当前位置: 首页 精选范文 网络安全入门范文

网络安全入门精选(十四篇)

发布时间:2023-09-20 17:50:13

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇网络安全入门,期待它们能激发您的灵感。

网络安全入门

篇1

关注基本的安全措施

小企业必须应对与大企业同样面临的互联网安全威胁,倦通常没有大企业那样充足的预算和人手。近年来,威胁出现了多样化,而且变得更加隐蔽:几年前你担心的是黑客或病毒会导致计算机崩溃,而如今你在蒙受重大经济损失之后才认识到自己的网络遭到了攻击。比方说,你的数据有可能丢失或者被劫持;你、你的同事或客户可能沦为身份盗窃的受害者(即所谓的“肉鸡”);你的计算机可能被用于分发垃圾邮件或恶意软件。

当然,一旦贵公司发展到一定规模,比如拥有一两百名或更多的员工,最好还是把安全工作交给专业人士,通常是独立承包商或经销商。但如果你为一个工作组或小企业处理安全工作,而且预算紧张,那么还是应该制定及实施自己的安全政策。这或许不用花一分钱,只要你付出了必要的努力,安全政策可能会很有效。谁也不喜欢每个月都更改密码、定期执行备份、查找软件更新程序,但做好这些事有助于尽量减少安全风险。

一些安全组织提供了让你开始上路的实用指南。比方说,互联网安全联盟让注册用户可以免费下载《小企业网络安全常识指南》;你还可以在系统管理、审计、网络和安全协会(SANS Institute)撰写的《网络安全与中小企业》中读到一些相关内容。

这些指南都有类似的核对一览表,附有指示说明。你很可能以前看到过,但重要内容还是值得重复。包括你不常听到、但有助于堵住安全漏洞的内容。

把你的网络与外界连接起来的路由器是一道主要的防线;路由器通常有自己的防火墙。目前的消费级路由器通常还有其他安全功能,所以你应该查看手册,看看路由器提供哪些功能。许多原本很精明的用户常常会忽视一个重要步骤,那就是更改默认的管理员登录设置,以便外人无法轻易改动所有其他设置。(路由器厂商往往会让自己的所有产品使用相同的默认设置。)

如果你使用Wi-Fi,现在就该咬咬牙,使用市面上最好的加密方法:WPA2。如果你使用的笔记本电脑不支持WPA2,就升级至支持该加密方法的笔记本电脑,或者只好完全禁用Wi-Fi。使用有线连接。智能手机也是同样:最近的最新手机(包括iPhone)都支持WPA2,你应当放弃在不支持WPA2的旧手机上使用Wi-Fi。

升级至企业级产品

那么,企业级产品可以为你提供消费级产品提供不了的哪些功能呢?不能一概而论,但功能通常可能包括:功能更强的防火墙(随带的高级软件可以进行实时检查,确保数据包的合法性)、额外的反病毒/反间谍软件,反垃圾邮件保护;还有对企业友好的功能,比如VPN支持(那样就能安全地远程访问网络,又不会将网络暴露在入侵者面前)、访客互联网访问(那样造访你办公室的客人不用访问你的内部网络,就能上网),以及支持多家宽带ISP(万一某家ISP出故障,其他的ISP就会顶上来;要是所有ISP都在正常工作,还可以实现负载均衡)等。

附带提一下VPN支持:这是企业级路由器的一项关键功能,因为许多人希望在家里或在路上时能够访问企业网络。(难道你不愿意让远程员工可以访问防火墙后面的企业数据、而是将文件副本保留在员工有可能丢失的笔记本电脑上吗?)别把企业级路由器上的VPN支持与许多消费级路由器上的VPN直通支持混为一谈,VPN直通支持旨在让家庭用户可以连接到企业VPN;而企业级路由器自己就能建立VPN。比方说,D-Link的DIR-130是一款八端口防火墙路由器。可以为最多25个用户建立VPN访问机制(但它不提供反病毒、反垃圾邮件或其他企业级功能)。

一体化方案

确实能满足所有企业安全要求的路由器被称为统一威胁管理(UTM)设备。这类设备通常除了收取基本硬件价格,还要收取附加授权费,那样才能更新反病毒/反间谍软件,反垃圾邮件软件;许多这类产品,都是根据支持的用户或连接数量来收费的(即使不用支付使用费,也应当查看一下该设备支持多少用户:超过这个数会导致网速大幅下降。)。

你心里可能会想:既然贵企业的个人电脑已经装有对付反病毒软件和反间谍软件,为什么还需要UTM?安全专家表示,网络层多一道保护确实大有好处,特别是当你客户端PC上和UTM设备上的反恶意软件程序来自不同厂商时,更是如此。你应当确定UTM设备厂商与哪些第三方软件开发商成为了合作伙伴;大多数设备厂商都会依赖老牌的反病毒、反垃圾邮件及反间谍软件产品,来确保这些服务的可靠。

安全选择广泛

UTM这类设备最近几年正得到迅猛的发展,供应商数量也与日俱增,既有家庭和小型企业网络公司(如D-Link和Netgear)、也有网络巨头(如思科),还有以企业级安全设备或软件而家喻户晓的公司(如Check Point和SonicWal])。这些公司大多数都拥有供成长型企业不断发展所需的一系列产品。

这些产品价格差别很大,取决于功能和支持的用户数量。两个例子是:Check Point公司面向小企业的Safe@Office UTM设备有好几款,包括支持5个用户(299美元)、最多支持25个用户(599美元),或者支持用户数量不限(999美元)。软件更新费是每年79美元。不过如果你主要关注的是一款好的防火墙,又不需要支持多家ISP之类的功能,那么Check Point旗下ZoneAlarm子公司提供的Z100G安全路由器就ok了,它支持802.11 b/g Wi-Fi及最多10个用户,价格为150美元。

