引論:我們為您整理了13篇網絡安全主動防護范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
【 Keywords 】 firewall; network security; initiative
1 引言
類似于防火墻或者反病毒類軟件,都是屬于被動型或者說是反應型安全措施。在攻擊到來時,這類軟件都會產生相應的對抗動作,它們可以作為整個安全體系的一部分,但是,還需要建立一種具有主動性的網絡安全模式,防護任何未知的攻擊,保護醫院的網絡安全。
在實現一個具有主動性的網絡安全架構前,需要對現有的主流網絡安全體系有一個大概的了解。防護方法包括四個方面:防火墻、VPN、反病毒軟件以及入侵檢測系統(IDS)。防火墻可以檢測數據包并試圖阻止有問題的數據包,但是它并不能識別入侵,而且有時候會將有用的數據包阻止。VPN則是在兩個不安全的計算機間建立起一個受保護的專用通道,但是它并不能保護網絡中的資料。反病毒軟件是與其自身的規則密不可分的,而且面對黑客攻擊,基本沒有什么反抗能力。同樣,入侵檢測系統也是一個純粹的受激反應系統,在入侵發生后才會有所動作。
雖然這四項基本的安全措施對醫院信息化來說至關重要,但是實際上,一個醫院也許花費了上百萬購買和建立防火墻、VPN、反病毒軟件以及IDS系統,但是面對黑客所采用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力。CVE本質上說是應用程序內部的漏洞,它可以被黑客利用,用來攻擊網絡、竊取信息,并使網絡癱瘓。這就更加需要一種具有主動性的網絡安全模式來綜合管理這四項基本安全措施。
3 四項安全措施的綜合管理具體實施的步驟
3.1 實現主動性的網絡安全模式
作為醫院的信息化技術人員,要保護醫院的網絡首先需要開發一套安全策略,并要求所有科室人員遵守這一規則。同時,需要屏蔽所有的移動設備,并開啟無線網絡的加密功能以增強網絡的安全級別。為無線路由器打好補丁并確保防火墻可以正常工作是非常重要的,之后檢查系統漏洞,如果發現漏洞就立即用補丁或其它方法將其保護起來,這樣可以防止黑客利用這些漏洞竊取醫院的資料和導致網絡癱瘓。
3.2 開發一個安全策略
良好的網絡環境總是以一個能夠起到作用的安全策略為開始實現的,大家都必須按照這個策略來執行。基本的規則包括從指導操作員如何建立可靠的密碼到業務連續計劃以及災難恢復計劃(BCP和DRP)。比如應該有針對醫院收費項目和患者費用信息的備份策略;又如一個鏡象系統,以便在災難發生后可以迅速恢復數據。執行一個共同的安全策略也就意味著向具有主動性安全網絡邁出了第一步。
3.3 減少對安全策略的破壞
不論是有線網絡,還是無線網絡,都很有可能出現破壞安全策略的情況。很多系統沒有裝防病毒軟件、防火墻軟件,同時卻安裝了很多點對點的傳輸程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即時消息軟件等,它們都是網絡安全漏洞的根源。因此,必須強制所有的終端安裝反病毒軟件,并開啟Windows XP內建的防火墻,或者安裝商業級的桌面防火墻軟件,同時卸載點對點共享程序以及聊天軟件。
3.4 封鎖移動設備
對于醫院的網絡來說,最大的威脅可能就是來自那些隨處移動的筆記本電腦或其它移動終端,它們具有網絡的接入權限,可以隨時接入醫院的網絡,具有最大的安全隱患。
據Forrester Research調查,到2005年,世界總共將有3500萬移動設備用戶,而到2010年,這個數字將增加到150億。這些數字讓我們了解這將是醫院網絡安全所面臨的巨大考驗。通過安全策略,可以讓網絡針對無線終端具有更多的審核,比如快速檢測到無線終端的接入,然后驗證這些終端是否符合安全策略,是否是經過認證的用戶,是否有明顯的系統漏洞等。
3.5 設置防火墻
雖然防火墻并沒有特別強的安全主動性,但是它可以很好地完成自己該做的那份工作。防火墻要設置智能化的規則,以便關閉那些可能成為黑客入侵途徑的端口。比如1045端口就是SASSER蠕蟲的攻擊端口,因此需要為防火墻建立規則,屏蔽所有系統上的1045端口。另外,當筆記本電腦或其它無線設備連接到網絡中時,防火墻也應該具有動態的規則來屏蔽這些移動終端的危險端口。
3.6 下載安裝商業級的安全工具
目前與安全有關的商業軟件相當豐富,可以從網上下載相應的產品來幫助保護醫院網絡。這類產品從安全策略模板到反病毒、反垃圾郵件程序等,應有盡有。微軟也針對系統的漏洞不斷給出升級補丁。所有這些工具都可以有效地提升網絡的安全等級,因此應該充分利用它們。
3.7 禁止潛在的可被黑客利用的對象
“瀏覽器助手(BHO)”是最常見的可被黑客利用的對象。它一般用來監測用戶的頁面導航情況以及監控文件下載。BHO一般是在用戶不知情的情況下被安裝在系統中的,由于它可以將外界的信息存入你的系統,因此對網絡安全來說是一個威脅。BHO是通過ADODB流對象在IE中運行的,通過禁止ADODB流對象,就可以防止BHO寫入文件、運行程序以及在系統上進行其它一些動作。
3.8 留意最新的威脅
據計算機安全協會 (CSI)表示,2002 CSI/FBI計算機犯罪和安全調查顯示,“計算機犯罪和信息安全的威脅仍然不衰退,并且趨向于金融領域”。因此,需要時刻留意網絡上的最新安全信息,以便保護醫院網絡。
3.9 彌補已知的漏洞
系統上已知的漏洞被稱為“通用漏洞批露”(CVE),它是由MITRE組織匯編整理的漏洞信息。通過打補丁或其它措施,可以將網絡中所有系統的CVE漏洞彌補好。
4 結束語
雖然安全性永遠都不是百分之百的,但是搭建好具有主動性的網絡安全模式就可以使醫院的網絡安全處于優勢地位。
參考文獻
[1] 鄧素平.構建網絡安全防護體系[J].山東通信技術,2001,2:17-19.
[2] 劉曉瑩等.網絡安全防護體系中網絡管理技術的研究與應用[J].應用與開發,2001,2001,3:30-31.
篇2
Discussion on Network Security Attacks New Trend and Defense Technology
Wang Zhigang
(Guangzhou Institute of Geography,Guangzhou510070,China)
Abstract:This paper analysis network attacks automation and intelligent features,and the lack of traditional network defense,active defense system proposed to take full advantage of the initiative to play against new attacks,enhance network security.
Keywords:Network security;Active defense system;Network attacks
一、引言
近幾年來,隨著信息時代的到來,分布式網絡系統的應用也越來越廣泛,網絡受攻擊的可能性也隨之提高,傳統網絡安全防御技術已不能滿足人們的需要,主動防御體系能夠實時發現網絡攻擊行為,預測和識別未知的攻擊,并且采取各種技術阻止攻擊行為以便提高本地網絡安全性能[1]。
二、網絡安全攻擊新趨勢
隨著人們對網絡的利用,大規模的網絡應用系統出現在人們的日常生活中,網絡安全所遭受的威脅和攻擊呈現出了新的趨勢:
(一)網絡安全遭受的攻擊具有自動化
隨著科技的進步,網絡編程技術迅速發展,使用人數迅速增多,網絡攻擊已經不是編程高超的黑客們的專利,人們開發出了許多網絡自動攻擊工具,使得網絡攻擊能夠不間斷的自動化進行,對現代網絡安全的危害越來越大,造成很多不必要的損失。
(二)網絡安全遭受的攻擊呈現智能化
網絡安全所遭受的攻擊自動化的提高,隨之而來的就是攻擊智能化。網絡安全攻擊者采用更加先進的編程思想和方法,編制出許多智能化攻擊工具,這些智能化工具能夠更加敏銳的發現網絡應用系統的漏洞,通過遺傳變異,產生出新的病毒,很難通過現有的病毒庫特征檢測出來,對網絡應用產生的危害是無盡的。
鑒于網絡安全所受到的攻擊技術大規模的提高,目前現有的傳統防御技術已經不能應對,因此在網絡中實施主動防御體系已成為大勢所趨[2]。
三、網絡安全主動防御體系
與傳統的網絡安全防御技術相比,主動防御體系是專門根據現代網絡的攻擊特點而提出的,該方法不僅是一種防御技術,更是一種架構體系。主動防御體系的前提是保護網絡系統的安全,采取包含由傳統的網絡安全防護技術和檢測技術,以及具有智能化的入侵預測技術和入侵相應技術而建立,具有強大的主動防御功能。
(一)入侵防護技術
入侵防護技術在傳統的網絡防御系統中已經出現,現在又作為主動防御技術體系的基礎而存在,其包括身份認證、邊界控制、漏洞掃描和病毒網關等實現技術。入侵防護的最主要的防護技術方法包括防火墻和VPN等。其中VPN是加密認證技術的一種,對網絡上傳送的數據進行加密發送,防止在傳輸途中受到監聽、修改或者破壞等,使信息完好無損的發送到目的地。入侵防護技術是主動防御體系的第一道屏障,與入侵檢測技術、入侵預測技術和入侵響應技術的有機組合,實現對系統防護策略的自動配置,系統的防護水平肯定會大大的提高。
