好投稿
搜索

期刊大全 杂志订阅 SCI期刊 投稿指导 期刊服务 文秘服务 出版社 登录/注册 购物车(0)

首页 > 精品范文 > 网络安全设计论文

网络安全设计论文精品(七篇)

时间:2023-03-20 16:17:45

序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇网络安全设计论文范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。

网络安全设计论文

篇(1)

目前,许多学校的校园网都以WINDOWSNT做为系统平台,由IIS(InternetInformationServer)提供WEB等等服务。下面本人结合自己对WINDOWSNT网络管理的一点经验与体会,就技术方面谈谈自己对校园网安全的一些看法。

一、密码的安全

众所周知,用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题,是由于密码管理不严,使"入侵者"得以趁虚而入。因此密码口令的有效管理是非常基本的,也是非常重要的。

在密码的设置安全上,首先绝对杜绝不设口令的帐号存在,尤其是超级用户帐号。一些网络管理人员,为了图方便,认为服务服务器只由自己一个人管理使用,常常对系统不设置密码。这样,"入侵者"就能通过网络轻而易举的进入系统。笔者曾经就发现并进入多个这样的系统。另外,对于系统的一些权限,如果设置不当,对用户不进行密码验证,也可能为"入侵者"留下后门。比如,对WEB网页的修改权限设置,在WINDOWSNT4.0+IIS4.0版系统中,就常常将网站的修改权限设定为任何用户都能修改(可能是IIS默认安装造成的),这样,任何一个用户,通过互联网连上站点后,都可以对主页进行修改删除等操作。

其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出字符作为密码。笔者就猜过几个这样的站点,他们的共同特点就是利用自己名字的缩写或6位相同的数字进行密码设置。

密码的长度也是设置者所要考虑的一个问题。在WINDOWSNT系统中,有一个sam文件,它是windowsNT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果"入侵者"通过系统或网络的漏洞得到了这个文件,就能通过一定的程序(如L0phtCrack)对它进行解码分析。在用L0phtCrack破解时,如果使用"暴力破解"方式对所有字符组合进行破解,那么对于5位以下的密码它最多只要用十几分钟就完成,对于6位字符的密码它也只要用十几小时,但是对于7位或以上它至少耗时一个月左右,所以说,在密码设置时一定要有足够的长度。总之在密码设置上,最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外,适当的交叉使用大小写字母也是增加被破解难度的好办法。

二、系统的安全

最近流行于网络上的"红色代码"、"蓝色代码"及"尼姆达"病毒都利用系统的漏洞进行传播。从目前来看,各种系统或多或少都存在着各种的漏洞,系统漏洞的存在就成网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起"红色代码"、"蓝色代码"及"尼姆达"病毒的传播流行的Unicode解码漏洞,早在去年的10月就被发现,且没隔多久就有了解决方案和补丁,但是许多的网络管理员并没有知道及时的发现和补丁,以至于过了将近一年,还能扫描到许多机器存在该漏洞。

在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因些从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

在WINDOWSNT使用的IIS,是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,为了加大安全性,在安装配置时可以注意以下几个方面:

首先,不要将IIS安装在默认目录里(默认目录为C:\Inetpub),可以在其它逻辑盘中重新建一个目录,并在IIS管理器中将主目录指向新建的目录。

其次,IIS在安装后,会在目录中产生如scripts等默认虚拟目录,而该目录有执行程序的权限,这对系统的安全影响较大,许多漏洞的利用都是通过它进行的。因此,在安装后,应将所有不用的虚拟目录都删除掉。

第三,在安装IIS后,要对应用程序进行配置,在IIS管理器中删除必须之外的任何无用映射,只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重,尽量不要给可执行权限。

三、目录共享的安全

在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中,要充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。笔者曾搜索过外地机器的一个C类IP网段,发现共享的机器就有十几台,而且许多机器是将整个C盘、D盘进行共享,并且在共享时将属性设置为完全共享,且不进行密码保护,这样只要将其映射成一个网络硬盘,就能对上面的资料、文档进行查看、修改、删除。所以,为了防止资料的外泄,在设置共享时一定要设定访问密码。只有这样,才能保证共享目录资料的安全。

