序論:在您撰寫通信網絡安全論文時,參考他人的優秀作品可以開闊視野����,小編為您整理的7篇范文�����,希望這些建議能夠激發您的創作熱情�,引導您走向新的創作高度��。
第1篇
可以從不同角度對網絡安全作出不同的解釋。一般意義上�,網絡安全是指信息安全和控制安全兩部分��。國際標準化組織把信息安全定義為“信息的完整性��、可用性、保密性和可靠性”���;控制安全則指身份認證��、不可否認性、授權和訪問控制�。
當今社會,通信網絡的普及和演進讓人們改變了信息溝通的方式��,通信網絡作為信息傳遞的一種主要載體��,在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯��。這種關聯一方面帶來了巨大的社會價值和經濟價值,另一方面也意味著巨大的潛在危險--一旦通信網絡出現安全事故�,就有可能使成千上萬人之間的溝通出現障礙���,帶來社會價值和經濟價值的無法預料的損失���。
2通信網絡安全現狀
互聯網與生俱有的開放性�、交互性和分散性特征使人類所憧憬的信息共享�����、開放���、靈活和快速等需求得到滿足��。網絡環境為信息共享��、信息交流��、信息服務創造了理想空間����,網絡技術的迅速發展和廣泛應用���,為人類社會的進步提供了巨大推動力�����。然而����,正是由于互聯網的上述特性����,產生了許多安全問題���。
計算機系統及網絡固有的開放性、易損性等特點使其受攻擊不可避免���。
計算機病毒的層出不窮及其大范圍的惡意傳播,對當今日愈發展的社會網絡通信安全產生威脅��。
現在企業單位各部門信息傳輸的的物理媒介����,大部分是依靠普通通信線路來完成的,雖然也有一定的防護措施和技術���,但還是容易被竊取。
通信系統大量使用的是商用軟件���,由于商用軟件的源代碼�,源程序完全或部分公開化���,使得這些軟件存在安全問題。
3通信網絡安全分析
針對計算機系統及網絡固有的開放性等特點����,加強網絡管理人員的安全觀念和技術水平����,將固有條件下存在的安全隱患降到最低。安全意識不強����,操作技術不熟練,違反安全保密規定和操作規程�,如果明密界限不清�����,密件明發����,長期重復使用一種密鑰��,將導致密碼被破譯����,如果下發口令及密碼后沒有及時收回,致使在口令和密碼到期后仍能通過其進入網絡系統��,將造成系統管理的混亂和漏洞。為防止以上所列情況的發生�,在網絡管理和使用中���,要大力加強管理人員的安全保密意識��。
軟硬件設施存在安全隱患�。為了方便管理��,部分軟硬件系統在設計時留有遠程終端的登錄控制通道�����,同時在軟件設計時不可避免的也存在著許多不完善的或是未發現的漏洞(bug)�,加上商用軟件源程序完全或部分公開化���,使得在使用通信網絡的過程中,如果沒有必要的安全等級鑒別和防護措施�����,攻擊者可以利用上述軟硬件的漏洞直接侵入網絡系統���,破壞或竊取通信信息。
傳輸信道上的安全隱患��。如果傳輸信道沒有相應的電磁屏蔽措施�,那么在信息傳輸過程中將會向外產生電磁輻射,從而使得某些不法分子可以利用專門設備接收竊取機密信息�����。
另外��,在通信網建設和管理上��,目前還普遍存在著計劃性差���。審批不嚴格,標準不統一���,建設質量低,維護管理差�����,網絡效率不高�����,人為因素干擾等問題。因此,網絡安全性應引起我們的高度重視�����。
4通信網絡安全維護措施及技術
當前通信網絡功能越來越強大�,在日常生活中占據了越來越重要的地位�����,我們必須采用有效的措施�����,把網絡風險降到最低限度��。于是,保護通信網絡中的硬件��、軟件及其數據不受偶然或惡意原因而遭到破壞���、更改、泄露�����,保障系統連續可靠地運行,網絡服務不中斷��,就成為通信網絡安全的主要內容��。
為了實現對非法入侵的監測��、防偽、審查和追蹤��,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級�����,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽���,從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性,即便被截獲也會由于在不同協議層中加入了不同的加密機制����,將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認�����,以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”���,一般是通過數據檢查核對的方式達成的,數據檢查核對方式通常有兩種���,一種是邊發送接收邊核對檢查��,一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞,同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息��。
為了實現實現上述的種種安全措施����,必須有技術做保證�,采用多種安全技術,構筑防御系統���,主要有:
防火墻技術。在網絡的對外接口采用防火墻技術�,在網絡層進行訪問控制��。通過鑒別,限制��,更改跨越防火墻的數據流�,來實現對網絡的安全保護�����,最大限度地阻止網絡中的黑客來訪問自己的網絡�����,防止他們隨意更改��、移動甚至刪除網絡上的重要信息���。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部���,所以,防火墻是網絡安全的重要一環���。
入侵檢測技術�。防火墻保護內部網絡不受外部網絡的攻擊�,但它對內部網絡的一些非法活動的監控不夠完善�����,IDS(入侵檢測系統)是防火墻的合理補充�����,它積極主動地提供了對內部攻擊�����、外部攻擊和誤操作的實時保護���,在網絡系統受到危害之前攔截和響應入侵�,提高了信息安全性。
網絡加密技術�。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取�,是網絡安全的核心��。采用網絡加密技術�,對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性�、完整性��,它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題�����。
身份認證技術��。提供基于身份的認證����,在各種認證機制中可選擇使用����。通過身份認證技術可以保障信息的機密性、完整性����、不可否認性及可控性等功能特性。
虛擬專用網(VPN)技術�����。通過一個公用網(一般是因特網)建立一個臨時的�、安全的連接�,是一條穿過混亂的公用網絡的安全、穩定的隧道����。它通過安全的數據通道將遠程用戶��、公司分支機構���、公司業務伙伴等跟公司的內網連接起來,構成一個擴展的公司企業網�����。在該網中的主機將不會覺察到公共網絡的存在��,仿佛所有的機器都處于一個網絡之中���。
漏洞掃描技術。面對網絡的復雜性和不斷變化的情況����,僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估��,顯然是不夠的����,我們必須通過網絡安全掃描工具��,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患�。在要求安全程度不高的情況下���,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞�。
結束語
目前解決網絡安全問題的大部分技術是存在的,但是隨著社會的發展�,人們對網絡功能的要求愈加苛刻�,這就決定了通信網絡安全維護是一個長遠持久的課題��。我們必須適應社會�,不斷提高技術水平����,以保證網絡安全維護的順利進行���。
參考文獻
[1]張詠梅.計算機通信網絡安全概述.中國科技信息,2006.