篇2

2、《网络技术入门经典》,作者:布莱克。

3、《网络技术基础》,作者:周舸。

4、《计算机网络第5版》,作者:谢希仁。

5、《计算机网络基础》,作者:满昌勇。

6、《计算机网络技术》,作者:张乃平。

7、《网络管理员教程》,作者:严体华。

8、《计算机网络自顶向下方法》,作者:库罗斯。

9、《黑客入门新手特训》,作者:力行。

篇3

在全国网络安全和信息化领导小组第一次会议上强调:“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”,“没有网络安全就没有国家安全,没有信息化就没有现代化”。我国网络用户已经超过6亿,手机用户超过14亿,而我国的网络安全形式不容乐观,网络安全事件呈上升趋势,既懂网络管理又懂网络安全的综合人才紧缺,这给网络工程专业的网络安全课程的设置与人才培养提供了发展的契机。

1网络工程专业网络安全人才培养的优势

随着网络技术的发展,各种网络威胁也随影而至。特别是无线网络技术的发展,使得互联网的体系结构更加复杂,任何网络节点的薄弱环节都有可能会是网络攻击者的突破口。近几年,引起广泛关注的高级持续性威胁(AdvancedPersistentThreat)更是综合了各种可以利用的突破口对目标进行长期踩点,并在适当的时候对目标发动攻击。因此,网络安全管理人员需要具备操作系统、数据库、密码学的理论与技术、掌握网络路由与交换技术、网络管理技术,网络编程技术,以及常见的网络服务器的管理与配置,尤其是对Web服务器的深入理解。但无论是信息安全专业还是信息对抗专业的培养方案都在网络路由域交换技术、网络管理技术等相关课程的设置方面比较薄弱,无法满足网络安全管理人员对相关知识体系的要求。因此,网络工程专业依托其深厚的网络知识体系,更适合建立网络安全管理所需要的理论技术,更适合培养网络安全管理人才。

2网络工程专业的网络安全课程体系建设

根据当前社会对于网络和网络安全人才的需求,本校制定了相应的人才培养计划,历经10年的改革与发展,形成了当前网络工程专业下的三个特色方向:网络技术方向、网络安全方向、网络编程技术方向。无论是网络技术还是网络安全技术都离不开网络编程技术的支撑,缺少相应的编程能力网络技术与网络安全技术也注定会是瘸腿的技术,无法满足网络管理与网络安全管理的需求。因此这三个方向相互融合形成的高级网络与网络安全技术方向,形成了目前网络工程专业较为稳定的培养目标。次开课,经过十年的建设,目前已经成为本专业的骨干课程之一,建有密码学专业实验平台,形成了系统的教学与实践体系。课程设计64学时,其中48学时为理论授课,16学时为实验学时。通过该课程的学习使学生掌握常见密码算法的基本原理及其应用,能够利用相应的密码算法研发安全信息系统或者安全通信系统。“PKI体系及应用”与“网络安全协议”是以应用密码学为基础的延伸课程。培养学生利用现代密码学的技术研发密码产品的能力。“PKI体系及应用”以证书认证中心为轴心,详细介绍公开密钥基础设施的基本概念、基本原理、基本方法,以及公开密钥基础设施在现代密码产品中的应用研发技术。“网络安全协议”从密码应用系统业务逻辑层面的安全分析入手,介绍常见的网络安全协议、网络安全标准和典型的网络安全应用系统,在此基础上,介绍安全协议设计及其安全性分析的基本理论与技术,使学生掌握基本的网络安全协议设计方法,能够根据具体的应用背景设计对应的网络安全协议,研发安全应用系统。网络攻防类课程是在以“应用密码学”等信息安全类课程开设的基础上,根据网络工程专业的建设和国内网络安全形势的需要而开设的网络维护类课程。其中,“网络攻防技术入门”是在大一新生中开设的新生研讨课,共16学时,分8次上课,以学生讨论的方式组织教学,通过安排技术资料研读和课堂讨论,启发学生对网络攻防技术的学习兴趣,掌握基本的网络威胁防护方法。“网络信息对抗”综合讲授与网络安全相关的法律法规、网络渗透技术和网络防护技术。课程共64学时,理论授课32学时,实验32学时,每个理论学时跟着一个实验学时,以边学边练的方式组织教学。实验教学通过专用综合攻防平台进行验证性训练。“计算机取证技术”主要讲述计算机取证的基本方法、基本过程、数据恢复技术、证据提取技术、证据分析技术,以及常见的计算机取证工具的使用方法。“信息安全技术实训”是在四年级上学期开设的实训课程,共计192学时,8个学分。该课程分为两个部分,第一部分以实际的项目案例为驱动,训练学生对现代密码理论技术应用能力与程序设计能力,目标是设计并实现一个小型的网络安全软件系统。第二部分以实际的网络安全案例为驱动,训练学生对于目标系统的渗透能力与网络加固能力、以及对于整个渗透过程的取证分析能力。该实训课程与学生的实习相互结合,部分学生进入网络安全公司进行实习,提交综合实习报告来获得同校内综合实训相当的学分。通过三年的实践,效果良好。

3网络安全方向的人才培养分析

网络安全方向已经形成了较为完善的课程体系,学生学习兴趣高涨,在校内形成了良好的网络安全研究氛围。自发形成了保有数为20人左右的本科生兴趣研究小组,另外,通过每年一届的全校网络安全知识比赛,促进了全校网络安全知识的普及与人才培养,通过组织参加全省大学生网络信息安全知识比赛,选拔优秀本科生进入相关课题研究,而且都取得了较好的效果。为此,本文对近3年的毕业生就业情况进行了抽班级统计。每年的毕业生中都有近90%的学生从事与网络管理和网络安全相关的工作,继续考研深造的人数超过10%,其它无业或者情况不明者仅占4%。由此可见本专业基本达到了培养计划所规定的人才培养目标。

