时间:2023-12-01 10:31:14
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全的前景,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
论文摘要:当今社会,信息技术高速发展,各行各业都离不开网络。各学校也越来越重视校园网络建设,网络已经悄然无声的走进了校园。如何建设和管理好校园网络,保证校园网络的安全,已成为校园网络建设的首要任务。如何让校园网络在病毒肆虐的时代稳固运行,保证学校信息化、数字化网络环境畅通,已成为网管员的首要责任。
在网络技术的广泛应用下,许多学校都建立了校园网络并投入使用,网络的优势势不可挡:加快信息处理、提高工作效率、实现资源共享、降低劳动强度。但是当网络给学校带来方便的同时,网络安全这一问题是否被学校重视。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论、数论等多种学科的综合性学科。网络安全从本质上说就是网络上的信息安全。它是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。本文从以下方面阐述校园网络的安全管理:
一、设备安全
畅通的网络环境、安全的网络设备,为校园网络的信息化、数字化提供了最基础的硬件保障。这里除了信息网络设备的供电、防水、防雷电、温湿度、防鼠和防盗等常规安全之外。还要强调网络设备的配置安全。主要包括:
(一)对网络设备设置8位以上复杂密码,并需要根据业务需求分配合适的管理用户和权限。目前大多数安全问题,是由于密码过于简单、密码管理不严,使“入侵者”乘虚而入。因此密码口令的有效管理是非常重要的。
(二)设置独立的设备管理虚拟局域网,把网管设备使用的IP地址与普通用户使用的IP地址段分开,并指定专用电脑进行接入管理和监控。
二、划分VLAN
对校园网络合理的划分VLAN。VLAN就是虚拟局域网。目前大多数学校都配备了三层交换机和可管理的二层交换机,可是还有相当一部分学校把这些设备当作普通的交换机使用,没有进行VLAN的划分。这样一方面是对设备资源的浪费,另一方面更是降低了网络安全性和网络性能。
采用虚拟局域网有如下优势:有效抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。基于端口的虚拟局域网是最实用的虚拟局域网,它保持了最普通、常用的虚拟局域网成员定义方法,配置也相当直观简单,不同的虚拟局域网之间进行通信需要通过路由器或具有路由功能的三层交换机。因此,有条件的学校首先就应该充分利用已有的硬件资源,采用VLAN技术构筑高效安全的网络基础环境。
三、流量监控、协议分析、网络审计
使用专业设备如:网康。可以进行监控流量、协议分析及网络审计。
此类设备可以方便地配置于网络内部,用来预测网络的性能和发展趋势;实时检测校园网络内部终端的流量状况、分析网络的异常流量;提供全网的IP地址、机器名、MAC地址等信息完备的地址表,方便网络的分析和管理;能对网络访问事件作统一记录、分析;还可生成各种报表用于存档。有利于早期发现网络中的可疑行为,预防不良网络行为的发生。
另外在网络管理当中,要贯彻实名制,既用机器使用者的真实姓名作为计算机命名的管理模式,直接监控到个人,当出现异常时可以准确定位,快速响应。
四、部署防火墙
防火墙是网络安全的屏障。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。只有经过精心选择的应用协议才能通过防火墙,这会使网络环境变得更为安全。在防火墙设置上我们按照以下原则配置用来提高网络安全性:
第一、根据校园网安全目标和安全策略,规划设置正确的安全过滤规则,审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严禁来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止的”原则。
第二、将防火墙配置成过滤掉以内部网络地址进入路由器的IP包。这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,这样可以防止内部网络发起的对外攻击。
第三、定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
五、部署入侵防御系统
为了弥补防火墙的不足,可使用入侵防御系统:如IPS。他能够及时识别攻击程序、有害代码及其克隆和变种,尽量将病毒挡在校园网之外。另外,对于已经传入校园网内的病毒,必须防止其扩散,可以利用核心交换机的访问控制列表,屏蔽掉某些可能被病毒利用的端口。这样就可以控制病毒,使其只能在某一子网内传播,而不至于在校园网内大范围扩散。 转贴于
另外还可以在交换机上建立内网计算机的IP地址和MAC地址的对应表,实现专人专用,防止IP地址被盗用。
六、服务器的安全
校园网的服务器为用户提供各种应用,但是应用提供得越多,系统就存在越多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭.只向用户提供他们所需的基本服务。例如:我们在校园网服务器中对用户只提供WEB服务功能,而没有必要向用户提供FTP功能。这样。在对服务器配置时,只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,则要规定端口、账号及密码,向指定的用户开放。因为用户通过FTP可以上传资源,如果给了用户可执行权限,那么,通过运行上传的某些程序,就可能使服务器受到攻击。所以,控制好服务器的用户群体也是保障网络安全的一个重要因素。
