序論:在您撰寫網(wǎng)絡(luò)安全技術(shù)論文時,參考他人的優(yōu)秀作品可以開闊視野�����,小編為您整理的7篇范文��,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
網(wǎng)絡(luò)安全技術(shù)概述
常永亮
(飛行試驗研究院測試所陜西西安710089)
【摘要】Internet是一種開放和標準的面向所有用戶的技術(shù)��,其資源通過網(wǎng)絡(luò)共享��,因此�,資源共享和信息安全就成了一對矛盾。
【關(guān)鍵詞】網(wǎng)絡(luò)攻擊����、安全預(yù)防、風(fēng)險分析�、網(wǎng)絡(luò)安全
1.引言
隨著網(wǎng)絡(luò)的迅速發(fā)展,網(wǎng)絡(luò)的安全性顯得非常重要���,這是因為懷有惡意的攻擊者竊取����、修改網(wǎng)絡(luò)上傳輸?shù)男畔ⅲㄟ^網(wǎng)絡(luò)非法進入遠程主機�����,獲取儲存在主機上的機密信息�����,或占用網(wǎng)絡(luò)資源���,阻止其他用戶使用等���。然而,網(wǎng)絡(luò)作為開放的信息系統(tǒng)必然存在眾多潛在的安全隱患�,因此,網(wǎng)絡(luò)安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注�。
一般來說,計算機系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性再加上網(wǎng)際協(xié)議的漏洞共同構(gòu)成了網(wǎng)絡(luò)的潛在威脅�����。隨著無線互聯(lián)網(wǎng)越來越普及的應(yīng)用�,互聯(lián)網(wǎng)的安全性又很難在無線網(wǎng)上實施�����,因此,特別在構(gòu)建內(nèi)部網(wǎng)時���,若忽略了無線設(shè)備的安全性則是一種重大失誤�����。
2.網(wǎng)絡(luò)攻擊及其防護技術(shù)
計算機網(wǎng)絡(luò)安全是指計算機��、網(wǎng)絡(luò)系統(tǒng)的硬件����、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護����,不因偶然或惡意的原因遭到破壞、泄露�����,能確保網(wǎng)絡(luò)連續(xù)可靠的運行��。網(wǎng)絡(luò)安全其實就是網(wǎng)絡(luò)上的信息存儲和傳輸安全。
網(wǎng)絡(luò)的安全主要來自黑客和病毒攻擊��,各類攻擊給網(wǎng)絡(luò)造成的損失已越來越大了����,有的損失對一些企業(yè)已是致命的,僥幸心里已經(jīng)被提高防御取代��,下面就攻擊和防御作簡要介紹��。
2.1常見的攻擊有以下幾類:
2.1.1入侵系統(tǒng)攻擊
此類攻擊如果成功�����,將使你的系統(tǒng)上的資源被對方一覽無遺����,對方可以直接控制你的機器。
2.1.2緩沖區(qū)溢出攻擊
程序員在編程時會用到一些不進行有效位檢查的函數(shù)�,可能導(dǎo)致黑客利用自編寫程序來進一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾,這樣當(dāng)發(fā)生緩沖區(qū)溢出時�,從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它的指令����,如果這些指令是放在有root權(quán)限的內(nèi)存中�,那么一旦這些指令得到了運行�,黑客就以root權(quán)限控制了系統(tǒng),這樣系統(tǒng)的控制權(quán)就會被奪取�����,此類攻擊在LINUX系統(tǒng)常發(fā)生�。在Windows系統(tǒng)下用戶權(quán)限本身設(shè)定不嚴謹�����,因此應(yīng)比在LINUX系統(tǒng)下更易實現(xiàn)�����。
2.1.3欺騙類攻擊
網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用�,使黑客可以對網(wǎng)絡(luò)進行攻擊,主要方式有:IP欺騙��;ARP欺騙�;DNS欺騙;Web欺騙����;電子郵件欺騙�����;源路由欺騙�;地址欺騙等���。
2.1.4拒絕服務(wù)攻擊
通過網(wǎng)絡(luò)�����,也可使正在使用的計算機出現(xiàn)無響應(yīng)���、死機的現(xiàn)象,這就是拒絕服務(wù)攻擊���,簡稱DoS(DenialofService)��。
分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu)���,從許多分布的主機同時攻擊一個目標,從而導(dǎo)致目標癱瘓����,簡稱DDoS(DistributedDenialofService)��。
2.1.5對防火墻的攻擊
防火墻也是由軟件和硬件組成的�,在設(shè)計和實現(xiàn)上都不可避免地存在著缺陷��,對防火墻的攻擊方法也是多種多樣的�,如探測攻擊技術(shù)、認證的攻擊技術(shù)等�。
2.1.6利用病毒攻擊
病毒是黑客實施網(wǎng)絡(luò)攻擊的有效手段之一,它具有傳染性�����、隱蔽性�、寄生性�、繁殖性、潛伏性�、針對性、衍生性���、不可預(yù)見性和破壞性等特性����,而且在網(wǎng)絡(luò)中其危害更加可怕�,目前可通過網(wǎng)絡(luò)進行傳播的病毒已有數(shù)萬種����,可通過注入技術(shù)進行破壞和攻擊����。
2.1.7木馬程序攻擊
特洛伊木馬是一種直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統(tǒng)的程序��。一旦安裝成功并取得管理員權(quán)限�����,安裝此程序的人就可以直接遠程控制目標系統(tǒng)���。
2.1.8網(wǎng)絡(luò)偵聽
網(wǎng)絡(luò)偵聽為主機工作模式���,主機能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅰV灰褂镁W(wǎng)絡(luò)監(jiān)聽工具�����,就可以輕易地截取所在網(wǎng)段的所有用戶口令和帳號等有用的信息資料�。
等等。現(xiàn)在的網(wǎng)絡(luò)攻擊手段可以說日新月異,隨著計算機網(wǎng)絡(luò)的發(fā)展��,其開放性��、共享性���、互連程度擴大����,網(wǎng)絡(luò)的重要性和對社會的影響也越來越大��。計算機和網(wǎng)絡(luò)安全技術(shù)正變得越來越先進�����,操作系統(tǒng)對本身漏洞的更新補救越來越及時?����,F(xiàn)在企業(yè)更加注意企業(yè)內(nèi)部網(wǎng)的安全��,個人越來越注意自己計算機的安全���。可以說:只要有計算機和網(wǎng)絡(luò)的地方肯定是把網(wǎng)絡(luò)安全放到第一位。
網(wǎng)絡(luò)有其脆弱性�����,并會受到一些威脅�。因而建立一個系統(tǒng)時進行風(fēng)險分析就顯得尤為重要了。風(fēng)險分析的目的是通過合理的步驟�����,以防止所有對網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生��。因此�����,嚴密的網(wǎng)絡(luò)安全風(fēng)險分析是可靠和有效的安全防護措施制定的必要前提���。網(wǎng)絡(luò)風(fēng)險分析在系統(tǒng)可行性分析階段就應(yīng)進行了����。因為在這階段實現(xiàn)安全控制要遠比在網(wǎng)絡(luò)系統(tǒng)運行后采取同樣的控制要節(jié)約的多����。即使認為當(dāng)前的網(wǎng)絡(luò)系統(tǒng)分析建立的十分完善�,在建立安全防護時���,風(fēng)險分析還是會發(fā)現(xiàn)一些潛在的安全問題�,從整體性���、協(xié)同性方面構(gòu)建一個信息安全的網(wǎng)絡(luò)環(huán)境��?��?梢哉f網(wǎng)絡(luò)的安全問題是組織管理和決策。
2.2防御措施主要有以下幾種
2.2.1防火墻
防火墻是建立在被保護網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障��,用于保護企業(yè)內(nèi)部網(wǎng)絡(luò)和資源�����。它在內(nèi)部和外部兩個網(wǎng)絡(luò)之間建立一個安全控制點��,對進����、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進行控制和審計�����。
