时间:2023-11-27 16:03:14
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全与攻防范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
[关键词]
网络系统;攻防特点;安全策略
一、引言
伴随着网络系统使用的范围不断扩大,网络系统的安全问题也越来越多的暴露出来。网络系统的安全问题与网络系统攻防特点有直接的关系。本文介绍了网络系统攻防的特点,主要包括攻网络防技术的特点、网络攻防成本的特点、网络攻防主体、网络攻防空间的特点和网络攻防发展的特点。结合目前网络系统安全性现状,做出了维护网络系统安全性的安全策略。希望通过本文的介绍,能够为维护网络系统安全提供理论依据和指导意见。
二、网络系统攻防特点
网络系统包括网络攻击系统和网络防御系统,网络攻击系统和网络防御系统的联系是非常密切的。所谓网络攻击系统是指攻击者利用网络系统搜集被攻击网络的信息,搜集之后进行对比、研究,发现被攻击网络的漏洞,针对漏洞进行攻击,进而达到监视或者控制被攻击网络的目的,甚至造成被攻击网络瘫痪。网络攻击可以是大范围的攻击,采用的方式有很多种,并且攻击的隐蔽性好。网络防御系统是与网络攻击系统对立的,网络防御系统通过加密技术和身份认证等技术,保护网络能够抵御外界攻击并且保证传输的数据信息等不被监视。网络防御的范围相对比较小,只能对特定范围的计算机网络进行保护。网络系统攻防特点主要包括攻网络防技术的特点、网络攻防成本的特点、网络攻防主体、网络攻防空间的特点和网络攻防发展的特点。下面对网络系统攻防的特点逐条进行介绍。
1、网络攻防技术的特点网络系统本身是属于技术含量非常高的,但是,正是由于科学技术的不断发展,产生了一系列虽然本身技术含量高,可是操作却相对比较容易的网络攻击系统。攻击的操作者不需要对网络有太高深的理解,只要按照相关提示进行操作便可实现网络攻击。针对网络应用软件、网站等等存在漏洞和缺陷是可以理解的,正是由于存在漏洞的缺陷在能促进其不断完善。正常情况下有关应用软件、网站的漏洞和缺陷应该属于机密,外界人员是不能知道的,但是,目前这些本应属于机密的文件在网络上可以很轻易地获知,这就对应用软件和网站构成了潜在的威胁,导致网络的安全性和稳定性处在随时可能被破坏的阴影之下。一些网络攻击者本身对网络系统和网络攻防系统非常了解,进而开发了网络攻击工具或者网络攻击软件,配备详细的使用说明进行销售,从而使得很多人都能够应用这些攻击工具或者网络攻击软件进行网络攻击,破坏性和不良影响非常巨大。与网络攻击系统向对立的网络防御系统,对防御技术的要求就要高很多。目前,很多人都只具备简单的网络常识,例如安装防护软件,网络查杀病毒等等。当遇到有针对性的攻击时,往往素手无策,需要专业的人员才能解决问题。
2、网络攻防成本的特点通常网络系统的攻击成本是非常廉价的,只要一台能够上网的计算机就能实现,并且很有可能只是通过这样廉价的设施在短时间内就能破坏很大的网络系统,造成网络系统数据损失或者整个网络系统运行瘫痪,损失的人力和金钱是相当巨大的。网络攻击甚至能够针对卫星进行攻击,特别是发射时间比较靠前的卫星,因为缺乏必要的安全防护措施,在受到攻击之后不具备防御能力,非常容易遭到干扰。就算是针对近年来发射的本身自带防御措施的卫星,网络攻击者仍然能够有漏洞可以钻,潜在的危害非常大。
3、网络攻防主体的特点传统的实体较量中,攻防较量的双方通常应该是整体实力相差不多。在实体较量中,实力非常弱的一方去挑战实力非常强的一方现象是很少出现的。在网络系统中,这种定律被打破了。不同实力的双方进行较量时,较量的结果是不确定的,不再一定是实力强一方获胜了。基于网络攻防主体的特点,促进了不同等级的网络主体进行较量,任何一方都可以主动发起挑战。弱国不再一直处于防守状态,强国也不再一直处在攻击状态。
4、网络攻防空间的特点传统的实体进行较量,对空间有要求,需要空间位置上的接近。网络攻防打破了对空间上的约束。攻击者可以位于世界上的任何一个有网的地方,对世界上任何地方的网络进行攻击。网络攻击的隐蔽性好,可以通过多个网络平台之后再进行攻击,能够有效的将自己隐藏起来,防御方想要确定攻击位置和攻击方都存在很大的困难。
5、网络攻防发展的特点网络攻防系统是相互对立,并且相互制约的,但是网络攻防的发展是不同步的。网络防御技术的发展要落后于网络攻击技术的发展,往往是攻击者根据掌握了网络知识和攻击技巧后,通过网络攻击系统向网络防御系统发出攻击,网络防御系统为了保证自身的安全性和稳定性作出防御反应。通常正是由于攻击系统的不断攻击,才促进了防御系统的发展与进步。正是这种攻击与被攻击、进步与被进步的紧密联系促进了网络系统的发展,同时也证明了,一个网络系统要想长期安全、稳定的发展下去,需要始终保持发展的眼光。
三、网络系统安全策虑
网络系统给人们的工作、生活和学习带来了相当大的便利,人们的工作、生活和学习已经离不开网络系统。网络系统存在的网络安全是一种潜在的威胁,一旦出现网络安全问题有可能造成很大的损失,因此需要加强对网络系统安全问题的重视。网络系统安全问题与网络系统攻防有着必然的联系,网络系统的攻防较量决定了网络系统的安全性。上一章已经对网络系统攻防特点进行了介绍,本章将对网络系统安全策略进行介绍。
1、网络病毒防范网络系统中的安装软件和程序往往是存在漏洞和缺陷的,计算机病毒正是利用了相关的漏洞和缺陷产生的。网络系统的发展一方面方便了用户,另一方面也导致网络病毒的种类越来越多,传播速度越来越快,造成的破坏力也越来越大。对网络病毒进行防范是比较直接的降低网络安全问题的一个策略。可以再计算机中安装正规的杀毒软件,杀毒软件通常可操作性强,对于网络知识比较薄弱的人来说也比较容易使用。对于安全性未知的网站不要轻易登录,不下载和使用来历不明的软件和程序,对于下载的软件和程序首先要进行杀毒,确保没有病毒之后才能进行后续的安装。对系统随时进行更新,减少漏洞和缺陷,避免因为存在明显的漏洞而被网络攻击者有机可乘。
2、安装防护墙防火墙位于网络系统内部和网络系统外部之间,用于保证网络系统内部的安全,可以说是保证网络系统内部安全性的一道关卡。防火墙能够对网络系统外部的数据和程序进行甄别,确定是否为恶意攻击数据和程序,如果确定为攻击数据和程序,将把其拦截在网络系统之外,不允许其进入到网络系统内部,防止对网络系统内部造成破坏。防火墙起到监控网络系统传输数据的功能,对于存在隐患的数据限制传输。从网络系统攻防角度来讲,防火墙主要是针对网络系统进攻方,防止网络系统进攻方针对网络系统的安全攻击。
3、加密数据网络系统的攻击者一旦穿过了防火墙进入网络系统内部,如果采用普通数据,系统攻击者将会比较轻松的获得网络系统中的数据,损失惨重。如果将数据进行加密,则为网络系统攻击者增加了障碍,有利于降低对网络系统的损失。加密技术的发展比较早,目前网络加密数据技术已经发展的相对比较成熟。网络加密的手段比较多,目前比较常用的是对称密钥和非对称密钥,网络安全维护者可以根据实际的网络环境合理的选择使用对称密钥或者非对称密钥,必要时,可以同时使用。
