影響計算機網路安全的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網路系統資源的非法使有。這些因素可以大體分類為:計算機病毒、人為的無意失誤、人為的惡意攻擊、網路軟體的缺陷和漏洞、物理安全問題。
而防火牆是一種保護計算機網路安全的技術性措施,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要信息。
1. 非法攻擊防火牆的基本「招數」
通常情況下, 有效的攻擊都是從相關的子網進行的。因為這些網址得到了防火牆的信賴,雖說成功與否尚取決於機遇等其他因素,但對攻擊者而言很值得一試。下面以數據包過濾防火牆為例,簡要描述可能的攻擊過程。
通常主機A與主機B 的TCP 連接(中間有或無防火牆) 是通過主機A向主機B 提出請求建立起來的,而其間A和B 的確認僅僅根據由主機A 產生並經主機B 驗證的初始序列號ISN。IP 地址欺騙攻擊的第一步是切斷可信賴主機。這樣可以使用TCP 淹沒攻擊(TCP SynFlood Attack),使得信賴主機處於「自顧不暇」的忙碌狀態,相當於被切斷,這時目標主機會認為信賴主機出現了故障,只能發出無法建立連接的RST 包,而無暇顧及其他。
攻擊者最關心的是猜測目標主機的ISN。為此,可以利用SMTP的埠(25),通常它是開放的,郵件能夠通過這個埠,與目標主機打開(Open)一個TCP 連接,因而得到它的ISN。在此有效期間,重復這一過程若干次,以便能夠猜測和確定ISN的產生和變化規律,這樣就可以使用被切斷的可信賴主機的IP 地址向目標主機發出連接請求。請求發出後,目標主機會認為它是TCP 連接的請求者,從而給信賴主機發送響應(包括SYN),而信賴主機目前仍忙於處理Flood淹沒攻擊產生的「合法」請求,因此目標主機不能得到來自於信賴主機的響應。現在攻擊者發出回答響應,並連同預測的目標主機的ISN一同發給目標主機,隨著不斷地糾正預測的ISN,攻擊者最終會與目標主機建立一個會晤。通過這種方式, 攻擊者以合法用戶的身份登錄到目標主機而不需進一步的確認。,arp欺騙。。如果反復試驗使得目標主機能夠接收對網路的ROOT 登錄,那麼就可以完全控制整個網路。
2. 單防火牆和單子網
由於不同的資源存在著不同的風險程度,所以要基於此來對網路資源進行劃分。這里的風險包含兩個因素: 資源將被妥協的可能性和資源本身的敏感性。例如:一個好的Web 伺服器運行CGI 會比僅僅提供靜態網頁更容易得到用戶的認可,但隨之帶來的卻是Web 伺服器的安全隱患。網路管理員在伺服器前端配置防火牆,會減少它全面暴露的風險。資料庫伺服器中存放有重要數據,它比Web 伺服器更加敏感,因此需要添加額外的安全保護層。
使用單防火牆和單子網保護多級應用系統的網路結構,這里所有的伺服器都被安排在同一個子網,防火牆接在邊界路由器與內部網路之間,防禦來自Internet 的網路攻擊。,arp欺騙。。在網路使用和基於主機的入侵檢測系統下,伺服器得到了加強和防護,這樣便可以保護應用系統免遭攻擊。像這樣的縱向防護技術在所有堅固的設計中是非常普遍的,但它們並沒有明顯的顯示在圖表中。
在這種設計方案中,所有伺服器都安排在同一個子網,用防火牆將它們與Internet 隔離,這些不同安全級別的伺服器在子網中受到同等級的安全保護。盡管所有伺服器都在一個子網,但網路管理員仍然可以將內部資源與外部共享資源有效地分離。使用單防火牆和單子網保護伺服器的方案系統造價便宜,而且網路管理和維護比較簡單,這是該方案的一個重要優點。因此, 當進一步隔離網路伺服器並不能從實質上降低重要數據的安全風險時,採用單防火牆和單子網的方案的確是一種經濟的選擇。
