時間:2022-03-15 21:04:25
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全技術論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
常永亮
(飛行試驗研究院測試所陜西西安710089)
【摘要】Internet是一種開放和標準的面向所有用戶的技術,其資源通過網絡共享,因此,資源共享和信息安全就成了一對矛盾。
【關鍵詞】網絡攻擊、安全預防、風險分析、網絡安全
1.引言
隨著網絡的迅速發展,網絡的安全性顯得非常重要,這是因為懷有惡意的攻擊者竊取、修改網絡上傳輸的信息,通過網絡非法進入遠程主機,獲取儲存在主機上的機密信息,或占用網絡資源,阻止其他用戶使用等。然而,網絡作為開放的信息系統必然存在眾多潛在的安全隱患,因此,網絡安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。
一般來說,計算機系統本身的脆弱性和通信設施的脆弱性再加上網際協議的漏洞共同構成了網絡的潛在威脅。隨著無線互聯網越來越普及的應用,互聯網的安全性又很難在無線網上實施,因此,特別在構建內部網時,若忽略了無線設備的安全性則是一種重大失誤。
2.網絡攻擊及其防護技術
計算機網絡安全是指計算機、網絡系統的硬件、軟件以及系統中的數據受到保護,不因偶然或惡意的原因遭到破壞、泄露,能確保網絡連續可靠的運行。網絡安全其實就是網絡上的信息存儲和傳輸安全。
網絡的安全主要來自黑客和病毒攻擊,各類攻擊給網絡造成的損失已越來越大了,有的損失對一些企業已是致命的,僥幸心里已經被提高防御取代,下面就攻擊和防御作簡要介紹。
2.1常見的攻擊有以下幾類:
2.1.1入侵系統攻擊
此類攻擊如果成功,將使你的系統上的資源被對方一覽無遺,對方可以直接控制你的機器。
2.1.2緩沖區溢出攻擊
程序員在編程時會用到一些不進行有效位檢查的函數,可能導致黑客利用自編寫程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾,這樣當發生緩沖區溢出時,從而破壞程序的堆棧,使程序轉而執行其它的指令,如果這些指令是放在有root權限的內存中,那么一旦這些指令得到了運行,黑客就以root權限控制了系統,這樣系統的控制權就會被奪取,此類攻擊在LINUX系統常發生。在Windows系統下用戶權限本身設定不嚴謹,因此應比在LINUX系統下更易實現。
2.1.3欺騙類攻擊
網絡協議本身的一些缺陷可以被利用,使黑客可以對網絡進行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。
2.1.4拒絕服務攻擊
通過網絡,也可使正在使用的計算機出現無響應、死機的現象,這就是拒絕服務攻擊,簡稱DoS(DenialofService)。
分布式拒絕服務攻擊采用了一種比較特別的體系結構,從許多分布的主機同時攻擊一個目標,從而導致目標癱瘓,簡稱DDoS(DistributedDenialofService)。
2.1.5對防火墻的攻擊
防火墻也是由軟件和硬件組成的,在設計和實現上都不可避免地存在著缺陷,對防火墻的攻擊方法也是多種多樣的,如探測攻擊技術、認證的攻擊技術等。
2.1.6利用病毒攻擊
病毒是黑客實施網絡攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預見性和破壞性等特性,而且在網絡中其危害更加可怕,目前可通過網絡進行傳播的病毒已有數萬種,可通過注入技術進行破壞和攻擊。
2.1.7木馬程序攻擊
特洛伊木馬是一種直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限,安裝此程序的人就可以直接遠程控制目標系統。
2.1.8網絡偵聽
網絡偵聽為主機工作模式,主機能接受到本網段在同一條物理通道上傳輸的所有信息。只要使用網絡監聽工具,就可以輕易地截取所在網段的所有用戶口令和帳號等有用的信息資料。
等等。現在的網絡攻擊手段可以說日新月異,隨著計算機網絡的發展,其開放性、共享性、互連程度擴大,網絡的重要性和對社會的影響也越來越大。計算機和網絡安全技術正變得越來越先進,操作系統對本身漏洞的更新補救越來越及時。現在企業更加注意企業內部網的安全,個人越來越注意自己計算機的安全。可以說:只要有計算機和網絡的地方肯定是把網絡安全放到第一位。
網絡有其脆弱性,并會受到一些威脅。因而建立一個系統時進行風險分析就顯得尤為重要了。風險分析的目的是通過合理的步驟,以防止所有對網絡安全構成威脅的事件發生。因此,嚴密的網絡安全風險分析是可靠和有效的安全防護措施制定的必要前提。網絡風險分析在系統可行性分析階段就應進行了。因為在這階段實現安全控制要遠比在網絡系統運行后采取同樣的控制要節約的多。即使認為當前的網絡系統分析建立的十分完善,在建立安全防護時,風險分析還是會發現一些潛在的安全問題,從整體性、協同性方面構建一個信息安全的網絡環境。可以說網絡的安全問題是組織管理和決策。
2.2防御措施主要有以下幾種
2.2.1防火墻
防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障,用于保護企業內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點,對進、出內部網絡的服務和訪問進行控制和審計。
2.2.2虛擬專用網
虛擬專用網(VPN)的實現技術和方式有很多,但是所有的VPN產品都應該保證通過公用網絡平臺傳輸數據的專用性和安全性。如在非面向連接的公用IP網絡上建立一個隧道,利用加密技術對經過隧道傳輸的數據進行加密,以保證數據的私有性和安全性。此外,還需要防止非法用戶對網絡資源或私有信息的訪問。
2.2.3虛擬局域網
選擇虛擬局域網(VLAN)技術可從鏈路層實施網絡安全。VLAN是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網,即一個邏輯廣播域,它可以覆蓋多個網絡設備,允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。該技術能有效地控制網絡流量、防止廣播風暴,還可利用MAC層的數據包過濾技術,對安全性要求高的VLAN端口實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網,也無法得到整個網絡的信息,但VLAN技術的局限在新的VLAN機制較好的解決了,這一新的VLAN就是專用虛擬局域網(PVLAN)技術。
2.2.4漏洞檢測
漏洞檢測就是對重要計算機系統或網絡系統進行檢查,發現其中存在的薄弱環節和所具有的攻擊性特征。通常采用兩種策略,即被動式策略和主動式策略。被動式策略基于主機檢測,對系統中不合適的設置、口令以及其他同安全規則相背的對象進行檢查;主動式策略基于網絡檢測,通過執行一些腳本文件對系統進行攻擊,并記錄它的反應,從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性的一個評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分。漏洞檢測系統是防火墻的延伸,并能有效地結合其他網絡安全產品的性能,保證計算機系統或網絡系統的安全性和可靠性。
2.2.5入侵檢測
入侵檢測系統將網絡上傳輸的數據實時捕獲下來,檢查是否有黑客入侵或可疑活動的發生,一旦發現有黑客入侵或可疑活動的發生,系統將做出實時報警響應。
2.2.6密碼保護
加密措施是保護信息的最后防線,被公認為是保護信息傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應用,但隨著計算機性能的飛速發展,破解部分公開算法的加密方法已變得越來越可能。因此,現在對加密算法的保密越來越重要,幾個加密方法的協同應用會使信息保密性大大加強。
2.2.7安全策略
安全策略可以認為是一系列政策的集合,用來規范對組織資源的管理、保護以及分配,已達到最終安全的目的。安全策略的制定需要基于一些安全模型。
