服装设计攻略范文1
猫咪图案上身传统中求变化
精灵、性感、诡谲,可塑性极强的猫咪图案,穿搭效果取决于你的心理年龄。
潮流引导标
今年的秀场上,众多模特和设计师都带着宠物出现在时装秀场上,被视为是向一直以来紧盯时尚圈的动物保护协会“表决心”之举。另一种就是将去年开始露面的猫咪款服饰推波助澜,势头大为强劲。
(容容)拼接外套 w.closet ¥678/猫咪黑色T恤w closet¥298/条纹窄腿裤 pull&bear ¥349
(雨萱)黑色毛线帽 honrys ¥78/黑色铆钉夹克 北京攻略潮流服饰卖场7-172 ¥1800/紫咪连衣裙 salad by Bauhaus ¥710/黄色豹纹马丁靴 kisskitty ¥1399
(徐潜)复古印花棒球服夹克 北京攻略潮流服饰卖场7-172 ¥580/灰咪T恤salad by Bauhaus¥610/黑色抹胸连衣裙 Bershka¥299/深咖色翻毛高跟鞋 北京攻略潮流服饰卖场7-260 ¥450
轮廓风靡
T台步向来被中国人称为“猫步”,以形容其轻巧撩人。今季的T台不仅脚下踩着“猫步”,头上还顶着猫帽,本季风潮走向可归纳为:轮廓风靡,图案次之。
脚踩“猫步”秀可爱
毛衣、蕾丝上衣、T恤上的卡通猫,乖巧得让人很难抗拒;另一方面,猫身的轮廓被用到了领口、衣服下摆的剪裁上。总之,猫咪已经占据了时装的各个领域,自然不能放过脚下踩着“猫步”的主要位置。
除了最容易做文章的猫耳帽以外,还有将猫咪缩影作为基本图案排列于鞋面上的设计,这样则是更具象的可爱猫咪形象的直接表达。
(雨萱)豹纹猫耳朵发卡 北京攻略潮流服饰卖场7-109 ¥35/黑色蝴蝶结外套 SmackyGlam¥1080/白色纱裙 honeys ¥198/黑色厚底鞋 a02 参照店内价格
(容容)红色毛衣 honeys¥268/黑色铆钉短裙 北京攻略潮流服饰卖场7-73 ¥160/红咪休闲鞋 a02 参照店内价格
猫咪纹身袜配平地猫咪鞋小秀个性
猫猫图案“纹身袜”今季非常热销。再加上极富耐心地将脚上的鞋子设计得有鼻子有眼,甚至有些品牌猫须也没忘添上,这样的单品很容易可以将全身搭配从秋冬季大块的沉闷感中解救出来。
(容容)猫咪耳朵发卡 北京攻略潮流服饰卖场7-109 ¥35/黄色毛衣 hotwind ¥248/黑色铆钉裙 北京攻略潮流服饰卖场7-73 ¥160/黄咪鞋kisskitty ¥869
(雨萱)猫咪耳朵发卡 北京攻略潮流服饰卖场7-73 ¥35/红色毛衣外套 Bershka ¥359/黑色亮点内搭 Peace Bird 参照店内价格/白色纱裙 honeys¥198/红咪鞋 北京攻略潮流服饰卖场7-268 ¥376
小夜猫的趣味演绎
猫咪趣味发挥
猫咪的风靡程度已经不是简单的图案所能表达的了,针织猫耳帽,甚至是“折耳”效果的猫眼镜架,将猫咪趣味发挥到了极致。
红耳朵彩球毛线帽北京攻略潮流服饰卖场7-63 ¥590/猫咪型眼睛框 北京攻略潮流服饰卖场7-63 ¥190/蓝色毛衣w closet¥538/黑色纱裙Peace Bird ¥369/蓝色蝴蝶结厚底鞋 kisskitty ¥1069
小细节上演“猫步”
如果你的心理年龄一直在和你的实际年龄做斗争,让你不敢做出更大胆的“猫女”,那么不如以小细节处作为突破口吧!
一点“猫女”的小性格
卡包或者装饰钥匙扣牌牌,很有些猫咪图案的物件,就在小细节处彰显你那一点“猫女”的小性格吧!
猫咪也玩“混搭”
一个猫咪的小银牌,不足以彰显你的全部,可以选择同类型的小银缀混合穿插,效果绝对出众。
猫咪耳钉 海盗船 ¥295/猫咪项链 海盗船 ¥890/猫咪和鱼骨项链 海盗船 ¥650/猫咪戒指 海盗船¥590
“性感猫女”的绝佳案例
黑色本身比较含蓄,设计出带有猫头图案的双肩包,将甜美形象统统抛弃,带出的诡异风情堪称“性感猫女”的绝佳案例。
黑耳朵帽子 北京攻略潮流服饰卖场7-268 ¥368/牛仔外套 Peace Bird 参照店内价格/黑色短袖 Peace Bird 参照店内价格/蓝色短裤pull&bear ¥149/黑咪双肩背 a02 参照店内价格/黑色铆钉高跟鞋 北京攻略潮流服饰卖场7-108参照店内价格
细节处彰显品位
服装设计攻略范文2
面对众多的网络安全问题,如何让企业的员工在信息化社会拥有一个安全的办公环境是应给予关注的问题。通过组策略技术的应用,集中、删除企业应用软件,防止员工用滥电脑娱乐和病毒的肆意传播,从而实现企业网络的安全。提高员工工作效率,加强公司电脑的管理。管理员通过对组策略的学习,工作效率大幅度提高,不再疲于奔命对每一台域中电脑反复配置。
随着技术的发展,网络克服了地理上的限制,把分布在一个地区、一个国家,甚至全球的分支机构联系起来。它们使用公共的传输信道传递敏感的业务信息,通过一定的方式可以直接或间接地使用某个机构的私有网络。组织和部门的私有网络也因业务需要不可避免地与外部公众网直接或间接地联系起来,以上因素使得网络运行环境更加复杂、分布地域更加广泛、用途更加多样化,从而造成网络的可控制性急剧降低,安全性变差。
随着组织和部门对网络依赖性的增强,一个相对较小的网络也突出地表现出一定的安全问题,尤其是当组织的部门的网络就要面对来自外部网络的各种安全威胁。
第1章 绪论
1.1 课题背景
随着计算机网络技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一,从而构成了对网络安全的迫切需求。
1.1.1计算机网络安全威胁及表现形式
计算机网络具有组成形式多样性、终端分布广泛性、网络的开放性和互联性等特征,这使得网络容易受到来自黑客、恶意软件、病毒木马、钓鱼网站等的攻击。
1.1.1.1常见的计算机网络安全威胁
(1) 信息泄露
信息被透漏给非授权的实体。它破坏了系统的保密性。能够导致信息泄露的威胁有网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵弛、物理侵入、病毒、术马、后门、流氓软件、网络钓鱼等。
(2) 完整性破坏
通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞等方式文现。
(3) 拒绝服务攻击