(二)入侵檢測技術
在主動防御技術體系中,入侵檢測技術可以作為入侵預測的基礎和入侵響應的前提而存在。入侵檢測是網絡遭受攻擊而采取的防御技術,它發現網絡行為異常之后,就采用相應的技術檢測網絡的各個部位,以便發現攻擊,檢測技術具有承前啟后的作用。就現代來講,檢測技術大概包括兩類:一類基于異常的檢測方法。該方法根據通過檢測是否存在異常行為,判斷是否存在入侵行為,漏報率較低,但是又由于檢測技術難以確定正常的操作特征,誤報率也很高;二類基于誤用的檢測方法。該方法的主要缺點是過分依賴特征庫,只能檢測特征庫中存在的入侵行為,不能檢測未存在的,漏報率較高,誤報率較低。
(三)入侵預測技術
入侵預測技術是主動防御體系區別于傳統防御的一個明顯特征,也是主動防御體系的一個最重要的功能。入侵預測體現了主動防御的一個的很重要特點:網絡攻擊發生前預測攻擊行為,取得對網絡系統進行防御的主動權。入侵預測在攻擊發生前預測將要發生的入侵行為和安全狀態,為信息系統的防護和響應提供線索,爭取寶貴的響應時間。現在存在的入侵預測技術主要采取兩種不同的方法:一是基于安全事件的預測方法,該方法主要通過分析曾經發生的攻擊網絡安全的事件,發現攻擊事件的相關規律,以便主動防御體系能夠預測將來一段時間的網絡安全的趨勢,它能夠對中長期的安全走向和已知攻擊進行預測;二是基于流量檢測的預測方法,該方法分析網絡安全所遭受攻擊時網絡流量的統計特征與網絡運行的行為特征,用來預測攻擊的發生的可能性,它能夠對短期安全走向和未知攻擊進行預測。
(四)入侵響應技術
主動防御體系與傳統防御的本質區別就在于主動防御對網絡入侵進行實時響應。主動防御體系在網絡入侵防御中主動性的具體表現就是入侵響應技術,該技術用來對預測到的網絡攻擊行為進行處理,并將處理結果反饋給網絡系統,將其記錄下來,以便將來發生相同事件時進一步提高網絡系統的防御能力,也可以對入侵行為實施主動的影響,中最重要的入侵響應技術包括:入侵追蹤技術、攻擊吸收與轉移技術、蜜罐技術、取證技術和自動反擊技術。
四、結束語
主動防御技術作為一門新興的技術,還存在一些尚未解決的難點問題,隨著遺傳算法和免疫算法和神經網絡技術等新的概念引入到入侵檢測技術中以來,通過對主動防御技術的深入探索研究,主動防御技術將逐步走向實用化,必將在網絡安全防御領域中得到廣泛的應用。
篇3
1.2入侵審計和防御體系不完善
隨著互聯網的快速發展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業網絡安全。當前,很多企業缺乏完善的入侵審計和防御體系,企業網絡的主動防御和智能分析能力明顯不足,檢查監控效率低,缺乏一致性的安全防護規范,安全策略落實不到位。
2.構建企業網絡安全防護體系
2.1企業網絡安全防護體系構建目標
結合企業網絡的安全目標、使用主體、性質等因素,合理劃分企業邏輯子網,對不同的邏輯子網設置不同的安全防護體系,加強網絡邊界控制和安全訪問控制,保持區域之間的信任關系,構建企業網絡安全防護體系,實現網絡安全目標:第一,將大型的、復雜的企業網絡安全問題轉化為小區域的、簡單的安全防護問題,有效控制企業網絡系統風險,提高網絡安全;第二,合理劃分企業網絡安全域,優化網絡架構,實現企業網絡安全設計、規劃和入網;第三,明確企業網絡各個區域的安全防護難點和重點,加大安全設備投入量,提高企業網絡安全設備的利用率;第四,加強企業網絡運行維護,合理部署企業網絡的審計設備,提供全面的網絡審核和檢查依據,為企業構建網絡安全防護體系提供重要參考。
2.2合理劃分安全域
現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同,因此在劃分企業網絡安全域時,應結合業務屬性和網絡管理,不僅要確保企業正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發揮不同方式的優勢,結合企業網絡管理要求和網絡業務需求,有針對性地進行企業網絡安全域劃分。首先,根據業務需求,可以將企業網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業內網業務的安全性。其次,按照企業業務系統方式,分別劃分外網和內網安全域,企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業網絡的信息系統,包括信息系統內部和系統之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。
2.3基于入侵檢測的動態防護
隨著網絡技術的快速發展,企業網絡面臨的安全威脅也不斷發生變化,網絡攻擊手段日益多樣化,新病毒不斷涌現,因此企業網絡安全防護體系構建應適應網絡發展和變化,綜合考慮工作人員、防護策略、防護技術等多方面的因素,實現基于入侵檢測的動態防護。基于入侵檢測的動態防護主要包括備份恢復、風險分析、應急機制、入侵檢測和安全防護,以入侵檢測為基礎,一旦檢測到企業網絡的入侵威脅,網絡系統立即啟動應急機制,如果檢測到企業網絡系統已經受到損壞,可利用備份恢復機制,及時恢復企業網絡設置,確保企業網絡的安全運行。通過動態安全防護策略,利用動態反饋機制,提高企業網絡的風險評估分析能力和主動防御能力。
2.4分層縱深安全防護策略
企業網絡安全防護最常見的是設置防火墻,但是網絡安全風險可能存在于企業網絡的各個層次,防火墻的安全防護作用比較有限。企業網絡可采用分層縱深安全防護策略,保障網絡安全防護的深度和廣度,構建高效、綜合、全面的安全防護體系,對于企業網絡中的應用層、數據層、系統層、網絡層和物理層分別采用信息保護、應用系統安全防護、數據庫安全防護、操作系統安全防護、網絡保護、物理安全保護等防護手段,根據不同網絡系統的特點,有針對性地進行安全防護,例如,在網絡層可利用資源控制模塊和訪問控制模塊,加強對網絡節點的訪問控制,在企業網絡的應用層和數據層設置身份授權和認證系統,避免用戶的違規操作和越權操作。又例如,由于網絡環境比較復雜,可在企業網絡的應用層、數據層和系統層,設置網絡監控和檢測模塊,保護企業網絡的服務器,防止權限濫用和誤操作。
篇4
1、網絡安全的概念。網絡安全是指網絡系統中的各個部件、軟件以及數據的安全,它是通過對網絡信息的存儲、傳輸和使用的過程實現,包含兩個方面,一是物理安全,即保障網絡設備的安全,使其能夠正常穩定地提供網絡服務;二是邏輯安全,即保證在網絡中存儲和傳輸的信息的安全性。2、影響網絡安全的因素。網絡安全在現實生活會受到很多因素的影響,其中有人為的和自然的因素,包括系統配置不當,計算機病毒木馬,軟件漏洞等,均會對網絡安全造成極大的危害。
二、網絡安全防護
網絡安全防護是一種網絡安全技術,該技術致力于解決有效進行介入控制,保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。
針對網絡上各種安全問題和隱患,為了最大程度的減小損失,可以采用如下技術進行網絡安全防護。
1、防火墻技術。防火墻是一種由軟件和硬件結合構成的將內部網絡與公用網絡分隔開的隔離系統,用來在兩個網絡之間進行接入控制,從而可以防止非法用戶訪問和修改內部網絡的數據,可以有效的將網絡分隔開,確保內部網絡安全。
2、數據加密技術。為了提高網絡中傳輸的數據和信息的安全性,可以采用數據加密技術對重要的數據進行加密,防止機密信息被竊取泄露,其中常采用對稱加密和非對稱加密對信息進行加密算法,從而實現對數據信息的加密保護。
3、入侵檢測技術。通過入侵檢測技術,可以對網絡系統中的幾個節點進行檢測,通過分析采集的數據信息,判斷網絡中是否有不安全操作行為及是否遭到攻擊。入侵檢測系統對網絡的監測不會影響網絡的正常運行,它能實時地對網絡進行檢測從而及時采取防護手段保護網絡安全。
4、網絡掃描技術。通過網絡掃描技術,可以對復雜網絡進行掃描從而發現網絡系統中的安全漏洞,并及時對發現的漏洞進行相應的處理,采取必要的措施。網絡掃描技術可以強化網絡系統,是一種主動的防御策略,通過對網絡系統的強化來防止網絡安全受到侵害。
5、虛擬專用網。虛擬專用網(VPN)是一種在一定網絡協議基礎上,公網中邏輯上獨立的專用網,通過虛擬專用網,用戶可以通過公網中的虛擬專線實現數據的傳輸,從而保障了傳輸數據的安全性。
6、病毒防護技術。隨著網絡的發展,病毒的傳播也變得更加迅速,對網絡和計算機具有巨大危害。
三、思科網絡安防系統
思科作為一家世界500強企業,作為一個在互聯網解決方案提供領域的佼佼者,十分重視網絡安全及防護,其用戶遍及世界各地各大企業,領域涉及各個行業,可見其網絡安防系統的安全可靠性。
1、思科的網絡安全設計架構。安全域要在五個層次上隔離,即物理上隔離、邏輯上隔離、策略上隔離、應用上隔離、準入上隔離。而對網絡安全域的劃分需要對網絡系統中各個設備進行集成化、模塊化并實現階梯式安全。
