緒論:在尋找寫作靈感嗎�?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)安全技術(shù),愿這些內(nèi)容能夠啟迪您的思維���,激發(fā)您的創(chuàng)作熱情����,歡迎您的閱讀與分享!
篇1
摘要:隨著信息技術(shù)的迅速發(fā)展����,經(jīng)濟(jì)、文化�����、軍事和社會(huì)生活等很多方面越來(lái)越多的依賴計(jì)算機(jī)網(wǎng)絡(luò)�,此時(shí)的網(wǎng)絡(luò)已經(jīng)成為一個(gè)無(wú)處不在、無(wú)所不用的工具����。與此同時(shí),網(wǎng)絡(luò)安全問題也越來(lái)越突出��,由于多種因素的影響����,計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客�、惡意軟件和其它不軌行為的攻擊。計(jì)算機(jī)網(wǎng)絡(luò)是信息社會(huì)發(fā)展的基礎(chǔ)���,網(wǎng)絡(luò)安全技術(shù)是確保信息的安全與暢通的重要手段��。
關(guān)鍵詞:網(wǎng)絡(luò)安全技術(shù)防火墻安全審計(jì)系統(tǒng)
1 引言
21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化.它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無(wú)處不在�����。要想真正解決網(wǎng)絡(luò)安全問題,就得要從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)����、產(chǎn)業(yè)��、政策等方面來(lái)發(fā)展它�。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念,有效的安全策略或方案的制定,是網(wǎng)絡(luò)信息安全的首要目標(biāo)。運(yùn)用多種網(wǎng)絡(luò)安全技術(shù)來(lái)實(shí)現(xiàn)信息傳遞的安全與可靠是維護(hù)網(wǎng)絡(luò)安全的主要措施�。
2 影響網(wǎng)絡(luò)安全的主要因素
2.1 計(jì)算機(jī)病毒
計(jì)算機(jī)病毒的含義是,編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)���,影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼�����。它主要有程序性�����、傳染性�����、潛伏性��、可觸發(fā)性這四個(gè)特點(diǎn)��。
2.2 網(wǎng)絡(luò)資源共享性因素
資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的最主要的目的�����,但這又為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會(huì)�����。隨著聯(lián)網(wǎng)需求的日益增長(zhǎng)����,外部服務(wù)請(qǐng)求不可能做到完全的隔離,所以攻擊者就利用服務(wù)請(qǐng)求的機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包��。
2.3 網(wǎng)絡(luò)開放性因素
網(wǎng)上的任何一個(gè)用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個(gè)企業(yè)����、單位以及個(gè)人的敏感性信息�����。
3 網(wǎng)絡(luò)安全的主要技術(shù)
網(wǎng)絡(luò)安全的技術(shù)是指致力于解決諸如如何有效進(jìn)行介入控制��,以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段�。本論文主要介紹兩種網(wǎng)絡(luò)安全技術(shù):防火墻技術(shù)和安全審計(jì)系統(tǒng)。
3.1 防火墻技術(shù)
網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問控制�,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源���,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互連設(shè)備�����。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查�����,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)�。目前的防火墻產(chǎn)品主要有包過(guò)濾路由器����、應(yīng)用層網(wǎng)關(guān)(服務(wù)器)以及電路層網(wǎng)關(guān)�����、屏蔽主機(jī)防火墻等類型���。
包過(guò)濾型防火墻是建立在路由器上,在服務(wù)器或計(jì)算機(jī)上也可以安裝包過(guò)濾防火墻軟件���。包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址�、TCP/UDP源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),與網(wǎng)絡(luò)管理員預(yù)先設(shè)定的訪問控制表進(jìn)行比較,確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄��。封包過(guò)濾型控制方式最大的好處是效率高����,但卻有幾個(gè)嚴(yán)重缺點(diǎn):管理復(fù)雜,無(wú)法對(duì)連線作完全的控制���,規(guī)則設(shè)置的先后順序會(huì)嚴(yán)重影響結(jié)果��,不易維護(hù)以及記錄功能少����。
3.2 安全審計(jì)系統(tǒng)
安全審計(jì)系統(tǒng)是在一個(gè)特定的企事業(yè)單位的網(wǎng)絡(luò)環(huán)境下,為了保障業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)信息數(shù)據(jù)不受來(lái)自用戶的破壞���、泄密、竊取,而運(yùn)用各種技術(shù)手段實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為�、通信內(nèi)容,以便集中收集、分析��、報(bào)警��、處理的一種技術(shù)手段�。
3.2.1 安全審計(jì)系統(tǒng)的必要性
防火墻這種網(wǎng)絡(luò)安全技術(shù),可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為的管理和監(jiān)測(cè),如網(wǎng)絡(luò)連接和訪問的合法性進(jìn)行控制����、監(jiān)測(cè)網(wǎng)絡(luò)攻擊事件等,但是不能監(jiān)控網(wǎng)絡(luò)內(nèi)容和已經(jīng)授權(quán)的正常內(nèi)部網(wǎng)絡(luò)訪問行為,因此對(duì)正常網(wǎng)絡(luò)訪問行為導(dǎo)致的信息泄密事件、網(wǎng)絡(luò)資源濫用行為(即時(shí)通訊����、論壇、在線視頻、P2P下載��、網(wǎng)絡(luò)游戲等)也無(wú)能為力,也難以實(shí)現(xiàn)針對(duì)內(nèi)容�、行為的監(jiān)控管理及安全事件的追查取證。
3.2.2 安全審計(jì)系統(tǒng)的特點(diǎn)
1.細(xì)粒度的網(wǎng)絡(luò)內(nèi)容審計(jì) 安全審計(jì)系統(tǒng)可對(duì)系統(tǒng)訪問及操作���、網(wǎng)站訪問�����、郵件收發(fā)�、遠(yuǎn)程終端訪問�、數(shù)據(jù)庫(kù)訪問、論壇發(fā)帖等進(jìn)行關(guān)鍵信息監(jiān)測(cè)���、還原。
2.全面的網(wǎng)絡(luò)行為審計(jì) 安全審計(jì)系統(tǒng)可對(duì)網(wǎng)絡(luò)行為,如網(wǎng)站訪問���、郵件收發(fā)����、數(shù)據(jù)庫(kù)訪問��、遠(yuǎn)程終端訪問、即時(shí)通訊��、論壇���、在線視頻��、P2P下載�、網(wǎng)絡(luò)游戲等,提供全面的行為監(jiān)控,方便事后追查取證��。
3.綜合流量分析 安全審計(jì)系統(tǒng)可對(duì)網(wǎng)絡(luò)流量進(jìn)行綜合分析,為網(wǎng)絡(luò)帶寬資源的管理提供可靠的策略支持���。
篇2
【關(guān)鍵詞】校園網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 防火墻
作為一種豐富學(xué)習(xí)資源、拓展教學(xué)空間���、提高教育效率的有效手段����,信息化為教育的創(chuàng)新與普及提供了新的突破口��。與此同時(shí)����,網(wǎng)絡(luò)社會(huì)與生俱來(lái)的不安全因素�,如病毒���、黑客�、非法入侵,不健康信息等,也無(wú)時(shí)無(wú)刻不在威脅教育網(wǎng)絡(luò)的健康發(fā)展�,而成為教育信息化建設(shè)中不容忽視的問題。教育行業(yè)的信息安全需求�,無(wú)疑形成了一個(gè)龐大的市場(chǎng)��。
一、網(wǎng)絡(luò)安全的概念
網(wǎng)絡(luò)安全就是是要保護(hù)好網(wǎng)絡(luò)系統(tǒng)中的軟、硬件資源以及存儲(chǔ)在系統(tǒng)中的數(shù)據(jù),避免因偶然的或者惡意的原因而遭到破壞����,確保系統(tǒng)連續(xù)�����、可靠�����、高效的運(yùn)行���,保障網(wǎng)絡(luò)服務(wù)連續(xù)暢通。從狹義的角度來(lái)看�����,網(wǎng)絡(luò)安全是指防止外在的或者人為的原因破壞網(wǎng)絡(luò)系統(tǒng)資源:從廣義角度來(lái)看��,計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域囊括了信息的保密性、完整性�、可用性���、真實(shí)性和可控性的相關(guān)技術(shù)和理論��。
二、校園網(wǎng)絡(luò)威脅
與其它網(wǎng)絡(luò)一樣�,校園網(wǎng)面臨的威脅大體可分為對(duì)網(wǎng)絡(luò)中數(shù)據(jù)信息的危害和對(duì)網(wǎng)絡(luò)設(shè)備的危害�����。具體來(lái)說(shuō)����,危害網(wǎng)絡(luò)安全的主要威脅有:非授權(quán)訪問���,即對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等�;冒充合法用戶���,即利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限�����,以達(dá)到占用合法用戶資源的目的�����;破壞數(shù)據(jù)的完整性�����,即使用非法手段,刪除、修改�����、重發(fā)某些重要信息,以干擾用戶的正常使用����;干擾系統(tǒng)正常運(yùn)行��。指改變系統(tǒng)的正常運(yùn)行方法�����,減慢系統(tǒng)的響應(yīng)時(shí)間等手段;病毒與惡意攻擊�����,即通過(guò)網(wǎng)絡(luò)傳播病毒或惡意Java�、XActive等;線路竊聽���,即利用通信介質(zhì)的電磁泄漏或搭線竊聽等手段獲取非法信息�����。
三���、網(wǎng)絡(luò)安全防范的內(nèi)容
一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有機(jī)密性�����、完整性�、可用性�����、可控性��、可審查性與可保護(hù)性等特點(diǎn)����。計(jì)算機(jī)網(wǎng)絡(luò)不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全���,還要保護(hù)數(shù)據(jù)安全等�。因此針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題�����,實(shí)施網(wǎng)絡(luò)安全保護(hù)方案以確保計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性是每一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都要認(rèn)真對(duì)待的一個(gè)重要問題���。網(wǎng)絡(luò)安全防范的重點(diǎn)主要有兩個(gè)方面:一是計(jì)算機(jī)病毒�,二是黑客犯罪���。
四�����、校園網(wǎng)網(wǎng)絡(luò)安全的主要技術(shù)
網(wǎng)絡(luò)安全的主要技術(shù)有防火墻��、身份識(shí)別���、數(shù)字簽名、信息加密和防病毒技術(shù)等����。
(一)防火墻技術(shù)
防火墻的本義原是指古代人們房屋之間修建的那道墻,這里所說(shuō)的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)����,是在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間實(shí)施特定訪問控制策略的系統(tǒng)。它是保護(hù)可信網(wǎng)絡(luò)(用戶內(nèi)部網(wǎng))不受非可信的外部網(wǎng)(國(guó)際互聯(lián)網(wǎng)���、外部網(wǎng))訪問的機(jī)構(gòu)���,是整體安全防護(hù)體系的一個(gè)重要組成部分��。應(yīng)該說(shuō)����,在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型�,通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng)如校園網(wǎng))的連接,同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問��。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量�����,從而完成看似不可能的任務(wù)��;僅讓安全��、核準(zhǔn)了的信息進(jìn)入�����,同時(shí)又抵制對(duì)內(nèi)部網(wǎng)構(gòu)成威脅的數(shù)據(jù)�。防火墻技術(shù)是對(duì)黑客防范最嚴(yán)����,安全性較強(qiáng)的一種方式�����,任何關(guān)鍵性的服務(wù)器��,都建議放在防火墻之后�。
(二)身份識(shí)別
