前言:中文期刊网精心挑选了网络安全技术开发范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全技术开发范文1
关键词:局域网 安全体系 立体防御
1、案例背景
哈尔滨经济技术开发区管理委员会(以下简称“哈经开区”)管理大厦内部网络经过几年建设,已经实现千兆到楼、百兆到桌面的宽带网络数据传输;该区建有完善的网络数据中心,完善的网络通信设备和网络服务器系统。采用高速交换技术,建立方便快捷灵活多变的信息通信平台,提升了办公效率,节省了人们的劳动量,但是也带来了一定的网络安全问题,增加了网络安全的风险。为此,要保证网络的安全运行,必须要有一套与之配套的可操作的计算机病毒解决措施和应对方案。构建一个统一的有效的切实的可行的网络安全防御体系,有效的防止和应对病毒攻击和入侵。
2、案例分析
本文从哈经开区网络安全的实际情况以及防御运行的实际情况进行分析:
2.1局域网维护工作量日益加重,计算机病毒日益猖狂
最初建立计算机网络的时候,采用了国内比较著名的防病毒软件,比如金山毒霸,瑞星杀毒等等。但是都不尽如人意。局域网中计算机病毒传播和感染的事情仍然时有发生。计算机网络的维护人员要忙于清理计算机病毒、重新安装操作系统或者安装相关的应用软件。
计算机病毒的顽固性存在多个方面,首先,计算机病毒自身具有较快的传播性和较强的可执行性。同时,计算机病毒还有其他一些典型的特点。一是传播速度非常快。在政府部门局域网环境下,计算机病毒可以利用各种介质,通过局域网迅速的进行传播下去。而且传播的方位非常的广泛,在局域网模式下的病毒要远远比在单机模式下的病毒难以应付。很多在单机模式下可以轻易杀除的病毒,在局域网模式下往往力不从心。而且病毒的破坏性非常大,一旦病毒袭击了政府的办公网络,就会影响到政府的正常的工作。而且很多时候,病毒常常造成政府的办公网络崩溃,整个电脑系统的数据被盗取或者丢失。二是激发条件很多。通过局域网,病毒的隐蔽性得到大大的提升。计算机网络病毒可以通过多种途径和方式进行激发,例如可以通过内部时钟或者计算机上的系统日期等。三是计算机网络病毒的潜在危险非常大,在局域网中,一旦计算机网络被感染病毒,即使后来病毒被清除,但仍然可能有病毒潜伏在电脑中,而且被感染的病毒再次发生被感染的概率非常的高。
2.2多种因素引发病毒,网络安全意识亟待提高
(1)从主观因素考虑,主要是由于部分用户缺乏安全上网意识。要么电脑上没有安装杀毒软件或安装过期的杀毒软件,要么就是不对操作系统升级,在网上下载东西的时候没有注意,访问不安全的网站等。这是诱发计算机病毒的一个重要原因。(2)从客观上来讲,病毒防御系统技术的提升跟不上计算机病毒技术的变化。防御病毒系统功能因多方面原因,未能及时换代,可终端结点不够,使得个别终端结点不能对操作系统进行升级。(3)政府部门的工作人员,有些由于计算机基础知识薄弱,对计算机的认识仅仅限于使用水平,没有较强的计算机操作能力和病毒文件识别能力,遇到病毒时处理迟缓等。
3、保障措施
为确保哈经区计算机网络的安全有效运行,区委会信息中心先后从是三个不同的方面采取了措施来确保全委计算机网络的正常运行和安全,首先是重新改造和划分VLAN,通过在使用中发现的问题进行分析改造,以楼层为单位进行划分的原则,对整个局域网的布局进行重新的划分,划分成为不同的VLAN。这种划分,有效的限制了病毒传播的范围,减小了病毒传播危害的区域。解决了以往一旦一台计算机受到病毒感染整个局域网都瘫痪的问题。其次是加强网络安全检查机制。定期派技术人员对对客户端软件安全情况进行跟踪监控,及时发现客户端安装的软件,对与业务工作无关的游戏、盗版软件能做到“三及时”,即及时跟踪、及时发现、及时控制。最后是对工作人员进行网络安全培训和教育,从思想上和习惯上加强工作人员的防毒杀毒意识。
基于上述分析,从整个网络系统安全的整体考虑,要想实现整个网络体系防病毒体系的真正安全,必须要从技术和管理两个方面抓起,通过行政决策和远期效应的科学统一。
3.1利用软件技术,构建病毒防御体系
如何灵活运用软件技术是确保计算机网络安全所面临的一个重要课题,要实现“层层设防、集中控管、以防为主、防杀结合”的目标,构建局域网病毒立体防御体系,通过实施的防毒策略,实现对内网全方位、多层次的立体病毒防护,为系统和数据安全提供强有力的保证。建设的主要内容包括:防病毒体系的构建必须把整个网器、防病毒工作站等硬件设备的多层次防御,纵向上构建基于单机用户,横向上基于网络整体。病毒防护软件必须具有网络建设基于系统防病毒、邮件防病毒版的概念,即拥有防病毒控制中心和客户端自动防用系统的全方位保护,用户提供一个覆盖面广、操作简便、集防毒、查毒、杀毒于一身的立体病毒防御体系。
3.2从管理措施和制度上确保计算机网络的安全
