開篇:寫作不僅是一種記錄,更是一種創造��,它讓我們能夠捕捉那些稍縱即逝的靈感�����,將它們永久地定格在紙上。下面是小編精心整理的12篇安全技術���,希望這些內容能成為您創作過程中的良師益友�����,陪伴您不斷探索和進步��。
第1篇
關鍵詞:“網格網格安全安全技術Globus
一、引言
網格(Grid)技術是近年來國際上信息技術領域的熱門研究課題����,是以互聯網為基礎的一門新興技術���。網格是高性能計算機�����、數據源、因特網三種技術的有機組合和發展��,它把分布在各地的計算機連接起來��,使用戶分享網上資源�,感覺如同個人使用一臺超級計算機一樣����。從數量上說,網格的帶寬更高����,計算速度和數據處理速度更快�,結構體系比現有的網絡更能有效地利用信息資源���。簡而言之����,網格是一種信息社會的網絡基礎設施��,它將實現互聯網上所有資源包括計算資源���、存儲資源���、通信資源�����、軟件資源、信息資源、知識資源等在內的互聯互通���。
網格技術的最大優點之一是有利于實現地理上廣泛分布的各種計算資源和數據資源的共享,但這些共享必須建立在安全訪問的基礎上。由于網格技術的大規模��、高速��、分布�、異構�����、動態����、可擴展等特性�����,使得安全問題成為網格技術得到普遍使用的一大阻礙�,并且隨著網格逐漸從實驗和科研階段進入商業領域,解決網格環境中的安全問題已經成為當務之急��。
二�、網格安全的特殊性
Internet的安全保障主要提供兩方面的安全服務:(1)訪問控制服務���,用來保護各種資源不被非授權使用;(2)通信安全服務����,用來提供認證,數據保密與完整性,以及通信端的不可否認。但這兩個安全服務不能完全解決網格系統的安全問題��。網格系統必須具有抗拒各種非法攻擊和入侵的能力��,確保系統的正常高效運行和保證系統中的各個信息的安全�����。因此,網格系統的安全問題的覆蓋面更廣,解決方案也更加復雜��。
一個網格系統的網格安全體系在考慮Internet安全問題之外�����,還必須考慮網格計算環境的如下特征:(1)網格計算環境中的用戶數量很大����,且是動態可變的;(2)網格計算環境中的資源數量很大�,且是動態可變的;(3)網格計算環境中的計算過程可在其執行過程中動態請求,啟動進程和申請、釋放資源;(4)一個計算過程可由多個進程組成��,進程間存在不同的通信機制���,底層的通信連接在程序的執行過程中可動態地創建并執行;(5)資源可支持不同的認證和授權機制;(6)用戶在不同的資源上可有不同的標識;(7)資源和用戶屬于多個組織��。正是由于網格計算環境的特殊性�����,因此在設計網格安全機制時特別要考慮計算環境的動態主體特性��,并要保證網格計算環境中不同主體之間的相互鑒別和各主體間通信的保密性和完整性����。
三����、網格環境中面臨的安全問題
網格環境中所面臨的安全性問題可以大致分為3類:現有技術和安全協議的集成及擴展;不同主機環境之間協同工作的能力;相互影響的主機環境之間的信任關系�。
1.現有技術的集成及新技術的發展
不論是出于技術原因還是其他原因��,期望某一種安全技術來解決所有網格計算的安全問題是不現實的。現有的安全架構不可能在一夜之間被取代����。例如:網格環境中的每一個域可能有一個或多個用來存放用戶賬戶的寄存器(如:LDAP目錄)����,這些寄存器是不可能與其它組織或域共享的�����。同樣��,現有環境中被認為安全可靠的認證機制也會繼續使用。因此���,這些傾向于使用單一模式或機制的技術不大可能輕易被取代。
為了獲得成功��,網格安全體系結構需要過度到對現有安全體系結構和跨平臺�、跨主機模式的集成。這意味著該體系結構可由現有的安全機制來實現���,同時��,要有可擴展性和可集成性���。
2.協同工作的能力
穿越多個域和主機環境的服務需要能夠互相影響����,協同工作。協同工作能力主要表現在下面幾個層面:
(1)協議層:即消息傳輸過程中需要保證消息的完整性和保密性并對消息進行數字簽名��,這就需要安全的域間交換信息的機制����,比如附加了WS-Security規范的SOAP/HTTP。
(2)策略層:為了進行安全的會話���,參與協同工作的每一方必須能夠詳細說明它要求的任何策略比如隱私權策略,要求使用特定的加密算法(如tripleDES)等,同時這些策略也能容易地被其他方所理解�����。這樣����,各方才能嘗試建立安全的通信信道和有關互相認證、信任關系的安全語義����。
(3)身份鑒定層:在進行交互的過程中需要有在不同域間相互鑒別用戶身份的機制����。由于網格環境中交互的動態性��,一種確定的身份不能被預先定義成跨越多個域��。為了在安全環境中成功實現跨越多個域��,必須要實現身份和信任的映射�����,這可以通過建立相應的身份服務來完成。
3.信任關系的建立
網格服務需要跨越多個安全域,這些域中的信任關系在點對點的跨越中起著重要的作用��。每一種服務要將它的訪問要求闡述清楚�,這樣,需要訪問這些服務的實體就可以安全地訪問。端點間的信任關系應該用策略來清楚地描述�。信任的建立過程對每個會話來說或許是一次性的活動�����,也有可能對于每一次請求都要動態地進行評估。由于網格的動態特性�����,有些情況下不可能在應用程序執行前預先在這些域中建立信任關系���?��?傊?��,網格環境中的信任關系非常復雜��,它需要支持動態的���、用戶控制的配置和瞬間服務的管理�����。瞬間服務是用戶為了執行特定請求任務而生成的�,這些任務甚至包括用戶代碼的執行。
這3方面的安全性問題間的依賴關系如圖1所示�����,每一個問題的解決通常依賴于另一問題的解決���,比如不同虛擬組織間為了獲得相互協作的聯合信任就依賴于定義在虛擬組織內部的信任模型及服務集成標準���。而定義一個信任模型又是相互協作的基礎但同時又獨立于協作的特性,同樣,服務集成及擴展標準暗含了信任關系標準也和協作操作有關。
四、安全需求
網格系統及其應用可能需要任何或全部的標準安全功能��,包括鑒別�、訪問控制、完整性、保密性和不可抵賴性���。這里主要論述鑒別和訪問控制問題,特別地我們希望解決:提供鑒別解決方案,允許用戶完成計算的進程和這些進程所使用的資源彼此相互驗證;在任何時候都盡可能地不改變訪問控制機制。鑒別是安全策略的基礎��,使得各個局部安全策略被集成為一個全局框架結構��。
要開發一個滿足這些要求的安全體系結構��,需要滿足以下限制條件:
單一密鑰,網格計算環境需要一種機制對密鑰進行統一管理,以實現不同域之間的有效訪問控制。
信用數據的保護����,眾多用戶的私鑰���、口令等要確保萬無一失�����。
與本地安全機制的互操作,不必改變每個本地資源的安全策略,就可借助跨域的安全服務器方便地訪問各地資源。
可輸出性�����,要求在不同國家的試驗床上代碼是可提供���、可執行�,也就是安全策略不應直接或間接要求過多的加密��。
證書結構的一致性����,為了不同域�����、不同類型用戶之間的認證�,統一規范的格式是必須的�。
支持動態群組通信,網格計算中���,時常會有臨時的組隊需求,目前的安全機制(即使是GSS-API)不具備這樣的特點�。
支持多種實現技術�����,安全策略應該不局限于特定的實現技術,應該對包括公鑰���、秘密鑰等多種安全技術有包容性。
五���、網格安全技術
目前,網格安全技術主要有:密碼技術�����,安全傳輸技術�,安全認證技術���,訪問控制技術和WebServer安全技術��。密碼技術是以保護信息傳遞的機密性�、獲得對所發出或接收信息在事后的不可抵賴���,以及保障數據的完整性為目的�����。根據加密密鑰類型的不同將密碼技術分為兩類:對稱加密系統和非對稱加密系統�����。安全傳輸技術主要有SSL/SSH����,IPSEC/IPv6����,S/MIME,這些技術保證了數據安全有效的傳輸�����。安全認證技術主要包括PKI和Kerberos�����,其中PKI(PublicKeyInfracture)技術是目前應用最廣泛的網格安全技術�,即公開密匙基礎設施��。它是用一個公鑰(PublicKey)概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。而在PKI系統中���,CA(CertificateAuthority)是一個域中的認證中心,是一個可信任的第三方機構��。用戶之間的通信和驗證都依賴CA所頒發的證書��。
訪問控制技術主要有自主型訪問控制(discretionaryaccesscontrol�,DAC)����,強制型訪問控制(mandatoryaccesscontrol,MAC),基于角色的訪問控制(role-basedaccesscontrol�,RBAC)��,防火墻等。WebService安全技術中,WebService由WSDL(WebServiceDescriptionLanguage)進行描述,處理由XML編碼的SOAP信息�����。WS-Security為WebServices提供全面保證�����。
六����、網格安全的一種具體解決方案
Globus是目前國際上最具影響的網格計算項目之一��,它是由多個機構聯合開發的項目��,力圖在科學計算領域和商業領域對各種應用進行廣泛的、基礎性的網格環境支持����,實現更方便的信息共享和互操作。
GSI(GridSecurityInfrastructure�,網格安全基礎設施)是Globus的安全基礎構件包�����,也是保證網格計算安全性的核心。GSI支持用戶�、資源�、認證機構和協議的實現�����。
GSI的主要目標是要為多個網格系統和應用程序提供單點登錄��,提供可以在多個組織之間使用而不要求集中管理授權的安全技術,以及在同一網格中的多個不同元素之間提供安全的通信機制��。
為了對協議和機制進行隔離(如圖2)�����,GSI采用GSS—API(GenericSecurityServiceApplicationProgramminginterface)作為其安全編程接口�����。GSS—API定義提供了通用的安全服務��,支持各種安全機制和技術,還支持應用程序在源碼級的可移植性���,GSS—API主要面向主體之間的安全鑒別和安全通信操作,它提供的功能包括:獲得證書��、執行安全鑒別��、簽署消息和加密消息等��。
GSS—API在安全傳輸和安全機制上是獨立的,這體現在兩個方面:
(1)傳輸獨立性。GSS不依賴于特定的通信方法或通信庫����,而且某個GSS調用會產生一系列的標記并進行通信,目前可支持TCP�����、UDP等通信協議����。
(2)機制獨立性。GSS不依賴于特定的安全算法��,如Kerberos����、DES、RSA公鑰密碼��。它是根據安全操作過程定義相應的函數����,每個操作可通過不同的安全機制來實現。
GSS—API符合簡單公鑰機制SPKM(SimplepublicKeyMechanism)���。而SPKM的密鑰管理與X.509兼容。GSS—API支持在安全上下文建立過程中的安全授權數據通信�����,當然��,它也支持其他的安全機制���。為了保證對通信內容的保密性和高效性�����,可對通信內容進行加密�����,提供某種程度的服務并保證質量��。
Globus項目的GSI是解決網格計算中安全問題的一個集成方案,已經成功應用于一個連接4個國家近20家機構的實驗網。GSI的特點在于在保證網格計算安全性的同時�,盡量方便用戶和各種服務的交互����。GSI還充分利用了現有的網絡安全技術并對其中某些部分進行了擴充���,使得GSI在網格計算環境下擁有一個一致的安全性界面�,極大地方便了網格應用的開發和使用。
七、結束語
在網格環境中����,安全問題比一般意義上的網絡安全問題的覆蓋面更廣�����,解決方案也更加復雜,只有在實踐中摸索出切實���、可靠的安全策略,才能真正使網格這一新興技術煥發蓬勃的生命力。
參考文獻:
[1]FosterI,KesselmanC.TheGrid:BlueprintforaNewComputingInfrastructure[M].MorganKaufmannPublishers,Inc.,SanFrancisco,California,1999:205-236
