绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇网络安全漏洞评估范文,希望它们能为您的写作提供参考和启发。
1引言
CTC又名分散自律调度系统,该系统的功能主要是确保列车安全正常地行驶,调度生产业务系统。这一系统具有2大特点,即独立成网及封闭运行,并且其主要组件并不强大[1]。客运专线的行车安全主要在于系统的保密性、完整性、可用性3点,按照我国等级保护防御区划分原则和信息系统的功能、安全性能等标准,客运专线CTC系统必须具备防火墙、入侵检测、动态口令、安全漏洞、SAV网络病毒防护5个安全系统。
2防火墙及入侵检测系统
CTC的安全防御系统中,防火墙和入侵检测系统属于基本安全设施,这对于构建安全密实的网络系统十分必要。防火墙的功能是过滤数据包,对链接状态进行检查,并检查入侵的行为和会话。防火墙按照用户定义对一些数据实行允许进入或阻拦,以确保内部网络设备及系统不会遭受非法攻击,从而影响访问。此外,可以实现每个通过防火墙的链接都可以快速地建立对应的状态表。如果链接异常,会话遭到威胁或攻击后,防火墙可以很快地阻断非法链接。通过入侵行为的特点,入侵系统可以及时地对每一个数据包进行认真检查,如果数据包对系统存在攻击性,入侵检测系统必须及时断开这一链接,并且由管理人员定义的处理系统会尽快获取幕后攻击者的详细信息,同时,为要得到处理的事件提供对应数据。CTC网络的结构性质为双通道冗余结构,CTC中心和沿线的各个车站数量庞大,并且有着海量的数据流量,业务连接安全性要求很高,CTC中心和沿线车站的各个接口都安置了4台中心防火墙,每网段安置2台;CTC中心和其他系统接口各安置2台防火墙,采用透明模式进行接入。客运专线CTC系统防火墙详见图1。
安全漏洞的评估系统是一个漏洞及风险评估的有效工具,主要用来对网络的安全漏洞进行发现、报告以及挖掘,主要作用是对目标网络设备安全漏洞实行检测,并提出具体检测报告以及安全可行的漏洞解决方案,使系统管理员可以提前修补可能引发黑客进入的多个网络安全漏洞,避免黑客入侵带来损失。客运专线CTC系统中心完整地部署了一整套安全漏洞评估系统,基于全面以及多角度的网络关键服务器漏洞分析的评估基础,确保CTC以及TDCS等系统安全运行。还能对黑客的进攻方式进行模拟,并提交相应的风险评估报告,提出对应的整改措施。预防性的安全检查暴露了目前网络系统存在的安全隐患,对此必须实行相应的整改,最大程度地降低网络的运行风险。漏洞评估组需要在网络安全集中管理平台下实现统一监测,并且汇总漏洞威胁时间,结合实际情况及设施制定相应的安全策略。当前存在的安全漏洞扫描一定要从技术底层实现有效划分,分别对主机及网络漏洞进行扫描。主机漏洞评估EVP,针对文件权限、属性、登录设置的值和使用者账号等使用主机型漏洞评估扫描器进行评估。网络型漏洞扫描器NSS,在网络漏洞基础上的评估扫描器采用黑客入侵观点,自动对网上系统和服务实行扫描,对一般性的入侵和具体入侵场景实行真实模拟,最重要的是测试网络基础设施的安全漏洞,会提供相应的修补漏洞意见,扫描图形视图的完整显示过程,扫描相应漏洞而且对漏洞的出现原因进行查找,提供具有实际执行可行性的管理报告,针对多个系统实施扫描。
4反病毒网络系统
根据病毒具有的特征以及多层保护需求,客运专线CTC系统必须要统一、集中监控、多面防护,正对整体以及全面反病毒系统实现积极有效的安排,并融合各层面,覆盖CTC中心、下属车站等。并且还要在客运专线的中心部署2台SAV反病毒服务器,二者相互辅助。对服务器设备和车站终端等实施统一的SAV客户端,并且对网络内存的所有病毒实行统管理、分析,监控、查杀[2]。以整体反病毒解决方案为依据,网络反病毒系统的部署具体要从下面几项开展,多操作系统的服务器、反病毒软件、集中监管的多个系统。
5动态口令
身份认证属于安全防御线的第一道保护。我国的CTC安全建设在最初的使用中运用的是静态密码认证,每一系统和设备都具备自身的专属密码,管理很不方便。大量的管理和维护导致操作人员难以实现方便快捷的使用,因此,出于使用便利,会将设备密码设置为统一密码,系统内各种网络设备和服务器的密码基本上人人都知道;另外,静态口令极易被人猜出、截获、破解,黑客可以通过对密码的猜测或使用成熟破译软件破解用户口令,导致CTC面临极大的隐患。在CTC系统网络中,对CTC系统中心设置相应的动态口令,随后客户端认证请求会自动地分配到认证服务器,该模式充分降低了服务器的工作负荷,提升了系统性能。身份证的依据和访问控制组能通过网络安全集中管理平台发挥监测、报警等功能。安全策略的集中配备,对安全事件进行统一响应,并且充分实现分层、统一用户管理、访问认证授权AAA等策略。动态口令身份认证在AAA认证中的功能为双因素认证,有效解决了静态口令存在的多种问题,提升了系统的安全性。客运专线CTC系统运用动态口令后,实现了对整个网络、运用和主机等的统一覆盖,实现了安全的身份认证控制访问组件,统一身份认证和授权统一,同时还提供了集中身份认证等,通过授权严格对多个访问资源权限实施限制。
6结语
目前,客运专线CTC中心网络运用安全,正处于建立知识信息安全系统和确保信息化的重要阶段,在这一进程的后期阶段还要满足国家等级保护政策需求,对纵深防护体系进行深入研究,确保铁路运输生产业务顺利开展,充分实现铁路信息化运行,将铁路运行的安全性实现提升。
【参考文献】
计算机网络应用领域及空间广阔,已经覆盖全球,为工作创造了诸多便捷,丰富了业余生活,现代社会中的网上购物、电子商务等服务对网络的依赖程度极高,民众生活与网络已互相融合。互联网涉及数量庞大的网络用户与计算机系统,且网络本身存在多种缺陷,因此网络安全隐患、安全漏洞难以避免。网络安全漏洞可增加间谍程序、蠕虫、木马、黑客攻击概率,为病毒隐藏及伪装、网络犯罪提供便利,造成信息泄漏、经济损失,还会引起网络故障。应重视防范安全漏洞,加强网络监管,科学分配网络中的软件资源、硬件资源,降低安全风险、减少恶意攻击及恶意干扰,提高网络保密程度,维持网络正常运转。
一、安全漏洞
