时间:2022-12-28 12:25:50
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全技术,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
摘要:随着信息技术的迅速发展,经济、文化、军事和社会生活等很多方面越来越多的依赖计算机网络,此时的网络已经成为一个无处不在、无所不用的工具。与此同时,网络安全问题也越来越突出,由于多种因素的影响,计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。计算机网络是信息社会发展的基础,网络安全技术是确保信息的安全与畅通的重要手段。
关键词:网络安全技术防火墙安全审计系统
1 引言
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。要想真正解决网络安全问题,就得要从系统的规划上去考虑它,从技术、产业、政策等方面来发展它。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。运用多种网络安全技术来实现信息传递的安全与可靠是维护网络安全的主要措施。
2 影响网络安全的主要因素
2.1 计算机病毒
计算机病毒的含义是,编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。它主要有程序性、传染性、潜伏性、可触发性这四个特点。
2.2 网络资源共享性因素
资源共享是计算机网络应用的最主要的目的,但这又为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着联网需求的日益增长,外部服务请求不可能做到完全的隔离,所以攻击者就利用服务请求的机会很容易获取网络数据包。
2.3 网络开放性因素
网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
3 网络安全的主要技术
网络安全的技术是指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段。本论文主要介绍两种网络安全技术:防火墙技术和安全审计系统。
3.1 防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互连设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。目前的防火墙产品主要有包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙等类型。
包过滤型防火墙是建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型产品是防火墙的初级产品,网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。封包过滤型控制方式最大的好处是效率高,但却有几个严重缺点:管理复杂,无法对连线作完全的控制,规则设置的先后顺序会严重影响结果,不易维护以及记录功能少。
3.2 安全审计系统
安全审计系统是在一个特定的企事业单位的网络环境下,为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取,而运用各种技术手段实时监控网络环境中的网络行为、通信内容,以便集中收集、分析、报警、处理的一种技术手段。
3.2.1 安全审计系统的必要性
防火墙这种网络安全技术,可实现对网络异常行为的管理和监测,如网络连接和访问的合法性进行控制、监测网络攻击事件等,但是不能监控网络内容和已经授权的正常内部网络访问行为,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为(即时通讯、论坛、在线视频、P2P下载、网络游戏等)也无能为力,也难以实现针对内容、行为的监控管理及安全事件的追查取证。
3.2.2 安全审计系统的特点
1.细粒度的网络内容审计 安全审计系统可对系统访问及操作、网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等进行关键信息监测、还原。
2.全面的网络行为审计 安全审计系统可对网络行为,如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等,提供全面的行为监控,方便事后追查取证。
3.综合流量分析 安全审计系统可对网络流量进行综合分析,为网络带宽资源的管理提供可靠的策略支持。
【关键词】校园网络 网络安全 防火墙
作为一种丰富学习资源、拓展教学空间、提高教育效率的有效手段,信息化为教育的创新与普及提供了新的突破口。与此同时,网络社会与生俱来的不安全因素,如病毒、黑客、非法入侵,不健康信息等,也无时无刻不在威胁教育网络的健康发展,而成为教育信息化建设中不容忽视的问题。教育行业的信息安全需求,无疑形成了一个庞大的市场。
一、网络安全的概念
网络安全就是是要保护好网络系统中的软、硬件资源以及存储在系统中的数据,避免因偶然的或者恶意的原因而遭到破坏,确保系统连续、可靠、高效的运行,保障网络服务连续畅通。从狭义的角度来看,网络安全是指防止外在的或者人为的原因破坏网络系统资源:从广义角度来看,计算机网络安全的研究领域囊括了信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论。
二、校园网络威胁
与其它网络一样,校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说,危害网络安全的主要威胁有:非授权访问,即对网络设备及信息资源进行非正常使用或越权使用等;冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的;破坏数据的完整性,即使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用;干扰系统正常运行。指改变系统的正常运行方法,减慢系统的响应时间等手段;病毒与恶意攻击,即通过网络传播病毒或恶意Java、XActive等;线路窃听,即利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。
三、网络安全防范的内容
一个安全的计算机网络应该具有机密性、完整性、可用性、可控性、可审查性与可保护性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面:一是计算机病毒,二是黑客犯罪。
四、校园网网络安全的主要技术
网络安全的主要技术有防火墙、身份识别、数字签名、信息加密和防病毒技术等。
(一)防火墙技术
防火墙的本义原是指古代人们房屋之间修建的那道墙,这里所说的防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是在本地网络与外界网络之间实施特定访问控制策略的系统。它是保护可信网络(用户内部网)不受非可信的外部网(国际互联网、外部网)访问的机构,是整体安全防护体系的一个重要组成部分。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网如校园网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对内部网构成威胁的数据。防火墙技术是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
(二)身份识别
系统的安全性常常依赖于对终端用户身份的正确识别与检验,以防止用户的欺诈行为。身份验证一般包括两个方面的含义:一个是识别,一个是验证。所谓的识别是指对系统中的每个合法用户都具有识别能力。所谓验证是指系统对访问者自称的身份进行验证,以防假冒。身份的验证主要有以下几种方法:口令和通行字的方法;利用信物的身份验证;利用人类生物学特性进行身份验证。