4结语

篇4

关键词:安全管理策略;防火墙;校园网安全问题

中图分类号:G637文献标识码:B文章编号:1672-1578(2013)09-0285-01

随着校园网络工程的应用普及,很多中小学校都建设了校园网并通过各种渠道接入了Internet。现代化的信息处理方式和知识获取手段促进了教育的发展,但随之而来的网络安全问题也日渐明显地摆在了校园网络管理员面前。

1.校园内部网络安全环境分析与病毒预防措施

我校地处城郊两界,其中物理环境制约了校园网络管理的诸多不便,由于学校教育经费在校园网络管理中投入较少、专业人员配备不足等关键问题,为拥有强效的网络防护体系与购置高效的病毒软件维护带来许多困惑,受以上条件的制约在网络环境下,导致入侵病毒无法及时控制、传播扩散快,经常会遇到类似不稳定情况。例如:在公共机房中,一台担当着为若干个科室提供资源共享功能的主机,日常使用时仅靠一款单机版软件进行病毒防护,它要将大量数据传送给其他终端机时,很容易受外界存储器内不可预知的病毒侵袭,同时感染网络病毒,最终影响终端访问主机无法启动,或是正在使用数据共享资源的主机,突然出现黑屏、死机,电脑访问缓慢等状态。因此可见,在实际应用中,我们仅靠单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。

2.结合学校实际,采取有效的校园网络安全的技术应用

2.1防火墙的配置。校园网络使用频繁,访问部门较多,介于此情况,利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。

2.2采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在日常的教学中,学生的一个误操作,最大可能的会受到不良信息的困扰,国家信息安全部门颁发的绿坝上网检测软件,在此入侵检测系统中担当了不可忽视的作用,它的主控端利用主机的IP地址进入到公安部门的信息采集中,如果其中一台机子受到外界侵扰,此主机的IP地址的信息第一时间会出现在教师机的主控端内,同时大量的不良信息会转送到公安部门的信息采集库中。利用绿坝净化版软件进行审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用此软件的过滤入侵检测技术,则会减少管理员在对学生机管理时的忧虑。

2.3漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠一个人的技术和经验寻找安全漏洞、做出评估,显然是不现实的。解决的方案是,在教育资源紧缺和要求安全程度不高的情况下,不妨管理员暂时可以利用360安全卫士,它也是一款能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具软件,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。

2.4IP地址的有效管理。目前学校的网络是由教育局光纤统一接入后,由一台主监控进行一级管理,各校通过给定的IP地址分配后,实现二级管理,这样一来,在同一网络监管下的网络使用用户增多,受到同网络内的不法攻击和外界侵袭的威胁也非常的大。所以解决的方法应该是,各校管理员应该及时的在本校路由器上捆绑IP和MAC地址,当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,这样分级管理下来,同时给发出这个IP广播包的工作站返回一个警告信息。

2.5加强师生的法制教育和德育教育。管理员经常在维护中会遇到同样的感慨地说:"学生的破坏能力是无穷无尽的,然而老师的随意操作也是让人头疼的",问题关键在于我们如何去正确引导他们。作为教师我们在教授网络知识的同时,应该加强学生的法制教育和德育教育,让学生了解我国在计算机应用方面的相应法规,做一个遵纪守法的好青年,让每一位教师深知网络并非是一个安全的岛屿,要想共建此岛屿就需要每一位老师的倾心倾力,加强教师正确使用优盘,不定时对自己的电脑进行安全体检与病毒预防,最关键的是培训教师不要去访问有病毒的网站和观看非法网站内容。

总之,任何先进的系统都是为人服务的,作为一名校园网络管理员,还应具备扎实的专业理论与技术应用素养,我们还要关注校园网络服务器的安全,从硬件与软件系统的双重保护入手,有相应的机房管理制度,防止人为的蓄意破坏和盗窃事件发生。对于服务器的管理尽可能不要设置文件共享,不要打开写文件的权限,即使开启共享,也应设置相应密码。管理员要定期查看系统日志记录,及时解决出现的问题,无法解决的问题及时向上级汇报;任何人不得动手删除运行记录数据库中的文档。因为人永远是决定性的因素,配合先进的技术手段,建立起一整套完善的现代化网络运行、使用、管理规范永远是保证其发挥出最大效益的重要保障。

参考文献

[1]《计算机网络安全基础》人民邮电出版社袁津生吴砚农编

[2]《网络安全从入门到精通》北京电子工业出版社马树奇

[3]《计算机网络安全与数据完整性技术》北京电子工业出版社徐超汉

篇5

关键词 计算机技术;网络安全;服务器;防御措施

中图分类号 TP39 文献标识码 A 文章编号 1674-6708(2013)89-0212-02

0引言

随着计算机技术的不断发展以及网络的不断普及,网络的重要性在人们日常生活和工作中的重要性则越来越突出,然而伴随网络的发展,网络安全问题却又困扰着网络的应用发展以及人们的工作和生活,不断出现的企业信息泄密事件就是最好的证明,也因此计算机网络安全正成为人们日益关注的焦点,计算机网络安全的威胁主要包括窃听、篡改与重发、假冒、抵赖及病毒、特洛伊木马等的威胁[1],入侵检测系统是(Intrusion Detection Sys-tem,IDS)当前众多安全技术手段中,能够有效组织非法访问行为的一种重要手段。但是,随着有关病毒技术的发展以及网络流量的快速增大,检测系统的检测能力也受到了挑战。当前,入侵网络服务器、威胁网络服务器安全主要就是通过各种病毒进行入侵,其中使用比较多的就是木马病毒。本文将主要探讨网络对计算机网路服务器造成的危害,并对相关的防御技术进行阐述,希望能为相关的研究提供部分参考价值。