七、部署防病毒
校园网内部署防病毒系统,并且定时升级病毒库。部署防病系统是为了防止因某个客户端的病毒或木马程序在校园网中流窜,从而干扰网络主干、传染其他的客户端。部署防病毒能够在源头上保障校园网络的安全。在选择防病毒软件时应选用口碑比较好的名牌产品。
八、定时更新
任何一个操作系统、防病毒软件、防火墙系统、入侵检测系统、路由交换设备等网络节点、系统或多或少都存在着各种漏洞。系统漏洞的存在就成为网络安全的首要问题。发现并及时修补漏洞是每个网络管理人员的主要任务。当然,从系统中找到漏洞不是我们一般网络管理人员所能做的.但是及早地发现有报告的漏洞,并进行补丁升级却是我们应该做的。经常登录各有关网络安全网站,密切关注我们所有使用的软件和服务程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。网络管理员应该养成勤打补丁的习惯。
九、规范管理
以上提及的安全管理办法只是对网络设备和硬件所说,为校园网络提供技术手段和措施,但是还需要制定一系列的信息网络规章制度来规范网络管理员的操作流程,提高网络管理员的安全意识和责任。包括制定网络安全管理范围规章制度、制订有关校园网网络操作使用规程、制定人员出入校园网主控机房的管理制度、制定校园网网络系统的维护制度和应急措施、确定校园网信息安全管理的一般责任和具体责任,以及规定出现安全事故以及违反安全策略的后果等。
网络管理的规范程度直接反映一个网络的应用保障系数,通过以上几个方面的管理,并结合定期的内部网络的扫描巡检,科学的管理分工制度,要把一个网络管好、用好不难。
相信随着校园网络管理和校园网络安全不断优化发展。必然会给校园信息化、数字化应用提供畅通环境,校园网络的效益将会越来越大。也必将会进一步提高学校的教学质量和管理效率,使学校成为一所具有先进的信息化网络环境和数字化应用的现代化学校。
参考文献:
[1]黄开枝,孙岩.网络防御与安全对策[M].北京:清华大学出版社
[2]谢希仁.计算机网络(第2版)[M].北京:清华大学出版社
论文摘要:当今社会,信息技术高速发展,各行各业都离不开网络。各学校也越来越重视校园网络建设,网络已经悄然无声的走进了校园。如何建设和管理好校园网络,保证校园网络的安全,已成为校园网络建设的首要任务。如何让校园网络在病毒肆虐的时代稳固运行,保证学校信息化、数字化网络环境畅通,已成为网管员的首要责任。
在网络技术的广泛应用下,许多学校都建立了校园网络并投入使用,网络的优势势不可挡:加快信息处理、提高工作效率、实现资源共享、降低劳动强度。但是当网络给学校带来方便的同时,网络安全这一问题是否被学校重视。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论、数论等多种学科的综合性学科。网络安全从本质上说就是网络上的信息安全。它是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。本文从以下方面阐述校园网络的安全管理:
一、设备安全
畅通的网络环境、安全的网络设备,为校园网络的信息化、数字化提供了最基础的硬件保障。这里除了信息网络设备的供电、防水、防雷电、温湿度、防鼠和防盗等常规安全之外。还要强调网络设备的配置安全。主要包括:
(一)对网络设备设置8位以上复杂密码,并需要根据业务需求分配合适的管理用户和权限。目前大多数安全问题,是由于密码过于简单、密码管理不严,使“入侵者”乘虚而入。因此密码口令的有效管理是非常重要的。
(二)设置独立的设备管理虚拟局域网,把网管设备使用的ip地址与普通用户使用的ip地址段分开,并指定专用电脑进行接入管理和监控。
二、划分vlan
对校园网络合理的划分vlan。vlan就是虚拟局域网。目前大多数学校都配备了三层交换机和可管理的二层交换机,可是还有相当一部分学校把这些设备当作普通的交换机使用,没有进行vlan的划分。这样一方面是对设备资源的浪费,另一方面更是降低了网络安全性和网络性能。
采用虚拟局域网有如下优势:有效抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。基于端口的虚拟局域网是最实用的虚拟局域网,它保持了最普通、常用的虚拟局域网成员定义方法,配置也相当直观简单,不同的虚拟局域网之间进行通信需要通过路由器或具有路由功能的三层交换机。因此,有条件的学校首先就应该充分利用已有的硬件资源,采用vlan技术构筑高效安全的网络基础环境。
三、流量监控、协议分析、网络审计
使用专业设备如:网康。可以进行监控流量、协议分析及网络审计。
此类设备可以方便地配置于网络内部,用来预测网络的性能和发展趋势;实时检测校园网络内部终端的流量状况、分析网络的异常流量;提供全网的ip地址、机器名、mac地址等信息完备的地址表,方便网络的分析和管理;能对网络访问事件作统一记录、分析;还可生成各种报表用于存档。有利于早期发现网络中的可疑行为,预防不良网络行为的发生。
另外在网络管理当中,要贯彻实名制,既用机器使用者的真实姓名作为计算机命名的管理模式,直接监控到个人,当出现异常时可以准确定位,快速响应。
