公務員期刊網(wǎng) 論文中心 正文

網(wǎng)絡工程的安全防護技術分析

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡工程的安全防護技術分析范文,希望能給你帶來靈感和參考,敬請閱讀。

網(wǎng)絡工程的安全防護技術分析

摘要:隨著計算機科學技術的蓬勃發(fā)展,毫無疑問它讓我們的生活發(fā)生了巨大的變化,在我們享受著科技帶給我們便利的時候,同樣也要面臨一系列問題----網(wǎng)絡安全,網(wǎng)絡數(shù)據(jù)不斷地被竊取,無關的垃圾信息泛濫在我們的系統(tǒng)之中,病毒的肆意侵入,威脅著網(wǎng)絡環(huán)境,損害他人的利益,甚至可以威脅到國家安全,所以,如今安全問題已經(jīng)備受關注。安全防護技術的發(fā)展程度影響著國家的互聯(lián)網(wǎng)相關行業(yè)是否可以穩(wěn)定正常地持續(xù)發(fā)展.

關鍵詞:計算機;網(wǎng)絡;安全網(wǎng)絡安全

整個網(wǎng)絡系統(tǒng)的軟硬件和其中的數(shù)據(jù)受到保護,不會遭到破壞,泄露,更改,整個系統(tǒng)可以正常穩(wěn)定地運行。我們所知道的網(wǎng)絡安全防護技術包含密碼技術、入侵檢測技術以及防火墻等,成熟而有效的安全防護技術毫無疑問可以大大提高網(wǎng)絡安全,因此,網(wǎng)絡安全有很強的現(xiàn)實意義。

1當前形勢下我們熟知的互聯(lián)網(wǎng)所面臨的問題

1.1安全管理上的態(tài)度

每一個網(wǎng)絡系統(tǒng)的安全,都需要企業(yè)、部門、用戶的共同努力,制定有效的管理策略,需要多加強三者之間的溝通。然而如今,很多企業(yè)和個人目前對網(wǎng)絡安全是不夠重視的,經(jīng)常會疏于對網(wǎng)絡的安全管理,從而導致嚴重的后果,大部分企業(yè)對黑客的入侵沒有采取有效合理的防護措施,并且大部分網(wǎng)站也都存在著網(wǎng)上信息失竊的問題,由此反映了我們在網(wǎng)絡安全管理上的缺失,甚至有的企業(yè)單位及個人,對計算機設備的諸如防塵、防潮、設備的規(guī)范放置等工作并沒有足夠的重視,這也對網(wǎng)絡安全構成了潛在威脅。

1.2駭客的非法攻擊

如今黑客的攻擊已經(jīng)是威脅計算機網(wǎng)絡安全的最主要因素之一,隨著網(wǎng)絡安全的防護技術不斷地提高,黑客的入侵手段也越來越復雜多變,疏于管理的企業(yè)單位如果被黑客入侵,是毫無抵抗能力的。他們對網(wǎng)絡環(huán)境的破壞行為只會更多而不會停止。黑客時常會使用已經(jīng)現(xiàn)成的工具或者自己編寫的工具針對網(wǎng)絡環(huán)境中他們所得到的漏洞信息進行非法訪問和獲取信息,這會對計算機網(wǎng)絡的正常使用造成非常大的困擾。在網(wǎng)絡工程安全中,IP地址被非法獲取也是常事,一旦用戶的IP地址被他人獲取,就不能正常訪問網(wǎng)絡,也沒有辦法進行正常的網(wǎng)絡連接。IP地址的盜用通常發(fā)生在局域網(wǎng)之中,用戶的IP地址通常被本地高權限的其他用戶竊取,導致IP地址被盜用后,用戶終端會顯示IP地址已被占用。除此之外,還有很多擾亂他人正常上網(wǎng)活動的行為,侵犯了用戶的自身權益。數(shù)據(jù)顯示,僅公安部一年所查獲的盜取各類公民信息有將近50億條,可見黑客的入侵問題需要被重視,由于黑客入侵的目的性很強,如果成功竊取機密文件,會造成重大損失,是對網(wǎng)絡安全技術的重大挑戰(zhàn),所以應該有更加嚴密的防護措施。

