首頁 > 精品范文 > 計算機安全技術(shù)論文
計算機安全技術(shù)論文精品(七篇)
時間:2023-03-21 17:09:38
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內(nèi)心深處的真相,好投稿為您帶來了七篇計算機安全技術(shù)論文范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創(chuàng)作。
篇(1)
1盜取信息
保存著互聯(lián)網(wǎng)上的信息在傳輸過程中,通常情況下都需要進行加密處理,一旦發(fā)生加密措施不到位或者缺少保護措施,那么就給了入侵者可乘之機,他們可以掌握信息的傳輸格式和規(guī)律等,將截取的信息進行分析對比,這樣就能夠得到消費者的個人身份信息甚至個人銀行卡密碼等重要私密信息。或者經(jīng)過非法手段盜取企業(yè)的商業(yè)機密,將信息外泄,給個人和企業(yè)的安全帶來了極大的威脅和困擾。
2篡改信息
我們在進行電子商務(wù)交易之前首先需要在網(wǎng)上進行個人基本信息注冊,某些甚至需要實名制,填寫身份證號和銀行卡號等重要信息,方可完成注冊。這樣一來,一旦相關(guān)網(wǎng)絡(luò)企業(yè)的系統(tǒng)被不法分子攻擊,就很有可能導(dǎo)致個人信息泄露。而入侵者借機利用技術(shù)手段對信息進行肆意篡改,或者增添內(nèi)容或者刪除內(nèi)容,或修改內(nèi)容,最后再將所有信息打包整理發(fā)送到指定接收地點。這種做法既嚴重阻礙了電子商務(wù)交易的正常操作,又破壞了信息的完整性和真實性。
3假冒信息
由于不法分子入侵網(wǎng)絡(luò)得逞之后,掌握了全部消費者信息,這時可以在按自己意愿篡改信息后假冒合法的客戶對信息進行接收和發(fā)送。而計算機網(wǎng)絡(luò)本身具有的虛擬特性使得交易雙方很難識別信息的真?zhèn)危趾α讼M者的合法權(quán)益。慣用的手法是偽造客戶的收貨單據(jù)或訂貨憑證,隨意更改交易流程的允許訪問權(quán)限設(shè)置等。
二計算機安全技術(shù)在電子商務(wù)中的應(yīng)用
1防火墻技術(shù)
防火墻技術(shù)好比保護電子商務(wù)交易安全進行的一道隔離墻,有效防止外部違法入侵,同時對計算機病毒進行全程時時隔離,將本機與復(fù)雜、危險的外部網(wǎng)絡(luò)進行隔離控制。主要包括包過濾技術(shù)防火墻、服務(wù)防火墻和地址遷移防火墻。
2數(shù)據(jù)加密技術(shù)
防火墻技術(shù)本身也有一些不可避免的缺陷:對于一些靠數(shù)據(jù)驅(qū)動的入侵無法進行攔截;對一些不易被察覺的攜帶病毒的文件沒有抵抗力,一旦進行下載就會使病毒迅速擴撒,導(dǎo)致計算機中毒;對一些繞過防火墻攔截的軟件,對電腦主機實行攻擊,找計算機漏洞進行病毒攻擊。而這時就需要數(shù)據(jù)加密技術(shù)來彌補防火墻技術(shù)的缺憾,運用對稱加密和分對稱加密,在信息交換環(huán)節(jié)通過公開密鑰體系進行完整的加密,保證電子商務(wù)交易與信息傳送的安全、暢通。
3身份識別技術(shù)
用戶需要在首次注冊時填寫個人身份證信息,網(wǎng)絡(luò)管理員對個人信息進行綜合審核后,合格者允許通行,放開其對網(wǎng)絡(luò)資源的使用權(quán)限。在電子商務(wù)中身份鑒別是必不可少的環(huán)節(jié),通過此技術(shù)可以準確的識別對方身份的真實性,可以保證交易的安全。隨著技術(shù)的發(fā)展,身份識別技術(shù)的種類也在不斷擴大,包括智能卡鑒別技術(shù)、口令身份識別技術(shù)。盡管如此,但是這種技術(shù)仍然處在發(fā)展階段,需要不斷改進,但是研究成本較高,花費時間較長,受到各方面因素的限制,需要我們共同努力進行技術(shù)研發(fā)。
三結(jié)束語
篇(2)
論文關(guān)鍵詞:計算機 網(wǎng)絡(luò) 安全 對策
論文摘要:本文對計算機網(wǎng)絡(luò)安全存在的問題進行了深入探討,提出了對應(yīng)的改進和防范措施。
隨著計算機信息化建設(shè)的飛速發(fā)展,計算機已普遍應(yīng)用到日常工作、生活的每一個領(lǐng)域,比如政府機關(guān)、學(xué)校、醫(yī)院、社區(qū)及家庭等。但隨之而來的是,計算機網(wǎng)絡(luò)安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。本文將著重對計算機信息網(wǎng)絡(luò)安全存在的問題提出相應(yīng)的安全防范措施。
1、技術(shù)層面對策
在技術(shù)方面,計算機網(wǎng)絡(luò)安全技術(shù)主要有實時掃描技術(shù)、實時監(jiān)測技術(shù)、防火墻、完整性檢驗保護技術(shù)、病毒情況分析報告技術(shù)和系統(tǒng)安全管理技術(shù)。綜合起來,技術(shù)層面可以采取以下對策:
1) 建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息,嚴格做好開機查毒,及時備份數(shù)據(jù),這是一種簡單有效的方法。
2) 網(wǎng)絡(luò)訪問控制。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。
3) 數(shù)據(jù)庫的備份與恢復(fù)。數(shù)據(jù)庫的備份與恢復(fù)是數(shù)據(jù)庫管理員維護數(shù)據(jù)安全性和完整性的重要操作。備份是恢復(fù)數(shù)據(jù)庫最容易和最能防止意外的保證方法。恢復(fù)是在意外發(fā)生后利用備份來恢復(fù)數(shù)據(jù)的操作。有三種主要備份策略:只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務(wù)日志、增量備份。
4) 應(yīng)用密碼技術(shù)。應(yīng)用密碼技術(shù)是信息安全核心技術(shù),密碼手段為信息安全提供了可靠保證。基于密碼的數(shù)字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。
5) 切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理,不使用來歷不明的U盤和程序,不隨意下載網(wǎng)絡(luò)可疑信息。
6) 提高網(wǎng)絡(luò)反病毒技術(shù)能力。通過安裝病毒防火墻,進行實時過濾。對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁掃描和監(jiān)測,在工作站上采用防病毒卡,加強網(wǎng)絡(luò)目錄和文件訪問權(quán)限的設(shè)置。在網(wǎng)絡(luò)中,限制只能由服務(wù)器才允許執(zhí)行的文件。
7) 研發(fā)并完善高安全的操作系統(tǒng)。研發(fā)具有高安全的操作系統(tǒng),不給病毒得以滋生的溫床才能更安全。
2、管理層面對策
計算機網(wǎng)絡(luò)的安全管理,不僅要看所采用的安全技術(shù)和防范措施,而且要看它所采取的管理措施和執(zhí)行計算機安全保護法律、法規(guī)的力度。只有將兩者緊密結(jié)合,才能使計算機網(wǎng)絡(luò)安全確實有效。
計算機網(wǎng)絡(luò)的安全管理,包括對計算機用戶的安全教育、建立相應(yīng)的安全管理機構(gòu)、不斷完善和加強計算機的管理功能、加強計算機及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強計算機安全管理、加強用戶的法律、法規(guī)和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數(shù)據(jù)保護法等,明確計算機用戶和系統(tǒng)管理人員應(yīng)履行的權(quán)利和義務(wù),自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網(wǎng)絡(luò)系統(tǒng)的安全,維護信息系統(tǒng)的安全。除此之外,還應(yīng)教育計算機用戶和全體工作人員,應(yīng)自覺遵守為維護系統(tǒng)安全而建立的一切規(guī)章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛(wèi)管理制度、專機專用和嚴格分工等管理制度。
3、物理安全層面對策
要保證計算機網(wǎng)絡(luò)系統(tǒng)的安全、可靠,必須保證系統(tǒng)實體有個安全的物理環(huán)境條件。這個安全的環(huán)境是指機房及其設(shè)施,主要包括以下內(nèi)容:
1) 計算機系統(tǒng)的環(huán)境條件。計算機系統(tǒng)的安全環(huán)境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。
2) 機房場地環(huán)境的選擇。計算機系統(tǒng)選擇一個合適的安裝場所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計算機房場地,要注意其外部環(huán)境安全性、地質(zhì)可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁。還要注意出入口的管理。
3) 機房的安全防護。機房的安全防護是針對環(huán)境的物理災(zāi)害和防止未授權(quán)的個人或團體破壞、篡改或盜竊網(wǎng)絡(luò)設(shè)施、重要數(shù)據(jù)而采取的安全措施和對策。為做到區(qū)域安全,首先,應(yīng)考慮物理訪問控制來識別訪問用戶的身份,并對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統(tǒng)中心設(shè)備外設(shè)多層安全防護圈,以防止非法暴力入侵;第四設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施。
計算機網(wǎng)絡(luò)安全是一項復(fù)雜的系統(tǒng)工程,涉及技術(shù)、設(shè)備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計算機網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù),將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)等綜合起來,形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護體系。我們必須做到管理和技術(shù)并重,安全技術(shù)必須結(jié)合安全措施,并加強計算機立法和執(zhí)法的力度,建立備份和恢復(fù)機制,制定相應(yīng)的安全標準。此外,由于計算機病毒、計算機犯罪等技術(shù)是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
參考文獻
[1] 張千里.網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003.
