硬件升級(jí)�,對(duì)辦公網(wǎng)內(nèi)外數(shù)據(jù)流的監(jiān)控和入侵檢測(cè)�,系統(tǒng)日志的周期審計(jì)和分析等經(jīng)常性的安全維護(hù)和管理也難以得到及時(shí)的實(shí)行���。
網(wǎng)絡(luò)隔離技術(shù)(GAP)初探
GAP技術(shù)
GAP是指通過專用硬件使兩個(gè)或兩個(gè)以上的網(wǎng)絡(luò)在不連通的情況下進(jìn)行網(wǎng)絡(luò)之間的安全數(shù)據(jù)傳輸和資源共享的技術(shù)�����。簡而言之�,就是在不連通的網(wǎng)絡(luò)之間提供數(shù)據(jù)傳輸���,但不允許這些網(wǎng)絡(luò)間運(yùn)行交互式協(xié)議。GAP一般包括三個(gè)部分:內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元�、專用隔離交換單元��。其內(nèi)、外網(wǎng)處理單元各擁有一個(gè)網(wǎng)絡(luò)接口及相應(yīng)的IP地址��,分別對(duì)應(yīng)連接內(nèi)網(wǎng)(網(wǎng))和外網(wǎng)(互聯(lián)網(wǎng)),專用隔離交換單元受硬件電路控制高速切換,在任一瞬間僅連接內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元之一。
GAP可以切斷網(wǎng)絡(luò)之間的TCP/IP連接���,分解或重組TCP/IP數(shù)據(jù)包����,進(jìn)行安全審查��,包括網(wǎng)絡(luò)協(xié)議檢查和內(nèi)容確認(rèn)等�,在同一時(shí)間只和一邊的網(wǎng)絡(luò)連接,與之進(jìn)行數(shù)據(jù)交換。
GAP的數(shù)據(jù)傳遞過程
內(nèi)網(wǎng)處理單元內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)服務(wù)請(qǐng)求,將數(shù)據(jù)通過專用隔離硬件交換單元轉(zhuǎn)移至外網(wǎng)處理單元�,外網(wǎng)處理單元負(fù)責(zé)向外網(wǎng)服務(wù)器發(fā)出連接請(qǐng)求并取得網(wǎng)絡(luò)數(shù)據(jù),然后通過專用隔離交換單元將數(shù)據(jù)轉(zhuǎn)移回內(nèi)網(wǎng)處理單元,再由其返回給內(nèi)網(wǎng)用戶。
GAP具有的高安全性
GAP設(shè)備具有安全隔離、內(nèi)核防護(hù)���、協(xié)議轉(zhuǎn)換��、病毒查殺、訪問控制�����、安全審計(jì)和身份認(rèn)證等安全功能�。由于GAP斷開鏈路層并切斷所有的TCP連接,并對(duì)應(yīng)用層的數(shù)據(jù)交換按安全策略進(jìn)行安全檢查�����,因此能夠保證數(shù)據(jù)的安全性并防止未知病毒的感染破壞。
使用網(wǎng)絡(luò)隔離技術(shù)(GAP)進(jìn)行內(nèi)部防護(hù)
我們知道���,單臺(tái)的計(jì)算機(jī)出現(xiàn)感染病毒或操作錯(cuò)誤是難以避免的,而這種局部的問題較易解決并且?guī)淼膿p失較小����。但是���,在辦公信息化的條件下��,如果這種錯(cuò)誤在網(wǎng)絡(luò)所允許的范圍內(nèi)無限制地?cái)U(kuò)大,則造成的損失和破壞就難以想象�。因此,對(duì)辦公內(nèi)部網(wǎng)絡(luò)的安全防范不是確保每一臺(tái)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)不發(fā)生安全問題�����,而是確保發(fā)生的安全問題只限于這一臺(tái)計(jì)算機(jī)或這一小范圍�,控制其影響的區(qū)域����。目前,對(duì)內(nèi)網(wǎng)采取“多安全域劃分”的技術(shù)較好地解決了這個(gè)問題,而GAP系統(tǒng)的一個(gè)典型的應(yīng)用就是對(duì)內(nèi)網(wǎng)的多個(gè)不同信任域的信息交換和訪問進(jìn)行控制���。因此�����,使用GAP系統(tǒng)來實(shí)現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”,是一個(gè)比較理想的方法�。
“多安全域劃分”技術(shù)
“多安全域劃分”技術(shù)就是根據(jù)內(nèi)網(wǎng)的安全需求將內(nèi)網(wǎng)中具有不同信任度(安全等級(jí))網(wǎng)段劃分成獨(dú)立的安全域����,通過在這些安全域間加載獨(dú)立的訪問控制策略來限制內(nèi)網(wǎng)中不同信任度網(wǎng)絡(luò)間的相互訪問����。這樣,即使某個(gè)低安全級(jí)別區(qū)域出現(xiàn)了安全問題�����,其他安全域也不會(huì)受到影響�。
利用網(wǎng)絡(luò)隔離技術(shù)(GAP)實(shí)現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”
首先,必須根據(jù)辦公內(nèi)網(wǎng)的實(shí)際情況將內(nèi)網(wǎng)劃分出不同的安全區(qū)域,根據(jù)需要賦予這些安全區(qū)域不同的安全級(jí)別。安全級(jí)別越高則相應(yīng)的信任度越高,安全級(jí)別較低則相應(yīng)的信任度較低,然后安全人員按照所劃分的安全區(qū)域?qū)AP設(shè)備進(jìn)行安裝�����。系統(tǒng)管理員依照不同安全區(qū)域的信任度高低���,設(shè)置GAP設(shè)備的連接方向����。GAP設(shè)備的內(nèi)網(wǎng)處理單元安裝在高安全級(jí)別區(qū)域�����,GAP設(shè)備的外網(wǎng)處理單元安裝在低信任度的安全區(qū)域��,專用隔離硬件交換單元?jiǎng)t布置在這兩個(gè)安全區(qū)域之間。內(nèi)網(wǎng)處理單元高安全級(jí)別區(qū)域(假設(shè)為A區(qū)域)用戶的網(wǎng)絡(luò)服務(wù)請(qǐng)求���,外網(wǎng)處理單元負(fù)責(zé)從低安全級(jí)別區(qū)域(設(shè)為B區(qū)域)取得網(wǎng)絡(luò)數(shù)據(jù),專用隔離硬件則將B區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)移至A區(qū)域�����,最終該網(wǎng)絡(luò)數(shù)據(jù)返回給發(fā)出網(wǎng)絡(luò)服務(wù)請(qǐng)求的A區(qū)域用戶��。這樣����,A區(qū)域內(nèi)用戶可通過GAP系統(tǒng)訪問B區(qū)域內(nèi)的服務(wù)器、郵件服務(wù)器、進(jìn)行郵件及網(wǎng)頁瀏覽等��。同時(shí)��,A區(qū)域內(nèi)管理員可以進(jìn)行A區(qū)域與B區(qū)域之間的批量數(shù)據(jù)傳輸���、交互操作���,而B區(qū)域的用戶則無法訪問A區(qū)域的資源���。這種訪問的不對(duì)稱性符合不同安全區(qū)域信息交互的要求��,實(shí)現(xiàn)信息只能從低安全級(jí)別區(qū)域流向高安全級(jí)別區(qū)域的“安全隔離與信息單向傳輸”。
這樣��,較易出現(xiàn)安全問題的低安全區(qū)(包括人員和設(shè)備)就不會(huì)對(duì)高安全區(qū)造成安全威脅�,保證了核心信息的機(jī)密性和完整性。同時(shí)��,由于在GAP外網(wǎng)單元上集成了入侵檢測(cè)和防火墻模塊��,其本身也綜合了訪問控制���、檢測(cè)��、內(nèi)容過濾�、病毒查殺,因此�����,GAP可限制指定格式的文件��,采用專用映射協(xié)議實(shí)現(xiàn)系統(tǒng)內(nèi)部的純數(shù)據(jù)傳輸��,限定了內(nèi)網(wǎng)局部安全問題只能影響其所在的那個(gè)安全級(jí)別區(qū)域,控制了其擴(kuò)散的范圍��。
“多安全域劃分”的防護(hù)效果
由于GAP實(shí)現(xiàn)內(nèi)網(wǎng)的信任度劃分和安全區(qū)域設(shè)定��,使辦公內(nèi)網(wǎng)的安全性極大提高�����,辦公內(nèi)網(wǎng)易出現(xiàn)的安全問題得到有效控制�。
第2篇
1.什么是數(shù)據(jù)信息加密這種技術(shù)是通過密匙和加密算法,將原本可讀的重要敏感信息轉(zhuǎn)換成并無實(shí)際意義的密文����,而這種密文只有被指定的合法信息使用者才可以恢復(fù)原先的“消息”�����。數(shù)據(jù)加密技術(shù)對(duì)傳輸中的數(shù)據(jù)加密。常用的方式有線路加密和端對(duì)端加密兩種�����。有線路加密的重心作用發(fā)揮在線路上�,而對(duì)于信源與信宿不考慮。端對(duì)端加密是指從發(fā)送者端發(fā)出的信息通過專業(yè)加密軟件�����,把明文(原文)加密成密文��,隨后����,進(jìn)入TCP/IP數(shù)據(jù)包封裝透過互聯(lián)網(wǎng)�����。當(dāng)這些經(jīng)過加密的信息到達(dá)目的終端����,由合法收件人使用對(duì)應(yīng)的密匙進(jìn)行解密,把密文恢復(fù)成可讀的信息語言���。2.當(dāng)前被廣泛使用的加密方式 就現(xiàn)階段而言,對(duì)稱加密與非對(duì)稱加密技術(shù)被運(yùn)用得較為普遍�����。所謂的非對(duì)稱加密即信息加密與解密所使用的密匙想通�,而相對(duì)的非對(duì)稱加密的解密的密匙則不同,分別稱為“公鑰”和“私鑰”���。合法的信息使用者必須擁有私匙來解密用公匙加密的文件。
二�、訪問控制
1.存取控制對(duì)于互聯(lián)網(wǎng)而言,存取控制是其安全理論中較為重要的組成部分。它涵蓋了風(fēng)險(xiǎn)分析�����、類型控制�、權(quán)限控制以及數(shù)據(jù)標(biāo)識(shí)和人員限制。它通常是與身份驗(yàn)證一起使用,因?yàn)樯矸蒡?yàn)證可以通過數(shù)據(jù)標(biāo)識(shí)對(duì)用戶特性進(jìn)行區(qū)分�,這樣才方便確定用戶的存取權(quán)限�。2.身份驗(yàn)證這種訪問控制技術(shù)一般是通過驗(yàn)證一致性����,來確定用戶是否具有訪問權(quán)限�。它所需要驗(yàn)證的數(shù)據(jù)又驗(yàn)證依據(jù)和驗(yàn)證系統(tǒng)以及安全要求�,這種訪問控制技術(shù)被運(yùn)用到計(jì)算機(jī)網(wǎng)絡(luò)中的時(shí)間相當(dāng)早,而且一直沿用至今。
三、常見的攻擊手段和應(yīng)對(duì)方法
(一)常見攻擊手段
1.盜取用戶口令這種網(wǎng)絡(luò)攻擊手段較為常見��,它是通過一些非法手段盜取用戶口令,然后接入、登陸用戶主機(jī)�����,開始一些非法的操作�、控制。2.設(shè)置特洛伊木馬程序特洛伊木馬程序是最常見的計(jì)算機(jī)病毒����,它經(jīng)常被偽裝成工具程序或者游戲誘引用戶打開該程序,如果用戶不經(jīng)意間打開、運(yùn)行了此類程序��,被預(yù)先編制好了的病毒就會(huì)不露聲息的潛藏在計(jì)算機(jī)當(dāng)中。當(dāng)該用戶打開電腦后����,特洛伊木馬程序就會(huì)通知攻擊者�,修改計(jì)算機(jī)程序,竊取信息,通過這樣的方式來滿足不良企圖���。3.網(wǎng)頁欺騙當(dāng)前�,有些人通過劫持網(wǎng)頁鏈接,來進(jìn)行網(wǎng)頁欺騙。如果網(wǎng)頁鏈接被劫持,用戶在瀏覽自己想訪問的網(wǎng)頁時(shí)�����,就已經(jīng)踏入了這些人所設(shè)計(jì)的欺騙陷阱�。
(二)網(wǎng)絡(luò)攻擊應(yīng)對(duì)策略
1.加強(qiáng)安全意識(shí)對(duì)于發(fā)件人不詳?shù)碾娮余]件,不能隨意打開。對(duì)于不了解的程序,避免運(yùn)行。設(shè)置用戶名和密碼的時(shí)候要盡量做到字母和數(shù)字混合搭配,避免使用生日等常規(guī)信息���。這樣不容易被非法用戶破譯。作為合法用戶應(yīng)該經(jīng)常下載更新補(bǔ)丁程序和殺毒程序,維護(hù)系統(tǒng)安全��。2.使用防毒����、防黑等防火墻軟件防火墻是維護(hù)信息安全的屏障,它的功用在于組織黑客非法進(jìn)入某個(gè)機(jī)構(gòu)的內(nèi)部信息網(wǎng)絡(luò)。使用防火墻���,只需要在適當(dāng)位置上組建網(wǎng)絡(luò)安全監(jiān)控系統(tǒng),并用此監(jiān)控系統(tǒng)來控制內(nèi)外信息交流,保證網(wǎng)絡(luò)信息的安全性�。3.隱藏自己的IP地址IP地址非常重要�。如果����,在用戶還未察覺的狀態(tài)下,計(jì)算機(jī)上被安裝的木馬程序。但是如果黑客沒有該計(jì)算機(jī)的IP地址�,那么對(duì)于信息安全的侵犯也是不能實(shí)施的。設(shè)置服務(wù)器是能夠非常有效的對(duì)自身IP起到保護(hù)作用���。使用服務(wù)器能夠轉(zhuǎn)接所有來自外部的訪問申請(qǐng),也可以控制特定用戶訪問特定服務(wù)器��。4.定時(shí)升級(jí)更新防毒軟件��,把防毒防黑當(dāng)成日常工作���。5.及時(shí)備份重要個(gè)人信息和資料����。
四���、網(wǎng)絡(luò)安全建設(shè)
(一)國外面對(duì)網(wǎng)絡(luò)威脅采取的主要對(duì)策
當(dāng)前�����,網(wǎng)絡(luò)安全已經(jīng)成為全球各個(gè)國家都相當(dāng)關(guān)注的問題����。就美國而言���,1998年5月22日����,其政府頒布了《保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令(PDD-63),并且成立了很多服務(wù)于信息安全保障的組織����。其中包括全國信息保障委員會(huì)��、全國信息保障同盟��、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室���、首席信息官委員會(huì)����、聯(lián)邦計(jì)算機(jī)事件響應(yīng)能動(dòng)組等10多個(gè)全國性機(jī)構(gòu)���。2000年1月,美國又了《保衛(wèi)美國的計(jì)算機(jī)空間──保護(hù)信息系統(tǒng)的國家計(jì)劃》�。該計(jì)劃分析了美國關(guān)鍵基礎(chǔ)設(shè)施所面臨的威脅��,確定了計(jì)劃的目標(biāo)和范圍,制定出聯(lián)邦政府關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃(其中包括民用機(jī)構(gòu)的基礎(chǔ)設(shè)施保護(hù)方案和國防部基礎(chǔ)設(shè)施保護(hù)計(jì)劃)以及私營部門�����、州和地方政府的關(guān)鍵基礎(chǔ)設(shè)施保障框架�。
