计算机网络分析论文范文
时间:2023-03-17 13:41:45
导语:如何才能写好一篇计算机网络分析论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
信息安全的内涵随着信息技术的不断发展而得到了扩展,从原始的保密性逐渐增加了完整性、可控性及可用性等,最终形成的集攻击、防范、检测与控制、管理、评估等与一体的理论体系。传统的信息安全技术将注意力都集中在计算机系统本身的安全方面,针对单机系统环境而进行设置,不能够对计算机网络环境安全进行良好的描述,也缺乏有效应对动态安全问题的措施。随着计算机网络的不断发展与推广,互联网逐渐具备了动态变化性,而传统的静态安全模式已经不能够满足其安全要求了。在这种背景之下,信息安全体系结构的出现更好地满足了计算机网络的安全需求,因此得到了迅速的发展与推广。信息安全体系结构的思路为:通过不同安全防护因素的相互结合实现比单一防护更加有效的综合型防护屏障,这种安全防护体系结构能够更好地降低黑客对计算机网络的入侵与破坏,确保计算机网络安全。
计算机网络的信息安全体系结构的主要作用就是为信息保障、数据传递奠定坚实的基础。随着计算机网络所面临的风险与压力的不断增大,为了能够更好地确保信息安全,必须注重计算机网信息安全体系结构完整性、实用性的提高。在科技的不断发展与进步的基础之上,提出了计算机网络信息安全体系结构——WPDRRC结构,不同的字母代表不同的环节,主要包括warnin(g预警)、protect(保护)、detectio(n检测)、respons(e响应)、restor(e恢复)、counterattac(k反击)六个方面,各个环节之间由于时间关系而具有动态反馈的关系。在计算机网络的信息安全体系结构中,预警模块、保护模块与检测模块都是以预防性为主的,通过保护与检测行为对黑客入侵计算机进行较为有效的制止。当前,虽然计算机网络信息安全技术已经比较先进,但是由于计算机网络所具有的开放性,其安全性依旧是面临一定威胁的。因此,在计算机网络的信息安全体系结构中,响应模块、恢复模块与反击模块主要的作用是解决实质性的工作,对已经出现的各种安全问题进行有效地解决,确保计算机网络信息安全。
1.1warnin(g预警)整个计算机网络的信息安全体系结构中,预警模块是最为根本的所在,主要的作用是对计算机网络的信息安全进行诊断,该诊断具有预防性。同时,预警结构通过研究计算机网络的性能,提出具有科学性与合理性的评估报告。
1.2protect(保护)保护结构主要的作用是对计算机的信息安全系统提供保护,确保计算机网络在使用过程中的安全性,有效地封锁、控制外界对计算机网络的入侵及攻击行为。保护结构能够对计算机网络进行安全设置,实现对计算机网络的检查与保护,其检查与保护工作的重点内容就是网络总存在的各种可能被攻击的点或者是存在的漏洞,通过这些方式为信息数据在计算机网络中的安全、通畅应用提供条件。
1.3detectio(n检测)计算机网络的信息安全体系结构中的检查结构主要的作用是对计算机受到的各种攻击行为进行及时、准确的发觉。在整个信息安全体系结构中,检测结构具有隐蔽性,主要的目的是防止黑客发现并恶意修改信息安全体系结构中的检测模块,确保检测模块能够持续为计算机网络提供保护,同时还能够促进检测模块自身保护能力的提高。检测模块一般情况下需要与保护模块进行配合应用,从而促进计算机网络保护能力与检测能力的提高。
1.4respons(e响应)当计算机网络信息安全体系结构中出现入侵行为之后,需要及时通过冻结措施对计算机网络进行冻结,从而防止黑客的入侵行为进一个侵入到计算机网络中。同时,要通过相应的响应模块对入侵进行响应。例如,计算机网络信息安全体系结构中可以通过阻断响应系统技术实现对入侵及时、准确的响应,杜绝黑客对计算机网络更加深入的入侵行为。
1.5restor(e恢复)计算机网络信息安全体系结构中的恢复模块主要的作用是在计算机网络遭受到黑客的攻击与入侵之后,对已经损坏的信息数据等进行及时的恢复。在对其进行恢复的过程中,主要的原理为事先对计算机网络中的信息文件与数据资源进行备份工作,当其受到攻击与入侵之后通过自动恢复功能对其进行修复。
1.6counterattac(k反击)计算机网络信息安全体系结构中的反击模块具有较高的性能,主要的作用为通过标记跟踪功能对黑客的入侵与攻击进行跟踪与标记,之后对其进行反击。反击模块首先针对黑客的入侵行为进行跟踪与标记,在此基础上利用侦查系统对黑客入侵的方式、途径及黑客的地址等进行解析,保留黑客对计算机网络进行入侵的证据。与此同时,反击模块会采用一定的反击措施,对黑客的再次攻击进行有效的防范。
2计算机网络信息安全体系结构的防护分析
当前,在对计算机网络信息安全体系结构进行防护的过程中,较为常用的就是WPDRRC结构,其主要的流程包括攻击前防护、攻击中防护与攻击后防护三个方面。
2.1信息安全体系结构被攻击前防护工作在整个的计算机网络中,不同的文件有着不同的使用频率,而那些使用频率越高的文件就越容易受到黑客的攻击。因此,信息安全体系结构的被攻击前防护工作的主要内容就是对这些比较容易受到黑客攻击的文件进行保护,主要的保护方式包括防火墙、网络访问控制等。通过WPDRRC结构对其中存在的威胁因素进行明确,有针对性地进行解决措施的完善。
2.2信息安全体系结构被攻击中防护工作当计算机网络受到攻击之后,信息安全体系结构的主要防护工作为阻止正在进行中的攻击行为。WPDRRC结构能够通过对计算机网络系统文件的综合分析对正在进行中的攻击行为进行风险,同时能够对计算机网络中各个细节存在的变动进行感知,最终对黑客的攻击行为进行有效的制止。
2.3信息安全体系结构被攻击后防护工作当计算机网络受到攻击之后,信息安全体系结构主要的防护工作内容为对计算机网络中出现的破坏进行修复,为计算机网络的政策运行提供基础。同时,恢复到对计算机网络信息安全的保护中。
3计算机网络信息安全体系结构中加入人为因素
IT领域中都是以技术人员为主体来对产业雏形进行构建的,因此在IT领域中往往存在着及其重视技术的现象,主要的表现为以功能单纯而追求纵向性能的产品为代表,产品的覆盖范围限制在技术体系部分,缺乏对组织体系、管理体系等其他重要组成部分的重视。因此,只有在计算机网络信息安全体系结构中加入人为因素才具有现实意义。在计算机网络信息安全体系结构的构建过程中,应该注重以组织体系为本,以技术体系为支撑,以管理系统为保证,实现三者之间的均衡,从而真正发挥计算机网络信息安全体系结构的重要作用。
4总结
篇2
摘要:由系统管理员管理的结构化计算机环境和只有一台或几台孤立计算机组成的计算机环境的主要区别是服务。针对计算机网络中的服务概念进行了阐述。