四、部署防火墙
防火墙是网络安全的屏障。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。只有经过精心选择的应用协议才能通过防火墙,这会使网络环境变得更为安全。在防火墙设置上我们按照以下原则配置用来提高网络安全性:
第一、根据校园网安全目标和安全策略,规划设置正确的安全过滤规则,审核ip数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严禁来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止的”原则。
第二、将防火墙配置成过滤掉以内部网络地址进入路由器的ip包。这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法ip地址离开内部网络的ip包,这样可以防止内部网络发起的对外攻击。
第三、定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
五、部署入侵防御系统
为了弥补防火墙的不足,可使用入侵防御系统:如ips。他能够及时识别攻击程序、有害代码及其克隆和变种,尽量将病毒挡在校园网之外。另外,对于已经传入校园网内的病毒,必须防止其扩散,可以利用核心交换机的访问控制列表,屏蔽掉某些可能被病毒利用的端口。这样就可以控制病毒,使其只能在某一子网内传播,而不至于在校园网内大范围扩散。
另外还可以在交换机上建立内网计算机的ip地址和mac地址的对应表,实现专人专用,防止ip地址被盗用。
六、服务器的安全
校园网的服务器为用户提供各种应用,但是应用提供得越多,系统就存在越多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭.只向用户提供他们所需的基本服务。例如:我们在校园网服务器中对用户只提供web服务功能,而没有必要向用户提供ftp功能。这样。在对服务器配置时,只开放web服务,而将ftp服务禁止。如果要开放ftp功能,则要规定端口、账号及密码,向指定的用户开放。因为用户通过ftp可以上传资源,如果给了用户可执行权限,那么,通过运行上传的某些程序,就可能使服务器受到攻击。所以,控制好服务器的用户群体也是保障网络安全的一个重要因素。
七、部署防病毒
校园网内部署防病毒系统,并且定时升级病毒库。部署防病系统是为了防止因某个客户端的病毒或木马程序在校园网中流窜,从而干扰网络主干、传染其他的客户端。部署防病毒能够在源头上保障校园网络的安全。在选择防病毒软件时应选用口碑比较好的名牌产品。
八、定时更新
任何一个操作系统、防病毒软件、防火墙系统、入侵检测系统、路由交换设备等网络节点、系统或多或少都存在着各种漏洞。系统漏洞的存在就成为网络安全的首要问题。发现并及时修补漏洞是每个网络管理人员的主要任务。当然,从系统中找到漏洞不是我们一般网络管理人员所能做的.但是及早地发现有报告的漏洞,并进行补丁升级却是我们应该做的。经常登录各有关网络安全网站,密切关注我们所有使用的软件和服务程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。网络管理员应该养成勤打补丁的习惯。
九、规范管理
以上提及的安全管理办法只是对网络设备和硬件所说,为校园网络提供技术手段和措施,但是还需要制定一系列的信息网络规章制度来规范网络管理员的操作流程,提高网络管理员的安全意识和责任。包括制定网络安全管理范围规章制度、制订有关校园网网络操作使用规程、制定人员出入校园网主控机房的管理制度、制定校园网网络系统的维护制度和应急措施、确定校园网信息安全管理的一般责任和具体责任,以及规定出现安全事故以及违反安全策略的后果等。
网络管理的规范程度直接反映一个网络的应用保障系数,通过以上几个方面的管理,并结合定期的内部网络的扫描巡检,科学的管理分工制度,要把一个网络管好、用好不难。
相信随着校园网络管理和校园网络安全不断优化发展。必然会给校园信息化、数字化应用提供畅通环境,校园网络的效益将会越来越大。也必将会进一步提高学校的教学质量和管理效率,使学校成为一所具有先进的信息化网络环境和数字化应用的现代化学校。
参考文献:
[1]黄开枝,孙岩.网络防御与安全对策[m].北京:清华大学出版社
[2]谢希仁.计算机网络(第2版)[m].北京:清华大学出版社
关键词:wifi;信息安全;无线渗透;kali-linux
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)22-0015-02
Abstract: Nowaday, the internet is growing fast and wifi has change our life. When it comes to information security. The question is how to take measures to protect our security of privacy and property effectively. This article try to answer this question. It contain wireless penetration,wpa2-psk.And how to use kali-linux and offer some safety tips.