第3篇
1.1給計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備以及系統(tǒng)造成威脅的因素
這方面的威脅主要和計(jì)算機(jī)網(wǎng)絡(luò)關(guān)口安全設(shè)置以及內(nèi)部系統(tǒng)漏洞的修復(fù)有著直接的關(guān)系。就目前而言����,我們使用的很多計(jì)算機(jī)軟件本身都是具有安全漏洞的�����,這些漏洞的存在會(huì)遭到黑客的攻擊。如果網(wǎng)絡(luò)設(shè)備本身不夠規(guī)范也會(huì)給計(jì)算機(jī)的安全造成嚴(yán)重的威脅�����,特別是進(jìn)行內(nèi)部局域網(wǎng)端口設(shè)置的時(shí)候����,必須重視權(quán)限方面的設(shè)置,不斷的提高用戶本身的安全意識(shí)��。新形式下的網(wǎng)絡(luò)管理安全技術(shù)分析文/劉瑛隨著科技和計(jì)算機(jī)技術(shù)的不斷發(fā)展��,在我們的生活和工作中,網(wǎng)絡(luò)已經(jīng)成為了非常重要的組成部分,但是計(jì)算機(jī)的安全問題也與之俱來。在我們進(jìn)行計(jì)算機(jī)管理的時(shí)候���,各種安全隱患也層出不窮。本文主要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)管理中存在的安全問題進(jìn)行分析,并根據(jù)問題的癥結(jié)找到了一些措施,希望能夠提高計(jì)算機(jī)網(wǎng)絡(luò)管理的安全性�。摘要
1.2第三方網(wǎng)絡(luò)攻擊
此處的第三方網(wǎng)絡(luò)攻擊�����,一般指的是計(jì)算機(jī)病毒、木馬植入以及黑客的攻擊等等。不法分子利用木馬能夠侵入計(jì)算機(jī)系統(tǒng)中去����,破壞計(jì)算機(jī)內(nèi)部的程序����,而用戶卻很難察覺到����。計(jì)算機(jī)病毒的生命力非常的頑強(qiáng),并且隨著計(jì)算機(jī)的進(jìn)步和發(fā)展��,病毒也在不斷的更新��。此外�����,計(jì)算機(jī)病毒有著隱蔽性、傳播性以及破壞性的特征,都給計(jì)算機(jī)造成了非常大的威脅����。
2計(jì)算機(jī)網(wǎng)絡(luò)管理以及安全技術(shù)
在人們應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)的時(shí)候���,安全問題是不得不考慮的一個(gè)重要問題,只有做好網(wǎng)絡(luò)安全管理�����,才能夠保證人們?cè)谑褂糜?jì)算機(jī)網(wǎng)絡(luò)的時(shí)候�����,信息是相對(duì)安全的���,而做好計(jì)算機(jī)網(wǎng)絡(luò)安全管理��,也是計(jì)算機(jī)專業(yè)人才的一個(gè)重要責(zé)任。
2.1對(duì)網(wǎng)絡(luò)安全保障措施進(jìn)行完善��,確保其是完整的
計(jì)算機(jī)網(wǎng)絡(luò)本身并不是獨(dú)立存在的,其是一個(gè)完整的系統(tǒng),所以在采取措施進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)的時(shí)候必須考慮到計(jì)算機(jī)系統(tǒng)本身的整體性,采取措施確保網(wǎng)絡(luò)安全保障本身是完整的�,這就需要做好各個(gè)環(huán)節(jié)的安全維護(hù)工作���,比如說系統(tǒng)內(nèi)部����、應(yīng)用程序��、網(wǎng)絡(luò)端口����、文件管理以及內(nèi)網(wǎng)和外網(wǎng)的過渡帶等一些地方���,都必須采取措施保證安全防范的嚴(yán)密性��,這樣才能夠更好地保證安全技術(shù)本身的整體性能�。
2.2網(wǎng)絡(luò)管理以及通信安全方面的技術(shù)
一般情況下���,網(wǎng)絡(luò)管理指的便是全面監(jiān)控計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)的實(shí)際使用情況����,比如說對(duì)計(jì)算機(jī)上網(wǎng)的流量進(jìn)行監(jiān)控��、進(jìn)行故障檢測(cè)報(bào)警�����、管理計(jì)算機(jī)網(wǎng)關(guān)。在進(jìn)行工作的時(shí)候�����,網(wǎng)絡(luò)管理系統(tǒng)會(huì)職能自動(dòng)化的檢測(cè)計(jì)算機(jī)的實(shí)際網(wǎng)絡(luò)情況��,這樣能夠更好的提高計(jì)算機(jī)網(wǎng)絡(luò)本身的可信度和可靠性�。
2.3計(jì)算機(jī)加密方面的技術(shù)
計(jì)算機(jī)加密技術(shù)主要是對(duì)計(jì)算機(jī)的一些內(nèi)部信息進(jìn)行一定的維護(hù)���,從而確保計(jì)算機(jī)以及網(wǎng)絡(luò)信息本身是安全的�����。就目前而言���,現(xiàn)在的加密技術(shù)已經(jīng)有了一定的進(jìn)步�,結(jié)構(gòu)不再像以往加密技術(shù)一樣的單一����,并形成了計(jì)算機(jī)加密系統(tǒng),新的系統(tǒng)已經(jīng)將保密性����、完整性、真實(shí)性以及可控性結(jié)合在了一起,這對(duì)計(jì)算機(jī)信息安全起到了重要的保護(hù)作用。
2.4計(jì)算機(jī)防火墻方面的技術(shù)
防火墻技術(shù)能夠更好的防止計(jì)算機(jī)網(wǎng)絡(luò)訪問非法的情況,其類型也比較多�,比如說過濾型防火墻�、網(wǎng)絡(luò)地址轉(zhuǎn)換型防火墻�、型防火墻、監(jiān)測(cè)型防火墻。雖然這些防火墻本身的類型有一定的區(qū)別���,但是都可以對(duì)網(wǎng)絡(luò)訪問控制進(jìn)行加強(qiáng),在一定程度上避免外部網(wǎng)絡(luò)用戶非法侵入的出現(xiàn)�,維護(hù)了用戶的網(wǎng)絡(luò)使用安全�����。
2.5計(jì)算機(jī)網(wǎng)絡(luò)防病毒的相關(guān)技術(shù)
一般情況下,網(wǎng)絡(luò)防病毒技術(shù)指的便是利用一些專門的技術(shù)或者手段來對(duì)計(jì)算機(jī)病毒造成的系統(tǒng)破壞進(jìn)行一定的預(yù)防�����。目前的計(jì)算機(jī)防病毒技術(shù)一般包含了病毒的預(yù)防以及病毒的清理兩個(gè)重要方面�,計(jì)算機(jī)病毒預(yù)防是和病毒檢測(cè)技術(shù)的實(shí)際發(fā)展情況有著直接聯(lián)系的,系統(tǒng)應(yīng)該根據(jù)最新發(fā)現(xiàn)的病毒及時(shí)的進(jìn)行病毒庫的更新�。在計(jì)算機(jī)病毒檢測(cè)結(jié)束之后�����,就必須根據(jù)實(shí)際的情況進(jìn)行計(jì)算機(jī)病毒的清理�����,由此我們也能夠發(fā)現(xiàn)計(jì)算機(jī)病毒清理的被動(dòng)性比較的明顯。
3結(jié)語
第4篇
[論文摘要]隨著計(jì)算機(jī)技術(shù)的發(fā)展�,在計(jì)算機(jī)上處理業(yè)務(wù)已由單機(jī)處理功能發(fā)展到面向內(nèi)部局域網(wǎng)����、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能��。在信息處理能力提高的同時(shí)�����,基于網(wǎng)絡(luò)連接的安全問題也日益突出����,探討了網(wǎng)絡(luò)安全的現(xiàn)狀及問題由來以及幾種主要網(wǎng)絡(luò)安全技術(shù)。
隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展�,其開放性�����,共享性,互連程度擴(kuò)大,網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大��。而網(wǎng)絡(luò)安全問題顯得越來越重要了��。國際標(biāo)準(zhǔn)化組織(ISO)將“計(jì)算機(jī)安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)���,保護(hù)計(jì)算機(jī)硬件���、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞���、更改和泄漏”��,上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對(duì)信息的保密性、完整性和可用性的保護(hù),而網(wǎng)絡(luò)安全性的含義是信息安全的引申��,即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性�、完整性和可用性的保護(hù)。
一、網(wǎng)絡(luò)的開放性帶來的安全問題
眾所周知�,Internet是開放的�,而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患�����,黑客和反黑客、破壞和反破壞的斗爭(zhēng)仍將繼續(xù)��。在這樣的斗爭(zhēng)中��,安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注��。為了解決這些安全問題,各種安全機(jī)制�����、策略和工具被研究和應(yīng)用��。然而����,即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下�����,網(wǎng)絡(luò)的安全仍然存在很大隱患����,這些安全隱患主要可以歸結(jié)為以下幾點(diǎn):
(一)每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境
防火墻是一種有效的安全工具���,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)��,限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問��。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問�,防火墻往往是無能為力的��。因此����,對(duì)于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為��,防火墻是很難發(fā)覺和防范的。
(二)安全工具的使用受到人為因素的影響
一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果���,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶����,不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安全因素�����。例如,NT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級(jí)的安全性��,但很少有人能夠?qū)T本身的安全策略進(jìn)行合理的設(shè)置���。雖然在這方面���,可以通過靜態(tài)掃描工具來檢測(cè)系統(tǒng)是否進(jìn)行了合理的設(shè)置�,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較,針對(duì)具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性���。
(三)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺��。比如說��,眾所周知的ASP源碼問題����,這個(gè)問題在IIS服務(wù)器4.0以前一直存在�����,它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè)后門,任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼���,從而可以收集系統(tǒng)信息,進(jìn)而對(duì)系統(tǒng)進(jìn)行攻擊�。對(duì)于這類入侵行為���,防火墻是無法發(fā)覺的����,因?yàn)閷?duì)于防火墻來說�����,該入侵行為的訪問過程和正常的WEB訪問是相似的����,唯一區(qū)別是入侵訪問在請(qǐng)求鏈接中多加了一個(gè)后綴��。
(四)只要有程序����,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞���。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來��,程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG�����。系統(tǒng)的BUG經(jīng)常被黑客利用,而且這種攻擊通常不會(huì)產(chǎn)生日志,幾乎無據(jù)可查����。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG�����,現(xiàn)有的安全工具對(duì)于利用這些BUG的攻擊幾乎無法防范。
(五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)
然而安全工具的更新速度太慢����,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題���,這就使得它們對(duì)新出現(xiàn)的安全問題總是反應(yīng)太慢�����。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時(shí),其他的安全問題又出現(xiàn)了。因此���,黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。
二、網(wǎng)絡(luò)安全的主要技術(shù)
安全是網(wǎng)絡(luò)賴以生存的保障,只有安全得到保障,網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值��。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實(shí)踐的發(fā)展而發(fā)展�,其涉及的技術(shù)面非常廣,主要的技術(shù)如認(rèn)證、加密����、防火墻及入侵檢測(cè)是網(wǎng)絡(luò)安全的重要防線�。