篇(3)
關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)工程;信息安全
中圖分類號:TP393.18 文獻標識碼:A文章編號:1007-9599(2012)04-0000-02
一、引言
隨著信息技術(shù)的飛速發(fā)展,社會對計算機網(wǎng)絡(luò)的依賴日益增強,人們在享受網(wǎng)絡(luò)帶來巨大利益的同時,也面臨著網(wǎng)絡(luò)管理方面的嚴峻考驗,網(wǎng)絡(luò)的設(shè)計不可避免的涉及到網(wǎng)絡(luò)管理的方便性及安全性,網(wǎng)絡(luò)管理包括網(wǎng)絡(luò)技術(shù)的應(yīng)用和網(wǎng)絡(luò)安全的設(shè)計,尤其是對于高等學(xué)校而言,校園網(wǎng)的信息安全一直是被廣大網(wǎng)絡(luò)工作者忽視的環(huán)節(jié)之一,而高校校園網(wǎng)恰恰包含了諸多敏感的涉及安全事業(yè)的信息,因此,必須要加強對高校校園網(wǎng)的信息安全方面的應(yīng)用研究。
本論文主要結(jié)合高校校園網(wǎng)的信息安全特點,對高校校園網(wǎng)開展信息安全網(wǎng)絡(luò)設(shè)計與應(yīng)用的分析探討,以期從中能夠找到合理有效且可靠的校園網(wǎng)信息安全網(wǎng)絡(luò)應(yīng)用方法和模式,并以此和廣大同行分享。
二、我國高校校園網(wǎng)信息安全防護現(xiàn)狀
我國高校現(xiàn)有的計算機安全防護管理措施,主要是借助于防火墻技術(shù)、路由器加密技術(shù)等措施實現(xiàn)對計算機系統(tǒng)的安全防護,但是究其本質(zhì)而言,這些借助于外在設(shè)備而實現(xiàn)的計算機系統(tǒng)防護,只是在信息傳輸通道上實現(xiàn)了隔離、加密或者其他安全防護措施,并沒有從本質(zhì)上實現(xiàn)對計算機系統(tǒng)的安全防護,因此,從實際的應(yīng)用來說,目前針對計算機采用的一些安全防護技術(shù)手段,主要存在以下幾個方面的問題與不足:
(一)安全防護功能有限
這一類的安全防護技術(shù)手段,只能根據(jù)現(xiàn)有的各種信息安全漏洞有針對性的進行安全防護與管理,無法對未出現(xiàn)的安全漏洞進行預(yù)測和管理,總是出現(xiàn)一種信息安全威脅,就需要對系統(tǒng)進行一次補丁,即使是采用硬件技術(shù)實現(xiàn)信息隔離加密,也極易遭到別人的竊取,因此,現(xiàn)有的計算機安全防護技術(shù)其功能十分有限。
(二)安全防護成本高昂
為了構(gòu)建全面的計算機安全防護系統(tǒng),需要從各個不同方面、從信息傳輸?shù)牟煌罉?gòu)建,導(dǎo)致整個計算機安全應(yīng)用管理系統(tǒng)需要配備十分多的儀器設(shè)備,有些網(wǎng)絡(luò)設(shè)備成本十分高,進而導(dǎo)致計算機安全防護系統(tǒng)構(gòu)建成本十分高昂。
三、高校校園網(wǎng)信息安全技術(shù)的應(yīng)用
(一)校園網(wǎng)信息安全防護原則
1.物理隔離原則
由于很多高校的敏感信息不經(jīng)維護,都極容易出現(xiàn)在校園網(wǎng)上傳輸,因此對于校園網(wǎng)的信息安全防護,首要的原則就是對信息安全進行物理隔離,只有實現(xiàn)敏感信息與公共教學(xué)信息的物理隔離,才能夠有效防范黑客對敏感信息的竊取。
2.分域分級原則
在高校校園網(wǎng)內(nèi)部,也需要對不同的管理部門設(shè)置不同的信息安全防護等級,對同一部門內(nèi)的人員要設(shè)置不同等級的信息安全使用權(quán)限,從而有效的控制了高校校園網(wǎng)內(nèi)部信息的安全應(yīng)用。
3.信息流向控制原則
對高校校園網(wǎng)的信息傳輸和實行信息流向控制原則,也就是說,凡是的信息,其網(wǎng)絡(luò)傳輸流向都必須有針對性的進行控制,同時還要注意避免高保密級別的信息禁止流向低保密級別,有效實現(xiàn)信息在不同流域內(nèi)的流向控制。
(二)高校校園網(wǎng)安全防護網(wǎng)絡(luò)體系構(gòu)建
1.校園網(wǎng)信息安全網(wǎng)絡(luò)構(gòu)建
由于高校校園網(wǎng)涉及非常多的部門,傳統(tǒng)的信息安全防護體系不一定能夠完全適應(yīng)高校校園網(wǎng)的信息安全需求,因此,必須結(jié)合高校校園網(wǎng)的信息安全需求構(gòu)建立體的防護體系。如下圖1所示,是針對高校校園網(wǎng)所設(shè)計的信息安全立體防護體系。
如上圖所示,對校園網(wǎng)采用立體式信息安全防護,主要是從以下幾個方面實施的:
①在校園網(wǎng)與外部網(wǎng)絡(luò)之間架設(shè)硬件防火墻和軟件防火墻,以確保校園網(wǎng)與外部因特網(wǎng)的物理隔離,從根本上保證信息的安全;
②在校園網(wǎng)內(nèi)部交換機、WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器設(shè)置冗余備份模式,以防信息安全泄露之后所帶來的信息丟失,確保信息在訪問過程中的安全;
③對關(guān)鍵信息傳輸節(jié)點設(shè)置模擬攻擊子系統(tǒng),確保校園網(wǎng)信息傳輸過程中的可靠性和抵御風(fēng)險的能力,從而保障了信息的安全。
(2)校園網(wǎng)信息安全保密框架設(shè)計
根據(jù)BMB17-2006和BMB20-2007的具體規(guī)定,在滿足物理隔離與違規(guī)外聯(lián)監(jiān)控、邊界防護與控制、密級標識與密碼保護、用戶身份鑒別與訪問控制、電磁泄漏發(fā)射防護、安全保密產(chǎn)品選擇、安全保密管理機構(gòu)、安全保密管理制度和安全管理人員等基本測評項的基礎(chǔ)上,依據(jù)“規(guī)范定密,準確定級;依據(jù)標準,同步建設(shè);突出重點,確保核心;明確責(zé)任,加強監(jiān)督”的指導(dǎo)思想,從物理安全、運行安全、信息安全保密、安全保密管理、產(chǎn)品選型與安全服務(wù)等方面,設(shè)計信息系統(tǒng)的安全保密防護框架。