对信息或资源可以合法地访问,却被非法地拒绝或者推迟与时间密切相关的操作。
(4) 网络滥用
合法用户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。
1.1.1.2常见的计算机网络安全威胁的表现形式
(1)自然灾害
计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄露或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。
(2)网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦“后门”洞开,其造成的后果将不堪设想。
(3) 黑客的威胁和攻击
这是计算机网络所面临的最大威胁。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客们常用的攻击手段有获取口令、电子邮件攻击、特洛伊木马攻击、钓鱼网站的欺骗技术和寻找系统漏洞等。
(4) 垃圾邮件和间谍软件
一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。
(5) 计算机犯罪
计算机犯罪,通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
(8) 计算机病毒
20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
第2章 网络信息安全防范策略
2.1 防火墙技术
防火墙,是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指位于计算机和它所连接的网络之间的硬件或软件,也可以位于两个或多个网络之间,比如局域网和互联网之间,网络之间的所有数据流都经过防火墙。通过防火墙可以对网络之间的通讯进行扫描,关闭不安全的端口,阻止外来的DOS攻击,封锁特洛伊木马等,以保证网络和计算机的安全。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全,提供方便。
2.2 数据加密技术
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。
2.2.1私匙加密
私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建加密一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2.2.2公匙加密
公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
2.3 访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权、授权核查、 日志和审计。它是维护网络安全,保护网络资源的主要手段,也是对付黑客的关键手段。
2.4 防御病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC机上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其他资源传染,网络防病毒软件会立刻检测到并加以删除。病毒的侵入必将对系统资源构成威胁,因此用户要做到“先防后除”。很多病毒是通过传输介质传播的,因此用户一定要注意病毒的介质传播。在日常使用计算机的过程中,应该养成定期查杀病毒的习惯。用户要安装正版的杀毒软件和防火墙,并随时升级为最新版本。还要及时更新windows操作系统的安装补丁,做到不登录不明网站等等。
2.5 安全技术走向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交错的学科领域,它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此网络安全技术在21世纪将成为信息网络发展的关键技术
第3章 企业网络中组策略的应用
3.1 利用组策略管理用户环境
管理用户环境-控制用户在登录网络时有哪些权力。可以通过控制用户的桌面、网络连接和用户界面来控制用户权力。
用户环境-为用户或计算机设置的。
3.2 组策略设置的结构
专业名称表(Subject)的设计
组策略的设置总体分为:计算机配置和用户配置
计算机配置和用户配置下面又有三个子层:
(1)软件设置-统一管理所有软件,Windows设置
(2)计算机配置:脚本、安全设置
用户配置:IE维护、脚本、安全设置、远程安装服务、文件夹重定向
(3)管理模板-解决用户环境的问题
计算机配置:Windows组件、系统、网络、打印机
用户配置:Windows组件、系统、网络、桌面、控制面板、任务栏和开始菜单
3.2.1 计算机配置中的Windows配置
1.添加脚本
组策略脚本设置的功能是可以集中配置脚本,在计算机启动或关闭时,自动运行。指定在Windows 2003上运行任何脚本,包括批处理文件、可执行程序等。如果同时添加多个脚本,则Windows 2003按照从上到下的顺序执行;如果多个脚本之间有冲突,则最后处理的脚本有效。配置步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)计算机配置-Windows设置-脚本-右击“启动”-单击“添加”
3)单击“浏览”,选定要运行的脚本或可执行文件
2.计算机中的安全设置
安全设置包括:帐号策略、本地策略、事件日志、无限制的组、系统服 务、注册表、文件系统、公钥策略、IP安全策略。配置步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)计算机配置-Windows设置-安全设置-右击“登录屏幕不要显示上次登录的用户名”
3)选择“安全性”-选中“定义这个策略设置”和“已启用”
3.2.2 计算机配置中的管理模板
(1)计算机配置中的管理模板-控制计算机桌面的外观和行为
