前言:中文期刊网精心挑选了网络信息安全论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络信息安全论文范文1
1.1公安网络系统中软件设计问题
由于公安网络系统的安全防护软件的开发周期与早期的系统分析不适合当前安全防护形势的原因。其公安网络操作系统与应用软件中存在很多的安全楼同,这些漏洞的存在将对网络的正常运行构成很大的隐患。
1.2病毒的防护漏洞
公安网络目前对网络病毒的防护手段十分有限,没有建立专用的计算及病毒防护中心、监控中心,这同样对公安网络的安全造成巨大隐患,“尼姆达”与“2003蠕虫王”等网络病毒曾对公安网络造成想打的危害,造成网络拥堵、降低性能,严重扰乱了公安系统的正常工作秩序。
1.3信息安全的管理体制不完善
公安网络系统是与公共网络物理隔离的系统,但是还未在整体上建立完善的安全结构体系,在管理上缺乏安全标准以及使用条例,甚至有些地方公安网络中的计算机出现公安网络与公共网络同时使用的现象,这都对公安网络的信息安全带来不可忽视的安全威胁,使非法入侵者有着可乘之机。
2公安网络的信息安全体系结构设计
公安网络的信息安全体系结构设计,是一项非常复杂的系统工程,该体系对安全的需求是多层次,多方面的。因此本文设计了比较完整的安全体系结构模型,以保障整个系统的完备性以及安全性,为公安网络的信息安全提供切实有效的安全服务保障。本文在借鉴了多种成熟的信息网络安全体系结构,并且根据国家公安部提出的具体保障体系的指导思想,设计了适应我国公安网络的信息安全体系。该体系从安全服务、协议层次以及系统单元三个维度,综合立体的对公安信息网络的安全体系进行了设计。这个三个层次均包含了安全管理模块。
2.1协议层次维度
本文从网络的七层协议模型来设计公安网络的安全体系结构中的协议层次。每一个协议层次都有专属的安全机制。对于某一项安全服务,安全实现机制随着协议层次的不同而不同。例如,审计跟踪的安全服务项目在网络层,主要对审计记录与登录主机之间的流量进行分析,对非法入侵进行实时监测。病毒防护层一般在应用层实现,一般用来对访问事件进行监控,监控内容为用户身份,访问IP,访问的应用等等进行日志统计。
2.2安全服务维度
公安网络的信息安全体系中包括的安全服务有,身份识别认证、访问控制权限、数据完整性和保密性以及抗抵赖组成了安全服务模型。在安全服务模型中,每一个安全服务对应着不同类别的应用。这几种安全服务模型不是独立的是互相联系着的。进入公安网络安全体系的主体登录系统时,要进行身份识别认证,并且查找授权数据库,以获得主体访问的权限,如果通过验证与授权,则对访问信息进行加密返回至主体,主体通过解析进行信息获取。并且,主体访问的过程被审计跟踪监测模块记录,生成访问日志,以便日后进行查验。
2.3系统单元维度
公安网络的信息安全体系的实施阶段,上述安全服务与协议等要集成在物理单元上,从系统单元的维度看,可分为以下几个层次。首先,物理环境安全,该层次保护计算机信息系统的基本设施安全,能够有能力应对自然灾害以及人为物理误操作对安全体系的基础设施的干扰以及破坏。其次,网络平台的安全,主要保证网络的安全可靠运行,保障通过交换机等网络设备的信息的安全。最后是应用系统的安全,该层次提供了访问用户的身份认证、数据的保密性以及完整性,权限访问等。
3总结
网络信息安全论文范文2
随着计算机技术的日益成熟,云计算技术已经逐渐的成为了计算机传送和存信息的重要手段,这主要是因为云计算的发展同网络密不可分,因此网络信息安全受计算机云计算安全的直接影响。网络的发展,在使人们生活变得越来越便捷的同时,信息安全遭受到的威胁也在逐渐扩大。近年来,网络信息泄密事件屡屡发生,泄密事件的频繁发生使人们对网络的安全性产生了严重的怀疑,而网络的安全问题对云计算的发展有着重要的影响,信息的安全得不到保障,那么云计算的发展也就将会受到制约。控制云计算下的信息安全,是确保云计算技术能够得到进一步发展的重要保障。
2安全防护措施