如何进一步加强和提高工作人员的安全使用计算机意识是管委会的一个重要工作。通过构建立体化的计算机病毒防御体系,可以实现在软件和硬件层次上计算机网络的安全。在次基础上,要加大信息安全的宣传和教育力度,定期对工作人员进行专业培训,通过普及计算机基础知识,强化计算机安全意识,强化杀毒方面的技能的培训工作来确保网络安全和防病毒体系的建立。
网络安全技术开发范文2
网络安全定义为为计算机网络的数据处理所建立的技术与管理安全防护措施,主要目的是保护计算机硬件系统不被遭受破坏,软件数据不会因恶意攻击而遭到损失和泄漏。这一网络安全定义主要包含两个方面,分别为物理安全与逻辑安全,其中逻辑安全可以理解为我们通常所说的信息安全,主要是指对计算机数据信息的保密性、完整性以及可靠性的保护,完整性,是确保非授权操作不能对数据进行修;可靠性,是确保非授权操作不能破坏数据信息以及计算机的数资源。网络安全主要是基于网络运作以及网络间的互相联通所产生的物理线路的连接安全、网络系统安全、应用服务安全、操作系统安全、人员管理安全等多个方面。
二、计算机网络安全问题的提出
计算机网络的安全问题也逐渐显现出来,分析其原因,主要包括以下几个方面:
(1)计算机病毒的威胁。随着计算机网络技术的飞速发展,计算机病毒也逐渐增多,并且在某种程度上已经超前于计算机网络安全技术的发展,这些计算机病毒严重威胁着计算机的网络安全。
(2)木马程序与黑客攻击。黑客攻击主要包括两种方式:第一种方式是网络攻击,它以多种手段来破坏对方计算机数据,使得对方数据造成丢失和系统瘫痪的现象。第二种方式是网络侦查,即在网络对方毫不知情的情况下,对对方重要的数据信息进行截获、窃取、破译,严重威胁着数据的安全性。
(3)计算机内部威胁。内部威胁主要是发生在企业用户中,主要是因为企业用户对计算机网络安全的认识不足,防范意识不够,导致内部网络安全试过多次发生,使得企业内部数据信息遭到窃取,严重威胁了企业的经济利益。
(4)钓鱼网站。随着现代网络购物的发展,在给广大网民提供便利的同时,也为部分不法分子的欺诈行为带来了可乘之机,网络钓鱼不法份子通常是利用非法伪造的网站或者具有欺骗性的电子邮件在网络上进行诈骗活动,这些人通常会把自己伪装成为网络银行或者著名品牌网站以及网络交易平台等进行非法诈骗活动,造成受害者泄露自己的银行卡账号以及密码或者身份证号码等私人信息,给个人的人身财产造成威胁。
(5)系统漏洞。大部分网络系统或多或少存在着一些系统漏洞,这些系统漏洞有些是系统自身所带,如Windows、UNIX等操作系统都有一些漏洞,这些漏洞是不可避免的。另外,使用盗版软件或者网络下载的软件业容易产生系统漏洞,这些系统漏洞严重威胁着计算机的网络安全。
三、对计算机网络安全问题采取的防范措施
(1)加强对网络人才的培养,开发先进网络技术。国家加强对计算机网络人才培养以及加快对网络安全技术开发这两方面的投资是非常有必要的,强大的计算机技术力量以及高科技型人才不仅是安全和谐的网络环境的有力保障,也是对一些不法份子的一种强有力的威慑。
(2)强化安全意识,加强内部管理。通常网络安全的管理也是十分必要的,加强网络管理可以从下几个方面开展:①设置安全密码,所有网络设备以及主机尽可能设置密码,而且密码字符数量要足够长,这样不易被破解,并且密码需要定期更换。②设置控制路由器的访问权限,对路由器应设置多种权限的密码,不同用户具有不同权限。对控制对路由器设置访问权限即是对路由器本身的一种保护,也是对拓扑结构以及所有计算机系统的操作、配置以及其他使用权限的保护。③设置可信任地址段,对访问的主机IP设置不同的可信任地址段,这样可以防止非法IP登陆系统。
(3)控制网络攻击途径。只有掌握网络攻击的一般途径,才可以从根源上消除活挫伤不安全因素。网络遭受攻击可能的原因主要是利用铜须协议,窃取信息。不法分子可能会利用公开协议或工具窃取驻留在网络系统中的多个主机系统的数据信息。
四、结论
网络安全技术开发范文3
赛博兴安的网络安全管理与监察系统的应用情况到底如何?为客户带来了怎样的价值?产品具有哪些特点和优势?赛博兴安副总裁胡托任对这些问题进行了回答。
胡托任介绍,赛博兴安成立于2009年,是国家高新技术企业、软件企业,主要从事信息系统安全体系结构规划与设计、信息安全技术研究与核心产品开发、信息系统集成和信息安全服务等业务,在不同安全域网络互联、接入控制、网络安管、授权认证、信息加密、互联网大流量数据监控及数据挖掘等方面具有相当优势,在大型信息网络安全防护和整体解决方案和产品研制方面积累了丰富的经验。
