前言:中文期刊网精心挑选了网络安全技术防护方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全技术防护方案范文1
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2015)05-0000-00
1计算机网络安全隐患分析
网络环境下的计算机系统存在很多安全问题,综合技术和管理等多方面因素,我们可以将这些问题归纳为四个方面:互联网的开放性、自身的脆弱性、攻击的普遍性、管理的困难性。为了解决这些问题,各种安全机制、策略和工具被研究和应用。但网络的安全仍然存在很大隐患,首先就以下三方面进行分析:
1.1恶意入侵和攻击
恶意入侵和攻击分为主动和被动两种,指具有熟练编写和调试计算机程序的技巧并使用这些技巧来侵入到他方内部网的行为。主动入侵攻击是以破坏对方的网络和信息为主要目的,实现成功之后就能够造成对方网络系统的运行受到影响,严重状况下还可能让系统出现瘫痪的问题,在被动攻击的作用下获得对方的相关信息,并在对方不了解的状况下获得相关机密信息或者数据,但是不破坏系统的正常运行。
1.2系统漏洞
所谓的系统漏洞主要有两种不同的状况,包括蓄意制造,这主要是指设计工作人员为了能够达到日后信息窃取或者系统控制的目的而故意进行设计的行为;无意制造则是系统设计工作人员因为技术原因或者疏忽大意产生的。系统漏洞是传统安全工具难于考虑到的地方,一般状况下,这种侵入行为能够光明正当的穿过系统的防火墙而不被察觉。
1.3计算机病毒
计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。其目前是数据安全的头号大敌,这种程序可以通过磁盘、光盘、计算机网络等各种途径进行复制传播。从上世纪80年代计算机病毒的首次被发现,至今全世界已经发现数以万计的计算机病毒,并且还在高速的增加,其隐蔽性、传染性、破坏性都在进一步的发展。
2 信息安全的防护对策
2.1防火墙技术
所谓的防火墙只是一种较为形象的说法,是由计算机软件以及硬件构成,让内部网和互联网之前形成实际的安全网关,属于强化网络访问控制权限的表现,从根本上避免外部网络用户凭借各种非正当手段突破外部网络而进入到内部网络领域中,并对内部网络资源加以访问,从根本上实现内部网络环境以及特殊网络设备受到保护的目的。这种技术对于多个网络或者两个网络之间的传输数据包结合实际的安全策略来加以检查,从而明确网络之间的通信行为能否可以发生,并对网络运行的状况加以监测。防火墙系统则是有两个基本部件包括应用层网关以及过滤路由器构成,防火墙则处于5层网络安全系统中的最低一个层次,属于外部公共网络和内部网络之间的一个主要屏障,防火墙是起初受到人们重视的一个主要网络安全产品,在网络应用以及网络安全技术不断发展的影响下,现阶段的防火墙技术开始走向其他不同层次的安全网络中服务,还有其他不同的防火墙产品开始朝着避免黑客或者病毒入侵以及用户认证和数据安全方向发展。
2.2数据加密技术
数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。它使用数字方法来重新组织数据,通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,使得除了合法受者外,任何其他人想要恢复原先的“消息”是非常困难的。即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。所谓数据加密技术就是这种技术的目的是对传输中的数据流加密,常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(也即原文)加密成密文(加密后的文件,这些文件内容是一些看不懂的代码),然后进入TCP/IP数据包封装穿过互联网,当这些信息一旦到达目的地,将由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。
2.3访问与控制
访问与控制指授权控制不同用户对信息资源的访问权限,即哪些用户可访问哪些资源以及可访问的用户各自具有的权限。是对网络的访问与控制进行技术处理是维护系统运行安全、保护系统资源的一项重要技术,也是对付黑客的关键手段。
2.4网络安全管理措施