互联网技术和计算机技术的高速发展促使了云计算技术的诞生,云计算技术越逐渐地成为了互联网的新发展趋势,受网络的实效性和瞬时性的影响,云计算技术给安全管理带来了许多困难,问题的出现同样给信息安全的发展带来机遇。本文依据云计算的理念,结合实际工作经验,就如何在云计算的基础下,确保信息安全的几种方法加以介绍。
2.1建立统一的信息平台
我国互联网行业多个运营商并存,因此之间存在着竞争关系,每个运营商都有各自的信息平台,从而造成了不同的运营商无法对信息安全问题进行统一。进一步说,这种无法统一将会造成每个云端的资源无法得到充分的利用,导致了在云环境下资源的巨大浪费。目前信息的存储和传输都处于快速发展阶段,在互联网中的存储的信息要远大于历史各时代的信息量的总和,这足以说明,信息的存储量和传输量巨大。在这种大环境之下,各个运营商如果还是各自为营,不仅会消耗大量的资金,而且也无法确保信息的安全。因此,在云计算逐渐发展的今天要想确保信息的安全性,运营商之间必须要放下成见,相互合作,共同建立一个统一的互联网云环境下的信息管理平台,只有这样才能实现信息整合,发挥云环境下互联网中信息安全保障的优势。同时,信息管理平台的建立对云技术的发展也有着一定的促进作用,使互联网的信息安全有了更多的信息支持。
2.2备份处理
在云环境下为了确保信息的安全,应当对信息内容进行备份。数据的备份级别分为以下几种,一个单独的服务器对数据进行备份,多个数据服务对同一数据进行备份,多个数据中心对一数据进行备份,工作人员可以根据信息的重要性和实际需求为信息提供不同级别的信息备份,对信息加以保护。
2.3加密处理
加密一直是保护信息安全的一个重要措施,在云环境下对文件加密同样是保护信息安全的一个重要手段。当文件被加密后,任何人要想获取信息中的内容都需要输入正确的指令,对文件进行加密后将及时将其发送到互联网上,它也依然在控制者控制范围之中。当文件试图脱离控制者的控制时,控制者可以利用PGP对信息内容进行保护,利用此方式,就可以在文件传输过程中进行加密,确保了信息安全能够得到保证。在云环境下互谅网信息在传递途中,控制者可对信息传输加密处理,确保信息在互网传输中的安全性达到最大化。非法人员可能通过技术手段对信息的API密匙入侵,此时作为控制者可以在文件传输过程中设置多种API密匙,这样黑客入侵的难度就会大大提高,有效的阻止黑客入侵,确保了信息的安全性。
3结束语
网络信息安全论文范文3
关键词:信息网络安全系统
近年来,随着经济水平的不断提高,信息技术的不断发展,一些单位、企业将办公业务的处理、流转和管理等过程都采用了电子化、信息化,大大提高了办事效率。然而,正由于网络技术的广泛普及和各类信息系统的广泛应用使得网络化办公中必然存在众多潜在的安全隐患。也即在连结信息能力、流通能力迅速提高的同时,基于网络连接的安全问题将日益突出。因此,在网络开放的信息时代为了保护数据的安全,让网络办公系统免受黑客的威胁,就需要考虑网络化办公中的安全问题并预以解决。
一、网络连接上的安全
目前,企业网络办公系统多数采用的是客户机/服务器工作模式,远程用户、公司分支机构、商业伙伴及供应商基本上是通过客户端软件使用调制解调器拨号或网卡连接到服务器,以获取信息资源,通过网络在对身份的认证和信息的传输过程中如不采取有效措施就容易被读取或窃听,入侵者将能以合法的身份进行非法操作,这样就会存在严重的安全隐患。
同时,企业为了完成各分支机构间的数据、话音的传送,需要建立企业专用网络。早期由于网络技术及网络规模的限制,只能租用专线、自购设备、投入大量资金及人员构建自己实实在在的专用网络(PN,PrivateNetwork)。随着数据通信技术的发展,特别是ATM、FrameRelay(简称FR)技术的出现,企业用户可以通过租用面向连接的逻辑通道PVC组建与专线网络性质一样的网络,但是由于在物理层带宽及介质的非独享性,所以叫虚拟专用网络(VPN,VirtualPrivateNetwork)。特别是Internet的兴起,为企业用户提供了更加广泛的网络基础和灵活的网络应用。