安全漏洞属于不可控、无可避免、必然的、非正常情况,漏洞可影响路由器、防火墙、操作系统、应用软件正常运行,目前网络应用软件中的漏洞数量增势明显,如Mozilla Firefox及微软IE浏览器漏洞等,且发现漏洞与出现攻击程序之间的时间不断缩短,零日攻击问题频繁发生,漏洞修补程序时间落后,导致不能及时修补安全漏洞,增加了网络攻击的可能性。分析安全漏洞时需考虑网络系统环境、具体时间段,常见漏洞包括拒绝服务、安全绕过、信息泄露、缓冲溢出、权限升级漏洞、跨站脚本、注入漏洞、跨站伪造请求、代码执行及无授权访问等。防火墙与网络安全环境保护要求不匹配时也会出现安全漏洞,再加上黑客攻击技术在不断改进,出现安全漏洞时通常会发生程序捆绑攻击行为。编写网络软件程序时可能遗留安全漏洞及BUG,如FTP漏洞、CGI漏洞、ASP漏洞及PHP漏洞等,黑客通常会检测出BUG及安全漏洞,利用病毒攻击网络漏洞,读写系统结构或服务目录,如某些软件接收异常或超长数据时可导致缓冲区发生溢出问题。涉及安全漏洞的协议包括SSH、HTTP、FTP、TELNET、IPSec、TCP、IPv6及DNS等,网络协议主要为TCP/IPf议,协议本身不能准确判断开放性与互联性网络IP地址实际来源,网络黑客可利用安全漏洞侦听传输线路、检查或截取网络数据,推测TCP及改变路由,破坏、覆盖网络数据。
二、防范措施
(一)漏洞扫描
使用网络时应注意定期扫描安全漏洞,包括主机系统、防火墙、WEB站点、局域网的漏洞,了解是否存在窃听系统、不良网络服务,查询TCP/IP端口信息及记录协议响应情况,及时发现与修复漏洞,不断优化网络系统及增强安全攻击抵御能力。扫描漏洞时可采用模拟攻击测试法或目标系统扫描法,模拟攻击指的是利用DDOS、缓冲溢出、护欺骗等方法尝试性攻击远程目标,逐项检查目标系统已知漏洞或可能出现的漏洞。扫描目标系统指的是连接主机端口后请求FTP、TELNET等服务,并记录主机应答信息,通过分析应答过程检测安全漏洞。扫描网络与目标主机时多采用PING技术,使用工具ping与IP地址即可扫描目标主机,根据主机回应情况检测安全漏洞,如主机中的防火墙自动屏蔽PING扫描,可将错误数据发送到目标主机,通过判断ICMP出错响应情况检测漏洞,扫描流程。扫描防火墙安全控制规则中是否存在漏洞时,可采用与Trace-route IP数据分析相类似的方法,扫描时可通过探测网络开启端口与特定网关判断漏洞情况。探测软件漏洞时可发送UDP或ICMP请求报文,对ICMP回应进行分析,包括Que-SO、NAMP分段响应情况,从而判别响应信息与漏洞。扫描网络协议端口时可采用TCP SYN扫描、TCP Connect扫描、认证扫描及秘密扫描技术。
(二)构建漏洞信息库
安全漏洞千差万别、种类繁多,构建安全漏洞信息库可以提高漏洞扫描、检测效率,准确验证安全漏洞,标记HTTP文件中的相关内容,根据漏洞信息运用追踪技术查找网络攻击起源路径,实现高效防护。构建信息库时可为不同的漏洞赋予唯一的特征码,在检测或扫描漏洞时可直接利用不同特征码组成的数据包,在数据包中准确提取漏洞特征码,从而高效分析漏洞及获取相应的安全攻击信息。注意根据漏洞扫描与检测结果及时更新特征码,保证信息库中包含详细的安全漏洞信息,包括漏洞特征、状态、信息来源、控件信息及端口信息,漏洞编号、类型、名称、相关引用、修订时间、公布日期或报告时间,漏洞风险评估与危险级别、相关建议、补救方案、漏洞软件与版本、木马匹配规则、后门匹配规则、影响程度与影响平台、处理方式及攻击程度等。目前可使用的漏洞信息库包括NIST实验室的NVD漏洞库、Mitre公司的CVE漏洞库、CERT小组的US-CERT漏洞库、ISS组织的X-Force漏洞库,上述信息库数据下载、方式、更新方式各有特点,信息库结构,漏洞信息构成。
(三)完善网络配置
为预防黑客利用漏洞发起伪造攻击,可调整路由器访问列表,限制路由器数据包允许通过地址范围;关闭路由器上的源路由,利用No Ip Soure-route命令阻止源路由器发生安全攻击;也可以在RPF检查设备中设置No Ip Directed-broadcast命令,利用No Ip Directed-broadcast命令控制通过路由器的数据,减少路由攻击。为确保端口安全,可在交换机中设置MAC地址数允许值,控制允许流量,避免网络设备无定向、徒然处理数据包,减少协议端口单播扩散转发流量,减少安全漏洞与安全攻击。连接网络时应尽量关闭计算机中的打印共享与文件共享功能,必要时可隐藏IP,避免设置空连接,将无用网络端口及服务程序关闭,禁用Guest账号。确保防火墙或服务器相匹配,删除无用软件程序与缺省路由,安装病毒查杀与反查杀软件,结合杀毒与防毒,组建多层次病毒防卫体系,注意更新杀毒软件、系统补丁,如卡巴斯基、小红伞、金山毒霸等。设置复杂的服务密码,完全隐藏重要目录或文件,禁用Windows服务器中的Telnet服务、Remote Registry服务及Messenger服务。
网络安全扫描系统与防火墙互相配合,共同维护网络安全,在有效提高网络的安全性方面,各有分工,他们是增强系统安全性的重要措施。网络管理员通过网络扫描探测,找到运行的应用服务,了解其安全配置,能够发现网络和系统的安全漏洞。网络扫描更侧重于在网络遭到威胁前预防,其中属于被动防御手段的是网络监控系统和防火墙,而网络扫描属于主动防范,做到防患于未然。
1网络安全扫描步骤和功能
网络安全扫描器是利用安全扫描技术来设计的软件系统。扫描器可以协助网管人员洞察目标主机的内在的弱点,它不能直接修复网络漏洞。以下列举了网络安全扫描功能和步骤:(1)首先,能够找到一个主机或网络是其工作的第一阶段。(2)探测何种服务正运行在这台主机上是其工作的第二阶段,对目标信息进行进一步搜集,服务软件的版本、运行的服务、操作系统类型等方面都是其搜索的目标。对于网络目标,其网络系统、拓扑结构、网络设备也是其搜索的范围。(3)最后也是最为重要的阶段:根据线索做出判断并且进一步测试网络和主机系统存在的安全漏洞。通过各个步骤的扫描,搜索网络、探测服务、发现漏洞,以此为依据,为漏洞提出解决方案。
2网络安全扫描技术的分类
网络安全扫描是指通过对计算机系统进行相关的安全检测,找出系统安全隐患和漏洞,帮助管理员发现系统的一些弱点。通过网络安全扫描数据,及时了解系统存在的安全漏洞,客观评估网络风险等级。网络安全扫描是一种主动的安全防范措施,可以及早发现系统漏洞并加以修复,有效避免非法入侵行为,做到防患于未然。
2.1漏洞扫描技术
为了自动检测远程或本地主机安全漏洞而编写的程序就是漏洞扫描系统,洞察漏洞主要采用网络扫描系统的方法:其中实际应用最普遍的是模拟黑客的攻击手法,如猜想管理员用户名称、测试系统弱口令、FTP密码探测、邮件系统攻击等方法,如目标网络系统存在安全漏洞,则模拟攻击就会成功;另一个方法是利用端口扫描,目标主机端口以及端口上的服务已知的情况下,利用漏洞扫描系统提供的漏洞库和扫描发现的各类信息进行比对,如有满足匹配条件的漏洞存在,就会被发现。我们可以利用网络安全扫描发现并及时修补系统的漏洞。对于网络用户来说,扫描的速度和漏洞库的更新速度是漏洞扫描技术的关键。扫描速度、扫描效率是网络安全扫描的重要性能指标,而漏洞库可以直接决定网络隐患能够被检查出的数量,现在的网络扫描系统许多可以及时更新漏洞库,不断提升扫描速度,从而适应网络用户安全需求,起到令用户更加满意的效果。
