时间:2023-09-19 16:20:26
导语:在基本网络安全知识的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
摘要:本文旨在收集整理并总结归纳前人有关网络安全研究成果的基础上,结合院校实际,重点探讨影响院校计算机网络安全的因素并提出维护院校计算机网络安全的防范策略。
关键词:院校计算机网络;安全问题;解决策略
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 07-0000-01
The Problem of Colleges Computer Network Security
Liu Yanchun1,Wang Fei2
(1.Liaoning Institute of Railway Technology,Jinzhou121000,China;2.Northeast China Institute of Electronic Technology,Jinzhou121000,China)
Abstract:This paper collected and summarized the results of previous studies on the basis of network security,combined with the actual institution,focusing on the impact factors of computer network security institutions and make maintenance of school computer network security,preventive strategies.
Keywords:College computer network;Security issues;Solving strategies
一、院校计算机网络使用现状
院校计算机网络的使用者有两类,一是对网络一知半解的教师群体,二是对网络求新求变的学生群体。教师群体又分为两类,一为使用网络进行多媒体教学的科任教师,一为使用网络进行综合管理的行辅教职工。其中,对网络一知半解的教师群体安全意识淡薄,对网络求新求变的学生群体则多半不计后果,一定程度上助长了院校计算机网络安全隐患的滋生。总体看来,院校计算机网络有着系统复杂、漏洞遍布、管理混乱、资源泛滥、病毒横行甚至是黑客袭击等诸多堪忧现状,对院校计算机网络信息安全、网络系统使用、网络运行构成了严重的威胁。失窃信息或被恶意篡改的信息及网络资源滥用、虚假信息乱传等,更是影响到院校的声誉及正常管理。
二、影响院校计算机网络安全的主要因素
(一)院校计算机操作系统存在缺陷。目前,在院校中广为使用的网络操作系统主要为UNIX、WINDOWS和Linux等,这些操作系统自身均存在各种各样的安全问题,许多新型计算机病毒正是通过操作系统的漏洞进行交叉传染。而院校计算机使用者极少主动及时更新操作系统,也甚少修补各种漏洞,导致计算机反复感染。
(二)院校计算机使用者意识淡薄。1.管理者网络安全概念模糊,院校计算机网络安全管理机构不健全,网络安全管理制度得不到落实,网络安全管理专业人才极为缺乏。2.部分教师与学生漠视网络安全,利用可移动存储介质(如U盘、手机、MP3/MP4等),浏览各类合法非法网站,大肆下载各种网络资源,有意无意地传播了计算机病毒,甚至造成院校网络堵塞与瘫痪。3.部分计算机使用者安全意识不强,在网络上使用容易被破解的简单密码,或者轻易泄露自己的账号密码,或与人共享账号,或者在防火墙内部架设拨号服务器却没有对账号认证等严格限制,甚至是不安装任何查杀软件走“机器裸奔”路线等等,都给网络安全带来了威胁。
(三)病毒袭击与黑客攻击防不胜防。一方面,传染性大、寄生性强、隐蔽性高、触发性广、破坏性久的计算机病毒是目前院校计算机网络数据安全甚至整个网络安全的头号大敌。另一方面,安全工具的更新速度往往赶不上安全问题的产生速度,因而黑客总是利用端口监听、端口扫描、口令入侵、JAVA炸弹等不断更新的攻击手段和层出不穷的系统问题对计算机进行袭击。
三、确保院校计算机网络安全的防范策略
(一)管理策略
1.院校计算机网络安全管理机构的建设。要实现院校计算机网络安全性与功能性的协调统一,实现安全风险最小化,唯有加强院校计算机网络安全管理机构的建设,成立院校计算机网络安全管理领导小组,通过网络管理人员与使用人员的共同努力,利用一切可行的工具和技术,尽力控制、减少非法行为。同时,不断加强院校计算机网络的安全规范化管理力度,对院校网内的IP地址资源统一管理、统一分配,对盗用IP资源的用户依据管理制度严肃处理,从而保障广大院校网络用户的基本利益。