3. 單防火牆和多子網
如果遇見適合劃分多個子網的情況,網路管理員可以把內部網路劃分成獨立的子網,不同層的伺服器分別放在不同的子網中,數據層伺服器只接受中間層伺服器數據查詢時連接的埠,就能有效地提高數據層伺服器的安全性,也能夠幫助防禦其它類型的攻擊。,arp欺騙。。這時,更適於採用一種更為精巧的網路結構———單個防火牆劃分多重子網結構。單個防火牆劃分多重子網的方法就是在一個防火牆上開放多個埠,用該防火牆把整個網路劃分成多個子網,每個子網分管應用系統的特定的層。管理員能夠在防火牆不同的埠上設置不同的安全策略。
使用單個防火牆分割網路是對應用系統分層的最經濟的一種方法,但它並不是沒有局限性。邏輯上的單個防火牆,即便有冗餘的硬體設備,當用它來加強不同安全風險級別的伺服器的安全策略時,如果該防火牆出現危險或錯誤的配置,入侵者就會獲取所有子網包括數據層伺服器所在的最敏感網路的訪問許可權。而且,該防火牆需要檢測所有子網間的流通數據,因此,它會變成網路執行效率的瓶頸。所以,在資金允許的情況下,我們可以用另一種設計方案———多個防火牆劃分多個子網的方法,來消除這種缺陷。
4.arp欺騙對策
各種網路安全的對策都是相對的,主要要看網管平時對網路安全的重視性了。下面介始一些相應的對策:
在系統中建立靜態ARP表,建立後對本身自已系統影響不大的,對網路影響較大,破壞了動態ARP解析過程。,arp欺騙。。靜態ARP協議表不會過期的,我們用「arp–d」命令清除ARP表,即手動刪除。,arp欺騙。。但是有的系統的靜態ARP表項可以被動態刷新,如Solaris系統,那樣的話依靠靜態ARP表項並不能對抗ARP欺騙攻擊,相反縱容了ARP欺騙攻擊,因為虛假的靜態ARP表項不會自動超時消失。,arp欺騙。。 在相對系統中禁止某個網路介面做ARP解析(對抗ARP欺騙攻擊),可以做靜態ARP協議設置(因為對方不會響應ARP請求報文)如:arp -sXXX.XXX.XX.X 08-00-20-a8-2e-ac。 在絕大多數操作系統如:Unix、BSD、NT等,都可以結合「禁止相應網路介面做ARP解析」和「使用靜態ARP表」的設置來對抗ARP欺騙攻擊。而Linux系統,其靜態ARP表項不會被動態刷新,所以不需要「禁止相應網路介面做ARP解析」即可對抗ARP欺騙攻擊。
⑵ 網路需求分析的主要內容是什麼
網路規劃與需求分析
需求分析從字面上的意思來理解就是找出"需"和"求"的關系,從當前業務中找出最需要重視的方面,從已經運行的網路中找出最需要改進的地方,滿足客戶提出的各種合理要求,依據客戶要求修改已經成形的方案.
本章重點
2.1需求分析的類型
2.2如何獲得需求
2.3可行性論證
2.4工程招標與投標
2.2.1應用背景分析
應用背景需求分析概括了當前網路應用的技術背景,介紹了行業應用的方向和技術趨勢,說明本企業網路信息化的必然性.
應用背景需求分析要回答一些為什麼要實施網路集成的問題.
(1) 國外同行業的信息化程度以及取得哪些成效
(2) 國內同行業的信息化趨勢如何
(3) 本企業信息化的目的是什麼
(4) 本企業擬採用的信息化步驟如何
需求分析的類型
P33
2.2.1應用背景分析
應用背景需求分析要回答一些為什麼要實施網路集成的問題.
(1) 國外同行業的信息化程度以及取得哪些成效
(2) 國內同行業的信息化趨勢如何
(3) 本企業信息化的目的是什麼
(4) 本企業擬採用的信息化步驟如何
需求分析的類型
P33
2.2.2業務需求
業務需求分析的目標是明確企業的業務類型,應用系統軟體種類,以及它們對網路功能指標(如帶寬,服務質量QoS)的要求.
業務需求是企業建網中首要的環節,是進行網路規劃與設計的基本依據.