系統(tǒng)的安全性常常依賴于對(duì)終端用戶身份的正確識(shí)別與檢驗(yàn)�����,以防止用戶的欺詐行為�。身份驗(yàn)證一般包括兩個(gè)方面的含義:一個(gè)是識(shí)別,一個(gè)是驗(yàn)證���。所謂的識(shí)別是指對(duì)系統(tǒng)中的每個(gè)合法用戶都具有識(shí)別能力��。所謂驗(yàn)證是指系統(tǒng)對(duì)訪問者自稱的身份進(jìn)行驗(yàn)證�,以防假冒����。身份的驗(yàn)證主要有以下幾種方法:口令和通行字的方法;利用信物的身份驗(yàn)證�����;利用人類生物學(xué)特性進(jìn)行身份驗(yàn)證。
(三)數(shù)字簽名
數(shù)字簽名技術(shù)是基于公共密鑰的身份驗(yàn)證�����,公開密鑰的加密機(jī)制雖提供了良好的保密性�,但難以鑒別發(fā)送者,即任何得到公開密鑰的人都可以生成和發(fā)送報(bào)文���,數(shù)字簽名機(jī)制則在此基礎(chǔ)上提供了一種鑒別方法���,以解決偽造、抵賴����、冒充和篡改等問題����。大多數(shù)電子交易采用兩個(gè)密鑰加密:密文和用來(lái)解碼的密鑰一起發(fā)送,而該密鑰本身又被加密�,還需要另一個(gè)密鑰來(lái)解碼。這種組合加密被稱為數(shù)字簽名�,它有可能成為未來(lái)電子商業(yè)中首選的安全技術(shù)。
(四)信息加密
信息加密是網(wǎng)絡(luò)信息安全的核心技術(shù)之一,它對(duì)網(wǎng)絡(luò)信息安全起著別的安全技術(shù)無(wú)可替代的作用�����。數(shù)據(jù)加密技術(shù)是與防火墻配合使用的技術(shù)���,是通過(guò)對(duì)信息的重新組合�����,使得只有收發(fā)雙方才能解碼還原信息�����,是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性��,防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一�。
(五)防病毒技術(shù)
在所有計(jì)算機(jī)安全威脅中����,計(jì)算機(jī)病毒是最為嚴(yán)重的,它不僅發(fā)生的頻率高���、損失大����,而且潛伏性強(qiáng)、覆蓋面廣���。校園網(wǎng)絡(luò)中���,計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力。它的防范是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)���。防病毒技術(shù)包括預(yù)防病毒��、檢測(cè)病毒�、消除病毒等技術(shù)����。
五、結(jié)束語(yǔ)
校園網(wǎng)絡(luò)安全是一個(gè)長(zhǎng)期的����、動(dòng)態(tài)的過(guò)程�����,內(nèi)部人員的蓄意破壞、管理操作者的失誤�、網(wǎng)絡(luò)黑客的攻擊、操作系統(tǒng)公開或未公開的漏洞��、網(wǎng)絡(luò)架構(gòu)的變動(dòng)��、網(wǎng)絡(luò)安全人才的缺乏都將導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的不安全�,因此,校園網(wǎng)絡(luò)安全及技術(shù)防范任重而道遠(yuǎn)�����。只有通過(guò)不斷地努力����,我們的校園網(wǎng)才能夠在比較安全的環(huán)境下工作,才能充分發(fā)揮它的優(yōu)勢(shì)����,更好地為我們的教育事業(yè)服務(wù)。
篇3
摘要 隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步��、電子商務(wù)的發(fā)展���,網(wǎng)絡(luò)已深入到生活的方方面面���,隨之出現(xiàn)的網(wǎng)絡(luò)安全問題日益嚴(yán)竣���。如何保障網(wǎng)絡(luò)的穩(wěn)定正常運(yùn)行,維護(hù)人們的合法網(wǎng)絡(luò)權(quán)益成為了一個(gè)急需解決的問題�。本文從目標(biāo)��、需求及方案三方面淺述了如何維護(hù)網(wǎng)絡(luò)的安全��。
關(guān)鍵詞 防火墻�����;VPN����;網(wǎng)絡(luò)加密�;身份認(rèn)證
中圖分類號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2012)61-0195-02
0 引言
隨著互聯(lián)網(wǎng)的迅猛發(fā)展和廣泛應(yīng)用�����,網(wǎng)絡(luò)在給人們帶來(lái)便利提高效益的同時(shí),它的安全性逐漸成為一個(gè)越來(lái)越現(xiàn)實(shí)的嚴(yán)峻問題。各種網(wǎng)絡(luò)安全事件頻發(fā)�����,影響著企業(yè)或組織的正常運(yùn)行,因此研究如何解決網(wǎng)絡(luò)安全問題����,維持網(wǎng)絡(luò)的正常運(yùn)行具有十分現(xiàn)實(shí)的意義���。
1 方案目標(biāo)
本方案的目標(biāo)是將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持各級(jí)用戶或用戶群的安全網(wǎng)絡(luò)�。具體來(lái)說(shuō)�,安全目標(biāo)有以下幾點(diǎn):
1)采取多層防護(hù)手段,將受到入侵和破壞的概率降到最低��;2)提供迅速檢測(cè)非法使用和非法入侵的手段�����,核查并跟蹤入侵者的活動(dòng)��;3)提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段���,盡量降低損失��。
2 安全需求
根據(jù)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析及需要解決的問題�����,我們需要制定合理的方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性�����、完整性����、可用性、可控性與可審查性����。機(jī)密性即信息不泄露給未授權(quán)實(shí)體或進(jìn)程��;完整性保證了數(shù)據(jù)不被未授權(quán)的人或?qū)嶓w更改���;可用性即授權(quán)實(shí)體能夠訪問數(shù)據(jù)���;可控性保證能控制授權(quán)范圍內(nèi)的信息流向及操作方式;可審查性是對(duì)出現(xiàn)的安全問題提供依據(jù)與手段����。
3 解決方案
3.1 設(shè)計(jì)原則
根據(jù)網(wǎng)絡(luò)的實(shí)際情況����,解決安全保密問題是當(dāng)務(wù)之急����,并且考慮技術(shù)難度及經(jīng)費(fèi)等,設(shè)計(jì)時(shí)遵循如下原則:
1)大幅度地提高系統(tǒng)的保密性���;2)易于操作維護(hù)����,便于自動(dòng)化管理�;3)盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),同時(shí)便于系統(tǒng)擴(kuò)展�;4)安全系統(tǒng)有較高的性價(jià)比。
3.2 安全策略
1)采用漏洞掃描技術(shù)�,對(duì)核心交換機(jī)等重要設(shè)備進(jìn)行掃描防護(hù);
2)采用多種技術(shù)��,構(gòu)筑防御系統(tǒng)����,主要有:防火墻技術(shù)�����、虛擬專用網(wǎng)(VPN)���、網(wǎng)絡(luò)加密、身份認(rèn)證等���。
3.3 防御系統(tǒng)
3.3.1 物理安全
物理安全是保護(hù)計(jì)算機(jī)及各種網(wǎng)絡(luò)設(shè)備免遭地震�、水災(zāi)��、火災(zāi)等環(huán)境事故以及人為失誤或錯(cuò)誤���。為保證系統(tǒng)正常運(yùn)行���,應(yīng)采取如下措施:
1)產(chǎn)品保障方面:指網(wǎng)絡(luò)設(shè)備采購(gòu)��、運(yùn)輸�、安裝等方面的安全措施;
2)運(yùn)行安全方面:各種設(shè)備��,特別是安全類產(chǎn)品在使用過(guò)程中���,必須能從廠家或供貨商得到迅速的技術(shù)支持���;
3)保安方面:主要指防盜�����、防火等����。
3.3.2 防火墻技術(shù)
防火墻實(shí)質(zhì)是對(duì)通信的網(wǎng)絡(luò)進(jìn)行訪問控制,其目標(biāo)是通過(guò)控制信息進(jìn)出網(wǎng)絡(luò)的權(quán)限,使所有連接都經(jīng)過(guò)檢查,防止被保護(hù)的網(wǎng)絡(luò)遭外界的干擾和破壞�。防火墻根據(jù)事先定義的規(guī)則來(lái)檢測(cè)要進(jìn)入被保護(hù)網(wǎng)絡(luò)的信息是否能夠進(jìn)入。
根據(jù)采用的技術(shù)可將防火墻分為3類:包過(guò)濾型�����、型和監(jiān)測(cè)型���。
1)包過(guò)濾型
包過(guò)濾型依據(jù)是網(wǎng)絡(luò)信息的分包傳輸�����。要傳輸?shù)臄?shù)據(jù)被分成一定大小的包,每個(gè)包中都含有特定信息,如源地址�、目標(biāo)地址等。防火墻通過(guò)讀取數(shù)據(jù)包中的特定信息來(lái)判斷數(shù)據(jù)是否來(lái)自可信站點(diǎn) ,若發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn),防火墻則會(huì)拒絕這些數(shù)據(jù)進(jìn)入����。此技術(shù)優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,成本低。 其缺點(diǎn)是只能根據(jù)數(shù)據(jù)包的特定信息判斷數(shù)據(jù)是否安全,無(wú)法識(shí)別惡意入侵���。
2)型
型防火墻也叫服務(wù)器,其安全性高于包過(guò)濾產(chǎn)品����。服務(wù)器位于客戶機(jī)與服務(wù)器之間,當(dāng)客戶機(jī)要與服務(wù)器通信時(shí),先把請(qǐng)求發(fā)給服務(wù)器,服務(wù)器再根據(jù)其請(qǐng)求向服務(wù)器索取數(shù)據(jù),再由服務(wù)器將數(shù)據(jù)傳給客戶機(jī)��。服務(wù)器就是客戶機(jī)與服務(wù)器間的“傳話筒”����。此種防火墻優(yōu)點(diǎn)是安全性高,缺點(diǎn)是設(shè)置復(fù)雜,對(duì)整體性能有很大影響���。
3)監(jiān)測(cè)型
監(jiān)測(cè)型防火墻能夠?qū)Ω鲗訑?shù)據(jù)實(shí)時(shí)主動(dòng)地監(jiān)控,再分析,最后判斷出各層中是否有攻擊行為�。同時(shí),這種產(chǎn)品一般還帶有探測(cè)器,這些探測(cè)器安裝在應(yīng)用服務(wù)器和網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)中,不僅能檢測(cè)來(lái)自外部的攻擊,還能對(duì)內(nèi)部的惡意破壞進(jìn)行防范��。但此類產(chǎn)品成本高,所以應(yīng)用較少�。
3.3.3 VPN技術(shù)
VPN通過(guò)防火墻����、隧道技術(shù)�����、加密解密等實(shí)現(xiàn),是在公共網(wǎng)絡(luò)中建一道專線。它主要有3種:
1)遠(yuǎn)程訪問虛擬網(wǎng)(Access VPN)�����。Access VPN通過(guò)擁有相同策略的共享設(shè)施�,來(lái)提供遠(yuǎn)程訪問。適用于企業(yè)內(nèi)部常有流動(dòng)人員遠(yuǎn)程辦公的情況��;
2)企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)����。越來(lái)越多的企業(yè)需要在各地建立辦事處、分公司等����,傳統(tǒng)的通信方式是使用花銷大的租用專線方式。而使用Intranet VPN可以保證分公司安全地傳輸信息�;
3)Extranet VPN。此方式使用專用連接的共享設(shè)施�����,將合作伙伴連接到企業(yè)內(nèi)部網(wǎng)。
3.3.4加密技術(shù)
加密可以保證信息的機(jī)密性�。它是把要傳輸?shù)男畔⒂媚撤N算法和參數(shù)通過(guò)某種運(yùn)算形成無(wú)意義信息。要傳輸?shù)男畔槊魑?��,某種算法為加密算法����,無(wú)意義的信息為密文�,參數(shù)為密鑰。加密技術(shù)可分為對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)���。對(duì)稱加密技術(shù)加密和解密密鑰相同����。代表算法有DES,IDEA等����。非對(duì)稱加密技術(shù)也叫公開密鑰技術(shù),其加解密密鑰不同��。加密密鑰公開����,解密密鑰私有,不公開�。非對(duì)稱加密廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等領(lǐng)域�����。代表算法是RSA�。目前新的加密技術(shù)有密碼專業(yè)芯片、量子加密等��。
3.3.5 身份認(rèn)證
現(xiàn)在越來(lái)越多的人通過(guò)虛擬的網(wǎng)絡(luò)通信���,進(jìn)行電子商務(wù)等活動(dòng)�����,怎樣保證對(duì)方的合法身份呢����?這就需要身份認(rèn)證��。身份認(rèn)證的目的是驗(yàn)證信息收發(fā)方是否有合法的身份證明��。身份認(rèn)證主要有3個(gè)機(jī)構(gòu)組成。
1)認(rèn)證機(jī)構(gòu)CA
CA是一個(gè)權(quán)威實(shí)體���,主要職責(zé)是頒發(fā)證書�、驗(yàn)證用戶身份的真實(shí)性�。由CA簽發(fā)網(wǎng)絡(luò)用戶身份證明――證書,任何相信該CA的人����,也應(yīng)當(dāng)相信由CA頒發(fā)證書的用戶。
2)注冊(cè)機(jī)構(gòu)RA
RA是用戶和CA的接口�����,它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)����。RA不僅可以面對(duì)面登記,也可以遠(yuǎn)程登記����。
3)證書管理與撤消系統(tǒng)
隨著電子商務(wù)等活動(dòng)的發(fā)展,越來(lái)越多的證書就需要證書管理系統(tǒng)�����。當(dāng)已頒發(fā)證書不再有效時(shí)就需要撤消。證書撤消系統(tǒng)利用周期性機(jī)制撤消的證書�,也有在線查詢可隨時(shí)查詢已撤消的證書。
4 結(jié)論
本文主要介紹了一個(gè)多層次的網(wǎng)絡(luò)安全解決方案����,來(lái)為用戶提供信息的保密性����、完整性和身份的認(rèn)證,使網(wǎng)絡(luò)服務(wù)更安全可靠���。
參考文獻(xiàn)
[1]石志國(guó)���,等.計(jì)算機(jī)網(wǎng)絡(luò)安全教程.北京:清華大學(xué)出版社,2009.