Key words: wifi; information security; wireless penetration; kali-linux
1 互联网现状
1.1 背景
在国家的大力支持创新型技术的背景下,互联网逐渐出现在我们的视野下。人们最早的接触信息的方式还是通过报纸,电视,看着一帧一帧的画面在电视里闪动已经是不可思议了,然而网络的出现将这种浪潮瞬间激起。
许多新奇的东西喷涌而现,诸如QQ,网游,百度等等产品充斥着青少年的生活。究其缘由无非就是它带给我们不一样的感受,源于对技术的痴迷,使得网络发展更加迅速。现如今Virtual Reality已经成为了现实,设想还有什么不可能的,只是时间问题。
1.2 信息安全
随之来临的就是互联网安全问题。就拿网页传输密码来说,在post方式下,密码是明文的,这无疑暴露了很大的风险。当然这只是以前的情况,现在都会以加密的形式传输,在服务器端进行解密。厂商们可以使用的加密手段有很多种,其中不乏一些安全性高的技术手段。但是相对于用户而言是透明的,即用户无需关心其实现,注重的是体验。
2 Wifi安全
2.1 简述
WIFI现在已经被许多人熟知,其中很重要的一个因素就是其能减轻人们的流量负担。所以一些FreeWifi受到了大部分人的青睐,这是否意味着一些加密的wifi就可以放心地使用呢?答案是否定的,毕竟没有最锋利的矛,也没有最锋利的盾。在人们的安全意识提高以及厂商的重视后,基本上是不用考虑它的安全性的。但是如果被别有用心的人盯上了,也只是相当于穿了一件透明的衣服,在外面看来已暴露无遗。
现如今Wifi普遍的加密方式都是wp2-psk,可以说是安全级别较高的一种方式了。但是接下来笔者将展示如何在不知不觉中将你的信息取走。
3 无线渗透
3.1 基本环境
注:本节只是向读者展示如何渗透及获取用户的信息,不代表笔者推崇此种方式。
我们所需要准备的:虚拟机(Vbox),kali-linux 4.6.0,usb网卡。经如下所示命令即可得到想要的安全信息。由于kali本身集成了许多开发者用于渗透测试和研究的工具,免去了不必要的麻烦,也便于笔者进行展示。
① 输入airmon-ng 查看我们当前的网卡,此时是笔者当前的usb无线网卡的具体信息。
② 继续输入cd fluxion-master
./fluxion 此是为了进入到此次所使用的一个工具,该工具具有强大的功能,也由于其是开源的项目而被笔者所熟悉,它集成了常用的渗透工具,如airmon, Pyrit等。均能在linux环境下能发挥最大化的作用。如图1。接下来就开始检索之前插入在虚拟机上的网卡了,此步骤需要耗费一些时间去扫描当前设备上的终端无线网络设备,需要等待一会。
③ 下一步需要按照步骤一路选择下去,分别是选择crack功能,需要操作的网卡,对应的信道.这里就不作赘述。当中所做的主要有选择一个网卡以及所对应的信道,标准的路由设备IEEE802.11g都支持11个信道,为了减少干扰和冲突,建议选择auto也就是默认所有信道,由路由设备自动探测分配从而比较全面。如图2就可以看到已经开始扫描我们周围所处的网络wifi信号了。注:其中某些重要信息已经被笔者隐藏掉了,如BSSID,ESSID,MAC等设备信息,此处仅为教学用途。
论文摘要:从当前校园网建设中存在的诸多问题出发,对威胁校园网安全的因素进行了分析;针对服务器系统安全、校园网络层安全、校园网应用层安全等,提出了构建校园网络安全体系方案。
1威胁校园网安全的因素
随着计算机网络及其应用的发展,校园网建设在全国各高等院校越来越普及,网上教学、网上办公、网上信息等校园网络信息服务越来越广,但校园网的安全问题也逐渐显现出来。构架安全的校园网络环境,保证关键数据的安全性及各类信息的准确性,使校园网安全、稳定、高效地运转,已成为各高等院校越来越重视的问题。
校园网及其信息系统所面临的安全威胁既可能来自校园外部网络的“黑客”人侵,又可能来自校园内部,校园网经常成为一些居心巨测的人的实验目标。校园网存在的安全间题主要有以下几种情况:“黑客”人侵、数据泄露.IP盗用、病毒攻击、非法站点的访问、垃圾邮件等。所有的人侵攻击都是从用户终端上发起的,他们往往利用校园网系统的漏洞并肆意进行破坏。针对校园网的各种安全隐患,深人分析产生这些安全问题的根源以及随时出现的网络安全需求,通过采取相应的网络安全策略,将安全技术、统一身份认证技术与严格的网络管理结合起来,从而构架一个安全、通用、高效的校园网络系统。
2校园网安全方案设计
2. 1服务器系统安全方案
(1)禁用某些不必要的服务。W indows提供了许许多多的服务,其中有很多我们根本用不上。如windows 2000的Terminal Services(终端服务)、"Telnet服务、NetBI0S服务、IIS服务和RAS服务,都可能给校园网带来安全漏洞。为了能够在远程方便地管理服务器,很多机器的终端服务都是开着的.如果你的也开了,要确认你已经正确地配置了终端服务。有些恶意的程序也能以某种服务的方式悄悄地运行,要留意服务器上面开启的所有服务,每天检查它们。可以根据校园网的实际情况禁止某些服务,Windows 9x的用户,可以启用新版的优化大师禁用服务。禁用不必要的服务可以减少安全隐患.还可以增加Windows的运行速度。
关键词:网络环境 企业信息 安全管理
引言
随着社会的发展,企业对信息资源的依赖程度来越大,由此带来的信息安全问题也日益突出。生产中的业务数据、管理中的重要信息,如果企业自身的信息安全管理有重大疏漏,也无法保证数据的安全可靠。当前,企业在黑客病毒日益猖撅的网络环境下不仅要保护自身信息的安全,还要保护业务数据的信息安全,因此有必要从体系管理的高度构建企业信息安全。