[2]楊華.網絡安全技術的研究與應用.計算機與網絡��,2008
[3]馮苗苗.網絡安全技術的探討.科技信息�����,2008.
[4]姜濱,于湛.通信網絡安全與防護.甘肅科技�����,2006.
[5]艾抗�����,李建華��,唐華.網絡安全技術及應用.濟南職業學院學報���,2005.
[6]羅綿輝�,郭鑫.通信網絡安全的分層及關鍵技術.信息技術���,2007.
[7]姜春祥.通信網絡安全技術是關鍵.網絡安全技術與應用,2005.
第2篇
1移動通信發展歷程
隨著移動技術的發展�����,我國移動大致經歷五個不同的發展階段���。第一個階段是以模擬蜂窩通信技術,該技術主要是通過無線組網的方式��,通過無線通道����,實現終端和網絡的連接����。該技術主要盛行在上世界70-80年代;第二階段是以美國CDMA等通信技術為代表的移動網絡��,盛行于80年代到21世紀之初�。在該階段開始出現漫游、呼叫轉移等業務�����;第三階段則主要為2G與3G的過渡階段����,同時也成為2.5G��。第四階段則主要是以現階段的主流通信技術3G技術為代表���,該技術其典型的特點在于在傳輸的效率上有著很大的提升�。第五階段則主要是4G技術����,在3G的基礎上形成以TD-LTE為代表的4G網絡技術��。
2移動通信傳輸網絡面臨的安全性風險
2.1網絡自身的風險
在現代網絡中���,因為計算機軟件或者是系統自身存在的漏洞��,導致計算機病毒和木馬能夠輕易的植入到網絡當中��,從而導致計算機當中的一些隱私或秘密被非授權的用戶訪問�����,給用戶帶來很大的隱私泄露或者是財產的損失����。同時��,隨著現代wifi等無線網絡的發展��,通過無線網絡帶來的非法的截取現象����,更是給用戶帶來巨大的損失����。在移動通信應用最為廣泛的手機方面,也有很多的不發分子則利用手機的漏洞�����,或者是安裝不法軟件的方式���,導致出現非法的訪問和數據的篡改和刪除。而面對應用最為廣泛的3G網絡通信技術���,其不僅將面臨IP網絡問題�,同時也面臨IP技術問題����。3G系統的IP其不僅包含著承載網絡����,同時也包含了業務網絡。而IP的應用其不僅包括因特網���、下載、郵件等應用����,也有承載IP協議的移動通信系統控制信令和數據。未來針對3G網絡運營商面對的主要的問題則是如何加強對3G網絡的管理�����,并以此更好的保證3G網絡系統在面臨出現的不同安全問題���,都要結合IP網絡和其應用對其出現的問題進行總結,從而制定出更加好的管理措施���。
2.2網絡外在的風險
針對移動通信網絡外在的風險包括很多,而網絡詐騙是其中最為常見的影響用戶安全的問題��。隨著人們對網絡的熟知�,電腦技術也開始成為當前人們應用的主流����。但是,網絡給人們帶來方便的同時����,卻成為犯罪分子進行詐騙的工具,如現階段出現的支付寶盜竊����、網絡電話詐騙等,都給人們對網絡的應用蒙上了很深的陰影����。同時���,虛假購物網站���、網上盜刷信譽同樣讓人們對網絡出現不同的咒罵����。因此,如何保障網絡應用的安全����,防止各種詐騙等問題的出現,也是移動通信安全性考慮的重點�。
3移動通信傳輸網絡安全采取的措施
造成移動通信網絡安全的原因有很多�,其主要包括以下的幾種:第一����,傳輸組網的結構以及設備不合理造成。通過大量的研究���,移動通信在進行安裝的時候�,通常會出現一些長鏈型或者是星型�����,在這些錯綜復雜的網絡結構當中�����,其安裝古語復雜導致在網絡的傳輸當中出現很大的混亂問題,從而嚴重影響了網絡傳輸的效率���。因此�����,在對移動網絡進行建設的初期�����,一定要對網絡的整體布局和網線的架構進行全面���、合理的規劃,從而避免在網絡傳輸的過程中出現上述的問題�,以此更好的保障網絡傳輸的安全性����,使得人們對網絡的結構能夠一目了然,提高其便利性和安全性�����。同時�,在設備的選擇方面����,只顧及成本而忽視對設備質量的考慮�����,成為考慮設備使用的重要的因素。在對網絡進行建設的過程中��,盡量選擇同樣的生產設備���,避免不同的設備出現的不相容等情況的發生����,從而給網絡安全帶來影響。第二��,環境因素造成的影響�����。移動通信設備遍布各地��,從而使得不同地點都能使用移動網絡���。而在一些比較偏遠的地區,因為氣候的影響����,給網絡傳輸的效率帶來很大的問題。同時在一些比較特殊的區域��,存在不明的干擾信號��,導致數據無法有效的傳輸�����。因此���,對設備的保管必須選擇正常的環境��。第三�,在通過外在的設備管理和組網結構后,還必須在統一的物理網絡接入平臺上構建各種基于業務的邏輯專網�����。因為在移動網絡中�����,很多的安全對策還不能夠有效的支撐其各種應用的核心業務���。同時如果將安全措施都集中在流量的出口的地方,就會導致安全設備的性能出現很大的瓶頸����。因此,針對這種情況�,通常采用搭建統一的根絕業務邏輯專網�。該網絡設置的地點的IP流“特征五元組(源地址�����、源端口�����、目的地址�����、目的端口����、協議)”的基礎上�,同時還可以將其設置在接入點名/用戶接入標識/主叫號碼的上面。