計算機網絡分析論文范文

時間:2023-03-17 13:41:45

導語:如何才能寫好一篇計算機網絡分析論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

計算機網絡分析論文

篇1

信息安全的內涵隨著信息技術的不斷發展而得到了擴展,從原始的保密性逐漸增加了完整性、可控性及可用性等,最終形成的集攻擊、防范、檢測與控制、管理、評估等與一體的理論體系。傳統的信息安全技術將注意力都集中在計算機系統本身的安全方面,針對單機系統環境而進行設置,不能夠對計算機網絡環境安全進行良好的描述,也缺乏有效應對動態安全問題的措施。隨著計算機網絡的不斷發展與推廣,互聯網逐漸具備了動態變化性,而傳統的靜態安全模式已經不能夠滿足其安全要求了。在這種背景之下,信息安全體系結構的出現更好地滿足了計算機網絡的安全需求,因此得到了迅速的發展與推廣。信息安全體系結構的思路為:通過不同安全防護因素的相互結合實現比單一防護更加有效的綜合型防護屏障,這種安全防護體系結構能夠更好地降低黑客對計算機網絡的入侵與破壞,確保計算機網絡安全。

計算機網絡的信息安全體系結構的主要作用就是為信息保障、數據傳遞奠定堅實的基礎。隨著計算機網絡所面臨的風險與壓力的不斷增大,為了能夠更好地確保信息安全,必須注重計算機網信息安全體系結構完整性、實用性的提高。在科技的不斷發展與進步的基礎之上,提出了計算機網絡信息安全體系結構——WPDRRC結構,不同的字母代表不同的環節,主要包括warnin(g預警)、protect(保護)、detectio(n檢測)、respons(e響應)、restor(e恢復)、counterattac(k反擊)六個方面,各個環節之間由于時間關系而具有動態反饋的關系。在計算機網絡的信息安全體系結構中,預警模塊、保護模塊與檢測模塊都是以預防性為主的,通過保護與檢測行為對黑客入侵計算機進行較為有效的制止。當前,雖然計算機網絡信息安全技術已經比較先進,但是由于計算機網絡所具有的開放性,其安全性依舊是面臨一定威脅的。因此,在計算機網絡的信息安全體系結構中,響應模塊、恢復模塊與反擊模塊主要的作用是解決實質性的工作,對已經出現的各種安全問題進行有效地解決,確保計算機網絡信息安全。

1.1warnin(g預警)整個計算機網絡的信息安全體系結構中,預警模塊是最為根本的所在,主要的作用是對計算機網絡的信息安全進行診斷,該診斷具有預防性。同時,預警結構通過研究計算機網絡的性能,提出具有科學性與合理性的評估報告。

1.2protect(保護)保護結構主要的作用是對計算機的信息安全系統提供保護,確保計算機網絡在使用過程中的安全性,有效地封鎖、控制外界對計算機網絡的入侵及攻擊行為。保護結構能夠對計算機網絡進行安全設置,實現對計算機網絡的檢查與保護,其檢查與保護工作的重點內容就是網絡總存在的各種可能被攻擊的點或者是存在的漏洞,通過這些方式為信息數據在計算機網絡中的安全、通暢應用提供條件。

1.3detectio(n檢測)計算機網絡的信息安全體系結構中的檢查結構主要的作用是對計算機受到的各種攻擊行為進行及時、準確的發覺。在整個信息安全體系結構中,檢測結構具有隱蔽性,主要的目的是防止黑客發現并惡意修改信息安全體系結構中的檢測模塊,確保檢測模塊能夠持續為計算機網絡提供保護,同時還能夠促進檢測模塊自身保護能力的提高。檢測模塊一般情況下需要與保護模塊進行配合應用,從而促進計算機網絡保護能力與檢測能力的提高。

1.4respons(e響應)當計算機網絡信息安全體系結構中出現入侵行為之后,需要及時通過凍結措施對計算機網絡進行凍結,從而防止黑客的入侵行為進一個侵入到計算機網絡中。同時,要通過相應的響應模塊對入侵進行響應。例如,計算機網絡信息安全體系結構中可以通過阻斷響應系統技術實現對入侵及時、準確的響應,杜絕黑客對計算機網絡更加深入的入侵行為。

1.5restor(e恢復)計算機網絡信息安全體系結構中的恢復模塊主要的作用是在計算機網絡遭受到黑客的攻擊與入侵之后,對已經損壞的信息數據等進行及時的恢復。在對其進行恢復的過程中,主要的原理為事先對計算機網絡中的信息文件與數據資源進行備份工作,當其受到攻擊與入侵之后通過自動恢復功能對其進行修復。

1.6counterattac(k反擊)計算機網絡信息安全體系結構中的反擊模塊具有較高的性能,主要的作用為通過標記跟蹤功能對黑客的入侵與攻擊進行跟蹤與標記,之后對其進行反擊。反擊模塊首先針對黑客的入侵行為進行跟蹤與標記,在此基礎上利用偵查系統對黑客入侵的方式、途徑及黑客的地址等進行解析,保留黑客對計算機網絡進行入侵的證據。與此同時,反擊模塊會采用一定的反擊措施,對黑客的再次攻擊進行有效的防范。

2計算機網絡信息安全體系結構的防護分析

當前,在對計算機網絡信息安全體系結構進行防護的過程中,較為常用的就是WPDRRC結構,其主要的流程包括攻擊前防護、攻擊中防護與攻擊后防護三個方面。

2.1信息安全體系結構被攻擊前防護工作在整個的計算機網絡中,不同的文件有著不同的使用頻率,而那些使用頻率越高的文件就越容易受到黑客的攻擊。因此,信息安全體系結構的被攻擊前防護工作的主要內容就是對這些比較容易受到黑客攻擊的文件進行保護,主要的保護方式包括防火墻、網絡訪問控制等。通過WPDRRC結構對其中存在的威脅因素進行明確,有針對性地進行解決措施的完善。

2.2信息安全體系結構被攻擊中防護工作當計算機網絡受到攻擊之后,信息安全體系結構的主要防護工作為阻止正在進行中的攻擊行為。WPDRRC結構能夠通過對計算機網絡系統文件的綜合分析對正在進行中的攻擊行為進行風險,同時能夠對計算機網絡中各個細節存在的變動進行感知,最終對黑客的攻擊行為進行有效的制止。

2.3信息安全體系結構被攻擊后防護工作當計算機網絡受到攻擊之后,信息安全體系結構主要的防護工作內容為對計算機網絡中出現的破壞進行修復,為計算機網絡的政策運行提供基礎。同時,恢復到對計算機網絡信息安全的保護中。

3計算機網絡信息安全體系結構中加入人為因素

IT領域中都是以技術人員為主體來對產業雛形進行構建的,因此在IT領域中往往存在著及其重視技術的現象,主要的表現為以功能單純而追求縱向性能的產品為代表,產品的覆蓋范圍限制在技術體系部分,缺乏對組織體系、管理體系等其他重要組成部分的重視。因此,只有在計算機網絡信息安全體系結構中加入人為因素才具有現實意義。在計算機網絡信息安全體系結構的構建過程中,應該注重以組織體系為本,以技術體系為支撐,以管理系統為保證,實現三者之間的均衡,從而真正發揮計算機網絡信息安全體系結構的重要作用。

