谈谈如何防范网络安全范文

时间:2023-09-19 16:51:17

导语:如何才能写好一篇谈谈如何防范网络安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

谈谈如何防范网络安全

篇1

关键词::计算机;网络安全;防范

一、计算机网络面临的威胁

1.软件编写存在bug:无论是服务器程序、客户端软件还是操作系统,只要是用代码编写的程序,都会存在不同程度的bug。bug主要分为以下几类:(1)缓冲区溢出:指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串,超过的部分通常就是入侵者想要执行的攻击代码,而程序编写者又没有进行输入长度的检查,最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。

2、意料外的联合使用问题:一个程序经常由功能不同的多层代码组成,甚至会涉及到最底层的操作系统级别。入侵者通常会利用这个特点为不同的层输入不同的内容,以达到窃取信息的目的。

3、不对输入内容进行预期检查:有些编程人员怕麻烦,对输入内容不进行预期的匹配检查,使入侵者输送炸弹的工作轻松简单。

4、Raceconditions:多任务多线程的程序越来越多,在提高运行效率的同时,也要注意Raceconditions的问题。例如:程序A和程序B都按照“读/改/写”的顺序操作一个文件,当A进行完读和改的工作时,B启动立即执行完“读/改/写”的全部工作,这时A继续执行写工作,结果是A的操作没有了表现,入侵者就可能利用这个处理顺序上的漏洞改写某些重要文件从而达到闯入系统的目的,所以,编程人员要注意文件操作的顺序以及锁定等问题。

5、默认配置的不足:许多系统安装后都有默认的安全配置信息,通常被称为easytouse。但遗憾的是,easytouse还意味着easytobreakin。所以,一定对默认配置进行扬弃的工作。

6、管理员懒散:懒散的表现之一就是系统安装后保持管理员口令的空置,而且随后不进行添加和修改。

7、临时端口:有时候为了测试之用,答理员会在机器上打开一个临时端口,但测试完后却忘记了关闭,这样就会给入侵者有空可钻。(4)信任关系:网络间的系统经常建立信任关系以方便资源共享,只要攻破信任群中的一个机器,就有可能进一步攻击其他的机器。所以,要对信任关系严格审核、确保真正的安全联盟。

8、安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

9、病毒:目前数据安全的头号大敌是计算机病毒。新型病毒正向着更具破坏性、更加隐秘、感染率更高、传播速度更快、适应平台更广泛的方向发展。病毒给人类造成的经济损失逐年上升,因此,提高对病毒的防范刻不容缓。

10、黑客:从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。形势的日益严峻使得反病毒行业,防毒、防黑客产品的研究和开发已成为一种趋势。

二、计算机网络中存在的隐患

1.广播风暴的风险:由于NETBEUI等非路由协议的数据包以广播方式在整个网上传播,造成了网络资源的浪费,并可能产生“广播风暴”,造成整个网络系统的瘫痪。

2.资源共享所产生的安全隐患:一些用户喜欢利用网络邻居实现资源的共享,这样是很方便,但同时也带来不安全的隐患。首先,易造成网上计算机病毒的传播。第二,会造成非法用户的非法访问,窃取用户保密资料或破坏用户的资源。

3.共享式网络设备的安全隐患:系统的内部网都是采用的以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也可以被处在同一以太网上的任何一个节点的网卡所截取,只要接入以太网上的任一节点的用户现在很容易从Internet上得到的许多免费的黑客工具,如SATAN,ISS,NETCAT等帮助下进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而可能窃取关键信息,这就是以太网所固有的安全隐患。以交换式网络设备代替共享式网络设备对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户是通过分支集线器而不一定都是通过中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据交换时,还是有可能被同一台集线器上的其他用户侦听到。因此,在内部网中最好要以交换式集线器代替共享式集线器,使数据包仅在两个节点之间传送,从而有效地防止可能的非法侦听。

4.应用系统的安全隐患:非法用户可通过SATAN等扫描工具对网络上主机进行扫描,找出漏洞,进行攻击。

5.文件服务器、邮件服务器及WEB服务器的安全隐患:如果这些服务器没有采取相应的安全保护措施,则可能遭受“黑客”的攻击和病毒的侵害。如:涂改Web页面、发送垃圾邮件、使用“特洛伊木马”程序攻击用户。

6.路由协议存在的安全隐患:在许多计算机网络中,路由器之间采用的协议有OSPF和RIP两种;因为版本较低,其中有的路由器协议的版本为RIP.它不支持加密功能.因而当某一非法用户启用V1.0协议,将路由指向某一不存在的地址时,可能造成网络故障。

三、计算机网络安全防范技术

1.物理隔离网络的安全技术:建立一个内网节点保护体系,并将整个网络的所有情况通过节点的实时反馈,集中到一个系统安全信息管理中心,然后通过该管理中心对全网进行统一管理。节点设备安全并不只是单点安全技术,不仅仅关注节点,同时还要考虑全网安全体系架构。所有节点都要服从安全体系架构的统一的框架,接受统一的管理。

2.访问控制技术:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。访问控制措施有以下几个方面:

(1)入网访问控制。入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。

(2)网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。

(3)目录安全控制。网络允许控制用户对目录、文件、设备的访问。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor),读权限(Read),写权限(Write),创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(AccessControl)。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。

(4)属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。

(5)网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括设置口令锁定服务器控制台.以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

(6)网络监测和访问控制。网络管理员应对网络实施监控服务器记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。

篇2

关键词:校园网络安全;网络管理;跟踪监测;端口管理

在信息化社会到来的今天,许多中学都建立了不同规模的校园网络,并以各种方式接入了Internet。网络的普及,弥补了传统教学的很多不足,促进了现代化教学手段的使用,但随之而来的校园网络安全也成了广大校园网络管理者比较头疼的问题。学校服务器被攻击,网站被篡改,教学数据被删除,甚至网络瘫痪等事件时有发生。所以,必须加强校园网络的安全维护,确保校园网安全、稳定、高效地运转。

要管理好所承担的网络管理工作,必须先了解目前中学网络拓扑图。

学校网络拓扑解析:校园网络的外接网路有两条,其一是电信百M光纤,另一条是地区教育城域网光纤,两条线路均通过防火墙过滤,所有网络中的外网访问由路由指向电信线路,教育网相关应用由路由指向教育城域网。

拓扑图危险等级分析:(1)A1,A2,A3处危险均来自校园网外部,尤其是A1处危险等级最高,因为黑客有可能以校园网WEB服务器为跳板,直接进入到学校内部网络进行破坏。(2)B处危险来自学校内部网络,相对容易监控。

就拓扑图分析该网络存在的安全隐患:(1)网络病毒;(2)黑客恶意攻击;(3)不良信息;(4)设备安全;(5)web服务器和数据库服务器的安全漏洞;(6)系统服务器的安全漏洞。

一、从技术手段上提高网络安全性

针对以上拓扑结构,结合实际操作经验就技术实现手段来谈谈如何改进中学校园网络安全维护。

(一)网络病毒防治

通过网络途径,病毒的传播速度快得惊人,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。对于学生机房里的电脑,可以采用安装硬件或软件还原系统来防止病毒的入侵。对于教师的办公电脑,要及时安装杀毒软件并及时更新,现在的免费杀毒软件很多,例如金山毒霸、360杀毒软件等。同时,办公区电脑的补丁安装也不能马虎。

现在校园网络中常见的病毒主要是“ARP木马”类的病毒。它发作时,中毒的机器会伪造某台电脑的MAC地址,如果伪造地址为网关服务器的地址,那么对整个网络就会造成影响,表现为用户上网时电脑不断弹出网络地址冲突的提示。对于此类病毒,在清除以后,可以采用在交换机内进行IP地址与MAC地址的双向绑定,也可以采用安装一些ARP防火墙软件的方来解决,如Anti ARP Sniffer和360安全卫士。笔者目前给学校的办公电脑做了个启动文件,来静态绑定网关IP,防止ARP欺骗,读者可以借鉴arpd、arps、 网关地址、网关MAC地址等。

(二)恶意攻击防御

恶意攻击,主要来自外网和内网。

1.外网的攻击。首先是路由器,它属于接入设备,必然要暴露在互联网黑客攻击的视野之中,因此需要采取严格的安全管理措施,比如口令加密、加载严格的访问列表,关闭无关的服务端口。如果厂家推出了新的软件升级包,要及时更新版本,尽量减少漏洞。

其次是服务器,服务器安全分为硬件方面和软件方面。硬件方面,要求该服务器具有较高的可用性、可靠性、可扩展性,最好还要有不间断电源UPS来供电,硬盘防护要采用软件或者硬件RAID(磁盘阵列),这样才能很好的保存我们放置在服务器里的文件数据。对于重要数据还要养成定时备份,存放到不同的服务器里或者进行刻录保存的习惯。软件方面,现在大部分中学的服务器安装的都是Windows 2003/2008,对于操作系统的安全补丁一定要及时更新,做好防范措施。同时,还要根据自已的实际,对操作系统进行安全配置,关闭不需要的服务。

2.校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的威胁将会更大一些。

首先,现在黑客攻击工具在网上泛滥成灾,而中学生的心理特点也决定着他们对此类工具充满好奇,极想尝试,所以不能忽视,必须防范。具体做法是在每个学生机中安装一个网络监控的客户端,教师就可在服务端随时监控学生机的流量,发现异常及时处理。同时,在平时也要在这方面多加强学生的教育,使他们明确“网络道德”、“网络犯罪”等概念。各办公室的计算机共享目录的设置也要注意,我们常利用共享目录进行传文件,一定要养成使用后把共享关闭的习惯,防止非法访问者对上面的资料、文档进行查看、修改、删除。网上就有这样一个例子,某中学教务处不注意把期末考试题放到了一个共享目录中,结果被上机的同学通过网上邻居发现了,造成了试题泄露的严重后果。所以,应加强目录共享安全意识。