(一)認(rèn)證
對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問�����,使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息��。
(二)數(shù)據(jù)加密
加密就是通過一種方式使信息變得混亂,從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密��。
1.私匙加密��。私匙加密又稱對(duì)稱密匙加密,因?yàn)橛脕砑用苄畔⒌拿艹拙褪墙饷苄畔⑺褂玫拿艹?。私匙加密為信息提供了進(jìn)一步的緊密性���,它不提供認(rèn)證���,因?yàn)槭褂迷撁艹椎娜魏稳硕伎梢詣?chuàng)建���、加密和平共處送一條有效的消息�。這種加密方法的優(yōu)點(diǎn)是速度很快�����,很容易在硬件和軟件中實(shí)現(xiàn)����。
2.公匙加密�����。公匙加密比私匙加密出現(xiàn)得晚����,私匙加密使用同一個(gè)密匙加密和解密����,而公匙加密使用兩個(gè)密匙,一個(gè)用于加密信息�����,另一個(gè)用于解密信息�����。公匙加密系統(tǒng)的缺點(diǎn)是它們通常是計(jì)算密集的,因而比私匙加密系統(tǒng)的速度慢得多,不過若將兩者結(jié)合起來���,就可以得到一個(gè)更復(fù)雜的系統(tǒng)�����。
(三)防火墻技術(shù)
防火墻是網(wǎng)絡(luò)訪問控制設(shè)備,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)����,它不同于只會(huì)確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器���,而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點(diǎn)時(shí)對(duì)其實(shí)施一整套訪問策略的一個(gè)或一組系統(tǒng)��。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓簦渲凶盍餍械募夹g(shù)有靜態(tài)分組過濾�����、動(dòng)態(tài)分組過濾�、狀態(tài)過濾和服務(wù)器技術(shù),它們的安全級(jí)別依次升高����,但具體實(shí)踐中既要考慮體系的性價(jià)比��,又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外�����,現(xiàn)今良好的防火墻還采用了VPN���、檢視和入侵檢測(cè)技術(shù)��。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內(nèi)外提供一致的安全策略;而且防火墻只實(shí)現(xiàn)了粗粒度的訪問控制�,也不能與企業(yè)內(nèi)部使用的其他安全機(jī)制(如訪問控制)集成使用����;另外�,防火墻難于管理和配置,由多個(gè)系統(tǒng)(路由器、過濾器、服務(wù)器�、網(wǎng)關(guān)���、保壘主機(jī))組成的防火墻����,管理上難免有所疏忽�。
(四)入侵檢測(cè)系統(tǒng)
入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)��,是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)��。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄����,入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)��,從而達(dá)到限制這些活動(dòng)���,以保護(hù)系統(tǒng)的安全��。在校園網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù),最好采用混合入侵檢測(cè),在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)��,則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系��。
(五)虛擬專用網(wǎng)(VPN)技術(shù)
VPN是目前解決信息安全問題的一個(gè)最新��、最成功的技術(shù)課題之一��,所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)��,使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制�����,這兩種機(jī)制為路由過濾技術(shù)和隧道技術(shù)���。目前VPN主要采用了如下四項(xiàng)技術(shù)來保障安全:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密匙管理技術(shù)(KeyManagement)和使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機(jī)制應(yīng)能技術(shù)不同層次的安全服務(wù)��,這些安全服務(wù)包括不同強(qiáng)度的源鑒別�����、數(shù)據(jù)加密和數(shù)據(jù)完整性等��。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號(hào)VPN;按隧道協(xié)議可分為第二層和第三層的�����;按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的�。
(六)其他網(wǎng)絡(luò)安全技術(shù)
1.智能卡技術(shù),智能卡技術(shù)和加密技術(shù)相近,其實(shí)智能卡就是密匙的一種媒體����,由授權(quán)用戶持有并由該用戶賦與它一個(gè)口令或密碼字��,該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致。智能卡技術(shù)一般與身份驗(yàn)證聯(lián)合使用。
2.安全脆弱性掃描技術(shù)�,它為能針對(duì)網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段�����,指出系統(tǒng)存在或潛在的安全漏洞�����,以改進(jìn)系統(tǒng)對(duì)網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)���。
3.網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)��、備份及容災(zāi)規(guī)劃,它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù)����,使整個(gè)系統(tǒng)在最短的時(shí)間內(nèi)重新投入正常運(yùn)行的一種安全技術(shù)方案��。
4.IP盜用問題的解決。在路由器上捆綁IP和MAC地址�����。當(dāng)某個(gè)IP通過路由器訪問Internet時(shí)���,路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符��,如果相符就放行�。否則不允許通過路由器���,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息�。
5.Web,Email����,BBS的安全監(jiān)測(cè)系統(tǒng)���。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),實(shí)時(shí)跟蹤���、監(jiān)視網(wǎng)絡(luò),截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP�����、Telnet應(yīng)用的內(nèi)容����,建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容��,及時(shí)向上級(jí)安全網(wǎng)管中心報(bào)告�����,采取措施�。
第5篇
1.1網(wǎng)絡(luò)安全的定義
國際標(biāo)準(zhǔn)化組織(ISO)將網(wǎng)絡(luò)安全[2]定義為:為數(shù)據(jù)處理系統(tǒng)建立相應(yīng)的安全保護(hù)措施,保護(hù)運(yùn)行在網(wǎng)絡(luò)系統(tǒng)中的硬件���、軟件以及系統(tǒng)中的數(shù)據(jù)不被黑客更改、破壞或者泄露����,從而保證了網(wǎng)絡(luò)服務(wù)不中斷�,使得系統(tǒng)可靠安全地運(yùn)行.上述網(wǎng)絡(luò)安全的定義包含兩方面內(nèi)容:物理安全和邏輯安全.其中物理安全是指在構(gòu)建網(wǎng)絡(luò)系統(tǒng)的時(shí)候�����,保證物理線路能夠防雷����、放火�、防水、防盜等�,能夠保證物理線路連續(xù)的進(jìn)行數(shù)據(jù)傳輸.而邏輯安全通常指的是傳輸在網(wǎng)絡(luò)上數(shù)據(jù)的信息安全,即對(duì)網(wǎng)絡(luò)上傳輸信息的保密性、可用性和完整性的保護(hù).另一方面����,網(wǎng)絡(luò)安全性的涵義也可以理解成是信息安全的一種引申����,即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息的保密性���、可用性和完整性提供相應(yīng)的保護(hù).概括的說�,可以將網(wǎng)絡(luò)安全定義為:為保證目前網(wǎng)絡(luò)中運(yùn)行的系統(tǒng)、信息數(shù)據(jù)、信道傳輸數(shù)據(jù)和信息內(nèi)容的安全而采取相應(yīng)的措施��,從而保證網(wǎng)絡(luò)中信息傳輸���、交換以及處理的保密性�、可用性、可控性、可審查性、完整性.
1.2網(wǎng)絡(luò)安全基本特征
網(wǎng)絡(luò)安全應(yīng)具有保密性����、可用性���、可控性�����、可審查性、完整性等五個(gè)方面的特征.保密性:信息未經(jīng)授權(quán)不泄露給任何用戶,而且信息的特性也具有保密性,其它非授權(quán)用戶��、實(shí)體或過程無法利用其特征.可用性:用戶經(jīng)過授權(quán)后可按需使用���,即授權(quán)用戶當(dāng)需要該信息時(shí)能否正常存?��。W(wǎng)絡(luò)環(huán)境下常見的可用性的攻擊包括拒絕服務(wù)攻擊���、破壞網(wǎng)絡(luò)或系統(tǒng)的正常運(yùn)行等.可控性:對(duì)網(wǎng)絡(luò)中傳播的信息及其內(nèi)容具有控制能力.可審查性:當(dāng)網(wǎng)絡(luò)中出現(xiàn)安全問題時(shí)可提供相應(yīng)的依據(jù)與手段���,便于追蹤攻擊源.完整性:用戶未經(jīng)授權(quán)不能隨意改變數(shù)據(jù)的特性�����,即信息在保存或者傳輸?shù)倪^程中擁有不被修改、破壞或丟失的特性��,保證了信息的完整性.
2校園網(wǎng)建設(shè)概述及其安全威脅
隨著互聯(lián)網(wǎng)的快速普及����,校園網(wǎng)建設(shè)已經(jīng)成為學(xué)校的基礎(chǔ)建設(shè)之一,教育信息化�����、數(shù)字化已經(jīng)成為教育發(fā)展的主方向���,校園網(wǎng)已成為學(xué)校日常教學(xué)����、辦公�、科研�、管理、生活主要的工具和手段之一��,并發(fā)揮著越來越重要的作用[3].另一方面�����,隨著國家科教興國戰(zhàn)略的實(shí)施����,政府加強(qiáng)了對(duì)學(xué)校的投資�����,由此也加強(qiáng)了學(xué)校對(duì)校園網(wǎng)的建設(shè).中國教育和科研計(jì)算機(jī)網(wǎng)(CER-NET)的成立,標(biāo)志著教育網(wǎng)的形成.CERNET主干網(wǎng)絡(luò)傳輸速率已達(dá)到2.5Gpbs��,總?cè)萘窟_(dá)40Gpbs��,它吸引超過1000所高校的鼎力加盟���,覆蓋全國超過200個(gè)城市.目前�����,大部分學(xué)校都已建成校園網(wǎng),實(shí)現(xiàn)了校園網(wǎng)的整體覆蓋�����,包括辦公樓�����、教學(xué)樓�、宿舍樓等.校園網(wǎng)同時(shí)與Internet對(duì)接�����,實(shí)現(xiàn)了校園辦公教學(xué)的信息化���、自動(dòng)化.如圖1所示�����,為一個(gè)簡單的校園網(wǎng)組網(wǎng)模型.隨著CERNET的建設(shè)不斷提高�����,校園網(wǎng)已經(jīng)成為互聯(lián)網(wǎng)的重要組成部分之一��,是學(xué)校信息化、數(shù)字化建設(shè)的基礎(chǔ)設(shè)施,同時(shí)擔(dān)任著科研與教學(xué)的重要任務(wù).然而�,目前國內(nèi)大多數(shù)學(xué)校都缺乏對(duì)校園網(wǎng)建設(shè)的綜合規(guī)劃、缺乏相應(yīng)的網(wǎng)絡(luò)管理措施、以及對(duì)校園網(wǎng)絡(luò)的認(rèn)識(shí)不足���,這些都極大阻礙了校園網(wǎng)的發(fā)展.因此合理地對(duì)校園網(wǎng)絡(luò)升級(jí),是目前學(xué)校校園網(wǎng)工程的首要目標(biāo)之一[4].同時(shí),校園網(wǎng)作為學(xué)校數(shù)字化、信息化的基礎(chǔ)設(shè)施�,安全問題不容忽視.在互聯(lián)網(wǎng)開放程度很高的今天,校園網(wǎng)往往最容易成為黑客攻擊的目標(biāo).威脅校園網(wǎng)安全的因素有很多,但主要的安全威脅有以下幾類.
2.1TCP/IP協(xié)議漏洞造成的威脅
現(xiàn)在互聯(lián)網(wǎng)上使用最多的協(xié)議就是TCP/IP協(xié)議了����,這幾乎是所有校園網(wǎng)采用的網(wǎng)絡(luò)傳輸協(xié)議.TCP/IP協(xié)議在設(shè)計(jì)之初����,就沒有考慮安全問題�����,它只考慮如何把信息互相傳輸�����,因此存在很大的安全威脅.雖然國際標(biāo)準(zhǔn)化組織提出的OSI七層協(xié)議能夠很好的保證網(wǎng)絡(luò)安全�,但是由于TCP/IP協(xié)議的開放性和通用性幾乎占用了整個(gè)市場(chǎng)����,使得OSI七層協(xié)議無法推廣.所以,目前網(wǎng)絡(luò)黑客針對(duì)TCP/IP漏洞攻擊有很多,例如:數(shù)據(jù)竊聽���、源地址欺騙�����、ARP欺騙等等.
