前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全網(wǎng)絡(luò)論文主題范文,僅供參考,歡迎閱讀并收藏。
網(wǎng)絡(luò)數(shù)據(jù)通信主要是通過在服務(wù)器和用戶終端之間建立數(shù)據(jù)傳輸信道的方式實(shí)現(xiàn)的。因此,服務(wù)器、用戶終端以及網(wǎng)絡(luò)傳輸信道都會對數(shù)據(jù)通信的安全性產(chǎn)生影響。當(dāng)前的網(wǎng)絡(luò)數(shù)據(jù)通信安全主要是指確保用戶的信息不被泄露、篡改或者刪除,以保障個(gè)人隱私和企業(yè)等單位機(jī)密信息的安全性。
2當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)通信中存在的主要安全隱患
2.1網(wǎng)絡(luò)病毒
當(dāng)前,Internet已經(jīng)成為了各種計(jì)算機(jī)網(wǎng)絡(luò)病毒的最大傳播途徑,一旦用戶終端被網(wǎng)絡(luò)病毒感染,就可能造成與其進(jìn)行數(shù)據(jù)通信的其他用戶終端被連帶感染,特別是當(dāng)前病毒的破壞形式多種多樣,能在不被發(fā)現(xiàn)的情況下對傳輸數(shù)據(jù)進(jìn)行復(fù)制、篡改和毀壞,也可以通過侵入終端內(nèi)部對系統(tǒng)數(shù)據(jù)進(jìn)行攻擊,從而造成數(shù)據(jù)通信質(zhì)量下降或中斷。在政府機(jī)構(gòu)或企業(yè)中,一些非法分子出于經(jīng)濟(jì)或政治目的,通過對政府機(jī)關(guān)網(wǎng)或企業(yè)局域網(wǎng)的服務(wù)器植入病毒,造成機(jī)密信息外泄,從而造成不可估量的損失,嚴(yán)重時(shí)還可能威脅到國家安全和社會穩(wěn)定。
2.2黑客攻擊
正常的網(wǎng)絡(luò)通信是通過合法訪問的形式實(shí)現(xiàn)的,而在現(xiàn)實(shí)中,一些網(wǎng)絡(luò)黑客出于不同的目的,在未經(jīng)允許的情況下就利用網(wǎng)絡(luò)傳輸協(xié)議、服務(wù)器以及操作系統(tǒng)上的安全漏洞進(jìn)行非法訪問,使得系統(tǒng)內(nèi)部的信息和數(shù)據(jù)被盜取或刪改等,從而造成系統(tǒng)崩潰、重要信息丟失或泄露等嚴(yán)重事件。
2.3管理缺失
在實(shí)際工作中,很多用戶在利用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)通信時(shí)沒有充分重視安全方面的問題。一方面沒有投入先進(jìn)的網(wǎng)絡(luò)硬件設(shè)備,或者投入時(shí)只重視服務(wù)器、交換機(jī)等硬件設(shè)備的性能而忽略了安全防護(hù)性;另一方面由于相關(guān)技術(shù)人員和管理人員缺乏,使得信息的使用和傳輸非常隨意,再加上對傳輸和終端設(shè)備的入網(wǎng)安全性檢測工作不嚴(yán),容易被不法分子在設(shè)備內(nèi)部設(shè)置后門,從而給數(shù)據(jù)通信安全造成威脅。
3網(wǎng)絡(luò)數(shù)據(jù)通信中的安全防范技術(shù)措施
3.1對網(wǎng)絡(luò)入侵進(jìn)行檢測
網(wǎng)絡(luò)數(shù)據(jù)通信一般都是基于TCP/IP等網(wǎng)絡(luò)通信協(xié)議的基礎(chǔ)上完成的,在這個(gè)過程中可以加強(qiáng)對網(wǎng)絡(luò)訪問行為的監(jiān)視和分析,判斷其是否屬于合法訪問的范疇。一旦發(fā)現(xiàn)其存在違反安全策略的行為,就要立即對訪問實(shí)施攔截,同時(shí)發(fā)出報(bào)警,提示相關(guān)工作人員進(jìn)行進(jìn)一步的處理。
3.2實(shí)施訪問控制
首先,對不同的訪問用戶設(shè)置不同的安全權(quán)限。通過設(shè)置不同的安全權(quán)限可以有效防止未經(jīng)授權(quán)的用戶訪問敏感信息,避免了機(jī)密信息數(shù)據(jù)的外泄。其次,局域網(wǎng)用戶還應(yīng)做好內(nèi)部訪問外網(wǎng)的控制,通過部署網(wǎng)絡(luò)版防火墻等方式杜絕外部病毒和木馬程序順著訪問路徑入侵。最后,采用認(rèn)證技術(shù)來限制用戶訪問網(wǎng)絡(luò)。用戶只有通過門戶網(wǎng)站或客戶端的形式完成認(rèn)證步驟,才能實(shí)施對外部網(wǎng)絡(luò)的訪問。
3.3進(jìn)行數(shù)據(jù)加密將信息數(shù)據(jù)在傳輸前進(jìn)行加密,被接收之后通過解密機(jī)進(jìn)行還原,從而有效提高數(shù)據(jù)在傳輸過程中的安全性。目前常用的數(shù)據(jù)加密技術(shù)有兩種:
(1)端到端加密技術(shù)。在數(shù)據(jù)信息的發(fā)送端和接收端同時(shí)以加密的形式存在。
(2)鏈路加密技術(shù)。在數(shù)據(jù)信息的傳輸過程中以加密的形式存在。在實(shí)際應(yīng)用中,這兩種加密技術(shù)一般混合采用,以提高數(shù)據(jù)信息的安全性。
3.4提高網(wǎng)絡(luò)數(shù)據(jù)通信硬件和軟件的安全性
1)局域網(wǎng)的維護(hù)。局域網(wǎng)維護(hù)的目標(biāo)在于通過采取有效的維護(hù)措施,避免局域網(wǎng)故障的發(fā)生,確保局域網(wǎng)穩(wěn)定的工作。局域網(wǎng)維護(hù)工作包括較多內(nèi)容,其中服務(wù)器保護(hù)、性能的維護(hù)是較為重要的內(nèi)容,因此日常維護(hù)時(shí)應(yīng)將其當(dāng)做重點(diǎn),認(rèn)真落實(shí)維護(hù)措施。一方面,服務(wù)器是整個(gè)局域網(wǎng)的核心,保護(hù)時(shí)應(yīng)引起足夠的重視。保護(hù)操作時(shí)尤其應(yīng)避免數(shù)據(jù)的丟失,即對重要信息進(jìn)行備份,目前可借助云服務(wù)提供商提供的平臺,將備份數(shù)據(jù)上傳到云服務(wù)中,如此無論服務(wù)器出現(xiàn)軟件還是硬件故障,均可通過云服務(wù)重新下載。同時(shí),不要輕易刪除服務(wù)器中的信息,當(dāng)進(jìn)行刪除操作時(shí)應(yīng)進(jìn)行核對,確保無用后再進(jìn)行刪除。另一方面,對局域網(wǎng)性能進(jìn)行維護(hù)時(shí),應(yīng)從硬件與軟件兩方面入手。在硬件方面,對原有傳輸媒介進(jìn)行升級,使用光纖作為信息傳輸媒介,以提高局域網(wǎng)信息傳輸效率與質(zhì)量。在軟件方面,使用功能強(qiáng)大的信息管理、安全管理軟件,通過軟件掃描及時(shí)查找出局域網(wǎng)存在的軟、硬件故障,采用專門技術(shù)加以解決。
2)局域網(wǎng)的管理。局域網(wǎng)管理是影響局域網(wǎng)功能能否充分發(fā)揮的重要因素。依據(jù)對象的不同可將管理內(nèi)容分為人的管理與局域網(wǎng)的管理,其中對人的管理主要體現(xiàn)在:要求局域網(wǎng)使用人員嚴(yán)格按照制定的規(guī)章制度使用局域網(wǎng),要求其不人為破壞局域網(wǎng)的軟、硬件,以及其他重要設(shè)施。而對局域網(wǎng)的管理則包括局域網(wǎng)結(jié)構(gòu)的選擇、局域網(wǎng)功能的擴(kuò)展以及局域網(wǎng)所處環(huán)境的優(yōu)化等內(nèi)容,一方面根據(jù)局域網(wǎng)的規(guī)劃功能選擇合理的局域網(wǎng)拓?fù)浣Y(jié)構(gòu)。另一方面擴(kuò)展局域網(wǎng)功能時(shí)應(yīng)綜合考慮經(jīng)濟(jì)投入,實(shí)現(xiàn)目標(biāo)等內(nèi)容,要求在實(shí)現(xiàn)局域網(wǎng)相關(guān)功能的基礎(chǔ)上最大限度的降低經(jīng)濟(jì)投入。另外,優(yōu)化局域網(wǎng)環(huán)境時(shí)應(yīng)重點(diǎn)考慮人員配備與局域網(wǎng)性能的匹配,以確保局域網(wǎng)資源的充分利用。
2局域網(wǎng)網(wǎng)絡(luò)安全研究
局域網(wǎng)網(wǎng)絡(luò)安全是業(yè)內(nèi)人士討論的經(jīng)典話題,而且隨著互聯(lián)網(wǎng)攻擊的日益頻繁,以及病毒種類的不斷增加與衍生,使人們不得不對局域網(wǎng)安全問題進(jìn)行重新審視。采取何種防范手段確保局域網(wǎng)安全仍是人們關(guān)注的重點(diǎn)。那么為確保局域網(wǎng)網(wǎng)絡(luò)安全究竟該采取何種措施呢?接下來從物理安全與訪問控制兩方面進(jìn)行探討。
1)物理安全策略。物理安全策略側(cè)重在局域網(wǎng)硬件以及使用人員方面對局域網(wǎng)進(jìn)行保護(hù)。首先,采取針對性措施,加強(qiáng)對局域網(wǎng)中服務(wù)器、通信鏈路的保護(hù),尤其避免人為因素帶來的破壞。例如,保護(hù)服務(wù)器時(shí)可設(shè)置使用權(quán)限,避免無權(quán)限的人員使用服務(wù)器,導(dǎo)致服務(wù)器信息泄露;其次,加強(qiáng)局域網(wǎng)使用人員的管理。通過制定完善的工作制度,避免外來人員使用局域網(wǎng),尤其禁止使用局域網(wǎng)時(shí)隨意安裝相關(guān)軟件,拆卸局域網(wǎng)硬件設(shè)備;最后,提高工作人員局域網(wǎng)安全防范意識。通過專業(yè)培訓(xùn)普及局域網(wǎng)安全技術(shù)知識,使局域網(wǎng)使用者掌握有效的安全防范技巧與方法,從內(nèi)部入手做好局域網(wǎng)安全防范工作。
