引論:我們為您整理了13篇網絡安全技術論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
(飛行試驗研究院測試所陜西西安710089)
【摘要】Internet是一種開放和標準的面向所有用戶的技術,其資源通過網絡共享,因此,資源共享和信息安全就成了一對矛盾。
【關鍵詞】網絡攻擊、安全預防、風險分析、網絡安全
1.引言
隨著網絡的迅速發展,網絡的安全性顯得非常重要,這是因為懷有惡意的攻擊者竊取、修改網絡上傳輸的信息,通過網絡非法進入遠程主機,獲取儲存在主機上的機密信息,或占用網絡資源,阻止其他用戶使用等。然而,網絡作為開放的信息系統必然存在眾多潛在的安全隱患,因此,網絡安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。
一般來說,計算機系統本身的脆弱性和通信設施的脆弱性再加上網際協議的漏洞共同構成了網絡的潛在威脅。隨著無線互聯網越來越普及的應用,互聯網的安全性又很難在無線網上實施,因此,特別在構建內部網時,若忽略了無線設備的安全性則是一種重大失誤。
2.網絡攻擊及其防護技術
計算機網絡安全是指計算機、網絡系統的硬件、軟件以及系統中的數據受到保護,不因偶然或惡意的原因遭到破壞、泄露,能確保網絡連續可靠的運行。網絡安全其實就是網絡上的信息存儲和傳輸安全。
網絡的安全主要來自黑客和病毒攻擊,各類攻擊給網絡造成的損失已越來越大了,有的損失對一些企業已是致命的,僥幸心里已經被提高防御取代,下面就攻擊和防御作簡要介紹。
2.1常見的攻擊有以下幾類:
2.1.1入侵系統攻擊
此類攻擊如果成功,將使你的系統上的資源被對方一覽無遺,對方可以直接控制你的機器。
2.1.2緩沖區溢出攻擊
程序員在編程時會用到一些不進行有效位檢查的函數,可能導致黑客利用自編寫程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾,這樣當發生緩沖區溢出時,從而破壞程序的堆棧,使程序轉而執行其它的指令,如果這些指令是放在有root權限的內存中,那么一旦這些指令得到了運行,黑客就以root權限控制了系統,這樣系統的控制權就會被奪取,此類攻擊在LINUX系統常發生。在Windows系統下用戶權限本身設定不嚴謹,因此應比在LINUX系統下更易實現。
2.1.3欺騙類攻擊
網絡協議本身的一些缺陷可以被利用,使黑客可以對網絡進行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。
2.1.4拒絕服務攻擊
通過網絡,也可使正在使用的計算機出現無響應、死機的現象,這就是拒絕服務攻擊,簡稱DoS(DenialofService)。
分布式拒絕服務攻擊采用了一種比較特別的體系結構,從許多分布的主機同時攻擊一個目標,從而導致目標癱瘓,簡稱DDoS(DistributedDenialofService)。
2.1.5對防火墻的攻擊
防火墻也是由軟件和硬件組成的,在設計和實現上都不可避免地存在著缺陷,對防火墻的攻擊方法也是多種多樣的,如探測攻擊技術、認證的攻擊技術等。
2.1.6利用病毒攻擊
病毒是黑客實施網絡攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預見性和破壞性等特性,而且在網絡中其危害更加可怕,目前可通過網絡進行傳播的病毒已有數萬種,可通過注入技術進行破壞和攻擊。
2.1.7木馬程序攻擊
特洛伊木馬是一種直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限,安裝此程序的人就可以直接遠程控制目標系統。
2.1.8網絡偵聽
網絡偵聽為主機工作模式,主機能接受到本網段在同一條物理通道上傳輸的所有信息。只要使用網絡監聽工具,就可以輕易地截取所在網段的所有用戶口令和帳號等有用的信息資料。
等等。現在的網絡攻擊手段可以說日新月異,隨著計算機網絡的發展,其開放性、共享性、互連程度擴大,網絡的重要性和對社會的影響也越來越大。計算機和網絡安全技術正變得越來越先進,操作系統對本身漏洞的更新補救越來越及時。現在企業更加注意企業內部網的安全,個人越來越注意自己計算機的安全。可以說:只要有計算機和網絡的地方肯定是把網絡安全放到第一位。
網絡有其脆弱性,并會受到一些威脅。因而建立一個系統時進行風險分析就顯得尤為重要了。風險分析的目的是通過合理的步驟,以防止所有對網絡安全構成威脅的事件發生。因此,嚴密的網絡安全風險分析是可靠和有效的安全防護措施制定的必要前提。網絡風險分析在系統可行性分析階段就應進行了。因為在這階段實現安全控制要遠比在網絡系統運行后采取同樣的控制要節約的多。即使認為當前的網絡系統分析建立的十分完善,在建立安全防護時,風險分析還是會發現一些潛在的安全問題,從整體性、協同性方面構建一個信息安全的網絡環境。可以說網絡的安全問題是組織管理和決策。
2.2防御措施主要有以下幾種
2.2.1防火墻
防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障,用于保護企業內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點,對進、出內部網絡的服務和訪問進行控制和審計。
2.2.2虛擬專用網
虛擬專用網(VPN)的實現技術和方式有很多,但是所有的VPN產品都應該保證通過公用網絡平臺傳輸數據的專用性和安全性。如在非面向連接的公用IP網絡上建立一個隧道,利用加密技術對經過隧道傳輸的數據進行加密,以保證數據的私有性和安全性。此外,還需要防止非法用戶對網絡資源或私有信息的訪問。
2.2.3虛擬局域網
選擇虛擬局域網(VLAN)技術可從鏈路層實施網絡安全。VLAN是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網,即一個邏輯廣播域,它可以覆蓋多個網絡設備,允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。該技術能有效地控制網絡流量、防止廣播風暴,還可利用MAC層的數據包過濾技術,對安全性要求高的VLAN端口實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網,也無法得到整個網絡的信息,但VLAN技術的局限在新的VLAN機制較好的解決了,這一新的VLAN就是專用虛擬局域網(PVLAN)技術。
2.2.4漏洞檢測
漏洞檢測就是對重要計算機系統或網絡系統進行檢查,發現其中存在的薄弱環節和所具有的攻擊性特征。通常采用兩種策略,即被動式策略和主動式策略。被動式策略基于主機檢測,對系統中不合適的設置、口令以及其他同安全規則相背的對象進行檢查;主動式策略基于網絡檢測,通過執行一些腳本文件對系統進行攻擊,并記錄它的反應,從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性的一個評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分。漏洞檢測系統是防火墻的延伸,并能有效地結合其他網絡安全產品的性能,保證計算機系統或網絡系統的安全性和可靠性。
2.2.5入侵檢測
入侵檢測系統將網絡上傳輸的數據實時捕獲下來,檢查是否有黑客入侵或可疑活動的發生,一旦發現有黑客入侵或可疑活動的發生,系統將做出實時報警響應。
2.2.6密碼保護
加密措施是保護信息的最后防線,被公認為是保護信息傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應用,但隨著計算機性能的飛速發展,破解部分公開算法的加密方法已變得越來越可能。因此,現在對加密算法的保密越來越重要,幾個加密方法的協同應用會使信息保密性大大加強。
2.2.7安全策略
安全策略可以認為是一系列政策的集合,用來規范對組織資源的管理、保護以及分配,已達到最終安全的目的。安全策略的制定需要基于一些安全模型。
2.2.8網絡管理員
網絡管理員在防御網絡攻擊方面也是非常重要的,雖然在構建系統時一些防御措施已經通過各種測試,但上面無論哪一條防御措施都有其局限性,只有高素質的網絡管理員和整個網絡安全系統協同防御,才能起到最好的效果。
以上大概講了幾個網絡安全的策略,網絡安全基本要素是保密性、完整性和可用,但網絡的安全威脅與網絡的安全防護措施是交互出現的。不適當的網絡安全防護,不僅可能不能減少網絡的安全風險,浪費大量的資金,而且可能招致更大的安全威脅。一個好的安全網絡應該是由主機系統、應用和服務、路由、網絡、網絡管理及管理制度等諸多因數決定的,但所有的防御措施對信息安全管理者提出了挑戰,他們必須分析采用哪種產品能夠適應長期的網絡安全策略的要求,而且必須清楚何種策略能夠保證網絡具有足夠的健壯性、互操作性并且能夠容易地對其升級。
隨著信息系統工程開發量越來越大,致使系統漏洞也成正比的增加,受到攻擊的次數也在增多。相對滯后的補救次數和成本也在增加,黑客與反黑客的斗爭已經成為一場沒有結果的斗爭。
3.結論