VPN(VirtualPrivateNetwork,虚拟专用网络)是一种通过综合利用网络技术、访问控制技术和加密技术,并通过一定的用户管理机制,在公共网络中建立起安全的“专用”网络。它替代了传统的拨号访问,通过一个公用网络(Internet、帧中继、ATM)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,利用公网资源作为企业专网的延续,节省了租用专线的费用。
VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN也可作为电信专线(DDN、FR)备份线路,当专线出现故障时可迅速切换到VPN链路进行数据传输,确保数据无间断性地传输。
进行远程访问时,远程用户可以通过VPN技术拨号到当地的ISP,然后通过共享路由网络,连接到总公司的防火墙或是交换机上,在实现访问信息资源的同时可节省长途拨号的费用。当一个数据传输通道的两个端点被认为是可信的时候,安全性主要在于加强两个虚拟专用网服务器之间的加密和认证手段上,而VPN通过对自己承载的隧道和数据包实施特定的安全协议,主机之间可通过这些协议协商用于保证数据保密性、数据完整性、数据收发双方的认证性等安全性所需的加密技术和数据签字技术。
二、Web服务器的安全
Intranet是目前最为流行的网络技术。利用Intranet,各个企业,无论大中小,都可以很方便地建立起自己的内部网络信息系统。Intranet通过浏览器来查看信息,用户的请求送到Web服务器,由Web服务器对用户的请求进行操作,直接提交静态页面;或通过CGI进行交互式复杂处理,再由Web服务器负责将处理结果转化为HTML格式,反馈给用户。因此,Web服务器的安全是不容忽视的。而安全套接字层SSL(Securesocketlayer)的使用为其提供了较好的安全性。
SSL是用于服务器之上的一个加密系统,是利用传输控制协议(TCP)来提供可靠的端到端的安全服务,它可以确保在客户机与服务器之间传输的数据是安全与隐密的。SSL协议分为两层,底层是建立在可靠的TCP上的SSL记录层,用来封装高层的协议,上层通过握手协议、警示协议、更改密码协议,用于对SSL交换过程的管理,从而实现超文体传输协议的传输。目前大部分的Web服务器和浏览器都支持SSL的资料加密传输协议。要使服务器和客户机使用SSL进行安全的通信,服务器必须有两样东西:密钥对(Keypair)和证书(Certificate)。SSL使用安全握手来初始化客户机与服务器之间的安全连接。在握手期间,客户机和服务器对它们将要为此会话使用的密钥及加密方法达成一致。客户机使用服务器证书验证服务器。握手之后,SSL被用来加密和解密HTTPS(组合SSL和HTTP的一个独特协议)请求和服务器响应中的所有信息。
三、数据库的安全
在办公自动化中,数据库在描述、存储、组织和共享数据中发挥了巨大的作用,它的安全直接关系到系统的有效性、数据和交易的完整性、保密性。但并不是访问并锁定了关键的网络服务和操作系统的漏洞,服务器上的所有应用程序就得到了安全保障。现代数据库系统具有多种特征和性能配置方式,在使用时可能会误用,或危及数据的保密性、有效性和完整性。所有现代关系型数据库系统都是“可从端口寻址的”,这意味着任何人只要有合适的查询工具,就都可与数据库直接相连,并能躲开操作系统的安全机制。例如:可以用TCP/IP协议从1521和1526端口访问Oracle7.3和8数据库。多数数据库系统还有众所周知的默认帐号和密码,可支持对数据库资源的各级访问。从这两个简单的数据相结合,很多重要的数据库系统很可能受到威协。因此,要保证数据库的完整性,首先应做好备份,同时要有严格的用户身份鉴别,对使用数据库的时间、地点加以限制,另外还需要使用数据库管理系统提供的审计功能,用以跟踪和记录用户对数据库和数据库对象的操作,全方面保障数据库系统的安全。4.网络安全防范
现阶段为了保证网络信息的安全,企业办公的正常运行,我们将采用以下几种方式来对网络安全进行防范:
(1)配置防病毒软件
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
(2)利用防火墙
利用防火墙可以将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
(3)Web、Email的安全监测系统
在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
(4)漏洞扫描系统
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
(5)利用网络监听维护子网系统安全
对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。:
总之,网络办公中的信息安全是一个系统的工程,不能仅仅依靠防毒软件或者防火墙等单个的系统,必须将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统。但由于系统中的安全隐患、黑客的攻击手段和技术在不断提高,因此我们对安全的概念要不断的扩展,安全的技术也应不断更新,这就有大量的工作需要我们去研究、开发和探索,以此才能保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献:
[1]《网络安全理论与应用》杨波北京电子工业出版社2002
[2]《计算机网络安全技术》蔡立军中国水利水电出版社2005
网络信息安全论文范文4
1.1互联网安全风险
首先,外面互联网安全隐患。为了满足在多个地区处理事情的需求,公司财务软件大部分与外部网络连接,运用非常先进的互联网来达成对财务信息软件的不同区域的低花费、高效率地查询和利用。可是也随之产生很多安全隐忧:
①不具有权限的访问:比如财务工作者运用的电脑安全级别太低,被黑客运用,冒充身份攻破公司财务信息软件实施不当操作或者谋取秘密材料。例如,从美国国防部网站被改头换面到我国163网站的崩溃,从微软公司的开发蓝图被窃取到美国总统克林顿的信用卡信息被盗,这些都可以看出黑客对于互联网系统旳危害。
②信息安全性无法保证:财务工作者在利用外部互联网登录财务信息软件时,信息在互联网传送过程中被违法分子截留,进而造成重要信息的泄露,例如,工作人员在对企业的信用卡账号进行网上输入时,信用卡信息则可能会被不法分子从网上将其拦截,了解了该信用卡信息之后,他便可以利用此号码在网上进行各类支付以及违法交易。③恶意代码:电脑病毒是造成互联网数据存在安全隐患的关键要素,病毒利用客户段计算机传递到公司局域网,可导致财务信息软件的无法正常使用、信息丟失等诸多不良结果。
1.2企业运用的财务软件存在的问题
企业财务软件是财务信息化运作的基础,不同的财务软件有不同的操作方法,有些操作的功能相同,但操作过程却有区别。一个设计合理、功能优越的财务软件可以从功能和内容让使用人员相互牵制、互相监督,这样有利于加强人员管理,起到最基础的堵塞漏洞的作用。在应用软件的研制过程中,对容易出现问题的软件功能、细节等地方,全靠研究人员的多方面思量,如果考虑不周就有可能使得实际工作中出现与预想不同的结果,进一步导致整个结果有差错。如果有这种问题存在的话,在实际处理中,当输人原始资料,在软件程序的控制下就会出现多个结果,这样的问题直接影响到数据的真实、安全。在财务信息化深入企业之后,财务软件成为了财务信息化的运行平台,我国常用的财务软件就是用友软件和金蝶软件。在这两个软件中也有不足之处。比如,用友软件中,在填制采购及销售订单时,系统不要求输入采购或销售人员等相关经手人员。这样的问题对多数要求按业务员进行订单汇总的企业来说,不输人采购或销售人员信息,不便于汇总管理,而且如果日后出现问题,也对落实责任非常不利。而在金蝶软件中,相比用友软件的能够增加、删除、修改等功能,金蝶K3中只有查询权和管理权,对用户的职能设置不够完美,安全性不高。
1.3企业内部控制存在失效的可能性
在企业中,财务的目标、技术手段、财务的职能、功能范围以及系统层次等都会由于财务信息系统的特征而发生较大的改变,企业的内部控制也在逐渐的与财务信息系统的变化相适应,但是,其适应的过程是一个不断完善的过程,目前的企业内部控制并不健全,内部控制存在失效的可能性。例如,企业财务人员在对数字字段进行录人的过程中由于疏忽大意输错了字段,利用键盘输人时按错了键盘,对数据进行了颠倒,使用无序的代码或者是从错误的凭单上转录数据等,这些问题实质的发生了却无人察觉,从而使得财务信息系统的数据出现失真的问题。
2预防与解决财务信息安全方法
2.1完善企业财务软件的幵发,做好系统维护工作
财务软件是财务人员实际工作中自己操作的,也是财务信息录人后处理的重要部分,软件的好坏、是否适合本企业的财务操作,功能是否完善都会影响到财务信息的安全。因此,完善企业财务软件的开发要在日常做好软件的升级、更新、系统维护等,配备功能完善的财务电算化软件,齡门的软件研发人员定期对系统进行检查,以确保财务软件处于正常、良好的运行状态。
2.2提高安全管理意识和能力
不断加强对财务信息系统控制管理人员的安全管理教育,提高财务信息系统操作过程中的安全意识。向工作人员介绍现代网络环境对财务信息网络造成的重要安全威胁,加深系统操作管理人员对加强安全管理的认识,提高工作人员对系统内部控制的风险防范意识。注意培养财会人员和管理人员的综合业务素质,聘请专业财会管理人员对企业财务部门的工作人员进行指导培训,加强计算机信息网络知识的教育,提高工作人员计算机网络技术理论水平和操作实践水平,保证财务信息系统操作管理人员能够熟练掌握计算机网络信息技术,不断适应广阔多变的外部网络环境。另外,相关财务从业人员在进行财务信息系统相关活动中存在道德风险,开放的网络需要更为严格、严谨的安全法律法规,因此两络财务信息系统需要有特别针对性的安全控制制度,这需要在将来的探索实践中逐步实现。
2.3加强对财务信息系统控制管理的监督
网络信息安全论文范文5
作为通过远程连接的方式实现网络资源的共享是大部分用户均会使用到的,不管这样的连接方式是利用何种方式进行连接,都难以避开负载路由器以及交换机的系统网络,这是这样,这些设备存在着某些漏洞极容易成为黑客的攻击的突破口。从路由器与交换机存在漏洞致因看,路由与交换的过程就是于网络中对数据包进行移动。在这个转移的过程中,它们常常被认为是作为某种单一化的传递设备而存在,那么这就需要注意,假如某个黑客窃取到主导路由器或者是交换机的相关权限之后,则会引发损失惨重的破坏。纵观路由与交换市场,拥有最多市场占有率的是思科公司,并且被网络领域人员视为重要的行业标准,也正因为该公司的产品普及应用程度较高,所以更加容易受到黑客攻击的目标。比如,在某些操作系统中,设置有相应的用于思科设备完整工具,主要是方便管理员对漏洞进行定期的检查,然而这些工具也被攻击者注意到并利用工具相关功能查找出设备的漏洞所在,就像密码漏洞主要利用JohntheRipper进行攻击。所以针对这类型的漏洞防护最基本的防护方法是开展定期的审计活动,为避免这种攻击,充分使用平台带有相应的多样化的检查工具,并在需要时进行定期更新,并保障设备出厂的默认密码已经得到彻底清除;而针对BGP漏洞的防护,最理想的办法是于ISP级别层面处理和解决相关的问题,假如是网络层面,最理想的办法是对携带数据包入站的路由给予严密的监视,并时刻搜索内在发生的所有异常现象。
2交换机常见的攻击类型
2.1MAC表洪水攻击
交换机基本运行形势为:当帧经过交换机的过程会记下MAC源地址,该地址同帧经过的端口存在某种联系,此后向该地址发送的信息流只会经过该端口,这样有助于节约带宽资源。通常情况下,MAC地址主要储存于能够追踪和查询的CAM中,以方便快捷查找。假如黑客通过往CAM传输大量的数据包,则会促使交换机往不同的连接方向输送大量的数据流,最终导致该交换机处在防止服务攻击环节时因过度负载而崩溃.