4總結

篇2

影響計算機網絡安全的威脅具有以下這些特征:第一,突發性。計算機網絡在運行的過程中,遭受的破壞,沒有任何的預示,具有突發性,而且這種破壞有較強的傳播和擴散性。計算機網絡安全受到影響后,會對計算機群體、個體等進行攻擊,使得整個計算機網絡出現連環性破壞。計算機網絡在運行的過程中具有共享性,以及互聯性,所以其在計算機網絡受到破壞后,會產生較大的破壞。第二,破壞性。計算機網絡受到惡意的攻擊,會使得整個計算機網絡系統出現癱瘓、破壞等,使得計算機網絡無法正常的運行和工作。當計算機網絡受到病毒攻擊后,一旦這些病毒在計算機網絡中得到激活,就會迅速的將整個計算機網絡系統感染,造成計算機中的信息、數據等丟失、泄露等,產生較大的破壞,嚴重的影響到計算機用戶信息的安全,甚至影響到國家的安全。第三,隱蔽性。計算機網絡受到的攻擊、破壞具有潛伏性,其很隱蔽的潛伏在計算機中。計算機網絡受到攻擊,是因為計算機使用者在日常的使用中,對于計算機的安全保護,疏于防范,造成網絡病毒潛伏在計算機網絡系統中,一旦對計算機網絡系統進行攻擊的條件滿足后,就會對計算機、計算機網絡進行攻擊。當前在計算機網絡安全中,存在的安全隱患主要有:①口令入侵。計算機網絡運行的過程中,存在的口令入侵安全隱患,主要是一些非法入侵者,使用計算機網絡中的一些合法的用戶口令、賬號等進行計算機網絡的登陸,并對計算機網絡進行攻擊破壞。計算機網絡安全的口令入侵安全隱患,在非法入侵者將計算機網絡使用者的用戶口令、密碼破解之后,就會利用合法用戶的賬號進行登錄,然后進入網絡中進行攻擊。②網址欺騙技術。在計算機網絡用戶使用計算機網絡的過程中,其通過方位網頁、Web站點等,在計算機網絡用戶通過網絡訪問各個網站的過程中,往往忽視網絡的安全性問題,正是因為計算機網絡的合法用戶在使用的過程中,沒有關注到安全問題,為黑客留下了破壞的機會。黑客利用用戶訪問的網站、網頁等,將其信息篡改,將計算機網絡使用者訪問的URL篡改為黑客所使用的計算機的服務器,在計算機網絡用戶再次登陸這些網站、網頁的同時,就會出現計算機網絡安全漏洞,而黑客就會利用這些安全漏洞,對合法用戶的計算機網絡系統進行攻擊。③電郵攻擊。在計算機網絡實際運行中,產生這些安全隱患的影響因素有很多,例如計算機網絡的軟件技術、硬件技術不完善;計算機網絡系統的安全配置建立不完善;計算機網絡安全制度不健全等等,這些都會對計算機網絡的安全使用產生危害,為此需要加強計算網絡安全的防范。

2模糊層次分析法特征及其在計算機網絡安全評價中的實施步驟

2.1模糊層次分析法特征

模糊綜合評價法是把傳統層次分析與模糊數學各方面優勢考慮其中的綜合型評價方法。層次分析法重視人的思想判斷在科學決策中的作用,把人的主觀判斷數字化,從而有助于人們對復雜的、難以精確定量的問題實施量化分析。首先我們采用模糊數構造判斷矩陣替代單純的1-9標度法解決相對應的量化問題,其次,采用模糊綜合評價法的模糊數對不同因素的重要性實施準確的定位于判斷。

2.2模糊層次分析法步驟

網絡安全是一門設計計算機技術、網絡技術、通信技術、信息安全技術等多種學科的綜合技術。計算機網絡是現代科技化的重要信息平臺,網絡安全評價是在保障網絡系統安全性能的基礎上,實施的相關網絡技術、網絡安全管理工作,并把操作環境、人員心理等各個方面考慮其中,滿足安全上網的環境氛圍。隨著計算機技術、網絡技術的快速發展,網絡應用已經牽涉多個領域,人們對網絡的依賴度也日益加深,網絡安全成為重要的問題。采用模擬層次分析法對計算機網絡安全進行評價,模擬層次分析法實際使用步驟如下:2.2.1創建層次結構模型模糊層次分析法首先要從問題的性質及達到的總目標進行分析,把問題劃分為多個組成因素,并根據各個因素之間的相互關系把不同層次聚集組合,創建多層次結構模型。2.2.2構建模糊判斷矩陣因計算機網絡安全評價組各個專家根據1-9標度說明,采用兩兩比較法,逐層對各個因素進行分析,并對上個層次某因素的重要性展開判斷,隨之把判斷時間采用三角模糊數表示出現,從而創建模糊判斷矩陣。2.2.3層次單排序去模糊化是為把模糊判斷矩陣轉換為非模糊化判斷矩陣,隨之在非模糊狀態下使用模糊層次分析法。去模糊化之后對矩陣對應的最大根λmax的特征向量進行判斷,對同一層次相對應的因素對上層某因素的重要性進行排序權值。2.2.4一致性檢驗為確保評價思維判斷的一致性,必須對(Aa)λ實施一致性檢驗。一致性指標CI及比率CR采用以下公式算出:CI=(λmax-n)(/n-1);CR=CI/RI,在上述公式中,n表示判斷矩陣階數,RI表示一致性指標。2.2.5層次總排序進行層次總排序是對最底層各個方案的目標層進行權重。經過權重計算,使用自上而下的辦法,把層次單排序的結果逐層進行合成。

3模糊層次分析法在計算機網絡安全評價中的具體應用

使用模糊層分析法對計算機網絡安全展開評價,我們必須以全面科學、可比性等原則創建有價值的安全評價體系。實際進行抽象量化時,使用三分法把計算機網絡安全評價內的模糊數定義成aij=(Dij,Eij,Fij),其中Dij<Eij<Fij,Dij,Eij,Fij[1/9,1],[1,9]這些符號分別代表aij的下界、中界、上界。把計算機網絡安全中多個因素考慮其中,把它劃分為目標層、準則層和決策層三個等級目,其中準則層可以劃分為兩個級別,一級模塊采用物理安全(C1)、邏輯安全(C2)、安全管理(C3)等因素組成,二級模塊則劃分為一級因子細化后的子因子。依照傳統的AHP1-9標度法,根據各個因素之間的相互對比標度因素的重要度,標度法中把因素分別設為A、B,標度1代表A與B相同的重要性,標度3代表A比B稍微重要一點,標度5代表A比B明顯重要,標度7則表示A比B強烈重要,標度9代表A比B極端重要。如果是倒數,應該依照矩陣進行判斷。以此為基礎創建不同層次的模糊判斷矩陣,根據目標層、準基層、決策層的模糊對矩陣進行判斷,例如:當C1=(1,1,1)時,C11=C12=C13=(1,1,1)。采用這種二分法或許各個層次相對應的模糊矩陣,同時把次矩陣特征化方法進行模糊。獲取如下結果:準則層相對于目標層權重(wi),物理、邏輯、安全管理數據為:0.22、0.47、0.31。隨之對應用層次單排序方根法實施權重單排序,同時列出相對于的最大特征根λmax。為確保判斷矩陣的準確性和一致性,必須對模糊化之后的矩陣實施一致性檢驗,計算出一致性指標CI、CR數值,其中CI=(λmax-n)(/n-1),CR=CI/RI,當CR<0.1的時候,判斷矩陣一致性是否兩否,不然實施修正。最后使用乘積法對最底層的排序權重進行計算,確?;蛟S方案層相對于目標層的總排序權重。

