網絡安全防范的意義范文
前言:我們精心挑選了數篇優質網絡安全防范的意義文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
隨著信息科技的高速發展,網絡在越來越多地為人們生活提供便利的同時,也為企業節省了大量的人力和物力,但是企業在使用網絡與外界交流時也同樣承擔著巨大的風險。本文介紹了醫院網絡中存在風險的原因、存在的風險及其對策。為醫院在網絡安全方面提供了一定的建議。
關鍵字:企業網絡 醫院網絡 網絡安全 網絡體系 技術手段
Abstract:With the high-speed development of information science and technology, the network, offering the facility to people more and more, and also help the company to save a large number of manpower and material resources. But the trade company is undertaking the enormous risk while using the network to exchange with external world too. This text has introduced the reason of existing risk and countermeasure with the risk in enterprise's network. Have offered certain suggestion in online security for the trade company.
Keyword: Enterprise's network
Security of network
Network system
Technological means
前言:
隨著信息技術的高速發展,互聯網越來越被人們所重視,從農業到工業再到高科技產業各行各業都在使用互聯網參與行業生存與競爭。企業對網絡的依存度越來越高,網絡在企業中所處的位置也越來越重要,系統中存儲著維系企業生存與競爭的重要資產-------企業信息資源。但是,諸多因素威脅著計算機系統的正常運轉。如,自然災害、人員的誤操作等,不僅會造成系統信息丟失甚至完全癱瘓,而且會給企業造成無法估量的損失。因此,企業必須有一套完整的安全管理措施,以確保整個計算機網絡系統正常、高效、安全地運行。本文就影響醫院計算機網絡安全的因素、存在的安全隱患及其應對策略三個方面進行了做了論述。
一、醫院網絡安全存在的風險及其原因
1.自然因素:
1.1病毒攻擊
因為醫院網絡同樣也是連接在互聯網上的一個網絡,所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的,而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器,造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬,阻塞正常流量,形成拒絕服務攻擊。我們清醒地知道,完全避免所有終端上的病毒是不可能的,但要盡量減少病毒爆發造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽,使得醫院網絡被病毒攻擊的頻率越來越高,所以病毒的攻擊應該引起我們的關注。
1.2軟件漏洞
任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:
1.2.1、協議漏洞。例如,IMAP和POP3協議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄,從而獲得超級用戶的特權。
1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下,就接受任何長度的數據輸入,把溢出部分放在堆棧內,系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令,來造成系統不穩定狀態。
1.2.3、口令攻擊。例如,U nix系統軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統,都是容易被攻擊的。
2、人為因素:
2.1操作失誤
操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見,隨著網絡管理制度的建立和對使用人員的培訓,此種情況逐漸減少.對網絡安全己不構成主要威脅。