2.2ARP攻击
这是在会话劫持攻击环节频发的手段之一,它是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认其物理地址的应答,这样的数据包才能被传送出去。黑客可通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,ARP欺骗过程如图1所示。
2.3VTP攻击
以VTP角度看,探究的是交换机被视为VTP客户端或者是VTP服务器时的情况。当用户对某个在VTP服务器模式下工作的交换机的配置实施操作时,VTP上所配置的版本号均会增多1,当用户观察到所配置的版本号明显高于当前的版本号时,则可判断和VTP服务器实现同步。当黑客想要入侵用户的电脑时,那他就可以利用VTP为自己服务。黑客只要成功与交换机进行连接,然后再本台计算机与其构建一条有效的中继通道,然后就能够利用VTP。当黑客将VTP信息发送至配置的版本号较高且高于目前的VTP服务器,那么就会致使全部的交换机同黑客那台计算机实现同步,最终将全部除非默认的VLAN移出VLAN数据库的范围。
3安全防范VLAN攻击的对策
3.1保障TRUNK接口的稳定与安全
通常情况下,交换机所有的端口大致呈现出Access状态以及Turnk状态这两种,前者是指用户接入设备时必备的端口状态,后置是指在跨交换时一致性的VLAN-ID两者间的通讯。对Turnk进行配置时,能够避免开展任何的命令式操作行为,也同样能够实现于跨交换状态下一致性的VLAN-ID两者间的通讯。正是设备接口的配置处于自适应的自然状态,为各项攻击的发生埋下隐患,可通过如下的方式防止安全隐患的发生。首先,把交换机设备上全部的接口状态认为设置成Access状态,这样设置的目的是为了防止黑客将自己设备的接口设置成Desibarle状态后,不管以怎样的方式进行协商其最终结果均是Accese状态,致使黑客难以将交换机设备上的空闲接口作为攻击突破口,并欺骗为Turnk端口以实现在局域网的攻击。其次是把交换机设备上全部的接口状态认为设置成Turnk状态。不管黑客企图通过设置什么样的端口状态进行攻击,这边的接口状态始终为Turnk状态,这样有助于显著提高设备的可控性。最后对Turnk端口中关于能够允许进出的VLAN命令进行有效配置,对出入Turnk端口的VLAN报文给予有效控制。只有经过允许的系类VLAN报文才能出入Turnk端口,这样就能够有效抑制黑客企图通过发送错误报文而进行攻击,保障数据传送的安全性。
3.2保障VTP协议的有效性与安全性
VTP(VLANTrunkProtocol,VLAN干道协议)是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议,它主要用于管理在同一个域的网络范围内VLANs的建立、删除以及重命名。在一台VTPServer上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机,这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTPServer保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。处于VTP模式下,黑客容易通过VTP实现初步入侵和攻击,并通过获取相应的权限,以随意更改入侵的局域网络内部架构,导致网络阻塞和混乱。所以对VTP协议进行操作时,仅保存一台设置为VTP的服务器模式,其余为VTP的客户端模式。最后基于保障VTP域的稳定与安全的目的,应将VTP域全部的交换机设置为相同的密码,以保证只有符合密码相同的情况才能正常运作VTP,保障网络的安全。
4结语
网络信息安全论文范文6
关键词:网络信息安全;大型网络;硬件防火墙;三次握手;过滤;CPU负载
伴随着信息技术的发展,网络已经成为人们工作生活必不可少的工具,而网络信息安全也越来越受到人们的重视。防火墙技术的发展将促进防火墙成为网络安全的重要保障,而硬件防火墙会成为保护大中型网络信息安全的首选!