赛博兴安业务主要面向大型行业用户,是国内某行业用户的网络安防技术总体单位。公司坚持以自主研发为核心,始终把产品研发能力作为核心竞争力。公司通过了国标和国军标质量管理体系认证,获得了国家二级保密资质及多项专有技术和软件著作权。2014年,赛博兴安完成了对北京赛搏长城信息科技有限公司的收购与整合,使公司的产品领域进一步拓展,技术能力进一步增强。目前,公司与北京邮电大学国家重点实验室建立了长期战略合作伙伴关系,与北方工业大学建立了信息安全联合实验室。
据悉,赛博兴安的研发技术人员人数占公司总人数的70%。胡托任说,这与赛博兴安成立的背景相关,因为公司的创始人都有很资深的技术背景,均具有15年以上的网络安全从业经验。赛博兴安自成立以来,始终把培养研发团队、积累核心技术作为立足之本。
胡托任指出,这几年赛博兴安的业绩取得持续、快速增长,一方面,得益于客户方对于赛博兴安的产品和服务的认可;另一方面,得益于公司注重研发团队的建设和技术的积累。着眼未来,国家对网络安全越来越重视,赛博兴安将把握这一良好机遇,持续加大研发投入,吸纳技术人才,不断推动技术创新。
“我们相信实实在在做技术、本本分分搞研发的企业会越来越得到市场的认可。”胡托任说。
网络安全管理平台是近年来信息安全领域的一个热点,市场上涌现出各种网络安全管理平台类的产品,赛博兴安的网络安全管理与监察系统就是其一。
胡托任介绍,赛博兴安的网络安全管理与监察系统立足于特定行业需求,为该行业构建了从上级到下级纵向级联贯通,最高达到5级级联的多级安防体系,为行业用户解决实实在在的安全问题。通过系统部署应用,用户在一级系统上能够实时监控所有下级系统的工作状态,包括所有下级节点所部署的网络安全设备的工作状态和安全防护策略应用情况。比如说,下级单位的防火墙设备是否正常工作,业务是否跳开防火墙进行网络访问,防火墙策略配置是否合理,防病毒系统的病毒库是否更新到最新。
网络安全技术开发范文4
关键词:计算机通信;信息;网络安全;技术
计算机网络通信技术越来越成熟,各个行业对计算机通信技术的应用更加广泛,在企业关注计算机通信技术得到提升的同时,还对计算机的通信安全更加重视。这不但关系到一个企业的隐私问题,还关系到一个国家的安全体系是否健全,所以,在计算机的通信系统中,对安全技术的需求更加重要。面对计算机通信的安全技术,要正视其存在的问题,并采取相关的措施进行技术防范。
1计算机通信网络安全和成因
1.1计算机通信的网络安全
计算机的通信网络一般都是通过网络对计算机所需求的信息进行获取、处理、传输以及运用等一系列的高效能服务,是计算机通信的安全传输途径。一般来讲,它主要是对计算机的通信网络涉及到的安全问题进行解决,使计算机的网络数据在存储和信息处理以及传输的过程能安全高效的运行;同时,计算机的通信网络安全还是信息安全管理的重要保障。现代化的社会中,对通信网络实现一体化的发展,以及实现材料资源共享的肩部逐渐加快,人们不光是在享受计算机通信带来的巨大便利,还在为计算机的通信网络能否安全而提心吊胆。计算机的网络通信安全,实际的本质就是要在计算机的通信系统进行数据传输和使用的过程中,对可能遭受到的资源侵袭和干扰等破坏现象进行保护,使计算机的网络通信处于一个安全的运行环境中,发挥它的保密性和可适用性。
1.2造成计算机通信网络安全出现问题的原因
能够对计算机的通信网络带来安全隐患的因素并不在少数,总结来看主要是以下的几方面原因。
1.2.1主观的原因。
计算机在应用的过程中,其网络的软件设备和硬件设备有潜藏的安全隐患,主要是因为在进行设计的时候从用户的使用方便来考虑,总是在软件和硬件的生产上留有“后门”和可进入的“窗口”,这就方便了黑客攻击者利用这方面的漏洞侵入计算机通信网络的系统,对通信的信息进行盗取和破坏。计算机通信网络的相关管理人员在管理上没有形成足够的安全保护意识,也没有按照规定的保密原则进行操作,有的传输通道还没有设置具体的电磁屏蔽系统,导致在信息在通信传输的时候有电磁辐射的现象,这样也间接帮助了黑客能通过专业的设备会所传输的全部信息进行盗取和破坏。
1.2.2客观的原因。
计算机的通信网络在投入使用的过程中,就有着容易被侵犯的缺点。现在的计算机操作系统总是会一些补丁的安装信息,这样的情况正是说明了计算机的系统存在安全的隐患,通信网络的联结功能为计算机的系统受侵犯提供了帮助。如果通信网络中潜在的病毒信息或者木马病毒在计算机中传播出来,就会使整个通信网络受到侵犯,甚至使系统发生崩溃的现象。还有计算机的通信系统软件如果不完善,也有可能为病毒的入侵创造条件。
2计算机的通信网络安全相关技术
2.1提高计算机的通信网络性能
对计算机的通信网络进行管理的时候,不要一味地满足于实际的功能,还要从系统的安全角度去考虑。在通信的软件系统中,对数据实行保密制度和对通信协议进行完善,是在通信网络系统设计前就要考虑的问题,并在通信网络投入使用的过程中逐渐对安全的防护等级和保护措施进行完善,使系统的漏洞慢慢减少,谨防黑客通过通信网络系统的漏洞进行数据的窃取和破坏。