通過采用這種GTP或GRE的方式來劑型的傳輸����,一直要到業務網絡間的網關被解封了才會傳輸到業務網絡。從而通過這種網絡�����,清晰的知道每個數據其流動的方向和具備的特征�。完成不同層次清晰明了的虛擬網路業務���。如果完成了這樣的情況就還可以實現:專門的邏輯網絡形成安全的防御系統;在不同的方向和業務上做好網絡安全的預防措施��;根據業務擴展的方便靈活度的能力��,更好更快地計算出業務流量的量和集中區域��。第四����,在移動通信網絡中加入“網絡準入控制(NCA)”機制,從而實現對終端用戶的認證��。在移動通信網絡當中��,3G用戶不僅是保護的對象��,同時也是需要進行防范的對象����。在面對數以千計的用戶,如何做好保護���,其實際是非常脆弱的�。對此����,為更好的保護3G網絡���,通常采用網絡現在的方式��,對終端用戶的相關信息進行檢測�,包括軟件版本等����,以此提高終端預防病毒的能力,如通過對殺毒軟件的在線升級����。一旦發現其中有異常��,則立即進行隔離���。
4結語
第3篇
2通信網絡安全的定義及其重要性
可以從不同角度對網絡安全作出不同的解釋。一般意義上���,網絡安全是指信息安全和控制安全兩部分�。國際標準化組織把信息安全定義為“信息的完整性���、可用性�、保密性和可靠性”�����;控制安全則指身份認證����、不可否認性�����、授權和訪問控制�。
當今社會,通信網絡的普及和演進讓人們改變了信息溝通的方式���,通信網絡作為信息傳遞的一種主要載體,在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯�。這種關聯一方面帶來了巨大的社會價值和經濟價值�,另一方面也意味著巨大的潛在危險--一旦通信網絡出現安全事故����,就有可能使成千上萬人之間的溝通出現障礙�����,帶來社會價值和經濟價值的無法預料的損失。
3通信網絡安全現狀
互聯網與生俱有的開放性�、交互性和分散性特征使人類所憧憬的信息共享、開放�����、靈活和快速等需求得到滿足�。網絡環境為信息共享���、信息交流��、信息服務創造了理想空間,網絡技術的迅速發展和廣泛應用����,為人類社會的進步提供了巨大推動力。然而���,正是由于互聯網的上述特性���,產生了許多安全問題。
計算機系統及網絡固有的開放性���、易損性等特點使其受攻擊不可避免�����。
計算機病毒的層出不窮及其大范圍的惡意傳播,對當今日愈發展的社會網絡通信安全產生威脅��。
現在企業單位各部門信息傳輸的的物理媒介�,大部分是依靠普通通信線路來完成的���,雖然也有一定的防護措施和技術����,但還是容易被竊取����。
通信系統大量使用的是商用軟件���,由于商用軟件的源代碼�,源程序完全或部分公開化�,使得這些軟件存在安全問題�����。
4通信網絡安全分析
針對計算機系統及網絡固有的開放性等特點��,加強網絡管理人員的安全觀念和技術水平��,將固有條件下存在的安全隱患降到最低�����。安全意識不強���,操作技術不熟練,違反安全保密規定和操作規程�,如果明密界限不清����,密件明發�,長期重復使用一種密鑰����,將導致密碼被破譯�,如果下發口令及密碼后沒有及時收回,致使在口令和密碼到期后仍能通過其進入網絡系統���,將造成系統管理的混亂和漏洞。為防止以上所列情況的發生��,在網絡管理和使用中�,要大力加強管理人員的安全保密意識。
軟硬件設施存在安全隱患��。為了方便管理�,部分軟硬件系統在設計時留有遠程終端的登錄控制通道,同時在軟件設計時不可避免的也存在著許多不完善的或是未發現的漏洞(bug)�����,加上商用軟件源程序完全或部分公開化��,使得在使用通信網絡的過程中���,如果沒有必要的安全等級鑒別和防護措施,攻擊者可以利用上述軟硬件的漏洞直接侵入網絡系統�����,破壞或竊取通信信息��。
傳輸信道上的安全隱患�����。如果傳輸信道沒有相應的電磁屏蔽措施��,那么在信息傳輸過程中將會向外產生電磁輻射�,從而使得某些不法分子可以利用專門設備接收竊取機密信息�����。
另外���,在通信網建設和管理上�����,目前還普遍存在著計劃性差���。審批不嚴格��,標準不統一,建設質量低�����,維護管理差����,網絡效率不高����,人為因素干擾等問題。因此��,網絡安全性應引起我們的高度重視��。
5通信網絡安全維護措施及技術
當前通信網絡功能越來越強大���,在日常生活中占據了越來越重要的地位����,我們必須采用有效的措施�,把網絡風險降到最低限度���。于是,保護通信網絡中的硬件�、軟件及其數據不受偶然或惡意原因而遭到破壞、更改���、泄露,保障系統連續可靠地運行��,網絡服務不中斷���,就成為通信網絡安全的主要內容。