一、大中型网络为何选择硬件防火墙
软件防火墙是安装在计算机操作平台的软件产品,它通过在操作系统底层工作来实现管理网络和优化防御功能。
对于大中型网络来说,将软件防火墙装人内部网络的每台设备和内部服务器中来保护网络安全的工作量是巨大的,在实际操作比较困难。首先,大中型网络需要稳定高速运行,而基于操作系统的软件防火墙运行将会给CPU增加超重负荷,造成路由不稳定,势必影响网络。其次,大中型网络会是黑客们攻击的对象,面对高速密集的DOS(拒绝服务)攻击,显然,单凭软件防火墙本身承受能力是无法做到抵御黑客,保护网络安全的。再次,软件防火墙在兼容性方面不及硬件防火墙。正是软件防火墙存在这些缺点.在大中型网络中一般会采用硬件防火墙。
二、硬件防火墙的工作原理和网络安全防御策略
2.1防火墙在网络中的位置
外部防火墙工作在外部网络和内部网络之间,这样的布署将内部网络和外部网络有效地隔离起来,已达到增加内部网络安全的目的。一般情况下,还要设立一个隔离区(DMZ),放人公开的服务器,让外网访问时,就能增加内网的安全。而内部防火墙保护隔离区对内网的访问安全,这样的综合布署将有效提高网络安全。
2.2硬件防火墙的构成
硬件防火墙为了克服软件防火墙在大中型网络中的不足,对软件防火墙进行了改进。通过硬件和软件的结合来设计防火墙,硬件和软件部分都必须单独设计,将软件防火墙嵌入在硬件中同时,采用专门的操作系统平台(加入Linux系统,因为有些指令程序需要安装在Windows系统之中,而Windows稳定性不如Linux,如果在本身就很脆弱的系统平台中布署安全策略.这样的防火墙也会不安全),从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求,使硬件防火墙的实际带宽与理论值基本一致,提高吞吐量、增加安全性,加快运行速度。将这样的硬件防火墙安装进入大中型网络,不仅在可以有效地保障内网与外网链接时的安全.而且可以保障内部网络中不同部门不同区域之间的安全。
2.3大中型网络安全威胁来源
现今的网络使用的都是TcP,IP协议,TCP报文段传输最重要的就是报文段首部(segmenthea&r)~的内容。客户端和服务端的服务响应都是与报文段首部的数据相关联,而三次握手能够实现也和报文段首部的数据相关,其安全性也取决于首部内容,因此黑客经常利用TCPflP协议的漏洞对报文段首部下手从而实现有外网对内网进行攻击。
在大中型网络内部也有部门的划分,对于一些比较重要的部门就连内部网络其他部门也要授权后才能进行访问,这样就会最大限度保障网络的安全,因为有的大型网络的安全关系到国家社会的安全和稳定,所以如果在内部发生网络威胁将会带来更大的损失。
2.4网络中的攻击手段
网络中主要的攻击手段就是对服务器实行拒绝服务攻击,用IP欺骗使服务器复位合法用户的连接,使其不能正常连接.还有就是迫使服务器缓冲区满,无法接受新的请求。
2.4.1伪造IP欺骗攻击
IP欺骗中攻击者构造一个TCP数据,伪装自己的IP和一个合法用户IP相同,并且对服务器发送TCP数据,数据中包含复位链接位(RST),当发送的连接有错误时,服务器就会清空缓冲区中建立好的正确连接。这时,如果那个合法用户要再发送合法数据,服务器就不会为其服务,该用户必须重新建立连接。
2.4.2SYNFLooD攻击
SYNFLOOD是利用了TCP协议的缺陷,一个正常的TCP连接需要三次握手,首先客户端发送一个包含SYN标志的数据包,然后服务器返回一个SYN/ACK的应答包,表示客户端的请求被接受,最后客户端再返回一个确认包ACK,这样才完成TCP连接。在服务器端发送应答包后,如果客户端不发出确认,服务器会等待到超时,期间这些半连接状态都保存在一个空间有限的缓冲区队列(BacklogQueue)中。SYNFLOOD攻击就是利用服务器的连接缓冲区,使用一些特制的程序(可以设置TCP报文段的首部,使整个T0P拉文与正常报文类似,但无法建立连接),向服务器端不断地成倍发送仅有SYN标志的TCP连接请求,当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中,这样就会使服务器端的TCP资源迅速耗尽,当缓冲区队列满时,服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝,导致正常的连接不能进入,甚至会导致服务器的系统崩溃。
2.4.3ACKHood攻击
