1 网络信息安全的含义及其特征 随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪具有很大的隐蔽性,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。
网络信息安全有五大特征:
1)完整性 指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。
2)保密性 指信息按给定要求不泄漏给非授权的个人、实体或过程,或提供其利用的特性,即杜绝有用信息泄漏给非授权个人或实体,强调有用信息只被授权对象使用的特征。
3)可用性 指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。
4)不可否认性 指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供的信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
5)可控性 指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外,最典型的如密码的托管政策,当加密算法交由第三方管理时,必须严格按规定可控执行。
2 校园网络信息安全应 校园网络安全主要包括物理设备安全和网络信息安全。物理设备的安全防范主要是防止设备被盗、雷击、电流电压过大而损毁。这些问题只要能加强常规检查,做好基本防护措施就能得到解决。因此,校园网络安全的核心问题是网络信息安全。
2.1 贺州学院校园网络信息安全状况 我院校园网建设与大多数地方本科院校一样,受到资金和技术条件的限制,面临着如下方面的安全威胁。 2.1.1 设备的配置 安全网络设备的配置安全是指在网络设备上进行必要的设置,防止不怀好意的人取得网络设备的控制权。我院部分管理员安全意识不强,没有在网络设备上配置必要的密码或者密码设置过于简单,导致网络故障频繁发生。
2.1.2 管理上的漏洞 校园网络信息安全“三分靠技术,七分靠管理”,所以,对于网络管理相关人员应该要制定严格的管理制度,明确责任,严格实行责任追究制。对于因工作上的疏忽而造成重大设备损坏,关键保密信息泄露等产生严重不良影响的事件,要追究有关责任人的责任,直接与经济利益和年考核挂钩。
2.1.3 各种BUG的影响 计算机的操作系统和各类应用软件不可避免地存在各种各样的安全漏洞,流行于网络上的很多病毒和木马程序,很容易利用各种BUG窃取和泄露敏感信息。目录共享导致信息的外泄。在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但是当一个目录共享后就成了数据资料安全的一个严重隐患。
2.1.4 网络攻击 广义的网络攻击包括很多方面。这里结合校园网络安全的特点,重点介绍在校园网普遍发生的ARP攻击和拒绝服务攻击(DoS)。
ARP是一个位于TCP/IP协议中的一个底层协议,对应于数据链路层,负责将某个IP地址解析成对应的MAC地址,通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,这种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包让网络上特定计算机或所有计算机无法正常连接,还能够在网络中产生大量的ARP通信使网络阻塞甚至造成网络中断。ARP攻击十分简单对于一般熟悉网络知识的人都可以使用WinArpAttacker软件来进行ARP攻击,使用某个用用户不能正常连接或者是造成某个用户的IP冲突。对于用户正常连接造成很太的影响。
拒绝服务攻击是通过攻击主机、服务器、路由器等网络设备,导致被攻击网络无法提供正常服务的一种攻击方式。典型的拒绝服务攻击表现为攻击者向被攻击网络大量发送数据从而消耗其资源,使得合法用户无法正常访问服务器。
拒绝服务攻击的方法多样。攻击者在发起攻击时,可能采取单一手段的攻击模式,也可能采取多种攻击手段联合使用的模式。就其攻击手段来说。主要有以下几种:
1)死亡之Ping 早期的网络不支持大数据包,攻击者通过网络发送大量的大数据包到被攻击者网络,造成网络堵塞以致瘫痪。目前的网络已经能够支持大包,这种方式已经不再是一个重要问题了。
2)UDP洪水攻击 攻击利用如chargen和echo等简单的TCP/IP服务。相互发送大量数据以占满带宽,从而瘫痪网络的方式。
3)SYN洪水攻击 攻击者通过向服务器发送连续的SYN握手信息来瘫痪服务器的攻击方式。
4)LAND攻击 该攻击是让服务器自己向自己发送SYN握手信息,以达到瘫痪主机的目的。
5)电子邮件炸弹 通过向一台服务器大量地,不间断地发送电子邮件,起到瘫痪服务器的作用。
6)分布式拒绝服务攻击 它是威力最强大的拒绝服务攻击方式,其主要采用多台服务器对同一网络同时发起攻击,导致该网络瞬间瘫痪。
3 网络信息安全防范措施 根据我校校园网安全需求和安全威胁,我校的计算机网络主要采取了以下的防范措施。
3.1 管理措施 我校对于校园网络的管理进行了明确的分工,责任落实到具体的部门和具体的个人。设置了校内网络中心专职管理部门,负责网络运行维护与安全检查的日常工作。网络管理员负责整个网络及信息的安全工作,建立网络事故报告并定期汇报,及时解决突发事件和问题,同时制定了相应的管理制度。
1) 中心机房管理制度 规定中心机房由网络中心单位负责人员进行管理,其他无关人员禁止进入中心机房。在机房中安装了空调,保持网络设备环境的适宜和干净整洁,此外,网络设备安装在固定的机柜内,并安加锁,确保网络服务器的物理安全。
2) 访问记录和检查处理制度 对每个使用网络设备的人员都要进行记名登记制度,便于监督学生使用设备情况和损坏责任追究。此外,由网络中心人员监控网络的运行,建立和定期检查网络的访问日志,发现恶意使用网络和恶意攻击时如实分析和上报并作出及时处理。