2、思科自防御網絡。思科自防御網絡是針對網絡中的攻擊和威脅進行識別、主動防御和應對的新型網絡戰略,通過三個階段實現對網絡的安全防護。(1)集成化的安全系統。(2)協作化的安全系統。(3)智能化的自適應安全系統。
3、思科SMB級安全網絡平臺。采用了思科自防御網絡安全的組件,思科的SMB級安全網絡平臺還具備成本較低的優勢,非常適合一些中小企業使用,這一經濟有效的方案保證了連通性、簡潔性、安全性以及可擴展性,能夠幫助企業優化其運營,提升企業競爭力。
四、結語
計算機和網絡的擴大與普及已成為不可逆轉的趨勢,而網絡中影響網絡安全和穩定的因素也必將隨之不斷增加,人們越來越開始重視網絡中數據信息的安全可靠性,因此網絡安全防護的重要地位將得到進一步顯現。
參考文獻
篇5
一、大數據背景下網絡系統安全體系的框架及功能
在大數據框架內,相關主體所面臨的數據安全威脅主要是高級持續性威脅(AdvancedPersistentThreat,APT)。所謂的APT是指黑客為了竊取核心數據資料,而針對特定網絡用戶所發動的攻擊性或侵襲性行為,是為了達到某種商業目的而采取的非法行為。對于大數據用戶來說,要想有效地防控APT,就需要構建更加全面的大數據分析系統來及時發現可能存在的安全性問題。首先,從框架層面來看,為了有效應對APT攻擊,網絡系統安全體系的框架主要包括網絡系統安全防護、網絡系統安全檢測和網絡系統安全防御三部分內容,實現對網絡系統安全問題的有效防范與抵御。其次,從功能層面來看,網絡系統安全體系能夠全面地檢測出網絡系統中出現的異常行為的計算機運行流程,識別網絡中傳輸的密文中所存在的異常流量文件,進而高效地預防信息被竊取,同時,該體系還能夠對用戶的虛擬機進行監視,從而有效識別長期潛伏的APT攻擊,提升網絡運行的效果。
二、大數據背景下網絡系統安全體系的具體構建
網絡系統安全體系可以進一步分解為安全防護、安全檢測和主動防御三個方面,這些系統的設計也是大數據背景下網絡系統安全體系構建需要遵循的策略。
(一)網絡系統安全防護設計
網絡系統安全防護設計主要是通過計算機安全防護級別的設定來限制計算機用戶的訪問權利,從而將那些存在威脅性因素的內容隔離出來。在實際的設計過程中,系統會根據相應的標準對內部現有的資源進行安全防護級別的劃分,并賦予相應級別用戶的訪問權限,確保數據的安全。換而言之,網絡系統安全防護設計的主要目的在于借助加密和數據訪問權限的設置,來對數據進行差異化的管理,防范APT的產生。
(二)網絡系統安全檢測設計
網絡系統安全檢測設計主要是通過寬時間域數據關聯分析和寬應用域事件關聯分析來保證安全系統中集成入侵檢測系統的實時運行。同時,在針對計算機核心服務器檢測的過程中,會通過蜜罐技術等技術手段來建立時刻監控旁路誘騙的機制,實現對系統內可能存在的潛在攻擊進行誘惑、捕捉,及時發現和消除安全患。在網絡系統安全檢測設計中,最關鍵的技術性手段在于寬時間域數據關聯分析和寬應用域事件關聯分析,而寬時間域數據關聯分析是從較長的時間跨度內對APT攻擊可疑行為進行全面的記錄,據此進行數據方面的深度分析,更加精準地掌握APT的相關信息,并對其進行有效的網絡識別,確保網絡的安全運行。
(三)網絡系統主動防御設計
在網絡安全體系中,僅僅識別和防范APT供給是不夠的,當發現真正的攻擊行為產生以后,要系統應當及時采取相應的應對策略,確保網絡系統安全,而這就是網絡系統主動防御設計的功能。在網絡系統受到攻擊或者疑似攻擊時,系統會從全網的視角出發對海量的網絡數據信息進行篩查,從而捕捉到APT攻擊的相關信息,并對攻擊問題進行診斷,進而構建APT攻擊反情報體系,實現主動防御的目的。
三、大數據背景下網絡安全體系的具體應用
網絡安全體系構建的主要目的在于實際應用,并且體系構建的持續完善需要通過應用效果的反饋得以進行。因此,在關注大數據背景下網絡安全體系構建的同時,要注意對具體應用情況的分析和總結,為體系的不斷發展提供可靠的支持。
(一)網絡安全體系在攻擊溯源方面的應用網絡安全攻擊溯源技術是大數據背景下網絡安全體系中的基本組成部分,也是確保網絡安全體系運行效果的有效途徑。網絡攻擊的分析主要是從關鍵內核結構診斷、文件、進程等方面入手對圍繞整個系統和網絡流量進行輔分析。同時,安全體系中的安全攻擊描述模型會根據大數據系統反饋的信息進行相關模型的構建,并針對模型分析結果快速構建相應的關聯性分析結果,從而便于更準確地識別和定位攻擊點,為接下來的安全體系防范措施的更新提供強有力的支持。
篇6
計算機網絡技術的迅猛發展極大地改變了人們的生活方式,深遠影響著人們日常工作的發展,是當前社會不可缺少、不可替代的技術類型。然而隨著其向更層次的發展后,一系列因計算進網絡技術而附加產生的問題接踵而至,很大程度上對其長遠發展造成了阻礙。近年來,關于計算機病毒、計算機黑客攻擊而造成的全球互聯網和軍事情報網及商業等頻頻癱瘓的狀況此起彼伏,傳播速度快、破壞能力強、影響范圍廣的病毒入侵使得計算機網絡安全技術時刻經受著挑戰。因此,掌握先進的網絡安全防護技術變得十分必要。
1 計算機網絡技術存在的安全隱患
1.1 關于計算機病毒造成的安全隱患
計算機網絡技術深刻地透入到人們生活的各個角落,人們對其認識了解也不在少數,同樣的對可能引發安全隱患的病毒也不陌生。計算機網絡病毒的種類有很多,最常見的當屬木馬病毒,它傳播速度快、破壞力大且難以根除,使得其在各大互聯網絡肆意橫行,時時刻對網絡安全造成致命的威脅。而且計算機病毒的存在具有較強的隱蔽性,不易被察覺。很多計算機用戶往往是在毫無防備的情況下感染上的,這些病毒大多潛藏在諸多非專業的資料網站內,用戶在下載這些資料時病毒就趁機入侵,使資料下載用戶的計算機硬件遭到破壞并出現相應的安全漏洞,長期受到病毒的侵擾威脅。計算機病毒有良性病毒和惡性病毒的區別,惡性病毒具有超輕的傳染性、隱蔽性、破壞性等特點,難以及時發現、徹底清除,在相當長的時間和廣闊的范圍內對計算機用戶構成極大地困擾。良性病毒帶來的破壞力相對較弱、時間較短、危害范圍也更小,可以在發現后利用殺毒軟件進行徹底清除。
1.2 關于黑客攻擊造成的安全隱患
黑客攻擊是影響計算機網絡技術安全的另一重要因素。黑客攻擊是人為的未經管理者和法律許可就直接進入其電腦,完成破壞電腦管理者計算機硬件系統和軟件系統的操作,使管理者電腦出現嚴重的漏洞,用戶電腦中的資料信息遭到竊取,并且還會將隱藏的病毒程序種植于用戶電腦之中,長期的對用戶電腦進行破壞性操作控制。黑客攻擊相較于一般的病毒入侵更具威脅性,人為的不可控性是黑客攻擊難以防范的最根本問題。
1.3 計算機系統軟件漏洞造成的安全隱患
計算機應用系統本身存在著不少系統漏洞,這些漏洞對計算機本身的網絡安全并不會構成任何威脅,但這些固有的漏洞為黑客攻擊、惡意軟件侵入、病毒滋生提供了可乘之機,一旦黑客、不法分子及病毒掌握這些漏洞,他們便會趁虛而入,此時原本無害的系統漏洞就成了病毒滋生的溫床和計算機遭受入侵的幫兇。
1.4 安全配置不當造成的隱患
在計算機操作過程中,如果安全配置不當也會引發相應的安全隱患。安全配置的合理設置如同計算機自身的“看家本領”,良好的配置才能練就過硬的安全防護能力,若是配置不當,很多安全防護軟件便不能正常使用,也不能發揮其為計算機用戶安全保駕護航的作用,更會給計算機留下漏洞,形成網絡缺口,最終導致病毒入侵的后果。
2 計算機網絡安全防護技術建設的必要性
計算機網絡技術的普及性、廣泛性、便捷性等特點使得其在全世界范圍內擁有廣大深厚的用戶基礎,這在為人們生活提供便利的同時更存在著相對等的安全隱患,一旦問題產生,可影響輻射的范圍是全球性的。網絡安全狀態下可以惠及全球,網絡存在隱患時也可以波及全球,因而全球的計算機網絡用戶都必須時刻警惕網絡安全隱患的侵擾,并且在全球范圍內建設計算機網絡安全防護建設的防護體系,在問題發生后迅速作出反應,并且及時進行信息交流傳達,將破壞范圍降到最小,造成的損失減到最低,確保全球網絡通信環境的安全可靠。計算機網絡安全遭到威脅和破壞后帶來的損失是不可估量的,信息竊取、網絡癱瘓等造成人們生產生活難以正常繼續,商業及軍事情報遭泄露帶來的危害是更廣范圍更深層次的,極有可能引發社會騷亂、局勢動蕩,因此必須加強計算機網絡安全防護技術的開發與研究,力求做到防患于未然,即便問題出現也可以第一時間內妥善解決,將危害損失降到最低。
3 計算機網絡安全防護策略
3.1 針對病毒入侵采取防火墻技術
利用防火墻技術構筑起計算機網絡安全的一道屏障,將內網與外網通信過程中程序的訪問進行控制,有選擇的訪問安全可靠的資源網站,對存在安全隱患的訪問程序進行首輪篩選攔截,確保網絡通信正常運行。防火墻本身具有一定的抗攻擊能力,目前常用的防火墻技術主要有包過濾防火墻、地址轉換防火墻和防火墻三種。這三種防火墻技術通過濾除不可信地址的信息接收與發送,轉換內網地址、隱藏終端地址,利用服務器與網絡服務器溝通等手段不斷加強內網的安全穩定性。防火墻技術是目前計算機網絡安全最基本的防護技術,但也是必不可少的防護措施,需要推廣使用。
3.2 針對黑客攻擊采用訪客控制技術