四、木马的防范

相信木马对于大多数人来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!木马,应该说是网络安全的大敌。并且在进行的各种入侵攻击行为中,木马都起到了开路先锋的作用。

木马感染通常是执行了一些带毒的程序,而驻留在你的计算机当中,在以后的计算机启动后,木马就在机器中打开一个服务,通过这个服务将你计算机的信息、资料向外传递,在各种木马中,较常见的是"冰河",笔者也曾用冰河扫描过网络上的计算机。发现每个C类IP网段中(个人用户),偶尔都会发现一、二个感染冰河的机器。由此可见,个人用户中感染木马的可能性还是比较高的。如果是服务器感染了木马,危害更是可怕。

篇(2)

关键词:校园网 规划 信息化

中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2016)11-0162-01

近年来,某高职院校适应经济社会发展对应用型高技能人才的需求,主动谋变,科学转型,人才培养质量有了显著提升,同时为了加快发展,于2015年征地800亩,开始建设新校区。新校园的网络设施建设是基础设施建设的重要环节,其规划及设计既要充分考虑与老校网络的互联互通,技术方案、设备选型又要适当超前规划,考虑未来学校的长远规划。

1 现状与需求分析

1.1 校园网络现状

(1)网络核心设备。目前该校的网络核心设备主要是华为NE系列核心交换机组成,有少量采用h3c设备。华为NE系列交换机是具有三层交换功能的高端交换机,性能十分稳定。各网络节点之间用高速光纤接入。服务器以采用IBM刀片服务器为主。

(2)主干线路。目前,该高职院校的校园网主干线路为千兆,主干线路连接主交换机与二级交换机,二级交换是各网络节点与桌面电脑之间,大部分为百兆,拟升级为千兆。

(3)网络覆盖率及上网速度。该高职院校所有建筑单元均已覆盖校园园,百分之百的公用电脑均已入网。学校网络已接入中国教育教研骨干网络。

(4)网络拓扑结构。该院校目前的网络拓扑结构以集中式为主,结构比较合理,但是随着校园网网络用户数量的不断扩大,现有的网络负载量急剧增长,扩容十分必要。具体拓扑结构如图1所示。

1.2 新校园网络建设需求

该高职院校新校区目前在校生10000人,预计2020年要达到15000人的规模。教工用户稳定在2000人左右。新校区按照电工、电子、机械、人文等专业群划分为四个教学功能区,电工与电子专业集群共用实验楼,机械与数控等专业共用一个实验楼。

2 新校区网络设计原则

新校区网络建设与新校区基础设施建设遵循同步设计、有序施工原则。在新校区土建方案中即考虑网络管线设计,确定好核心点和汇聚点的位置、接入接式。网络建设与中心机房建设同步进行,遵循一个数据标准。

3 系统总体方案设计

3.1 网络拓扑结构设计

该院校网络拓扑设计考虑两种方案:

(1)星型结构。以图文信息大楼为中心,两台核心交换设备构成核心层;文科组团、理工组团二、生活区、各建一个汇聚点,学生公寓设置3个汇聚点,以上7个汇聚点用双链路接入核心层构成汇聚层;每个建筑体接入临近汇聚点,构成接入层。网络中心设在核心层图文信息大楼中。

(2)环型结构。以图文信息中心、文科组团、理工组团二、学生公寓四点建立一核心环,用双链路连接保证可靠性,该环构成核心层。在公共教学组团、文科组团、理工组团一、理工组团二、生活区各设置一个汇聚点、学生公寓区设置三个汇聚点,各汇聚点用双链路平均接入核心环结点构成汇聚层,保证负载平衡。每个建筑体接入临近汇聚点,构成接入层。网络中心设在核心环上图文信息大楼中。

经与新校区建设指挥部协商,并征求施工方及专家的意见,确定该高职院校新校区网络设计方案采用两种方案结合的方式进行。即在网络主干布线时采用第二种方案,在二级结点之间采用第二方案。

3.2 新、老校园网络接入

由于该高职院校新、旧校区物理上相隔较远,自成一体。在新校区网络设计时,必须考虑租用第三方运营商线路。本院校租用了电信的万兆级裸光纤,用以新、旧校区高速数据交互的需要。新校区的校园网与中国教育科研网的连接复用老校区的出口。