3) 口令安全管理 网络管理员对入网计算机和使用者进行登记,由网络中心负责对其进行监督和检查,任何人不得更改IP及网络设置。对于系统配置等一些统一规范的部分建立口令,防止学生等其他人员随意访问或修改。
3.2 数据备份 数据备份是把文件或数据库从原来存储的地方复制到其他地方的活动,其目的是为了在设备发生故障或发生其他威胁数据安全的灾害时保护数据,将数据遭破坏的程度减到最小.它是通过增加数据的冗余度来达到保护数据安全的目的。如果数据被销毁或破坏,数据备份将是恢复资料的唯一途径。数据备份能在较短的时间内用比较小的代价,将有价值的数据存放到与初始创建的存储位置相异的地方,在数据被破坏时,再在较短的时间和非常小的代价花费下将数据全部恢复或部分恢复。数据备份的可使用的介质很多,根据其使用的介质种类可以将数据备份方法分成如下若干种:软盘备份、磁带备份、可移动存储备份、本机多硬盘备份、网络备份.由网络管理员负责网络系统的数据备份,网络管理员根据不同情况选择相应一种或几种的数据备份方法,利用Windows自带的功能也可以实现正常备份、差异备份、增量备份。网络系统的应用软件采用双机热备份的方法,这是为了防止学校的数据或系统遭到破坏时可以很快的从另一台主机那将数据或系统进行恢复。此外,数据库采用定期手工备份和系统自动备份等手段保证数据的可靠性。
3.3 防火墙部署 我院在防火墙部署方案中,根据学校校园网安全策略和安全目标,配置了Cisco ASA5520防火墙,并将其部署在校园网的入口位置,它能很好的将Internet与学校内部网络隔离开来,从而对内网和外网之间的访问提供了安全保障。
防火墙是学校校园网络的网关设备。网络管理员根据学校校园网络自身的安全需求和制定的安全策略,设计必要的安全过滤规则,该规则对流经防火墙的数据所使用的网络协议和访问端口号等内容进行检测,监控通过防火墙的数据,允许和禁止特定数据包的通过,并对所有事件进行监控和记录。如此,网络管理员可以定期查看防火墙访问日志,即可及时发现攻击行为和不良的上网记录,使校园内部网络既能对外正常提供Web访问、FTP下载等服务的同时,又能保护内部网络不被恶意者攻击,从而实现对校园网进行保护。
配置防火墙可防TCP、UDP等端口扫描、防源路由攻击、ICMP攻击、DoS/DDoS攻击等,同时可提供监控和警告功能,支持URL过滤等,此外,可检测、识别和验证应用类型和处理流量,以便及时发现并阻止流量和用户利用开放端口非法侵入网络。通过配置防火墙,还可以对外部屏蔽一些校内网络的资源,使外部用户无法访问这些资源,但对于公开的资源,比如校园网站,就可以给外部用户正常访问,从而确保校园网络数据的部分开放性和安全性。
3.4 访问权限控制 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问,访问权限控制本质上是限制对资源使用,决定主体是否被授权对客体执行某种操作,只有经过授权的用户在向系统正确提交并验证通过身份后,才允许访问特殊的系统资源.对系统中的不同用户分配不同的权限,使角色和权限有效地连接起来,限制了非法用户登录系统并占用或破坏系统资源,同时限制了用户的越权访问或越权操作,只给授权的用户使用授权的服务,大大增强了系统的信息安全性。此外,对访问Internet进行了限制,统一经代理服务器接入Internet并安装了防火墙,如此减少外部的威胁,确保校内网的安全性。
3.5 合法用户自我防范 提高合法用户的自我防范意识和安全意识。用户不应该随便告诉自己的口令给他人知道,应妥善保管和使用帐号和密码,而且密码的设置应数字、字母或特殊符号相结合,增加密码的复杂性,且定期更换密码。此外,用户应减少资源的共享。
此外,为了做到安全上网,用户应该做到几点防范:安装个人防火墙和杀毒软件,并及时更新杀毒软件,使用安全合理的密码口令;不要随意下载和运行不明软件等,一般到官方网站下载需要的软件;此外,必须提高个人的危险意识,不要随意访问一些陌生的网站,且要经得住一些恶意网站的诱惑,养成良好的上网习惯。
3.6 病毒防治 病毒防治是计算机网络安全非常重要的措施。因为一旦病毒进入到整个校园网络中感染、传播,就会致使网络系统资源遭到破坏,严重时甚至会导致网络的瘫痪。对此,学院中的每台计算机上都安装了瑞星杀毒软件,用以对已知病毒、黑客程序的查找,实时监控和清除,恢复被病毒感染的文件或系统。此外,网络中心负责整个校园网的升级工作。由网络中心定期地对软件进行更新,借助瑞星全新研发的虚拟化引擎,能够对木马、后门、蠕虫等恶意程序进行极速智能查杀,保证极高的病毒查杀率。我院主要采取了“防杀结合、以防为主、以杀为辅”的病毒防治策略。
3.7 制定紧急预案 网络管理员监测校园网的日常运行情况,一旦发现网络异常,网络管理员要进行记录,并迅速分析故障类型,采取紧急措施防止损失发生或降低损失程度,然后上报网络中心或政府有关部门寻求援助以恢复系统的正常运行。
4 结束语 随着网络应用的深入普及,网络信息安全变得越来越重要。如今,网络信息安全要求对整个网络信息系统进行保护和防范,以确保它们的安全性。
计算机网络信息安全问题是一个长期而艰巨的问题。随着科技的不断发展,计算机网络也会更加复杂,网络安全包含复杂的技术问题,涉及的问题也很深。当然,网络安全不仅是一个技术问题,也是一个社会道德问题和法律问题。要解决网络信息的安全问题,必须采取技术和立法等多种手段进行综合治理。
参考文献: [1] 徐明,张海平。网络信息安全[M].西安:西安电子科技大学出版社,2006,7. [2] 顾巧论,高铁杠,贾春福。计算机网络安全[M].北京:清华大学出版社,2004. [3] 王达。网管员必读-超级网管经验谈[M].北京:电子工业出版社,2005.