一、企业信息安全的二维性
当前,企业信息安全已涉及到与信息相关的各方面。企业信息安全不仅要考虑信息本身,还需要考虑信息依附的信息载体(包括物理平台、系统平台、通信平台、网络平台和应用平台,例如PC机、服务器等)的安全以及信息运转所处环境(包括硬环境和软环境,例如员工素质、室内温度等)的安全。资产如果不对影响信息安全的各个角度进行全面的综合分析,则难以实现企业信息安全。因此,需要从企业信息安全的总体大局出发,树立企业信息安全的多维性,综合考虑企业信息安全的各个环节,扬长避短,采取多种措施共同维护企业信息安全。
1、技术维:技术发展是推动信息社会化的主要动力,企业通常需要借助于一项或多项技术才能充分利用信息,使信息收益最大化。然而,信息技术的使用具有双面性,人们既可以利用技术手段如电子邮件等迅速把信息发送出去,恶意者也可由此截获信息内容。为确保企业信息安全,必须合理的使用信息技术,因此,技术安全是实现企业信息安全的核心。
1)恶意代码和未授权移动代码的防范和检测。网络世界上存在着成千上万的恶意代码(如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹等)和未授权的移动代码(如Javaseript脚本、Java小程序等)。这些代码会给计算机等信息基础设施及信息本身造成损害,需要加以防范和检测。
2)信息备份。内在的软硬件产品目前还不能确保完全可靠,还存在着各种各样的问题。外在的恶意代码和未授权移动代码的攻击,也会造成应用信息系统的瘫痪。为确保信息的不丢失,有必要采取技术备份手段,定期备份。
3)访问权限。不同的信息及其应用信息系统应有不同的访问权限,低级别角色不应能访问高级别的信息及应用信息系统。为此,可通过技术手段设定信息的访问权限,限制用户的访问范围。
4)网络访问。当今,一个离开网络的企业难以成功运转,员工通常需要从网络中获取各种信息。然而,网络的畅通也给恶意者提供了访问企业内部信息的渠道。为此,有必要采用网络防火墙技术,控制内部和外部网络的访问。
2、管理维:企业信息安全不但需要依靠技术安全,而且与管理安全也息息相关。没有管理安全,技术安全是难以在企业中真正贯彻落实的。管理安全在企业中的实施是企业信息得以安全的关键。企业应建立健全相应的信息安全管理办法,加强内部和外部的安全管理、安全审计和信息跟踪体系,提高整体信息安全意识,把管理安全落到实处。
l)信息安全方针和信息安全政策的制定。信息安全方针和信息安全政策体现了管理者的信息安全意图,管理者应适时对信息安全方针评审,以确保信息安全方针政策的适宜性、充分性和有效性。
2)构建信息安全组织架构。为在企业内贯彻既定的信息安全方针和政策,确保整个企业信息安全控制措施的实施和协调,以及外部人员访问企业信息和信息处理设施的安全,需要构建有效的信息安全组织架构。
二、企业信息安全构建原则
企业信息安全构建原则为确保企业信息的可用性、完整性和机密性,企业在日常运作时须遵守以下原则。
l)权限最小化。受保护的企业信息只能在限定范围内共享。员工仅被授予为顺利履行工作职责而能访问敏感信息的适当权限。对企业敏感信息的获知人员应加以限制,仅对有工作需要的人员采取限制性开放。最小化原则又可细分为知所必须和用所必须的原则,即给予员工的读权限只限于员工为顺利完成工作必须获的信息内容,给予员工的写权限只限于员工所能够表述的内容。
2)分权制衡。对涉及到企业信息安全各维度的使用权限适当地划分,使每个授权主体只能拥有其中的部分权限,共同保证信息系统的安全。如果授权主体分配的权限过大,则难以对其进行监督和制约,会存在较大的信息安全风险。因此,在授权时要采取三权分立的原则,使各授权主体间相互制约、相互监督,通过分权制衡确保企业信息安全。例如网络管理员、系统管理员和日志审核员就不应被授予同一员工。
三、企业信息安全管理体系的构建
信息安全管理体系模型企业信息安全管理体系的构建要统筹考虑多方面因素,勿留短板。安全技术是构建信息安全的基础,员工的安全意识和企业资源的充分提供是有效保证安全体系正常运作的关键,安全管理则是安全技术和安全意识恒久长效的保障,三者缺一不可。因此,在构建企业信息安全管理体系时,要全面考虑各个维度的安全,做好各方面的平衡,各部门互相配合,共同打造企业信息安全管理平台。科学的安全管理体系应该包括以下主要环节:制定反映企业特色的安全方针、构建强健有力的信息安全组织机构、依法行事、选择稳定可靠的安全技术和安全产品、设计完善的安全评估标准、树立.员工的安全意识和营造良好的信息安全文化氛围等。因此,为了使企业构建的信息安全管理体系能适应不断变化的风险,必须要以构建、执行、评估、改进、再构建的方式持续地进行,构成一个P(计划)、D(执行)、C(检查)、A(改进)反馈循环链以使构建的企业信息安全管理体系不断地根据新的风险做出合理调整。
四、结论
信息安全管理体系的构建对企业高效运行具有重要意义。只有全面分析影响企业信息安全的各种来源后才能构建良好的企业信息安全管理体系。从大量的企业案例来看,技术、管理和资源是影响企业信息安全的3个角度。为此,应从技术、管理和资源出发考虑信息安全管理体系的构建原则和企业信息安全管理体系应满足的基本要求。同时,也应注意到,信息安全管理体系的构建不是一劳永逸而是不断改进的,企业的信息安全管理体系应遵从PDCA的过程方法论持续改进,才能确保企业信息的安全长效。
参考文献:
当前,许多学校、教师、家长都缺少系统的安全教育知识,无法对学生进行系统的安全教育。学校要整合学生日常学习和生活中常见的安全问题的相关信息资料,为教师、家长、学生提供系统的、优质的安全教育资源。
