网络攻击的防范措施范文

时间:2023-05-15 15:41:10

导语:如何才能写好一篇网络攻击的防范措施,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络攻击的防范措施

篇1

关键词:网络攻击;口令保护;漏洞

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 10-0088-01

为了加强网络安全建设,用户应当在对网络攻击进行分析与识别的基础上,认真制定有针对性地策略。明确安全对象,设置强有力的安全保障体系。有的放矢,在网络中层层设防,发挥网络的每层作用,使每一层都成为一道关卡,才能全方位地抗拒各种不同的威胁和脆弱性,确保网络信息的保密性、完整性、可用性。

一、防范措施

(1)提高安全意识:不要随意打开来历不明的电子邮件及文件,不要运行来历不明的软件和盗版软件。不要随便从Internet上下载软件,尤其是不可靠的FIP站点和非授权的软件分发点。即使从知名的网站下载的软件也要及时用最新的杀毒软件进行扫描。(2)防字典攻击和口令保护:选择12-15个字符组成口令,尽肯能使用字母数字混排,并且在任何字典上都查不到,那么口令就不可能被轻易窃取了。不要用个人信息(如生日、名字等),口令中要有一些非字母(数字、标点符号、控制字符等),还要好记一些,不能写在纸上或计算机中的文件中,选择口令的一个好办法是将两个相关的词用一个数字或控制字符相连。重要的口令最好经常更换。(3)及时下载安装系统补丁程序。(4)不随便运行黑客程序,不少这类程序运行时会发出用户的个人信息:在支持HTML的BBS上,如发现提交警告,现看源代码,很可能是骗取密码的陷阱。经常运行专门的反黑客软件,不要时应在系统中安装具有实时监测、拦截、查找黑客攻击程序的工具。经常采用扫描工具软件扫描,以发现漏洞并及早采取弥补措施。(5)使用能防病毒、防黑客的防火墙软件:防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。将防毒、防黑客当成日常例行工作,定时更新防毒软件,将防毒软件保持在常驻状态,以彻底防毒。由于黑客经常会针对特定的日期发动攻击,用户在此期间应特别提高警惕。(6)设置服务器,隐藏自己的IP地址:保护自己的IP地址是很重要的。事实上,即便用户的计算机上被安装了木马程序,若没有用户的IP地址,攻击者也是没有办法的,而保护IP地址的最好办法就是设置服务器。服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,服务器接受申请,然后他根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。(7)安装过滤器路由器,防止IP欺骗:防止IP欺骗站点的最好办法是安装一台过滤器路由器,该路由器限制对本站点外部接口的输入,监视数据包,可发现IP欺骗。应不允许那些以本站点内部网为源地址的包通过,还应该过滤去那些以不同于内部网为源地址的包输出,以防止从本站点进行IP欺骗。(8)建立完善的访问控制策略:访问控制时网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常反问。它也是维护网络系统安全、保护网络资源的重要手段。要正确地设置入网访问控制、网络权限控制、目录等级控制、属性安全控制、网络服务的安全控制。网络端口和节点的安全控制、防火墙控制等安全机制。各种安全访问控制互相配合,可以达到保护系统的最佳效果。(9)采用加密技术:不要在网络上传输未经加密的口令和重要文件、信息。(10)做好备份工作:经常检查系统注册表,做好数据备份工作。

二、处理对策

(1)发现攻击者。一般很难发现网络系统是否被人入侵。即便系统上有攻击者入侵,也可能永远不被发现。如果攻击者破坏了网络系统的安全性,则可以追踪他们。借助下面一些途径可以发现攻击者。(2)攻击者正在行动时,捉住攻击者。例如,当管理员正在工作时,发现有人使用超级用户的帐号通过拨号终端登陆,而超级用户口令只有管理员本人知道。(3)根据系统发生的一些改变推断系统以被入侵。(4)其他站点的管理员那里收到邮件,称从本站点有人对“他”的站点大肆活动。(5)根据网络系统中一些奇怪的现象,发现攻击者。例如,不正常的主机连接及连接次数,系统崩溃,突然的磁盘存储活动或者系统突然变得非常缓慢等。(6)经常注意登陆文件并对可逆行为进行快速检查,检查访问及错误登陆文件,检查系统命令如login等的使用情况。在Windows NT平台上,可以定期检查Event Log中的Security Log,以寻找可疑行为。(7)使用一些工具软件可以帮助发现攻击者。

三、处理原则

(1)不要惊慌。发现攻击者后会有许多选择,但是不管发生什么事,没有慎重的思考就去行动,只会使事情变得更糟。(2)记录每一件事情,甚至包括日期和时间。(3)估计形势。估计入侵造成的破坏程度,攻击者是否还滞留在系统中?威胁是否来自内部?攻击者身份及目的?若关闭服务器,是否能承受得起失去有用系统信息的损失?(4)采取相应措施。一旦了解形势之后,就应着手做出决定并采取相应的措施,能否关闭服务器?若不能,也可关闭一些服务或至少拒绝一些人;是否关心追踪攻击者?若打算如此,则不要关闭Internet联接,因为还会失去攻击者的踪迹。

四、发现攻击者后的处理对策

发现攻击者后,网络管理员的主要目的不是抓住他们,而是应把保护用户、保护网络系统的文件和资源放在首位。因此,可采取下面某些对策。

(1)不理睬。(2)使用write或talk工具询问他们究竟想要做什么。(3)跟踪这个连接,找出攻击者的来路和身份。这时候,nslookup、finger、rusers等工具很有用。(4)管理员可以使用一些工具来监视攻击者,观察他们正在做什么。这些工具包括snoop、ps、lastcomm、ttywatch等。(5)杀死这个进程来切断攻击者与系统的连接。断开调制解调器与网络线的连接,或者关闭服务器。(6)找出安全漏洞并修补漏洞,在恢复系统。(7)最后,根据记录的整个文件的发生发展过程,编档保存并从中吸取经验教训。

总之,面对当前如此猖獗的黑客攻击,必须做好网络的防范工作。正所谓对症下药,只有了解了攻击者的手法,才能更好地采取措施,来保护网络与计算机系统的正常运行。

参考文献:

[1]戚文静.网络安全与管理[M].中国水利水电出版社,2010

篇2

关键词:服务器虚拟化;安全风险;防护措施

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)03-0033-03

近几年来,虚拟化技术受到广泛关注,其被广泛应用于各个领域,与此同时新的安全风险和安全隐患也随之而来。这将严重影响服务器虚拟化技术的发展前景,因此为了保证服务器虚拟化的安全性能,采取必要的防护措施是十分有必要的。

1 服务器虚拟化技术概述

1.1 虚拟化技术简介

服务器虚拟化是一种从逻辑角度对资源进行重新配置的方法,而传统的资源配置方式更多的是从物理的角度考虑。我们可以把服务器虚拟化技术看作是一种对硬件资源的重新配置的技术。由于服务器虚拟化技术是采用逻辑方式对资源进行重新配置,因此在同一个物理机器上可以同时运行一个或者多个操作系统的虚拟化服务器。服务器虚拟化技术的优点在于大大方便了企业对系统的管理,它是一种最好的资源优化整合方式。目前,随着虚拟化服务器技术在我国的广泛普及和应用,产生了一些新的安全风险和安全隐患问题急需解决,否则服务器虚拟化技术存在的安全隐患将严重影响其未来的发展前景。

1.2 如何实现服务器虚拟化技术

服务器虚拟化技术的实现方式主要有两种,一种是将一个物理服务器虚拟化为若干数量的独立的逻辑服务器,其中分区就是该种方式的一个典型代表。另一种方式就是将若干个不同的物理服务器看作是一个逻辑服务器,其中网络就是这种形式的典型代表。其很好地诠释了服务器虚拟化技术在我国各个领域的广泛关注程度和应用程度。

1.3 服务器虚拟化的三种主流实现模式

目前,市场上的主流服务器虚拟化软件种类繁多,其实现技术各不相同,因此针对服务器虚拟化的技术分类也没有统一的说法。服务器虚拟化技术根据实现模式的不同大体可以将其分为三种主流实现模式:全虚拟化、半虚拟化和硬件辅助虚拟化。 全虚拟化的实现原理是在利用一个VMM(虚拟机监视器)来实现虚拟机系统和硬件资源之间的“沟通交流”。该种模式主要代表是VMware。它的主要优点在于它可以直接安装在原有的操作系统上运行而无需对原系统有任何配置修改。它的缺点是大大增加了二进制转译的工作量,而且到目前为止尚没有一种比较好的优化方法。

半虚拟化则是利用VMM对底层的硬件进行访问。半虚拟化与虚拟化的区别在于它将许多与虚拟化有关的代码植入到虚拟系统中,因此就不需要VMM来转译二进制。半虚拟化在很大程度上降低了负荷,很大程度上提高了其性能。但它同样存在很大的问题,例如兼容性差就是半虚拟化服务器存在的主要问题。其次半虚拟化的维护成本相对比较高。