用户和服务器之间建立了TCP连接后,所有TCP报文都会带有ACK标志位,服务器接受到报文时,会检查数据包中表示连接的数据是否存在,如果存在,在检查连接状态是否合法,合法就将数据传送给应用层,非法则服务器操作系统协议栈会回应RST包给用户。对于JSP服务器来说,小的ACK包冲击就会导致服务器艰难处理正常得连接请求,而大批量高密度的ACKFlood会让A.pache或IIS服务器出现高频率的网卡中断和过重负载,最终会导致网卡停止响应。ACKFlood会对路由器等网络设备以及服务器造成影响。
2.4.4UDPFlood攻击
UDPFlood攻击是利用UDP协议无连接的特点,伪造大量客户端IP地址向服务器发起UDP连接,一旦服务器有一个端口响应并提供服务,就会遭到攻击,UDPFlood会对视频服务器和DNS服务器等造成攻击。
2.4.5ICMPFlood攻击
ICMPFlood通过Pin生的大量数据包,发送给服务器,服务器收到大量ICMP数据包,使CPU占用率满载继而引起该TCP/IP栈瘫痪,并停止响应TCP/IP请求,从而遭受攻击,因此运行逐渐变慢,进而死机。
除了以上几种攻击手段,在网络中还存在一些其他攻击手段,如宽带DOS攻击,自身消耗DOS攻击,将服务器硬盘装满,利用安全策略漏洞等等,这些需要硬件防火墙对其做出合理有效防御。
2.5硬件防火墙防御攻击的策略
2.5.1伪造IP欺骗攻击的防御策略
当IP数据包出内网时检验其IP源地址,每一个连接内网的硬件防火墙在决定是否允许本网内部的IP数据包发出之前,先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址,该IP包就被拒绝,不允许该包离开内网。这样一来,攻击者至需要使用自己的IP地址才能通过连接网关或路由器。这样过滤和检验内网发出数据包的IP源地址的方法基本可以做到预防伪造IP欺骗攻击。
2.5.2SYNFLo0D攻击防御策略
硬件防火墙对于SYNFLOOD攻击防御基本上有三种,一是阻断新建的连接,二是释放无效连接,三是SYNCookie和SafeRe.set技术。
阻断新建连接就是在防火墙发现连半开连接数阈值和新建连接数阈值被超时时,SYNFLOOD攻击检测发现攻击,暂时阻止客户向服务器发出的任何请求。防火墙能在服务器处理新建连接报文之前将其阻断,削弱了网络攻击对服务器的影响,但无法在服务器被攻击时有效提升服务器的服务能力。因此,一般配合防火墙SYNFlood攻击检测,避免瞬间高强度攻击使服务器系统崩溃。释放无效链接是当服务器上半开连接过多时,要警惕冒充客户端的虚假IP发起无效连接,防火墙要在这些连接中识别那些是无效的.向服务器发送复位报文,让服务器进行释放,协助服务器恢复服务能力。SYNCo0kie和SafeReset是验证发起连接客户的合法性。防火墙要保护服务器入口的关键位置,对服务器发出的报文进行严格检查。
2.5.3ACKFlood攻击防御策略
防火墙对网络进行分析,当收包异常大于发包时,攻击者一般采用大量ACK包,小包发送,提高速度,这种判断方法是对称性判断.可以作为ACKFlood攻击的依据。防火墙建立hash表存放TCP连接状态,从而大致上知道网络状况。
2.5.4UDPHood攻击防御策略
UDPF1ood攻击防御比较困难,因为UDP是无连接的,防火墙应该判断UDP包的大小,大包攻击则采用粉碎UDP包的方法,或者对碎片进行重组。还有比较专业的防火墙在攻击端口不是业务端口是丢弃UDP包,抑或将UDP也设一些和TCP类似的规则。
2.5.5ICMPFlood攻击防御策略
对于ICMPFlood的防御策略,硬件防火墙采用过滤ICMP报文的方法。硬件防火墙还对网络中其他的一些攻击手段进行着安全有效的防御,保护着网络的安全。
三、硬件防火墙的配置考虑要素和选购标准
硬件防火墙是网络硬件设备,需要安装配置,网络管理人员应该要考虑实际应用中硬件规则的改变调整,配置参数也在不断改变。对于硬件防火墙的安全策略也应该考虑到,哪些数据流被允许,哪些不被允许,还有等等,还有授权的问题,外网域内网之问,内网里各个不同部门之间,还有DMZ区域和内网等,这些都需要照顾到。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化.并能尽量避免因修改配置所造成的错误和安全漏洞。除此之外还要考虑CPU负载问题,过高的CPU负载可能是遭到网络DOS攻击。硬盘中保留日志记录也很重要,这对检查硬件防火墙有着重要作用,还要定期检查。:
