時間:2023-09-13 17:14:04
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇關于網絡安全的論述,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:4G通信;無線網絡;網絡安全;通信安全;安全技術
前言
進入新世紀以來,我國已經逐漸進入信息化通信時代。該時期,數據交流越來越頻繁,數據量也越來越大,在這種情況下,原有的有線通信技術已經越來越難以適應當前形勢下的要求。和有線通信技術相比,無線網絡在靈活性和便利性上有著獨特的優勢,因此更與當前時代的發展方向更為契合。近年來,無線網絡通信終端已經逐漸普及到大眾的日常生活中,人們在享受無線網通信帶來的便利同時,無線網通信中的安全問題也暴露出來。據相關部門統計,我國有近七成的無線網存在著漏洞,有著極大的安全隱患。鑒于這種局面,要及時采取措施提升無線網絡通信的安全。
14G通信技術
隨著人們對通信業務需求量的不斷增加,今天,擁有一臺如同智能手機這樣的無線網終端設備已經成為人們日常的“標配”,這種在量上的需求,也使得無線網絡通訊成為現代乃至未來通信技術的趨勢。我們將要論述的4G通信技術,全稱是“第四代移動通信技術”,較過去的2G和3G網絡,4G基本上取得了傳輸速度塊、通信質量強、信號穩定等重要節點的突破。就目前來說,4G網絡技術已經趨向成熟,其兼容性也較剛出世之時有了較大的改善,現在的4G網絡可以較為輕易地實現大數據的快速傳輸,并且其頻譜在擴展和,可以支持多種技術的接入。就人們的日常生活來說,4G讓人們得以利用手機終端,流暢且清晰地享受網絡上的音頻和影像資源、和其他人用視頻方式聯系等等,可以說,4G網絡的出現極大地提升了人們的生活質量。
2.1關于4G通信技術的無線網絡安全威脅
盡管4G通信技術給我們的生活帶來了諸多的便利,但其安全形勢確實不容樂觀的。就當前來看,在網絡中存在著許多種攻擊形式,如常見的木馬病毒,專門盜取用戶的個人信息;再者如針對網絡協議(InternetProtocol)的攻擊,將用戶的IP強行更換,讓用戶在不知覺中瀏覽不安全的網頁;更為嚴重的還有利用硬件設備自身的缺漏等病毒,破壞用戶的文件信息,致使一些公司和企業遭受較大的信息損失等。可見,用戶在遭到來自無線網絡的攻擊后,均會蒙受不同程度上的損失。就4G網絡通信來說,其系統的構成主要有四個部分:(1)接收終端;(2)無線網接入網絡;(3)核心網絡;(4)承擔IP的主干網絡等,這幾個部分都可能受到網絡攻擊,其安全狀況十分嚴峻,所以亟待采取安全防范的手段。此外,由于無線網絡的存在形式不依存于電纜之類的實體,故其信號很容易被不法分子獲取和入侵。就以往的案例來看,當不法分子侵入無線網之后,常會進行該網絡下的數據刪除或刪改,下載用戶個人信息,在網絡中嵌入病毒等惡劣行為。
2.2關于4G通信技術的無線網絡安全通信策略
上面我們對目前無線網絡存在的安全隱患進行了分析,可知當前的關于4G通信技術的無線網絡安全威脅已經大大影響了人們的生活,相關部門需要立即采取措施加以防護。下面我們便對該問題展開論述。有關4G通信技術安全方面的探索處在初步階段,在未來還需要進一步擴展,這其中進行安全通信考慮時,要注意首先確保通信的安全,其次提升通信的效率和兼容性,讓更多的用戶流暢地使用網絡,提高網絡的可擴展性,對此要著力以下幾點:①確保用戶終端承擔的任務量較少,避免網絡延遲;②減少處在TCP/IP的信息交互量;③向用戶公開網絡的安全手段;被訪問網絡的安全防護措施應對用戶透明;④讓用戶可以自身對網絡使用的安全措施有所調整;⑤合法用戶可自行提升或修改其中業務的防護措施等。關于4G通信技術的無線網絡安全通信策略要立足于其通信特點,以求從實際出發,具體的解決問題。對此,網絡安全部門要首先建立起相關的安全通信機制,配合具體的通信要求和環境,制定相應的安全措施。如強化無線網登入時的管理,實行用戶實名認證的措施,并且提升身份認證的簽名安全度,以此減少用戶信息被盜取的可能。此外,網絡安全人員還要加強網絡優化,通過精簡網絡傳輸中安全協議數據的信息量,降低這類安全協議被獲取至破解的可能性。加強無線網信道的加密,如使用更為安全的WPA2接入(Wi-FiProtectedAccess,WPA)技術,以減少網絡密碼被破解的可能。同時,要加強無線網發射設備對終端地址過濾的能力,以避免非法分子進入網絡,節約網絡資源的使用。還要強化發射設備對數據的過濾能力,在設備運作時,可以減少威脅數據的流入,以避免病毒的攻擊。最后,需要強調的是,除了在網絡中采取的必要手段外,安全人員還需要強化硬件上的防護,阻止不法分子通過物理手段的攻擊,避免設備端口被攻擊的情況。
3結語
通過上文來看,隨著電子通信技術的發展與普及,以4G通信技術為代表的無線網絡通信已經深入人們的日常生活,給工作和娛樂提供了便利。但是4G網絡中存在著大量的安全隱患,如果不及時采取安全措施,將會對用戶的信息安全造成不小的破壞。對此,網絡通信安全人員要重視這一問題,從多方面多角度加強安全防范,確保無線網絡的安全。
參考文獻:
[1]巫曉月.4G通信技術的網絡安全問題及對策探討[J].建筑工程技術與設計,2016(4).
[2]趙凱麗.4G通信技術的網絡安全問題及對策探討[J].數字技術與應用,2015(5):41-41.
[3]閆寧霄.4G移動通信技術的要點及發展趨勢探究[J].中國新通信,2017(2):40-40.
1計算機網絡安全存在的問題
1.1計算機網絡本身的問題
每一個系統天生就存在或多或少的安全漏洞,計算機的系統本身或者所安裝的應用軟件中的部分都具有一些安全問題。常見的漏洞是TCP/IP協議的缺少經常被用作發起拒絕服務入侵或者攻擊,消耗寬帶、網絡設備的CPU和內存是此入侵的目的。他們的入侵方式為發送許多的數據包給要攻擊的服務器,從而消耗和占領一切的寬帶網絡用來攻擊此服務器,然后服務器的正常服務無法進行處理,從而沒有辦法訪問網絡,很大程度的降低了網站的回應速度,最終導致服務器癱瘓。就個體的網絡訪問者來說,該攻擊會導致計算機無法正常的運行。
1.2安全威脅來自內部網
相對于外部網的使用者,內部網的使用者所遭遇到安全威脅的程度更大。主要原因是內部網的用戶絕大所數都缺乏安全意識。在內部網中,因為網絡管理員和網絡使用者的具有相似的權限,所以存在的安全隱患就是有人利用這些權限來攻擊網絡的安全,比如泄露操作的口令、存在磁盤上的機密文件被人利用、一些網絡安全技術與應用文/童旭亮本文主要介紹了網絡安全的定義,從各個方面敘述了目前的各式各樣的基本原理關于網絡安全技術與安全協議,還介紹了它的主要特點、發展情況等,并論述網絡安全技術的綜合應用。通過對我國計算機網絡安全技術的剖析,并與實踐中的網絡應用,來預測我國計算機安全發展的情況。
1.3黑客的攻擊手段在持續的更新
差不多在每一天不同的系統都會有安全問題的發生,但是所用的安全工具的更新速度太慢,在很多的時候只有用戶自己參加才能發現以往不知道的安全漏洞,而且用戶自己發現未知問題經常會很慢,且處理也很差。其次就是黑客的攻擊手段在持續的更新,安全工具發現了問題,并且用盡全力的修復問題,黑客的新攻擊手段又開始進行攻擊,新的安全問題再次出現,形成黑客與安全工具之間的相互的追逐。
2計算機網絡安全防范的具體措施
2.1防范網絡病毒
在Internet的環境下,由于病毒傳播擴散的快,單單是用單機的安全工具來防毒已經不夠用來完全的查殺網絡病毒,因此就必須要有在各個方面防止病毒的產品適用于局域網。一般較為常見的局域網有:學校、醫院、企業、政府單位等,這些內部局域網要想保證安全,就需安裝一個防病毒軟件在服務器的操作系統平臺上,還需要一款專門對內部局域網用戶的防毒軟件在各自桌面操作系統。在與網絡連接時,要有網關防毒軟件,以此來保障計算機上網時的安全。在內部局域網的用戶要用電子郵件交流信息時,就需要一系列的防毒軟件關于郵件服務平臺,用該軟件可以找出隱藏的病毒在郵件及其附件當中。因此為了保證計算機的網絡安全,就需要給計算機安裝一款全方位多角度的殺毒軟件,設置對應的防毒軟件根據計算機網絡所有可能出現的病毒攻擊點,并且不斷更新防毒軟件,加強防病毒的安全配置,即使升級計算機補丁,從這些方面來避免計算機遭受攻擊。
2.2配置防火墻
在進行網絡通訊時,可以應用防火墻來把握訪問的尺度,數據進入自己的網絡時必須是防火墻允許訪問的人,那些沒有經過防火墻允許的訪問者和數據將不能進入,這樣就可以在很大的范圍內來防止黑客來攻擊自己的網絡,同時也可以阻止黑客來任意改寫、移動或者刪除計算機中重要的信息。在網絡安全機制中,防火墻是一種使用范圍廣、保護計算機效果較好的機制,它可以阻止網絡上病毒延伸到局域網中的其他用戶。防護墻的服務器以及客戶端的各種設置需要根據不同的網絡屬性以及用戶的需求,只有這樣才能更好的發揮防火墻在網絡安全中的作用。
2.3采用入侵檢測系統技術
為了保證系統的安全開發了一種技術,此技術能夠快速的發現和通知給系統一些沒有經過用戶授權和異常的現象,能夠檢測出違背計算機網絡安全行為。它的工作原理是入侵檢測系統中利用審計記錄,從而找出沒有被系統授權的活動,從而建立起計算機網絡自主的防御黑客攻擊的完備體系。
2.4漏洞掃描系統
明白計算機網絡中的安全問題以及容易被黑客攻擊的漏洞,是解決計算機網絡安全的主要手段。網路安全掃描工具可以幫助用戶找出安全漏洞、對計算機的所遭受的風險進行預評、優化系統的配置,來解決系統的漏洞和消解可能出現危險。
3總結
計算機網絡安全是一個相對的概念,它是安全策略與實際操作的配合,是系統的工程。要想使計算機網絡安全,不是只依賴于殺毒軟件、防火墻、入侵檢測系統等一些計算機自主的措施,還需要培養人的計算機安全意識。我們需要不斷的研發計算機網絡安全的軟件,為計算機建立一個良好的安全系統。只有這樣才能使我們處于安全的計算機環境中,使計算更加為我們所用。
作者:童旭亮 單位:上海互聯網應急中心
參考文獻
[1]劉亦凡.學校網絡安全技術應用與研究[J].信息系統工程,2017(1).
