前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全問(wèn)題主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:網(wǎng)絡(luò)安全;破譯口令;IP欺騙;DNS欺騙;黑客攻擊
中圖分類號(hào):TP393.08
文獻(xiàn)標(biāo)識(shí)碼:A
文章編號(hào):1672-3198(2009)13-0245-02
1 網(wǎng)絡(luò)攻擊和入侵的主要途徑
網(wǎng)絡(luò)入侵是指網(wǎng)絡(luò)攻擊者通過(guò)非法的手段(如破譯口令、電子欺騙等)獲得非法的權(quán)限,并通過(guò)使用這些非法的權(quán)限使網(wǎng)絡(luò)攻擊者能對(duì)被攻擊的主機(jī)進(jìn)行非授權(quán)的操作。網(wǎng)絡(luò)入侵的主要途徑有:破譯口令、IP欺騙和DNS欺騙。
口令是計(jì)算機(jī)系統(tǒng)抵御入侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號(hào)和口令登錄到目的主機(jī),然后再實(shí)施攻擊活動(dòng)。這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的帳號(hào),然后再進(jìn)行合法用戶口令的破譯。獲得普通用戶帳號(hào)的方法很多,如:利用目標(biāo)主機(jī)的Finger功能:當(dāng)用Finger命令查詢時(shí),主機(jī)系統(tǒng)會(huì)將保存的用戶資料(如用戶名、登錄時(shí)間等)顯示在終端或計(jì)算機(jī)上;利用目標(biāo)主機(jī)的X.500服務(wù):有些主機(jī)沒(méi)有關(guān)閉X.500的目錄查詢服務(wù),也給攻擊者提供了獲得信息的一條簡(jiǎn)易途徑;從電子郵件地址中收集:有些用戶電子郵件地址常會(huì)透露其在目標(biāo)主機(jī)上的帳號(hào);查看主機(jī)是否有習(xí)慣性的帳號(hào);有經(jīng)驗(yàn)的用戶都知道,很多系統(tǒng)會(huì)使用一些習(xí)慣性的帳號(hào),造成帳號(hào)的泄露。
IP欺騙是指攻擊者偽造別人的IP地址,讓一臺(tái)計(jì)算機(jī)假冒另一臺(tái)計(jì)算機(jī)以達(dá)到蒙混過(guò)關(guān)的目的。它只能對(duì)某些特定的運(yùn)行TCP/IP的計(jì)算機(jī)進(jìn)行入侵。IP欺騙利用了TCP/IP網(wǎng)絡(luò)協(xié)議的脆弱性。在TCP的三次握手過(guò)程中。入侵者假冒被入侵主機(jī)的信任主機(jī)與被入侵主機(jī)進(jìn)行連接,并對(duì)被入侵主機(jī)所信任的主機(jī)發(fā)起淹沒(méi)攻擊,使被信任的主機(jī)處于癱瘓狀態(tài)。當(dāng)主機(jī)正在進(jìn)行遠(yuǎn)程服務(wù)時(shí),網(wǎng)絡(luò)入侵者最容易獲得目標(biāo)網(wǎng)絡(luò)的信任關(guān)系,從而進(jìn)行IP欺騙。IP欺騙是建立在對(duì)目標(biāo)網(wǎng)絡(luò)的信任關(guān)系基礎(chǔ)之上的。同一網(wǎng)絡(luò)的計(jì)算機(jī)彼此都知道對(duì)方的地址,它們之間互相信任。由于這種信任關(guān)系,這些計(jì)算機(jī)彼此可以不進(jìn)行地址的認(rèn)證而執(zhí)行遠(yuǎn)程操作。
域名系統(tǒng)(DNS)是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫(kù),它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。通常,網(wǎng)絡(luò)用戶通過(guò)UDP協(xié)議和DNS服務(wù)器進(jìn)行通信,而服務(wù)器在特定的53端口監(jiān)聽(tīng)。并返回用戶所需的相關(guān)信息。DNS協(xié)議不對(duì)轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證,這使得該協(xié)議被人以一些不同的方式加以利用。當(dāng)攻擊者危害DNS服務(wù)器并明確地更改主機(jī)名―IP地址映射表時(shí),DNS欺騙就會(huì)發(fā)生。這些改變被寫入DNS服務(wù)器上的轉(zhuǎn)換表。因而,當(dāng)一個(gè)客戶機(jī)請(qǐng)求查詢時(shí),用戶只能得到這個(gè)偽造的地址,該地址是一個(gè)完全處于攻擊者控制下的機(jī)器的IP地址。因?yàn)榫W(wǎng)絡(luò)上的主機(jī)都信任DNS服務(wù)器,所以一個(gè)被破壞的DNS服務(wù)器可以將客戶引導(dǎo)到非法的服務(wù)器。也可以欺騙服務(wù)器相信一個(gè)IP地址確實(shí)屬于一個(gè)被信任客戶。
2 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生的原因
(1)網(wǎng)絡(luò)安全天生脆弱。
計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的脆弱性是伴隨計(jì)算機(jī)網(wǎng)絡(luò)一同產(chǎn)生的,換句話說(shuō),安全系統(tǒng)脆弱是計(jì)算機(jī)網(wǎng)絡(luò)與生俱來(lái)的致命弱點(diǎn)。在網(wǎng)絡(luò)建設(shè)中,網(wǎng)絡(luò)特性決定了不可能無(wú)條件、無(wú)限制的提高其安全性能。要使網(wǎng)絡(luò)更方便快捷,又要保證網(wǎng)絡(luò)安全,這是一個(gè)非常棘手的“兩難選擇”,而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點(diǎn)。可以說(shuō)世界上任何一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都不是絕對(duì)安全的。
(2)黑客攻擊后果嚴(yán)重。
近幾年,黑客猖狂肆虐,四面出擊,使交通通訊網(wǎng)絡(luò)中斷,軍事指揮系統(tǒng)失靈,電力供水系統(tǒng)癱瘓,銀行金融系統(tǒng)混亂……危及國(guó)家的政治、軍事、經(jīng)濟(jì)的安全與穩(wěn)定,在世界各國(guó)造成了難以估量的損失。
(3)網(wǎng)絡(luò)殺手集團(tuán)化。
目前,網(wǎng)絡(luò)殺手除了一般的黑客外,還有一批具有高精尖技術(shù)的“專業(yè)殺手”,更令人擔(dān)憂的是出現(xiàn)了具有集團(tuán)性質(zhì)的“網(wǎng)絡(luò)”甚至政府出面組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”,其規(guī)模化、專業(yè)性和破壞程度都使其他黑客望塵莫及。可以說(shuō),由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當(dāng)前網(wǎng)絡(luò)安全的最大隱患。目前,美國(guó)正開(kāi)展用無(wú)線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計(jì)算機(jī)主機(jī)或各類傳感器、網(wǎng)橋中的研究以伺機(jī)破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。另外,為達(dá)到預(yù)定目的,對(duì)出售給潛在敵手的計(jì)算機(jī)芯片進(jìn)行暗中修改,在CPU中設(shè)置“芯片陷阱”,可使美國(guó)通過(guò)因特網(wǎng)指令讓敵方電腦停止工作,以起到“定時(shí)炸彈”的作用。
(4)破壞手段多元化。
目前,“網(wǎng)絡(luò)”除了制造、傳播病毒軟件、設(shè)置“郵箱炸彈”,更多的是采取借助工具軟件對(duì)網(wǎng)絡(luò)發(fā)動(dòng)襲擊,令其癱瘓或者盜用一些大型研究機(jī)構(gòu)的服務(wù)器,使用“拒絕服務(wù)”程序,如TFN和與之相近的程序等,指揮它們向目標(biāo)網(wǎng)站傳輸遠(yuǎn)遠(yuǎn)超出其帶寬容量的垃圾數(shù)據(jù),從而使其運(yùn)行中斷。多名黑客甚至可以借助同樣的軟件在不同的地點(diǎn)“集中火力”對(duì)一個(gè)或者多個(gè)網(wǎng)絡(luò)發(fā)起攻擊。而且,黑客們還可以把這些軟件神不知鬼不覺(jué)地通過(guò)互聯(lián)網(wǎng)安裝到別人的電腦上,然后,在電腦主人根本不知道的情況下“借刀殺人”。
3 安全防范措施
(1)提高思想認(rèn)識(shí)。
近年來(lái),中國(guó)的網(wǎng)絡(luò)發(fā)展非常迅速,同時(shí),中國(guó)的網(wǎng)絡(luò)安全也越來(lái)越引起人們的關(guān)注,國(guó)家權(quán)威部門曾對(duì)國(guó)內(nèi)網(wǎng)站的安全系統(tǒng)進(jìn)行測(cè)試,發(fā)現(xiàn)不少單位的計(jì)算機(jī)系統(tǒng)都存在安全漏洞,有些單位還非常嚴(yán)重,隨時(shí)可能被黑客入侵。當(dāng)前,世界各國(guó)對(duì)信息戰(zhàn)十分重視,假如我們的網(wǎng)絡(luò)安全無(wú)法保證,這勢(shì)必影響到國(guó)家政治、經(jīng)濟(jì)的安全。因此,從思想上提高對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí),是我們當(dāng)前的首要任務(wù)。
(2)加強(qiáng)管理制度。
任何網(wǎng)站都不是絕對(duì)安全的,值得一提的是,當(dāng)前一些單位在急忙趕搭“網(wǎng)絡(luò)快車”時(shí),只管好用,不管安全,這種短視必然帶來(lái)嚴(yán)重的惡果,與“網(wǎng)絡(luò)”的較量是一場(chǎng)“看不見(jiàn)硝煙的戰(zhàn)爭(zhēng)”,是高科技的較量,是“硬碰硬”的較量。根據(jù)這一情況,當(dāng)前工作的重點(diǎn),一是要狠抓日常管理制度的落實(shí),要把安全管理制度落實(shí)到第一個(gè)環(huán)節(jié)中;二是要加強(qiáng)計(jì)算機(jī)從業(yè)人員的行業(yè)歸口管理,對(duì)這些人員要強(qiáng)化安全教育和法制教育,建立人員管理檔案并進(jìn)行定期的檢查和培訓(xùn);三是要建立一支反黑客的“快速反應(yīng)部隊(duì)”,同時(shí)加快加緊培養(yǎng)高水平的網(wǎng)絡(luò)系統(tǒng)管理員,并盡快掌握那些關(guān)鍵技術(shù)和管理知識(shí)。
(3)強(qiáng)化防范措施。
一般來(lái)說(shuō),影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多,但目前最主要的因素是接受電子郵件和下載軟件兩種。下面就這兩種方式談?wù)劵镜姆婪洞胧呵袑?shí)保護(hù)電子郵件的安全:做好郵件帳戶的選擇。現(xiàn)在互聯(lián)網(wǎng)上提供的E-MAIL帳戶
主要都是免費(fèi)帳戶,這些免費(fèi)的服務(wù)不提供任何有效的安全保障而且有的免費(fèi)郵件服務(wù)器常常會(huì)導(dǎo)致郵件受損。所以,單位用戶應(yīng)該選擇收費(fèi)郵件帳戶。做好郵件帳戶的安全防范。一定要保護(hù)好郵箱的密碼。在WEB方式中,不要使用IB的自動(dòng)完成功能,不要使用保存密碼功能以圖省事,入網(wǎng)帳號(hào)與口令應(yīng)該是需要保護(hù)的重中之重,密碼要取得有技巧、有難度,密碼最好能有8位數(shù),且數(shù)字字母相間,中間還代“*”號(hào)之類的允許怪符號(hào)。
