第一篇:A市政府网络安全与网站防护解决方案
【说明】(1)这是《中小企业虚拟机解决方案》一书中部分章节的摘抄。该书预计于2009年12月初由《电子工业出版社》出版,敬请期待!
(2)以本方案为蓝本的方案:《A市政府网络安全与网站防护解决方案》参加华硕服务器第四届IT硬件平台搭建大赛获得三等奖。概述
根据CNCERT/CC(国家互联网应急中心)的2月份发布的统计报告,2009年1月1日至31日,我国大陆地区被篡改网站的数量为3792个,较2008年12月的1693个增长了124%,其中代号为“ 如果上面的数据,表达不了网站被攻击的严重性,那么,CNCERT/CC的2008年7月份的统计报告很说明问题,大约平均每5个政府网站,就有一个网站被黑!而且,近年来,网站被篡改的数目仍然以每年2~3倍的速度在不断递增。 根据这些材料可以知道,网站被篡改、被攻击的数量是非常大的,并且递增的数目也是比较快的。A市政府网站,在近期被黑客篡改页面的情况多有发生,即影响了政府形象,也给广大市民带来不便。怎样对政府网站进行安全防护,是市政府信息中心所面临的首要任务。 同时,政府现在有300多台计算机上网,虽然有网通、电信宽带接入互联网,但由于各种问题,终端上网速度很多,每天网络中断两、三次,只能重新启动交换机、路由器才能重新上网,但过几个小时,问题会再次出现,单位网络办公的环境也需要改造。 信息中心要求,在不改变现有网站的维护方式的前提下,对网站进行安全防护,防止网站再次被黑;在不改变现有上网设置的情况下,改变整个网络的上网环境、避免再次出现整个网络瘫痪。经过实地考察,并与信息中心沟通,决定采购两台华硕服务器、一套ISA Server防火墙软件与Windows Server 2003,对现在网络、网站进行改造。其中一台服务器采用华硕TS300-E5,配置2GB内存、单块SATA硬盘、4个集成Broadcom BCM5721 PCI-E千兆网卡;另一台服务器采用华硕TS700-E4,配置16GB内存、1个4核Intel处理器、6块SAS硬盘(其中5块硬盘做RAID5、1块硬盘备用)、集成双千兆网卡、双电源。政府网络现状与用户需求 A市信息中心是正科级全额拨款事业单位,挂靠A市政府办公室,负责全市信息化建设的规划、指导和组织工作,主要承担全市电子政务的建设和管理工作。目前,A市信息中心的内网上接市委、市政府,下联市直80多个部门、10多个乡镇、经济技术开发区。 为方便市领导上互联网的需要,信息中心还向网通、电信各申请了20M互联网带宽,通过双WAN口路由器,实现网通、电信双线路负载平衡。为了方便网上办公和网上审批工作,每个部门都建立了自己的局域网,全市办公内网的微机保有量约2000台以上,A市的信息化应用水平在石家庄市各县市区中一直名列前茅。 目前,A市政府信息化应用水平较高,有办公自动化系统、政府网站、市委网站、各个乡镇、市直机关网站、互联审批、审计系统,这些系统分别运行在机房的多台服务器上。这些服务器,有的是一些品牌机服务器,有些是组装的服务器,配置比较低、没有提供数据的冗余与备份功能,从长远角度来看,存在安全隐患。 从今年开始,政府网站被黑客篡改首页多次,并且修改的次数越来越多、间隔越来越短。每次黑客修改网页后,只能通过备份恢复,有的黑客向网页中嵌入广告代码,信息中心人员只能一个一个网页检查、然后删除这些广告代码,给政府网站对外宣传带来了负面影响,也给信息中心人员的管理人员带来了压力。 同时,随着近几年来,网上办公的兴起,政府楼内接入网络的计算机越来越多,另外,随着职工使用计算机水平的提高,管理难度越来越大。这直接表现为许多人在上班时间聊天、下载电影、玩游戏,占用了网络带宽,导致上网越来越慢。在每天上网高峰的时期(上午10点半左右、下午3点左右),网络缓慢的几近打不开网页,只能通过重新启动交换机、双WAN口路由器的方式,恢复网络连接。 另外,当每次大规模的病毒爆发时,例如以前的“熊猫烧香”病毒、冲击波病毒、ARP病毒,都会导致整个网络瘫痪。 市政府信息中心对外面临政府网站被黑客攻击、修改页面,对内面临整个单位局域网网络速度缓慢、整个单位办公用计算机经常感染木马、病毒需要重新安装系统等诸多压力,可以说,整个网络安全状态已经到了不得不改的情况。 政府信息中心的需求主要包括以下几个方面: ü 保护政府网站不被黑客入侵。 ü 解决局域网上网速度慢的问题。 ü 解决整个网络经常感染木马、病毒的问题。 ü 减轻信息中心人员负担。方案设计 在方案设计之前,需要详细的了解现有网络的状况。经过信息中心人员进行介绍,并经过实际考察,画出A市政府现有网络的拓扑图,如图1所示。 图1 A市政府网络拓扑 A市政府各有20M光纤分别接电信、网通(现联通)访问Internet,这两条光纤通过“光纤收发器”转成RJ45网线,接在一个双WAN口的路由器上,用做代理服务器。