(三)数字签名
数字签名技术是基于公共密钥的身份验证,公开密钥的加密机制虽提供了良好的保密性,但难以鉴别发送者,即任何得到公开密钥的人都可以生成和发送报文,数字签名机制则在此基础上提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。大多数电子交易采用两个密钥加密:密文和用来解码的密钥一起发送,而该密钥本身又被加密,还需要另一个密钥来解码。这种组合加密被称为数字签名,它有可能成为未来电子商业中首选的安全技术。
(四)信息加密
信息加密是网络信息安全的核心技术之一,它对网络信息安全起着别的安全技术无可替代的作用。数据加密技术是与防火墙配合使用的技术,是通过对信息的重新组合,使得只有收发双方才能解码还原信息,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。
(五)防病毒技术
在所有计算机安全威胁中,计算机病毒是最为严重的,它不仅发生的频率高、损失大,而且潜伏性强、覆盖面广。校园网络中,计算机病毒具有不可估量的威胁性和破坏力。它的防范是网络安全技术中重要的一环。防病毒技术包括预防病毒、检测病毒、消除病毒等技术。
五、结束语
校园网络安全是一个长期的、动态的过程,内部人员的蓄意破坏、管理操作者的失误、网络黑客的攻击、操作系统公开或未公开的漏洞、网络架构的变动、网络安全人才的缺乏都将导致网络系统的不安全,因此,校园网络安全及技术防范任重而道远。只有通过不断地努力,我们的校园网才能够在比较安全的环境下工作,才能充分发挥它的优势,更好地为我们的教育事业服务。
摘要 随着网络技术的进步、电子商务的发展,网络已深入到生活的方方面面,随之出现的网络安全问题日益严竣。如何保障网络的稳定正常运行,维护人们的合法网络权益成为了一个急需解决的问题。本文从目标、需求及方案三方面浅述了如何维护网络的安全。
关键词 防火墙;VPN;网络加密;身份认证
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)61-0195-02
0 引言
随着互联网的迅猛发展和广泛应用,网络在给人们带来便利提高效益的同时,它的安全性逐渐成为一个越来越现实的严峻问题。各种网络安全事件频发,影响着企业或组织的正常运行,因此研究如何解决网络安全问题,维持网络的正常运行具有十分现实的意义。
1 方案目标
本方案的目标是将网络系统设计成一个支持各级用户或用户群的安全网络。具体来说,安全目标有以下几点:
1)采取多层防护手段,将受到入侵和破坏的概率降到最低;2)提供迅速检测非法使用和非法入侵的手段,核查并跟踪入侵者的活动;3)提供恢复被破坏的数据和系统的手段,尽量降低损失。
2 安全需求
根据网络安全的风险分析及需要解决的问题,我们需要制定合理的方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。机密性即信息不泄露给未授权实体或进程;完整性保证了数据不被未授权的人或实体更改;可用性即授权实体能够访问数据;可控性保证能控制授权范围内的信息流向及操作方式;可审查性是对出现的安全问题提供依据与手段。
3 解决方案
3.1 设计原则
根据网络的实际情况,解决安全保密问题是当务之急,并且考虑技术难度及经费等,设计时遵循如下原则:
1)大幅度地提高系统的保密性;2)易于操作维护,便于自动化管理;3)尽量不影响原网络拓扑结构,同时便于系统扩展;4)安全系统有较高的性价比。
3.2 安全策略
1)采用漏洞扫描技术,对核心交换机等重要设备进行扫描防护;
2)采用多种技术,构筑防御系统,主要有:防火墙技术、虚拟专用网(VPN)、网络加密、身份认证等。
3.3 防御系统
3.3.1 物理安全
物理安全是保护计算机及各种网络设备免遭地震、水灾、火灾等环境事故以及人为失误或错误。为保证系统正常运行,应采取如下措施:
1)产品保障方面:指网络设备采购、运输、安装等方面的安全措施;
2)运行安全方面:各种设备,特别是安全类产品在使用过程中,必须能从厂家或供货商得到迅速的技术支持;
3)保安方面:主要指防盗、防火等。
3.3.2 防火墙技术
防火墙实质是对通信的网络进行访问控制,其目标是通过控制信息进出网络的权限,使所有连接都经过检查,防止被保护的网络遭外界的干扰和破坏。防火墙根据事先定义的规则来检测要进入被保护网络的信息是否能够进入。
根据采用的技术可将防火墙分为3类:包过滤型、型和监测型。
1)包过滤型
包过滤型依据是网络信息的分包传输。要传输的数据被分成一定大小的包,每个包中都含有特定信息,如源地址、目标地址等。防火墙通过读取数据包中的特定信息来判断数据是否来自可信站点 ,若发现来自危险站点,防火墙则会拒绝这些数据进入。此技术优点是简单实用,成本低。 其缺点是只能根据数据包的特定信息判断数据是否安全,无法识别恶意入侵。
2)型
型防火墙也叫服务器,其安全性高于包过滤产品。服务器位于客户机与服务器之间,当客户机要与服务器通信时,先把请求发给服务器,服务器再根据其请求向服务器索取数据,再由服务器将数据传给客户机。服务器就是客户机与服务器间的“传话筒”。此种防火墙优点是安全性高,缺点是设置复杂,对整体性能有很大影响。
3)监测型
监测型防火墙能够对各层数据实时主动地监控,再分析,最后判断出各层中是否有攻击行为。同时,这种产品一般还带有探测器,这些探测器安装在应用服务器和网络的关键节点中,不仅能检测来自外部的攻击,还能对内部的恶意破坏进行防范。但此类产品成本高,所以应用较少。
3.3.3 VPN技术
VPN通过防火墙、隧道技术、加密解密等实现,是在公共网络中建一道专线。它主要有3种:
1)远程访问虚拟网(Access VPN)。Access VPN通过拥有相同策略的共享设施,来提供远程访问。适用于企业内部常有流动人员远程办公的情况;
2)企业内部虚拟网(Intranet VPN)。越来越多的企业需要在各地建立办事处、分公司等,传统的通信方式是使用花销大的租用专线方式。而使用Intranet VPN可以保证分公司安全地传输信息;
3)Extranet VPN。此方式使用专用连接的共享设施,将合作伙伴连接到企业内部网。
3.3.4加密技术
加密可以保证信息的机密性。它是把要传输的信息用某种算法和参数通过某种运算形成无意义信息。要传输的信息为明文,某种算法为加密算法,无意义的信息为密文,参数为密钥。加密技术可分为对称加密技术和非对称加密技术。对称加密技术加密和解密密钥相同。代表算法有DES,IDEA等。非对称加密技术也叫公开密钥技术,其加解密密钥不同。加密密钥公开,解密密钥私有,不公开。非对称加密广泛应用于身份认证、数字签名等领域。代表算法是RSA。目前新的加密技术有密码专业芯片、量子加密等。
3.3.5 身份认证
现在越来越多的人通过虚拟的网络通信,进行电子商务等活动,怎样保证对方的合法身份呢?这就需要身份认证。身份认证的目的是验证信息收发方是否有合法的身份证明。身份认证主要有3个机构组成。
1)认证机构CA
CA是一个权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发网络用户身份证明――证书,任何相信该CA的人,也应当相信由CA颁发证书的用户。
2)注册机构RA
RA是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅可以面对面登记,也可以远程登记。
3)证书管理与撤消系统
随着电子商务等活动的发展,越来越多的证书就需要证书管理系统。当已颁发证书不再有效时就需要撤消。证书撤消系统利用周期性机制撤消的证书,也有在线查询可随时查询已撤消的证书。
4 结论
本文主要介绍了一个多层次的网络安全解决方案,来为用户提供信息的保密性、完整性和身份的认证,使网络服务更安全可靠。
参考文献
[1]石志国,等.计算机网络安全教程.北京:清华大学出版社,2009.
