网络安全申请精品(七篇)
时间:2023-09-05 16:31:28
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇网络安全申请范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
篇(1)
一、 下载申报相关材料和模板
访问全国信息安全标准化技术委员会网站(tc260.org.cn),点击上方“工作动态”标签,点击左侧边栏“通知公告”,在通知公告中找到“关于印发《2021年网络安全国家标准项目申报指南》的通知”,下载通知下方附件。
二、 准备申报材料
按照《全国信息安全标准化技术委员会标准制修订工作程序》的要求,根据《2021年网络安全国家标准项目申报指南》的支持范围进行申报,填写《网络安全国家标准项目申请书》、《国家标准项目建议书》,并准备标准草案。
三、 在线填报申报材料
访问全国信息安全标准化技术委员会网站(tc260.org.cn),点击右上方“平台登录”标签,使用相应工作组的成员单位账号(WG或SWG开头的账号)进行登录;进入“信息安全标准项目管理与服务平台”页面后,选择“立项管理”模块;根据申报项目的类型,选择“制修订立项管理”或“研究立项管理”;点击右上方“新增”按钮,进入立项信息在线填报页面;按照平台要求完整填写相应信息,上传《网络安全国家标准项目申请书》、《国家标准项目建议书》和《标准草案》(均需提交WORD版);点击“申请”完成在线立项申报流程。
四、 报送纸质申报材料
项目申报单位将在线上传的《网络安全国家标准项目申请书》、《国家标准项目建议书》和《标准草案》等纸质文件各一份,加盖所在单位公章,寄送至全国信息安全标准化技术委员会秘书处。
五、秘书处联系方式
全国信息安全标准化技术委员会秘书处
北京市安定门东大街1号(100007)
联系人:蔡一鸣
篇(2)
关键词:计算机网络;网络信息安全;安全维护策略
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-02
Security Maintenance of Computer Network Information
Zhang Feng
(Dalian Tiantu Cable Television Network Co.,Ltd.,Dalian 116011,China)
Abstract:Information technology makes the computer network becomes an important feature of the information age,computer and communication technology product-networks,the information superhighway in society today.However,in the early design of network protocols on security issues of neglect,frequently associated with security incidents occur,the line computer network system security threats facing can not be ignored,and thus become a serious social problems.In this paper,a computer network system to enhance the security of the line,described the security of computer network systems maintenance strategy.
Keywords:Computer network;Network and information security;Security maintenance strategy
一、计算机网络系统概述
(一)计算机网络系统定义
计算机网络系统就是利用通信设备和线路将地理位置不同、功能独立的多个计算机系统互联起来,以功能完善的网络软件实现网络中资源共享和信息传递的系统。通过计算机的互联,实现计算机之间的通信,从而实现计算机系统之间的信息、软件和设备资源的共享以及协同工作等功能,其本质特征在于提供计算机之间的各类资源的高度共享,实现便捷地交流信息和交换思想。计算机网络的发展经历了具有通信功能的批处理系统、具有通信功能的多机系统和计算机网络系统三个阶段。
(二)计算机网络系统的组成
在计算机网络系统中,每台计算机是独立的,任何一台计算机都不能干预其它计算机的工作,任何两台计算机之间没有主从关系。计算机网络系统由网络硬件和网络软件两部分组成。在网络系统中,硬件对网络的性能起着决定的作用,是网络运行的实体,而网络软件则是支持网络运行、提高效益和开发网络资源的工具。
(三)计算机网络的用途
1.共享资源:计算机网络系统可将分散在各地的计算机中的数据信息收集起来,进行综合分析处理。并把分析结果反馈给相关的各个计算机中,使数据信息得到充分的共享。更重要的是,利用计算机网络共享软件、数据等信息资源,以最大限度地降低成本,提高效率。
2.数据通信。利用计算机网络可以实现计算机用户相互间的通信。通过网络上的文件服务器交换信息和报文、收发电子邮件、相互协同工作等。这些对办公室自动化、提高生产率起着十分重要的作用。
二、计算机网络安全概述
(一)网络安全的定义
