13518219792
談對網(wǎng)絡安全的認識
創(chuàng)新互聯(lián)建站主營德州網(wǎng)站建設的網(wǎng)絡公司,主營網(wǎng)站建設方案,app軟件定制開發(fā),德州h5小程序定制開發(fā)搭建,德州網(wǎng)站營銷推廣歡迎德州等地區(qū)企業(yè)咨詢
近幾年來,網(wǎng)絡越來越深入人心,它是人們工作、學習、生活的便捷工具和豐富資源。但是,我們不得不注意到,網(wǎng)絡雖然功能強大,也有其脆弱易受到攻擊的一面。據(jù)美國FBI統(tǒng)計,美國每年因網(wǎng)絡安全問題所造成的經(jīng)濟損失高達75億美元,而全球平均每20秒鐘就發(fā)生一起Internet 計算機侵入事件。在我國,每年因黑客入侵、計算機病毒的破壞也造成了巨大的經(jīng)濟損失。人們在利用網(wǎng)絡的優(yōu)越性的同時,對網(wǎng)絡安全問題也決不能忽視。作為學校,如何建立比較安全的校園網(wǎng)絡體系,值得我們關注研究。
建立校園網(wǎng)絡安全體系,主要依賴三個方面:一是威嚴的法律;二是先進的技術;三是嚴格的管理。
從技術角度看,目前常用的安全手段有內外網(wǎng)隔離技術、加密技術、身份認證、訪問控制、安全路由、網(wǎng)絡防病毒等,這些技術對防止非法入侵系統(tǒng)起到了一定的防御作用。代理及防火墻作為一種將內外網(wǎng)隔離的技術,普遍運用于校園網(wǎng)安全建設中。
網(wǎng)絡現(xiàn)狀
我校是一所市一級中學,目前有兩所網(wǎng)絡教室、200多臺教學辦公電腦,校園網(wǎng)一期工程為全校教教學教研建立了計算機信息網(wǎng)絡,實現(xiàn)了校園內計算機聯(lián)網(wǎng),信息資源共享并通過中國公用Internet網(wǎng)(CHINANET)與Internet互連,校園網(wǎng)結構是:校園內建筑物之間的連接選用多模光纖,以網(wǎng)管中心為中心,輻射向其他建筑物,樓內水平線纜采用超五類非屏雙絞線纜。3Com 4900交換機作為核心交換機;二級交換機為3Com 3300。
安全隱患
當時,校園網(wǎng)絡存在的安全隱患和漏洞有:
1、校園網(wǎng)通過CHINANET與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
2、校園網(wǎng)內部也存在很大的安全隱患,由于內部用戶對網(wǎng)絡的結構和應用模式都比較了解,因此來自內部的安全威脅更大一些。現(xiàn)在,黑客攻擊工具在網(wǎng)上泛濫成災,而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。
3、目前使用的操作系統(tǒng)存在安全漏洞,對網(wǎng)絡安全構成了威脅。我校的網(wǎng)絡服務器安裝的操作系統(tǒng)有Windows2000 Server,其普遍性和可操作性使得它也是最不安全的系統(tǒng):本身系統(tǒng)的漏洞、瀏覽器的漏洞、IIS的漏洞,這些都對原有網(wǎng)絡安全構成威脅。
4、隨著校園內計算機應用的大范圍普及,接入校園網(wǎng)節(jié)點日漸增多,而這些節(jié)點大部分都沒有采取一定的防護措施,隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡被攻擊、系統(tǒng)癱瘓等嚴重后果。
由此可見,構筑具有必要的信息安全防護體系,建立一套有效的網(wǎng)絡安全機制顯得尤其重要。
措施及解決方案
根據(jù)我校校園網(wǎng)的結構特點及面臨的安全隱患,我們決定采用下面一些安全方案和措施。
一、安全代理部署
在Internet與校園網(wǎng)內網(wǎng)之間部署一臺安全代理(ISA),并具防火墻等功能,形成內外網(wǎng)之間的安全屏障。其中WWW、MAIL、FTP、DNS對外服務器連接在安全代理,與內、外網(wǎng)間進行隔離。那么,通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(如WWW、MAIL、FTP、DNS等),既保護內網(wǎng)資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,并能夠對發(fā)生在網(wǎng)絡中的安全事件進行跟蹤和審計。在安全代理設置上可以按照以下原則配置來提高網(wǎng)絡安全性:
1、據(jù)校園網(wǎng)安全策略和安全目標,規(guī)劃設置正確的安全過濾規(guī)則,規(guī)則審核IP數(shù)據(jù)包的內容包括:協(xié)議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網(wǎng)對校園內部網(wǎng)不必要的、非法的訪問。總體上遵從“關閉一切,只開有用”的原則。