硬件辅助虚拟化在原有的基础之上加上了root模式,也就是说把VMM运行到root模式。这种模式的好处在于可以把关键指令放在VMM上直接执行而不需要二进制转译,这在很大程度上提高了服务器虚拟化的性能,其发展前景良好。

2 服务器虚拟化技术存在的安全风险和安全隐患

事实上,服务器虚拟化作为一种新兴的热门技术之一,不仅能够对硬件资源进行重新配置,实现硬件资源的不断优化,而且还大大提高了硬件资源的利用效率。虽然服务器虚拟化技术尚不成熟,还存在一些安全隐患和安全漏洞;例如由于VMWare 平台网络框架的不同而造成安全漏洞的发生等。

2.1 VMWare 平台网络架构存在的安全隐患

根据网络的覆盖范围可以将网络分为局域网、城域网和广域网,本文主要针对局域网中VMWare平台网络架构进行分析。在局域网中,将处于私有云上的VMWare 平台与Internet进行物理隔离,由于VMWare平台网络架构不能对其自身的补丁库进行自动更新操作,致使VMWare平台网络架构一旦出F安全漏洞,补丁库也不能对其进行及时的修复,这样就导致了VMWare平台网络架构中出现了安全隐患,给VMWare平台网络架构的正常运行带来了安全方面的威胁。网络攻击人员例如黑客、骇客等就利用了VMWare平台网络架构中的安全漏洞侵入虚拟服务器宿的主机,进行窃取机密或投放病毒等破坏性行动。一旦网络攻击人员成功侵入虚拟服务器的主机,那么他就能够轻而易举的获取VMWare平台网络架构的管理权限,对其中的虚拟服务器进行各个击破,毫无阻碍。也就是说,网络攻击人员可以轻而易举的获取他们需要的东西,网络安全防护措施形同虚设,网络安全成为一句空话。

2.2虚拟机跳板式攻击

将服务器进行虚拟化后会有多个虚拟机同时存在,这些虚拟机共同自动运行在相同的一台物理主机上,由于网络安全系统不可能同时对同一台物理主机上的多个虚拟机进行同时监控,致使这些虚拟机在进行通信过程中的安全防护和安全性能都比较差,这给网络攻击人员提供了侵入主机的机会。进行服务器虚拟化以后的虚拟机在安全防护方面存在很大的问题,网络攻击者完全可以利用安全防护漏洞进行攻击,网络攻击人员一旦将虚拟机的安全防护措施攻破就很容易对其进行控制;与此同时,网络攻击者完全可以利用已经控制的虚拟机对网络中其他未攻破的虚拟机进行攻击,这样将给整个数据中心虚拟化环境带来严重的安全威胁。

2.3 VMM设计上存在缺陷

虚拟机的安全机制是建立在VMM完全可信的基础之上的,但是就目前的服务器虚拟化技术而言,VMM的安全性能并非牢不可破。VMM在设计方面存在的一些安全漏洞给了攻击者可趁之机,此外,VMM自身并不能对外部的篡改和替换等操作进行识别和阻止。例如如果攻击者在成功控制了虚拟机后将VMM关闭,这将造成运行在宿主机上的其他虚拟系统也跟着全部关闭。

网络攻击人员可以通过应用接口程序(API)来操控其中的一台虚拟机,并利用这台虚拟机向VMM发送请求。由于VMM自身缺乏对请求的判断和识别机制,导致其很容易获取VMM的信任,从而对其发动攻击。除此之外,网络攻击人员还可以利用网络对VMM发动攻击,他们利用的网络通常是在配置上存在缺陷的网络,并没有安装相应的安全访问控制,入侵者很容易通过网络连接到VMM的IP地址。即使网络攻击人员无法通过暴力途径将VMM的登录口令破解掉,但依然可以通过拒绝服务攻击的形式将VMM的资源消耗殆尽,那么也就间接的将运行在VMM上的所有虚拟机宕机,这样管理人员就不能在通过网络与VMM连接,解决的办法只能是重启VMM以及所有的虚拟机。

2.4 虚拟机通信上存在安全风险

随着网络虚拟化的广泛普及和应用,安全问题的发生概率有所上升。在传统网络中比较有效的安全防护措施,将其移植到虚拟化的网络环境中其效果并不显著。

虚拟机通信上存在的安全风险主要有以下几个方面:网络安全防护困难、VM hopping攻击、拒绝服务DOS攻击等。其中网络安全防护困难主要体现在服务器虚拟化之前通过使用防火墙将其划分为不同等级的安全区域,不同级别的区域其管理策略也各不相同。从理论上可以认为最严密的网络安全隔离可以防止一台服务器被网络攻击者攻破后对其他的服务器进行攻击。自从应用了服务器虚拟化技术之后,同一台机器上的所有虚拟机都共用物理机上的一块网卡与网络中的其他主机进行通信,这就导致安全隐患问题很容易扩展到网络中的其他主机上。因此传统的防火墙部署形式并不能满足服务器虚拟化对网络安全的要求,还需要对防火墙技术进行不断的改进和优化。

VM Hopping攻击是指为了提高虚拟化技术的性能而进行内存共享、交换,导致虚拟机在通信过程中存在风险,网络攻击人员利用已经控制的虚拟机对处于同一物理机上的另一台虚拟机进行入侵,一旦成功后就可以借助其以同样的形式对其他虚拟机进行攻击。网络攻击人员甚至可以直接控制宿主机,进一步控制运行在该宿主机上的所有虚拟机,因此一旦宿主机失去控制权,其后果相当严重。

此外,还有一种对虚拟化危害比较严重的安全问题就是拒绝服务(DOS)攻击,在虚拟的服务器中,在同一个物理机上的所有硬件资源和网络等都是由虚拟机和宿主机共同使用。拒绝服务攻击的主要目标是耗尽宿主机的所有资源,使其不能够在为运行在宿主机上的虚拟机服务,从而达到是虚拟机宕机的目的。

3 服务器虚拟化的安全防范措施

网络安全防范措施是确保服务器正常稳定安全运行的屏障,服务器虚拟化技术改变了传统网络安全防范措施的部署形式,因此加强安全防范措施的改良、优化对确保服务器的安全运行有重大意义。下面将详细介绍如何防范服务器虚拟化技术中存在的安全隐患和安全漏洞。

3.1应用互感器逻辑隔离技术

在对服务器虚拟化进行改良优化过程中,负责网络信息安全的工作人员可以将虚拟机当作是AD服务器,在搭建网络服务器时根据互联网环境的实际情况分配不同的IP地址,利用这种方式来确保信息传播过程中的安全性能,除此之外,网络信息安全工作人员还可以采用划分VLAN的方式,对网站上的各种信息进行逻辑上的隔离操作。至于用于处理虚拟机内部信息的操作软件,将其进行一体化连接,物理服务器是其信息交流的桥梁,这样就有效防止了网卡桥出现安全问题。由于虚拟器装备在进行信息传递的过程中很可能出现负荷越来越大的情况,这样十分不利于网络接受方对信号的动态捕捉,致使原本能够正常传播的各种信号如视频信号、音频信号和图片信息等发生畸变而不能正确传播。

为了有效避免网络攻击人员对服务器虚拟化操作系统进行各种攻击侵入行为,信息安全维护人员可以通过应用信息安全的技术系统来改善虚拟服务器的环境,来避免虚拟服务器被恶意攻击。除此之外,负责网络信息安全的工作人员还可以利用大数据库提供的一些信息数据对虚拟环境进行安全检测,一旦数据库中有异常情况发生就立即执行安全的操作策略。vShield可以通过在虚拟的环境中建立隔离来解决主机和虚拟机之间的隔离问题。此外,通过强化管理的功能层的性能,可以有效提升服务器虚拟化系统的抗攻击能力,大大提高其安全系数。

3.2对虚拟机的操作系统进行日常维护

在深入分析、研究了服务器虚拟化存在的安全L险之后,我们发展负责维护网络信息安全的工作人员应该对虚拟机的操作系统进行规范化、常规化的维护工作,网络安全部门应该充分重视虚拟化服务器的安全问题,严格监督控制信息分配和处理过程。与此同时,网络信息安全部门应该设有专门的虚拟机系统维护人员,一般2到3人为最佳,对系统中安装的所有软件进行维护、升级等操作,确保一旦有病毒入侵能够第一时间被安全防护人员发现并进行有效拦截。此外,通过定期对信息通道监控还可以有效减少垃圾信息的数量,从而有效避免了信息信号传输受阻情况的发生。必须定期排查服务器虚拟化的安全防范措施,并将其作为一种常态化操作保留下来,这样能够在很大程度上提高制度的执行效率。最后,引进并使用先进的杀毒软件系统,对运行在虚拟机上的操作系统进行及时的漏洞修补,将出现安全链断裂的地方及时修复。此外,还要适时的对运行在虚拟机上的操作系统进行升级操作,与之配套的防火墙软件也要进行相应的升级,这样才能更好地避免安全隐患的发生,确保服务器虚拟机的安全稳定运行。