网络安全管理策略包括:确定安全管理等级和安全管理范围;指定有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施,以及提高网络工作人员的素质,强化网络安全责任感等。 随着企业信息化水平的不断加深,管理层网络安全意识应逐步得到增强,并逐步会主动去思考如何更好地构筑信息平台的安全保障体系。
提高网络工作人员的管理素质也是一项重要的任务。对工作人员要结合硬件、软件、数据等网络系统各方面进行安全教育,提高工作人员的责任心,并加强业务技术培训,提高操作技能,重视网络系统的安全管理,防止人为事故的发生,同时提高人们对网络安全的认识,完善法律、法规,对计算机犯罪进行法律制裁。
网络安全技术防护方案范文2
【关键词】信息网络;安全防护技术;研究
引言
区域间安全防护主要是从信息网络一体化的角度出发,以构建信息网络一体化安全防护体系为目的,首先以各个地区作为整个信息安全体系的子区域的模式对信息网络进行安全区域的划分,在各个子安全区域与高速数据信息网络的网络接入点上配置一台高性能的防火墙设备,通过结合地区间的实施应用系统的具体要求,设置统一的安全策略,来达到信息网络关口的信息流量的安全控制。其次,通过对各个关键节点上安全防护设备的统一集中管理和安全防护联动措施,初步具有抵御大规模恶性病毒泛滥和恶意攻击的安全防护能力。
一、总体架构
信息网络区域间安全防护系统安全设备主要在子区域网络和高速信息网络的接入点,通过结合地区间的实施应用系统的具体要求部署。防火墙拓扑结构图如图所示。
如图所示,两台防火墙处于路由交换网络之间,每台防火墙可以直接到达相邻的路由器或交换机,这样每台防火墙和相邻路由交换设备都可直接相连,所有的路由交换设备之间的线路可以使用TRUNK封装。
二、采用的设备及特点
具体实施标准及项目实施后的预期效果如下表。
序号 实施项目 实施标准 预期效果
1 防火墙设备 防火墙安装到机柜内走线整洁、布局合理;
完成策略、IP、路由等规划; 达到网络运行稳定,单台设备出现故障不影响整个网络通讯的中断。
2 防火墙集中管理系统 实现对防火墙设备的集中管理;
完成认证设备、维护设备、维护VPN隧道、维护VRC信息等; 达到网络运行稳定,实现设备的管理、拓朴管理、状态监视、隧道管理等功能。
3 防火墙日志分析系统 实现对防火墙设备的日志分析;
完成网络事件的收集、处理、智能实时检测、可视化分析; 有效的实现全网的安全预警、入侵行为的实时发现、入侵事件动态响应,通过于其它安全设备的联动来真正实现动态防御。
2.1防火墙设备
项目采用的网络卫士系列防火墙NGFW(NetGuard FireWall)是以天融信公司具有自主知识产权的TOS(Topsec Operating System)为系统平台,该平台采用开放性的系统架构及模块化的设计,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案,具有安全、高效、易于管理和扩展等特点。
自主安全操作系统平台
采用安全操作系统—TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能。
强大的应用控制
网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略,如禁止、限时、乃至流量控制。
完全内容检测CCI
完全内容检测(CCI,Complete Content Inspection)可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
强大的AAA功能,支持会话认证
网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证,如一次性口令(OTP)、S/KEY、RADIUS、域认证及数字证书等常用的安全认证方法,也可以使用专用的认证客户端软件进行认证。网络卫士系列防火墙支持会话认证功能,即当开始一个新会话时,需要先通过认证才能建立会话。
2.2集中管理系统
TopPolicy用于网络安全设备的集中管理,能为安全设备和VPN客户端提供身份认证功能、指定设备间的VPN通讯关系、统一下发策略、提供设备策略的上传及恢复功能、以及设备性能监视功能。
与业务管理对应的分级管理体系,应对大型网络