防止郵件炸彈。下面介紹幾種對(duì)付電子郵件炸彈(E-MAIL BOMB)的方法:
①過(guò)濾電子郵件。凡可疑的E-MAIL盡量不要開(kāi)啟:如果懷疑信箱有炸彈,可以用郵件程序的遠(yuǎn)程郵箱管理功能來(lái)過(guò)濾信件,如國(guó)產(chǎn)的郵件程序Foxmail。在進(jìn)行郵箱的遠(yuǎn)程管理時(shí),仔細(xì)檢查郵件頭信息,如果發(fā)現(xiàn)有來(lái)歷可疑的信件或符合郵件炸彈特征的信件,可以直接把它從郵件服務(wù)器上刪除。
②使用殺毒軟件。一是郵件有附件的話,不管是誰(shuí)發(fā)過(guò)來(lái)的,也不管其內(nèi)容是什么(即使是文檔,也往往能成為病毒的潛伏場(chǎng)所,像著名的Melissa),都不要立即執(zhí)行,而是先存盤,然后用殺毒軟件檢查一番,以確保安全。二是注意目前網(wǎng)上有一些別有用心的人以網(wǎng)站的名義,讓你接受他們通過(guò)郵件附件推給你的軟件,并以種種借口要求你立即執(zhí)行。對(duì)此,凡是發(fā)過(guò)來(lái)的任何程序、甚至文檔都應(yīng)用殺毒軟件檢查一番。
③使用轉(zhuǎn)信功能。用戶一般都有幾個(gè)E-mail地址。最好申請(qǐng)一個(gè)容量較大的郵箱作為收信信箱,如777信箱(mail.省略)速度也很快。對(duì)于其它各種信箱,最好支持轉(zhuǎn)信功能的,并設(shè)置轉(zhuǎn)信到大信箱。所有其它郵件地址的信件都會(huì)自動(dòng)轉(zhuǎn)寄到大信箱內(nèi),可以很好地起到保護(hù)信箱的作用。
④申請(qǐng)郵件數(shù)字簽證。現(xiàn)在國(guó)內(nèi)的首都在線(省略)提供了郵件數(shù)字簽證的服務(wù)。數(shù)字簽證不但能夠保護(hù)郵件的信息安全,而且通過(guò)它可以確認(rèn)信件的發(fā)送者。最后要注意對(duì)本地的已收發(fā)郵件進(jìn)行相應(yīng)的刪除處理。切實(shí)保障下載軟件的安全。對(duì)于網(wǎng)絡(luò)軟件,需要指出的是,我們對(duì)下載軟件和接受的E-MAIL決不可大意。在下載軟件時(shí)應(yīng)該注意:下載軟件應(yīng)盡量選擇客流大的專業(yè)站點(diǎn)。大型的專業(yè)站點(diǎn),資金雄厚,技術(shù)成熟,水平較高,信譽(yù)較佳,大都有專人維護(hù),安全性能好,提供的軟件問(wèn)題較少。
⑤此外,從網(wǎng)上下載來(lái)的軟件要進(jìn)行殺毒處理。對(duì)下載的任何軟件,不要立即使用,WORD文檔也不宜直接打開(kāi),而應(yīng)先用殺毒軟件檢測(cè)一番,進(jìn)行殺毒處理。殺毒軟件應(yīng)當(dāng)始終保持最新版本,最好每月升級(jí)一次,防止染上“木馬”。一旦染上木馬后,它就會(huì)給你的Windows留下后門,秘密監(jiān)視網(wǎng)絡(luò)信息,一旦發(fā)現(xiàn)遠(yuǎn)方控制指令,就會(huì)會(huì)秘密地予以回應(yīng),可以讓遠(yuǎn)方的控制者掌握對(duì)機(jī)器的完全控制權(quán)。此后在你完全不知的情況下,遠(yuǎn)方的侵入者可以隨時(shí)在因特網(wǎng)上無(wú)限制地訪問(wèn)你的計(jì)算機(jī),因此它的危害是不育而喻的。最簡(jiǎn)便有效的預(yù)防措施是,避免啟動(dòng)服務(wù)器端(S端)消除木馬的具體操作是,首先拜訪注冊(cè)表,獲取木馬的裝入信息,找出S端程序放于何處。然后先將注冊(cè)表中的木馬配置鍵刪掉,重新啟動(dòng)計(jì)算機(jī),再將程序也刪掉。
【關(guān)鍵詞】無(wú)線網(wǎng)絡(luò);安全問(wèn)題;解決策略
1.引言
近些年來(lái),我國(guó)的無(wú)線網(wǎng)絡(luò)技術(shù)得到了快速的發(fā)展,無(wú)線網(wǎng)絡(luò)相對(duì)于有線網(wǎng)絡(luò)在成本以及方便性方面有著非常大的優(yōu)勢(shì),這也是當(dāng)代企業(yè)青睞無(wú)線網(wǎng)絡(luò)的重要原因。現(xiàn)代的無(wú)線網(wǎng)幾乎覆蓋到每一個(gè)企事業(yè)單位,例如:高速鐵路全覆蓋的無(wú)線網(wǎng)絡(luò)給旅客在長(zhǎng)途旅行當(dāng)中網(wǎng)上沖浪帶來(lái)非常大便利;相關(guān)的服務(wù)行業(yè)可以利用無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)隨時(shí)隨地的記賬登記服務(wù),這在很大程度上提高了整個(gè)服務(wù)行業(yè)的服務(wù)質(zhì)量等等。從社會(huì)整體上來(lái)看,無(wú)線網(wǎng)絡(luò)的時(shí)代已經(jīng)慢慢的滲入到人們的日常生活當(dāng)中,給人們的生活帶翻天覆地的變化,但是,我們?cè)谙硎軣o(wú)線網(wǎng)絡(luò)給人們生活帶來(lái)很大便利的同時(shí),也必須認(rèn)識(shí)到無(wú)線網(wǎng)絡(luò)中存在的對(duì)用戶非常重要的安全問(wèn)題,下面從無(wú)線網(wǎng)絡(luò)的特點(diǎn)、無(wú)線網(wǎng)絡(luò)存在的安全問(wèn)題以及相應(yīng)的解決策略做出簡(jiǎn)要的探析。
2.無(wú)線網(wǎng)絡(luò)的特點(diǎn)
2.1 無(wú)線網(wǎng)絡(luò)可移動(dòng)性更好
無(wú)線網(wǎng)絡(luò)傳遞網(wǎng)絡(luò)信號(hào)是通過(guò)發(fā)射無(wú)線電波實(shí)現(xiàn)的,只要人們?cè)跓o(wú)線網(wǎng)絡(luò)發(fā)射設(shè)備的有效射程之內(nèi)都可以通過(guò)相應(yīng)的接受設(shè)備,進(jìn)入相應(yīng)的網(wǎng)絡(luò)之內(nèi)。在很大程度上擺脫了傳統(tǒng)網(wǎng)絡(luò)空間和時(shí)間方面的限制。
2.2 無(wú)線網(wǎng)絡(luò)設(shè)備安裝簡(jiǎn)易、成本低廉
眾所周知,有線網(wǎng)絡(luò)的安裝是非常復(fù)雜的,整個(gè)過(guò)程必須布置大量的網(wǎng)線以及網(wǎng)線接頭,有線網(wǎng)絡(luò)后期的維護(hù)費(fèi)用也是比較大的。相對(duì)有線網(wǎng)絡(luò),無(wú)線網(wǎng)絡(luò)省去了大量的布線工作,僅僅需要一個(gè)無(wú)線網(wǎng)絡(luò)發(fā)射設(shè)備,這就在很多方面也減少了后期網(wǎng)絡(luò)維護(hù)的難度以及布置整個(gè)網(wǎng)絡(luò)的成本費(fèi)用。此外整個(gè)網(wǎng)絡(luò)通信范圍也擺脫了地理環(huán)境帶來(lái)的限制。
2.3 網(wǎng)絡(luò)使用更加靈便且擴(kuò)展性能強(qiáng)
由于無(wú)線網(wǎng)絡(luò)不受網(wǎng)線電纜的約束,這就給無(wú)線網(wǎng)絡(luò)工作站的配置和增加帶來(lái)非常大隨意性。大大增加了人們對(duì)于整個(gè)無(wú)線網(wǎng)絡(luò)使用的范圍,同時(shí)也提升了整個(gè)網(wǎng)絡(luò)的使用率。
3.無(wú)線網(wǎng)絡(luò)安全特點(diǎn)
無(wú)線網(wǎng)絡(luò)在安全方面的特點(diǎn)也是無(wú)線網(wǎng)絡(luò)區(qū)別于有線網(wǎng)絡(luò)的重要方面。
3.1 首先,在開(kāi)放性方面無(wú)線網(wǎng)絡(luò)要遠(yuǎn)遠(yuǎn)大于有線網(wǎng)絡(luò),這就造成整個(gè)無(wú)線網(wǎng)絡(luò)容易收到外界干擾以及惡意的攻擊的可能性大幅度增加。這在很大程度上就增加了整個(gè)無(wú)線網(wǎng)絡(luò)安全工作維護(hù)的難易程度,其維護(hù)措施的可行性在沒(méi)有專業(yè)人員指導(dǎo)的情況下是比較難的,尤其是無(wú)線網(wǎng)絡(luò)當(dāng)中的物理終端其自由行性也比較大,這就對(duì)資源端的安全管理工作帶來(lái)難度,如果自由端的管理不到位且非法侵入的是某一個(gè)接入口,那么造成的損失非常巨大的。
3.2 即使有一整套完備的安全管理方案,在具體的實(shí)施過(guò)程中也是有非常大難度的,因?yàn)檎麄€(gè)無(wú)線網(wǎng)絡(luò)維護(hù)方案相對(duì)于有線網(wǎng)絡(luò)維護(hù)方案是比較分散的,整個(gè)實(shí)施過(guò)程也具有非常大的依賴性。此外,由于無(wú)線網(wǎng)絡(luò)信號(hào)是一種電磁波,這就導(dǎo)致信號(hào)在傳輸?shù)倪^(guò)程當(dāng)中容易受到外界干擾,這就對(duì)于無(wú)線網(wǎng)絡(luò)的安全維護(hù)工作的技術(shù)性帶來(lái)更高的挑戰(zhàn)。
總之,無(wú)線網(wǎng)絡(luò)在安全性方面相對(duì)于有線網(wǎng)絡(luò)是比較差的,其安全管理工作以及相關(guān)技術(shù)措施的實(shí)施也是比較困難的。
4.無(wú)線網(wǎng)絡(luò)安全方面存在的相關(guān)問(wèn)題
隨著我國(guó)網(wǎng)絡(luò)工程的快速發(fā)展,無(wú)線網(wǎng)絡(luò)的進(jìn)一步普及,其安全性問(wèn)題在無(wú)線網(wǎng)絡(luò)的使用當(dāng)中越來(lái)越突出,造成的損失也越來(lái)越大。從表面看來(lái)無(wú)線網(wǎng)絡(luò)的問(wèn)題是多種多樣的,但是從無(wú)線網(wǎng)絡(luò)的技術(shù)本質(zhì)來(lái)講,其安全問(wèn)題可以分為以下幾類,現(xiàn)簡(jiǎn)述如下:
4.1 無(wú)線網(wǎng)絡(luò)中的非法盜竊聽(tīng)問(wèn)題
由于在整個(gè)無(wú)線網(wǎng)絡(luò)當(dāng)中,其全部的網(wǎng)絡(luò)信息是通過(guò)無(wú)線電波完成的,如果在無(wú)線電波的傳播過(guò)程當(dāng)中,一些不法分子利用相關(guān)的網(wǎng)絡(luò)技術(shù)裝備,盜竊聽(tīng)無(wú)線網(wǎng)絡(luò)的無(wú)線電波信號(hào),并通過(guò)相關(guān)的設(shè)備予以顯示,這在很大程度上就會(huì)造成企事業(yè)單位以及個(gè)人的相關(guān)信息泄露,如果出現(xiàn)一些重要信息的泄露帶來(lái)的后果更是非常嚴(yán)重的。
4.2 無(wú)線網(wǎng)絡(luò)的假冒、冒充攻擊問(wèn)題
無(wú)線網(wǎng)絡(luò)的假冒攻擊問(wèn)題就是一些不法分子冒充成一個(gè)假裝的實(shí)體對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行訪問(wèn),這是無(wú)線網(wǎng)絡(luò)收到不法攻擊最常見(jiàn)的方法。因?yàn)樵谡麄€(gè)無(wú)線網(wǎng)絡(luò)當(dāng)中其通訊設(shè)備的移動(dòng)信號(hào)站、網(wǎng)絡(luò)信息控制中心以及移動(dòng)信號(hào)站與其他設(shè)備之間沒(méi)有任何的實(shí)物鏈接,移動(dòng)信號(hào)站只能通過(guò)無(wú)線網(wǎng)絡(luò)中的無(wú)線電波進(jìn)行傳播,不法分子常常利用無(wú)線電波在傳播的過(guò)程當(dāng)中竊聽(tīng)到一個(gè)無(wú)線網(wǎng)絡(luò)合法用戶的詳細(xì)信息,不法分子接收到這些真實(shí)詳細(xì)信息之后就可以利用這些真實(shí)的信息對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)開(kāi)始攻擊。