网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。
(二)网络信息安全的脆弱性
1.网络信息安全问题的产生。网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为"信息的完整性、可用性、保密性和可靠性";控制安全则指身份认证、不可否认性、授权和访问控制。
2.互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。同时也产生了许多安全问题:(1)互联网是一个开放的网络,TCP/IP是通用的协议,各种硬件和软件平台的计算机系统可以通过各种媒体接入进来,各种安全威胁可以不受地理限制、不受平台约束,迅速通过互联网影响到世界的每一个角落。(2)互联网的自身的安全缺陷是导致互联网脆弱性的根本原因。互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段,由于没有充分考虑安全威胁,互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。由于网络和相关软件越来越复杂,安全漏洞也越来越多。由于管理员或者用户的技术水平限制、维护管理工作量大等因素,这些安全机制并没有发挥有效作用。(3)互联网威胁的普遍性是安全问题的主要原因之一。(4)管理方面的困难性也是互联网安全问题的重要原因。
三、常见网络攻击方法及对策
(一)网络攻击的常见方法
1.口令入侵。所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。
2.放置特洛伊木马程序。特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知攻击者,来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
3.WWW的欺骗技术。在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
4.电子邮件攻击。电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。相对于其它的攻击手段来说,这种攻击方法具有简单、见效快等优点。
5.网络监听和安全漏洞攻击。网络监听是系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。如果信息没有加密,就可截取包括口令和账号在内的信息资料。
许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。
(二)网络攻击应对策略
在对网络攻击进行上述分析与识别的基础上,我们应当认真制定有针对性的策略。明确安全对象,设置强有力的安全保障体系。有的放矢,在网络中层层设防,发挥网络的每层作用,做到未雨绸缪,预防为主,将重要的数据备份并时刻注意系统运行状况。
1.提高安全意识。不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序;尽量避免从Internet下载不知名的软件、游戏程序;密码设置尽可能使用字母数字混排,单纯的英文或者数字很容易穷举;及时下载安装系统补丁程序。
2.使用防毒、防黑等防火墙软件。防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
3.设置服务器,隐藏自己的IP地址。保护IP地址的最好方法就是设置服务器。服务器能起到外部网络申请访问内部网络的中间转接作用,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。
4.将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。
5.提高警惕和备份资料,对于重要的个人资料做好严密的保护,并养成资料备份的习惯。加强对网络信息安全的重视,强化信息网络安全保障体系建设。
(三)逐步消除网络安全隐患
1.建立网络安全长效机制的重要手段。建立规范的网络秩序,需要不断完善法制,探索网络空间所体现的需求和原则,为规范网络空间秩序确定法律框架;建立规范的网络秩序,还要在道德和文化层面确定每个使用网络者的义务;建立规范的网络秩序,需要在法制基础上建立打击各类网络犯罪有效机制和手段。
2.引发网络安全事件的原因。据调查,因“利用未打补丁或未受保护的软件漏洞”,占50.3%;对员工不充分的安全操作和流程的培训及教育占36.3%;紧随其后的是缺乏全面的网络安全意识教育,占28.7%。因此,要用直观、易懂、演示性的方式来加强员工的网络安全意识水平,降低企业面临的各种风险,提高竞争力。
3.保障信息安全任重道远。专家认为,我国目前网络安全的推进重点,已开始由物理层面的防毒向文化、思想、精神层面的防毒转变,倡导网络文明和净化网络环境内容。截至目前,信息产业部启动的“阳光绿色网络工程”系列活动,已经取得显著成果,并正在长期系统地净化着网络环境。
四、结束语
网络经济发展对网络安全产品有了新的需求,因此具有巨大的市场前景的防火墙、杀毒软件、安全认证等产品将占据市场的主要份额,网络主动检测和防御的技术也将有所发展。国内网络安全产品线已相对齐全,国内外厂商的产品已能够提供保障网络安全的防病毒、防火墙、入侵检测和安全评估、信息加密、安全认证以及网络安全整体解决方案等全系列产品。全国信息安全产品的产业化已经有了一个良好的开端。
参考文献:
[1]网络安全技术介绍.