1网络木马对计算机网络服务器安全危害

木马主要是指包含在一个合法程序中的非法程序,具体自我设置的能力,当前主要可以分为两类:网游木马和网银木马。当木马运行时,黑客便可以随时从他人的硬盘上查看、删除相关的文件。对计算机存在着很大的危害,主要表现在:它对别人的电脑具有较强的控制功能和破坏能力,通过监控别人的电脑,可以获取相关的密码,盗取别人的信息文件,威胁别人的财产安全,网游木马可以盗取游戏玩家的网游账号,转移其虚拟财产,网银木马则可以采用键盘记录的方式盗取网银账号和密码,使黑客能够轻易的进入我们的网上银行账号,这将直接使我们的经济受损。

2相关的防御措施探讨

从上面的分析中,我们可以知道,网络木马病毒入侵计算机系统带来的最大的损害就是使得个人的财产信息泄密,威胁个人的财产安全[2],因此,有必要采取相关的策略进行防御,笔者认为可以采取的策略主要有。

2.1 建立一个相对安全的服务器防护体系

服务器的安全,是保证整个网络系统正常运行的重要保证,也是网络管理人员的主要职责,但是不存在绝对的网络安全防护体系,因为计算机技术是不断发展的,网络威胁的因素也在随时的变化。笔者认为,要建立一个安全的防护体系,主要可以从以下几点做起:第一,要建立一个强有力的网络安全体系;即要将所有的服务器与周围的其它设备相结合进行头筹规划,一般而言,一个完整的安全体系除了需要技术的支撑以外,最重要的就是管理制度方面的支撑。安全管理方面最基本的措施就是要完善相关的规章制度,岳苏各种网络行为;安全技术方面就是要利用各种杀毒软件和硬件来对整个网络进行安全管理;第二,建立稳固的防护基础,计算机被入侵的一个重要原就是因为计算机的系统本身存在安全漏洞,因此必须要有一定的防护基础;第三,对电脑中的数据进行定期备份,并做好密码保护,因为一旦数据被损害或者是被窃取,将造成无可避免的损失;第四,做好远程访问的管理,计算机网络的一个优点就是可以实现远程访问,但是却为黑客的入侵打开了大门,因为只要知道远程访问的电话号码,就可以很快实现入侵。

2.2 配置合适的安全服务器

服务器是网站的基础、灵魂、尖兵。网站有了基础,才会有接下来的网站排名,流量,品牌形象等等。所以在一开始建设网站的时候,一定要在域名注册查询选择好适合自己网站的服务器,不管是虚拟主机还是VPS或者自己架立的服务器,差的服务器最后只有影响自己网站后期的发展。一般而言,服务器主要分为两类:非x86服务器和x86服务器,按应用的层次划分,则主要可以分为入门级服务器、工作组服务器、部门级服务器和企业级服务器四种,服务器的配置一定要根据自身使用和安全防护的需要进行配置。

2.3 建立安全管理规章制度

俗话说:“无规矩不成方圆。”完善的安全管理规章制度是保证计算机网络安全的重要保证之一,也是计算机管理人员实行计算机网络服务器安全管理的重要支撑。[3]安全管理规章制度的内容应该要包括以下几个方面:1)要针对主要的管理人员设置基本的规则,2)本人用户名、口令要自己保密,不得外泄与他人,没有经过别人的同意不得私自进入别人的账户系统;3)不得恶意攻击系统,获取系统的管理权限;4)完善与计算机服务器安全管理有关的制度,比如计算机上机控制管理制度、计算机机房的安全管理规章制度、上网信息登记审核制度等相关的制度,以确保安全管理制度得到有效执行。

2.4 尽量减少文件共享

文件使用共享的好处就在于可以实现资源共享,所以有很多的人都喜欢将自己的计算机设计为文件共享状态,安全隐患也随之产生,很多的黑客就是通过共享文件,进入文件中进行破坏行动,所以应该要尽量减少文件的共享,以保证自己计算机的安全。

3 结论

综上所述,我们可以知道,计算机信息技术的发展可以说是一把双刃剑,在改变人们生活工作方式的同时,也给人们带来了很多的信息安全隐患。木马是入侵网络服务器众多病毒中的一种,其所带来的危害是巨大的,直接威胁着广大网民的个人财产信息,建立安全的防御系统十分的必要,如何维护计算机服务器的安全将成为未来计算机行业研究的重要课题。

参考文献

[1]邹峰.基于计算机网络的入侵检测与防御研究[J].煤炭技术,2011,1:92-94.

篇6

系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。

1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。

2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。

从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。

因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。

三、内部网络安全

为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。

1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。

另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。

以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。

参考文献

篇7

教学环节的设计

1.完整的攻防过程模拟

每次教学都是先构建出一个网络环境,然后在此基础上进行具体网络攻防任务的演示和练习。这样做有两个好处,首先是构建网络会牵涉到前导课程例如网络基础和互联、操作系统、网页制作的知识,先配置出网络环境有利于复习那些知识和技能。另外这样做让学生从头至尾清晰地观察到任务的操作步骤,能尽快进入学校状态。实践证明,课堂上讲到某个情景任务时,如能讲授理论的同时,亲自进行完整的演示,教学效果是非常好的,当然这会考验教师自己的水平和应变能力,并存在一些不可控的风险,例如发生了意料之外的故障导致演示失败。因此,教师本人也需要不断提高自己的水平,即使水平已经足够,也需要更新知识与时俱进,并经常操作保持熟练度,才能在课堂上游刃有余地向学生讲授和演示。通常没有专门网络安全实训室情况下,可以综合VMwareWorkstation、GNS3等虚拟机和模拟器软件构建全仿真网络攻防环境。实际上,合理设计加熟练使用,完全可以仿真出足够复杂和逼真的网络环境,演示和练习效果也很好。