2.2端口扫描技术
通过发送探测数据对目标主机的端口进行扫描,以扫描数据为依据,分析目标主机端口是否开放、可用的过程,就是指端口扫描。第一步是与目标主机的端口建立连接,根据请求服务来判断其应答,从而收集端口信息,这样就能够找到弱点和漏洞,并确定端口所进行的服务类型及详细信息。本地主机的运行情况也能够被监视,通过分析探测到的数据,网络管理人员也可以找到目标主机内在的缺陷。一个端口就是一个潜在的通信通道,也就是一个入侵通道,我们可以通过端口扫描,发现系统的安全漏洞。利用端口扫描技术,能够发现目标计算机的操作系统类型、发现正在运行的应用程序或某个特定服务的版本号、探测目标系统上正在运行的TCP和UDP服务,及时了解端口提供的服务或信息。
2.3木马扫描技术
木马是一种经过伪装的欺骗性程序,木马程序与一般的病毒不同,它不刻意地感染计算机存储的文件,一般不会破坏计算机系统,它的主要作用是为施种木马者操控种有木马的计算机系统,使其能够在用户毫无知觉的情况下远程操控目标计算机,从而随意窃取、破坏、删除目标计算机的文件。现在出现了很多新的木马形式,还有一些为完成特定任务设计的木马病毒,但其攻击原理都是大同小异。木马设计基于服务器和客户端模式,它有一个开放的端口用来数据监听,不同的木马病毒使用不同的端口号,可以通过扫描特定的木马端口来发现主机是否被木马入侵。但是,现在某些新型的木马不开放特定端口,而是秘密捆绑到合法的应用程序中,让网络管理者扫描探测变得越来越艰难。
3网络安全扫描的应用
网络安全扫描能够有效地预先评测和分析系统中的安全问题,可以增强系统安全性,在黑客攻击之前起作用的是各类扫描技术,本地或远程计算机的安全漏洞能被自动检测并及时修复,网络中存在的漏洞被及时发现并解决,对于网络安全防护起到关键作用,防患于未然。提供网络服务的各个领域都可以应用网络安全扫描系统,例如各种行业的网络信息服务,都需要知道所提供的网络服务是否安全。特别是大型的网络服务,安全性是至关重要的。尤其是在互联网上许多企事业单位的网站,网站的维护也是一项繁重的工作,利用网络安全扫描系统可以方便管理。另外,对于个人用户,网络安全扫描系统也是必备的工具,利用它能够探寻系统的安全性,及时发现,及早解决,避免由于系统漏洞而遭到黑客入侵或被植入木马病毒。与入侵检测技术、防火墙技术等相比,网络安全扫描技术更加积极,更加注重于防范,与之相适应的主机安全扫描技术也立足于积极预防。对于网络安全问题的解决,二者都是采用预防为主的方法。随着互联网应用的发展,网络攻击现象、方法也将不断涌现,网络安全问题还需要更加引起人们的重视,网络安全扫描技术不仅需要更进一步的发展和完善,还需要不断开发其潜在的功能,从而在网络安全领域发挥巨大的作用。
作者:李文江 单位:公安边防部队高等专科学校基础部计算机教研室
通常情况下,计算机网络安全漏洞具有一定长久性、易被攻击性和威胁性,给计算机用户带来很多烦恼。因此,对计算机网络安全漏洞检测与攻击图构建有比较全面的了解,可以更好的防范各种不安全因素,从而为计算机网络安全提供可靠保障。
1计算机网络安全漏洞的表现形式
总的来说,计算机网络正常运行过程中,安全漏洞的表现形式主要有如下几个方面。
1.1应用软件方面
在用户进行正常的计算机操作时,会通过各种应用软件来完成相关操作,而在代码编写、逻辑设计等方面会出现各种错误,使得安全漏洞成为黑客攻击的主要途径。一般不法分子会向计算机传输木马和各种病毒,使得计算机整个系统纵,最终造成信息泄露问题。
1.2操作系统方面
在计算机的正常使用过程中,各种操作系统发挥着非常重要的作用,因此,操作系统的安全性与应用程序的安全性,是保障计算机信息安全的重要因素,必须对此给以高度重视。但是,在实际运行过程中,各种非法访问、系统自身的缺陷等都为给计算机网络带来安全威胁。
1.3电子邮件方面
现展中,电子邮件已经成为企业、个人互相来往的重要沟通方式,在各个领域都有若非常重要的影响。一般在用户发送或接受某个邮件的时候,如果遇到恶意攻击,并且户不具有较高安全意识的情况下,则会将病毒带入计算机,从而破坏计算机整个系统,最终威胁计算机网络安全。
1.4远程登录方面
随着计算机应用的不断推广远程登录已经成为重要的联系方式,给人们的生活、工作带来了很多便利,但同时也给计算机网络带来很多安全威胁。一般在进行远程登录时,需要完成各种输入口令才能有效登录,使得各种信息在输入的过程中受到安全威胁,最终造成各种数据信息的泄露。
2计算机网络安全漏洞的检测方法
2.1文件内容、保护机制方面
通常情况下,最容易出现各种病毒、最重要被攻击的部分,是计算机中的各种命令文件和系统工具,如果出现上述情况,文件的内容会被迅速篡改,最终使计算机系统的整个安全遭到威胁。因此,注重文件内容方面的有效检测,采取有效保护机制,才能拥有权限的用户可以正常使用各种文件,从而避免各种安全问题出现。在实践过程中,对文件内容、访问权限等进行有效检测,是安全漏洞检测的重要基础,对于提高文件的安全性、确保内容完整性有着重要影响。
2.2配置文件方面
在计算机系统的正常运行中,各种配置文件都具有极高的复杂性,如果出现缺省情况,则会引起各种安全漏洞,从而威胁整个计算机网络的安全。根据相关分析发现,目前计算机网络存在的安全漏洞,主要是因为计算机运行环境不良好引起的,特别是各种配置文件的安全漏洞检测不及时和不准确,严重威胁计算机系统的安全。因此,合理的对配置文件进行安全漏洞检测,可以获得各种配置信息,从而在对各种配置信息进行全面分析的情况下,对计算机系统可能存在的安全漏洞问题进行准确预测,最终在各种配置文件问题出现之前,及时消除相关安全漏洞。由此可见,加强配置文件的安全漏洞检测,可以有效降低配置文件出错的可能性,从而提高配置文件的安全性,真正为计算机系统一个稳定、健康的网络。
2.3差别检测方法
在实际应用过程中,如果采用差别检测方法,则具有一定被动性,以在文件没有被修改、不注重各种时间和期限等情况下,对文件存在的安全漏洞进行检测。在运用差别检测法时,文件被修改的部分或者是程序发生改变的部分不能得到还原,但可以对文件是否被修改给以准确的判定,有着非常显著的检测效果,并且,还可以对系统中的特洛木马进行有效检测。根据计算机网络的运行情况来看,差别检测方法需要经常使用,才能确保检测结构的准确性,从而有效防范各种不安全因素带来的安全威胁。