首先,本系统支持4级的域管理,这样,用户可以方便的把一个全国的项目分级与分域管理,在统一策略下对责任进行分担;通过分级与分域管理,本系统可以支持到1000台安全设备和30000个VPN客户端。其次,本系统可以对安全设备和策略实现完全的集中管理,也可以实现由下级管理中心或设备来管理日常的管理工作,而上级中心仅负责监控与分析统计工作。
完善的PKI体系支持
TopPolicy系统采用遵循X.509证书来作为提供认证的载体。对于中等规模的用户只需建立一个自封闭的身份认证体系,则无需外部证书发放机构的签发证书,企业自己就可以构建自己的证书发放机构(CA)。对这种用户TopPolicy提供了简单实用的PKI CA系统,可以为管理员、设备、VRC生成、更新、发放证书,同时提供证书验证与CRL文件管理等功能。
对于已经建有CA系统的用户,TopPolicy完全支持第三方的PKI系统,可以为设备和VRC导入/更新第三方CA生成的证书,不仅支持在TP本地使用第三方CA的根证书验证设备以及VRC身份,还支持通过OCSP协议实时在线验证设备和VRC身份。支持通过HTTP、LDAP协议自动下载CRL列表等等。
多视角的可视化管理
网络安全技术防护方案范文3
网络本身的缺陷
信息之所以能够在网络中进行自由的传输和获取,主要得益于互联网具有开放性和共享性,但是也正是由于这一特点使得网络本身容易受到来自各方面的攻击和安全威胁。其中针对网络开放性进行攻击主要是针对网络通信协议、物理传输线路或硬件与软件漏洞的攻击,这类攻击具有广发性和难控制性。此外由于网络覆盖面积以及国际化自由性的加强,使得本地网络受到其他国家黑客攻击或信息拦截的风险增大。
操作系统的安全隐患
目前国内外应用最为广泛的计算机操作系统是微软研发的Windows操作系统,该系统不仅能够保证其他程序或系统的正常运行,同时还能做到对计算机硬件资源的管理,但是无论什么样的系统在开发设计阶段都会留下一定的破绽,这就为网络安全带来了隐患。针对操作系统进行的攻击通常会导致计算机系统崩溃或服务器系统瘫痪。此外计算机系统的远程调用和后门程序也是易被利用和攻击的方面,在进行远程调用时会经过较多的中间环节,而所有的中间通讯环节都有被人监控或拦截的威胁,后门程序的设立主要是方便程序员绕过系统访问权限进行程序的修改或更新,如果在前没有进行后门程序的删除则极易被黑客利用造成信息的丢失或泄漏。
网络安全防护技术
1加强网络安全防护的管理要加强网络安全防护的管理首先要建立完备的安全管理制度,这样不仅能够有效的约束网络中的行为,同时也为控制和惩罚影响网络安全的行为提供了保障。此外通过对于网络安全制度的推广来加强用户的安全防护意识以及安全管理人员的配置也是保证网络安全管理顺利进行的重要方面。建立健全相应的网络安全管理机构,加强相关立法的建立和执行,增强用户的法律和道德观念也是有效控制计算机犯罪、病毒干扰或黑客攻击的重要管理措施。我国数据保护法、保密法及计算机安全法等的建立不仅明确了相关管理人员和用户的基本权利和义务,同时还明确了在应用网络信息技术时需要遵循的基本原则。
2改进网络安全防护技术网络安全防护技术的改进主要有防火墙、防病毒、数字加密和入侵检测技术等四方面,首先对于防火墙技术目前主要应用的有服务器型、过滤型和复合型等,针对的是内部网络与因特网之间的信息隔离,其主要缺点是仅对计算机内部网络发起的攻击进行控制和预防。防火墙技术的实现主要是通过应用级网关、数据包过滤及服务和地址转换等,有效的防火墙不仅能够对流入或流出的信息进行检查和报警提示,同时还能缓解IP地址紧张和避免重新编号的麻烦。其次对于病毒防火主要是采取安装查杀病毒防护软件等的被动防御形式,但是随着病毒辨认难度的增加以及扩散速度的加快,转被动为主动对于提升计算机网络的安全性具有重要意义,在进行网络病毒的防治时还应提高防范意识,将治理机制与技术手段进行有效的结合和发展。此外对于病毒防护产品的发展也趋向于入口拦截、全面优化、客户定制和反黑杀毒等多方面,不仅加强了相关的防护水平同时也在功能应用方面取得了一定的进步。再次是对于信息数据加密技术的发展,非对称密钥密码技术因其具有在不知道特定信息的情况下无法进行互换算出的优点得到了更加广泛的应用,通过这一技术不仅能够对数据进行加密来保证数据的完整性和安全性,同时还能通过身份鉴别、版权保护和访问控制等实现对于数据传输安全的有效控制。最后是对于系统入侵的检测技术,实际中主要应用的是将检测器直接安插在受管服务器内部的主机入侵检测,这一技术不仅能够免受网络加密、协议或速率的影响,同时还能进行特定用户监视和特洛伊木马的检测。