该双WAN口路由器LAN口接到三层交换机上,三层交换机划分了多个VLAN,每个楼层属于一个VLAN,并且在每个楼层都有一个普通的交换机。政府网站与OA服务器在同一台服务器上,直接接到三层交换机上。在双WAN口路由器上映射了一个外网地址的TCP的80端口到政府网站与OA服务器的IP地址(192.168.1.8),Internet上的用户通过政府网站域名访问,政府内的人员都是直接使用IP地址192.168.1.8访问政府网站,信息中心工作人员是使用19 2.168.1.8来访问与维护网站、更新网站内容。 3.1 网站频繁被黑的原因与解决对策 经过分析,发现网站频繁被黑的原因可能如下: ü 操作系统漏洞:网站服务器的操作系统是Windows 2000 Server,虽然现在Windows Server 2008已经发布,Windows Server 2003应用也很成熟,但由于各种原因,服务器操作系统一直没有升级,另外,也没有及时的更新各种补丁。 ü 数据库漏洞:数据库使用的是SQL Server 2000,同样,也没有打补丁。 ü 网站代码漏洞:政府网站,是由信息中心的人员,在2001年左右,在网上下载的代码的基础上,修改成的。由于开始的时候,网站被攻击的事情很少发生,所以,信息中心的人员忽视了这方面的情况。这些网站代码中,存在SQL Server注入漏洞、文件上传漏洞、Shell漏洞等,而后台管理密码也是比较简单。 针对网站被黑的原因后,首先提出如下的解决方法: ü 及时更新操作系统补丁与数据库的补丁。 ü 升级操作系统与数据库:由于Microsoft已经不对Windows 2000与SQL Server提供支持,建议将将Windows 2000 Server升级到Windows Server 2003,将SQL Server 2000升级到SQL Server 2005。 ü 修改网站代码,避免SQL Server注入漏洞、文件上传漏洞与Shell漏洞。 虽然知道需要修改网站代码防止网站被黑,但实际上,政府网站已经使用多年,短期内对政府网站做大的修改不容易实现,只能通过其他的技术手段来保护网站。考虑到政府网站是在局域网内由信息中心人员维护的特点,决定采用如下的技术措施: 将政府网站分成两个相同的站点,一个站点用于对外发布,供市民、网民通过Internet浏览、查看内容,另一个网站专门用于信息中心人员维护,该网站只能通过内网访问,这两个网站使用同一个数据库。而发布到Internet上的网站,其采用的SQL Server用户名密码只能“浏览”访问网站SQL Server数据库,而用于内网维护的网站,其采用的SQL Server用户对政府网站数据库有“完全控制”的权限。另外,在双WAN口路由器与三层交换机之间,增加一级代理服务器,采用ISA Server做软件防火墙与代理服务器,用ISA Server的“签名”等功能,通过过滤关键字的功能,防止文件上传漏洞、Shell漏洞等。 3.2 内网速度慢的原因与解决方法 对于局域网内,计算机速度慢、网络速度慢、经常感染病毒等问题,简单来说,如果升级计算机的配置、增加出口带宽的速度,是可以解决问题。但是,这些都是不现实的,另外,这也不是解决问题的根本方法,即使用这种方法解决了现在的问题,但过段时间,同样的问题仍然会继续。在用户现场,经过进一步分析、调查与判断,得到如下的结果: (1)内存不足导致运行缓慢。 大多数的计算机内存都比较小,主要是256MB内存。而杀毒软件,大多数用户使用的是“瑞星”,不可否认,瑞星杀毒软件占的资源比较大,在现在主流操作系统是Windows XP SP2的情况下,安装瑞星占用的资源相对比较大。在安装了操作系统、瑞星杀毒软件,与常用的办公软件,例如Office、WPS后,系统内存占用的资源已经到了170多MB,在打开网页时,由于现在网页中图片、广告很大,IE浏览器少则会占用30MB、多则占用几百MB甚至上GB的内存,当主机内存不够的情况下,会使用硬盘空间作为交换分区(虚拟内存),这样就造成了计算机速度变慢。 (2)病毒占用系统资源。 许多计算机没有打“补丁”,在浏览一些网页时,感染了木马或蠕虫病毒,有的计算机感染了ARP病毒,所以在计算机启动的时候,这些木马或蠕虫,试图通过网络感染给其他计算机、或者试图连接广告站点,占用了系统资源,这是计算机启动慢、反应慢的最主要原因。 (3)带宽被占拖慢网速。 单位提供4MB带宽,本来是为单位上网(浏览网页)、收发邮件等正常办公使用,但近一两年来,许多用户使用计算机“水平”越来越高,一些员工在工作时间看在线视频,或者玩游戏,使用讯雷或BT下载电影,占用了大量的网络带宽,而双WAN口路由器没有流量监控与流量控制功能。