【關鍵詞】高校計算機網絡,網絡安全問題,對策分析
【中圖分類號】G64 【文獻標識碼】A 【文章編號】1672-5158(2013)04-0116-01
一、緒論
1.1 研究的背景和意義
網絡對當今社會的越來越重要。隨著互聯網在校園的普及,網絡安全逐漸成為一個潛在的巨大問題,也向網絡管理運行提出了更高的要求。隨著互聯網的迅速發展,計算機網絡已成為高校科研、和教學所必不可少的重要設施。計算機網絡通過網絡技術以及計算機技術,從而實現高校內計算機局域網互連,并通過中國科學院計算機網絡、中國和科研計算機網與國際互聯網絡互連,實現資源共享和對外交流。與此同時,計算機網絡也存在安全問題,高校網絡如果存在安全問題,從而停止運行、被惡意破壞或者中斷服務,將對高校的各項工作造成嚴重的影響,其損失也是難以估計的。因此,充分的了解高校計算機網絡存在的問題,并針對其提出解決措施,確保高校網絡安全暢通,已成各高校所關注的重點問題。
1.2 計算機網絡安全的概念
計算機網絡安全就是指網絡上的信息安全,即指網絡系統的數據受到保護,不受到惡意或偶然的更改、泄露、破壞,網絡服務不中斷,系統可以連續可靠正常的運行。從廣義的角度來說,凡是涉及到網絡上信息的真實性、可用性、完整性、可控性以及保密性的相關理論和技術都是網絡安全的研究領域。
二、高校計算機網絡存在的安全問題
2.1 關于高校計算機網絡安全的硬件方面的問題
高校計算機網絡設備分布范圍比較廣泛,無法進行封閉式管理,尤其是室外設備,如電纜、電源、通信光纜等的管理維護方面。另外,就算是在室內,也常常發生設備損壞、破壞、被盜等情況,例如包含數據的主機、光碟、軟盤等被盜,常常使得部分數據被泄露或丟失。事實上不管是哪一種設備出現問題,都導致高校的網絡出現癱瘓可能,甚至影響到高校其他各項工作的正常開展。
2.2 關于高校計算機網絡安全管理和使用方面的問題
網絡系統的是否能正常運行離不開系統管理人員對網絡系統的管理。很多高校對網絡安全保護不夠重視以及資金投入不足等問題,造成管理者心有余而力不足,在管理上無法跟上其他單位。另外,用戶有時因個人操作失誤也會對系統造成破壞。管理人員可以通過對用戶的權限進行設置,限制某些用戶的某些操作,從而避免用戶的故意破壞。由于對計算機系統的管理不當,會造成設備損壞、信息泄露等。因此科學合理的管理是必須的。
三、高校計算機網絡安全問題的對策及措施
3.1 高校計算機網絡安全問題的對策
首先網絡安全最大的威脅不是來自外部,而是內部人員對網絡安全知識的缺乏,所以必須加強師生安全知識、安全意識及計算機網絡安全的法制教育。定期組織師生參加網絡安全方面知識的培劃。
其次,網絡安全管理需要制定一整套嚴格的安全政策,以管理手段為主,技術手段為輔。針對高校計算機網絡的各個管理部門,對數據管理和系統流程的各個環節進行安全評估,確定使用的安全技術,設定安全應用等級,明確人員職責針對使用者,明確網絡用戶使用的規章制度。通過制定制度嚴格規范上網場所,集中監控、統一管理。統一驗證上網用戶身份,隨時跟蹤監控上網行為,及時保存上網日志,保證記錄的法律性和準確性。對學生密集的機房加強源頭控制,減少外來感染機會,控制和監視每臺機器的下載文件,控制不良信息的傳播與網絡聊天,加強密碼的管理。
3.2 高校計算機網絡安全具體的措施
3.2.1 高校計算機網絡安全技術上的安全防護措施
目前,網絡安全技術防護措施主要包括:防火墻技術、身份驗證、入侵檢測技術、殺毒技術加密技術、訪問控制等內容。主要說來是:(1)監控相關的信息交換,也就是按照一定的對互聯網和專網進行監控,阻止某些網絡間的通信;保證校內網不受到未經授權的訪問者侵入。(2)vLAN技術即虛擬局域網技術,按照不同的安全級別以及不同的應用業務,將網絡進行分斷并隔離,實現訪問的相互間控制,限制用戶的非法訪問。(3)選擇合適的網絡殺毒軟件,對網絡定期進行查毒、殺毒、網絡修復。(4)入侵檢測技術幫助系統對付網絡攻擊.擴展系統管理員的安全管理能力,提高信息安全基礎結構的完整性。
3.2.2 高校計算機網絡安全管理上的防護措施
首先是網絡設備上的科學合理管理。比如將設備盡量進行集中管理,像主干交換機、各種服務器等;對各種通信線路盡量進行架空、穿線或者深埋,并做好相應的標記;對終端設備實行落實到人,進行嚴格管理,如工作站以及其他轉接設備等。
其次是建立安全實時響應和應急恢復的整體防護。設備壞了可以換,但是數據一旦丟失或被破壞是很難被修復或恢復的,從而造成的損失也是無法估計和彌補的。因此,必須建立一套完整的數據備分和恢復措施。從而確保網絡發生故障或癱瘓后數據丟失、不損壞。
最后是完善相關的法規,加強宣傳教育,普及安全常識。計算機網絡是一種新生事物。它的一些行為都是無章可循、無法可依的,從而導致計算機網絡上的犯罪十分猖獗。目前國內外都相繼出臺了一些關于計算機網絡安全的法律法規,各高校也制度了一些管理制度。與此同時還要進行大量的宣傳,使計算機網絡安全常識普及。
3.3 高校計算機網絡安全應構建的相關系統
(1)網絡在給大家帶來方便的同時,也給病毒的傳播提供了方便。集中式的網絡病毒防殺系統不僅可以管理很多的聯網計算機,對聯網計算機進行統一的病毒清除;同時可以及時公告病毒防殺信息,自動更新和升級病毒庫,具有科學的病毒預警機制;還可以為域外聯網計算機提供在線殺毒功能;并可以提供電子郵件病毒網關或病毒引擎功能,與電子郵件系統集合,對病毒郵件進行過濾。可以說當前集中式病毒防殺系統是有效防殺校園網病毒的最有效措施之一。集中式網絡病毒防殺系統,不僅具有病毒防殺范圍廣,病毒庫更新及時、方便,而且具有防殺行動統一、徹底,系統穩定、可靠,用戶參與少,整體投資效益高等優點。
(2)隨著網絡攻擊和病毒技術的發展,防火墻已經不是網絡安全的“萬能產品”,但是作為防止網絡攻擊,特別是來自外網的攻擊,防火墻功能仍然是目前其他產品無法替代的。防火墻技術是保證網絡安全最早、也是最廣泛使用的產品,曾經被認為是網絡安全最有效的技術措施。當前的防火墻種類很多,可以按照防范技術分為:包過濾型、入侵檢測型、應用程序型等。通過必要的防火墻設置,可以按照服務功能將校園網劃分成多個安全區域和公共區域,并定制多種防范策略,保證網絡應用服務的正常開展。
關鍵詞:信息安全 通信融合 網絡安全
信息技術的發展使網絡世界變得復雜多樣,為了能夠有效的改善這種情況,我們在網絡系統中設置多個安全設置,將信息進行融合,改變了單個安全設置防備不完善的性能,保障了系統的安全。
一、當代的我們為何要重視信息安全
1.由于微機本身的安全性能較低
微機產生于上世紀七十年代,當時的集成電路高度發展,最終形成了微機。微機在成熟后被稱為個人計算機,針對于個人使用,而不是公用。微機的出現雖然在一定程度上降低了制造成本,但隨著儲存器隔離機制和程序的安全保護機制等一系列成熟的信息安全機制被去除,程序的執行不再被限制,系統的數據也可以隨意被更改,病毒、木馬等程序也就趁機猖獗起來。
2.隨著信息技術的再度發展,最初的被稱為個人計算機的微型計算機再次成為公用,但關于信息安全的系統已經去除,因此,現代計算機面對如此復雜的環境,抵御能力自然下降。
3.網絡的迅猛發展,再次將計算機帶入到了網絡中,甚至已經成為了一個重要的組成部分。網絡的連接使信息的傳遞突破了地域的界限,但缺乏安全體制的管理,網絡信息世界已經危機四伏。一些網絡協議的復雜性,導致了安全驗證的過程十分復雜,其次,當前的網絡協議都是一些較為簡單的。不能完全保證信息的安全性和網絡不被攻擊。
二、信息通信的融合發展
最初的信息技術與通信技術是兩個毫不相干的獨立領域。隨著時代的轉變,技術的發展,通信技術為了使更多的人獲取到信息通信增值服務,在技術層面上將通信技術逐漸從底層延伸到了應用層,總之,通信技術和信息技術兩者之間在理論上的界限越來越模糊。但從目前的總體趨勢來看,通信技術和信息技術的融合發展,是大勢所趨。兩種技術的融合可以基于寬帶網絡提供通信服務,如進行信息的采集和共享工作。
信息技術和通信技術的融合在當代形成了一個全新的技術領域。它為傳統的行業在技術上帶來了顛覆性的轉變。突破了傳統的軟件產業與硬件產業獨立發展的境況,逐漸將軟件硬化、硬件軟化了,以此來逐步節約成本和提升管理工作的效率。同時也使產品具有更高的穩定性,實現了信息從上層貫穿至底層的資源互動。
此外,我們在當代提出信息通信技術的融合是由于信息通信技術已經成為了推動社會發展的主動力,并迅速的帶動了各國的經濟增長。而在我國,信息通信融合這一概念最早被接受則是出現在電信運營商。他們將現代的信息技術通過計算機網絡與通信融合成一個提供服務的平臺,后來,這一平臺就被稱為融合通信。當前,我國已經正式將信息通信產業設立為推動我國經濟繁榮的新興產業。三個主要的通信服務運營商正在以不同的方式進行著信息通信的融合。信息通信融合發展,不僅對于我國的通信業務產生了影響,也對我們發展國家電力電網事業有了啟發。我國在發展智能電網和智能電廠的創設方面多運用了這一融合性的思想,將會對智能電網事業起到支撐性的作用。
三、信息通信融合技術在網絡安全中應用的必要性
信息融合技術已經成為國內外的研究熱點,經過研究表明,發揮信息融合技術的自身優勢,是保證網絡安全的關鍵。
1.隨著信息技術的不斷發展,傳統的設置防火墻已經不能解決來自互聯網內部的網絡安全問題了。網絡安全設備的單一性再次暴露了無法應對多重網絡攻擊的特點。殺毒軟件無法識別最新的病毒程序,檢測系統無法及時的傳遞檢測信息。而這時正需要對網絡的安全性做出全面的分析。
2.高速運轉中的各類信息急切的需要一個管理的平臺。隨著網絡攻擊的日益增多,我們在網絡的配置中增添了許多的安全設備,但這些安全設備在運行的過程中難免會產生大量的信息,這為網絡安全管理員對于安全性的分析設置了障礙。同時,過于復雜的管理過程也影響了網絡系統之間的合作。
3.網絡攻擊手段的多樣性催生了許多關于網絡安全性的思考。現代的網絡攻擊手段,通常是分層次,分步驟的逐一進行攻擊。因此,我們只有順應變化,不斷的提升網絡安全防御能力,才能提升網絡安全性,全面的分析和處理網絡問題.
四、信息通信融合應用到網絡安全中的可行性
網絡攻擊手段的不斷復雜和安全技術的不斷發展,促使了信息融合技術的應運而生,信息融合技術在網絡安全方面起到了聯動、預警、評估分析等作用。并且經過長時間的實踐,我們發展融合技術應用到網絡安全方面是可行的。
1.單個網絡設備在防御方面通常具有不穩定性和一定的局限性。而信息融合技術則能夠在一定程度上使網絡的性能得到有效的提升,并能將運行中的網絡狀態準確的描述出來。
2.網絡安全設備中融入了信息安全設備,將有利于提升網絡安全設備的可信度,同時也提升了判斷網絡安全問題的正確性。
3.信息融合技術在處理網絡安全中的不確定性問題方面做出了貢獻,減少了我們對于網絡安全問題上認知的模糊問題。
4.由于采用了信息融合技術,從而整體提升了網絡對于信息的檢測能力,通過網絡多個安全設備的處理信息和對安全事件的綜合處理結果,提升了對于網絡中的有效且安全的信息的發現概率。
隨著網絡之間攻與守的角色不斷轉變,信息融合技術在網絡安全中的重要意義也逐漸受到了來自國內外的關注。在國外的相關文獻中曾指出,信息的融合可實現不同質的數據進行融合。若想要成功的反應一個網絡系統的網絡形態,就必須要進行數據信息的融合。此外,國外還有根據信息融合技術構建態勢感知模型。通過態勢感知構架我們得知,信息的融合能夠及時的了解網絡的安全動態,并對我們在進行有關的決策時提供幫助。
五、信息融合技術在網絡安全的應用中仍需改善的地方
雖然信息融合技術在一定程度上為網絡安全做出了貢獻,也有許多技術應用到了網絡安全的創建中,但縱觀整體,仍有許多需要改進的地方。
1.信息融合的過程中,可以適當的選擇多種方式相結合,避免由單一方式造成的誤差以及理論性誤差,提升結果的準確率。
2.信息融合技術目前只是針對某一種網絡安全問題進行模型創立和解決問題,而沒有涉及到整體的網絡狀況的研究。
3.應注重融合技術與網絡安全系統的不斷磨合,使其充分適應網絡環境,降低由于主觀因素帶來的不適應性問題,從而全面的反應系統的安全問題。
總結:
信息通信融合技術的發展是一個長時間的復雜的工程,從維持到穩定再到發展也是一個漫長的過程,這其中也包含了對于網絡、信息、系統等多方面的管理水平,以及對于操控計算機的專業人員的水平管理。也可以說,這其中的任何一個環節的疏漏都有可能導致融合技術無法發揮其正常的水平。在當前這個信息時代,信息的安全已經關系到國家的安全,因此,我們利用信息融合技術,切實的保障言網絡系統和信息的安全能夠在一定程度上提升我們的綜合國力。但我們深知,信息融合技術的發展還不夠完善,起步較晚,而且網絡信息安全的保障工作也不在一朝一夕之間,更多的是需要我們根據實際情況,磨合信息融合技術,全面而有效的保障網絡信息的安全。
參考文獻:
[1] 金海敏, 許斌. 淺談當前形式下電力信息通信技術[J]. 大科技,2011(20): 259260.