2.2.8網絡管理員
網絡管理員在防御網絡攻擊方面也是非常重要的,雖然在構建系統時一些防御措施已經通過各種測試,但上面無論哪一條防御措施都有其局限性,只有高素質的網絡管理員和整個網絡安全系統協同防御,才能起到最好的效果。
以上大概講了幾個網絡安全的策略,網絡安全基本要素是保密性、完整性和可用,但網絡的安全威脅與網絡的安全防護措施是交互出現的。不適當的網絡安全防護,不僅可能不能減少網絡的安全風險,浪費大量的資金,而且可能招致更大的安全威脅。一個好的安全網絡應該是由主機系統、應用和服務、路由、網絡、網絡管理及管理制度等諸多因數決定的,但所有的防御措施對信息安全管理者提出了挑戰,他們必須分析采用哪種產品能夠適應長期的網絡安全策略的要求,而且必須清楚何種策略能夠保證網絡具有足夠的健壯性、互操作性并且能夠容易地對其升級。
隨著信息系統工程開發量越來越大,致使系統漏洞也成正比的增加,受到攻擊的次數也在增多。相對滯后的補救次數和成本也在增加,黑客與反黑客的斗爭已經成為一場沒有結果的斗爭。
3.結論
網絡安全的管理與分析現已被提到前所未有的高度,現在IPv6已開始應用,它設計的時候充分研究了以前IPv4的各種問題,在安全性上得到了大大的提高,但并不是不存在安全問題了。在WindowsVista的開發過程中,安全被提到了一個前所未有的重視高度,但微軟相關負責人還是表示,"即使再安全的操作系統,安全問題也會一直存在"。
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。因此只有完備的系統開發過程、嚴密的網絡安全風險分析、嚴謹的系統測試、綜合的防御技術實施、嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才等各方面的綜合應用才能完好、實時地保證信息的完整性和正確性,為網絡提供強大的安全服務——這也是網絡安全領域的迫切需要。
參考文獻
[1]《網絡綜合布線系統與施工技術》黎連業著
隨著網絡技術的快速發展,其面臨的安全性問題也越來越嚴峻,我平時應用比較多的傳統防火墻在如今的網絡中總會存在這樣那樣的漏洞,其主要表現在以下幾個方面:第一,傳統的防火墻無法像智能防火墻,根據網絡和網絡信息的狀態自動調整規則。第二,傳統的防火墻是很難制定規則,如包過濾防火墻,雖然效率較高,但難以制定規則。有一種應用防火墻它雖然可以制定規則,但其效率又很低。第三,傳統的防火墻沒有主動過濾和屏蔽功能,對沒有記錄信息的攻擊和危險程序無法進行阻攔。第四,傳統的防火墻對信息的過濾相對比較單一,而且無法利用這些信息。第五,傳統的防火墻的攔截能力非常有限,只能對一些相對簡單的情況進行攔截,不具備深度檢測功能。
2、INTRANET條件下,智能型防火墻的工作原理
當內網互聯主機與互聯網主機連接時,需要使用相應的IP地址,反之當互聯網主機與內網互聯主機連接時,需要通過網關映射到內網主機。這將使互聯網網絡無法看到內部網的網絡,而且內部網的網絡將自己躲了起來。此外,DMZ中堡壘主機過濾管理程序可以順利通過安全通道,并與內部網中的智能認證服務器進行互相通信,而且通信的信息都是秘密進行的。由于智能認證服務器能夠進行秘密通信,因此它可以修改內外路由器表,也可以調整制定過濾規則。在智能防火墻中的智能認證服務程序和應用過濾管理程序可以互相協調,不僅可以在堡壘主機上運行,還可以在服務器上運行。
3、INTRANET條件下智能型防火墻的網絡安全技術實現方式
3.1智能型防火墻堡壘主機及其實現方法
堡壘主機起著連接內部網和互聯網的作用,它的作用非常重要,但是它容易受到攻擊,因此我必須要對其做好安全性保護,首先我們對堡壘主機操作系統——Linux操作系統,做了非常縝密的安全化處理,其具體方法是:對于SMTP,FTP,HTTP等的基本網路服務進行保留,對他們的源代碼進行重新改寫,使它們中的過濾功能從中分離出來,建立一個新的模塊,這個模塊被稱為:應用過濾管理器模塊,讓這個模塊運行在堡壘主機上,統一調度管理所有的應用服務。應用過濾管理器的主要功能是對所有經過堡壘主機的信息進行攔截,然后從下至上對其經過協議的信息進行逐層分析,并對相對安全的數據進行存儲,最后秘密地傳達給智能認證服務器,讓智能認證服務器對這些信息進行分析處理,分析完之后再秘密地傳回給應用過濾管理器,然后應用過濾管理器根據分析結果對應用過濾功能進行重新配置,同時激發相應進行工作。
3.2智能型防火墻的智能認證服務器及實現方法
智能認證服務程序和網絡數據庫是智能認證服務器的核心,智能認證服務器是通過信息驅動來進行操作的,如果外部主機訪問內部網絡,則需要外部路由器的數據審核,通過審核的信息才能順利達到DMZ網絡,對于內部網的信息請求,不需要經過內部路由器審核,它可以直接進入DMZ網絡,另外,還需要這些路由器是否制定過濾規則,如果制定了過濾規則,就不能進行信息傳達,并且這些信息也將被丟棄掉,但是,如果過濾規則允許進行傳輸,那么這些信息還需要通過防火墻。如果數據包和路由器制定的規則不一致,那么這個數據包將會被用過濾管理器攔截下來,然后從底層協議到上層協議對其進行分析,如果分析結果是具有安全性的,那么這個數據包將會被傳輸給智能認證服務器。智能認證服務器上的數據接收器就會把這些信息存儲到網絡安全數據庫中,網絡安全數據庫發生變化后,推理機就會自動進行工作,推理機就會使用安全專家知識庫里的信息對剛剛進入網絡安全數據庫中的這些信息進行分析、比較和推斷,看看是否能夠找出相關對應的數據,從而得出過濾方案,使網絡管理員能夠直觀的看到,方便網絡管理員根據實際情況作出相應的處理。這時原文發生器就會轉化其內部的代碼或者通過修改路由器表和過濾規則來實現內外主機通信;或者由過濾管理器通過修改過濾規則,將其傳輸到DMZ上的堡壘主機,堡壘主機中的應用過濾管理器對其過濾功能進行重新配置,激發其他應用進行工作。因此,智能型防火墻更能全面嚴格地進行安全控制。
4、結束語
我們在引用他人的論點、數據等內容載錄下來,在論文引用的地方標注出來,把它的來源作為參考文獻列出來就可以了。關注學術參考網,查看更多優秀的論文參考文獻,下面是小編整理的個關于校園網論文參考文獻,歡迎大家閱讀欣賞。
校園網論文參考文獻:
[1]張勝利.局域網內網格計算平臺構建[J].碩士學位論文,西北工業大學,2007.3.
[2]殷鋒,李志蜀,楊憲澤等.基于XML的校園網格應用研究[J].計算機應用研究,2007.12.
[3]殷鋒.網格關鍵技術及校園網格應用研究[M].西南交通大學出版社,2007.6.
[4]王海燕.基于.net的校園網格異構數據統一訪問接口[J].計算機工程,2010.6.
[5]韓旭東,陳軍,郭玉東,等.網格環境中基于Web服務的DAI中間件的設計與實現[J].計算機工程與設計,2007.5.
[6]鄭榮,馬世龍.網格環境下基于XML的異構數據集成系統[J].計算機工程,2008,34(22).
校園網論文參考文獻:
[1]李春霞,齊菊紅.校園網安全防御體系的相關技術及模型[J].自動化與儀器儀表,2014(1):122-124.
[2]智慧.計算機信息安全技術在校園網中的應用[J].信息安全與技術,2014(3):94-96.
[3]高楊.淺談網絡安全技術及其在校園網中的應用[J].科技與創新,2014(11):135.
[4]樊建永,薛濱瑞.網絡安全審計系統在校園網絡中的應用與研究[J].中國教育信息化,2011(7).
[5]李斌.學校網絡安全審計系統的研究與探索[J].中國管理信息化,2016(4).
校園網論文參考文獻:
[1]沈卓逸.校園網貸規范發展策略[J].金華職業技術學院學報,2016,(05):812.
[2]包艷龍.“校園網貸”發展情況調查與分析[J].征信,2016,(08):7375.
[3]謝留枝.如何解決大學生網貸出現的問題[J].經濟研究導刊,2016,(19):7374.
[4]林麗群.網貸視域下當代大學生科學消費觀培育探究[J].長江工程職業技術學院學報,2016,(03):4850.
[5]馬俊.淺談高校校園網的管理[J].長沙醫學院學報,2008(7):93.