3.3 网络安全保证

(1)建立电子身份体系。以该校一卡通管理为依托,为该校每一个学生建立一个网络身份证,并与教工用户使用不同的密钥系统。实行“集中授权、统一认证”,保证用户身份的真实性、唯一性和权威性。用户密钥采用硬件、软件加密系统,并引入口令卡技术,确保用户个人的信息安全。

(2)网络安全系统。网络安全系统主要有硬件防护和软件防护组成。该高职院校硬件防护主要是在校心交换上布设了内外网隔离网闸、防火墙,在网络服务器部设入侵检测系统及资源管理系统,实时监测服务器CPU、内存、磁盘阵列的资源负载情况;软件防护主要购买了绿盟病毒防护系统、安捷数据库访问审计系统。从硬件、软件两方面建立了该高职院校的校园网网络安全防护体系。

4 结语

本论文主要结合某高职院校新校区的建筑部局,对该高职院校新校区的网络建设需求进行了分析,并给出了新校区网络拓扑的两种方案,最后采用两种方案融合进行的思路,充分考虑了未来新校区网络建设的发展需求。网络安全是网络规划与设计中需要考虑的重要内容。本论文也给出了该高职院校网络安全保障的建设内容,包括建立电子身份体系、防火墙、入侵检测、病毒防护、VPN等安全系统和网管系统,并给出了该高职院校网络安全的防护结构示意图。本论文的研究对于大学新、老校园的网络建设具有重要的参考意义。

参考文献

[1]周苏,王文.高职院校数字化校园的规划及其网络系统的设计[J].信息化建设,2015.

篇(3)

关键词:入侵诱骗技术;蜜罐;网络安全

近年来计算机网络发展异常迅猛,各行各业对网络的依赖已越发严重。这一方面提高了信息的高速流动,但另一方面却带来了极大的隐患。由于网络的开放性、计算机系统设计的非安全性导致网络受到大量的攻击。如何提高网络的自我防护能力是目前研究的一个热点。论文通过引入入侵诱骗技术,设计了一个高效的网络防护系统。

    一、入侵诱骗技术简介

通过多年的研究表明,网络安全存在的最大问题就是目前采用的被动防护方式,该方式只能被动的应对攻击,缺乏主动防护的功能。为应对这一问题,就提出了入侵诱骗技术。该技术是对被动防护的扩展,通过积极的进行入侵检测,并实时的将可疑目标引向自身,导致攻击失效,从而有效的保护目标。

上个世纪80年代末期由stoll首先提出该思想。到上世纪90年代初期由Bill Cheswish进一步丰富了该思想。他通过在空闲的端口上设置一些用于吸引入侵者的伪造服务来获取入侵者的信息,从而研究入侵者的规律。到1996年Fred Cohen 提出将防火墙技术应用于入侵诱骗技术中,实现消除入侵资源。为进一步吸引入侵目标,在研究中提出了引诱其攻击自身的特殊目标“蜜罐”。研究者通过对蜜罐中目标的观察,可清晰的了解入侵的方法以及自身系统的漏洞,从而提升系统的安全防护水平。

二、蜜罐系统的研究

在这个入侵诱骗技术中,蜜罐的设计是关键。按交互级别,可对蜜罐进行分类:低交互度蜜罐、中交互度蜜罐和高交互度蜜罐。低交互度蜜罐由于简单的设计和基本的功能,低交互度的honeypot通常是最容易安装、部署和维护的。在该系统中,由于没有真正的操作系统可供攻击者远程登录,操作系统所带来的复杂性被削弱了,所以它所带来的风险是最小的。但也让我们无法观察一个攻击者与系统交互信息的整个过程。它主要用于检测。通过中交互度蜜罐可以获得更多有用的信息,同时能做出响应,是仍然没有为攻击者提供一个可使用的操作系统。部署和维护中交互度的蜜罐是一个更为复杂的过程。高交互度蜜罐的主要特点是提供了一个真实的操作系统。该系统能够收集更多的信息、吸引更多的入侵行为。