[2]常见网络攻击技术与防范.
篇(3)
计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
关键字:计算机网络安全 商务交易安全
一 前言
随着INTERNET的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过INTERNET进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全,便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关注的话题。
点击查看全文
篇(4)
为贯彻落实国务院“互联网+”行动计划有关要求,推进电信行业网络安全技术手段建设,提升网络基础设施安全保障能力,根据《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》和2015年重点工作安排,工信部决定组织开展电信行业网络安全试点示范工作,并于2015年8月4日下发《工业和信息化部关于开展电信行业网络安全试点示范工作的通知》(以下简称通知)。
《通知》提出,立足电信行业网络安全防护的实际需求,围绕网络安全技术手段建设的重点方向,推动基础电信企业开展管理和技术手段创新应用,引导基础电信企业加大网络安全技术投入,落实安全防护责任,发掘行业网络安全优秀实践案例,促进先进技术和经验的行业推广应用,充分发挥技术手段在保障网络基础设施安全方面的作用,切实增强电信行业防范和应对网络安全威胁的能力。
《通知》要求,2015年试点示范项目的申请主体为基础电信企业集团公司或省级公司,试点示范项目应为已建或在建(含已立项)的网络安全管理系统或技术平台。
根据相关省、自治区、直辖市通信管理局推荐和各基础电信企业集团公司申报,经组织专家评选,综合考虑项目的实用性、创新性、先进性、可推广性,工信部共选出33个项目列入2015年电信行业网络安全试点示范项目。
工信部表示,入选的33个安全试点示范项目包括已建成项目21项,在建项目11项,覆盖企业内部集中化安全管理、网络和信息系统资产管理、数据安全保护、云平台安全防护、网络安全威胁监测与处置、抗拒绝服务攻击、域名系统安全等多个领域。
篇(5)
【关键词】:信息安全; 网络安全; 监狱
监狱信息化系统是建立在计算机和网络技术的基础之上,实现起公共管理和服务职能的数字化和网络化,将广大干警从手工记录中解脱出来,实现了信息共享,也使得各项工作更规范、准确,合乎法规要求。
1. 监狱信息网络的基本构架
监狱信息网络系统的基本构架为监狱内部办公网(内部网)、对外信息网(外部网)和监狱信息资源库。其中不公开的数据,只在内部网上实现信息共享;外部网是监狱向公众公开网站,通过网络实现监狱与民众之间的双向交流;监狱信息资源库主要是存放监狱狱政信息和监狱共享资源信息等。无论是内网、外网之间都是通过TCP/IP协议进行构建,内网和外网之间需要物理隔离。
2. 监狱信息系统的安全需求。由于监狱部门的特殊性,对内部信息的保密程度要求也非常的高,对信息安全提出以下要求。
2.1 技术方面安全要求
(1) 物理层。保障网络的物理环境、网络设备和通讯线路的安全。防止天灾人祸对环境、设备、线路造成危害,导致系统无法正常运行。
(2) 网络层。信息在网络上传输安全、防止外界入侵、以及加强由于网络结构的共享性和开放性造成的网络脆弱性。
(3) 系统层。保障操作系统和数据库等系统软件的安全。无论是Windows、Unix还是Linux系统,以及Oracle、SQL Server等数据库系统,本身就存在一些已知和未知的漏洞,预防这些漏洞对系统造成安全隐患。
