引论:我们为您整理了13篇网络安全渗透技术范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
1 常见的网络攻击手段
目前较为常见的网络攻击手段主要包含以下几种:
1.1 IP欺骗攻击手段
这种攻击手段是指,不法分子利用伪装网络主机的方式,将主机的IP地址信息复制并记录下来,然后为用户提供虚假的网络认证,以获得返回报文,干扰用户使用计算机网络。这种攻击手段的危害性主要体现在:在不法分子获得返回报文之前,用户可能无法感知网络环境存在的危险性。
1.2 口令攻击手段
口令攻击手段是指,黑客实现选定攻击主机目标之后,通过字典开展测试,将攻击对象的网络口令破解出来。口令攻击手段能够成功应用的原因在于:黑客在利用错误口令测试用户UNIX系统网络的过程中,该系统网络不会对向用户发出提示信息。这种特点为黑客破解网络口令的过程提供了充裕的时间。当黑客成功破解出网络口令之后,可以利用Telnet等工具,将用户主机中处于加密状态的数据信息破解出来,进而实现自身的盗取或损坏数据信息目的。
1.3 数据劫持攻击手段
在网络运行过程中,不法分子会将数据劫持攻击方式应用在用户传输信息的过程中,获得用户密码信息,进而引发网络陷入瘫痪故障。与其他攻击手段相比,数据劫持攻击手段产生的危害相对较大。当出现这种问题之后,用户需要花费较长的时间才能恢复到正常的网络状态。
2 网络安全风险评估关键技术类型
网络安全风险评估关键技术主要包含以下几种:
2.1 综合评估技术
综合评估技术是指,在对网络安全风险进行定性评估的同时,结合定量评估的方式提升网络安全风险评估的准确性。
2.2 定性评估技术
定性评估技术向网络安全风险评估中渗透的原理为:通过推导演绎理论分析网络安全状态,借助德尔菲法判断网络中是否存在风险以及风险的类型。这种评估技术是我国当前网络安全评估中的常用技术之一。
2.3 定量评估技术
这种评估方式的评估作用是通过嫡权系数法产生的。定量评估技术的评估流程较为简单,但在实际的网络安全风险评估过程中,某些安全风险无法通过相关方式进行量化处理。
3 网络安全风险评估关键技术的渗透
这里分别从以下几方面入手,对网络安全风险评估关键技术的渗透进行分析和研究:
3.1 综合评估技术方面
结合我国目前的网络使用现状可知,多种因素都有可能引发网络出现安全风险。在这种情况下,网络使用过程中可能同时存在多种不同的风险。为了保证网络中存在的安全风险能够被全部识别出来,应该将综合评估技术应用在网络安全风险的评估过程中。在众多综合评估技术中,层次分析法的应用效果相对较好。评估人员可以将引发风险的因素及功能作为参照依据,将既有网络风险安全隐患分成不同的层次。当上述工作完成之后,需要在各个层次的网络安全风险之间建立出一个完善的多层次递接结构。以该结构为依据,对同一层次中处于相邻关系的风险因素全部进行排序。根据每个层次风险因素的顺序关系,依次计算网络安全风险的权值。同时,结合预设的网络安全风险评估目标合成权重参数,进而完成对网络安全风险评估的正确判断。
3.2 定性评估技术方面
定性评估技术的具体评估分析流程主要包含以下几个步骤:
3.2.1 数据查询步骤
该步骤是通过匿名方式完成的。
3.2.2 数据分析步骤
为了保证网络安全风险评估结果的准确性,定性评估技术在数据分析环节通过多次征询操作及反馈操作,分析并验证网络安全风险的相关数据。
3.2.3 可疑数据剔除步骤
网络安全风险具有不可预测性特点。在多种因素的影响下,通过背对背通信方式获得的网络安全风险数据中可能存在一些可疑数据。为了避免这类数据对最终的网络安全风险评估结果产生干扰作用,需要在合理分析网络安全现状的情况下,将可疑数据从待分析数据中剔除。
3.2.4 数据处理及取样步骤
通过背对背通信法获得的数据数量相对较多,当数据处理工作完成之后,可以通过随机取样等方法,从大量网络安全风险数据中选出一部分数据,供给后续评估分析环节应用。
3.2.5 累计比例计算及风险因素判断步骤
累计比例是风险因素判断的重要参考依据。因此,评估人员应该保证所计算累计比例的准确性。
3.2.6 安全系数评估步骤
在这个步骤中,评估人员需要根据前些步骤中的具体情况,将评估对象网络的安全风险系数确定出来。
与其他评估技术相比,定性评估技术的评估流程较为复杂。但所得评估结果相对较为准确。
3.3 定量评估技术方面
这种评估技术的评估原理为:通过嫡权系数法将评估对象网络的安全数据参数权重计算出来。这种评估方法的应用优势在于:能够度量网络系统中的不确定因素,将网络安全风险量化成具体数值的形式,为用户提供网络安全状态的判断。
4 结论
目前用户运用互联网的过程主要受到数据劫持攻击、口令攻击、IP欺骗攻击等手段的干扰。对于用户而言,网络安全风险的存在为其正常使用带来了一定的安全隐患。当隐患爆发时,用户可能会面临极大的经济损失。这种现象在企业用户中有着更为明显的体现。为了改善这种现象,促进互联网应用的正常发展,应该将定量评估技术、定性评估技术以及综合评估技术等,逐渐渗透在网络安全风险评估工作中。用户除了需要通过防火墙、病毒r截软件等工具改善网络环境之外,还应该加强对网络安全风险评估的重视。当获得网络安全风险评估结束之后,应该需要通过对评估资料的分析,有针对性地优化自身的网络系统,降低数据丢失或损坏等恶性事件的发生概率。
参考文献
[1]陈雷.网络安全态势评估与预测关键技术研究[D].郑州:信息工程大学,2015.
[2]李靖.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(05):82-84.
[3]覃宗炎.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(04):168-170.
[4]毛捍东.基于逻辑渗透图模型的网络安全风险评估方法研究[D].北京:国防科学技术大学,2008.
篇2
根据当前社会对于网络和网络安全人才的需求,本校制定了相应的人才培养计划,历经10年的改革与发展,形成了当前网络工程专业下的三个特色方向:网络技术方向、网络安全方向、网络编程技术方向。无论是网络技术还是网络安全技术都离不开网络编程技术的支撑,缺少相应的编程能力网络技术与网络安全技术也注定会是瘸腿的技术,无法满足网络管理与网络安全管理的需求。因此这三个方向相互融合形成的高级网络与网络安全技术方向,形成了目前网络工程专业较为稳定的培养目标。“PKI体系及应用”与“网络安全协议”是以应用密码学为基础的延伸课程。培养学生利用现代密码学的技术研发密码产品的能力。“PKI体系及应用”以证书认证中心为轴心,详细介绍公开密钥基础设施的基本概念、基本原理、基本方法,以及公开密钥基础设施在现代密码产品中的应用研发技术。“网络安全协议”从密码应用系统业务逻辑层面的安全分析入手,介绍常见的网络安全协议、网络安全标准和典型的网络安全应用系统,在此基础上,介绍安全协议设计及其安全性分析的基本理论与技术,使学生掌握基本的网络安全协议设计方法,能够根据具体的应用背景设计对应的网络安全协议,研发安全应用系统。网络攻防类课程是在以“应用密码学”等信息安全类课程开设的基础上,根据网络工程专业的建设和国内网络安全形势的需要而开设的网络维护类课程。其中,“网络攻防技术入门”是在大一新生中开设的新生研讨课,共16学时,分8次上课,以学生讨论的方式组织教学,通过安排技术资料研读和课堂讨论,启发学生对网络攻防技术的学习兴趣,掌握基本的网络威胁防护方法。“网络信息对抗”综合讲授与网络安全相关的法律法规、网络渗透技术和网络防护技术。课程共64学时,理论授课32学时,实验32学时,每个理论学时跟着一个实验学时,以边学边练的方式组织教学。实验教学通过专用综合攻防平台进行验证性训练。“计算机取证技术”主要讲述计算机取证的基本方法、基本过程、数据恢复技术、证据提取技术、证据分析技术,以及常见的计算机取证工具的使用方法。“信息安全技术实训”是在四年级上学期开设的实训课程,共计192学时,8个学分。该课程分为两个部分,第一部分以实际的项目案例为驱动,训练学生对现代密码理论技术应用能力与程序设计能力,目标是设计并实现一个小型的网络安全软件系统。第二部分以实际的网络安全案例为驱动,训练学生对于目标系统的渗透能力与网络加固能力、以及对于整个渗透过程的取证分析能力。该实训课程与学生的实习相互结合,部分学生进入网络安全公司进行实习,提交综合实习报告来获得同校内综合实训相当的学分。通过三年的实践,效果良好。
3网络安全方向的人才培养分析
网络安全方向已经形成了较为完善的课程体系,学生学习兴趣高涨,在校内形成了良好的网络安全研究氛围。自发形成了保有数为20人左右的本科生兴趣研究小组,另外,通过每年一届的全校网络安全知识比赛,促进了全校网络安全知识的普及与人才培养,通过组织参加全省大学生网络信息安全知识比赛,选拔优秀本科生进入相关课题研究,而且都取得了较好的效果。
篇3
据中国互联网络信息中心的调查报告,2009年我国网民规模达到3.84亿人,普及率达28.9%,网民规模较2008年底增长8600万人,年增长率为28.9%。中国互联网呈现出前所未有的发展与繁荣。
然而,在高速发展的背后,我们不能忽视的是互联网安全存在的极大漏洞,期盼互联网增长的不仅有渴望信息的网民,也有心存不善的黑客,不仅有滚滚而来的财富,也有让人猝不及防的损失。此次发生的政府网站篡改事件、百度被攻击事件已经给我们敲响了警钟:“重视互联网安全刻不容缓!”