網絡安全的管理與分析現已被提到前所未有的高度,現在IPv6已開始應用,它設計的時候充分研究了以前IPv4的各種問題,在安全性上得到了大大的提高,但并不是不存在安全問題了。在WindowsVista的開發過程中,安全被提到了一個前所未有的重視高度,但微軟相關負責人還是表示,"即使再安全的操作系統,安全問題也會一直存在"。
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。因此只有完備的系統開發過程、嚴密的網絡安全風險分析、嚴謹的系統測試、綜合的防御技術實施、嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才等各方面的綜合應用才能完好、實時地保證信息的完整性和正確性,為網絡提供強大的安全服務——這也是網絡安全領域的迫切需要。
參考文獻
篇2
網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會個方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題。對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。
2.防火墻
網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。
目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統,提出了防火墻概念后,防火墻技術得到了飛速的發展。國內外已有數十家公司推出了功能各不相同的防火墻產品系列。
防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇。在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統?如果答案是“是”,則說明企業內部網還沒有在網絡層采取相應的防范措施。
作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、型和監測型。
2.1.包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點
,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2.2.網絡地址轉化—NAT
網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。
NAT的工作過程如圖1所示:
在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
2.3.型
型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。
型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
2.4.監測型
篇3
1.1個人計算機在網絡中所遭受攻擊與入侵手法的分析
(1)安全漏洞。
許多系統都有這樣那樣的安全漏洞。其中一些是操作系統或應用軟件本身具有的,如TCP/IP協議的缺陷常被用于發動拒絕服務入侵或攻擊。這種攻擊的目的通常是消耗帶寬或消耗網絡設備的CPU和內存。入侵者通過向目標服務器發送大量的數據包,并幾乎占取和消耗該服務器所有的網絡帶寬,從而使其無法對正常的服務請求進行處理,導致網站無法進入,網站響應速度大大降低或服務器癱瘓。對個人上網用戶而言,可能遭到大量數據包的入侵使其無法進行正常操作。
(2)電子郵件入侵方式。
電子郵件是Internet上運用得十分廣泛的一種通訊方式,入侵者往往會使用一些郵件炸彈或CGI程序向目標郵箱發送大量內容重復、無用的垃圾郵件,從而使目標郵箱被塞滿而無法使用。
(3)防范特洛伊木馬程序。
特洛伊木馬程序是一種黑客軟件程序,它可以直接侵入計算機系統的服務器端和用戶端。一旦用戶打開附有該程序的郵件或從網上直接下載的程序后,它們就會像古特洛伊人在敵人城外留下藏滿士兵的木馬一樣留在用戶計算機中,當用戶連接Internet時,此程序會自動向入侵者報告用戶主機的IP地址及預先設定的端口。網絡入侵者在獲取這些信息后,就可任意修改用戶主機的參數設定、復制文件、窺視硬盤中的內容信息等,從而達到控制目的。
1.2對網絡攻擊與入侵進行防御的方法
(1)把Guest賬號禁用。
打開控制面板,雙擊“用戶和密碼”,單擊“高級”選項卡,再單擊“高級”按鈕,彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵,選擇屬性,在“常規”頁中選中“賬戶已停用”。另外,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機安全。
(2)禁止建立空連接。
具體方法是打開注冊表“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA”,將DWORD值“RestrictAnonymous”的鍵值改為“1”即可,
(3)刪除不必要的協議。
鼠標右擊“網絡鄰居”,選擇“屬性”,卸載不必要的協議,其中NETBIOS是很多安全缺陷的根源,對于不需要提供文件和打印共享的主機,還可以將綁定在TCP/IP協議的NETBIOS關閉,避免針對NETBIOS的攻擊。選擇“TCP/IP協議/屬性/高級”,進入“高級
TCP/IP設置”對話框,選擇“WIN”標簽,選擇“禁用TCP/IP上的NETBIOS”一項,關閉NETBIOS。
(4)保障電子郵件的使用安全。
①選擇安全可靠的郵件服務。
目前,Internet上提供的Email賬戶大都是免費賬戶,這些免費的服務不提供任何有效的安全保障,有的免費郵件服務器常會導致郵件受損。因此最好選擇收費郵件賬戶。
②確保郵件賬號的安全防范。
首先要保護好郵箱的密碼。不要使用保存密碼功能以圖省事,入網賬號與口令應重點保護。設置的口令不要太簡單,最好采用8位數。
③對重要郵件信息加密處理。
可使用某些工具如A-LOCK,在發送郵件之前對內容進行加密,對方收到加密信件后必須采用A-LOCK解密后方可閱讀,可防止郵件被他人截獲而泄密。
(5)防范特洛伊木馬程序常用的方法。
①預防特洛伊木馬程序。
在下載文件時先放到自己新建的文件夾里,再用殺毒軟件來檢測,起到提前預防的作用。盡量避免下載可疑軟件,對于網上某些可疑的,誘惑性動機比較明顯的軟件或信息,一般不要下載,以防染上“木馬”程序。
②禁止不明程序運行。
在“開始”“運行”中msconfig,在“啟動”選項中查看有沒有可疑項目,去掉前面的勾2網絡安全技術在商業領域中的研究及應用
2.1防火墻技術
防火墻技術和數據加密傳輸技術將繼續沿用并發展,多方位的掃描監控、對后門渠道的管理、防止受病毒感染的軟件和文件的傳輸等許多問題將得到妥善解決。未來防火墻技術會全面考慮網絡的安全、操作系統的安全、應用程序的安全、用戶的安全、數據的安全,五者綜合應用。在產品及功能上,將擺脫目前對子網或內部網管理方式的依賴,向遠程上網集中管理方式發展,并逐漸具備強大的病毒掃除功能;適應IP加密的需求,開發新型安全協議,建立專用網(VPN);推廣單向防火墻;增強對網絡攻擊的檢測和預警功能;完善安全管理工具,特別是可疑活動的日志分析工具,這是新一代防火墻在編程技術上的革新。
2.2生物識別技術
隨著21世紀的來臨,一種更加便捷、先進的信息安全技術將全球帶進了電子商務時代,它就是集光學、傳感技術、超聲波掃描和計算機技術于一身的第三代身份驗證技術——生物識別技術。
生物識別技術是依靠人體的身體特征來進行身份驗證的一種解決方案,由于人體特征具有不可復制的特性,這一技術的安全系數較傳統意義上的身份驗證機制有很大的提高。人體的生物特征包括指紋、聲音、面孔、視網膜、掌紋、骨架等,而其中指紋憑借其無可比擬的唯一性、穩定性、再生性倍受關注。
2.3加密及數字簽名技術
加密技術的出現為全球電子商務提供了保證,從而使基于Internet上的電子交易系統成為了可能,因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。
不對稱加密,即“公開密鑰密碼體制”,其中加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道,分別稱為“公開密鑰”和“秘密密鑰”。
目前,廣為采用的一種對稱加密方式是數據加密標準(DES)。在電腦網絡系統中使用的數字簽名技術將是未來最通用的個人安全防范技術,其中采用公開密鑰算法的數字簽名會進一步受到網絡建設者的親睞。這種數字簽名的實現過程非常簡單:①發送者用其秘密密鑰對郵件進行加密,建立了一個“數字簽名”,然后通過公開的通信途徑將簽名和郵件一起發給接收者,接收者在收到郵件后使用發送者的另一個密匙——公開密鑰對簽名進行解密,如果計算的結果相同他就通過了驗證。數字簽名能夠實現對原始郵件不可抵賴性的鑒別。②多種類型的專用數字簽名方案也將在電子貨幣、電子商業和其他的網絡安全通信中得到應用。
參考文獻
[1]熊桂喜,王小虎譯.計算機網絡(第3版)[M].