需求分析的類型
P33
2.2.2業務需求
通過業務需求分析要為以下方面提供決策依據:
(1) 需實現或改進的企業網路功能有那些
(2) 需要集成的企業應用有哪些
(3) 需要電子郵件服務嗎
(4) 需要Web服務嗎
(5) 需要上網嗎 帶寬是多少
(6) 需要視頻服務嗎
(7) 需要什麼樣的數據共享模式
(8) 需要多大的帶寬范圍
(9) 計劃投入的資金規模是多少
需求分析的類型
P33
2.2.3管理需求
網路的管理是企業建網不可或缺的方面,網路是否按照設計目標提供穩定的服務主要依靠有效的網路管理.高效的管理策略能提高網路的運營效率,建網之初就應該重視這些策略.
需求分析的類型
P34
2.2.3管理需求
網路管理的需求分析要回答以下類似的問題:
是否需要對網路進行遠程管理,遠程管理可以幫助網路管理員利用遠程式控制制軟體管理網路設備,使網管工作更方便,更高效.
誰來負責網路管理;
需要哪些管理功能,如需不需要計費,是否要為網路建立域,選擇什麼樣的域模式等;
需求分析的類型
P34
2.2.3管理需求
選擇哪個供應商的網管軟體,是否有詳細的評估;
選擇哪個供應商的網路設備,其可管理性如何;
需不需要跟蹤和分析處理網路運行信息;
將網管控制台配置在何處
是否採用了易於管理的設備和布線方式
需求分析的類型
P34
2.2.4安全性需求
企業安全性需求分析要明確以下幾點:
企業的敏感性數據的安全級別及其分布情況;
網路用戶的安全級別及其許可權;
可能存在的安全漏洞,這些漏洞對本系統的影響程度如何;
網路設備的安全功能要求;
需求分析的類型
P34
2.2.4安全性需求
網路系統軟體的安全評估;
應用系統安全要求;
採用什麼樣的殺毒軟體;
採用什麼樣的防火牆技術方案;
安全軟體系統的評估;
網路遵循的安全規范和達到的安全級別.
需求分析的類型
P34
2.2.5通信量需求
通信量需求是從網路應用出發,對當前技術條件下可以提供的網路帶寬做出評估.
需求分析的類型
P35
應用類型
基本帶寬需求
備注
PC連接
14.4kb/s~56kb/s
遠程連接,FTP,HTTP,E-mail
文件服務
100kb/s以上
區域網內文件共享,C/S應用,
B/S應用,在線游戲等絕大部分純文本應用
壓縮視頻
256kb/s以上
Mp3,rm等流媒體傳輸
非壓縮視頻
2Mb/s以上
Vod視頻點播,視頻會議等
表2-1 列舉常見應用對通信量的需求
2.2.5通信量需求
未來有沒有對高帶寬服務的要求;
需不需要寬頻接入方式,本地能夠提供的寬頻接入方式有哪些;
哪些用戶經常對網路訪問有特殊的要求 如行政人員經常要訪問OA伺服器,銷售人員經常要訪問ERP資料庫等.
哪些用戶需要經常訪問Internet 如客戶服務人員經常要收發E_mail.
哪些伺服器有較大的連接數
哪些網路設備能提供合適的帶寬且性價比較高.
需要使用什麼樣的傳輸介質.
伺服器和網路應用能夠支持負載均衡嗎
需求分析的類型
P35
2.2.6網路擴展性需求分析
網路的擴展性有兩層含義,其一是指新的部門能夠簡單地接入現有網路;其二是指新的應用能夠無縫地在現有網路上運行.
擴展性分析要明確以下指標:
(1) 企業需求的新增長點有哪些;
(2) 已有的網路設備和計算機資源有哪些
(3) 哪些設備需要淘汰,哪些設備還可以保留
(4) 網路節點和布線的預留比率是多少
(5) 哪些設備便於網路擴展
(6) 主機設備的升級性能
(7) 操作系統平台的升級性能
需求分析的類型
P35
2.2.7網路環境需求
網路環境需求是對企業的地理環境和人文布局進行實地勘察以確定網路規模,地理分劃,以便在拓撲結構設計和結構化綜合布線設計中做出決策.