3应用先进的网络安全对策针对网络应用的开放性和自由性,将网络进行分段不仅能够有效的控制网络广播风暴,同时还能实现敏感资源与非法用户的隔离,有效降低了产生非法侦听的风险。对于局域网中用户与主机间的数据通信通常采取的是通过分支集线器接入的操作,由于目前的分支集线器主要应用的是共享式集线器这就增加了其他用户进行侦听的风险,所以建议用交换式集线器进行替换实现数据包仅在两点之间的传送,有效的防止了非法侦听。除了上述两种方法针对网络的开放性防护还可以运用VLAN技术,这一技术的主要目的是实现以太网的点到点通信,按照划分基准的不同可以分为基于端口、MAC地址和网络层等三类。
网络安全技术防护方案范文4
关键词:计算机;网络信息安全技术;高校;应用与防护
近年来,虽然网络信息广泛应用于高校的教学与办公工作,但也潜藏了很大的安全隐患,高校网络信息安全事件的发生造成了高校严重经济损失。因此,在思考如何利用好网络信息安全技术的同时,还要注意网络信息技术的安全防范。这也成为了近年来主要研究的课题之一。
1计算机网络信息安全技术在高校中面临的问题
1.1高校的计算机配置无法达到标准
计算机在高校中的应用已经大规模普及,计算机是否能正常运行是高校工作能否顺利开展的重要保障。因此,需要定期严格排查计算机出现的问题。其中,计算机配置是否能满足标准是影响计算机信息安全问题的重要原因之一。如果计算机配置过低,则会影响计算机的运行速度,从而降低高校中各项工作的效率,无法提供安全保障。严重时,会造成对高校计算机系统的破坏,使计算机中的信息丢失或损坏[1]。
1.2电磁辐射发生泄漏
当计算机处于工作状态时,主机或外部设备、线路会产生电磁辐射以及传导辐射,这便是计算机电磁辐射泄漏。电磁辐射的泄漏很可能会导致信息的泄漏。一方面,信息会通过电磁辐射向发生辐射发射;另一方面,等信息还可通过电源线、信号线等向外传导发射。这些看似微小的问题实际上对高校信息的保密工作有巨大的威胁。
1.3校园网络软件存在安全风险
网络入侵是计算机信息网络技术中存在的最大问题,风险极高。首先,非法用户可以通过网络入侵的手段,跳过高校网络认可的步骤,对校园网络系统进行直接的破坏,极大的阻碍了高校工作的正常运行。再者,计算机病毒感染也是常见安全风险之一。病毒会通过感染的方式使计算机瘫痪,从而造成信息的破坏与丢失,具有影响范围广、破坏能力强、可逆性低的特点。
2计算机网络信息安全技术在高校中的应用
2.1构建综合的线上交流平台
计算机网络信息安全最常用于高校大学生的管理工作。由于传统的管理方式无法使高校教师快速且清楚的了解到学生的日常生活与学习情况,因此,学生的思想教育与沟通工作无法顺利展开,给高校教师带来了巨大的压力,高校的学生管理工作发展严重受到阻碍。基于此问题,构建完善的线上交流平台这一网络信息安全技术具有很强的普适性。在线上交流平台上,学生避免了在沟通中拘泥的状态,可以无教师实现无障碍且高效的沟通,以达到能够及时解决问题的目的,促进学生身心的良好发展[2]。
2.2建立完善的信息管理系统
随着信息现代化的加强,信息管理成为了高校管理工作中的一项基础工作。当今高校对于信息管理系统的完善有了较大进步。一般来说,完善的信息管理系统一般包括专业课程系统、课程管理系统、学生教学系统、教师管理系统、人事管理系统、线上交流系统、选修课系统、事假系统、科研系统等等。通过建立完善的信息管理系统,可以系统完整的整合高校各项工作的信息,对工作情况、工作进度等实现高质量的管理,及时了解工作的最新动态,提高工作管理效率。
2.3开展高效的宿舍管理
计算机网络信息技术在宿舍管理中的服务主要体现在以下四个个方面。在宿舍资料管理方面,随着我国大学生扩招,学生宿舍资料也随之增加,这无形中增加了学校宿舍资料的管理难度。传统的宿舍资料管理方式具有易丢失、录入与读取难度大的缺点。学生在校住宿期间,由于各种原因,时常会出现搬迁的情况,因此宿舍管理员需要依据宿舍管理资料对学生的住宿制定新的安排。高校的宿舍资料信息化可以从极大程度上方便对学生的管理。在宿舍缴费管理方面,通过计算机网络信息技术构建网络缴费系统,可以方便学生的缴费,节省了排队等待的时间,减小由于不及时缴费而带来的影响。在宿舍管理服务方面,可以构建宿舍服务系统,拓展宿舍服务的功能,形成具有统一标准的宿舍服务管理中心。在宿舍安全管理方面,可以通过系统对宿舍楼的消防设备、报警设备、摄像设备等进行远程操控,防患于未然。