近几年中,网络运营商逐步认识到网络安全的重要性,通过部署防火墙、入侵防护设备、VPN等一系列的技术手段和措施来提高电信网络的安全性,但是整体的效果并不理想,由于网络安全问题导致的网络瘫痪、流量异常、数据泄露等情况仍然时有发生,而造成这些安全事件根本性的原因很大一部分是安全防护技术手段的缺失。比如没有形成全公司统一的网络安全技术实施总体规划,在实际的技术部署中缺乏纵深一体化的防护,在系统规划、设计、建设阶段缺乏对于网络安全技术防护方面的考虑,导致部分系统中没有部署必要的安全防护设备;而部分系统中即使部署了安全设备但是策略配置不合理,导致相应的系统弱点完全暴露在公众网络中;网络层没有统一采用MAC绑定52的策略,网内时常发生ARP攻击情况;系统口令认证方式单一,容易被破解;运行系统上的服务端口没有实施最小化的控制。此外在检测手段上,漏洞检测设备分布零星,没有形成远程控制、覆盖全系统的部署方式,检测的效率相对低下。在审计技术手段上,部分关键业务系统缺乏操作审计的管控能力,对于流量分析缺少数据包分析能力。因此,本文从层次化安全防护部署、自动化安全检测能力、全方位安全审计能力三个方面对网络安全技术手段进行分析。
1层次化安全防护部署
安全防护的目的是通过系统加固、安全设备部署等网络安全技术手段,实现对恶意或非恶意攻击行为的防御,根据防护对象的不同,又可以分成四个维度。
1.1网络层
网络层的安全防护主要通过在网络设备层面设置安全加固措施,保障数据传送的底层网络能够持续稳定的运行。首先需要保证网络拓扑的合理性,增强网络设计时的健壮性。在网络架构上保证内外网的物理隔离,防止外网的安全威胁蔓延至内网中;确保网络具备冗余倒换能力,不存在网络的单点故障;将不同的业务、不同的用户在网络层面进行隔离,降低用户非授权访问的可能性;在关键网络出口处部署防火墙设备或者设置访问控制列表,限定外部网络与受控业务系统之间可以进行交互的应用类型;避免网络设计中存在可旁路绕过安全防护设备的链路。其次启用相应的内网、外网防护技术手段,降低网络层面遭遇攻击的几率。启用网络接入的准入机制,只有通过认证的设备才允许进行网络访问;通过在网络层部署反向路由检测机制,阻断恶意用户使用仿冒地址发起攻击;通过在网络层部署MAC地址绑定机制,防止局域网内的ARP攻击;在业务系统的网络出口处启用动态路由协议的Peer认证机制,防止非授权的设备参与进路由广播和分发中,造成网络数据转发的异常。
1.2系统层
系统层的安全防护主要着眼于业务服务器、维护终端及办公终端操作系统的安全措施部署。通过设置统一的补丁服务器、病毒防护服务器,实现各类主机系统升级补丁和病毒特征更新包的统一管理、及时,避免因操作系统漏洞未及时修补造成网络安全的发生;部署统一的集中认证授权系统,实现基于手机短信认证、令牌环认证等方式的双因子认证机制,根据认证的结果分配给用户对应的访问权限,确保登录用户所能进行的操作合法性。
1.3应用层
所有的业务提供能力最终都是体现为各种业务应用,因此应用层的防护能力高低,直接决定了一个业务网络的安全程度。在应用层面需要实现最小化服务的原则,对于与业务和维护没有关联的应用服务端口,都应予以关闭;针对所提供的Web应用,应该部署WAF设备,阻隔针对应用的网络攻击行为。
1.4数据层
数据层次主要数据的加密传输和保存,客户端和服务端之间使用SSL、SSH之类的安全加密传输协议进行数据的交互,确保数据在高强度的加密通道中进行传输,不被篡改、不被截获,通过对应用系统的改造优化,实现在服务器上存储关键数据时使用MD5加密等方式进行数据存储,降低存储文件外泄后数据泄漏的风险。
2自动化安全检测能力
安全检测是通过主动自主的对网络系统进行审视,及早的发现网络系统中存在的安全问题,安全检测技术能力的提升,有助于企业能够更为快速准备的定位网络系统的薄弱环节,通过及时采取安全防护措施,降低网络安全隐患。
2.1漏洞扫描
漏洞扫描技术是在网络安全检测方面使用的最为广泛的一种手段,通过自动化的扫描工具和被检测的系统进行连接,并读取内置的漏洞数据库进行数据交互情况的匹配,以判断目标系统是否存在相应的网络安全漏洞。根据扫描对象的不同,漏洞扫描又可分为系统扫描和Web应用扫描。为保证漏洞扫描技术手段部署的有效性,一方面需要考虑漏洞扫描工具选用的合理性,工具是否具备较为完备的安全漏洞数据库,漏洞判定的原理依据是否合理有效,漏洞扫描任务执行速度是否快速;另一方面需要系统化的考虑漏洞扫描工具的布放,通过集中管控,分级部署的方式,使得漏洞扫描工具能够通过远程管理和控制,跨区域覆盖到所有需检测的网络系统,自动化执行周期性的扫描任务,提升漏洞扫描工作任务执行的效率。
2.2基线检查
基线检查系统通过远程登录目标系统或者通过在目标主机上运行采集脚本,获取目标主机的实际配置情况,与系统内设置的各种系统、应用的配置的标准项进行对比核对,找出其中的差异,即不合规项,形成直观的统计报表。
3全方位安全审计能力
通过安全审计技术手段,实现对网络操作、流量特征行为进行审核,发现网络中所存在的违背安全策略的行为,根据审计的结果,做好事中处理或者事后补救的措施,保障企业的网络安全。
3.1操作审计
各运维部门负责运维种类繁多,数量庞大的各式通信网元,且参与运维的人员众多,但是相应的运维操作并没有全部进行审计管控,存在网络安全管控上的盲点,因此完善在操作审计上的能力也是优化网络安全管理体系的重要环节。通过全覆盖式操作审计系统的覆盖,实现对现网设备及应用的集中操作审计,对运营商日常运维操作的情况进行记录,保存运维人员的登录账号名,登录时间,登录结果,登录IP地址以及操作帐号,操作时间,操作命令,操作结果等一系列操作信息,周期性的对操作的情况进行审核,是否存在异常的操作行为,同时在发生安全事件时,也可通过操作审计系统进行设备操作记录的回溯,发现问题关键点。
3.2流量分析
在运营网络中不光存在着正常的业务流量,还有众多的网络攻击、垃圾邮件、蠕虫病毒等产生的异常流量,对于这些异常流量的及时甄别、快速处置是优化网络安全环境的关键步骤。运营商应该在流量分析的手段上进行补充完善,形成以下几个层次的分析能力:第一层次是基于SNMP协议,采集平台网络出口设备的端口进出字节情况,构造出日常的流量图形情况,通过实施监测发现流量突增突减的情况,可以粗略的判断是否存在网络攻击行为,及时对异常行为做出响应;第二层次是基于netflow技术,通过提取数据包的包头,获取IP地址、协议类型、应用端口、数据包进出的设备端口、字节数等一系列信息,构建出整个网络流量的整体视图,分析网络中存在的异常流量情况并进行对应的溯源,准确定位攻击的源头所在;第三层次是部署镜像或者分光抓包的能力,在网络安全事件发生时,具备快速响应能力,及时获取事件发生时,被攻击网络的交互数据包情况,通过对这些数据包的精准分析,发现网络攻击的方式方法,采取针对性的防护措施进行防御。
3.3日志分析
网络中系统、应用、安全设备所产生的记录用户的行为、系统状态的日志,为网络安全事件的处置提供了大量重要的信息,通过对来自网络中各种设备和应用的日志进行关联性分析,可以判定出攻击者什么时候通过什么手段发起的哪种类型的攻击,攻击影响的范围是多大。因此,应当建立集中式的日志收集分析系统,提高自身在网络安全事中的技术处理手段。
总之,网络运营商在整个互联网生态圈中提供最为基础的通信管道,承担着公共网络的建设和维护的职责,因此一旦运营商的网络遭遇黑客的恶意攻击或者发生其他类似的安全问题,所影响到的互联网用户范围非常广,造成的社会影响非常大。技术手段作为网络安全的重中之重,本文对其进行了重点探讨,希望能对未来网络安全的发展贡献一定的力量。
作者:杨钧 单位:乌鲁木齐69022部队
引用:
[1]上官晓丽.国际信息安全管理标准的相关研究[J].信息技术与标准化,2014.
[2]侯继江.中国网络安全防护工作开展思路及经验总结[J].电信网技术,2011.
[3]杨雪梅.基于PPDR模型的关键应用信息系统防御体系[J].计算机与应用化学,2015.
