序論:在您撰寫網絡安全論文時�,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導您走向新的創(chuàng)作高度����。
第1篇
[論文摘要]隨著計算機技術的發(fā)展,在計算機上處理業(yè)務已由單機處理功能發(fā)展到面向內部局域網�、全球互聯(lián)網的世界范圍內的信息共享和業(yè)務處理功能。在信息處理能力提高的同時��,基于網絡連接的安全問題也日益突出�,探討了網絡安全的現(xiàn)狀及問題由來以及幾種主要網絡安全技術。
隨著計算機網絡的發(fā)展�����,其開放性�,共享性,互連程度擴大�����,網絡的重要性和對社會的影響也越來越大����。而網絡安全問題顯得越來越重要了。國際標準化組織(ISO)將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護�����,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞��、更改和泄漏”�����,上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容�����,其邏輯安全的內容可理解為我們常說的信息安全�����,是指對信息的保密性���、完整性和可用性的保護��,而網絡安全性的含義是信息安全的引申����,即網絡安全是對網絡信息保密性���、完整性和可用性的保護�。
一、網絡的開放性帶來的安全問題
眾所周知���,Internet是開放的,而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患�,黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)�。在這樣的斗爭中,安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注�����。為了解決這些安全問題�,各種安全機制、策略和工具被研究和應用�。然而,即使在使用了現(xiàn)有的安全工具和機制的情況下�����,網絡的安全仍然存在很大隱患��,這些安全隱患主要可以歸結為以下幾點:
(一)每一種安全機制都有一定的應用范圍和應用環(huán)境
防火墻是一種有效的安全工具���,它可以隱蔽內部網絡結構����,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問��,防火墻往往是無能為力的�����。因此��,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為�����,防火墻是很難發(fā)覺和防范的�。
(二)安全工具的使用受到人為因素的影響
一個安全工具能不能實現(xiàn)期望的效果,在很大程度上取決于使用者��,包括系統(tǒng)管理者和普通用戶�����,不正當?shù)脑O置就會產生不安全因素���。例如��,NT在進行合理的設置后可以達到C2級的安全性���,但很少有人能夠對NT本身的安全策略進行合理的設置�����。雖然在這方面,可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設置�,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較,針對具體的應用環(huán)境和專門的應用需求就很難判斷設置的正確性��。
(三)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題����,多數(shù)情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說�����,眾所周知的ASP源碼問題��,這個問題在IIS服務器4.0以前一直存在��,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼��,從而可以收集系統(tǒng)信息����,進而對系統(tǒng)進行攻擊。對于這類入侵行為�����,防火墻是無法發(fā)覺的�,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的����,唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。
(四)只要有程序���,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞����。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來��,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG�。系統(tǒng)的BUG經常被黑客利用����,而且這種攻擊通常不會產生日志�,幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內存溢出的BUG��,現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范��。
(五)黑客的攻擊手段在不斷地更新���,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)
然而安全工具的更新速度太慢�����,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應太慢�。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時,其他的安全問題又出現(xiàn)了���。因此��,黑客總是可以使用先進的�、安全工具不知道的手段進行攻擊�。
二�、網絡安全的主要技術
安全是網絡賴以生存的保障���,只有安全得到保障�����,網絡才能實現(xiàn)自身的價值��。網絡安全技術隨著人們網絡實踐的發(fā)展而發(fā)展�����,其涉及的技術面非常廣�����,主要的技術如認證���、加密、防火墻及入侵檢測是網絡安全的重要防線�。
(一)認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息�����。
(二)數(shù)據(jù)加密
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它���。主要存在兩種主要的加密類型:私匙加密和公匙加密����。
1.私匙加密����。私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙���。私匙加密為信息提供了進一步的緊密性��,它不提供認證����,因為使用該密匙的任何人都可以創(chuàng)建��、加密和平共處送一條有效的消息�。這種加密方法的優(yōu)點是速度很快����,很容易在硬件和軟件中實現(xiàn)�����。
