發布時間:2023-03-29 09:21:32
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡安全技術論文樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
1個人計算機網絡安全
1.1個人計算機在網絡中所遭受攻擊與入侵手法的分析
(1)安全漏洞。
許多系統都有這樣那樣的安全漏洞。其中一些是操作系統或應用軟件本身具有的,如TCP/IP協議的缺陷常被用于發動拒絕服務入侵或攻擊。這種攻擊的目的通常是消耗帶寬或消耗網絡設備的CPU和內存。入侵者通過向目標服務器發送大量的數據包,并幾乎占取和消耗該服務器所有的網絡帶寬,從而使其無法對正常的服務請求進行處理,導致網站無法進入,網站響應速度大大降低或服務器癱瘓。對個人上網用戶而言,可能遭到大量數據包的入侵使其無法進行正常操作。
(2)電子郵件入侵方式。
電子郵件是Internet上運用得十分廣泛的一種通訊方式,入侵者往往會使用一些郵件炸彈或CGI程序向目標郵箱發送大量內容重復、無用的垃圾郵件,從而使目標郵箱被塞滿而無法使用。
(3)防范特洛伊木馬程序。
特洛伊木馬程序是一種黑客軟件程序,它可以直接侵入計算機系統的服務器端和用戶端。一旦用戶打開附有該程序的郵件或從網上直接下載的程序后,它們就會像古特洛伊人在敵人城外留下藏滿士兵的木馬一樣留在用戶計算機中,當用戶連接Internet時,此程序會自動向入侵者報告用戶主機的IP地址及預先設定的端口。網絡入侵者在獲取這些信息后,就可任意修改用戶主機的參數設定、復制文件、窺視硬盤中的內容信息等,從而達到控制目的。
1.2對網絡攻擊與入侵進行防御的方法
(1)把Guest賬號禁用。
打開控制面板,雙擊“用戶和密碼”,單擊“高級”選項卡,再單擊“高級”按鈕,彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵,選擇屬性,在“常規”頁中選中“賬戶已停用”。另外,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機安全。
(2)禁止建立空連接。
具體方法是打開注冊表“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA”,將DWORD值“RestrictAnonymous”的鍵值改為“1”即可,
(3)刪除不必要的協議。
鼠標右擊“網絡鄰居”,選擇“屬性”,卸載不必要的協議,其中NETBIOS是很多安全缺陷的根源,對于不需要提供文件和打印共享的主機,還可以將綁定在TCP/IP協議的NETBIOS關閉,避免針對NETBIOS的攻擊。選擇“TCP/IP協議/屬性/高級”,進入“高級
TCP/IP設置”對話框,選擇“WIN”標簽,選擇“禁用TCP/IP上的NETBIOS”一項,關閉NETBIOS。
(4)保障電子郵件的使用安全。
①選擇安全可靠的郵件服務。
目前,Internet上提供的Email賬戶大都是免費賬戶,這些免費的服務不提供任何有效的安全保障,有的免費郵件服務器常會導致郵件受損。因此最好選擇收費郵件賬戶。
②確保郵件賬號的安全防范。
首先要保護好郵箱的密碼。不要使用保存密碼功能以圖省事,入網賬號與口令應重點保護。設置的口令不要太簡單,最好采用8位數。
③對重要郵件信息加密處理。
可使用某些工具如A-LOCK,在發送郵件之前對內容進行加密,對方收到加密信件后必須采用A-LOCK解密后方可閱讀,可防止郵件被他人截獲而泄密。
(5)防范特洛伊木馬程序常用的方法。
①預防特洛伊木馬程序。
在下載文件時先放到自己新建的文件夾里,再用殺毒軟件來檢測,起到提前預防的作用。盡量避免下載可疑軟件,對于網上某些可疑的,誘惑性動機比較明顯的軟件或信息,一般不要下載,以防染上“木馬”程序。
②禁止不明程序運行。
在“開始”“運行”中msconfig,在“啟動”選項中查看有沒有可疑項目,去掉前面的勾2網絡安全技術在商業領域中的研究及應用
2.1防火墻技術
防火墻技術和數據加密傳輸技術將繼續沿用并發展,多方位的掃描監控、對后門渠道的管理、防止受病毒感染的軟件和文件的傳輸等許多問題將得到妥善解決。未來防火墻技術會全面考慮網絡的安全、操作系統的安全、應用程序的安全、用戶的安全、數據的安全,五者綜合應用。在產品及功能上,將擺脫目前對子網或內部網管理方式的依賴,向遠程上網集中管理方式發展,并逐漸具備強大的病毒掃除功能;適應IP加密的需求,開發新型安全協議,建立專用網(VPN);推廣單向防火墻;增強對網絡攻擊的檢測和預警功能;完善安全管理工具,特別是可疑活動的日志分析工具,這是新一代防火墻在編程技術上的革新。
2.2生物識別技術
隨著21世紀的來臨,一種更加便捷、先進的信息安全技術將全球帶進了電子商務時代,它就是集光學、傳感技術、超聲波掃描和計算機技術于一身的第三代身份驗證技術——生物識別技術。
生物識別技術是依靠人體的身體特征來進行身份驗證的一種解決方案,由于人體特征具有不可復制的特性,這一技術的安全系數較傳統意義上的身份驗證機制有很大的提高。人體的生物特征包括指紋、聲音、面孔、視網膜、掌紋、骨架等,而其中指紋憑借其無可比擬的唯一性、穩定性、再生性倍受關注。
2.3加密及數字簽名技術
加密技術的出現為全球電子商務提供了保證,從而使基于Internet上的電子交易系統成為了可能,因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。
不對稱加密,即“公開密鑰密碼體制”,其中加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道,分別稱為“公開密鑰”和“秘密密鑰”。
目前,廣為采用的一種對稱加密方式是數據加密標準(DES)。在電腦網絡系統中使用的數字簽名技術將是未來最通用的個人安全防范技術,其中采用公開密鑰算法的數字簽名會進一步受到網絡建設者的親睞。這種數字簽名的實現過程非常簡單:①發送者用其秘密密鑰對郵件進行加密,建立了一個“數字簽名”,然后通過公開的通信途徑將簽名和郵件一起發給接收者,接收者在收到郵件后使用發送者的另一個密匙——公開密鑰對簽名進行解密,如果計算的結果相同他就通過了驗證。數字簽名能夠實現對原始郵件不可抵賴性的鑒別。②多種類型的專用數字簽名方案也將在電子貨幣、電子商業和其他的網絡安全通信中得到應用。
參考文獻
[1]熊桂喜,王小虎譯.計算機網絡(第3版)[M].
[2]王釗,蔣哲遠,胡敏.電子商務[M].
隨著信息產業的高速發展,眾多企業都利用互聯網建立了自己的信息系統,以充分利用各類信息資源。但是我們在享受信息產業發展帶給我們的便利的同時,也面臨著巨大的風險。我們的系統隨時可能遭受病毒的感染、黑客的入侵,這都可以給我們造成巨大的損失。本文主要介紹了信息系統所面臨的技術安全隱患,并提出了行之有效的解決方案。
關鍵字:信息系統信息安全身份認證安全檢測
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一、目前信息系統技術安全的研究
1.企業信息安全現狀分析