3.3对服务器进行镜像处理和冗余设置

如果网络攻击人员利用硬盘故障发动对服务器的攻击的话,那么对服务器虚拟化的打击可以说是十分致命的,因此,网络信息安全的工程人员在对服务器进行安全防护的过程中,首要工作就是对服务器进行一系列的评估活动,对网络硬盘的内存和运行速度等性能进行评估,判断其能否满足服务器虚拟化的实际需求。为了阻止网络攻击人员的攻击行为,弱化网络信息安全的安全隐患,信息安全维护人员可以采用应用多台物理服务器的方式对硬件资源进行镜像处理和冗余设置,从而达到虚拟软件动态迁移的目标。对服务器进行镜像处理和冗余设置可以从根本上不断地对服务器虚拟化软件进行更新换代,使服务器虚拟化一直保持在动态迁移的状态,这样即使服务器虚拟化系统被网络攻击人员攻击破坏,出现网络安全的威胁,它也能够及时发现并进行有效修复,从而避免了因为长时间的连接而造成的连接中断问题。

3.4 部署网络安全产品

为了保证虚拟机的安全稳定的运行,可以通过部署网络安全产品如网络杀毒软件等的方式防止网络攻击人员的恶意攻击和病毒入侵。通过安装杀毒软件可以实时更新恶意代码库和病毒库,从而更好的查杀病毒,防范病毒的入侵。此外,部署网络防火墙也是一种比较常见的防止网络攻击的方式,它的工作原理遵循最小授权访问原则,即访问虚拟主机和虚拟机IP地址和端口号都要受到控制,只有这样才能确保虚拟机运行环境的安全可靠。

为了确保虚拟机的安全稳定运行,对虚拟机中出现的任何漏洞问题都要进行及时的修补操作和系统的更新处理。即使做了上述防范措施也无法避免虚拟化平台出现安全问题,造成这种现象发生的主要原因是补丁的更新速度跟不上漏洞产生的速度;同时,在虚拟化平台上同时运行着多个虚拟机,致使虚拟化平台的运行速度比较慢。即使虚拟机受到虚拟化平台的保护,但由于虚拟机自身存在安全漏洞,同样会给虚拟机的正常运行带来安全威胁。

3.5建立完善的审计机制

建立完善的审计机制也是一种保证服务器虚拟化系统安全运行的有效措施。该审计机制主要包括以下几个方面的内容。首先要严格监控虚拟服务器上负载的数量。其次提高用户对操作行为的审计水平,通过检查和分析系统日志来发现是否有异常的情况发生,从而及时发现异常并进行修复工作。

3.6加强系统管理

世界上并不存在无懈可击的事物,因此即使在网络中采取了安全防范措施也不能够完全保证网络的安全运行,因此,我们应该根据不同风险的实际情况而采取不同策略的安全防范措施,从而最大程度的保障其安全性能。为了实现这一目标制定完善的安全管理措施是十分有必要的。与此同时,加强系统管理人员自身的安全防范意识对避免安全隐患的发生的意义也是十分重大的。

4 总结

综上所述,服务器虚拟化技术已经实现了多个操作系统在同一个物理服务器上运行,使得硬件资源被最大程度的利用,与此同时还大大降低了对服务器的管理工作的工作量,从一定程度上减少了管理成本。然而,随之而来的还有新的安全风险和安全隐患,为了确保服务器的安全性能,加强防护是必要的。

参考文献:

[1] 孙志明.服务器虚拟化安全风险防范措施[J].算机光盘软件与应用,2013(12):69-72.

篇3

【关键词】安全;VLAN技术;AFC系统网络;安全隐患;解决方案

0.引言

自动售检票(AFC)系统是一个集售票、检票、计费、收费、统计、清分结算和运行管理等于一体的自动化系统[1],其作为轨道交通运营管理重要子系统之一,既承担着减少地铁工作人员的劳动强度,获取城市交通客流信息的一手资料等任务,也负责着票务收入计量,财务信息的汇总分析等重要工作。鉴于AFC系统在轨道交通运营过程中的重要地位,其安全性原则不容忽视。安全性建设意义重大,但完善安全性建设却难以面面俱到。一方面,我们知道安全是AFC系统能否正常运行的关键;另一方面,AFC系统作为内容繁多,结构严密,逻辑清晰的信息联机储存以及管理的系统,其安全性建设是一个系统工程。信息安全理论的木桶原理告诉我们:一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定,也即是说,安全性建设这个系统工程必须重视每一个安全细节。

1.三号线网络中的VLAN技术

网络作为AFC系统的重要组成部分,其安全性也是AFC系统安全的一部分。

三号线的AFC网络规划需要将多个车站的终端组成一个网络,并且由于业务分工的需要,每个车站内部的终端需要组成不同的局域网。若使用传统的局域网加路由的技术,则满足需求的网络方案中必须用到大量的路由,而且对处理网络结构的改变也不够灵活。而VLAN技术的特点却正好有效的解决了以上需求。利用VLAN技术以及VLAN技术上的干道技术,一方面,我们可以有效的分割广播域且不会增加对路由的需求,节约了成本;另一方面,VLAN可以非常灵活的处理终端的重新归网问题。

2.安全隐患

在了解了VLAN技术之后,我们来看看这种安全技术的两个潜在隐患。

第二层攻击类型介绍。

交换机处理的数据属于参考网络模型的第二层,即数据链路层。利用该层数据帧进行的网络攻击我们都称为第二层网络攻击。已知的第二层攻击有以下几种:VLAN跳跃,STP攻击,DHCP欺骗,CAM表溢出等。我们将重点放在VLAN跳跃攻击上。

VLAN跳跃攻击有两种方法,分别是交换机欺骗和双重标示。

2.1交换机欺骗

我们知道,如果一条线路成为干道的话,该线路将可以传递所有VLAN数据帧。一些cisco交换机端口的中继默认设置为auto模式,这使得接入交换机的攻击者主机可以构造DTP帧来打开交换机的中继模式。收到DTP帧的交换机会认为攻击者主机是另一交换机的中继端口,从而打开自己的中继模式,使得交换机将所有的VLAN数据帧传送给攻击者主机。如果车站服务器被入侵,那么当服务器上的入侵者向交换机发送其构造的DTP帧时,中继默认设置为auto模式的交换机便会将该交换机上所有VLAN的数据包发给工作站。此时,服务器上的入侵者得到了该连接到该交换机上所有其他设备的数据包,包括GATE,TVM,BOM,TCM等。这就是VLAN跳跃攻击。

2.2双重标记

为了能和不支持VLAN技术的交换机或其他设备通讯,支持VLAN技术的交换机设置了一个默认的本地VLAN。这个VLAN的发出数据帧是不带VLAN标签的。如果一个数据帧含有本地VLAN的标签,那么在发出这个数据帧的时候,该VLAN会被交换机删去。针对这一处理方法,攻击者可以构造一个双重标记的数据帧,达到访问本不能访问的VLAN网络的目的。

如右图所示,假设下图的工作站A和终端A分别属于VLAN2和VLAN3,在一般情况下工作站A不能访问终端A。然而,当工作站A向交换机A发送一个双重标记的数据帧时,这个数据帧就可以到达终端A,进而达到访问终端A的目的。

3.防范措施

3.1针对交换机欺骗的防范措施

交换机欺骗的危害虽大,但其预防措施却并不复杂。事实上,交换机欺骗攻击之所以说是一个安全隐患是因为大多数的交换机默认就将端口设置auto模式。三号线采用的交换机CiscoCatalyst 3550,其端口的默认设置便是这种形式。

为了防范交换机欺骗攻击,我们可以修改非干道端口上默认打开的auto模式,将其改成接入模式。以CiscoCatalyst 3550交换机为例,我们可以用下面的命令消除交换机欺骗攻击隐患:

Switch(config)#interface gigabitethernet 0/1

Switch(config-if)#switchport mode access

C3550交换机是地铁三号线车站计算机系统中的站台设备接入交换机,数目较多,这就加大该隐患的危险性。以上改变端口默认设置的命令应该在各个C3550交换机上执行,另外,对于线路中的其他交换机,我们也必须确定交换机的端口是否为auto设置,若是,则按照相应交换机的操作命令修改auto设置。

3.2针对双重标记的防范措施

实现双重标记这种攻击,前提条件是两台交换机使用802.1q协议作为干道的中继通讯以及两台交换机均具有相同标号的本地VLAN。大多数的交换机为了提高兼容性都是使用802.1q协议作为干道的中继通讯协议,并且,交换机默认的本地VLAN都为VLAN1,从而,这些默认设置滋生了双重标识这种安全隐患。

