发布时间:2022-09-18 13:21:31
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络安全技术样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词:网络安全 防火墙 技术特征
1.概述
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
2.防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。
2.1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点
,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2.2.网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
NAT的工作过程如图1所示:
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
2.3.型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
2.4.监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
关键词:网络;防火墙;黑客;RSA算法
一、引言
计算机网络的广泛应用已经对经济、文化、教育、科技的发展产生了重要影响,许多重要的信息、资源都与网络相关。客观上,几乎没有一个网络能够免受安全的困扰。依据FinancialTimes曾经做过的统计,平均每20秒钟就有一个网络遭到入侵,而安全又是网络发展的根本。尤其是在信息安全产业领域,其固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益。因此,在网络化、信息化进程不可逆转的形势下,如何最大限度地减少或避免因信息泄漏、破坏所造成的经济损失,是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。
二、网络安全初步分析
(一)影响计算机网络安全的因素
(1)网络系统在稳定性和可扩充性方面存在问题。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响;(2)网络硬件的配置不协调。一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡因工作站选配不当而导致网络不稳定;(3)缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用;(4)访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机;(5)管理制度不健全,网络管理、维护任其自然。
(二)网络的开放性带来的安全问题
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:(1)每一种安全机制都有一定的应用范围和应用环境;(2)安全工具的使用受到人为因素的影响;(3)系统的后门是传统安全工具难于考虑到的地方;(4)只要有程序,就可能存在BUG。甚至连安全工具本身也可能存在安全的漏洞;(5)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
(三)网络安全的防护漏洞,导致黑客在网上任意畅行
根据Warroon Research的调查,1997年世界排名前一千的公司几乎都曾被黑客闯入。据美国FBI统计,美国每年因网络安全造成的损失高达75亿美元。Ernst和Young报告,由于信息安全被窃或滥用,几乎80%的大型企业遭受损失。
在最近一次黑客大规模的攻击行动中,雅虎网站的网络停止运行3小时,这令它损失了几百万美金的交易。而据统计在这整个行动中美国经济共损失了十多亿美金。由于业界人心惶惶,亚马逊()、AOL、雅虎(Yahoo!)、eBay的股价均告下挫,以科技股为主的那斯达克指数(Nasdaq)打破过去连续三天创下新高的升势,下挫了六十三点,杜琼斯工业平均指数周三收市时也跌了二百五十八点。看到这些令人震惊的事件,不禁让人们发出疑问:“网络还安全吗?”。
据不完全统计目前,我国网站所受到黑客的攻击,还不能与美国的情况相提并论,因为我们在用户数、用户规模上还都处在很初级的阶段。
三、网络的安全管理
针对上述分析可以采取以下安全策略:采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。采用各种安全技术,构筑防御系统,主要有:(1)防火墙技术。在网络的对外接口,采用防火墙技术,在网络层进行访问控制;(2)NAT技术。隐藏内部网络信息;(3)VPN。虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有链接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网;(4)网络加密技术(Ipsec)。采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题;(5)认证。提供基于身份的认证,并在各种认证机制中可选择使用;(6)多层次、多级别的企业级的防病毒系统。采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护;(7)网络的实时监测。采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络。
四、防火墙
(一)防火墙定义
防火墙是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙英文名称为FireWall,是指位于计算机和它所连接的网络之间的硬件或软件,也可以位于两个或多个网络之间,比如局域网和互联网之间,网络之间的所有数据流都经过防火墙(见图1)。
通过防火墙可以对网络之间的通讯进行扫描,关闭不安全的端口,阻止外来的DoS攻击,封锁特洛伊木马等,以保证网络和计算机的安全。防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置的一组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:(1)屏蔽路由器:又称包过滤防火墙;(2)双穴主机:双穴主机是包过滤网关的一种替代;(3)主机过滤结构:这种结构实际上是包过滤和的结合;(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。
(二)防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
(三)为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
五、安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
参考文献:
1、雷震甲.网络工程师教程[M].清华大学出版社,2004.
2、王春森.系统设计师[M].清华大学出版社,2001.
3、白以恩.计算机网络基础及应用[M].哈尔宾工业大学出版社,2003.