篇4
隨著計算機網絡的廣泛應用,全球信息化已成為人類發展的大趨勢。互聯網已經成了現代人生活中不可缺少的一部分,隨著互聯網規模的迅速擴大,網絡豐富的信息資源給用戶帶來了極大方便的同時,由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護我們的網絡安全、可靠性,所以我們要用防火墻,防火墻技術是近年來發展起來的一種保護計算機網絡安全的技術性措施。
其實防火墻就好像在古老的中世紀安全防務的一個現代變種:在你的城堡周圍挖一道深深的壕溝。這樣一來,使所有進出城堡的人都要經過一個吊橋,吊橋上的看門警衛可以檢查每一個來往的行人。對于網絡,也可以采用同樣的方法:一個擁有多個LAN的公司的內部網絡可以任意連接,但進出該公司的通信量必須經過一個電子吊橋(防火墻)。也就是說防火墻實際上是一種訪問控制技術,在某個機構的網絡和不安全的網絡之間設置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護網絡上被非法輸出。
防火墻不是一個單獨的計算機程序或設備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網絡間不受歡迎的信息交換,而允許那些可接受的通信。
二、防火墻技術
網絡防火墻是一種用來加強網絡之間訪問控制的特殊網絡設備,它對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,其中被保護的網絡稱為內部網絡或私有網絡,另一方則被稱為外部網絡或公用網絡。防火墻能有效得控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。一個好的防火墻系統應具有以下五方面的特性:
1、所有的內部網絡和外部網絡之間傳輸的數據必須通過防火墻;
2、只有被授權的合法數據及防火墻系統中安全策略允許的數據可以通過防火墻;
3、防火墻本身不受各種攻擊的影響;
4、使用目前新的信息安全技術,比如現代密碼技術等;
5、人機界面良好,用戶配置使用方便,易管理。
實現防火墻的主要技術有:分組篩選器,應用網關和服務等。
(1)分組篩選器技術
分組篩選器是一個裝備有額外功能的標準路由器。這些額外功能用來檢查每個進出的分組。符合某種標準的分組被正常轉發,不能通過檢查的就被丟棄。
通常,分組篩選器由系統管理員配置的表所驅動。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進出其他機器的分組的缺省規則。在一個UNIX設置的標準配置中,一個源端或目的端由一個IP地址和一個端口組成,端口表明希望得到什么樣的服務。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個公司可以擁塞到所有IP地址及一個端口號的分組。這樣,公司外部的人就不能通過Telnet登陸,或用Finger找人。進而該公司可以獎勵其雇員看一整天的USENET新聞。
擁塞外出分組更有技巧性,因為雖然大多數節點使用標準端口號,但這也不一定是一成不變的,更何況有一些重要的服務,像FTP(文件傳輸協議),其端口號是動態分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因為很難事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。
(2)應用網關技術
應用網關(ApplicationGateway)技術是建立在網絡應用層上的協議過濾,它針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網關一般由專用工作站系統來完成。
有些應用網關還存儲Internet上的那些被頻繁使用的頁面。當用戶請求的頁面在應用網關服務器緩存中存在時,服務器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務器上請求最新的頁面,然后再轉發給用戶(3)服務
服務器(ProxyServer)作用在應用層,它用來提供應用層服務的控制,起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡只接受提出的服務請求,拒絕外部網絡其它接點的直接請求。
具體地說,服務器是運行在防火墻主機上的專門的應用程序或者服務器程序;防火墻主機可以是具有一個內部網絡接口和一個外部網絡接口的雙重宿主主機,也可以是一些可以訪問因特網并被內部主機訪問的堡壘主機。這些程序接受用戶對因特網服務的請求(諸如FTP、Telnet),并按照一定的安全策略轉發它們到實際的服務。提供代替連接并且充當服務的網關。
在實際應用當中,構筑防火墻的“真正的解決方案”很少采用單一的技術,通常是多種解決不同問題的技術的有機組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務以及你愿意接受什么等級的風險,采用何種技術來解決那些問題依賴于你的時間、金錢、專長等因素。超級秘書網
三、防火墻技術展望
伴隨著Internet的飛速發展,防火墻技術與產品的更新步伐必然會加強,而要全面展望防火墻技術的發展幾乎是不可能的。但是,從產品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:
1)防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發展。
2)過濾深度會不斷加強,從目前的地址、服務過濾,發展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。
3)利用防火墻建立專用網是較長一段時間用戶使用的主流,IP的加密需求越來越強,安全協議的開發是一大熱點。
4)單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。
5)對網絡攻擊的檢測和各種告警將成為防火墻的重要功能。
6)安全管理工具不斷完善,特別是可以活動的日志分析工具等將成為防火墻產品中的一部分。
另外值得一提的是,伴隨著防火墻技術的不斷發展,人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環境和硬件要求、VPN的功能與CA的功能、接口的數量、成本等幾個方面。
