河北师范大学
学生毕业论文
题目 网络安全问题及其对策
作者姓名 郝保 专 业 计算机教育 班 级 05专5班 指导教师 桂洁 2007 年 4 月 28 日
网络安全问题及其对策
数信系05专5 班级 郝保65号 指导教师:桂洁
摘要:
网络的发展和技术的提高给网络安全带来了很大的冲击,Internet的安全成了新信息安全的热点,针对计算机网络系统存在的安全性和可靠性问题,本文从网络安全的重要性、网络安全的理论知识、解决措施以及安全评估等方面提出一些见解,并且进行了详细阐述,以使广大用户在计算机网络方面增强安全防范意识。除了常规的拒绝服务攻击、DoS讹诈之外,我们面临的各种有意无意的DoS越来越多,例如,邮件蠕虫发送邮件,产生的大量DNS查询报文,对DNS服务器产生事实上的DoS等等,事件日渐频发。
关键词:计算机网络 网络安全 防火墙 加密技术
1 引言
目前国家、、企业单位都十分重视信息安全的建设问题,但是如何有规划、有系统的建设信息安全,如何建设一个可分级、可信任、可管理的安全系统,是我们大家都需要思考的问题。希望本文能引起大家一个思考。
2 网络安全的理论基础
说到木桶理论,可谓众所周知:一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值,而是取决于其中最短的那块木板。
根据这个理论,我们会发现有些企业找出安全防护中的最短木块,并买了很多安全产品进行防护:发现病毒对企业影响很大,就买了最好的反病毒软件,发现边界不安全,就用了最强的防火墙,发现有黑客入侵,就部署了最先进的IDS。这其实只是一种头痛医头,脚痛医脚的做法,是治标不治本的方法。所以实施后,安全问题还是很多,有人曾形象地说“洞照开,虫照跑,毒照染”。 2.1 新木桶理论
根据我的分析,传统的木桶理论存在一定的缺陷。实际上,我们可以看到一个木桶能不能容水,容多少水,除了看最短木板之外,还要看一些关键信息:1、这个木桶是否有坚实的底板,2、木板之间是否有缝隙。
2.2木桶底板是木桶能否容水的基础
2
一个完整的木桶,除了木桶中长板、短板,木桶还有底板。正是这谁也不太重视的底板,决定这只木桶能不能容水,能容多大重量的水。这只底板正是信息安全的基础,即企业的信息安全架构(Information Security Architecture)、制度建设和流程管理。对于多数企业而言,目前还没有整体的信息安全规划和建设,也没有制度和流程。信息安全还没有从整体上进行考虑,随意性相当强。这就需要对企业进行一次比较全面的安全评估,然后结合企业的业务需求和安全现状来做安全信息架构和安全建设框架,制订符合企业的安全制度和流程。
而在另外一些企业里,信息安全制度不是没有,也不是不完备,最大的问题在于执行不力。前段时间曾和国内运营商中负责信息安全的人聊到,目前在大型企业和运营商中,安全的最大问题是无法贯彻执行企业的安全和流程。所以一位在运营商负责安全的朋友说:“安全是一把手工程,只有得到领导的强有力支持,才可能把安全策略进行推广;安全是全民工程,只有全民参与,才能有效地贯彻安全策略和制度。”
据说华为公司目前开发了一套企业安全策略认证系统,在客户端联网之前进行安全策略检查,如果不符合企业的安全策略,则对该机器进行隔离;只有对符合企业策略的系统,才允许它联网使用。这样就能够强制用户执行企业安全策略。
2.3 木桶是否有缝隙是木桶能否容水的关键。
木桶能否有效地容水,除了需要坚实的底板外,还取决于木板之间的缝隙,这个却是大多数人不易看见的。对于一个安全防护体系而言,其不同产品之间的协作和联动有如木板之间的缝隙,通常为我们所忽视,但其危害却最深。安全产品之间的不协同工作有如木板之间的缝隙,将致使木桶不能容纳一滴水!如果此时,企业还把注意力放在最短的木板上,岂非缘木求鱼?