2.2惡意攻擊
這是醫院計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅,每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范,因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。
二、構建安全的網絡體系結構
1.設計網絡安全體系的原則
1.1、體系的安全性:設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性,必須保證體系的完備性和可擴展性。
1.2、系統的高效性:構建網絡安全體系的目的是能保證系統的正常運行,如果安全影響了系統的運行,那么就需要進行權衡了,必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件,它們也會占用網絡系統的一些資源。因此,在設計網絡安全體系時必須考慮系統資源的開銷,要求安全防護系統本身不能妨礙網絡系統的正常運轉。
1.3、體系的可行性:設計網絡安全體系不能純粹地從理論角度考慮,再完美的方案,如果不考慮實際因素,也只能是一些廢紙。設計網絡安全體系的目的是指導實施,如果實施的難度太大以至于無法實施,那么網絡安全體系本身也就沒有了實際價值。
1.4、體系的可承擔性:網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業來支持,要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多,那么我們就不該采用這個方案。所以,在設計網絡安全體系時,必須考慮企業的業務特點和實際承受能力,沒有必要按電信級、銀行級標準來設計這四個原則,可以簡單的歸納為:安全第一、保障性能、投入合理、考慮發展。
2、網絡安全體系的建立
網絡安全體系的定義:網絡安全管理體系是一個在網絡系統內結合安全
技術與安全管理,以實現系統多層次安全保證的應用體系。
網絡系統完整的安全體系
系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠,確保應用系統正常運行。主要包括以下幾個方面:
(1)防止非法用戶破壞系統設備,干擾系統的正常運行。
(2)防止內部用戶通過物理手段接近或竊取系統設備,非法取得其中的數據。
(3 )為系統關鍵設備的運行提供安全、適宜的物理空間,確保系統能夠長期、穩定和高效的運行。例如:中心機房配置溫控、除塵設備等。
網絡安全性主要包括以下幾個方面:
(1)限制非法用戶通過網絡遠程訪問和破壞系統數據,竊取傳輸線路中的數據。
(2)確保對網絡設備的安全配置。對網絡來說,首先要確保網絡設備的安全配置,保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。
(3)網絡通訊線路安全可靠,抗干擾。屏蔽性能好,防止電磁泄露,減
少信號衰減。
(4)防止那些為網絡通訊提供頻繁服務的設備泄露電磁信號,可以在該設備上增加信號干擾器,對泄露的電磁信號進行干擾,以防他人順利接收到泄露的電磁信號。
應用安全性主要是指利用通訊基礎設施、應用系統和先進的應用安全控制技術,對應用系統中的數據進行安全保護,確保能夠在數據庫級、文檔/記錄級、段落級和字段級限制非法用戶的訪問。
另外,對存放重要數據的計算機(服務器、用戶機)應使用安全等級較高的操作系統,利用操作系統的安全特性。
三、網絡安全的技術實現
1、防火墻技術
在外部網絡同內部網絡之間應設置防火墻設備。通過防火墻過濾進出網絡的數據,對進出網絡的訪問行為進行控制和阻斷,封鎖某些禁止的業務,記錄通過防火墻的信息內容和活動。對網絡攻擊進行監測和告警。防火墻可分為包過濾型、檢測型、型等,應根據不同的需要安裝不同的防火墻。
2、劃分并隔離不同安全域
根據不同的安全需求、威脅,劃分不同的安全域。采用訪問控制、權限控制的機制,控制不同的訪問者對網絡和設備的訪問,防止內部訪問者對無權訪問區域的訪問和誤操作。
我們可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。在關鍵服務器區域內部,也同樣需要按照安全級別的不同進行進一步安全隔離。
劃分并隔離不同安全域要結合網絡系統的安防與監控需要,與實際應用環境、工作業務流程和機構組織形式密切結合起來。
3、防范病毒和外部入侵
防病毒產品要定期更新升級,定期掃描。在不影響業務的前提下,關閉系統本身的弱點及漏洞并及時打上最新的安全補丁。防毒除了通常的工作站防毒外,email防毒和網關式防毒己經越來越成為消除病毒源的關鍵。還應使用掃描器軟件主動掃描,進行安全性檢查,找到漏洞并及時修補,以防黑客攻擊。