隨著信息化進程的深入,企業信息安全己經引起人們的重視,但依然存在不少問題。一是安全技術保障體系尚不完善,企業花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標:二是應急反應體系沒有經常化、制度化:三是企業信息安全的標準、制度建設滯后。
2003年5月至2004年5月,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%。調查結果表明,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的“%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%.
對于網絡安全管理情況的調查:調查表明,近年來,使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務企業提供專業化的安全服務。調查表明,認為單位信息網絡安全防護能力“較高”和“一般”的比較多,分別占44%。但是,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低。
2.企業信息安全防范的任務
信息安全的任務是多方面的,根據當前信息安全的現狀,制定信息安全防范的任務主要是:
從安全技術上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,增強安全防范意識。
信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預防內部犯罪。
二、計算機網絡中信息系統的安全防范措施
(一)網絡層安全措施
①防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚。
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
②入侵檢測技術
IETF將一個入侵檢測系統分為四個組件:事件產生器(EventGenerators);事件分析器(EventAnalyzers);響應單元(ResponseUnits)和事件數據庫(EventDataBases)。事件產生器的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。事件分析器分析得到的數據,并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的數據庫,也可以是簡單的文本文件。
根據檢測對象的不同,入侵檢測系統可分為主機型和網絡型。基于主機的監測。主機型入侵檢測系統就是以系統日志、應用程序日志等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。這種系統經常運行在被監測的系統之上,用以監測系統上正在運行的進程是否合法。最近出現的一種ID(IntrusionDetection):位于操作系統的內核之中并監測系統的最底層行為。所有這些系統最近已經可以被用于多種平臺。網絡型入侵檢測。它的數據源是網絡上的數據包。往往將一臺機子的網卡設于混雜模式(PromiseMode),對所有本網段內的數據包并進行信息收集,并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基于標志(CSignature-Based),另一種基于異常情況(Abnormally-Based)。
(二)服務器端安全措施只有正確的安裝和設置操作系統,才能使其在安全方面發揮應有的作用。下面以WIN2000SERVER為例。
①正確地分區和分配邏輯盤。
微軟的IIS經常有泄漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。本系統的配置是建立三個邏輯驅動器,C盤20G,用來裝系統和重要的日志文件,D盤20G放IIS,E盤20G放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。因為,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。
②正確
地選擇安裝順序。
一般的人可能對安裝順序不太重視,認為只要安裝好了,怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的:
首先,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼后,系統就建立了ADMIN$的共享,但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續到你再次啟動后,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝并配置好Win2000SERVER之前,一定不要把主機接入網絡。
其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩,卻很必要。
(三)安全配置
①端口::端口是計算機和外部網絡相連的邏輯接口,從安全的角度來看,僅打開你需要使用的端口會比較安全,配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選,不過對于Win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口,不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。
②IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,所以在本系統的WWW服務器采取下面的設置:
首先,把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉,在D盤建一個Inetpub在IIS管理器中將主目錄指向D:\Inetpub。
其次,在IIS安裝時默認的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標。我們雖然已經把Inetpub從系統盤挪出來了,但這樣作也是完全必要的。如果需要什么權限的目錄可以在需要的時候再建,需要什么權限開什么。特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給。
③應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指出的是ASP,ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射,然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。
經過了Win2000Server的正確安裝與正確配置,操作系統的漏洞得到了很好的預防,同時增加了補丁,這樣子就大大增強了操作系統的安全性能。