2.公匙加密�。公匙加密比私匙加密出現(xiàn)得晚���,私匙加密使用同一個密匙加密和解密��,而公匙加密使用兩個密匙�,一個用于加密信息��,另一個用于解密信息����。公匙加密系統(tǒng)的缺點是它們通常是計算密集的,因而比私匙加密系統(tǒng)的速度慢得多�����,不過若將兩者結合起來�,就可以得到一個更復雜的系統(tǒng)。
(三)防火墻技術
防火墻是網絡訪問控制設備���,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)���,它不同于只會確定網絡信息傳輸方向的簡單路由器�����,而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)�����。大多數(shù)防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸?shù)墓?��,其中最流行的技術有靜態(tài)分組過濾、動態(tài)分組過濾���、狀態(tài)過濾和服務器技術�,它們的安全級別依次升高����,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網絡連接能力���。此外,現(xiàn)今良好的防火墻還采用了VPN����、檢視和入侵檢測技術�����。
防火墻的安全控制主要是基于IP地址的����,難以為用戶在防火墻內外提供一致的安全策略����;而且防火墻只實現(xiàn)了粗粒度的訪問控制,也不能與企業(yè)內部使用的其他安全機制(如訪問控制)集成使用��;另外�����,防火墻難于管理和配置���,由多個系統(tǒng)(路由器�、過濾器�����、服務器、網關����、保壘主機)組成的防火墻,管理上難免有所疏忽���。
(四)入侵檢測系統(tǒng)
入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?,F(xiàn)象的技術��,是一種用于檢測計算機網絡中違反安全策略行為的技術�����。在入侵檢測系統(tǒng)中利用審計記錄����,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動�����,以保護系統(tǒng)的安全���。在校園網絡中采用入侵檢測技術�����,最好采用混合入侵檢測���,在網絡中同時采用基于網絡和基于主機的入侵檢測系統(tǒng),則會構架成一套完整立體的主動防御體系�。
(五)虛擬專用網(VPN)技術
VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一����,所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數(shù)據(jù)通過安全的“加密管道”在公共網絡中傳播���。用以在公共通信網絡上構建VPN有兩種主流的機制�����,這兩種機制為路由過濾技術和隧道技術�����。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)���、加解密技術(Encryption&Decryption)�、密匙管理技術(KeyManagement)和使用者與設備身份認證技術(Authentication)�����。其中幾種流行的隧道技術分別為PPTP���、L2TP和Ipsec�。VPN隧道機制應能技術不同層次的安全服務����,這些安全服務包括不同強度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等����。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN�;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶發(fā)起的和服務器發(fā)起的���。
(六)其他網絡安全技術
1.智能卡技術����,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體��,由授權用戶持有并由該用戶賦與它一個口令或密碼字�,該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯(lián)合使用�����。
2.安全脆弱性掃描技術�,它為能針對網絡分析系統(tǒng)當前的設置和防御手段���,指出系統(tǒng)存在或潛在的安全漏洞��,以改進系統(tǒng)對網絡入侵的防御能力的一種安全技術����。
3.網絡數(shù)據(jù)存儲�、備份及容災規(guī)劃,它是當系統(tǒng)或設備不幸遇到災難后就可以迅速地恢復數(shù)據(jù)���,使整個系統(tǒng)在最短的時間內重新投入正常運行的一種安全技術方案�����。
4.IP盜用問題的解決��。在路由器上捆綁IP和MAC地址����。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符�����,如果相符就放行�。否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息�����。
5.Web�����,Email�����,BBS的安全監(jiān)測系統(tǒng)�����。在網絡的www服務器、Email服務器等中使用網絡安全監(jiān)測系統(tǒng)�����,實時跟蹤�、監(jiān)視網絡,截獲Internet網上傳輸?shù)膬热?��,并將其還原成完整的www、Email�����、FTP�、Telnet應用的內容,建立保存相應記錄的數(shù)據(jù)庫�。及時發(fā)現(xiàn)在網絡上傳輸?shù)姆欠▋热荩皶r向上級安全網管中心報告�����,采取措施����。
第2篇
[論文摘要]隨著計算機技術的發(fā)展���,在計算機上處理業(yè)務已由單機處理功能發(fā)展到面向內部局域網、全球互聯(lián)網的世界范圍內的信息共享和業(yè)務處理功能����。在信息處理能力提高的同時,基于網絡連接的安全問題也日益突出��,探討了網絡安全的現(xiàn)狀及問題由來以及幾種主要網絡安全技術�。
隨著計算機網絡的發(fā)展,其開放性��,共享性���,互連程度擴大�����,網絡的重要性和對社會的影響也越來越大����。而網絡安全問題顯得越來越重要了。國際標準化組織(ISO)將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護�����,保護計算機硬件�����、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞���、更改和泄漏”�����,上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全���,是指對信息的保密性����、完整性和可用性的保護�����,而網絡安全性的含義是信息安全的引申�����,即網絡安全是對網絡信息保密性、完整性和可用性的保護��。