关键词: 网络安全 系统安全 网络运行安全 内部网络安全 防火墙
随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。
作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。
网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
一、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏性行为。
因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。 二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
三、内部网络安全
【关键词】网络安全;黑客;入侵与攻击;木马
随着计算机和Internet技术的迅速普及和发展,计算机网络早已成了一个国家的经济脉搏。计算机网络在社会活动的各个方面中都起到了不可或缺的作用。大部分的企业、政府部门和其他组织机构均建立了适合各自使用的基于互联网的相关系统,达到充分配置各种资源和信息共享等功效。互联网为社会和经济的快速进步提供了技术基础,作用也愈发突出。然而,网络技术的快速发展也出现了多种多样的问题,安全状况尤其明显。因为它又为很多的计算机病毒和黑客创造了机会和可能,不管是由于它们在设计上有不足,还是因为人为的原因造成的种种漏洞和缺陷,均会被某些意图不轨的黑客利用,进而发起对系统等进行攻击。只有做到了解才能在黒客进行网络攻击前做到充分的防范,从而保证网络运行过程中的安全性。熟知Internet会发生的各种状况威胁,做到及时的预防和准备,实现网络安全早已成为互联网实施中最为主要的方面。网络安全是在互联网经济时代中人们所面临的共同威胁,而我国的网络安全问题也越来越明显。
1 网络安全面对的威胁主要表现为:
1.1 黑客攻击
黑客最开始是指那些研究计算机技术的专业计算机人士,特别是那些编程技术人员。但现在,黑客一词则是泛指那些专门通过互联网对计算机系统进行破坏或非法入侵的人。全球现在已有20多万个黑客网站,网站上讲解了对网站和系统的一些攻击软件的使用和攻击的方式,以及系统的某些缺陷和漏洞,所以黑客技术也被人们普遍的了解,因此系统和网站受到攻击的几率就大大提高。目前对于网络犯罪进行快速反应、跟踪和追捕等技术不健全,使得黑客攻击系统和网站越来越猖狂,这也是影响网络安全的重要因素。
1.2 木马
木马程序是当前在互联网上盛行的病毒感染文件,和普通的病毒不一样,它不能进行自我繁殖,也并不“自主”地去破坏用户文件,通过将文件伪装吸引用户下载运行被感染的文件,向施种木马者提供打开被感染用户计算机的门户,使施种者可以对被感染的用户的文件进行盗窃、破坏,还可以控制被感染用户的计算机。一般情况下的木马文件包括客户端和服务器端两个部分,客户端是施种木马者进行远程控制被感染的用户的服务器终端,而服务器端则是植入木马文件的远程计算机。当木马程序或包含木马病毒的其他程序运行时,木马会先在系统中潜伏下来,并篡改系统中的数据和程序,每次使用系统时都会使潜伏的木马程序自动运行。执行木马的客户端和服务器端在运行模式上属于客户机/服务器方式Client/Server,C/S 客户端在当地计算机上运行,用来控制服务器端。而服务器端则是在远程计算机上运行,只要运行成功该计算机就中了木马,那么就变成了一台服务器,可以控者进行远程控制。
2 对防范网络攻击的建议:
在对网络攻有一定的了解的同时,我们应该对网络攻击采取有效的措施。确定网络攻击的漏洞所在,建立真正有效的的安全防范系统。在网络环境下设立多种多层的防范措施,真正达到防范的效果,让每种措施都像关卡一样,使得攻击者无计可使。同时,我们还要做到防范于未然,对重要的数据资料及时备份并实时了解系统的运作情况,做到有备无患。
对于网络安全的问题,提出的以下几点建议:
2.1 加强对安全防范的重视度
