网站原创摘 要:网上录取是高考制度改革项的内容之一,已在全国各省、市、自治区广泛实施,收到了良好的社会效果.但同时来自网络安全方面的威胁已对网上录取的顺利实施构成了巨大的挑战,如何保证网上录取中的网络安全已成为一项重要工作,本文就此提出了一些思考和解决措施.
关 键 词:高校招生;网上录取;网络安全
中图分类号:G64文献标识码:A文章编号:1003-949X(2008)-09-0028-02
一、使管理与技术联姻,降低网络安全的风险
省级招办在网上录取期间,各种各样承担不同功能的怎么写作器有几十台,再加上工作人员使用的行使各种招生职能的客户机,总共要达到数百台.这么多的机器,没有一个统一有效的管理是根本无法协调工作的.这数百台机器,光是网段的划分和IP地址的划分就是一门很大的学问,稍有配置不当就会给日后的网络安全工作留下巨大的隐患[1].另外,几十台怎么写作器口令的管理,怎么写作器上存放信息的管理,用户帐号和的管理,都是网上录取期间确保网络安全的前提条件,没有高标准严要求的管理,网络的安全将是十分脆弱的.只有立足于管理,并以优质的安全产品作支撑,以一定的技术手段来实现,才能保证录取网络的安全.安全技术是依靠IT的管理技术来实现的,也就是说,要以策略为核心,要做好网上录取的安全.在管理与技术相结合的模式下,要从不同层面、不同角度做细化的评估和分析.要对IT资产进行分类,如按应用软件、应用系统等,发现每一部分的资产价值,然后来找到IT资产的价值.评估是为了发现风险,风险是对网上录取造成危险的可能性,风险取决于本身资产的价值;另外还取决于对网上录取采取了什么样的风险规避措施,比如说弱口令,如果已经有了一个制度来规避它,如每周换一个,这样就把风险降低了.
二、安装操作系统或应用程序时不要使用默认值
几乎所有的操作系统或应用程序的厂商都会提供用户快速安装的功能,虽然厂商的设计是为了方便用户,但是在绝大多数用户不知情的情况下,系统却同时间却安装了许多不必要功能.相比之下,这种所谓采默认值安装的操作系统或应用程序,往往是造成安全漏洞的祸首.一旦这些不明的功能出现漏洞,而偏偏用户又一无所知,且未实时加以修补的话,就往往会成为入侵的最佳通道.就操作系统来说,采用预设的安装通常都会连带安装超出用户所需的功能与网络怎么写作,碰巧最喜欢通过这些网络怎么写作与通讯端口来进行入侵的动作.[2]因此,所安装或开放的功能、网络怎么写作与通讯端口越少,就越不得其门而入.同样地,以默认值安装的应用程序,通常内含不必要的范例程序或是Scripts.一些常见的网站怎么写作器漏洞即是因这些范例程序或是Scripts所造成,可以利用这些不为用户所知的范例程序或Scripts所造成的漏洞来进行入侵、或取得该系统上的信息.绝大多数被安装在应用程序上的范例程序或是Scripts不仅未经过严谨的安全控制与设计,也未落实错误检查的工作,相反地,却成了进行bufferovenqow缓冲区溢位攻击的最佳通道.切记删除或关闭操作系统或是应用程序上不必要的功能、网络怎么写作与通讯端口.
三、关闭不必要的网络通讯端口
网络通讯端口是合法用户连接至主机端取得怎么写作的通道,同样地,也是利用同样的途径来人侵.所以说,主机上开放的通讯端口越多,他人就越容易与你的系统联机.因此,减少系统上开放的通讯端口数目是网络安全最有效的防范措施之一,除了有必要对外提供怎么写作的通讯端口之外,其他通讯端口应予以关闭.我们可以利用操作系统上内建的“Netstat”指令来检查哪些通讯端口是处于开放或是聆听的状态,但是光靠Netstat是不够的,我们还可以使用端口号扫描工具(portscan.ner)来做更进一步的确认[3].如果“Netstat”与端口号扫描工具所产生的结果不同的话,应该立即做深入的检查.一旦两者的结果相符,接下来即是进行埠号确认的工作,除要了解每一个通讯端口开放的原因之外,还应该掌握每一个开放的通讯端口所代表的意义与其相关的网络怎么写作.任何无法确认或辨别的网络通讯端口应该尽快关闭.
四、病毒防护:将病毒扼杀在萌芽中
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力,防范病毒是实现网上录取网络安全的的一项重要工作,采用反病毒技术可以有效地防范病毒.反病毒技术包括预防、检测和攻杀3项功能,一般防毒软件均采用此技术.让任何类型的网络免受病毒攻击最保险和最有效的方法是对网络中的每一台计算机安装防病毒软件,并定期对软件巾的病毒定义进行更新.网上录取的防毒工作主要包含客户端防毒、怎么写作器端防毒、群件防毒和INTERNET防毒4大类.客户端防毒和怎么写作器端的防毒国内外产品很多,对于防毒软件的选择,应该根据自己的使用条件和应用环境,选择怎么写作及信誉好的厂商和经销商.基于群件的应用越来越广泛,对群件包的扫描需求也越来越迫切,各厂商都推出了相应的群件防毒产品INTERNET.防毒包括对电子邮件和FvrP文件中的病毒防护,以及ACTIVEX和JA等恶意程序攻击的抵制[4].
五、漏洞扫描:探查网络薄弱环节
安全扫描采用模拟攻击的形式对可能存在的已知安全漏洞进行逐项检查,扫描目标可以是工作站、怎么写作器、交换机和数据库应用等,通过扫描,可以为系统管理员提供周密可靠的安全性分析报告,从而提高网络安全整体水平.在网络安全体系的建设中,安全扫描工具花费低,效果好,见效快,安装运行简单.
六、入侵检测:非法来访者禁止入内
网络入侵检测系统可以分为基于网络数据包分析和基于主机检测两种方式[5].简单地说,前者在网络通信中寻找符合网络入侵模板的数据包,并立即做出反应.当前,部分产品也可以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为,一旦攻击被检测到,响应模块依照相应配置对攻击做出反应.通常这些反应有发送电子邮件、寻呼、记录日志和切断网络连接等.后者在宿主系统审计日志文件中寻找攻击特征,给出统计分析报告.主要目的是在事件发生后提供足够的分析来阻止进一步的攻击,反应的时间依赖于定期检测的时间间隔,其实时性没有基于网络的入侵检测系统好.事实上,上述两种方式可以互相补充使用.基于网络的部分提供早期警告,基于主机的部分提供攻击成功与否的确认.