一����、網絡的開放性帶來的安全問題
眾所周知,Internet是開放的���,而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患�,黑客和反黑客�、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中��,安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注�。為了解決這些安全問題,各種安全機制��、策略和工具被研究和應用�����。然而,即使在使用了現(xiàn)有的安全工具和機制的情況下���,網絡的安全仍然存在很大隱患����,這些安全隱患主要可以歸結為以下幾點:
(一)每一種安全機制都有一定的應用范圍和應用環(huán)境
防火墻是一種有效的安全工具�,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問��。但是對于內部網絡之間的訪問���,防火墻往往是無能為力的��。因此�,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為�,防火墻是很難發(fā)覺和防范的。
(二)安全工具的使用受到人為因素的影響
一個安全工具能不能實現(xiàn)期望的效果�,在很大程度上取決于使用者�����,包括系統(tǒng)管理者和普通用戶����,不正當?shù)脑O置就會產生不安全因素���。例如,NT在進行合理的設置后可以達到C2級的安全性����,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面����,可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設置,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較�����,針對具體的應用環(huán)境和專門的應用需求就很難判斷設置的正確性�。
(三)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數(shù)情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺�����。比如說���,眾所周知的ASP源碼問題��,這個問題在IIS服務器4.0以前一直存在��,它是IIS服務的設計者留下的一個后門�����,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼����,從而可以收集系統(tǒng)信息,進而對系統(tǒng)進行攻擊�。對于這類入侵行為,防火墻是無法發(fā)覺的����,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的�����,唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴��。
(四)只要有程序��,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞��。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來��,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG��。系統(tǒng)的BUG經常被黑客利用��,而且這種攻擊通常不會產生日志���,幾乎無據(jù)可查��。比如說現(xiàn)在很多程序都存在內存溢出的BUG�,現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范��。
(五)黑客的攻擊手段在不斷地更新�����,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)
然而安全工具的更新速度太慢�,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應太慢���。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時�,其他的安全問題又出現(xiàn)了���。因此��,黑客總是可以使用先進的���、安全工具不知道的手段進行攻擊���。
二、網絡安全的主要技術
安全是網絡賴以生存的保障�,只有安全得到保障,網絡才能實現(xiàn)自身的價值���。網絡安全技術隨著人們網絡實踐的發(fā)展而發(fā)展���,其涉及的技術面非常廣,主要的技術如認證����、加密、防火墻及入侵檢測是網絡安全的重要防線����。
(一)認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息��。
(二)數(shù)據(jù)加密
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它�。主要存在兩種主要的加密類型:私匙加密和公匙加密����。
1.私匙加密。私匙加密又稱對稱密匙加密�����,因為用來加密信息的密匙就是解密信息所使用的密匙�。私匙加密為信息提供了進一步的緊密性,它不提供認證���,因為使用該密匙的任何人都可以創(chuàng)建��、加密和平共處送一條有效的消息����。這種加密方法的優(yōu)點是速度很快����,很容易在硬件和軟件中實現(xiàn)。
2.公匙加密����。公匙加密比私匙加密出現(xiàn)得晚��,私匙加密使用同一個密匙加密和解密��,而公匙加密使用兩個密匙�����,一個用于加密信息����,另一個用于解密信息���。公匙加密系統(tǒng)的缺點是它們通常是計算密集的���,因而比私匙加密系統(tǒng)的速度慢得多,不過若將兩者結合起來����,就可以得到一個更復雜的系統(tǒng)。
(三)防火墻技術
防火墻是網絡訪問控制設備����,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)���,它不同于只會確定網絡信息傳輸方向的簡單路由器,而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)�����。大多數(shù)防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸?shù)墓?�,其中最流行的技術有靜態(tài)分組過濾�����、動態(tài)分組過濾����、狀態(tài)過濾和服務器技術���,它們的安全級別依次升高���,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網絡連接能力����。此外�,現(xiàn)今良好的防火墻還采用了VPN����、檢視和入侵檢測技術。