為了實現對非法入侵的監測�����、防偽、審查和追蹤�����,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級����,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽�,從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性,即便被截獲也會由于在不同協議層中加入了不同的加密機制�����,將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認���,以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”,一般是通過數據檢查核對的方式達成的����,數據檢查核對方式通常有兩種����,一種是邊發送接收邊核對檢查�����,一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞�����,同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息。
為了實現實現上述的種種安全措施�����,必須有技術做保證����,采用多種安全技術�,構筑防御系統�,主要有:
防火墻技術。在網絡的對外接口采用防火墻技術�,在網絡層進行訪問控制��。通過鑒別,限制����,更改跨越防火墻的數據流,來實現對網絡的安全保護�,最大限度地阻止網絡中的黑客來訪問自己的網絡�����,防止他們隨意更改�、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制�����,防止Internet上的不安全因素蔓延到局域網內部�,所以�,防火墻是網絡安全的重要一環���。
入侵檢測技術���。防火墻保護內部網絡不受外部網絡的攻擊,但它對內部網絡的一些非法活動的監控不夠完善,IDS(入侵檢測系統)是防火墻的合理補充��,它積極主動地提供了對內部攻擊�����、外部攻擊和誤操作的實時保護����,在網絡系統受到危害之前攔截和響應入侵��,提高了信息安全性�����。
網絡加密技術。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取�,是網絡安全的核心。采用網絡加密技術���,對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性、完整性��,它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。
身份認證技術�����。提供基于身份的認證����,在各種認證機制中可選擇使用�����。通過身份認證技術可以保障信息的機密性�����、完整性����、不可否認性及可控性等功能特性。
虛擬專用網(VPN)技術����。通過一個公用網(一般是因特網)建立一個臨時的����、安全的連接�,是一條穿過混亂的公用網絡的安全�、穩定的隧道。它通過安全的數據通道將遠程用戶��、公司分支機構����、公司業務伙伴等跟公司的內網連接起來�����,構成一個擴展的公司企業網���。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中�����。
漏洞掃描技術���。面對網絡的復雜性和不斷變化的情況,僅依靠網絡管理員的技術和經驗尋找安全漏洞��、做出風險評估��,顯然是不夠的��,我們必須通過網絡安全掃描工具�,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患����。在要求安全程度不高的情況下,可以利用各種黑客工具�,對網絡模擬攻擊從而暴露出網絡的漏洞�。
第4篇
對于企業信息通信網絡環境來說,容易出現問題是用戶�。很多企業用戶,包括高級管理人員以及其他具有訪問特權的人�����,每天都在網絡中進行各種行為���,沒有安全意識中進行一些違規操作����,從而企業網絡安全出行問題。對此����,最佳的防范措施應該是開展安全知識培訓�,規范用戶行為,提高安全意識���。
1.1網絡用戶的行為管理需要規范。
網絡行為的根本出發點��,不僅僅是對設備進行保護����,也不是對數據進行監控防范,而是規范企業員工在網絡中的各種行為����,也就是對人的管理��。規范企業員工的網絡行為需要通過技術設備和規章制度的結合來進行�。網絡中用戶的各種不規范行為主要包括:正常使用互聯網時訪問到被人為惡意控制的網站或者網頁。這些被控制的網站被黑客植入后門��,方便攻擊者竊取企業的各類內部數據或者控制其連接互聯網的服務器���。
1.2網絡用戶的安全意識需要加強。
各種安全設備的建立和安全技術的應用只是企業信息通信網絡安全防護的一部分����,關鍵是加強企業網絡用戶的安全意識���,貫徹落實企業的安全制度�。企業只依靠技術不可能完全解決自身的安全防護�,因為技術在不斷發展,設備在不斷更新��,黑客技術也在發展和更新����。所以企業管理人員必須有安全意識�����,重視自己企業的安全措施。加強對員工的安全培訓�,使得全體人員提高安全意識��,從根本杜絕安全隱患����。
2企業信息通信網絡的安全防護
信息通信網絡安全防護工作,主要包括幾個方面:安全組織����、安全技術��、安全運行體系�����。