[關鍵詞]油田;網絡信息;安全體系
doi:10.3969/j.issn.1673 - 0194.2016.06.043
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2016)06-00-01
近年來,中國的石油企業得到了飛速發展,石油企業的逐年增加,推動了經濟的快速發展,但隨著經濟全球化步伐的加快,中國的石油企業也面臨風險與挑戰。尤其是在油田信息安全管理方面存在諸多問題。因此,加強網絡信息安全建設、提高安全管理水平,成為石油企業的當務之急。
1 油田安全環保管理存在的問題
1.1 油田網絡信息安全意識薄弱
大多數油田企業管理人員對安全環保不甚了解,造成網絡信息安全管理不受重視。針對油田施工中存在的問題,雖然油田企業管理人員也會向施工單位提出,但是卻“虎頭蛇尾”,不關心問題解決的后來走向,如果施工單位實際上沒有解決問題,就會造成很大的隱患。此外,一些企業缺乏對員工培訓的重視,僅僅通過宣傳教育向員工輸送網絡信息安全知識,員工對安全環保工作仍然一知半解,更不用說將網絡信息安全管理意識應用于實際工作中。長久下去,員工的工作積極性與工作熱情難以調動,工作效率與質量得不到提高,企業更加難以實現長久穩定的發展。
1.2 安全隱患眾多
第一,一些油田企業為降低成本,不愿意更換設備,讓設備處于長時間的超負荷運轉中,造成使用壽命大大減少,這些都是安全隱患的組成因素;第二,油田開采中會產生較多的報廢井,并且會隨年限逐漸增多,對于長停井、位于環境敏感區的報廢井等,油田企業缺乏重視,沒有投入足夠的資金進行治理或者沒有封井,導致安全隱患的產生。另外,石油企業作為密集型企業,設備眾多、種類復雜、更新換代快。在專用的設備和運輸設備上,投入的資金比重較大。但是由于企業的特殊性,設備資金的投入是非常必要的。此外,設備具有維修難度大,維修成本高的特點,在石油設備的經濟管理上,很難做到全面管理。油田安全隱患得不到解決,建設質量不佳,更加體現了網絡信息安全體系建設的重要性。
2 改革油田網絡信息安全體系的措施
2.1 建立專門的網絡信息管理組織
對于石油企業網絡信息安全體系的改革,首先,要改變以往的以部門為單位的建設組織,將任務更加細致地分配下去,落實到每一個人。對網絡信息體系進行重新的定位劃分,提高信息安全體系管理的效率與質量。其次,依據相關人員的能力與技術的特點,明確網絡安全體系建設部門的責任,做到權責明確、權責對等。建立專門網絡信息管理組織,在細微之處體現和諧發展觀的理念,調動工作人員的積極性與熱情,將石油開采、勘探、設備管理等方面工作完成得更加順利、出色,促進中國石油企業不斷進步與發展。
2.2 完善油田網絡安全體制
油田網絡安全體制包括設備采購管理制度、設備運行制度、設備維護制度、運作成本審查制度等,只有建立完善的石油企業網絡信息安全體制,完善管理系統,才能在日常的油田勘探工作中,真正將網絡信息安全體系建設落到實處。完善的油田網絡安全體制可以提高石油企業的經濟效益,提高中國石油企業管理水平,同時為中國石油企業的發展打下堅實基礎。一個良好的石油網絡安全體系,是石油企業長效發展的關鍵之處,更是推動中國石油發展事業的動力。
2.3 提高油田建設人員素質
建立專門的石油網絡信息安全體系,完善設備管理制度,最終還要提高相關建設人員的自身素質。在油田網絡信息安全體系建設的過程中,將任務落實到每一個人,提高其管理水平,才能保證設備管理工作的正常開展。要提高油田建設人員的素質,就要做好以下幾點:首先,加強相關管理培訓,一個合格的企業需要定期為員工進行相關的網絡安全管理培訓,在宣傳與教育中,提高每個員工的實際操作能力;其次,建立獎勵機制,對于一些表現出色的員工進行獎勵,激發員工之間的競爭意識,提高石油網絡安全建設人員工作的積極性與熱情。
3 結 語
隨著社會經濟的變化與發展,石油企業更應重視油田網絡信息安全體系的建設,在細微之處,將油田網絡信息安全管理落實到實處。從一點一滴做起,踐行“以人為本”的思想,以促進石油企業不斷發展與進步。
主要參考文獻
[1]劉鋒.吐哈油田企業信息化模型與方法研究[D].北京:中國地質大學,2013.
[關鍵詞]計算機;網絡信息;安全;防護
0引言
現如今,網絡與我們的生活密不可分,人們的工作、學習、娛樂都離不開信息網絡系統。網絡安全問題的重要性也隨之增加,認清網絡安全的影響因素,有效應對安全威脅十分必要。網絡信息安全是一門綜合性學科,通過對網絡系統軟硬件和數據的保護,將保障網絡服務的連續性與可用性。
1信息網絡的威脅因素
計算機網絡信息安全的威脅因素錯綜復雜,無法依賴某一種方法對其進行徹底的防范,我們應利用各種防范手段,從軟件供應廠商、網絡維護人員以及用戶等多方面考慮,建立起一個完備的計算機網絡信息安全防護體系,保護網絡信息安全以及用戶的隱私安全,創造一個良好的網絡環境。
1.1環境因素
信息網絡的硬件系統處在一個自然環境中,極易受到外界因素的影響,高溫、潮濕、電磁波、撞擊等都會對計算機造成損害。這些因素會讓計算機網絡維護工作面對巨大的困難,這些不可抗力的因素需要從計算機自身出發進行預防工作的開展。
1.2人為因素
人為因素包括兩個方面,用戶的不當操作和外部人員的惡性攻擊。一方面,用戶自身對賬戶信息保存不當或密碼設置過于簡單,都會引起信息的泄露;另一方面,外部人員的惡性攻擊,就是我們所說的黑客行為,他們利用網絡漏洞進行非法侵入,這種侵入行為包括主動攻擊和被動攻擊,主動攻擊會破壞網絡系統,造成系統癱瘓,而被動攻擊則是進行信息竊取,造成數據泄露。1.3病毒和間諜軟件計算機病毒是一種具有潛伏性、傳染性、破壞性和可觸發性的可執行程序,不易被發現,但在觸發后會破壞系統,造成數據丟失等惡性結果;間諜軟件對系統的破壞性較小,但其對用戶隱私危害極大,間諜軟件的主要目的就是竊取用戶信息。
2安全防范措施
計算機網絡安全防范措施將決定著計算機網絡能否正常應用,這對于整個計算機系統來說至關重要,因此,建立計算機網絡維護的安全防范機制至關重要。面對復雜的網絡安全威脅,我們需要采取有效地防范措施,保護用戶隱私和系統的正常運行。
2.1強化賬戶密碼安全
大多數網站都需要賬戶密碼登錄,用戶首先應注意避免在非法網站上進行注冊,以免泄露個人信息;另一方面,要注意密碼的強化,避免使用身份證或其他證件的數字作為密碼,密碼應具有一定的復雜性,盡量使用數字和字母的組合,另外,要避免多個網站使用同一套用戶名和密碼,尤其是網銀等涉及個人財產的賬號。簡易的賬戶密碼會給黑客進行網絡攻擊提供條件,因此強化賬戶密碼安全十分重要。
2.2安裝殺毒軟件
殺毒軟件是我們使用最多也是最直接的網絡防范工具,能夠查殺病毒、木馬等一切會對計算機造成危害的程序,需要注意的是,用戶應及時升級殺毒軟件,更新病毒庫,以備準確查殺病毒。
2.3安裝防火墻軟件
防火墻是一種特殊的網絡互聯設備,能夠有效加強網絡間的訪問控制,保護內部網絡資源。常用的防火墻軟件包括四種,一是型防火墻,也就是服務器,連接內部服務器與外部系統之間的通信。客戶端的請求數據直接發送給服務器,由服務器將獲取到的數據進行返回,以此保護內部服務器;二是地址轉換型防火墻,通過地址轉換,對外部網絡隱藏內部服務器的連接情況,利用外部的臨時IP保護內部網絡;三是過濾型防火墻,利用分包傳輸技術,分析各包中的信息來源是否安全可信,及時阻斷不安全的數據包;四是檢測型防火墻,這是一種新型技術,能夠通過實時主動的檢測,及時發現非法入侵,并且能夠同時防范內外部的不安全因素。防火墻軟件通常與殺毒軟件配合使用。
2.4更新漏洞補丁
美國威斯康星大學的一份報告中指出所有的軟件中都存在一定的漏洞,當這些漏洞被黑客或者病毒利用時,就會造成極大的安全隱患。為此,軟件廠商會及時相對應的補丁程序,用戶應及時更新漏洞補丁,增強安全防范。
2.5入侵檢測
入侵檢測是一種利用網絡通信技術、人工智能技術等進行監控的網絡防范手段,包括統計分析法和簽名分析法兩種,統計分析法基于統計學,綜合分析正常情況下的系統動作模式,以此為基準,判斷系統的實時動作是否存在異常;簽名分析法基于系統的已知漏洞進行安全防范,通過模板匹配,從已存在的攻擊模式簽名中發現問題。
2.6文件加密
文件加密技術在文件的存儲、傳輸過程中保證數據的安全性,同時提供數據完整性的鑒別。在數據的傳輸過程中,一方面可在線路上采用不同密鑰進行數據保密,另一方面也可對數據進行加密,在收信端進行解密,實現數據加密傳輸;數據存儲方面也有兩種加密方式,一種是通過加密模塊、密法轉換等對本地文件進行加密,另一種是存取控制,即對存取數據的用戶權限加以控制。
2.7數字簽名
數字簽名能夠準確辨別和檢驗電子文檔,是保證數據完整性的有效手段,包括一般數字簽名、基于非對稱加密算法數字簽名、基于對稱加密算法數字簽名、收信端不可抵賴的數字簽名以及基于時間戳的數字簽名。
主要參考文獻
[1]王穎波.計算機信息安全技術及防護研究[J].計算機光盤軟件與應用,2013(22):171-172.
【關鍵詞】網絡安全防護;安全威脅;數據加密
1.計算機網絡安全威脅的類型
1.1物理安全威脅
在現實世界中,很多系統的硬件設備極有可能因為身份識別錯誤而被暴力破壞,而且一些存儲有重要資料的硬件設備會被一些不法分子進行非法盜取,使得一些企業遭受嚴重的經濟損失。
1.2系統安全漏洞威脅
一些系統在開發過程中,由于參數配置有誤,或者編碼不夠規范的問題,導致出現了一些程序上的漏洞,這些漏洞將使得系統很容易被網絡中的各類病毒所侵入進來,因此需要對系統定期掃描,并利用補丁來修補漏洞。
1.3身份識別的安全威脅
由于用戶在登錄系統的過程中,很有可能受到釣魚插件的影響,再輸入口令和密碼錯誤的情況下導致口令被非法用戶竊取,而且有時候用戶在輸入了正確的口令以后,因為驗證算法本身設計得不合理使得身份識別錯誤,很多即使沒有登錄權限的用戶也能登錄到系統中來,形成了嚴重的威脅。
1.4木馬病毒的安全威脅
隨著計算機操作平臺上的許多木馬程序以及網絡病毒的自身和蔓延,以及相當一部分系統都開放了外部網絡的接口,這就使得很多計算機病毒得以乘虛而入,從而給依賴于操作平臺的軟件系統帶來嚴重的威脅,而且由于病毒的潛伏期較長,具有較快的傳染速度,一旦進入到系統中來,很可能帶來極大的破壞。
2.計算機網絡安全防范的相關技術
2.1入侵預防與檢測技術
系統在網絡層內置的入侵預防技術和檢測技術,兩者相輔相成,能夠為系統提供對內防護,對外攔截的及時響應機制。這兩項技術能夠在既定周期內檢測出各種非法入侵行為,并根據攻擊點來分析入侵對象,一旦發現并確認出是由病毒入侵或者用戶出現誤操作時,其能夠迅速調用后臺預防和檢測代碼為系統帶來安全可靠的實時保護。
入侵檢測技術則主要側重于通過同系統的網絡防火墻實行聯動保護,以此來使得系統中運行狀態中所有不合理的情況都能被偵測到。但是,兩者都會針對SQL強制注入,XSS攻擊等惡意入侵腳本進行嚴密攔截,從而確保系統的服務器和數據庫不會受到破壞。
2.2網絡防火墻技術
網絡防火墻,從其功能和實質上而言,主要是為系統內部網絡和外部網絡提供了一道虛擬的“墻壁”,以此來隔絕不同網絡之間所存在的非法信息傳輸,存取等操作行為。而且網絡防火墻的存在也使得網絡連接的入口和出口被嚴格控制起來,根據系統的總體安全策略來抵抗和攔截外部攻擊。從網絡防火墻技術的類型來說,大體可以分為以下三類:
第一種,是包過濾防火墻技術。該技術能夠按照既定的過濾規范及標準來檢測網絡傳輸層的數據包是否能夠通過防火墻。
第二種是,技術,該技術所獨有的中間檢查站,會在保護網絡和非保護網絡之間運行,然后對位于兩種網絡的所有請求加以檢驗,然后經由服務器進一步完成合法性的檢查工作,如果經檢查確認合法則通過,并將請求發送到后臺服務器中去,然后將服務器端響應的結果返回給用戶。
第三種則是結合了前兩種技術以后的第三代網絡防火墻,此類防火墻兼具兩種技術的優勢,且很好的避開了各自的缺點。
2.3數據加密技術
作為保護系統網絡安全的最佳技術,數據加密顯然能夠保證系統免收惡意軟件的侵害和攻擊,同時也能夠防止非法用戶的暴力侵入行為。目前數據加密的傳輸手段主要有三種形式:
1)鏈路加密。鏈路加密重點在于通過加密技術來控制系統物理層,然后完成對于數據鏈路的保護工作,而且由于使用鏈路加密并不需要考慮信源的因素,因而通信節點在數據發送方和接收方進行數據傳輸的過程中會發揮作用,將信息進行加解密操作,從而保證實現安全傳輸。
2)節點加密。此方法類似于上一種加密機制,通過在各信息節點設定密碼加密模塊,每一個被加密的明文都會在該模塊中實現加解密操作,而未經加密的明文則意味不需要考慮節點機的原因不會遭受來自鏈路層的攻擊。
3)端到端加密。這種加密手段側重于端與端之間的加解密操作,所有的數據只要經由發送方到達發送端,都會實現加密操作,然后當其到達系統的接收端時,就會被解密。該做法不但減少了密碼裝置的設定,而且提升了加密性能。
當前比較流行的數據加密算法主要包括對稱密鑰加密算法、非對稱密鑰加密算法以及不可逆加密算法。前兩種算法的唯一區別就在于是否使用相同的密鑰進行加密,最后一種算法區別于前兩者的地方就在于其不需要密鑰就可以完成對數據的加密操作。
2.4網絡安全掃描技術
網絡安全掃描技術是網絡安全領域的重要技術之一。安全掃描技術是檢查系統中重要的數據、文件等,通過以下兩種方法來檢測發現可被黑客所利用的漏洞:(1)端口掃描法。通過端口掃描得知目標主機開啟的端口以及端口上的網絡服務,并與網絡漏洞掃描系統提供的漏洞庫進行匹配,查看是否有漏洞存在;(2)模擬黑客的攻擊法。通過模擬攻擊,測試安全漏洞。漏洞掃描實現的方法大概可分為:漏洞庫的特征匹配方法,功能模塊(插件)技術。
3.總結
計算機網絡的安全問題隨著因特網的發展日益重要,由于計算機網路的開放性,網路很容易受到各種攻擊和破壞,無論在局域網還是廣域網中,都存在自然和人為等諸多因素形成的潛在安全威脅。我們在使用網絡的時候應該格外重要網絡安全性問題,從自身做起,規范上網行為,不隨意訪問不明網站,建立網絡使用規章制度,從而使整個網絡逐步走向安全和穩定的良好環境。
參考文獻:
[1] 王新峰. 計算機網絡安全防范技術初探[J]. 網絡安全技術與應用,2011,04:17-19.