(1)數(shù)據(jù)竊聽(PacketSniff).TCP/IP協(xié)議從設(shè)計(jì)之初�����,就采取的是數(shù)據(jù)包明碼傳輸,這種傳輸模式使得數(shù)據(jù)包很容易被竊聽��、修改和偽造.黑客可以利用一系列工具獲取網(wǎng)絡(luò)中正在傳輸?shù)臄?shù)據(jù)包��,竊取用戶有利用價(jià)值的信息��,如用戶賬戶和密碼等信息.同時(shí),黑客也能修改和偽造數(shù)據(jù)包�,讓用戶誤入釣魚網(wǎng)站或者竊取網(wǎng)上銀行信息�,給用戶造成直接經(jīng)濟(jì)損失.特別是在校園網(wǎng)中��,數(shù)據(jù)包流通比較集中��,一旦獲取了校園網(wǎng)服務(wù)器或管理員賬號(hào)信息�����,將會(huì)給校園網(wǎng)絡(luò)造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網(wǎng)絡(luò)安全中,一個(gè)比較重要的安全問題就是源地址欺騙.這里的源地址���,能夠是IP地址����,也能是MAC地址.但是MAC地址隨著路由轉(zhuǎn)發(fā)��,信息會(huì)發(fā)生變化�,而且在實(shí)際的網(wǎng)絡(luò)系統(tǒng)中���,也有一定的限制,改造欺騙難度比較大���,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機(jī)IP地址,騙取防火墻信任��,從而對(duì)校園網(wǎng)內(nèi)部發(fā)起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個(gè)完整的IP數(shù)據(jù)包中�����,通常只包含源地址和目的地址���,即路由器可以知道數(shù)據(jù)包從哪個(gè)主機(jī)發(fā)送出來,將要到達(dá)哪個(gè)主機(jī).源路由是指數(shù)據(jù)包將會(huì)列出所要經(jīng)過的路由�����,路由器將會(huì)根據(jù)這些指定的路由將數(shù)據(jù)包送達(dá)相應(yīng)的主機(jī)���,然后根據(jù)其反向路由進(jìn)行應(yīng)答���,從而實(shí)現(xiàn)主機(jī)之間的通信.而源路由選擇欺騙���,則是攻擊者通過偽造主機(jī)源路由��,讓數(shù)據(jù)包經(jīng)過該主機(jī)必經(jīng)路由,使受攻擊主機(jī)出現(xiàn)錯(cuò)誤判斷,將某些被保護(hù)的數(shù)據(jù)提供給了攻擊者.另一方面�,由于路由器一般對(duì)接收到的路由信息是不經(jīng)過檢驗(yàn)的����,這樣就給攻擊者提供便利��,攻擊者可以發(fā)送虛假數(shù)據(jù)包�����,改變某些重要數(shù)據(jù)包的傳遞路徑,使得數(shù)據(jù)在傳遞到正常主機(jī)前�����,即可抓取分析,從而也達(dá)到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協(xié)議還無法證明網(wǎng)絡(luò)身份的真實(shí)有效性,因此黑客可以偽造他人合法身份入侵到網(wǎng)絡(luò)系統(tǒng)或者獲取密鑰信息,從而達(dá)到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協(xié)議���,作用是將網(wǎng)絡(luò)中的IP地址轉(zhuǎn)換成MAC物理地址的協(xié)議.因?yàn)樵诰钟蚓W(wǎng)中�,尤其是在校園網(wǎng)中�,使用最多的往往是MAC地址進(jìn)行傳輸,而不是IP地址進(jìn)行傳輸,所以ARP協(xié)議能夠很快的讓局域網(wǎng)中的兩臺(tái)主機(jī)進(jìn)行通信.而黑客只需在局域網(wǎng)中進(jìn)行網(wǎng)絡(luò)監(jiān)聽,獲取到一臺(tái)主機(jī)A的節(jié)點(diǎn)信息(IP地址和MAC地址),就能偽造A的數(shù)據(jù)包�,與B進(jìn)行通信��,獲取有用信息.另一方面,黑客可以偽造一個(gè)不存在的MAC地址在局域網(wǎng)內(nèi)傳播,形成廣播風(fēng)暴�,這樣會(huì)造成網(wǎng)絡(luò)不通�,給局域網(wǎng)造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊����,即拒絕服務(wù)攻擊,攻擊者的目的是讓目標(biāo)主機(jī)或網(wǎng)絡(luò)無法提供正常服務(wù).因?yàn)門CP協(xié)議采用三次握手建立一次連接,而任何一次握手失敗���,則會(huì)重新發(fā)送.攻擊者正是利用這一個(gè)協(xié)議漏洞,采取不斷建立連接,然后丟棄該連接數(shù)據(jù)包�����,使得服務(wù)器處于等待狀態(tài)����,如果攻擊者一直持續(xù)連接和丟棄的過程����,則服務(wù)器和網(wǎng)絡(luò)所有的資源會(huì)被完全消耗��,導(dǎo)致計(jì)算機(jī)或網(wǎng)絡(luò)無法正常工作,從而達(dá)到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊,即分布式拒絕服務(wù)攻擊���,它是指攻擊者借助一系列工具或手段��,聯(lián)合多個(gè)計(jì)算機(jī)組成攻擊平臺(tái),對(duì)一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊.最基本的DoS是利用合法的服務(wù)請(qǐng)求,占用攻擊目標(biāo)主機(jī)大量服務(wù)資源,使得正常用戶無法訪問.然而DoS服務(wù)需要占用大量帶寬��,單個(gè)計(jì)算機(jī)攻擊肯定無法達(dá)到攻擊者想要的目標(biāo).因此網(wǎng)絡(luò)黑客會(huì)抓取網(wǎng)絡(luò)“肉雞”�����,集合大量網(wǎng)絡(luò)帶寬����,組成龐大的攻擊平臺(tái)����,可以在瞬間讓被攻擊目標(biāo)處于癱瘓狀態(tài).
(8)TCP序列號(hào)欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號(hào)��,形成一個(gè)TCP封包,對(duì)網(wǎng)絡(luò)中可信節(jié)點(diǎn)進(jìn)行攻擊.而且最重要的是���,黑客可能利用偽造的TCP封包發(fā)動(dòng)SYN攻擊����,讓服務(wù)器無法完成三次握手,造成服務(wù)器開放大量等待端口�,影響正常網(wǎng)絡(luò)訪問���,嚴(yán)重時(shí)��,可直接造成服務(wù)器死機(jī)��,如果該服務(wù)器是WEB服務(wù)器或者DNS服務(wù)器,那么可能導(dǎo)致網(wǎng)站主頁無法鏈接或者校園網(wǎng)內(nèi)部用戶無法訪問外部網(wǎng)絡(luò).
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協(xié)議是Internet控制報(bào)文協(xié)議�����,它屬于TCP/IP協(xié)議下的一個(gè)子協(xié)議�,用于在IP主機(jī)和路由器之間傳遞控制消息.其中控制消息是指網(wǎng)絡(luò)是否暢通、主機(jī)是否可連接�、路由是否可用等一系列消息��,它對(duì)數(shù)據(jù)傳輸有很重要的作用.而ICMP攻擊是指利用操作系統(tǒng)ICMP的尺寸大小不得超過64KB這一規(guī)定,發(fā)動(dòng)“PingofDeath”攻擊��,當(dāng)主機(jī)ICMP數(shù)據(jù)包尺寸超過64KB時(shí)�,主機(jī)會(huì)發(fā)生內(nèi)存分配錯(cuò)誤��,導(dǎo)致TCP/IP堆棧崩潰,使得目標(biāo)主機(jī)死機(jī).雖然操作系統(tǒng)通過取消ICMP數(shù)據(jù)包大小限制來解決該漏洞�����,但是向目標(biāo)主機(jī)發(fā)動(dòng)持續(xù)����、大規(guī)模的ICMP攻擊��,會(huì)消耗主機(jī)CPU�����、內(nèi)存等資源��,嚴(yán)重時(shí)也會(huì)導(dǎo)致目標(biāo)主機(jī)癱瘓,無法提供正常服務(wù).
2.2漏洞威脅
軟件和操作系統(tǒng)是由程序員編寫的�����,而在開發(fā)的過程中���,多多少少會(huì)存在各種各樣的漏洞問題,這些漏洞如果不能及時(shí)修復(fù)��,將會(huì)對(duì)主機(jī)造成重大安全威脅.一旦該主機(jī)被攻破�,同時(shí)也會(huì)給該主機(jī)處在的局域網(wǎng)中的其它機(jī)器造成威脅,情況嚴(yán)重時(shí)���,甚至?xí)斐烧麄€(gè)網(wǎng)絡(luò)癱瘓.近幾年來���,無論是Windows操作系統(tǒng)����,還是Linux操作系統(tǒng)�,的補(bǔ)丁數(shù)目一直持續(xù)增加.特別是Windows操作系統(tǒng),在校園網(wǎng)內(nèi)擁有的用戶眾多�����,如果沒能及時(shí)修復(fù)各種漏洞�,勢(shì)必會(huì)影響整個(gè)校園網(wǎng)安全.
2.3病毒、木馬威脅
近些年來����,隨著互聯(lián)網(wǎng)的普及,網(wǎng)絡(luò)上各種各樣的開源軟件繁多,有些開源軟件打著免費(fèi)的旗號(hào)����,暗留后門或者對(duì)操作系統(tǒng)植入木馬�,稍不注意���,就會(huì)對(duì)整個(gè)系統(tǒng)造成重大影響.同時(shí),網(wǎng)絡(luò)上黑客也會(huì)主動(dòng)攻擊,種植木馬,抓取網(wǎng)絡(luò)肉雞����,作為自己攻擊的跳板�����,對(duì)互聯(lián)網(wǎng)上其它的計(jì)算機(jī)造成嚴(yán)重威脅.
2.4初級(jí)黑客攻擊
校園網(wǎng)因?yàn)樽陨砭窒扌裕渚W(wǎng)絡(luò)管理水平無法與企業(yè)相比,因此很容易受到網(wǎng)絡(luò)上初級(jí)黑客的攻擊�����,作為他們?cè)囀值哪繕?biāo).另外一方面,互聯(lián)網(wǎng)出現(xiàn)的一系列黑客教程、黑客工具���,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡單�����,這讓許多初級(jí)黑客也能在一段時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)造成嚴(yán)重的攻擊.且根據(jù)心理學(xué)研究分析�����,很多普通攻擊者往往有炫耀心理,即把校園網(wǎng)作為自己攻擊的目標(biāo)�����,以獲取所謂的成功感�����,這讓校園網(wǎng)增加更多的威脅.
3目前校園網(wǎng)網(wǎng)絡(luò)建設(shè)中存在的主要安全問題
目前在校園網(wǎng)網(wǎng)絡(luò)建設(shè)中主要存在的安全問題分為人為因素導(dǎo)致的安全問題和非人為因素導(dǎo)致的安全問題.
3.1人為因素導(dǎo)致的網(wǎng)絡(luò)安全問題
3.1.1校園網(wǎng)用戶數(shù)量龐大
校園網(wǎng)內(nèi)用戶量眾多且處在同一個(gè)局域網(wǎng)中�����,同時(shí)���,校園網(wǎng)內(nèi)服務(wù)器數(shù)量也是別的局域網(wǎng)不能比擬的.用戶量加上數(shù)目可觀、功能強(qiáng)大的服務(wù)器�����,這些條件也吸引著互聯(lián)網(wǎng)上眾多黑客的攻擊,因此存在著很大的安全隱患.
3.1.2校園網(wǎng)用戶安全意識(shí)低
根據(jù)調(diào)查研究發(fā)現(xiàn)����,校園網(wǎng)的用戶大部分都安全意識(shí)不強(qiáng)���,用戶計(jì)算機(jī)整體水平偏低����,有一部分校園網(wǎng)用戶基本上不安裝殺毒軟件,也沒能及時(shí)給系統(tǒng)打補(bǔ)丁,系統(tǒng)處于“裸奔”狀態(tài).這對(duì)于當(dāng)今如此開放的互聯(lián)網(wǎng),將直接為黑客提供攻擊目標(biāo).而且校園網(wǎng)用戶極少學(xué)習(xí)相應(yīng)的安全防范知識(shí)���,在下載和使用軟件時(shí)��,基本上不考慮其風(fēng)險(xiǎn)性���,這些都將會(huì)給黑客制造攻擊機(jī)會(huì)�����,影響整個(gè)校園網(wǎng)安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權(quán)用戶,它在一定程度上破壞了計(jì)算機(jī)系統(tǒng)的保密性.目前,常見的信息泄密有:操作系統(tǒng)漏洞����、流氓軟件、網(wǎng)絡(luò)監(jiān)聽���、病毒�、木馬、業(yè)務(wù)流分析���、網(wǎng)絡(luò)釣魚��、電磁���、物理入侵�、射頻截獲、非法授權(quán)��、計(jì)算機(jī)后門程序.
