序論:在您撰寫網絡安全技術論文時����,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文�,希望這些建議能夠激發您的創作熱情���,引導您走向新的創作高度����。
第1篇
網絡安全技術概述
常永亮
(飛行試驗研究院測試所陜西西安710089)
【摘要】Internet是一種開放和標準的面向所有用戶的技術����,其資源通過網絡共享,因此����,資源共享和信息安全就成了一對矛盾。
【關鍵詞】網絡攻擊����、安全預防、風險分析�、網絡安全
1.引言
隨著網絡的迅速發展��,網絡的安全性顯得非常重要���,這是因為懷有惡意的攻擊者竊取、修改網絡上傳輸的信息����,通過網絡非法進入遠程主機,獲取儲存在主機上的機密信息�����,或占用網絡資源��,阻止其他用戶使用等��。然而�����,網絡作為開放的信息系統必然存在眾多潛在的安全隱患���,因此����,網絡安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。
一般來說����,計算機系統本身的脆弱性和通信設施的脆弱性再加上網際協議的漏洞共同構成了網絡的潛在威脅。隨著無線互聯網越來越普及的應用���,互聯網的安全性又很難在無線網上實施�,因此��,特別在構建內部網時��,若忽略了無線設備的安全性則是一種重大失誤�����。
2.網絡攻擊及其防護技術
計算機網絡安全是指計算機�����、網絡系統的硬件��、軟件以及系統中的數據受到保護�����,不因偶然或惡意的原因遭到破壞��、泄露����,能確保網絡連續可靠的運行。網絡安全其實就是網絡上的信息存儲和傳輸安全����。
網絡的安全主要來自黑客和病毒攻擊,各類攻擊給網絡造成的損失已越來越大了�,有的損失對一些企業已是致命的,僥幸心里已經被提高防御取代��,下面就攻擊和防御作簡要介紹����。
2.1常見的攻擊有以下幾類:
2.1.1入侵系統攻擊
此類攻擊如果成功,將使你的系統上的資源被對方一覽無遺�,對方可以直接控制你的機器。
2.1.2緩沖區溢出攻擊
程序員在編程時會用到一些不進行有效位檢查的函數��,可能導致黑客利用自編寫程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾����,這樣當發生緩沖區溢出時���,從而破壞程序的堆棧,使程序轉而執行其它的指令����,如果這些指令是放在有root權限的內存中,那么一旦這些指令得到了運行�,黑客就以root權限控制了系統,這樣系統的控制權就會被奪取��,此類攻擊在LINUX系統常發生����。在Windows系統下用戶權限本身設定不嚴謹���,因此應比在LINUX系統下更易實現��。
2.1.3欺騙類攻擊
網絡協議本身的一些缺陷可以被利用���,使黑客可以對網絡進行攻擊,主要方式有:IP欺騙�����;ARP欺騙;DNS欺騙��;Web欺騙�;電子郵件欺騙;源路由欺騙���;地址欺騙等�����。
2.1.4拒絕服務攻擊
通過網絡���,也可使正在使用的計算機出現無響應、死機的現象���,這就是拒絕服務攻擊��,簡稱DoS(DenialofService)�。
分布式拒絕服務攻擊采用了一種比較特別的體系結構�����,從許多分布的主機同時攻擊一個目標,從而導致目標癱瘓���,簡稱DDoS(DistributedDenialofService)��。
2.1.5對防火墻的攻擊
防火墻也是由軟件和硬件組成的�����,在設計和實現上都不可避免地存在著缺陷��,對防火墻的攻擊方法也是多種多樣的�,如探測攻擊技術�、認證的攻擊技術等。
2.1.6利用病毒攻擊
病毒是黑客實施網絡攻擊的有效手段之一���,它具有傳染性�����、隱蔽性、寄生性���、繁殖性����、潛伏性、針對性�、衍生性、不可預見性和破壞性等特性��,而且在網絡中其危害更加可怕����,目前可通過網絡進行傳播的病毒已有數萬種,可通過注入技術進行破壞和攻擊����。
2.1.7木馬程序攻擊
特洛伊木馬是一種直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序���。一旦安裝成功并取得管理員權限��,安裝此程序的人就可以直接遠程控制目標系統�����。
2.1.8網絡偵聽
網絡偵聽為主機工作模式�����,主機能接受到本網段在同一條物理通道上傳輸的所有信息�����。只要使用網絡監聽工具����,就可以輕易地截取所在網段的所有用戶口令和帳號等有用的信息資料。
等等?����,F在的網絡攻擊手段可以說日新月異��,隨著計算機網絡的發展��,其開放性���、共享性����、互連程度擴大�,網絡的重要性和對社會的影響也越來越大。計算機和網絡安全技術正變得越來越先進��,操作系統對本身漏洞的更新補救越來越及時?,F在企業更加注意企業內部網的安全,個人越來越注意自己計算機的安全��?�?梢哉f:只要有計算機和網絡的地方肯定是把網絡安全放到第一位���。
網絡有其脆弱性�����,并會受到一些威脅��。因而建立一個系統時進行風險分析就顯得尤為重要了���。風險分析的目的是通過合理的步驟,以防止所有對網絡安全構成威脅的事件發生��。因此�����,嚴密的網絡安全風險分析是可靠和有效的安全防護措施制定的必要前提。網絡風險分析在系統可行性分析階段就應進行了��。因為在這階段實現安全控制要遠比在網絡系統運行后采取同樣的控制要節約的多�����。即使認為當前的網絡系統分析建立的十分完善����,在建立安全防護時,風險分析還是會發現一些潛在的安全問題�����,從整體性�、協同性方面構建一個信息安全的網絡環境?����?梢哉f網絡的安全問題是組織管理和決策��。
2.2防御措施主要有以下幾種
2.2.1防火墻
防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障�,用于保護企業內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點��,對進、出內部網絡的服務和訪問進行控制和審計��。
2.2.2虛擬專用網