关键词:计算机网络;网络安全;安全技术
1个人计算机网络安全
1.1个人计算机在网络中所遭受攻击与入侵手法的分析
(1)安全漏洞。
许多系统都有这样那样的安全漏洞。其中一些是操作系统或应用软件本身具有的,如TCP/IP协议的缺陷常被用于发动拒绝服务入侵或攻击。这种攻击的目的通常是消耗带宽或消耗网络设备的CPU和内存。入侵者通过向目标服务器发送大量的数据包,并几乎占取和消耗该服务器所有的网络带宽,从而使其无法对正常的服务请求进行处理,导致网站无法进入,网站响应速度大大降低或服务器瘫痪。对个人上网用户而言,可能遭到大量数据包的入侵使其无法进行正常操作。
(2)电子邮件入侵方式。
电子邮件是Internet上运用得十分广泛的一种通讯方式,入侵者往往会使用一些邮件炸弹或CGI程序向目标邮箱发送大量内容重复、无用的垃圾邮件,从而使目标邮箱被塞满而无法使用。
(3)防范特洛伊木马程序。
特洛伊木马程序是一种黑客软件程序,它可以直接侵入计算机系统的服务器端和用户端。一旦用户打开附有该程序的邮件或从网上直接下载的程序后,它们就会像古特洛伊人在敌人城外留下藏满士兵的木马一样留在用户计算机中,当用户连接Internet时,此程序会自动向入侵者报告用户主机的IP地址及预先设定的端口。网络入侵者在获取这些信息后,就可任意修改用户主机的参数设定、复制文件、窥视硬盘中的内容信息等,从而达到控制目的。
1.2对网络攻击与入侵进行防御的方法
(1)把Guest账号禁用。
打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。
(2)禁止建立空连接。
具体方法是打开注册表“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可,
(3)删除不必要的协议。
鼠标右击“网络邻居”,选择“属性”,卸载不必要的协议,其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级
TCP/IP设置”对话框,选择“WIN”标签,选择“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。
(4)保障电子邮件的使用安全。
①选择安全可靠的邮件服务。
目前,Internet上提供的Email账户大都是免费账户,这些免费的服务不提供任何有效的安全保障,有的免费邮件服务器常会导致邮件受损。因此最好选择收费邮件账户。
②确保邮件账号的安全防范。
首先要保护好邮箱的密码。不要使用保存密码功能以图省事,入网账号与口令应重点保护。设置的口令不要太简单,最好采用8位数。
③对重要邮件信息加密处理。
可使用某些工具如A-LOCK,在发送邮件之前对内容进行加密,对方收到加密信件后必须采用A-LOCK解密后方可阅读,可防止邮件被他人截获而泄密。
(5)防范特洛伊木马程序常用的方法。
①预防特洛伊木马程序。
在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。尽量避免下载可疑软件,对于网上某些可疑的,诱惑性动机比较明显的软件或信息,一般不要下载,以防染上“木马”程序。
②禁止不明程序运行。
在“开始”“运行”中msconfig,在“启动”选项中查看有没有可疑项目,去掉前面的勾。
2网络安全技术在商业领域中的研究及应用
2.1防火墙技术
防火墙技术和数据加密传输技术将继续沿用并发展,多方位的扫描监控、对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全,五者综合应用。在产品及功能上,将摆脱目前对子网或内部网管理方式的依赖,向远程上网集中管理方式发展,并逐渐具备强大的病毒扫除功能;适应IP加密的需求,开发新型安全协议,建立专用网(VPN);推广单向防火墙;增强对网络攻击的检测和预警功能;完善安全管理工具,特别是可疑活动的日志分析工具,这是新一代防火墙在编程技术上的革新。
2.2生物识别技术
随着21世纪的来临,一种更加便捷、先进的信息安全技术将全球带进了电子商务时代,它就是集光学、传感技术、超声波扫描和计算机技术于一身的第三代身份验证技术——生物识别技术。
生物识别技术是依靠人体的身体特征来进行身份验证的一种解决方案,由于人体特征具有不可复制的特性,这一技术的安全系数较传统意义上的身份验证机制有很大的提高。人体的生物特征包括指纹、声音、面孔、视网膜、掌纹、骨架等,而其中指纹凭借其无可比拟的唯一性、稳定性、再生性倍受关注。
2.3加密及数字签名技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。
不对称加密,即“公开密钥密码体制”,其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道,分别称为“公开密钥”和“秘密密钥”。
目前,广为采用的一种对称加密方式是数据加密标准(DES)。在电脑网络系统中使用的数字签名技术将是未来最通用的个人安全防范技术,其中采用公开密钥算法的数字签名会进一步受到网络建设者的亲睐。这种数字签名的实现过程非常简单:①发送者用其秘密密钥对邮件进行加密,建立了一个“数字签名”,然后通过公开的通信途径将签名和邮件一起发给接收者,接收者在收到邮件后使用发送者的另一个密匙——公开密钥对签名进行解密,如果计算的结果相同他就通过了验证。数字签名能够实现对原始邮件不可抵赖性的鉴别。②多种类型的专用数字签名方案也将在电子货币、电子商业和其他的网络安全通信中得到应用。
参考文献
[1]熊桂喜,王小虎译.计算机网络(第3版)[M].
[2]王钊,蒋哲远,胡敏.电子商务[M].
关键词:网络入侵;入侵检测系统;信息安全
中图分类号:TP311 文献标识码:A文章编号:1009-3044(2009)35-9947-05
Network Safety Technology Research
ZHENG Xiao-xia
(The Basis of Teaching and Research, Dezhou Vocational and Technical College, Dezhou 253000, China)
Abstract: With the rapid development of networks, network information security problems are exposed. In this paper, the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis, the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.
Key words: network intrusion; intrusion detection systems; information security
1 前言
1.1 因特网的发展及其安全问题
随着计算机网络应用的广泛深入,网络安全问题变得日益复杂和突出。网络的资源共享、信息交换和分布处理提供了良好的环境,使得网络深入到社会生活的各个方面,逐步成为国家和政府机构运转的命脉和社会生活的支柱。这一方面提高了工作效率,另一方面却由于自身的复杂性和脆弱性,使其受到威胁和攻击的可能性大大增加。众所周知,因特网是世界上最大的计算机网络,它连接了全球不计其数的网络与电脑。同时因特网也是世界上最开放的系统,任何地方的电脑,只要遵守共同的协议即可加入其中。因特网的特点就是覆盖的地理范围广,资源共享程度高。由于因特网网络协议的开放性,系统的通用性,无政府的管理状态,使得因特网在极大地传播信息的同时,也面临着不可预测的威胁和攻击。网络技术越发展,对网络进攻的手段就越巧妙,越多样性。一方面由于计算机网络的开放性和信息共享促进了网络的飞速发展,另一方面也正是这种开放性以及计算机本身安全的脆弱性,导致了网络安全方面的诸多漏洞。可以说,网络安全问题将始终伴随着因特网的发展而存在。所以,网络的安全性同网络的性能、可靠性和可用性一起,成为组建、运行网络不可忽视的问题。
1.2 我国网络安全现状及其相关法律与制度
1.2.1 我国网络安全现状
2007年“熊猫烧香”病毒的制作者成功抓获并被判刑,说明了政府高度重视网络安全问题。目前,国家依据信息化建设的实际情况,制订了一系列法律文件和行政法规、规章,为我国信息化建设的发展与管理起到了有利的促进和规范作用,为依法规范和保护我国信息化建设健康有序发展提供了有利的法律依据。
1.2.2 我国网络安全相关法律与原则
2003年中办下发的《关于加强信息安全保障工作的意见》是目前我国信息安全保障方面的一个纲领性文件。
我国网络信息安全立法的原则
1)国家利益原则。当今天信息已成为社会发展的重要战略资源,信息安全成为维护国家安全和社会稳定的一个焦点。信息安全首先要体现国家利益原则。
2)一致性原则。要与在我国现行法律和国际法框架下制定的法律法规相一致,避免重复立法和分散立法,增强立法的协调性,避免立法的盲目性、随意性和相互冲突。
3)发展的原则。信息安全立法既要考虑规范行为,又要考虑促进我国国民经济和社会信息化的发展。
4)可操作性原则。要对现实有针对性,对实践有指导性。
5)优先原则。急需的先立法、先实施,如信息安全等级保护、信息安全风险评估、网络信任、信息安全监控、信息安全应急处理等方面要加紧立法。
2 网络安全协议
2.1 网络安全协议对维护网络安全的作用
Internet的开放式信息交换方式使其网络安全具有脆弱性,而实现网络安全的关键是保证整个网络系统的安全性。目前几乎网络的各个层次都指定了安全协议和具备了相应的安全技术,网络安全协议可很好的保护信息在网络中传播。在安全领域,一种“安全协议”被定义为“一种控制计算机间数据传输的安全过程。
2.1.1 第二层隧道协议(L2TP)
第2层隧道协议(L2TP)是点对点隧道协议(PPTP)的一个扩展,L2TP数据包在用户数据报协议(UDP)端口1701进行交换。ISP使用L2TP来建立VPN解决方案,使用该方案,用户可以在载波网络中更多地利用VPN的优点。由于L2TP符合国际标准,因此不同开发商所开发的L2TP设备的协同能力大大增强。L2TP VPN已经成为提供商使用的产品。在装有Cisco的网络中,端到端的服务质量(QoS)可以通过QoS技术的使用来保证IPSec负责数据加密,它同样也是一种国际标准。IPSec对每个数据包的数据进行初始认证、数据完整性检测、数据回放保护以及数据的机密性保护。从设计上来看,L2TP支持多协议传输环境,它能够使用任何路由协议进行传输,包括IP、IPX以及AppleTalk。同时,L2TP也支持任何广域网传送技术,包括帧中继、ATM、X.25或SONET,它还能够支持各种局域网媒质,如以太网、快带以太网、令牌环以及FDDI。L2TP使用因特网及其网络连接以使得终端能够颁布在各个不同的地理位置上。L2TP的最大安全之处在于它使用了IPSec,IPSec可以为连接提供机密性、数据包的认,以及保护控制信息和数据包不被重新发送。
