網絡安全防范論文范文
前言:我們精心挑選了數篇優質網絡安全防范論文文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
目前,許多學校的校園網都以WINDOWSNT做為系統平臺,由IIS(InternetInformationServer)提供WEB等等服務。下面本人結合自己對WINDOWSNT網絡管理的一點經驗與體會,就技術方面談談自己對校園網安全的一些看法。
一、密碼的安全
眾所周知,用密碼保護系統和數據的安全是最經常采用也是最初采用的方法之一。目前發現的大多數安全問題,是由于密碼管理不嚴,使"入侵者"得以趁虛而入。因此密碼口令的有效管理是非常基本的,也是非常重要的。
在密碼的設置安全上,首先絕對杜絕不設口令的帳號存在,尤其是超級用戶帳號。一些網絡管理人員,為了圖方便,認為服務服務器只由自己一個人管理使用,常常對系統不設置密碼。這樣,"入侵者"就能通過網絡輕而易舉的進入系統。筆者曾經就發現并進入多個這樣的系統。另外,對于系統的一些權限,如果設置不當,對用戶不進行密碼驗證,也可能為"入侵者"留下后門。比如,對WEB網頁的修改權限設置,在WINDOWSNT4.0+IIS4.0版系統中,就常常將網站的修改權限設定為任何用戶都能修改(可能是IIS默認安裝造成的),這樣,任何一個用戶,通過互聯網連上站點后,都可以對主頁進行修改刪除等操作。
其次,在密碼口令的設置上要避免使用弱密碼,就是容易被人猜出字符作為密碼。筆者就猜過幾個這樣的站點,他們的共同特點就是利用自己名字的縮寫或6位相同的數字進行密碼設置。
密碼的長度也是設置者所要考慮的一個問題。在WINDOWSNT系統中,有一個sam文件,它是windowsNT的用戶帳戶數據庫,所有NT用戶的登錄名及口令等相關信息都會保存在這個文件中。如果"入侵者"通過系統或網絡的漏洞得到了這個文件,就能通過一定的程序(如L0phtCrack)對它進行解碼分析。在用L0phtCrack破解時,如果使用"暴力破解"方式對所有字符組合進行破解,那么對于5位以下的密碼它最多只要用十幾分鐘就完成,對于6位字符的密碼它也只要用十幾小時,但是對于7位或以上它至少耗時一個月左右,所以說,在密碼設置時一定要有足夠的長度。總之在密碼設置上,最好使用一個不常見、有一定長度的但是你又容易記得的密碼。另外,適當的交叉使用大小寫字母也是增加被破解難度的好辦法。
二、系統的安全
最近流行于網絡上的"紅色代碼"、"藍色代碼"及"尼姆達"病毒都利用系統的漏洞進行傳播。從目前來看,各種系統或多或少都存在著各種的漏洞,系統漏洞的存在就成網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。比如上面提及引起"紅色代碼"、"藍色代碼"及"尼姆達"病毒的傳播流行的Unicode解碼漏洞,早在去年的10月就被發現,且沒隔多久就有了解決方案和補丁,但是許多的網絡管理員并沒有知道及時的發現和補丁,以至于過了將近一年,還能掃描到許多機器存在該漏洞。
在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因些從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
在WINDOWSNT使用的IIS,是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,為了加大安全性,在安裝配置時可以注意以下幾個方面:
首先,不要將IIS安裝在默認目錄里(默認目錄為C:\Inetpub),可以在其它邏輯盤中重新建一個目錄,并在IIS管理器中將主目錄指向新建的目錄。
其次,IIS在安裝后,會在目錄中產生如scripts等默認虛擬目錄,而該目錄有執行程序的權限,這對系統的安全影響較大,許多漏洞的利用都是通過它進行的。因此,在安裝后,應將所有不用的虛擬目錄都刪除掉。
第三,在安裝IIS后,要對應用程序進行配置,在IIS管理器中刪除必須之外的任何無用映射,只保留確實需要用到的文件類型。對于各目錄的權限設置一定要慎重,盡量不要給可執行權限。
三、目錄共享的安全
