公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全防范論文范文

網(wǎng)絡(luò)安全防范論文精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全防范論文主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全防范論文

第1篇:網(wǎng)絡(luò)安全防范論文范文

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)安全威脅防范措施

1.網(wǎng)絡(luò)安全性概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)在全社會(huì)的普及,特別是Internet的飛速發(fā)展,網(wǎng)絡(luò)技術(shù)在政府、軍事、教育以及國民經(jīng)濟(jì)中的作用越來越重要。而由此帶來的網(wǎng)絡(luò)安全性問題也就成為一個(gè)全社會(huì)非常關(guān)注的問題。

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)從技術(shù)上看它是一個(gè)開放系統(tǒng)互連環(huán)境,從應(yīng)用上看它是一個(gè)資源交流和信息流通的開放環(huán)境。大量的事實(shí)讓人們感受到,對(duì)于大到因特網(wǎng),小到內(nèi)部網(wǎng)和校園網(wǎng),都存在著來自內(nèi)部或外部的網(wǎng)絡(luò)安全性威脅。要使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)能夠安全、可靠地運(yùn)行,除了要加強(qiáng)對(duì)網(wǎng)絡(luò)使用方法、使用道德的教育外,還要必須采取完善的網(wǎng)絡(luò)安全性方面的各種技術(shù)措施。

2.計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的威脅

通常時(shí)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)成威脅的主要因素有以下三個(gè)方面:

2.1自然因素。主要指由于地震、雷擊、洪水等其他不可抗拒的自然災(zāi)害造成的損害,以及因計(jì)算機(jī)硬件和網(wǎng)絡(luò)設(shè)備的自然磨損或老化造成的損失。

2.2操作失誤。由于管理人員或操作員的操作失誤,導(dǎo)致文件被刪除,磁盤被格式化,或因?yàn)榫W(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)的設(shè)置不夠嚴(yán)謹(jǐn)造成的安全漏洞,用戶的安全意識(shí)不夠等,都會(huì)給計(jì)算機(jī)網(wǎng)絡(luò)的安全帶來威脅。

2.3外部攻擊。一般可分為兩種,一種是對(duì)網(wǎng)絡(luò)進(jìn)行攻擊:利用操作系統(tǒng)或應(yīng)用軟件的漏洞進(jìn)行攻擊以破壞對(duì)方信息的有效性或完整性,另一種是網(wǎng)絡(luò)偵察:在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、破譯、竊取以獲得重要的機(jī)密信息。

3.網(wǎng)絡(luò)攻擊的方式及發(fā)展趨勢(shì)

3.1拒絕服務(wù)攻擊。拒絕服務(wù)攻擊的主要目的是使計(jì)算機(jī)及網(wǎng)絡(luò)無法提供正常的服務(wù),它會(huì)破壞計(jì)算機(jī)網(wǎng)絡(luò)的各種配置,消耗計(jì)算機(jī)及網(wǎng)絡(luò)中各種有限資源等。這是最常見的一種網(wǎng)絡(luò)攻擊,也是最難對(duì)付的入侵攻擊之一。

3.2欺騙式攻擊。欺騙式攻擊不是利用軟件的漏洞進(jìn)行攻擊,而是重點(diǎn)誘騙終端用戶進(jìn)行攻擊。TCP/IP協(xié)議存在著很多缺陷和漏洞,攻擊者利用這些漏洞進(jìn)行攻擊,或者進(jìn)行DNS欺騙和Web欺騙。

3.3通過協(xié)同工具進(jìn)行攻擊。各種協(xié)同工具的使用,可能導(dǎo)致泄漏機(jī)密商業(yè)數(shù)據(jù)。

3.4對(duì)手機(jī)等移動(dòng)設(shè)備的攻擊。近年來,手機(jī)、PDA及其他無線設(shè)備感染惡意軟件的數(shù)量在激增,但因?yàn)槠涫褂煤蛡鞑サ囊恍┨攸c(diǎn)還沒有導(dǎo)致大規(guī)模爆發(fā)。但隨著WAP網(wǎng)和無線上網(wǎng)的發(fā)展,此類攻擊也會(huì)越來越普遍。

3.5電子郵件攻擊。隨著電子郵件在工作和生活中的普遍使用,和用電子郵件進(jìn)行的攻擊也越來越多。這些攻擊常常針對(duì)政府部門、軍事機(jī)構(gòu)及其他大型組織。

4.網(wǎng)絡(luò)信息安全的技術(shù)保障策略

4.1加密與解密技術(shù)。信息加密是網(wǎng)絡(luò)與信息安全保密的重要基礎(chǔ)。它是將原文用某種特定方式或規(guī)則進(jìn)行重新編排,使其變?yōu)橐话闳藷o法閱讀理解的密文。當(dāng)前比較成熟的加密方法有:替換加密、移位加密、序列密碼、一次性密碼本加密等。加密可以有效地對(duì)抗信息泄露,黑客非法訪問等威脅。

4.2身份鑒別。對(duì)實(shí)體聲稱的身份進(jìn)行惟一性識(shí)別,以便驗(yàn)證其訪問請(qǐng)求,或保證信息來源以驗(yàn)證消息的完整性,有效地對(duì)抗非法入侵訪問、冒充、重演等威脅。鑒別的方式很多;利用通行字、密鑰、訪問控制機(jī)制等鑒別用戶身份,防止冒充、非法訪問等,當(dāng)今最佳的身份鑒別方法是數(shù)字簽名。

4.3網(wǎng)絡(luò)訪問控制策略。訪問控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要措施,是保證網(wǎng)絡(luò)安全最重要的核心策略之一。其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。一般采用基于資源的集中式控制、基于資源和目的地址的過濾管理以及網(wǎng)絡(luò)簽證等技術(shù)來實(shí)現(xiàn)。目前進(jìn)行網(wǎng)絡(luò)訪問控制的主要方法主要有:MAC地址過濾,VLAN隔離、IEEE802.10身份驗(yàn)證、基于IP地址訪問控制列表和防火墻控制等。

4.4物理安全策略。保護(hù)路由器、交換機(jī)、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受非人為及人為因素的破壞和攻擊。

5.網(wǎng)絡(luò)安全防范措施

5.1 加密及數(shù)字簽名技術(shù)。加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證,從而使基于Internet上的電子交易系統(tǒng)成為了可能,因此完善的對(duì)稱加密和非對(duì)稱加密技術(shù)仍是21世紀(jì)的主流。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對(duì)稱加密,即“公開密鑰密碼體制”,其中加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道,分別稱為“公開密鑰”和“秘密密鑰”。

5.2 網(wǎng)絡(luò)安全漏洞及入侵檢測(cè)。掃描安全漏洞就是掃描網(wǎng)絡(luò)中系統(tǒng)、程序、軟件的漏洞。采用漏洞掃描系統(tǒng)對(duì)網(wǎng)絡(luò)及各種系統(tǒng)進(jìn)行定期或不定期的掃描監(jiān)測(cè),并向安全管理員提供系統(tǒng)最新的漏洞報(bào)告,使管理員能夠隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前存在的漏洞并及時(shí)采取相應(yīng)的措施進(jìn)行修補(bǔ)。入侵檢測(cè)是通過計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。與其它安全產(chǎn)品不同的是,入侵檢測(cè)系統(tǒng)需要更多的智能,它必須可以將得到的數(shù)據(jù)進(jìn)行分析,并得出有用的結(jié)果。

5.3 數(shù)據(jù)備份和恢復(fù)。網(wǎng)絡(luò)系統(tǒng)由于各種原因出現(xiàn)災(zāi)難事件時(shí)最為重要的是恢復(fù)和分析的手段和依據(jù)。網(wǎng)絡(luò)運(yùn)行部門應(yīng)該制定完整的系統(tǒng)備份計(jì)劃,并嚴(yán)格實(shí)施。備份計(jì)劃中應(yīng)包括網(wǎng)絡(luò)系統(tǒng)和用戶數(shù)據(jù)備份、完全和增量備份的頻度和責(zé)任人。

5.4 安裝配置防火墻。利用防火墻,在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。

6.結(jié)束語

網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性,以及信息系統(tǒng)的脆弱性,決定了網(wǎng)絡(luò)安全威脅的客觀存在??傊?網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等許多方面,僅僅采用一兩項(xiàng)安全技術(shù)是不足以全面對(duì)抗網(wǎng)絡(luò)上所潛在的各種威脅的。因此需要仔細(xì)考慮系統(tǒng)的安全需求,并將各種安全技術(shù),如密碼技術(shù)等結(jié)合在一起,才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn):

第2篇:網(wǎng)絡(luò)安全防范論文范文

我國的自然災(zāi)害發(fā)生的次數(shù)是非常頻繁的,每一次災(zāi)害之后損失也會(huì)非常大,計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)是非常容易受到自然災(zāi)害影響。目前,在很多高職院校中的機(jī)房在防御自然災(zāi)害能力是非常差的,比如說在平時(shí)的工作生活中就會(huì)因?yàn)閿嚯姷纫馔馇闆r將計(jì)算機(jī)內(nèi)存儲(chǔ)的數(shù)據(jù)弄丟。

2計(jì)算機(jī)網(wǎng)絡(luò)安全威脅防范措施

計(jì)算機(jī)網(wǎng)絡(luò)安全問題解決起來是非常困難的,計(jì)算機(jī)網(wǎng)絡(luò)安全威脅會(huì)影響互聯(lián)網(wǎng)正常的使用,需要運(yùn)用多種不同的防范措施進(jìn)行解決。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的防范措施主要有以下幾點(diǎn)。

2.1設(shè)置防火墻

在高職院校中,多數(shù)情況下都是利用防火墻技術(shù)來確保計(jì)算機(jī)網(wǎng)絡(luò)的安全,防火墻技術(shù)主要是將內(nèi)部的網(wǎng)絡(luò)與外部的網(wǎng)絡(luò)之間設(shè)置出一道屏障出來。若是想要訪問內(nèi)部網(wǎng)絡(luò)只有經(jīng)過授權(quán)的協(xié)議才可以。目前,防火墻技術(shù)已經(jīng)在社會(huì)上被廣泛的使用,有些廠家已經(jīng)把這種技術(shù)與計(jì)算機(jī)硬件并入一起。在未來的發(fā)展中,這種簡(jiǎn)單實(shí)用的技術(shù)將會(huì)得到進(jìn)一步的發(fā)展。

2.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密主要目的就是對(duì)計(jì)算機(jī)內(nèi)的重要信息進(jìn)行加密,是一種保護(hù)數(shù)據(jù)防止丟失的最為有效的手段。數(shù)據(jù)加密的手段在一定的程度上可以對(duì)信息重新進(jìn)行編碼,同時(shí)也會(huì)隱藏計(jì)算機(jī)內(nèi)的重要信息,這樣黑客就沒有辦法獲取計(jì)算機(jī)內(nèi)的信息。在有人想要獲取信息的時(shí)候,就會(huì)對(duì)其身份進(jìn)行認(rèn)證,通過對(duì)其輸入的內(nèi)容進(jìn)行比較判斷,這樣就會(huì)對(duì)數(shù)據(jù)起到保護(hù)的作用。

2.3加強(qiáng)漏洞掃描技術(shù)的應(yīng)用

這里的所說的漏洞掃描技術(shù)是可以自動(dòng)去檢測(cè)計(jì)算機(jī)的脆弱點(diǎn)在哪里,在掃描的時(shí)候就可以通過記錄腳本文件對(duì)系統(tǒng)做出的攻擊反應(yīng)來發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞在哪里。進(jìn)行漏洞掃描的過程中就會(huì)收集一些信息為用戶所利用。漏洞掃描技術(shù)可以進(jìn)行大范圍的掃描來找出計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞在哪里、但是攻擊者又可以利用漏洞掃描技術(shù)來對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊,而管理人員又可以利用漏洞掃描技術(shù)來防范攻擊者對(duì)計(jì)算機(jī)的攻擊。

2.4建設(shè)計(jì)算機(jī)安全的管理隊(duì)伍

校園內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)絕對(duì)安全是不可能存在的,所以在校園內(nèi)應(yīng)該要建立安全的管理隊(duì)伍,這樣在一定的程度上才能保證校園計(jì)算機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)安全。在校園內(nèi)若是想要實(shí)現(xiàn)計(jì)算機(jī)的網(wǎng)絡(luò)安全是需要使用人員與管理人員共同努力的,這樣才有可能減少對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅。另外管理人員應(yīng)該要將IP地址的資源進(jìn)行統(tǒng)一管理,這樣才能保證計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作順利進(jìn)行,維護(hù)學(xué)生們的利益。

3總結(jié)