3.1.4拒絕服務(wù)攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計(jì)算機(jī)停止提供服務(wù),讓合法的信息或資源訪問被拒絕或者嚴(yán)重推遲.常見的DoS攻擊有:SYNFlood����、IP欺騙����、UDP洪水攻擊��、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統(tǒng)漏洞�、病毒�����、木馬、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網(wǎng)絡(luò)濫用
由于授權(quán)的用戶因操作或行為不當(dāng)�,導(dǎo)致網(wǎng)絡(luò)濫用���,從而導(dǎo)致網(wǎng)絡(luò)安全威脅,例如非法外聯(lián)�、非法內(nèi)聯(lián)��、設(shè)備濫用����、業(yè)務(wù)濫用、移動(dòng)風(fēng)險(xiǎn)等等.
3.2非人為因素導(dǎo)致的網(wǎng)絡(luò)安全問題
網(wǎng)絡(luò)安全除去人為因素外��,很大一部分安全威脅來自安全工具和操作系統(tǒng)自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應(yīng)用范圍和環(huán)境,同時(shí)安全工具受到人為因素�����、系統(tǒng)漏洞���、程序BUG的影響,這些因素反而給攻擊者帶來了一定的便利.對(duì)于操作系統(tǒng)而言�,沒有絕對(duì)安全的操作系統(tǒng)����,無論是微軟的Windows系列操作系統(tǒng)���,還是開源的Linux操作系統(tǒng)��,都有存在后門或漏洞的可能.世界上沒有絕對(duì)安全的操作系統(tǒng),因此在搭建校園網(wǎng)時(shí),要選擇安全性盡可能高的操作系統(tǒng),而且要隨時(shí)提供校園網(wǎng)用戶漏洞補(bǔ)丁下載�����,以及殺毒軟件����,保證用戶系統(tǒng)安全性始終最高.由上所述,我們可以說網(wǎng)絡(luò)安全問題絕大部分是由人為因素引起的.現(xiàn)在,國家也制定了相應(yīng)的法律來保護(hù)網(wǎng)絡(luò)安全�����,打擊相應(yīng)的網(wǎng)絡(luò)犯罪活動(dòng).但是校園網(wǎng)作為一個(gè)龐大的用戶群�,如何防范這些網(wǎng)絡(luò)犯罪活動(dòng)顯得尤為重要.我們不能等著整個(gè)網(wǎng)絡(luò)被攻擊導(dǎo)致癱瘓后再想著去防范�,而是要在攻擊之前做好準(zhǔn)備工作,讓校園網(wǎng)在安全中運(yùn)行.
4加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)的對(duì)策和建議
加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)主要從以下幾個(gè)方面來進(jìn)行.
4.1應(yīng)重視校園網(wǎng)網(wǎng)絡(luò)的安全搭建
在校園網(wǎng)工程的建設(shè)中����,網(wǎng)絡(luò)系統(tǒng)的搭建是屬于弱電工程��,它的耐壓值比較低.由此,在校園網(wǎng)工程的設(shè)計(jì)和建設(shè)中��,一定要首先考慮人以及網(wǎng)絡(luò)中物理設(shè)備的防火�����、防電以及防雷等安全問題���;考慮網(wǎng)絡(luò)中布線系統(tǒng)與通信線路、照明線路����、動(dòng)力線路���、空氣對(duì)流管道以及暖氣管道之間的距離����;考慮網(wǎng)絡(luò)中物理電路的接地安全�;考慮建設(shè)合理的防雷系統(tǒng),保證建筑物、計(jì)算機(jī)以及其它物理設(shè)備的防雷[6].
4.2應(yīng)加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)的安全維護(hù)技術(shù)
從技術(shù)層面來說,網(wǎng)絡(luò)安全主要是由防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)�、病毒監(jiān)測(cè)系統(tǒng)等多個(gè)安全組件組成��,單獨(dú)的一個(gè)組件是無法保證當(dāng)前網(wǎng)絡(luò)信息安全的.最早的網(wǎng)絡(luò)安全技術(shù)是采用邊界閾值控制法,即通過對(duì)網(wǎng)絡(luò)邊界的數(shù)據(jù)包進(jìn)行監(jiān)測(cè),符合規(guī)定的數(shù)據(jù)包可通過�,不符合規(guī)定的數(shù)據(jù)包就拋棄���,這種方式在一定程度上能阻止對(duì)網(wǎng)絡(luò)的入侵和攻擊����,但是不能有效防止網(wǎng)絡(luò)攻擊.目前���,應(yīng)用比較廣泛的網(wǎng)絡(luò)安全基本技術(shù)有:防火墻技術(shù)�����、防病毒技術(shù)�、數(shù)據(jù)加密技術(shù)等.防火墻[7]指的是一個(gè)由硬件和軟件混合組成的設(shè)備��,用于將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離起來�����,建立一層安全保護(hù)屏障,它是一種隔離控制技術(shù).常見的防火墻有包過濾技術(shù)���、技術(shù)、狀態(tài)監(jiān)測(cè)技術(shù)等.相對(duì)于防火墻來說�,防病毒技術(shù)將是從計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部進(jìn)行防控�,主要預(yù)防病毒程序��、后門程序����、網(wǎng)絡(luò)監(jiān)聽等.目前采取比較多的防病毒手段是對(duì)系統(tǒng)進(jìn)行監(jiān)聽,阻止不合規(guī)定進(jìn)程.而且防病毒技術(shù)永遠(yuǎn)是滯后性的����,即防病毒工具一直在病毒出現(xiàn)后才能組織.現(xiàn)在的防病毒技術(shù)和云平臺(tái)技術(shù)結(jié)合��,已經(jīng)對(duì)病毒起到了一定的控制作用.相對(duì)前面兩種技術(shù)來說,數(shù)據(jù)加密技術(shù)就比較靈活了.可以將用戶的信息經(jīng)過加密后�����,再在網(wǎng)絡(luò)上傳輸��,及時(shí)數(shù)據(jù)被黑客截獲,沒有有效的密鑰,數(shù)據(jù)對(duì)黑客來說也只是一堆無效數(shù)據(jù)而已.在開放的互聯(lián)網(wǎng)平臺(tái)����,數(shù)據(jù)加密能夠有效的保證了用戶的隱私以及數(shù)據(jù)的安全[8].
4.3應(yīng)建立科學(xué)的校園網(wǎng)網(wǎng)絡(luò)管理人員崗位職責(zé)
計(jì)算機(jī)網(wǎng)絡(luò)安全絕大部分是人為因素引起的.因此在校園網(wǎng)搭建過程中����,關(guān)于對(duì)計(jì)算機(jī)系統(tǒng)管理員的培訓(xùn)及管理�����,是校園網(wǎng)網(wǎng)絡(luò)安全中最重要的一部分.一個(gè)不合理的操作�����,很有可能讓整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓,因此必須建立健全管理規(guī)范,明確管理員責(zé)任和權(quán)利.同時(shí),要記錄管理員操作信息���,當(dāng)發(fā)現(xiàn)不合規(guī)定的記錄時(shí),可以及時(shí)分析�����,如果發(fā)現(xiàn)黑客入侵����,則及時(shí)采取必要措施杜絕黑客進(jìn)一步入侵,必要時(shí)需向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案�����,減少學(xué)校損失.另外一方面���,建立健全的管理制度以及嚴(yán)格的管理模式�����,可以保證校園網(wǎng)的正常、安全運(yùn)行.總而言之�,網(wǎng)絡(luò)安全涉及的領(lǐng)域很多�����,是一個(gè)綜合性的問題.只有合理的運(yùn)用相關(guān)技術(shù)以及人員培訓(xùn),才能盡最大可能的把安全威脅降到最低.
5結(jié)語
第6篇
(一)網(wǎng)絡(luò)系統(tǒng)的軟硬件及系統(tǒng)數(shù)據(jù)受到保護(hù),不受外界因素或者惡意的破壞所影響���,系統(tǒng)可以正常的運(yùn)轉(zhuǎn)��,網(wǎng)絡(luò)服務(wù)不會(huì)中斷就是網(wǎng)絡(luò)安全的定義。
(二)網(wǎng)絡(luò)安全具有一些鮮明的特征,其不同于其他技術(shù),計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)虛擬的世界���,其特征也是具有多樣性的特點(diǎn)。
1.保密性:計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)將信息嚴(yán)格保密,未經(jīng)許可不能向非授權(quán)用戶及實(shí)體進(jìn)行泄露��,也絕對(duì)不允許非授權(quán)用戶使用���。
2.完整性:當(dāng)在網(wǎng)絡(luò)上進(jìn)行存儲(chǔ)時(shí)要具有存儲(chǔ)過程中未經(jīng)授權(quán)不能改變和破壞丟失數(shù)據(jù)的特點(diǎn)��。
3.可用性:指的是可以在授權(quán)實(shí)體的要求下進(jìn)行使用的特點(diǎn)�,通俗的說也就是能夠隨時(shí)存取所需要的信息����。網(wǎng)絡(luò)環(huán)境下破壞服務(wù)、拒絕服務(wù)的系統(tǒng)正常運(yùn)行就屬于針對(duì)可用性這一特性的攻擊����。
4.可控性:可以針對(duì)信息的傳播進(jìn)行有效的控制���。
5.可審查性:針對(duì)安全問題的發(fā)生提供有力的手段和依據(jù)��。
二、購物網(wǎng)站安全現(xiàn)狀分析
當(dāng)前的購物網(wǎng)站安全問題是商業(yè)網(wǎng)站發(fā)展中的突出問題�����,隨著網(wǎng)絡(luò)技術(shù)的普及和互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展���,購物網(wǎng)站的規(guī)模和復(fù)雜性也越來越大���,其存在的安全漏洞也越來越多��。而且目前的網(wǎng)絡(luò)攻擊現(xiàn)象也不斷增多�����,針對(duì)購物網(wǎng)站的漏洞進(jìn)行惡意攻擊的現(xiàn)象不斷發(fā)生����,也構(gòu)成了購物網(wǎng)站的多種不安全因素。當(dāng)前的網(wǎng)絡(luò)攻擊行為多種方法混合使用�,復(fù)雜情況越來越多�����,隱蔽性也非常強(qiáng),針對(duì)其的防范也越來越困難���。黑客攻擊購物網(wǎng)站是為了獲取實(shí)際的經(jīng)濟(jì)利益�,木馬程序、惡意網(wǎng)站等危害網(wǎng)絡(luò)安全的手段越來越多�����,日趨泛濫����;而且隨著人們手中的互聯(lián)網(wǎng)設(shè)備發(fā)展越來越迅速,手機(jī)等無線掌上終端的處理能力和功能通用性不斷提高����,針對(duì)這些個(gè)人無線終端的網(wǎng)絡(luò)攻擊也開始出現(xiàn)�,而且呈發(fā)展趨勢(shì)���。當(dāng)前的購物網(wǎng)站通常采用資金通過第三方支付或者網(wǎng)上銀行支付的方式來進(jìn)行支付����,這雖然增強(qiáng)了網(wǎng)上購物的支付快捷性,但是其交易的安全性還存在一定的風(fēng)險(xiǎn)��。這一類的支付形式,通常很難保障消費(fèi)者網(wǎng)上消費(fèi)的安全�,一旦在數(shù)據(jù)的傳輸過程遭到攻擊���,消費(fèi)者的銀行信息資料可能被黑客盜取���,并為此遭受經(jīng)濟(jì)或者隱私損失����。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展���,還有許多惡意程序攻擊用戶計(jì)算機(jī)來達(dá)到一些不法分子別用用心的目的����,可能有計(jì)算機(jī)用戶在進(jìn)行網(wǎng)上消費(fèi)時(shí)落入惡意程序的陷阱��,從而使得黑客通過用戶的網(wǎng)上銀行進(jìn)入銀行數(shù)據(jù)庫盜取用戶信息����,給用戶造成經(jīng)濟(jì)損失�。所以��,網(wǎng)絡(luò)安全問題是一個(gè)高技術(shù)含量的復(fù)雜問題,而且越來越變得錯(cuò)綜復(fù)雜,其造成的惡劣影響也是不斷擴(kuò)大��,短期內(nèi)無法取得成效���。因此在網(wǎng)絡(luò)安全日益嚴(yán)重的今天�����,必須重視對(duì)網(wǎng)絡(luò)安全的防范����,只有做到防范到位,才能保障網(wǎng)絡(luò)應(yīng)用的順利進(jìn)行。購物網(wǎng)站根據(jù)網(wǎng)絡(luò)安全的防范要求�,通常采取一些措施加以防范�����,保障用戶網(wǎng)絡(luò)安全,主要有以下幾點(diǎn):第一��,身份真實(shí)性的識(shí)別:保障通信實(shí)體具有真實(shí)的身份���;第二���,信息機(jī)密性:保證機(jī)密信息不會(huì)泄露給非授權(quán)實(shí)體���;第三��,信息的完整性:保證數(shù)據(jù)的完整性��,防止非授權(quán)用戶對(duì)信息的破壞和使用;第四:服務(wù)可用性:防止合法用戶使用信息被非法拒絕;第五:不可否認(rèn)性:有效地責(zé)任機(jī)制可以防止實(shí)體否認(rèn)其行為�����;第六:系統(tǒng)可控性:可以控制使用資源的實(shí)體的使用方式����;第七:系統(tǒng)易用性:安全要求滿足的情況下,系統(tǒng)的操作要盡量簡單;第八:可審查性:可以為出問題的網(wǎng)絡(luò)安全問題提供調(diào)查依據(jù)和手段。
三、保障網(wǎng)絡(luò)工作順暢的措施
當(dāng)前階段,網(wǎng)絡(luò)工作要保障順暢����,要采取以下措施加以保障:
(一)針對(duì)網(wǎng)絡(luò)病毒進(jìn)行有效防范
網(wǎng)絡(luò)病毒是一種危害網(wǎng)絡(luò)安全的主要方式�����,其具有傳播快��,擴(kuò)散面廣��、傳播載體多樣的特點(diǎn),對(duì)于網(wǎng)絡(luò)病毒的清除也非常困難,其遺留的破壞力也相對(duì)較大�。而且網(wǎng)絡(luò)病毒可以郵件附件�����、服務(wù)器�����、文件共享及郵件等方式進(jìn)行傳播��。針對(duì)網(wǎng)絡(luò)病毒要注意幾點(diǎn)進(jìn)行防范��,對(duì)于不明附件和文件擴(kuò)展名不打開�,不盲目運(yùn)行程序也不盲目轉(zhuǎn)發(fā)不明郵件���,在進(jìn)行系統(tǒng)漏洞及其他操作時(shí)從正規(guī)的網(wǎng)站下載軟件����,經(jīng)常進(jìn)行病毒的查殺,盡可能使用最新版本的殺毒軟件定期進(jìn)行病毒查殺���。
(二)積極采用入侵檢測(cè)系統(tǒng)
入侵檢測(cè)技術(shù)是一項(xiàng)有效防范網(wǎng)絡(luò)攻擊的手段。其通過對(duì)各種網(wǎng)絡(luò)資源和系統(tǒng)資源信息的采集���,并對(duì)信息進(jìn)行有效地判斷和分析,來檢測(cè)其是否具有攻擊性和異常行為��,通過入侵檢測(cè)系統(tǒng)的檢測(cè)可以有效地將有害信息進(jìn)行剔除�����,防止其進(jìn)入網(wǎng)絡(luò)系統(tǒng)形成實(shí)際破壞和網(wǎng)絡(luò)隱私泄露情況發(fā)生����。而且��,入侵檢測(cè)系統(tǒng)還可以及時(shí)的將用戶信息及系統(tǒng)行為進(jìn)行分析���,針對(duì)系統(tǒng)漏洞進(jìn)行檢測(cè)��,及時(shí)將有害信息和攻擊行為及時(shí)通報(bào)和響應(yīng)���。
(三)進(jìn)行防火墻的配置
防火墻是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的重要方面���。通過防火墻的設(shè)置��,可以根據(jù)計(jì)算機(jī)系統(tǒng)的要求針對(duì)信息進(jìn)行篩選,允許和限制數(shù)據(jù)傳輸?shù)耐ㄟ^�。防火墻是一項(xiàng)有效的保護(hù)措施�����。侵入計(jì)算機(jī)的黑客必須要先通過防火墻的安全警戒,才能到達(dá)計(jì)算機(jī)系統(tǒng)內(nèi)部�����。防火墻還可以分成多個(gè)級(jí)別�,形成多重保護(hù)。高級(jí)別的保護(hù)可以根據(jù)用戶自身要求來對(duì)信息進(jìn)行針對(duì)性的保護(hù)�,這樣可以有效保護(hù)用戶的個(gè)人隱私信息���。