2.1安全組織體系的構架
信息通信網絡安全組織建設方面���,需要建立決策、管理�、協作三級組織架構,明確各層組織的職責分工和職能,對應合理的崗位��,配備相應的人員�,同時根據企業信息通信網絡實際情況���,建立起垂直和水平的溝通、協調機制���。企業中有具體的人和組織來承擔安全工作,即成立專業的信息通信網絡安全部門����,設置不同的崗位,明確對應的職責��,并且賦予部門相應的權力和信任���;安全部門組織專業人員制訂出安全策略來指導和規范安全工作的開展,明確哪些可以做�,哪些不能做,哪些如何做��,做到何種程度等等���。另外需要創造合理的外部環境來推動安全部門的工作���,建立起一套快速有效的溝通協調機制,確保安全工作的高效推動��。
2.2安全技術的應用
有了安全組織制訂的安全目標和安全策略后�,需要選擇合適的安全技術來滿足安全目標����;這里主要分為信息通信網絡系統的整體防護和個人終端的防護。
2.2.1信息通信網絡系統的安全防護���。
系統自身漏洞而導致的安全風險,經常是因為信息通信網絡應用本身的漏洞使得網站被病毒入侵或者被植入控制程序��,導致企業丟失數據�。因此需要建立以下防范措施:(1)部署網絡應用防火墻和網絡應用安全掃描器,重要的網絡應用通過各種安全認證或者許可才能進行使用��,同時保證驗證程序本身的安全性����。(2)時刻對系統進行更新,對應用程序和系統軟件進行補丁安裝和升級��。對于客戶端漏洞有以下幾種防范措施:(1)系統管理員要通過相應的認證軟件攔截限制用戶訪問一些具有安全威脅的網頁��;(2)系統管理員要通過相關方案防止用戶訪問含有攻擊和惡意軟件的網站�;(3)系統管理員要禁止用戶從網上下載任何媒體播放文件����;(4)系統管理員要通過部署相關軟件禁止外網訪問企業的郵件服務器�����;(5)禁止系統管理員在企業內部服務器上使用網頁瀏覽器�����、電子郵件客戶端�����、媒體播放器以及辦公軟件�����。從技術層面上而言�����,安全問題無處不在����,單一的防火墻��、防病毒軟件����、區域防御系統已經不能滿足企業網的需要��,為了應對網絡中存在的多元�����、多層次的安全威脅���,必須首先構建一個完備的安全體系�,在體系架構下層層設防�、步步為營,才能夠將安全問題各個擊破�����,實現全網安全����。安全體系架構:由以太網交換機�、路由器、防火墻����、流量控制與行為審計系統�、接入認證與強制管理平臺等多種網絡設備做技術支撐。從可信終端準入�、資產管理����、訪問控制、入侵防御�、遠程訪問�����、行為審計、全局安全管理等多方面�,構成完善的防護體系,從而實現“可信�、可控、可取證”的全網安全���。其中以太網交換機、路由器��、防火墻�、流量控制與行為審計系統作為部署在網絡各個層面的組件����,接入認證與強制管理平臺作為全網調度和策略分發的決策核心,通過安全聯動����,從內外兩個安全域,三個維度構建自適應的安全體系���。
2.2.2信息通信網絡中個人應用的安全防護�。
為了更好地加強企業信息通信網絡安全���,必須規范用戶自己的安全行為�,加強個人安全意識�����,建立自己的計算機安全系統�,這就需要企業每個員工做到以下幾方面的安全措施:(1)修改計算機管理員賬戶�����,為系統管理員和備份操作員創建特殊賬戶��。用戶要禁止所有具有管理員和備份特權的賬戶瀏覽Web���,嚴禁設置缺省的Guest賬戶���;(2)限制遠程管理員訪問NT平臺����;(3)在域控制器上,修改注冊表設置����;(4)嚴格限制域中Windows工作站上的管理員特權��,嚴禁使用缺省值����;(5)對于注冊表嚴格限制,只能進行本地注冊����,不能遠程訪問�;(6)限制打印操作員權限的人數;(7)合理配置FTP�,確保服務器必須驗證所有FTP申請。在確定了安全組織和安全技術后��,必須通過規范的運作過程來實施安全工作��,將安全組織和安全技術有機地結合起來���,形成一個相互推動���、相互聯系地整體安全運行體系,最終實現企業信息通信網絡的安全防護��。
3結束語
第5篇
1.1網絡安全協議的安全性檢測
目前�,信息技術得到快速發展���,各類網絡安全協議不斷應用于計算機通信中����,對于信息傳遞和數據的傳輸具有重要意義�����。然而�,在網絡安全協議過程中���,設計者未能全面了解和分析網絡安全的需求,導致設計的網絡安全協議在安全性分析中存在大量問題���,直接導致一些網絡安全協議剛推出便由于存在漏洞而無效��。對于網絡安全協議的安全性檢測�����,通常情況下證明網絡安全協議存在安全性漏洞比網絡安全協議安全更加簡單和方便�����。目前,對于網絡安全協議安全性的檢測主要是通過攻擊手段測試來實現網絡安全協議安全性風險�。攻擊性測試一般分為攻擊網絡安全協議加密算法、攻擊算法和協議的加密技術以及攻擊網絡安全協議本身�,以便發現網絡安全協議存在的安全漏洞,及時對網絡安全協議進行改進和優化��,提升網絡安全協議安全性�����。
1.2常見網絡安全協議設計方式