訪問控制管理技術可以保障網絡系統在可控的范圍內被訪問,使網絡資源不會被非法利用和訪問。對于入網環節實施首層訪問控制,并且對進入者的訪問時間、訪問內容、訪問權限都作出明確限制。還需要計算機網絡用戶對系統相關文件設置相應權限,篩選出符合訪問權限者,及時報告并阻截不符合權限者。還可以使用身份認證技術對網絡用戶進行身份認證,并對用戶限定相應的網絡操作權限,這一操作的設定將加大非法用戶的訪問難度還可以對網絡不明用戶的不正常操作行為進行記錄。網絡管理人員必須做好對整個網絡系統的監控,記錄好服務器登錄用戶信息,一旦有異常出現,可利用聲音、文字等多種方式進行應急報警,提升網絡管理者的警惕性,及時阻攔黑客的不良攻擊,有效預防來自外部的惡意攻擊。
3.3 針對計算機系統軟件漏洞造成的隱患
計算機本身的漏洞問題是固有的,為保證計算機網絡安全必須定時的對系統漏洞做全盤掃描,深度清理。發現漏洞后及時修補,不給黑客、不法分子以可乘之機。計算機本身存在的漏洞若不及時發現并修復,很可能會產生外部病毒入侵、黑客攻擊與系統本身的漏洞“里應外合”的嚴重后果,造成的影響更是毀滅性的,因此必須嚴格搞好系統本身的漏洞監控修復工作,真正做到防患于未然。
3.4 入侵檢測技術
入侵檢測技術相較于其他防御技術有很大的不同,它扭轉了原來被動防御的劣勢,主動出擊,主動展開計算機網絡安全技術的防護工作,掌握一定的主動性,及時對異常入侵者做出反應。入侵檢測技術可以與多種相關技術合作,共同制定出與網絡環境相適應的安全規則,從而對網絡獲取的信息進行分析檢測,并時刻對網絡運行狀態進行監控,及時排除網絡中存在的安全威脅。
3.5 搞好計算機網絡專業人員培訓,建設專業的防護人
才隊伍
計算機是由人發明創造的,其操作使用者是人類,其管理維護者更是計算機專業人員,因此為了做好計算機網絡安全防護,專業的網絡管理維護人員是必不可少的。搞好計算機網絡網絡專業管理人員的培訓、建設專業的防護人才隊伍,提高其處理解決問題的能力,可以有效的對計算機的信息管理安全進行控制,保障網絡通信安全暢通運行。
3.6 加強網絡安全防范意識
計算機網絡安全問題產生的很大一部分原因在于計算機網絡用戶的安全防范意識薄弱,缺乏有力的信息甄別能力,容易受到虛假不良信息的誘惑侵蝕,從而無意中進入到病毒攜帶網站的圈套,進而受到病毒感染、木馬入侵等危害計算機網絡安全的干擾。因此廣大計算機網絡用戶務必有較強的網絡安全防護意識,對瀏覽網頁時自動彈出的信息窗口作仔細的甄別,確保其安全可靠后再選擇進入頁面,對于安全性不能確定的網頁要及時舉報攔截,將網絡安全防護的意識牢牢樹立于腦海之中。
3.7 利用多種新興媒體加大網絡安全維護的宣傳力度
新興的媒體客戶端在廣大計算機用戶中有著深厚的用戶基礎,在計算機網絡安全防護工作中,二者可以互相結合,利用媒體宣傳安全上網、防范網絡危險的知識和方法,營造安全和諧的上網環境,對于諸多惡意信息網站要及時舉報、曝光,必要時進行關閉處理,避免網絡用戶二次上當。在安全上網的方法指導下,計算機網絡用戶就可以走出操作使用時的盲區,在最大限度內做到趨利避害。
3.8 用資料備份儲存技術
計算機用戶在日常的工作學習和生活中會將大量的數據信息資料存入電腦之中,這在網絡安全暢通的情況下是非常方便的,但計算機網絡若遭到破壞或損毀,內存的資料也就不復存在的,這就要求采用資料備份存儲技術,將計算機內的個人資料信息作出備份存儲,避免資料信息丟失,給生活工作帶來不便。
4 結 語
計算機網絡在人們的生活工作中滲透得越來越深入,已經日漸成為人們生活中必不可少的一部分,人們的衣食住行都與之有著密不可分的聯系,其在人們生活中扮演的重要角色已經無可替代,而且在更長遠的時間里,計算機網絡對人們生活的影響會更加透徹,更加廣泛,人們的生活較之于現在也會發生更加深刻的變革。人們的生活會向著智能、簡約的趨勢發展,這種生活追求的實現必須依賴于安全可靠的計算機網絡技術。換言之,安全的計算機網絡環境和可靠地計算機網絡技術是確保人們生活日漸美好的充分必要條件,因而全世界范圍內的網絡用戶都必須為實現這一目標而共同努力,營造文明上網的和諧環境、倡導安全上網的操作規范,做到全社會參與,共同抵制計算機網絡安全隱患的侵襲。通過本文研究發現,機損及網絡安全防護不僅需要技術上的革新,還需要網絡用戶的積極響應參與,二者有效配合才可以充分保證計算機網絡的安全。
參考文獻:
篇7
2 P2DR網絡安全模型的分析
P2DR網絡安全模型是一種以PDR模型為核心的動態自適應網絡安全模型。自從ISS公司在20世紀90年代提出后,各行業不斷改進的網絡安全模型和采用的相應解決方案一般都是在此模型的基礎上提出的,它是國內外在信息系統中應用最廣泛的安全模型。該模型基于閉環控制理論,以安全策略為中心,引入了時間的概念,在傳統安全模型基礎上做了重大的改進。
P2DR模型由安全策略(Policy)、(防護Protection)、檢測(Detection)和響應(Response)四個部分組成。它的原理是:在安全策略的控制和指導下,運用如防火墻、數字簽名、身份認證等各種防護手段,實時對系統進行安全檢測,并通過各種響應機制保護系統,降低網絡風險性,從而提高網絡性能。
P2DR模型也存在一定的弱點,它忽略了系統內在的變化因素和人為因素。除了防護、檢測和響應三個環節外,優化網絡系統、提升網絡管理人員的素質,都是該模型沒有涉及到的。
3 SAWP2DR2C網絡安全防御模型的結構
為了更有效地解決各種新型的網絡安全威脅,在P2DR網絡安全模型基礎上,我們提出了更具動態特征的主動式動態網絡安全模型-SAWP2DR2C模型。
如圖1所示,該模型分成八個部分:安全策略(P)、服務需求/風險評估(S/A)、預警系統(W)、安全防護(P)、安全檢測(D)、響應(R)、恢復(R)和反擊(C),各部分之間相互依賴,形成一個閉合的循環的系統。
圖1 SAWP2DR2C模型示意圖
(1)安全策略(Policy)整個模型的核心就是安全策略。模型中的每個環節都在安全策略的控制與指導下進行。網絡安全策略的制定,要綜合考慮網絡預警情況、通信情況,要進行風險分析;當實施安全方案時,還需根據安全策略進行系統防護、檢測、響應恢復和主動反擊。
(2)服務需求/風險分析(Service/Analysis)服務需求是個動態變化的過程,也是整個網絡安全的前提條件。要想提高系統防御功能,提高速度,就一定要針對特定的服務進行風險分析,制定與之對應的安全策略。
(3)預警(Warning)依據已有的網絡攻擊手段和攻擊方法,結合當前網絡系統的具體情況,對系統未來可能受到的攻擊及危害進行預測。這個環節中可以讓多個計算機系統協同工作,將單機防御機制變為聯合協作機制。
(4)防護(Protection)通過加密、防火墻技術、認證、數字簽名等技術,防御來自外界的網絡攻擊,同時切斷內部的非法訪問在一定程度上提高安全性能阻斷黑客攻擊。
(5)監控(Detection)實時監測可以通過動態的性能監測、蜜罐誘騙、入侵檢測和漏洞掃描等方法及時發現網絡的薄弱環節,它是整個模型動態性的體現,是主動對抗網絡攻擊的有力依據。如果監控到網絡受到攻擊或是掃描到網絡存在漏洞,立即做出修補并將反饋結果傳遞到下一模塊中。
(6)響應(Response)當網絡遭到入侵并在一定程度上遭到了損害后,由響應模塊進行緊急處理,響應是解決安全潛在性問題的最有效的方法。
(7)恢復(Recovery)恢復是指綜合運用系統升級、打補丁等方式將遭受破壞的網絡系統復原到未遭受破壞之前的狀態,在恢復模塊中,可以將發生安全事故時丟失的信息找回,或是利用軟件升級和打補丁等手段修復網絡。恢復是實現動態網絡安全的保證,是系統生存能力的重要體現。
(8)反擊(Counterattack)當網絡遭到攻擊時,網絡安全系統追蹤黑客的攻擊信息,記錄網絡攻擊者采用的攻擊手段和手段,以此作為追究責任的依據。采用欺騙類、阻塞類、控制類、探測類和追蹤定位等技術方法進行有力的反擊,使攻擊失敗,提高網絡的安全性能。
該網絡安全模型各部分間相互獨立又相互依賴,彼此協調工作,形成一個閉合的循環的圓環。通過各個模塊的協調工作,網絡的整體安全性得到提升。
4 SAWP2DR2C網絡安全模型的五級網絡安全因素
SAWP2DR2C網絡安全模型包含五級網絡安全因素。
(1)物理層安全。包括通信線路、物理設備和環境的安全等。在物理層上主要通過制定物理層面的管理規范和措施來提供安全解決方案。
(2)系統層安全。該層的安全問題來自網絡運行的操作系統。安全性問題表現為操作系統本身的不安全因素。
(3)網絡層安全。網絡層的安全防護是面向IP包的。該層的安全問題主要指網絡信息的安全性。
(4)應用層安全。該層的安全考慮網絡對用戶提供服務所采用的應用軟件和數據的安全性。
(5)管理層安全。包括安全技術和設備的管理、安全管理制度等。管理的制度化程度極大地影響著整個網絡的安全。嚴格安全管理制度、明確部門安全職責劃分及合理定義人員角色都可以在很大程度上減少安全漏洞。
5 結束語
SAWP2DR2C網絡安全防御模型在P2DR網絡安全模型基礎上進行了優化和改進,使之更具有主動性,大大提高了網絡的安全性,結合各種防御技術,可以綜合應用在校園、企業等社會各界上,形成安全性更高的防御體系。
參考文獻
[1]雷明.校園網環境的網絡安全防御研究與實踐[D].電子科技大學,2009.