2.4保障高校的食品安全
由于高校对食品的质量安全越来越重视,因此将计算机网络信息安全技术运用在食品管理方面也是大势所趋。食品管理方面的应用主要体现在以下三个方面。在食品物流管理方面,管理系统可以对食品材料的加工、运输、存储等多方面的重要信息进行远程监控。还能通过对食品的标识及时调取食品物流过程中的详细信息,以便于在出现食品安全问题是,能够有效的追根溯源,确定产生问题的主要环节。在食品安全数据管理方面,可以通过网络信息技术化建立食品安全数据库,主要包括食品材料品种、配送信息等多方面。在食品安全系统化管理方面,制定严格的管理规划,采取统一权限管理的模式,对高校管理者、食品提供者、食品运输者、食品加工者进行不同的权限授权,明确各方的管理责任[3]。
3计算机网络信息技术在高校应用中的安全防护
针对上文中计算机网络信息安全技术在高校应用中出现的问题,可以从以下三方面采取相应的防护措施。第一,可以加强可行的防护制度。为避免网络入侵、病毒感染等问题,保证高校各项管理工作的顺利进行,需要建立规范的防护制度。例如通过定期对管理人员的培训来提高人员的素质与技能。其次,需要建立建业的计算机管理小组,对管理人员进行统一的管理。第二,要注意提高防范意识。对于计算机网络信息安全的防范可以从计算机、网络软件和客户端三方面入手。首先,在计算机方面,可以通过安装弱电装置实施对计算机的弱电保护工作。其次,在网络软件方面,全面的为计算机安装完备的杀毒与防毒软件,并定期对软件进行升级。最后,在客户端方面,要把控好客户端的类别,防止不良客户端的侵入。第三,尽可能提高计算机的防火墙技术。通过对计算机防火墙技术的加强,可以有效减少外界因素对计算机产生的干扰。高校应加强计算机防火墙技术的提升,不给网络黑客和病毒侵入的机会,实现对两者的有效阻断。不同的网络系统具有一定的差异,因此在对防火墙的选择上,要注意与系统的兼容性。
网络安全技术防护方案范文5
关键词:计算机;网络攻击;网络安全
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 02-0000-02
Discussion on the Computer Network Security Technology
Sun Jiawei
(Harbin Normal University,Institute of Computer Science and Information Engineering,Harbin150080,China)
Abstract:Since the last century,invented the computer in recent decades,with the rapid development of computer technology and the Internet network technology,computer network has become a necessary part of most of modern life.Followed by a computer network attack frequently between countries,today,computer network security has become a problem related to the safety of modern social life.But the lack of a systematic literature and summarize the computer network security technology,cited encryption technology,intrusion detection technology,protective wall and set trap network technology,a system of elaborate computer network security technology.
Keywords:Computer;Network attacks;Network security