关键词:计算机;网络;服务。
由系统管理员管理的结构化计算机环境和只有一台或几台孤立计算机组成的计算机环境的主要区别是服务。这种只有几台孤立计算机的典型环境是家庭和那些很小的非技术性的办公室,而典型的结构化计算机环境则是由技术人员操作大量的计算机,通过共享方便的通信、优化的资源等服务来互相联结在一起。当一台家用电脑通过互联网或通过ISP连接到因特网上,他就是使用了ISP或其他人提供的服务才进入网络的。
提供一个服务绝不仅仅是简单的把硬件和软件累加在一起,它包括了服务的可靠性、服务的标准化、以及对服务的监控、维护、技术支持等。只有在这几个方面都符合要求的服务才是真正的服务。
1服务的基本问题。
创建一个稳定、可靠的服务是一个系统管理员的重要工作。在进行这项工作时系统管理员必须考虑许多基本要素,其中最重要的就是在设计和开发的各个阶段都要考虑到用户的需求。要和用户进行交流,去发现用户对服务的要求和预期,然后把其它的要求如管理要求等列一个清单,这样的清单只能让系统管理员团队的人看到。
服务应该建立在服务器级的机器上而且机器应该放在合适的环境中,作为服务器的机器应当具备适当的可靠性。服务和服务所依赖的机器应该受到监控,一旦发生故障就发出警报或产生故障记录清单。
作为服务一部分的机器和软件应当依赖那些建立在相同或更高标准上的主机和软件,一个服务的可靠性和它所依赖的服务链中最薄弱环节的可靠性是相当的。一个服务不应该无故的去依赖那些不是服务一部分的主机。一旦服务建好并完成了测试,就要逐渐转到用户的角度来进行进一步的测试和调试。
1.1用户的要求。
建立一个新服务应该从用户的要求开始,用户才是你建立服务的根本原因。如果建立的服务不合乎用户的需要,那就是在浪费精力。
搜集用户的需求应该包括下面这些内容:他们想怎样使用这些新服务、需要哪些功能、喜欢哪些功能、这些服务对他们有多重要,以及对于这些服务他们需要什么级别的可用性和技术支持。如果可能的话,让用户试用一下服务的试用版本。不要让用户使用那些很麻烦或是不成功的系统和项目。尽量计算出使用这个服务的用户群有多大以及他们需要和希望获得什么样的性能,这样才能正确的计算。
1.2操作上的要求。
对于系统管理员来说,新服务的有些要求不是用户直接可见的。比如系统管理员要考虑到新服务的管理界面、是否可以与已有的服务协同操作,以及新服务是否能与核心服务如认证服务和目录服务等集成到一起。
从用户期望的可靠性水平以及系统管理员们对系统将来要求的可靠性的预期,系统管理员们就能建立一个用户期望的功能列表,其内容包括群集、从属设备、备份服务器或具有高可用性的硬件和操作系统。
1.3开放的体系结构。
有时销售商使用私有协议就是为了和别的销售商达成明确的许可协议,但是会在一个销售商使用的新版本和另一个销售商使用的兼容版本之间存在明显的延迟,两个销售商所用的版本之间也会有中断,而且没有提供两个产品之间的接口。这种情况对于那些依靠它们的接口同时使用两种产品的人来说,简直是一场恶梦。
一个好的解决方法就是选择基于开放标准的协议,让双方都能选择自己的软件。这就把用户端应用程序的选择同服务器平台的选择过程分离了,用户自由的选择最符合自己需要、偏好甚至是平台的软件,系统管理员们也可以独立地选择基于他们的可靠性、规模可设定性和可管理性需要的服务器解决方案。系统管理员们可以在一些相互竞争的服务器产品中进行选择,而不必被囿于那些适合某些用户端应用程序的服务器软件和平台。
在许多情况下,如果软件销售商支持多硬件平台,系统管理员们甚至可以独立地选择服务器硬件和软件。
我们把这叫做用户选择和服务器选择分离的能力。开放协议提供了一个公平竞争的场所,并激起销售商之间的竞争,这最终会使我们受益。
开放协议和文件格式是相当稳定的,不会经常改动(即使改动也是向上兼容的),而且还有广泛的支持,能给你最大的产品自主选择性和最大的机会获得可靠的、兼容性好的产品。
2其它需要考虑的问题。
建立一个服务除了要求可靠、可监测、易维护支持,以及要符合所有的我们基本要求和用户的要求外,还要考虑到一些特别的事情。如果可能的话,应该让每个服务使用专门的机器,这么作可以让服务更容易得到支持和维护,也能减少忘记一些服务器机器上的小的服务的机会。在一些大公司,使用专门的机器是一条基本原则,而在小公司,由于成本问题,一般达不到这个要求。
还有一个观念就是在建立服务时要以让服务完全冗余为目标。有些重要的服务不管在多大的公司都要求完全冗余。由于公司的规模还会增长,所有你要让所有的服务都完全冗余为目标。
2.1使用专门的机器。
理想的情况,服务应该建立在专门的机器上。
大网站应该有能力根据服务的要求来调整到这个结构,而小网站却很难做到。每个服务都有专门的机器会使服务更可靠,当发生可靠性问题是也容易调试,发生故障的范围更小,以及容易升级和进行容量计划。
从小公司成长起来的大网站一般有一个集中管理的机器作为所有重要服务的核心,这台机器提供名字服务、认证服务、打印服务、邮件服务等等。最后,由于负荷的增长,机器不得不分开,把服务扩展到别的服务器上去。常常是在这之前,系统管理员们已经得到了资金,可以买更多的管理用的机器,但是觉得太麻烦,因为有这么多的服务依赖这机器,把它们都分开太难了。当把服务从一台机器上分开时,IP地址的依赖最难处理了,有些服务如名字服务的IP地址都在用户那里都已经记得很牢固了,还有一些IP地址被安全系统如路由器、防火墙等使用。
把一个中心主机分解到许多不同的主机上是非常困难的,建立起来的时间越长,上面的服务越多,就越难分解。使用基于服务的名字会有所帮助,但是必须整个公司都使用标准化的、统一的、始终如一的名字。
2.2充分的冗余。
充分的冗余是指有一个或一系列复制好的服务器,能在发生故障的时候接管主要的故障设备。冗余系统应该可以作为备份服务器连续的运行,当主服务器发生故障时能自动连上线,或者只要少量的人工干预,就能接管提供服务的故障系统。
你选择的这类冗余是依赖于服务的。有些服务如网页服务器和计算区域,可以让自己很好的在克隆好的机器上运行。别的服务比如大数据库就不行,它们要求连接更牢固的崩溃恢复系统。你正在使用的用来提供服务的软件或许会告诉你,冗余是以一种有效的、被动的、从服务器的形式存在的,只有在主服务器发生故障并发出请求时,冗余系统才会响应。不管什么情况,冗余机制必须要确保数据同步并保持数据的完整。
如果冗余服务器连续的和主服务器同步运行,那么冗余服务器就可以用来分担正在正常运行的负荷并能提高性能。如果你使用这种方法,一定要注意不要让负荷超出性能不能接受的临界点,以防止某个服务器出现故障。在到达临界点之前要为现存系统增加更多的并行服务器。