(1)修改以上提及的默认设置,我们便可以防范这个隐患。

以C3550交换机为例,可以在交换机上利用下列命令将本地VLAN的编号设置成其他编号:

Switch(config)#interface gigabitethernet 0/1

Switch(config-if)#switchport trunk native vlan 123

(2)选择思科的专有协议ISL代替802.1q协议。这方法只能用在车站交换机全部支持ISL协议的场合,操作的命令是:

Switch(config-if)#switchport trunk encapsulation isl

(3)比较实用的防范方法是在干道端口上标记所有本地VLAN流量,命令如下:

Switch(config-if)#switchport native vlan tag

通过这条命令,我们可以让所有的干道端口保留本地VLAN数据包的帧标记,双重标记攻击便失效了。

4.结语

通过讨论VLAN的两个较为隐蔽安全隐患及其防范措施,我们填补三号线AFC网络的存在的一些安全隐患。安全是一个系统性工程,而安全系统总是取决与最薄弱环节的安全程度,因此在日常工作中,我们必须加强安全意识,领会安全性原则,并重视安全性操作,借此提高广州地铁的安全性建设水平,为更好服务市民做出努力。

【参考文献】

篇4

1常见的计算机网络攻击手段

1.1黑客攻击

黑客通常都比较了解计算机系统和网络漏洞,黑客会利用很多网络手段攻击计算机网络,从而对计算机网络安全的维护构成很大危害。比较常见的黑客手段有:通过非法的手段来截获网络上传播的数据信息、恶意修改网络程序来破坏网络的运行等等。

1.2病毒攻击手段

病毒软件是威胁计算机网络安全的主要手段之一。计算机病毒是人为编写的破坏型指令或程序,当侵入计算机系统后,就会被激发进而破坏计算机系统或进行其他操作,给用户造成损失。计算机病毒的种类有很多,包括复合型病毒、系统引导病毒、宏病毒、文件型病毒等等病毒蠕虫和木马。而且计算机病毒可以自我复制、自动传播,不容易被发现,还变化多端,比杀毒软件发展的更快。人们在用计算机上网的过程中,很容易被病毒程序侵入。一旦计算机感染上病毒就会出现很多安全隐患。比如,当病毒侵入计算机系统之后,有可能造成电脑死机、数据丢失、数据被盗取、数据被恶意修改、计算机系统被恶意破坏等等,更严重者可能危害到网络的正常运行。

1.3拒绝服务攻击手段

人们上网是通过正常的网上链接等来访问服务器,进而获得服务器传送的数据,查看想要访问的内容。然而我们说的拒绝服务攻击手段通常指的是,一些网络攻击者利用TCP协议存在的缺陷,向服务器发送大量伪造的TCP连接请求,使被攻击方服务器资源耗尽,导致被攻击的服务器某些服务被暂停或者是造成服务器死机。拒绝服务攻击手段操作比较简单,是黑客常用的攻击手段,而且难以防范。拒绝服务攻击手段可以造成严重的安全问题。

2计算机网络安全的防范措施

目前的网络安全问题日益突出,为了保证用户的正常生活,防止网络安全隐患带来危害,必须要搭建一个安全的计算机网络。危害计算机网络安全的因素有很多,有计算机系统的漏洞、病毒黑客的攻击、用户自己不够小心等等。想要加强计算机网络安全性,就要从各个方面入手。下面介绍几种加强网络安全的措施。

2.1技术手段防范

计算机网络系统还存在很多没有改善的系统漏洞,维护网络安全的工作者要尽快完善网络漏洞,尽快推出有效的系统补丁。网络用户也要提高网络安全意识,选择合适的查毒、杀毒、扫描软件定期对计算机进行扫描监控和消灭病毒。而且,网络系统的数据安全也要受到有效的保护,可以利用复杂的加密措施来防止系统数据被恶意破坏或者外泄。同时还可以通过使用网络密钥以期达到提高数据信息的安全性的目的。

2.2加强网络安全监管

计算机网络安全还没有引起国家和群众的足够重视,很对人对计算机网络的安全认识还不够。为了让计算机网络安全受到足够的重视,国家应该制定一套系统的针对网络安全相关的法律法规,加强对网络安全的监管力度,对恶意破坏攻击网络安全的行为进行强有力的制剂。同时在社会上加大对计算机网络安全知识的教育,增加群众的网络安全意识,提高网络运营商和管理人员的责任意识。

2.3物理安全防范措施

计算机病毒和黑客的攻击方式繁多,但攻击对象多是计算机系统,计算机相关的硬件设施或是网络服务器等。所以物理安全防范措施就是要防范以上的硬件系统受到攻击。为了更好的保护物理安全,计算机网络用户一定要提防外界传播导致的计算机硬件系统被恶意攻击破坏。上网时不下载有安全隐患的软件程序,不访问有安全隐患的网站,不把不知道安全与否的外界媒体插入计算机,对网上下载的资料可以先进行安全监测之后在打开,对本地计算机存储的重要数据进行及时备份。以此来防范计算机病毒的攻击。

2.4访问控制防范措施

计算机网络会被非法攻击的一个重要因素就是计算机的访问限制存在漏洞,给不法分子可乘之机。所以为了维护计算机网络安全,应该加强对计算机网络的访问控制。对访问的控制可以从以下方向着手:入网访问控制、网络权限控制、网络服务器安全控制、防火墙技术。首先要做的是严格做好入网访问的控制。入网访问控制要做的就是对网络用户连接服务器和获取信息的时候进行控制。最基本的方法就是对用户的账号、用户名、密码等用户基本信息的正确性进行识别,并提高用户密码的加密等级。当用户入网后,要控制给用户一定的网络权限,对用户的修改、读写等等操作加以控制。为了保证完了服务器的安全,必须要用软件和删除的方式来防止服务器被恶意破坏修改。同时要实时对服务器的访问动态进行监测。当出现非法访问时要通过警报的方式提醒管理人员及时进行处理。最后也是最应用最为普遍的防范措施就是防火墙技术。防火墙技术是一种软件和硬件设备的组合,就是网络之间通过预定义的安全策略对内外网之间的通信实施访问控制。为了提高网络安全,应该尽快完善防火墙技术

3总结

如今的网络技术正在飞速发展,然而,在发展的同时网络安全出现了诸多漏洞,威胁了网络环境的健康。为了能够让网络更好的服务于大众,保证计算机网络的安全是网络继续发展所面临的亟需解决的问题。计算机网络的维护不可能通过简单的一个方法就能达到目的,所以必须在全民重视的同时通过各种技术手段来不断完善建立一个安全的网络环境。

参考文献

[1]陈豪.浅谈网络时代计算机的安全问题及应对策略[J].科技致富向导,2013(08).

[2]唐雅玲.计算机网络安全监控系统的研究与实现[J].数字技术与应用,2013(02).

篇5

关键词:  病毒攻击  ARP欺骗 

0 概述

    近几年来,随着全国高校教育信息化的深入开展,稳定的网络和计算机系统成为教育信息化的重要保障,网络及信息安全也成为高校关注焦点之一。

    本文通过研究分析高校网络典型的安全问题,将从病毒攻击、ARP欺骗攻击、ADSL攻击等方面入手,给出了防范策略和保护措施。

1  高校典型病毒攻击分析

    病毒攻击仍然是高校最重要的、最广泛的网络攻击现象,随着病毒攻击原理以及方法不断变化,病毒攻击仍然为最严峻的网络安全问题。

1.1 典型病毒攻击以及防范措施

1.1.1  ARP木马病毒

    当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,迫使局域网所有主机的arp地址表的网关MAC地址更新为该主机的MAC地址,导致所有局域网内上网的计算机的数据首先通过该计算机再转发出去,用户原来直接通过路由器上网现在转由通过该主机上网,切换的时候用户会断线一次。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。ARP木马病毒会导致整个局域网网络运行不稳定,时断时通。

    防范措施:可以借助NBTSCAN工具来检测局域网内所有主机真实的IP与MAC地址对应表,在网络不稳定状况下,以arp –a命令查看主机的Arp缓存表,此时网关IP对应的MAC地址为感染病毒主机的MAC地址,通过“Nbtscan –r 192.168.1.1/24”扫描192.168.1.1/24网段查看所有主机真实IP和MAC地址表,从而根据IP确定感染病毒主机。也可以通过SNIFFER或者IRIS侦听工具进行抓取异常数据包,发现感染病毒主机。

    另外,未雨绸缪,建议用户采用双向绑定的方法解决并且防止ARP欺骗,在计算机上绑定正确的网关的IP和网关接口MAC地址,在正常情况下,通过arp –a命令获取网关IP和网关接口的MAC地址,编写一个批处理文件farp.bat内容如下:

    @echo off

    arp –d(清零ARP缓存地址表)

    arp -s 192.168.1.254 00-22-aa-00-22-aa(绑定正确网关IP和MAC地址)

    把批处理放置开始--程序--启动项中,使之随计算机重起自动运行,以避免ARP病毒的欺骗。

1.1.2  W32.Blaster 蠕虫

    W32.Blaster是一种利用DCOM RPC漏洞进行传播的蠕虫,传播能力很强。蠕虫通过TCP/135进行探索发现存在漏洞的系统,一旦攻击成功,通过TCP/4444端口进行远程命令控制,最后通过在受感染的计算机的UDP/69端口建立tftp服务器进行上传蠕虫自己的二进制代码程序Msblast.exe加以控制与破坏,该蠕虫传播时破坏了系统的核心进程svchost.exe,会导致系统RPC 服务停止,因此可能引起其他服务(如IIS)不能正常工作,出现比如拷贝、粘贴功能不工作,无法进入网站页面链接等等现象,严重时并可能造成系统崩溃和反复重新启动。

1.1.3  W32.Nachi.Worm 蠕虫

    W32.Nachi.Worm蠕虫(以下简称Nachi蠕虫)利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。Nachi蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而严重影响网络性能。

1.1.4  w32.sasser蠕虫病毒

    w32.sasser蠕虫病毒利用了本地安全验证子系统(Local Security Authority Subsystem,LSASS)里的一个缓冲区溢出错误,从而使得攻击者能够取得被感染系统的控制权。震荡波病毒会利用 TCP 端口 5554 架设一个 FTP 服务器。同时,它使用 TCP 端口5554 随机搜索 Internet 的网段,寻找其它没有修补 LSASS 错误的 Windows 2000 和 Windows XP 系统。震荡波病毒会发起 128 个线程来扫描随机的IP地址,并连续侦听从 TCP 端口 1068 开始的各个端口。该蠕虫会使计算机运行缓慢、网络堵塞、并让系统不停的进行倒计时重启。

    蠕虫病毒防范措施:用户首先要保证计算机系统的不断更新,高校可建立微软的WSUS系统保证用户计算机系统的及时快速升级,另外用户必须安装可持续升级的杀毒软件,没有及时升级杀毒软件也是同样危险的,高校网络管理部门出台相应安全政策以及保证对用户定时的安全培训也是相当重要的。用户本地计算机可采取些辅助措施保护计算机系统的安全,如本地硬盘克隆、局域网硬盘克隆技术等。

2  高校家属区网络攻击分析

2.1  ADSL猫(MODEM)攻击

篇6

关键词:计算机网络;安全;防火墙;防范措施;管理

中图分类号:TP39 文献标识码:A

随着时代的进步与发展,当今的社会已经是一个信息化的社会。计算机网络技术和互连网的大力发展,使得计算机网络已广泛用各个领域,成为了人们工作与生活中不可缺少的部分。但是,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁,病毒扩散、黑客攻击、网络犯罪等违法事件的数量迅速增长,计算机网络安全问题越来越严峻。因此,分析影响计算机网络安全的因素,并采取强有力的安全防范措施,对于保障网络的安全性将变得十分重要。

1 计算机网络安全的含义

参照ISO给出的计算机网络安全定义,计算机网络安全是指保护计算机网络系统中软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。计算机网络安全是指利用网络管理控制和技术措施,主要是要求信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。

2 影响计算机网络安全的主要因素

影响计算机网络安全的因素很多,包括人为因素、自然因素和偶发因素,人为因素是对计算机信息网络安全威胁最大的因素。影响计算机网络安全的主要因素表现在几个方面。

2.1计算机网络的本身问题

互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、自由性的特点构成了网络的脆性性,从而成为影响计算机网络安全的一个主要因素。

2.2 操作系统存在的安全问题

操作系统是作为一个支撑软件,操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。

2.3 数据库存储的内容存在的安全问题

数据库管理系统大量的信息存储在各种各样的数据库里面,包括我们上网看到的所有信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。

3 计算机网络安全的主要技术

安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常多,主要的技术如访问控制、认证、加密、防火墙及入侵检测等是网络安全的重要防线。

3.1防病毒技术

网络是病毒传播的重要途径,病毒检测是计算机网络安全的一个基本技术,网络中的系统可能会受到多种病毒威胁,由于病毒在网络中存储、传播、感染的方式各异且途径多种多样, 故相应地在构建网络防病毒系统时,应用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的安全防范技术。

3.3入侵者检测

为了防止各种形式针对计算机实验室的网络攻击,网络应该能对各种形式的访问者进行检测、分类,参照用户所掌握的基本入侵案例和经验,判断其中入侵者,进而加以拒绝和备案。

4 计算机网络安全的防范措施

基于IP技术的计算机网络架构,缺乏必要的安全防范策略,随着网络安全的重视和网络攻击的隐蔽性,相信还有许多攻击事件未被发现,因此,计算机网络安全应当从安全技术、安全管理上加强防范。

4.1从技术上增强系统的防范能力

(1)采用网络隔离技术和“安全域”技术,利用网络隔离技术把两个以上可路由的网络通过不可路由的协议进行数据交换以达到隔离目的,即在不连通的网络之间数据传输,但不允许这些网络间运行交互式协议以确保把有害攻击隔离。

(2)安装防火墙和杀毒软件,网络防火墙技术是用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。防火墙保护计算机网络不被非授权用户访问,控制网络用户对计算机系统的访问。目前技术较为先进且安全级别高的防火墙是隐蔽智能网关技术和多重防护识别,它将网关隐藏在公共系统后使其免遭直接攻击。软件上,注意各种系统的漏洞补丁,关闭不使用的服务进程、作好各种安全设置,安装瑞星防病毒软件等。

(3)网络访问控制,访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。

(4)数据加密和身份认证技术。数据加密技术是网络安全有效的技术之一,它的目的是保护网内的数据文件口令和保护网络传输,数据加密不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。

(5)合理进行系统的安全设置,系统管理员应该确切的知道需要哪些服务,而且仅仅安装确实需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。

4.2 从管理上加强防范能力

包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。

(1)制定严格的网络安全规则,对进出网络的信息进行严格的限定。这样可充分保证黑客的试探行动不能得逞。

(2)将网络的TCP超时缩短至一定时间,以减少黑客进攻窗口机会。扩大连接表,增加黑客填充整个连接表的难度。

(3)时刻监测系统的登录数据和网络信息流向,以便及时发现异常,经常对整个网络进行扫描,以发现任何安全隐患。

(4)尽量减少暴露在互联网上的系统和服务的数量。计算机网络安全是一项复杂的系统工程,网络安全防范策略是将操作系统技术、防火墙技术、病毒防护技术、入侵检测技术等综合起来的网络安全防护体系。只有将技术、管理等因素紧密结合,才能使计算机网络安全确实有效。

结束语

综上所述,计算机网络安全问题是一项长期值得探索的工作,网络安全问题不仅不能发挥其有利的作用,甚至会危及国家、企业及个人的安全。因此,必须从安全技术防范上可加强对访问控制、认证、加密、防火墙及入侵检测等方面的应用,还应加强网络的安全管理,制定有关规章制度,对于确保网络安全,建立一个安全舒适的计算机网络环境,将起到十分有效的作用。

篇7

关键词:计算机网络工程安全;因素;对策

在当前的社会生活中,计算机网络工程中安全问题已经引起了一定的重视,安全威胁可以说无处不在,可能是网络供应商的漏洞造成的安全问题,也有可能是用户自己对安全问题没有得到应有的重视,造成计算机出现木马病毒等,这些问题对于我国计算机网络的发展将会带来十分严重的影响,在今后的工作中,我们必须要采取有效的措施应对计算机网络工程的安全问题,从而满足社会发展与进步的同时,更好的为今后的工作带来贡献,产生强大的推动力量。

1计算机网络安全之网络攻击的特点

计算机受到网络攻击主要可以体现出以下四方面的特点。首先是将会产生十分严重的损失,一旦黑客入侵用户的电脑,就会造成计算机无法正常运行,还会有很多信息遭受泄露。其次是对社会以及国家造成的安全隐患,一些黑客主要将政府以及国家中的机密文件作为主要的攻击对象,所以一旦受到黑客入侵,那么对于国家造成的损失将会是极大的。再次,在攻击手段方面呈现出多样化以及隐蔽性的发展特点,可以说是防不胜防。黑客想要入侵计算机,根据计算机受到保护的安全程度的不同可以选择不同的方式,这样就会对用户计算机的安全性造成极大的威胁。最后是从计算机网络攻击的主体来说,软件攻击是最主要的一种方式,其产生的影响也是隐形的,但是却与正常的社会发展秩序具有紧密的关联性。