[2]FosterI,KesselmanC,TueckeS.TheAnatomyoftheGrid:EnablingScalableVirtualOrgnization[J].InternationalJournalofSupercom-puterApplications,2001,15(6):200-222
[3]PearlmanL,WelchV,FosterI,etal.ACommunityAuthorizationServiceforGroupCollaboration[R].In:IEEE3rdInternationalWorkshoponPoliciesforDistributedSystemsandNetworks,2001
[4]TheGlobusProject
第2篇
1 汽車主動安全技術的概念與發展歷程
主動安全性是指汽車避免發生意外事故的能力��,包括行駛安全性��、環境安全性�、感覺安全性和操作安全性。通過主動安全技術的應用���,能夠使汽車具有最佳的動態性能,能在碰撞事故發生前做出相應的緊急措施�,提高車輛的制動能力和操縱穩定性,有效減少意外事故的發生。
自1898年有記載的第一例交通事故以來�,人們不斷致力于提高汽車行駛的安全性����。但當時人們尚未形成主動安全的概念�,而將主要精力放在提高汽車的被動安全性,即致力于提高汽車安全帶、安全氣囊�、能量吸收式轉向柱等設備的性能上�����。進入20世紀80年代以后,人們開始相信相對于在事故發生后設法降低事故傷害與財產損失,如果在事故前可以對車輛運動狀態進行實時監測�,并在必要時進行干涉或預警�����,具有更為深遠的現實意義。在此契機下,汽車主動安全性迎來重要發展機遇�����。近些年�����,電子�、計算機���、自動化技術的快速發展更加助推了主動安全技術向前邁進��。先進的電子��、通信及信息技術在汽車上的應用催生了ABS、EBS、ACC等主動安全技術�����,使車輛更安全����、更舒適����、更智能化。
2 簡要介紹典型主動安全技術
1.防抱死制動系統(ABS)
當汽車制動時���,若將剎車完全踩死,車輪將發生抱死滑移�����,輪胎與地面的附著力急劇下降�,車輛操縱穩定性受到嚴重影響。如果只是前輪抱死����,后輪保持滾動�����,那么汽車將失去轉向能力。如果只是后輪抱死�����,前輪保持滾動�����,即使受到不大的側向干擾力���,汽車也將產生側滑現象����。所以�����,我們不希望車輪直接抱死��,而是想讓車輪在制動時邊滾邊滑�,于是就出現了防抱死制動系統�。 通過安裝在車輪上的傳感器發出車輪將被抱死的信號,同時執行機構做出反應��,減小制動力矩�,經過一段時間,當車輪恢復滾動時����,再增加制動力矩�。如此循環往復����,使汽車處于良好的制動狀態,提高了車輛安全性��。
2.輪胎壓力監控預警系統(TPMS)
輪胎的使用狀況直接影響汽車安全性�����,輕者導致爆胎��,重者導致車輛失控,造成重大交通事故���,所以�����,輪胎壓力監控預警系統(TPMS)顯得十分重要����。TPMS包括間接型TPMS和直接型TPMS����。間接型TPMS是通過輪速傳感器來比較輪胎之間的轉速差別,進而通過車輪轉速的穩定性來判斷車輪的胎壓�����,以達到監測胎壓的目的��。間接型TPMS雖然價格低廉���,但是使用效果不如直接型���。直接型TPMS是利用安裝在每一個輪胎里的壓力傳感器來直接測量輪胎的氣壓��,利用無線發射器將壓力信息從輪胎內部發送到中央接收器模塊上的系統,可以對各輪胎氣壓數據進行顯示。
3.自適應巡航控制系統(ACC)
自適應巡航控制系統是將自動巡航控制系統和車輛前向撞擊報警系統有機地結合起來��,既有自動巡航功能�,又有防止前向撞擊功能。該系統在車輛行駛過程中,安裝在車輛前部的車距傳感器持續掃描車輛前方道路,同時輪速傳感器采集車速信號����。當與前車之間的距離過小時�,ACC控制單元可以通過與制動防抱死系統����、發動機控制系統協調動作�,使車輪適當制動,并使發動機的輸出功率下降����,以使車輛與前方車輛始終保持安全距離����。
4.車道偏離預警和換道輔助系統
有不少交通事故的發生是由于汽車偏離正常行駛車道引起的,同時車道偏離也被看成車輛側翻事故的主要原因。車道偏離預警系統采用攝像機監測車輛在車道中的橫向位置�����,當系統識別車輛已經越過車道線行駛且駕駛人未開啟轉向燈時�����,向駕駛人發出預警信號�。
車輛在變換車道時�,因為駕駛員不清楚后面車輛的行駛狀況,有可能發生碰撞事故。換道輔助系統利用雷達傳感器監控后方和兩側的環境�,通過轉向燈信號狀態對駕駛人換道意圖進行識別����,在判定駕駛人有換道意圖的前提下��,如果有危險存在���,則對駕駛員進行緊急預警�����。
3 主動安全技術未來發展方向
1.車輛將更加智能化。
隨著計算機�、自動化技術的迅猛發展�,21世紀必定是一個信息技術高度滲透的時代�。近些年����,車聯網、智能交通的興起使人們開始暢想智能駕駛的無限未來�??梢灶A見�,在不久的將來,通過科研人員的不斷努力��,車輛將會變得更智能����,安全性也將大幅提高。
2.對駕駛員操作意圖的識別將更加精確����。
在發生危險前����,若是過早的干預駕駛行為會影響駕駛員的駕駛體驗���,若是過晚的啟動安全保護裝置則會引起安全事故�。所以,對駕駛員操作意圖的精確識別�,掌握合理的時機啟動安全保護裝置顯得十分重要�����。
3.重視行人安全的主被動安全集成技術成為熱點。
主動安全技術主要是從保護車輛安全的角度考慮���,但是近些年,行人安全性問題也日益突出�����。目前�,對行人的保護大多是被動安全保護�����,效果有所欠缺�����。根據相關研究人員的最新進展,從汽車主動避讓行人的主動安全角度,結合目前已經成熟的被動安全技術,進行主被動安全集成是解決行人安全問題的有效途徑����。
參考文獻
[1]彭金栓�����,徐磊�,邵毅明. 汽車主動安全技術現狀及發展趨勢[J].公路與汽運���,2014(1):1-4.
[2]宋曉琳�,馮廣剛,楊濟匡.汽車主動避撞系統的發展現狀及趨勢[J].汽車工程��,2008�����,30(4).
[3]姜立標. 現代汽車新技術[M].北京:北京大學出版社����,2012.
[4]梁兆喜. 汽車防抱死制動系統(ABS)知識[J]. 汽車維修�����, 2017.3:22-23
第3篇
關鍵詞:LTE-R;GSM-R;安全
1 LTE-R國內外研究狀況
隨后LTE的研究和商用���,關于LTE-R的研究也在各國國家相繼展開:2010年“發展LTE-R寬帶移動通信系統”在中國鐵路第七屆世界高速鐵路大會上被提出;2011年國家設立了“基于TD-LTE 的高速鐵路寬帶通信的關鍵技術研究與應用驗證”的重大專項研究課題;旅客寬帶無線接入系統的研究和實驗相繼在日本��、歐洲和北美展開��;我國鐵路擁有150MHz��、450MHz和900MHz等頻率資源,考慮采用跨頻段頻率資源聚合的方式研究多載波LTE-R系統,實現高速鐵路列車車地數據的安全高效傳輸。
北京交大軌道交通控制與安全國家重點實驗室曾指出:未來鐵路通信系統將成為公眾鐵路與鐵路專用網絡互補的一體化異構移動通信網絡�。鐵路專用寬帶移動通信系統LTE-R以高QoS��、高移動性、高RAMS和高數據速率來滿足列車控制數據的安全傳輸和安全監控,保證鐵路通信系統的可靠性���、有效性、可測性、可控性�、安全性�、保密性和可維護性等�;未來鐵路專用通信系統能夠提供龐大的數據吞吐量,具有較高的通信效率,能夠滿足在鐵路樞紐��、并線區域等熱點地區的各種業務需求��。
2 GSM-R安全技術的分析及缺陷
GSM-R在接入層主要提供了保密和認證服務�����。保密服務目的是防止無線竊聽,其中有用戶身份保密性����、認證密鑰保密性��、信令數據保密性和用戶語音保密性。認證服務的目的是防止空中接口中的假冒攻擊。通過研究GSM-R仍存在一些安全缺陷:
(1)GSM-R系統中的加密不是端到端的,加密功能沒有延伸到核心網絡,只是在無線信道的部分即MS和BTS之間的Um借口進行加密��,從基站到基站之間的傳輸鏈路中用戶信息和信令數據等均以名文的方式傳輸��,這給攻擊者特別是網絡內部人員進行攻擊提供了機會。而且�,目前已有針對空中接口加密A5算法的破譯攻擊方法���。
(2)GSM-R系統不能提供用戶和網絡之間的雙向認證�����。這種單向認證不能抵抗中間人攻擊和假基站攻擊,用戶的敏感信息可能會泄漏或用戶無法正常地訪問網絡���。
(3)GSM-R的加密算法A5已經被破譯,并且加密密鑰長度僅為64bit�。
(4)假設用戶歸屬域信任所有拜訪域����,并將用戶機密信息發送給拜訪域�����。
3 LTE-R系統的安全機制分析
國際鐵路聯盟(UIC)計劃從2014年開始GSM-R向LTE-R演進��。LTE-R采用新的網絡結構為用戶提供了高數據傳輸速率����,低延時和最優分組接入技術以及比GSM-R更好的安全技術��,改善了現有GSM-R的安全缺陷提升了鐵路運輸的安全����。
LTE-R系統的安全架構分為四個區域��,每個區域實現不同的安全目標�����。
(1)網絡接入安全(I):負責用戶安全接入業務�,防止空中接口的攻擊。包括以下幾方面的功能����。
a.用戶身份保護:采用臨時身份標識機制�,保護用戶的隱私����。b.網絡認證:保證用戶所訪問的網絡是合法網絡,即被HE授權了的網絡���。c.用戶認證:保證只有合法的用戶才能接入網絡。d.空中數據/信令加密保護�����,信令的完整性保護��。
(2)網絡域安全(II):負責保護網絡實體之間安全傳遞信令數據�,保護有線網的安全�。
(3)網絡域安全(III):負責為終端提供安全保護,主要包括卡對用戶的認證�,只有合法的用戶才能使用卡����,只有合法的卡才能訪問終端�。
(4)應用域安全(IV):負責保護用戶與應用服務器之間的通信安全,如對數據進行加密�、完整性保護����、雙向認證等方式�。
LTE-R的機密性是由UEA2實現的。UEA2是以SNOW 3G為核心的一個對稱的同步串行加密方法��。因為大多數控制信令信息時敏感的����,應該進行完整性保護��,新的完整性算法UIA2用輸入信息和完整性密鑰IK來計算32bit的消息認證碼(MAC)�����。消息的長度大概在1到20000bit之間。UIA2算法是基于普通的哈希函數和GMAC機制來生成MAC。LTE-R身份認證與密鑰協商是通過AuC和USIM卡中的共有密鑰K來計算加密密鑰CK和完整性密鑰IK�����,然后對 CK和IK推演得到父密鑰KASME�,最后根據父密鑰得到各層的子密鑰,建立用戶設備和網絡的安全上下文。LTE-R AKA的認證過程使用Milenage算法以及五元組認證(KASME代替CK和IK)實現UE和網絡雙向認證。
通過分析對比LTE-R和GSM-R安全技術,LTE-R和GSM-R安全機制的對比如表1所示��?���?梢钥闯觯琇TE-R在空中接口方面提供了更強大的安全保護,提供了更多的安全服務。
4 LTE-R安全缺陷的分析
雖然LTE-R有更好的安全機制作為整個系統的保障���,但是LTE-R仍然會受到很多的攻擊,這些攻擊可能來自黑客����、鐵路局的職工����,也可以是接入LTE-R系統的第三方等,所以LTE-R存在的一些安全隱患是我們以后研究的重點��。
(1)IMSI存在泄漏的危險�����。從用戶的隱私角度來看,IMSI不僅是用戶的唯一標識而且提供了歸屬網絡所屬國家等更多的私密信息,因此應當加以機密性保護����。如果明文傳輸IMSI�,攻擊者可以通過IMSI自動地追蹤用戶����。針對這種攻擊的防御方法就是保護IMSI,可以采用臨時標識符機制或者利用公鑰隱藏IMSI。
(2)跟蹤UE:利用IMSI/TMSI和RNTI之間的聯系����,攻擊者可以跟蹤用戶以前的行為����。對分配臨時標識符的過程進行機密性保護可以有效地抵抗這些攻擊���。
(3)強制切換到傳統網絡: LTE-R用戶可能被攻擊者強制切換到安全性較弱的傳統網絡��。利用安全性較弱的網絡可以攻擊UE��,獲取UE的信息。
(4)LTE-R是的安全機制是基于私鑰密碼體制的,密鑰管理困難����,可擴展性差而且不能有效防止通信抵賴行為��。
(5)不能提供端到端的信息安全服務,很難滿足高速鐵路特殊業務的安全需求。
參考文獻
[1]鐘章隊�,等.鐵路GSM-R數字移動通信系統[M].北京:中國鐵道出版社����,2007.
