前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全定義主題范文,僅供參考,歡迎閱讀并收藏。
Abstract: With the rapid development of information industry,the computer network also rapidly popularizes,the infection seeps to everywhere around our lives. However,due to the connatural frailty of the computer network,as well as the start of China’s network and information technology was late, which causes the network security many potential threats. This article analyses the principal element combined with practical work,which affected the security of computer network system,puts forward the relevant countermeasure to discuss.
關鍵詞: 計算機網絡;信息技術;危險因素;安全對策;安全威脅
Key words: computer network;information technology;hazard factor;security countermeasure;security threat
中圖分類號:TP393文獻標識碼:A文章編號:1006-4311(2010)19-0139-01
0引言
隨著信息時代的全面降臨,計算機網絡技術已經通過微機、服務器、光纖電纜和高速信息流將世界各個角落聯(lián)系在一起。此時,網絡安全問題便提上了技術人員與使用者的關注日程。信息交流時數(shù)據平臺的對外開放、計算機系統(tǒng)自身缺陷、軟硬件配合的失調、以及愈演愈烈的黑客攻擊等,都給網絡安全帶來了諸多不穩(wěn)定因素。盡快完善計算機網絡安全維護系統(tǒng),制定措施對抗?jié)撛陔[患,是當前信息安全工作中亟待解決的當務之急。
1計算機網絡的不安定因素
1.1 系統(tǒng)缺陷
1.1.1 網絡系統(tǒng)是以計算機語言編碼和支持軟件共同組成的,其設計中的邏輯失誤、偏差和缺陷都無法徹底避免。而很多木馬病毒也正是鉆了這個空子,在系統(tǒng)中尋找漏洞并針對其薄弱點進行攻擊,從而非法竊取數(shù)據和資料。系統(tǒng)的每個環(huán)節(jié)包括運行軟件、路由器甚至防火墻中均存在此類問題,給網絡安全造成風險。
1.1.2 企業(yè)或社區(qū)組建的小型內部局域網絡,一般通過共享的單獨網關對互聯(lián)網進行連接。內部網中往往存在網絡管理混亂和維護手段不當?shù)膯栴},如移動設備的通用、盜版軟件濫用、電腦資源的廣泛共享、不符合安全操作的網絡運營等,都會使單機風險蔓延到整個局域網,導致整個網絡安全受到威脅。
1.1.3 作為網絡樞紐,服務器選配時要考慮網絡環(huán)境及應用軟件的配合,達到向網絡客戶提供不間斷服務的能力,優(yōu)化硬件配置,保證性能穩(wěn)定。否則硬件與系統(tǒng)的搭配不當,會造成傳輸速度和資源質量的不穩(wěn)定,限制數(shù)據信息進行擴充升級,成為網絡功能發(fā)揮的阻礙。
1.1.4 軟件威脅可以說是目前網絡不安全因素最顯著的方面,其中尤以計算機病毒最為普遍。遭到病毒入侵時,電腦操作系統(tǒng)會運行減緩,性能不穩(wěn),嚴重時甚至整個硬件系統(tǒng)崩潰,這是當前世界性的網絡安全難題。其他的木馬軟件、缺少安全措施的聯(lián)網軟件等問題,也可能會導致個人數(shù)據遭到大范圍的暴露和流失。
1.1.5 目前我國網絡安全還缺乏相應的規(guī)范章程,以及有效的安全維護手段、監(jiān)督機制和評估系統(tǒng),對黑客、網絡運營商、用戶等也缺乏管理機制,網絡的使用普及但雜亂無章,缺乏有序性條理,這樣給網絡維護造成了基礎薄弱的限制。
1.2 人為原因給網絡安全帶來威脅的人為原因有三個方面,一是縱橫網絡的黑客,以編寫計算機病毒、制造網絡攻擊、侵入局域網系統(tǒng)或網站后臺為業(yè),其技術水平往往與網絡科技更新同步,甚至超前,是當今世界網絡威脅的最大制造者;二是網絡維護人員業(yè)務能力的不足,管理混亂,甚至有些操作人員利用職權之便竊取用戶信息,盜用網絡資源;最后,計算機或網絡用戶缺乏網絡安全防范意識,保密觀念不強,對網絡安全風險疏于防范,導致系統(tǒng)遭受攻擊,數(shù)據被盜。
2計算機網絡的相關安全對策
針對上面所說到的幾點影響因素,我們可以考慮采取以下措施:
2.1 要完善系統(tǒng)自身防御能力,加強抵抗功能,設置防火墻作為屏蔽外界攻擊的保護罩,并從主機、操作、服務、應用軟件和文件等系統(tǒng)多個環(huán)節(jié)逐級加以保護。系統(tǒng)漏洞是網絡維護的要害,務必時時加以提防。網絡管理員應當提高警惕,關注系統(tǒng)薄弱點安全動態(tài),隨時發(fā)現(xiàn)系統(tǒng)漏洞,及時更新補丁安裝,保護管理員賬戶,確保網絡安全。
2.2 要求網絡單機用戶養(yǎng)成健康的網絡使用習慣,安裝可靠的殺毒軟件和防火墻,并保證殺毒軟件定期更新;對陌生網站、來歷不明的郵件敬而遠之;安裝軟件時要考慮其安全性;下載資源時注意是否捆綁可疑文件;使用移動設備注意其清潔性,保持殺毒頻率;對計算機和系統(tǒng)設置不易被破解的密碼或口令,定期更新,防止其他用戶對網絡系統(tǒng)進行非法操作。
2.3 堅持對硬件、軟件保持周期性的備份作業(yè),每次修改系統(tǒng)配置后及時保存,根絕自身情況制定日常備份制度并進行恢復演練。這樣即使計算機遭遇了黑客攻擊,還可以通過系統(tǒng)快速的恢復相關資料,盡量減少網絡事故引發(fā)的損失。
2.4 各單位應根據自身情況完善相應的網絡管理規(guī)范,從制度上針對可能遭遇的危險因素做出相應對策,建立行之有效的制度框架,共同保證信息系統(tǒng)的穩(wěn)定。對網絡管理、維護、使用人員進行安全教育和培訓,要求全員增強安全意識,盡量規(guī)避網絡風險。
網絡安全工作是一項任重而道遠的任務,在信息技術日新月異發(fā)展的今天,網絡應用水平和黑客攻擊技術在攻防兩個方面此消彼長。安全維護人員務必時刻防范,預防安全風險,減少網絡事故,制定合理的維護手段,隨著環(huán)境和技術水平的變化,不斷調整安全策略。
參考文獻:
[1]王能輝.我國計算機網絡及信息安全存在的問題和對策[J].科技信息,2010,(7).