醫院網管可以在CISCO路由設備中,利用CISCO IOS操作系統的安全保護,設置用戶口令及ENABLE 口令,解決網絡層的安全問題,可以利用UNIX系統的安全機制,保證用戶身份、用戶授權和基于授權的系統的安全,:對各服務器操作系統和數據庫設立訪問權限,同時利用UNIX的安全文件,例如/etc/hosts. equiv文件等,限制遠程登錄主機,以防非法
用戶使用TELNET、FTP等遠程登錄工具,進行非法入侵。
4、備份和恢復技術
備份是保證系統安全最基本、最常用的手段。采取數據的備份和恢復措施,有些重要數據還需要采取異地備份措施,防止災難性事故的發生。
5、加密和認證技術
加密可保證信息傳輸的保密性、完整性、抗抵賴等,是一個非常傳統,但又非常有效的技術。加密技術主要用于網絡安全傳輸、公文安全傳輸、桌面安全防護、可視化數字簽名等方面。
6、實時監測
采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡實時監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征。
7、 PKI技術
公開密鑰基礎設施(PKI )是通過使用公開密鑰技術和數字證書來確保系統網絡安全并負責驗證數字證書持有者身份的一種體系。PKI 可以提供的服務包括:認證服務,保密(加密),完整,安全通信,安全時間戳,小可否認服務(抗抵賴服務),特權管理,密鑰管理等。
四、結束語:
網絡的安全與醫院利益息息相關,一個安全的網絡系統的保護不僅和系統管理員的系統安全知識有關,而且和領導的決策、工作環境中每個員工的安全操作等都有關系。網絡安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增,醫院網絡管理人員要掌握最先進的技術,把握住醫院網絡安全的大門。
五、參考文獻
[1] 李國棟,劉克勤。Internet常用的網絡安全技術。現代電力。2001. 11. 21
[2] 肖義等,PKI網絡安全平臺的研制與開發。2002. 1.23
第2篇
【關鍵詞】計算機;網絡安全;解決措施
1.計算機網絡安中出現的問題
1.1計算機網絡系統內部出現的安全問題
1.1.1網絡系統自身的漏洞,即系統漏洞
系統漏洞是計算機網絡系統內部安全問題的主要方面,他是計算機系統中不可避免的一種缺陷,它的存在,有可能給予網絡攻擊者以可乘之機,使攻擊者有可能通過系統漏洞,肆意侵害用戶的權限,毀壞用戶的程序,給用戶造成不可估計的后果,也有可能使木馬病毒等乘虛而入,擾亂計算機的正常程序,給用戶造成不可估量的損失和影響。
1.1.2用戶對移動存儲設備過分的信任,而減少了對他的安全問題的警惕,從而使網絡信息面臨威脅
我們通常所用的U盤、光碟、還有手機上的內存卡都可以稱為移動儲存設備,它們的輕巧益攜的特點,使其成為人們最愛的信息存儲工具,什么重要信息好像都必須經過它來傳輸,然而,如此便利的存儲設備,卻存在著非常大的安全隱患,里面的信息很容易丟失掉,甚至有些人還不知道,表面上刪除的信息是可以再被恢復的,因此,哪怕你刪除了信息,你的信息也很可能泄露,給你帶來很大的威脅。
1.2計算機系統外部出現的問題
1.2.1電腦黑客的入侵
電腦黑客實際上就是一個網絡高手,以前還是榮譽的象征,黑客很善于發現用戶計算機上的漏洞,他們會通過這些缺陷進入計算機的系統而躲避防火墻的攔擊,從而對計算機網絡安全造成威脅,給用戶帶來麻煩甚至損失。
1.2.2各種計算機病毒的攻擊
計算機病毒有很多的類型,他們大多都是破壞計算機的數據和程序,從而影響計算機的正常運行,給用戶帶來不便,使整個計算機系統癱瘓,同時計算機病毒還具有傳來性,病毒很可能從一臺計算機蔓延到很多臺,這種病毒的蔓延,以及它的破壞性會造成很嚴重的后果。
1.2.3間諜軟件的惡意進攻
在我們的網絡生活中總會有那么多惡意軟件在秘密的關注著我們的計算機網絡信息,一有機會就會竊取竊取我們網絡系統中的機密和各種信息,這種惡意軟件我們就稱他為間諜軟件。他竊取人們的隱私和機密,給人們帶來嚴重的損失。
1.3網絡管理中制度方面出現的問題
網絡制度制定的不夠嚴格,網絡管理者的管理能力太差,從而出現人為泄密和故意泄密的現象如計算機操作人員安全意識不強,設置的口令過于簡單,或者將自己的口令隨意告訴別人或者無意中透露給他人等都會對網絡安全帶來威脅。
2.怎樣解決計算機網絡安全面臨的問題
(1)及時的利用各種網絡設備對網絡系統的安全問題進行掃描和檢測,漏洞掃描技術就是一項值得我們采用的技術,他可以快速的掃描和查找出對系統安全造成威脅的各種漏洞,及時提醒我們對掃描出的漏洞進行修復,為檢測出的漏洞打上補丁,以此來保證網絡系統的安全。