经过实际测试,在看“新华网”的在线视频时,单一视频流就会占用800KB以上的带宽,理论上讲,只要单位中有20个人看新华网的在线视频,就会占用整个20M出口的带宽。这些是导致网络速度变慢的最主要原因。 对上述这些情况,可以通过打补丁、更新杀毒软件等方法解决,主要内容如下: (1)使用微软免费产品WSUS 使用Microsoft提供的专门用于企业用户的升级服务器-WSUS,统一为网络中的计算机“打”补丁。采用WSUS,将原来每台工作站都需要访问Internet上的微软补丁站点的方法改为直接访问局域网内的WSUS服务器的方式获得补丁,即提高了更新补丁的速度,又节省了出口带宽。例如,Windows XP SP3补丁大约300MB,如果单位中的每台计算机都从Microsoft升级服务器获得补丁并升级,以100台工作站为例计算,需要下载300MB×100=30GB,而采用W SUS,只需要WSUS从Microsoft升级服务器下载300MB补丁,其他工作站直接从WSUS即可获得补丁。 (2)使用ISA Server禁止无序下载、限制每台计算机的并发连接数量 在双WAN口路由器与三层交换机之间,增加ISA Server防火墙与代理服务器,使用ISA Server,禁止职工在上班时间使用BT、讯雷等软件无限下载软件、视频,并限制每个计算机的并发连接数量。 (3)采用占用资源较小的杀毒软件 网络版杀毒软件太贵,可以购买支持局域网升级的杀毒软件,例如以前的金山毒霸、江民,现在的NOD32、卡巴斯基。考虑到客户端计算机配置比较低,可以选择占用资源比较低的NOD32。这样,改进后的网络拓扑如图2所示。 图2 配置防火墙与升级服务器 3.3 最终方案 在确定了网站防防护、内网安全与改造方案后,对这两个方案进行综合考虑,同时,考虑到原来的网站与OA服务器,已经使用多年,也到了升级的时候,而WSUS与NOD32服务器占用的资源并不是很多,单独放置在新买的服务器中,对服务器的资源是一种浪费。经过多方面分析,我们推荐如下的综合解决方案: (1)购置一台高配置的、具有磁盘冗余的服务器,采用虚拟化技术,在一台服务器上实现两台虚拟机,其中一台虚拟机放置政府网站与OA网站,另一台虚拟机放置WSUS升级服务器与NOD32服务器。 (2)配置一台多网卡的、安全稳定的服务器,添加在双WAN口路由器与三层交换机之间,安装ISA Server 2006软件,做防火墙与代理服务器。 (3)修改双WAN口路由器的LAN端口地址,改为192.168.200.1,而原来的192.168.250.1用在新的ISA Server服务器接三层交换机的网卡上,ISA Server服务器接双WAN口路由器的网卡设置IP地址192.168.200.2/24。在双WAN口路由器上,设置TCP协议80端口转发给192.168.200.2,再由ISA Server转发到政府网站服务器192.168.1.8。 (4)网络中的所有工作站,配置使用局域网内的WSUS服务器进行补丁的升级,统一卸载以前的杀毒软件,改为统一使用NOD32,并指定从信息中心NOD32服务器进行升级。 (5)在ISA Server上发布政府网站,并对网站进行保护。 (6)迁移网站到虚拟机1中,并将网站分成用于Internet发布的外网网站、用于内网管理的网站。 在方案实施中将详细介绍每一个细节。如图3所示,这是网络最终的拓扑。 图3 A市政府网络安全改造方案拓扑图 3.4 方案特色 由于选择了高配置的华硕服务器,以及使用VMware ESX Server虚拟化产品,以后再需要其他服务器时,不需要再购置新的硬件,只需要在VMware ESX Server中创建新的虚拟机即可以满足应用。在本次方案中,配置的华硕TS-700高配置服务器,可以同时运行8~16台虚拟机,足可以满足现在以及将来一段时间的需求。同时,在采用虚拟化技术后,减少了服务器的购置需求,并减少了服务器在以后运行中的耗电,近一步降低了产品的使用费用,符合绿色环保、节能的需求。方案实施 在硬件、软件到位后,开始对A市政府网络进行改造,在改造的过程中,会中断网络,为了不影响大家工作,建议在休息时间,例如周六或周日。整个网络改造包括网络硬件的安装、调试与服务器的安装调试,大约需要1天的时间。方案的实施步骤如下: 6.1 在双WAN口路由器与三层交换机之间增加ISA Server防火墙 在新购置的华硕TS-500服务器上安装32位的Windows Server 2003企业版与ISA Server 2006标准版,并接在双WAN口路由器与三层交换机之间,相当于在整个网络中,增加一个“软件”防火墙,然后修改配置双WAN口路由器的配置,并转发TCP的80端口到ISA Server,再由ISA Server转发到政府网站服务器。