[2]梁亞聲,汪永益.計算機網絡安全基礎教程[M].北京:機械工業(yè)出版社,2005.
[3]蔣頻,胡華平,王奕.計算機信息系統(tǒng)安全體系設計[J].計算機工程與科學,2006,(1).
【關鍵詞】維護;數(shù)據通信網絡;網絡安全問題
隨著數(shù)據庫、計算機網絡及通信技術的高速發(fā)展,人們從計算機網絡系統(tǒng)中獲取通信數(shù)據已成為獲取數(shù)據的主要方式。由于互聯(lián)網和計算機網絡技術的高速發(fā)展,越來越多的人們選擇用網絡傳輸信息,但由此引發(fā)的網絡安全問題也成為人們日漸關注的話題。不少企業(yè)在建立通信網絡系統(tǒng)時,多數(shù)是通過局域網獲取各通訊數(shù)據。數(shù)據通信網絡在給人們日常生活帶來極大便利的同時,也不排除存在各種各樣的網絡安全問題和網絡維護問題。
一、數(shù)據通信網絡與網絡安全的定義
1、數(shù)據通信網絡的定義。數(shù)據通信是計算機通過光纖或電話等傳輸途徑與客戶之間進行數(shù)據傳遞,借助網絡實現(xiàn)數(shù)據共享,同時客戶還可將接收到的信息進行更改與處理等操作。按地理位置分,數(shù)據通信網絡包括國際網、廣域網及局域網[1]。如,學校、企業(yè)及單位建立的網絡是局域網,雖覆蓋面積小,但網絡較穩(wěn)定,在方便單位或企業(yè)管理的同時,也利用做好數(shù)據信息加密處理。
2、網絡安全的定義。網絡是由多個服務器終端與節(jié)點構成,每一段的信息和數(shù)據傳遞都理應收到保護,網絡傳輸數(shù)據時,多數(shù)信息與數(shù)據都是極為私密的,不可對外共享。網絡安全是確保傳遞數(shù)據與信息不受泄露基礎上,網絡系統(tǒng)仍可穩(wěn)定運行。如,企業(yè)的局域網絡遭受不良攻擊,企業(yè)易受到商業(yè)泄密等問題困擾。
二、數(shù)據通信維護網絡安全的重要性
1、通信網絡的穩(wěn)定性。缺乏穩(wěn)定性的數(shù)據通信網絡,在數(shù)據傳輸過程中,極易導致數(shù)據丟失或延誤等情況,這樣的丟失和延誤易導致企業(yè)出現(xiàn)決策上的延誤,讓企業(yè)面臨重大損失的風險。
2、通信網絡的安全性。不少企業(yè)數(shù)據通信網絡存在漏洞情況,不法分子利通過漏洞,可對企業(yè)局域網展開惡意攻擊,這給企業(yè)大量重大經濟損失風險。為保證自身用戶信息和財產安全,需確保整個網絡的安全。因此,需切實制定有效可行的數(shù)據通信維護措施,及時修補漏洞,在減少漏洞出現(xiàn)的同時,提升通信網絡的可靠性與安全性。
三、數(shù)據通信網絡維護網絡安全的途徑
1、安全性進行妥善評估。為實現(xiàn)數(shù)據通信與信息資源共享,很多企業(yè)、單位構建自己的平臺,為確保其安全性,需對其網絡安全性進行妥善評估。網絡完全性評估主要包括檢查局域性的數(shù)據通信網絡、評估網絡系統(tǒng)內部是否存在安全系數(shù)和安全威脅及制定相關維修工作。由專業(yè)評估維修人員對數(shù)據網絡中的硬、軟件數(shù)據信息進行合理分析,并作出詳細且全面的評價。
2、并分析數(shù)據通信網絡中的漏洞與威脅因素。在評估某一局域網安全性時,如發(fā)現(xiàn)該網絡安全系數(shù)較低,需對該網絡的硬、軟件設備和數(shù)據通信信息進行詳細的研究與分析,查找出網絡可能存在的威脅與漏洞。
3、核實重要數(shù)據通信信息。評估人員需對重要數(shù)據進行有效檢查,查看其是否存在被入侵情況,如有入侵情況,需提升網絡安全等級,可通過增設訪問權限、限制訪問IP等方式解決。
4、對網絡內的硬、軟見進行詳細檢查。主要檢查網絡內各硬軟件是否存在干擾信息與隱藏病毒,同時對設備的性能也進行有效評估。對網絡內部系統(tǒng)進行整體評估,準確找到安全漏洞與網絡威脅,并進行能合理維護,可有效提升數(shù)據通信信息的安全性。
5、修復漏洞、消除威脅因素。查找到相關網絡威脅與安全漏洞后,制定具有針對性的修復和消除措施。如利用服務器對數(shù)據的分析作用,將具有漏洞查找出來,并進行及時修補;為預防或消除病毒攻擊,可利用專業(yè)或有效的殺毒軟件;為增加病毒的可靠性防御,可設立防火墻。
6、加密與身份認證技術。確保數(shù)據通信網絡安全的一個重要手段就是數(shù)據加密技術,受互聯(lián)網自身性質決定,數(shù)據或文件需進行口令加密和通信數(shù)據加密[2]。身份認證技術也稱身份識別,是網絡對用戶身份確認操作的過程,是為了確保用戶的真實身份與數(shù)字認證身份的一致的技術,它有利于提高用戶的安全和用戶身份的準確性。
關鍵詞:網閘;防火墻;網絡安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)34-7702-02
某醫(yī)院網絡從功能上可劃分為:內網、外網。內網運行多個醫(yī)療業(yè)務,病患信息處理等。外網運行于因特網,需要提供預約掛號和患者檢驗結果查詢等功能。內外網數(shù)據交換需要防止重要信息的泄露、黑客的侵擾、網絡資源的非法使用和計算機病毒等。為了實現(xiàn)內外網絡的數(shù)據交換安全,某醫(yī)院采取了隔離網閘和防火墻聯(lián)合應用的措施。
1 網閘