冗余的另一个好处就是容易升级。可以进行滚动升级。每次有一台主机被断开、升级、测试然后重新开始服务。单一主机的故障不会停止整个服务,虽然可能会影响性能。如果你真的搞杂了一个升级那就关掉电源等你冷静下来再去修它。
参考文献:
篇3
1 概述
目前,在我国很多高校开设了网络信息安课程,该课程是信息安全专业的一门基础课,也是网络工程专业的一门必修课。网络信息安全课程理论性强,实践性强,并且教学内容随着信息技术的发展也在不断地变化,这给教学工作带来很大挑战。由于专业性质不同,为了使网络信息安全课程的教学符合网络工程专业的特点,并且跟上信息技术瞬息万变的步伐,达到培养人才的目标,我们在多年教学实践的基础上,不断地进行总结和探索。
2 网络工程专业特点
网络工程是将计算机技术和通信技术紧密结合而形成的新兴的技术领域,尤其在当今互联网技术以及互联网经济迅速发展的环境下,网络工程技术已经成为计算机乃至信息技术界关注的重要领域之一,也是在现代信息社会中迅速发展并且应用广泛的一门综合性学科。网络工程专业自从上世纪90年代起,陆续在我国很多本科高校中都有开设。
网络工程专业的培养目标是:掌握常用操作系统的使用、网络设备的配置,深入了解网络的安全问题,具有综合性的网络管理能力,可以胜任中小企业的网络管理工作,并具备发展成为网络工程设计专家的能力[1]。以商丘学院(以下简称“我校”)为例,该专业是我校重点建设的专业之一,计算机网络课程现已成为校级精品课程,所属计算机网络实验室被评为河南省级重点实验室。在校学生一二年级主要学好程序设计、网络原理、操作系统等专业基础课,三四年级主要学习网络设备管理、综合布线、网络组建、网络信息安全等专业核心课程。在学生学习的时间安排上留有余地,引导学生扩大知识面,关注学科前沿,鼓励学生利用好实验室来培养自己的实践能力和创新能力。因此,网络信息安全成为我校高年级学生的一门必修课。结合网络工程专业特色,网络信息安全课程多年来在我校网络工程专业一直开设并收到很好的效果。
3 网络信息安全课程开设现状
网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全是国家重点发展的新兴交叉学科,具有广阔的发展前景。由于我国在信息安全技术方面的起点还较低,国内只有少数高等院校开设“信息安全”专业,信息安全技术人才奇缺。网络信息安全课程在信息安全专业是必不可少的核心课程。
目前,我校网络工程专业网络信息安全课程的开设还是以理论教学为主,实践教学为辅的教学模式。在学时分配上我们采用“34学时理论+18学时上机”的模式。在考核方式上采用“20%平时表现+80%理论考试”来计算总成绩。结合信息安全技术发展迅速的特点,在教材的选用上我们不断更新教材,以求跟上时代和技术的潮流。我校先后选用吴煜煜[2]、周明全[3]、石志国[4]、袁津生[5]等人主编的教材,这样教师也在不断地学习最新知识和专业技能。由于该课程是一门交叉性综合性学科,学好这门课程要求学生必须具备良好的程序设计能力,过硬的数学、操作系统和网络知识。该课程的先修课程为:高级程序设计(C、C++、Java)、计算机网络(TCP/IP)、操作系统(Unix和Windows)、数据库系统。该课程教学内容主要包括:网络安全的基本概念、加密与解密、公钥体系、TCP/IP协议安全、应用层安全、攻击与防御、网络站点的安全、操作系统系统与数据库的安全。
网络信息安全这门课程是一门理论和实践相结合,应用性很强的交叉性综合性课程。理论知识涉及面广且抽象,实践问题规模难度大。这样的特点不仅要求教师具备过硬的专业技能和授课水平,而且要求学生具备扎实的理论功底和和较强的实践能力。该课程在我校是网络工程专业开设的一门必修课程,它既不能像信息安全专业开设的专业课那么详尽和深入,也不能像普及网络安全知识一样成为公共选修课那样浅尝辄止。这就要求教师必须在有限的学时内将网络信息安全课程最基本的原理、最常用的技能传授给学生,使学生能够解决最常见的网络安全问题,成为能够学以致用,能够解决实际问题的人才。因此,必须结合网络工程专业特色和我校学生水平进行教学,才能使教和学的效果都达到最优化,达到培养人才的目标。
目前,现有的教学模式仍然停留在重理论、轻实践的层次上。学生在课堂上与老师的互动性不强,特别是学生的学习积极性不高,对信息安全课程学习的兴趣不持久,实践能力不强,而且现有的考核方式已不适应课程的发展。通过近几年的教学实践,结合目前网络工程专业开设的网络信息安全课程在教学中存在的问题,从培养应用型、创新型信息技术人才的角度来出发,我们尝试对网络信息安全课程进行改革和探索。
4 教学改革与探索
4.1 翻转式教学模式
互联网的普及和计算机技术在教育领域的应用,使“翻转课堂式”教学模式[6]变得可行和现实。学生可以通过互联网去使用优质的教育资源,不再单纯地依赖授课老师去教授知识。在课堂上,学生和老师的角色则发生了变化。老师更多的责任是去理解学生的问题和引导学生去运用知识。我们在课堂教学的组织中参考林地公园高中的经验:一、创建教学视频。我们根据上课的内容和教学目标,使用录屏软件将课件和讲课声音录制下来,然后将课件或视频通过网络分发给学生。让学生在上课前进行先行学习并收集好学生反馈的问题。二、组织课堂教学。教学内容在课外传递给学生后,课堂内更需要高质量的学习活动,让学生有机会在具体环境中应用所学内容。这样学生先自我学习或通过讨论来掌握知识点,结合学生反馈的问题,在课堂上再由教师主导开展关键问题的研讨,安排相应的课程实践。该方法在国防科学技术大学徐明的论文[7]中提到,可以作为改革教学模式的一种方法来学习使用。
4.2 理论与实践相结合的教学模式
理论授课均在多媒体教室进行,理论授课要与上机实践相结合,网络安全实验均在我校计算机网络实验室完成,学生上机操作并提交实验报告。计算机网络实验室是我校网络工程专业的专业实验室,实验室采用圆桌模式分为8组,每组8位同学,能同时满足64位学生做实验。我们结合近几年的教学经验,参考袁津生[5]等教材,安排了如下实验:①VMware虚拟机与网络分析器的使用;②RSA加密算法的分析与实现;③加解密算法的分析与实现(DES、AES等);④Hash算法MD5;⑤剖析特洛伊木马;⑥使用PGP实现电子邮件安全;⑦X-SCANNER扫描工具;⑧用SSL协议实现安全的FTP数据传输。除了正常安排的16个上机学时之外,增加实验室开放时间,为对网络安全有兴趣的学生提供更多的实践机会。通过在计算机网络实验室的学习和实践,使学生加深对网络信息安全原理和技术的认识,提高网络技能和实践能力,增加他们在将来的就业竞争中的优势。另外,工学结合,引进第二课堂,创建实训基地,争取在网络安全相关的企业和公司建立实训基地,加强合作,让学生有实践的机会,提高实践能力和就业能力,这是我们以后也要逐步探索的教学方式之一。