2.2加强计算机通信网络安全的教育及其内部管理。
要真正认识到计算机通信网安全的重要性,广泛开展网络安全的研究和讨论,在技术层次上面应该加强研究和交流,培养和选拔高级网络技术人员。各部门应该加强协作,达到有效的防护网设。当然管理人员是网络安全的关键之一,所以在计算机通信网络的安全管理中,网络管理人才所具备的实践经验应该重视。
2.3进一步提高计算机通信网络安全技术
2.3.1防火墙。
防火墙是网络安全的第一道门槛,一般包括数据包过滤技术,应用网关和技术。它的主要作用是控制入、出一个网络的权限,并迫使操作所有连接都要接受它的检查,因此它具有对外来数据流的鉴别和限制从而达到对通信内网的一种安全保护。
2.3.2密码技术。
密码技术的基本思想是伪装信息,它包括对称加密和不对称加密。其密码类型一般有三种,即代替密码、乘积密码和移位密码,代替密码是一种用其它字符或代码代替明码字符后获得的密码。
2.3.3鉴别技术。
为了避免出现非法传送、复制或篡改数据等不安全现象,保证信息在交换过程的合法性,有效性和真实性,此时就需要通过鉴别技术来证实。常有的技术有报文鉴别、身份鉴别和数字签名。
2.3.4计算机通信网络内部协议与入侵检测技术。
此协议的安全性主要通过数据的认证和完整性鉴别技术来实现协议的安全变异和重构。如果在安全协议的设计过程中,对一个完整的信令过程加密,则能保证其安全性。当存在入侵网络的行为时,这种技术会及时给出报警,并采取安全的措施来制止这种行为。它在计算机通信网络中是一种非常有效的安全技术。
2.4制定网络安全策略
实行用户权限访问控制,比如用户口令和密码,身份鉴别等鉴别式。同时也可结合网络授权,利用网络管理方式向终端用户发放访问许可证书及有效口令,以防止非授权用户使用网络和网络资源。在以上的访问过程中,加密机制是不可缺少的,他能使未授权用户“看不懂”在此网络上的信息,保证数据不会在设备上或传输过程中被非法窃取,从而实现信息的保密性。当然,为了防止没有得到允许的用户修改、插入以及删除传输的数据,通信网络应该建立一个数据完整性鉴别机制。此外,一些审计、监控以及防抵赖等安全措施也应该广泛的普及运用。
结束语
对计算机的通信网络实施安全技术,不是光做表面的工作那么简单,它要从计算机的内部操作系统和网络安全系统出发,需要各个阶层的技术人员共同努力。在通信系统的开发和利用上,要从数据的传输通道和管理系统做好防护工作,从系统设计的开始就要考虑到信息安全的问题,不要为计算机的通信网络应用留下安全隐患。此外,还要落实计算机的通信网络管理制度,相关的管理人员要履行自己的职责,在数据传输和应用的过程中就做好监管工作,为信息和计算机的安全通信网络做好防护工作。
参考文献
[1]栾树崇.计算机通信网络安全技术研究[J].中国管理信息化,2015(1).
[2]全燕.试析计算机通信网络安全及防护对策[J].企业技术开发,2015(5).
[3]胡生林.计算机通信网络安全及相关技术探索[J].民营科技,2012(5).
网络安全技术开发范文5
关键词:网络安全;防火墙;个人防火墙;黑客攻击。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)06-11582-02
在计算机网络日益扩展和普及的今天,网络安全,毋庸置疑,是十分重要的。当计算机与Internet连接之后,系统的安全除了考虑计算机病毒、健壮性之外,更主要的是防止非法用户的入侵。目前防止的措施主要是靠防火墙的技术完成,因为在当前网络安全技术中,防火墙技术可以称得上是保障网络安全的一种最有效的技术之一。尤其是个人防火墙,对于个人计算机用户来说是相当重要的。
如果用户的PC系统在用户未知的情况下被植入了黑客程序,那么当用户的系统连入Internet后,一旦该程序启动,个人防火墙就会及时报警并禁止该程序与外界的联络。可以肯定地说,Internet时代离不开个人防火墙,所以,通过个人防火墙来确保个人计算机系统的安全是十分有效的。
1 网络安全现状及个人计算机安全问题
现在国内越来越多的家庭与Internet连在一起,除了浏览网站、查询信息之外,还常常在网上采购、用信用卡进行网上支付、买卖股票或者通过在线银行进行转账等操作。当计算机系统接入Internet后,就面临不断增多的各种安全威胁。而其中的人为恶意攻击,正是计算机网络面临的最大威胁,黑客攻击和计算机犯罪即属于此类。对于那些经常使用网络的用户来说,个人计算机系统中的文档、财务信息以及业务数据是至关重要的,防黑客攻击成为他们必须面对的问题。一旦黑客们侵入用户的PC机,就可能很窃取用户的银行账号、信用卡号码、传播病毒甚至删除磁盘文件,把用户的数字化生活变成一场噩梦!
