防御策略(精选十篇)
防御策略(精选十篇)
防御策略 篇1
ARP协议是TCP/IP网络中常用的协议之一, 其功能是将主机的IP地址转换为物理地址。但是由于协议的特点以及本身的一些漏洞, 近些年在局域网中针对ARP协议所产生的网络攻击问题层出不穷, 给网络管理者在网络运维工作上带来了不小麻烦。如何通过技术手段有效地控制ARP攻击在网络中的蔓延, 是网络管理者所必需面对的课题。在采取防御策略之前我们有必要从ARP协议的特点出发, 深入了解ARP协议的工作流程以及针对该协议的攻击方式, 这样才能有效地采取相应的技术手段来防御各种类型的ARP攻击行为。
2 ARP协议的特点
2.1 什么是ARP协议
ARP, Address Resolution Protocol即地址解析协议, 实现通过网络主机IP地址得知其物理地址。在IPV4网络环境下, 每个主机都分配了一个32位的IP地址, 这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送, 必须知道对方目的主机的物理地址。这就需要像ARP协议这样一种将IP地址转换为物理地址的机制来实现。
2.2 ARP协议的工作原理
在局域网中, ARP协议的工作流程有以下几个步骤:
(1) 每台主机或路由器都有一个ARP缓存表, 用来保存IP地址与MAC地址的对应关系。
(2) 以主机A向主机B发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了。
(3) 如果在ARP缓存表中没有找到目标IP地址, 主机A就会在网络上发送一个广播ARP request, 请求包中包含了A主机的IP地址和MAC地址。
(4) 网络上其他主机并不响应ARP询问, 直接丢弃, 只有主机B接收到这个帧时, 才以单播方式向主机A做出回应ARP reply, 并带上自己的IP和MAC地址, 而B主机收到A的请求包时也会将A主机的IP与MAC对应关系保存在自己的缓存区。
(5) A收到B的回应包后便可得知B的MAC地址, 将其存入ARP缓存。此后A再向B发送数据时, 就可以直接从缓存表中查找B的地址了, 然后直接把数据发送给B。
(6) 由于B在接收A的请求时也保存了A的地址信息, 因此B要向A发送数据也可以直接从缓存表中查找。
ARP协议的工作流程如图1所示:
可以看到, ARP的这种工作方式在局域网中在反复不变地运转着, 正是因为ARP协议的工作原理, 使得网络攻击者有机可乘, 他们通过伪造ARP表项、发送免费ARP信息等方式实现网络欺骗和攻击, 下面就针对常见的ARP协议攻击方式进行详细的分析。
3 常见的ARP协议攻击方式分析
3.1 ARP欺骗攻击
ARP欺骗攻击是近些年来局域网常见的网络攻击行为, 也就是我们常说的伪造网关攻击。用户电脑在进行网页浏览或下载文件时很容易感染ARP病毒, 成为ARP宿主机, 而整个ARP欺骗的过程是宿主机收到ARP Request广播包, 能够偷听到其它电脑的 (IP, MAC) 地址, 宿主机就伪装为A, 告诉B (受害者) 一个假地址, 使得B在发送给A的数据包都被宿主机截取, 而A, B浑然不知。
ARP欺骗攻击对于局域网的危害是极大的, 攻击者常把此方法用作网络帐号盗取的手段, 造成用户个人信息或网络帐号被盗用等严重后果。
3.2 ARP扫描攻击
另外一种通过ARP协议攻击的行为叫做ARP扫描攻击, 也称MAC地址泛洪攻击, 也是局域网常见的网络攻击行为。其原理也是通过构造非法的ARP报文, 修改报文中的源IP地址与源MAC地址, 不同于ARP欺骗攻击在于后者用自己的MAC地址进行欺骗, 而ARP扫描攻击则通过网络扫描的方式大量发送虚假的ARP报文, 形成网络拥塞甚至瘫痪。
在局域网中多种原因可以造成ARP扫描攻击, 其中最常见的是一些带有ARP扫描功能的“网管”软件所造成的人为扫描攻击, 目前知道的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等, 这些软件中, 有些是人为手工操作来破坏网络的, 有些是作为病毒或者木马出现, 使用者可能根本不知道它的存在, 所以更加扩大了ARP攻击的杀伤力。其目的是试图控制他人带宽或盗取用户信息等行为。同样, ARP扫描攻击对于局域网安全的威胁也是巨大的, 可造成大面积网络瘫痪以及用户信息被盗取等严重后果。
4 解决ARP协议攻击的策略
在分析了ARP协议的特点以及攻击方式之后, 我们便可以从源头出发, 找到问题的关键所在, 运用不同的技术手段来解决不同类型的ARP攻击问题, 以下具体策略:
4.1 解决ARP欺骗攻击的策略
解决ARP欺骗攻击的关键在于对接入层网络设备ARP表项的保护, 其原理是启用一种智能ARP表项的绑定机制, 并在接受ARP报文的过程中动态地检测相应的ARP绑定表, 来判断报文是否合法。下面是我单位网络设备的具体实施:
在局域网的接入交换机上通过开启DHCP嗅探, 同时进行IP、MAC对应的校验可以有效地控制DHCP欺骗和ARP欺骗的攻击行为, 配置步骤如下:
(1) 全局模式下:ip dhcp snooping//开启DHCP嗅探;
(2) 普通接入端口下:ip verify source port-security//开启端口安全功能;
(3) 普通接入端口下:arp-check//进行IP-MAC的对应校验, 以dhcp snooping获取的对应关系为参考, 防止arp地址欺骗行为;
(4) 上联端口下:ip dhcp snooping trust//开启snooping信任端口, 只有上联端口才能通过dhcp offer的报文, 预防私设DHCP服务器的问题。
4.2 解决MAC地址泛洪攻击的策略
解决ARP扫描攻击的关键在于控制网络设备ARP报文处理阈值。有两种控制ARP报文的方式, 即:基于端口的ARP扫描和基于IP的ARP扫描。基于端口的扫描会计算一段时间内从某个端口接收到的ARP报文的数量, 若超过了预先设定的阈值, 则将此端口列为问题主机所在端口, 并关闭掉此端口;基于IP的扫描则计算一段时间内从网段内某IP收到的ARP报文的数量, 若超过了预先设置的阈值, 则将此IP列为问题主机IP, 禁止来自此IP的任何流量, 而不是关闭与此IP相连的端口。此两种防MAC地址泛洪功能可以同时启用。端口或IP被禁掉后, 可以通过自动恢复功能自动恢复其状态。以下是我单位网络设备具体配置步骤:
(1) 全局模式下:anti-arpscan enable//开启arp扫描功能;
(2) 全局模式下:anti-arpscan port-based threshold 50//基于端口的ARP扫描, 扫描速率阈值设为每秒50个;
(3) 全局模式下:anti-arpscan ip-based threshold 20//基于IP地址的ARP扫描, 扫描速率阈值设为每秒20个;
(4) 全局模式下:anti-arpscan recovery time 300//设置扫描恢复时间为300秒;
(5) 上联端口下:anti-arpscan trust supertrust-port//设置交换机的上联端口为ARP扫描的信任端口。
通过以上的技术手段, 可以有效控制基于ARP协议的两种常见攻击行为, 并保证ARP协议在网络中能够正常工作。
5 总结
一个安全稳定的局域网环境对于我们日常的工作与生活是非常重要的, 作为单位网络管理人员, 应当掌握像ARP协议攻击这些常见网络攻击行为的特点和原理, 从而通过相应的技术手段来确保网络的安全, 为广大网络用户创建一个稳定可靠的网络环境。
摘要:ARP (地址解析) 协议是TCP/IP网络中常用的网络协议之一。其功能是根据主机IP地址获取其物理地址。然而由于协议的特点, 基于ARP的攻击也是常见的局域网攻击手段, 给网络带来严重的安全隐患。本文结合ARP协议的特点, 分析了常见的ARP协议攻击方式, 并按攻击方式的类别, 给出了不同的解决策略。
关键词:局域网,网络安全,IP地址,MAC地址,ARP欺骗,ARP扫描
参考文献
[1]黄河.计算机网络安全:协议、技术与应用[M].北京:清华大学出版社, 2008.