篇4
近幾年中��,網(wǎng)絡(luò)運(yùn)營(yíng)商逐步認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性��,通過(guò)部署防火墻����、入侵防護(hù)設(shè)備、VPN等一系列的技術(shù)手段和措施來(lái)提高電信網(wǎng)絡(luò)的安全性����,但是整體的效果并不理想��,由于網(wǎng)絡(luò)安全問題導(dǎo)致的網(wǎng)絡(luò)癱瘓�����、流量異常���、數(shù)據(jù)泄露等情況仍然時(shí)有發(fā)生,而造成這些安全事件根本性的原因很大一部分是安全防護(hù)技術(shù)手段的缺失�。比如沒有形成全公司統(tǒng)一的網(wǎng)絡(luò)安全技術(shù)實(shí)施總體規(guī)劃,在實(shí)際的技術(shù)部署中缺乏縱深一體化的防護(hù)����,在系統(tǒng)規(guī)劃、設(shè)計(jì)��、建設(shè)階段缺乏對(duì)于網(wǎng)絡(luò)安全技術(shù)防護(hù)方面的考慮�,導(dǎo)致部分系統(tǒng)中沒有部署必要的安全防護(hù)設(shè)備;而部分系統(tǒng)中即使部署了安全設(shè)備但是策略配置不合理����,導(dǎo)致相應(yīng)的系統(tǒng)弱點(diǎn)完全暴露在公眾網(wǎng)絡(luò)中;網(wǎng)絡(luò)層沒有統(tǒng)一采用MAC綁定52的策略����,網(wǎng)內(nèi)時(shí)常發(fā)生ARP攻擊情況����;系統(tǒng)口令認(rèn)證方式單一����,容易被破解;運(yùn)行系統(tǒng)上的服務(wù)端口沒有實(shí)施最小化的控制���。此外在檢測(cè)手段上,漏洞檢測(cè)設(shè)備分布零星����,沒有形成遠(yuǎn)程控制、覆蓋全系統(tǒng)的部署方式�����,檢測(cè)的效率相對(duì)低下�����。在審計(jì)技術(shù)手段上��,部分關(guān)鍵業(yè)務(wù)系統(tǒng)缺乏操作審計(jì)的管控能力,對(duì)于流量分析缺少數(shù)據(jù)包分析能力�����。因此�����,本文從層次化安全防護(hù)部署���、自動(dòng)化安全檢測(cè)能力�、全方位安全審計(jì)能力三個(gè)方面對(duì)網(wǎng)絡(luò)安全技術(shù)手段進(jìn)行分析����。
1層次化安全防護(hù)部署
安全防護(hù)的目的是通過(guò)系統(tǒng)加固、安全設(shè)備部署等網(wǎng)絡(luò)安全技術(shù)手段����,實(shí)現(xiàn)對(duì)惡意或非惡意攻擊行為的防御,根據(jù)防護(hù)對(duì)象的不同�����,又可以分成四個(gè)維度。
1.1網(wǎng)絡(luò)層
網(wǎng)絡(luò)層的安全防護(hù)主要通過(guò)在網(wǎng)絡(luò)設(shè)備層面設(shè)置安全加固措施����,保障數(shù)據(jù)傳送的底層網(wǎng)絡(luò)能夠持續(xù)穩(wěn)定的運(yùn)行。首先需要保證網(wǎng)絡(luò)拓?fù)涞暮侠硇?��,增?qiáng)網(wǎng)絡(luò)設(shè)計(jì)時(shí)的健壯性�。在網(wǎng)絡(luò)架構(gòu)上保證內(nèi)外網(wǎng)的物理隔離����,防止外網(wǎng)的安全威脅蔓延至內(nèi)網(wǎng)中;確保網(wǎng)絡(luò)具備冗余倒換能力����,不存在網(wǎng)絡(luò)的單點(diǎn)故障�����;將不同的業(yè)務(wù)����、不同的用戶在網(wǎng)絡(luò)層面進(jìn)行隔離,降低用戶非授權(quán)訪問的可能性��;在關(guān)鍵網(wǎng)絡(luò)出口處部署防火墻設(shè)備或者設(shè)置訪問控制列表,限定外部網(wǎng)絡(luò)與受控業(yè)務(wù)系統(tǒng)之間可以進(jìn)行交互的應(yīng)用類型�;避免網(wǎng)絡(luò)設(shè)計(jì)中存在可旁路繞過(guò)安全防護(hù)設(shè)備的鏈路。其次啟用相應(yīng)的內(nèi)網(wǎng)�、外網(wǎng)防護(hù)技術(shù)手段,降低網(wǎng)絡(luò)層面遭遇攻擊的幾率����。啟用網(wǎng)絡(luò)接入的準(zhǔn)入機(jī)制,只有通過(guò)認(rèn)證的設(shè)備才允許進(jìn)行網(wǎng)絡(luò)訪問���;通過(guò)在網(wǎng)絡(luò)層部署反向路由檢測(cè)機(jī)制���,阻斷惡意用戶使用仿冒地址發(fā)起攻擊;通過(guò)在網(wǎng)絡(luò)層部署MAC地址綁定機(jī)制����,防止局域網(wǎng)內(nèi)的ARP攻擊;在業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)出口處啟用動(dòng)態(tài)路由協(xié)議的Peer認(rèn)證機(jī)制���,防止非授權(quán)的設(shè)備參與進(jìn)路由廣播和分發(fā)中,造成網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)的異常����。
1.2系統(tǒng)層
系統(tǒng)層的安全防護(hù)主要著眼于業(yè)務(wù)服務(wù)器��、維護(hù)終端及辦公終端操作系統(tǒng)的安全措施部署���。通過(guò)設(shè)置統(tǒng)一的補(bǔ)丁服務(wù)器��、病毒防護(hù)服務(wù)器�,實(shí)現(xiàn)各類主機(jī)系統(tǒng)升級(jí)補(bǔ)丁和病毒特征更新包的統(tǒng)一管理�、及時(shí),避免因操作系統(tǒng)漏洞未及時(shí)修補(bǔ)造成網(wǎng)絡(luò)安全的發(fā)生�;部署統(tǒng)一的集中認(rèn)證授權(quán)系統(tǒng)���,實(shí)現(xiàn)基于手機(jī)短信認(rèn)證���、令牌環(huán)認(rèn)證等方式的雙因子認(rèn)證機(jī)制��,根據(jù)認(rèn)證的結(jié)果分配給用戶對(duì)應(yīng)的訪問權(quán)限��,確保登錄用戶所能進(jìn)行的操作合法性�。
1.3應(yīng)用層
所有的業(yè)務(wù)提供能力最終都是體現(xiàn)為各種業(yè)務(wù)應(yīng)用,因此應(yīng)用層的防護(hù)能力高低,直接決定了一個(gè)業(yè)務(wù)網(wǎng)絡(luò)的安全程度����。在應(yīng)用層面需要實(shí)現(xiàn)最小化服務(wù)的原則,對(duì)于與業(yè)務(wù)和維護(hù)沒有關(guān)聯(lián)的應(yīng)用服務(wù)端口����,都應(yīng)予以關(guān)閉;針對(duì)所提供的Web應(yīng)用��,應(yīng)該部署WAF設(shè)備��,阻隔針對(duì)應(yīng)用的網(wǎng)絡(luò)攻擊行為���。
1.4數(shù)據(jù)層
數(shù)據(jù)層次主要數(shù)據(jù)的加密傳輸和保存�����,客戶端和服務(wù)端之間使用SSL����、SSH之類的安全加密傳輸協(xié)議進(jìn)行數(shù)據(jù)的交互����,確保數(shù)據(jù)在高強(qiáng)度的加密通道中進(jìn)行傳輸�����,不被篡改�、不被截獲�,通過(guò)對(duì)應(yīng)用系統(tǒng)的改造優(yōu)化,實(shí)現(xiàn)在服務(wù)器上存儲(chǔ)關(guān)鍵數(shù)據(jù)時(shí)使用MD5加密等方式進(jìn)行數(shù)據(jù)存儲(chǔ)����,降低存儲(chǔ)文件外泄后數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。
2自動(dòng)化安全檢測(cè)能力
安全檢測(cè)是通過(guò)主動(dòng)自主的對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行審視����,及早的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全問題,安全檢測(cè)技術(shù)能力的提升�,有助于企業(yè)能夠更為快速準(zhǔn)備的定位網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié),通過(guò)及時(shí)采取安全防護(hù)措施����,降低網(wǎng)絡(luò)安全隱患。
2.1漏洞掃描
漏洞掃描技術(shù)是在網(wǎng)絡(luò)安全檢測(cè)方面使用的最為廣泛的一種手段�����,通過(guò)自動(dòng)化的掃描工具和被檢測(cè)的系統(tǒng)進(jìn)行連接��,并讀取內(nèi)置的漏洞數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)交互情況的匹配��,以判斷目標(biāo)系統(tǒng)是否存在相應(yīng)的網(wǎng)絡(luò)安全漏洞���。根據(jù)掃描對(duì)象的不同���,漏洞掃描又可分為系統(tǒng)掃描和Web應(yīng)用掃描。為保證漏洞掃描技術(shù)手段部署的有效性�����,一方面需要考慮漏洞掃描工具選用的合理性���,工具是否具備較為完備的安全漏洞數(shù)據(jù)庫(kù)��,漏洞判定的原理依據(jù)是否合理有效����,漏洞掃描任務(wù)執(zhí)行速度是否快速�;另一方面需要系統(tǒng)化的考慮漏洞掃描工具的布放,通過(guò)集中管控�,分級(jí)部署的方式,使得漏洞掃描工具能夠通過(guò)遠(yuǎn)程管理和控制�,跨區(qū)域覆蓋到所有需檢測(cè)的網(wǎng)絡(luò)系統(tǒng)�����,自動(dòng)化執(zhí)行周期性的掃描任務(wù)�����,提升漏洞掃描工作任務(wù)執(zhí)行的效率���。
2.2基線檢查
基線檢查系統(tǒng)通過(guò)遠(yuǎn)程登錄目標(biāo)系統(tǒng)或者通過(guò)在目標(biāo)主機(jī)上運(yùn)行采集腳本,獲取目標(biāo)主機(jī)的實(shí)際配置情況����,與系統(tǒng)內(nèi)設(shè)置的各種系統(tǒng)、應(yīng)用的配置的標(biāo)準(zhǔn)項(xiàng)進(jìn)行對(duì)比核對(duì)����,找出其中的差異,即不合規(guī)項(xiàng)���,形成直觀的統(tǒng)計(jì)報(bào)表�。
3全方位安全審計(jì)能力
通過(guò)安全審計(jì)技術(shù)手段��,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)操作、流量特征行為進(jìn)行審核�����,發(fā)現(xiàn)網(wǎng)絡(luò)中所存在的違背安全策略的行為����,根據(jù)審計(jì)的結(jié)果�,做好事中處理或者事后補(bǔ)救的措施,保障企業(yè)的網(wǎng)絡(luò)安全���。
3.1操作審計(jì)
各運(yùn)維部門負(fù)責(zé)運(yùn)維種類繁多����,數(shù)量龐大的各式通信網(wǎng)元����,且參與運(yùn)維的人員眾多,但是相應(yīng)的運(yùn)維操作并沒有全部進(jìn)行審計(jì)管控�,存在網(wǎng)絡(luò)安全管控上的盲點(diǎn),因此完善在操作審計(jì)上的能力也是優(yōu)化網(wǎng)絡(luò)安全管理體系的重要環(huán)節(jié)����。通過(guò)全覆蓋式操作審計(jì)系統(tǒng)的覆蓋,實(shí)現(xiàn)對(duì)現(xiàn)網(wǎng)設(shè)備及應(yīng)用的集中操作審計(jì)�����,對(duì)運(yùn)營(yíng)商日常運(yùn)維操作的情況進(jìn)行記錄,保存運(yùn)維人員的登錄賬號(hào)名��,登錄時(shí)間�����,登錄結(jié)果�����,登錄IP地址以及操作帳號(hào)����,操作時(shí)間,操作命令���,操作結(jié)果等一系列操作信息�,周期性的對(duì)操作的情況進(jìn)行審核��,是否存在異常的操作行為���,同時(shí)在發(fā)生安全事件時(shí)���,也可通過(guò)操作審計(jì)系統(tǒng)進(jìn)行設(shè)備操作記錄的回溯�����,發(fā)現(xiàn)問題關(guān)鍵點(diǎn)。
3.2流量分析
在運(yùn)營(yíng)網(wǎng)絡(luò)中不光存在著正常的業(yè)務(wù)流量�,還有眾多的網(wǎng)絡(luò)攻擊、垃圾郵件�、蠕蟲病毒等產(chǎn)生的異常流量,對(duì)于這些異常流量的及時(shí)甄別��、快速處置是優(yōu)化網(wǎng)絡(luò)安全環(huán)境的關(guān)鍵步驟�����。運(yùn)營(yíng)商應(yīng)該在流量分析的手段上進(jìn)行補(bǔ)充完善�,形成以下幾個(gè)層次的分析能力:第一層次是基于SNMP協(xié)議,采集平臺(tái)網(wǎng)絡(luò)出口設(shè)備的端口進(jìn)出字節(jié)情況��,構(gòu)造出日常的流量圖形情況��,通過(guò)實(shí)施監(jiān)測(cè)發(fā)現(xiàn)流量突增突減的情況��,可以粗略的判斷是否存在網(wǎng)絡(luò)攻擊行為,及時(shí)對(duì)異常行為做出響應(yīng)��;第二層次是基于netflow技術(shù)�����,通過(guò)提取數(shù)據(jù)包的包頭��,獲取IP地址����、協(xié)議類型、應(yīng)用端口�、數(shù)據(jù)包進(jìn)出的設(shè)備端口、字節(jié)數(shù)等一系列信息�,構(gòu)建出整個(gè)網(wǎng)絡(luò)流量的整體視圖,分析網(wǎng)絡(luò)中存在的異常流量情況并進(jìn)行對(duì)應(yīng)的溯源�,準(zhǔn)確定位攻擊的源頭所在;第三層次是部署鏡像或者分光抓包的能力��,在網(wǎng)絡(luò)安全事件發(fā)生時(shí)�,具備快速響應(yīng)能力,及時(shí)獲取事件發(fā)生時(shí)���,被攻擊網(wǎng)絡(luò)的交互數(shù)據(jù)包情況��,通過(guò)對(duì)這些數(shù)據(jù)包的精準(zhǔn)分析���,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的方式方法�����,采取針對(duì)性的防護(hù)措施進(jìn)行防御�����。
3.3日志分析
網(wǎng)絡(luò)中系統(tǒng)、應(yīng)用���、安全設(shè)備所產(chǎn)生的記錄用戶的行為�����、系統(tǒng)狀態(tài)的日志��,為網(wǎng)絡(luò)安全事件的處置提供了大量重要的信息�,通過(guò)對(duì)來(lái)自網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的日志進(jìn)行關(guān)聯(lián)性分析����,可以判定出攻擊者什么時(shí)候通過(guò)什么手段發(fā)起的哪種類型的攻擊���,攻擊影響的范圍是多大。因此���,應(yīng)當(dāng)建立集中式的日志收集分析系統(tǒng)�,提高自身在網(wǎng)絡(luò)安全事中的技術(shù)處理手段���。
總之�����,網(wǎng)絡(luò)運(yùn)營(yíng)商在整個(gè)互聯(lián)網(wǎng)生態(tài)圈中提供最為基礎(chǔ)的通信管道�����,承擔(dān)著公共網(wǎng)絡(luò)的建設(shè)和維護(hù)的職責(zé)�����,因此一旦運(yùn)營(yíng)商的網(wǎng)絡(luò)遭遇黑客的惡意攻擊或者發(fā)生其他類似的安全問題����,所影響到的互聯(lián)網(wǎng)用戶范圍非常廣�����,造成的社會(huì)影響非常大。技術(shù)手段作為網(wǎng)絡(luò)安全的重中之重�,本文對(duì)其進(jìn)行了重點(diǎn)探討,希望能對(duì)未來(lái)網(wǎng)絡(luò)安全的發(fā)展貢獻(xiàn)一定的力量���。
作者:楊鈞 單位:烏魯木齊69022部隊(duì)
引用:
[1]上官曉麗.國(guó)際信息安全管理標(biāo)準(zhǔn)的相關(guān)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化����,2014.
[2]侯繼江.中國(guó)網(wǎng)絡(luò)安全防護(hù)工作開展思路及經(jīng)驗(yàn)總結(jié)[J].電信網(wǎng)技術(shù)����,2011.
[3]楊雪梅.基于PPDR模型的關(guān)鍵應(yīng)用信息系統(tǒng)防御體系[J].計(jì)算機(jī)與應(yīng)用化學(xué),2015.