2)加強(qiáng)訪問控制。訪問控制是防止局域網(wǎng)被惡意攻擊、病毒傳染的有效手段,因此,為進(jìn)一步提高局域網(wǎng)安全性,應(yīng)加強(qiáng)訪問控制。具體應(yīng)從以下幾方面入手實(shí)現(xiàn)訪問控制。首先,做好入網(wǎng)訪問控制工作。當(dāng)用戶試圖登錄服務(wù)器訪問相關(guān)資源時(shí),應(yīng)加強(qiáng)用戶名、密碼的檢查,有效避免非法人員訪問服務(wù)器;其次,給用戶設(shè)置不同的訪問權(quán)限。當(dāng)用戶登錄到服務(wù)器后,為防止無關(guān)人員獲取服務(wù)器重要信息,應(yīng)給予設(shè)置對應(yīng)的權(quán)限,即只允許用戶在權(quán)限范圍內(nèi)進(jìn)行相關(guān)操作,訪問相關(guān)子目錄、文件夾中的文件等,避免其給局域網(wǎng)帶來安全威脅;再次,加強(qiáng)局域網(wǎng)的監(jiān)測。網(wǎng)絡(luò)管理員應(yīng)密切監(jiān)視用戶行為,詳細(xì)記錄其所訪問的資源,一旦發(fā)現(xiàn)用戶有不法行為應(yīng)對其進(jìn)行鎖定,限制其訪問;最后,從硬件方面入手提高網(wǎng)絡(luò)的安全性。例如,可根據(jù)保護(hù)信息的重要程度,分別設(shè)置數(shù)據(jù)庫防火墻、應(yīng)用層防火墻以及網(wǎng)絡(luò)層防火墻。其中數(shù)據(jù)庫防火墻可對訪問進(jìn)行控制,一旦發(fā)現(xiàn)給數(shù)據(jù)庫構(gòu)成威脅的行為可及時(shí)阻斷。同時(shí),其還具備審計(jì)用戶行為的功能,判斷中哪些行為可能給數(shù)據(jù)庫信息構(gòu)成破壞等。應(yīng)用層防火墻可實(shí)現(xiàn)某程序所有程序包的攔截,可有效防止木馬、蠕蟲等病毒的侵入。網(wǎng)絡(luò)層防火墻工作在底層TCP/IP協(xié)議堆棧上,依據(jù)制定的規(guī)則對訪問行為進(jìn)行是否允許訪問的判斷。而訪問規(guī)則由管理員結(jié)合實(shí)際進(jìn)行設(shè)定。
3)加強(qiáng)安全管理。網(wǎng)絡(luò)病毒由來已久而且具有較大破壞性,因此,為避免其給網(wǎng)絡(luò)造成破壞,管理員應(yīng)加強(qiáng)管理做好病毒防范工作。一方面要求用戶拒絕接受可疑郵件,不擅自下載、安裝可疑軟件。另一方面,在使用U盤、軟盤時(shí)應(yīng)先進(jìn)行病毒查殺。另外,安裝專門的殺毒軟件,如卡巴斯基、360殺毒等并及時(shí)更新病毒庫,定期對系統(tǒng)進(jìn)行掃描,以及時(shí)發(fā)現(xiàn)病毒將其殺滅。另外,安裝入侵檢測系統(tǒng)。該系統(tǒng)可即時(shí)監(jiān)視網(wǎng)絡(luò)傳輸情況,一旦發(fā)現(xiàn)可疑文件傳輸時(shí)就會發(fā)出警報(bào)或直接采用相關(guān)措施,保護(hù)網(wǎng)絡(luò)安全。依據(jù)方法可將其分為誤用入侵檢測與異常入侵檢測,其中異常檢測又被細(xì)分為多種檢測方法,以實(shí)現(xiàn)入侵行為檢測,而誤用入侵檢測包括基于狀態(tài)轉(zhuǎn)移分析的檢測法、專家系統(tǒng)法以及模式匹配法等。其中模式匹配法指將收集的信息與存在于數(shù)據(jù)路中的網(wǎng)絡(luò)入侵信息進(jìn)行對比,以及時(shí)發(fā)現(xiàn)入侵行為。
3總結(jié)
網(wǎng)絡(luò)安全技術(shù)概述
常永亮
(飛行試驗(yàn)研究院測試所陜西西安710089)
【摘要】Internet是一種開放和標(biāo)準(zhǔn)的面向所有用戶的技術(shù),其資源通過網(wǎng)絡(luò)共享,因此,資源共享和信息安全就成了一對矛盾。
【關(guān)鍵詞】網(wǎng)絡(luò)攻擊、安全預(yù)防、風(fēng)險(xiǎn)分析、網(wǎng)絡(luò)安全
1.引言
隨著網(wǎng)絡(luò)的迅速發(fā)展,網(wǎng)絡(luò)的安全性顯得非常重要,這是因?yàn)閼延袗阂獾墓粽吒`取、修改網(wǎng)絡(luò)上傳輸?shù)男畔?,通過網(wǎng)絡(luò)非法進(jìn)入遠(yuǎn)程主機(jī),獲取儲存在主機(jī)上的機(jī)密信息,或占用網(wǎng)絡(luò)資源,阻止其他用戶使用等。然而,網(wǎng)絡(luò)作為開放的信息系統(tǒng)必然存在眾多潛在的安全隱患,因此,網(wǎng)絡(luò)安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。
一般來說,計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性再加上網(wǎng)際協(xié)議的漏洞共同構(gòu)成了網(wǎng)絡(luò)的潛在威脅。隨著無線互聯(lián)網(wǎng)越來越普及的應(yīng)用,互聯(lián)網(wǎng)的安全性又很難在無線網(wǎng)上實(shí)施,因此,特別在構(gòu)建內(nèi)部網(wǎng)時(shí),若忽略了無線設(shè)備的安全性則是一種重大失誤。
2.網(wǎng)絡(luò)攻擊及其防護(hù)技術(shù)
計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然或惡意的原因遭到破壞、泄露,能確保網(wǎng)絡(luò)連續(xù)可靠的運(yùn)行。網(wǎng)絡(luò)安全其實(shí)就是網(wǎng)絡(luò)上的信息存儲和傳輸安全。
網(wǎng)絡(luò)的安全主要來自黑客和病毒攻擊,各類攻擊給網(wǎng)絡(luò)造成的損失已越來越大了,有的損失對一些企業(yè)已是致命的,僥幸心里已經(jīng)被提高防御取代,下面就攻擊和防御作簡要介紹。
2.1常見的攻擊有以下幾類:
2.1.1入侵系統(tǒng)攻擊
此類攻擊如果成功,將使你的系統(tǒng)上的資源被對方一覽無遺,對方可以直接控制你的機(jī)器。
2.1.2緩沖區(qū)溢出攻擊
程序員在編程時(shí)會用到一些不進(jìn)行有效位檢查的函數(shù),可能導(dǎo)致黑客利用自編寫程序來進(jìn)一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾,這樣當(dāng)發(fā)生緩沖區(qū)溢出時(shí),從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它的指令,如果這些指令是放在有root權(quán)限的內(nèi)存中,那么一旦這些指令得到了運(yùn)行,黑客就以root權(quán)限控制了系統(tǒng),這樣系統(tǒng)的控制權(quán)就會被奪取,此類攻擊在LINUX系統(tǒng)常發(fā)生。在Windows系統(tǒng)下用戶權(quán)限本身設(shè)定不嚴(yán)謹(jǐn),因此應(yīng)比在LINUX系統(tǒng)下更易實(shí)現(xiàn)。
2.1.3欺騙類攻擊
網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用,使黑客可以對網(wǎng)絡(luò)進(jìn)行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。
2.1.4拒絕服務(wù)攻擊
通過網(wǎng)絡(luò),也可使正在使用的計(jì)算機(jī)出現(xiàn)無響應(yīng)、死機(jī)的現(xiàn)象,這就是拒絕服務(wù)攻擊,簡稱DoS(DenialofService)。
分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu),從許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo),從而導(dǎo)致目標(biāo)癱瘓,簡稱DDoS(DistributedDenialofService)。
2.1.5對防火墻的攻擊
防火墻也是由軟件和硬件組成的,在設(shè)計(jì)和實(shí)現(xiàn)上都不可避免地存在著缺陷,對防火墻的攻擊方法也是多種多樣的,如探測攻擊技術(shù)、認(rèn)證的攻擊技術(shù)等。
2.1.6利用病毒攻擊
病毒是黑客實(shí)施網(wǎng)絡(luò)攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預(yù)見性和破壞性等特性,而且在網(wǎng)絡(luò)中其危害更加可怕,目前可通過網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬種,可通過注入技術(shù)進(jìn)行破壞和攻擊。
2.1.7木馬程序攻擊
特洛伊木馬是一種直接由一個(gè)黑客,或是通過一個(gè)不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限,安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。
2.1.8網(wǎng)絡(luò)偵聽
網(wǎng)絡(luò)偵聽為主機(jī)工作模式,主機(jī)能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?。只要使用網(wǎng)絡(luò)監(jiān)聽工具,就可以輕易地截取所在網(wǎng)段的所有用戶口令和帳號等有用的信息資料。
