引論:我們?yōu)槟砹?3篇網(wǎng)絡(luò)安全論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
一、網(wǎng)絡(luò)的開放性帶來的安全問題
眾所周知,Internet是開放的,而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中,安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。為了解決這些安全問題,各種安全機制、策略和工具被研究和應(yīng)用。然而,即使在使用了現(xiàn)有的安全工具和機制的情況下,網(wǎng)絡(luò)的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點:
(一)每一種安全機制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境
防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問,防火墻往往是無能為力的。因此,對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺和防范的。
(二)安全工具的使用受到人為因素的影響
一個安全工具能不能實現(xiàn)期望的效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶,不正當(dāng)?shù)脑O(shè)置就會產(chǎn)生不安全因素。例如,NT在進行合理的設(shè)置后可以達到C2級的安全性,但很少有人能夠?qū)T本身的安全策略進行合理的設(shè)置。雖然在這方面,可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設(shè)置,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較,針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。
(三)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。比如說,眾所周知的ASP源碼問題,這個問題在IIS服務(wù)器4.0以前一直存在,它是IIS服務(wù)的設(shè)計者留下的一個后門,任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼,從而可以收集系統(tǒng)信息,進而對系統(tǒng)進行攻擊。對于這類入侵行為,防火墻是無法發(fā)覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。
(四)只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來,程序設(shè)計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用,而且這種攻擊通常不會產(chǎn)生日志,幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG,現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
(五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)
然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時,其他的安全問題又出現(xiàn)了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
二、網(wǎng)絡(luò)安全的主要技術(shù)
安全是網(wǎng)絡(luò)賴以生存的保障,只有安全得到保障,網(wǎng)絡(luò)才能實現(xiàn)自身的價值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實踐的發(fā)展而發(fā)展,其涉及的技術(shù)面非常廣,主要的技術(shù)如認證、加密、防火墻及入侵檢測是網(wǎng)絡(luò)安全的重要防線。
(一)認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問,使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。
(二)數(shù)據(jù)加密
加密就是通過一種方式使信息變得混亂,從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
1.私匙加密。私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快,很容易在硬件和軟件中實現(xiàn)。
2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的,因而比私匙加密系統(tǒng)的速度慢得多,不過若將兩者結(jié)合起來,就可以得到一個更復(fù)雜的系統(tǒng)。
(三)防火墻技術(shù)
防火墻是網(wǎng)絡(luò)訪問控制設(shè)備,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù),它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器,而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓簦渲凶盍餍械募夹g(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和服務(wù)器技術(shù),它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外,現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術(shù)。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內(nèi)外提供一致的安全策略;而且防火墻只實現(xiàn)了粗粒度的訪問控制,也不能與企業(yè)內(nèi)部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(tǒng)(路由器、過濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機)組成的防火墻,管理上難免有所疏忽。
(四)入侵檢測系統(tǒng)
入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù),最好采用混合入侵檢測,在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動防御體系。
(五)虛擬專用網(wǎng)(VPN)技術(shù)
VPN是目前解決信息安全問題的一個最新、最成功的技術(shù)課題之一,所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機制,這兩種機制為路由過濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項技術(shù)來保障安全:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密匙管理技術(shù)(KeyManagement)和使用者與設(shè)備身份認證技術(shù)(Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機制應(yīng)能技術(shù)不同層次的安全服務(wù),這些安全服務(wù)包括不同強度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。
(六)其他網(wǎng)絡(luò)安全技術(shù)
1.智能卡技術(shù),智能卡技術(shù)和加密技術(shù)相近,其實智能卡就是密匙的一種媒體,由授權(quán)用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。智能卡技術(shù)一般與身份驗證聯(lián)合使用。
2.安全脆弱性掃描技術(shù),它為能針對網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段,指出系統(tǒng)存在或潛在的安全漏洞,以改進系統(tǒng)對網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。
3.網(wǎng)絡(luò)數(shù)據(jù)存儲、備份及容災(zāi)規(guī)劃,它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù),使整個系統(tǒng)在最短的時間內(nèi)重新投入正常運行的一種安全技術(shù)方案。
4.IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。
篇2
1.1.1網(wǎng)絡(luò)層的安全性
網(wǎng)絡(luò)信息和傳輸是否能得到控制是網(wǎng)絡(luò)層安全性的核心問題,網(wǎng)絡(luò)用戶通過固定的IP地址進入網(wǎng)絡(luò)系統(tǒng),而網(wǎng)絡(luò)則對此IP地址傳輸?shù)臄?shù)據(jù)進行檢查,查看信息內(nèi)容是否安全,安全則允許傳輸,否則屏蔽。目前網(wǎng)絡(luò)安全性提高方法主要由兩種:防火墻產(chǎn)品和VPN(虛擬專用網(wǎng))。
1.1.2系統(tǒng)的安全性
網(wǎng)絡(luò)系統(tǒng)中的安全性主要包括兩個方面:第一是非法黑客對網(wǎng)絡(luò)系統(tǒng)的入侵和破壞;第二是傳統(tǒng)病毒對網(wǎng)絡(luò)系統(tǒng)的入侵和破壞。病毒是一種可復(fù)制性、具有攻擊型可執(zhí)行文件,這些病毒的源頭是非法程序員通過網(wǎng)絡(luò)散布的、破壞正常文件的可執(zhí)行文件;黑客是通過非法渠道進入網(wǎng)絡(luò)系統(tǒng)竊取他人資料;這兩種方式都是破壞系統(tǒng)安全性的渠道。
1.1.3用戶操作安全性
目前,網(wǎng)絡(luò)數(shù)據(jù)主要分為兩種,一種是靜態(tài)數(shù)據(jù);一種是動態(tài)數(shù)據(jù);而用戶都是通過靜態(tài)數(shù)據(jù)進行校驗,登錄系統(tǒng),但往往由于用戶操作失誤或遺失賬號密碼,導(dǎo)致系統(tǒng)出現(xiàn)漏洞,給非法用戶提供了侵入系統(tǒng)接口。
1.1.4應(yīng)用程序的安全性
應(yīng)用程序安全性主要涉及兩個方面的問題:一是應(yīng)用程序?qū)?shù)據(jù)的合法權(quán)限;二是應(yīng)用程序?qū)τ脩舻暮戏?quán)限。即合法用戶通過應(yīng)用程序操作合法數(shù)據(jù)。
1.1.5數(shù)據(jù)的安全性
數(shù)據(jù)作為整個架構(gòu)層次的核心部分,其保存前、中和后都需要進行加密,充分保證數(shù)據(jù)的安全性,即使在數(shù)據(jù)被竊后。通過數(shù)據(jù)加密等措施,即使數(shù)據(jù)丟失,也可以讓非法入侵者得到的是加密文件,無法了解其信息內(nèi)容。上述的五層安全體系并非孤立分散。他們是有機的結(jié)合體,通過互相的數(shù)據(jù)共享和聯(lián)通,形成整個網(wǎng)絡(luò)體系架構(gòu),以上便是本文所設(shè)計及介紹的五層網(wǎng)絡(luò)安全體系。
1.2安全技術(shù)分析
從上個世紀(jì)網(wǎng)絡(luò)盛行時,網(wǎng)絡(luò)安全就被世人所關(guān)注,針對網(wǎng)絡(luò)漏洞和病毒,科學(xué)家和研究者制定出各種協(xié)議和規(guī)則,甚至研究出各種網(wǎng)絡(luò)安全技術(shù),下面就幾種成熟的網(wǎng)絡(luò)安全技術(shù)進行分別介紹。
(1)防火墻技術(shù)。
防火墻作為一種網(wǎng)絡(luò)數(shù)據(jù)核查軟件,很好的杜絕了網(wǎng)絡(luò)用戶通過非法渠道獲取其他網(wǎng)絡(luò)用戶信息,它通過分包和IP地址并行校驗機制,對外來數(shù)據(jù)進行一一檢查,此種技術(shù)很好的保障了內(nèi)部數(shù)據(jù)的安全性。目前,防火墻技術(shù)主要是分組過濾和服務(wù)兩種類型,它們的主要宗旨是保護外來非法數(shù)據(jù)對本地數(shù)據(jù)的入侵和破壞,防火墻技術(shù)是一種真正保證本地數(shù)據(jù)的有效工具,它通過固定的網(wǎng)絡(luò)協(xié)議對往來電子郵件進行過濾,使進出數(shù)據(jù)都得到了很好的檢驗。
(2)應(yīng)用網(wǎng)關(guān)。
應(yīng)用網(wǎng)關(guān)主要是針對網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中的數(shù)據(jù)包進行過濾,一般與防火墻技術(shù)組合使用,防火墻將數(shù)據(jù)包送至應(yīng)用網(wǎng)關(guān),應(yīng)用網(wǎng)關(guān)可以被用來處理電子郵件,遠程登錄,及文件傳輸。
(3)虛擬私人網(wǎng)絡(luò)。
虛擬網(wǎng)絡(luò)主要是為一些用戶專門訪問而成立的技術(shù),因此可以在Internet上建立自己的虛擬私人網(wǎng)絡(luò)是一個安全的策略。通過路由器,虛擬鏈接就形成了。這樣就可以由用戶建立一個專內(nèi)網(wǎng)絡(luò),進行數(shù)據(jù)交換,形成內(nèi)部網(wǎng)絡(luò)。由此可見,通過這種手段來保護數(shù)據(jù)的安全。
(4)數(shù)據(jù)加密技術(shù)。
為防止數(shù)據(jù)被外部非法用戶所竊取的另外一個重要技術(shù)就是數(shù)據(jù)加密技術(shù),它也是目前最為常用,而且安全性和可靠性非常高,數(shù)據(jù)加密技術(shù)主要包括密鑰機制、數(shù)據(jù)傳輸、存儲和完整性等。數(shù)據(jù)傳輸加密技術(shù)。數(shù)據(jù)存儲加密技術(shù)。數(shù)據(jù)完整性鑒別技術(shù)。密鑰管理技術(shù)。
(5)智能卡技術(shù)。
智能卡技術(shù)主要是對存儲數(shù)據(jù)的磁盤進行管理,在存儲空間設(shè)置授權(quán)機制,非授權(quán)數(shù)據(jù)和非授權(quán)的操作用戶都將無法與智能卡進行交互,這種方式充分保障了智能卡總的數(shù)據(jù)安全性,適合獨立和重要數(shù)據(jù)保護應(yīng)用技術(shù)之一。
2.?dāng)?shù)據(jù)加密
2.1數(shù)據(jù)加密技術(shù)
加密技術(shù)是保證某些信息只有目標(biāo)接收人才能讀懂其含義的一種方法。所有的加密技術(shù)都要使用算法,算法是一種復(fù)雜的數(shù)字規(guī)則,被設(shè)計用來攪亂信息,以防止第三者對信息的截獲。密碼體制技術(shù)是研究通信安全保密的學(xué)科,它由密碼編碼學(xué)和密碼分析學(xué)兩部分組成。密碼編碼學(xué)是研究對信息進行變換,以保護信息在傳送過程中不被第三方竊取、解讀和利用的方法,它涉及對數(shù)據(jù)的保護、控制和標(biāo)識。密碼分析學(xué)研究如何分析和破譯密碼,二者既相互對立,又相互促進。加密算法的抗攻擊能力可用加密強度來衡量,加密強度由三個因素組成:算法強度、密鑰的保密性、密鑰長度。加密技術(shù)是信息安全系統(tǒng)中常用的一種數(shù)據(jù)保護工具,而這種加密技術(shù)可用在交易過程中使用,加密體制無外乎分為兩種,一種是對稱加密,另一種是非對稱加密體制。除了這兩種加密體制外,還包括了哈希技術(shù)和數(shù)字簽名技術(shù)。這些加密技術(shù)都在五層體系架構(gòu)中發(fā)揮著重要的作用。