2.院校计算机网络安全防范意识的强化。一方面,院校计算机网络安全管理机构应在全院/校范围内普及基本网络安全知识,宣传网络安全防范意识的重要性,要求网络用户在思想上要引起高度智能重视,认识到网络犯罪的概念与危害,加强网民尤其是青少年的法制观念教育,增强他们的法律意识,使他们依法自律,提高警惕,从而减少网络犯罪的发生。
(二)技术策略
1.防病毒软件。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
2.防火墙技术。防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,具备检查、阻止或允许信息流通过的功能,能有效抵抗黑客攻击,最大限度地保障内部网络的正常运行,防止内部信息泄漏、提高内部网络的安全性。
3.入侵检测技术。入侵检测技术是根据用户历史行为,基于用户的当前操作,完成对攻击的决策并留下攻击证据,为数据恢复与事故处理提供依据的一种新型安全技术。在院校网络中同时采用基于网络和基于主机的入侵检测系统,可构架出一套完整立体的主动防御体系。
4.漏洞扫描技术。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。漏洞扫描技术是一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
四、结语
院校计算机网络的安全问题是一个较为复杂的系统工程,随着计算机技术的飞速发展,其网络安全有待于在实践中进一步研究和探索。在目前的情况下,我们应当全面考虑综合运用各项安全措施,互相配合,加强管理,综合提高院校网络的安全性,建立起一套真正适合院校计算机网络的安全体系。
参考文献:
【关键词】 计算机网络 互联网
作为一名计算机专业的教师,从教十几年来,我感觉无论是计算机的基础课,还是计算机的专业课,无论是计算机专业,还是非计算机专业,计算机网络在教学中真是起到了巨大的作用,无论是老师还是学生都从中得到了很大的帮助,我从以下几方面来和大家作以探讨。
一、信息技术教育形势和网络应用课现状
随着全球数字化、信息化和网络化技术的全面发展,计算机正日益深人到人们的日常生活与工作之中,计算机网络在社会和经济发展中起着非常重要的作用,网络已经渗透到人们生活的各个角落,影响到人们的日常生活。计算机网络的发展水平不仅反映了一个国家的计算机和通信技术的水平,而且己经成为衡量其国力及现代化程度的重要标志之一。计算机和网络知识已经成为当代文化的一个重要组成部分,是人们知识结构中不可缺少的部分。
掌握计算机和网络的基本知识、基本操作与应用,已经成为现代社会中人们的一个必备的技能。同时也是一种文化基础的教育,是人才素质教育的重要组成部分,这不仅是信息化社会的需求,更是各学科发展的需要。
计算机基础课程作为面向非计算机专业学生的课程具有非常重要的地位。通过课程的学习,使学生认识计算机,了解计算机的基础知识和基本理论,掌握计算机的基本操作和网络的使用方法,并为后续的计算机课程打下一个较为扎实的基础。作为计算机基础课程当中非常重要的组成部分-计算机网络应用基础,正在成为学生最迫切掌握的内容部分,其受重视程度逐年递增。由于信息技术发展迅猛,计算机等信息技术教学从教材到课程设计都存在不同程度的内容滞后状况。计算机教学的主要目的是掌握使用计算机的方法和技巧,教学内容和当前主流内容脱节会严重降低教学质量,引起学生不满。
二、在教学环境下精心设计的计算机网络应用课实验
作为计算机教学的必备条件之一,联网的多媒体机房是必不可少的。机房里的学生用机应该有主流的硬件配置,安装较新的操作系统和常用的工具软件,而且机器组成局域网状态。当然,还有一些要求也最好满足,比如:学生用机安装还原卡以方便维护和管理,教师用机和学生机都安装某种教学系统软件以提高教学质量,机房配备专用服务器以保障机房整体性能等。满足了以上软硬件要求,我们就可以设计网络应用基础实验,提高学生实际动手能力,加深对理论知识的理解。
1、组建网络是网络应用的基础,是必须要掌握的内容。在实验课上,教师找出一根双绞线网线,让学生观看物理构造,然后教师用专业网络用钳子现场制作水晶头,并告诉同学们双机对联和标准多机互联两种情况下网线不同的排线方式,在完成后用测线仪进行测试。带领同学们参观并讲解多媒体网络机房的布线情况、机柜里面的交换机,加强理解网络拓扑结构内容。最后带领同学们组建一个对等的局域网环境,配置"网络连接"的各种属性,包括IP地址、子网掩码、网关、DNS地址等,在配置的过程当中重新回顾理论课上的内容。
2、远程桌面和远程协助 ; 使用计算机网络我们还可以实现远程办公、远程技术支持、远程交流和远程维护管理这些功能,而Windows XP操作系统本身自带了这些功能,在教学机房里里面我们就可以进行这方面的实验课程。
