時間:2023-03-22 17:45:04
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡安全技術論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
1.1計算機病毒
計算機病毒,是指應用制定好的程序輸入計算機中,對計算機的程序進行破壞,從而影響計算機的正常使用。與黑客相比較,計算機病毒的特性,更讓人們煩惱。其本身不但具有破壞性,更具有傳染性,就像普通的生物病毒一樣,計算機病毒一旦被復制或者產生變種,其傳染速度是難以想象的,一旦有一臺計算機感染和其接觸的各種移動設備也都將成為病毒網絡安全威脅若干因素和安全技術研究文/張欣21世紀,是信息化的時代,是計算機網絡應用加速發展的時代,在計算機網絡走進千家萬戶的同時,隨之而來的是網絡安全問題。為了保證廣大的網民可以有個安全良好的網絡環境,專業人士應針對不同網絡的安全問題給出相應的解決方案。使得大家都有安全可靠的網絡環境。摘要的攜帶者,將病毒繼續傳播。除了傳染性之外,計算機病毒的潛伏性也和生物病毒相似,其發作的時間是可以提前預定好的,就像生物病毒的潛伏期一樣,在發病之前是不易被人們察覺的,具有極好的隱蔽性,但一旦病發,就是極其可怕的,將影響網絡的正常應用。
1.2計算機軟件漏洞
在長久的軟件應用過程中,發現了許多漏洞,使得軟件在使用過程中的安全性降低。這些缺陷是在軟件開發編程時經過無數次的修改測試,仍然無法解決的問題。軟件帶著這些無法解決的遺留問題流入市場,被大家廣泛應用,在享受這些軟件帶給大家生活樂趣的同時,有一些黑客會懷著惡意破壞的心里,利用這些漏洞,對網絡進行破壞。有的也可能因為軟件本身的漏洞太大,而直接自身成為計算機的一種安全威脅。
1.3計算機的配置不當
在普遍利用網絡工作和生活的今天,有很多人,因為對于網絡的認識只是表面的皮層認知,致使在使用過程中,給計算機配置不當的網絡安全設置,例如有的防火墻就是不能很好的起到防護的作用是形同虛設的,這樣就會在無意識中加大計算機的危險性,可能會引起不必要的安全性問題。
1.4使用者的安全意識薄弱
網絡安全問題除了上述一些客觀因素和主管專業性不強之外,還有一個很重要的因素是使用者沒有相應的網絡安全意識,不懂得網絡和實際的生活一樣,同樣是需要大家提高警惕,在網絡上與他人分享私人的信息,還有應用軟件時輸入一些信息口令,在大家無意識的做這些事情的同時,可能一些非法人事已經盜取了我們的信息,致使我們不必要的財產損失。
2網絡的安全技術
既然網絡上有諸多的安全問題,相對應的就會有解決的辦法,下面就一一談談上述問題的安全技術解決方案。
2.1入侵技術檢測
入侵檢測是指,通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖。是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。就像一個監控器一樣對不安全因素有實時監控的作用,可以快速及時的預防不安全因素對網絡產生的破壞。
2.2殺毒軟件應用
既然計算機病毒的出現,就有殺毒軟件的應運而生。殺毒軟件在大多數網絡用戶的計算機上都屬于常用軟件,人們使用起來都是比較方便快捷操作簡單的,但正因如此,其殺毒的功能有限,只能針對于一些小型用戶的普通病毒進行查殺,并不能很好的解決網絡安全的問題,尤其是在電子商務飛速發展的今天,殺毒軟件并不能很好的對網絡起到保護性的作用。這就要求軟件開發者不斷的技術革新,研發出更適合現代網絡的殺毒軟件。
2.3防火墻安全技術
防火墻技術,最初是針對網絡不安全因素采取的一種保護措施。顧名思義,防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障,其目的就是防止外部網絡用戶未經授權的訪問。對于個人來說使用軟件防火墻,就可以很有效的解決平時遇到的網絡安全相關問題。防火墻可以對黑客起到很好的防護作用,但也并不是完全的抵御,要想實現真正的良好的環境,還應有其他的防護措施來保護網絡的安全。
2.4數據加密安全技術
數據加密技術是指通過特定的網絡密鑰才能解開計算機,從而獲得計算機的數據。通俗意義上說,就是給我們比較重要的數據加個私人密碼,讓外人在非指定的機器,沒有密碼的前提下無法獲得我們的信息,從而對我們的數據起到一個保護的作用。而高級的密碼也可以抵御黑客和病毒的入侵,使得我們的計算機網絡處于一個相對安全的環境下,保證我們的良好網絡環境。
3總結
系統安全包括主機和服務器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術。
1、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并進行自我復制,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞。
因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
1、訪問控制:在內外網隔離及訪問系統中,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進、出的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全。
另外,防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段,防止一個網段的問題穿過整個網絡傳播。針對某些網絡,在某些情況下,它的一些局域網的某個網段比另一個網段更受信任,或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。