4、数字签名数据在网络系统双方之间进行传输时,发送数据方可以在数据上进行数字签名,数字签名起到鉴别发送者的作用,避免接收者对数据误解而错接了含有病毒的数据,造成意外损失。数字签名还有另外一个作用,加入数字签名之后,接收者可以明确看出数据或者程序是否有缺失。
5、数字证书网络系统中使用的数字证书与人们在实际生活中使用的身份证作用相同,是一个用户身份的证明。身份证需要到民政部门办理,网络数字证书同样需要经过合法的第三方进行认证,只有经过认证之后,才能起到作用。在网络系统进行传输数据时,加入数字证书认证,能够有效的进行保密,防止恶意攻击。
四、总结
科学技术的发展加快了网络系统的发展,网络系统已经与人们的生活和工作产生了密切的联系。由于网络系统自身的技术特点,造成网络系统存在被攻击和破坏的可能性。人们在使用网络系统的时候,不可避免的会遇到网络的安全问题,并且目前网络安全问题有日益突出的趋势。网络系统的安全问题与网络系统的开放性质有关,与网络系统的攻防特点也密切相关。本文首先简单介绍了网络攻击系统和网络防御系统概念,然后介绍了网络系统攻防特点,网络系统攻防特点主要包括攻网络防技术的特点、网络攻防成本的特点、网络攻防主体、网络攻防空间的特点和网络攻防发展的特点。最后结合网络系统自身的特点、网络攻击系统、网络防御系统特点以及目前的网络系统安全问题,阐述了网络系统安全策略。网络系统安全策略包括网络病毒防范、安装防火墙、加密数据、数字签名和数字证书。只有做好了各个环节的安全策略,才可能保证网络系统整体的安全性。
参考文献
[1]向阳霞.基于虚拟靶机的方法在网络攻防实验教学中的应用[J].网络与通信技术,2010(5)
中图分类号:TP393.08文献标识码:A 文章编号:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前,伴随着计算机网络的大量普及与发展,网络安全问题也日益严峻。而传统的、被动防御的网络安全防护技术也将越来越无法应对不断出现的新的攻击方法和手段,网络安全防护体系由被动防御转向主动防御是大势所趋。因此,立足现有网络设备进行攻防实验平台的设计和研究,对于未来网络安全防护技术的研究具有深远的指导意义。
1 系统功能设计概述
1.1 主动防御技术的概念
主动防御技术是一种新的对抗网络攻击的技术,也是当今网络安全领域新兴的一个热点技术。它源于英文“Pro-active Defense”,其确切的含义为“前摄性防御”,是指由于某些机制的存在,使攻击者无法完成对攻击目标的攻击。由于这些前摄性措施能够在无人干预的情况下预防安全事件,因此有了通常所说的“主动防御”[1]。网络安全主动防御技术能够弥补传统被动防御技术的不足,采用主机防御的思想和技术,增强和保证本地网络安全,及时发现正在进行的网络攻击,并以响应的应急机制预测和识别来自外部的未知攻击,采取各种应对防护策略阻止攻击者的各种攻击行为。
1.2 系统设计目标
目前关于主动防御的网络安全防御策略理论研究的较多,但是对于很多实际应用方面还缺乏实战的指导和经验。网络安全攻防实验平台主要依据主动防御技术体系为策略手段,针对现有网管软件存在的问题,进行主动防御技术体系优化,其核心在于在实验中实现系统的漏洞机理分析、安全性检测、攻击试验、安全应急响应和提供防御应对策略建议等功能,能够启发实验者认识和理解安全机理,发现安全隐患,并进行系统安全防护。
1.3 实验平台功能
基于主动防御的网络安全攻防实验平台是一个网络攻击与防御的模拟演示平台,在单机上模拟出基本的网络节点(设备),然后在这个模拟的网络环境中演示出网络攻击与防御的基本原理和过程,并以可视化的结果呈现出来。该实验平台所仿真的机理和结果能够依据网络安全的需求,最终用于网络攻防测评和实战的双重目的。并可以为网络攻击和防护技能人才更好的学习提供一定的参考。为完整地体现网络战攻防的全过程,该平台分为攻击模块与防御模块两部分。
攻击模块部分包括主机端口的扫描、检测、Web/SMB攻击模块和IDS等。其主要功能是实现对于目标系统的检测、漏洞扫描、攻击和与防护端的通讯等[2]。
防御模块部分主要是基于主动防御技术的功能要求,实现检测、防护和响应三种功能机制。即能够检测到有无攻击行为并予以显示、给出陷阱欺骗可以利用的漏洞和提供防护应对策略等,如: 网络取证、网络对抗、补丁安装、系统备份、防护工具的选购和安装、响应等。
2 攻防实验平台模型设计
2.1 设计方案
要实现网络攻防的实验,就必须在局域网环境构建仿真的Internet环境,作为攻防实验的基础和实验环境。仿真的Internet环境能实现www服务、FTP、E-mail服务、在线交互通信和数据库引擎服务等基本功能。依据系统的功能需求分析,该平台要实现一个集检测、攻击、防护、提供防护应对策略方案等功能于一体的软件系统。主要是除了要实现基本的检测、攻击功能外,还必须通过向导程序引导用户认识网络攻防的机理流程,即:漏洞存在―漏洞检测(攻击模块)―攻击进行(攻击模块)―系统被破坏―补救措施(防御模块)―解决的策略方案(防御模块)[3],以更好的达到实验效果。
平台整体采用C/S模式,攻击模块为客户端,防御模块为服务器端。攻击模块进行真实的扫描、入侵和渗透攻击,防御模块从一定程度上模拟并显示受到的扫描、攻击行为,其模拟的过程是动态的,让实验者看到系统攻击和被攻击的全部入侵过程,然后提供响应的防护应对策略。攻防实验平台模型如图1所示。
2.2 基于主动防御的网络安全体系
根据本实验平台设计的思想和策略原理,为实现主动防御的检测、防护和响应功能机制,构建基于主动防御技术的网络安全策略体系(如图2所示)。安全策略是网络安全体系的核心,防护是整个网络安全体系的前沿,防火墙被安置在局域网和Internet网络之间,可以监视并限制进出网络的数据包,并防范网络内外的非法访问[4-5]。主动防御技术和防火墙技术相结合,构建了一道网络安全的立体防线,在很大程度上确保了网络系统的安全,对于未来的网络安全防护具有深远的意义。检测和响应是网络安全体系主动防御的核心,主要由网络主机漏洞扫描(包括对密码破解)、Web/SMB攻击、IDS、网络取证、蜜罐技术等应急响应系统共同实现,包括异常检测、模式发现和漏洞发现。
2.3 攻防模块设计
该实验平台的攻击模块和防御模块利用C/S模式采用特定端口进行通讯。攻击端以动作消息的形式,把进行的每一个动作发往防御端,防御模块从数据库中调用相关数据进行模拟、仿真,让实验者看到和体会到自身系统受到的各种攻击。攻防模块经过TCP/IP建立连接后,开始进行扫描、检测、Web/SMB攻击和IDS等入侵行为,攻击端每一个消息的启动都会发给防御端一个标志位,防御模块经判断后,调用相关的显示和检测模块进行处理,并提供相应的防护应对策略。