目前出现的SOC产品可以说是木桶的桶箍,它能把各种安全技术、安全产品、安全策略、安全措施等各种目标等箍在一起,共同形成一个坚实的木桶,保护里面的水资源。SOC包含安全事件收集、事件分析、状态监视、资产管理、配置管理、策略管理以及长期形成的知识中心,并通过流程优化、系统联动、事件管理等方式减少木板与木板之间的缝隙,协调各方面资源,最高效率地处理安全问题,保护整体安全。
3 网络安全存在的问题
3.1 网络安全存在的主要问题
3
安全应用技术需求不明,产业的技术推动性强,应用针对性不够;技术、产品紧跟美国商业趋势,国内安全需求得不到很好满足;产业结构失调,资源调配不当,缺乏竞争力;产品高度集中在网络周边防护和密码设备上,而身份识别和信息审计等产品相对较少;核心技术仍受制约,产业化水平较低,产品质量令人担忧。
3.2 网络安全防范措施 3.2.1 口令管理
各级系统管理员必须对口令严格保密,未经授权,不得将口令告诉任何人。各路由器、局域网交换机、代理服务器、服务器(如WWW、Email等)的超级用户口令应定期更换,口令长度至少六位,必须混用大小写字母、数字和特殊字符。口令装入信封密封,编号并进行登记后交由主管领导负责保管。特殊情况下经由主管领导同意,由使用人签字后才可拆封使用。口令登记记录应保存半年以上。服务器的用户管理由网络管理人员负责,严格控制系统管理员和应用系统管理员之外的人具备终端访问权限(Telnet),严格控制非信息制作人员具备文件访问权限(FTP),服务器上的普通用户口令每月修改一次,由该用户自行掌握。 3.2.2 权限管理
服务器的管理由网络管理员和服务器管理人员共同负责,根据服务器的用途及相关用户的工作职责及权定相应的安全策略。严格控制普通用户对服务器的透明操作(如对WWW服务器文件的管理应采用FTP方式,而不是一般的共享目录方式)。路由器、局域网交换机、防火墙的管理只能由网络管理员和经授权的人员进行。严禁其他人员随意关闭开启路由器、局域网交换机的电源,改变路由器、局域网交换机的连接方式及配置。统计信息网络和国家公众互联网的访问管理由网络管理员根据相关文件制定相应的策略。严禁下载无用文件,以防感染病毒。 3.2.3日志管理
操作日志,记录操作内容(包括添加及移除软件),具体格式由网络管理员统一制定。操作日志应保留半年。系统日志,每月备份一次服务器中的系统日志。系统日志应保存三个月。 3.2.4 系统升级
由网络管理员和相关人员组成网络安全技术小组。网络安全技术小组一旦发现安全漏洞,应迅速制定相应措施,并协调相关人员进行具体操作解决。具体情况及过程应作详细记录并存档。 3.2.5 网络日常监控
网络管理员应每天对路由器、局域网交换机、代理服务器、应用服务器(WWW、Email等)进行监控,并查看系统资源、网络连接、病毒入侵等。 3.2.6 系统的完整性检查
网络管理员应每周对网络的完整性进行检查。必须将服务器上含有机密数据的区域全部转换成NTFS格式;存储和读取网络上的任何数据皆须通过密码登录。经常运行NetWare提供的
4
“SECURITY”实用程序,找出网络系统中最薄弱的环节,检查并堵塞潜在漏洞。“SECURITY”能发现网络中的许多问题,诸如口令不保密、未指定用户口令、与管理员同等权限、在任何卷的根目录下都有访问、在标准目录中的权限超过了应有范围等问题。 3.2.7 正确设置文件属性,合理规范用户的访问权限。 3.2.8 工作不力安全问题
由于工作站是进入服务器的大门,加强工作站的安全管理能够提高整体网络的安全性。工作站(PC)的管理由具体使用者负责,禁止不相干人员未经授权使用。工作站上应加装防病毒软件,严格控制使用外来软盘、光盘,不安装非工作相关软件,日常重要数据应经常备份。 3.2.9 经常执行最新修补程序
微软公司内部有一组人力专门检查并修补安全漏洞,这些修补程序(补丁)通常被收集成service pack(服务包)发布,象NT的一些安全漏洞,在新的补丁程序中已经解决。一个服务包有时好几个月才发行一次,但只要有严重点的漏洞被发现,微软公司会定期将重要的修补程序发布在它的FTP站上,所以要经常留意最新修补程序,并按要求安装。切记,修补程序一定要按时间顺序来使用,若使用错乱的话,可能会导致一些文件的版本错误,甚者可造成Windows NT宕机。
3.2.10 加装防火墙,精心配置路由器