2、網絡安全檢測:保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析,用實踐性的方法掃描分析網絡系統,檢查報告系存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。
以上只是對防范外部入侵,維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施,健康正常的校園網絡需要廣大師生共同來維護。
參考文獻
關鍵詞:網絡安全系統安全網絡運行安全內部網絡安全防火墻
隨著網絡技術的不斷發展和Internet的日益普及,許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到了無法估量的作用。但教師和學生在使用校園網絡的同時卻忽略了網絡安全問題,登陸了一些非法網站和使用了帶病毒的軟件,導致了校園計算機系統的崩潰,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時,教師和學生都應加強對校園網絡的安全重視。正如人們經常所說的:網絡的生命在于其安全性。因此,如何在現有的條件下,如何搞好網絡的安全,就成了校園網絡管理人員的一個重要課題。
作為一位中學電腦教師兼負著校園網絡的維護和管理,我們一起來探討一下校園網絡安全技術。
網絡安全主要是網絡信息系統的安全性,包括系統安全、網絡運行安全和內部網絡安全。
一、系統安全
系統安全包括主機和服務器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術。
1、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并進行自我復制,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞。
因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
1、訪問控制:在內外網隔離及訪問系統中,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進、出的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全。
另外,防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段,防止一個網段的問題穿過整個網絡傳播。針對某些網絡,在某些情況下,它的一些局域網的某個網段比另一個網段更受信任,或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。
2、網絡安全檢測:保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析,用實踐性的方法掃描分析網絡系統,檢查報告系存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。
以上只是對防范外部入侵,維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施,健康正常的校園網絡需要廣大師生共同來維護。
參考文獻
1.局域網組建與維護DIY.人民郵電出版社,2003.05
網絡是進行信息交流的平臺,由于其開放性的存在,進而導致了很多潛在的安全隱患的存在成為可能。因此就要對網絡安全進行重視。這就需要我們從事網絡安全的工作人員,從觀念上對網絡安全進行重視。很多工作人員由于觀念落后,在技術上面不懂得提高,對于網絡的工作原理并不清楚,這樣就給不法分子提供了作案的機會。同時,要意識到安全軟件都是滯后于病毒產生的,所以不要覺得通過殺毒就可以將所有的病毒全部查找出來并且殺掉。
2提高計算機網絡安全的對策
2.1安裝殺毒軟件和防火墻
殺毒軟件是由于網絡安全問題的出現而產生的一款專門針對網絡病毒和非法入侵的軟件,主要對木馬、病毒以及一些入侵行為進行監控和阻止。防火墻技術是加強對網絡防衛進行監管,保證上網環境和瀏覽環境安全的技術,是對網絡中傳輸的數據進行檢查,進而確定數據安全性的網絡安全技術。同時,防火墻還具有對網絡運行進行監控的功能,對外部的入侵行為進行阻止。目前的防火墻技術非常多,通常可分為包過濾型、監測型、地址轉換型等,針對不同類型的網絡安全,防火墻技術也不一樣。這樣通過使用防火墻,就會對網絡的安全進行一定的保障。
2.2采用信息加密手段
網絡信息加密主要有端點加密、節點加密、鏈路加密等,端點加密是保證源端用戶到目的端用戶的信息安全、數據傳輸安全,對數據提供保護;節點加密是通過數據傳輸鏈路的保護,從而保護源節點和目的節點的數據傳輸安全;鏈路加密是節點間鏈路安全的保證。用戶可以根據自己的使用需求不同而對信息加密的方式進行不同的選擇,對所需要保護的信息安全進行保護。用戶的賬戶種類很多,主要包含郵件賬號、網頁賬號以及銀行賬號等,賬號和密碼往往是黑客進行網路攻擊的主要目標,所以對于網絡賬戶和密碼一定要加強保護意識。對于密碼的保護,要做到以下幾點:第一是對密碼的設置進行下劃線、數字以及字母的組合運用,這樣就可以增加解碼器的難度;第二是通過對密碼進行手機綁定和認證,增加更大的安全性能。
2.3及時修復系統漏洞
操作系統存在漏洞是非常普遍的,所以漏洞的存在,對于網絡安全也是一種隱患。漏洞經常出現在程序、應用軟件以及硬件等各個方面。所以,用戶在使用的過程中,一定要有自己的安全意識,及時對漏洞進行檢查和修復,對于不必要的網站和安全軟件顯示為具有威脅的網站盡量不要打開。
2.4加大安全技術管理
首先是轉變認知觀念,要對網絡安全進行深刻認識,了解到自身利益與網絡安全的關系,對于網絡安全存在的問題要提高警惕;其次,在對網絡安全進行管理的過程中,加強網絡安全的立法,以法律為基礎對網絡安全破壞者進行打擊;最后,提高網絡安全保護意識和機能,增加網絡安全技術研發和應用投入。