4結語

篇3

 

1 概述

 

目前,在我國很多高校開設了網絡信息安課程,該課程是信息安全專業的一門基礎課,也是網絡工程專業的一門必修課。網絡信息安全課程理論性強,實踐性強,并且教學內容隨著信息技術的發展也在不斷地變化,這給教學工作帶來很大挑戰。由于專業性質不同,為了使網絡信息安全課程的教學符合網絡工程專業的特點,并且跟上信息技術瞬息萬變的步伐,達到培養人才的目標,我們在多年教學實踐的基礎上,不斷地進行總結和探索。

 

2 網絡工程專業特點

 

網絡工程是將計算機技術和通信技術緊密結合而形成的新興的技術領域,尤其在當今互聯網技術以及互聯網經濟迅速發展的環境下,網絡工程技術已經成為計算機乃至信息技術界關注的重要領域之一,也是在現代信息社會中迅速發展并且應用廣泛的一門綜合性學科。網絡工程專業自從上世紀90年代起,陸續在我國很多本科高校中都有開設。

 

網絡工程專業的培養目標是:掌握常用操作系統的使用、網絡設備的配置,深入了解網絡的安全問題,具有綜合性的網絡管理能力,可以勝任中小企業的網絡管理工作,并具備發展成為網絡工程設計專家的能力[1]。以商丘學院(以下簡稱“我?!?為例,該專業是我校重點建設的專業之一,計算機網絡課程現已成為校級精品課程,所屬計算機網絡實驗室被評為河南省級重點實驗室。在校學生一二年級主要學好程序設計、網絡原理、操作系統等專業基礎課,三四年級主要學習網絡設備管理、綜合布線、網絡組建、網絡信息安全等專業核心課程。在學生學習的時間安排上留有余地,引導學生擴大知識面,關注學科前沿,鼓勵學生利用好實驗室來培養自己的實踐能力和創新能力。因此,網絡信息安全成為我校高年級學生的一門必修課。結合網絡工程專業特色,網絡信息安全課程多年來在我校網絡工程專業一直開設并收到很好的效果。

 

3 網絡信息安全課程開設現狀

 

網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。信息安全是國家重點發展的新興交叉學科,具有廣闊的發展前景。由于我國在信息安全技術方面的起點還較低,國內只有少數高等院校開設“信息安全”專業,信息安全技術人才奇缺。網絡信息安全課程在信息安全專業是必不可少的核心課程。

 

目前,我校網絡工程專業網絡信息安全課程的開設還是以理論教學為主,實踐教學為輔的教學模式。在學時分配上我們采用“34學時理論+18學時上機”的模式。在考核方式上采用“20%平時表現+80%理論考試”來計算總成績。結合信息安全技術發展迅速的特點,在教材的選用上我們不斷更新教材,以求跟上時代和技術的潮流。我校先后選用吳煜煜[2]、周明全[3]、石志國[4]、袁津生[5]等人主編的教材,這樣教師也在不斷地學習最新知識和專業技能。由于該課程是一門交叉性綜合性學科,學好這門課程要求學生必須具備良好的程序設計能力,過硬的數學、操作系統和網絡知識。該課程的先修課程為:高級程序設計(C、C++、Java)、計算機網絡(TCP/IP)、操作系統(Unix和Windows)、數據庫系統。該課程教學內容主要包括:網絡安全的基本概念、加密與解密、公鑰體系、TCP/IP協議安全、應用層安全、攻擊與防御、網絡站點的安全、操作系統系統與數據庫的安全。

 

網絡信息安全這門課程是一門理論和實踐相結合,應用性很強的交叉性綜合性課程。理論知識涉及面廣且抽象,實踐問題規模難度大。這樣的特點不僅要求教師具備過硬的專業技能和授課水平,而且要求學生具備扎實的理論功底和和較強的實踐能力。該課程在我校是網絡工程專業開設的一門必修課程,它既不能像信息安全專業開設的專業課那么詳盡和深入,也不能像普及網絡安全知識一樣成為公共選修課那樣淺嘗輒止。這就要求教師必須在有限的學時內將網絡信息安全課程最基本的原理、最常用的技能傳授給學生,使學生能夠解決最常見的網絡安全問題,成為能夠學以致用,能夠解決實際問題的人才。因此,必須結合網絡工程專業特色和我校學生水平進行教學,才能使教和學的效果都達到最優化,達到培養人才的目標。

 

目前,現有的教學模式仍然停留在重理論、輕實踐的層次上。學生在課堂上與老師的互動性不強,特別是學生的學習積極性不高,對信息安全課程學習的興趣不持久,實踐能力不強,而且現有的考核方式已不適應課程的發展。通過近幾年的教學實踐,結合目前網絡工程專業開設的網絡信息安全課程在教學中存在的問題,從培養應用型、創新型信息技術人才的角度來出發,我們嘗試對網絡信息安全課程進行改革和探索。

 

4 教學改革與探索

 

4.1 翻轉式教學模式

 

互聯網的普及和計算機技術在教育領域的應用,使“翻轉課堂式”教學模式[6]變得可行和現實。學生可以通過互聯網去使用優質的教育資源,不再單純地依賴授課老師去教授知識。在課堂上,學生和老師的角色則發生了變化。老師更多的責任是去理解學生的問題和引導學生去運用知識。我們在課堂教學的組織中參考林地公園高中的經驗:一、創建教學視頻。我們根據上課的內容和教學目標,使用錄屏軟件將課件和講課聲音錄制下來,然后將課件或視頻通過網絡分發給學生。讓學生在上課前進行先行學習并收集好學生反饋的問題。二、組織課堂教學。教學內容在課外傳遞給學生后,課堂內更需要高質量的學習活動,讓學生有機會在具體環境中應用所學內容。這樣學生先自我學習或通過討論來掌握知識點,結合學生反饋的問題,在課堂上再由教師主導開展關鍵問題的研討,安排相應的課程實踐。該方法在國防科學技術大學徐明的論文[7]中提到,可以作為改革教學模式的一種方法來學習使用。

 

4.2 理論與實踐相結合的教學模式

 

理論授課均在多媒體教室進行,理論授課要與上機實踐相結合,網絡安全實驗均在我校計算機網絡實驗室完成,學生上機操作并提交實驗報告。計算機網絡實驗室是我校網絡工程專業的專業實驗室,實驗室采用圓桌模式分為8組,每組8位同學,能同時滿足64位學生做實驗。我們結合近幾年的教學經驗,參考袁津生[5]等教材,安排了如下實驗:①VMware虛擬機與網絡分析器的使用;②RSA加密算法的分析與實現;③加解密算法的分析與實現(DES、AES等);④Hash算法MD5;⑤剖析特洛伊木馬;⑥使用PGP實現電子郵件安全;⑦X-SCANNER掃描工具;⑧用SSL協議實現安全的FTP數據傳輸。除了正常安排的16個上機學時之外,增加實驗室開放時間,為對網絡安全有興趣的學生提供更多的實踐機會。通過在計算機網絡實驗室的學習和實踐,使學生加深對網絡信息安全原理和技術的認識,提高網絡技能和實踐能力,增加他們在將來的就業競爭中的優勢。另外,工學結合,引進第二課堂,創建實訓基地,爭取在網絡安全相關的企業和公司建立實訓基地,加強合作,讓學生有實踐的機會,提高實踐能力和就業能力,這是我們以后也要逐步探索的教學方式之一。