2、安全代理配置成過濾掉以內部網(wǎng)絡地址進入Internet的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內部網(wǎng)絡的IP包,防止內部網(wǎng)絡發(fā)起的對外攻擊。
3、安全代理上建立內網(wǎng)計算機的IP地址和MAC地址的對應表,防止IP地址被盜用。
4、定期查看安全代理訪問日志,及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄,并保留日志90天。
5、允許通過配置網(wǎng)卡對安全代理設置,提高安全代理管理安全性。
二、入侵檢測系統(tǒng)部署
入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,強大完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內部的各種行為進行實時檢測,及時發(fā)現(xiàn)各種可能的攻擊企圖,并采取相應的措施。具體來講,就是將入侵檢測引擎接入中心交換機上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡管理和網(wǎng)絡監(jiān)視功能于一身,能實時捕獲內外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù),利用內置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測網(wǎng)絡上發(fā)生的入侵行為和異常現(xiàn)象,并在數(shù)據(jù)庫中記錄有關事件,作為網(wǎng)絡管理員事后分析的依據(jù);如果情況嚴重,系統(tǒng)可以發(fā)出實時報警,使得學校管理員能夠及時采取應對措施。
三、漏洞掃描系統(tǒng)
采用目前最先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查,并根據(jù)檢查結果向系統(tǒng)管理員提供詳細可靠的安全性分析報告,為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。
四、諾頓網(wǎng)絡版殺毒產(chǎn)品部署
在該網(wǎng)絡防病毒方案中,我們最終要達到一個目的就是:要在整個局域網(wǎng)內杜絕病毒的感染、傳播和發(fā)作,為了實現(xiàn)這一點,我們應該在整個網(wǎng)絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系,應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。
1、在學校網(wǎng)絡中心配置一臺高效的Windows2000服務器安裝一個諾頓軟件網(wǎng)絡版的系統(tǒng)中心,負責管理200多個主機網(wǎng)點的計算機。
2、在各行政、教學單位等200多臺主機上分別安裝諾頓殺毒軟件網(wǎng)絡版的客戶端。
3、安裝完諾頓殺毒軟件網(wǎng)絡版后,在管理員控制臺對網(wǎng)絡中所有客戶端進行定時查殺毒的設置,保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本機的查殺毒。
4、網(wǎng)管中心負責整個校園網(wǎng)的升級工作。為了安全和管理的方便起見,由網(wǎng)絡中心的系統(tǒng)中心定期地、自動地到諾頓網(wǎng)站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動將最新的升級文件分發(fā)到其它200多個主機網(wǎng)點的客戶端與服務器端,并自動對諾頓殺毒軟件網(wǎng)絡版進行更新,使全校的防毒病毒庫始終處于最新的狀態(tài)。
五、劃分內部虛擬專網(wǎng)(VLAN),針對內部有效VLAN設置合法地址池,針對不同VLAN開放相應端口,阻止廣播風暴發(fā)生。
六、實時升級Windows2000 Server、IE等各軟件補丁,減少漏洞;實行個人辦公電腦實名制。
七、安全管理
常言說:“三分技術,七分管理”,安全管理是保證網(wǎng)絡安全的基礎,安全技術是配合安全管理的輔助措施。我們建立了一套校園網(wǎng)絡安全管理模式,制定詳細的安全管理制度,如機房管理制度、病毒防范制度、上網(wǎng)規(guī)定等,同時要注意物理安全,防止設備器材的暴力損壞,防火、防雷、防潮、防塵、防盜等,并采取切實有效的措施保證制度的執(zhí)行。
近幾年,通過對以上措施的逐步實施,我校校園網(wǎng)絡能鴝安全正常運行,為學校教育教學工作的順利開展提供了有力輔助,并漸入佳境。
方案二 利用數(shù)據(jù)庫技術
1、DTS服務
2、SQL操作
Select * from 工資表 where 姓名 like '2%'
3、基于B/S模式
1)
C1.jsp: 界面文件只要改一個
%@ page contentType="text/html;charset=GB2312" %
...