构建一个有用的蜜罐系统是一个十分复杂的过程,主要涉及到蜜罐的伪装、采集信息、风险控制、数据分析。其中,蜜罐的伪装就是将一个蜜罐系统通过一定的措施构造成一个十分逼真的环境,以吸引入侵者。但蜜罐伪装的难度是既不能暴露太多的信息又不能让入侵者产生怀疑。最初采用的是伪造服务,目前主要采用通过修改的真实系统来充当。蜜罐系统的主要功能之一就是获取入侵者的信息,通常是采用网络sniffer或IDS来记录网络包从而达到记录信息的目的。虽然蜜罐系统可以获取入侵者的信息,并能有效的防护目标,但蜜罐系统也给系统带来了隐患,如何控制这些潜在的风险十分关键。蜜罐系统的最后一个过程就是对采用数据的分析。通过分析就能获得需要的相关入侵者规律的信息。

对于设计蜜罐系统,主要有三个步骤:首先,必须确定自己蜜罐的目标。因为蜜罐系统并不能完全代替传统的网络安全机制,它只是网络安全的补充,所以必须根据自己的目标定位蜜罐系统。通常蜜罐系统可定位于阻止入侵、检测入侵等多个方面。其次,必须确定自己蜜罐系统的设计原则。在这里不仅要确定蜜罐的级别还有确定平台的选择。目前,对用于研究目的的蜜罐系统一般采用高交互蜜罐系统,其目的就是能够更加广泛的收集入侵者的信息,获取需要的资料。在平台的选择上,目前我们选择的范围很有限,一般采用Linux系统。其原因主要是Linux的开源、广泛应用和卓越的性能。最后,就是对选定环境的安装和配置。

三、蜜罐系统在网络中的应用

为更清晰的研究蜜罐系统,将蜜罐系统应用于具体的网络中。在我们的研究中,选择了一个小规模的网络来实现。当设计完整个网络结构后,我们在网络出口部分配置了设计的蜜罐系统。在硬件方面增加了安装了snort的入侵检测系统、安装了Sebek的数据捕获端。并且都构建在Vmware上实现虚拟蜜罐系统。在实现中,主要安装并配置了Honeyd、snort和sebek.其蜜罐系统的结构图,见图1。

图1 蜜罐结构图

论文从入侵诱骗技术入手系统的分析了该技术的发展历程,然后对入侵诱骗技术中的蜜罐系统进行了深入的研究,主要涉及到蜜罐系统的分类、设计原则、设计方法,最后,将一个简易的蜜罐系统应用于具体的网络环境中,并通过严格的测试,表明该系统是有效的。

篇(4)

1:长春广播电视大学毕业设计题目.

2:吉林省森工集团信息化发展前景与规划.

3:吉林省林业设计院网络中心网络改造与发展规划.

4:吉林省林业系统生态信息高速公路构建课题.

二、论文撰写与设计研究的目的

跟随1946年第一台计算机在美国诞生,人类文明发展到一个崭新的时代.尤其是20世纪后10年,以计算机网络的飞速发展为契机,我们进入了信息时代.人们的生活和工作逐渐以信息为中心,信息时代更离不开网络,任何一个规模企业尤其开始依赖网络,没有网络企业就面临着落后.

吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.

由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.

没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".

1,论文(设计)研究的对象:

拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.

2,论文(设计)研究预期达到目标:

通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.

3,论文(设计)研究的内容:

一),主要问题:

设计解决网络地域规范与现有网络资源的利用和开发.

设计解决集中单位的网络统一部署.

设计解决多类型网络的接口部署.

设计解决分散网络用户的接入问题.

设计解决远程瘦用户网络分散点的性能价格合理化问题.

设计解决具有针对性的输入设备的自动化信息采集问题.

合理部署网络服务中心的网络平衡.

优化网络服务系统,营造合理的网络平台.

网络安全问题.

10,基本应用软件整合问题.

二),论文(设计)包含的部分:

1,地理模型与网络模型的整合.

2,企业内部集中部门网络设计.

3,企业内部分散单元网络设计——总体分散.

4,企业内部分散单元网络设计——远程结点.

5,企业内部分散单元网络设计——移动结点.

6,企业网络窗口(企业外信息交流)设计.

7,企业网络中心,服务平台的设计.

8,企业网络基本应用软件结构设计.

