網絡安全漏洞評估大全11篇
時間:2024-02-06 10:07:14緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇網絡安全漏洞評估范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
1引言
CTC又名分散自律調度系統,該系統的功能主要是確保列車安全正常地行駛,調度生產業務系統。這一系統具有2大特點,即獨立成網及封閉運行,并且其主要組件并不強大[1]。客運專線的行車安全主要在于系統的保密性、完整性、可用性3點,按照我國等級保護防御區劃分原則和信息系統的功能、安全性能等標準,客運專線CTC系統必須具備防火墻、入侵檢測、動態口令、安全漏洞、SAV網絡病毒防護5個安全系統。
2防火墻及入侵檢測系統
CTC的安全防御系統中,防火墻和入侵檢測系統屬于基本安全設施,這對于構建安全密實的網絡系統十分必要。防火墻的功能是過濾數據包,對鏈接狀態進行檢查,并檢查入侵的行為和會話。防火墻按照用戶定義對一些數據實行允許進入或阻攔,以確保內部網絡設備及系統不會遭受非法攻擊,從而影響訪問。此外,可以實現每個通過防火墻的鏈接都可以快速地建立對應的狀態表。如果鏈接異常,會話遭到威脅或攻擊后,防火墻可以很快地阻斷非法鏈接。通過入侵行為的特點,入侵系統可以及時地對每一個數據包進行認真檢查,如果數據包對系統存在攻擊性,入侵檢測系統必須及時斷開這一鏈接,并且由管理人員定義的處理系統會盡快獲取幕后攻擊者的詳細信息,同時,為要得到處理的事件提供對應數據。CTC網絡的結構性質為雙通道冗余結構,CTC中心和沿線的各個車站數量龐大,并且有著海量的數據流量,業務連接安全性要求很高,CTC中心和沿線車站的各個接口都安置了4臺中心防火墻,每網段安置2臺;CTC中心和其他系統接口各安置2臺防火墻,采用透明模式進行接入。客運專線CTC系統防火墻詳見圖1。
安全漏洞的評估系統是一個漏洞及風險評估的有效工具,主要用來對網絡的安全漏洞進行發現、報告以及挖掘,主要作用是對目標網絡設備安全漏洞實行檢測,并提出具體檢測報告以及安全可行的漏洞解決方案,使系統管理員可以提前修補可能引發黑客進入的多個網絡安全漏洞,避免黑客入侵帶來損失。客運專線CTC系統中心完整地部署了一整套安全漏洞評估系統,基于全面以及多角度的網絡關鍵服務器漏洞分析的評估基礎,確保CTC以及TDCS等系統安全運行。還能對黑客的進攻方式進行模擬,并提交相應的風險評估報告,提出對應的整改措施。預防性的安全檢查暴露了目前網絡系統存在的安全隱患,對此必須實行相應的整改,最大程度地降低網絡的運行風險。漏洞評估組需要在網絡安全集中管理平臺下實現統一監測,并且匯總漏洞威脅時間,結合實際情況及設施制定相應的安全策略。當前存在的安全漏洞掃描一定要從技術底層實現有效劃分,分別對主機及網絡漏洞進行掃描。主機漏洞評估EVP,針對文件權限、屬性、登錄設置的值和使用者賬號等使用主機型漏洞評估掃描器進行評估。網絡型漏洞掃描器NSS,在網絡漏洞基礎上的評估掃描器采用黑客入侵觀點,自動對網上系統和服務實行掃描,對一般性的入侵和具體入侵場景實行真實模擬,最重要的是測試網絡基礎設施的安全漏洞,會提供相應的修補漏洞意見,掃描圖形視圖的完整顯示過程,掃描相應漏洞而且對漏洞的出現原因進行查找,提供具有實際執行可行性的管理報告,針對多個系統實施掃描。
4反病毒網絡系統
根據病毒具有的特征以及多層保護需求,客運專線CTC系統必須要統一、集中監控、多面防護,正對整體以及全面反病毒系統實現積極有效的安排,并融合各層面,覆蓋CTC中心、下屬車站等。并且還要在客運專線的中心部署2臺SAV反病毒服務器,二者相互輔助。對服務器設備和車站終端等實施統一的SAV客戶端,并且對網絡內存的所有病毒實行統管理、分析,監控、查殺[2]。以整體反病毒解決方案為依據,網絡反病毒系統的部署具體要從下面幾項開展,多操作系統的服務器、反病毒軟件、集中監管的多個系統。
5動態口令
身份認證屬于安全防御線的第一道保護。我國的CTC安全建設在最初的使用中運用的是靜態密碼認證,每一系統和設備都具備自身的專屬密碼,管理很不方便。大量的管理和維護導致操作人員難以實現方便快捷的使用,因此,出于使用便利,會將設備密碼設置為統一密碼,系統內各種網絡設備和服務器的密碼基本上人人都知道;另外,靜態口令極易被人猜出、截獲、破解,黑客可以通過對密碼的猜測或使用成熟破譯軟件破解用戶口令,導致CTC面臨極大的隱患。在CTC系統網絡中,對CTC系統中心設置相應的動態口令,隨后客戶端認證請求會自動地分配到認證服務器,該模式充分降低了服務器的工作負荷,提升了系統性能。身份證的依據和訪問控制組能通過網絡安全集中管理平臺發揮監測、報警等功能。安全策略的集中配備,對安全事件進行統一響應,并且充分實現分層、統一用戶管理、訪問認證授權AAA等策略。動態口令身份認證在AAA認證中的功能為雙因素認證,有效解決了靜態口令存在的多種問題,提升了系統的安全性。客運專線CTC系統運用動態口令后,實現了對整個網絡、運用和主機等的統一覆蓋,實現了安全的身份認證控制訪問組件,統一身份認證和授權統一,同時還提供了集中身份認證等,通過授權嚴格對多個訪問資源權限實施限制。
6結語
目前,客運專線CTC中心網絡運用安全,正處于建立知識信息安全系統和確保信息化的重要階段,在這一進程的后期階段還要滿足國家等級保護政策需求,對縱深防護體系進行深入研究,確保鐵路運輸生產業務順利開展,充分實現鐵路信息化運行,將鐵路運行的安全性實現提升。
【參考文獻】
篇(2)
計算機網絡應用領域及空間廣闊,已經覆蓋全球,為工作創造了諸多便捷,豐富了業余生活,現代社會中的網上購物、電子商務等服務對網絡的依賴程度極高,民眾生活與網絡已互相融合。互聯網涉及數量龐大的網絡用戶與計算機系統,且網絡本身存在多種缺陷,因此網絡安全隱患、安全漏洞難以避免。網絡安全漏洞可增加間諜程序、蠕蟲、木馬、黑客攻擊概率,為病毒隱藏及偽裝、網絡犯罪提供便利,造成信息泄漏、經濟損失,還會引起網絡故障。應重視防范安全漏洞,加強網絡監管,科學分配網絡中的軟件資源、硬件資源,降低安全風險、減少惡意攻擊及惡意干擾,提高網絡保密程度,維持網絡正常運轉。
一、安全漏洞