參考文獻:
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
篇5
當內網互聯主機與互聯網主機連接時,需要使用相應的IP地址,反之當互聯網主機與內網互聯主機連接時,需要通過網關映射到內網主機。這將使互聯網網絡無法看到內部網的網絡,而且內部網的網絡將自己躲了起來。此外,DMZ中堡壘主機過濾管理程序可以順利通過安全通道,并與內部網中的智能認證服務器進行互相通信,而且通信的信息都是秘密進行的。由于智能認證服務器能夠進行秘密通信,因此它可以修改內外路由器表,也可以調整制定過濾規則。在智能防火墻中的智能認證服務程序和應用過濾管理程序可以互相協調,不僅可以在堡壘主機上運行,還可以在服務器上運行。
3、INTRANET條件下智能型防火墻的網絡安全技術實現方式
3.1智能型防火墻堡壘主機及其實現方法
堡壘主機起著連接內部網和互聯網的作用,它的作用非常重要,但是它容易受到攻擊,因此我必須要對其做好安全性保護,首先我們對堡壘主機操作系統——Linux操作系統,做了非常縝密的安全化處理,其具體方法是:對于SMTP,FTP,HTTP等的基本網路服務進行保留,對他們的源代碼進行重新改寫,使它們中的過濾功能從中分離出來,建立一個新的模塊,這個模塊被稱為:應用過濾管理器模塊,讓這個模塊運行在堡壘主機上,統一調度管理所有的應用服務。應用過濾管理器的主要功能是對所有經過堡壘主機的信息進行攔截,然后從下至上對其經過協議的信息進行逐層分析,并對相對安全的數據進行存儲,最后秘密地傳達給智能認證服務器,讓智能認證服務器對這些信息進行分析處理,分析完之后再秘密地傳回給應用過濾管理器,然后應用過濾管理器根據分析結果對應用過濾功能進行重新配置,同時激發相應進行工作。
3.2智能型防火墻的智能認證服務器及實現方法
智能認證服務程序和網絡數據庫是智能認證服務器的核心,智能認證服務器是通過信息驅動來進行操作的,如果外部主機訪問內部網絡,則需要外部路由器的數據審核,通過審核的信息才能順利達到DMZ網絡,對于內部網的信息請求,不需要經過內部路由器審核,它可以直接進入DMZ網絡,另外,還需要這些路由器是否制定過濾規則,如果制定了過濾規則,就不能進行信息傳達,并且這些信息也將被丟棄掉,但是,如果過濾規則允許進行傳輸,那么這些信息還需要通過防火墻。如果數據包和路由器制定的規則不一致,那么這個數據包將會被用過濾管理器攔截下來,然后從底層協議到上層協議對其進行分析,如果分析結果是具有安全性的,那么這個數據包將會被傳輸給智能認證服務器。智能認證服務器上的數據接收器就會把這些信息存儲到網絡安全數據庫中,網絡安全數據庫發生變化后,推理機就會自動進行工作,推理機就會使用安全專家知識庫里的信息對剛剛進入網絡安全數據庫中的這些信息進行分析、比較和推斷,看看是否能夠找出相關對應的數據,從而得出過濾方案,使網絡管理員能夠直觀的看到,方便網絡管理員根據實際情況作出相應的處理。這時原文發生器就會轉化其內部的代碼或者通過修改路由器表和過濾規則來實現內外主機通信;或者由過濾管理器通過修改過濾規則,將其傳輸到DMZ上的堡壘主機,堡壘主機中的應用過濾管理器對其過濾功能進行重新配置,激發其他應用進行工作。因此,智能型防火墻更能全面嚴格地進行安全控制。
篇6
1.2信息偽裝技術
國際數字圖書館數據安全技術專家探究出給數據附上偽裝技術,用來攻擊不法分子破壞、竊取文件的行為以保護文件的安全[2]。主要將原有的數據和信息進行隱藏,從而達到安全保護的作用。信息偽裝技術適用于計算機網絡數據的安全保護。
1.3防火墻
防火墻是常用的網絡安全防護的技術,可以保護計算機的網絡安全。其主要功能是對非法入侵網絡的防御,并且可以將被保護的網絡遭受到非法攻擊和非法入侵進行及時的阻攔,并且對網絡的數據流進行快速的控制和相應的改動,監視和控制網絡的內部和外部,對網絡進行有效的保護。但是防火墻仍存在一定的局限性,外部網絡的非法入侵可以被抵御,對內部網絡無作用。所以數字圖書館的內網需要加強控制和科學的管理,才能保證其安全。防火墻并不是萬能的,隨著信息技術的發展,黑客的技術越來越先進,一些普通的防火墻已經無法抵御外來的入侵,所以必須對防火墻進行及時的更新和升級,以保證防火墻能發揮作用。
1.4資源備份和恢復
在數字圖書館的資源共享平臺中構建對應的存儲局域網,能夠進行一體的信息數據備份和恢復,借用鏡像與RAD科技確保數據安全[3]。數字圖書館內的資料按類別進行相應的備份。并且定時的對資料的備份進行傳輸,及時進行資料備份,當需要拷貝時,可以進行同步或非同步的拷貝工作。對于安全裝置當中的密匙也要進行相應的備份保存好,以防止密匙的丟失使網絡得不到正常的運行。
1.5身份驗證
客戶可以進行注冊而活獲得相應訪問授權,計算機可以通過對客戶身份資料而進行驗證,從而防止黑客的利用虛假信息非法訪問網絡。主要有兩種方法,一種設置相應的口令,容易記住,但是安全系數不高;另一種是物理驗證技術,主要是通過相應的智能卡或指紋的驗證方法等。一些數字圖書的系統較為陳舊,很容易被黑客通過非法的手段入侵數字圖書館的計算機網絡當中。黑客通過非法入侵而得到系統相應的訪問、存儲和修改的權限,從而對數字圖書館的數據信息進行破壞。因此,要及時對數字圖書館的系統進行維護,升級系統,并且查找系統中存在的漏洞,及時查缺補漏,提高系統的安全系數。安全監控主要是分析和處理影響網絡正常運行的相關數據和記錄,從而及時對內外網的不合法行為進行技術的監控和處理。其主要方式是通過不斷的數據查詢和監控。
2圖書館計算機網絡的現實環境防護
2.1機房場地的選擇
現如今,圖書館的正常的運作,離不開其計算機網絡的正常運轉。因此對機房的管理必須十分的嚴格,未經允許的非工作人員不能擅入機房。圖書館的計算機網絡機房里均是重要的電子器材,要重視防潮,所以對機房的選擇十分的講究。在機房的選擇上,不要選擇在樓房的底層和頂層。機房要單獨設計在樓層的一邊,不僅有利于對機房的使用和保護,而且能在發生緊急情況的時候快速的撤離。
2.2機房內的環境要求