2计算机网络工程的安全问题

首先,计算机网络工程自身存在一定的脆弱性,因为计算机网络是一个开放性的发展环境,所以产生的问题很多,任何人都可以在这个网络上实现传输以及资源共享,在这一影响下,就会对计算机网络带来很大的挑战。在上述三个脆弱性计算机网络环境的影响在,黑客就会利用这样的环境进行攻击,这样一来,就无法保障计算机网络的安全性,面对各种途径的攻击也会显得束手无策。其次,在进行网络操作的过程中,需要通过计算机的操作系统提供必要的支持,所以如果操作系统自身就存在安全问题,那么对于网络安全就会造成十分严重的影响。在计算机操作系统中,为了便于管理主要存在两个主要的部分,一个是软件,一个是硬件,计算机想要获得正常的运转,需要这两个部分。再次,在进行网络数据存储的过程中也潜在着一定的安全问题。当人们在浏览网页或者是查阅信息的过程中,黑客就会窃取我们的信息,自己的个人隐私自然也就无法得到有效的保障。对个人、对社会产生的影响是十分巨大的。此外,在其他方面,计算机网络工程安全也会受到其他方面的威胁,例如计算机病毒对计算机网络的安全性影响就很大,这是一种没有经过授权就入侵计算机的一种非法程序。

3计算机网络工程的对策研究

3.1提高技术防范措施

要想加强技术防范,那么建立起一个安全的技术管理制度是相当必要的,对于管理这一制度的工作人员来说,必须要具备相应的技能,并且不断提升自身的素质,进一步完善网络系统的安全问题,在技术人员工作的过程中,需要不断提升其职业素养,在每一道关卡中都要涉及到技术防范措施,面对一些重要的信息时,需要将其备份并且进行有效的管理,同时应该有专门的负责人进行负责,一旦出现问题,那么负责人就需要承担相应的责任。在对网络进行控制的过程中,应该对访问人数进行限制,禁止出现非法入侵的状况,这样就能在一定程度上促进网络系统的安全性,在用户访问网络的过程中需要加以严格的筛选,对相关的权限进行有效的管理。

3.2加强管理层面的力度

计算机网络工程的安全管理主要是针对网络防护工作而言的,单纯的采用技术防范显然不能从根本上解决安全问题,依然会对计算机管理带来一定的隐患,在这种情况下,就必须要采用更加科学的手段,让计算机用户不会受到威胁,这就要求在管理层面上加强管理力度,严格进行执法活动,对于计算机用户的安全问题,应该建立起相应的制度或者法律法规,这样可以起到约束性的作用,与此同时,在进行管理的过程中,人为因素对管理的影响较大,并且还会在操作层面上对管理带来一定的压力,这就需要进一步强化管理水平,保证相关的管理人员都具有完善的安全意识。

3.3安全层面的保障

如果想要保证计算机网络工程的安全性,首先就需要有一个相对安全的物理条件,比如机房或者和机房类似的物理空间。在对地址进行选择的时候比较重要,需要防止来自于环境等方面的物理灾害的攻击,还需要防止人为的破坏。在具体的操作过程中需要对虚拟地址的访问进行必要的控制,还需要对用户的权限进行限制,实行必要的身份识别,这样可以在一定的程度上防止有非法入侵的现象发生。

3.4计算机网络工程安全的综合防范措施

网络具有开放性,所以,对用户信息的认证在网络安全这一块将显得十分关键,需要通过用户的口令和密码来实现网络系统的权限分级。同时还需要对密码技术进提升,在此基础上还要提高防火墙的防范技术,防火墙技术分为三类,一是数据包过滤技术,二是应用网关技术,三是技术。将防火墙技术和侵入检测系统联动起来,使其相辅相成的运行,可以为计算机网络的安全提供一个可靠的保障。

4结束语

综上所述,加强计算机网络工程的安全问题迫在眉睫,这是人们共同关注的问题,是社会得到稳定发展的重要保障,是人们工作与学习顺利进行的首要前提,加强相关的预防工作是当前技术人员的工作重点。

引用:

[1]黄丹.关于计算机网络安全问题分析及对策研究[J].信息与电脑(理论版),2011,12(15):245-246.

篇8

1.1内部安全威胁

所谓的内部安全是指在企业内部范围之内的一些安全威胁,包括硬件故障、员工的操作失误、内部网络攻击。

(1)硬件故障。一个企业的网络设备和设施主要为计算机以及交换机、路由器、传输设备等,其中计算机的硬盘主要有硬盘、显卡、显示器、内存、主板、网卡、电源等,其中任何一个硬件发生了微小的故障都会导致整个系统出现问题,严重的将会导致企业的重要信息和数据丢失或者外漏,甚至整个网络系统都不能正常运行,整个企业的正常工作受到影响。

(2)员工的操作不当。由于机器都是人进行操作的,是人都会犯错,都回存在懒惰以及粗心大意的情况,尤其是在操作员对于设备的使用和业务都不太熟练的情况下,他们的操作更容易造成数据的丢失和网络设备的损坏,如果误将硬盘进行格式化将会导致所有数据丢失。甚至有的时候企业员工为了报复领导的不公或者冷漠,会对企业的一些机密文件资料进行故意的窃取或者破坏。

(3)内部网络攻击。内部网络攻击,还是指企业的内部员工为了一己私利对于企业的计算机网络系统进行破坏。

1.2外部安全威胁

(1)自然灾害或其他非法攻击。外部安全威胁是指企业的计算机信息网络系统,因为自然灾害或者非法攻击造成系统安全风险。常见外部风险:火灾、水灾、其他自然灾害以及盗窃等人为的破坏,这是引起信息系统损失的一个原因,对硬件系统构成潜在的安全风险。

(2)黑客攻击。黑客通过网络非法入侵计算机信息系统,这是目前计算机网络所面临的一个很大威胁。黑客攻击的主要目的要么是为了截取竞争企业的保密信息,要么为了摧毁竞争企业的实力,对其信息进行破坏,让其宝贵数据丢失。

(3)病毒感染。任何事物都会存在漏洞或者瑕疵,互联网作为一个虚拟的网络系统也存在一些漏洞,这个时候木马就会对互联网进行攻击,导致互联网上的数据丢失或者系统瘫痪。一般状况下,企业的计算机只要接入网络,在计算机的运行过程中就有病毒对产生威胁的可能。病毒感染网络的途径有很多,计算机网络或者电脑的U盘都可以进行传播病毒,计算机病毒不仅对计算机系统安全影响大,而且传播速度很快。一旦电脑的文件被病毒感染之后就很难清除,并不是文件删除了病毒就没了。

2企业计算机网络系统安全问题的部分解决措施

主要的企业计算机网络系统安全问题的部分解决措施主要是依据上述的对企业计算机网络安全造成不利影响的因素提出来的,主要的解决措施包括内部安全防范措施和外部安全防范措施。

2.1内部安全的防御措施

在上面的分析中,可以知道来自企业的内部计算机网络安全威胁并不小于外部的网络安全,甚至过之而无不及,所以企业的计算机网络安全系统要想得到很好地保护,首先要将责任分配到个人,每一个设备和设施都能找到对应的负责人,设备要避免身份不明的人进入,这样企业内部人员在操作时警惕性就高,操作失误就少,更不敢因为不满将设备破坏。然后企业要建立完善的设备网络维护制度,要求使用者对于设备要进行不定期的检查和维护,实时掌握设备的运行环境和运行情况。即使计算机系统运行正常,也要对计算机系统和设备进行定期的维护,从而保证计算机系统在一个良好的兼容环境下运行。加强计算机用户的网络安全保护意识,日常工作和生活中要不断提升企业管理者和员工的网络安全重要性意识,处处宣传计算机网络安全的重要性。企业对于常见的网络故障和重点数据要建立网络安全日志,企业的内部操作人员在查看这些日志的时候就能掌握企业网络系统中经常出现的问题,以及哪些薄弱环节要重点预防。

2.2外部安全的防御措施

(1)防火墙与IDS(入侵检测系统)。防火墙主要限制非法访问攻击,同时能够及时地对网络的相关规定进行防御,一般防火墙的等级越高,对于一些安全系数要求高的部门的网络,防火墙的等级可以高一些,在出口处设置防火墙,避免Internet或者非本企业用户攻击企业网,同时不要将这些部门的网络系统和整个大的企业网络系统连接在一起,防止企业内部员工的攻击。然后IDS能够和防火墙进行很好地配合,对于抵抗一些网络攻击的效果非常好,所以企业网络系统内IDS是必不可缺的。