安全漏洞屬于不可控、無可避免、必然的、非正常情況,漏洞可影響路由器、防火墻、操作系統、應用軟件正常運行,目前網絡應用軟件中的漏洞數量增勢明顯,如Mozilla Firefox及微軟IE瀏覽器漏洞等,且發現漏洞與出現攻擊程序之間的時間不斷縮短,零日攻擊問題頻繁發生,漏洞修補程序時間落后,導致不能及時修補安全漏洞,增加了網絡攻擊的可能性。分析安全漏洞時需考慮網絡系統環境、具體時間段,常見漏洞包括拒絕服務、安全繞過、信息泄露、緩沖溢出、權限升級漏洞、跨站腳本、注入漏洞、跨站偽造請求、代碼執行及無授權訪問等。防火墻與網絡安全環境保護要求不匹配時也會出現安全漏洞,再加上黑客攻擊技術在不斷改進,出現安全漏洞時通常會發生程序捆綁攻擊行為。編寫網絡軟件程序時可能遺留安全漏洞及BUG,如FTP漏洞、CGI漏洞、ASP漏洞及PHP漏洞等,黑客通常會檢測出BUG及安全漏洞,利用病毒攻擊網絡漏洞,讀寫系統結構或服務目錄,如某些軟件接收異常或超長數據時可導致緩沖區發生溢出問題。涉及安全漏洞的協議包括SSH、HTTP、FTP、TELNET、IPSec、TCP、IPv6及DNS等,網絡協議主要為TCP/IPf議,協議本身不能準確判斷開放性與互聯性網絡IP地址實際來源,網絡黑客可利用安全漏洞偵聽傳輸線路、檢查或截取網絡數據,推測TCP及改變路由,破壞、覆蓋網絡數據。
二、防范措施
(一)漏洞掃描
使用網絡時應注意定期掃描安全漏洞,包括主機系統、防火墻、WEB站點、局域網的漏洞,了解是否存在竊聽系統、不良網絡服務,查詢TCP/IP端口信息及記錄協議響應情況,及時發現與修復漏洞,不斷優化網絡系統及增強安全攻擊抵御能力。掃描漏洞時可采用模擬攻擊測試法或目標系統掃描法,模擬攻擊指的是利用DDOS、緩沖溢出、護欺騙等方法嘗試性攻擊遠程目標,逐項檢查目標系統已知漏洞或可能出現的漏洞。掃描目標系統指的是連接主機端口后請求FTP、TELNET等服務,并記錄主機應答信息,通過分析應答過程檢測安全漏洞。掃描網絡與目標主機時多采用PING技術,使用工具ping與IP地址即可掃描目標主機,根據主機回應情況檢測安全漏洞,如主機中的防火墻自動屏蔽PING掃描,可將錯誤數據發送到目標主機,通過判斷ICMP出錯響應情況檢測漏洞,掃描流程。掃描防火墻安全控制規則中是否存在漏洞時,可采用與Trace-route IP數據分析相類似的方法,掃描時可通過探測網絡開啟端口與特定網關判斷漏洞情況。探測軟件漏洞時可發送UDP或ICMP請求報文,對ICMP回應進行分析,包括Que-SO、NAMP分段響應情況,從而判別響應信息與漏洞。掃描網絡協議端口時可采用TCP SYN掃描、TCP Connect掃描、認證掃描及秘密掃描技術。
(二)構建漏洞信息庫
安全漏洞千差萬別、種類繁多,構建安全漏洞信息庫可以提高漏洞掃描、檢測效率,準確驗證安全漏洞,標記HTTP文件中的相關內容,根據漏洞信息運用追蹤技術查找網絡攻擊起源路徑,實現高效防護。構建信息庫時可為不同的漏洞賦予唯一的特征碼,在檢測或掃描漏洞時可直接利用不同特征碼組成的數據包,在數據包中準確提取漏洞特征碼,從而高效分析漏洞及獲取相應的安全攻擊信息。注意根據漏洞掃描與檢測結果及時更新特征碼,保證信息庫中包含詳細的安全漏洞信息,包括漏洞特征、狀態、信息來源、控件信息及端口信息,漏洞編號、類型、名稱、相關引用、修訂時間、公布日期或報告時間,漏洞風險評估與危險級別、相關建議、補救方案、漏洞軟件與版本、木馬匹配規則、后門匹配規則、影響程度與影響平臺、處理方式及攻擊程度等。目前可使用的漏洞信息庫包括NIST實驗室的NVD漏洞庫、Mitre公司的CVE漏洞庫、CERT小組的US-CERT漏洞庫、ISS組織的X-Force漏洞庫,上述信息庫數據下載、方式、更新方式各有特點,信息庫結構,漏洞信息構成。
(三)完善網絡配置
為預防黑客利用漏洞發起偽造攻擊,可調整路由器訪問列表,限制路由器數據包允許通過地址范圍;關閉路由器上的源路由,利用No Ip Soure-route命令阻止源路由器發生安全攻擊;也可以在RPF檢查設備中設置No Ip Directed-broadcast命令,利用No Ip Directed-broadcast命令控制通過路由器的數據,減少路由攻擊。為確保端口安全,可在交換機中設置MAC地址數允許值,控制允許流量,避免網絡設備無定向、徒然處理數據包,減少協議端口單播擴散轉發流量,減少安全漏洞與安全攻擊。連接網絡時應盡量關閉計算機中的打印共享與文件共享功能,必要時可隱藏IP,避免設置空連接,將無用網絡端口及服務程序關閉,禁用Guest賬號。確保防火墻或服務器相匹配,刪除無用軟件程序與缺省路由,安裝病毒查殺與反查殺軟件,結合殺毒與防毒,組建多層次病毒防衛體系,注意更新殺毒軟件、系統補丁,如卡巴斯基、小紅傘、金山毒霸等。設置復雜的服務密碼,完全隱藏重要目錄或文件,禁用Windows服務器中的Telnet服務、Remote Registry服務及Messenger服務。
篇(3)
網絡安全掃描系統與防火墻互相配合,共同維護網絡安全,在有效提高網絡的安全性方面,各有分工,他們是增強系統安全性的重要措施。網絡管理員通過網絡掃描探測,找到運行的應用服務,了解其安全配置,能夠發現網絡和系統的安全漏洞。網絡掃描更側重于在網絡遭到威脅前預防,其中屬于被動防御手段的是網絡監控系統和防火墻,而網絡掃描屬于主動防范,做到防患于未然。
1網絡安全掃描步驟和功能
網絡安全掃描器是利用安全掃描技術來設計的軟件系統。掃描器可以協助網管人員洞察目標主機的內在的弱點,它不能直接修復網絡漏洞。以下列舉了網絡安全掃描功能和步驟:(1)首先,能夠找到一個主機或網絡是其工作的第一階段。(2)探測何種服務正運行在這臺主機上是其工作的第二階段,對目標信息進行進一步搜集,服務軟件的版本、運行的服務、操作系統類型等方面都是其搜索的目標。對于網絡目標,其網絡系統、拓撲結構、網絡設備也是其搜索的范圍。(3)最后也是最為重要的階段:根據線索做出判斷并且進一步測試網絡和主機系統存在的安全漏洞。通過各個步驟的掃描,搜索網絡、探測服務、發現漏洞,以此為依據,為漏洞提出解決方案。
2網絡安全掃描技術的分類
網絡安全掃描是指通過對計算機系統進行相關的安全檢測,找出系統安全隱患和漏洞,幫助管理員發現系統的一些弱點。通過網絡安全掃描數據,及時了解系統存在的安全漏洞,客觀評估網絡風險等級。網絡安全掃描是一種主動的安全防范措施,可以及早發現系統漏洞并加以修復,有效避免非法入侵行為,做到防患于未然。
2.1漏洞掃描技術