(1) 对于来路不明的邮件和文件不要随意的下载和打开,谨慎运行不熟悉的人提供的程序和软件,像“特洛伊”类木马文件就需要诱使你执行。
(2)最好不要从互联网上下载不正规的文件、游戏和程序等。就算是从大家都熟悉的网站下载程序等,也要在第一时间用最新的查杀病毒和木马的软件对其进行安全扫描。
(3)在进行密码设置是,尽量不适用单一的英文或数字的密码种类,因为它们很容易被破解,最好是字母、数字和符号的混合使用。同时对于经常使用的各个密码要进行不同的设定,防止一个密码被盗导致其他的重要数据丢失。
(4)对于系统提示的系统漏洞和补丁要及时的修补和安装。
(5)在支持HTML的论坛上,如出现提交发出警告,那么先查看BBS源代码,这极可能是诱骗密码的陷阱。
2.2 及时的使用防毒、防黑等防火墙保护软件,防火墙是一个用来防止互联网上的黑客入侵某个机构网络的保障,也把它称做控制进与出两个方面通信的大门。在互联网边界上通过建立各种网络通信流量监控体系来隔离内部和外部的网络,来防止外面互联网的入侵。
网络攻击的现象越来越多,攻击者也是越来越猖狂,这极大的威胁了网络的安全性。黑客们的疯狂入侵是都可以采取措施来防范的,只要我们知道他们的攻击方式及拥有大量的安全防御知识,就能消除黑客们的恶意进攻。不论什么时候我们都要把重视网络安全教育,提高网络用户的安全防范意识和培养一定的防御能力,这对确保整个网络的安全性有着不可或缺的作用。如今,市面上也出现了很多的提高网络安全的方法和各种防火墙,笔者认为网络成为安全的信息传输媒介即将成为现实。
参考文献:
[1]周学广等.信息安全学. 北京:机械工业出版社,2003.3
[2] (美)Mandy Andress著.杨涛等译.计算机安全原理. 北京:机械工业出版社,2002.1
[3]曹天杰等编著.计算机系统安全.北京:高等教育出版社,2003.9
关键词:计算机网络;网络安全维护;应用
计算机网络安全主要是为了保护信息传输的机密性,防止攻击造成的信息泄露,有必要建立一个安全有效的计算机网络病毒防护软件,而且在使用网络时对收到的信息和发出严格的检查和控制。基于网络安全的计算机操作,维护数据安全,确保网络不受计算机病毒入侵和损坏。在现代社会,信息化是一项重要资源,同时享受信息通信的便利性,安全问题逐渐引起了人们的关注。近年来,一些网络安全相关技术,如病毒防火墙技术,秘密安全管理技术和智能门禁技术,智能卡技术,数字签名技术,智能认证技术等技术手段。加强计算机网络安全管理,完善安全管理技术,确保日常工作正常运行,保障信息安全,具有重要意义。
1、现行的计算机网络安全问题分析
1.1操作系统自身问题
为了方便开发商继续更新升级,操作系统均具有很强的可扩展性,无论是Windows操作系统,还是Linux或Vista操作系统,这种扩展性给黑客攻击提供了便利,为计算机网络环境带来了安全隐患,。计算机系统的漏洞是任何系统和程序的设计都不能做到完美兼容。网络操作基础是计算机网络安全运行的前提条件,目前很多技术漏洞存在于网络操作系统中,黑客就会针对这些漏洞进行攻击,一旦系统维护、补丁修复不及时,是可能使网络发生攻击,对整个计算机网络带来的非常严重的安全隐患。所以用户需要做一个例行的bug修复,减少系统漏洞造成的损失。
1.2计算机病毒
计算机病毒和黑客攻击是造成计算机网络安全问题的重要因素。黑客在没有获得授权和许可的条件下,利用特殊的技术对他人计算机和服务器等进行未授权操作。黑客利用多种手段进行攻击和信息窃取,对他人计算机进行控制,窃取用户的相关资料,对计算机用户的信息安全和财产安全带来很大隐患。计算机病毒是人为编写的,在网络中进行传播,对用户的数据安全和硬件安全都会造成很大的危害。计算机病毒传播较快,自身比较隐蔽,严重影响了用户的正常使用,给用户带来了很大损失。
1.3黑客攻击
计算机病毒和黑客攻击是造成计算机网络安全问题的重要因素。黑客在没有获得授权和许可的条件下,利用特殊的技术对他人计算机和服务器等进行未授权操作。黑客利用多种手段进行攻击和信息窃取,对他人计算机进行控制,窃取用户的相关资料,对计算机用户的信息安全和财产安全带来很大隐患。计算机病毒是人为编写的,在网络中进行传播,对用户的数据安全和硬件安全都会造成很大的危害。计算机病毒传播较快,自身比较隐蔽,严重影响了用户的正常使用,给用户带来了很大损失。