機房內必須時刻保持適宜的溫度和濕度以及清潔,所以必須在機房內安裝合適的空調,保證機房各種電子器材能夠正常的運轉。機房濕度要保持在45℃—55℃,溫度要保持在20℃—22℃。溫度與濕度都要通過空調進行調節,除此之外,還要運用相應的措施進行防塵的工作。機房的地板要鋪上防靜電的材料,目的是為了避免機房內發生靜電,從而影響機房的正常運行。要時刻保持機房內的清潔,禁止在機房內進食并且大聲喧嘩。機房的正常運行離不開電源,因此,要重視電源以及接地電源。在機房里,計算機應連接在有保護功能的不斷電的UPS上,防止突然斷電和電壓的突變影響計算機的正常運行。接地電源時的所有電位必須以大地作為參考,接地為零電位,保證計算機電路的穩定,從而保證整個機房的設備和數據以及工作人員的安全。機房是圖書館正常運行的重要必備前提,所以要重視機房的防火防盜工作。對機房的門窗都要使用防盜的材料,并且在機房的內外四周都要安裝監控攝像頭。在機房內,要準備專門的滅火器,并且安裝火災報警裝置,同時還要做好相應的隔離措施。在機房內活動時,要時刻遵循機房的安全規章制度,例如機房內禁止吸煙,禁止出現明火等。并且要對機房進行定期的安全檢查工作,排除潛在的安全隱患。圖書館要對機房的工作人員進行機房防火防盜的培訓,以保證工作人員在機房內工作時能夠嚴于律己。機房的正常運行需要計算機的硬件和軟件的支持,所以必須對計算機的硬件和軟件采取相應的安全措施加以保護。在對硬件的保護上,可以增加相應的硬件設備保證其保密與安全,主要是對虛擬內存通道的控制以及保護儲存器。對軟件的防護主要是保護軟件的操作系統的安全,提高軟件的操作系統的安全系數。在安全保護而言,軟件相對與硬件而言,更為靈活,也更容易操作,可以進行多重保護。對軟件進行保護,主要是針對系統的內核進行安全保護,以及進行相應的隔離,安全各種安防設備進行拉網式的保護。
3加強管理和培訓
數字圖書館的網絡安全實質上是安全理論和安全實踐的平衡點。從宏觀上來看,網絡安全除了是網絡技術上的問題,更多的是思想的問題,以及管理的問題。所以要對圖書館的工作人員進行充分的網絡安全教育,讓他們真正的認識到網絡安全的重要性,并且具備相應的網絡安全的知識,提高自身的保密意識和責任心。相應的網絡安全制度要根據圖書館的發展而進行相應的調整和更新,使制度符合信息技術發展的要求。具體問題具體分析,根據數字圖書館存在的具體情況進行安全方案的研究,并根據所面臨的危險變化進行調整,使方案符合圖書館的發展要求。
篇7
2.1我國不具備自主研發的軟件核心技術
數據庫、操作系統以及CPU是網絡安全核心其中最為主要的三個部分。現階段,雖然大多數企業都已經在建設和維護網絡安全方面消耗了大量的資金,但是,由于大部分的網絡設備及軟件都不是我國自主研發的,而是從國外進口的,這就導致我國的網絡安全技術難以跟上時展的腳步,在處于這種競爭劣勢下,就極易成為別國竊聽和打擊的對象。除此之外,國外一些殺毒系統和操作系統的開發商幾乎已經在將中國的軟件市場壟斷。基于上述這些情況,我國一定要進一步加快研發軟件核心技術的速度,根據我國發展的實際情況,將能夠確保我國網絡安全運營的軟件技術有效地開發出來。
2.2安全技術不具備較高的防護能力
我國的各個企事業單位在現階段都幾乎已經建立起了專屬網站,并且,電子商務也正處在快速發展的狀態之中。但是,所應用的系統大部分都處在沒有設防的狀態中,所以很有可能會埋下各種各樣的安全隱患。并且在進行網絡假設的過程中,大多數企業沒有及時采取各種技術防范措施來確保網絡的安全。
2.3高素質的技術人才比較欠缺
由于互聯網通信成本相對較低,因此,服務器和配置器的種類變得越來越多,功能也變得更加完善,性能也變得更好。但是,不管是人才數量方面或者是專業水平方面,其專業技術人員都難以對當今的網絡安全需要形成更好的適應性。此外,網絡管理人員不具備較強的安全管理導向能力,如,當計算機系統出現崩潰的情況時,網絡管理人員難以及時有效地提出有效的解決對策。
3網絡安全技術的發展趨勢
3.1深度分析計算機網絡安全內容
各種類型不同的網絡安全威脅因素隨著互聯網絡技術的不斷發展而出現。相應地網絡安全技術也一定要不斷獲得提升和發展。加強識別網絡安全技術的方法主要包括以下幾點:第一,要以安全防護的相關內容為出發點,加強分析網絡安全技術深度防護的力度,主要是對網絡安全行為的內容和網絡安全防護的匹配這兩個方面進行分析。基于特征庫簽名的深度報文的特征匹配是當前比較常用的一種安全防護分析方法,即根據報文的深度內容展開有針對性的分析,利用這種途徑來獲取網絡安全攻擊的特征,并利用特征庫對匹配的網絡攻擊內容進行搜索,同時還要及時采取相應的防御措施。還有,基于安全防護的職能分析以及基于網絡行為的模型學習也同樣是一種較好的網絡安全技術手段,即通過模擬具有特征性的網絡行為以及分析網絡行為的特征獲取網絡攻擊行為的提前預警,這樣就可以為保護計算機網絡系統有力的條件。
3.2把網絡安全產業鏈轉變成生態環境
產業價值鏈在近幾年時間里隨著不斷發展的計算機技術及行業也相應的發生了巨大的變化,它的價值鏈變得越來越復雜。此外,生態環境的變化速度已經在很大程度上超過了預期環境的變化速度,按照這種趨勢發展下去,在未來網絡技術發展的過程中,各個參與方一定要加強自身對市場要求的適應能力。
3.3網絡安全技術將會朝著自動化和智能化的方向發展
我國現階段的網絡安全技術要得到優化需要經歷一個長期的過程,它貫穿于網絡發展的始終。此外,智能化的網絡優化手段已經開始逐步取代人工化的網絡優化手段。同時,還可以將網絡優化知識庫建立起來,進而針對一些存在于網絡運行中的質量問題,將更多切實可行的解決措施提供給網絡管理者。所以,國內網絡安全技術在未來幾年時間里會在IMS的基礎上將固定的NGN技術研制出來。這項技術的成功研制能夠給企事業的發展提供更豐富的業務支持。
3.4朝著網絡大容量的方向發展
國內互聯網的業務量在近幾年時間里呈現出迅猛增長的態勢,尤其是針對那些IP為主的數據業務而言,對交換機以及路由器的處理能力均提出了較高的要求。因為想要對語音、圖像等業務需求形成更好的滿足,因此,要求IP網絡一定要具備較強的包轉發和處理能力,那么,未來的網絡在不出意外的情況下一定會朝著大容量的方向發展。國內網絡在今后發展的過程中,一定要廣泛應用硬件交換、分組轉發引擎,促使網絡系統的整體性能得到切實提升。
篇8
1.2自然威脅因素
對于自然威脅,可能是由自然災害、電磁輻射、網絡設備自然老化和惡劣的場地環境等引起的。這些偶然因素可能也會直接或間接影響到計算機網絡的安全。
1.3計算機中病毒的威脅
所謂計算機病毒是指在計算機的程序中插入能破壞計算機數據和功能,并影響計算機的正常使用且能自我進行復制的一組指令或代碼。如常見的蠕蟲病毒,就是利用計算機中應用系統和操作程序中的漏洞對其進行了主動的攻擊。此病毒在具有高破壞性、高傳播性和隱藏性極好的病毒通病的同時,也具有自己特有的一些像只存在于內存之中,從而對網絡造成拒絕服務,以及會和黑客技術相結合的特征。除此之外,還有一些常見的極具破壞性的病毒,例如,意大利香腸病毒,有宏病毒等。