(1)對稱加密/對稱密鑰加密/專用密鑰加密體制。
如果使用對稱加密方式,相同的密鑰被使用在信息加密和解密的過程中,加密算法可以通過使用對稱加密方法將其簡化,每個貿(mào)易方都采用相同的加密算法并只交換共享的專用密鑰,而不必彼此研究和交換專用的加密算法。
(2)非對稱加密/公開密鑰加密。
非對稱加密和公開密鑰加密同屬一個意思。即在這種加密體制中,密鑰被分解為一個加密密鑰和一個專用的解密密鑰。非對稱加密算法中最著名的就是RSA算法,它的優(yōu)點是加密復(fù)雜度高,不易破解,但他的缺點是運行速度慢。因此在實際加密過程中基本不采用此種加密算法。對應(yīng)加密量大的應(yīng)用,公開密鑰加密算法通常用于對稱加密方法密鑰的加密。
2.2密鑰安全分析
密鑰是數(shù)據(jù)加密技術(shù)中的核心算法點,本文所討論的五層架構(gòu)體系中所有的數(shù)據(jù)傳輸和存儲及訪問,都基于數(shù)據(jù)加密技術(shù)的支持,隨著技術(shù)的發(fā)展,加密技術(shù)不斷完善,但完成安全的數(shù)據(jù)通訊,僅僅有加密和解密算法還是不夠的,還需要有安全的密鑰分配協(xié)議的支持。在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中,采用公鑰密碼系統(tǒng)有較好的安全性,但加密解密的速度慢,而私鑰雖然速度快,但不安全,因此密鑰分配協(xié)議(簡稱KDP)是一種增強加密和解密的安全性。目前,世界存在的密鑰分配協(xié)議有兩種,一種是基于單一網(wǎng)絡(luò)的密鑰分配協(xié)議;一種是基于網(wǎng)絡(luò)時鐘同步的網(wǎng)絡(luò)密鑰分配協(xié)議;還有一種是基于層次的KDP。但這三種協(xié)議由于種種原因(必要前提、不可修補等)而不能長時間應(yīng)用與數(shù)據(jù)加密技術(shù)中。
2.3可修補密鑰分配協(xié)議
本文基于數(shù)據(jù)加密技術(shù)和網(wǎng)絡(luò)安全的五層體系架構(gòu)考慮,設(shè)計一種可替補的密鑰分配協(xié)議方法,通過此協(xié)議,增加數(shù)據(jù)加密密鑰的合理性和減小密鑰丟失的風(fēng)險性,提高網(wǎng)絡(luò)安全性能。所謂密鑰可修補分配協(xié)議的重點在于當(dāng)一個密鑰由于病毒、黑客或用戶誤操作而導(dǎo)致的系統(tǒng)漏洞,因此系統(tǒng)就出現(xiàn)各種被惡意破壞的可能存在,目前部分密鑰分配協(xié)議中采用新密鑰代替被泄露的密鑰,但也無法保證沒有了安全漏洞。而本文所設(shè)計的密鑰分配協(xié)議不僅能取代泄露的密鑰,而且可使系統(tǒng)恢復(fù)至初始,此種協(xié)議被稱為可替補協(xié)議。
篇3
2監(jiān)聽技術(shù)的原理
網(wǎng)絡(luò)協(xié)議采用的工作方式是把要發(fā)送的信息數(shù)據(jù)包發(fā)往連接在一起的所有主機,在數(shù)據(jù)包頭中指定要接收該數(shù)據(jù)包的主機的地址,按協(xié)議規(guī)定,只有數(shù)據(jù)包頭中的地址與主機地址完全對應(yīng)上后該主機才能接收數(shù)據(jù)包,但當(dāng)某臺主機工作的監(jiān)聽狀態(tài)下,就跳過檢測地址這一環(huán)節(jié),這臺主機就可以接收所有數(shù)據(jù)包了,并全部傳遞到上一個協(xié)議層,當(dāng)數(shù)據(jù)包的信息以明文的形式傳播的時候,所有的信息都將毫不設(shè)防地展現(xiàn)在接收者面前,遺憾的是,部分局域網(wǎng)上的數(shù)據(jù)信息大多都是以明文的方式傳播的。當(dāng)某連鎖企業(yè)將數(shù)據(jù)信息發(fā)往另一臺主機的時候,如果正好有一個黑客或網(wǎng)絡(luò)不法分子承監(jiān)聽,那么就不難理解為什么會出現(xiàn)客戶食宿信息泄漏的問題了。
3監(jiān)聽的實現(xiàn)方法
實現(xiàn)網(wǎng)絡(luò)監(jiān)聽的最基本要求就是對網(wǎng)卡進行設(shè)置,使其工作在混雜模式下,普通模式下的網(wǎng)卡必須檢測數(shù)據(jù)包攜帶的地址,只有完全相同,本臺機器才能接收這個數(shù)據(jù)包,但工作在混雜模式下的網(wǎng)卡,直接跳過檢測這個環(huán)節(jié),對所有經(jīng)過的數(shù)據(jù)包來者不拒,全部接收。所以,這要設(shè)置網(wǎng)卡的工作模式就可以實現(xiàn)網(wǎng)絡(luò)監(jiān)聽。下面介紹三種設(shè)置網(wǎng)絡(luò)工作模式的方法。(1)使用原始套接字(rowsocket)方法:首先創(chuàng)建原始套接字,然后使用setsockopt()函數(shù)進行IP頭操作選項的處理,再使用bind()函數(shù)對主機網(wǎng)卡和原始套接字進行駁接綁定,最后,為了讓原始套接字能夠最大限度地接收經(jīng)過本網(wǎng)絡(luò)卡的數(shù)據(jù)包,再使用ioctlsocket()函數(shù)處理,此時,該主機就可以進行網(wǎng)絡(luò)監(jiān)聽了。這種方法相對容易,但功能也相對較弱,只能對運行在較高層次上的數(shù)據(jù)包進行接收和處理。(2)使用NDIS庫函數(shù),NDIS庫函數(shù)有22種近300個函數(shù),比如MiniportWanSend,表示如果驅(qū)動程序控制著WANNIC,通過網(wǎng)絡(luò)接口卡發(fā)送一個包到網(wǎng)絡(luò)上。這種方法比較復(fù)雜,功能比較強大,但是相對來講風(fēng)險較大,一不小心,可能導(dǎo)致系統(tǒng)崩潰和網(wǎng)絡(luò)癱瘓。(3)使用中間層驅(qū)動程序,這種中間層程序可以是自行編寫的,也可以使用微軟提供的win2000DDK。(4)使用第三方捕獲組件或者庫,比如Wnpcap。
二監(jiān)聽的檢測(Monitordetection)
網(wǎng)絡(luò)監(jiān)聽是一種被動的接收,很難發(fā)現(xiàn),就像你將聲音發(fā)出后,不能確定誰在聽,誰沒有聽,也不能確定誰聽取了什么內(nèi)容,接收信息的機器都是被動接收同,沒有信息交換,沒有修改傳輸,所以識別監(jiān)聽相對比較困難,這里討論幾種常規(guī)的檢測方法。(1)發(fā)送大量無地址或錯地址的數(shù)據(jù)包,然后比較發(fā)送前后某臺機器的運行狀況,如果該機器綜合性能明顯降低,該臺機器很可能運行機制了監(jiān)聽程序,因為監(jiān)聽程序要接收并處理數(shù)據(jù)包的海量信息,這樣會占用機器的資源,所以綜合性能就會下降。(2)用錯誤的IP地址ping,如果某臺機器對于錯誤的地址也有響應(yīng),則可以判定這臺機器運行了監(jiān)聽程序,這是因為正常的機器不接收錯誤的物理地址,處于監(jiān)聽狀態(tài)的機器能接收。(3)使用第三方檢測工具,比如Antisniffer就是一個常用的安全監(jiān)視工具,用來監(jiān)測網(wǎng)絡(luò)內(nèi)的主機的網(wǎng)卡是否處于混雜模式,以此來判斷該機器是否在運行監(jiān)聽程序。
三監(jiān)聽的防范(Monitoringprevention)
1網(wǎng)絡(luò)分段
網(wǎng)絡(luò)分段是一種比較簡單的經(jīng)濟的防范方式。它的基本原理是將一個大的物理范圍網(wǎng)絡(luò)劃分為多個邏輯范圍子網(wǎng)絡(luò)。網(wǎng)絡(luò)分段目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離,從而防止可能的非法監(jiān)聽。一個網(wǎng)段就是一個小的局域網(wǎng),監(jiān)聽的機器只能在在屬于自己的小網(wǎng)段內(nèi)監(jiān)聽,不會聽到別的網(wǎng)段內(nèi)的信息,減少安全隱患。這就像會議的分組討論,一個“間諜”只有在一個小組內(nèi)部監(jiān)聽,不能監(jiān)聽到別的小組,而不同小組討論的信息內(nèi)容是不一樣的,這樣減少信息被盜取的范圍和程度。
2“以交代共”
這里的“交”指的是交換式集線器,“共”指的是共享式集線器。交換式集線器也叫交換機,它通過對信息進行重新生成,并經(jīng)過內(nèi)部處理后轉(zhuǎn)發(fā)至指定端口,也就是說使用了交換機后可以直接將信息唯一性地發(fā)住目標(biāo)機器,這樣監(jiān)聽機器就不能聽到傳播的信息,從而對監(jiān)聽進行有效的防范。就像點對點的電話通訊,發(fā)送者和接收者通過單線聯(lián)系,別人聽不到自己在說什么,從而保證信息的安全。
3建立虛擬局域網(wǎng)虛
擬局域網(wǎng)(VLAN),是指網(wǎng)絡(luò)中的站點不拘泥于所處的物理位置,而可以根據(jù)需要靈活地加入不同的邏輯子網(wǎng)中的一種網(wǎng)絡(luò)技術(shù)。建立了虛擬局域網(wǎng)后,各虛擬網(wǎng)之間不能直接進行通訊,而必須通過路由器轉(zhuǎn)發(fā),為高級的安全控制提供了可能,增強了網(wǎng)絡(luò)的安全性。可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。這樣即使有某一臺機器在執(zhí)行監(jiān)聽功能,但其可能不確定在某個邏輯子網(wǎng),從而監(jiān)聽不到特定的數(shù)據(jù)信息,并且高層次的安全控制手段再落實到位,可能不論在哪個邏輯子網(wǎng)都無法監(jiān)聽到信息。
4信息加密信息加密技術(shù)
日益成熟,人們的安全意識也日漸增加,所以信息加密在目前年看來是一種簡單可行的方法,我們只要在網(wǎng)絡(luò)上傳輸信息就一定要加密,經(jīng)過加密的數(shù)據(jù)即使被監(jiān)聽者捕獲到,但得到的信息都是亂碼,從而變成一堆無用的垃圾。如果監(jiān)聽者要對捕獲的加密信息進行解密,那又將大大加重監(jiān)聽者的成本,特別是現(xiàn)在先進的加密技術(shù)下,監(jiān)聽到的數(shù)據(jù)信息有用的可用的將越來越少。
篇4
1.1網(wǎng)絡(luò)安全的概念
國際標(biāo)準(zhǔn)化組織(ISO)將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網(wǎng)絡(luò)安全性的含義是信息安全的引申,即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。
1.2網(wǎng)絡(luò)安全的現(xiàn)狀
目前歐州各國的小型企業(yè)每年因計算機病毒導(dǎo)致的經(jīng)濟損失高達220億歐元,而這些病毒主要是通過電子郵件進行傳播的。據(jù)反病毒廠商趨勢公司稱,像Sobig、Slammer等網(wǎng)絡(luò)病毒和蠕蟲造成的網(wǎng)絡(luò)大塞車,去年就給企業(yè)造成了550億美元的損失。而包括從身份竊賊到間諜在內(nèi)的其他網(wǎng)絡(luò)危險造成的損失則很難量化,網(wǎng)絡(luò)安全問題帶來的損失由此可見一斑。
2網(wǎng)絡(luò)安全的主要技術(shù)
安全是網(wǎng)絡(luò)賴以生存的保障,只有安全得到保障,網(wǎng)絡(luò)才能實現(xiàn)自身的價值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實踐的發(fā)展而發(fā)展,其涉及的技術(shù)面非常廣,主要的技術(shù)如認證、加密、防火墻及入侵檢測是網(wǎng)絡(luò)安全的重要防線。
2.1認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問,使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。現(xiàn)列舉幾種如下:
2.1.1身份認證
當(dāng)系統(tǒng)的用戶要訪問系統(tǒng)資源時要求確認是否是合法的用戶,這就是身份認證。常采用用戶名和口令等最簡易方法進行用戶身份的認證識別。
2.1.2報文認證
主要是通信雙方對通信的內(nèi)容進行驗證,以保證報文由確認的發(fā)送方產(chǎn)生、報文傳到了要發(fā)給的接受方、傳送中報文沒被修改過。
2.1.3訪問授權(quán)
主要是確認用戶對某資源的訪問權(quán)限。
2.1.4數(shù)字簽名
數(shù)字簽名是一種使用加密認證電子信息的方法,其安全性和有用性主要取決于用戶私匙的保護和安全的哈希函數(shù)。數(shù)字簽名技術(shù)是基于加密技術(shù)的,可用對稱加密算法、非對稱加密算法或混合加密算法來實現(xiàn)。
2.2數(shù)據(jù)加密
加密就是通過一種方式使信息變得混亂,從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
2.2.1私匙加密
私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快,很容易在硬件和軟件件中實現(xiàn)。
2.2.2公匙加密
公匙加密比私匙加密出現(xiàn)得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的,因而比私匙加密系統(tǒng)的速度慢得多,不過若將兩者結(jié)合起來,就可以得到一個更復(fù)雜的系統(tǒng)。
2.3防火墻技術(shù)
防火墻是網(wǎng)絡(luò)訪問控制設(shè)備,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù),它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器,而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓簦渲凶盍餍械募夹g(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和服務(wù)器技術(shù),它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外,現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術(shù)。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內(nèi)外提供一致的安全策略;而且防火墻只實現(xiàn)了粗粒度的訪問控制,也不能與企業(yè)內(nèi)部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(tǒng)(路由器、過濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機)組成的防火墻,管理上難免有所疏忽。
2.4入侵檢測系統(tǒng)
入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點,是一種積極主動的安全防護技術(shù),提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時代的發(fā)展,入侵檢測技術(shù)將朝著三個方向發(fā)展:分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。