[2]劉亞林���,范平志.GSM-R網絡安全性分析與對策[J].鐵路通信信號工程技術���,2004����,12:144-149.
[3] Gao Tingting����,SunBin.A High-speed Railway Mobile Communication System Based on LTE.ICEIE.2010,1:414-416.
[4]賈曉濤.鐵路專網將直接升級LTE-R[J].通信產業報�,2011.
第4篇
關鍵詞:校園網��;網絡安全;防范措施�����;
一�����、校園網絡安全概述
網絡安全是指網絡系統的硬件�����、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞����、更改或泄露���,系統連續�、可靠、正常地運行�����,網絡服務不中斷�。網絡安全和信息安全是網絡信息安全的兩個組成部分���。網絡安全主要指的是系統平臺層面的安全范疇�����,包括硬件組成����、操作系統�、軟件運行的環境、各種應用軟件等����。信息安全指的是數據通信過程中的安全保障�����,包括數據加密、過濾�����、備份等�,常用的安全技術有防火墻、殺毒軟件等��。
隨著計算機網絡的迅速發展���,校園網成為學校重要的基礎設施�����,校園網也同樣面臨著越來越多的網絡安全問題。但在高校網絡建設的過程中,普遍存在著“重技術��、輕安全”的傾向�,隨著網絡規模的迅速發展,網絡用戶的快速增長,校園網從早先的教育試驗網的轉變成教育��、科研和服務并重的帶有運營性質的網絡����。校園網作為數字化信息的最重要傳輸載體,如何保證校園網絡正常運行不受各種網絡黑客的侵害,就成為各高校不可回避的一個緊迫問題����,解決網絡安全問題逐漸引起了各方面的重視�����。
二、校園網絡存在的安全隱患
(一)系統漏洞威脅。校園網使用的系統軟件由于自身存在的一些漏洞,盡管日常開展了漏洞補丁程序����,但@些漏洞極易遭到病毒入侵或人為性的破壞�����。因每個校園網絡管理系統和數據庫不同,開發商針對軟件安全的考慮程度也不一樣,開發水平較高����、較嚴密的系統���,安全性能也相對較為周全�,具備較為先進的防范手段�,相對來說安全率就高,若系統自身存在著一些安全方面的隱患,安全問題自然就頻出。
(二)計算機病毒���。計算機存儲介質或程序中由于多種原因潛伏著一些病毒�����,當條件滿足后�,這些病毒就會被激活破壞計算機指令或程序代碼,使計算機程序紊亂。日常使用中���,病毒可通過光盤、軟盤、硬盤或網絡進行傳播����,通過復制�、傳送文件�,運行程序等操作,為病毒提供了快速的傳播途徑和有利條件。近些年來�,校園網中發生的一些基于網絡傳播的惡性病毒����,對網絡的破壞較大��,輕時可致系統崩潰�,造成運行癱瘓�����,嚴重時所有文件����、數據等全部被損毀����、丟失等。
(三)外部入侵和內部攻擊�����。校園網是開放性的�����,管理相對較為寬松,更易受到外部入侵攻擊��。黑客入侵網絡系統主要破壞系統運行或竊取機密數據����,校園網設備一旦受到黑客侵襲���,會中斷服務系統���,或入侵Web或其他文件,刪除服務器或存儲數據等�,導致系統癱瘓甚至完全陷入崩潰狀態����,黑客還會傳輸附帶病毒的文件到網絡設備中�����,間接破壞網絡系統,黑客入侵是校園網中殺傷力最大的安全隱患��,而且黑客通常還能將自己很好的隱蔽起來不易被發現。校園網最大的用戶就是學生��,少部分學生往往會將校園網作為攻擊目標��,運用這些攻擊手段滿足好奇心理�,如第三方黑客攻擊軟件��,APP欺騙�����,IP碎片攻擊,WinNuke攻擊等。校園網絡是為教學教研、學生學習需要服務的����,一旦崩潰影響極大�����,因此既要防范自身存在的漏洞、病毒、黑客等外部入侵�,還要加強內部攻擊���,這是加強高校網絡日常維護管理新課題���。
三�����、校園網的安全防范技術及對策
(一)防火墻技術。所謂防火墻是由軟件和硬件設備的組合體��,是一種用來加強網絡之間訪問控制的網絡隔離控制技術���。它能將校園網與外網分開�,有效地防止外網用戶以非法手段進入內網、訪問內網資源,防火墻能夠強化安全策略�,防止不良現象發生的“交通警察”���,有效地記錄因特網上的活動����,限制暴露用戶點�����,是網絡安全策略的檢查站。一旦防火墻被攻破����,校園網網絡系統的安全性將輕易被破壞����。
(二)數據加密技術����。在計算機網絡系統中�����,與防火墻配合使用的安全技術還有文件加密技術,它是為提高信息系統及數據的安全性與保密性�,防止秘密數據被外部竊取����、偵聽或破壞所采用的主要技術手段之一�����。
在數據傳輸過程中�����,利用技術手段把數據進行加密傳送���,對信息進行重新組合���,到達目的地后再進行解密��。通過數據加密技術���,可以有效防止未授權的用戶訪問�,在一定程度上提高了數據傳輸的安全性��,保證了數據傳輸的完整性���。并通過采用隧道技術���、加密技術�����、用戶身份認證技術、訪問控制技術���,為網絡安全提供了強有力的保障。
(三)網絡入侵檢測技術��。入侵檢測技術是防火墻的合理補充����,它作為一種積極主動地安全防護技術,可起到防御網絡攻擊的作用��,因而提高了網絡系統的安全性和防御體系的完整性�����。入侵檢測在不影響網絡性能的情況下能對網絡進行監測,能檢測針對網絡資源或計算機的惡意行為和企圖,通過對行為�����、安全日志�、審計數據或其他網絡上可以獲得的信息進行處理,從而發現入侵行為并及時作出響應,包括切斷網絡連接����、記錄事件和報警等��,進而提供對內部攻擊、外部攻擊和誤操作的實時保護。
(四)網絡安全掃描技術�����。網絡安全掃描技術是檢測遠程或本地系統安全脆弱性的一種安全技術�,通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務�,及時發現安全漏洞�����,客觀評估網絡風險等級�����。利用安全掃描技術,可以對局域網絡�����、Web站點��、主機操作系統����、系統服務以及防火墻系統的安全漏洞進行服務����,檢測在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞��,還可以檢測主機系統中是否被安裝了竊聽程序����、防火墻系統是否存在安全漏洞和配置錯誤�。
(五)鏡像和備份技術。鏡像技術是指兩個設備同時運行完全一樣的工作�,如果其中一個設備發生故障����,另一個設備還可以繼續工作����。為了提高完整性,需要采用鏡像和備份技術。提高數據完整性最常用的措施是備份技術,對于需要保護的數據����,在其他地方制作一個備份���,如果原件丟失了�����,還能使用備份數據。
(六)防病毒技術。 計算機病毒技術發展速度甚至超越計算機技術的發展,嚴重威脅著計算機運行環境的安全�。校園網病毒防范中常使用防病毒軟件�。按照功能�����,單機防病毒軟件安裝在單臺PC上,以分析掃描方式對校園及校園網站鏈接的遠程資源進行檢測并查殺病毒�;網絡防病毒軟件可對受到病毒入侵的網絡進行檢測或刪除傳染其他網絡資源的病毒��。所以,必須在校園網安裝功能齊全的防病毒軟件并加強日常維護管理�,定期進行升級����,為校園網提供最佳網絡防病毒措施�����。
(七)加強網絡的管理�����。網絡管理員還需要建立與維護完整的網絡用戶數據庫,嚴格對系統日志 進行管理��。學校應建立起一套嚴格的網絡安全管理制度����,如:校園網由專人管理,網絡管理員通過對所有用戶設置資源使用權限和口令�����,對用戶名和口令進行加密、存儲�����、傳輸��、提供完整的用戶使用記錄和分析等方式可以有效地保證校園網絡文件服務器及網站服務器的安全��。
參考文獻
[1]陳梁.防火墻網絡安全研究[J].電腦知識與技術�����,2015.07
第5篇
(2011-12-2719:05:13)
標簽:鏁欒偛
一����、單項選擇題
1�、信息安全是信息網絡的硬件、軟件及系統中的(A.用戶
B.管理制度
)受到保護��,不因偶然或惡意的原因而受到破壞�����、更改或泄露�。
D.設備
C.數據
)���。
2���、為了預防計算機病毒��,應采取的正確措施是(A.每天都對計算機硬盤和軟件進行格式化C.不同任何人交流3�、DDoS攻擊破壞了(A.可用性
)��。B.保密性
)��。
B.不用盜版軟件和來歷不明的軟盤
D.不玩任何計算機游戲
C.完整性D.真實性
4、以下哪個不是數據恢復軟件(A.FinalData
B.RecoverMyFilesC.EasyRecovery
)�。
D.OfficePasswordRemove
5�����、Windowsserver 2003系統的安全日志如何設置(A.事件查看器
B.服務管理器
C.本地安全策略D.網絡適配器里
6、數據備份常用的方式主要有:完全備份�����、增量備份和()�。A.邏輯備份
B.按需備份
C.差分備份
D.物理備份
)對要發送的的信息進行數字簽名�����。D.接收者的私鑰
7�、數字簽名技術是公開密鑰算法的一個典型的應用���,在發送端���,它是采用(A.發送者的公鑰
B.發送者的私鑰
C.接收者的公鑰
8�、數字簽名技術,在接收端,采用(A.發送者的公鑰9�、(
)進行簽名驗證���。
C.接收者的公鑰
D.接收者的私鑰
B.發送者的私鑰
)不是防火墻的功能�����。
B.保護存儲數據安全