網路環境需求分析需要明確下列指標:
(1) 園區內的建築群位置;
(2) 建築物內的弱電井位置,配電房位置等;
(3) 各部分辦公區的分布情況;
(4) 各工作區內的信息點數目和布線規模;
需求分析的類型
P36
2.3.1獲得需求信息的方法
1. 實地考察
實地考察是工程設計人員獲得第一手資料採用的最直接的方法,也是必需的步驟;
如何獲得需求
P36
2.3.1獲得需求信息的方法
2. 用戶訪談
用戶訪談要求工程設計人員與招標單位的負責人通過面談,電話交談,電子郵件等通訊方式以一問一答的形式獲得需求信
如何獲得需求
P36
2.3.1獲得需求信息的方法
3.問卷調查
問卷調查通常對數量較多的最終用戶提出,詢問其對將要建設的網路應用的要求.
如何獲得需求
P36
問卷調查的方式可以分為無記名問卷調查和記名問卷調查
2.3.1獲得需求信息的方法
4.向同行咨詢
將你獲得的需求分析中不涉及到商業機密的部分發布到專門討論網路相關技術的論壇或新聞組中,請同行給你參考你制定的設計說明書,這時候,你會發現熱心於你的方案的人們通常會給出許多中肯的建議
如何獲得需求
P36
2.3.2歸納整理需求信息
通過各種途徑獲取的需求信息通常是零散的,無序的,而且並非所有需求信息都是必要的或當前可以實現的,只有對當前系統總體設計有幫助的需求信息才應該保留下來,其他的僅作為參考或以後升級使用.
1.將需求信息用規范的語言表述出來
2.對需求信息列表
如何獲得需求
P38
2.3.2歸納整理需求信息
需求信息也可以用圖表來表示.圖表帶有一定的分析功能,常用的有柱圖,直方圖,折線圖和餅圖.
如何獲得需求
P39
2.4 可行性論證
需求分析所取得的資料經過整理後得到需求分析文檔,但這種需求分析文檔還需要經過論證後才能最終確定下來.參與論證活動的人員除了需求分析工作的負責人外,還要邀請其他部門的負責人,以及招標方的領導和專家.
可行性論證求
P40
2.4.1 可行性論證的目的
可行性論證是就工程的背景,意義,目的,目標,工程的功能,范圍,需求,可選擇的技術方案,設計要點,建設進度,工程組織,監理,經費等方面作出可行性驗證,指出工程建設中選擇軟硬體的依據,降低項目建設的總體風險.
提供正確選擇軟硬體系統的依據
驗證可行性,減少項目建設的總體風險
產生應用系統原型,積累必要的經驗
加強客戶,系統集成商,設備供應商之間的合作關系
降低後期實施的難度,提高客戶服務水平和滿意度
可行性論證求
P40
2.4.1 可行性論證的目的
在編寫可行性論證報告時,主要對下列項目逐條說明:
1.系統建設的目的
2.技術可行性
3.應用可行性
4.人員,資金可行性
5.設備可行性
6.安全可行性
可行性論證求
P40
2.5 工程招標與投標
為了保證網路工程的建設質量,網路建設方應該以公開招標的方式確定承建商.參與投標的承建商拿出各自的標書參與投標,其中標書的主要內容就來自於需求分析報告和可行性論證報告.
工程招投標是一個規范的網路工程必需的環節.
工程招標與投標
P41
2.5.1工程招標流程簡介
1.招標方聘請監理部門工作人員,根據需求分析階段提交的網路系統集成方案,編制網路工程標底;
2. 做好招標工作的前期准備,編制招標文件;
3. 發布招標通告或邀請函,負責對有關網路工程問題進行咨詢;
4. 接受投標單位遞送的標書;
5. 對投標單位資格,企業資質等進行審查.審查內容包括:企業注冊資金,網路系統集成工程案例,技術人員配置,各種網路代理資格屬實情況,各種網路資質證書的屬實情況.
工程招標與投標
P41
2.5.1工程招標流程簡介
6. 邀請計算機專家,網路專家組成評標委員會;
7. 開標,公開招標各方資料,准備評標;
8. 評標,邀請具有評標資質的專家參與評標,對參評方各項條件公平打分,選擇得分最高的系統集成商;
9. 中標,公告中標方,並與中標方簽訂正式工程合同.
