有关网络安全的环节和网络存在的社会性问题的解决方案

网络安全社会层面的特性包括哪些~

保密性信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息

谈对网络安全的认识

近几年来，网络越来越深入人心，它是人们工作、学习、生活的便捷工具和丰富资源。但是，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet 计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。作为学校，如何建立比较安全的校园网络体系，值得我们关注研究。

建立校园网络安全体系，主要依赖三个方面：一是威严的法律；二是先进的技术；三是严格的管理。

从技术角度看，目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由、网络防病毒等，这些技术对防止非法入侵系统起到了一定的防御作用。代理及防火墙作为一种将内外网隔离的技术，普遍运用于校园网安全建设中。

网络现状

我校是一所市一级中学，目前有两所网络教室、200多台教学办公电脑，校园网一期工程为全校教教学教研建立了计算机信息网络，实现了校园内计算机联网，信息资源共享并通过中国公用Internet网（CHINANET）与Internet互连，校园网结构是：校园内建筑物之间的连接选用多模光纤，以网管中心为中心，辐射向其他建筑物，楼内水平线缆采用超五类非屏双绞线缆。3Com 4900交换机作为核心交换机；二级交换机为3Com 3300。

安全隐患

当时，校园网络存在的安全隐患和漏洞有：

1、校园网通过CHINANET与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

2、校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上泛滥成灾，而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。

3、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。我校的网络服务器安装的操作系统有Windows2000 Server，其普遍性和可操作性使得它也是最不安全的系统：本身系统的漏洞、浏览器的漏洞、IIS的漏洞，这些都对原有网络安全构成威胁。

4、随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要。

措施及解决方案

根据我校校园网的结构特点及面临的安全隐患，我们决定采用下面一些安全方案和措施。

一、安全代理部署

在Internet与校园网内网之间部署一台安全代理（ISA），并具防火墙等功能，形成内外网之间的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在安全代理，与内、外网间进行隔离。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在安全代理设置上可以按照以下原则配置来提高网络安全性：

1、据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“关闭一切，只开有用”的原则。

2、安全代理配置成过滤掉以内部网络地址进入Internet的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

3、安全代理上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

4、定期查看安全代理访问日志，及时发现攻击行为和不良上网记录，并保留日志90天。

5、允许通过配置网卡对安全代理设置，提高安全代理管理安全性。

二、入侵检测系统部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。具体来讲，就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，系统可以发出实时报警，使得学校管理员能够及时采取应对措施。

三、漏洞扫描系统

采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。

四、诺顿网络版杀毒产品部署

在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

1、在学校网络中心配置一台高效的Windows2000服务器安装一个诺顿软件网络版的系统中心，负责管理200多个主机网点的计算机。

2、在各行政、教学单位等200多台主机上分别安装诺顿杀毒软件网络版的客户端。

3、安装完诺顿杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。

4、网管中心负责整个校园网的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到诺顿网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其它200多个主机网点的客户端与服务器端，并自动对诺顿杀毒软件网络版进行更新，使全校的防毒病毒库始终处于最新的状态。

五、划分内部虚拟专网（VLAN），针对内部有效VLAN设置合法地址池，针对不同VLAN开放相应端口，阻止广播风暴发生。

六、实时升级Windows2000 Server、IE等各软件补丁，减少漏洞；实行个人办公电脑实名制。

七、安全管理

常言说：“三分技术，七分管理”，安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式，制定详细的安全管理制度，如机房管理制度、病毒防范制度、上网规定等，同时要注意物理安全，防止设备器材的暴力损坏，防火、防雷、防潮、防尘、防盗等，并采取切实有效的措施保证制度的执行。

近几年，通过对以上措施的逐步实施，我校校园网络能鸲安全正常运行，为学校教育教学工作的顺利开展提供了有力辅助，并渐入佳境。

1.网络安全的环节
究竟哪个部分才是网络中最薄弱的一环？Internet防火墙、防病毒软件、远程控制的PC、还是移动办公用的笔记本电脑？大多数的安全专家都同意这样一种观点：狡猾的电脑黑客往往可以通过向特定的用户提几个简单的问题就能入侵几乎所有的网络。