(1)开发设计系统的安全教育课程,在学科教学中渗透安全知识技能内容。如结合信息技术课程特点,在指导学生制作网站时,渗透安全知识技能学习,让学生收集游泳安全、应急逃生等安全知识素材;结合物理的电学课程,渗透用电安全、触电急救常识、如何正确使用电器设备、发现漏电情形的正确处理、电器火灾如何扑救等安全知识技能;结合化学课堂,渗透易燃易爆品的使用、保管,有毒化学品危害的处置,化学品火灾的扑救等安全知识技能。
(2)人人参与,构建学校安全教育体系。全体教职工积极主动参与学校安全教育,做到安全教育人人讲,时时讲,有内容可讲,从而形成系统的学校安全教育体系,既能减轻学校的压力,又能使学生学到有用的安全知识技能。在此基础上把各学科、各部门安全知识技能学习的课程进行整合、优化,形成一整套安全教育资源,成本低,效率高,效果好,能极大推进学校的安全教育工作。
二、开发网络知识竞赛平台,检测安全知识掌握情况
教师、家长和学生是否切实掌握安全知识,可通过知识竞赛的方法进行检测。安全教育网络化的背景下,可利用网络知识竞赛管理平台软件,以音频、视频、模拟练习、竞赛题、多媒体等形式,让教师、家长、学生依托互联网参与竞赛。教师、家长、学生凭个人账号和密码可以登录平台自我检测,学校、年级、班级可以以单位形式组织学生利用课余时间和节假日时间在家中上网参加竞赛,系统自动评卷并即时公布成绩。通过网络平台开展知识竞赛,有利于学校、教师、家长了解学生安全知识技能的掌握情况,促进安全知识进学校、进课堂、进家庭,也方便学生检测自身安全知识技能的掌握情况,及时弥补不足,提高自我保护意识和安全防范能力。
三、加强家校联系,实施安全教育
关键词:计算机网络安全;安全泄漏率
中图分类号:TN702文献标识码:A 文章编号:1009-3044(2008)31-0850-02
Under the Multi-Path Transmission of Computer Network Security
DU Xiao-lei
(Tianjin University of Technology Computer and Automation Institute, Tianjin 300160, China)
Abstract: The computer communication network security has been of great concern at home and abroad. Multi-path transmission is a new kind of information transmission methods. Based on the security methods have been proposed on the basis of a new multi-path transmission and distribution Biaoxiang combination of security information transmission method, thus greatly enhancing the transmission of network information security. In this paper, multi-path transmission to improve network security, is a complete theoretical analysis and strict proof, to a complete realization of the multi-path routing method, which came to the conclusion the actual computer network to transmit information security Is of important significance.
Key words: computer network security;security leak rate
1 引言
随着互联网络的发展,计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在迅速普及,整个社会对网络的依赖程度越来越大,越来越多的重要的和机密的信息通过计算机网络来传输,因此,计算机网络的安全,己经成了社会乃至人民的安全所在。如何安全有效的通过计算机网络传送信息,己成为研究的一个重要课题。本文针对于多路径传输用于提高计算机网络的安全性给出了一个较为全面的解决方案,并且证明了信息通过多路径传输比单路径传输在安全性上有更好的优势和灵活性。
2 计算机网络安全概述
2.1 网络安全的脆弱性
计算机网络尤其是互连网络,由于网绍分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性,而使计算机网络存在很多严重的脆弱点,例如:不设防的网络有上干个漏洞和后门、电磁辐射、串音干扰、硬软件故障等。它们是网络安全的隐患,问题严重,原因复杂。为攻击型的威胁提供了可乘之机。
2.2 网络安全的威胁
目前,网络安全所潜在的威胁可谓形形:有人为和非人为的、恶意的和非恶意的、内部攻击和外部攻击等。对网络安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等力一面。
安全威胁的途径主要有一下几种:系统存在的漏洞;系统安全体系的缺陷;使用人员的安全意识薄弱,制度不严等。
2.3 网络安全的技术对策
网络安全是对付外来威胁、克服本身脆弱性、保护整个网络资源的所有防范措施的总和,涉及政策、法律、管理、教育和技术等方面的内容。它是一项系统工程,同时针对来自不同方面的安全威胁,需要采取不同的安全对策。从政策、法律、制度、管理、教育和技术上采取综合措施,以便相互补充,达到较好的安全效果。技术措施是最直接的屏障,目前常用而有效的网络安全技术对策有加密、数字签名、防火墙、访问限制等。