以21世纪以来所显示的数据来看,网络世界频频爆发各种电脑病毒,以最广泛的蠕虫类、木马类病毒为代表的大规模网络安全攻击事件给全球的互联网和商业、军事情报网带来了严重的冲击,网络病毒传播速度之快及其破坏力之大和影响范围之广都远远超过以往没有计算机网络的时代。可以说随着计算机网络技术的发展,打破了传统意义上的信息传递概念,是一种跨时代的飞跃。相对的,计算机网络的安全性也至关重要,所以,各种保密手段和防黑客技术也在新的世纪得到突飞猛进的进展。
一、计算机网络安全现状
(一)计算机网络攻击和安全隐患
计算机网络攻击原则上可分为以下几类:第一,利用网络攻击中常见的技术术语、社会术语等来对攻击进行描述;第二,利用多属性法对攻击进行描述;第三,对特定类型应用、特定系统而发起的网络攻击;第四,利用单一属性描述的和仅从攻击某个特定的属性的网络攻击。
信息安全的基本威胁有:第一,信息的泄漏;第二,网络系统拒绝服务;第三,某一资源被某个未授权的人非法使用;第四,数据通过未授权的创建、修改或破坏而受到损害。计算机网络存在的以资源共享为基础的安全隐患为网络攻击的病毒传播带来了极大的便利。共享式网络设备的系统内部网都是采用的以广播为技术基础的以太网,网络黑客只要接入以太网上的任一节点很容易从网上得到的许多免费的黑客工具,通过共享网络,当用户与主机进行数据交换时,很有可能被同一台集线器上的其他用户侦听到。现今网络空间里主要可实现的威胁有假冒、旁路控制、授权侵犯、特洛伊木马、陷门;潜在危险有窃听、业务流分析、人员疏忽等。
(二)计算机网络攻击防护实现的目标
上世纪六十年代对于信息保护处于通信保密时代;七十年代是计算机安全时代;八十年代是信息安全时代;就是年代以后是信息保障时代。所谓信息保障是通过保护、检测、反应、恢复这四种手段实现的,即所谓的PDRR。
计算机网络攻击防护是为了保护信息的机密性、身份真实性、完整性、服务可用性、系统可控性、可靠性、访问控制、抗抵赖性和可审查性。
二、计算机网络安全防护技术
(一)密码技术
计算机网络安全防护中的密码技术是基于密码学的原理上发展起来的,密码体制是密码技术中最为核心的一个概念。一个密码体制被定义为一对数据变换。对称密码体制的特征是用于加密和解密的密钥是一样的或相互容易推出。对称密码体制又分为两种,即序列密码和分组密码。前者将明文消息按字符逐位地加密;后者将明文消息分组,逐组地进行加密,其典型代表是DES。
(二)入侵检测技术
入侵检测技术是一门新型的安全防范技术;可以弥补防火墙技术的不足,抵御来自网络内部的攻击,是提供实时的入侵检测和采取相应的手段。入侵检测技术的主要功能是对网络上的用户和计算机系统的行为监测与分析;对系统本身属性安全性的审计检查,包括系统配置和漏洞;对系统和数据文件的完整性进行检查和评估;对已知的攻击行为模式进行记忆和识别分析;对计算机终端和客户计算机连接系统异常行为模式分析统计;对计算机操作系统的跟踪管理。根据入侵检测技术应用的范围,入侵检测可分为基于主机型、网络型和型这三种;根据入侵检测技术检测方法的区别,入侵检测分为基于行为的异常入侵检测和基于知识的误用入侵检测。至今开发出比较有代表性的产品有Realsecure、Cybercop和NetRanger。
入侵检测技术主要操作步骤分为收集信息和分析信息两步。收集信息主要指收集系统、网络、数据及用户活动的状态和行为的信息,在扩大检测范围的同时通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为;分析应用模式匹配、统计分析、完整性分析等分析方法。
(三)防火墙技术
防火墙技术是一种重要的网络安全防护技术,具有防外不防内的特点。随着防火墙技术的更新,现在网络防火墙技术的概念和定义比之防火墙技术刚诞生的时候更加广泛和全面。防火墙技术不仅有对外部网络发出的通信连接进行过滤的作用,其对内部网络用户的请求和数据包也有过滤的功能,防火墙技术之所以能成为网络安全防护的重要技术组成部分,是因为防火墙技术只允许符合安全策略的通信通过,这大大提高了网络范围内反入侵技术的成功率。综上所述,可以看出防火墙技术是一种隔离内部网络和外部网络之间的有效的网络防御系统。
必须使内部网络和外部网络之间的所有数据流都经过防火墙技术才能达到防火墙技术的安全防御的功能;在此基础上,能通过防火墙技术的数据流能是符合防火墙技术规则设置的。防火墙技术本身具有非常强的抗攻击能力。