虛擬專用網(VPN)的實現技術和方式有很多���,但是所有的VPN產品都應該保證通過公用網絡平臺傳輸數據的專用性和安全性。如在非面向連接的公用IP網絡上建立一個隧道����,利用加密技術對經過隧道傳輸的數據進行加密,以保證數據的私有性和安全性����。此外,還需要防止非法用戶對網絡資源或私有信息的訪問�。
2.2.3虛擬局域網
選擇虛擬局域網(VLAN)技術可從鏈路層實施網絡安全。VLAN是指在交換局域網的基礎上����,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡���。一個VLAN組成一個邏輯子網���,即一個邏輯廣播域,它可以覆蓋多個網絡設備,允許處于不同地理位置的網絡用戶加入到一個邏輯子網中��。該技術能有效地控制網絡流量��、防止廣播風暴���,還可利用MAC層的數據包過濾技術����,對安全性要求高的VLAN端口實施MAC幀過濾���。而且���,即使黑客攻破某一虛擬子網,也無法得到整個網絡的信息��,但VLAN技術的局限在新的VLAN機制較好的解決了�,這一新的VLAN就是專用虛擬局域網(PVLAN)技術。
2.2.4漏洞檢測
漏洞檢測就是對重要計算機系統或網絡系統進行檢查��,發現其中存在的薄弱環節和所具有的攻擊性特征����。通常采用兩種策略��,即被動式策略和主動式策略�。被動式策略基于主機檢測��,對系統中不合適的設置�����、口令以及其他同安全規則相背的對象進行檢查���;主動式策略基于網絡檢測,通過執行一些腳本文件對系統進行攻擊���,并記錄它的反應���,從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性的一個評估��,它指出了哪些攻擊是可能的�����,因此成為安全方案的一個重要組成部分�。漏洞檢測系統是防火墻的延伸��,并能有效地結合其他網絡安全產品的性能��,保證計算機系統或網絡系統的安全性和可靠性��。
2.2.5入侵檢測
入侵檢測系統將網絡上傳輸的數據實時捕獲下來�����,檢查是否有黑客入侵或可疑活動的發生�����,一旦發現有黑客入侵或可疑活動的發生�,系統將做出實時報警響應�。
2.2.6密碼保護
加密措施是保護信息的最后防線,被公認為是保護信息傳輸唯一實用的方法����。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應用,但隨著計算機性能的飛速發展�,破解部分公開算法的加密方法已變得越來越可能。因此�����,現在對加密算法的保密越來越重要,幾個加密方法的協同應用會使信息保密性大大加強�����。
2.2.7安全策略
安全策略可以認為是一系列政策的集合���,用來規范對組織資源的管理�����、保護以及分配�����,已達到最終安全的目的。安全策略的制定需要基于一些安全模型�����。
2.2.8網絡管理員
網絡管理員在防御網絡攻擊方面也是非常重要的����,雖然在構建系統時一些防御措施已經通過各種測試,但上面無論哪一條防御措施都有其局限性��,只有高素質的網絡管理員和整個網絡安全系統協同防御,才能起到最好的效果����。
以上大概講了幾個網絡安全的策略,網絡安全基本要素是保密性����、完整性和可用,但網絡的安全威脅與網絡的安全防護措施是交互出現的����。不適當的網絡安全防護,不僅可能不能減少網絡的安全風險����,浪費大量的資金,而且可能招致更大的安全威脅��。一個好的安全網絡應該是由主機系統�����、應用和服務����、路由���、網絡、網絡管理及管理制度等諸多因數決定的�����,但所有的防御措施對信息安全管理者提出了挑戰��,他們必須分析采用哪種產品能夠適應長期的網絡安全策略的要求�,而且必須清楚何種策略能夠保證網絡具有足夠的健壯性、互操作性并且能夠容易地對其升級�����。
隨著信息系統工程開發量越來越大�����,致使系統漏洞也成正比的增加���,受到攻擊的次數也在增多。相對滯后的補救次數和成本也在增加����,黑客與反黑客的斗爭已經成為一場沒有結果的斗爭�����。
3.結論
網絡安全的管理與分析現已被提到前所未有的高度����,現在IPv6已開始應用����,它設計的時候充分研究了以前IPv4的各種問題,在安全性上得到了大大的提高�,但并不是不存在安全問題了。在WindowsVista的開發過程中����,安全被提到了一個前所未有的重視高度,但微軟相關負責人還是表示����,"即使再安全的操作系統,安全問題也會一直存在"���。
總之���,網絡安全是一個綜合性的課題���,涉及技術、管理����、使用等許多方面,既包括信息系統本身的安全問題�,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題���,而不是萬能的�。因此只有完備的系統開發過程�、嚴密的網絡安全風險分析、嚴謹的系統測試����、綜合的防御技術實施、嚴格的保密政策�����、明晰的安全策略以及高素質的網絡管理人才等各方面的綜合應用才能完好���、實時地保證信息的完整性和正確性���,為網絡提供強大的安全服務——這也是網絡安全領域的迫切需要。
參考文獻
[1]《網絡綜合布線系統與施工技術》黎連業著
第2篇
1.1計算機病毒
計算機病毒���,是指應用制定好的程序輸入計算機中�,對計算機的程序進行破壞��,從而影響計算機的正常使用���。與黑客相比較�����,計算機病毒的特性�����,更讓人們煩惱��。其本身不但具有破壞性�,更具有傳染性����,就像普通的生物病毒一樣��,計算機病毒一旦被復制或者產生變種���,其傳染速度是難以想象的,一旦有一臺計算機感染和其接觸的各種移動設備也都將成為病毒網絡安全威脅若干因素和安全技術研究文/張欣21世紀�����,是信息化的時代����,是計算機網絡應用加速發展的時代,在計算機網絡走進千家萬戶的同時����,隨之而來的是網絡安全問題。為了保證廣大的網民可以有個安全良好的網絡環境��,專業人士應針對不同網絡的安全問題給出相應的解決方案��。使得大家都有安全可靠的網絡環境��。摘要的攜帶者���,將病毒繼續傳播��。除了傳染性之外���,計算機病毒的潛伏性也和生物病毒相似,其發作的時間是可以提前預定好的���,就像生物病毒的潛伏期一樣����,在發病之前是不易被人們察覺的�,具有極好的隱蔽性,但一旦病發��,就是極其可怕的�����,將影響網絡的正常應用�。