管理模板包括:Windows组件、系统、网络。Windows组件中规定了一些操作系统自带的组件,如:IE、Netmeeting、 若任务计划等。
(2)设置Windows组件。步骤如下:
1)控制面板-任务计划-添加一个任务计划
2)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
3)计算机配置-管理模板-Windows组件-选中“任务计划程序”项
4)右击“禁用‘创建新任务’”-选择“属性”-在“策略”选项卡中选中“启用”
管理模板是基于注册表的策略。在计算机和用户配置中都可以设置管理模板的内容。管理模板是组策略中可以使用的对系统进行管理最灵活的一种手段。
3.2.3 网络子树
网络子树包括:脱机文件(处理与脱机文件夹有关的事项);网络及拨号连接
禁用网络连接共享。配置步骤如下:
1)新建一个拨号连接,设置共享
2)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
3)计算机配置-管理模板-网络-网络及拨号连接
4)右击“允许连接共享”-选中“禁用”
3.2.4 用户配置中的Windows配置
Windows配置中包括:IE维护、脚本、安全设置、远程安装服务、文件夹重定向
(1)用用户策略中的IE维护为用户指定默认主页。步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)用户配置-Windows设置-IE维护-URL
3)右击“重要URL”-选择“属性”-选中“自定义主页URL”-输入网址
3.2.5 文件夹重定向
重定向文件夹。步骤如下:
1)用户配置-Windows设置-文件夹重定向-右击“My Document”子树-选择“属性”
2)在“目标”选项卡中,选择“基本”,来为每个用户在服务器上建立一个个人文件夹,文件夹名即用户名
3)在目标文件夹的位置输入路径:\\服务器名\共享文件夹名\%用户名%
4)在“设置”选项卡中设置:只有用户和系统能够访问该文件夹
文件夹重定向的功能:将用户常用的文件夹重定向到网络中的某台服务器的共享文件夹中。对用户最终的效果是:无论用户在那一台计算机上打开它自己的这些文件夹,看到的都是相同的内容。需要注意的是,文件夹重定向只是重定向用户自己创建的数据文档,而不会把系统数据重定向到网络服务器上。
3.2.6 用户配置中的管理模板-控制用户环境
用户配置的管理模板包含:Windows组件、任务栏和开始菜单、桌面、控制面板、网络、系统。
资源管理器中的策略(使资源管理器中的文件夹选项消失)
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)用户配置-管理面板-Windows组件-Windows资源管理器
3)右击“从‘工具’菜单中删除‘文件夹选项’菜单”,选择“启用”任务栏和开始菜单-控制任务栏和开始菜单中的各种环境
3.3 使用组策略管理软件
管理和维护软件可能使大多数管理员都要面对的,客户经常会问管理员他使用的软件为什么不能使用了、新软件如何安装。怎么进行软件升级等。利用Windows server 2003的软件分发功能可以很轻松的实现这些需求,这位我们的管理工作带来了极大的方便。软件分发是指通过组策略让用户或计算机自动进行软件的安装、更新或卸载。
在Windows server 2003中,可以通过使用一个站点、域、组织单元内的用户和计算机的组策略设置,来为这个站点、域、组织单元的用户和计算机自动安装、升级或删除软件。
3.3.1 软件布置(安装和维护)的步骤
(1)准备阶段
准备一个文件,以便一个应用程序能用组策略布置。为完成这个,应将用于应用程序的Windows安装程序包文件(*.msi *.zap)复制到一个软件分布点,它可能是一个共享文件夹或服务器。
(2)布置阶段
管理员创建一个在计算机上安装软件并将GPO链接到相应的活动类别容器内的组策略对象(GPO)。实际上,软件是在计算机启动或用户激活应用程序时安装。
(3)维护阶段
用新版本的软件升级软件或用一个补丁包来重新布置软件。当计算机启动时或用户激活应用程序时将自动升级或重新布置软件。
(4)删除阶段
为删除不再使用的软件,从开始布置软件的GPO中删除软件包设置。当计算机启动或用户登录时软件将被自动删除。
3.3.2 和分配软件
用组策略统一给客户端安装软件,有两种形式:、分配(指派)和分配软件,所有的软件都需要用控制面板中的“添加/删除程序”工具来安装;也可以通过文档激活自动安装。只能将软件给用户,而不给计算机。
分配软件可以将软件分配用户和计算机。通过分配软件,可以确保:
(1)软件对用户总是可用的。可以采用文档激活方法安装,如使用Word、Excel等应用程序的用户。
(2)软件是有弹性的。如果缺少某些文件,当用户下次登录并激活应用程序时,将重新安装。
(3)当给用户分配软件时,软件将出现在用户的桌面上,但是在用户双击其图标或打开与应用程序关联的文件之前,安装不会开始。
(4)当给计算机分配软件时,在计算机启动时,软件将被自动安装。
注:如果计算机是一个域控制器,分配软件给计算机将不起作用。
3.3.3 用组策略布置软件包
用组策略布置软件包(以用户配置中的软件设置为例)。步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)用户配置-软件设置-右击“软件安装”-选择“新建”-单击“程序包”
3)选择安装程序包(*.msi *.zap)-单击“打开”
4)选择布置方法为“已发行”
5)再选择另一个安装程序包,选择布置方法为“已指派”
6)在域中另一台计算机上登录,控制面板-添加/删除程序-添加新程序
注:该安装程序包所在目录必须是共享的,客户机一定要指向DNS。
服装设计攻略范文3
关键词:会话初始协议;认证;HTTP摘要;安全
中图分类号:TP393.08
文献标识码:A
0引言