D.記錄通過防火墻的信息內容和活動
2003系統能設置為在幾次無效登錄后鎖定帳號,這可以防止:(
C.IP欺騙
)。
D.緩存溢出攻擊
)。
A.過濾進出網絡的數據包C.封堵某些禁止的訪問行為10、WindowsA.木馬
NT
和Windows
B.暴力攻擊
11、在以下認證方式中���,最常用的認證方式是:(A.基于賬戶名/口令認證;C.基于PKI 認證
;
B.基于摘要算法認證;D.基于數據庫認證
)。
C.TELNET
D.SSL
)
12、主要用于加密機制的協議是:(A.HTTP
B.FTP
13���、當用戶收到了一封可疑的電子郵件,要求用戶提供銀行賬戶及密碼,這是屬于何種攻擊手段?(A.緩存溢出攻擊
B.釣魚攻擊;
C.暗門攻擊
D.DDOS攻擊
14、“保護數據庫,防止未經授權的或不合法的使用造成的數據泄露�����、更改破壞。”這是指數據的()
A.安全性B.完整性C.并發控制D.恢復
),
15�����、在數據庫的安全性控制中���,為了保護用戶只能存取他有權存取的數據��。在授權的定義中,數據對象的(授權子系統就越靈活。
A.范圍越小
B.范圍越大
C.約束越細致)類文件�����。
C..WPS
D..DBF
D.范圍越適中
16�、文件型病毒傳染的對象主要是(
A..EXE和.WPS
17、入侵檢測的基本方法是:(
B.COM和.EXE
)。
A.基于用戶行為概率統計模型的方法C.基于專家系統的方法
B.基于神經網絡的方法
D.以上都正確
)
D.信
18、在網絡攻擊的多種類型中���,攻擊者竊取到系統的訪問權并盜用資源的攻擊形式屬于哪一種?(
A.拒絕服務
息篡改
19、下面哪個不是執行備份操作的用戶(A.Administrators組的成員C.ServerOperators 組的成員20�����、下面哪個不是系統還原的方法(A.安全模式
)����。
B.BackupOperators 組的成員D.PowerUsers 組的成員)。
C.自動系統恢復
D.普通模式
B.侵入攻擊
C.信息盜竊
B.故障恢復控制臺
21���、數據庫管理系統通常提供授權功能來控制不同用戶訪問數據的權限,這主要是為了實現數據庫的()����。A.可靠性
B.一致性
C.完整性
D.安全性)���。
22�����、SQLServer 2005提供了4層安全防線�,其中“SQLServer 通過登錄賬號設置來創建附加安全層。用戶只有登錄成功��,才能與SQL Server 建立一次連接����。”屬于(A.操作系統的安全防線
C.SQLServer 數據庫的安全防線式叫做(
)�����。
A.郵件病毒
B.郵件炸彈
)
C.病毒
)型的漏洞評估產品����。B.主機型)
B.對簽名后信件的內容是否又發生變化進行驗證
D.權威性
C.網絡型
D.以
D.蠕蟲
C.特洛伊木馬
D.邏輯炸彈
B.SQLServer 的運行安全防線
D.SQLServer 數據庫對象的安全防線
23、電子郵件的發件利用某些特殊的電子郵件軟件在短時間內不斷重復地將電子郵件寄給同一個收件人���,這種破壞方
24、網絡攻擊的有效載體是什么����?(
A.黑客
B.網絡
25��、針對操作系統的漏洞作更深入的掃描,是(
A.數據庫
上都不正確
26���、有關數字簽名的作用,哪一點不正確����。(
A.唯一地確定簽名人的身份
C.發信人無法對信件的內容進行抵賴
27����、備份在(A.管理工具
)功能菜單下�。
B.附件
C.系統工具
D.輔助工具
28�、收藏夾的目錄名稱為(A.Favorites29、(簽名數據庫�����。
A.簽名分析法
)。B.temp
C.Windows
D.MyDocuments
)分析法實際上是一個模板匹配操作��,匹配的一方是系統設置情況和用戶操作動作��,一方是已知攻擊的
B.統計分析法
C.數據完整性分析法
D.以上都正確
)����。
30��、若系統在運行過程中����,由于某種硬件故障����,使存儲在外存上的數據部分損失或全部損失,這種情況稱為(A.事務故障
B.系統故障
)�。C.無線網)�����。
D.使用專線傳輸
C.介質故障
D.人為錯誤
31、為了防御網絡監聽��,最常用的方法是:(A.采用物理傳輸(非網絡)
B.信息加密
32���、以下關于CA 認證中心說法正確的是:(A.CA認證是使用對稱密鑰機制的認證方法B.CA認證中心只負責簽名���,不負責證書的產生C
.CA認證中心負責證書的頒發和管理��、并依靠證書證明一個用戶的身份
D.CA認證中心不用保持中立,可以隨便找一個用戶來做為CA 認證中心33、以下關于對稱密鑰加密說法正確的是:(A.加密方和解密方可以使用不同的算法C.加密密鑰和解密密鑰必須是相同的
)���。
B.加密密鑰和解密密鑰可以是不同的D.密鑰的管理非常簡單
)。
34、Web從Web 服務器方面和瀏覽器方面受到的威脅主要來自(A.瀏覽器和Web 服務器的通信方面存在漏洞C.服務器端腳本的安全漏洞35�、審計管理指:(
)�����。
D.以上全是
B.Web服務器的安全漏洞
A.保證數據接收方收到的信息與發送方發送的信息完全一致B.防止因數據被截獲而造成的泄密
C.對用戶和程序使用資源的情況進行記錄和審查D.保證信息使用者都可有得到相應授權的全部服務
36、當數據庫損壞時,數據庫管理員可通過何種方式恢復數據庫(
A.事務日志文件
B.主數據文件
)。
D.聯機幫助文件
C.DELETE語句)。
C.差分備份
37����、下面哪一個不是常見的備份類型(A.完全備份
B.增量備份
)�。
D.每周備份
38�����、注冊表數據導出后的擴展名為(A.reg
B.dat
C.exe
)
B.信息傳輸安全
D.bat
39��、信息風險主要指那些?(
A.信息存儲安全
上都正確
C.信息訪問安全D.以
40��、對新建的應用連接���,狀態檢測檢查預先設置的安全規則��,允許符合規則的連接通過���,并在內存中記錄下該連接的相關信息���,生成狀態表�,對該連接的后續數據包���,只要符合狀態表�,就可以通過�。這種防火墻技術稱為(
)。
10��、Windows系統中�����,系統中的用戶帳號可以由任意系統用戶建立�。用戶帳號中包含著用戶的名稱與密碼�、用戶所屬的組、用戶的權利和用戶的權限等相關數據���。(
)
1C 15A 24C 2B 3A 16B 17D 25B 26D 4D 5C 6C 7B 8A 9B 10B 11A 12D 13B 14A
18B 19D 20D 21D 22B 23B 27B 28A 29A 30C 31B 32C 33C 34D 35C 36A 37D
38A 39D 40B
二填空題
1信息安全
2物理安全技術��、基礎安全技術
3文件加密和文件解密都使用相同的密鑰4、證書CA 5�、數字簽名
6標準訪問權限和特別訪問權限�。7��、漏洞掃描
8流量攻擊和資源耗盡攻擊���。9���、計算機病毒
10�、數據庫系統分為數據庫和數據庫管理系統11�、端口
12、根據原始數據的來源IDS 可以分為:基于主機的入侵檢測和基于網絡的入侵檢測。13���、網頁病毒
14、VPN (虛擬專用網)
第6篇
1.1保障煤礦職工生命安全的必要措施
煤礦生產作業的環境往往十分惡劣,生產作業過程中很多因素都可能導致安全事故的發生��,而煤礦安全事故一旦發生����,常常會造成煤礦工作人員的傷亡,嚴重威脅著煤礦職工的生命安全,而引發煤礦安全事故的一個重要原因就是工作人員安全技術掌握存在不足,在煤礦生產作業過程中操作不符合安全生產規范�,同時對于可能導致安全事故的隱患及征兆不能及時發現�,并采取有效措施予以排除��,事故發生時也很難實現有效的逃生自救。因此�,要充分保障煤礦職工的生命安全��,加強煤礦安全技術培訓,提高煤礦職工的安全生產作業能力與水平�����,并確保其扎實掌握煤礦安全隱患辨識及事故逃生自救的知識與能力��,具有著極大的必要性�。
1.2促進煤礦企業長期穩定發展的必要條件
煤礦企業的發展一方面需要良好的效益來提供保障��,另一方面則需要完善的管理來予以支持����。從效益角度來講��,加強煤礦安全技術培訓能夠有效的提高煤礦職工安全生產的能力����,減少煤礦生產安全事故的發生�,從而提高煤礦生產的整體安全性,這就能夠為煤礦企業生產效率的提升創造良好的條件����,同時�����,煤礦企業生產安全性的提高也能夠有效的提升企業的外部形象,并使企業更容易獲得客戶的信任��,使企業能夠在市場中占據更多的資源與發展空間��,對于企業效益的提升具有著重要的意義。從管理角度來講,企業加強安全技術培訓�����,能夠使企業職工更好的掌握煤礦安全生產的技術���,提升職工安全生產作業的能力��,并增強職工的安全意識�����,使員工能夠更好的配合企業的安全生產管理工作,這也為企業管理效率的提升創造了有利的條件,促進企業管理工作的不斷完善�,這也為煤礦企業的長期穩定發展提供了必要的條件�。
1.3社會主義和諧社會建設的必然要求
煤礦安全事故不僅威脅著煤礦職工的生命安全����,以及給煤礦企業帶來巨大的經濟損失��,其所帶來的社會影響也是不容忽視的。一般煤礦安全事故發生之后��,常常會給傷亡職工及家屬帶來巨大的痛苦�����,有些家庭還可能因為失去勞動力而面臨著生存的危機�����,隨之而來還有一系列其他的社會問題,而隨著媒體報道及社會輿論關注度的提高����,其所造成的社會影響力也將被放大,一些事故因處理不當還可能會導致社會公眾對煤礦行業及政府監管部門失去信任,進而影響社會穩定�。因此���,加強煤礦安全技術培訓���,減少煤礦安全事故的發生���,有效的減少此類事故所造成的不良社會影響����,也是我國社會主義和諧社會建設的必然要求�。