1.3無用信息的傳播

網(wǎng)絡毫無疑問是一個巨大的資源庫,其中存在著豐富的網(wǎng)絡資源,為我們方便存取數(shù)據(jù)的同時,也不可避免地產(chǎn)生了大量無用的,不良的信息和垃圾郵件,使網(wǎng)絡安全受到威脅的一個重要原因就是人們收到了太多的垃圾郵件,無論是否自愿,都無法阻止垃圾郵件的被發(fā)送行為,垃圾郵件對郵件用戶的合法權益造成了一定的損害,因為占用并浪費了大量的資源,所以很明顯也加大了網(wǎng)絡的負荷,很大程度上影響了網(wǎng)絡環(huán)境的安全性和效率;不良信息潛移默化地對我們的心理和思想產(chǎn)生著負面的影響,可以說,網(wǎng)絡中的垃圾信息和數(shù)據(jù),的確對網(wǎng)絡環(huán)境造成了非常嚴重的污染,甚至會對社會造成惡劣的影響,青少年也正在深受此害,停止無用信息的傳播對網(wǎng)絡環(huán)境,青少年的健康,社會的穩(wěn)定都有著積極的作用。

1.4計算機病毒與漏洞

計算機病毒是在計算機程序中插入的用于破壞計算機系統(tǒng)功能或者數(shù)據(jù)的代碼,它會自我復制并影響計算機的使用,自產(chǎn)生以來便成為了影響計算機安全的隱患,隨著網(wǎng)絡資源的傳播速度越來越快,計算機病毒產(chǎn)生的不良影響也會越來越嚴重,世界上已存在上萬種計算機病毒,其中主要有蠕蟲、強制中斷病毒、潛伏病毒以及木馬病毒等,經(jīng)常對計算機的內(nèi)存、系統(tǒng)、文件、數(shù)據(jù)等造成破壞,危害他人利益。漏洞產(chǎn)生于軟件或者操作系統(tǒng)的設計中,由于很難找到十全十美的設計方案,也沒有絕對安全的系統(tǒng),所以漏洞幾乎不可避免,這些管理員和設計者會察覺的或者已察覺而疏忽的漏洞為黑客的侵入提供了機會,很多著名的軟件公司每年都會花費大量人力物力在修補漏洞的工作上,可見補救漏洞帶來的損失是極其重要的,它保證了用戶的信息安全,也對用戶的體驗有積極影響。

1.5網(wǎng)絡設備和結構的風險

現(xiàn)實中的網(wǎng)絡拓撲結構是混合型的,其中包含多個節(jié)點,每個節(jié)點有一些網(wǎng)絡設備,其中包含交換機、路由器和集線器,每一種拓撲結構都會有一些安全隱患,由于技術原因,網(wǎng)絡設備通常會有安全問題,這會給計算機網(wǎng)絡帶來不同程度的安全問題。

2網(wǎng)絡工程的安全防護相關策略

2.1物理安全

物理安全是最安全的防護技術,關鍵的資料與互聯(lián)網(wǎng)完全隔離,也就是說在物理層面上不連接網(wǎng)線,去除連接在電腦上的網(wǎng)線,這樣就可以做到物理安全了,只要做到這一點,病毒是無可奈何的。當然,有些情況下也會發(fā)生意外事故,比如自然災害、硬件故障等,也可能存在一些別有用心的人有目的地將重要信息泄露到外部網(wǎng)絡中去,在防護技術中,常常被忽視的物理安全防護其實對網(wǎng)絡安全是有巨大作用的。