(4) 应用层。保证数据、文件及各种形式的信息的机密性、完整性及不可否认性。针对不同的应用,通过检测其安全漏洞,采取相应的安全措施,来降低应用的安全风险。
2.2 管理方面安全要求。监狱信息化网络系统是由人来操作,由于工作人员的违规操作,很容易对系统造成破坏或瘫痪;或者内部人员利用职务之便,进行违法操作,对系统和整个社会来说都是一个的威胁。所以还应建立相关政策、法规约束内部人员的行为。
3. 监狱信息安全的系统构架
3.1 技术安全体系设计。物理层安全是整个网络安全系统的前提,其安全设计要通过环境、设备、线路三方面进行设计。
(1) 对机房的建设进行防火、防雷、放震等特殊设计,并且要进行机房屏蔽设计防止电磁辐射、电源接地和配置不间断电源(UPS)保证服务器的正常工作。
(2) 重要的服务器、交换机、路由器要安排专人看管,配合安全管理手册,限制人员的出入。控制单位内部员工的访问操作,防止由于内部员工的操作,造成泄密事件的发生。
(3) 确保线路上分离内网和外网,将内部网和外部网彻底的物理隔离开,没有任何线路连接,这样可保证公共网上黑客无法连接内部网,保证极高的安全性。
网络层安全包括设置防火墙、入侵检测和VPN等方面的设计。
(1) 通过配置防火墙中的安全策略来有效阻断网络外部的攻击和非法访问。
(2) 利用"入侵检测系统"连续监视网络通讯情况,寻找已知的攻击模式,当它检测到一个未授权活动时,软件会以预定方式自动进行响应,报告攻击、记录该事件或是断开未授权连接。"入侵检测系统"能够与其他安全机制协同工作,提供有效的安全保障。
(3) 利用MPLS(Multiprotocol Label Switching多协议标签交换技术)VPN构建了一个跨越不同地域的上下级之间和内部网络之间的虚拟专用网,通过对网络数据的封包和加密传输,在因特网上建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别,就相当于建立一条专线连接远程的办公室,降低网络设备的投入和线路的投资,同时实现了网络之间的安全通讯。
系统层安全主要针对操作系统安全和数据库管理系统安全。服务器端采用Windows 2000 Advance Server操作系统,客户端采用Windows 2000操作系统,合理配置系统自身所提供的安全机制并定时扫描系统漏洞,及时发现并弥补系统漏洞。采用了SQL Server数据库管理系统,定期对系统和数据进行备份,以保证系统和数据的安全。
应用层主要是应用软件保证安全,包括身份认证和访问控制、数据安全管理、有效的防病毒系统和监控系统的建立。
(1) 身份认证与访问控制系统是以密码技术和公钥基础设施PKI(Public Key Infrastructure) 技术为核心,以数据加密、访问控制等安全技术为基础,在网络上实现了强有力的身份认证和访问控制功能。CA证书服务器主要负责接收证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书以及证书吊销列表(CRL);数字证书库保存了已经签发的数字证书及公钥,并且为用户提供下载所需其他用户的证书及公钥;RA服务器主要负责处理用户申请、用户撤销等请求,管理用户信息。
(2) 每个合法用户分配私有目录-文件保密柜。所有进入该私有目录的文件都将被自动加密,移出该目录的文件将被自动解密。为保证私有信息的私密性,任何用户都不能查看和操作其他用户文件保密柜内的文件。
(3) 建立有效的防病毒系统,对网络通讯中的数据实行监控,并对系统进行定时扫描、杀毒,减少病毒侵害带来的损失。
(4) 建立有效的监控系统,对计算机用户的行为进行监督管理,将使用过程中重要信息(机号,操作人等)记录到审计文件中,管理人员可以由此发现"可疑"情况,及时追查安全事故责任。
3.2 管理安全体系设计