2.1.2 IPSec的技术优势:
为数据的安全传输提供了身份验证、完整性、机密性等措施,另外它的查验和安全与它的密钥管理系统相连。因此,如果未来的密钥管理系统发生变化时,IPSec的安全机制不需要进行修改。当IPSec用于VPN网关时,就可以建立虚拟专用网。在VPN网关的连内部网的一端是一个受保护的内部网络,另一端则是不安全的外部公共网络。两个这样的VPN网关建立起一个安全通道,数据就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一条VPN。在这个VPN中,每一个具有IPSec的VPN网关都是一个网络聚合点,试图对VPN进行通信分析将会失败。
目的是VPN的所有通信都经过网关上的SA来定义加密或认证的算法和密钥等参数,即从VPN的一个网关出来的数据包只要符合安全策略,就会用相应的SA来加密或认证(加上AH或ESP报头)。整个安全传输过程由IKE控制,密钥自动生成,所有的加密和解密可由两端的网关,对保护子网内的用户而言整个过程都是透明的。
2.2 安全Shell(SSH)
安全Shell或者SSJ常用于远程登录系统,和过去使用的Telnet具有相同的目的。然而Telnet和SSH的最大区别是:SSH大大加强了其连接的安全性。SSH是一个应用程序,它为不可靠的、存在潜在危险的网络(如因特网)上的两台主机提供了一个加密的通信路径。因此,SSH防止了用户口令及其他敏感数据以明文方式在网络中传输。SSH解决了在因特网中最重要的安全问题:黑客窃取或破解口令的问题。
SSH拒绝数据IP欺骗攻击,保证能够是哪台主机发送了该数据。加密数据包,用以防止其他中间主机截取明文口令及其他数据。IP源路由选择,可以防止某台主机伪装它的上IP数据包来源于另一台可信主机。避免数据包传送路径上控制其他装置的人处理数据。SSH给安全领域带来一个很有趣的功能:即使用隧道的SSH技术转发某些数据包。FTP协议和X Windows协议都采用了这一功能。这中转发功能使SSH能够利用其他一些协议来控制主机终端与SSH连接的操作。你可能认为通过SSH连接的隧道将是一个很不错的VPN选择,但事实并非如此。一种更好的解决方案就是通过VPN连接的SSH隧道技术,因为这是一种很安全的连接发。总之,SSH是一个比较浒、用于加密网络TCP会话的工具,它最常用于远程登录以及增加网络的安全性。
3 网络安全技术
3.1 使用网络安全技术的意义
随着计算机网络技术的突飞猛进,网络安全的问题已经日益突出地摆在各类用户的面前。据统计资料表明,目前在互联网上大约有将近20%以上的用户曾经受过黑客的困扰。尽管黑客如此猖獗,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户,特别是企业级用户没有安装防火墙便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙引发的。
3.2 防火墙
防火墙(Firewall )技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。它是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。
3.2.1 防火墙的种类
第一:从防火墙产品形态分类,防火墙可分为3种类型:
1)软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说,这台计算机就是整个网络的网关,俗称“个人防火墙”。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络软件版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
2)硬件防火墙
硬件防火墙是指“所谓的硬件防火墙。之所以加上”所谓“二字是针对芯片级防火墙说的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构,也就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的UNIX、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网、外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见的四端防火墙一般将第4个端口作为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
3)芯片级防火墙
芯片级防火墙基于专门的硬件平台及专用的操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
第二:从防火墙所采用的技术不同,可分为包过滤型、型和监测型三大类型。
1)包过滤型
是防火墙的初级产品,其技术依据是网络中的他包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。优点是:简单实用,实现成本较低,在应用环境简单的情况下能够以较小的代价在一定程度上保证系统的安全。缺点是:只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
2)型
“型”防火墙也可以称为服务器,它的安全性要高于包过滤型产品,并已经开始实行向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。监测型
3)监测型
“监测型”防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙对各层的数据进行主动、实时的监测,在对这些数据加以分析的基础上,临测型防火墙有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探器,这些探测器安置在各种应用服务器和其他网络系统的节点之中,不仅检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用
第三:从网络体系结构来进行分类,可以将防火墙分为以下4种类型:
1)网络级防火墙
一般是基于源地址和目的地址、应用或协议,以及每个IP包的端口来做出通过与否的判断。网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2)应用级网关
也称“型”防火墙,它检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的软件,使用时工作量大,效率不如网络级防火墙。
3)电路级网关
用来监近代受信任的客户机或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能:网络地址转换功能,将所有内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一睦缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
4)规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查闻讯火墙大OSI网络层上通过IP地址和端口号,过滤进出的数据包。可以在OSI应用层下检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与旅游区在用层有关的,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级在过滤数据包上更有效。
第四:从防火墙的应用部署位置来分,可将防火墙分为3种类型
1)边界防火墙
这是最为传统的那种,它们位于内、外部网络的边蜀,所起的作用是对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。
2)个人防火墙
安装于单台主机中,防护的也只是单台主机。这类防火墙应于广大的个人用户,价格最便宜,性能也最差。
3)混合式防火墙
也可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
3.2.2 防火墙中的关键技术
在实现防火墙的众多技术中,如下技术是其实现的关键技术:
3.2.2.1 包过滤技术
包过滤技术是在网络中适当的位置上对数据包实施有选择的过滤。采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据所检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。
优点:采用包过滤技术的包过滤防火墙具有明显的优点,
1)一个过滤由器协助防护整个网络
2)数据包过滤对用户透明
3)包过滤路由器速度快、效率高
缺点:通常它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。配置烦琐也是包过滤防火墙的一个缺点。没有一定的经验,是不可能将过滤规则配置得完美的。
3.2.2.2 应用技术
技术是针对每一个特定应用服务的控制。它作用于应用层。其具有状态性的特点,能提供部分与传输有关的状态,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它节点的直接请求。提供服务的可以是一台双宿网关,也可以是一台保垒主机。
3.2.2.3 状态检查技术
状态检查技术也称为应用层网关技术,是一种在网络层实现防火墙功能的技术。它是在应用层实现防火墙的功能,针对每一个特定应用进行检验。服务不允许直接与真正的服务通信,而是与服务器通信(用户的默认网关指向服务器)。各个应用在用户和服务之间处理所有的通信。
优点:1)易于配置。2)能生成各项记录。3)能灵活、完全地控制进出信息。4)能过滤数据内容。
缺点:1)速度比路由器慢。2)对用户不透明。3)对于每项服务,可能要求不同的服务器。4)服务通常要求对客户或过程进行限制。5)服务受协议弱点的限制。6)不能改进底层协义的安全性。