入侵檢測系統(tǒng)(InstusionDetectionSystem,簡稱IDS)是進行入侵檢測的軟件與硬件的組合,其主要功能是檢測,除此之外還有檢測部分阻止不了的入侵;檢測入侵的前兆,從而加以處理,如阻止、封閉等;入侵事件的歸檔,從而提供法律依據(jù);網(wǎng)絡(luò)遭受威脅程度的評估和入侵事件的恢復(fù)等功能。
2.5虛擬專用網(wǎng)(VPN)技術(shù)
VPN是目前解決信息安全問題的一個最新、最成功的技術(shù)課題之一,所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機制,這兩種機制為路由過濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項技術(shù)來保障安全:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密匙管理技術(shù)(KeyManagement)和使用者與設(shè)備身份認證技術(shù)(Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機制應(yīng)能技術(shù)不同層次的安全服務(wù),這些安全服務(wù)包括不同強度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。
2.6其他網(wǎng)絡(luò)安全技術(shù)
(1)智能卡技術(shù),智能卡技術(shù)和加密技術(shù)相近,其實智能卡就是密匙的一種媒體,由授權(quán)用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。智能卡技術(shù)一般與身份驗證聯(lián)合使用。
(2)安全脆弱性掃描技術(shù),它為能針對網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段,指出系統(tǒng)存在或潛在的安全漏洞,以改進系統(tǒng)對網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。
(3)網(wǎng)絡(luò)數(shù)據(jù)存儲、備份及容災(zāi)規(guī)劃,它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù),使整個系統(tǒng)在最短的時間內(nèi)重新投入正常運行的一種安全技術(shù)方案。
其他網(wǎng)絡(luò)安全技術(shù)還有我們較熟悉的各種網(wǎng)絡(luò)防殺病毒技術(shù)等等。
3網(wǎng)絡(luò)安全問題的由來
網(wǎng)絡(luò)設(shè)計之初僅考慮到信息交流的便利和開放,而對于保障信息安全方面的規(guī)劃則非常有限,這樣,伴隨計算機與通信技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)攻擊與防御技術(shù)循環(huán)遞升,原來網(wǎng)絡(luò)固有優(yōu)越性的開放性和互聯(lián)性變成信息的安全患之便利橋梁。網(wǎng)絡(luò)安全已變成越來越棘手的問題,只要是接入到因特網(wǎng)中的主機都有可能被攻擊或入侵了,而遭受安全問題的困擾。
目前所運用的TCP/IP協(xié)議在設(shè)計時,對安全問題的忽視造成網(wǎng)絡(luò)自身的一些特點,而所有的應(yīng)用安全協(xié)議都架設(shè)在TCP/IP之上,TCP/IP協(xié)議本身的安全問題,極大地影響了上層應(yīng)用的安全。網(wǎng)絡(luò)的普及和應(yīng)用還是近10年的事,而操作系統(tǒng)的產(chǎn)生和應(yīng)用要遠早于此,故而操作系統(tǒng)、軟件系統(tǒng)的不完善性也造成安全漏洞;在安全體系結(jié)構(gòu)的設(shè)計和實現(xiàn)方面,即使再完美的體系結(jié)構(gòu),也可能一個小小的編程缺陷,帶來巨大的安全隱患;而且,安全體系中的各種構(gòu)件間缺乏緊密的通信和合作,容易導(dǎo)致整個系統(tǒng)被各個擊破。
4網(wǎng)絡(luò)安全問題對策的思考
網(wǎng)絡(luò)安全建設(shè)是一個系統(tǒng)工程、是一個社會工程,網(wǎng)絡(luò)安全問題的對策可從下面4個方面著手。
網(wǎng)絡(luò)安全的保障從技術(shù)角度看。首先,要樹立正確的思想準(zhǔn)備。網(wǎng)絡(luò)安全的特性決定了這是一個不斷變化、快速更新的領(lǐng)域,況且我國在信息安全領(lǐng)域技術(shù)方面和國外發(fā)達國家還有較大的差距,這都意味著技術(shù)上的“持久戰(zhàn)”,也意味著人們對于網(wǎng)絡(luò)安全領(lǐng)域的投資是長期的行為。其次,建立高素質(zhì)的人才隊伍。目前在我國,網(wǎng)絡(luò)信息安全存在的突出問題是人才稀缺、人才流失,尤其是拔尖人才,同時網(wǎng)絡(luò)安全人才培養(yǎng)方面的投入還有較大缺欠。最后,在具體完成網(wǎng)絡(luò)安全保障的需求時,要根據(jù)實際情況,結(jié)合各種要求(如性價比等),需要多種技術(shù)的合理綜合運用。
網(wǎng)絡(luò)安全的保障從管理角度看。考察一個內(nèi)部網(wǎng)是否安全,不僅要看其技術(shù)手段,而更重要的是看對該網(wǎng)絡(luò)所采取的綜合措施,不光看重物理的防范因素,更要看重人員的素質(zhì)等“軟”因素,這主要是重在管理,“安全源于管理,向管理要安全”。再好的技術(shù)、設(shè)備,而沒有高質(zhì)量的管理,也只是一堆廢鐵。
網(wǎng)絡(luò)安全的保障從組織體系角度看。要盡快建立完善的網(wǎng)絡(luò)安全組織體系,明確各級的責(zé)任。建立科學(xué)的認證認可組織管理體系、技術(shù)體系的組織體系,和認證認可各級結(jié)構(gòu),保證信息安全技術(shù)、信息安全工程、信息安全產(chǎn)品,信息安全管理工作的組織體系。
最后,在盡快加強網(wǎng)絡(luò)立法和執(zhí)法力度的同時,不斷提高全民的文明道德水準(zhǔn),倡導(dǎo)健康的“網(wǎng)絡(luò)道德”,增強每個網(wǎng)絡(luò)用戶的安全意識,只有這樣才能從根本上解決網(wǎng)絡(luò)安全問題。
參考文獻
1張千里,陳光英.網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003
篇5
2通信網(wǎng)絡(luò)安全現(xiàn)狀
互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間,網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用,為人類社會的進步提供了巨大推動力。然而,正是由于互聯(lián)網(wǎng)的上述特性,產(chǎn)生了許多安全問題。
計算機系統(tǒng)及網(wǎng)絡(luò)固有的開放性、易損性等特點使其受攻擊不可避免。
計算機病毒的層出不窮及其大范圍的惡意傳播,對當(dāng)今日愈發(fā)展的社會網(wǎng)絡(luò)通信安全產(chǎn)生威脅。
現(xiàn)在企業(yè)單位各部門信息傳輸?shù)牡奈锢砻浇椋蟛糠质且揽科胀ㄍㄐ啪€路來完成的,雖然也有一定的防護措施和技術(shù),但還是容易被竊取。
通信系統(tǒng)大量使用的是商用軟件,由于商用軟件的源代碼,源程序完全或部分公開化,使得這些軟件存在安全問題。
3通信網(wǎng)絡(luò)安全分析
針對計算機系統(tǒng)及網(wǎng)絡(luò)固有的開放性等特點,加強網(wǎng)絡(luò)管理人員的安全觀念和技術(shù)水平,將固有條件下存在的安全隱患降到最低。安全意識不強,操作技術(shù)不熟練,違反安全保密規(guī)定和操作規(guī)程,如果明密界限不清,密件明發(fā),長期重復(fù)使用一種密鑰,將導(dǎo)致密碼被破譯,如果下發(fā)口令及密碼后沒有及時收回,致使在口令和密碼到期后仍能通過其進入網(wǎng)絡(luò)系統(tǒng),將造成系統(tǒng)管理的混亂和漏洞。為防止以上所列情況的發(fā)生,在網(wǎng)絡(luò)管理和使用中,要大力加強管理人員的安全保密意識。
軟硬件設(shè)施存在安全隱患。為了方便管理,部分軟硬件系統(tǒng)在設(shè)計時留有遠程終端的登錄控制通道,同時在軟件設(shè)計時不可避免的也存在著許多不完善的或是未發(fā)現(xiàn)的漏洞(bug),加上商用軟件源程序完全或部分公開化,使得在使用通信網(wǎng)絡(luò)的過程中,如果沒有必要的安全等級鑒別和防護措施,攻擊者可以利用上述軟硬件的漏洞直接侵入網(wǎng)絡(luò)系統(tǒng),破壞或竊取通信信息。
傳輸信道上的安全隱患。如果傳輸信道沒有相應(yīng)的電磁屏蔽措施,那么在信息傳輸過程中將會向外產(chǎn)生電磁輻射,從而使得某些不法分子可以利用專門設(shè)備接收竊取機密信息。
另外,在通信網(wǎng)建設(shè)和管理上,目前還普遍存在著計劃性差。審批不嚴格,標(biāo)準(zhǔn)不統(tǒng)一,建設(shè)質(zhì)量低,維護管理差,網(wǎng)絡(luò)效率不高,人為因素干擾等問題。因此,網(wǎng)絡(luò)安全性應(yīng)引起我們的高度重視。
4通信網(wǎng)絡(luò)安全維護措施及技術(shù)
當(dāng)前通信網(wǎng)絡(luò)功能越來越強大,在日常生活中占據(jù)了越來越重要的地位,我們必須采用有效的措施,把網(wǎng)絡(luò)風(fēng)險降到最低限度。于是,保護通信網(wǎng)絡(luò)中的硬件、軟件及其數(shù)據(jù)不受偶然或惡意原因而遭到破壞、更改、泄露,保障系統(tǒng)連續(xù)可靠地運行,網(wǎng)絡(luò)服務(wù)不中斷,就成為通信網(wǎng)絡(luò)安全的主要內(nèi)容。
為了實現(xiàn)對非法入侵的監(jiān)測、防偽、審查和追蹤,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛(wèi)措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網(wǎng)絡(luò)系統(tǒng)權(quán)限分級,權(quán)限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽,從而達到網(wǎng)絡(luò)分級機制的效果;“網(wǎng)絡(luò)授權(quán)”通過向終端發(fā)放訪問許可證書防止非授權(quán)用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)資源;“數(shù)據(jù)保護”利用數(shù)據(jù)加密后的數(shù)據(jù)包發(fā)送與訪問的指向性,即便被截獲也會由于在不同協(xié)議層中加入了不同的加密機制,將密碼變得幾乎不可破解;“收發(fā)確認”用發(fā)送確認信息的方式表示對發(fā)送數(shù)據(jù)和收方接收數(shù)據(jù)的承認,以避免不承認發(fā)送過的數(shù)據(jù)和不承認接受過數(shù)據(jù)等而引起的爭執(zhí);“保證數(shù)據(jù)的完整性”,一般是通過數(shù)據(jù)檢查核對的方式達成的,數(shù)據(jù)檢查核對方式通常有兩種,一種是邊發(fā)送接收邊核對檢查,一種是接收完后進行核對檢查;“業(yè)務(wù)流分析保護”阻止垃圾信息大量出現(xiàn)造成的擁塞,同時也使得惡意的網(wǎng)絡(luò)終端無法從網(wǎng)絡(luò)業(yè)務(wù)流的分析中獲得有關(guān)用戶的信息。
為了實現(xiàn)實現(xiàn)上述的種種安全措施,必須有技術(shù)做保證,采用多種安全技術(shù),構(gòu)筑防御系統(tǒng),主要有:
防火墻技術(shù)。在網(wǎng)絡(luò)的對外接口采用防火墻技術(shù),在網(wǎng)絡(luò)層進行訪問控制。通過鑒別,限制,更改跨越防火墻的數(shù)據(jù)流,來實現(xiàn)對網(wǎng)絡(luò)的安全保護,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以,防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。
入侵檢測技術(shù)。防火墻保護內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊,但它對內(nèi)部網(wǎng)絡(luò)的一些非法活動的監(jiān)控不夠完善,IDS(入侵檢測系統(tǒng))是防火墻的合理補充,它積極主動地提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,提高了信息安全性。
網(wǎng)絡(luò)加密技術(shù)。加密技術(shù)的作用就是防止公用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取,是網(wǎng)絡(luò)安全的核心。采用網(wǎng)絡(luò)加密技術(shù),對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝實現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾裕山鉀Q網(wǎng)絡(luò)在公網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩詥栴}也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。
身份認證技術(shù)。提供基于身份的認證,在各種認證機制中可選擇使用。通過身份認證技術(shù)可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。
虛擬專用網(wǎng)(VPN)技術(shù)。通過一個公用網(wǎng)(一般是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。它通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構(gòu)、公司業(yè)務(wù)伙伴等跟公司的內(nèi)網(wǎng)連接起來,構(gòu)成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡(luò)的存在,仿佛所有的機器都處于一個網(wǎng)絡(luò)之中。
漏洞掃描技術(shù)。面對網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估,顯然是不夠的,我們必須通過網(wǎng)絡(luò)安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。
結(jié)束語
目前解決網(wǎng)絡(luò)安全問題的大部分技術(shù)是存在的,但是隨著社會的發(fā)展,人們對網(wǎng)絡(luò)功能的要求愈加苛刻,這就決定了通信網(wǎng)絡(luò)安全維護是一個長遠持久的課題。我們必須適應(yīng)社會,不斷提高技術(shù)水平,以保證網(wǎng)絡(luò)安全維護的順利進行。
參考文獻
[1]張詠梅.計算機通信網(wǎng)絡(luò)安全概述.中國科技信息,2006.