2.保持趣味性

不少学生对网络安全有认识误区,一种常见的想法是认为网络入侵技术都很神秘和高端,只有最聪明的黑客才有能力做到。对此可以在教学过程一开始就演示Sniffer嗅探密码、木马植入和远程控制等实验,可以起到先声夺人的效果,让学生被有趣的实验任务吸引,并认识到其实某些网络攻击技术并没有想象的那么难,自己完全可以学会。另外先学习入侵,可以切实感悟到网络安全的脆弱性,有利于后面认真学习安全防护技术。教学过程中还可以尽量联系现实世界和最新时事,例如讲到密码学知识,联系到现实世界上的情报战。讲到MD5等散列技术,提及CSDN网站用户泄露事件等,都是保持学生学习兴趣的好方法。

3.直面难点

另一个常见认识误区是,有些学生了解了一些网络攻防的基本原理,并在实验环境学会了一些工具的简单使用后,就认为网络安全其实也没什么稀奇,即使不懂原理的拿现成的工具也能完成任务,可一旦面临实际环境中稍微复杂一点情况,又束手无策了。因此,也需要给学生讲授一些类似驱动编写、反汇编、反编译等高级安全技术。虽然,现在很多学生已经不学汇编、编译原理、操作系统原理这些基础课程了,在有限的课时里无法将技术讲深讲透,但实践证明做一些最简单演示和练习让学生入门是可能的也是有益的。例如,简单使用动态调试工具OllyDBG和反汇编工具IDAPro去爆破一个简单的软件,用开源的MetaSploit漏洞测试平台在没有账号密码的情况下直接入侵一个有漏洞的系统等。

4.适当紧跟最新技术

网络安全领域很多基本原理和方法是多年来没有多大变化的,所以并不需要刻意追求采用最新的平台和版本进行教学。不过对一些过于古老的系统和技术,例如Windows2000、RedhatLinux9及更早的操作系统,IE6以前的安全漏洞之类就确实没必要再讲了。而对于像无线网络、智能手机之类较新领域的安全课题则可以根据条件适当提及。

篇8

如果提到360借条,你一定会想到与她有关的其他金融服务应用,例如还还,那么360借条与还还到底有什么区别呢?360借条市360集团公司旗下推出的产品,安全和隐私都是有极大保障的,但是还还相对来说就没有那么安全了,而且还还里面可以借贷的款目也比360借条里面可以借贷的要少很多,所以如果想要贷款,还是建议找大公司推出的产品。

招商银行广告2020年入门级卡面门槛低新手必备立即申请!

360借条与还还都是现在应用市场上用来借贷款的应用,但是他们很明显是有区别的。就从产品背景来看,360借条的背景就比还还要大得多,三六零借条背靠着三六零集团这棵大树,拥有着先进的网络技术和大数据技术,无论是网络安全方面还是客户隐私方面都是做的极好的,但是像还还这样的小产品,隐私和安全可能就不能那么有保障了。

(来源:文章屋网 )

篇9

信息人才教育培养途径

1.学历教育

加强学科专业建设是加强信息安全人才培养的一个重要途径。自2001年教育部批准信息安全专业以来,我国已有100多所高校设置了信息安全类相关本科专业。2015年,国务院学位委员会、教育部联合发文《关于增设网络空间安全一级学科的通知》,旨在全面提升网络空间安全学科建设水平,为网络空间安全学科的发展带来机遇。事实上,网络空间安全学科在我国经过10多年的发展,理论和技术已经较为成熟,主要体现在以下几个方面:一是网络空间安全学科具有明确的研究对象,并形成相对独立的理论体系和研究方法。研究对象是网络空间及其安全问题。二是网络空间安全已经形成了若干相互关联的二级学科研究方向,密码学及应用、系统安全、网络安全是本学科多年来公认的三个比较成熟的研究领域,另外,还包括网络空间安全基础理论和应用系统安全。三是网络空间安全的研究已得到国内外学术界的普遍认同,并已经积累了多年的研究或信息安全相关专业人才培养的经验和基础。高校的信息安全和网络空间安全专业学历教育毕业生是网络信息安全人才培养的重要渠道之一。

2.安全竞赛

信息网络安全具有很强的实践性,高校培养的信息安全人才和企业的实际需求还存在一定的差距,为了解企业对于信息安全人才的需求,高校师生参加网络安全技能竞赛,通过竞赛查不足、补短板,激发学生的学习热情,增强学习的针对性。高校可与网络安全相关度高、需求迫切的企业建立长期对口合作关系,根据企业实际需求培养学生实践能力。

3.单位内训

高校毕业生毕业进入企事业单位后,需要快速融入企业,掌握本岗位所需各种技能,很多单位针对信息安全从业人员组织单位内训。目前,很多单位采用在线授课和面授方式组织单位内部的信息安全培训。通过短期面授的方式组织信息安全培训,快速提升企业员工的岗位技能。企业内部的在线教育平台提供信息网络安全实践环境,这些在线教育的平台除了可以提供面向信息安全相关专业的相关课程实验之外,还紧跟国内外最新的安全技术发展与典型的安全热点事件,通过适当的简化与还原,为单位内训提供一系列与时俱进的创新型实践环境。

4.持续教育

信息安全持续教育是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。国内与信息安全行业相关的培训机构也逐年增多,通过培训机构的持续教育提高信息安全专业毕业生的总体水平。国内现有的信息安全认证培训已经建立了多层次、综合性与专业性相结合的体系,从数量到质量都得到长足发展,为国家信息安全的人才培养打下良好基础。通过开展面向信息安全认证从业人员的专业持续教育培训工作,提高了信息安全认证相关人员的执业水平,加快了我国信息安全专业技术人才队伍的培养,保障了信息安全认证人员队伍的质量和数量。