防火墻的安全控制主要是基于IP地址的����,難以為用戶在防火墻內外提供一致的安全策略;而且防火墻只實現(xiàn)了粗粒度的訪問控制��,也不能與企業(yè)內部使用的其他安全機制(如訪問控制)集成使用����;另外,防火墻難于管理和配置����,由多個系統(tǒng)(路由器、過濾器�、服務器、網關���、保壘主機)組成的防火墻���,管理上難免有所疏忽���。
(四)入侵檢測系統(tǒng)
入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術����,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄��,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動���,從而達到限制這些活動,以保護系統(tǒng)的安全����。在校園網絡中采用入侵檢測技術,最好采用混合入侵檢測�����,在網絡中同時采用基于網絡和基于主機的入侵檢測系統(tǒng)�����,則會構架成一套完整立體的主動防御體系。
(五)虛擬專用網(VPN)技術
VPN是目前解決信息安全問題的一個最新��、最成功的技術課題之一���,所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡���,使數(shù)據(jù)通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制��,這兩種機制為路由過濾技術和隧道技術�。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)、加解密技術(Encryption&Decryption)���、密匙管理技術(KeyManagement)和使用者與設備身份認證技術(Authentication)����。其中幾種流行的隧道技術分別為PPTP�、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務�����,這些安全服務包括不同強度的源鑒別����、數(shù)據(jù)加密和數(shù)據(jù)完整性等���。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN�����;按隧道協(xié)議可分為第二層和第三層的�����;按發(fā)起方式可分成客戶發(fā)起的和服務器發(fā)起的����。
(六)其他網絡安全技術
1.智能卡技術����,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體�,由授權用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內部網絡服務器上注冊的密碼一致���。智能卡技術一般與身份驗證聯(lián)合使用��。
2.安全脆弱性掃描技術�����,它為能針對網絡分析系統(tǒng)當前的設置和防御手段��,指出系統(tǒng)存在或潛在的安全漏洞��,以改進系統(tǒng)對網絡入侵的防御能力的一種安全技術�。
3.網絡數(shù)據(jù)存儲、備份及容災規(guī)劃���,它是當系統(tǒng)或設備不幸遇到災難后就可以迅速地恢復數(shù)據(jù)�����,使整個系統(tǒng)在最短的時間內重新投入正常運行的一種安全技術方案�。
4.IP盜用問題的解決���。在路由器上捆綁IP和MAC地址����。當某個IP通過路由器訪問Internet時����,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符���,如果相符就放行。否則不允許通過路由器��,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息��。
5.Web���,Email��,BBS的安全監(jiān)測系統(tǒng)�����。在網絡的www服務器�、Email服務器等中使用網絡安全監(jiān)測系統(tǒng)���,實時跟蹤、監(jiān)視網絡��,截獲Internet網上傳輸?shù)膬热?����,并將其還原成完整的www、Email�����、FTP�、Telnet應用的內容,建立保存相應記錄的數(shù)據(jù)庫��。及時發(fā)現(xiàn)在網絡上傳輸?shù)姆欠▋热?�,及時向上級安全網管中心報告����,采取措施。
第3篇
近來較典型的是蠕蟲與木馬���,比如說木馬程序它通過將自身偽裝吸引用戶下載執(zhí)行��,向施種木馬者提供打開被種者電腦的門戶�,使施種者可以任意毀壞�����、竊取被種者的文件,甚至遠程操控被種者的電腦��。近來就出現(xiàn)許多人的網絡賬戶遭到木馬程序盜取的案例��。這些網絡病毒使人民財產受到嚴重侵害��,也嚴重威脅到我們的正常工作與生活��。惡意的攻擊和入侵所謂惡意的攻擊和入侵可對信息的有效性和完整性進行有選擇的破壞���,也可在不影響網絡正常工作的情況下�����,對網絡進行數(shù)據(jù)監(jiān)聽��,截獲或捕捉傳播在網絡中的信息�,這是計算機網絡面臨的主要威脅�����,引發(fā)網絡安全的問題�。
計算機網絡受到威脅后果嚴重
1.國家安全將遭受到威脅
網絡黑客攻擊的目標常包括銀行、政府及軍事部門���,竊取和修改信息�����。這會對社會和國家安全造成嚴重威脅����,有可能帶來無法挽回的損失��。
2.損失巨大
很多網絡是大型網絡�,像互聯(lián)網是全球性網絡,這些網絡上連接著無數(shù)計算機及網絡設備���,如果攻擊者攻擊入侵連接在網絡上的計算機和網絡設備��,會破壞成千上萬臺計算機�,從而給用戶造成巨大經濟損失�����。
3.手段多樣��,手法隱蔽
網絡攻擊所需設備簡單,所花時間短����,某些過程只需一臺連接Internet的PC即可完成。這個特征決定了攻擊者的方式多樣性和隱蔽性�����。比如網絡攻擊者既可以用監(jiān)視網上數(shù)據(jù)來盜取他人的保密信息�����;可以通過截取他人的帳號和口令潛入他人的計算機系統(tǒng)����;可以通過一些方法來繞過或破壞他人安裝的防火墻等等。
網絡安全防范技術
1.病毒的防范
計算機病毒變得越來越復雜��,對計算機信息系統(tǒng)構成極大的威脅�����。在網絡環(huán)境中對計算機病毒的防范是網絡安全性建設中重要的一環(huán)���。它的入侵檢測技術包括基于主機和基于網絡兩種����。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測����、清除病毒��。對網絡病毒的防范主要包括預防病毒����、檢測病毒和殺毒三種技術。網絡版防病毒系統(tǒng)包括:(1)系統(tǒng)中心:系統(tǒng)中心實時記錄計算機的病毒監(jiān)控���、檢測和清除的信息����,實現(xiàn)對整個防護系統(tǒng)的自動控制�。(2)服務器端:服務器端為網絡服務器操作系統(tǒng)應用而設計。(3)客戶端:客戶端對當前工作站上病毒監(jiān)控��、檢測和清除��,并在需要時向系統(tǒng)中心發(fā)送病毒監(jiān)測報告�。(4)管理控制臺:管理控制臺是為了網絡管理員的應用而設計的����,通過它可以集中管理網絡上所有已安裝的防病毒系統(tǒng)防護軟件的計算機��。