(1) 建立一套职责明确的管理制度,以便分清职责,互相监管。
(2) 建立密码管理制度,由工作人员分段掌握,定期更换和控制扩散。
(3) 加强有关资料的档案管理,严格配置修改的批准程序和档案入库登记,防止外流、外泄。
(4) 依法管理,追究行为人因故意或过失对网络造成危害的法律责任。
好的网络安全解决方案,可以有效的保证监狱信息的安全。从监狱特殊化安全着手,对其信息系统的安全问题进行了探讨研究,并提出了有效的解决方法,实施到实际当中,取得了很好的效果。
参考文献
[1]蔡立军.计算机网络安全技术[M]
[2]何鹏, 潘海珠.虚拟专用网络技术VPN在大学校园网中的应用[J]
篇(6)
目前,在互联网环境下,校园网已经成为被攻击的主体。随着计算机病毒的不断更新换代,以及专业化病毒制造模式都使得网络攻击的手段变得越发的多样化,而且攻击的方式变得越来越难以察觉,破坏性也大大增加了,这都对校园网的安全和正常运作产生了严重的干扰,这些信息安全隐患具体表现为:
1.1占用资源
计算机单机病毒或网络病毒都会大量占用资源,甚至控制网络资源,使有效数据泄露,威胁到校园网的信息安全。
1.2破坏数据
计算机病毒会修改、删除或破坏校园网有用数据信息,妨碍高校校园网正常运行。
1.3非法访问
攻击者能越过校园网权限设置,通过非法访问获得信息,给校园网信息安全带来破坏,影响高校的日常教学和科研,也为管理带来不便。
1.4恶意攻击
病毒或攻击者利用校园网网络设置漏洞,攻击校园网,使校园网信息泄露,数据丢失,甚至使校园网瘫痪,影响校园网的正常工作。
2校园网信息安全策略
针对日益猖獗的计算机病毒,高校必须积极应对,采取合理的信息安全策略配置,保障校园网的安全。通常所采用的策略有:
2.1校园网信息安全规章制度
校园网网络管理部门制定严格的校园网信息安全制度,针对校园网各网段实施严格管理;校园网管理部门采取实时监控策略,从各个网段抽样数据包,定期分析数据包。
2.2校园网外网信息安全策略
近些年来,外网对校园网内部的攻击数量不断增加,已成为影响校园网安全的严重隐患,针对此种情况,必须有针对性的配置防火墙,从而形成信息交换的屏障,可以防范校园网信息受到外部的攻击。数据分组过滤机制常见的作法是在防火墙上进行数据筛查的机制设置,当防火墙接收到访问申请时,将此申请数据分组同自身所有的数据库进行比对操作,从而判断来访的申请是否合法,最终决定是将数据放行还是进行隔离删除操作。这种机制虽然可以避免病毒的攻击,但其要想正常有效的运行,必须及时更新数据库中的比对资源,否则很可能导致大量正常数据的无法访问。校园网可以根据自身的情况,灵活的配置数据分组的过滤机制,并配备相应的数据库管理员来对数据库进行及时的更新,从而保障校园网内的用户避免受到外界的攻击。首先将校园网内的所有用户划分成一个内网,同外网相区分,内网中的所有用户使用内网地址,而校园网路由器的对外端口使用外部地址,也就是全球唯一的IP地址,这样就存在内部地址到外部地址的转换关系,在校园网外部看来,整个校园网变成了一个或有限的几个用户,所有的外部数据都要通过这几条有限的路径才能到达校园网内部用户主机,这种做法显然可以使得校园网主机成为“隐身”状态,从而使得外部主机无法主动的向校园网内部主机发起攻击。
3.校园网的数据安全不仅要考虑到外
部非法用户的攻击,同时也要考虑防范来自内部的侵犯,如内部某主机受到病毒感染后会迅速的向内网的其他用户传播并繁殖。这类病毒有着广泛的侵害目标,如设置虚假网关,使得用户无法正常联网,甚至连校园网络的内部资源也无法访问,更不要说登录到因特网访问外部资源了;同时此类病毒还会恶意获取内部的一些重要数据并破坏主机信息。所以在网络安全工作中,局域网的数据安全也是一项重要的工作,通常有效的作法有以下几种:
3.1VLAN划分