1.4木馬程序和后門的威脅
在最早的計算機被侵入開始,黑客就發展了“后門”這一技術,并利用這一技術,他們可以多次進入系統。后門的功能有:使管理員喪失阻止種植者再次進入該系統的權利;提高了種植者在系統中的隱蔽性;減少種植者非法進入系統的時間。木馬,又被稱作特洛伊木馬,是后門程序中的一種特殊形式,是一種能使黑客遠程控制計算機的工具,具有非授權性和高隱蔽性的特點。木馬中一般有兩個程序,一個是控制器的程序,另一個是服務器的程序。
2虛擬網絡的定義及其主要技術
2.1何為虛擬網絡技術
所謂虛擬網絡技術,就是一種專用網絡技術,即在公用的數據網絡中搭建出私有的數據網絡。用戶能在虛擬專用網絡中,對專有的局域網進行虛擬,保證在不同地點的局域網中做到如同一個局域網絡一樣,以此來保證數據的安全傳輸。
2.2虛擬網絡中的主要技術
虛擬專用網絡所采用的技術主要有:隧道技術、加解密技術、密鑰管理技術和身份認證技術。其中最為重要的核心技術就是隧道技術和加解密技術。①隧道技術。其傳播時是以數據包的形式對數據進行傳播,不可能出現穩定的網絡數據通道。但在其技術方面中,隧道技術就是將局域網數據包進行重新的封裝。在此過程中,在數據包中要將路由信息添加進去,能確保在封裝后的數據包在兩個虛擬專用網絡中通過互聯網的形式進行傳遞,數據包在互聯網中的編輯路徑就被稱為隧道。②加解密技術。上面講到的隧道技術是僅僅應用于兩點間的數據封裝和傳輸。如果沒有加解密技術,若是虛擬專用網絡中傳輸的數據包被惡意破壞的人所攔截,里面的內容就會被盜取。加密技術作為系統安全的一把鑰匙,是確保網絡安全的重要手段。加密技術對信息進行加密的操作就是把原來的為明文件按照某種算法進行處理的變為一段不可讀的代碼,稱之為“密文”使其在輸入密鑰之后,才能顯示內容的一種信息編碼形式。因而,加密技術對虛擬專用網絡技術而言,同樣很重要。③密鑰管理技術。如何確保在傳遞公用數據時在互聯中能夠安全進行,是密鑰管理技術的重要任務。④身份證認證技術。是在虛擬網絡技術中比較常見的一種認證技術,經常采用的方式是為密碼和使用者的名稱進行認證。
3計算機網絡安全中虛擬網絡技術的應用
3.1在企業合作客戶和企業間虛擬網絡技術的應用
企業合作客戶和企業間經常要共享很多的數據,但同時企業又不希望企業合作客戶對企業內部的所有網絡的數據進行訪問。因此,企業可以將要與企業合作客戶需要共享的數據存放在數據共享的文件夾中,通過信息防火墻隔斷企業的內部數據,其企業的合作客戶在登陸了虛擬專用網絡客戶端后,才能對此共享文件進行訪問,且不會訪問企業內部間的數據。
3.2在遠程分支部門和企業部門間虛擬網絡技術的應用
此應用的范圍也被叫做企業虛擬局域網。通過在計算機上的虛擬網絡技術,將分布在各地的分支性企業機構在局域網內進行連接,在最大程度上確保企業信息在網絡中的信息資源共享,此種局域網較適用于跨區域性或是跨國間的企業經營模式。硬件式的虛擬專用網絡網管是在虛擬網絡技術中比較常見的,它能將加密的密鑰存放在企業的內存中,具有高速度的加密性,而且此種技術不易使密鑰發生損壞。由于是用于專門優化企業網絡信息的傳輸模式,故其效率要比軟件的虛擬網絡技術要高得多。
3.3在遠程員工進而企業網之間虛擬網絡技術的應用
網絡虛擬技術在此種模式中的應用又被叫做遠程訪問式虛擬網絡技術。在應用的方式上主要是采購人員和企業銷售人員共同在企業系統中傳入信息,以此實現遠程員工和其他企業間的信息與資源共享。其應用的具體步驟是:以企業總部作為虛擬專用網的中心連接點的連接方式,在企業內部設置一臺具有網絡虛擬功能的防火墻,當做是企業的互聯網出口的網關,移動的業務網點和辦公用戶需通過虛擬網絡客戶端進行登陸,在此方式下進入防火墻設備中,并充分結合防火墻中復合型的虛擬網絡設備,是現在較為廣泛使用的一種虛擬網絡接入的設備,具有高安全性和低成本性的優勢。
4虛擬網絡技術在計算機網絡安全中的應用效果及發展趨勢
虛擬網絡技術在結合了企業信息化與寬帶技術下,在計算機網絡信息安全方面取得了良好的效果,企業的信息和資源安全得到了最大程度上的保障。隨著虛擬網絡技術的不斷成熟,有關產品的安全性、可靠性和穩定性會得到更大程度上的提高。截至目前為止,電信行業逐漸處于低迷的狀態,虛擬網絡技術正慢慢成為計算機網絡安全信息中的新亮點,而且虛擬網絡技術在市場上所占據的市場份額也在逐年上升。在各類虛擬網絡技術的產品中,結合防火墻軟件的虛擬網絡技術產品和復合型的網絡技術產品逐漸成為計算機網絡中的熱點。
篇9
3、使用加密數據技術。作為一種傳統的網絡安全技術,數據加密技術在技術日益發達的現階段,仍然具有較強的實用性。數據加密技術具有操作靈活,能夠對動態信息進行有效保護的優點。其數據加密技術的工作原理是:通過對計算機網路密匙的控制,起到阻止非授權的用戶與軟件對用戶數據信息進行篡改與訪問的效果,進而確保數據的安全。其中訪問控制技術包含:授權方式、入網訪問控制以及遵守原則等,做到了對主體與客體之間訪問過程的規則約束。如今,應用加密方式最為廣泛的兩種類型主要有:一是,私匙加密。其主要是通過對一個密匙開展解密與加密的操作,其速度較快,在軟件與硬件中都能夠進行使用,對操作對象不設置限制;二是,公匙加密。其具有兩個密匙,應用于加密環節與解密環節的操作,其過程較復雜,安全系數較高。此外,網絡的加密方法一般有:端點加密、鏈路加密以及節點加密等。
4、強化網絡的安全管理。為了提高網路信息的安全,除了熟練掌握計算機網絡的應急技術外,還應該強化對網絡安全的管理。通過制定合理的規章制度,以及國家增強對計算機網絡犯罪的打擊力度,進而加強計算機網路安全防護隊伍的建設,提高計算機網絡的安全。
篇10
1.2缺乏有效的監管評估系統
網絡安全評估是一種對網絡進行漏洞檢查,評估系統安全與否并提供相應意見從而提高網絡系統安全性能的一種科學、準確的途徑,是對現有或將要構建的整個網絡提供保障以達到在技術上的可實現性、經濟上的可行性和組織上的可執行性。建立完整準確的安全評估是防范黑客入侵最有效的手段。
1.3計算機網絡病毒的傳播與更新的黑客攻擊手段