[2]蔡永泉.计算机网络安全[M].北京:北京航空航天大学出版社, 2006.
[3]沙桂兰.浅谈校园网络安全控制策略[J].电脑知识与技术, 2007.
[4]袁浩, 张金荣, 刘晓辉.Internet接入网络安全[M].北京:电子工业出版社, 2011.
[5]W.Richard Stevens.TCP/IP详解卷1:协议[M].机械工业出版社, 2014.
计算机网络防御策略论文 篇2
制定计算机网络防御策略,需要根据计算机信息系统及计算机的网络环境进行防御措施的规划。
对于网络攻击,计算机网络防御需要及时进行补救。
计算机系统随着所处的网络环境的复杂性加大,计算机网络防御策略也就愈加繁杂起来。
因为人工进行防御措施的设置比较麻烦,而且效率也会很低,所以需要借助计算机做出有效的防御策略设置。
当前,进行网络防御的关键与核心,是计算机的防御策略。
计算机网络防御策略是进行信息的保护以及网络安全的维护。
而且如今处于信息高速发展的时期,网络安全事件频频发生。
这是由于还没构成具体的措施的实行体制,所以,迫切需要对计算机网络防御策略进行探讨。
通过进行计算机网络防御策略的模型的分析,是有效保障网络系统的安全性和可靠性的重要举措。
2计算机网络安全现状及面临的威胁
当前计算机的安全性还是需要改进的,其主要面临的威胁有计算机病毒、计算机系统漏洞、未授权访问、恶意攻击、以及管理因素带来的问题。
计算机网络技术是一把双刃剑,能给人们生活带来便利的同时频发的网络事件对人们的工作和生活也造成了一定的负面影响。
计算机的病毒是对其他服务器和用户进行感染,通过电子邮件、文件共享、通信工具等方式实现的。
计算机病毒不但影响网络的正常运行,甚至可导致网络瘫痪,其手段是对感染用户大量发送垃圾信息等干扰正常使用。
未授权访问是局域网各个信息用户在一般情况下是可以进入的,但是不运用保密措施,则会导致一些机密信息泄密。
未授权访问出现问题,则会对信息产生不可估量的损失。
策略从防御走向进攻 篇3
当然,一部分股票的估值似乎已经不便宜,尤其是机构投资者普遍看好的白酒股和医药股,看似有业绩的支撑,但股价却也不便宜。以贵州茅台为例,目前市值已经达到4000亿元,除了公司毛利率在过去几年缓慢下滑以外,过去三年公司的收入与净利润增速也在放缓,尽管公司2015年经营性现金流增长较快,达到了174亿元,似乎意味着业绩拐点已经来临,预计在2016年公司业绩存在释放的可能性,但目前市现率已经高达23倍,价格的安全边际已经远不够。
片仔癀也是机构投资者扎堆的防御型股票,但公司业绩一直没有大的亮点,毛利率出现持续的下滑,最近公司有提高了单品售价,但似乎过去依赖的通过提高单位售价来提升收入增速的模式也已遇到瓶颈。公司经营性现金流净额仅3个亿,但市值已经接近300亿元,尽管2015年公司收入出现了一定的恢复性增长,但净利润增速并没有明显提高,主要是毛利率下降较快导致的。这些知名的消费股在资本市场却大受欢迎,最近三个月的涨幅已经远超大盘指数,目前来看并不值得跟风买入,更可能高位套牢。
从今年市场的炒作惯性来看,似乎有望回归2011年、2012年熟悉的“喝酒吃药”的行情。防御型的策略似乎变成了资本市场主流的投资策略之一,但实际上这种防御型策略很难有真的业绩爆发点,更像是熊市的抱团取暖的模式。
与其继续保持抱团的风格,不如主动逆向创造新的投资思维,比如我们今年一直看好的供给侧改革热点板块,包括国企改革和供给侧改革的双重驱动的板块,主要指煤炭有色。过去几个月煤炭价格的重新上涨预示着供给侧改革的效果已经显现。同时,大宗商品价格的不断提升也帮助BDI船运价格复苏,这两个重要的信号预示着行情有望进一步延续反弹结构。
市场担忧的无非是企业业绩没有提升的过程中,股价被炒上去了。但煤炭有色股票的基本面其实已经有所变化,最基础的原材料价格上涨就是基本面的核心改变因素。所以,这种受益于供给侧改革带来基本面驱动的困境反转型股票是今年市场值得重点留意的板块和行业。
而国企改革亦是今年需要重点关注的品种,包括地方政府和央企平台中仍有很有优质资产会注入到现有的国企上市公司当中,这种质的变化也是对上市公司股价的最大诱因。同时,国企间的兼并收购和做大做强也是目前国企股价格走强的外在驱动力。所以,这两方面的因素都需要进一步加强研究和关注。
从今年三季度的行情演绎来看,市场正从前期防御型策略走向周期股业绩复苏行情,防御型策略的业绩弹性不够大,所以股价的弹性往往透支了业绩的复苏增长,但周期股的业绩弹性够大,尤其是供给侧改革带来了大宗商品价格的上涨,经营杠杆较大的周期品股价弹性也大,所以,三季度,尤其是7、8月份仍有周期股带来的趋势性行情。这种系统性或者趋势性的行情其实就是今年A股参与者的最大机会。
防御策略求精关键技术研究 篇4
随着计算机网络的发展其应用日益广泛,计算机网络面临的安全威胁越来越多,网络安全管理需求随之增强。从目前看,计算机网络安全面临的安全威胁主要来自两方面。一个是网络攻击行为日益复杂,利用系统漏洞、病毒、用户疏漏等进行网络攻击已经屡见不鲜,各种手段相互融合,新型攻击手段不断涌现;另一个是网络攻击目标日益广泛,网络基础设施、网络端点等所有可能影响系统应用的都能成为网络攻击的目标。对此,急需构建一套安全、先进、有效的计算机网络防御体系,进一步提高网络安全管理水平,以确保计算机系统安全。为此,有必要进行计算机网络防御策略求精关键技术研究,以促进计算机网络防御效果的提高。
1计算机网络安全现状分析
计算机网络安全问题是伴随着信息技术发展而出现的,在计算机广泛应用的当下,网络安全管理在人类社会进步与发展中的作用日益重要。信息技术革命给人们工作与生活带来方便的同时也使得人们处于一个更易受到攻击的境地,最为突出的就是个人隐私的保密性问题,传统的网络安全技术和措施已经难以保证信息安全与计算机系统安全。由于计算机网络所具有的开放性、共享性、互连性,网络上的信息安全先天就存在不足,加之缺乏严格的系统管理,防火墙的脆弱性,造成计算机网络易受攻击。
现阶段,计算机网络攻击手段越来越复杂,各种方法相互融合,加大了方案安全防御难度。而且,随着手机、掌上电脑的广泛应用,这些无线终端网络也成为了网络攻击对象。从攻击目标看,已经不再是单纯的追求“荣耀感”,有着更多的实际利益,所以攻击行为的组织性更强,恶意网站、间谍程度、网络木马等日益泛滥。面对如此严峻的网络安全形势,应加强网络安全防御, 研究安全防御策略求精方法,提高计算机网络安全管理水平。
2计算机网络防御策略求精
2.1计算机网络防御策略
计算机网络防御策略是分层次的,多方面的,涉及的防御手段广泛。从层次上看,计算机网络安全防御策略有高层策略、低层策略、操作层策略;从网络防御上看,计算机网络安全防御策略有防护策略、检测策略、响应策略、恢复策略;从防御手段上看,计算机网络安全防御策略的技术方法有控制访问、杀毒软件、 入侵检测、防火墙、数字签名、文件加密、漏洞检测、网络监控等。为了保护网络信息的机密性、可用性、完整性,需要构建多层次、多元化的计算机网络安全防御策略体系,形成一个完善的网络安全防御体系,以确保计算机网络信息与系统运行安全。