3.2.2.4 地址转换技术
地址转换技术是将一个IP地址用另一个IP地址代替。它主要应用于两个方面,其一是网络管理员希望隐藏内部网的IP地址。其二是内部网的IP地址是无效的。在此情况下,外部网不能访问内部网,而内部网之间主机可以互助访问。
3.2.2.5 内容检查技术
内容检查技术提供对高层服务协议数据的监控,以确保数据流的安全。它是一个利用智能方式来分析数据,使系统免受信息内容安全威胁的软件组合。
3.3 网络入侵检测
随着网络技术的发展,网络环境变得越来越复杂,网络攻击方式的不断翻新。网络系统的安全管理,是一个非常复检录烦琐的事情。入侵检测技术和漏洞扫描技术通过从目标系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,甚至实时地对攻击做了反应。入侵检测系统和入侵保护系统是防火墙极其有益的补充,它能对非法入侵行为进行全面的临测和防护。在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。入侵检测技术被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供针对内部攻击、外部攻击和误操作的实时防护,大大提高了网络的安全性。
3.3.1 入侵检测系统技术
入侵检测系统技术可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制,以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。
3.3.2 入侵检测系统
入侵检测系统的核心就是通过对系统数据的分析,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。将入侵检测的软件与硬件进行组合便是入侵检测系统。与其他安全产品不同的是入侵检测系统需要更多的智能必须可以对得到的数据进行分析,并得出有用的结果,一个合格的入侵检测系统能大大地简化管理员的工作,保证网络安全的运行。其实,入侵检测系统是一个曲型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口,无须转发任何流量,而只需要在网络上被动地、无声无息地收集它所关心的报文即可。
3.4 虚拟专用网(VPN)
VPN是目前解决信息安全问题的一个最新、最成功的技术之一。所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网络指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公有网络中建立专用的数据通信网络的技术。在虚拟专用网络中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”,通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
一个典型VPN的组成部分如图1所示。
图1各个组件作用如下:VPN服务器:接受来自VPN客户机的连接请求。VPN客户机:可以是终端计算机也可以是路由器。隧道:数据传输通道,在其中传输的数据必须经过封装。VPN连接:在VPN连接中,数据必须经过加密。隧道协议:封装数据、管理隧道的通信标准。传输数据:经过封装、加密后在隧道上传输的数据。公共网络:如Internet,也可以是其他共享网络。
3.5 访问控制的概念
访部控制是通过一个参考监视器,在每一次用户对系统目标进行访问时,都由它来调节,包括限制合法用户的行为。访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。所有的操作系统都支持访问控制。
访问控制的两个重要过程:1)通过鉴别(authentication)来检验主体的合法身份:2)通过授权(authorization)来限制用户对资源的访问级别。访问包括读取数据,更改数据,运行程序,发起连接等。访问控制所要控制的行为有以下几类:1)读取数据;2)运行可执行文件;3)发起网络连接等。
3.5.1 访问控制应用类型
根据应用环境的不同,访问控制主要有以下三种:1)网络访问控制;2)主机、操作系统访问控制;3)应用程序访问控制。由于本文讨论的主要为网络中的访问控制。所以主机、操作系统的访问控制
及应用程序的访问控制在这里就不做讨论。网络访问控制机制应用在网络安全环境中,主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据,这就是传统的网络防火墙。此外,加密的方法也常被用来提供实现访问控制。
3.5.2 强制访问控制(MAC)
强制访问控制与自主访问控制因实现的基本理念不同,访问控制可分为强制访问控制(Mandatory accesscontrol)和自主访问控制(Discretionary access control)。用来保护系统确定的对象,对此对象用户不能进行更改。也就是说,系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。在强制访问控制系统中,所有主体(用户,进程)和客体(文件,数据)都被分配了安全标签,安全标签标识一个安全等级。主体(用户,进程)被分配一个安全等级,客体(文件,数据)也被分配一个安全等级。访问控制执行时对主体和客体的安全级别进行比较。
用一个例子来说明强制访问控制规则的应用,如WEB服务以“秘密”的安全级别运行。例如WEB服务器被攻击,攻击者在目标系统中以“秘密”的安全级别进行操作,他将不能访问系统中安全级为“机密”及“高密”的数据。
4 网络安全策略
4.1 网络安全系统策略
从根本意义上讲,绝对安全的网络是不可能有的。只要使用,就或多或少地存在安全问题。我们在探讨安全问题的时候,实际上是指一定程度的网络安全。一般说来,网络的安全性通常是以网络的开放性、便利性和灵活性为代价的。计算机网络信息安全是一个复杂的系统工程,国际上普遍认为:它不仅涉及到技术、设备、人员管理等范畴,还应该依法律规范作保证,只有各方面结合起来,相互弥补,不断完善,才能有效地实现网络信息安全。这里仅从技术的角度探讨网络信息安全的对策。
4.2 网络安全系统策略的制定
4.2.1 物理安全策略
物理安全的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;防止用户越权操作;确保网络设备有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个主要问题。
4.2.2 数据链层路安全策略
数据链路层的网络安全需要保证通过网络链路传送的数据不被窃听,主要采用划分VLAN(虚拟局域网)、加密通信(远程网)等手段。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。
4.2.3 网络层安全策略
网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免拦截或监听。用于解决网络层安全性问题的主要有防火墙和VPN(虚拟专用网)。防火墙是在网络边界上通过建立起恶报相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。
4.2.4 遵循“最小授权”策略
“最小授权”原则指网络中帐号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险性大大降低。
4.2.5 建立并严格执行规章制度的策略
在网络安全中,除了采用技术措施之外,制定有关规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。一般来说,安全与方便通常是互相矛盾的。一旦安全管理与其它管理服务存在冲突的时候,网络安全往往会作出让步,或许正是由于一个细微的让步,最终导致了整个系统的崩溃。因此,严格执行安全管理制度是网络可靠运行的重要保障。
5 结论
当前,如何确保计算机网络的安全性是任何一个网络的设计者和管理者都极为关心的热点。由于因特网协议的开放性,使得计算机网络的接入变得十分容易。正是在这样得背景下,能够威胁到计算机网络安全的因素就非常多。因此,人们研究和开发了各种安全技术和手段,努力构建一种可靠的计算机网络安全系统。这种安全系统的构建实际上就是针对己经出现的各种威胁(或者是能够预见的潜在威胁),采用相应的安全策略与安全技术解除这些威胁对网络的破坏的过程。当然,随着计算机网络的扩大,威胁网络安全因素的变化使得这个过程是一个动态的过程。计算机网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。所以任何计算机网络安全体系一定不是可以一劳永逸地防范任何攻击的完美系统,人们力图建立的只能是一个动态的网络安全防护系统。它是一个动态加静态的防御,本文首先从多个角度研究了计算机网络的安全性,针对各种不同的威胁与攻击研究了解决它们的相应安全技术与安全协议。接下来,在一般意义下制定计算机网络安全系统设计的策略与原则,提出了计算机网络安全的实现模型。计算机网络安全取决于安全技术与网络管理两大方面。从技术角度来讲,计算机网络安全又取决于网络设备的硬件与软件两个方面,网络设备的软件和硬件互相配合才能较好地实现网络安全。但是,由于网络安全作为网络对其上的信息提供的一种增值服务,人们往往发现软件的处理速度成为网络的瓶颈,因此,将网络安全的密码算法和安全协议用硬件实现,实现快速的安全处理仍然将是网络安全发展的一个主要方向。另一方面,在安全技术不断发展的同时,全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。除了网络安全技术,还要强调网络安全策略和管理手段的重要性。只有做到这些的综合,才能确保网络安全。本文尽管对计算机网络安全进行了较深入的研究。但是,计算机网络安全的问题是一个永久的课题,它将随着计算机技术、计算机网络的发展而一直存在、一直发展。计算机网络的威胁与计算机网络的安全防护的关系就象是“矛”和“盾”的关系一样,没有无坚不摧的矛、也没有无法攻破的盾。从理论上讲这种做法的正确的,但在具体的折中方法上就有大量的研究及实验工作可做。由于本文作者水平有限以及时间有限等的原因,本文的折中是有进一步研究和改进的必要的。总之,计算机网络安全技术是个永无止境的研究课题。
参考文献:
[1] Stallings W.网络安全要素一应用与标准[M].北京:人民邮电出版社,2000.