显然,互联网以其网络的开放性、技术的渗透性、信息传播的交互性而广泛渗透到各个领域,有力地促进了经济社会的发展。但同时,网络信息安全问题日益突出,如不及时采取积极有效的应对措施,必将影响我国信息化的深入持续发展,对我国经济社会的健康发展带来不利影响。进一步加强网络安全工作,创建一个健康、和谐的网络环境,需要我们深入研究,落实措施。
二、关于互联网安全的几点建议
第一,要深刻认识网络安全工作的重要性和紧迫性。
党的十七大指出,要大力推进信息化与工业化的融合。推进信息化与工业化融合发展,对网络安全必须有新的要求。信息化发展越深入,经济社会对网络的应用性越强,保证网络安全就显得越重要,要求也更高。因此,政府各级主管部门要从战略高度认识网络安全的重要性、紧迫性,始终坚持一手抓发展,一手抓管理。在加强互联网发展,深入推动信息化进程的同时,采取有效措施做好网络安全各项工作,着力构建一个技术先进、管理高效、安全可靠的网络信息安全保障体系。
第二,要进一步完善网络应急处理协调机制。
网络安全是一项跨部门、跨行业的系统工程,涉及政府部门、企业应用部门、行业组织、科研院校等方方面面,各方面要秉承共建共享的理念,建立起运转灵活、反应快速的协调机制,形成合力有效应对各类网络安全问题。特别是,移动互联网安全防护体系建设包含网络防护、重要业务系统防护、基础设施安全防护等多个层面,包含外部威胁和内部管控、第三方管理等多个方位的安全需求,因此应全面考虑不同层面、多个方位的立体防护策略。
第三,要着力加强网络安全队伍建设和技术研究。
要牢固树立人才第一观念,为加强网络管理提供坚实的人才保障和智力支持。要发挥科研院所和高校的优势,积极支持网络安全学科专业和培训机构的建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型队伍。不断加强创新建设,是有效提升网络安全水平的基础,要加强相关技术,特别是关键核心技术的攻关力度,积极研究制订和推动出台有关扶持政策,有效应对网络安全面临的各种挑战。
第四,要进一步加强网络安全国际交流与合作。
在立足我国国情,按照政府主导、多方参与、民主决策、透明高效的互联网管理原则的基础上,不断增强应急协调能力,进一步加强网络安全领域的国际交流与合作,推动形成公平合理的国际互联网治理新格局,共同营造和维护良好的网络环境。
第五,要加强网络和信息安全战略与规划的研究,针对网络信息安全的薄弱环节,不断完善有关规章制度。
如在当前的市场准入中,要求运营商必须承诺信息安全保障措施和信息安全责任,并监督其自觉履行相关义务。还要充分发挥行业自律及社会监督作用,利用行业自律组织完善行业规范、制定行业章程、推广安全技术、倡导网络文明。
篇4
近年来,随着科技和互联网技术的飞速发展,计算机在人们的日常工作和生活中的应用范围快速扩大,已经渗透到人们工作和生活的各个领域,日常办公、金融、贸易、购物等很多行为都基本实现了网络化。但同时,由于计算机的开放性,计算机病毒层出不穷,网络黑客的猖獗活动,让人防不胜防,网络安全受到全所未有的威胁。因此,认清计算机网络的脆弱性,发现网络安全的潜在威胁,并采取有效的保障计算机网络安全的技术,对于保障现代社会人们工作和生活的正常进行显得十分重要。
1计算机网络安全的重要性
当今社会,随着科学技术和互联网技术的飞速发展,计算机在各行各业中的普及,从根本上改变了人类的工作和生活方式,极大的提高了人们的工作效率,丰富了人们的业余休闲娱乐,提升了人们的物质和精神生活品质。但是不容忽视的是,网络在带给我们的生活极大方便的同时,也面临着诸多网络安全问题,例如黑客的攻击、网络数据信息遭窃密、病毒的攻击、木马挂马以及陷门等,网络黑客活动日益猖獗,他们攻击用户的网络服务器进行非法入侵,不但窃取用户计算机的机密信息,而且还篡改数据库内容,更有甚者导致用户的计算机网络系统瘫痪,对人们的工作和生活造成了严重的危害。事前的预防比事后的弥补更重要,为了有效预防计算机网络安全问题,计算机用户要加强安全上网的意识,推广使用最新的有效的网络安全技术,以全方位地应对各种不同的威胁,修复计算机安全漏洞,防患于未然,以确保计算机网络信息的安全性和保密性。
2计算机网络安全技术及其应用
1)升级操作系统补丁。由于操作系统自身的复杂性,为了适应网络的需求,要及时对操作系统进行升级,更新,不但服务器和工作站等需要操作系统升级,各种网络设备也都需要及时升级,并打上最新的系统补丁,以预防网络恶意工具的入侵,修复漏洞不给黑客可乘之机,确保网络的安全。
2)防火墙技术。目前防止网络安全问题的措施,主要是靠防火墙技术来完成。作为网络安全的屏障,防火墙是实现网络安全最基本的办法,也是一种最为有效的安全措施。防火墙对不安全的服务进行过滤排除,能极大地提高网络的安全性,从而降低安全风险。
3)虚拟专用网络(VPN)技术。虚拟专用网络VPN技术,其主要提供在公网上安全的双向通讯,其通过采用透明的加密方案的办法,保证计算机数据的完整性,并提高数据的保密性。对于分布在不同地方的专用网络,在计算机公共网络上,虚拟专用网络系统可以使其实现安全保密的通信。它由于采用复杂的算法,使在网络上传输的数据和信息得到加密,从而避免数据被窃听。
4)访问控制安全。网络的访问控制安全,主要表现在口令、访问权限和安全监视几方面。访问权限主要体现在用户对网络资源的可用程度上。网络监视主要是监视整个计算机网络在不同时间的运行情况,对整个计算机网络进行动态监视,发现问题及时处理,从而确保网络的访问控制安全。网络监视的作用在于,可以使网络上的安全问题迅速被发现,并得到及时解决,从而实现访问控制的安全。
5)数据加密技术。数据加密技术包括对称加密和非对称加密。对称加密技术是一种比较常规的技术,以口令为基础。目前,对称加密方式中,数据加密标准DES的应用比较广泛,在银行业中得到了成功的应用,其主要应用于银行的电子资金转账领域。非对称加密方式,信息交换领域应用的比较多,例如身份认证和数字签名等。
6)服务器。使用服务器,是为了加快网速,使用户可以快速打开浏览的网站。由于服务器都有缓冲的功能,一些网站与IP地址的对应,关系可以得到保留。服务器的优点在于,其由于把内网的机器隐藏起来,不但可以防止网络黑客对计算机网络的直接攻击,而且还可以实现节省公网IP的作用。
7)PKI技术。PKI技术主要利用公开密钥体系,对计算机网络的信息进行认证,并对计算机网络信息进行加密。PKI技术由于将网络数据的安全性和高效性集于一体,所以它的安全程度较高,目前在电子商务,电子政务以及电子事务领域,其成为了密码技术的首要选择,使电子商务中传递的数据信息的的保密性和完整性等安全问题得到解决,极大的保护客户的资料安全。
8)安装防病毒软件。病毒扫描通过对机器中的所有文件和邮件内容,以及带有exe的可执行文件进行扫描。为保障计算机网络安全,用户要对全网的机器安装杀毒软件,并保持最新的病毒库,并定期清除隔离病毒的文件夹。
综上所述,对于计算机网络的安全问题,我们要应提高安全上网的意识,推广使用多种最新的网络安全技术,全方位地应对各种不同的威胁,做到防患于未然,从而最大限度的保障计算机网络的安全。
参考文献
[1]乜国雷.浅谈计算机网络安全及其对策[J].硅谷,2009.