2.2计算机网络防御策略求精
基于防御策略的网络安全防护是当前计算机安全管理的有效手段,也是计算机网络安全技术的主要发展方向。事实上,计算机网络防御策略求精就是把网络拓扑信息和求精规则有机结合起来,并能够将高层防御策略进行转换操作层防御策略的过程。这过程中要遵守相应的求精规则,采用适宜的求精方法,使网络信息精益化发展,使高层防御策略更具操作性,以进一步提高计算机网络防御效果。在计算机网络安全防护上,高层防御策略能根据安全需求的变化而不断的调整,使操作层的网络防御有更好的效果,确保计算机系统运行安全,从这一点看,高层防御是计算机网络防御策略求精关键技术的重点,可以把高层防御策略求精放在重点位置上。
3计算机网络防御策略求精关键技术
3.1计算机网络防策略模型
利用三维模型方式表示计算机网络防御策略模型,如图1所示。从数学模型角度看,这一模型由x、z、y三个轴组成,x轴表示计算机的安全特性,y轴表示计算机的应用层,具体有表示层、回话层、传输层、网络层、数据链路层、物理层,z表示计算机的物理环境,主要涉及安全管理、通信网络、信息处理。从图1中可以看出来,系统思想、方式技术、网络知识是计算机网络防御策略模型构建时的重要支撑,思想与技术的结合,知识体系与防御策略的统一,既有利于完善计算机安全机制,提高计算机网络防御效果,又能提升计算机系统运行、数据库的性能,促进计算机系统在工程领域中的应用,对计算机发展及应用的意义重大。
计算机网络防御策略是计算机网络安全管理的最重要手段, 计算机网络防御策略模型自然是计算机安全体系的核心,它的建立能充分提高网络安全防御效果。所以,在计算机网络防御策略求精时要重视防御模型的建立,并在建立时进行全面的考虑,使计算机网络防御策略得到进一步完善,以发挥防御模型在网络防御策略求精中技术中的作用。
3.2计算机网络防御策略求精方法
进行计算机网络防御策略求精,求精方法的选用尤为重要。 目前,我国在计算机网络防御策略求精上主要有四种典型的求精方法。一是基于目标分解的策略求精方法,利用形式化的技术分解时态逻辑表达的目标,然后利用事件演算表达子目标的系统行为序列,最后用溯因推理来获取完成高层目标的行为序列,完成防御策略的求精。这一过程是较为复杂的,通常需要人工参与; 二是基于模型的策略求精方法,把策略分为事务策略、服务策略、 行为策略、操作策略,然后给出图形化转换规则,利用图形化构建策略求精模型,自动获取执行层策略规则;三是基于实体的求精方法,先建立高低层的安全策略实体,然后定义推理规则,通过实体的推理机获取低层的策略;四是基于规则的求精方法,先用形式化的语言表达高层策,然后定义求精规则,把高层策略自动转化为低层策略,从而完成防御策略的求精。
以上几种策略求精方法,多是访问控制、安全策略方面的求精,高层策略的抽象层次不高,且不是针对网络防御中保护、检测、响应、恢复策略的求精方法。基于这样一种情况,下面基于CNDPR模型提出了针对网络防御中保护(访问控制,保密通信, 用户身份验证,备份)、检测(入侵检测,漏洞检测)、响应(重启)、恢复策略(重建,补丁安装)的求精方法。
求精过程中,先用CNDPR模型对计算机网络防御策略求精改变进行具象化处理,然后生成操作层的防御策略,根据防御设备和节点信息把操作层防御策略的参数转化成为计算机设备能够执行的策略规则,进而达到网络防御效果。采用这一策略求精方法,可得到访问控制、用户身份验证、备份、保密通信、入侵检测、漏洞检测、关机、重启、补丁安装等操作层防御策略,不再局限于访问控制策略求精。
3.3计算机网络防御策略求精关键技术的完善
从计算机网络安全现状中可以看出,系统漏洞、病毒是威胁计算机网络安全的两个主要因素,为加强系统漏洞、病毒上的防御,应进一步完善入侵检测技术和补丁安全技术。
首先,强化防火墙等安全服务器的设置,避免不明站点的访问, 降低计算机网络的潜在威胁;其次,完善反病毒技术,防止病毒入侵;然后,设置访问权限,能降低入侵问题;最后,部署好补丁安装策略,及时修补系统漏洞,不为网络攻击留下入侵的“窗口”。
4结束语
关于扒窃犯罪的特殊性及防御策略 篇5
扒窃是盗窃行为的一种,它一般指的是在公众场所中,趁人不注意盗窃他人随身携带财物的行为。在熙熙攘攘的市场,繁华的街头,拥挤的公共汽车上,“摸包贼”的身影频频出现,这类多发性犯罪严重影响安定的社会生活秩序。此类行为屡禁不止,究其原因除“扒窃”犯罪本身的特殊性外,防治措施不力,也
给打击此类犯罪带来了许多困难。本文将结合司法实践,对防、治“扒窃”犯罪提出建议,以供商榷。
一、“扒窃”犯罪的特殊性
1、社会危害性较大。扒窃作案现场一般在公众场所,发案后社会影响大于一般的秘密窃取行为。因此,我国《最高人民法院关于审理盗窃案件具体应用法律若干问题的解释》中规定:对于1年内入户盗窃或者在公共场所扒窃3次以上的,应当认定为“多次盗窃”,以盗窃罪定罪处罚。此解释将扒窃和入户盗窃相提并论,可见,其社会危害性较大,应受处罚性更严格。
2、“秘密窃取”的相对性。一般的盗窃行为都是趁人不备,采取秘密的方式窃取他人财物,此处的他人指的是犯罪以外的人。“扒窃”行为的秘密性,相对的仅是被害人,对于其他人,而往往是公开的。虽然扒窃者内心希望越少的人知道越好,但其在公众场所的“扒窃”应是在众目睽睽之下进行的,除被害人外的旁观者熟视无睹,客观上又纵容了行为人的肆无忌掸,对破案及打击犯罪增加了一定的难度。
3、侦破难度大。扒窃行为实施时间极短,作案地点人多嘲杂,且不会留下明显犯罪痕迹,加之证人流动,被害人未及时报案等因素,侦破此类案件难度较大。特别对于扒窃现金等无明显特征的财物行为,在固定证据、有效的指控犯罪及认定既遂还是未遂上容易产生认识分歧,打击不力。
4、刑法处理“扒窃”犯罪的局限性。认定盗窃行为构成犯罪,一种方式是达到犯罪数额,另一种方式是达到刑法及司法解释规定的盗窃次数。对于扒窃行为,其一次扒窃数额往往达不到盗窃犯罪的追诉标准,而将每次的扒窃数额相加则是有条件的。《最高人民法院关于审理盗窃案件具体应用法律若干问题的解释》中规定:多次盗窃构成犯罪,依法应当追诉的,或者最后一次盗窃构成犯罪,前次盗窃行为在1年以内的,应当累计其盗窃数额。此处的多次盗窃指的1年内入户盗窃或者在公共场所扒窃3次以上的。现实当中,公安机关对于捉获的扒窃者,往往没有固定有关资料,最终很难以扒窃次数将扒窃者移送审查起诉。因此,这给有效的打击“扒窃”犯罪带来很大的局限性。
二、打击“扒窃”犯罪的一些建议
1、追诉标准可以比较一般盗窃罪的适当降低。扒窃者在众目睽睽之下窃取他人财物,有的在失主发现后公然使用暴力。这些说明作案者的主观恶意比一般的盗窃者更大,因此,可以降低追诉金额,以有利的打击此类犯罪。
2、在认定既遂还是未遂上应统一认识,将要求降低,譬如采取失控说。现在一般理论上认为,认定盗窃罪的既遂应采取“失控 控制说”。但是对于扒窃犯罪,此理论显得过于放纵犯罪。对于扒窃犯罪,如果不是当场捉获,只要作案者矢口否认犯罪事实,在证据的固定上是很难的。而对于当场捉获的犯罪,如果按照“失控 控制说”,则往往认定为未遂。因此,有必要进一步对“扒窃”犯罪的既遂标准形成统一的认识。