2.2.2虛擬專用網(wǎng)
虛擬專用網(wǎng)(VPN)的實現(xiàn)技術(shù)和方式有很多,但是所有的VPN產(chǎn)品都應(yīng)該保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性����。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個隧道,利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密�����,以保證數(shù)據(jù)的私有性和安全性�。此外,還需要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問�。
2.2.3虛擬局域網(wǎng)
選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實施網(wǎng)絡(luò)安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上�,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)�����。一個VLAN組成一個邏輯子網(wǎng)�,即一個邏輯廣播域,它可以覆蓋多個網(wǎng)絡(luò)設(shè)備�����,允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量��、防止廣播風(fēng)暴����,還可利用MAC層的數(shù)據(jù)包過濾技術(shù),對安全性要求高的VLAN端口實施MAC幀過濾�����。而且�����,即使黑客攻破某一虛擬子網(wǎng)�,也無法得到整個網(wǎng)絡(luò)的信息,但VLAN技術(shù)的局限在新的VLAN機制較好的解決了��,這一新的VLAN就是專用虛擬局域網(wǎng)(PVLAN)技術(shù)�����。
2.2.4漏洞檢測
漏洞檢測就是對重要計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進行檢查���,發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征����。通常采用兩種策略����,即被動式策略和主動式策略。被動式策略基于主機檢測�����,對系統(tǒng)中不合適的設(shè)置�、口令以及其他同安全規(guī)則相背的對象進行檢查;主動式策略基于網(wǎng)絡(luò)檢測���,通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊��,并記錄它的反應(yīng)�,從而發(fā)現(xiàn)其中的漏洞��。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性的一個評估����,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分�����。漏洞檢測系統(tǒng)是防火墻的延伸,并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能�,保證計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。
2.2.5入侵檢測
入侵檢測系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實時捕獲下來�,檢查是否有黑客入侵或可疑活動的發(fā)生,一旦發(fā)現(xiàn)有黑客入侵或可疑活動的發(fā)生���,系統(tǒng)將做出實時報警響應(yīng)�����。
2.2.6密碼保護
加密措施是保護信息的最后防線��,被公認為是保護信息傳輸唯一實用的方法��。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應(yīng)用����,但隨著計算機性能的飛速發(fā)展���,破解部分公開算法的加密方法已變得越來越可能�。因此,現(xiàn)在對加密算法的保密越來越重要����,幾個加密方法的協(xié)同應(yīng)用會使信息保密性大大加強�����。
2.2.7安全策略
安全策略可以認為是一系列政策的集合�,用來規(guī)范對組織資源的管理、保護以及分配����,已達到最終安全的目的。安全策略的制定需要基于一些安全模型�����。
2.2.8網(wǎng)絡(luò)管理員
網(wǎng)絡(luò)管理員在防御網(wǎng)絡(luò)攻擊方面也是非常重要的�����,雖然在構(gòu)建系統(tǒng)時一些防御措施已經(jīng)通過各種測試�����,但上面無論哪一條防御措施都有其局限性���,只有高素質(zhì)的網(wǎng)絡(luò)管理員和整個網(wǎng)絡(luò)安全系統(tǒng)協(xié)同防御���,才能起到最好的效果���。
以上大概講了幾個網(wǎng)絡(luò)安全的策略,網(wǎng)絡(luò)安全基本要素是保密性��、完整性和可用��,但網(wǎng)絡(luò)的安全威脅與網(wǎng)絡(luò)的安全防護措施是交互出現(xiàn)的�����。不適當(dāng)?shù)木W(wǎng)絡(luò)安全防護��,不僅可能不能減少網(wǎng)絡(luò)的安全風(fēng)險���,浪費大量的資金�����,而且可能招致更大的安全威脅���。一個好的安全網(wǎng)絡(luò)應(yīng)該是由主機系統(tǒng)�����、應(yīng)用和服務(wù)�����、路由、網(wǎng)絡(luò)�����、網(wǎng)絡(luò)管理及管理制度等諸多因數(shù)決定的��,但所有的防御措施對信息安全管理者提出了挑戰(zhàn)����,他們必須分析采用哪種產(chǎn)品能夠適應(yīng)長期的網(wǎng)絡(luò)安全策略的要求,而且必須清楚何種策略能夠保證網(wǎng)絡(luò)具有足夠的健壯性����、互操作性并且能夠容易地對其升級。
隨著信息系統(tǒng)工程開發(fā)量越來越大���,致使系統(tǒng)漏洞也成正比的增加�,受到攻擊的次數(shù)也在增多。相對滯后的補救次數(shù)和成本也在增加���,黑客與反黑客的斗爭已經(jīng)成為一場沒有結(jié)果的斗爭��。
3.結(jié)論
網(wǎng)絡(luò)安全的管理與分析現(xiàn)已被提到前所未有的高度���,現(xiàn)在IPv6已開始應(yīng)用,它設(shè)計的時候充分研究了以前IPv4的各種問題����,在安全性上得到了大大的提高,但并不是不存在安全問題了���。在WindowsVista的開發(fā)過程中��,安全被提到了一個前所未有的重視高度�����,但微軟相關(guān)負責(zé)人還是表示����,"即使再安全的操作系統(tǒng),安全問題也會一直存在"�。
總之,網(wǎng)絡(luò)安全是一個綜合性的課題��,涉及技術(shù)�����、管理����、使用等許多方面��,既包括信息系統(tǒng)本身的安全問題�,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題�,而不是萬能的。因此只有完備的系統(tǒng)開發(fā)過程�����、嚴密的網(wǎng)絡(luò)安全風(fēng)險分析��、嚴謹?shù)南到y(tǒng)測試�����、綜合的防御技術(shù)實施、嚴格的保密政策���、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用才能完好�����、實時地保證信息的完整性和正確性���,為網(wǎng)絡(luò)提供強大的安全服務(wù)——這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。
參考文獻
[1]《網(wǎng)絡(luò)綜合布線系統(tǒng)與施工技術(shù)》黎連業(yè)著
第2篇
1.1計算機病毒