(三)高校校園網(wǎng)安全防護技術(shù)應(yīng)用措施
1.物理隔離
按照BMB17-2006標準,系統(tǒng)不得直接或間接連入互聯(lián)網(wǎng),應(yīng)實現(xiàn)物理隔離。高校校園網(wǎng)電子信息系統(tǒng)為獨立網(wǎng)絡(luò),與互聯(lián)網(wǎng)物理隔離。在對單機上部署主機監(jiān)控與審計系統(tǒng),禁止使用非授權(quán)的外設(shè)端口。
2.密級標識
高校校園網(wǎng)應(yīng)對信息系統(tǒng)中的文檔類信息進行相應(yīng)的密級標識。各產(chǎn)生國家秘密信息的部門,根據(jù)相關(guān)的國家秘密事項及其密級具體范圍和保密期限的規(guī)定和每年確定的科研任務(wù)等密級范圍規(guī)定,對產(chǎn)生的信息進行定密,并對相應(yīng)的文件進行規(guī)范標密。
由于沒有很好的辦法防止密級標識被篡改,因此存在密級標識篡改的殘余風(fēng)險。安全保密辦按照相關(guān)規(guī)定定期對信息系統(tǒng)中的電子文檔從產(chǎn)生到銷毀的全過程進行檢查,督促不斷規(guī)范定密、標密,對情節(jié)嚴重的違規(guī)行為進行處罰。
3.身份鑒別
應(yīng)根據(jù)保護等級,具體依據(jù)BMB17-2006和BMB20-2007中的相應(yīng)要求,至少從以下方面對信息系統(tǒng)的身份鑒別措施進行詳細設(shè)計:
①用戶終端、服務(wù)器、移動計算設(shè)備的啟動;
②安全保密設(shè)備的啟動、關(guān)機以及管理界面的登錄;
③操作系統(tǒng)、應(yīng)用系統(tǒng)的本地和遠程登錄;
④外來設(shè)備的系統(tǒng)接入。
設(shè)計方案通過部署統(tǒng)一身份認證系統(tǒng),采用口令+USB KEY認證機制,審計信息系統(tǒng)內(nèi)人員身份。
4.訪問控制
高校校園網(wǎng)內(nèi)部應(yīng)該分區(qū)管理,分為區(qū)域和非區(qū)域,其中內(nèi)部區(qū)域內(nèi)均為單機,所以訪問控制主要集中在系統(tǒng)層的訪問控制,即使用帶USB-Key身份認證系統(tǒng)實現(xiàn)本地的訪問控制;通過審計系統(tǒng)與安全策略關(guān)閉端口、服務(wù);所有用戶終端和服務(wù)器系統(tǒng)禁止遠程訪問控制。
5.電磁泄漏防護
辦公室、重要保密部位等地點的最小不可控距離都較短,存在較大的電磁泄露的風(fēng)險。因此,通過部署視頻干擾器、紅黑隔離插座,來屏蔽電磁泄漏發(fā)射的發(fā)生。
其他的技術(shù)措施這里不一一贅述。
四、結(jié)語
隨著我國對信息安全和網(wǎng)絡(luò)安全應(yīng)用的重視,高校網(wǎng)絡(luò)信息安全一直是信息安全事業(yè)中的一塊薄弱環(huán)節(jié),因此,加強對高校校園網(wǎng)信息安全方面的研究,對于提高校園網(wǎng)信息安全防護的應(yīng)用水平,是具有較好的指導(dǎo)意義的。本論文詳細分析了高校校園網(wǎng)信息安全設(shè)計的基本原則,在此基礎(chǔ)上從技術(shù)應(yīng)用的角度給出了高校校園網(wǎng)信息安全的網(wǎng)絡(luò)應(yīng)用方案,無論是對于理論研究還是實際應(yīng)用,本論文所提出的方案都是具有一定的實用性和應(yīng)用價值的,因此是值得推廣應(yīng)用的。當然,關(guān)于高校校園網(wǎng)更多的信息安全應(yīng)用技術(shù)的開發(fā)和應(yīng)用,還有待于廣大網(wǎng)絡(luò)信息安全工作人員的共同努力,才能夠最終實現(xiàn)我國高校校園網(wǎng)信息的安全防護應(yīng)用。
參考文獻:
[1]黃小華.智能化入侵檢測與防御系統(tǒng)的設(shè)計實現(xiàn)[D].成都:電子科技大學(xué),2005
[2]許蘭川.構(gòu)建辦公信息網(wǎng)絡(luò)安全防護體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004,(3):67-68
篇(4)
關(guān)鍵詞:教務(wù)管理系統(tǒng);安全隱患;安全策略
Study on Safety Strategies of University Education Management System
ZHANG Yan
(Examination Center, Chongqing Radio & TV University, Chongqing 400052, China)
Abstract: University education management system not only takes on most of tasks of university management but also saves so much important data like academic achievement. Therefore, it is very important to guarantee the safety of education management system. The paper introduces the safety model of computer, and discusses hidden safety troubles on education management system, and puts forward safety strategies to guarantee the safety of education management system.