会话初始协议(Session Initial Protocol,SIP)是由IETF(The Internet Engineering Task Force)提出并主持研究的一种基于应用层的多媒体会话控制协议。SIP是实现新一代多媒体通信和软交换的关键技术,用来创建、修改和终止一个或多个多媒体会话[1,2]。目前,SIP不仅被用于网络电话和软交换中,P3rdGeneration Partnership Project)及3GPP2(3rdGeneration Partnership Project 2)等组织也已经确定SIP为未来多媒体子系统的核心呼叫控制协议。
SIP采用文本形式表示消息的词法和语法,因此容易被攻击者模仿、篡改,从而被非法利用。IETF在最初设计VoIP体系及其信令协议SIP时,把重点放在了提供信令的动态的、强大的业务的可能性和简单性方面,很少注意安全特征,没有为SIP指定专门的安全协议[3]。不少文献针对SIP的这一安全性问题提出了自己的解决方案。文献[3]分析了有状态无状态服务器在承载层分别为TCP、UDP、TLS及有无HTTP摘要认证情况下的各种处理性能。文献[4]定义了在SIP用户和下一跳实体之间协商安全策略的一种机制。文献[5]提出了一种基于SIP的媒体通信安全框架结构,它能保证跳到跳间的信令安全及端到端的媒体通信安全,但结构特别复杂。文献[6]提出在注册服务器和服务器实现为一体时,如何减少认证流程以提高性能的策略。文献[7]提出了双向HTTP摘要认证和密钥协商机制,虽有效避免了服务器伪装攻击,但认证流程过于繁杂。这些文献或者没有涉及用户服务器双向认证的问题,或者提出的机制过于复杂。
本文分析了HTTP摘要认证方式的流程及存在的缺陷,并参考文献[8]中描述的3G/UMTS认证和密钥同意机制的原理,结合HTTP摘要认证,提出了一种既能实现服务器和客户端之间的双向认证,又能比较有效地避免密码猜测攻击的安全高效的认证策略。
1SIP协议
SIP运用一种分布式的控制模式,采用Client/Server结构的消息机制,将对语音通信的控制信息封装到消息的头域中,通过消息的传递来实现[4]。SIP的体系结构由五种网络实体构成:用户(User Agent, UA)、服务器(Proxy Server)、注册服务器(Register Server)、重定向服务器(Redirect Server)和位置服务器(Location Server)。
用户是客户端终端系统的应用程序,它代表要加入呼叫的用户。用户包含两个部分:用户客户端(UAC) 用来初始化一个呼叫,发起SIP请求,并作为该用户的呼叫;用户服务器(UAS)用来接收请求,代表用户发出响应,并作为被叫用户。
服务器在主叫UA和被叫UA之间转发请求和回复。服务器分为有状态和无状态两种。其区别在于有状态能记住它接收到的入请求,以及回送的响应和它转送的出请求;无状态一旦转送请求或回复后就忘记所有的信息。无状态服务器效率高于有状态服务器,成为SIP结构的骨干。
注册服务器接受客户机的注册请求,并将注册地址写入位置服务器。当用户客户端地址改变了,它用来发送一个注册请求到注册服务器来更新在位置服务器中的记录的位置信息。
重定向服务器接受SIP请求,将请求的地址映射为一个或多个联系地址,然后通知呼叫方,呼叫方直接与这些地址进行联系。
位置服务器用来维护和保存用户的当前位置信息,同时为服务器、重定向服务器、注册服务器查询或注册用户当前地址提供服务。
当前,SIP安全变得越来越重要。SIP和IP电话标准化的过程中的一个热点问题就是如何加强安全支持以满足业务需要[4]。当客户机请求得到SIP服务时,它需要首先得到服务器的认证。基于以上的原因,RFC2543提出了HTTP Digest和HTTP Basic两种认证方式。由于Basic这种认证方式在消息明文中直接传送密码,因此密码很容易在传送过程中被窃取,存在很大的安全隐患,在RFC3261中这种方式被废除。
在HTTP Digest认证方式中,服务器采用一种基于挑战响应的方式来验证用户的身份。这种方式虽然不在消息中明文传送密码,但也存在很大的安全隐患。例如,客户端不能验证服务器的身份,如果攻击者伪装成服务器就能获得用户的一些敏感信息。除此之外,这种方式还容易遭受离线密码猜测的攻击。
2HTTP Digest认证[5]
2.1认证流程
认证开始前,客户端和服务器预先共享一个密码。服务器用这个密码用来验证客户端的身份。认证流程如图2。
Step1客户端服务器:
客户端发送一个请求到服务器。
Step2服务器客户端:
服务器要验证客户端身份的合法性,向客户端回送一个包含nonce和realm的摘要盘问消息,即challenge.nonce是服务器产生的一个包含时间戳信息的随机数串,realm通常指服务器所负责管辖的域的域名。
Step3客户端服务器:
客户端根据收到的nonce、realm及自己的用户名和共享密码通过一个单向哈希函数F计算response值。response=F(nonce,username,realm, password)。通常F被用来产生一个摘要认证信息,多数情况下用的是MD5算法。然后客户端将response值发送给服务器。
Step4
通过用户名,服务器在数据库中提取出密码,然后检验nonce是否正确。如果正确,服务器计算F(nonce,username,realm, password),然后将结果跟收到的response比较,如果匹配,服务器就认为客户端是一个合法的用户。
2.2认证存在的缺陷
1) 离线密码猜测攻击
在步骤2和步骤3中,攻击者通过截获消息,很容易获得nonce,username,realm及response的值,接着攻击者猜测密码password′,并计算F(nonce,username,realm, password′),将结果值与response值进行比较,如果匹配,则password′便是正确的密码。
2) 服务器伪装攻击
如果用户不验证服务器的身份是否合法,当它收到服务器发来的challenge消息时,就会回复一个response。这样一个攻击者可以伪装成服务器的身份向用户发送challenge来获得response,收到response值后,它就可以离线猜测用户的正确密码了。具体步骤如下:
Step1客户端攻击者:
客户端发送一个请求到服务器,中途被攻击者截获。
Step2攻击者客户端:
攻击者产生一个包含nonce′和客户端所属域realm的挑战信息,并发送给客户端。