其次,BT、电驴等P2P软件的普及使用,应引起广大网络管理员重视。这类软件的下载方式是以抢占带宽来达到下载目的,对于这一类软件的防范,可以通过防火墙功能,采用IP限速或者关闭服务实现。

最后,控制广播风暴的最好方式是划分VLAN。它除了能控制广播风暴,还能够帮助控制流量,提供更高的安全性。

(三)不良信息过滤

网络犹如打开的房门窗,在和煦的春风吹进来的同时,也会有讨厌的苍蝇飞进来。我们在带领学生接受网络信息的同时要做好对不良信息的防范。可以采用安装网络过滤器来过滤不良信息,或通过防火墙设置禁止访问网址列表,这样就能实现学生的绿色上网了。

(四)网络设备安全

网络设备设置安全是指对路由器、服务器、交换机等设备的安全配置,现在很多学校网络管理员会在路由器和服务器上加密码,但很容易忽略另外一种设备――可网管的交换机,一旦这种设备被人取得控制权,那就很容易造成网络瘫痪的严重后果。

(五)Web服务器和数据库服务器的安全漏洞的安全防范

1.Web服务器的安全防范。目前很多学校的校园网Web服务器均采用了微软的IIS服务器,我也就此做一些安全配置建议:(1)不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。(2)删除IIS默认创建的Inetpub目录(在安装系统的盘上)。(3)删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。(4)删除不必要的IIS扩展名映射。右键单击“默认Web站点属性主目录配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml,.shtm,.stm。(5)更改IIS日志的路径。右键单击“默认Web站点属性网站”在启用日志记录下点击属性。(6)使用UrlScan。UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析,可以拒绝任何可疑的通信量。目前最新的版本是2.5,如果是2000 Server需要先安装1.0或2.0的版本。如果没有特殊的要求,采用UrlScan默认配置就可以了。但是,如果要在服务器运行程序,并进行调试,需打开要%WINDIR%\System32\Inetsrv\URLscan,文件夹中的URLScan.ini文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。如果网页是.asp网页,需要在DenyExtensions删除.asp相关的内容。如果网页使用了非ASCII代码,就需要在Option节中将Allow HighBit Characters的值设为1。在对URLScan.ini文件做了更改后,需要重启IIS服务器才能生效,快速方法是在运行中输入iisreset。

2.数据库服务器的安全防范。以下防范主要针对使用范围很广的SQL数据库服务器:(1)System Administrators角色最好不要超过两个。(2)如果是在本机,最好将身份验证配置为Win登陆。(3)不要使用Sa账户,为其配置一个超级复杂的密码。(4)删除以下的扩展存储过程格式为use master;sp_dropextendedproc“扩展存储过程名”;xp_cmdshell是进入操作系统的最佳捷径,删除;访问注册表的存储过程,删除Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring;OLE自动存储过程,不需要删除Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop。(5)隐藏 SQL Server,更改默认的1433端口。右击实例选属性常规,在网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。

(六)对系统服务器安全漏洞的安全配置

目前主流的系统服务器是Windows Server 2003或者Windows Server2008,以下也是针对此类服务器的安全配置建议:

1.隐藏重要文件/目录。可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0。

2.启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。

3.防止SYN洪水攻击:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为2。

4.禁止响应ICMP路由通告报文。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface新建DWORD值,名为PerformRouterDiscovery,值为0。

二、提高网络安全性的重要支撑――网管工作建议

1.定期更改系统服务器的密码,并使他够复杂,做好相关服务器的例行检查,确保服务器的运行状态正常,例如数据库服务器能否正常按计划备份。保持服务器的正常及时升级,及时打好补丁。

2.如有条件可以给网络用户进行不定期培训,培养用户正确安全使用网络终端设备的习惯。

3.去一些著名的杀毒软件网站看看,了解最新的系统漏洞、病毒资讯。利用黑客工具扫描网络,例如流光、sql注入扫描工具等。

4.做好网络终端行为的日志记录尤为重要,这里推荐一款免费的网络工具――“科来网络分析系统”,它对网络中所有传输的数据进行检测、分析、诊断,帮助用户排除网络事故,规避安全风险,提高网络性能,增大网络可用性价(上接第199页)值。

网络安全已经分化为一门独立的课程,安全技术和黑客技术就像是盾和矛,总在互相促进发展。网络没有绝对的安全,只有不断加强网络管理者的安全意识和自我学习的理念,才能把网络提高到一个相对安全的层次。

中学校园网络的安全维护是一个系统性工程,由于网络本身具有开放性、脆弱性等特点,加上校园网络前期的设计和后期的投入等诸多原因,都将会形成对校园网络安全的威胁。所以,校园网络的安全问题不能仅仅依靠相关设备和网络安全技术来维护,而是需要整体考虑系统的安全需求,建立相应的维护制度,将各种安全技术的维护手段结合在一起,才能生成一个高效、通用、安全的校园网络,才能更好地促进教育教学活动的开展。

参考文献:

篇3

关键词:博物馆;局域网;建设

一、前言

浙江自然博物馆局域网络是一个信息点较为密集的千兆局域网络系统,它所联接的近千个信息点为在整个博物馆内办公的各部门提供了一个快速、方便的信息交流工作平台。不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与外界进行交流、查询资料、完成工作等。通过局域网服务器,不仅可以直接对外信息,对公众提供博物馆各类信息咨询服务,还满足各个部门实际工作的需要。

二、网络实施

浙江自然博物馆局域网络的规划、设置和实施中遵循以下五个原则:功能性、 可扩展性、适应性、开放性、可管理性。

结合浙江自然博物馆实际情况,选择千兆以太网技术为博物馆网络主干交换技术。采用内外网2台核心交换机担负整个博物馆核心任务的运行,负责支持各种网络应用。各接入层交换机通过千兆链路分别连接到两台核心交换机,实现4Gbps全双工上行链路,为桌面提供10/100Mbps的交换速率,并实现计算机内网和外网的物理隔离。

浙江自然博物馆综合布线系统分成五个独立的子系统。五个子系统采用星型拓扑结构,这种结构具有结构和控制简单、故障诊断和隔离容易、方便服务和扩展性好的特点。工作区子系统全部采用6类模块,便于数据和语音的互相切换。水平子系统采用6类UTP,有十字支撑架,保证线缆长期稳定满足要求。主干子系统采用两根6芯多模光纤(2根内网、2根外网进行数据备份),语音线采用3类100对大对数电缆。管理子系统设置在各层的分配线间。分配线间中水平数据双绞线端接使用24口模块式配线架;垂直语音主干线缆端接使用卡接式配线架;所有的配线架都是机架式,预留10%~15%的余量,以供今后扩展。设备间子系统采用交叉连接方式,安装并集成在标准机柜内。

浙江自然博物馆综合布线系统接入层交换机的端口数与信息点数按约2:1的比例配置,交换机具备第三、四层交换功能,为浙江自然博物馆各个部门管理业务、子网的VLAN提供策略性的路由。在网络布线中考虑到博物馆今后网络扩展的可能性,尽量连结到各个部门的办公室和展厅。同时设置有多个无线AP点,用来弥补有线局域网络不足,以达到网络延伸目的。考虑到网络的安全性,计算机内网不设置无线AP点,防止博物馆管理业务信息的泄漏,造成损失。

整个计算机网络系统的核心设备均采用模块化设计,随着不同需求的增加,可以方便地对计算机网络系统进行逐步地升级、扩展,未来还可以通过增加模块支持和实现目前流行的IP电话,视频会议等实时性的数据技术。两台核心交换机通过VRRP协议实现冗余备份,消除了单点故障。随着浙江自然博物馆的用户信息点增多,可以配置多台交换机与现有的交换机之间进行堆叠,从而提供多端口的信息接入。

三、网络安全

网络的物理安全是整个网络系统安全的前提。由于网络系统属于弱电工程,耐压值很低。因此,在博物馆局域网设计和施工中,必须优先考虑网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷,尽量避免网络的物理安全风险。

网络拓扑结构也直接影响到网络系统安全性。假如外部网络和内部进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上其他系统。透过网络传播,还会影响到连上Internet/Intranet的其他的网络;影响所及,还可能涉及法律、金融等安全机密问题。因此,有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要隔离。避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它请求服务在到达主机之前就应该遭到拒绝。

根据网络安全的目标及所面临的安全威胁情况,采用访问控制技术、入侵检测技术等进行有效地安全防范。内网(Intranet)与外网(Internet)之间的安全控制主要采用防火墙技术,利用分组过滤法,隐藏内部地址,实行网络服务,防止Internet上的“黑客”侵入内部网络系统,以免内部应用系统遭到破坏。此外,用网络版杀毒软件和硬件防毒墙实现对浙江自然博物馆网络中的服务器、客户机进行双重防护。

四、网络管理

网络的管理是局域网建设的重要一环,合理的网络安全控制管理,可以使应用环境中的信息资源得到有效地保护。在局城网中,应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限。

通过网络管理软件,提供给网络管理员一个非常清晰的网络拓扑结构,把大量网络运行的状态数据转化为非常简单的图形提示,及时反馈网络中出现的问题,能将网络管理变得轻松,为网络运行提供良好地保障。确保网络的连续正常运行,或者当网络运行出现异常时能及时响应和排除故障。同时,确保数据的可读性、准确性、完整性,及时将数据备份到其他储存介质上,是网络安全最重要的辅助措施。

在使用技术手段从硬件和软件着手对网络资源进行保护同时,对网络用户进行网络的安全教育同样重要。首先,要建立一套完整的网络管理规定和网络使用方案,并要求网络管理员和网络使用人员必须严格遵守。其次,加强对网络管理员和网络使用人员的培训,让他们明白什么是可以做的,什么是严禁做的,可能产生的严重后果是什么,对网络了解得越多,自我约束的能力也就越强。第三,制定合适的网络安全策略,既不能让网络用户无限制的使用网络,也不能对用户限定得太死,引发用户设法绕过网络安全系统,钻网络安全策略空子的现象。制定一种让网络管理员和网络用户都乐于接受的安全策略,可以让网络用户在使用网络的过程中逐步把网络当成工作中一个得力工具,从而自觉地维护网络的安全。