3、法院在判决此类扒窃案件时,可以比较一般盗窃罪从重处罚,判处有期刑。
4、公安机关对此类作案者应加强档案记录和相互联系,加大打击力度。
5、在一些案件多发地带有必要增加一些监控录像设施,以有利于固定此类犯罪的证据。
“扒窃”犯罪有其特殊性,相对于越来越多的扒窃犯罪,可以说打击此类犯罪任重而道远。
计算机网络防御策略描述语言初探 篇6
【关键词】计算机;网络防御;策略;描述语言
计算机网络安全所指的是凡是涉及网络信息完整性、保密性、真实性、可靠性、可用性及抗抵赖性等相关技术及理论均是网络安全要研究的领域,从本质上讲网络安全即是网络信息安全,尽管网络安全已经被信息社会各领域重视了,可因为计算机网络本身就存在着一些潜在威胁因素,这就让计算机网络容易受到病毒、黑客、恶意软件及其它不轨意图行为等的攻击,为了确保计算机网络的安全及可靠,计算机内就需要一种较为强大的网络防御策略来保护自身的网络安全。
一、计算机网络安全漏洞及攻击分析
由于计算机网络自身因素所造成的安全漏洞,主要有三个方面的因素,一是网络结构不安全性,Internet是种网络与网络间的技术,主要有主机和自治系统所连接成的庞大网络,在两台主机进行端与端通信的时候,相互传输的数据流一定会通过许多主机进行发送,这样的话就给那些攻击者带来了便利,当他有一台数据流传输中的主机,对用户的数据包进行挟持就易如反掌了。二是TCP/IP体系间的脆弱性,在上个世纪的70年代,当美国的国防部制定有关DARPA计划时,并沒有想到会在全球范围内使用,因此,TCP/IP协议所考虑的网络安全性并不是很多,而且TCP/IP协议是开放的,当有人对这个协议很熟悉的时候,就有可能运用其安全缺陷实施网络攻击。三是计算机用户的安全意识较为缺乏,尽管在网络中设置了较多的安全壁垒保护屏障,可人们的安全意识普遍不强,这些保护措施很多时候形同虚设,像用户口令的选择不够谨慎,以及打开了来历不明E-mail,这些都会给网络带来安全隐患,有些人为了避开有关防火墙的代理服务器额外认证,就会直接进行PPP连接,这样也就避开了防火墙保护,还有些人是直接进行浏览器页面的关闭,这些操作均给病毒及黑客入侵带来了便利。现在的攻击行为主要是运用计算机网络自身存在缺陷或者安全配置不恰当造成了安全漏洞来实施计算机网络攻击的,其攻击程度与攻击者采用的攻击手段及攻击思路不同而有着不同,但这些都给计算机的网络安全带来了较大的隐患。
二、有关计算机网络的防御策略描述语言
1.CNDPSL概述
计算机网络的防御策略所指的是为了实现特定安全目标,其网络及信息系统依据一定条件来选择防御措施规则,进行计算机防御就需要大量措施应对各种网络攻击,用人工配置的方法是比较复杂、低效及易错的,运用网络防御策略能够实现措施的正确、高效及自动化的部署并且能够让系统具有灵活性及可伸缩性的特点,这种策略具有较多的优点,已经被广泛应用在网络防御中了,并且是网络防御核心,其检测、保护及响应均是依据策略进行实施的,这种思想也被称为PPDR模型思想,可由于这种模型的策略粒度有些太大,沒有办法实现基于策略防御,依据这个先天不足,策略树把防御策略表示成了目标/措施的形式,可并沒有实施机制,并且兼容性不是很好,层次也不是很清楚的问题。而计算机网络防御策略描述语言简称为CNDPSL,它所面向的是计算机网络防御策略模型(CNDPM),能够统一地对检测、保护及响应策略进行描述,并能够把抽象策略细化成具体的规则,还能够以形式化方法来验证策略一致性、完备性及有效性。对于计算机网络防御策略描述语言(CNDPSL)来说,它是一种声明式的语言,对网络防御控制行为进行了抽象,而且对网络防御的需求具有比较好的适应性、灵活性及可扩展性,通过实验表明,这种描述语言能够将抽象的策略自动地转为具体技术规则,且实现表达防御效能。在CNDPSL设计中,需要满足下列要求,一是语法简洁直观,能够抽象网络防御控制行为,并且能够细化成有效及可实施防御的规则。二是能够表示访问控制领域策略,也能够对保密等其他保护策略进行描述,并控制响应及检测规则配置。
2.计算机网络防御策略模型描述
这里的防御策略模型代表是依据RBAC模型及组织机构访问控制的模型Or-BAC,前者仅是把主体抽象成了角色,并沒有对权限给予抽象,后者则对客体、主体及动作等都给予了抽象,但它们仅是一些框架及概念,并沒有进行实际的应用防御,而CNDPM是在Or-BAC的基础上进行了扩展,引入了措施概念,把策略及具体规则统一成了元组形式,把Or-BAC中有关规则及策略的8个谓词进行了去除,且给出了推导规则,概念间的关系进行了简化,把剩下的七个多元谓词进行演变成了一个四元谓词及九个二元谓词,从而对应成了十种关系。同时引入了特性的定义机制,把视图、角色及活动自动地分配给了客体、主体及动作。并将策略结构转化为了6元组,Policey:
3.防御策略性质
计算机网络防御策略性质主要包括有效性、完备性及一致性。有效性所指的是当任何策略预期风险均在可接受范围之内时,这个策略集就能够被称之为有效的了。策略的有效性是依据上限值及评估函数进行决定的,当给定一个风险后,就应该选取合适策略,把威胁限制在能够接受的范围内。完备性所指的是任何组织及任何一个事件至少应该对应一条策略,那么称这个策略集为完备的,它所表示的在任意攻击事件中,都可以在策略集里找到响应及检测策略,有些已知攻击响应策略可能并沒有定义,依据这种情况,可在每个组织中,定义出一条缺省的策略来实现策略集完备性,这样对于未知的攻击就会存在着漏检情况,仅有当未知的攻击转变成了已知攻击的时候,才能进行相关检测及响应策略扩展。当两条策略组织及上下文相同的时候,并且视图、角色及活动都存在交集的时候,采用了相冲突措施,像许可和禁止,这时策略集出现了不一致现象,而检测一致性所指的是在某个策略集中,任意两条不同策略,其组织不同、上下文不同、视图不重叠、角色不重叠或者活动沒有重叠,那么这个策略集就是一致的。
三、CNDPSL设计及实施机制
CNDPSL是依据CNDPM模型而实现的一种策略描述语言,把计算机网络防御策略所涉及的内容按照语言描述了出来,并给出了EBNF的范式,且通过仿真来验证该语言是否有效,为攻防模拟的演练给予了支持。CNDPSL所需要描述的内容主要有组织机构、角色、策略、活动、视图、定义、上下文、措施声明、分配和继承关系等,其中,组织结构为CNDPM模型核心的概念,并运用搜索网络配置来设定目录服务器同名域的建立,这些内容有效地反映了有关CNDPM的思想。在计算机攻防的模拟演练之中,人机交互命令或者CNDPSL格式策略文件,通过策略引擎及防御策略的信息库进行交互处理,并转化成相应CNDDL的防御命令,再通过RT1传送至GTNetS仿真联邦成员中,且有CNDDL解释器把命令转成防御动作,完成了对防御策略部署。其执行系统总体设计主要包括策略引擎及防御策略的信息库。防御策略的信息库主要是通过1dap来存储策略需要的实体关系及实体信息。其引擎具体工作原理为:先对模块进行解析,主要是通过Yacc和Lex对CNDPSL的语法、词法及语义进行分析,并从信息库里读出策略描述需要的客体、主体及动作,且存入防御策略的信息库里,接着依照模型推导规则将模块的防御策略映射成相应规则,并由分发模块对防御策略信息库查找,且把规则分发到相应防御节点上,最终转化成了CNDDL的防御命令。其中,访问允许策略定要递归地在每个父组织防御节点上部署,这是由于数据包必定经过所有防火墙。