2.防火墻的配置
首先我們了解防火墻所處的位置決定了一些特點包括(1)所有的從外部到內部的通信都必須經過它(��。2)只有有內部訪問策略授權的通信才能被允許通過�。(3)系統(tǒng)本身具有很強的高可靠性。所以防火墻是網絡安全的屏障���,配置防火墑是實現(xiàn)網絡安全最基本�����、最經濟���、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個組成部分�����。它在內部信任網絡和其他任何非信任網絡上提供了不同的規(guī)則進行判斷和驗證�,確定是否允許該類型的信息通過。一個防火墻策略要符合4個目標�����,而每個目標通常都不是通過一個單獨的設備或軟件來實現(xiàn)的。通過以防火墻為中心的安全方案配置����,能將所有安全軟件(如口令、加密���、身份認證)配置在防火墻上。也可對網絡存取和訪問進行監(jiān)控審計����。如果所有的訪問都經過防火墻,那么�,防火墻就能記錄下這些訪問并做出日志記錄,同時�����,也能提供網絡使用情況的統(tǒng)計數(shù)據(jù)����。當有網絡入侵或攻擊時,防火墻能進行適當?shù)膱缶?��,并提供網絡是否受到監(jiān)測和攻擊的詳細信息�����。再次��,利用防火墻對內部網絡的劃分�����,可實現(xiàn)內部網重點網段的隔離���,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響�,防止內部信息的外泄����。
3.數(shù)據(jù)加密與用戶授權訪問控制技術
與防火墻相比,數(shù)據(jù)加密與用戶授權訪問控制技術比較靈活��,更加適用于開放的網絡���。用戶授權訪問控制主要用于對靜態(tài)信息的保護�,需要系統(tǒng)級別的支持��,一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密包括傳輸過程中的數(shù)據(jù)加密和存儲數(shù)據(jù)加密���,對于傳輸加密�����,一般有硬件加密和軟件加密兩種方法實現(xiàn)�����。網絡中的數(shù)據(jù)加密���,要選擇加密算法和密鑰���,可以將這些加密算法分為對稱密鑰算法和公鑰密鑰算法兩種����。對稱密鑰算法中����,收發(fā)雙方使用相同的密鑰。比較著名的對稱密鑰算法有:美國的DES�、歐洲的IDEA等�����。
4.應用入侵檢測技術
入侵檢測系統(tǒng)是從多種計算機系統(tǒng)及網絡系統(tǒng)中收集信息�����,再通過這些信息分析入侵特征的網絡安全系統(tǒng)����。入侵檢測系統(tǒng)的功能包括:監(jiān)控和分析系統(tǒng)��、用戶的行為��;評估系統(tǒng)文件與數(shù)據(jù)文件的完整性����,檢查系統(tǒng)漏洞;對系統(tǒng)的異常行為進行分析和識別�����,及時向網絡管理人員報警����;跟蹤管理操作系統(tǒng)�����,識別無授僅用戶活動����。具體應用就是指對那些面向系統(tǒng)資源和網絡資源的未經授權的行為進行識別和響應��。入侵檢測通過監(jiān)控系統(tǒng)的使用情況��,來檢測系統(tǒng)用戶的越權使用以及系統(tǒng)外部的人侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖��。目前主要有兩類入侵檢測系統(tǒng)基于主機的和基于網絡的����。前者檢查某臺主機系統(tǒng)日志中記錄的未經授權的可疑行為,并及時做出響應��。后者是在連接過程中監(jiān)視特定網段的數(shù)據(jù)流�����,查找每一數(shù)據(jù)包內隱藏的惡意入侵��,并對發(fā)現(xiàn)的人侵做出及時的響應�����。
5.規(guī)范安全管理行為
單單在網絡安全技術上提高也是不夠的�����,因為網絡人員也可能是造成網絡安全的因素���,所以安全管理行為的規(guī)范是必須的�����。一要內部有完善的安全管理規(guī)范�����,二要建立基于安全策略的搞笑網絡管理平臺����。兩方面統(tǒng)籌規(guī)劃部署����,達到提高整體安全性的效果。
第4篇
論文關鍵詞:IPv6,網絡安全
1.基于IPv6的網絡建設
在全球互聯(lián)網高度發(fā)展的今天����,由于網絡與通信的日益融合,基于IPv4地址編碼方式已于2011年1月枯竭����。那么,IPv6成為解決IPv4地址耗盡問題的最好解決方法網絡安全絡安全論文����,按照正常方式從IPv4向IPv6轉換成功的話,全球所有的終端均可擁有一個IP地址�,從而可實現(xiàn)全球網絡的概念。
IPv6是下一版本的互聯(lián)網協(xié)議����,也可以說是下一代互聯(lián)網的協(xié)議,它的提出最初是因為隨著互聯(lián)網的迅速發(fā)展�,IPv4定義的有限地址空間將耗盡,而地址空間的不足必將妨礙互聯(lián)網的進一步發(fā)展����。為了擴大地址空間���,通過IPv6以重新定義地址空間�����。IPv6采用128位地址長度�����,幾乎可以不受限制地提供IP地址網絡安全絡安全論文��,從而確保了端到端連接的可能性���。
除了地址分配問題外�,IPv6雖然有整體吞吐量����、高服務質量等優(yōu)勢,但在安全接入方面并不比IPv4更為顯著�����。IPv6并不意味著網絡就自然安全了���,雖然不使用地址翻譯�����,但仍然會使用防火墻�����,.net本身并不會帶來安全的因素��。IPv6與IPv4面臨同樣的安全問題�����。
2. IPSec安全協(xié)議
2.1 IPSec安全協(xié)議的體系結構
在IPv6中,IPSec安全協(xié)議是一個協(xié)議套件,主要包括:認證頭(Authentication Header,AH)����、封裝安全載荷(Encapsulating Security Payload,ESP)、Internet密鑰交換(Internet Key Exchange,IKE)等相關組件論文開題報告范文論文下載�。它提供的安全服務有:數(shù)據(jù)源身份驗證,無連接數(shù)據(jù)完整性檢查,數(shù)據(jù)內容的機密性保證,抗重播保護以及有限數(shù)據(jù)流機密性保證。IPSec協(xié)議的體系結構如圖1所示�����。
2.2IPSec認證頭AH協(xié)議