BR FORM action="c2.jsp" method=post name=form
INPUT type="text" name="name" value="王"
BR Input type=submit name="g" value="提交"
/Form
/BODY
/HTML
C2.jsp: 功能文件改N個
%@ page contentType="text/html;charset=GB2312" %
%@ page import="java.sql.*" %
...
try{ con=DriverManager.getConnection( "jdbc:odbc:stu","sa","");
sql=con.createStatement();
String condition="SELECT * FROM 工資表 where 姓名 like ‘2%’" ;
2)
Example5_8.jsp:
%@ page contentType="text/html;charset=GB2312" %
%@ page import="java.sql.*" %
HTML
BODY bgcolor=pink
Font size=1
FORM action="newResult.jsp" method=post
輸入要修改成績的同學的姓名:BR
...
catch(ClassNotFoundException e){}
try{ con=DriverManager.getConnection("jdbc:odbc:stu","sa","");
sql=con.createStatement();
rs=sql.executeQuery("SELECT * FROM students");
out.print("Table Border");
newResult.jsp:
%@ page contentType="text/html;charset=GB2312" %
%@ page import="java.sql.*" %
HTML
...
try{Class.forName("sun.jdbc.odbc.JdbcOdbcDriver");
}
catch(ClassNotFoundException e){}
try {con=DriverManager.getConnection("jdbc:odbc:stu","sa","");
sql=con.createStatement();
String condition1=
"UPDATE 工資表 SET 工資 =工資*1.1",
3)
Example5_9.jsp:
%@ page contentType="text/html;charset=GB2312" %
%@ page import="java.sql.*" %
HTML
BODY bgcolor=pink
Font size=1
P添加新的記錄到數(shù)據(jù)庫:
FORM action="newDatabase.jsp" method=post
...
catch(ClassNotFoundException e){}
try { con=DriverManager.getConnection("jdbc:odbc:stu","sa","");
sql=con.createStatement();
rs=sql.executeQuery("SELECT * FROM students");
out.print("Table Border");
newDatabase.jsp:
%@ page contentType="text/html;charset=GB2312" %
%@ page import="java.sql.*" %
HTML
...
String condition=
"INSERT INTO 工資表 VALUES"+"("+"'"+number+"','"+name+"',"+m+","+e+","+p+")";
信息安全主要包括以下五個方面,即寄生系統(tǒng)的機密性,真實性,完整性,未經(jīng)授權的復制和安全性。
信息系統(tǒng)安全包括:
(1)物理安全。物理安全主要包括環(huán)境安全,設備安全和媒體安全。處理秘密信息的系統(tǒng)中心房間應采取有效的技術預防措施。重要系統(tǒng)還應配備保安人員以進行區(qū)域保護。
(2)操作安全。操作安全性主要包括備份和恢復,病毒檢測和消除以及電磁兼容性。應備份機密系統(tǒng)的主要設備,軟件,數(shù)據(jù),電源等,并能夠在短時間內恢復系統(tǒng)。應當使用國家有關主管部門批準的防病毒和防病毒軟件及時檢測和消毒,包括服務器和客戶端的病毒和防病毒軟件。
(3)信息安全。確保信息的機密性,完整性,可用性和不可否認性是信息安全的核心任務。
(4)安全和保密管理。分類計算機信息系統(tǒng)的安全和保密管理包括三個方面:管理組織,管理系統(tǒng)和各級管理技術。建立完善的安全管理機構,建立安全保障管理人員,建立嚴格的安全保密管理體系,運用先進的安全保密管理技術,管理整個機密計算機信息系統(tǒng)。