[2] 楊光,李非非,楊洋. 淺析計算機網絡安全防范措施[J]. 科技信息,2011,29:70+93.
計算機局域網網絡在給生產生活帶來便捷的同時,也暴露出十分嚴重的安全問題,這就使得人們對局域網網絡的安全問題日益關注。文章總結了局域網網絡中存在的安全問題,并有針對性地探究了一些對策。
關鍵詞:
局域網;網絡安全;現狀問題;有效對策
局域網使人們的工作實現了信息化、電子化模式,并以其自身的廣泛性、開放性特點被普遍應用,但是也正是這些優點,也大大降低了局域網的應用安全性。局域網的易擴散、網絡開放、資源共享等特征,導致各種計算機信息在傳輸中以及發生丟失、遺漏、干擾等問題,甚至還會造成信息被破壞、被竊取等嚴重事件的發生。那么,如何有效解決局域網網絡安全現狀問題,是相關部門急需解決的問題。
1局域網網絡中存在的安全問題
筆者在調查中發現,當前局域網網絡在應用中還存在一些安全問題,不利于高效利用目標的實現。現將這些安全問題總結如下:(1)病毒入侵。計算機病毒的破壞性、潛伏性很強,這就使得局域網網絡極易受到木馬、病毒的侵害,局域網承擔著連接網絡的作用,如果未及時更新病毒或操作不當,就會讓計算機植入病毒,從而在數據傳輸中就會在感染服務器后再傳遞到其他計算機中。雖然很多計算機都安裝有防火墻,但仍舊無法避免局域網網絡內部的攻擊。計算機局域網網絡內部攻擊問題,通常可分為被動攻擊及主動攻擊。被動攻擊是指病毒截取、竊取、破譯重要信息,但網絡仍可正常運行;主動攻擊是指病毒選擇性地破壞數據的有效性及完整性。(2)惡意軟件入侵。惡意軟件指的是那些計算機未明確提示、未經用戶批準而強行安裝并運行的軟件。有些黑客通過惡意軟件實現盜取用戶信息數據的目的;有些惡意軟件借助對電腦攻擊或掃描,使計算機局域網網絡服務器不能正常運行,這就極易造成計算機信息泄露,甚至可給企業帶來嚴重的經濟及名譽損失。(3)管理人員素質不高。當前,很多計算機局域網網絡管理人員普遍缺乏專業知識,甚至有些管理人員是從其他崗位借調過來的兼職人員,他們對網絡安全專業知識了解有限,在他們看來計算機局域網的安全管理只是對廣域網的防護,對局域網網絡內部的危險因素沒有充分認識,并且尚不具備預防與解決局域網網絡安全問題的意識與能力。在這種情況下,局域網網絡安全管理成效就十分低下,從而導致在使用中頻繁出現安全問題,制約了局域網網絡積極作用的充分發揮。(4)尚未建立健全的安全管理制度。當前,雖然局域網安全問題頻發并且給使用者帶來了很多麻煩,甚至給企業帶來了嚴重損失,但是還沒有健全的安全管理制度對使用人員的行為及操作方法進行嚴格的規范,這就要導致越位訪問問題十分突出,從而給不法分子帶來了可乘之機。
2解決局域網網絡安全問題的對策
依據上文總結的,當前計算機局域網網絡中存在的一些安全問題,筆者在全面分析出現這些問題原因的基礎上,有針對性地探究了一些對策。
2.1謹慎挑選應用軟件
隨著計算機技術的迅猛發展,與局域網相關的軟件也豐富起來,比如游戲軟件、殺毒軟件、聊天軟件等,而這些軟件的安全性參差不齊,這就需要安裝人員謹慎選擇,因為有些軟件中隱藏有病毒,一旦攜帶有病毒的軟件被安裝到計算機后,病毒隨時會侵入計算機,從而就可較為容易地竊取、篡改或破壞計算機中的數據信息,進而大大降低數據信息的安全性,因此,在選擇安裝軟件時,應始終持以謹慎態度,以保證局域網網絡始終處于安全狀態。另一方面,局域網中的所有計算機均需要安裝有效的殺毒軟件,以隨時監控與查殺錯誤信息及外來病毒,還應及時更新病毒庫、升級軟件,并且還應安裝先進的病毒入侵檢測軟件,借助系統的識別能力嚴格限制攜帶病毒軟件的安裝,從而構建其較為安全的局域網網絡系統。
2.2科學建立網絡系統
計算機局域網網絡項目的主要任務是全面分析并合理設計網絡系統,從而有效提高網絡系統的科學性及安全性。為了解決數據在局域網中傳輸時被同一以太網中的節點截取而導致數據泄密事件的發生,安全管理人員應積極采取邏輯分段及物理分段兩種形式來嚴重控制局域網安全問題,從而從根源上減少局域網網絡問題的發生。在實際操作中,借助邏輯分段與物理分段可有效隔離敏感用戶級非法用戶,從而確保數據信息通常傳輸。另一方面,將傳統的共享集線器更新為交換集線器,也可較好地解決因非法用戶在以太網節點偵聽時截取數據問題的發生,并且還可預防病毒入侵問題,從而不斷提高局域網網絡的安全等級。
2.3提高服務器安全等級
要想提高局域網網絡安全等級,就需要重視對設備的管理,努力構建完善的安全管理制度,以有效預防非法用戶惡意進入局域網進行非法操作。管理人員應積極采取措施對計算機系統、網絡服務器、打印機等外部設備嚴加保護,經常性檢查、測試、維護各種設備的運行環境,從而確保計算機局域網網絡系統始終處于一個較為安全的工作環境中。另一方面,還應依照管理制度嚴重控制訪問情況,以保證局域網服務器可正常運行。對訪問情況的合理控制,是保證局域網網絡資源遠離被非法占用的有效途徑,并且也是提高局域網網絡安全等級的重要方法。通常情況下,常用的控制局域網訪問問題的模塊有權限控制、入網訪問功能、信息加密等。保密性是提升局域網網絡安全等級的有效形式,在儲存信息與傳輸信息的同時,依照數據等保密等級采取與之相適應的加密措施,從而實現對傳輸數據的有效保護,進而切實提高數據信息的安全性。
2.4提高管理人員素質
局域網網絡管理人員的素質高低直接影響了管理質量的高低。因此,在重視對管理人員素質的提升。在實際操作中應依據管理人員的實際情況為其制定合理的技能及專業知識培訓方案,促使他們及時更新管理技術、提升管理能力。比如,可定期邀請局域網網絡管理專家為管理人員開展專題講座、搭建局域網網絡管理經驗分享平臺等。從而使得管理人員充分認識局域網網絡安全的重大作用,并不斷提高自身的職責意識,一旦發現病毒,應借助自己的專業知識與業務能力恰當采取措施予以處理,并及時將相關情況匯報有關部門。只有這樣,管理人員才能將安全管理意識滲透到每一個工作細節中,并且有能力為局域網網絡安全運行保駕護航。
2.5完善安全管理制度
建立完善的計算機局域網網絡安全管理制度,是提高安全管理工作的基礎與前提。只有不斷健全安全管理制度,才能使得安全管理人員在處理安全問題時有法可依、有章可循,才能為計算機局域網網絡使用人員的安全操作提供幫助與指導。因此,計算機局域網網絡安全管理部門應深入調查各種安全問題形成的原因及危害性,并有針對性地制定完善而全面的安全管理制度。制度內容不僅應涵蓋對于局域網網絡安全有關的計算機軟件、硬件的管理與維護內容,而且還應涵蓋安全操作章程、訪問權限問題、軟硬件安裝及殺毒問題等。另一方面,計算機局域網網絡安全管理制度中還應對各種不安全操作、非法操作行為進行懲處的措施,以此來約束危險操作及惡意操縱行為。只有這樣,計算機局域網網絡才能始終處于安全狀態,才能充分發揮其優勢作用,才能規范而健康地發展。
3結語
總之,局域網網絡安全問題是制約局域網作用充分發揮的重要因素,因此管理人員應通過謹慎挑選應用軟件、科學建立網絡系統、提高服務器安全等級、提高自身管理素質等措施,確保局域網網絡的正常、安全運行,從而促使局域網網絡更充分發揮自身積極作用。
作者:張婷 周亞沛 單位:武警石家莊士官學校網絡安全教研室 武警沈陽指揮學院教研部戰斗模擬室
[參考文獻]
[1]王坤曉.局域網網絡安全存在的問題及對策探討[J].網絡安全技術與應用,2015(1):109,112.
[2]柳繼,龍波.計算機局域網網絡的安全現狀及對策分析[J].電腦知識與技術,2014(20):4687-4688.
[3]張志國.計算機局域網網絡安全問題以及相應對策探析[J].科技風,2014(15):197,199.
[4]李曉冉,鄧敏清,范喜妮.關于局域網網絡安全問題和措施的分析[J].電子技術與軟件工程,2016(1):214.