1.4数据库隐患造成的安全问题
数据库作为数据管理的核心,掌管着大量的信息和数据。数据库可以方便有效的对数据进行存储和管理,但是在安全性还存在一些问题。数据库防火墙是数据库对于信息数据保护的主要方式,数据库防火墙对于外网的攻击和非法登录有很好的限制效果。但是随着技术的不断进步,数据库的防火墙发展较为迟缓,不能对数据库进行百分百的保护。数据库虽然能避免外网的部分攻击,但是对于内网的行为限制严重不足。在用户登录授权上,管理工作不规范,人员权限下发不明确,造成数据库管理工作混乱,影响数据安全性。另外,系统和软件的漏洞也是数据库产生安全问题的重要因素。
2、网络安全维护中计算机网络安全技术的应用
2.1数据加密以及网络访问控制技术在网络安全维护中的应用
计算机网络在运转过程中传输的数据通常是以动态的形式存在,利用密钥对其控制是加密技术的核心,加密算法及密钥管理是加密技术的关键,密钥是数据接收者解密密文的主要攻击,加密算法则对数据进行对称加密算法或非对称加密算法,从而进行数据处理的转换,避免未经授权的用户修改数据信息。
2.2防火墙技术在网络安全维护中的应用
使用防火墙技术,计算机服务器的安全被简单有效的提升了,对服务器进行数据扫描能够从源头开始,在极短时间内中断服务器与服务器之间的数据传输,阻止病毒等的传播。防火墙技术主要有:(1)状态监测,监控计算机网络中的数据来识别数据信息的不安全性,这种防火墙技术的优点是显而易见的,但由于保护的延迟,缺乏一定的及时性,使用计算机网络作为一个整体,数据流的主要分析,可能导致保护延迟;(2)包过滤防火墙,主要是对由路由器上传至主机的数据进行扫描和过滤,进而拦截位置数据,在保护协议的基础上,在安全保护的基础上,反映出保护的价值;(3)应用型防火墙,应用型防火墙安全性较高,可以针对性的侦测和扫描应用层,在侵入和病毒作用于应用层效果显著。防火墙技术等计算机网络安全技术,在安全防护上占有主要地位,具有明显的优势,提高了计算机网络的保护水平。
2.3防病毒技术在网路安全维护中的应用
计算机病毒和黑客攻击是导致计算机网络安全问题的重要因素。黑客没有授权使用其他计算机和服务器上的特殊技术,例如未经授权的操作。防病毒技术包括安装常规防病毒软件,更新杀毒软件数据库,网络下载或接收邮件等文件扫描和病毒防病毒,特别是对于未知文件,需要确认病毒然后打开;一些木马等病毒经常通过盗版软件和恶意使用操作系统对计算机进行病毒攻击,需要更新个人电脑操作系统,安装系统更新补丁,以确保最新最安全的状态系统;为了使用操作系统进行计算机攻击,计算机安装软件进行更新和升级,以减少系统漏洞。
2.4网络安全管理
提高计算机网络安全管理工作的安全性也具有一定意义,提高安全管理要求,对于计算机网络的访问进行合理有效的控制,建立健全安全管理是确保计算机网络安全的重要手段基础。加强网络安全管理的有效途径是在新网络建设初期评估和设计新网络的安全性能。加强系统评估的安全性,建立信息安全体系,确保系统的安全性和稳定性。计算机用户需要加强安全意识,尽可能提高用户的法律意识,计算机网络安全和安全需求的增长,同时需要一个良好的计算机网络安全和安全环境。
3、结语
互联网技术的发展扩展了计算机网络技术的发展前景的同时,。互联网的信息开放性、共享性、匿名性使得信息的安全存在很大隐患,也带来了一些安全问题基于网络安全维护的背景,本文阐述了计算机网络安全的内涵,结合了黑客攻击,病毒传播等常见网络安全问题。从防火墙技术,加密技术和防病毒技术等方面对计算机网络安全防护技术进行系统分析。可以看出,加强计算机网络安全的管理,提高安全管理的技术对于保证日常工作的正常进行,保证信息财产的安全有着重要的意义。
参考文献:
[1]陈建平.基于工作过程的《计算机网络安全》一体化课程开发及实施研究[D].华中师范大学,2014.