2.2配置防火墻的過濾

想要做好安全防護,配置防火墻是一個重要的手段,對防火墻過濾信息進行相應的的設置就可以對網(wǎng)絡安全防護進行加強。已知幾種比較典型的防火墻類型,包括靜態(tài)/動態(tài)包過濾防火墻、有狀態(tài)包過濾防火墻、基于應用監(jiān)控與控制的有狀態(tài)包過濾、網(wǎng)絡入侵防御系統(tǒng)、網(wǎng)絡行為分析系統(tǒng)、應用層網(wǎng)關。以下進行一些簡單討論:(1)包過濾防火墻,會檢查每一個通過的包,可以丟棄或者放行,這取決于防火墻建立的規(guī)則,包過濾防火墻擁有多個網(wǎng)絡適配器或者接口,一個作為防火墻的設備可以有兩塊顯卡,其中的一塊連接到內(nèi)部網(wǎng)絡,另一塊網(wǎng)卡則會連接到公共網(wǎng)絡,當防火墻設備開始工作時,引導包的走向并攔截有危害的包。當包過濾防火墻檢查每一個從外部網(wǎng)絡到內(nèi)部網(wǎng)絡的包時,則檢查這個包的基本信息,這個基本信息包括源地址、目的地址、端口號、協(xié)議等,如果這些基本信息和所設定的規(guī)則匹配,就可以放行這個包進入內(nèi)部網(wǎng)絡。舉個簡單的例子,如果某防火墻啟用了阻斷TELNET的連接,當檢查傳入包發(fā)現(xiàn)端口號為23時,這個包就會被丟棄。對于專用網(wǎng)絡的包,可以只允許內(nèi)部網(wǎng)絡的數(shù)據(jù)包通過此防火墻,其作用很明顯,可以用于防止任何內(nèi)部人員用錯誤的源地址欺騙防火墻并發(fā)起攻擊。而在公共網(wǎng)絡,可以只允許目的地址為80端口的數(shù)據(jù)包通過。最好丟棄外部網(wǎng)絡傳入的包,這些包里顯然都會有內(nèi)部網(wǎng)絡的源地址,減少IP欺騙,丟棄具有源路由信息的包,可以減少源路由攻擊,由于源路由信息會覆蓋網(wǎng)絡的正常路由從而繞過安全過濾,所以防火墻可以通過忽略源路由信息來進行安全防護。(2)狀態(tài)/動態(tài)檢測防火墻。如果一個包是孤立存在的,只含有一些基本信息(源地址、目的地址、端口號)而沒有這個包在整個傳送過程中的位置信息,這個包就是靜態(tài)的,狀態(tài)/動態(tài)檢測防火墻可以通過記錄相關信息來追蹤包的狀態(tài)。例如,如果傳入的包是音頻數(shù)據(jù)包,防火墻可以獲取由某個IP地址的應用向傳入包源地址發(fā)出的語音請求的信息,如果源地址的系統(tǒng)和發(fā)出的請求包中的所請求的系統(tǒng)一致,包就可以通過該防火墻,直到連接中斷。總之,狀態(tài)/動態(tài)檢測防火墻跟蹤內(nèi)部網(wǎng)絡傳出的請求數(shù)據(jù)包,只有被請求的數(shù)據(jù)包可以通過防火墻,而其他所有沒有被請求的傳入請求會被阻止進入內(nèi)部網(wǎng)絡。追蹤連接的方式取決于通過防火墻包的類型,其中TCP包中的連接信息會被防火墻所記錄,并用于核對,以此來確定這個包是否可以被允許通過,UDP包中的信息比較簡單,因為它不包含連接信息,顯然防火墻無法利用連接信息對包的合法性進行判斷,但仍然可以通過跟蹤傳出包的狀態(tài),并用從其獲中取的包中的協(xié)議、地址和傳出請求包中的信息進行比對,如果信息匹配,這個包也可以通過防火墻。(3)應用程序防火墻。這種類型的防火墻是通過和內(nèi)部網(wǎng)絡進行通信連接,接著單獨地和外部網(wǎng)絡進行通信連接。此方式不允許防火墻兩邊的網(wǎng)絡直接互相訪問通信,網(wǎng)絡內(nèi)部的用戶無法和外部網(wǎng)絡的服務器進行通信,所以外部的服務器也不能訪問內(nèi)部網(wǎng)絡。應用程序防火墻可以配置允許接受內(nèi)部網(wǎng)絡和防火墻的任意連接,也可以對用戶的連接請求進行認證,這樣可以保證更多更好的安全性。目前防火墻很難達到一個“既可以使用戶順利地上網(wǎng),也可以保證用戶的網(wǎng)絡安全”的理想狀態(tài),但是我們可以對重要數(shù)據(jù)多加留意,多一份保障就多一份安全,防火墻可以依靠某些特征識別外部網(wǎng)絡到內(nèi)網(wǎng)的數(shù)據(jù)包,并進行分析,如果包對網(wǎng)絡環(huán)境有害,就會對這個包進行記錄并報警,然后丟棄它,又或者可以禁止對本地網(wǎng)絡有害的IP地址、禁止不被使用的端口通信、防止某些特定站點的訪問,總之,以上防火墻的功能基本可以防止外部網(wǎng)絡對本地網(wǎng)絡的攻擊。