主要步骤如下: (1)安装32位的Windows Server 2003企业版,在安装的过程中,将硬盘划分为3个分区。分区按照2:3:2的比例。安装系统后,安装驱动程序。 (2)配置双WAN口路由器,将LAN口的IP地址由192.168.250.1修改为192.168.200.1/24,并转发TCP的80端口到192.168.200.2。并添加到192.168.0.0/18的静态路由,指向192.168.200.2。 (3)将服务器接入网络,其中一块网卡接到双WAN口路由器的LAN口(代替原来接三层交换机的端口),设置这块网卡的名称为“Internet”,设置IP地址为192.168.200.2/28,网关地址为192.168.200.1。设置另一块的地址为192.168.250.1/24(不设置网关地址),将这块网卡连接到三层交换机原来接双WAN口路由器的端口,命名这块网卡为LAN。配置好后,使用ping命令,检查网络的连接是否正确,无误之后,在命令提示符下键入如下的命令,以增加到192.168.0.0~192.168.63.0/24的路由: route add –p 192.168.0.0 mask 255.255.192.0 192.168.250.2 (4)安装ISA Server 2006,并将ISA Server 2006安装在第2分区。安装完成后,配置ISA Server 2006,其内网地址是192.168.0.0~192.168.63.0/ 24、192.168.250.0/ 24、192.168.200.0/24网段。 (5)配置ISA Server 2006,允许“内网”访问“外网”,此时,局域网内的计算机应该可以访问外网。 有关这些操作的详细步骤,在我的博客中已经介绍过,不再一一介绍,如有兴趣,请参见我博客中的其他文章: 用ISA Server 2006做VPN服务器 使用ISA Server发布服务器 安全连接Internet-让ISA Server 2006做为企业中的只有经过身份认证的才允许上网!-----------ISA Se 关于WSUS服务器的几个问题 公司的网络为何如此缓慢 使用ISA Server保护内部的web服务器 摘要: 随着互联网技术以及信息技术的飞速发展,网络安全技术已经影响到社会的政治、经济、文化和军事等各个领域。网络技术的成熟使得网络连接更加容易,人们在享受网络带来便利的同时,网络的安全也日益受到威胁。安全性是互联网技术中很关键的也是很容易被忽略的问题。曾经,许多的组织因为在使用网络的过程中未曾意识到网络安全性的问题,直到受到了资料安全的威胁,才开始重视和采取相应的措施。可以举例我们身边的例子,如网上银行。用户可能没有意识到网络存在木马程序的现象,未经检查软件的安全性就放心使用,其结果自然是损失惨重了。故此,在网络广泛使用的今天,我们更应该了解网络安全,做好防范措施,做好网络信息的保密性、完整性和可用性。 关键词:网络;安全;防范 引言 现今这个高速信息化的时代里,网络作为计算机技术发 展到一定阶段的必然产物,在生产生活中越来越发挥出主导和支配性作用。网络的开放性和共享性在方便人们交换信息的同时,多节点的结构使网络也越来越容易受到攻击。因此,网络和信息安全技术也越来越受到人们的重视。 如何才能解决网络安全问题,避免网络环境遭到攻击,使网络得到良性发展,我们就要了解目前网络安全可能存在的各种安全风险、网络安全防范的定义和范围以及在网络环境下如何应对这些不可控的风险。 1网络安全的含义及特征 1.1 含义网络安全是指:为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时,能使网络得到保护,正常运行。 网络安全的内容远不只是防范黑客和病毒,它包括着广泛的规则和惯例。网络的安全内容由数据的安全性和通信的安全性内容组成。数据的安全性具体内容包括阻止对数据的非授权的访问、转移、修改和破坏。通信的安全性要求在通信中采用保密安全性、传输安全性、辐射安全性等措施,并且要求对通信安全性信息采用物理安全性措施。 1.2 特征网络安全根据其本质的界定,应具有以下基本特征:①机密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的每一个层次都存在着不同的机密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息外露,在运行层面,保证能够为授权使用者正常的使用,并对非授权的人禁止使用,并有防范黑客,病毒等的恶行攻击能力。②完整性:是指信息未经授权不能被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得发布者无法否认所发布的信息内容。接受者无法否认所接收的信息内容,对数据抵赖采取数字签名。 2网络安全现状分析 网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。网络信息具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性等,现在越来越多的恶性攻击事件的发生说明目前网络安全形势严峻,不法分子的手段越来越先进,系统的安全漏洞往往给他们可趁之机,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整 性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全不够完善不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。3网络安全解决方案 要解决网络安全,首先要明确实现目标:①身份真实性:对通信实体身份的真实性进行识别。②信息机密性:保证机密信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法拥护对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机智,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。 4网络安全是一项动态、整体的系统工程。 网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。从实际操作的角度出发网络安全应关注以下技术: ①防病毒技术。病毒因网络而猖獗,对计算机系统安全威胁也最大,做好防护至关重要。应采取全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。②防火墙技术。通常是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合(包括硬件和软件)。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。③入侵检测技术。入侵检测帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控,从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动;系统构造和弱点审计;识别反映已进攻的活动规模并报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。④安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合,对网络安全的提高非常有效。通过对系统以及网络的扫描,能够对自身系统和网络环境有一个整体的评价,并得出网络安全风险级别,还能够及时的发现系统内的安全漏洞,并自动修补。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。⑤网络安全紧急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。⑥安全加密技术。加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。⑦网络主机的操作系统安全和物理安全措施。防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全 作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。 5结语 总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,成为当务之急。参考文献: [1]黄怡强等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01).[2]胡道元.计算机局域网[M].北京:清华大学出版社,2001.[3]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.[4]张世永.网络安全原理与应用[M].出版社. [5]李明之.网络安全与数据完整性指南[M].机械出版社. 网络安全与防护: 实践环节考核大纲及考核内容: 1.使用X-Scan 3.3扫描器扫描系统存在的漏洞 a.使用X-Scan扫描本机或者其他机器上存在的安全漏洞。 b.学会简单解释扫描报告的含义 c.懂得设置扫描参数,设置指定IP范围、扫描模块 d.学会使用并解释里面的traceroute工具、物理地址查询工具、Ping工具 2.使用江民防火墙设置防火墙规则 a.学会安装江民防火墙,了解保护策略中的防御策略、工作模式是什么 b.了解保护状态下各选项的含义 c.学会使用网络活动功能,懂得用该功能查看本机联网程序的信息,为制定防火 墙的规则提供参考依据。 d.了解流量与活动报告 e.学会设置防火墙设置中的IP规则(如禁止对某网站数据报的进出等)、程序规则、恶意网址、信任程序。学会使用里面的网络包捕获工具、进程查看器 3.使用木马克星或者360安全卫士对本地内存、硬盘进行查杀木马 4.使用与设置常见的杀毒软件360杀毒 5.使用TrueCrypt a.了解正常安装与便携式安装的区别 b.创建、加载、卸载,加密卷、加密分区、隐藏加密卷、文件型加密卷 c.学会使用密码,使用和生成密钥文件 d.学会设置TrueCrypt、学会更改为中文界面 6.使用md5checker工具检查文件的完整性 7.学会使用Windows自带的任务管理查看或中止异常进程 8.学会使用Syncback软件对指定文件进行同步或者备份,学会使用计划任务调用备份或者同步任务。 《计算机网络安全与防护》 计算机网络安全与防护 作者:某某君 日期:2010年6月 摘要:由于网络的开放性等特征而使其容易遭受黑客攻击、病毒侵犯,针对网络安全面临的问题,总结提出一些解决的对策。 关 键 词:网络安全;黑客;病毒;防火墙;访问权限 计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其它不轨的攻击,例如,现在的病毒以破坏正常的网络通讯、偷窃数据为目的的越来越多,它们和木马相配合,可以控制被感染的工作站,并将数据自动传给发送病毒者,或者破坏工作站软、硬件,其危害相当恶劣,因此加强计算机网络的安全建设已刻不容缓,只有足够强的安全措施,才能确保网络系统的安全性,网络信息的保密性、完整性和可用性。 1网络安全面临的主要问题 计算机网络所面临的威胁大体可分为两类:一是对窃取或破坏网络中信息资源;二是对网络中计算机系统的攻击。影响计算机网络的因素很多,归纳起来,针对网络安全的威胁主要来自于如下四个方面: 1.1网络黑客:指的是熟悉特定的电脑操作系统,并且具有较强的技术能力,恶意非法进入他人计算机系统,黑客利用系统中的安全漏洞非法进入他人计算机系统,可以利用个人技术查询或恶意破坏重要数据、修改系统文件导致计算机系统瘫痪,黑客的攻击程序危害性非常大,从某种意义上讲,黑客对计算机网络安全的危害甚至比一般的电脑病毒更为严重。 1.2配置不当:安全配置不当造成了安全漏洞,例如,对网络服务器的访问权限设置不当,非法用户对网络服务器信息进行非法调用和窃取。对防火墙软件的配置不合理,例如只是对外设置防火墙保护,那么对内几乎不起什么作用,然而不幸的是,一般情况下有70%的攻击是来自局域网的内部用户,所以怎样防止来自内部的攻击是当前局域网建设中的一个非常重要的方面。 1.3计算机病毒:目前网络安全的头号大敌是计算机病毒,它是编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点,病毒的种类也不断变化,破坏范围也有软件 扩大到硬件。新型病毒正向着更具破坏性、更加隐蔽、传染率更高、传播速度更快、适应平台更广的方向发展。 1.4安全意识不强:用户口令设置过于简单,或用户的访问权限设置不当,或将管理员的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。将一些处理过的机密文件随意存放在工作站的共享文件夹内,或在硬盘上留有备份,这就有可能使得某些重要文件在局域网上随意地流传,为网络系统留下了安全隐患。主服务器上的数据库存放着所有重要数据,不能及时进行数据备份,如果这个数据库遭到破坏,将会遭到无法挽回的损失。 2网络安全性的解决方法 2.1有效防护黑客攻击:WEB、FTP、DNS这些服务器较容易引起黑客的注意,并遭受攻击。从服务器自身安全来讲,只开放其基本的服务端口,关闭所有无关的服务端口。如DNS服务器只开放TCP/UDP42端口,WEB服务器只开放TCP80端口。FTP服务器只开放TCP21端口;在每一台服务器上都安装系统监控软件和反黑客软件,提供安全防护作用并识别恶意攻击一旦发现攻击,会通过中断用户进程和挂起用户帐号来阻止非法攻击;有效利用服务器自动升级功能定期对服务器进行安全漏洞扫描,管理员对及时网络系统进行打补丁;对于关键的服务器,如计费服务器、中心数据库服务器等,可用专门的防火墙保护,或放在受保护的网管网段内。 为了从物理上保证网络的安全性,特别是防止外部黑客入侵,可以将内部网络中所分配的IP地址与电脑网卡上的MAC地址绑定起来,使网络安全系统在侦别内部信息节点时具有物理上的唯一性。 2.2制定有效配置方案:应通过合理正确的授权来限制用户的权限,这是在办公用户中特别容易被疏忽的,如局域网中的共享授权,经常会被用户设置成对任何人开放且完全控制,这非常不安全也是很危险的。正确的方法是针对不同的用户设置相应的只读、可读写、可完全控制等权限,只有指定用户才会有相应权限,既保护了数据,又建立了合理的共享。 防火墙配置方案如下:将网络划分为三个部分,Internet(外网)、DMZ区(非军事区)、内网。Internet(外网)和DMA区通过外部路由器隔离;DMZ区和内部网络通过内部路由器隔离。代理服务器、E-mail服务器、各种服务器(包括Web服务器、Ftp服务器等)、以及其它需要进行访问控制的系统都放在DMZ中。外部网络非法入侵者要攻破此防火墙系统侦听到内部网上的数据,必须突破外部路由器和内部路由器才能侵袭内部网络,这样大大提高了内部网络的安全级别。配置防火墙的流量控制相关参数,实现不同时段、不同子网的不同带宽流量设置,有效防止内部用户在网络使用高峰时期大量占用带宽而导致网络瘫痪。 为了保证网络内部安全还应该利用Vlan技术将内部网络分成几个子网,网络分段通常被认为是控制网络广播风暴的一种手段,但其实也是保护网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段用来实现对局域网的安全控制,也防止了内部网用户对网络服务器的攻击。 2.3建立病毒防护体系:对于一个网络系统而言,绝不能简单的使用单机版的病毒防治软件,必须有针对性地选择性能优秀的专业级网络杀毒软件,以建立实时的、全网段的病毒防护体系,是网络系统免遭病毒侵扰的重要保证,用户可以根据本网络的拓扑结构来选择合适的产品,及时升级杀毒软件的病毒库,并在相关的病毒防治网站上及时下载特定的防杀病毒工具查杀顽固性病毒,这样才能有较好病毒防范能力。 2.4加强网络安全意识:加强网络中用户名及密码的安全:必须为系统建立用户名和相应的密码,绝不能使用默认用户或不加密码;密码的位数不要短于6位,最好使用大、小写字母、标点和数字的混合集合,并定期更改密码;不要所有的地方都用一个密码,不要把自己的密码写在别人可以看到的地方,最好是强记在脑子里,不要在输入密码的时候让别人看到,更不能把自己的密码告诉别人;重要岗位人员调离时,应进行注销,并更换系统的用户名和密码,移交全部技术资料。对重要数据信息进行必要的加密和认证技术,以保证万一数据信息泄漏也能防止信息内容泄露。 对于网络中的硬件设备、软件、数据等都有冗余备份,并具有在较短时间内恢复系统运行的能力。对于存放重要数据库的服务器,应选用性能稳定的专用服务器,并且配备UPS等相关的硬件应急保障设备,硬盘最好作Raid备份,并定时对数据作光盘备份。 总之,要想建立一个高效、稳定、安全的计算机网络系统,不能仅仅依靠防火墙、杀毒软件等单个的系统,需要仔细考虑系统的安全需求,将系统配置、认证技术、加密技术等各个方面工作结合在一起才能够实现。当然,绝对安全可靠的网络系统是不存在的。我们采用以上措施来保护网络安全,只不过是为了让我们的网络数据在面临威胁的时候能将所遭受到的损失降到最低。 参考文献: [1]孙学军,喻梅.《计算机网络》.电子工业出版社,2003 [2]郑再欣.“浅谈计算机网络安全及防范”.《广东公安科技》,2004 [3]徐翼超.“计算机网络安全问题初探”.《交通企业管理》,2004 《网络安全与防护》说课稿 一、计算机网络技术专业岗位-能力-课程结构图 计算机网络技术专业的培养目标:培养拥护党的基本路线,德、智、体、美等方面全面发展,具有良好的科学素养,掌握计算机网络基本技能,具备网络工程组织与施工技能,具备网络管理与维护技能,成为具有计算机网络组网与设备调试、网络系统集成与维护以及网页设计与网站维护能力,适应岗位能力要求的高素质技能型人才。 对应的岗位:网络设计与施工技术员、网络管理与维护技术员。能力目标:网络工程能力、网络基础能力、网络管理能力。专业课程:《网络安全与防护》、《网络系统管理》、《综合布线与工程》、《网络设备安装与配置》、《网络工程制图(Visio或AutoCAD)》、《网页设计》、《网络技术通识》、《计算机组装与维修》 二、课程在人才培养方案中的地位、作用、性质 1、专业建设是为人才培养目标服务,课程建设是为专业课程体系服务。网络专业从“网络工程能力”、“网络基础能力”、“网络管理能力”三个不同角度分别设置相应的课程,如果用一棵树形容网络专业的课程,《网络安全与防护》课程相当于树干,起到承上启下的作用,无论“建网”中的设备管理,还是“用网”中的网络维护,都需要“网络管理能力”中的《网络安全与防护》课程的技能和知识作支撑。 2、《网络安全与防护》也对专业学习领域中的其它课程有有更好的促进作用,把《网络安全与防护》应用这些后续课程中,“建安全的网”为用户提供“安全的网络应用”,所以《网络安全与防护》课程在网络技术专业整体课程中也是起着“核心”的作用,是专业学习领域中的必修课。 3、《网络安全与防护》是计算机网络技术专业人才培养方案中专业学习领域中的必修课,属于B类课程。 三、课程教学目标(1)能力目标 能够解决不同的网络应用环境中遇到的信息安全问题,成为具备基本安全知识和技能的应用型人才,能够正确配置个人主机安全,能够规划不同应用网络环境中的安全方案,并能运用包括产品安全设置、系统安全策略制定、安全工具使用在内的安全防护技术。 (2)知识目标 掌握网络安全技术的概念与相关知识,了解网络安全相关标准,对于各类网络环境所使用的各类技术有正确的认识。 (3)态度目标 遵守国家关于信息安全的相关法律法规,不利用所掌握的技术进行入侵攻击方面的活动,有安全需求沟通的能力。 (4)总体目标 培养掌握较全面的网络安全防护技能,同时具备较高的安全素养,能够从事企事业单位的网络安全与管理的合格从业人员。 四、课程内容 本课程以个人主机、服务器、局域网三个学习情景为背景,以任务驱动:威胁分析—策略—防护措施为主线,主要讲解了以下十五个典型任务:网络攻击与防范;账号安全设置;文件系统安全设置;删除默认共享、删除IPC$空连接;关闭危险端口和不用服务;软件防火墙的使用;防病毒软件的安装、设置和使用;入侵检测系统的安装与使用;加密软件的安装与使用;组策略配置;通信安全设置;应用服务的安全设置;网络监听与防护;防火墙配置等。 五、教学方法 根据每个任务的内容特点,结合计算机网络技术专业学生的特点和工学结合的要求,以真实案例进行引导,综合运用基于工作过程的任务驱动法、案例分析法、分组讨论法、角色扮演法等教学方法开展教学。 1、案例分析法:以真实发生的安全事件为背景,引导学生分析事件中存在的安全风险及造成的影响,制定安全防护计划,选择安全技术。 2、师生互动讨论法、分组实验法:对于难度较大的任务,为了降低教学难度,先由师生互动对任务进行讨论,以引导学生正确认识安全风险及相关的安全防护技术,之后采用分组实施法开展协作学习,学生强弱搭配,几个人一组,一人操作,其他人在旁边给出参考意见,完成后交换角色,最后教师总结归纳。以此提高学生的学习积极性和参与意识,降低学习的难度,培养学生的合作精神和团队意识。 3、角色扮演法:网络安全教学任务的实施多是需要不同的角色,多方共同参与的,以体验防护技术的实施效果,比如使用sniffer抓包。 4、虚拟训练:如利用实训室设备模拟一个网络环境。 5、现场演示:如部分安全设置可在多媒体教室完成。 6、以赛促学:如分组比赛、知识竞赛等。 六、教学手段 1、多媒体教学 2、FLASH动画演示 3、网络实训室实训 4、网络资源 5、顶岗实习 6、课外阅读专业杂志 七、课程考核 本课程实施综合考评,不仅理论与技能结合,并且注重学习态度和最终成绩的平衡,注重过程考核,以全面综合地评定学生的能力。 考核办法: 1、过程考核:能力训练任务的学习过程中,对学生进行任务的安排,根据每个任务的完成情况、出勤情况与表现,作为学生的过程考核成绩,本部分占总成绩的60%。 2、期末考试:主要考察学生对理论知的掌握程度,本部分成绩占总成绩的40%。 八、教学条件 校内实训室:网络实训室现有36台学生用电脑、1台教师机、1台天融信防火墙、1台阿姆瑞特网关、1台路由器、多台交换机等网络设备,这些设备通过双绞线连接形成一个小型局域网,并且与校园网连接,可访问Internet网,完全可满足本门课程中涉及的实训项目的要求。 九、怎么教 1、任务分析 2、技能目标 3、知识链接 4、操作步骤 5、课堂讨论 6、拓展 十、“教学做一体化”案例 十一、教学团队 十二、教材加工的特点 主要以《网络安全基础与实训》为主,参考了《网络安全技术与实训》、《网络安全与管理》、《网络安全》等教材,按照项目导向、任务驱动的教学方法,围绕三个教学情境:个人主机、服务器、局域网,选择了15个任务,按照15个任务的内容要求,结合教学做一体化、重在培养能力对教材内进行了加工。 加工后的特点: 1、符合教改要求---基于工作过程的教学模式 2、摒弃了填鸭式的理论教学模式,着重培养学生的能力---实现“能力本位” 3、学习的内容是工作内容---工学结合 4、以任务为载体实现“教学做”一体化 5、学即能用,激发了学生学习兴趣 6、实训以实用为目的,理论以够用为标准第二篇:·网络安全与防护
第三篇:网络安全与防护
第四篇:计算机网络安全与防护
第五篇:《网络安全与防护》说课稿