[2]楊華.網(wǎng)絡(luò)安全技術(shù)的研究與應(yīng)用.計算機與網(wǎng)絡(luò),2008
[3]馮苗苗.網(wǎng)絡(luò)安全技術(shù)的探討.科技信息,2008.
[4]姜濱,于湛.通信網(wǎng)絡(luò)安全與防護.甘肅科技,2006.
[5]艾抗,李建華,唐華.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用.濟南職業(yè)學(xué)院學(xué)報,2005.
[6]羅綿輝,郭鑫.通信網(wǎng)絡(luò)安全的分層及關(guān)鍵技術(shù).信息技術(shù),2007.
篇6
1.1選題來源
隨著信息時代的高速發(fā)展,以校園網(wǎng)絡(luò)為平臺的應(yīng)用也越來越廣泛,例如校園一卡通服務(wù)、辦公自動化應(yīng)用(OA)、教務(wù)管理、圖書管理、電子郵件服務(wù)、校校通服務(wù)、網(wǎng)上學(xué)習(xí)等。然而在開放式網(wǎng)絡(luò)環(huán)境下,校園網(wǎng)絡(luò)的使用過程中面臨著各種各樣的安全隱患,一方面,由于使用校園網(wǎng)絡(luò)最多的是學(xué)生和教師,學(xué)生對于網(wǎng)絡(luò)這樣的新鮮事物非常感興趣,可能會下載一些黑客軟件或帶有病毒的軟件,從而破壞校園網(wǎng)絡(luò)系統(tǒng),加之學(xué)生不懂得愛惜,對于暴露在外界的網(wǎng)絡(luò)設(shè)備造成一定破壞,據(jù)統(tǒng)計,80%的校園網(wǎng)絡(luò)的攻擊都來自于校園網(wǎng)內(nèi)部[1];另一方面,來自外部的網(wǎng)絡(luò)用戶對IP地址的盜用、黑客攻擊、病毒攻擊、系統(tǒng)漏洞、信息泄露等方面的隱患也會對校園網(wǎng)絡(luò)造成破壞。綜上所述,校園網(wǎng)絡(luò)的安全問題既有內(nèi)部因素,也有外部攻擊。因此,如何在現(xiàn)有條件下,充分應(yīng)用各種安全技術(shù),有效的加強、鞏固校園網(wǎng)絡(luò)安全問題非常重要。通過筆者在昌吉市一中網(wǎng)絡(luò)中心實習(xí)的經(jīng)歷,發(fā)現(xiàn)昌吉市一中校園網(wǎng)絡(luò)原有方案只是簡單地采用防火墻等有限措施來保護網(wǎng)絡(luò)安全。防火墻是屬于靜態(tài)安全技術(shù)范疇的外圍保護,需要人工實施和維護,不能主動跟蹤入侵者。而管理員無法了解網(wǎng)絡(luò)的漏洞和可能發(fā)生的攻擊,嚴重的影響的正常的教學(xué)工作。因此針對中學(xué)校園網(wǎng)絡(luò)安全的防護更不容輕視。[2-3]
1.2選題意義
校園網(wǎng)絡(luò)的安全建設(shè)極其重要,源于校園網(wǎng)一方面為各個學(xué)校提供各種本地網(wǎng)絡(luò)基礎(chǔ)性應(yīng)用,另一方面它也是溝通學(xué)校校園網(wǎng)絡(luò)內(nèi)部和外部網(wǎng)絡(luò)的一座橋梁。校園網(wǎng)絡(luò)應(yīng)用遍及學(xué)校的各個角落,為師生提供了大量的數(shù)據(jù)資源,方便了師生網(wǎng)上教學(xué)、交流、專題討論等活動,為教學(xué)和科研提供了很好的平臺,因此存在安全隱患的校園網(wǎng)絡(luò)對學(xué)校的教學(xué)、科研和辦公管理都會造成嚴重的影響。根據(jù)學(xué)校的不同性質(zhì),保證網(wǎng)絡(luò)穩(wěn)定、安全和高效運行是校園網(wǎng)絡(luò)建設(shè)的首要任務(wù)。因此做好校園網(wǎng)絡(luò)安全的防護及相應(yīng)對策至關(guān)重要,即本論文選題意義。[4]
2、國內(nèi)外研究狀況
2.1國外網(wǎng)絡(luò)安全現(xiàn)狀
由于筆者查閱文獻資料的有限性,沒有查到國外校園網(wǎng)絡(luò)安全現(xiàn)狀的資料,因此針對國外所采取的網(wǎng)絡(luò)安全措施進行如下概述:
(1)法律法規(guī)的制定。近年來,世界各國紛紛意識到網(wǎng)絡(luò)安全與信息安全的重要性,并制定相關(guān)的法律法規(guī)規(guī)范廣大網(wǎng)絡(luò)用戶的行為。美國、俄羅斯、英國、日本、法國等其他許多國家都相繼成立國家級信息安全機構(gòu),完善網(wǎng)絡(luò)防護管理體制,采取國家行為強化信息安全建設(shè)。
(2)網(wǎng)絡(luò)防護應(yīng)急反應(yīng)機制的建立。面對網(wǎng)絡(luò)反恐、黑客、信息的泄露、網(wǎng)絡(luò)入侵、計算機病毒及各類蠕蟲木馬病毒等一系列網(wǎng)絡(luò)危機,世界各國通過建立網(wǎng)絡(luò)防護應(yīng)急反應(yīng)機制。分別從防火墻技術(shù)、入侵檢測系統(tǒng)、漏洞掃描、防查殺技術(shù)等傳統(tǒng)的安全產(chǎn)品方面入手,防止各種安全風(fēng)險,并加快網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的發(fā)展和更新.動態(tài)提升網(wǎng)絡(luò)安全技術(shù)水平。
綜上所述,網(wǎng)絡(luò)安全的問題將隨著技術(shù)的不斷發(fā)展越來越受到重視。然而,網(wǎng)絡(luò)技術(shù)不斷發(fā)展的今天,網(wǎng)絡(luò)安全問題只能相對防御,卻無法真正的達到制止。[5-7]
2.2國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀
由于我國在網(wǎng)絡(luò)安全技術(shù)方面起步比其他信息發(fā)達國家晚,發(fā)展時間較短,技術(shù)不夠純熟,面對各種網(wǎng)絡(luò)安全問題有些應(yīng)接不暇,主要是由于自主的計算機網(wǎng)絡(luò)核心技術(shù)和軟件缺乏,信息安全的意識較為淺薄,不少事企單位沒有建立相應(yīng)的網(wǎng)絡(luò)安全防范機制以及網(wǎng)絡(luò)安全管理的人才嚴重缺乏,無法跟上網(wǎng)絡(luò)的飛速發(fā)展。面對這一系列的問題,我國通過制定政策法規(guī),如GB/T18336一2001(《信息技術(shù)安全性評估準(zhǔn)則》)、GJB2646一96(《軍用計算機安全評估準(zhǔn)則》等來規(guī)范網(wǎng)絡(luò)用戶的使用,還通過技術(shù)方面的措施進行防護,如加密認證、數(shù)字簽名、訪問控制列表、數(shù)據(jù)完整性、業(yè)務(wù)流填充等措施進行網(wǎng)絡(luò)安全的維護。然而通過技術(shù)措施進行網(wǎng)絡(luò)維護的過程中,網(wǎng)絡(luò)管理員對技術(shù)的偏好和運營意識的不足,普遍都存在“重技術(shù)、輕安全、輕管理”的傾向,致使在管理、維護網(wǎng)絡(luò)安全方面還有很大的漏洞。[5]國內(nèi)網(wǎng)絡(luò)安全整體的現(xiàn)狀如上所述,通過大量文獻的閱讀,發(fā)現(xiàn)數(shù)據(jù)信息危害和網(wǎng)絡(luò)設(shè)備危害是校園網(wǎng)絡(luò)安全現(xiàn)在主要面臨的兩大問題,主要威脅有病毒的傳播與攻擊、黑客的入侵、信息的篡改等一系列安全隱患,通過采取加密認證、訪問控制技術(shù)、防火墻、漏洞掃描等措施進行防護。[3]中學(xué)校園網(wǎng)絡(luò)管理者如何保證校園網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個中學(xué)校園不可回避的問題,并且逐漸引起了各方面的重視。[8-10]
3、本選題的研究目標(biāo)及內(nèi)容創(chuàng)新點:
3.1研究目標(biāo):
本文在對當(dāng)前校園網(wǎng)絡(luò)面臨的各類安全問題進行詳細分析的基礎(chǔ)上,深入、系統(tǒng)的探討了目前常用的各種網(wǎng)絡(luò)安全技術(shù)的功能以及優(yōu)缺點,并以昌吉市一中等中學(xué)校園網(wǎng)絡(luò)為研究對象,分別從中學(xué)校園網(wǎng)絡(luò)的物理因素、技術(shù)因素、管理因素等角度分析威脅校園網(wǎng)絡(luò)安全的因素,并結(jié)合昌吉市一中校園網(wǎng)絡(luò)現(xiàn)有的條件,分別從設(shè)備管理、技術(shù)提供、管理人員意識等方面充分應(yīng)用各種安全技術(shù),有效加強、鞏固校園網(wǎng)絡(luò)安全,提出解決網(wǎng)絡(luò)安全問題的策略及防范措施。從而綜合利用各種網(wǎng)絡(luò)安全技術(shù)保障本校的校園網(wǎng)絡(luò)的安全、穩(wěn)定、高效運行。
3.2內(nèi)容創(chuàng)新點:
(1)通過對昌吉市一中的校園網(wǎng)絡(luò)進行分析,并結(jié)合文獻資料參考其他中學(xué)校園網(wǎng)絡(luò)安全的問題,總結(jié)出中學(xué)校園網(wǎng)絡(luò)安全存在常見的安全隱患,并制定出針對中學(xué)校園網(wǎng)絡(luò)隱患所采取的防范措施。
(2)將制定出的網(wǎng)絡(luò)安全防范措施運用于昌吉市一中校園網(wǎng)絡(luò),制定出真正合理的、恰當(dāng)?shù)摹⑦m合現(xiàn)有條件的網(wǎng)絡(luò)安全防范措施,并對昌吉市一中的校園網(wǎng)絡(luò)進行展望,使得校園網(wǎng)絡(luò)可持續(xù)發(fā)展。
參考文獻
[1]段海新.CERNET校園網(wǎng)安全問題分析與對策[J].中國教育網(wǎng)絡(luò),2005.03
[2]袁修春.校園網(wǎng)安全防范體系.[D].西北師范大學(xué).計算機應(yīng)用技術(shù).2005,5
[3]鐘平.校園網(wǎng)安全技術(shù)防范研究[D].廣東.廣東工業(yè)大學(xué).2007,4:3
[4]蔡新春.校園網(wǎng)安全防范技術(shù)的研究與實現(xiàn)[D].軟件工程2009,4
[5]董鈺.基于校園網(wǎng)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)研究與設(shè)計[D].山東.計算機軟件與理論.2005,5:11-12
[6]王先國.校園網(wǎng)絡(luò)安全系統(tǒng)的研究與設(shè)計.[D].南京.計算機技術(shù).2009.12
[7]定吉安.常用網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用研究[D].山東.計算機軟件與理論.2011,4
[8]顧潤龍.影響校園網(wǎng)絡(luò)安全的主要因素及防范措施.[J].咸寧學(xué)院學(xué)報.2012,9(32):155-156
[9]張伯江.國外信息安全發(fā)展動向[J].信息安全動態(tài),2002,8(7):36-38
[10]譚耀遠.新世紀(jì)中國信息安全問題研究.[D].大連.大連海事大學(xué).2011,6
一、采用的研究方法及手段(1、內(nèi)容包括:選題的研究方法、手段及實驗方案的可行性分析和已具備的實驗條件等。2、撰寫要求:宋體、小四號。)
1、文獻研究法:查找文獻資料時借助圖書館及網(wǎng)絡(luò),搜集、鑒別、整理文獻。從前人的研究中得出對我們的研究有價值的觀點與例證。本研究采用文獻研究法的目的:
(1)查取大量校園網(wǎng)絡(luò)安全問題常見的問題,結(jié)合昌吉市一中的校園網(wǎng)絡(luò)現(xiàn)狀進行分析。
(2)對國內(nèi)外的網(wǎng)絡(luò)安全防范措施進行分析,選擇適合昌吉市一中校園網(wǎng)絡(luò)安全所應(yīng)對的策略。
2.訪談法:通過與昌吉市一中網(wǎng)絡(luò)信息中心的教師交流探討,以訪談的形式了解昌吉市一中校園網(wǎng)絡(luò)的現(xiàn)狀。
論文的框架結(jié)構(gòu)(宋體、小四號)
第一章:緒論
第二章:影響中學(xué)校園網(wǎng)絡(luò)安全的因素
第三章:常用的校園網(wǎng)絡(luò)安全技術(shù)