9,企业网络特定终端接点设计.

10,企业网络整合设计.

5,论文(设计)的实验方法及理由:

由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.

6,论文(设计)实施安排表:

1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.

2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.

3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.

4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).

5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.

6.论文(设计)阶段第六周次:完成结题报告,形成论文.

三,论文(设计)实施工具及参考资料

小型网络环境,模拟干扰环境,软件平台.

吴企渊《计算机网络》.

郑纪蛟《计算机网络》.

陈济彪丹青等《计算机局域网与企业网》.

christianhuitema《因特网路由技术》.

[美]othmarkyas《网络安全技术——风险分析,策略与防火墙》.

其他相关设备,软件的说明书.

1、论文(设计)的创新点:

努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.

题目可行性说明及预期成果:

2、可行性说明:

由于题目结合了"吉林省森工集团信息化发展前景与规划""吉林省林业设计院网络中心网络改造与发展规划""吉林省林业系统生态信息高速公路构建课题",使得题目紧密结合生产实际,于是进行《企业网络设计——基于集散企业的综合网络设计》具有现实意义.超级秘书网:

篇(5)

1.1开放环境。目前,在网络安全领域及智能规划领域中,都没有对开放环境予以明确的定义,而对于开放环境下的问题研究却很多。在本论文中所研究的开放环境指的是,在计算机网络对应用者开放使用的条件下,硬件系统能够保障网络的正常运行,操作系统及软件能够为管理员及普通用户提供各个角色所需要的功能,即软硬件系统能够为应用者提供服务。

1.2网络安全。网络安全其从应用的角度包含设备安全、信息安全、软件安全。网络攻击者通过以计算机网络为基础的入侵达到窃取重要信息的目的,同时,也有部分计算机高手为达到某种目的,通过使用计算机网络攻击竞争对手的服务器,进而造成网络企业无法正常运营。本文所讨论的网络安全即是为了防范信息丢失或服务器攻击所采取的措施。

1.3智能规划。智能规划是一个动作序列,是一个智能体agent在初始状态(initialstate)下经过执行动作1,动作2,……,动作n这样的一系列动作,最后到达目标状态(goalstate),该一系列动作,我们也称为是这个动作的序列所构成的整体叫做一个规划。每一个规划问题(planningproblem)都要涉及到以下四个集合:一个操作的集合operators、一个对象的集合objects、一个初始条件集合initialconditions和一个目标集合goals,其中初始条件集合和目标集合的每个元素都是一个命题。

1.4规划识别。规划识别是人工智能一个重要的研究领域,是多学科交叉的一个研究领域,涉及到了知识表达、知识推理、非单调逻辑和情景演算等。规划识别问题是指从观察到的某一智能体的动作或动作效果出发,推导出该智能体的目标/规划的过程。

1.5入侵检测。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

1.6应对规划。应对规划是将规划识别和智能规划进行融合,实现识别与应对同时进行,针对敌方系统实施的敌意规划,采取一个动作序列来阻止、破坏敌意规划的执行,进而使我方系统不受到破坏或者将所受损失降到最小,这样的动作序列就称为应对规划(counterplan)。在作者蔡增玉的《基于应对规划的入侵防护系统设计与研究》一文中对应对规划赋予的定义是:为Agent根据敌对Agent的动作,利用规划识别技术发现敌对Agent的目标和将来的动作,并采取适当的响应措施阻止敌对Agent目标的实现,整个过程称为应对规划.在网络安全领域,敌对Agent通常是指网络的入侵者。

2识别及应对模型

对于计算机网络安全的研究较多,但是,将智能规划与规划识别技术应用于该领域的研究却并不多见。本文在前期的理论研究的基础上,提出了开放环境下网络安全规划问题的识别与应对模型,进而得到了解决网络安全问题的新的方法。具体模型如图1所示。该模型的具体执行过程是根据针对服务器端或客户端产生的人为攻击,通过入侵检测的方法,检测到该动作后,对这一动作进行识别,并在此动作中提取该动作所导致的系统变化,将变化的结果作为当前系统工作的初始状态,将此状态传递至应对规划器,此规划器中以此状态为初始状态展开应对规划的求解过程,应对规划器均以系统安全为目标状态,并按照规划器得到的规划步骤,触发相关软硬件设备,逐步执行规划中的每个操作,使服务器端及客户端达到安全状态。该模型的核心在于攻击动作的识别及应对规划的产生。动作的识别主要依靠规划识别器,应对规划的产生则依靠应对规划器,将这两个部分进行组合,并应用到网络安全的问题中,进而对人为攻击计算机网络的安全问题有了解决的方法。