1.1需精確地評估防火墻的失效狀況
任何軟件都有一定的生命周期,防火墻也有一定的生命周期,我們要正確的評估防火墻的使用效能,一旦防火墻失效,對網絡安全造成的后果無法想象。防火墻使用具有一定的級別,在被外界病毒等侵入時候具有一定的防御,我們在設置防火墻的功能時候要具有一定的科學性,當防火墻受到攻擊時候,能自動啟動防御功能,因此,我們在設置防火墻功能時候,要正確檢測防火墻是否失效功能要開啟,達到防火墻失效狀態正常評估。
1.2正確選擇、科學配置防火墻
防火墻功能的科學配置,是對網絡安全防御的重要保障,防火墻技術是網絡安全技術基于防火墻網絡安全技術的探究文/羅鵬 周哲韞進入新世紀以后,計算機網絡技術發展迅速,尤其Internet的發展應用,計算機網絡安全越來越重要,尤其一些政府部門網絡,科研等機構網絡如被黑客或病毒侵入,后果是非常嚴重的,在許多網絡安全技術應用中,防火墻技術室比較成熟的,本論文是從不同層面闡述防火墻網絡安全技術的應用。摘要中關鍵技術之一,在配置防火墻時候,要正確選擇,科學配置。防火墻技術是計算機網絡技術人才需要專門的培訓與學習,才能進行科學的配置,在配置防火時候具有一定的技巧,在不同環境,不同時期具有一定的應用,因此正確科學的配置防火墻沒有通式,必須在根據環境狀態下進行科學合理的配置,這樣才能使防火墻技術成為網絡安全技術中最后一道保障。
1.3有賴于動態維護
防火墻技術在網絡中應用,不是把防火墻軟件在計算機中安裝以后,進行一些配置以后就完事,管理員要對防火墻實時進行監控,看防火墻是否出現一些異常狀況,管理員還要與廠商經常保持密切聯系,是否有更新,任何在完美事物都有兩面性,要及時更新,彌補防火墻漏洞,防止計算機網絡被更新,因此防火墻技術是一種動態實時更新技術。
1.4搞好規則集的檢測審計工作
網絡安全技術最大的危險是自己,網絡管理員不能出現一點大意,在防火墻技術的應用過程中,要適時進行更新,彌補漏洞,還要定期進行一定的檢測和審計工作,用來評估網絡現在的安全性,以及在未來一段時間網絡的安全性,做好正確的評審工作,是網絡能長時間保持穩定的重要條件,實時檢測,實時維護是網絡安全的基本法則。
2防火墻網絡安全技術的實現方案
2.1設置內部防火墻,編制可靠的安全方案
在網絡安全防范的過程中,內部局域網一定要重視,當局域網中一臺機器出現病毒狀況,可能瞬間整個網絡出現癱瘓狀態,因此利用防火墻技術作為網絡安全的檢測,內部局域網防火墻要進行科學合理的設置,制定一個可行的安全方案,對整個局域網的網絡進行一定的保障。內部防火墻進行一定的分段,每個主機要有標準,但有一個統一的標準,標準時同樣的,這樣對網絡的檢測等有一定的依據,增強了網絡的安全性。
2.2合理設定外部防火墻,防范外網攻擊
經外部防火墻的設定,把內網同外網相分開,可防范外網攻擊行為。外部防火墻通過編制訪問策略,僅已被授權的主機方能訪問內網IP,使外網僅能訪問內網中同業務相關的所需資源。外部防火墻會變換地址,使外網無法掌握內網結構,阻斷了黑客攻擊的目標。外部防火墻的精確設定范圍要在內網和外網之間,防火墻對獲取的數據包加以剖析,把其中合法請求傳導到對應服務主機,拒絕非法訪問。
3防火墻技術的未來發展趨勢及前景
防火墻技術是網絡安全技術發展的必然產物,為不安全的網絡搭建一個安全的網絡平臺,網絡安全是不可預測的,防火墻技術也在日新月異的進行發展,防火墻技術的未來發展是廣泛的,能為網絡安全作出一定的貢獻,下面闡述一下防火墻技術的未來發展趨勢,引領網絡安全技術的發展。
3.1智能化
現在計算機的未來發展是網絡化、智能化,網絡安全問題的發展也比較快,對網絡安全的軟件要求也是越來越高,網絡上的病毒具有不可預見性,對防御病毒的軟件提出一個嶄新的要求,必須具有一定的智能化,就是防火墻自身具有很強的防御功能,不是人為的進行控制,智能化是網絡安全專家對防火墻技術的期盼,也是防火墻技術自身發展的需要,但防火墻技術實現智能化需要一定的時間,需要網絡安全專家不停努力的結果。
3.2擴展性能更佳
計算機網絡的快速發展,點到點客戶的快速發展,現在3G網絡已經向4G網絡發展,對防火墻的擴展型提出更好的要求,軟件技術的發展必須為未來的發展提出更好的要求,其擴展性具有一定發展,使防火墻技術能更好的為網絡安全服務,提高網絡安全服務的本領,減少病毒的入侵,提高網絡安全。
原文
引言
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候,我國將建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平臺。我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網絡安全技術的整體提高。
網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會各方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題。對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。
1.防火墻概述:
1.1什么是防火墻
防火墻是建立在兩個網絡邊界上的實現安全策略和網絡通信監控的系統或系統集,它強制執行對內部網絡(如校園網)和外部網絡(如Internet)的訪問控制。
......
目錄
引言:
1.防火墻概述
1.1什么是防火墻
1.2防火墻的四大功能
2.防火墻的分類
2.1從防火墻的軟、硬件形式劃分
2.2按照防火墻防御方式劃分
2.3按防火墻結構劃分
3.防火墻的選擇
3.1總擁有成本
3.2防火墻本身是安全的
3.3管理與培訓
3.4可擴充性
3.5防火墻的安全性
4.防火墻的發展前景
4.1在包過濾中引入鑒別授權機制
4.2復變包過濾技術
4.3虛擬專用防火墻(VPF)
4.4多級防火墻
結尾語
參考資料
參考文獻:
(1)張炯明.安全電子商務使用技術.北京.清華大學出版社.2002.4
(2)吳應良.電子商務概論.廣州.華南理工大學出版社.2003.8
(3)游夢良,李冬華.企業電子商務模式.廣州.廣東人民大學出版社.2001.10
(4)祁明.電子商務安全與保密[M].北京.高等教育出版社.2001.10
(5)王縝,葉林.電子商務中的安全技術.河北工業科技報.第4期.2002
論文摘要:隨著當代信息技術的發展,互聯網的共享性、開放性以及互聯程度也在不斷擴大。internet的廣泛普及,商業數字貨幣、網絡銀行等一部分網絡新業務的迅速興起,使得計算機網絡的安全問題越來越顯得重要,通過歸納總結,提出網絡信息中的一些安全防護策略。
1.引言
網絡環境的復雜性、多變性以及信息系統的脆弱性,決定了網絡安全威脅的客觀存在。當前,隨著計算機技術的飛速發展,利用因特網高科技手段進行經濟商業犯罪的現象已經屢見不鮮了,因此,如何采用更加安全的數據保護及加密技術,成為當前計算機工作者的研究熱點與重點。網絡安全技術,尤其是網絡信息的安全,關系到網民、企業甚至是國家的信息安全。因此,發展更加安全的網絡安全技術,是關系到社會經濟穩定繁榮發展的關鍵,成為當前計算機安全工作的重點。
2.網絡信息安全的風險來源
影響計算機網絡安全的因索很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結起來豐要以下幾個方面:
(1)病毒感染
從“蠕蟲”病毒開始到cih、愛蟲病毒,病毒一直是計算機系統安全最直接的威脅。病毒依靠網絡迅速傳播,它很容易地通過服務器以軟件下載、郵件接收等方式進入網絡,竊取網絡信息,造成很人的損失。
(2)來自網絡外部的攻擊
這是指來自局域網外部的惡意攻擊,例如:有選擇地破壞網絡信息的有效性和完整性;偽裝為合法用戶進入網絡并占用大量資源;修改網絡數據、竊取、破譯機密信息、破壞軟件執行;在中間站點攔截和讀取絕密信息等。
(3)來自網絡內部的攻擊
在局域網內部,一些非法用戶冒用合法用戶的口令以合法身份登陸網站后。竊取機密信息,破壞信息內容,造成應用系統無法運行。
(4)系統的漏洞及“后門”
操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。編程人員有時會在軟件中留有漏洞。一旦這個疏漏被不法分子所知,就會借這個薄弱環節對整個網絡系統進行攻擊,大部分的黑客入侵網絡事件就是由系統的“漏洞” 和“后門”所造成的。
3.網絡信息安全的防護策略
現在網絡信息安全的防護措施必不可少。從技術上來說,計算機網絡安全主要由防病毒、入侵檢測等多個安全組件組成,就此對我們常用的幾項防護技術分別進行分析。
3.1防火墻技術
防火墻(ifrewal1)是指設置在不同網絡或網絡安全域之間的系列部件的組合,它越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入internet網絡為甚。不同網絡或網絡安拿域之間信息都會經過它的過濾,防火墻就會根據自身的安全政策控制(允許、拒絕、監測)出入網絡的信息流,而且它本身也具有較強的抗攻擊能力,不會被病毒控制。防火墻可以阻j網絡中的黑客來訪問你的機器,防止他們篡改、拷貝、毀壞你的重要信息。它為網絡信息的安全提供了很好的服務,為我們更安全地使用網絡提供了很好的保障。
“防火墻”技術是指假設被保護網絡具有明確定義的邊界和服務而采取的一種安全保障技術,它通過監測、限制和更改通過“防火墻”的數據流,一方面盡可能地對外部網絡屏蔽被保護網絡的信息、結構,實現對內部網絡的保護,以防“人放火”;另一方面對內屏蔽外部某些危險站點,防止“引火燒身”。因而,比較適合于相對獨立、與外部網絡互聯單一、明確并且網絡服務種類相對集中的統一互聯網絡系統。防火墻可對網絡存取和訪問進行監控審計,如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。
通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有internet服務特性的企業內部網絡技術體系vpn。vpn,可以將分部在世界各地的lan或專用電子網有機地聯成一個整體。這樣一方面省去了專用通信線路,也達到了信息共享的目的。
3.2數據加密技術