信息安全本身涵蓋范圍廣泛,包括如何防止商業(yè)企業(yè)機密泄露,防止年輕人瀏覽不良信息以及泄露個人信息。
網(wǎng)絡環(huán)境中的信息安全系統(tǒng)是確保信息安全的關鍵,包括計算機安全操作系統(tǒng),各種安全協(xié)議,安全機制(數(shù)字簽名,消息認證,數(shù)據(jù)加密等),直到安全系統(tǒng),如UniNAC, DLP等安全漏洞可能威脅到全球安全。
信息安全意味著信息系統(tǒng)(包括硬件,軟件,數(shù)據(jù),人員,物理環(huán)境及其基礎設施)受到保護,不會出于意外或惡意原因,被破壞,更改,泄露,并且系統(tǒng)可以連續(xù)可靠地運行。信息服務不會中斷,最終實現(xiàn)業(yè)務連續(xù)性。
信息安全規(guī)則可以分為兩個層次:狹隘的安全性和一般的安全性。狹窄的安全性基于基于加密的計算機安全領域。早期的中國信息安全專業(yè)通常以此為基準,輔以計算機技術和通信網(wǎng)絡技術。與編程有關的內容;廣義信息安全是一門綜合性學科,從傳統(tǒng)的計算機安全到信息安全,不僅名稱變更是安全發(fā)展的延伸,安全不是純粹的技術問題,而是將管理,技術和法律問題相結合。
該專業(yè)培養(yǎng)高級信息安全專業(yè)人員,可從事計算機,通信,電子商務,電子政務和電子金融。
信息安全主要涉及三個方面:信息傳輸?shù)陌踩裕畔⒋鎯Φ陌踩砸约熬W(wǎng)絡傳輸?shù)男畔热莸膶徲嫛I矸蒡炞C身份驗證是驗證網(wǎng)絡中主題的過程。通常有三種方法來驗證主體的身份。一個是主體知道的秘密,例如密碼和密鑰;第二個是主體攜帶的物品,如智能卡和代幣卡;第三是只有主題的獨特功能或能力,如指紋,聲音,視網(wǎng)膜或簽名。等待。
針對計算機網(wǎng)絡信息安全可采取的防護措施
1、采用防火墻技術是解決網(wǎng)絡安全問題的主要手段。計算機網(wǎng)絡中采用的防火墻手段,是通過邏輯手段,將內部網(wǎng)絡與外部網(wǎng)絡隔離開來。他在保護網(wǎng)絡內部信息安全的同時又組織了外部訪客的非法入侵,是一種加強內部網(wǎng)絡與外部網(wǎng)絡之間聯(lián)系的技術。防火墻通過對經(jīng)過其網(wǎng)絡通信的各種數(shù)據(jù)加以過濾掃描以及篩選,從物理上保障了計算機網(wǎng)絡的信息安全問題。
2、對訪問數(shù)據(jù)的入侵檢測是繼數(shù)據(jù)加密、防火墻等傳統(tǒng)的安全措施之后所采取的新一代網(wǎng)絡信息安全保障手段。入侵檢測通過從收集計算機網(wǎng)絡中關鍵節(jié)點處的信息,加以分析解碼,過濾篩選出是否有威脅到計算機網(wǎng)絡信息安全性的因素,一旦檢測出威脅,將會在發(fā)現(xiàn)的同時做出相應。根據(jù)檢測方式的不同,可將其分為誤入檢測系統(tǒng)、異常檢測系統(tǒng)、混合型入侵檢測系統(tǒng)。
3、對網(wǎng)絡信息的加密技術是一種非常重要的技術手段和有效措施,通過對所傳遞信息的加密行為,有效保障在網(wǎng)絡中傳輸?shù)男畔⒉槐粣阂獗I取或篡改。這樣,即使攻擊者截獲了信息,也無法知道信息的內容。這種方法能夠使一些保密性數(shù)據(jù)僅被擁有訪問權限的人獲取。
4、控制訪問權限也是對計算機網(wǎng)絡信息安全問題的重要防護手段之一,該手段以身份認證為基礎,在非法訪客企圖進入系統(tǒng)盜取數(shù)據(jù)時,以訪問權限將其阻止在外。訪問控制技能保障用戶正常獲取網(wǎng)絡上的信息資源,又能阻止非法入侵保證安全。訪問控制的內容包括:用戶身份的識別和認證、對訪問的控制和審計跟蹤。
對于解決企業(yè)網(wǎng)絡信息安全的解決方案有哪些越詳細越好
首先,幾乎所有使用計算機的企業(yè)都使用網(wǎng)絡管理。如果辦公電腦沒有連接到Internet,只在區(qū)域網(wǎng)絡中使用,在這種情況下,安全性會更高。如果連接到網(wǎng)絡,主要問題是IP和流量,每臺計算機都有自己的IP,監(jiān)控IP和關注計算機流量都是網(wǎng)絡管理涉及的內容。
其次,在各種企業(yè)信息安全方案中,服務器管理也涉及到許多服務器管理。服務器管理是針對Windows系統(tǒng)的計算機進行的。服務器安全審計屬于日常工作。審計內容包括安全漏洞檢查、日志分析和補丁安全情況。
第三,客戶機在企業(yè)信息安全管理中往往比較復雜,因為不同的軟件和程序客戶機是不同的,所以通常很多企業(yè)都會聘請專業(yè)人員或團隊來管理客戶機,以確保計算機信息不會失控或泄露。
第四,在所有企業(yè)信息安全方案中,數(shù)據(jù)備份和數(shù)據(jù)加密幾乎都是必需的。企業(yè)養(yǎng)成定期加密和備份數(shù)據(jù)的習慣,有效地保護自己的企業(yè)數(shù)據(jù)是非常有益的。
第五,病毒防控一直是企業(yè)信息管理的重中之重,對于病毒防控工作也應移交給專業(yè)人員,或聘請專業(yè)團隊負責。