[2]王蔚苹.网络安全技术在某企业网中应用研究[D].成都:电子科技大学,2011.
[3]石海涛.基于网络安全维护的计算机网络安全技术应用[J].电脑编程技巧与维护,2014,08(06):121-122.
关键词:网络安全;智能电网
中图分类号:TP393.08;TM76
智能电网现在己经成为世界电网发展的共同趋势。随着信息技术在电力系统基础设施和高级应用中的深度渗透,相互依存的信息网和电力网将成为未来智能电网的重要组成部分[1]。
本文首先分析了信息化背景下智能电网中存在的安全性问题,然后总结了智能电网中的几种网络安全技术,探讨了信息网络安全技术对电力系统网络安全的影响。最后,讨论了提高智能电网网络安全水平的可行对策和改进措施。
1 智能电网网络安全分析
相比于传统电网,智能电网中需要监测和控制的设备数量更多,分布更广[1]。为了实现全面和实时的监控,成本低廉的无线通信网和分布广泛的公用因特网将在智能电网通信系统中占有越来越多的比重。然而,电力系统中公用网络的大量接入为恶意攻击提供了更多的入口。这将为电网和用户带来更大的危害。
2 智能电网网络安全技术
2.1 防火墙技术。防火墙[2][3]是一种由硬件和软件设备构成的,在公共网与专用网之间和外部网与内部网之间的界面上形成的坚实壁垒。它是计算机软件和硬件的结合,可以形成Internet之间的安全网关,以达到保护合法用户安全的目的。由于目前的电力系统网络整体安全涉及的层面比较广,合理配置防火墙安全策略,就成为保障电力系统网络安全、抵御非法入侵以及黑客攻击的第一道屏障[2]。
2.2 入侵检测技术(IDS)。入侵检测技术是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。电力企业需加强对入侵检测技术的应用,从而有效地对防火墙和防病毒软件进行补充,即时监视和审计网络中的攻击程序和有害代码,并进行有效的中断、调整或隔离,降低电力系统所遭受的安全威胁。
2.3 防病毒技术。随着电力系统信息化程度的不断提高,与外部连接的信息系统以及终端很容易受到来自互联网病毒的威胁,因此电力企业安装防病毒软件或防病毒网关十分重要,同时必须对其及时更新、升级,防止病毒的入侵以及在网络中的扩散。
2.4 加密技术。为确保数据的保密性、完整性和有效性,电力企业要求对于重要终端上的数据传输必须经过加密。为防止电力系统工作中出现主动泄密,电力公司加强部署桌面终端管控系统、邮件安全审计系统、下发信息安全保密U盘等措施,实施对数据的用户授权、传输、拷贝进行安全管控,同时对移动终端采取硬盘加密等技术手段来防止被动泄密。通过安全管理与技术管控的结合,保证了电力系统运行的数据安全。
2.5 身份认证。身份认证技术是计算机网络中为确认操作者身份而产生的解决方法。目前电力企业不断加强对身份认证技术的重视,从单纯的静态密码,到同时使用动态口令、智能卡、USBKey、生物识别等技术,采用双因素甚至多因素身份认证技术[5],并通过信息安全等级保护进行相关规定,进一步加强和改善身份认证模式,提高操作人员信息安全意识和技能。
2.6 VPN技术。虚拟专用网(Virtual Private Network,VPN)通过公用网络安全地对企业内部专用网络进行远程访问,可以实现不同的网络的组件和资源之间的相互连接,它提供了与专用网络一样的安全和功能保障。VPN 采用加密和认证的技术,在公共网络上建立安全专用隧道的网络,从而实现在公网上传输私有数据、达到私有网络的安全级别。
2.7 建立网络安全联动系统的重要性。以上这些安全技术主要针对安全问题中的某一点而开发,对于一个系统,要取得较好的安全防范效果,一般需要综合运用多种网络安全技术。因此,智能电网需要一种网络安全联动机制,综合各种网络安全技术的优势,从而取得更好的网络安全防范效果。
3 网络安全联动系统模型设计
针对当前智能电网的网络安全现状,本文提出了一种基于策略的网络安全联动框架。该联动框架被划分为三个层次。
(1)设备管理层:直接负责对联动设备进行监控,包含联动设备和。
(2)事件管理层:对设备管理层采集的大量安全事件进行处理,产生一个确定的安全警报,送到决策层的策略判决点和安全管理员控制端;同时将安全事件存储在数据库中,供安全管理员查询,进行攻击取证时所用。事件管理层包括事件管理器和事件数据库。
(3)决策层:决定对产生的安全警报如何进行处理,下达指令到设备管理层,使相关的设备联动响应。决策层包括策略判决点、策略库和管理控制端。