 

4.3 教學方法的一些改進

 

興趣是最好的老師。多講一些實例,可以采用任務驅動的方式培養學生的興趣。比如上課前提出一個問題再開始講課。例如:假如你是一個公司新任的網絡管理員,需要對某臺路由器進行相應的配置,但是你不知道該路由器的enable密碼,該怎么辦?這樣就能驅動學生主動思考完成任務的方法,主動學習。一定要結合學生實際,避免“填鴨式”教學方法,做好師生互動。另外授課要盡可能地生動、幽默。

 

課堂知識、搜索引擎、論壇和專業站點、期刊論文(CNKI),這些都是學好網絡信息安全的重要資源。在教學過程中,一定要利用好搜索引擎、論壇、期刊論文等,關注前沿的信息安全領域發展動向。

 

增加先驅課程知識的講解。網絡信息安全涉及到的數學知識我們參考裴定一教材[8]。例如,數據加密與認證技術的內容涉及到模運算、矩陣置換等數學知識,在講解相應的數據加密知識時一定要將涉及到的先驅課程知識講解清楚。

 

以就業為導向,鼓勵學生積極參加網絡信息安全工程師認證考試。鼓勵對網絡安全有興趣的同學進行更加深入、更加專業的學習。

 

4.4 加大投入、完善網絡信息安全專業實驗設施

 

完善的網絡信息安全實驗平臺[9]應該以網絡為基礎,將網絡原理、網絡程序設計、信息安全技術和網絡實踐類等課程集成在同一平臺上,采用群組動態交互式實驗方法,利用共享網絡墻形成公共實驗載體,實現網絡實驗從單設備組網到不斷疊加和擴展,使學生從規?;木W絡中理解路由協議和網絡效率。在這樣的實驗平臺下,利用共用服務器,各個群組組成網絡攻防、信息戰等實際場景,根據現場不斷變化的信息實時設計技術方案,靈活應對網絡的動態變化,做出快速的反應與調整,以培養學生高度的應變設計能力。

 

4.5 改革課時分配和考核權重

 

網絡信息安全是一門理論與實踐并重的課程,在今后的教學中,要逐漸增加實踐課程的教學。為了增加學生對實踐能力的重視,要合理分配理論考試和實踐考試的權重,在現有考核模式的基礎上逐步增加實踐成績的權重。在考核的形式上,綜合卷面成績和平時表現成績,平時表現的成績注重關注實驗小組討論的表現,個人實踐的表現等。

 

5 結論

 

網絡信息安全的形式隨著信息技術的發展在日新月異的變化,網絡信息安全課程也是一門發展變化很快的課程。根據該課程的特點,我們在以后的教學過程中要不斷的學習最新科學知識,關注網絡信息安全領域前沿動態,結合課程內容,合理設計授課內容、授課模式以及考核方式。今后,大規模開放在線課程(MOOC)的教學方式隨著新一輪的教育改革浪潮也會逐步地應用到網絡信息安全系列課程的教學上??傊?,網絡信息安全課程的教學要在教學實踐中不斷總結、改革和探索。

篇4

關鍵詞:長慶油田 網絡安全 防范

0 引言

隨著國家信息化建設的快速發展,信息網絡安全問題日益突出,信息網絡安全面臨嚴峻考驗。當前互聯網絡結構無序、網絡行為不規范、通信路徑不確定、IP地址結構無序、難以實現服務質量保證、網絡安全難以保證。長慶油田網絡同樣存在以上問題,可靠性與安全性是長慶油田網絡建設目標。文章以長慶油田網絡為例進行分析說明論文下載。

1 長慶油田網絡管理存在的問題

長慶油田公司計算機主干網是以西安為網絡核心,包括西安、涇渭、慶陽、銀川、烏審旗、延安、靖邊等7個二級匯聚節點以及咸陽等多個三級節點為架構的高速廣域網絡。網絡龐大,存在的問題也很多,這對日常網絡管理是一份挑戰,由于管理的不完善,管理存在以下幾個方面問題:

1.1 出現問題才去解決問 我們習慣人工戰術,習慣憑經驗辦事。網絡維護人員更像是消防員,哪里出現險情才去撲救。設備故障的出現主要依靠使用者報告的方式,網管人員非常被動,無法做到主動預防,無法在影響用戶使用之前就預見故障并將其消除在萌芽狀態。因此,這種維護模式已經很難保障網絡的平穩運行,能否平穩影響網絡安全與否。

1.2 突發故障難以快速定位 僅僅依靠人工經驗,難以對故障根源做出快速定位,影響故障處理。而且隨著網絡的復雜程度的提高,在故障發生時,難以快速全面的了解設備運行狀況,導致解決故障的時間較長,網絡黑客侵犯可以趁機而來,帶來網絡管理的風險。

1.3 無法對全網運行狀況作出分析和評估 在傳統模式下,這些都需要去設備近端檢查,或遠程登錄到設備上查看,不僅費時費力,而且對于歷史數據無法進行連續不間斷的監測和保存,不能向決策人員提供完整準確的事實依據,影響了對網絡性能及質量的調優處理,龐大的網絡系統,不能通盤管理,不能保證網絡運行穩定,安全性時刻面臨問題。

2 網絡安全防范措施

計算機網絡的安全性可以定義為保障網絡服務的可用性和網絡信息的完整性,為了有效保護網絡安全,應做好防范措施,保證網絡的穩定性,提高網絡管理的效率。

2.1 完善告警機制,防患于未然 告警監控是一種手段,設備維護人員、網絡分析人員需要通過告警信息去分析、判斷設備出現的問題并盡可能的找出設備存在隱患,通過對一般告警的處理將嚴重告警發生的概率降下來。告警機制的完善一般從告警信息、告警通知方式兩方面著手:

2.1.1 在告警信息的配置方面 目前,長慶油田計算機主干網包括的97臺網絡設備、71臺服務器,每臺設備又包含cpu、接口狀態、流量等等性能參數,每一種參數在不同的時間段正常值范圍也不盡相同。

例如同樣為出口防火墻,西安與銀川的各項性能閥值的設置也不盡相同,西安的會話數達到25萬,而銀川的超過20萬就發出同樣的告警。再比如,西安電信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因為這個時候在線用戶很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要發出告警信息。

因此必須根據監控的對象(設備或鏈路)、內容(各項性能指標)以及時間段,設置不同的觸發值及重置值。

2.1.2 告警通知方式的多樣化 任何時間我們都無法保證能全天候死盯著屏幕,所以一方面需要制定相應的運維管理制度和輪班值守職責,另一方面則需要選擇更加人性化的運維管理方式。維護人員不但需要頁面顯示的告警觸發通知,也迫切需要在移動辦公狀態或休假狀態第一時間得到預警,從而做出應有的反應,所以我們需要開發出例如聲音、郵件、短信等多種告警方式。

通過以上兩個方面,我們可以建成一個完善的故障告警系統,便于隱患的及時消除,提高了網絡的穩定性。

2.2 網絡拓撲的動態化 如果一個個設備檢查起來顯然費時費力,如果我們能將所有設備的狀態及其連接狀況用一張圖形實時動態的直觀顯示出來,那么無疑會大大縮短故障定位時間(見圖1,2)。