3 平台的实现
3.1 主动防御思想的实现
在一个程序中,必须要通过接口调用操作系统所提供的功能函数来实现自己的功能。同样,在平台系统中,挂接程序的API函数,就可以知道程序的进程将有什么动作,对待那些对系统有威胁的动作该怎么处理等等。实验中,采取挂接系统程序进程的API函数,对主机进程的代码进行真实的扫描,如果发现有诸如SIDT、SGDT、自定位指令等,就让进程继续运行;接下来就对系统进程调用API的情况进行监视,如果发现系统在数据的传输时违反规则,则会提示用户进行有针对性的操作;如果发现一个诸如EXE的程序文件被进程以读写的方式打开,说明进程的线程可能想要感染PE文件,系统就会发出警告;如果进程调用了CreateRemoteThread(),则说明它可能是比较威胁的API木马进程,也会发出警告。
3.2 攻击程序模块实现
网络安全攻防实验平台的设计是基于面向对象的思想,采用动态连接库开发扫描、检测、攻击等功能模块。利用套接字变量进行TCP/IP通信,调用DLL隐式连接和显示连接,采用在DLL中封装对话框的形式,也就是把扫描、检测、攻击等功能和所需要的对话框同时封装到DLL中,然后主程序直接调用DLL[6]。实验中,可以在攻击程序模块中指定IP范围,并输入需要攻击的主机IP地址和相应的其他参数,对活动主机漏洞进行扫描和密码攻击(如图3所示);并指定IP,对其进行Web/SMB攻击,然后输出攻击的结果和在攻击过程中产生的错误信息等。
3.3 防御程序模块实现
在程序的运行中,采取利用网络侦听机制监听攻击模块的每一次动作消息的形式,自动显示给用户所侦听到外部攻击行为(如图4所示:Web/SMB攻击)。该模块同样使用了WinSock类套接字进行通讯,在创建了套接字后,赋予套接字一个地址。攻击模块套接字和防御模块套接字通过建立TCP/IP连接进行数据的传输。然后防御模块根据接收到的标志信息,在数据库中检索对应的记录,进行结果显示、网络取证、向用户提供攻击的类型及防护方法等多种应对策略。其中的蜜罐响应模块能够及时获取攻击信息,对攻击行为进行深入的分析,对未知攻击进行动态识别,捕获未知攻击信息并反馈给防护系统,实现系统防护能力的动态提升。
4 结束语
基于主动防御的网络安全攻防实验平台主要是针对传统的被动式防御手段的不完善而提出的思想模型。从模型的构建、平台的模拟和实验的效果来看,其系统从一定程度上真实的模拟了网络设备的攻防功能,可以为网络管理者和学习者提供一定的参考和指导。
参考文献:
[1] 杨锐,羊兴.建立基于主动防御技术的网络安全体系[J].电脑科技,2008(5).
[2] 裴斐,郑秋生,等.网络攻防训练平台设计[J].中原工学院学报,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―网络安全的机密与解决方案[ M].北京:清华大学出版社,2002
[4] 张常有.网络安全体系结构[M].成都:电子科技大学出版社,2006(15).
随着计算机和Internet技术的迅速普及和发展,计算机网络早已成了一个国家的经济脉搏。计算机网络在社会活动的各个方面中都起到了不可或缺的作用。大部分的企业、政府部门和其他组织机构均建立了适合各自使用的基于互联网的相关系统,达到充分配置各种资源和信息共享等功效。互联网为社会和经济的快速进步提供了技术基础,作用也愈发突出。然而,网络技术的快速发展也出现了多种多样的问题,安全状况尤其明显。因为它又为很多的计算机病毒和黑客创造了机会和可能,不管是由于它们在设计上有不足,还是因为人为的原因造成的种种漏洞和缺陷,均会被某些意图不轨的黑客利用,进而发起对系统等进行攻击。只有做到了解才能在黒客进行网络攻击前做到充分的防范,从而保证网络运行过程中的安全性。熟知Internet会发生的各种状况威胁,做到及时的预防和准备,实现网络安全早已成为互联网实施中最为主要的方面。网络安全是在互联网经济时代中人们所面临的共同威胁,而我国的网络安全问题也越来越明显。
1 网络安全面对的威胁主要表现为:
1.1 黑客攻击
黑客最开始是指那些研究计算机技术的专业计算机人士,特别是那些编程技术人员。但现在,黑客一词则是泛指那些专门通过互联网对计算机系统进行破坏或非法入侵的人。全球现在已有20多万个黑客网站,网站上讲解了对网站和系统的一些攻击软件的使用和攻击的方式,以及系统的某些缺陷和漏洞,所以黑客技术也被人们普遍的了解,因此系统和网站受到攻击的几率就大大提高。目前对于网络犯罪进行快速反应、跟踪和追捕等技术不健全,使得黑客攻击系统和网站越来越猖狂,这也是影响网络安全的重要因素。
1.2 木马
木马程序是当前在互联网上盛行的病毒感染文件,和普通的病毒不一样,它不能进行自我繁殖,也并不“自主”地去破坏用户文件,通过将文件伪装吸引用户下载运行被感染的文件,向施种木马者提供打开被感染用户计算机的门户,使施种者可以对被感染的用户的文件进行盗窃、破坏,还可以控制被感染用户的计算机。一般情况下的木马文件包括客户端和服务器端两个部分,客户端是施种木马者进行远程控制被感染的用户的服务器终端,而服务器端则是植入木马文件的远程计算机。当木马程序或包含木马病毒的其他程序运行时,木马会先在系统中潜伏下来,并篡改系统中的数据和程序,每次使用系统时都会使潜伏的木马程序自动运行。执行木马的客户端和服务器端在运行模式上属于客户机/服务器方式Client/Server,C/S 客户端在当地计算机上运行,用来控制服务器端。而服务器端则是在远程计算机上运行,只要运行成功该计算机就中了木马,那么就变成了一台服务器,可以控者进行远程控制。
2 对防范网络攻击的建议:
在对网络攻有一定的了解的同时,我们应该对网络攻击采取有效的措施。确定网络攻击的漏洞所在,建立真正有效的的安全防范系统。在网络环境下设立多种多层的防范措施,真正达到防范的效果,让每种措施都像关卡一样,使得攻击者无计可使。同时,我们还要做到防范于未然,对重要的数据资料及时备份并实时了解系统的运作情况,做到有备无患。
对于网络安全的问题,提出的以下几点建议:
2.1 加强对安全防范的重视度
(1) 对于来路不明的邮件和文件不要随意的下载和打开,谨慎运行不熟悉的人提供的程序和软件,像“特洛伊”类木马文件就需要诱使你执行。
(2)最好不要从互联网上下载不正规的文件、游戏和程序等。就算是从大家都熟悉的网站下载程序等,也要在第一时间用最新的查杀病毒和木马的软件对其进行安全扫描。
(3)在进行密码设置是,尽量不适用单一的英文或数字的密码种类,因为它们很容易被破解,最好是字母、数字和符号的混合使用。同时对于经常使用的各个密码要进行不同的设定,防止一个密码被盗导致其他的重要数据丢失。
(4)对于系统提示的系统漏洞和补丁要及时的修补和安装。