四、结束语
CNDPSL作为一种计算机防御策略描述语言,能够在很多环境中,对计算机网络的防御措施给予选择,随着新防御措施的出现,仅需要将措施集里加入相应描述就可以被策略发现及选择了,而防御策略图形化界面的提供,必将进一步加强计算机网络防御的功能及可操作性。
参考文献:
[1]杨鹏,杨帆.一种计算机网络防御策略描述语言[J].硅谷,2011(13).
[2]吴凤刚.计算机网络的防御技术研究[J].中国新技术新产品,2010(11).
[3]夏春和,魏玉娣,李肖坚,王海泉,何巍.计算机网络防御策略描述语言研究[J].计算机研究与发展,2009(01).
[4]于晶.浅析计算机的网络安全及攻击的防御措施[J].电脑知识与技术,2009(18).
校园网安全防御策略 篇7
校园网络是互联网络的有机组成部分, 同时又是师生员工教学、科研、管理、服务、文化娱乐等服务的特殊支撑平台, 各种各样的应用软件在校园网中广泛使用。而Windows系统本身存在很多的系统安全漏洞, 被广泛使用的FTP服务器也存在严重的缓冲区溢出漏洞。因此, 校园网络运行中普遍存在计算机病毒、网络蠕虫、黑客攻击、垃圾邮件、不健康内容传播、非法的访问等各种安全问题。
校园网络既是学习研究平台, 又是大学文化建设的窗口。学生对新技术有好奇、好学的心理, 在校园网上测试、使用各种各样的网络安全技术和工具 (扫描工具、系统漏洞探测工具) , 这些都严重影响着校园网络的安全;学生正处于成长期, 不健康内容 (色情的、反动的) 也会对他们的成长产生不利的影响;校园网提供各种服务, 而提供服务的部门安全意识不统一, 各种服务器自身存在安全威胁;教师、学生与外界频繁的Email联系, 使得垃圾邮件非常多 (甚至有90%是垃圾邮件) , 这些也加剧了校园网的安全威胁。
2 校园网络安全防御体系与关键设备技术
2.1 校园网络安全防御体系
校园网络中安全产品和技术一般都会涉及到诸如防火墙、入侵检测系统、物理网络隔离、数据备份及网络防病毒等相关内容, 典型的一般安全防御体系如图1所示。
校园网络安全一般安全部署中的安全防御与应急措施是基于网络分层体系结构, 其所采用的不同相关技术与设备如下:
物理层与数据链路层:设备备份、数据备份、服务备份、VLAN划分等;
网络层:防火墙、入侵检测系统 (IDS) 、内网包过滤等;
传输层:IP和MAC地址绑定等;
应用层:日志审计、身份认证、网络防病毒、垃圾邮件过滤等。
2.2 校园网络安全防御关键设备及技术
2.2.1 防火墙及技术
功能:为网络通信、数据传输提供更有保障的安全性。
分类:状态检测防火墙 (动态检查网络连接和包) 、应用程序代理防火墙 (与特定应用程序配合使用) 。
性能:最大带宽、并发连接数、每秒新增连接数、丢包 和延迟以及自身安全性。
产品:Juniper的NetScreen、Cisco的Pix、天融信防火墙、天网防火墙。
2.2.2 入侵检测与防御及技术
功能:及时发现网络异常行为, 并阻止其进一步发展。
检测技术:基于误用检测技术 (检测与异常规则相匹配的网络行为) 、基于异常检测技术 (检测偏离了正常规则的网络行为) 。
核心技术:模式匹配、基于统计方法、预测模式生成等。
性能:降低误报率、漏报率。
产品:CA的Intrusion Detection, 启明星辰的天阗IDS等。
2.2.3 防病毒及技术
功能:及时发现病毒并清除, 阻止病毒进一步传播、扩散。
核心技术:特征代码匹配、病毒特征自动发现、启发式搜索等。
产品:Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。
2.2.4 反垃圾邮件及技术
功能:过滤、阻止大量的非正常的电子邮件。
反垃圾邮件机理:IP地址、域名、邮件地址黑白名单方式;基于垃圾邮件行为模式识别模型;Domainkeys方式;基于PKI的方式对邮件发送者进行验证, 对邮件信息进行加密保护, 对收信人实现防抵赖机制;基于信头、信体、附件的内容过滤方式。
产品:防垃圾邮件网关, 如冠群金辰的Kill赤霄邮件过滤网关;防垃圾邮件防火墙, 如博威特的梭子鱼垃圾邮件防火墙。
2.2.5 内容过滤及技术
功能:阻止不健康、反动信息的复制、传播。
过滤方法:基于关键字、权重关键字;基于URL的过滤;基于文字内容的深度搜索。
产品:一般在防病毒网关、反垃圾邮件系统中集成。
3 校园网络深度安全防御措施
图1所示的校园网络安全部署在一定程度上对安全攻击作出了一定防范, 但安全风险依然存在:核心交换机存在单点失效危险、网络设备存在性能瓶颈、链路未能实现冗余、内网重要信息未能屏蔽等, 这些问题都可能导致校园网络受到威胁甚至瘫痪。
整合现有安全技术与安全产品, 对校园网络增加一定的经费投入, 构建深度安全防御体系如图2所示。
在保留一般安全防御手段的同时 (重要部门物理网络隔离、应用防火墙、VLAN划分等) , 校园网络汇聚部分实现了设备的冗余和链路的冗余, 较好地避免了单点失效和链路故障所导致的网络性能下降甚至瘫痪的可能。同时, 在网络出口增加了网络地址转换设备, 尽可能屏蔽掉内网过多的信息, 以避免受到黑客攻击。此外, 无需过多应用相关安全产品, 节约了成本。
4 结论
安全是一种意识, 没有任何技术可以确保校园网络不受到任何的安全威胁。网络安全可以说是“三分技术, 七分管理”。鉴于此, 学校领导及校园网络管理人员应加强全校师生员工网络安全意识的普及并加强网络相关规章制度的建立健全, 努力做到:
(1) 配备完整系统的网络安全设备, 如防火墙、入侵检测系统、网络版的防病毒系统, 实现对校园网络进行系统的防护、预警和监控。
(2) 建立全校统一的身份认证机制, 对学生宿舍计算机进行IP地址绑定, 上网用户必须办理上网登记手续, BBS实行实名制。
(3) 规范出口管理, 严格控制私自连接外网。
(4) 监控用户的上网行为, 专人负责对各个网站、BBS内容进行监控, 及时阻止有害信息传播, 各网站、BBS保留日志, 并建立周报制度。
(5) 各级管理机构设定网络安全员, 负责相应的网络安全和信息安全工作。同时, 加强对用户的教育和培训。
(6) 制定校园网络安全管理制度, 落实网络中心各管理人员责任, 定期培训各级网络管理员。加强对学生用户的教育, 对违反规章制度的人员提出警告, 停止其使用网络, 对其进行批评教育, 情节严重者, 提交校行政部门或司法部门处理。
参考文献
[1]杨楚华.防火墙体系结构研究[J].软件导刊, 2007 (9) .