說明:2009-10-11日17:05,慶陽、延安、靖邊、銀川四個區域的T1200-02的連接西安的2.5GPOS口,涇渭T1200-01連西安的2.5GPOS口,以及西峰、吳起連接慶陽匯聚交換機Z8905-02的千兆光口,以上接口同時發出中斷告警。

因此,綜合告警信息與全網拓撲圖,當出現大規模告警的情況下能夠非常高效地找出故障源,避免了一步步繁瑣的人工排查,從而達到有效提高故障的解決效率,提高了網絡的穩定性。

2.3 全網資源管理的動態化

2.3.1 通過對網管系統的二次開發,實現全網動態資源分析,他的最重要特點就是動態,系統通過Polling Engine從設備上自動提取資料數據,如設備硬件信息、網絡運行數據、告警信息、發生事件等。定時動態更新,最大限度的保持與現網的一致性。

2.3.2 通過一個集中的瀏覽器界面上就可以快速、充分地了解現有網絡內各種動態和靜態資源的狀況,徹底轉變了傳統的網絡依賴于文字表格甚至是依賴于維護人員的傳統維護模式,變個人資料為共享資料。

2.4 提高安全防范意識 只要我們提高安全意識和責任觀念,很多網絡安全問題也是可以防范的。我們要注意養成良好的上網習慣,不隨意打開來歷不明的電子郵件及文件,不隨便運行陌生人發送的程序;盡量避免下載和安裝不知名的軟件、游戲程序;不輕易執行附件中的EXE和COM等可執行程序;密碼設置盡可能使用字母數字混排;及時下載安裝系統補丁程序等。

總之,影響網絡穩定的因素有很多,本文基于日常網絡安全管理經驗,從日常網絡管理的角度,提出一些安全防范措施,以期提高網絡穩定性。

參考文獻

[1]石志國,計算機網絡安全教程,北京:清華大學出版社,2008.

[2]張慶華,網絡安全與黑客攻防寶典,北京:電子工業出版社,2007.

篇5

【關鍵詞】智能變電站;VLAN;數據流

一、智能變電站網絡結構

智能化變電站是構建智能電網的重要組成部分之一。隨著電網的不斷發展,變電站作為輸配電系統的信息源和執行終端,接受的信息量和實現的控制功能越來越多,對于數字化、信息化的要求越來越迫切,智能化變電站成為未來變電站發展的方向。

依據國家電網公司頒布的《110(66)kV~220kV智能變電站設計規范》,智能變電站網絡可從邏輯上分為“兩網”,即站控層網絡和過程層網絡。其中,站控層網絡連接了站控層設備與間隔層設備,主要是傳輸站控層內部、間隔層內部、以及站控層與間隔層之間的數據信息,內容以MMS報文為主。過程層網絡連接過程層設備與間隔層設備,主要是傳輸過程層內部、間隔層內部以及過程層與間隔層之間的數據信息,內容以GOOSE和SV報文為主。由此三層兩網結構數據流如下:

而且近年來基于IEC61850標準的智能變電站建設越來越多,多數的智能變電站配置站控層、間隔層和過程層3層結構。隨著對IEC61850標準研究和應用的深入以及國內各廠商基于IEC61850標準產品的豐富,特別是智能一次設備中更多的整合二次設備的功能,而且越來月來的變電站利用先進的以太網交換機信息傳播技術,使智能變電站配置上采用VLAN組網技術技術上提供了可行性。

二、虛擬局域網

智能化變電站過程層網絡信息數據總量十分可觀,但大部份信息數據不需要橫向流通,在過程層網絡中采用VLAN組網技術,為100M以太網交換機在智能化變電站組網中的應用奠定了理論基礎,既降低了組網成本,又滿足了網絡安全、可靠性。

2.1虛擬局域網VLAN(Virtual Local Area Networ)技術是通過將局域網內的設備邏輯地劃分成不同網段,從而實現組建虛擬工作組的技術,達到減少碰撞和廣播風暴、增強網絡安全性,并為802.1D協議的實現奠定了技術基礎,提供了實現手段。

2.2VLAN劃分的幾種模式基于端口的VLAN、基于MAC地址的VLAN、基于路由的VLAN、基于策略的VLAN?;诙丝诘腣LAN劃分模式是最簡單、有效的方法,在智能化變電站網絡中得到了充分有效的應用?;诙丝诘腣LAN模式是從邏輯上把交換機按照端口劃分成不同的虛擬局域網絡,使其在所需用的局域網絡上流通。

2.3支持IEEE802.1qVLAN協議。根據變電站自動化系統中的設備對實時性要求的高低不同,將其分組到不同的虛擬局域網(VLAN),可進一步改善系統安全性和帶寬利用效率,從而進一步保證系統的實時性。

三、智能變電站過程層網絡VLAN劃分

3.1智能變電站VLAN網絡劃分方案

根據智能變電站的網絡特點,為了限制過程層網絡流量、增加系統靈活性、提高系統的可靠性,智能變電站的過程層網絡進行VLAN劃分很有必要。但目前并沒有成熟的VLAN劃分方案應用于智能變電站,因此本文設計根據數據流的邏輯關系劃分VLAN劃分方案,具體如下所述。

1、根據合并單元、智能終端、保護和測控的邏輯關系。

2、線路間隔之間的邏輯關系(聯閉鎖、失靈啟動)

3、線路間隔與母線和主變的的邏輯關系

4、VLAN劃分應滿足遠期擴容的需求

3.2劃分實例

先將智能變電站網絡按照電壓等級劃分成500、330,220、110、35kV等若干個區域。各個電壓等級的測控,電壓合并單元,故障錄波,斷路器測控,斷路器合并單元和主變各個電壓等級合并單元,網絡分析儀,測控,主變錄波都分別劃成一個VLAN。另外需要1個實現跨間隔通信和跨層通信的VLAN;最后需要1個進行變電站層內部通信的VLAN,由于通信網絡系統默認的VLAN是VLAN_1,它包含整個網絡的所有設備,另外根據交換機端口要求,Trunk 端口加入的VLAN 不能是VLAN_1。所以劃分VLAN從VLAN_1以后開始。

四、基于工業以太網交換機實現

4.1設置VLAN組

如圖3所示。交換機有幾個VLAN就有幾條VLAN設置,其中VID 為VLAN標識。

4.2TXtag

考慮到由于跨交換機通信時,會有多個VLAN的報文經過交換機的同一端口進行發送和接收,必須使交換機具有判斷所接受的數據屬于哪個VLAN的能力,所以需要將與中央交換機端口相連接的間隔交換機端口類型設置為Trunk(發送)tagged,傳送時保存VLAN信息,中央交換機相應的Trunk(接收)tagged端口判斷接收到的數據屬于哪個VLAN,然后再根據相應設置轉發到相應的端口上。

五、結論

VLAN 技術是建立在通信技術和計算機網絡技術基礎之上的,只有具備完善的網絡通信并有足夠的帶寬才能充分發揮應有的作用,智能變電站的網絡通信能力需要繼續建設。本文探討了智能化變電站的VLAN劃分方式, 給出了一個方案, 同時給出了基于工業以太網交換機實現的案例, 可供今后在智能化變電站建設的借鑒。

參考文獻

[1]丁津津,高博,劉寧寧,郭力.智能變電站網絡結構分析與VLAN劃分方式探討[N].合肥工業大學學報(自然科學版),2013-03(1).