計算機病毒�,是指應(yīng)用制定好的程序輸入計算機中,對計算機的程序進行破壞��,從而影響計算機的正常使用���。與黑客相比較�����,計算機病毒的特性�����,更讓人們煩惱�。其本身不但具有破壞性,更具有傳染性���,就像普通的生物病毒一樣���,計算機病毒一旦被復(fù)制或者產(chǎn)生變種,其傳染速度是難以想象的��,一旦有一臺計算機感染和其接觸的各種移動設(shè)備也都將成為病毒網(wǎng)絡(luò)安全威脅若干因素和安全技術(shù)研究文/張欣21世紀���,是信息化的時代����,是計算機網(wǎng)絡(luò)應(yīng)用加速發(fā)展的時代��,在計算機網(wǎng)絡(luò)走進千家萬戶的同時�����,隨之而來的是網(wǎng)絡(luò)安全問題���。為了保證廣大的網(wǎng)民可以有個安全良好的網(wǎng)絡(luò)環(huán)境��,專業(yè)人士應(yīng)針對不同網(wǎng)絡(luò)的安全問題給出相應(yīng)的解決方案��。使得大家都有安全可靠的網(wǎng)絡(luò)環(huán)境��。摘要的攜帶者���,將病毒繼續(xù)傳播。除了傳染性之外���,計算機病毒的潛伏性也和生物病毒相似���,其發(fā)作的時間是可以提前預(yù)定好的,就像生物病毒的潛伏期一樣�����,在發(fā)病之前是不易被人們察覺的����,具有極好的隱蔽性,但一旦病發(fā)�,就是極其可怕的,將影響網(wǎng)絡(luò)的正常應(yīng)用���。
1.2計算機軟件漏洞
在長久的軟件應(yīng)用過程中����,發(fā)現(xiàn)了許多漏洞,使得軟件在使用過程中的安全性降低�。這些缺陷是在軟件開發(fā)編程時經(jīng)過無數(shù)次的修改測試,仍然無法解決的問題����。軟件帶著這些無法解決的遺留問題流入市場,被大家廣泛應(yīng)用����,在享受這些軟件帶給大家生活樂趣的同時,有一些黑客會懷著惡意破壞的心里��,利用這些漏洞����,對網(wǎng)絡(luò)進行破壞��。有的也可能因為軟件本身的漏洞太大�,而直接自身成為計算機的一種安全威脅。
1.3計算機的配置不當(dāng)
在普遍利用網(wǎng)絡(luò)工作和生活的今天�,有很多人��,因為對于網(wǎng)絡(luò)的認識只是表面的皮層認知���,致使在使用過程中,給計算機配置不當(dāng)?shù)木W(wǎng)絡(luò)安全設(shè)置����,例如有的防火墻就是不能很好的起到防護的作用是形同虛設(shè)的,這樣就會在無意識中加大計算機的危險性�����,可能會引起不必要的安全性問題����。
1.4使用者的安全意識薄弱
網(wǎng)絡(luò)安全問題除了上述一些客觀因素和主管專業(yè)性不強之外,還有一個很重要的因素是使用者沒有相應(yīng)的網(wǎng)絡(luò)安全意識�����,不懂得網(wǎng)絡(luò)和實際的生活一樣��,同樣是需要大家提高警惕����,在網(wǎng)絡(luò)上與他人分享私人的信息��,還有應(yīng)用軟件時輸入一些信息口令���,在大家無意識的做這些事情的同時,可能一些非法人事已經(jīng)盜取了我們的信息��,致使我們不必要的財產(chǎn)損失��。
2網(wǎng)絡(luò)的安全技術(shù)
既然網(wǎng)絡(luò)上有諸多的安全問題�,相對應(yīng)的就會有解決的辦法,下面就一一談?wù)勆鲜鰡栴}的安全技術(shù)解決方案��。
2.1入侵技術(shù)檢測
入侵檢測是指��,通過對行為����、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進行操作,檢測到對系統(tǒng)的闖入或闖入的企圖���。是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù)�����,是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)���。就像一個監(jiān)控器一樣對不安全因素有實時監(jiān)控的作用�����,可以快速及時的預(yù)防不安全因素對網(wǎng)絡(luò)產(chǎn)生的破壞���。
2.2殺毒軟件應(yīng)用
既然計算機病毒的出現(xiàn),就有殺毒軟件的應(yīng)運而生����。殺毒軟件在大多數(shù)網(wǎng)絡(luò)用戶的計算機上都屬于常用軟件,人們使用起來都是比較方便快捷操作簡單的�,但正因如此,其殺毒的功能有限���,只能針對于一些小型用戶的普通病毒進行查殺��,并不能很好的解決網(wǎng)絡(luò)安全的問題�,尤其是在電子商務(wù)飛速發(fā)展的今天��,殺毒軟件并不能很好的對網(wǎng)絡(luò)起到保護性的作用。這就要求軟件開發(fā)者不斷的技術(shù)革新��,研發(fā)出更適合現(xiàn)代網(wǎng)絡(luò)的殺毒軟件����。
2.3防火墻安全技術(shù)
防火墻技術(shù),最初是針對網(wǎng)絡(luò)不安全因素采取的一種保護措施��。顧名思義�,防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障,其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問���。對于個人來說使用軟件防火墻����,就可以很有效的解決平時遇到的網(wǎng)絡(luò)安全相關(guān)問題��。防火墻可以對黑客起到很好的防護作用�,但也并不是完全的抵御,要想實現(xiàn)真正的良好的環(huán)境����,還應(yīng)有其他的防護措施來保護網(wǎng)絡(luò)的安全。
2.4數(shù)據(jù)加密安全技術(shù)
數(shù)據(jù)加密技術(shù)是指通過特定的網(wǎng)絡(luò)密鑰才能解開計算機���,從而獲得計算機的數(shù)據(jù)����。通俗意義上說�,就是給我們比較重要的數(shù)據(jù)加個私人密碼,讓外人在非指定的機器�,沒有密碼的前提下無法獲得我們的信息,從而對我們的數(shù)據(jù)起到一個保護的作用���。而高級的密碼也可以抵御黑客和病毒的入侵���,使得我們的計算機網(wǎng)絡(luò)處于一個相對安全的環(huán)境下,保證我們的良好網(wǎng)絡(luò)環(huán)境��。
3總結(jié)
第3篇
關(guān)鍵詞:網(wǎng)絡(luò)安全防火墻加密技術(shù)PKI技術(shù)
隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡(luò)信息的安全性變得日益重要起來,已被信息社會的各個領(lǐng)域所重視���。
計算機網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防病毒���、防火墻等多個安全組件組成,一個單獨的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)��、數(shù)據(jù)加密技術(shù)�、PKI技術(shù)等,以下就此幾項技術(shù)分別進行分析�����。
一�����、防火墻技術(shù)
防火墻是指一個由軟件或和硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限�。防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本����、最經(jīng)濟、最有效的安全措施之一��。當(dāng)一個網(wǎng)絡(luò)接上Internet之后,系統(tǒng)的安全除了考慮計算機病毒�、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險���。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上���。其次對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)�。當(dāng)發(fā)生可疑動作時,防火墻能進行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄�。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響�����。
二�����、數(shù)據(jù)加密技術(shù)
與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開放的網(wǎng)絡(luò)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護,對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊�。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)分為兩類:即對稱加密和非對稱加密����。
1.對稱加密技術(shù)