3結束語
關鍵詞:電子商務信息安全數據加密數字簽名
一、引言
隨著信息技術和計算機網絡的迅猛發展,基于Internet的電子商務也隨之而生,并在近年來獲得了巨大的發展。電子商務作為一種全新的商業應用形式,改變了傳統商務的運作模式,極大地提高了商務效率,降低了交易的成本。然而,由于互聯網開放性的特點,安全問題也自始至終制約著電子商務的發展。因此,建立一個安全可靠的電子商務應用環境,已經成為影響到電子商務發展的關鍵性課題。
二、電子商務面臨的安全問題
1.信息泄漏。在電子商務中主要表現為商業機密的泄露,包括兩個方面:一是交易雙方進行交易的內容被第三方竊取;二是交易一方提供給另一方使用的文件被第三方非法使用。
2.信息被篡改。電子的交易信息在網絡上傳輸的過程中,可能被他人非法修改、刪除或被多次使用,這樣就使信息失去了真實性和完整性。
3.身份識別。身份識別在電子商務中涉及兩個方面的問題:一是如果不進行身份識別,第三方就有可能假冒交易一方的身份,破壞交易、敗壞被假冒一方的信譽或盜取交易成果;二是不可抵賴性,交易雙方對自己的行為應負有一定的責任,信息發送者和接受者都不能對此予以否認。進行身份識別就是防止電子商務活動中的假冒行為和交易被否認的行為。
4.信息破壞。一是網絡傳輸的可靠性,網絡的硬件或軟件可能會出現問題而導致交易信息丟失與謬誤;二是惡意破壞,計算機網絡本身遭到一些惡意程序的破壞,例如病毒破壞、黑客入侵等。
三、電子商務的安全要素
1.有效性。電子商務作為貿易的一種形式,其信息的有效性將直接關系到個人、企業或國家的經濟利益和聲譽。因此,要對一切潛在的威脅加以控制和預防,以保證貿易數據在確定的時刻和地點是有效的。
2.機密性。電子商務是建立在一個較為開放的網絡環境上的,維護商業機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。解決數據機密性的一般方法是采用加密手段。
3.完整性。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方的差異。此外,數據傳輸過程中的丟失、重復或傳送的次序差異也會導致貿易各方的不同。因此,要預防對隨意生成、修改和刪除,同時要防止數據傳送過程中的丟失和重復并保證傳送次序的統一。
4.不可抵賴性。電子商務可能直接關系到貿易雙方的商業交易,如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證電子商務順利進行的關鍵。在交易進行時,交易各方必須附帶含有自身特征、無法由別人復制的信息,以保證交易后發生糾紛時有所對證。
四、電子商務采用的主要安全技術手段
1.防火墻技術。防火墻就是在網絡邊界上建立相應的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬件產品中。所有來自Internet的傳輸信息或發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。實現防火墻技術的主要途徑有:分組過濾和服務。分組過濾:這是一種基于路由器的防火墻。它是在網間的路由器中按網絡安全策略設置一張訪問表或黑名單,即借助數據分組中的IP地址確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過。防火墻的職責就是根據訪問表(或黑名單)對進出路由器的分組進行檢查和過濾。這種防火墻簡單易行,但不能完全有效地防范非法攻擊。目前,80%的防火墻都是采用這種技術。服務:是一種基于服務的防火墻,它的安全性高,增加了身份認證與審計跟蹤功能,但速度較慢。所謂審計跟蹤是對網絡系統資源的使用情況提供一個完備的記錄,以便對網絡進行完全監督和控制。通過不斷收集與積累有關出入網絡的完全事件記錄,并有選擇地對其中的一些進行審計跟蹤,發現可能的非法行為并提供有力的證據,然后以秘密的方式向網上的防火墻發出有關信息如黑名單等。防火墻雖然能對外部網絡的功擊實施有效的防護,但對網絡內部信息傳輸的安全卻無能為力,實現電子商務的安全還需要一些保障動態安全的技術。
2.數據加密技術。在電子商務中,數據加密技術是其他安全技術的基礎,也是最主要的安全措施,貿易方可根據需要在信息交換的階段使用。目前,加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。對稱加密又稱為私鑰加密。發送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。使用對稱加密方法將簡化加密的處理,每個貿易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。比較著名的對稱加密算法是:美國國家標準局提出的DES(DataEncryptionStandard,數據加密標準)。對稱加密方式存在的一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享同一把專用密鑰,貿易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。
(2)非對稱加密。非對稱加密又稱為公鑰加密。公鑰加密法是在對數據加解密時,使用不同的密鑰,通信雙方各具有兩把密鑰,即一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應的私鑰解密。同樣地,用私鑰加密的數據只能用對應的公鑰解密。RSA(即Rivest,ShamirAdleman)算法是非對稱加密領域內最為著名的算法。貿易方利用該方案實現機密信息交換的基本過程是:貿易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿易方公開,得到該公開密鑰的貿易方乙使用該密鑰對機密信息進行加密后再發送給貿易方甲;貿易方甲再用自己保存的另一把私有密鑰對加密后的信息進行解密。貿易方甲只能用其私有密鑰解密由其公開密鑰加密后的任何信息。為了充分發揮對稱和非對稱加密體制各自的優點,在實際應用中通常將這兩種加密體制結合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。