雖然信息管理系統安全性措施目前已經比較成熟,但我們切不可馬虎大意,只有不斷學習新的網絡安全知識、采取日新月異的網絡安全措施,才能保證我們的網絡安全防御真正金湯。
參考文獻:
劉海平,朱仲英.一個基于ASP的在線會員管理信息系統.微型電腦應用.2002(10)
東軟集團有限公司,NetEye防火墻使用指南3.0,1-3
賈晶,陳元,王麗娜編著,信息系統的安全與保密,第一版,1999.01,清華大學出版社
EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
楊兵.網絡系統安全技術研究及其在寶鋼設備采購管理系統中的應用:(學位論文).遼寧:東北大學,2002
劉廣良.建設銀行計算機網絡信息系統安全管理策略研究:(學位論文).湖南:湖南大學.2001
關鍵詞:計算機網絡安全網絡技術
隨著Internet的飛速發展,網絡應用的擴大,網絡安全風險也變的非常嚴重和復雜。原先由單機安全事故引起的故障通過網絡傳給其他系統和主機,可造成大范圍的癱瘓,再加上安全機制的缺乏和防護意識不強,網絡風險日益加重。
一、網絡安全的威脅因素
歸納起來,針對網絡安全的威脅主要有:
1.軟件漏洞:每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地,一旦連接入網,將成為眾矢之的。
2.配置不當:安全配置不當造成安全漏洞,例如,防火墻軟件的配置不正確,那么它根本不起作用。對特定的網絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置,否則,安全隱患始終存在。
3.安全意識不強:用戶口令選擇不慎,或將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
4.病毒:目前數據安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等特點。因此,提高對病毒的防范刻不容緩。
5.黑客:對于計算機數據安全構成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統中的安全漏洞非法進入他人計算機系統,其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。
二、幾種常用的網絡安全技術
1.防火墻(FireWall)技術
防火墻技術是指網絡之間通過預定義的安全策略,對內外網通信強制實施訪問控制的安全應用措施。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。由于它簡單實用且透明度高,可以在不修改原有網絡應用系統的情況下,達到一定的安全要求,所以被廣泛使用。據預測近5年世界防火墻需求的年增長率將達到174%。
目前,市場上防火墻產品很多,一些廠商還把防火墻技術并入其硬件產品中,即在其硬件產品中采取功能更加先進的安全防范機制。可以預見防火墻技術作為一種簡單實用的網絡信息安全技術將得到進一步發展。然而,防火墻也并非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的,也就是說要保證網絡信息的安全還必須有其他一系列措施,例如對數據進行加密處理。需要說明的是防火墻只能抵御來自外部網絡的侵擾,而對企業內部網絡的安全卻無能為力。要保證企業內部網的安全,還需通過對內部網絡的有效控制和管理來實現。
2.數據加密技術
數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。
數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用,密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。
數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止電子欺騙,這對信息處理系統的安全起到極其重要的作用。
3.系統容災技術
一個完整的網絡安全體系,只有防范和檢測措施是不夠的,還必須具有災難容忍和系統恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失,一旦發生漏防漏檢事件,其后果將是災難性的。此外,天災****、不可抗力等所導致的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難,也能快速地恢復系統和數據,才能完整地保護網絡信息系統的安全。現階段主要有基于數據備份和基于系統容錯的系統容災技術。數據備份是數據保護的最后屏障,不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器,在兩者之間建立復制關系,一個放在本地,另一個放在異地。本地存儲器供本地備份系統使用,異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連,構成完整的數據容災系統,也能提供數據庫容災功能。
集群技術是一種系統級的系統容錯技術,通過對系統的整體冗余和容錯來解決系統任何部件失效而引起的系統死機和不可用問題。集群系統可以采用雙機熱備份、本地集群網絡和異地集群網絡等多種形式實現,分別提供不同的系統可用性和容災性。其中異地集群網絡的容災性是最好的。存儲、備份和容災技術的充分結合,構成的數據存儲系統,是數據技術發展的重要階段。隨著存儲網絡化時代的發展,傳統的功能單一的存儲器,將越來越讓位于一體化的多功能網絡存儲器。
4.漏洞掃描技術
漏洞掃描是自動檢測遠端或本地主機安全的技術,它查詢TCP/IP各種服務的端口,并記錄目標主機的響應,收集關于某些特定項目的有用信息。這項技術的具體實現就是安全掃描程序。掃描程序可以在很短的時間內查出現存的安全脆弱點。掃描程序開發者利用可得到的攻擊方法,并把它們集成到整個掃描中,掃描后以統計的格式輸出,便于參考和分析。
5.物理安全
為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。為保證網絡的正常運行,在物理安全方面應采取如下措施:①產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。②運行安全方面:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。③防電磁輻射方面:所有重要的設備都需安裝防電磁輻射產品,如輻射干擾機。④保安方面:主要是防盜、防火等,還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。
計算機網絡安全是個綜合性和復雜性的問題。面對網絡安全行業的飛速發展以及整個社會越來越快的信息化進程,各種新技術將會不斷出現和應用。
網絡安全孕育著無限的機遇和挑戰,作為一個熱門的研究領域和其擁有的重要戰略意義,相信未來網絡安全技術將會取得更加長足的發展。
參考文獻:
[1]李軍義.計算機網絡技術與應用[M].北方交通大學出版社,2006.7.