安全隔離網閘是一組具有多種控制功能的軟硬件組成的網絡安全設備,它在電路上切斷了網絡之間的鏈路層連接,并能夠在網絡間進行安全的應用數(shù)據交換。某醫(yī)院網閘部署在內外網核心交換機之間,以實現(xiàn)內外網擺渡。普通訪問需要網閘內外網任務號對應,透明訪問只需要配置網閘的一端(客戶端),不存在任務號對應問題。如圖1。
2 防火墻
防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合,防火墻的作用是對網絡訪問實施訪問控制策略,它提供信息安全服務,具有較強的抗攻擊能力。某醫(yī)院防火墻部署于互聯(lián)網出口與外網核心交換機之間,防火墻運行模式是路由NAT模式,在防火墻上做端口映射配置。
2.1 資源定義
在資源定義中添加地址資源和服務器地址。
2.2 端口映射
在上述端口和服務器地址都定義好后,再在端口映射規(guī)則中添加即可。在防火墻-〉安全規(guī)則-〉端口映射下添加端口映射:
選好對外的公開地址,內部服務和對外服務,如果內部地址、對外服務、對內服務沒有相關地址和端口,則在資源定義中添加。
2.3 包過濾規(guī)則
端口映射策略配置完成后,還需在包過濾規(guī)則中添加任意到服務器的訪問設置為允許。
3 結束語
通過在某醫(yī)院部署網閘和防火墻以實現(xiàn)內外網絡之間的訪問,能夠實現(xiàn)更高級別的訪問控制和內容過濾,阻止已知的以及未知的入侵和內部信息的泄漏。
參考文獻:
【關鍵詞】可擴展;網絡安全;態(tài)勢;優(yōu)化設計
現(xiàn)在,網絡安全態(tài)勢感知還是缺乏一個標準進行規(guī)范,由于各研究領域對態(tài)勢感知的理解不同,使得態(tài)勢感知實現(xiàn)方式呈現(xiàn)出多元化的現(xiàn)象。本文主要對業(yè)內成熟的Endsley態(tài)勢模型在網絡安全領域的作用,加以改進使之成為態(tài)勢感知領域內實用的網絡安全方案。
1、基本概念
本文主要用三個概念對態(tài)勢提取的過程進行規(guī)范:定義1:時空知識庫:將態(tài)勢提取過程中的時間和空間專家知識的表示,存儲形式是哈希表。定義2:嚴重度知識庫:是態(tài)勢提取過程中的入侵或攻擊的專家描述,存儲形式為哈希表。定義3:權重分配函數(shù):是對定義1及定義2的專家的知識函數(shù)表現(xiàn)。利用攻擊嚴重度指標、Timelndex和Spacelndex為參數(shù),從而獲得權重系數(shù)。
2、態(tài)勢模型分析及框架設計
2.1態(tài)勢模型與過程框架
網絡安全領域中的底層事件和ESM處理的事件是不同的,但是ESM數(shù)據處理的過程可以借鑒到網絡安全態(tài)勢分析中。ESM對環(huán)境對象定義為威脅單元,多個威脅單元構成一個組,該組包括感興趣的參數(shù)。許多威脅單元共同用作態(tài)勢提取的模塊,與歷史態(tài)勢進行比對,從而獲取態(tài)勢信息。按照ESM的運行過程,提出網絡安全態(tài)勢提取框架,如圖1.
對態(tài)勢分析的過程中,根據攻擊的嚴重度可以講網絡攻擊分為高危、中危、低危及位置威脅,用Phigh(t)、Pmedium(t)、Plow(t)和Punknown(t)4類威脅單元來劃分表示,四類威脅單元共同構成網絡安全的總體態(tài)勢,則有:
S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)
式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)
在以上兩式中,t表示評估時序;Count表示評估時間內的統(tǒng)計值;Timelndex與Spacelndex則表示攻擊的時間與空間要素。則有某威脅單元特定時段內的態(tài)勢:
PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB
Count x WT(TimeIndex) x WS(SpaceIndex) (3)
式中WT(Timelndex)與Ws(Spacelndcx)是時間與空間權重系數(shù)分配函數(shù)結果。根據以上計算過程,得出態(tài)勢的提取過程:
S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB
[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)
式中S-KB是[WhighWmediumWlow0]T。受網絡攻擊程度的影響,一次高危攻擊的危害要比三次低級別攻擊的危害大。那么態(tài)勢提取的過程是符合實際情況的,即(4)可以變化為:[10Whigh 10Wmedium 10Wlow 0]T。
2.2安全域劃分及指標分配
根據信任等級的不同,常常對網絡系統(tǒng)劃分不同的安全域或建立信任級別。在不同安全域受到攻擊的視乎,對網絡造成的危害是不一樣的。一般用威脅單元中的Spacelndex表示不同的安全域,也用這一參數(shù)來作為WCAF的輸入,然后獲取不同安全域的重要性指標。根據以上內容,可以劃分不同的安全域,其規(guī)則如表1:
2.3告警融合模塊