[2]任雁銘,秦立軍,楊奇遜.IEC61850通信協議體系介紹和分析[J].電力系統自動化,2000,24(8)62-64.

[3]周莉.網絡結構及交換機配置優化方案在智能變電站的應用.重慶市電機工程學會2010 年學術會議論文.

篇6

    網絡安全是一個十分復雜的問題,它的劃分也是多種多樣的,但大體上可以分為物理硬件層和系統軟件層,網絡內部和網絡之間。如下表。

    為何會產生網絡安全的問題?這與人有意或無意也有關系,以上表的劃分,安全問題產生于以下幾方面:

    網內硬件方面,即局域網的硬件方面。它主要包括網絡的電源供應(UPS不間斷電源)和網絡的連接等。網絡的電源供應的目的是保證網絡在有可能預見的突發性的非正常電源供應情況下,為網絡(主指服務器、交換機等網絡的主干設備)提供一種短時的能量支持。網絡的連接又分為線路的連接和設備的接入,線路的連接雖然是在網絡的架設時所考慮的問題,但要必免因線路串擾而影響到線路的通信,以及布線的不合理造成的因線路過長而引發的信號衰減和線路因長期裸露意外遭到的外力的意外或有意的傷害等;設備的接入是指網絡的功能部件(如打印服務器、文件服務器和應用服務器等)在網絡中正常連接。

    網間硬件方面很少被提及,主要是因為這種網絡,在工程實施時為保證數據的遠距離傳輸,所使用的一般都是造價高但質量好的連接設備,出現故障的概率較低。但收由于線路過長,一旦出現問題卻很難及時發現故障所在地,從而延緩了處理時間,像2001年初的中美海底光纜掛斷的類似事件還時有發生。

    網內軟件層,根據網絡實現的功能上的差異,不同用途的局域網(辦公網、專用存儲網、校園網以及運算處理網等)的安全側重點也不盡相同。網間軟件層,就是局域網接入外網。也就是我們一般所討論的網絡安全,主要包括系統漏洞、數據遭更改或泄露、安全策略配置不當、網絡攻擊、病毒入侵等。而能否抵抗網絡攻擊,又幾乎成為衡量這個網絡安全與否的標準。

網絡攻擊

    什么是攻擊,難道僅僅發生在入侵行為完全完成且入侵者已侵入目標網絡內才算是攻擊?一切可能使得網絡受到破壞的行為都應稱之為攻擊。就拿一個很常見的現象來說吧,很多在互聯網中具有固定IP的服務器,每天都要受到數以百計的端口掃描和試圖侵入,雖然不一定會被攻克,但你總不能說它沒有受到攻擊。在正式攻擊之前,攻擊者一般都會先進行試探性攻擊,目標是獲取系統有用的信息,此時比較常用的包括ping掃描,端口掃描,帳戶掃描,dns轉換,以及惡性的ip sniffer(通過技術手段非法獲取ip packet,獲得系統的重要信息,來實現對系統的攻擊,后面還會詳細講到),特洛依木馬程序等。如果在某一個集中的時期內,有人在頻繁得對你所管理的網絡進行試探攻擊,或有不明身份的用戶經常連入網絡,這時網絡管理員就要注意了,你該好好分析一下日志文件,并對系統好好檢查檢查了。

    通常,在正式攻擊之前,攻擊者先進行試探性攻擊,目標是獲取系統有用的信息,此時比較常用的包括ping掃描,端口掃描,帳戶掃描,dns轉換,以及惡性的ip sniffer(通過技術手段非法獲取ip packet,獲得系統的重要信息,來實現對系統的攻擊,后面還會詳細講到),特洛依木馬程序等。這時的被攻擊狀態中的網絡經常會表現出一些信號,特征,例如:

2.1 收集信息攻擊:

    經常使用的工具包括:NSS, Strobe,Netscan, SATAN(Security Aadministrator's Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等以及各種sniffer.廣義上說,特洛依木馬程序也是收集信息攻擊的重要手段。收集信息攻擊有時是其它攻擊手段的前奏。對于簡單的端口掃描,敏銳的安全管理員往往可以從異常的日志記錄中發現攻擊者的企圖。但是對于隱秘的sniffer和trojan程序來說,檢測就是件更高級和困難的任務了。

2.1.1 sniffer

    它們可以截獲口令等非常秘密的或專用的信息,甚至還可以用來攻擊相鄰的網絡,因此,網絡中sniffer的存在,會帶來很大的威脅。這里不包括安全管理員安裝用來監視入侵者的sniffer,它們本來是設計用來診斷網絡的連接情況的.它可以是帶有很強debug功能的普通的網絡分析器,也可以是軟件和硬件的聯合形式?,F在已有工作于各種平臺上的sniffer,例如

· Gobbler(MS-DOS)

· ETHLOAD(MS-DOS)

· Netman(Unix)

· Esniff.c(SunOS)

· Sunsniff(SunOS)

· Linux-sniffer.c(Linux)

· NitWit.c(SunOS)

· etc.

    檢測sniffer的存在是個非常困難的任務,因為sniffer本身完全只是被動地接收數據,而不發送什么。并且上面所列的sniffer程序都可以在internet上下載到,其中有一些是以源碼形式的(帶有.c擴展名的)。

    一般來講,真正需要保密的只是一些關鍵數據,例如用戶名和口令等。使用ip包一級的加密技術,可以使sniffer即使得到數據包,也很難得到真正的數據本身。這樣的工具包括 secure shell(ssh),以及F-SSH, 尤其是后者針對一般利用tcp/ip進行通信的公共傳輸提供了非常強有力的,多級別的加密算法。ssh有免費版本和商業版本,可以工作在unix上,也可以工作在windows 3.1, windows 95, 和windows nt.

    另外,采用網絡分段技術,減少信任關系等手段可以將sniffer的危害控制在較小范圍以內,也為發現sniffer的主人提供了方便.

2.1.2 Trojan

    這是一種技術性攻擊方式. RFC1244中給出了trojan程序的經典定義:特洛依木馬程序是這樣一種程序,它提供了一些有用的,或僅僅是有意思的功能。但是通常要做一些用戶不希望的事,諸如在你不了解的情況下拷貝文件或竊取你的密碼, 或直接將重要資料轉送出去,或破壞系統等等. 特洛依程序帶來一種很高級別的危險,因為它們很難被發現,在許多情況下,特洛依程序是在二進制代碼中發現的,它們大多數無法直接閱讀,并且特洛依程序可以作用在許許多多系統上,它的散播和病毒的散播非常相似。從internet上下載的軟件,尤其是免費軟件和共享軟件,從匿名服務器或者usernet新聞組中獲得的程序等等都是十分可疑的. 所以作為關鍵網絡中的用戶有義務明白自己的責任,自覺作到不輕易安裝使用來路不清楚的軟件.

2.2 denial of service:

    這是一類個人或多個人利用internet協議組的某些方面妨礙甚至關閉其它用戶對系統和信息的合法訪問的攻擊. 其特點是以潮水般的連接申請使系統在應接不暇的狀態中崩潰。對于大型網絡而言,此類攻擊只是有限的影響, 但是卻可能導致較小網絡退出服務, 遭到重創.