4.3 無(wú)線網(wǎng)絡(luò)當(dāng)中的信息篡改問(wèn)題
無(wú)線網(wǎng)絡(luò)當(dāng)中的信息篡改問(wèn)題就是指一些不法單位或者個(gè)人利用上述得到的真實(shí)信息進(jìn)入無(wú)線網(wǎng)絡(luò)內(nèi)部,然后將用戶的真實(shí)信息進(jìn)行篡改,然后將篡改后的數(shù)據(jù)傳輸?shù)綗o(wú)線網(wǎng)絡(luò)的接受端,這樣會(huì)造成兩方面的破壞,首先,由于真實(shí)的用戶信息被篡改這就造成當(dāng)真實(shí)的用戶使用自己真實(shí)的信息登錄無(wú)線網(wǎng)絡(luò)時(shí)出現(xiàn)信息錯(cuò)誤的問(wèn)題,導(dǎo)致真實(shí)的用戶無(wú)法訪問(wèn)無(wú)線網(wǎng)絡(luò),第二就是由于無(wú)線網(wǎng)絡(luò)的接收端接收到不法分子篡改的用戶信息,使得接收端將篡改后的信息數(shù)據(jù)信以為真這就對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)系統(tǒng)的安全都會(huì)造成很大的威脅,如果上述過(guò)程出現(xiàn)在銀行等金融機(jī)構(gòu)當(dāng)中帶來(lái)的經(jīng)濟(jì)損失將是非常巨大的。
4.4 無(wú)線網(wǎng)絡(luò)當(dāng)中主機(jī)設(shè)備存在的安全問(wèn)題
無(wú)線網(wǎng)絡(luò)當(dāng)中的主機(jī)設(shè)備一般情況下是由多臺(tái)的主機(jī)串聯(lián)而成的,不法分子對(duì)于無(wú)線網(wǎng)絡(luò)主機(jī)的攻擊一般以電子病毒的形式進(jìn)行攻擊,除了人們有一定了解的有線網(wǎng)絡(luò)病毒以外,目前市場(chǎng)上出現(xiàn)一種專門針對(duì)無(wú)線網(wǎng)絡(luò)的病毒,這種無(wú)線網(wǎng)絡(luò)病毒就是在無(wú)線網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)鏈接時(shí)無(wú)線病毒就會(huì)瞬時(shí)侵入無(wú)線網(wǎng)絡(luò),據(jù)我們調(diào)查發(fā)現(xiàn)這中無(wú)線病毒給無(wú)線網(wǎng)絡(luò)造成的傷害是巨大的,特別是電腦系統(tǒng)存在一些高危漏洞時(shí)更加巨大。
5.針對(duì)當(dāng)前無(wú)線網(wǎng)絡(luò)出現(xiàn)的問(wèn)題應(yīng)采取的相關(guān)策略
無(wú)線網(wǎng)絡(luò)從誕生到現(xiàn)在,其方便性和安全隱患就一直存在,無(wú)線網(wǎng)絡(luò)的安全問(wèn)題也在很大程度上影響著無(wú)線網(wǎng)絡(luò)的進(jìn)一步發(fā)展,為了使無(wú)線網(wǎng)絡(luò)更好的為人們服務(wù)我們應(yīng)做好以下幾點(diǎn):
5.1 禁止SSID的相應(yīng)廣播
5.2 設(shè)置更高級(jí)的用戶名以及用戶密碼
無(wú)線網(wǎng)絡(luò)設(shè)置的用戶名以及用戶密碼是整個(gè)無(wú)線網(wǎng)絡(luò)抵抗外界侵入的第一道防線,設(shè)置更高級(jí)別的用戶名和用戶密碼能夠增加不法分子破解的難度,增加無(wú)線網(wǎng)絡(luò)的安全性。
5.3 設(shè)置恰當(dāng)?shù)臒o(wú)線網(wǎng)絡(luò)監(jiān)視參數(shù)
用戶設(shè)置恰當(dāng)?shù)臒o(wú)線網(wǎng)絡(luò)監(jiān)視參數(shù)能夠在保證整個(gè)無(wú)線網(wǎng)絡(luò)運(yùn)行狀態(tài)以及實(shí)現(xiàn)動(dòng)態(tài)監(jiān)控方面有著非常大的作用,無(wú)線網(wǎng)絡(luò)監(jiān)視參數(shù)包括:網(wǎng)絡(luò)故障點(diǎn)定位、ip盜竊者捕抓、限制無(wú)線網(wǎng)絡(luò)進(jìn)入范圍等。
5.4 對(duì)無(wú)線網(wǎng)絡(luò)傳輸?shù)南嚓P(guān)數(shù)據(jù)進(jìn)行加密設(shè)置
無(wú)線網(wǎng)絡(luò)用戶在利用無(wú)線網(wǎng)絡(luò)進(jìn)行資料傳輸時(shí),最好對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行一定的加密設(shè)置,整個(gè)文檔的秘鑰應(yīng)增加到256位,這對(duì)于保證整個(gè)無(wú)線網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性有著很大的幫助。即使不法分子盜取了相關(guān)的技術(shù)文件也無(wú)法正常使用。
6.結(jié)束語(yǔ)
隨著我國(guó)的進(jìn)一步發(fā)展,無(wú)線網(wǎng)絡(luò)的覆蓋了一定會(huì)大幅度增加,同時(shí)不法分子侵入無(wú)線網(wǎng)絡(luò)的機(jī)會(huì)也大幅度增加,我們作為網(wǎng)絡(luò)安全的技術(shù)人員,一定要認(rèn)識(shí)到現(xiàn)實(shí)的嚴(yán)峻性,努力鉆研,已全面保證我國(guó)無(wú)線網(wǎng)絡(luò)的安全。
參考文獻(xiàn)
[1]閆韜.物聯(lián)網(wǎng)隱私保護(hù)及密鑰管理機(jī)制中若干關(guān)鍵技術(shù)研究[D].北京郵電大學(xué),2012.
[2]陳濤.無(wú)線網(wǎng)絡(luò)的物理層安全問(wèn)題研究[D].華南理工大學(xué),2013.
[3]張淑嫻.基于Emulab架構(gòu)的無(wú)線網(wǎng)絡(luò)安全模擬技術(shù)的研究[D].北京郵電大學(xué),2013.
[4]沈士根.基于博弈論的無(wú)線傳感器網(wǎng)絡(luò)安全若干關(guān)鍵問(wèn)題研究[D].東華大學(xué),2013.
[5]彭清泉.無(wú)線網(wǎng)絡(luò)中密鑰管理與認(rèn)證方法及技術(shù)研究[D].西安電子科技大學(xué),2010.
[6]歐陽(yáng)熹.基于節(jié)點(diǎn)信譽(yù)的無(wú)線傳感器網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[D].北京郵電大學(xué),2013.
1)使用靈活:組網(wǎng)靈活,無(wú)線網(wǎng)絡(luò)可隨時(shí)增加和減少移動(dòng)主機(jī)在無(wú)線網(wǎng)中相當(dāng)容易。2)安裝便捷:一般情況下一個(gè)區(qū)域內(nèi)安裝一個(gè)或幾個(gè)接入點(diǎn)即可完全覆蓋該區(qū)域,而且對(duì)周圍的環(huán)境基本上不產(chǎn)生影響。3)易于擴(kuò)展:與傳統(tǒng)網(wǎng)絡(luò)一樣,無(wú)線網(wǎng)絡(luò)具備了多種配置方式,能因地制宜的靈活選擇、合理搭配,另外在提供像漫游等有線網(wǎng)絡(luò)無(wú)法比擬的特性。4)經(jīng)濟(jì)節(jié)約:無(wú)線網(wǎng)絡(luò)布線的投資維護(hù)成本很小,一個(gè)AP可使原來(lái)的信息點(diǎn)同時(shí)接入數(shù)十乃至數(shù)百個(gè)終端設(shè)備.
2無(wú)線網(wǎng)絡(luò)的安全威脅
目前無(wú)線網(wǎng)絡(luò)面臨的主要安全威脅是,非授權(quán)用戶對(duì)資源的保密性、完整性、可用性或合法使用所造成的危險(xiǎn)是。有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)相比只是在傳輸方式上有所不同,但由于其傳輸載體的特性,不僅需要加強(qiáng)常規(guī)的網(wǎng)絡(luò)安全措,還要應(yīng)對(duì)一些特殊的安全威脅,原因是電磁波作為無(wú)線局域網(wǎng)傳輸介質(zhì),由于其良好的穿透性使電磁波能夠穿過(guò)玻璃、天花板、等物體,在一個(gè)無(wú)線接入點(diǎn)(AccessPoint)所覆蓋的區(qū)域內(nèi),電磁波信號(hào)被該區(qū)域內(nèi)無(wú)線客戶端都接收,這其中也可能會(huì)包括一些非法惡意用戶,這些非法的惡意用戶通過(guò)無(wú)線局域網(wǎng)中滲透到有線局域網(wǎng)當(dāng)中去,達(dá)到其非法目的。由上可知無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比由于其傳輸載體的特殊性,除存在傳統(tǒng)的安全外,無(wú)線網(wǎng)絡(luò)面臨特殊的安全威脅,具體分為兩種,一種是針對(duì)數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性保護(hù)、網(wǎng)絡(luò)訪問(wèn)控制進(jìn)行的攻擊。傳輸介質(zhì)的開(kāi)放性導(dǎo)致其具有更大的脆弱性,這是無(wú)線網(wǎng)絡(luò)的另一種安全威脅,而且這種威脅很可能會(huì)波及原有的有線網(wǎng)絡(luò)。具體來(lái)講無(wú)線網(wǎng)絡(luò)面臨的安全威脅主要表現(xiàn)以下幾個(gè)方面。1)信息重放:無(wú)線網(wǎng)絡(luò)在防范疏漏時(shí),經(jīng)常會(huì)受到中間人欺騙攻擊,對(duì)授權(quán)客戶和合法AP進(jìn)行雙重欺騙是這種攻擊的特點(diǎn),可以達(dá)到竊取和篡改信息的目的。應(yīng)對(duì)的方法是采取基于應(yīng)用層的加密認(rèn)證或進(jìn)行雙向認(rèn)證方法來(lái)避免.2)wep密鑰破解:為破解WEP弱密鑰加密的包,一些非法入侵都經(jīng)常利用互聯(lián)網(wǎng)上非法程序,放在合法AP信號(hào)覆蓋范圍內(nèi)捕捉該范圍內(nèi)傳輸?shù)臄?shù)據(jù)包以獲取WEP密鑰。最快可以在兩個(gè)小時(shí)內(nèi)攻破WEP密鑰,其破解速取決于無(wú)線網(wǎng)內(nèi)發(fā)射信號(hào)的主機(jī)數(shù)量、無(wú)線通信的機(jī)器速度,以及重發(fā)的初始化向IV數(shù)量。3)網(wǎng)絡(luò)竊聽(tīng):由于無(wú)線網(wǎng)絡(luò)傳輸介質(zhì)是共享的而完全暴露在竊聽(tīng)者面前,而無(wú)線網(wǎng)絡(luò)不能像傳統(tǒng)網(wǎng)絡(luò)那樣采用物理隔離的手段減少竊聽(tīng),因此發(fā)生竊聽(tīng)的事不在少數(shù)。另外由于網(wǎng)絡(luò)通信大多數(shù)都以明文方式進(jìn)行,而大多數(shù)網(wǎng)卡都支持的一種模式——“混雜模式”,它帶有的蛻殼軟件可捕捉網(wǎng)絡(luò)上的每個(gè)數(shù)據(jù)包,能對(duì)處于無(wú)線信號(hào)覆蓋范圍內(nèi)無(wú)線網(wǎng)絡(luò)通信實(shí)施監(jiān)聽(tīng)破解。4)物理地址欺騙:一些非法用戶通過(guò)非法軟件分析截獲的數(shù)據(jù),獲得AP允許通信客戶端的MAC地址,這樣就能偽裝成合法用戶客戶端MAC地址入侵網(wǎng)絡(luò)了,即使無(wú)線接入點(diǎn)AP起用了MAC地址過(guò)濾,也無(wú)法阻止使未授權(quán)的用戶連接AP。5)拒絕服務(wù):傳統(tǒng)的DDOS洪泛攻擊,迫使AP拒絕服務(wù),通常也稱為能源消耗攻擊這是一種后果最為嚴(yán)重的針對(duì)AP進(jìn)行的攻擊方式,可以對(duì)無(wú)線網(wǎng)絡(luò)內(nèi)的任意節(jié)點(diǎn)進(jìn)行攻擊,導(dǎo)致的后果是讓被攻擊節(jié)點(diǎn)不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā),耗盡其能源不能正常工作。[1]6)假冒合法網(wǎng)絡(luò)和AP:一些非授權(quán)用戶部署假冒AP設(shè)備引誘合法用戶訪問(wèn),如偽裝登錄頁(yè)面獵取用戶輸入合法口令,還有另外一種偽裝成DNS或DHCP服務(wù)器重定向用戶通信數(shù)據(jù)到其他網(wǎng)絡(luò),這是一種威脅最嚴(yán)的攻方式,但是成本也最高。[1]