網絡中存在一些系統(tǒng)固件在以往運行中會產生大量的冗余低危報警。如果不將這些冗余信息處理掉,在大量的低危告警的存在下,系統(tǒng)對高危攻擊的態(tài)勢分析就會失去準確的辨別能力。本文主要介紹滑動時間窗的方式來過濾掉冗余的低危告警信息,這種方式是根據不同長度時間窗的比較來去除冗余的效果,這樣就可以保證在對冗余信息進行消除的同時而保留有用的信息。
3、實驗仿真及評估
3.1數(shù)據采集及預處理
根據以上設計進行仿真實驗,如圖2所示,局域網可以和互聯(lián)網直接相連,并且有OA、Web及Proxy等服務內容。根據主機資源及部署的服務的重要性,就可以對該網段進行安全域的劃分,可以劃分其為兩個安全域,標記為安全域1和安全域2,分別表示為SZ-1和SZ-2。
根據實驗目的,對數(shù)據首先進行采集,以五天為一個采集單元,共獲取305000條數(shù)據信息。對五天的數(shù)據隨機挑選三天的數(shù)據進行分析,分別表示為Day1#、Day2#和Day3#,然后對原始數(shù)據進行冗余處理,再對數(shù)據進行預處理。表2為預處理前的數(shù)據分布。如果選擇20s與30s當作時間窗長度,那么數(shù)據約減的效果不是很明顯。所以選擇20s作為時間窗的長度。
在態(tài)勢分析中,TimeIndex與Spaeelndex按照安全域劃分與評估間隔來定,此次實驗將評估周期定為1天,按照小時來劃分Timelndex分配,即1至24,然后將評估間隔的重要度按照網絡流量的等級劃分為3個等級。
表3為評估間隔重要性等級,WC表示歸一化的量化權重系數(shù),安全域的劃分參照表1。
3.2仿真結果
Day1#中嚴重度系數(shù)分配的前后如圖3a和圖3b顯示。因為Day1#中出現(xiàn)的高危攻擊要比相應間隔的中低危告警要少的多,也就是說,圖3a中的低危態(tài)勢表現(xiàn)要嚴重與高危和中危態(tài)勢。這就說明,在對統(tǒng)計值進行建立時,對網絡攻擊中的嚴重度無法準確的進行評估。圖3b反應了網絡安全態(tài)勢的嚴重度系數(shù)分配突出高危攻擊的影響。
與圖3表述相一致,圖4中a和b也表示嚴重度系數(shù),不同的是安全域是SZ-2,與圖3a面臨的問題相似,圖4a也反應了低危攻擊比高危和中危攻擊嚴重,例如在Day1#數(shù)據中,第10、15與19小時都發(fā)生了高危攻擊,但是,這些高危攻擊在圖4a中,完全淹沒在低危告警中,圖4b中則完全顯示出高危態(tài)勢的變化。
在將SpaceIndex引入SZ-1和SZ-2前后,總體安全態(tài)勢如圖5a和圖5b的變化。在周期評估時,比較接近的是SZ-1中的攻擊分布和攻擊數(shù)量和SZ-2比較接近。所以在引入SpaceIndex之前,二者的態(tài)勢曲線是最為接近的,但是不同的是SZ-1中的主機和服務要比SZ-2中的主機和服務重要,因此,如果對兩個安全域同時進行攻擊時,兩個安全域所在的網絡系統(tǒng)受到的影響是完全不同的,只有在引入Spacelndex后,才能體現(xiàn)出態(tài)勢的變化,如圖5b。
圖6a中,主要是對Day2#總體態(tài)勢變化和不同安全域的態(tài)勢變化進行比較,從圖中可以看出,總體態(tài)勢的變化主要是有SZ-2所決定的。在特定時段內,SZ-2的變化并未引起SZ-1的態(tài)勢變化而被忽視。該思想在圖6b中Day3#數(shù)據中也被驗證。
4、結論
根據以上實驗,結果符合初衷,可是效果也有利于用戶發(fā)現(xiàn)風險。在大量中低危告警中,高危告警還是能決定態(tài)勢變化,所以,高級別態(tài)勢變化對整體態(tài)勢變化還是有著決定性的作用。
論文關鍵詞:IPv6,網絡安全
1.基于IPv6的網絡建設
在全球互聯(lián)網高度發(fā)展的今天,由于網絡與通信的日益融合,基于IPv4地址編碼方式已于2011年1月枯竭。那么,IPv6成為解決IPv4地址耗盡問題的最好解決方法網絡安全絡安全論文,按照正常方式從IPv4向IPv6轉換成功的話,全球所有的終端均可擁有一個IP地址,從而可實現(xiàn)全球網絡的概念。
IPv6是下一版本的互聯(lián)網協(xié)議,也可以說是下一代互聯(lián)網的協(xié)議,它的提出最初是因為隨著互聯(lián)網的迅速發(fā)展,IPv4定義的有限地址空間將耗盡,而地址空間的不足必將妨礙互聯(lián)網的進一步發(fā)展。為了擴大地址空間,通過IPv6以重新定義地址空間。IPv6采用128位地址長度,幾乎可以不受限制地提供IP地址網絡安全絡安全論文,從而確保了端到端連接的可能性。
除了地址分配問題外,IPv6雖然有整體吞吐量、高服務質量等優(yōu)勢,但在安全接入方面并不比IPv4更為顯著。IPv6并不意味著網絡就自然安全了,雖然不使用地址翻譯,但仍然會使用防火墻,.net本身并不會帶來安全的因素。IPv6與IPv4面臨同樣的安全問題。
2. IPSec安全協(xié)議
2.1 IPSec安全協(xié)議的體系結構
在IPv6中,IPSec安全協(xié)議是一個協(xié)議套件,主要包括:認證頭(Authentication Header,AH)、封裝安全載荷(Encapsulating Security Payload,ESP)、Internet密鑰交換(Internet Key Exchange,IKE)等相關組件論文開題報告范文論文下載。它提供的安全服務有:數(shù)據源身份驗證,無連接數(shù)據完整性檢查,數(shù)據內容的機密性保證,抗重播保護以及有限數(shù)據流機密性保證。IPSec協(xié)議的體系結構如圖1所示。