网络设计之初只考虑到网络的方便性、开放性,这使得网络非常脆弱,极易受到破坏,无论这种破坏是有意的还是无意的。为了解决这个问题,专家做了大量研究,主要包括数据加密、身份认证、数字签名、防火墙、安全审计、安全管理、安全内核、安全协议、网络安全性分析、网络信息安全监测、信息安全标准化等方面。防火墙在防止非法入侵、确保内部网络安全上,是目前最有效的一种方法。防火墙是一种综合技术,它涉及网络技术、密码技术、软件技术、ISO的安全规范及安全操作系统等多方面。
对于个人计算机来说,解决网络安全问题的一个有效方法就是采用个人防火墙。企业防火墙价格昂贵、配置困难、维护复杂;而个人防火墙成本低、操作简单、界面友好,同时能时刻监控进出PC机的网络信息。在PC机上安装个人防火墙的必要性显而易见。
2 个人防火墙的发展及其关键技术
2.1防火墙概述
防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称,其中包括了硬件和软件。在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理。其工作原理是:按照事先规定好的配置与规则,监测并过滤通过防火墙的数据流,只允许授权的或者符合规则的数据通过。防火墙能够记录有关连接的信息、服务器或主机间的数据流量以及任何试图通过防火墙的非法访问记录。同时自身也应具备较高的抗攻击性能。
1986年世界上第一个企业防火墙接入Internet网以后,防火墙技术得到了飞速的发展。不同的防火墙使用不同的技术,现今的大多数防火墙使用以下技术中的一种或多种:
(1)数据包筛选器:数据包筛选器查看进入或离开网络的每个数据包,并基于用户定义的规则接受或拒绝数据包。数据包筛选相当有效和透明,但是难于配置。此外,它容易引起 IP 欺骗。
(2)应用程序网关:应用程序网关对特定程序(如 FTP 和 Telnet)应用安全机理。此技术十分有效,但可能会使性能降低。
(3)电路层网关:此技术在建立传输控制协议 (TCP) 或用户数据报协议 (UDP) 连接时应用安全机理。建立连接之后,数据包可以在主机之间流动,而无需进一步检查。
(4)服务器:服务器截取进入和离开网络的所有消息。服务器可以有效隐藏真实的网络地址。
(5)应用程序:应用程序具有对网络栈中整个范围的信息的访问权限。这就允许基于基本授权(源、目标和协议)做出决定,并且还可以筛选数据流中冒犯性或不允许的命令。应用程序是“全状态的”,这意味着它们保持连接的固有“状态”。Windows XP 中包含的“Internet 连接防火墙”功能就是一种“全状态的”防火墙。
2.2个人防火墙的发展
个人防火墙是在企业防火墙的基础上发展起来,采用的技术也与企业防火墙技术基本相同,但在规则的设置、防火墙的管理等方面进行了简化,使非专业的个人用户能够容易的安装和使用它们。它一般是指软件,安装在PC机的桌面上,能够监视PC机的通信状况,一旦发现有对PC机产生危险的通信,就会报警通知管理员或立即中断网络连接来保护PC机的安全和硬盘上的机密资料。
个人防火墙的工作是基于包过滤技术(IP Filtering or packet filtering) 。包过滤技术的原理在于监视并过滤网络上流入流出的IP包,拒绝发送可疑的包。包过滤式的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话,那么从这个地址而来的所有信息都会被防火墙屏蔽掉。目前开发个人防火墙主要采用包过滤防火墙技术。Windows操作系统作为使用最为广泛的PC操作系统,因此在Windows操作系统下开发的个人防火墙产品数不胜数。关于个人防火墙产品,国外在该领域发展的比较快,知名的品牌有NORTON、PC CILLIN等等。国内有天网个人版防火墙、金山毒霸网络个人防火墙等等。
2.3个人防火墙的关键技术
开发个人防火墙的难点在于操作系统下网络数据包的拦截,所谓网络数据包就是指在网络中传输的数据单元。要拦截Windows下的网络数据包可以在两个层面进行:用户模式和内核模式,而每个层面又有不同的技术可供选择。
在用户态下进行网络数据包拦截有以下几种方法:1) Winsock Layered Service Provider (LSP)。这种方法可以获得调用Winsock的进程详细信息。但是对于如果直接通过TDI(Transport Driver Inface)调用TCPIP来发送数据包应用程序,这种方法就无能为力了。因此,大多数的个人防火墙都不使用这种方法。2) Windows 2000 包过滤接口。Windows 2000 IPHLP API提供了安装包过滤器的功能。但是,包过滤的规则有很多限制,对于个人防火墙来说是远远不够的。 3) 替换系统自带的WINSOCK动态连接库。个人防火墙最常用的用户模式数据包拦截技术是Winsock SPI,即服务提供者接口。SPI是Winsock 2.0引入的一种新的接口.很显然,在用户态下进行数据包拦截最致命的缺点就是只能在Winsock层次上进行,而对于网络协议栈中底层协议的数据包无法进行处理。对于一些木马和病毒来说很容易避开这个层次的防火墙。