2.4错误修正方面
在计算机系统出现各种操作错误时,网络黑客、违法分子会乘机进行网络攻击,从而今日用户的计算机系统,致使各种密码、信息、机密文件等丢失,严重的还会给计算机用户带来重大经济损失。目前,在处理上述问题时,一般采用安装修正错误补丁的方式,也可以采用安全杀毒软件的方式,可以取得很好的防范效果。因此,在实际应用过程中,要事先安装补丁程序,才能避免计算机网络安全受到威胁。目前,错误修正检测技术主要包括主动检测和被动检测两种,其中,主动监测可以对系统存在的各种安全漏洞进行有效检测,并及时采取各种有效对策,从而防止安全漏洞给计算机系统带来影响;而被动检测主要是指安装各种纠正补丁程序,以对各种安全漏洞进行及时防范。通过合理采用错误修正检测方法,计算机的检验程序可以自动完成各种操作,大大节省了检测时间,在提高安全漏洞检测效率的同时,还能种安全漏洞带来的问题得到有效解决。
3计算机网络攻击图构建相关分析
3.1计算机网络攻击逻辑图
在计算机系统的正常运行中,各种安全漏洞会给计算机运行带来极大安全威胁,使得相关数据、信息出现丢失情况。因此,计算机网络攻击图的有效构建,是在对各种网络攻击进行全面分析的基础上,对计算机网络存在的问题进行合理预测,以制定合适的安全防范措施和弥补措施,最终确保计算机网络安全。由于计算机网络所遭受的安全攻击类型比较多,使得攻击图的构建方式也有很多种,如逻辑攻击类型,需要对逻辑攻击图进行推导、制定相关规则,才能真正起到防范作用。在进行推导的时候,必须对攻击产生的原因、经过、和会产生的后果进行全面预测,才能避免逻辑类型的攻击给计算机系统的安全带来严重影响。
3.2计算机安全攻击图分析
进行计算机网络安全的检测,根据检测技术的执行主体进行划分可分为主机和网络两种。一般通过计算机的远程安全扫描技术、防火墙的扫描技术进行计算机网络安全漏洞的扫描,对计算机的网络安全进行实时的监控。
2计算机网络安全扫描技术
计算机的网络安全扫描技术是计算机进行网络安全主动防御的基础,在计算机的主动防御中对计算机的网络安全进行扫描,对计算机可能存在的风险进行扫描。将扫描中获得的各种参数反馈给系统的管理员,管理员通过对数据的分析,对可能存在的漏洞提出科学合理的解决方案。在计算机的运行中进行实时的监控,将运行中的风险站点对管理员进行提示,保障操作系统的安全性和可靠性。计算机网络安全扫描技术能够对计算机存在的漏洞及时的发现,及时的处理,保障了计算机的系统安全。
2.1计算机网络远程扫描技术
计算机网络安全扫描技术的应用,使计算机在外界恶意攻击下的防御能力和反击能力大大提高。但是计算机网络远程扫描技术在应用中也一度成为计算机网络安全的弊病,黑客进行黑客活动是常常使用计算机网络远程扫描技术对入侵电脑进行远程的扫描,发现其系统存在的漏洞,针对这些漏洞对目标主机实施入侵。从另一个角度进行分析,计算机网络远程扫描技术对实现计算机的网络安全也有着其特殊的意义,管理员可以利用计算机网络安全扫描技术对计算机进行扫描,及时的发现计算机中存在的漏洞并予以修复。
2.2合理配置系统的防火墙系统
计算机网络安全目标的实现是通过防火墙系统的合理配置来实现的。计算机防火墙系统的合理配置是计算机网络安全的重要的组成部分。其配置合理性直接关系到计算机的计算机网络安全检测技术安全性和有效性。由于计算机防火墙的配置是一项比较复杂的系统性工程,进行配置是需要考虑各个方面的因素。相关的从业人员在进行配置时因为防火墙的复杂性,常常会在配置上出现一些微小的错误,这些需哦唔的产生极可能成为计算机网络安全的隐患。计算机的防火墙系统在特定的情况下才能运行,当计算机的操作系统出现运行的异常时,防火系统安全扫描系统会对计算机进行扫描,判定其运行环境是否符合。
2.3系统安全扫描技术
在计算机网络安全检测技术的建设时,计算机系统安全扫描是其不可或缺的部分。在计算机系统安全扫描中将目标计算机的操作系统进行全方位的检测,将检测后的参数发送给系统的管理员,管理员通过对相关参数的分析,对系统中可能存在的漏洞进行修改。系统的安全扫描技术为计算机的操作系统的安全性和稳定性提供了保障。
3网络安全实时监控技术
计算机的网络安全监测技术对计算机的防护离不开对计算机运行的实时监控。计算机的实时监控技术是在网络正常的情况下对计算机进行网络流量的监控,在实时的监控中能够对计算机所受到的恶意攻击进行及时的处理,将有攻击企图的是举报进行过滤。在计算机网络的实时监控中将计算机的网卡设置成为广播的状态,在次状态下进行数据包的监控和分析。将可疑操作的特征码放入到计算机网络入侵特征库中进行比对,及时的发现入侵行为。
4计算机网络安全检测技术的现实意义
4.1对防火墙安全构架的补充
在时代的发展中,计算机的防火墙系统不足以承担起计算机的网络安全的重任。计算机网络安全监测技术是对防火墙系统的补充,二者协同作用,共同完成计算机网络安全的维护。在计算机的安全维护中,一旦恶意攻击活动避开了防火墙的监控,可能会对计算机的操作系统等软硬件造成危害。计算机网络安全监测技术在计算机的运行中国能够及时的发现计算机的网络弱点,并对这些弱点进行针对性的处理。二者的协同作用最大限度的保障了计算机运行的安全性和可靠性。
4.2实现有效的网络安全评估体系
计算机的网络安全监测技术的应用,为网络安全的评估机制提供了新的手段。在一些公司和事业单位进行内部网络的建设时,可以通过计算机网络安全监测系统对简称的内部网络监测系统进行检测,检测的数据提交给管理人员进行分析,对建成网络的安全性和可靠性进行评估,并根据评估的结果对网络系统存在的问题进行合理的整改。
5结语
在社会的进步和科技的发展之中,进入数字时代的人们利用计算机完成各项生产活动和科研活动,极大的解放了生产力,创造了极大的经济效益和社会效益。在数字时代的背景下人们对计算机的网络安全提出了新的要求,在计算机网络安全监测系统的建设时,相关的从业人员一定要结合计算机网络安全的实际情况对系统进行合理的设计。利用计算机网络检测技术的实时监测功能,发挥防火墙和计算机网络安全监测技术的协同作用,将计算机的安全工作落到实处。我相信通过相关从业人员的不断努力,我国计算机的网络安全工作一定会取得新的成就。
参考文献
[1]叶忠杰.计算机网络安全技术.科学出版社,2003.
[2]龙冬阳.网络安全技术及应用[M].华南理工大学出版社,2006.