篇5
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全��;安全技術(shù)
1個(gè)人計(jì)算機(jī)網(wǎng)絡(luò)安全
1.1個(gè)人計(jì)算機(jī)在網(wǎng)絡(luò)中所遭受攻擊與入侵手法的分析
(1)安全漏洞�����。
許多系統(tǒng)都有這樣那樣的安全漏洞��。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的,如TCP/IP協(xié)議的缺陷常被用于發(fā)動(dòng)拒絕服務(wù)入侵或攻擊�����。這種攻擊的目的通常是消耗帶寬或消耗網(wǎng)絡(luò)設(shè)備的CPU和內(nèi)存����。入侵者通過(guò)向目標(biāo)服務(wù)器發(fā)送大量的數(shù)據(jù)包,并幾乎占取和消耗該服務(wù)器所有的網(wǎng)絡(luò)帶寬,從而使其無(wú)法對(duì)正常的服務(wù)請(qǐng)求進(jìn)行處理,導(dǎo)致網(wǎng)站無(wú)法進(jìn)入,網(wǎng)站響應(yīng)速度大大降低或服務(wù)器癱瘓。對(duì)個(gè)人上網(wǎng)用戶而言,可能遭到大量數(shù)據(jù)包的入侵使其無(wú)法進(jìn)行正常操作���。
(2)電子郵件入侵方式���。
電子郵件是Internet上運(yùn)用得十分廣泛的一種通訊方式,入侵者往往會(huì)使用一些郵件炸彈或CGI程序向目標(biāo)郵箱發(fā)送大量?jī)?nèi)容重復(fù)、無(wú)用的垃圾郵件,從而使目標(biāo)郵箱被塞滿而無(wú)法使用���。
(3)防范特洛伊木馬程序��。
特洛伊木馬程序是一種黑客軟件程序,它可以直接侵入計(jì)算機(jī)系統(tǒng)的服務(wù)器端和用戶端����。一旦用戶打開附有該程序的郵件或從網(wǎng)上直接下載的程序后,它們就會(huì)像古特洛伊人在敵人城外留下藏滿士兵的木馬一樣留在用戶計(jì)算機(jī)中,當(dāng)用戶連接Internet時(shí),此程序會(huì)自動(dòng)向入侵者報(bào)告用戶主機(jī)的IP地址及預(yù)先設(shè)定的端口�。網(wǎng)絡(luò)入侵者在獲取這些信息后,就可任意修改用戶主機(jī)的參數(shù)設(shè)定、復(fù)制文件���、窺視硬盤中的內(nèi)容信息等,從而達(dá)到控制目的����。
1.2對(duì)網(wǎng)絡(luò)攻擊與入侵進(jìn)行防御的方法
(1)把Guest賬號(hào)禁用。
打開控制面板,雙擊“用戶和密碼”,單擊“高級(jí)”選項(xiàng)卡,再單擊“高級(jí)”按鈕,彈出本地用戶和組窗口�����。在Guest賬號(hào)上面點(diǎn)擊右鍵,選擇屬性,在“常規(guī)”頁(yè)中選中“賬戶已停用”�����。另外,將Administrator賬號(hào)改名可以防止黑客知道自己的管理員賬號(hào),這會(huì)在很大程度上保證計(jì)算機(jī)安全��。
(2)禁止建立空連接��。
具體方法是打開注冊(cè)表“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA”,將DWORD值“RestrictAnonymous”的鍵值改為“1”即可,
(3)刪除不必要的協(xié)議����。
鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,卸載不必要的協(xié)議,其中NETBIOS是很多安全缺陷的根源,對(duì)于不需要提供文件和打印共享的主機(jī),還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉,避免針對(duì)NETBIOS的攻擊。選擇“TCP/IP協(xié)議/屬性/高級(jí)”,進(jìn)入“高級(jí)
TCP/IP設(shè)置”對(duì)話框,選擇“WIN”標(biāo)簽,選擇“禁用TCP/IP上的NETBIOS”一項(xiàng),關(guān)閉NETBIOS�。
(4)保障電子郵件的使用安全。
①選擇安全可靠的郵件服務(wù)����。
目前,Internet上提供的Email賬戶大都是免費(fèi)賬戶,這些免費(fèi)的服務(wù)不提供任何有效的安全保障,有的免費(fèi)郵件服務(wù)器常會(huì)導(dǎo)致郵件受損����。因此最好選擇收費(fèi)郵件賬戶��。
②確保郵件賬號(hào)的安全防范����。
首先要保護(hù)好郵箱的密碼�。不要使用保存密碼功能以圖省事,入網(wǎng)賬號(hào)與口令應(yīng)重點(diǎn)保護(hù)。設(shè)置的口令不要太簡(jiǎn)單,最好采用8位數(shù)���。
③對(duì)重要郵件信息加密處理��。
可使用某些工具如A-LOCK,在發(fā)送郵件之前對(duì)內(nèi)容進(jìn)行加密,對(duì)方收到加密信件后必須采用A-LOCK解密后方可閱讀,可防止郵件被他人截獲而泄密�����。
(5)防范特洛伊木馬程序常用的方法�。
①預(yù)防特洛伊木馬程序���。
在下載文件時(shí)先放到自己新建的文件夾里,再用殺毒軟件來(lái)檢測(cè),起到提前預(yù)防的作用��。盡量避免下載可疑軟件,對(duì)于網(wǎng)上某些可疑的,誘惑性動(dòng)機(jī)比較明顯的軟件或信息,一般不要下載,以防染上“木馬”程序���。
②禁止不明程序運(yùn)行。
在“開始”“運(yùn)行”中msconfig,在“啟動(dòng)”選項(xiàng)中查看有沒有可疑項(xiàng)目,去掉前面的勾。
2網(wǎng)絡(luò)安全技術(shù)在商業(yè)領(lǐng)域中的研究及應(yīng)用
2.1防火墻技術(shù)
防火墻技術(shù)和數(shù)據(jù)加密傳輸技術(shù)將繼續(xù)沿用并發(fā)展����,多方位的掃描監(jiān)控、對(duì)后門渠道的管理����、防止受病毒感染的軟件和文件的傳輸?shù)仍S多問題將得到妥善解決。未來(lái)防火墻技術(shù)會(huì)全面考慮網(wǎng)絡(luò)的安全����、操作系統(tǒng)的安全、應(yīng)用程序的安全��、用戶的安全��、數(shù)據(jù)的安全�,五者綜合應(yīng)用。在產(chǎn)品及功能上�,將擺脫目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理方式的依賴,向遠(yuǎn)程上網(wǎng)集中管理方式發(fā)展�,并逐漸具備強(qiáng)大的病毒掃除功能;適應(yīng)IP加密的需求����,開發(fā)新型安全協(xié)議����,建立專用網(wǎng)(VPN)�;推廣單向防火墻���;增強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和預(yù)警功能����;完善安全管理工具����,特別是可疑活動(dòng)的日志分析工具,這是新一代防火墻在編程技術(shù)上的革新����。
2.2生物識(shí)別技術(shù)
隨著21世紀(jì)的來(lái)臨,一種更加便捷����、先進(jìn)的信息安全技術(shù)將全球帶進(jìn)了電子商務(wù)時(shí)代����,它就是集光學(xué)�����、傳感技術(shù)、超聲波掃描和計(jì)算機(jī)技術(shù)于一身的第三代身份驗(yàn)證技術(shù)——生物識(shí)別技術(shù)��。
生物識(shí)別技術(shù)是依靠人體的身體特征來(lái)進(jìn)行身份驗(yàn)證的一種解決方案�,由于人體特征具有不可復(fù)制的特性,這一技術(shù)的安全系數(shù)較傳統(tǒng)意義上的身份驗(yàn)證機(jī)制有很大的提高�。人體的生物特征包括指紋、聲音��、面孔���、視網(wǎng)膜����、掌紋�、骨架等,而其中指紋憑借其無(wú)可比擬的唯一性��、穩(wěn)定性��、再生性倍受關(guān)注�。
2.3加密及數(shù)字簽名技術(shù)
加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證,從而使基于Internet上的電子交易系統(tǒng)成為了可能�,因此完善的對(duì)稱加密和非對(duì)稱加密技術(shù)仍是21世紀(jì)的主流���。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰�����。
不對(duì)稱加密�����,即“公開密鑰密碼體制”���,其中加密密鑰不同于解密密鑰,加密密鑰公之于眾���,誰(shuí)都可以用�����,解密密鑰只有解密人自己知道�����,分別稱為“公開密鑰”和“秘密密鑰”�����。
目前�����,廣為采用的一種對(duì)稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)�����。在電腦網(wǎng)絡(luò)系統(tǒng)中使用的數(shù)字簽名技術(shù)將是未來(lái)最通用的個(gè)人安全防范技術(shù)����,其中采用公開密鑰算法的數(shù)字簽名會(huì)進(jìn)一步受到網(wǎng)絡(luò)建設(shè)者的親睞����。這種數(shù)字簽名的實(shí)現(xiàn)過(guò)程非常簡(jiǎn)單:①發(fā)送者用其秘密密鑰對(duì)郵件進(jìn)行加密,建立了一個(gè)“數(shù)字簽名”��,然后通過(guò)公開的通信途徑將簽名和郵件一起發(fā)給接收者��,接收者在收到郵件后使用發(fā)送者的另一個(gè)密匙——公開密鑰對(duì)簽名進(jìn)行解密����,如果計(jì)算的結(jié)果相同他就通過(guò)了驗(yàn)證����。數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始郵件不可抵賴性的鑒別�。②多種類型的專用數(shù)字簽名方案也將在電子貨幣、電子商業(yè)和其他的網(wǎng)絡(luò)安全通信中得到應(yīng)用��。
參考文獻(xiàn)
[1]熊桂喜,王小虎譯.計(jì)算機(jī)網(wǎng)絡(luò)(第3版)[M].
[2]王釗,蔣哲遠(yuǎn),胡敏.電子商務(wù)[M].
篇6
關(guān)鍵詞:網(wǎng)絡(luò)入侵;入侵檢測(cè)系統(tǒng);信息安全
中圖分類號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)35-9947-05
Network Safety Technology Research
ZHENG Xiao-xia
(The Basis of Teaching and Research, Dezhou Vocational and Technical College, Dezhou 253000, China)
Abstract: With the rapid development of networks, network information security problems are exposed. In this paper, the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis, the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.
Key words: network intrusion; intrusion detection systems; information security
1 前言
1.1 因特網(wǎng)的發(fā)展及其安全問題
隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的廣泛深入,網(wǎng)絡(luò)安全問題變得日益復(fù)雜和突出����。網(wǎng)絡(luò)的資源共享���、信息交換和分布處理提供了良好的環(huán)境,使得網(wǎng)絡(luò)深入到社會(huì)生活的各個(gè)方面,逐步成為國(guó)家和政府機(jī)構(gòu)運(yùn)轉(zhuǎn)的命脈和社會(huì)生活的支柱�����。這一方面提高了工作效率,另一方面卻由于自身的復(fù)雜性和脆弱性,使其受到威脅和攻擊的可能性大大增加���。眾所周知,因特網(wǎng)是世界上最大的計(jì)算機(jī)網(wǎng)絡(luò),它連接了全球不計(jì)其數(shù)的網(wǎng)絡(luò)與電腦。同時(shí)因特網(wǎng)也是世界上最開放的系統(tǒng),任何地方的電腦,只要遵守共同的協(xié)議即可加入其中��。因特網(wǎng)的特點(diǎn)就是覆蓋的地理范圍廣,資源共享程度高���。由于因特網(wǎng)網(wǎng)絡(luò)協(xié)議的開放性,系統(tǒng)的通用性,無(wú)政府的管理狀態(tài),使得因特網(wǎng)在極大地傳播信息的同時(shí),也面臨著不可預(yù)測(cè)的威脅和攻擊����。網(wǎng)絡(luò)技術(shù)越發(fā)展,對(duì)網(wǎng)絡(luò)進(jìn)攻的手段就越巧妙,越多樣性。一方面由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性和信息共享促進(jìn)了網(wǎng)絡(luò)的飛速發(fā)展,另一方面也正是這種開放性以及計(jì)算機(jī)本身安全的脆弱性,導(dǎo)致了網(wǎng)絡(luò)安全方面的諸多漏洞����。可以說(shuō),網(wǎng)絡(luò)安全問題將始終伴隨著因特網(wǎng)的發(fā)展而存在�����。所以,網(wǎng)絡(luò)的安全性同網(wǎng)絡(luò)的性能��、可靠性和可用性一起,成為組建����、運(yùn)行網(wǎng)絡(luò)不可忽視的問題。
1.2 我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀及其相關(guān)法律與制度
1.2.1 我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀
2007年“熊貓燒香”病毒的制作者成功抓獲并被判刑,說(shuō)明了政府高度重視網(wǎng)絡(luò)安全問題��。目前,國(guó)家依據(jù)信息化建設(shè)的實(shí)際情況,制訂了一系列法律文件和行政法規(guī)���、規(guī)章,為我國(guó)信息化建設(shè)的發(fā)展與管理起到了有利的促進(jìn)和規(guī)范作用,為依法規(guī)范和保護(hù)我國(guó)信息化建設(shè)健康有序發(fā)展提供了有利的法律依據(jù)��。
1.2.2 我國(guó)網(wǎng)絡(luò)安全相關(guān)法律與原則
2003年中辦下發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》是目前我國(guó)信息安全保障方面的一個(gè)綱領(lǐng)性文件�����。
我國(guó)網(wǎng)絡(luò)信息安全立法的原則
1)國(guó)家利益原則���。當(dāng)今天信息已成為社會(huì)發(fā)展的重要戰(zhàn)略資源,信息安全成為維護(hù)國(guó)家安全和社會(huì)穩(wěn)定的一個(gè)焦點(diǎn)�����。信息安全首先要體現(xiàn)國(guó)家利益原則�。
2)一致性原則�。要與在我國(guó)現(xiàn)行法律和國(guó)際法框架下制定的法律法規(guī)相一致,避免重復(fù)立法和分散立法,增強(qiáng)立法的協(xié)調(diào)性,避免立法的盲目性、隨意性和相互沖突��。
3)發(fā)展的原則�����。信息安全立法既要考慮規(guī)范行為,又要考慮促進(jìn)我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展�����。
4)可操作性原則����。要對(duì)現(xiàn)實(shí)有針對(duì)性,對(duì)實(shí)踐有指導(dǎo)性�����。
5)優(yōu)先原則。急需的先立法�����、先實(shí)施,如信息安全等級(jí)保護(hù)���、信息安全風(fēng)險(xiǎn)評(píng)估��、網(wǎng)絡(luò)信任���、信息安全監(jiān)控、信息安全應(yīng)急處理等方面要加緊立法��。
2 網(wǎng)絡(luò)安全協(xié)議
2.1 網(wǎng)絡(luò)安全協(xié)議對(duì)維護(hù)網(wǎng)絡(luò)安全的作用
Internet的開放式信息交換方式使其網(wǎng)絡(luò)安全具有脆弱性,而實(shí)現(xiàn)網(wǎng)絡(luò)安全的關(guān)鍵是保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性��。目前幾乎網(wǎng)絡(luò)的各個(gè)層次都指定了安全協(xié)議和具備了相應(yīng)的安全技術(shù),網(wǎng)絡(luò)安全協(xié)議可很好的保護(hù)信息在網(wǎng)絡(luò)中傳播����。在安全領(lǐng)域,一種“安全協(xié)議”被定義為“一種控制計(jì)算機(jī)間數(shù)據(jù)傳輸?shù)陌踩^(guò)程。
2.1.1 第二層隧道協(xié)議(L2TP)