1計算機網絡安全的定義及特征
計算機網絡安全是指,利用網絡技術和相關控制措施,讓計算機網絡和相關設施受到物理保護,使其免遭破壞,同時,還能夠有效保護數據的保密性、完整性和可使用性。ISO將計算機網絡安全定義為:“為數據處理系統建立和采取的技術、管理的安全保護,保護網絡系統的硬件、軟件及其系統中的數據不因偶然的或者惡意的原因而遭到破壞、更改和泄露,使網絡系統連續、可靠地運行,保證網絡服務不中斷。”網絡安全包含信息安全和網絡安全兩部分。信息安全是指數據的可用性、完善性、真實性、嚴密性、不可否認性和可控性等;網絡安全是指源于網絡運行和互聯、互通所形成的物理線路以及使用服務安全、連接安全、網絡操作系統安全、人員管理安全等相關內容。計算機用戶希望個人信息和商業信息在計算機網絡上能得到有效的保護,不會被電腦黑客利用竊聽、篡改、冒充等手段侵犯或損害其隱私和利益;而網絡運營商和管理者則是為了避免出現非法存取、拒絕服務攻擊、病毒以及計算機網絡資源被非法控制和非法占有等威脅。計算機網絡安全主要是指使網絡信息的讀寫、訪問等操作能夠受到保護和控制,禁止和抵御網絡黑客的攻擊。隨著社會經濟的不斷發展,提高計算機網絡系統的安全,已經成為了所有計算機網絡用戶必須考慮和解決的一個重要問題。
2計算機網絡安全現狀
由于計算機網絡具有開放性、互聯性和共享性,再加上系統軟件中存在安全漏洞和管理不完善的情況,使得計算機網絡極易受到攻擊,存在一系列的問題。
2.1系統性漏洞
計算機網絡硬件設備是網絡順利運行的基礎。電子輻射泄漏是計算機網絡硬件中存在的重要安全隱患。它會使計算機網絡中的電磁信息被泄露,從而導致信息泄密、竊密、失密。此外,計算機安全隱患還體現在信息資源通信方面。計算機網絡需要不斷地進行數據交換和傳輸,而此類活動一般會通過網絡硬件設備(比如電話線、光纜、專線和微波)來實現。另外,計算機操作系統和硬件設備自身存在的不足也會為計算機系統埋下安全隱患。從嚴格意義上講,一切計算機網絡和軟件都存在漏洞,而漏洞為黑客提供了攻擊計算機網絡的基礎條件。當前,各種木馬病毒和蠕蟲病毒就是針對計算機網絡系統性漏洞進行的攻擊,所以,要重視系統性漏洞存在的客觀性和威脅性,認真解決計算機網絡的系統性漏洞。
2.2黑客入侵
黑客入侵主要是不法分子利用計算機網絡缺陷入侵計算機的行為,主要表現為用戶密碼竊取和賬戶非法使用等。黑客入侵的方式有IP地址欺騙、病毒、口令攻擊和郵件攻擊等。黑客使用專門的軟件,利用系統漏洞和缺陷,采取非法入侵的方式實現對網絡的攻擊或截取、盜竊、篡改數據信息的目的。由于計算機網絡安全常依賴于密碼設置,所以,一旦黑客完全破解了用戶的賬戶和密碼,就很容易突破計算機網絡的系統性防御和權限限制,進而給計算機網絡的合法用戶帶來嚴重的損失。
2.3計算機病毒
受到計算機病毒入侵的網絡會出現運算速度低和處理能力下降的情況,進而出現網絡狀態不安全的情況,還會給計算機網絡中的信息帶來嚴重的威脅,部分病毒甚至會對計算機網絡的軟件和硬件造成致命的損傷。
3利用信息技術進行計算機網絡安全防范措施
3.1利用信息技術加強計算機網絡安全管理
加強計算機網絡安全管理要從以下幾方面入手:①經常備份數據。這樣,即便計算機網絡被破壞,也不用擔心數據丟失會造成損失。②加強DBA和用戶的安全意識。DBA和用戶可以根據自己的權限,選擇不同的口令,防止用戶越權訪問。當用戶需要交換信息或共享時,必須執行相關的安全認證機制。③建立健全網絡安全管理制度,強化網絡安全意識,確保計算機網絡系統安全、可靠地運行。
3.2信息技術中的防火墻技術
防火墻技術是保護網絡安全的重要方法之一,是目前保護網絡安全的重要技術手段。其運用范圍較廣,能夠有效地保護內網資源。防火墻是一種可以強化網絡訪問控制的設施,能夠有效保護內部網絡數據。防火墻常置于網絡入口處,保證單位內網與Internet之間所有的通信均符合相關安全要求。
3.3信息技術中的數據加密技術
數據加密是依據某種算法將原有的明文或數據轉換成密文,并傳輸和存儲。接收者只有使用相應的密鑰才能解密原文,從而實現對數據的保密。數據加密技術是信息保護技術措施中最原始、最基本的一種方法,可以分為對稱性加密技術和非對稱性加密技術兩類。非對稱性加密技術出現得較晚,其安全保護作用更強。將數據加密后,機密數據不會被簡單地破譯,即使黑客侵入系統,也無法破解明文,無法竊取或篡改機密數據。
3.4信息技術中的入侵檢測技術
1.1網絡安全協議的安全性檢測
目前,信息技術得到快速發展,各類網絡安全協議不斷應用于計算機通信中,對于信息傳遞和數據的傳輸具有重要意義。然而,在網絡安全協議過程中,設計者未能全面了解和分析網絡安全的需求,導致設計的網絡安全協議在安全性分析中存在大量問題,直接導致一些網絡安全協議剛推出便由于存在漏洞而無效。對于網絡安全協議的安全性檢測,通常情況下證明網絡安全協議存在安全性漏洞比網絡安全協議安全更加簡單和方便。目前,對于網絡安全協議安全性的檢測主要是通過攻擊手段測試來實現網絡安全協議安全性風險。攻擊性測試一般分為攻擊網絡安全協議加密算法、攻擊算法和協議的加密技術以及攻擊網絡安全協議本身,以便發現網絡安全協議存在的安全漏洞,及時對網絡安全協議進行改進和優化,提升網絡安全協議安全性。
1.2常見網絡安全協議設計方式
在網絡安全協議設計過程中,較為注重網絡安全協議的復雜性設計和交織攻擊抵御能力設計,在確保網絡安全協議具備較高安全性的同時,保證網絡安全協議具備一定的經濟性。網絡安全協議的復雜性主要目的是保障網絡安全協議的安全,而網絡安全協議的交織攻擊抵抗力則是為了實現網絡安全協議應用范圍的擴展。在網絡安全協議設計過程中,應當注重邊界條件的設定,確保網絡安全協議集復雜性、安全性、簡單性以及經濟性于一身。一方面,利用一次性隨機數來替換時間戳。同步認證的形式是目前網絡安全協議的設計運用較為廣泛的方式,該認證形式要求各認證用戶之間必須保持嚴格的同步時鐘,在計算機網絡環境良好的情況相對容易實現,然而當網絡存在一定延遲時,難以實現個用戶之間的同步認證。對此,在網絡安全協議設計過程中可以合理運用異步認證方式,采用隨機生成的驗證數字或字母來取代時間戳,在實現有效由于網絡條件引發的認證失敗問題的同時,確保網絡安全協議的安全性。另一方面,采用能夠抵御常規攻擊的設計方式。網絡安全協議必須具備抵御常見明文攻擊、混合攻擊以及過期信息攻擊等網絡攻擊的能力,防止網絡擊者從應答信息中獲取密鑰信息。同時,在設計網絡安全協議過程中,也應當注重過期消息的處理機制的合理運用,避免網絡攻擊者利用過期信息或是對過期信息進行是該來實現攻擊,提升網絡安全協議的安全性。此外,在設計網絡安全協議過程中,還應當確保網絡安全協議實用性,保障網絡安全協議能夠在任何網絡結構的任意協議層中使用。在網絡通信中,不同網絡結構的不同協議層在接受信息長度方面存在一定差異,對此,在設置網絡安全協議秘鑰消息時,必須確保密鑰消息滿足最短協議層的要求,將密碼消息長度設置為一組報文的長度,在確保網絡安全協議適用性的同時,提升網絡安全協議的安全性。
2計算機網絡安全協議
在CTC中的應用近年來,隨著計算機通信技術、網絡技術以及我國高速鐵路的不斷發展,推動了我國調度集中控系統(CentralizedTrafficControl,檢測CTC系統)的不斷發展,使得CTC系統廣泛應用于高鐵的指揮調度中。CTC系統是鐵路運輸指揮信息化自動化的基礎和重要組成部分,采用了自動控制技術、計算機技術、網絡通信技術等先進技術,同時采用智能化分散自律設計原則,是一種以列車運行調整計劃控制為中心,兼顧列車與調車作業的高度自動化的調度指揮系統。調度中心冗余局域網主干由兩臺高性能100M交換機構成,并為服務器、工作站等計算機設備均配備兩塊100M冗余網卡,以便實現與交換機之間的高速連接。同時,調度中心通過兩臺中高端CISCO路由器實現與車站基層廣域網的連接,為了滿足CTC系統的通信需要,該CISCO路由器應具備足夠帶寬以及高速端口。同時,同CTC系統的路由器與交換機之間裝設了防火墻隔離設備,能夠有效確保CTC系統中心局域網的安全。CTC系統的車站系統的局域網主干主要由兩臺高性能交換機或集線器構成,并在車站調度集中自律機LiRC、值班員工作站以及信號員工作站等設備上配備兩個以太網口,以實現與高速網絡通信。為實現車站系統與車站基層廣域網之間的網絡通信和高速數據傳輸,車站系統配備了兩臺路由器。車站基層廣域網連接調度中心局域網通過雙環、迂回的高速專用數字通道實現與各車站局域網的網絡通信,其中,該數字通道的帶寬超過2Mbps/s,且每個通道環的站數在8個以內,并采用每個環應交叉連接到局域網兩臺路由器的方式來確保其數據傳輸的可靠性。CTC系統在網絡通信協議方面,采用TCP/IP協議,并在數據傳輸過程中運用CHAP身份驗證技術和IPSEC安全保密技術,在有效實現數據高速傳遞的同時,確保的網絡通信的安全。