3 多路径传输对计算机网络安全性的影响
3.1 多路径传输时信息全部泄漏的概率
如果在一对节点中有N条路径,数据在一对节点间的n条路径间传输时每一条路径分担的数据量比为ri,而且每一条路径中有mi个路由器,每个路由器受到攻击的概率为pi,那么当数据在这n条路径上传输时全部泄漏的概率为:
P[n│l=1]=■[1-(1-pi)mi](1)
当数据全部丢失,在上述设定的条件下,就意味着所有传输的路径都受到了攻击,那么数据全部泄漏的概率就是在传输的n条路径上都受到攻击的概率,也等于每一条路径受到攻击概率的乘积,所以公式1成立。
对于多路径传输来说,每条路径所受到攻击的概率大于零小于1,也就是0
1) 当从源节点到目的节点通过多路径传输数据时,在每条路径上的流量分担系数和受到攻击的概率一定的情况下,选择传输的路径数n越大,数据全部泄漏的概率就越小;
2) 在多路径传输数据时数据全部泄漏的概率一定比单路径传输时数据全部泄漏的概率小。
3.2 多路径传输时部分信息泄漏的概率
如果在一对节点中有N条路径,数据通过节点间的n条路径间传输时每一条路径分担的数据量比为ri,每一条路径中有mi个路由器,每个路由器受到攻击的概率为Pi,那么当数据在其中n条路径上传输时数据泄漏率大于零,也就是发生数据丢失的概率P{n―i>0}为:
P[n│l>0]=1-P[n│l=0]=1-■(1-pi)mi(2)
在单路径传输的情况下,信息泄漏率或者是1,或者是0,即:
P{i―l
P{i―l>0}=P{i―l=1}
3.3 多路径传输时信息泄漏率小于安全信息泄漏率的概率
设t为安全信息泄漏率(相应于安全包泄漏数量T),即如果信息在通过多路径的传输过程中总的信息泄漏率小于t(或包泄漏数量小于T),则认为此传输过程是安全的。
当这个原理应用于计算机网络中数据的传输时,包含有两个意思:第一,当攻击者(末授权获取信息者)通过各种攻击手段获得的信息量小于安全信息泄漏率时,他无法从得到的信息中获取关键信息,因而对于这个通信系统来说是安全的;第二,信息通过多路径到达接收端时,只要接收到的信息大于或等于T时,就可以恢复出完整的关键信息。
4 多路径传输下的安全分布表
如果信息完全通过一条单路径来传输到目的节点的话,攻击者就有可能通过攻击这条传输路径上的任何一个节点来获取到完整的信息。因此,当应用多路径传输的技术时,就可以极大的降低信息完全丢失的可能性。在此基础上再应用安全分布表的技术,将进一步增强计算机网络通信的安全性。(T,K)安全分布表能够将信息分为K个子信息通过多路径传输,如果接收节点能够正确的收到T或T以上个子信息的时候就能够正确的重新构建原信息。
4.1 (T,K)极限安全分布表
对于一个安全分配表来说,如果任一个不合格部分的子集都不提供关于主要信息W的内容,则这个安全分配表是完备的。这就意味着先验概率P(W=W0)等于条件概率P(W=W0 | 给定一个不合格集合的任何或是较少的关键信息)。通过平均信息函数H,能够表述对于一个完备的(T,K)安全分配表的要求:
H(K―Si1,…,Si7)=0
H(K―Si1,…,Si7-1)=H
其中:{i1 ,…,i7}是来源于{1,…,K}的集合。
假定主要信息W是在GF(q)上随机选取的,因此有H(W)=Sq。
设f(x)= ar-1xr-1+…+aix+W是整个有限域GF(q)上的T-1阶多项式。则K个部分的信息Si可以由f(x)计算,Si=f(i), i=1,…,K,很明显给定任意T个安全部分Si1,…,SiT,{i1,…,iT}?奂{1,…,K},根据拉格朗日插值多项式f(x)1,能够被重新构建如下:
f(x)=■Sik・■ ■(3)
因此,关键信息可能通过f(0)获得。另一方面,给定任何m-1个安全部分Si1,…,Sit-1,{i1,…,iT}?奂{l,…,K),f(0)能够被写为
f(0)=a+SiT・b
其中:
a=■Sik・■ ■andb=■ ■ (4)
因为Sim是在整个有限域上的均匀分布的,则有:
H(K | Si1,…,Si7-1)=H(f(0)/Si1,…,Si7-1)=H(a+SiT・b)=H(SiT)=S q=H(K)
因此,(T,K) 安全分配表是完备的。
4.2 根据(T,K)安全分布表重建信息
为了在多路径传输上应用(T,K)安全分布表,需要在多路径传输中添加两个算法,应用在源节点的算法我们称为剖分算法,它的作用是将原信息分为K个子信息;应用在目的节点的算法称为合成算法,它用来是从子信息数据包中提取信息,并通过计算来重构原信息,它可以由任意T个或大于T个的正确信息包重构原信息,但当在合处理器端接收到的正确信息包少于T时,将无法重构原信息。也就是说,在多路径传输中采用(T,K)安全分布表,只要丢失的信息包小于T个时,信息完全不会泄漏。
5 结束语
本文根据目前的网络安全形势,提出了采用将多路由路径与安全分配表相结合的算法进行信息的传输,以提高信息传输的安全性。本文提出了在信息传输中可以采用多路径传输来作为当前这些安全技术的一种补充手段,并且从理论上证明了通过多路径信息传输可以大幅度地提高网络信息的安全性。在采用多路径传输时提出了一个安全信息泄漏率t来作为衡量信息在计算机网络传输时的一个标准,并且通过理论分析和计算得出了当允许存在一定信息泄漏率的情况下采用多路径传输可以全面增强计算机网络信息传输的安全性。
参考文献:
[1] 许福永,林晓辉.计算机网络中路由选择的优化研究[J].甘肃工业大学学报.2008, 29(1):86-89.