3.數字簽名技術。僅有加密技術還不足以保證商務信息傳遞的安全,在確保信息完整性方面,數字簽名技術占據著不可替代的位置。目前數字簽名的應用主要有數字摘要、數字簽名和數字時間戳技術。
(1)數字摘要。數字摘要是對一條原始信息進行單向哈希(Hash)函數變換運算得到的一個長度一定的摘要信息。該摘要與原始信息一一對應,即不同的原始信息必然得到一個不同的摘要。若信息的完整性遭到破壞,信息就無法通過原始摘要信息的驗證,成為無效信息,信息接收者便可以選擇不再信任該信息。
(2)數字簽名。數字簽名實際上是運用公私鑰加密技術使信息具有不可抵賴性,其具體過程為:文件的發送方從文件中生成一個數字摘要,用自己的私鑰對這個數字摘要進行加密,從而形成數字簽名。這個被加密的數字簽名文件作為附件和原始文件一起發送給接收者。接收方收到信息后就用發送方的公開密鑰對摘要進行解密,如果解出了正確的摘要,即該摘要可以確認原始文件沒有被更改過。那么說明這個信息確實為發送者發出的。于是實現了對原始文件的鑒別和不可抵賴性。
(3)數字時間戳。數字時間戳技術或DTS是對數字文件或交易信息進行日期簽署的一項第三方服務。本質上數字時間戳技術與數字簽名技術如出一轍。加蓋數字時間戳后的信息不能進行偽造、篡改和抵賴,并為信息提供了可靠的時間信息以備查用。
五、小結
本文分析了目前電子商務領域所使用的安全技術:防火墻技術,數據加密技術,數字簽名技術,以及安全協議,指出了它們使用范圍及其優缺點。但必須強調說明的是,電子商務的安全運行,僅從技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
參考文獻:
[1]謝紅燕:電子商務的安全問題及對策研究[J].哈爾濱商業大學學報(自然科學版),2007,(3):350-358
[2]彭禹皓蘭波曉玲:電子商務的安全性探討[J].集團經濟研究,2007,(232):216-217
隨著信息產業的高速發展,眾多企業都利用互聯網建立了自己的信息系統,以充分利用各類信息資源。但是我們在享受信息產業發展帶給我們的便利的同時,也面臨著巨大的風險。我們的系統隨時可能遭受病毒的感染、黑客的入侵,這都可以給我們造成巨大的損失。本文主要介紹了信息系統所面臨的技術安全隱患,并提出了行之有效的解決方案。
關鍵字:信息系統信息安全身份認證安全檢測
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一、目前信息系統技術安全的研究
1.企業信息安全現狀分析
隨著信息化進程的深入,企業信息安全己經引起人們的重視,但依然存在不少問題。一是安全技術保障體系尚不完善,企業花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標:二是應急反應體系沒有經常化、制度化:三是企業信息安全的標準、制度建設滯后。
2003年5月至2004年5月,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%。調查結果表明,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的“%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%.
對于網絡安全管理情況的調查:調查表明,近年來,使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務企業提供專業化的安全服務。調查表明,認為單位信息網絡安全防護能力“較高”和“一般”的比較多,分別占44%。但是,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低。
2.企業信息安全防范的任務
信息安全的任務是多方面的,根據當前信息安全的現狀,制定信息安全防范的任務主要是:
從安全技術上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,增強安全防范意識。
信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預防內部犯罪。
二、計算機網絡中信息系統的安全防范措施
(一)網絡層安全措施
①防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚。
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
②入侵檢測技術
IETF將一個入侵檢測系統分為四個組件:事件產生器(EventGenerators);事件分析器(EventAnalyzers);響應單元(ResponseUnits)和事件數據庫(EventDataBases)。事件產生器的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。事件分析器分析得到的數據,并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的數據庫,也可以是簡單的文本文件。