2.2IPSec認證頭AH協(xié)議
認證頭AH用于為IP提供數(shù)據完成性、數(shù)據原始身份驗證和一些可選的、有限的抗重播服務。AH定義了對數(shù)據所實施的安全保護的方法、頭的位置、身份驗證的覆蓋范圍,以及輸入和輸出處理規(guī)則,但不對所用的身份驗證算法進行具體定義[。AH的格式如圖2所示。認證頭AH有2種工作模式,即傳輸模式和隧道模式。傳輸模式只對傳輸層數(shù)據和IP頭中的固定字段提供認證保護,主要適合于主機實現(xiàn)[3]。隧道模式則對整個IP數(shù)據提供認證保護。
2.3 IPSec封裝安全載荷ESP協(xié)議
封裝安全載荷ESP為IP提供機密性、數(shù)據源驗證、抗重播以及數(shù)據完整性等安全服務。ESP的格式不是固定的,依據采用不同的加密算法而不同,但起始處必須是安全參數(shù)索引(SPI),用以定義加密算法及密鑰的生存周期等。ESP格式如圖3所示。封裝安全載荷ESP有2種不同的加密工作模式,即傳輸模式和隧道模式。傳輸模式ESP只對傳輸層數(shù)據單元加密,IPv6和各種擴展頭以及ESP中的SPI段用明文傳輸,該方式適用于主機到主機的加密。隧道模式ESP對整個IP分組進行加密,該模式以新的包含有足夠路由信息的IP頭封裝,從而便于中間結點的識別,該方式適用于設置有防火墻或其他類型安全網關的結構體系。
2.4 IPSec密鑰交換IKE協(xié)議
關鍵詞:網絡 信息安全 計算機安全技術
中圖分類號: TN711 文獻標識碼: A 文章編號:
隨著計算機信息技術的發(fā)展,使網絡成為全球信息傳遞和交互的主要途徑,改變著人們的生產和生活方式。網絡信息已經成為社會發(fā)展的重要組成部分,對政治、經濟、軍事、文化、教育等諸多領域產生了巨大的影響。事實上,網絡安全已經成為關系國家和國家安全、經濟繁榮和社會穩(wěn)定、文化傳承和教育進步的重大問題,因此,我們在利用網絡信息資源的同時,必須加強網絡信息安全技術的研究和開發(fā)。
1網絡安全的概念 運用網絡的目的是為了利用網絡的物理或邏輯的環(huán)境,實現(xiàn)各類信息的共享,計算機網絡需要保護傳輸中的敏感信息,需要區(qū)分信息的合法用戶和非法用戶。在使用網絡的同時,有的人可能無意地非法訪問并修改了某些敏感信息,致使網絡服務中斷,有的人出于各種目的有意地竊取機密信息,破壞網絡的正常運作。所有這些都是對網絡的威脅。因此,網絡安全從其本質上來講就是網絡的信息安全,主要研究計算機網絡的安全技術和安全機制,以確保網絡免受各種威脅和攻擊,做到正常而有序地工作。
2網絡安全的分析 確保網絡安全應從以下四個方面著手: ①運行系統(tǒng)的安全。硬件系統(tǒng)的可靠安全運行,計算機操作系統(tǒng)和應用軟件的安全,數(shù)據庫系統(tǒng)的安全,側重于保證系統(tǒng)正常地運行,其本質是保護系統(tǒng)的合法操作和正常運行。②網絡上系統(tǒng)信息的安全。即確保用戶口令鑒別、用戶存取權限控制,數(shù)據存取權限、數(shù)據加密、計算機病毒防治等方面的安全。③網絡上信息傳播的安全。信息傳播后的安全,包括信息過濾等。其側重于防止和控制非法、有害的信息傳播產生的后果,避免網絡上傳輸?shù)男畔⑹Э?。④網絡上信息內容的安全。即保護信息的保密性、真實性和完整性。保護用戶的利益和隱私。
3網絡安全的攻略 網絡的任何一部分都存在安全隱患,針對每一個安全隱患需要采取具體的措施加以防范。目前常用的安全技術有包過濾技術、加密技術、防火墻技術、入侵檢測技術等。下面分別介紹:
①包過濾技術。它可以阻止某些主機隨意訪問另外一些主機。包過濾功能通常在路由器中實現(xiàn),具有包過濾功能的路由器叫包過濾路由器。網絡管理員可以配置包過濾路由器,來控制哪些包可以通過,哪些包不可以通過。
②加密技術。凡是用特種符號按照通信雙方約定的方法把數(shù)據的原形隱藏起來,不為第三者所識別的通信方式稱為密碼通信。在計算機通信中,采用密碼技術將信息隱蔽起來,再將隱蔽后的信息傳播出去,是信息在傳輸過程中即使被竊取或截獲,竊取者也不能了解信息的內容,從而保證信息傳輸?shù)陌踩?/p>
1 前言
隨著現(xiàn)代信息技術的發(fā)展和網絡技術的普遍應用,信息服務行業(yè)在服務內容、服務方式與服務對象等方面發(fā)生了革命性變化,運作效率也有了顯著提升。在網絡環(huán)境下,信息服務行業(yè)在國家經濟生活中的地位日益重要。但是,網絡同時也是攻擊事件和病毒蠕蟲等滋生之地。信息安全事件已經不單單是影響個別民眾、企業(yè)的小事,而是影響到國家的安全。
隨著信息安全事件發(fā)生的日益頻繁,發(fā)達國家和地區(qū)對信息安全問題都予以了高度重視。我國長期以來信息安全意識不強,即使是重視,也僅限于政治和軍事領域。近幾年來,面對國際信息環(huán)境的變化與挑戰(zhàn),我國也采取了一系列對策。在法律法規(guī)建設方面,《計算機軟件保護條例》、《計算機信息系統(tǒng)安全保護條例》、《計算機病毒防治管理辦法》等相繼出臺。
2 信息安全基本概念