[2] 许福永,梅中磊.基于现代超启发式搜索方法的计算机通信网络中路由选择优化的研究[J].兰州大学学报(自然科学版).2007,37(2):63-70.
关键词:入侵检测;安全防护;主动保护
1 引言
随着信息化的高速发展和网络在人们生活、工作中的应用、普及,人们的安全意识也太太提高,对网络安全产品的需要也日益紧迫和严格。用户对于安全管理系统的要求已不满足于仅仅在出错时弹出一个对话框,而是希望系统在监控过往信息的同时能够对数据进行分析、消化。并以一种更加入性化的方式将网络上存在的安全风险准确地告知用户。
入侵检测系统(Intrus Jon Detection system,IDS)是近十几年来发展起来的一种主动安全防范技术。所谓入侵检测就是监视分析用户和系统的行为,审计系统配置和漏洞,评估敏感系统和数据的完整性,识别攻击行为,对异常行为进行统计,自动地收集和系统相美的补丁,进行审计跟踪识别违反安全法规的行为,使用专用服务器记录黑客行为等功能的总称。
IDS为计算机系统的完整性。可用性及可信性提供积极主动的保护,并在计算机系统受到危害之前进行拦截防卫。IDS对网络的控制手段有:黑名单断开、灰名单报警、阻塞HTTP请求、通知防火墙阻断和通过SN-MPTrap报警等。
2 技术的分析
入侵检测技术是通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应。从方式上可分为三种:异常、误用和模式的发现技术。
(1)异常
异常发现技术的前提是假定所有入侵行为都是与正常行为不同的。首先通过训练过程建立起系统正常行为的轨迹,然后在实际运用中把所有与正常轨迹不同的系统状态视为可疑。例如。通过流量统计分析将异常时问的异常网络流量视为可疑。
但异常发现技术的缺点是并非所有的入侵都表现为异常。
(2)误用
误用发现技术的入侵检测是指通过预先精确定义的入侵模式,对观察到的用户行为和资源使用情况进行检测。如入侵签名说明了导致误用事件弱点的特征、条件、序列和关系,还包含系统状态。
(3)模式
假定所有入侵行为和手段都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配发现。模式发现的关键是如何表达入侵的模式,定义发现入侵的规则库,把真正的入侵与正常行为区分开来。
3 设计的实现
基于不同的结构和侦听的策略,IDS可分为两类:主机型(Host-based IDS)和网络型(Network-based IDS)。
3.1主机型IDS
主机型IDS为早期的结构,是基于系统日志,应用程序日志或者通过操作系统的底层支持来进行分析,实时监视可疑的连接、系统日志检查以及特定应用的执行过程。主要用于保护自身所在的关键服务器。
在主机型IDS中,每一台被监控的服务器上都安装入侵检测。入侵检测的任务就是通过收集被监控服务器中的系统、网络及用户活动的状态和行为等数据,达到跟踪并记录这台服务器上的非授权访问企图或其他恶意行为之目的,如图01所示。
主机型入侵检测软件可以提供比网络型工具更好的应用层安全性,因为主机型软件可以检测到失败的访问企图,它可以监视用户访问文件或目录的次数。将软件加载到众多服务器和桌面上是一项费用高且耗时的工作。另外,一旦发现软件有新的问题l必须随之进行升级。
主机型IDS驻留在被检测的主机中,网络传输加密对入侵检测的工作不会产生影响。因为入侵检测是通过操作系统来读取相关信息,而操作系统已经在收到到来的数据时将其解密了。另外,主机型IDS还具有接近于实时的检测和应答响应时间。
(1)特点:
假如入侵者突破网络中的安全防线,已经进入主机操作,那么Host-Based IDS对于监测重要的服务器安全状态具有十分重要的价值。
(2)弱点:
①信息审计如易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来骗过审计;
②审计与网络不能通过分析主机审计记录来检测网络攻击(域名欺骗、端口扫描等);
③攻击类型受限Host-Based IDS只能对服务器的特定的用户、应用程序执行动作、日志进行检测,所能检测到的攻击类型受到限制,但提供预警报告。
3.2网络型IDS
网络型IDS则主要用于实时监控网络上的数据包,其输入数据来源于网络的信息流,能够检测该网段上发生的全部网络入侵。因此,网络型IDS可以保护整个网段内的所有主机。
网络型IDS利用网络侦听技术收集在网络上传输的分组数据包,并对这些数据包的内容、源地址。目的地址等进行分析,从中发现入侵行为,如图02所示。
(1)特点:
①服务器平立网络型IDS监视通信流量而不影响服务器平台的变化与更新;
②一个接口便可访问配置简单的网络型IDS的环境只需要一个普通的网络访问接口;
③防攻击类型多样众多的攻击标识可以监视多种多样的攻击,包括协议和特定环境的政击。
(2)弱点:
①无访问控制措施不像防火墙那样采取访问控制措施,但防火墙并不是入侵检测设备;
②攻击阻止差网络型IDS不能去阻止攻击,而采用预警方式。
现在一些产品扩展了IDS的功能,提供具有中断入侵会话的过程和非法修改访问控制列表对抗攻击。
购物车(0)
