1、PDR 模型中最重要的部分。防护通常采用一些传统的静态安全技术手段来实现,常见的主动防护措施有:身份认证、数据加密、虚拟专用网、授权访问等;被动防护措施有:防火墙、入侵检测、安全扫描、数据备份等。根据防护对象不同,可分为三类:系统安全防护、网络安全防护、信息安全防护。系统安全防护指终端和服务器所使用操作系统的安全性,网络安全防护指保证网络传输过程的稳定可靠,信息安全防护则针对数据本身的保密性、完整性和可靠性。在防护过程中,实际上也包含着 PDR 循环,当某项安全技术在网络中应用配置之后,为了证明该措施的有效性,必须使用检测手段进行符合性验证、系统脆弱性分析以及漏洞扫描等,根据结果再进行相应的配
2、置改进。Detection(检测):在 PPDR 模型里,检测和防护是互补的关系,防护措施虽然可以杜绝大部分入侵行为,但面对利用一些新的系统缺陷、新的攻击手段,静态防护技术往往是滞后的,这中间有一个时间差。检测就是弥补这个时间差的必要手段。检测根据入侵事件的特征进行,通过不断地监控网络和系统发现新的威胁和弱点,并经过循环反馈及时做出有效的响应,是动态响应和加强防护的依据,也是落实安全策略的有力工具。检测的对象主要针对两个方面:系统自身的脆弱性以及来外部的威胁。ResPonse(响应):当检测出入侵行为,就需要系统对事件作出及时的反应。响应系统的工作分为两部分:紧急响应和恢复处理。紧急响应就是当
3、安全事件发生时根据事先制定好的方案采取的应对措施,包括报告、记录和反应等行为;恢复处理是在事件发生后,把系统恢复到正常状态。恢复又包含两方面内容:系统恢复和信息恢复。系统恢复要修补出现的系统和网络缺陷并消除后门;信息恢复则指恢复丢失的数据。3 计算机网络安全问题分析网络给人们的生活、工作和学习带来了极大的便利,但是网络安全也逐渐成为人们关注的焦点,不断面临着新的考验。网络安全可以通过很多形式表现出来,如计算机系统被损坏、文件数据被盗、机密泄露等,都在不同程度上让人们蒙受一定损失。对网络的恶性进攻和破坏行为会严重地危害国家经济建设、社会稳定、国家安全、经济建设,对人们的生活造成了十分恶劣的影响。
4、既八十年代末莫里斯蠕虫的网络入侵事件出现后,各种与网络入侵和网络安全相关的新闻铺天盖地的席卷全球,网络安全问题是在中国也时有发生,并同样产生了一系列的社会影响。3.1 网络硬件方面存在的安全问题研发过程中存在着设计缺陷。网络系统的设计原则主要是基于一旦中枢系统出现故障不能正常运转时,其余部分仍能够不受影响而继续工作,从而保证各种信息的准确传输。在这样的总体原则下,网络系统往往更加倾向于实用性而忽略了安全性。互联网最初只是计算机科研人员研发的环境,并不是以盈利为目的的信息传输方式,一般来讲,此时的互联网都没有将网络安全等因素纳入到考虑的范畴中来。网络协议建立的前提是假定了一个绝对受信任的环境,这
5、种连接的模式安全性存在着严重的缺陷,不能够持久发展。这必然会受到来自外界的各种网络攻击,如扫描攻击、监听攻击、欺骗攻击以及拒绝服务等。网络通信系统与应用系统协议均存在着不同程度的设计缺陷,任意用来对网络系统进行攻击。网络系统中硬件往往存在不同程度的安全设计漏洞,例如网络应用的可信赖性差、网络技术的很多关键部分存在安全隐患,系统参数的设置还需要进一步验证,如防火墙等商品的应用是否能够达到预期效果,自身运行是否完备,设置参数是否存在漏洞等等。在 Windows 桌面、Unix 操作系统、NT 操作系统和网络软件的在应用的本身都存在不同程度的缺陷和不足,目前应用较为广泛的操作系统本身都不能完全保证网
6、络的安全运行。如果防火墙的设置不能达到标准,那么该设置不但不能起到作用,同时还会对网络产生其他的危害,当防火墙与网络相连接时,很有可能成为被进攻的突破口。拓扑系统通常是总线型与星型相结合的结构,往往面临的安全问题也很多。纷繁复杂的网络产品相继出现在各个卖场,安全隐患也在购买与售出的过程中不断滋生,网络的交互性使得系统在整个链条中总是存在着某个薄弱环节,而摧毁这个环节就完全等同于使整个系统土崩瓦解。各种设备和操作系统的种类繁多,拓扑系统非常复杂,也增加了网络系统本身的复杂性,维护网络安全的管理工作更加艰难和复杂。入侵者往往能够在相对复杂的环境中掩饰自己的真实愿望,一旦遇到机会,就会奋力一击,最终
