论文部分内容阅读
[摘要]本文从校园网安全管理工作的实际出发,讨论了网络安全上存在的威胁和安全技术,以及网络安全的管理方案,说明网络安全在网络建设中的重要性。
[关键词]网络安全 防火墙 局域网
校园网在学校的建设和发展中发挥着越来越大的作用,规模也在不断的扩大,网内的安全问题也在日益突出。可以说,校园网安全问题是当今各校建设中不可忽视的重要问题。如何保证校园网的安全,已成为高校信息化、数字化健康发展的头等大事。本文将分析校园网在安全上存在的威胁和安全技术并提出了处理这些问题的管理方案。
一、网络安全威胁分析
从计算机网络联结形式看,它具有多样性、终端不均衡性和网络的开放性、互连性等特征,这致使网络易受病毒、黑客和间谍软件等其他软件的威胁。为了确保网上信息的安全和保密,我们深入探讨下面几种威胁:
1.计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码,就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。自从我2003年工作以来,计算机病毒出现的迹象有:2003年8月份全球计算机网络遭受了“冲击波”病毒的袭击;2004年5月份,又出现了“震荡波”病毒;2005年,计算机病毒呈现出较为稳定的趋势,没有出现造成网络大范围瘫痪的病毒事件;2006年继续保持这种趋势,但是病毒发展出现另一种新趋势——趋利性增强。2006年5至6月份相继出现针对银行的木马、病毒事件和进行网络敲诈活动的“敲诈者”病毒。自2006年11月至今,我国又连续出现 “熊猫烧香”、“仇英”、“艾妮”等盗取网上用户密码账号的病毒和木马。可见,计算机病毒在发展,网络在发展,网络又促进了病毒的发展,手段越来越高明,结构越来越特别。
2.黑客是指利用计算机高科技手段,盗取密码侵入他人计算机网络,企图读取机密数据,未经授权纂改数据,甚至破坏系统。随着网络进入经济的发展和电子商务的展开以及现代高科技研究,严防黑客入侵、切实保障网络安全,不仅关系到个人资金安全、商家的货物安全,还关系到国家的经济安全、国家经济秩序的稳定问题,因此各级组织和部门必须给予高度重视。据不完全统计,2006年和2007年6 月都出现了Gpigeon(灰鸽子)病毒和Delf(德芙)病毒等,它们都具有后门的功能,感染此种病毒的系统可以被黑客远程控制。
3.间谍软件(Spyware)是一种能够在计算机使用者无法察觉或给计算机使用者造成安全假相的情况下,秘密收集计算机信息的并把它们传给广告商或其他相关人的程序。间谍软件可以像病毒一样进入计算机或因为安装新的程序而进入计算机。虽然那些被安装了间谍软件的电脑使用起来和正常电脑并没有什么太大区别,但用户的隐私数据和重要信息会被那些间谍软件所捕获,这些信息将被发送给互联网另一端的操纵者,甚至这些间谍软件还能使黑客操纵用户的电脑,或者说这些有“后门”的电脑都将成为黑客和病毒攻击的重要目标和潜在目标。间谍软件是目前网络安全的重要隐患之一。
二、确保网络安全的主要技术
1.杀毒软件技术
杀毒软件是最普遍的安全技术方案,因为这种技术实现起来最简单,但我们都知道杀毒软件的主要功能就是杀毒,功能十分有限,不能完全满足网络安全的需要。这种方式对于个人用户或者小企业或许还能满足需要,但如果个人或企业有电子商务方面的需求,就不能完全满足了。可喜的是随着杀毒软件技术的不断发展,现在的主流杀毒软件能够同时预防木马和其它的一些黑客程序的入侵。
2.防火墙技术
防火墙其实它是一种计算机硬件和软件的组合,使互联网与内部网之间建起一个安全网关(Security gate wag),从而保护内部网免受非法用户的侵入,其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙处于5层网络安全体系中最低层,属于网络安全技术范畴。负责网络间的安全认证与传输,但随着网络安全技术整体发展和网络应用的不断变化,现代的防火墙技术已经逐步走向网络层之外的其它安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。
3.文件加密技术和密钥管理技术
目前常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指运用一个密钥进行加密和解密;非对称加密技术就是加密和解密所用的密钥不一样,它有一对密钥,称为公钥和私钥两个,这两个密钥必须配对使用,也就是说用公钥加密的文件必须用相应的公钥才能解密,反而亦然。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
RSA算法是Rivest、Shamir 和Adleman 于1977年提出的一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1{mod (p-1)(q-1)}
加密:c=me(modn),其中m为明文,c为密文
解密:m=cd(modn)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
因为我们平常所用的密钥不是仅几位,十几位数字或字母,一般情况这种密钥达到64bit,有的达到128bit,我们一般不可能全部用脑来记住这些密钥,只能保存在一个安全的地方,所以这就涉及到了密钥的管理技术。密钥的保存媒体通常有:磁卡、磁带、磁盘、半导体存储器等,但这些都可能有损坏或丢失的危险,所以现在的主流加密软件都采用第三方认证(这第三方可以是人或者公证机关)或采取随机密码来弥补人们记忆的不足,还有如PGP加密软件,不过现在的WIN2k系统以及其它一些加密软件都在慢慢地往这个方向发展。