根據檢測對象的不同,入侵檢測系統可分為主機型和網絡型。基于主機的監測。主機型入侵檢測系統就是以系統日志、應用程序日志等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。這種系統經常運行在被監測的系統之上,用以監測系統上正在運行的進程是否合法。最近出現的一種ID(IntrusionDetection):位于操作系統的內核之中并監測系統的最底層行為。所有這些系統最近已經可以被用于多種平臺。網絡型入侵檢測。它的數據源是網絡上的數據包。往往將一臺機子的網卡設于混雜模式(PromiseMode),對所有本網段內的數據包并進行信息收集,并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基于標志(CSignature-Based),另一種基于異常情況(Abnormally-Based)。
(二)服務器端安全措施只有正確的安裝和設置操作系統,才能使其在安全方面發揮應有的作用。下面以WIN2000SERVER為例。
①正確地分區和分配邏輯盤。
微軟的IIS經常有泄漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。本系統的配置是建立三個邏輯驅動器,C盤20G,用來裝系統和重要的日志文件,D盤20G放IIS,E盤20G放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。因為,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。
②正確
地選擇安裝順序。
一般的人可能對安裝順序不太重視,認為只要安裝好了,怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的:
首先,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼后,系統就建立了ADMIN$的共享,但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續到你再次啟動后,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝并配置好Win2000SERVER之前,一定不要把主機接入網絡。
其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩,卻很必要。
(三)安全配置
①端口::端口是計算機和外部網絡相連的邏輯接口,從安全的角度來看,僅打開你需要使用的端口會比較安全,配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選,不過對于Win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口,不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。
②IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,所以在本系統的WWW服務器采取下面的設置:
首先,把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉,在D盤建一個Inetpub在IIS管理器中將主目錄指向D:\Inetpub。
其次,在IIS安裝時默認的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標。我們雖然已經把Inetpub從系統盤挪出來了,但這樣作也是完全必要的。如果需要什么權限的目錄可以在需要的時候再建,需要什么權限開什么。特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給。
③應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指出的是ASP,ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射,然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。
經過了Win2000Server的正確安裝與正確配置,操作系統的漏洞得到了很好的預防,同時增加了補丁,這樣子就大大增強了操作系統的安全性能。
雖然信息管理系統安全性措施目前已經比較成熟,但我們切不可馬虎大意,只有不斷學習新的網絡安全知識、采取日新月異的網絡安全措施,才能保證我們的網絡安全防御真正金湯。
參考文獻:
劉海平,朱仲英.一個基于ASP的在線會員管理信息系統.微型電腦應用.2002(10)
東軟集團有限公司,NetEye防火墻使用指南3.0,1-3
賈晶,陳元,王麗娜編著,信息系統的安全與保密,第一版,1999.01,清華大學出版社
EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
楊兵.網絡系統安全技術研究及其在寶鋼設備采購管理系統中的應用:(學位論文).遼寧:東北大學,2002
劉廣良.建設銀行計算機網絡信息系統安全管理策略研究:(學位論文).湖南:湖南大學.2001
1監聽技術的由來
網絡監聽技術是負責網絡安全的管理員用來管理網絡的一種工具,它和其他安全工具一樣,主要負責管理網絡即時狀態、數據傳播與流動、信息異常等非正常網絡變化情況。局域網中各臺主機之間傳送信息主要通過廣播的方式,在某個網域范圍中,監聽技術一方面可以幫助網絡安全管理人員監測其維護范圍內網絡的狀態、數據流動情況以及網絡上傳輸的信息,但另一方面,監聽技術也可以幫助黑客以不正當手段竊取網絡上的所有信息,這樣,監聽技術還擔負著對黑客入侵活動和其他網絡犯罪進行偵查、取證。
2監聽技術的原理