為了自動檢測遠程或本地主機安全漏洞而編寫的程序就是漏洞掃描系統,洞察漏洞主要采用網絡掃描系統的方法:其中實際應用最普遍的是模擬黑客的攻擊手法,如猜想管理員用戶名稱、測試系統弱口令、FTP密碼探測、郵件系統攻擊等方法,如目標網絡系統存在安全漏洞,則模擬攻擊就會成功;另一個方法是利用端口掃描,目標主機端口以及端口上的服務已知的情況下,利用漏洞掃描系統提供的漏洞庫和掃描發現的各類信息進行比對,如有滿足匹配條件的漏洞存在,就會被發現。我們可以利用網絡安全掃描發現并及時修補系統的漏洞。對于網絡用戶來說,掃描的速度和漏洞庫的更新速度是漏洞掃描技術的關鍵。掃描速度、掃描效率是網絡安全掃描的重要性能指標,而漏洞庫可以直接決定網絡隱患能夠被檢查出的數量,現在的網絡掃描系統許多可以及時更新漏洞庫,不斷提升掃描速度,從而適應網絡用戶安全需求,起到令用戶更加滿意的效果。
2.2端口掃描技術
通過發送探測數據對目標主機的端口進行掃描,以掃描數據為依據,分析目標主機端口是否開放、可用的過程,就是指端口掃描。第一步是與目標主機的端口建立連接,根據請求服務來判斷其應答,從而收集端口信息,這樣就能夠找到弱點和漏洞,并確定端口所進行的服務類型及詳細信息。本地主機的運行情況也能夠被監視,通過分析探測到的數據,網絡管理人員也可以找到目標主機內在的缺陷。一個端口就是一個潛在的通信通道,也就是一個入侵通道,我們可以通過端口掃描,發現系統的安全漏洞。利用端口掃描技術,能夠發現目標計算機的操作系統類型、發現正在運行的應用程序或某個特定服務的版本號、探測目標系統上正在運行的TCP和UDP服務,及時了解端口提供的服務或信息。
2.3木馬掃描技術
木馬是一種經過偽裝的欺騙性程序,木馬程序與一般的病毒不同,它不刻意地感染計算機存儲的文件,一般不會破壞計算機系統,它的主要作用是為施種木馬者操控種有木馬的計算機系統,使其能夠在用戶毫無知覺的情況下遠程操控目標計算機,從而隨意竊取、破壞、刪除目標計算機的文件。現在出現了很多新的木馬形式,還有一些為完成特定任務設計的木馬病毒,但其攻擊原理都是大同小異。木馬設計基于服務器和客戶端模式,它有一個開放的端口用來數據監聽,不同的木馬病毒使用不同的端口號,可以通過掃描特定的木馬端口來發現主機是否被木馬入侵。但是,現在某些新型的木馬不開放特定端口,而是秘密捆綁到合法的應用程序中,讓網絡管理者掃描探測變得越來越艱難。
3網絡安全掃描的應用
網絡安全掃描能夠有效地預先評測和分析系統中的安全問題,可以增強系統安全性,在黑客攻擊之前起作用的是各類掃描技術,本地或遠程計算機的安全漏洞能被自動檢測并及時修復,網絡中存在的漏洞被及時發現并解決,對于網絡安全防護起到關鍵作用,防患于未然。提供網絡服務的各個領域都可以應用網絡安全掃描系統,例如各種行業的網絡信息服務,都需要知道所提供的網絡服務是否安全。特別是大型的網絡服務,安全性是至關重要的。尤其是在互聯網上許多企事業單位的網站,網站的維護也是一項繁重的工作,利用網絡安全掃描系統可以方便管理。另外,對于個人用戶,網絡安全掃描系統也是必備的工具,利用它能夠探尋系統的安全性,及時發現,及早解決,避免由于系統漏洞而遭到黑客入侵或被植入木馬病毒。與入侵檢測技術、防火墻技術等相比,網絡安全掃描技術更加積極,更加注重于防范,與之相適應的主機安全掃描技術也立足于積極預防。對于網絡安全問題的解決,二者都是采用預防為主的方法。隨著互聯網應用的發展,網絡攻擊現象、方法也將不斷涌現,網絡安全問題還需要更加引起人們的重視,網絡安全掃描技術不僅需要更進一步的發展和完善,還需要不斷開發其潛在的功能,從而在網絡安全領域發揮巨大的作用。
作者:李文江 單位:公安邊防部隊高等專科學校基礎部計算機教研室
篇(4)
通常情況下,計算機網絡安全漏洞具有一定長久性、易被攻擊性和威脅性,給計算機用戶帶來很多煩惱。因此,對計算機網絡安全漏洞檢測與攻擊圖構建有比較全面的了解,可以更好的防范各種不安全因素,從而為計算機網絡安全提供可靠保障。
1計算機網絡安全漏洞的表現形式
總的來說,計算機網絡正常運行過程中,安全漏洞的表現形式主要有如下幾個方面。
1.1應用軟件方面
在用戶進行正常的計算機操作時,會通過各種應用軟件來完成相關操作,而在代碼編寫、邏輯設計等方面會出現各種錯誤,使得安全漏洞成為黑客攻擊的主要途徑。一般不法分子會向計算機傳輸木馬和各種病毒,使得計算機整個系統縱,最終造成信息泄露問題。
1.2操作系統方面
在計算機的正常使用過程中,各種操作系統發揮著非常重要的作用,因此,操作系統的安全性與應用程序的安全性,是保障計算機信息安全的重要因素,必須對此給以高度重視。但是,在實際運行過程中,各種非法訪問、系統自身的缺陷等都為給計算機網絡帶來安全威脅。
1.3電子郵件方面
現展中,電子郵件已經成為企業、個人互相來往的重要溝通方式,在各個領域都有若非常重要的影響。一般在用戶發送或接受某個郵件的時候,如果遇到惡意攻擊,并且戶不具有較高安全意識的情況下,則會將病毒帶入計算機,從而破壞計算機整個系統,最終威脅計算機網絡安全。
1.4遠程登錄方面
隨著計算機應用的不斷推廣遠程登錄已經成為重要的聯系方式,給人們的生活、工作帶來了很多便利,但同時也給計算機網絡帶來很多安全威脅。一般在進行遠程登錄時,需要完成各種輸入口令才能有效登錄,使得各種信息在輸入的過程中受到安全威脅,最終造成各種數據信息的泄露。
2計算機網絡安全漏洞的檢測方法
2.1文件內容、保護機制方面
通常情況下,最容易出現各種病毒、最重要被攻擊的部分,是計算機中的各種命令文件和系統工具,如果出現上述情況,文件的內容會被迅速篡改,最終使計算機系統的整個安全遭到威脅。因此,注重文件內容方面的有效檢測,采取有效保護機制,才能擁有權限的用戶可以正常使用各種文件,從而避免各種安全問題出現。在實踐過程中,對文件內容、訪問權限等進行有效檢測,是安全漏洞檢測的重要基礎,對于提高文件的安全性、確保內容完整性有著重要影響。
2.2配置文件方面
在計算機系統的正常運行中,各種配置文件都具有極高的復雜性,如果出現缺省情況,則會引起各種安全漏洞,從而威脅整個計算機網絡的安全。根據相關分析發現,目前計算機網絡存在的安全漏洞,主要是因為計算機運行環境不良好引起的,特別是各種配置文件的安全漏洞檢測不及時和不準確,嚴重威脅計算機系統的安全。因此,合理的對配置文件進行安全漏洞檢測,可以獲得各種配置信息,從而在對各種配置信息進行全面分析的情況下,對計算機系統可能存在的安全漏洞問題進行準確預測,最終在各種配置文件問題出現之前,及時消除相關安全漏洞。由此可見,加強配置文件的安全漏洞檢測,可以有效降低配置文件出錯的可能性,從而提高配置文件的安全性,真正為計算機系統一個穩定、健康的網絡。
2.3差別檢測方法
在實際應用過程中,如果采用差別檢測方法,則具有一定被動性,以在文件沒有被修改、不注重各種時間和期限等情況下,對文件存在的安全漏洞進行檢測。在運用差別檢測法時,文件被修改的部分或者是程序發生改變的部分不能得到還原,但可以對文件是否被修改給以準確的判定,有著非常顯著的檢測效果,并且,還可以對系統中的特洛木馬進行有效檢測。根據計算機網絡的運行情況來看,差別檢測方法需要經常使用,才能確保檢測結構的準確性,從而有效防范各種不安全因素帶來的安全威脅。