這是最不容易捕獲的一種攻擊,因為不留任何痕跡,安全管理人員不易確定攻擊來源。由于這種攻擊可以使整個系統癱瘓,并且容易實施,所以非常危險。但是從防守的角度來講,這種攻擊的防守也比較容易. 攻擊者通過此類攻擊不會破壞系統數據或獲得未授權的權限, 只是搗亂和令人心煩而已. 例如使網絡中某個用戶的郵箱超出容限而不能正常使用等.

典型的攻擊包括如E-mail炸彈, 郵件列表連接,

2.2.1 Email炸彈

    它是一種簡單有效的侵擾工具. 它反復傳給目標接收者相同的信息, 用這些垃圾擁塞目標的個人郵箱. 可以使用的工具非常多, 例如bomb02.zip(mail bomber), 運行在windows平臺上,使用非常簡單. unix平臺上發起email bomb攻擊更為簡單, 只需簡單幾行shell程序即可讓目標郵箱內充滿垃圾.

它的防御也比較簡單. 一般郵件收發程序都提供過濾功能, 發現此類攻擊后, 將源目標地址放入拒絕接收列表中即可.

2.2.2 郵件列表連接

    它產生的效果同郵件炸彈基本相同. 將目標地址同時注冊到幾十個(甚至成百上千)個郵件列表中, 由于一般每個郵件列表每天會產生許多郵件, 可以想象總體效果是什么樣子. 可以手工完成攻擊, 也可以通過建立郵件列表數據庫而自動生成. 對于郵件列表連接,尚沒有快速的解決辦法. 受害者需要把包含注銷"unsubscribe"信息的郵件發往每個列表.

許多程序能夠同時完成兩種攻擊, 包括Up yours(Windows), KaBoom(Windows), Avalanche(Windows), Unabomber(Windows), eXtreme Mail(Windows), Homicide(Windows), Bombtrack(Macintosh), FlameThrower(Macintosh), etc.

2.2.3 其它

    還有一些針對其它服務的攻擊, 例如Syn-Flooder, Ping of Death(發送異常的很大的進行ping操作的packet來攻擊windows nt), DNSkiller(運行在linux平臺上, 攻擊windows nt平臺上的dns服務器)等。

在路由的層次上,對數據流進行過濾, 通過合適的配置會減少遭受此類攻擊的可能性.Cisco Systems就提供了路由級的解決方案.

2.3 spoofing attack(電子欺騙):

    針對http,ftp,dns等協議的攻擊,可以竊取普通用戶甚至超級用戶的權限,任意修改信息內容,造成巨大危害。所謂ip欺騙,就是偽造他人的源ip地址。其實質上就是讓一臺機器來扮演另一臺機器,借以達到蒙混過關的目的。下面一些服務相對來說容易招致此類攻擊:

· 任何使用sunrpc調用的配置;rpc指sun公司的遠程過程調用標準,是一組工作于網絡之上的處理系統調用的方法。

· 任何利用ip地址認證的網絡服務

· mit的xwindow系統

· 各種r服務: 在unix環境中,r服務包括rlogin和rsh,其中r表示遠程。人們設計這兩個應用程序的初衷是向用戶提供遠程訪問internet網絡上主機的服務。r服務極易受到ip欺騙的攻擊

幾乎所有的電子欺騙都倚賴于目標網絡的信任關系(計算機之間的互相信任,在unix系統中,可以通過設置rhosts和host.equiv 來設置)。入侵者可以使用掃描程序來判斷遠程機器之間的信任關系。這種技術欺騙成功的案例較少,要求入侵者具備特殊的工具和技術(,并且現在看來對非unix系統不起作用)。另外spoofing的形式還有dns spoofing等。

解決的途徑是慎重設置處理網絡中的主機信任關系,尤其是不同網絡之間主機的信任關系。如只存在局域網內的信任關系,可以設置路由器使之過濾掉外部網絡中自稱源地址為內部網絡地址的ip包,來抵御ip欺騙。下面一些公司的產品提供了這種功能

· Cisco System

· iss.com公司的安全軟件包可以測試網絡在ip欺騙上的漏洞。

· etc.

    國際黑客已經進入有組織有計劃地進行網絡攻擊階段,美國政府有意容忍黑客組織的活動,目的是使黑客的攻擊置于一定的控制之下,并且通過這一渠道獲得防范攻擊的實戰經驗。國際黑客組織已經發展出不少逃避檢測的技巧. 使得攻擊與安全檢測防御的任務更加艱巨.

3 入侵層次分析:

3.1 敏感層的劃分

使用敏感層的概念來劃分標志攻擊技術所引起的危險程度.

1 郵件炸彈攻擊(emailbomb)(layer1)

2 簡單服務拒絕攻擊(denial of service)(layer1+)

3 本地用戶獲得非授權讀訪問(layer2)

4 本地用戶獲得他們非授權的文件寫權限(layer3)

5 遠程用戶獲得非授權的帳號(layer3+)

6 遠程用戶獲得了特權文件的讀權限(layer4)

7 遠程用戶獲得了特權文件的寫權限(layer5)

8 遠程用戶擁有了根(root)權限(黑客已攻克系統)(layer6)

以上層次劃分在所有的網絡中幾乎都一樣,基本上可以作為網絡安全工作的考核指標。

    "本地用戶"(local user)是一種相對概念。它是指任何能自由登錄到網絡上的任何一臺主機上,并且在網絡上的某臺主機上擁有一個帳戶,在硬盤上擁有一個目錄的任何一個用戶。在一定意義上,對內部人員的防范技術難度更大。據統計,對信息系統的攻擊主要來自內部,占85%。因為他們對網絡有更清楚的了解,有更多的時間和機會來測試網絡安全漏洞,并且容易逃避系統日志的監視。

3.2 不同的對策

    根據遭受的攻擊的不同層次,應采取不同的對策.

第一層:

    處于第一層的攻擊基本上應互不相干,第一層的攻擊包括服務拒絕攻擊和郵件炸彈攻擊.郵件炸彈的攻擊還包括登記列表攻擊(同時將被攻擊目標登錄到數千或更多的郵件列表中,這樣,目標有可能被巨大數量的郵件列表寄出的郵件淹沒)。對付此類攻擊的最好的方法是對源地址進行分析,把攻擊者使用的主機(網絡)信息加入inetd.sec的拒絕列表(denylistings)中.除了使攻擊者網絡中所有的主機都不能對自己的網絡進行訪問外,沒有其它有效的方法可以防止這種攻擊的出現.