關鍵詞:實驗室;內部網絡;局域網;信息安全;管理辦法
基于整個互聯網基礎與結構進行分析,可以發現,局域網是互聯網結構中的一個非常重要的部分。其分布范圍非常廣泛,而且所承載的任務也非常重。特別是在當今的學校、企業、公司等各種單位中,對于局域網的應用可謂是遍布于每一個角落。通過設立局域網,可以使其在應用的過程中用戶在訪問互聯網的時候變得更加方便快捷,而且還可以實現資源的互通與共享,以此來帶動整體的工作效率提升以及信息高速傳遞。但是,由于當前在互聯網環境中病毒、木馬等有害程序肆意橫行,所以導致整個互聯網環境變得烏煙瘴氣。為有效抵制類似軟件對互聯網的侵害,務必要對其進行管理與控制。在該環境中,局域網的信息安全問題也日愈突出,特別是在針對各類實驗室的內部局域網的信息安全方面,其面臨的考驗與遇到的威脅日益加大。因此,對實驗室內部局域網信息安全問題進行有效的管理與解決,是當前實驗室內部局域網研究與發展過程中需要直接面對的一個問題,同時也是一個需要對其進行深入思考與分析的問題。針對于此,伴隨著互聯網大量的信息傳遞,以及局域網的使用范圍不斷地擴大,其在安全方面的可靠度以及在自由度方面的管控也越來越困難。為確保實驗室內部的數據信息絕對安全,保證實驗室內部局域網不被外來病毒侵害,對其進行研究的是一個迫在眉睫的工作。
1造成安全缺陷的原因分析
在當前,我國所使用的絕大多數局域網網絡通信協議都是TCP/IP協議,這一協議與Internet是相同的。所以,也比較符合當前各種黑客軟件以及病毒系統的攻擊范疇。自從局域網得到了大力的發展與推廣之后,黑客對網絡系統的攻擊從互聯網結構逐漸轉向了局域網結構。旨在通過更簡單的辦法,利用更快的速度,突破更弱的防線,獲得更大的利益。就如實驗室的內部局域網當中,黑客對其進行攻擊的時候會利用信息包展開分析與探索,通過對數據的分析與匹配之后,便會使廣域傳播的各種數據和信息完全暴露于透明空間中,從而方便黑客對其進行破壞與攻擊。結合當前我國的實驗室內部局域網的使用現狀以及安全狀況展開思考,可以發現,其在安全防護方面,以及網絡系統的防御方面具有很多漏洞。
1.1TCP/IP較為脆弱
首先是TCP/IP。TCP/IP是互聯網協議實現的基礎,也是維持整個因特網協議的整體結構。但是,值得關注的是,當前的TCP/IP在設計過程中,對于網絡的安全性能考慮的并不是非常到位,甚至可以用“沒有考慮安全性能”來對其定義。而且,在當今的網絡全球化普及的環境中,TCP/IP協議是面向全世界人群開放的,也是沒有任何保密意義可言的。因此,但凡是了解過TCP/IP協議的人,都會對其作出一個較為全面的分析與掌握,并且可以快速發現其中的問題,找到其中的安全防范漏洞,并且可以根據其弱點直接制作相關攻擊軟件與木馬程序對其實施網絡破壞和侵襲。這就是TCP/IP協議脆弱的主要原因,也是當今TCP/IP協議越發展越沒有安全保障的一大要素。而在實驗室內部局域網的應用中,能否對TCP/IP協議進行安全問題上的管理與優化,直接關系到了實驗室相關內容研究的進度以及質量,甚至會與科研成果以及科研事故產生緊密的聯系。
1.2網絡結構不健全
其次是網絡結構的不健全與不安全性。在互聯網的架構與應用和實現過程中,其所使用的是一種“網間網”的技術措施。換言之,“網間網”就是通過多個,甚至是無數個小型的局域網對其進行連接與架構,從而像一張不斷擴大、不斷編織的漁網一樣,將全世界的網絡用戶籠罩在其中,并且為所有的用戶提供相應的服務。在這一巨大網絡的構建中,有著數不清的主機和客戶服務端。在這一背景下,如果眾多主機中的一臺主機需要與另一臺主機進行聯絡和互通的時候,就必須要利用局域網的橋梁實現通信關系的建立。在此,便可以發現,在網絡黑客利用一臺主機對另一臺主機進行攻擊的時候,且攻擊的主機處于數據流傳輸路徑時,此時的網絡黑客便可以輕而易舉的對被攻擊的主機進行肆意的修改與數據調換。所以,在實驗室內部局域網的安全問題管理過程中,還需要對網絡結構做出相應的分析與思考,并且要探索該通過怎樣的方法才能有效提高網絡結構的安全性與實際應用價值,以及通過怎樣的方法來體現網絡結構的健全性和可靠程度。
1.3易被破壞被竊聽
在實驗室內部局域網的正常工作過程中,很少有主動加密的網絡。一般使用者都認為,基于互聯網的大平臺有著信息加密與安全防護功能,所以在實驗室的內部局域網上沒有必要再設計加密項目。在此需要提出,這一認知是完全錯誤的,而且會嚴重的妨礙到實驗室內部局域網的安全性與可靠性,甚至會導致實驗室的內部實驗數據得到泄露與丟失。為確保這一情況不會發生,務必要對當前的實驗室內部局域網作出全面的分析與判斷,以此了解其安全性的高低,以及防護措施的嚴密程度。若其安全性與防護措施無法達到既定的要求與標準,一定要想辦法對其進行提升,以確保實驗數據的安全,以及實驗室內部局域網絡的可靠程度。因為當前的互聯網信息傳輸過程中,很多數據在傳輸時都是自動傳輸的,而且是沒有任何加密措施的,所以如果有人蓄意對其進行破壞,只需要利用電子郵件以及一些其他的木馬程序和口令便可完成。實現對其進行監控、盜取、破壞以及竊聽等。如果該安全問題發生在實驗室的內部局域網中,那么后期的損失是無法估量的,而且前期所研究數據安全也無法得到有效的保障。
1.4缺少必要的防范
隨著互聯網技術的不斷發展與壯大,以及當前的網絡安全問題日益嚴峻,很多人對于實驗室內部局域網絡的安全性以及可靠性也逐漸的重視了起來,并且提出了很多看法與意見,力求對其進行高效的管理與控制,從而確保在后期的局域網應用過程中盡量避免被網絡黑客以及網絡木馬攻擊與破壞的概率。但是,因為當前很多設計人員缺乏必要的網絡安全認知,以及缺少相關的理論和實踐能力。所以在對實驗室內部局域網的安全性和可靠性進行重新設計與提升的過程中都無法實現高效率與高質量的目標達成。反而會因為設計不周以及管理不當出現意料之外的問題。這不僅會影響到實驗室的工作開展,甚至會破壞實驗室已有的研究成果與數據信息。另外,還有部分實驗室內部局域網中,其安全系統以及安全防護功能形同虛設,在面對一般等級的網絡病毒攻擊時,就會表現出無法應對的狀態。歸根結底,造成這一問題的原因在于人為因素。比如,很多人在設計和管理的過程中,為了躲避防火墻服務器對其進行額外的認證與監管,會對PPP進行直接的連接,這就會導致防火墻的原有功能失效,而且會導致內部資源的流失。
2安全技術的應用方法
在當今信息技術與互聯網科技飛速發展的背景下,網絡安全與信息安全是其中的重中之重。在實驗室內部局域網的應用與安全管理方面,其安全技術必須要有一個較為完善的機制,并且需要在該安全機制上進行特點的體現以及系統保密性的強化。只有在這一基礎上,才能夠有效實現實驗室內部局域網的靜態防護和可用性提升。特別是在當今的互聯網普及階段中,以信息保障技術框架為主所建立起來的標準模式為廣大用戶提供了一個可視化的信息安全結構,在該結構中,可以反映信息安全的保障措施與方法技術,從而有效避免了單一的防護措施和檢測過程。利用該方法,能夠大大提升實驗室內部局域網的信息安全性,確保其在防護過程、檢測過程以及響應過程和恢復過程中能夠實現高效的統一與銜接。
2.1典型信息安全管理技術的分析
(1)關于環境安全、媒體安全以及設備安全的物理安全技術。(2)關于操作系統安全、數據庫安全以及數據系統安全的整體系統安全技術。(3)關于網絡隔離、VPN、訪問控制、掃描評估以及入侵檢測的網絡安全技術。(4)關于Web訪問安全、電子郵件安全以及內容過濾和應用系統安全的應用安全技術。(5)關于硬件安全、軟件安全、硬件與軟件加密安全、身份認證安全以及數據信息CIA特性的數據加密技術。(6)關于口令認證、證書認證以及SSO認證的認證授權技術。(7)關于訪問控制列表以及防火墻的訪問控制技術。(8)關于日志審計、入侵檢測以及辨析取證的審計跟蹤技術。(9)關于單機防病毒系統發展,以及整體防病毒體系的防病毒系統建設技術。(10)關于業務連續性技術和數據備份的問題回復與備份技術。以此作為典型信息安全管理技術的分析,可發現,在不同應用范圍的局域網中,其發生問題的實際情況也不盡相同。因此,我們務必要強化實驗室內部局域網的信息安全技術,并且要對其進行防護措施的提升,以此為其提供可靠地運行環境與運行空間。
2.2可采取的信息安全防護措施
在此,可以結合大型局域網對其進行分析與研究。如:(1)規劃網絡。在面對一些較為重要的基礎服務器,以及較為特殊的用戶和設置不同的網段時,可以對其進行安全策略的分析與匹配,以此來有效控制訪問權限的問題。(2)需要對局域網的漏洞進行定期檢測,同時需要對其進行全盤掃描,在生成數據信息之后,需要將之進行深入的分析,以此明確安全防護的狀態與等級,該數據信息可作為一種實驗室內部局域網安全問題管理工作開展實施的有效參考憑據。(3)可以通過構建WSUS服務器對其進行網絡的升級,從而提升實驗室內部局域網的實用性,同時還需要對網絡安全進行即時監控,并根據問題快速開發相關補丁作出漏洞和問題的修復處理,保證把問題扼殺在萌芽之中。(4)可以利用無線網絡構建安全認證機制,以此來確保無線網絡的正常接入與認證服務管理。(5)需要對局域網進行服務器的裝配,并且需要將其置于用戶的網絡當中,以此作為探針進行應用。該方法可有效確保對網絡應用狀況的實時了解與分析,并且還可以反應網絡的故障問題和關鍵點。(6)可設計專門用于UPN的網絡設備,以此來管理內部服務器以及控制遠程端口。使其達到統一白的認證標準與要求。這樣可以提高管理的效率,降低問題發生的概率。(7)需要對被采集的流量數據進行分析,從而全面了解實驗室內部局域網的控制狀況與不良信息。(8)需要構建安全門戶,以確保網絡信息的安全與正常宣傳。(9)需要建立損壞恢復與備份系統,為實驗室各種數據資料提供高效的保存空間。(10)需要明確防火墻的重要性,體現對防火墻部署的邊界意識。
3安全的管理
解決網絡及信息系統的安全問題不能只局限于技術,更重要的還在于管理。安全技術只是信息安全控制的手段,要讓安全技術發揮應有的作用,必然要有適當的管理程序的支持,否則安全技術只能趨于僵化和失敗。只有將有效的安全管理從始至終貫徹落實于安全建設的過程中,信息安全的長期性和穩定性才能有所保證。現實世界里大多數安全事件的發生和安全隱患的存在,與其說是技術上的原因,不如說是管理不善造成的。理解并重視管理對于信息安全的關鍵作用,對于真正實現信息安全目標來說尤其重要。我們常說,信息安全是三分技術七分管理,可見管理對于信息安全的重要性。信息安全管理作為組織完整的管理體系中一個重要的環節,構成了信息安全具有能動性的部分,是指導和控制組織的關于信息安全風險的相互協調的活動。
關鍵詞:安全防護;計算機技術;有效措施;研究分析
中圖分類號:TP309
當前的科學技術發展可謂是日新月異,經濟的迅猛發展也全面的帶動了各個行業的技術提升,我國當前的經濟、軍事、政治等領域的工作,也都處于不斷前進的局面之中。其中,計算機的信息安全,作為各行各業的工作重點,正在被更多的人重視,而通過網絡技術的推廣,通過信息安全防護技術的運用,可以進一步的增強計算機的安全性。對于計算機的用戶而言,要想加強計算機的數據安全,就應當形成良好的保護習慣,尤其需要對惡意的軟件進行防護,避免自己的重要資料被盜取。當前常用的安全防護技術有防火墻技術、數據加密技術以及病毒防護引擎等。
1 計算機信息安全防護主要措施
正如上文所分析到的,要想保證用戶在計算機之中的資料和信息得到應有的安全保障,就應當采取恰當的、妥善的安全防護技術。防火墻技術、數據加密處理技術以及病毒防護技術等,是當前最為常用且有效的防護手段。
1.1 數據加密安全防護技術
針對計算機的數據進行加密,相當關鍵,密碼文字可以實現一定的保護性,同時,通過密碼文字的保護,就算自己計算機之中的數據被竊取,依然可以通過備份的方式,使得數據文件得到還原。但是需要注意的是針對計算機數據資料的保護并不是只能夠通過密碼,要想實現對計算機數據文件的全方位保護,還應當使用加密的密鑰。當前最為常用且有效的方式是DES計算法,通過相關技術的使用,采用非對稱加密的方式,將密鑰設置成為不同的數值,使得每一個計算機用戶的文件以及資料數據均可以得到有效的防護,每一個對應的用戶均可以有兩個完全不同的密鑰,所以,當計算機遭受攻擊之時,其密鑰的設置可以使得整個數據文件多了一層保護,通過非對稱的設置形式,使得計算機的數據受到雙重保護,所以,相關技術應當得到進一步的推廣使用。
1.2 病毒引擎安全防護技術
除了上述分析的數據加密防護技術之外,當前計算機信息常用的安全防護措施還有病毒的防護引擎。病毒是對計算機威脅相當大的一種安全隱患,尤其對于計算機的網絡安全來講,如果對病毒的防護不到位,則會導致相當大的安全隱患。首先,需要采用智能防護引擎,這樣可以實現對各個不同病毒的特征碼掃描,進一步的增強防護水準,另外,還可以將病毒的掃描進行一定的改進及整合,使得數據庫的安全性得到增強,解決存在的安全問題。其次,還應當對未知的病毒進行檢查,采用有效的病毒檢測及防護技術,全面突破傳統病毒掃描技術的缺陷及限制,采用各種高新技術相互結合的形式,實現對未知病毒的檢查與搜索,加強計算機對于病毒的免疫。其中,需要注意的是,針對病毒的防護,主要應當以加強數據保護區的防護以及磁盤的防護為主,全面增強計算機對于病毒的免疫能力,使得整個防護的過程實現高度整合的局面。在病毒攻擊之時,則進行快速且徹底的查殺,對于電腦起到極佳的保護作用。但是,由于相關操作和端口等,可能會受到病毒防護的影響,所以不少措施當前的應用還是相當被動的。主要常用的病毒防護軟件有NetAnt以及Outlook等。最后,對病毒進行智能壓縮還原,也是今后研究的重點方向,將相關壓縮文件信息進行打包處理,進一步的還原其中的資料,增強病毒處理的完整性,進而可以在掃描過程之中準確徹底的將病毒找出。
1.3 防火墻安全防護技術
最后,防火墻技術也是當前計算機信息安全防護的主要方式之一。通過防火墻技術的使用,可以使得網絡的安全性進一步增強,實現高效且準確的網絡過濾,對于病毒的掃描而言,還應當充分的實現網絡數據驗證,實現數據包的正常使用,采用端口檢查以及地址的使用,充分體現出防火墻技術的相關優勢,在通常的情況之下,采用防火墻技術,可以根據相關的合法性依據來進一步判定連接是否處于正常狀態,所以,在計算機之中的病毒也就逐步出現了不同的內容,而使用防火墻技術則可以增強病毒數據的流露,使得掃描可以更加順暢的進行,在很大程度上組織了BOT以及WORM等的入侵。通過適當的簽名和網絡引導,使得病毒的檢查和掃描工作可以更加順暢的進行,通過上述管理方式的應用,還可以使得計算機網絡的流量穩定性得到增強,將報文以及不同的文件數據進行重新的整合及處理,這樣可以更加方便快捷的解決相關網絡文件安全問題。另外,檢查本地文件的安全性也可以為計算機網絡的防范起到較好作用,通過對非正常文件以及數據的檢查,可以實現對網絡漏洞的掃描,進而起到較好的防范效應。通過對相關端口的掃描機處理,以便更好的提升網絡服務安全性,進一步的增強信息含量,提升網絡漏洞的處理質量,對存在的問題進行排查。應用各種手段實現對攻擊的模擬,實現對病毒數據的相互匹配,增強網絡的安全性。
一般來說,開放的網絡中,安全的防護是必須的,對于網絡之中的黑客攻擊,也引起高度重視,所以僅僅采用局部性的處理方式,難以取得較好的效果,還應當進一步的實現開放式的防護,實現高效的病毒處理及掃描,對此,防火墻只能對非法訪問通信進行過濾,而入侵檢測系統只能被用來識別特定的惡意攻擊行為,需要采取針對性的對策部署以便于能夠增強系統穩定性,使得網絡的環境進一步得到優化。綜合上述的分析,當前計算機網絡安全防護過程之中,還需要加強技術的分析與研究,逐步的改善網絡環境,更好的促進網絡效益的發揮,加強防護技術的應用水準,保證整個計算機網絡可以處于長期穩定健康的發展局面。防火墻技術、數據加密處理技術以及病毒防護技術等,是當前最為常用且有效的防護手段,在實踐中還需加強應用,加強對技術的分析與探討。
2 結束語
綜上所述,根據對當前計算機安全防護技術進行綜合性的研究,從實際角度出發論述了相關技術重點及難點,同時對實踐工作當中可能出現的問題和需要重點改進的部位進行了綜合性的研究,對主要的防護措施及防護方案進行了探析,旨在不斷促進計算機安全防護水準的提高,為今后的技術完善奠定基礎。
參考文獻:
[1]陳峰.信息安全計算機安全防護技術的研究現狀及發展[J].中國人民公安大學學報(自然科學版),2009(02).