第3篇:網(wǎng)絡(luò)安全防范論文范文

針對(duì)上述計(jì)算機(jī)網(wǎng)絡(luò)安全所存在的問題,需要建立一系列的安全防范技術(shù)保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行,安全防范技術(shù)包括了防火墻技術(shù)、訪問控制技術(shù)、殺毒軟件技術(shù)、漏洞掃描和修復(fù)技術(shù)、加密技術(shù)、備份和鏡像技術(shù)等。防火墻技術(shù)。該技術(shù)的原理是進(jìn)行網(wǎng)絡(luò)屏障達(dá)到維護(hù)網(wǎng)絡(luò)安全的目的。作為安全防范技術(shù)的基礎(chǔ),防火墻具有拒絕外部用戶訪問的功能,并且可以有效地管理內(nèi)部用戶訪問權(quán)限。防火墻技術(shù)具有一定的抗攻擊性,分為網(wǎng)關(guān)技術(shù)、狀態(tài)監(jiān)測(cè)技術(shù)、過濾技術(shù)三種方式,網(wǎng)關(guān)技術(shù)就是對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行掃描,對(duì)用戶訪問的網(wǎng)站進(jìn)行保護(hù)。狀態(tài)監(jiān)測(cè)技術(shù)指的是監(jiān)測(cè)用戶訪問時(shí)的網(wǎng)絡(luò)連接狀態(tài)。過濾技術(shù)就是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的地址(原地址、目標(biāo)地址)進(jìn)行過濾,確定數(shù)據(jù)是否可以通過端口。防火墻技術(shù)可以在互聯(lián)網(wǎng)與局域網(wǎng)(企業(yè)局域網(wǎng)、校園局域網(wǎng)等)的交接地廣泛應(yīng)用,防火墻技術(shù)可以防止計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)部信息外泄,同時(shí)具有清除網(wǎng)絡(luò)病毒,實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)。訪問控制技術(shù)。計(jì)算機(jī)網(wǎng)絡(luò)可以通過有效的身份認(rèn)證和訪問控制技術(shù)來防止黑客的惡意攻擊。訪問控制技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全防范的重要內(nèi)容,訪問控制技術(shù)主要針對(duì)非法訪問網(wǎng)絡(luò)的問題,對(duì)用戶身份進(jìn)行判定進(jìn)而確定訪問者的身份。在身份認(rèn)證方式首先需要管理員設(shè)置由數(shù)字和字母組成的口令,管理員可以定期修改口令以確保用戶正常登錄,防止黑客的非法入侵。然而黑客可以通過編寫木馬程序破譯口令,僅采用口令登錄方式不能有效地維護(hù)網(wǎng)絡(luò)安全,用戶可以設(shè)置系統(tǒng)文件權(quán)限,在局域網(wǎng)內(nèi)設(shè)置網(wǎng)關(guān)等方式避免計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的破壞。

與此同時(shí),用戶在進(jìn)行文件傳輸、遠(yuǎn)程登錄時(shí),訪問控制技術(shù)可以保證計(jì)算機(jī)網(wǎng)絡(luò)安全。殺毒軟件技術(shù),殺毒軟件可以從根本上抵御計(jì)算機(jī)網(wǎng)絡(luò)病毒攻擊,避免用戶計(jì)算機(jī)被病毒感染。用戶使用殺毒軟件,通過全面掃描計(jì)算機(jī)可以檢測(cè)出計(jì)算機(jī)的木馬程序和病毒,進(jìn)而查殺計(jì)算機(jī)病毒文件,達(dá)到提升計(jì)算機(jī)工作效率和延長(zhǎng)計(jì)算機(jī)使用壽命的目的。殺毒軟件技術(shù)工作時(shí)主要借助多引擎保護(hù),全面掃描、系統(tǒng)監(jiān)控等方法,判斷計(jì)算機(jī)系統(tǒng)中是否存在病毒,從而抵御計(jì)算機(jī)病毒入侵。漏洞掃描及修復(fù)技術(shù),計(jì)算機(jī)本身具有很多漏洞,隨著網(wǎng)絡(luò)系統(tǒng)的升級(jí),導(dǎo)致系統(tǒng)的漏洞越來越多。從而導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)遭到木馬攻擊,引發(fā)網(wǎng)絡(luò)系統(tǒng)崩潰。因此,用戶要定期采用安全軟件進(jìn)行漏洞掃描,當(dāng)發(fā)現(xiàn)計(jì)算機(jī)中存在漏洞時(shí),及時(shí)安裝必要系統(tǒng)補(bǔ)丁,修復(fù)計(jì)算機(jī)系統(tǒng)漏洞。加密技術(shù),用戶需要利用網(wǎng)絡(luò)完成數(shù)據(jù)共享,信息交換、文件傳輸?shù)裙ぷ鳎诖诉^程中,由于網(wǎng)絡(luò)系統(tǒng)相對(duì)復(fù)雜,用戶的數(shù)據(jù)信息存在經(jīng)過未知網(wǎng)絡(luò),從而可能發(fā)生用戶信息外泄的危險(xiǎn)。因此用戶在進(jìn)行信息傳遞時(shí),可以采用信息加密技術(shù)確保安全傳輸,防止信息泄露。加密技術(shù)分為節(jié)點(diǎn)加密、鏈路加密以及端到端加密。節(jié)點(diǎn)加密就是在節(jié)點(diǎn)端口進(jìn)行加密,有效地保護(hù)節(jié)點(diǎn)發(fā)送信息和接收信息的安全。鏈路加密指的是數(shù)據(jù)以密文形式在鏈路中進(jìn)行傳輸,采用這一方式可以確保鏈路免遭黑客攻擊。端口到端口的加密是在數(shù)據(jù)信息傳輸?shù)恼麄€(gè)過程中都采用加密形式,為網(wǎng)絡(luò)數(shù)據(jù)安全傳輸提供保障。備份和鏡像技術(shù),為了保證計(jì)算機(jī)網(wǎng)絡(luò)安全,除了上述網(wǎng)絡(luò)安全防范技術(shù)之外,還應(yīng)該做好計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的備份,其目的是為了當(dāng)計(jì)算機(jī)系統(tǒng)受到攻擊時(shí),通過網(wǎng)絡(luò)系統(tǒng)備份的數(shù)據(jù)進(jìn)行修復(fù),避免網(wǎng)絡(luò)重要信息的丟失。除此之外,系統(tǒng)可以采用鏡像技術(shù),在計(jì)算機(jī)操作系統(tǒng)崩潰時(shí),通過鏡像系統(tǒng)可以還原計(jì)算機(jī)操作系統(tǒng),保證計(jì)算機(jī)網(wǎng)絡(luò)正常工作。

2結(jié)語

第4篇:網(wǎng)絡(luò)安全防范論文范文

關(guān)鍵詞:校園網(wǎng) 安全防范技術(shù)

一、校園網(wǎng)絡(luò)安全概述

計(jì)算機(jī)網(wǎng)絡(luò)是信息社會(huì)的基礎(chǔ),己經(jīng)進(jìn)入社會(huì)的各個(gè)角落。經(jīng)濟(jì)、文化、軍事、教育和社會(huì)日常生活越來越多地依賴計(jì)算機(jī)網(wǎng)絡(luò)。但是不容忽略的是網(wǎng)絡(luò)本身的開放性、不設(shè)防和無法律約束等特點(diǎn),在給人們帶來巨大便利的同時(shí),也帶來了一些問題,網(wǎng)絡(luò)安全就是其中最為顯著的問題之一。計(jì)算機(jī)系統(tǒng)安全的定義主要指為數(shù)據(jù)處理系統(tǒng)建立和采用的安全保護(hù)技術(shù)。計(jì)算機(jī)系統(tǒng)安全主要涉及計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不被破壞、泄漏等。由此,網(wǎng)絡(luò)安全主要涉及硬件、軟件和系統(tǒng)數(shù)據(jù)的安全。

近幾年,隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展,全國各高校都普遍建立了校園網(wǎng)。校園網(wǎng)成為學(xué)校重要的基礎(chǔ)設(shè)施。同時(shí),校園網(wǎng)也同樣面臨著越來越多的網(wǎng)絡(luò)安全問題。但在高校網(wǎng)絡(luò)建設(shè)的過程中,普遍存在著“重技術(shù)、輕安全”的傾向,隨著網(wǎng)絡(luò)規(guī)模的迅速發(fā)展,網(wǎng)絡(luò)用戶的快速增長(zhǎng),校園網(wǎng)從早先的教育試驗(yàn)網(wǎng)的轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運(yùn)營性質(zhì)的網(wǎng)絡(luò)。校園網(wǎng)作為數(shù)字化信息的最重要傳輸載體,如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校不可回避的一個(gè)緊迫問題,解決網(wǎng)絡(luò)安全問題逐漸引起了各方面的重視。

從根本上說,校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全隱患都是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn),而系統(tǒng)在使用、管理過程中的失誤和疏漏更加劇了問題的嚴(yán)重性。威脅校園網(wǎng)安全的因素主要包括:網(wǎng)絡(luò)協(xié)議漏洞造成的威脅,操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞造成的威脅,攻擊工具獲取容易、使用簡(jiǎn)單,校園網(wǎng)用戶的安全意識(shí)不強(qiáng),計(jì)算機(jī)及網(wǎng)絡(luò)應(yīng)用水平有限等方面。

關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)都已出臺(tái),學(xué)校網(wǎng)絡(luò)中心也制定了各自的管理制度,但是還存在著各種現(xiàn)實(shí)問題,宣傳教育的力度不夠,許多師生法律意識(shí)淡薄。網(wǎng)上活躍的黑客交流活動(dòng),也為網(wǎng)絡(luò)破壞活動(dòng)奠定了技術(shù)基礎(chǔ)。這是本論文討論的背景和亟待解決的問題。

二、校園網(wǎng)的安全防范技術(shù)

校園網(wǎng)絡(luò)的安全是整體的、動(dòng)態(tài)的,主要有網(wǎng)絡(luò)物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等多方面的內(nèi)容,通過采用防火墻、授權(quán)認(rèn)證、數(shù)據(jù)加密、入侵檢測(cè)等安全技術(shù)為手段,才有利于更有效地實(shí)現(xiàn)校園網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行。論文將對(duì)常用的校園網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究。

首先是認(rèn)證技術(shù),認(rèn)證技術(shù)是網(wǎng)絡(luò)通信中建立安全通信信道的重要步驟,是安全信息系統(tǒng)的“門禁”模塊,是保證網(wǎng)絡(luò)信息安全的重要技術(shù)。認(rèn)證的主要目的是驗(yàn)證信息的完整性,確認(rèn)被驗(yàn)證的信息在傳遞或存儲(chǔ)過程中沒有被篡改或重組,并驗(yàn)證信息發(fā)送者的真實(shí)性,確認(rèn)他沒有被冒充。認(rèn)證技術(shù)是防止黑客對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊的一種重要技術(shù)手段,主要通過數(shù)字信封、數(shù)字摘要、數(shù)字簽名、智能卡和生物特征識(shí)別等技術(shù)來實(shí)現(xiàn)。

第二是密碼技術(shù),目前保障數(shù)據(jù)的安全主要采用現(xiàn)代密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù),如數(shù)據(jù)保密、雙向身份認(rèn)證。數(shù)據(jù)完整性等,由此密碼技術(shù)是保證信息的安全性的關(guān)鍵技術(shù)。密碼技術(shù)在古代就己經(jīng)得到相當(dāng)?shù)膽?yīng)用,但僅限于外交和軍事等重要領(lǐng)域。隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展,密碼技術(shù)發(fā)展成為集數(shù)學(xué)、電子與通信、計(jì)算機(jī)科學(xué)等學(xué)科于一身的交叉學(xué)科。密碼技術(shù)不僅能夠保證機(jī)密性信息的加密,而且完成了數(shù)字簽名、系統(tǒng)安全等功能。所以,使用密碼技術(shù)不僅可以保證信息的機(jī)密性,而且可以防止信息被篡改、假冒和偽造?,F(xiàn)在密碼技術(shù)主要是密碼學(xué)。密碼學(xué)也是密碼技術(shù)的理論基礎(chǔ),主要包括密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)主要研究如何對(duì)信息進(jìn)行編碼,以此來隱藏、偽裝信息,通過對(duì)給定的有意義的數(shù)據(jù)進(jìn)行可逆的數(shù)學(xué)變換,將其變?yōu)楸砻嫔想s亂無章的數(shù)據(jù),而只有合法的接收者才能恢復(fù)原來的數(shù)據(jù),由此保證了數(shù)據(jù)安全。密碼分析學(xué)是研究如何破譯經(jīng)過加密的消息并識(shí)別偽造消息。總之,密碼編碼技術(shù)和密碼分析技術(shù)相互支持、密不可分。

第三是防火墻技術(shù),防火墻是指放置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的系列部件的組合。防火墻在不同網(wǎng)絡(luò)區(qū)域之間建立起控制數(shù)據(jù)交換的唯一通道,通過允許或拒絕等手段實(shí)現(xiàn)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的控制。防火墻本身也具有較強(qiáng)的抗攻擊能力,能有效加強(qiáng)不同網(wǎng)絡(luò)區(qū)域之間的訪問控制,是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要的基礎(chǔ)設(shè)施。

第四是入侵檢測(cè)系統(tǒng)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)越來越高,防火墻技術(shù)己經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。入侵檢測(cè)系統(tǒng)作為對(duì)防火墻及其有益的補(bǔ)充,不僅能幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,也擴(kuò)展了系統(tǒng)管理員的安全管理能力,有效提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

三、結(jié)語

網(wǎng)絡(luò)技術(shù)迅速發(fā)展的同時(shí),也帶來了越來越多的網(wǎng)絡(luò)安全問題,校園網(wǎng)安全防范的建設(shè)更是一項(xiàng)復(fù)雜的系統(tǒng)工程,需要相關(guān)工作人員予以更多的重視。論文在辨清網(wǎng)絡(luò)安全和校園網(wǎng)絡(luò)安全的定義的基礎(chǔ)上,從認(rèn)證技術(shù)、密碼技術(shù)、防火墻、入侵檢測(cè)系統(tǒng)、訪問控制技術(shù)、虛擬專用網(wǎng)六個(gè)方面分析了校園網(wǎng)安全防范技術(shù),這不僅是理論上的分析,也為網(wǎng)絡(luò)安全實(shí)踐提供了一定的借鑒。

參考文獻(xiàn):

[1]蔡新春.校園安全防范技術(shù)的研究與實(shí)現(xiàn)[J].合肥工業(yè)大學(xué),2009(04).