(5)在支持HTML的论坛上,如出现提交发出警告,那么先查看BBS源代码,这极可能是诱骗密码的陷阱。
2.2 及时的使用防毒、防黑等防火墙保护软件,防火墙是一个用来防止互联网上的黑客入侵某个机构网络的保障,也把它称做控制进与出两个方面通信的大门。在互联网边界上通过建立各种网络通信流量监控体系来隔离内部和外部的网络,来防止外面互联网的入侵。
网络攻击的现象越来越多,攻击者也是越来越猖狂,这极大的威胁了网络的安全性。黑客们的疯狂入侵是都可以采取措施来防范的,只要我们知道他们的攻击方式及拥有大量的安全防御知识,就能消除黑客们的恶意进攻。不论什么时候我们都要把重视网络安全教育,提高网络用户的安全防范意识和培养一定的防御能力,这对确保整个网络的安全性有着不可或缺的作用。如今,市面上也出现了很多的提高网络安全的方法和各种防火墙,笔者认为网络成为安全的信息传输媒介即将成为现实。
参考文献:
[1]周学广等.信息安全学. 北京:机械工业出版社,2003.3
[2] (美)Mandy Andress著.杨涛等译.计算机安全原理. 北京:机械工业出版社,2002.1
一、当前网络信息面临的安全威胁
1、软件本身的脆弱性。各种系统软件、应用软件随着规模不断扩大,自身也变得愈加复杂,只要有软件,就有可能存在安全漏洞,如Windows、Unix、XP等操作系统都或多或少的漏洞,即使不断打补丁和修补漏洞,又会不断涌现出新的漏洞,使软件本身带有脆弱性。2、协议安全的脆弱性。运行中的计算机都是建立在各种通信协议基础之上的,但由于互联网设计的初衷只是很单纯的想要实现信息与数据的共享,缺乏对信息安全的构思,同时协议的复杂性、开放性,以及设计时缺少认证与加密的保障,使网络安全存在先天性的不足。3、人员因素。由于网络管理人员和用户自身管理意识的薄弱,以及用户在网络配置时知识与技能的欠缺,造成配制时操作不当,从而导致安全漏洞的出现,使信息安全得不到很好的保障。4、计算机病毒。当计算机在正常运行时,插入的计算机病毒就像生物病毒一样,进行自我复制、繁殖,相互传染,迅速蔓延,导致程序无法正常运行下去,从而使信息安全受到威胁,如“熊猫烧香病毒”
二、常见网络攻击方式
1、网络链路层。MAC地址欺骗:本机的MAC地址被篡改为其他机器的MAC地址。ARP欺骗:篡改IPH和MAC地址之间的映射关系,将数据包发送给了攻击者的主机而不是正确的主机。2、网络层。IP地址欺骗:是通过伪造数据包包头,使显示的信息源不是实际的来源,就像这个数据包是从另一台计算机上发送的。以及泪滴攻击、ICMP攻击和RIP路由欺骗。3、传输层。TCP初始化序号预测:通过预测初始号来伪造TCP数据包。以及TCP端口扫描、land攻击、TCP会话劫持、RST和FIN攻击。4、应用层。DNS欺骗:域名服务器被攻击者冒充,并将用户查询的IP地址篡改为攻击者的IP地址,使用户在上网时看到的是攻击者的网页,而不是自己真正想要浏览的页面。以及电子邮件攻击和缓冲区溢出攻击。5、特洛伊木马。特洛伊木马病毒是当前较为流行的病毒,和一般病毒相比大有不同,它不会刻意感染其他文件同时也不会自我繁殖,主要通过自身伪装,从而吸引用户下载,进而使用户门户被病毒施种者打开,达到任意破坏、窃取用户的文件,更有甚者去操控用户的机子。6、拒绝服务攻击。有两种表现形式:一是为阻止接收新的请求,逼迫使服务器缓冲区满;另一种是利用IP地进行欺骗,逼迫服务器对合法用户的连接进行复位,从而影响用户的正常连接。
三、网络安全采取的主要措施
1、防火墙。是网络安全的第一道门户,可实现内部网和外部不可信任网络之间,或者内部网不同网络安全区域之间的隔离与访问控制,保证网络系统及网络服务的可用性。2、虚拟专用网技术。一个完整的VPN技术方案包括VPN隧道技术、密码技术和服务质量保证技术。先建立一个隧道,在数据传输时再利用加密技术对其进行加密,使数据的私有性和安全性得到保障。3、访问控制技术。是机制与策略的结合,允许对限定资源的授权访问,同时可保护资源,阻止某些无权访问资源的用户进行偶然或恶意的访问。4、入侵检测技术。是指尽最大可能对入侵者企图控制网络资源或系统的监视或阻止,是用于检测系统的完整性、可用性以及机密性等方式的一种安全技术,同时也是一种发现入侵者攻击以及用户滥用特权的方法。5、数据加密技术。目前最常用的有对称加密和非对称加密技术。使用数字方法来重新组织数据[2],使得除了合法使用者外,任何其他人想要恢复原先的“消息”是非常困难的。6、身份认证技术。主要有基于密码和生物特征的身份认证技术。其实质是被认证方的一些信息,如果不是自己,任何人不能造假。四、总结网络信息安全是一个不断变化、快速更新的领域,导致人们面对的信息安全问题不断变化,攻击者的攻击手段也层出不穷,所以综合运用各种安全高效的防护措施是至关重要的。为了网络信息的安全,降低黑客入侵的风险,我们必须严阵以待,采取各种应对策略,集众家之所长,相互配合,从而建立起稳固牢靠的网络安全体系。
参考文献
[1]王致.访问控制技术与策略[N].网络世界,2001-07-23035.
[2]马备,沈峰.计算机网络的保密管理研究[J].河南公安高等专科学校学报,2001,05:22-29.
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2011) 16-0000-01
The Security of Network Attacks Based on CDP Protocol
Jiang Baohua
(Changchun University,Tourism College,Department of Basic,Changchun130607,China)
Abstract:CDP (Cisco Discovery Protocol) is one of Cisco's data link layer discovery protocol that runs on Cisco routers,bridges,access servers and switches and other devices used to find and view details of a neighbor important agreements,such as IP address,software version,platform, performance,and the native VLAN.Intruders often use denial of service (DoS) attacks such as access to these information,and use this information for CDP deception,resulting in significant security threats.