第2層隧道協(xié)議(L2TP)是點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)的一個(gè)擴(kuò)展,L2TP數(shù)據(jù)包在用戶數(shù)據(jù)報(bào)協(xié)議(UDP)端口1701進(jìn)行交換����。ISP使用L2TP來(lái)建立VPN解決方案,使用該方案,用戶可以在載波網(wǎng)絡(luò)中更多地利用VPN的優(yōu)點(diǎn)���。由于L2TP符合國(guó)際標(biāo)準(zhǔn),因此不同開發(fā)商所開發(fā)的L2TP設(shè)備的協(xié)同能力大大增強(qiáng)。L2TP VPN已經(jīng)成為提供商使用的產(chǎn)品���。在裝有Cisco的網(wǎng)絡(luò)中,端到端的服務(wù)質(zhì)量(QoS)可以通過(guò)QoS技術(shù)的使用來(lái)保證IPSec負(fù)責(zé)數(shù)據(jù)加密,它同樣也是一種國(guó)際標(biāo)準(zhǔn)�����。IPSec對(duì)每個(gè)數(shù)據(jù)包的數(shù)據(jù)進(jìn)行初始認(rèn)證�、數(shù)據(jù)完整性檢測(cè)�、數(shù)據(jù)回放保護(hù)以及數(shù)據(jù)的機(jī)密性保護(hù)。從設(shè)計(jì)上來(lái)看,L2TP支持多協(xié)議傳輸環(huán)境,它能夠使用任何路由協(xié)議進(jìn)行傳輸,包括IP����、IPX以及AppleTalk。同時(shí),L2TP也支持任何廣域網(wǎng)傳送技術(shù),包括幀中繼����、ATM����、X.25或SONET,它還能夠支持各種局域網(wǎng)媒質(zhì),如以太網(wǎng)、快帶以太網(wǎng)、令牌環(huán)以及FDDI��。L2TP使用因特網(wǎng)及其網(wǎng)絡(luò)連接以使得終端能夠頒布在各個(gè)不同的地理位置上���。L2TP的最大安全之處在于它使用了IPSec,IPSec可以為連接提供機(jī)密性�����、數(shù)據(jù)包的認(rèn),以及保護(hù)控制信息和數(shù)據(jù)包不被重新發(fā)送����。
2.1.2 IPSec的技術(shù)優(yōu)勢(shì):
為數(shù)據(jù)的安全傳輸提供了身份驗(yàn)證�、完整性、機(jī)密性等措施,另外它的查驗(yàn)和安全與它的密鑰管理系統(tǒng)相連��。因此,如果未來(lái)的密鑰管理系統(tǒng)發(fā)生變化時(shí),IPSec的安全機(jī)制不需要進(jìn)行修改����。當(dāng)IPSec用于VPN網(wǎng)關(guān)時(shí),就可以建立虛擬專用網(wǎng)。在VPN網(wǎng)關(guān)的連內(nèi)部網(wǎng)的一端是一個(gè)受保護(hù)的內(nèi)部網(wǎng)絡(luò),另一端則是不安全的外部公共網(wǎng)絡(luò)�。兩個(gè)這樣的VPN網(wǎng)關(guān)建立起一個(gè)安全通道,數(shù)據(jù)就可以通過(guò)這個(gè)通道從一個(gè)本地的保護(hù)子網(wǎng)發(fā)送到一個(gè)遠(yuǎn)程的保護(hù)子網(wǎng),這就形成了一條VPN。在這個(gè)VPN中,每一個(gè)具有IPSec的VPN網(wǎng)關(guān)都是一個(gè)網(wǎng)絡(luò)聚合點(diǎn),試圖對(duì)VPN進(jìn)行通信分析將會(huì)失敗�����。
目的是VPN的所有通信都經(jīng)過(guò)網(wǎng)關(guān)上的SA來(lái)定義加密或認(rèn)證的算法和密鑰等參數(shù),即從VPN的一個(gè)網(wǎng)關(guān)出來(lái)的數(shù)據(jù)包只要符合安全策略,就會(huì)用相應(yīng)的SA來(lái)加密或認(rèn)證(加上AH或ESP報(bào)頭)。整個(gè)安全傳輸過(guò)程由IKE控制,密鑰自動(dòng)生成,所有的加密和解密可由兩端的網(wǎng)關(guān),對(duì)保護(hù)子網(wǎng)內(nèi)的用戶而言整個(gè)過(guò)程都是透明的��。
2.2 安全Shell(SSH)
安全Shell或者SSJ常用于遠(yuǎn)程登錄系統(tǒng),和過(guò)去使用的Telnet具有相同的目的����。然而Telnet和SSH的最大區(qū)別是:SSH大大加強(qiáng)了其連接的安全性。SSH是一個(gè)應(yīng)用程序,它為不可靠的��、存在潛在危險(xiǎn)的網(wǎng)絡(luò)(如因特網(wǎng))上的兩臺(tái)主機(jī)提供了一個(gè)加密的通信路徑���。因此,SSH防止了用戶口令及其他敏感數(shù)據(jù)以明文方式在網(wǎng)絡(luò)中傳輸�����。SSH解決了在因特網(wǎng)中最重要的安全問題:黑客竊取或破解口令的問題��。
SSH拒絕數(shù)據(jù)IP欺騙攻擊,保證能夠是哪臺(tái)主機(jī)發(fā)送了該數(shù)據(jù)���。加密數(shù)據(jù)包,用以防止其他中間主機(jī)截取明文口令及其他數(shù)據(jù)。IP源路由選擇,可以防止某臺(tái)主機(jī)偽裝它的上IP數(shù)據(jù)包來(lái)源于另一臺(tái)可信主機(jī)����。避免數(shù)據(jù)包傳送路徑上控制其他裝置的人處理數(shù)據(jù)�。SSH給安全領(lǐng)域帶來(lái)一個(gè)很有趣的功能:即使用隧道的SSH技術(shù)轉(zhuǎn)發(fā)某些數(shù)據(jù)包。FTP協(xié)議和X Windows協(xié)議都采用了這一功能。這中轉(zhuǎn)發(fā)功能使SSH能夠利用其他一些協(xié)議來(lái)控制主機(jī)終端與SSH連接的操作�����。你可能認(rèn)為通過(guò)SSH連接的隧道將是一個(gè)很不錯(cuò)的VPN選擇,但事實(shí)并非如此����。一種更好的解決方案就是通過(guò)VPN連接的SSH隧道技術(shù),因?yàn)檫@是一種很安全的連接發(fā)?���?傊?SSH是一個(gè)比較滸、用于加密網(wǎng)絡(luò)TCP會(huì)話的工具,它最常用于遠(yuǎn)程登錄以及增加網(wǎng)絡(luò)的安全性��。
3 網(wǎng)絡(luò)安全技術(shù)
3.1 使用網(wǎng)絡(luò)安全技術(shù)的意義
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn),網(wǎng)絡(luò)安全的問題已經(jīng)日益突出地?cái)[在各類用戶的面前���。據(jù)統(tǒng)計(jì)資料表明,目前在互聯(lián)網(wǎng)上大約有將近20%以上的用戶曾經(jīng)受過(guò)黑客的困擾�。盡管黑客如此猖獗,但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認(rèn)為網(wǎng)絡(luò)安全問題離自己尚遠(yuǎn),這一點(diǎn)從大約有40%以上的用戶,特別是企業(yè)級(jí)用戶沒有安裝防火墻便可以窺見一斑,而所有的問題都在向大家證明一個(gè)事實(shí),大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻引發(fā)的���。
3.2 防火墻
防火墻(Firewall )技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一,也是目前網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略應(yīng)用最為廣泛的工具之一。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)的�、潛在破壞性的侵入,可有效地保證網(wǎng)絡(luò)安全�����。它是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合����。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息�、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)�。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全��。
3.2.1 防火墻的種類
第一:從防火墻產(chǎn)品形態(tài)分類,防火墻可分為3種類型:
1)軟件防火墻
軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來(lái)說(shuō),這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān),俗稱“個(gè)人防火墻”。軟件防火墻就像其他的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用�。防火墻廠商中做網(wǎng)絡(luò)軟件版軟件防火墻最出名的莫過(guò)于Checkpoint。使用這類防火墻,需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉�。
2)硬件防火墻
硬件防火墻是指“所謂的硬件防火墻。之所以加上”所謂“二字是針對(duì)芯片級(jí)防火墻說(shuō)的。它們最大的差別在于是否基于專用的硬件平臺(tái)�����。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻,它們都基于PC架構(gòu),也就是說(shuō),它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng),最常用的有老版本的UNIX�、Linux和FreeBSD系統(tǒng)�����。值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會(huì)受到OS(操作系統(tǒng))本身的安全性影響��。
傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口,分別接內(nèi)網(wǎng)���、外網(wǎng)和DMZ區(qū)(非軍事化區(qū)),現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口,常見的四端防火墻一般將第4個(gè)端口作為配置口����、管理端口�。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目���。
3)芯片級(jí)防火墻
芯片級(jí)防火墻基于專門的硬件平臺(tái)及專用的操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高���。做這類防火墻最出名的廠商有NetScreen���、FortiNet����、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過(guò)價(jià)格相對(duì)比較高昂���。
第二:從防火墻所采用的技術(shù)不同,可分為包過(guò)濾型�����、型和監(jiān)測(cè)型三大類型��。
1)包過(guò)濾型
是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的他包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址���、目標(biāo)地址���、TCP/UDP源端口和目標(biāo)端口等��。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。優(yōu)點(diǎn)是:簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境簡(jiǎn)單的情況下能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全����。缺點(diǎn)是:只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入。
2)型
“型”防火墻也可以稱為服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品,并已經(jīng)開始實(shí)行向應(yīng)用層發(fā)展�。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流�����。從客戶機(jī)來(lái)看,服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,服務(wù)器又是一臺(tái)真正的客戶機(jī)。監(jiān)測(cè)型
3)監(jiān)測(cè)型
“監(jiān)測(cè)型”防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻對(duì)各層的數(shù)據(jù)進(jìn)行主動(dòng)���、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,臨測(cè)型防火墻有效地判斷出各層中的非法侵入����。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)系統(tǒng)的節(jié)點(diǎn)之中,不僅檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用
第三:從網(wǎng)絡(luò)體系結(jié)構(gòu)來(lái)進(jìn)行分類,可以將防火墻分為以下4種類型:
1)網(wǎng)絡(luò)級(jí)防火墻
一般是基于源地址和目的地址��、應(yīng)用或協(xié)議,以及每個(gè)IP包的端口來(lái)做出通過(guò)與否的判斷�����。網(wǎng)絡(luò)級(jí)防火墻簡(jiǎn)潔、速度快��、費(fèi)用低,并且對(duì)用戶透明,但是對(duì)網(wǎng)絡(luò)的保護(hù)有限,因?yàn)樗粰z查地址和端口,對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無(wú)理解能力���。
2)應(yīng)用級(jí)網(wǎng)關(guān)
也稱“型”防火墻,它檢查進(jìn)出的數(shù)據(jù)包,通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系���。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問控制,并做精細(xì)的注冊(cè)和稽核���。但每一種協(xié)議需要相應(yīng)的軟件,使用時(shí)工作量大,效率不如網(wǎng)絡(luò)級(jí)防火墻����。
3)電路級(jí)網(wǎng)關(guān)
用來(lái)監(jiān)近代受信任的客戶機(jī)或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來(lái)決定該會(huì)話是否合法,電路級(jí)網(wǎng)關(guān)在OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包,這樣比包過(guò)濾防火墻要高兩層���。另外,電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能:網(wǎng)絡(luò)地址轉(zhuǎn)換功能,將所有內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址,這個(gè)地址是由防火墻使用的。但是,作為電路級(jí)網(wǎng)關(guān)也存在著一睦缺陷,因?yàn)樵摼W(wǎng)關(guān)是在會(huì)話層工作的,它就無(wú)法檢查應(yīng)用層級(jí)的數(shù)據(jù)包�。
4)規(guī)則檢查防火墻
該防火墻結(jié)合了包過(guò)濾防火墻�����、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。它同包過(guò)濾防火墻一樣,規(guī)則檢查聞?dòng)嵒饓Υ驩SI網(wǎng)絡(luò)層上通過(guò)IP地址和端口號(hào),過(guò)濾進(jìn)出的數(shù)據(jù)包��??梢栽贠SI應(yīng)用層下檢查數(shù)據(jù)包的內(nèi)容,查看這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn),但是不同于一個(gè)應(yīng)用級(jí)網(wǎng)關(guān)的是,它并不打破客戶機(jī)/服務(wù)器模式來(lái)分析應(yīng)用層的數(shù)據(jù),它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接���。規(guī)則檢查防火墻不依靠與旅游區(qū)在用層有關(guān)的,而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過(guò)已知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出數(shù)據(jù)包,這樣從理論上就能比應(yīng)用級(jí)在過(guò)濾數(shù)據(jù)包上更有效�����。
第四:從防火墻的應(yīng)用部署位置來(lái)分,可將防火墻分為3種類型
1)邊界防火墻