3針對(duì)無(wú)線網(wǎng)絡(luò)安全的機(jī)制與技術(shù)措施的設(shè)計(jì)
通常應(yīng)該從以下幾個(gè)安全因素制定無(wú)線網(wǎng)絡(luò)的安全機(jī)制與相關(guān)措施。1)身份認(rèn)證:通過(guò)共享的有線等效保密(WEP)密鑰來(lái)實(shí)現(xiàn)基于設(shè)備認(rèn)證的無(wú)線網(wǎng)絡(luò)。基于用戶的認(rèn)證也可使用擴(kuò)展認(rèn)證協(xié)議EAP來(lái)實(shí)現(xiàn),可以通過(guò)EAP-TLS、EAP-TTLS、LEAP和PEAP多種方式來(lái)實(shí)現(xiàn)無(wú)線EAP,最大化的確保網(wǎng)絡(luò)安全性是通過(guò)設(shè)備認(rèn)證和用戶認(rèn)證在無(wú)線網(wǎng)絡(luò)中實(shí)施。為保障加密用戶交換認(rèn)證信息,必須通過(guò)安全隧道傳輸用戶認(rèn)證信息,最好選擇支持EAP-TTLS或PEAP的設(shè)備,這樣可以保障網(wǎng)絡(luò)環(huán)境認(rèn)證的安全性。2)訪問(wèn)控制:網(wǎng)絡(luò)用戶的訪問(wèn)控制主要通過(guò)服務(wù)器AAA(AAA是驗(yàn)證、授權(quán)和記賬(Authentication、Authorization、Accounting))來(lái)實(shí)現(xiàn)無(wú)線網(wǎng)格的連接。802.1x的各安全端口上提供了機(jī)器認(rèn)證在服務(wù)器上,而且這種方式可以提供更好的可擴(kuò)展性。3)機(jī)密性,完整性:有線等效保密(WEP)協(xié)議是由802.11標(biāo)準(zhǔn)定義的,用于在無(wú)線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)能夠提供高等級(jí)的安全加密。無(wú)線網(wǎng)絡(luò)通過(guò)使用WEP或TKIP,可以確保數(shù)據(jù)包原始完整性。TKIP:TemporalKeyIntegrityProtocol(暫時(shí)密鑰集成協(xié)議)是不是負(fù)責(zé)處理無(wú)線安全問(wèn)題的加密部分,在IEEE802.11i規(guī)范中。由于WEP的密鑰存在長(zhǎng)度過(guò)短的問(wèn)題,而TKIP中密碼使用的密鑰長(zhǎng)度為128位,解決了WEP存在的問(wèn)題。另外通過(guò)WEP、TKIP或VPN(VirtualPrivateNetwork,虛擬專用網(wǎng)絡(luò))來(lái)實(shí)現(xiàn)保證數(shù)據(jù)的機(jī)密性。4)可用性:確保網(wǎng)絡(luò)無(wú)故障提高網(wǎng)絡(luò)的可靠性,可用性,是所有網(wǎng)絡(luò)要達(dá)到的最終目標(biāo)。,無(wú)線基礎(chǔ)設(shè)施中的關(guān)鍵部分無(wú)論是出現(xiàn)黑客攻擊、病毒肆虐、設(shè)備故障,仍然要能夠提供無(wú)線客戶端的訪問(wèn)。5)審計(jì):所謂審計(jì)工作就是確定無(wú)線網(wǎng)絡(luò)配置的必要步驟,無(wú)線網(wǎng)絡(luò)的AP及網(wǎng)橋的信息通常需要一整套方法來(lái)存儲(chǔ)、配置、收集和檢索,來(lái)實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)的審計(jì)。假如需要對(duì)通信數(shù)據(jù)進(jìn)行了加密,而不必須要只依賴設(shè)備計(jì)數(shù)器來(lái)顯示通信數(shù)據(jù)正在被加密,就像在VPN網(wǎng)絡(luò)中一樣,應(yīng)該在網(wǎng)絡(luò)中使用通信分析器來(lái)檢查通信的機(jī)密性,并保證任何有意無(wú)意嗅探網(wǎng)絡(luò)的用戶不能看到通信的內(nèi)容。
4無(wú)線網(wǎng)絡(luò)安全性解決方措施
具體地講,為了有效保障無(wú)線局域網(wǎng)(WLAN)的安全性,就必須實(shí)現(xiàn)以下幾個(gè)安全目標(biāo):1)拒絕非法用戶接入,驗(yàn)證用戶授權(quán)他們接入特定的資源,提供接入控制。2)為防止未經(jīng)授權(quán)的用戶竊聽(tīng)、插入或修改通過(guò)無(wú)線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù),可以采取加密和校驗(yàn)技術(shù),確保連接的保密與完好。3)確保用戶的正常接入防止非法用戶占用某個(gè)接入點(diǎn)的所有可用帶寬,也就是防止拒絕服務(wù)(DoS)攻擊。根據(jù)上述安全目標(biāo)對(duì)無(wú)線網(wǎng)絡(luò)采取相應(yīng)措施,可以采取SSID訪問(wèn)控制,更改每個(gè)AP出廠時(shí)的默認(rèn)SSID非特殊需要可屏蔽ssid廣播,把無(wú)線網(wǎng)絡(luò)的安全威脅降低,禁用DHCP這樣惡意入侵者將不得不破譯企業(yè)內(nèi)部的IP地址相關(guān)參數(shù)。增加入侵難度。配置用戶認(rèn)證口令控制采用wep加密機(jī)制并采用TKIP增加其功能保證數(shù)據(jù)的機(jī)密性和完整性。基于MAC地址的認(rèn)證系統(tǒng)"把企業(yè)內(nèi)的無(wú)線終端加入MAC地址表保證無(wú)線終端數(shù)量及無(wú)線終端的可控性。也限制了不明無(wú)線終端使用企業(yè)網(wǎng)絡(luò)資源的可能性。要想達(dá)到企業(yè)更高安全性需求,能準(zhǔn)確可靠的進(jìn)行用戶認(rèn)證,就應(yīng)該阻止服務(wù)盜用的問(wèn)題。這時(shí)就需要通過(guò)后臺(tái)RADIUS服務(wù)器進(jìn)行認(rèn)證計(jì)費(fèi),也就是企業(yè)學(xué)校經(jīng)常使用IEEE802.1x的認(rèn)證方式。要想進(jìn)一步完善網(wǎng)絡(luò)的安全性,解決遠(yuǎn)程網(wǎng)絡(luò)辦公問(wèn)題對(duì)于大型企業(yè)來(lái)說(shuō),可以在使用802.1x認(rèn)證機(jī)制的基礎(chǔ)上,利用現(xiàn)有的VPN設(shè)施使用戶能夠安全的訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)信息的要求。為了防止發(fā)生潛在威脅,應(yīng)當(dāng)考慮添加一些入侵檢測(cè)系統(tǒng)(IDS),以掌握無(wú)線網(wǎng)絡(luò)經(jīng)常發(fā)生的活動(dòng),把IDS放置在無(wú)線AP的相同網(wǎng)段。
5結(jié)束語(yǔ)
關(guān)鍵詞:3G;通信安全;防范與對(duì)策;網(wǎng)絡(luò)安全
截止目前,中國(guó)移動(dòng)通信、中國(guó)聯(lián)合通信和中國(guó)電信三大通訊運(yùn)營(yíng)商同時(shí)展開(kāi)3G業(yè)務(wù),向全世界宣告了中國(guó)3G時(shí)代的到來(lái)。3G將無(wú)線通信與國(guó)際互聯(lián)網(wǎng)等多媒體通信結(jié)合起來(lái),成為了新一代的移動(dòng)通信系統(tǒng)。它功能強(qiáng)大,支持高速下載和視像通話,能夠處理復(fù)雜的音樂(lè)格式和流媒體等多種媒體形式,還能提供包括電視電話會(huì)議、電子商務(wù)政務(wù)等多種信息服務(wù)。在3G提供給人們更多的快捷和便利之時(shí),同時(shí)也意味著3G所包含的信息資源的空前,這也預(yù)示著3G網(wǎng)絡(luò)的安全問(wèn)題將會(huì)是最為迫切和緊急的問(wèn)題。
一、3G網(wǎng)絡(luò)的主要結(jié)構(gòu):
1.CDMA 20001X operation system的網(wǎng)絡(luò)結(jié)構(gòu)
CDMA2000 1X是最符合移動(dòng)通信系統(tǒng)的典型網(wǎng)絡(luò)結(jié)構(gòu), CDMA2000 IX網(wǎng)絡(luò)主要由MS、RN、NSS、OMS4個(gè)部分構(gòu)成:
MS即 移動(dòng)臺(tái):是用戶終端,是用戶接入無(wú)線網(wǎng)絡(luò)和使用各類應(yīng)用服務(wù)的工具。
RN即 無(wú)線網(wǎng)絡(luò):其能夠?yàn)橐苿?dòng)用戶提供無(wú)線接入點(diǎn)服務(wù),實(shí)現(xiàn)WTT(無(wú)線傳輸)到CTT(有線傳輸)的轉(zhuǎn)換。
NSS即 網(wǎng)絡(luò)交換系統(tǒng):為移動(dòng)用戶提供以電路交換和分組交換技術(shù)為基礎(chǔ)的網(wǎng)際服務(wù)。
OMS即 操作維護(hù)系統(tǒng):能夠維護(hù)網(wǎng)絡(luò)設(shè)備同時(shí)提供網(wǎng)絡(luò)維護(hù)人員與網(wǎng)絡(luò)設(shè)備之間多人機(jī)接口。
2.UMTS系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)
UMTS系統(tǒng)主要業(yè)務(wù)是提供多媒體服務(wù)和高速網(wǎng)絡(luò),其融合了TN(電話網(wǎng)絡(luò))和CN(計(jì)算機(jī)網(wǎng)絡(luò))的全新網(wǎng)絡(luò)形式;UMTS網(wǎng)絡(luò)必須要和其他電話網(wǎng)和計(jì)算機(jī)通信網(wǎng)之間進(jìn)行通信才能夠?qū)崿F(xiàn)滿足用戶的需求。
二、3G系統(tǒng)面臨的安全問(wèn)題:
3G網(wǎng)絡(luò)面臨的安全問(wèn)題和以往的網(wǎng)絡(luò)有著本質(zhì)的不同,根據(jù)IS074982的定義,安全問(wèn)題的產(chǎn)生主要有兩個(gè)方面的原因:1.系統(tǒng)和網(wǎng)絡(luò)本身設(shè)計(jì)上存在的缺陷,容易被人利用,造成數(shù)據(jù)的丟失;2.非法入侵和破壞的客觀存在,由于網(wǎng)絡(luò)中的巨大潛在利益驅(qū)使,很多的人利用互聯(lián)網(wǎng)進(jìn)行入侵和信息竊取。就目前而言,3G網(wǎng)絡(luò)的主要安全問(wèn)題還是IP網(wǎng)絡(luò)安全和以IP技術(shù)為基礎(chǔ)的技術(shù)應(yīng)用。按照安全為題存在的物理位置的不同,我們暫且可以將3G通信的安全問(wèn)題分為無(wú)線鏈路問(wèn)題、服務(wù)網(wǎng)絡(luò)問(wèn)題和移動(dòng)終端問(wèn)題三個(gè)大類。而具體問(wèn)題的表現(xiàn)則為如下幾種形式:
(1)偽裝成網(wǎng)絡(luò)單元獲取用戶數(shù)據(jù)、信令數(shù)據(jù)及控制數(shù)據(jù),偽裝成終端欺騙網(wǎng)絡(luò)獲取資源服務(wù)。
(2)進(jìn)行流量分析以獲取信息的時(shí)間、速率、長(zhǎng)度、來(lái)源等信息
(3)否認(rèn)業(yè)務(wù)費(fèi)用、業(yè)務(wù)數(shù)據(jù)來(lái)源及發(fā)送或接收到的其他用戶的數(shù)據(jù),網(wǎng)絡(luò)單元否認(rèn)提供的網(wǎng)絡(luò)服務(wù)。
(4)通過(guò)使網(wǎng)絡(luò)服務(wù)過(guò)載耗盡網(wǎng)絡(luò)資源,使合法用戶無(wú)法訪問(wèn)。
(5)竊聽(tīng)用戶數(shù)據(jù)、控制數(shù)據(jù)和信息數(shù)據(jù)以及數(shù)據(jù)包。
(6)破壞數(shù)據(jù)的完整性,對(duì)處于傳送過(guò)程中的數(shù)據(jù)包進(jìn)行修改、編輯、刪除等操作。
(7)用戶濫用權(quán)限獲取對(duì)非授權(quán)服務(wù)的訪問(wèn)。
(8) 在協(xié)議上干擾數(shù)據(jù)包在鏈路層的傳輸,以實(shí)現(xiàn)拒絕服務(wù)攻擊。
除此之外,在我國(guó)目前的通訊網(wǎng)絡(luò)方面的相關(guān)法律法規(guī)還不健全,管理模式尚不成熟,同時(shí)還缺乏有力的監(jiān)督機(jī)制。
三、針對(duì)3G網(wǎng)絡(luò)安全問(wèn)題的主要對(duì)策:
3G網(wǎng)絡(luò)的安全邏輯結(jié)構(gòu),是目前最為主流的安全設(shè)計(jì),一般而言,和一個(gè)WAN或者LAN一樣,網(wǎng)絡(luò)可以分為幾個(gè)層面:傳輸層(傳輸數(shù)據(jù)),服務(wù)層(提供主要的服務(wù)業(yè)務(wù)),應(yīng)用層(提供特點(diǎn)的應(yīng)用服務(wù))。根據(jù)攻擊類型的不同,可以分成四個(gè)大類:
1.網(wǎng)絡(luò)接入安全2.用戶安全3.應(yīng)用安全4.核心網(wǎng)安全
對(duì)網(wǎng)絡(luò)安全問(wèn)題的主要解決辦法從兩個(gè)方面入手
(一) 技術(shù)層面上:
1. 路由器技術(shù):使用安全路由器,利用路由器訪問(wèn)控制列表技術(shù)來(lái)控制網(wǎng)絡(luò)中的信息流問(wèn)題。
2. VPN技術(shù):VPN能夠加密網(wǎng)絡(luò)數(shù)據(jù)并控制網(wǎng)絡(luò)中IP對(duì)節(jié)點(diǎn)的訪問(wèn),從而實(shí)現(xiàn)多個(gè)內(nèi)部網(wǎng)絡(luò)的互聯(lián)和協(xié)調(diào)。
3. IDS技術(shù):入侵檢測(cè)系統(tǒng)作為最普遍使用的保護(hù)機(jī)制,其效率高,操作方便,在信息系統(tǒng)管理中不可或缺。
4. SDB(安全數(shù)據(jù)庫(kù))技術(shù):SDB技術(shù)目前為大多數(shù)ANTI-VIRUS廠商使用,它自身能夠快速適應(yīng)網(wǎng)絡(luò)變化,保證數(shù)據(jù)完整性和安全性。
5. SOS(安全操作系統(tǒng))技術(shù):WWW協(xié)議、SMTP協(xié)議、FTP協(xié)議時(shí)目前網(wǎng)絡(luò)傳輸?shù)闹髁鲄f(xié)議,而這些協(xié)議也需要在一個(gè)安全穩(wěn)定的平臺(tái)中去運(yùn)行,SOS技術(shù)能夠?yàn)楦鱾€(gè)網(wǎng)絡(luò)安全產(chǎn)品做好堅(jiān)實(shí)的基礎(chǔ)。
6. 防火墻技術(shù):能夠有效阻止外網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的感染和攻擊的有力武器就是防火墻,這種防御為主的機(jī)制能夠高效的防止外界的入侵,阻斷各類攻擊,防患于未然。
(二) 管理層面上:
1. 建立健全通訊網(wǎng)絡(luò)管理機(jī)制,將責(zé)任問(wèn)責(zé)制度推廣到其中來(lái),對(duì)網(wǎng)站的運(yùn)營(yíng)商和服務(wù)供應(yīng)商做好登記和備案。完善相關(guān)法律法規(guī),增強(qiáng)網(wǎng)絡(luò)安全問(wèn)題的管理。
2. 建立3G高速通訊系統(tǒng)的安全模型:OSI模型和TCP/IP模型是主要適用于計(jì)算機(jī)網(wǎng)絡(luò)的模型,而通訊系統(tǒng)有其自身的特點(diǎn)和發(fā)展方向。因此,大力推廣IP技術(shù)和Adhoc技術(shù)才是實(shí)現(xiàn)3G網(wǎng)絡(luò)高效、安全的主要方式。
3. 完善3G安全運(yùn)行的保障體系,包括地面服務(wù)器,網(wǎng)絡(luò)服務(wù)器,服務(wù)協(xié)議硬件配置,網(wǎng)絡(luò)覆蓋,結(jié)構(gòu)規(guī)劃等都能夠有序的運(yùn)作。
結(jié)束語(yǔ):
伴隨著3G的普及和發(fā)展,3G網(wǎng)絡(luò)安全問(wèn)題正受到越來(lái)越多的關(guān)注,人們對(duì)移動(dòng)通信中的信息安全也提出了更高的要求。在新形勢(shì)、新時(shí)代的背景下,網(wǎng)絡(luò)安全的研究與探討具有十分的前瞻性和現(xiàn)實(shí)意義。
參考文獻(xiàn):
[1]鄧娟,蔣磊.3G網(wǎng)絡(luò)時(shí)代移動(dòng)電子商務(wù)安全淺析[J].電腦知識(shí)與技術(shù),2009(06)
關(guān)鍵詞:TCP/IP協(xié)議;網(wǎng)絡(luò)安全;分析
TCP/IP協(xié)議是指一個(gè)允許不同軟硬件結(jié)構(gòu)計(jì)算機(jī)進(jìn)行通信的協(xié)議族,是能將各個(gè)不同結(jié)構(gòu)計(jì)算機(jī)連接起來(lái)的主要技術(shù)平臺(tái),也是實(shí)現(xiàn)計(jì)算機(jī)資源共享的技術(shù)支持。其中我們常說(shuō)的Internet互聯(lián)網(wǎng)就是建立在協(xié)議之上的計(jì)算機(jī)信息技術(shù)。TCP/IP協(xié)議主要有包括四個(gè)層次,第一層是應(yīng)用層,是實(shí)現(xiàn)使用者去訪問(wèn)、去具體使用的平臺(tái),比如說(shuō)常用的后綴網(wǎng)址等;第二層是傳輸層,是將用戶使用平臺(tái)與計(jì)算機(jī)信息網(wǎng)內(nèi)部數(shù)據(jù)結(jié)合的通道,實(shí)現(xiàn)數(shù)據(jù)的傳輸與共享,有TCP、FTP等;第三層就是網(wǎng)絡(luò)層,是負(fù)責(zé)網(wǎng)絡(luò)中的數(shù)據(jù)包傳送,并提供鏈接導(dǎo)向以及相關(guān)的數(shù)據(jù)報(bào)服務(wù)等;最后一層是網(wǎng)絡(luò)訪問(wèn)層,是網(wǎng)絡(luò)的接口層,也稱數(shù)據(jù)鏈路層,能處理不同通信媒介的相關(guān)信息細(xì)節(jié)問(wèn)題,比如說(shuō)常見(jiàn)的以太網(wǎng)、ARP等。基于TCP/IP協(xié)議上互聯(lián)網(wǎng)的信息傳輸范圍變得更廣泛,且傳輸?shù)膬?nèi)容來(lái)源更多,對(duì)傳輸對(duì)象以及輸送對(duì)象的信息安全要求降低,且多個(gè)端口使得數(shù)據(jù)信息被處理的步驟較多,不能對(duì)其保密性起到保障作用,TCP是使用一種介乎集中與動(dòng)態(tài)分配之間的端口分配,端口也被分為保密與自由端口,這在一定程度上又大大增加了網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。下面就幾個(gè)網(wǎng)絡(luò)安全的主要問(wèn)題進(jìn)行分析。
1基于TCP/IP協(xié)議分析的網(wǎng)絡(luò)安全問(wèn)題
1.1應(yīng)用程序?qū)拥腡CP/IP協(xié)議。首先在應(yīng)用程序?qū)拥腡CP/IP協(xié)議,可能產(chǎn)生的網(wǎng)絡(luò)安全問(wèn)題PTP的網(wǎng)絡(luò)接口接收到原本不屬于主機(jī)的數(shù)據(jù),通常使用在應(yīng)用程序?qū)拥脑O(shè)計(jì)是一個(gè)共享的端口,由于特定類型的端口設(shè)計(jì)成本費(fèi)用較高,因此在接收數(shù)據(jù)共享平臺(tái)很容易得到不屬于應(yīng)用平臺(tái)的相關(guān)收據(jù),因此引入一些木馬病毒,導(dǎo)致里面的數(shù)據(jù),網(wǎng)絡(luò)安全問(wèn)題。為此,我們可以在應(yīng)用平臺(tái)設(shè)置特殊的加密文件,可以設(shè)置一個(gè)密碼特殊信息內(nèi)容可以允許接受和運(yùn)輸,在完全接受所有信息的情況下,減少信息被惡意攻擊的風(fēng)險(xiǎn)。此外,網(wǎng)絡(luò)分割處理,應(yīng)用平臺(tái)上設(shè)置更多的新聞發(fā)現(xiàn)信息渠道,一層一層過(guò)濾不符合安全信息,并沒(méi)有一個(gè)可靠的信息來(lái)源,從而減少網(wǎng)絡(luò)信息安全問(wèn)題。1.2傳輸層TCP/IP協(xié)議。其次在傳輸層TCP/IP協(xié)議也有網(wǎng)絡(luò)安全問(wèn)題的風(fēng)險(xiǎn),例如在ICMP傳輸通道,ICMP是IP層的一部分,是在軟件和機(jī)器之間的傳輸和控制信息無(wú)連接協(xié)議。任何端口的計(jì)算機(jī)IP軟件發(fā)送一個(gè)PINGICMP文件,文件傳輸,申請(qǐng)是否可以允許ICMP將源主機(jī)對(duì)應(yīng)的響應(yīng),這個(gè)命令可以檢測(cè)是否合法的消息。基本上所有應(yīng)用程序數(shù)據(jù)的傳輸層同意,軟件編程的主要原因不能智能識(shí)別惡意信息,在TCP/IP網(wǎng)絡(luò)和以太網(wǎng),常見(jiàn)防火墻和網(wǎng)絡(luò)安全防護(hù)系統(tǒng)通常是自動(dòng)默認(rèn)端,而忽視可能存在安全風(fēng)險(xiǎn)。1.3TCP/IP協(xié)議在網(wǎng)絡(luò)層。然后在TCP/IP協(xié)議在網(wǎng)絡(luò)層也有網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)問(wèn)題,主要表現(xiàn)為IP欺騙,因?yàn)門CP/IP協(xié)議的信任機(jī)制非常簡(jiǎn)單和方便,所以很多的IP欺騙利用這一特點(diǎn),利用虛假信息來(lái)假裝重要的數(shù)據(jù)信息。許多身份只有所有者的IP地址,這里篡改的IP地址可以攻擊主機(jī)數(shù)據(jù)管理中心。我們可以設(shè)置更多的IP地址來(lái)識(shí)別不同的檢查點(diǎn),在確定正確后可以給IP流量,除了加強(qiáng)網(wǎng)絡(luò)防火墻的防護(hù)功能,網(wǎng)絡(luò)信息安全。1.4ARP欺騙的TCP/IP網(wǎng)絡(luò)層。最后,在TCP/IP協(xié)議和ARP欺騙的網(wǎng)絡(luò)層的網(wǎng)絡(luò)安全問(wèn)題。主機(jī)IP數(shù)據(jù)包的過(guò)程中會(huì)有一個(gè)或多個(gè)主機(jī)使用網(wǎng)絡(luò)級(jí)別的第一層,和ARP源主機(jī)第一個(gè)查詢工具,在沒(méi)有找到對(duì)應(yīng)的物理地址的IP地址將發(fā)送主機(jī)包含物理地址與IP地址的主機(jī)的信息。與此同時(shí),源主機(jī)到目的主機(jī)將包含它自己的IP地址和ARP檢測(cè)應(yīng)答。如果在ARP識(shí)別鏈接錯(cuò)誤,直接應(yīng)用到目標(biāo)主機(jī)的可疑信息,如攜帶病毒,如果惡意攻擊使用ARP欺騙會(huì)導(dǎo)致網(wǎng)絡(luò)信息安全漏洞。為此,應(yīng)加強(qiáng)其保護(hù)功能的ARP識(shí)別鏈接,建立更多的識(shí)別水平,不僅按照名稱作為主要依據(jù)識(shí)別IP,也指IP的相關(guān)屬性,等等。