Keywords:CDP protocol;Network attacks;Security
一、CDP协议发现原理
要发现CDP协议的安全漏洞,就要知道其工作原理。CDP协议与现有的网络协议类型无关,主要用来发现与本地设备直接相连的Cisco设备。每个运行CDP协议的设备都会定期发送宣告消息,来更新邻居信息。同时每个运行CDP的设备也会接收CDP消息来记录邻居设备的信息。这些信息包括设备名称、本地接口、硬件版本、IOS版本、IOS平台、工作模式、本地VLAN、连接保持等。利用这些信息可以描述整个网站的拓扑情况。而且这些报文信息不加密,是明文。CDP发现直接相连的其他Cisco设备,,并在某些情况下自动配置其连接。CDP的优势非常明显,包括发现的速度、准确性、所获取的信息的详细程度。
CDP协议相关的命令与作用如下:(1)SHOW CDP命令获取CDP定时器和保持时间信息。(2)在全局模式下使用命令CDP TIMER和CDP HOLDTIME在路由器上配置CDP定时器和保持时间。(3)在路由器的全局配置模式下可以使用NO CDP RUN命令完全的关闭CDP。若要在路由器接口上关闭或打开CDP,使用NO CDP ENABLE和CDP ENABLE命令。(4)Show cdp neighbor命令可以显示有关直连设备的信息。要记住CDP分组不经过CISCO交换机这非常重要,它只能看到与它直接相连的设备。在连接到交换机的路由器上,不会看到连接到交换机上的其他所有设备。(5)Show cdp traffic命令显示接口流量的信息,包括发送和接收CDP分组的数量,以及CDP出错信息。(6)Show cdp interface命令可显示路由器接口或者交换机、路由器端口的状态。(7)debug cdp events启动CDP事件调试等等。
二、CDP协议安全威胁
确实在大部分情况下,CDP协议的作用是不可替代的。如在大多数网络中,CDP能够提供很多有用的信息并且可以协助管理员进行网络排错和性能优化。但是,其带来的安全隐患也不容忽视。在缺省状态下,Cisco品牌的交换机或路由器会自动在所有连接接口上发送CDP消息,这些消息由于没有采取安全加密措施,非法用户通过专业工具可以很轻松地窃取到这些敏感内容。当这些敏感信息被非法者拥有后,他们就能轻易了解到局域网中的组网结构,并通过相关地址对网络中的重要主机进行恶意攻击,最终造成网络无法安全、稳定地运行。
除了被动获取邻居设备的交换协议信息外,非法攻击者还可以利用专业的CDP工具程序定制伪造的CDP数据帧,来通知局域网中的高端网络管理软件,说在网络中新发现了一台网络设备。如此一来,相关网络设备就会主动尝试利用SNMP来联系“陷阱”设备,这个时候非法攻击者就会对这样的联系进行监控捕捉,从而有机会获得局域网中其他重要网络设备的名称、地址、接口等信息,日后就为攻击这些网络设备做好充足的准备工作。
此外,CDP协议还能欺骗思科的IP电话。当打开IP电话后,交换机就会通过CDP协议自动和IP电话交换CDP数据,并主动通知电话来让语音流量选用哪一个虚拟工作子网。在这一过程中,非法攻击者可以通过注入CDP数据帧的方法来欺骗IP电话,为语音流量分配一个错误的虚拟工作子网。
三、防范措施
根据CDP协议的工作原理CDP协议所发送的信息中包含了一些比较敏感的信息。如果这些信息被不法分子获得的话,那么将给企业的网络带来很大的安全隐患。为此保护的重点就是如何让这些敏感的信息不被外人所知。为了避免CDP协议泄露网络设备的相关信息,可以只在企业内部网络的设备中启用CDP协议。而在连接到互联网的企业级边缘路由器上的接口上禁用CDP协议。如此的话,相关的敏感信息不会泄露到企业的外部网络上。在配合网络防火墙等功能,就可以保证CDP协议信息的安全。可以在连接到服务器提供商或者企业边缘路由器的接口上禁用CDP协议。其他地方如果有安全需要的话,可以根据情况来判断是否启用CDP协议。在可以的情况下,还是启用CDP协议为好。例如,在单位内网环境中,只要部署好了网络防火墙和网络防病毒软件,就可以将网络中交换机或路由器上的CDP发现功能启用起来,以便为日后的网络维护与优化提供方便,因为内网环境在多项安全措施的保护下,CDP发现协议存在的安全威胁会大大下降。此外,在一些安全性要求不高的网络环境中,也可以通过启用CDP发现协议来提高网络故障的排查效率。例如,在普通的网吧工作环境中,由于不存在太重要的敏感信息,开启CDP协议可以方便平时的管理、维护操作。在一些安全性要求比较高的网络环境中,或者是单位网络的边缘网络设备上,尽量不要使用CDP协议,毕竟CDP协议或多或少地会带来一些麻烦。比方说,在银行、证券等金融网络中,应该慎重使用CDP协议,因为这个网络中包含的敏感、隐私信息特别多,要是被非法用户发现的话,就相当于暴露了许多攻击目标。
中图分类号:TP317.1 文献标识码:A文章编号:1007-9599 (2011) 10-0000-01
Network Security and Protection of Enterprise Office Automation
Su Wei1,2,Li Taoshen1
(1.Guangxi University,Computer and Electronic Information College,Nanning530004,China;2.Nanning Branch of China Telecom Co.,Ltd.,Nanning530028,China)
Abstract:With China's information technology development and globalization wave of the rapid development of electronic,information technology,electronic networks,the level of people has been gradually used in normal life and production being,but it is worth noting that the problem network security risks began to follow,and continuing to appear,and would therefore,for our country in the field of office automation,computer information network security issues,how the defense has started to become what we need to consider and to solve major core issue.During this and other related computer network security concepts to analyze the basis of China's computer,network security issues related to the corresponding analysis,office automation for internal network security issues related to the study.
Keywords:Enterprise;Office;Automation;Network Security
计算机网络的普及应用以及发展,让我们进一步的完善了在时空中获取有效信息的手段。在企业之中,与此相关一些网络安全方面的问题也随着网络的应用逐渐的凸现了出来,因此,如何保障企业办公自动化的网络安全方面的问题也受到了我们越来越多的关注,而且正在逐渐成为我们日程生活中网络技术应用所面临的一个主要问题。
一、企业办公自动化中的网络安全隐患