Windows操作系统网络协议架构可知,在内核模式下拦截网络数据包可在TDI(Transport Driver Inface)和NDIS( Network Driver Interface Specification)两个层面上进行。大多数的个人防火墙都是利用网络驱动程序来实现的。具体有这样几种方法:
(1)TDI过滤驱动程序。
在Windows中,网络协议栈的核心协议由TDI传输驱动程序(协议驱动程序)实现,当应用程序要发送或接收网络数据包的时候,都是通过与协议驱动所提供的接口来进行的。事实上,在TDI层面上拦截网络数据包,可以采将一个驱动程序挂接到TDI传输驱动程序之上,当TDI客户向协议发出请求时,这个驱动程序先于传输驱动程序得到这个请求,当协议向TDI客户传输数据时,这个驱动程序先于TDI客户得到数据。这种驱动程序通常被称为TDI过滤驱动程序。TDI层的网络数据拦截还可以得到操作网络数据包的进程详细信息,这也是个人防火墙的一个重要功能。
(2)NDIS HOOK技术
协议驱动程序与网络适配器驱动程序(又称为NDIS小端口驱动程序或NDIS驱动程序)之间不是通过IRP而是通过NDIS接口来通信的。因此,在NDIS层面拦截网络数据包的中间驱动程序目前有两种常用的技术,一种是NDIS HOOK技术,另一种是NDIS中间层驱动程序技术。
NDIS为协议驱动程序和小端口驱动程序提供了一些接口函数,协议驱动程序和NDIS小端口驱动通过调用这些函数完成它们之间的数据传递。这些函数由一个库导出,如在Windows 2000中,这个库是Ndis.sys。NDIS HOOK 的工作原理是开发者编写一些函数来替换NDIS函数库中的一些关键输出函数,这样只要向NDIS请求就会被开发者的函数拦截。
(3)NDIS中间层驱动程序技术
中间层驱动介于协议层驱动和小端口驱动之间,它在自己的上下两端分别开放出一个Miniport(小端口)接口和一个Protocol(协议)接口。对NDIS小端口驱动程序来说,中间层驱动程序就相当于传输驱动程序;对传输驱动程序来说,中间层驱动程序就相当于小端口驱动程序。系统中所有的网络通信都经过NDIS中间层驱动程序,因此它可以用于网络数据包的拦截与过滤。NDIS中间层驱动的应用很广泛,不仅仅是个人防火墙,还可以用来实现VPN,NAT,PPPOverEthernet以及Vlan。
2.4一种新型的个人防火墙的设计
目前大多数个人防火墙采用内核模式的NDIS HOOK驱动程序技术,但是,这种技术对平台的依赖性比较大,需要在程序中判断操作系统的版本而使用一些未见文档的结构定义。因此,采用这种技术需要开发人员利用各种调试工具来发掘这些结构的详细定义,这样比较繁琐也容易出错。
TDI过滤驱动程序的优点是不仅可以拦截通过Winsock层访问网络的数据包,还可以拦截通过TDI访问网络的数据包。此外,由于TDI采用标准的I/O模式,所以可以得到访问网络的进程的详细信息。这也是个人防火墙的一个重要功能。缺点是不能对所有进出网络适配器数据包进行拦截。例如,TDI过滤驱动程序无法获得使用ICMP协议的数据包。
NDIS中间驱动程序的缺点是不能够得到数据包的进程信息,对代码质量要求比较高。优点是由于它工作在网络层和数据链路层之间,所以可以拦截所有进出网络适配器的数据包,从而完成更为低级的操作。用这种技术编写网络安全软件,安全系数更高。此外,NDIS中间驱动程序的应用很广泛,不仅仅用于个人防火墙,还可以用来实现VPN、NAT、VLAN等。它的功能很强大,是今后个人防火墙技术的趋势所在。
综合以上各种技术的优缺点,我们认为,可以采用TDI过滤驱动程序和NDIS中间驱动程序技术来进行新一代防火墙的开发。TDI过滤驱动程序用于实现应用程序访问网络的控制,因为这种技术可以拦截绕开Winsock而访问网络的应用程序。NDIS中间驱动程序用于数据包的拦截,因为采用这种技术可以拦截所有进出系统的网络数据。
采用内核模式的TDI过滤驱动程序和NDIS中间驱动程序技术开发有着很多的优点。TDI过滤驱动程序可以得到访问网络的进程的详细信息,并能够拦截网络协议栈中底层协议的数据包,可以很容易地拦截一些木马和后门程序。NDIS中间驱动程序工作在数据链路层,拦截的数据包是数据链路帧。这样,不但可以拦截IP数据包而且还能拦截非IP数据包,扩大了数据包过滤的范围。采用这种技术开发的个人防火墙应该是更为安全。另外,NDIS中间驱动程序的应用很广泛,不仅仅应用在个人防火墙方面,还可以用来实现VPN、NAT、VLAN等。因此,今后可以将个人防火墙技术与其他安全技术集成开发更为强大的网络安全产品。NDIS中间驱动程序的功能很强大,能够对个人防火墙实现更多的附加功能,是今后个人防火墙技术发展趋势所在。
3 结论
对于个人计算机用户来说,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,那么目前最主要的防治措施就是使用个人防火墙。目前防火墙已经在Internet上得到了广泛的应用。客观的讲,防火墙并不是解决网络安全问题的万能药方,但确实是网络安全策略中的一个重要组成部分。随着网络安全问题日益严重,网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品,也越来越受到用户和研发机构的重视。
参考文献:
[1]楚狂.网络安全与防火墙技术[M].北京:人民邮电出版社,2000,8.