Step3客户端攻击者:
客户端用F(nonce′,username, password,realm)计算出response值,并将其发送给攻击者。
Step4攻击者收到客户端的回复后,它就获得了nonce′,username,realm和response的值,然后就可以离线猜测密码,直到猜出用户真正的密码。
3一个安全的认证策略
3.1认证流程
由于以上认证方式存在着容易遭受离线密码猜测攻击和服务器伪装攻击的缺陷,我们提出了一种安全的认证机制,这种方式可以实现客户端和服务器的相互认证并有效弥补了离线密码猜测攻击的缺陷。认证流程如图3(图中表示异或,•表示数串连接符号)。
认证开始前,服务器端和客户端预先共享一个密码pw和一个比较大的认证序号SEQ(SEQ以递增的顺序进行),认证流程如下:
Step1客户端服务器:
客户端发送一个请求到服务器。
Step2服务器客户端:
服务器计算两个参数AK和AM的值:AK=F(username, pw),AM=F(SEQ, pw),AC为AKSEQ与AM连接后的结果,这种连接方式为服务器和客户端预先设定好的一种方式,比如说AC中从密码长度位开始的一部分为AM,其余字段为AKSEQ。F仍然是前面所提到的单向哈希函数,然后服务器向客户端发送挑战信息,其中包括username,realm,AC三个参数的值。
Step3客户端服务器:
客户端计算AK′=F(username, pw),并与收到的AKSEQ进行异或计算,得出SEQ′=AK′AKSEQ,验证SEQ′的正确性。如果收到的SEQ′≠SEQ,说明服务器方产生的挑战信息不是最新的,停止以下步骤的进行。如果SEQ′=SEQ,则继续验证服务器的身份,计算AM′=F(SEQ, pw),比较AM′与收到的AM是否相等,如果不相等说明服务器身份不合法,拒绝向服务器发送response信息;否则认为服务器是可信任的,计算K=F(pwSEQ),response=F(username,realm,K),接着向服务器发送Response消息,包含username,realm和response的值。
Step4服务器计算F(username,realm,K)的值,并与收到的response进行比较,如果匹配,则服务器器验证了客户端的身份。
3.2安全性分析讨论
1) 重放攻击
由于SEQ是不断更新的,当服务器进行重放攻击时,客户端能够根据SEQ的值判断出服务器方发来的挑战信息是旧值,并予以拒绝。用AKSEQ传送有效避免了SEQ的值在网络中被窃取的可能。因此重放攻击在本算法中行不通。
2) 服务器伪装攻击
在步骤3中,通过验证SEQ的正确性以及AM的正确性,两次验证了服务器的身份。显然,攻击者服务器无法伪装成服务器来欺骗用户。
3) 离线猜测密码攻击
如果response值被截获,攻击者猜测密码pw′和SEQ′,并计算K′=F(pw′SEQ′),response′=F(username,realm,K′)以匹配response的值。这就要求K′=K,如果两个未知参数pw和SEQ的数值均比较复杂的话,所得解的个数将非常巨大。因此这种方式非常有效地避免了密码猜测的攻击。
4试验结果分析
为验证本算法的效率,我们在Linux下编写了一个试验模拟系统。本系统由两部分构成:注册客户端和注册服务器。函数F使用MD5。注册服务器集成了认证服务和位置服务的功能。注册流程仍然与标准的注册流程一样(注册与认证一块进行):
Step1客户端向注册服务器发出一个注册请求。
Step2注册服务器检验请求信息中无认证信息,向客户端发出挑战信息。
Step3客户端验证注册服务器身份合法后,向注册服务器返回Response信息。
Step4注册服务器验证了用户身份合法后,将注册地址写入位置服务器,并向客户端返回200 OK信息。
注册客户端为多线程程序,运行在硬件配置为奔腾 Ⅳ3GHz,392M内存,操作系统为Linux RedHat 9的PC机上。服务器端运行在硬件配置相同,操作系统为Linux Fedora 2的PC机上。客户端和服务器之间通过100M快速以太网相连。SIP承载层使用UDP协议,服务器为有状态服务器。
在本试验中,客户端的每个线程串行产生一系列注册过程(比如80个)。当前一个注册流程完成时,新的注册立即开始,而各个线程之间是并行的。我们通过测量客户端的一个线程在1Bs内完成的注册流程数(即单线程吞吐量)计算服务器的总吞吐量。若总线程数为N,则每个线程的吞吐量为服务器总吞吐量的1/N,д庋服务器总吞吐量便可计算出来。表3显示了注册服务器在不同线程下的处理性能。图中的吞吐量表示服务器在1Bs内所能处理的认证流程的个数。用同样的方法,在同样的配置环境下,我们测量了在HTTP摘要认证策略下的服务器处理性能。
我们将这两种策略下服务器总吞吐量对比转化为百分比,并规定HTTP摘要认证策略下为100%。对比关系如表4。
表4中的数据表明,我们提出的这种安全策略在效率上基本上可以达到HTTP摘要认证策略的80%。如果将两者中的最大吞吐量进行对比,对比关系为0.784,也非常接近80%。因此本算法不失为一个高效的算法。
服装设计攻略范文4
【关键词】 电力信息系统 数据库 安全 问题 防护措施
1 引言
随着我国电力企业持续推进信息化进程,数字化电网已经得到初步构建,电力企业内部相关系统向规范化、集成化和标准化发展。现阶段,电力系统用于数据存储中心和运行支撑平台的数据库主要包括:DB2、Sybase、SQL Server、Oracle等,其中SQL Server和Oracle是最为常见的两种类型的数据库。
由于电力信息系统的开发方通常都只重视系统的性能及功能,而没有关注安全性指标。特别是对于数据库来说,所采取的安全策略都是默认的,使得防护措施缺乏必要的综合性和有效性,导致电力信息系统的安全风险较高。
当前,我国电力企业的信息系统可以分为管理信息类和生产控制类这两大类型。而对于其涵盖的子系统,由于本文篇幅有限,就不再赘述。由于电力信息系统主要采用的是SQL Server 2以及Oracle两种类型的数据库系统,因此笔者重点针对这两张类型数据库,对存在的主要风险进行分析,并提出相应的安全防护措施。