數據加密技術是網絡中最藎木的安傘技術,主要是通過對網絡傳輸的信息進行數據加密來保障其安全性。加密是對網絡上傳輸數據的訪問權加強限制的一種技術。原始數據(也稱為明文,plaintext)被加密設備(硬件或軟件)和密鑰加密而產生的經過編碼的數據稱為密文(ciphertext)。解密是加密的反向處理,是將密文還原為原始明文,但解秘者必須利用相同類型的加密設備和密鑰,才能對密文進行解密。
3.3入侵檢測技術
入侵檢測系統(intrusiondetectionsystem,ids)是從多種計算機系統及網絡系統中收集信息,再通過這些信息分析,對計算機和網絡資源的惡意使用行為進行識別的網絡信息安全系統。入侵檢測系統具有多方面的功能:威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持等。入侵檢測技術是為保證計算機信息系統安全而設計與配置的一種能夠及時發現并報告系統中朱授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。
3.4病毒防護
可采用如下的方法或措施:
(1)合理設置殺毒軟什,如果安裝的殺毒軟什具備掃描電郵件的功能,盡量將這些功能傘部打開;
(2)定期檢查敏感文件;
(3)采取必要的病毒檢測和監控措施;
(4)對新購的硬盤、軟盤、軟件等資源,使用前應先用病毒測試軟件檢查已知病毒,硬盤可以使用低級格式化(dos中的format格式化可以去抻軟盤中的病毒,但不能清除硬盤引導的病毒);
(5)慎重對待郵件附件,如果收到郵件中有可執行文件(如.exe、.com等)或者帶有“宏”的文殺一遍,確認沒有病毒后再打開;
(6)及時升級郵件程序和操作系統,以修補所有已知的安全漏洞。
3.5身份認證技術
身份認證(authentication)是系統核查用戶身份證明的過程,其實質是查明用戶是否具仃它所請求資源的存儲使用權。身份識別(identificaiion)是指用戶向系統出示自己的身份證明的過程。這兩項上作通常被稱為身份認證。
身份認證至少應包括驗證協議和授權協議。網絡中的各種應用和計算機系統都需要通過身份認證來確認合法性,然后確定它的個人數據和特定權限。對于身份認證系統來說,合法用戶的身份是否易于被別人冒充足它最重要的技術指標。用戶身份被冒充不儀可能損害用戶自身的利益,也可能損害其他用戶的利益或整個系統。因此,身份認證是授權控制的基礎。只有有效的身份認證,才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。
安裝必要的安全軟件,殺毒軟件和防火墻這些都是必備的,而且還要安裝并使用必要的防黑軟件。我們一定要把這些安全防護措施及時應在電腦中,在上網時一定要打開它們。最后要及時給系統打補丁,建議人家下載自己的操作系統對應的補丁程序,這是我們網絡安全的恭礎。
可以從不同角度對網絡安全作出不同的解釋。一般意義上,網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”;控制安全則指身份認證、不可否認性、授權和訪問控制。
當今社會,通信網絡的普及和演進讓人們改變了信息溝通的方式,通信網絡作為信息傳遞的一種主要載體,在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯。這種關聯一方面帶來了巨大的社會價值和經濟價值,另一方面也意味著巨大的潛在危險--一旦通信網絡出現安全事故,就有可能使成千上萬人之間的溝通出現障礙,帶來社會價值和經濟價值的無法預料的損失。
2
經國務院批準,在信息產業部的指導下,由IEEE主辦,中國電子學會、清華大學、中國通信學會和北京郵電大學四家單位共同承辦的“2008世界通信大會(ICC2008)中國論壇--網絡和信息安全分論壇(暨第三屆中國電信行業信息安全論壇)”于2008年5月在北京隆重召開。大會主要研討國際通信技術和行業領域的熱點問題,促進全球學術界和工業界的交流與合作,其中,關于通信網絡的安全技術正是其中的一個討論焦點。
3通信網絡安全現狀
互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間,網絡技術的迅速發展和廣泛應用,為人類社會的進步提供了巨大推動力。然而,正是由于互聯網的上述特性,產生了許多安全問題。
計算機系統及網絡固有的開放性、易損性等特點使其受攻擊不可避免。
計算機病毒的層出不窮及其大范圍的惡意傳播,對當今日愈發展的社會網絡通信安全產生威脅。
現在企業單位各部門信息傳輸的的物理媒介,大部分是依靠普通通信線路來完成的,雖然也有一定的防護措施和技術,但還是容易被竊取。
通信系統大量使用的是商用軟件,由于商用軟件的源代碼,源程序完全或部分公開化,使得這些軟件存在安全問題。
4通信網絡安全分析
針對計算機系統及網絡固有的開放性等特點,加強網絡管理人員的安全觀念和技術水平,將固有條件下存在的安全隱患降到最低。安全意識不強,操作技術不熟練,違反安全保密規定和操作規程,如果明密界限不清,密件明發,長期重復使用一種密鑰,將導致密碼被破譯,如果下發口令及密碼后沒有及時收回,致使在口令和密碼到期后仍能通過其進入網絡系統,將造成系統管理的混亂和漏洞。為防止以上所列情況的發生,在網絡管理和使用中,要大力加強管理人員的安全保密意識。
軟硬件設施存在安全隱患。為了方便管理,部分軟硬件系統在設計時留有遠程終端的登錄控制通道,同時在軟件設計時不可避免的也存在著許多不完善的或是未發現的漏洞(bug),加上商用軟件源程序完全或部分公開化,使得在使用通信網絡的過程中,如果沒有必要的安全等級鑒別和防護措施,攻擊者可以利用上述軟硬件的漏洞直接侵入網絡系統,破壞或竊取通信信息。
傳輸信道上的安全隱患。如果傳輸信道沒有相應的電磁屏蔽措施,那么在信息傳輸過程中將會向外產生電磁輻射,從而使得某些不法分子可以利用專門設備接收竊取機密信息。
另外,在通信網建設和管理上,目前還普遍存在著計劃性差。審批不嚴格,標準不統一,建設質量低,維護管理差,網絡效率不高,人為因素干擾等問題。因此,網絡安全性應引起我們的高度重視。
5通信網絡安全維護措施及技術
當前通信網絡功能越來越強大,在日常生活中占據了越來越重要的地位,我們必須采用有效的措施,把網絡風險降到最低限度。于是,保護通信網絡中的硬件、軟件及其數據不受偶然或惡意原因而遭到破壞、更改、泄露,保障系統連續可靠地運行,網絡服務不中斷,就成為通信網絡安全的主要內容。
為了實現對非法入侵的監測、防偽、審查和追蹤,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽,從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性,即便被截獲也會由于在不同協議層中加入了不同的加密機制,將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認,以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”,一般是通過數據檢查核對的方式達成的,數據檢查核對方式通常有兩種,一種是邊發送接收邊核對檢查,一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞,同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息。
為了實現實現上述的種種安全措施,必須有技術做保證,采用多種安全技術,構筑防御系統,主要有:
防火墻技術。在網絡的對外接口采用防火墻技術,在網絡層進行訪問控制。通過鑒別,限制,更改跨越防火墻的數據流,來實現對網絡的安全保護,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。
入侵檢測技術。防火墻保護內部網絡不受外部網絡的攻擊,但它對內部網絡的一些非法活動的監控不夠完善,IDS(入侵檢測系統)是防火墻的合理補充,它積極主動地提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,提高了信息安全性。
網絡加密技術。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取,是網絡安全的核心。采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性、完整性,它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。
身份認證技術。提供基于身份的認證,在各種認證機制中可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。
虛擬專用網(VPN)技術。通過一個公用網(一般是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等跟公司的內網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。
漏洞掃描技術。面對網絡的復雜性和不斷變化的情況,僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不夠的,我們必須通過網絡安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
結束語
目前解決網絡安全問題的大部分技術是存在的,但是隨著社會的發展,人們對網絡功能的要求愈加苛刻,這就決定了通信網絡安全維護是一個長遠持久的課題。我們必須適應社會,不斷提高技術水平,以保證網絡安全維護的順利進行。
參考文獻
[1]張詠梅.計算機通信網絡安全概述.中國科技信息,2006.
[2]楊華.網絡安全技術的研究與應用.計算機與網絡,2008
[3]馮苗苗.網絡安全技術的探討.科技信息,2008.
[4]姜濱,于湛.通信網絡安全與防護.甘肅科技,2006.
[5]艾抗,李建華,唐華.網絡安全技術及應用.濟南職業學院學報,2005.
[6]羅綿輝,郭鑫.通信網絡安全的分層及關鍵技術.信息技術,2007.
[7]姜春祥.通信網絡安全技術是關鍵.網絡安全技術與應用,2005.