國內外對“信息安全”沒有統(tǒng)一的定義?!吨腥A人民共和過計算機信息系統(tǒng)安全保護條例》的定義:“保障計算機及其相關的和配套的設備、設施(網絡)的安全,運行環(huán)境的安全,保障信息安全,保障計算機功能的正常發(fā)揮,以維護計算機信息系統(tǒng)的安全”。國家信息安全重點實驗室的定義:“信息安全涉及到信息的機密性、完整性、可用性、可控性。綜合起來說,就是要保障電子信息的有效性。國際標準化委員會的定義:“為數(shù)據處理系統(tǒng)而采取的技術的和管理的安全保護,保護計算機硬件、軟件、數(shù)據不因偶然的或惡意的原因而遭到破壞、更改、顯露”。英國信息安全管理標準的定義:“信息安全是使信息避免一系列威脅,保障商務的連續(xù)性,最大限度地減少商務損失,最大限度地獲取投資和商務的回報,涉及信息的機密性、完整性、可用性”。美國人則認為:“信息安全包括信息的機密性、完整性、可用性、真實性和不可抵賴性”。其實,當前信息安全的概念正在與時俱進,它從早期的通信保密發(fā)展到關注信息的保密、完整、可用、可控和不可否認的信息安全,并進一步發(fā)展到如今的信息保障和信息保障體系。信息保障依賴于人、操作和技術實現(xiàn)組織的任務運作,針對技術信息基礎設施的管理活動同樣依賴于這三個因素,穩(wěn)健的信息保障狀態(tài)意味著信息保障和政策、步驟、技術和機制在整個組織的信息基礎設施的所有層面上均能得到實施,即面向數(shù)據安全概念是信息保密性、完整性和可用性;面向使用者的安全概念則是鑒別、授權、訪問、控制、抗否認性和可服務性以及基于內容的個人隱私、知識產權等的保護,這兩者的結合就是信息安全保障體現(xiàn)的安全服務,而這些安全問題又要依賴于密碼、數(shù)字簽名、身份驗證技術、防火墻、災難恢復、防毒墻和防黑客入侵等安全機制加以解決,其中密碼技術和管理是信息安全的核心,而安全標準和系統(tǒng)評估則是信息安全的基礎。因此,信息安全就是指一個國家的社會信息化的狀態(tài)不受外來威脅與侵害,一個國家的信息技術體系不受到外來的威脅與侵害。
3 信息安全的基本屬性
信息安全有以下幾點基本屬性:
3.1 完整性
信息存儲和傳輸?shù)倪^程保持被修改不被破壞的,不入,不延遲,不亂序和不丟失的數(shù)據特征。對于軍用信息來說完整性遭破壞導致延誤戰(zhàn)機,自相殘殺或閑置戰(zhàn)斗力,破壞信息完整性是對信息安全發(fā)動攻擊的最終目的。
3.2 可用性
信息可被合法用戶訪問并能按照要求順序使用的特征,既在需要時就可以去用所需信息。可用性攻擊就是阻斷信息的可用性。例如破壞網絡和有關系統(tǒng)的正常運行就屬于這種類型攻擊。
3.3 保密性
信息給非授權個人/實體或供其使用的特征。軍用信息安全尤為注重信息保密性。
3.4 可控性
授權機構可以隨時控制信息的機密性。美國的政府提倡“密鑰托管’、“密鑰恢復”等措施就是實現(xiàn)信息安全可控性的例子。
3.5 可靠性
信息用戶認可的質量連續(xù)服務于用戶的特征,但也有人認為可靠性是人們對信息系統(tǒng)而不是信息本身的要求。總體來看,信息安全就是要保證信息的基本屬性不被破壞,信息按照發(fā)送方的意愿成功被接收方接收。
4 網絡安全的威脅
4.1 人為的無意失誤
如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他
人或與別人共享等都會對網絡安全帶來威脅。
4.2 人為的惡意攻擊
此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數(shù)據的泄漏。
4.3 網絡軟件的漏洞和“后門”
網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。另外,軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設想。計算機網絡設備安全和網絡信息安全實際上是密不可分的,兩者相輔相成,缺一不可。計算機網絡設備安全特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全。網絡信息安全則緊緊圍繞信息在互聯(lián)網絡上應用時產生的各種安全問題,在計算機網絡設備安全的基礎上,如何保障信息應用過程的順利進行。沒有計算機網絡設備安全作為基礎,網絡信息安全就猶如空中樓閣,無從談起。沒有信息安全保障,即使計算機網絡本身再安全,仍然無法達到計算機網絡信息應用的最終目的。
5 信息安全策略
信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規(guī)則。實現(xiàn)信息安全,不但靠先進的技術,而且也得靠嚴格的安全管理,法律約束和安全教育。
5.1 先進的信息安全技術是網絡安全的根本保證
用戶對自身面臨的威脅進行風險評估,決定其所需要的安全服務種類,選擇相應的安全機制,然后集成先進的安全技術,形成一個全方位的安全系統(tǒng);
5.2 嚴格的安全管理
各計算機網絡使用機構,企業(yè)和單位應建立相應的網絡安全管理辦法,加強內部管理,建立合適的網絡安全管理系統(tǒng),加強用戶管理和授權管理,建立安全審計和跟蹤體系,提高整體網絡安全意識;
5.3 制訂嚴格的法律、法規(guī)
計算機網絡是一種新生事物。它的許多行為無法可依,無章可循,導致網絡上計算機犯罪處于無序狀態(tài)。面對日趨嚴重的網絡犯罪,必須建立與網絡安全相關的法律、法規(guī),使非法分子懾于法律,不敢輕舉妄動。