[2]郭立晖,姚琦.计算机网络安全与防范探讨[J].现代商贸工业,2008.
[3]冯.计算机网络安全技术研究[J].福建电脑,2008.
[4]曲大海.浅谈计算机网络安全技术的应用[J].硅谷,2008.
[5]网络管理经验总结十二招[J].计算机与网络,2011.
[6]陆珊.浅谈校园网络的安全管理[J].科技信息,2010.
[7]李治国.校园网络系统安全维护技巧分析[J].计算机光盘软件与应用,2013.
篇5
渗透测试技术作为网络安全防范的一种新技术,对信息系统安全防御处于较低水平的中国而言,具有远大的实用价值和发展前景。通过对渗透测试的流程、步骤与方法的共性研究,本文给出了一种最基本的渗透测试过程,并论述了情报搜集阶段使用的安全漏洞扫描技术。
1渗透测试
1.1定义
渗透测试[1],英文为PenetrationTesting,就是通过模拟恶意攻击者的技术与方法,对目标系统进行探测,发现系统漏洞,挫败目标系统安全控制措施,取得访问控制权,为网络系统的加固和服务信息的保护提供方向的一种网络安全评估方式。
1.2分类
渗透测试包括两种基本类型和一种混合类型:黑盒测试、白盒测试和灰盒测试[2]。黑盒测试(black-boxtesting):也称为外部测试。对目标系统完全不知的情况下,测试者通过远程网络,使用各种网络扫描技术对目标系统进行扫描,并进行逐步的渗透,继而揭示目标网络中一些已知或者未知的安全漏洞。白盒测试(white-boxtesting):也称为内部测试。渗透测试者通过正规途径了解到关于目标环境的所有内部与底层知识,例如网络地址段、网络拓扑结构图、协议等,然后以最小的代价发现和验证系统中最严重的安全漏洞。灰盒测试(grey-boxtesting):以上两种渗透测试基本类型的组合就是灰盒测试,组合之后的好处就是渗透测试者能够根据对目标系统所掌握的有限知识与信息,对目标系统更加深入和全面的审查。
2渗透测试基本流程
本文通过研究,并依据安全业界的广泛认同的PTES(ThePen-etrationTestingExecutionStandard,渗透测试执行标准)[3],提出最基本的渗透测试过程,分别是情报搜集、模拟攻击、渗透攻击,生成报告,这四个基本阶段。
2.1情报搜集阶段
通常,不论是团队还是个人,在渗透攻击前都要做大量的准备工作,即情报搜集。在这个阶段,渗透测试者可以利用各种信息来源与搜集技术方法,尽可能获取更多关于目标系统的网络拓扑、系统配置与安全防御措施等信息,一般可以使用的情报搜集方法包括公开来源信息查询、GoogleHacking、社会工程学、网络踩点、扫描探测、被动监听、服务查点等。
2.2模拟攻击阶段
这个阶段,渗透测试团队就需要对搜集到的情报信息进行威胁建模,有侧重点的分析可能面临的威胁及其风险大小,确定出最可行的攻击通道和实施渗透攻击的攻击点,然后搭建现实目标网络环境进行模拟攻击实验,以确定可以利用的目标系统的安全漏洞。通过模拟攻击,渗透测试者可以提出风险规避策略以避免或降低渗透测试对系统产生的影响。
2.3渗透攻击阶段
在此阶段中,渗透测试者需要利用上述阶段中找出的目标系统安全漏洞,来真正入侵系统,获取目标系统的访问控制权,进一步搜集目标信息系统的信息。如果是大型渗透测试活动,渗透测试者还需要考虑对目标系统检测机制的逃逸,清理痕迹,从而避免造成目标系统安全响应团队的警觉和发现。
2.4报告阶段
报告中要对整个测试的情况和细节描述清楚,其主要包括所有阶段之中获取的关键情报信息、探测和发掘出的系统安全漏洞、成功渗透攻击的过程,以及造成业务影响后果的攻击途径,最终目的就是,帮助客户分析安全防御体系中存在的问题,以及修补与升级技术方案。
3安全漏洞扫描技术
安全漏洞扫描技术是为使系统管理员能及时发现系统中存在的安全漏洞,并采取相应防范措施,从而降低系统的安全风险的一种安全技术。安全漏洞扫描技术可以分为黑盒扫描和白盒扫描两种。
3.1黑盒扫描技术
一种基于网络的扫描技术,采用主动式策略通过网络对目标系统进行远程扫描,以发现目标系统中存在的安全漏洞。因而,它是一种通过采取主动的、非破坏性的方式来发现系统安全漏洞的常用方法。通常,黑盒扫描分为三个阶段:a、探寻目标主机或网络;b、搜寻目标主机或网络的相关信息,如端口配置、开放的服务、网络拓扑结构等信息;c、根据搜集到的信息来评估系统中的安全漏洞。
3.2白盒扫描技术
此技术基于主机,采用被动式策略在具有主机操作权限后在其系统内部进行漏洞扫描。通常,这类技术会事先在目标系统上安装一个或者是服务,方便渗透者在测试时能够访问所有的文件与进程,探测并判断系统内部权限的设置如注册表、系统日志、数据库、系统配置等方面是否存在缺陷。
4结语
通过对渗透测试技术的实施过程的研究,依据安全业界权威标准方法论——渗透测试执行标准(PTES),本文提出了一种由四个阶段组成的渗透测试最基本模型。此基本模型不论是对实验个人还是专业渗透测试团体都可适用,使流程简单化,实用化。其中,安全漏洞扫描技术不仅能检测出系统存在的安全漏洞,而且通过测试会使系统使用方采取防范措施从而降低系统的安全风险。
参考文献
篇6
虽然网络安全课程实训具有很强的实践性,但是网络安全实训环境构建困难。由于现实网络环境具有规模大、复杂性强等特点,导致无法在实训室里完全构建出和真实网络相同的环境。另外,教学设计中存在的网络安全漏洞会产生非常大的风险,可能对校园网造成难以估计的后果。因此,网络安全的实践教学很难在真实的环境中完成。云计算的产生为网络安全实践教学提供了新的思路,即利用虚拟仿真技术开展网络安全课程的实践教学。本文在江西信息应用职业技术学院现有的软硬件条件下,研究基于云计算的网络安全虚拟实训教学平台实现技术。
2研究意义
随着互联网的发展,网络安全问题层出不穷,网络安全技术研究成为了当前热点,网络安全人才短缺问题也亟待解决。高职院校是应用型高技能人才培养基地,实践教学尤为重要。但是,高职院校网络安全类课程的实践教学往往带有一定的破坏性,甚至威胁了校园网安全,因此网络安全课程实训一般都是在真实的物理PC机中安装虚拟机,如Virtualbox、VMware等软件。如今云计算技术日益成熟,应用越来越广泛,如果把云计算提供的各种软硬件资源虚拟化、网络存储、负载均衡等技术,运用到网络安全实践教学中,就可以改进网络安全课程实践教学方式,节约部署网络安全实训环境的时间,有效提高课程教学效果,降低软硬件投入成本。例如,将网络安全实践教学所需要的网络工具软件、各种不同的系统镜像、模拟攻击环境放到一个云平台中。基于云计算的网络安全虚拟实训教学平台建设的研究意义重大,不仅可以提高网络安全课程教学质量和教学水平,而且有利于增加课程任课教师与学生之间的互动,从而切实、有效提高学生分析问题和解决问题的能力。
3基于云计算的网络安全虚拟实训教学平台的实现技术