他们不仅会使用各种技术手段，还会利用社交工程学的概念来进行欺诈，通俗一点来说，他们会利用人类与生俱来的信任并帮助他人的愿望以及对未知事物的好奇心，他们利用这些弱点骗取用户名和口令，使得那些采用各种先进技术的安全防护措施形同虚设。

如果你对这种情况还没有特别的感性认识，可以参看我们的插文“黑客经常使用的5种诡计”，并反思一下自己在那种情况下是否也会轻易上当。不过在那篇插文中所涉及的诡计也只是黑客用来刺探有用信息的一部分办法而已。

实际上，电脑黑客无需与任何人交谈就能获得大量的信息，他们只要访问你所在公司的Web网站，就能知道公司的各个领导职位、财务信息、组织结构图以及员工的e-mail地址和电话号码。另外，他们还会从公司扔掉的旧文件中筛选出很多有价值的东西，比如组织结构图、市场计划、备忘录、人力资源手册、财务报表、公司规章制度和流程说明等等。黑客们会利用这些信息来获取该公司员工的信任，比如伪装成员工、客户给该公司的雇员打电话或者发邮件，一步一步获得对方的信任，最终通过他们进入公司的网络。

从公司员工那里获取信息的技术包括以下几类：

◆ 用一大堆难以理解的信息或各种奇怪的问题来搞乱某个员工的思路，让你无法摸清他到底想干什么。

◆ 黑客们还会故意给你设置一些技术故障，然后再帮你解决它以博得你的信任。这种方法被称为反向社交工程学。

◆ 用带有强烈感情色彩的语气甚至是恐吓的口气命令你服从他的指示。

◆ 如果发现你有抵触情绪，他会适当放弃几个小的要求。这样一来你就觉得你也应当满足他的要求以作为回报。

◆ 不断与你分享信息和技术而不要求任何回报（至少开始时是这样的），而当黑客们向你提出一些要求的时候，你会觉得必须告诉他们。

◆ 假装与你拥有同样的爱好和兴趣，借机混入你所在的兴趣小组；

◆ 谎称你可以帮助某个同事完成一项重要的任务；

◆ 与你建立一种看上去十分友好而且毫无利益纠葛的关系，然后一点一点从你口中套出公司的常用术语、关键雇员的姓名、服务器以及应用程序类型。

你还需要注意，有很大比例的安全问题是出在那些心怀不满的雇员或者非雇员（比如公司的客户或合作伙伴）身上，他们往往会泄露不该泄露的信息。人们总是容易忽略来自内部的危险。

当然，社交工程学并不仅仅局限于骗取公司的保密资料。黑客们也常常利用这种技术从个人用户那里骗取可用来进行网上购物的信用卡号、用户名和密码。他们常用的伎俩是通过e-mail和伪造的Web网站让用户相信他们正在访问一个著名的大公司的网站。

如果你仍然对社交工程学的作用心存疑问，至少也应该提高警惕、小心防范。Kevin Mitnick是20世纪最臭名昭著的黑客之一，他曾经多次向媒体表示，他攻破网络更多地是利用人的弱点而不是依靠技术。

另一方面，大多数公司更舍得在安全防护技术上投入大量的金钱，但却忽视了对雇员的管理。而绝大多数的安全产品和安全技术都没有考虑社交工程学的因素。那么，你究竟应该如何应对呢？

你应该从两个方面来解决这个问题：首先你应该对容易泄露公司信息的物理场所（包括办公桌、文件柜和Web网站）进行必要的保护；其次，你应该对公司的员工进行安全防范方面的教育，并制定出清晰的规章制度。

物理空间的安全可能是相对比较简单的部分。下面我们列出了一些比较重要的提示，大多数都覆盖了上述的两个方面（物理保护和规章制度）。

◆ 让所有的公司雇员和来访人员都佩戴能够表明身份的胸卡或其他标识。 对于来访的人员，一定要有专人护送他们到达目的地。

◆ 检查一下哪些文档是必须随时锁好的，哪些是可以扔进碎纸机被处理掉的。

◆ 应当把文件柜锁好并放在安全的、可监控的地方。

◆ 确保所有的系统（包括所有的客户端PC）都使用密码进行保护，应当使用强壮的口令并定期进行更改。

每台机器还应该设置为几分钟空闲后就进入屏幕保护程序，而且要设置屏幕保护口令。

◆ 如果硬盘上的文件包含有保密信息，应当使用加密的办法进行保存。

◆ 不要在公共Web网站上透露太多有关公司的信息。 建立一套良好的安全制度以及对员工进行相应的培训要更困难一些。公司员工通常意识不到他们所散布出去的信息有非常重要的价值。必须经常教育他们在面对陌生人的信息咨询时保持警惕，这样才不会轻易上当受骗。