[2]闵锐, 杨楚华.防火墙协同防御技术研究[J].计算机安全, 2008 (2) .
机房防御ARP病毒攻击的策略 篇8
高校教学机房是学校计算机及相关课程实验教学、课程设计、毕业设计及学生自学计算机科学知识、提高计算机操作技能、应用能力的主要场所,教师经常会在计算机机房进行授课,并且根据课程安排需要连接到IN-TERNET上进行实际操作。但是很多时候经常会出现一种情况:学生机不能够连接网络,或者网络时断时续,通过重启路由器,网络又恢复正常,但很快故障又发生了。究竟是什么原因导致出现这种现象呢?作为一名机房的维护人员,笔者经过反复研究和测试,发现这是典型的ARP攻击,或者也称为ARP病毒。下面对机房局域网的ARP病毒欺骗原理和防治方法作简要分析研究。
1 ARP病毒简介
ARP病毒并不是某一种病毒的名称, 而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP协议是TCP/IP协议组的一个协议, 用于进行把网络地址翻译成MAC地址。通常此类攻击的手段有两种:路由欺骗和网关欺骗。ARP病毒是一种入侵电脑的木马病毒, 对电脑用户私密信息的威胁很大。
ARP (Address Resolution Protocol)的中文名称为“地址解析协议”,它的运行方式比较简单,整个过程是由ARP请求(ARP Request)与ARP应答(ARP Reply)两种信息包所组成。网络常识告诉我们,数据链路层在传递信息包时,必须利用数据链路层地址(例如:以太网卡的MAC地址)来识别目标设备;网络层在传递信息包时,必须利用网络层地址(例如:IP地址)来识别目标设备。通俗来说,当我们在网络中利用IP地址传递信息包时,必须要知道目标的MAC地址,这项工作就由ARP完成。
由于ARP的请求信息包为以太网广播信息包,即ARP请求无法通过路由器传送到其他网络。因此,ARP仅能解析同一网络内的MAC地址,无法解析其他网络的MAC地址。
2 ARP病毒欺骗原理
2.1 ARP病毒原理
ARP病毒是一种木马程序,其本质就是利用ARP本身的漏洞进行ARP欺骗,即通过伪造IP_MAC地址实现ARP欺骗,在网络中产生大量的ARP通信量使网络阻塞,或使信息流向错误的服务器,从而使个人主机无法收到信息。
2.2 ARP病毒的欺骗过程
ARP协议的基础就是信任局域网内所有的用户,也就是说它的假设前提是:局域网中任何一台电脑,其发送的ARP数据包都是正确的。那么这样就很危险了!因为实际上,局域网内并非所有的计算机都能安分守己,往往会有非法者的存在。在实际操作中,由于局域网内部的拓扑结构一般都为总线型,也就是说当A主机发送广播数据包时,除了B主机以外,局域网内的其他主机也会同时收到此数据包,只不过其他主机对该数据包进行了屏蔽,不会作出回应。但如果有一台主机C主动在B主机向A主机发回数据包之前,抢先发回了数据包。由于协议中并没有规定ARP缓存表对接收到的ARP数据包的正确与否进行审查,这时A主机ARP缓存表中B主机的IP、MAC地址就被C主机的地址所假冒。从而导致A主机的数据包被发向C主机,而B主机却没有接收到数据。
通过以上分析可知,ARP工作的原理不需要通过双方互相的验证,仅仅是建立在双方互相信任的基础上,另外映射关系不是持久的,是有存在时间的,而且不会去记忆是否曾经发送过请求报文。因此ARP协议具有动态性、无序性、无记忆性、无安全管理等特性,这也是ARP攻击的基础。
2.3 ARP病毒的欺骗分类
ARP欺骗的分类从影响网络连接通畅的方式来看,可以分为二种:一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗是通过截获网关数据实现的。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常网内主机无法收到信息。第二种ARP欺骗是通过伪造网关实现的。它的原理是建立假网关,让被欺骗的主机向假网关(其实是局域网内一台被感染ARP病毒的普通电脑)发送数据,而不是通过正常的路由器途径上网。由于假网关处理速度和本身不断地在滥发广播消息,相对网内其他PC而言,该PC是无法登陆网络的了。
2.4 ARP病毒的故障现象
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,假如用户已经登陆了某些服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
3 ARP病毒的防御策略
3.1 机房局域网可采用IP与MAC绑定
在PC端上通过IP地址和MAC地址的绑定,在网络交换设备上采用IP和MAC的端口绑定。而ARP欺骗是通过ARP的动态实时的规则欺骗内网计算机,所以把ARP全部设置为静态可以解决对内网计算机的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样的双向绑定可以在一定程度上解决问题。
但是这两种方法也不能完全杜绝ARP欺骗,内网计算机上所设置的静态ARP项还是会被ARP欺骗所改变。而网络设备上只作IP和MAC地址的绑定,也是不安全的。假如同一层下的某台机器发送伪造的ARP reply给网关,但是源IP和源MAC地址都是欲攻击的那台主机的,还是会造成网络把流量送到欺骗者所连的那个物理端口,从而造成网络故障。
3.2 采用Super Vlan或Pvlan技术
Super VLAN也被叫做VLAN聚合,这种技术能够在同一个子网中生成出多个Sub VLAN,而将整个IP子网指定为一个VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默认网关IP地址,不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机的每个端口化为一个Sub VLAN,则实现了所有端口的隔离,也就避免了ARP欺骗。PVLAN即私有VLAN (Private VLAN), PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机的每个端口划分成为一个子VLAN,就能够实现所有端口之间的隔离。
PVLAN和Super VLAN技术都能够实现端口之间的隔离,但实现的方式和出发点是不同的。PVLAN是为了节省VLAN,而Super Vlan则是为了节省IP地址。
3.3 使用软件
对于计算机不是很熟悉的老师和同学,最好使用软件来解决ARP中毒问题。推荐使用ARP防火墙和ARP卫士。ARP防火墙是基于IP地址和MAC地址的绑定,使用简单,适用于普通的ARP欺骗。如果用ARP防火墙依然不能解决问题的话,也可以使用ARP卫士,ARP卫士通过底层核心驱动能很好解决ARP欺骗、攻击问题。
4 结语
计算机病毒技术和反病毒技术都是呈现螺旋式发展的趋势,互为促进。没有任何一种反病毒技术手段可以使我们高枕无忧,而技术手段也仅仅只是一种方法。在对付计算机病毒最根本的方法仍然是预防为主,这就要靠一套行之有效的、严格的法律、法规和章程制度及措施来保障,其核心是人,要使用计算机文化来约束自己的行为,不要使用、传播非法的、来历不明的软件。
参考文献
[1]闫实等.高校校园ARP病毒欺骗原理及防御方法[J].网络安全技术与用, 2010, 06:48, 73.