這是最為傳統(tǒng)的那種,它們位于內(nèi)、外部網(wǎng)絡(luò)的邊蜀,所起的作用是對(duì)內(nèi)�、外部網(wǎng)絡(luò)實(shí)施隔離,保護(hù)邊界內(nèi)部網(wǎng)絡(luò)�。這類防火墻一般都是硬件類型的,價(jià)格較貴,性能較好���。
2)個(gè)人防火墻
安裝于單臺(tái)主機(jī)中,防護(hù)的也只是單臺(tái)主機(jī)����。這類防火墻應(yīng)于廣大的個(gè)人用戶,價(jià)格最便宜,性能也最差���。
3)混合式防火墻
也可以說(shuō)就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個(gè)軟、硬件組件組成,分布于內(nèi)��、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間,既對(duì)內(nèi)���、外部網(wǎng)絡(luò)之間通信進(jìn)行過(guò)濾,又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過(guò)濾��。它屬于最新的防火墻技術(shù)之一,性能最好,價(jià)格也最貴�。
3.2.2 防火墻中的關(guān)鍵技術(shù)
在實(shí)現(xiàn)防火墻的眾多技術(shù)中,如下技術(shù)是其實(shí)現(xiàn)的關(guān)鍵技術(shù):
3.2.2.1 包過(guò)濾技術(shù)
包過(guò)濾技術(shù)是在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢蒙蠈?duì)數(shù)據(jù)包實(shí)施有選擇的過(guò)濾��。采用這種技術(shù)的防火墻產(chǎn)品,通過(guò)在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾,根據(jù)所檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址�����、目的地址、所有的TCP端口號(hào)和TCP鏈路狀態(tài)等要素,然后依據(jù)一組預(yù)定義的規(guī)則,以允許合乎邏輯的數(shù)據(jù)包通過(guò)防火墻進(jìn)入到內(nèi)部網(wǎng)絡(luò),而將不合乎邏輯的數(shù)據(jù)包加以刪除�����。
優(yōu)點(diǎn):采用包過(guò)濾技術(shù)的包過(guò)濾防火墻具有明顯的優(yōu)點(diǎn),
1)一個(gè)過(guò)濾由器協(xié)助防護(hù)整個(gè)網(wǎng)絡(luò)
2)數(shù)據(jù)包過(guò)濾對(duì)用戶透明
3)包過(guò)濾路由器速度快�����、效率高
缺點(diǎn):通常它沒有用戶的使用記錄,這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄��。配置煩瑣也是包過(guò)濾防火墻的一個(gè)缺點(diǎn)���。沒有一定的經(jīng)驗(yàn),是不可能將過(guò)濾規(guī)則配置得完美的�。
3.2.2.2 應(yīng)用技術(shù)
技術(shù)是針對(duì)每一個(gè)特定應(yīng)用服務(wù)的控制�����。它作用于應(yīng)用層���。其具有狀態(tài)性的特點(diǎn),能提供部分與傳輸有關(guān)的狀態(tài),起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)的中間轉(zhuǎn)接作用��。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請(qǐng)求,拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請(qǐng)求��。提供服務(wù)的可以是一臺(tái)雙宿網(wǎng)關(guān),也可以是一臺(tái)保壘主機(jī)。
3.2.2.3 狀態(tài)檢查技術(shù)
狀態(tài)檢查技術(shù)也稱為應(yīng)用層網(wǎng)關(guān)技術(shù),是一種在網(wǎng)絡(luò)層實(shí)現(xiàn)防火墻功能的技術(shù)。它是在應(yīng)用層實(shí)現(xiàn)防火墻的功能,針對(duì)每一個(gè)特定應(yīng)用進(jìn)行檢驗(yàn)�����。服務(wù)不允許直接與真正的服務(wù)通信,而是與服務(wù)器通信(用戶的默認(rèn)網(wǎng)關(guān)指向服務(wù)器)��。各個(gè)應(yīng)用在用戶和服務(wù)之間處理所有的通信�。
優(yōu)點(diǎn):1)易于配置���。2)能生成各項(xiàng)記錄。3)能靈活�����、完全地控制進(jìn)出信息�。4)能過(guò)濾數(shù)據(jù)內(nèi)容�����。
缺點(diǎn):1)速度比路由器慢����。2)對(duì)用戶不透明�����。3)對(duì)于每項(xiàng)服務(wù),可能要求不同的服務(wù)器��。4)服務(wù)通常要求對(duì)客戶或過(guò)程進(jìn)行限制。5)服務(wù)受協(xié)議弱點(diǎn)的限制�。6)不能改進(jìn)底層協(xié)義的安全性���。
3.2.2.4 地址轉(zhuǎn)換技術(shù)
地址轉(zhuǎn)換技術(shù)是將一個(gè)IP地址用另一個(gè)IP地址代替�。它主要應(yīng)用于兩個(gè)方面,其一是網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)的IP地址���。其二是內(nèi)部網(wǎng)的IP地址是無(wú)效的�����。在此情況下,外部網(wǎng)不能訪問內(nèi)部網(wǎng),而內(nèi)部網(wǎng)之間主機(jī)可以互助訪問��。
3.2.2.5 內(nèi)容檢查技術(shù)
內(nèi)容檢查技術(shù)提供對(duì)高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控,以確保數(shù)據(jù)流的安全��。它是一個(gè)利用智能方式來(lái)分析數(shù)據(jù),使系統(tǒng)免受信息內(nèi)容安全威脅的軟件組合��。
3.3 網(wǎng)絡(luò)入侵檢測(cè)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)環(huán)境變得越來(lái)越復(fù)雜,網(wǎng)絡(luò)攻擊方式的不斷翻新。網(wǎng)絡(luò)系統(tǒng)的安全管理,是一個(gè)非常復(fù)檢錄煩瑣的事情�。入侵檢測(cè)技術(shù)和漏洞掃描技術(shù)通過(guò)從目標(biāo)系統(tǒng)和網(wǎng)絡(luò)資源中采集信息,分析來(lái)自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號(hào)和網(wǎng)絡(luò)系統(tǒng)中的漏洞,甚至實(shí)時(shí)地對(duì)攻擊做了反應(yīng)。入侵檢測(cè)系統(tǒng)和入侵保護(hù)系統(tǒng)是防火墻極其有益的補(bǔ)充,它能對(duì)非法入侵行為進(jìn)行全面的臨測(cè)和防護(hù)。在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前,檢測(cè)到入侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊��。入侵檢測(cè)技術(shù)被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽,從而提供針對(duì)內(nèi)部攻擊�、外部攻擊和誤操作的實(shí)時(shí)防護(hù),大大提高了網(wǎng)絡(luò)的安全性�����。
3.3.1 入侵檢測(cè)系統(tǒng)技術(shù)
入侵檢測(cè)系統(tǒng)技術(shù)可以采用概率統(tǒng)計(jì)方法�����、專家系統(tǒng)�、神經(jīng)網(wǎng)絡(luò)、模式匹配�、行為分析等來(lái)實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)的檢測(cè)機(jī)制,以分析事件的審計(jì)記錄、識(shí)別特定的模式���、生成檢測(cè)報(bào)告和最終的分析結(jié)果���。
3.3.2 入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)的核心就是通過(guò)對(duì)系統(tǒng)數(shù)據(jù)的分析,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。將入侵檢測(cè)的軟件與硬件進(jìn)行組合便是入侵檢測(cè)系統(tǒng)����。與其他安全產(chǎn)品不同的是入侵檢測(cè)系統(tǒng)需要更多的智能必須可以對(duì)得到的數(shù)據(jù)進(jìn)行分析,并得出有用的結(jié)果,一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大地簡(jiǎn)化管理員的工作,保證網(wǎng)絡(luò)安全的運(yùn)行。其實(shí),入侵檢測(cè)系統(tǒng)是一個(gè)曲型的“窺探設(shè)備”��。它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽端口,無(wú)須轉(zhuǎn)發(fā)任何流量,而只需要在網(wǎng)絡(luò)上被動(dòng)地�����、無(wú)聲無(wú)息地收集它所關(guān)心的報(bào)文即可。
3.4 虛擬專用網(wǎng)(VPN)
VPN是目前解決信息安全問題的一個(gè)最新�����、最成功的技術(shù)之一�����。所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),使數(shù)據(jù)通過(guò)安全的“加密管道”在公共網(wǎng)絡(luò)中傳播�����。虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò),但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能���。虛擬專用網(wǎng)絡(luò)指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商),在公有網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)�����。在虛擬專用網(wǎng)絡(luò)中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的����。IETF草案理解基于IP的VPN為:“使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”,通過(guò)私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)�����。
一個(gè)典型VPN的組成部分如圖1所示�����。
圖1各個(gè)組件作用如下:VPN服務(wù)器:接受來(lái)自VPN客戶機(jī)的連接請(qǐng)求���。VPN客戶機(jī):可以是終端計(jì)算機(jī)也可以是路由器�����。隧道:數(shù)據(jù)傳輸通道,在其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過(guò)封裝���。VPN連接:在VPN連接中,數(shù)據(jù)必須經(jīng)過(guò)加密。隧道協(xié)議:封裝數(shù)據(jù)���、管理隧道的通信標(biāo)準(zhǔn)�����。傳輸數(shù)據(jù):經(jīng)過(guò)封裝���、加密后在隧道上傳輸?shù)臄?shù)據(jù)。公共網(wǎng)絡(luò):如Internet,也可以是其他共享網(wǎng)絡(luò)��。
3.5 訪問控制的概念
訪部控制是通過(guò)一個(gè)參考監(jiān)視器,在每一次用戶對(duì)系統(tǒng)目標(biāo)進(jìn)行訪問時(shí),都由它來(lái)調(diào)節(jié),包括限制合法用戶的行為。訪問控制是信息安全保障機(jī)制的核心內(nèi)容,它是實(shí)現(xiàn)數(shù)據(jù)保密性和完整性機(jī)制的主要手段�����。訪問控制是為了限制訪問主體(或稱為發(fā)起者,是一個(gè)主動(dòng)的實(shí)體;如用戶�、進(jìn)程、服務(wù)等),對(duì)訪問客體(需要保護(hù)的資源)的訪問權(quán)限,從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用;訪問控制機(jī)制決定用戶及代表一定用戶利益的程序能做什么,及做到什么程度����。所有的操作系統(tǒng)都支持訪問控制。
訪問控制的兩個(gè)重要過(guò)程:1)通過(guò)鑒別(authentication)來(lái)檢驗(yàn)主體的合法身份:2)通過(guò)授權(quán)(authorization)來(lái)限制用戶對(duì)資源的訪問級(jí)別�。訪問包括讀取數(shù)據(jù),更改數(shù)據(jù),運(yùn)行程序,發(fā)起連接等。訪問控制所要控制的行為有以下幾類:1)讀取數(shù)據(jù);2)運(yùn)行可執(zhí)行文件;3)發(fā)起網(wǎng)絡(luò)連接等�。
3.5.1 訪問控制應(yīng)用類型
根據(jù)應(yīng)用環(huán)境的不同,訪問控制主要有以下三種:1)網(wǎng)絡(luò)訪問控制;2)主機(jī)、操作系統(tǒng)訪問控制;3)應(yīng)用程序訪問控制��。由于本文討論的主要為網(wǎng)絡(luò)中的訪問控制�。所以主機(jī)、操作系統(tǒng)的訪問控制
及應(yīng)用程序的訪問控制在這里就不做討論��。網(wǎng)絡(luò)訪問控制機(jī)制應(yīng)用在網(wǎng)絡(luò)安全環(huán)境中,主要是限制用戶可以建立什么樣的連接以及通過(guò)網(wǎng)絡(luò)傳輸什么樣的數(shù)據(jù),這就是傳統(tǒng)的網(wǎng)絡(luò)防火墻�。此外,加密的方法也常被用來(lái)提供實(shí)現(xiàn)訪問控制。
3.5.2 強(qiáng)制訪問控制(MAC)
強(qiáng)制訪問控制與自主訪問控制因?qū)崿F(xiàn)的基本理念不同,訪問控制可分為強(qiáng)制訪問控制(Mandatory accesscontrol)和自主訪問控制(Discretionary access control)��。用來(lái)保護(hù)系統(tǒng)確定的對(duì)象,對(duì)此對(duì)象用戶不能進(jìn)行更改。也就是說(shuō),系統(tǒng)獨(dú)立于用戶行為強(qiáng)制執(zhí)行訪問控制,用戶不能改變他們的安全級(jí)別或?qū)ο蟮陌踩珜傩?�。這樣的訪問控制規(guī)則通常對(duì)數(shù)據(jù)和用戶按照安全等級(jí)劃分標(biāo)簽,訪問控制機(jī)制通過(guò)比較安全標(biāo)簽來(lái)確定的授予還是拒絕用戶對(duì)資源的訪問�����。強(qiáng)制訪問控制進(jìn)行了很強(qiáng)的等級(jí)劃分,所以經(jīng)常用于軍事用途��。在強(qiáng)制訪問控制系統(tǒng)中,所有主體(用戶,進(jìn)程)和客體(文件,數(shù)據(jù))都被分配了安全標(biāo)簽,安全標(biāo)簽標(biāo)識(shí)一個(gè)安全等級(jí)���。主體(用戶,進(jìn)程)被分配一個(gè)安全等級(jí),客體(文件,數(shù)據(jù))也被分配一個(gè)安全等級(jí)。訪問控制執(zhí)行時(shí)對(duì)主體和客體的安全級(jí)別進(jìn)行比較�����。
用一個(gè)例子來(lái)說(shuō)明強(qiáng)制訪問控制規(guī)則的應(yīng)用,如WEB服務(wù)以“秘密”的安全級(jí)別運(yùn)行�����。例如WEB服務(wù)器被攻擊,攻擊者在目標(biāo)系統(tǒng)中以“秘密”的安全級(jí)別進(jìn)行操作,他將不能訪問系統(tǒng)中安全級(jí)為“機(jī)密”及“高密”的數(shù)據(jù)����。
4 網(wǎng)絡(luò)安全策略
4.1 網(wǎng)絡(luò)安全系統(tǒng)策略
從根本意義上講,絕對(duì)安全的網(wǎng)絡(luò)是不可能有的。只要使用,就或多或少地存在安全問題���。我們?cè)谔接懓踩珕栴}的時(shí)候,實(shí)際上是指一定程度的網(wǎng)絡(luò)安全���。一般說(shuō)來(lái),網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)的開放性����、便利性和靈活性為代價(jià)的�����。計(jì)算機(jī)網(wǎng)絡(luò)信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,國(guó)際上普遍認(rèn)為:它不僅涉及到技術(shù)���、設(shè)備����、人員管理等范疇,還應(yīng)該依法律規(guī)范作保證,只有各方面結(jié)合起來(lái),相互彌補(bǔ),不斷完善,才能有效地實(shí)現(xiàn)網(wǎng)絡(luò)信息安全��。這里僅從技術(shù)的角度探討網(wǎng)絡(luò)信息安全的對(duì)策�。