如今信息化系统建设迅速发展,开放的网络带来了优势,同时开放性的存在也导致了许多安全方面的漏洞,诸如信息窃取、黑客攻击、网络恶意行为等,维护网络安全的压力越来越大。
一、信息化系统网络安全标志
(一)系统正常运行。系统正常运行是指信息化系统能够安全运行,避免出现系统损坏或崩溃而导致系统中需要传输、处理以及储存的信息出现损失或破坏。(二)系统信息安全。系统信息安全包含数据加密、病毒防治、安全问题跟踪、安全审计、方式控制、数据存取权限、用户存取限制以及用户的口令鉴别等内容。(三)网络信息安全。网络信息安全是指信息的保密性、完整性、可用性、可控性,防止攻击者利用系统安全漏洞对合法用户的信息进行诈骗、冒充以及窃听等。(四)传播途径安全。传播途径安全是指采取信息过滤,对有害和非法的信息进行控制及制止,防止在公用网络上出现大量失控的自由信息传输。
二、信息化系统网络安全威胁
(一)网络软件存在安全漏洞。系统的很多软件使用一段时间后,不可避免地会出现缺陷,需要及时补丁来进行漏洞弥补;系统使用的一些商用软件,源程序会逐渐变得公开或者半公开化,存在漏洞容易被攻击;管理员为方便维护管理,设置远程终端登录,加大了病毒或者黑客攻击的可能性,给网络系统造成了很大的安全漏洞。(二)网络协议存在安全缺陷。系统使用的基本协议TCP/IP存在着较多安全缺陷,主要包括:应用层协议中的SMT、FTP等协议缺乏保密以及认证措施;以软件所配置的IP地址为基础,形成地址欺骗以及地址假冒;现有的IP地址可以支持源路由方式,在一定程度上为原路由的攻击提供了条件。(三)产品技术不能完全国产。目前,任何一个国家的信息技术发展不可能尽善尽美,完全依赖自主研发,我国也不例外。有调查数据显示,我国有67%左右的信息产品与技术都是从国外进口的。因此,信息化系统建设不可能达到完全国产化,硬件设施和操作系统难免会使用国外产品,这就可能存在安全陷阱,使网络安全管理受制于人。
三、信息化系统网络安全防护
(一)防火墙技术。在信息化系统中使用防火墙技术可以使数据、信息等在进行网络层访问时产生一定的控制。经过鉴别限制或者更改越过防火墙的各种数据流,可以实现网络安全保护,极大限度地对网络中出现的黑客进行阻止,在一定层面上可以防止黑客恶意更改、随意移动网络重要信息。(二)安全检查技术。安全检查技术主要用于对用户的合法性进行鉴别,在鉴别过程中,通常需要用户输入口令,由于口令本身较容易被猜到以及失窃,可能增加黑客入侵的几率。为了提高其安全性,用户可使用更为可靠、稳妥的认证方案,经过身份认证的技术可以在一定范围内保证信息的完整性机密性。(三)数字签名技术。所谓签名就是验证用户真实身份的一种独有信息,数字签名技术在使用过程中,通常采用解密、加密的方式对报文的数字签名进行实现。决定其安全性的主要因素就是密码体制的安全程度,随着密码体制的不断改进,其安全性也会随之提高。(四)入侵检测技术。防火墙只是保护内部的网络不被外部攻击,对于内部网络存在的非法活动监控程度还不够,入侵系统就是为了弥补这一点而存在,它可以对内部、外部攻击积极地进行实时保护,在网络受到攻击前就可以将信息拦截,提高信息的安全性。(五)漏洞扫描技术。如今网络不断复杂且变幻莫测,仅仅依靠网络管理员进行安全漏洞以及风险评估显然不行,只有依靠网络的安全扫描工具才可以在优化的系统配置下将安全漏洞以及安全隐患消除掉。在某些安全程度较低的状况下可以使用黑客工具进行网络的模拟攻击,这样可以一定层面地将网络漏洞暴露出来。
(六)密码技术。密码技术就是使用密码机对明文信息进行组合、交换,产生密文,然后将加密的信息在网络上传播。恶意者若将密文截获,必须进行正确的解码才能获取有用信息,否则也是徒劳无获,这就在一定程度上避免了信息的泄漏。(七)侦听监测技术。使用配置分析软件来对网络进行扫描,一旦发现原有的设置参数出现了改动,就必须采取相应的措施来对其进行处理。对内部网络中的违规操作行为进行实时监控。其响应对策主要有发送警告信息,拒绝存储。
作者:王艳 单位:93897部队
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02
1 网络安全评估分析系统
1.1 网络安全评估分析系统的必要性
面对用户网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,制定符合用户网络应用的安全策略显然是不现实的。解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全分析评估系统。
检测现有网络中的边界设备(如路由器交换机)、网络安全设备(防火墙、入侵检测系统)、服务器(包括内部网络系统的各种应用服务器)、主机、数据库等进行扫描,预先查找出存在的漏洞,从而进行及时的修补,对网络设备等存在的不安全配置重新进行安全配置。
目前大多数的病毒都已经不是简单的复制和占据资源的概念,其已经演变为通过利用系统漏洞和脆弱性,破坏和盗取信息为目的软件。所以,通过安全评估分析系统,在网络受到感染以前,及时地修补系统漏洞,从而更有效的保护局域网。
1.2 网络安全评估分析系统选型
安全评估系统(扫描对象包括网络设备、主机、数据库系统)使用户有机会在故障出现之前将其修复,而不是对一项已经进行的入侵或误用情况做出反应。漏洞扫描可以让用户首先防止入侵。漏洞扫描也许对那些没有很好的事件响应能力的用户会有帮助。
在用户网络系统中,部署一台百兆硬件网络安全评估分析系统,它通过对网络安全弱点全面和自主地检测与分析,能够迅速找到并修复安全漏洞。能同时对网络中的网络设备(如路由器、交换机、防火墙等)、小型机、PC SERVER和PC机操作系统(如Windows)和应用程序(如IIS)由于各种原因存在一些漏洞(包括系统漏洞、脆弱口令等),将风险分为高,中,低三个等级并且生成大范围的有意义的报表,从以管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。
(1)全面的产品资质认定
网络安全评估系统具有如下的产品资质认证,为用户提供满意的产品:
公安部《计算机信息系统安全专用产品销售许可证》
国家保密局《科学技术成果鉴定证书》
国家信息安全测评认证中心《国家信息安全产品认证产品型号证书》
(2)易用性
网络安全评估分析系统应该充分考虑了中国人的使用习惯,具有良好的易用性。安装和使用界面全中文化,操作使用符合标准的WINDOWS风格,用户大部分只要通过电击鼠标就可以达到目的。管理工作更加方便,其输出也更加有价值。
(3)产品扩展性
网络安全评估分析系统的测试方法库采用插件方式,升级极为容易,添加新的插件就可以使软件增加新的功能,扫描更多漏洞。同时这种技术使软件的升级维护都变得相对简单,并具有非常强的扩展性。
1.3 网络安全评估分析系统部署
网络安全评估分析系统可以定期连入管理中心网络的网管交换机或者中心交换机上,对网络设备进行网络安全评估,比如小型机、PC SERVER、网络设备(交换机、路由器等)、安全设备(如防火墙)及内网各工作站系统,进行周期性的安全评估,得出安全评估分析报告,然后进行相应的漏洞修补或重新设计安全策略,以达到网络中硬件设备系统和应用平台的安全化。