等等?,F(xiàn)在的網(wǎng)絡(luò)攻擊手段可以說日新月異,隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,其開放性、共享性、互連程度擴(kuò)大,網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。計(jì)算機(jī)和網(wǎng)絡(luò)安全技術(shù)正變得越來越先進(jìn),操作系統(tǒng)對本身漏洞的更新補(bǔ)救越來越及時(shí)?,F(xiàn)在企業(yè)更加注意企業(yè)內(nèi)部網(wǎng)的安全,個(gè)人越來越注意自己計(jì)算機(jī)的安全??梢哉f:只要有計(jì)算機(jī)和網(wǎng)絡(luò)的地方肯定是把網(wǎng)絡(luò)安全放到第一位。
網(wǎng)絡(luò)有其脆弱性,并會受到一些威脅。因而建立一個(gè)系統(tǒng)時(shí)進(jìn)行風(fēng)險(xiǎn)分析就顯得尤為重要了。風(fēng)險(xiǎn)分析的目的是通過合理的步驟,以防止所有對網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。因此,嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析是可靠和有效的安全防護(hù)措施制定的必要前提。網(wǎng)絡(luò)風(fēng)險(xiǎn)分析在系統(tǒng)可行性分析階段就應(yīng)進(jìn)行了。因?yàn)樵谶@階段實(shí)現(xiàn)安全控制要遠(yuǎn)比在網(wǎng)絡(luò)系統(tǒng)運(yùn)行后采取同樣的控制要節(jié)約的多。即使認(rèn)為當(dāng)前的網(wǎng)絡(luò)系統(tǒng)分析建立的十分完善,在建立安全防護(hù)時(shí),風(fēng)險(xiǎn)分析還是會發(fā)現(xiàn)一些潛在的安全問題,從整體性、協(xié)同性方面構(gòu)建一個(gè)信息安全的網(wǎng)絡(luò)環(huán)境。可以說網(wǎng)絡(luò)的安全問題是組織管理和決策。
2.2防御措施主要有以下幾種
2.2.1防火墻
防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障,用于保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn),對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行控制和審計(jì)。
2.2.2虛擬專用網(wǎng)
虛擬專用網(wǎng)(VPN)的實(shí)現(xiàn)技術(shù)和方式有很多,但是所有的VPN產(chǎn)品都應(yīng)該保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)隧道,利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)的私有性和安全性。此外,還需要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。
2.2.3虛擬局域網(wǎng)
選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實(shí)施網(wǎng)絡(luò)安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng),即一個(gè)邏輯廣播域,它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備,允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴,還可利用MAC層的數(shù)據(jù)包過濾技術(shù),對安全性要求高的VLAN端口實(shí)施MAC幀過濾。而且,即使黑客攻破某一虛擬子網(wǎng),也無法得到整個(gè)網(wǎng)絡(luò)的信息,但VLAN技術(shù)的局限在新的VLAN機(jī)制較好的解決了,這一新的VLAN就是專用虛擬局域網(wǎng)(PVLAN)技術(shù)。
2.2.4漏洞檢測
漏洞檢測就是對重要計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢查,發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略,即被動式策略和主動式策略。被動式策略基于主機(jī)檢測,對系統(tǒng)中不合適的設(shè)置、口令以及其他同安全規(guī)則相背的對象進(jìn)行檢查;主動式策略基于網(wǎng)絡(luò)檢測,通過執(zhí)行一些腳本文件對系統(tǒng)進(jìn)行攻擊,并記錄它的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實(shí)際上就是系統(tǒng)安全性的一個(gè)評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個(gè)重要組成部分。漏洞檢測系統(tǒng)是防火墻的延伸,并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能,保證計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。
2.2.5入侵檢測
入侵檢測系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時(shí)捕獲下來,檢查是否有黑客入侵或可疑活動的發(fā)生,一旦發(fā)現(xiàn)有黑客入侵或可疑活動的發(fā)生,系統(tǒng)將做出實(shí)時(shí)報(bào)警響應(yīng)。
2.2.6密碼保護(hù)
加密措施是保護(hù)信息的最后防線,被公認(rèn)為是保護(hù)信息傳輸唯一實(shí)用的方法。無論是對等還是不對等加密都是為了確保信息的真實(shí)和不被盜取應(yīng)用,但隨著計(jì)算機(jī)性能的飛速發(fā)展,破解部分公開算法的加密方法已變得越來越可能。因此,現(xiàn)在對加密算法的保密越來越重要,幾個(gè)加密方法的協(xié)同應(yīng)用會使信息保密性大大加強(qiáng)。
2.2.7安全策略
安全策略可以認(rèn)為是一系列政策的集合,用來規(guī)范對組織資源的管理、保護(hù)以及分配,已達(dá)到最終安全的目的。安全策略的制定需要基于一些安全模型。
2.2.8網(wǎng)絡(luò)管理員
網(wǎng)絡(luò)管理員在防御網(wǎng)絡(luò)攻擊方面也是非常重要的,雖然在構(gòu)建系統(tǒng)時(shí)一些防御措施已經(jīng)通過各種測試,但上面無論哪一條防御措施都有其局限性,只有高素質(zhì)的網(wǎng)絡(luò)管理員和整個(gè)網(wǎng)絡(luò)安全系統(tǒng)協(xié)同防御,才能起到最好的效果。
以上大概講了幾個(gè)網(wǎng)絡(luò)安全的策略,網(wǎng)絡(luò)安全基本要素是保密性、完整性和可用,但網(wǎng)絡(luò)的安全威脅與網(wǎng)絡(luò)的安全防護(hù)措施是交互出現(xiàn)的。不適當(dāng)?shù)木W(wǎng)絡(luò)安全防護(hù),不僅可能不能減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),浪費(fèi)大量的資金,而且可能招致更大的安全威脅。一個(gè)好的安全網(wǎng)絡(luò)應(yīng)該是由主機(jī)系統(tǒng)、應(yīng)用和服務(wù)、路由、網(wǎng)絡(luò)、網(wǎng)絡(luò)管理及管理制度等諸多因數(shù)決定的,但所有的防御措施對信息安全管理者提出了挑戰(zhàn),他們必須分析采用哪種產(chǎn)品能夠適應(yīng)長期的網(wǎng)絡(luò)安全策略的要求,而且必須清楚何種策略能夠保證網(wǎng)絡(luò)具有足夠的健壯性、互操作性并且能夠容易地對其升級。
隨著信息系統(tǒng)工程開發(fā)量越來越大,致使系統(tǒng)漏洞也成正比的增加,受到攻擊的次數(shù)也在增多。相對滯后的補(bǔ)救次數(shù)和成本也在增加,黑客與反黑客的斗爭已經(jīng)成為一場沒有結(jié)果的斗爭。
3.結(jié)論
網(wǎng)絡(luò)安全的管理與分析現(xiàn)已被提到前所未有的高度,現(xiàn)在IPv6已開始應(yīng)用,它設(shè)計(jì)的時(shí)候充分研究了以前IPv4的各種問題,在安全性上得到了大大的提高,但并不是不存在安全問題了。在WindowsVista的開發(fā)過程中,安全被提到了一個(gè)前所未有的重視高度,但微軟相關(guān)負(fù)責(zé)人還是表示,"即使再安全的操作系統(tǒng),安全問題也會一直存在"。
總之,網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題,而不是萬能的。因此只有完備的系統(tǒng)開發(fā)過程、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測試、綜合的防御技術(shù)實(shí)施、嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用才能完好、實(shí)時(shí)地保證信息的完整性和正確性,為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)——這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。
參考文獻(xiàn)
[1]《網(wǎng)絡(luò)綜合布線系統(tǒng)與施工技術(shù)》黎連業(yè)著