4.2 網(wǎng)絡(luò)安全系統(tǒng)策略的制定
4.2.1 物理安全策略
物理安全的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器�����、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害��、人為破壞和搭線竊聽攻擊;防止用戶越權(quán)操作;確保網(wǎng)絡(luò)設(shè)備有一個(gè)良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進(jìn)入控制室和各種偷竊、破壞活動(dòng)的發(fā)生���。抑制和防止電磁泄漏是物理安全策略的一個(gè)主要問題�。
4.2.2 數(shù)據(jù)鏈層路安全策略
數(shù)據(jù)鏈路層的網(wǎng)絡(luò)安全需要保證通過(guò)網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽,主要采用劃分VLAN(虛擬局域網(wǎng))����、加密通信(遠(yuǎn)程網(wǎng))等手段。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)���、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)����。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種��。
4.2.3 網(wǎng)絡(luò)層安全策略
網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù),保證網(wǎng)絡(luò)路由正確,避免攔截或監(jiān)聽����。用于解決網(wǎng)絡(luò)層安全性問題的主要有防火墻和VPN(虛擬專用網(wǎng))。防火墻是在網(wǎng)絡(luò)邊界上通過(guò)建立起惡報(bào)相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入�����。
4.2.4 遵循“最小授權(quán)”策略
“最小授權(quán)”原則指網(wǎng)絡(luò)中帳號(hào)設(shè)置、服務(wù)配置���、主機(jī)間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度���。關(guān)閉網(wǎng)絡(luò)安全策略中沒有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小限度、及時(shí)刪除不必要的帳號(hào)等措施可以將系統(tǒng)的危險(xiǎn)性大大降低�����。
4.2.5 建立并嚴(yán)格執(zhí)行規(guī)章制度的策略
在網(wǎng)絡(luò)安全中,除了采用技術(shù)措施之外,制定有關(guān)規(guī)章制度,對(duì)于確保網(wǎng)絡(luò)安全��、可靠地運(yùn)行將起到十分有效的作用��。規(guī)章制度作為一項(xiàng)核心內(nèi)容,應(yīng)始終貫穿于系統(tǒng)的安全生命周期�。一般來(lái)說(shuō),安全與方便通常是互相矛盾的。一旦安全管理與其它管理服務(wù)存在沖突的時(shí)候,網(wǎng)絡(luò)安全往往會(huì)作出讓步,或許正是由于一個(gè)細(xì)微的讓步,最終導(dǎo)致了整個(gè)系統(tǒng)的崩潰���。因此,嚴(yán)格執(zhí)行安全管理制度是網(wǎng)絡(luò)可靠運(yùn)行的重要保障�����。
5 結(jié)論
當(dāng)前,如何確保計(jì)算機(jī)網(wǎng)絡(luò)的安全性是任何一個(gè)網(wǎng)絡(luò)的設(shè)計(jì)者和管理者都極為關(guān)心的熱點(diǎn)����。由于因特網(wǎng)協(xié)議的開放性,使得計(jì)算機(jī)網(wǎng)絡(luò)的接入變得十分容易。正是在這樣得背景下,能夠威脅到計(jì)算機(jī)網(wǎng)絡(luò)安全的因素就非常多����。因此,人們研究和開發(fā)了各種安全技術(shù)和手段,努力構(gòu)建一種可靠的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。這種安全系統(tǒng)的構(gòu)建實(shí)際上就是針對(duì)己經(jīng)出現(xiàn)的各種威脅(或者是能夠預(yù)見的潛在威脅),采用相應(yīng)的安全策略與安全技術(shù)解除這些威脅對(duì)網(wǎng)絡(luò)的破壞的過(guò)程����。當(dāng)然,隨著計(jì)算機(jī)網(wǎng)絡(luò)的擴(kuò)大,威脅網(wǎng)絡(luò)安全因素的變化使得這個(gè)過(guò)程是一個(gè)動(dòng)態(tài)的過(guò)程。計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實(shí)際上是入侵者與反入侵者之間的持久的對(duì)抗過(guò)程��。所以任何計(jì)算機(jī)網(wǎng)絡(luò)安全體系一定不是可以一勞永逸地防范任何攻擊的完美系統(tǒng),人們力圖建立的只能是一個(gè)動(dòng)態(tài)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)�。它是一個(gè)動(dòng)態(tài)加靜態(tài)的防御,本文首先從多個(gè)角度研究了計(jì)算機(jī)網(wǎng)絡(luò)的安全性,針對(duì)各種不同的威脅與攻擊研究了解決它們的相應(yīng)安全技術(shù)與安全協(xié)議。接下來(lái),在一般意義下制定計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的策略與原則,提出了計(jì)算機(jī)網(wǎng)絡(luò)安全的實(shí)現(xiàn)模型���。計(jì)算機(jī)網(wǎng)絡(luò)安全取決于安全技術(shù)與網(wǎng)絡(luò)管理兩大方面。從技術(shù)角度來(lái)講,計(jì)算機(jī)網(wǎng)絡(luò)安全又取決于網(wǎng)絡(luò)設(shè)備的硬件與軟件兩個(gè)方面,網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合才能較好地實(shí)現(xiàn)網(wǎng)絡(luò)安全�。但是,由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對(duì)其上的信息提供的一種增值服務(wù),人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸,因此,將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實(shí)現(xiàn),實(shí)現(xiàn)快速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個(gè)主要方向。另一方面,在安全技術(shù)不斷發(fā)展的同時(shí),全面加強(qiáng)安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)重要內(nèi)容�。因?yàn)榧词褂辛司W(wǎng)絡(luò)安全的理論基礎(chǔ),沒有對(duì)網(wǎng)絡(luò)安全的深刻認(rèn)識(shí)、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中,那么談再多的網(wǎng)絡(luò)安全也是無(wú)用的���。同時(shí),網(wǎng)絡(luò)安全不僅僅是防火墻,也不是防病毒�、入侵監(jiān)測(cè)����、防火墻�、身份認(rèn)證�����、加密等產(chǎn)品的簡(jiǎn)單堆砌,而是包括從系統(tǒng)到應(yīng)用�����、從設(shè)備到服務(wù)的比較完整的�、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合。除了網(wǎng)絡(luò)安全技術(shù),還要強(qiáng)調(diào)網(wǎng)絡(luò)安全策略和管理手段的重要性����。只有做到這些的綜合,才能確保網(wǎng)絡(luò)安全。本文盡管對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行了較深入的研究��。但是,計(jì)算機(jī)網(wǎng)絡(luò)安全的問題是一個(gè)永久的課題,它將隨著計(jì)算機(jī)技術(shù)��、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展而一直存在���、一直發(fā)展���。計(jì)算機(jī)網(wǎng)絡(luò)的威脅與計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)的關(guān)系就象是“矛”和“盾”的關(guān)系一樣,沒有無(wú)堅(jiān)不摧的矛����、也沒有無(wú)法攻破的盾����。從理論上講這種做法的正確的,但在具體的折中方法上就有大量的研究及實(shí)驗(yàn)工作可做。由于本文作者水平有限以及時(shí)間有限等的原因,本文的折中是有進(jìn)一步研究和改進(jìn)的必要的��?����?傊?計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)是個(gè)永無(wú)止境的研究課題�����。
參考文獻(xiàn):
[1] Stallings W.網(wǎng)絡(luò)安全要素一應(yīng)用與標(biāo)準(zhǔn)[M].北京:人民郵電出版社,2000.
[2] 張小斌,嚴(yán)望佳.黑客分析與防范技術(shù)[M].北京:清華大學(xué)出版社,1999.
[3] 余建斌,黑客的攻擊手段及用戶對(duì)策[M].北京:人民郵電出版社,1998.
[4] 彭杰.計(jì)算機(jī)網(wǎng)絡(luò)安全問題的探討[M].現(xiàn)代電子技術(shù),2002.
[5] 郝玉潔,.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].電子科技大學(xué)學(xué)報(bào)社科版,2002,4(1).
[6] 陳朝陽(yáng),潘雪增,平鈴娣.新型防火墻的設(shè)計(jì)和實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2002(11).
[7] 劉美蘭,姚京松.入侵檢測(cè)預(yù)警系統(tǒng)及其性能設(shè)計(jì)[C]//卿斯?jié)h,馮登國(guó).信息和通信安全CCICS'99:第1屆中國(guó)信息和通信安全學(xué)術(shù)會(huì)議論文集.北京:科學(xué)出版社,2000.
[8] 陳曉蘇,林軍,肖道舉.基于多的協(xié)同分布式入侵檢測(cè)系統(tǒng)模型[J].華中科技大學(xué)學(xué)報(bào):自然科學(xué)版,2002,30(2).
[9] 王惠芳.虛擬專用網(wǎng)的設(shè)計(jì)及安全性分析[J].計(jì)算機(jī)工程,2001(6).
篇7
1.1非授權(quán)型訪問�����,是指在沒有獲取相關(guān)批準(zhǔn)的情況下就私自運(yùn)用相關(guān)的計(jì)算機(jī)網(wǎng)絡(luò)和資源
主要是指用來(lái)編制與調(diào)試能夠?qū)⒕W(wǎng)絡(luò)的另一邊聯(lián)系起來(lái)的計(jì)算機(jī)程���,從而獲得非法或缺少授權(quán)的訪問權(quán)限。比如故意跳過(guò)系統(tǒng)的訪問管控系統(tǒng)�,利用不正當(dāng)方式運(yùn)用相關(guān)的網(wǎng)絡(luò)設(shè)施與資源�����,或缺少必要授權(quán)的訪問數(shù)據(jù)�。主要有以下幾種類型:攻擊�,偽造身份,在未經(jīng)授權(quán)的合法用戶的非法操作�����,非法用戶的網(wǎng)絡(luò)接入系統(tǒng)的違法行為等�。
1.2數(shù)據(jù)丟失,是指各類較為敏感的信息遭到泄露或丟失
信息的完整性遭到損壞����,也就是運(yùn)用不合法的手段對(duì)相關(guān)信息進(jìn)行訪問于操作,對(duì)相關(guān)信息實(shí)施刪除�����、插入��、修改等活動(dòng)�����,從而令用戶不能夠順利工作,進(jìn)而滿足攻擊者的非法目的�����。此外還有黑客攻擊�,最終導(dǎo)致財(cái)務(wù)表格和各類重要數(shù)據(jù)均被修改或損壞,進(jìn)而給相關(guān)企業(yè)造成巨大的經(jīng)濟(jì)損失���。更有甚者���,令信息失效,系統(tǒng)崩潰����,進(jìn)而使整個(gè)網(wǎng)絡(luò)系統(tǒng)都無(wú)法順利運(yùn)轉(zhuǎn),這種情況所引發(fā)的后果比賬號(hào)被盜所遭受的后果還要嚴(yán)重�。
1.3后門和木馬程序
所謂后門與木馬程序,主要是指那些能夠運(yùn)用某種軟件實(shí)現(xiàn)對(duì)其余計(jì)算機(jī)進(jìn)行管控的程序�,其呈現(xiàn)出隱秘性強(qiáng)與非授權(quán)等特征。如果某臺(tái)計(jì)算機(jī)安裝了后門或木馬程序就能夠輕而易舉竊取用戶的信息��,包括用戶輸入的賬號(hào)密碼��,并發(fā)送這些信息�����,或者允許遠(yuǎn)程計(jì)算機(jī)的用戶通過(guò)網(wǎng)絡(luò)竊取計(jì)算機(jī)中的文件�����,并通過(guò)網(wǎng)絡(luò)控制控制這臺(tái)計(jì)算機(jī)����,更加恐怖的是,此計(jì)算機(jī)能夠?qū)φ麄€(gè)網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)全面管控�,進(jìn)而為黑客提供各種便利。
2關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)的各類安全預(yù)防方法
關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)�,其是一項(xiàng)十分龐大且繁雜的系統(tǒng)工程。而不斷進(jìn)步的技術(shù)與持續(xù)改進(jìn)的安保方式能夠?qū)W(wǎng)絡(luò)安全進(jìn)行保障����。從技術(shù)層面上講,網(wǎng)絡(luò)系統(tǒng)安全主要由如下部分構(gòu)成:安全的應(yīng)用機(jī)制�、安全的操作系統(tǒng)、網(wǎng)絡(luò)監(jiān)測(cè)���、防火墻��、入侵監(jiān)察���、數(shù)據(jù)加密�����、系統(tǒng)還原�����、安全檢測(cè)等��。其中���,無(wú)論哪一個(gè)單獨(dú)組件都不能確保計(jì)算機(jī)網(wǎng)絡(luò)安全。
2.1防火墻技術(shù)
關(guān)于防火墻技術(shù)����,其能夠?qū)W(wǎng)絡(luò)之間的互相訪問方面的管控進(jìn)行強(qiáng)化,并避免其余用戶利用不法方式對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行入侵和獲取相關(guān)的網(wǎng)絡(luò)資源�����,進(jìn)而實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)安全的保衛(wèi)���。此外�,防火墻技術(shù)也有若干類,主要包括:包過(guò)濾型���、型與監(jiān)測(cè)型。(1)包過(guò)濾�。包過(guò)濾型的防火墻產(chǎn)品屬于入門級(jí)產(chǎn)品,其中主要運(yùn)用到網(wǎng)絡(luò)的分包輸送法����。在網(wǎng)絡(luò)中,需要傳送的信息通常都是用“包”作為單位���,從而實(shí)施信息傳送活動(dòng)的���,其中,信息會(huì)被分成若干個(gè)數(shù)據(jù)包����,各個(gè)數(shù)據(jù)包內(nèi)都存有一定量的數(shù)據(jù),比如信息的目的地�����、信息源地址、目的端口等等��。而防火墻則利用產(chǎn)看數(shù)據(jù)包中的實(shí)際數(shù)據(jù)的方式�����,對(duì)信息的信任度進(jìn)行判定��,如得出相關(guān)信息的來(lái)源是部分危險(xiǎn)的網(wǎng)站��,則禁止此部分信息進(jìn)入����。包過(guò)濾型防火墻技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用成本低,缺點(diǎn)是只根據(jù)特定的信息來(lái)確定數(shù)據(jù)包是否安全����,無(wú)法識(shí)別惡意侵入。(2)型����。關(guān)于型防火墻,其也叫服務(wù)器��,在安全方面比包過(guò)濾型表現(xiàn)的更為優(yōu)秀。此外,服務(wù)器處在服務(wù)器與客戶端中間的地方�����,在客戶端和服務(wù)器進(jìn)行通信活動(dòng)時(shí),第一步是把相關(guān)請(qǐng)求傳送給服務(wù)器���,之后由服務(wù)器結(jié)合實(shí)際需求向服務(wù)器進(jìn)行信息索取活動(dòng),最終由服務(wù)器負(fù)責(zé)將獲取的信息傳送至客戶端�。所以服務(wù)器實(shí)際上就是客戶端與服務(wù)器的媒介。型防火墻具有安全性和可靠性高的優(yōu)勢(shì)����,但也存在設(shè)置比較繁瑣,且在很大程度上影響到總體性能的劣勢(shì)��。(3)監(jiān)測(cè)型�。關(guān)于監(jiān)測(cè)型防火墻���,其可以實(shí)現(xiàn)對(duì)各層信息的實(shí)時(shí)監(jiān)測(cè)與自行解析,最終對(duì)是否存有攻擊現(xiàn)象進(jìn)行明確���。此外���,這種產(chǎn)品通常會(huì)自帶探測(cè)裝置�����,并裝配在服務(wù)器與網(wǎng)絡(luò)的部分重要節(jié)點(diǎn)內(nèi)�,不但能夠監(jiān)察到外部的攻擊活動(dòng),還能夠?qū)崿F(xiàn)對(duì)內(nèi)部的蓄意損壞活動(dòng)的預(yù)防��。