篇4

[关键词] 网络 安全 黑客

随"校校通"工程的深入开展,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到无法估量的作用。但在积极发展办公自动化、实现资源共享的同时,人们对校园网络的安全也越加重视。尤其最近暴发的"红色代码"、"蓝色代码"及"尼姆达"病毒,使人们更加深刻的认识到了网络安全的重要。正如人们所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了网络管理人员的一个重要课题。

目前,许多学校的校园网都以WINDOWS NT做为系统平台,由IIS(Internet Information Server)提供WEB等等服务。下面本人结合自己对WINDOWS NT网络管理的一点经验与体会,就技术方面谈谈自己对校园网安全的一些看法。

一、密码的安全

众所周知,用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题,是由于密码管理不严,使 "入侵者"得以趁虚而入。因此密码口令的有效管理是非常基本的,也是非常重要的。

在密码的设置安全上,首先绝对杜绝不设口令的帐号存在,尤其是超级用户帐号。一些网络管理人员,为了图方便,认为服务服务器只由自己一个人管理使用,常常对系统不设置密码。这样,"入侵者"就能通过网络轻而易举的进入系统。笔者曾经就发现并进入多个这样的系统。另外,对于系统的一些权限,如果设置不当,对用户不进行密码验证,也可能为"入侵者"留下后门。比如,对WEB网页的修改权限设置,在WINDOWS NT 4 .0+IIS 4 .0版系统中,就常常将网站的修改权限设定为任何用户都能修改(可能是IIS默认安装造成的),这样,任何一个用户,通过互联网连上站点后,都可以对主页进行修改删除等操作。

其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出字符作为密码。笔者就猜过几个这样的站点,他们的共同特点就是利用自己名字的缩写或6位相同的数字进行密码设置。

密码的长度也是设置者所要考虑的一个问题。在WINDOWS NT系统中,有一个sam文件,它是windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果"入侵者"通过系统或网络的漏洞得到了这个文件,就能通过一定的程序(如L0phtCrack)对它进行解码分析。在用L0phtCrack破解时,如果使用"暴力破解" 方式对所有字符组合进行破解,那么对于5位以下的密码它最多只要用十几分钟就完成,对于6位字符的密码它也只要用十几小时,但是对于7位或以上它至少耗时一个月左右,所以说,在密码设置时一定要有足够的长度。总之在密码设置上,最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外,适当的交叉使用大小写字母也是增加被破解难度的好办法。

二、系统的安全

最近流行于网络上的"红色代码"、"蓝色代码"及"尼姆达"病毒都利用系统的漏洞进行传播。从目前来看,各种系统或多或少都存在着各种的漏洞,系统漏洞的存在就成网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起"红色代码"、"蓝色代码"及"尼姆达"病毒的传播流行的Unicode解码漏洞,早在去年的10月就被发现,且没隔多久就有了解决方案和补丁,但是许多的网络管理员并没有知道及时的发现和补丁,以至于过了将近一年,还能扫描到许多机器存在该漏洞。

在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因些从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

在WINDOWS NT使用的IIS,是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,为了加大安全性,在安装配置时可以注意以下几个方面:

首先,不要将IIS安装在默认目录里(默认目录为C:\Inetpub),可以在其它逻辑盘中重新建一个目录,并在IIS管理器中将主目录指向新建的目录。

其次,IIS在安装后,会在目录中产生如scripts等默认虚拟目录,而该目录有执行程序的权限,这对系统的安全影响较大,许多漏洞的利用都是通过它进行的。因此,在安装后,应将所有不用的虚拟目录都删除掉。

第三,在安装IIS后,要对应用程序进行配置,在IIS管理器中删除必须之外的任何无用映射,只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重,尽量不要给可执行权限。

转贴于 三、目录共享的安全

在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中,要充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。笔者曾搜索过外地机器的一个C类IP网段,发现共享的机器就有十几台,而且许多机器是将整个C盘、D盘进行共享,并且在共享时将属性设置为完全共享,且不进行密码保护,这样只要将其映射成一个网络硬盘,就能对上面的资料、文档进行查看、修改、删除。所以,为了防止资料的外泄,在设置共享时一定要设定访问密码。只有这样,才能保证共享目录资料的安全。

四、木马的防范

相信木马对于大多数人来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!木马,应该说是网络安全的大敌。并且在进行的各种入侵攻击行为中,木马都起到了开路先锋的作用。

木马感染通常是执行了一些带毒的程序,而驻留在你的计算机当中,在以后的计算机启动后,木马就在机器中打开一个服务,通过这个服务将你计算机的信息、资料向外传递,在各种木马中,较常见的是"冰河",笔者也曾用冰河扫描过网络上的计算机。发现每个C类IP网段中(个人用户),偶尔都会发现一、二个感染冰河的机器。由此可见,个人用户中感染木马的可能性还是比较高的。如果是服务器感染了木马,危害更是可怕。

篇5

关键词:校园网;网络安全;网络管理

中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)35-2091-02

1 引言

校园网是高校信息和管理的重要平台,是师生获取信息、丰富知识和学习交流的重要渠道,校园网的强大功能对高校的教学、科研和管理有着至关重要的作用,在推动教育改革发展、促进思想文化交流、丰富师生精神生活等方面起到了积极影响。然而,随着校园网规模的不断扩大以及应用的不断深入,校园网中的安全问题也逐步显现出来。如何避免网络中的攻击、如何避免计算机病毒的大规模爆发、如何保证校园网的畅通等问题已成为目前校园网中急需解决的问题。

2 校园网安全问题分析

2.1 病毒的侵害

校园网中的用户众多,每天许多用户都要通过校园网访问Internet,而当今Internet上的许多的资源都暗藏病毒。如果某个用户的计算机上没有安装防病毒系统,那么该计算机就极易被病毒感染,当网络中的计算机被感染后,病毒就通过Internet进入了校园网内部。而现在的决大多数病毒除了具有传统病毒的一般特性(可传播性、隐蔽性、可执行性、破坏性)之外,还具有传播速度极快、扩散面非常广、不易防范、难于彻底清除等特点,如蠕虫病毒、冲击波病毒、振荡波病毒等,这些病毒往往能够在很短时内里通过网络进行传播。由于病毒在网络中大规模的传播与复制,将极大地消耗网络资源,造成网络性能的急剧下降,严重时有可能造成网络广播风暴甚至导致网络瘫痪。

2.2 网络攻击

Internet是一个开放的网络,计算机可以通过各种网络设备接入Internet,如果对网络访问不加限制,那么Internet上所有的网络资源都可以被任意访问。从校园网的安全角度考虑,对于任何一个Internet用户都有必要加以防范,因为任何一个用户都有可能是校园网的攻击者。攻击者通过设置特洛伊木马、WWW欺骗、端口扫描等方法对网络进行攻击,一旦攻击成功将对学校的数据造成极大的威胁。比如一些黑客入侵学校的Web服务器,篡改学校的主页损坏学校形象,或对学校Web服务器发送大量的攻击数据包导致学校的主页难以访问。

网络攻击不仅来自于外部,还可能来自校园网内部。据统计来自内部的攻击比例要大大高于来自外部的攻击。这是因为校园网内部的用户对网络结构和应用系统更加熟悉,同时校园网用户中绝大部分是具有较高知识水平的大学生群体,在学生中不乏计算机应用高手(特别是计算机专业的学生),由于对网络攻击的巨大的好奇心和渴望攻击成功的心理使他们把校园网络当作网络攻击的试验场地,而这种不安全因素对校园网的破坏力往往更大。

2.3 软件系统存在安全漏洞

系统安全漏洞指的是系统在设计时没有考虑到的缺陷,特别是操作系统,因为这些软件一般都比较的复杂、庞大,有时会因为程序员的疏忽或软件设计上的失误而留下一些漏洞。理论上讲任何一个系统都不同程度地存在着漏洞。因为系统漏洞的存在,使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷。攻击者针对系统漏洞进行攻击,入侵成功后将获得系统的相应的权限,进而盗取重要资料或对系统进行破坏活动。目前学校的计算机系统绝大多数都是使用Window2000/xp操作系统,而Windows操作系统是不太安全的,因为Windows操作系统的漏洞比较多,由Windows操作系统漏洞引发的不安全问题时有发生。此外,应用系统也不例外,如IE、Office办公软件、Ms-Sql、 Oracal等软件也存在安全漏洞。

2.4 管理上的欠缺

网络的整体安全仅从技术和设备入手是不够的,还应该有一套对工作人员行之有效的管理制度,尤其要加强对内部人员的管理和约束。这是因为内部人员对网络的结构、模式都比较了解,若不加强管理,一旦有人出于某种目的破坏网络,后果将不堪设想。然而,目前国内的高校中还很少有学校具备完善的校园网管理制度。同时,在对设备的操作方面也应设立相应的操作规范。如没有规范的操作,把交换机的密码设置得过于简单;或者允许用户从任何地点登陆核心交换机之类的问题都会给网络的安全带来巨大的隐患。在对用户的管理方面,目前很多学校还没有建立起一套行之有效的校园网用户管理方法。有的学校即使有用户上网守则,但也没有相应的监控措施,难以取得违规用户的行为证据,这些都是管理上的缺陷。

3 校园网安全应对策略

3.1 建立网络防病毒系统

在非网络环境下计算机病毒的防杀一般都是靠单机版的杀毒软件来完成,但在校园网环境下单机版的杀毒软件已经无法适应网络病毒的防杀要求。这是因为单机版的杀毒软件只能防杀本地计算机中的病毒,且单机版的杀毒软件各自为政,在病毒库的升级以及病毒的统一防杀方面很难做到协调一致。