在远程桌面实验中使学生掌握:远程桌面的使用环境、必备软硬件条件、用户认证、在远程登陆连接后可以进行的权限和应用。进行完了远程桌面实验以后,引人特定案例环境,例如:远程用户需要远程协助、在线解决问题等,把Windows XP另外一个自带重要功能-远程协助引人教学。远程协助实验实行座位临近的学生两人一组形式,每个同学都完整的进行一次不同角色的任务,即充当求助者也充当远程专家,把远程协助的技巧和功能充分掌握。其中,学生们还会碰到很多相关的技术问题,比如:把远程协助的邀请函文件进行传递的时候就会用到带权限限制的文件共享问题、邮件发送接受问题;在远程协助过程当中还会使用到实时通信功能,其中可以是文本形式,也可以是语音形式。在解决很多实际碰到的技术问题时,学生们的自学能力、探索能力、合作能力都会大大的提高。
远程桌面和远程协助功能强大,实验效果非常好,开阔了视野,而平时学生会用的比较少,所以反映强烈,激发了学生们的学习热情。
3、互联网使用技巧 ; 国际互联网(因特网、Internet)代表着当代计算机网络体系结构发展的重要方向,已在世界范围内得到了广泛的普及与应用。国内互联网发展迅速,无论从网民数量还是与网络相关的产业经济都令世人瞩目。学生可以使用因特网浏览信息、查找资料、读书、购物,甚至可以进行娱乐、交友,因特网正在迅速地改变人们的工作方式和生活方式。
4、网络安全知识普及; 目前,整个国内乃至世界网络安全形势都非常严峻,网络人侵、信息泄密、黑客控制、病毒木马等正利用网络平台危害着整个社会,给人民群众造成了极大的损失。
作为网络应用课,网络安全部分的教育应该逐渐提升其位置和所占比例,使我们的学生不仅会利用网络,还要会安全的使用网络。网络安全普及型教育应该做到以下几个方面:网络安全道德伦理方面的教育;网络安全威胁的各种手段介绍;基本网络安全预防知识和技巧。在教学手段上,可以使用贴近实际的活生生的网络安全案例来给学生讲解其重要性、危害性。用一些扫描、漏洞攻击、木马控制和暴力破解软件,在机房现场演示来给学生加深理解黑客攻击的技术手段。
三、实验内容的效果及网络应用课还应加强的方面
做了以上实验内容,从局域网实用小技巧到互联网常用功能的使用,再到网络安全教育,学生都会有一个具体感性的认识,改变了以往重理论轻实验、实验内容不实用等问题,教学效果比较理想,学生实验热情高涨、满意度很高。在实验课教学中我们更加容易的进行各种教学改革,比如:启发式教学、研究式教学、问题式教学等。
关键词无线网络;网络安全;安全防范
1引言
随着信息技术的飞速发展,人们对网络通信的需求不断提高,对Internet访问的持续性、移动性和适应性等方面取得很大进展,近年来无线网络已经成为一种较为普及的网络访问方式,并且在一些领域已经占据了主流的地位。这表明无线网络有着传统网络不能比拟的优势,但是将无线网络接入传统的Internet中存在许多技术问题和安全问题。
2无线局域网的结构及其运行方式
无线局域网所涉及的主要设备包括:无线AP、无线路由器、无线网桥等。无线AP(ACCESSPOINT)即无线接入点,相当于一个无线集线器(HUB),接在有线交换机或路由器上,为跟它连接的无线网卡从路由器那里分得IP。它主要是提供无线工作站对有线局域网的访问和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信;无线路由器:无线路由器就是AP、路由功能和集线器的集合体,支持有线无线组成同一子网,直接连接上层交换机或ADSL猫等,因为大多数无线路由器都支持PPOE拨号功能;无线网桥又叫桥接器,它是一种在链路层实现局域网互连的存储转发设备。网桥有在不同网段之间再生信号的功能,它可以有效地连接两个LAN(局域网),使本地通信限制在本网段内,并转发相应的信号至另一网段。网桥通常用于连接数量不多的、同一类型的网段。
无线局域网一般采取以下的几种网络结构来实现互联。以适应不同的需要:
(1)基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。如图1。
(2)网桥连接型:不同的局域网之间互联时,如果不便采取有线方式,则可利用无线网桥的方式实现二者的点对点连接,比如距离比较远的两栋或更多建筑物之间的互联互通。无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。如图2。图1基站接入型图2网桥连接型(3)Infrastructure接入型:计算机通过无线网卡与AP或桥接器进行通讯,AP或桥接器起到了有线网络中HUB的作用。可以组建星型结构的无线局域网,所有传输的数据均需通过AP或桥接器,由桥接器进行网络的控制管理。不同桥接器可以相互串联以形成更大规模的网络。在该结构基础上的WLAN,可采用类似于交换型以太网的工作方式,要求HUB具有简单的网内交换功能。实现了无线网络与有线网络的无缝连接。
(4)无中心结构(Ad-hoc):即不通过AP,各计算机通过无线网卡自行进行通讯。网络管理分散到各个计算机中。是一种点对点的应用方式。要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。图3Infrastructure图4Ad-hoc3无线局域网的运行方式