1.2計算機軟件漏洞
在長久的軟件應用過程中,發現了許多漏洞�����,使得軟件在使用過程中的安全性降低���。這些缺陷是在軟件開發編程時經過無數次的修改測試�,仍然無法解決的問題��。軟件帶著這些無法解決的遺留問題流入市場���,被大家廣泛應用���,在享受這些軟件帶給大家生活樂趣的同時,有一些黑客會懷著惡意破壞的心里�����,利用這些漏洞��,對網絡進行破壞��。有的也可能因為軟件本身的漏洞太大��,而直接自身成為計算機的一種安全威脅�����。
1.3計算機的配置不當
在普遍利用網絡工作和生活的今天����,有很多人,因為對于網絡的認識只是表面的皮層認知,致使在使用過程中���,給計算機配置不當的網絡安全設置�,例如有的防火墻就是不能很好的起到防護的作用是形同虛設的���,這樣就會在無意識中加大計算機的危險性,可能會引起不必要的安全性問題���。
1.4使用者的安全意識薄弱
網絡安全問題除了上述一些客觀因素和主管專業性不強之外��,還有一個很重要的因素是使用者沒有相應的網絡安全意識����,不懂得網絡和實際的生活一樣�����,同樣是需要大家提高警惕��,在網絡上與他人分享私人的信息����,還有應用軟件時輸入一些信息口令,在大家無意識的做這些事情的同時�,可能一些非法人事已經盜取了我們的信息����,致使我們不必要的財產損失。
2網絡的安全技術
既然網絡上有諸多的安全問題����,相對應的就會有解決的辦法,下面就一一談談上述問題的安全技術解決方案�。
2.1入侵技術檢測
入侵檢測是指���,通過對行為�、安全日志或審計數據或其它網絡上可以獲得的信息進行操作�,檢測到對系統的闖入或闖入的企圖。是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?,F象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術���。就像一個監控器一樣對不安全因素有實時監控的作用���,可以快速及時的預防不安全因素對網絡產生的破壞��。
2.2殺毒軟件應用
既然計算機病毒的出現��,就有殺毒軟件的應運而生�����。殺毒軟件在大多數網絡用戶的計算機上都屬于常用軟件,人們使用起來都是比較方便快捷操作簡單的�,但正因如此,其殺毒的功能有限����,只能針對于一些小型用戶的普通病毒進行查殺,并不能很好的解決網絡安全的問題���,尤其是在電子商務飛速發展的今天���,殺毒軟件并不能很好的對網絡起到保護性的作用。這就要求軟件開發者不斷的技術革新���,研發出更適合現代網絡的殺毒軟件����。
2.3防火墻安全技術
防火墻技術�����,最初是針對網絡不安全因素采取的一種保護措施���。顧名思義,防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障�,其目的就是防止外部網絡用戶未經授權的訪問����。對于個人來說使用軟件防火墻,就可以很有效的解決平時遇到的網絡安全相關問題����。防火墻可以對黑客起到很好的防護作用���,但也并不是完全的抵御,要想實現真正的良好的環境����,還應有其他的防護措施來保護網絡的安全����。
2.4數據加密安全技術
數據加密技術是指通過特定的網絡密鑰才能解開計算機,從而獲得計算機的數據����。通俗意義上說�,就是給我們比較重要的數據加個私人密碼���,讓外人在非指定的機器�����,沒有密碼的前提下無法獲得我們的信息�����,從而對我們的數據起到一個保護的作用�。而高級的密碼也可以抵御黑客和病毒的入侵�,使得我們的計算機網絡處于一個相對安全的環境下,保證我們的良好網絡環境�。
3總結
第3篇
關鍵詞:網絡安全防火墻加密技術PKI技術
隨著計算機網絡技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性,網絡信息的安全性變得日益重要起來,已被信息社會的各個領域所重視�。
計算機網絡安全從技術上來說,主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性��。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術����、數據加密技術、PKI技術等,以下就此幾項技術分別進行分析����。
一�、防火墻技術
防火墻是指一個由軟件或和硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本����、最經濟、最有效的安全措施之一�����。當一個網絡接上Internet之后,系統的安全除了考慮計算機病毒���、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成��。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險���。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上��。其次對網絡存取和訪問進行監控審計�。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息����。再次防止內部信息的外泄�����。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響�。
二、數據加密技術
與防火墻相比,數據加密技術比較靈活,更加適用于開放的網絡��。數據加密主要用于對動態信息的保護,對動態數據的攻擊分為主動攻擊和被動攻擊��。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密���。數據加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術
