简介:适合网络安全网络论文写作的大学硕士及相关本科毕业论文,相关网络安全网络开题报告范文和学术职称论文参考文献下载。
龙巧玲,庞志赟
(广东科学技术职业学院,广东珠海519090)
摘 要:针对目前教育机构局域网的安全问题,讨论局域网网络安全体系的设计过程中涉及的原理与方法,并且针对教育行业中局域网的特点提出具体的技术实现手段.
关键词:网络安全:风险评估;安全体系结构;安全区域
中图分类号:TP393. 08文献标识码:A
0引言
网络管理的内容主要包括:(1)日常管理(主要包括网络设备和服务器的日常维护、网络配置、网络维护)、(2)网络性能和可靠性管理(主要包括网络性能的监控和危机预案准备)、(3)网络安全管理.经过近几年校园网络热潮的洗礼,大多数校园网网的网络管理人员已经可以从容应对网络的日常管理、性能管理和可靠性管理,但在网络安全管理方面的经验和知识有待提高.本文在网络安全理论指导下,以风险评析、安全需求分析为基础,讨论教育局域网网络安全体系的设计问题.使教育机构能够在网络应用中,走出网络安全的阴影,尽情享受网络带来的益处.
1.网络安全风险分析
1.1系统和应用程序的安全漏洞
漏洞也就是常说的Bug,任何的系统和应用程序都存在或多或少的漏洞,这些漏洞会在系统的应用过程中逐渐暴露出来.在大多数时候,这些漏洞仅仅是影响系统的使用性,但当这种漏洞影响到整个系统的安全性——即安全漏洞时,就有可能被论文范文或病毒利用,变成攻击系统的突破口.在所有网络安全问题中,漏洞带来的危害和损失是最多的,也是最常见的.大家可能对红色代码、求职信、熊猫烧香、木马下载者等病毒记忆深刻,这些病毒都曾带来大量的数据丢失,并同时在网络上产生大量的垃圾流量,影响网络系统的性能,它们的技术共同点都是利用系统漏洞.这些系统漏洞有可能变成系统崩溃和信息失密的直接原因.目前校园网管人员应付安全漏洞的办法主要是时刻关注最新的系统漏洞,争取及时给系统打补丁.微软已经把补丁包当成了家常便饭,每类系统,每种软件都不断发现各种安全漏洞,有时新系统出现不到一个月,已经有数个补丁了,无疑打补丁不是最好的办法.
1.2嗅探与扫描
嗅探与扫描也被称为信息收集.嗅探是指使用特殊的技术手段捕捉网络底层数据信息并进行分析.扫描是指通过对目标计算机协议端口的访问了解目标机的网络行为.嗅探与扫描原本是网管人员的网管专用手段,可以通过它发现和解决大量的网络问题.嗅探与扫描本身并不会对网络产生影响,但它们却是真正论文范文的必备手段.通过嗅探与扫描可以很清晰地了解到大部分网络服务和网络应用以及使用的系统平台,对一个有经验的论文范文来讲,这些信息再配合上适当的漏洞工具就足以攻破整个系统.对嗅探与扫描进行反跟踪的手段是有的,但在实践中效果很不理想,这主要是因为目前国内企业的网络环境中普遍存在着网络行为不规范的问题,网络行为的不规范导致了网络信息的不可靠,造成过多的误报.
网络安全宣传周:《老师来了》移动互联网时代的网络安全之殇
1.3暴力攻击
暴力攻击也称拒绝服务攻击( DOS),它的特点是利用TCP协议,给被攻击方发送大量伪造的TCP连接请求或垃圾数据包,使得被攻击方资源耗尽(CPU满负荷或内存不足),从而使合法用户无法得到服务.主要包括:死亡之Ping(Pingof death)、泪滴(Teardrop)、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击等等.暴力攻击是最容易实施的攻击行为,有两方面的原因:首先,暴力攻击不依赖系统漏洞,成功率非常高,如果缺乏相应措施,几乎所有的服务器都无法抵御暴力攻击;其次,这类攻击的工具容易获得并且几乎没有什么使用技巧.暴力攻击也有弱点,那就是在局域网内非常容易查找攻击的发起者,所以在局域网内很少有人敢于如此明目张胆的使用它.
1.4欺骗
欺骗是指利用人们的心理弱点结合技术手段从网络中获取非法信息的行为,成功的欺骗行为往往是把技术、心理、行为结合起来进行的.不同网络技术水平的人都可以利用欺骗手段.比如常见的伪造电子邮件,声称自己是认识并可以相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接.欺骗的方式取决于欺骗者对网络的认识和想象力,欺骗总是让人防不胜防.