无线局域网采用的标准是IEEE802.11。该标准定义了物理层和媒体访问控制(MAC)规范,允许无线局域网及无线设备制造商建立互操作网络设备。后来又相继公布了802.11a和802.11b,IEEE802.11b使用开放的2.4GHz直接序列扩频,最大数据传输速率为108Mbps,也可根据信号强弱把传输率调整为54Mbps、11Mbps、5.5Mbps、2Mbps和1Mbps带宽。直线传播传输范围为室外最大300m,室内有障碍的情况下最大100m,是现在使用的最多的传输协议。2000年,IEEE成立专门工作组对802.11g进行标准化工作,目的是为了用户获得更高的数据速率服务,后向兼容802.11b,前向兼容802.11a。
4无线局域网络主要的安全威胁
由于无线网络的传输方式和物理结构等原因,导致其在安全问题上较有线网络更容易受到威胁,主要表现在:
(1)容易泄漏,无线局域网络主要采用无线通信方式,其数据包更容易被截获,由于不能在物理空间上的严格界定,所以传输的信息很容易被泄漏,任何能接受到信号的人,都可进入并解码破译。而事实上很多无线局域网络在默认状态下是没有加密的。
(2)易受干扰,由于目前802.1lb协议规定的工作频段的开放性,广泛用于很多电子产品,因此容易互相干扰,造成无法通信或者通信中断,如果恶意用户通过干扰器对特定无线网络进行拒绝服务攻击或者干扰,那么这个干扰源不是很容易就能查出来的。
(3)入侵容易,无线网络的接入点在设计上要求其具有公开、易获取的特性,以方便合法接入者,但这也为入侵者提供了必要的信息,利用这些信息,入侵者可以在能够接受信号的任何地方进入网络或发起攻击,即使被入侵检测系统发现也很难定位,在不改变原有安全配置的情况下,难以阻止入侵的继续。虽然,802.11在安全方面规定了WEP加密,但是WEP加密是不安全的,WEP的脆弱可能使整个网络受到更大的威胁。
(4)地址欺骗与会话拦截,由于802.11无线局域网对数据帧不进行认证操作,通过非常简单的方法就可以获得网络中站点的MAC地址,然后通过欺骗帧改变ARP表,进行地址欺骗攻击。同时,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,装扮成AP进入网络,进一步获取认证身份信息从而进入网络。
5无线局域网中主要的安全防范技术
经过业界几年的努力,现在已经有一些较为有效的安全防范技术应用于无线网络中,比较通行的有以下一些技术:
(1)服务集标识符(SSID):ServiceSetIdentifier相当于一个局域网的简单标志或口令,它设置于无线接入点AP(AccessPoint)上,无线工作站要与AP连接必须要有一个和AP一致的SSID,无线工作站可以籍此来选择想要来连接的网络,从安全的角度来看,SSID提供一个较低级别的安全认证。
(2)物理地址过滤(MAC):在小规模的网络中,每一个被允许访问AP无线工作站的网卡的物理地址被登记下来,设置在AP中作为允许访问的过滤条件,在AP中没有登记的网卡无法访问AP。
(3)连线对等保密(WEP):WEP是WiredEquivalentPrivacy的简称,是802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议。WEP被用来提供和有线LAN同级的安全性。WEP的目标就是通过对无线电波里的数据加密提供安全性,如同端对端发送一样。由于在WLAN中,无需物理连接就可以连接到网络,因此IEEE选择在数据链路层使用加密,采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。
(4)Wi-Fi保护接入(WPA):WPA(Wi-FiProtectedAccess)继承了WEP的基本原理,通过使用一种名为TKIP(暂时密钥完整性协议)的新协议,使用的密钥与网络上每台设备的MAC地址及一个更大的初始化向量合并,来确保每一节点均使用一个不同的密钥流对其数据进行加密。随后TKIP会使用RC4加密算法对数据进行加密,由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析也几乎无法计算出通用密钥,解决[本文由网站公文大全收集整理]了WEP的缺陷,WPA还包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
(5)端口访问控制技术(802.1x):802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的无线工作站通过接入端口访问LAN/WAN。在通过AP获得各种业务之前,802.1x对连接到AP端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。该技术是一种增强型的网络安全解决方案,特别适合于公共无线接入解决方案。