1.4 网络安全评估分析系统部署后作用
(1)安全评估是本系统的主要功能,也称为“脆弱性分析”或者“网络安全扫描”,通过本网络安全评估分析系统的部署,可以对网络内计算机系统或者网络设备进行安全测试与评估,获得相关安全信息,找出安全隐患和可被黑客利用的漏洞。
(2)设备可以结合CVSS(通用脆弱性评级体系)和等级保护方法的理论,科学的给出相应的安全分析和可操作的修补处理建议,为网络管理人员提供修补漏洞的方法,使得管理可以及时修补网络隐患,做到防患于未然。
(3)自评估部分还可以协助管理员对设备进行问题的自动修补。
2 应用防护
2.1 Web应用防护系统的必要性
随着越来越多的应用系统以WEB的方式被部署,这些系统的敏感数据如用户信息等被黑客盗窃和篡改的潜在风险也越来越高。回顾当今成功的系统攻击,很多都是利用了WEB应用漏洞。实施这些攻击的人,既有来自外部的黑客,也有来自内部的不怀好意的用户。
因为基于WEB的应用系统可以通过任意浏览器进行访问,用户往往更容易访问到这些系统,从而在一定程度上可以通过这些系统绕过内部的安全控制。
对大多数公司来说,WEB应用系统已经成为安全的边界。使用WEB安全网关是确保这些系统安全的唯一途径。然而,考虑到WEB应用的多样性,WEB安全网关往往只有在针对具体的应用精心配置后才能有效地承担起应用保护的角色。没有正确部署的WEB安全网关往往会阻断合法用户对系统的正常访问,甚至没能起到应有的左右而让黑客长驱直入。
WEB安全网关是一种新型的可以保护WEB系统免遭攻击的网络及应用安全设备。它通过执行非常细粒度的安全策略来保证WEB应用系统自身以及系统数据免遭各种攻击。得益于WEB安全网关所使用的突破性技术,这些安全策略能够非常容易地适应各种WEB应用系统,从而满足所有的安全需要。
WEB 安全网关为WEB应用提供了全面的应用层保护,它不但能抵御目前已知的攻击及其变种,还能抵御未知的攻击。
需要特别指出的是,WEB安全网关通过自己独特的WEB对象混淆技术,大大提高了攻击者的技术门槛,甚至能使大部分的普通攻击者无从下手;独创的安全令牌技术则能彻底防止WEB应用对象被篡改和伪造。由于攻击者无法篡改和伪造WEB请求数据,攻击便无法实施。此外,通过与WEB应用紧密相连的安全策略的配合,WEB安全网关能严格限制合法用户的行为,避免了对系统受限资源非法的访问。
融合可靠的应用层过滤技术和先进的数据加密技术, WEB安全网关完全能为企业级的WEB应用提供完整的安全解决方案。
2.2 Web安全网关的选型
根据用户网络的应用需求,推荐使用Web安全网关产品可以满足了网络需求,很好的解决了对Web服务器的防护和管理功能。
具体功能如下:
2.2.1 基于黑名单的攻击过滤器能阻断目前大部分的常见攻击
(1)SQL注入
(2)跨站脚本攻击
(3)已知的蠕虫和系统漏洞
(4)对敏感资源和数据的非法访问
(5)其他系统溢出攻击
2.2.2 基于白名单的防御引擎能阻断任何非法的攻击
(1)伪造用户输入数据
(2)非法的应用访问流程
(3)Cookie滥用
(4)HTTP请求劫持
2.2.3 完备的网络层安全和服务提供整体防御
(1)状态检测防火墙
(2)IP/端口过滤
(3)应用层DDOS防护
(4)SSL 加速
2.2.4 灵活多变的伪装技术使系统逃避探测和攻击
(1)防止对服务器操作系统和WEB服务器的指纹探测
(2)自定义错误页面防止敏感信息泄露
(3)删除网页开发工具信息以及代码注释,使黑客无法获取重要的信息
(4)防止服务器端代码泄露
2.2.5 丰富的日志提供强大的报表和审计功能
(1)详细的系统日志和访问控制日志
(2)丰富的WEB资源访问统计报表
(3)详细的攻击统计报表
(4)支持标准的syslog日志服务器
(5)基于XML的日志数据便于与外部系统集成
2.3 Web安全网关的部署
WEB安全网关能根据用户的需要采用多种部署方式。标准的设备部署在Web服务器前面,配置过程可以在几个小时内完成,WEB安全网关可以抵抗绝大部分常见的攻击。通过在标准部署基础上进行高级的安全策略调整,可以根据需要提供最高级别的安全,彻底杜绝攻击发生的可能。
2.4 Web安全网关的作用
2.4.1 最大可能地减少针对WEB的攻击
随着越来越多的基于WEB的应用系统投入使用,越来越多的敏感数据被暴露在当前的系统无法解决的安全威胁之下。一旦攻击得逞,损失便大的无法接受。使用WEB安全网关能最大可能地减少针对WEB应用的攻击。
2.4.2 避免敏感信息被盗,符合行业安全规范
当今很多行业如银行和电子商务等行业都有自己的安全规范,符合这些安全规范是业务正常开展的基础。目前WEB应用系统是黑客们为了获取诸如客户信息等敏感数据而寻找的最主要的攻击目标,每年因为针对应用层的攻击而导致的损失都高达己亿美元。WEB安全网关是解决敏感数据经由WEB系统被盗窃这一棘手的安全问题的最重要也是最有效的途径。
2.4.3 无须安全补丁,保护已有投资
因为知道应用系统容易遭受各种攻击,IT部门需要不间断地监控各站点并且安装各种最新的补丁。因为如前所述,WEB安全网关能阻止各种针对WEB应用和WEB服务器的攻击,从而大大降低了系统对补丁的依赖性。此外,对于存在安全漏洞但是因为其他原因无法进行升级的旧有系统,WEB安全网关也能保证系统能安全地运行,从而保护了客户的投资。
2.4.4 安全便捷,使用简单
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-01
Computer Network Security Vulnerabilities and Countermeasures
Liao Ying
(Guangxi Institute of Science and Technical,Chongzuo 532200,China)
Abstract:As the network technology and the spread of information technology,computer network security problems will become increasingly prominent.The impact of attacks increasing,the frequency of occurrence is increasing.This paper analyzes the vulnerability against the importance of computer network security,and secondly,on how to prevent computer network security vulnerabilities in-depth discussion,with some reference value.