認證頭AH用于為IP提供數(shù)據(jù)完成性��、數(shù)據(jù)原始身份驗證和一些可選的�����、有限的抗重播服務���。AH定義了對數(shù)據(jù)所實施的安全保護的方法����、頭的位置���、身份驗證的覆蓋范圍,以及輸入和輸出處理規(guī)則,但不對所用的身份驗證算法進行具體定義[��。AH的格式如圖2所示���。認證頭AH有2種工作模式,即傳輸模式和隧道模式。傳輸模式只對傳輸層數(shù)據(jù)和IP頭中的固定字段提供認證保護,主要適合于主機實現(xiàn)[3]�����。隧道模式則對整個IP數(shù)據(jù)提供認證保護����。
2.3 IPSec封裝安全載荷ESP協(xié)議
封裝安全載荷ESP為IP提供機密性、數(shù)據(jù)源驗證�、抗重播以及數(shù)據(jù)完整性等安全服務�。ESP的格式不是固定的,依據(jù)采用不同的加密算法而不同,但起始處必須是安全參數(shù)索引(SPI),用以定義加密算法及密鑰的生存周期等���。ESP格式如圖3所示�。封裝安全載荷ESP有2種不同的加密工作模式,即傳輸模式和隧道模式��。傳輸模式ESP只對傳輸層數(shù)據(jù)單元加密,IPv6和各種擴展頭以及ESP中的SPI段用明文傳輸,該方式適用于主機到主機的加密�����。隧道模式ESP對整個IP分組進行加密,該模式以新的包含有足夠路由信息的IP頭封裝,從而便于中間結點的識別,該方式適用于設置有防火墻或其他類型安全網關的結構體系�����。
2.4 IPSec密鑰交換IKE協(xié)議
第5篇
1.1五層體系架構設計
隨著互聯(lián)網的飛速發(fā)展�,城市人民的生活基本進入信息化時代,人們不管是網上購物���,還是在線聊天等�����,或多或少了一些個人信息����。甚至我國很大一部分的企業(yè)關鍵信息都存儲于網絡,因此網絡是信息傳遞和存儲的載體����,它的正常運行有效地保證了用戶信息的安全。網絡信息安全主要涵蓋網絡信息安全��、傳輸安全和內容安全三個方面�����,網絡數(shù)據(jù)傳播的渠道方式以及傳播的信息內容是否真實可靠���。基于我國網絡安全基本情況�,所謂網絡安全,主要體現(xiàn)在從以下四個方面:網絡信息數(shù)據(jù)的完整性��、保密性以及共享數(shù)據(jù)的可控性和可用性��。每一個安全特征都需要每個網絡用戶自覺維護�����,才能實現(xiàn)��。本文根據(jù)網絡安全要求及其特征,對目前網絡安全做了體現(xiàn)架構分析����。根據(jù)用戶群體的不同將網絡劃分為五個層次,分別為應用和保密基礎層�����、應用群體���、用戶群體���、系統(tǒng)群體以及網絡群體。目前����,本文所提的五層網絡安全體系在全球范圍內已經得到了公認,并且也已經成功應用在網絡安全產品之中����,五層網絡安全體系主要涵蓋五層,下面針對每層的安全性問題做簡要分析�。
1.1.1網絡層的安全性
網絡信息和傳輸是否能得到控制是網絡層安全性的核心問題,網絡用戶通過固定的IP地址進入網絡系統(tǒng),而網絡則對此IP地址傳輸?shù)臄?shù)據(jù)進行檢查�����,查看信息內容是否安全��,安全則允許傳輸���,否則屏蔽�����。目前網絡安全性提高方法主要由兩種:防火墻產品和VPN(虛擬專用網)。
1.1.2系統(tǒng)的安全性
網絡系統(tǒng)中的安全性主要包括兩個方面:第一是非法黑客對網絡系統(tǒng)的入侵和破壞��;第二是傳統(tǒng)病毒對網絡系統(tǒng)的入侵和破壞���。病毒是一種可復制性��、具有攻擊型可執(zhí)行文件�����,這些病毒的源頭是非法程序員通過網絡散布的�、破壞正常文件的可執(zhí)行文件;黑客是通過非法渠道進入網絡系統(tǒng)竊取他人資料����;這兩種方式都是破壞系統(tǒng)安全性的渠道。
1.1.3用戶操作安全性
目前�,網絡數(shù)據(jù)主要分為兩種,一種是靜態(tài)數(shù)據(jù)�;一種是動態(tài)數(shù)據(jù);而用戶都是通過靜態(tài)數(shù)據(jù)進行校驗�,登錄系統(tǒng),但往往由于用戶操作失誤或遺失賬號密碼��,導致系統(tǒng)出現(xiàn)漏洞����,給非法用戶提供了侵入系統(tǒng)接口。
1.1.4應用程序的安全性
應用程序安全性主要涉及兩個方面的問題:一是應用程序對數(shù)據(jù)的合法權限��;二是應用程序對用戶的合法權限�。即合法用戶通過應用程序操作合法數(shù)據(jù)。
1.1.5數(shù)據(jù)的安全性
數(shù)據(jù)作為整個架構層次的核心部分���,其保存前���、中和后都需要進行加密,充分保證數(shù)據(jù)的安全性,即使在數(shù)據(jù)被竊后�。通過數(shù)據(jù)加密等措施,即使數(shù)據(jù)丟失�,也可以讓非法入侵者得到的是加密文件,無法了解其信息內容��。上述的五層安全體系并非孤立分散����。他們是有機的結合體,通過互相的數(shù)據(jù)共享和聯(lián)通��,形成整個網絡體系架構����,以上便是本文所設計及介紹的五層網絡安全體系�����。
1.2安全技術分析
從上個世紀網絡盛行時��,網絡安全就被世人所關注����,針對網絡漏洞和病毒,科學家和研究者制定出各種協(xié)議和規(guī)則,甚至研究出各種網絡安全技術�����,下面就幾種成熟的網絡安全技術進行分別介紹���。
(1)防火墻技術�����。
防火墻作為一種網絡數(shù)據(jù)核查軟件�����,很好的杜絕了網絡用戶通過非法渠道獲取其他網絡用戶信息����,它通過分包和IP地址并行校驗機制���,對外來數(shù)據(jù)進行一一檢查���,此種技術很好的保障了內部數(shù)據(jù)的安全性。目前��,防火墻技術主要是分組過濾和服務兩種類型,它們的主要宗旨是保護外來非法數(shù)據(jù)對本地數(shù)據(jù)的入侵和破壞��,防火墻技術是一種真正保證本地數(shù)據(jù)的有效工具��,它通過固定的網絡協(xié)議對往來電子郵件進行過濾�����,使進出數(shù)據(jù)都得到了很好的檢驗�。
(2)應用網關。
應用網關主要是針對網絡數(shù)據(jù)傳輸過程中的數(shù)據(jù)包進行過濾����,一般與防火墻技術組合使用,防火墻將數(shù)據(jù)包送至應用網關�,應用網關可以被用來處理電子郵件,遠程登錄���,及文件傳輸。
(3)虛擬私人網絡����。
虛擬網絡主要是為一些用戶專門訪問而成立的技術,因此可以在Internet上建立自己的虛擬私人網絡是一個安全的策略�����。通過路由器,虛擬鏈接就形成了�。這樣就可以由用戶建立一個專內網絡,進行數(shù)據(jù)交換��,形成內部網絡�。由此可見,通過這種手段來保護數(shù)據(jù)的安全��。
(4)數(shù)據(jù)加密技術�。