要有效地防范网络病毒可以采用集中式病毒防杀系统。该系统包括了服务器端和客户端两个模块。首先在校园网上建立一个防病毒服务器,即系统的控制中心,然后采用客户端安装或网络分发的方式将客户端软件安装到每个工作站上,并设置每个工作站接受服务器的管理。管理员只需利用控制台软件就能对联网计算机进行统一的病毒清除,从而能有效的控制校园病毒的爆发。如果有新病毒库,只需对服务器上的病毒库更新,客户端就会自动到服务器上下载并更新病毒库。集中式病毒防杀系统因它的病毒库更新及时方便、防杀行动统一彻底、系统稳定可靠、用户参与少等优点成为了校园网的病毒防治中最有效的措施之一。

3.2 构建防火墙和入侵检测系统

防火墙是位于两个(或多个)网络间实施网间访问控制的一组组件的集合。所有进出网络的数据流都必须经过防火墙的授权。设置防火墙是保护内部网络免于外部网络攻击的重要措施,在Internet与校园网内网之间部署防火墙,就在内外网之间建立了一道牢固的安全屏障。防火墙可以限制对某些不安全端口的访问,能封锁特洛伊木马,并禁止来自特殊站点的访问和禁止某些协议的运行,从而有效地防止外部入侵者的非法攻击行为。

入侵检测是指对计算机和网络资源的恶意行为的识别和响应的过程。入侵检测系统从计算机网络系统的若干关键点收集信息并对其进行分析,发现入侵以后,会及时进行记录事件、断开网络连接和报警等操作,如果把防火墙比作是网络门卫的话,入侵检测系统就是网络中不间断的摄像机。在校园网中部署入侵检测系统可以有效地监控校园网内的恶意攻击行为。

3.3 使用VLAN技术

VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、提高网络安全性、简化网络管理。下面从几个方面具体来谈谈VLAN技术在校园网中的发挥的突出作用。

由于不同的VLAN有着各自独立的广播域,而广播只能在本地VLAN内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。例如在我校就对每栋学生宿舍划分两个或两个以上VLAN,在这种情况下即使有一栋学生宿舍的VLAN产生了广播风暴,也不会对此VLAN之外的网络产生影响。

在交换机上划分VLAN以后,不同VLAN的之间将不能直接通信,VLAN间的通信必须通过三层设备(路由设备)。我们可以通过路由访问列表和MAC地址分配等VLAN划分原则,控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN中,从而提高了校园网的整体性能和安全性。如果结合相应的网络技术还可以方便的控制校园网用户的登陆地点,例如开启交换机的认证功能,校园网用户在登陆校园网前首先要进行身份认证,我们可以将认证帐号绑定到具体的VLAN中,这样只有具备相应VLAN认证帐号的用户才能在指定的VALN登陆校园网络。

利用VLAN技术可以根据学校的部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段,在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用VLAN技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。

3.4 软件系统的安全配置

软件系统的安全问题也是不容忽视的,任何软件都有漏洞。作为网络系统的管理人员有责任及时将软件的补丁打上。比如,校园网中的服务器所使用的操作系统大多是win2000/xp的操作系统,因为使用的人多所以发现的漏洞也就特别多,这就需要网络管理人员随时去了解微软公司的有关操作系统的安全信息,如有相关的补丁程序或升级包就应当及时地从微软的官方网站下载并安装。对于其他的软件系统(比如:Linux,Oracal,Sql)也应当密切关注其安全问题。只有这样才能有效的避免因软件系统漏洞而导致的安全问题。

操作系统在服务器上刚安装好时会自动启动一些不必要的服务,这样不仅给系统增加了额外的开销,而且带来了系统的安全隐患。对于服务器上不需要的服务我们应及时将其关闭,比如我们可以关闭web服务器的telnet等服务,同时我们还应该关闭不必要的tcp端口。

3.5建立人才队伍,完善管理制度

在校园的建设中人才队伍的建设是十分重要的。因为无论是校园网的合理规划与建设,还是日常的维护及管理,都离不开一支专业水平高、业务能力过硬、责任心强的人才队伍。只有网络管理者具备较高的素质,才能在校园的建设中使用先进的技术,才能使网络设备发挥其最大的价值,才能及时快捷的处理校园网中的各种软硬件故障。

制定科学合理的规章制度,对于明确责任、确保网络安全具有十分重要的作用。校园网安全管理制度应包括:设备的操作规范制度(比如对密码的设置方法、系统权限的分配原则、核心设备的访问规则等)、网络系统的维护制度、网络故障应急措施、机房的出入制度。校园网的管理需要建立制度更需要执行制度,严格地执行安全管理制度是校园网可靠运行的重要保障。

4 结束语

校园网的安全问题是一个较为复杂的系统工程,我们必须综合考虑各种安全因素,制定合理的技术方案和管理制度。随着网络技术的不断发展,新的安全问题又将不断出现,如何长期保证校园网高效可靠的运行将对网络管理者提出更高的要求,这就需要我们不懈地努力,随时掌握最新的网络安全技术,不断地更新和完善校园网的安全体系,使校园网的运行更加稳定可靠。

参考文献:

[1] 肖军模,等.网络信息安全[M].北京:机械工业出版社,2006.

篇6

关键词:计算机网络;教学改革;应用型人才

中图分类号:G642 文献标识码:B

1“计算机网络”课程的主要特点

(1) 内容广泛,教与学难度大

“计算机网络”课程是计算机类专业的一门专业课程,更是计算机网络专业的核心课程,包括数据通信技术基础知识、网络体系结构、局域网、广域网、网络设备、网络安全等。其内容广泛且大部分非常抽象,学生学起来较枯燥、难以理解。

(2) 实践、应用性强

“计算机网络”课程包含许多实践性的内容,如路由器、交换机等网络设备的配置、局域网络的组建、应用服务器的搭建等,光靠课堂上讲是不可能使学生理解和掌握的,必须进行实践训练。

(3) 时效性强,更新快

通信技术以及计算机技术的迅猛发展使得计算机网络技术也不断推陈出新,这就要求我们必须及时更新教学内容才能跟上时代的步伐。

而在“计算机网络”课程的教学中存在着教学内容与现实脱离、教学模式不适应课程特点、实验教学环节薄弱等方面的问题,不能满足社会对学生所学知识的要求。因此,对“计算机网络”课程教学的改革势在必行。

2教学改革

(1) 教学内容的改革

“计算机网络”是一门公认的较难教授的课程,全国大多数院校本科计算机网络课程教学大纲要求学生掌握网络通信基本原理,主要讨论计算机网络OSI/RM七层体系结构和TCP/IP体系结构。课程内容主要包括计算机网络基本概念、网络体系结构,然后按照网络体系结构分别阐述物理层、数据链路层、网络层、传输层和应用层的基本原理和协议。学生学后难以理解,不少学生可能感觉到学过与没学一个样,并无实际作用。

为了培养高级工程应用型人才,计算机网络的教学应紧紧围绕着网络建设、应用和管理这一主线进行,突出实用性、先进性,可将教学内容分为计算机网络基础知识、局域网技术、网络设备与互联、网络安全、网络应用与管理等五部分内容。

在计算机网络基础知识中,主要介绍网络的概念、分类、数据通信技术和网络体系结构。在介绍体系结构时,简化OSI参考模型的内容,扩充事实标准TCP/IP的内容,将OSI参考模型与TCP/IP参考模型二者相结合;在介绍网络协议的原理与作用时,注重几个常用协议,不用的完全可以不讲或少讲;但象IP地址规划、配置,则应作为一个重点。也就是说,内容应新,要减少那些淘汰了的内容。

在局域网技术中,应重点介绍局域网的组成和常用的局域网,如交换式以太网技术和虚拟局域网技术,而令牌网、10BASE2、10BASE5以太网等,则可以简化其内容。

在网络设备与互联中,则应以交换机、路由器设备为主,介绍广域网接入技术。象网桥、集线器等网络设备,仅介绍其基本概念即可;而交换机、路由器,除掌握其概念、原理,还应要求学生学会其基本配置;广域网接入技术中,应简化目前已经基本淘汰的如X.25、帧中继技术等部分内容,增加了已经走向人们身边的接入技术,如作为TCP/IP网络骨架的路由器技术。

在网络安全中,应重点介绍常见的网络安全技术,引进新的技术充实教学内容。除Windows安全中心(包括注册表的入侵与防范、Windows防火墙技术等)外,还可增加NAT、ACL、防火墙等内容。

网络应用与管理中,需重点介绍网络系统与服务等,应演示常用的网络命令、建立常用的服务器、配置服务器等。

(2) 教学方法和手段的改革

在教学过程中,应充分发挥教师的主导作用和学生的主体作用,激发学生的兴趣,推行“互动式”、“启发式”、“案例教学”等各种有利于学生创新能力培养的教学方法。

① 激发学习兴趣

学生在学习活动中,兴趣是最好的老师,在教学中应设法激发学生的学习兴趣,把“教师要求学生学”改变为“学生主动要求学”。比如学生普遍有一定的计算机操作能力,能熟练地上网,对网络有兴趣,则第一次上课就可以首先介绍计算机网络的重要性和在现实生活中的具体应用,还可以让学生发言,谈谈自己使用网络的情况,并互相交流。这样,学生对网络的宏观有个轮廓印象,明白了网络的实用性,增加了学习的兴趣和动力。