[2]謝慧琴.校園網(wǎng)安全防范技術(shù)研究[J].福建電腦,2009(09).

[3]卜銀俠.校園網(wǎng)安全防范技術(shù)體系[J].硅谷,2011(24).

[4]陶甲寅.校園網(wǎng)安全與防范技術(shù)[J].電腦知識(shí)與技術(shù),2007(01).

[5]袁修春.校園網(wǎng)安全防范體系[D].蘭州:西北師范大學(xué),2005.

[6]鐘平.校園網(wǎng)安全防范技術(shù)研究[D].廣州:廣東工業(yè)大學(xué),2007.

第5篇:網(wǎng)絡(luò)安全防范論文范文

本論文最終建立了適應(yīng)獨(dú)立學(xué)院網(wǎng)絡(luò)安全管理的體系模型及應(yīng)用模式,為校園網(wǎng)絡(luò)中所存在的嚴(yán)重安全問題提出一種思路及解決辦法。

關(guān)鍵詞:校園網(wǎng) 網(wǎng)絡(luò)安全 管理體系

Abstract:The research in this thesis is based on the data from the campus network in Zhuhai Campus of Beijing Institute of Technology, which is abbreviated to ZC below. It is a total resolution to all sorts of problems in ZC during last 4 years. The safety management system is a theoretical summary to the total resolution, which is not a simple stacking technology, but the integration of the technology, such as ACL, firework, IDS, Traffic management, intrusion detection and vulnerability scanning. Network-wide security measures are designed from the client to export to the Internet, and safety precautions are applied to every aspect of the user data streams. In actual operation, the main security problems of the networks are controlled effectively, and the network is very stable.

eventually a system model and an application model are established adapting to the safety management for the campus network of colleges and universities. Solutions to the serious security issues of campus network are put forward.

Key Words:campus network、Network Security、management system

上述三個(gè)系統(tǒng)在應(yīng)用中,基本搭建起學(xué)校的整個(gè)電子資源,其中校務(wù)管理系統(tǒng)最為重要,此系統(tǒng)一但癱瘓意味著學(xué)校將基本停止正常運(yùn)行。然而隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,黑客的攻擊手段日益先進(jìn)。單一的技術(shù)手段無法保證系統(tǒng)的安全運(yùn)行,只有在安全策略的指導(dǎo)下,建立互動(dòng)的安全防范體系,才能最終保證網(wǎng)絡(luò)的安全,保證系統(tǒng)穩(wěn)定運(yùn)行。

構(gòu)建網(wǎng)絡(luò)安全管理體系模型

一般而言,各學(xué)校目前普遍采用PDRR模型來構(gòu)建安全防御體系。PDRR模型屬于動(dòng)態(tài)信息安全理論的模型,PDRR是4個(gè)英文單詞的頭字符:Protection(防護(hù))、Detection(檢測(cè))、Response(響應(yīng))、Recovery(恢復(fù))。這四個(gè)部分構(gòu)成了一個(gè)動(dòng)態(tài)的信息安全周期,如圖:

該模型更多的強(qiáng)調(diào)通過防火墻、IDS以及VPN等技術(shù)來解決校園網(wǎng)絡(luò)中存在的安全問題,重點(diǎn)在于安全應(yīng)用技術(shù),同時(shí)沒有形成體系和防御層次,并忽視了兩個(gè)重要的安全因素,安全管理與大流量數(shù)據(jù)擁堵造成的網(wǎng)絡(luò)安全問題。

為能夠更加有效的保證網(wǎng)絡(luò)及各類應(yīng)用的安全運(yùn)行,安全管理體系的設(shè)計(jì)應(yīng)突出網(wǎng)絡(luò)安全的整個(gè)流程,從用戶的發(fā)起端到校園網(wǎng)絡(luò)的INTERNET出口,在數(shù)據(jù)流傳輸?shù)母鱾€(gè)環(huán)節(jié)進(jìn)行了分布式的安全防范,同時(shí)輔以入侵檢測(cè)、漏洞掃描、流量管理的多種技術(shù)手段,加以監(jiān)控并降低設(shè)備不必要的運(yùn)行壓力,保證網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行。在各個(gè)環(huán)節(jié)中,以策略為中心的安全模型可以更充分的發(fā)揮模型的各項(xiàng)功能。以安全策略為中心的輪形安全模型,可以從安全、監(jiān)測(cè)、測(cè)試、調(diào)優(yōu)、流控五個(gè)部分對(duì)我們的安全架構(gòu)進(jìn)行不斷的完善,使其成為一個(gè)自防御體系,能夠快速、有效、可靠、全面的發(fā)現(xiàn)各種系統(tǒng)遭受的攻擊,并實(shí)現(xiàn)有效的防范,以確保系統(tǒng)的穩(wěn)定運(yùn)行。

在PDRR基礎(chǔ)上,以安全策略為核心,以安全技術(shù)為支撐,以安全管理作為落實(shí)手段,建立了高效校園網(wǎng)絡(luò)安全管理體系。

針對(duì)于上述的安全架構(gòu),在具體的應(yīng)用中,安全體系架構(gòu)包含二個(gè)模塊:分別為校園互聯(lián)網(wǎng)接入模塊、校園園區(qū)網(wǎng)模塊,二個(gè)安全構(gòu)件組成信息系統(tǒng)的安全架構(gòu)。這種結(jié)構(gòu)劃的設(shè)計(jì),有利于在不同的網(wǎng)絡(luò)功能模塊之間更好的劃分安全防范的重點(diǎn),并具有良好的擴(kuò)展型,允許在今后的網(wǎng)絡(luò)安全規(guī)劃中,以一種層次的關(guān)系來分發(fā)安全策略。

安全模塊的設(shè)計(jì)特點(diǎn)

校園INTERNET接入模塊

校園INTERNET接入模塊主要是預(yù)防INTERNET攻擊的第一道門戶,是防范INTERNET上黑客攻擊的最主要屏障。因此,它的設(shè)計(jì)思想是以最少的策略,實(shí)現(xiàn)最嚴(yán)格的限制與最少的漏洞,同時(shí)保證最快的轉(zhuǎn)發(fā)速度。

校園園區(qū)網(wǎng)模塊

校園園區(qū)網(wǎng)是內(nèi)部網(wǎng)的核心,保護(hù)著包括內(nèi)網(wǎng)用戶、重要服務(wù)器的安全。園區(qū)網(wǎng)由一臺(tái)防火墻、兩臺(tái)互為冗余的主干交換機(jī)、內(nèi)部應(yīng)用服務(wù)器與樓層交換機(jī)、IDS模塊組成。在防火墻上根據(jù)用戶、服務(wù)進(jìn)行詳細(xì)的分類,并針對(duì)每一個(gè)服務(wù)訪問做到具體的策略應(yīng)用,園區(qū)網(wǎng)上防火墻的安全配置要求對(duì)每個(gè)訪問做到具體、全面、嚴(yán)格的限制,為每個(gè)用戶都劃分了訪問的具體范圍,它作為安全防護(hù)的中心。

安全架構(gòu)的檢測(cè)

完成基本架構(gòu)的搭建,為了保證各項(xiàng)安全措施能夠滿足防御要求,采用了多種方式進(jìn)行系統(tǒng)的模擬安全檢測(cè)。

(1) 使用兩種漏洞掃描軟件對(duì)系統(tǒng)進(jìn)行測(cè)試,SYMANTEC NETSTAT、及SSS軟件進(jìn)行比較安全測(cè)試;

(2) 在防火墻的不同位置,TRUST、UNTRUST、DMZ、DMZ1等區(qū)域?qū)ΠňW(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)進(jìn)行了模擬攻擊;

在一個(gè)完整的校園安全管理體系中,各個(gè)部分之間的分工清晰,相互協(xié)作,在具體應(yīng)用中可以很好的應(yīng)用在實(shí)際的管理模塊上。這種方式將簡(jiǎn)單、高效的布置校園網(wǎng)絡(luò)的安全,為校園網(wǎng)絡(luò)的運(yùn)行及信息化建設(shè)奠定良好的安全基礎(chǔ)。

北京理工大學(xué)珠海學(xué)院校園網(wǎng)安全管理體系部署

北京理工大學(xué)珠海學(xué)院(以下簡(jiǎn)稱珠海學(xué)院)自2004年建校以來,珠海學(xué)院已擁有在校生15000人,校園網(wǎng)絡(luò)經(jīng)歷了6年的建設(shè),信息點(diǎn)已達(dá)20000個(gè),建成了內(nèi)網(wǎng)骨干帶寬為20G,珠海學(xué)院外網(wǎng)帶寬600M,校內(nèi)包括教務(wù)系統(tǒng)、網(wǎng)絡(luò)教學(xué)平臺(tái)、一卡通系統(tǒng)等各類應(yīng)用已達(dá)40個(gè),網(wǎng)絡(luò)用戶已達(dá)12500人左右。

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

安全策略

珠海學(xué)院各應(yīng)用服務(wù)器大部分采用WINDOWS 2003,部分采用WINDOWS 2008,數(shù)據(jù)庫服務(wù)器采用LINUX操作系統(tǒng),使用的應(yīng)用軟件主要包括:ORACLE、SQL SERVER、MY SQL、APACHE、IIS等,網(wǎng)絡(luò)情況、應(yīng)用環(huán)境十分復(fù)雜。針對(duì)上述問題,在建網(wǎng)初期,即制定了相應(yīng)的安全管理近期與長(zhǎng)期目標(biāo)。安全體系的近期目標(biāo)是實(shí)現(xiàn)完善的安全審計(jì)和取證機(jī)制,保證受到入侵后有證可查。鑒于大多數(shù)安全事件來自于管理員的誤操作,審計(jì)在明確事故責(zé)任上也能發(fā)揮重大作用。長(zhǎng)期目標(biāo)是建立安全預(yù)警系統(tǒng),能夠抵御較高水平的黑客攻擊。

分布式安全防范措施

分布式防范措施是從用戶端到INTERNET出口之間進(jìn)行層層設(shè)防,部署不同的安全技術(shù)和措施,從技術(shù)方面杜絕出現(xiàn)安全問題的舉措。在珠海學(xué)院的網(wǎng)絡(luò)上,我們采取了下列措施:

(1)限定網(wǎng)絡(luò)用戶的不同vlan。(2)實(shí)行802.1x的認(rèn)證協(xié)議。(3)網(wǎng)絡(luò)用戶安全管理。(4)網(wǎng)絡(luò)用戶隔離。(5)網(wǎng)間設(shè)備數(shù)據(jù)傳輸安全。(6)交換機(jī)ip與用戶ip分別管理。

(7)防止木馬的管理方式。(8)設(shè)置應(yīng)用的不同安全等級(jí)。(9)服務(wù)器的安全管理。

(10)VPN訪問。(11)系統(tǒng)恢復(fù)。

漏洞掃描

珠海學(xué)院在漏洞掃描工具上采用的是俄羅斯Shadow Security Scanner軟件,在安全掃描市場(chǎng)中享有速度最快,功效最好的盛名,其功能遠(yuǎn)遠(yuǎn)超過了其它眾多的掃描分析工具。SSS 可以對(duì)很大范圍內(nèi)的系統(tǒng)漏洞進(jìn)行安全、高效、可靠的安全檢測(cè),對(duì)系統(tǒng)全部掃面之后,SSS可以對(duì)收集的信息進(jìn)行分析,發(fā)現(xiàn)系統(tǒng)設(shè)置中容易被攻擊的地方和可能的錯(cuò)誤,得出對(duì)發(fā)現(xiàn)問題的可能的解決方法。

在珠海學(xué)院的網(wǎng)絡(luò)管理中,定期對(duì)各個(gè)主要的交換機(jī)、服務(wù)器進(jìn)行安全掃描,以為下一步的安全管理提供依據(jù)。

入侵檢測(cè)

珠海學(xué)院的入侵檢測(cè)系統(tǒng)布置,分為兩個(gè)層次,首先為NIDS,主要啟用防火墻的IDS模塊功能;