通过构建VLAN并创建多个广播组可以使得管理员对每个端口和每个用户加以控制。这样就可以杜绝某个用户只需将其工作站插入任何交换机端口,就可以对网络资源进行访问,因为管理员现在有了对每个端口的控制权,能够控制端口对资源的访问。
3.2网络安全协议配置
网络安全协议是定义通过网络进行通信的规则,接收方的发送方同层的协议必须一致,否则一方将无法识别另一方发出的信息,以这种规则规定双方完成信息在计算机之间的传送过程。IPSec是一个工业标准网络安全协议,它是一种开放标准的框架结构,它是基于端对端的安全模式,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。
4校园网主机信息安全策略
校园网主机是校园网信息的交换平台,在校园网中占重要地位,保障主机信息安全,在某种意义上说,就是保障了校园网信息的安全。
4.1服务器群配置
如果要把校园网络安全工作具体的校园网内的每一台主机,这显眼是不现实的,而由于以上提到的几种安全隐患很难做到完全的防范,这就使得大量的网络安全工作可能由于少数主机遭受攻击而面临全面失效的严重问题,所以高校网络一般都会配置服务器群,采用服务器群的好处是可以将网络结构进行分层管理,并配置镜像功能,IPS深度防护功能等,这样就可以保证在任何时间,都会有至少一台冗余的服务器处于准备状态,一旦正在运行的服务器遭到攻击不能正常工作,冗余服务器可以在最短的时间内接手相关工作,从而使得校园网络能够正常运行。
4.2主机信息安全策略
篇(7)
【关键词】计算机 网络 安全
1 网络信息安全存在的问题
计算机网络的安全隐患多数是利用网络系统本身存在的安全弱点,而在网络的使用、管理过程中的不当行为可能会进一步加剧安全问题的严重性。影响网络安全的问题有很多,归纳起来主要包括3个方面:技术问题、管理问题和人为问题。
1.1 技术问题
从技术问题来看,主要包括硬件系统的安全缺陷、软件系统的安全漏洞和系统安全配置不当造成的其他安全漏洞3种情况。
(1)硬件系统的安全缺陷。由于理论或技术的局限性,必然会导致计算机及其硬件设备存在这样或那样的不足,进而在使用时可能产生各种各样的安全问题。
(2)软件系统的安全漏洞。在软件设计时期,人们为了能够方便不断改进和完善所涉及的系统软件和应用软件,开设了“后门”以便更新和修改软件的内容,这种后门一旦被攻击者掌握将成为影响系统安全的漏洞。同时,在软件开发过程中,由于结构设计的缺陷或编写过程的不规范也会导致安全漏洞的产生。
(3)系统安全配置不当造成的其他安全漏洞。通常在系统中都有一个默认配置,而默认配置的安全性通常较低。此外,在网络配置时出现错误,存在匿名FTP、Telnet的开放、密码文件缺乏适当的安全保护、命令的不合理使用等问题都会导致或多或少的安全漏洞。黑客就有可能利用这些漏洞攻击网络,影响网络的安全性。
1.2 管理问题
管理问题主要是指网络管理方面的漏洞。通常来说,很多机构在设计内部网络时,主要关注来自外部的威胁,对来自内部的攻击考虑较少,导致内部网络缺乏审计跟踪机制,网络管理员没有足够重视系统的日志和其他信息。另外,管理人员的素质较差、管理措施的完善程度不够以及用户的安全意识淡薄等都会导致网络安全问题。
1.3 人为问题
安全问题最终根源都是人的问题。前面提到的技术问题和管理问题均可以归结到人的问题。根据人的行为可以将网络安全问题分为人为的无意失误和人为的恶意攻击。
1.3.1 人为的无意失误
此类问题主要是由系统本身故障、操作失误或软件出错导致的。例如管理员安全配置不当造成的安全漏洞、网络用户安全意识不强带来的安全威胁等。
1.3.2 人为的恶意攻击
此类问题是指利用系统中的漏洞而进行的攻击行为或直接破坏物理设备和设施的攻击行为。例如病毒可以突破网络的安全防御人侵到网络主机上,可能造成网络系统的瘫痪等安全问题。