對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證����。目前,廣為采用的一種對稱加密方式是數(shù)據(jù)加密標準DES,DES的成功應(yīng)用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域中。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)�����。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存���。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應(yīng)于生成密鑰的交換方����。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認證、數(shù)字簽名等信息交換領(lǐng)域�。
三、PKI技術(shù)
PKI(PublieKeyInfrastucture)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施��。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)��。由于通過網(wǎng)絡(luò)進行的電子商務(wù)�����、電子政務(wù)����、電子事務(wù)等活動缺少物理接觸,因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)�、電子政務(wù)、電子事務(wù)的密碼技術(shù),他能夠有效地解決電子商務(wù)應(yīng)用中的機密性���、真實性���、完整性、不可否認性和存取控制等安全問題�����。一個實用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟的�����。它必須充分考慮互操作性和可擴展性�。
1.認證機構(gòu)
CA(CertificationAuthorty)就是這樣一個確保信任度的權(quán)威實體,它的主要職責(zé)是頒發(fā)證書、驗證用戶身份的真實性�����。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應(yīng)當(dāng)相信持有證明的該用戶��。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改�����。
2.注冊機構(gòu)
RA(RegistrationAuthorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎(chǔ)����。RA不僅要支持面對面的登記,也必須支持遠程登記�����。要確保整個PKI系統(tǒng)的安全、靈活,就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化�����、安全的且易于操作的RA系統(tǒng)����。
3.密鑰備份和恢復(fù)
為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的,設(shè)計和實現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新�、恢復(fù),也是關(guān)系到整個PKI系統(tǒng)強健性、安全性��、可用性的重要因素�。
4.證書管理與撤消系統(tǒng)
證書是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常,這種綁定在已頒發(fā)證書的整個生命周期里是有效的�����。但是,有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況,這就需要進行證書撤消��。證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因�����。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。
四�、結(jié)束語
網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)、管理�、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題,而不是萬能的。因此只有嚴格的保密政策���、明晰的安全策略才能完好����、實時地保證信息的完整性和確證性,為網(wǎng)絡(luò)提供強大的安全服務(wù)�����。
參考文獻:
第4篇
關(guān)鍵詞網(wǎng)絡(luò)安全系統(tǒng)安全網(wǎng)絡(luò)運行安全內(nèi)部網(wǎng)絡(luò)安全防火墻
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及����,許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用����,這無疑對加快信息處理,提高工作效率����,減輕勞動強度,實現(xiàn)資源共享都起到了無法估量的作用。但教師和學(xué)生在使用校園網(wǎng)絡(luò)的同時卻忽略了網(wǎng)絡(luò)安全問題���,登陸了一些非法網(wǎng)站和使用了帶病毒的軟件�,導(dǎo)致了校園計算機系統(tǒng)的崩潰���,給計算機教師帶來了大量的工作負擔(dān)�����,也嚴重影響了校園網(wǎng)的正常運行��。所以在積極發(fā)展辦公自動化����、實現(xiàn)資源共享的同時����,教師和學(xué)生都應(yīng)加強對校園網(wǎng)絡(luò)的安全重視。正如人們經(jīng)常所說的:網(wǎng)絡(luò)的生命在于其安全性�����。因此����,如何在現(xiàn)有的條件下��,如何搞好網(wǎng)絡(luò)的安全�,就成了校園網(wǎng)絡(luò)管理人員的一個重要課題���。
作為一位中學(xué)電腦教師兼負著校園網(wǎng)絡(luò)的維護和管理����,我們一起來探討一下校園網(wǎng)絡(luò)安全技術(shù)��。
網(wǎng)絡(luò)安全主要是網(wǎng)絡(luò)信息系統(tǒng)的安全性���,包括系統(tǒng)安全�����、網(wǎng)絡(luò)運行安全和內(nèi)部網(wǎng)絡(luò)安全���。
一�、系統(tǒng)安全
系統(tǒng)安全包括主機和服務(wù)器的運行安全,主要措施有反病毒���。入侵檢測��、審計分析等技術(shù)���。
1���、反病毒技術(shù):計算機病毒是引起計算機故障、破壞計算機數(shù)據(jù)的程序�,它能夠傳染其它程序,并進行自我復(fù)制��,特別是要網(wǎng)絡(luò)環(huán)境下�,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個重要環(huán)節(jié)����,具體方法是使用防病毒軟件對服務(wù)器中的文件進行頻繁掃描和監(jiān)測,或者在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等����。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監(jiān)控,效果不錯�。
2、入侵檢測:入侵檢測指對入侵行為的發(fā)現(xiàn)����。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對它們進行分析�����,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象���,以提高系統(tǒng)管理員的安全管理能力,及時對系統(tǒng)進行安全防范����。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統(tǒng)的活動�;檢查系統(tǒng)的配置和操作系統(tǒng)的日志;發(fā)現(xiàn)漏洞�、統(tǒng)計分析異常行為等等。