為防止數(shù)據(jù)被外部非法用戶所竊取的另外一個重要技術就是數(shù)據(jù)加密技術,它也是目前最為常用�����,而且安全性和可靠性非常高���,數(shù)據(jù)加密技術主要包括密鑰機制�、數(shù)據(jù)傳輸���、存儲和完整性等��。數(shù)據(jù)傳輸加密技術�。數(shù)據(jù)存儲加密技術。數(shù)據(jù)完整性鑒別技術��。密鑰管理技術���。
(5)智能卡技術�����。
智能卡技術主要是對存儲數(shù)據(jù)的磁盤進行管理��,在存儲空間設置授權機制�����,非授權數(shù)據(jù)和非授權的操作用戶都將無法與智能卡進行交互�,這種方式充分保障了智能卡總的數(shù)據(jù)安全性�����,適合獨立和重要數(shù)據(jù)保護應用技術之一�����。
2.數(shù)據(jù)加密
2.1數(shù)據(jù)加密技術
加密技術是保證某些信息只有目標接收人才能讀懂其含義的一種方法����。所有的加密技術都要使用算法,算法是一種復雜的數(shù)字規(guī)則��,被設計用來攪亂信息�����,以防止第三者對信息的截獲�����。密碼體制技術是研究通信安全保密的學科����,它由密碼編碼學和密碼分析學兩部分組成。密碼編碼學是研究對信息進行變換��,以保護信息在傳送過程中不被第三方竊取��、解讀和利用的方法�,它涉及對數(shù)據(jù)的保護、控制和標識�。密碼分析學研究如何分析和破譯密碼,二者既相互對立�����,又相互促進。加密算法的抗攻擊能力可用加密強度來衡量��,加密強度由三個因素組成:算法強度�、密鑰的保密性、密鑰長度����。加密技術是信息安全系統(tǒng)中常用的一種數(shù)據(jù)保護工具,而這種加密技術可用在交易過程中使用���,加密體制無外乎分為兩種��,一種是對稱加密���,另一種是非對稱加密體制。除了這兩種加密體制外����,還包括了哈希技術和數(shù)字簽名技術。這些加密技術都在五層體系架構中發(fā)揮著重要的作用�����。
(1)對稱加密/對稱密鑰加密/專用密鑰加密體制。
如果使用對稱加密方式�����,相同的密鑰被使用在信息加密和解密的過程中��,加密算法可以通過使用對稱加密方法將其簡化���,每個貿易方都采用相同的加密算法并只交換共享的專用密鑰,而不必彼此研究和交換專用的加密算法����。
(2)非對稱加密/公開密鑰加密。
非對稱加密和公開密鑰加密同屬一個意思���。即在這種加密體制中�,密鑰被分解為一個加密密鑰和一個專用的解密密鑰�����。非對稱加密算法中最著名的就是RSA算法���,它的優(yōu)點是加密復雜度高��,不易破解���,但他的缺點是運行速度慢���。因此在實際加密過程中基本不采用此種加密算法。對應加密量大的應用��,公開密鑰加密算法通常用于對稱加密方法密鑰的加密����。
2.2密鑰安全分析
密鑰是數(shù)據(jù)加密技術中的核心算法點,本文所討論的五層架構體系中所有的數(shù)據(jù)傳輸和存儲及訪問��,都基于數(shù)據(jù)加密技術的支持�����,隨著技術的發(fā)展�,加密技術不斷完善,但完成安全的數(shù)據(jù)通訊�����,僅僅有加密和解密算法還是不夠的,還需要有安全的密鑰分配協(xié)議的支持��。在網絡數(shù)據(jù)傳輸過程中�����,采用公鑰密碼系統(tǒng)有較好的安全性����,但加密解密的速度慢���,而私鑰雖然速度快�����,但不安全��,因此密鑰分配協(xié)議(簡稱KDP)是一種增強加密和解密的安全性����。目前��,世界存在的密鑰分配協(xié)議有兩種��,一種是基于單一網絡的密鑰分配協(xié)議;一種是基于網絡時鐘同步的網絡密鑰分配協(xié)議��;還有一種是基于層次的KDP�。但這三種協(xié)議由于種種原因(必要前提、不可修補等)而不能長時間應用與數(shù)據(jù)加密技術中����。
2.3可修補密鑰分配協(xié)議
本文基于數(shù)據(jù)加密技術和網絡安全的五層體系架構考慮,設計一種可替補的密鑰分配協(xié)議方法�����,通過此協(xié)議���,增加數(shù)據(jù)加密密鑰的合理性和減小密鑰丟失的風險性�,提高網絡安全性能�。所謂密鑰可修補分配協(xié)議的重點在于當一個密鑰由于病毒、黑客或用戶誤操作而導致的系統(tǒng)漏洞��,因此系統(tǒng)就出現(xiàn)各種被惡意破壞的可能存在��,目前部分密鑰分配協(xié)議中采用新密鑰代替被泄露的密鑰����,但也無法保證沒有了安全漏洞�。而本文所設計的密鑰分配協(xié)議不僅能取代泄露的密鑰����,而且可使系統(tǒng)恢復至初始,此種協(xié)議被稱為可替補協(xié)議�����。
3.總結
第6篇
網絡安全通信是實現(xiàn)信息系統(tǒng)互聯(lián)互通的主要手段����,因此建立多級安全網絡通信模型是實現(xiàn)網絡信息系統(tǒng)安全互聯(lián)的重要保障�����。當前���,雖然正對多級安全模型的研究已經取得了一定的效果�����,但是依舊不能夠滿足多級安全網絡通信的實際需求����,存在著靈活性較差、客體信息聚合推導泄密��、傳輸信息泄密干擾等問題�。因此,實現(xiàn)多級安全網絡信息系統(tǒng)間的安全互聯(lián)互通的關鍵是支持具有多級安全屬性的網絡通信安全機制��。
二���、安全標記綁定技術
在網絡信息系統(tǒng)中����,安全標記是強制訪問控制實施的基礎�。實現(xiàn)安全標記與課堂之間的綁定是多級安全網絡中實現(xiàn)數(shù)據(jù)安全共享的關鍵。實現(xiàn)安全標記與客體的綁定包括信息客體����、進程等,當前的安全標記與客體的綁定并不能夠滿足多級安全控制的需要��,需要對存在的問題進行分析�����,在此基礎上提出基于數(shù)據(jù)樹統(tǒng)一化描述的安全標志與課堂的綁定方式���,從而實現(xiàn)了綁定的統(tǒng)一性�,確保了安全標記的安全性,為實施更為細粒度的訪問控制提供了保障���。
三��、信息客體聚合推導控制方法
多級安全網絡中存在著客體信息聚合導致了信息泄密問題���。需要對客體之間的關系進行分析,通過多級安全網絡信息課堂聚合推導控制方法實現(xiàn)對多級安全網絡訪問控制策略的制定���。通過對關聯(lián)客體與相似客體的角度研究了客體聚合推導控制���。信息客體聚合推導控制方法包括兩個方面�����,一方面是基于屬性關聯(lián)的客體聚合信息級別推演方法����,另一方面是基于聚類分析的客體聚合信息級別推演方法。通過這兩種方式實現(xiàn)多級安全網絡防護基本原則的改變����,對多級安全網絡中主體對客體的訪問進行有效的控制��,降低或者消除泄密的風險�����。
四���、通信協(xié)議簇設計