在網絡安全協議設計過程中�����,較為注重網絡安全協議的復雜性設計和交織攻擊抵御能力設計����,在確保網絡安全協議具備較高安全性的同時,保證網絡安全協議具備一定的經濟性�����。網絡安全協議的復雜性主要目的是保障網絡安全協議的安全�,而網絡安全協議的交織攻擊抵抗力則是為了實現網絡安全協議應用范圍的擴展�����。在網絡安全協議設計過程中�,應當注重邊界條件的設定����,確保網絡安全協議集復雜性、安全性�����、簡單性以及經濟性于一身。一方面��,利用一次性隨機數來替換時間戳。同步認證的形式是目前網絡安全協議的設計運用較為廣泛的方式��,該認證形式要求各認證用戶之間必須保持嚴格的同步時鐘�����,在計算機網絡環境良好的情況相對容易實現����,然而當網絡存在一定延遲時��,難以實現個用戶之間的同步認證����。對此,在網絡安全協議設計過程中可以合理運用異步認證方式�,采用隨機生成的驗證數字或字母來取代時間戳,在實現有效由于網絡條件引發的認證失敗問題的同時��,確保網絡安全協議的安全性��。另一方面��,采用能夠抵御常規攻擊的設計方式����。網絡安全協議必須具備抵御常見明文攻擊、混合攻擊以及過期信息攻擊等網絡攻擊的能力�,防止網絡擊者從應答信息中獲取密鑰信息�����。同時�����,在設計網絡安全協議過程中���,也應當注重過期消息的處理機制的合理運用,避免網絡攻擊者利用過期信息或是對過期信息進行是該來實現攻擊����,提升網絡安全協議的安全性。此外��,在設計網絡安全協議過程中,還應當確保網絡安全協議實用性��,保障網絡安全協議能夠在任何網絡結構的任意協議層中使用��。在網絡通信中���,不同網絡結構的不同協議層在接受信息長度方面存在一定差異�,對此,在設置網絡安全協議秘鑰消息時�,必須確保密鑰消息滿足最短協議層的要求���,將密碼消息長度設置為一組報文的長度��,在確保網絡安全協議適用性的同時��,提升網絡安全協議的安全性����。
2計算機網絡安全協議在CTC中的應用
近年來�����,隨著計算機通信技術����、網絡技術以及我國高速鐵路的不斷發展,推動了我國調度集中控系統(CentralizedTrafficControl�,檢測CTC系統)的不斷發展���,使得CTC系統廣泛應用于高鐵的指揮調度中�。CTC系統是鐵路運輸指揮信息化自動化的基礎和重要組成部分�,采用了自動控制技術、計算機技術�、網絡通信技術等先進技術����,同時采用智能化分散自律設計原則,是一種以列車運行調整計劃控制為中心��,兼顧列車與調車作業的高度自動化的調度指揮系統���。同CTC系統的路由器與交換機之間裝設了防火墻隔離設備��,能夠有效確保CTC系統中心局域網的安全�。CTC系統的車站系統的局域網主干主要由兩臺高性能交換機或集線器構成���,并在車站調度集中自律機LiRC��、值班員工作站以及信號員工作站等設備上配備兩個以太網口��,以實現與高速網絡通信。為實現車站系統與車站基層廣域網之間的網絡通信和高速數據傳輸��,車站系統配備了兩臺路由器���。車站基層廣域網連接調度中心局域網通過雙環、迂回的高速專用數字通道實現與各車站局域網的網絡通信�����,其中���,該數字通道的帶寬超過2Mbps/s,且每個通道環的站數在8個以內���,并采用每個環應交叉連接到局域網兩臺路由器的方式來確保其數據傳輸的可靠性�。CTC系統在網絡通信協議方面,采用TCP/IP協議��,并在數據傳輸過程中運用CHAP身份驗證技術和IPSEC安全保密技術�,在有效實現數據高速傳遞的同時����,確保的網絡通信的安全。
3結語
第6篇
隨著信息產業的高速發展��,眾多企業都利用互聯網建立了自己的信息系統��,以充分利用各類信息資源���。但是我們在享受信息產業發展帶給我們的便利的同時,也面臨著巨大的風險�。我們的系統隨時可能遭受病毒的感染、黑客的入侵�����,這都可以給我們造成巨大的損失����。本文主要介紹了信息系統所面臨的技術安全隱患,并提出了行之有效的解決方案�����。
關鍵字:信息系統信息安全身份認證安全檢測
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一�����、目前信息系統技術安全的研究
1.企業信息安全現狀分析
隨著信息化進程的深入��,企業信息安全己經引起人們的重視���,但依然存在不少問題����。一是安全技術保障體系尚不完善�����,企業花了大量的金錢購買了信息安全設備,但是技術保障不成體系��,達不到預想的目標:二是應急反應體系沒有經?����;⒅贫然?三是企業信息安全的標準���、制度建設滯后。
2003年5月至2004年5月�,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%���。調查結果表明��,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱���。其中����,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的“%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%.