培训员工的最好方式是让老师在培训之前先利用社交工程学技术从他们嘴里套出一些有价值的信息，然后老师再把这些例子作为反面教材进行分析和讲解。

你需要制定一套清晰的规章制度，让大家知道哪一类信息是任何情况下都不能泄露给他人的。很多表面上看上去没什么用的信息（比如服务器名称、公司组织结构、常用术语等）对黑客们来说都是有价值的。你的规章制度中应当详细说明各种信息的访问规则，而且对于应当采取的安全防范措施也应加以详细说明。对于违反这些规定的行为要有明确的惩罚措施。如果你制定的规章制度比较详细而清晰，员工就不那么容易泄漏公司信息。

目前专门用于对付社交工程学的工具还很少见，不过有些内容过滤工具和反垃圾邮件产品（比如MailFrontier Matador）可以用来防止员工通过电子邮件向外泄露信息或者防止外来的欺诈邮件。Matador采用了一系列专利技术来识别可疑的电子邮件。

与社交工程学进行斗争是一项长期而艰苦的工作，因为攻击者也会不断改进他们的战术以突破现有的防范措施。因此一旦出现了新的欺诈方式，你就需要尽快制定出新的规章制度来进行防范。而且应当不断提醒你的雇员，他们才是公司真正的防火墙。

黑客经常使用的5种诡计

①很多人都曾经收到过这样的电子邮件：许诺你有机会获得很高的奖金，而你所需要做的只是填写一张注册表单（写下你的用户名和密码）。令人吃惊的是，有相当多的人都会对这类邮件进行回复，而其中又有相当比例的人所填写的用户名和口令与他们在公司网络登录时使用的用户名和口令一模一样。黑客们只需要给一家公司的10多个员工发一封这样的电子邮件，就能轻松获得两三个网络登录口令。

②有时候在你的电脑上会突然弹出一个对话框，告诉你网络连接被中断，然后要求你重新输入用户名和口令以恢复网络连接。还有些时候你可能会收到一封看上去来自Microsoft公司的电子邮件，提醒你应当运行附件中的安全升级程序。你对这个对话框和电子邮件的合法性产生过怀疑吗？

③当你跑出去抽支烟并加入到聊天的行列时，也许会谈起最近公司邮件服务器发生的故障，对于一家大公司而言，你可能并不认识所有的员工，而这些闲聊的人中很可能混杂着一两个不明身份的黑客。

④忽然跑来一个人要看一下你老板的电脑（碰巧老板可能外出了），说是老板的Outlook出了问题，让他帮忙修复一下。这个理由听起来很有道理。Outlook软件的确经常会出问题，但为什么偏要在老板不在的时候来修理呢？

⑤有时你会接到一个自称是总裁助理的女子打来的电话，让你告诉她某些个人或者公司的信息。她会叫出公司领导的名字或者不经意透露一点只有公司内部员工才知道的信息来打消你的怀疑。
2.网络存在的社会性问题的解决方案
http://www.caoc.com.cn/DownLoad/%BC%C6%CB%E3%BB%FA%C9%F3%BC%C6%B4%F3%BD%B2%CC%B3/%BC%C6%CB%E3%BB%FA%C9%F3%BC%C6%B4%F3%BD%B2%CC%B3-4-%BC%C6%CB%E3%BB%FA%CD%F8%C2%E7%D0%C5%CF%A2%B0%B2%C8%AB.ppt#292,
在社会性网络中，由于人与人之间的交流通常是在防火墙外进行，对于交流的内容，雇主无法控制，因此社会性网络有可能成为安全和法规遵从的梦魇。举个例子，员工在日常交流中谈及彼此的工作时，就可能将公司尚未公开的项目泄露出去。