2.4錯誤修正方面
在計算機系統出現各種操作錯誤時,網絡黑客、違法分子會乘機進行網絡攻擊,從而今日用戶的計算機系統,致使各種密碼、信息、機密文件等丟失,嚴重的還會給計算機用戶帶來重大經濟損失。目前,在處理上述問題時,一般采用安裝修正錯誤補丁的方式,也可以采用安全殺毒軟件的方式,可以取得很好的防范效果。因此,在實際應用過程中,要事先安裝補丁程序,才能避免計算機網絡安全受到威脅。目前,錯誤修正檢測技術主要包括主動檢測和被動檢測兩種,其中,主動監測可以對系統存在的各種安全漏洞進行有效檢測,并及時采取各種有效對策,從而防止安全漏洞給計算機系統帶來影響;而被動檢測主要是指安裝各種糾正補丁程序,以對各種安全漏洞進行及時防范。通過合理采用錯誤修正檢測方法,計算機的檢驗程序可以自動完成各種操作,大大節省了檢測時間,在提高安全漏洞檢測效率的同時,還能種安全漏洞帶來的問題得到有效解決。
3計算機網絡攻擊圖構建相關分析
3.1計算機網絡攻擊邏輯圖
在計算機系統的正常運行中,各種安全漏洞會給計算機運行帶來極大安全威脅,使得相關數據、信息出現丟失情況。因此,計算機網絡攻擊圖的有效構建,是在對各種網絡攻擊進行全面分析的基礎上,對計算機網絡存在的問題進行合理預測,以制定合適的安全防范措施和彌補措施,最終確保計算機網絡安全。由于計算機網絡所遭受的安全攻擊類型比較多,使得攻擊圖的構建方式也有很多種,如邏輯攻擊類型,需要對邏輯攻擊圖進行推導、制定相關規則,才能真正起到防范作用。在進行推導的時候,必須對攻擊產生的原因、經過、和會產生的后果進行全面預測,才能避免邏輯類型的攻擊給計算機系統的安全帶來嚴重影響。
3.2計算機安全攻擊圖分析
篇(5)
進行計算機網絡安全的檢測,根據檢測技術的執行主體進行劃分可分為主機和網絡兩種。一般通過計算機的遠程安全掃描技術、防火墻的掃描技術進行計算機網絡安全漏洞的掃描,對計算機的網絡安全進行實時的監控。
2計算機網絡安全掃描技術
計算機的網絡安全掃描技術是計算機進行網絡安全主動防御的基礎,在計算機的主動防御中對計算機的網絡安全進行掃描,對計算機可能存在的風險進行掃描。將掃描中獲得的各種參數反饋給系統的管理員,管理員通過對數據的分析,對可能存在的漏洞提出科學合理的解決方案。在計算機的運行中進行實時的監控,將運行中的風險站點對管理員進行提示,保障操作系統的安全性和可靠性。計算機網絡安全掃描技術能夠對計算機存在的漏洞及時的發現,及時的處理,保障了計算機的系統安全。
2.1計算機網絡遠程掃描技術
計算機網絡安全掃描技術的應用,使計算機在外界惡意攻擊下的防御能力和反擊能力大大提高。但是計算機網絡遠程掃描技術在應用中也一度成為計算機網絡安全的弊病,黑客進行黑客活動是常常使用計算機網絡遠程掃描技術對入侵電腦進行遠程的掃描,發現其系統存在的漏洞,針對這些漏洞對目標主機實施入侵。從另一個角度進行分析,計算機網絡遠程掃描技術對實現計算機的網絡安全也有著其特殊的意義,管理員可以利用計算機網絡安全掃描技術對計算機進行掃描,及時的發現計算機中存在的漏洞并予以修復。
2.2合理配置系統的防火墻系統
計算機網絡安全目標的實現是通過防火墻系統的合理配置來實現的。計算機防火墻系統的合理配置是計算機網絡安全的重要的組成部分。其配置合理性直接關系到計算機的計算機網絡安全檢測技術安全性和有效性。由于計算機防火墻的配置是一項比較復雜的系統性工程,進行配置是需要考慮各個方面的因素。相關的從業人員在進行配置時因為防火墻的復雜性,常常會在配置上出現一些微小的錯誤,這些需哦唔的產生極可能成為計算機網絡安全的隱患。計算機的防火墻系統在特定的情況下才能運行,當計算機的操作系統出現運行的異常時,防火系統安全掃描系統會對計算機進行掃描,判定其運行環境是否符合。
2.3系統安全掃描技術
在計算機網絡安全檢測技術的建設時,計算機系統安全掃描是其不可或缺的部分。在計算機系統安全掃描中將目標計算機的操作系統進行全方位的檢測,將檢測后的參數發送給系統的管理員,管理員通過對相關參數的分析,對系統中可能存在的漏洞進行修改。系統的安全掃描技術為計算機的操作系統的安全性和穩定性提供了保障。
3網絡安全實時監控技術
計算機的網絡安全監測技術對計算機的防護離不開對計算機運行的實時監控。計算機的實時監控技術是在網絡正常的情況下對計算機進行網絡流量的監控,在實時的監控中能夠對計算機所受到的惡意攻擊進行及時的處理,將有攻擊企圖的是舉報進行過濾。在計算機網絡的實時監控中將計算機的網卡設置成為廣播的狀態,在次狀態下進行數據包的監控和分析。將可疑操作的特征碼放入到計算機網絡入侵特征庫中進行比對,及時的發現入侵行為。
4計算機網絡安全檢測技術的現實意義
4.1對防火墻安全構架的補充
在時代的發展中,計算機的防火墻系統不足以承擔起計算機的網絡安全的重任。計算機網絡安全監測技術是對防火墻系統的補充,二者協同作用,共同完成計算機網絡安全的維護。在計算機的安全維護中,一旦惡意攻擊活動避開了防火墻的監控,可能會對計算機的操作系統等軟硬件造成危害。計算機網絡安全監測技術在計算機的運行中國能夠及時的發現計算機的網絡弱點,并對這些弱點進行針對性的處理。二者的協同作用最大限度的保障了計算機運行的安全性和可靠性。
4.2實現有效的網絡安全評估體系
計算機的網絡安全監測技術的應用,為網絡安全的評估機制提供了新的手段。在一些公司和事業單位進行內部網絡的建設時,可以通過計算機網絡安全監測系統對簡稱的內部網絡監測系統進行檢測,檢測的數據提交給管理人員進行分析,對建成網絡的安全性和可靠性進行評估,并根據評估的結果對網絡系統存在的問題進行合理的整改。
5結語
在社會的進步和科技的發展之中,進入數字時代的人們利用計算機完成各項生產活動和科研活動,極大的解放了生產力,創造了極大的經濟效益和社會效益。在數字時代的背景下人們對計算機的網絡安全提出了新的要求,在計算機網絡安全監測系統的建設時,相關的從業人員一定要結合計算機網絡安全的實際情況對系統進行合理的設計。利用計算機網絡檢測技術的實時監測功能,發揮防火墻和計算機網絡安全監測技術的協同作用,將計算機的安全工作落到實處。我相信通過相關從業人員的不斷努力,我國計算機的網絡安全工作一定會取得新的成就。
參考文獻
[1]葉忠杰.計算機網絡安全技術.科學出版社,2003.
[2]龍冬陽.網絡安全技術及應用[M].華南理工大學出版社,2006.