對于網絡安全管理情況的調查:調查表明�,近年來,使用單位對信息網絡安全管理工作的重視程度普遍提高�,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織�����,有2%的單位請信息安全服務企業提供專業化的安全服務���。調查表明��,認為單位信息網絡安全防護能力“較高”和“一般”的比較多��,分別占44%����。但是���,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓�、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低�。
2.企業信息安全防范的任務
信息安全的任務是多方面的�,根據當前信息安全的現狀��,制定信息安全防范的任務主要是:
從安全技術上,進行全面的安全漏洞檢測和分析����,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件��、入侵檢測系統����、建立安全認證系統等安全系統��。
從安全管理上�,建立和完善安全管理規范和機制,切實加強和落實安全管理制度��,增強安全防范意識���。
信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源��、實體����、載體)穩定可靠地運行����、受控合法地使用��。信息安全:保障存儲�、傳輸�、應用的機密性(Confidentiality)、完整性(Integrity)���、抗否認性(non-Repudiation),可用性(Availability)�����。其他安全:病毒防治��、預防內部犯罪。
二����、計算機網絡中信息系統的安全防范措施
(一)網絡層安全措施
①防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中��,尤其以接入Internet網絡為甚����。
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口�,能根據企業的安全政策控制(允許���、拒絕���、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力���。它是提供信息安全服務�,實現網絡和信息安全的基礎設施��。在邏輯上���,防火墻是一個分離器,一個限制器�����,也是一個分析器��,有效地監控了內部網和Internet之間的任何活動�����,保證了內部網絡的安全���。
防火墻是網絡安全的屏障:一個防火墻(作為阻塞點�����、控制點)能極大地提高一個內部網絡的安全性�����,并通過過濾不安全的服務而降低風險��。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全���。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置��,能將所有安全軟件(如口令��、加密���、身份認證�、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻���,那么�����,防火墻就能記錄下這些訪問并做出日志記錄����,同時也能提供網絡使用情況的統計數據���。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離���,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響���。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN�。通過VPN�����,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體���。不僅省去了專用通信線路�����,而且為信息共享提供了技術保障�。
②入侵檢測技術
IETF將一個入侵檢測系統分為四個組件:事件產生器(EventGenerators)�����;事件分析器(EventAnalyzers)����;響應單元(ResponseUnits)和事件數據庫(EventDataBases)����。事件產生器的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。事件分析器分析得到的數據��,并產生分析結果����。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接����、改變文件屬性等強烈反應�����,也可以只是簡單的報警����。事件數據庫是存放各種中間和最終數據的地方的統稱�����,它可以是復雜的數據庫�,也可以是簡單的文本文件。
根據檢測對象的不同�,入侵檢測系統可分為主機型和網絡型?���;谥鳈C的監測。主機型入侵檢測系統就是以系統日志�、應用程序日志等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析��。主機型入侵檢測系統保護的一般是所在的系統���。這種系統經常運行在被監測的系統之上,用以監測系統上正在運行的進程是否合法���。最近出現的一種ID(IntrusionDetection):位于操作系統的內核之中并監測系統的最底層行為��。所有這些系統最近已經可以被用于多種平臺�����。網絡型入侵檢測�����。它的數據源是網絡上的數據包��。往往將一臺機子的網卡設于混雜模式(PromiseMode)����,對所有本網段內的數據包并進行信息收集��,并進行判斷����。一般網絡型入侵檢測系統擔負著保護整個網段的任務。
對各種事件進行分析��,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上�,入侵檢測分為兩類:一種基于標志(CSignature-Based),另一種基于異常情況(Abnormally-Based)�。
(二)服務器端安全措施只有正確的安裝和設置操作系統,才能使其在安全方面發揮應有的作用�����。下面以WIN2000SERVER為例�����。
①正確地分區和分配邏輯盤�。
微軟的IIS經常有泄漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN�。本系統的配置是建立三個邏輯驅動器,C盤20G����,用來裝系統和重要的日志文件,D盤20G放IIS,E盤20G放FTP�����,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件����。因為,IIS和FTP是對外服務的�,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行����。
②正確
地選擇安裝順序。
一般的人可能對安裝順序不太重視�����,認為只要安裝好了,怎么裝都可以的���。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機�����。Win2000在安裝中有幾個順序是一定要注意的:
首先���,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼后�����,系統就建立了ADMIN$的共享���,但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續到你再次啟動后�����,在此期間���,任何人都可以通過ADMIN$進入你的機器��;同時���,只要安裝一完成�,各種服務就會自動運行����,而這時的服務器是滿身漏洞���,非常容易進入的����,因此���,在完全安裝并配置好Win2000SERVER之前���,一定不要把主機接入網絡。