工程招標與投標
P41
2.5.2工程招標
計算機網路工程招標的目的,是為了以公開,公平,公正的原則和方式,從眾多系統集成商中,選擇一個有合格資質,並能為用戶提供最佳性能價格比的集成商.
編制招標文件
招標
工程招標與投標
P41
2.5.3工程投標
投標人在索取,購買標書後,應該仔細閱讀標書的投標要求及投標須知.在同意並遵循招標文件的各項規定和要求的前提下,提出自己的投標文件.
編制投標文件
投標
1,遞交投標文件
2,評標
3,中標
4,簽訂合同
工程招標與投標
P41
標書內容
(1)參評方案一覽表
(2)參評方案價格表
(3)系統集成方案
(4)設備配置及參數一覽表
(5)公司有關計算機設備及備件報價一覽表
(6)從業人員及其技術資格一覽表
(7)公司情況一覽表,
(8)公司經營業績一覽表
(9)中標後服務計劃
(10)資格證明文件,及參評方案方認為需要加以說明的其他內容
(11)文檔資料清單
(12)參評方案保證金
⑶ 如何管理移動網路安全
一、建立健全網路和信息安全管理制度
各單位要按照網路與信息安全的有關法律、法規規定和工作要求,制定並組織實施本單位網路與信息安全管理規章制度。要明確網路與信息安全工作中的各種責任,規范計算機信息網路系統內部控制及管理制度,切實做好本單位網路與信息安全保障工作。
二、切實加強網路和信息安全管理
各單位要設立計算機信息網路系統應用管理領導小組,負責對計算機信息網路系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網路系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,並按照「誰主管誰負責,誰運行誰負責,誰使用誰負責」的原則,切實履行好信息安全保障職責。
三、嚴格執行計算機網路使用管理規定
各單位要提高計算機網路使用安全意識,嚴禁涉密計算機連接互聯網及其他公共信息網路,嚴禁在非涉密計算機上存儲、處理涉密信息,嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網路實行物理隔離,並強化身份鑒別、訪問控制、安全審計等技術防護措施,有效監控違規操作,嚴防違規下載涉密和敏感信息。通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發涉密和敏感信息。
四、加強網站、微信公眾平台信息發布審查監管
各單位通過門戶網站、微信公眾平台在互聯網上公開發布信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關規定,建立嚴格的審查制度。要對網站上發布的信息進行審核把關,審核內容包括:上網信息有無涉密問題;上網信息目前對外發布是否適宜;信息中的文字、數據、圖表、圖像是否准確等。未經本單位領導許可嚴禁以單位的名義在網上發布信息,嚴禁交流傳播涉密信息。堅持先審查、後公開,一事一審、全面審查。各單位網路信息發布審查工作要有領導分管、部門負責、專人實施。
嚴肅突發、敏感事(案)件的新聞報道紀律,對民族、宗教、軍事、環保、反腐、人權、計劃生育、嚴打活動、暴恐案件、自然災害,涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進行宣傳報道,如確需宣傳報道的,經縣領導同意,上報地區層層審核,經自治區黨委宣傳部審核同意後,方可按照宣傳內容做到統一口徑、統一發布,確保信息發布的時效性和嚴肅性。
五、組織開展網路和信息安全清理檢查
各單位要在近期集中開展一次網路安全清理自查工作。對辦公網路、門戶網站和微信公眾平台的安全威脅和風險進行認真分析,制定並組織實施本單位各種網路與信息安全工作計劃、工作方案,及時按照要求消除信息安全隱患。各單位要加大網路和信息安全監管檢查力度,及時發現問題、堵塞漏洞、消除隱患;要全面清查,嚴格把關,對自查中發現的問題要立即糾正,存在嚴重問題的單位要認真整改。
如何加強網路安全管理
1 制定網路安全管理方面的法律法規和政策