另外,啟用HIDS功能及在服務(wù)器上安裝個(gè)人防火墻設(shè)置,珠海學(xué)院采用的是MICROSOFT ISA2004。

為了檢測(cè)有害的入侵者,ISA Server將網(wǎng)絡(luò)通信以及日志項(xiàng)與熟知的攻擊方法進(jìn)行比較。如發(fā)現(xiàn)可疑的行為會(huì)觸發(fā)一組預(yù)先設(shè)定的措施或者警報(bào)。這些措施包括終止鏈接、終止服務(wù)、電子郵件警報(bào)、記入日志、以及運(yùn)行一個(gè)選定的程序。

流量管理

由于P2P技術(shù)的廣泛應(yīng)用,目前大多數(shù)網(wǎng)絡(luò)用戶都采用P2P技術(shù)的網(wǎng)絡(luò)工具進(jìn)行諸如下載、視頻、聽歌等服務(wù),如迅雷、QQ直播、酷狗等,這些軟件的優(yōu)點(diǎn)是充分利用互聯(lián)網(wǎng)絡(luò),為用戶提供豐富的資源。應(yīng)該說P2P技術(shù)的快速發(fā)展帶動(dòng)了互聯(lián)網(wǎng)絡(luò)的快速發(fā)展,讓用戶能夠更加便捷的使用互聯(lián)網(wǎng)上的資源。

但P2P技術(shù)對(duì)于網(wǎng)絡(luò)管理與運(yùn)營來說是一種嚴(yán)重的挑戰(zhàn),一方面P2P技術(shù)過于貪婪,最大化的利用網(wǎng)絡(luò)帶寬進(jìn)行下載。在珠海學(xué)院建網(wǎng)初期,申請(qǐng)的100M互聯(lián)網(wǎng)帶寬在沒有任何限制的情況下,僅有120多用戶就占滿了所有的下行帶寬,對(duì)校園網(wǎng)絡(luò)運(yùn)營影響極大(帶寬租用價(jià)格較貴)。而且下載的很多資源內(nèi)包含有大量的木馬、病毒程序,對(duì)網(wǎng)絡(luò)的安全運(yùn)行造成了極大的影響。在珠海學(xué)院校園網(wǎng)絡(luò)運(yùn)行初期,很多問題是圍繞著帶寬、速度產(chǎn)生的。P2P應(yīng)用軟件的廣發(fā)使用對(duì)校園網(wǎng)絡(luò)設(shè)備帶來了極大的壓力,根本無從保證校園網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和安全管理。

經(jīng)過不斷的摸索,珠海學(xué)院在控制P2P應(yīng)用中重點(diǎn)采用了三種措施:

(1)限制用戶的帶寬:對(duì)于單個(gè)用戶ip,通過防火墻對(duì)用戶進(jìn)行帶寬管理,為每個(gè)用戶保證一條相對(duì)固定的通道,而不去影響其它用戶的上網(wǎng);

(2)限制用戶的連接數(shù):每個(gè)服務(wù)都是通過TCP或者UDP進(jìn)行的數(shù)據(jù)通信,通過防火墻對(duì)單個(gè)用戶ip進(jìn)行連接數(shù)的限制,從而限制諸如迅雷、p2p等貪婪占用通道的工具,以保證網(wǎng)絡(luò)線路的通暢;

(3)限制或封閉P2P協(xié)議的總帶寬:P2P協(xié)議之所以難以管理,主要是由于這種技術(shù)在使用過程中的服務(wù)端口可以隨機(jī)的變化,管理者根本無法確定服務(wù)的端口號(hào),也就無法通過傳統(tǒng)的設(shè)備進(jìn)行限制和禁止。但任何協(xié)議都有自己的特征碼,我們通過技術(shù)手段對(duì)P2P協(xié)議的特征進(jìn)行匹配從而控制這種協(xié)議的軟件。但考慮到這種軟件應(yīng)用的廣泛性,僅對(duì)這種軟件限制總體流量而并不完全封閉。

安全管理

安全管理貫穿于安全防范體系的始終。實(shí)踐一再告訴人們僅有安全技術(shù)防范,而無嚴(yán)格的安全管理體系相配套,是難以保障網(wǎng)絡(luò)系統(tǒng)安全的。必須制定一系列安全管理制度,對(duì)安全技術(shù)和安全設(shè)施進(jìn)行管理。實(shí)現(xiàn)安全管理必須遵循可操作、全局性、動(dòng)態(tài)性、管理與技術(shù)的有機(jī)結(jié)合、責(zé)權(quán)分明、分權(quán)制約及安全管理的制度化等原則。

2004年珠海學(xué)院校園網(wǎng)絡(luò)建立后,我們形成了初步的安全管理制度,但在運(yùn)行過程中,發(fā)現(xiàn)存在有很多的問題。校園網(wǎng)絡(luò)建立初期,設(shè)立網(wǎng)管負(fù)責(zé)全校的校園網(wǎng)絡(luò)管理、設(shè)立了系統(tǒng)管理員負(fù)責(zé)全校的應(yīng)用服務(wù)器管理,但實(shí)際上雖然人員角色明確,但人員任務(wù)并不明確。比如,網(wǎng)管人員管理所有的網(wǎng)絡(luò)設(shè)備,但具體的學(xué)生用戶上網(wǎng)情況并不是十分了解,對(duì)存在的問題不是非常清晰。而作為系統(tǒng)管理員并不十分清楚服務(wù)器所安裝的具體應(yīng)用軟件要求,往往是由應(yīng)用管理人員對(duì)系統(tǒng)進(jìn)行維護(hù),但又經(jīng)常忽視系統(tǒng)的安全性。

針對(duì)上述問題,我們制定了以業(yè)務(wù)為主導(dǎo)的管理模式,將校園網(wǎng)絡(luò)分為兩片,宿舍區(qū)網(wǎng)絡(luò)、教學(xué)區(qū)網(wǎng)絡(luò),分別由專人進(jìn)行管理,但網(wǎng)絡(luò)路由統(tǒng)一由教學(xué)區(qū)管理,以保證網(wǎng)絡(luò)的穩(wěn)定、暢通性。而應(yīng)用系統(tǒng)部分分為公共基礎(chǔ)服務(wù)、校務(wù)管理系統(tǒng)、網(wǎng)絡(luò)教學(xué)系統(tǒng)分別由三個(gè)專職人員負(fù)責(zé)維護(hù)、管理,并有一人總負(fù)責(zé),檢查、督促工作的完成情況。

這種管理方式讓具體管理人員對(duì)于自身管理系統(tǒng)的問題十分清楚,從而保證了整個(gè)網(wǎng)絡(luò)安全體系的動(dòng)態(tài)性和有效性。

運(yùn)行效果

經(jīng)過對(duì)校園網(wǎng)絡(luò)的一系列調(diào)整、改造,珠海學(xué)院的校園網(wǎng)絡(luò)運(yùn)行得到了極大的改善,我們從以下幾個(gè)方面來評(píng)定:

網(wǎng)絡(luò)基本流量對(duì)比

珠海學(xué)院學(xué)生用INTERNET線路共計(jì)有3條,2條200M電信帶寬,1條100M網(wǎng)通帶寬。三條線路分別連接在3臺(tái)防火墻上,分別為3.1,3.10,4.1。下列圖為對(duì)前2臺(tái)防火墻的INTERNET接口進(jìn)行的數(shù)據(jù)取樣。

如圖所示,每到高峰期時(shí),200M帶寬基本上已經(jīng)全部占滿,

用戶網(wǎng)絡(luò)運(yùn)行穩(wěn)定

珠海學(xué)院網(wǎng)絡(luò)運(yùn)行時(shí)間為8:00-24:00,其余時(shí)間斷網(wǎng),下表即位珠海學(xué)院上網(wǎng)用戶的信息統(tǒng)計(jì)。如表所示,一天之中在中午與晚上分別為兩個(gè)最高峰的運(yùn)行值,用戶在線率高,網(wǎng)絡(luò)帶寬消耗也相應(yīng)提升。

網(wǎng)絡(luò)運(yùn)行穩(wěn)定

珠海學(xué)院網(wǎng)絡(luò)分為辦公網(wǎng)絡(luò)(教學(xué)樓部分)與學(xué)生網(wǎng)絡(luò)(生活區(qū)部分),為了保障系統(tǒng)的安全,這兩個(gè)部分之間的網(wǎng)絡(luò)作了相應(yīng)的策略控制,只能通過服務(wù)器進(jìn)行數(shù)據(jù)交換。每天,網(wǎng)管對(duì)兩部分網(wǎng)絡(luò)進(jìn)行監(jiān)控各自的運(yùn)行狀態(tài),以及時(shí)了解網(wǎng)絡(luò)中可能出現(xiàn)的問題。

下圖分別描述了位于教學(xué)區(qū)與生活區(qū)部分網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況。(測(cè)試工具為SolarWinds 2001 Enhanced Ping)

基本服務(wù)運(yùn)行正常

通過對(duì)所有流經(jīng)網(wǎng)絡(luò)管理器的數(shù)據(jù)包進(jìn)行監(jiān)控,分析得到網(wǎng)絡(luò)中各種協(xié)議的運(yùn)行情況及流量狀態(tài)。該監(jiān)控囊括了網(wǎng)絡(luò)上所有協(xié)議的定義,分作傳統(tǒng)協(xié)議、P2P下載、網(wǎng)絡(luò)電視、即時(shí)通信、流媒體、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)游戲、股票交易、網(wǎng)絡(luò)安全這些監(jiān)控模塊,直接體現(xiàn)了網(wǎng)絡(luò)上各種協(xié)議的應(yīng)用情況。

服務(wù)器系統(tǒng)運(yùn)行穩(wěn)定

通過對(duì)主要服務(wù)器的系統(tǒng)狀態(tài)監(jiān)控,了解CPU、內(nèi)存、SWAP等的運(yùn)行狀態(tài)及各服務(wù)進(jìn)程的運(yùn)行狀態(tài),確定服務(wù)器的是否正常。

3 結(jié)語

校園網(wǎng)絡(luò)作為校園信息系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái),網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行是保證各項(xiàng)業(yè)務(wù)平穩(wěn)運(yùn)行的基礎(chǔ)保障,必須建立起一套可行的、有機(jī)的安全管理體系,根據(jù)學(xué)校的實(shí)際特點(diǎn)進(jìn)行有效的部署。從北京理工大學(xué)珠海學(xué)院校園網(wǎng)絡(luò)安全體系的建立中,我們積累了一些基礎(chǔ),并在此基礎(chǔ)上,本文提出了在PDRR基礎(chǔ)上,以安全策略為核心,以安全技術(shù)為支撐,以安全管理作為落實(shí)手段,建立了校園網(wǎng)絡(luò)安全管理體系。

參考文獻(xiàn)

康弗瑞.網(wǎng)絡(luò)安全體系結(jié)構(gòu).北京:人民郵電出版社,2005年.15-21.

戴英俠.計(jì)算機(jī)網(wǎng)絡(luò)安全.北京:清華大學(xué)出版社,2004年.89-131.

曾湘黔.防火墻與網(wǎng)絡(luò)安全-入侵檢測(cè)和VPNs.北京:清華大學(xué)出版社,2004年.

W.RICHARD STEVENS. TCP/IP詳解 卷1:協(xié)議 .機(jī)械工業(yè)出版社,2000年.

W..RICHARD STEVENS.TCP/IP詳解 卷2:實(shí)現(xiàn)TCP/IP .機(jī)械工業(yè)出版社,2000年.

W.RICHARD STEVENS. TCP/IP詳解卷三:TCP事務(wù)協(xié)議.機(jī)械工業(yè)出版社,2000年.

張小斌,嚴(yán)望佳.黑客分析與防范技術(shù).北京:清華大學(xué)出版社,2003.82-91.

張仕斌,譚三等.網(wǎng)絡(luò)安全技術(shù).北京:清華大學(xué)出版社,2004.87-121.

段鋼.加密與解密(第三版).電子工業(yè)出版社,2008.

曹元大,薛靜鋒,祝烈煌,閻慧.入侵檢測(cè)技術(shù).人民郵電出版社,2007.