本系统应用OpenStack云平台设计、搭建网络安全虚拟实训教学平台。OpenStack是开放源代码的云计算管理平台,由美国国家航空航天局(NASA)和RackSpace合作研发,由Nova和Swift两个主要模块构成,覆盖了虚拟化、服务器、操作系统和网络等各个方面。网络安全虚拟实训教学平台以开源云计算项目OpenStack平台为基础,应用了OpenStack模块中多项服务。第一,OpenStacknetwork。网络管理服务,提供网络连接和管理服务。第二,OpenStacknova。计算管理服务,提供计算资源调派,实例化虚拟机。第三,OpenStackswift。对象存储服务,为Glance提供镜像服务,包括靶机镜像库和攻击机镜像库。第四,OpenStackHorizon。控制台服务,以Web的形式提供对所有节点的服务管理。本例中将其改进为网络安全虚拟实训教学平台的一个功能模块,用于Web界面部分操作。本系统主要在控制服务器和服务器节点安装Linux操作系统,服务器节点安装OpenStacknova组件和OpenStackswift组件,靶机镜像库和攻击主机镜像库安装与之相关的OpenStackGlance组件。平台利用Openstack控制服务器管理相关的服务器节点,根据镜像服务器中的镜像建立虚拟靶机和虚拟攻击机。平台首先根据OpenStacknetwork提供的虚拟网络、端口等虚拟网络服务,创建和配置相应的虚拟网络,实现系统的控制服务器、节点服务器、镜像服务器之间的通信。其次,根据实训教学需求配置和管理虚拟节点,并完成网络安全虚拟实训教学体系的搭建。
4基于云计算的网络安全虚拟实训教学平台中靶机和攻击主机的配置
篇7
1.社会工程学
1.1社会工程学概念
社会工程学《Social Engineering》是黑客凯文.米特尼克在《The Art of Deception》中提出的,其初始目的是让全球的网民能够懂得网络安全,提高警惕,防止没必要的个人损失。广义的社会工程学是指通过自然的、社会的和制度上的途径,并特别强调根据现实的双向计划和设计经验来逐步地解决各种社会问题。在信息安全中,社会工程学就是入侵者利用人性的弱点及相关领域规则的漏洞,获得被攻击者的信任,从而达到攻击目的。
1.2社会工程学原理及特点
1.2.1社会工程学原理
社会工程学攻击是一种利用人的心理弱点进行欺骗,从而获得保密信息和访问权限的攻击行为。社会工程学攻击区别于传统攻击的手段,其攻击行为无法通过技术措施进行防范。
攻击者充分利用人性的弱点,借助各种物理环境和软硬件条件,通过收集资料、目标信息研究、关联性分析和一致性引导,利用社会工程学的方法对目标进行攻击,攻击体系结构如图1所示。
1.2.2社会工程学的特点
社会工程学的攻击手段很多,包括邮件欺骗、消息欺骗、软件欺骗及假冒网站等。
以邮件欺骗为例,攻击者想要入侵某个网站,通过网络技术没有找到该网站的漏洞;随后,攻击者便伪造一个带有木马附件的电子邮件,发送给网站的管理员(被攻击者),并告知其网站遭到入侵,入侵后的证据在附件内;此时,若管理员相信了此邮件的内容打开附件,攻击者就很容易达到入侵该网站的目的。
社会攻击学攻击的过程大致分为几个步骤:(1)收集攻击对象的相关信息,通过分析找到其弱点;(2)利用相关信息设置陷阱;(3)对落入陷阱的对象实施攻击。
1.2.3社会工程学的发展
随着网络安全设备和安全策略的不断完善,网络攻击者想要通过技术层面实施攻击更加困难。人的某些习惯、疏忽或者制度的不规范将成为黑客突破的目标。社会工程学将网络安全问题从单纯的技术问题发展成“人”的问题。因此,将传统的攻击技术与社会工程学结合成为当前网络安全研究的新方向。
2.基于社会工程学的攻击模型
2.1传统入侵渗透模型
传统入侵渗透通过技术手段对特定目标的实施渗透攻击。通常,攻击者对攻击目标的信息是一无所知的,过程如下:(1)确定攻击目标。根据不同的目标,使用不同的攻击方法和工具。因此,在渗透攻击开始前要明确攻击的目标是某个系统、网站或服务器。(2)收集目标信息。攻击者要对攻击目标进行探查,了解其行为模式、运行原理,最后确定攻击方案。攻击者可以使用任何可能的方法收集攻击目标的相关信息,包括网络信息、系统信息、边缘信息等。(3)漏洞分析。将收集的信息进行整理和分析,得知目标的操作系统类型、运行的程序及开放的端口等,从而找到目标系统可能存在的安全漏洞和缺陷。(4)渗透攻击。根据制定的渗透攻击方案实施攻击。(5)清除痕迹。攻击者实施完攻击后,会清除或伪造自己使用的痕迹,以防被发现。
2.2卡式决策目标模型
卡式战略目标管理是指在特定社会工程系统环境中,以目标为导向,自上而下实现目标的管理方式,分为3个层级:核心目的、里程碑、子目的。
卡式战略目标模型如图2所示,其主要意义是能快速得到一个战略目标,并帮助攻击者将总目标切分为多个中间目标。
确定中间目标后,通过战略目标模型形成一系列中间任务,然后将这些任务交给决策目标模型。卡式模型中,把攻击者可以操作的资源量化成物质、时间和质量3种变量,通过分析这3种变量确定最优攻击方案。
2.3社会工程学模型
社会工程学基本内容及模型是《The Art of Deception》一书中提炼的社会工程学思维导图,以及由此抽象的社会工程学攻击构成的基本要素。社会工程学模型如图3所示。
社会工程学攻击的定义包括如下内容:社会工程的主要目的是通过管理漏洞获取秘密信息。
(1)获取信息的途径可以是任何承载秘密信息的介质。(2)卡式目标管理模型的3个层级。(3)收集信息是社会工程攻击的关键步骤,收集信息的质量是决定攻击成败的关键。(4)通过筛除冗余信息优化数据,分析信息间关系得出最优路径。(5)通过欺骗手段伪造身份获取信任,完成系统信息对接。(6)运用非结构性漏洞获取攻击目标信息,实施社会攻击。
2.4基于社会工程学的渗透模型
将卡式模型与社会工程学模型结合得到新的社会工程学攻击模型,该模型能够帮助入侵分析者模拟和还原整个社会工程学攻击(见图4),从而评估受到攻击的风险以及信息泄露的程度。
3.社会工程学的网络攻击案例分析
本文通过代入社会工程学攻击模型分析入侵攻击的过程。
3.1实验环境
实验的网络拓扑图如图5所示,将内网和外网环境进行了简化处理,涉及的设备相关信息如表1所示。
使用到的主要工具有:社会工程学攻击包SET(SocialEngineer Toolkit)和嗅探工具Ettercap。攻击主机A上安装的Rali操作系统自带有这2个工具。
3.2实验过程
主机B访问外网网站的基本流程为:(1)本机浏览器检查其缓存中是否有要访问的网站域名对应的IP地址,若有则解析过程结束;(2)本机操作系统会将此域名发给本地DNS服务器,若本地DNS服务器上也没有,就请求上一级DNS服务器帮助解析,得到此域名对应的IP地址。(3)浏览器向此IP地址对应的服务器发送HTTP请求,请求的数据包均要经过网关路由器。WEB服务器收到请求后进行相关检索,并回发所请求的文件或信息给主机B。
前期攻击成功后,攻击者可进入内网进行内网钓鱼攻击。内网钓鱼的核心技术结合了技术型社会工程学,攻击过程如下:
(1)在攻击HA的主机上开启Apache服务功能,并打开SET212具,选择攻击的类型,选择社会工程学攻击。随后,进行站点克隆,制作钓鱼网站如图6所示。
(2)使用Ettereap软件对目标主机B进行ARP攻击。首先,向网关Routerl发送ARPn向应数据包,其中源MAC地址是主机A的MAC地址;同时,以网关Routerl的名义向B发送ARPn向应数据包,数据包的源MAC地址是主机A的MAC地址。如此,主机B访问外网的数据包会先发送到主机A,主机A再将此数据包转发给网关,而网关也会将本来要发给主机B的数据包先发给主机A,最后主机A再将收到的数据包发给主机Bo