    此類型的攻擊只會帶來相對小的危害。使人頭疼的是雖然這類攻擊的危害性不大,但是發生的頻率卻可能很高,因為僅具備有限的經驗和專業知識就能進行此類型的攻擊。

第二層和第三層:

    這兩層的攻擊的嚴重程度取決于那些文件的讀或寫權限被非法獲得。對于isp來說,最安全的辦法是將所有的shell帳戶都集中到某一臺(或幾臺)主機上,只有它們才能接受登錄,這樣可以使得管理日志,控制訪問,協議配置和相關的安全措施實施變得更加簡單。另外,還應該把存貯用戶編寫的cgi程序的機器和系統中的其它機器相隔離。

    招致攻擊的原因有可能是部分配置錯誤或者是在軟件內固有的漏洞.對于前者,管理員應該注意經常使用安全工具查找一般的配置錯誤,例如satan。后者的解決需要安全管理員花費大量的時間去跟蹤了解最新的軟件安全漏洞報告,下載補丁或聯系供貨商。實際上,研究安全是一個永不終結的學習過程。安全管理員可以訂閱一些安全郵件列表,并學會使用一些腳本程序(如perl,等)自動搜索處理郵件,找到自己需要的最新信息。

    發現發起攻擊的用戶后,應該立即停止其訪問權限,凍結其帳號。

第四層:

    該層攻擊涉及到遠程用戶如何獲取訪問內部文件的權利。其起因大多是服務器的配置不當,cgi程序的漏洞和溢出問題。

第五層和第六層:

只有利用那些不該出現卻出現的漏洞,才可能出現這種致命的攻擊。

    出現第三,四,五層的攻擊表明網絡已經處于不安全狀態之中,安全管理員應該立即采取有效措施, 保護重要數據, 進行日志記錄和匯報,同時爭取能夠定位攻擊發起地點:

· 將遭受攻擊的網段分離出來,將此攻擊范圍限制在小的范圍內

· 記錄當前時間,備份系統日志,檢查記錄損失范圍和程度

· 分析是否需要中斷網絡連接

· 讓攻擊行為繼續進行

· 如果可能,對系統做0級備份

· 將入侵的詳細情況逐級向主管領導和有關主管部門匯報;如果系統受到嚴重破壞,影響網絡業務功能,立即調用備件恢復系統

· 對此攻擊行為進行大量的日志工作

· (在另一個網段上)竭盡全力地判斷尋找攻擊源

    總之,不到萬不得已的情況下, 不可使系統退出服務. 尋找入侵者的最重要的工作就是做日志記錄和定位入侵者,而找出入侵者并通過法律手段迫使其停止攻擊是最有效的防衛手段。

4 關于口令安全性

    通過口令進行身份認證是目前實現計算機安全的主要手段之一,一個用戶的口令被非法用戶獲悉,則該非法用戶即獲得了該用戶的全部權限,這樣,尤其是高權限用戶的口令泄露以后,主機和網絡也就隨即失去了安全性。黑客攻擊目標時也常常把破譯普通用戶的口令作為攻擊的開始。然后就采用字典窮舉法進行攻擊。它的原理是這樣的:網絡上的用戶常采用一個英語單詞或自己的姓名、生日作為口令。通過一些程序,自動地從電腦字典中取出一個單詞,作為用戶的口令輸入給遠端的主機,申請進入系統。若口令錯誤,就按序取出下一個單詞,進行下一個嘗試。并一直循環下去,直到找到正確的口令,或字典的單詞試完為止。由于這個破譯過程由計算機程序來自動完成,幾個小時就可以把字典的所有單詞都試一遍。這樣的測試容易在主機日志上留下明顯攻擊特征,因此,更多的時候攻擊者會利用其它手段去獲得主機系統上的/etc/passwd文件甚至/etc/shadow文件,然后在本地對其進行字典攻擊或暴力破解。攻擊者并不需要所有人的口令,他們得到幾個用戶口令就能獲取系統的控制權,所以即使普通用戶取口令過于簡單可能會對系統安全造成很大的威脅。系統管理員以及其它所有用戶對口令選取的應采取負責的態度,消除僥幸和偷懶思想。

保持口令安全的一些要點如下:

· 口令長度不要小于6位,并應同時包含字母和數字,以及標點符號和控制字符

· 口令中不要使用常用單詞(避免字典攻擊),英文簡稱,個人信息(如生日,名字,反向拼寫的登錄名,房間中可見的東西),年份,以及機器中的命令等

· 不要將口令寫下來。

· 不要將口令存于電腦文件中。

· 不要讓別人知道。

· 不要在不同系統上,特別是不同級別的用戶上使用同一口令。

· 為防止眼明手快的人竊取口令,在輸入口令時應確認無人在身邊。

· 定期改變口令,至少6個月要改變一次。

· 系統安裝對口令文件進行隱藏的程序或設置。(e.g. Shadow Suite for linux)

· 系統配置對用戶口令設置情況進行檢測的程序,并強制用戶定期改變口令。任何一個用戶口令的脆弱,都會影響整個系統的安全性。(e.g. passwd+, Crack,etc)

    最后這點是十分重要的,永遠不要對自己的口令過于自信,也許就在無意當中泄露了口令。定期地改變口令,會使自己遭受黑客攻擊的風險降到了一定限度之內。一旦發現自己的口令不能進入計算機系統,應立即向系統管理員報告,由管理員來檢查原因。

    系統管理員也應定期運行這些破譯口令的工具,來嘗試破譯shadow文件,若有用戶的口令密碼被破譯出,說明這些用戶的密碼取得過于簡單或有規律可循,應盡快地通知他們,及時更正密碼,以防止黑客的入侵。

5 網絡安全管理員的素質要求

· 深入地了解過至少兩個操作系統,其中之一無可置疑地是unix。熟練配置主機的安全選項和設置,及時了解已見報道的安全漏洞,并能夠及時下載相應補丁安裝。在特殊緊急情況下,可以獨立開發適合的安全工具或補丁,提高系統的安全性。

· 對tcp/ip協議族有透徹的了解,這是任何一個合格的安全管理員的必備的素質。并且這種知識要不僅僅停留在internet基本構造等基礎知識上,必須能夠根據偵測到的網絡信息數據進行準確的分析,達到安全預警,有效制止攻擊和發現攻擊者等防御目的。

· 熟練使用c,c++,perl等語言進行編程。這是基本要求,因為許多基本的安全工具是用這些語言的某一種編寫的。安全管理員至少能正確地解釋,編譯和執行這些程序。更高的要求是能夠把不專門為某個特定平臺開發的工具移植到自己的平臺上。同時他們還能夠開發出可擴展自己系統網絡安全性的工具來,如對satan和safe suite的擴展和升級(它們允許用戶開發的工具附加到自己上)

· 經常地保持與internet社會的有效接觸。不僅要了解自己的機器和局域網,還必須了解熟悉internet。經驗是不可替代的。

· 熟練使用英語讀寫,與internet網上的各個安全論壇建立經常的聯系。

· 平時注意收集網絡的各種信息, 包括硬件應識別其構造,制造商,工作模式,以及每臺工作站,路由器,集線器,網卡的型號等;軟件網絡軟件的所有類型以及它們的版本號;協議網絡正在使用的協議; 網絡規劃例如工作站的數量,網段的劃分,網絡的擴展; 以及其它信息例如網絡內部以前一直實施中的安全策略的概述,曾遭受過的安全攻擊的歷史記錄等。

    還有一點也很重要,那就是不要過于相信你的供應商,一定要有自己的判斷。你不能因為他告訴你裝上他的防火墻就可以高枕無憂而麻痹大意,在安裝完成后一定要進行相應地測試,并且還要定期對日志文件進行審查。我還曾經遇到過一個十分頭疼的事情,由于某軟件中存在的缺陷(應該是指針的問題),在運行素材文件刪除后,管理軟件認為已經將文件清除,可物理上仍然存在,這樣舊有的空間無法釋放,當這樣的素材文件越來越多時,磁盤的數據存貯就會出現問題。網絡管理人員所要做的就是在日常工作中發現并處理這樣一些不可預期的問題。