2.2數(shù)據(jù)加密技術(shù)
和防火墻同時(shí)運(yùn)用的包括信息加密技術(shù),對(duì)相關(guān)信息進(jìn)行加密能夠?qū)?shù)據(jù)的機(jī)密性進(jìn)行保障����。從功能的角度出發(fā),可以將信息加密技術(shù)分成信息傳送���、信息保存���、信息完整程度的判定、密鑰管控四種技術(shù)。信息加密技術(shù)屬于信息流傳送的加密方式;信息保存加密技術(shù)的主要目標(biāo)是避免信息在存儲(chǔ)階段出現(xiàn)丟失現(xiàn)象�,此技術(shù)可繼續(xù)分成存取管控與密文保存兩類��,其中���,存取管控主要是對(duì)用戶的各類權(quán)限與資格進(jìn)行審核與限制�����,從而避免缺少相應(yīng)授權(quán)的不法分子對(duì)相關(guān)信息進(jìn)行非法訪問或部分合法用戶訪問或保存超越自身權(quán)限的信息,而密文保存通常是利用加密算法轉(zhuǎn)換����、加密模塊與額外密碼等方式進(jìn)行實(shí)施;信息完整程度的判定技術(shù)的主要目標(biāo)是針對(duì)相關(guān)數(shù)據(jù)的保存��、傳輸��、操作者身份與相關(guān)的信息內(nèi)容實(shí)施驗(yàn)證活動(dòng)�����,進(jìn)而實(shí)現(xiàn)保密的目的��,通常涵蓋口令�、身份、信息等項(xiàng)判定�����,系統(tǒng)根據(jù)對(duì)驗(yàn)證目標(biāo)輸入的特征值和之前設(shè)置的參數(shù)是否相符���,實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)��;密鑰管控技術(shù)的主要目標(biāo)是實(shí)現(xiàn)信息的便捷運(yùn)用,通常是保密與與盜竊的重要目標(biāo)����,此外,密鑰的媒體形式主要有磁卡�、磁盤與半導(dǎo)體存儲(chǔ)器等���,而密鑰的管控技術(shù)涵蓋了密鑰的出現(xiàn)、配置保存與替換、銷毀等各個(gè)步驟的保密活動(dòng)����。
2.3防病毒技術(shù)
當(dāng)前�����,對(duì)信息安全威脅最大的是計(jì)算機(jī)病毒�。在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下,病毒能夠?qū)崿F(xiàn)快速傳播��,僅僅運(yùn)用單機(jī)防病毒軟件難以實(shí)現(xiàn)對(duì)計(jì)算機(jī)病毒的徹底消除����,所以����,結(jié)合網(wǎng)絡(luò)中各類病毒攻擊的可能性設(shè)計(jì)出針對(duì)性的防毒與殺毒軟件,利用多層次與全方面的防毒系統(tǒng)配置,令網(wǎng)絡(luò)能夠在最大程度上實(shí)現(xiàn)對(duì)病毒的防御。此外���,市場(chǎng)上的主流殺毒應(yīng)用主要有瑞星殺毒軟件�、360衛(wèi)士、卡巴斯基殺毒軟件等�����,此類殺毒應(yīng)用較為重視對(duì)病毒的防護(hù)�,在檢測(cè)到有病毒侵入當(dāng)前網(wǎng)絡(luò)后,殺毒應(yīng)用會(huì)立即進(jìn)行處理。
篇8
關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全����;網(wǎng)絡(luò)管理
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2007)06-11545-02
1 引言
隨著“校校通”工程、教育城域網(wǎng)的深入開展��,許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用,這無(wú)疑對(duì)豐富教學(xué)形式�,實(shí)現(xiàn)資源共享,加快信息處理��,提高工作效率都起到無(wú)法估量的作用����。校園網(wǎng)絡(luò)在學(xué)校的信息化建設(shè)中扮演了至關(guān)重要的角色,但在網(wǎng)絡(luò)建設(shè)的過(guò)程中,由于對(duì)技術(shù)的偏好和網(wǎng)絡(luò)安全意識(shí)的不足���,普遍都存在“重技術(shù)�����、輕安全�、輕管理”的傾向����,作為數(shù)字化信息的最重要傳輸載體�����,如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害成為各個(gè)學(xué)校不可回避的一個(gè)緊迫問題�����,解決網(wǎng)絡(luò)安全問題刻不容緩��。
2 目前校園網(wǎng)絡(luò)中普遍存在的安全問題
2.1 網(wǎng)絡(luò)安全方面的投入不足���,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備
大多數(shù)學(xué)校網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)不足���,所以就將有限的經(jīng)費(fèi)投在關(guān)鍵設(shè)備上����,對(duì)于網(wǎng)絡(luò)安全建設(shè)沒有比較系統(tǒng)的投入��,使得校園網(wǎng)處在一個(gè)開放的狀態(tài)����,沒有有效的安全預(yù)警手段和防范措施。
2.2 缺少專業(yè)的網(wǎng)絡(luò)管理員
網(wǎng)絡(luò)出口�����、網(wǎng)絡(luò)監(jiān)控�����、日志系統(tǒng)等缺乏有效的管理����,上網(wǎng)用戶的身份無(wú)法唯一識(shí)別,存在極大的安全隱患�����。
2.3 電子郵件系統(tǒng)極不完善,缺乏安全管理和監(jiān)控的手段
電子郵件既是互聯(lián)網(wǎng)必不可少的一個(gè)應(yīng)用之一����,同時(shí)也是病毒和垃圾的重要傳播手段。目前絕大多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下載的免費(fèi)版本的郵件系統(tǒng)���,不能提供自身完善的安全防護(hù)�,更沒有提供任何針對(duì)用戶來(lái)往信件過(guò)濾��、監(jiān)控和管理的手段��,完全不符合國(guó)家對(duì)安全郵件系統(tǒng)的要求�����,出現(xiàn)問題時(shí)也無(wú)法及時(shí)有效的解決
2.4 網(wǎng)絡(luò)病毒泛濫�,造成網(wǎng)絡(luò)性能急劇下降�,很多重要數(shù)據(jù)丟失,損失不可估量�����。
網(wǎng)絡(luò)病毒的肆虐傳播�����,極大的消耗了網(wǎng)絡(luò)資源;造成網(wǎng)絡(luò)性能下降����,單純單機(jī)殺毒軟件已經(jīng)不能滿足用戶的需求,迫切需要集中管理��、統(tǒng)一升級(jí)�����、統(tǒng)一監(jiān)控的針對(duì)網(wǎng)絡(luò)的防病毒體系。
2.5 網(wǎng)絡(luò)安全意識(shí)淡薄�����,沒有指定完善的網(wǎng)絡(luò)安全管理制度
校園網(wǎng)絡(luò)上的用戶安全意識(shí)淡薄���,大量的非正常訪問導(dǎo)致網(wǎng)絡(luò)資源的浪費(fèi),同時(shí)也為網(wǎng)絡(luò)的安全帶來(lái)了極大的安全隱患��。
綜上所述����,校園網(wǎng)絡(luò)安全的形勢(shì)非常嚴(yán)峻�,目前�����,許多學(xué)校的校園網(wǎng)都以WINDOWS NT做為系統(tǒng)平臺(tái)���,由IIS(Internet Information Server)提供WEB等等服務(wù)���。下面本人結(jié)合自己校園網(wǎng)絡(luò)管理的一點(diǎn)經(jīng)驗(yàn)與體會(huì),提幾個(gè)基本的����、關(guān)鍵的解決方案。
3 校園網(wǎng)絡(luò)安全解決方案
3.1 配備完整的�、系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備,規(guī)范出口的管理
校園網(wǎng)出口配備了雙冗余的Cisco PIX535防火墻���,把校園網(wǎng)絡(luò)分成三個(gè)隔離網(wǎng)段:校園內(nèi)部各功能網(wǎng)、DMZ區(qū)�、Internet。通過(guò)防火墻的隔離��,防止了跨網(wǎng)攻擊����、網(wǎng)絡(luò)間干擾等安全隱患�����,同時(shí)病毒的感染范圍也可以得到有效的控制�����,使各網(wǎng)段的安全性大大提高��。
我校校園網(wǎng)采用了包括路由器�����、防火墻和交換機(jī)在內(nèi)的三層立體集成化安全防御��。第一層防護(hù)由邊界路由器實(shí)現(xiàn)�。邊界路由器提供Internet與校園網(wǎng)的連接���,為防止外部用戶對(duì)服務(wù)器進(jìn)行非法操作�����,對(duì)服務(wù)器的內(nèi)容進(jìn)行刪除�、修改等破壞,必須對(duì)外部訪問的操作進(jìn)行嚴(yán)格控制�。利用Cisco路由器所具有的防火墻功能,可防止各服務(wù)器受到來(lái)自外部的破壞�。第二層防護(hù)由PIX防火墻保障。PIX防火墻將校園內(nèi)部網(wǎng)和外部完全分開��,PIX是內(nèi)部各網(wǎng)絡(luò)子系統(tǒng)對(duì)外的惟一出口����,通過(guò)使用PIX防火墻隔離內(nèi)、外網(wǎng)絡(luò)�,更進(jìn)一步保障了內(nèi)部網(wǎng)絡(luò)的安全。第三層防護(hù)由交換機(jī)提供���。網(wǎng)絡(luò)管理員在核心交換機(jī)部署防火墻模塊��,這是抵御外部攻擊的第三道屏障�,也是防止內(nèi)部攻擊的有利手段�����。
3.2 服務(wù)器安全措施
3.2.1 密碼的設(shè)置
眾所周知����,用密碼保護(hù)系統(tǒng)和數(shù)據(jù)的安全是最基本、最常用的方法�。但目前發(fā)生的大多數(shù)安全問題,還是由于密碼管理不嚴(yán)造成的�����,因此密碼口令的有效管理是非?�;镜?,也是非常重要的。首先�,絕對(duì)杜絕不設(shè)口令的帳號(hào)存在,尤其是超級(jí)用戶帳號(hào)��。一些網(wǎng)絡(luò)管理人員�����,為了圖方便�����,認(rèn)為服務(wù)服務(wù)器只由自己一個(gè)人管理使用�����,常常對(duì)系統(tǒng)不設(shè)置密碼。這樣����,“入侵者”就能通過(guò)網(wǎng)絡(luò)輕而易舉的進(jìn)入系統(tǒng),另外���,對(duì)于系統(tǒng)的一些權(quán)限�,如果設(shè)置不當(dāng)��,對(duì)用戶不進(jìn)行密碼驗(yàn)證�����,也可能為“入侵者”留下后門�。其次,在密碼口令的設(shè)置上要避免使用弱密碼����,就是容易被人猜出的字符作為密碼,例如常有人將自己名字的縮寫或6位相同的數(shù)字進(jìn)行密碼設(shè)置����。密碼的長(zhǎng)度也是設(shè)置者所要考慮的一個(gè)問題。在WINDOWS NT系統(tǒng)中,有一個(gè)sam文件���,它是windows NT的用戶帳戶數(shù)據(jù)庫(kù),所有NT用戶的登錄名及口令等相關(guān)信息都會(huì)保存在這個(gè)文件中���。如果“入侵者”通過(guò)系統(tǒng)或網(wǎng)絡(luò)的漏洞得到了這個(gè)文件�,就能通過(guò)一定的程序(如L0phtCrack)對(duì)它進(jìn)行解碼分析���。在用L0phtCrack破解時(shí)�,如果使用"暴力破解" 方式對(duì)所有字符組合進(jìn)行破解��,那么對(duì)于5位以下的密碼它最多只要用十幾分鐘就完成�,對(duì)于6位字符的密碼它也只要用十幾小時(shí),但是對(duì)于7位或以上它至少耗時(shí)一個(gè)月左右���,所以說(shuō)����,在密碼設(shè)置時(shí)一定要有足夠的長(zhǎng)度�。總之在密碼設(shè)置上�����,最好使用一個(gè)不常見、有一定長(zhǎng)度的但是你又容易記得的密碼���。另外����,適當(dāng)?shù)慕徊媸褂么笮懽帜敢彩窃黾颖黄平怆y度的好辦法�����。
3.2.2 及時(shí)為系統(tǒng)打補(bǔ)丁
對(duì)于Windows操作系統(tǒng)的服務(wù)器�,采用Windows自動(dòng)更新服務(wù)預(yù)防操作系統(tǒng)的漏洞。對(duì)于UNIX操作系統(tǒng)��,網(wǎng)絡(luò)管理人員時(shí)刻關(guān)心相關(guān)廠商的網(wǎng)站上的補(bǔ)丁列表�,及時(shí)為系統(tǒng)打上相應(yīng)的補(bǔ)丁。
3.2.3 用戶終端IP地址配置
我校選用支持DHCP Snooping功能的接入交換機(jī)�����,用戶的IP地址只能由網(wǎng)絡(luò)中心分配�,而不能來(lái)自非法的IP地址提供者。對(duì)于學(xué)校的職能部門�����,因?yàn)榇嬖谝恍S梅?wù)器,為了防止用戶將IP地址手動(dòng)設(shè)置成服務(wù)器的地址而造成沖突�,職能部門的接入交換機(jī)全部采用支持IP SourceGuard的交換機(jī),用戶必須從DCHP服務(wù)器取得IP地址才可進(jìn)行通信�����,私自設(shè)定IP地址將會(huì)自動(dòng)被交換機(jī)禁止�����。
3.2.4 進(jìn)行有效的監(jiān)控和管理
上網(wǎng)用戶不但要通過(guò)統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)���,而且,合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控��,上網(wǎng)行為的日志要集中保存在中心服務(wù)器上���,保證這個(gè)記錄的法律性和準(zhǔn)確性����。
4 用戶終端系統(tǒng)安全措施
用戶終端的安全包含兩個(gè)方面:一個(gè)是操作系統(tǒng)的安全性�,一個(gè)是應(yīng)用程序的安全性�����。 針對(duì)操作系統(tǒng)的安全性����,我校的校園網(wǎng)內(nèi)安裝了Windows更新服務(wù)器���,每天凌晨定時(shí)從微軟網(wǎng)站同步下載補(bǔ)丁程序����,并及時(shí)下發(fā)給終端機(jī)���,使終端機(jī)能及時(shí)獲得更新的操作系統(tǒng)補(bǔ)丁��。 應(yīng)用程序的安全性主要在于防止機(jī)器中病毒以及惡意程序的影響����,針對(duì)病毒影響����,我們采用了兩層安全模式:一是在校園網(wǎng)內(nèi)安裝了網(wǎng)絡(luò)版的瑞星殺毒軟件;二是我們?cè)谛@網(wǎng)出口以及各個(gè)匯聚節(jié)點(diǎn)放置基于集群的病毒網(wǎng)關(guān)�����,一旦發(fā)現(xiàn)下聯(lián)的客戶機(jī)有中毒的癥狀,則主動(dòng)切斷用戶的連接�,并將用戶的鏈接定向到瑞星殺毒軟件進(jìn)行查殺病毒,并通過(guò)自行編寫的ActiveX控件更改客戶端的注冊(cè)表�����,使Windows客戶端的自動(dòng)更新自動(dòng)指向校內(nèi)更新服務(wù)器���。為了防止惡意程序的影響,要求校內(nèi)終端用戶安裝Windows Defender�。
5 完善電子郵件系統(tǒng),提供安全監(jiān)控和管理功能
針對(duì)目前郵件系統(tǒng)存在的安全隱患���,我校的郵件系統(tǒng)采用Eyou的產(chǎn)品��,我們?cè)贓you系統(tǒng)中內(nèi)嵌了殺毒軟件����,對(duì)用戶的郵件直接進(jìn)行病毒的查殺���。對(duì)于出入學(xué)校的郵件����,進(jìn)行垃圾郵件檢查、病毒檢查��。
6 配備專業(yè)的網(wǎng)絡(luò)安全管理員���,嚴(yán)格管理制度