防火墙是网络规划中很重要的一部份,它是网络安全的第一道防线;而路由器的访问控制列表ACL是网络安全的第二道防线;它们能使一个局域网系统不受外界恶意破坏。因此,对网络防火墙和路由器要精心配置,反复核查,严格把关。
首先,不要公布非必要的IP地址。至少要有一个对外的IP地址,所有的网络通讯都必须经由此地址。如果还有DNS注册的Web服务器或是电子邮件服务器,这些IP地址也要穿过防火墙对外公布。但是,工作站和其他服务器的IP地址则必须隐藏。
还可以查看所有的通讯端口,确定不常用的端口已经悉数关闭。例如,TCP/IP port80是用于HTTP流量,因此不能堵掉这个端口,也许port81应该永远都用不着,所以就应该关掉。可以在网络上查到每个端口的详细用途,以便设置关闭。 3.2.11 安装病毒防火墙,定期作文件备份和病毒检测 安全评估
2004年已经过去了,在这一年里,网络安全是新威胁、新技术增多的一年,这一年中黑客、病毒、漏洞不断的出现造成很大的经济损失,同时也为我们的网络生活带了很大的不便之处。在宽带不断普及的情况下,电脑病毒现在的传播速度越来越快、危害范围越来越大。 如何能让我们在使用网络的过程中更加放心呢?这是所有网民期待的。
5
通过这篇《2004年网络安全年终点评文摘》,能让我们认清威胁存在的因素,只要我们在2005年里积极防范,就能将网络安全做的更好。 3.3专家点评1
无庸置疑,我们所能看到的,仅仅是冰山一角。技术进步加上道德感的缺失,骇客们开始看清自己要的东西。 拒绝服务攻击泛滥,我们所看到的拒绝服务已经不仅仅是一台或几台机器发起的了,攻击者们控制成百上千的僵尸电脑(Zombie),甚至由蠕虫来进行传播和攻击。DoS凭借它的便捷有效,吸引了大量热衷者,互联网上因此充斥这类垃圾流量。 3.4专家点评2
垃圾邮件与反垃圾邮件之间的斗争愈演愈烈,网民及各界人士对垃圾邮件造成的问题日益关注,网络服务商和邮件运营商们纷纷提出了自己的技术方案:雅虎的“DomainKeys”,它利用公/私钥加密技术为每个电子邮件地址生成一个唯一的签名,实现对邮件发送者的身份验证;微软的“电子邮票”有偿发送邮件方案;AOL正在试验一种名为“Sender permitted From”(SPF)的新电子邮件协议,禁止通过修改域名系统(DNS)伪造电子邮件地址„„
垃圾邮件发送者并不是坐以待毙,而是主动出击,对反垃圾邮件网站进行拒绝服务攻击。 绝的是Lycos,他们推出了一款屏保,当屏保启动时,便对垃圾邮件发送者的地址发送数据包,屏保的使用者越多,垃圾邮件服务器就越难过。但是„„还有更绝的,就是这款反垃圾邮件屏保,居然也遇上了李鬼:有一种病毒会伪装成个屏保,但该病毒会监测到击键过程以窃取密码和银行帐户资料等个人信息。
参考文献
1 网络安全年终点评文摘,电脑报,2004年
2 网络安全圈参链接,http://news.xinhuanet.com/world/2004-10/21ent_2120490.htm,2004年 3 桑任松,网络安全防范措施,2005年 4 吴迎琴,网络安全存在的问题,2006年
6
河北师范大学附属民族学院学生毕业论文评议书
姓 名 论 文 题 目 网络的发展和技术的提高给网络安全带来了很大的冲击,Internet的安全成了新论 文 内 容 摘 要 信息安全的热点,针对计算机网络系统存在的安全性和可靠性问题,本文从网络安全的重要性、网络安全的理论知识、解决措施以及安全评估等方面提出一些见解,并且进行了详细阐述,以使广大用户在计算机网络方面增强安全防范意识。除了常规的拒绝服务攻击、DoS讹诈之外,我们面临的各种有意无意的DoS越来越多,例如,邮件蠕虫发送邮件,产生的大量DNS查询报文,对DNS服务器产生事实上的DoS等等,事件日渐频发。 郝保 系别 数信科学系 专业 计算机教育 班级 05专5班 网络安全问题及其对策 完成时间 2007-4-28 概念清晰易懂,阐述详细透彻,理论与应用紧密相结合,是一部反映当今宽带网络安全这一领域发展和研究水平的难得的佳作。论文的选题很好,有创意。结构指 导 教 师 评 语 合理,内容丰富,语言比较流畅。从内容看,作者对原著比较了解,也收集到了相关的资料,但仅限于资料的罗列,如何通过分析资料得出自己的结论这是论文写作应达到的目的,而恰恰在这一点上,作者所下的准备还欠佳。所得合理,数据资料充分,分析方法先进,写作进度安排合理,结论和建议具有区域现实意义,建议推荐为校级优秀毕业论文。 年 月 日 指 导 教 师
桂洁 职称 辅导员 初评成绩 7
