教育資訊安全/網路防禦

內容/介紹 ·· 學校駭客攻擊 ·· 法律問題 ·· 安全意識 ·· 管理員意識 ·· 密碼學 ·· 安全條例 ·· 密碼安全 ·· 專業發展 ·· 網路防禦 ·· 移動裝置 ·· 惡意軟體 ·· 案例研究

簡介

計算機不僅徹底改變了整個社會，而且還使學校能夠更順利地執行。大量學生和員工資料可以得到有效管理，教師工作時間減少，因為不再需要手工書寫所有內容，學生可以訪問大量資訊。毫無疑問，計算機使生活變得更加輕鬆。然而，這種訪問也帶來了風險。只要有計算機，就會有罪犯等待著實施惡意行為。學區需要格外小心，因為安全方面可能存在內部和外部威脅。本章將為教育工作者介紹各種網路防禦措施。

什麼是網路防禦？

網路防禦是指採取措施保護資訊、計算機和網路免受未經授權的活動。這些防禦措施可以防止中斷或拒絕服務、效能下降或破壞。^[1]，一些網路防禦示例包括防火牆、非軍事區（DMZ）、虛擬專用網路（VPN）、入侵檢測系統（IDS）和漏洞掃描器。

防火牆

什麼是防火牆？

根據 Schneier (2000)^[2]，防火牆是阻止入侵者進入並將僅允許授權使用者進入網路的軟體或硬體。它們充當私人網路與廣闊的公共網路之間的邊界。（Schneier, 2004)^[2] 在計算機術語中使用“防火牆”一詞之前，它指的是建築物中的一堵牆，其設計目的是防止火勢從一個區域蔓延到另一個區域（How Stuff Works）^[3]，計算機中的防火牆的作用與建築物中的防火牆非常相似。網路中的防火牆確保如果防火牆的某一部分發生故障，防火牆另一側的計算機不會受到影響。學校網路的入侵者可以透過多種方式造成問題。例如，他們可以訪問教職工和學生的個人資訊，這可能會導致身份盜竊，竊取密碼資訊，傳播病毒或訪問儲存的個人文件。

防火牆如何工作？

當啟用計算機防火牆時，所有進出網路的資訊都會被監控。如果資訊被過濾器標記，則不允許其透過。例如，在一個學區中可能會有數百臺聯網的計算機。為了保護所有這些計算機免受網際網路上任何人的直接訪問，在每個網際網路連線處都安裝了防火牆。然後，IT 部門可以根據一組規則配置防火牆，這些規則決定允許哪些資訊進出網路。這允許從駭客獲得更大的安全保障。雖然學區使用防火牆和其他安全措施來保護他們的網路，但他們不能讓所有這些安全措施給他們一種虛假的安全感。如果有人突破了這些防禦措施，他們就可以在網路中生存，只要他們願意，就可以隨心所欲地做任何事。駭客可以找到網路中的漏洞，並靜默地收集敏感資訊或更改系統，留下一個後門，以便他可以隨時不受檢測地進出。[IT 安全]^[4]，因此，學區需要建立其他網路防禦措施來保護其系統。

什麼是非軍事區？

非軍事區（DMZ）是網路上放置公共服務的地方。（Schneier）^[2] 裝置無法直接從不受信任的網路訪問可信網路，因此 DMZ 充當“中間人”。例如，您可能希望將 Web 伺服器之類的裝置放置在 DMZ 中，以便 Internet 上的人員可以訪問 DMZ 中的 Web 伺服器，但不能訪問受保護的網路。如果 Web 伺服器受到攻擊，這將限制外部人員可以訪問的資訊量。DMZ 中的裝置可能對受保護網路中的某些資源具有有限的訪問許可權，例如學區的學生資料庫。

入侵檢測系統

什麼是入侵檢測系統？

入侵檢測系統 (IDS) 是網路監控器，根據 Schneier (2000) ^[2] 的說法。它們可以偵聽網路上的可疑流量，例如正在發生的攻擊。IDS 通常在攻擊發生時向監控系統的人員發出警報。這些警報可以透過電子郵件、頁面、文字或彈出視窗的形式發出。警報將讓監控人員知道攻擊的嚴重程度以及攻擊的具體型別。IDS 還會建議採取某些措施來防止或阻止攻擊。為了達到最佳效果，IDS 裝置應監控受保護和不受保護的網路上的流量。應監控不受保護的網路上的流量，以便在威脅到達受保護網路之前偵聽它們。IDS 裝置還應監控受保護網路上的流量，以便偵聽內部威脅。