第6篇:網(wǎng)絡(luò)安全防范論文范文

論文關(guān)鍵詞:計(jì)算機(jī) 網(wǎng)絡(luò) 安全 對(duì)策

論文摘要:本文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問題進(jìn)行了深入探討,提出了對(duì)應(yīng)的改進(jìn)和防范措施。

隨著計(jì)算機(jī)信息化建設(shè)的飛速發(fā)展,計(jì)算機(jī)已普遍應(yīng)用到日常工作、生活的每一個(gè)領(lǐng)域,比如政府機(jī)關(guān)、學(xué)校、醫(yī)院、社區(qū)及家庭等。但隨之而來的是,計(jì)算機(jī)網(wǎng)絡(luò)安全也受到全所未有的威脅,計(jì)算機(jī)病毒無處不在,黑客的猖獗,都防不勝防。本文將著重對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)安全存在的問題提出相應(yīng)的安全防范措施。

1、技術(shù)層面對(duì)策

在技術(shù)方面,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有實(shí)時(shí)掃描技術(shù)、實(shí)時(shí)監(jiān)測(cè)技術(shù)、防火墻、完整性檢驗(yàn)保護(hù)技術(shù)、病毒情況分析報(bào)告技術(shù)和系統(tǒng)安全管理技術(shù)。綜合起來,技術(shù)層面可以采取以下對(duì)策:

1) 建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對(duì)重要部門和信息,嚴(yán)格做好開機(jī)查毒,及時(shí)備份數(shù)據(jù),這是一種簡(jiǎn)單有效的方法。

2) 網(wǎng)絡(luò)訪問控制。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。

3) 數(shù)據(jù)庫的備份與恢復(fù)。數(shù)據(jù)庫的備份與恢復(fù)是數(shù)據(jù)庫管理員維護(hù)數(shù)據(jù)安全性和完整性的重要操作。備份是恢復(fù)數(shù)據(jù)庫最容易和最能防止意外的保證方法?;謴?fù)是在意外發(fā)生后利用備份來恢復(fù)數(shù)據(jù)的操作。有三種主要備份策略:只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務(wù)日志、增量備份。

4) 應(yīng)用密碼技術(shù)。應(yīng)用密碼技術(shù)是信息安全核心技術(shù),密碼手段為信息安全提供了可靠保證?;诿艽a的數(shù)字簽名和身份認(rèn)證是當(dāng)前保證信息完整性的最主要方法之一,密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。

5) 切斷傳播途徑。對(duì)被感染的硬盤和計(jì)算機(jī)進(jìn)行徹底殺毒處理,不使用來歷不明的U盤和程序,不隨意下載網(wǎng)絡(luò)可疑信息。

6) 提高網(wǎng)絡(luò)反病毒技術(shù)能力。通過安裝病毒防火墻,進(jìn)行實(shí)時(shí)過濾。對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè),在工作站上采用防病毒卡,加強(qiáng)網(wǎng)絡(luò)目錄和文件訪問權(quán)限的設(shè)置。在網(wǎng)絡(luò)中,限制只能由服務(wù)器才允許執(zhí)行的文件。

7) 研發(fā)并完善高安全的操作系統(tǒng)。研發(fā)具有高安全的操作系統(tǒng),不給病毒得以滋生的溫床才能更安全。

2、管理層面對(duì)策

計(jì)算機(jī)網(wǎng)絡(luò)的安全管理,不僅要看所采用的安全技術(shù)和防范措施,而且要看它所采取的管理措施和執(zhí)行計(jì)算機(jī)安全保護(hù)法律、法規(guī)的力度。只有將兩者緊密結(jié)合,才能使計(jì)算機(jī)網(wǎng)絡(luò)安全確實(shí)有效。

計(jì)算機(jī)網(wǎng)絡(luò)的安全管理,包括對(duì)計(jì)算機(jī)用戶的安全教育、建立相應(yīng)的安全管理機(jī)構(gòu)、不斷完善和加強(qiáng)計(jì)算機(jī)的管理功能、加強(qiáng)計(jì)算機(jī)及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強(qiáng)計(jì)算機(jī)安全管理、加強(qiáng)用戶的法律、法規(guī)和道德觀念,提高計(jì)算機(jī)用戶的安全意識(shí),對(duì)防止計(jì)算機(jī)犯罪、抵制黑客攻擊和防止計(jì)算機(jī)病毒干擾,是十分重要的措施。

這就要對(duì)計(jì)算機(jī)用戶不斷進(jìn)行法制教育,包括計(jì)算機(jī)安全法、計(jì)算機(jī)犯罪法、保密法、數(shù)據(jù)保護(hù)法等,明確計(jì)算機(jī)用戶和系統(tǒng)管理人員應(yīng)履行的權(quán)利和義務(wù),自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭(zhēng),維護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全,維護(hù)信息系統(tǒng)的安全。除此之外,還應(yīng)教育計(jì)算機(jī)用戶和全體工作人員,應(yīng)自覺遵守為維護(hù)系統(tǒng)安全而建立的一切規(guī)章制度,包括人員管理制度、運(yùn)行維護(hù)和管理制度、計(jì)算機(jī)處理的控制和管理制度、各種資料管理制度、機(jī)房保衛(wèi)管理制度、專機(jī)專用和嚴(yán)格分工等管理制度。

3、物理安全層面對(duì)策

要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠,必須保證系統(tǒng)實(shí)體有個(gè)安全的物理環(huán)境條件。這個(gè)安全的環(huán)境是指機(jī)房及其設(shè)施,主要包括以下內(nèi)容:

1) 計(jì)算機(jī)系統(tǒng)的環(huán)境條件。計(jì)算機(jī)系統(tǒng)的安全環(huán)境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動(dòng)和沖擊、電氣干擾等方面,都要有具體的要求和嚴(yán)格的標(biāo)準(zhǔn)。

2) 機(jī)房場(chǎng)地環(huán)境的選擇。計(jì)算機(jī)系統(tǒng)選擇一個(gè)合適的安裝場(chǎng)所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計(jì)算機(jī)房場(chǎng)地,要注意其外部環(huán)境安全性、地質(zhì)可靠性、場(chǎng)地抗電磁干擾性,避開強(qiáng)振動(dòng)源和強(qiáng)噪聲源,并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁。還要注意出入口的管理。

3) 機(jī)房的安全防護(hù)。機(jī)房的安全防護(hù)是針對(duì)環(huán)境的物理災(zāi)害和防止未授權(quán)的個(gè)人或團(tuán)體破壞、篡改或盜竊網(wǎng)絡(luò)設(shè)施、重要數(shù)據(jù)而采取的安全措施和對(duì)策。為做到區(qū)域安全,首先,應(yīng)考慮物理訪問控制來識(shí)別訪問用戶的身份,并對(duì)其合法性進(jìn)行驗(yàn)證;其次,對(duì)來訪者必須限定其活動(dòng)范圍;第三,要在計(jì)算機(jī)系統(tǒng)中心設(shè)備外設(shè)多層安全防護(hù)圈,以防止非法暴力入侵;第四設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施。

計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程,涉及技術(shù)、設(shè)備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進(jìn)行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù),將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)等綜合起來,形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系。我們必須做到管理和技術(shù)并重,安全技術(shù)必須結(jié)合安全措施,并加強(qiáng)計(jì)算機(jī)立法和執(zhí)法的力度,建立備份和恢復(fù)機(jī)制,制定相應(yīng)的安全標(biāo)準(zhǔn)。此外,由于計(jì)算機(jī)病毒、計(jì)算機(jī)犯罪等技術(shù)是不分國界的,因此必須進(jìn)行充分的國際合作,來共同對(duì)付日益猖獗的計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒等問題。

參考文獻(xiàn)

[1] 張千里.網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003.

第7篇:網(wǎng)絡(luò)安全防范論文范文

一 緒論 安全管理的發(fā)展趨勢(shì)和現(xiàn)狀

1、 網(wǎng)絡(luò)安全現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用是當(dāng)今信息社會(huì)的一場(chǎng)革命。電子商務(wù)和電子政務(wù)等網(wǎng)絡(luò)應(yīng)用的發(fā)展和普及不僅給我們的生活帶來了很大的便利,而且正在創(chuàng)造著巨大的財(cái)富,以Internet為代表的全球性信息化浪潮日益深刻,信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛,應(yīng)用層次不斷深入,應(yīng)用領(lǐng)域更是從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。

與此同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)也正面臨著日益劇增的安全威脅。廣為網(wǎng)絡(luò)用戶所知的黑客行為和攻擊活動(dòng)正以每年10倍的速度增長(zhǎng),網(wǎng)頁被修改、非法進(jìn)入主機(jī)、發(fā)送假冒電子郵件、進(jìn)入銀行系統(tǒng)盜取和轉(zhuǎn)移資金、竊取信息等網(wǎng)絡(luò)攻擊事件此起彼伏。計(jì)算機(jī)病毒、特洛伊木馬、拒絕服務(wù)攻擊、電子商務(wù)入侵和盜竊等,都造成了各種危害,包括機(jī)密數(shù)據(jù)被篡改和竊取、網(wǎng)站頁面被修改或丑化、網(wǎng)絡(luò)癱瘓等。網(wǎng)絡(luò)與信息安全問題日益突出,已經(jīng)成為影響國家安全、社會(huì)穩(wěn)定和人民生活的大事,發(fā)展與現(xiàn)有網(wǎng)絡(luò)技術(shù)相對(duì)應(yīng)的網(wǎng)絡(luò)安全技術(shù),保障網(wǎng)絡(luò)安全、有序和有效的運(yùn)行,是保證互聯(lián)網(wǎng)高效、有序應(yīng)用的關(guān)鍵之一。

2、 現(xiàn)有網(wǎng)絡(luò)安全技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)是基于網(wǎng)絡(luò)可識(shí)別的網(wǎng)絡(luò)協(xié)議基礎(chǔ)之上的各種網(wǎng)絡(luò)應(yīng)用的完整組合,協(xié)議本身和應(yīng)用都有可能存在問題,網(wǎng)絡(luò)安全問題包括網(wǎng)絡(luò)所使用的協(xié)議的設(shè)計(jì)問題,也包括協(xié)議和應(yīng)用的軟件實(shí)現(xiàn)問題,當(dāng)然還包括了人為的因素以及系統(tǒng)管理失誤等網(wǎng)絡(luò)安全問題,下表示意說明了這些方面的網(wǎng)絡(luò)安全問題。

問題類型 問題點(diǎn) 問題描述

協(xié)議設(shè)計(jì) 安全問題被忽視 制定協(xié)議之時(shí),通常首先強(qiáng)調(diào)功能性,而安全性問題則是到最后一刻、甚或不列入考慮范圍。

其它基礎(chǔ)協(xié)議問題 架構(gòu)在其他不穏固基礎(chǔ)協(xié)議之上的協(xié)議,即使本身再完善也會(huì)有很多問題。

流程問題 設(shè)計(jì)協(xié)議時(shí),對(duì)各種可能出現(xiàn)的流程問題考慮不夠周全,導(dǎo)致發(fā)生狀況時(shí),系統(tǒng)處理方式不當(dāng)。

設(shè)計(jì)錯(cuò)誤 協(xié)議設(shè)計(jì)錯(cuò)誤,導(dǎo)致系統(tǒng)服務(wù)容易失效或招受攻擊。

軟件設(shè)計(jì) 設(shè)計(jì)錯(cuò)誤 協(xié)議規(guī)劃正確,但協(xié)議設(shè)計(jì)時(shí)發(fā)生錯(cuò)誤,或設(shè)計(jì)人員對(duì)協(xié)議的認(rèn)知錯(cuò)誤,導(dǎo)致各種安全漏洞。

程序錯(cuò)誤 程序撰寫習(xí)慣不良導(dǎo)致很多安全漏洞,包含常見的未檢查資料長(zhǎng)度內(nèi)容、輸入資料容錯(cuò)能力不足、未檢測(cè)可能發(fā)生的錯(cuò)誤、應(yīng)用環(huán)境的假設(shè)錯(cuò)誤、引用不當(dāng)模塊、未檢測(cè)資源不足等。

人員操作 操作失誤 操作規(guī)范嚴(yán)格且完善,但是操作人員未受過良好訓(xùn)練、或未按手冊(cè)操作,導(dǎo)致各種安全漏洞和安全隱患。

系統(tǒng)維護(hù) 默認(rèn)值不安全 軟件或操作系統(tǒng)的預(yù)設(shè)設(shè)置不科學(xué),導(dǎo)致缺省設(shè)置下系統(tǒng)處于不安全的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。

未修補(bǔ)系統(tǒng) 軟件和操作系統(tǒng)的各種補(bǔ)丁程序沒有及時(shí)修復(fù)。

內(nèi)部安全問題 對(duì)由信任系統(tǒng)和網(wǎng)絡(luò)發(fā)起的各種攻擊防范不夠。信任領(lǐng)域存在的不安全系統(tǒng),成為不信任領(lǐng)域內(nèi)系統(tǒng)攻擊信任領(lǐng)域的各種跳板。

針對(duì)上表所示的各種網(wǎng)絡(luò)安全問題,全世界的網(wǎng)絡(luò)安全廠商都試圖發(fā)展了各種安全技術(shù)來防范這些問題,這些技術(shù)包括訪問控制技術(shù)、識(shí)別和鑒別技術(shù)、密碼技術(shù)、完整性控制技術(shù)、審計(jì)和恢復(fù)技術(shù)、防火墻系統(tǒng)、計(jì)算機(jī)病毒防護(hù)、操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全和抗抵賴協(xié)議等,相繼陸續(xù)推出了包括防火墻、入侵檢測(cè)(IDS)、防病毒軟件、CA系統(tǒng)、加密算法等在內(nèi)的各類網(wǎng)絡(luò)安全軟件,這些技術(shù)和安全系統(tǒng)(軟件)對(duì)網(wǎng)絡(luò)系統(tǒng)提供了一定的安全防范,一定程度上解決了網(wǎng)絡(luò)安全問題某一方面的問題。