2.3針對病毒的防護

針對病毒的防護可以從4個方面進行討論:2.3.1計算機病毒檢測技術幾種典型的方式有:(1)比較法,將被檢測對象的特征和正常的特征進行比較,這種方法比較簡單,方便,但是沒有辦法識別出病毒的種類和方法。(2)病毒校驗和法,計算出正常文件的代碼的校驗和并保存下來,可以用來和被檢測對象進行對比,以此來判斷是否感染了病毒,可以檢測出各種病毒,包括一些未知的病毒,但是誤判率比較高,沒有辦法了解病毒的種類。(3)搜索法,將被檢測對象和已知病毒庫中的計算機病毒體所含特定字符串進行掃描,但并不容易找出合適的特征字符串,且掃描的文件的大小越大,掃描所花的時間也越多。如果病毒庫不更新,未知的病毒就不會被檢測出來。2.3.2計算機病毒的清除可以用專業(yè)的軟件殺毒或者手工進行。2.3.3計算機病毒的免疫究其原理,計算機病毒的免疫是通過病毒簽名來實現(xiàn),有些病毒在感染程序的時候需要先判斷是否已經(jīng)被感染過,也就是查看有沒有自己的病毒簽名,如果有則不進行感染,所以可以利用這個機制來免疫計算機病毒。2.3.4計算機病毒的預防(1)新購買的計算機設備,先用專業(yè)的查毒軟件測試病毒后再使用。(2)我們需要養(yǎng)成良好的備份習慣,經(jīng)常備份一些重要的,已更新的文件。(3)盡量不要在沒有防毒軟件的機器上使用移動硬盤。(4)控制使用計算機系統(tǒng)的權限。(5)盡量采用最好的殺毒軟件。網(wǎng)絡中針對病毒的防護的實現(xiàn)方法包括對網(wǎng)絡環(huán)境中的文件不斷地掃描和監(jiān)測,工作站上采用防病毒芯片并且對網(wǎng)絡上目錄和文件設置訪問權限等。防病毒務必要從網(wǎng)絡整體考慮,從管理人員的角度著手分析,對網(wǎng)絡環(huán)境中的網(wǎng)絡設備進行管理,比如在夜間對整個網(wǎng)絡中的客戶端進行掃描,檢查病毒。還可以利用在線告警,在網(wǎng)絡上每當有一臺機器出現(xiàn)問題,病毒入侵時,管理員都可以及時發(fā)現(xiàn),并作出相應的對策。