Key words: education management system; hidden safety troubles; safety strategy
1 概述
隨著信息技術(shù)的飛速發(fā)展以及高校信息建設(shè)特別是數(shù)字校園建設(shè)的快速推進,各高校相繼建設(shè)了數(shù)字化校園的核心應(yīng)用系統(tǒng)――教務(wù)管理系統(tǒng)。它包括教學(xué)計劃管理、學(xué)籍管理、考務(wù)管理、教材管理、網(wǎng)絡(luò)上選課和學(xué)費清算等子系統(tǒng),其不僅涵蓋了高校日常運行的大部分功能,而且存儲著學(xué)生成績等大量重要數(shù)據(jù)。因此,為教務(wù)系統(tǒng)的數(shù)據(jù)安全和穩(wěn)定運行構(gòu)建完善的安全策略顯得尤其重要[1]。
2 計算機安全模型
計算機安全模型是建立于安全策略之上[2],其基本結(jié)構(gòu)如圖1所示,包括主機安全、網(wǎng)絡(luò)安全、組織安全和法律安全。安全策略是指為達到預(yù)期安全目標而制定的一系列安全準則。安全策略主要建立在認證、授權(quán)、數(shù)據(jù)加密和訪問控制等技術(shù)之上。
主機安全主要包括用戶身份的認證,系統(tǒng)資源訪問權(quán)限控制,安全存儲、處理系統(tǒng)數(shù)據(jù),跟蹤審計用戶行為,系統(tǒng)漏洞檢測和信息恢復(fù)等。網(wǎng)絡(luò)安全主要包括有效的接入控制,數(shù)據(jù)傳輸?shù)陌踩?網(wǎng)絡(luò)傳輸?shù)陌踩?wù)和安全機制,網(wǎng)絡(luò)安全的檢測和恢復(fù)等。組織安全包括建立完善的安全管理規(guī)范。由于計算機最終由計算機理人員決定,因此,加強人的管理是網(wǎng)絡(luò)安全的重要措施。法律安全主要包括隱私權(quán)、知識產(chǎn)權(quán)、數(shù)據(jù)簽名和不可抵賴。在計算機安全模型中,組織安全是重要的組織保障,主機安全和網(wǎng)絡(luò)安全是重要的技術(shù)保障手段,只有將組織保障和技術(shù)保障有機結(jié)合,才能形成一個完整的安全保障體系。
3 教務(wù)管理系統(tǒng)安全隱患
3.1 服務(wù)器安全隱患
服務(wù)器安全隱患主要包括:1)教務(wù)系統(tǒng)幾乎要面對高校中所有的學(xué)生和教師,使用人群非常龐大而復(fù)雜。這既增加了服務(wù)器被使用者有意或無意的破壞幾率,又增加了用戶終端病毒感染服務(wù)器的可能性;2)服務(wù)器的硬件故障(如硬盤故障等)也會給系統(tǒng)帶來很大的安全隱患;3)服務(wù)器自身的安全措施不到位存在的安全隱患,如未及時給操作系統(tǒng)打補丁,未及時升級殺毒軟件病毒庫等;4)用戶身份認證機制缺陷造成的安全隱患, 如用戶的身份證僅靠密碼識別,由于用戶密碼泄漏而給系統(tǒng)帶來安全隱患;5)管理系統(tǒng)自身的軟件漏洞(如SQL注入漏洞)帶來的安全隱患。
3.2 網(wǎng)絡(luò)安全隱患
網(wǎng)絡(luò)安全隱患主要包括以下幾方面:1)數(shù)據(jù)傳輸隱患。如果敏感數(shù)據(jù)不使用加密傳輸,入侵者就可通過網(wǎng)絡(luò)嗅探工具獲得用戶的賬號和口令;2)網(wǎng)絡(luò)負載隱患。隨著高校的大規(guī)模擴招,教務(wù)管理系統(tǒng)的用戶急劇增加,這可能因并發(fā)用戶太多而造成服務(wù)器不能及時響應(yīng)。同時,惡意的DDOS(分布式拒絕服務(wù))攻擊也會給服務(wù)器帶來很大的負載壓力,影響服務(wù)器的正常運行。
3.3 管理安全隱患
由于管理制度不健全、不完整、不到位,給系統(tǒng)運行、使用帶來制度性安全隱患。
4 教務(wù)系統(tǒng)的安全策略
針對上文提到的各種安全隱患,必須制定相應(yīng)的安全策略,才能保障教務(wù)管理系統(tǒng)的安全、穩(wěn)定運行。
4.1 用戶安全策略
用戶安全策略主要包括:1)用戶口令安全策略。對用戶的口令進行檢查,對于口令強度不夠的,強制要求用戶更改;2)用戶權(quán)限分級和信息處理保密策略。對用戶權(quán)限分級和保密進行精心設(shè)計,減少用戶無意或惡意操作給系統(tǒng)帶來的破壞;3)對用戶行為進行詳細記錄和審計,并定期進行日志分析,以利于及時查找系統(tǒng)漏洞和用戶破壞行為;4)要求服務(wù)器管理人員定期對服務(wù)器病毒庫進行升級,并及時給操作系統(tǒng)打補丁。
4.2 數(shù)據(jù)備份與恢復(fù)策略
備份的主要目的是當數(shù)據(jù)受到破壞時,使用備份數(shù)據(jù)可以快速恢復(fù)受損數(shù)據(jù),減少損失。備份設(shè)備主要有磁帶庫、磁盤陣列、光盤、SAN等。數(shù)據(jù)備份策略有全備份和增量備份。全備份即備份所有數(shù)據(jù);增量備份只備份上次備份后有變化的數(shù)據(jù)。全備份所需時間長,但恢復(fù)時間短,操作最方便,當系統(tǒng)中數(shù)據(jù)量不大時,采用全備份最可靠。數(shù)據(jù)恢復(fù)是指用備份數(shù)據(jù)恢復(fù)損壞的系統(tǒng)。恢復(fù)操作通常可分為全盤恢復(fù)和增量恢復(fù)。為了盡快恢復(fù)數(shù)據(jù),必須制定數(shù)據(jù)恢復(fù)應(yīng)急預(yù)案,并進行相應(yīng)預(yù)演,以確保在規(guī)定的時間內(nèi)恢復(fù)數(shù)據(jù)。
為了減少因服務(wù)器故障造成管理系統(tǒng)停止運行,除采用數(shù)據(jù)備份措施外,還經(jīng)常使用雙機熱備的方式來提高系統(tǒng)運行的可靠性和穩(wěn)定性。雙機熱備不僅可以提高系統(tǒng)可靠性,還可通過服務(wù)器負載均衡提高系統(tǒng)的響應(yīng)速度和并發(fā)處理能力。
4.3 網(wǎng)絡(luò)安全策略
為了防止敏感數(shù)據(jù)(如賬號和密碼)在網(wǎng)絡(luò)中傳輸時受到破壞,更改、泄露,在教務(wù)管理系統(tǒng)設(shè)計和實現(xiàn)時,必須在敏感數(shù)據(jù)進入網(wǎng)絡(luò)傳輸前進行加密,以防止數(shù)據(jù)被竊聽、被破壞[3]。由于數(shù)據(jù)加密、解密將增加客戶端和服務(wù)器的負荷和處理時間。因此,建議只對敏感數(shù)據(jù)進行加密傳輸,對于其他數(shù)據(jù)可直接用明文在網(wǎng)絡(luò)中傳輸,以增加系統(tǒng)的響應(yīng)速度和并發(fā)處理能力。
為了防止網(wǎng)絡(luò)惡意用戶、黑客工具軟件和病毒對服務(wù)器的攻擊,必須在服務(wù)器前端安裝防火墻(Firewall)。防火墻是安裝在客戶端和服務(wù)器之間的一道“防護墻”,它允許客戶端對服務(wù)器的合法訪問,阻止非法訪問,從而保護服務(wù)器免遭非法入侵,提高服務(wù)器的安全性[4]。
4.4 管理安全策略
僅僅依賴技術(shù)安全措施,并不能完全保障系統(tǒng)的安全,還需建立完善的安全管理策略,也只有配合完善的安全管理策略,才能使技術(shù)防范手段的效能最大化。安全管理策略包括物理安全策略,如關(guān)鍵計算設(shè)備的安全策略;邏輯安全策略,如數(shù)據(jù)訪問的安全策略;行政制約方面的安全策略,如人員安全管理策略。安全策略的一個重要組成部分是定期對安全策略的實施過程與結(jié)果進行分析,并根據(jù)分析結(jié)果對安全策略進行動態(tài)的修改。
5 結(jié)束語
論文分析了高校教務(wù)管理系統(tǒng)存在的安全隱患,并針對這些安全隱患,提出了完整、系統(tǒng)的安全策略。通過安全策略的實施,能最大限度地保障系統(tǒng)的安全、穩(wěn)定運行。文中提出的安全策略不僅適用于教務(wù)管理系統(tǒng),也適用于其他信息管理系統(tǒng),具有一定的推廣價值。值得注意的是,安全策略不是一成不變的,它會隨著信息技術(shù)的發(fā)展而動態(tài)的發(fā)展。因此,必須經(jīng)常對已有安全策略的運行效果進行分析,以便及時發(fā)現(xiàn)安全策略的薄弱環(huán)節(jié),修補安全漏洞。
參考文獻:
[1] 王樹利. 高校教務(wù)管理系統(tǒng)數(shù)據(jù)備份與安全審計方案設(shè)計[J]. 科教文匯,2009(9):222-223.
[2] 鄒新國. 計算機信息與網(wǎng)絡(luò)安全技術(shù)[M]. 濟南:黃河出版社,2008:10-14.