3总结

篇(6)

关键词:网络安全;安全监控;网络维护

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 20-0000-01

Research and Application about Monitoring and Maintaining of Network Security

Xia Qing

(Jiangsu Yancheng Product Quality Supervise Inspection Institute,Yancheng224005,China)

Abstract:This thesis had studied the Internet network security monitoring and maintenance of technology,from network security,content unless,according to the principles of network security monitoring,network security system design,and detail the use of firewalls and network intrusion detection technology,the establishment of joint monitoring and maintenance of network security system within the network and the Internet to complete the interaction between the security monitoring.

Keywords:Network security;Security monitoring;Network maintenance

一、网络安全概述

信息时代,计算机网络技术的发展和应用对人类生活方式的影响越来越大,Internet/Intranet技术广泛应用于社会的各个领域,基于计算机网络的安全问题己经成为非常严重的问题。确保网络安全己经是一件刻不容缓的大事,解决网络安全课题具有十分重要的理论意义和现实背景。本文针对网络安全监控与维护的需求,进行了深入的研究与开发,按照建立的网络安全应该是动态防护体系,是动态加静态的防御,提出了一个全方位、各个层次、多种防御手段的网络安全实现模型,构建了网络监控和维护的安全系统体系结构。

二、网络监控原理

网络安全监控系统能够分级建立监控系统和网络数据库,首先,需要使得网络内部的各级监控系统,对所管辖的网络区域内的计算机进行有效的监控,阻断“一机两用”的行为和想象;其次,要对辖区的下级监控系统的工作状态进行监控,能够对计算机之间的病毒入侵源进行分析和定位;同时还需要对网络区域内的设备和个人计算机进行数据的管理、统计和数据登记,全面地进行网络安全监控和维护。

三、网络安全监控措施

(一)防火墙设置

在Internet与内网之间安装防火墙,形成内外网之间的安全屏障[3]。其中WWW、MAIL、FTP、DNS对外服务器连接在安全,与内、外网间进行隔离。通过Internet进来的公众用户只能访问到对外公开的一些服务,既保护内网资源不被外部非授权用户非法访问或破坏。

(二)入侵检测系统配置

分布式入侵检测系统一般采用分布监视、集中管理的结构,在每个网段里放置基于网络的入侵检测引擎,同时对于重要的服务器,例如MAIL服务器、WEB服务器放置基于主机的入侵检测引擎。再通过远程管理功能在一台管理站点上实现统一的管理和监控。

分布式入侵检测系统的总体结构系统由三个主要组件组成:主管传感器、边界传感器、中央控制台[5]。这三层结构中的任一个结点均可对攻击以不同的方式进行响应。分布式入侵检测系统支持不同的链路,如TCP专用链路和TCP加密链路。主管传感器由控制台决定上报信息的存储、显示、管理,将汇总信息报告给控制台。边界传感器每个组有一个主管传感器,负责信息的收集、精简。如果网络连接通过公用网,则使用加密链路。

四、网络监控与维护应用

典型的网络安全监控应用,如VRV(Virus Removed Victory成功清除病毒)[6]网络防病毒体系,为网络每个层面提供防病毒保护,通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析,提供桌面应用、服务器系统、邮件系统、群件服务器、Internet网关级别的全面防毒保护。这种全方位、多层次的防毒系统配置,能使政府、企业网络免遭所有病毒的入侵和危害。

基于局域网、广域网多级管理:网络终端杀毒-局域网集中监控-广域网总部管理,在局域网中用VRV各防毒组件构架本地网防毒系统的基础上构建广域网总部控制系统:(1)监控本地、远程异地局域网病毒防御情况;(2)统计分析广域网病毒爆发种类、发生频度、易发生源等信息;(3)病毒信息汇总,进行病毒安全风险评估;(4)整体网络统一策略、统一升级、统一控制。