在校園網絡中,利用在對等網中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但在設置過程中,要充分認識到當一個目錄共享后,就不光是校園網內的用戶可以訪問到,而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。筆者曾搜索過外地機器的一個C類IP網段,發現共享的機器就有十幾臺,而且許多機器是將整個C盤、D盤進行共享,并且在共享時將屬性設置為完全共享,且不進行密碼保護,這樣只要將其映射成一個網絡硬盤,就能對上面的資料、文檔進行查看、修改、刪除。所以,為了防止資料的外泄,在設置共享時一定要設定訪問密碼。只有這樣,才能保證共享目錄資料的安全。
四、木馬的防范
相信木馬對于大多數人來說不算陌生。它是一種遠程控制工具,以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬,它就變成了一臺傀儡機,對方可以在你的電腦上上傳下載文件,偷窺你的私人文件,偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前,隱私?不復存在!木馬,應該說是網絡安全的大敵。并且在進行的各種入侵攻擊行為中,木馬都起到了開路先鋒的作用。
木馬感染通常是執行了一些帶毒的程序,而駐留在你的計算機當中,在以后的計算機啟動后,木馬就在機器中打開一個服務,通過這個服務將你計算機的信息、資料向外傳遞,在各種木馬中,較常見的是"冰河",筆者也曾用冰河掃描過網絡上的計算機。發現每個C類IP網段中(個人用戶),偶爾都會發現一、二個感染冰河的機器。由此可見,個人用戶中感染木馬的可能性還是比較高的。如果是服務器感染了木馬,危害更是可怕。
第2篇
從人類發明了第一臺計算機的那天開始,系統漏洞也伴隨著計算機走過了數十個年頭,沒有任何人是十全十美的,那么人們創造的東西也就隨之不可能十全十美,往往就會伴隨著各種各樣的系統漏洞。系統漏洞產生的原因是多方面的,比如人為因素、客觀因素、計算機的硬件因素。在程序員編寫代碼的時候可能會因為一時疏忽,沒有注意到其中的一些細節性問題導致出現了漏洞;客觀方面可能受限于編程人員的個人能力以及硬件方面的技術缺陷,往往一些系統漏洞就無法避免。到目前為止,幾乎所有的網絡系統都多多少少存在著一些漏洞,這些漏洞可能是因為系統本身所有的,如Windows這個操作系統就有諸多的漏洞。除此之外,局域網內的部分用戶可能會為了貪便宜而使用盜版軟件以及因為網絡管理員的疏忽也容易造成網絡系統漏洞。借助完善嚴密的管理制度、科學有效的技術方法,可以盡可能降低危險,做到防患于未然。一個管理不嚴,沒有安全措施的網絡就等于是為居心叵測的人虛掩著網絡的大門,一旦出現問題網絡將全然沒有抵御能力。
2安全防范措施
隨著當今網絡技術的進步發展,網絡安全問題所呈現出來的危險性也在日漸增大,為保證顧客使用網絡的安全性,針對以上提到的四種網絡安全隱患,特提出以下的安全防范措施。
2.1計算機病毒的處理
普遍來講,計算機病毒的破壞能力大、針對性較強、潛伏時間長、傳播途徑廣、繁殖能力強等,要想控制計算機病毒的傳播,無非就有三種常見的方法,首先要找到“病根”,找到這個病毒的來源在哪,從源頭根本上解決病毒的存在;其次就是才去有效措施切斷病毒的傳播途徑,通過安裝一些專業的殺毒軟件(如360,金山毒霸等等),防火墻等等來阻隔計算機病毒的傳播;最后保守之計,一旦計算機病毒已經感染了你的計算機,一定要及時的進行清除,更新自身的病毒庫,徹底的進行一次全盤掃描,消除隱患,并定期的檢測硬盤內數據的情況。
2.2提高網絡安全意識
到目前,各大中小學都在陸續的開展計算機課程,這是一個很好的現象,讓人們從小就接觸計算機網絡,學習其中的知識,提高了自身的網絡識別能力。對于一些涉及到財產的敏感語句要加以防范,學會分辨真假,在公共場合進行上網的時候,如果登錄了自己的一些賬號,在使用完畢之后一定要進行安全退出,不要留下自己的個人信息,養成良好的網絡使用習慣,這將受益于一生。
2.3及時修補系統漏洞
在平時的計算機使用過程當中如果發現漏洞,一定要用專業的修復工具進行漏洞的修復工作,而且隨著時間的推移可能一些系統補丁會失去它原有的作用,這時候需要進行補丁的更新。其次在日常生活當中,我們應該養成定期對自己硬盤的重要數據做備份的工作,以便于萬一出現系統癱瘓的情況下,也不會對個人財產造成損失。
3結束語
第3篇