2加強煤礦安全技術培訓的有效策略
2.1明確培訓的目標及要求
煤礦安全技術培訓不能夠盲目進行,應該首先明確進行安全技術培訓的目標以及具體的要求。一方面��,要將全面有效的提高員工的安全生產技能����,確保其在生產作業過程中的安全作為培訓的基本目標,并以此為基礎,制定嚴格而具有針對性的培訓要求��。另一方面��,要避免安全技術培訓走上形式化��、過程化的錯誤路徑,應結合安全技術培訓的目標,以培訓的失效作為檢驗培訓效果的根本標準���,合理制定和安排培訓內容及課程,確保培訓的內容覆蓋煤礦職工在生產作業中的各個方面,包括危險源識別、安全生產規范、安全隱患排除���、應急事故處理、逃生自救等方面的專業知識與技術,充分保障培訓實效性�����。
2.2合理選擇教學方法
就目前我國的煤礦行業來看�,煤礦井下作業人員在年齡、文化層次���、工作經驗等方面都存在著很大的差異性���,這也決定了不同職工在培訓過程中的理解能力�、接受能力不盡相同,因此�����,單一的培訓教學方法是難以滿足煤礦企業所有職工的實際需求的�。這就要求煤礦企業及相關的培訓機構在開展培訓時,應針對不同職工層次及能力水平的差異�����,合理選擇教學方法�,可以根據工作性質的特征,以及學員能力水平的差異�����,對學員進行班組的劃分�,分別采取相應的教學方法,確保學員能夠有效的理解和掌握教學內容�,并能夠有效的運用到實際的工作當中��,提高其在生產作業中的安全性���。同時�����,還應該將多種培訓方式結合起來靈活運用,全面提高安全技術培訓的效率�,并在培訓中更多結合以往事故的案例�����,提高學員的安全意識���,并增強教學的說服力�。
2.3強化師資隊伍建設
要加強煤礦安全技術培訓還需要強大的師資隊伍來予以保障,一方面���,要結合煤礦生產技術的發展趨勢,加強針對新技術����、新設備的安全生產技術培訓���,這就需要組建一支掌握新技術�����、新知識的安全技術培訓教師隊伍,針對新時期的煤礦安全生產的實際情況���,開展高質量的安全技術培訓,保障培訓教學的實效性��。另一方面����,要著力加強煤礦安全技術培訓師資隊伍的創新能力,培養具有將強創新意識與能力的專業培訓教師��,通過他們創新意識與能力的發揮����,使其在培訓中能夠積極創新教學方法與手段,不斷提升教學的能力與水平�����,進而實現良好的培訓效果�。
2.4完善培訓考核評估機制
第7篇
關鍵詞:Web網站�;安全技術;數據庫
現代社會已經進入信息時代,計算機以及網絡信息技術的應用愈加廣泛����,Web網站更是在企業����、高校等領域得到了普遍的應用���,其中大部分的應用系統都在朝著因特網平臺進行轉移����,網絡信息技術為人們的工作生活都帶來了很大的便利,但是其中存在的安全隱患也逐漸引起了人們的關注,網絡安全問題也是網站建設中的重點問題�����,Web網站運營過程中需要重視對安全技術的應用與升級�����。
一�����、Web網站的安全現狀分析
現代社會中計算機網絡技術得到了快速的發展���,尤其是因特網的推廣以及Web站點的增加���,使得信息交互和共享已經涉及到了全球范圍。網絡所具備的互聯性與開放性在為社會發展帶來便利的同時,網站運營中的安全問題也變的更加突出���。相關的計算機犯罪方式正在不斷變化,犯罪水平也在提高,網站具備的這種交互性特點是造成安全隱患的主要方面�。比如在Web網站中比較受到人們喜愛的聊天室�����、E-mall等功能,就是出現安全問題的主要部分。當前,自動化的安全攻擊工具廣泛的存在與網絡平臺上�����,各種攻擊技術也逐漸得到了普及��。另外��,還有病毒泛濫產生的很多潛在危害。這些方面的安全問題,表明網站的運行面對著非常大的挑戰��?���?梢詫⑵渲邪陌踩珕栴}進行分類,一種是服務器信息被破譯造成的服務器被入侵�;一種是瀏覽器具有強大的功能�,在為用戶提供便利的同時也為黑客的攻擊帶來了方便����;另一種網站上的文件會遭到非法訪問,嚴重的威脅著文件信息的機密性與完整性��;最后一種就是Web服務器自身存在的程序漏洞會成為黑客主要的攻擊對象�����。
二��、操作系統平臺的安全規則
在Web服務器的發展中安全漏洞是普遍存在的��,作為開發商的微軟并沒有針對存在的安全問題提出具體的解決方案��,只是陸續推出了一些補丁程序,所以�,有必要對網站系統建立一套安全規則[1]�。在安全規則的規范之下網站才可以在復雜的運行環境之中提供更加安全�、可靠的信息服務,一方面���,在Web網站的操作系統運行中,應該隨時的關注微軟新推出的安全公告以及最新的補丁程序����,這樣可以獲得所需的信息對安全漏洞進行有效的填補����。
另外���,還可以利用NTFS系統�����,它具備FAT所沒有的安全控制的作用�,能夠根據文件夾的區別去設置獨立的訪問權限����,使得文件的安全性得到了很大的提升。還可以通過系統管理員的賬號更名去加強安全管理�����,域用戶管理器能夠限制登陸過程中猜測口令的輸入次數��,但是不能限制系統管理員的登陸���,因此其賬號的更名可以防止管理員賬號被一些非法用戶攻擊�����。
此外,在網站運行中安裝有兩個或多個操作系統的會增加被黑客攻擊的機會���,因此最好的辦法就是只安裝一個操作系統。對系統中不使用的協議或者服務進行關閉��,減少其中存在的漏洞及被攻擊的機會���。對網絡中產生的共享資源進行及時的刪除�,強化日志的審核環節,也可以通過防毒軟件的使用實現系統安全性的升級�。
三����、Web服務器IIS的安全機制分析
IIS是目前使用最廣泛的因特網服務器軟件之一����,其安全性是建立在操作系統安全機制之上的,配置IIS構建的Web站點的安全性除利用操作系統的安全性外還要使用IIS提供的安全機制[2]�����。IIS的應用過程中產生的匿名用戶不會與其自身產生交互���,也就是任何的用戶都可以直接進行匿名訪問��,這種情況就為Web服務器的安全運作帶來了較大的威脅�����,因此����,需要對其具備的權限進行有效的控制,如果網站中不需要匿名訪問這一功能,則可以直接取消其中的匿名服務功能。用戶在輸入自己的用戶名以及口令的時候缺乏加密�����,都是以明文的形式進行信息傳播的�����,所以很容易引起非法用戶的監聽或者對數據進行攔截����,安全性能不高���。而通過集成Windows驗證的非法�����,使得瀏覽器具備的加密方式能夠和IIS服務器直接交流����,可以很好的防止信息被竊聽��,提高了系統的安全性認證水平��。
四、Web數據庫的安全性分析
1、Web網站的防火墻技術與用戶身份認證技術
防火墻技術是一種訪問控制技術����,它是在內部網絡與外部網絡(公用網絡)之間設立的一道防護欄,即在它們的界面上構造一個保護層[3]��?��?梢杂行У谋苊庑畔①Y源被非法訪問�,規定與之相關的任何連接都要經過這一保護層,通過檢查之后進行連接��。訪問只有在被授權的情況下才可以突破這一保護層,可以為網絡操作提供一個相對封閉的邏輯環境�����,使得內部網絡獲得了很好的保護��,減少了非法入侵情況的出現�����。
通過身份認證技術的應用可以對用戶是否合法進行確認,在Web網站中,如果有人想要訪問被限制的內容,就可以通過這一技術對其身份進行識別�,判斷這一用戶是否具有真正的Windows NT帳號的用戶名與密碼��。然后利用后臺運行的數據庫,通過身份驗證機制對用戶的合法性進行再次確認。也可以將用戶名����、口令等信息進行整合后形成User用戶表���,對用戶身份進行更有效的識別����。
2��、數據加密技術及監視跟蹤�����、審計技術
加密技術是指將一個信息經過加密算法進行轉換���,利用附加密碼����、加密模塊等方法使之變成無意義的密文,接受方可以將此密文通過解密算法等還原[4]����。另外�,在Web網站運行中要提升其安全性能����,還可以通過監視跟蹤的方法實現。大部分的應用程序具備的日志記錄只是在事后起到監督作用�����,但在日志的分析過程中���,還能將其應用在預防入侵方面�����,以此來提高網絡應用的安全��。在Web網站的應用系統之中,日志會將用戶從登錄到退出系統的這段時間中所進行的所有操作進行完整的記錄�,比如登錄失敗操作�����、對數據庫的操作等等內容����。所以,在這一過程中完善的日志記錄功能是非常必要的。審計技術則主要是對網絡信息的可查性提供保障����。它屬于安全技術類型���,可以利用審計機制的設置提供和系統運行中出現的可疑現象有關的一些信息�����,為管理人員的分析提供依據��,使其可以及時的找到隱患所在。
結束語:
網站運行的安全在整體的網站系統建設中占據著重要的位置��,Web網站的安全化發展屬于一個系統化的問題����,其包含的內容比較廣泛,安全技術的應用也需要根據網站的發展去進行更新����,在Web網站建設中層層設防���,有針對性的選擇適合的安全技術�����,增強網站管理人員的安全防范意識,實現網絡系統的安全性能����,使得Web網站可以正常的運行,為人們輸送安全性高的信息數據。
參考文獻:
[1]汪穎����,胡順.Windows Server2003下Web服務器的安全技術探究[J]. 電腦知識與技術(學術交流)���,2007��,13:80-81.
[2]符鳳平.Web網站安全技術分析[J].計算機系統應用,2008,12:162-165+131.