入侵檢測系統是如何工作的？

IDS 裝置的工作是偵聽網路上的所有流量並尋找特定模式。它用於執行防火牆無法完成的工作。當駭客試圖進入安全網路（例如學區網路）時，防火牆會阻止這些嘗試，但不會向網路管理員發出警報。由於需要持續檢查訪問日誌，這可能是一項繁瑣的工作。這就是 IDS 有益的地方。任何試圖進入網路的嘗試都將被防火牆記錄，IDS 將分析此日誌。如果有大量的請求拒絕條目，IDS 將注意到這一點並向網路管理員發出警報。然後，管理員可以在攻擊發生後甚至在攻擊仍在發生時檢視發生了什麼 [IDS]^[5]。網路管理員然後可以分析所使用的技術、攻擊來源以及駭客使用的方法 [IDS]^[6]。

虛擬專用網路

什麼是虛擬專用網路？

根據 Schneier (2000) ^[2] 的說法，虛擬專用網路 (VPN) 只是在公共網路上建立的安全連線，它允許使用者像在同一建築物中一樣進行通訊。

虛擬專用網路是如何工作的？

虛擬專用網路 (VPN) 是一種讓遠端使用者訪問網路資源（例如印表機、伺服器和檔案共享）的方法。例如，教師可以從家中訪問學校計算機上的資訊。這是透過建立一個透過不受保護的網路加密的“隧道”來實現的。根據 Schneier (2000) ^[2] 的說法，VPN 就像防火牆上的一個洞。擁有 VPN 的人被允許透過防火牆進入網路。家庭網路和學校網路都可以被認為是受保護的網路。為了從家中進入學校網路，需要透過網際網路等不受保護的網路來訪問資料。重要的是，這種通訊必須被加密，以防止駭客在資料從學區網路傳送到遠端網路時竊取受保護的資訊。VPN 還可以防止無線資料劫持。由於無線傳輸可以被任何人捕獲，VPN 可以提供額外的安全級別，以防止未經授權檢視資料。

漏洞掃描器

什麼是漏洞掃描器？

漏洞掃描器是計算機程式，它們會評估網路上的所有裝置，查詢潛在駭客可以找到入侵途徑的已知弱點。此軟體會查詢安全漏洞並將弱點分類為安全漏洞的嚴重程度。大多數漏洞掃描器還會解釋如何糾正弱點。

漏洞掃描器是如何工作的？

漏洞掃描器的工作原理是使用已知漏洞資料庫從網路上的裝置收集資訊，然後嘗試利用發現的每個漏洞。掃描器將查詢系統上執行的服務中的安全漏洞，或者執行埠掃描以連線到正在偵聽傳入連線的主機。如果主機執行使用特定埠的應用程式，掃描器將嘗試連線到該埠並嘗試利用系統上執行的應用程式。

參考資料

↑ http://www.thefreedictionary.com/computer+network+attack，訪問日期 2010 年 4 月 17 日
↑ ^a ^b ^c ^d ^e ^f Schneier, B. (2000). Secrets and lies: Digital security in a networked world. Indianapolis, ID: Wiley Publishing, Inc. Invalid <ref> tag; name "Scheier" defined multiple times with different content
↑ http://www.howstuffworks.com/firewall.htm，訪問日期 2010 年 4 月 17 日
↑ http://www.itsecurity.com/features/intrusion-detection-for-dummies-072906/，2010 年 4 月 17 日
↑ http://www.skullbox.net/ids.php，訪問日期 2010 年 4 月 18 日
↑ http://www.skullbox.net/ids.php，訪問日期 2010 年 4 月 18 日

[1] ttp://www.thefreedictionary.com/computer+network+attack，訪問日期 2010 年 4 月 17 日

[Scheier-2] ↑ ^a ^b ^c ^d ^e ^f Schneier, B. (2000). Secrets and lies: Digital security in a networked world. Indianapolis, ID: Wiley Publishing, Inc. Invalid <ref> tag; name "Scheier" defined multiple times with different content

[3] ttp://www.howstuffworks.com/firewall.htm，訪問日期 2010 年 4 月 17 日

[4] ttp://www.itsecurity.com/features/intrusion-detection-for-dummies-072906/，2010 年 4 月 17 日

[5] ttp://www.skullbox.net/ids.php，訪問日期 2010 年 4 月 18 日

[6] ttp://www.skullbox.net/ids.php，訪問日期 2010 年 4 月 18 日

[1]

[2]

[3]

[4]

[5]

[6]