(2)我們可以為計算機安裝上防火墻,防火墻技術作為最基本的安全措施之一,發揮著不可替代的作用,它的存在,使計算機仿佛處于一層防護罩的保護之下,可以阻擋部分的惡意程序的訪問和木馬、病毒及黑客的進攻,它似乎是對網絡信息進行了過濾,未經證實安全的信息是不允許訪問的,防火墻技術的使用,大大增加了網絡系統的安全系數。
(3)安裝防病毒軟件和殺毒軟件,及時的對計算機的安全進行檢測,定期的進行計算機電腦病毒查殺。
(4)我們可以對自己的計算機網絡系統加密,實行網絡安全加密技術。這種現代化的數據加密技術可以用來保護網絡系統中的所有資料和信息,是自己真正享受安全和諧的網絡環境。
(5)我們還可以設置入網訪問控制,使其對合法用戶進行初步的控制,他嚴格控制了用戶的入網時間,當然,也控制了入網的人群和入網的工作站,被允許訪問的用戶可以在準許的時間和準許的工作站入網訪問,不僅這樣,同時他還嚴格控制了訪問的內容,訪問者所能反問的內容和信息,甚至他的每一步的操作,都必須按著它的規定來做,不可以自作主張的隨意訪問。若有非法訪問的人群,那么入網控制的服務器就會給網絡管理人員做出警報,使管理員們提高警惕。
(6)要保護好計算機網絡的IP地址,我們必須知道,黑客之所以能攻擊我們的計算機系統,原因是他們掌握了計算機的IP地址。他們利用對IP地址的掌握,肆意的對計算機系統進行各種各樣攻擊和破壞,使被侵害的計算機遭受嚴重的威脅。正是因為這樣,我們要做好IP地址的保護工作,加強它的保密性,從而加強整個計算機網絡系統的安全。
(7)對于計算機的軟件,用戶在對計算機的軟件進行選擇時,不要為了節省錢,買不正規的軟件,對于軟件的選擇,一定要到正規的店去買正版的軟件,因為有些盜版軟件可能攜帶著病毒,不要為了貪圖小便宜而害了自己的系統,給自己造成嚴重損失。至于移動存儲設備,我們也要加強保護,例如U盤就是一個很方便常用的移動存儲設備,但是,由于我們會把U盤插入不同的計算機,這樣就有可能會使他成為病毒的攜帶者和傳播者,將別人或公用計算機上的病毒傳播到自己的計算機里,因此,我們的移動設備最好不要到處亂插,也最好不要外借,更不要把重要的資料存放在U盤里。
除了上述這些方法,還有很多的解決措施,但這些都離不看大家的共同努力。
3.總結
網絡安全在我們當今社會日益成為關注的焦點,我們不僅要利用當今先進的科技和計算機病毒等安全威脅因子進行斗爭,而且用戶自身也要增強安全意識管理好自己的網絡系統,讓我們社會全體共同努力,營造一個文明健康安全綠色的網絡環境。
【參考文獻】
第3篇
關鍵詞:CDP協議;網絡攻擊;安全防范
中圖分類號:TP393文獻標識碼:A文章編號:1007-9599 (2011) 16-0000-01
The Security of Network Attacks Based on CDP Protocol
Jiang Baohua
(Changchun University,Tourism College,Department of Basic,Changchun130607,China)
Abstract:CDP (Cisco Discovery Protocol) is one of Cisco's data link layer discovery protocol that runs on Cisco routers,bridges,access servers and switches and other devices used to find and view details of a neighbor important agreements,such as IP address,software version,platform, performance,and the native VLAN.Intruders often use denial of service (DoS) attacks such as access to these information,and use this information for CDP deception,resulting in significant security threats.
Keywords:CDP protocol;Network attacks;Security
一、CDP協議發現原理