網絡協議采用的工作方式是把要發送的信息數據包發往連接在一起的所有主機,在數據包頭中指定要接收該數據包的主機的地址,按協議規定,只有數據包頭中的地址與主機地址完全對應上后該主機才能接收數據包,但當某臺主機工作的監聽狀態下,就跳過檢測地址這一環節,這臺主機就可以接收所有數據包了,并全部傳遞到上一個協議層,當數據包的信息以明文的形式傳播的時候,所有的信息都將毫不設防地展現在接收者面前,遺憾的是,部分局域網上的數據信息大多都是以明文的方式傳播的。當某連鎖企業將數據信息發往另一臺主機的時候,如果正好有一個黑客或網絡不法分子承監聽,那么就不難理解為什么會出現客戶食宿信息泄漏的問題了。
3監聽的實現方法
實現網絡監聽的最基本要求就是對網卡進行設置,使其工作在混雜模式下,普通模式下的網卡必須檢測數據包攜帶的地址,只有完全相同,本臺機器才能接收這個數據包,但工作在混雜模式下的網卡,直接跳過檢測這個環節,對所有經過的數據包來者不拒,全部接收。所以,這要設置網卡的工作模式就可以實現網絡監聽。下面介紹三種設置網絡工作模式的方法。(1)使用原始套接字(rowsocket)方法:首先創建原始套接字,然后使用setsockopt()函數進行IP頭操作選項的處理,再使用bind()函數對主機網卡和原始套接字進行駁接綁定,最后,為了讓原始套接字能夠最大限度地接收經過本網絡卡的數據包,再使用ioctlsocket()函數處理,此時,該主機就可以進行網絡監聽了。這種方法相對容易,但功能也相對較弱,只能對運行在較高層次上的數據包進行接收和處理。(2)使用NDIS庫函數,NDIS庫函數有22種近300個函數,比如MiniportWanSend,表示如果驅動程序控制著WANNIC,通過網絡接口卡發送一個包到網絡上。這種方法比較復雜,功能比較強大,但是相對來講風險較大,一不小心,可能導致系統崩潰和網絡癱瘓。(3)使用中間層驅動程序,這種中間層程序可以是自行編寫的,也可以使用微軟提供的win2000DDK。(4)使用第三方捕獲組件或者庫,比如Wnpcap。
二監聽的檢測(Monitordetection)
網絡監聽是一種被動的接收,很難發現,就像你將聲音發出后,不能確定誰在聽,誰沒有聽,也不能確定誰聽取了什么內容,接收信息的機器都是被動接收同,沒有信息交換,沒有修改傳輸,所以識別監聽相對比較困難,這里討論幾種常規的檢測方法。(1)發送大量無地址或錯地址的數據包,然后比較發送前后某臺機器的運行狀況,如果該機器綜合性能明顯降低,該臺機器很可能運行機制了監聽程序,因為監聽程序要接收并處理數據包的海量信息,這樣會占用機器的資源,所以綜合性能就會下降。(2)用錯誤的IP地址ping,如果某臺機器對于錯誤的地址也有響應,則可以判定這臺機器運行了監聽程序,這是因為正常的機器不接收錯誤的物理地址,處于監聽狀態的機器能接收。(3)使用第三方檢測工具,比如Antisniffer就是一個常用的安全監視工具,用來監測網絡內的主機的網卡是否處于混雜模式,以此來判斷該機器是否在運行監聽程序。
三監聽的防范(Monitoringprevention)
1網絡分段
網絡分段是一種比較簡單的經濟的防范方式。它的基本原理是將一個大的物理范圍網絡劃分為多個邏輯范圍子網絡。網絡分段目的是將非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法監聽。一個網段就是一個小的局域網,監聽的機器只能在在屬于自己的小網段內監聽,不會聽到別的網段內的信息,減少安全隱患。這就像會議的分組討論,一個“間諜”只有在一個小組內部監聽,不能監聽到別的小組,而不同小組討論的信息內容是不一樣的,這樣減少信息被盜取的范圍和程度。
2“以交代共”
這里的“交”指的是交換式集線器,“共”指的是共享式集線器。交換式集線器也叫交換機,它通過對信息進行重新生成,并經過內部處理后轉發至指定端口,也就是說使用了交換機后可以直接將信息唯一性地發住目標機器,這樣監聽機器就不能聽到傳播的信息,從而對監聽進行有效的防范。就像點對點的電話通訊,發送者和接收者通過單線聯系,別人聽不到自己在說什么,從而保證信息的安全。
3建立虛擬局域網虛
擬局域網(VLAN),是指網絡中的站點不拘泥于所處的物理位置,而可以根據需要靈活地加入不同的邏輯子網中的一種網絡技術。建立了虛擬局域網后,各虛擬網之間不能直接進行通訊,而必須通過路由器轉發,為高級的安全控制提供了可能,增強了網絡的安全性。可以防止大部分基于網絡監聽的入侵。這樣即使有某一臺機器在執行監聽功能,但其可能不確定在某個邏輯子網,從而監聽不到特定的數據信息,并且高層次的安全控制手段再落實到位,可能不論在哪個邏輯子網都無法監聽到信息。
4信息加密信息加密技術
日益成熟,人們的安全意識也日漸增加,所以信息加密在目前年看來是一種簡單可行的方法,我們只要在網絡上傳輸信息就一定要加密,經過加密的數據即使被監聽者捕獲到,但得到的信息都是亂碼,從而變成一堆無用的垃圾。如果監聽者要對捕獲的加密信息進行解密,那又將大大加重監聽者的成本,特別是現在先進的加密技術下,監聽到的數據信息有用的可用的將越來越少。
四結論(Conclusion)
1.1可用性
網絡系統的可用性是指計算機網絡系統要隨時隨地能夠為用戶服務,要保障合法用戶能夠訪問到想要瀏覽的網絡信息,不會出現拒絕合法用戶的服務要求和非合法用戶濫用的現象。計算機網絡系統最重要的功能就是為合法用戶提供多方面的、隨時隨地的網絡服務。
1.2完整性
網絡系統的完整性是指網絡信息在傳輸過程中不能因為任何原因,發生網絡信摻入、重放、偽造、修改、刪除等破壞現象[1],影響網絡信息的完整性。通過信息攻擊、網絡病毒、人為攻擊、誤碼、設備故障等原因都會造成網絡信息完整性的破壞。
1.3保密性
網絡系統的保密性是指網絡系統要保證用戶信息不能發生泄露,主要體現在網絡系統的可用性和可靠性,是網絡系統安全的重要指標。保密性不同于完整性,完整性強調的是網絡信息不能被破壞,保密性是指防止網絡信息的發生泄露[2]。