2TCP/IP協(xié)議安全問(wèn)題的防范
對(duì)于SYNFlood攻擊,目前還沒(méi)有完全有效的方法,但可以從以下幾個(gè)方面加以防范:(1)對(duì)系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù),使得系統(tǒng)強(qiáng)制對(duì)超時(shí)的SYN請(qǐng)求連接數(shù)據(jù)包的復(fù)位,同時(shí)通過(guò)縮短超時(shí)常數(shù)和加長(zhǎng)等候隊(duì)列使得系統(tǒng)能迅速處理無(wú)效的SYN請(qǐng)求數(shù)據(jù)包。(2)建議在該網(wǎng)段的路由器上做些配置的調(diào)整,這些調(diào)整包括限制SYN半開(kāi)數(shù)據(jù)包的流量和個(gè)數(shù)。(3)建議在路由器的前端TCP攔截,使得只有完成TCP三次過(guò)程的數(shù)據(jù)包才可以進(jìn)入該網(wǎng)段,這樣可以有效的保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類攻擊。
3TCP/IP各層的安全性和提高各層安全性
網(wǎng)絡(luò)層的安全性;傳輸層的安全性;應(yīng)用層的安全性。一般來(lái)說(shuō),在應(yīng)用層提供安全服務(wù)有幾種可能的做法,一個(gè)是對(duì)每個(gè)應(yīng)用(及應(yīng)用協(xié)議)分別進(jìn)行修改。一些重要的TCP/IP應(yīng)用已經(jīng)這樣做了。在RFC1421至1424中,IETF規(guī)定了私用強(qiáng)化郵件(PEM)來(lái)為基于SMTP的電子郵件系統(tǒng)提供安全服務(wù)。Internet業(yè)界采納PEM的步子太慢的原因是PEM依賴于一個(gè)既存的、完全可操作的PKI(公鑰基礎(chǔ)結(jié)構(gòu))。建立一個(gè)符合PEM規(guī)范的PKI需要多方在一個(gè)共同點(diǎn)上達(dá)成信任。作為一個(gè)中間步驟,PhilZimmermann開(kāi)發(fā)了一個(gè)軟件包,叫做PGP(PrettyGoodPrivacy)。PGP符合PEM的絕大多數(shù)規(guī)范,但不必要求PKI的存在。相反,它采用了分布式的信任模型,暨由每個(gè)用戶自己決定該信任哪些其他用戶。因此,PGP不是去推廣一個(gè)全局的PKI,而是讓用戶自己建立自己的信任之網(wǎng)。
4總結(jié)
最重要的是,在一些基于TCP/IP協(xié)議的網(wǎng)絡(luò)安全問(wèn)題的分析和討論,我們了解到應(yīng)用程序?qū)印鬏攲印⒕W(wǎng)絡(luò)層、傳輸層可能有幾個(gè)方面,如網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)的主要原因是由于信任機(jī)制的協(xié)議設(shè)計(jì)相對(duì)簡(jiǎn)單,審定的信息來(lái)源不到位,使大量的惡意內(nèi)容利用漏洞,導(dǎo)致很多軟件欺騙。在解決這些問(wèn)題,因此,我們需要在網(wǎng)絡(luò)信息傳輸通道和信息識(shí)別單元和數(shù)據(jù)存儲(chǔ)信息鏈接中增加安全保護(hù),增強(qiáng)警惕詐騙信息的意識(shí),建立更多的保護(hù)環(huán)節(jié),避免之間信息傳輸?shù)目稍L問(wèn)性。在未來(lái),我們將繼續(xù)進(jìn)一步探索相關(guān)結(jié)構(gòu)的網(wǎng)絡(luò)信息安全保護(hù)功能,提出更科學(xué)、有效的措施,加強(qiáng)我國(guó)網(wǎng)絡(luò)信息安全,促進(jìn)我國(guó)網(wǎng)絡(luò)信息產(chǎn)業(yè)的發(fā)展。
作者:張帥亮 張向磊 馬鵬博 單位:河南科技學(xué)院
參考文獻(xiàn):
[1]基于ARP數(shù)據(jù)包調(diào)度系統(tǒng)連接狀態(tài)檢測(cè)[J].電力系統(tǒng)自動(dòng)化,2006.
[2]基于技術(shù)PVLAN針對(duì)ARP欺騙技術(shù)研究[J].計(jì)算機(jī)知識(shí)和技術(shù)(學(xué)術(shù)),2007.
[3]校園網(wǎng)的ARP欺騙攻擊和保護(hù)[J].福建計(jì)算機(jī)學(xué)報(bào),2007.
1數(shù)據(jù)備份
所謂數(shù)據(jù)備份是指對(duì)重要數(shù)據(jù)進(jìn)行定期備份,通過(guò)數(shù)據(jù)備份免除因信息存儲(chǔ)設(shè)備的物理?yè)p壞或者非法訪問(wèn)信息造成的信息丟失和破壞,數(shù)據(jù)備份可以說(shuō)是保證數(shù)據(jù)安全的重要舉措。數(shù)據(jù)備份的方式有兩種,分別是采用磁盤陣列、磁帶庫(kù)和建立備份記錄。采用磁盤陣列、磁帶庫(kù)進(jìn)行備份主要是著眼于計(jì)算機(jī)系統(tǒng)自身的安全性而言的,采用磁盤陣列、磁帶庫(kù)進(jìn)行備份旨在提高計(jì)算機(jī)系統(tǒng)自身的安全性以及可靠性,進(jìn)而達(dá)到保護(hù)計(jì)算機(jī)數(shù)據(jù)安全的目的。建立備份記錄則是通過(guò)對(duì)備份的數(shù)據(jù)信息進(jìn)行及時(shí)記錄,以此來(lái)防止因備份錯(cuò)誤所導(dǎo)致的數(shù)據(jù)信息不安全問(wèn)題。
2防病毒技術(shù)
所謂防病毒技術(shù)旨在通過(guò)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行定期查殺,以免除因病毒入侵給計(jì)算機(jī)系統(tǒng)自身安全所帶來(lái)的隱患,計(jì)算機(jī)病毒技術(shù)大致分為三部分,分別是:對(duì)計(jì)算機(jī)病毒進(jìn)行預(yù)防、對(duì)計(jì)算機(jī)病毒進(jìn)行檢測(cè)以及對(duì)計(jì)算機(jī)病毒進(jìn)行查殺。從防病毒技術(shù)的發(fā)展歷程來(lái)看,大約經(jīng)歷了三個(gè)階段,第一階段是單機(jī)病毒第二階段是網(wǎng)絡(luò)病毒第三階段是網(wǎng)關(guān)病毒。透過(guò)計(jì)算機(jī)病毒防治手段可以看出,計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)系統(tǒng)所造成的危害范圍呈現(xiàn)出不斷擴(kuò)大的趨勢(shì)。計(jì)算機(jī)病毒歷經(jīng)數(shù)年的發(fā)展已從單一的單機(jī)病毒發(fā)展到可以威脅整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的病毒,因此對(duì)于計(jì)算機(jī)病毒的預(yù)防、檢測(cè)以及查殺手段也要不斷的進(jìn)行更新,從而使之能夠適應(yīng)新形勢(shì)下計(jì)算機(jī)病毒發(fā)展的實(shí)際需要。就目前網(wǎng)絡(luò)飛速的發(fā)展而言,使用網(wǎng)關(guān)病毒對(duì)計(jì)算機(jī)病毒進(jìn)行預(yù)防、檢測(cè)以及查殺仍然是今后防病毒道路上不可或缺的一種防病毒手段。
3防火墻技術(shù)
防火墻技術(shù)是一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開(kāi)的設(shè)備,是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的重要基礎(chǔ)設(shè)施,主要用于限制被保護(hù)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行的信息存取、信息傳遞等操作。就其結(jié)構(gòu)可以將防火墻分為軟件防火墻與硬件防火墻兩類。軟件防火墻主要用于個(gè)人用戶,在使用時(shí)一般將其直接安裝到用戶的電腦上,進(jìn)而通過(guò)相應(yīng)的設(shè)置來(lái)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)之間的信息交換進(jìn)行控制,軟件防火墻的優(yōu)勢(shì)在于成本不高,但其功能也是相對(duì)有限的。目前常見(jiàn)的軟件防火墻主要有天網(wǎng)防火墻、卡巴斯基防火墻以及瑞星防火墻等。與軟件防火墻不同的是,硬件防火墻在使用時(shí)需要將其安裝到內(nèi)部網(wǎng)絡(luò)與外網(wǎng)交接處,硬件防火墻在企事業(yè)單位中使用最多,硬件防火墻的功能和軟件防火墻相比也更為強(qiáng)大,但其成本相對(duì)較高。
4加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)訪問(wèn)權(quán)限控制
訪問(wèn)權(quán)限控制是指對(duì)合法用戶進(jìn)行的對(duì)存儲(chǔ)信息的文件或數(shù)據(jù)操作權(quán)限控制,這種權(quán)限主要對(duì)信息資源的讀、寫、執(zhí)行等。信息存儲(chǔ)訪問(wèn)權(quán)限控制主要采用以下方法,分別是:確定合法用戶對(duì)信息的訪問(wèn)權(quán)限、定期檢查存儲(chǔ)信息的訪問(wèn)權(quán)限和操作權(quán)限。
5加強(qiáng)網(wǎng)絡(luò)安全教育
[關(guān)鍵詞]WSN;網(wǎng)絡(luò)攻擊;應(yīng)對(duì)措施
中圖分類號(hào):TN929.5 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2016)19-0052-02
1.引言
無(wú)線傳感器網(wǎng)絡(luò)(WSN)是由一組傳感器以自組織、多跳方式構(gòu)成的無(wú)線網(wǎng)絡(luò),它集傳感器技術(shù)、嵌入式計(jì)算技術(shù)、無(wú)線通信技術(shù)以及分布式信息處理技術(shù)于一體。隨著WSN網(wǎng)絡(luò)滲入到人們生活的各個(gè)領(lǐng)域,其安全問(wèn)題也越來(lái)越受到人們的重視。
2.WSN易受到的攻擊
(1)物理層攻擊
物理層主要負(fù)責(zé)提供通路,在鏈接通路上傳輸二進(jìn)制比特流。攻擊者最常采用擁塞攻擊、物理篡改等方式攻擊WSN。例如,發(fā)射無(wú)線干擾信號(hào)來(lái)攻擊網(wǎng)絡(luò),此種攻擊方式對(duì)于采用單一頻率通信的WSN非常有效。
(2)鏈路層的攻擊
數(shù)據(jù)鏈路層或介質(zhì)訪問(wèn)控制層為鄰居節(jié)點(diǎn)提供可靠的通信通道,在MAC協(xié)議中,節(jié)點(diǎn)通過(guò)監(jiān)測(cè)鄰居節(jié)點(diǎn)是否發(fā)送數(shù)據(jù)來(lái)確定自身是否能訪問(wèn)通信信道。這種載波監(jiān)聽(tīng)方式特別容易遭到碰撞沖突攻擊,攻擊者對(duì)數(shù)據(jù)進(jìn)行破壞,就會(huì)造成接受者發(fā)送數(shù)據(jù)沖突的應(yīng)答控制信號(hào),造成發(fā)送者不斷重發(fā),繼而使阻塞,耗盡節(jié)點(diǎn)能量,達(dá)到攻擊目的。