2 数据库系统存在的主要安全问题
笔者在深入的对电力企业信息系统数据库的管理情况和运行情况进行分析之后,认为其主要存在的安全问题如下:审计策略不严、敏感信息泄露、危险储存过程、默认安全策略、补丁升级迟滞、口令强度不足、权限设置不当以及缺乏必要的综合安全防护措施。
(1)审计策略不严。SQL Server 2以及Oracle两种类型的数据库系统均提供了日志审计功能,不过一般情况下都处于默认关闭状态。我国多数电力企业基本没有开启过日志审计功能,使得数据库事件无法被跟踪,特别是对发生攻击事件后的事故追踪和分析产生了制约。(2)敏感信息泄露。通常较为容易泄露的是用户敏感数据以及数据库服务Banner信息。前者主要指的是诸如企业敏感数据、用户名/口令等敏感数据的加密级别较低,从而提高了获得敏感数据的容易性,为电力企业信息系统的安全埋下了潜在的隐患。而后者泄漏的信息主要包括数据库的运行情况、服务名称和版本等,使攻击者获得大量有用的信息。(3)危险储存过程。一方面数据库拥有复杂的、强大的功能,方便了用户的操作,另一方面,通过其内置的储存过程,能够基于数据库系统实现邮件收发、文件下载、网络访问、执行操作系统命令和访问操作系统文件等功能,使得数据库面临潜在的安全风险。攻击者往往会利用这些存储过程来达到获得主机权限的目的。(4)默认安全策略。对于默认安全策略来说,主要涵盖了默认的远程访问控制策略、默认的非必需的安装组件以及默认的口令策略(必然口令复杂程度和口令有效时间、最大错误登陆次数等都保持初始设置)等方面。默认口令策略会导致电力企业信息系统数据库存在暴利破解的安全风险,而默认的非必需的安装组件会使得系统开发更多的服务,增加系统潜在的安全风险。(5)补丁升级迟滞。一般来说,电力信息系统在运行之后,就基本上不对数据库开展升级操作,担心由于数据库升级导致数据库故障,甚至出现数据丢失的现象。但是,不同版本的数据库系统都存在着众多的安全漏洞,从而造成攻击者控制数据库或是病毒爆发的现象。举例来说,Oracle 8i、9i就存在着公开的缓冲区溢出漏洞,通过栈的溢出操作,攻击者就可以利用Oracle进程权限来执行所有指令。(6)口令强度不足。众多数据库系统在安装过程中普遍存在着默认账户及口令的现象,而电力企业信息系统在安装完成后,通常都没有采取必要的加固措施,使得电力信息系统暴露在攻击者面前。(7)权限设置不当。在电力信息系统的构建过程中,厂商一般都通过系统管理员账户来进行安装和调试工作,虽然一定程度上减轻了工作量,但是也使得系统存在明显的安全风险。攻击者一旦攻破数据库,就会导致该台服务器被完全控制。(8)缺乏必要的综合安全防护措施。综合防护措施对于数据库系统有着重要的作用,但是电力信息系统还存在着边界防火墙没有关于同数据库服务相关端口、未严格设置数据库访问策略等现象,导致电力信息系统存在着较多的安全风险。
3 电力信息系统数据库安全防护措施
(1)设置审计策略。必须开启日志审计功能,重点审计敏感信息操作事件、数据库结构操作事件以及登陆事件等。(2)加密敏感信息。一定要对数据库的banner信息进行修改,就常用的Oracle数据库来说,可以利用监听器服务口令的设置来达到避免信息泄露现象的出现。(3)针对危险储存过程开展针对性的卸载操作。应当同信息系统的开发厂商紧密配合,对普通账户的危险储存过程进行限制,同时对非必需的储存过程进行卸载,并完成关联文件的删除。(4)优化安全策略。口令策略的设置一定要科学合理,尤其是口令复杂程度、口令有效时间、口令失效后锁定时间以及最大错误登陆次数等。安装过程中只选择必需的组件,并在安装结束后关闭非必需的服务。(5)及时进行补丁升级。一定要对数据库系统厂商的安全公告保持实时的关注,在对数据库风险进行评估之后,制定针对性的升级补丁的方案。在不对信息系统产生影响的情况下,进行补丁升级。(6)提升口令强度。电力信息系统管理员应当定期检查数据库中的无用账户,对无用账户进行删除或锁定,并完成系统权限账户设置一定强度的口令的工作,并定期进行修改。(7)权限的严格控制。基于最小权限原则来创建针对性的账户。(8)综合防护措施的合理运用。对电力信息系统数据库的访问控制策略进行科学合理的设置,限制能够进行数据库访问的用户和IP地址。对应用服务和数据库服务进行分离,并在边界防火墙上禁止数据库服务的相关端口。
4 结语
对于电力信息来说,其数据安全和运行安全直接受数据库安全的影响。本文所涉及的安全防护措施,在经过实际应用之后,大大的提升了电力信息系统的安全性。
参考文献
[1]寇建涛.电力信息系统安全分析与思考[J].科技资讯,2009(36).
服装设计攻略范文5
关键词: Windows;操作系统;安全配置
中图分类号:TP31 文献标识码:A 文章编号:1671-7597(2012)0410012-01
0 前言
无论是公用计算机还是个人电脑,倘若在完成Windows系列操作系统安装后没有进行良好有效的安全配置便会令其暴露于较多不良威胁之中,一些机密隐私信息数据会被不法分子轻易盗取。面对开放自由的网络环境,不加任何安全配置的计算机其系统崩溃或中毒机率会大大增加,很容易遭到黑客侵袭,影响系统正常的服务运行,令工作效率大大下降。为有效提升Windows系统综合安全性能,本文就系统安全配置策略展开探讨,意图通过简便、优质的策略制定为系统营造一个真正可靠安全、快速健康运行的客观环境,使各项计算机技术真正发挥优势效能。
1 硬盘分区采用NTFS系统格式,为系统安全可靠打下坚实基础
在进行Windows操作系统安装之前,应将计算机与网络断开,避免在安装系统阶段感染病毒,受到不良威胁。同时硬盘分区的文件系统应采用NTFS格式,提升系统综合安全性能。与FAT格式相比NTFS格式文件系统是一种更为先进的分区文件系统技术,其显著特征在于具有较高的综合安全性。同时该分区模式能够控制访问的随机性,对于存储于计算机系统中的单个文件或是文件夹,可通过权限指定令每位用户仅能依据系统所分配的权限实施操作,有效避免本地访问产生的不良影响,用户远程访问共享文件夹的权限是选取共享权限和本地权限中最低权限,从而有效保障了各类数据与系统本身的安全性。
2 帐号管理安全配置策略