(2)对黑客的防御。1)应用技术。该技术主要是指在能够和最终的数据联系上的应用层上,对数据进行数据监测,该监测是整个OSI模型的最高级别的检测。这个时候整个防火墙的线路都是透明的,在外界数据进入到企业的网络客户端的时候,网络协议就会对这些数据进行检查,查看这些外来的数据是否安全。2)包过滤技术。该技术是使用比较早的一种技术,它主要是为各种基于TCP/IP协议数据报文出进的通道,现在使用的大多是动态过滤技术,该技术与静态过滤不同的是,它增添了传输层。动态过滤技术是先对信息进行处理分析,然后用预置防火墙过滤规则进行校核,加入发现某个包有问题就会被阻止。

(3)对病毒的防御。学会巧用主动型防御技术防范病毒的入侵。计算机系统应安装正规的杀毒软件,并及时进行更新。同时对每台电脑使用常用口令来控制对系统资源的访问,每一台电脑都有自己的口令,外人甚至是同事都不知道口令,这样就可以很好地防御病毒,终端操作和网络管理人员可以根据自己的职责权限,使用不同的口令。避免用户越机访问数据以及使用网络资源,并且操作员应定期变更一次口令,争取将病毒在在网络前端就得到杀除。

3结语

篇9

【关键词】计算机;网络安全;攻击;系统;防范措施

1.计算机网络安全概要

随着计算机科学的迅速发展,伴随而来的计算机网络安全问题也愈演愈烈。我们将计算机网络安全问题拆分为计算机安全和网络系统安全两个板块来讨论。而对于什么是计算机安全呢?国际标准化组织给出的定义是:为以数据处理为中心的系统建立一个采取技术和管理双重保护的安全保护。主要是保护计算机的硬件和软件数据不因自然因素,偶然因素或者恶意操作而遭到攻击,损坏,泄露等。对于计算机来说,它的组要组成部分是硬件和软件数据,那我们不难理解,对于计算机安全来说,我们主要研究方向就是两个方面:一是物理安全,二是逻辑安全。物理安全指的是计算机硬件不遭受各种因素的攻击和破坏。

2.计算机网络安全的现状

计算机网络安全问题已经成为国际环境中一个普遍的问题,这主要是因为互联网全球共享化的特征所造成的,不管你身在何处,只要通过互联网,就能进行各种各样的操作。而这也是计算机网络安全问题潜在威胁的最大原因。如果说自然因素和偶发因素是我们不可控制的,只能在加强计算机硬件和软件的性能方面来减少这种因素发生所带来的损失。那么人为因素所造成的安全问题可谓防不胜防。这主要体现在以下几个方面:

2.1计算机病毒。计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性等特征。它的病毒的生命周期主要划分为:开发期传染期潜伏期发作期发现期消化期消亡期等七个阶段。我们可以将计算机病毒比喻成生物病毒,它可以自我繁殖、互相传染以及激活再生。这些特征意味着计算机病毒有强悍的繁衍(复制)能力并且扩散速度之快,在你还没有来得及做出相应措施的时候,它就侵入了计算机的核心系统,导致计算机数据流失,系统紊乱,无法操作和响应等一系列病症,甚至直接崩溃。

2.2黑客攻击。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客攻击的工具有很多,攻击方式也层出不穷,性质恶劣。

2.3内部威胁。内部威胁主要发生在各种企业或公司内部,他们并不像计算机病毒和黑客攻击等有意为之,而是内部计算机操作人员由于缺乏网络安全意识,而导致的内部操作方式不当而造成的计算机安全隐患。

2.4网络钓鱼。网络钓鱼其实按性质来说,就是一种诈骗手段。只不过它是通过网络建立虚假的WEB网站或者电子邮件等来盗取使用者的信息。常见的形式有网络购物的促销活动,各种抽奖活动和金钱交易等吸引人去点击,然后骗取他们的身份信息和银行卡号和信用卡密码等私密信息,达到利用人们脆弱的心理防线来达成窃取信息的目的。从以上可以看出,网络攻击的形式多种多样,尽管计算机网络安全维护人员们已经在竭尽全力的去寻找消灭他们的方法,但就拿计算机病毒来说,它就像生物病毒一样,繁衍速度极快,种类也在无限的增长过程中,并且在攻击过程中产生各种各样的“病变”。也就是说,你研发一种对抗另外一种病毒的工具的速度也赶不上制造一种病毒的速度。但是,这并不是说我们就完全坐以待毙,等着网络攻击来侵害计算机网络,我们需要借助科学严密的管理制度,创新精密的科学技术来尽可能的降低网络安全风险。创造更加健全和稳固的计算机网络防范于未然,是我们从现在到未来一种奋斗的目标!

3.对于计算机网络安全问题的防范措施

3.1加大资金投入,培养网络技术人才。我们都知道,一个国家科技发展的速度直接影响这个国家的发展速度,高科技对于一个国家的发展起着至关重要的作用。面对层出不穷的计算机网络安全问题,我们需要培养更过的网络技术人才来创造和维护和谐的网络环境。所以,为什么美国是世界上第一科技大国,这和他们对于科学技术人才的大力培养是有密不可分的关系的。

3.2强化安全意识和内部管理。对于普罗大众来说,计算机网络安全隐患往往来自于自身对于网络安全意识的不重视和对于网络安全知识的匮乏,从而引起的操作不当导致计算机网络安全的隐患,以及内部管理人员窃取机密信息等不法行为。加强内部管理主要从以下几个方面入手:一是设置网络密码,并且时常更换密码。这些密码最好组成比较复杂,因为越复杂的密码就越难攻破。二是设置访问权限,这些访问权限对于管理者来说,主要是用来区分管理阶层的,什么身份的管理人员获得什么样的权限,最高的权限是为最高级别的管理者设置的,这么做是为了对计算机网络数据信息进行更好的保密。设置访问权限对于计算机网络来说,不仅保护了路由器本身,并且保护了拓扑结构和计算机的操作和配置等。设置可信任的地址段从而防止非法IP的登陆。

3.3管理上的安全防护措施。这是指对网络设备进行集中、高效、科学的管理,这些管理主要是对计算机硬件设备的管理,包括主干交换机,各种服务器,通讯线路,终端设备等。对这些设备进行科学的安装和维护管理工作,是对网络安全的一项重要措施。管理上的安全防护措施还来自的管理人员的规范。管理人员对于安全管理意识,安全管理技术和用户安全意识的提升都直接影响网络安全的健全。在工作生产中,如果网络安全遭受到攻击,管理人员良好的专业素质和管理准备办法都能技术抵御攻击或者对攻击过后的损失进行及时的补救。

4结论

篇10

关键词:无线Mesh网络 安全隐患 防御

中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2013)12-0189-02

无线Mesh网络也就是无线网状网,因为速率较高、容易组网和成本低廉的优势被大家熟悉和接受,被普遍应用于无线设备和互联网的接入中。无线Mesh网络最主要的意义,是能够使任何网络节点都具备接收和转发数据的功能,并且能够使每个节点都可以实现与一个或多个对等的节点直接进行通信。和无线局域网相比,无线Mesh网络使用的是多跳机制,这就意味着用户要实现通信就必须通过较多数量的节点,这在一定程度上大大增加了无线Mesh网络的安全隐患。随着无线Mesh网络越来越广泛地被应用,其安全问题已经成为了急需研究的话题。

1 无线Mesh网络的结构特点

无线Mesh网络有别于传统无线网络技术,其无线电通信网络是由网状的拓扑射频节点组成的。无线Mesh网络所包含的节点可以分为三类,分别是客户端、路由以及网关。其客户端节点可以是传统笔记本电脑,也可以是手机、ipad等无线设备,路由节点则利用自身组织或者预先配置的方式形成骨干网络,为客户端提供无线接口,网关节点则提供到网络的访问。由于无线Mesh网络的通信网络结构特点,能够满足当一个节点发生故障,其他剩余节点仍能够直接或间接实现相互通信的要求,因此是一种比较可靠的数据通信方式。

2 无线Mesh网络潜在的安全问题

无线Mesh网络的结构特点使得其除了面临传统有线网络安全的风险外,还面临着其他特殊的安全隐患:

2.1 无线传输的开放性使其安全面临更大挑战

通常情况下,要对有线网络发起供给需要依赖于对物理通道的监听或以流量注入的方式发起攻击。而无线网络由于其开放性特点,使得黑客可以通过窃听无线链路的信号、接收覆盖范围的节点发送的报文篡改数据等方式实现对网络的供给,甚至可以直接发送无线干扰信号来对无线Mesh网络造成破坏。

2.2 无线Mesh网络认证的分散性使其更加容易受到攻击

与传统有线网络不同,无线Mesh网络缺少控制中心这样的节点,导致对其进行安全管理变得困难。又由于其特殊的拓扑结构,使得网络中节点之间的数据传送变得不稳定,已有的安全措施难以直接应用,安全认证变得困难重重。