篇(6)
如今信息化系統建設迅速發展,開放的網絡帶來了優勢,同時開放性的存在也導致了許多安全方面的漏洞,諸如信息竊取、黑客攻擊、網絡惡意行為等,維護網絡安全的壓力越來越大。
一、信息化系統網絡安全標志
(一)系統正常運行。系統正常運行是指信息化系統能夠安全運行,避免出現系統損壞或崩潰而導致系統中需要傳輸、處理以及儲存的信息出現損失或破壞。(二)系統信息安全。系統信息安全包含數據加密、病毒防治、安全問題跟蹤、安全審計、方式控制、數據存取權限、用戶存取限制以及用戶的口令鑒別等內容。(三)網絡信息安全。網絡信息安全是指信息的保密性、完整性、可用性、可控性,防止攻擊者利用系統安全漏洞對合法用戶的信息進行詐騙、冒充以及竊聽等。(四)傳播途徑安全。傳播途徑安全是指采取信息過濾,對有害和非法的信息進行控制及制止,防止在公用網絡上出現大量失控的自由信息傳輸。
二、信息化系統網絡安全威脅
(一)網絡軟件存在安全漏洞。系統的很多軟件使用一段時間后,不可避免地會出現缺陷,需要及時補丁來進行漏洞彌補;系統使用的一些商用軟件,源程序會逐漸變得公開或者半公開化,存在漏洞容易被攻擊;管理員為方便維護管理,設置遠程終端登錄,加大了病毒或者黑客攻擊的可能性,給網絡系統造成了很大的安全漏洞。(二)網絡協議存在安全缺陷。系統使用的基本協議TCP/IP存在著較多安全缺陷,主要包括:應用層協議中的SMT、FTP等協議缺乏保密以及認證措施;以軟件所配置的IP地址為基礎,形成地址欺騙以及地址假冒;現有的IP地址可以支持源路由方式,在一定程度上為原路由的攻擊提供了條件。(三)產品技術不能完全國產。目前,任何一個國家的信息技術發展不可能盡善盡美,完全依賴自主研發,我國也不例外。有調查數據顯示,我國有67%左右的信息產品與技術都是從國外進口的。因此,信息化系統建設不可能達到完全國產化,硬件設施和操作系統難免會使用國外產品,這就可能存在安全陷阱,使網絡安全管理受制于人。
三、信息化系統網絡安全防護
(一)防火墻技術。在信息化系統中使用防火墻技術可以使數據、信息等在進行網絡層訪問時產生一定的控制。經過鑒別限制或者更改越過防火墻的各種數據流,可以實現網絡安全保護,極大限度地對網絡中出現的黑客進行阻止,在一定層面上可以防止黑客惡意更改、隨意移動網絡重要信息。(二)安全檢查技術。安全檢查技術主要用于對用戶的合法性進行鑒別,在鑒別過程中,通常需要用戶輸入口令,由于口令本身較容易被猜到以及失竊,可能增加黑客入侵的幾率。為了提高其安全性,用戶可使用更為可靠、穩妥的認證方案,經過身份認證的技術可以在一定范圍內保證信息的完整性機密性。(三)數字簽名技術。所謂簽名就是驗證用戶真實身份的一種獨有信息,數字簽名技術在使用過程中,通常采用解密、加密的方式對報文的數字簽名進行實現。決定其安全性的主要因素就是密碼體制的安全程度,隨著密碼體制的不斷改進,其安全性也會隨之提高。(四)入侵檢測技術。防火墻只是保護內部的網絡不被外部攻擊,對于內部網絡存在的非法活動監控程度還不夠,入侵系統就是為了彌補這一點而存在,它可以對內部、外部攻擊積極地進行實時保護,在網絡受到攻擊前就可以將信息攔截,提高信息的安全性。(五)漏洞掃描技術。如今網絡不斷復雜且變幻莫測,僅僅依靠網絡管理員進行安全漏洞以及風險評估顯然不行,只有依靠網絡的安全掃描工具才可以在優化的系統配置下將安全漏洞以及安全隱患消除掉。在某些安全程度較低的狀況下可以使用黑客工具進行網絡的模擬攻擊,這樣可以一定層面地將網絡漏洞暴露出來。
(六)密碼技術。密碼技術就是使用密碼機對明文信息進行組合、交換,產生密文,然后將加密的信息在網絡上傳播。惡意者若將密文截獲,必須進行正確的解碼才能獲取有用信息,否則也是徒勞無獲,這就在一定程度上避免了信息的泄漏。(七)偵聽監測技術。使用配置分析軟件來對網絡進行掃描,一旦發現原有的設置參數出現了改動,就必須采取相應的措施來對其進行處理。對內部網絡中的違規操作行為進行實時監控。其響應對策主要有發送警告信息,拒絕存儲。
作者:王艷 單位:93897部隊
篇(7)
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 17-0000-02
1 網絡安全評估分析系統
1.1 網絡安全評估分析系統的必要性
面對用戶網絡的復雜性和不斷變化的情況,依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,制定符合用戶網絡應用的安全策略顯然是不現實的。解決的方案是,尋找一種能尋找網絡安全漏洞、評估并提出修改建議的網絡安全分析評估系統。
檢測現有網絡中的邊界設備(如路由器交換機)、網絡安全設備(防火墻、入侵檢測系統)、服務器(包括內部網絡系統的各種應用服務器)、主機、數據庫等進行掃描,預先查找出存在的漏洞,從而進行及時的修補,對網絡設備等存在的不安全配置重新進行安全配置。
目前大多數的病毒都已經不是簡單的復制和占據資源的概念,其已經演變為通過利用系統漏洞和脆弱性,破壞和盜取信息為目的軟件。所以,通過安全評估分析系統,在網絡受到感染以前,及時地修補系統漏洞,從而更有效的保護局域網。
1.2 網絡安全評估分析系統選型
安全評估系統(掃描對象包括網絡設備、主機、數據庫系統)使用戶有機會在故障出現之前將其修復,而不是對一項已經進行的入侵或誤用情況做出反應。漏洞掃描可以讓用戶首先防止入侵。漏洞掃描也許對那些沒有很好的事件響應能力的用戶會有幫助。
在用戶網絡系統中,部署一臺百兆硬件網絡安全評估分析系統,它通過對網絡安全弱點全面和自主地檢測與分析,能夠迅速找到并修復安全漏洞。能同時對網絡中的網絡設備(如路由器、交換機、防火墻等)、小型機、PC SERVER和PC機操作系統(如Windows)和應用程序(如IIS)由于各種原因存在一些漏洞(包括系統漏洞、脆弱口令等),將風險分為高,中,低三個等級并且生成大范圍的有意義的報表,從以管理者角度來分析的報告到為消除風險而給出的詳盡的逐步指導方案均可以體現在報表中。
(1)全面的產品資質認定
網絡安全評估系統具有如下的產品資質認證,為用戶提供滿意的產品:
公安部《計算機信息系統安全專用產品銷售許可證》
國家保密局《科學技術成果鑒定證書》
國家信息安全測評認證中心《國家信息安全產品認證產品型號證書》
(2)易用性
網絡安全評估分析系統應該充分考慮了中國人的使用習慣,具有良好的易用性。安裝和使用界面全中文化,操作使用符合標準的WINDOWS風格,用戶大部分只要通過電擊鼠標就可以達到目的。管理工作更加方便,其輸出也更加有價值。
(3)產品擴展性
網絡安全評估分析系統的測試方法庫采用插件方式,升級極為容易,添加新的插件就可以使軟件增加新的功能,掃描更多漏洞。同時這種技術使軟件的升級維護都變得相對簡單,并具有非常強的擴展性。
1.3 網絡安全評估分析系統部署
網絡安全評估分析系統可以定期連入管理中心網絡的網管交換機或者中心交換機上,對網絡設備進行網絡安全評估,比如小型機、PC SERVER、網絡設備(交換機、路由器等)、安全設備(如防火墻)及內網各工作站系統,進行周期性的安全評估,得出安全評估分析報告,然后進行相應的漏洞修補或重新設計安全策略,以達到網絡中硬件設備系統和應用平臺的安全化。
1.4 網絡安全評估分析系統部署后作用
(1)安全評估是本系統的主要功能,也稱為“脆弱性分析”或者“網絡安全掃描”,通過本網絡安全評估分析系統的部署,可以對網絡內計算機系統或者網絡設備進行安全測試與評估,獲得相關安全信息,找出安全隱患和可被黑客利用的漏洞。
(2)設備可以結合CVSS(通用脆弱性評級體系)和等級保護方法的理論,科學的給出相應的安全分析和可操作的修補處理建議,為網絡管理人員提供修補漏洞的方法,使得管理可以及時修補網絡隱患,做到防患于未然。
(3)自評估部分還可以協助管理員對設備進行問題的自動修補。
2 應用防護
2.1 Web應用防護系統的必要性
隨著越來越多的應用系統以WEB的方式被部署,這些系統的敏感數據如用戶信息等被黑客盜竊和篡改的潛在風險也越來越高。回顧當今成功的系統攻擊,很多都是利用了WEB應用漏洞。實施這些攻擊的人,既有來自外部的黑客,也有來自內部的不懷好意的用戶。