[2] 张小斌,严望佳.黑客分析与防范技术[M].北京:清华大学出版社,1999.
[3] 余建斌,黑客的攻击手段及用户对策[M].北京:人民邮电出版社,1998.
[4] 彭杰.计算机网络安全问题的探讨[M].现代电子技术,2002.
[5] 郝玉洁,.网络安全与防火墙技术[J].电子科技大学学报社科版,2002,4(1).
[6] 陈朝阳,潘雪增,平铃娣.新型防火墙的设计和实现[J].计算机工程,2002(11).
[7] 刘美兰,姚京松.入侵检测预警系统及其性能设计[C]//卿斯汉,冯登国.信息和通信安全CCICS'99:第1届中国信息和通信安全学术会议论文集.北京:科学出版社,2000.
[8] 陈晓苏,林军,肖道举.基于多的协同分布式入侵检测系统模型[J].华中科技大学学报:自然科学版,2002,30(2).
[9] 王惠芳.虚拟专用网的设计及安全性分析[J].计算机工程,2001(6).
1.1非授权型访问,是指在没有获取相关批准的情况下就私自运用相关的计算机网络和资源
主要是指用来编制与调试能够将网络的另一边联系起来的计算机程,从而获得非法或缺少授权的访问权限。比如故意跳过系统的访问管控系统,利用不正当方式运用相关的网络设施与资源,或缺少必要授权的访问数据。主要有以下几种类型:攻击,伪造身份,在未经授权的合法用户的非法操作,非法用户的网络接入系统的违法行为等。
1.2数据丢失,是指各类较为敏感的信息遭到泄露或丢失
信息的完整性遭到损坏,也就是运用不合法的手段对相关信息进行访问于操作,对相关信息实施删除、插入、修改等活动,从而令用户不能够顺利工作,进而满足攻击者的非法目的。此外还有黑客攻击,最终导致财务表格和各类重要数据均被修改或损坏,进而给相关企业造成巨大的经济损失。更有甚者,令信息失效,系统崩溃,进而使整个网络系统都无法顺利运转,这种情况所引发的后果比账号被盗所遭受的后果还要严重。
1.3后门和木马程序
所谓后门与木马程序,主要是指那些能够运用某种软件实现对其余计算机进行管控的程序,其呈现出隐秘性强与非授权等特征。如果某台计算机安装了后门或木马程序就能够轻而易举窃取用户的信息,包括用户输入的账号密码,并发送这些信息,或者允许远程计算机的用户通过网络窃取计算机中的文件,并通过网络控制控制这台计算机,更加恐怖的是,此计算机能够对整个网络系统实现全面管控,进而为黑客提供各种便利。
2关于计算机网络的各类安全预防方法
关于计算机网络安全技术,其是一项十分庞大且繁杂的系统工程。而不断进步的技术与持续改进的安保方式能够对网络安全进行保障。从技术层面上讲,网络系统安全主要由如下部分构成:安全的应用机制、安全的操作系统、网络监测、防火墙、入侵监察、数据加密、系统还原、安全检测等。其中,无论哪一个单独组件都不能确保计算机网络安全。
2.1防火墙技术
关于防火墙技术,其能够对网络之间的互相访问方面的管控进行强化,并避免其余用户利用不法方式对内部网络进行入侵和获取相关的网络资源,进而实现对内部网络安全的保卫。此外,防火墙技术也有若干类,主要包括:包过滤型、型与监测型。(1)包过滤。包过滤型的防火墙产品属于入门级产品,其中主要运用到网络的分包输送法。在网络中,需要传送的信息通常都是用“包”作为单位,从而实施信息传送活动的,其中,信息会被分成若干个数据包,各个数据包内都存有一定量的数据,比如信息的目的地、信息源地址、目的端口等等。而防火墙则利用产看数据包中的实际数据的方式,对信息的信任度进行判定,如得出相关信息的来源是部分危险的网站,则禁止此部分信息进入。包过滤型防火墙技术的优点是简单实用成本低,缺点是只根据特定的信息来确定数据包是否安全,无法识别恶意侵入。(2)型。关于型防火墙,其也叫服务器,在安全方面比包过滤型表现的更为优秀。此外,服务器处在服务器与客户端中间的地方,在客户端和服务器进行通信活动时,第一步是把相关请求传送给服务器,之后由服务器结合实际需求向服务器进行信息索取活动,最终由服务器负责将获取的信息传送至客户端。所以服务器实际上就是客户端与服务器的媒介。型防火墙具有安全性和可靠性高的优势,但也存在设置比较繁琐,且在很大程度上影响到总体性能的劣势。(3)监测型。关于监测型防火墙,其可以实现对各层信息的实时监测与自行解析,最终对是否存有攻击现象进行明确。此外,这种产品通常会自带探测装置,并装配在服务器与网络的部分重要节点内,不但能够监察到外部的攻击活动,还能够实现对内部的蓄意损坏活动的预防。
2.2数据加密技术
和防火墙同时运用的包括信息加密技术,对相关信息进行加密能够对数据的机密性进行保障。从功能的角度出发,可以将信息加密技术分成信息传送、信息保存、信息完整程度的判定、密钥管控四种技术。信息加密技术属于信息流传送的加密方式;信息保存加密技术的主要目标是避免信息在存储阶段出现丢失现象,此技术可继续分成存取管控与密文保存两类,其中,存取管控主要是对用户的各类权限与资格进行审核与限制,从而避免缺少相应授权的不法分子对相关信息进行非法访问或部分合法用户访问或保存超越自身权限的信息,而密文保存通常是利用加密算法转换、加密模块与额外密码等方式进行实施;信息完整程度的判定技术的主要目标是针对相关数据的保存、传输、操作者身份与相关的信息内容实施验证活动,进而实现保密的目的,通常涵盖口令、身份、信息等项判定,系统根据对验证目标输入的特征值和之前设置的参数是否相符,实现对数据的安全保护;密钥管控技术的主要目标是实现信息的便捷运用,通常是保密与与盗窃的重要目标,此外,密钥的媒体形式主要有磁卡、磁盘与半导体存储器等,而密钥的管控技术涵盖了密钥的出现、配置保存与替换、销毁等各个步骤的保密活动。
2.3防病毒技术
当前,对信息安全威胁最大的是计算机病毒。在计算机网络环境下,病毒能够实现快速传播,仅仅运用单机防病毒软件难以实现对计算机病毒的彻底消除,所以,结合网络中各类病毒攻击的可能性设计出针对性的防毒与杀毒软件,利用多层次与全方面的防毒系统配置,令网络能够在最大程度上实现对病毒的防御。此外,市场上的主流杀毒应用主要有瑞星杀毒软件、360卫士、卡巴斯基杀毒软件等,此类杀毒应用较为重视对病毒的防护,在检测到有病毒侵入当前网络后,杀毒应用会立即进行处理。
关键词:校园网;网络安全;网络管理
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)06-11545-02
1 引言
随着“校校通”工程、教育城域网的深入开展,许多学校都建立了校园网络并投入使用,这无疑对丰富教学形式,实现资源共享,加快信息处理,提高工作效率都起到无法估量的作用。校园网络在学校的信息化建设中扮演了至关重要的角色,但在网络建设的过程中,由于对技术的偏好和网络安全意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害成为各个学校不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