2.1 合理控制用户帐号数量和帐号权限
用户帐号是Windows操作系统使用者的身份标识,如果系统中存在的帐号过多,其为黑客入侵创造的可乘之机、包含的漏洞便会越多。因此应尽最大可能减少系统开通的有效帐号,并对系统的各类帐号应进行定期检查,随时观察是否有新型账号的出现,或用户是否增加了帐号,及时删除遗留的测试帐号、临时帐号以及不经常应用的帐号,杜绝不良系统安全隐患。用户帐号资源访问权限应合理设置,尽量只分配满足其完成任务所需要的最小权限,避免用户权限分配过大造成系统安全威胁。同时在处理普通应用任务时,应使用普通用户权限操作,避免入侵攻击者入侵系统后获取当前较高的用户权限而造成较严重的破坏后果。
2.2 有效配置来宾帐号和管理帐号
Windows系统中通常包含一个未设密码方便远程用户访问的来宾用户帐号Guest,虽然系统默认设置其为停用状态,但是入侵攻击者通常采用一种特殊攻击方式将该帐号启用并非法登陆至计算机系统中,展开窃取攻击行为。为有效杜绝该类攻击,应给Guset帐号设置一组相对复杂、难于破解的密码并且设置拒绝其远程访问,提升系统综合安全性。管理帐号往往由于有较大的系统权限而容易被黑客攻击利用,因此对管理帐号要合理配置。比如重新命名Windows系统默认的管理帐号,再创建一个与原帐号相同名称的普通帐号,并给与该帐号最低权限且使其仅隶属于Guests组,同时还可以为其设置一个较强壮的帐号密码,令黑客入侵者误认为该账号为系统默认管理帐号而进行攻击,从而及早发现其入侵行为意图,采取安全防范措施并可以进行反向追踪。如果系统存在多个管理者,不能共用同一账户而应为每个管理者独立创建帐号,既可以防止唯一的管理员帐号被锁而无法进行操作,还可以确定知道每一项网络管理操作的实施人,从而更容易找出安全隐患问题。
2.3 严格配置共享权限和帐户策略
Windows系统中Everyone组的权限代表所有用户帐号都具备该权限,因此具有较大风险,所以应尽量避免将任何系统资源权限分配给Everyone组,而是根据实际需要给与相关系统账户相应的授权来提升系统安全水平。同时在系统安全配置中实施严格的帐户管理策略和锁定策略,比如当系统登陆用户输入密码错误次数达到一定限制后便可将该用户锁定,并限制其在一定时期内不可再次登陆,从而有效预防猜测系统密码并实施入侵的非法行为,保障系统安全良好运行。
3 设置密码安全配置策略
设置强壮的帐号密码是保障系统安全运行的重要一步,一旦黑客或攻击者破解了帐号密码组合,便可轻松获取其想要攻击的系统资源的相应访问权从而实施攻击,因此应针对实际系统环境设置密码策略。一个强壮的密码通常是由数字、大小写字母与特殊字符等共同构成,同时还要满足一定的长度要求,比如十位以上,这样的密码在一定时间内是难以被破解的。在某些特殊环境中还应适时更换密码,尤其是当发现网络入侵攻击行为时应立刻更换密码。这样黑客或攻击者在无法得到有效的帐户密码组合时,只能通过其他方法实施攻击,便于攻击的辨别和跟踪。Windows系统中可通过开启并配置系统密码策略,令系统对用户帐户密码的复杂性、长度要求以及密码更换时间等实施严格控制,提高系统安全等级。
4 有效配置防火墙与防毒软件,合理选择应用软件与系统服务
防火墙技术可有效阻挡预防黑客入侵者对Windows系统的攻击,保护系统信息综合安全。操作系统刚安装完成后是最为脆弱的阶段,应及时启用系统自带的防火墙保护系统安全。另外,系统的每一个端口均可能被入侵攻击者扫描并利用成为进行攻击、窃取的通道,为此应配置防火墙只开启必须的系统服务端口,关闭不必要的系统端口。杀毒软件能够有效阻止病毒
对系统的破坏及在网络中的大肆蔓延。因此应使用正版杀毒软件与防火墙工具定期系统地进行查杀毒,为系统建立一道安全可靠的屏障,同时还应对其进行定期升级更新最新病毒库,提升软件查杀后门程序、木马病毒、预防监测攻击行为的准确性与效率性,为Windows系统提供良好应用环境。应用软件是Windows系统必不可少的一个部分,然而部分免费软件和开源软件本身潜在诸多安全问题,如使用该类软件将对系统的安全性带来极大隐患,因此在选择应用软件时应注重对其进行调研和评估,选择信誉良好的软件应用。对于系统默认开启的服务如终端服务,或某些软件开启的服务,为避免其增加系统安全隐患漏洞,应在系统日常应用中定期检查服务的开启情况,对不必要的开启服务实施关闭、停用处理,进而断绝通过开启服务实施的恶意攻击行为。
5 科学设置审核策略和系统日志访问权限
开启审核策略可以将帐号发生在系统上的一些行为记录到系统日志中,是入侵检测的一种基本手段,入侵攻击者实施尝试窃取用户密码、非法访问系统资源、更改账户策略等行为都会被全面记录,从而尽快分析并找到引发系统出现异常的根本原因。安全审核策略会记录每一个系统事件,而正常情况下系统发生的事件大部分是良性的,导致审计日志内容过多,反而将很难从中分辨所需内容。因此建议根据实际情况只选择审核那些可能造成问题的事件,如系统登陆审核、访问对象成功审核、系统特权使用审核等等。系统日志文件存储记录了其自身各类服务运行的相关细节,因而对确保系统的安全可靠稳定性发挥至关重要的作用。但通常系统未对该类文件进行保护,因此为增强系统综合安全性,可将系统日志文件设置为相关访问控制权限,进而减少系统漏洞不给入侵攻击者可乘之机。
6 及时下载系统补丁,定时备份敏感文件实施数据恢复
系统漏洞是软件在逻辑设计上的缺陷或错误,Windows系列操作系统后随着用户的深入使用,系统漏洞被不断暴露出来。入侵攻击者通常会利用这些漏洞将制造的病毒或木马软件植入目标系统中,从而达到控制目标系统、窃取重要资料信息、攻击破坏系统等目的。因此应经常访问微软官方网站或一些知名安全站点,及时下载并测试安装系统最新补丁,修补现有系统漏洞,修正运行问题,确保系统稳定运行。同时还要定时备份重要系统配置文件以及敏感文件,备份文件不能存放在本系统内,而应是另外一个安全的存储设备中,以便一旦系统被黑客破坏或敏感文件被篡改后及时还原回正常状态,还可利用数据恢复软件找回部分丢失的文件数据,提升系统本身抗攻击能力。
7 结束语