第四章:校園網(wǎng)絡(luò)安全建設(shè)
-----以昌吉市一中校園網(wǎng)絡(luò)安全體系需求分析及設(shè)計
第五章:總結(jié)和展望。
論文寫作的階段計劃(宋體、小四號)
第一階段:20xx.10.1—20xx.11.20選定論文題目,學(xué)習(xí)論文寫作方法及注意項;
第二階段:20xx.11.20—20xx.12.25與孫老師見面,在孫教師的指導(dǎo)下,搜集材料閱讀有關(guān)文獻資料,按照開題報告的格式和要求完成《昌吉學(xué)院本科畢業(yè)論文(設(shè)計)開題報告》的撰寫;
第三階段:20xx.12.26—20xx.1.3寫出開題報告,并與指導(dǎo)教師充分溝通,做好開題報告答辯準(zhǔn)備;
第四階段:20xx.1.5—20xx.1.13開題報告論證答辯;
第五階段:20xx.1.17—20xx.3.25在指導(dǎo)教師指導(dǎo)下,開始畢業(yè)論文的寫作,至3月25日完成初稿交指導(dǎo)教師;
第六階段:20xx.3.25—20xx.3.31寫出中期報告書,接受中期檢查。并根據(jù)指導(dǎo)教師建議完成初稿的修改;
第七階段:20xx.4.1—20xx.4.10根據(jù)指導(dǎo)教師建議完成二稿的修改;
第八階段:20xx.4.11—20xx.4.20根據(jù)指導(dǎo)教師建議完成三稿的修改;
篇7
1.2計算機病毒安全問題
計算機一旦受到病毒的入侵,將會出現(xiàn)嚴重的運行問題,如系統(tǒng)癱瘓、傳輸數(shù)據(jù)失真以及數(shù)據(jù)庫信息丟失等。計算機病毒具有典型的潛伏性、傳染性、隱蔽性和破環(huán)性,目前,計算機病毒種類主要有以下四種:第一,木馬病毒。該類病毒的主要目的是竊取計算機上的數(shù)據(jù)信息,具有典型的誘騙性;第二,蠕蟲病毒。熊貓燒香是該類病毒的典型代表,以用戶計算機上出現(xiàn)的漏洞為切入點,綜合使用攻擊計算機終端的方式控制計算機系統(tǒng),該病毒具有較強的傳播性和變異性;第三,腳本病毒。該病毒主要發(fā)生在互聯(lián)網(wǎng)網(wǎng)頁位置;第四,間諜病毒。要想提升某網(wǎng)頁的訪問量,強制要求計算機用戶主頁預(yù)期鏈接。伴隨著科技的發(fā)展,計算機網(wǎng)絡(luò)應(yīng)用范圍不斷擴大,各種類型病毒的破壞性也隨之增加。
1.3黑客
通過網(wǎng)絡(luò)攻擊計算機目前,我國仍存在著大量非法人員對計算機系統(tǒng)進行攻擊等行為,這類人員大都掌握著扎實的計算機和計算機安全漏洞技術(shù),對計算機用戶終端與網(wǎng)絡(luò)做出強有力的破壞行為是他們的主要目的。黑客攻擊計算機網(wǎng)絡(luò)的主要形式有三種:第一,利用虛假的信息攻擊網(wǎng)絡(luò);第二,利用木馬或者病毒程序?qū)τ嬎銠C用戶的電腦進行控制;第三,結(jié)合計算機用戶瀏覽網(wǎng)頁的腳本漏洞對其進行攻擊。
2計算機網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中的應(yīng)用
2.1防火墻技術(shù)
防護墻技術(shù)是計算機網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的主要表現(xiàn)形式之一。防火墻技術(shù)的應(yīng)用能夠從根本上解決計算機病毒安全問題,在實際應(yīng)用過程中,計算機網(wǎng)絡(luò)安全中心的防火墻技術(shù)被分為應(yīng)用級防火墻和包過濾防火墻兩種形式。其中應(yīng)用型防護墻的主要目的是保護服務(wù)器的安全,在掃描終端服務(wù)器的數(shù)據(jù)后,如果發(fā)現(xiàn)有意或者不合常理等攻擊行為,系統(tǒng)應(yīng)該及時切斷服務(wù)器與內(nèi)網(wǎng)服務(wù)器之間的交流,采用終端病毒傳播的方式保護企業(yè)網(wǎng)的安全。包過濾防火墻的主要工作任務(wù)是及時過濾路由器傳輸給計算機的數(shù)據(jù)信息,這種過濾手段可以阻擋病毒信息入侵計算機系統(tǒng),并第一時間內(nèi)通知用戶攔截病毒信息,為提高企業(yè)網(wǎng)的安全性提供技術(shù)保障。下圖1是企業(yè)網(wǎng)防護墻配置示意圖。Intranet周邊網(wǎng)絡(luò)InternetInternet防火墻周邊防火墻內(nèi)部網(wǎng)絡(luò)服外部網(wǎng)絡(luò)務(wù)器服務(wù)器圖1防火墻配置
2.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是計算機網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的另一種表現(xiàn)形式。在企業(yè)發(fā)展建設(shè)過程中,要想提高企業(yè)發(fā)展信息的安全性和可靠性,企業(yè)必須在實際運行的計算機網(wǎng)絡(luò)中綜合使用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)要求將企業(yè)網(wǎng)內(nèi)的相關(guān)數(shù)據(jù)進行加密處理,在傳輸和接收數(shù)據(jù)信息的過程中必須輸入正確的密碼才能打開相關(guān)文件,這為提高企業(yè)信息的安全性提供了技術(shù)保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種,其中對稱加密算法中使用的加密和加密信息保持一致,非對稱加密算法中加密方法和解密方法存在較大的差異,通常很難被黑客破解,這兩種加密形式在企業(yè)網(wǎng)中均得到了廣泛應(yīng)用。
2.3病毒查殺技術(shù)
病毒查殺技術(shù)是計算機網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的表現(xiàn)形式之一。病毒對計算機安全有極大的威脅,該技術(shù)要求企業(yè)技術(shù)對計算機操作系統(tǒng)進行檢測和更新,減少系統(tǒng)出現(xiàn)漏洞的頻率;杜絕用戶在不經(jīng)允許的情況下私自下載不正規(guī)的軟件;安裝正版病毒查殺軟件的過程中還應(yīng)該及時清理病毒數(shù)據(jù)庫;控制用戶瀏覽不文明的網(wǎng)頁;在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理,確定文件的安全性后才能投入使用。
2.4入侵檢測技術(shù)
入侵檢測技術(shù)在企業(yè)網(wǎng)安全運行中發(fā)揮著至關(guān)重要的作用,其作用主要表現(xiàn)在以下幾方面:第一,收集計算機操作系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及相關(guān)應(yīng)用程序中存在的信息數(shù)據(jù);第二,找尋計算機系統(tǒng)中可能存在的侵害行為;第三,自動發(fā)出病毒侵害報警信號;第四,切斷入侵途徑;第五,攔截入侵。入侵檢測技術(shù)在企業(yè)網(wǎng)中的應(yīng)用具有較強的安全性特征,該技術(shù)的主要任務(wù)是負責(zé)監(jiān)視企業(yè)網(wǎng)絡(luò)運行狀況,對網(wǎng)絡(luò)的正常運行不會產(chǎn)生任何影響。入侵檢測技術(shù)使用的網(wǎng)絡(luò)系統(tǒng)以基于主機系統(tǒng)和基于網(wǎng)絡(luò)的入侵系統(tǒng)為主。基于主機系統(tǒng)的入侵檢測技術(shù)主要針對企業(yè)網(wǎng)的主機系統(tǒng)、歷史審計數(shù)據(jù)和用戶的系統(tǒng)日志等,該檢測技術(shù)具有極高的準(zhǔn)確性,但是,實際檢測過程中很容易引發(fā)各種問題,如數(shù)據(jù)失真和檢測漏洞等;基于網(wǎng)絡(luò)入侵檢測技術(shù)以其自身存在的特點為依據(jù),以網(wǎng)絡(luò)收集的相關(guān)數(shù)據(jù)信息為手段,在第一時間將入侵分析模塊里做出的測定結(jié)果發(fā)送給網(wǎng)絡(luò)管理人,該技術(shù)具有較強的抗攻擊能力、能在短時間內(nèi)做出有效的檢測,但是,由于該技術(shù)能對網(wǎng)絡(luò)數(shù)據(jù)包的變化狀況進行監(jiān)控,在實際過程中會給加密技術(shù)帶來一定程度影響。入侵檢測技術(shù)在企業(yè)網(wǎng)的應(yīng)用過程中通常表現(xiàn)為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經(jīng)確定的入侵模式為主,在實際檢測過程中,該檢測方法具有響應(yīng)速度快和誤警率低等特點,但是,該檢測技術(shù)需要較長的檢測時間為支撐,實際耗費的工作量比較大。異常檢測的主要對象是計算機資源中用戶和系統(tǒng)非正常行為和正常行為情況,該檢測法誤警率較高,在實際檢測過程中必須對整個計算機系統(tǒng)進行全盤掃描,因此,必須有大量的檢測時間作支撐。
篇8
1.2完整性
網(wǎng)絡(luò)系統(tǒng)的完整性是指網(wǎng)絡(luò)信息在傳輸過程中不能因為任何原因,發(fā)生網(wǎng)絡(luò)信摻入、重放、偽造、修改、刪除等破壞現(xiàn)象[1],影響網(wǎng)絡(luò)信息的完整性。通過信息攻擊、網(wǎng)絡(luò)病毒、人為攻擊、誤碼、設(shè)備故障等原因都會造成網(wǎng)絡(luò)信息完整性的破壞。
1.3保密性
網(wǎng)絡(luò)系統(tǒng)的保密性是指網(wǎng)絡(luò)系統(tǒng)要保證用戶信息不能發(fā)生泄露,主要體現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的可用性和可靠性,是網(wǎng)絡(luò)系統(tǒng)安全的重要指標(biāo)。保密性不同于完整性,完整性強調(diào)的是網(wǎng)絡(luò)信息不能被破壞,保密性是指防止網(wǎng)絡(luò)信息的發(fā)生泄露[2]。
1.4真實性
網(wǎng)絡(luò)系統(tǒng)的真實性是指網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)系統(tǒng)操作的不可抵賴性,任何用戶都不能抵賴或者否定曾經(jīng)對網(wǎng)絡(luò)系統(tǒng)的承諾和操作。
1.5可靠性
網(wǎng)絡(luò)系統(tǒng)的可靠性是指系統(tǒng)的安全穩(wěn)定運行,網(wǎng)絡(luò)系統(tǒng)要在一定的時間和條件下穩(wěn)定的完成網(wǎng)絡(luò)用戶指定的任務(wù)和功能,網(wǎng)絡(luò)系統(tǒng)的可靠性是網(wǎng)絡(luò)安全最基本的要求。
1.6可控性
網(wǎng)絡(luò)系統(tǒng)的可控性是指網(wǎng)絡(luò)系統(tǒng)可以控制和調(diào)整網(wǎng)絡(luò)信息傳播方式和傳播內(nèi)容的能力,為了保障國家和廣大人民的利益,為正常的社會管理秩序,網(wǎng)絡(luò)系統(tǒng)管理者有必要對網(wǎng)絡(luò)信息進行適當(dāng)?shù)谋O(jiān)督和控制,避免外地侵犯和社會犯罪,維護網(wǎng)絡(luò)安全。
2網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用
2.1防火墻