“这可能会为未来埋下隐患。”威尔斯·费高公司（Wells Fargo）高级副总裁兼首席系统架构师弗兰克·李说。让他感到担忧的是，对于员工可能将敏感资料放到不受公司控制的外部社会性网络这一事实，公司几乎无能为力。

企业社会性网络的出现消除了这种顾虑。“我们需要企业级数据和应用安全。”SelectMinds公司的伯克维奇（Berkwitch）说，“我们需要在足够自由的沟通与相对保守的企业之间谋求平衡，从而向他们确保这种沟通并不是随心所欲的脱口秀。”这一谨慎的做法，帮助SelectMinds与多家大规模的会计和财务公司建立了合作关系。

然而，SelectMinds仅仅在小范围内获得了成功。某些公司仍然回避使用无法向管理者提供绝对控制权的应用程序。

美国国家情报署A区（National Intelligence Department's A-Space）所面临的安全挑战令人瞠目结舌。这在一定程度上归咎于它选择了一个基于网络的社会性网络，而非一个需要通过16道不同的安全关卡，跨越16个不同防火墙的桌面客户端。然而，即便它选择的是后一种方式，那些保存在浏览器甚至安全内联网内的敏感数据，也必然会引起高度"关注"。

事实上，该区可以通过观察流量模式的方法确保安全，比如寻找可疑的异常搜索。“我们绝不能对此掉以轻心，”韦特默（Wertheimer）强调，“这是一场窃取情报的梦魇。你得问问自己，如果有一只坏虫子爬进来，它能偷走多少东西？尽管如此，回报仍然大于风险。”他说。

与此同时，来自社交网络的风险显然还不足以让企业安全厂商涉足其中。电子邮件过滤厂商MessageGate公司本可将其业务平台拓展到社会性网络，但他们认为并没有这个必要，MessageGate的营销副总裁罗伯特·佩兹（Robert Pease）说。

当然，并不是所有的社会性网络工具都遵循Facebook和Linkedin以社区为核心的做法，Visible Path公司就是其中之一。利用20年前发展起来的统计技术，Visible Path公司的软件产品可以通过多种途径辨别关系的强弱，比如检查信息来源，收集并分析日历，通话，电子邮件所记录的个人活动，接收和发送信息的比率，以及用于私人交流的时间长短等。

“我们非常注重商人们所从事的各种交易”，Visible PathCEO安东尼·布莱顿（Antony Brydon）称。Visible Path与商业研究机构Hoover公司旗下的Hoover's Connect网站合作，让用户了解到他们是怎样与Hoover公司数据库内的公司和个人联系在一起的。这就是通常所说的六度分割理论（Six Degrees Of Separation Concept）。Linkedin网站的做法与此相仿，也将朋友的朋友视作一种潜在的联系。

诺思罗普·格鲁曼公司（Northrop Grumman）用将近10年的时间营建了一个类似于社会性网络的系统，将其遍及美国各州以及其他几个国家的120，000名员工联系在一起。

诺思罗普公司将其称为“实践社区”，员工们围绕某个主题或技术组成不同的团队，从系统工程精英小组到新职员社区，几乎覆盖了公司的所有成员。这些社区包含与社区相关的一些文件，以及资料详尽的团队成员名单。真正的协作还需要一份电子邮件分发名单，不过，那是促进这类沟通的社区的任务了。诺思罗普公司的知识管理主任Scott Shaffar说。

“实践社区”发挥了重要的作用。比如，系统工程小组如今正致力于将工程程序以及职业发展和招聘流程规范化；通过该系统，找到了一名为日本客人提供翻译的译员；对工作感到困惑甚至茫然的新员工也有了聚集和交流经验之所。最振奋人心的是，诺思罗普公司甚至通过其社区找到了一名熟悉常用于国防部门应用程序的Ada代码的程序员，从而节省了每年50，000美元的招聘成本。

过去，年轻人推动了社会性网络的发展趋势；如今，商业人士和IT精英们也在加快步伐。诚然，社会性网络的弊端显而易见且难以回避，但对于绝大多数公司来说，其巨大价值仍有待发掘。

---

有关网络安全的环节和网络存在的社会性问题的解决方案视频