联动的具体过程如图1所示,详尽阐述了联动过程在联动框架各层中需要经过的步骤。首先,安全设备检测到新产生的网络安全事件,随后经过格式化处理的安全事件,被事件管理器接收。通过归并的方法将各安全事件分类,随后过滤其中的冗余事件,最后实施关联分析。从而形成一个确定的安全警报送到策略判决点。策略判决点解析安全警报,通过查询和匹配预先配置在策略库中的策略,触发相应的联动策略,然后给需要联动的设备下达指令,从而使得相应设备产生联动响应。另外,管理控制端还可以处理一些上报的安全警报以协助管理员进行决策,当突发一些较为棘手的情况而找不到相应联动策略时,则需要管理员凭借自身的经验与知识来处理次安全事件,操作相应的设备,完成联动过程,并将这个过程编辑成联动策略,更新策略库。具体的联动策略可以根据电力公司实际的网络应用环境,由安全管理员进行配置和维护。
4 小结
电力企业所面临的网络安全问题多种多样,正确的安全策略与合适的网络安全技术产品只是一个开端,电力企业网络将面临更大的安全挑战。
参考文献:
[1]高鹏,范杰,郭骞.电力系统信息安全技术督查策略研究[C].2012年电力通信管理暨智能电网通信技术论坛论文集,2013.
[2]Kent S,Seo K.IETF RFC4301. Security Architecture for the Internet Protocol.USA:IETF,2005.
[3]陈秋园.浅谈电力系统信息安全的防护措施[J].科技资讯,2011(14).
[4]翟绍思.电力系统信息安全关键技术的研究[J].中国科技信息,2008(15).
[5]叶杰宏.加强电力信息安全防护[J].供用电,2008,25(3).
关键词: 校园网络平安 系统平安 网络运行平安 内部网络平安 防火墙
许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但校园网用户在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的瘫痪,严重影响了校园网的正常运行。所以在积极发展办公自动化,实现资源共享的同时,校园网用户都应加强对校园网络安全的重视。因此,如何在现有的条件下,搞好网络安全,就成了校园网络管理人员的一个重要课题。
高校网络管理员肩负着校园网络的维护和管理责任,同时也承担维护系统安全、网络运行安全和内部网络安全的责任。维护好网络安全,我们可从以下几个方面着手。
一、系统安全
主要措施有反病毒、入侵检测、审计分析等技术。系统安全包括主机和服务器运行安全。我们可采用以下措施来保护系统的安全。
1.反病毒技术。计算机病毒是引起计算机故障、破坏计算机数据的主要原因之一。特别是在网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等,从中发现是否有违反安全策略的行为和被攻击的迹象,
2.入侵检测。入侵检测指对入侵行为的发现。通过对计算机网络或计算机系统中的若干关键点收集信息并对它进行分析,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞,统计分析异常行为,等等。
发现并及时修补漏洞是每个网络管理人员的主要任务。当然,从目前来看,系统漏洞的存在成为网络安全的首要问题。从系统中发现漏洞不是一般网络管理人员所能做到的,但是,及早地发现有报告的漏洞,并进行升级补丁却是应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于已使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多网络管理员对此认识不够,以致于过了几年,还能扫描到机器存在许多漏洞。校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统存在的漏洞也就越多,也就有更多的危险。因此从安全角度考虑,网络管理员应将不必要的服务关闭,只向公众提供所需的基本的服务。最典型的校园网服务器中对公众通常只提供Web服务功能,而没有必要向公众提供FTP功能,这样,服务器的服务配置中,只开放Web服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3.审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程。它还能指出系统正被怎样地使用。在确定是否有网络攻击的情况时,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处置的重要依据。另外,通过对安全事件的不时收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能发生的破坏。除使用一般的网管软件系统、监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的罕见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
二、网络运行安全