防火墻是指管理校園網(wǎng)和外界互聯(lián)網(wǎng)之間用戶訪問權(quán)限的軟件和硬件的組合設(shè)備[3],防火墻處于校園網(wǎng)和外界互聯(lián)網(wǎng)之間的通道中,能夠有效地阻斷來自外界的病毒和非法訪問,能夠有效地提高校園網(wǎng)的網(wǎng)絡(luò)安全。防火墻可以有效攔截來自外界的不安全的訪問服務(wù),同時還可以對防火墻進行設(shè)置,屏蔽有危害、不健康的網(wǎng)絡(luò)網(wǎng)站,降低校園網(wǎng)的安全危害。另外防火墻還可以有效地監(jiān)控用戶對校園網(wǎng)的訪問,記錄用戶的訪問記錄,保存到網(wǎng)絡(luò)數(shù)據(jù)庫中,可以快速統(tǒng)計校園網(wǎng)的使用情況,在分析用戶訪問記錄如果發(fā)現(xiàn)用戶的操作存在安全問題,防火墻可以及時發(fā)出報警信號,提醒用戶的這個非法操作,防止校園網(wǎng)內(nèi)部信息的泄露、另外,防火墻可以和NAT技術(shù)高效地結(jié)合起來,用于隱藏校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)信息,提高校園網(wǎng)的安全系數(shù),同時防火墻和NAT技術(shù)的高效結(jié)合很好地解決了校園網(wǎng)IP不足的情況,提高了校園網(wǎng)的運行效率。防火墻在校園網(wǎng)中的應(yīng)用,完善了校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)隔斷,即使校園網(wǎng)發(fā)生安全問題,也可以在短時間內(nèi)控制問題擴散的速度和范圍。防火墻在校園網(wǎng)中發(fā)揮著重要的作用,能夠有效地阻斷來自外界互聯(lián)網(wǎng)的安全侵害,但是防火墻不能阻止校園網(wǎng)內(nèi)部的安全問題,不能拒絕和控制校園網(wǎng)內(nèi)部的感染病毒。
2.2VPN技術(shù)
VPN技術(shù)在校園網(wǎng)的應(yīng)用,通過VPN設(shè)備將校內(nèi)局域網(wǎng)和外部的互聯(lián)網(wǎng)連接起來,可以提高校園網(wǎng)的數(shù)據(jù)安全。VPN服務(wù)器經(jīng)過設(shè)置后,只有符合相應(yīng)條件的用戶經(jīng)過連接VPN服務(wù)器才能獲得訪問特定網(wǎng)絡(luò)信息的權(quán)限,拒絕校園網(wǎng)內(nèi)用戶的危險操作。VPN技術(shù)可以實現(xiàn)用戶驗證,通過驗證校內(nèi)網(wǎng)用戶的身份,只有符合條件的授權(quán)用戶才能連接到VPN服務(wù)器,進行相關(guān)訪問。其次實現(xiàn)校園網(wǎng)數(shù)據(jù)加密,VPN技術(shù)可以將通過互聯(lián)網(wǎng)通道傳輸?shù)臄?shù)據(jù)進行加密,只有經(jīng)過授權(quán)的用戶才能訪問這些信息。再次實現(xiàn)校園網(wǎng)密鑰管理,通過生成校園網(wǎng)和互聯(lián)網(wǎng)的基本協(xié)議,提高校園網(wǎng)的可靠性。并且VPN技術(shù)在校園網(wǎng)中的應(yīng)用不需要安裝VPN的客戶端設(shè)備,降低了校園網(wǎng)安全管理的成本。通過VPN技術(shù),校園網(wǎng)絡(luò)管理員可以對校園網(wǎng)內(nèi)用戶的操作進行實時監(jiān)控,及時發(fā)現(xiàn)校園網(wǎng)絡(luò)故障點,進行遠程維護,提高校園網(wǎng)維護管理能力。
2.3入侵檢測技術(shù)
入侵檢測技術(shù)在校園網(wǎng)中的應(yīng)用,可以檢測校園網(wǎng)絡(luò)中一些不安全的網(wǎng)絡(luò)操作行為,一旦檢測到網(wǎng)絡(luò)系統(tǒng)中的一些異常現(xiàn)象和未授權(quán)的網(wǎng)絡(luò)操作,就會發(fā)出網(wǎng)絡(luò)報警信號。入侵檢測技術(shù)可以自動分析校園網(wǎng)絡(luò)的用戶活動,檢測出校園網(wǎng)中授權(quán)用戶的非法使用和未授權(quán)用戶的越權(quán)使用[4]。入侵檢測技術(shù)還可以監(jiān)控校園網(wǎng)絡(luò)系統(tǒng)的配置情況,檢測出系統(tǒng)安全漏洞,提醒校園網(wǎng)絡(luò)管理人員及時進行維護。另外,入侵檢測技術(shù)在識別網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)威脅方面具有重要的作用,可以及時發(fā)出報警信號,并且拒絕和處理網(wǎng)絡(luò)攻擊入侵行為,結(jié)合發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊模式,檢測校園網(wǎng)系統(tǒng)結(jié)構(gòu)是否存在安全漏洞,提高校園網(wǎng)的數(shù)據(jù)完整性,進行系統(tǒng)評估。
2.4訪問控制技術(shù)
訪問控制技術(shù)主要是用來控制校園網(wǎng)用戶的非法訪問和非法操作,用戶想要進入校園網(wǎng),首先要通過訪問控制,經(jīng)過驗證識別用用戶口令、戶名、密碼等,確定該用戶是否具有訪問校園網(wǎng)的權(quán)限,當(dāng)用戶進入校園網(wǎng)后,就會賦予用戶訪問操作權(quán)限,使校園網(wǎng)絡(luò)資源不會被未授權(quán)用戶非法使用和非法訪問。
2.5網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)
校園網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù),可以防止校園網(wǎng)信息數(shù)據(jù)丟失,保護校園網(wǎng)重要信息資源。網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)可以實現(xiàn)集中式的網(wǎng)絡(luò)信息資源管理,對整個校園網(wǎng)系統(tǒng)中的信息資源進行備份管理,可以極大地提高校園網(wǎng)管理員的工作效率,實現(xiàn)網(wǎng)絡(luò)資源的統(tǒng)一管理,利用網(wǎng)絡(luò)備份設(shè)備實時監(jiān)控校園網(wǎng)絡(luò)中的備份作業(yè),結(jié)合校園網(wǎng)的運行情況,及時修改網(wǎng)絡(luò)備份策略[5],提高系統(tǒng)備份效率。校園網(wǎng)管理員可以利用網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù),定時對網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)進行備份,這是網(wǎng)絡(luò)管理重要環(huán)節(jié)。校園網(wǎng)的備份系統(tǒng)可以在用戶進行校園網(wǎng)訪問時,建立在線網(wǎng)絡(luò)索引,當(dāng)用戶需要恢復(fù)網(wǎng)絡(luò)信息時,通過在線網(wǎng)絡(luò)索引中的備份系統(tǒng)就可以自動恢復(fù)網(wǎng)絡(luò)數(shù)據(jù)文件。網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)實現(xiàn)了校園網(wǎng)絡(luò)的歸檔管理,通過時間定期和項目管理對網(wǎng)絡(luò)信息數(shù)據(jù)進行歸檔管理,在網(wǎng)絡(luò)環(huán)境建立統(tǒng)一的數(shù)據(jù)備份和儲存格式,使所有網(wǎng)絡(luò)信息數(shù)據(jù)在統(tǒng)一格式中完成長時間的保存[6]。
2.6災(zāi)難恢復(fù)技術(shù)
校園網(wǎng)中的災(zāi)難恢復(fù)主要包括兩類:個別數(shù)據(jù)文件的恢復(fù)和所有信息數(shù)據(jù)的恢復(fù)。當(dāng)校園網(wǎng)中的個別數(shù)據(jù)文件恢復(fù)可以利用網(wǎng)絡(luò)中備份系統(tǒng)完成個別受損數(shù)據(jù)文件的恢復(fù),校園網(wǎng)絡(luò)管理員可以瀏覽目錄或者數(shù)據(jù)庫,觸動受損數(shù)據(jù)文件的恢復(fù)功能,系統(tǒng)會自動加載存儲軟件,恢復(fù)受損文件。所有信息數(shù)據(jù)的恢復(fù)主要應(yīng)用在當(dāng)發(fā)生意外災(zāi)難時導(dǎo)致整個校園網(wǎng)系統(tǒng)重組、系統(tǒng)升級、系統(tǒng)崩潰和信息數(shù)據(jù)丟失等情況。
篇9
1.2計算機軟件漏洞
在長久的軟件應(yīng)用過程中,發(fā)現(xiàn)了許多漏洞,使得軟件在使用過程中的安全性降低。這些缺陷是在軟件開發(fā)編程時經(jīng)過無數(shù)次的修改測試,仍然無法解決的問題。軟件帶著這些無法解決的遺留問題流入市場,被大家廣泛應(yīng)用,在享受這些軟件帶給大家生活樂趣的同時,有一些黑客會懷著惡意破壞的心里,利用這些漏洞,對網(wǎng)絡(luò)進行破壞。有的也可能因為軟件本身的漏洞太大,而直接自身成為計算機的一種安全威脅。
1.3計算機的配置不當(dāng)
在普遍利用網(wǎng)絡(luò)工作和生活的今天,有很多人,因為對于網(wǎng)絡(luò)的認識只是表面的皮層認知,致使在使用過程中,給計算機配置不當(dāng)?shù)木W(wǎng)絡(luò)安全設(shè)置,例如有的防火墻就是不能很好的起到防護的作用是形同虛設(shè)的,這樣就會在無意識中加大計算機的危險性,可能會引起不必要的安全性問題。
1.4使用者的安全意識薄弱
網(wǎng)絡(luò)安全問題除了上述一些客觀因素和主管專業(yè)性不強之外,還有一個很重要的因素是使用者沒有相應(yīng)的網(wǎng)絡(luò)安全意識,不懂得網(wǎng)絡(luò)和實際的生活一樣,同樣是需要大家提高警惕,在網(wǎng)絡(luò)上與他人分享私人的信息,還有應(yīng)用軟件時輸入一些信息口令,在大家無意識的做這些事情的同時,可能一些非法人事已經(jīng)盜取了我們的信息,致使我們不必要的財產(chǎn)損失。
2網(wǎng)絡(luò)的安全技術(shù)
既然網(wǎng)絡(luò)上有諸多的安全問題,相對應(yīng)的就會有解決的辦法,下面就一一談?wù)勆鲜鰡栴}的安全技術(shù)解決方案。
2.1入侵技術(shù)檢測
入侵檢測是指,通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進行操作,檢測到對系統(tǒng)的闖入或闖入的企圖。是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。就像一個監(jiān)控器一樣對不安全因素有實時監(jiān)控的作用,可以快速及時的預(yù)防不安全因素對網(wǎng)絡(luò)產(chǎn)生的破壞。
2.2殺毒軟件應(yīng)用
既然計算機病毒的出現(xiàn),就有殺毒軟件的應(yīng)運而生。殺毒軟件在大多數(shù)網(wǎng)絡(luò)用戶的計算機上都屬于常用軟件,人們使用起來都是比較方便快捷操作簡單的,但正因如此,其殺毒的功能有限,只能針對于一些小型用戶的普通病毒進行查殺,并不能很好的解決網(wǎng)絡(luò)安全的問題,尤其是在電子商務(wù)飛速發(fā)展的今天,殺毒軟件并不能很好的對網(wǎng)絡(luò)起到保護性的作用。這就要求軟件開發(fā)者不斷的技術(shù)革新,研發(fā)出更適合現(xiàn)代網(wǎng)絡(luò)的殺毒軟件。
2.3防火墻安全技術(shù)
防火墻技術(shù),最初是針對網(wǎng)絡(luò)不安全因素采取的一種保護措施。顧名思義,防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障,其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。對于個人來說使用軟件防火墻,就可以很有效的解決平時遇到的網(wǎng)絡(luò)安全相關(guān)問題。防火墻可以對黑客起到很好的防護作用,但也并不是完全的抵御,要想實現(xiàn)真正的良好的環(huán)境,還應(yīng)有其他的防護措施來保護網(wǎng)絡(luò)的安全。
2.4數(shù)據(jù)加密安全技術(shù)
數(shù)據(jù)加密技術(shù)是指通過特定的網(wǎng)絡(luò)密鑰才能解開計算機,從而獲得計算機的數(shù)據(jù)。通俗意義上說,就是給我們比較重要的數(shù)據(jù)加個私人密碼,讓外人在非指定的機器,沒有密碼的前提下無法獲得我們的信息,從而對我們的數(shù)據(jù)起到一個保護的作用。而高級的密碼也可以抵御黑客和病毒的入侵,使得我們的計算機網(wǎng)絡(luò)處于一個相對安全的環(huán)境下,保證我們的良好網(wǎng)絡(luò)環(huán)境。