防火墙技术有包过滤型和应用型两种。其中,包过滤型防火墙技术是指用一台过滤路由器实现,对所接受的每一个数据包作出允许通过或拒绝通过的决定的一类防火墙技术。在包过滤型防火墙技术的作用下,只有与进出口包所匹配的符合防火墙技术规则的数据才能被通过和传递,即只有数据包头源地址、目的地址、端口号和协议类型等都符合防火墙技术规则时才能被传递;缺少上述两个条件任何一个条件的数据都不被允许通过。包过滤类型的防火墙技术要遵循的规则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。包过滤型防火墙技术又包括静态包过滤型防火墙技术和动态包过滤型防火墙技术。前者是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。后者则是后来的包状态监测技术,监控每一个连接,自动临时增加适当的规则。应用型防火墙技术工作在OSI应用层的防火墙技术,其完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。
防火墙技术还有其他分类依据,如根据防火墙技术的应用位置来分可以把防火墙技术分为边界防火墙技术、个人防火墙技术和混合防火墙技术。根据防火墙技术的性能来分有可以把防火墙技术分为百兆级防火墙技术和千兆级防火墙技术。
防火墙技术的优点是其能通过一个过滤路由器就能保护整个网络的安全,并且其具有速度快、效率高的工作模式,同时,在防火墙技术对数据包的过滤过程中,全程对用户透明。但是,不可否认的是防火墙技术还是有一定的缺点:如防火墙技术不能彻底地防止地址欺骗的网络欺诈行为;防火墙技术的正常数据包过滤路由器由于不能执行默写安全策略,从而对于防反黑客攻击的作用很弱;防火墙技术的一些协议不能适用于数据包的过滤并且也不支持应用层协议;防火墙技术不能做到实时更新所以在遇到新的安全威胁时不能及时处理。
(四)陷阱网路
以上所述的密码技术、入侵检测技术和防火墙技术都是网络安全防护方面比较成熟的技术,但是,随着网络攻击技术的飞速发展,网络安全防护技术总体上说还是处于被动的防护地位,为了针对这一不利形势,又有人开发出一种主动型网络安全防护措施,即陷阱构网络技术。
陷阱网络是基于网络的开放性而设计的,即假设网络上的每台主机都有可能被攻击,而且对于那些带有某种特定资源的系统遭到攻击的概率越大,那么网络陷阱的布置,就有可能成功地将入侵者引入一个受控环境中,从而降低正常系统被攻击的概率。
当前常见的陷阱网络系统主要有:蜜罐系统,它能模拟某些常见的漏洞或者模拟其它操作系统或者在某个系统上做一些设置使其成为一台类似于牢笼的主机,来诱骗入侵者使攻击者劳而无功;陷阱网络,它建立的是一个真实的网络和主机环境,并非某台单一主机,这个陷阱网络系统隐藏在防火墙后面,使得所有进出的数据都受到关注、捕获及控制。陷阱网路主要用来学习了解攻击者的思路、工具和目的,并为特定组织提供关于他们自己得出的网络安全风险和脆弱性的一些经验,同时帮助一个组织发展事件响应能力。
三、结语
随着计算机网络攻击技术的发展,计算机网络安全防护技术的更新和改善要由原来的被动型向未来的主动型转变,同时,传统的技术要进一步的更新的稳固,新的技术如陷阱网路的研发和应用要由现在的主干网络系统普及至全民网络体系中。这个过程还需要科技人员的努力。
参考文献:
[1]曹建文,柴世红.防火墙技术在计算机网络安全中的应用[J].信息技术,2005,34:39-40
[2]谢.计算机网络入侵检测技术探讨[J].科学技术与工程,2008,1:229-232
网络安全技术防护方案范文6
关键词:网络安全;防火墙;网络黑客;加密技术
中图分类号:TP393
文献标识码:A 文章编号:1672-7800(2015)005-0152-02
作者简介:李文彬(1967-),男,湖南平江人,湖南省平江县政务中心工程师,研究方向为网络安全。
0 引言
随着网络技术以及计算机技术的飞速发展,信息化已经成为企业现代化办公的重要手段,也是企业提高办事效率,加强企业内外部管理的重要手段。目前企业的信息共享技术正在不断多元化,涉及的业务范围越来越广,对网络的依赖性越来越强,面对的网络威胁也越来严重。一方面计算机网络病毒越来越隐蔽和智能,病毒的种类也越来越多元化,企业防不胜防。另一方面,由于计算机本身功能的不断扩展,安全漏洞也逐渐增多。在当前日趋严重的网络安全威胁中,加强计算机网络安全意识教育,提高网络信息安全技术迫在眉睫。基于此,本文对计算机网络安全以及防护技术进行了研究。
1 网络安全面临的主要威胁