三、网络安全的管理方案
1.网络病毒的防范。校园网是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐蔽在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层的防病毒的系统配置,通过定期的或不定期的自动升级,使网络免受病毒的侵袭。
2.配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的与数据拒之门外,最大限度地阻止网络中黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效的广泛的网络安全机制,防止Internet 上的不安全因素蔓延到局域网的内部,所以防火墙是网络安全的重要一环。
3. Web,Email,BBS的安全检测系统,在网络的WWW服务器、Email服务器等中使用网络安全检测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的WWW、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
4.采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网中采取入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的防御体系。
5.漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞,做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
6.利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各种子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
校园网的安全是一个综合系统问题,不能仅仅依靠防火墙等单个系统,而需要仔细考虑系统的安全要求,并将各种安全技术,如定期修改管理员口令,避免使用规律的、易猜测的密码,定期检查安全漏洞等综合在一起,这样就能使我们的校园网络成为一个安全健康的网络。
参考文献
[1]William Stallings.网络安全要素—应用与标准[M].北京:人民邮电出版社,2000:246
[2]邹县芳,张雁.网络管理维护大师[M].重庆:重庆出版社,2003:276.
[3]王姚娣,孙欣.局域网的安全管理[J].广播电视网络,2007(2):59.
[4]杨波.网络安全理论与应用[M].北京:电子工业出版社,2002:211-212
[5]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002:168
[关键词]网络安全 防火墙 局域网
校园网在学校的建设和发展中发挥着越来越大的作用,规模也在不断的扩大,网内的安全问题也在日益突出。可以说,校园网安全问题是当今各校建设中不可忽视的重要问题。如何保证校园网的安全,已成为高校信息化、数字化健康发展的头等大事。本文将分析校园网在安全上存在的威胁和安全技术并提出了处理这些问题的管理方案。
一、网络安全威胁分析
从计算机网络联结形式看,它具有多样性、终端不均衡性和网络的开放性、互连性等特征,这致使网络易受病毒、黑客和间谍软件等其他软件的威胁。为了确保网上信息的安全和保密,我们深入探讨下面几种威胁:
1.计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码,就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。自从我2003年工作以来,计算机病毒出现的迹象有:2003年8月份全球计算机网络遭受了“冲击波”病毒的袭击;2004年5月份,又出现了“震荡波”病毒;2005年,计算机病毒呈现出较为稳定的趋势,没有出现造成网络大范围瘫痪的病毒事件;2006年继续保持这种趋势,但是病毒发展出现另一种新趋势——趋利性增强。2006年5至6月份相继出现针对银行的木马、病毒事件和进行网络敲诈活动的“敲诈者”病毒。自2006年11月至今,我国又连续出现 “熊猫烧香”、“仇英”、“艾妮”等盗取网上用户密码账号的病毒和木马。可见,计算机病毒在发展,网络在发展,网络又促进了病毒的发展,手段越来越高明,结构越来越特别。
2.黑客是指利用计算机高科技手段,盗取密码侵入他人计算机网络,企图读取机密数据,未经授权纂改数据,甚至破坏系统。随着网络进入经济的发展和电子商务的展开以及现代高科技研究,严防黑客入侵、切实保障网络安全,不仅关系到个人资金安全、商家的货物安全,还关系到国家的经济安全、国家经济秩序的稳定问题,因此各级组织和部门必须给予高度重视。据不完全统计,2006年和2007年6 月都出现了Gpigeon(灰鸽子)病毒和Delf(德芙)病毒等,它们都具有后门的功能,感染此种病毒的系统可以被黑客远程控制。
3.间谍软件(Spyware)是一种能够在计算机使用者无法察觉或给计算机使用者造成安全假相的情况下,秘密收集计算机信息的并把它们传给广告商或其他相关人的程序。间谍软件可以像病毒一样进入计算机或因为安装新的程序而进入计算机。虽然那些被安装了间谍软件的电脑使用起来和正常电脑并没有什么太大区别,但用户的隐私数据和重要信息会被那些间谍软件所捕获,这些信息将被发送给互联网另一端的操纵者,甚至这些间谍软件还能使黑客操纵用户的电脑,或者说这些有“后门”的电脑都将成为黑客和病毒攻击的重要目标和潜在目标。间谍软件是目前网络安全的重要隐患之一。