(3)ARP欺骗成功后,利用Ettereap自带的一个DNS欺骗攻击的插件来完成DNS欺骗;攻击者A开始监视B和网关Routerl之间的数据包,监测发出的DNS请求包,提取由主机B发送来的DNS查询数据包中ID信息,通过分析数据包得到ID和端口号信息后,向目标发送之前构造好的DNS返回包,提前将自己的DNSn向应数据包发送给主机B。主机B收到DNS应答包后,比对ID和端口号均正确,随即将返回数据包中的域名和IP地址存入DNS缓存表。这样主机B会先收到来自主机A的DNS响应数据包,并访问主机A自己定义的网站,虽然主机B也会收到来自DNS服务器的响应报文,但真的DNS应答包则会被丢弃。
(4)钓鱼网站以网易邮箱为例,用户在钓鱼网站上输入账号和密码等机密信息后,这些内容就会传送给攻击主机A如图7所示。
3.3买验分析
攻击过程中,首先确定攻击的目标和基本策略,了解网络环境,确定攻击的中间目标为网关路由器,进行身份伪装,获取目标主机B的信任,最终诱使其访问钓鱼网站。
步骤(3)中,ARP欺骗攻击之后,在网关Routerl看来,主机B的MAC址就是主机A的MAC地址;而主机B也认为网关Routerl的MAC地址就是主机A的MAC地址。由于局域网中数据包的传送均是基于MAC地址,所以网关Routerl和主机B之间传送的数据必须先通过主机A。这样A就能在主机B毫不知情的情况下获取其上网数据。
攻击过程中涉及到ARP欺骗、DNS欺骗等技术,同时进行了身份伪装,实现网络攻击技术与社会工程学的结合。
4.社会工程学攻击的防范
从案例中,可以总结出一些防范社会工程学攻击的措施:
篇8
副组长:
成 员:
二、建立健全各项安全管理制度
我校根据《中华人民共和国计算机信息系统安全保护条例》、《教育网站和网校暂行管理办法》等法律法规制定出了适合我校的《校园网络安全管理办法》,同时建立了《鹿马中学校园网络安全应急预案》,《鹿马中学校园网日常管理制度》,《鹿马中学网络信息安全维护制度》等相关制度。除了建立这些规章制度外,我们还坚持了对我校的校园网络随时检查监控的运行机制,有效地保证了校园网络的安全。
三、严格执行备案制度
学校机房坚持了服务于教育教学的原则,严格管理,完全用于教师和学生学习计算机网络技术和查阅与学习有关的资料,没有出现出租转让等情况。
四、加强网络安全技术防范措施,实行科学管理
我校的技术防范措施主要从以下几个方面来做的:
1.安装了防火墙,防止病毒、不良信息入侵校园网络、Web服务器。
2.安装杀毒软件,实施监控网络病毒,发现问题立即解决。
3.及时修补各种软件的补丁。
4.对学校重要文件、信息资源、网站数据库做到及时备份,创建系统恢复文件。
五、加强校园计算机网络安全教育和网管人员队伍建设
目前,我校每位领导和部分教师都能接入因特网,在查阅资料和进行教学和科研的过程中,我校学校领导重视网络安全教育,使教师们充分认识到网络信息安全对于保证国家和社会生活的重要意义,并要求信息技术教师在备课、上课的过程中,有义务向学生渗透计算机网络安全方面的常识,并对全校学生进行计算机网络安全方面的培训,做到校园计算机网络安全工作万无一失。
六、我校定期进行网络安全的全面检查
篇9
1、网络安全模型
一般的网络安全模型是通信方通过Inlernet把信息传送到另一方,通信双方要共同完成消息交换。用以保证安全的方法有:一是对发送信息的相关安全变换;二是双方共享某些秘密消息,并使这些消息不被攻击者获得,而且需要有可信的第三方。设计安全服务一般有以下内容:一是设计执行与安全相关、攻击者不能攻破的传输算法;二是产生算法使用的秘密信息;三是设计分配与共享秘密信息的方法;四是指明通信双方使用的协议,以运用安全算法和机密信息进行安全服务。
2、安全技术应用
2.1安全电子邮件
(1)PGP。PGP的实际操作由:鉴别、机密性、压缩、电子邮件、兼容性和分段等服务构成。它运用:一次性会话的一般密钥、公开密钥、私有密钥和口令短语的密钥等类型。
(2)S/MIME。S/MIME是基于RSA数据安全技术的Inlemet 电子邮件格式标准的安全扩充。其功能属加密数据、签名的数据、透明签名和签名并加密的数据。Office2000中的Outlook Express在Internet上运用S/MIME安全收、发电子邮件的过程是:获取数字证书;选择数字证书;发送数字证书;检索他人的数字证书;接收和发送安全电子邮件和备份数字证书。
2.2网络层安全―IOSec
IP安全协议(IPsec)系在网络层提供安全的协议。在IPsec协议中,有两个重要的协议:即身份认证头AH协议和封装安全负载FSP协议。后者供了源身份认证和数据的完整性,但未提供秘密性。后者提供了数据完整性、身份认证及秘密性。
对于AH和ESP,两个主机应进行握手并建立网络层逻辑连接(SA)。SA定义为三元组,主要有安全协议标识符、单工连接的源IP 地址和32位连接标识符。
2.3web安全
它分为web服务器安全威胁、web浏览器安全威胁和浏览器与服务器间的网络通信安全威胁。web流量安全性方法如下:一是网络级:即使用IP安全性,使用IPsee对终端用户和应用程序是透明的,即提供通用的解决方法,还有过滤功能;二是传输级:即在TCP上实施安全性。诸如,安全套接层(SSL)和运输层安全TLS的InternetSSL标准。三是应用级:即与应用相关的安全服务被嵌入应用程序。应按给定应用程序的专门需要订制服务。如:安全电子交易(SET)等。
3、入侵检测技术
入侵者通常指黑客和解密高手,可分为假冒者、非法者和秘密用户。审计记录是入侵检测的基础工具。一般运用原有审计记录和专门检测的审计记录等方法。
(1)统计异常检测:阀值分析效率较低的检测器,阔值和时间区间均需提前选定。基于轮廓的异常检测集中刻画单独用户或相关用户组过去的行为特征,再检测出明显差别。可用于基于轮廓的入侵检测的度量机制为计数器、标准值、间隔定时器、资源利用。运用以上的度量机制,可进行不同的测试,确定现在行为是否在能接受的限度内。一般的方法为平均和标准偏差、多个变量、马尔科夫过程、时间序列和操作模型。
(2)规则的入侵检测
规则的异常检测是一种规则的方法,分析历史的审计记录来识别使用模式,并自动生成描述那些模式的规则。规则的渗透鉴别采用专家系统技术的方法。它的重要特征是使用规则鉴别已知的渗透或利用已知弱点的渗透。也能定义鉴别可疑行为的规则。
(3)分布式入侵检测。入侵检测系统通过网络合作实现有效保护网内计算机。
4、防火墙
进出局域网的通信量要通过防火墙,通过物理上阻塞不经过防火墙的局域网访问实现。只有被授权的通信量才能进出防火墙。防火墙对于渗透是免疫的。
4.1防火墙的特点
(1)防火墙控制访问和执行站点安全策略的通用技术。服务控制:确定在“围墙”内外能访问的Internet服务类型;方向控制:启动服务请求,允许其经过防火墙,其操作具有方向性;用户控制:根据请求访问的用户确定是否提供这些服务;行为控制:怎样使用某一特定服务进行控制。