(3)網(wǎng)絡(luò)層攻擊
網(wǎng)絡(luò)層常受到的攻擊主要是針對(duì)路由的,甚至?xí)?dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。常見(jiàn)的攻擊有虛假路由信息、選擇轉(zhuǎn)發(fā)、sinkhole攻擊、sybil攻擊、Woemholes攻擊、Hello攻擊等。例如,虛假路由信息主要是通過(guò)欺騙,更改和重發(fā)路由信息,攻擊者可以創(chuàng)建路由環(huán),吸引或者拒絕網(wǎng)絡(luò)信息流通量,延長(zhǎng)或者縮短路由路徑,形成虛假的錯(cuò)誤消息,分割網(wǎng)絡(luò),增加端到端的時(shí)延。
(4)傳輸層攻擊
傳輸層主要用于建立端到端的連接,此層容易受到泛洪攻擊。
(5)應(yīng)用層
應(yīng)用層主要為WSN提供各種實(shí)際應(yīng)用,應(yīng)用層的研究主要集中在為整個(gè)WSN提供安全支持的研究。
3.安全應(yīng)對(duì)措施
(1)對(duì)于物理層受到的擁塞攻擊可采用優(yōu)先級(jí)消息、低占空比、跳頻或擴(kuò)頻技術(shù)等手段來(lái)防御。但會(huì)增加節(jié)點(diǎn)的耗能,目前采用較多以逸待勞的策略,例如給節(jié)點(diǎn)加入睡眠機(jī)制,即節(jié)點(diǎn)并不是同時(shí)工作,以此來(lái)降低攻擊的影響。
(2)對(duì)于數(shù)據(jù)鏈路層的碰撞攻擊,采用時(shí)分多路復(fù)用技術(shù)。此方法會(huì)對(duì)MAC的準(zhǔn)入控制進(jìn)行限速,自動(dòng)忽略過(guò)多的網(wǎng)絡(luò)請(qǐng)求,以避免惡意節(jié)點(diǎn)無(wú)休止干擾導(dǎo)致能源耗盡。
(3)對(duì)于網(wǎng)絡(luò)層虛假路由攻擊,可以通過(guò)認(rèn)證源路由的方式確認(rèn)接受者收到的數(shù)據(jù)包是否來(lái)自網(wǎng)絡(luò)中的合法節(jié)點(diǎn),從而達(dá)到保護(hù)網(wǎng)絡(luò)中合法節(jié)點(diǎn)的目的。
(4)對(duì)于傳輸層的攻擊,可以采用客戶端認(rèn)證的方法加以抵御。
(5)對(duì)于應(yīng)用層,密鑰管理和安全組播為整個(gè)WSN的安全機(jī)制提供安全基礎(chǔ)設(shè)施。例如,通常給傳感器節(jié)點(diǎn)加入預(yù)置密鑰,例如加入預(yù)置全局密鑰、預(yù)置節(jié)點(diǎn)對(duì)密鑰等,達(dá)到給網(wǎng)絡(luò)提供機(jī)密性的安全服務(wù)。
4.總結(jié)
本文淺析了網(wǎng)絡(luò)安全方面的相關(guān)知識(shí),WSN的特點(diǎn)對(duì)網(wǎng)絡(luò)的安全與實(shí)現(xiàn)構(gòu)成了挑戰(zhàn)。若不具備可靠的安全保障,就不能得到用戶的信賴和推廣。網(wǎng)絡(luò)安全性研究對(duì)于網(wǎng)絡(luò)設(shè)計(jì)具有深遠(yuǎn)意義。
參考文獻(xiàn)
[1] 徐力,李擁軍.無(wú)線傳感器網(wǎng)絡(luò)安全方案分析與設(shè)計(jì),科技資訊,2008.
[2] 趙琴.淺談網(wǎng)絡(luò)的安全性研究,機(jī)械管理開(kāi)發(fā),2008,23(1):89-90.
[3] 任偉.無(wú)線網(wǎng)絡(luò)安全問(wèn)題初探,信息網(wǎng)絡(luò)安全,2012(1):10-13.
【關(guān)鍵詞】云計(jì)算;計(jì)算機(jī)網(wǎng)絡(luò);安全問(wèn)題;應(yīng)對(duì)措施
引言
云計(jì)算的出現(xiàn)標(biāo)志著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展進(jìn)入一個(gè)新的領(lǐng)域。云計(jì)算的應(yīng)用在一定程度上滿足了用戶對(duì)計(jì)算機(jī)硬件以及軟件的要求,從而促進(jìn)了網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展。然而,在應(yīng)用云計(jì)算的過(guò)程中,由網(wǎng)絡(luò)資源共享所帶來(lái)的網(wǎng)絡(luò)安全在日益加深,使得我國(guó)萬(wàn)羅性習(xí)受到嚴(yán)重威脅,需要相關(guān)技術(shù)人員加強(qiáng)對(duì)云計(jì)算環(huán)境下網(wǎng)絡(luò)安全問(wèn)題的重視程度,通過(guò)全面探討,提出有效解決這些問(wèn)題的應(yīng)對(duì)措施,保障我國(guó)網(wǎng)絡(luò)信息化技術(shù)在云計(jì)算環(huán)境下得到長(zhǎng)期穩(wěn)定的發(fā)展。
1.云計(jì)算的基本概念極其特征
狹義上的云計(jì)算指的是通過(guò)使用易擴(kuò)展的方法獲取網(wǎng)絡(luò)資源,其支付和使用是建立在IT設(shè)施的基礎(chǔ)上的;而廣義上的云計(jì)算指的是通過(guò)擴(kuò)展的方式在網(wǎng)絡(luò)上收索并獲取所需服務(wù)信息,在狹義云計(jì)算定義的基礎(chǔ)上,加入服務(wù)與相關(guān)軟件、互聯(lián)網(wǎng)或者其他任意服務(wù)之間的聯(lián)系定義,體現(xiàn)的是超大規(guī)模、虛擬化和安全可靠等特點(diǎn)[1]。一般,云計(jì)算具有如下幾方面特征:
第一,云計(jì)算系統(tǒng)具有超大的運(yùn)行規(guī)模。本地計(jì)算機(jī)管理系統(tǒng)的運(yùn)行規(guī)模十分復(fù)雜,而云計(jì)算管理系統(tǒng)的運(yùn)行規(guī)模相較于本地計(jì)算機(jī)管理系統(tǒng)而言,其規(guī)模遠(yuǎn)遠(yuǎn)強(qiáng)于后者。大多數(shù)企業(yè)的云計(jì)算管理系統(tǒng)擁有成千上萬(wàn)臺(tái)服務(wù)器,以確保企業(yè)資源信息的安全。
第二,云計(jì)算管理系統(tǒng)是一個(gè)虛擬化的系統(tǒng)。應(yīng)用云計(jì)算管理系統(tǒng)的用戶可在任意終端的任意位置處獲取所需服務(wù),用戶無(wú)需確定準(zhǔn)確的云計(jì)算位置,只需要一個(gè)用戶終端即可實(shí)現(xiàn)用戶借助網(wǎng)絡(luò)獲取服務(wù)的需求。
第三,具有較高的安全可靠性。云計(jì)算采用的是數(shù)據(jù)多副本容錯(cuò)以及網(wǎng)絡(luò)節(jié)點(diǎn)之間可進(jìn)行互換同構(gòu)的分支,提高系統(tǒng)的安全可靠性。
第四,云計(jì)算管理系統(tǒng)還具有一定的通用性。不同的應(yīng)用程序之間被允許在同一云計(jì)算中同時(shí)運(yùn)行,并構(gòu)造出其他類型的應(yīng)用。
第五,云計(jì)算提供按需服務(wù)。在云計(jì)算中可以實(shí)現(xiàn)按需購(gòu)買等服務(wù),只是需要像日常用水用電一樣付費(fèi)處理,才能確保企業(yè)具有龐大的網(wǎng)絡(luò)資源池[2]。
2.云計(jì)算存在的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題
云計(jì)算管理系統(tǒng)促進(jìn)了我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的發(fā)展。但由于網(wǎng)絡(luò)信息資源的共享性和開(kāi)放性,使得云計(jì)算網(wǎng)絡(luò)安全受到威脅,主要體現(xiàn)在以下幾個(gè)方面。
2.1 網(wǎng)絡(luò)通信因素
網(wǎng)通通信因素對(duì)云計(jì)算網(wǎng)絡(luò)產(chǎn)生安全性威脅主要表現(xiàn)為當(dāng)云計(jì)算網(wǎng)絡(luò)受到攻擊時(shí),服務(wù)器會(huì)立即拒絕提供用戶服務(wù),且在傳輸數(shù)據(jù)過(guò)程中容易遭受到安全性威脅。
首先,云計(jì)算環(huán)境下,當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊時(shí),用戶的數(shù)據(jù)信息有可能會(huì)受到監(jiān)聽(tīng)或竊取,使得用戶的基本信息受到安全性威脅。
其次,云計(jì)算環(huán)境下如果對(duì)用戶數(shù)據(jù)進(jìn)行修改、刪除、增加等篡改處理,且沒(méi)有獲得權(quán)限,那么就有可能會(huì)造成用戶數(shù)據(jù)的損壞。
最后,拒絕服務(wù)攻擊方式。主要是運(yùn)用云計(jì)算來(lái)處理瓶頸問(wèn)題,當(dāng)發(fā)送過(guò)量的通信請(qǐng)求給云計(jì)算服務(wù)器時(shí),系統(tǒng)會(huì)自動(dòng)拒絕正常服務(wù)請(qǐng)求,使得用戶的數(shù)據(jù)信息再次遭到破壞。
2.2 訪問(wèn)控制因素
訪問(wèn)控制因素對(duì)云計(jì)算網(wǎng)絡(luò)產(chǎn)生安全性威脅主要表現(xiàn)為借助非法手段獲取合法用戶的訪問(wèn)權(quán)限,實(shí)現(xiàn)竊取數(shù)據(jù)信息的目的。首先,通過(guò)不斷非法攻擊合法用戶的第三方授權(quán)服務(wù)器,使得授權(quán)系統(tǒng)錯(cuò)誤的將訪問(wèn)權(quán)限授權(quán)給非法用戶,造成數(shù)據(jù)的泄露,由于系統(tǒng)的損壞,有可能會(huì)拒絕合法用戶的正常操作。其次,當(dāng)合法授權(quán)用戶使用非法手段對(duì)用戶的數(shù)據(jù)進(jìn)行修改、刪除或增加等篡改處理時(shí),會(huì)造成用戶信息的泄露,嚴(yán)重影響用戶數(shù)據(jù)的安全性[3]。最后,推理通道。聰明的非法用戶利用自己的邏輯推理能力,使得自己能夠?qū)τ脩舻臄?shù)據(jù)進(jìn)行越權(quán)操作處理,降低了用戶數(shù)據(jù)的安全性。
2.3 存儲(chǔ)因素
存儲(chǔ)因素對(duì)云計(jì)算網(wǎng)絡(luò)產(chǎn)生安全性威脅主要表現(xiàn)為云計(jì)算環(huán)境中數(shù)據(jù)的存儲(chǔ)容易受到威脅,使得用戶數(shù)據(jù)的保密性下降。首先,對(duì)數(shù)據(jù)存儲(chǔ)時(shí)并未做加密處理,使得當(dāng)云計(jì)算網(wǎng)絡(luò)受到攻擊時(shí),用戶數(shù)據(jù)的保密性會(huì)受到威脅,從而加大了信息泄露的風(fēng)險(xiǎn)。其次,攻擊者如果直接與存放數(shù)據(jù)的介質(zhì)相互接觸,那么就能直接對(duì)數(shù)據(jù)進(jìn)行修改、刪除處理,甚至能夠竊取用戶信息,造成用戶數(shù)據(jù)的泄露,降低了用戶信息的保密性以及完整性。最后,缺乏健全的數(shù)據(jù)備份機(jī)制,使得當(dāng)遭受到攻擊時(shí),無(wú)法及時(shí)進(jìn)行恢復(fù)數(shù)據(jù)處理,降低了用戶數(shù)據(jù)的可用性。
2.4 身份認(rèn)證因素