對稱加密是常規的以口令為基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法���。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證�����。目前,廣為采用的一種對稱加密方式是數據加密標準DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)��。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存����。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證���、數字簽名等信息交換領域���。
三、PKI技術
PKI(PublieKeyInfrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施��。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術��。由于通過網絡進行的電子商務�、電子政務���、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要��。而PKI技術恰好是一種適合電子商務��、電子政務��、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性����、真實性����、完整性����、不可否認性和存取控制等安全問題����。一個實用的PKI體系應該是安全的易用的����、靈活的和經濟的��。它必須充分考慮互操作性和可擴展性�。
1.認證機構
CA(CertificationAuthorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用戶身份的真實性�。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶����。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。
2.注冊機構
RA(RegistrationAuthorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發證書的基礎��。RA不僅要支持面對面的登記,也必須支持遠程登記�。要確保整個PKI系統的安全����、靈活,就必須設計和實現網絡化���、安全的且易于操作的RA系統。
3.密鑰備份和恢復
為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份����、更新、恢復,也是關系到整個PKI系統強健性��、安全性��、可用性的重要因素���。
4.證書管理與撤消系統
證書是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命周期里是有效的�。但是,有時也會出現一個已頒發證書不再有效的情況,這就需要進行證書撤消�。證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書�����。
四�����、結束語
網絡安全是一個綜合性的課題,涉及技術、管理�����、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的����。因此只有嚴格的保密政策����、明晰的安全策略才能完好、實時地保證信息的完整性和確證性,為網絡提供強大的安全服務�����。
參考文獻:
第4篇
關鍵詞網絡安全系統安全網絡運行安全內部網絡安全防火墻
隨著網絡技術的不斷發展和Internet的日益普及��,許多學校都建立了校園網絡并投入使用����,這無疑對加快信息處理��,提高工作效率,減輕勞動強度��,實現資源共享都起到了無法估量的作用����。但教師和學生在使用校園網絡的同時卻忽略了網絡安全問題�����,登陸了一些非法網站和使用了帶病毒的軟件��,導致了校園計算機系統的崩潰����,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網的正常運行����。所以在積極發展辦公自動化���、實現資源共享的同時�����,教師和學生都應加強對校園網絡的安全重視�。正如人們經常所說的:網絡的生命在于其安全性。因此��,如何在現有的條件下�����,如何搞好網絡的安全,就成了校園網絡管理人員的一個重要課題����。
作為一位中學電腦教師兼負著校園網絡的維護和管理,我們一起來探討一下校園網絡安全技術��。
網絡安全主要是網絡信息系統的安全性����,包括系統安全�、網絡運行安全和內部網絡安全。
一���、系統安全
系統安全包括主機和服務器的運行安全���,主要措施有反病毒。入侵檢測����、審計分析等技術。
1�����、反病毒技術:計算機病毒是引起計算機故障����、破壞計算機數據的程序,它能夠傳染其它程序��,并進行自我復制���,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力��,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節����,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等��。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控����,效果不錯。