法律法規是一種重要的行為准則,是實現有序管理和社會公平正義的有效途徑。網路與我們的生活日益密不可分,網路環境的治理必須通過法治的方式來加以規范。世界很多國家都先後制定了網路安全管理法律法規,以期規范網路秩序和行為。國家工業和信息化部,針對我國網路通信安全問題,制訂了《通信網路安全防護管理辦法》。明確規定:網路通信機構和單位有責任對網路通信科學有效劃分,根據有可能會對網路單元遭受到的破壞程度,損害到經濟發展和社會制度建設、國家的安危和大眾利益的,有必要針對級別進行分級。電信管理部門可以針對級別劃分情況,組織相關人員進行審核評議。而執行機構,即網路通信單位要根據實際存在的問題對網路單元進行實質有效性分級。針對以上條款我們可以認識到,網路安全的保證前提必須有科學合理的管理制度和辦法。網路機系統相當於一棵大樹,樹的枝幹如果出現問題勢必影響到大樹的生長。下圖是網路域名管理分析系統示意圖。
可以看到,一級域名下面分為若干個支域名,這些支域名通過上一級域名與下一級緊密連接,並且將更低級的域名授予下級域名部門相關的權利。預防一級管理機構因為系統過於寬泛而造成管理的無的放矢。通過逐級管理下放許可權。維護網路安全的有限運轉,保證各個層類都可以在科學規范的網路系統下全面健康發展。
一些發達國家針對網路安全和運轉情況,實施了一系列管理規定,並通過法律來加強網路安全性能,這也說明了各個國家對於網路安全問題的重視。比方說加拿大出台了《消費者權利在電子商務中的規定》以及《網路保密安全法》等。亞洲某些國家也頒布過《電子郵件法》以及其他保護網路安全的法律。日本總務省還重點立法,在無線區域網方面做出了明確規定,嚴禁用戶自行接受破解網路數據和加密信息。還針對違反規定的人員制定了處罰條例措施。用法律武器保護加密信息的安全。十幾年前,日本就頒布了《個人情報法》,嚴禁網路暴力色情情況出現。在網路環境和網路網路安全問題上布防嚴謹,減小青少年犯罪問題的發生。
可以說網路安全的防護網首先就是保護網路信息安全的法律法規,網路安全問題已經成為迫在眉睫的緊要問題,每一個網路使用者都應該與計算機網路和睦相處,不利用網路做違法違規的事情,能夠做到做到自省、自警。
2 採用最先進的網路管理技術
工欲善其事,必先利其器。如果我們要保障安全穩定的網路環境,採用先進的技術的管理工具是必要的。在2011年中國最大軟體開發聯盟網站600萬用戶賬號密碼被盜,全國有名網友交流互動平台人人網500萬用戶賬號密碼被盜等多家網站出現這種網路安全慘案。最主要一個原因就是用戶資料庫依然採用老舊的明文管理方式沒有及時應用新的更加安全的管理用戶賬號方式,這點從CSDN網站用戶賬號被泄露的聲明:「CSDN網站早期使用過明文密碼,使用明文是因為和一個第三方chat程序整合驗證帶來的,後來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式,改成了加密密碼。 但部分老的明文密碼未被清理,2010年8月底,對賬號資料庫全部明文密碼進行了清理。2011年元旦我們升級改造了CSDN賬號管理功能,使用了強加密演算法,賬號資料庫從Windows Server上的SQL Server遷移到了Linux平台的MySQL資料庫,解決了CSDN賬號的各種安全性問題。」通過上面的案例,我們知道保障安全的網路應用避免災難性的損失,採用先進的網路管理與開發技術與平台是及其重要的。同時我們也要研究開發避免網路安全新方法新技術。必須達到人外有人,天外有天的境界,才能在網路安全這場保衛戰中獲得圓滿勝利。保證網路優化環境的正常運轉。
3 選擇優秀的網路管理工具
優良的網路管理工具是網路管理安全有效的根本。先進的網路管理工具能夠推動法律法規在網路管理上的真正實施,保障網路使用者的完全,並有效保證信息監管執行。
一個家庭裡面,父母和孩子離不開溝通,這就如同一個管道一樣,正面的負面都可以通過這個管道進行傳輸。網路系統也是這樣,孩子沉迷與網路的世界,在無良網站上觀看色情表演,以及玩游戲,這些都是需要藉助於網路技術和網路工具屏蔽掉的。還有些釣魚網站以及垃圾郵件和廣告,都需要藉助有效的網路信息系統的安全系統來進行處理。保障網路速度的流暢和安全。網路管理工具和軟體可以擔負起這樣的作用,現在就來看看幾款管理系統模型:
網路需求存在的差異,就對網路軟體系統提出了不同模式和版本的需求,網路使用的過程要求我們必須有一個穩定安全的網路信息系統。
網路環境的變化也給網路安全工具提出了不同的要求,要求通過有效劃分網路安全級別,網路介面必須能夠滿足不同人群的需要,尤其是網路客戶群和單一的網路客戶。在一個單位中,一般小的網路介面就能滿足公司內各個部門的需要,保障內部之間網路的流暢運行即是他們的需求,因此,如何選用一款優質的網路管理軟體和工具非常的有必要。
4 選拔合格的網路管理人員
網路管理如同一輛性能不錯的機車,但是只有技術操作精良的人才能承擔起讓它發揮良好作用的重任。先進的網路管理工具和技術,有些操作者不會用或者不擅長用,思維模式陳舊,這樣只會給網路安全帶來更多的負面效應,不能保證網路安全的穩定性,為安全運轉埋下隱患。
4.1 必須了解網路基礎知識。
總的來說,網路技術是一個計算機網路系統有效運轉的基礎。必須熟知網路計算機基礎知識,網路系統構架,網路維護和管理,內部區域網絡、有效防控網路病毒等基礎操作知識。另外,網路管理者要具備扎實的理論基礎知識和操作技能,在網路的設備、安全、管理以及實地開發應用中,要做到熟練掌握而沒有空白區域。計算機網路的維護運行,還需要網路管理人員有相應的職業資格證書,這也能夠說明管理者達到的水平。在網路需求和網路性能發揮等目標上實施有效管理。
4.2 熟悉網路安全管理條例
網路管理人員必須熟悉國家制定的相關的安全管理辦法,通過法律法規的武器來保護網路安全,作為他們工作的依據和標准,有必要也有能力為維護網路安全盡職盡責。
4.3 工作責任感要強
與普通管理崗位不同的是,網路安全問題可能隨時發生。這就給網路管理人員提出了更高更切實的要求。要具有敏銳的觀察力和快速做出決策的能力,能夠提出有效的應對辦法,把網路安全問題降到最低程度,所以網路管理人員的責任心必須要強。對於出現的問題,能在8小時以內解決,盡量不影響以後時間段的網路運轉。
⑷ iris network traffic analyzer怎麼看出異常
Iris 是一款非常優秀的網路通訊分析工具,為著名的網路安全公司 eEye Digital Security 開發。它可以幫助系統管理員輕易地捕獲和查看進出網路的數據包,進行分析和解碼並生成多種形式的統計圖表,它可以探測本機埠和網路設備的使用情況,有效地管理網路通訊。相對於其它網路嗅探器,Iris 更加易用和人性化,以多元化的模塊滿足不同層次用戶的需求,
是網路管理人員和分析人員的必備工具。
⑸ 如何寫網路安全評估報告
先分析這一段時間公司的網路安全現狀,最好以圖表的方式列出開,接下來綜合分析數據,列出各個設備在這段時間工作的維護經驗和不足,切記,一定要寫出當前存在的安全隱患,最後寫出解決方案及維護成本計算
⑹ 家庭網路的網路安全
家庭網路的安全技術
家庭網路的安全技術涉及家庭網路內部終端設備和內部信息安全、業務系統的安全(如防攻擊、防非法接入等),在特定場合還需要能追查惡意呼叫,確定其來源從而採取相應的措施。
(1)網路安全
家庭網路應通過防火牆與外界互聯網進行聯系,實現內部可信任網與外部不可信任網之間的隔離,並進行訪問控制,保證家庭網路系統及家庭網路服務的安全性。
●家庭網路隔離及訪問控制:在內外部網路之間設置防火牆,實現家庭網路內部的訪問控制,根據防範的方式和側重點的不同,可以選擇分級過濾或應用代理等不同類型的防火牆。
●審計與監控:安裝網路安全評估分析軟體,利用此類軟體對用戶使用計算機網路系統的過程進行記錄,以便發現和預防可能的破壞活動。
●網路反病毒:安裝反病毒軟體,預防、檢測和消除病毒。
(2)業務系統安全
業務系統設備本身會有各種各樣系統方面的漏洞,而這些漏洞往往會造成信息的泄露。為了維護家庭網路業務的安全,應做到以下幾點。
●及時給系統進行升級、維護、打系統補丁。