② 互动式、启发式教学

采用互动式、启发式教学,引导学生进行思考。在每一章的开始,可以先提出通信过程中的问题,然后启发学生“如何解决这些问题?”如,在讲分层体系结构时,先提出问题“如何实现两台主机之间点对点的通信?”。为实现这一目的,需要通信双方在物理传输媒体、接口、信号编码、调制方式、通信速率等物理指标上遵循统一约定,这就是物理层标准的目的;而物理层不能保证可靠传输,可能出现误码而且无法实现流量控制、连接控制等功能,所以要在点对点线路上实现可靠通信,还需要借助于数据链路层协议;在数据链路层和物理层协议的控制下虽可实现点对点可靠通信,但实际网络不可能在任何两台主机之间存在点对点线路,所以采用了以路由器为核心的网状结构,由路由器对数据报进行逐级转发,这就是网络层协议,……。由此逐步启发学生掌握分层的体系结构思想。

③ 案例教学

采用案例教学,鼓励有实际经验的教师将网络工程案例引入课堂教学。工科院校的学生应该重在能力的培养,注重的是理论联系实际。通过案例教学,学生可以学习到设备选型、组网规划、网络技术应用等网络方案设计的方法和策略,学习如何使用最合理可行的解决方案实现客户需求。另外,组网案例具有可复制性,比如中小型企业网络组建和规划案例在大部分企业中都是适用的。

④ 教学手段的多样化

在教学方法改革的同时还应充分利用多媒体教学、网络课堂等现代化教学手段。由于计算机网络课程中专业术语抽象,概念多,不易理解,静态的文字课件往往很难描述清楚,因此采用多媒体教学的手段在课件中大量引入动画、动态视频、声音等多种形式,使抽象的信息形象化,可帮助学生理解、加深印象、引起兴趣。如网络体系结构中每一层协议数据单元及其封装过程都是十分抽象的,可以采用图形与动画方式,把每一层封装的过程演示出来,既生动形象又易于理解和掌握。此外,还可以充分利用校园网络资源,建立网络课堂,提供课件、授课录像以及试题库,使课堂教学得以延伸,方便学生课外学习。

(3) 实验教学的改革

“计算机网络”是一门工程应用特征非常明显的课程。工科院校在进行课程改革时,应该以提高学生工程应用能力为目的,以市场为导向,形成一个较为完整、系统的实验教学体系。

① 规范实验室建设

为了保障计算机网络课程实验教学的正常进行,组建一个计算机网络的专业实验室是必要的。这个实验室应包含多种设备:二层交换机、三层交换机、路由器、防火墙

等,其网络拓扑结构应该能够灵活组合,并且可以进行多区域分布实验。实验室的建立,可以是对现有实验室进行改造,添加一些专业的网络设备,也可以聘请专业的公司建立如Cisco网络实验室、锐捷网络实验室等等。

② 改革实验内容

计算机网络实验内容的选择是整个实验教学设计最重要的一环,也是当前实验教学改革的重点和突破口。因此在设计实验内容的时候,既要涵盖教材中主要的知识点,又要兼顾对学生动手能力和创新意识的培养,而且所设计的实验内容还应该具备实用性和可操作性。因此,计算机网络课程实验可以分以下几个层次进行:验证性实验、综合性实验和设计性实验。

 验证性实验,主要用于验证网络的各种协议,让学生更形象地理解理论知识。主要实验包括以太网帧的构成、IP地址分类与数据包组成、IP地址转换协议、ICMP和UDP数据报的传送、TCP数据通信、HTTP协议、TELNET、SNMP及其他。

 综合性实验,目的是为了让学生更好地应用网络知识,提高实践能力。主要实验包括熟悉网卡、网线、集线器、交换机、路由器等硬件设备,以及网络工具、并制作双绞线;学会交换机、路由器的安装、配置,组建局域网,配置虚拟局域网,进行安全性设置;学习Internet的接入和使用,配置WEB、FTP、DNS、DHCP等服务器。

 设计性实验,目的是让学生进一步掌握UDP及TCP协议的工作原理,掌握SOCKET编程的基本方法,实现网络数据传输。主要实验是用SOCKET套接字进行网络程序设计。

③ 工程化训练以及专业资格认证

建立实训基地,加强企业合作,组织成绩优良的学生到合作企业中参加网络工程实施工作,以工程的方式锻炼学生应用能力;此外还可以组织学生参加实验室、办公室网络、宿舍局域网等基础网络组建,通过工程化训练培养学生从事网络工程实施的能力。

同时,鼓励学生参加专业资格认证考试,如Cisco公司的CCNA、CCNP,华为3com公司的HCNE、HCSE,锐捷的RCNA、RCNP等。通过取得专业资格认证来提高学生就业竞争力。

3教学效果与总结

几年的教学实践证明,新的教学方案端正了学生的学习态度、提高了他们的学习积极性和主动性,也充分训练了他们解决实际问题的能力。随着计算机网络技术的飞速发展,社会对学生能力的要求在不断的变化,我们还需进一步努力探索,以使计算机网络的教学水平不断进步、提高。

参考文献

[1] 谢小莲. 关于“计算机网络”课程教学的思考[J]. 中国冶金教育,2008,(4):29-31.

[2] 陈爱国,冯斌. 网络实验室建设与实验教学改革[J]. 中国现代教育装备,2007,(5):38-40.

[3] 仲红. “计算机网络”课程的教学改革与实践[J]. 安徽理工大学学报:社会科学,2007,9(1):88-90.

[4] 孙文清,兰影杰. 高职计算机网络课程教学改革与实践[J]. 职业技术教育,2006,27(20):18-19.

Teaching Reform Based on The Training of Engineering Talent in Computer Network Curriculum

WEN Zhi-ping

(Nanjing Institute of Technology, Nanjing, Jiangsu 211167)

篇7

    非线性新闻节目制作网挑战传统的新闻节目制作体制是随着IT业的迅猛发展而逐步占据优势的,随着高性能处理器、大容量存储设备和宽带传输介质性能价格比的提高。采用非线性新闻节目制作网来制作新闻节目,无论从硬件平台的支持能力而言,还是从系统价格相对用户的采购能力而言都已经具有了可实现性。另外使得非线性新闻制作网可以冲入传统的单、卷编线性新闻制作模式的一个重要原因是在技术上已经基本可以保证节目制作有一个稳定友好的制作流程及可靠优质的节目产品。

    因为在价格低廉、技术支持及适合国情的中文字幕等诸方面的优势,使得各电视台目前大多采用国内厂家开发的非线性新闻节目制作网。本文仅就软件和硬件方面探讨一下非线性新闻节目制作网的网络安全及保证节目安全播出的技术问题。 

网络安全的重要性

    对于时效性极强的新闻栏目而言,必须保证在任何时刻此制作网络都能够安全的运转。现在很多电视台都采用新闻节目大版块滚动播出的型式,这样又要求非线性新闻制作网络拥有长时间持续工作的能力。如果非线性新闻制作网络是与硬盘播出系统直接相连,就必须保证网络系统及传输数据系统的稳定性,不能由于某些因素的干扰而使播出时的信号质量受到影响。但是只要它是一个实际工作的计算机网络,就不可能不考虑对稳定性和安全性的设计策略,非线性新闻制作网络也不例外。这样就必须做到在网络出现问题时,及时的恢复工作并保证视音频和其他数据的不会丢失,这样就牵扯到两个问题,一是现场恢复的问题,另一个是自动保存的问题。

由此可见,一个可以用于使用的非线性新闻制作网络系统必须满足以下几点要求:

1 稳定的硬件和软件平台

2 长时间持续工作时对各种数据的维护管理

3 传输系统必须具有抗干扰能力和纠错能力,能够稳定、安全的传输视音频信号。

4 及时自动的保存现场数据并在网络出现的故障排除后可以迅速可靠的恢复现场。

当然,一个非线性新闻制作网络系统还应该满足更多其它的要求,就系统安全性而言,以上几点要求是极其重要和必须满足的。

非线性新闻制作网络

    非线性新闻制作网络是非线性节目制作网络的一种,最早是由若干台单机版的非线性编辑系统连接起来,以达到资源共享的目的。早期的非线性编辑系统大多是基于苹果公司的Macintosh系列计算机并且配有专业的视音频压缩卡,这样就使得单机的非线性编辑系统相当的昂贵,更不用提组成非线性节目制作网络的价格了,所以国内的电视台一般都没有采用。但随着PC机性能的迅速提高,在相对廉价的PC平台上,利用软件已经可以实现一些以前只有运用硬件板卡才能实现的节目制作要求,这样就使得建立可以为国内电视台所接受的非线性节目制作网络系统成为可能。

    国外开发的非线性节目制作网络大多采用的是是基于视频服务器的光纤网络(Fiber Channel),而国内的厂商出于性能价格比的考虑,所开发的非线性节目制作网络系统基本上采用的是光纤网(Fiber Channel)和以太网(Ethernet)并行的双网结构,有卡的工作站和无卡的工作站共同工作,使用无卡工作站可以对节目进行编辑操作并加一些简单的特技效果,并能有效的压缩投资规模。而这些特性正好满足了新闻节目制作的要求:素材共享、特技要求不高、节目变更因素多。所以基于PC机Windows NT平台上采用双网结构的非线性节目制作网络就首先应用于新闻节目制作上。国内的开发厂商开发的节目制作网络也基本采用这种结构。

    下面以双网结构的非线性新闻制作网为例,进行简单的介绍。

    如图1所示,一个采用双网结构的非线性新闻制作网络应该包括以下几个部分:服务器和大容量硬盘阵列部分,上载工作站部分,下载工作站或节目存储系统,配音工作站,编辑工作站(包括配有视音频压缩板卡的编辑工作站和无视音频压缩板卡的编辑工作站),审片工作站和一些网络连接设备,配音和审片工作站可为有卡或无卡的工作站,在图中我们设定它们为有卡的工作站,当然在一个网络中工作站的具体数量是由不同的用户自己决定的。这些设备中任何一部分出现问题都有可能导致网络出现问题甚至整个网络崩溃。我们将以下图所示的非线性新闻制作网络来讨论网络安全容易出现的问题及解决策略。