因為基于WEB的應用系統可以通過任意瀏覽器進行訪問,用戶往往更容易訪問到這些系統,從而在一定程度上可以通過這些系統繞過內部的安全控制。
對大多數公司來說,WEB應用系統已經成為安全的邊界。使用WEB安全網關是確保這些系統安全的唯一途徑。然而,考慮到WEB應用的多樣性,WEB安全網關往往只有在針對具體的應用精心配置后才能有效地承擔起應用保護的角色。沒有正確部署的WEB安全網關往往會阻斷合法用戶對系統的正常訪問,甚至沒能起到應有的左右而讓黑客長驅直入。
WEB安全網關是一種新型的可以保護WEB系統免遭攻擊的網絡及應用安全設備。它通過執行非常細粒度的安全策略來保證WEB應用系統自身以及系統數據免遭各種攻擊。得益于WEB安全網關所使用的突破性技術,這些安全策略能夠非常容易地適應各種WEB應用系統,從而滿足所有的安全需要。
WEB 安全網關為WEB應用提供了全面的應用層保護,它不但能抵御目前已知的攻擊及其變種,還能抵御未知的攻擊。
需要特別指出的是,WEB安全網關通過自己獨特的WEB對象混淆技術,大大提高了攻擊者的技術門檻,甚至能使大部分的普通攻擊者無從下手;獨創的安全令牌技術則能徹底防止WEB應用對象被篡改和偽造。由于攻擊者無法篡改和偽造WEB請求數據,攻擊便無法實施。此外,通過與WEB應用緊密相連的安全策略的配合,WEB安全網關能嚴格限制合法用戶的行為,避免了對系統受限資源非法的訪問。
融合可靠的應用層過濾技術和先進的數據加密技術, WEB安全網關完全能為企業級的WEB應用提供完整的安全解決方案。
2.2 Web安全網關的選型
根據用戶網絡的應用需求,推薦使用Web安全網關產品可以滿足了網絡需求,很好的解決了對Web服務器的防護和管理功能。
具體功能如下:
2.2.1 基于黑名單的攻擊過濾器能阻斷目前大部分的常見攻擊
(1)SQL注入
(2)跨站腳本攻擊
(3)已知的蠕蟲和系統漏洞
(4)對敏感資源和數據的非法訪問
(5)其他系統溢出攻擊
2.2.2 基于白名單的防御引擎能阻斷任何非法的攻擊
(1)偽造用戶輸入數據
(2)非法的應用訪問流程
(3)Cookie濫用
(4)HTTP請求劫持
2.2.3 完備的網絡層安全和服務提供整體防御
(1)狀態檢測防火墻
(2)IP/端口過濾
(3)應用層DDOS防護
(4)SSL 加速
2.2.4 靈活多變的偽裝技術使系統逃避探測和攻擊
(1)防止對服務器操作系統和WEB服務器的指紋探測
(2)自定義錯誤頁面防止敏感信息泄露
(3)刪除網頁開發工具信息以及代碼注釋,使黑客無法獲取重要的信息
(4)防止服務器端代碼泄露
2.2.5 豐富的日志提供強大的報表和審計功能
(1)詳細的系統日志和訪問控制日志
(2)豐富的WEB資源訪問統計報表
(3)詳細的攻擊統計報表
(4)支持標準的syslog日志服務器
(5)基于XML的日志數據便于與外部系統集成
2.3 Web安全網關的部署
WEB安全網關能根據用戶的需要采用多種部署方式。標準的設備部署在Web服務器前面,配置過程可以在幾個小時內完成,WEB安全網關可以抵抗絕大部分常見的攻擊。通過在標準部署基礎上進行高級的安全策略調整,可以根據需要提供最高級別的安全,徹底杜絕攻擊發生的可能。
2.4 Web安全網關的作用
2.4.1 最大可能地減少針對WEB的攻擊
隨著越來越多的基于WEB的應用系統投入使用,越來越多的敏感數據被暴露在當前的系統無法解決的安全威脅之下。一旦攻擊得逞,損失便大的無法接受。使用WEB安全網關能最大可能地減少針對WEB應用的攻擊。
2.4.2 避免敏感信息被盜,符合行業安全規范
當今很多行業如銀行和電子商務等行業都有自己的安全規范,符合這些安全規范是業務正常開展的基礎。目前WEB應用系統是黑客們為了獲取諸如客戶信息等敏感數據而尋找的最主要的攻擊目標,每年因為針對應用層的攻擊而導致的損失都高達己億美元。WEB安全網關是解決敏感數據經由WEB系統被盜竊這一棘手的安全問題的最重要也是最有效的途徑。
2.4.3 無須安全補丁,保護已有投資
因為知道應用系統容易遭受各種攻擊,IT部門需要不間斷地監控各站點并且安裝各種最新的補丁。因為如前所述,WEB安全網關能阻止各種針對WEB應用和WEB服務器的攻擊,從而大大降低了系統對補丁的依賴性。此外,對于存在安全漏洞但是因為其他原因無法進行升級的舊有系統,WEB安全網關也能保證系統能安全地運行,從而保護了客戶的投資。
2.4.4 安全便捷,使用簡單
篇(8)
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2011) 23-0000-01
Computer Network Security Vulnerabilities and Countermeasures
Liao Ying
(Guangxi Institute of Science and Technical,Chongzuo 532200,China)
Abstract:As the network technology and the spread of information technology,computer network security problems will become increasingly prominent.The impact of attacks increasing,the frequency of occurrence is increasing.This paper analyzes the vulnerability against the importance of computer network security,and secondly,on how to prevent computer network security vulnerabilities in-depth discussion,with some reference value.
Keywords:Computer;Network;Security vulnerabilities
隨著網絡技術和信息技術的普及,計算機網絡安全問題也就顯得越來越突出。攻擊事件造成的影響日益嚴重,發生的頻率也日益增加。眾所周知,計算機網絡具備信道共用性、分布廣域性、資源共享性、體系結構開放性的特點,因此,也不可避免地會存在著系統的脆弱性,使其面臨嚴重的安全問題,而幾乎所有的攻擊者都是利用現有計算機網絡系統中的安全漏洞來進行活動。
一、防范計算機網絡安全漏洞的重要性
計算機網絡面臨的威脅是多方面的,既包括對網絡中設備的威脅,又包括對網絡中信息的威脅。計算機安全一般包含信息安全和物理安全兩方面,信息安全也就是網絡安全,能夠有效保護網絡信息的可用性、完整性和保密性。因此,加強計算機網絡安全保護尤為重要。只有針對這些網絡威脅采取必要的保護措施,才能確保計算機網絡信息的可靠性、安全性和保密性。根據美國FBI(美國聯邦調查局)的調查,美國每年因為網絡安全造成的經濟損失超過170億美元,75%的公司報告財政損失是由于計算機系統的安全問題造成的,平均每天會有1.5萬個網頁受到病毒感染或者遭受黑客攻擊。也就是說,每5秒鐘就會有一個網頁成為黑客們的“盤中餐”。在中國國內,互聯網的安全問題形勢也非常嚴重。據國家計算機網絡應急技術處理協調中心2007年的評估數據顯示,在全球的620萬臺“僵尸”電腦中,約有360萬臺在中國,占58%以上。同時,感染了“特洛伊”病毒的電腦數量仍在穩步上升。
二、如何有效防止計算機網絡的安全漏洞
(一)完善防火墻技術。防火墻的英文名為“Fire Wall”,它是目前一種最重要的網絡防護設備。從專業角度講,防火墻是位于兩個(或多個)網絡間,實施網絡之間訪問控制的一組組件集合。從防火墻的防護實現中,主要應用以下技術:
1.網絡地址轉換技術(NAT)。目前網絡地址轉換技術現在已成為了防火墻的主要技術之一。通過NAT技術能夠很好地保護內部網絡用戶,屏蔽內部網絡的IP地址。NAT又分DNAT和SNAT兩種。DNAT就是改變轉發數據包的目的地址,當內部網絡主機收到了外部網絡主機發出的通訊連接之后,防火墻首先把數據包的目的地址轉換成為自己的地址,然后再轉發到外部網絡的通信連接,這樣就較為有效地保護了內部主機的信息安全,因為實際上就將內部網絡主機與外部網絡主機的通信轉變成為了內部網絡主機和防火墻的通信。而SNAT就是改變轉發數據包的源地址,對外部網絡是屏蔽的,只是對內部網絡地址進行轉換,這樣一來,外部非法用戶對內部主機的攻擊就更加困難。
2.多級的過濾技術。防火墻技術主要采用三級過濾措施來實現它的功能,分別是電路網關、應用網關和分組。分組過濾一級可以有效過濾掉所有假冒的IP源地址和假冒的源路由分組;在應用網關一級可以監測和控制Internet提供的所有通用服務,它采用的是SMTP等各種網關;而在電路網關一級,嚴格控制服務的執行,實現外部站點和內部主機的透明連接。
(二)防病毒技術。隨著互聯網技術和信息技術的不斷發展,計算機病毒對計算機系統構成了極大的威脅,同時,病毒也變得越來越高級、越來越復雜。目前市面上普遍使用的防病毒軟件一般可以分為單機防病毒軟件和網絡防病毒軟件兩大類。單機防病毒軟件一般是分析掃描本地和本地工作站鏈接的資源,通過快速檢測來達到清除計算機病毒的目的。而網絡防病毒軟件則不是側重于單臺電腦的防病毒處理,而是主要注重于網絡防病毒,一旦病毒從網絡向其它資源傳染,那么該軟件就會歷盡檢測,并及時加以刪除。例如金山毒霸網絡版V7.0具備提前被系統加載特性,可以在病毒模塊還沒有加載或被保護的時候刪除被保護的病毒文件或攔截禁止病毒的保護模塊;精確打擊,定點清除頑固惡意軟件和木馬,解決能查不能殺的難題從而完成正常殺毒任務。金山毒霸網絡版V7.0實現了集中式配置、部署、策略管理和報告,并支持管理員對網絡安全進行實時審核,以確定哪些節點易于受到病毒的攻擊,以及在出現緊急病毒情況時采取何種應急處理措施。網絡管理員可以通過邏輯分組的方式管理客戶端和服務器的反病毒相關工作,并可以創建、部署和鎖定安全策略和設置,從而使得網絡系統保持最新狀態和良好的配置。金山毒霸網絡版V7.0采用分布式的漏洞掃描及修復技術。管理員通過管理節點獲取客戶機主動智能上報的漏洞信息,再精確部署漏洞修復程序;其通過Proxy()下載修復程序的方式,極大地降低了網絡對外帶寬的占用。全網漏洞掃描及修復過程無需人工參與,且能夠在客戶機用戶未登錄或以受限用戶登錄情況下進行。
(三)加密技術。加密技術一般分為非對稱加密和對稱加密兩大類。在對稱加密技術中,都使用相同的鑰匙來對信息的解密和加密,這種加密的方法能夠有效地簡化加密處理過程。而對于非對稱加密體系而言,密鑰被分解為一對不同的密鑰(即私有密鑰和公開密鑰)。這對密鑰中可以把任何一把作為加密密鑰(公開密鑰),通過公開的方式向他人公開,而另一把則作為解密密鑰(私有密鑰)加以保存。私有密鑰用于解密,公開密鑰用于加密。
參考文獻:
[1]郝玉潔,.網絡安全與防火墻技術[M].北京:電子科技大學學報社科版,2002,1(4):24-28
篇(9)
一、引言
“互聯網+”指的是互聯網與各個傳統行業之間的結合,將互聯網技術融合入社會各領域中。[1]為了緊緊把握現代化創新發展的趨勢,在“互聯網+”這個新型背景下,校園網絡逐漸在高校中興起。校園網絡促使高校的教學模式進行了一次變革,信息技術的運用使高校內部資源共享的目標得以實現。學生們可以運用校園網絡進行自主創新學習,并能夠通過校園網絡查閱一些資料,從而在一定程度上豐富自己的知識。但校園網絡正受到一定的沖擊,其遭遇的安全威脅也在不斷增多,這些不利因素將有害于校網網絡的使用,亟待相關人員采取科學合理的措施來消除這些影響。
二、高校校園網絡的安全問題分析
1網絡自身存在著安全漏洞
互聯網最先出現在人們的生活中時,其用戶規模非常小,這致使設計人員在規劃時沒有在意網絡安全方面的問題,使得互聯網中含有比較多的安全漏洞。各種相關的硬件設備在出廠前可能沒有按照要求進行檢測就被運用于網絡體系中,這不可避免會對校園網絡造成無法挽回的損失。雖然部分系統內部里面設置有安全防護機制,但是由于相關操作人員的能力有限,對互聯網技術的理解還不夠透徹,致使這些機制無法得到有效運用,最終會對網絡體系造成一定干擾。
2內部使用者的威脅
高校校園網絡因為主要是供內部人員們進行使用,故對外界人員設置了比較多的限制手段,而輕忽了內部管理方面的防護工作,使得校園網絡內部的安全屏障非常薄弱,易受到內部人員的攻擊而導致網絡出現故障。同時,學生們對網絡的了解不夠到位,他們往往忽略了病毒可能帶來的危害,沒有及時開展清理工作,最終將病毒傳入校園網絡之中,許多主要數據也會因此被損毀,校園網絡體系也將受到各種類型病毒的沖擊。
3管理制度不完善和安全意識淡薄
高校內部網絡維護工作人員沒有嚴格按照規定要求定期對網絡進行檢查,使得網絡內部的問題不能及時發現,故無法采取有效措施來解決這些安全漏洞。部分高校在建立校園網絡時沒能徹底落實監控管理制度,部分維護人員抱著僥幸心理,在進行維護工作時非常隨意并常常謊報數據,長期以后,校園網絡的問題會越積越多。
由于一些老師和學生沒有經過有關校園網安全的教育,使得他們的安全意識不夠強烈,因而會為校園網絡引入一系列不良成分。
4軟件的漏洞
一般來說,軟件的復雜程度與其漏洞的多少之間具有密不可分的聯系,如果該軟件的內部規模越龐大且非常煩瑣,則其不可避免會遭受更多的安全威脅,系統內部的破綻相對來說也會愈加偏多。高校校園網絡作為一種區域性的網絡,所包含的數據非常龐大,涉及的軟件種類繁多,故其內部不可避免會存在著一系列安全漏洞。這種現象致使校園網絡更易受到各種不良沖擊,通過大量的數據分析可知,聊天、視頻、游戲和辦公等相關軟件因其良好的適應性而被大家廣泛運用,由于使用過于頻繁使得這些軟件的安全隱患數目較多,更易被不法分子利用起來對校園網絡發起攻擊。同時,操作系統在設計完成后仍隱含著一些安全隱患,導致操作系統經常被各種有害因素干擾,這也嚴重影響了網絡的安全。
三、高校校園網絡安全的對策
針對上述高校校園網絡中存在的問題,高校網絡管理人員要盡可能采取一系列措施來進行改善,以免對校園網絡造成破壞性影響。
1強化網絡安全管理制度建設
要想確保校園網絡能夠安全運行,各個學校有必要結合自身的實際狀況來展開一系列優化完善工作。學校在運用校園網絡的同時也需擬定相關安全管理體系,以此來推動校園網絡平穩運行。為防止高校內部人員可能帶來的安全威脅,學校可以有針對性地制訂一系列處罰章程以及相關行為規范要求,從而在一定程度上緩解高校校園網絡的安全壓力,并盡最大可能地減少網絡中所存在的安全漏洞。在規劃嚴格的制度的同時也不能忽視相關物理防護基礎設備的安置工作,因為這些物理防護工程對安全管理制度的落實起著較佳的輔助效果。
2加強對用戶的教育和培訓,提升管理人員的技術水平
高水平的網絡管理人員往往會通過設置權限與口令以及相關安全設備來保障校園網的安全。[2]校園網的安全不僅需要管理人員的維護處理,還要求其內部使用人員能夠合理地運用網絡。故非常有必要對這些使用者展開一系列培訓活動,通過這種模式來不斷提高他們的安全意識,使他們能夠按照安全要求來使用校園網。管理人員的技術水平高低對校園網的安全管理有著很大的影響,高水平管理人員往往會提前做好重要數據的備份工作,以防止數據在校園網遭遇威脅時被消除,且他們的工作效率普遍較高,在發現問題時能夠迅速進行維護修復,故學校要努力爭取讓管理人員不斷提高其技術水平。
3加強系統檢測,及時修復漏洞
校園網監控站要定期對整個體系進行掃描檢測,以便能夠及時發現潛在的威脅,從而及時采取一系列措施來完善。各高校網絡中心建立操作系統補丁服務器,提供用戶補丁的下載、升級更新服務,使他們可以及時修復漏洞。
篇(10)
操作系統是計算機運行的支撐軟件,它為用戶提供了一個能夠使得程序或其他的應用系統能在計算機正常運行的平臺。有些安裝程序經常會附帶一些可執行文件,一旦某個部分有漏洞,可能導致整個操作系統的崩潰;同時操作系統還具備一些遠程調用作用,能夠提交程序為遠程服務器服務。遠程調用必然需要通過眾多的通訊環節,在中間環節有可能會出現被人監控等安全的隱患。