論文摘要:隨著計算機網絡技術在社會生活中的各個領域的廣泛應用,計算機網絡技術提供巨大的信息含量和交互功能,提高了各個領域的工作效率,但是計算機網絡安全問題也日益嚴重,該文通過對計算機網絡安全的分析,探討安全防范策略。
計算機技術的不斷發展,推動了社會的信息化進程,但是日益加劇的計算機網絡安全問題,導致計算機犯罪頻發以及給個人,單位甚至國家帶來極大損害。因此有必要加強計算機網絡安全的防范,為使用者提供一個安全的網絡空間。
1 計算機網絡安全
計算機網絡安全就是計算機網絡信息的安全。計算機網絡安全的內容包括管理與技術兩個方面。計算機安全管理包括計算機硬件軟件的維護和網絡系統的安全性維護,確保硬軟件的數據和信息不被破壞,保障計算機網絡系統中的數據信息不被隨意更改和泄露。而計算機網絡安全技術主要是指對外部非法用戶的攻擊進行防范,確保計算機網絡使其不被偶然和惡意攻擊破壞,保證計算機網絡安全有序的運行。計算機網絡安全管理和網絡安全技術相結合,構建計算機網絡安全體系,保證計算機網絡系統能夠連續正常的運行。
2 計算機網絡安全風險分析
1)計算機網絡安全問題主要集中在兩個方面,一是信息數據安全問題,包括信息數據被非法修改、竊取、刪除和非法使用。二是計算機網絡設備安全問題,包括設備不能正常運行、設備損壞、網絡癱瘓。
2)計算機網絡安全風險的特點主要表現在三方面。一是突發性和擴散性。計算機網絡攻擊經常是沒有征兆的,而且其造成的影響會迅速擴散到互聯網上的各個用戶,給整個計算機系統造成破壞。二是潛伏性和隱蔽性。計算機網絡攻擊造成破壞前,都會潛伏在程序里,如果計算機用戶沒有及時發現,攻擊就會在滿足條件時發起。另外由于計算機用戶疏于防范,也會為具有隱蔽性的計算機攻擊提供可乘之機。三是危害性和破壞性。計算機網絡遭受到攻擊都會給計算機網絡系統造成嚴重的破壞后果,造成計算機網絡癱瘓,給計算機用戶帶來損失,嚴重的會對社會和國家安全構成威脅。
3)造成計算機網絡安全風險的因素
(1)計算機網絡系統本身的安全隱患
網絡系統的安全隱患重要包括網絡結構設備和網絡系統自身缺陷。普遍應用的網絡結構是集線型,星型等多種結構為一體的混合型結構。每個結構的節點處采用不同的網絡設施,包括路由器、交換機、集線器等。每種設備受自身技術的制約都會在不同程度上給計算機網絡系統帶來安全隱患。另外網絡系統本身具有缺陷,網絡技術的優點是開放性和資源共享性。全球性復雜交錯的互聯網絡,其優點也成了容易遭受個攻擊的弱點,而且計算機網絡協議自身也存在不安全因素,例如出現欺騙攻擊,拒絕服務,數據截取和數據篡改等問題。
(2)計算機病毒安全風險
目前計算機病毒已經成為威脅計算機網絡安全的關鍵因素。計算機病毒是人為編制的,進入計算機程序中的能夠毀壞數據,破壞計算機功能的一組計算機指令或代碼。根據其破壞程度把計算機病毒劃分為優良性病毒與惡性病毒,計算機病毒顯著的特點是具有傳染性、寄生性、隱蔽性、觸發性、破壞性等。而且病毒能夠自我復制。在計算機網絡系統中普遍的傳播方式是通過光盤,U盤等存儲設備進行的,但是隨著計算機網絡的規模的擴大,網絡傳播成為病毒傳播的主要手段,計算機使用者上網瀏覽網頁,收發Email,下載資料等都可能感染計算機病毒,而且病毒能夠在局域網內傳播。計算機病毒對計算機程序和系統造成嚴重的破壞,使網絡無法正常運行。例如2007年1月的熊貓燒香病毒,就是通過下載檔案傳染的,在局域網迅速傳播,極短的時間內就能傳播給數千臺計算機,致使“熊貓燒香”病毒的感染范圍非常廣,包含了金融、稅務、能源等企業和政府機構,給國家造成的經濟損失,可見病毒的危害性巨大。
4)計算機網絡安全風險中的人為因素
(1)計算機網絡安全中的人為因素主要包括計算機使用者的操縱失誤和人為的惡意攻擊。計算機使用者的計算機技術水平良莠不齊,有些人員缺少安全防范意識,在應用過程里出現操作失誤和錯誤,也會給計算機安全帶來風險。另外,人為的惡意攻擊是計算機網絡安全的最大威脅。而人為惡意攻擊又分為主動攻擊和被動攻擊兩種。主動攻擊是指采用各種方式有選擇的破壞信息完整性和有效性。而被動攻擊是使攻擊者在不影響網絡正常工作的情況下,進行對信息的篡改,截取,竊取機密信息的活動。人為攻擊會給造成重要數據的泄漏,給計算機網絡帶來極大的破壞。
(2)人為攻擊里最為常見的是黑客攻擊。黑客最早源自英文hacker,是指利用系統安全漏洞對網絡進行攻擊破壞或竊取資料的人。由于網絡信息系統構建的脆弱性和不完備性,黑客通常會利用計算機網絡系統自身存在的安全隱患和漏洞,進行密碼探測并完成系統入侵的攻擊。黑客攻擊的手段主要包括:口令的攻擊、網絡監聽、盜取、緩沖區溢出攻擊、過載攻擊、隱藏指令、程序嵌入木馬攻擊、取得網站控制權、網頁篡改偽裝欺騙攻擊、電子郵件破壞攻擊和種植病毒等。給計算機用戶帶來極大危害。
5)計算機系統安全漏洞
計算機系統安全是指計算機操作系統的安全。而目前應用的DOS、WINDOWS(2000、XP、VISTA.WIN7)、UNIX、LINUX等操作系統,都存在一定的安全隱患。而系統漏洞產生的原因是應用軟件或操作系統軟件在邏輯設計上的缺陷或在編寫時產生錯誤。而系統漏洞本身不會對網絡系統造成危害,但是由于系統漏洞存在,會被不法分子和黑客利用,例如在計算機中植入木馬,其具有隱藏性的和自發性,是惡意行為的程序,雖不會直接對電腦產生危害,但是可以被黑客控制。黑客還能利用系統安全漏洞,使計算機感染病毒,破壞計算機及其系統造成數據信息丟失等。嚴重危害計算機網絡系統的安全。
6)計算機網絡完全技術有待提升
計算機網絡提供大量的數據信息傳輸,而且又具有開放性,共享性和廣泛性。所以數據信息的安全也面臨著巨大的挑戰。目前網絡數據信息的傳輸處理過程中安全性與保密性技術還不是十分完善,這也為網絡系統中進行的數據信息的傳輸和處理帶來極大的隱患。
3 計算機網絡安全防范對策
針對計算機網絡安全存在的風險分析,要加強計算機網絡的安全防范,除了采用的網絡安全技術和防范措施,還要加強網絡管理的措施,制定法律、法規增強計算機安全保護的執行力度,確保計算機網絡安全工作的確實有效。關于計算機網絡安全方法對策主要從以下幾個方面探討。
1)增強計算機網絡安全管理
(1)提高安全意識,建立專業的管理隊伍
對于計算機個人用戶而言,要不斷加強網絡安全意識的培養,對應用程序進行合法的操作,依據職責權利選擇不同的口令,杜絕其他的用戶越權訪問網絡資源。要重視對計算機病毒的防范,及時更新殺毒軟件和安裝補丁。而對于計算機網絡管理人員要求更高些,增強安全意識的同時加強職業道德和工作責任心的培養,還要不斷提升管理人員的專業技能,增強對網絡的監察和評估。
(2)落實網絡安全管理的各項工作
網絡安全維護除了應用先進的軟件防御需要把網絡管理的各項工作落到實處,加大網絡評估和監控力度,對網絡運行全過程進行監控,針對網絡安全存在的風險提出修改意見,完善網絡安全運行管理機制,營造優良的網絡環境,做好設備維護工作,制定應急預案,確保計算機網絡安全工作的科學性和時效性。
2)計算機網絡安全技術防范措施
(1)防火墻技術
防火墻指的是一個由軟件和硬件設備組合而成,在內部網和外部網之間,專用網與公共網之間的界面上構造的保護屏障。能夠限制外部用戶內部訪問,以及管理內部用戶訪問外界網絡。有效的控制信息輸入輸出是否符合安全規則,對包含不安全的信息數據進行過濾,防止內網數據和資源的外泄,強化計算機網絡的安全策略,是保障計算機網絡安全的基礎技術。
(2)計算機病毒防范技術
由于計算機病毒的破壞性和危害性很大,所以防毒工作是計算機網絡安全管理的重要部分,除了設置防火墻,還要在計算機上安裝正版的殺毒防毒軟件,并且及時的升級殺毒軟件,更新病毒庫,定期對磁盤進行安全掃描,同時計算機使用者還要主要上網安全,不打開不正常的網頁鏈接和下載可疑文件。
(3)信息加密技術
當信息數據技術通過網絡傳輸時,由于計算機網絡的復雜性和自身缺陷,容易造成信息數據泄露,所以要應用信息加密技術,保障信息數據傳輸的安全。計算機網絡數據加密主要有三個層次,鏈路加密、節點加密和端到端加密。而且在整個過程中都是以密文形式進行傳輸的,有效地保障了數據傳輸的安全。
(4)漏洞掃描和修復技術
由于計算機系統自身存在漏洞,為了不給黑客和不法分子帶來可乘之機,就要定期的對計算機網絡系統進行漏洞掃描,下載安全補丁,及時修復系統漏洞。
(5)系統備份和還原技術
數據的備份工作也是計算機網絡安全的內容之一,常用的Ghost工具,可以進行數據的備份和還原,但系統出現故障時,利用ghost,減少信息數據的損失。保障計算機系統的恢復使用。
4 總結
21世紀是網絡技術飛速發展的時代,隨著全球數字化和信息化的進程不斷加快,網絡的資源共享和開放性所帶來的安全隱患需要引起重視,為了增強信息的安全保障能力,有效的維護國家安全、社會穩定和公共利益,需要制定科學的計算機網絡防范體系,降低計算機網絡安全風險,提高計算機網絡安全技術,為營造安全的網絡環境和構建和諧社會提供技術支持和理論基礎。
參考文獻
[1] 金曉倩.基于計算機防火墻安全屏障的網絡防范技術[J].素質教育論壇,2009(11).
[2] 趙紅言,許柯,趙緒民.計算機網絡安全及防范技術[J].陜西師范大學學報,2007(9).
[3] 王小芹.計算機網絡安全的防范技術及策略[J].內蒙古科技與經濟,2005(15).