篇8
目前,國外有關學者已經對網絡安全風險防控進行了相關理論研究,結合我國網絡安全的現狀,對我國制定網絡安全風險防控策略也具有現實指導意義,并且在此基礎上需要更多的創新形式,來進行網絡安全風險的防控工作,最終實現網絡安全風險防控目標。
1 網絡安全風險的特點
1.1 可預測性
從理論角度上講,個別風險的發生是偶然的,不可預知的,但通過對大量風險的觀察研究發現,風險往往呈現出明顯的規律性。網絡安全風險預測是網絡安全領域一個新興的研究熱點和難點,是預防大規模網絡入侵攻擊的前提和基礎,同時也是網絡安全風險感知過程中的一個必不可少的環節。為此,研究者建立了實時網絡安全風險概率預測的馬爾可夫時變模型,并基于此模型,給出了網絡安全風險概率的預測方法。這說明網絡安全風險呈現出規律性特征,借助于科學模型以及數理統計等方法,可在此基礎上進行預測性分析,這也為我們發現、評估、預測、規避網絡安全風險提供了理論支撐。
1.2 難以識別性
網絡安全風險與其他風險相區別的顯著特征在于它的載體依附性,網絡安全風險依附于網絡,產生于網絡,而網絡的復雜性、蔓延性、不可預測性特征也決定了網絡安全風險的難以識別。網絡安全風險廣泛存在于計算機網絡的各個層面,同時也潛伏在網絡使用的各個時期,由于網絡的虛擬性特征明顯,決定了網絡安全風險漏洞的識別是一項紛繁復雜的工作,需要對網絡整體進行篩選和發現,網絡安全風險的難以識別性使得網絡安全風險防控的成本增加。
1.3 交互性
互聯網作為平等自由的信息溝通平臺,信息的流動和交互是雙向式的,信息溝通雙方可以與另一方進行平等的交互。安全風險相伴互聯網互生,并且呈現出不同領域內互為交織的特點。例如,網絡一方面使得金融機構拓寬了業務范圍,但同時以網絡為中介的交易風險也增大,使其成為我國社會風險防控的重要組成部分。
2 網絡安全風險防控技術分析
2.1 防火墻技術
隨著人們網絡安全和防范意識的提高,網絡安全技術的研發速率也不斷增加,基本上實現了對多數網絡安全問題的防護與處理。尤其是在一些企業單位,為了保證內部信息安全,采用了多種安全防護技術,其中最為常用的是防火墻技術。設置防火墻后,能夠對對網絡上的訪問信息進行掃描和檢查,一旦檢測到非法的,或者未授權的訪問信息時,防火墻的安全防護系統啟動,自動清除這些非法訪問信息,以此保證網絡內外安全。從防火墻的工作原理上看,它屬于被動式安全防護技術,即只有非法或未授權信息出現時,才能發揮安全保護作用。
2.2 網絡掃描技術
在網絡安全風險評估中,最常用的技術手段就是網絡掃描技術。網絡掃描技術不僅能夠實時監控網絡動態,而且還可以將相關的信息自動收集起來。近年來,網絡掃描技術的使用更為廣泛和頻繁,相對于原有的防護機制來說,網絡掃描技術可以使網絡安全系數有效的提升,從而將網絡安全風險明顯的降低。由于網絡掃描技術作為一種主動出擊的方式,能夠主動的監測和判斷網絡安全隱患,并第一時間進行處理和調整,對惡意攻擊起到一個預先防范的作用。
3 網絡安全風險防控策略
3.1 完善應急預案設計
網絡安全風險具有不確定性,最典型的就是它的發生時間不固定,因此,做好網絡安全風險防控最重要的策略就是將網絡風險防控工作常態化。網絡安全風險防控需要一整套切實可行的、邏輯上具有連續性的預案設計,即網絡安全政策的建設。完整的網絡安全政策建設應包括以下幾個方面的內容:網絡安全風險的收集、網絡安全風險的分析研判、網絡安全的漏洞識別、網絡安全漏洞/脆弱點強化、網絡安全風險分層面控制、網絡安全風險點對點消除。
3.2 主動配合行業監管
目前,部分行業由于行業的特殊性質或者不愿意公開等理由,使得部分行業的操作處于不透明狀態。雖然行業有其自身保護機密不被侵犯的權利,但是這種不透明化也會給風險的防控設置阻礙。網絡安全風險防控與對象有著緊密聯系,針對不同行業的不同特點,防控的策略也不盡相同,因此,行業要實現網絡安全風險防控效果的最大化就應主動配合國家和政府的行業監管,使行業內能夠做到透明化的操作實現透明化。
3.3 強化行業部門協作
網絡安全風險防控是一個系統工程,需要各行各業以及行業的各個部門實現全方位的協作。而現實中網絡安全風險有時候也是由于信息傳遞滯后、上下級信息傳遞阻礙或者行業、部門不合作造成的,而它的存在不僅會造成網絡安全事故的發生,也會帶來一系列連鎖反應,事故得不到及時解決,會使得網絡安全風險持續存在并且持續升高,造成更加嚴重的后果。各個行業或者部門要想打破這種阻礙信息共享的障礙,必須加強溝通對話,在協調各方利益的基礎上,共謀網絡安全風險防控的策略框架。
4 結語
總而言之,網絡安全風險防控是當前社會的熱點議題。網絡技術的發展不僅給現代社會帶來巨大便利,同時也使得網絡攻擊日趨常態化,從而引發了一系列的網絡犯罪問題。只有網絡安全,國家才能安全。進行網絡安全風險的防控需要進行風險原因分析,把握網絡安全風險級別,識別風險漏洞。
篇9
1 計算機網絡安全漏洞的類型分析
網絡安全漏洞的成因是多種多樣的,安全漏洞是計算機網絡技術發展過程中常見的問題之一,但是黑客與病毒制造者正是利用這種漏洞,對計算機網絡進行攻擊。因為計算機網絡的安全漏洞是多種多樣的,產生的網絡病毒也是多種多樣的,例如蠕蟲、木馬病毒程序對用戶的攻擊目標就不相同。由于計算機網絡安全漏洞的表現形式不同,分類的方法也不相同,一般地的可以將計算機網絡的安全漏洞分為兩種類型。
1.1 系統漏洞
系統漏洞是計算機網絡安全的常見問題,由于計算機網絡系統本身具有資源共享和交互特性,為了有效的提高用戶之間交流與互動,就需要不斷地拓展計算機系統功能,最大程度地滿足用戶對各類計算機功能的需求,在新功能開發、使用的過程中,不可避免的會出現一些漏洞,使得計算機網絡系統處在不安全的狀態下。基于計算機網絡多項功能的系統環境,黑客網絡就會對新開發的功能漏洞進行攻擊,以在更大范圍內獲取用戶信息,同時由于計算機網絡運行的周期越長,漏洞就越容易被發展,黑客對網絡攻擊的可能性就越大。計算機網絡的鏈路是網絡系統工作的基礎支持,也是網絡交互的重要保證,用戶在進行一些特殊的功能通信與文件交互時,需要開放網絡中的某些特殊端口,這時網絡病毒就會對這些端口進行攻擊,這種網絡安全漏洞也是當前計算機網絡安全的重要問題之一。
1.2 協議漏洞
協議漏洞主要是計算機網絡通信系統的通信協議進行劃分的,計算機網絡主要以TCP/IP協議為基礎進行通信,由于TCP/IP缺陷形成的漏洞,導致計算機網絡安全性能存在缺陷,被劃分為協議漏洞。協議漏洞在網絡安全中沒有嚴格的區分標準,但是病毒利用協議漏洞對網絡進行攻擊產生的影響具有一定的相似性,就需要從TCP/IP協議層對整個計算機進行防護,才能有效的保證網絡的安全。TCP/IP協議是計算機網絡的信息通道,是保證網絡通信重要因素。但是,由于TCP/IP的技術本身還不完善,使得它不能有效的νㄐ判議漏洞進行控制,在網絡通信的過程中,協議也不能正確判斷IP的實際來源,這樣在通信的過程中,TCP/IP受到的攻擊也就比較多,也會影響著網絡的正常通信。例:滿足TCP/IP協議通信類、共享類等特殊需求時,在通信的過程中,就需打開相應的通信端口,在端口的信息交互是很快的,在這種情況下,TCP/IP協議就會出現漏洞,黑客利用打開的端口,就會對通信協議展開攻擊,以解析的方式通過打開的端口侵入到計算機系統中,對網絡系統能夠的通信協議進行惡意的篡改,使得網絡通信出現安全問題。
2 計算機網絡安全漏洞的原因分析
安全漏洞最根本的原因是計算機不完善的原因造成的,而造成安全漏洞的原因是多方面的,但是主要因素一般集中在DoS和網絡入侵兩個方面,在網絡安全管理中,DOS是拒絕類服務,主要是對系統中的安全權限進行限制,在DOS拒絕服務的同時,網絡管理系統的安全漏洞權限就會被限制,網絡的安全性能就會提高,但是如果用戶需要利用某一個端口,就需要打開通信端口,修改端口的權限,就必須要個端口分配權限資源,導致網絡系統的資源程序被分割,通信端口就存在安全的問題,同時由于通信端口并不能保障所有資源都可以被DOS有效利用,DOS安全管理就不能有效的對端口通信的所有資源進行管理,分割后的資源部分會轉化成無效文件,這樣就會被黑客與病毒利用,進而引發網絡安全漏洞。網絡入侵是一種網絡攻擊形式,它屬于惡意攻擊,往往會對用戶的信息安全造成損害,它主要以網絡安全漏洞為入侵目的,通過病毒的入侵,盜取系統的信息,對計算機網絡造成更大范圍內的安全問題,例如,病毒以寫入的方式,對系統的通信文件進行修改,使得用戶的權限信息被修改,導致計算機網絡系統安全防護能力降低或者癱瘓,從而使得一些非法用戶盜取系統的信息,甚至會造成部分信息混淆,往往會造成更大的網絡安全漏洞,進而會造成大面積的數據泄露。由于計算機的DOS系統與網絡入侵造成的網絡安全漏洞,如果不采取有效的安全防御措施,就會使得用戶的信息處于無保護狀態,影響著網絡信息的安全。
3 計算機網絡安全漏洞的防范策略研究
由于計算機網絡中安全問題是多種多樣的,在對計算機網絡安全漏洞進行防護時,需要根據安全漏洞的種類,來分析計算機網絡安全漏洞形成的原因,結合具體的情況,選擇合適的安全防范策略。
3.1 防火墻技術
防火墻技術的主要功能是對網絡中的病毒數據進行隔離,進而起到保護網絡安全,提高網絡系統的安全性。根據防火墻技術的工作方式,可以將其分為如下三種網絡安全防護方式:第一種是過濾防護,這是防火墻的基本功能,主要是采用路由器技術對網絡的安全漏洞進行掃描分析,通過漏油器來篩選網絡數據的訪問行為,對非法的數據進行隔離,但是采用防火墻不能對隱蔽的地址進行過濾,對一些隱蔽性的攻擊不能做到有效的防護;第二種是技術,它是對訪問計算機系統的程序數據進行分析,如果發現病毒直接阻斷程序的訪問,采用技術可以對訪問系統的數據進行記錄,并生成加密信息列表,以便與后期掃描的數據進行比對,如果發現異常就阻斷網絡訪問,進而能夠實現對計算機網絡進行防護,保證網絡的安全;第三是方位控制技術,實時控制網絡的非法訪問,對非法訪問的用戶進行控制,訪控技術的實現也可以通過安裝防火墻,采用防火墻的安全功能對訪問的用戶身份進行驗證,通過設計用戶訪問的全新,采用口令與密碼結合的方式對用戶的訪問進行控制,限制非法的用戶訪問系統的數據,保護計算機網絡中的文件、數據的安全,進而達到網絡安全防護的目的。