二、确保网络安全的主要技术
1.杀毒软件技术
杀毒软件是最普遍的安全技术方案,因为这种技术实现起来最简单,但我们都知道杀毒软件的主要功能就是杀毒,功能十分有限,不能完全满足网络安全的需要。这种方式对于个人用户或者小企业或许还能满足需要,但如果个人或企业有电子商务方面的需求,就不能完全满足了。可喜的是随着杀毒软件技术的不断发展,现在的主流杀毒软件能够同时预防木马和其它的一些黑客程序的入侵。
2.防火墙技术
防火墙其实它是一种计算机硬件和软件的组合,使互联网与内部网之间建起一个安全网关(Security gate wag),从而保护内部网免受非法用户的侵入,其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙处于5层网络安全体系中最低层,属于网络安全技术范畴。负责网络间的安全认证与传输,但随着网络安全技术整体发展和网络应用的不断变化,现代的防火墙技术已经逐步走向网络层之外的其它安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。
3.文件加密技术和密钥管理技术
目前常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指运用一个密钥进行加密和解密;非对称加密技术就是加密和解密所用的密钥不一样,它有一对密钥,称为公钥和私钥两个,这两个密钥必须配对使用,也就是说用公钥加密的文件必须用相应的公钥才能解密,反而亦然。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
RSA算法是Rivest、Shamir 和Adleman 于1977年提出的一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1{mod (p-1)(q-1)}
加密:c=me(modn),其中m为明文,c为密文
解密:m=cd(modn)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
因为我们平常所用的密钥不是仅几位,十几位数字或字母,一般情况这种密钥达到64bit,有的达到128bit,我们一般不可能全部用脑来记住这些密钥,只能保存在一个安全的地方,所以这就涉及到了密钥的管理技术。密钥的保存媒体通常有:磁卡、磁带、磁盘、半导体存储器等,但这些都可能有损坏或丢失的危险,所以现在的主流加密软件都采用第三方认证(这第三方可以是人或者公证机关)或采取随机密码来弥补人们记忆的不足,还有如PGP加密软件,不过现在的WIN2k系统以及其它一些加密软件都在慢慢地往这个方向发展。
三、网络安全的管理方案
1.网络病毒的防范。校园网是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐蔽在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层的防病毒的系统配置,通过定期的或不定期的自动升级,使网络免受病毒的侵袭。
2.配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的与数据拒之门外,最大限度地阻止网络中黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效的广泛的网络安全机制,防止Internet 上的不安全因素蔓延到局域网的内部,所以防火墙是网络安全的重要一环。
3. Web,Email,BBS的安全检测系统,在网络的WWW服务器、Email服务器等中使用网络安全检测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的WWW、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
4.采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网中采取入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的防御体系。
5.漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞,做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
6.利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各种子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
校园网的安全是一个综合系统问题,不能仅仅依靠防火墙等单个系统,而需要仔细考虑系统的安全要求,并将各种安全技术,如定期修改管理员口令,避免使用规律的、易猜测的密码,定期检查安全漏洞等综合在一起,这样就能使我们的校园网络成为一个安全健康的网络。
参考文献
[1]William Stallings.网络安全要素—应用与标准[M].北京:人民邮电出版社,2000:246
[2]邹县芳,张雁.网络管理维护大师[M].重庆:重庆出版社,2003:276.
[3]王姚娣,孙欣.局域网的安全管理[J].广播电视网络,2007(2):59.
[4]杨波.网络安全理论与应用[M].北京:电子工业出版社,2002:211-212
[5]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002:168