四�、小結(jié)
第7篇
1.1可用性
網(wǎng)絡(luò)系統(tǒng)的可用性是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)要隨時(shí)隨地能夠?yàn)橛脩舴?wù)��,要保障合法用戶能夠訪問到想要瀏覽的網(wǎng)絡(luò)信息�,不會(huì)出現(xiàn)拒絕合法用戶的服務(wù)要求和非合法用戶濫用的現(xiàn)象�。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)最重要的功能就是為合法用戶提供多方面的、隨時(shí)隨地的網(wǎng)絡(luò)服務(wù)��。
1.2完整性
網(wǎng)絡(luò)系統(tǒng)的完整性是指網(wǎng)絡(luò)信息在傳輸過程中不能因?yàn)槿魏卧?�,發(fā)生網(wǎng)絡(luò)信摻入、重放、偽造�����、修改����、刪除等破壞現(xiàn)象[1],影響網(wǎng)絡(luò)信息的完整性。通過信息攻擊、網(wǎng)絡(luò)病毒����、人為攻擊�、誤碼���、設(shè)備故障等原因都會(huì)造成網(wǎng)絡(luò)信息完整性的破壞�。
1.3保密性
網(wǎng)絡(luò)系統(tǒng)的保密性是指網(wǎng)絡(luò)系統(tǒng)要保證用戶信息不能發(fā)生泄露,主要體現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的可用性和可靠性,是網(wǎng)絡(luò)系統(tǒng)安全的重要指標(biāo)�����。保密性不同于完整性�,完整性強(qiáng)調(diào)的是網(wǎng)絡(luò)信息不能被破壞,保密性是指防止網(wǎng)絡(luò)信息的發(fā)生泄露[2]。
1.4真實(shí)性
網(wǎng)絡(luò)系統(tǒng)的真實(shí)性是指網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)系統(tǒng)操作的不可抵賴性,任何用戶都不能抵賴或者否定曾經(jīng)對(duì)網(wǎng)絡(luò)系統(tǒng)的承諾和操作�。
1.5可靠性
網(wǎng)絡(luò)系統(tǒng)的可靠性是指系統(tǒng)的安全穩(wěn)定運(yùn)行���,網(wǎng)絡(luò)系統(tǒng)要在一定的時(shí)間和條件下穩(wěn)定的完成網(wǎng)絡(luò)用戶指定的任務(wù)和功能���,網(wǎng)絡(luò)系統(tǒng)的可靠性是網(wǎng)絡(luò)安全最基本的要求����。
1.6可控性
網(wǎng)絡(luò)系統(tǒng)的可控性是指網(wǎng)絡(luò)系統(tǒng)可以控制和調(diào)整網(wǎng)絡(luò)信息傳播方式和傳播內(nèi)容的能力����,為了保障國家和廣大人民的利益����,為正常的社會(huì)管理秩序,網(wǎng)絡(luò)系統(tǒng)管理者有必要對(duì)網(wǎng)絡(luò)信息進(jìn)行適當(dāng)?shù)谋O(jiān)督和控制�,避免外地侵犯和社會(huì)犯罪�����,維護(hù)網(wǎng)絡(luò)安全。
2網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用
2.1防火墻
防火墻是指管理校園網(wǎng)和外界互聯(lián)網(wǎng)之間用戶訪問權(quán)限的軟件和硬件的組合設(shè)備[3]���,防火墻處于校園網(wǎng)和外界互聯(lián)網(wǎng)之間的通道中�����,能夠有效地阻斷來自外界的病毒和非法訪問,能夠有效地提高校園網(wǎng)的網(wǎng)絡(luò)安全��。防火墻可以有效攔截來自外界的不安全的訪問服務(wù)�,同時(shí)還可以對(duì)防火墻進(jìn)行設(shè)置,屏蔽有危害、不健康的網(wǎng)絡(luò)網(wǎng)站�����,降低校園網(wǎng)的安全危害����。另外防火墻還可以有效地監(jiān)控用戶對(duì)校園網(wǎng)的訪問,記錄用戶的訪問記錄,保存到網(wǎng)絡(luò)數(shù)據(jù)庫中,可以快速統(tǒng)計(jì)校園網(wǎng)的使用情況,在分析用戶訪問記錄如果發(fā)現(xiàn)用戶的操作存在安全問題��,防火墻可以及時(shí)發(fā)出報(bào)警信號(hào)��,提醒用戶的這個(gè)非法操作����,防止校園網(wǎng)內(nèi)部信息的泄露����、另外�����,防火墻可以和NAT技術(shù)高效地結(jié)合起來�����,用于隱藏校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)信息,提高校園網(wǎng)的安全系數(shù)�����,同時(shí)防火墻和NAT技術(shù)的高效結(jié)合很好地解決了校園網(wǎng)IP不足的情況����,提高了校園網(wǎng)的運(yùn)行效率。防火墻在校園網(wǎng)中的應(yīng)用����,完善了校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)隔斷�,即使校園網(wǎng)發(fā)生安全問題���,也可以在短時(shí)間內(nèi)控制問題擴(kuò)散的速度和范圍�����。防火墻在校園網(wǎng)中發(fā)揮著重要的作用�,能夠有效地阻斷來自外界互聯(lián)網(wǎng)的安全侵害�����,但是防火墻不能阻止校園網(wǎng)內(nèi)部的安全問題,不能拒絕和控制校園網(wǎng)內(nèi)部的感染病毒。
2.2VPN技術(shù)
VPN技術(shù)在校園網(wǎng)的應(yīng)用,通過VPN設(shè)備將校內(nèi)局域網(wǎng)和外部的互聯(lián)網(wǎng)連接起來,可以提高校園網(wǎng)的數(shù)據(jù)安全�����。VPN服務(wù)器經(jīng)過設(shè)置后�,只有符合相應(yīng)條件的用戶經(jīng)過連接VPN服務(wù)器才能獲得訪問特定網(wǎng)絡(luò)信息的權(quán)限,拒絕校園網(wǎng)內(nèi)用戶的危險(xiǎn)操作。VPN技術(shù)可以實(shí)現(xiàn)用戶驗(yàn)證�,通過驗(yàn)證校內(nèi)網(wǎng)用戶的身份�,只有符合條件的授權(quán)用戶才能連接到VPN服務(wù)器�����,進(jìn)行相關(guān)訪問���。其次實(shí)現(xiàn)校園網(wǎng)數(shù)據(jù)加密�����,VPN技術(shù)可以將通過互聯(lián)網(wǎng)通道傳輸?shù)臄?shù)據(jù)進(jìn)行加密���,只有經(jīng)過授權(quán)的用戶才能訪問這些信息��。再次實(shí)現(xiàn)校園網(wǎng)密鑰管理,通過生成校園網(wǎng)和互聯(lián)網(wǎng)的基本協(xié)議�����,提高校園網(wǎng)的可靠性����。并且VPN技術(shù)在校園網(wǎng)中的應(yīng)用不需要安裝VPN的客戶端設(shè)備,降低了校園網(wǎng)安全管理的成本���。通過VPN技術(shù)�,校園網(wǎng)絡(luò)管理員可以對(duì)校園網(wǎng)內(nèi)用戶的操作進(jìn)行實(shí)時(shí)監(jiān)控,及時(shí)發(fā)現(xiàn)校園網(wǎng)絡(luò)故障點(diǎn),進(jìn)行遠(yuǎn)程維護(hù),提高校園網(wǎng)維護(hù)管理能力。
2.3入侵檢測(cè)技術(shù)
入侵檢測(cè)技術(shù)在校園網(wǎng)中的應(yīng)用����,可以檢測(cè)校園網(wǎng)絡(luò)中一些不安全的網(wǎng)絡(luò)操作行為�����,一旦檢測(cè)到網(wǎng)絡(luò)系統(tǒng)中的一些異常現(xiàn)象和未授權(quán)的網(wǎng)絡(luò)操作,就會(huì)發(fā)出網(wǎng)絡(luò)報(bào)警信號(hào)�����。入侵檢測(cè)技術(shù)可以自動(dòng)分析校園網(wǎng)絡(luò)的用戶活動(dòng)��,檢測(cè)出校園網(wǎng)中授權(quán)用戶的非法使用和未授權(quán)用戶的越權(quán)使用[4]�。入侵檢測(cè)技術(shù)還可以監(jiān)控校園網(wǎng)絡(luò)系統(tǒng)的配置情況���,檢測(cè)出系統(tǒng)安全漏洞���,提醒校園網(wǎng)絡(luò)管理人員及時(shí)進(jìn)行維護(hù)��。另外��,入侵檢測(cè)技術(shù)在識(shí)別網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)威脅方面具有重要的作用,可以及時(shí)發(fā)出報(bào)警信號(hào),并且拒絕和處理網(wǎng)絡(luò)攻擊入侵行為,結(jié)合發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊模式����,檢測(cè)校園網(wǎng)系統(tǒng)結(jié)構(gòu)是否存在安全漏洞���,提高校園網(wǎng)的數(shù)據(jù)完整性����,進(jìn)行系統(tǒng)評(píng)估��。
2.4訪問控制技術(shù)
訪問控制技術(shù)主要是用來控制校園網(wǎng)用戶的非法訪問和非法操作,用戶想要進(jìn)入校園網(wǎng)�����,首先要通過訪問控制�,經(jīng)過驗(yàn)證識(shí)別用用戶口令、戶名���、密碼等,確定該用戶是否具有訪問校園網(wǎng)的權(quán)限�,當(dāng)用戶進(jìn)入校園網(wǎng)后�����,就會(huì)賦予用戶訪問操作權(quán)限,使校園網(wǎng)絡(luò)資源不會(huì)被未授權(quán)用戶非法使用和非法訪問����。
2.5網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)
校園網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)�,可以防止校園網(wǎng)信息數(shù)據(jù)丟失�����,保護(hù)校園網(wǎng)重要信息資源���。網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)可以實(shí)現(xiàn)集中式的網(wǎng)絡(luò)信息資源管理�����,對(duì)整個(gè)校園網(wǎng)系統(tǒng)中的信息資源進(jìn)行備份管理���,可以極大地提高校園網(wǎng)管理員的工作效率,實(shí)現(xiàn)網(wǎng)絡(luò)資源的統(tǒng)一管理��,利用網(wǎng)絡(luò)備份設(shè)備實(shí)時(shí)監(jiān)控校園網(wǎng)絡(luò)中的備份作業(yè)�����,結(jié)合校園網(wǎng)的運(yùn)行情況��,及時(shí)修改網(wǎng)絡(luò)備份策略[5],提高系統(tǒng)備份效率�����。校園網(wǎng)管理員可以利用網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)����,定時(shí)對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行備份,這是網(wǎng)絡(luò)管理重要環(huán)節(jié)�����。校園網(wǎng)的備份系統(tǒng)可以在用戶進(jìn)行校園網(wǎng)訪問時(shí)�,建立在線網(wǎng)絡(luò)索引,當(dāng)用戶需要恢復(fù)網(wǎng)絡(luò)信息時(shí)�,通過在線網(wǎng)絡(luò)索引中的備份系統(tǒng)就可以自動(dòng)恢復(fù)網(wǎng)絡(luò)數(shù)據(jù)文件�����。網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)實(shí)現(xiàn)了校園網(wǎng)絡(luò)的歸檔管理,通過時(shí)間定期和項(xiàng)目管理對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行歸檔管理����,在網(wǎng)絡(luò)環(huán)境建立統(tǒng)一的數(shù)據(jù)備份和儲(chǔ)存格式����,使所有網(wǎng)絡(luò)信息數(shù)據(jù)在統(tǒng)一格式中完成長時(shí)間的保存[6]�。
2.6災(zāi)難恢復(fù)技術(shù)
校園網(wǎng)中的災(zāi)難恢復(fù)主要包括兩類:個(gè)別數(shù)據(jù)文件的恢復(fù)和所有信息數(shù)據(jù)的恢復(fù)�����。當(dāng)校園網(wǎng)中的個(gè)別數(shù)據(jù)文件恢復(fù)可以利用網(wǎng)絡(luò)中備份系統(tǒng)完成個(gè)別受損數(shù)據(jù)文件的恢復(fù)���,校園網(wǎng)絡(luò)管理員可以瀏覽目錄或者數(shù)據(jù)庫�����,觸動(dòng)受損數(shù)據(jù)文件的恢復(fù)功能,系統(tǒng)會(huì)自動(dòng)加載存儲(chǔ)軟件,恢復(fù)受損文件��。所有信息數(shù)據(jù)的恢復(fù)主要應(yīng)用在當(dāng)發(fā)生意外災(zāi)難時(shí)導(dǎo)致整個(gè)校園網(wǎng)系統(tǒng)重組���、系統(tǒng)升級(jí)����、系統(tǒng)崩潰和信息數(shù)據(jù)丟失等情況。
3結(jié)語
第8篇
(一)網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時(shí),由于意識(shí)薄弱與經(jīng)費(fèi)投入不足等方面的原因,比如將原有的單機(jī)互聯(lián)���,使用原有的網(wǎng)絡(luò)設(shè)施;校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因?yàn)樽匀灰蛩氐膿p害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷����;機(jī)房設(shè)計(jì)不合理�����,溫度���、濕度不適應(yīng)以及無抗靜電����、抗磁干擾等設(shè)施���;網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足����,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等�����;以上情況都使得校園網(wǎng)絡(luò)基本處在一個(gè)開放的狀態(tài)�����,沒有有效的安全預(yù)警手段和防范措施。
(二)學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識(shí)淡薄、管理制度不完善
學(xué)校師生對(duì)網(wǎng)絡(luò)安全知識(shí)甚少�,安全意識(shí)淡薄��,U盤、移動(dòng)硬盤�、手機(jī)等存貯介質(zhì)隨意使用�;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識(shí)��,不能安全地配置和管理網(wǎng)絡(luò)�����;學(xué)校機(jī)房的登記管理制度不健全,允許不應(yīng)進(jìn)入的人進(jìn)入機(jī)房;學(xué)校師生上網(wǎng)身份無法唯一識(shí)別�,不能有效的規(guī)范和約束師生的非法訪問行為�����;缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)�����,使學(xué)校的網(wǎng)絡(luò)管理混亂�;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志��;計(jì)算機(jī)安裝還原卡或使用還原軟件�,關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài)���,這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞����。
(三)學(xué)校校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來品���,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時(shí)可能存在各種不合理操作,在網(wǎng)絡(luò)上運(yùn)行時(shí)��,這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素���。