從目前來看系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問題��,發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡(luò)管理人員主要任務(wù)���。當(dāng)然���,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的,但是及早地發(fā)現(xiàn)有報告的漏洞����,并進行升級補丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法��,就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站�����,對于我們有使用的軟件和服務(wù)�����,應(yīng)該密切關(guān)注其程序的最新版本和安全信息����,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對軟件進行必要的補丁和升級。許多的網(wǎng)絡(luò)管理員對此認識不夠����,以至于過了幾年,還能掃描到機器存在許多漏洞�。在校園網(wǎng)中服務(wù)器,為用戶提供著各種的服務(wù)���,但是服務(wù)提供的越多�����,系統(tǒng)就存在更多的漏洞���,也就有更多的危險�����。因此從安全角度考慮����,應(yīng)將不必要的服務(wù)關(guān)閉����,只向公眾提供了他們所需的基本的服務(wù)。最典型的是�,我們在校園網(wǎng)服務(wù)器中對公眾通常只提供WEB服務(wù)功能,而沒有必要向公眾提供FTP功能����,這樣,在服務(wù)器的服務(wù)配置中�,我們只開放WEB服務(wù),而將FTP服務(wù)禁止。如果要開放FTP功能��,就一定只能向可能信賴的用戶開放���,因為通過FTP用戶可以上傳文件內(nèi)容��,如果用戶目錄又給了可執(zhí)行權(quán)限,那么��,通過運行上傳某些程序��,就可能使服務(wù)器受到攻擊�����。所以�,信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個因素。
3�、審計監(jiān)控技術(shù)。審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程�����,它是提高安全性的重要工具���。它不僅能夠識別誰訪問了系統(tǒng)���,還能指出系統(tǒng)正被怎樣地使用�����。對于確定是否有網(wǎng)絡(luò)攻擊的情況�,審計信息對于確定問題和攻擊源很重要���。同時��,系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題����,并且它是后面階段事故處理的重要依據(jù)�。另外,通過對安全事件的不斷收集���、積聚和分析�����,有選擇性地對其中的某些站點或用戶進行審計跟蹤�,可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。因此�,除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外,還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備���,以便對進出各級局域網(wǎng)的常見操作進行實時檢查����、監(jiān)控����、報警和阻斷�����,從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為���。二�����、網(wǎng)絡(luò)運行安全
網(wǎng)絡(luò)運行安全除了采用各種安全檢測和控制技術(shù)來防止各種安全隱患外����,還要有備份與恢復(fù)等應(yīng)急措施來保證網(wǎng)絡(luò)受到攻擊后,能盡快地全盤恢復(fù)運行計算機系統(tǒng)所需的數(shù)據(jù)�����。
一般數(shù)據(jù)備份操作有三種��。一是全盤備份�,即將所有文件寫入備份介質(zhì);二是增量備份����,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法���;三是差分備份����,備份上次全盤備份之后更改過的所有文件����。
根據(jù)備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案����?��!盁醾浞荨笔侵赶螺d備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡(luò)中,只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務(wù)系統(tǒng)中存放���,具有速度快和調(diào)用方便的特點���。“冷備份”是將下載的備份存入到安全的存儲媒介中����,而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系,在系統(tǒng)恢復(fù)時重新安裝�����。其特點是便于保管���,用以彌補了熱備份的一些不足。進行備份的過程中�����,常使用備份軟件����,如GHOST等�����。
三���、內(nèi)部網(wǎng)絡(luò)安全
為了保證局域網(wǎng)安全,內(nèi)網(wǎng)和外網(wǎng)最好進行訪問隔離�����,常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進行網(wǎng)絡(luò)安全檢測����,以增強機構(gòu)內(nèi)部網(wǎng)的安全性。
1�����、訪問控制:在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中��,采用防火墻技術(shù)是目前保護內(nèi)部網(wǎng)安全的最主要的���,同時也是最在效和最經(jīng)濟的措施之一���。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口��,能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流��,且本身具有較強的抗攻擊能力��。它是提供信息安全服務(wù)���。實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問��,外界的哪些人可以訪問內(nèi)部的哪些服務(wù)�,以及哪些外部服務(wù)可以被內(nèi)部人員訪問。其基本功能有:過濾進���、出的數(shù)據(jù)��;管理進、出網(wǎng)絡(luò)的訪問行為�;封堵某些禁止的業(yè)務(wù)等。應(yīng)該強調(diào)的是�����,防火墻是整體安全防護體系的一個重要組成部分,而不是全部���。因此必須將防火墻的安全保護融合到系統(tǒng)的整體安全策略中�����,才能實現(xiàn)真正的安全�。
另外�,防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個網(wǎng)段與另一個網(wǎng)段��,防止一個網(wǎng)段的問題穿過整個網(wǎng)絡(luò)傳播�����。針對某些網(wǎng)絡(luò)���,在某些情況下��,它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任���,或者某個網(wǎng)段比另一個網(wǎng)段更敏感。而在它們之間設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響��。
2、網(wǎng)絡(luò)安全檢測:保證網(wǎng)絡(luò)系統(tǒng)安全最有效的辦法是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性評估分析�,用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),檢查報告系存在的弱點和漏洞�����,建議補救措施和安全策略��,達到增強網(wǎng)絡(luò)安全性的目的��。
以上只是對防范外部入侵�����,維護網(wǎng)絡(luò)安全的一些粗淺看法����。建立健全的網(wǎng)絡(luò)管理制度是校園網(wǎng)絡(luò)安全的一項重要措施,健康正常的校園網(wǎng)絡(luò)需要廣大師生共同來維護��。
參考文獻
1.局域網(wǎng)組建與維護DIY.人民郵電出版社,2003.05
第5篇
21世紀全世界的計算機都將通過Internet聯(lián)到一起����,信息安全的內(nèi)涵也就發(fā)生了根本的變化�����。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在�����。當(dāng)人類步入21世紀這一信息社會�、網(wǎng)絡(luò)社會的時候,我國將建立起一套完整的網(wǎng)絡(luò)安全體系�,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。