Keywords:Computer;Network;Security vulnerabilities
随着网络技术和信息技术的普及,计算机网络安全问题也就显得越来越突出。攻击事件造成的影响日益严重,发生的频率也日益增加。众所周知,计算机网络具备信道共用性、分布广域性、资源共享性、体系结构开放性的特点,因此,也不可避免地会存在着系统的脆弱性,使其面临严重的安全问题,而几乎所有的攻击者都是利用现有计算机网络系统中的安全漏洞来进行活动。
一、防范计算机网络安全漏洞的重要性
计算机网络面临的威胁是多方面的,既包括对网络中设备的威胁,又包括对网络中信息的威胁。计算机安全一般包含信息安全和物理安全两方面,信息安全也就是网络安全,能够有效保护网络信息的可用性、完整性和保密性。因此,加强计算机网络安全保护尤为重要。只有针对这些网络威胁采取必要的保护措施,才能确保计算机网络信息的可靠性、安全性和保密性。根据美国FBI(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元,75%的公司报告财政损失是由于计算机系统的安全问题造成的,平均每天会有1.5万个网页受到病毒感染或者遭受黑客攻击。也就是说,每5秒钟就会有一个网页成为黑客们的“盘中餐”。在中国国内,互联网的安全问题形势也非常严重。据国家计算机网络应急技术处理协调中心2007年的评估数据显示,在全球的620万台“僵尸”电脑中,约有360万台在中国,占58%以上。同时,感染了“特洛伊”病毒的电脑数量仍在稳步上升。
二、如何有效防止计算机网络的安全漏洞
(一)完善防火墙技术。防火墙的英文名为“Fire Wall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。从防火墙的防护实现中,主要应用以下技术:
1.网络地址转换技术(NAT)。目前网络地址转换技术现在已成为了防火墙的主要技术之一。通过NAT技术能够很好地保护内部网络用户,屏蔽内部网络的IP地址。NAT又分DNAT和SNAT两种。DNAT就是改变转发数据包的目的地址,当内部网络主机收到了外部网络主机发出的通讯连接之后,防火墙首先把数据包的目的地址转换成为自己的地址,然后再转发到外部网络的通信连接,这样就较为有效地保护了内部主机的信息安全,因为实际上就将内部网络主机与外部网络主机的通信转变成为了内部网络主机和防火墙的通信。而SNAT就是改变转发数据包的源地址,对外部网络是屏蔽的,只是对内部网络地址进行转换,这样一来,外部非法用户对内部主机的攻击就更加困难。
2.多级的过滤技术。防火墙技术主要采用三级过滤措施来实现它的功能,分别是电路网关、应用网关和分组。分组过滤一级可以有效过滤掉所有假冒的IP源地址和假冒的源路由分组;在应用网关一级可以监测和控制Internet提供的所有通用服务,它采用的是SMTP等各种网关;而在电路网关一级,严格控制服务的执行,实现外部站点和内部主机的透明连接。
(二)防病毒技术。随着互联网技术和信息技术的不断发展,计算机病毒对计算机系统构成了极大的威胁,同时,病毒也变得越来越高级、越来越复杂。目前市面上普遍使用的防病毒软件一般可以分为单机防病毒软件和网络防病毒软件两大类。单机防病毒软件一般是分析扫描本地和本地工作站链接的资源,通过快速检测来达到清除计算机病毒的目的。而网络防病毒软件则不是侧重于单台电脑的防病毒处理,而是主要注重于网络防病毒,一旦病毒从网络向其它资源传染,那么该软件就会历尽检测,并及时加以删除。例如金山毒霸网络版V7.0具备提前被系统加载特性,可以在病毒模块还没有加载或被保护的时候删除被保护的病毒文件或拦截禁止病毒的保护模块;精确打击,定点清除顽固恶意软件和木马,解决能查不能杀的难题从而完成正常杀毒任务。金山毒霸网络版V7.0实现了集中式配置、部署、策略管理和报告,并支持管理员对网络安全进行实时审核,以确定哪些节点易于受到病毒的攻击,以及在出现紧急病毒情况时采取何种应急处理措施。网络管理员可以通过逻辑分组的方式管理客户端和服务器的反病毒相关工作,并可以创建、部署和锁定安全策略和设置,从而使得网络系统保持最新状态和良好的配置。金山毒霸网络版V7.0采用分布式的漏洞扫描及修复技术。管理员通过管理节点获取客户机主动智能上报的漏洞信息,再精确部署漏洞修复程序;其通过Proxy()下载修复程序的方式,极大地降低了网络对外带宽的占用。全网漏洞扫描及修复过程无需人工参与,且能够在客户机用户未登录或以受限用户登录情况下进行。
(三)加密技术。加密技术一般分为非对称加密和对称加密两大类。在对称加密技术中,都使用相同的钥匙来对信息的解密和加密,这种加密的方法能够有效地简化加密处理过程。而对于非对称加密体系而言,密钥被分解为一对不同的密钥(即私有密钥和公开密钥)。这对密钥中可以把任何一把作为加密密钥(公开密钥),通过公开的方式向他人公开,而另一把则作为解密密钥(私有密钥)加以保存。私有密钥用于解密,公开密钥用于加密。
参考文献:
[1]郝玉洁,.网络安全与防火墙技术[M].北京:电子科技大学学报社科版,2002,1(4):24-28
一、引言
“互联网+”指的是互联网与各个传统行业之间的结合,将互联网技术融合入社会各领域中。[1]为了紧紧把握现代化创新发展的趋势,在“互联网+”这个新型背景下,校园网络逐渐在高校中兴起。校园网络促使高校的教学模式进行了一次变革,信息技术的运用使高校内部资源共享的目标得以实现。学生们可以运用校园网络进行自主创新学习,并能够通过校园网络查阅一些资料,从而在一定程度上丰富自己的知识。但校园网络正受到一定的冲击,其遭遇的安全威胁也在不断增多,这些不利因素将有害于校网网络的使用,亟待相关人员采取科学合理的措施来消除这些影响。
二、高校校园网络的安全问题分析
1网络自身存在着安全漏洞
互联网最先出现在人们的生活中时,其用户规模非常小,这致使设计人员在规划时没有在意网络安全方面的问题,使得互联网中含有比较多的安全漏洞。各种相关的硬件设备在出厂前可能没有按照要求进行检测就被运用于网络体系中,这不可避免会对校园网络造成无法挽回的损失。虽然部分系统内部里面设置有安全防护机制,但是由于相关操作人员的能力有限,对互联网技术的理解还不够透彻,致使这些机制无法得到有效运用,最终会对网络体系造成一定干扰。
2内部使用者的威胁
高校校园网络因为主要是供内部人员们进行使用,故对外界人员设置了比较多的限制手段,而轻忽了内部管理方面的防护工作,使得校园网络内部的安全屏障非常薄弱,易受到内部人员的攻击而导致网络出现故障。同时,学生们对网络的了解不够到位,他们往往忽略了病毒可能带来的危害,没有及时开展清理工作,最终将病毒传入校园网络之中,许多主要数据也会因此被损毁,校园网络体系也将受到各种类型病毒的冲击。
3管理制度不完善和安全意识淡薄
高校内部网络维护工作人员没有严格按照规定要求定期对网络进行检查,使得网络内部的问题不能及时发现,故无法采取有效措施来解决这些安全漏洞。部分高校在建立校园网络时没能彻底落实监控管理制度,部分维护人员抱着侥幸心理,在进行维护工作时非常随意并常常谎报数据,长期以后,校园网络的问题会越积越多。
由于一些老师和学生没有经过有关校园网安全的教育,使得他们的安全意识不够强烈,因而会为校园网络引入一系列不良成分。
4软件的漏洞
一般来说,软件的复杂程度与其漏洞的多少之间具有密不可分的联系,如果该软件的内部规模越庞大且非常烦琐,则其不可避免会遭受更多的安全威胁,系统内部的破绽相对来说也会愈加偏多。高校校园网络作为一种区域性的网络,所包含的数据非常庞大,涉及的软件种类繁多,故其内部不可避免会存在着一系列安全漏洞。这种现象致使校园网络更易受到各种不良冲击,通过大量的数据分析可知,聊天、视频、游戏和办公等相关软件因其良好的适应性而被大家广泛运用,由于使用过于频繁使得这些软件的安全隐患数目较多,更易被不法分子利用起来对校园网络发起攻击。同时,操作系统在设计完成后仍隐含着一些安全隐患,导致操作系统经常被各种有害因素干扰,这也严重影响了网络的安全。
三、高校校园网络安全的对策
针对上述高校校园网络中存在的问题,高校网络管理人员要尽可能采取一系列措施来进行改善,以免对校园网络造成破坏性影响。
1强化网络安全管理制度建设