利用这些技术,我们在下节中提出了一系列具有实用意义的安全防范措施。
6无线局域网安全防范措施
6.1建立更安全的网络构架
采用何种网络构架对于无线网络的安全具有决定性的作用,随着人们对无线网络的安全问题越来越重视,许多新的技术被集成到无线局域网上,我们这里仅给出一种采用典型端口访问技术和VPN技术相结合的范例,见图5。
(1)采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问。802.1x在端口上实现基于MAC地址的认证方式。做到IP与MAC地址的绑定,防止了用户的假冒。通过EAP协议可以与RADIUS服务器进行通信,提供便捷的认证方式。
(2)对于密度等级高的网络采用VPN进行连接,目前广泛应用于局域网络及远程接入等领域的虚拟专用网(VPN)安全技术。与802.11b标准所采用的安全技术不同,在IP网络中,VPN主要采用IPSec技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与802.11b安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案。图5一个安全的无线局域网构架6.2无线接入点的安全措施
(1)在有条件的情况下,可以采用支持WPA规范的设备,WPA标准作为一种可替代WEP的无线安全技术,考虑到了不同的用户和不同的应用安全需要,在企业模式下,通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安全。家庭模式(包括小型办公室)下,在AP(或者无线路由器)以及连接无线网络的无线终端上输入共享密钥来保护无线链路的通信安全。
(2)如果只能选择WEP加密技术,则最好采用128位WEP加密,并不要使用设备自带的WEP密钥。
(3)禁止AP向外广播其SSID,并设置复杂的SSID,由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。而且目前有的客户端跳过SSID安全功能,自动连接到AP。所以这些措施是比较脆弱的,但如果配置AP向外广播其SSID,那么安全程度还将下降。
(4)设置MAC过滤,在AP中可以设定哪些MAC地址不能与AP通信,这样可防止非法网卡登录到AP上,也可以防止非法客户机访问AP下的无线网客户机。但应该知道,实际上MAC是很容易被假冒的。
(5)注意对AP的管理,修改缺省的AP密码,各种主流AP产品的默认管理密码已为人们熟知,应修改缺省的密码,以防非法闯入。
6.3无线终端上的安全措施
系统管理员如果需要防止无线终端上的网络设置泄漏,可以选用支持修改属性需要密码的网卡,要开启该功能,防止网卡属性被修改和信息泄漏。
与在传统网络中相比,无线终端更应当注意安装防火墙等安全软件,并及时更新系统漏洞补丁。
6.4管理与培训
安全与管理是两个需要同等重视的问题,而且是互相影响互相推动的。
对于大型网络,我们应该制定周密的计划,支持多种安全策略应对不同的情况、,从而提高无线局域网的性能,并能在企业无线局域网内支持新的移动模式。
可以采用第三方的软件公司提供的软件解决方案,在一个统一的平台和界面上管理多种策略和各种类型的无线网络,实施监控和记录历史数据,从而实现一个安全、可靠的无线网络。
制定无线网络管理的相关规定,包括使用无线网络的指导性规定和特别的禁则,比如,规定员工不得把网络设置信息告诉公司外部人员,禁止设置P2P的Adhoc网络结构等。
对网络管理人员进行知识培训。普及无线网络的安全知识,加深员工的安全意识,明白违规使用无线网络的危害性。
7结语
无线网络在很大程度上突破了统有线网络的限制,使用户获得了可移动性和方便性,但正因如此无线网络也面临更大的安全威胁,要求我们有更高一级的安全防范意识和防范措施,不可掉以轻心。当然也没有必要“谈无线而色变”,因为其安全上的风险而不敢采用,事实上,根据不同的安全需要,对无线网络的固有物理特性和组网结构进行透彻的分析,在不同的层面采取恰当的措施,保障无线网络的安全可用是完全可行的。
参考文献
[1]蔡一郎.Windows2000Server网络技术与构架管理[M]北京:清华大学出版社,2002:302-378
[2]何军.无线通信与网络.北京:清华大学出版社,2004,6
[3]孙利民,李建中.无线局域网络.北京:清华大学出版社,2005:4~22
[4]AspinwallJ.Installing,TroubleshootingandRepairingWirelessNetworks[M].北京:电子工业出版社,2004
[5]湛成伟.网络安全技术发展趋势浅析[J].重庆工学院学报,2006,20(8):119-121