病毒因為破壞力強破壞力大隱蔽性強等原因成為威脅網絡安全的另一個問題,在威脅網絡安全的同時已經嚴重的影響了人們的正常工作生活。比如蠕蟲與木馬病毒會影響系統的運行速度,還有些病毒會影響系統的運行速度,甚至導致系統癱瘓給人們帶來重大損失。再比如,病毒都有很強的繁殖功能,可以通過復制程序的代碼和指令再對其進行更改,從而達到破壞計算機網絡的目的。
2使計算機網絡安全的應急技術
所謂網絡百分之百的安全狀態是不可能達到的,既然沒有辦法解決問題,我們能做的只有盡最大可能來避免問題。
2.1配置防火墻技術
防火墻是一種訪問控制尺度,是相對于網站等開放性的對立。通過防火墻可以自主的選擇同意訪問的人數以及可以訪問的區域,拒絕存在隱患的數據用戶,盡可能的阻止網絡黑客的“來訪”,防止其隨意篡改網絡上的重要信息。拒絕了黑客,計算機網絡的安全性將會更有保障。防火墻的工作主要包括三個方面,一個是通過在外部網和內部網之間建立屏障,保護內網免受非法用戶入侵;另一個是通過對內網的模塊等級劃分,按照不同的保護等級設置用戶與密碼,來應對各種漏洞攻擊;還有一個是通過自身的監控功能及時對非法的用戶進行安全預警。現存的防火墻主要包括嵌入式防火墻、硬件防火墻和軟件防火墻等幾種類型。
2.2加強入侵系統的檢測能力
其實從某些層面上來講,防火墻的防護屬于一種被動的防護,防火墻只有在遭遇外界的“刺激”時才會激發匹配的防護措施。那么,能不能采取一種有效的方法在網絡黑客入侵計算機系統的初級,就能進行及時有效地檢測,繼而對其進行阻止,最終達到有效保證計算機網絡的安全性?基于此,加強入侵系統的檢測能力也被提上了日程,人們需要開發一個相對而言能夠較為主動地體系對入侵的“刺激”進行預警,并開啟一系列應急措施以實現有效地防護。由于入侵檢測技術整合了入侵檢測、網絡管理和網絡監控,通過對計算機安全性的檢測,可以做到比防火墻更為有效的防止病毒入侵,防止因漏洞而造成的不良后果。
2.3數字加密技術的推廣和應用
數字加密技術對網絡安全而言重要程度無異于密碼對于銀行卡。通過對所要保護的信息進行加密保護,將系統自身想要傳達的信息轉換成一種非普遍意義的特殊文字,在這種情況下即便是信息被非法用戶或者黑客盜取,也無法破解出網絡信息真正想表達的含義,繼而實現保護網絡安全的作用。在這一點上可以效仿金融界,吸取他們的成功經驗,并將這些經驗應用于保護計算機網絡的安全工作上。
2.4加大病毒的防范及新的安全工具的開發
除了配置防火墻技術和加強入侵系統的檢測能力之外,加大病毒的防范及新的安全工具的開發,如采用集病毒的查殺監測與預防等方面為一體的防病毒軟件,定期或者不定期的對病毒防范安全工具進行升級;使用有效的漏洞掃描系統對網絡中存在或可能存在隱患點進行有側重點的關注和優化,在日常監測中實現查漏補缺,繼而全面保護計算機網絡的安全。
3保護計算機網絡安全可以采取的其他方式
3.1來自法律方面的保護及約束
為了建立健全安全機制,我國在法律方面已經出臺了《互聯網信息服務管理辦法》《、中國互聯網絡域名注冊暫行管理辦法》和《互聯網站從事登載新聞業務管理暫行規定》等相關法律法規,但是為了保證網絡安全運行,還需要在加大法律法規力度的同時,在全民范圍內開展網絡安全教育和培訓,科普計算機網絡知識,提高全民素質,給網絡計算機運行提供一個相對良好的發展空間。
3.2采取有效的手段防止IP盜用的問題
在現今的計算機網絡當中,早已經不存在一個IP絕對對應一個專業用戶的情況,手機等電子產品涉足網絡,無形中加大了黑客對計算機網絡入侵的風險。要針對性的解決這一問題,可以嘗試著在路由器上同時捆綁IP和MAC地址,當這兩者的信息不相符的時候,系統自發的進行攔截或者提示警告。
篇11
1.2網絡系統
對計算機的網絡系統來說,作為開放的系統本身就存在很多漏洞,如何整個網絡系統缺乏有效的管理,使得任何人都有可能進入到網頁,這會導致企業或是個人的隱私信息泄漏,給不法分子以可乘之機,并且軟件的設計人員按照一定的定向思維的邏輯對計算機進行編程的活動,不可避免的會造成一定的缺陷。甚至還有部分軟件設計后門,便于編程人員操作,這些都會導致網絡安全出現一定的隱患。
1.3網絡管理人員
管理者在使用IP地址不采取一定的措施進行有效的管理,它往往會造成網絡的堵塞。另外有部分管理者不重視訪問的設計權限,有的部門用戶缺乏網絡安全意識,在使用計算機的時候,不注重對防范措施的防護,而且瀏覽任意網頁,對自己的保密文件也不重視保密措施,并且計算機在運行中出現了漏洞與安全問題不能得到及時的處理,從而產生各種網絡問題的出現。
2計算機的網絡管理
2.1計算機網絡的故障管理
職業中專使用計算機的網絡技術過程中,都需要一個穩定的計算機網絡。當某個網絡的零部件出現問題時,需要管理管理系統能夠迅速的查處故障源將故障迅速的排除。一般來講,故障管理主要包括三個方面,分別為檢測故障、隔離故障和糾正故障三個方面。三種故障屬于三個類型的故障,故障檢測主要是對網絡零部件的檢測為依據,而對于嚴重的故障來說,需要進行報警,及時向網絡管理操作員發送通知。網絡管理的應用應該以故障信息為依據,來實施處理,如遇到較為復雜的網絡故障時,網絡管理系統應該通過一系列的診斷測試來對故障的原因進行辨別與分析。
2.2計算機網絡的配置管理
網絡配置管理主要使用通過對網絡的配置,來實現提供網絡服務。配置管理具備一個網絡對象的必須的功能,其管理實施的目的在意實現網絡性能或是某個特定功能的優化,并且網絡配置管理是集定義、控制和監控于一體的管理形式。
3計算機網絡管理及安全技術的特點與問題
當前,隨著科學技術的發展,計算機網絡技術也在飛速的發展,但由于管理方面的失誤造成了計算機的網絡管理出現了許多亟待解決的問題,這些問題嚴重的阻礙了科學技術的發展。以職業中專計算機網絡管理的安全技術的特點與問題進行具體的分析。
3.1計算機網絡管理及安全技術的特點
計算機的網絡管理不同于一般的信息管理,其較為明顯的特點分別為開放性、智能性和互動性。這些特點在一定的程度上使得計算機網絡內的資源可以在共享的基礎上使得信息得到及時的處理,從而使得實時的信息可以得到及時的交流與溝通。
3.2當前計算機網絡管理與安全技術存在的問題