1.2網絡的開放性
就網絡的開放性而言,因為網絡技術是全開放的,導致其所面臨的網絡攻擊來源幾步確定:可能來源于物理層對傳輸線路的攻擊,也可能來源于來網絡層對通信協議的攻擊,還可能來源于應用層對計算機軟件與硬件的漏洞進行的攻擊;就網絡的自由性而言,大部分的網絡對用戶的使用來說,通常并沒有技術上的限制,同時也容易造成信息泄露。
2網絡安全技術應用中的完善措施
2.1防火墻
常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過,是一種隔離控制技術,通過預定義的安全策略,對內外網通信強制實施訪問控制,狀態檢測技術采用的是一種基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別,與傳統包過濾防火墻的靜態過濾規則表相比,它具有更好的靈活性和安全性;其目的在于隱蔽被保護網絡的具體細節,保護其中的主機及其數據。
2.2數據加密
數據加密主要用于對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法。與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。
2.3健全的管理
在計算機網絡系統中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網絡安全的重要保證,要不斷地加強計算機信息網絡的安全規范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防范意識。網絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網內的IP地址資源統一管理、統一分配。對于盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力,才能使計算機網絡的安全可靠得到保障,從而使廣大網絡用戶的利益得到保障。
2.4漏洞掃描系統
解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點,面對大型網絡的復雜性和不斷變化的情況僅僅依靠網絡管理員的技術和經驗尋找安全漏洞做出風險評估顯然是不現實的。解決的方案是尋找一種能查找網絡安全漏洞,評估并提出修改建議的網絡,安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
篇(11)
2人為的惡意攻擊:
這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。
3網絡軟件的漏洞和“后門”:
網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設想。
下面,我們就從不同的方面來構建一個安全的金融網絡體系:
1平臺安全
平臺安全泛指操作系統和通用基礎服務安全,主要用于防范黑客攻擊手段。目前市場上大多數安全產品均限于解決平臺安全,該行以信息安全評估準則為依據,確定平臺安全實施過程包括以下內容:操作系統漏洞檢測與修復;Unix系統、Windows系統、網絡協議、網絡基礎設施漏洞檢測與修復;路由器、交換機、防火墻、通用基礎應用程序漏洞檢測與修復;數據庫、Web/Ftp/Mail/DNS等其他各種系統守護進程、網絡安全產品部署。平臺安全實施需要用到市場上常見的網絡安全產品,主要包括防火墻、入侵檢測、脆弱性掃描和防病毒產品、整體網絡系統平臺安全綜合測試/模擬入侵與安全優化。
2應用安全
應用安全可保障相關業務在計算機網絡系統上安全運行,它的脆弱性可能給信息化系統帶來致命威脅。該行以業務運行實際面臨的威脅為依據,為應用安全提供的評估措施有:業務軟件的程序安全性測試(Bug分析)、業務交往的防抵賴測試、業務資源的訪問控制驗證測試、業務實體的身份鑒別檢測、業務現場的備份與恢復機制檢查、業務數據的惟一性/一致性/防沖突檢測、業務數據的保密性測試、業務系統的可*性測試、業務系統的可用性測試。
測試實施后,可有針對性地為業務系統提供安全建議、修復方法、安全策略和安全管理規范。
3通訊安全
為防止系統之間通信的安全脆弱性威脅,該行以網絡通信面臨的實際威脅為依據,為保障系統之間通信的安全采取的措施有:通信線路和網絡基礎設施安全性測試與優化、安裝網絡加密設施、設置通信加密軟件、設置身份鑒別機制、設置并測試安全通道、測試各項網絡協議運行漏洞。
其中訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。主要包括入網訪問控制,網絡的權限控制,目錄級安全控制,屬性安全控制,網絡服務器安全控制,網絡監測和鎖定控制等。
4運行安全
運行安全可保障系統的穩定性,較長時間內將網絡系統的安全控制在一定范圍內。該行為運行安全提供的實施措施有:應急處置機制和配套服務、網絡系統安全性監測、網絡安全產品運行監測、定期檢查和評估、系統升級和補丁提供、跟蹤最新安全漏洞、災難恢復機制與預防、系統改造管理、網絡安全專業技術咨詢服務。運行安全是一項長期的服務,包含在網絡安全系統工程的售后服務內。
網絡安全審計的目的就是要了解網絡的弱點位置和嚴重程度,以便如何糾正。提前注意到問題的存在,就能防止這些問題在被忽視的情況下變得非常嚴重。審計是每天都要完成的任務,網絡安全工作是一個持續的過程。基本的審計工作包括:記錄用戶使用網絡系統的過程并對這些記錄檢查審計、分析例外事件和違規操作,對網絡的安全和使用作出評估。
5管理安全
管理安全對以上各個層次的安全性提供管理機制,以網絡系統的特點、實際條件和管理要求為依據,利用各種安全管理機制,為用戶綜合控制風險、降低損失和消耗,促進安全生產效益。銀行的各種重大數據都集中在服務器,從而也成為黑客們攻擊的主要對象。因此,服務器的安全是銀行系統安全的重中之重。一旦服務器上存放的數據被竊取、篡改、破壞、刪除,其后果非常嚴重。
要保障銀行安全,除了要部署目前已經得到廣泛應用的防火墻和防病毒產品外,入侵檢測、主機保護等產品或工具也是必不可少的。
設置安全檢測和攻擊預警系統的目的是:運用成熟的攻擊、反攻擊技術,分析已知的系統安全漏洞和薄弱環節。安全檢測可以在不安全因素被誘發之前,消除系統可能的安全隱患。攻擊預警系統可以實時發現網絡攻擊,阻撓不安全用戶進入系統。
入侵檢測的主要安全需求是:根據網絡攻擊的特征,在被保護網絡的入口處進行實時監測。發現攻擊時,向管理員報警并阻斷、記錄攻擊的來源;針對系統掃描以及實時監測發現的系統漏洞,及時采取措施,實施動態的安全防衛策略;
6人為因素引發的安全策略
在建立網絡管理體系時,人為因素對網絡安全的影響非常重要,即使制定了相當完善的安全制度,如果操作員不認真履行操作規程或越權執行,都將對網絡造成不安全因素。操作人員、網絡管理人員、安全管理人員,應堅持多人負責、職責分離、任期有限的原則。對于有些工作:如程序的操作和開發、機密資料的接受和發送、安全管理和網絡系統管理、密碼的管理和使用、操作和媒介管理等,必須分工管理;重要操作如證件發放、處理機密信息、軟硬件維護、程序刪除和修改、數據刪除和修改等,必須堅持多人監督。安全管理工作人員,應該有任期時限,不能成為專有和永久性的,應強制休假或培訓,以提高網絡安全性和安全管理效率。
結語
根據上述安全管理策略,結合從事金融行業網絡建設多年的經驗,作者認為一套完善、高效、集中的金融網絡管理系統應該達到如下目標:
(1)面向運維:系統應作為全行網絡的性能預警器,對異常和非趨勢現象向相關運維單元通告。系統應是一套適合全行網絡發展的完整的網絡性能分析方案,它由一些不同的功能模塊所組成,性能管理、配置管理、報表管理等,這些功能模塊建立在通用的數據平臺上,通過自動化的工作流程緊密連接,形成一個有機的整體。