第8篇
【關鍵詞】 計算機 網絡安全
近些年來計算機網絡應用范圍越來越廣泛,網絡安全的影響因素也逐漸增加��,主要來自人員的操作�����、系統的漏洞���、病毒的存在以及防火墻設計等方面的因素����,影響計算機的信息不被保密和完整�;對此合理的利用防火墻、加密技術、密鑰技術以及生物識別技術等,從而更好的保證網絡技術以及計算機系統的正常應用,保證社會群眾的財產利益不受侵犯����。
一����、計算機安全的標準
計算機網絡安全的標準主要是指信息的完整性�����,尤其是在利用計算機網絡技術��,進行信息傳輸時����,傳輸的速度、質量以及完整都應該不被延遲和破壞�;其次是信息必須是可用的�����,同時用戶在使用信息時,必須是進過授權且保密的��;而用戶在使用信息時���,該信息都是由授權機構及時進行操控的���。最后當計算機網絡技術安全的情況下���,會為網絡事故提供一系列的依據�����;對此計算機網絡信息安全是非常有必要的��。
二�����、影響計算機網絡安全的因素
1、操作系統�����。隨著網絡技術不斷的研發����,以及技術應用的領域不斷擴大����,對于系統操作的安全卻忽視,導致計算機網絡技術存在一系列的安全隱患和系統漏洞��,從而直接影響計算機信息的安全�。但是隨著人們安全意識的增加,也相繼的設計出了防火墻等安全程序����,但是由于影響操作系統的安全因素有很多�����,一但安全防護程序自身存在漏洞,導致其不能發揮很好的安全防護作用�。
2�����、病毒。網絡病毒主要是指在計算機程序中�����,編制特殊的指令��;這個指令不僅會破壞計算機系統中的數據庫�,同時也可以對信息資源進行復制��。而目前長常見的指令��,主要是指一系列的非法入侵的代碼,通過計算機系統的漏洞進行攻擊��,但是這些病毒常常是隱蔽不被發現��,且傳播快速快破壞程度大,一旦結合黑客技術,對于計算機會起到控制和破壞的作用。
3�、操作問題���。雖然計算機已經成為了人手必備的上網工具�,但是對于計算機技術靈活操作的用戶卻非常得少�����,一旦用戶的失誤操作�,會造成很大的安全威脅����;加上用戶對于防護技術應用的意識缺乏,導致計算機很容易受到病毒或是木馬的侵害,直接威脅用戶的個人信息以及生命財產的安全。
三、計算機網絡安全技術
1��、防火墻技術�。防火墻是置于外部與內部網絡之間的網絡安全體系,防火墻的安裝,可以有效的檢查數據包����,并根據自身檢查的結果�,有效的提醒用戶及時的進行過濾和清理�����,給自身的計算機系統加以保護���。
2�����、加密技術���。加密技術的研發,對電子商務以及網絡信息交易提供了有效的保證;而加密技術主要包括對稱與非對稱兩種,其中對稱加密技術���,主要是指基于口令,將加密與解密運算提供想相同的密鑰;而非對稱加密技術��,也是以口令為基礎�����,但是加密與解密預算所使用的密鑰不同�,同時解密密鑰也只有當事人自己知道�,而其他人是不知道的。
3、智能卡技術����。掛技術與密鑰技術相似����,同時也是基于密鑰方式的一種按群操作程序�;該用戶的智能卡被賦予了指定的口令之后,當用戶使用該只能卡時���,輸入的口令與網絡服務器上的密碼相同,從而用戶在利用網絡技術時����,對以用戶的信息起到很好的保護作用��。但是此技術的應用也具有一定的局限性,因為數據加密技術并不能適合于所有的服務器,或是操作得系統使用����。
4��、生物識別技術。其生物識別技術,起初是機械密鑰的使用發展�,然后是數字密鑰的應用和發展����,最后經過優化發展到了生物識別技術����,它是利用人體獨特的身體特征�����,在利用網絡系統操作時���,對于其進行身份驗證��;尤其是指紋識別、聲音識別等身體特征驗證����,是有效的通過外設���,獲得身體體征的數字圖像���,然后再輸入到計算機系統中��,當用戶進行系統操作時,就會對于信息以及數據庫等起到很好的保護作用��。隨著科學技術不斷的發展���,我國生物識別技術��,已經從指紋發展到了視網膜����、骨架等身份識別技術�����,從而更好的保證信息的完整性��、保密性以及安全性。
總結:綜上所述��,通過對于計算機安全技術的分析�����,發現對于計算機網絡技術的防護�,主要是對于病毒����、木馬、漏洞以及黑客技術的預防����,對此結合計算機網絡完全的標準��,合理的利用防火墻技術、加密技術����、智能卡技術�、生物識別技術�,與此同時,最主要的還是要有效的提升計算機用戶的網絡安全防護意識��,通過靈活的應用網絡安全防護技術��,正確操作計算機系統是非常必要的��,從而更好的保證自身的財產利益不受到侵害。
參 考 文 獻
[1]楊晨.信息時代下計算機網絡安全技術初探[J].網絡安全技術與應用�,2014,01:108-109.
第9篇
[關鍵詞] 電子商務 加密技術 數字簽名
一、引言
隨著Internet的發展,電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動�。電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業信息��。電子商務安全問題是電子商務發展中的一個主要障礙。電子商務安全技術的應用為建立一個安全、便捷的電子商務應用環境,對商家和客戶的信息提供足夠的保護,起著關鍵性的作用����。
二�����、電子商務面臨的安全問題
1.信息的截獲和竊取
由于未采用加密措施,信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密���。
2.篡改信息
當入侵者掌握了信息的格式和規律后,通過各種技術手段和方法��,將網絡上傳送的信息數據在中途修改�����,然后再發向目的地�。
3.信息假冒
由于掌握了數據的格式����,并可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
4.交易抵賴
交易抵賴包括多個方面,如發信者事后否認曾經發送過某條信息或內容;收信者事后否認曾經收到過某條消息或內容���;購買者做了訂單不承認;商家賣出的商品因價格差而不承認原有的交易等。
5.惡意破壞
由于攻擊者可以接入網絡��,則可能對網絡中的信息進行修改��,掌握網上的機要信息���,甚至可以潛入網絡內部�,其后果是非常嚴重的��。
三、電子商務安全技術
1.密碼技術
密碼技術是信息安全的核心技術���。對信息安全的需求大部分可以通過密碼技術來實現�����。密碼技術包括加密、簽名認證和密鑰管理技術等���。
(1)加密技術。數據加密的基本過程就是對原來為明文的文件或數據按某種算法進行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應的密鑰之后才能顯示出本來內容,通過這樣的途徑來達到保護數據不被非法人竊取����、閱讀的目的��。加密技術通常分為兩大類:“對稱式”和“非對稱式”。加密技術是保證電子商務安全的重要手段,許多密碼算法現已成為網絡安全和商務信息安全的基礎����。
(2)數字簽名�����。在電子商務安全系統中,數字簽名技術占有重要的地位。在電子商務安全服務中的源鑒別、完整、不可否認服務中,都要用到數字簽名技術。數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的����。目前,數字簽名一般都通過單向Hash函數來實現,它可以驗證交易雙方數據的完整性����。通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性�。數字簽名技術將具有廣闊的應用前景,它將直接影響電子商務的發展。
(3)密鑰管理技術�。密鑰管理包括密鑰的產生�、存儲�、裝入����、分配、保護����、丟失�����、銷毀以及保密等內容。其中分配和存儲是最棘手的問題���。密鑰管理不僅影響系統的安全性,而且涉及系統的可靠性��、有效性和經濟性��。在用密碼技術保護的現代信息系統的安全性主要取決于對密鑰的保護���。密鑰管理技術主要包括:對稱密鑰管理;公開密鑰管理�����,第三方托管技術。
2.網絡安全技術
(1)防火墻技術�。防火墻可以根據網絡安全水平和可信任關系將網絡劃分成一些相對獨立的子網�����,兩側間的通信受到防火墻的檢查控制;可以根據既定的安全策略允許特定的用戶和數據包穿過�����,同時將安全策略不允許的用戶與數據包隔斷����,達到保護高安全等級的子網�、防止墻外黑客的攻擊、限制入侵蔓延等目的。防火墻具有以下五大基本功能:過濾進、出網絡的數據;管理進���、出網絡的訪問行為;封堵某些禁止行為�;記錄通過防火墻的信息內容和活動�;對網絡攻擊進行檢測和告警�����。目前的防火墻主要有兩種類型����。其一是包過濾型防火墻,其二是應用級防火墻�。
(2)虛擬專用網VPN技術�����。虛擬專用網VPN是一種特殊的網絡,它采用一種叫做“通道”或“數據封裝”的系統���,用公共網絡及其協議向貿易伙伴、顧客���、供應商和雇員發送敏感的數據。這種通道是Internet上的一種專用通道���,可保證數據在外部網上的企業之間安全地傳輸。在VPN中�����,只要通信的雙方默認即可���,沒有必要為所有的VPN進行統一的加密和認證?,F有的或正在開發的數據隧道系統可以進一步增加VPN的安全性����,因而能夠保證數據的保密性和可用性。VPN實現的關鍵技術是隧道技術、加密技術和QoS(服務質量)技術。
(3)入侵檢測技術���。入侵檢測技術是防火墻技術的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力�����,提高了信息安全基礎結構的完整性��。其最重要的價值之一是它能提供事后統計分析�,所有安全事件或審計事件的信息都將被記錄在數據庫中�,通過從各個角度對這些事件進行分析歸類,可以總結出被保護網絡的安全狀態的現狀和趨勢,及時發現網絡或主機中存在的問題或漏洞,并可歸納出相應的解決方案。入侵檢測的主要方法有:靜態配置分析,異常性檢測方法����、基于行為的檢測方法及幾種方法的組合�����。
(4)安全交易協議。除了各種安全控制技術之外�����,電子商務的運行還需要一套完整的安全交易協議�����。不同交易協議的復雜性���、開銷、安全性各不同���。同時,不同的應用環境對協議目標的要求也不盡相同����。目前��,比較成熟的協議有安全套接層協議(SSL)和安全電子交易協議(SET)。
三�、小結
用于保護電子商務的安全控制技術很多����,并非把這些技術簡單地組合就可以得到安全�。但是通過合理應用安全控制技術,并進行有機結合�,就可從技術上實現系統�����、有效的電子商務安全�����。
參考文獻:
[1]張立克:電子商務及其安全保障技術[J].水利電力機械,2007,29(2):69~74
[2]祝凌曦:電子商務安全[D].北京:清華大學出版社,2006
第10篇
[關鍵詞]防火墻;安全威脅���;數據包過濾;地址翻譯