[2]Chris Cant.孙义,马莉波,国雪飞.等.译.Windows WDM 设备驱动程序开发指南[M].机械工业出版社,2000,1.
[3]Matthew Strebe,Charles Perkins.吴焱,李文,董正卫.等.译.高效构筑与管理防火墙[M].北京:电子工业出版社,2000,4.
[4]刘绍翰.Internet防火墙的构造与实现[D].南京:南京理工大学,2000.
[5]徐琪,冯锋.基于包过滤技术的Internet安全性研究[J].宁夏大学学报:自然科学版,2000,21(4):329-331.
[6]Terry William Ogletree.李之棠,李维明,陈琳.等.译.防火墙原理与实施[M].北京:电子工业出版社,2001,2.
[7]Merike Kaeo.湘工作室.译.网络安全性设计[M].北京:人民邮电出版社,2000,10月.
[8]建新.编.网络安全初阶:黑客技术揭秘与防范[M].上海:上海科学技术出版社,2000.
[9]Peter Norton,Mike Stockman.网络安全指南[M].北京:人民邮电出版社,2000.
网络安全技术开发范文6
网络的出现使人类的生活方式发生了巨大的变化,使人类的生活更为便捷,更为舒适。另外互联网的出现还提高了信息传输速度,扩大了信息传输范围,但我们在享受网络带来的信息传递的便利的同时,必须注意网络信息安全,防范网络诈骗,增强网络信息安全意识,做好网络信息保密工作,避免发生信息泄露事件。基于此,本文主要从内网和外网两个方面对网络信息保密技术进行研究。
关键词:
信息安全;互联网;保密技术
0引言
在当前信息社会中,如何确保信息传输的安全已经成为人们关注的焦点。为了避免信息非法窃取事件的发生,人们必须要具有强烈的信息安全意识,掌握基本的网络信息保密技术,做好信息传输的保密工作,从而确保信息传输安全。当前比较常见的两种网络信息保密技术为:(1)内网网络信息保密技术;(2)外网网络信息保密技术,本论文将从这两个方面展开深入的研究。
1内网网络信息保密技术
内网指的是单位、机构或者组织的局域网,内网网络信息保密技术主要依靠于内网信息管理终端来实现对各种内网信息传递的管理,避免出现信息非法窃取的情况。内网网络信息保密技术主要用于军工单位信息保密工作中。
1.1内网信息泄露的原因
造成内网信息泄露的原因主要有:一是单位内部人员将单位局域网连接密码泄露给非法分子,为非法分子进入内网提供了极为便利的条件;二是单位内部人员盗取单位内保密信息,并通过邮件或者U盘向外界传递;三是非法分子非法侵入到单位局域网中,获取局域网服务器中的保密信息;四是非法分子通过散布网络病毒或者网络木马造成单位局域网瘫痪,非法窃取局域网中的信息。
1.2安全管理技术
安全管理技术是一种比较常见的内网信息保密技术,其出现的背景为:网络应用的范围不断扩大,网络信息管理设备的不断复杂,网络信息管理任务的增加,网络故障发生率的骤然升高,单位内网出现运行瓶颈,无法及时发现运行问题以及运行故障。安全管理技术实施目的就是提高单位内网的运行性能,提高单位内网管理水平,确保单位内网信息传递的安全。安全管理技术所包含的内容包括:一是信息复制、打印、传递的管理,避免打印泄密、邮递泄密以及拷贝泄密情况的出现;二是内网服务器数据的保密,为不同级别的管理员设置不同通信密码,做好内网服务器的隔离;三是内网使用的管理,对内网用户身份进行登记和审查,对内网接入站点进行登记和审查等。
1.3安全评估技术
和安全管理技术相同,安全评估技术也属于一种内网信息保密技术。现在网络环境越来越复杂,一种安全保护产品是无法完成整个内网信息传递保密的,需要结合多种信息安全保密产品,在整个内网运行过程中,进行动态的信息保护。确保内网信息传递安全的一种有效方法就是信息安全评估,其主要功能就是客观、科学、有效的对内网信息传递过程进行评估,发现内网信息传递过程中存在的安全隐患,及时消灭这些隐患。内网信息安全评估主要包括以下几个方面:一是信息安全风险评估,其主要工作就是找出内网信息传递安全问题产生的根源,从而提出能够从根本上解决内网信息传递风险的方法,是安全评估技术的核心,是一种优化内网运行的方法;二是信息对抗可能性评估;三是非法攻击可能性评估;四是信息安全等级划定;五是信息安全隐患评估;六是信息安全脆弱性评估。
1.4安全审计技术