3、 現(xiàn)有網(wǎng)絡(luò)安全技術(shù)的缺陷

現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)都是針對(duì)網(wǎng)絡(luò)安全問題的某一個(gè)或幾個(gè)方面來設(shè)計(jì)的,它只能相應(yīng)地在一定程度上解決這一個(gè)或幾個(gè)方面的網(wǎng)絡(luò)安全問題,無法防范和解決其他的問題,更不可能提供對(duì)整個(gè)網(wǎng)絡(luò)的系統(tǒng)、有效的保護(hù)。如身份認(rèn)證和訪問控制技術(shù)只能解決確認(rèn)網(wǎng)絡(luò)用戶身份的問題,但卻無法防止確認(rèn)的用戶之間傳遞的信息是否安全的問題,而計(jì)算機(jī)病毒防范技術(shù)只能防范計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)和系統(tǒng)的危害,但卻無法識(shí)別和確認(rèn)網(wǎng)絡(luò)上用戶的身份等等。

現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)中,防火墻技術(shù)可以在一定程度上解決一些網(wǎng)絡(luò)安全問題。防火墻產(chǎn)品主要包括包過濾防火墻,狀態(tài)檢測(cè)包過濾防火墻和應(yīng)用層防火墻,但是防火墻產(chǎn)品存在著局限性。其最大的局限性就是防火墻自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否安全。同時(shí),防火墻還存在著一些弱點(diǎn):一、不能防御來自內(nèi)部的攻擊:來自內(nèi)部的攻擊者是從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊的,他們的攻擊行為不通過防火墻,而防火墻只是隔離內(nèi)部網(wǎng)與因特網(wǎng)上的主機(jī),監(jiān)控內(nèi)部網(wǎng)和因特網(wǎng)之間的通信,而對(duì)內(nèi)部網(wǎng)上的情況不作檢查,因而對(duì)內(nèi)部的攻擊無能為力;二、不能防御繞過防火墻的攻擊行為:從根本上講,防火墻是一種被動(dòng)的防御手段,只能守株待兔式地對(duì)通過它的數(shù)據(jù)報(bào)進(jìn)行檢查,如果該數(shù)據(jù)由于某種原因沒有通過防火墻,則防火墻就不會(huì)采取任何的措施;三、不能防御完全新的威脅:防火墻只能防御已知的威脅,但是人們發(fā)現(xiàn)可信賴的服務(wù)中存在新的侵襲方法,可信賴的服務(wù)就變成不可信賴的了;四、防火墻不能防御數(shù)據(jù)驅(qū)動(dòng)的攻擊:雖然防火墻掃描分析所有通過的信息,但是這種掃描分析多半是針對(duì)IP地址和端口號(hào)或者協(xié)議內(nèi)容的,而非數(shù)據(jù)細(xì)節(jié)。這樣一來,基于數(shù)據(jù)驅(qū)動(dòng)的攻擊,比如病毒,可以附在諸如電子郵件之類的東西上面進(jìn)入你的系統(tǒng)中并發(fā)動(dòng)攻擊。

入侵檢測(cè)技術(shù)也存在著局限性。其最大的局限性就是漏報(bào)和誤報(bào)嚴(yán)重,它不能稱之為一個(gè)可以信賴的安全工具,而只是一個(gè)參考工具。

在沒有更為有效的安全防范產(chǎn)品之前,更多的用戶都選擇并依賴于防火墻這樣的產(chǎn)品來保障自己的網(wǎng)絡(luò)安全,然而相對(duì)應(yīng)的是,新的OS漏洞和網(wǎng)絡(luò)層攻擊層出不窮,攻破防火墻、攻擊計(jì)算機(jī)網(wǎng)絡(luò)的事件也越來越多,因此,開發(fā)一個(gè)更為完善的網(wǎng)絡(luò)安全防范系統(tǒng)來有效保護(hù)網(wǎng)絡(luò)系統(tǒng),已經(jīng)成為各網(wǎng)絡(luò)安全廠商和用戶的共同需求和目標(biāo)。

4發(fā)展趨勢(shì):

中國的網(wǎng)絡(luò)安全技術(shù)在近幾年得到快速的發(fā)展,這一方面得益于從中央到地方政府的廣泛重視,另一方面因?yàn)榫W(wǎng)絡(luò)安全問題日益突出,網(wǎng)絡(luò)安全企業(yè)不斷跟進(jìn)最新安全技術(shù),不斷推出滿足用戶需求、具有時(shí)代特色的安全產(chǎn)品,進(jìn)一步促進(jìn)了網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

從技術(shù)層面來看,目前網(wǎng)絡(luò)安全產(chǎn)品在發(fā)展過程中面臨的主要問題是:以往人們主要關(guān)心系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面的防護(hù)問題,而現(xiàn)在人們更加關(guān)注應(yīng)用層面的安全防護(hù)問題,安全防護(hù)已經(jīng)從底層或簡(jiǎn)單數(shù)據(jù)層面上升到了應(yīng)用層面,這種應(yīng)用防護(hù)問題已經(jīng)深入到業(yè)務(wù)行為的相關(guān)性和信息內(nèi)容的語義范疇,越來越多的安全技術(shù)已經(jīng)與應(yīng)用相結(jié)合。

4.1、現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的局限性

談及網(wǎng)絡(luò)安全技術(shù),就必須提到網(wǎng)絡(luò)安全技術(shù)的三大主流—防火墻技術(shù)、入侵檢測(cè)技術(shù)以及防病毒技術(shù)。

任何一個(gè)用戶,在剛剛開始面對(duì)安全問題的時(shí)候,考慮的往往就是這“老三樣”??梢哉f,這三種網(wǎng)絡(luò)安全技術(shù)為整個(gè)網(wǎng)絡(luò)安全建設(shè)起到了功不可沒的作用,但是傳統(tǒng)的安全“老三樣”或者說是以其為主的安全產(chǎn)品正面臨著許多新的問題。

轉(zhuǎn)貼于

首先,從用戶角度來看,雖然系統(tǒng)中安裝了防火墻,但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_。

其次,未經(jīng)大規(guī)模部署的入侵檢測(cè)單個(gè)產(chǎn)品在提前預(yù)警方面存在著先天的不足,且在精確定位和全局管理方面還有很大的空間。

再次,雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品,但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題,還包括安全策略的執(zhí)行、外來非法侵入、補(bǔ)丁管理以及合規(guī)管理等方面。

所以說,雖然“老三樣”已經(jīng)立下了赫赫戰(zhàn)功,且仍然發(fā)揮著重要作用,但是用戶已漸漸感覺到其不足之處。其次,從網(wǎng)絡(luò)安全的整體技術(shù)框架來看,網(wǎng)絡(luò)安全技術(shù)同樣面臨著很大的問題,“老三樣”基本上還是針對(duì)數(shù)據(jù)、單個(gè)系統(tǒng)、軟硬件以及程序本身安全的保障。應(yīng)用層面的安全,需要將側(cè)重點(diǎn)集中在信息語義范疇的“內(nèi)容”和網(wǎng)絡(luò)虛擬世界的“行為”上。

4.2、技術(shù)發(fā)展趨勢(shì)分析

.

防火墻技術(shù)發(fā)展趨勢(shì)

在混合攻擊肆虐的時(shí)代,單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要,而具備多種安全功能,基于應(yīng)用協(xié)議層防御、低誤報(bào)率檢測(cè)、高可靠高性能平臺(tái)和統(tǒng)一組件化管理的技術(shù),優(yōu)勢(shì)將得到越來越多的體現(xiàn),UTM(UnifiedThreatManagement,統(tǒng)一威脅管理)技術(shù)應(yīng)運(yùn)而生。

從概念的定義上看,UTM既提出了具體產(chǎn)品的形態(tài),又涵蓋了更加深遠(yuǎn)的邏輯范疇。從定義的前半部分來看,很多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合UTM的概念;而從后半部分來看,UTM的概念還體現(xiàn)了經(jīng)過多年發(fā)展之后,信息安全行業(yè)對(duì)安全管理的深刻理解以及對(duì)安全產(chǎn)品可用性、聯(lián)動(dòng)能力的深入研究。

UTM的功能見圖1.由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備,因此UTM設(shè)備本身必須具備良好的性能和高可靠性,同時(shí),UTM在統(tǒng)一的產(chǎn)品管理平臺(tái)下,集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體,實(shí)現(xiàn)了多種防御功能,因此,向UTM方向演進(jìn)將是防火墻的發(fā)展趨勢(shì)。UTM設(shè)備應(yīng)具備以下特點(diǎn)。

(1)網(wǎng)絡(luò)安全協(xié)議層防御。防火墻作為簡(jiǎn)單的第二到第四層的防護(hù),主要針對(duì)像IP、端口等靜態(tài)的信息進(jìn)行防護(hù)和控制,但是真正的安全不能只停留在底層,我們需要構(gòu)建一個(gè)更高、更強(qiáng)、更可靠的墻,除了傳統(tǒng)的訪問控制之外,還需要對(duì)垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測(cè)和治理的作用,實(shí)現(xiàn)七層協(xié)議的保護(hù),而不僅限于第二到第四層。

(2)通過分類檢測(cè)技術(shù)降低誤報(bào)率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報(bào)過高,將會(huì)對(duì)用戶帶來災(zāi)難性的后果。IPS理念在20世紀(jì)90年代就已經(jīng)被提出,但是目前全世界對(duì)IPS的部署非常有限,影響其部署的一個(gè)重要問題就是誤報(bào)率。分類檢測(cè)技術(shù)可以大幅度降低誤報(bào)率,針對(duì)不同的攻擊,采取不同的檢測(cè)技術(shù),比如防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等,從而顯著降低誤報(bào)率。

(3)有高可靠性、高性能的硬件平臺(tái)支撐。

(4)一體化的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身,因此,它必須具有能夠統(tǒng)一控制和管理的平臺(tái),使用戶能夠有效地管理。這樣,設(shè)備平臺(tái)可以實(shí)現(xiàn)標(biāo)準(zhǔn)化并具有可擴(kuò)展性,用戶可在統(tǒng)一的平臺(tái)上進(jìn)行組件管理,同時(shí),一體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島,從而在應(yīng)對(duì)各種各樣攻擊威脅的時(shí)候,能夠更好地保障用戶的網(wǎng)絡(luò)安全。

二 網(wǎng)絡(luò)安全面臨的主要問題

1. 網(wǎng)絡(luò)建設(shè)單位、管理人員和技術(shù)人員缺乏安全防范意識(shí),從而就不可能采取主動(dòng)的安全 措施加以防范,完全處于被動(dòng)挨打的位置。

2. 組織和部門的有關(guān)人員對(duì)網(wǎng)絡(luò)的安全現(xiàn)狀不明確,不知道或不清楚網(wǎng)絡(luò)存在的安全隱 患,從而失去了防御攻擊的先機(jī)。

3. 組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全防范沒有形成完整的、組織化的體系結(jié)構(gòu),其缺陷給攻擊 者以可乘之機(jī)。

4. 組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)沒有建立完善的管理體系,從而導(dǎo)致安全體系和安全控制措施 不能充分有效地發(fā)揮效能。業(yè)務(wù)活動(dòng)中存在安全疏漏,造成不必要的信息泄露,給攻擊者以收集敏感信息的機(jī)會(huì)。

5. 網(wǎng)絡(luò)安全管理人員和技術(shù)有員缺乏必要的專業(yè)安全知識(shí),不能安全地配置和管理網(wǎng)絡(luò), 不能及時(shí)發(fā)現(xiàn)已經(jīng)存在的和隨時(shí)可能出現(xiàn)的安全問題,對(duì)突發(fā)的安全事件不能作出積極、有序和有效的反應(yīng)。

三 網(wǎng)絡(luò)安全的解決辦法

實(shí)現(xiàn)網(wǎng)絡(luò)安全的過程是復(fù)雜的。這個(gè)復(fù)雜的過程需要嚴(yán)格有效的管理才能保證整個(gè)過程的有效性,才能保證安全控制措施有效地發(fā)揮其效能,從而確保實(shí)現(xiàn)預(yù)期的安全目標(biāo)。因此,建立組織的安全管理體系是網(wǎng)絡(luò)安全的核心。我們要從系統(tǒng)工程的角度構(gòu)建網(wǎng)絡(luò)的安全體系結(jié)構(gòu),把組織和部門的所有安全措施和過程通過管理的手段融合為一個(gè)有機(jī)的整體。安全體系結(jié)構(gòu)由許多靜態(tài)的安全控制措施和動(dòng)態(tài)的安全分析過程組成。

1. 安全需求分析 "知已知彼,百戰(zhàn)不殆"。只有明了自己的安全需求才能有針對(duì)性地構(gòu)建適合于自己的安全體系結(jié)構(gòu),從而有效地保證網(wǎng)絡(luò)系統(tǒng)的安全。

2. 安全風(fēng)險(xiǎn)管理 安全風(fēng)險(xiǎn)管理是對(duì)安全需求分析結(jié)果中存在的安全威脅和業(yè)務(wù)安全需求進(jìn)行風(fēng)險(xiǎn)評(píng)估,以組織和部門可以接受的投資,實(shí)現(xiàn)最大限度的安全。風(fēng)險(xiǎn)評(píng)估為制定組織和部門的安全策略和構(gòu)架安全體系結(jié)構(gòu)提供直接的依據(jù)。