就目前數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)來看,因SDN技術(shù)的不斷深入應(yīng)用,在面對日益復(fù)雜的社會網(wǎng)絡(luò)環(huán)境時(shí)表現(xiàn)出了眾多安全性問題,這是因?yàn)閭鹘y(tǒng)的安全產(chǎn)品不能很好的適應(yīng)現(xiàn)代網(wǎng)絡(luò)安全控制,導(dǎo)致網(wǎng)絡(luò)在進(jìn)行虛擬化處理的過程中也存在不可避免的安全性問題,借助類型學(xué)可以劃分為不同的種類體系:第一,現(xiàn)有網(wǎng)絡(luò)控制存在失效現(xiàn)狀,新型的網(wǎng)絡(luò)結(jié)果相比傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)更具有優(yōu)勢,但是現(xiàn)階段SDN技術(shù)的深入應(yīng)用仍然處于起步階段,相應(yīng)的軟件設(shè)備與硬件設(shè)備并沒有跟上該項(xiàng)技術(shù),尤其缺乏SDN控制器,它要求該設(shè)備進(jìn)行非常復(fù)雜的技術(shù)處理。具體而言,因利益追求,網(wǎng)路攻擊者可以借助相應(yīng)的技術(shù)與手段通過發(fā)送分組數(shù)據(jù)信息對服務(wù)器進(jìn)行拒絕服務(wù)攻擊,嚴(yán)重干擾網(wǎng)絡(luò)的正常運(yùn)行。此外,在大二層的SDN當(dāng)中,如果相應(yīng)的網(wǎng)絡(luò)設(shè)置出現(xiàn)認(rèn)為錯(cuò)誤也會導(dǎo)致該控制器無法正常運(yùn)行,從而影響整體程序的運(yùn)行。一般SDN的控制器對整體網(wǎng)絡(luò)實(shí)現(xiàn)了拓?fù)涞目刂?,處理撐起那上百個(gè)應(yīng)用,不同的應(yīng)用端口的路徑有著本質(zhì)性的區(qū)別,如果不同的端口之間進(jìn)行數(shù)據(jù)傳輸也不能實(shí)現(xiàn)路徑不一致,就會形成非法路徑,如此就會為攻擊者提供更加更加便捷快速的攻擊方式,即繞過控制端口實(shí)現(xiàn)跨越攻擊。第二,在新型技術(shù)不斷應(yīng)用的今天,現(xiàn)有安全控制設(shè)備并不能針對所有的數(shù)據(jù)傳輸路徑完成安全性控制,這些數(shù)據(jù)包括跨越固體計(jì)算機(jī)終端實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臄?shù)據(jù)流量以及通過VLAN渠道的數(shù)據(jù),這就嚴(yán)重的限制了安全監(jiān)控的有效性。第三,現(xiàn)代網(wǎng)路安全控制技術(shù)并不能適應(yīng)日新月異的網(wǎng)絡(luò)環(huán)境變革體系,安全防控技術(shù)進(jìn)入了一種受限制的局面,難以滿足現(xiàn)階段網(wǎng)絡(luò)控制變化格局。當(dāng)云計(jì)算通過云端服務(wù)器完成數(shù)據(jù)隔空傳輸后,舊有的安全防控軟件依然根據(jù)傳統(tǒng)的網(wǎng)絡(luò)設(shè)備進(jìn)行安全防控,沒有實(shí)現(xiàn)按需調(diào)整與動態(tài)性的變化。此外,安全設(shè)備在設(shè)計(jì)上主要是將安全控制應(yīng)用軟件與操作系統(tǒng)密封在一個(gè)固定的硬件設(shè)備當(dāng)中,設(shè)備通過處理技術(shù)將數(shù)據(jù)分割,其視野就會收到一定程度的限制,而且安全控制設(shè)備對操作人員具有一定的依賴性,整體操作過程異常復(fù)雜,導(dǎo)致安全控制出現(xiàn)了明顯的延遲性。
2新型網(wǎng)絡(luò)安全控制
在現(xiàn)有網(wǎng)絡(luò)環(huán)境中不斷革新網(wǎng)絡(luò)環(huán)境,并提出相應(yīng)的安全控制措施是現(xiàn)階段SDN數(shù)據(jù)中心網(wǎng)絡(luò)改良的核心任務(wù)。新的安全系統(tǒng)主要借助網(wǎng)絡(luò)控制結(jié)構(gòu)形成的,新型的網(wǎng)絡(luò)環(huán)境中控制平臺會出現(xiàn)上移的狀況,這就會導(dǎo)致控制機(jī)制出現(xiàn)一定程度的集中化趨勢,這就需要根據(jù)SDN信息處理中心設(shè)計(jì)一個(gè)更加可靠有效的控制器。從具體的操作層次而言,應(yīng)該先將控制器添加到某一控制單元內(nèi),允許其可以進(jìn)行自由的進(jìn)出訪問,并在信息訪問過程中添加審計(jì)程序,動態(tài)性的檢查控制器中用戶登錄信息,保證其合法性,從本質(zhì)上切斷進(jìn)攻者進(jìn)入終端數(shù)據(jù)中心的途徑。再次,應(yīng)該保證整體控制器信息交流的有效性,這就要求OpenFlow協(xié)議應(yīng)該在不同的數(shù)據(jù)交流中心建立一個(gè)安全的通訊通道,防止某些攻擊者借助通道漏洞進(jìn)入控制中心。傳統(tǒng)的安全產(chǎn)品中存在的網(wǎng)絡(luò)安全缺點(diǎn)還表現(xiàn)在安全控制網(wǎng)絡(luò)系統(tǒng)中存在某些致命的缺點(diǎn),因此,根據(jù)現(xiàn)階段安全控制產(chǎn)品設(shè)計(jì)出不同類型的安全控制產(chǎn)品,分為以下幾個(gè)類型:第一種傳統(tǒng)的安全控制產(chǎn)品是虛擬機(jī)的形態(tài),相應(yīng)的安全設(shè)備可以借助虛擬設(shè)備完成數(shù)據(jù)信息的循環(huán)化處理,通過這種方式可以將保證其中的網(wǎng)絡(luò)拓?fù)浞€(wěn)定性,但是該種產(chǎn)品其安全性相對較低,容易被其他受到感染的虛擬處理終端目的性攻擊,其該設(shè)備內(nèi)部配置相對比較復(fù)雜。第二種是形態(tài),一般是agent模式,它是一種具體的形式部署在不同虛擬機(jī)的操作系統(tǒng)當(dāng)中的模式,該系統(tǒng)內(nèi)質(zhì)是借助Hypervisor完成不同應(yīng)用之間的連接,通過該種模式可以真實(shí)性的監(jiān)控虛擬機(jī)的現(xiàn)實(shí)數(shù)據(jù)傳輸量,從而控制其中的數(shù)據(jù)傳輸。但是該種方法受到了一定程度的Hypervisor的顯示,如果該端口沒有提供合理性的接口,那么虛擬中的數(shù)據(jù)傳輸就需要尋找其它端口進(jìn)行數(shù)據(jù)連接,這對于開發(fā)者而言是相對困難的。第三,可以在實(shí)體的網(wǎng)絡(luò)連接當(dāng)中接入SDN處理技術(shù),雖然該形態(tài)可能受到虛擬環(huán)境的限制,但是該種方法可以從系統(tǒng)內(nèi)部完成對數(shù)據(jù)傳輸?shù)目刂?,這樣信道內(nèi)部的數(shù)據(jù)就可以完整的被牽引到實(shí)體設(shè)備當(dāng)中,而操作者僅僅通過建立隔離模板就完整的實(shí)現(xiàn)了對系統(tǒng)的控制。
3結(jié)論
1.1校園網(wǎng)絡(luò)部件帶來的問題。高校需要的機(jī)器設(shè)備很多,導(dǎo)致很多高校由于經(jīng)費(fèi)的問題遲遲不更換老舊的設(shè)備,使得整個(gè)網(wǎng)絡(luò)處于崩潰的邊緣,主機(jī)使用的軟件并非正版軟件,甚至本身攜帶一些病毒,增大了網(wǎng)絡(luò)安全隱患。網(wǎng)絡(luò)設(shè)備在建設(shè)完成之后,需要專業(yè)技術(shù)人員的維護(hù),而在大多數(shù)高校,缺乏專業(yè)的維護(hù)人員,出現(xiàn)問題之后只能找外包公司解決,錯(cuò)過了避免事故的最佳時(shí)期。管理員不懂技術(shù)可能會導(dǎo)致很多計(jì)算機(jī)通過校園網(wǎng)絡(luò)接入病毒,甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。高校設(shè)計(jì)網(wǎng)絡(luò)環(huán)境時(shí),出現(xiàn)硬件設(shè)計(jì)漏洞,不經(jīng)過調(diào)試和改善就投入使用,導(dǎo)致無法適用于瞬息萬變的網(wǎng)絡(luò)世界而受到攻擊和破壞。另外,多數(shù)高校的計(jì)算機(jī)系統(tǒng)沒有使用較為安全的系統(tǒng),在微軟宣布不再對XP系統(tǒng)支持后,沒有更換合適的操作系統(tǒng),導(dǎo)致產(chǎn)生網(wǎng)絡(luò)漏洞。
1.2校園網(wǎng)絡(luò)管理員存在的問題。高校忽視網(wǎng)絡(luò)安全的建設(shè),沒有基本防御措施,缺乏對一般性安全漏洞的防御能力,網(wǎng)絡(luò)設(shè)備建成后,需要專業(yè)的技術(shù)人員維護(hù),校園網(wǎng)絡(luò)隨時(shí)都可能受到攻擊,需要技術(shù)人員具備解決問題的能力,而不少高校只有管理機(jī)房使用的老師,缺乏技術(shù)人員,面對問題,只能請維修企業(yè)處理。計(jì)算機(jī)操作系統(tǒng)并不是一直安全的,微軟公司一直根據(jù)病毒或者其他黑客攻擊手段,完善自己的系統(tǒng),而高校日常的維護(hù)和更新也沒有專業(yè)的技術(shù)人員處理,機(jī)房計(jì)算機(jī)系統(tǒng)一直使用較老的操作系統(tǒng)版本,帶來很大隱患。另外,校園網(wǎng)絡(luò)管理者缺乏安全意識,泄露相關(guān)管理員密碼,使得別有用心的人獲取密碼,破壞校園網(wǎng)絡(luò)。