4.3 教学方法的一些改进
兴趣是最好的老师。多讲一些实例,可以采用任务驱动的方式培养学生的兴趣。比如上课前提出一个问题再开始讲课。例如:假如你是一个公司新任的网络管理员,需要对某台路由器进行相应的配置,但是你不知道该路由器的enable密码,该怎么办?这样就能驱动学生主动思考完成任务的方法,主动学习。一定要结合学生实际,避免“填鸭式”教学方法,做好师生互动。另外授课要尽可能地生动、幽默。
课堂知识、搜索引擎、论坛和专业站点、期刊论文(CNKI),这些都是学好网络信息安全的重要资源。在教学过程中,一定要利用好搜索引擎、论坛、期刊论文等,关注前沿的信息安全领域发展动向。
增加先驱课程知识的讲解。网络信息安全涉及到的数学知识我们参考裴定一教材[8]。例如,数据加密与认证技术的内容涉及到模运算、矩阵置换等数学知识,在讲解相应的数据加密知识时一定要将涉及到的先驱课程知识讲解清楚。
以就业为导向,鼓励学生积极参加网络信息安全工程师认证考试。鼓励对网络安全有兴趣的同学进行更加深入、更加专业的学习。
4.4 加大投入、完善网络信息安全专业实验设施
完善的网络信息安全实验平台[9]应该以网络为基础,将网络原理、网络程序设计、信息安全技术和网络实践类等课程集成在同一平台上,采用群组动态交互式实验方法,利用共享网络墙形成公共实验载体,实现网络实验从单设备组网到不断叠加和扩展,使学生从规模化的网络中理解路由协议和网络效率。在这样的实验平台下,利用共用服务器,各个群组组成网络攻防、信息战等实际场景,根据现场不断变化的信息实时设计技术方案,灵活应对网络的动态变化,做出快速的反应与调整,以培养学生高度的应变设计能力。
4.5 改革课时分配和考核权重
网络信息安全是一门理论与实践并重的课程,在今后的教学中,要逐渐增加实践课程的教学。为了增加学生对实践能力的重视,要合理分配理论考试和实践考试的权重,在现有考核模式的基础上逐步增加实践成绩的权重。在考核的形式上,综合卷面成绩和平时表现成绩,平时表现的成绩注重关注实验小组讨论的表现,个人实践的表现等。
5 结论
网络信息安全的形式随着信息技术的发展在日新月异的变化,网络信息安全课程也是一门发展变化很快的课程。根据该课程的特点,我们在以后的教学过程中要不断的学习最新科学知识,关注网络信息安全领域前沿动态,结合课程内容,合理设计授课内容、授课模式以及考核方式。今后,大规模开放在线课程(MOOC)的教学方式随着新一轮的教育改革浪潮也会逐步地应用到网络信息安全系列课程的教学上。总之,网络信息安全课程的教学要在教学实践中不断总结、改革和探索。
篇4
关键词:长庆油田 网络安全 防范
0 引言
随着国家信息化建设的快速发展,信息网络安全问题日益突出,信息网络安全面临严峻考验。当前互联网络结构无序、网络行为不规范、通信路径不确定、IP地址结构无序、难以实现服务质量保证、网络安全难以保证。长庆油田网络同样存在以上问题,可靠性与安全性是长庆油田网络建设目标。文章以长庆油田网络为例进行分析说明论文下载。
1 长庆油田网络管理存在的问题
长庆油田公司计算机主干网是以西安为网络核心,包括西安、泾渭、庆阳、银川、乌审旗、延安、靖边等7个二级汇聚节点以及咸阳等多个三级节点为架构的高速广域网络。网络庞大,存在的问题也很多,这对日常网络管理是一份挑战,由于管理的不完善,管理存在以下几个方面问题:
1.1 出现问题才去解决问 我们习惯人工战术,习惯凭经验办事。网络维护人员更像是消防员,哪里出现险情才去扑救。设备故障的出现主要依靠使用者报告的方式,网管人员非常被动,无法做到主动预防,无法在影响用户使用之前就预见故障并将其消除在萌芽状态。因此,这种维护模式已经很难保障网络的平稳运行,能否平稳影响网络安全与否。
1.2 突发故障难以快速定位 仅仅依靠人工经验,难以对故障根源做出快速定位,影响故障处理。而且随着网络的复杂程度的提高,在故障发生时,难以快速全面的了解设备运行状况,导致解决故障的时间较长,网络黑客侵犯可以趁机而来,带来网络管理的风险。
1.3 无法对全网运行状况作出分析和评估 在传统模式下,这些都需要去设备近端检查,或远程登录到设备上查看,不仅费时费力,而且对于历史数据无法进行连续不间断的监测和保存,不能向决策人员提供完整准确的事实依据,影响了对网络性能及质量的调优处理,庞大的网络系统,不能通盘管理,不能保证网络运行稳定,安全性时刻面临问题。
2 网络安全防范措施
计算机网络的安全性可以定义为保障网络服务的可用性和网络信息的完整性,为了有效保护网络安全,应做好防范措施,保证网络的稳定性,提高网络管理的效率。
2.1 完善告警机制,防患于未然 告警监控是一种手段,设备维护人员、网络分析人员需要通过告警信息去分析、判断设备出现的问题并尽可能的找出设备存在隐患,通过对一般告警的处理将严重告警发生的概率降下来。告警机制的完善一般从告警信息、告警通知方式两方面着手:
2.1.1 在告警信息的配置方面 目前,长庆油田计算机主干网包括的97台网络设备、71台服务器,每台设备又包含cpu、接口状态、流量等等性能参数,每一种参数在不同的时间段正常值范围也不尽相同。
例如同样为出口防火墙,西安与银川的各项性能阀值的设置也不尽相同,西安的会话数达到25万,而银川的超过20万就发出同样的告警。再比如,西安电信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因为这个时候在线用户很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要发出告警信息。
因此必须根据监控的对象(设备或链路)、内容(各项性能指标)以及时间段,设置不同的触发值及重置值。
2.1.2 告警通知方式的多样化 任何时间我们都无法保证能全天候死盯着屏幕,所以一方面需要制定相应的运维管理制度和轮班值守职责,另一方面则需要选择更加人性化的运维管理方式。维护人员不但需要页面显示的告警触发通知,也迫切需要在移动办公状态或休假状态第一时间得到预警,从而做出应有的反应,所以我们需要开发出例如声音、邮件、短信等多种告警方式。
通过以上两个方面,我们可以建成一个完善的故障告警系统,便于隐患的及时消除,提高了网络的稳定性。
2.2 网络拓扑的动态化 如果一个个设备检查起来显然费时费力,如果我们能将所有设备的状态及其连接状况用一张图形实时动态的直观显示出来,那么无疑会大大缩短故障定位时间(见图1,2)。