篇10
1.3虛擬網(wǎng)絡(luò)技術(shù)在遠程員工和企業(yè)網(wǎng)之間的應(yīng)用虛擬網(wǎng)絡(luò)技術(shù)把企業(yè)總部當(dāng)做是虛擬專用網(wǎng)的中心連接點,在企業(yè)的內(nèi)部設(shè)置具有網(wǎng)絡(luò)虛擬功能的防火墻,該防火墻被當(dāng)做是企業(yè)的計算機網(wǎng)絡(luò)的出口的網(wǎng)關(guān)。這樣,移動的業(yè)務(wù)網(wǎng)點和辦公用戶要想進入防火墻設(shè)備中,就必須通過虛擬網(wǎng)絡(luò)客戶端進行登陸。通過這種方式,就大大提高了計算機網(wǎng)絡(luò)的安全。由于這種方式是通過讓采購人員和企業(yè)銷售人員一起在企業(yè)系統(tǒng)中傳入信息來實現(xiàn)遠程員工和其他企業(yè)間的信息和資源共享。所以,這種虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用又被稱為遠程訪問式虛擬網(wǎng)絡(luò)技術(shù)。它在具有相當(dāng)高的安全性的同時還具有低成本的優(yōu)勢。
1.4虛擬網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息中的應(yīng)用隨著我國經(jīng)濟和企業(yè)的快速發(fā)展,當(dāng)前傳統(tǒng)的計算機安全管理模式已經(jīng)不能滿足企業(yè)的發(fā)展需求。所以,在計算機網(wǎng)絡(luò)安全的管理中,要精簡細化企業(yè)的信息化管理,將企業(yè)各部門的信息管理系統(tǒng)達到有機地連接,打破傳統(tǒng)的企業(yè)信息化掛忙碌的空間限制,使企業(yè)管路信息同步化的目標(biāo)得到實現(xiàn)。通過對虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用,使得信息通路更加寬廣,打破了傳統(tǒng)空間的約束,企業(yè)的信息化管理也能夠更加有效。安全地進行。
2虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用效果和發(fā)展前景
在計算機網(wǎng)絡(luò)安全中,虛擬網(wǎng)絡(luò)技術(shù)通過對企業(yè)信息化和寬帶技術(shù)的結(jié)合,使得企業(yè)的信息和資源的安全得到了最大程度上的保證,也使得虛擬網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)的安全中發(fā)揮了巨大的作用。隨著寬帶技術(shù)和企業(yè)信息化的不斷發(fā)展,虛擬網(wǎng)絡(luò)技術(shù)憑借著自身的優(yōu)點也擁有了相當(dāng)大的發(fā)展空間。隨著虛擬網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和成熟,虛擬網(wǎng)絡(luò)技術(shù)的安全性、穩(wěn)定性和可靠性也不斷得到提升。在計算機網(wǎng)絡(luò)安全中,虛擬網(wǎng)絡(luò)技術(shù)已經(jīng)不可獲缺,并且隨著我國電信行業(yè)的低迷,虛擬網(wǎng)絡(luò)技術(shù)已經(jīng)成為了新興產(chǎn)業(yè)的亮點。現(xiàn)如今,虛擬網(wǎng)絡(luò)技術(shù)在市場上所占據(jù)的市場份額不斷上升。虛擬網(wǎng)絡(luò)技術(shù)的產(chǎn)品不斷匯集,在各種虛擬網(wǎng)絡(luò)技術(shù)的產(chǎn)品中,有效結(jié)合防火墻的軟件虛擬網(wǎng)絡(luò)產(chǎn)品和復(fù)合型的虛擬網(wǎng)絡(luò)設(shè)備逐步成為計算機網(wǎng)絡(luò)中的熱點。所以,在相當(dāng)長的時間內(nèi),虛擬網(wǎng)絡(luò)技術(shù)會被廣泛運用到計算機網(wǎng)絡(luò)安全中,并且會成為計算機網(wǎng)絡(luò)安全中的一個新的熱點。
篇11
2使用者自身信息安全意識不強
由于醫(yī)務(wù)工作者自身因素,并沒有經(jīng)過網(wǎng)絡(luò)安全理論知識與技術(shù)的專業(yè)培訓(xùn),網(wǎng)絡(luò)安全意識相對較薄弱。在醫(yī)院局域網(wǎng)內(nèi),工作站計算機未配置光驅(qū)并禁止USB端口,極個別員工將自己的光驅(qū)連接到計算機上,安裝并傳輸一些未經(jīng)檢測并可能攜帶病毒的文件。網(wǎng)絡(luò)中其他客戶端計算機可以通過網(wǎng)絡(luò)共享下載使用該文件,從而導(dǎo)致計算機網(wǎng)絡(luò)安全事件的發(fā)生。與此同時,使用人員存在一定的僥幸依賴心理,認為出現(xiàn)問題也有專人來解決與維護,忽視計算機網(wǎng)絡(luò)安全問題,使得對網(wǎng)絡(luò)的監(jiān)管、檢查、維護困難重重。
3計算機病毒的威脅日益嚴重
隨著網(wǎng)絡(luò)資源的不斷發(fā)展而來的是日漸繁多的網(wǎng)絡(luò)病毒,隨著計算機病毒的不斷擴散,對醫(yī)院計算機網(wǎng)絡(luò)安全工作的進行帶來很大的阻擾。由于對網(wǎng)絡(luò)安全管理及維護的投入較小,網(wǎng)絡(luò)安全管理技術(shù)的相對滯后等原因,導(dǎo)致無法對新型病毒采取相應(yīng)的有效的預(yù)防及應(yīng)對措施,結(jié)果輕者導(dǎo)致占用存儲空間,影響系統(tǒng)效率,重者破壞數(shù)據(jù)完整性,甚至導(dǎo)致整個系統(tǒng)癱瘓。
二加強計算機網(wǎng)絡(luò)安全保護的相關(guān)建議
1完善計算機網(wǎng)絡(luò)安全管理制度
網(wǎng)絡(luò)安全管理依賴于安全有效的技術(shù)措施的同時,也需要有嚴格的制度保障其實現(xiàn)。在日常工作中需要不斷建立及完善網(wǎng)絡(luò)安全管理制度、操作規(guī)程及職責(zé),明確計算機網(wǎng)絡(luò)管理員及操作人員的工作規(guī)范及職責(zé),各工作站的操作規(guī)范,建立合適的獎懲機制,做到計算機網(wǎng)絡(luò)安全制度化管理,認真做好落實和監(jiān)督工作。
2保障做好崗前培訓(xùn)工作
專業(yè)技術(shù)人員需制定詳細的崗前培訓(xùn)工作計劃,對醫(yī)務(wù)工作人員進行規(guī)范化培訓(xùn),使其能明確掌握計算機軟硬件基礎(chǔ)知識及操作技能、醫(yī)療工作中的操作規(guī)范及流程,了解計算機網(wǎng)絡(luò)安全知識。培訓(xùn)人員可以由各科室進行推薦,先組織較年輕,接受力、理解力較強的工作人員先進行培訓(xùn),以起到示范帶教作用,之后再分批次對各科室人員進行整體培訓(xùn),以達到各部門全科室普及的效果。隨著醫(yī)院規(guī)模的不斷發(fā)展和擴大,醫(yī)院網(wǎng)絡(luò)功能應(yīng)用的不斷增加,人員的不斷變化,對操作人員的培訓(xùn)是一個需要長期堅持不間斷的過程,需要專業(yè)技術(shù)人員提前規(guī)劃,落實工作。
3計算機網(wǎng)絡(luò)硬件管理
對于醫(yī)院計算機網(wǎng)絡(luò)而言,服務(wù)器的安全在網(wǎng)絡(luò)安全中處于最核心地位。因此,應(yīng)當(dāng)遵循對于機房環(huán)境建設(shè)的國家規(guī)范,建立良好的機房環(huán)境,同時也應(yīng)有嚴格保障的UPS電源,避免因斷電而造成的數(shù)據(jù)丟失。同時也應(yīng)對網(wǎng)絡(luò)各組成硬件,如網(wǎng)線、路由器、集線器、交換機等連接設(shè)備制定詳細的日常維護計劃,并做好工作日志記錄,做好值班記錄,做到維護管理程序化、規(guī)范化,保障醫(yī)院網(wǎng)絡(luò)的正常運轉(zhuǎn)。
4提高網(wǎng)絡(luò)安全軟件技術(shù)水平
若從資金的角度考慮,在未能投入大量網(wǎng)絡(luò)安全硬件輔助設(shè)備的前提下,加強網(wǎng)絡(luò)安全軟件的技術(shù)水平不失為一種行之有效的手段。可以采取的措施有:加強防火墻控制。防火墻技術(shù)是防范外部網(wǎng)絡(luò)攻擊的有效途徑,在日常工作中,加強防火墻控制,提高醫(yī)院計算機網(wǎng)絡(luò)網(wǎng)絡(luò)防火墻的技術(shù)水平,是避免外部非法入侵的有效手段。但因其不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊,作為輔助手段,可以適當(dāng)采用入侵檢測手段,加強對系統(tǒng)運行安全的監(jiān)控。防毒墻(網(wǎng)絡(luò)版)的使用。防毒墻(網(wǎng)絡(luò)版)可以對文件系統(tǒng)進行實時掃描,以保護終端客戶機和網(wǎng)絡(luò)服務(wù)器不受病毒/惡意軟件、間諜軟件/灰色軟件等威脅攻擊的危害,而基于Web的管理控制臺可以輕松的在每臺終端機和服務(wù)器上設(shè)置協(xié)同的安全策略和部署自動更新。
5網(wǎng)絡(luò)隔離措施
在有條件的情況下,可以采取將內(nèi)網(wǎng)與外網(wǎng)獨立設(shè)置的策略,從物理層面上將醫(yī)院內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行隔離,避免來自外部網(wǎng)絡(luò)的攻擊,同時對連接外網(wǎng)的計算機進行嚴格控制,以保障醫(yī)療信息的安全。內(nèi)網(wǎng)可通過交換機劃分VLAN將整個網(wǎng)絡(luò)分為若干不同的廣播域,實現(xiàn)網(wǎng)絡(luò)中不同網(wǎng)段的物理隔離,防止影響一個網(wǎng)段的問題對整個網(wǎng)絡(luò)造成影響。
6訪問控制
訪問控制是網(wǎng)絡(luò)安全防范和保護的最主要策略,要嚴格控制工作站子系統(tǒng)使用人員的授權(quán),在保障日常工作正常運行的前提下,盡量減少其授權(quán)。對于工作中確實需要授予特權(quán)的情況下,盡量控制授權(quán)人數(shù),如科主任和護士長,便于管理,有利于出現(xiàn)問題時查找責(zé)任。同時做好用戶登錄口令管理,杜絕共有、共知用戶口令的現(xiàn)象,確保發(fā)生問題時可以順利查找責(zé)任人。
7數(shù)據(jù)庫備份與恢復(fù)
為防止因意外而導(dǎo)致的信息丟失和網(wǎng)絡(luò)癱瘓,數(shù)據(jù)庫的備份與恢復(fù)是數(shù)據(jù)庫管理員維護數(shù)據(jù)安全性和完整性的重要操作。
篇12
1.2風(fēng)險威脅與安全防護相適應(yīng)原則商業(yè)銀行面對的是極其復(fù)雜的金融環(huán)境,要面臨多種風(fēng)險和威脅,然而商業(yè)銀行計算機網(wǎng)絡(luò)不容易實現(xiàn)完全的安全。需要對網(wǎng)絡(luò)及所處層次的機密性及被攻擊的風(fēng)險性程度開展評估和研究,制定與之匹配的安全解決方式。
1.3系統(tǒng)性原則商業(yè)銀行計算機網(wǎng)絡(luò)的安全防御必須合理使用系統(tǒng)工程的理論進而全面分析網(wǎng)絡(luò)的安全及必須使用的具體方法。第一,系統(tǒng)性原則表現(xiàn)在各類管理制度的制定、落實和補充和專業(yè)方法的落實。第二,要充分為綜合性能、安全性和影響等考慮。第三,關(guān)注每個鏈路和節(jié)點的安全性,建立系統(tǒng)安防體系。
2計算機網(wǎng)絡(luò)安全采取的措施
商業(yè)銀行需要依據(jù)銀監(jiān)會的《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》,引進系統(tǒng)審計專家進行評估,結(jié)合計算機網(wǎng)絡(luò)系統(tǒng)安全的解決原則,建立綜合計算機網(wǎng)絡(luò)防護措施。