1.3校園網(wǎng)絡(luò)使用者帶來的隱患。作為校園網(wǎng)絡(luò)的使用者,學(xué)生自身不懂網(wǎng)絡(luò)安全,從網(wǎng)絡(luò)下載軟件的同時(shí)帶來了一些病毒。造成了網(wǎng)絡(luò)安全事件的發(fā)生。部分熱愛技術(shù)的學(xué)生甚至以校園網(wǎng)絡(luò)作為攻擊的對象,獲取他人的帳號和信息。這些行為都會給校園網(wǎng)絡(luò)帶來安全隱患,有些還可能導(dǎo)致網(wǎng)絡(luò)癱瘓。
2解決高校網(wǎng)絡(luò)安全問題的對策
2.1加大校園網(wǎng)絡(luò)的資金投入。高校應(yīng)該購買新的網(wǎng)絡(luò)設(shè)備用于建設(shè)校園網(wǎng)絡(luò),新設(shè)備具備更高的安全性,可以預(yù)防較為簡單的網(wǎng)絡(luò)攻擊。在教學(xué)上,更應(yīng)該購買正版軟件,正版軟件沒有病毒,能夠得到廠家的技術(shù)支持。另外,高校應(yīng)該招聘專門的網(wǎng)絡(luò)技術(shù)人員,維護(hù)校園網(wǎng)絡(luò)的正常運(yùn)行,技術(shù)人員要具備網(wǎng)絡(luò)安全知識,能夠及時(shí)處理突發(fā)狀況,避免校園網(wǎng)絡(luò)受到攻擊。專業(yè)的技術(shù)人員更能提高網(wǎng)絡(luò)設(shè)備的使用效率和使用年限。
2.2建立健全網(wǎng)絡(luò)安全管理制度。高校要加強(qiáng)網(wǎng)絡(luò)安全的宣傳和教育,培訓(xùn)網(wǎng)絡(luò)管理員安全意識,定期維護(hù)網(wǎng)絡(luò)設(shè)備和主機(jī),提高師生的網(wǎng)絡(luò)道德,從根本杜絕來自內(nèi)部的網(wǎng)絡(luò)攻擊。建立校園網(wǎng)使用規(guī)范,并用多種方式宣傳,例如通過學(xué)校網(wǎng)站,校內(nèi)廣播,校內(nèi)宣傳欄等,讓學(xué)生明白網(wǎng)絡(luò)安全的重要性,能夠按照國家網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)約束自己,自覺加入維護(hù)校園網(wǎng)絡(luò)安全的陣營中來,為維護(hù)校園網(wǎng)絡(luò)安全貢獻(xiàn)自己的力量。宣傳不能解決所有的問題,高校要合理設(shè)置校園網(wǎng)絡(luò)的權(quán)限,在登陸環(huán)節(jié),要制定安全的登陸方式,盡量采用實(shí)名驗(yàn)證和學(xué)號驗(yàn)證的方式,避免校外人員使用校園網(wǎng)帶來不安全因素。
2.3加強(qiáng)對于安全漏洞的防范。在網(wǎng)絡(luò)安全技術(shù)中,防火墻技術(shù)應(yīng)用十分廣泛,防火墻是一種計(jì)算機(jī)硬件和軟件的結(jié)合,使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。在防火墻的設(shè)置中,要過濾內(nèi)地址路由包,清楚錯(cuò)誤地址的IP數(shù)據(jù)包,網(wǎng)絡(luò)管理員經(jīng)常檢查安全日志,及時(shí)發(fā)現(xiàn)和處理不合法的登陸與外網(wǎng)的攻擊行為。通過設(shè)置防火墻的相關(guān)參數(shù)來提升安全等級。建立網(wǎng)絡(luò)各主機(jī)和對外服務(wù)器的安全保護(hù)措施,保證系統(tǒng)安全,利用防火墻對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制,使非法訪問在到達(dá)主機(jī)前被拒絕,利用防火墻加強(qiáng)合法用戶的訪問認(rèn)證,同時(shí)在不影響用戶正常訪問的基技術(shù)人員的配備不完善,無法應(yīng)對大規(guī)模的網(wǎng)絡(luò)攻擊,需要相關(guān)技術(shù)企業(yè)的幫助,因此,高校應(yīng)該和社會企業(yè)進(jìn)行長時(shí)間的合作,在事件發(fā)生的時(shí)候能夠及時(shí)處理。高校應(yīng)該建立信息備份制度,對于重要的信息要保存在不受網(wǎng)絡(luò)入侵的物理設(shè)備中,以防因安全事件導(dǎo)致學(xué)校不能正常工作。引起學(xué)生和家長的不滿和恐慌。日常信息通信中,要使用數(shù)據(jù)加密技術(shù),確保信息傳輸?shù)陌踩?。礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi),利用防火墻全面監(jiān)視對公開服務(wù)器的訪問,及時(shí)發(fā)現(xiàn)和阻止非法操作;另外可以采用諸多技術(shù)來預(yù)防破壞,例如網(wǎng)絡(luò)入侵檢測技術(shù),即是指通過對行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測到對系統(tǒng)的闖入或闖入的企圖??梢栽谙到y(tǒng)中按照網(wǎng)絡(luò)入侵檢測系統(tǒng),在外網(wǎng)和內(nèi)網(wǎng)都設(shè)立監(jiān)測點(diǎn),實(shí)時(shí)檢查,系統(tǒng)會提醒管理員是否有攻擊行為;還可以采用數(shù)據(jù)加密技術(shù),在客戶端登陸檢查,校園網(wǎng)教務(wù)管理系統(tǒng)中都可以使用;每臺主機(jī)多要安裝防病毒軟件,用于檢測日常上網(wǎng)收到的病毒攻擊。
2.4建立網(wǎng)絡(luò)安全應(yīng)急機(jī)制。校園網(wǎng)絡(luò)安全突發(fā)事件需要建立網(wǎng)絡(luò)安全應(yīng)急機(jī)制,以防止事件引發(fā)更大的損失,應(yīng)急機(jī)制需要高校和相關(guān)企業(yè)的聯(lián)動,高校網(wǎng)絡(luò)安全
3結(jié)束語
通過將內(nèi)部網(wǎng)絡(luò)間接連接到網(wǎng)絡(luò)上就可以實(shí)現(xiàn)物理隔離,這就是物理安全防范措施。通過物理安全防范可以實(shí)現(xiàn)保護(hù)工作站、網(wǎng)絡(luò)服務(wù)器以及路由器等硬件免受自然災(zāi)害以及人為因素的影響。唯有將公共網(wǎng)與內(nèi)部網(wǎng)物理隔離開,才能夠保證內(nèi)部網(wǎng)絡(luò)免受黑客等的入侵,在一定程度上保證安全,并且更有利于管理人員的控制、管理。
2防病毒技術(shù)
計(jì)算機(jī)病毒難以根除,具有強(qiáng)大的攻擊性,可以破壞計(jì)算機(jī)中的應(yīng)用程序,甚至可以刪除文件、格式化硬盤,因此現(xiàn)階段防范計(jì)算機(jī)病毒是保障信息網(wǎng)絡(luò)安全的重點(diǎn)。通過多年的科學(xué)研究,現(xiàn)階段已經(jīng)有三種常見的病毒防范技術(shù),分別是預(yù)防病毒、檢測病毒和網(wǎng)絡(luò)消毒。
3施行身份認(rèn)證
通過確認(rèn)操作者身份來保證網(wǎng)絡(luò)安全的技術(shù)稱之為身份認(rèn)證技術(shù)。常見的身份認(rèn)證有兩種方式,分別是主機(jī)之間的認(rèn)證、主機(jī)與用戶間的認(rèn)證。主機(jī)與用戶之間的認(rèn)證可以通過設(shè)置密碼、用戶生理特征、智能卡等多種方式進(jìn)行設(shè)置。
4防火墻技術(shù)
防火墻技術(shù)是現(xiàn)階段使用頻率最高的安全防范技術(shù)。防火墻技術(shù)的技術(shù)核心就是通過構(gòu)建一個(gè)比較安全的環(huán)境來盡量保證用戶的網(wǎng)絡(luò)安全。防火墻可以根據(jù)用戶的個(gè)人需求來控制網(wǎng)絡(luò)域間的信息安全,并且防火墻本身也具有一定的攻擊能力?,F(xiàn)階段防火墻主要有三種,分別是:全狀態(tài)包過濾型、包過濾型以及服務(wù)器型。
5采用入侵檢測技術(shù)
用戶采用入侵檢測技術(shù)后,就可以及時(shí)檢測到系統(tǒng)中的異?,F(xiàn)象,并及時(shí)報(bào)告,繼而達(dá)到保障網(wǎng)絡(luò)安全的目的。漏洞掃描技術(shù)。通過對電腦進(jìn)行全方位的檢測,及時(shí)更新漏洞補(bǔ)丁,完成修復(fù)就可以減少黑客利用漏洞發(fā)動攻擊的幾率,繼而達(dá)到保護(hù)用戶網(wǎng)絡(luò)的目的。
6合理的管理措施
通過多方面的安全管理措施,例如:完善計(jì)算機(jī)管理技術(shù),建立管理機(jī)構(gòu),加強(qiáng)用戶安全教育等方式來預(yù)防和控制病毒與黑客給用戶帶來的影響。使用信息加密技術(shù)。在網(wǎng)絡(luò)中,每個(gè)用戶都使用了大量的應(yīng)用程序以便于工作、生活,因此為了保證個(gè)人、工作方面的隱私被泄露要采用信息加密技術(shù)來保障網(wǎng)絡(luò)安全。
7結(jié)論
加強(qiáng)云計(jì)算背景下網(wǎng)絡(luò)安全技術(shù)的建設(shè)有利于加強(qiáng)對客戶端軟件的監(jiān)控與追蹤。云計(jì)算能夠同時(shí)對很多的數(shù)據(jù)進(jìn)行追蹤分析,因此在此基礎(chǔ)下的就可以對客戶端的軟件運(yùn)行情況進(jìn)行詳細(xì)的跟蹤與監(jiān)控,這樣就可以更加有效的查找出網(wǎng)絡(luò)中存在的木馬與病毒等威脅程序,從而對這些威脅及時(shí)的進(jìn)行處理,以提高網(wǎng)絡(luò)運(yùn)行的安全性,確保用戶的數(shù)據(jù)安全。
2云計(jì)算背景下網(wǎng)絡(luò)安全方面存在的主要問題
目前我國的網(wǎng)絡(luò)技術(shù)尚處于發(fā)展的階段,很多的網(wǎng)絡(luò)技術(shù)還不成熟,雖然云計(jì)算作為一種新的信息處理方式在實(shí)際的應(yīng)用越來越廣泛,但是由于其外部原因及內(nèi)在原因的影響,目前的網(wǎng)絡(luò)安全問題還存在的很多的缺陷,根據(jù)目前的實(shí)際來看,云計(jì)算背景下網(wǎng)絡(luò)安全方面存在的問題分為以下幾個(gè)方面:
(1)數(shù)據(jù)的通信安全尚不能得到有效的保障,信息安全性有待提高。計(jì)算機(jī)網(wǎng)絡(luò)的主要功能是加強(qiáng)用戶間信息的共享與數(shù)據(jù)的傳遞,方便大家的信息互通,數(shù)據(jù)通信作為網(wǎng)絡(luò)的主要內(nèi)容之一,在云計(jì)算的背景下我們更要加強(qiáng)對其通道安全性的保護(hù)。目前威脅到云計(jì)算背景下數(shù)據(jù)通信安全的因素主要分為:對服務(wù)器進(jìn)行惡意攻擊,在短時(shí)間內(nèi)連續(xù)的發(fā)送服務(wù)申請,堵塞信息的傳輸通道,導(dǎo)致用戶不能夠進(jìn)行正常的數(shù)據(jù)傳輸;黑客入侵系統(tǒng)之中隨意的篡改系統(tǒng)的數(shù)據(jù),導(dǎo)致服務(wù)器或者是用戶系統(tǒng)里的數(shù)據(jù)被刪除或修改,破壞數(shù)據(jù)運(yùn)行;通過監(jiān)聽數(shù)據(jù)的傳輸從中竊取個(gè)人的數(shù)據(jù)信息。
(2)網(wǎng)絡(luò)系統(tǒng)比較脆弱,易被外來不良因素所侵入。我國的計(jì)算機(jī)技術(shù)尚處于不完善的狀態(tài),網(wǎng)絡(luò)系統(tǒng)普遍的存在比較薄弱的現(xiàn)象,比如電子郵件中存在漏洞,用戶數(shù)據(jù)容易丟失,這成為了網(wǎng)絡(luò)黑客打擊網(wǎng)絡(luò)運(yùn)行竊取個(gè)人信息的主要渠道;還有現(xiàn)在計(jì)算機(jī)的操作系統(tǒng)都普遍的比較薄弱,系統(tǒng)很容易受到外界的攻擊,導(dǎo)致用戶的訪問權(quán)限受到限制,影響用戶的正常使用;數(shù)據(jù)庫也比較薄弱,現(xiàn)在的數(shù)據(jù)庫系統(tǒng)無論是在保密性還是在數(shù)據(jù)的完整性等性能上都存在一定的安全隱患,使得用戶的數(shù)據(jù)會發(fā)生被盜或篡改的現(xiàn)象。
(3)網(wǎng)絡(luò)環(huán)境比較復(fù)雜,網(wǎng)絡(luò)運(yùn)行有待提高。云計(jì)算的廣泛應(yīng)用使計(jì)算機(jī)網(wǎng)絡(luò)在大眾中的應(yīng)用得到了廣泛的普及,網(wǎng)絡(luò)的用戶數(shù)量也在急劇的增加。但是目前的網(wǎng)絡(luò)環(huán)境還是存在著很多的問題的,與傳統(tǒng)的網(wǎng)絡(luò)環(huán)境存在很多的不同之處,現(xiàn)在云計(jì)算系統(tǒng)中的網(wǎng)絡(luò)用戶的信息資源一般是來自于云平臺,而不是固定的實(shí)體網(wǎng)絡(luò),這樣就提高了信息的復(fù)雜度,增加人們對信息的辨別難度;現(xiàn)在一些用戶利用臨時(shí)租來的網(wǎng)絡(luò),雖然能夠在一定的程度上解決計(jì)算機(jī)運(yùn)力不足、硬件存儲不夠等方面的問題,但是由于云計(jì)算是一個(gè)整合的虛擬網(wǎng)絡(luò)系統(tǒng),數(shù)據(jù)庫中缺乏對臨界數(shù)據(jù)的保護(hù),這樣就會大大的增加檢測的難度,且不能夠有效的保證數(shù)據(jù)的安全。
(4)系統(tǒng)存儲數(shù)據(jù)的安全性能不能夠保障。存儲數(shù)據(jù)的安全性標(biāo)準(zhǔn)會直接的影響到整個(gè)計(jì)算機(jī)系統(tǒng)的運(yùn)行,在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境之中,信息的共享一般只限于單機(jī)的共享,因此其安全性可以完全的由一個(gè)單機(jī)來決定,但是在云計(jì)算的虛擬網(wǎng)絡(luò)系統(tǒng)之中,數(shù)據(jù)的存儲一般都是基于網(wǎng)絡(luò)運(yùn)營商的平臺,信息的共享程度更高,而存儲數(shù)據(jù)的安全性卻不能夠得到保證,這主要是取決于運(yùn)營商的誠信及系統(tǒng)的安全技術(shù)性能,這就給數(shù)據(jù)的安全帶來了未知,影響到存儲數(shù)據(jù)的整體安全性。
(5)系統(tǒng)中的身份認(rèn)證有缺陷。身份認(rèn)證是現(xiàn)代網(wǎng)絡(luò)系統(tǒng)加強(qiáng)自我防范的一項(xiàng)重要措施技術(shù),但是由于技術(shù)水平問題,現(xiàn)在的網(wǎng)絡(luò)中的身份認(rèn)證系統(tǒng)很容易受到攻擊與入侵,導(dǎo)致用戶信息流失、數(shù)據(jù)不安全問題時(shí)有發(fā)生。一般黑客都會通過攻擊云平臺的管理器來竊取用戶的資料和信息,進(jìn)行非法的登錄,竊取相關(guān)的數(shù)據(jù),造成用戶資源的流失,給用戶帶來巨大的損失。
3云計(jì)算下網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)的路徑分析
云計(jì)算是一種新型的網(wǎng)絡(luò)模式,他能夠有效的整合互聯(lián)網(wǎng)中的計(jì)算技術(shù),大大的提高數(shù)據(jù)計(jì)算的效率與速度,增強(qiáng)數(shù)據(jù)分析能力,從而節(jié)省用戶的資源。為了能夠有效的提高云計(jì)算的網(wǎng)絡(luò)安全性能,我們可以通過以下幾方面的技術(shù)進(jìn)行提高:
(1)加強(qiáng)防火墻技術(shù)設(shè)計(jì),在云計(jì)算網(wǎng)絡(luò)系統(tǒng)中設(shè)置智能的防火墻。防火墻是加強(qiáng)網(wǎng)絡(luò)安全,防止外客入侵的重要技術(shù)手段,智能化的防火墻技術(shù)不僅能夠有效的辨別信息,而且還能夠起到控制網(wǎng)絡(luò)數(shù)據(jù)安全的功能,通過設(shè)置這種防火墻可以有效的進(jìn)行數(shù)據(jù)主機(jī)過程阻斷,這樣黑客用戶就不能進(jìn)行交流,就可以解決信息通道阻塞的問題,同時(shí)還可以防止因?yàn)镮P地址被篡改而導(dǎo)致的欺騙問題的發(fā)生,大大的提高系統(tǒng)用戶的使用安全。
(2)加強(qiáng)系統(tǒng)機(jī)密技術(shù)設(shè)計(jì),提高云計(jì)算網(wǎng)絡(luò)系統(tǒng)的保密性?,F(xiàn)在系統(tǒng)的加密技術(shù)主要分為公鑰加密和私鑰加密兩種方式,將系統(tǒng)中的數(shù)據(jù)進(jìn)行機(jī)密處理后就可以有效提高數(shù)據(jù)的保密性,使系統(tǒng)中的數(shù)據(jù)不能夠被隨意的篡改、竊取。同時(shí)我們還可以在計(jì)算機(jī)網(wǎng)絡(luò)中安裝安全過濾器,阻斷那些系統(tǒng)中的惡意程序和信息,提高運(yùn)營平臺的安全性能,避免用戶信息外泄等問題情況的發(fā)生,提升網(wǎng)絡(luò)運(yùn)營管理水平。
(3)加強(qiáng)反病毒技術(shù)設(shè)計(jì),提高云計(jì)算網(wǎng)絡(luò)病毒預(yù)防能力。隨著計(jì)算機(jī)技術(shù)的發(fā)展進(jìn)步,網(wǎng)絡(luò)病毒的種類與數(shù)量也在不斷的增多,病毒的性能也在不斷的加強(qiáng),對此我們必須要加強(qiáng)警惕,采用相關(guān)的動態(tài)技術(shù)或者是靜態(tài)技術(shù)來提高網(wǎng)絡(luò)的防病毒能力,增強(qiáng)對反病毒技術(shù)的設(shè)計(jì)研究,從而有效的加強(qiáng)對病毒的處理,全面的提高計(jì)算機(jī)的網(wǎng)絡(luò)安全性。
(4)加強(qiáng)防護(hù)技術(shù)的設(shè)計(jì),提高云計(jì)算網(wǎng)絡(luò)的自我預(yù)防與外部預(yù)防能力。有效的防護(hù)技術(shù)不僅能夠確保網(wǎng)絡(luò)的安全,而且還能夠經(jīng)常的對網(wǎng)絡(luò)進(jìn)行更新檢查,查漏補(bǔ)缺,對于網(wǎng)絡(luò)存在的安全隱患和安全問題及時(shí)的進(jìn)行處理和修復(fù)。根據(jù)云計(jì)算網(wǎng)絡(luò)環(huán)境中不能設(shè)置臨界安全的特點(diǎn),可以在云計(jì)算中設(shè)置安全防護(hù)系統(tǒng),把子系統(tǒng)中的安全防護(hù)擴(kuò)展到整個(gè)的云計(jì)算網(wǎng)絡(luò)環(huán)境中,全面的加強(qiáng)云計(jì)算網(wǎng)絡(luò)安全的保護(hù)。
4結(jié)語
關(guān)鍵詞:網(wǎng)絡(luò)銀行;網(wǎng)絡(luò)安全;VPN技術(shù)
一、網(wǎng)絡(luò)銀行基本理論
(一)網(wǎng)絡(luò)銀行的定義。所謂網(wǎng)絡(luò)銀行,就是指基于網(wǎng)絡(luò)信息技術(shù),通過向互聯(lián)網(wǎng)用戶所提供的各種金融服務(wù)的網(wǎng)絡(luò)平臺。網(wǎng)絡(luò)銀行可以是一種虛擬的交易平臺,也可能是實(shí)體銀行發(fā)展的互聯(lián)網(wǎng)業(yè)務(wù)。通過計(jì)算機(jī)、網(wǎng)絡(luò)以及傳統(tǒng)銀行之間的相互融合,能夠?yàn)榛ヂ?lián)網(wǎng)用戶提供全面的互聯(lián)網(wǎng)金融服務(wù)。與傳統(tǒng)的商業(yè)銀行相比較而言,網(wǎng)絡(luò)銀行運(yùn)行環(huán)境是基于互聯(lián)網(wǎng)技術(shù)發(fā)展而產(chǎn)生并形成的,不僅能夠突破傳統(tǒng)銀行在經(jīng)營時(shí)間、空間等方面的限制,而且網(wǎng)絡(luò)銀行能為客戶所提供的網(wǎng)絡(luò)交易服務(wù)的附加值不斷增加,能夠獲得更加巨額的利潤。(二)我國網(wǎng)絡(luò)銀行發(fā)展階段第一階段:這一階段是網(wǎng)絡(luò)銀行初期萌芽時(shí)期,作為計(jì)算機(jī)輔助銀行管理狀態(tài)的形成時(shí)期,主要集中在20世紀(jì)50年代至80年代中后期這一階段。在早期金融電子化技術(shù)的形成時(shí)期,各大銀行的分支機(jī)構(gòu)以及營業(yè)網(wǎng)點(diǎn)主要利用計(jì)算機(jī)來進(jìn)行記賬與結(jié)算工作,即簡單的脫機(jī)處理階段。發(fā)展到中期階段,即20世紀(jì)60年代左右,金融電子化的發(fā)展已經(jīng)逐漸從脫機(jī)處理模式發(fā)展為聯(lián)機(jī)處理系統(tǒng),從而為銀行之間匯兌業(yè)務(wù)的發(fā)展提供技術(shù)支持,隨后又出現(xiàn)了電子資金轉(zhuǎn)賬技術(shù),這為網(wǎng)絡(luò)銀行的發(fā)展提供了可行性與技術(shù)支持。第二階段:這一階段是網(wǎng)絡(luò)銀行不斷形成的時(shí)期,作為銀行電子化以及金融信息化形成階段,主要集中在20世紀(jì)80年代后期至90年代中期。在這一時(shí)期,計(jì)算器的普及率顯著提高,商業(yè)銀行也已經(jīng)將計(jì)算機(jī)作為銀行發(fā)展的重點(diǎn),即早期的個(gè)人電子銀行業(yè)務(wù)。這一階段發(fā)展到80年代左右,我國不同的商業(yè)銀行之間逐漸形成了具有網(wǎng)絡(luò)化的金融信息服務(wù)系統(tǒng),而且與國外其他的商業(yè)銀行之間的電子信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行對接,從而促使全球金融信息網(wǎng)絡(luò)系統(tǒng)的形成與發(fā)展。在這一過程中,對于電子金融系統(tǒng)的發(fā)展與建設(shè)開展的方式更加多樣,例如在線網(wǎng)絡(luò)銀行服務(wù)、自動取款機(jī)系統(tǒng)以及銷售終端系統(tǒng)也在不斷地形成與完善。第三階段:這一階段是網(wǎng)絡(luò)銀行不斷發(fā)展并且壯大的時(shí)期,作為網(wǎng)絡(luò)銀行發(fā)展的新型階段,從20世紀(jì)90年展至今。網(wǎng)絡(luò)銀行的功能已經(jīng)不僅僅局限于為用戶提供自主服務(wù)了,而是通過互聯(lián)網(wǎng)技術(shù)的發(fā)展為人們提供了即時(shí)投資理財(cái)、在線交易、支付轉(zhuǎn)賬等一系列網(wǎng)絡(luò)金融服務(wù),這一過程標(biāo)志著我國的商業(yè)銀行從傳統(tǒng)銀行向現(xiàn)代銀行轉(zhuǎn)變已經(jīng)基本完成。
二、網(wǎng)絡(luò)安全對于網(wǎng)絡(luò)銀行發(fā)展的重要性
網(wǎng)絡(luò)安全發(fā)展到現(xiàn)階段為止,不僅局限于網(wǎng)絡(luò)交易安全,而且還在于網(wǎng)絡(luò)信息安全。即網(wǎng)絡(luò)用戶在利用網(wǎng)絡(luò)銀行進(jìn)行交易的過程中能否保證資金準(zhǔn)確地進(jìn)行收支,能否順利地實(shí)現(xiàn)投資與收益,能否快捷地實(shí)現(xiàn)網(wǎng)絡(luò)支付等。而且在網(wǎng)絡(luò)交易過程中還要保證用戶的信息安全,是否足夠保密,能否被不法分子獲取而利用。所以說,網(wǎng)絡(luò)安全問題不僅是網(wǎng)絡(luò)銀行發(fā)展的一種重要保證,而且還是網(wǎng)絡(luò)銀行發(fā)展的重要阻礙。如果網(wǎng)絡(luò)銀行的網(wǎng)絡(luò)安全能夠獲得足夠的保證,那么就會吸引更多的用戶使用網(wǎng)絡(luò)銀行,保證網(wǎng)絡(luò)銀行業(yè)的正常發(fā)展。如果網(wǎng)絡(luò)銀行發(fā)展不能夠得到保證,一方面會影響網(wǎng)絡(luò)用戶的信任,從而造成網(wǎng)絡(luò)銀行的發(fā)展困難;另一方面網(wǎng)絡(luò)銀行自身也會因?yàn)榫W(wǎng)絡(luò)安全問題而出現(xiàn)故障,造成網(wǎng)絡(luò)銀行系統(tǒng)發(fā)展出現(xiàn)故障。
三、網(wǎng)絡(luò)銀行的安全對策
網(wǎng)絡(luò)銀行的安全對策有很多,現(xiàn)階段VPN這一虛擬網(wǎng)絡(luò)遠(yuǎn)程訪問技術(shù)是發(fā)展和完善網(wǎng)絡(luò)銀行的必由之路,因?yàn)閂PN技術(shù)包括隧道協(xié)議技術(shù)、加密技術(shù)、認(rèn)證技術(shù)以及存取控制等方面的優(yōu)勢,能夠?qū)崿F(xiàn)私有隧道通信,確保用戶的信息安全,保證網(wǎng)絡(luò)銀行的正常運(yùn)行與發(fā)展。
(一)VPN技術(shù)的分類
1、隧道協(xié)議技術(shù)。隧道協(xié)議技術(shù)即將信息進(jìn)行封裝之后來進(jìn)行的信息傳遞技術(shù),簡單地說就是在信息發(fā)出地進(jìn)行封裝,當(dāng)信息到達(dá)信息接受地之后去掉封裝,將信息還原成原始信息。這一過程中的封裝技術(shù)就相當(dāng)于建立的接收地與發(fā)出地之間的專有隧道一樣,隧道協(xié)議技術(shù)又包括兩種,即端對端隧道技術(shù)以及點(diǎn)對點(diǎn)隧道技術(shù)。端對端隧道技術(shù)是指將用戶的個(gè)人電腦覆蓋到用戶所處的服務(wù)器之中,這樣每一個(gè)端點(diǎn)的VPN設(shè)備都能夠?qū)τ谒淼赖慕⑴c資料加密進(jìn)行負(fù)責(zé),確保信息安全。點(diǎn)對點(diǎn)隧道技術(shù)是指將不同地區(qū)的局域網(wǎng)進(jìn)行連接的技術(shù)。在這一過程中,局域網(wǎng)在內(nèi)部傳送資料時(shí)不會對資料進(jìn)行任何的操作,但如果想要傳送到網(wǎng)絡(luò)環(huán)境或者其他的局域網(wǎng)絡(luò)中,這些材料才會被加密并且經(jīng)由隧道來傳送到下一個(gè)相對應(yīng)的節(jié)點(diǎn)設(shè)備。當(dāng)節(jié)點(diǎn)獲取信息資料之后,VPN設(shè)備就會將資料進(jìn)行解封并且還原,然后再在局域網(wǎng)絡(luò)內(nèi)部進(jìn)行傳遞。2、加密技術(shù)。VPN設(shè)備目前可以支持市面上主流的集中加密技術(shù),包括但不限于RivesCipher技術(shù)、DES技術(shù)以及Triple-DES技術(shù)等。其中,對于密鑰長度的選擇主要依據(jù)資料的機(jī)密程度以及資料所用過的局域網(wǎng)絡(luò)安全性等因素。如果VPN采用了加密技術(shù)之后,系統(tǒng)必須為用戶提供密鑰或者獲取密鑰的方法。目前最為常見的密鑰管理技術(shù)主要是點(diǎn)對點(diǎn)協(xié)議(PPP)中的加密控制協(xié)議(ECP)、具備密鑰管理功能的點(diǎn)對點(diǎn)加密技術(shù)(MPPE)等技術(shù)。如果資料過于敏感,VPN設(shè)備還會通過增加硬件來對模塊進(jìn)行加密。3、認(rèn)證技術(shù)。所謂的VPN認(rèn)證技術(shù),主要包括密碼認(rèn)證協(xié)議(PAP)、挑戰(zhàn)性握手驗(yàn)證協(xié)議(CHAP)以及MicrosoftCHAP的支持能力。認(rèn)證技術(shù)一般也包括兩種形式的認(rèn)證:(1)用戶身份認(rèn)證。在建立VPN連接之前,VPN設(shè)備會首先對用戶的身份信息進(jìn)行檢驗(yàn),從而保證發(fā)出信息的用戶是合法的授權(quán)用戶,如果在認(rèn)證過程中選擇了雙向認(rèn)證,還要檢驗(yàn)VPN設(shè)備是否是授權(quán)的VPN設(shè)備服務(wù)器,從而防止非法的服務(wù)器來提供或者獲取信息。(2)數(shù)據(jù)完整性與合法性認(rèn)證。在進(jìn)行數(shù)據(jù)傳輸之間,VPN設(shè)備會對于數(shù)據(jù)的來源進(jìn)行認(rèn)證,并且在傳輸?shù)倪^程中檢驗(yàn)信息是否經(jīng)過非法篡改。而且VPN鏈路中的數(shù)據(jù)具有密碼認(rèn)證功能,密鑰只屬于數(shù)據(jù)發(fā)出者與數(shù)據(jù)接收者雙方所有。4、控制技術(shù)。當(dāng)VPN設(shè)備確認(rèn)用戶之后,就會對每一個(gè)用戶來進(jìn)行不同的全新認(rèn)證,用戶如果想要控制或者發(fā)送信息就必須接受身份信息的檢驗(yàn),并且要接受程序的認(rèn)知,這樣才能夠保證設(shè)備清楚地了解信息發(fā)出者以及用戶能夠具有什么樣的權(quán)限。
(二)VPN隧道通信私有化
1、封裝通用路由器。為了實(shí)現(xiàn)隧道通信的私有化,首先應(yīng)該使路由器封裝技術(shù),即為IP數(shù)據(jù)包添加IP頭,然后對于數(shù)據(jù)進(jìn)行私有化包裝,進(jìn)一步傳送到其他局域網(wǎng)絡(luò)。這樣做的原因在于銀行私有網(wǎng)絡(luò)通常有著自己所規(guī)劃的地址,所以無法與外部的互聯(lián)網(wǎng)建立路由關(guān)系。2、點(diǎn)對點(diǎn)隧道協(xié)議。通過點(diǎn)對點(diǎn)隧道協(xié)議的建立,能夠?qū)?shù)據(jù)包與控制包進(jìn)行分離,這樣一來數(shù)據(jù)包采用TCP控制,實(shí)現(xiàn)狀態(tài)查詢以及信令信息功能。首先要將數(shù)據(jù)包封裝在PPP協(xié)議內(nèi),然后再封裝到GRE協(xié)議中。
(三)VPN技術(shù)在網(wǎng)絡(luò)銀行中的應(yīng)用
VPN的核心是隧道技術(shù),隧道的設(shè)置非常靈活。在點(diǎn)對點(diǎn)隧道中,遠(yuǎn)程客戶的設(shè)備向網(wǎng)絡(luò)銀行申請隧道,再由兩邊的設(shè)備建立隧道并負(fù)責(zé)其之間數(shù)據(jù)的加密和解密;在端對端隧道中,隧道主要連接到兩端的局域網(wǎng),過程中數(shù)據(jù)包傳遞必須要通過一系列隧道,并由客戶和網(wǎng)絡(luò)銀行兩端的防火墻等網(wǎng)絡(luò)邊緣設(shè)備負(fù)責(zé)其安全。網(wǎng)絡(luò)銀行通過VPN網(wǎng)絡(luò)中的遠(yuǎn)程撥入用戶安全服務(wù)器對訪問用戶進(jìn)行權(quán)限控制。在客戶進(jìn)行訪問時(shí),該服務(wù)器先確認(rèn)客戶是否有存取權(quán)限,同時(shí)向被訪問設(shè)備發(fā)送客戶IP地址分配、用戶最常接入時(shí)間等信息對客戶進(jìn)行驗(yàn)證,若信息完全相符,就允許建立隧道,否則隧道就會終止。網(wǎng)絡(luò)銀行通過附加了提高安全性標(biāo)準(zhǔn)協(xié)議的IPSecVPN技術(shù)對數(shù)據(jù)進(jìn)行加密、認(rèn)證客戶身份。IPSec包含了用戶身份認(rèn)證、查驗(yàn)和數(shù)據(jù)完整性等內(nèi)容,具有安全性高、可靠性高以及可靈活擴(kuò)展等優(yōu)點(diǎn),實(shí)現(xiàn)了可移動用戶的網(wǎng)絡(luò)互聯(lián),為銀行更多的業(yè)務(wù)需要提供了技術(shù)保障。在銀行與其分行之間建立VPN隧道,形成銀行自有的信息傳輸系統(tǒng),利用互聯(lián)網(wǎng)加強(qiáng)與客戶之間的聯(lián)系,為客戶提供更多服務(wù)。既保證了安全性,又節(jié)省了開支,加快信息傳遞,提高流程效率,提升了銀行的核心競爭力。
四、結(jié)論
網(wǎng)絡(luò)銀行在不斷發(fā)展的過程中已經(jīng)成為廣大網(wǎng)民必需的網(wǎng)絡(luò)技術(shù),不僅表現(xiàn)在網(wǎng)絡(luò)銀行具有最全面、最集中、最突出的包容形式,而且也代表著銀行在未來的發(fā)展方向。但是,在實(shí)際的運(yùn)行過程中無論是國際還是國內(nèi),網(wǎng)絡(luò)安全對于網(wǎng)絡(luò)銀行的安全威脅都是無時(shí)無刻的,要想解決網(wǎng)絡(luò)銀行的網(wǎng)絡(luò)安全工作,就要充分利用VPN網(wǎng)絡(luò)技術(shù),從而實(shí)現(xiàn)網(wǎng)絡(luò)銀行安全穩(wěn)定的發(fā)展。
作者:石博夫 單位:遼寧對外經(jīng)貿(mào)學(xué)院
參考文獻(xiàn):
[1]孫玉石.淺析我國網(wǎng)上銀行及發(fā)展對策[J].企業(yè)技術(shù)開發(fā),2007.6.
隨著網(wǎng)絡(luò)中傳播的木馬、病毒等開發(fā)、設(shè)計(jì)技術(shù)的強(qiáng)化和智能化,其傳播速度越來越快,傳播途徑也越來越廣泛,并且隱藏周期更長,更難以被人發(fā)現(xiàn),尤其是在互聯(lián)網(wǎng)時(shí)代,化工企業(yè)的生產(chǎn)控制、經(jīng)營辦公等信息數(shù)據(jù)均通過互聯(lián)網(wǎng)連接在一起,并且非專業(yè)的技術(shù)人員很少定期進(jìn)行查毒和殺毒,導(dǎo)致網(wǎng)絡(luò)中彌漫著ARP病毒、FTP病毒、震蕩波病毒、郵件病毒和網(wǎng)頁病毒等,導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)性能逐漸降低,服務(wù)效率大幅度下降。
2化工企業(yè)網(wǎng)絡(luò)安全防御措施
2.1應(yīng)用層安全防御措施
在化工企業(yè)網(wǎng)絡(luò)中,應(yīng)用層與網(wǎng)絡(luò)用戶直接接觸,因此為了保護(hù)應(yīng)用層安全,需要強(qiáng)化第一道安全屏障,可以采取的措施包括設(shè)置用戶/組角色,實(shí)行單一角色登陸及認(rèn)證,為用戶分配固定的安全控制權(quán)限標(biāo)識,限制用戶的訪問權(quán)限,并且建立動態(tài)配置機(jī)制,以便更好地控制網(wǎng)絡(luò)資源,避免病毒、木馬和黑客攻擊核心數(shù)據(jù)資源,確保用戶實(shí)現(xiàn)有效控制訪問。
2.2接入層安全防御措施
接入層可以根據(jù)不同的IP組,分類控制訪問網(wǎng)絡(luò)資源的模式,并且能夠強(qiáng)化遠(yuǎn)程接入的防御能力。由于化工企業(yè)員工眾多,需要根據(jù)其所在的不同部門,設(shè)置不同的訪問權(quán)限,僅僅依賴角色控制難以實(shí)現(xiàn)訪問資源的合理管理,因?yàn)榻巧芾硎侨藶榈?,無法更好地從根本上進(jìn)行控制,因此根據(jù)客戶機(jī)的IP地址、MAC地址、交換機(jī)端口地址劃分VPN,可以有效地實(shí)現(xiàn)遠(yuǎn)程訪問VPN、IntranetVPN或ExtranetVPN,共同構(gòu)建良好的VPN模式,并且在實(shí)現(xiàn)遠(yuǎn)程接入過程中,可以采用隧道加密協(xié)議,將VPN根據(jù)不同的訪問權(quán)限和重要程度劃分為PPTPPN、L2TPPN、IPSecPN和MPLSPN等,以便能夠?qū)鬏數(shù)臄?shù)據(jù)進(jìn)行不同層次的加密,更好保護(hù)化工企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸有效性、安全性、準(zhǔn)確性。
2.3傳輸層防御措施
目前,化工企業(yè)網(wǎng)絡(luò)傳輸層的防御措施也有很多個(gè),比如構(gòu)建入侵檢測、防火墻和審計(jì)分析體系,因此可以使用殺毒防毒軟件、防火墻、虛擬局域網(wǎng)和ACL等具體的措施進(jìn)行實(shí)現(xiàn),可以為化工企業(yè)網(wǎng)絡(luò)構(gòu)建一個(gè)完善的網(wǎng)絡(luò)防火墻體系,確保網(wǎng)絡(luò)用戶的認(rèn)證信息是完整的,保證網(wǎng)絡(luò)用戶不受到病毒、木馬侵襲和黑客的攻擊。
2.4主動防御體系
為了更好地面對網(wǎng)絡(luò)安全面臨的威脅,化工企業(yè)除了在接入層和傳輸層采用傳統(tǒng)的安全防御措施之外,同時(shí)構(gòu)建主動的安全防御體系,采用主動安全防御措施,以便能夠確保網(wǎng)絡(luò)的正常使用。構(gòu)建主動安全防御體系時(shí),網(wǎng)絡(luò)主動預(yù)警技術(shù)主要包括網(wǎng)絡(luò)主動預(yù)警、響應(yīng)、檢測、保護(hù)、恢復(fù)和反擊六個(gè)方面,其中核心內(nèi)容是網(wǎng)絡(luò)主動預(yù)警技術(shù)和主動響應(yīng)技術(shù),其也是與傳統(tǒng)的防御技術(shù)具有較大區(qū)別的方面。在網(wǎng)絡(luò)主動預(yù)警過程中,首先可以通過遺傳算法、支持量機(jī)、BP神經(jīng)網(wǎng)絡(luò)等技術(shù)進(jìn)行入侵檢測,以便能夠有效地確定網(wǎng)絡(luò)中是否存在非法數(shù)據(jù)流等信息,掃描網(wǎng)絡(luò)操作系統(tǒng)是否存在漏洞,以便能夠根據(jù)數(shù)據(jù)庫、知識庫中保存的經(jīng)驗(yàn)數(shù)據(jù),判斷網(wǎng)絡(luò)信息流中是否存在非法的內(nèi)容及相關(guān)的特征,及時(shí)主動地采取漏洞預(yù)警、攻擊預(yù)警、行為預(yù)警、情報(bào)采集預(yù)警等技術(shù),進(jìn)行網(wǎng)絡(luò)主動預(yù)警。
2.5網(wǎng)絡(luò)主動響應(yīng)技術(shù)
網(wǎng)絡(luò)主動預(yù)警技術(shù)可以發(fā)現(xiàn)即將或者已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊行為,網(wǎng)絡(luò)主動響應(yīng)技術(shù)可以對相關(guān)的攻擊行為進(jìn)行防御,以便能夠最大化地降低網(wǎng)絡(luò)攻擊行為帶來的影響。目前,網(wǎng)絡(luò)主動響應(yīng)技術(shù)可以搜集攻擊數(shù)據(jù),對其進(jìn)行實(shí)時(shí)的分析,判斷攻擊源所在的位置,以便能夠采用網(wǎng)絡(luò)防火墻等阻斷攻擊源,或者可以采用網(wǎng)絡(luò)攻擊誘騙技術(shù)或者僚機(jī)技術(shù),將網(wǎng)絡(luò)中已經(jīng)或正在發(fā)生的攻擊行為引誘到一個(gè)無關(guān)緊要的主機(jī)上,降低網(wǎng)絡(luò)攻擊造成的危害。
3結(jié)語