計算機的網絡管理方為了方便自身的管理,往往會將大量的信息投放到網上,并且在很長的一段時間內不會對信行更新和刪除,久而久之會使得網上出現許多無用的信息。這些無用的信息給計算機網絡用戶在查詢資料的過程中帶來了極大的不便,當查詢相關的信息與網頁時,還應該將一些無用的甚至是過時的信息閱讀篩選,從而給用戶的工作帶來不便,而且在一定的程度上使得信息的傳播速度及效率產生一定的影響。在計算機網絡管理及安全技術出現的問題中還會出現一些問題,其計算機網絡數據及文件信息在處理和分析時,如果在該時間內出現網絡系統故障都會對網絡信息的安全產生嚴重的后果。計算機的網絡系統在運行的過程中如果出現故障輕者會使得計算機網絡中存儲的數據和資源,嚴重者會使得整個計算機的網絡系統出現癱瘓,因而這種破壞會波及到計算機的網絡管理。計算機網絡中存儲著用戶重要的信息及文件,如果遇到故障,其安全性也受到威脅。對于重要的信息而言,很可能被盜取,從而使得管理無法正常繼續的進行。
4計算機網絡安全技術的應用
4.1試論計算機網絡安全技術的應用措施
4.1.1進行維護
對于計算機網絡管理者來說,還應該在日常的管理中注意一些工作的細節,避免出現不必要的問題。其目的能夠確保系統的安全穩定,可以防范各種計算機的安全隱患問題。針對出現的安全問題,計算機網絡為了維護自身的安全性,需要對計算機網絡的硬件設備進行維護,便于使得用戶在健康的網絡環境中進行使用。這就需要計算機網絡的管理人員定期對計算機的硬件及相應的網絡設備進行檢查,確保計算機網絡能良好的運行,另外,還應該進一步加強計算機中央機房的維修工作。
4.1.2加強系統軟件應用水平
計算機網絡管理部門在對計算機網絡進行管理的過程中還需要注重對應用軟件進行開發,它在一定的程度上能夠提高其應用的水平。這就應該要求計算機的網絡管理部門應該在完成自身工作的同時有針對的對系統軟件進行研制與開發。
4.1.3增強用戶的安全意識
對于用戶而言,大多都知道網絡危害,以及相應的網絡病毒,但是其安全意識還是比較欠缺,這就需要用戶在使用計算機時,充分的認識到網絡的危害,增強自身的安全意識,在運用計算機時,在計算機中安裝殺毒軟件,不隨意的瀏覽安全未知的網頁不隨手打開匿名的郵件,并且對系統的安全漏洞進行及時的修復,從而使得計算機網絡能夠在健康的環境中滿足更多用戶需求。
篇12
2.1網絡安全管理:計算機網絡安全是有一定的脆弱性的,這一特性產生的原因是由計算機網絡系統的特點決定的,所以計算機網絡安全管理維護辦法對于計算機網絡而言意義重大,為了從最大程度上保障計算機網絡資源不被一些非法分子或者是用戶無意的非法使用,為了保障計算機網絡安全系統本身不輕易的被未經授權的進行訪問,為了保障計算機網絡安全管理相關信息的安全性、可靠性、機密性等,計算機網絡安全管理就必須對計算機安全性加大重視力度,從而使得計算機網絡技術更好地為我們提供服務。
2.2網絡計費管理:網絡計費管理可謂非常重要的安全管理維護手段之余,通常應用其記錄網絡資源的使用情況,其最終的目的是實現對于網絡操作費用和代價的控制、監測,這一方法主要針對的是公共商業網絡。網絡計費管理能夠將用戶所使用的網絡資源需要花費的費用和代價做出計算,同時還可對其所使用的資源做出記錄,這一管理維護方法可以限制用戶的最大消耗費用,這就對于用戶過多占用網絡資源做出一定程度的控制,同時對于網絡的使用效率來說,也起到了一定的提高作用。除此之外,網絡計費管理還可以將總計費用做出計算。
2.3網絡故障管理和維護:故障管理可以說是計算機網絡安全管理維護的最基本的操作之一。所有計算機網絡用戶都會希望有一個健康穩定可靠地計算機網絡,當計算機網絡中的某一個組成部分發生故障時,網絡管理器應當在第一時間將這一問題解決掉,這種發生故障的情況,管理者應當首先將網絡修復,使其處在維護狀態,繼而在分析網絡故障發生的原因,做出相應的故障管理和維護工作,通常分析故障并對其進行維護的操作包括三個方面,分別是故障檢測、隔離操作以及糾正,最終使其正常的運轉,為廣大計算機網絡用戶帶來方便。
篇13
2.1網絡黑客攻擊。
黑客攻擊主要是指黑客通過破解或者破壞系統的某個程序、系統以及網絡安全,并更改或破壞系統、程序的重要數據的過程。
2.2計算機病毒。
計算機病毒對計算機網絡具有巨大的威脅,對計算機的危害是非常大的。一般被病毒感染了的計算機系統運行速度會變慢;常常無緣無故出現死機現象;文件會因為時間、屬性等變化而無法正確讀取,甚至會丟失或者損壞;命令執行出現錯誤等。
2.3系統漏洞。
系統漏洞是指由于各種操作系統的軟件在設計上的不完善或者失誤,給那些不法分子創造了機會,使得他們能夠利用系統的漏洞將各種木馬、病毒等植入計算機,從而控制整個計算機,獲取重要的信息與文件,甚至破壞電腦系統。系統漏洞也是構成計算機網絡安全的威脅因素之一,這些系統漏洞為各種病毒的入侵提供了空間,成為病毒入侵的突破口。
3計算機網絡安全防范技術的應用分析
3.1防火墻技術。
防火墻是由一個有軟件和硬件設備組合而成,它作為網絡安全的屏障是通過在專用網與公共網、內部網與外部網之間的界面上形成一道保護屏障而實現的。防火墻通過執行站點的安全策略,僅容許符合要求的請求通過,從而能夠限制人們從一個特別的控制點和離開;同時所有的的信息進入計算機系統都必須通過防火墻,這樣就能夠有效的記錄網上的所有活動,收集系統與網絡之間使用的記錄;最主要的是防火墻能夠通過隔開網絡中的一個網段與另一個網段,從而能夠很好對用戶暴露點進行保護與限制。
3.2數據加密技術。
數據加密技術是保證計算機網絡安全的一種有效技術。這種技術是指傳送方通過將明文信息通過各種加密函數的轉換形成密文,接收方則通過解密函數將密文還原成明文。其中密鑰是關鍵,因為對于數據加密技術而言,只有在指定的用戶和網絡下,接收方才能獲得發送方的數據,這就需要數據加密技術要求只有在指定的用戶或網絡下,才能解除密碼而獲得原來的數據,這就需要給數據發送方和接受方以一些特殊的信息用于加解密,這些特殊的信息就是密鑰。
3.3網絡訪問控制技術。
網絡訪問控制技術通過將路由器作為網關來對外界的各種網絡服務的信息量進行控制,防止在計算機網絡系統在實現遠程登錄和文件傳輸等功能時不法分子利用漏洞進行控制。同時要求確定訪問者的身份是否合法,從而控制了非法的網絡訪問,有效的防止了非防入侵者,保證了計算機網絡信息的安全。
4.4安全漏洞檢測技術。
對于計算機網絡安全而言,安全漏洞檢測是一項必不可少的技術。通過安全漏洞掃描能夠幫幫助用戶在黑客攻擊之前找到系統的漏洞,并及時的恢復,從而為系統的安全做好鋪墊。對于安全漏洞的掃描可以設置為主動掃描和被動掃描、網絡掃描和主機掃描等,對于漏洞的修復而言可以設置為自動修復和手動修復。
3.5數據庫的備份與恢復技術。
數據庫的備份與恢復技術主要是防止系統發生意外,從而保證數據的安全性和完整性。這種備份技術主要有只備份數據庫、備份數據庫和事物日志、增量備份等策略。通過這種技術的實施更好的確定網絡的安全。