篇(5)
論文摘要:電子商務(wù)安全問題已成為制約電子商務(wù)發(fā)展的重要問題,安全問題包括電子商務(wù)交易安全、計算機網(wǎng)絡(luò)安全等顯性的問題,還包括管理、法律和標準等方面的隱性問題。通過對電子商務(wù)安全體系的分析,研究電子商務(wù)安全策略,建立一個安全電子商務(wù)環(huán)境,將促進電子商務(wù)健康快速地發(fā)展。
電子商務(wù)是一個跨國界,跨地區(qū),跨行業(yè)的多種技術(shù)綜合集成與不同社會經(jīng)濟文化背景形成的各種習(xí)俗不斷沖突,不斷協(xié)調(diào)和不斷統(tǒng)一的綜合性社會系統(tǒng)工程。電子商務(wù)安全策略保障電子商務(wù)各個主體的切身利益。電子商務(wù)安全策略是以人為本,從各主體的角度思考,綜合協(xié)調(diào)了各個市場主體的行為,從根本上保障了消費者、企業(yè)、電子商務(wù)網(wǎng)站等市場主體的切身利益,它為實現(xiàn)電子商務(wù)提供了統(tǒng)一的基礎(chǔ)平臺和安全屏障。
一、電子商務(wù)安全技術(shù)保障策略
安全技術(shù)保障技術(shù)是電子商務(wù)安全體系中的基本策略,目前相關(guān)的信息安全技術(shù)與專門的電子商務(wù)安全技術(shù)研究比較普遍和成熟。電子商務(wù)中常用到的安全技術(shù)有以下幾種:
1.密碼技術(shù)。密碼技術(shù)包括加密技術(shù)和解密技術(shù)。加密是將信息經(jīng)過加密密鑰及加密函數(shù)轉(zhuǎn)換,變成無意義的密文。而解密則是將密文經(jīng)過解密函數(shù)、解密密鑰處理還原成原文。密碼技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)。
2.身份驗證技術(shù)。電子商務(wù)主體向系統(tǒng)證明自己身份,并由系統(tǒng)查核該主體的過程,是確認真實有效身份的重要環(huán)節(jié),這個過程叫作身份驗證。常用的驗證技術(shù)有報文鑒別、身份鑒別和電子簽名。
3.訪問控制技術(shù)。訪問控制是指對電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中各種資源訪問時的權(quán)限確認,防止非法訪問。它包括有關(guān)的策略、模型、機制的基礎(chǔ)理論與實現(xiàn)方法。
4.防火墻技術(shù)。防火墻是用一組網(wǎng)絡(luò)設(shè)備來加強一個網(wǎng)絡(luò)與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾、應(yīng)用、電路網(wǎng)關(guān)。
二、企業(yè)電子商務(wù)安全運營管理制度保障策略
企業(yè)電子商務(wù)安全運營管理制度是用文字的形式對各項安全要求所做的規(guī)定,是保證企業(yè)取得電子商務(wù)成功的基礎(chǔ),是企業(yè)電子商務(wù)人員工作的規(guī)范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統(tǒng)維護制度、數(shù)據(jù)備份制度等。
1.人員管理制度人員管理制度主要從人員的選拔,工作責(zé)任的落實和安全運作必須遵循的基本原則制定相應(yīng)的工作制度。
2.保密制度電子商務(wù)系統(tǒng)涉及企業(yè)的市場、生產(chǎn)、財務(wù)、供應(yīng)鏈等多方面的機密,這些方面都是需要很好地劃分信息安全級別,并確定安全防范重點,提出相應(yīng)的保密措施。
3.跟蹤審計制度跟蹤制度就是要求企業(yè)建立網(wǎng)絡(luò)交易的日志機制,來記錄網(wǎng)絡(luò)交易的全過程。而審計制度是對系統(tǒng)日志的經(jīng)常檢查、審核,及時發(fā)現(xiàn)對系統(tǒng)有安全隱患的記錄,監(jiān)控各種安全事故,維護和管理系統(tǒng)日志。
4.網(wǎng)絡(luò)系統(tǒng)的日常維護制度網(wǎng)絡(luò)系統(tǒng)的日常維護包括硬件的日常維護和軟件的日常維護,硬件維護主要是對網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機以及通信線路進行定期規(guī)范地巡查、檢修;軟件維護主要是規(guī)范地對支撐軟件的定期清理和整理、監(jiān)測、處理特殊情況以及對應(yīng)用軟件的升級等。
5.數(shù)據(jù)備份制度數(shù)據(jù)備份主要是利用多種介質(zhì)對信息系統(tǒng)數(shù)據(jù)進行存儲,定期為重要信息備份、系統(tǒng)設(shè)備備份,并定期更新,以減少安全事故發(fā)生時造成的損失。
三、電子商務(wù)立法策略
電子商務(wù)安全得到法律保障,首先必須完善電子商務(wù)安全相關(guān)的法律。如何構(gòu)建一個有針對性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。
1.立法目的電子商務(wù)安全立法的目的主要是要消除電子商務(wù)發(fā)展的法律障礙;消除現(xiàn)有法律適用上的不確定性,保護合理的商業(yè)行為,保障電子交易安全;建立一個清晰的法律框架以統(tǒng)一調(diào)整電子商務(wù)的健康發(fā)展。
2.立法范圍電子商務(wù)安全方面需要的法律法規(guī)主要有:市場準入制度、合同有效認證辦法、電子支付系統(tǒng)安全措施、信息保密防范辦法,知識產(chǎn)權(quán)侵權(quán)處理規(guī)定、以及廣告的管制、網(wǎng)絡(luò)信息內(nèi)容過濾等;電子商務(wù)調(diào)整的對象是電子商務(wù)中的各種社會關(guān)系。
3.立法途徑電子商務(wù)法律仍然是調(diào)整社會關(guān)系,所以應(yīng)當繼承傳統(tǒng)立法的合理內(nèi)核,尤其是基礎(chǔ)價值觀。具體的立法途徑主要是兩種:第一是制定新的法律規(guī)范。對于傳統(tǒng)法律沒有規(guī)定的,即由電子商務(wù)帶來的新的社會關(guān)系,應(yīng)盡快制定法律規(guī)范;第二是修改或重新解釋既定的法律規(guī)范。對于傳統(tǒng)法律的規(guī)定不明確,或與電子商務(wù)新型社會關(guān)系有沖突甚至存在缺欠的,可以修改或重新解釋既定的法律規(guī)范。
四、政府監(jiān)督管理策略
電子商務(wù)本質(zhì)是一種市場運作模式,市場的正常健康有序地發(fā)展,必須有政府宏觀上的監(jiān)督與管理,以協(xié)調(diào)和規(guī)范各市場主體的行為,宏觀監(jiān)督與管理電子商務(wù)運行中的安全保障體系。
1.計算機信息系統(tǒng)安全管理計算機信息系統(tǒng),是指“由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。”計算機安全保護規(guī)范主要有計算機安全等級保護制度,計算機系統(tǒng)使用單位安全負責(zé)制度,計算機案件強行報告制度,計算機病毒及其有害數(shù)據(jù)的專管制度與計算機信息安全專用產(chǎn)品銷售許可證制度。對計算機信息系統(tǒng)安全的保護,有利于保障國家的安全和社會安定,促進電子商務(wù)的安全交易過程,有利電子商務(wù)的健康發(fā)展。
2.網(wǎng)絡(luò)廣告和網(wǎng)絡(luò)服務(wù)業(yè)管理由于網(wǎng)絡(luò)的開放性,自由性等特征決定了網(wǎng)絡(luò)廣告監(jiān)管的難度,虛假廣告、廣告充斥著網(wǎng)絡(luò)空間,網(wǎng)絡(luò)廣告已經(jīng)發(fā)展成為一個社會問題。網(wǎng)絡(luò)廣告管理應(yīng)該從三個方面入手:第一,網(wǎng)絡(luò)廣告組織的管理,必須對網(wǎng)站廣告經(jīng)營主體資格進行管制,第二,規(guī)范網(wǎng)絡(luò)廣告內(nèi)容,確保廣告內(nèi)容的真實性、合法性和科學(xué)性。第三,需要有具體的廣告審查管制、評估與監(jiān)測部門。