除了上述两种内网信息保密技术外,在当前内网信息保密工作中,安全审计技术也具有较为广泛的应用,其主要对内网服务器的安全性能进行评估。记录内网发生的安全事件,同时对其进行处理或者是再现事件发生的过程,这些工作的完成需要安全审计系统的帮助,安全审计系统还能定位内网受到攻击的具置或者是内网运行错误产生的具体地点,发现破坏内网信息安全的根本原因。除了上述几种功能外,安全审计系统还具有如下作用:一是能够提供可供安全员分析的内网管理数据,帮助安全员寻找信息安全事件发生的根源,同时协助安全员制定信息保密策略;二是能够提供可供安全员进行故障分析的内网运行日志,协助安全员发现内网运行漏洞以及非法入侵人员;三是根据安全员的指示记录各种安全事件。
2外网网络信息保密技术
外网网络信息保密技术主要为了防范外部网络对内网的攻击,外网网络信息保密技术设计的前提假设为内网安全,所有的网络入侵和攻击都来自于外网,当前,使用较多的几种外网网络信息保密技术包括:
2.1安全扫描技术
利用远程网络检测技术来对TCP/IP文件传输协议中不同服务器端口进行检测的技术就是安全扫描技术,通过安全扫描技术可以获得各种服务器运行信息,例如服务器是否具有FIP目录等,匿名登录是否有效等。
2.2匿名通信技术
将网络通信中实体之间的联系以及实体地址进行隐藏,使非法入侵者无法获得实体物理地址以及详细的信息传递内容的一种网络安全技术就是匿名通信技术。这种技术开发的前提假设为网络外人员是无法获得网络实体之间通信信息,无法发现网络实体的通信过程以及网络实体的具置。实体之间通信的安全都由链路级保证,也就是说实体之间发生的通信行为都是真实的,传递的信息都是可靠的。
2.3网络隔离技术
随着网络入侵手段的多样性,科学家对传统网络安全技术进行了改造,结合了多种网络信息保障技术,重新设计了一种网络信息安全保障技术——信息隔离技术,其能够从多个方面确保网络信息传递的安全。
2.4入侵检测技术
和其他网络信息安全技术相比,这种技术涉及范围更广,网络信息传递过程的多个方面都有所涉及,技术开发人员除了要掌握基本的网络信息安全保障技术外,还要了解网络信息通信过程,网络数据库设计方法以及服务器的基本结构。入侵检测技术除了能够对各种入侵行为进行分辨,还能够根据当前网络发展背景进行技术的更新,异常行为检测以及系统误用检测是两种基本的入侵检测方法,其处理的主要是各种复杂的入侵行为、入侵数据。
2.5虚拟专网技术
正如其名称所示,虚拟专网技术具有专用网络的作用,但从本质上将,其并不是一种专用网络,只是一种为了确保保密信息通信安全设置的虚拟网络。在公共通信网络中连接保密信息传输的输入端和输出端,保密信息通过虚拟专网中的虚拟通道进行传递,传输的数据都需要进行加密处理,实现信息传递的双重保护。利用虚拟专网可以实现内网数据库使用的授权,授权者可以获取授权范围内的内网数据。虚拟专网技术实现的关键就是虚拟通道的建立,而这主要依靠隧道技术,利用基本的网络信息传递设备在某种信息传递协议的基础上实现另一种通信协议数据传递的技术就是隧道技术,隧道技术可以实现不同传输协议数据包或者数据帧等形式的信息的传递。
2.6防火墙技术
在当前网络信息传递过程中,使用最广泛的一种通信协议就是TCP/IP协议,这种协议设计的前提条件为信息传递环境可信,不存在网络入侵,没有考虑信息传递的安全性。为了弥补该协议的不足,计算机工程技术人员开发了防火墙技术,阻止网络入侵者对内网的侵犯,避免发生用户计算机或者是网络服务器感染木马或者病毒等现象。防火墙实现了内网和外网的隔离,对不同网络之间通问进行管理,避免非法入侵现象的发生。防火墙技术的关键是就是设计一套安全有效的内网访问规则,既要满足用户信息共享的需求,又要对非法入侵进行检测和隔离,同时对内网运行环境进行实时监测。防火墙的作用主要包括以下几个方面:一是检测网络攻击行为;二是对网络攻击行为进行警告;三是记录各种非法入侵活动;四是管理网络访问和信息传递行为;五是对接受信息的安全性进行检查。
3结语
和传统信息保密工作有所不同,在网络时代,信息保密工作主要指的是网络信息保密工作,工作内容更为多样化,工作科技含量更高,所面临的工作对象更为复杂,内网信息保密技术和外网信息保密技术是当前最为常用的两种信息保密技术,其中包含了多方面的内容,例如网络信息安全评估技术、网络安全信息审计技术、防火墙技术、虚拟内网技术等,这是网络信息安全的保障。
作者:王芳 单位:武警总部通信总站
参考文献:
[1]张庆凯.计算机网络安全存在的问题及对策[J].电子技术与软件工程,2016.