当前,网络面对的安全问题主要体现在3个方面:①计算机病毒的攻击能力越来越强大,一般安全措施难以保证计算机安全;②网络黑客的攻击越来越高端,攻击的方式也越来越多样化,使得计算机本身的安全性能降低;③网络安全薄弱环节较多。由于计算机的应用范围越来越广泛,因此面临的威胁也涉及多个方面。以下主要对这3类网络安全威胁进行研究。
1.1 病毒攻击
病毒攻击是导致计算机不能正常运转或信息泄露的常见形式。计算机病毒作为一种程序,能够进入计算机系统,偷取系统资料,造成系统瘫痪。近年来出现了多种严重危害计算机安全的病毒,如蠕虫病毒、木马病毒等。这些病毒的传播范围广、速度快,具有较强的杀伤力,能够通过远程控制,干扰计算正常运行,是严重影响计算机安全的重要因素之一。
1.2 网络黑客攻击
黑客攻击是指一些网络黑客利用计算机漏洞,通过各种病毒,如蠕虫病毒、木马病毒等对系统进行恶意的攻击和破坏。当前比较流行的黑客攻击模式包括:邮件攻击、漏洞攻击、特权攻击、服务拒绝攻击以及口令攻击等。这些攻击方式给网络环境造成威胁,严重的还能引发犯罪,一些居心叵测者利用其进行网络诈骗活动。
1.3 网络安全薄弱点较多
当前,网络的安全薄弱点较多,例如数据库管理系统、网络系统以及计算机操作系统均存在安全问题。数据库作为整个系统的数据管理系统,是存储计算机用户各类账户密码、上网记录的地方,一旦数据库遭到攻击,就会面临信息被泄露的危险,从而对用户的隐私和财产造成威胁。而操作系统作为整合计算机运行的核心,一旦受到攻击,就有可能瘫痪,导致整个系统工作无法进行,小则影响企业工作效率,大则威胁整个企业生死。网络作为系统用户信息和获取的节点,随时都受到各种威胁。
2 网络安全防护技术
为了提高计算机安全防护,计算机专家研究了一些安全技术手段,主要有加密技术、访问控制技术、认证技术等。
2.1 加密技术
加密技术是指计算机网络为了保障信息安全,对系统账号信息等内容进行加密,只有拥有正确的账号密码信息,用户才能进入系统进行操作。当前使用较多的加密技术有:①私钥算法加密技术;②公钥算法加密技术。这两种加密技术都是对系统的数据进行处理和加密,使数据信息变成不容易读取的代码,然后再进行解密,从而保障网络信息安全。
2.2 访问控制技术
访问控制技术是保障网络安全的关键技术之一,分为系统访问控制和网络访问控制两种类型,其主要作用是阻止没有经过授权的用户对网络资源的访问和使用。访问控制技术主要使用安全操作系统和安全服务器,主要任务是对网络内部用户对外部的访问以及网络外部用户对内部的访问进行一定限制。访问控制技术中的安全服务器主要实现对局域网内部用户进行管理以及控制局域网资源,涉及信息存储、传输以及保密问题。而安全操作系统主要对各类网络安全产品进行监视,以保证各类安全产品正常运行。
2.3 身份认证
身份认证技术是一种能够防止主动攻击的重要技术,该技术通过将证据与实体身份绑定加以实现。用户身份认证是保护主机系统的一道重要防线,在各认证机制中都可以选择使用。通过身份认证技术,可以识别合法用户和非法用户,从而保障信息的机密性、完整性及可控性。
2.4 入侵检测技术
入侵检测技术可以认为是防火墙技术的一种补充完善,主要是对一些非法的入侵行为进行检测预防。入侵行为主要有两种,一种是外部入侵,一种是内部入侵。入侵行为使数据受到损坏和丢失,还影响合法用户对系统的使用,所以在网络系统受到危害之前,采用入侵检测技术来检测通路点,可以拦截和响应入侵,极大地提高了通信网络的安全性。
2.5 防火墙技术
防火墙技术是当前应用非常广泛的一种网络安全技术,其作用是最大限度地阻止没有经过授权的通信或者网络黑客访问被保护的网络。防火墙主要由软件和硬件组成,其任务是从各种端口中辨别出有害的计算机数据,并将其进行过滤丢弃,从而加强内网通信的安全性。除此之外,防火墙还具有在计算机和网络系统受到病毒入侵前进行拦截、响应和报警等功能。所以,在安装防火墙以后,可以过滤掉不安全的服务,拦截非法用户、组织入侵以及限定用户访问特殊站点,从而保障网络通信安全。
参考文献:
[1] 王伟,段明.网络课程教学设计研究[J].教育训练研究,2011(5):108-109.
[2] 郭增平,朱纯义.多媒体教学存在的问题与思考[J].教育与职业,2011(24):178-181.
[3] 朱庆弦,张杰,张骏温.网络管理技术的发展趋势[J].电视技术,2010 (12):114-116.