用户权限的划分及策略的制定

     不同的网络用户在网络上的权限划分应该具有不同的级别,每个用户只能通过网络实施在自身分配的权限之内的工作。在任何一个完成实际任务的计算机网络中,如果不对用户的权限做清晰准确的划分,则等于对网络的安全与稳定埋下致命的隐患。如果某个记者具备了仅应属于网络管理员的某些权利,那么对网络安全就构成威胁,这种威胁是否造成某种不利后果并不取决于此记者的专业精神或道德品质,因为无论是恶意的非法侵入或非恶意的非法操作,一旦产生不良后果,其结果是完全一样的。我们应当清晰明确的划分各个用户的权限及他在网络上所能做的工作。例如我们应当禁止记者用户以任何方式及路径访问系统文件,他能够享用的全部网络资源仅仅只是属于它的编辑软件,这样才能保证整个网络系统安全稳定的运行。下面我们将详细谈谈在Windows NT 网络上如何实现各个用户权限的划分。

    现在国内的非线性新闻网络开发商所采用的权限划分方式大致分为两种:一是利用Windows NT 系统提供的NTFS 文件系统对每个不同用户或用户组划分不同的权限,二是在服务器上建立数据库文件,用户在登录时通过读取数据库得到相应的权利信息,在工作站上对用户权限进行限制。这两种方法各有利弊, 我们将分别详细说明。

    利用NTFS文件系统对不同用户权限进行限制

    Windows NT 系统提供NTFS文件系统的安全性体现在:除非用户拥有必要的许可权,否则,不能够访问NTFS上的文件。 NTFS将所有的文件和目录都看成是对象,并为它们设置许可权,可以在每一个文件级和用户级层次上进行访问控制。NTFS还具有审计能力,可以跟踪哪些文件曾被正常访问并访问成功,哪些文件曾被恶意访问并遭致拒绝。

    权限适用于对特定对象如目录和文件(只适用于NTFS卷)的操作, 指定允许哪些用户可以使用这些对象,以及如何使用(如把某个目录的访问权限授予指定的用户)。权限分为目录权限和文件权限,每一个权限级别都确定了一个执行特定的任务组合的能力,这些任务是: Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。表1和表2显示了这些任务是如何与各种权限级别相关联的。

    我们列表说明NTFS对文件权限的划分

    根据NTFS文件系统的安全特性,我们可以设置不同用户(如编辑,记者,管理员等等),分别给这些用户建立不同的文件夹以存储各自的素材或文件。对文件系统有不同的访问权限。

     我们将假定一个简单的关系来具体介绍一下这种访问权限的设定方法:某电视台使用非线性新闻节目制作网络制作两个栏目,分别为栏目一和栏目二,两个的编辑人员是相同的,记者甲属于栏目一,记者乙属于栏目二,编辑可以访问所有记者的节目或素材,但是不能删除记者们的节目或素材。记者可以使用同栏目所有记者的素材,但是只能对自己的素材进行删除操作。管理员可以对所有人的素材和节目进行完全控制,包括增加/删除栏目和用户。当然在现实中这样简单的关系是无法工作的,但是我们可以通过这个简单的例子来了解实现不同用户访问权限的思想及方法。

     以上的关系可以利用NTFS文件系统提供的权限划分来实现,我们为每个用户建立一个文件夹,里面存储用户的各种信息,包括用户的节目和素材。并设立一个公用的文件夹便于用户之间交换信息,如记者甲想使用记者乙的节目素材,记者乙就可以将素材拷贝到公用文件夹,然后记者甲从公用文件夹中读取使用。

下图显示了不同用户的不同文件权限

    通过NTFS文件系统的权限划分虽然能够安全的区别各种用户的权限,但是灵活性比较差,设置信息的要对所有文件夹属性进行设置,对每一个用户或用户组的权限进行控制,也不利于用户设置的灵活变动,如记者甲在栏目一和栏目二之间跨栏目工作,在设置上就比较麻烦,甚至在有些情况下要对整个文件系统进行改动。基于这种情况,第二种用户权限设置的方法就显得比较灵活。

采用数据库设置不同用户的权限

    这种方法与第一种方法的共同点是都在硬盘阵列上建立不同的文件夹来存放用户的素材、节目和其他的信息。不同点是这种方法并不是利用NTFS文件系统所提供的权限划分不同用户权限,每个非管理员用户对文件都拥有相同的访问权限。它是在服务器上建立一个数据库表单,上面纪录了所有用户的所有信息,包括人员的所有信息及节目素材的信息,并对每个用户的权限纪录在表中。当用户在工作站上进入编辑软件时,编辑工作站会从服务器上的数据库中读取该用户的权限,并根据该用户的权限设定用户界面,是的不同权限的用户可以进行不同的工作。仍然以第一种方法所假定的简单人员关系为例说明:

    在服务器上数据库表格中权限的表单内容应该如下:

    工作站在获取了这些用户权限信息之后就会在工作界面上对用户可使用的功能进行限定,比如用户甲想删除用户乙的素材时,系统会禁止执行这项操作并提示用户甲。

    这样划分用户权限的最大优点是可以灵活的改变用户的权限范围,而且不需要对文件系统进行大量的修改及设置。例如我们想令记者甲拥有编辑的权限,或是令记者甲可以删除记者乙的节目素材,我们只需要改变数据库表单中的相应项即可,我们甚至可以通过改变数据库使得用户甲拥有管理员的权限。

     这种方法的优点其实也是它最大的缺点,因为它是通过编辑软件来对用户权限进行限定,如果我们绕过编辑软件,利用网路的物理通路直接访问服务器和硬盘阵列,我们就可以对任何用户的所有信息进行更改和破坏,这样的话等于没有任何安全可言。解决的方法是将这种方法和Windows NT提供的安全策略结合起来,是用户在工作站上不能够看到任何网络内容,限制其通过网上邻居或资源管理器看到服务器或其他工作站上的内容。具体实现的方法是使用Windows NT Server 4.0 提供的域用户管理管理器建立不同的登录用户,并利用系统策略编辑器设置登录用户的权限,对其进行管理。

     以上两种方法各有利弊,而且只能说具有一定的安全程度,从长远看比较好的模式是将两种方法合而为一,即将数据库设定用户权限与NTFS文件系统所提供的安全策略结合起来,由数据库管理NTFS文件系统所提供的权限划分,达到管理灵活和系统安全的平衡点。

     即使这样,网络安全还是有漏洞可钻的,如果一个类似于黑客的用户想要对网络进行恶意的破坏,他可以利用NT 网络固有的各种漏洞对系统进行攻击。他可以使用的最简单快捷的方法就是对管理员口令进行盗用,口令被盗意味着在网络上的一切信息保护将全部丧失。Windows NT口令的安全性比UNIX要脆弱得多,这是由其采用的数据库存储和加密机制所直接导致的。NT4.0将用户信息和加密口令保存在注册表中的SAM(安全帐户管理)文件中。口令的加密名义上分两层进行,实际上只有一层,因此缺乏基本的口令复杂性,形同虚设。用PW Dump或NT Crack之类的解密工具即可解码SAM数据库并破解口令。为加强NT口令的安全性,首先需要安装Service Pack 3(SP3)以上的补丁,SP3以上的补丁对NT口令都有所加强,从实际应用上来看,SP5的可靠性和稳定性更好。其次要经常改变管理员帐户的名字,防止黑客攻击缺省命名的帐户,并使用更安全的口令。安全的口令应该大小写字母混合(注意只有一个大写字母时,不要放在开头或结尾),8位以上字符,将数字无序地加在字母中,系统用户的口令包含~!@#$等符号。另外设置跟踪管理员帐户,几次登录失败后即锁定帐户等。

    恶意的用户还可以通过在工作站上添加低劣的伪造的驱动程序来是系统工作失常,他能够利用一些设备驱动程序监控用户输入的能力窃取其它用户的工作,甚至侵入服务器系统。他还可以利用一些黑客工具如NTFSDOS.EXE绕过NTFS文件系统的保护。NTFSDOS.EXE 是DOS/Windows上的网络文件系统重定向工具,它具有识别和安装NTFS驱动器,并且进行透明存取的能力。这个简单易用的工具通过从DOS软盘引导,它可以绕过所有NT上的安全审计机制,对基于Intel的系统上本地NTFS格式化的硬盘进行存取操作,甚至包括压缩硬盘,而不需要任何身份验证,它只需要在物理上能够访问目标机器。如果一个恶意的用户使用这种工具侵入网络,后果可想而知。可怕的是类似这样的黑客工具很多,而且很容易找到。

    以上只是黑客攻击网络众多方法中的几个简单方法,黑客还可以利用网络的各种协议来进行攻击,例如对TCP/IP协议的各种攻击手段对黑客来说已经是基本课程,而攻击带有WEB服务器的网络更是黑客们的拿手好戏。网络安全的攻击与反攻击手段层出不穷,虽然现在有各种各样的防火墙系统(我们会在网络连接部分介绍),但是没有一个网络开发商敢保证自己的网络是绝对安全的。

    根据以上所提出问题,我们对建立非线性新闻节目制作网络的用户提出以下建议:

1 将非线性新闻节目制作网络独立出来,不与任何其他网络相连。虽然将办公自动化网络和非线性新闻节目制作网络相连是一个很不错的想法,而记者在任何地方都可以通过Internet编辑节目更加令人向往,但是出于安全播出是第一位的考虑,还是不要给任何人机会通过其它网络对新闻制作网进行破坏。

2 严格限制不同用户的不同权限,记者就应当做记者的工作,编辑也不能拥有改变系统设置的权限,在用户眼中非线性新闻节目制作网络不应当是一个透明的计算机网络,每个人只能通过系统做自己应当做的工作。