主动式病毒防护机制:企业安全防护策略是针对网络内部安全推出的最新解决方案。不用等到病毒码更新,就能主动防御。透过VRV防病毒管理中心管理整个病毒爆发周期。让企业在面临病毒爆发的威胁时,通过VRVAMC主动获得完整防毒策略,有效降低因为病毒疫情带来的人力损失及成本。防毒系统本身更能自动识别未知病毒,通过对文件和网络流量异常监视,提出报警。

五、结束语

本文通过分析了网络安全的现状与概况,提出建立网络安全监控与维护体系的重要性,在此基础上,利用网络安全监控和管理手段,首先建立的网络的防火墙配置,在防火墙配置的基础上,配置了网络入侵检测系统,利用这两项配置,完成网络内部与Internet之间的交互安全监控。论文最后分析了一个实际的VRV网络安全监控与维护系统,通过该系统的配置与应用,说明网络安全监控技术的具体实施,对网络安全具有一定研究价值。

参考文献:

[1]张杰.因特网安全及其防范措施[J].信息安全技术,2002,3:20-23

篇(7)

关键词:教务管理系统;安全隐患;安全策略

Study on Safety Strategies of University Education Management System

ZHANG Yan

(Examination Center, Chongqing Radio & TV University, Chongqing 400052, China)

Abstract: University education management system not only takes on most of tasks of university management but also saves so much important data like academic achievement. Therefore, it is very important to guarantee the safety of education management system. The paper introduces the safety model of computer, and discusses hidden safety troubles on education management system, and puts forward safety strategies to guarantee the safety of education management system.

Key words: education management system; hidden safety troubles; safety strategy

1 概述

随着信息技术的飞速发展以及高校信息建设特别是数字校园建设的快速推进,各高校相继建设了数字化校园的核心应用系统――教务管理系统。它包括教学计划管理、学籍管理、考务管理、教材管理、网络上选课和学费清算等子系统,其不仅涵盖了高校日常运行的大部分功能,而且存储着学生成绩等大量重要数据。因此,为教务系统的数据安全和稳定运行构建完善的安全策略显得尤其重要[1]。

2 计算机安全模型

计算机安全模型是建立于安全策略之上[2],其基本结构如图1所示,包括主机安全、网络安全、组织安全和法律安全。安全策略是指为达到预期安全目标而制定的一系列安全准则。安全策略主要建立在认证、授权、数据加密和访问控制等技术之上。

主机安全主要包括用户身份的认证,系统资源访问权限控制,安全存储、处理系统数据,跟踪审计用户行为,系统漏洞检测和信息恢复等。网络安全主要包括有效的接入控制,数据传输的安全性,网络传输的安全服务和安全机制,网络安全的检测和恢复等。组织安全包括建立完善的安全管理规范。由于计算机最终由计算机理人员决定,因此,加强人的管理是网络安全的重要措施。法律安全主要包括隐私权、知识产权、数据签名和不可抵赖。在计算机安全模型中,组织安全是重要的组织保障,主机安全和网络安全是重要的技术保障手段,只有将组织保障和技术保障有机结合,才能形成一个完整的安全保障体系。

3 教务管理系统安全隐患

3.1 服务器安全隐患

服务器安全隐患主要包括:1)教务系统几乎要面对高校中所有的学生和教师,使用人群非常庞大而复杂。这既增加了服务器被使用者有意或无意的破坏几率,又增加了用户终端病毒感染服务器的可能性;2)服务器的硬件故障(如硬盘故障等)也会给系统带来很大的安全隐患;3)服务器自身的安全措施不到位存在的安全隐患,如未及时给操作系统打补丁,未及时升级杀毒软件病毒库等;4)用户身份认证机制缺陷造成的安全隐患, 如用户的身份证仅靠密码识别,由于用户密码泄漏而给系统带来安全隐患;5)管理系统自身的软件漏洞(如SQL注入漏洞)带来的安全隐患。