2.3 无线Mesh网络终端节点的两重身份加大其安全威胁

在无线Mesh网络中,非常特殊的一点在于其终端节点同时承担着主机和路由器的角色因而既需要运行相关联的应用程序,又需要遵守路由协议运转。如果网络内部的节点要实现与网络外部节点的通信,就必须依靠终端网络节点的多跳机制参与,这意味着如果任何一个有多条通信链经过的节点受到攻击,都有可能给整个网络的安全造成影响。

2.4 无线Mesh网络独特的路由机制给网络攻击提供更多机会

无线Mesh网络的路由节点运行原理是多跳动态机制。攻击者可以利用路由器的这一特点进行错误路由信息的传播,整个网络系统有可能因此陷入停运状态。路由节点的这一特质也使得DOS攻击手段变得多样化,通过虚假路由信息进行欺骗,实现虫洞等形式的攻击,更加隐蔽和防不慎防。

3 无线Mesh网络常见的安全攻击手段

有线网络的攻击手段仍可能对无线Mesh网络造成威胁。同时,由于无线Mesh网络的特殊性,使其还将面临更多的威胁。总的来说,针对无线Mesh网络的攻击可能由网络外部的恶意节点发起,也可能由内部的被侵入的节点进行,手段比较多样,且一些手法具有很强的隐蔽性,应该引起高度的重视。

3.1 窃听

窃听是一种比较传统的攻击方式,通常是其他网络攻击的基础,在有线网络时代已经存在,通过窃取流经网络的计算机信号实现对网络传输流的截取,对用户的信息隐私造成威胁。由于无线网络是以无线电为载体进行的,介质具有公开向,理论上说流经无线通信的每一个信息对于窃听者都是可见的。如果用户的数据没有进行加密,窃听者将非常容易地获取到想要获得的明文,再通过报文解析获取信息。

3.2 DDoS进攻

DDoS是中文“分布式拒绝服务”的英文缩写,其攻击主要以干扰正常网络通信,占用正常网络带宽为手段,以实现影响用户网络正常使用或导致一些节点对某种服务无法正常访问。与传统DoS不同,DDoS的攻击更多是通过向目标主机传输大量的垃圾数据,造成其通信堵塞或服务器不堪重负,从而实现拒绝服务的目的,用户对网内资源的正常访问受到严重影响。

3.3 中间人进攻

数据要实现通信必须在至少两个节点之间传输,中间人进攻就是在两个合法节点之间,利用一定手段对节点双方以欺骗的方式获取通信内容。对于底层的无线Mesh网络,这种以中间人的身份进行的进攻是非常突出和致命的。中间人进攻对于无线Mesh网络的各个传输线路都可能造成严重的危害。攻击者可以通过这种欺骗手段获得累积的明文甚至加密文件,在此基础上进行分析,就可能对网络密匙实现破解。

3.4 路由节点进攻

路由机制的实现需要内部节点的相互合作。如果内部节点被利用改造成恶意节点,就可能向其他节点发送虚假信息,或者伪造其他节点的路由信息,对整个网络系统造成严重破坏。由路由节点发起的进攻具有很大的隐蔽性,在爆发前通常难以被发现,引起破坏性非常大。目前针对无线Mesh网络路由机制的进攻主要通过以下几种方法:

(1)黑洞。黑洞攻击是通过恶意节点对外伪装具有最短路劲,欺骗其他节点与其建立路由连接。在连接建立之后,恶意节点将利用窃听或者吞噬需要转发的数据,造成数据分组丢失的拒绝服务。

(2)虫洞。虫洞攻击的原理是通过两个处于同一网络但位置不同的恶意节点之间绕路信息的交换,导致通过恶意节点的跳跃数的减少,以此换取获得路权机会的增加。这种攻击可能导致路由扰,正常的通信无法进行。

(3)篡改数据。对数据的篡改通常很难被检测。这种攻击是由恶意节点在报文上动手脚,修改报文的内容,从而造成该报文在目标节点上的认证失败,或者使攻击者获得需要信息。

(4)自私节点。自私节点是指在整个网络系统中为了尽可能地满足本节点的需求,而拒绝为其他节点提供中继服务的节点。如果攻击者制造出大量的自私节点,就可能造成网络系统较大面积的停止运行。

(5)女巫攻击。这种策略是指一个恶意节点使用一个物理设备但是却伪造了多个身份,造成一定的迷惑性,使得路由协议的运行受到干扰,网络资源的分配也可能出现问他,从而影响系统的正常运行。

4 无线Mesh网络的安全防御

针对上述无线Mesh网络面临的安全问他,可以采取适当的措施进行防护,最大程度降低破坏的发生,保障系统的相对安全。

4.1 针对窃听的防范措施

从窃听攻击的发动原理可以看出,无线Mesh网络的窃听风险主要是由于无线介质的开放性造成的,其防御也是利用这一原理,尽量减少其开放性带来的威胁。一方面,可以利用定向天线技术和扩频技术等手段,减少恶意破坏者接收到完整信号的几率。另一方面,采取数据加密,保证节点的认证和路由信息都受到网络密钥的支撑。

4.2 DDoS攻击的防范措施

如果网络节点已经受到了DDoS攻击,再进行防御产生的效果是不尽如人意的。因为当意识到有大量垃圾数据向其传输的时候,网络很可能已经因为通信量超过负荷而陷入瘫痪。此时只有及时进行相关检查进行抵抗。第一,是尽力找出进攻的发源,及时关闭相关设备。第二,是查处攻击经过的路由,再有针对性的进行屏蔽。由于DDoS攻击通常是恶意的网络拥堵,并非传统意义上端口到端口的拥堵,因此单独节点上的有效防范难以实现,需要通过路由来解决。一个比较可行的方法是在每个节点上加入检测攻击,或者选择分组丢失功能。另外使用资源调节器也可以对资源耗尽类型的DDoS攻击达到比较好的防范目的。

4.3 中间人攻击的防范措施

中间人攻击之所以能够成功,关键原因是任何一个无线Mesh网的节点都被允许既是申请者同时又是认证者。利用这一原理,运用身份签名技术,采取挑战签名及以及验证的方法实现双向认证,能够较好地防御中间人攻击这一手段。具体来说,当每一个节点新加入到整个网络系统中时,必须向其相邻的节点发出认证,通过认证的节点蔡有资格进入。这就使得节点只具备一种身份,新加入的节点为申请者,而其相邻的节点则成为认证者。

4.4 路由攻击的防范措施

(1)黑洞攻击的防范。要预防黑洞攻击的发生,最可靠的办法是找出黑洞节点。使用者可以利用对无线网络进行监听的方法来实现对黑洞节点的检测和排查。监听的原理如下:由于无线信号的传播是全向的,当源节点向非目的节点发送数据分组的时候,非目的节点会根据路由信息转发这一数据分组,其他节点包括源节点在内,都肯定能够收到来自非目的节点转发的这一数据分组,从而可以由源节点对非目的节点转发的数据分组的数量进行检测,以此作为依据判断非目的节点为黑洞节点的可能性大小。

(2)虫洞攻击的防范。针对虫洞攻击当前已经有了一些比较成熟的防范。比较常使用的是地理束缚和时间束缚、计算邻居数目分布以及基于邻居信任的评估。

(3)数据篡改的防范。目前对于数据篡改类的网络攻击,比较常用的方法是对路由信息进行加密以及采用数字签名的方法。为了避免被恶意俘获的节点利用路由进行网络攻击,用户应该定期和非定期地对路由表以及选择方式进行更新,确保正确的路由选择。

(4)自私节点攻击的防范。自私节点攻击的防范可以通过对自私节点的排查和检测进行方法。目前比较流行的检测方法有基于上下文感知的排查法、中心极限定理(CLT)检测算法以及基于滑动窗口的残差阂值测算法等。

(5)女巫攻击的防范。如果能够对节点的身份进行有效的识别和检测,女巫攻击就能够得到有效的防范。其检测的标准时能够确保每个节点有效并且只具备一个物理身份。当前比较流行的方法有网络密钥预分配和节点定位等。

随着无线Mesh网络的应用和推广,其面临的安全隐患引起人们越来越多的关注,针对无线Mesh网络进行的攻击也更加多样,其中一些具有很强的隐蔽性,能够对整个网络系统造成较大的破坏。本文在简单介绍无线Mesh网络特性的基础上,主要针对其存在的安全隐患进行分析。介绍了几种主要的攻击手段,并提供了相应的防御方法。这些方法能够比较有针对性地防范一种或几种攻击,但从长远来看,要真正打破无线Mesh网络的安全瓶颈,还是应该从无线Mesh网络的网络协议入手,构建安全稳定的网络框架结构,从根源上堵塞安全漏洞。

参考文献

[1]郭渊博,杨奎武,张畅.无线局域网安全:设计与实现[M].北京:国防工业出版社,2010.

[2]刘振华.无线Mesh网络安全机制研究.中国科学技术大学博士学位论文,2011.