國家針對網(wǎng)絡(luò)服務(wù)業(yè)和網(wǎng)絡(luò)用戶管理已經(jīng)頒布了《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》,其中提出了詳細具體的限制條件。但是,網(wǎng)絡(luò)飛速發(fā)展,面對網(wǎng)絡(luò)中的新問題,還必須進一步深入全面地研究。
3.認證機構(gòu)管理認證機構(gòu)是電子商務(wù)活動中專門從事頒發(fā)認證證書的機構(gòu),對電子商務(wù)交易活動順利進行,電子商務(wù)活動中交易參與各方身份和信息認定,維護交易安全具有重要作用。對認證機構(gòu)的管理主要是通過對設(shè)立的條件、撤消或者頒發(fā)許可證等營業(yè)資格而進行審批監(jiān)督;同時,還要針對其資產(chǎn)和財務(wù)狀況定期審查,以免發(fā)生財務(wù)危機,對其信息披露與保密情況、安全系統(tǒng)運行情況等方面進行不定期或定期監(jiān)督檢查。
4.加強社會信用道德建設(shè),構(gòu)建和諧安全電子商務(wù)電子商務(wù)安全問題其中有很大部分是由電子商務(wù)用戶或從業(yè)人員的信用道德問題引發(fā)的,在我國尤其嚴重,甚至大家感嘆電子商務(wù)在我國“水土不服”。對于新型的商業(yè)運作模式,必然存在不少漏洞,這需要廣大電子商務(wù)市場主體有良好的電子商務(wù)道德意識。除了從法律上采取措施,更重要的是政府要加強電子商務(wù)市場主體自身的道德建設(shè),加強輿論監(jiān)督和企業(yè)自律,充分利用網(wǎng)絡(luò)新聞輿論監(jiān)督,消費者輿論監(jiān)督和行業(yè)協(xié)會的管理監(jiān)督。
五、結(jié)束語
電子商務(wù)安全不僅涉及到電子商務(wù)公司、企業(yè)、消費者的利益,而且更加廣泛地涉及經(jīng)濟、政治、國防、文化等諸多方面,關(guān)系到國家的安全、和社會的穩(wěn)定。電子商務(wù)安全策略確保電子商務(wù)的快速、健康地發(fā)展。電子商務(wù)安全是目前電子商務(wù)發(fā)展的瓶頸,只有解決了電子商務(wù)安全,保障了市場主體的利益,才能得到網(wǎng)絡(luò)用戶的認可和參與,電子商務(wù)自身也才能得到快速、健康地發(fā)展。
參考文獻
[1]林寧,吳志剛.我國信息安全技術(shù)標準化現(xiàn)狀[J].中國標準化,2007(4)
[2]胡艷春.電子商務(wù)網(wǎng)站建設(shè)中的安全問題研究[J].商場現(xiàn)代化,2006,(10)
篇(6)
關(guān)鍵詞:校園網(wǎng),信息安全,防范策略
1.引言
隨著計算機技術(shù)、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和普及應(yīng)用,校園網(wǎng)在學(xué)校的教學(xué)和管理中發(fā)揮著越來越重要的作用,為師生工作、學(xué)習(xí)、生活提供了極大的方便,正在悄然改變著傳統(tǒng)的教學(xué)和管理模式。但是,它的安全問題日漸突顯:計算機病毒的侵害、黑客的攻擊、數(shù)據(jù)的篡改和丟失等等網(wǎng)絡(luò)安全隱患,對校園網(wǎng)信息安全構(gòu)成了極大的威脅。隨著網(wǎng)絡(luò)用戶的快速增長,校園網(wǎng)信息安全問題已經(jīng)成為當前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。在校園網(wǎng)建設(shè)和運行過程中必須針對不同的安全威脅制定相應(yīng)的防范措施,以確保建立一個安全、穩(wěn)定高效的校園網(wǎng)絡(luò)系統(tǒng)。
2.校園網(wǎng)面臨的安全威脅
2.1 操作系統(tǒng)漏洞。這是造成校園網(wǎng)自身缺陷的原因之一。目前常用的操作系統(tǒng)Windows2000/XP、UNIX、Linux等都存在著一些安全漏洞, 對網(wǎng)絡(luò)安全構(gòu)成了威脅。如Windows2000/XP的普遍性和可操作性使它成為最不安全的系統(tǒng):自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒木馬等。加上系統(tǒng)管理員或使用人員對復(fù)雜的系統(tǒng)和自身的安全機制了解不夠,配置不當,從而形成安全隱患。
2.2 內(nèi)部用戶的惡意攻擊。這是校園網(wǎng)安全受到威脅的另一個主要原因。學(xué)校是計算機使用者集中的地方,學(xué)生中不乏高手;同時,學(xué)生的好奇心重,摹仿力強,即使水平不高,也可以用從網(wǎng)上下載的專門軟件對他人的計算機進行攻擊。據(jù)統(tǒng)計,校園網(wǎng)約有70%的攻擊來自內(nèi)部用戶,相對于外部攻擊者來說,內(nèi)部用戶更具有得天獨厚的破壞優(yōu)勢。
2.3 保密意識淡薄。在校園網(wǎng)中內(nèi)部用戶的非授權(quán)訪問,是校園網(wǎng)安全受到威脅的主要原因之一,最容易造成系統(tǒng)資源和重要信息的泄漏或被篡改。一些校園網(wǎng)為了簡單省事,計算機的命名經(jīng)常按部門名稱命名,計算機的管理員賬號也不作任何修改而采用默認賬號,甚至不設(shè)登錄密碼,這等于給攻擊者大開方便之門,讓攻擊者能輕而易舉地發(fā)現(xiàn)自己感興趣的目標而隨意進入,對保密內(nèi)容隨意瀏覽,更為危險的是,有的數(shù)據(jù)非授權(quán)就可以任意改動,根本無安全可言。
2.4 計算機病毒的侵害。計算機病毒是由某些人利用計算機軟、硬件系統(tǒng)編制的具有特殊功能的惡意程序。影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計算機和網(wǎng)絡(luò)系統(tǒng)的癱瘓, 是影響高校校園網(wǎng)絡(luò)安全的主要因素。
2.5黑客的攻擊。 除了面臨來自內(nèi)部的攻擊之外,校園網(wǎng)還要防范來自外部黑客的攻擊。外部黑客是利用黑客程序,針對系統(tǒng)漏洞,在遠程控制計算機,甚至直接破壞計算機系統(tǒng)。黑客通常會在用戶的計算機中植入一個木馬病毒,與黑客程序內(nèi)外勾結(jié),對計算機安全構(gòu)成威脅進而危及網(wǎng)絡(luò)。
3.保障校園網(wǎng)安全的關(guān)鍵技術(shù)
3.1防火墻技術(shù)
防火墻是網(wǎng)絡(luò)安全的屏障。一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。在防火墻設(shè)置上我們應(yīng)按照以下配置來提高網(wǎng)絡(luò)安全性:
根據(jù)校園網(wǎng)安全策略和安全目標,規(guī)劃設(shè)置正確的安全過濾規(guī)則,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包,防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊。在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應(yīng)表,防止IP地址被盜用。在局域網(wǎng)的入口架設(shè)千兆防火墻,并實現(xiàn)VPN的功能,在校園網(wǎng)絡(luò)入口處建立第一層的安全屏障,VPN保證了管理員在家里或出差時能夠安全接入數(shù)據(jù)中心。定期查看防火墻訪問日志,及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。允許通過配置網(wǎng)卡對防火墻設(shè)置,提高防火墻管理安全性。
3.2入侵檢測系統(tǒng)
入侵檢測系統(tǒng)是幫助網(wǎng)絡(luò)管理者及時、準確地發(fā)現(xiàn)網(wǎng)絡(luò)的各種入侵行為與網(wǎng)絡(luò)異常現(xiàn)象,并能進行告警、跟蹤、定位的實時檢測系統(tǒng);也是通過對網(wǎng)絡(luò)面臨威脅的監(jiān)控與分析,展示網(wǎng)絡(luò)總體的安全態(tài)勢的安全管理工具。入侵檢測系統(tǒng)可以彌補防火墻相對靜態(tài)防御的不足,是防火墻的合理補充。防火墻屬于被動的靜態(tài)安全防御技術(shù),對于網(wǎng)絡(luò)中日新月異的攻擊手段缺乏主動的反應(yīng),而入侵檢測屬于動態(tài)的安全技術(shù),能幫助系統(tǒng)主動應(yīng)對來自網(wǎng)絡(luò)的各種攻擊,擴展了系統(tǒng)管理員的安全管理能力,包括安全審計、監(jiān)視、攻擊識別和響應(yīng),提高了校園網(wǎng)信息系統(tǒng)的安全性。入侵檢測系統(tǒng)掃描當前網(wǎng)絡(luò)的活動,監(jiān)視和記錄網(wǎng)絡(luò)的流量,根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量,提供實時報警,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