3.2 网络安全隐患

网络安全隐患主要包括以下几方面:1)数据传输隐患。如果敏感数据不使用加密传输,入侵者就可通过网络嗅探工具获得用户的账号和口令;2)网络负载隐患。随着高校的大规模扩招,教务管理系统的用户急剧增加,这可能因并发用户太多而造成服务器不能及时响应。同时,恶意的DDOS(分布式拒绝服务)攻击也会给服务器带来很大的负载压力,影响服务器的正常运行。

3.3 管理安全隐患

由于管理制度不健全、不完整、不到位,给系统运行、使用带来制度性安全隐患。

4 教务系统的安全策略

针对上文提到的各种安全隐患,必须制定相应的安全策略,才能保障教务管理系统的安全、稳定运行。

4.1 用户安全策略

用户安全策略主要包括:1)用户口令安全策略。对用户的口令进行检查,对于口令强度不够的,强制要求用户更改;2)用户权限分级和信息处理保密策略。对用户权限分级和保密进行精心设计,减少用户无意或恶意操作给系统带来的破坏;3)对用户行为进行详细记录和审计,并定期进行日志分析,以利于及时查找系统漏洞和用户破坏行为;4)要求服务器管理人员定期对服务器病毒库进行升级,并及时给操作系统打补丁。

4.2 数据备份与恢复策略

备份的主要目的是当数据受到破坏时,使用备份数据可以快速恢复受损数据,减少损失。备份设备主要有磁带库、磁盘阵列、光盘、SAN等。数据备份策略有全备份和增量备份。全备份即备份所有数据;增量备份只备份上次备份后有变化的数据。全备份所需时间长,但恢复时间短,操作最方便,当系统中数据量不大时,采用全备份最可靠。数据恢复是指用备份数据恢复损坏的系统。恢复操作通常可分为全盘恢复和增量恢复。为了尽快恢复数据,必须制定数据恢复应急预案,并进行相应预演,以确保在规定的时间内恢复数据。

为了减少因服务器故障造成管理系统停止运行,除采用数据备份措施外,还经常使用双机热备的方式来提高系统运行的可靠性和稳定性。双机热备不仅可以提高系统可靠性,还可通过服务器负载均衡提高系统的响应速度和并发处理能力。

4.3 网络安全策略

为了防止敏感数据(如账号和密码)在网络中传输时受到破坏,更改、泄露,在教务管理系统设计和实现时,必须在敏感数据进入网络传输前进行加密,以防止数据被窃听、被破坏[3]。由于数据加密、解密将增加客户端和服务器的负荷和处理时间。因此,建议只对敏感数据进行加密传输,对于其他数据可直接用明文在网络中传输,以增加系统的响应速度和并发处理能力。

为了防止网络恶意用户、黑客工具软件和病毒对服务器的攻击,必须在服务器前端安装防火墙(Firewall)。防火墙是安装在客户端和服务器之间的一道“防护墙”,它允许客户端对服务器的合法访问,阻止非法访问,从而保护服务器免遭非法入侵,提高服务器的安全性[4]。

4.4 管理安全策略

仅仅依赖技术安全措施,并不能完全保障系统的安全,还需建立完善的安全管理策略,也只有配合完善的安全管理策略,才能使技术防范手段的效能最大化。安全管理策略包括物理安全策略,如关键计算设备的安全策略;逻辑安全策略,如数据访问的安全策略;行政制约方面的安全策略,如人员安全管理策略。安全策略的一个重要组成部分是定期对安全策略的实施过程与结果进行分析,并根据分析结果对安全策略进行动态的修改。

5 结束语

论文分析了高校教务管理系统存在的安全隐患,并针对这些安全隐患,提出了完整、系统的安全策略。通过安全策略的实施,能最大限度地保障系统的安全、稳定运行。文中提出的安全策略不仅适用于教务管理系统,也适用于其他信息管理系统,具有一定的推广价值。值得注意的是,安全策略不是一成不变的,它会随着信息技术的发展而动态的发展。因此,必须经常对已有安全策略的运行效果进行分析,以便及时发现安全策略的薄弱环节,修补安全漏洞。

参考文献:

[1] 王树利. 高校教务管理系统数据备份与安全审计方案设计[J]. 科教文汇,2009(9):222-223.

[2] 邹新国. 计算机信息与网络安全技术[M]. 济南:黄河出版社,2008:10-14.

相关文章
热门文章
相关期刊