信息安全人才教育培养所需条件

信息安全人才教育培养需要体系化教材、专业化师资和系统化实践环境。

1.体系化教材

体系化优秀教材是网络空间安全专业人才的关键,但是,这却是一项十分艰巨的任务。原因有二:其一,网络空间安全的涉及面非常广,至少包括密码学、数学、计算机、操作系统、通信工程、信息工程、数据库等多门学科,因此,其知识体系庞杂、难以梳理;其二,网络空间安全的实践性很强,技术发展更新非常快,对环境和师资要求也很高。教材是教学的基础。优秀体系化教材建设需要制定科学合理的网络安全教材编写方案,邀请高水平学者加入教材编委会,明确分工、层层把关,做好教材的编纂、评审和发行工作。此外,还可以开发视频教学资源,推动传统书本教材向多媒体互动式教材转化提升,可加强入门性、普及性培训教材和相关科普读物的编写。

2.专业化师资

信息网络安全人才培养离不开专业化师资队伍。新设立的网络安全学院需要大量的学术水平高的教师,以提高我国网络空间安全教育的整体水平。针对一些高校网络安全方面教师缺乏的情况,可以采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。积极创造条件,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师到网信企业、科研机构和国家机关进行科研合作或挂职。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。

3.系统化实践

网络空间安全是一门综合性学科,不仅具有很强的理论性,同时也具有很强的实践性,许多安全技术与手段需要在最新的仿真实践环境中去认识和体会。提高学生维护网络安全的实际能力,需要结合课程设计逼真的网络攻防环境,搭建基于网络对抗的仿真模拟演练平台,进行系统化实践才能为社会提供具有丰富的理论知识和良好的实践技能的应用型人才。

篇10

Key words: network security;GNS3;ACL;experiment course

中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2015)25-0176-02

0 引言

随着我国高等教育改革,应用技能型人才成为大部分高校的人才培养目标。网络安全是网络工程相关专业的一门理论与实践并重的核心课程。对于大部分二本院校的学生,充足的高质量的实践教学可以帮助他们理解“枯燥抽象”的理论知识,提升学习兴趣,提高综合实践能力。

目前开展网络安全实践教学存在着一些困难和问题。第一,大部分的实验设备(如路由器,防火墙,服务器等)价格昂贵,维护成本高,很多院校只能负担少量的设备,不足以满足日常教学需要。第二,学生作为初学者,对于硬软件环境不熟悉,容易出现错误,无法再恢复实验环境,从而影响实验效果。第三,知识更新快,而实验室设备往往不能做到及时更新。综上的这些问题往往会导致实验课时不够,该做的实验没做,或只能进行简单的实验。

1 GNS3模拟器介绍

使用模拟器软件搭建仿真实验环境,可以降低投资成本,减少物理损耗,便于教师监控学生的实验进行情况,也让学生能在课下反复练习,提高实践能力。

GNS3是可以运行在多平台上的图形界面网络虚拟软件。可以通过它完成CCNA,CCNP,CCIE等Cisco认证考试的实验模拟操作。该软件包含了路由器、交换机、防火墙、主机等模块,用户可以根据需求运用不同设备搭建网络实验环境。虽然思科的另一个模拟软件PACKET TRACER更加简单易学,但它有很多命令并不支持,只能作为网络基础的入门学习。GNS3是在计算机中虚拟出网络设备并安装相应的操作系统,虽然占用较多资源,但支持大部分命令,能真实模拟网络设备的行为。下面的这个网络安全实验就是在GNS3环境下运行,但无法用PACKETTRACER软件(PT软件缺乏关键命令)。

2 实验举例―时间ACL仿真实验

GNS3可以仿真很多PT软件不能完成的网络安全实验,如访问控制表ACL配置,PIX/ASA防火墙实验,VPN实验等等。在本例中,使用GNS3搭建实验拓扑,进行时间ACL配置并验证。

2.1 时间ACL实验拓扑结构设计

首先按照实验所要求的网络拓扑图(如图1所示),在GNS3的工作区域中增加设备。本实验需要1台路由器,2台交换机和3台PC机。其中路由器为主要设备,可选2600或更高级的路由器,路由器需要有三个端口分别为E0,E1和S0。

2.2 时间ACL实验配置

在GNS3中搭建好实验环境,配置好相关设备IP地址后,可以在路由器上进行具体的时间访问表配置。

①创建时间段,命名为myhttp。

Router(config)#time-range myhttp

Router(config)#absolute start 1:00 1 December 2014 end 24:00 31

December 2014 periodic Saturday 7:00 to Sunday 22:00

②创建扩展访问表,将时间段附加在访问规则中,在该时间段内除了主机10.10.10.50,禁止任何机器ping主机10.20.20.100。

Router(config)#ip access-listextended101

Router(config-ext-nacl)#permiticmphost 10.10.10.50 host 10.20.20.100 time-range myhttp

Router(config-ext-nacl)#deny icmp any host 10.20.20.100

time-range myhttp

Router(config-ext-nacl)#permitipanyany

③将规则应用到指定端口。

Router(config)# interface ethernet1

Router(config-if)#ip access-group 101 out

时间访问列表还有很多模式和组合可以在这个实验中进行,在本例的基础上还能进行很多其他协议的实验。使用GNS3模拟软件可以方便学生在课下对本实验进行补充和扩展,加深对访问控制表的理解和掌握。

2.3 实验结果验证

首先使用show clock命令查看路由器的当前时间,再使用clock set命令将路由器时间改为试验中的myhttp时间段。然后在另2台PC上分别用ping命令测试到主机10.20.20.100的连通性。按照之前设置的ACL规则,主机10.10.10.50可以连通10.20.20.100,但另一台机器不能。