[中圖分類號]G642 [文獻標識碼]A [文章編號]1671-5918(2016)08-0125-02
doi:10.3969/j.issn.1671-5918.2016.08.058[本刊網址]http://
一����、概述
經濟基礎決定上層建筑��,日益提升的國民經濟使得人們迫切希望在基礎設施建設和精神文明建設方面得到更高的發展。科學技術水平的不斷提高�����,使得計算機成為了千家萬戶必不可少的基礎設備����,而與之對應的互聯網絡的應用也隨之廣泛����。當前我國社會已經步入了信息時代,數字化��、網絡化�����、信息化的處理方式已經是當前的主要潮流�����,也必然是日后各行各業快速發展所依賴的必需設施,互聯網絡的開放性���、共享性等基本特性都為人們的日常生產生活帶來了極大的便利,讓人們時時刻刻享受著更加優質的生活�。然而����,互聯網絡的快速發展也為其自身的安全性埋下了隱患�,其自身的開發特性和共享特性,不僅方便了廣大的合法網民來享受網絡的便利服務�,同時也為網絡惡意攻擊者提供了可乘之機����。網絡惡意攻擊者利用網絡中存在的安全漏洞��,根據自己特定的意圖非法獲取網絡中的資源,以達到自己惡意的攻擊目的,為社會的安定團結以及企業的經濟發展都帶來了很大的威脅和挑戰���,如何有效地拒絕惡意攻擊者的攻擊鏈,有效地相應網民的合法請求,是當前互聯網絡亟須解決的難題��。防火墻安全技術就是針對網絡非法訪問請求的問題而興起的網絡安全技術����,是提升當前互聯網絡安全等級、保護私密數據信息和網絡設備資源的有效手段,對于有效地防御網絡惡意攻擊起到了決定性作用。
二、網絡面臨的安全威脅
其實我們的互聯網絡是非常脆弱的���,它無時無刻不在受到各種各樣的威脅。整體看來,互聯網絡受到的安全威脅主要分為兩類。第一類是包括地震�、山洪����、海嘯等自然災害或者火災等人為的意外事故外部安全威脅��,另一類則是網絡內部的惡意攻擊�、木馬病毒感染��、數據泄露或損壞�、網絡黑客非法入侵等各種內在的網絡威脅��。相對于第一類來說�,第二類安全威脅更加難以預防和抵御,也為整個互聯網絡的安全應用帶來了極大的挑戰。
就一般的網絡攻擊而言��,形式各種各樣���,但是總體看來主要包括以下幾個方面:(1)網絡竊聽�,即方法記錄網絡其他用戶的傳輸數據、私密文件�、鍵盤敲擊記錄等��;(2)網絡欺騙,即通過各種方法手段來篡改或改變合法資源��,最終實現獲取關鍵數據信息的社會工程學攻擊手段�����;(3)拒絕服務攻擊,主要是利用軟件中或者網絡協議中存在的安全漏洞,通過資源耗盡的方式或者其他欺騙手段�,使正常服務的設備不能對合法的請求進行相應的攻擊手段�����;(4)數據攻擊,主要包括利用程序或者系統中的安全漏洞實現SQL注入、XSS攻擊、緩沖區溢出攻擊等各種攻擊形式。
而這些網絡攻擊的具體實現,則是通過各種技術或者工具來實現。網絡竊聽或欺騙���,大都使用木馬或其他惡意代碼片段,通過植入正常合法的程序或者系統中運行�,最終為網絡攻擊者提供了攻擊后門或者將系統的接口或基本信息反彈到惡意攻擊者的電腦上�����,然后通過執行攻擊代碼或者指令實現對網絡設備的控制或者實現對內部核心數據的竊取等攻擊目的。拒絕服務攻擊即為DoS攻擊或DDoS攻擊���,一般實現手段是借助一些第三方的攻擊工具,是提供正常服務的服務器不能在響應合法用戶的合法請求�。有的是利用分布式的攻擊電腦向目標機器發送大量類似合法的請求�,從而將服務器的資源耗盡�����,進而拒絕合法用戶的請求�,有的則是利用服務器自身軟件或者協議的軟件漏洞�,發送特殊的TCP或IP數據包,使服務器停滯或者死機,進而不能提供正常的服務����。除此之外�,針對網絡的工具手段五花八門�,攻擊方法和形式也多種多樣,這些網絡攻擊手段都時時刻刻威脅著互聯網絡用戶和網絡數據的安全。
三、防火墻的關鍵技術
理想的互聯網絡���,首先是安全的,也就是說在整個應用過程中,互聯網絡能夠提供不間斷的網絡服務��,同時能夠保障互聯網絡傳輸的數據信息的完整性�����、保密性、真實性等��,如果想要實現這些特性�,則是需要從計算機科學、密碼學��、信息安全技術�、應用數據技術等諸多領域人手,來開展互聯網絡安全可靠的實施工作����。而防火墻安全技術則是其中應用最為廣泛的安全技術之一���。
防火墻技術是一種隔離技術��,也是一種邊界安全技術,即通過關鍵的技術手段將存在安全威脅的網絡攻擊隔離在外�,將自己私有的局域網絡或者私密的數據保護起來的一種技術手段��。隨著科學技術的發展,防火墻技術也多種多樣����,針對不同的網絡��、服務器、網絡設備或者其他隔離目的���,可以采用不同的防火墻技術來實現����。
(一)數據包過濾技術
數據包過濾技術是指對互聯網中在路由跳轉的數據包進行有效篩選過濾的一種技術��。我們知道,不同局域網絡是通過廣域網連接起來的����,這就有了內網和外網的區別����,而防火墻就是搭建在內網與外網之間��,實現網絡隔離的技術����。如果外網的數據想要進入內網����,或者內網的數據想要進入外網,就必須先要經過防火墻過濾���,如果發送的數據包不符合某項數據包過濾的規則,那么該數據包就是一個可疑的數據包��,路由器將拒絕數據傳送��,從而有效地實現了內網與外網之間的隔離����。
此時的數據包過濾防火墻�����,其實就是一個帶有數據包過濾功能的路由器��,在網絡搭建時,對路由器進行過濾規則配置�,如添加可以TP等�����,當有符合規則的數據包發送過來��,防火墻就會采用相應的措施���。此時的防火墻�����,會對所有的內網到外網和外網到內網的數據包進行逐一過濾,以判斷其與過濾規則的匹配程度��,所以對于數據包過濾防火墻而言��,規則設置是非常重要的�����。值得注意的事,在網絡安全的數據包過濾規則設定時,可以采用白名單策略或者采用黑名單策略的方式來設置,這可以根據網絡安全需求以及安全等級要求來選擇�����。白名單策略是允許通過策略����,這個策略要相對嚴格很多,也就是說,在指定的規則里面�����,只有符合要求的才允許通過��,防火墻會繼續發送該數據包��,只要不在白名單規則內的數據包,防火墻一律丟棄你����。而黑名單策略則是拒絕通過策略����,這個策略要寬松很多����,也就是說,在指定的規則里面,只要符合黑名單規則里面的數據包�,防火墻一律丟棄�,只要不符合的數據包���,防火墻一律允許通過�。由于不在規則內的數據包類型非常多,所以黑名單允許通過的數據包要遠遠大于白名單允許通過的數據包。
(二)技術
技術是指在使用服務器的方式�����,將需要把保護的網絡資源隔離開來�����,來自外網的訪問請求��,首先需要發送到服務器,服務器經過相應的處理后再轉發給網絡系統或資源����。技術實現了內網與外網的有效隔離����,即使是外網有惡意攻擊者來攻擊保護資源�����,也需要首先經過服務器,而服務器自身的身份認證技術���、詳細日志記錄功能以及日志內容審計功能等,都是對內網資源有效的保護��。特別的��,技術的實現����,是通過服務器作為來操作的�����,那么該防火墻的設備性能是非常優越的�,可以在服務器上設置非常強大的安全規則和審計����,從而有效地保障內網與外網之間的隔離,使內網資源得到有效保護���。
(三)IP地址翻譯技術
在互聯網絡中,每一個計算機的唯一標識就是IP地址�,即每個計算機想要訪問公網資源�����,必須具有獨立IP地址。然而IPv4地址資源已經用完這已經是一個現實�,在公網上面�����,已經沒有閑置的IPv4供其他局域網的用戶使用����,這就給當前互聯網絡的規模擴充帶來了極大的限制。當然,現在IPv6協議的出現基本上解決了IP資源枯竭的問題��,然而防火墻IP地址翻譯技術也在一定程度上,緩解了IPv4資源枯竭帶來的問題�����。
一般的����,一個局域網只會從公網上分配若干個IP地址資源,根據這些IP資源�,來確定該局域網在互聯網絡中的唯一性����。而局域網絡內部�����,則是使用自己的網關和掩碼���,這樣一來�����,局域網內的計算機在某個特定的IPv4網段內部,數據急劇增加。然后TCP/IP協議是實現互聯網絡中兩個計算機的進程之間的數據傳輸�����,也是通過IP來識別的��,在不同局域網絡中的計算機的識別,則是通過IP地址翻譯技術來實現的。
四�、防火墻安全方案部署
針對防火墻的部署���,是實現安全邊界的部署����,主要是在想保護和隔離的資源邊界部署防火墻�����。一般的�,防火墻的部署主要在三個區域��,第一個區域在外網與內網的交界處設置防火墻��,這樣從外網到內網的數據以及從內網到外網的數據傳輸都會被防火墻的安全規則過濾,并且按照相應的策略進行處理,進而實現網絡惡意攻擊的有效隔離�;第二層防火墻一般部署在局域網中的服務器與局域網絡之間�����,實現系統服務器與局域網絡的隔離,服務器提供的服務為專門的服務器�,防火墻可以實現對局域網訪問用戶的身份認證以及相關操作和訪問的日志記錄�����,并且對訪問日志進行安全審計以主動抵御網絡安全攻擊;第三層是在數據庫服務器與應用服務器之間設置防火墻�,很多局域網系統的核心價值是企業的數據信息��,在應用服務器與數據庫服務器之間設置防火墻可以有效地加強整個應用系統對數據訪問的控制����,如果是非授權訪問或惡意操作,防火墻都會將該請求丟棄掉而拒絕發送�����,從而有效地保障核心數據的安全���。
第11篇
關鍵詞:計算機網絡;網絡安全�;安全技術
1個人計算機網絡安全
1.1個人計算機在網絡中所遭受攻擊與入侵手法的分析
(1)安全漏洞����。
許多系統都有這樣那樣的安全漏洞。其中一些是操作系統或應用軟件本身具有的,如TCP/IP協議的缺陷常被用于發動拒絕服務入侵或攻擊���。這種攻擊的目的通常是消耗帶寬或消耗網絡設備的CPU和內存����。入侵者通過向目標服務器發送大量的數據包,并幾乎占取和消耗該服務器所有的網絡帶寬,從而使其無法對正常的服務請求進行處理,導致網站無法進入,網站響應速度大大降低或服務器癱瘓��。對個人上網用戶而言,可能遭到大量數據包的入侵使其無法進行正常操作����。
(2)電子郵件入侵方式�����。
電子郵件是Internet上運用得十分廣泛的一種通訊方式,入侵者往往會使用一些郵件炸彈或CGI程序向目標郵箱發送大量內容重復�、無用的垃圾郵件,從而使目標郵箱被塞滿而無法使用���。
(3)防范特洛伊木馬程序�。
特洛伊木馬程序是一種黑客軟件程序,它可以直接侵入計算機系統的服務器端和用戶端。一旦用戶打開附有該程序的郵件或從網上直接下載的程序后,它們就會像古特洛伊人在敵人城外留下藏滿士兵的木馬一樣留在用戶計算機中,當用戶連接Internet時,此程序會自動向入侵者報告用戶主機的IP地址及預先設定的端口。網絡入侵者在獲取這些信息后,就可任意修改用戶主機的參數設定����、復制文件、窺視硬盤中的內容信息等,從而達到控制目的����。
1.2對網絡攻擊與入侵進行防御的方法
(1)把Guest賬號禁用�����。