3. 制定安全策略 根據(jù)組織和部門的安全需求和風(fēng)險(xiǎn)評(píng)估的結(jié)論,制定組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全策略。

4. 定期安全審核 安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行。其次,由于網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過程,組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)的配置可能經(jīng)常變化,因此組織和部門對(duì)安全的需求也會(huì)發(fā)生變化,組織的安全策略需要進(jìn)行相應(yīng)地調(diào)整。為了在發(fā)生變化時(shí),安全策略和控制措施能夠及時(shí)反映這種變化,必須進(jìn)行定期安全審核。

5. 外部支持 計(jì)算機(jī)網(wǎng)絡(luò)安全同必要的外部支持是分不開的。通過專業(yè)的安全服務(wù)機(jī)構(gòu)的支持,將使網(wǎng)絡(luò)安全體系更加完善,并可以得到更新的安全資訊,為計(jì)算機(jī)網(wǎng)絡(luò)安全提供安全預(yù)警。

6. 計(jì)算機(jī)網(wǎng)絡(luò)安全管理 安全管理是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要環(huán)節(jié),也是計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)性組成部分。通過恰當(dāng)?shù)墓芾砘顒?dòng),規(guī)范組織的各項(xiàng)業(yè)務(wù)活動(dòng),使網(wǎng)絡(luò)有序地進(jìn)行,是獲取安全的重要條件。

第8篇:網(wǎng)絡(luò)安全防范論文范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;安全技術(shù);病毒;方法

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2011)17-4028-02

Analyze Calculator Network Security Flaws and Prevention

LI Tian-xiang, LI Xuan-ming

(University for Science & Technology Sichuan, Chengdu 611745, China)

Abstract:Internet bring convenience to the life of people at the same time, the problem of network security has become more and more serious. The current threat to many factors of network security, outlaws use of computer network vulnerability of network security problems existing in the computer network crime, serious harm the state and society. Thus, the computer network security technology should have realistic meanings.

Key words: network security; safety technology; virus; methods

隨著計(jì)算機(jī)網(wǎng)絡(luò)訊速發(fā)展,信息傳遞方式的改變,促使社會(huì)溝通聯(lián)系更加密切。隨著互聯(lián)網(wǎng)規(guī)模進(jìn)一步擴(kuò)大,網(wǎng)絡(luò)給網(wǎng)民帶來豐富的信息資源的同時(shí),也存在安全隱患,計(jì)算機(jī)網(wǎng)絡(luò)安全成為亟待解決的問題。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義

計(jì)算機(jī)安全的定義是數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。由此而衍生出計(jì)算機(jī)網(wǎng)絡(luò)安全的含義,即:計(jì)算機(jī)網(wǎng)絡(luò)的硬件、軟件、數(shù)據(jù)的保密性、完整性、可用性得到保護(hù),使之不受到偶然或惡意的破壞。具體含義隨著使用者的立場(chǎng)不同而改變。

1.2 計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的特點(diǎn)

1) 破壞性和危害性。網(wǎng)絡(luò)攻擊往往會(huì)對(duì)計(jì)算機(jī)系統(tǒng)造成嚴(yán)重的破壞,使計(jì)算機(jī)處于癱瘓狀態(tài)。一旦攻擊成功,會(huì)給計(jì)算機(jī)用戶帶來慘重的經(jīng)濟(jì)損失,甚者將威脅社會(huì)和國家安全。

2) 隱蔽性和潛伏性。計(jì)算機(jī)網(wǎng)絡(luò)攻擊正是由于其隱蔽性,且其過程所需的時(shí)間很短,讓使用者疏于防范、防不勝防。計(jì)算機(jī)攻擊產(chǎn)生效果需要一定的時(shí)間,攻擊一般潛伏在程序中,直到程序滿足攻擊效果產(chǎn)生的條件,被攻擊對(duì)象才會(huì)發(fā)現(xiàn)問題。

3) 突發(fā)性和擴(kuò)散性。計(jì)算機(jī)網(wǎng)絡(luò)破壞通常是毫無征兆的,而且其影響會(huì)迅速擴(kuò)散。無論計(jì)算機(jī)網(wǎng)絡(luò)攻擊的對(duì)象是個(gè)體還是群體,都會(huì)因?yàn)榫W(wǎng)絡(luò)的互聯(lián)性形成擴(kuò)散的連環(huán)破壞,其影響規(guī)模若不受干擾將會(huì)是無限的。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全的缺陷分析

2.1 網(wǎng)絡(luò)系統(tǒng)自身的問題

首先,互聯(lián)網(wǎng)處于一個(gè)無組織狀態(tài),自然無安全可言,任一用戶可以通過上網(wǎng)瀏覽,方便的可訪問性使單位及個(gè)人的敏感性信息極易受到侵入。其次,目前較為流行的操作系統(tǒng)均存在漏洞。漏洞是可以在攻擊過程中利用的弱點(diǎn),它可以是硬件、軟件、功能設(shè)計(jì)等造成的。入侵者往往會(huì)研究分析這些漏洞,加以利用而獲得侵入和破壞的機(jī)會(huì)。最后,TCP/IP協(xié)議存在安全隱患。一方面,該協(xié)議數(shù)據(jù)流采用明碼傳輸,且傳輸過程無法控制,這就為他人截取、竊聽信息提供了機(jī)會(huì);另一方面,該協(xié)議在設(shè)計(jì)時(shí)采用簇的基本體系結(jié)構(gòu),IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí),不是固定的且不需要身份認(rèn)證,因此攻擊者就有了可乘之機(jī),他們可以通過修改或冒充他人的IP地址進(jìn)行信息的攔截、竊取和篡改。

2.2 來自外界的威脅

1) 黑客攻擊。計(jì)算機(jī)技術(shù)發(fā)展速度快于計(jì)算機(jī)安全技術(shù)的發(fā)展速度,黑客利用兩者之間的空白期,研究發(fā)現(xiàn)系統(tǒng)的漏洞,進(jìn)行突擊網(wǎng)絡(luò)系統(tǒng)安全的提前預(yù)謀。這種人為的惡意攻擊是計(jì)算機(jī)網(wǎng)絡(luò)安全最大的威脅。

2) 病毒入侵。計(jì)算機(jī)病毒因?yàn)槠潆[蔽性、潛伏性、傳染性和破壞性的特點(diǎn),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全造成巨大的破壞。未來計(jì)算機(jī)病毒的摧毀力度將越來越強(qiáng),隱蔽性和抗壓性也日益增強(qiáng),這些病毒的存在對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全而言無疑是定時(shí)炸彈。

3) 非法訪問。非法訪問指的是未經(jīng)同意就越過權(quán)限,利用工具或通過編寫計(jì)算機(jī)程序突破計(jì)算機(jī)網(wǎng)絡(luò)的訪問權(quán)限,侵入他人電腦進(jìn)行操作。

2.3 計(jì)算機(jī)用戶帶來的威脅因素

在計(jì)算機(jī)使用過程中,使用者安全意識(shí)的缺乏通常是網(wǎng)絡(luò)安全的一個(gè)重大隱患。隱秘性文件未設(shè)密,操作口令的泄露,重要文件的丟失等都會(huì)給黑客提供攻擊的機(jī)會(huì)。對(duì)于系統(tǒng)漏洞的不及時(shí)修補(bǔ)以及不及時(shí)防病毒都可能會(huì)給網(wǎng)絡(luò)安全帶來破壞。

2.4 有效監(jiān)控手段的缺乏

在現(xiàn)實(shí)中,計(jì)算機(jī)網(wǎng)絡(luò)安全的維護(hù)更多注重的是事前預(yù)防與事后彌補(bǔ),在事中監(jiān)控方面有所欠缺,這直接造成網(wǎng)絡(luò)安全的不穩(wěn)定。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全防范

3.1 深入研析系統(tǒng)缺陷,不斷完善網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)

全面分析網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)是建立安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)工程的首要任務(wù)。應(yīng)針對(duì)現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存在的弱點(diǎn)進(jìn)行認(rèn)真研究,完善網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)。主要建立入網(wǎng)訪問控制功能模塊。入網(wǎng)訪問控制為網(wǎng)絡(luò)提供了第一層保護(hù)。用戶入網(wǎng)訪問控制可分為三步驟:用戶名的識(shí)別與驗(yàn)證;用戶口令的識(shí)別與驗(yàn)證;用戶賬號(hào)的檢查。三步驟中任意一個(gè)不能通過,系統(tǒng)應(yīng)將其視為非法用戶,不能訪問該網(wǎng)絡(luò)。

網(wǎng)絡(luò)操作系統(tǒng)要經(jīng)過及時(shí)更新,保證其完整性和安全性。系統(tǒng)軟件應(yīng)具備以下安全措施:網(wǎng)絡(luò)操作系統(tǒng)應(yīng)具備完善的存取控制功能,防止用戶越權(quán)存取信息;操作系統(tǒng)應(yīng)具備良好的存儲(chǔ)保護(hù)功能,防止用戶作業(yè)在指定范圍以外的存儲(chǔ)區(qū)域進(jìn)行操作;還應(yīng)具備較完善的管理能力,以記錄系統(tǒng)的運(yùn)行情況,監(jiān)測(cè)對(duì)數(shù)據(jù)文件的存取。

3.2 加強(qiáng)網(wǎng)絡(luò)安全保護(hù),抵制外來威脅

3.2.1 確保計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的優(yōu)良環(huán)境

硬件運(yùn)行環(huán)境的改善。服務(wù)器機(jī)房建設(shè)要按照國家統(tǒng)一頒布的標(biāo)準(zhǔn)進(jìn)行建設(shè)、施工,經(jīng)公安、消防等部門檢查驗(yàn)收合格后投入使用。

做好維護(hù)設(shè)備的工作。建立對(duì)各種計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備定期檢修、維護(hù)制度,并作好檢修、維護(hù)記錄。對(duì)突發(fā)性安全事故處理要制定應(yīng)急預(yù)案,對(duì)主要服務(wù)器和網(wǎng)絡(luò)設(shè)備,要指定專人負(fù)責(zé);發(fā)生故障確保及時(shí)修復(fù),從而保證設(shè)備處于最佳運(yùn)行狀態(tài)。

3.2.2 建立完整可靠的安全防線

1) 防火墻控制。防火墻技術(shù)是一種網(wǎng)絡(luò)之間的互聯(lián)設(shè)備,主要防范外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)訪問,即過濾危險(xiǎn)因素的網(wǎng)絡(luò)屏障。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全性,它對(duì)網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略實(shí)施檢查,決定傳輸是否被允許,這樣就減小了非法傳輸?shù)目赡苄浴M瑫r(shí),防火墻可以對(duì)網(wǎng)絡(luò)中的實(shí)際操作進(jìn)行監(jiān)控和記錄。

2) 病毒防殺技術(shù)。病毒對(duì)于整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的破壞作用是巨大的,因此病毒防殺是網(wǎng)絡(luò)完全技術(shù)中的重要環(huán)節(jié)。在生活中,人們存在一個(gè)認(rèn)識(shí)的誤區(qū),即對(duì)待病毒關(guān)鍵是“殺”。其實(shí)病毒應(yīng)當(dāng)以“防”為主。計(jì)算機(jī)被病毒感染后再進(jìn)行分析、殺毒,這無異于“飯后買單”,事后的彌補(bǔ)性措施是不可能徹底計(jì)算機(jī)安全問題的。因此我們應(yīng)當(dāng)采取主動(dòng)防御,計(jì)算機(jī)一定要安裝正版的殺毒軟件,同時(shí)殺毒軟件實(shí)時(shí)監(jiān)控,定時(shí)升級(jí),定期對(duì)電腦進(jìn)行掃描,以便發(fā)現(xiàn)并清除隱藏的病毒。應(yīng)當(dāng)盡可能采用行之有效的新方法,建立“防殺結(jié)合,以防為主,以殺為輔,軟硬互補(bǔ),標(biāo)本兼治”的網(wǎng)絡(luò)病毒安全模式。

3) 訪問權(quán)限設(shè)置。訪問權(quán)限設(shè)置是盡量將非法訪問排除在網(wǎng)絡(luò)之外,權(quán)限設(shè)置是網(wǎng)絡(luò)安全防范系統(tǒng)中的重要環(huán)節(jié)。系統(tǒng)通過設(shè)定權(quán)限條件,賦予用戶一定的訪問的權(quán)利與限制,用戶在權(quán)限范圍內(nèi)訪問可訪問相關(guān)資源;指定用戶能夠進(jìn)行的具體操作。

4) 文件加密技術(shù)。加密是把明文變成密文,使未被授權(quán)的人看不懂它,從而保護(hù)網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩?。常用的網(wǎng)絡(luò)加密方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密等。

3.2.3 增強(qiáng)計(jì)算機(jī)用戶、管理人員的安全意識(shí)