2 目前校园网络中普遍存在的安全问题
2.1 网络安全方面的投入不足,没有系统的网络安全设施配备
大多数学校网络建设经费不足,所以就将有限的经费投在关键设备上,对于网络安全建设没有比较系统的投入,使得校园网处在一个开放的状态,没有有效的安全预警手段和防范措施。
2.2 缺少专业的网络管理员
网络出口、网络监控、日志系统等缺乏有效的管理,上网用户的身份无法唯一识别,存在极大的安全隐患。
2.3 电子邮件系统极不完善,缺乏安全管理和监控的手段
电子邮件既是互联网必不可少的一个应用之一,同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统,不能提供自身完善的安全防护,更没有提供任何针对用户来往信件过滤、监控和管理的手段,完全不符合国家对安全邮件系统的要求,出现问题时也无法及时有效的解决
2.4 网络病毒泛滥,造成网络性能急剧下降,很多重要数据丢失,损失不可估量。
网络病毒的肆虐传播,极大的消耗了网络资源;造成网络性能下降,单纯单机杀毒软件已经不能满足用户的需求,迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。
2.5 网络安全意识淡薄,没有指定完善的网络安全管理制度
校园网络上的用户安全意识淡薄,大量的非正常访问导致网络资源的浪费,同时也为网络的安全带来了极大的安全隐患。
综上所述,校园网络安全的形势非常严峻,目前,许多学校的校园网都以WINDOWS NT做为系统平台,由IIS(Internet Information Server)提供WEB等等服务。下面本人结合自己校园网络管理的一点经验与体会,提几个基本的、关键的解决方案。
3 校园网络安全解决方案
3.1 配备完整的、系统的网络安全设备,规范出口的管理
校园网出口配备了双冗余的Cisco PIX535防火墙,把校园网络分成三个隔离网段:校园内部各功能网、DMZ区、Internet。通过防火墙的隔离,防止了跨网攻击、网络间干扰等安全隐患,同时病毒的感染范围也可以得到有效的控制,使各网段的安全性大大提高。
我校校园网采用了包括路由器、防火墙和交换机在内的三层立体集成化安全防御。第一层防护由边界路由器实现。边界路由器提供Internet与校园网的连接,为防止外部用户对服务器进行非法操作,对服务器的内容进行删除、修改等破坏,必须对外部访问的操作进行严格控制。利用Cisco路由器所具有的防火墙功能,可防止各服务器受到来自外部的破坏。第二层防护由PIX防火墙保障。PIX防火墙将校园内部网和外部完全分开,PIX是内部各网络子系统对外的惟一出口,通过使用PIX防火墙隔离内、外网络,更进一步保障了内部网络的安全。第三层防护由交换机提供。网络管理员在核心交换机部署防火墙模块,这是抵御外部攻击的第三道屏障,也是防止内部攻击的有利手段。
3.2 服务器安全措施
3.2.1 密码的设置
众所周知,用密码保护系统和数据的安全是最基本、最常用的方法。但目前发生的大多数安全问题,还是由于密码管理不严造成的,因此密码口令的有效管理是非常基本的,也是非常重要的。首先,绝对杜绝不设口令的帐号存在,尤其是超级用户帐号。一些网络管理人员,为了图方便,认为服务服务器只由自己一个人管理使用,常常对系统不设置密码。这样,“入侵者”就能通过网络轻而易举的进入系统,另外,对于系统的一些权限,如果设置不当,对用户不进行密码验证,也可能为“入侵者”留下后门。其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出的字符作为密码,例如常有人将自己名字的缩写或6位相同的数字进行密码设置。密码的长度也是设置者所要考虑的一个问题。在WINDOWS NT系统中,有一个sam文件,它是windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果“入侵者”通过系统或网络的漏洞得到了这个文件,就能通过一定的程序(如L0phtCrack)对它进行解码分析。在用L0phtCrack破解时,如果使用"暴力破解" 方式对所有字符组合进行破解,那么对于5位以下的密码它最多只要用十几分钟就完成,对于6位字符的密码它也只要用十几小时,但是对于7位或以上它至少耗时一个月左右,所以说,在密码设置时一定要有足够的长度。总之在密码设置上,最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外,适当的交叉使用大小写字母也是增加被破解难度的好办法。
3.2.2 及时为系统打补丁
对于Windows操作系统的服务器,采用Windows自动更新服务预防操作系统的漏洞。对于UNIX操作系统,网络管理人员时刻关心相关厂商的网站上的补丁列表,及时为系统打上相应的补丁。
3.2.3 用户终端IP地址配置
我校选用支持DHCP Snooping功能的接入交换机,用户的IP地址只能由网络中心分配,而不能来自非法的IP地址提供者。对于学校的职能部门,因为存在一些专用服务器,为了防止用户将IP地址手动设置成服务器的地址而造成冲突,职能部门的接入交换机全部采用支持IP SourceGuard的交换机,用户必须从DCHP服务器取得IP地址才可进行通信,私自设定IP地址将会自动被交换机禁止。
3.2.4 进行有效的监控和管理
上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证这个记录的法律性和准确性。
4 用户终端系统安全措施
用户终端的安全包含两个方面:一个是操作系统的安全性,一个是应用程序的安全性。 针对操作系统的安全性,我校的校园网内安装了Windows更新服务器,每天凌晨定时从微软网站同步下载补丁程序,并及时下发给终端机,使终端机能及时获得更新的操作系统补丁。 应用程序的安全性主要在于防止机器中病毒以及恶意程序的影响,针对病毒影响,我们采用了两层安全模式:一是在校园网内安装了网络版的瑞星杀毒软件;二是我们在校园网出口以及各个汇聚节点放置基于集群的病毒网关,一旦发现下联的客户机有中毒的症状,则主动切断用户的连接,并将用户的链接定向到瑞星杀毒软件进行查杀病毒,并通过自行编写的ActiveX控件更改客户端的注册表,使Windows客户端的自动更新自动指向校内更新服务器。为了防止恶意程序的影响,要求校内终端用户安装Windows Defender。
5 完善电子邮件系统,提供安全监控和管理功能
针对目前邮件系统存在的安全隐患,我校的邮件系统采用Eyou的产品,我们在Eyou系统中内嵌了杀毒软件,对用户的邮件直接进行病毒的查杀。对于出入学校的邮件,进行垃圾邮件检查、病毒检查。
6 配备专业的网络安全管理员,严格管理制度
购物车(0)