(一)病毒。随着我国信息技术等领域的飞速发展,第三次科技革命已经极大地促进了我国计算机以及其网络应用的普及程度,但是,科技的发展也相应的促进了电子计算机病毒的产生和发展。计算机病毒的数量也在不断出现之中,总数上已经超过了20000多种,并还在以每个月300种的速度增加着,其破环性也不断增加,而网络病毒破坏性就更强。计算机存在的病毒在本质可以说是一种进行自我复制、散播的特定程序,该病毒对于计算机所造成的危害性、破坏性相当巨大,甚至有时候可以使得整个的信息网络系统处于瘫痪状态,从很早以前我们就知道小球病毒,进而这些年开始听说令人恐惧的CIH病毒以及美丽杀手病毒、熊猫烧香等一系列的病毒,从这些具有一定代表性的冲击波、振荡波,电子计算机病毒此相关的种类以及传播形式正在进行着不断的发展、变化,因此,一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。所以,计算机病毒已经成为了我国计算机行业所要面临的一项主要的安全问题。
(二)黑客。计算机黑客主要是通过发现、攻击用户的网络操作系统中存在的一些漏洞以及缺陷为主要目的,并通过利用用户的计算机中的网络安全系统中存在的脆弱性,来从事非法的活动,换言之,计算机黑客也可以被称之为计算机网络安全环境的外部环境的进攻者。这些进攻者们通常会采取修改用户的网页界面,进而非法入侵到用户的主机内部,最终破坏用户的使用程序,窃取用户在网上的相关信息资料。目前我国的办公自动化网络在应用上基本都采用的是以广播为主要技术基础内容的以太网。黑客一旦侵入到了办公自动化网络应用中的任意的节点进行有效的侦听活动,就可以迅速的捕获到刚刚发生在这个领域内的以太网之中的所有的数据包数据,然后对该数据包进行解包处理、分析,从而有效的窃取到关键的信息,而在该网络中的黑客则是最有可能、最方便截取办公网络中的任何数据包,进而造成相关的信息数据的失窃。
(三)办公网络自动化中的内部攻击以及破坏活动。计算机内部的攻击以及破坏活动经常是通过公司或者内部人员利用他们对计算机内部系统的相关了解,进行的有预谋、有突破性的网络安全系统的攻击行为,简单来说,正是因为内部的入侵者更加了解内部的网络结构,因此,在他们进行非法的行为时候,将会对整个的网络安全系统造成更严重、更大的威胁。尤其是对于个别的企业来说,企业的内部如果存在网络攻击以及网络破坏,那么这个企业的网络甚至会有可能成为该企业进步的最大威胁。除此之外,有些员工的网络安全意识相对缺乏,十分不注意有效的保护自己在单位电脑上的账号以及密码,这些漏统都有可能会引起整个网络安全的隐患。
二、办公网络自动化系统中存在的问题的对策
(一)加强网络安全管理。要想真正建立出安全的、可靠的计算机网络操作系统,首先我们应该在建立充足的、合理的网络管理体制方面以及相关的规章制度领域。其次,在单位实施岗位上的责任制,不断的加强企业对员工的审查以及管理工作,这其中包括提高相关的系统管理操作人员以及系统用户在内的所有人员的相关技术素质以及职业道德;除此之外,对于一些重要部门以及信息,企业要严格做好系统的开机查毒工作,及时的进行数据备份工作,并结合计算机机房、计算机硬件、计算机软件、计算机数据以及计算机网络等各个领域的各个方面所存在的安全问题,对相关的工作人员进行有效的安全教育,力争让他们严守遵守操作规则以及计算机网络安全中的保密规定。
(二)计算机网络加密技术的应用。计算机网络的加密技术,其目的是为了保障、提高相关的信息系统以及数据方面的安全性能、保密性能,有效防止相关的秘密数据被企业或者个人等外部因素破坏所利用的一种主要的技术手段。加密技术从一方面来说,它可以有效的防止计算机在传输过程中的重要信息被不法窃听者窃取所导致的失密;从另一方面来说,计算机加密技术还可以有效防止相关的信息以及内容被不法者恶意地进行篡改。
三、结束语
企业的发展离不开科技,企业办公的网络化是企业发展的一个必然趋势。因此,不断地学习和研究办公网络的自动化是我们所必须面临的重要课题。
参考文献:
互联网发展至今,在人们的生产、学习和生活中以及在国家的政治、经济、文化生活中的作用,已显得十分突出,全社会对互联网的依赖程度也越来越高。同时也出现了一些不可忽视的问题,有人利用互联网故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,危害网络运行安全,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。
1、利用网络系统漏洞进行攻击
许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。
对于系统本身的漏洞,可以安装软件补丁;另外网管员也需要仔细工作,尽量避免因疏忽而使他人有机可乘。
2、解密攻击
在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。
取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。
但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“123456”、“ABCD”等,那有可能只需一眨眼的功夫就可搞定。
为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,千万不要以自己的生日和电话号码甚至姓名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如身份证号码、电话号码以及生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。
3、通过电子邮件进行攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。
对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,另外Outlook、Foxmail等邮件收发软件同样也能达到此目的。
4、拒绝服务攻击
互联网上许多大网站都遭受过此类攻击。实施拒绝服务攻击(DDoS)的难度比较小,但它的破坏性却很大。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。
现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强,一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。
对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作,所以大家在上网时一定要安装好防火墙软件,同时也可以安装一些可以隐藏IP地址的程序,怎样能大大降低受到攻击的可能性。
5、后门软件攻击
后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。
这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力比较强,给用户进行清除造成一定的麻烦。
当在网上下载数据时,一定要在其运行之前进行病毒扫描,并使用一定的反编译软件,查看来源数据是否有其他可疑的应用程序,从而杜绝这些后门软件。
参考文献:
[1]《信息网络安全概论》,周良洪 编著,群众出版社
中图分类号:TN915.08 文献标识码:A DOI:10.3969/j.issn.1003-6970.2012.07.043
引言
网络安全属于一个系统工程,不仅要考虑其系统的安全需求,还应该将各种安全技术结合起来,方能形成一个通用、安全且高效的网络系统。然而,就目前来看,一个开网的网络信息系统必然会存在很多安全隐患(潜在或非潜在),简而言之破坏与反破坏、黑客与反黑客之间的斗争依然激烈地继续着。因此,网络攻击与防范策略之间便形成了一个独特的领域,并越来越被人类所重视,尤其是网络建设者在不断地努力抗争着网络攻击。
1.常见网络攻击分析
1.1人为恶意攻击
1.1.1口令入侵与木马程序
口令入侵与木马程序都能直接侵入用户的计算机网络进行破坏,它经常伪装成游戏或工具程序等对用户展开诱惑,而这些游戏或工具程序往往带着木马程序,当用户打开了这些邮件或附件,进行下载的时候便已经执行了木马程序。木马程序被执行后便会通知攻击者,并将被攻击者的IP地址及预先设计的端口等传递给攻击者,攻击者获取信息后便能通过潜伏的木马程序修改用户的计算机相关参数,并能复制、窥视及下载硬盘中的内容等,也就是说他能完全控制用户的计算机。
1.1.2APT攻击