1.4真實性
網絡系統的真實性是指網絡用戶對網絡系統操作的不可抵賴性,任何用戶都不能抵賴或者否定曾經對網絡系統的承諾和操作。
1.5可靠性
網絡系統的可靠性是指系統的安全穩定運行,網絡系統要在一定的時間和條件下穩定的完成網絡用戶指定的任務和功能,網絡系統的可靠性是網絡安全最基本的要求。
1.6可控性
網絡系統的可控性是指網絡系統可以控制和調整網絡信息傳播方式和傳播內容的能力,為了保障國家和廣大人民的利益,為正常的社會管理秩序,網絡系統管理者有必要對網絡信息進行適當的監督和控制,避免外地侵犯和社會犯罪,維護網絡安全。
2網絡安全技術在校園網中的應用
2.1防火墻
防火墻是指管理校園網和外界互聯網之間用戶訪問權限的軟件和硬件的組合設備[3],防火墻處于校園網和外界互聯網之間的通道中,能夠有效地阻斷來自外界的病毒和非法訪問,能夠有效地提高校園網的網絡安全。防火墻可以有效攔截來自外界的不安全的訪問服務,同時還可以對防火墻進行設置,屏蔽有危害、不健康的網絡網站,降低校園網的安全危害。另外防火墻還可以有效地監控用戶對校園網的訪問,記錄用戶的訪問記錄,保存到網絡數據庫中,可以快速統計校園網的使用情況,在分析用戶訪問記錄如果發現用戶的操作存在安全問題,防火墻可以及時發出報警信號,提醒用戶的這個非法操作,防止校園網內部信息的泄露、另外,防火墻可以和NAT技術高效地結合起來,用于隱藏校園網的網絡結構信息,提高校園網的安全系數,同時防火墻和NAT技術的高效結合很好地解決了校園網IP不足的情況,提高了校園網的運行效率。防火墻在校園網中的應用,完善了校園網內部的網絡隔斷,即使校園網發生安全問題,也可以在短時間內控制問題擴散的速度和范圍。防火墻在校園網中發揮著重要的作用,能夠有效地阻斷來自外界互聯網的安全侵害,但是防火墻不能阻止校園網內部的安全問題,不能拒絕和控制校園網內部的感染病毒。
2.2VPN技術
VPN技術在校園網的應用,通過VPN設備將校內局域網和外部的互聯網連接起來,可以提高校園網的數據安全。VPN服務器經過設置后,只有符合相應條件的用戶經過連接VPN服務器才能獲得訪問特定網絡信息的權限,拒絕校園網內用戶的危險操作。VPN技術可以實現用戶驗證,通過驗證校內網用戶的身份,只有符合條件的授權用戶才能連接到VPN服務器,進行相關訪問。其次實現校園網數據加密,VPN技術可以將通過互聯網通道傳輸的數據進行加密,只有經過授權的用戶才能訪問這些信息。再次實現校園網密鑰管理,通過生成校園網和互聯網的基本協議,提高校園網的可靠性。并且VPN技術在校園網中的應用不需要安裝VPN的客戶端設備,降低了校園網安全管理的成本。通過VPN技術,校園網絡管理員可以對校園網內用戶的操作進行實時監控,及時發現校園網絡故障點,進行遠程維護,提高校園網維護管理能力。
2.3入侵檢測技術
入侵檢測技術在校園網中的應用,可以檢測校園網絡中一些不安全的網絡操作行為,一旦檢測到網絡系統中的一些異常現象和未授權的網絡操作,就會發出網絡報警信號。入侵檢測技術可以自動分析校園網絡的用戶活動,檢測出校園網中授權用戶的非法使用和未授權用戶的越權使用[4]。入侵檢測技術還可以監控校園網絡系統的配置情況,檢測出系統安全漏洞,提醒校園網絡管理人員及時進行維護。另外,入侵檢測技術在識別網絡攻擊和網絡威脅方面具有重要的作用,可以及時發出報警信號,并且拒絕和處理網絡攻擊入侵行為,結合發現的網絡攻擊模式,檢測校園網系統結構是否存在安全漏洞,提高校園網的數據完整性,進行系統評估。
2.4訪問控制技術
訪問控制技術主要是用來控制校園網用戶的非法訪問和非法操作,用戶想要進入校園網,首先要通過訪問控制,經過驗證識別用用戶口令、戶名、密碼等,確定該用戶是否具有訪問校園網的權限,當用戶進入校園網后,就會賦予用戶訪問操作權限,使校園網絡資源不會被未授權用戶非法使用和非法訪問。
2.5網絡數據恢復和備份技術
校園網中的網絡數據恢復和備份技術,可以防止校園網信息數據丟失,保護校園網重要信息資源。網絡數據恢復和備份技術可以實現集中式的網絡信息資源管理,對整個校園網系統中的信息資源進行備份管理,可以極大地提高校園網管理員的工作效率,實現網絡資源的統一管理,利用網絡備份設備實時監控校園網絡中的備份作業,結合校園網的運行情況,及時修改網絡備份策略[5],提高系統備份效率。校園網管理員可以利用網絡數據恢復和備份技術,定時對網絡數據庫中的數據進行備份,這是網絡管理重要環節。校園網的備份系統可以在用戶進行校園網訪問時,建立在線網絡索引,當用戶需要恢復網絡信息時,通過在線網絡索引中的備份系統就可以自動恢復網絡數據文件。網絡數據恢復和備份技術實現了校園網絡的歸檔管理,通過時間定期和項目管理對網絡信息數據進行歸檔管理,在網絡環境建立統一的數據備份和儲存格式,使所有網絡信息數據在統一格式中完成長時間的保存[6]。
2.6災難恢復技術
校園網中的災難恢復主要包括兩類:個別數據文件的恢復和所有信息數據的恢復。當校園網中的個別數據文件恢復可以利用網絡中備份系統完成個別受損數據文件的恢復,校園網絡管理員可以瀏覽目錄或者數據庫,觸動受損數據文件的恢復功能,系統會自動加載存儲軟件,恢復受損文件。所有信息數據的恢復主要應用在當發生意外災難時導致整個校園網系統重組、系統升級、系統崩潰和信息數據丟失等情況。
3結語
關鍵詞:計算機網絡安全網絡技術
隨著Internet的飛速發展,網絡應用的擴大,網絡安全風險也變的非常嚴重和復雜。原先由單機安全事故引起的故障通過網絡傳給其他系統和主機,可造成大范圍的癱瘓,再加上安全機制的缺乏和防護意識不強,網絡風險日益加重。
一、網絡安全的威脅因素
歸納起來,針對網絡安全的威脅主要有:
1.軟件漏洞:每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地,一旦連接入網,將成為眾矢之的。