2��、入侵檢測:入侵檢測指對入侵行為的發現���。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析����,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力��,及時對系統進行安全防范����。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動��;檢查系統的配置和操作系統的日志����;發現漏洞、統計分析異常行為等等�。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務�����。當然���,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞��,并進行升級補丁卻是我們應該做的����。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站�����,對于我們有使用的軟件和服務�����,應該密切關注其程序的最新版本和安全信息���,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級�。許多的網絡管理員對此認識不夠��,以至于過了幾年����,還能掃描到機器存在許多漏洞�。在校園網中服務器,為用戶提供著各種的服務����,但是服務提供的越多��,系統就存在更多的漏洞��,也就有更多的危險����。因此從安全角度考慮��,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務�����。最典型的是��,我們在校園網服務器中對公眾通常只提供WEB服務功能���,而沒有必要向公眾提供FTP功能,這樣�����,在服務器的服務配置中��,我們只開放WEB服務����,而將FTP服務禁止。如果要開放FTP功能���,就一定只能向可能信賴的用戶開放��,因為通過FTP用戶可以上傳文件內容��,如果用戶目錄又給了可執行權限�,那么,通過運行上傳某些程序���,就可能使服務器受到攻擊。所以����,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3���、審計監控技術��。審計是記錄用戶使用計算機網絡系統進行所有活動的過程�����,它是提高安全性的重要工具�����。它不僅能夠識別誰訪問了系統���,還能指出系統正被怎樣地使用�����。對于確定是否有網絡攻擊的情況�,審計信息對于確定問題和攻擊源很重要。同時���,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據��。另外�,通過對安全事件的不斷收集、積聚和分析���,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞��。因此���,除使用一般的網管軟件系統監控管理系統外�,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查��、監控�����、報警和阻斷�,從而防止針對網絡的攻擊與犯罪行為���。二�、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外�,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據�����。
一般數據備份操作有三種��。一是全盤備份��,即將所有文件寫入備份介質���;二是增量備份,只備份那些上次備份之后更改過的文件���,這種備份是最有效的備份方法;三是差分備份��,備份上次全盤備份之后更改過的所有文件���。
根據備份的存儲媒介不同����,有“冷備份”和“熱備份”兩種方案�����?����!盁醾浞荨笔侵赶螺d備份的數據還在整個計算機系統和網絡中���,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點�。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系�����,在系統恢復時重新安裝���。其特點是便于保管,用以彌補了熱備份的一些不足���。進行備份的過程中���,常使用備份軟件,如GHOST等���。
三、內部網絡安全
為了保證局域網安全�����,內網和外網最好進行訪問隔離��,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測�,以增強機構內部網的安全性�。
1����、訪問控制:在內外網隔離及訪問系統中���,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一���。它是不同網絡或網絡安全域之間信息的唯一出入口�,能根據安全政策控制出入網絡的信息流���,且本身具有較強的抗攻擊能力���。它是提供信息安全服務����。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問����,外界的哪些人可以訪問內部的哪些服務�,以及哪些外部服務可以被內部人員訪問���。其基本功能有:過濾進�����、出的數據;管理進��、出網絡的訪問行為�����;封堵某些禁止的業務等���。應該強調的是����,防火墻是整體安全防護體系的一個重要組成部分��,而不是全部�。因此必須將防火墻的安全保護融合到系統的整體安全策略中���,才能實現真正的安全���。
另外�,防火墻還用于內部網不同網絡安全域的隔離及訪問控制�。防火墻可以隔離內部網絡的一個網段與另一個網段�����,防止一個網段的問題穿過整個網絡傳播���。針對某些網絡,在某些情況下���,它的一些局域網的某個網段比另一個網段更受信任�����,或者某個網段比另一個網段更敏感���。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響��。
2、網絡安全檢測:保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析�����,用實踐性的方法掃描分析網絡系統��,檢查報告系存在的弱點和漏洞�,建議補救措施和安全策略,達到增強網絡安全性的目的��。
以上只是對防范外部入侵���,維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施���,健康正常的校園網絡需要廣大師生共同來維護�����。
參考文獻
1.局域網組建與維護DIY.人民郵電出版社,2003.05
第5篇