APT攻击,即高级可持续攻击,它是当今网络攻击中最难应付的一种。世界上最早对其的报道是在2010年的伊核设施遭遇了Stuxnet-超级病毒攻击,攻击目标直指西门子公司的工业控制系统,对设备进行破坏,后果严重,造成了伊朗核电站推迟发电。APT在当前也普遍存在于网络攻击中,它并非炒作,而是真正具有实力的攻击类型,其主要对情报、军事以及经济等有针对性的攻击,并且它能在目标系统中潜伏很长一段时间而不被发现。攻击者为了能诱发APT攻击,往往会大量搜集关于攻击目标的资料,并进行详细的分析。此外,攻击者对于各类安全与网络技术都非常熟悉,可谓网络“高才生”。APT攻击可以潜伏着不被人察觉,然后忽然发起攻击,因为它能完全将自己融入被攻击的系统里,因此很难被检测出来。
1.2安全漏洞攻击
不言而喻,当前计算机技术确实得到了飞跃式的发展,但是我们必须看清的现实是:大部分的网络系统都存在各式各样的安全漏洞,有些是应用软件本身自带的,而有些则是操作系统引起的。由于大部分系统在未检查缓冲与程序之间的变化情况就随意接受了任意长度的数据,然后把溢出的数据放在了堆栈里,而系统却依然要照常执行相关的命令。这样的话攻击者肆意发送超出了缓冲区能处理的长度指令,便能造成系统的不稳定甚至瘫痪。此外,有一些还能利用协议漏洞进行网络攻击,从而获取一些超级用户的特权等。比如Struts2框架攻击事件,其最早出现在2010年7月14日,当时发现了一种严重命令的执行漏洞,而黑客则利用了Struts2“命令执行漏洞”,从而获取网站服务器的相关特权,诸如ROOT权限、执行命令等,从而篡改网页或窃取重要数据。
1.3用户缺乏安全意识
从目前来看,大部分的应用服务系统在安全通信及访问控制等方面的考虑都比较少,并且系统若出现了设置错误,极易造成不必要的损失。假如在一个设计足够安全的网络中,面临的最大安全隐患往往是人为因素所造成的安全漏洞。网络管理员及使用者都或多或少拥有相应的权限,他们可能利用这些权限进行网络安全的破坏。比如“拖库”攻击,这个词语本来属于数据库领域的专有术语,一般指的是数据库中进行数据的导出。黑客如果通过非正常的手段侵入网站,便能窃取网站内的数据库,并能全盘下载资源信息。若泄漏了个人的邮箱、游戏、微博、网购账号和密码等,则可能对个人财产造成一定的损失与影响;若窃取的是公司或企业或国家的机密资料,那就非同小可了。APT在对网站服务器进行攻击的时候主要包括:弱口令攻击、远程桌面攻击、漏洞攻击以及管理疏忽攻击等。
2.网络安全防范策略探析
网络安全越来越被人们所重视,从目前来看,主要的网络安全防范策略有以下几个方面:
2.1合理安装杀毒软件,配置防火墙,及时修补漏洞
总的来说,首要的便是为电脑配置一套正版的杀毒软件,每周要做好电脑的全面扫描、杀毒工作,便于及时发现并清除潜藏的病毒。但是,实际生活中,大部分用户为了省钱和图个方便,都不愿意花钱购买正版杀毒软件,这正中了网络攻击的下怀。比如在修补Struts2攻击事件引起的漏洞时,应该查看相关的服务器或网站是否被入侵,是否存在后门文件等,确保最大限度控制风险与损失。从目前来看,Struts2“命令执行漏洞”影响了很多网站,危害巨大,因此诸如360等大型网站已经安装了检测平台并及时更新了漏洞库,同时还及时向存在漏洞的网站发送了警示邮件等,还建议使用Struts2框架的用户及时做好升级工作,定期做好相关的安检,确保随时掌控网络安全。
2.2个人防范意识应提高
对于个人计算机的安全防护工作而言,最重要的还是要用户自己高度重视,加强安全培训,漏洞往往是在人身上挖掘的,意识胜过杀毒软件。养成良好的安全操作习惯,切勿随意打开不明电子邮件或文件,不要随意运行陌生人给予的程序,自己的私人密码尽量设置复杂一些(包括数字、字母及符号等),还要设置不同的常用密码,避免一个被查出而牵连其余重要密码(最好经常更换重要密码)。此外,还应该及时下载漏洞补丁进行电脑的补丁修复。这里着重介绍一下关于“拖库”攻击的解决办法(主要对个人用户而言):用户要对自己的网站密码采取分级管理,若各种系统使用密码皆为同一个,那么其坏处是不言而喻的,因此,我们应该养成对不同的应用设置不同密码的习惯;要保证密码的安全性非常强,大部分网站都提供了强度检查功能,我们应该很好的利用它。
2.3控制好入网访问的安全
入网访问的安全设置将为网络访问提供首层安全控制,也就是说它可以控制并选择哪些或什么用户可以登陆系统并获取网络资源,同时也能控制某些用户入网时间及在哪台工作站入网。用户的入网访问的安全控制一般有三个设置部分:1)用户名的识别及验证;2)用户口令的识别及验证;3)用户帐号缺省的限制检查。这三个部分环环相扣,不管是哪一个部分未被通过,那么此用户便无法进入网络。因此,能够很好的控制非法侵入对网络造成的危害。
2.4隐藏IP地址
IP地址属于网络上分配给计算机或网络设备的32位数字标识,在Internet上,每台计算机所拥有的IP地址都应该是唯一的。然而,一些黑客往往利用其超高的技术窥探用户的逐级信息,其目的在于获取主机中的IP地址。用户将IP地址进行隐藏,那么黑客便不容易探测出主机中的IP地址。主要的方法是利用服务器,用户一旦使用了服务器,那么黑客探测到的便是服务器的IP地址而不是用户本身的IP地址,这便实现了隐藏IP地址的目的,从而保障了用户的上网安全。
2.5虚拟局域网技术的应用
二、档案管理工作的创新内容分析
(一)积极开展线上服务
在网络环境里,传统的档案管理必须要产生和网络环境相适应的变化,因为此时的人们对信息的时效性和准确性有着更高的要求,互联网的出现无疑让这种需求变成了可能,那么传统的档案手工管理模式,就显然出现效率低下,提供信息相对有效等突出性问题。在这种背景下,构建档案信息化管理模式,开展线上服务就成了很多用户的重要诉求,因此档案管理部门为了迎合这个趋势,就需要积极的开展在线服务,通过专题的形式对相关的档案信息进行,社会公众和档案馆构建广泛快捷的信息沟通渠道,从而提升档案的管理效率。
(二)加强信息共享
网络环境的重要特点就是知识和信息等诸多资源的流动性变得更加快速,基于传统档案管理模式已经不能够适应网络环境下对资源的需求,因此档案管理部门需要构建现代信息技术管理模式,实现资源信息的共享,从而为社会公众提供全方位的档案服务。另外随着社会的发展,人类的信息总量呈现不断增长的趋势,因此对档案管理的要求就变得越来越高,这也促进了不同管理部门之间档案管理的相互共享,能够有效提升不同部门之间的信息沟通效率,从而实现一体化的档案管理模式,能够有效节省档案管理成本,同时也能够有助于促进档案信息的不断完善,提升档案信息资源的利用效率。
(三)向纵深服务方向创新
在网络社会中,社会对档案信息的需求变得更加迫切,而且对档案种类的需求也越来越严格,特别是档案信息的细分,这样就能够让公众能够非常快速的定位需求的信息,从而通过这些档案信息获得相应的帮助。这样档案管理就需要向纵深服务方向发展,不仅仅要搞好档案的采集和整理工作,还需要将采集的档案进行更加细化的整理,让档案的分类变得更加垂直细分化,同时对所有的档案资料构建统一的检索目录,并存放在统一的数据库凭条中,这样就能够让更多的用户通过网络接口通过搜索功能快速定位需要的数据,从而快速的为公众提供更加深入的服务。这就意味着传统的手工档案管理要逐步从纸质化向数字化方向发展。在这个背景下,需要通过培训大量的现代档案管理工作人员,提升档案管理工作人员的综合素质,从而适应网络环境下档案管理工作的深入开展。
三、档案管理工作的安全防护分析
(一)保障档案管理系统的完整性
由于在网络环境下,档案信息规模庞大,各种信息资源通过网络平台进行连接,档案之间遵循一致性的逻辑关系,所以在档案数据录入过程中,这种逻辑关系就会引入到数据库,从而形成规模庞大的网络档案管理数据库。而数据库的完整性对于档案信息的安全无疑具有非常重要的影响,这就需要档案管理工作人员要加强对网络档案数据库的维护工作,确保档案数据不会存在完整性的错误,如果出现相关的错误,要迅速定位数据逻辑关系,从而进行快速修复,最大限度的规避对数据库的有意或者无意的破坏。
(二)确保档案数据的长期可读性
在网络环境下,档案信息数据的保存需要统一的格式,这样才能够有助于档案信息数据的流通和管理,同时也有助于这些数据能够融入到其他系统应用中,比如企事业单位的自动化办公系统中。因此在对这些档案信息数据保存和应用时,不能够随意更改档案文件格式,从而方便数据的统一性。另外还需要对档案信息管理的软件进行及时的更新,让兼容始终处于一个动态变化的过程中。这样档案信息的完整性和真实性以及有效性才能够得到更好的保障。