2.配置不當:安全配置不當造成安全漏洞,例如,防火墻軟件的配置不正確,那么它根本不起作用。對特定的網絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置,否則,安全隱患始終存在。
3.安全意識不強:用戶口令選擇不慎,或將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
4.病毒:目前數據安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等特點。因此,提高對病毒的防范刻不容緩。
5.黑客:對于計算機數據安全構成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統中的安全漏洞非法進入他人計算機系統,其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。
二、幾種常用的網絡安全技術
1.防火墻(FireWall)技術
防火墻技術是指網絡之間通過預定義的安全策略,對內外網通信強制實施訪問控制的安全應用措施。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。由于它簡單實用且透明度高,可以在不修改原有網絡應用系統的情況下,達到一定的安全要求,所以被廣泛使用。據預測近5年世界防火墻需求的年增長率將達到174%。
目前,市場上防火墻產品很多,一些廠商還把防火墻技術并入其硬件產品中,即在其硬件產品中采取功能更加先進的安全防范機制。可以預見防火墻技術作為一種簡單實用的網絡信息安全技術將得到進一步發展。然而,防火墻也并非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的,也就是說要保證網絡信息的安全還必須有其他一系列措施,例如對數據進行加密處理。需要說明的是防火墻只能抵御來自外部網絡的侵擾,而對企業內部網絡的安全卻無能為力。要保證企業內部網的安全,還需通過對內部網絡的有效控制和管理來實現。
2.數據加密技術
數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。
數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用,密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。
數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止電子欺騙,這對信息處理系統的安全起到極其重要的作用。
3.系統容災技術
一個完整的網絡安全體系,只有防范和檢測措施是不夠的,還必須具有災難容忍和系統恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失,一旦發生漏防漏檢事件,其后果將是災難性的。此外,天災****、不可抗力等所導致的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難,也能快速地恢復系統和數據,才能完整地保護網絡信息系統的安全。現階段主要有基于數據備份和基于系統容錯的系統容災技術。數據備份是數據保護的最后屏障,不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器,在兩者之間建立復制關系,一個放在本地,另一個放在異地。本地存儲器供本地備份系統使用,異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連,構成完整的數據容災系統,也能提供數據庫容災功能。
集群技術是一種系統級的系統容錯技術,通過對系統的整體冗余和容錯來解決系統任何部件失效而引起的系統死機和不可用問題。集群系統可以采用雙機熱備份、本地集群網絡和異地集群網絡等多種形式實現,分別提供不同的系統可用性和容災性。其中異地集群網絡的容災性是最好的。存儲、備份和容災技術的充分結合,構成的數據存儲系統,是數據技術發展的重要階段。隨著存儲網絡化時代的發展,傳統的功能單一的存儲器,將越來越讓位于一體化的多功能網絡存儲器。
4.漏洞掃描技術
漏洞掃描是自動檢測遠端或本地主機安全的技術,它查詢TCP/IP各種服務的端口,并記錄目標主機的響應,收集關于某些特定項目的有用信息。這項技術的具體實現就是安全掃描程序。掃描程序可以在很短的時間內查出現存的安全脆弱點。掃描程序開發者利用可得到的攻擊方法,并把它們集成到整個掃描中,掃描后以統計的格式輸出,便于參考和分析。
5.物理安全
為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。為保證網絡的正常運行,在物理安全方面應采取如下措施:①產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。②運行安全方面:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。③防電磁輻射方面:所有重要的設備都需安裝防電磁輻射產品,如輻射干擾機。④保安方面:主要是防盜、防火等,還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。
計算機網絡安全是個綜合性和復雜性的問題。面對網絡安全行業的飛速發展以及整個社會越來越快的信息化進程,各種新技術將會不斷出現和應用。
網絡安全孕育著無限的機遇和挑戰,作為一個熱門的研究領域和其擁有的重要戰略意義,相信未來網絡安全技術將會取得更加長足的發展。
參考文獻:
[1]李軍義.計算機網絡技術與應用[M].北方交通大學出版社,2006.7.