[2]李振强.谈构建完善的校园网防范ARP攻击[J].硅谷, 2010, 7:65.
[3]于佳.浅谈ARP欺骗原理与防范[J].中国校外教育, 2010, 10:163.
[4]王玉伟, 沈国梁.浅议校园网中ARP攻击及其防护措施[J].科技信息, 2010, 17:60.
网络安全威胁及防御策略分析 篇9
1 网络面临的安全威胁及原因
1) 网络协议本身的缺陷和漏洞:在Inte m e t的实际应用中因要求具有开放性、国际性、自由性特点, 从而会带来许多安全威胁, 如篡改IP、窃听、非授权访问等。而且目前采用的各种无线网络协的开放性表现远远超过了其安全性, 使得无线网络得更加不安全。
2) 软件漏洞:由于操作系统和应用系统体系结构越来越复杂, 编写的代码规模越来越庞大, 模块之间提供的软接口的开放性, 以及系统分析设计与实现等开发环节的疏忽, 创建进程、配置系统、初始化不当等, 都会给网络留下安全隐患。往往会导致身份被盗、网络中断、数据丢失与网站崩溃等结果。
3) 硬件漏洞:通常, 硬件虽然漏洞较少, 但BIOS、CPU、硬盘等的设计工艺或电气性能缺陷也可能造成更为严重的安全问题, 修复的难度比软件大的多。同样会造成系统崩溃、数据丢失、网络中断等后果。
4) 管理策略的弱点及恶意攻击:访问控制是网络安全防范和保护的主要策略, 保证网络资源不被非法访问和非法使用。网络的安全程度应该与网络的安全策略一致。若安全策略设计时考虑不周全, 或者实现时操作不当, 就会留下漏洞, 容易受到恶意攻击。
5) 管理不当:企业或有关单位对整个网络的规划和建设缺乏深入的分析, 没有具体的安全体系研究, 更缺乏建立安全体系的迫切性。有的虽然建立了制度、标准、措施, 由于缺乏配套的监督机制, 往往也会流于形式。加之投入不足、人员不固定, 遇到冲突常常选择放弃安全的办法, 从根本上没有处理好发展与安全的关系。
2 安全防御构建与策略分析
2.1 安全防御的目标
在法律、法规、政策、制度的支持下, 通过合理规划, 应用网络安全技术, 设计周全的网络安全方案, 必须满足如下目标:
1) 网络所属部门、单位局域网的安全;
2) 与Inte rne t相关联的安全保护;
3) 关键信息的加密传输和存储;
4) 基于网络的应用业务的安全;
5) 所用网络能够实现监控和跟踪审计。
总的目标就是:机密性、完整性、可用性、可控性和可审查性。其结果就是要达到进不来、拿不走、改不了、看不懂、跑不掉。
2.2 安全防御体系模型的构建
1) 生命周期模型:按照网络安全的生命周期, 即:检查准备 (Inspection) 、防护加固 (Protection) 、检查发现 (Detection) 、快速反映 (Reaction) 、确保恢复 (Recovery) 、反省改进 (Reflection) 的原则, 可以构建描述网络安全整个环节的IPDRRR模型, 如图1所示。
各环节紧密相关, 互相协调, 为网络安全体系结构的构建形成了一个闭环, 即使出现问题, 也容易发现是哪个环节的原因, 使得在整个网络安全生命周期采用的各种策略得到了严密的控制。
2) 安全防御的技术体系的构建:网络攻击与网络安全防御是“矛”与“盾”的关系。网络的攻击手段和方式层出不穷, 网络防御措施也将不断升级, 更加严密。目前存在的攻击类型包括物理攻击、主动攻击、被动攻击和中间人攻击等。结合不同的攻击类型, 综合运用各种技术, 按照安全的层次, 可以构建安全技术体系结构, 如表1所示。
2.3 主要防范策略分析
1) 强化网络安全意识:针对网络的开放性, 在网络的使用和管理过程中, 要坚持网络安全意识是整个网络系统安全的前提。强化信息交流的敏感意识, 自觉主动防范, 严格按照数据分级标准执行, 杜绝泄露。
2) 技术手段:a.在计算机系统上安装正版杀毒软件和防火墙, 及时启动, 并保持自动升级, 及时给系统、软件安装最新的补丁程序。随时关注计算机运行的进程, 关闭暂时不需要的服务, 封闭空闲端口。b.局域网用户应采用双向绑定的方法, 绑定网关IP和MAC地址, 不给利用ARP协议针对IP与MAC映射的攻击留下机会。c.采用身份识别, 标识和鉴别用户身份, 保证通过用户向系统提供自己身份标识的唯一性, 系统通过检查用户提供的凭据验证用户身份的真实性, 防止非法用户假冒合法用户获取访问权限。d.基于用户的身份控制, 划分用户角色。实施访问权限管理, 设置相应的访问属性 (读、写、执行) , 不仅角色转化灵活, 而且便于控制访问权限。e.以密文的形式传递信息, 可以让用户比较放心地使用网络平台。引入密钥机制对密钥的产生、存储、传递和更换进行有效管理控制, 为保障信息安全提供了重要的途径。f.做好数据的备份与恢复管理, 采用多种方式备份, 并对备份数据的管理、传递、恢复做好全程监控。
3 结语
现行计算机网络存在着诸多安全漏洞威胁, 有必要对其存在的原因进行分析, 有针对性地采取必要的安全防范策略, 保证网络的安全运行。依照网络安全的生命周期建立网络安全体系模型, 制定明确的网络安全目标, 加强网络安全管理意识, 采取必需的技术手段, 才能构建起有效的安全防御策略体系。同时, 要注意将计算机网络安全管理、安全技术和运行管理等各方面密切配合、优化协调, 坚持“三分技术、七分管理”的原则, 才能有效地保证计算机网络的信息和系统安全, 达到安全目标要求。
摘要:随着计算机网络技术的发展和电子银行、电子商务、电子政务等的广泛应用, 计算机网络已经深入到了各行各业, 遍布现代信息化社会和人们生活的各个层面。与之密切相关的网络安全的内涵不断延伸, 网络安全成为所有用户共同关心的问题。保证网络的安全性和可靠性, 是保证网络正常运行的前提和保障。
无线网络的安全和防御策略 篇10
关键词:无线网络,网络安全隐患,手机WIFI,防御策略