一個國家的信息安全體系實際上包括國家的法規(guī)和政策����,以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時�,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡(luò)安全問題�����,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)�����,帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。
網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點:第一�����,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化��,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了�����;第二���,網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化��;第三�,隨著網(wǎng)絡(luò)在社會個方面的延伸����,進入網(wǎng)絡(luò)的手段也越來越多,因此��,網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程����。為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面�,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)�����。
信息安全是國家發(fā)展所面臨的一個重要問題��。對于這個問題����,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它��,從技術(shù)上�、產(chǎn)業(yè)上、政策上來發(fā)展它���。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分���,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分��,甚至應(yīng)該看到它對我國未來電子化��、信息化的發(fā)展將起到非常重要的作用。
2.防火墻
網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制���,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)����,訪問內(nèi)部網(wǎng)絡(luò)資源�����,保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備�。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許�,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。
目前的防火墻產(chǎn)品主要有堡壘主機���、包過濾路由器�����、應(yīng)用層網(wǎng)關(guān)(服務(wù)器)以及電路層網(wǎng)關(guān)���、屏蔽主機防火墻、雙宿主機等類型�。
雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段���,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅�,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊����。
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)�,提出了防火墻概念后,防火墻技術(shù)得到了飛速的發(fā)展����。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。
防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇�。在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。
作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一����。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負責(zé)網(wǎng)絡(luò)間的安全認證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證����、防止病毒與黑客侵入等方向發(fā)展。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型��、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、型和監(jiān)測型���。
2.1.包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)�����。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址���、目標地址、TCP/UDP源端口和目標端口等����。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點
,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則��。
包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全��。
但包過濾技術(shù)的缺陷也是明顯的����。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡(luò)信息進行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒��。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻�����。
2.2.網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的�、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)���。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址�。
NAT的工作過程如圖1所示:
在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時�,將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口���,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址�����。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時��,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況�����,而只是通過一個開放的IP地址和端口來請求訪問���。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全�����。當(dāng)符合規(guī)則時�����,防火墻認為訪問是安全的��,可以接受訪問請求��,也可以將連接請求映射到不同的內(nèi)部計算機中�����。當(dāng)不符合規(guī)則時����,防火墻認為該訪問是不安全的,不能被接受��,防火墻將屏蔽外部的連接請求����。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的��,不需要用戶進行設(shè)置����,用戶只要進行常規(guī)操作即可�����。
2.3.型