3.2 病毒防范措施
采用殺毒軟件對計算機網絡安全進行防護是網絡安全常用的方法與手段之一,病毒對計算機網絡安全漏洞的攻擊力非常強,常常能夠繞過防火墻對計算機進行攻擊,而且計算機病毒具有依附性、多變性的特點,這樣使用殺毒軟件能夠有效的對病毒進行防護。一旦計算機網絡中出現病毒,病毒就可以借助網絡的安全漏洞,進入到用戶計算機中,對用戶計算機系統進行干擾與破壞。因此,在網絡系統中,可以按照防病毒軟件來提高計算機的安全防護措施,提高網絡系統的安全。目前,我國主要利用多層防衛系統作為病毒防范的措施,采取主動防御的辦法,在用戶的計算機上安裝計算機殺毒軟件,例如卡巴斯基、360、小紅傘等病毒查殺軟件,防止病毒入侵,它們一般都具有主動防御的功能,利用殺毒軟件定期對計算機系統進行檢測,分析計算機網絡系統的安全問題,分析系統中是否存在安全漏洞,及時的修復計算機的漏洞,使得計算機能夠在良好的網絡環境中進行工作。由于計算機病毒是一個不斷變化的過程,而且病毒的變異能力也十分強大,這就需要做好計算機病毒庫的升級工作,防止病毒侵入到計算機中,通過安裝殺毒軟件,并定期更新病毒庫,可以有效的切斷計算機病毒的入侵途徑,優化計算機網絡的運行環境。
3.3 漏洞掃描技術
漏洞掃描技術的作用是對計算機系統中存在的安全漏洞進行掃描,及時發現系統存在的漏洞問題,它的工作原理如下:模擬實際的漏洞攻擊,對網絡系統中存在的安全問題進行分析,利用各種探測方式,分析計算機網絡系統中是否存在安全的漏洞或者不合理的行為,然后以錯誤的注冊方式,分析系統的漏洞,例如在通訊的主機端口,進行路徑掃描,然后根據主機反饋的信息,分析計算機網絡系統中是夠存在安全漏洞,在采用模擬漏洞攻擊的方式,對計算機網絡安全漏洞機進行檢查與分析,并逐步的進行分析,以便于及時的發現網絡系統中是否存在安全的問題,并根據計算機系統反饋的信息,分析安全漏洞的實質,這樣以達到能夠有效的防護計算機網絡系統的安全漏洞。目前,漏洞掃描的主要技術為DOS掃描,來達到掃描緩沖的目的,以便于對計算機系統的安全漏洞進行分析。計算機網絡的安全漏洞掃描具有全面性的特點,它不僅能夠對本地計算機網絡系統的安全漏洞進行檢查分析,也可以通過遠程控制,對計算機系統進行遠程掃描。漏洞掃描技術需要定期對計算機網絡系統的安全漏洞進行掃描,并定期的對安全系統進行維護,通過對計算機網絡系統的服務器、通信端口、運行軟件等作為漏洞掃描的防o對象,加強對計算機安全進行防護,由于這類維護對象經常需要網絡環境進行接觸,也是用戶需要經常運行的部分,容易出現網絡安全漏洞,成為病毒、木馬、黑客攻擊的主要對象,同時還會這類維護對象還能夠成為病毒的依附對象,引發大規模的病毒工具,造成用戶文件的丟失或者被盜。因此,將此類維護對象對計算機網絡系統的漏洞掃描關鍵位置,能夠有效的提高網絡安全防護能力。
3.4 端口解析技術
端口主要是指計算機網絡通信的USB接口,一般是計算機系統的對外信息接口,在計算機系統中,USB接口的安全性也做了防護,但是在工作的過程中,也有可能存在安全漏洞。因此,在接入USB接口時,需要做好計算機安全防護,在USB端口接入設備時,系統就會對其通信端口進行解析,并及時的向用戶反饋信息,一旦出現病毒就會及時的發出報警,這樣就能夠有效的對病毒、木馬等行為進行檢測,避免計算機病毒通過USB通信端口植入到計算機系統中,提高網絡的安全性。因此,在計算機中使用USB設備時,需要做好計算機安全漏洞防護措施,以提高網絡的安全性。
3.5 數據備份
數據備份是計算機系統自我防護的一個重要功能,一個完整的安全系統,在工作時必須具備數據的備份與還原的能力,能夠有效的對計算機的數據威脅進行防范。如果計算機出現威脅導致用戶數據破壞時,系統能自動的進行還原,為用戶提供備份的數據。雖然,數據備份對網絡系統安全管理是一項比較乏味的工作,在實際工作中可能對用戶不會起到幫助的作用,但是,一旦用戶的電腦出現安全問題時,數據備份能夠起到防患未然的作用,在一定的程度內降低了用戶的損失,提高了數據的安全性能。
3.6 入侵檢測
雖然網絡安全防患措施都在使用,但大多數的網絡安全防患措施都具有被動防患的弱點,主動防御的性能較差,有的屬于工作人員的工作疏忽,往往會導致嚴重的后果,通過采用入侵檢測是非常有效的措施,能夠在病毒對計算機的數據進行攻擊之前進行檢測,然后利用報警與防護系統對工作人員進行提醒,在入侵檢測的過程中,能夠有效的減少因為入侵攻擊造成的財產損失,增強系統的安全防護的性能,有利于增強網絡的穩定性。
4 結束語
隨著計算機網絡安全的問題越來越得到重視,人們也加強對網絡安全技術的研究,為了有效的對計算機網絡安全進行控制,就需要深入的對計算機網絡安全問題進行分析,探究網絡安全漏洞形成的原因,才能有效的提出安全防護措施。在具體的防護過程中,需要綜合的利用防火墻技術、漏洞掃描技術、入侵檢測技術以及殺毒軟件控制技術等網絡進行安全的防護,科學合理的制定網絡安全防護措施,才能有效的提高計算機網絡系統的安全。
參考文獻
[1]張達聰.鄒議計算機網絡安全漏洞及防范措施[J].硅谷,2016(06).
[2]魏英韜.淺析計算機網絡安全防范措施[J].中國新技術新產品,2015(03).
[3]羅耀.淺談計算機網絡安全管理的措施[J].信息與電腦(理論版),2014(04).
[4]王茹.計算機信息網絡安全存在的問題及其應對策略[J].信息與電腦(理論版),2015(05).
作者簡介
篇10
隨著網絡技術的逐漸普及,隨之而來的網絡安全隱患也隨之不斷暴漏,頻發的網絡安全事故在造成經濟和社會危害的 同時讓人們逐漸認識到網絡安全的重要性。必須對網絡信息安全進行科學理性的分析,找到切實可行的網絡安全管理方法,從而有效的提升網絡安全性。
1 計算機網絡安全的主要隱患
凡是威脅到計算機網絡安全性的因素,都稱之為計算機網絡安全隱患計算機網絡安全隱患的存在,給計算機帶來了嚴重的威脅,如果不能采取科學的措施應對計算機網絡安全隱患,很可能導致計算機用戶資料和信急泄露、計算機被病毒感染等后果,給計算機用戶帶來信息、資料、精神和經濟的多方面損失在此,將計算機網絡安全的主要隱患總結如下:
所謂的網絡安全隱患,就是可能對計算機網絡產生威脅的因素。它的存在給計算機網絡的應用帶來了大范圍的危害,如果不及時發現并加以清除,會導致諸如用戶信息泄露、網絡終端遭受病毒攻擊、虛擬財產受到侵害等多方面的負面影響。其主要表現形式為:
1.1 網絡漏洞擴大
在計算機網絡中,計算機病毒和木馬往往是通過網絡漏洞入侵并發動攻擊的。一般來說,網絡漏洞的生成是有網絡管理者的疏于管理造成的。如果網絡漏洞不能及時封堵,不法分子往往會通過這些漏洞進行侵犯,并在網路中進行更大范圍的傳播,給同一網絡內的終端帶來極大的安全隱患。
1.2 黑客入侵
一般來說,利用計算機漏洞發動網絡攻擊的都是擁有較高計算機技術的黑客。他們通過非法手段入侵用戶計算機或者終端,通過破解網絡密碼、破壞儲存數據、植入擴散性病毒,甚至直接操縱終端的方式使用戶蒙受大量損失。
1.3 病毒入侵
如果連入網絡的計算機不能對網絡內的病毒進行有效的防御,將會遭受病毒的入侵。其后果就是導致系統變慢、卡機甚至喪失運轉能力。而網絡病毒通常通過應用程序或者文件進行偽裝。如果客戶下載了這些含有病毒的文件,就會導致計算機中毒。而計算機病毒最具威脅的地方就是,當用戶發現中毒時,計算機病毒已經竊取到了客戶的相關信息。給用戶的企業及個人信息甚至財產造成極大的隱患。而技術更加高級的病毒甚至可以讓中毒電腦變成病毒的發射站,繼續對網絡內的其他電腦造成破壞。
1.4 網絡詐騙
網絡是一種虛擬社會,人們通過各種工具建立聯系,網絡中形形的人不一而足,很多不法分子在掌握了相關技術后以此為機會開展網絡詐騙。近年來,通過虛假網站、虛假聊天等方式開展的網絡詐騙行為有增多的趨勢,如果一旦落入絡詐騙行為的陷阱中,就很容易遭受巨大損失。
2 計算機網絡安全管理措施
為了有效提升網絡安全系數、打擊網絡詐騙,有必要對網絡安全進行必要的安全管理,從用戶接入、網絡安全防護、過濾不良信息等方面進行管控,制定網絡安全突發事件下的應對措施和應急預案,最大限度的將網絡安全隱患降低到可控的范圍之內。
2.1 加強網絡防火墻的防護效果
目前廣泛運用的網絡防火墻是人們在計算機內部通過假設技術性防護屏障來對用戶的信息以及資產安全進行防護的措施。計算機防火墻一方面可以過濾由外部網絡進人內部網絡或用戶計算機的各種程序、代碼,防護來自外部網絡的不安全因素,另一方面及時預警外部網絡的黑客攻擊或者病毒入并有效防護計算機安全。基于計算機防火墻的功能,建議所有的計算機都要及時的升級計算機內部的防火墻,及時關注防火墻的安全信息,通過防火墻將可以檢測到的病毒隔離在計算機終端之外。
2.2 提升殺毒軟件的普及率
計算機殺毒軟件是用戶為了保護計算機安全而進行的主動防御措施。雖然計算機殺毒軟件與計算機病毒的產生和發展相比具有一定程度的滯后性,但是對于一般的病毒而言,計算機殺毒軟件還是具有較強的甄別和殺滅效果。用戶要主動安裝計算機殺毒軟件,及時升級,定期對計算機進行全方位的檢測,確保計算機網絡的安全。由于計算機軟件的使用門檻較低,殺毒效果較好,成為了目前較為流行的計算機網絡安全防御工具,用戶要對計算機殺毒軟件的作用引起高度的重視。
2.3 提高網絡訪問的權限
目前的計算機網絡根據功能都設定了一定的訪問權限。訪問權限的高低決定了相關用戶可以了解計算機信息的多少。所以說必須設定科學的訪問權限等級從而有效維護計算機的網絡安全。如果訪問權限設定過高,會影響到客戶的訪問效果;反之,如果計算機網絡的訪問權限較低,將提升網絡安全的隱患。所以要在兼顧網絡安全以及用戶體驗的同時,合理的設置網絡訪問的權限等級。網絡安全管理人員也要對網絡安全進行全方位的監控,在發現入侵危險的同時,要及時的進行鎖定和隔離。