3.3漏洞掃描系統(tǒng)
采用先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細可靠的安全性分析報告,為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。要求每臺主機系統(tǒng)必須正確配置,為操作系統(tǒng)打夠補丁、保護好自己的密碼、關(guān)閉不需要打開的端口,例如:如果主機不提供諸如FTP、HTTP等公共服務(wù),盡量關(guān)閉它們。
3.4網(wǎng)絡(luò)版殺毒軟件
為了在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,應(yīng)該在整個網(wǎng)絡(luò)內(nèi)采取相應(yīng)的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系,這種防病毒手段應(yīng)能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。
部署網(wǎng)絡(luò)版殺毒軟件就可以較好的解決這個問題。例如:在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的服務(wù)器,安裝一個網(wǎng)絡(luò)版殺毒軟件系統(tǒng)中心,負責(zé)管理校園網(wǎng)內(nèi)所有主機網(wǎng)點的計算機,在各主機節(jié)點分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。安裝完后,在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進行定時查殺毒的設(shè)置,保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本機查殺毒。網(wǎng)絡(luò)中心負責(zé)整個校園網(wǎng)的升級工作。由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到殺毒軟件網(wǎng)站上獲取最新的升級文件,然后自動將最新的升級文件分發(fā)到其它各個主機網(wǎng)點的客戶端與服務(wù)器端,并自動對網(wǎng)絡(luò)版殺毒軟件進行更新。
采取這種升級方式,一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步,使整個校園網(wǎng)都具有最強的防病毒能力;另一方面,由于整個網(wǎng)絡(luò)的升級、更新都是由程序來自動、智能完成,就可以避免由于人為因素造成網(wǎng)絡(luò)中因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強的防病毒能力。
4.校園網(wǎng)信息安全的防范策略
4.1 物理安全
保證計算機網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個網(wǎng)絡(luò)安全的前提。一般分為兩個方面: 首先是要保護校園網(wǎng)中的計算機、服務(wù)器、路由器、交換機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊;其次則是確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境。
4.2 訪問控制策略
訪問控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一,它的主要任務(wù)是保證校園網(wǎng)絡(luò)資源不被非法使用和非法訪問。一般主要分三個方面:首先是入網(wǎng)訪問控制,在使用和訪問網(wǎng)絡(luò)教學(xué)資源時,網(wǎng)絡(luò)系統(tǒng)軟件要求用戶輸入用戶名和用戶口令,系統(tǒng)進行對入網(wǎng)用戶的識別和驗證是防止非法訪問的第一道防線;其次是用戶權(quán)限控制,用戶權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施,不同級別的用戶應(yīng)設(shè)置不同的權(quán)限,以此來控制用戶可以訪問哪些資源;第三是網(wǎng)絡(luò)監(jiān)測和鎖定控制,網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控,服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問,對非法的訪問,服務(wù)器應(yīng)報警,以引起管理員的注意。同時對非法訪問次數(shù)進行記錄,并能自動鎖定,以保系統(tǒng)安全。
4.3 信息加密策略
利用加密算法對敏感的信息加密, 可以防止被非法人員竊析。現(xiàn)在有一些加密軟件可以加密郵件、文件等。利用這些加密軟件可以有效的保護數(shù)據(jù)、文件、口令和控制信息在網(wǎng)絡(luò)中的安全傳輸。論文參考。
4.4 備份和鏡像技術(shù)
網(wǎng)絡(luò)系統(tǒng)的備份是指對網(wǎng)絡(luò)中的核心設(shè)備和數(shù)據(jù)信息進行備份,以便在網(wǎng)絡(luò)遭到破壞時,快速、全面地恢復(fù)網(wǎng)絡(luò)系統(tǒng)的運行。論文參考。核心設(shè)備的備份主要包括核心交換機、核心路由器、重要服務(wù)器等。數(shù)據(jù)信息備份包括對網(wǎng)絡(luò)設(shè)備的配置信息、服務(wù)器數(shù)據(jù)等的備份。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護作用,也在人侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護作用。論文參考。鏡像技術(shù)是指兩個設(shè)備執(zhí)行完全相同的工作, 若其中一個出現(xiàn)故障, 另一個仍可以繼續(xù)工作。
4.5 網(wǎng)絡(luò)安全管理規(guī)范
網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持,在網(wǎng)絡(luò)安全中, 除采用技術(shù)措施之外, 加強網(wǎng)絡(luò)的安全管理, 制定有關(guān)的規(guī)章制度, 對于確保網(wǎng)絡(luò)安全、可靠地運行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括: 確定安全管理等級和安全管理范圍; 制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。
5. 結(jié)束語
校園網(wǎng)信息安全是一項復(fù)雜的系統(tǒng)工程,不能僅僅依靠某一方面的安全策略,而需要仔細考慮系統(tǒng)的安全需求,網(wǎng)絡(luò)信息安全涉及的內(nèi)容既有技術(shù)方面的問題,又有管理方面的問題,應(yīng)加強從網(wǎng)絡(luò)信息安全技術(shù)和網(wǎng)絡(luò)信息安全管理兩個方面來進行網(wǎng)絡(luò)信息安全部署,盡可能的為校園網(wǎng)提供安全可靠的網(wǎng)絡(luò)運行環(huán)境。
參考文獻:
[1] 張武軍. 高校校園網(wǎng)安全整體解決方案研究. 電子科技.2006 年第3 期.
[2] 朱海虹.淺談網(wǎng)絡(luò)安全技術(shù).科技創(chuàng)新導(dǎo)報,2007,32:32.