2.4嚴格檢測入侵

入侵檢測技術是通過隨時收集并分析網(wǎng)絡或者系統(tǒng)中的相關信息來判斷是否存在異常情況,從而達到檢測入侵的目的和預防攻擊的目的,它是對防火墻技術的補充,并且相對于防火墻來說是一種動態(tài)安全技術,可以提供對外部攻擊、內(nèi)部攻擊和錯誤操作的實時監(jiān)控。入侵檢測由控制臺和探測器兩部分構成,探測器可以連接交換機的端口,對交換機中傳送的數(shù)據(jù)進行分析,只要把探測器部署在適當位置,控制臺就可以接受相關檢測信息,從而對計算機網(wǎng)絡的進行安全管理。檢查并且記錄網(wǎng)絡活動和數(shù)據(jù)、檢測黑客在試圖攻擊前的探測行為并發(fā)出警報、檢測入侵行為和異常行為以及提供給管理員攻擊信息都是入侵檢測系統(tǒng)的基本功能,他們在安全防護技術中具有重要作用。

2.5數(shù)據(jù)加密

密碼技術是網(wǎng)絡安全中最有效的技術之一,一個加密網(wǎng)絡,不僅僅可以防止非法用戶的竊聽和侵入,也可以保護自身數(shù)據(jù)免遭惡意軟件攻擊。對數(shù)據(jù)的加密通常可以劃分為鏈路加密、節(jié)點加密和端到端加密。2.5.1鏈路加密對于兩個網(wǎng)絡節(jié)點之間的通信,鏈路加密保證了網(wǎng)絡中所傳輸數(shù)據(jù)的安全,所有消息在發(fā)送前被加密,在節(jié)點處被接受后再由該節(jié)點上的設備進行解密,接著再使用下一個鏈路的密鑰對消息進行加密,再在鏈路中傳輸消息數(shù)據(jù)。在到達目的地之前,也許會經(jīng)過若干條鏈路。2.5.2節(jié)點加密網(wǎng)絡中傳輸?shù)臄?shù)據(jù)可以因為使用了節(jié)點加密而更加安全,它和鏈路加密的操作方式類似,也是在節(jié)點處消息發(fā)送前加密,在消息被接受后再解密,不同的是,節(jié)點加密中,消息不允許以明文的形式在一個節(jié)點中存在,先把接收到的密文解密,然后再使用另一個密鑰對消息加密,節(jié)點加密還要求報頭和路由信息以明文方式傳送,這使其他節(jié)點可以了解該如何對某消息進行處理,2.5.3端到端加密端到端加密可以讓數(shù)據(jù)在傳輸?shù)倪^程中始終以密文方式存在,直到到達目的地,消息都不會被解密,即使節(jié)點損壞,數(shù)據(jù)也不被泄露。端到端加密的價格也比較便宜,并且相比節(jié)點加密和鏈路加密更加可靠,易于設計和維護。每一個報文都是被獨立加密,所以即使其中的某些報文出錯,也不會影響后續(xù)的報文發(fā)送。這樣的加密方式對于用戶更加直觀,不會影響到其他用戶。

3結束語

從網(wǎng)絡誕生起,安全問題也伴隨至今,隨著網(wǎng)絡應用越來越多,它和人們的財富都有直接、間接的關聯(lián),在某些系統(tǒng)中,一個小小的漏洞如果未被發(fā)現(xiàn),將有可能造成百萬資產(chǎn)的損失,所以網(wǎng)絡安全防護技術的發(fā)展是有重要意義的,希望通過不斷地學習來加深對網(wǎng)絡安全的理解。有需求就有發(fā)展,相信在未來,網(wǎng)絡安全技術會越來越發(fā)達并永遠為人民服務。

參考文獻

[1]李志軍.計算機網(wǎng)絡信息安全及防護策略研究[J].黑龍江科技信息,2013(01).

[2]姬玉.計算機物理安全防護措施[J].黑龍江科技信息,2015(26).

[3]mancannavaro.各類防火墻介紹[EB/OL].

[4]huanghui22.[網(wǎng)絡安全二]病毒防護技術基礎.

[5]Shaoquliu.入侵檢測系統(tǒng)概述.

[6]Tamic.[網(wǎng)絡互聯(lián)技術](一)移動數(shù)據(jù)加密和網(wǎng)絡安全概述.

[7]LuoCliper.網(wǎng)絡數(shù)據(jù)加密理論.

作者:劉育博 單位:金陵科技學院