1.4 易欺骗性问题
TCP或UDP服务相信主机的地址。如果使用“IP Source Routing”,那么攻击者的主机就可以冒充一个被信任的主机或客户。使用“IP Source Routing”,采用如下操作可把攻击者的系统假扮成某一一特定服务器的可信任的客户:
(1)攻击者要使用那个被信任的客户的IP地址取代自己的地址。
(2)攻击者构造一条要攻击的服务器和其主机间的直接路径,把被信任的客户作为通向服务器的路径的最后节点。
(3)攻击者用这条路径向服务器发出客户申请。
(4)服务器接受客户申请,就好像是从可信任客户直接发出的一样,然后给可信任客户返回响应。
(5)可信任客户使用这条路径将包向前传送给攻击者的主机。
许多UNIX主机接收到这种包后将继续把它们向指定的地方传送。许多路由器也是这样,但有些路由器可以配置以阻塞这种包。
一个更简单的方法是等客户系统关机后来模仿该系统。许多组织中UNIX主机作为局域网服务器使用,职员用个人计算机和TCP/IP网络软件来连接和使用它们。个人计算机一般使用NFS来对服务器的目录和文件进行访问(NFS仅仅使用IP地址来验证客户)。一个攻击者几小时就可以设置好一台与别人使用相同名字和IP地址的个人计算机,然后与UNIX主机建立连接,就好像它是“真的”客户。这是非常容易实行的攻击手段,但应该是内部人员所为。
2 网络信息安全问题的策略
在设计一个网络安全系统时,首要任务是确认该单位的需要和目标,并制定安全策略。安全策略需要反映出该单位同公用网络连接的理由,并分别规定对内部用户和公众用户提供的服务。在建立安全策略时,这是关键性的,但往往又是容易被忽视的一步。准许访问除明确拒绝以外的全部服务程序,对大部分服务程序都很少干预。危及安全的服务程序可能被使用并已引发问题,直到管理人员明确加以禁止为止,安全问题颇为突出。此时,用户需要将该新服务程序通知管理人员,对该程序进行鉴定后决定是否允许被使用。
在作出基本的决策之后,决定哪些服务程序向内部用户提供,哪些服务程序向外部网络用户提供使用。安全策略设计还需要有监视安全的方式和实施策略的方式。
在设计安全策略和选择网络安全系统时,还需要考虑成本与方便二者的平衡。这取决于所期望的安全程度和所选用的安全系统,可能需要额外的硬件,如路由器和专用主机,也可能需要特殊的软件,还可能需要安全专家进行系统编程和维护工作。其他需要考虑的问题是安全系统对生产率和服务利用率的影响。有的网络安全系统工具会降低网络速度;有的会限制或拒绝网络上一些有用的服务程序,如邮件和文件传输;有的则需要新软件分配给内部网络中每一台主机,给用户带来了诸多的不便。因此,网络安全系统应该被设计成一个透明的安全系统,这样才能为网络提供安全保护而不会对网络性能有重大的影响,也不会迫使用户放弃一些服务程序或迫使用户去学习某些新的服务程序。
在网络安全系统设计时,需要考虑的另一个重要问题是,对安全程度和复杂程度二者的平衡。网络安全系统的复杂程度,由于下述问题而增加:增添和管理较多的网络,追加额外的硬件,增加筛选规则的数量。复杂的系统不容易进行正确的配置,从而可能导致发生安全问题。
总之,在制定网络安全策略时应当考虑如下问题:
(1)对于内部用户和外部用户分别提供哪些服务程序;
(2)初始投Y额和后续投资额(新的硬件、软件及工作人员);
(3)方便程度和服务效率;
(4)复杂程度和安全等级的平衡;
(5)网络性能。
参考文献
[1]庄友军.计算机网网络安全管理[J].电脑知识与技术,2010.
[2]薛新慈.任艳斐.计算机网络管理与安全技术探析[J].通信技术,2010.
[3]陈汇远.计算机信息系统安全技术的研究及其应用[D].铁道部科学研究院,2004.