3結語
1.1網絡信息安全中的漏洞
操作系統是計算機運行的支撐軟件,它為用戶提供了一個能夠使得程序或其他的應用系統能在計算機正常運行的平臺。有些安裝程序經常會附帶一些可執行文件,一旦某個部分有漏洞,可能導致整個操作系統的崩潰;同時操作系統還具備一些遠程調用作用,能夠提交程序為遠程服務器服務。遠程調用必然需要通過眾多的通訊環節,在中間環節有可能會出現被人監控等安全的隱患。
1.2網絡的開放性
就網絡的開放性而言,因為網絡技術是全開放的,導致其所面臨的網絡攻擊來源幾步確定:可能來源于物理層對傳輸線路的攻擊,也可能來源于來網絡層對通信協議的攻擊,還可能來源于應用層對計算機軟件與硬件的漏洞進行的攻擊;就網絡的自由性而言,大部分的網絡對用戶的使用來說,通常并沒有技術上的限制,同時也容易造成信息泄露。
2網絡安全技術應用中的完善措施
2.1防火墻
常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過,是一種隔離控制技術,通過預定義的安全策略,對內外網通信強制實施訪問控制,狀態檢測技術采用的是一種基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別,與傳統包過濾防火墻的靜態過濾規則表相比,它具有更好的靈活性和安全性;其目的在于隱蔽被保護網絡的具體細節,保護其中的主機及其數據。
2.2數據加密
數據加密主要用于對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法。與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。
2.3健全的管理
在計算機網絡系統中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網絡安全的重要保證,要不斷地加強計算機信息網絡的安全規范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防范意識。網絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網內的IP地址資源統一管理、統一分配。對于盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力,才能使計算機網絡的安全可靠得到保障,從而使廣大網絡用戶的利益得到保障。
2.4漏洞掃描系統
解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點,面對大型網絡的復雜性和不斷變化的情況僅僅依靠網絡管理員的技術和經驗尋找安全漏洞做出風險評估顯然是不現實的。解決的方案是尋找一種能查找網絡安全漏洞,評估并提出修改建議的網絡,安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
3結語
關鍵詞:P2P;網絡安全;對策
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2011) 18-0000-01
Talking on the Characteristics of P2P Technology and Network Security Issues
Qian Lijian
(Jiujiang Vocational College,Jiujiang 332000,China)
Abstract:P2P technology has been developing quite fast,widely used in a variety of network activity,but there are many security issues of P2P technology.This author primarily on P2P network security analysis and discussion.