[2]周熙.軍用計算機安全與計算機安全防護技術病毒防范探析[J].現代軍事,1996(01).
[3]王輝.關于政府財政部門計算機安全防護技術信息安全問題的思考[J].中國科技信息,2008(23).
[4]文華.分析計算機網絡存在的危險因素及防范措施[J].黑龍江科技信息,2010(32).
關鍵詞:計算機;網路維護;重要性;安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)30-0034-03
隨著經濟與科技的高速發展,使人們逐漸步入信息化社會,計算機成為人們生活中必不可少的應用工具。計算機的應用與普及為人們的生活帶來了極大的便利,但同時基于計算機網絡本身的復雜性和開放性,其網絡安全問題成為應用過程中的重要問題,因此加強計算機網絡維護至關重要。下面本文將以計算機網絡維護的必要性為切入點,對如何進一步加強計算機網絡維護進行詳細分析,以促進計算機網絡應用更加安全、高效。
1 計算機網絡維護工作必要性分析
計算機網絡維護工作的有效開展是保障計算機應用安全的基礎工作,通過計算機網絡維護能夠實現系統設備運行保護。計算機運行過程中主要包括硬件維護與軟件維護兩部分內容,只有保證硬件與軟件兩個部分維護工作到位,才能保證其正常工作運行。換句話說只有保證硬件和軟件兩個部分維護工作到位,才能保證計算機運行系統不受病毒侵害,避免出現運行故障。
同時,在計算機網絡維護工作中能夠對計算機信息使用安全有所保證。保障用戶的安全是計算機網絡運行與維護的關鍵任務,計算機應用與網絡運行中具有較高的開放性,這就使計算機用戶的個人信息安全受到威脅。由于計算機運行會涉及用戶的個人信息,所以若計算機運行網絡出現不安全因素,將直接影響信息應用安全性,給計算機用戶帶來不可估量的損失。因此,在計算機網絡運行中加強網絡維護十分必要,提高系統整體運行安全性,增強系統安全性設置。例如在網絡應用中加強網絡登錄密碼設置,加強風險控制,限制陌生賬號登錄等等。
2 加強計算機網絡維護工作的主要措施
2.1 加強網絡維護技術方法分析
為有效強化計算機網絡維護,要對計算機軟件進行規范化管理。軟件系統的安全與計算機網絡維護之間有著本質聯系,直接對計算機網絡運行安全有著應縣。專業的計算機網絡維護技術人員要加強對軟件系統安全處理,例如充分利用網絡防火墻技術增強網絡安全系數,應用高科技檢測系統,實現安全保障體系構建,通過兩者配合共同發揮出安全保障作用,提高計算機網絡安全綜合性能。
同時對計算機網絡安全控制要進行相關權限設置,只有通過識別口令方可進行網絡訪問。技術人員對計算機進行權限設置,保證計算機網絡應用與崗位要求適應,獨具出現無關人員進行網絡登錄和入侵,從源頭上最大限度降低網絡安全風險。在進行權限與口令設置的過程中要注重其安全系數,并對口令進行定期檢查與更新,保障其安全性。另外,對計算機網絡維護技術的應用要注重檢測與殺毒工作的進行。計算機若受到病毒侵襲影響,其相關資源與程序就會受到病毒影響,病毒借助其自身特性依附于網絡介質上對計算機系統進行入侵破壞。所以針對網絡病毒開展預防工作,定期對計算機網絡進行檢測和殺毒,提高病毒的滅殺效率十分重要。
2.2 構建計算機網絡維護管理體制
實現計算機網絡維護管理體制是加強計算機安全維護的基礎工作,也是保障網絡維護的規范的關鍵任務。在系統與規范的管理體制下一方面能夠進一步規范技術人員維護工作,認清工作職責,另一方面也能夠增強性系統維護可靠性,提高計算機網絡維護整體效率。計算機網絡維護工作是一項系統性工作,為提高系統維護效率,加強維護檔案管理十分必要。通過計算機維護檔案的構建,能夠明確計算機網絡維護狀況,對常見的以及典型維護故障進行記錄,這對后續計算機網絡維護工作有著參考作用,一旦出現相關故障技術人員能夠迅速判斷出故障類型,并作出有效用對手段,最短時間內解決該故障問題,降低用戶損失,提高安全性。
另外通過構建計算機網絡維護管理體系,能夠提高維護工作人員的整體工作效率,對計算機網絡運行系統充分了解,在掌握基礎維護知識的同時進一步把握網絡運行情況。只有不斷提高對網絡環境運行情況熟悉度,才能提高對網絡故障根源查找的速度,實現最快處理。換言之加強專業技術人員對網絡運行情況的熟悉,能夠最大限度將問題控制在萌芽期,這對保障計算機網絡運行整體安全維護有著重要意義。
2.3 改善計算機網絡維護環境及效率
要想實現對計算機網絡環境的有效維護,需要針對故障問題進行有效分類,通常情況下,應當結合故障屬性將故障進行不同類別的劃分,當前主要可以分為兩個方面,邏輯故障類型與物理故障類型。
物理故障類型主要是指計算機當中出現線路與硬件設備問題情況。此外,電路插線板以及電磁干擾等也可以歸類在物理故障范圍當中。邏輯故障則主要是指因為配置發生錯誤,造成計算機當中相關參數設置無法進行有效匹配形成的故障問題。例如,路由器端口參數錯誤設置、掩碼其設引發的網絡邏輯故障。
類型劃分過程中,也可以根據故障對象差異完成,例如計算機網絡故障可以具體劃分為路由器故障、主機故障以及線路故障類型。計算機故障當中路由器產生故障情況幾率較高,這是因為路由器對于整個網絡當中進行中轉設置,線路故障問題一般會表現在線路不暢方面,主機發生故障情況則多由于配置參數出現錯誤造成。例如IP地址不存在,也就會造成主機不能夠得到正確連接。通過借助于科學方式,對計算機當中程序以及方案進行維護。故障發生之后,首先需要對故障所屬類型進行初步判斷,同時對故障現象給予詳細記錄,并進一步對故障產生原因進行排查,縮小故障可能發生范圍,并判斷確定故障發生部位。其次,需要對發生故障的主要部分采取隔離的方式,并對故障部分進行調整或者是更換,通過這種方式消除可能存在的故障,并最終恢復網絡運轉。
2.4 加強維護人員綜合素質培養
現代社會環境當中計算機網絡技術應用與發展進一步加快,相關技術人員維護工作能力與技術性都應當進一步提升,并需要不斷學習,真正做到技術水平與計算機網絡之間的同步發展,只有這樣才能夠達到與計算機網絡之間的有效維護。為此,在進行操作過程中,還應當針對計算機維護操作人員進行必要的培訓,通過定期或者是不定期方式,加強技術人員的專業能力。計算機網絡屬于實時運行過程中的一種動態網絡形式,其中信息內容瞬息萬變,計算機相關技術維護工作開展不僅需要擁有扎實的理論基礎,還應當具有針對問題的分析能力,針對可能存在的問題,需要快速找到問題癥結所在,并采取有效措施加以解決。除此之外,也需要故障進行詳細記錄,目的是為了再次發生問題的情況能夠快速及時解決故障問題。計算機網絡用戶為計算機網絡主體在網絡維護工作中除了工作人員呀提高維護技術和維護意識,同時計算機用戶也要增強網絡應用安全意識,正確安全應用計算機網絡,保證計算機維護效果達到最佳。
強化計算機網絡維護管理人員的責任意識的培養是提高綜合素質培養的重要內容,網絡維護中諸多安全隱患都是由于工作人員責任意識不強,缺乏規范操作造成。因此提高網絡維護人員業務員素質的同時,強化責任教育,使維護管理人員能夠嚴格按照規范進行性操作,保障工作效率。同時也要相應提高網絡維護管理人員的準入門檻,加強考核評比,提升維護管理人員綜合效率及維護工作成效。
通過對網絡維護與管理人員專業素養的培養,能夠有效提高計算機網絡維護工作效能。網絡維護相關工作人員積極對常見的網絡故障進行記錄,并對其危害和影響進行記載,同時對設備維護管理進行文檔備份,建立網絡維護日志,為系統今后運行管理提供有利參考,對障礙的排除打下扎實基礎。計算機網絡維護管理人員要對當下計算機軟件系統與硬件系統應用進行分類把握與管理,提高行業認知深度,同時增強自身風險意識,科學設置防御體系,實現系統穩定和安全保護。
3 計算機網路維護工作的思考總結
3.1 有效提升計算機當中網絡環境質量需要從多方面著手
第一,需要對網絡配置進行水平提升,加強在網絡存儲配置信息、應用軟件安裝、網絡拓撲等多個重要方面加以管理,并能夠實現計算機網絡當中的有效運行。第二,針對故障采取有效措施進行管理。在網絡當中故障發生頻率較高,因此需要對故障進行有效的預防,并采取定期檢測與殺毒等工作。同時,還需要對配置完成升級,確保網絡系統有效運行。第三,需要進一步提升計算機網絡性能管理水平。通常情況下,可以運用ping命令完成性能檢測,當然,檢測技術需要充分結合數據當中不同類型指標完成對現有問題的一種確認,并通過這種方式確定與排除故障,提升系統實際運行速度。第四,加強對計算機網絡運行的安全性水平。針對計算機網絡環境當中可能存在的風險進行評估與針對性控制,并通過應用生命周期管理、動態靈活管理、系統化掛歷等多種類型方式,通過這種方式能夠有效提升網絡安全性水平,加強對系統機密性、高效性以及整體性水平。
3.2 加強計算機網絡維護的資金、技術與人才投入
針對計算機進行網絡維護能夠有效確保工作環境的安全穩定,因此,應當得到重視。在整個網絡環境當中加強對成本方面投資,對網絡維護具有重要意義。一些企業當中會加強自身人才隊伍建設,通過這種方式實行對計算機網絡方面的維護。一些能力較低的企業則更加需要加強對網絡進行必要的維護,一方面可以通過聘任專業的隊伍實現維護,當前企業當中,較多情況是企業忽略對計算機網絡方面的維護,投入有限。當出現問題情況下,勢必會在成十分嚴重的負面影響。針對計算機網絡運行當中的資金與人才投入能夠更好實現網絡安全。
3.3 加強計算機網絡技術安全高效開發
在對計算機實現維護的同時,需要把握住其中重點內容,也就是對計算機網絡安全方面的維護。只有在十分健全的安全技術開發當中才能夠有效確保計算機網絡安全。當前,人們主要使用的防護墻、智能卡以及金山毒霸與360等均屬與安全系統較高的軟件類型。在應用到計算機網絡安全性文虎的過程中,能夠有效防止病毒入侵,并可以加強計算機方面的運行檢測能力。通過及時檢測,可以快速準確的發現故障問題。一旦確定問題部分,就可以在第一時間進行預警與反饋,并采取自動處理,確保系統在運行的過程中,始終處在安全狀態當中。為此,實現對計算機網絡安全性技術應用的開發與應用,對計算機網絡技術的發展都具有重要價值。
總之,在進行計算機網絡安全性維護時,加強對穩定性以及安全性等方面的研究與設計都具有重要意義,相關管理人員需要結合實際情況,利用有效措施進行維護與管理,并能夠切實加強對系統安全性方面的操作性水平提升。
4 結束語
綜上所述,人們的生產生活已離不開計算機的高效應用,由于計算機的開放性造成較多的計算機安全問題,給人們帶來了嚴重的經濟財產損失,因此加強計算機網絡維護,保證網絡安全成為計算機管理工作中至關重要的構成部分。在計算機網絡維護工作中要加強技術應用,只有在專業的技術人員有效操控下,才能保證計算機運行安全。在今后的維護工作中要不斷引進先進理念和先進技術,加強網絡知識應用,提高計算機網絡維護效果,保障計算機應用安全。
參考文獻:
[1] 吳凱聲. 21世紀電信網絡運行質量管理的創新[C]//亞太質量組織(AsiaPacificQualityOrganization). 第八屆亞太質量組織(APQO)會議論文集. 亞太質量組織(AsiaPacificQualityOrganization), 2002: 11.
[2] 何薇. 關于醫院計算機網絡安全管理工作的維護策略分析[J]. 企業改革與管理, 2014(14): 23.
[3] 王珠珠, 劉雍潛, 李龍,等. 《信息技術的應用與普及對教育的影響與對策研究》專題研究報告[C]//教育技術: 信息化階段新發展的研究. 2007: 110.