[4] 何莉,許林英,姚鵬海.計算機網絡概論[M].北京:高等教育出版社,2006(1).
論文摘要:隨著信息技術的不斷發展,網絡信息的安全問題也受到了威脅。本文主要從網絡信息安全的定義、影響因素、防御措施幾個方面進行闡述,希望可以一定程度的提升我國網絡信息的安全程度。
如今的信息發展速度是飛快的,我們的通信與網絡之間的聯系也越來越緊密。此種情況下一定程度的促進了網絡的迅速發展,不可否認的是網絡通信在日益騰飛的今天,它的安全問題也逐漸受到消費者的重視,對于維護網絡通信的安全壓力也越來越大。網絡通信的天然屬性就是開放,與此同時開放性的存在也導致了許多安全方面的漏洞,隨著內外安全環境的日益惡化,諸如信息竊取或者網絡攻擊的活動也逐漸變得猖獗。同時網絡的惡意行為趨勢也漸漸變得明顯,在一定程度上充分的引起了我們的注重。許多有組織的集團或者駭客攻擊的存在都嚴重影響著我國網絡的通信安全。
一、網絡的通信安全
在對網絡的通信安全進行定義時需要從多方面來考慮。其定義從國際化的角度看來可以是信息的可用性、可靠性、完整性以及保密性。一般情況下網絡通信安全指的是依據網絡的特性由相關的安全技術以及預防計算機的網絡硬件系統遭迫害所采取的措施服務。
(一)影響網絡通信安全的因素
首先就是軟硬件的設施。許多的軟硬件系統一開始是為了方便管理才事先設置了遠程終端登錄的控制通道,這樣會極大程度的加大了病毒或者黑客攻擊的漏洞。除此之外很多軟件在一開始設計時雖然會將種種安全的因素考慮進去,但不可避免的時間一長就會出現缺陷。在出現問題后就需要立即補丁來進行漏洞彌補。與此同時一些商用的軟件源程序會逐漸變得公開或者半公開化的形態,這就使得一些別有用心的人輕易找到其中漏洞進行攻擊。在一定程度上使得網絡的通信安全受到威脅。
其次就是人為的破壞。某些計算機的內部管理員工由于缺乏一定的安全意識以及安全技術,利用自身的合法身份進到網絡中,從事一些破壞、惡意竊取的行為。最后就是TCP/IP的服務比較脆弱,由于因特網的基本協議就是TCP/IP 協議,這個協議的設計雖然比較有實效但是安全因素比較匱乏。這樣就會增大代碼的量,最終也會導致TCP/1P 的實際運行效率降低。因此TCP/IP其自身的設計就存在著許多隱患。許多以TCP/IP為基礎的應用服務比如電子郵件、FTP等服務都會在不同的程度受到安全威脅。
(二)常用的幾種通信安全技術
比較常用的有數據加密技術,所謂的加密就是將明文轉化為密文的過程。還有數字簽名的技術,這時一種對某些信息進行研究論證的較有效手段。除此之外訪問控制也是一種有效地安全技術,這一種形式的機制就是利用實體的能力,類別確定權限。
二、通信網絡的安全防護措施
正是由于通信網絡的功能逐漸變得強大,我們的日常生活也越來越離不開它,因此我們必須采取一系列有效措施來將網絡的風險降到最低。
(一)防火墻技術
通常情況下的網絡對外接口所使用的防火墻技術可以使得數據、信息等在進行網絡層訪問時產生一定的控制。經過鑒別限制或者更改越過防火墻的各種數據流,可以實現網絡安全的保護,這樣可以極大限度的對網絡中出現的黑客進行阻止,在一定層面上可以防止這些黑客的惡意更改、隨意移動網絡重要信息的行為。防火墻的存在可以防止某些Internet中不安全因素的蔓延,是一種較有效地安全機制,因此防火墻可以說是網絡安全不可缺少的一部分。
(二)身份的認證技術
經過身份認證的技術可以一定范圍內的保證信息的完整機密性。
(三)入侵的檢測技術
一般的防火墻知識保護內部的網絡不被外部攻擊,對于內部的網絡存在的非法活動監控程度還不夠,入侵系統就是為了彌補這一點而存在的。它可以對內部、外部攻擊積極地進行實時保護,網絡受到危害前就可以將信息攔截,可以提高信息的安全性。
(四)漏洞的掃描技術
在面對網絡不斷復雜且不斷變化的局面時,知識依靠相關網絡的管理員進行安全漏洞以及風險評估很顯然是不行的,只有依靠網絡的安全掃描工具才可以在優化的系統配置下將安全漏洞以及安全隱患消除掉。在某些安全程度較低的狀況下可以使用黑客工具進行網絡的模擬攻擊,這樣可以一定層面的將網絡漏洞暴露出來。
(五)虛擬的專用網技術
由一個因特網建立一個安全且是臨時的鏈接,這是一條經過混亂公用網絡的穩定安全通道。
三、總結
伴隨著網絡通信的全球發展,我們的生活工作與網絡之間的關系也變得越來越親密,在使用網絡通信提供的高效方面服務的同時,我們也遭受著網絡信息帶來的一些危害。因此只有銅鼓相關部門制定完善的法律體系,擁有安全的技術才可以保證網絡的安全,進一步促進網絡通信的發展。
參考文獻
[1]陳震.我國信息與通信網建設安全問題初探[J].科學之友,2010年24期
[2]姜濱,于湛.通信網絡安全與防護[J].甘肅科技,2006年85期
關鍵詞:計算機網絡,防護技術,研究
隨著高新技術的不斷發展,計算機網絡已經成為我們生活中所不可缺少的概念,然而隨之而來的問題----網絡安全也毫無保留地呈現在我們的面前,不論是在軍事中還是在日常的生活中,網絡的安全問題都是我們所不得不考慮的,只有有了對網絡攻防技術的深入了解,采用有效的網絡防護技術,才能保證網絡的安全、暢通,保護網絡信息在存儲和傳輸的過程中的保密性、完整性、可用性、真實性和可控性,才能使我們面對網絡而不致盲從,真正發揮出網絡的作用。
一、計算機網絡防護技術構成
(一)被動防護技術
其主要采用一系列技術措施(如信息加密、身份認證、訪問控制、防火墻等)對系統自身進行加固和防護,不讓非法用戶進入網絡內部,從而達到保護網絡信息安全的目的。這些措施一般是在網絡建設和使用的過程中進行規劃設置,并逐步完善。因其只能保護網絡的入口,無法動態實時地檢測發生在網絡內部的破壞和攻擊的行為,所以存在很大的局限性。
( 1 )信息保密技術
密碼技術是網絡安全最有效的技術之一, 信息加密過程是由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。它通過信息的變換或編碼,將敏感信息變成難以讀懂的亂碼型信息,以此來保護敏感信息的安全。在多數情況下,信息加密是保證信息機密性的惟一方法。信息加密的主要目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。
網絡加密常用的方法有:鏈路加密、端點加密和節點加密3種。密碼體制主要有分組密碼體制和序列密碼體制。論文參考網。
( 2 ) 信息認證技術
認證技術是網絡安全的一個重要方面,屬于網絡安全的第一道防線。其認證機制是接收者接收信息的同時還要驗證信息是否來自合法的發送者,以及該信息是否被篡改過,計算機系統是基于收到的識別信息識別用戶。認證涉及多個步驟:收集認證信息、安全地傳輸認證信息、確定使用計算機的人(就是發送認證信息的人)。其主要目的是用來防止非授權用戶或進程侵入計算機系統,保護系統和數據的安全
其主要技術手段有:用戶名/密碼方式;智能卡認證方式;動態口令;USB Key認證;生物識別技術。
( 3 ) 訪問控制技術
訪問控制是保證網絡安全最重要的核心策略之一,是一種基于主機的防護技術。訪問控制技術通過控制與檢查進出關鍵服務器中的訪問,保護服務器中的關鍵數據,其利用用戶身份認證功能,資源訪問權限控制功能和審計功能來識別與確認訪問系統的用戶,決定用戶對系統資源的訪問權限,并記錄系統資源被訪問的時間和訪問者信息。其主要目的是保證網絡資源不被非法使用和訪問。
其主要方式有:自主訪問控制、強行訪問控制和信息流控制。
( 4 ) 防火墻技術
防火墻是一種網絡之間的訪問控制機制,它的主要目的是保護內部網絡免受來自外部網絡非授權訪問,保護內部網絡的安全。
其主要機制是在受保護的內部網和不被信任的外部網絡之間設立一個安全屏障,通過監測、限制、更改、抑制通過防火墻的數據流,盡可能地對外部網絡屏蔽內部網絡的信息和結構,防止外部網絡的未授權訪問,實現內部網與外部網的可控性隔離,保護內部網絡的安全。
防火墻的分類主要有:數據包過濾型防火墻、應用層網關型防火墻和狀態檢測型防火墻。
(二)主動防護技術
主動防護技術主要采取技術的手段如入侵取證、網絡陷阱、入侵檢測、自動恢復等,能及時地發現網絡攻擊行為并及時地采取應對措施,如跟蹤和反攻擊、設置網絡陷阱、切斷網絡連接或恢復系統正常工作。實現實時動態地監視網絡狀態,并采取保護措施,以提供對內、外部攻擊和誤操作的實時保護。
( 1 )入侵取證技術
入侵取證技術是指利用計算機軟硬件技術,按照符合法律規范的方式,對計算機網絡入侵、破壞、欺詐、攻擊等犯罪行為進行識別、保存、分析和提交數字證據的過程。
入侵取證的主要目的是對網絡或系統中發生的攻擊過程及攻擊行為進行記錄和分析,并確保記錄信息的真實性與完整性(以滿足電子證據的要求),據此找出入侵者或入侵的機器,并解釋入侵的過程,從而確定責任人,并在必要時,采取法律手段維護自己的利益。
入侵取證技術主要包括:網絡入侵取證技術(網絡入侵證據的識別、獲取、保存、安全傳輸及分析和提交技術等)、現場取證技術(內存快照、現場保存、數據快速拷貝與分析技術等)、磁盤恢復取證技術、數據還原取證技術(對網上傳輸的信息內容,尤其是那些加密數據的獲取與還原技術)、電子郵件調查取證技術及源代碼取證技術等。
( 2 ) 網絡陷阱技術
網絡陷阱技術是一種欺騙技術,網絡安全防御者根據網絡系統中存在的安全弱點,采取適當技術,偽造虛假或設置不重要的信息資源,使入侵者相信網絡系統中上述信息資源具有較高價值,并具有可攻擊、竊取的安全防范漏洞,然后將入侵者引向這些資源。同時,還可獲得攻擊者手法和動機等相關信息。這些信息日后可用來強化現有的安全措施,例如防火墻規則和IDS配置等。
其主要目的是造成敵方的信息誤導、紊亂和恐慌,從而使指揮決策能力喪失和軍事效能降低。論文參考網。靈活的使用網絡陷阱技術可以拖延攻擊者,同時能給防御者提供足夠的信息來了解敵人,將攻擊造成的損失降至最低。
網絡陷阱技術主要包括:偽裝技術(系統偽裝、服務偽裝等)、誘騙技術、引入技術、信息控制技術(防止攻擊者通過陷阱實現跳轉攻擊)、數據捕獲技術(用于獲取并記錄相關攻擊信息)及數據統計和分析技術等。