总之,Windows系列操作系统的综合安全性尤为重要,为有效预防黑客入侵攻击与不良窃取行为、降低系统安全隐患,只有通过制定科学有效的安全配置策略,做到防患于未然、处处细心,不给不法分子留下可乘之机,才能真正提升Windows操作系统综合安全性能水平,令其发挥优势应用价值,并推进信息化建设事业的持续健康发展。
参考文献:
服装设计攻略范文6
【关键词】计算机公共机房 网络安全 网络环境 病毒 网络攻击
一、引言
高校计算机公共机房是网络使用较为集中的场所,师生可以在此完成获取信息、学习授课、以及公共讨论等各种活动,极大地方便了教学工作,也为高校发展提供了强有力的支持。然而网络所具有的开放式特性使得机房在安全性上具有很大的隐患,这就要求机房管理人员不仅要在诸如防火墙、漏洞扫描、入侵检测、数据加密等软硬件安全防护方面,还要从安全制度、管理制度以及先进的技术等手段加强防范,只有这样才能有效的保证公共机房的网络安全。
二、高校计算机公共机房主要存在的网络安全问题
(一)网络硬件方面存在的安全问题
要保证机房网络安全首先要保证网络硬件及周边环境的安全稳定,网络硬件是网络中的各种设备,连接设备以及传输介质等,主要包括交换机、路由器、硬件防火墙等。不能满足设备正常工作的环境条件会降低设备的寿命和可靠性,从而发生数据丢失或其他的安全威胁等问题。机房要全面考虑诸如UPS、配电、温度、湿度、防静电、防火、防雷电等各种安全因素,防止因这些问题引发设备故障或损坏。
(二)系统方面存在的安全问题
操作系统以及应用软件在开发过程中并不能保证一定没有缺陷和漏洞。现如今机房内大部分使用的是微软的操作系统,像Windows XP,Windows 2003,Windows 7等,这些系统本身是存在漏洞的,虽然随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,漏洞也会不断被系统供应商的补丁软件修补或在以后的新版系统中得以纠正,然而在修整旧的漏洞的同时可能会引起新的漏洞,这样旧的漏洞不断消失,新的漏洞不断产生,像协议及服务方面出现诸如ipv4安全漏洞、telnet漏洞、E-mail漏洞等,数据库中出现的数据格式、口令加密等漏洞,诸如此般,系统会不可避免地遭到病毒或人为的攻击。应用软件在使用过程中可能出现计算、传输数据的泄露和失窃,在用户界面、产品接口、硬件结构接口和全局数据结构方面出现逻辑,指针,循环,递归,功能等缺陷。有的开发者还会在自己设计的软件中设置后门,这就增加了系统受到攻击的可能性。
(三)计算机病毒
病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒会给计算机系统造成危害,由于系统及软件存在的各种漏洞与缺陷,再加上机房内师生人流量大并且允许进出各种便携存储设备,机房内感染病毒的概率非常高。病毒的传染性可导致机房内电脑大面积受到感染,使得网上传输或存在计算机系统中的信息被篡改、窃取和破坏,使计算机网络无法正常运行,严重时会瘫痪整个系统和网络。
(四)网络攻击
网络攻击可以分为外网攻击和内网攻击。外网攻击是是指由连接在由连接在公有网络(外部网络)上的机器发起的攻击,该攻击具有攻击点多,来源不确定,手段种类繁多等特点。内网攻击是由内部网络上的机器发起的攻击,攻击类型多为越权访问,即查阅不属于他权限范围内的信息。网络攻击的方法主要有口令入侵、特洛伊木马、www欺骗、节点攻击、网络监听、黑客软件、安全漏洞、端口扫描等。
三、机房网络安全问题应对策略
针对不同的安全问题,高校计算机公共机房应制定相应的应对策略。
(一)保证机房物理环境的安全与稳定
要保护机房内计算机设备、设施免遭自然灾害、环境事故以及人为的操作失误等造成的破坏,首先要确保环境安全,包括安装电子监控设备,灾难预警、应急处理和恢复等设备,应配置UPS系统,良好的屏蔽和避雷设备,火灾自动报警装置等。其次要确保设备安全,要防盗上锁、接地保护等。最后要保证媒体及媒体数据的安全。
(二)建立完善的数据备份系统
目前大部分机房内对系统的保护一般采用的是安装硬盘保护卡的方式,它主要的功能就是还原硬盘上的数据。每一次开机时,硬盘保护卡总是让硬盘的部分或者全部分区恢复先前的内容。任何对硬盘受保护的分区的修改都无效,这样就起到了保护硬盘数据的作用,另外硬盘保护卡还能保护CMOS的设置参数不变。除此之外还可以利用软件对硬盘数据进行保护,常见的像“冰点还原”、“迅闪还原”、“美萍视窗锁王”等。利用“GHOST”技术对硬盘数据进行克隆生成数据备份,当系统出现故障时可以用备份文件在短时间内,将系统恢复到备份时的状态。
(三)建立完善的防病毒系统
硬件防火墙具有强化网络安全策略的功能。在内外网之间建立以硬件防火墙为中心的安全方案配置,在防火墙上安装安全软件可有效防范病毒入侵。通过先进的漏洞扫描工具对系统进行扫描,及时发现漏洞并迅速安装补丁。在PC端应安装如金山、瑞星、360等杀毒软件并及时更新病毒库,这样可以有效保护电脑。设置不允许用户关闭、删除或者禁用杀毒软件。严格控制机房内U盘、MP3等移动存储设备的使用,指导师生在使用前先检测自带的存储设备。系统浏览器安全等级设置为中等,必要时禁止java和ActiveX控件的安装,减少网页木马的感染几率。
(四)提高网络安全防范意识,建立安全制度
在对计算机公共机房网络攻击进行分析和识别的基础上制定针对性的策略,加强安全管理,统一安全管理策略,建立积极主动的安全管理方法。充分发挥机房管理人员的积极性与集体力量,建立包括计算机网络安全制度、计算机操作规程、机房管理制度等在内的安全制度和规程并严格执行。加强计算机管理人员的业务技术学习,不断提高自身技术水平,提高防范意识。除此之外还要加强学生的网络安全意识,学校应通过各种教学手段和活动提高学生的网络素质,教育学生建立正确的上网观念,不浏览、不下载、不传播不健康和非法网站,不利用所学知识攻击他人、盗窃信息和财物等。
参考文献:
[1]章志玲,徐晴.计算机硬件与网络安全 [J]. 计算机光盘软件与应用,2011(2)
[2]连纯华.高校计算机房网络安全隐患及应对策略[J].网络财富,2009(4)
[3]孙海燕,张常君.如何防范计算机网络攻击[J].《黑龙江科技信息》,2010(29)
[4]高永刚.计算机网络安全问题与防范方式研究[J].《科技创新与应用》,2014(4)
作者简介:
