论文部分内容阅读
摘 要: 为了保证广大师生安全地使用网络,避免因网络的安全问题带来不必要的损失,本文系统、全面地对校园网络系统安全风险进行了分析。
关键词: 校园网络系统 安全风险分析 安全需求分析
校园网络系统是一个庞大的、复杂的网络系统。在这个系统内,用户多为学生,他们年轻好奇心强、喜欢探索,尝试各种软件,且安全防范意识低。校园网复杂的网络环境和各类应用软件都有可能对校园网产生安全威胁,攻击者往往是利用系统最薄弱的环节进行攻击,所以充分、全面的风险分析是设计网络安全系统的必要前提。
笔者从网络系统的物理层、链路层、网络层、操作系统层、应用层及管理层等方面对校园网络系统进行了安全风险分析与需求分析。
1.物理层安全风险分析
物理层的安全风险主要是指组成网络系统的各种设备的安全,防止因恶劣的自然环境、人为误操作、黑客攻击给网络系统带来安全威胁。
2.链路层脆弱性分析
链路层功能是接收来自网路层的IP数据报,把数据发送到制定的网络上;接收物理帧,抽出网络层数据报。Mac地址泛洪攻击、ARP欺骗等基于协议漏洞的攻击在数据链路层中还有许多。校园网校网络链路层的脆弱性主要体现在: ①ARP安全隐患;②PPP安全隐患;③ CSMA/CD安全隐患。
3.网络层脆弱性分析
网络层的功能是处理数据包在网络中的活动(packet)。网络层是异构网络的关键。接收传输层的请求,封装数据包,加包头。TCP/IP 协议最初的设计就是构建网络,缺乏对安全的考虑,所以网络层存在以下安全隐患。
(1)IP协议的安全隐患:缺少身份认证机制,不检查IP地址,产生IP欺骗攻击,尤其是地址假冒。IP数据包包含源路由选项,本来是可以指定路由,测试流量,但是可以利用源路由选项进行攻击,源路由指定了IP数据包必须经过的路由,使得入侵者可以绕开网络的安全措施,选择攻击目标。
(2)ICMP协议的安全隐患:ICMP作用:差错控制、拥塞控制(没有用户数据)。原理:利用重定向报文破坏路由和利用不可达报文发起拒绝服务攻击。方法:ICMP包为64KB,根据包标题头信息为有效载荷生成缓冲区,载荷大小超过上限,导致堆栈溢出,系统崩溃。在局域网内还可以伪造ICMP重定向包,使其经过自己主机,就会产生不可达。
4.操作系统的脆弱性分析
操作系统的安全包括网络操作系统自身的安全和提供的服务接口的安全。网络操作系统由于自身代码多,不可避免地存在安全缺陷和安全漏洞。网络操作系统虽然提供了一些,如用户验证、审计跟踪、防火墙等安全功能,但仍然存在很多安全威胁。①系统安全配置不当,操作系统本身提供了一些安全防護功能,但是这些功能没有开启,防护功能起不到保护的作用,或是系统登录秘密设置简单,容易被黑客破解进而获得管理员权限。②系统服务,操作系统开启了一些网络服务,这些服务在提供给用户使用的同时也出现了一些漏洞,这些漏洞一旦被黑客发现,就会被黑客利用,获取服务器的访问权限攻击服务器或网内的用户。③病毒和黑客,病毒的威胁和黑客的攻击是网络系统安全威胁的主要来源。针对病毒的防治要及时更新病毒库和采取最新的国际化杀毒技术,将先进的杀毒模式引进,以提高杀毒软件的杀毒能力与杀毒效率。
黑客主要是通过扫描软件,发现系统安全漏洞,利用漏洞获取管理员账号密码,进而成功入侵校园网络系统。修补这些漏洞可以使用风险评估软件找出漏洞,下载补丁,修复系统。
5.应用层安全风险分析
校园网提供给 校园网服务、FTP 服务、数据库等服务。提供服务的系统也存在安全漏洞。①校园网服务,校园网对师生提供服务、对外宣传的窗口。如果存在漏洞,则黑客可能利用DDOS技术攻击网站服务器,修改数据、篡改网站网页、使网站不能正常使用。②FTP 服务,FTP 服务给师生提供文件上传和下载文件服务,但是端口长期开放会造成不法分子将敏感信息从公共信息剥离。同时FTP 服务是明文传输,信息易被黑客截获并破解。③数据库服务,攻击者可以利用数据库存在的漏洞,获取数据的信息进行破解,引起数据泄露。④TELNET,TELNET登录时会话中账号和口令明文传输,通过会话劫持获得账号和密码。⑤DNS,DNS服务器返回的相应信息被网络主机信任。伪造IP地址请求影响服务器映射表,控制服务器。
6.管理的安全风险分析
网络安全系统的日常管理是尤为重要的。特别是对网络管理的负有管理责任的工作人员。主要的管理风险体现在以下几点:①树立保密观念,切实保护好账号密码,不使用过于简单的密码。②操作人员对系统不熟悉,安全配置没做好。③管理制度不健全,机密文件处理不当。④没有责任心,对工作不负责,有意损坏网络设备。⑤网络安全系统内部人员 利用工作便利非法获取他人信息。
笔者在校园网安全方面从物理层、链路层、网络层、操作系统的脆弱性、应用层和管理层六个方面进行了风险分析,提出了校园网安全建设目标,提供了解决校园网日益增加的网络使用和应用软件的使用造成的对校园网安全带来的不安全因素问题的解决办法,为建设高效、稳定、安全的校园网奠定了坚实基础。
参考文献:
[1]刘杰民,敬茂华.TCP/IP网络中网络层的安全问题及防范策略[J].网络安全技术与应用,2006,12.
关键词: 校园网络系统 安全风险分析 安全需求分析
校园网络系统是一个庞大的、复杂的网络系统。在这个系统内,用户多为学生,他们年轻好奇心强、喜欢探索,尝试各种软件,且安全防范意识低。校园网复杂的网络环境和各类应用软件都有可能对校园网产生安全威胁,攻击者往往是利用系统最薄弱的环节进行攻击,所以充分、全面的风险分析是设计网络安全系统的必要前提。
笔者从网络系统的物理层、链路层、网络层、操作系统层、应用层及管理层等方面对校园网络系统进行了安全风险分析与需求分析。
1.物理层安全风险分析
物理层的安全风险主要是指组成网络系统的各种设备的安全,防止因恶劣的自然环境、人为误操作、黑客攻击给网络系统带来安全威胁。
2.链路层脆弱性分析
链路层功能是接收来自网路层的IP数据报,把数据发送到制定的网络上;接收物理帧,抽出网络层数据报。Mac地址泛洪攻击、ARP欺骗等基于协议漏洞的攻击在数据链路层中还有许多。校园网校网络链路层的脆弱性主要体现在: ①ARP安全隐患;②PPP安全隐患;③ CSMA/CD安全隐患。
3.网络层脆弱性分析
网络层的功能是处理数据包在网络中的活动(packet)。网络层是异构网络的关键。接收传输层的请求,封装数据包,加包头。TCP/IP 协议最初的设计就是构建网络,缺乏对安全的考虑,所以网络层存在以下安全隐患。
(1)IP协议的安全隐患:缺少身份认证机制,不检查IP地址,产生IP欺骗攻击,尤其是地址假冒。IP数据包包含源路由选项,本来是可以指定路由,测试流量,但是可以利用源路由选项进行攻击,源路由指定了IP数据包必须经过的路由,使得入侵者可以绕开网络的安全措施,选择攻击目标。
(2)ICMP协议的安全隐患:ICMP作用:差错控制、拥塞控制(没有用户数据)。原理:利用重定向报文破坏路由和利用不可达报文发起拒绝服务攻击。方法:ICMP包为64KB,根据包标题头信息为有效载荷生成缓冲区,载荷大小超过上限,导致堆栈溢出,系统崩溃。在局域网内还可以伪造ICMP重定向包,使其经过自己主机,就会产生不可达。
4.操作系统的脆弱性分析
操作系统的安全包括网络操作系统自身的安全和提供的服务接口的安全。网络操作系统由于自身代码多,不可避免地存在安全缺陷和安全漏洞。网络操作系统虽然提供了一些,如用户验证、审计跟踪、防火墙等安全功能,但仍然存在很多安全威胁。①系统安全配置不当,操作系统本身提供了一些安全防護功能,但是这些功能没有开启,防护功能起不到保护的作用,或是系统登录秘密设置简单,容易被黑客破解进而获得管理员权限。②系统服务,操作系统开启了一些网络服务,这些服务在提供给用户使用的同时也出现了一些漏洞,这些漏洞一旦被黑客发现,就会被黑客利用,获取服务器的访问权限攻击服务器或网内的用户。③病毒和黑客,病毒的威胁和黑客的攻击是网络系统安全威胁的主要来源。针对病毒的防治要及时更新病毒库和采取最新的国际化杀毒技术,将先进的杀毒模式引进,以提高杀毒软件的杀毒能力与杀毒效率。
黑客主要是通过扫描软件,发现系统安全漏洞,利用漏洞获取管理员账号密码,进而成功入侵校园网络系统。修补这些漏洞可以使用风险评估软件找出漏洞,下载补丁,修复系统。
5.应用层安全风险分析
校园网提供给 校园网服务、FTP 服务、数据库等服务。提供服务的系统也存在安全漏洞。①校园网服务,校园网对师生提供服务、对外宣传的窗口。如果存在漏洞,则黑客可能利用DDOS技术攻击网站服务器,修改数据、篡改网站网页、使网站不能正常使用。②FTP 服务,FTP 服务给师生提供文件上传和下载文件服务,但是端口长期开放会造成不法分子将敏感信息从公共信息剥离。同时FTP 服务是明文传输,信息易被黑客截获并破解。③数据库服务,攻击者可以利用数据库存在的漏洞,获取数据的信息进行破解,引起数据泄露。④TELNET,TELNET登录时会话中账号和口令明文传输,通过会话劫持获得账号和密码。⑤DNS,DNS服务器返回的相应信息被网络主机信任。伪造IP地址请求影响服务器映射表,控制服务器。
6.管理的安全风险分析
网络安全系统的日常管理是尤为重要的。特别是对网络管理的负有管理责任的工作人员。主要的管理风险体现在以下几点:①树立保密观念,切实保护好账号密码,不使用过于简单的密码。②操作人员对系统不熟悉,安全配置没做好。③管理制度不健全,机密文件处理不当。④没有责任心,对工作不负责,有意损坏网络设备。⑤网络安全系统内部人员 利用工作便利非法获取他人信息。
笔者在校园网安全方面从物理层、链路层、网络层、操作系统的脆弱性、应用层和管理层六个方面进行了风险分析,提出了校园网安全建设目标,提供了解决校园网日益增加的网络使用和应用软件的使用造成的对校园网安全带来的不安全因素问题的解决办法,为建设高效、稳定、安全的校园网奠定了坚实基础。
参考文献:
[1]刘杰民,敬茂华.TCP/IP网络中网络层的安全问题及防范策略[J].网络安全技术与应用,2006,12.