Keywords:P2P;Network security;Measures
一、前言
隨著社會信息化的發展,網絡信息資源不斷增加,共享方式顯得越來越重要。P2P技術是一種具有高效、減少資源浪費的特點的新共享方式,為信息交流、分布式計算及服務共享提高了,提供了高效、靈活的模式。目前,P2P網絡在對等計、即時通訊、協同工作、信息檢索、網絡游戲及文件共享得到了廣泛應用,P2P網絡的應用給廣大用戶提供了極大的快捷和便利,但是,由于很大部分的P2P網絡技術還不是很成熟,P2P網絡存在安全問題,這些安全問題亟待解決。
二、P2P網絡概述
P2P是Peer-to-Peer的簡寫,也是Point to Point簡寫,簡單說,就是“點對點”或者“對等”技術。對于虛擬私人網絡中,可以理解為“點對點”,但P2P并不單純的點對點技術,應該理解為“群對群”。P2P網絡在多節點上共享數據,節點不依靠一個服務器來獲取數據,從而充分利用網絡資源。P2P網絡的主要目標之一是讓所有客戶端參與提供資源與大家共享,當有更多的節點加入及對系統的請求增多,系統的容量也就變大。具體說,P2P網絡就是在P2P方式下,把所有對等實體(Peer)當成享用者及提供者。P2P把文件分成多個片段,所有用戶都能從其他用戶除存儲下載相應片段。P2P將網絡“內容”的位置從主要服務器轉移到了用戶的PC機上,用戶的PC機不僅是客戶端,還具有服務器的身份,從而優化網絡資源的共享方式。其特點表現在兩個個方面:(1)性能高。采用P2P架構利用互聯網中大量的普通節點,將儲存資料和計算任務分布到全部節點上,充分利用閑置的儲存空間和計算能力,達到海量存儲和高性能計算的目的。這是C/S模做不到的。(2)健壯性。P2P網絡基于自組織方式建立起來的,考慮了節點的隨時加入和離開,P2P可以根據節點數和負載的不斷變化而進行適應的調整,所以個別客戶端的突然中斷,不會給系統的持續服務和穩定帶來很大的影響。
三、P2P網絡存在的安全問題
(一)知識產權保護問題。P2P共享軟件走進繁榮的同時,也增加了盜版媒體的猖獗,知識產權的保護難度也不斷增加。網絡社會和現實社會一樣,在網絡快速發展的同時也要注重知識產權的保護,P2P技術給網絡信息共享注入了新的活力,這種革命性的改進給廣大帶來了巨大的好處,這種好處要在保護好資源提供者的利益前提下,才能長期享有。
目前的P2P軟件的知識產權受到了侵害,有些P2P軟件的開發商已經受到了利益上的損失,因此在P2P網絡中要增加知識產權保護的力度。
(二)安全漏洞。P2P網絡存在最大安全問題是安全漏洞問題,P2P技術為大范圍的資源提供了共享方式,為廣大客戶提供了便利,但是,同時也給一些不安全信息和病毒開辟了新的路徑。P2P網絡安全漏洞來源有三種可能:軟件自身漏洞、網關漏洞及防火墻漏洞。大部分的P2P軟件都需要通過特定的端口與互聯網鏈接,這樣一般可以繞開防火墻;P2P技術是一種新開發的技術,尚未成熟,因此,P2P軟件自身可能也存在漏洞,病毒就可以乘虛而入。
(三)信用問題。P2P網絡資料是客戶自發提供的,目前系統對這些共享資源的管理,沒有驗證每一個共享資源是否正確,有些資源提供者是為了某種不良目的而共享特別處理過的資源,這些資源可能插入了廣告、木馬、垃圾信息等,這些資源沒一旦被使用,使用者的信息安全可能就受到了威脅。另外,有些用戶只下載共享資源,卻從不共享自己有的資源,這樣下去就會造成網絡資源的枯竭。因此,有必要在P2P網絡中建立有效的評估機制來對每一位用戶進行信用評價,這也將會豐富網絡資源,同時在安全管理上也起到一定的積極作用。
(四)匿名通信技術和隱私保護問題。匿名通信和隱私保護在應用場景中,有時候是相當關鍵的,P2P無中心特點為因特網隱私問題開辟了新的道路。P2P系統中的所有的匿名用戶給予其他用戶匿名服務,這就決定了消息來源的不確定性,也就是經過某一個節點的消息可能是來自該節點,也可能是來自別的節點,具有不確定性。另外,在一個龐大P2P系統的環境中,每一次通信都潛在許多的匿名用戶,攻擊者很難找到明確的目標,這也是P2P系統的特點之一。
(五)強占寬帶。目前的校園網、企業網和住宅小區寬帶都是局域網,一般是通過服務器上網,連接到因特網的寬帶是存在上限的。如果局域網中有很多人同時使用P2P軟件進行數據交換,這時P2P節點在上傳、下載數據同時進行,寬帶可能就達到上限值,進而妨礙網絡的正常訪問。
(六)網絡拓撲分析及信息對抗問題。隨著節點不斷加入P2P網絡,系統內部的節點數不斷增大,系統的組織方式及運行情況逐漸成為網絡發展的影響主導因素。因此,對P2P網絡行為和拓撲結構進行深入了解及分析,以及根據網絡的發展趨勢與分析它的變化,進行對網絡運行情況與效率做出相應的評價。
四、結語
P2P網絡是具有很強的網絡服務能力以及適應性,但是,也面臨著非常嚴重的安全性問題。我們怎么在這樣一個沒有中心服務器的環境下選擇可靠的網絡資源,也就是怎么樣在節點之間建立起新型的網絡。然而,怎樣阻斷病毒傳播,提高P2P網絡的服務抗毀能力和健壯性以及基于P2P的隱私保護和隱蔽通訊等問題,這幾個都是P2P網絡安全需要研究與解決的問題。
P2P技術其本身存在著許多的缺陷,比如說:查詢泛濫、缺乏了內容的鑒別與相互信任的機制等,是面臨著非常嚴重的網絡安全威脅問題,我們需要對P2P技術存在的一系列安全問題進行研究處理,尋求一種能夠很好解決這些缺陷的辦法。這也是網絡工作者的日后面臨的重要任務之一。
參考文獻:
[1]謝瑗瑗,胡祥光.P2P網絡中信任模型研究綜述[J].軍事通信技術,2009,6
關鍵詞:計算機網絡安全網絡技術
隨著Internet的飛速發展,網絡應用的擴大,網絡安全風險也變的非常嚴重和復雜。原先由單機安全事故引起的故障通過網絡傳給其他系統和主機,可造成大范圍的癱瘓,再加上安全機制的缺乏和防護意識不強,網絡風險日益加重。
一、網絡安全的威脅因素
歸納起來,針對網絡安全的威脅主要有:
1.軟件漏洞:每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地,一旦連接入網,將成為眾矢之的。
2.配置不當:安全配置不當造成安全漏洞,例如,防火墻軟件的配置不正確,那么它根本不起作用。對特定的網絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置,否則,安全隱患始終存在。
3.安全意識不強:用戶口令選擇不慎,或將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
4.病毒:目前數據安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等特點。因此,提高對病毒的防范刻不容緩。
5.黑客:對于計算機數據安全構成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統中的安全漏洞非法進入他人計算機系統,其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。
二、幾種常用的網絡安全技術
1.防火墻(FireWall)技術
防火墻技術是指網絡之間通過預定義的安全策略,對內外網通信強制實施訪問控制的安全應用措施。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。由于它簡單實用且透明度高,可以在不修改原有網絡應用系統的情況下,達到一定的安全要求,所以被廣泛使用。據預測近5年世界防火墻需求的年增長率將達到174%。
目前,市場上防火墻產品很多,一些廠商還把防火墻技術并入其硬件產品中,即在其硬件產品中采取功能更加先進的安全防范機制。可以預見防火墻技術作為一種簡單實用的網絡信息安全技術將得到進一步發展。然而,防火墻也并非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的,也就是說要保證網絡信息的安全還必須有其他一系列措施,例如對數據進行加密處理。需要說明的是防火墻只能抵御來自外部網絡的侵擾,而對企業內部網絡的安全卻無能為力。要保證企業內部網的安全,還需通過對內部網絡的有效控制和管理來實現。
2.數據加密技術
數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。
數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用,密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。
數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止電子欺騙,這對信息處理系統的安全起到極其重要的作用。
3.系統容災技術
一個完整的網絡安全體系,只有防范和檢測措施是不夠的,還必須具有災難容忍和系統恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失,一旦發生漏防漏檢事件,其后果將是災難性的。此外,天災人禍、不可抗力等所導致的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難,也能快速地恢復系統和數據,才能完整地保護網絡信息系統的安全。現階段主要有基于數據備份和基于系統容錯的系統容災技術。數據備份是數據保護的最后屏障,不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器,在兩者之間建立復制關系,一個放在本地,另一個放在異地。本地存儲器供本地備份系統使用,異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連,構成完整的數據容災系統,也能提供數據庫容災功能。
集群技術是一種系統級的系統容錯技術,通過對系統的整體冗余和容錯來解決系統任何部件失效而引起的系統死機和不可用問題。集群系統可以采用雙機熱備份、本地集群網絡和異地集群網絡等多種形式實現,分別提供不同的系統可用性和容災性。其中異地集群網絡的容災性是最好的。存儲、備份和容災技術的充分結合,構成的數據存儲系統,是數據技術發展的重要階段。隨著存儲網絡化時代的發展,傳統的功能單一的存儲器,將越來越讓位于一體化的多功能網絡存儲器。
4.漏洞掃描技術
漏洞掃描是自動檢測遠端或本地主機安全的技術,它查詢TCP/IP各種服務的端口,并記錄目標主機的響應,收集關于某些特定項目的有用信息。這項技術的具體實現就是安全掃描程序。掃描程序可以在很短的時間內查出現存的安全脆弱點。掃描程序開發者利用可得到的攻擊方法,并把它們集成到整個掃描中,掃描后以統計的格式輸出,便于參考和分析。
5.物理安全
為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。為保證網絡的正常運行,在物理安全方面應采取如下措施:①產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。②運行安全方面:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。③防電磁輻射方面:所有重要的設備都需安裝防電磁輻射產品,如輻射干擾機。④保安方面:主要是防盜、防火等,還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。
計算機網絡安全是個綜合性和復雜性的問題。面對網絡安全行業的飛速發展以及整個社會越來越快的信息化進程,各種新技術將會不斷出現和應用。網絡安全孕育著無限的機遇和挑戰,作為一個熱門的研究領域和其擁有的重要戰略意義,相信未來網絡安全技術將會取得更加長足的發展。
參考文獻:
[1]李軍義.計算機網絡技術與應用[M].北方交通大學出版社,2006.7.