7、导致系统的崩溃。随着网络的规模不断加大,维护网络的安全也显得十分必要,一旦网络配置欠妥,安全漏洞便顺势产生。除以上主要因素外,自然环境也会使网络中各种隐患存在,例如火灾、地震、水灾等自然现象以及频发停电和人为断电等事件,这些因素也会给网络安全带来很大的问题。3.2 网络软件方面存在的问题3.2.1 网络入侵这种入侵方式要求计算机操作人员拥有良好的程序编写与调试能力,能够灵活掌握相关网络程序的应用方法,并通过应用相关技巧取得非法进入的资格,并对未经授法的数据和文件进行访问,非法进入到各机构的内部网络的行为。网络入侵能够获得使用计算机网络系统的访问权限、写权限以及储存权限等;同时还能够为进入其他系
8、统或更深层次系统作铺垫;对计算机网络系统进行破坏性进攻,使其丧失所有服务和执行的能力。3.2.2 后门和木马程序互联网兴起后,计算机网络的黑客们开发出一种“后门”技术,这门技术能够使他们一次又一次地闯入到其他网络系统中。木马技术就是一种特殊的后门技术,该程序主要采用远程控制等手段对互联网实施隐蔽性的进攻,因此也成为黑客们经常使用的一种网络入侵工具。3.2.3 计算机病毒和蠕虫在编写计算机程序的过程中植入一种能够损坏计算机功能同时破坏相应程序的网络处理方式成为计算机病毒。计算机病毒不仅使计算机无法正常使用,同时能够自动地复制出有关计算机网络执行代码和程序。蠕虫病毒是一种新型的计算机病毒,其主要是
9、在计算机运行过程中,寻找操作系统或程序的漏洞进行自发性攻击,并能够利用网络迅速而广泛地传播的恶性病毒。计算机病毒往往具有一些相似性,如它们的传播速度快,破坏范围广,隐蔽性强等等。与此同时,不同的计算机病毒还具有一些自身独有的特点,如不需要寄生于文件之中,在网络中能够造成停止服务的假象,能够联合其他黑客技术共同进攻计算机系统等等。蠕虫病毒的损坏性极大,往往是普通病毒的数十倍、上百倍。随着网络的不断兴起,蠕虫也会在极短的时间内滋生与整个互联网,使网络系统全面瘫痪。3.2.4 拒绝服务攻击对DOS系统的攻击简单容易,但同时进攻效果却非常显著,应对这种进攻几乎没有任何有效的方法。拒绝服务攻击通过拒绝服
10、务的访问诉求来破坏系统的正常运行,从而破坏互联网与局域网系统的链接部分,从而使系统丧失服务功能。类似这种服务攻击的方式还有很多,包括面向www的服务、tftp的服务以及ftp 的服务等等。拒绝服务类攻击的突出优势包括简易的操作性、攻击的隐蔽性、攻击能力强等,因此得以飞速的发展和广泛的应用,此后还出现了一种以分布式为基础的拒绝服务攻击(DDOS),更是极大地增强了攻击本身的水平和能力。3.2.5 对加密方法的攻击这种攻击方法主要针对带有密码的各类文件,破译者可选择对已知的密文进行攻击、对己知的明文进行攻击、有选择性地对密文进行攻击以及有选择性地对明文进行攻击等等诸多攻击方式。对一定的编程方式还可
11、采用相应的攻击措施,例如采用 DES 对更迭的分组密码进行破解时,还能够采用差分攻击法、能量变更破解法等。3.2.6 端口扫描该方法主要采用一种能够主动获得核心网络信息的方法。采用端口扫描的方法对网络信息进行扫描,不仅能够在主系统中推测出端口的数量,还能够计算出每个端口对应的序号,并以此推断出主系统的运行方式和操作方法,通过与其它扫描结果相配合,最终得到整个互联网的组成。3.3 网络管理者存在的安全问题网络的管理过程中往往忽视了网络安全的重要性,尤其对于管理人员的配备方面显得十分欠缺。比如在各个高校的校园网中,一般每个高校负责专门进行网络维护人员的数量非常有限,且这些网络维护的工作人员也指负责
12、维护网络的日常运行,没有时间和精力去进行全部计算机的管理工作,在院系中的计算机负责人员,对网络安全实施相关措施也是十分必要的。现在大多数的网络都比较重视网络的整体规模建设,往往忽略安全建设。很多网络管理者主要将精力投入在网络的容量与规模的建设上,网络安全意识不够,没有建立网络安全防御系统。网络安全管理相关技术人员缺乏。现在我国大多数网络管理人员的网络安全知识和安全管理经验不足,对于日趋复杂多变的网络安全形势难以应付。少部分网络管理人员对网络安全的重视程度不够,不愿花时间去研究网络防范技术,安全管理方法欠缺。缺乏良好的保密意识或不了解保密原则,网络机密随意泄露;毫无顾忌地打印和复制机密要件;打印
13、系统保密文件过于随意,向非工作人员透露机密信息。业务能力差,由于操作不得当使文件输出错误或发送至无关人员,由于没有按照操作原则工作而导致泄密。由于规则不完备造成人为泄密的发生。由于网络中忽视了对机密文件的管理规定,而导致机密文件不能妥善保存,各级文件随意堆放,错误操作等导致财产损失。个人素质低下,没有责任心,没有端正的工作态度,故意损坏网络系统和相关设备。3.4 网络用户存在的安全问题如今我国大多数网络用户的网络安全防卫意识比较薄弱,除了一部分计算机专业人员掌握一些网络安全知识外,大部分人缺乏足够的网络安全防范能力,他们普遍认为网络的维护是相关管理人员的事,与自己无关,这就造成了网络安全风险的
14、存在。无论是企业还是高校的网络一般会将 IP 技术作为主要应用方式对系统的框架进行重组,这个系统自身存在着被攻击的危险。网络的管理技术人员采用的安全策略还存在着防御手段单一、主动性差、缺乏预警机制以及灵活性不强的缺点,无法从根本上对网络设施实行集中管理,更无法与高速发展的网络技术和复杂的网络环境相适应。此外,我国的网络道德教育普遍滞后,一些用户恶意使用网络数据资源、浏览不健康网站、收发不良信息等问题日益突出,据统计网络犯罪呈现上升态势。分析其原因在于大多数网络管理制度不完善,普遍缺乏监管机制,存在严重的管理漏洞。而且各网络管理者缺乏对国家相关政策、法规和制度的宣传力度,造成很多人不了解,同时企
15、业或者学校也没有制定出适合自己的网络安全管理规章制度,网络安全监管的机制很不完善,这造成了严重的网络安全问题。4 计算机网络安全防护措施研究本文中,以福建师范大学闽南科技学校园网络安全防护为例,来研究校园网络安全的防范措施。如今,闽南科技学的领导与校园网络管理者认识到日益严峻的高校网络安全形势,已经引起了足够的重视并给予大力的支持。为了解决网络安全问题,在现今网络技术条件下,本文提出几条较为实用的防洪措施。4.1 加强对于硬件系统的管理高校的校园网络的运行水平直接关系到学校教学管理质量,是学校发展的重中之重,而作为校园网核心的网络管理中心,能否安全可靠的运行,直接关系到校园网的总体运行水平,所
16、以说网络中心的安全 稳定运行至关重要。首先是防火设备。由于计算机产品价格相对较高,如果发生火灾,将会造成很大的经济损失,同时数据的丢失损坏也会造成很大的危害。为防止火灾的发生,要做到以下几点:(1)定期检查安全防火设施,及时维修并更换损坏、过期的设施。(2)网络机房的空调要和防火报警系统连接,风管等要采取不易燃烧的材料,同时设置防火阀,并将温度控制在 25 摄氏度以下,通风机与电加热器要绑定在一起。(3)安装火灾报警与灭火系统,避开电磁设备干扰,设立防火控制室。设立防火专用电源设备,配备手动开关,保证在突发火灾时供电不间断。(4)网络机房全部要采用防静电地板。(5)电缆管道要分层设置电源、信号
17、等不同线路,并同时采取防鼠、防潮措施。各种线路的连接处要结实牢固。电气设施的线路要符合防火条件,同时定期检修,排查隐患。所有设施应加强通风,防潮防爆。(6)网络中心禁止摆放易燃易爆与各种腐蚀性物品。其次是防雷措施。(1)防雷接地的要求。网络机房所在的楼梯要符合等压同电位的原则,所有设备的地线与保护接地即屏蔽、防雷接地采用相同的接地体接地。(2)防雷保护措施。网络外设与配电系统均要采取防雷措施。通信设备的信号要通过防雷器,再经由电缆,交换机到达接收设备,最后在由信号防雷器在终端进行保护。最后是监控设施。(1)前端监控:高校网络中心的重要设施应设置摄像机进行监控。(2)显示、记录:计算机中心管理办
18、公室安装监控显示器,显示并保存摄像机拍摄的图像,以作为资料留存。(3)控制设备:在计算机中心管理办公室通过相关设备与程序完成对前段摄像机的控制工作。4.2 加强系统安全漏洞防范防火墙技术:在网络安全防护中,防火墙是十分常用的防护手段,在高校的校园网中防火墙技术的应用也十分广泛。在校园网中根据需求,管理员可以通过防火墙,限制网络数据的出入,并进行数据的实时监控,保护校园网络的安全,免受黑客的恶意攻击。在高校校园网中可以实行屏蔽主机网关或子网防火墙的方法,提高防火墙的抗攻击能力至关重要,上述方案中屏蔽子网的设计方案最具有优势,其设计方法为:隔离子网设计在 Internet、Intranet 之间,
19、两个可以过滤的路由器将子网和它们分开。这两个路由器设置在子网的末端,从而使子网形成缓冲,其中一个路由器掌控Internet 数据流,另一个则负责 Intranet 数据流,这两股数据流都可以与子网进行访问,当不可以进行数据传输。还可以按需求设立堡垒主机于子网中,它可以为内网访问外网提供代理支持,在这个过程中要经过过滤路由器的分析检查。这样内部与外部用户可以通过 Internet 服务器也可以访问 Internet 对外公开的服务器。网络入侵检测技术:网络入侵检测技术可以用来检测网络内部与外部的攻击行为,它主要是采用主动监测的手段,可以检测用户的越权行为,还可以检测出非法入侵者对网络的侵入,通过
20、网络入侵技术可以有效地弥补防火墙技术的漏洞。为防止网络内部与外部攻击,在要提供保护的网络中安装网络入侵检测系统,具体地说,网络入侵技术通过对内网与外网两个监测点的设立,实时进行入侵检测,当遇到内部攻击时,系统会及时检测出攻击者并提醒管理员做出反应;当检测到外部入侵时,防火墙将与入侵检测系统联合防止侵入者的破坏行为,从而大大的减低网络安全隐患。数据加密技术:数据加密技术是一种常用的网络安全技术,通过对数据的重新构建,确保接收方接受信息安全。这种技术提高了网络的安全保密性,是保护信息安全的重要技术方式。数据加密是一种主动地保护信息的手段,经过数据加密后的信息能够保证传输与接收时的安全,保证其不被他
21、人截取。由于数据加密技术安全实用,所以在高校校园网络应采取其保证信息的安全传输。防病毒技术:防病毒技术主要包括病毒检测、扫描、分析、防护、查杀、修复等技术,是保护网络系统必不可少的一项重要的安全技术手段。计算机病毒的破坏是网络安全的最大隐患。现今各种病毒层出不穷,严重的威胁着网络的安全。病毒在电子邮件,FTP,即时聊天工具中肆意横行,传播迅速,大多数的高校网络深受其害。因为病毒具有的多样化、复杂化的特点,所以校园网的防毒工作必须形成立体化、层次化的防毒体系,具体地说,必须在互联网网关安装防毒软件,在服务器上安装防毒软件,并且要对相关的管理人员进行防病毒知识的培训,提升其防毒水平。4.3 加强对
22、应用软件的安全管理提高校园应用软件安全性,一方面要提高软件安全意识,要在应用软件的各个环节中提出其安全的重要性,如软件需求的提出者、软件设计的参与者、软件系统的使用者以及软件安全的维护者等。针对上述原因,要从根本上解决软件安全意识与信息化建设速度相脱离、安全措施监管不及时等情况的发生,全面开展安全意识培训,加强对安全制度的管理,提高全员的责任意识。另一方面,要提高软件在运行中的监视和维护水平。要特别注重以下三个方面:(1)要严格保证软件开发与软件维护之间的相互隔离,软件开发者没有权限访问软件系统的相关参数,如数据库、日志以及配置参数等;(2)要根据信息所设定的安全等级以及管理规则,对系统软件实施定期的系统安全风险维护和分级管理,并按相应的安全级别选择最为适合的保护手段和措施;(3)要严格选择和控制软件的版本,加强相关配置的变更和管理工作,避免由于系统版本升级、配置的变更而引起的软件运行错误;4.4 提高网络管理者的网络安全意识