( 3 ) 入侵檢測技術
入侵檢測的基本原理是從各種各樣的系統和網絡資源中采集信息(系統運行狀態、網絡流經的信息等),對這些信息進行分析和判斷,及時發現入侵和異常的信號,為做出響應贏得寶貴時間,必要時還可直接對攻擊行為做出響應,將攻擊行為帶來的破壞和影響降至最低。它是一種主動的入侵發現機制,能夠彌補防火墻和其他安全產品的不足,為網絡安全提供實時的監控及對入侵采取相應的防護手段,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。入侵檢測系統已經被認為是維護網絡安全的第二道閘門。
其主要目的是動態地檢測網絡系統中發生的攻擊行為或異常行為,及時發現攻擊或異常行為并進行阻斷、記錄、報警等響應,彌補被動防御的不足之處。
入侵檢測技術主要包括:數據收集技術、攻擊檢測技術、響應技術。
( 4 ) 自動恢復技術
任何一個網絡安全防護系統都無法確保萬無一失,所以,在網絡系統被入侵或破壞后,如何盡快恢復就顯得非常關鍵了。這其中的一個關鍵技術就是自動恢復技術,他針對服務器上的關鍵文件和信息進行實時地一致性檢查,一旦發現文件或信息的內容、屬主、時間等被非法修改就及時報警,并在極短的時間內進行恢復。論文參考網。其性能的關鍵是資源占有量、正確性和實時性。
其主要目的是在計算機系統和數據受到攻擊的時候,能夠在極短的時間內恢復系統和數據,保障系統的正常運行和數據的安全。
自動恢復技術主要包括:備份技術、冗余技術、恢復技術、遠程控制技術、文件掃描與一致性檢查技術等。
二、計算機網絡防護過程模型
針對日益嚴重的網絡安全問題和愈來愈突出的安全需求,人們在研究防黑技術的同時,認識到網絡安全防護不是一個靜態過程,而是一個包含多個環節的動態過程,并相應地提出了反映網絡安全防護支柱過程的P2DR模型,其過程模型如圖1所示。
圖1 P2DR模型體系結構圖
其過程如下所述:
1.進行系統安全需求和安全風險分析,確定系統的安全目標,設計相應的安全策略。
2.應根據確定的安全策略,采用相應的網絡安全技術如身份認證技術、訪問控制、網絡技術,選擇符合安全標準和通過安全認證的安全技術和產品,構建系統的安全防線,把好系統的入口。
3.應建立一套網絡案例實時檢測系統,主動、及時地檢測網絡系統的安全漏洞、用戶行為和網絡狀態;當網絡出現漏洞、發現用戶行為或網絡狀態異常時及時報警。
4.當出現報警時應及時分析原因,采取應急響應和處理,如斷開網絡連接,修復漏洞或被破壞的系統。
隨著網絡技術的不斷發展,我們的生活中越來越離不開網絡,然而網絡安全問題也日趨嚴重,做好網絡防護已經是我們所不得不做的事情,只有采取合理有效的網絡防護手段才能保證我們網絡的安全、保證信息的安全,使我們真正能夠用好網絡,使網絡為我們的生活添光添彩。
[論文摘要]隨著計算機技術的發展,在計算機上處理業務已由單機處理功能發展到面向內部局域網、全球互聯網的世界范圍內的信息共享和業務處理功能。在信息處理能力提高的同時,基于網絡連接的安全問題也日益突出,探討了網絡安全的現狀及問題由來以及幾種主要網絡安全技術。
隨著計算機網絡的發展,其開放性,共享性,互連程度擴大,網絡的重要性和對社會的影響也越來越大。而網絡安全問題顯得越來越重要了。國際標準化組織(ISO)將“計算機安全”定義為:“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”,上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。
一、網絡的開放性帶來的安全問題
眾所周知,Internet是開放的,而開放的信息系統必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中,安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現有的安全工具和機制的情況下,網絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結為以下幾點:
(一)每一種安全機制都有一定的應用范圍和應用環境
防火墻是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為,防火墻是很難發覺和防范的。
(二)安全工具的使用受到人為因素的影響
一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者和普通用戶,不正當的設置就會產生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面,可以通過靜態掃描工具來檢測系統是否進行了合理的設置,但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較,針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。
(三)系統的后門是傳統安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4.0以前一直存在,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而可以收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻是無法發覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區別是入侵訪問在請求鏈接中多加了一個后綴。
(四)只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用,而且這種攻擊通常不會產生日志,幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG,現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
(五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統安全問題出現
然而安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時,其他的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
二、網絡安全的主要技術
安全是網絡賴以生存的保障,只有安全得到保障,網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展,其涉及的技術面非常廣,主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。
(一)認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息。
(二)數據加密
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
1.私匙加密。私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快,很容易在硬件和軟件中實現。
2.公匙加密。公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。
(三)防火墻技術
防火墻是網絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數據,它不同于只會確定網絡信息傳輸方向的簡單路由器,而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊,其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和服務器技術,它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網絡連接能力。此外,現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內外提供一致的安全策略;而且防火墻只實現了粗粒度的訪問控制,也不能與企業內部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(路由器、過濾器、服務器、網關、保壘主機)組成的防火墻,管理上難免有所疏忽。
(四)入侵檢測系統
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在校園網絡中采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
(五)虛擬專用網(VPN)技術
VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制,這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密匙管理技術(KeyManagement)和使用者與設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務,這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協議可分為第二層和第三層的;按發起方式可分成客戶發起的和服務器發起的。
(六)其他網絡安全技術
1.智能卡技術,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體,由授權用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。