(四)計(jì)算機(jī)病毒����、網(wǎng)絡(luò)病毒泛濫,造成網(wǎng)絡(luò)性能急劇下降�����,重要數(shù)據(jù)丟失
網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性�����,傳播到網(wǎng)絡(luò)服務(wù)器����,進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染���,危害極大����。感染計(jì)算機(jī)病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況�����,遭到端口掃描��、黑客攻擊�、網(wǎng)頁篡改或垃圾郵件次之���。校園網(wǎng)中教師和學(xué)生對(duì)文件下載�、電子郵件、QQ聊天的廣泛使用��,使得校園網(wǎng)內(nèi)病毒泛濫�。計(jì)算機(jī)病毒是一種人為編制的程序,它具有傳染性�����、隱蔽性����、激發(fā)性、復(fù)制性���、破壞性等特點(diǎn)。它的破壞性是巨大的��,一旦學(xué)校網(wǎng)絡(luò)中的一臺(tái)電腦感染上病毒��,就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個(gè)校園網(wǎng)絡(luò),只要網(wǎng)絡(luò)中有幾臺(tái)電腦中毒,就會(huì)堵塞出口,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”���,嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓。《參考消息》1989年8月2日刊登的一則評(píng)論�����,列出了下個(gè)世紀(jì)的國際恐怖活動(dòng)將采用五種新式武器和手段�,計(jì)算機(jī)病毒名列第二,這給未來的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”���、“灰鴿子”、“仇英”、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出�����,網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴(yán)峻�。
綜上所述,學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻�,在這種情況下��,學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行,同時(shí)又能提供豐富的網(wǎng)絡(luò)資源,保障辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題����。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題�����,文章提出以下校園網(wǎng)絡(luò)安全防范措施。
二、校園網(wǎng)絡(luò)的主要防范措施
(一)服務(wù)器
學(xué)校在建校園網(wǎng)絡(luò)之時(shí)配置一臺(tái)服務(wù)器��,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介����,在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序,對(duì)服務(wù)器進(jìn)行一些必要的設(shè)置。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器����,服務(wù)器會(huì)檢查用戶的訪問請(qǐng)求是否符合規(guī)定,才會(huì)到被用戶訪問的站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給用戶�。這樣�����,既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞,也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用�,外部網(wǎng)絡(luò)只能看到該服務(wù)器而無法獲知內(nèi)部網(wǎng)絡(luò)上的任何計(jì)算機(jī)信息�,整個(gè)校園網(wǎng)絡(luò)只有服務(wù)器是可見的,從而大大增強(qiáng)了校園網(wǎng)絡(luò)的安全性�。(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品��,是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一���。它是軟件或硬件設(shè)備的組合,通常被用來進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)���。防火墻通過控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理,在網(wǎng)絡(luò)間建立一個(gè)安全網(wǎng)關(guān),對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾(允許/拒絕)����,控制數(shù)據(jù)包的進(jìn)出�����,封堵某些禁止行為,提供網(wǎng)絡(luò)使用狀況(網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)/事后分析及處理,網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)情況的監(jiān)控分析,通過日志分析�,獲取時(shí)間�����、地址、協(xié)議和流量,網(wǎng)絡(luò)是否受到監(jiān)視和攻擊),對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對(duì)計(jì)算機(jī)系統(tǒng)的破壞,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作����。(三)防治網(wǎng)絡(luò)病毒
校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系�����,建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度�,定期對(duì)各工作站進(jìn)行維護(hù),對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施���。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作����,學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段�,在服務(wù)器和各辦公室�����、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版�����,對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)及漏洞修復(fù),定時(shí)升級(jí)文件并查毒殺毒���,使整個(gè)校園網(wǎng)絡(luò)有防病毒能力。
(四)口令加密和訪問控制
校園網(wǎng)絡(luò)管理員通過對(duì)校園師生用戶設(shè)置用戶名和口令加密驗(yàn)證�,加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶的管理��。網(wǎng)管理員要對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、交換機(jī)��、防火墻���、服務(wù)器的配置均設(shè)有口令加密保護(hù)��,賦予用戶一定的訪問存取權(quán)限��、口令字等安全保密措施,用戶只能在其權(quán)限內(nèi)進(jìn)行操作�,合理設(shè)置網(wǎng)絡(luò)共享文件�����,對(duì)各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含��、只讀等加密措施����,建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)�,建立詳細(xì)的用戶信息數(shù)據(jù)庫、網(wǎng)絡(luò)主機(jī)登錄日志�、交換機(jī)及路由器日志�、網(wǎng)絡(luò)服務(wù)器日志�����、內(nèi)部用戶非法活動(dòng)日志等��,定時(shí)對(duì)其進(jìn)行審查分析�,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故����,有效地保護(hù)網(wǎng)絡(luò)安全。
(五)VLAN(虛擬局域網(wǎng))技術(shù)
VLAN(虛擬局域網(wǎng))技術(shù)����,是指在交換局域網(wǎng)的基礎(chǔ)上�,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段����、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的網(wǎng)絡(luò)分段���。學(xué)校要將不同類型的用戶劃分在不同的VLAN中,將校園網(wǎng)絡(luò)劃分成幾個(gè)子網(wǎng)����。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個(gè)子網(wǎng)間通過路由器���、交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接�,網(wǎng)絡(luò)管理員借助VLAN技
術(shù)管理整個(gè)網(wǎng)絡(luò)��,通過設(shè)置命令,對(duì)每個(gè)子網(wǎng)進(jìn)行單獨(dú)管理,根據(jù)特定需要隔離故障���,阻止非法用戶非法訪問,防止網(wǎng)絡(luò)病毒、木馬程序,從而在整個(gè)網(wǎng)絡(luò)環(huán)境下����,計(jì)算機(jī)能安全運(yùn)行����。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段�,但仍會(huì)有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來不可預(yù)知的災(zāi)難,對(duì)網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理,定期做好服務(wù)器系統(tǒng)�、網(wǎng)絡(luò)通信系統(tǒng)���、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作��,并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案,對(duì)網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上�����。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段����。
(七)入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS)
IDS是一種網(wǎng)絡(luò)安全系統(tǒng)�����,是對(duì)防火墻有益的補(bǔ)充��。當(dāng)有敵人或者惡意用戶試圖通過Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí),IDS能檢測(cè)和發(fā)現(xiàn)入侵行為并報(bào)警�,通知網(wǎng)絡(luò)采取措施響應(yīng)�����。即使被入侵攻擊,IDS收集入侵攻擊的相關(guān)信息�,記錄事件�,自動(dòng)阻斷通信連接����,重置路由器、防火墻���,同時(shí)及時(shí)發(fā)現(xiàn)并提出解決方案,列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)����,增強(qiáng)系統(tǒng)的防范能力����,避免系統(tǒng)再次受到入侵。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù)�����,提供了對(duì)內(nèi)部攻擊��、外部攻擊和誤操作的實(shí)時(shí)保護(hù)�����,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,大大提高了網(wǎng)絡(luò)的安全性���。
(八)增強(qiáng)網(wǎng)絡(luò)安全意識(shí)���、健全學(xué)校統(tǒng)一規(guī)范管理制度
根據(jù)學(xué)校實(shí)際情況����,對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)�。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程�����、人員出入機(jī)房管理制度、工作人員操作規(guī)程和保密制度等)��。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作���,對(duì)學(xué)校專業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn)���,提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性���,并安排專業(yè)技術(shù)人員定期對(duì)校園網(wǎng)進(jìn)行維護(hù)���。
三�、結(jié)論
校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程,長期以來����,從病毒���、黑客與防范措施的發(fā)展來看�����,總是“道高一尺��,魔高一丈”��,沒有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng),只有通過綜合運(yùn)用多項(xiàng)措施,加強(qiáng)管理�����,建立一套真正適合校園網(wǎng)絡(luò)的安全體系�,提高校園網(wǎng)絡(luò)的安全防范能力。
摘要:隨著“校校通”工程的深入實(shí)施,校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施�����,擔(dān)負(fù)著學(xué)校教學(xué)��、教研�����、管理和對(duì)外交流等許多重要任務(wù)。校園網(wǎng)的安全問題,直接影響著學(xué)校的教學(xué)活動(dòng)����。文章結(jié)合十幾年來校園網(wǎng)絡(luò)使用安全及防范措施等方面的經(jīng)驗(yàn)�,對(duì)如何加強(qiáng)校園網(wǎng)絡(luò)安全作了分析和探討���。
關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全�����;防范措施�;防火墻;VLAN技術(shù)
校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備��、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系統(tǒng)管理軟件和應(yīng)用軟件���,將校園內(nèi)計(jì)算機(jī)和各種終端設(shè)備有機(jī)地集成在一起���,用于教學(xué)�、科研���、管理���、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)�����。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件�、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)��,不因偶然和惡意等因素而遭到破壞��、更改、泄密����,保障校園網(wǎng)的正常運(yùn)行���。隨著“校校通”工程的深入實(shí)施�����,學(xué)校教育信息化、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代的教育的發(fā)展方向。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患�����,建立一套切實(shí)可行的校園網(wǎng)絡(luò)防范措施�����,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題。
參考文獻(xiàn):
1�����、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.