型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展��。服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流�。從客戶機來看,服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機��。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)����。
型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效��。其缺點是對系統(tǒng)的整體性能有較大的影響,而且服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性��。
2.4.監(jiān)測型
監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義����。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的��、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入����。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用����。據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品
第6篇
系統(tǒng)安全包括主機和服務(wù)器的運行安全���,主要措施有反病毒�。入侵檢測����、審計分析等技術(shù)。
1����、反病毒技術(shù):計算機病毒是引起計算機故障、破壞計算機數(shù)據(jù)的程序�,它能夠傳染其它程序,并進行自我復(fù)制��,特別是要網(wǎng)絡(luò)環(huán)境下,計算機病毒有著不可估量的威脅性和破壞力���,因此對計算機病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個重要環(huán)節(jié)��,具體方法是使用防病毒軟件對服務(wù)器中的文件進行頻繁掃描和監(jiān)測�,或者在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等�。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監(jiān)控,效果不錯��。
2���、入侵檢測:入侵檢測指對入侵行為的發(fā)現(xiàn)�����。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對它們進行分析�����,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象,以提高系統(tǒng)管理員的安全管理能力���,及時對系統(tǒng)進行安全防范�。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統(tǒng)的活動���;檢查系統(tǒng)的配置和操作系統(tǒng)的日志�����;發(fā)現(xiàn)漏洞����、統(tǒng)計分析異常行為等等�����。
從目前來看系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問題����,發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡(luò)管理人員主要任務(wù)。當(dāng)然�,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的,但是及早地發(fā)現(xiàn)有報告的漏洞��,并進行升級補丁卻是我們應(yīng)該做的�����。而發(fā)現(xiàn)有報告的漏洞最常用的方法,就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站��,對于我們有使用的軟件和服務(wù)���,應(yīng)該密切關(guān)注其程序的最新版本和安全信息��,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對軟件進行必要的補丁和升級�。許多的網(wǎng)絡(luò)管理員對此認識不夠�����,以至于過了幾年�����,還能掃描到機器存在許多漏洞�。在校園網(wǎng)中服務(wù)器,為用戶提供著各種的服務(wù)�,但是服務(wù)提供的越多,系統(tǒng)就存在更多的漏洞�,也就有更多的危險。因此從安全角度考慮�,應(yīng)將不必要的服務(wù)關(guān)閉,只向公眾提供了他們所需的基本的服務(wù)�。最典型的是,我們在校園網(wǎng)服務(wù)器中對公眾通常只提供WEB服務(wù)功能��,而沒有必要向公眾提供FTP功能���,這樣�����,在服務(wù)器的服務(wù)配置中�,我們只開放WEB服務(wù)�,而將FTP服務(wù)禁止。如果要開放FTP功能���,就一定只能向可能信賴的用戶開放����,因為通過FTP用戶可以上傳文件內(nèi)容�����,如果用戶目錄又給了可執(zhí)行權(quán)限���,那么��,通過運行上傳某些程序���,就可能使服務(wù)器受到攻擊�。所以���,信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個因素����。
3�、審計監(jiān)控技術(shù)。審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程�����,它是提高安全性的重要工具�����。它不僅能夠識別誰訪問了系統(tǒng)��,還能指出系統(tǒng)正被怎樣地使用�。對于確定是否有網(wǎng)絡(luò)攻擊的情況,審計信息對于確定問題和攻擊源很重要�。同時���,系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題,并且它是后面階段事故處理的重要依據(jù)�。另外�,通過對安全事件的不斷收集、積聚和分析����,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞��。
因此�����,除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外��,還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備�����,以便對進出各級局域網(wǎng)的常見操作進行實時檢查��、監(jiān)控����、報警和阻斷�����,從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為��。二���、網(wǎng)絡(luò)運行安全
網(wǎng)絡(luò)運行安全除了采用各種安全檢測和控制技術(shù)來防止各種安全隱患外,還要有備份與恢復(fù)等應(yīng)急措施來保證網(wǎng)絡(luò)受到攻擊后�����,能盡快地全盤恢復(fù)運行計算機系統(tǒng)所需的數(shù)據(jù)����。
一般數(shù)據(jù)備份操作有三種。一是全盤備份�����,即將所有文件寫入備份介質(zhì)��;二是增量備份�����,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法�����;三是差分備份�����,備份上次全盤備份之后更改過的所有文件����。
根據(jù)備份的存儲媒介不同�,有“冷備份”和“熱備份”兩種方案?!盁醾浞荨笔侵赶螺d備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡(luò)中,只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務(wù)系統(tǒng)中存放�����,具有速度快和調(diào)用方便的特點��?��!袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲媒介中�����,而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系����,在系統(tǒng)恢復(fù)時重新安裝。其特點是便于保管����,用以彌補了熱備份的一些不足。進行備份的過程中���,常使用備份軟件��,如GHOST等�����。
三��、內(nèi)部網(wǎng)絡(luò)安全
為了保證局域網(wǎng)安全���,內(nèi)網(wǎng)和外網(wǎng)最好進行訪問隔離�����,常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進行網(wǎng)絡(luò)安全檢測�����,以增強機構(gòu)內(nèi)部網(wǎng)的安全性��。