说明:2009-10-11日17:05,庆阳、延安、靖边、银川四个区域的T1200-02的连接西安的2.5GPOS口,泾渭T1200-01连西安的2.5GPOS口,以及西峰、吴起连接庆阳汇聚交换机Z8905-02的千兆光口,以上接口同时发出中断告警。
因此,综合告警信息与全网拓扑图,当出现大规模告警的情况下能够非常高效地找出故障源,避免了一步步繁琐的人工排查,从而达到有效提高故障的解决效率,提高了网络的稳定性。
2.3 全网资源管理的动态化
2.3.1 通过对网管系统的二次开发,实现全网动态资源分析,他的最重要特点就是动态,系统通过Polling Engine从设备上自动提取资料数据,如设备硬件信息、网络运行数据、告警信息、发生事件等。定时动态更新,最大限度的保持与现网的一致性。
2.3.2 通过一个集中的浏览器界面上就可以快速、充分地了解现有网络内各种动态和静态资源的状况,彻底转变了传统的网络依赖于文字表格甚至是依赖于维护人员的传统维护模式,变个人资料为共享资料。
2.4 提高安全防范意识 只要我们提高安全意识和责任观念,很多网络安全问题也是可以防范的。我们要注意养成良好的上网习惯,不随意打开来历不明的电子邮件及文件,不随便运行陌生人发送的程序;尽量避免下载和安装不知名的软件、游戏程序;不轻易执行附件中的EXE和COM等可执行程序;密码设置尽可能使用字母数字混排;及时下载安装系统补丁程序等。
总之,影响网络稳定的因素有很多,本文基于日常网络安全管理经验,从日常网络管理的角度,提出一些安全防范措施,以期提高网络稳定性。
参考文献
[1]石志国,计算机网络安全教程,北京:清华大学出版社,2008.
[2]张庆华,网络安全与黑客攻防宝典,北京:电子工业出版社,2007.
篇5
【关键词】智能变电站;VLAN;数据流
一、智能变电站网络结构
智能化变电站是构建智能电网的重要组成部分之一。随着电网的不断发展,变电站作为输配电系统的信息源和执行终端,接受的信息量和实现的控制功能越来越多,对于数字化、信息化的要求越来越迫切,智能化变电站成为未来变电站发展的方向。
依据国家电网公司颁布的《110(66)kV~220kV智能变电站设计规范》,智能变电站网络可从逻辑上分为“两网”,即站控层网络和过程层网络。其中,站控层网络连接了站控层设备与间隔层设备,主要是传输站控层内部、间隔层内部、以及站控层与间隔层之间的数据信息,内容以MMS报文为主。过程层网络连接过程层设备与间隔层设备,主要是传输过程层内部、间隔层内部以及过程层与间隔层之间的数据信息,内容以GOOSE和SV报文为主。由此三层两网结构数据流如下:
而且近年来基于IEC61850标准的智能变电站建设越来越多,多数的智能变电站配置站控层、间隔层和过程层3层结构。随着对IEC61850标准研究和应用的深入以及国内各厂商基于IEC61850标准产品的丰富,特别是智能一次设备中更多的整合二次设备的功能,而且越来月来的变电站利用先进的以太网交换机信息传播技术,使智能变电站配置上采用VLAN组网技术技术上提供了可行性。
二、虚拟局域网
智能化变电站过程层网络信息数据总量十分可观,但大部份信息数据不需要横向流通,在过程层网络中采用VLAN组网技术,为100M以太网交换机在智能化变电站组网中的应用奠定了理论基础,既降低了组网成本,又满足了网络安全、可靠性。
2.1虚拟局域网VLAN(Virtual Local Area Networ)技术是通过将局域网内的设备逻辑地划分成不同网段,从而实现组建虚拟工作组的技术,达到减少碰撞和广播风暴、增强网络安全性,并为802.1D协议的实现奠定了技术基础,提供了实现手段。
2.2VLAN划分的几种模式基于端口的VLAN、基于MAC地址的VLAN、基于路由的VLAN、基于策略的VLAN。基于端口的VLAN划分模式是最简单、有效的方法,在智能化变电站网络中得到了充分有效的应用。基于端口的VLAN模式是从逻辑上把交换机按照端口划分成不同的虚拟局域网络,使其在所需用的局域网络上流通。
2.3支持IEEE802.1qVLAN协议。根据变电站自动化系统中的设备对实时性要求的高低不同,将其分组到不同的虚拟局域网(VLAN),可进一步改善系统安全性和带宽利用效率,从而进一步保证系统的实时性。
三、智能变电站过程层网络VLAN划分
3.1智能变电站VLAN网络划分方案
根据智能变电站的网络特点,为了限制过程层网络流量、增加系统灵活性、提高系统的可靠性,智能变电站的过程层网络进行VLAN划分很有必要。但目前并没有成熟的VLAN划分方案应用于智能变电站,因此本文设计根据数据流的逻辑关系划分VLAN划分方案,具体如下所述。
1、根据合并单元、智能终端、保护和测控的逻辑关系。
2、线路间隔之间的逻辑关系(联闭锁、失灵启动)
3、线路间隔与母线和主变的的逻辑关系
4、VLAN划分应满足远期扩容的需求
3.2划分实例
先将智能变电站网络按照电压等级划分成500、330,220、110、35kV等若干个区域。各个电压等级的测控,电压合并单元,故障录波,断路器测控,断路器合并单元和主变各个电压等级合并单元,网络分析仪,测控,主变录波都分别划成一个VLAN。另外需要1个实现跨间隔通信和跨层通信的VLAN;最后需要1个进行变电站层内部通信的VLAN,由于通信网络系统默认的VLAN是VLAN_1,它包含整个网络的所有设备,另外根据交换机端口要求,Trunk 端口加入的VLAN 不能是VLAN_1。所以划分VLAN从VLAN_1以后开始。
四、基于工业以太网交换机实现
4.1设置VLAN组
如图3所示。交换机有几个VLAN就有几条VLAN设置,其中VID 为VLAN标识。
4.2TXtag
考虑到由于跨交换机通信时,会有多个VLAN的报文经过交换机的同一端口进行发送和接收,必须使交换机具有判断所接受的数据属于哪个VLAN的能力,所以需要将与中央交换机端口相连接的间隔交换机端口类型设置为Trunk(发送)tagged,传送时保存VLAN信息,中央交换机相应的Trunk(接收)tagged端口判断接收到的数据属于哪个VLAN,然后再根据相应设置转发到相应的端口上。
五、结论
VLAN 技术是建立在通信技术和计算机网络技术基础之上的,只有具备完善的网络通信并有足够的带宽才能充分发挥应有的作用,智能变电站的网络通信能力需要继续建设。本文探讨了智能化变电站的VLAN划分方式, 给出了一个方案, 同时给出了基于工业以太网交换机实现的案例, 可供今后在智能化变电站建设的借鉴。
参考文献
[1]丁津津,高博,刘宁宁,郭力.智能变电站网络结构分析与VLAN划分方式探讨[N].合肥工业大学学报(自然科学版),2013-03(1).