2.4 制定完善的網絡安全應急預案
網絡安全事件在發生的初期一般都是可以控制的,所以說要在網絡安全事件發生之前就制定有效的應急預案,完善網絡安全管理責任制,結合以網絡的網絡安全案例,對可能發生的網絡攻擊行為進行預判,并根據不同的網絡攻擊模式制定詳細的應對措施,在實踐的過程中對于應對預算加強改進和完善,從而在最大程度上確保用戶的網絡安全。
3 結語
計算機網絡技術的發展總是和網絡安全問題的發展相輔相成的。我們要正視這個現實,從技術層面和教育層面增強用戶的網絡安全意識。不斷提升網絡安全層級,積極主動地降低網絡安全事故給社會經濟發展和人民群眾的生產生活帶來的不利影響。
篇11
隨著高新技術的不斷發展,計算機網絡已經成為我們生活中所不可缺少的概念,然而隨之而來的問題----網絡安全也毫無保留地呈現在我們的面前,不論是在軍事中還是在日常的生活中,網絡的安全問題都是我們所不得不考慮的,只有有了對網絡攻防技術的深入了解,采用有效的網絡防護技術,才能保證網絡的安全、暢通,保護網絡信息在存儲和傳輸的過程中的保密性、完整性、可用性、真實性和可控性,才能使我們面對網絡而不致盲從,真正發揮出網絡的作用。
一、計算機網絡防護技術構成
(一)被動防護技術
其主要采用一系列技術措施(如信息加密、身份認證、訪問控制、防火墻等)對系統自身進行加固和防護,不讓非法用戶進入網絡內部,從而達到保護網絡信息安全的目的。這些措施一般是在網絡建設和使用的過程中進行規劃設置,并逐步完善。因其只能保護網絡的入口,無法動態實時地檢測發生在網絡內部的破壞和攻擊的行為,所以存在很大的局限性。
( 1 )信息保密技術
密碼技術是網絡安全最有效的技術之一, 信息加密過程是由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。它通過信息的變換或編碼,將敏感信息變成難以讀懂的亂碼型信息,以此來保護敏感信息的安全。在多數情況下,信息加密是保證信息機密性的惟一方法。信息加密的主要目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。
網絡加密常用的方法有:鏈路加密、端點加密和節點加密3種。密碼體制主要有分組密碼體制和序列密碼體制。論文參考網。
( 2 ) 信息認證技術
認證技術是網絡安全的一個重要方面,屬于網絡安全的第一道防線。其認證機制是接收者接收信息的同時還要驗證信息是否來自合法的發送者,以及該信息是否被篡改過,計算機系統是基于收到的識別信息識別用戶。認證涉及多個步驟:收集認證信息、安全地傳輸認證信息、確定使用計算機的人(就是發送認證信息的人)。其主要目的是用來防止非授權用戶或進程侵入計算機系統,保護系統和數據的安全
其主要技術手段有:用戶名/密碼方式;智能卡認證方式;動態口令;USB Key認證;生物識別技術。
( 3 ) 訪問控制技術
訪問控制是保證網絡安全最重要的核心策略之一,是一種基于主機的防護技術。訪問控制技術通過控制與檢查進出關鍵服務器中的訪問,保護服務器中的關鍵數據,其利用用戶身份認證功能,資源訪問權限控制功能和審計功能來識別與確認訪問系統的用戶,決定用戶對系統資源的訪問權限,并記錄系統資源被訪問的時間和訪問者信息。其主要目的是保證網絡資源不被非法使用和訪問。
其主要方式有:自主訪問控制、強行訪問控制和信息流控制。
( 4 ) 防火墻技術
防火墻是一種網絡之間的訪問控制機制,它的主要目的是保護內部網絡免受來自外部網絡非授權訪問,保護內部網絡的安全。
其主要機制是在受保護的內部網和不被信任的外部網絡之間設立一個安全屏障,通過監測、限制、更改、抑制通過防火墻的數據流,盡可能地對外部網絡屏蔽內部網絡的信息和結構,防止外部網絡的未授權訪問,實現內部網與外部網的可控性隔離,保護內部網絡的安全。
防火墻的分類主要有:數據包過濾型防火墻、應用層網關型防火墻和狀態檢測型防火墻。
(二)主動防護技術
主動防護技術主要采取技術的手段如入侵取證、網絡陷阱、入侵檢測、自動恢復等,能及時地發現網絡攻擊行為并及時地采取應對措施,如跟蹤和反攻擊、設置網絡陷阱、切斷網絡連接或恢復系統正常工作。實現實時動態地監視網絡狀態,并采取保護措施,以提供對內、外部攻擊和誤操作的實時保護。
( 1 )入侵取證技術
入侵取證技術是指利用計算機軟硬件技術,按照符合法律規范的方式,對計算機網絡入侵、破壞、欺詐、攻擊等犯罪行為進行識別、保存、分析和提交數字證據的過程。
入侵取證的主要目的是對網絡或系統中發生的攻擊過程及攻擊行為進行記錄和分析,并確保記錄信息的真實性與完整性(以滿足電子證據的要求),據此找出入侵者或入侵的機器,并解釋入侵的過程,從而確定責任人,并在必要時,采取法律手段維護自己的利益。
入侵取證技術主要包括:網絡入侵取證技術(網絡入侵證據的識別、獲取、保存、安全傳輸及分析和提交技術等)、現場取證技術(內存快照、現場保存、數據快速拷貝與分析技術等)、磁盤恢復取證技術、數據還原取證技術(對網上傳輸的信息內容,尤其是那些加密數據的獲取與還原技術)、電子郵件調查取證技術及源代碼取證技術等。
( 2 ) 網絡陷阱技術
網絡陷阱技術是一種欺騙技術,網絡安全防御者根據網絡系統中存在的安全弱點,采取適當技術,偽造虛假或設置不重要的信息資源,使入侵者相信網絡系統中上述信息資源具有較高價值,并具有可攻擊、竊取的安全防范漏洞,然后將入侵者引向這些資源。同時,還可獲得攻擊者手法和動機等相關信息。這些信息日后可用來強化現有的安全措施,例如防火墻規則和IDS配置等。
其主要目的是造成敵方的信息誤導、紊亂和恐慌,從而使指揮決策能力喪失和軍事效能降低。論文參考網。靈活的使用網絡陷阱技術可以拖延攻擊者,同時能給防御者提供足夠的信息來了解敵人,將攻擊造成的損失降至最低。
網絡陷阱技術主要包括:偽裝技術(系統偽裝、服務偽裝等)、誘騙技術、引入技術、信息控制技術(防止攻擊者通過陷阱實現跳轉攻擊)、數據捕獲技術(用于獲取并記錄相關攻擊信息)及數據統計和分析技術等。
( 3 ) 入侵檢測技術
入侵檢測的基本原理是從各種各樣的系統和網絡資源中采集信息(系統運行狀態、網絡流經的信息等),對這些信息進行分析和判斷,及時發現入侵和異常的信號,為做出響應贏得寶貴時間,必要時還可直接對攻擊行為做出響應,將攻擊行為帶來的破壞和影響降至最低。它是一種主動的入侵發現機制,能夠彌補防火墻和其他安全產品的不足,為網絡安全提供實時的監控及對入侵采取相應的防護手段,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。入侵檢測系統已經被認為是維護網絡安全的第二道閘門。
其主要目的是動態地檢測網絡系統中發生的攻擊行為或異常行為,及時發現攻擊或異常行為并進行阻斷、記錄、報警等響應,彌補被動防御的不足之處。
入侵檢測技術主要包括:數據收集技術、攻擊檢測技術、響應技術。
( 4 ) 自動恢復技術
任何一個網絡安全防護系統都無法確保萬無一失,所以,在網絡系統被入侵或破壞后,如何盡快恢復就顯得非常關鍵了。這其中的一個關鍵技術就是自動恢復技術,他針對服務器上的關鍵文件和信息進行實時地一致性檢查,一旦發現文件或信息的內容、屬主、時間等被非法修改就及時報警,并在極短的時間內進行恢復。論文參考網。其性能的關鍵是資源占有量、正確性和實時性。
其主要目的是在計算機系統和數據受到攻擊的時候,能夠在極短的時間內恢復系統和數據,保障系統的正常運行和數據的安全。
自動恢復技術主要包括:備份技術、冗余技術、恢復技術、遠程控制技術、文件掃描與一致性檢查技術等。
二、計算機網絡防護過程模型
針對日益嚴重的網絡安全問題和愈來愈突出的安全需求,人們在研究防黑技術的同時,認識到網絡安全防護不是一個靜態過程,而是一個包含多個環節的動態過程,并相應地提出了反映網絡安全防護支柱過程的P2DR模型,其過程模型如圖1所示。
圖1 P2DR模型體系結構圖
其過程如下所述:
1.進行系統安全需求和安全風險分析,確定系統的安全目標,設計相應的安全策略。
2.應根據確定的安全策略,采用相應的網絡安全技術如身份認證技術、訪問控制、網絡技術,選擇符合安全標準和通過安全認證的安全技術和產品,構建系統的安全防線,把好系統的入口。
3.應建立一套網絡案例實時檢測系統,主動、及時地檢測網絡系統的安全漏洞、用戶行為和網絡狀態;當網絡出現漏洞、發現用戶行為或網絡狀態異常時及時報警。
4.當出現報警時應及時分析原因,采取應急響應和處理,如斷開網絡連接,修復漏洞或被破壞的系統。
篇12
1 計算機通信網絡安全的基本內涵和重要意義
1.1 計算機通信網絡安全的基本內涵
計算機網絡通信安全是指通過運用網絡管理措施和網絡技術方法,確保數據的完整性、保密性、可使用性。包括兩個方面的內容,一是物理安全,物理安全是指計算機通信網絡的硬件設施、設備受到保護,免于遭到破環。二是邏輯安全,邏輯安全是指存儲在計算機磁盤里的信息的完整性、保密性、可使用性,這些信息不僅包括用戶私人信息、資料,還包括網絡運營商為用戶提供的各項服務,因此必須從計算機通信網絡的各個方面著手,采取對應的安全措施,構建一個全面的、完善的網絡安全系統。
1.2 計算機通信網絡安全的重要意義
隨著計算機網絡技術的不斷發展,計算機日益成為我們日常生活工作和生產活動不可分割的重要組成部分,由于這種密切聯系的不斷加深,確保計算機通信網絡安全是現實的需要。計算機網絡安全不僅關系到人們生活質量與安全,也關系到企業能否順利有效地生產運營,更影響到國家利益與國家安全。因此,加強對計算機通信安全防護措施是保護人民群眾和國家利益、促進國民經濟健康穩定持續發展的有力保證。
2 當前計算機通信網絡存在的安全隱患