2���、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.
3���、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.
4��、謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.
5���、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財(cái)經(jīng)高等?���?茖W(xué)校學(xué)報(bào),2002(8).
6���、李衛(wèi).計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社,2004.
第9篇
通過建立技術(shù)先進(jìn)���、管理完善�、機(jī)制健全建立醫(yī)院信息網(wǎng)絡(luò)安全管理體系,保證醫(yī)院信息網(wǎng)絡(luò)安全可靠暢通運(yùn)行���。
1.1醫(yī)院網(wǎng)絡(luò)內(nèi)部管理
(1)建立網(wǎng)絡(luò)安全管理規(guī)章制度加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全管理的重要措施之一就是建立健全網(wǎng)絡(luò)安全管理規(guī)章制度,提高醫(yī)院全員認(rèn)識(shí)到醫(yī)院網(wǎng)絡(luò)安全管理重要性����,設(shè)立以院領(lǐng)導(dǎo)為核心的信息安全領(lǐng)導(dǎo)小組��,明確領(lǐng)導(dǎo)小組相應(yīng)責(zé)任并落實(shí)信息管理人員責(zé)任,加大投入資金����,對(duì)網(wǎng)絡(luò)安全管理軟硬件設(shè)備進(jìn)行更新升級(jí)����,對(duì)網(wǎng)絡(luò)安全管理專業(yè)隊(duì)伍需要加強(qiáng)建設(shè)���,信息網(wǎng)絡(luò)人員必須要有責(zé)任心及熟練的網(wǎng)絡(luò)應(yīng)用技術(shù)�����,同時(shí)要堅(jiān)持管理創(chuàng)新及技術(shù)創(chuàng)新���,根據(jù)本院信息網(wǎng)絡(luò)的運(yùn)行情況��,制定應(yīng)對(duì)網(wǎng)絡(luò)危機(jī)的預(yù)案。(2)網(wǎng)絡(luò)安全教育網(wǎng)絡(luò)安全工作的主體是人�,醫(yī)院的各級(jí)領(lǐng)導(dǎo)����、組織和部門工作人員從思想和行動(dòng)上都要重視醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全����,提高全員安全意識(shí),樹立安全人人有責(zé)�,由于醫(yī)院的內(nèi)部網(wǎng)絡(luò)涉及臨床科室�、醫(yī)技科室��、職能科室等部門�����,計(jì)算機(jī)操作水平參差不齊�����,因此���,必須定期培訓(xùn)計(jì)算機(jī)網(wǎng)絡(luò)客戶端的使用人員�,使他們具有一些計(jì)算機(jī)方面的專業(yè)知識(shí)�,盡量減輕醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)管理人員的工作壓力,當(dāng)其客戶端出現(xiàn)問題之后能得到及時(shí)的解決���,減少人為的差錯(cuò)及故障發(fā)生。(3)網(wǎng)絡(luò)設(shè)備管理網(wǎng)絡(luò)設(shè)備是整個(gè)信息網(wǎng)絡(luò)安全的基礎(chǔ)�����,整個(gè)網(wǎng)絡(luò)中的關(guān)鍵設(shè)備包括服務(wù)器����、數(shù)據(jù)儲(chǔ)存、中心交換機(jī)、二級(jí)交換機(jī)��、光纜等����,因此這些設(shè)備的性能直接影響到整個(gè)信息系統(tǒng)的安全運(yùn)行,從可靠性、穩(wěn)定及容易升級(jí)等方面對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行選擇�����,對(duì)重要設(shè)備最好采用雙機(jī)熱備份的方式實(shí)現(xiàn)系統(tǒng)集群����,還要配備兩套UPS電源����,避免突然斷電造成服務(wù)器數(shù)據(jù)流失�,提高系統(tǒng)可用性�,服務(wù)器以主從或互備方式工作,當(dāng)一旦某臺(tái)設(shè)備發(fā)生故障�,另外一臺(tái)設(shè)備可以立即自動(dòng)接管�����,變成工作主機(jī),將系統(tǒng)中斷影響降到最低�����;此外��,使用物理隔離設(shè)備將外部互聯(lián)網(wǎng)和內(nèi)部信息系統(tǒng)進(jìn)行隔離�,確保重要數(shù)據(jù)不外泄����。(4)實(shí)時(shí)監(jiān)控用戶上網(wǎng)行為應(yīng)用主機(jī)安全監(jiān)控系統(tǒng),實(shí)現(xiàn)對(duì)用戶上網(wǎng)行為的實(shí)時(shí)監(jiān)控,從而讓網(wǎng)管及時(shí)了解和控制局域網(wǎng)用戶的的上網(wǎng)行為�,在加強(qiáng)安全防護(hù)的同時(shí)也可以提高工作效率����。主機(jī)安全監(jiān)控系統(tǒng)可以對(duì)內(nèi)部人員上網(wǎng)行為日志�����、客戶端訪問行為����、終端行為日志���、醫(yī)院IT開發(fā)運(yùn)維人員訪問行為等信息進(jìn)行監(jiān)控���、記錄�、審計(jì)能力�����,結(jié)合日志數(shù)據(jù)挖掘技術(shù)和關(guān)聯(lián)分析功能��,實(shí)現(xiàn)對(duì)非法行為的實(shí)時(shí)告警,輸出符合醫(yī)院紀(jì)委監(jiān)察部門要求的完整的事件報(bào)告���,既能夠及時(shí)發(fā)現(xiàn)并阻斷非法行為,也可以監(jiān)控某些人員利用其特權(quán)對(duì)敏感數(shù)據(jù)進(jìn)行非法復(fù)制�。(5)數(shù)據(jù)備份為了防止信息系統(tǒng)中的數(shù)據(jù)丟失�,可以采用雙機(jī)備份方式�。兩臺(tái)服務(wù)器采用相同的配置,安裝相同的系統(tǒng)和數(shù)據(jù)庫系統(tǒng)�����,實(shí)時(shí)將主服務(wù)器上數(shù)據(jù)庫備份到備用服務(wù)器上�,當(dāng)主服務(wù)器無法正常工作時(shí),啟用備用服務(wù)器項(xiàng)替工作��,同時(shí)信息系統(tǒng)管理部門可以采用一些有關(guān)的備份軟件對(duì)其醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的數(shù)據(jù)進(jìn)行及時(shí)的監(jiān)測(cè)�,當(dāng)這些數(shù)據(jù)出現(xiàn)安全方面的問題時(shí),及時(shí)對(duì)其數(shù)據(jù)進(jìn)行備份���;此外,也可采用實(shí)時(shí)備份數(shù)據(jù)庫�,采用數(shù)據(jù)鏡像增量備份方式���。(6)定期進(jìn)行安全分析�,對(duì)新發(fā)現(xiàn)的安全隱患進(jìn)行整改運(yùn)用技術(shù)手段定期進(jìn)行安全分析�����,及時(shí)發(fā)現(xiàn)安全隱患并快速清除是完善醫(yī)院網(wǎng)絡(luò)安全管理的重要措施。定期進(jìn)行安全分析是研究信息系統(tǒng)是否存在的漏洞缺陷,是否存在風(fēng)險(xiǎn)與威脅�����,針對(duì)發(fā)現(xiàn)的安全隱患���,制定出相應(yīng)的控制策略�����,主要是從軟件設(shè)置�、物理環(huán)境、電源配送����、權(quán)限分配�、網(wǎng)絡(luò)管理����、防火、防水�����、防盜����、服務(wù)器交換機(jī)管理、溫度濕度粉塵���、人員培訓(xùn)及安全教育等各方面進(jìn)行分析,尋找出當(dāng)前的安全隱患,針對(duì)這些隱患提出有針對(duì)性的解決方案。
1.2防止外來入侵
(1)中心機(jī)房管理作為醫(yī)院信息系統(tǒng)的“神經(jīng)中樞”及數(shù)據(jù)存儲(chǔ)中心的機(jī)房安全是整個(gè)信息系統(tǒng)安全的前提��,中心機(jī)房的安全應(yīng)注意機(jī)房用電安全技術(shù)����、防火�、計(jì)算機(jī)設(shè)備及場(chǎng)地的防雷和計(jì)算機(jī)機(jī)房的場(chǎng)地環(huán)境的要求等問題,為了避免人為或自然破壞設(shè)備,應(yīng)盡可能保證各通信設(shè)備及相關(guān)設(shè)施的物理安全,使系統(tǒng)和設(shè)備處于良好的工作環(huán)境���,對(duì)于信息網(wǎng)絡(luò)的可靠性,可以通過冗余技術(shù)實(shí)現(xiàn),包括設(shè)備冗余�����、處理器冗余�、鏈路冗余、模塊冗余、電源冗余等技術(shù)來實(shí)現(xiàn)�。(2)計(jì)算機(jī)病毒防護(hù)杜絕病毒傳染源是防范病毒最有效的辦法�,除特殊科室需要外�����,將所有網(wǎng)絡(luò)工作站的外部輸入設(shè)備(如光驅(qū)����、軟驅(qū)等)撤除�����,所有內(nèi)網(wǎng)的計(jì)算機(jī)不準(zhǔn)接U盤�����,在服務(wù)器及每個(gè)工作站點(diǎn)采用多層的病毒防衛(wèi)體系,此外����,還可以使用桌面管理軟件來自動(dòng)從系統(tǒng)廠商下載補(bǔ)丁,自動(dòng)檢查客戶端需要安裝的補(bǔ)丁���、已經(jīng)安裝的補(bǔ)丁和未安裝的補(bǔ)丁,以及限制或禁止移動(dòng)存儲(chǔ)介質(zhì)的接入����,減少病毒傳播的途徑�����,從而減少醫(yī)院網(wǎng)絡(luò)受到病毒的威脅。(3)防止黑客入侵防止黑客入侵是醫(yī)院網(wǎng)絡(luò)安全工作的重點(diǎn)��,可以采用防火墻技術(shù)�、身份認(rèn)證與授權(quán)技術(shù)等技術(shù)防止黑客入侵。其中�,防火墻技術(shù)是在醫(yī)院內(nèi)部網(wǎng)和醫(yī)院外部網(wǎng)之間的界面上構(gòu)造一個(gè)保護(hù)層�,對(duì)出入醫(yī)院網(wǎng)絡(luò)的訪問和服務(wù)進(jìn)行審計(jì)和控制�;在防火墻基礎(chǔ)上,建立黑客入侵檢測(cè)系統(tǒng)���,對(duì)黑客入侵�、非法登錄�����、DDOS攻擊���、病毒感染與傳播����、非法外連等進(jìn)行監(jiān)控����,對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)通訊通道等進(jìn)行監(jiān)控,詳細(xì)掌控各類網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài),實(shí)時(shí)監(jiān)督分析通道質(zhì)量狀況,對(duì)各類終端用戶的補(bǔ)丁安裝��、軟件安裝�、外接設(shè)備(U盤)等操作進(jìn)行實(shí)時(shí)監(jiān)控管理���,發(fā)現(xiàn)有違規(guī)行為及時(shí)報(bào)警�����,也可以自動(dòng)啟動(dòng)阻止機(jī)制來控制非法行為����;在醫(yī)院信息系統(tǒng)中����,采用數(shù)字簽名技術(shù)實(shí)現(xiàn)系統(tǒng)信息內(nèi)容安全性,完整性和不可抵賴性等方面的要求�,特別是通過采用安全審計(jì)或時(shí)間戳等技術(shù)手段解決傳統(tǒng)紙質(zhì)病歷無法解決的信息可靠性問題����,此外�����,還采用信息加密技術(shù)可以有效的保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)�����、文件、口令和控制信息��,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)����。
2.結(jié)束語