作者:張秀梅 來源:科教導刊 2009年5期
關鍵詞:計算機信息;信息管理;網絡安全
現(xiàn)階段互聯(lián)網與居民實際生活的聯(lián)系越加緊密,計算機技術在為居民帶來便利的同時也存在著很多隱蔽的危險。無論對于相關企事業(yè)單位還是個人而言,來自于網絡的威脅都會造成一定的經濟與精神損失。因此,解決網絡安全問題已經刻不容緩,想要解決網絡安全問題就需要在網絡當中充分利用計算機信息管理技術。本文將從計算機信息管理的定義、現(xiàn)階段計算機信息在網絡安全應用當中存在的問題以及計算機信息管理在網絡安全中具體應用策略三方面進行綜合論述。
一、計算機信息管理以及網絡安全的定義
網絡安全指的是在互聯(lián)網中相互傳輸?shù)男畔踩潭?,有時也指計算機系統(tǒng)硬件部分具備的安全性。在網絡之中,有關信息在傳輸?shù)倪^程當中,需要保證在安全、密閉的環(huán)境之下進行,保證私人信息不被盜竊、利用。計算機信息管理指的是對于網絡之中傳遞的信息進行管理的技術。在實際應用當中,計算機信息管理技術有及其重大的意義,對于有關網絡威脅的防護以及消除都能夠起到十分重要的作用,是保障居民網絡安全重要的手段之一[1]。通常對于網絡信息管理工作可以劃分為服務器信息傳遞、自身用戶信息、網絡下載信息等幾個大模塊。
二、現(xiàn)階段計算機信息管理在網絡安全應用當中存在的問題
(一)工作人員自身網絡安全意識較低
目前的計算機信息管理在網絡安全應用之中,工作人員自身網絡安全意識偏低是較為顯著的問題之一[2]。計算機信息管理技術是否能在網絡安全防護工作當中起到應有的作用,與工作人員的實際執(zhí)行情況密不可分,由于計算機信息管理技術具有較強的專業(yè)性,其他部門很難對于計算機信息管理部門的工作人員起到良好的輔助作用,可以說在實際工作當中該部門的獨立性較強,這對于相關人員自身網絡安全意識、專業(yè)技能等方面都提出了更高的要求。隨著科技的進步來自于網絡當中的威脅呈現(xiàn)隱蔽化、多樣化。如果工作人員自身網絡安全意識較低,無法及時察覺網絡當中存在的威脅,勢必會對用戶造成嚴重的損失。因此,解決工作人員自身安全意識偏低的問題是現(xiàn)階段主要的問題之一。
(二)計算機信息管理技術存在漏洞
計算機信息管理技術重視對于用戶在網絡當中信息訪問的控制,對其信息來源進行一定程度之上的監(jiān)控,在此過程當中不僅會涉及到互聯(lián)網用戶自身還牽連著信息提供者、中轉者等多方面的信息,因此計算機信息管理技術具備很強的專業(yè)性,想要保障計算機管理技術在網絡安全之中的得到有效的應用需要較為完善的技術指導以及環(huán)境。由于我國有關計算機信息管理在網絡安全應用方面起步較晚,計算機信息管理技術還屬于初級階段,存在很多漏洞,面對著不法分子時刻革新的技術,現(xiàn)在計算機信息管理有些難以招架。因此,加強計算機信息管理技術,修復當前技術當中存在的漏洞是將計算機信息管理技術在網絡安全中有效應用的正確手段[3]。
三、計算機信息管理在網絡安全中具體應用策略
(一)工作人員加強安全意識
工作人員加強自身有關網絡安全防范意識是保障用戶網絡安全的前提,目前網絡威脅的偽裝技術愈發(fā)先進,普通用戶難以察覺,這就需要有關工作人員加強警惕。對于在職很長時間理論知識落后的員工進行加強安全意識的專項培訓,提升工作人員對于網絡安全的認知,大力引進相關的高端人才,通過對于尖端人才的學習促進整體工作人員安全意識進行提升。將工作人員的工資與實際業(yè)績進行捆綁,激發(fā)工作人員的工作激情,杜絕魚目混珠的人員拉低整個隊伍的素質,加強對于網絡環(huán)境的監(jiān)管,保障用戶在網絡當中的信息安全。
(二)加強計算機信息管理技術
現(xiàn)階段的計算機應用技術對于全方位保護用戶的信息安全做的還不夠到位,面臨著網絡威脅技術的飛速提升,有關計算機信息管理技術也亟待加強。有關部門對于此事應當加大重視程度,領導階層打開視野,加強對于國際當中先進計算機信息管理技術的引進,提升有關工作人員自身的工作素養(yǎng),加快國內計算機信息管理技術制度的建設,完善在計算機信息管理技術當中存在的漏洞,做到“魔高一尺,道高一丈”,將不法分子制造的網絡威脅拒之門外,為居民打造和諧、綠色的上網環(huán)境。
(三)完善網絡信息安全體系
想要保證居民網絡安全首先要加強網絡信息安全管理體系,健全的網絡信息安全管理體系是一切計算機信息管理技術應用的基礎。近幾年來,隨著科技的飛速發(fā)展,我國網絡信息安全體系正在不斷的健全完善當中,在網絡時代的今天,有關計算機信息管理技術的革新日新月異,網絡威脅也在時刻進行變化,建立健全網絡信息安全體系就顯得尤為重要,在新時代的背景之下,有關部門一定要加速網絡信息安全的建設,構架全面的網絡信息安全體系,才能有效維護網絡安全。
隨著社會經濟技術的不斷發(fā)展,中國進入了全面信息化時代,隨之而來的網絡安全問題層出不窮,時刻威脅著居民在網絡時代的信息安全。為保障居民的網絡信息安全,在新時代下做好網絡安全中的計算機信息管理手段就顯得十分必要,相關單位必須要重視當前在計算機信息管理技術當中存在的問題,及時加以改正,提高自身技術水平,才能更加全面的保護用戶的網絡安全。
作者:汪志偉 單位:中國石油大港油田第三礦區(qū)管理服務公司
參考文獻:
[1]陳文兵.計算機信息管理技術在維護網絡安全中的應用策略探究[J].電腦知識與技術,2015,(36):35-36.