身份認(rèn)證威脅對(duì)云計(jì)算網(wǎng)絡(luò)產(chǎn)生安全性威脅主要表現(xiàn)為云計(jì)算環(huán)境下黑客通過(guò)攻擊系統(tǒng)的認(rèn)證服務(wù)器,來(lái)竊取用戶信息,降低用戶數(shù)據(jù)的安全性。首先,攻擊者利用非法手段竊取合法用戶的相關(guān)認(rèn)證信息,并將信息泄露,使得用戶數(shù)據(jù)失去安全保護(hù)。其次,通過(guò)攻擊第三方認(rèn)證服務(wù)器,達(dá)到竊取用戶認(rèn)證信息的目的,也使得用戶數(shù)據(jù)的安全遭受到威脅。最后,某些用戶在使用非法手段完成相關(guān)操作后,不想對(duì)其非法操作行為負(fù)責(zé),而采取身份認(rèn)證抵賴,使得自身的數(shù)據(jù)信息難以受到保護(hù)。
【關(guān)鍵詞】高校校園網(wǎng)絡(luò)安全;具體問(wèn)題;治理路徑
1認(rèn)識(shí)高校校園網(wǎng)絡(luò)安全的重要意義
計(jì)算機(jī)技術(shù)的迅猛發(fā)展,使得人們從利用簡(jiǎn)單的內(nèi)部網(wǎng)絡(luò)聯(lián)機(jī)處理業(yè)務(wù)發(fā)展到利用互聯(lián)網(wǎng)計(jì)算機(jī)處理系統(tǒng)進(jìn)行數(shù)據(jù)處理和資源共享,互聯(lián)網(wǎng)成為了人們生產(chǎn)生活所必備的工具。通過(guò)互聯(lián)網(wǎng)絡(luò)平臺(tái),人們可以進(jìn)行自由交流,建立各種社會(huì)關(guān)系。同時(shí),網(wǎng)絡(luò)也成為社會(huì)生產(chǎn)總過(guò)程中生產(chǎn)、分配、交換、消費(fèi)的重要媒介。時(shí)至今日,我國(guó)網(wǎng)民數(shù)量已經(jīng)躍居世界第一。互聯(lián)網(wǎng)的迅速發(fā)展使高等教育在信息化基礎(chǔ)設(shè)施、資源建設(shè)、信息化應(yīng)用、人才培養(yǎng)、管理體制等方面均發(fā)生了歷史性變革,高校運(yùn)用互聯(lián)網(wǎng)進(jìn)行教務(wù)管理,搭建教師服務(wù)器輔助教學(xué),利用網(wǎng)絡(luò)的協(xié)作學(xué)習(xí)平臺(tái)輔助教學(xué),彌補(bǔ)課堂教學(xué)不足。但與之相伴隨而來(lái)的卻是校園網(wǎng)絡(luò)安全問(wèn)題。近年來(lái),大學(xué)校園電信主干網(wǎng)絡(luò)不斷遭受到病毒入侵、黑客攻擊等威脅,導(dǎo)致校園網(wǎng)速過(guò)慢或者甚至造成了整個(gè)網(wǎng)絡(luò)的癱瘓,嚴(yán)重影響著學(xué)校辦公系統(tǒng)、學(xué)生的正常學(xué)習(xí)。高校校園網(wǎng)絡(luò)安全是指校園網(wǎng)絡(luò)系統(tǒng)硬件、軟件及系統(tǒng)數(shù)據(jù)受到保護(hù)而不因偶然的或者惡意的原因遭到破壞、更改、泄露,系統(tǒng)可正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。目前高校校園網(wǎng)絡(luò)存在的安全隱患主要有:第一,通信協(xié)議不安全。Internet數(shù)據(jù)傳輸基于TCP/IP通信協(xié)議進(jìn)行,難以避免通信協(xié)議被竊取;第二,病毒感染并傳播。病毒能使網(wǎng)絡(luò)癱瘓、數(shù)據(jù)和文件丟失,在網(wǎng)絡(luò)上傳播的病毒通過(guò)公共匿名FTP文件傳送能夠使病毒附加彌漫;第三,傳遞偽信息。通過(guò)網(wǎng)絡(luò)傳播信息,信息的內(nèi)容有可能被篡改。因?yàn)樾畔⒌膩?lái)源和去向是否真實(shí),內(nèi)容是否被改動(dòng),以及是否泄露等無(wú)法用傳統(tǒng)的保護(hù)手段來(lái)運(yùn)行;第四,系統(tǒng)配置問(wèn)題。系統(tǒng)的安全配置不當(dāng)會(huì)導(dǎo)致安全漏洞。例如防火墻軟件的配置不正確。因此,重視高校校園網(wǎng)絡(luò)安全,強(qiáng)化治理措施有著重要的意義。
2高校校園網(wǎng)絡(luò)安全存在的具體問(wèn)題
高校校園網(wǎng)絡(luò)安全存在的具體問(wèn)題具有一般網(wǎng)絡(luò)安全的共性,如網(wǎng)絡(luò)系統(tǒng)安全即計(jì)算機(jī)和網(wǎng)絡(luò)本身存在的安全問(wèn)題;網(wǎng)絡(luò)信息安全即信息在網(wǎng)絡(luò)的傳遞過(guò)程中面臨的信息被竊取、信息被篡改、信息被假冒和信息被惡意破壞等問(wèn)題;網(wǎng)絡(luò)交易安全即商品交易過(guò)程中存在的交易主體真實(shí)性、資金的被盜用、合同的法律效應(yīng)、交易行為被抵賴等問(wèn)題,這些問(wèn)題在高校校園網(wǎng)絡(luò)運(yùn)用過(guò)程中時(shí)常發(fā)生。另外,高校校園網(wǎng)絡(luò)安全還具有獨(dú)特性,主要表現(xiàn)為:第一,網(wǎng)絡(luò)病毒肆虐。高校行政人員、教師和學(xué)生收發(fā)電子郵件、瀏覽網(wǎng)頁(yè)、使用U盤等移動(dòng)存儲(chǔ)設(shè)備網(wǎng)絡(luò)的頻率較社會(huì)其他人員高很多,而網(wǎng)絡(luò)病毒編造者很容易讓使用者下載、傳播病毒,導(dǎo)致網(wǎng)絡(luò)病毒肆虐,嚴(yán)重影響校園網(wǎng)絡(luò)正常運(yùn)行。第二,終端系統(tǒng)漏洞。不法分子通過(guò)網(wǎng)絡(luò)植入木馬、病毒等方式攻擊或控制電腦,竊取電腦中的重要資料和信息,甚至破壞系統(tǒng)。第三,網(wǎng)絡(luò)安全設(shè)施配備不足。大多數(shù)高校網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)嚴(yán)重不足,所撥的有限經(jīng)費(fèi)也是投在基本的網(wǎng)絡(luò)設(shè)備上,網(wǎng)絡(luò)安全建設(shè)方面投入很少,所以高校校園網(wǎng)幾乎處于開(kāi)放狀態(tài),安全預(yù)警和防范措施沒(méi)有跟上,致使校園網(wǎng)屢受攻擊。第四,網(wǎng)管缺位。高校網(wǎng)絡(luò)管理松散,制度松弛,社會(huì)閑雜人員趁機(jī)誘騙學(xué)生,借用學(xué)生證件混入機(jī)房,盜用他人賬號(hào)進(jìn)行不法活動(dòng)。第五,網(wǎng)管人員安全意識(shí)淡薄。網(wǎng)管人員只是注重設(shè)備的日常護(hù)理和簡(jiǎn)單防范,多數(shù)不精于技術(shù)的學(xué)習(xí)和研究,對(duì)于技術(shù)性強(qiáng)的問(wèn)題束手無(wú)策,因此導(dǎo)致網(wǎng)絡(luò)管理出現(xiàn)管而不理的局面。
3高校校園網(wǎng)絡(luò)安全治理的路徑
網(wǎng)絡(luò)技術(shù)是運(yùn)行的硬件,網(wǎng)絡(luò)管理是運(yùn)行的軟件,高校校園網(wǎng)絡(luò)安全治理必須從技術(shù)和管理兩方面入手,提高技術(shù)防范能力,加強(qiáng)制度管理。
3.1提高高校校園網(wǎng)絡(luò)技術(shù)治理
(1)強(qiáng)化防火墻。防火墻技術(shù)是通過(guò)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn),防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。主要是通過(guò)對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)[1]。其技術(shù)運(yùn)用是在校園網(wǎng)的入口處架設(shè)防火墻,實(shí)時(shí)對(duì)校園網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)分析,將檢測(cè)結(jié)果告知管理人員,有效保護(hù)內(nèi)部網(wǎng)絡(luò)遭受外部攻擊。(2)安裝殺毒軟件。高校校園網(wǎng)絡(luò)使用十分普遍,網(wǎng)絡(luò)節(jié)點(diǎn)日益增多,多數(shù)節(jié)點(diǎn)未采取安全措施,部分用戶也只是私自下載不同版本的殺毒軟件,很容易造成病毒感染及傳播,網(wǎng)絡(luò)管理員必須安裝適應(yīng)的殺毒軟件并須及時(shí)有效地升級(jí)、掃描系統(tǒng)。(3)數(shù)據(jù)加密。通過(guò)數(shù)據(jù)加密提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破壞。特別是高校的教務(wù)處、財(cái)務(wù)處等重要部門,必須采用相應(yīng)的技術(shù)以保證數(shù)據(jù)的準(zhǔn)確性、完整性。(4)訪問(wèn)控制。對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源權(quán)限進(jìn)行嚴(yán)格認(rèn)證和控制。如學(xué)生上網(wǎng)查詢課程成績(jī)需進(jìn)行身份認(rèn)證,對(duì)口令加密、更新和鑒別,設(shè)置用戶訪問(wèn)目錄和文件的權(quán)限,控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限等,是校園的網(wǎng)絡(luò)資源不會(huì)被未授權(quán)的非法用戶使用和訪問(wèn)。(5)認(rèn)證技術(shù)。用電子手段證明發(fā)送者和接收者身份及文件的完整性,確認(rèn)雙方身份信息在傳送或存儲(chǔ)過(guò)程中未被篡改過(guò)。
3.2加強(qiáng)高校校園網(wǎng)絡(luò)規(guī)范管理
(1)規(guī)范出口管理。對(duì)原有網(wǎng)絡(luò)設(shè)施、機(jī)房環(huán)境、報(bào)警系統(tǒng)等管理制度進(jìn)行升級(jí)改造,對(duì)校園教職工、學(xué)生進(jìn)出網(wǎng)絡(luò)進(jìn)行統(tǒng)一的管理。(2)強(qiáng)化網(wǎng)絡(luò)軟件安裝管理。要求所有計(jì)算機(jī)設(shè)備安裝高性能防火墻、合適的殺毒軟件,管理人員要及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)病毒入侵,及時(shí)向所有計(jì)算機(jī)用戶相關(guān)信息。(3)建立統(tǒng)一身份認(rèn)證系統(tǒng)。要求高校管理機(jī)構(gòu)、教學(xué)機(jī)構(gòu)、教輔機(jī)構(gòu)及其他部門建立上網(wǎng)身份認(rèn)證制度,各部門必須有統(tǒng)一、對(duì)應(yīng)的身份認(rèn)證系統(tǒng),保證只允許本部門職工才能查看各自對(duì)應(yīng)的相關(guān)信息。(4)加強(qiáng)上網(wǎng)場(chǎng)所監(jiān)管。建立嚴(yán)格的上網(wǎng)場(chǎng)所制度,要求教職工、學(xué)生使用統(tǒng)一的管理軟件、統(tǒng)一的身份認(rèn)證系統(tǒng)進(jìn)行上網(wǎng),杜絕了非法用戶的入侵。(5)規(guī)范電子郵件傳遞方式。要求電子郵件用戶采用加密措施或簡(jiǎn)單加密傳送文件或采用認(rèn)證技術(shù)中的數(shù)字簽名機(jī)制來(lái)解決偽造、抵賴、冒充、篡改等問(wèn)題。(6)加強(qiáng)網(wǎng)絡(luò)管理人才隊(duì)伍建設(shè)。加強(qiáng)網(wǎng)絡(luò)管理人員技能培訓(xùn),及時(shí)拓展專業(yè)技能,提高網(wǎng)絡(luò)管理能力。
【參考文獻(xiàn)】
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)