●用戶訪問業務需進行認證,可以使用密碼、智能卡和證書等認證的手段。
●系統要進行病毒的防範。病毒本身有很強的傳染性,並增加設備的負擔,給用戶帶來不便,甚至是重大的經濟損失。病毒防範應做到定期更新,在出現重要病毒警告時要及時進行系統升級。
●記錄日誌。對系統進行攻擊時,會對被攻擊的設備進行埠掃描或多次連接嘗試,所有這些攻擊如果在日誌中記錄在案,則便於查找攻擊的發起者。
⑺ 網路安全基礎知識
肉雞:所謂「肉雞」是一種很形象的比喻,比喻那些可以隨意被我們控制的電腦,對方可以是WINDOWS系統,也可以是UNIX/LINUX系統,可以是普通的個人電腦,也可以是大型的伺服器,我們可以象操作自己的電腦那樣來操作它們,而不被對方所發覺。 2. 木馬:就是那些表面上偽裝成了正常的程序,但是當這些被程序運行時,就會獲取系統的整個控制許可權。有很多黑客就是 熱中與使用木馬程序來控制別人的電腦,比如灰鴿子,黑洞,PcShare等等。 3. 網頁木馬:表面上偽裝成普通的網頁文件或是將而已的代碼直接插入到正常的網頁文件中,當有人訪問時,網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。 4. 掛馬:就是在別人的網站文件裡面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里,以使瀏覽者中馬。5. 後門:這是一種形象的比喻,入侵者在利用某些方法成功的控制了目標主機後,可以在對方的系統中植入特定的程序,或者是修改某些設置。這些改動表面上是很難被察覺的,但是入侵者卻可以使用相應的程序或者方法來輕易的與這台電腦建立連接,重新控制這台電腦,就好象是入侵者偷偷的配了一把主人房間的要是,可以隨時進出而不被主人發現一樣。 通常大多數的特洛伊木馬(Trojan Horse)程序都可以被入侵者用語製作後門(BackDoor) 6. rootkit:rootkit是攻擊者用來隱藏自己的行蹤和保留root(根許可權,可以理解成WINDOWS下的system或者管理員許可權)訪問許可權的工具。通常,攻擊者通過遠程攻擊的方式獲得root訪問許可權,或者是先使用密碼猜解(破解)的方式獲得對系統的普通訪問許可權,進入系統後,再通過,對方系統內存在的安全漏洞獲得系統的root許可權。然後,攻擊者就會在對方的系統中安裝rootkit,以達到自己長久控制對方的目的,rootkit與我們前邊提到的木馬和後門很類似,但遠比它們要隱蔽,黑客守衛者就是很典型的rootkit,還有國內的ntroorkit等都是不錯的rootkit工具。 7. IPC$:是共享「命名管道」的資源,它是為了讓進程間通信而開放的餓命名管道,可以通過驗證用戶名和密碼獲得相應的許可權,在遠程管理計算機和查看計算機的共享資源時使用。 8. 弱口令:指那些強度不夠,容易被猜解的,類似123,abc這樣的口令(密碼) 9. 默認共享:默認共享是WINDOWS2000/XP/2003系統開啟共享服務時自動開啟所有硬碟的共享,因為加了"$"符號,所以看不到共享的托手圖表,也成為隱藏共享。 10. shell:指的是一種命令指行環境,比如我們按下鍵盤上的「開始鍵+R」時出現「運行」對話框,在裡面輸入「cmd」會出現一個用於執行命令的黑窗口,這個就是WINDOWS的Shell執行環境。通常我們使用遠程溢出程序成功溢出遠程電腦後得到的那個用於執行系統命令的環境就是對方的shell 11. WebShell:WebShell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境,也可以將其稱做是一種網頁後門。黑客在入侵了一個網站後,通常會將這些asp或php後門文件與網站伺服器WEB目錄下正常的網頁文件混在一起,好後就可以使用瀏覽器來訪問這些asp 或者php後門,得到一個命令執行環境,以達到控制網站伺服器的目的。可以上傳下載文件,查看資料庫,執行任意程序命令等。國內常用的WebShell有海陽ASP木馬,Phpspy,c99shell等