要想确保校园网络能够安全运行,各个学校有必要结合自身的实际状况来展开一系列优化完善工作。学校在运用校园网络的同时也需拟定相关安全管理体系,以此来推动校园网络平稳运行。为防止高校内部人员可能带来的安全威胁,学校可以有针对性地制订一系列处罚章程以及相关行为规范要求,从而在一定程度上缓解高校校园网络的安全压力,并尽最大可能地减少网络中所存在的安全漏洞。在规划严格的制度的同时也不能忽视相关物理防护基础设备的安置工作,因为这些物理防护工程对安全管理制度的落实起着较佳的辅助效果。
2加强对用户的教育和培训,提升管理人员的技术水平
高水平的网络管理人员往往会通过设置权限与口令以及相关安全设备来保障校园网的安全。[2]校园网的安全不仅需要管理人员的维护处理,还要求其内部使用人员能够合理地运用网络。故非常有必要对这些使用者展开一系列培训活动,通过这种模式来不断提高他们的安全意识,使他们能够按照安全要求来使用校园网。管理人员的技术水平高低对校园网的安全管理有着很大的影响,高水平管理人员往往会提前做好重要数据的备份工作,以防止数据在校园网遭遇威胁时被消除,且他们的工作效率普遍较高,在发现问题时能够迅速进行维护修复,故学校要努力争取让管理人员不断提高其技术水平。
3加强系统检测,及时修复漏洞
校园网监控站要定期对整个体系进行扫描检测,以便能够及时发现潜在的威胁,从而及时采取一系列措施来完善。各高校网络中心建立操作系统补丁服务器,提供用户补丁的下载、升级更新服务,使他们可以及时修复漏洞。
操作系统是计算机运行的支撑软件,它为用户提供了一个能够使得程序或其他的应用系统能在计算机正常运行的平台。有些安装程序经常会附带一些可执行文件,一旦某个部分有漏洞,可能导致整个操作系统的崩溃;同时操作系统还具备一些远程调用作用,能够提交程序为远程服务器服务。远程调用必然需要通过众多的通讯环节,在中间环节有可能会出现被人监控等安全的隐患。
1.2网络的开放性
就网络的开放性而言,因为网络技术是全开放的,导致其所面临的网络攻击来源几步确定:可能来源于物理层对传输线路的攻击,也可能来源于来网络层对通信协议的攻击,还可能来源于应用层对计算机软件与硬件的漏洞进行的攻击;就网络的自由性而言,大部分的网络对用户的使用来说,通常并没有技术上的限制,同时也容易造成信息泄露。
2网络安全技术应用中的完善措施
2.1防火墙
常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过,是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.2数据加密
数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。
2.3健全的管理
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
2.4漏洞扫描系统
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点,面对大型网络的复杂性和不断变化的情况仅仅依靠网络管理员的技术和经验寻找安全漏洞做出风险评估显然是不现实的。解决的方案是寻找一种能查找网络安全漏洞,评估并提出修改建议的网络,安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
2人为的恶意攻击:
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
3网络软件的漏洞和“后门”:
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
下面,我们就从不同的方面来构建一个安全的金融网络体系:
1平台安全
平台安全泛指操作系统和通用基础服务安全,主要用于防范黑客攻击手段。目前市场上大多数安全产品均限于解决平台安全,该行以信息安全评估准则为依据,确定平台安全实施过程包括以下内容:操作系统漏洞检测与修复;Unix系统、Windows系统、网络协议、网络基础设施漏洞检测与修复;路由器、交换机、防火墙、通用基础应用程序漏洞检测与修复;数据库、Web/Ftp/Mail/DNS等其他各种系统守护进程、网络安全产品部署。平台安全实施需要用到市场上常见的网络安全产品,主要包括防火墙、入侵检测、脆弱性扫描和防病毒产品、整体网络系统平台安全综合测试/模拟入侵与安全优化。
2应用安全
应用安全可保障相关业务在计算机网络系统上安全运行,它的脆弱性可能给信息化系统带来致命威胁。该行以业务运行实际面临的威胁为依据,为应用安全提供的评估措施有:业务软件的程序安全性测试(Bug分析)、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查、业务数据的惟一性/一致性/防冲突检测、业务数据的保密性测试、业务系统的可*性测试、业务系统的可用性测试。
测试实施后,可有针对性地为业务系统提供安全建议、修复方法、安全策略和安全管理规范。
3通讯安全
为防止系统之间通信的安全脆弱性威胁,该行以网络通信面临的实际威胁为依据,为保障系统之间通信的安全采取的措施有:通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞。
其中访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。主要包括入网访问控制,网络的权限控制,目录级安全控制,属性安全控制,网络服务器安全控制,网络监测和锁定控制等。
4运行安全
运行安全可保障系统的稳定性,较长时间内将网络系统的安全控制在一定范围内。该行为运行安全提供的实施措施有:应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务。运行安全是一项长期的服务,包含在网络安全系统工程的售后服务内。
网络安全审计的目的就是要了解网络的弱点位置和严重程度,以便如何纠正。提前注意到问题的存在,就能防止这些问题在被忽视的情况下变得非常严重。审计是每天都要完成的任务,网络安全工作是一个持续的过程。基本的审计工作包括:记录用户使用网络系统的过程并对这些记录检查审计、分析例外事件和违规操作,对网络的安全和使用作出评估。
5管理安全
管理安全对以上各个层次的安全性提供管理机制,以网络系统的特点、实际条件和管理要求为依据,利用各种安全管理机制,为用户综合控制风险、降低损失和消耗,促进安全生产效益。银行的各种重大数据都集中在服务器,从而也成为黑客们攻击的主要对象。因此,服务器的安全是银行系统安全的重中之重。一旦服务器上存放的数据被窃取、篡改、破坏、删除,其后果非常严重。
要保障银行安全,除了要部署目前已经得到广泛应用的防火墙和防病毒产品外,入侵检测、主机保护等产品或工具也是必不可少的。
设置安全检测和攻击预警系统的目的是:运用成熟的攻击、反攻击技术,分析已知的系统安全漏洞和薄弱环节。安全检测可以在不安全因素被诱发之前,消除系统可能的安全隐患。攻击预警系统可以实时发现网络攻击,阻挠不安全用户进入系统。
入侵检测的主要安全需求是:根据网络攻击的特征,在被保护网络的入口处进行实时监测。发现攻击时,向管理员报警并阻断、记录攻击的来源;针对系统扫描以及实时监测发现的系统漏洞,及时采取措施,实施动态的安全防卫策略;
6人为因素引发的安全策略
在建立网络管理体系时,人为因素对网络安全的影响非常重要,即使制定了相当完善的安全制度,如果操作员不认真履行操作规程或越权执行,都将对网络造成不安全因素。操作人员、网络管理人员、安全管理人员,应坚持多人负责、职责分离、任期有限的原则。对于有些工作:如程序的操作和开发、机密资料的接受和发送、安全管理和网络系统管理、密码的管理和使用、操作和媒介管理等,必须分工管理;重要操作如证件发放、处理机密信息、软硬件维护、程序删除和修改、数据删除和修改等,必须坚持多人监督。安全管理工作人员,应该有任期时限,不能成为专有和永久性的,应强制休假或培训,以提高网络安全性和安全管理效率。
结语
根据上述安全管理策略,结合从事金融行业网络建设多年的经验,作者认为一套完善、高效、集中的金融网络管理系统应该达到如下目标:
(1)面向运维:系统应作为全行网络的性能预警器,对异常和非趋势现象向相关运维单元通告。系统应是一套适合全行网络发展的完整的网络性能分析方案,它由一些不同的功能模块所组成,性能管理、配置管理、报表管理等,这些功能模块建立在通用的数据平台上,通过自动化的工作流程紧密连接,形成一个有机的整体。