要發現CDP協議的安全漏洞,就要知道其工作原理。CDP協議與現有的網絡協議類型無關,主要用來發現與本地設備直接相連的Cisco設備。每個運行CDP協議的設備都會定期發送宣告消息,來更新鄰居信息。同時每個運行CDP的設備也會接收CDP消息來記錄鄰居設備的信息。這些信息包括設備名稱、本地接口、硬件版本、IOS版本、IOS平臺、工作模式、本地VLAN、連接保持等。利用這些信息可以描述整個網站的拓撲情況。而且這些報文信息不加密,是明文。CDP發現直接相連的其他Cisco設備,,并在某些情況下自動配置其連接。CDP的優勢非常明顯,包括發現的速度、準確性、所獲取的信息的詳細程度。
CDP協議相關的命令與作用如下:(1)SHOW CDP命令獲取CDP定時器和保持時間信息。(2)在全局模式下使用命令CDP TIMER和CDP HOLDTIME在路由器上配置CDP定時器和保持時間。(3)在路由器的全局配置模式下可以使用NO CDP RUN命令完全的關閉CDP。若要在路由器接口上關閉或打開CDP,使用NO CDP ENABLE和CDP ENABLE命令。(4)Show cdp neighbor命令可以顯示有關直連設備的信息。要記住CDP分組不經過CISCO交換機這非常重要,它只能看到與它直接相連的設備。在連接到交換機的路由器上,不會看到連接到交換機上的其他所有設備。(5)Show cdp traffic命令顯示接口流量的信息,包括發送和接收CDP分組的數量,以及CDP出錯信息。(6)Show cdp interface命令可顯示路由器接口或者交換機、路由器端口的狀態。(7)debug cdp events啟動CDP事件調試等等。
二、CDP協議安全威脅
確實在大部分情況下,CDP協議的作用是不可替代的。如在大多數網絡中,CDP能夠提供很多有用的信息并且可以協助管理員進行網絡排錯和性能優化。但是,其帶來的安全隱患也不容忽視。在缺省狀態下,Cisco品牌的交換機或路由器會自動在所有連接接口上發送CDP消息,這些消息由于沒有采取安全加密措施,非法用戶通過專業工具可以很輕松地竊取到這些敏感內容。當這些敏感信息被非法者擁有后,他們就能輕易了解到局域網中的組網結構,并通過相關地址對網絡中的重要主機進行惡意攻擊,最終造成網絡無法安全、穩定地運行。
除了被動獲取鄰居設備的交換協議信息外,非法攻擊者還可以利用專業的CDP工具程序定制偽造的CDP數據幀,來通知局域網中的高端網絡管理軟件,說在網絡中新發現了一臺網絡設備。如此一來,相關網絡設備就會主動嘗試利用SNMP來聯系“陷阱”設備,這個時候非法攻擊者就會對這樣的聯系進行監控捕捉,從而有機會獲得局域網中其他重要網絡設備的名稱、地址、接口等信息,日后就為攻擊這些網絡設備做好充足的準備工作。
此外,CDP協議還能欺騙思科的IP電話。當打開IP電話后,交換機就會通過CDP協議自動和IP電話交換CDP數據,并主動通知電話來讓語音流量選用哪一個虛擬工作子網。在這一過程中,非法攻擊者可以通過注入CDP數據幀的方法來欺騙IP電話,為語音流量分配一個錯誤的虛擬工作子網。
三、防范措施
根據CDP協議的工作原理CDP協議所發送的信息中包含了一些比較敏感的信息。如果這些信息被不法分子獲得的話,那么將給企業的網絡帶來很大的安全隱患。為此保護的重點就是如何讓這些敏感的信息不被外人所知。為了避免CDP協議泄露網絡設備的相關信息,可以只在企業內部網絡的設備中啟用CDP協議。而在連接到互聯網的企業級邊緣路由器上的接口上禁用CDP協議。如此的話,相關的敏感信息不會泄露到企業的外部網絡上。在配合網絡防火墻等功能,就可以保證CDP協議信息的安全。可以在連接到服務器提供商或者企業邊緣路由器的接口上禁用CDP協議。其他地方如果有安全需要的話,可以根據情況來判斷是否啟用CDP協議。在可以的情況下,還是啟用CDP協議為好。例如,在單位內網環境中,只要部署好了網絡防火墻和網絡防病毒軟件,就可以將網絡中交換機或路由器上的CDP發現功能啟用起來,以便為日后的網絡維護與優化提供方便,因為內網環境在多項安全措施的保護下,CDP發現協議存在的安全威脅會大大下降。此外,在一些安全性要求不高的網絡環境中,也可以通過啟用CDP發現協議來提高網絡故障的排查效率。例如,在普通的網吧工作環境中,由于不存在太重要的敏感信息,開啟CDP協議可以方便平時的管理、維護操作。在一些安全性要求比較高的網絡環境中,或者是單位網絡的邊緣網絡設備上,盡量不要使用CDP協議,畢竟CDP協議或多或少地會帶來一些麻煩。比方說,在銀行、證券等金融網絡中,應該慎重使用CDP協議,因為這個網絡中包含的敏感、隱私信息特別多,要是被非法用戶發現的話,就相當于暴露了許多攻擊目標。
在語音VLAN應用環境中,在企業內部網絡中可以啟用CDP協議,而在企業級別的邊緣路由器上則禁用CDP協議。通過Vlan將企業的內部網絡劃分成幾個獨立的虛擬網,能夠起到分割廣播包、縮小沖突域等作用,對于企業內部網絡的安全有著很大的作用。