21世纪的第一个十年过去了, 要说这十年什么发展的最迅速, 许多人会想到互联网技术和智能手机的普及。如今, 电脑作为一个PC端, 虽然发展不错, 但已经不能和小巧智能的手机相比了, 大多数人不会坐在电脑前一呆呆一天, 但会抱着手机一看看一天。早上起床看手机, 晚上睡觉看手机, 无处不在的online手机无线促使着手机科技的发展。无线网络是手机普及的重要因素, 它安装方便, 上网速度快, 信号稳定, 移动性好, 无线网络在家庭、企事业单位、学校、公共场合都有着广泛的使用率。然而有利就有弊, 无线网络本身也存在许多问题, 网络安全不够完善, 信息泄露、黑客破坏、网上诈骗等问题接二连三。本文分析无线网络存在的安全弊端, 并给出维护无线网络安全的措施和应对网络遭受攻击时的防御策略。
1 无线网络
无线网络也称为无线局域网, 是计算机网络和无线通信的结合体。它的数据来源是电脑互联网, 通过射频信号, 在空气中传输数据给客户端, 例如手机、平板电脑、电视等媒体。无线网络的优势很大, 第一点就是它的移动性。比如在办公室内, 安置一个无线网络, 可以保证在任意位置获得无线数据, 支持自由移动、持续连接。第二点是成本低, 只需要有一台PC端提供有线网络, 再连入路由器, 基本上可以长时间开启不用担心信号等问题。维护也很方便, 同时不占用空间。第三点是它有很好的传输速度, 也就是网速, 802.11b的传输速度达11Mbps数据速率, 802.11g无线速率达到54Mbps, 802.11n的速率达到500Mbps, 而最新标准802.11ac达到1Gbps。已经可以满足大多数用户需求。
2 无线网络安全隐患
一般用户使用无线网络, 大多是能构建一个WLAN, 无线终端如手机能使用无线就可以了。因此无线网络安全的威胁就随之而来。
2.1 无线路由器隐患
无线路由在出厂时配置的账号和密码大多相同的, 因此无线路由可能被非法入侵, 并且被控制。入侵者可以随意更改无线路由参数, 对提供无线的客户端进行攻击, 甚至获得宽带的上网账号和密码。
2.2 无线WEP密码威胁
网上有许多WEP破解软件, 简单的无线WEP太容易被破解, 在网上存在的非法程序, 可以捕捉到无线信号, 对密钥加密的无线网络进行破解。
2.3 窃取信息
信号是802.11的无线网对数据帧不进行认证, 所以入侵者可以让ARP去欺骗局域网, 重新定向数据流, 进一步获取用户信息, 造成网络入侵。
利用中间人进行欺骗攻击, 使用一个非法的AP欺骗客户端, 再欺骗客户终端, 从而获得了用户信息, 进行窃取和修改。
网络信息大多数不进行加密, 因此被截取了信息就可以读取其内容, 也会入侵用户的网络信息。
3 防御策略
3.1 计算机网络防御
3.1.1 配置防火墙
防火墙的主要用途是在网络信息传输过程中控制访问的程度。如果得到授权, 就可以访问用户的计算机网络, 未得到授权就可以阻止访问, 这样可以防御未知的网络进入计算机网络内部, 防止网络黑客入侵用户的电脑盗窃信息和资料。防火墙对于保护用户信息有至关重要的作用, 是计算机网络不可缺少的一部分。
3.1.2 检测和扫描系统
检测系统是在防火墙未起作用的情况下, 抵抗黑客通过网络漏洞进行的攻击。检测和扫描系统由计算机本身进行, 大多数的系统软件都带有这种检测方式, 或者采用其他的杀毒软件进行检测和扫描, 这部分系统大多是清查计算机存在的系统漏洞, 漏洞就好比黑客在自己电脑上开的一个后门, 很容易让黑客和病毒进入计算机。建立完善的检测和扫描系统, 可以堵死这些系统漏洞, 让计算机网络处在一个安全的环境当中。
3.2 无线网络防御
3.2.1 隐藏无线
在军事上, 许多重要的设施都要进行隐蔽, 一旦被发现了就会被摧毁。因此, 如果让自己的无线网络不被发现, 那么它就相对是安全的了。控制信号的辐射范围, 可以实现最大可能的隐藏。控制信号覆盖范围:例如在家庭里安置无线网络, 就要选择合理的无线访问点, 控制信号的覆盖区, 尽量限制在家庭里。减少泄露到屋外的信号。
3.2.2 无线路由加密
一个好的加密方式及密码, 可以给无线路由进行安全防护。市场出售的无线路由器的账号及密码都基本相同, 所以要自行修改无线路由的参数, 密码要求尽可能的复杂, 数字字母交叉会更好。无线访问密码一定要设置, 如果没有是很容易被“蹭网”的, 蹭网的后果会导致自己的网速下降, 或者产生其他的安全问题。目前的加密方式主要有WEP加密、WPA加密等, WEP使用率很高, 也很好设置, 但容易被破解, 所以为了自身无线的安全起见, 建议采用WPA加密方式。
3.2.3 地址过滤
IP地址过滤:启用IP地址过滤功能。大多数无线路由器都有过滤IP地址功能, 可以在无线路由器页面设置, 将熟悉的IP地址设为允许访问。其他IP地址统一设置为不允许访问, 这样可以隔离外部的IP地址连接。
MAC地址过滤:启用过滤MAC地址功能。MAC地址的设置和IP地址设置差不多, 多数无线路由器都有过滤MAC地址功能。收集家庭电脑等终端的MAC地址, 在无线路由器的相关设置中, 写入允许接入此网络的无线终端的MAC地址, 这样及时有人搜索到了自己的无线网络, 也不能进行连接。
3.2.4 检查无线路由器记录
每隔一段时间登陆无线路由器检查一下访问记录, 是否有未知的MAC地址终端访问, 再检查一下宽带上网时间是否有异常, 这样做可以确保及时发现未知终端盗用自己的宽带时间, 并且阻止未知MAC地址登陆自己的无线路由。
3.3 手机WFIF防御
这在于每一个手机用户, 要要求自己不登陆不正规的网站, 不随意打开未知网页, 不下载不清楚的文件, 尤其是APK安装包。自己的蓝牙要及时关闭, 并且加上密码锁。禁止手机内的应用软件随意上网, 防止发生木马开门。关注下手机系统的更新信息, 用正规的安全软件下载手机系统漏洞补丁, 不定时清理手机垃圾文件和短信, 保证手机的上网安全。
4 总结
随着无线网络技术的发展及普及, 无线网络在网速和安全上进行了很大提升, 将促进WLAN网络被更多人使用, 最后可能会全地区覆盖。但网络安全知识的普及并不是很够, 有了技术没有意识也是不行的, 本文分析了一般的网络威胁, 给出了常用的应对策略, 可以满足一般家庭和地区的网络安全防御。来提升WLAN的安全。
参考文献
[1]educity.cn希赛网[Z].网络技术学院, 2013.