(2)防火墙的功能。防火墙设置单个阻塞点,将无授权的用户阻止在被保护的网络以外,防范潜在的易受攻击的服务进出网络,对不同类型的IP欺骗和路由选择攻击实施保护,单个阻塞点的使用可简化网络安全管理,安全能力统一于单个系统或系统集合中。防火墙提供监视和安全相关的事件场所。在防火墙系统中要实施审计和警告。防火墙是与安全无关的Intemet功能的平台。
4.2防火墙的分类
(1)包过滤路由器。数据包过滤技术是对数据包的选择,通过检查数据流中数据包的源地址、目的地址、端口号、协议状态等因素,确定能否许可数据包通过。一般安装在路由器上。具有可行,对用户透明,处理速度迅速等优点。
篇10
一、计算机网络安全隐患分析
(一)恶意攻击
恶意攻击分为主动攻击和被动攻击,它是一种人为的、蓄意的破坏行为,是计算机网络所面临的最大威胁之一。其中,主动攻击是以破坏对方的网络和信息为主要目的,通常采用修改、删除、伪造、欺骗、病毒、逻辑炸弹等手段,一旦获得成功可破坏对方网络系统的正常运行,甚至导致整个系统的瘫痪。而被动攻击以获取对方信息为目标,通常在对方不知情的情况下窃取对方的机密信息,例如商贸秘密、工程计划、投标标底、个人资料等,但是不破坏系统的正常运行。不论是主动攻击,还是被动攻击都可能对计算机网络造成极大的危害,并导致一些机密数据的泄漏,从而造成不可弥补的损失。因此,必须采取一些必要的防范措施。
(二)软件漏洞和后门
软件漏洞分为两种:一种是蓄意制造的漏洞,是系统设计者为日后控制系统或窃取信息而故意设计的漏洞;另一种是无意制造的漏洞,是系统设计者由于疏忽或其它技术原因而留下的漏洞。因为这些漏洞的存在从而给网路带来了一定的安全隐患。例如:为了给系统开发人员提供的便捷的入口,从而不设置操作系统的入口密码,给开发人员的通道也成了“黑客”们的通道;操作系统运行时,一些系统进程总在等待一些条件的出现,一旦有满足要求的条件出现,程序便继续运行下去,这都是“黑客”可以利用的。另外,程序员为了方便自己而设置的一些软件后门,虽然一般不为外人所知,但一旦泄漏出去或被他人发现,极有可能带来危害更是极大和损失。
(三)计算机病毒
目前数据安全的头号大敌是计算机病毒,它是一种特殊编制的计算机程序,这种程序可以通过磁盘、光盘、计算机网络等各种途径进行复制传播。从上世纪80年代计算机病毒的首次被发现,至今全世界已经发现的计算机病毒以达数万种,并且还在高速的增加,其隐蔽性、传染性、破坏性都在进一步的发展。随着Internet的迅猛发展,计算机病毒扩散速度大大加快,而且破坏性也加大,受感染的范围也越来越广,对各个国家的信息系统造成严重危害。为世界带来了一次又一次的灾难。根据美国著名的MIS Manages和Data Quest市场公司的调查,在美国大约有63%的微机曾受病毒侵害,而其中9%的病毒案例造成了超过10万美元的损失。
二、计算机网络安全防范策略
(一)网络防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙系统是由两个基本部件包过滤路由器(Packet Filtering Router)、应用层网关(Application Gateway)构成的,防火墙处于5层网络安全体系中的最底层,作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
(二)数据加密技术
数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。根据密钥类型不同可以将现代密码技术分为两类:对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系)。
(三)网络安全管理措施
网络安全管理策略包括:确定安全管理等级和安全管理范围;指定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
(四)提高网络工作人员的素质,强化网络安全责任
提高网络工作人员的管理素质也是一项重要的任务。对工作人员要结合硬件、软件、数据等网络系统各方面进行安全教育,提高工作人员的责任心,并加强业务技术培训,提高操作技能,重视网络系统的安全管理,防止人为事故的发生。在我国,网络研究起步较晚,网络安全技术还有待提高和发展。另外,为了确保网络的安全运行,我们还要建立严密的管理制度,制定完善的管理措施,提高人们对网络安全的认识,完善法律、法规,对计算机犯罪进行法律制裁。
(五)访问与控制
授权控制不同用户对信息资源的访问权限,即哪些用户可访问哪些资源以及可访问的用户各自具有的权限。对网络的访问与控制进行技术处理是维护系统运行安全、保护系统资源的一项重要技术,也是对付黑客的关键手段。
参考文献:
篇11
APT攻击;网络安全防御;冲击;应对
前言
在科学技术迅猛发展的带动下,网络信息技术在人们的日常生活中得到了越发广泛的应用,如网络银行、网上购物等,在潜移默化中改变着人们的生活方式。但是,网络本身的开放性为一些不法分子提供的便利,一些比较敏感的数据信息可能会被其窃取和利用,给人们带来损失。在这种情况下,网络安全问题受到了人们的广泛关注。
1APT攻击的概念和特点
APT,全称AdvancedPersistentThreat,高级持续性威胁,这是信息网络背景下的一种新的攻击方式,属于特定类型攻击,具有组织性、针对性、长期性的特性,其攻击持续的时间甚至可以长达数年。之所以会持续如此之久,主要是由于其前两个特性决定的,攻击者有组织的对某个特定目标进行攻击,不断尝试各种攻击手段,在渗透到目标内部网络后,会长期蛰伏,进行信息的收集。APT攻击与常规的攻击方式相比,在原理上更加高级,技术水平更高,在发动攻击前,会针对被攻击对象的目标系统和业务流程进行收集,对其信息系统和应用程序中存在的漏洞进行主动挖掘,然后利用漏洞组件攻击网络,开展攻击行为[1]。APT攻击具有几个非常显著的特点,一是潜伏性,在攻破网络安全防御后,可能会在用户环境中潜伏较长的时间,对信息进行持续收集,直到找出重要的数据。基本上APT攻击的目标并非短期内获利,而是希望将被控主机作为跳板,进行持续搜索,其实际应该算是一种“恶意商业间谍威胁”;二是持续性,APT攻击的潜伏时间可以长达数年之久,在攻击爆发前,管理人员很难察觉;三是指向性,即对于特定攻击目标的锁定,开展有计划、组织的情报窃取行为。
2APT攻击对于网络安全防御的冲击
相比较其他攻击方式,APT攻击对于网络安全防御系统的冲击是非常巨大的,一般的攻击都可以被安全防御系统拦截,但是就目前统计分析结果,在许多单位,即使已经部署了完善的纵深安全防御体系,设置了针对单个安全威胁的安全设备,并且通过管理平台,实现了对于各种安全设备的整合,安全防御体系覆盖了事前、事中和事后的各个阶段,想要完全抵御APT攻击却仍然是力有不逮。由此可见,APT攻击对于网络安全防御的影响和威胁不容忽视[2]。就APT攻击的特点和原理进行分析,其攻击方式一般包括几种:一是社交欺骗,通过收集目标成员的兴趣爱好、社会关系等,设下圈套,发送几可乱真的社交信函等,诱骗目标人员访问恶意网站或者下载病毒文件,实现攻击代码的有效渗透;二是漏洞供给,在各类软禁系统和信息系统中,都必然会存在漏洞,APT攻击为了能够实现在目标网络中的潜伏和隐蔽传播,通常都是借助漏洞,提升供给代码的权限,比较常见的包括火焰病毒、震网病毒、ZeroAccess等;三是情报分析,为了能够更加准确的获取目标对象的信息,保证攻击效果,APT攻击人员往往会利用社交网站、论坛、聊天室等,对目标对象的相关信息进行收集,设置针对性的攻击计划。APT攻击对于信息安全的威胁是显而易见的,需要相关部门高度重视,做出积极应对,强化APT攻击防范,保护重要数据的安全。