要保证网络运行安全,除采用各种安全检测和控制技术来防止各种安全隐患外,我们还应该具备尽快地全盘恢复运行计算机系统所需的数据的功能,即将所有文件写入备份介质。一般数据备份操作有两种:一是全盘备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法。二是差分备份,备份上次全盘备份之后更改过的所有文件,有“冷备份”和“热备份”两种方案。“热备份”指下载备份的数据还在整个计算机系统和网络中,根据备份的存储媒介不同,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,系统恢复时重新安装。其特点是便于保管,用以弥补“热备份”的一些不足。进行备份的过程中常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离。常用的措施是内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
采用防火墙技术是目前维护内部网安全的最主要的同时也是最在效和最经济的措施之一。防火墙不同网络或网络安全域之间信息的唯一出入口,防火墙在内外网隔离及访问系统中,能根据平安政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进出的数据,管理进出网络的访问行为,封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全维护融合到系统的整体安全战略中,才能实现真正的平安。
保证网络系统安全最有效的方法是定期对网络系统进行安全性评估分析,检查系统存在弱点和漏洞,采取弥补措施和安全策略,达到增强网络安全性的目的。
参考文献:
关键词:校园网;网络安全;防火墙
一、网络安全概念
网络安全是一门涉及计算机科学、通信技术、网络技术、密码技术、信息安全技术、应用数学、信息论、数论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全,从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。但网络安全具体的含义会因为不同对象而产生不同的理解,对于网络的使用者来说,他们希望商业秘密、个人隐私、个人安全等相关信息能真实、完整、保密在网络上进行传输和存储,且避免非法人员利用各种手段对信息进行窃取、篡改,损害使用者的利益;但对网络具体的管理者和维护人员来说,他们希望网络不受病毒感染、遭受攻击、网络资源受到非法占用和控制,保证网络及网络中的信息能正常访问和操作。
二、网络安全关键技术
1.防火墙技术
防火墙(FireWall)技术是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。所谓防火墙就是一个把互联网与内部网隔开的屏障。
防火墙分为两种类型,即标准防火墙和双家网关。标准防火墙系统包含一个UNIX工作站,该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部网络,即internet网;另一个接口连接内部私有网络。标准防火墙使用专门的软件,在信息传输上因需进行转换有一定的延迟。双家网关(Dual Home Gateway)则是标准防火墙的扩充,又称堡全主机(Bation Host)或应用层网关(Applications LayerGateway),它是一个单个的系统。双家网关的优点是能运行更复杂的应用同时防止在互联网和内部系统之间建立的任何直接的边疆,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。
2.虚拟专用网(VPN)技术
虚拟专用网(VPN)被定义为通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的U道,虚拟专用网(VPN)是对企业内部网的扩展虚拟专用网VPN可以帮助远程接入用户、分支机构、合作伙伴等同总部的内部网建立安全连接,并保证数据的安全保密传输。数据流通过低成本的公网络进行传输,这将极大地减少网络组建的费用,同时还简化了网络的设计和管理,也便于灵活接入。
VPN中采用的关键技术主要包括隧道技术、用户身份认证技术、加密技术和访问控制技术。VPN采用的技术中最为核心的技术就是隧道技术,隧道技术是一种通过互联网传输私有网络数据的一种技术。对所传输的数据在传送之前被封装在相应的U道协议里,当到达另一端时被解虬被封装的数据在互联网上传送时所经过的通道是一条虚拟的逻辑通道。U道协议分为第2层U道协议和第3层U道协议及传输层安全U道协议,第2层隧道协议主要有PPTP、L2TP等,第3层隧道协议主要有GRE以及IPSec等,传输层安全协议主要有ssl、tls等。L2TP和IPSec是目前应用最广泛的两种协议。VPNU道主要有两种S道,一种是端到端的隧道,另一种是节点到节点的隧道。
3.计算机病毒防护技术