3 加强对管理员权限的管理,包括除网络管理员以外不能有任何人知道管理员口令,并做到经常性的更换口令及增加口令的复杂度,强烈建议网管不要用自己的生日作为口令。

4加强物理安全管理去掉或锁死软盘驱动器,禁止DOS或其他操作系统访问NTFS分区;在服务器上设置系统启动口令,设置BIOS禁用软盘引导系统;不创建任何DOS分区;不允许记者或其他人员安装使用与新闻网无关的软件;任何用户想要使用软盘或光盘上的数据都必须经过网络管理员的许可。

    这里只是一些基本的原则,不同的使用者还应根据自身具体情况设置网络的安全特性。

    以上主要是从网络用户的角度考虑网络安全,下面将从硬件平台讨论一下如何保证网络安全稳定的运行。

服务器及大容量阵列部分

    服务器是整个网络的中心,是控制光纤网(Fiber Channel)和以太网(Ethernet)并行工作的核心,所以对服务器稳定性的要求就应该占第一位,而对其性能的要求应满足网络控制工作即可,所以不是必须选用市场上最新的服务器,而更应该考虑那些已经被证明很成熟的且满足工作需求的服务器设备。服务器的系统盘应该有备份,存储必须的系统信息,可以在服务器操作系统崩溃时迅速恢复工作,以保证这种崩溃不是不可恢复的。

     大容量硬盘存储阵列设备存储着记者编辑节目的素材、生成的成片及一些相关资料,是由多块硬盘组成阵列。这样的话其中任何一块硬盘出现问题都可能导致大量的数据丢失,所以大容量硬盘存储阵列设备应该具备纠错的功能,在现在众多的纠错技术中,比较成熟和流行的是RAID技术,

     RAID(Redundant Array Independent Disk)技术是保护和管理数据资料的有效解决方法之一,并可以加快了访问硬盘驱动器的速度。RAID技术分为RAID0- RAID5六级,它们的技术在不同方面各有优劣,例如RAID0在所有技术规格中是唯一不具有容错性的,但却也是最有效率的。而RAID1采用的是镜像方法,将阵列中的硬盘驱动器分为两组,并将同样的数据同时写入每组硬盘驱动器。显而易见的硬盘阵列的存储容量会减少一半。但是因为它的技术比较简单,可靠性强,所以比较适合在硬盘播出服务器上使用。RAID3和RAID5技术在大容量硬盘阵列中使用的最为广泛,二者都是使用校验位来进行容错纠错。但不同的是RAID3将校验块单独存于一块硬盘驱动器中,数据分散存于其它硬盘驱动器中,而RAID5不是把所有的校验块集中保存在一个专门的校验盘中,而是和数据一起分散到所有的硬盘驱动器中,这样就可以解决RAID3中校验盘的负载过大问题。所以我们建议在制作网络的大容量硬盘阵列管理上采用RAID5技术。RAID2和RAID4技术由于其自身原因在实际应用中很少使用。

     关于RAID技术的详细资料读者可以查阅相关资料。

    RAID技术也只是众多硬盘阵列控制技术的一种,用户完全可以根据自己的需要(如对硬盘阵列读取速度的要求,硬盘容量在经济上的可接受范围等等)合理的进行配置。

网络连接部分

     在硬件网络安全中,网络的连接部分也是非常重要的部分,以双网结构为例,网络的连接部分包括以太网Switch, FC Switch,双绞线,光纤及一些接口设备。我们将从工程上讨论一下网络安全稳定工作所应具备的条件。

     在网络结构中,以太通道和光纤通道组成了整个信息通路,加上视频音频信号线缆、控制线及大量的电气线缆,整个网络就是一个线缆的世界。在工程布线上必须注意很多问题,否则因为网络的物理连接发生故障会引起整个网络不能安全稳定的运行,而且处理这些故障又费时费力的,会造成很大的损失,所以在设计施工时就必须考虑周全,把安全隐患减低到最少。在网络线缆的布放方面应注意以下几点:

1.要保证各种线缆的工作环境符合指标要求,如温度、湿度等。

2.线缆在施工时一定要符合其施工要求,如弯曲半径,牵引力的大小等等,施工时细小的损伤可能会对日后工作的稳定性造成极大的损伤。

3.电源线、信号线、双绞电缆、光缆及建筑物内的其它线缆应分离布放,各线缆之间的最小净距离应符合设计要求。

3.线缆在布放前两端应贴有标签,标明起始和终端的位置,用于维护时方便的查找。

4.线缆的布放应有冗余,在设计时就应考虑到环境变化可能会带来的影响

     其它方面还有一些问题,如线缆之间的接口是否严格符合工艺要求,Switch的路由的选择是否最优都是必须在工程中注意的。

     以上介绍了一下网络连接在工程上应注意的问题, 可靠稳定的网络物理连接是一个安全稳定工作的网络不可或缺的。

防火墙

    虽然我们强烈建议不要将非线性新闻节目制作网络和其它网络包括Internet连接起来,但是可能有的用户确实需要这样的功能,那么在网络与网络交换信息时,防火墙技术就是保证网络不会被恶意攻击的必需了。

     防火墙技术其实上是一种隔离技术,它决定了哪些内部服务可以被外界访问;外界的哪些用户可以访问内部可以访问的服务,以及哪些外部服务可以被内部用户访问。要使一个防火墙有效,所有在不同网络之间传递的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于被渗透。实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙,防范攻击的类型和效果也个不相同,用户可以根据自己具体得情况考虑选用其中一种或混合使用。但是千万不要相信有永远穿不透的盾牌,防火墙系统一旦被攻击者突破或迂回,就不能对网络提供任何的保护作用。所以我们还是建议在任何时候保持网络的独立性。

其它

     网络安全中还有很多地方值得我们注意,比如设备之间的相互备份问题,例如我们可以将一个有卡工作站配置相应的软硬件使它成为一个下载工作站的备份。一旦下载工作站出现故障,可以接替其工作,使得工作流程不会被中断。

     又如在网络中我们应该有备份的网路通道,这样使线缆出现问题时可以随时更换,保证通路的畅通,信息传送顺畅。

     另外硬盘播出系统无疑也是现在国内视频行业的热门话题,它同样也存在安全性和稳定性的问题。但由于它在这两个方面的要求与制作网络不太一样,而且其本身也是一个复杂的系统,有着很多其它方面的因素,所以在这里我们就不对硬盘播出系统的安全策略进行探讨了。

篇8

摘要:计算机;病毒;基本防范

Abstract: With the rapid development of computer technology and the applications of popularization, computer viruses are constantly bring forth the new through the old. At present, the virus has become the important problem in the development of computer system security and network problems, in the management of all walks of life is to enhance the computer virus prevention awareness, and minimize the harm caused by computer viruses. US Department of labor and social security of many business, handling, processing also is so, through the network, in the prevention of computer virus to kill the process used in the network, is one of the main contents of our labor and social security department computer maintenance. In this paper, the labor and social security departments for the business process, how to prevent against killing computer viruses and so on to make a brief introduction.

Abstract: the computer virus prevention; basic

中图分类号:G623.58

1、计算机安全漏洞的概念与成因

计算机的安全漏洞是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足,而被黑客用来获取信息、取得用户权限、取得系统管理权限或破坏系统。

下面谈谈计算机安全漏洞的成因,首先由于软件设计的复杂性,尽管包括操作系统在内的每一款商业软件在前,都要经过大量严格的各种测试,但仍难免或多或少地存在着一些设计缺陷。这些设计缺陷包括三类:

一是软件开发者出于某种目的人为地在软件中留下的后门。例如,为隐秘地收集用户信息,有的软件会留有不公开的后门。

二是软件开发者由于能力和经验所限,在软件中难免会有一些设计上的逻辑错误。

三是软件开发者无法弥补硬件的漏洞,从而使硬件的问题通过软件表现出来。

除此之外人为的无意失误也会造成计算机的安全漏洞,譬如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

以上这些设计缺陷都是产生漏洞的温床。只要不存在完美无缺的软件,漏洞就不可避免。

当然,并不是所有的设计缺陷都会成为漏洞,只有在软件实际使用过程中,被人发现后刻意进行利用,并威胁到系统安全的设计缺陷才是漏洞。黑客要对一个系统进行攻击,如果不能发现和利用系统中存在的安全漏洞是很难成功的,对于安全级别较高的系统尤其如此。

2、网络漏洞的分类

根据漏洞对系统安全造成的直接威胁可分为远程管理员权限,本地管理员权限,普通用户访问权限,权限提升,远程拒绝服务,本地拒绝服务,远程非授权文件存取,服务器信息泄露,读取受限文件,口令恢复,欺骗等。

2.1远程管理员权限

攻击者无须一个账号登录到本地直接获得远程系统的管理员权限,通常通过攻击以root身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出,少部分来自守护进程本身的逻辑缺陷。

2.2本地管理员权限

攻击者在已有一个本地账号能够登录到系统的情况下,通过攻击本地某些有缺陷的suid程序等手段,得到系统的管理员权限。

2.3普通用户访问权限

攻击者利用服务器的漏洞,取得系统的普通用户存取权限,对UNIX系统通常是shell访问权限,对Windows系统通常是cmd.exe的访问权限,能够以一般用户的身份执行程序,存取文件。攻击者通常攻击以非root身份运行的守护进程,有缺陷的cgi程序等手段获得这种访问权限。

2.4权限提升

攻击者在本地通过攻击某些有缺陷的sgid程序,把自己的权限提升到某个非root用户的水平。获得管理员权限可以看做是一种特殊的权限提升,只是因为威胁的大小不同而把它独立出来。

2.5远程拒绝服务

攻击者利用这类漏洞,无须登录即可对系统发起拒绝服务攻击,使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。

2.6本地拒绝服务

在攻击者登录到系统后,利用这类漏洞,可以使系统本身或应用程序崩溃。这种漏洞主要是因为程序对意外情况的处理失误,如写临时文件之前不检查文件是否存在,盲目跟随链接等。