1.5人为失误
人为失误造成安全损失的例子非常多,论文范文过于简单甚至不设口令、没有及时对系统和应用程序进行升级或打补丁、口令泄漏、执行来历不明的程序、保留缺省*、企业内不加限制的拨号上网等等都应属于人为失误范畴.减少人为失误的最好办法是进行全员的网络安全培训,提高员工的网络安全意识,同时制定严格明确的网络行为守则,并且配合切实可行的管理手段.
综上可以看出大多数教育机构局域网的网络安全形势非常严峻,更何况一些学校直接接人互联网,必须接受来自Internet的考验.如果单纯针对每个具体网络安全问题进行安全防护只能是被动防护,要知道有超过1000个的TCP/ lP服务安全漏洞和1000个以上的商用操作系统漏洞,再加上每个月产生的300个以上的新病毒以及我们很多不了解的来自应用层的安全漏洞.如果我们网络安全工作保持现有的手段和方式,安全问题有可能引发无法补救的数据灾难.所以,必须在教育机构局域网上建立一套整体的、完善的安全体系结构,降低网络安全风险.
2.构建安全的网络体系结构
2.1设计网络安全体系的原则
1)体系的安全性:设计网络安全体系的最终目的是为保护信息与网络系统的安全,所以安全性成为首要目标.要保证体系的安全性,必须保证体系的完备性和可扩展性.
2)体系的可行性:设计网络安全体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只能是一些废纸.设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值.
3)系统的高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点.网络系统的安全体系包含一些软件和硬件,它们也会占用网络系统的一些资源.因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转.
4)体系的可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由教育机构本身来支持,要为此付出一定的代价和开销.如果我们付出的代价比从安全体系中获得的利益还要多,那么我们就不该采用这个方案.所以,在设计网络安全体系时,必须考虑教育机构的业务特点和实际承受能力,没有必要按电信级、银行级标准来设计.
这四个原则,可以简单的归纳为:安全第一、保障性能、投入合理、考虑发展.
2.2安全体系的内容
一个完整的安全体系应该包含5个安全层面.
2.3设计安全体系结构的步骤:
安全风险评估一划分不同的安全区域一规定安全边界一技术实现一安全体系评估与测试.
1.)安全风险评估
通过安全风险评估技术来研究系统中存在的漏洞缺陷、面临的风险与威胁,并根据漏洞的性质、形式、特点、危险程度分类.安全风险评估中还要考虑一段时期系统环境可能的变化以及风险的相关性.前文已经对企业局域网的网络安全问题做了简要的分析,为使我们的安全体系方案更具科学性还需要进一步的定量分析.
2.)划分不同的安全区域
划分不同的安全区域是指根据安全风险评估的数据和系统应用特点划分不同安全级别的区域.下面我们以某教育机构局域网为例划分不同的安全区域:最小核心系统、终端用户区、DMZ区、试验环境.最小核心系统包括整个网络平台中所有最关键的服务器,可以说是整个网络的命脉,它的安全级别最高,涵盖所有的安全层面,需要一定投资规模的综合防护.该区域涉及安全防护的所有层面,特别需要注意的是安全防护在最小核心系统里可能形成的瓶颈.终端用户区包括的所有用户计算机,防护内容有以下几个方面:(1)保护用户免受来自企业内部的攻击;(2)病毒防护;(3)阻止拨号上网等.对于该区我们主要考虑系统的完整性和用户完整性.DMZ区也叫停火区,是和INTERNET距离最近的区域,是教育机构局域网和国际互联网间的接口和大门,包括WWW、MAIL、FTP等对外的服务器,在DMZ区我们既要保护好区域内的服务器,更要保证来自互联网的论文范文不能通过DMZ区渗透到教育局域网内部.构建网络试验环境的目的是对新技术和设备实施前进行学习和测试,对人员进行实践培训,同时也是安全技术的攻防演练平台,该区域会有一些人为设计的安全漏洞,有可能对其他区域产生影响,所以需要和其他区域适当隔离.
3.)规定安全边界
安全边界是独立的安全区域与外部环境的连接处,是防御外来攻击的关口,根据企业具体的业务范围,必须规定安全边界上的连接情况,并进行过滤和控制,防止非法用户的入侵以及系统敏感信息的外泄.根据我们划分的安全区域会产生多个安全边界,其中最重要的安全边界是最小核心系统的边界以及教育协作网、Internet与整个教育局域网之间的边界.
4.)技术实现
在明确了我们的安全区域和安全边界之后,再来分析采用哪些安全技术就比较容易了.网络安全防护是需要—定投入的,我们选择安全技术的标准是安全、实用.下面是某教育机构的网络安全体系结构实例,表2列出本方案采用的网络安全技术.