[4] 郭威, 曾濤, 劉偉霞. 計算機網絡技術與安全管理維護的研究[J]. 信息通信, 2014(10): 164.
[5] 顧曉軍. 基于醫院局域網中計算機網絡維護的研究[J]. 數字技術與應用, 2014(10): 164.
[6] 宋國際, 蘭繼明, 李東燕. 關于計算機網絡維護工作的若干思考[J]. 電子制作,2015(3):155.
關鍵詞:網絡入侵;入侵檢測系統;信息安全
中圖分類號:TP311 文獻標識碼:A文章編號:1009-3044(2009)35-9947-05
Network Safety Technology Research
ZHENG Xiao-xia
(The Basis of Teaching and Research, Dezhou Vocational and Technical College, Dezhou 253000, China)
Abstract: With the rapid development of networks, network information security problems are exposed. In this paper, the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis, the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.
Key words: network intrusion; intrusion detection systems; information security
1 前言
1.1 因特網的發展及其安全問題
隨著計算機網絡應用的廣泛深入,網絡安全問題變得日益復雜和突出。網絡的資源共享、信息交換和分布處理提供了良好的環境,使得網絡深入到社會生活的各個方面,逐步成為國家和政府機構運轉的命脈和社會生活的支柱。這一方面提高了工作效率,另一方面卻由于自身的復雜性和脆弱性,使其受到威脅和攻擊的可能性大大增加。眾所周知,因特網是世界上最大的計算機網絡,它連接了全球不計其數的網絡與電腦。同時因特網也是世界上最開放的系統,任何地方的電腦,只要遵守共同的協議即可加入其中。因特網的特點就是覆蓋的地理范圍廣,資源共享程度高。由于因特網網絡協議的開放性,系統的通用性,無政府的管理狀態,使得因特網在極大地傳播信息的同時,也面臨著不可預測的威脅和攻擊。網絡技術越發展,對網絡進攻的手段就越巧妙,越多樣性。一方面由于計算機網絡的開放性和信息共享促進了網絡的飛速發展,另一方面也正是這種開放性以及計算機本身安全的脆弱性,導致了網絡安全方面的諸多漏洞。可以說,網絡安全問題將始終伴隨著因特網的發展而存在。所以,網絡的安全性同網絡的性能、可靠性和可用性一起,成為組建、運行網絡不可忽視的問題。
1.2 我國網絡安全現狀及其相關法律與制度
1.2.1 我國網絡安全現狀
2007年“熊貓燒香”病毒的制作者成功抓獲并被判刑,說明了政府高度重視網絡安全問題。目前,國家依據信息化建設的實際情況,制訂了一系列法律文件和行政法規、規章,為我國信息化建設的發展與管理起到了有利的促進和規范作用,為依法規范和保護我國信息化建設健康有序發展提供了有利的法律依據。
1.2.2 我國網絡安全相關法律與原則
2003年中辦下發的《關于加強信息安全保障工作的意見》是目前我國信息安全保障方面的一個綱領性文件。
我國網絡信息安全立法的原則
1)國家利益原則。當今天信息已成為社會發展的重要戰略資源,信息安全成為維護國家安全和社會穩定的一個焦點。信息安全首先要體現國家利益原則。
2)一致性原則。要與在我國現行法律和國際法框架下制定的法律法規相一致,避免重復立法和分散立法,增強立法的協調性,避免立法的盲目性、隨意性和相互沖突。
3)發展的原則。信息安全立法既要考慮規范行為,又要考慮促進我國國民經濟和社會信息化的發展。
4)可操作性原則。要對現實有針對性,對實踐有指導性。
5)優先原則。急需的先立法、先實施,如信息安全等級保護、信息安全風險評估、網絡信任、信息安全監控、信息安全應急處理等方面要加緊立法。
2 網絡安全協議
2.1 網絡安全協議對維護網絡安全的作用
Internet的開放式信息交換方式使其網絡安全具有脆弱性,而實現網絡安全的關鍵是保證整個網絡系統的安全性。目前幾乎網絡的各個層次都指定了安全協議和具備了相應的安全技術,網絡安全協議可很好的保護信息在網絡中傳播。在安全領域,一種“安全協議”被定義為“一種控制計算機間數據傳輸的安全過程。
2.1.1 第二層隧道協議(L2TP)
第2層隧道協議(L2TP)是點對點隧道協議(PPTP)的一個擴展,L2TP數據包在用戶數據報協議(UDP)端口1701進行交換。ISP使用L2TP來建立VPN解決方案,使用該方案,用戶可以在載波網絡中更多地利用VPN的優點。由于L2TP符合國際標準,因此不同開發商所開發的L2TP設備的協同能力大大增強。L2TP VPN已經成為提供商使用的產品。在裝有Cisco的網絡中,端到端的服務質量(QoS)可以通過QoS技術的使用來保證IPSec負責數據加密,它同樣也是一種國際標準。IPSec對每個數據包的數據進行初始認證、數據完整性檢測、數據回放保護以及數據的機密性保護。從設計上來看,L2TP支持多協議傳輸環境,它能夠使用任何路由協議進行傳輸,包括IP、IPX以及AppleTalk。同時,L2TP也支持任何廣域網傳送技術,包括幀中繼、ATM、X.25或SONET,它還能夠支持各種局域網媒質,如以太網、快帶以太網、令牌環以及FDDI。L2TP使用因特網及其網絡連接以使得終端能夠頒布在各個不同的地理位置上。L2TP的最大安全之處在于它使用了IPSec,IPSec可以為連接提供機密性、數據包的認,以及保護控制信息和數據包不被重新發送。
2.1.2 IPSec的技術優勢:
為數據的安全傳輸提供了身份驗證、完整性、機密性等措施,另外它的查驗和安全與它的密鑰管理系統相連。因此,如果未來的密鑰管理系統發生變化時,IPSec的安全機制不需要進行修改。當IPSec用于VPN網關時,就可以建立虛擬專用網。在VPN網關的連內部網的一端是一個受保護的內部網絡,另一端則是不安全的外部公共網絡。兩個這樣的VPN網關建立起一個安全通道,數據就可以通過這個通道從一個本地的保護子網發送到一個遠程的保護子網,這就形成了一條VPN。在這個VPN中,每一個具有IPSec的VPN網關都是一個網絡聚合點,試圖對VPN進行通信分析將會失敗。
目的是VPN的所有通信都經過網關上的SA來定義加密或認證的算法和密鑰等參數,即從VPN的一個網關出來的數據包只要符合安全策略,就會用相應的SA來加密或認證(加上AH或ESP報頭)。整個安全傳輸過程由IKE控制,密鑰自動生成,所有的加密和解密可由兩端的網關,對保護子網內的用戶而言整個過程都是透明的。
2.2 安全Shell(SSH)
安全Shell或者SSJ常用于遠程登錄系統,和過去使用的Telnet具有相同的目的。然而Telnet和SSH的最大區別是:SSH大大加強了其連接的安全性。SSH是一個應用程序,它為不可靠的、存在潛在危險的網絡(如因特網)上的兩臺主機提供了一個加密的通信路徑。因此,SSH防止了用戶口令及其他敏感數據以明文方式在網絡中傳輸。SSH解決了在因特網中最重要的安全問題:黑客竊取或破解口令的問題。
SSH拒絕數據IP欺騙攻擊,保證能夠是哪臺主機發送了該數據。加密數據包,用以防止其他中間主機截取明文口令及其他數據。IP源路由選擇,可以防止某臺主機偽裝它的上IP數據包來源于另一臺可信主機。避免數據包傳送路徑上控制其他裝置的人處理數據。SSH給安全領域帶來一個很有趣的功能:即使用隧道的SSH技術轉發某些數據包。FTP協議和X Windows協議都采用了這一功能。這中轉發功能使SSH能夠利用其他一些協議來控制主機終端與SSH連接的操作。你可能認為通過SSH連接的隧道將是一個很不錯的VPN選擇,但事實并非如此。一種更好的解決方案就是通過VPN連接的SSH隧道技術,因為這是一種很安全的連接發。總之,SSH是一個比較滸、用于加密網絡TCP會話的工具,它最常用于遠程登錄以及增加網絡的安全性。
3 網絡安全技術
3.1 使用網絡安全技術的意義
隨著計算機網絡技術的突飛猛進,網絡安全的問題已經日益突出地擺在各類用戶的面前。據統計資料表明,目前在互聯網上大約有將近20%以上的用戶曾經受過黑客的困擾。盡管黑客如此猖獗,但網絡安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認為網絡安全問題離自己尚遠,這一點從大約有40%以上的用戶,特別是企業級用戶沒有安裝防火墻便可以窺見一斑,而所有的問題都在向大家證明一個事實,大多數的黑客入侵事件都是由于未能正確安裝防火墻引發的。
3.2 防火墻
防火墻(Firewall )技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,是抵抗黑客入侵和防止未授權訪問的最有效手段之一,也是目前網絡系統實現網絡安全策略應用最為廣泛的工具之一。防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入,可有效地保證網絡安全。它是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網和Internet之間的活動,保證內部網絡的安全。
3.2.1 防火墻的種類
第一:從防火墻產品形態分類,防火墻可分為3種類型:
1)軟件防火墻
軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說,這臺計算機就是整個網絡的網關,俗稱“個人防火墻”。軟件防火墻就像其他的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡軟件版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網管對所工作的操作系統平臺比較熟悉。
2)硬件防火墻
硬件防火墻是指“所謂的硬件防火墻。之所以加上”所謂“二字是針對芯片級防火墻說的。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻,它們都基于PC架構,也就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的UNIX、Linux和FreeBSD系統。值得注意的是,由于此類防火墻采用的依然是別人的內核,因此依然會受到OS(操作系統)本身的安全性影響。
傳統硬件防火墻一般至少應具備三個端口,分別接內網、外網和DMZ區(非軍事化區),現在一些新的硬件防火墻往往擴展了端口,常見的四端防火墻一般將第4個端口作為配置口、管理端口。很多防火墻還可以進一步擴展端口數目。
3)芯片級防火墻
芯片級防火墻基于專門的硬件平臺及專用的操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
第二:從防火墻所采用的技術不同,可分為包過濾型、型和監測型三大類型。
1)包過濾型
是防火墻的初級產品,其技術依據是網絡中的他包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。優點是:簡單實用,實現成本較低,在應用環境簡單的情況下能夠以較小的代價在一定程度上保證系統的安全。缺點是:只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入。
2)型
“型”防火墻也可以稱為服務器,它的安全性要高于包過濾型產品,并已經開始實行向應用層發展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。監測型
3)監測型
“監測型”防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻對各層的數據進行主動、實時的監測,在對這些數據加以分析的基礎上,臨測型防火墻有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探器,這些探測器安置在各種應用服務器和其他網絡系統的節點之中,不僅檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用
第三:從網絡體系結構來進行分類,可以將防火墻分為以下4種類型:
1)網絡級防火墻
一般是基于源地址和目的地址、應用或協議,以及每個IP包的端口來做出通過與否的判斷。網絡級防火墻簡潔、速度快、費用低,并且對用戶透明,但是對網絡的保護有限,因為它只檢查地址和端口,對網絡更高協議層的信息無理解能力。
2)應用級網關
也稱“型”防火墻,它檢查進出的數據包,通過網關復制傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜一些的訪問控制,并做精細的注冊和稽核。但每一種協議需要相應的軟件,使用時工作量大,效率不如網絡級防火墻。
3)電路級網關
用來監近代受信任的客戶機或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法,電路級網關在OSI模型中會話層上來過濾數據包,這樣比包過濾防火墻要高兩層。另外,電路級網關還提供一個重要的安全功能:網絡地址轉換功能,將所有內部的IP地址映射到一個“安全”的IP地址,這個地址是由防火墻使用的。但是,作為電路級網關也存在著一睦缺陷,因為該網關是在會話層工作的,它就無法檢查應用層級的數據包。
4)規則檢查防火墻
該防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。它同包過濾防火墻一樣,規則檢查聞訊火墻大OSI網絡層上通過IP地址和端口號,過濾進出的數據包。可以在OSI應用層下檢查數據包的內容,查看這些內容是否能符合公司網絡的安全規則。規則檢查防火墻雖然集成前三者的特點,但是不同于一個應用級網關的是,它并不打破客戶機/服務器模式來分析應用層的數據,它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火墻不依靠與旅游區在用層有關的,而是依靠某種算法來識別進出的應用層數據,這些算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級在過濾數據包上更有效。
第四:從防火墻的應用部署位置來分,可將防火墻分為3種類型
1)邊界防火墻
這是最為傳統的那種,它們位于內、外部網絡的邊蜀,所起的作用是對內、外部網絡實施隔離,保護邊界內部網絡。這類防火墻一般都是硬件類型的,價格較貴,性能較好。
2)個人防火墻
安裝于單臺主機中,防護的也只是單臺主機。這類防火墻應于廣大的個人用戶,價格最便宜,性能也最差。