當前網絡安全問題值得我們注意、值得我們探討研究并采取有效措施解決。近年來,網絡安全防范技術得到一定程度的提高,諸如研發應用防火墻、服務器、侵襲探測器等技術來加強防范,但是黑客惡意攻擊并不因此而止步,反而道高一尺魔高一丈,數據的盜竊、黑客的惡意攻擊、計算機病毒的肆意蔓延、用戶信息的泄漏等依然是根深蒂固、亟待解決的問題。當前計算機通信網絡安全問題主要分為兩類,一類是由計算機內部系統引起的,另一類則是由一些不當的認為因素引起的。
2.1 由計算機本身系統因素引起的安全隱患
首先,計算機通信網絡具有開放性與廣泛性的特點,網絡連接的范圍非常寬廣,面向廣大群眾開放,復雜錯綜的網絡系統一定程度增大了數據信息保存與傳遞的保密性與完整性的難度。其次,計算機軟件極易不定時存在一些漏洞,這些軟件漏洞是因為在軟件設計中由于考慮不周全造成的,倘若沒能有效地及時修補,這些漏洞一旦被黑客等不法分子利用,那么該計算機就會很容易遭到襲擊。再次,快速發展的計算機病毒、木馬破環計算機功能。計算機通信網絡速度提高給人們帶來福音的同時也為計算機病毒、木馬的快速發展提供良好的生存條件,計算機病毒、木馬具有強大的自我復制的性能,潛入計算機程序破環計算機執行命令、指示的程序代碼,使之出現癱瘓,無法正常工作的現象。
2.2 由人為因數引起的安全隱患
人為因素包含兩個方面的內容,一是用戶缺乏通信網絡安全防范意識,導致一些可以避免的人為失誤。二是人為的惡意攻擊,冒充真正用戶惡意竊取、篡改、破環個人或企業運營服務信息資料。前者主要是指計算機操作人員的安全防范意識不夠,出現一些低級是失誤,比如為了方便記憶和使用把軟件密碼設置得過于簡單,或者直接把密碼情愿地告知陌生人,也有一些操作人員的安全設置方法不夠規范,這些導致了不可忽視的安全隱患,為黑客等不法分子進行惡意攻擊與竊取、篡改、破環用戶信息等相關數據提供了便利。有些操作者只為享受計算機網絡技術帶來的好處與樂趣,不管網站是否合法,都毫無顧忌地訪問,這極易造成個人用戶信息泄漏的后果。后者人為的惡意攻擊對計算機通信網絡安全的危害性更大,人為的惡意攻擊又包括主動攻擊和被動攻擊兩個方面,主動攻擊是惡意破環數據信息的完整性和有效性,被動攻擊則是在不影響計算機正常穩定運行的情況下,竊取捕獲用戶個人私密信息,導致數據信息的外漏,這也極大影響了計算機網絡安全。
3 加強計算機通信網絡安全防范的有效措施
3.1 提高計算機通信網絡安全技術
提高網絡安全技術是加強通信網絡安全關鍵、有效的措施。我們從以下四個方面的內容來提高網絡安全技術,第一,提高加密技術,通過設置一些不對稱的密碼比如數字與英文字母組合、字母大小寫并用等方式來提高偽裝密碼技術。第二,加強防火墻的設置,防火墻技術主要是通過數據的過濾和應用網關技術來識別外來數據信息,從而保證網絡安全。第三,完善通信網絡的內部協議,通信網絡內部協議主要通過加強對外來數據信息的認證來提高加密技術,進而實現計算機網絡安全。第四,提高網絡病毒的入侵檢測技術,一旦惡意的計算機病毒、木馬入侵,計算機內部系統就會發出警告,及時提醒操作人員采取應急措施剔除計算機病毒。
3.2 提高計算機通信網絡系統的自身性能
計算機網絡安全隱患的一個重要影響因素是計算機通信網絡系統自身的缺陷,因此加強網絡系統自身性能是非常必要的甚至是必不可少的,要提高系統對數據信息的保密水平,設計通信協議的安全等級鑒別,達到減少漏洞、遏制病毒侵襲的目的。
3.3 強化計算機網絡安全教育
計算機網絡安全教育不僅針對內部計算機工作人員而且針對廣大使用計算機網絡的群眾,不僅要提高他們網絡安全防范意識,而且要提高他們對計算機網絡安全技術的運用熟練程度。
4 結語
總之,計算機是人們娛樂身心、學習溝通的重要工具,計算機網絡安全問題影響到人們日常的生活水平,對于企業而言,計算機網絡安全問題則影響到生產效率的保證,至于國家層面,計算機安全問題關系到國家政治、經濟、軍事機密安全問題,因此,要提高計算機通信網絡安全技術、提高計算機系統自身性能與增強用戶安全防護意識,來保證計算機網絡運行的安全。
參考文獻
篇13
防火墻;入侵檢測;聯動;網絡安全
隨著互聯網的深入發展,網絡攻擊方式層出不窮,令人防不勝防;而防火墻和入侵檢測作為防護網絡安全的兩種重要技術手段,雖被廣泛采用,但由于自身缺陷,使得兩者的防范內容不盡相同。比如防火墻只能防范來自外部的攻擊而無法解決來自網絡內部的攻擊;入侵檢測只能識別攻擊發出報警卻不能自動產生適當的響應去阻止攻擊等等,為了滿足網絡安全整體化的要求,提出將防火墻和入侵檢測這兩種具有較強互補性的技術整合在一起進行聯動,揚長避短,充分發揮各自的優勢,提高網絡安全防護水平,最大程度的保障網絡及信息的安全。
1防火墻技術
防火墻[1]指的是一個由軟件和硬件組合而成的高級訪問控制設備,是置于不同網絡安全域之間執行訪問控制策略的一種或一系列部件的組合。防火墻位于網絡安全防護體系的最外一層,通常會被放置在外網與內網之間的出入口處。作為不同網絡安全域之間通信流的唯一通道,它為實現網絡安全起到了把關的作用。防火墻技術實際上是一種隔離技術,通過制訂安全策略(允許、拒絕、監視、記錄),將內部信任區域與外部不安全區域(如因特網)或內部網不同可信區域有效隔離,最大限度的對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全防護。雖然防火墻能在網關級進行保護,但只提供靜態防御,防御規則事先就已經設置完畢,一旦規則設置有誤或者安全形勢發生變化,防火墻就失去了即時應變的能力,因此它是一種被動的安全防護技術,存在一定的局限性,主要表現為:1)防火墻默認內部網絡都是可信的,如果內部網絡中存在后門,那些不經過防火墻的攻擊數據包進入到內網時防火墻無法防范和響應。2)防火墻的訪問控制策略需事先設置,不能實時調整策略規則來阻止正在進行的攻擊,缺少應變性無法主動防范新的安全威脅。3)防火墻既不能防止受病毒感染的文件或程序的傳輸也不能防止基于某些標準網絡協議的攻擊。
2入侵檢測技術
入侵檢測[2]是對計算機網絡系統中入侵行為的檢測。它通過收集和分析網絡行為、日志數據以及網絡系統中若干關鍵點信息,檢查網絡系統中是否存在入侵或違反規則的行為并及時做出響應,例如斷網、報警、記錄事件信息等。入侵檢測系統簡稱IDS(IntrusionDetectiveSystem)由進行入侵檢測的軟件和硬件所構成。與防火墻的被動防御不同,入侵檢測采取的是一種積極主動地安全防護手段,能在不影響網絡性能的前提下通過旁路監聽方式不間斷地收取網絡數據,主動尋找入侵信號,對系統中的異常現象或未授權的訪問、活動等事件進行審計、追蹤、識別和檢測。入侵檢測不僅能察覺到來自系統外部的入侵,同時也能發現系統內部用戶未經授權的活動,主動保護自己免受網絡攻擊,因此被認為是防火墻之后的第二道安全閘門。盡管如此,入侵檢測技術還是存在一些局限性:1)由于入侵檢測通常依賴特征匹配,每截獲一個數據包都要分析和匹配,檢測其中的數據是否具備攻擊特征,因此會耗費大量的時間和系統資源,使得入侵檢測的檢測速度跟不上網絡數據的傳輸速度,通常在數據包巨多的流量面前它會迅速失效。2)入侵檢測的漏報率和誤報率都比較高,產生漏報的一大原因是攻擊特征數據庫不能及時更新;另外一些舊式的攻擊對已更新的操作系統不起作用,如果模式庫中還存有這些攻擊特征,就會導致入侵檢測頻繁報警,這些無效報警很大程度上無疑加大了入侵檢測的誤報率。3)入侵檢測往往重點都放在對網絡中入侵攻擊行為的識別上,所以即使檢測到攻擊也很難采取有效的保護措施去阻止攻擊。
3防火墻與入侵檢測的聯動
通過以上的分析對比可以看出兩者在網絡安全防護方面都存在一定的缺陷,防火墻側重于提供靜態訪問控制、入侵檢測側重于主動發現入侵。如果把這兩種技術結合在一起,集中二者的長處,形成互補,建立緊密的聯動關系,相互提供保護屏障,既可以提升防火墻的機動性也能增強入侵檢測系統的阻斷能力。
所謂聯動[3]是指通過一種組合的方式,將不同的安全技術進行整合,由其他安全技術彌補某一安全技術自身功能和性能的缺陷,以適應網絡安全立體化、整體化的要求。本文提出的防火墻與入侵檢測系統聯動的方式是指將防火墻和入侵檢測劃分為兩個獨立的子系統,單獨完成各自的任務,兩者之間通過相應的通信接口和協議進行信息共享和互動,實現一體化的主動防御;同時為了防止交互信息被黑客竊取和攻擊,相互間的通信需要進行認證和加密。防火墻與入侵檢測系統之間的聯動協作流程如圖1所示。聯動實現過程如下:1)首先防火墻安置于Internet與內部網絡的連接處,這樣當外網中的數據包要進入內網時就需經過它預先設定的訪問規則控制鏈表,通過篩選過濾數據包可以阻擋一部分攻擊。2)經過防火墻篩選過濾后的數據包以及繞過防火墻沒有經過篩選的數據包都進入到內網中,這時部署在內網中的入侵檢測系統不間斷的提取這些數據包依據自身的規則庫對它們進行分析比對,一旦發現入侵企圖立即報警并將報警信息[4](包括事件入侵類型,源地址,目的地址,源端口,目的端口及阻斷時間等)轉換成統一的報警格式,通過加密、認證后發送給防火墻。3)防火墻收到入侵檢測的通知后立刻做出針對性的改進,動態修改相應的安全策略完善其訪問控制規則,從而避免該攻擊行為的再次發生。4)入侵檢測系統每隔一段時間自動升級入侵特征庫防止當新的攻擊類型出現時,不能及時做出響應。
4結束語
本文根據防火墻和入侵檢測的特點,提出建立防火墻與入侵檢測系統的聯動,這是目前網絡安全產品的發展趨勢;但由于防火墻和入侵檢測本身都是比較復雜的系統,若將兩者結合勢必要對各自的硬件進行升級同時聯動中多了認證和加密,如果在數據傳輸中被假冒和竊聽則防火墻和入侵檢測的性能都會受到影響,今后還需在這方面展開研究,力爭創造一個更加智能、穩固的安全防護系統。
參考文獻:
[1]曲朝陽,崔洪杰,王敬東,等.防火墻與入侵檢測系統聯動的研究與設計[J].微型機與應用,2012(5):48-50.
[2]江保利.防火墻與入侵檢測聯動防御系統研究[J].信息技術,2013(10):28-29.