3APT攻击的有效应对
3.1强化安全意识
在防范APT攻击的过程中,人员是核心也是关键,因此,在构建网络安全防护体系的过程中,应该考虑人员因素,强化人员的安全防范意识。从APT攻击的具体方式可知,在很多时候都是利用人的心理弱点,通过欺骗的方式进行攻击渗透。对此,应该针对人员本身的缺陷进行弥补,通过相应的安全培训,提升其安全保密意识和警惕性,确保人员能够针对APT攻击进行准确鉴别,加强对于自身的安全防护。对于信息系统运维管理人员而言,还应该强化对于安全保密制度及规范的执行力,杜绝违规行为。另外,应该提升安全管理工作的效率,尽可能减低安全管理给正常业务带来的负面影响,引入先进的信息化技术,对管理模式进行改进和创新,提升安全管理工作的针对性和有效性。
3.2填补系统漏洞
在软件系统的设计中,缺陷的存在难以避免,而不同的系统在实现互连互操作时,由于管理策略、配置等的不一致,同样会产生关联漏洞,影响系统的安全性。因此,从防范APT攻击的角度分析,应该尽量对系统中存在的漏洞进行填补。一是应该强化对于项目的测试以及源代码的分析,构建完善的源代码测试分析机制,开发出相应的漏洞测试工具;二是应该尽量选择具备自主知识产权的设备和系统,尽量避免漏洞和预置后门;三是对于一些通用的商业软件,必须强化对恶意代码和漏洞的动态监测,确保基础设施以及关键性的应用服务系统自主开发[3]。
3.3落实身份认证
在网络环境下,用户之间的信息交互一般都需要进行身份认证,这个工作通常由本地计算环境中的相关程序完成,换言之,用户身份的认证实际上是程序之间的相互认证,如果程序本身的真实性和完整性没有得到验证,则无法对作为程序运行载体的硬件设备进行验证,从而导致漏洞的存在,攻击者可能冒充用户身份进行攻击。针对这个问题,应该对现有的身份认证体系进行完善,构建以硬件可信根为基础的软硬件系统认证体系,保证用户的真实可信,然后才能进行用户之间的身份认证。
3.4构建防御机制
应该针对APT攻击的特点,构建预应力安全防御机制,以安全策略为核心,结合可信计算技术以及高可信软硬件技术,提升网络系统对于攻击的抵御能力,然后通过风险评估,分析系统中存在的不足,采取针对性的应对措施,提升安全风险管理能力。具体来讲,一是应该将数据安全分析、漏洞分析、恶意代码分析等进行整合,统一管理;二是应该构建生态环境库,对各种信息进行记录,为安全分析提供数据支撑;三是应该完善取证系统,为违规事件的分析和追查奠定良好的基础[4]。
4结束语
总而言之,作为一种新的攻击方式,APT攻击对于网络安全的威胁巨大,而且其本身的特性使得管理人员难以及时发现,一旦爆发,可能给被攻击目标造成难以估量的损失。因此,应该加强对于APT攻击的分析,采取切实有效的措施进行应对,尽可能保障网络系统运行的稳定性和安全性。
作者:李杰 单位:九江职业大学
参考文献
[1]陈伟,赵韶华.APT攻击威胁网络安全的全面解析与防御探讨[J].信息化建设,2015(11):101.
篇12
近年来,随着互联网技术以及计算机技术的不断发展,计算机网络安全问题也越来越突出,正因如此,人们逐渐认识到了计算机网络安全管理的重要性并采取了相关的措施来强化计算机网络安全。然而,由于计算机网络安全存在着的较多的问题,计算机网络安全还是无法得到有效保障。因此,笔者分析了计算机网络安全存在的问题并提出了强化计算机网络安全的对策,旨在更好地维护计算机网络安全。
1 计算机网络安全概述
计算机网络安全是指利用网络技术和网络管理控制措施,保证在一个网络环境下的计算机数据的保密性、可使用性和完整性。计算机网络安全包括逻辑安全与物理安全,逻辑安全是指数据的保密性、可使用性和完整性。物理安全是指相关通讯设备和计算机系统设备的保护。
计算机网络安全会受很多因素的影响,主要是因为计算机网络是在互联网环境下运行的,而互联网的范围极为广泛,通过互联网就可以实现信息资源的共享,为信息的传输和获取提供了很大的方便。因此,互联网具有自身的特点,其特点主要包括以下几个:(1)国际性,这就说明计算机网络的攻击具有不确定性,极易引发国际化的网络安全问题。(2)共享性,互联网可以实现信息资源的共享,方便人们传输和获取信息,这也对计算机网络安全产生了一定的影响。(3)开放性,互联网不受时空的限制且对全球计算机开放,任何人都可以使用和学习。从上述分析可知,互联网的特点严重地威胁着计算机网络的安全。
2 计算机网络安全存在的问题
2.1 操作系统问题
操作系统在计算机中扮演着重要的角色,它可以对计算机中绝大多数的程序集合进行管理。同时,只有在操作系统运行正常的情况下,计算机系统才能正常运行。它是系统软件的集合,可以将友好的操作界面提供给计算机使用者,也可以监控程序运行和管理系统相关资源[1]。因此,要维护计算机网络安全就必须保证操作系统的安全性,操作系统软件自身的缺陷和隐患以及系统设计的不足会为计算机网络埋下安全隐患。计算机操作系统的一个细小问题都会对计算机网络安全产生重大的影响,更有甚者,导致计算机网络瘫痪。
2.2 数据存储问题
计算机中的数据库是极为庞大的,可以存储大量的信息,涵盖我们上网浏览到的全部信息,目前的主流数据库有着重要的作用,它主要负责管理信息,保证信息的准确、真实性,同时,它也为信息的存储提供了很大的方便,但是,它在信息网络安全方面却没有起到很大的作用。一旦有用户进行非法操作,借助非法手段避过安全内核,盗取计算机数据库中的信息,尤其是部分重要信息,就会造成计算机网络安全问题。
2.3 网络环境问题
计算机是在互联网环境下运行的,这也就是说计算机的网络环境较为复杂。在这种网络环境下,信息资源的共享程度就会不断加深,信息的传输和获取也会变得更加便捷,人们可以通过上网的信息获取大量的信息。对此,计算机网络安全就受到了严重威胁,归根结底还是由于其网络环境不稳定。因此,互联网环境下的计算机网络安全是很难得到保障的,它会受到互联网特点的影响,其特点包括以下几个:(1)国际性,这就说明计算机网络的攻击具有不确定性,极易引发国际化的网络安全问题。(2)共享性,互联网可以实现信息资源的共享,方便人们传输和获取信息,这也对计算机网络安全产生了一定的影响。(3)开放性,互联网不受时空的限制且对全球计算机开放,任何人都可以使用和学习。
3 强化计算机网络安全
3.1 加强网络安全技术
为了强化计算机网络安全,就需要加强网络安全技术,主要包括以下几点:(1)应用密码技术。先进的密码技术可以更好地解决计算机网络安全问题[2]。数字签名具有自身的优势,可以确保其文件信息不丢失且便于验证,这样就可以使信息的传输更为准确、及时,交易顺利进行。(2)进行入侵检测。在计算机网络中,我们经常可以看到一些入侵行为,这些入侵行为是需要进行检测的,这种检测就成为入侵检测。它可以对计算机系统中的重要信息、相关网络行为进行分析和检测,在此基础上,对计算机系统或网络操作行为进行监控。入侵检测可以有效维护计算机网络安全,与防火墙相比,具有一定的优势,它可以协助计算系统解决一些网络安全问题,从而维护计算机系统安全。(3)提高网络反病毒技术能力。计算机病毒严重地威胁着计算机网络安全,这就要求不断提高计算机网络应对病毒的能力。因此,要不断地监控和扫描服务器上的文件和数据,及时进行木马、病毒查杀,灵活应对相关恶意程序的入侵。(4)研发并完善数据库系统和操作系统。计算机病毒容易在操作系统中滋生,为了更好地防范病毒攻击,就要对操作系统进行进一步的研发,提高其安全性。同时,计算机数据库也要得到不断的完善,这样才能从根本上保证数据信息的安全。