打開控制面板,雙擊“用戶和密碼”,單擊“高級”選項卡,再單擊“高級”按鈕,彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵,選擇屬性,在“常規”頁中選中“賬戶已停用”����。另外,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機安全�。
(2)禁止建立空連接����。
具體方法是打開注冊表“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA”,將DWORD值“RestrictAnonymous”的鍵值改為“1”即可,
(3)刪除不必要的協議。
鼠標右擊“網絡鄰居”,選擇“屬性”,卸載不必要的協議,其中NETBIOS是很多安全缺陷的根源,對于不需要提供文件和打印共享的主機,還可以將綁定在TCP/IP協議的NETBIOS關閉,避免針對NETBIOS的攻擊�。選擇“TCP/IP協議/屬性/高級”,進入“高級
TCP/IP設置”對話框,選擇“WIN”標簽,選擇“禁用TCP/IP上的NETBIOS”一項,關閉NETBIOS�����。
(4)保障電子郵件的使用安全。
①選擇安全可靠的郵件服務����。
目前,Internet上提供的Email賬戶大都是免費賬戶,這些免費的服務不提供任何有效的安全保障,有的免費郵件服務器常會導致郵件受損��。因此最好選擇收費郵件賬戶。
②確保郵件賬號的安全防范�。
首先要保護好郵箱的密碼��。不要使用保存密碼功能以圖省事,入網賬號與口令應重點保護。設置的口令不要太簡單,最好采用8位數���。
③對重要郵件信息加密處理。
可使用某些工具如A-LOCK,在發送郵件之前對內容進行加密,對方收到加密信件后必須采用A-LOCK解密后方可閱讀,可防止郵件被他人截獲而泄密���。
(5)防范特洛伊木馬程序常用的方法。
①預防特洛伊木馬程序�。
在下載文件時先放到自己新建的文件夾里,再用殺毒軟件來檢測,起到提前預防的作用。盡量避免下載可疑軟件,對于網上某些可疑的,誘惑性動機比較明顯的軟件或信息,一般不要下載,以防染上“木馬”程序。
②禁止不明程序運行����。
在“開始”“運行”中msconfig,在“啟動”選項中查看有沒有可疑項目,去掉前面的勾��。
2網絡安全技術在商業領域中的研究及應用
2.1防火墻技術
防火墻技術和數據加密傳輸技術將繼續沿用并發展,多方位的掃描監控、對后門渠道的管理����、防止受病毒感染的軟件和文件的傳輸等許多問題將得到妥善解決����。未來防火墻技術會全面考慮網絡的安全��、操作系統的安全����、應用程序的安全、用戶的安全、數據的安全���,五者綜合應用。在產品及功能上,將擺脫目前對子網或內部網管理方式的依賴�����,向遠程上網集中管理方式發展����,并逐漸具備強大的病毒掃除功能;適應IP加密的需求�,開發新型安全協議���,建立專用網(VPN)�;推廣單向防火墻�����;增強對網絡攻擊的檢測和預警功能;完善安全管理工具,特別是可疑活動的日志分析工具,這是新一代防火墻在編程技術上的革新。
2.2生物識別技術
隨著21世紀的來臨,一種更加便捷����、先進的信息安全技術將全球帶進了電子商務時代����,它就是集光學���、傳感技術�����、超聲波掃描和計算機技術于一身的第三代身份驗證技術——生物識別技術����。
生物識別技術是依靠人體的身體特征來進行身份驗證的一種解決方案���,由于人體特征具有不可復制的特性����,這一技術的安全系數較傳統意義上的身份驗證機制有很大的提高。人體的生物特征包括指紋、聲音、面孔、視網膜�、掌紋���、骨架等���,而其中指紋憑借其無可比擬的唯一性����、穩定性����、再生性倍受關注�。
2.3加密及數字簽名技術
加密技術的出現為全球電子商務提供了保證,從而使基于Internet上的電子交易系統成為了可能����,因此完善的對稱加密和非對稱加密技術仍是21世紀的主流���。對稱加密是常規的以口令為基礎的技術��,加密運算與解密運算使用同樣的密鑰。
不對稱加密�����,即“公開密鑰密碼體制”�,其中加密密鑰不同于解密密鑰,加密密鑰公之于眾���,誰都可以用,解密密鑰只有解密人自己知道��,分別稱為“公開密鑰”和“秘密密鑰”。
目前���,廣為采用的一種對稱加密方式是數據加密標準(DES)。在電腦網絡系統中使用的數字簽名技術將是未來最通用的個人安全防范技術���,其中采用公開密鑰算法的數字簽名會進一步受到網絡建設者的親睞。這種數字簽名的實現過程非常簡單:①發送者用其秘密密鑰對郵件進行加密����,建立了一個“數字簽名”�,然后通過公開的通信途徑將簽名和郵件一起發給接收者��,接收者在收到郵件后使用發送者的另一個密匙——公開密鑰對簽名進行解密,如果計算的結果相同他就通過了驗證����。數字簽名能夠實現對原始郵件不可抵賴性的鑒別�����。②多種類型的專用數字簽名方案也將在電子貨幣、電子商業和其他的網絡安全通信中得到應用����。
參考文獻
[1]熊桂喜,王小虎譯.計算機網絡(第3版)[M].
[2]王釗,蔣哲遠,胡敏.電子商務[M].
第12篇
【關鍵詞】遠程教育���;安全技術�����;信息加密
【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158(2012)11-0082-01
一、網絡安全
網絡的安全是指通過采用各種技術和管理措施���,使網絡系統正常運行,從而確保網絡數據的可用性����、完整性和保密性�。網絡安全的具體含義會隨著“角度”的變化而變化����。比如:從用戶(個人、企業等)的角度來說����,他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性�、完整性和真實性的保護�����。如何保證網絡是安全的呢,從以下四個方面進行詳細說明:
1�、信息加密技術
數據加密技術主要分為數據傳輸加密和數據存儲加密����。數據傳輸加密技術主要是對傳輸中的數據流進行加密�����,常用的有鏈路加密����、節點加密和端到端加密三種方式��。
鏈路加密是傳輸數據僅在物理層前的數據鏈路層進行加密��,不考慮信源和信宿,它用于保護通信節點間的數據,接收方是傳送路徑上的各臺節點機,信息在每臺節點機內都要被解密和再加密,依次進行�,直至到達目的地�。
與鏈路加密類似的節點加密方法���,是在節點處采用一個與節點機相連的密碼裝置�����,密文在該裝置中被解密并被重新加密�����,明文不通過節點機��,避免了鏈路加密節點處易受攻擊的缺點��。
端到端加密是為數據從一端到另一端提供的加密方式�����。數據在發送端被加密,在接收端解密,中間節點處不以明文的形式出現。端到端加密是在應用層完成的�����。在端到端加密中����,除報頭外的的報文均以密文的形式貫穿于全部傳輸過程,只是在發送端和接收端才有加、解密設備�����,而在中間任何節點報文均不解密�,因此,不需要有密碼設備�����,同鏈路加密相比�,可減少密碼設備的數量。另一方面�,信息是由報頭和報文組成的��,報文為要傳送的信息,報頭為路由選擇信息���,由于網絡傳輸中要涉及到路由選擇,在鏈路加密時����,報文和報頭兩者均須加密�。而在端到端加密時����,由于通道上的每一個中間節點雖不對報文解密����,但為將報文傳送到目的地,必須檢查路由選擇信息����,因此��,只能加密報文,而不能對報頭加密����。這樣就容易被某些通信分析發覺�,而從中獲取某些敏感信息��。
二�、網絡安全策略
(1)建防火墻技術
防火墻技術是目前業已普遍采用的重要網絡安全技術����,它不僅能夠在網絡人口處檢查網絡通訊,并且根據客戶設定的安全規則在保護內部網絡安全的前提下��,保障內外網絡通訊���,而且能夠在在網絡出口處有效隔離內部網絡與外部網絡�����,能使所有來自外部網絡的訪問請求都要通過防火墻的檢查���。因此,構建防火墻,能有效提高內部網絡的安全。
(2保證機房及網絡環境的物理安全
對于容易受外界因素(雷電�、電磁輻射���、電壓波動等)損壞的設備����,可從如下幾個方面加強實體安全保護:一是采取良好的屏蔽及避雷措施,防止雷電和工業射電干擾���;二是采用穩壓電源和不間斷電源UPS,防止電壓波動或突然斷電引起設備損壞或數據丟失���;三是安裝報警器、各種監視系統及安全門鎖等防止設備被盜�����;四是按計算機安全場地要求采取防火�、防水、防塵���、防震、防靜電等技術措施�����,采取電磁屏蔽及良好接地等手段�����,使系統中的設備既不因外界或其他設備的電磁干擾而影響其正常工作���,也不因其自身的電磁輻射影響周圍其他設備的正常工作����;五是采用新技術(如TEMPEST技術)防止電磁泄漏�����,需采取設計低輻射的設備和電磁屏蔽等措施防止電磁泄漏。
(3)運用入侵檢測技術防止內外網攻擊
入侵檢測系統也是一種應用成熟的網絡安全技術,目的是提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤和恢復����、斷開網絡連接等����,它不僅能夠對付來自內外網絡的攻擊����,而且能夠縮短黑客入侵的時間。
(4)劃分VLAN���,并做到IP和MAC地址綁定
在校園網中,連接的用戶群體非常復雜�。學校網絡管理部門盡量把不同的區域劃分為不同的內部網段(VLAN)���,把學生機房和服務器區����、教師辦公室�、學生宿舍、圖書館�����、家屬區等獨立開來�����。同時,為了防止校園網中IP地址盜用和IP地址沖突����,可以在交換機或其他網絡設備上捆綁IP和MAC地址�����,使每個IP地址對應一個MAC地址��,如果在硬件上無法實現捆綁,還可以用專用的工具軟件來實現��。
(5)病毒防護系統策略:由于病毒的種類和傳播媒介每天都在不斷翻新���,現在的病毒更多地通過網絡共享文件���,電子郵件及Intemet/Intranet進行擴散�。我們對該大學遠程教育系統在網絡中配備病毒防護系統,進行全網的防毒��、殺毒��,并為由此提出了—套完整的防病毒解決方案��。通過采用整體防病毒解決方案大大簡化網管人員的工作,降低了該?��?倱碛谐杀荆═CO)。
(6)頁面保護系統策略:我們建議使用頁面保護系統,這樣可以隨時對主頁系統進行監控�����,當發現主頁被非法篡改后�,會馬上產生響應,自動把主頁恢復正常����。此策略配置范圍覆蓋省、各市局域網�,產品采用天融信公司NG FW防火墻的webguard頁面恢復模塊�����。本系統主要xCweb服務器頁面進行安全保護,即將需要進行保護的頁面進行備份及校驗�����,并定時檢查校驗和�,一旦發現頁面文件被非法修改,則及時報告管理員恢復頁面或進行自動恢復��,以免造成較大影響
(7)安全評估系統策略:采用安全評估系統���,用專業公司做出的相應軟件�,對系統進行掃描并提出合理性評估意見、報告以及解決辦法��,并定期對網絡系統進行安全性分析��,及時發現并修正動態運行的網絡系統中存在的弱點和漏洞��,有效地防止了黑客攻擊。該策略掃描分析能力強大,能給用戶建議保證系統安全的安全策略����,最大限度地保證用戶信息系統的安全���。