[2]任雁铭,秦立军,杨奇逊.IEC61850通信协议体系介绍和分析[J].电力系统自动化,2000,24(8)62-64.
[3]周莉.网络结构及交换机配置优化方案在智能变电站的应用.重庆市电机工程学会2010 年学术会议论文.
篇6
网络安全是一个十分复杂的问题,它的划分也是多种多样的,但大体上可以分为物理硬件层和系统软件层,网络内部和网络之间。如下表。
为何会产生网络安全的问题?这与人有意或无意也有关系,以上表的划分,安全问题产生于以下几方面:
网内硬件方面,即局域网的硬件方面。它主要包括网络的电源供应(UPS不间断电源)和网络的连接等。网络的电源供应的目的是保证网络在有可能预见的突发性的非正常电源供应情况下,为网络(主指服务器、交换机等网络的主干设备)提供一种短时的能量支持。网络的连接又分为线路的连接和设备的接入,线路的连接虽然是在网络的架设时所考虑的问题,但要必免因线路串扰而影响到线路的通信,以及布线的不合理造成的因线路过长而引发的信号衰减和线路因长期裸露意外遭到的外力的意外或有意的伤害等;设备的接入是指网络的功能部件(如打印服务器、文件服务器和应用服务器等)在网络中正常连接。
网间硬件方面很少被提及,主要是因为这种网络,在工程实施时为保证数据的远距离传输,所使用的一般都是造价高但质量好的连接设备,出现故障的概率较低。但收由于线路过长,一旦出现问题却很难及时发现故障所在地,从而延缓了处理时间,像2001年初的中美海底光缆挂断的类似事件还时有发生。
网内软件层,根据网络实现的功能上的差异,不同用途的局域网(办公网、专用存储网、校园网以及运算处理网等)的安全侧重点也不尽相同。网间软件层,就是局域网接入外网。也就是我们一般所讨论的网络安全,主要包括系统漏洞、数据遭更改或泄露、安全策略配置不当、网络攻击、病毒入侵等。而能否抵抗网络攻击,又几乎成为衡量这个网络安全与否的标准。
网络攻击
什么是攻击,难道仅仅发生在入侵行为完全完成且入侵者已侵入目标网络内才算是攻击?一切可能使得网络受到破坏的行为都应称之为攻击。就拿一个很常见的现象来说吧,很多在互联网中具有固定IP的服务器,每天都要受到数以百计的端口扫描和试图侵入,虽然不一定会被攻克,但你总不能说它没有受到攻击。在正式攻击之前,攻击者一般都会先进行试探性攻击,目标是获取系统有用的信息,此时比较常用的包括ping扫描,端口扫描,帐户扫描,dns转换,以及恶性的ip sniffer(通过技术手段非法获取ip packet,获得系统的重要信息,来实现对系统的攻击,后面还会详细讲到),特洛依木马程序等。如果在某一个集中的时期内,有人在频繁得对你所管理的网络进行试探攻击,或有不明身份的用户经常连入网络,这时网络管理员就要注意了,你该好好分析一下日志文件,并对系统好好检查检查了。
通常,在正式攻击之前,攻击者先进行试探性攻击,目标是获取系统有用的信息,此时比较常用的包括ping扫描,端口扫描,帐户扫描,dns转换,以及恶性的ip sniffer(通过技术手段非法获取ip packet,获得系统的重要信息,来实现对系统的攻击,后面还会详细讲到),特洛依木马程序等。这时的被攻击状态中的网络经常会表现出一些信号,特征,例如:
2.1 收集信息攻击:
经常使用的工具包括:NSS, Strobe,Netscan, SATAN(Security Aadministrator's Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等以及各种sniffer.广义上说,特洛依木马程序也是收集信息攻击的重要手段。收集信息攻击有时是其它攻击手段的前奏。对于简单的端口扫描,敏锐的安全管理员往往可以从异常的日志记录中发现攻击者的企图。但是对于隐秘的sniffer和trojan程序来说,检测就是件更高级和困难的任务了。
2.1.1 sniffer
它们可以截获口令等非常秘密的或专用的信息,甚至还可以用来攻击相邻的网络,因此,网络中sniffer的存在,会带来很大的威胁。这里不包括安全管理员安装用来监视入侵者的sniffer,它们本来是设计用来诊断网络的连接情况的.它可以是带有很强debug功能的普通的网络分析器,也可以是软件和硬件的联合形式。现在已有工作于各种平台上的sniffer,例如
· Gobbler(MS-DOS)
· ETHLOAD(MS-DOS)
· Netman(Unix)
· Esniff.c(SunOS)
· Sunsniff(SunOS)
· Linux-sniffer.c(Linux)
· NitWit.c(SunOS)
· etc.
检测sniffer的存在是个非常困难的任务,因为sniffer本身完全只是被动地接收数据,而不发送什么。并且上面所列的sniffer程序都可以在internet上下载到,其中有一些是以源码形式的(带有.c扩展名的)。
一般来讲,真正需要保密的只是一些关键数据,例如用户名和口令等。使用ip包一级的加密技术,可以使sniffer即使得到数据包,也很难得到真正的数据本身。这样的工具包括 secure shell(ssh),以及F-SSH, 尤其是后者针对一般利用tcp/ip进行通信的公共传输提供了非常强有力的,多级别的加密算法。ssh有免费版本和商业版本,可以工作在unix上,也可以工作在windows 3.1, windows 95, 和windows nt.
另外,采用网络分段技术,减少信任关系等手段可以将sniffer的危害控制在较小范围以内,也为发现sniffer的主人提供了方便.
2.1.2 Trojan
这是一种技术性攻击方式. RFC1244中给出了trojan程序的经典定义:特洛依木马程序是这样一种程序,它提供了一些有用的,或仅仅是有意思的功能。但是通常要做一些用户不希望的事,诸如在你不了解的情况下拷贝文件或窃取你的密码, 或直接将重要资料转送出去,或破坏系统等等. 特洛依程序带来一种很高级别的危险,因为它们很难被发现,在许多情况下,特洛依程序是在二进制代码中发现的,它们大多数无法直接阅读,并且特洛依程序可以作用在许许多多系统上,它的散播和病毒的散播非常相似。从internet上下载的软件,尤其是免费软件和共享软件,从匿名服务器或者usernet新闻组中获得的程序等等都是十分可疑的. 所以作为关键网络中的用户有义务明白自己的责任,自觉作到不轻易安装使用来路不清楚的软件.
2.2 denial of service:
这是一类个人或多个人利用internet协议组的某些方面妨碍甚至关闭其它用户对系统和信息的合法访问的攻击. 其特点是以潮水般的连接申请使系统在应接不暇的状态中崩溃。对于大型网络而言,此类攻击只是有限的影响, 但是却可能导致较小网络退出服务, 遭到重创.
这是最不容易捕获的一种攻击,因为不留任何痕迹,安全管理人员不易确定攻击来源。由于这种攻击可以使整个系统瘫痪,并且容易实施,所以非常危险。但是从防守的角度来讲,这种攻击的防守也比较容易. 攻击者通过此类攻击不会破坏系统数据或获得未授权的权限, 只是捣乱和令人心烦而已. 例如使网络中某个用户的邮箱超出容限而不能正常使用等.
典型的攻击包括如E-mail炸弹, 邮件列表连接,
2.2.1 Email炸弹
它是一种简单有效的侵扰工具. 它反复传给目标接收者相同的信息, 用这些垃圾拥塞目标的个人邮箱. 可以使用的工具非常多, 例如bomb02.zip(mail bomber), 运行在windows平台上,使用非常简单. unix平台上发起email bomb攻击更为简单, 只需简单几行shell程序即可让目标邮箱内充满垃圾.
它的防御也比较简单. 一般邮件收发程序都提供过滤功能, 发现此类攻击后, 将源目标地址放入拒绝接收列表中即可.
2.2.2 邮件列表连接
它产生的效果同邮件炸弹基本相同. 将目标地址同时注册到几十个(甚至成百上千)个邮件列表中, 由于一般每个邮件列表每天会产生许多邮件, 可以想象总体效果是什么样子. 可以手工完成攻击, 也可以通过建立邮件列表数据库而自动生成. 对于邮件列表连接,尚没有快速的解决办法. 受害者需要把包含注销"unsubscribe"信息的邮件发往每个列表.
许多程序能够同时完成两种攻击, 包括Up yours(Windows), KaBoom(Windows), Avalanche(Windows), Unabomber(Windows), eXtreme Mail(Windows), Homicide(Windows), Bombtrack(Macintosh), FlameThrower(Macintosh), etc.
2.2.3 其它
还有一些针对其它服务的攻击, 例如Syn-Flooder, Ping of Death(发送异常的很大的进行ping操作的packet来攻击windows nt), DNSkiller(运行在linux平台上, 攻击windows nt平台上的dns服务器)等。
在路由的层次上,对数据流进行过滤, 通过合适的配置会减少遭受此类攻击的可能性.Cisco Systems就提供了路由级的解决方案.
2.3 spoofing attack(电子欺骗):
针对http,ftp,dns等协议的攻击,可以窃取普通用户甚至超级用户的权限,任意修改信息内容,造成巨大危害。所谓ip欺骗,就是伪造他人的源ip地址。其实质上就是让一台机器来扮演另一台机器,借以达到蒙混过关的目的。下面一些服务相对来说容易招致此类攻击:
· 任何使用sunrpc调用的配置;rpc指sun公司的远程过程调用标准,是一组工作于网络之上的处理系统调用的方法。
· 任何利用ip地址认证的网络服务
· mit的xwindow系统
· 各种r服务: 在unix环境中,r服务包括rlogin和rsh,其中r表示远程。人们设计这两个应用程序的初衷是向用户提供远程访问internet网络上主机的服务。r服务极易受到ip欺骗的攻击
几乎所有的电子欺骗都倚赖于目标网络的信任关系(计算机之间的互相信任,在unix系统中,可以通过设置rhosts和host.equiv 来设置)。入侵者可以使用扫描程序来判断远程机器之间的信任关系。这种技术欺骗成功的案例较少,要求入侵者具备特殊的工具和技术(,并且现在看来对非unix系统不起作用)。另外spoofing的形式还有dns spoofing等。
解决的途径是慎重设置处理网络中的主机信任关系,尤其是不同网络之间主机的信任关系。如只存在局域网内的信任关系,可以设置路由器使之过滤掉外部网络中自称源地址为内部网络地址的ip包,来抵御ip欺骗。下面一些公司的产品提供了这种功能
· Cisco System
· iss.com公司的安全软件包可以测试网络在ip欺骗上的漏洞。
· etc.
国际黑客已经进入有组织有计划地进行网络攻击阶段,美国政府有意容忍黑客组织的活动,目的是使黑客的攻击置于一定的控制之下,并且通过这一渠道获得防范攻击的实战经验。国际黑客组织已经发展出不少逃避检测的技巧. 使得攻击与安全检测防御的任务更加艰巨.
3 入侵层次分析:
3.1 敏感层的划分
使用敏感层的概念来划分标志攻击技术所引起的危险程度.
1 邮件炸弹攻击(emailbomb)(layer1)
2 简单服务拒绝攻击(denial of service)(layer1+)
3 本地用户获得非授权读访问(layer2)
4 本地用户获得他们非授权的文件写权限(layer3)
5 远程用户获得非授权的帐号(layer3+)
6 远程用户获得了特权文件的读权限(layer4)
7 远程用户获得了特权文件的写权限(layer5)
8 远程用户拥有了根(root)权限(黑客已攻克系统)(layer6)
以上层次划分在所有的网络中几乎都一样,基本上可以作为网络安全工作的考核指标。
"本地用户"(local user)是一种相对概念。它是指任何能自由登录到网络上的任何一台主机上,并且在网络上的某台主机上拥有一个帐户,在硬盘上拥有一个目录的任何一个用户。在一定意义上,对内部人员的防范技术难度更大。据统计,对信息系统的攻击主要来自内部,占85%。因为他们对网络有更清楚的了解,有更多的时间和机会来测试网络安全漏洞,并且容易逃避系统日志的监视。
3.2 不同的对策
根据遭受的攻击的不同层次,应采取不同的对策.
第一层:
处于第一层的攻击基本上应互不相干,第一层的攻击包括服务拒绝攻击和邮件炸弹攻击.邮件炸弹的攻击还包括登记列表攻击(同时将被攻击目标登录到数千或更多的邮件列表中,这样,目标有可能被巨大数量的邮件列表寄出的邮件淹没)。对付此类攻击的最好的方法是对源地址进行分析,把攻击者使用的主机(网络)信息加入inetd.sec的拒绝列表(denylistings)中.除了使攻击者网络中所有的主机都不能对自己的网络进行访问外,没有其它有效的方法可以防止这种攻击的出现.
此类型的攻击只会带来相对小的危害。使人头疼的是虽然这类攻击的危害性不大,但是发生的频率却可能很高,因为仅具备有限的经验和专业知识就能进行此类型的攻击。
第二层和第三层:
这两层的攻击的严重程度取决于那些文件的读或写权限被非法获得。对于isp来说,最安全的办法是将所有的shell帐户都集中到某一台(或几台)主机上,只有它们才能接受登录,这样可以使得管理日志,控制访问,协议配置和相关的安全措施实施变得更加简单。另外,还应该把存贮用户编写的cgi程序的机器和系统中的其它机器相隔离。
招致攻击的原因有可能是部分配置错误或者是在软件内固有的漏洞.对于前者,管理员应该注意经常使用安全工具查找一般的配置错误,例如satan。后者的解决需要安全管理员花费大量的时间去跟踪了解最新的软件安全漏洞报告,下载补丁或联系供货商。实际上,研究安全是一个永不终结的学习过程。安全管理员可以订阅一些安全邮件列表,并学会使用一些脚本程序(如perl,等)自动搜索处理邮件,找到自己需要的最新信息。
发现发起攻击的用户后,应该立即停止其访问权限,冻结其帐号。
第四层:
该层攻击涉及到远程用户如何获取访问内部文件的权利。其起因大多是服务器的配置不当,cgi程序的漏洞和溢出问题。
第五层和第六层:
只有利用那些不该出现却出现的漏洞,才可能出现这种致命的攻击。
出现第三,四,五层的攻击表明网络已经处于不安全状态之中,安全管理员应该立即采取有效措施, 保护重要数据, 进行日志记录和汇报,同时争取能够定位攻击发起地点:
· 将遭受攻击的网段分离出来,将此攻击范围限制在小的范围内
· 记录当前时间,备份系统日志,检查记录损失范围和程度
· 分析是否需要中断网络连接
· 让攻击行为继续进行
· 如果可能,对系统做0级备份
· 将入侵的详细情况逐级向主管领导和有关主管部门汇报;如果系统受到严重破坏,影响网络业务功能,立即调用备件恢复系统
· 对此攻击行为进行大量的日志工作
· (在另一个网段上)竭尽全力地判断寻找攻击源
总之,不到万不得已的情况下, 不可使系统退出服务. 寻找入侵者的最重要的工作就是做日志记录和定位入侵者,而找出入侵者并通过法律手段迫使其停止攻击是最有效的防卫手段。
4 关于口令安全性
通过口令进行身份认证是目前实现计算机安全的主要手段之一,一个用户的口令被非法用户获悉,则该非法用户即获得了该用户的全部权限,这样,尤其是高权限用户的口令泄露以后,主机和网络也就随即失去了安全性。黑客攻击目标时也常常把破译普通用户的口令作为攻击的开始。然后就采用字典穷举法进行攻击。它的原理是这样的:网络上的用户常采用一个英语单词或自己的姓名、生日作为口令。通过一些程序,自动地从电脑字典中取出一个单词,作为用户的口令输入给远端的主机,申请进入系统。若口令错误,就按序取出下一个单词,进行下一个尝试。并一直循环下去,直到找到正确的口令,或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成,几个小时就可以把字典的所有单词都试一遍。这样的测试容易在主机日志上留下明显攻击特征,因此,更多的时候攻击者会利用其它手段去获得主机系统上的/etc/passwd文件甚至/etc/shadow文件,然后在本地对其进行字典攻击或暴力破解。攻击者并不需要所有人的口令,他们得到几个用户口令就能获取系统的控制权,所以即使普通用户取口令过于简单可能会对系统安全造成很大的威胁。系统管理员以及其它所有用户对口令选取的应采取负责的态度,消除侥幸和偷懒思想。
保持口令安全的一些要点如下:
· 口令长度不要小于6位,并应同时包含字母和数字,以及标点符号和控制字符
· 口令中不要使用常用单词(避免字典攻击),英文简称,个人信息(如生日,名字,反向拼写的登录名,房间中可见的东西),年份,以及机器中的命令等
· 不要将口令写下来。
· 不要将口令存于电脑文件中。
· 不要让别人知道。
· 不要在不同系统上,特别是不同级别的用户上使用同一口令。
· 为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边。
· 定期改变口令,至少6个月要改变一次。
· 系统安装对口令文件进行隐藏的程序或设置。(e.g. Shadow Suite for linux)
· 系统配置对用户口令设置情况进行检测的程序,并强制用户定期改变口令。任何一个用户口令的脆弱,都会影响整个系统的安全性。(e.g. passwd+, Crack,etc)
最后这点是十分重要的,永远不要对自己的口令过于自信,也许就在无意当中泄露了口令。定期地改变口令,会使自己遭受黑客攻击的风险降到了一定限度之内。一旦发现自己的口令不能进入计算机系统,应立即向系统管理员报告,由管理员来检查原因。
系统管理员也应定期运行这些破译口令的工具,来尝试破译shadow文件,若有用户的口令密码被破译出,说明这些用户的密码取得过于简单或有规律可循,应尽快地通知他们,及时更正密码,以防止黑客的入侵。
5 网络安全管理员的素质要求
· 深入地了解过至少两个操作系统,其中之一无可置疑地是unix。熟练配置主机的安全选项和设置,及时了解已见报道的安全漏洞,并能够及时下载相应补丁安装。在特殊紧急情况下,可以独立开发适合的安全工具或补丁,提高系统的安全性。
· 对tcp/ip协议族有透彻的了解,这是任何一个合格的安全管理员的必备的素质。并且这种知识要不仅仅停留在internet基本构造等基础知识上,必须能够根据侦测到的网络信息数据进行准确的分析,达到安全预警,有效制止攻击和发现攻击者等防御目的。
· 熟练使用c,c++,perl等语言进行编程。这是基本要求,因为许多基本的安全工具是用这些语言的某一种编写的。安全管理员至少能正确地解释,编译和执行这些程序。更高的要求是能够把不专门为某个特定平台开发的工具移植到自己的平台上。同时他们还能够开发出可扩展自己系统网络安全性的工具来,如对satan和safe suite的扩展和升级(它们允许用户开发的工具附加到自己上)
· 经常地保持与internet社会的有效接触。不仅要了解自己的机器和局域网,还必须了解熟悉internet。经验是不可替代的。
· 熟练使用英语读写,与internet网上的各个安全论坛建立经常的联系。
· 平时注意收集网络的各种信息, 包括硬件应识别其构造,制造商,工作模式,以及每台工作站,路由器,集线器,网卡的型号等;软件网络软件的所有类型以及它们的版本号;协议网络正在使用的协议; 网络规划例如工作站的数量,网段的划分,网络的扩展; 以及其它信息例如网络内部以前一直实施中的安全策略的概述,曾遭受过的安全攻击的历史记录等。
还有一点也很重要,那就是不要过于相信你的供应商,一定要有自己的判断。你不能因为他告诉你装上他的防火墙就可以高枕无忧而麻痹大意,在安装完成后一定要进行相应地测试,并且还要定期对日志文件进行审查。我还曾经遇到过一个十分头疼的事情,由于某软件中存在的缺陷(应该是指针的问题),在运行素材文件删除后,管理软件认为已经将文件清除,可物理上仍然存在,这样旧有的空间无法释放,当这样的素材文件越来越多时,磁盘的数据存贮就会出现问题。网络管理人员所要做的就是在日常工作中发现并处理这样一些不可预期的问题。