其次�,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后�����,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果��,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝��,盡管很麻煩�,卻很必要。
(三)安全配置
①端口::端口是計算機和外部網絡相連的邏輯接口���,從安全的角度來看,僅打開你需要使用的端口會比較安全��,配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選�,不過對于Win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口��,不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩���。
②IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞����,而微軟的IIS默認安裝又實在不敢恭維�����,所以IIS的配置是我們的重點,所以在本系統的WWW服務器采取下面的設置:
首先��,把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉�����,在D盤建一個Inetpub在IIS管理器中將主目錄指向D:\Inetpub����。
其次�����,在IIS安裝時默認的scripts等虛擬目錄一概刪除���,這些都容易成為攻擊的目標�。我們雖然已經把Inetpub從系統盤挪出來了���,但這樣作也是完全必要的��。如果需要什么權限的目錄可以在需要的時候再建����,需要什么權限開什么��。特別注意寫權限和執行程序的權限����,沒有絕對的必要千萬不要給。
③應用程序配置:在IIS管理器中刪除必須之外的任何無用映射����,必須指出的是ASP,ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射��,刪除所有的映射����,具體操作:在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射��,然后就一個個刪除這些映射��。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性�����。
經過了Win2000Server的正確安裝與正確配置��,操作系統的漏洞得到了很好的預防�����,同時增加了補丁�,這樣子就大大增強了操作系統的安全性能。
雖然信息管理系統安全性措施目前已經比較成熟����,但我們切不可馬虎大意���,只有不斷學習新的網絡安全知識�、采取日新月異的網絡安全措施����,才能保證我們的網絡安全防御真正金湯。
參考文獻:
劉海平�,朱仲英.一個基于ASP的在線會員管理信息系統.微型電腦應用.2002(10)
東軟集團有限公司,NetEye防火墻使用指南3.0���,1-3
賈晶��,陳元����,王麗娜編著��,信息系統的安全與保密����,第一版,1999.01���,清華大學出版社
EricMaiwald����,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
楊兵.網絡系統安全技術研究及其在寶鋼設備采購管理系統中的應用:(學位論文).遼寧:東北大學����,2002
劉廣良.建設銀行計算機網絡信息系統安全管理策略研究:(學位論文).湖南:湖南大學.2001
第7篇
1.1網絡通信結構不合理網絡通信自身結構的不合理是造成當前我國網絡通信信息安全隱患的首要原因�。互聯網通信技術是以網間網技術為主要依托的����,用戶需要通過自身固定的IP協議或TCP協議在網上注冊賬號�����,從而在獲得網絡的遠程授權后開展網絡通信。由于網絡結構是樹狀型����,用戶在使用網絡通信功能時可能被黑客攻擊從而通過樹狀連接網絡竊取用戶的通信信息����。
1.2網絡通信軟件存在安全隱患由于客戶在使用網絡通信軟件時需要通過下載補丁等方式讓軟件能夠符合計算機終端操作系統的要求,而這些被廣泛應用并下載的軟件程序可能由于補丁程序等的引入而成為公開化的信息�����,這種公開化的軟件信息一旦被不法分子利用則會給人們的網絡通信帶來嚴重影響��,這種影響甚至會波及整個計算機網絡系統��,造成整個網絡的通信安全隱患����。
1.3人為的網絡系統攻擊在利益的驅使下���,部分不法分子企圖通過不合法的網絡系統攻擊方式對網絡通信進行人為的攻擊從而獲取大量的網絡資源���。這些“黑客”的攻擊不僅出現在商業管理終端等能夠獲取大量經濟利益的領域�����,甚至還可能出現在個人的計算機中獲取個體用戶的信息�����,給用戶的信息安全造成重大隱患����。應該客觀認識的是���,我國網絡通信在人們生活水平不斷提升及通信方式變革的背景下發展速度一日千里�,但是作為保障的信息安全維護工作卻與網絡通信的發展現狀存在較大差距��。再加上網絡通信管理部門對于網絡通信信息安全認識不足����、網絡通信管理制度不健全等問題也加劇了網絡通信信息安全隱患,甚至給整個互聯網通信系統帶來安全隱患�����,給不法分子以利用的機會����。正是基于當前我國網絡通信中信息安全的嚴峻現狀及在這一過程中所出現問題的原因,筆者認為�,不斷加強網絡通信技術革新與網絡通信制度建設��,充分保障網絡通信信息安全是時展的必然要求��。
2保障網絡通信信息安全的途徑
2.1充分保障用戶IP地址由于黑客對用戶網絡通信的侵入與攻擊大都是以獲取用戶IP地址為目的的�����,因此���,充分保障用戶的IP地址安全是保護用戶網絡通信安全的重要途徑。用戶在使用互聯網時也要特別注意對自身IP地址的保護��,通過對網絡交換機的嚴格控制�,切斷用戶IP地址通過交換機信息樹狀網絡結構傳遞被透露的路徑�����;通過對路由器進行有效的隔離控制��,經常關注路由器中的訪問地址,對非法訪問進行有效切斷�。
2.2完善信息傳遞與儲存的秘密性信息傳遞與信息儲存的兩個過程是當前給網絡通信信息安全造成隱患的兩個主要途徑,在網絡信息的存儲與傳遞過程中���,黑客可能會對信息進行監聽���、盜用、惡意篡改����、攔截等活動以達到其不可告人目的的需求。這就要求用戶在使用網絡通信技術時要對網絡信息的傳遞與儲存環節盡量進行加密處理�,保證密碼的多元化與復雜性能夠有效甚至從根本上解決信息在傳遞與儲存環節被黑客攻擊利用的威脅。當前在網絡通信過程中用戶可以選擇自身合適的加密方式對自身的信息進行加密處理��,而網絡維護工作者也要根據實際情況加強對信息的加密設置���。
2.3完善用戶身份驗證對用戶的身份進行有效的驗證是保障網絡通信信息安全的另一條重要途徑���。在進行網絡通信之前對用戶身份進行嚴格驗證,確保是本人操作從而對用戶的私人信息進行充分有效的保護�。當前,用戶的身份驗證主要是通過用戶名與密碼的“一對一”配對實現的���,只有二者配對成功才能獲得通信權限���,這種傳統的驗證方法能夠滿意一般的通信安全需求,但是在網絡通信技術發展速度不斷加快的背景下�����,傳統的身份驗證方法需要新的變化����,諸如借助安全令牌�、指紋檢測、視網膜檢測等具有較高安全性的方法進一步提升網絡通信信息安全水平��。此外���,在保障網絡通信信息安全的過程中還可以通過完善防火墻設置�����,增強對數據源及訪問地址惡意更改的監測與控制���,從源頭上屏蔽來自外部網絡對用戶個人信息的竊取以及對計算機的攻擊�。加強對殺毒軟件的學習與使用�,定期對電腦進行安全監測�,從而確保用戶自身的信息安全。
3結語