計(jì)算機(jī)個(gè)人用戶要加強(qiáng)網(wǎng)絡(luò)安全意識(shí)的培養(yǎng),根據(jù)自己的職責(zé)權(quán)限,選擇不同的口令,對(duì)應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作,防止其他用戶越權(quán)訪問網(wǎng)絡(luò)資源。同時(shí),在使用時(shí)要注意對(duì)病毒的防范,重視殺毒軟件的更新,在網(wǎng)絡(luò)前端進(jìn)行殺毒。加強(qiáng)網(wǎng)絡(luò)管理人員安全意識(shí)、職業(yè)道德、責(zé)任心的培養(yǎng),建立、健全安全管理體制,不斷完善信息網(wǎng)絡(luò)的安全規(guī)范化管理制度,大力加強(qiáng)安全建設(shè),給計(jì)算機(jī)網(wǎng)絡(luò)安全提供有力保證。

3.2.4 打造專業(yè)管理團(tuán)隊(duì),加強(qiáng)網(wǎng)絡(luò)評(píng)估和監(jiān)控

網(wǎng)絡(luò)安全的維護(hù)一方面要依靠先進(jìn)的軟件防御,另一方面要依靠專業(yè)的網(wǎng)絡(luò)評(píng)估和監(jiān)控人員。這類管理團(tuán)隊(duì)存在于黑客的對(duì)立面,主要對(duì)網(wǎng)絡(luò)運(yùn)行的過程進(jìn)行監(jiān)控,研究分析是否有不法攻擊的存在,并提出改善意見,不斷完善網(wǎng)絡(luò)運(yùn)行管理機(jī)制。

4 結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)安全涉及方方面面,是一個(gè)較為復(fù)雜的系統(tǒng)。

我們必須綜合考慮安全因素,制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。網(wǎng)絡(luò)安全是一個(gè)相對(duì)的安全,并沒有絕對(duì)安全的網(wǎng)絡(luò)。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展,網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

參考文獻(xiàn):

[1] 齊英蘭.計(jì)算機(jī)網(wǎng)絡(luò)安全問題初探[J].河南財(cái)政稅務(wù)高等??茖W(xué)校學(xué)報(bào),2003.

[2] 白兆輝.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全防范的幾種關(guān)鍵技術(shù)[J].科技信息,2009.

[3] 徐超漢.計(jì)算機(jī)網(wǎng)絡(luò)安全與數(shù)據(jù)完整性技術(shù)[M].北京:電子工業(yè)出版社,2005.

[4] 皮興進(jìn).計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全威脅及其防護(hù)策略的研究[J].才智,2009.

第9篇:網(wǎng)絡(luò)安全防范論文范文

論文摘要:電子商務(wù)的安全防范方面,已經(jīng)出現(xiàn)了許多新技術(shù)新方法,但網(wǎng)絡(luò)安全問題仍然讓人擔(dān)憂。引入安全策略的維度思想,對(duì)各種安全技術(shù)進(jìn)行整合,使各種安全技術(shù)在搭配組合上更科學(xué)合理,發(fā)揮最大的安全效能。

論文關(guān)鍵詞:網(wǎng)絡(luò)安全;安全策略;雛度思想

1概述

計(jì)算機(jī)信息安全策略維度思想是將計(jì)算機(jī)信息安全首先從不同的角度(維度)進(jìn)行拆分,然后對(duì)某一些角度(維度)的信息加以限制(如進(jìn)行加密),當(dāng)這一維度被抽出后,其它的信息即便被人得到,只要該被限制的維度不能被獲得,則其他人無法得到真實(shí)完整的信息,或者說是得到無用的信息。這種體系發(fā)生作用的原因就是前面提過的,為當(dāng)某一維度被限制后,它的上一層維度將會(huì)被限制,這樣向上的一層層維度都將被限制直到最頂層。在計(jì)算機(jī)領(lǐng)域里,我們知道計(jì)算機(jī)信息需要傳輸,而傳輸過程中將涉及到傳輸?shù)膬?nèi)容(加密內(nèi)容、非加密內(nèi)容)、傳輸使用的方式(電話、網(wǎng)絡(luò)、衛(wèi)星信號(hào))、傳輸?shù)臅r(shí)間等諸多維度。在這些維度中如果我們能將任何—個(gè)維度加以限制,就能保證這次傳輸?shù)男畔踩煽俊?/p>

2安全策略維度的關(guān)聯(lián)分析

為了加強(qiáng)計(jì)算機(jī)信息安全,我們往往同時(shí)采用多種安全技術(shù),如加密、安全認(rèn)證、訪問控制、安全通道等。這樣高強(qiáng)度的安全措施為什么還會(huì)出現(xiàn)那么多的安全漏洞,以致于大家普遍認(rèn)為“網(wǎng)絡(luò)無安全“呢?經(jīng)過思考,我們認(rèn)為計(jì)算機(jī)信息安全策略存在的缺陷,是造成這一現(xiàn)象的重要原因。主要問題出在幾個(gè)安全維度之間出現(xiàn)了強(qiáng)關(guān)聯(lián),使原本三維、四維的安全措施降低了維數(shù),甚至只有一維。這樣一來,就使得安全防范技術(shù)的效力大打折扣。舉例來講,如果我們采取了加密、安全通道這兩種技術(shù)措施,則我們可以認(rèn)為這是—個(gè)二維安全策略,但是由于它們都是在WINDOWS操作系統(tǒng)上運(yùn)行,于是這兩種本不相關(guān)聯(lián)的安全技術(shù),通過同一操作系統(tǒng)出現(xiàn)了強(qiáng)關(guān)聯(lián),使其安全策略維度降至一維甚至更低。因?yàn)橐坏┯腥嗽诋?dāng)事人完全不知道的情況下,通過木馬或其他手段操控了WINDOWS操作系統(tǒng),那么無論是加密還是安全通道都變得毫無意義。因?yàn)檫@時(shí)入侵者已經(jīng)被認(rèn)為是—個(gè)合法的操作者,他可以以原主人的身分自行完成諸如加密、安全通道通信的操作,從而進(jìn)行破壞。究其原因是加密、安全通道技術(shù)都分別與操作系統(tǒng)發(fā)生了強(qiáng)關(guān)聯(lián),而加密與安全通道技術(shù)通過操作系統(tǒng),它們倆之問也發(fā)生了強(qiáng)關(guān)聯(lián),這就使安全強(qiáng)度大打折扣。為了減少各維度間的關(guān)聯(lián)盡量實(shí)現(xiàn)各維度的正交,我們必須盡量做到各維度之間相互隔離減少軟、硬件的復(fù)用、共用。共用硬件往往隨之而來的就是軟件的共用(通用),因此實(shí)現(xiàn)硬件的獨(dú)立使用是關(guān)鍵。舉例來說,要是我們能把操作系統(tǒng)與加密、安全通道實(shí)現(xiàn)隔離,則我們就可以得到真正的二維安全策略。為了實(shí)現(xiàn)這種隔離,我們可以作這樣的設(shè)計(jì):我們?cè)O(shè)計(jì)出用各自分離的加密、通訊硬件設(shè)備及軟件操作系統(tǒng)這些設(shè)施能獨(dú)立的(且功能單一的)完成加密、通訊任務(wù),這樣操作系統(tǒng)、加密、安全通道三者互不依賴,它們之間只通過一個(gè)預(yù)先設(shè)計(jì)好的接口傳輸數(shù)據(jù)(如:Rs232接口和PKCS#11加密設(shè)備接口標(biāo)準(zhǔn))。這樣一來,對(duì)于我們所需要保護(hù)的信息就有了一個(gè)完全意義上的二維安全策略。在電子交易的過程中,即便在操作系統(tǒng)被人完全操控的情況下,攻擊者也只能得到—個(gè)經(jīng)過加密的文件無法將其打開。即便攻擊者用巨型計(jì)算機(jī)破解了加密文件,但由于安全通道的獨(dú)立存在,它仍能發(fā)揮其安全保障作用,使攻擊者無法與管理電子交易的服務(wù)器正常進(jìn)行網(wǎng)絡(luò)聯(lián)接,不能完成不法交易。綜上所述,我們?cè)谥贫ò踩呗詴r(shí),要盡量實(shí)現(xiàn)各個(gè)維度安全技術(shù)的正交,從硬件、軟件的使用上盡量使各個(gè)安全技術(shù)不復(fù)用操作系統(tǒng)不復(fù)用硬件設(shè)施,從而減少不同維度安全技術(shù)的關(guān)聯(lián)程度。

3安全策略維度的節(jié)點(diǎn)安全問題

為了保護(hù)節(jié)安全,我們可以采取的方法一般有兩種:加強(qiáng)對(duì)節(jié)點(diǎn)的技術(shù)保護(hù)或是將節(jié)點(diǎn)后移。為了加強(qiáng)對(duì)節(jié)點(diǎn)的技術(shù)保護(hù),我們采取的方法很多,如加設(shè)防火墻,安裝防病毒、防木馬軟件,以及應(yīng)用層次防御和主動(dòng)防御技術(shù)等等,這方面已經(jīng)有很多成熟的技術(shù)。這種方法強(qiáng)調(diào)的是使用技術(shù)手段來防御,但也有其缺點(diǎn),就是防御手段往往落后于攻擊手段,等發(fā)現(xiàn)技術(shù)問題再填補(bǔ)漏洞時(shí)很可能已經(jīng)造成很大的損失。節(jié)點(diǎn)后移則更多是強(qiáng)調(diào)一種策略而不強(qiáng)調(diào)先進(jìn)的技術(shù),它不強(qiáng)調(diào)用最新的病毒庫、最新解碼技術(shù)來進(jìn)行節(jié)點(diǎn)保護(hù),而是通過現(xiàn)有的成熟技術(shù)手段盡可能延長(zhǎng)節(jié)點(diǎn)并將節(jié)點(diǎn)后移,從而實(shí)現(xiàn)對(duì)節(jié)點(diǎn)的保護(hù)。

為了理清這倆個(gè)方法的區(qū)別,可以將保護(hù)分成系統(tǒng)自身的保護(hù)性構(gòu)造與外部對(duì)系統(tǒng)的保護(hù)。

系統(tǒng)自身的保護(hù)構(gòu)造依靠的是節(jié)點(diǎn)后移,它講的是系統(tǒng)自身如何通過沒汁的合理來保證系統(tǒng)內(nèi)操作的安全性。但是如果僅靠系統(tǒng)自身的構(gòu)造是不足以保證系統(tǒng)安全的,因?yàn)槿绻到y(tǒng)的源代碼被攻擊者購得,又或者高級(jí)節(jié)點(diǎn)的維護(hù)人員惡意修改系統(tǒng)內(nèi)容等等安全系統(tǒng)外情況的出現(xiàn),再完美的系統(tǒng)也會(huì)無效。這就如同金庫的門再厚,管鑰匙的人出了問題金庫自身是無能為力的。計(jì)算機(jī)安全能做的事就如同建—個(gè)結(jié)實(shí)的金庫,而如何加強(qiáng)對(duì)金庫的管理、維護(hù)(或者說保護(hù))則是另外一件事。事實(shí)上金庫本身也需要維護(hù)與保護(hù),所以我們按照維度思維構(gòu)建了計(jì)算機(jī)信息安全體系本身的同時(shí)也需要按維度思維對(duì)安全體系自身進(jìn)行保護(hù)。具體來講比如,越是重要的數(shù)據(jù)服務(wù)器越要加強(qiáng)管理,對(duì)重要數(shù)據(jù)服務(wù)器的管理人員審查越要嚴(yán)格,工資待遇相對(duì)要高,越重要的工作場(chǎng)所越要加強(qiáng)值班、監(jiān)控等等。

4安全策略維度的安全技術(shù)分布

在所沒汁安全策略采用了加密、密碼認(rèn)證、安全通道三種技術(shù),則認(rèn)為是采用了三維的安全防范策略。有以下技術(shù)分布方法。方法1中三個(gè)安全技術(shù)維度直接與頂點(diǎn)相接,只有兩級(jí)層次沒有實(shí)現(xiàn)前文所述的節(jié)點(diǎn)后移無法進(jìn)行層級(jí)管理,也沒有按照二叉樹結(jié)構(gòu)進(jìn)行組織。所以安全性能最差;

方法2中,三個(gè)安全技術(shù)分成了三個(gè)層級(jí),它比方法l要好。但它也有問題它的加密與認(rèn)證關(guān)聯(lián)于同一個(gè)節(jié)點(diǎn),因此如果圖中的“二級(jí)節(jié)點(diǎn)”一旦被攻破則兩種安全技術(shù)被同時(shí)攻破。

方法3中三個(gè)安全技術(shù)分成四個(gè)層級(jí),且加密與認(rèn)證被分布在不同的節(jié)點(diǎn)上,兩個(gè)三級(jí)節(jié)點(diǎn)任意—個(gè)被攻破仍無法攻破二級(jí)節(jié)點(diǎn)。因此方法3的安全性能最高。

因此,在有限的可用安全技術(shù)中,應(yīng)該盡量使用二叉樹結(jié)構(gòu),并將這些安全技術(shù)盡可能地分布在不同的節(jié)點(diǎn)上。