2.1加強外部安全管理網(wǎng)絡(luò)管理人員需要認真思考各類外部進攻的形式,研究貼近實際情況的網(wǎng)絡(luò)安全方法,防止黑客發(fā)起的攻擊行為,特別是針對于金融安全的商業(yè)銀行網(wǎng)絡(luò)系統(tǒng)。通過防火墻、入侵檢測系統(tǒng),組成多層次網(wǎng)絡(luò)安全系統(tǒng),確保金融網(wǎng)絡(luò)安全。入侵檢測技術(shù)是網(wǎng)絡(luò)安全技術(shù)和信息技術(shù)結(jié)合的新方法。通過入侵檢測技術(shù)能夠?qū)崟r監(jiān)視網(wǎng)絡(luò)系統(tǒng)的相關(guān)方位,當(dāng)這些位置受到進攻時,可以馬上檢測和立即響應(yīng)。構(gòu)建入侵檢測系統(tǒng),可以馬上發(fā)現(xiàn)商業(yè)銀行金融網(wǎng)絡(luò)的非法入侵和對信息系統(tǒng)的進攻,可以實時監(jiān)控、自動識別網(wǎng)絡(luò)違規(guī)行為并馬上自動響應(yīng),實現(xiàn)對網(wǎng)絡(luò)上敏感數(shù)據(jù)的保護。
2.2加強內(nèi)部安全管理內(nèi)部安全管理可以利用802.1X準(zhǔn)入控制技術(shù)、內(nèi)部訪問控制技術(shù)、內(nèi)部漏洞掃描技術(shù)相結(jié)合,構(gòu)建多層次的內(nèi)部網(wǎng)絡(luò)安全體系。基于802.1x協(xié)議的準(zhǔn)入控制設(shè)計強調(diào)了對于交換機端口的接入控制。在內(nèi)部用戶使用客戶端接入局域網(wǎng)時,客戶端會先向接入交換機設(shè)備發(fā)送接入請求,并將相關(guān)身份認證信息發(fā)送給接入交換機,接入交換機將客戶端身份認證信息轉(zhuǎn)發(fā)給認證服務(wù)器,如果認證成功該客戶端將被允許接入局域網(wǎng)內(nèi)。如認證失敗客戶端將被禁止接入局域網(wǎng)或被限制在隔離VLAN中。[4]內(nèi)部訪問控制技術(shù)可以使用防火墻將核心服務(wù)器區(qū)域與內(nèi)部客戶端區(qū)域隔離,保證服務(wù)器區(qū)域不被非法訪問。同時結(jié)合訪問控制列表(ACL)方式,限制內(nèi)部客戶端允許訪問的區(qū)域或應(yīng)用,保證重要服務(wù)器或應(yīng)用不被串訪。同時結(jié)合內(nèi)部漏洞掃描技術(shù),通過在內(nèi)部網(wǎng)絡(luò)搭建漏洞掃描服務(wù)器,通過對計算機網(wǎng)絡(luò)設(shè)備進行相關(guān)安全掃描收集收集網(wǎng)絡(luò)系統(tǒng)信息,查找安全隱患和可能被攻擊者利用的漏洞,并針對發(fā)現(xiàn)的漏洞加以防范。
2.3加強鏈路安全管理對于數(shù)據(jù)鏈路的安全管理目前常用方法是對傳輸中的數(shù)據(jù)流進行加密。對于有特殊安全要求的敏感數(shù)據(jù)需要在傳輸過程中進行必要的加密處理。常用的加密方式有針對線路的加密和服務(wù)器端對端的加密兩種。前者側(cè)重在線路上而不考慮信源與信宿,通過在線路兩端設(shè)置加密機,通過加密算法對線路上傳輸?shù)乃袛?shù)據(jù)進行加密和解密。后者則指交易數(shù)據(jù)在服務(wù)器端通過調(diào)用加密軟件,采用加密算法對所發(fā)送的信息進行加密,把相應(yīng)的敏感信息加密成密文,然后再在局域網(wǎng)或?qū)>€上傳輸,當(dāng)這些信息一旦到達目的地,將由對端服務(wù)器調(diào)用相應(yīng)的解密算法解密數(shù)據(jù)信息。隨著加密技術(shù)的不斷運用,針對加密數(shù)據(jù)的破解也越來越猖獗,對數(shù)據(jù)加密算法的要求也越來越高,目前根據(jù)國家規(guī)定越來越多的商業(yè)銀行開始使用國密算法。
篇13
(1)建立網(wǎng)絡(luò)安全管理規(guī)章制度加強醫(yī)院網(wǎng)絡(luò)安全管理的重要措施之一就是建立健全網(wǎng)絡(luò)安全管理規(guī)章制度,提高醫(yī)院全員認識到醫(yī)院網(wǎng)絡(luò)安全管理重要性,設(shè)立以院領(lǐng)導(dǎo)為核心的信息安全領(lǐng)導(dǎo)小組,明確領(lǐng)導(dǎo)小組相應(yīng)責(zé)任并落實信息管理人員責(zé)任,加大投入資金,對網(wǎng)絡(luò)安全管理軟硬件設(shè)備進行更新升級,對網(wǎng)絡(luò)安全管理專業(yè)隊伍需要加強建設(shè),信息網(wǎng)絡(luò)人員必須要有責(zé)任心及熟練的網(wǎng)絡(luò)應(yīng)用技術(shù),同時要堅持管理創(chuàng)新及技術(shù)創(chuàng)新,根據(jù)本院信息網(wǎng)絡(luò)的運行情況,制定應(yīng)對網(wǎng)絡(luò)危機的預(yù)案。(2)網(wǎng)絡(luò)安全教育網(wǎng)絡(luò)安全工作的主體是人,醫(yī)院的各級領(lǐng)導(dǎo)、組織和部門工作人員從思想和行動上都要重視醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全,提高全員安全意識,樹立安全人人有責(zé),由于醫(yī)院的內(nèi)部網(wǎng)絡(luò)涉及臨床科室、醫(yī)技科室、職能科室等部門,計算機操作水平參差不齊,因此,必須定期培訓(xùn)計算機網(wǎng)絡(luò)客戶端的使用人員,使他們具有一些計算機方面的專業(yè)知識,盡量減輕醫(yī)院計算機網(wǎng)絡(luò)信息系統(tǒng)管理人員的工作壓力,當(dāng)其客戶端出現(xiàn)問題之后能得到及時的解決,減少人為的差錯及故障發(fā)生。(3)網(wǎng)絡(luò)設(shè)備管理網(wǎng)絡(luò)設(shè)備是整個信息網(wǎng)絡(luò)安全的基礎(chǔ),整個網(wǎng)絡(luò)中的關(guān)鍵設(shè)備包括服務(wù)器、數(shù)據(jù)儲存、中心交換機、二級交換機、光纜等,因此這些設(shè)備的性能直接影響到整個信息系統(tǒng)的安全運行,從可靠性、穩(wěn)定及容易升級等方面對網(wǎng)絡(luò)設(shè)備進行選擇,對重要設(shè)備最好采用雙機熱備份的方式實現(xiàn)系統(tǒng)集群,還要配備兩套UPS電源,避免突然斷電造成服務(wù)器數(shù)據(jù)流失,提高系統(tǒng)可用性,服務(wù)器以主從或互備方式工作,當(dāng)一旦某臺設(shè)備發(fā)生故障,另外一臺設(shè)備可以立即自動接管,變成工作主機,將系統(tǒng)中斷影響降到最低;此外,使用物理隔離設(shè)備將外部互聯(lián)網(wǎng)和內(nèi)部信息系統(tǒng)進行隔離,確保重要數(shù)據(jù)不外泄。(4)實時監(jiān)控用戶上網(wǎng)行為應(yīng)用主機安全監(jiān)控系統(tǒng),實現(xiàn)對用戶上網(wǎng)行為的實時監(jiān)控,從而讓網(wǎng)管及時了解和控制局域網(wǎng)用戶的的上網(wǎng)行為,在加強安全防護的同時也可以提高工作效率。主機安全監(jiān)控系統(tǒng)可以對內(nèi)部人員上網(wǎng)行為日志、客戶端訪問行為、終端行為日志、醫(yī)院IT開發(fā)運維人員訪問行為等信息進行監(jiān)控、記錄、審計能力,結(jié)合日志數(shù)據(jù)挖掘技術(shù)和關(guān)聯(lián)分析功能,實現(xiàn)對非法行為的實時告警,輸出符合醫(yī)院紀(jì)委監(jiān)察部門要求的完整的事件報告,既能夠及時發(fā)現(xiàn)并阻斷非法行為,也可以監(jiān)控某些人員利用其特權(quán)對敏感數(shù)據(jù)進行非法復(fù)制。(5)數(shù)據(jù)備份為了防止信息系統(tǒng)中的數(shù)據(jù)丟失,可以采用雙機備份方式。兩臺服務(wù)器采用相同的配置,安裝相同的系統(tǒng)和數(shù)據(jù)庫系統(tǒng),實時將主服務(wù)器上數(shù)據(jù)庫備份到備用服務(wù)器上,當(dāng)主服務(wù)器無法正常工作時,啟用備用服務(wù)器項替工作,同時信息系統(tǒng)管理部門可以采用一些有關(guān)的備份軟件對其醫(yī)院計算機網(wǎng)絡(luò)信息系統(tǒng)的數(shù)據(jù)進行及時的監(jiān)測,當(dāng)這些數(shù)據(jù)出現(xiàn)安全方面的問題時,及時對其數(shù)據(jù)進行備份;此外,也可采用實時備份數(shù)據(jù)庫,采用數(shù)據(jù)鏡像增量備份方式。(6)定期進行安全分析,對新發(fā)現(xiàn)的安全隱患進行整改運用技術(shù)手段定期進行安全分析,及時發(fā)現(xiàn)安全隱患并快速清除是完善醫(yī)院網(wǎng)絡(luò)安全管理的重要措施。定期進行安全分析是研究信息系統(tǒng)是否存在的漏洞缺陷,是否存在風(fēng)險與威脅,針對發(fā)現(xiàn)的安全隱患,制定出相應(yīng)的控制策略,主要是從軟件設(shè)置、物理環(huán)境、電源配送、權(quán)限分配、網(wǎng)絡(luò)管理、防火、防水、防盜、服務(wù)器交換機管理、溫度濕度粉塵、人員培訓(xùn)及安全教育等各方面進行分析,尋找出當(dāng)前的安全隱患,針對這些隱患提出有針對性的解決方案。
1.2防止外來入侵
(1)中心機房管理作為醫(yī)院信息系統(tǒng)的“神經(jīng)中樞”及數(shù)據(jù)存儲中心的機房安全是整個信息系統(tǒng)安全的前提,中心機房的安全應(yīng)注意機房用電安全技術(shù)、防火、計算機設(shè)備及場地的防雷和計算機機房的場地環(huán)境的要求等問題,為了避免人為或自然破壞設(shè)備,應(yīng)盡可能保證各通信設(shè)備及相關(guān)設(shè)施的物理安全,使系統(tǒng)和設(shè)備處于良好的工作環(huán)境,對于信息網(wǎng)絡(luò)的可靠性,可以通過冗余技術(shù)實現(xiàn),包括設(shè)備冗余、處理器冗余、鏈路冗余、模塊冗余、電源冗余等技術(shù)來實現(xiàn)。(2)計算機病毒防護杜絕病毒傳染源是防范病毒最有效的辦法,除特殊科室需要外,將所有網(wǎng)絡(luò)工作站的外部輸入設(shè)備(如光驅(qū)、軟驅(qū)等)撤除,所有內(nèi)網(wǎng)的計算機不準(zhǔn)接U盤,在服務(wù)器及每個工作站點采用多層的病毒防衛(wèi)體系,此外,還可以使用桌面管理軟件來自動從系統(tǒng)廠商下載補丁,自動檢查客戶端需要安裝的補丁、已經(jīng)安裝的補丁和未安裝的補丁,以及限制或禁止移動存儲介質(zhì)的接入,減少病毒傳播的途徑,從而減少醫(yī)院網(wǎng)絡(luò)受到病毒的威脅。(3)防止黑客入侵防止黑客入侵是醫(yī)院網(wǎng)絡(luò)安全工作的重點,可以采用防火墻技術(shù)、身份認證與授權(quán)技術(shù)等技術(shù)防止黑客入侵。其中,防火墻技術(shù)是在醫(yī)院內(nèi)部網(wǎng)和醫(yī)院外部網(wǎng)之間的界面上構(gòu)造一個保護層,對出入醫(yī)院網(wǎng)絡(luò)的訪問和服務(wù)進行審計和控制;在防火墻基礎(chǔ)上,建立黑客入侵檢測系統(tǒng),對黑客入侵、非法登錄、DDOS攻擊、病毒感染與傳播、非法外連等進行監(jiān)控,對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)通訊通道等進行監(jiān)控,詳細掌控各類網(wǎng)絡(luò)設(shè)備的運行狀態(tài),實時監(jiān)督分析通道質(zhì)量狀況,對各類終端用戶的補丁安裝、軟件安裝、外接設(shè)備(U盤)等操作進行實時監(jiān)控管理,發(fā)現(xiàn)有違規(guī)行為及時報警,也可以自動啟動阻止機制來控制非法行為;在醫(yī)院信息系統(tǒng)中,采用數(shù)字簽名技術(shù)實現(xiàn)系統(tǒng)信息內(nèi)容安全性,完整性和不可抵賴性等方面的要求,特別是通過采用安全審計或時間戳等技術(shù)手段解決傳統(tǒng)紙質(zhì)病歷無法解決的信息可靠性問題,此外,還采用信息加密技術(shù)可以有效的保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。