5.)安全体系评估与测试
对安全体系的质量进行评估也就是检验体系是否达到了安全性、高效性、可行性、可承担性的要求.世界上没有一个通用的安全体系,某个网络系统的安全体系是针对该系统本身而言的,它不能用于另外的某个系统.所以我们设计教育局域网安全体系,必须在一定的理论指导下,以风险分析与评估、安全需求分析为基础,结合具体的实际情况进行研究分析.由于安全体系的质量直接决定着企业的信息安全,因此,必须对安全体系进行严格的测试分析,对发现的不妥之处及时修正,这样才能保证体系的质量.这一部分的工作,我们已经进入了安全体系试验环境的搭建阶段.
2.4网络安全体系结构的可靠性
有了安全的网络体系结构是否就可以高枕论文范文?对这个问题最简单的回答是:不可能.以目前的技术手段我们能做到的只是对网络本身存在的脆弱性和针对网络的威胁进行最小化.网络的脆弱性分为三类:行为管理、网络配置、技术脆弱性.
行为管理:当职工不知道什么可以做、什么不可以做,并且在他所使用的桌面环境下什么事情都可以做,“行为管理”问题就很突出了.比如,职工避开校园网的防火墙,在电脑上使用调制解调器,通过本地的ISP而连接上了国际互联网时,教育局域网内部的“后门”就暴露出来了,这是“网络安全行为管理”所不能容许的.
网络配置:网络配置问题也很容易发生,例如,网络管理员在配置关键网络设备,尤其是配置界面友好的图形界面( CUI)类防火墙、交换机、路由器时,一旦有所闪失,就会产生“网络配置错误”,其后果可能就是整个网络安全体系完全失效.
技术脆弱性:网络安全技术发展非常快,这也从一个侧面反映出网络安全技术还不够成熟,一些安全技术从理论上是可行的,但相应的一些硬件、软件环境无法满足要求,效果不够理想,这也是在选择和使用网络安全技术时必须时刻注意的问题.
2.5不容忽视的网络行为管理
比较网络的三类脆弱性,其中最容易忽视也是网络安全中极为重要的就是网络的行为管理.可以说,网络安全体系的成败三分技术、七分管理.目前国内教育机构在网络的行为管理上与国外教育机构的差距很大,如何把网络的行为管理纳入正轨是教育网络安全面临的最严峻的挑战.目前多数教育机构在网络行为管理有以下几个突出矛盾:1)有些职工缺少网络安全操作方面的知识培训,缺乏数据安全意识,不了解网络攻击行为的法律后果.2)对微机使用的约束力度不够,随意安装软件的现象非常普遍.3)教育机构的网络行为守则缺少相应的约束机制.一个成功的网络安全体系必须具备以下特点:结构合理的网络安全体系结构;能够通过不断的培训和学习提高管理人员素质和技能;做好系统补丁与设备代码的及时升级;形成制度化的日常数据和系统状态资料的备份;保持低值的渗透成功率;以及规范的网络行为管理并具有严厉惩罚及打击所有的网络恶意行为的手段.这些特点是企业网络成熟的标识,也是每个网管人员努力的方向.
3.结束语
万能的网络安全解决方案是不存在的,教育网络安全体系设计首先要考虑教育网络的应用特点,量力而行,不要片面追求技术的先进性,不要轻易相信商家对网络安全产品的过分宣传,不要吝啬对教育机构网管的培训投入.一个好的网管强过任何一种网络安全产品.好的网管是教育网络安全体系结构中最重要的一环.(责编程斌)
参考文献:
[1]潘伟.网络信息系统安全保密一体化解决方案网络安全技术与应用.2009.
[2]林东和,防范论文范文攻击不求人[M],北京:人民邮电出版社,2008.
[3]许荣生.论文范文攻击技术揭秘[M].北京:机械工业出版社,2008.
[4]邵波,王其和.计算机网络安全技术和应用[M].北京:电子工业出版社.2005.
[5]叶蓬,网络安全态势感知信息网络安全,2010,(()4):51-54.
作者简介:龙巧玲(1979-),女,助理实验师,本科,主要研究方向:计算机应用,网络安全;庞志赟(1979-),男,网络工程师,本科,主要研究方向:计算机应用,网络安全与信息.
总结:本文关于网络安全网络论文范文,可以做为相关论文参考文献,与写作提纲思路参考。
网络安全宣传周引用文献:
[1] 大学生网络安全方面论文题目 大学生网络安全毕业论文题目怎么定
[2] 电子商务网络安全相关论文选题 电子商务网络安全论文题目选什么比较好
[3] 新颖的网络安全硕士论文选题 网络安全硕士论文题目怎么定