21世紀全世界的計算機都將通過Internet聯到一起���,信息安全的內涵也就發生了根本的變化��。它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在�。當人類步入21世紀這一信息社會、網絡社會的時候�����,我國將建立起一套完整的網絡安全體系��,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系�。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平臺�����。我國在構建信息防衛系統時�����,應著力發展自己獨特的安全產品����,我國要想真正解決網絡安全問題�����,最終的辦法就是通過發展民族的安全產業��,帶動我國網絡安全技術的整體提高�����。
網絡安全產品有以下幾大特點:第一�,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了���;第二��,網絡的安全機制與技術要不斷地變化;第三����,隨著網絡在社會個方面的延伸,進入網絡的手段也越來越多�,因此,網絡安全技術是一個十分復雜的系統工程���。為此建立有中國特色的網絡安全體系�,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面�����,總是不斷地向上攀升�����,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業���。
信息安全是國家發展所面臨的一個重要問題。對于這個問題����,我們還沒有從系統的規劃上去考慮它,從技術上�、產業上���、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分���,而且應該看到�����,發展安全產業的政策是信息安全保障系統的一個重要組成部分��,甚至應該看到它對我國未來電子化�����、信息化的發展將起到非常重要的作用�����。
2.防火墻
網絡防火墻技術是一種用來加強網絡之間訪問控制��,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡����,訪問內部網絡資源��,保護內部網絡操作環境的特殊網絡互聯設備�����。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查����,以決定網絡之間的通信是否被允許,并監視網絡運行狀態�����。
目前的防火墻產品主要有堡壘主機�����、包過濾路由器���、應用層網關(服務器)以及電路層網關���、屏蔽主機防火墻、雙宿主機等類型����。
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段��,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊�����,不能防止來自內部變節者和不經心的用戶們帶來的威脅�����,也不能完全防止傳送已感染病毒的軟件或文件�,以及無法防范數據驅動型的攻擊。
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統�,提出了防火墻概念后�,防火墻技術得到了飛速的發展。國內外已有數十家公司推出了功能各不相同的防火墻產品系列����。
防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇。在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統?如果答案是“是”,則說明企業內部網還沒有在網絡層采取相應的防范措施�����。
作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一�。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務��。另外還有多種防火墻產品正朝著數據安全與用戶認證��、防止病毒與黑客侵入等方向發展�����。
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT���、型和監測型�。
2.1.包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術�����。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址����、目標地址�、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點
,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外���。系統管理員也可以根據實際情況靈活制訂判斷規則���。
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全��。
但包過濾技術的缺陷也是明顯的��。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源��、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒�����。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻�。
2.2.網絡地址轉化—NAT
網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的��、注冊的IP地址標準�����。它允許具有私有IP地址的內部網絡訪問因特網���。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。
NAT的工作過程如圖1所示:
在內部網絡通過安全網卡訪問外部網絡時��,將產生一個映射記錄���。系統將外出的源地址和源端口映射為一個偽裝的地址和端口�����,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接�,這樣對外就隱藏了真實的內部網絡地址����。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況�,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全����。當符合規則時,防火墻認為訪問是安全的�����,可以接受訪問請求���,也可以將連接請求映射到不同的內部計算機中。當不符合規則時��,防火墻認為該訪問是不安全的��,不能被接受,防火墻將屏蔽外部的連接請求�����。網絡地址轉換的過程對于用戶來說是透明的�����,不需要用戶進行設置����,用戶只要進行常規操作即可���。
2.3.型
型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流���。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機���。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統�。
型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性���。
2.4.監測型
監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義����。監測型防火墻能夠對各層的數據進行主動的��、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入�����。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用���。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部��。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品
第6篇
系統安全包括主機和服務器的運行安全����,主要措施有反病毒����。入侵檢測�、審計分析等技術。
1�、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序����,并進行自我復制,特別是要網絡環境下�����,計算機病毒有著不可估量的威脅性和破壞力����,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節�,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測����,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控�,效果不錯。
2���、入侵檢測:入侵檢測指對入侵行為的發現���。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象�,以提高系統管理員的安全管理能力,及時對系統進行安全防范����。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動��;檢查系統的配置和操作系統的日志��;發現漏洞�����、統計分析異常行為等等��。
從目前來看系統漏洞的存在成為網絡安全的首要問題����,發現并及時修補漏洞是每個網絡管理人員主要任務�����。當然��,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞���,并進行升級補丁卻是我們應該做的�����。而發現有報告的漏洞最常用的方法���,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務���,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級���。許多的網絡管理員對此認識不夠,以至于過了幾年��,還能掃描到機器存在許多漏洞���。在校園網中服務器���,為用戶提供著各種的服務����,但是服務提供的越多���,系統就存在更多的漏洞,也就有更多的危險����。因此從安全角度考慮,應將不必要的服務關閉��,只向公眾提供了他們所需的基本的服務�����。最典型的是�����,我們在校園網服務器中對公眾通常只提供WEB服務功能����,而沒有必要向公眾提供FTP功能,這樣��,在服務器的服務配置中��,我們只開放WEB服務����,而將FTP服務禁止。如果要開放FTP功能��,就一定只能向可能信賴的用戶開放��,因為通過FTP用戶可以上傳文件內容���,如果用戶目錄又給了可執行權限�,那么����,通過運行上傳某些程序,就可能使服務器受到攻擊。所以�����,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素���。
3�、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程���,它是提高安全性的重要工具�。它不僅能夠識別誰訪問了系統���,還能指出系統正被怎樣地使用�����。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要�����。同時�����,系統事件的記錄能夠更迅速和系統地識別問題��,并且它是后面階段事故處理的重要依據����。另外�����,通過對安全事件的不斷收集����、積聚和分析�,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞��。
因此�,除使用一般的網管軟件系統監控管理系統外�,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查���、監控�、報警和阻斷�,從而防止針對網絡的攻擊與犯罪行為。二����、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后��,能盡快地全盤恢復運行計算機系統所需的數據����。
一般數據備份操作有三種�。一是全盤備份,即將所有文件寫入備份介質��;二是增量備份��,只備份那些上次備份之后更改過的文件���,這種備份是最有效的備份方法���;三是差分備份,備份上次全盤備份之后更改過的所有文件�����。