[3] 符彥惟.計算機網(wǎng)絡(luò)安全實用技術(shù).清華大學(xué)出版社。2008.9
篇(7)
關(guān)鍵詞:虛擬機,虛擬網(wǎng)絡(luò),Telnet,網(wǎng)絡(luò)與安全
0.引言
計算機網(wǎng)絡(luò)和計算機安全技術(shù)是新世紀人才必須掌握的基本技能,理所當然也是計算機專業(yè)基礎(chǔ)課的核心課程,教學(xué)意義和現(xiàn)實意義十分重大。然而,現(xiàn)在很多學(xué)校受資金等各方面因素的影響,教學(xué)設(shè)備的硬件建設(shè)相對欠缺和滯后,一方面在普通的實驗室里學(xué)生只能是一人一機,即使一些同學(xué)把機器放到一起做實驗,但是學(xué)校不可能讓學(xué)生在計算機上安裝軟件和修改配置;另一方面無法在INTERNET上練習(xí)一些網(wǎng)絡(luò)攻防試驗,原因是肉雞越來越不好找,況且還涉及法律問題。因此學(xué)生基本沒有做網(wǎng)絡(luò)和安全實驗的條件和機會,嚴重的影響的網(wǎng)絡(luò)和信息安全實驗室的建設(shè)和使用,也嚴重的影響了正常的實驗教學(xué)。
虛擬機軟件的出現(xiàn),能夠在一臺計算機上虛擬出多臺計算機,進而為學(xué)生在單機環(huán)境下學(xué)習(xí)和實踐如何組建網(wǎng)絡(luò)和進行網(wǎng)絡(luò)攻防實驗提供的必要的條件。目前建立虛擬機和構(gòu)建虛擬網(wǎng)絡(luò)環(huán)境的軟件主要有Virtual pc和VMware,Virtualpc簡單易學(xué),對網(wǎng)絡(luò)的支持也較好,非常適用于教學(xué);而VMware更適合專業(yè)人士使用。關(guān)于通過虛擬機改進計算機網(wǎng)絡(luò)實驗的研究不少[1][2],本文將著重使用Virtual pc虛擬網(wǎng)絡(luò)進行網(wǎng)絡(luò)信息安全實驗的研究。
1.網(wǎng)絡(luò)實驗室的搭建
虛擬機VirtualPC搭建的網(wǎng)絡(luò),虛擬機與宿主機,或虛擬機之間進行通信有四種模式,其中能支持聯(lián)網(wǎng),有兩種工作模式:
1.1共享模式NAT
在此模式下工作時,虛擬機通過共享主機IP地址(外網(wǎng)IP)來訪問外部網(wǎng)絡(luò);這種模式使用簡便,幾乎不用修改任何配置。但是Virtual PC沒有獨立的外網(wǎng)IP,由此帶來一個很大的缺點:外部網(wǎng)絡(luò)(包括主機)無法直接訪問虛擬機,顯然無法實現(xiàn)單機組網(wǎng)。
1.2虛擬交換橋接
該模式要求主機首先得具備一個有效的IP地址,并且使用靜態(tài)IP分配方式。另外,由于軟件所限,主機必須安裝Windows 2000/XP操作系統(tǒng)才能使用虛擬交換模式。具體搭建網(wǎng)絡(luò)實驗室可以參考文獻[1]這里不再重述。
2.使用虛擬機實現(xiàn)網(wǎng)絡(luò)安全實驗
使用虛擬機搭建好網(wǎng)絡(luò)后,可以模擬網(wǎng)絡(luò)環(huán)境,實現(xiàn)密碼技術(shù)應(yīng)用、計算機與網(wǎng)絡(luò)資源的探測及掃描、網(wǎng)絡(luò)攻防技術(shù)、Windows操作系統(tǒng)安全、Linux操作系統(tǒng)安全等實驗。模擬入侵環(huán)境:宿主機的Ip地址為172.16.22.2,虛擬機的Ip地址為172.16.22;宿主機:windowsxp系統(tǒng),虛擬機:為windows 2000 server系統(tǒng);其他工具:X-scan。
下面是模擬開啟遠程主機(用虛擬機來實現(xiàn))Teltel步驟:
2.1在宿主機上用X-scan等掃描工具掃描虛擬機的NT-server用戶名和弱口令:運行X-scan應(yīng)用軟件;設(shè)置虛擬機的Ip地址,作為掃描對象,為了加快掃描,在掃描模塊里,設(shè)置只掃描NT-server用戶名和弱口令;并啟動掃描。論文參考。
2.2利用步驟1掃描出的用戶名和弱口令(假設(shè)掃出計算機管理員用戶:administrator,密碼為空口令),建立宿主機與虛擬機之間的空連接:在宿主機上運行 cmd;輸入net use \172.16.22.5ipc$ “”/user:”administrator”。
2.3在宿主機上開啟對方的Telnet服務(wù):右鍵我的電腦,點擊管理, 點擊操作,連接到另外一臺計算機,并在選擇計算機窗口,單選另外一臺計算機,并輸入虛擬機的Ip地址172.16.22.5;連接上后在計算機管理-服務(wù)和應(yīng)用程序-服務(wù),找到Telnel服務(wù),開啟。
2.4在宿主機上遠程打開虛擬機的注冊表,并修改NTLM的鍵值2為1或0:(NTLM工作流程可以參考[3]):在宿主機上運行regedit,打開注冊表編輯器;點擊文件,連接網(wǎng)絡(luò)注冊表,輸入虛擬機的Ip地址172.16.22.5,確定;在注冊(172.16.22.5)找到鍵值HKEY_LOCAL_MACHINESOFTWARESERVERSTELNETSERVERNTLM;并把鍵值改為0或1。論文參考。
3.防護與安全
為了防止入侵者用類似的手法非法進入你的系統(tǒng),可以從入侵的條件和途徑來實施,掐斷入侵的條件和途徑,讓入侵者知難而退,必須建立一整套安全策略,實施綜合安全管理,比如使用能防病毒、防黑客的防火墻軟件或入侵檢測系統(tǒng),設(shè)置服務(wù)器,隱藏自已的IP地址 ,安裝過濾器路由器,防止IP欺騙 ,建立完善的訪問控制策略,采用加密技術(shù) ,做好備份工作等 。下面是防止遠程Telnet服務(wù)的具體措施:
3.1安裝防火墻,設(shè)置禁止ping入,并關(guān)閉一些端口:比如23、135、 445等,因為Telnet默認端口是23,Ipc$通道需要135,445端口支持。
3.2取消自動登錄,打開注冊表把下面鍵值從1改成0就禁止了自動登錄,刪除多余的用戶,在剩下的用戶修改默認的用戶名,并加入比較高強度的密碼保護。
3.3阻止IPC$空連接,把系統(tǒng)目錄自動共享刪除,建立一個自動批處理文件,并每次開機都計劃執(zhí)行。論文參考。這個自動批處理文件中加入內(nèi)容如下:
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
3.4防止別人修改你的注冊表:把你的系統(tǒng)盤格式轉(zhuǎn)換成NTFS格式,然后利用NTFS設(shè)置系統(tǒng)目錄除了管理員之外的任何用戶禁止訪問。
3.5另外,要養(yǎng)成良好的上機習(xí)慣,常給系統(tǒng)打補丁,把計算機病毒和木馬拒絕在網(wǎng)外。
4.小結(jié)
本文通過虛擬機VirtualPC 2007搭建網(wǎng)絡(luò)與信息安全實驗室,為學(xué)生提供了一種理論結(jié)合實際,適應(yīng)性、實用性和針對性強的實驗環(huán)境,有利于學(xué)生學(xué)以致用,解決實際學(xué)習(xí)和工作中遇到的問題,最后給出了一種虛擬開啟遠程主機telnet服務(wù)的辦法并給出了相應(yīng)的安全防御措施。
參考文獻
[1]薛鴻民.適用VPC搭建虛擬網(wǎng)絡(luò)實驗室.現(xiàn)代電子技術(shù),2006,14:111-113.
[2]劉世華,張小紅.虛擬機技術(shù)在網(wǎng)絡(luò)類課程實驗中的應(yīng)用.中國教育信息化:高教職教,2009,10:52-54.
[3]王逸軍,耿海飛,施彤年,金鷹.NTLM身份驗證協(xié)議詳解.計算機與網(wǎng)絡(luò),2009,18:67-71.