關鍵詞:網絡防火墻;配置;管理
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)25-0026-02
1 網絡防火墻的部署問題綜述
為保證內網所有數(shù)據流量均通過防火墻過濾,從而保護內網用戶的安全,一般情況下防火墻均部署在網絡出口位置,上接路由器或鏈路負載均衡設備,下接三層核心交換機。防火墻的接口一般分為三類:內網口、外網口和DMZ口,校園網中網絡防火墻的部署如下圖所示:
內網口用于連接內網交換機,通常是核心交換,負責轉發(fā)內網數(shù)據;外網口用于連接外網,或是路由設備的接口;DMZ口用于連接內網服務器,這個區(qū)域的設備或服務對外網公開,但通過配置可以隱藏內部地址。
防火墻的管理方式有兩種:命令行和WebGUI。通常情況下命令行管理模式的權限是最高的,防火墻廠商不對用戶公開;防火墻用戶采取分級管理,一般包含超級管理員、系統(tǒng)管理員和日志管理員。
2 網絡防火墻常用的配置
2.1策略配置
防火墻策略是網絡安全管理中最常用的方式。策略配置通常分為三個步驟:
(1) 定義對象
對象即需要控制的源地址和目的地址,通常代表用戶或訪問者,也可以代表某個城市或是主機,表示需要控制的范圍。
(2) 定義服務
服務通常是需要控制的時間段、或是某些特殊的端口,用于精確控制對象的某個方面,如在某個時間段不允許訪問某個固定地址等。
(3) 定義規(guī)則
規(guī)則即對象與策略的集合,將對象和服務結合在一起,定義允許和禁止某對象的特定服務,多個規(guī)則結合在一起構成策略。
規(guī)則的執(zhí)行按照自上而下的順序,如兩條規(guī)則的所涉及的范圍有重復,則跳過下一條規(guī)則中所規(guī)定的,因此在日常防火墻的管理中,新定義的規(guī)則一般放在最上面,保證被優(yōu)先執(zhí)行,而制定新規(guī)則之后若原有服務出現(xiàn)異常,則應該檢查是否是新規(guī)則在制定時是否對原有策略產生了影響。例如定義內網中的網段10.0.1.1/24不能訪問某網站http://需要兩條規(guī)則(不考慮其他規(guī)則的條件下),定義規(guī)則如下:
策略生效后,如10.0.0.0網段用戶訪問的是http://,則匹配第一條規(guī)則,禁止訪問;而訪問其他的地址的網站或其他服務,則匹配第二條規(guī)則,允許通過。兩條規(guī)則相結合生成了這一策略。
2.2網絡地址轉換配置
網絡地址轉換配置在防火墻中主要有兩個作用:首先是隱藏內部地址,主要作用于內網服務器對外公開,通過網絡地址轉換將內網地址隱藏起來,起到一定的保護作用;其次網絡地址轉換用于解決共有IP地址不足的問題,將內網私有地址轉換成互聯(lián)網中通用的IPV4地址,也就是源地址轉換和目的地址。
源地址轉換一般用于內網用戶訪問外網時,防火墻統(tǒng)一將私有IP地址轉換成指定的公網IP,例如學校的外網IP是218.95.46.65,則內網所有用戶的訪問Internet時都統(tǒng)一轉換成該IP地址。目的地址轉換則是當外網用戶訪問DMZ區(qū)中的某個服務器時,防火墻根據訪問的服務請求,將數(shù)據包送至對應提供服務的主機。
2.3 其他功能配置
高校購買的防火墻通常都會有很多高級功能,如反垃圾郵件、內容過濾、入侵防御等,多數(shù)高校都只是應用了防火墻最基本的功能,而對這部分功能缺乏開發(fā)和應用的經驗。實際上如果高校能夠很好地配置使用這些功能,對整個校園網的安全提升會起到非常重要的作用。如利用反垃圾郵件系統(tǒng)過濾垃圾郵件、使用內容過濾屏蔽非法網站的關鍵字,進行入侵防御等都能大大提高校園網絡安全。
3 網絡防火墻后期的管理與維護問題
3.1 管理策略
3.1.1 不斷完善安全策略
很多高校網絡防火墻的安全策略都是產品購買時廠家工程師依據客戶要求設置了,經過多年的使用,原有的策略已經不能滿足安全的需要,對于最新發(fā)現(xiàn)的木馬、蠕蟲病毒也沒有進一步的策略防護,因此需要管理員根據實際情況不斷調整安全策略,及時封堵最新具有安全威脅的地址和端口。
3.1.2 建立日志系統(tǒng)
日志系統(tǒng)是安全防護的最后一道關卡,它在安全管理中占據十分重要的地位。但是很多高校并沒有十分重視日志系統(tǒng)的建立,導致入侵發(fā)生后無據可查。實際上由于防火墻是整個網絡的唯一出口,利用防火墻建立一個日志系統(tǒng)將會在管理工作中起到事半功倍的作用。具體的做法是指定一臺專用的服務器,通過第三方軟件在防火墻上采集相應的數(shù)據,通過局域網傳送到日志服務器上。
3.2 維護策略
3.2.1 賬號維護
賬號維護是防火墻維護中的一項重要任務,主要包括權限維護和密碼維護兩個方面的內容。權限維護是指管理員賬戶應該分級管理,出現(xiàn)不同分工時應該及時調整賬號權限;而密碼維護則是要求各管理員至少每三個月就應更換一次密碼,密碼應包含字母、數(shù)字和字符串并且保證8位以上。
3.2.2 備份管理
防火墻的備份管理也是維護工作中的重要一環(huán),當發(fā)生系統(tǒng)故障時可以及時通過備份迅速恢復配置,保證網絡的順暢運行。備份的頻率是至少保證每月1次,配置發(fā)生變動時應及時備份,并且應該將備份文件放置在異地服務器上,避免防火墻硬件發(fā)生損壞時能及時從服務器中找回原有配置。
4 網絡防火墻常見的故障及解決方案
4.1OS故障
網絡防火墻的OS一般都比較穩(wěn)定,出現(xiàn)故障的概率較小,但是系統(tǒng)升級時比較容易出現(xiàn)OS故障。筆者工作時使用的防火墻在系統(tǒng)升級時就曾經發(fā)生過系統(tǒng)故障,升級完成后不能正常工作,恢復原有系統(tǒng)后通訊正常,原因一般都是OS來源不當或是在傳輸過程中部分文件丟失,因此在升級時應該通過廠家進行并在升級前做好備份工作。
4.2配置故障
配置故障發(fā)生的主要原因是因為很多高校管理員將防火墻同路由器等同配置,雖然防火墻在某些功能上可以替代路由器,但其在轉發(fā)效率上是遠低于路由器的,并且很多配置也不盡相同,管理員只有充分掌握防火墻的原理和配置方法后才能在實際工作中盡量少失誤。因此我們配置防火墻時如發(fā)生配置故障應迅速恢復原有配置保證網絡通暢,再查找配置上的錯誤。
5 小結
本文從網絡防火墻的部署、常用配置、管理與維護和常見故障與解決方案四個方面討論了高校網絡防火墻的配置與管理工作,網絡管理員應充分掌握本校網絡防火墻的管理方法,不斷調整安全策略,盡量避免故障的發(fā)生,才能最大限度地保障校園網絡安全的運行。
參考文獻:
[1] 姚爽.計算機安全與防火墻技術[J].電子技術與軟件工程,2016,(9)223.