根據備份的存儲媒介不同��,有“冷備份”和“熱備份”兩種方案��?��!盁醾浞荨笔侵赶螺d備份的數據還在整個計算機系統和網絡中�,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放����,具有速度快和調用方便的特點?�!袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲媒介中���,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系���,在系統恢復時重新安裝�。其特點是便于保管,用以彌補了熱備份的一些不足�����。進行備份的過程中����,常使用備份軟件�,如GHOST等��。
三���、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離�����,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測���,以增強機構內部網的安全性�����。
1�、訪問控制:在內外網隔離及訪問系統中�,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一����。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力����。它是提供信息安全服務。實現網絡和信息安全的基礎設施���。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務�����,以及哪些外部服務可以被內部人員訪問���。其基本功能有:過濾進�、出的數據���;管理進����、出網絡的訪問行為����;封堵某些禁止的業務等���。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分����,而不是全部���。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全�。
另外,防火墻還用于內部網不同網絡安全域的隔離及訪問控制��。防火墻可以隔離內部網絡的一個網段與另一個網段�����,防止一個網段的問題穿過整個網絡傳播�。針對某些網絡,在某些情況下��,它的一些局域網的某個網段比另一個網段更受信任�,或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響���。
2�、網絡安全檢測:保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析���,用實踐性的方法掃描分析網絡系統�,檢查報告系存在的弱點和漏洞�����,建議補救措施和安全策略�,達到增強網絡安全性的目的。
以上只是對防范外部入侵�,維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施�����,健康正常的校園網絡需要廣大師生共同來維護��。
參考文獻
第7篇
我國電力系統中通常采用專用網絡和公共網絡二者相互結合的網絡結構����。電力系統的專業網絡包含SPDnet(調度信息網)和SPne(t電力信息網)二部分��。在信息網絡安全的前提下,與Internet網絡連接���。我國電力系統網絡安全劃分為三層四區�����。三層:第一層自動化系統����,第二場為生產管理系統�,第三層為電力信息系統管理系統及辦公自動化系統�����。這三層對應著電力網絡安全系統的四個安全工作區���。四個安全區:第一個安全區是由SPDnet支撐的自動化系統��,該區主要是能進行實時監控功能的系統;第二安全區是由SPDnet支撐的生產管理系統����,該去主要為不具有控制功能的生產業務和批發交易區系統�;第三個安全區為SPnet支撐的進行生產管理系統����,該區主要為調度生產管理的系統;第四個安全區是由SPnet支撐的電力信息管理系統��,包含MIS和OAS系統�����。
2安全隔離技術
電力系統的網絡系統是個內部網絡���。內部網絡被動防護角度的主要安全防護技術是防火墻����,主動防護角度的安全防護技術主要是安全隔離技術�。安全隔離技術又被分為物理隔離技術、防火墻技術及協議隔離技術三種技術手段�����。物理隔離技術是指從物理上將內部網與外部網分離�,防止二者連接����。物理隔離能夠有效的防止黑客���、病毒入侵網絡系統中。電力網絡系統的四個安全區主要采用物理隔離技術保障其安全���。防火墻隔離技術是保護網絡和外部網絡之間的一道屏障���,能夠一定程度上的阻擋黑客及病毒的侵入。防火墻就像計算機網絡外的一個屏障�����,起到隔離防火墻內外連接計算機系統的功能�。當外界對網絡進行攻擊時能對管理員提出警報�,并且保留著攻擊者的信息��。協議隔離技術是處于內外網連接端點處�,通過隔離器隔離內外網的技術。當有數據交換時����,內外網就可以通過協議隔離器進行連通����。
3電力信息網絡的安全對策
3.1網絡分段
對網絡進行分段是控制網絡問題擴散的一種方式�����,能有效的保障網絡的安全�。能夠對非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法的侵入電力信息網絡系統���。
3.2數據加密與用戶授權訪問控制技術
數據加密與用戶授權訪問控制技術比較靈活���,更加適用于網路系統當中。數據加密主要用于對動態信息的保護�。數據加密實質上是對以符號位基礎的數據進行移位和置換的變換算法��。保證只有授權用戶通過密鑰才能進入電力網絡信息系統����。
3.3漏洞掃描技術
漏洞掃描是對計算機進行全面的掃描,尋找出可能影響計算機網絡安全的漏洞��。漏洞掃描技術對于保護電腦和網絡安全必不可少,而且需要定時進行掃描����。有的漏洞系統自身就可以修復,而有些則需要手動修復�����。
3.4以交換式集線器
采用共享式集成器對網絡進行網絡分段后����,仍就存在安全隱患。這是因為在進行信息數據通信時�����,很容易被通一集線器上的其他用戶傾聽�,造成數據的安全隱患。采用交換式集線器能有效的避免這一現象�,保障網絡信息的安全�。