校園網作為因特網的重要組成部分,為教學提供了極大的方便。由于管理和使用等因素,校園網面臨著嚴重的安全威脅。其中主要體現為水災、雷擊或者操作人員的操作不當而導致的硬件或者網絡系損壞,另外黑客攻擊是校園網系統的主要安全影響因素。近年來,隨著網絡技術的發達,木馬安裝程序也越來越精密,不但影響公共網絡,也給校園網的安全帶來極大的沖擊。學生作為主要操作者,缺乏專業的技術,因此容易出現操作失誤現象。另外,學生的好奇心會導致系IP被修改,或者進入不安全網頁,導致計算機系統被病毒侵害。另外,校園網系統還面臨著系統應用問題和管理風險。系統應用問題主要體現為操作系統安全隱患和數據庫安全隱患。由于系統自身設計不完善,將導致操作系統存在致命的安全隱患,這需要檢修人員和技術人員及時發現并對其進行處理,以免出現重大安全事故。計算機服務器終端安全風險將導致整個系統的安全系統下降,出現安全漏洞,影響計算機的使用壽命。從這一點上,確保操作系統的信息安全是管理者的重要任務。但在校園網管理上,由于受到高校制度和對網絡教學或者計算機實踐教學重視程度不夠的影響,管理安全隱患十分明顯。目前,校園網安全管理依然是人在管理,管理效率低下的主要原因在于管理人員的綜合素質不高,管理制度不明確。要解決這一問題,就需要對校園網管理制度進行調整。
2校園網絡安全防范設計方案
為了提高校園網的安全系數,應建立可靠的拓撲結構,其中包括備份鏈路、必要的網絡防火墻以及VPN的構建。具體過程如下:
2.1利用備份鏈路優化校園網的容錯能力
備份鏈路的使用可有效提高網絡的容錯能力,降低安全風險。主要應用于路由器同系統核心交換機之間,其作用在于對學生連接的外網進行檢驗和排查,控制非法連接,從而提高被訪問網頁的安全系數。在核心交換機之間同樣可進行雙鏈路連接和端口聚合技術,從而確保鏈路之間的備份,提高交換帶寬。
2.2計算機防火墻的合理應用
計算機防火墻在校園網安全中起著決定性的作用。通過防火墻的建立,可攔截存在安全隱患的網頁。操作人員可在防火墻上預設適當的安全規則ACL,對通過防火墻的數據信息進行檢測,處理存在安全隱患的信息,禁止其通過,這一原理使得防火墻具有安裝方便,效率高等特點。在計算機系統中,防火墻實際上是外網與內網之間連接的唯一出口,實現了二者之間的隔離,是一種典型的拓撲結構。根據校園網自身特點,可對這一拓撲進行調整,將防火墻放置于核心交換機與服務器群中間。其主要原因為:防止內部操作人員對計算機網絡系統發起攻擊;降低了黑客對網絡的影響,同時實現對計算機網絡系統的內部保護和外部保護,使流經防火墻的流量降低,實現其高效性。但是隨著科技的發達,網絡木馬的類型逐漸增多,這要求防火墻技術也要不斷的更新,以發揮其積極作用。將計算機防火墻同木馬入侵檢測緊密結合在一起,一旦入侵檢測系統捕捉到某一惡性攻擊,系統就會自動進行檢測。而這一惡性攻擊設置防火墻阻斷,則入侵檢測系統就會發給防火墻對應的動態阻斷方案。這樣能夠確保防火墻完全按照檢測系統所提供的動態策略來進行系統維護。
2.3VPN的構建
VPN主要針對校園網絡的外用,尤其是針對出差人員,要盡量控制其使用校內網絡資源。如必須使用,則要構建VPN系統,即在構建動態的外部網絡通往校園網的虛擬專用通道,也可建立多個校園網絡區域之間的VPN系統連接,提高安全防護效率。
2.4網絡層其他安全技術
網絡層其他安全技術主要體現為:防網絡病毒和防網絡攻擊。現在網絡病毒對網絡的沖擊影響已經越來越大,如:非常猖狂的紅色代碼、沖擊波等網絡病毒,所以有必要對網絡病毒繼續有效的控制;而網絡中針對交換機的攻擊和必須經過交換機的攻擊有如下幾種:MAC攻擊、DHCP攻擊、ARP攻擊、IP/MAC欺騙攻擊、STP攻擊、IP掃描攻擊和網絡設備管理安全。
3校園網的安全管理方案
計算機管理也是校園網安全的主要控制方案。在促進管理效率提高的過程中,主要可以采取VLAN技術、網絡存儲技術和交換機端口安全性能提高等方案,具體表現為以下幾個方面:
3.1應用VLAN技術提升網絡安全性能
VLAN技術是校園網安全管理中應用的主要技術,這一技術的應用有效的提高了計算機安全管理效率,優化了設備的性能。同時對系統的帶寬和靈活性都具有促進作用。VLAN可以獨立設計,也可以聯動設計,具有靈活性,并且這一技術操作方便有利于資源的優化管理,只要設置必要的訪問權限,便可實現其功能。
3.2利用網絡存儲技術,確保網絡數據信息安全
校園網絡數據信息安全一直是網絡安全管理中的主要任務之一。除了技術層面的防火墻,還要求采用合理的存儲技術,確保數據安全。這樣,不但可以防止數據篡改,還要防止數據丟失。目前,主要的存儲技術包括DAS、RAID和NAS等。
3.3配置交換機端口控制非法網絡接入
交換機端口安全可從限制接入端口的最大連接數、IP地址與接入的MAC地址來實現安全配置。對學生由于好奇而修改IP地址的行為具有控制作用。其原理在于一旦出現不合理操作,將會觸發和該設備連接的交換機端口產生一個違例并對其實施強制關閉。設置管理員權限,降低不合理操作。配置交換機端口可實現將非法接入的設備擋在最低層。
4總結