3.2 加强网络安全管理
计算机网络的安全管理,不但要采取有效的管理措施和改进相关技术,还要完善相关的法律法规并加大其宣传力度。只有“双管齐下”,才能更好地保障计算机网络安全。
首先,人们要树立计算机网络安全意识,认识到法制教育的重要性,严格按照相关的法律法规进行合法地操作,从自我做起,杜绝一些非法操作现象,保护计算机网络安全。其次,系统管理人员的管理也要得到加强,使其职业素养和专业水平得到提高,同时,为了计算机网络安全能得到最为有效的保障,还要建立严格的工作制度。
3.3 构建良好的网络环境
要使计算机网络安全得到有效的保障,就要构建良好的网络环境,这就要保证网络计算机的机房环境的安全性。计算机要放置在稳定的环境中,使其不受外界因素的干扰和影响。同时,计算机网络安装的环境要合适,避免其受到噪声源和振动源的影响。此外,机房要制定相关的管理措施,限制机房人员的出入和机器的使用,在没有得到允许的情况下不可随便进入机房重地。当然,为了保障重要网络计算机的安全,还要采取相关的安全保护措施和安装必要的防盗系统,以免网络计算机网络安全受到各种威胁。
4 结束语
综上所述,计算机网络安全会受到很多因素的影响,导致计算机网络安全存在着较多的问题,这些问题都显得极为迫切,应引起人们的高度重视。这其中包括操作系统问题、数据存储问题和网络环境问题等。随着互联网技术和计算机技术的不断发展,计算机网络已渗透到人们生活中的每个角落,极大地改变了人们的生活、生产方式。与此同时,计算机网络安全问题也越来越严重,这就要求我们制定有效的对策,如加强网络安全技术,加强网络安全管理以及构建良好的网络环境等,如此才能强化计算机网络安全。
参考文献:
[1]黄寅.浅谈计算机网络安全问题及其对策[J].网络通讯及安全,2012(18):155-156.
篇13
一、高职信息安全专业课程现状
传统的高职信息安全与管理专业中,虽然其人才培养方案和课程体系的建设也是由专业带头人及骨干教师经过调研企业岗位之后得出的,但是由于是学院教师单方面来构建的课程体系。因此,在传统的高职信息安全专业课程体系中会出现以下问题:(一)学科体系氛围较浓。由于传统的高职信息安全专业课程体系是由专业教师单方面完成的,在课程体系中难免会出现学科体系的影子。随着专业的持续开办,虽然专业带头人对人才培养方案进行了多轮修改,但是其中学科体系的氛围还是会比较浓。例如,在传统的专业课程体系中,会体现C语言、计算机组成原理等课程。这些课程很明显带有传统学科体系下注重抽象理论知识学习的身影,因此还是不太适合于高职学生的学习。(二)课程体系不能完全体现出岗位需求。随着时代的不断发展与进步,许多新兴的事物出现在人们面前,在专业课程体系中也会出现许多新知识、新技能。例如,在课程体系中增加了云计算方面的课程,并且加强了计算机网络设备调试等方面的课程。虽然,这是为了让学生能够拓展自身的视野,提升了学生的专业技术技能,在今后的就业竞争中处于优势地位。但是,这样的安排不但没有突出网络安全服务于网络安全运维等信息安全领域的岗位群技能需求,而且还占用了大量的课程时间,影响了网络安全专业课程的课时安排。因此,这样的课程体系不能完全体现出专业特色与岗位需求,不能完全达到企业对口岗位的技术技能需求。
二、现代学徒制信息安全与管理专业课程体系建设
为了能够更好地满足信息安全领域的企业相关岗位的技术技能需求,让专业课程体系能够更加突出专业岗位技能培养,这就需要校企双方共同制定专业课程体系。建立现代学徒制试点专业的专业课程体系,需要校企双方从分析岗位技能需求入手,共同开发专业教学标准,形成专业课程标准。(一)信息安全与管理专业典型工作任务职业能力分析。通过对企业的调研与交流,明确了信息安全与管理专业的培养目标为:培养与我国社会主义现代化建设要求相适应,德、智、体、美全面发展,面向网络与信息安全企业,在网络与信息安全领域的技术服务和技术管理岗位,能够从事渗透测试、网络安全风险评估、网络安全工程集成等职业岗位群工作,具备网络安全相关法律法规及专业标准、渗透测试技术、网络安全应急响应与取证技术、网络安全工程规划设计与实施等专业知识和技能,具备良好的职业素养和解决实际问题的能力,具备较强的沟通、团队协作和组织协调能力的高素质技术技能人才。因此,该专业学生毕业后主要在网络与信息安全企业从事网络安全渗透测试、网络安全服务、网络安全工程的设计与实施以及信息安全产品的销售等工作。在岗位的确定上,我们首先将企业的岗位群划分为:初始岗位群和发展岗位群。在初始岗位群中包含:专业技术岗位和销售管理岗位。具体的岗位划分如图1所示。确定了该专业的岗位群后,校企双方要针对岗位群确定典型岗位工作任务,从八个岗位中,我们确定了30个典型工作任务,再分别对每个典型工作任务进行深入分析,确定出相应的110条职业能力,如表1所示。(二)信息安全与管理专业课程体系的建立。根据对信息安全与管理专业典型工作任务和职业能力分析的结果,我们对职业能力进行归纳,从而设计出该专业的课程体系结构。该专业的课程体系结构突出了校企合作办学的特色,凸显现代学徒制人才培养模式的特点。课程体系结构共分为五大部分,包括:公共基础课程、职业技术课程、学徒岗位课程、技能训练课程以及职业拓展过程,如图2。在课程体系结构中,公共基础课程由学院负责课程标准的制定及课程授课;职业技术课程涉及该专业的职业能力中的核心部分,因此由校企双方共同制定课程标准,授课地点为校内,教学方式为教学做一体,由校企双导师团队共同承担课程教学;技术技能训练课程为职业技术课程的延伸,对职业技术课程中涉及的职业能力进行强化训练,因此该课程授课地点为校内,教学方式为实践教学,由校企双导师团队共同承担课程教学;学徒岗位课程是整个课程体系中的关键部分,授课地点为企业,教学方式为企业岗位实践,由校企双导师团队共同承担课程教学;职业拓展课程是学徒岗位课程的延伸,课程以各企业的实际发展方向和工作岗位特点来选择,教学方式为企业岗位实践,由校企双导师团队承担课程教学。(三)信息安全与管理专业课程标准的制定。确定好专业的课程体系结构之后,校企双方要共同制定每一门课程的课程标准。课程标准中包含课程的基本信息、课程定位、课程设计思路、课程目标、课程内容和要求、实施要求及建议等六个部分。在基本信息中,要讲课程的名称、类型、学分等基本信息填写齐全;在课程定位中,主要讲课程与工作岗位典型工作任务相对应,并确定每门课程所包含的职业能力;在课程目标中,将课程的总体目标、具体目标描述清楚;在课程内容和要求中,将课程内容、学习目标、主要内容及参考学时标识清楚,为今后的教学工作打好基础;在实施要求及建议中,对师资、考核、教材等方面做了详细的要求,对具体教学过程也做了相关的建议。