3)混合式防火墻
也可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統,由若干個軟、硬件組件組成,分布于內、外部網絡邊界和內部各主機之間,既對內、外部網絡之間通信進行過濾,又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。
3.2.2 防火墻中的關鍵技術
在實現防火墻的眾多技術中,如下技術是其實現的關鍵技術:
3.2.2.1 包過濾技術
包過濾技術是在網絡中適當的位置上對數據包實施有選擇的過濾。采用這種技術的防火墻產品,通過在網絡中的適當位置對數據包進行過濾,根據所檢查數據流中每個數據包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態等要素,然后依據一組預定義的規則,以允許合乎邏輯的數據包通過防火墻進入到內部網絡,而將不合乎邏輯的數據包加以刪除。
優點:采用包過濾技術的包過濾防火墻具有明顯的優點,
1)一個過濾由器協助防護整個網絡
2)數據包過濾對用戶透明
3)包過濾路由器速度快、效率高
缺點:通常它沒有用戶的使用記錄,這樣就不能從訪問記錄中發現黑客的攻擊記錄。配置煩瑣也是包過濾防火墻的一個缺點。沒有一定的經驗,是不可能將過濾規則配置得完美的。
3.2.2.2 應用技術
技術是針對每一個特定應用服務的控制。它作用于應用層。其具有狀態性的特點,能提供部分與傳輸有關的狀態,起到外部網絡向內部網絡申請服務時的中間轉接作用。內部網絡只接受提出的服務請求,拒絕外部網絡其它節點的直接請求。提供服務的可以是一臺雙宿網關,也可以是一臺保壘主機。
3.2.2.3 狀態檢查技術
狀態檢查技術也稱為應用層網關技術,是一種在網絡層實現防火墻功能的技術。它是在應用層實現防火墻的功能,針對每一個特定應用進行檢驗。服務不允許直接與真正的服務通信,而是與服務器通信(用戶的默認網關指向服務器)。各個應用在用戶和服務之間處理所有的通信。
優點:1)易于配置。2)能生成各項記錄。3)能靈活、完全地控制進出信息。4)能過濾數據內容。
缺點:1)速度比路由器慢。2)對用戶不透明。3)對于每項服務,可能要求不同的服務器。4)服務通常要求對客戶或過程進行限制。5)服務受協議弱點的限制。6)不能改進底層協義的安全性。
3.2.2.4 地址轉換技術
地址轉換技術是將一個IP地址用另一個IP地址代替。它主要應用于兩個方面,其一是網絡管理員希望隱藏內部網的IP地址。其二是內部網的IP地址是無效的。在此情況下,外部網不能訪問內部網,而內部網之間主機可以互助訪問。
3.2.2.5 內容檢查技術
內容檢查技術提供對高層服務協議數據的監控,以確保數據流的安全。它是一個利用智能方式來分析數據,使系統免受信息內容安全威脅的軟件組合。
3.3 網絡入侵檢測
隨著網絡技術的發展,網絡環境變得越來越復雜,網絡攻擊方式的不斷翻新。網絡系統的安全管理,是一個非常復檢錄煩瑣的事情。入侵檢測技術和漏洞掃描技術通過從目標系統和網絡資源中采集信息,分析來自網絡外部和內部的入侵信號和網絡系統中的漏洞,甚至實時地對攻擊做了反應。入侵檢測系統和入侵保護系統是防火墻極其有益的補充,它能對非法入侵行為進行全面的臨測和防護。在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊。入侵檢測技術被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監聽,從而提供針對內部攻擊、外部攻擊和誤操作的實時防護,大大提高了網絡的安全性。
3.3.1 入侵檢測系統技術
入侵檢測系統技術可以采用概率統計方法、專家系統、神經網絡、模式匹配、行為分析等來實現入侵檢測系統的檢測機制,以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結果。
3.3.2 入侵檢測系統
入侵檢測系統的核心就是通過對系統數據的分析,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。將入侵檢測的軟件與硬件進行組合便是入侵檢測系統。與其他安全產品不同的是入侵檢測系統需要更多的智能必須可以對得到的數據進行分析,并得出有用的結果,一個合格的入侵檢測系統能大大地簡化管理員的工作,保證網絡安全的運行。其實,入侵檢測系統是一個曲型的“窺探設備”。它不跨接多個物理網段(通常只有一個監聽端口,無須轉發任何流量,而只需要在網絡上被動地、無聲無息地收集它所關心的報文即可。
3.4 虛擬專用網(VPN)
VPN是目前解決信息安全問題的一個最新、最成功的技術之一。所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。虛擬專用網不是真的專用網絡,但卻能夠實現專用網絡的功能。虛擬專用網絡指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商),在公有網絡中建立專用的數據通信網絡的技術。在虛擬專用網絡中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。IETF草案理解基于IP的VPN為:“使用IP機制仿真出一個私有的廣域網”,通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。
一個典型VPN的組成部分如圖1所示。
圖1各個組件作用如下:VPN服務器:接受來自VPN客戶機的連接請求。VPN客戶機:可以是終端計算機也可以是路由器。隧道:數據傳輸通道,在其中傳輸的數據必須經過封裝。VPN連接:在VPN連接中,數據必須經過加密。隧道協議:封裝數據、管理隧道的通信標準。傳輸數據:經過封裝、加密后在隧道上傳輸的數據。公共網絡:如Internet,也可以是其他共享網絡。
3.5 訪問控制的概念
訪部控制是通過一個參考監視器,在每一次用戶對系統目標進行訪問時,都由它來調節,包括限制合法用戶的行為。訪問控制是信息安全保障機制的核心內容,它是實現數據保密性和完整性機制的主要手段。訪問控制是為了限制訪問主體(或稱為發起者,是一個主動的實體;如用戶、進程、服務等),對訪問客體(需要保護的資源)的訪問權限,從而使計算機系統在合法范圍內使用;訪問控制機制決定用戶及代表一定用戶利益的程序能做什么,及做到什么程度。所有的操作系統都支持訪問控制。
訪問控制的兩個重要過程:1)通過鑒別(authentication)來檢驗主體的合法身份:2)通過授權(authorization)來限制用戶對資源的訪問級別。訪問包括讀取數據,更改數據,運行程序,發起連接等。訪問控制所要控制的行為有以下幾類:1)讀取數據;2)運行可執行文件;3)發起網絡連接等。
3.5.1 訪問控制應用類型
根據應用環境的不同,訪問控制主要有以下三種:1)網絡訪問控制;2)主機、操作系統訪問控制;3)應用程序訪問控制。由于本文討論的主要為網絡中的訪問控制。所以主機、操作系統的訪問控制
及應用程序的訪問控制在這里就不做討論。網絡訪問控制機制應用在網絡安全環境中,主要是限制用戶可以建立什么樣的連接以及通過網絡傳輸什么樣的數據,這就是傳統的網絡防火墻。此外,加密的方法也常被用來提供實現訪問控制。
3.5.2 強制訪問控制(MAC)
強制訪問控制與自主訪問控制因實現的基本理念不同,訪問控制可分為強制訪問控制(Mandatory accesscontrol)和自主訪問控制(Discretionary access control)。用來保護系統確定的對象,對此對象用戶不能進行更改。也就是說,系統獨立于用戶行為強制執行訪問控制,用戶不能改變他們的安全級別或對象的安全屬性。這樣的訪問控制規則通常對數據和用戶按照安全等級劃分標簽,訪問控制機制通過比較安全標簽來確定的授予還是拒絕用戶對資源的訪問。強制訪問控制進行了很強的等級劃分,所以經常用于軍事用途。在強制訪問控制系統中,所有主體(用戶,進程)和客體(文件,數據)都被分配了安全標簽,安全標簽標識一個安全等級。主體(用戶,進程)被分配一個安全等級,客體(文件,數據)也被分配一個安全等級。訪問控制執行時對主體和客體的安全級別進行比較。
用一個例子來說明強制訪問控制規則的應用,如WEB服務以“秘密”的安全級別運行。例如WEB服務器被攻擊,攻擊者在目標系統中以“秘密”的安全級別進行操作,他將不能訪問系統中安全級為“機密”及“高密”的數據。
4 網絡安全策略
4.1 網絡安全系統策略
從根本意義上講,絕對安全的網絡是不可能有的。只要使用,就或多或少地存在安全問題。我們在探討安全問題的時候,實際上是指一定程度的網絡安全。一般說來,網絡的安全性通常是以網絡的開放性、便利性和靈活性為代價的。計算機網絡信息安全是一個復雜的系統工程,國際上普遍認為:它不僅涉及到技術、設備、人員管理等范疇,還應該依法律規范作保證,只有各方面結合起來,相互彌補,不斷完善,才能有效地實現網絡信息安全。這里僅從技術的角度探討網絡信息安全的對策。
4.2 網絡安全系統策略的制定
4.2.1 物理安全策略
物理安全的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊;防止用戶越權操作;確保網絡設備有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入控制室和各種偷竊、破壞活動的發生。抑制和防止電磁泄漏是物理安全策略的一個主要問題。
4.2.2 數據鏈層路安全策略
數據鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被竊聽,主要采用劃分VLAN(虛擬局域網)、加密通信(遠程網)等手段。信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。
4.2.3 網絡層安全策略
網絡層的安全需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免攔截或監聽。用于解決網絡層安全性問題的主要有防火墻和VPN(虛擬專用網)。防火墻是在網絡邊界上通過建立起惡報相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的侵入。
4.2.4 遵循“最小授權”策略
“最小授權”原則指網絡中帳號設置、服務配置、主機間信任關系配置等應該為網絡正常運行所需的最小限度。關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統的危險性大大降低。
4.2.5 建立并嚴格執行規章制度的策略
在網絡安全中,除了采用技術措施之外,制定有關規章制度,對于確保網絡安全、可靠地運行將起到十分有效的作用。規章制度作為一項核心內容,應始終貫穿于系統的安全生命周期。一般來說,安全與方便通常是互相矛盾的。一旦安全管理與其它管理服務存在沖突的時候,網絡安全往往會作出讓步,或許正是由于一個細微的讓步,最終導致了整個系統的崩潰。因此,嚴格執行安全管理制度是網絡可靠運行的重要保障。
5 結論
當前,如何確保計算機網絡的安全性是任何一個網絡的設計者和管理者都極為關心的熱點。由于因特網協議的開放性,使得計算機網絡的接入變得十分容易。正是在這樣得背景下,能夠威脅到計算機網絡安全的因素就非常多。因此,人們研究和開發了各種安全技術和手段,努力構建一種可靠的計算機網絡安全系統。這種安全系統的構建實際上就是針對己經出現的各種威脅(或者是能夠預見的潛在威脅),采用相應的安全策略與安全技術解除這些威脅對網絡的破壞的過程。當然,隨著計算機網絡的擴大,威脅網絡安全因素的變化使得這個過程是一個動態的過程。計算機網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。所以任何計算機網絡安全體系一定不是可以一勞永逸地防范任何攻擊的完美系統,人們力圖建立的只能是一個動態的網絡安全防護系統。它是一個動態加靜態的防御,本文首先從多個角度研究了計算機網絡的安全性,針對各種不同的威脅與攻擊研究了解決它們的相應安全技術與安全協議。接下來,在一般意義下制定計算機網絡安全系統設計的策略與原則,提出了計算機網絡安全的實現模型。計算機網絡安全取決于安全技術與網絡管理兩大方面。從技術角度來講,計算機網絡安全又取決于網絡設備的硬件與軟件兩個方面,網絡設備的軟件和硬件互相配合才能較好地實現網絡安全。但是,由于網絡安全作為網絡對其上的信息提供的一種增值服務,人們往往發現軟件的處理速度成為網絡的瓶頸,因此,將網絡安全的密碼算法和安全協議用硬件實現,實現快速的安全處理仍然將是網絡安全發展的一個主要方向。另一方面,在安全技術不斷發展的同時,全面加強安全技術的應用也是網絡安全發展的一個重要內容。因為即使有了網絡安全的理論基礎,沒有對網絡安全的深刻認識、沒有廣泛地將它應用于網絡中,那么談再多的網絡安全也是無用的。同時,網絡安全不僅僅是防火墻,也不是防病毒、入侵監測、防火墻、身份認證、加密等產品的簡單堆砌,而是包括從系統到應用、從設備到服務的比較完整的、體系性的安全系列產品的有機結合。除了網絡安全技術,還要強調網絡安全策略和管理手段的重要性。只有做到這些的綜合,才能確保網絡安全。本文盡管對計算機網絡安全進行了較深入的研究。但是,計算機網絡安全的問題是一個永久的課題,它將隨著計算機技術、計算機網絡的發展而一直存在、一直發展。計算機網絡的威脅與計算機網絡的安全防護的關系就象是“矛”和“盾”的關系一樣,沒有無堅不摧的矛、也沒有無法攻破的盾。從理論上講這種做法的正確的,但在具體的折中方法上就有大量的研究及實驗工作可做。由于本文作者水平有限以及時間有限等的原因,本文的折中是有進一步研究和改進的必要的。總之,計算機網絡安全技術是個永無止境的研究課題。
參考文獻:
[1] Stallings W.網絡安全要素一應用與標準[M].北京:人民郵電出版社,2000.
[2] 張小斌,嚴望佳.黑客分析與防范技術[M].北京:清華大學出版社,1999.
[3] 余建斌,黑客的攻擊手段及用戶對策[M].北京:人民郵電出版社,1998.
[4] 彭杰.計算機網絡安全問題的探討[M].現代電子技術,2002.
[5] 郝玉潔,.網絡安全與防火墻技術[J].電子科技大學學報社科版,2002,4(1).
[6] 陳朝陽,潘雪增,平鈴娣.新型防火墻的設計和實現[J].計算機工程,2002(11).
[7] 劉美蘭,姚京松.入侵檢測預警系統及其性能設計[C]//卿斯漢,馮登國.信息和通信安全CCICS'99:第1屆中國信息和通信安全學術會議論文集.北京:科學出版社,2000.
[8] 陳曉蘇,林軍,肖道舉.基于多的協同分布式入侵檢測系統模型[J].華中科技大學學報:自然科學版,2002,30(2).
[9] 王惠芳.虛擬專用網的設計及安全性分析[J].計算機工程,2001(6).