篇11

关键词:网络安全系统安全网络运行安全内部网络安全防火墙

随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。

作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。

网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。

一、系统安全

系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。

1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。

2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。

从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。

因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。

三、内部网络安全

为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。

1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。

另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。

以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。

参考文献

1.局域网组建与维护DIY.人民邮电出版社,2003.05

篇12

关键词:网络安全系统安全网络运行安全内部网络安全防火墙

随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。

作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。

网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。

一、系统安全

系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。

1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。

2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。

从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。

因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。

二、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。

三、内部网络安全

为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。

1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。

另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。

以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。

参考文献

1.局域网组建与维护DIY.人民邮电出版社,2003.05

篇13

不久前,思科系统公司首席安全官John Stewart称:“企业正在安全流程中浪费金钱,使用补丁和使用杀毒软件,都是不起作用的。”

对此笔者的感想是,在理论上思科公司是可以不使用杀毒软件、打补丁的方法,用更先进的措施办法来解决病毒等威胁攻击的。但我也想用个现实的例子说明一下:晋惠帝御宴,方食肉脯,东抚奏旱荒,饥民多饿死。帝曰:“饥民无谷食,便食这肉脯,也可充腹,何致饿死?”这其实和思科首席安全官的话语有很大程度的相似。

那么,企业究竟应该如何保证企业网络的安全呢?笔者认为应该从以下几步开始。

第一步:

确定安全策略

首先弄清楚所要保护的对象。公司是否在运行着文件服务器、邮件服务器、数据库服务器?办公系统有多少客户端、业务网段有多少客户端、公司的核心数据有多少,存储在哪里?目前亚洲地区仍有相当多的公司,手工将关键数据存储在工作簿或账簿上。如果贵公司的计算机通常只是用来文字处理,或者是玩游戏,那数据可能根本不值得去保护。然而,如果贵公司保存有大量的敏感信息,例如信用卡号码或者财务往来交易事项,那么贵公司所需要的安全等级将会很高。

一般企业网络的应用系统,主要有Web、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。从整个网络系统的管理上来看,既有内部用户,也有外部用户,因此,整个企业的网络系统存在以下两个方面的安全问题:

1.Internet的安全性:目前互联网应用越来越广泛,黑客与病毒无孔不入,这极大地影响了Internet的可靠性和安全性,保护Internet、加强网络安全建设已经迫在眉捷。

2.企业内网的安全性:企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权的访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。

第二步:

弄清自身需求

要搞清楚,每年预算多少经费用于支付安全策略?可以购买什么?是一个入门级常用的防火墙还是一个拥有多种特性的综合网关UTM产品?企业局域网客户端的安全需求是什么?有多少台严格的机器?此外,很重要的一步便是在功能性和安全性方面做出选择。贵公司网络必须提供的服务有哪些:邮件、网页还是数据库?该网络真的需要即时消息么?某些情况下,贵公司拥有什么并不重要,重要的是怎么利用它。相对于将整个预算花在一个“花架子”似的防火墙上,实现多层防御是一个很不错的策略。尽管如此,我们还是有必要去查看一下整个网络,并弄清楚如何划分才会最佳。

针对网络受到非法攻击以及病毒爆发,网络管理员还需做好准备工作:目前的设备能够做好足够的日志么?路由器、防火墙或者系统日志服务器能够告诉我们非法侵入的时间和手段吗?是否有一个适当位置可以用来恢复?如果受到攻击的服务器需要擦除并重新配置,能尽可能减少关键数据的流失,并快速实现么?

因此,笔者认为,企业的安全需要可以归纳为以下几点。

1.基本安全需求

保护企业网络中设备的正常运行,维护主要业务系统的安全,是企业网络的基本安全需求。针对企业网络的运行环境,主要包括:网络正常运行、网络管理、网络部署、数据库及其他服务器资料不被窃取、保护用户账号口令等个人资料不被泄露、对用户账号和口令进行集中管理、对授权的个人限制访问功能、分配个人操作等级、进行用户身份认证、服务器、PC机和Internet/Intranet网关的防病毒保证、提供灵活高效且安全的内外通信服务、保证拨号用户的上网安全等。

2.关键业务系统的安全需求

关键业务系统是企业网络应用的核心。关键业务系统应该具有最高的网络安全措施,其安全需求主要包括:访问控制,确保业务系统不被非法访问;数据安全,保证数据库软硬系统的整体安全性和可靠性,保证数据不被来自网络内部其他子系统(子网段)的破坏;安全预警,对于试图破坏关键业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据;系统服务器、客户机以及电子邮件系统的综合防病毒措施等。

第三步:

制定解决方案

前两步是不可或缺的部分,不了解自身状况就无法制定因地制宜的解决方案。解决方案是指定给有具体需求的单位,有大众性,但无通用性。调查显示:近60%的企业面临着以防护病毒和恶意行为为主的信息安全需求。

那么,下一步,就是采用何种解决方案的问题。针对防毒解决方案,笔者推荐瑞星公司的几款产品:瑞星网络版杀毒软件企业版、瑞星防毒墙、瑞星网络安全预警系统。

这是企业整体防毒解决方案,主要是为了以下几个目的。

1. 网络边缘防护

防毒墙可以根据用户的不同需要,具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力,同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系,不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。

2. 内部网络行为监控和规范

网络安全预警系统可对HTTP、SMTP、POP3和基于HTTP协议的其他应用协议具有100%的记录能力,企业内部用户上网信息识别粒度达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。

3. 计算机病毒的监控和清除

网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,可以实现防病毒体系的统一、集中管理,实时掌握了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。

4. 用控制台和Web方式管理

通过这两种方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略,及时掌握了解网络当前的运行基本信息。

5. 可进行日志分析和报表统计

这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统可以自动生成各种形式的攻击统计报表,形式包括日报表、月报表、年报表等,通过来源分析、目标分析、类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。