2.7远程非授权文件存取

利用这类漏洞,攻击可以不经授权地从远程存取系统的某些文件。这类漏洞主要是由一些有缺陷的cgi程序引起的,它们对用户输入没有做适当的合法性检查,使攻击者通过构造特别的输入获得对文件存取。

2.8服务器信息泄露

利用这类漏洞,攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷,一般是对错误的不正确处理。

2.9读取受限文件

攻击者通过利用某些漏洞,读取系统中他应该没有权限的文件,这些文件通常是与安全相关的。这些漏洞的存在可能是文件设置权限不正确,或者是特权进程对文件的不正确处理和意外dump core使受限文件的一部份dump到了core文件中。

3、计算机病毒的危害

我们劳动保障部门正常办公用的计算机里都保存大量的文档、业务资料、公文、档案等重要数据和信息资料,如果被病毒破坏,被黑客盗取或篡改,就会造成数据信息丢失,甚至泄密,严惩影响正常办公的顺利进行。计算机感染病毒以后,轻则运行速度明显变慢,频繁死机,重则文件被删除,硬盘分区表被破坏,甚至硬盘被非法格式化,更甚者还会造成计算机硬件损坏,很难修复。有很多的网页上含有恶意代码病毒,用诱人的网页名称吸引人们访问他们的网页,然后修改访问者计算机IE浏览器的主页设置为他们的网页,较为恶劣的还会放置木马程序到访问者计算机的系统文件里,随系统的启动一起加载,造成主页很难修改回来,更为恶劣的是修改操作系统注册表并注销造成注册表无法修改。还有病毒智能化程序相当高,感染以后杀掉防杀病毒程序的进程,造成杀毒软件失效,感染的方式也由早期的被动感染到今天的主动感染。

4、计算机病毒的防护

在我们正常的工作中,怎样才能减少和避免计算机病毒的感染与危害呢?在平时的计算机使用中只要注意做到以下几个方面,就会大大减少病毒感染的机会。

(一)建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,并尽快删除,不要上一些不太了解的网站,尤其是那些诱人名称的网页,更不要轻易打开,不要执行从Internet下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。

(二)关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如FTP客户端、Telner和Web服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除他们,就能大大减少被攻击的可能性。

(三)经常升级操作系统的安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达、冲击波等病毒,所以应该定期到微软网站去下载最新的安全补丁,以防患于未然。

(四)使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的。因此使用复杂的密码,将会大大提高计算机的安全系数。

(五)迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立即中断网络,然后尽快采取有效的查杀病毒措施,以防止计算机受到更多的感染,或者成为传播源感染其他计算机。

(六)安装专业的防病毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防杀病毒,是简单有效并且是越来越经济的选择。用户在安装了反病毒软件后,应该经常升级至最新版本,并定期查杀计算机。将杀毒软件的各种防病毒监控始终打开(如邮件监控和网页监控等),可以很好地保障计算机的安全。

(七)及时安装防火墙。安装较新版本的个人防火墙,并随系统启动一同加载,即可防止多数黑客进入计算机偷窥、窃密或放置黑客程序。

篇9

为了能够持续繁荣并且给大众带来新的价值,信息产业界必须建造一个渠道来提供那些新鲜有趣的科技产品。而建造这一渠道关键要素,就是创新精神和企业家精神。飞塔(Fortinet)创始人兼CTO谢华正是基于这两种精神,将概念化的想法转换为可用的产品和服务,并且通过可行的商业手段把这些产品和服务输送到世界各地,在服务大众的同时,也造就了今日飞塔的成功。

创新应毫无束缚

创新性的产品在初期往往都存在漏洞。产品和技术越新,可能存在的Bug越多。读者或许看到了很多来自于互联网、移动互联网和车联网等领域曝出的漏洞、威胁事件。近期还曝出了很多邮箱漏洞、支付宝漏洞等事件。以上这些事件,有些是因为技术原因,而更多的是人为因素。在现实中,设计人员的系统设计能力始终无法达到完美程度,思维总会存在局限性。因此,很多“瑕疵”产品就面市了。当然这里说的“瑕疵”没有过多负面含义,而是客观因素造成的。但这样的产品在后期通常会暴露出很多问题。从最早的“千年虫”,到如今的“0 day”、“心脏出血”等漏洞,不外如是。

上述漏洞都暴露出相同的问题,那就是创新固然可以收获一定的利益,但同时也会带来一定的风险。风险不仅仅局限在信息安全领域,它会以不同形式存在于各行各业之中。在“大众创业,万众创新”这个新潮流下,为了降低这种风险对创新和创业者造成严重打击的可能性,创新和创业者首先要培养哪些品德和技术方面的素质和能力呢?就这一问题笔者采访了谢华。谢华认为勇于面对批评的态度是最重要的。“对于一项创新技术,我们不可能追求完美。新的技术肯定会存在很多Bug,但是,即使出现这样的Bug,新的技术,例如互联网仍然改变了世界。如果这些开发互联网技术的先行者当初过多地考虑要提供一个完美的互联网,我们就不会如此快速地‘享受’如今这一切。换句话说,没有什么事物一开始就是完美的。技术创新首先要考虑创新本身,创新本来就应该毫无束缚,而技术是可以逐步完善的。其次,创新者在面对批评、建议和不同声音时,开放与诚恳无疑是面对不足之处最好的态度。”他表示,“一旦新的技术与产品被广泛应用,其中的不足与Bug就会不可避免地表现出来。我见到一些公司在面对产品与软件的不足与Bug时,会表现出否认与抗拒的态度,而不是去积极地面对与改进。长远而言,这样的态度将有害于产品和技术继续向前迈进。许多小的Bug在产品面市初期是能够快速修复的。换句话说,任何时候面对产品与技术的不足,都应尽可能地以开放的心态去接受,并且尽可能地根据优先级快速修复而不是视而不见或避重就轻。千里之堤,溃于蚁穴。Bug过大时,修复的代价也会相应地变大。”

云架构更适合传统企业IT架构转型

在“互联网+”时代,各行各业都在寻求转型,新技术在帮助传统行业转型的同时,也带来了很多威胁。网络技术可能会给传统行业带来更多的业务发展空间,但同时也会带来威胁。

传统行业如何应对这种突如其来的威胁,也许这些是它们前所未见的,尤其是对中小企业来说,它们和跨国企业或者国家机构有所区别,它们的防范能力有限,那么安全厂商如何帮助它们?谢华表示:“我个人认为,传统企业在寻求转型,开展新的业务时,基于云的解决方案会对它们的转型有所帮助。对于许多传统企业来讲,构建一个全新的IT架构会面临诸多的困难,通常会通过服务商来完成新IT架构的搭建和部署。基于云的架构可以提供非常灵活的扩展性。并且,云解决方案能够利用更多服务商的资源来建立一个更安全的系统。”

技术和人是安全机制两要素

在安全领域里,我们看到一家安全厂商提供的解决方案一旦被破解,其它应用相同解决方案的企业的安全缺陷也会一目了然,很容易被入侵攻破。而入侵攻击正在成为常态,这通常是由于企业内部员工和外部黑客双重攻击造成的。为什么这么说呢?

谢华表示:“随着企业员工自带的移动设备数量激增,员工会通过这些设备接入企业内部网络。同时,IoT物联网设备数量呈指数型增长,企业在初期并没有把这些设备纳入到安全体系中。因此,目前很难有效地进行防护,这就成为了企业网络中比较容易被入侵的一个环节。其次就是黑客技术的升级。此时,内网的防御机制成为一种必要的手段。企业在细分的网段中部署隔离防火墙,通过在防火墙中部署各种策略、日志和检测功能,企业安全系统可以识别并隔离被感染的用户。”

通常情况下,企业会因为性能和成本问题,对部署内网隔离防火墙产生诸多的顾虑。但是,以现在的技术来看,不仅飞塔,其它安全厂商也都可以实现性能与成本二者兼得。

使创新能力保持延续性

谈完了安全问题,回到科技创新这个话题,再来谈谈科技企业所面临的挑战这个话题。

高科技产业走在科技前沿,始终保持日新月异。去年还很酷的产品可能今年就变成了“古董”。作为一个创新者,不仅要热情高涨地开发新产品,还要弄清楚什么样的产品符合客户需求。在了解客户需求后,要快速地找到新产品的定位。更重要的是,创新者要着眼未来,探索让创新产品超越当前产品的办法。

作为信息安全厂商,飞塔始终保持强大的研发能力,确保产品能够为用户提供具有前瞻性的防御机制。谢华表现得非常自豪:“我很骄傲我们如今达到的阶段,实现的目标。我认为飞塔所有的成功都基于在正确的时间做了正确的选择,当然我们也选择了正确的创新方式――选择真正有利于解决客户需求的创新并把它转化为产品。”

网络安全市场是一个价值超过100亿美元的全球化市场,并且这个市场还在不断地扩大,飞塔目前的份额仅仅是这个市场的一小部分,还有很大的潜在市场可以挖掘。

时间规划与平衡法则是成功必备条件

虽然飞塔有了一些成绩,但是还有很多值得继续提升的空间。如何才能在竞争激烈的环境中走上成功的道路,这不仅是大企业,同样也是初创企业领导者要学习的。每一个成功人士都会有很多秘诀,对于大多数成功人士而言,他们都有一个共同点,那就是能够合理安排时间和能够协调处理好事情。

谢华认为:“每一个企业家都力图更好地利用他们的时间。企业家应该把时间专注于两件事:第一是对企业至关重要的事情,第二是企业家最热爱的事情,比如设计产品。但有时候这两件事情并不重合,有时对企业至关重要的事情并不是企业家最热爱的事。”

在创业阶段,由于资源匮乏,创业者往往需要学着去做他并不擅长的事情(通常是并不感兴趣的事情)。比如,工程师类的创业者经常需要与财务和法律事务打交道,又或者金融背景的创业者可能需要参与到产品的开发与测试中。