通信的基礎就是協(xié)議,只有通過安全協(xié)議才能夠實現(xiàn)安全互聯(lián)�����。在多級安全網絡中�,存在著通信關系比較復雜的現(xiàn)象,其靈活性較差��。尤其是在實現(xiàn)了信息系統(tǒng)互聯(lián)之后�����,容易引起攻擊者興趣的往往是具有了一定安全級別的信息�。在對多級安全網絡的特點進行分析了基礎上,對多級安全網絡的通信協(xié)議簇進行了設計���,產生了MLN-SCP�,這種通信協(xié)議簇包括兩個方面,一方面是多級安全通道建立協(xié)議ML-STEP��,主要的作用是建立多級安全通道����,對通道的秘鑰材料進行協(xié)商,從而確保數(shù)據(jù)傳輸過程中的安全�����,另一方面是多級安全網絡傳輸協(xié)議MLN-STP����,主要的作用是通過安全通道模式與UDP封裝通道模式實現(xiàn)數(shù)據(jù)的安全封裝與安全標記的攜帶,對通道內數(shù)據(jù)傳輸?shù)陌踩M行保障���。通信協(xié)議簇MLN-SCP更加適合與多級安全網絡信息系統(tǒng)之間的安全互聯(lián)���。
五����、總結
第7篇
1.1系統(tǒng)功能
在網絡安全態(tài)勢感知系統(tǒng)中�����,網絡服務評估系統(tǒng)的數(shù)據(jù)源是最重要的數(shù)據(jù)源之一�����。一方面���,它能向上層管理者提供目標網絡的安全態(tài)勢評估。另一方面����,服務數(shù)據(jù)源為其它傳感器(Log傳感器、SNMP傳感器��、Netflow傳感器)的數(shù)據(jù)分析提供參考和依據(jù)[1]����。
1.2主要功能
(1)風險評估,根據(jù)國家安全標準并利用測試系統(tǒng)的數(shù)據(jù)和主要的風險評估模型���,獲取系統(tǒng)數(shù)據(jù)��,定義系統(tǒng)風險�����,并提出應對措施[2]�����。
(2)安全態(tài)勢評估與預測�����,利用得到的安全測試數(shù)據(jù)����,按照預測、隨機和綜合量化模型��,對信息系統(tǒng)作出安全態(tài)勢評估與預測�,指出存在的安全隱患并提出安全解決方案。
(3)建立數(shù)據(jù)庫支撐����,包括評估模型庫、專家知識庫����、標準規(guī)范庫等。
(4)輸出基于圖表樣式和數(shù)據(jù)文件格式的評估結果����。
2系統(tǒng)組成和總體架構
2.1系統(tǒng)組成
網絡安全評估系統(tǒng)態(tài)勢評估系統(tǒng)是在Windows7平臺下,采用C++builder2007開發(fā)的����。它的數(shù)據(jù)交互是通過核心數(shù)據(jù)庫來運行的,為了使評估的計算速度和讀寫數(shù)據(jù)庫數(shù)據(jù)更快�,應將子系統(tǒng)與核心數(shù)據(jù)庫安裝在同一機器上。子系統(tǒng)之間的數(shù)據(jù)交互方式分別為項目數(shù)據(jù)交互和結果數(shù)據(jù)交互���。前者分發(fā)采用移動存儲的形式進行����,而后者的提交獲取是通過核心數(shù)據(jù)庫運行�。
2.2總體架構
系統(tǒng)包括人機交互界面、控制管理�����、數(shù)據(jù)整合����、漏洞掃描�、安全態(tài)勢評估和預測�、本地數(shù)據(jù)庫等六個模塊組成。網絡安全評估系統(tǒng)中的漏洞掃描部分采用插件技術設計總體架構���。掃描目標和主控臺是漏洞掃描子系統(tǒng)的主要部分�����,后者是漏洞掃描子系統(tǒng)運行的中心���,主控臺主要是在用戶打開系統(tǒng)之后,通過操作界面與用戶進行交流���,按照用戶下達的命令及調用測試引擎對網絡上的主機進行漏洞測試��,測試完成后調取所占用的資源����,并取得掃描結果��,最后形成網絡安全測試評估報告����,通過這個測試���,有利于管理人員發(fā)現(xiàn)主機有可能會被黑客利用的漏洞�,在這些薄弱區(qū)被黑客攻擊之前對其進行加強整固,從而提高主機網絡系統(tǒng)的安全性��。
3系統(tǒng)工作流程
本系統(tǒng)首先從管理控制子系統(tǒng)獲取評估任務文件[3]����,然后根據(jù)任務信息從中心數(shù)據(jù)庫獲取測試子系統(tǒng)的測試數(shù)據(jù),再對這些數(shù)據(jù)進行融合(加權����、去重),接著根據(jù)評估標準�����、評估模型和支撐數(shù)據(jù)庫進行評估[4]����,評估得到網絡信息系統(tǒng)的安全風險、安全態(tài)勢�,并對網絡信息系統(tǒng)的安全態(tài)勢進行預測��,最后將評估結果進行可視化展示����,并生成相關評估報告���,以幫助用戶進行最終的決策[5]��。
4系統(tǒng)部分模塊設計
4.1網絡主機存活性識別的設計
“存活”是用于表述網絡主機狀態(tài)[6]���,在網絡安全評估系統(tǒng)中存活性識別流程對存活主機識別采用的方法是基于ARP協(xié)議。它的原理是當主機或路由器正在尋找另外主機或路由器在此網絡上的物理地址的時候�,就發(fā)出ARP查詢分組。由于發(fā)送站不知道接收站的物理地址���,查詢便開始進行網絡廣播�����。所有在網絡上的主機和路由器都會接收和處理分組�,但僅有意圖中的接收者才會發(fā)現(xiàn)它的IP地址�,并響應分組。
4.2網絡主機開放端口/服務掃描設計
端口是計算機與外界通訊交流的出口[7]����,軟件領域的端口一般指網絡中面向連接服務的通信協(xié)議端口���,是一種抽象的軟件結構,包括一些數(shù)據(jù)結構和FO(基本輸入輸出)緩沖區(qū)[8]�����。
4.3網絡安全評估系統(tǒng)的實現(xiàn)
該實現(xiàn)主要有三個功能��,分別是打開����、執(zhí)行和退出系統(tǒng)[9]����。打開是指打開系統(tǒng)分發(fā)的評估任務,顯示任務的具體信息;執(zhí)行任務指的是把檢測數(shù)據(jù)融合���,存入數(shù)據(jù)庫;退出系統(tǒng)是指關閉系統(tǒng)��。然后用戶在進行掃描前可以進行選擇掃描哪些項��,對自己的掃描范圍進行設置����。進入掃描后,界面左邊可以顯示掃描選項���,即用戶選中的需要掃描的項[10]�����。界面右邊顯示掃描進程����。掃描結束后���,用戶可以點擊“生成報告”��,系統(tǒng)生成用戶的網絡安全評估系統(tǒng)檢測報告�����,最終評定目標主機的安全等級[11]���。
5結束語
(1)系統(tǒng)研究還不夠全面和深入。網絡安全態(tài)勢評估是一門新技術[12],很多問題如規(guī)劃和結構還沒有解決�����。很多工作僅限于理論���,設計方面存在爭論����,沒有統(tǒng)一的安全態(tài)勢評估系統(tǒng)模型[13]�。
(2)網絡安全狀況評估沒有一致的衡量標準。網絡安全是一個全面統(tǒng)一的概念[14]�,而網絡安全態(tài)勢的衡量到現(xiàn)在還沒有一個全面的衡量機制[15]。這就導致現(xiàn)在還沒有遵守的標準����,無法判斷方法的優(yōu)劣��。