6. 功能模块化组合

篇14

【关键词】安全管理 移动互联网 策略

近年来,随着网络信息技术的迅速发展,移动通信网已经成为当今世界发展最快、前景最诱人、市场最大的产业之一。相关统计数据表明,截止2013年底,我国手机网民数量接近6亿,用户数量的迅速增长也表明越来越多的人希望在移动的过程中接入互联网,获取大量的信息。正是在这一背景环境下,越来越多的不法分子将目光转移至移动互联网领域,希望从中牟取暴利,这也给移动互联网带来了巨大的安全隐患,使得移动互联网安全问题成为大家关注的焦点问题。

一、移动互联网的发展及特点

所谓移动互联网,是移动网络与互联网技术相融合的产物,并在这两种技术融合中呈现新的特点,具有很好的移动特性[1],被广泛的应用至人们日常生产生活中。相较于传统的网络信息技术,移动互联的最突出特征便是移动便捷性,其常用终端设备主要有:手机、pad、便捷式计算机及各种专用终端设备,以(2G、3G和4G)移动通信网络、Wi-Fi或者WiMAX作为接入手段。随着移动通信网络技术的迅速发展,移动通信网络有可能在未来成为人们最主要的上网渠道,在各类智能手机和移动网络宽带被不断开发的背景下,也需将PC互联网上的应用功能逐渐转移至移动互联网上,这也在一定程度上颠覆了以往的商机,对相关从业人员的技术提出了更高挑战。

二、移动互联网常见安全问题分析

结合日常调查发现,威胁我国移动互联网安全的因素主要集中表现在如下几个方面:

(一)平台安全。结合对移动商店的安全审核机制调查发现,绝大多数的移动商店缺少对移动商品的有效审核,甚至有不少商店没有对开发者提供的应用产品进行病毒查杀,对软件产品的进入门槛要求较低,也导致很多恶意软件充塞于移动网络市场[2]。在2012年,NINIS曾对国内20家主要从事移动应用商店的安全机制进行核查,发现其中40%未对开发者身份提出验证要求,15%缺少必要的病毒查杀措施,比较完善落实应用商店安全审核流程的仅占25%左右,这也使得移动通信网络面临着巨大的安全隐患。

(二)终端安全。随着各类智能终端设备在移动通信网络中的广泛使用,智能终端系统漏洞带来的安全隐患问题也日益凸显,致使用户在浏览网页、接收彩信[3]以及安装软件时,都有可能发生病毒感染或者病毒入侵。从目前移动通信网中移动终端的安全看,主要有以下几种表现形式:经济危害:盗打电话、群发彩信或恶意订购各类SP业务;隐私危害,泄露个人隐私信息,如各类账户密码;设备类危害,移动终端出现死机、重启以及运行慢等现象,甚至会向其他用户群发恶意信息、骚扰电话以及窃听电话等等。

(三)网络安全。移动互联网主要分为两个部分:接入网和IP承载网,前者在具体应用时也会涉及基站、基站控制器、移动交换中心、无线网络控制器、媒体网关、网关通用分组和服务通用分组无线业务支持节点以及相关的链路。在使用Wi-Fi时还会接触到AP接入设备;后者则会涉及到交换机、路由器以及接入服务器等设备,在具体应用中,移动通信网的安全风险主要涉及到以下几种:滥用空中接口,导致信息拥堵;空中接口遭到监听,各种非法终端的非法接入,拒绝服务攻击以及利用系统漏洞进行攻击等等。

三、实现移动互联网网络安全的建议

(一)平台方面。随着网络信息技术的日益发展,针对移动互联网业务使用过程中所面临的病毒感染风险和木马攻击风险,除了要进行严格的风险认证检查以外,还要采用严格地用户鉴权机制,有效隔离外在风险源,降低系统受攻击的风险。进一步加强对移动应用商店的监管力度,制定相应的监管政策,作为一切行动的行为准则,提升领导部门的执行力,强化行业协会和测评机构的功能,将随机检查、用户举报和通告机制相结合,不断提升产品应用商店的审核与监督力度。同时,作为监管接受对象的应用商店,一方面要配合相关结构的监督与审核,另一方面更要落实安全审核义务,实现平台风险最小化。

(二)终端方面。移动互联网中的终端设备多属于智能设备,具有操作系统的一般特性,为有效保障移动终端的数据安全,做好安全预防工作最为关键,应以安全管理为主,技术应用为辅。对此,需要重点做好如下几项工作:防病毒,对于常见的病毒、木马设置有效的病毒软件,有效阻断各种灰色软件、间谍软件及其变种,还应做好软件签名、主机防火墙及加密存储等工作,通常来说可以在终端设备上设置密码,对用户身份进行确认,避免数据的泄露流失,还可以通过远程服务器将丢失终端上的数据及时擦除。

(三)网络方面。在保障移动通信网络安全中,网络安全的功能作用也更为突出,对此,可在用户与网络之间使用双向认证的鉴权机制,对每一个接入网络中的用户都进行严格地鉴权认证,绑定用户身份与用户地址,借此有效规范用户行为,起到很好的震慑作用,将来自用户的风险最小化,从而不断提升总体的网络安全强度。与此同时,将端到端的加密方式应用至移动互联网的数据传输中,也能有效保障信息传输过程中的安全性与完整性。

四、结语

移动互联网的产生及其广泛应用,使人们的生活方式更加便利化,在深刻影响人们生活方式的同时也带来了许多意想不到的安全问题,本文主要从平台、终端和网络三个方面对移动通信网中的安全问题展开探讨,并针对性的提出一些应对建议,旨在能为移动通信网安全运行提供积极有效的保障。

参考文献:

[1]李勇.移动互联网安全威胁及策略研究[J].邮电设计技术,2013(10):10-13

[2]明 芳.移动互联网安全问题分析及策略[J].通信技术, 2013(04):19-21