2.安全脆弱性掃描技術,它為能針對網絡分析系統當前的設置和防御手段,指出系統存在或潛在的安全漏洞,以改進系統對網絡入侵的防御能力的一種安全技術。
3.網絡數據存儲、備份及容災規劃,它是當系統或設備不幸遇到災難后就可以迅速地恢復數據,使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。
4.IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告信息。
5.Web,Email,BBS的安全監測系統。在網絡的www服務器、Email服務器等中使用網絡安全監測系統,實時跟蹤、監視網絡,截獲Internet網上傳輸的內容,并將其還原成完整的www、Email、FTP、Telnet應用的內容,建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容,及時向上級安全網管中心報告,采取措施。
關鍵詞:網絡安全;教學方法;實驗室建設
中圖分類號:G642 文獻標識碼:A 文章編號:1009-3044(2012)28-6739-03
1 概述
信息安全是一門新興的學科,2004年成為一門正式的本科專業,目前也成為科研機構和大專院校的一個重要研究領域。網絡與信息安全也是一門交叉學科,它涉及到數學、信息、通信和計算機等多門學科,綜合性較強。作為一門課程,主要面向計算機科學與技術專業、網絡工程專業、信息安全專業等高年級的本科生來開設,在學生掌握了一定的網絡基礎知識和具有一定的編程能力的基礎之上,通過本課程的學習,深入了解在網絡和信息安全領域的一些關鍵技術,例如加密技術,防火墻,VPN等。因此更加要求學生具有較強的實踐動手能力。結合作者所在學校的實際情況,本文主要針對在獨立學院中,考慮到學校的培養方案和學生的特點,如何讓本課程能最大程度上達到原本的教學目的,分析教學和實踐內容以及教學方法存在的問題,展開探討,并嘗試進行一些改革。
2 課程現狀與存在的問題
2.1 人才需求和相關課程建設
從國內各個公司企業的實際需求來看,信息安全技術人員及其匱乏。專業的反病毒工程師在IT職業架構中還是空白。隨著信息安全受到社會各界越來越多的關注,以及網絡中日益增多的安全問題的發生,對具備一定安全技能的技術人員的需求越來越突出[1-2]。
為了適應實際需要,我校在2008年成功申報開設了網絡工程專業,網絡安全作為本專業中一個重要的方向。作為獨立學院,立足于所在的廣東省的經濟發展方向,我們所培養的學生的主要目的是:在掌握了一定的專業基礎知識后,要有很強的動手和實踐能力,能很好的適應相關企業的實際需求。作為網絡工程專業的學生,在完成了前兩年的基礎課和專業基礎課以后,在第5和第6學期,我們開設了一系列網絡應用和網絡安全方面的課程。第5學期主要包括:計算機網絡,網絡操作系統,TCP/IP協議,網絡安全。第6學期主要包括:局域網互聯技術,網絡管理,網絡規劃和設計,網絡協議編程,網絡攻防技術,無線網技術等一系列專業選修課程。這樣本專業的學生,在掌握了計算機的基礎知識以后通過這一年的學習,對網絡應用及網絡安全的知識結構又有了系統的了解。
2.2 教學目的及內容
本課程的主要教學內容有:1)了解網絡與信息安全的相關知識、方法,了解計算機系統與網絡安全的原理。了解網絡與信息安全的相關策略。了解操作系統安全、因特網安全和數據庫系統安全。2)掌握幾種主要加密方法的算法和原理。掌握加密技術和數字簽名、身份鑒別、認證之間的關系。3)重點掌握PKI、身份認證、訪問控制、系統審計。重點掌握幾種成熟的網絡與信息安全軟件的使用方法[3]。
理論課時為32學時,實驗課時為16學時。理論課以課堂講解為主,輔助多媒體課件,對主要問題進行課堂討論,學生課后完成相關主題的課程報告。成績考核:平時成績占10%,實驗成績占20%,期末考試成績占70%。
2.3 教學中存在的問題
1) 需要開展有針對性的教材建設
目前可選用的教材大部分選擇了摘抄和羅列標準條款。而這些內容對那些剛剛接觸網絡安全的學生而言是相當晦澀的。我們認為,對于本課程中這些比較難于理解的內容,教科書應該把重點放在其導讀和解析方面。
2) 學習內容過分偏向理論,與實踐脫節
由于本課程是一門交叉學科,特別是密碼學這部分,涉及到了數論的知識,從學生的角度來看,通常認為這部分內容很難理解,不易學習和掌握。在本課程教學中,過多偏重理論知識的學習和考察,講授的一些安全技術,與實際聯系較少,理論知識的學習過程顯得枯燥無趣,目前還主要以單純的教師講授為主,學生只是單純的在接收學習信息,缺少學生的參與和互動,從很大程度上削減了學生的學習積極性,逐漸脫離了應用人才的培養目標。
3) 實驗環境相對復雜,實驗室建設困難
網絡技術發展迅速,設備更新換代快,即使建成高效完整的實驗室,也會在較短時間內陳舊過時。目前,高校網絡實驗室的設備大多只用來進行局域網實驗,而對于網絡安全方面的常用技術,如網站的入侵檢測、SQL注入、VPN 等,則難以開展實驗教學。只依靠擴大經費投入、增加設備購置進行網絡實驗室建設,不能解決上述問題,也無法適應網絡安全技術飛速發展的需要。利用模擬實驗軟件,與現有實驗設備相結合,搭建虛實結合的網絡實驗平臺,解決實驗項目落后,提高實驗教學效果的有效解決方法[4]。
3 教學與實踐環節的改進
3.1 多樣化的教學方式
本課程以課堂教學作為主要的組織形式并輔以實驗教學,并應用多種教學方法。理論部分主要以課堂教學和講授法為主,以多媒體教學手段為輔,為后面的應用和實踐部分打下好的基礎。為了在應用和實用技術部分有效地培養學生的各種技能和提高學生的動手能力,采用了多種教學方法,大大加強學生參與的機會。其中基礎介紹性的部分采用講授法以提高效率,具體技術和工具的應用部分應用實驗教學并輔以學生自學、討論法。
1) 強調理論與實踐結合
本課程要求學生較系統地掌握網絡安全領域中所必需的基礎理論知識和基本技能,具有較強的實踐動手能力,掌握網絡安全相關協議,安全防御與攻擊技術,安全檢測的方法,構建安全網絡技術[5]。
通過本課程的學習,在學生掌握和具備了扎實的計算機網絡安全知識基礎上,鼓勵網絡工程專業的同學積極參與國際上認可的思科網絡安全認證考試,使學生較早了解實際工作要求和社會需求,檢驗自己專業知識學習的水平。由于課時數的限制,無法對本門課程中所涉及的各學科知識過多介紹,這會對學生深入理解及融合相關知識帶來影響。在課程教學中采用理論與應用相結合的方法,激發學生學習興趣,通過閱讀相關文獻,針對身邊的應用學習技術,并上升到理論,進一步理解和掌握各種網絡安全技術的原理與應用。結合實驗課,在實驗中培養動手能力,學會查閱文獻、分析問題、解決問題的方法。掌握舉一反三、學以致用的學習方法。
2) 采用啟發式教學方法,鼓勵學生主動思考
在課程內容安排上先提出網絡中存在的威脅、分析產生威脅的原因,然后介紹安全體系結構,使學生能夠對信息安全框架有一個整體的認識,在其他各種安全技術的講解中,重點內容采用實例分析和動畫演示,使學生能夠深刻理解學習內容,激發學生的學習興趣,取得了良好的教學效果。采用啟發式教學方法。針對現實中網絡上的安全問題,例如網上銀行的信息保密,鼓勵學生自己去了解問題,分析問題,查找資料去了解目前采用的解決方案,然后以小論文的形式自己總結。
3) 培養學生動手能力,鼓勵創新
網絡安全是計算機學科的一個新方向,很多技術在現有的教科書中都沒有涉及,特別是一些國內外的新產品和研究成果。把這些內容安排到學生的課外作業中,不僅能拓寬學生的知識面,還能增強學生的研究興趣。
3.2 實驗室建設
建設網絡安全實驗室是為了構建一個完整的配套實驗環境,以便開展實驗課及實訓課,實驗環境的建設包括硬件和軟件兩個方面。
在硬件建設上,學校采購主流網絡廠商的網絡設備,包括路由器、交換機、防火墻等。因為不同的網絡設備商的產品會有所區別,雖然同類型的設備結構基本一致,但不同廠商的產品操作方式是有區別的。為了讓學生更好的熟悉不同類型和不同廠商的的產品,我們把網絡設備分組,每組中至少包含一臺路由器、一臺三層交換機。不同組的設備型號和廠商會不同,每次實驗不同組的同學可以進行對比和交換實驗臺進行實驗。
在軟件實施上,采用中軟吉大的“網絡與信息安全教學實驗平臺系統”。對于密碼學,系統安全,網站漏洞檢測,病毒防御,VPN等主要內容,此實驗平臺都提供了模擬的實驗環境,能夠滿足對于本課程的實驗操作需求,而且有較詳細的實驗原理解釋,提供了大部分的實驗工具,為實驗準備節省了大量時間,可以讓老師和學生把主要精力集中在對應的實驗原理理解與操作過程中。此外,因為網絡安全實驗對實驗環境要求較高, 實驗操作也具有一定破壞性。我們還利用安裝虛擬機的方式消除實驗環境所帶來的影響。利用虛擬機進行所需網絡環境的組建,學生的實踐動手能力得到了很大的提高,利用網絡上開源的工具軟件,也能快速熟悉常見的網絡安全技術的實現與使用。這在實驗教學上取得了不錯的效果。
3.3 實驗項目設置
為了更好的讓學生將理論與實踐融合,深入理解理論課所學知識,我們重新設計了實驗內容(表1)。并且采用了分組實驗,“任務驅動”的方式進行,極大提高了學生動手實踐的主動性。
4 總結
網絡安全是網絡工程專業本科生較為重要的一門課程,它涉及到知識面廣泛,又不斷出現新技術,使得教學與實踐中不斷有問題出現。為使學生能夠掌握關鍵的網絡安全技術,具備規劃安全網絡方案的能力,本文在理論教學方法,實驗室建設,實驗內容的設置上進行了一些有益的嘗試。在獨立學院的教學過程中,我們注重培養學生動手實踐能力,采用多元化的教學方式,通過理論聯系實際,使學生盡快掌握所學知識,取得了良好的教學效果。
參考文獻:
[1] 陳志奎,劉旸,丁寧.基于項目管理方式的信息安全實驗教學方法探討[J].計算機教育,2009(15):140-143.
[2] 王昭順.“信息安全”本科專業人才培養的研究[J].計算機教育,2006(10):73-75.
[3] 王鳳英,程震.網絡與信息安全[M].北京:中國鐵道出版社, 2006.