(三)加强安全信息管理
中图分类号:TP393.08
保护信息系统的安全,要综合考虑技术保护和管理保护两种实现方式。技术保护方式是根据风险产生的技术特点和安全目标的要求而采用相应的安全机制、技术措施和专用设备。管理保护方式则根据有关法律法规和安全目标的要求,针对信息系统的运行、有关人员的行为和技术过程而制订的相应管理制度[1]。
1 国有企业局域网安全的总体目标
确定网络安全总体目标,应该满足一定的要求:
1.1 机密性(Confidentiality)。保证机密信息不泄漏给非授权用户或实体,也不能供其利用。对信息的访问和利用,应该遵循完整健壮的认证授权机制。
1.2 完整性(Integrity)。保证数据的完整性和一致性,即信息在存储或传输过程中保持不被修改、不被破坏和不被丢失的特性。
1.3 可用性(Availability)。保证合法用户或实体对信息和资源的使用不会被异常拒绝,允许按照需求使用。网络环境下,拒绝服务攻击、破环网络设施和系统正常运行的中断等都属于对可用性原则的破坏。
2 国有企业局域网络攻击及面临的威胁分析
总的来说,国有企业面临的安全威胁主要是两个方面:(1)来自企业网络内部的误操作和恶意攻击。内部网的人员往往有公司内网局部系统的合法访问或管理权限,所以他们的误操作行为可能会给公司内网带来严重的危害;尤其是机要子网与普通子网的安全级别不同,可能导致窃听、伪造信息的情况发生;同时源自公司内网内部的恶意网络行为也可能导致严重的网络安全问题[2];(2)来自企业网络外不得恶意攻击。接入Internet给外网带来了工作和信息交换的便利,但同时也给外网带来了很大的安全威胁。首先,Internet网络上随机的恶意漏洞扫描是无时不在的,而这些恶意的漏洞扫描往往是大规模网络入侵、渗透和破坏行为的前兆。这也就是说,外网随时都可能面临着来自Internet网络的恶意攻击。其次,网络病毒经由Internet网络可以迅速的感染外网,轻者造成网络或系统资源的浪费,严重的可能造成数据或系统的崩溃甚至局部网络的完全瘫痪。
3 企业网络安全性急需重视
企业已经越来越依赖网络以及企业内部网络来支持重要的工作流程,内部网络断线所带来的成本也急剧升高。当这--N显得迫在眉睫时,如何确保核心网络系统的稳定性就变得非常重要,即使一个企业的虚拟网络或防火墙只是短暂的中断,也都可能会中断非常高额的交易,导致收入流失、客户不满意以及生产力的降低[3]。
尽管所有的企业都应该对安全性加以关注,但其中一些更要注意。那些存储有私密信息或专有信息、并依靠这些信息运作的企业尤其需要一套强大而可靠的安全性解决方案,如政府机构、金融机构、保险服务机构、高科技开发商以及各类医疗机构。通过一部中央控制台来进行配置和管理的安全性解决方案能够为此类企业提供巨大帮助。这类安全性解决方案使IT管理员们能够轻松地对网络的安全性进行升级,从而适应不断变化的商务需求,并帮助企业对用户访问保持有效的控制。例如,IT管理员能够根据最近发现的网络攻击行为迅速调整网络的安全性级别。此外,用户很难在终端系统上屏蔽掉由一台远程服务器控制的网络安全特性。IT管理人员们将非常自信:一旦他们在整个网络中配置了适当的安全性规则,不论是用户还是系统的安全性都将得到保证,并且始终安全[4]。
而对于那些安全性要求较高的企业来说,基于软件的解决方案(例如个人防火墙以及防病毒扫描程序等)都不够强大,无法满足用户的要求。因为即使一个通过电子邮件传送过来的恶意脚本程序,都能轻松将这些防护措施屏蔽掉,甚至是那些运行在主机上的“友好”应用都可能为避免驱动程序的冲突而无意中关掉这些安全性防护软件。一旦这些软件系统失效,终端系统将非常容易受到攻击。更为可怕的是,网络中的其他部分也将处在攻击威胁之下。
4 国有企业局域网络攻击与安全防范措施
4.1 安全防范要点。公司网络目前从内部至Internet并没有做相关的安全措施,特别是核心区和互联区存在很大安全隐患,黑客攻击、信息丢失、服务被拒绝等,一旦发生任何攻击,对公司网络而言是致命性的,影响公司业务的正常运转。针对公司网络的结构及特点确定以下几个必须考虑的安全防范要点:(1)网络安全隔离。为了各行业间、部门之间加强业务联系以及信息化建设都需要网络和网络之间互联,交流信息、信息共享等措施,给企事业单位的工作带来极大的便利,同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以网络之间进行有效的安全隔离是必需的;(2)网络监控措施。网间隔离起边缘区保护作用,无法防备内部不满者的攻击行为。往往内部来的攻击比外部攻击更具有致命性。在不影响网络的正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护。从网络监控中得到统计信息来确定网络安全规范及安全风险评估。网络安全目标为保证整个网络的正常运行;在受到黑客攻击的情况下,能够保证网络系统正常运行。保证信息数据的完整性和保密性:在网络传输时数据不被修改和不被窃取。具有先进的入侵检测体系;正确确定安全策略及做科学的安全风险评估。保证网络的稳定性:安全措施不形成网络的负担,而且提供全天候满意服务和应用。
4.2 方案具体实施过程中包括:(1)防火墙使用方案。根据公司网络整体安全考虑采用一台瑞星防火墙安排在互联区。其中WWW、数据库、邮件、DNS等对外服务器连接在防火墙的DMZ区与内、外网间进行隔离。建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制外网用户非法访问。防火墙的DMZ区访问控制规则,只打开必需的服务HTTP、FTP、SMTP、POP3以及所需其他服务。防范外部来的拒绝服务攻击。对办公网用户进行流量控制,采用时间安全规则变化策略,控制内网用户访问外网时间。防火墙设置IP地址MAC地址绑定,防止IP地址欺骗。定期查看防火墙访问日志。严格控制防火墙的管理员的权限;(2)入侵检测(IDS)系统方案。以太网的共享通信介质技术,在进行网络通信时,随着数据包在网络上的广播,任何联网的计算机都可以监听正在通信的数据包,因此存在着安全隐患,网络入侵系统利用以太网的这种特性,进行有效的网络监控,调整网络资源分配,及时发现不正常数据包,并根据安全策略原则进行处理,确保网络系统的安全。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据公司网络的特点,采用瑞星的入侵检测系统。
5 结束语
由于国有企业局域网的安全问题是一个系统工程,在制定安全网络策略时应尽可能地考虑到网络中的各个方面及网络的拓展性,采用TCP/IP进行网络通信的网络,在网络层对计算机通信进行安全保护是业界流行的安全解决办法。
参考文献:
[1]李春洁.企业局域网的建设与维护[J].信息通信,2013(10):116-117.
[2]郝静.提高企业局域网带宽质量五步骤[J].计算机与网络,2014(Z1):67.
[3]王大明.企业局域网维护管理策略的研究和分析[J].电子技术与软件工程,2014(29):28.
中图分类号: TN915.08?34; TP393 文献标识码: A 文章编号: 1004?373X(2013)09?0084?04
0 引 言
网络如今运行在一个高科技和开放的环境中。企业越来越依靠他们的网络在本土和国际市场中竞争。世界范围的广泛连接既为企业提供了竞争力同时也将企业暴露在多种多样的攻击前。高科技犯罪和信息的误用和滥用给越来越多的企业带来巨大的损失[1],随着网络的发展,自动化的评估网络的攻击漏洞已变得越来越重要。
许多研究者提出了使用攻击树和攻击图来建模网络安全的风险评估方法[2?3]。通过在模型中寻找攻击路径来确定可能导致损失的状况。但是,绝大多数模型并不能定量地分析漏洞的风险,忽略了漏洞之间的相互关系。
在本文中,介绍一种新方法来构建带标记的攻击图(AG),攻击图中的每个节点都标注了概率值来表示该漏洞被成功利用的概率,图中的边代表了漏洞之间的关联。采用通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)作为计算每个漏洞概率的基础,并采用贝叶斯网络计算累积的概率。
1 攻击图的产生