1��、訪問控制:在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中,采用防火墻技術(shù)是目前保護內(nèi)部網(wǎng)安全的最主要的��,同時也是最在效和最經(jīng)濟的措施之一�����。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口��,能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流��,且本身具有較強的抗攻擊能力��。它是提供信息安全服務(wù)。實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施�����。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問��,外界的哪些人可以訪問內(nèi)部的哪些服務(wù)�,以及哪些外部服務(wù)可以被內(nèi)部人員訪問。其基本功能有:過濾進�����、出的數(shù)據(jù)��;管理進�、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的業(yè)務(wù)等�。應(yīng)該強調(diào)的是,防火墻是整體安全防護體系的一個重要組成部分��,而不是全部��。因此必須將防火墻的安全保護融合到系統(tǒng)的整體安全策略中��,才能實現(xiàn)真正的安全�。
另外�,防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制���。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個網(wǎng)段與另一個網(wǎng)段�����,防止一個網(wǎng)段的問題穿過整個網(wǎng)絡(luò)傳播�����。針對某些網(wǎng)絡(luò)��,在某些情況下�����,它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任���,或者某個網(wǎng)段比另一個網(wǎng)段更敏感���。而在它們之間設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響����。
2、網(wǎng)絡(luò)安全檢測:保證網(wǎng)絡(luò)系統(tǒng)安全最有效的辦法是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性評估分析�����,用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)����,檢查報告系存在的弱點和漏洞,建議補救措施和安全策略����,達到增強網(wǎng)絡(luò)安全性的目的。
以上只是對防范外部入侵���,維護網(wǎng)絡(luò)安全的一些粗淺看法���。建立健全的網(wǎng)絡(luò)管理制度是校園網(wǎng)絡(luò)安全的一項重要措施,健康正常的校園網(wǎng)絡(luò)需要廣大師生共同來維護�。
參考文獻
第7篇
我國電力系統(tǒng)中通常采用專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)二者相互結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)。電力系統(tǒng)的專業(yè)網(wǎng)絡(luò)包含SPDnet(調(diào)度信息網(wǎng))和SPne(t電力信息網(wǎng))二部分����。在信息網(wǎng)絡(luò)安全的前提下,與Internet網(wǎng)絡(luò)連接���。我國電力系統(tǒng)網(wǎng)絡(luò)安全劃分為三層四區(qū)���。三層:第一層自動化系統(tǒng)���,第二場為生產(chǎn)管理系統(tǒng),第三層為電力信息系統(tǒng)管理系統(tǒng)及辦公自動化系統(tǒng)�����。這三層對應(yīng)著電力網(wǎng)絡(luò)安全系統(tǒng)的四個安全工作區(qū)��。四個安全區(qū):第一個安全區(qū)是由SPDnet支撐的自動化系統(tǒng)����,該區(qū)主要是能進行實時監(jiān)控功能的系統(tǒng);第二安全區(qū)是由SPDnet支撐的生產(chǎn)管理系統(tǒng)�,該去主要為不具有控制功能的生產(chǎn)業(yè)務(wù)和批發(fā)交易區(qū)系統(tǒng);第三個安全區(qū)為SPnet支撐的進行生產(chǎn)管理系統(tǒng)�����,該區(qū)主要為調(diào)度生產(chǎn)管理的系統(tǒng)���;第四個安全區(qū)是由SPnet支撐的電力信息管理系統(tǒng)�����,包含MIS和OAS系統(tǒng)�。
2安全隔離技術(shù)
電力系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)是個內(nèi)部網(wǎng)絡(luò)��。內(nèi)部網(wǎng)絡(luò)被動防護角度的主要安全防護技術(shù)是防火墻�,主動防護角度的安全防護技術(shù)主要是安全隔離技術(shù)。安全隔離技術(shù)又被分為物理隔離技術(shù)�、防火墻技術(shù)及協(xié)議隔離技術(shù)三種技術(shù)手段。物理隔離技術(shù)是指從物理上將內(nèi)部網(wǎng)與外部網(wǎng)分離��,防止二者連接��。物理隔離能夠有效的防止黑客����、病毒入侵網(wǎng)絡(luò)系統(tǒng)中。電力網(wǎng)絡(luò)系統(tǒng)的四個安全區(qū)主要采用物理隔離技術(shù)保障其安全��。防火墻隔離技術(shù)是保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障�,能夠一定程度上的阻擋黑客及病毒的侵入。防火墻就像計算機網(wǎng)絡(luò)外的一個屏障��,起到隔離防火墻內(nèi)外連接計算機系統(tǒng)的功能���。當(dāng)外界對網(wǎng)絡(luò)進行攻擊時能對管理員提出警報��,并且保留著攻擊者的信息���。協(xié)議隔離技術(shù)是處于內(nèi)外網(wǎng)連接端點處��,通過隔離器隔離內(nèi)外網(wǎng)的技術(shù)��。當(dāng)有數(shù)據(jù)交換時����,內(nèi)外網(wǎng)就可以通過協(xié)議隔離器進行連通���。
3電力信息網(wǎng)絡(luò)的安全對策
3.1網(wǎng)絡(luò)分段
對網(wǎng)絡(luò)進行分段是控制網(wǎng)絡(luò)問題擴散的一種方式�����,能有效的保障網(wǎng)絡(luò)的安全�。能夠?qū)Ψ欠ㄓ脩襞c敏感的網(wǎng)絡(luò)資源相互隔離����,從而防止可能的非法的侵入電力信息網(wǎng)絡(luò)系統(tǒng)。
3.2數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)
數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活,更加適用于網(wǎng)路系統(tǒng)當(dāng)中�����。數(shù)據(jù)加密主要用于對動態(tài)信息的保護�����。數(shù)據(jù)加密實質(zhì)上是對以符號位基礎(chǔ)的數(shù)據(jù)進行移位和置換的變換算法����。保證只有授權(quán)用戶通過密鑰才能進入電力網(wǎng)絡(luò)信息系統(tǒng)����。
3.3漏洞掃描技術(shù)
漏洞掃描是對計算機進行全面的掃描,尋找出可能影響計算機網(wǎng)絡(luò)安全的漏洞��。漏洞掃描技術(shù)對于保護電腦和網(wǎng)絡(luò)安全必不可少���,而且需要定時進行掃描�。有的漏洞系統(tǒng)自身就可以修復(fù)���,而有些則需要手動修復(fù)���。
3.4以交換式集線器
采用共享式集成器對網(wǎng)絡(luò)進行網(wǎng)絡(luò)分段后�,仍就存在安全隱患����。這是因為在進行信息數(shù)據(jù)通信時,很容易被通一集線器上的其他用戶傾聽�,造成數(shù)據(jù)的安全隱患。采用交換式集線器能有效的避免這一現(xiàn)象��,保障網(wǎng)絡(luò)信息的安全��。
